安徽省通信網(wǎng)絡(luò)安全防護檢查工作實施方案

1、附件：2010年度安徽省通信網(wǎng)絡(luò)安全防護檢查工作實施方案為進一步貫徹落實通信網(wǎng)絡(luò)安全防護管理辦法（工業(yè)和信息化部第11號令），根據(jù)工業(yè)和信息化部關(guān)于開展2010年度通信網(wǎng)絡(luò)安全防護檢查工作的通知（工信部保函2010275號）要求，我局定于6月至10月在全省通信行業(yè)開展2010年度通信網(wǎng)絡(luò)安全防護檢查工作，具體實施方案如下：一、檢查目的通過安全防護檢查，評測各通信網(wǎng)絡(luò)單元是否落實與其安全等級相適應(yīng)的防護措施，并結(jié)合通信網(wǎng)絡(luò)面臨的各種威脅，評估通信網(wǎng)絡(luò)在安全防護管理和技術(shù)措施方面存在的安全隱患，進一步提高通信網(wǎng)絡(luò)安全防護水平，保障上海世博會、廣州亞運會期間通信網(wǎng)絡(luò)安全暢通。二、檢查內(nèi)容本次檢查突出

2、重點，檢查專業(yè)包括移動通信網(wǎng)、ip（網(wǎng)際協(xié)議）承載網(wǎng)、支撐網(wǎng)、網(wǎng)上營業(yè)廳和域名系統(tǒng)。其中，支撐網(wǎng)包括業(yè)務(wù)運營支撐系統(tǒng)和網(wǎng)管系統(tǒng)，域名系統(tǒng)包括域名解析系統(tǒng)和域名注冊系統(tǒng)。檢查對象為省內(nèi)各基礎(chǔ)電信運營企業(yè)已定級備案的2級及以上通信網(wǎng)絡(luò)單元。檢查的主要任務(wù)是對各網(wǎng)絡(luò)單元依據(jù)通信網(wǎng)絡(luò)安全防護標(biāo)準(zhǔn)進行符合性評測和風(fēng)險評估，并進行有針對性的整改。其中，域名注冊系統(tǒng)只進行風(fēng)險評估。此外，檢查任務(wù)還包括核查2009年通信網(wǎng)絡(luò)安全防護檢查工作中所制定整改計劃的落實情況。檢查內(nèi)容主要包括：（一）移動通信網(wǎng)。重點評測hlr（歸屬位置寄存器）、gmsc/gmsce（關(guān)口移動交換中心）、ggsn（關(guān)口通用分組無線系統(tǒng)交

3、換節(jié)點）等關(guān)鍵設(shè)備、鏈路、路由冗余備份措施情況，評測入侵及攻擊防范措施落實情況，評測網(wǎng)絡(luò)設(shè)備和維護終端安全漏洞、帳號權(quán)限和口令管理、日志管理、介質(zhì)管理等方面措施的落實情況；重點評估移動通信網(wǎng)絡(luò)在冗余備份、網(wǎng)絡(luò)攻擊防范、網(wǎng)絡(luò)設(shè)備和維護終端安全漏洞管理等方面存在的安全問題和隱患。（二）ip承載網(wǎng)。重點評測ip承載網(wǎng)相關(guān)設(shè)備、鏈路、路由冗余備份措施落實情況，評測相應(yīng)的網(wǎng)絡(luò)管理系統(tǒng)在系統(tǒng)隔離、帳號權(quán)限和口令管理、網(wǎng)絡(luò)及設(shè)備資源保護、安全訪問控制策略及配置、日志記錄留存及安全審計等方面的防護措施落實情況；重點評估ip承載網(wǎng)和相應(yīng)網(wǎng)絡(luò)管理系統(tǒng)在冗余備份、網(wǎng)絡(luò)業(yè)務(wù)流量管理和控制、網(wǎng)絡(luò)攻擊防范等方面存在的問題

