网络安全工作评分参考.docx

《网络安全工作评分参考.docx》由会员分享，可在线阅读，更多相关《网络安全工作评分参考.docx（19页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 附件 5网络安全工作评分参考单位：表 1 现场检测评分参考总表评分办法 分值 备注项目内容标准32、 党委（党组）领导班子主要负责人每年至少召集一次专题会议，组织听取把网络安全工作纳入重要议事日程（5 分）3、 网络安全直接责任人至少每季度召集一次会议听取网络安全相关工作汇报，研究网络安全工作。（2 分）网络安全工作责任制落实情况建立和落实网络安全责任制查阅正 式文件 或2. 印发本地区本部门网络安全工作责任制实施办法或细则，或以相关文件明（3 分）会议纪要确责任制实施要求。（1 分）3. 将本地本部门本单位网络安全工作纳入年度工作目标绩效考核。（1 分）1.成立网络安全机构，具有明确的负责

2、人、职能、组成部门（2 分）：市委成立了市委网信部门，其“三定”职责中包括网络安全统筹协调职责，明确处室负责此项工作；省直各部门、各单位明确了本单位网络安全工作的相关处室和工作职责；行业主管监管部门明确了负责本行业网络安全工作的相关处室和工作职责。2.网络安全工作机构按照岗位实际配备了网络安全工作人员。（1 分）建立网络安全工作体系，制定了本地区本部门本行业网络安全规划、实施计划3施（3 分）求，工作任务和保护措施。（3 分）1 评分办法分值备注加大财力物力支持和保障力度（3 分）2. 新建信息化项目的网络安全预算不低于项目总预算的5%。（1 分）3. 审计部门将网络安全建设和绩效纳入审计范围

3、。（1 分）1. 本地区每年按照国家统一安排开展网络安全宣传周活动。（1 分）2. 本部门在职人员人均接受网络安全培训时间不少于4 个学时。未开展的，有工作计划或布置的，视为开展；（1 分）暂 未 开展，有 工作计划 书的，此 项工 作 得分。开展经常性的网络安全宣传教育培网络安全工作责任制落实情况训查阅相关资料3. 对网络安全专业技术岗位人员开展专业技能培训，年度人均接受相关培训时间不少于 8 个学时，且获得网络安全专业资质人员占比达到60%以上或虽未达到 60%但逐年提高。（1 分）（3 分）3(30分)统筹协调开展网络安全检查2. 各部门依法依归依职责对机关本级、直属机构、所主管监管行业

4、行开展网 查阅相关资料络安全检查，年底将检查结果报上级网信委，检查结果通报网络和信息系统所在地区网络全和信息化领导机构。（2 分）（7 分）3. 及时整改网络安全检查发现的风险。（3 分）03. 制定了国产替代计划，明确时间表、路线图。（0.5 分）组织开展了本地区 查阅相关资料本部门本行业涉密领域国产化替代工作。（0.5 分）4. 用于采购国产硬软件产品的支出比例符合中央提出的要求。（0.5 分）基本情况备案记载详细的关键信息基础设施数量、主要功能、分布、服务范围、主管单位等查阅相关资料情况。（2 分，缺一项信息的扣 0.5 分，扣完为止）关键信息基础设施安全维护情况以文件或其他方式明确关键

5、信息基础设施管理机构和运维机构（1 分），负责相关资料（50 分）其他：若设施运维为外包模式的，运维企业必须具有相关网络安全资质，专业2 评分办法分值备注网络技术人员，签署网络安全保密协议及关键岗位人员安全背景审查，近3年内未受到相关主管部门的行政处理。若运维企业不符合上述任何条件的，对应项不得分。网络安全工作“三同步”情况网站、系统平台和工业控制系统的信息化项目，在项目建设的同时保证安全技术措施同步规划、同步建设、同步使用。3查阅相关资料现场检测（3分）282网络安全防护技术检测（40分）详见互联网现场安全检测工作评分参考表（表2）1. 制定了本地区本部门本行业加强和规范网络安全信息汇集、分

6、析、研判和通报工作的制度文件，明确了负责网络安全信息通报工作的机构及其职责。（2分，缺一项扣 1分）3暂 未 开展，有 工作计划 书的，此 项工 作 得分。1. 建立了网络安全风险评估机制。（1分）监测预警和应急处置情况网络安全风险评估工作机制查阅相关资料查阅相关资料查阅相关资料(4分)（15分）1. 以文件方式建立应急处置工作机制。（1分）暂 未 开展，有 工作计划 书的，此 项工 作 得分。1. 本部门、本地区制定出台了网络应急预案。（2分）2. 每年至少开展一次演练。（2分）其他事项 信息采集上报 (3分)规定时限内上报关键信息基础设施数据，且上报数据完整。现场比对验证 33 标准规定时

