信息系统网络安全检查表
学校网络与信息安全检查表
学校网络与信息安全检查表学校网络与信息安全检查表一、网络设备与配置1.是否存在网络设备清单?2.是否制定了网络设备管理制度?3.是否有专门的负责网络设备配置的人员?4.是否对网络设备进行了定期维护和更新?二、网络访问控制1.是否对网络进行了适当的访问控制?2.是否制定了网络访问控制策略?3.是否对网络用户进行了身份验证?4.是否限制了对敏感信息的访问权限?5.是否安装了防火墙来保护网络安全?三、网络传输安全1.是否对网络通信进行了加密?2.是否采取了安全传输协议(如SSL、IPSec等)来保护数据传输安全?3.是否禁止了非法的网络传输行为(如P2P、BT等)?4.是否对网络通信进行了监控和审计?四、网站和应用程序安全1.是否存在网站和应用程序清单?2.是否对网站和应用程序进行了安全评估和漏洞扫描?3.是否制定了网站和应用程序安全管理制度?4.是否对网站和应用程序进行了定期更新和维护?五、信息安全教育与培训1.是否向师生进行了信息安全教育和培训?2.是否制定了信息安全管理制度?3.是否定期组织信息安全演练和应急演练?六、物理安全1.是否存在机房和服务器房的进出记录?2.是否采取了物理访问控制措施(如门禁系统、监控系统等)?3.是否对机房和服务器房进行了定期检查和维护?七、安全事件管理1.是否建立了安全事件管理制度?2.是否采取了安全事件监测、报告和处置机制?3.是否对安全事件进行了记录和分析?附件:1.网络设备清单2.网站和应用程序清单3.安全事件记录表法律名词及注释:1.信息安全:指对信息进行保密、完整性和可用性的保护。
2.访问控制:指限制用户或系统对资源的访问权限。
3.防火墙:用于在网络与外界之间建立安全防护的设备。
4.SSL(Secure Socket Layer):一种用于保护网络通信安全的协议。
5.IPSec(Internet Protocol Security):一种用于保护IP 数据传输安全的协议。
学校网络与信息安全检查表
学校网络与信息安全检查表学校网络与信息安全检查表一、网络设备与拓扑结构检查1、检查网络设备的数量和类型。
2、检查网络设备的配置和固件版本。
3、检查网络设备的物理连接和布局。
4、检查网络设备的访问控制列表(ACL)配置。
5、检查网络设备的用户认证和授权设置。
6、检查网络设备的日志记录和监控功能设置。
二、网络安全策略检查1、检查网络安全策略的制定和更新情况。
2、检查网络防火墙和入侵检测系统的配置。
3、检查网络访问控制列表的设置和更新情况。
4、检查网络安全域的划分和隔离情况。
5、检查网络安全策略的培训和宣传情况。
三、网络用户权限管理检查1、检查网络用户账号的创建和终止管理。
2、检查网络用户账号的权限控制和分配情况。
3、检查网络用户密码的复杂性和定期更新要求。
4、检查网络用户账号的登录日志和监控情况。
5、检查网络用户权限管理的培训和宣传情况。
四、信息安全保护检查1、检查敏感信息和个人隐私的保护措施。
2、检查敏感信息访问控制和审计跟踪措施。
3、检查数据备份和恢复策略的制定与执行情况。
4、检查网络安全事件和漏洞的监测和应对措施。
5、检查信息安全保护的培训和宣传情况。
五、网络安全事件响应检查1、检查网络安全事件的报告和记录情况。
2、检查网络安全事件的紧急响应计划和组织情况。
3、检查网络安全事件的调查和处理程序。
4、检查网络安全事件的恢复和归档情况。
六、附件1、网络设备清单2、网络安全策略文件3、用户权限管理文件4、信息安全保护文件5、网络安全事件响应文件法律名词及注释:1、网络设备:指用于实现网络连接和数据传输的硬件设备,如路由器、交换机等。
2、ACL(访问控制列表):用于控制网络设备的数据包转发和访问策略。
3、防火墙:用于保护网络免受未经授权的访问和恶意攻击。
4、入侵检测系统:用于监测和报警异常网络活动和入侵行为。
5、用户认证和授权:用于验证用户身份并授予相应的网络访问权限。
6、日志记录和监控:用于记录网络设备和用户活动,并进行实时监控和分析。
网络信息安全检查表(Word)
网络信息安全检查表(Word)网络信息安全检查表一、网络设备安全检查1\路由器安全检查1\1 检查路由器是否使用了默认的管理用户名和密码。
1\2 检查路由器固件是否是最新版本。
1\3 检查路由器是否开启了防火墙功能。
1\4 检查路由器是否开启了远程管理功能。
1\5 检查路由器的无线网络是否加密,并且使用了强密码。
2\防火墙安全检查2\1 检查防火墙是否开启了所有必要的端口。
2\2 检查防火墙是否配置了入站和出站规则。
