附件：2022年集团公司网络安全及关键信息基础设施检查工作方案

年集团公司网络安全及关键信息基础2022设施检查工作方案编制单位贵州省水利投资（集团）有限责任公司年月日

20227253.

1.2检查通过对重要系统开发与运行的相关文档、软件配置、硬件条件的检查，了解该系统的安全态势、风险管理和控制计划及其执行情况、紧急响应能力、信息安全的培训工作等情况，从中找出安全漏洞或弱点

3.

1.3测试＞手工测试本次评估将采用手工测试，进一步了解操作系统、数据库系统、应用系统、网络/安全设备的特点和安全状况并对通过其它方式搜集的信息进行印证和修正，从而保证信息的准确性＞自动工具测试自动工具的使用可快速发现系统的弱点，在短时间内收集大量的脆弱性信息，大大提高评估效率本次评估将使用自动扫描工具进行弱点探测

3.

1.4人工分析通过安全专业人员的分析来保证评估的有效性

3.2评估工具评估工具包括文档模板与自动化工具，前者包括调查问卷、现场调查表或评估表等，后者包括自动扫描及测试工具、自动分析评价工具等

3.

2.1系统漏洞扫描全面的漏洞检测，涵盖了常见操作系统、数据库、网络设备和应用程序的绝大多数可以远程利用的存在的安全漏洞、安全配置问题、应用系统安全漏洞，检查系统存在的弱口令，收集系统不必要开放的账号、服务、端口，全面的检测网站系统资产的安全漏洞隐患，给予详细的风险分析并采用权威的风险评估模型将风险量化2WEB漏洞扫描通过Web漏洞扫描，检测Web应用存在的安全隐患，如注入攻击、跨站脚本、文件包含、钓鱼攻击、信息泄漏、恶意编码、表单绕过等•深度扫描以WEB漏洞风险为导向，通过对WEB应用（包括WEB

2.

0、JAVAScript.FLASH等）进行深度遍历，以安全风险管理为基础，支持各类WEB应用程序的扫描•WEB漏洞检测提供有丰富的策略包，针对各种WEB应用系统以及各种典型的应用漏洞进行检测（如SQL注入、Cookie注入、XPath注入、LDAP注入、跨站脚本、代码注入、表单绕过、弱口令、敏感文件和目录、管理后台、敏感数据、第三方软件等）网页木马检测・对各种挂马方式的网页木马进行全自动、高性能、智能化分析，并对网页木马传播的病毒类型做出准确剖析和网页木马宿主做出精确定位

3.