7、限内上报，且上报信息完整的。评分办法实际情况分值备注（5 分） 自查工作（2 分）24 表 2 互联网现场安全检测工作评分参考表内容分值备注61、查阅网络设计/验收等文档，现场核查交换机 VLAN 划分和网段 IP 配置情况等，调研是否根据承载业务的重要性对网络进行分区分域管理；区分域管理：是 否分；没有进行分区分域管理，不得分。2、采取必要的技术措施对不同网络区域 2、分值：2网络体系架构间实施访问控制：是 否采用技术措施对不同的网络区域实施访问控制，得2、查阅网络拓扑图，现场核查是否采取必要的技术措施对不同安全域之间实施访问控制；（6 分）3、网络安全设备部署情况：防火墙，IDS，IPS，

8、安全审 3、分值：23、查阅网络拓扑图，现场核查网络安全设备部署位置、设备类型、功能等情况。计，恶意代码防护，恶意流量监 部署了网络安全防护设备（根据实际情况，有一项即测，其他可），得分；没有部署网络安全设备，不得分。4、查阅网络拓扑图，调研重要设备连接情况， 4现场核查内部办公系统等涉密系统的交换机、路由器等网络设备，确认以上设备的光纤、网线等物理线路没有与互联网及其他公共信息网络直接连接，有相应的安全隔离措施；4、分值：2做了物理隔离，得分；边界安全防护逻辑隔离做逻辑隔离或无隔离，不得分。5、分值：2无隔离网络边界做了防护措施（根据实际情况，有一项即5、查阅网络拓扑图，调研是否在网络边界部

9、署了访问控制、入侵检测、安全审计、非法外联检测、恶意代码防护等必要的安全设备和防护措施。性调研 入侵防护 恶意代码防 无措施的不得分。护 其他 无措施6、分值：22留存网络安全监控日志 6 个月以上，得分；日志留存 6、查阅网络安全监控日志（重点是互联网访时间低于 6 个月，高于 1 个月，得该得分项 50%分； 问日志），核查日志保存方式和保存时限等；低于 1 个月或不留存的不得分；全监控身份鉴 7. 实施了权限分离和最小权限策略：别和访 是 否7、分值：17、访谈安全主管，抽查网络设备、安全防护 4实施了权限分离，得分；设备、服务器、终端等，调研是否实施了权5 内容分值备注限分离和最小权限

10、策略；（4 分）8、尝试网络设备、安全防护设备、服务器等包括：结束会话 限制失败登 采取了登录失败处理措施（根据实际情况，采取一项 设备或系统的管理员账号登录，查看是否采9. 对远程管理采取了必要的安全措施： 对远程管理采取了安全措施（采取即可），得分； 进行远程管理；是，措施是：未对网络设备的远程管理采取了安全措施，不得分。10、分值：24安全策略配置满足口令配置要求，得分；不满足口令配置要求不得 11、核查设备配置文件，查看设备开启的端分。口。（4 分）11、分值：2开放了不必要的端口，不得分；未开放不必要端口，得分。12、分值：2否，开放了不必要的端口：3更新升级13、核查恶意代码库（不

11、超过 180 天）是否及时更新升级。及时对安全设备进行恶意代码库更新升级，得分；未及时对安全设备进行恶意代码库更新升级，不得分。恶意代码防护1安装防护工具或应用（安装即可），得分；未安全防护工具或应用，不得分。15、分值：115、查看集中管理服务器，抽查终端计算机， 4算机安使用统一平台对终端计算机进行集 使用统一平台对终端计算机进行集中管理，得分； 调研是否部署了终端管理系统或采用了其他6 内容分值备注集中统一管理方式对终端计算机进行集中统一管理。（4 分）用户分散管理16、分值：216、接入互联网安全控制措施：采取接入互联网安全控制措施，得分；16、访谈网络管理员和工作人员，调研是否采取了