2\3 检查防火墙是否配置了 IDS/IPS 功能。
2\4 检查防火墙的日志记录是否开启。
2\5 检查防火墙是否定期更新了规则库。
3\交换机安全检查3\1 检查交换机是否开启了端口安全功能。
3\2 检查交换机是否配置了 VLAN。
3\3 检查交换机是否启用了 STP。
3\4 检查交换机是否开启了端口镜像功能。
3\5 检查交换机是否采用了安全的远程管理方式。
二、网络服务安全检查1\Web 服务器安全检查1\1 检查 Web 服务器是否使用了最新版本的软件。
1\2 检查 Web 服务器是否安装了必要的安全补丁。
1\3 检查 Web 服务器的配置文件是否安全。
1\4 检查 Web 服务器的访问日志是否开启。
1\5 检查 Web 服务器是否配置了 SSL/TLS 加密。
2\数据库服务器安全检查2\1 检查数据库服务器是否使用了最新版本的软件。
2\2 检查数据库服务器是否安装了必要的安全补丁。
2\3 检查数据库服务器是否开启了必要的认证和授权机制。
2\4 检查数据库服务器的访问日志是否开启。
2\5 检查数据库服务器是否配置了合理的备份策略。
3\邮件服务器安全检查3\1 检查邮件服务器是否使用了最新版本的软件。
3\2 检查邮件服务器是否安装了必要的安全补丁。
3\3 检查邮件服务器是否配置了合理的反垃圾邮件机制。
3\4 检查邮件服务器是否开启了合理的认证和授权机制。
3\5 检查邮件服务器的访问日志是否开启。
网络安全检查表
网络安全检查表一、网络架构与拓扑安全1.网络边界防护1.是否部署了防火墙,且防火墙规则是否定期审查和更新,以阻止未经授权的网络访问?2.是否存在网络入侵检测系统(IDS)/ 入侵防御系统(IPS),并检查其是否正常运行,是否及时更新特征库?3.对于网络边界的无线接入点,是否采取了强加密措施(如WPA3或更高级别),并限制了可连接的设备MAC 地址?2.网络分段1.关键业务系统与其他非关键系统是否进行了有效的网络分段,以防止安全事件的横向扩散?2.不同部门或用户组之间的网络访问是否根据最小权限原则进行了精细的访问控制?3.网络拓扑冗余1.核心网络设备(如路由器、交换机)是否具备冗余电源模块,以防止因电源故障导致网络中断?2.是否采用了冗余网络链路(如双线接入、链路聚合等),确保网络的高可用性?3.网络拓扑图是否准确绘制并及时更新,以便于网络故障排查和安全管理?二、网络设备安全1.设备登录安全1.网络设备的管理员账号是否采用了强密码策略,包括密码长度、复杂性要求,并定期更换密码?2.是否启用了多因素身份验证(MFA)来增强管理员登录的安全性?3.设备的远程登录(如SSH、Telnet)是否限制了可访问的IP 地址范围?2.设备漏洞管理1.是否定期对网络设备进行漏洞扫描,及时发现并修复已知的安全漏洞?2.网络设备的操作系统和固件是否保持最新版本,是否遵循厂商的安全更新建议?3.设备配置备份与恢复1.是否定期备份网络设备的配置文件,并存储在安全的位置?2.是否验证过配置备份的完整性和可恢复性,以确保在设备故障或配置错误时能够快速恢复正常运行?三、服务器与主机安全1.操作系统安全1.服务器和主机的操作系统是否安装了最新的安全补丁和更新?2.是否启用了操作系统的内置防火墙,并根据业务需求合理配置了访问规则?3.是否禁用了不必要的系统服务和端口,以减少系统的攻击面?2.防病毒与恶意软件防护1.是否安装了可靠的防病毒软件和恶意软件防护工具,并保持其病毒库和特征库的实时更新?2.是否定期进行全盘病毒扫描,及时发现和清除潜在的恶意软件感染?3.是否对来自外部的移动存储设备进行严格的病毒查杀和访问控制?3.应用程序安全1.服务器上运行的应用程序是否经过安全评估和漏洞测试?2.是否及时更新应用程序到最新版本,以修复已知的安全漏洞?3.应用程序的用户认证和授权机制是否健全,是否遵循最小权限原则分配用户权限?4.主机监控与审计1.是否部署了主机监控系统,实时监测主机的CPU、内存、磁盘I/O、网络流量等关键性能指标?2.是否启用了操作系统的审计功能,记录用户的登录、操作等活动日志,并定期审查这些日志以发现异常行为?四、数据安全1.数据存储安全1.敏感数据是否采用加密存储方式,如全盘加密、数据库加密等?2.数据存储设备(如服务器硬盘、存储阵列)是否采取了冗余措施,以防止数据丢失?3.是否对数据存储区域进行了严格的访问控制,只有授权人员能够访问敏感数据?2.数据传输安全1.在网络中传输的敏感数据是否采用了加密传输协议(如HTTPS、SSL/TLS 等)?2.是否对内部网络中的数据传输进行了加密,以防止数据被窃取或篡改?3.数据备份与恢复1.