计算机信息网络安全检查项目表.doc
《计算机信息网络安全检查项目表.doc》由会员分享,可在线阅读,更多相关《计算机信息网络安全检查项目表.doc(11页珍藏版)》请在咨信网上搜索。
(word完整版)计算机信息网络安全检查项目表 计算机信息网络安全检查项目表 类别 要求 检查内容 For personal use only in study and research; not for commercial use 检查要求 备注 安全管理组织 是否建立信息网络安全管理组织。 1、检查是否组建信息网络安全管理机构。 有信息网络安全管理机构成立的正式文件、会议记录。 2、信息网络安全组织是否报公安公共信息网络安全监察部门备案。 报公安公共信息网络安全监察部门备案。 3、安全组织组成人员是否参加过同级公安机关组织的安全培训。 安全组织人员应定期参加公安公共信息网络安全监察部门组织的安全培训. 安全管理人员 是否有专职的信息网络安全管理人员。 1、安全员、安全监督员、信息审查员是否经过公安公共信息网络安全监察部门的培训,是否持证上岗。 应接受过公安机关的安全培训,同时必须持自治区公安厅、人事厅颁发的证书上岗。 2、对职工进行信息网络安全培训及考核情况。 应定期对单位职工进行信息网络安全教育和培训。 安全管理制度 是否建立信息网络安全管理制度。 1、计算机机房安全管理制度。 有严格的管理制度。 2、安全责任制度. 有严格的管理制度。 3、网络安全漏洞检测和系统升级管理制度。 有严格的管理制度。 4、操作权限管理制度. 有严格的管理制度。 5、用户登记制度. 有严格的管理制度。 6、安全事件报告制度 有严格的管理制度。 7、信息网络安全突发事件应急方案。 有方案 用户/单位备案情况 应向公安机关网监部门提供安全保护管理所需信息、资料及数据文件。 1、是否填写《中华人民共和国计算机信息网络国际联网备案表》,并到同级公安机关公共信息网络安全监察部门备案。 应备案 2、提供网络拓扑图. 提供 3、对信息网络安全保护工作有档案记录。 有 4、发现信息网络案件及时向公安机关报告。 有 环境安全 系统中心机房应满足国家标准GB50174-1993《电子计算机机房设计规范》、GB2887-2000《电子计算机机场地通用规范》、GB9361-1988《计算站场地安全要求》的要求。 检查机房是否在场地、防火、防水、防震、电力、布线、配电、温度、湿度、防雷、防静电等方面达到相应标准要求. 达到相应机房标准. 设备安全 信息系统中心机房应采用有效的身份鉴别系统(例如电子门控系统、IC卡、电视监视系统等)。 检查是否安装了身份鉴别系统. 已安装 2、检查是否记录出入人员的相关信息。如:身份、日期、时间等。 能记录 媒体安全 应保证重要或涉密媒体安全 检查是否根据软盘、硬盘、光盘等介质各自的使用情况、使用寿命及系统的可靠性等级,制定预防性维护、更新计划. 有计划 应保证媒体数据安全 检查是否对软盘、硬盘、光盘等介质中的重要或涉密数据进行销毁. 有 备份与恢复 系统的主要设备、软件、数据、电源等应有备份. 1、检查主要服务器、电源是否有备份,重要设备是否采取备份措施。 有备份及备份措施 2、检查主要系统软件、应用软件等是否采取备份措施。 有备份措施 3、检查数据信息是否有备份。 有 备份与恢复 备份系统应具有在较短时间恢复系统运行的能力。 根据系统的性质,检查系统是否具有在指定时间内恢复系统功能以及重要数据的能力. 有 根据系统的重要程度和涉密程度不同,可酌情考虑. 重要信息系统的数据应具备异地备份。 检查重要信息的数据是否进行了异地备份,备份数据的存放应不在同一建筑物内。 有符合要求的异地备份。 病毒的检测与清除 应采用经公安部批准的查毒杀毒软件。 1、检查所采用的查、杀毒软件是否获得销售许可证。 获得 2、检查所采用的查、杀毒软件和病毒样本库是否是最新版本. 是最新版本 应适时进行包括服务器和客户端的查毒、杀毒。 1、抽查服务器或客户机是否安装实时查毒、杀毒软件,验证其是否具有实时功能。 有实时功能 2、检查是否对服务器或客户机定期查毒、杀毒。 有相应规定 3、检查对染毒次数、杀毒次数、杀毒结果所做的记录. 有记录 应制定严格的防病毒制度。 