信息安全风险评估检查流程操作系统安全评估检查表H模板
供应商信息安全风险评估检查表
All areas covered by the **** project must be
2
identified, including but not limited to sensitive raw
materials and equipment areas, storage areas and
warehouse areas, access and transportation routes,
s供ec应ur商ity须po建lic立ie人s, 员reg离ul职ati处on理s a流nd程ot,he至rs,少an要d 关the闭信
息系统帐号和权限,回收存储介质(包含电脑)
。
2.5
The suppliers must establish a process for employee
1
termination, at least to disable the information
access, such as implement data encryption or data
总得分
leakage prevention.
Subtotal 得分率
Percentage %
1
1 4
50.00%
4、物理与环境安全 4. Physical and environment security
总得分
system accounts and permissions, and return the
Subtotal 得分率
Percentage %
9 90.00%
3、数据和介质管理 3. Data and media management
序号# S/N 3.1
信息系统网络安全检查表
机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
电力供应
应在机房供电线路上配置稳压器和过电压防护设备
应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求
电磁防护
电源线和通信线缆应隔离铺设,避免互相干扰
网络安全
结构安全
应保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要
应能够对单个帐户的多重并发会话进行限制
应能够对应用系统的最大并发会话连接数进行限制
数据安
全及备
份恢复
数据完整性
应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏
数据保密性
应采用加密或其他保护措施实现鉴别信息的存储保密性
备份和恢复
应能够对重要信息进行备份和恢复
应提供关键网络设备、通信线路和数据处理系统的硬件冗余,保证系统的可用性
安全审计及预警措施
网络攻击防范、追踪措施
计算机病毒防治措施
身份登记和识别确认措施
交互式栏目具有关键字过滤技术措施
开设短信息服务的具有短信群发限制、过滤和删除等技术措施
开设邮件服务的,具有垃圾邮件清理功能
信息系统检查项目表
(安全技术措施)
类别
检查项目
安全标准
是否符合安全标准
备注
物理安全
物理位置的选择
机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
应对网络设备的管理员登录地址进行限制
网络设备用户的标识应唯一;
应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
主机安全
身份鉴别
应对登录操作系统和数据库系统的用户进行身份标识和鉴别
信息安全检查表
41、对本次检查中发现问题的整改比例
____%
○从未更换或偶尔更换
○一个月以上
○一个月
○半个月
○每周或更短
32、系统管理和数据库管理的口令长度是多少?
○小于8位○大于8位
33、是否存在多台服务器或多个帐户使用同一口令的情况?
○是○否
34、对网站进行远程维护时,是否采取了加密措施?
○是○否
35、是否对自管的域名解析系统采取了安全防护措施?
○是○否
20、是否保留了系统安全日志?
○是○否
21、系统安全日志查看的周期是多少?
○每月○每周
○每天○偶尔查看或从不查看
22、是否有独立的安全审计系统?
○是○否
23、网站服务器和同一网段内其他服务器之间是否有访问控制措施?
○是○否
24、操作系统最近一次升级的日期
_____月_____日
25、Web服务系统最近一次升级的日期
○是○否
5、网站名称、域名
6、网站安全等级保护级别
○四级○三级○二级○未定级
7、网站主机服务器运行维护管理方式
○自行管理○委托管理
8、是否对安全规章制度进行了梳理?
○是○否
9、是否有明确的网站安全责任处罚规定?
○是○否
10、是否对安全防护措施进行了评估?
○是○否
11、如果开展了安全防护措施评估,评估结果是什么?
○有效○基本有效○否
12、本年度是否开展了网站安全风险评估或等级测评?
○自评估
○委托专业评估
○没有开展
13、是否进行了下列安全检查?