12、实名接入认证、IP 地址与 MAC 地址绑定等措施对接入本单位网络的终端计算机进行控制；将未经授权的终端计算机接入网络，测试是否能够访问互联网，验证控制措施的有效性。存在跨网使用的终端计算机，不得分；不存在跨网使用的终端计算机，得分。18、分值：12对应用系统（网站）的访问进行授权和认证，得分；未对应用系统（网站）的访问进行授权和认证，不得分。是，否19、分值：1对应用系统（网站）功能模块的访问进行授权和认证，（2 分）得分；是，否4重要数据安全防护调研是否对重要数据进行了分区分域存储或加密存储。只要采取了存储安全防护即可。21、调研是否对重要数据进行异地备份；未采取安全防护措施，不得分。21

13、、分值：2622、以实际扫描结果为主。23、以实际扫描结果为主。描检测共存在恶意代码：其中： 病毒：个，个，每扫描存在 1 个恶意代码，扣该项的10%的分数，扫描出的病毒、木马数量超过 10 个，该项为 0 分。（6 分）7 分值备注个，个其中：高风险漏洞：中风险漏洞：个个8 附件 6网络安全工作评分参考（工控相关）单位：表 1 现场检测评分参考总表评分办法 分值 备注项目内容标准35、 党委（党组）领导班子主要负责人每年至少召集一次专题会议，把网络安全工作纳入重要议事日程（5 分）网络安全工作责任制落实情况建立和落实网络安全责任制5. 印发本地区本部门网络安全工作责任制实施办法或细则，或以查

14、阅正式文件或会议纪要（3 分）作职责；查阅正式文件或会议纪要分）9 内容评分办法分值备注3明确本地区本部门网络安全的主要目标、基本要求、工作任务、保护措施（3 分）加大财力物力支持和保障力度（3 分）查阅相关佐证材料5. 新建信息化项目的网络安全预算不低于项目总预算的 5%。（1分）网络安全工作责任制落实情况暂 未 开展，有工作 计 划书的，此项 工 作得分。5. 本部门在职人员人均接受网络安全培训时间不少于 4 个学时。开展经常性的网络安全宣传教育培训查阅相关资料（3 分）(30分)30开展了本地区本部门本行业涉密领域国产化替代工作。（ 0.510 内容评分办法分值备注分）基本情况备案记载详

15、细的关键信息基础设施数量、主要功能、分布、服务范围、主管单位等情况。（2 分，缺一项信息的扣 0.5 分，扣完为止）以文件或其他方式明确关键信息基础设施管理机构和运维机构（1分），负责人和关键岗位人员安全背景审查（1 分 ）、职 能（1 分）、保密条款（1 分）、组成部门（1 分）。2查阅相关资料（2 分）5关键信息基础设施安全维护情况管理机构（5 分）（50 分）网络安全工作“三同步”情况3（3 分）网络安全防护技术检测（40 分）查阅相关佐证材料本部门本行业有网络安全事件发生，未进行通报的，该项不得2暂未开展，有工作计划书的，此项工作4. 建立了网络安全风险评估机制。（1 分）5. 具有明

16、确的开展工作计划和责任部门。（1 分）6. 每年至少开展一次网络安全风险评估。（2 分）11 内容评分办法分值备注得分。网络安全应急处置工作机制3. 以文件方式建立应急处置工作机制。（1 分）3查阅相关资料(3 分)4. 机制明确了应急事件处置部门、负责人、处置流程。（2 分）4暂未开展，有工作计划书的，此项工作得分。网络应急预案及演练情况查阅相关资料(4 分)信息采集上报规定时限内上报关键信息基础设施数据，且上报数据完整。规定时限内上报，且上报信息完整的。现场比对验证实际情况其他事项 (3 分)（5 分） 自查工作（2 分）12 表 2 互联网现场安全检测工作评分参考表内容分值备注1、根据承

17、载业务的重要性对网络进行分 1、分值：11、查阅网络设计/验收等文档，现场核 3区分域管理：是 否根据承载业务的重要性对网络进行分区分域管理，得分； 查交换机VLAN划分和网段IP配置情况没有进行分区分域管理，不得分。等，调研是否根据承载业务的重要性对网络进行分区分域管理；2、采取必要的技术措施对不同网络区域 2、分值：1网络体系架构采用技术措施对不同的网络区域实施访问控制，得分；没 2、查阅网络拓扑图，现场核查是否采有采用技术措施对不同的网络区域实施访问控制，不得 取必要的技术措施对不同安全域之间（3 分）3、网络安全设备部署情况：分。实施访问控制；3、查阅网络拓扑图，现场核查网络安计，恶意