4、和隱患。（三）支撐網(wǎng)。重點評測支撐網(wǎng)運行可靠性，評測相關(guān)網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用軟件在訪問控制、用戶身份認(rèn)證、入侵及攻擊防范、安全審計等方面的防護措施落實情況，評測支撐網(wǎng)數(shù)據(jù)的保密性和備份情況；重點評估支撐網(wǎng)在冗余備份、網(wǎng)絡(luò)攻擊防范、相關(guān)服務(wù)器及主機安全等方面存在的安全問題和隱患。（四）網(wǎng)上營業(yè)廳。重點評測網(wǎng)上營業(yè)廳的網(wǎng)絡(luò)訪問控制策略、系統(tǒng)與服務(wù)的帳號權(quán)限和口令管理等安全防護措施的落實情況，評測跨站漏洞攻擊、sql（結(jié)構(gòu)化查詢語言）注入防范等互聯(lián)網(wǎng)應(yīng)用安全防護措施的落實情況，相關(guān)服務(wù)器及主機安全防護措施的落實情況；重點評估網(wǎng)上營業(yè)廳在攻擊防范、病毒木馬防范以及用戶個人信息保護等方面存在

5、的安全問題和隱患。（五）域名系統(tǒng)。重點評測域名解析服務(wù)系統(tǒng)的分布式部署和數(shù)據(jù)備份落實情況，評測域名解析服務(wù)的業(yè)務(wù)可用性，包括解析響應(yīng)時間和解析能力的監(jiān)測和保障能力，評測域名解析軟件的版本安全控制措施，評測域名解析系統(tǒng)的網(wǎng)絡(luò)隔離和訪問控制措施的落實情況；重點評估域名解析系統(tǒng)在解析服務(wù)安全、網(wǎng)絡(luò)安全和域名解析軟件安全等方面存在的安全問題和隱患；重點評估域名注冊服務(wù)在冗余備份、攻擊防范、核心數(shù)據(jù)庫安全保護和日志審計等方面存在的安全問題和隱患。三、檢查階段檢查分為自查、抽查、總結(jié)三個階段，具體安排如下：（一）自查階段（6月15日至8月31日）。1、達標(biāo)評測：省內(nèi)各基礎(chǔ)電信運營企業(yè)根據(jù)專業(yè)類型，對照通信

6、網(wǎng)絡(luò)安全防護達標(biāo)檢查表（見附件1）開展符合性評測，每個網(wǎng)絡(luò)單元須填寫一份檢查表；省公司要負(fù)責(zé)所屬地市分公司網(wǎng)絡(luò)單元的收集匯總上報工作，要在檢查表基礎(chǔ)上匯總填寫本單位通信網(wǎng)絡(luò)單元安全防護檢查結(jié)果達標(biāo)統(tǒng)計表。2、風(fēng)險評估：省內(nèi)各基礎(chǔ)電信運營企業(yè)在達標(biāo)評測的基礎(chǔ)上，結(jié)合通信網(wǎng)絡(luò)面臨的安全風(fēng)險，針對每個網(wǎng)絡(luò)單元開展風(fēng)險評估，深入分析網(wǎng)絡(luò)和系統(tǒng)存在的安全隱患。3、整改：針對符合性評測和風(fēng)險評估中發(fā)現(xiàn)的問題，實施針對性整改，短期內(nèi)無法整改完成的，應(yīng)制定整改計劃。同時，對2009年通信網(wǎng)絡(luò)安全防護檢查期間各網(wǎng)絡(luò)運行單位在自查工作中以及我局在抽查工作中發(fā)現(xiàn)的問題，省內(nèi)各基礎(chǔ)電信運營企業(yè)要對照梳理整改工作的完成

