ICS 13.310 A 90 DB11 北 京 市 地 方 标 准 DB11/T 1344—2016 信息安全等级保护检查规范 Examination specification for information security classified protection 2016 - 08 - 10 发布 北京市质量技术监督局 2016 - 12 - 01 实施 发 布 DB11/T 1344—2016 目 前 次 言............................................................................. II 1 范围............................................................................... 1 2 规范性引用文件..................................................................... 1 3 术语和定义......................................................................... 1 4 检查流程........................................................................... 1 5 一级信息系统检查 ................................................................... 2 6 二级信息系统检查 ................................................................... 7 7 三级信息系统检查 .................................................................. 16 8 四级信息系统检查 .................................................................. 27 I DB11/T 1344—2016 前 言 本标准按照GB/T 1.1—2009给出的规则起草。 本标准由北京市公安局提出并归口。 本标准由北京市公安局组织实施。 本标准主要起草单位：北京市公安局网络安全保卫总队、公安部信息安全等级保护评估中心、信息 产业信息安全测评中心、北京中软华泰信息技术有限责任公司。 本标准主要起草人：叶漫青、朱华池、白鸥、石锐、吴贤、俞诗源、朱晓莉、高媛、马荣欣、周永 战、游书明、赵悦、徐燕、赵志巍、金镁、王峥、周堃、李小玲、王凯晨、梁萌萌、张淮、王一婷、赵 永军、李梦娇、陈益、宋扬、张昕、菅强、高瑗泽、傅珩轩、刘晓雪、李君白、张远彬、王熙、张玮、 杨潇、石浩、王佳、赵勇、罗铮、袁静、于东升、霍珊珊、刘健、张益、董晶晶。 II DB11/T 1344—2016 信息安全等级保护检查规范 1 范围 本标准规定了对信息安全等级保护状况进行检查的流程和内容要求，其中内容要求包括对信息安全 等级保护第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全检查的要求。 本标准适用于信息安全等级保护检查工作。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 5271.8 信息技术 词汇 第 8 部分:安全 GB 17859 计算机信息系统安全保护等级划分准则 GB/T 22239 信息安全技术 信息系统安全等级保护基本要求 GB/T 25069 信息安全技术 术语 GB/T 25070 信息安全技术 信息系统等级保护安全设计技术要求 3 术语和定义 GB/T 5271.8、GB 17859、 GB/T 22239、GB/T 25069 和 GB/T 25070 界定的以及下列术语和定义适 用于本文件。 3.1 访谈 interview 检查人员通过引导信息系统相关人员进行有目的的（有针对性的）交流以帮助检查人员理解、分析 或取得证据的过程。 3.2 查验 check 检查人员通过对被检查对象（如制度文档、各类设备、安全配置等）进行观察、查阅、核查以帮助 检查人员理解、分析或取得证据的过程。 3.3 测试 test 检查人员使用预定的方法/工具使被检查对象（各类设备或安全配置）产生特定的结果，将运行结 果与预期的结果进行比对的过程。 4 检查流程 1 DB11/T 1344—2016 4.1 前期准备 前期准备包括的内容： ——调阅被检查单位信息系统的备案材料； ——了解被检查单位情况； ——成立检查小组； ——准备必要的检查材料和检查工具； ——制定检查组工作计划，计划内容应包括检查对象、检查人员、检查各个阶段的工作安排等。 4.2 现场检查 现场检查是通过对被检查单位的沟通访谈、文档审查、配置检查、工具测试和实地查验，并调阅自 查、总结或等级测评报告等资料，对被检查单位信息安全保护现状进行检查，取得检查总结活动所需的 资料。现场检查不应影响系统的正常运行。 