18、代码防护，恶意流量监 部署了网络安全防护设备（根据实际情况，有一项即可）， 全设备部署位置、设备类型、功能等情测，其他得分；没有部署网络安全设备，不得分。况。4、分值：1做了物理隔离，得分；边界安全防护逻辑隔离做逻辑隔离或无隔离，不得分。5、分值：1无隔离网络边界做了防护措施（根据实际情况，有一项即可），访问控制 安全审计 边界完整 得分；性调研 入侵防护 恶意代码防 无措施的不得分。护 其他 无措施6、分值：116、查阅网络安全监控日志（重点是互监控联网访问日志），核查日志保存方式和保存时限等；7、分值：0.57、访谈安全主管，抽查网络设备、安 2全防护设备、服务器、终端等，调研是否实施了权

19、限分离和最小权限策略；8、尝试网络设备、安全防护设备、服和访问控制实施了权限分离，得分；（2 分）是，包括：结束会话 限制失败 8、分值：0.513 内容分值备注登录次数 登录连接超时自动退出 其他：即可），得分；查看是否采取登录失败处理措施，如：结束会话、限制失败登录次数、当登录连接超时自动退出等；否未采取了登录失败处理措施，不得分。9. 对远程管理采取了必要的安全措施： 9、分值：1是，措施是：对远程管理采取了安全措施（采取即可），得分；9、查阅配置文件，核查是否采用安全的方式进行远程管理；未对网络设备的远程管理采取了安全措施，不得分。10、分值：1安全策略配置满足口令配置要求，得分；不满

20、足口令配置要求不得分。11、分值：1（2 分）开放了不必要的端口，不得分；未开放不必要端口，得分。12、分值：1及时对设备进行系统和补丁升级，得分；未及时对设备进 最新版本。更新升级 13. 及时进行恶意代码库更新升级：13、核查恶意代码库（不超过 180 天）（1.5 分）是，否是否及时更新升级。恶意代码防护14、抽查核验是否安装了杀毒软件等防安装防护工具或应用（安装即可），得分；未安全防护工具或应用，不得分。15、分值：0.5终端计算机安全用户分散管理，不得分。16、分值：1用户分散管理采取接入互联网安全控制措施，得分；16、访谈网络管理员和工作人员，调研是否采取了实名接入认证、IP 地址

21、与有，控制措施（如实名接入、绑定 未采取接入互联网安全控制措施，不得分。14 内容分值备注计算机IP 和MAC 地址等）控制措施为： 17、分值：0.5MAC 地址绑定等措施对接入本单位网络的终端计算机进行控制；将未经授权的终端计算机接入网络，测试是否能够访问互联网，验证控制措施的有效性。17、抽查终端计算机，调研是否有单台设备跨网使用的情况。存在跨网使用的终端计算机，不得分；不存在跨网使用的终端计算机，得分。18、分值：0.5118、对应用系统（网站）的访问进行授权 对应用系统（网站）的访问进行授权和认证，得分；18、查阅相关文档，核查相关应用系统，应用系统（网站）和认证：是，否安全防护 1

22、9、对应用系统（网站）功能模块的访问 对应用系统（网站）功能模块的访问进行授权和认证，得 19、查阅相关文档，核查相关应用系统，（1 分）分；调研应用系统是否有效实现了功能模20、采取存储安全防护：20、分值：120、登录数据存储设备、数据库管理系 2是采取存储安全防护措施（采取任一种存储安全防护措施即 统，调研是否对重要数据进行了分区分重要数据安全防护（2 分）加密存储 分区分域存储可），得分；域存储或加密存储。只要采取了存储安全防护即可。无防护措施未采取安全防护措施，不得分。21、分值：121、调研是否对重要数据进行异地备份；22、以实际扫描结果为主。3每扫描存在 1 个恶意代码，扣该项的

23、10%的分数，扫描出 23、以实际扫描结果为主。的病毒、木马数量超过 10 个，该项为 0 分。23、分值：2现场扫描检测个，个每扫描存在 1 个中高危漏洞，扣该项的 5%的分数，扫描出的漏洞数量超过 20 个，该项为 0 分。其中： 高风险漏洞：中风险漏洞：个个15 表 3 工控检测作评分参考表分值 备注内容1、 企业工业主机上安装防病毒软件或应用程序白名单软件 ,应在离线环境中充分验证测试，确保其不会对工业控制系统的正常运行造成影响。查看测试报告或其他形式的测试文件。不存在测试报告或其他形式的测试文件，不得分。2、分值：1安全软件2、是否定期对工业控制系统进行查杀： 查看设备查杀记录，得分

