安徽省通信网络安全防护检查工作实施方案.doc

附件：2010年度安徽省通信网络安全防护检查工作实施方案为进一步贯彻落实通信网络安全防护管理办法（工业和信息化部第11号令），根据工业和信息化部关于开展2010年度通信网络安全防护检查工作的通知（工信部保函2010275号）要求，我局定于6月至10月在全省通信行业开展2010年度通信网络安全防护检查工作，具体实施方案如下：一、检查目的通过安全防护检查，评测各通信网络单元是否落实与其安全等级相适应的防护措施，并结合通信网络面临的各种威胁，评估通信网络在安全防护管理和技术措施方面存在的安全隐患，进一步提高通信网络安全防护水平，保障上海世博会、广州亚运会期间通信网络安全畅通。二、检查内容本次检查突出重点，检查专业包括移动通信网、IP（网际协议）承载网、支撑网、网上营业厅和域名系统。其中，支撑网包括业务运营支撑系统和网管系统，域名系统包括域名解析系统和域名注册系统。检查对象为省内各基础电信运营企业已定级备案的2级及以上通信网络单元。检查的主要任务是对各网络单元依据通信网络安全防护标准进行符合性评测和风险评估，并进行有针对性的整改。其中，域名注册系统只进行风险评估。此外，检查任务还包括核查2009年通信网络安全防护检查工作中所制定整改计划的落实情况。检查内容主要包括：（一）移动通信网。重点评测HLR（归属位置寄存器）、GMSC/GMSCe（关口移动交换中心）、GGSN（关口通用分组无线系统交换节点）等关键设备、链路、路由冗余备份措施情况，评测入侵及攻击防范措施落实情况，评测网络设备和维护终端安全漏洞、帐号权限和口令管理、日志管理、介质管理等方面措施的落实情况；重点评估移动通信网络在冗余备份、网络攻击防范、网络设备和维护终端安全漏洞管理等方面存在的安全问题和隐患。（二）IP承载网。重点评测IP承载网相关设备、链路、路由冗余备份措施落实情况，评测相应的网络管理系统在系统隔离、帐号权限和口令管理、网络及设备资源保护、安全访问控制策略及配置、日志记录留存及安全审计等方面的防护措施落实情况；重点评估IP承载网和相应网络管理系统在冗余备份、网络业务流量管理和控制、网络攻击防范等方面存在的问题和隐患。（三）支撑网。重点评测支撑网运行可靠性，评测相关网络设备、操作系统、数据库和应用软件在访问控制、用户身份认证、入侵及攻击防范、安全审计等方面的防护措施落实情况，评测支撑网数据的保密性和备份情况；重点评估支撑网在冗余备份、网络攻击防范、相关服务器及主机安全等方面存在的安全问题和隐患。（四）网上营业厅。重点评测网上营业厅的网络访问控制策略、系统与服务的帐号权限和口令管理等安全防护措施的落实情况，评测跨站漏洞攻击、SQL（结构化查询语言）注入防范等互联网应用安全防护措施的落实情况，相关服务器及主机安全防护措施的落实情况；重点评估网上营业厅在攻击防范、病毒木马防范以及用户个人信息保护等方面存在的安全问题和隐患。（五）域名系统。重点评测域名解析服务系统的分布式部署和数据备份落实情况，评测域名解析服务的业务可用性，包括解析响应时间和解析能力的监测和保障能力，评测域名解析软件的版本安全控制措施，评测域名解析系统的网络隔离和访问控制措施的落实情况；重点评估域名解析系统在解析服务安全、网络安全和域名解析软件安全等方面存在的安全问题和隐患；重点评估域名注册服务在冗余备份、攻击防范、核心数据库安全保护和日志审计等方面存在的安全问题和隐患。三、检查阶段检查分为自查、抽查、总结三个阶段，具体安排如下：（一）自查阶段（6月15日至8月31日）。1、达标评测：省内各基础电信运营企业根据专业类型，对照通信网络安全防护达标检查表（见附件1）开展符合性评测，每个网络单元须填写一份检查表；省公司要负责所属地市分公司网络单元的收集汇总上报工作，要在检查表基础上汇总填写本单位通信网络单元安全防护检查结果达标统计表。2、风险评估：省内各基础电信运营企业在达标评测的基础上，结合通信网络面临的安全风险，针对每个网络单元开展风险评估，深入分析网络和系统存在的安全隐患。