是否制定了数据备份策略,包括备份频率、备份内容、备份存储位置等?2.是否定期进行数据备份,并验证备份数据的完整性和可恢复性?3.是否进行了数据恢复演练,确保在数据丢失或损坏时能够快速恢复数据?4.数据分类与分级1.是否对企业的数据进行了分类和分级,根据数据的重要性和敏感性采取不同的安全保护措施?2.是否明确了数据的所有者和保管者,以及他们在数据安全管理中的职责?五、用户与访问管理1.用户身份认证1.是否采用了强密码策略要求用户设置复杂密码,并定期提示用户更换密码?2.是否启用了多因素身份验证(MFA),特别是对于访问敏感系统和数据的用户?3.是否对用户账号进行了有效的管理,及时禁用或删除离职员工的账号?2.访问控制1.是否基于用户的角色和职责进行了最小权限分配,确保用户只能访问其工作所需的资源?2.是否定期审查用户的访问权限,及时调整和收回不必要的权限?3.对于特权用户(如管理员),是否采取了额外的访问控制措施,如审批流程、会话监控等?3.用户行为审计1.是否记录用户的登录、操作等行为日志,并对这些日志进行定期审查和分析?2.是否能够及时发现和告警异常的用户行为,如频繁登录失败、大量数据下载等?六、无线网络安全1.无线接入安全1.无线网络是否采用了强加密算法(如WPA3 或更高级别)进行加密?2.是否隐藏了无线网络的SSID,以防止被未经授权的用户发现?3.是否对无线接入点进行了物理安全保护,防止被篡改或盗用?2.无线设备管理1.是否定期更新无线接入点的固件版本,以修复已知的安全漏洞?2.是否对连接到无线网络的设备进行了身份认证和授权,限制非法设备的接入?3.是否对无线网络的信号强度和覆盖范围进行了合理调整,防止信号泄露到外部区域?七、应急响应与灾难恢复1.应急响应计划1.是否制定了完善的网络安全应急响应计划,明确了安全事件的响应流程、责任分工和处置措施?2.是否定期对应急响应计划进行演练和测试,确保相关人员熟悉应急响应流程?3.是否建立了安全事件报告机制,能够及时向上级领导和相关部门报告安全事件?2.灾难恢复计划1.是否制定了灾难恢复计划,包括数据备份恢复、系统切换、业务连续性保障等方面的措施?2.是否定期进行灾难恢复演练,验证灾难恢复计划的有效性和可行性?3.是否与外部的应急响应机构和合作伙伴建立了联系,以便在发生重大安全事件时能够获得及时的支持和援助?八、安全意识与培训1.员工安全意识教育1.是否定期开展网络安全意识培训,提高员工对网络安全威胁的认识和防范意识?2.是否向员工宣传网络安全政策和最佳实践,如密码安全、邮件安全、社交网络安全等?3.是否通过内部宣传渠道(如海报、邮件、内部网站等)持续强化员工的安全意识?2.安全培训效果评估1.是否对员工的安全培训效果进行了评估,如通过考试、问卷调查等方式了解员工对网络安全知识的掌握程度?2.是否根据培训效果评估结果,针对性地调整和改进安全培训内容和方式?九、第三方服务与供应链安全1.第三方服务提供商评估1.在引入第三方服务提供商(如云计算服务、外包运维服务等)之前,是否对其进行了安全评估和审查?2.是否与第三方服务提供商签订了安全协议,明确双方在数据安全、网络安全等方面的责任和义务?3.是否定期对第三方服务提供商的服务进行安全审计和监督?2.供应链安全管理1.是否对企业采购的网络设备、软件等产品的供应链进行了安全评估,确保产品来源可靠?2.是否关注供应链中的安全漏洞和风险信息,及时采取措施应对潜在的安全威胁?在使用本检查表进行网络安全检查时,应根据企业的实际网络环境和业务需求,对每个检查项进行详细的检查和评估,并记录检查结果。
网络信息安全检查表
制定了严格的规章制度,并认真落实(提供所有制度文档)。
保密承诺书
重要岗位、涉密岗位人员保密承诺书
是否签订,是否及时更新,新入岗、离岗人员均要签订保密承诺。
网络运行及关键安全设备情况
网络基本情况
防病毒系统
使用通过公安部及有关测评机构认证的防病毒系统,对病毒库及时升级,定期对全网进行病毒查杀。(提供测评资质复印件,病毒库是最新发布的)
其他技术措施
信息安全产品和网络产品
进行了安全配置(要有配置文档)
信息安全测试
现场技术测试
漏洞扫描测试
扫描网络设备(交换机、路由器、防火墙等)、服务器、操作系统和数据库是否存在漏洞
采取口令、智能卡、数字证书或生物识别等鉴别机制,并对口令等鉴别机制制定了详细的管理措施
主机安全
多余默认账号和无关服务
多余默认账号和无关服务必须关停
(续)
类 别
检查项目
检查内容
检查要求
网络与信息安全技术防范措施
操作系统和防病毒系统
操作系统更新和升级
定期对操作系统进行更新和升级,打漏洞补丁(检查操作系统漏洞情况)
涉密计算机和人员