24、；（3 分）是 否不存在设备查杀记录，不得分。3、分值：1查看临时设备接入前查杀记录，得分；不存在临时设备接入前查杀记录，不得分。查看工业控制网络的配置策略4查看工业主机的安全配置策略是 否查看工业控制系统配置清单查看工业控制系统配置清单的维护及更新记录。查看配置变更计划记录或文件。企业应在配置变更实施前进行严格安全测试，必要时应在离线环境中进行安全验证，以确保配置变更不会影响工业控制系统正常运行。配置和补丁管理提供配置清单维护记录，得分；不能提供配置清单维护记录，不得分。5、分值：0.5企业应密切关注重大工控安全漏洞及补丁发布，并一定时间内（原则上不超过 180天）及时开展补丁升级。6、分值

25、：0.5企业应在补丁安装前，针对补丁进行安全评估测试，必要时进行离线评估，确保补估测试不存在测试文件或记录，不得分。16 内容分值备注7、分值：0.5丁安装后工业控制系统的正常运行。8、分值：0.5提供评估测试报告，得分；不提供评估测试报告，不得分。1、 企业应针对工业控制系统的开发、测试和 3生产分别提供独立环境，避免开发、测试环境中的安全风险引入生产系统。技术测试效果。1、工业控制系统的生产环境是否与开发、测试环境分离1、分值：1防护部署安全防护设备，得分；（3 分）没有部署安全防护设备，不得分。工业控制网络能访问互联网，得分。1、分值：11、企业应拆除或封闭工业主机上不必要的防护USB、

26、光驱、无线等接口（1 分）是 否1、分值：1业云平台访问等过程中使用身份认证管存在一种或不存在登录认证，不得分。2、分值：0.5身份认证提供审计分配相关记录、文件或其他佐证文件，得分；3、工业控制设备、SCADA 软件、工业通信设备是否定期更新口令是 否3、分值：0.53、 企业需制定口令配置策略，定期更换口令。提供口令配置文件或其他佐证文件，得分；17 内容标准未能提供口令配置文件或其他佐证文件，不得分。1、分值：1分值备注2.5远程访问安全存在时限控制策略，得分；不存在时限控制策略，不得分。3、分值：12、 企业应对远程访问进行时限控制，并采用加标锁定策略，确保组织对远程访问的可控性。查看

27、时限控制策略。（2.5 分）3、企业远程维护通道是否采用 VPN 等远程接入方式是 否3、 查看 VPN 设置情况。1、 网络安全监测设备需具备国家相关部门的 2认证，需提供认证资料。1、分值：0.52、 企业应部署具备对工业控制系统与网络进行状态监测、日志采集与事件管理、流量采集与行为分析、异常告警及关联分析等功能的网络安全监测设备，及时发现、报告并处理包括设备状态异常、恶意软件传播、异常流量、异常诊断日志、端口扫描、暴力破解等网络攻击或异常行为。存在认证资料，得分；不存在认证资料，不得分。2、分值：0.52、已部署的网络安全监测设备是否具备按照右边对应的要求，具备相应的功能模块，得分；不具

28、备相应的功能模块，不得分。3、分值：1是 否提供引进国外设备的安全检测报告，得分；不能提供引进国外设备的安全检测报告，不得分。3、 企业引进国外设备在投入正常使用前需进行网络安全的检测，并提供检测报告。1、 企业应明确识别重要工业数据清单，并提 2供工业数据清单1、分值：0.5提供工业数据清单，得分；（2.5 分） 防护是 否2、分值：0.5存在静态存储数据的加密措施或隔离保护，得分；3、 应对动态传输重要工业数据进行加密传输3、是否对动态传输的重要工业数据进行 不存在静态存储数据的加密措施或隔离保护，不得18 内容分值备注分；或使用 VPN 等方式进行保护4、 分值：0.54、 企业应对关键业务数据进行定期备份4、是否定期备份关键业务数据存在动态存储数据的加密措施或隔离保护，得分；5、 企业应对测试过程中产生的数据进行保护是 否不存在动态存储数据的加密措施或隔离保护，不得5、是否采取措施保护测试过程中产生的分；数据5、 分值：0.5是 否提供测试数据保护措施（存在即可），得分；未提供测试数据保护措施，不得分；19