网络信息系统安全检查表
网络信息安全报表
技术检 测情况
检测
数: 其中,存在恶意代码的终端计算机台数:
①进行漏洞扫描的服务器台数: 其中,存在高风险漏洞的服务器台数: 安全漏洞 ②进行漏洞扫描的终端计算机台数: 检测结果 其中,存在高风险漏洞的终端计算机台数: 门户网站 网络安 受攻击情 安全防护设备检测到的门户网站受攻击次数: 况 全事件 情况 网页被篡 门户网站网页被篡改(含内嵌恶意代码)次数: 改情况 十、信息技术外包服务机构情况(包括参与技术检测的外部专业机构) 机构名称 机构性质 □国有单位 □民营企业 □外资 企业 □系统集成 □系统运维 □风险评估 □安全检测 □安全加固 □应急支持 □数据存储 □灾难备份 □其他: □已签订 □未签订 □已通过认证 认证机构: □未通过认证 □国有单位 企业 □系统集成 □安全检测 □数据存储 □其他: □民营企业 □系统运维 □安全加固 □灾难备份 □外资 □风险评估 □应急支持
网络与信息安全检查表
网络与信息安全检查表
1本表所称国产,是指具有国内品牌,最终产品在中国境内生产,并符合法律法规和政策规定的其他条件。
2本表所称恶意代码,是指病毒木马等具有避开安全保护措施、窃取他人信息、损害他人计算机及信息系统资源、对他人计算机及信息系统实施远程控制等功能的代码或程序。
3本表所称高风险漏洞,是指计算机硬件、软件或信息系统中存在的严重安全缺陷,利用这些缺陷可完全控制或部分控制计算机及信息系统,对计算机及信息系统实施攻击、破坏、信息窃取等行为。
4信息安全事件分级标准参见《国家网络与信息安全事件应急预案》(国办函〔2008〕168号)
5本表所称服务内容,主要包括系统集成、系统运维、风险评估、安全检测、安全加固、应急支持、数据存储、灾难备份等。
网络安全检查表
总数:
品牌:数量:
品牌:数量:
安全审计设备
总数:
品牌:数量:
品牌:数量:
八、商用密码使用情况
①密码功能用途(可多选):
□身份认证□访问控制□电子签名□安全审计
□传输保护□存储保护□密钥管理
②密码机数量:密码系统数量:
智能IC卡数量:智能密码钥匙数量:
动态令牌数量:
③所采用的密码算法:
对称算法:SM1个SM4个SM7个AES个DES个3DES个
非对称算法:SM2个SM9个RSA1024个RSA2048个
杂凑算法:SM3个SHA—1个SA-256个SHA-384个SHA-512个
MD5个
其它:
九、网络安全经费预算投入情况
经费保障
①上一年度网络安全预算:万元,实际到位情况:万元
②本年度信息化建设总预算(含网络安全预算):万元,其中网络安全预算:万元
②网络安全从业人员缺口:
二、信息系统基本情况
信息系统情况
①信息系统总数:
②网络连接情况
可以通过互联网访问的系统数量:
不能通过互联网访问的系统数量:
③面向社会公众提供服务的系统数量:
④本年度经过安全测评的系统数量:
互联网接入情况
互联网接入口总数:
□接入中国联通 接入口数量: 接入带宽: MB
□接入中国电信 接入口数量: 接入带宽: MB
其中,存在高风险漏洞的服务器台数:
②进行漏洞扫描的终端计算机台数:
其中,存在高风险漏洞的终端计算机台数:
网络安全事件情况
门户网站受攻击情况
安全防护设备检测到的门户网站受攻击次数:
网页被篡
改情况
门户网站网页被篡改(含内嵌恶意代码)次数:
信息安全内审检查表
信息安全内审检查表
以下是一份信息安全内审检查表的范例,供参考:
一、审计目标
1.确保公司信息安全策略和标准的合规性
2.评估信息资产的安全性
3.发现潜在的安全风险和漏洞
4.提高公司信息安全水平
二、审计范围
1.公司所有信息系统
2.物理和逻辑访问控制
3.网络安全
4.加密和身份验证
5.备份和恢复
6.人员安全和培训
7.政策和程序
三、审计方法
1.文档审查:审查公司信息安全政策和程序、系统配置、日志文件等。
2.访谈:与关键人员、系统管理员、安全管理员等进行访谈,了解信息安全实
践和程序。
3.测试:对防火墙、入侵检测系统、加密技术等进行测试,评估其有效性。