确定涉密计算机和人员,并进行严格管理(提供设备、人员文档)
涉密信息和敏感信息保护措施
按照保密管理规定对涉密信息和敏感信息采取了合理的保护措施;对于涉密文档使用基于密级标识的访问控制策略
身份认证、授权管理和访问控制
授权管理和访问控制
制定详细的授权管理和访问控制策略(提供文档)
身份鉴别措施
网络使用情况
网络设计使用符合相关规定要求。
信息系统网络安全检查表(同名18164)
时间:年月日
被检单位名称
单位地址
负责人
联系
联网情况
接入方式〔服务商〕 _______________________
账号〔 〕 _____________________________
联网主机数 _______________________________
IP地址 ___________________________________
在测试验收前应根据设计方案或合同要求等制订测试验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告
应组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认
访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作
安全审计
应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计
应保证无法删除、修改或覆盖审计记录
审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等
通信完整性
应采用校验码技术保证通信过程中数据的完整性
通信保密性
岗位设置
应设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责
应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责。
人员配备
应配备一定数量的系统管理员、网络管理员、安全管理员等安全员、各类管理人员应经过公安公共信息网络安全监察部门的培训,持公安厅、人事厅颁发的培训证书持证上岗。
应保证接入网络和核心网络的带宽满足业务高峰期需要;
应绘制与当前运行情况相符的网络拓扑结构图;
应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。
网络安全检查表模板
网络安全检查表模板网络安全检查表一、部门基本情况部门(单位)名称:分管网络安全工作的领导(如副厅长):网络安全管理机构(如办公室):网络安全专职工作处室(如信息中心、网络安全科等):网络安全从业人员:①姓名:②职务:①名称:②负责人:职务:③联系人:办公移动①名称:②负责人:办公移动①本单位网络安全从业人员总数。
其中有网络安全从业资格的人员数量:②网络安全从业人员缺口:二、信息系统基本情况①信息系统总数:②网络连接情况信息系统情况可以通过互联网访问的系统数量。
不能通过互联网访问的系统数量。
③面向社会公众提供服务的系统数量:④本年度经过安全测评的系统数量:互联网接入口总数:互联网接入情况接入XXX接入口数量:接入带宽:MB接入XXX接入口数量:接入带宽:MB其他:XXX接入口数量:1 接入带宽:8MB第一级:个第二级:个第三级:个已开展年度测评个测评通过率系统等级保护情况第四级:个已开展年度测评个测评通过率第五级:个已开展年度测评个测评通过率未定级:个三、网络安全日常管理情况①岗位网络安全责任制度:□已建立□未建立②重点岗位人员安全保密协议:□全部签订□部分签订□均未签订③人员离岗离职安全管理规定:□已制定□未制定④外部人员访问机房等重要区域审批制度:□已建立□未建立①资产管理制度:□已建立□未建立②设备维修维护和报废管理:资产管理□已建立管理制度,且记录完整已建立管理制度,但记录不完整未建立管理制度规划制定情况(单选):制定了部门(单位)的网络安全规划在部门(单位)总体发展规划中涵盖了网络安全规划无四、网络安全防护情况①网络安全防护设备部署(可多选)防火墙□入侵检测设备□安全审计设备网络边界安全防护防病毒网关□抗拒绝服务攻击设备其他:②设备安全策略配置:□使用默认配置□根据需要配置③网络访问日志:□留存日志□未留存日志①本单位使用无线路由器数量:②无线路由器用途:访问互联网:个访问业务/办公网络:个无线网络安全防护③安全防护策略(可多选):采取身份鉴别措施□采取地址过滤措施未设置安全防护策略2.品牌和操作系统情况总台数为23,包括终端计算机(含笔记本)。
网络信息系统安全检查表
统