4.3 检查总结 检查总结是根据现场检查结果和本标准的相关要求，列举并分析被检查单位信息系统存在的问题， 针对被检查单位信息系统安全保护能力出具书面结果材料。 5 一级信息系统检查 5.1 物理安全要求 5.1.1 物理访问控制 5.1.1.1 检查内容 检查内容如下： 应检查物理访问控制措施。 5.1.1.2 检查方法 检查方法如下： 查验是否有进出机房的人员登记记录。 5.1.1.3 检查结果判定 检查结果判定如下： 若机房出入口没有进出机房的人员登记记录，则检查结果为不符合。 5.1.2 支撑设施保障 5.1.2.1 检查内容 检查内容如下： a) 应检查防水措施； b) 应检查防火措施； c) 应检查温湿度控制措施； d) 应检查稳压设备。 2 DB11/T 1344—2016 5.1.2.2 检查方法 检查方法如下： a) 查验是否具备防止机房地下积水转移与渗透的措施，是否对防水防潮处理结果和除湿装置运行 情况进行记录； b) 查验机房是否配备符合要求的灭火设备，灭火设备摆放是否合理，有效期是否合格； c) 查验温湿度自动调节设施是否能够正常运行，查验温湿度控制是否合理； d) 查验机房内是否有稳压设备。 5.1.2.3 检查结果判定 检查结果判定如下： a) 若机房的墙壁或楼板的管道没有采取必要的防渗透防漏等防水保护措施，或防水防潮处理结果 及除湿装置运行记录缺失，则5.1.2.2 a）检查结果为不符合； b) 若机房内没有配备符合要求的灭火设备，灭火设备摆放不合理或已过期，则5.1.2.2 b）检查 结果为不符合； c) 若机房内没有配备温湿度自动调节设施，或当前温湿度不合理，则5.1.2.2 c）检查结果为不 符合； d) 若机房内没有设置稳压器，则5.1.2.2 d）检查结果为不符合。 5.2 安全技术要求 5.2.1 网络结构安全 5.2.1.1 检查内容 检查内容如下： 应检查网络拓扑图。 5.2.1.2 检查方法 检查方法如下： 查验实际环境中的核心交换机、核心服务器、边界防火墙等是否能够在网络拓扑结构图中定位。 5.2.1.3 检查结果判定 检查结果判定如下： 若网络拓扑图中无法定位核心交换机、核心服务器、边界防火墙等关键设备，则5.2.1.2检查 结果为不符合。 5.2.2 边界安全防护 5.2.2.1 检查内容 检查内容如下： 应检查网络边界入侵检测措施。 5.2.2.2 检查方法 检查方法如下： a) 查验网络边界设备是否采取技术手段防止地址欺骗； 3 DB11/T 1344—2016 b) 查验网络入侵检测设备是否能检测以下攻击行为：端口扫描、漏洞扫描、缓冲区溢出攻击、拒 绝服务攻击等，查看其规则库是否为最新。 5.2.2.3 检查结果判定 检查结果判定如下： a) 若重要地址没有采用IP/MAC绑定等手段防止地址欺骗，则5.2.2.2 a）检查结果为不符合； b) 若没有部署入侵检测设备或入侵检测设备的特征库未及时更新，则5.2.2.2 b）检查结果为不 符合。 5.2.3 用户身份鉴别 5.2.3.1 检查内容 检查内容如下： 应检查网络设备、操作系统、数据库管理系统和应用系统的身份鉴别措施。 5.2.3.2 检查方法 检查方法如下： 查验主要网络设备、服务器操作系统、数据库管理系统和应用系统的身份鉴别是否开启。 5.2.3.3 检查结果判定 检查结果判定如下： 若主要网络设备、服务器操作系统、主要数据库管理系统和应用系统无需身份鉴别，则5.2.3.2 检查结果为不符合。 5.2.4 访问控制 5.2.4.1 检查内容 检查内容如下： 应检查操作系统、数据库管理系统的默认账户权限。 5.2.4.2 检查方法 检查方法如下： 查验主要服务器操作系统和重要数据库管理系统是否已禁用或者限制匿名/默认账户的访问权 限，是否重命名系统默认账户名并修改默认账户的默认口令。 5.2.4.3 检查结果判定 检查结果判定如下： a) 操作系统和数据库管理系统默认账户名未重命名，默认口令未修改，则5.2.4.2检查结果为不 符合； b) Windows操作系统未禁用Guest默认账户、Linux操作系统未禁用默认用户（如daemon、bin、sys、 adm等），则5.2.4.2检查结果为不符合； c) 其他操作系统存在未重命名的默认系统用户，则5.2.4.2检查结果为不符合。 5.2.5 系统数据保护 4 DB11/T 1344—2016 5.2.5.1 检查内容 检查内容如下： 应检查应用系统数据备份介质。 5.2.5.2 检查方法 检查方法如下： 查验是否对主要网络设备、主要数据库管理系统和主要应用系统的重要信息进行了本地备份。 5.2.5.3 检查结果判定 检查结果判定如下： 若缺乏主要网络设备、主要数据库管理系统和主要应用系统的重要信息的备份介质，则 5.2.5.2检查结果为不符合。 5.3 安全管理要求 5.3.1 安全管理机构 5.3.1.1 检查内容 检查内容如下： 应检查安全岗位人员配备情况。 5.3.1.2 检查方法 检查方法如下： 查验系统、网络、安全方面的管理规定，记录系统管理员、网络管理员、数据库管理员、安 全管理员的姓名。 5.3.1.3 检查结果判定 检查结果判定如下： 若信息安全管理制度（