3、整改：针对符合性评测和风险评估中发现的问题，实施针对性整改，短期内无法整改完成的，应制定整改计划。同时，对2009年通信网络安全防护检查期间各网络运行单位在自查工作中以及我局在抽查工作中发现的问题，省内各基础电信运营企业要对照梳理整改工作的完成情况。针对每一个网络专业，省内各基础电信运营企业要根据安全评测、风险评估和整改工作情况，形成自查报告（格式参见附件2）。省级基础电信运营企业的自查报告，以及通信网络安全防护达标检查表、通信网络单元安全防护检查结果达标统计表（电子版），应于月27日前上报我局。（二）抽查阶段（9月1日至9月30日）。我局将对省内各基础电信运营企业的自查和整改工作开展情况进行检查。抽查具体安排另行通知。（三）总结阶段（10月1日至10月15日）。省内各基础电信运营企业将本单位检查工作整体情况及下一步工作计划和建议形成总结报告（格式参见附件），于10月8日前上报我局。四、工作要求（一）提高认识，周密部署省内各基础电信运营企业要加强对工业和信息化部第11号令通信网络安全防护管理办法的学习贯彻，充分认识通信网络安全防护工作的重要性、必要性和紧迫性，要进一步强化此次检查工作的组织领导，落实责任部门、明确职责分工，要按照通信网络安全防护系列标准，组织制定本单位详细工作实施方案，全面落实各项自查、整改和督查工作，确保取得实效。省内各基础电信运营企业应将此次检查工作部署安排情况以及本单位负责检查工作的分管领导、牵头部门、部门负责人和联络员名单于7月30日前报备我局。（二）明确职责，加强指导各省级公司要负责组织、监督、检查、指导本公司及下属机构开展的通信网络安全检查工作，认真填写通信网络单元安全检查表，积极发现问题，如实报告问题，及时解决问题，确保检查工作取得实效。检查工作中如委托第三方安全服务单位，应加强对服务单位的选择和管理，既要保证服务质量，又要避免引入新的安全风险。我局将进一步加强检查工作信息通报工作，请省内各基础电信运营企业将本单位检查工作进展情况及时报送我局。我局将全省通信行业检查工作的落实情况进行认真总结并上报工业和信息化部，同时抄送各基础电信运营企业集团公司。附件：、通信网络安全检查表清单（通过联络人电子邮件下发）、通信网络安全防护自查报告模板、通信网络安全防护检查工作总结报告模板附件1：通信网络安全检查表清单1. 检查表IP城域网2. 检查表IP骨干网3. 检查表递归域名解析系统4. 检查表权威域名解析系统5. 检查表网管系统6. 检查表业务运营支撑系统7. 检查表移动通信网电路域本地网关口局8. 检查表移动通信网电路域本地网核心交换网9. 检查表移动通信网电路域省际长途网（含国际长途网）10. 检查表移动通信网电路域省内长途网11. 检查表移动通信网分组域国际部分12. 检查表移动通信网分组域省网13. 检查表网上营业厅14. 统计表IP城域网15. 统计表IP骨干网16. 统计表递归域名解析系统17. 统计表权威域名解析系统18. 统计表网管系统19. 统计表业务运营支撑系统20. 统计表移动通信网电路域本地网关口局21. 统计表移动通信网电路域本地网核心交换网22. 统计表移动通信网电路域省际长途网（含国际长途网）23. 统计表移动通信网电路域省内长途网24. 统计表移动通信网分组域国际部分25. 统计表移动通信网分组域省网26. 统计表网上营业厅附：通信网络安全检查表依据标准1. YDT 1746-2009IP承载网安全防护要求2. YDT 1747-2009IP承载网安全防护检测要求3. YDT 2052-2009域名系统安全防护技术要求4. YDT 2053-2009域名系统安全防护检测要求5. YDT 1752-2008支撑网安全防护要求6. YDT 1753-2008支撑网安全防护检测要求7. YDT 1734-2009移动通信网安全防护要求8. YDT 1735-2009移动网安全防护检测要求9. 