4.是否在核心交易业务网和非核心交易业务 网之间米取了有效的隔离举措,保证在外围 系统被攻击的情况下,核心交易业务网能够 平安运行
口是□否
2.交易
业务系
统维保
是否制订了交易业务系统主机、存储设备、 网络设备的监控和维保方案,并有监控维保 记录
口是□否
3.系统
评估
公司内部是否对交易业务系统的可靠性和安 全性有定期评估制度,并有评估报告
受检查单
位部门
检查日期
检查小组
成员名单
检查小组组长 签字
受检单位
技术负责
人签字
受检单位负责
人签字
检查情况
备注
检查工程
检查内容
检查结果
备注
1
■
门
1.漏
洞、木
马、病
毒检测
1.是否安装了实时升级,在线扫描的木马、 病毒防护软件
口是□否
2.是否建立了定期扫描并修补漏洞的工作制 度
口是□否
3.是否对网站进行了全面检查,消除了sql
系
统
软件客
户端下
采取了严格的防护举措,能够预防被捆绑木 马程序
口是
□否
载
4.端口
限制和
1.是否在防火墙和效劳器上关闭了与业务无
关的端口
口是
□否
2.是否禁止了通过互联网对防火墙、网络设
人凸/|王吕
理
备、效劳器进行远程管理和维保
口是
□否
5 .访问
是否米用了可靠的身份认证、访问控制和安
控制与
全审计举措,预防来自互联网的非法接入和
口是□否
4.系统
升级
在对交易业务系统进行的重大升级和更新前 是否制订了详细的升级方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
电力供应
应在机房供电线路上配置稳压器和过电压防护设备
应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求
电磁防护
电源线和通信线缆应隔离铺设,避免互相干扰
网络安全
结构安全
应保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要
应能够对单个帐户的多重并发会话进行限制
应能够对应用系统的最大并发会话连接数进行限制
数据安
全及备
份恢复
数据完整性
应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏
数据保密性
应采用加密或其他保护措施实现鉴别信息的存储保密性
备份和恢复
应能够对重要信息进行备份和恢复
应提供关键网络设备、通信线路和数据处理系统的硬件冗余,保证系统的可用性
安全审计及预警措施
网络攻击防范、追踪措施
计算机病毒防治措施
身份登记和识别确认措施
交互式栏目具有关键字过滤技术措施
开设短信息服务的具有短信群发限制、过滤和删除等技术措施
开设邮件服务的,具有垃圾邮件清理功能
信息系统检查项目表
(安全技术措施)
类别
检查项目
安全标准
是否符合安全标准
备注
物理安全
物理位置的选择
机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
应对网络设备的管理员登录地址进行限制
网络设备用户的标识应唯一;
应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
主机安全
身份鉴别
应对登录操作系统和数据库系统的用户进行身份标识和鉴别
操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换
主机房应安装必要的防盗报警设施
防雷击
机房建筑应设置避雷装置;
机房应设置交流电源地线
防火
机房应设置灭火设备和火灾自动报警系统
防水和防潮
水管安装,不得穿过机房屋顶和活动地板下;
应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;
应采取措施防止机房内水蒸气结露和地下积水的转移与渗透
防静电
关键设备应采用必要的接地防静电措施
制定网络安全事故处置措施
安全保护
管理制度
计算机机房安全保护管理制度
用户登记制度和操作权限管理制度
网络安全漏洞检测和系统升级管理制度
交互式栏目24小时巡查制度
电子公告系统用户登记制度
信息发布审核、登记、保存、清除和备份制度,信息群发服务管理制度
违法案件报告和协助查处制度
备案制度
安全保护
技术措施
具有保存60天以上系统网络运行日志和用户使用日志记录功能,内容包括IP地址分配及使用情况,交互式信息发布者、主页维护者、邮箱使用者和拨号用户上网的起止时间和对应IP地址,交互式栏目的信息等
应保护审计记录,避免受到未预期的删除、修改或覆盖等
入侵防范
操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新.