○SQL注入攻击隐患
○跨站脚本攻击隐患
○弱口令
○操作系统补丁安装情况
信息系统网络安全检查表
信息系统网络安全检查表信息系统网络安全检查表一、网络基础设施安全检查1、网络拓扑及结构安全检查1.1 确认网络拓扑图是否准确无误,并与实际网络拓扑一致。
1.2 检查网络设备的布局是否合理,防止单点故障发生。
1.3 检查网络设备是否设置了安全认证机制,防止未授权用户访问。
1.4 检查网络设备是否启用了防火墙,以及是否进行了适当的配置。
1.5 检查网络设备是否更新了最新的固件版本,并是否存在已知的安全漏洞。
1.6 检查网络设备是否启用了日志功能,是否进行了适当的日志管理。
2、网络设备配置安全检查2.1 检查网络设备的管理员密码是否满足复杂度要求,并定期更换密码。
2.2 检查网络设备的端口及协议配置是否需要,所有不必要的端口及协议应禁用或关闭。
2.3 检查网络设备是否启用了访问控制列表(ACL),以限制特定IP地质或IP地质段的访问权限。
2.4 检查网络设备是否启用了安全登录方式,如SSH,禁止使用明文协议进行远程登录。
2.5 检查网络设备是否启用了IPsec等加密协议,保障数据在传输过程中的安全性。
2.6 检查网络设备是否配置了IP源路由保护,防止IP地质伪造攻击。
3、网络通信安全检查3.1 检查网络通信是否采用了加密协议,如SSL/TLS,以保护数据在传输过程中的安全性。
3.2 检查网络通信是否启用了VPN,以提供安全的远程访问功能。
3.3 检查网络通信是否启用了安全的WiFi认证机制,如WPA2-PSK,禁止使用弱密码。
3.4 检查网络通信是否设置了流量监控和分析工具,以便及时发现异常网络流量。
3.5 检查网络通信是否启用了反嗅探功能,防止数据被嗅探工具获取。
二、服务器与系统安全检查1、服务器配置安全检查1.1 检查服务器操作系统是否为最新的稳定版本,并及时安装安全补丁。
1.2 检查服务器是否设置了安全的访问控制策略,禁止未授权用户访问。
1.3 检查服务器是否启用了防火墙,并根据需求进行适当的配置。
信息安全-风险评估-检查流程-网络设备安全评估检查表-CiscoRouter
网络设备安全检查- CISCO路由器/交换机
检查流程
1.设备编号规则
编号规则:设备类型_客户名称_部门名称_数字编号。
设备类型(SV-服务器;PC-终端;FW-防火墙,RO-路由器,SW-交换机);
客户名称(拼音缩写);
部门名称(拼音缩写);
数字编号使用三位数字顺序号。
2.基本信息
3.检查方法
3.1.基本信息
3.2.系统信息
3.3.备份和升级情况
3.4.访问控制情况
3.5.网络服务情况
3.6.路由协议情况
3.7.日志审核情况
3.8.网络攻击防护情况
3.9.登陆标志
3.10.安全管理
检查如下项
指定安装、删除、移动路由器人员
指定可以操作硬件维护和可以改变路由器物理配置的人员
指定可以对路由器进行物理连接的人员
确定可以对路由器直接连接端口操作的控制,如Console口等
确定路由器物理损坏和窜改事件的紧急恢复方法和步骤
指定可以通过直接连接端口如console口与路由器直接相连的人员
指定可以获取路由器特权的人员
确定改变路由器静态配置操作的过程(如日志、改变记录、重放过程)
确定用户和登陆口令的密码策略,包括管理员和特权密码。
并确立发生何种意外情况时方可改变用户密码(如密码过期、人员变动、遭到攻击等)
指定可以远程登陆路由器的人员
指定可以远程登陆路由器的协议、程序和网络
确定在路由器静态配置遭到安全威胁、破坏的情况下,恢复的步骤和负责恢复步骤的人员
4.检查编号索引。
信息系统定期安全检查检查表和安全检查报告
关键设备应采用必要的接地防静电措施
温湿度控制
机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
电力供应
应在机房供电线路上配置稳压器和过电压防护设备
应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求
电磁防护
电源线和通信线缆应隔离铺设,避免互相干扰
网络安全
在故障发生时,应用系统应能够继续提供一部分功能,确保能够实施必要的措
资源控制
当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;
应能够对单个帐户的多重并发会话进行限制
应能够对应用系统的最大并发会话连接数进行限制数安全及备份恢复
数据完整性
应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏
主机安全
身份鉴别
应对登录操作系统和数据库系统的用户进行身份标识和鉴别
操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换
应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
外包软件开发
应根据开发要求检测软件质量
应确保提供软件设计的相关文档和使用指南
应在软件安装之前检测软件包中可能存在的恶意代码
应要求开发单位提供软件源代码,并审查软件中可能存在的后门
工程实施
应指定或授权专门的部门或人员负责工程实施过程的管理
应制定详细的工程实施方案,控制工程实施过程
测试验收
应对系统进行安全性测试验收
服务内容 _________________________________
信息安全记录表-ISO27001体系
不符合项报告及纠正报告单分布表
HW-ISMS-IR-04-03
纠正预防措施报告
5
信息安全事件管理程序
HW-ISMS-IR-05-01
信息安全事件调查处理报告2017-02-15(行政人事部)
HW-ISMS-IR-05-02
信息安全事件调查处理报告2017-06-02 (营销中心)
HW-ISMS-IR-06-03
业务持续性管理计划测试报告-恶意攻击
HW-ISMS-IR-06-04
业务持续性管理计划评审报告
HW-ISMS-IR-06-05
业务持续性管理计划恶意攻击应急演练表
HW-ISMS-IR-06-06
业务持续性演练计划恶意攻击预案
HW-ISMS-IR-06-07
业务持续性演练计划
HW-ISMS-IR-11-02
内部审核计划
HW-ISMS-IR-11-03
内部审核计划
HW-ISMS-IR-11-04
审核组长(成员)任命书
HW-ISMS-IR-11-05
内部审核员评定表
HW-ISMS-IR-11-06
信息安全重要岗位评定表
HW-ISMS-IR-11-07
内部审核报告
HW-ISMS-IR-11-08
相关方保密协议
9
网络设备安全配置管理程序
HW-ISMS-IR-09-01
网络设备安全配置表
10
信息处理设施使用与维护管理程序
HW-ISMS-IR-10-01
信息处理设施移交记录
HW-ISMS-IR-10-02
第三方物理访问申请授权表
HW-ISMS-IR-10-03
采购申请单及验收报告
信息安全检查表模板
是/否
4. 网络安全防护
是否安装了防火墙、入侵检测系统等网络安全设备,是否定期进行安全漏洞扫描和修复?