2.2渗透测试渗透测试，也叫白客攻击测试，它是一种从攻击者的角度来对主机系统的安全程度进行安全评估的手段，在对现有信息系统不造成任何损害的前提下，模拟入侵者对指定系统进行攻击测试渗透测试通常能以非常明显，直观的结果来反映出系统的安全现状该手段也越来越受到国际/国内信息安全业界的认可和重视为了网站系统的安全现状，在许可和控制的范围内，将对网站系统进行渗透测试渗透测试将作为安全评估的一个重要组成部分测试范围渗透测试的范围为授权的网站，检查小组承诺不会对授权范围之外的主机及网络设备进行测试和模拟攻击本项测试内容以抽样测试的方式进行，在实施中具体协商注所有白客攻击测试将在客户的授权和监督下进行客户职责指定需要进行测试的设备，安排测试时间渗透测试流程图渗透测试流程图客户委托是检查小组进行渗透测试的必要条件检查小组将尽最大努力做到使客户对渗透测试所有细节和风险的知晓、所有过程都在客户的控制下进行这也是检查小组的专业服务与黑客攻击入侵的本质不同信息收集分析几乎是所有入侵攻击的基础“知己知彼,百战不殆“，信息收集分析就是完成的这个任务通过信息收集分析，攻击者（测试者）可以相应地、有针对性地制定入侵攻击的计划，提高入侵的成功率、减小暴露或被发现的几率信息收集的方法包括主机网络扫描、端口扫描、操作类型判别、应用判别、账号扫描、配置判别等等入侵攻击常用的工具包括nmap、nessus、APPSACN.AWVS等，有时，操作系统中内置的许多工具（例如telnet）也可以成为非常有效的攻击入侵武器通过收集信息和分析，存在两种可能性，其一是目标系统存在重大弱点测试者可以直接控制目标系统，这时测试者可以直接调查目标系统中的弱点分布、原因，形成最终的测试报告；其二是目标系统没有远程重大弱点，但是可以获得远程普通权限，这时测试者可以通过该普通权限进一步收集目标系统信息接下来，尽最大努力获取本地权限，收集本地资料信息，寻求本地权限升级的机会这些不停的信息收集分析、权限升级的结果构成了整个渗透测试过程的输出渗透测试结果输出渗透测试的结果将以报告（《渗透测试报告》）的形式提交，渗透测试也将作为综合安全评估的一个重要数据来源系统备份与恢复措施为防止在渗透测试过程中出现的异常的情况，所有被评估系统均应在被评估之前作一次完整的系统备份或者关闭正在进行的操作，以便在系统发生灾难后及时恢复•操作系统类制作系统应急盘，对系统信息，注册表，sam文件，/etc中的配置文件以及其他含有重要系统配置信息和用户信息的目录和文件进行备份，并应该确保备份的自身安全•数据库系统类对数据库系统进行数据转储，并妥善保护好备份数据同时对数据库系统的配置信息和用户信息进行备份•网络应用系统类对网络应用服务系统及其配置、用户信息、数据库等进行备份•网络设备类对网络设备的配置文件进行备份•桌面系统类备份用户信息，用户文档，电子邮件等信息资料检查小组测试工程师会与检查负责人保持良好沟通随时协商解决出现的各种难题工作阶段4本次安全评估分工作准备、协调会、实施评估、改进建议、及项目总结五个阶段，各个阶段工作定义说明如下•项目准备项目实施前期工作，确定检查对象，确定配合人员•协调会政策宣贯，被抽查单位重要系统负责人或管理人员介绍系统安全防护情况，检查评估小组介绍相关事宜•实施检查采用前面描述的评估方法，从安全技术检查、安全管理检查、工具检测三个方面实施系统安全检查，形成系统安全检查报告•改进建议根据评估的结果，参照相关标准或最佳实践，确定完善信息系统安全管理需要进行的主要工作，对具体实施内容进行综合分析，提出改进建议与实施规划•检查工作总结完善检查成果、进行检查总结风险控制5由于检查过程中会涉及大量系统业务及系统相关的敏感信息，同时也会针对重要系统使用多种攻击性检测工具，因此检查可能会给系统安全带来一定的潜在威胁，对此主要采取以下控制措施

1.所有参与本次安全检查的工作人员规定签署保密协议，进行保密教育

2.在检查实施前，对重要系统的重要数据，如关键设备配置、系统重要数据等，根据检查活动可能带来的风险大小，做好相应的备份，保证能够快速恢复系统

3.根据评估活动可能带来的各种威胁及风险，做好相应的应急预案

4.挑选具有丰富经验的技术人员参与技术测试，避免因操作失误而造成重要信息系统系统故障前期准备事项6前期准备能够有效地节约检查过程中的信息收集时间，是检查项目能够实时有效完成的重要手段

6.1硬软件准备如有:序号准备内容指定一名协调人员负责协调各方面资源配合检查1工作详细的网络拓扑图（符合实际运行情况，包括IP、2端口、设备型号等信息）准备好网络设备、安全设备、服务器等设备的登陆3信息以备检查人员使用提供至少3个可达所有设备的IP地址以便渗透及4扫描人员使用5提供扫描设备接入点（包括网口、电源等）

3.

3.

3.

3.

3.

3.

6.215概述1为切实做好党的二十大网络安全保障工作，进一步落实网络安全工作责任，有效提升本单位网络安全保障能力和防护水平，加强全体员工的安全防范意识，保护省水投集团公司相关业务系统安全稳定运行，确保省水投集团公司的正常秩序，及时在全公司范围内深入开展二十大期间的网络安全保障活动，妥善处理各种突发网络事件，按照统一领导，分级负责，密切协同、快速反应、科学处置，“谁主管谁负责,谁运行谁负责”的工作原则切实做好党的二十大期间省水投集团公司相关业务系统网络安全保障工作