恶意代码防范
应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;
应支持防恶意代码软件的统一管理
资源控制
应通过设定终端接入方式、网络地址范围等条件限制终端登录;
外包软件开发
应根据开发要求检测软件质量
应确保提供软件设计的相关文档和使用指南
应在软件安装之前检测软件包中可能存在的恶意代码
应要求开发单位提供软件源代码,并审查软件中可能存在的后门
工程实施
应指定或授权专门的部门或人员负责工程实施过程的管理
应制定详细的工程实施方案,控制工程实施过程
测试验收
应对系统进行安全性测试验收
安全管理员不能兼任网络管理员、系统管理员、数据库管理员等
授权和审批
应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批
应针对关键活动建立审批流程,并由批准人签字确认
沟通和合作
应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通;
应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
访问控制
应启用访问控制功能,依据安全策略控制用户对资源的访问;
应及时删除多余的、过期的帐户,避免共享帐户的存在
应根据安全策略设置登录终端的操作超时锁定
应限制单个用户对系统资源的最大或最小使用限度
应用安全
身份鉴别
应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数.
应提供专用的登录控制模块对登录用户进行身份标识和鉴别
访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作
安全审计
应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计
应保证无法删除、修改或覆盖审计记录
审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等
通信完整性
应采用校验码技术保证通信过程中数据的完整性
通信保密性
入侵防范
应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等
网络设备防护
应对登录网络设备的用户进行身份鉴别;
当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
人员安
全管理
人员离岗
应规范人员离岗过程,及时终止离岗员工的所有访问权限
应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备
应办理严格的调离手续
人员考核
应定期对各个岗位的人员进行安全技能及安全认知的考核
安全意识教育
和培训
应告知人员相关的安全责任和惩戒措施,并对违反违背安全策略和规定的人员进行惩戒;定期参加公安公共信息网络安全监察部门组织的安全培训。
信息系统安全检查项目表
(安全管理制度)
类别
检查项目
项目安全标准
是否符合标准
备注
安全管
理制度
管理制度
应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等;
应对安全管理活动中重要的管理内容建立安全管理制度;
应对安全管理人员或操作人员执行的重要管理操作建立操作规程。
制定和发布
在测试验收前应根据设计方案或合同要求等制订测试验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告
应组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认
岗位设置
应设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责
应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责。
人员配备
应配备一定数量的系统管理员、网络管理员、安全管理员等安全员、各类管理人员应经过公安公共信息网络安全监察部门的培训,持公安厅、人事厅颁发的培训证书持证上岗。
服务内容_________________________________
联网用途_________________________________
网络拓扑图:
(附后)
组织制度
单位成立网络安全小组,确立安全小组负责人(单位领导任组长),确立组长负责制
组长落实小组人员岗位工作职责
配备2到4名计算机安全员,须持证上岗
应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训
应制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训
外部人员
访问管理
应确保在外部人员访问受控区域前得到授权或审批,批准后由专人全程陪同或监督,并登记备信息系统的边界和安全保护等级
应以书面的形式说明信息系统确定为某个安全保护等级的方法和理由
在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证
应对通信过程中的敏感信息字段进行加密
软件容错
应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求
在故障发生时,应用系统应能够继续提供一部分功能,确保能够实施必要的措
资源控制
当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;
产品采购和使用
应确保安全产品采购和使用符合国家的有关规定
应确保密码产品采购和使用符合国家密码主管部门的要求
应指定或授权专门的部门负责产品的采购
自行软件开发
应确保开发环境与实际运行环境物理分开;
应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则
自行软件开发
应确保提供软件设计的相关文档和使用指南,并由专人负责保管
应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;
访问控制
应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问
应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。
应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限
应确保信息系统的定级结果经过相关部门的批准