1、检查是否有针对病毒防治的规章制度。 有规章制度 2、规章制度应包括对查、杀毒软件的使用规定、定时查毒的周期时间、控制病毒来源的具体措施等主要条款,对其中某些具体项目进行检查。 有相应条款 鉴别次数 应规定当不成功鉴别尝试达到规定次数时,系统所要采取的行动。 检查当某用户对系统的鉴别尝试失败次数连续达到三次或五次后,系统是否锁定该用户的账号,并只有安全管理员有权恢复或重建该账号,且将有关信息生成审计事件。 有相应的操作 主要针对被检单位的应用系统。 鉴别方式 根据信息的涉密等级制定不同的身份鉴别方式,其中包括采用口令方式、IC卡技术、一次性口令或生理特征等强身份鉴别。 检查系统的操作系统、数据库系统、业务应用系统等是否采用了口令、IC卡技术、一次性口令或生理特征等强身份鉴别. 根据信息的涉密等级确定不同的身份鉴别。 用户在规定时段内没有做任何操作和访问,系统应提供重鉴别机制。 验证系统是否具有此项功能。 有重新鉴别机制. 口令强度 根据系统的重要性和涉密等级,确定最短的口令长度。 验证操作系统数据库系统、业务应用系统等的口令长度是否符合要求。 至少不得少于八位字符。 口令保护 应采用组成复杂、不易猜测的口令,一般应是大小写英文字母、数字和特殊字符中两者以上的组合。 抽查若干客户机、数据库和服务器等鉴别口令,检查其是否符合要求. 是 口令保护 必须保证口令文件的安全 检查日志文件是否记录了对口令文件的任何操作。 有记录。 必须保证口令存 放载体的物理安 全. 1、检查用户是否将口令粘贴在机箱、显示器、键盘等明显的地方。 不能随意放置口令。 2、检查输入的口令字是否回显在显示终端上。 不回显。 系统口令更换周期不得长于一周,且应当有口令更换记录。 1、检查口令更换记录,或采用多次抽查方式。 按要求更换。 2、检查系统是否有口令有效期的检查功能。 有此功能 访问控制策略 应制定明确的访问控制策略 检查是否有相应的访问控制策略。 有访问控制策略 访问控制措施 局域网与互联网之间是否采用安全设备(防火墙等)进行防护,并实施访问控制。 1、检查是否使用了安全设备进行了边界防护. 应进行边界防护 2、检查安全设备访问控制设置是否符合系统访问控制策略. 符合系统访问控制策略 应保证访问控制规则设置的安全。 1、检查是否从技术上保证只有安全管理员有权设置或修改访问控制规则. 技术上有保证 2、检查审计日志中是否有对访问控制规则进行操作的记录。 有记录 3、检查访问控制规则是否有备份。 有备份 安全域划分 应根据信息密级和信息重要性划分系统安全域。 1、检查是否利用了系统的网络结构,如广域网、局域网、物理子网和逻辑子网等可靠方法,并按信息密级和信息重要性进行系统安全域划分. 有安全域划分 2、检查安全域划分是否符合系统访问控制策略。 符合系统访问控制策略 3、验证安全域划分是否正确。 正确 同一安全域中应根据信息的密级、重要性和授权进行划分。 1、检查是否采用VLAN、域、组等方式对同一安全域进行进一步划分。 有逻辑划分 2、检查其是否符合系统访问控制策略。 和策略相符合 3、验证其划分的正确性。 正确 安全域划分 处理重要或涉密信息的系统,应当能够检测并记录侵权系统的事件和各种违规操作,并及时自动警告. 1、检查能否定义异常事件,如:猜测口令。 能定义 2、检查是否设定告警条件。 已设定 3、检查能否及时自动告警且能否足以提醒安全管理员有安全事件发生。 能报警且有足够提示 4、检查在自动告警时是否定义了告警内容及管理员应采取的措施。 已定义 审计形式 处理重要或涉密信息系统可采用独立或综合审计系统。 检查是否将各服务器、安全设备及数据库等的审计信息进行记录,供系统安全管理员审查。 采用审计系统 日志内容 审计日志应记录用户每次活动(访问时间、地址、数据、设备等)以及系统出错和配置修改等信息。 1、检查审计日志中是否记录审计事件发生的日期和时间、主体身份、事件类型、事件结果(成功或失败) 有相应审计事件记录 2、检查是否记录以下重要审计事件:鉴别失败、系统配置修改、用户权限修改等。 有相应审计事件记录 处理重要或涉密信息的系统,应当能够检测并记录侵权系统的事件和各种违规操作,并及时自动警告。 