7、情況。針對每一個網(wǎng)絡(luò)專業(yè)，省內(nèi)各基礎(chǔ)電信運營企業(yè)要根據(jù)安全評測、風(fēng)險評估和整改工作情況，形成自查報告（格式參見附件2）。省級基礎(chǔ)電信運營企業(yè)的自查報告，以及通信網(wǎng)絡(luò)安全防護達標(biāo)檢查表、通信網(wǎng)絡(luò)單元安全防護檢查結(jié)果達標(biāo)統(tǒng)計表（電子版），應(yīng)于月27日前上報我局。（二）抽查階段（9月1日至9月30日）。我局將對省內(nèi)各基礎(chǔ)電信運營企業(yè)的自查和整改工作開展情況進行檢查。抽查具體安排另行通知。（三）總結(jié)階段（10月1日至10月15日）。省內(nèi)各基礎(chǔ)電信運營企業(yè)將本單位檢查工作整體情況及下一步工作計劃和建議形成總結(jié)報告（格式參見附件），于10月8日前上報我局。四、工作要求（一）提高認(rèn)識，周密部署省內(nèi)各基礎(chǔ)電信

8、運營企業(yè)要加強對工業(yè)和信息化部第11號令通信網(wǎng)絡(luò)安全防護管理辦法的學(xué)習(xí)貫徹，充分認(rèn)識通信網(wǎng)絡(luò)安全防護工作的重要性、必要性和緊迫性，要進一步強化此次檢查工作的組織領(lǐng)導(dǎo)，落實責(zé)任部門、明確職責(zé)分工，要按照通信網(wǎng)絡(luò)安全防護系列標(biāo)準(zhǔn)，組織制定本單位詳細(xì)工作實施方案，全面落實各項自查、整改和督查工作，確保取得實效。省內(nèi)各基礎(chǔ)電信運營企業(yè)應(yīng)將此次檢查工作部署安排情況以及本單位負(fù)責(zé)檢查工作的分管領(lǐng)導(dǎo)、牽頭部門、部門負(fù)責(zé)人和聯(lián)絡(luò)員名單于7月30日前報備我局。（二）明確職責(zé)，加強指導(dǎo)各省級公司要負(fù)責(zé)組織、監(jiān)督、檢查、指導(dǎo)本公司及下屬機構(gòu)開展的通信網(wǎng)絡(luò)安全檢查工作，認(rèn)真填寫通信網(wǎng)絡(luò)單元安全檢查表，積極發(fā)現(xiàn)問題，如

9、實報告問題，及時解決問題，確保檢查工作取得實效。檢查工作中如委托第三方安全服務(wù)單位，應(yīng)加強對服務(wù)單位的選擇和管理，既要保證服務(wù)質(zhì)量，又要避免引入新的安全風(fēng)險。我局將進一步加強檢查工作信息通報工作，請省內(nèi)各基礎(chǔ)電信運營企業(yè)將本單位檢查工作進展情況及時報送我局。我局將全省通信行業(yè)檢查工作的落實情況進行認(rèn)真總結(jié)并上報工業(yè)和信息化部，同時抄送各基礎(chǔ)電信運營企業(yè)集團公司。附件：、通信網(wǎng)絡(luò)安全檢查表清單（通過聯(lián)絡(luò)人電子郵件下發(fā)）、通信網(wǎng)絡(luò)安全防護自查報告模板、通信網(wǎng)絡(luò)安全防護檢查工作總結(jié)報告模板附件1：通信網(wǎng)絡(luò)安全檢查表清單1. 檢查表ip城域網(wǎng)2. 檢查表ip骨干網(wǎng)3. 檢查表遞歸域名解析系統(tǒng)4. 檢查

