Q/SY
中国石油天然气集团公司企业标准
Q/SY 10012—2018
网络安全检查规范
Inspection specification for network security
2018-12—25发布
2019－02－01实施
发布
中国石油天然气集团有限公司 Q/SY10012—2018
目 次
前言范围
1
2检查流程 2.1 工作准备 2.2工作实施 2.3工作总结 3检查要求 3.1 合规检查要求 3.2技术检查要求 4检查内容 4.1 主动检查内容 4.2 被动检查内容检查结果输出
5
检查结果说明问题整改附录A（资料性附录） 工作表单表样附录B（资料性附录） 网络安全检查报告模板
6 Q/SY10012—2018
前言
本标准按照GB/T1.1一2009《标准化工作导则第1部分：标准的结构和编写》给出的规则起草本标准由中国石油天然气集团有限公司信息管理部提出。 本标准由中国石油天然气集团公司标准化委员会信息技术专业标准化技术委员会归口。 本标准起草单位：中国石油勘探开发研究院、东方地球物理勘探有限责任公司。 本标准主要起草人冯梅。杨志贤、滕征岑，陈靓、王勇，吴强。于普。刘磊、褚智广，李青
朱军，陆佳妮，裴志宏，魏萍、柏东明、侯梅芳。
1I Q/SY10012—2018
网络安全检查规范
1范围
本标准规定了网络安全检查工作的检查流程。检查要求、检查内容。检查结果输出，检查结果说明、问题整改。
本标准适用于中国石油天然气集团有限公司（以下简称“集团公司”）及所属企事业单位开展网络安全检查相关工作。
本标准适用于集团公司及所属企事业单位负责信息安全工作的实施者和其他实施安全检查工作的相关人员。
2 检查流程 2.1 1工作准备 2.1.1工作启动
检查工作开展前应明确背景。目标。原则、依据，确定检查工作任务。 2.1.2 工作调研
工作调研内容包括： a）明确范围：应根据任务要求。调研和梳理被检查单位的关键业务。确定支撑关键业务运行的
基础设施，明确检查工作计划，范围及检查内容。 b）调研内容：应对被检查单位开展调研，要求被检查单位提供的内容包含但不限于：
1）单位信息及组织架构： 2）被检查单位的信息系统，数据库，服务器，网络，终端，IP地址分配等基本信息 3）管理运维人员。管理制度。应急响应制度等： 4）安全防护基本情况，曾发生的网络安全事件情况： 5）近一年内技术检测及网络安全事件情况。
2.1.3 3方案制定
应结合被检查单位情况，编制检查方案。内容须包含但不限于： a）检查范围、对象、时间、进度安排。 b）检查内容及实施方法。 c）风险管控措施。 d）人员安排及管理制度。 e）被检查单位需配合事项清单。
I Q/SY 10012—2018
2.2工作实施
2.2.1实施准备
如果检查活动委托外部安全服务机构进行，应满足如下条件 a）外部安全服务机构应具备相关资质，并签署保密协议。 b）检查发起单位应提供检查所必要的检测环境及条件。
2.2.2 实施执行
主要包括合规检查、技术检测和分析评估三个主要环节相关工作和内容。 2.2.3 现场确认
应就发现的主要问题和隐患与被检查单位确认检查结果。 2.2.4 风险控制
检查工作实施过程中应采取相应的风险控制措施，需包含但不限于： a）信息泄露风险。操作风险，进度风险等风险场景及其相应的规避措施。 b）尽可能小地影响网络和信息系统的正常运行，避免对信息系统的运行和业务的正常提供产生
显著影响（包括系统性能明显下降、网络拥塞、服务中断等）。
2.3工作总结 2.3.1 风险研判
应对检查过程中发现的安全问题及风险隐患进行研判，对网络和信息系统的安全防护能力予以分析。 2.3.2 报告编制
编制检查报告，内容需包合含但不限于： a）检查结果。 b）安全问题及分析。 c）安全态势分析。 d）整改建议。
2.3.3结果反馈
检查工作结果应向检查工作归口单位反馈，并向被检查单位通报，
3检查要求
3.1 合规检查要求
合规检查工作应坚持客观公正。高效透明的原则，采取科学的检查方法，规范流程，控制风险，如实反映检查结果。
2 Q/SY 10012—2018
3.2技术检查要求