1、检查能否定义异常事件,如:猜测口令. 能定义 2、检查是否设定告警条件。 已设定 3、检查能否及时自动告警且能否足以提醒安全管理员有安全事件发生。 能报警且有足够提示 4、检查在自动告警时是否定义了告警内容及管理员应采取的措施。 已定义 日志保护 应保证审计日志的保密性和完整性。 1、检查是否设置了审计日志的访问权限. 设置了访问权限 2、检查是否定期备份审计日志。 有定期备份 3、通过审计日志的增、删等方法检查审计系统对审计日志能否提供完整性保护。 有完整性保护 审计系统应具有存储器将满的告警和保护措施以防止审计数据的丢失. 1、检查能否为审计日志设定存储空间大小。 能 2、检查当审计存储空间将满时,能否自动提醒系统管理员采取措施。 能 应保证审计不被旁路防止漏记审计数据。 通过加入案例等方式检查审计功能是否能正确实现。 能正确实现 审查日志 系统安全管理员应定期审查系统日志。 检查安全管理员是否定期查看审计日志,并有相应的记录. 有相应记录 审查日志 审查记录不得更改、删除。 1、检查审查记录能否被修改。 不能修改 2、检查审查记录是否能被非授权的删除和丢弃. 不能随意删除和丢弃 重要或涉密系统审查周期不得长于一个月。 检查相应的审查记录 相应审查记录的间隔不长于一个月 检测工具 应采用公安部批准使用的检测工具对系统进行安全性能检测. 1、检测是否有能对系统进行安全性能检测的检测工具。 有检测工具 根据系统的重要程度和涉密程度不同,可酌情考虑. 2、检查采用的检测工具是否经过国家公安部批准。 经过批准 检测工具版本应及时更新。 根据已批准使用的检测工具列表及其最新版本号进行核对检查。 是最新版本 检测制度 应制定完善的安全性能检测制度,保证检测制度化。 1、检查制度中是否规定安全性能检查的周期、范围、方式、参加人员、使用的工具、依据的标准等内容. 制度中有相关内容 检测制度 2、检查安全性能检测是否保存记录。 有相应记录 安全管理员应定期对系统进行检查、发现漏洞及时弥补. 1、根据检测制度查看检测记录是否符合制度规定,包括检查周期、范围、发现的问题、纠正情况等记录是否全面。 记录符合制度规定 2、对检查中发现的问题进行检查,验证改正情况。 问题已改正 3、检查产品是否经过认证。 有相应证明 计算机信息网络安全检查联系表 单位名称: 部门名称 部门领导 联系电话 安全员 联系电话 邮箱 不得用于商业用途 仅供个人用于学习、研究;不得用于商业用途。 For personal use only in study and research; not for commercial use. Nur für den persönlichen für Studien, Forschung, zu kommerziellen Zwecken verwendet werden. Pour l 'étude et la recherche uniquement à des fins personnelles; pas à des fins commerciales。 только для людей, которые используются для обучения, исследований и не должны использоваться в коммерческих целях. 以下无正文- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机信息 网络安全 检查 项目
咨信网温馨提示:
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【二***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【二***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【二***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【二***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
关于本文