10、表權(quán)威域名解析系統(tǒng)5. 檢查表網(wǎng)管系統(tǒng)6. 檢查表業(yè)務(wù)運營支撐系統(tǒng)7. 檢查表移動通信網(wǎng)電路域本地網(wǎng)關(guān)口局8. 檢查表移動通信網(wǎng)電路域本地網(wǎng)核心交換網(wǎng)9. 檢查表移動通信網(wǎng)電路域省際長途網(wǎng)（含國際長途網(wǎng)）10. 檢查表移動通信網(wǎng)電路域省內(nèi)長途網(wǎng)11. 檢查表移動通信網(wǎng)分組域國際部分12. 檢查表移動通信網(wǎng)分組域省網(wǎng)13. 檢查表網(wǎng)上營業(yè)廳14. 統(tǒng)計表ip城域網(wǎng)15. 統(tǒng)計表ip骨干網(wǎng)16. 統(tǒng)計表遞歸域名解析系統(tǒng)17. 統(tǒng)計表權(quán)威域名解析系統(tǒng)18. 統(tǒng)計表網(wǎng)管系統(tǒng)19. 統(tǒng)計表業(yè)務(wù)運營支撐系統(tǒng)20. 統(tǒng)計表移動通信網(wǎng)電路域本地網(wǎng)關(guān)口局21. 統(tǒng)計表移動通信網(wǎng)電路域本地網(wǎng)核心交換網(wǎng)22. 統(tǒng)計

11、表移動通信網(wǎng)電路域省際長途網(wǎng)（含國際長途網(wǎng)）23. 統(tǒng)計表移動通信網(wǎng)電路域省內(nèi)長途網(wǎng)24. 統(tǒng)計表移動通信網(wǎng)分組域國際部分25. 統(tǒng)計表移動通信網(wǎng)分組域省網(wǎng)26. 統(tǒng)計表網(wǎng)上營業(yè)廳附：通信網(wǎng)絡(luò)安全檢查表依據(jù)標(biāo)準(zhǔn)1. ydt 1746-2009ip承載網(wǎng)安全防護要求2. ydt 1747-2009ip承載網(wǎng)安全防護檢測要求3. ydt 2052-2009域名系統(tǒng)安全防護技術(shù)要求4. ydt 2053-2009域名系統(tǒng)安全防護檢測要求5. ydt 1752-2008支撐網(wǎng)安全防護要求6. ydt 1753-2008支撐網(wǎng)安全防護檢測要求7. ydt 1734-2009移動通信網(wǎng)安全防護要求8. y

12、dt 1735-2009移動網(wǎng)安全防護檢測要求9. 網(wǎng)上營業(yè)廳安全防護要求10. 網(wǎng)上營業(yè)廳安全防護檢測要求附件2：xxx專業(yè)安全防護自查報告一、基本情況概要說明該通信網(wǎng)絡(luò)專業(yè)業(yè)務(wù)類型、服務(wù)對象及范圍等基本情況，說明自查內(nèi)容、自查安排以及自查結(jié)論。二、符合性評測情況根據(jù)自查內(nèi)容，說明落實了那些防護措施，哪些方面仍不滿足要求，并分析原因。如使用了第三方安全評測服務(wù)，請說明選擇的服務(wù)機構(gòu)及評測結(jié)果。三、風(fēng)險評估情況根據(jù)自查內(nèi)容，說明存在的安全隱患和潛在風(fēng)險，并分析原因。如使用了第三方風(fēng)險評估服務(wù)，請說明選擇的服務(wù)機構(gòu)及評估結(jié)果。四、整改情況針對本次符合性評測中不滿足要求的情況，以及風(fēng)險評估中發(fā)現(xiàn)的

13、安全隱患，說明具體的整改情況。如果該網(wǎng)絡(luò)專業(yè)在2009年安全防護檢查工作中，開展自查并制定了整改計劃，需說明整改計劃具體落實情況。如沒有按計劃完成整改，說明原因。如整改工作已經(jīng)使用了或計劃使用第三方服務(wù)，請說明已選擇或計劃選擇的服務(wù)機構(gòu)及服務(wù)內(nèi)容。整改情況分析應(yīng)形成如下表格。表1 評測/評估整改情況列表序號評測/評估安全問題描述是否已整改整改措施/計劃1.2.3.注: 1. 安全問題指在本次自查過程中發(fā)現(xiàn)網(wǎng)絡(luò)單元仍存在的安全問題。2針對某個安全問題，如果已經(jīng)在自查過程中完成了整改，則在“整改措施/計劃”中說明采取的整改措施。如果未完成整改，則在“整改措施/計劃”中說明制定的整改計劃。2. 本表