网上营业厅安全防护要求10. 网上营业厅安全防护检测要求附件2：XXX专业安全防护自查报告一、基本情况概要说明该通信网络专业业务类型、服务对象及范围等基本情况，说明自查内容、自查安排以及自查结论。二、符合性评测情况根据自查内容，说明落实了那些防护措施，哪些方面仍不满足要求，并分析原因。如使用了第三方安全评测服务，请说明选择的服务机构及评测结果。三、风险评估情况根据自查内容，说明存在的安全隐患和潜在风险，并分析原因。如使用了第三方风险评估服务，请说明选择的服务机构及评估结果。四、整改情况针对本次符合性评测中不满足要求的情况，以及风险评估中发现的安全隐患，说明具体的整改情况。如果该网络专业在2009年安全防护检查工作中，开展自查并制定了整改计划，需说明整改计划具体落实情况。如没有按计划完成整改，说明原因。如整改工作已经使用了或计划使用第三方服务，请说明已选择或计划选择的服务机构及服务内容。整改情况分析应形成如下表格。表1 评测/评估整改情况列表序号评测/评估安全问题描述是否已整改整改措施/计划1.2.3.注: 1. 安全问题指在本次自查过程中发现网络单元仍存在的安全问题。2针对某个安全问题，如果已经在自查过程中完成了整改，则在“整改措施/计划”中说明采取的整改措施。如果未完成整改，则在“整改措施/计划”中说明制定的整改计划。2. 本表行数不够可扩展。附件3：XXX单位通信网络安全防护检查工作总结报告概要说明检查工作背景、开展时间、部署及安排情况。一、检查工作开展情况说明本地区或本单位此次检查工作范围、部署安排、不同阶段具体工作以及工作进展情况。二、达标评测情况对本地区或本单位的达标评测情况进行归纳总结。总结应覆盖检查范围，针对各专业网络分别围绕本次安全检查的主要内容，说明落实了哪些防护措施，哪些方面仍不满足要求，并分析原因。总结应有数据支持。如使用了第三方安全评测服务，请说明选择的服务机构及评测结果。三、风险评估情况对本地区或本单位的风险评估情况进行归纳总结。总结应覆盖检查范围，针对各专业网络分别围绕但不限于本次安全检查的主要内容，说明存在的安全隐患和潜在风险，并分析原因。总结应有数据支持。如使用了第三方风险评估服务，请说明选择的服务机构及评估结果。四、整改情况或计划对达标评测中不满足要求的情况、以及风险评估中发现的安全隐患，说明哪些方面已经在检查过程中完成了整改，哪些方面短期内无法整改，已制定了整改计划，并概要说明整改计划。针对在2009年安全防护检查工作中，开展自查并制定了整改计划的专业网络，需说明整改计划落实情况。如没有按计划完成整改，说明原因。如整改工作已经使用了或计划使用第三方服务，请说明相关的服务单位及服务内容。五、下一步工作计划及建议简要说明本地区、本单位通信网络安全防护工作的下一步计划，并对进一步深入贯彻落实通信网络安全防护管理办法和安全防护标准提出建议。注：1.对于数据量较大不便于在正文中呈现的数据及其图表，可作为报告的附录。例如：检查对象列表。2.本总结报告应形成如下总结表。 表1 安全防护检查总结表网络类型安全等级网络单元总数量评测达标网络单元数量评测未达标网络单元评估仍存在安全隐患的网络单元已整改网络单元数量已制定整改计划网络单元数量已整改网络单元数量已制定整改计划网络单元数量移动通信网2级3级IP承载网2级3级支撑网2级3级网上营业厅2级3级域名系统2级3级4级注： 1“评测未达标网络单元”是指相应通信网络安全防护达标检查表中凡有一项检查项“未达标”的网络单元。2“评估仍存在安全隐患的网络单元”是指在风险评估工作中发现的，仍存在安全隐患的网络单元。33级包括3.1级和3.2级。3.本总结报告应形成如下评测未达标网络单元列表。表2 评测未达标网络单元列表序号评测未达标网络单元网络类型安全等级1.2.3.注: 1“评测未达标网络单元”是指相应通信网络安全防护达标检查表中凡有一项检查项“未达标”的网络单元。2本表行数不够可扩展。