Hale Waihona Puke 是/否5. 数据备份和恢复
是否建立了完善的数据备份和恢复机制,确保数据的安全性和完整性?
是/否
6. 访问控制
是否对不同用户和角色进行了访问控制,确保只有授权人员能够访问敏感数据和系统?
是/否
7. 应急响应计划
是否制定了应急响应计划,包括应急响应流程、联系人、联系方式等信息,以应对突发事件或攻击?
是/否
8. 安全审计和监控
是否建立了安全审计和监控机制,对系统和数据进行实时监控和审计,及时发现和处理安全问题?
是/否
9. 合规性检查
是否定期进行合规性检查,确保公司业务符合相关法律法规和标准的要求?
信息安全检查表模板
以下是一个信息安全检查表模板,您可以根据实际情况进行修改和调整:
检查项
检查内容
检查结果
1. 信息安全政策
是否有完善的信息安全政策,包括信息保密、信息安全、信息完整性等方面的规定?
是/否
2. 信息安全培训
员工是否接受过信息安全培训,了解信息安全的重要性、基本概念和操作方法?
是/否
3. 密码管理
是/否
10. 其他安全措施
其他与信息安全相关的措施,如加密技术、物理安全等是否得到妥善实施和管理?
是/否
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全风险评估检查流程操作系统安全评估检查表H
HP-UX Security CheckList
目录
HP-UX SECURITY CHECKLIST (1)
1初级检查评估内容 (6)
1.1 系统信息 (6)
1.1.1 系统基本信息 (6)
1.1.2 系统网络设置 (6)
1.1.3 系统当前路由 (7)
1.1.4 检查当前系统开放的端口 (7)
1.1.5 检查当前系统网络连接情况 (8)
1.1.6 系统运行进程 (8)
1.2 物理安全检查 (9)
1.2.1 检查系统单用户运行模式中的访问控制 (9)
1.3 帐号和口令 (9)
1.3.1 检查系统中Uid相同用户情况 (9)
1.3.2 检查用户登录情况 (10)
1.3.3 检查账户登录尝试失效策略 (10)
1.3.4 检查账户登录失败时延策略 (10)
1.3.5 检查所有的系统默认帐户的登录权限 (11)
1.3.6 空口令用户检查 (11)
1.3.7 口令策略设置参数检查 (11)
1.3.8 检查root是否允许从远程登录 (12)
1.3.9 验证已经存在的Passwd强度 (12)
1.3.10 用户启动文件检查 (12)
1.3.11 用户路径环境变量检查 (13)
1.4 网络与服务 (13)
1.4.1 系统启动脚本检查 (13)
1.4.2 TCP/UDP小服务 (14)
1.4.3 login(rlogin), shell(rsh), exec(rexec) (14)
1.4.4 comsat talk uucp lp kerbd (15)
1.4.5 Sadmind Rquotad Ruser Rpc.sprayd Rpc.walld Rstatd Rexd Ttdb Cmsd Fs Cachefs Dtspcd Gssd (15)
1.4.6 远程打印服务 (16)
1.4.7 检查是否开放NFS服务 (16)
1.4.8 检查是否Enables NFS port monitoring (17)
1.4.9 检查是否存在和使用 NIS ,NIS+ (17)
1.4.10 检查sendmail服务 (17)
1.4.11 Expn, vrfy (若存在sendmail进程) (18)
1.4.12 SMTP banner (19)
1.4.13 检查是否限制ftp用户权限 (20)
1.4.14 TCP_Wrapper (20)
1.4.15 信任关系 (20)
1.5 文件系统 (21)
1.5.1 suid文件 (21)
1.5.2 sgid文件 (21)
1.5.3 /etc 目录下可写的文件 (22)
1.5.4 检测重要文件目录下文件权限属性以及/dev下非设备文
件系统 (22)
1.5.5 检查/tmp目录存取属性 (23)
1.5.6 检查UMASK (23)
1.5.7 检查.rhosts文件 (24)
1.6 日志审核 (27)
1.6.1 Cron logged (27)
1.6.2 /var/adm/cron/ (28)
1.6.3 Log all inetd services (28)
1.6.4 Syslog.conf (28)
1.7 UUCP服务 (28)
1.8 X WINDOWS检查 (29)
2中级检查评估内容 (30)
2.1 安全增强性 (30)
2.1.1 TCP IP参数检查 (30)
2.1.2 Inetd启动参数检查 (32)
2.1.3 Syslogd启动参数检查 (32)
2.1.4 系统日志文件内容检查 (33)
2.1.5 系统用户口令强度检查 (33)
2.1.6 系统补丁安装情况检查 (33)。