14、行數(shù)不夠可擴展。附件3：xxx單位通信網(wǎng)絡(luò)安全防護檢查工作總結(jié)報告概要說明檢查工作背景、開展時間、部署及安排情況。一、檢查工作開展情況說明本地區(qū)或本單位此次檢查工作范圍、部署安排、不同階段具體工作以及工作進展情況。二、達標(biāo)評測情況對本地區(qū)或本單位的達標(biāo)評測情況進行歸納總結(jié)?？偨Y(jié)應(yīng)覆蓋檢查范圍，針對各專業(yè)網(wǎng)絡(luò)分別圍繞本次安全檢查的主要內(nèi)容，說明落實了哪些防護措施，哪些方面仍不滿足要求，并分析原因。總結(jié)應(yīng)有數(shù)據(jù)支持。如使用了第三方安全評測服務(wù)，請說明選擇的服務(wù)機構(gòu)及評測結(jié)果。三、風(fēng)險評估情況對本地區(qū)或本單位的風(fēng)險評估情況進行歸納總結(jié)?？偨Y(jié)應(yīng)覆蓋檢查范圍，針對各專業(yè)網(wǎng)絡(luò)分別圍繞但不限于本次安全檢查的

15、主要內(nèi)容，說明存在的安全隱患和潛在風(fēng)險，并分析原因。總結(jié)應(yīng)有數(shù)據(jù)支持。如使用了第三方風(fēng)險評估服務(wù)，請說明選擇的服務(wù)機構(gòu)及評估結(jié)果。四、整改情況或計劃對達標(biāo)評測中不滿足要求的情況、以及風(fēng)險評估中發(fā)現(xiàn)的安全隱患，說明哪些方面已經(jīng)在檢查過程中完成了整改，哪些方面短期內(nèi)無法整改，已制定了整改計劃，并概要說明整改計劃。針對在2009年安全防護檢查工作中，開展自查并制定了整改計劃的專業(yè)網(wǎng)絡(luò)，需說明整改計劃落實情況。如沒有按計劃完成整改，說明原因。如整改工作已經(jīng)使用了或計劃使用第三方服務(wù)，請說明相關(guān)的服務(wù)單位及服務(wù)內(nèi)容。五、下一步工作計劃及建議簡要說明本地區(qū)、本單位通信網(wǎng)絡(luò)安全防護工作的下一步計劃，并對進一步深入貫徹落實通信網(wǎng)絡(luò)安全防護管理辦法和安全防護標(biāo)準(zhǔn)提出建議。注：1.對于數(shù)據(jù)量較大不便于在正文中呈現(xiàn)的數(shù)據(jù)及其圖表，可作為報告的附錄。例如：檢查對象列表。2.本總結(jié)報告應(yīng)形成如下總結(jié)表。 表1 安全防護檢查總結(jié)表網(wǎng)絡(luò)類型安全等級網(wǎng)絡(luò)單元總數(shù)量評測達標(biāo)網(wǎng)絡(luò)單元數(shù)量評測未達標(biāo)網(wǎng)絡(luò)單元評估仍存在安全隱患的網(wǎng)絡(luò)單元已整改網(wǎng)絡(luò)單元數(shù)量已制定整改計劃網(wǎng)絡(luò)單元數(shù)量已整改網(wǎng)絡(luò)單元數(shù)量已制定整改計劃網(wǎng)絡(luò)單元數(shù)量移動通信網(wǎng)2級3級ip承載網(wǎng)2級3級支撐網(wǎng)2級3級網(wǎng)上營業(yè)廳2