3.2.1主动检查工具要求
主动检查工具要求包括： a）检查发起方应向被检查单位声明技术检查中可能需要的工具。 b）检查发起方应确保工具本身不得存在恶意程序、漏洞及其他安全缺陷。 c）对于检查工具可能产生的风险要在检查方案中明确指出，并给出风险规避和应急处置措施。
3.2.2主动检查过程要求
主动检查过程要求包括： a）被检查单位应提供满足检查工作要求的网络环境和办公场地 b厂被检查单位应配合提供完成检查工作需要的必要信息。 ）检查发起方在检查前应全面评估可能造成的风险，尽可能避免因技术检查对网络和信息系统
运行造成不良影响。 d）检查发起方在实施技术检查的过程中，及时删除检查痕迹，若存在无法删除的痕迹，应在报
告中明确指出。
3.2.3被动检查设备安全要求
检查发起方所便用的检查设备应满足国家信息安全产品技术标准及安全审查的安全要求，设备本
身不得存在恶意程序，漏洞及其他安全缺陷。 3.2.4被动检查数据安全要求
检查发起方应能保证检查期间在采集、传输、存储、分析、销毁等全生命周期的数据安全，避免发生数据泄露的风险。 3.2.5被动检查能力要求
检查发起方应建立事件和风险识别程序，分析手段应能满足但不限于：特征检测。行为检测、内容检测。基线检测，流量检测等。 3.2.6被动检查工作要求
检查发起方与被检查单位协商确定检查设备部署方案，明确检查的时间、内容和范围。
4检查内容
4.1主动检查内容 4.1.1信息收集
通过调研询问、网络采集。工具扫描。搜索引擎等方式，最大限度地收集被检查单位的相关信息。输出《信息收信表单》（模板参见附录A）信息收集的信息类型包括但不限于：
a）IT资产信息（网络拓扑图，子网划分情况，IP地址清单，相关域名，子域名等）。 b）安全防护情况（网络安全产品部署情况、安全策略配置情况、安全检测评估报告等）。 c）被检查单位的人员信息（组织架构、岗位设置，人员姓名、手机。邮箱等）。
3 Q/SY 10012—2018
4.1.2漏洞扫描
漏洞扫描是基于漏洞数据库，使用扫描工具对被检查单位实施远程或本地网络和系统进行脆弱性测，以发现可利用的漏洞。安全扫描的类型应包括但值不限于：端口服务扫描，主机漏洞扫描，Wel 应用漏洞扫描，安全配置核查等。 4.1.3漏洞验证
通过使用漏洞验证工具或手工，验证漏洞扫描过程中发现的各类漏洞。使用专业检测工具对各类常见漏洞进行检测和测试。常见漏洞包括但不限于：操作系统漏洞，注人漏洞，XSS漏洞，CSRF 口令漏洞、文件上传漏洞、敏感信息泄露、路径遍历、使用含有漏洞的组件、新近重大高危漏洞等。 4.2被动检查内容 4.2.1漏洞利用攻击监测
监测是否存在成功或者尝试利用系统漏洞攻击的行为。通过识别数据报文中利用已知漏洞的攻击数据特征可对漏洞利用攻击进行识别。 4.2.2病毒蠕虫攻击监测
监测是否存在病毒螨虫攻击行为，利用实时更新的病毒库、虫库等信息识别恶意代码，发现各类病毒。木马。蠕虫及其变种。 4.2.3木马后门攻击蓝测
监测是否已经被植人木马后门：是否存在木马后门攻击行为，包括HTTP，DNS等常用协议建立的可疑隐蔽后门通信通道，通过隐蔽通道向外发送敏感信息等各种攻击行为。 4.2.4Web应用攻击和漏洞监测
监测针对网站服务器和应用系统的攻击行为。监测的攻击类型包括SQL注人，跨站脚本攻击。 目录遍历等基于Web的攻击等。
5检查结果输出
网络安全检查结果最终以报告的形式输出。输出《网络安全检查报告》（模板参见附录B）。报告应包括被检查单位基本情况描述，具体为：被检查单位的定义描述。主要核心资产情况。核心业务情况、面临的主要威胁和系统安全能力的描述情况等。
6检查结果说明
对检查中发现的主要问题进行说明，包含了合规检查，技术检测，监控分析的结果。其中： a）要根据合规检查结果对被检查单位是否合规下结论。对不符合的项进行详细的说明和描述。 b）要根据技术检测结果对被检查单位的主要安全漏洞和隐惠。面临的安全风险进行说明，对检
测中发现的具体安全问题进行描还。 c）根据监测分析结果对被检查单位的主要安全威胁。安全漏洞和隐惠进行说明，对监测分析中
发现的具体安全问题进行描还。
4