1.1检查小组组长吴擎文副组长王根南、蒋薇成员朱晔、杨洋、郑思林、解天留、邱竞诚技术支撑人员李峥宇、徐婷、李卓、唐证云

1.2检查对象及检查时间2022年集团公司网络安全及关键信息基础设施检查计划被检查单位检查时间备注水投水务集团2022年8月1日930-1130水库管理公司2022年8月1日1430-1630渔业公司2022年8月2日1000-1100综管公司2022年8月2日1430-1530物资公司2022年8月2日1530-1630产业公司2022年8月3日930-1130咨询公司2022年8月3日1400-1500能源公司2022年8月3日1530-1630水务股份2022年8月4日930-1130资本公司2022年8月4日1430-1630智慧水利公司2022年8月5日930-1130马岭水库2022年8月8日930-1630黄家湾水库2022年8月9日930-1630都匀公司2022年8月10日930-1630黔中水库2022年8月11日930-1630夹岩水库2022年8月12日930-1630凤山水库2022年8月13日930-1630集团公司机房2022年8月14日930-

16301.3检查目标保障二十大期间网络安全隐患排查工作落到实处，彻底消除网络安全隐患，加强网络安全巡查力度针对技术检测、人员管理、运维管理、等级保护安全测评、应急预案、信息安全事件应急处置等维度进行检查，管控业务安全现状，提高安全监控能力及安全防护能力，确保网络安全零事故

1.4参考依据本次安全检查主要参考的依据包括

1.《中华人民共和国网络安全法》

2.《信息安全等级保护基本要求》

3.《中华人民共和国密码法》

4.《信息安全风险评估规范》GB/T20984——

20075.《信息系统安全管理要求》GB/T20269——

20066.《信息安全事件管理指南》GB/Z20985——

20071.5检查方式由集团技术质量中心牵头，智慧水利公司委托北京神州绿盟信息安全科技股份有限公司作为技术支撑单位进行现场安全检查，检查过程与检查结果将作为《2022年度XXX公司网络安全专项检查报告》反馈给接受检查的单位工作方案2安全检查小组接受检查重要系统负责人省集团公司技术维护人员质量中心第三方厂商支持支撑单位

2.1检查流程检查前协调会政策宣贯、介绍检查工作情况现场检查工作安排专业安全渗透工具访谈检查测试扫描检查后交流会检查结果主要问题通报以及大致改进建议现场检查结束文档整理、汇总

3.2检查内容本次检查内容包括信息系统的针对技术检测、人员管理、运维管理、等级保护安全测评、应急预案、信息安全事件应急处置，管控业务安全现状，安全物理环境、安全区域边界、安全通信网络、安全计算环境、安全管理中心、安全管理以及关键信息网络安全自查等

一、是否按照要求完成关键信息基础设施自查评估工作方案、网络安全自查评估工作方案报送工作

二、是否及时制（修）定网络安全事件应急预案，是否明确处置应对责任机构、指挥机制、相应流程、临机处置权限，明确应急技术支撑队伍及职责任务、响应时限方面的要求；

三、是否按照要求加入省水投网络安全与信息化QQ群；

四、是否严格落实网络安全工作责任制和“谁主管、谁负责”“谁运营、谁负责”要求，是否进一步完善网络安全管理制度；

五、是否明确所属信息系统负责网络安全保障工作的直接负责人、部门负责人、应急联系人检查评估方法3本次安全检查将通过调查访谈、现场检测、分析研究、漏洞扫描、渗透测试等手段评估系统存在的弱点，最后从重要系统安全技术、安全管理、安全检测三个方面评价系统的安全状况，给出整改建议

3.1评估手段本次安全评估将主要采用调查、检查、安全测试、分析等手段进行信息收集与安全分析评估＞调查根据提交系统业务现状及安全状况＞检查主要用于重要系统弱点分析，包括文档核查，执行检查,软硬件配置检查等＞测试主要用于弱点分析，包括手工测试、自动工具测试A人工分析主要用于资产分析、威胁分析、安全措施分析及安全评价

4.

1.1调查调查对象包括管理人员、开发人员、部署/配置人员等＞现场访谈与重要信息系统管理或开发员工面对面会谈调查工作需要重要信息系统相关部门的支持与帮助。