4.实地考察:检查物理安全措施,如门禁系统、监控摄像头等。
四、审计步骤
1.审计准备:制定审计计划、确定审计范围和资源、收集相关信息。
2.审计实施:进行文档审查、访谈、测试和实地考察。
3.问题识别:识别存在的安全风险和漏洞。
4.风险评估:评估问题的严重性和影响范围。
5.报告编制:编制审计报告,总结审计结果和建议。
6.跟踪与监控:对审计结果进行跟踪和监控,确保问题得到解决。
五、审计结果和建议
1.对发现的问题进行分类,如高、中、低风险。
2.对每个问题提出具体的建议和解决方案。
3.对建议的解决方案进行成本效益分析,以确定优先级。
4.对已解决的问题进行跟踪和监控,确保其有效性。
网络安全日常检查表
因特网出口:兆,口华数,□电信,□移动,费用元/年。
幼儿园网站属于:□第三方网站托管,□自建网站,□服务商开发管理
幼儿园网站网址:
幼儿园网站因特网IP 地址:;
幼儿园网站城域网IP 地址:;
本年度信息安全预算:□有,预算额:万元;□无
服务器安全策略:□使用默认配置 □根据应用自主配置
2.有信息技术或网络教研组(3)
3.有专门的网管(网管的其他课时每周8节以下,不包括8节)(3)
10
有完善的网络信息安全管理制度
4.网络相关的安全制度并上墙(2)
5.信息发布相关的安全制度并上墙(2)
6.学校有网络安全应急预案,并定期进行网络安全演练(1)
5
管理人员职责、职称及工作量
7.有专职网管,网管是相关专业毕业,网管的其他工作量小于每周6节(4-5分)
8.有兼职网管,网管的其他工作量小于每周10节(2-3分)
9.有兼职网管,网管的其他工作量大于等于每周10节(1分)
10.无明确网管或没考虑网管的工作量(0分)
5
重要应用系统有数据备份设备或措施
11.设置了自动数据备份,进行每周或每天的数据备份(8-10分)
12.手工备份,备份文件及时更新,并有历史文件。(4-7分)
网络安全日常检查表
一、单位基本情况
单位名称
分管网络安全工作负责人
专职网管员
兼职网管员
二、信息系统基本情况
网络基本情况
服务器:台,主要品牌:台;
主交换机品牌:,型号:;
行为管理设备品牌:,型号:;
核心交换机(包括集团化幼儿园各园区)品牌:;
防火墙:□无,□有,品牌:,型号:;
网络安全检查表
7运维方式:□自行运维 □委托第三方运维
8域名解析系统情况:□自行建设 □委托第三方:
电子邮件
安全防护
1建设方式:□自行建设
□使用第三方服务 邮件服务提供商
2账户数量:个
3注册管理:□须经审批 □任意注册
4口令管理:□使用技术措施控制口令强度
□没有采取技术措施控制口令强度
5安全防护:(可多选)
服务内容
□系统集成 □系统运维 □风险评估
□安全检测 □安全加固 □应急支持
□数据存储 □灾难备份
□其他:
网络安全保密协议
□已签订 □未签订
信息安全管理体系认证情况
□已通过认证
认证机构:
□未通过认证
(如有2个以上外包机构,每个机构均应填写,可另附页)
□无控制措施
3接入办公系统安全控制措施:
□有控制措施(如实名接入、绑定计算机IP和MAC地址等)
□无控制措施
移动存储介质
安全防护
1管理方式:
□集中管理,统一登记、配发、收回、维修、报废、销毁
□未采取集中管理方式
2信息销毁:
□已配备信息消除和销毁设备 □未配备信息消除和销毁设备
重要漏洞
修复情况
重大漏洞处置率:处置平均时长:
五、网络安全应急工作情况
应急预案
□已制定 本年度修订情况:□修订 □未修订
□未制定
应急演练
□本年度已开展,演练时间:□本年度未开展
灾难备份
1数据备份
□采取备份措施,备份周期:□实时,□日,□周,□月,□不定期
□未采取备份措施
2系统备份
采取实时备份措施的系统数量:
未采取实时备份措施的系统数量:
网络安全检查表格
网络安全检查表格(总24页)--本页仅作为文档封面,使用时请直接删除即可----内页可以根据需求调整合适字体及大小--附件1网络安全检查表1本表所称恶意代码,是指病毒木马等具有避开安全保护措施、窃取他人信息、损害他人计算机及信息系统资源、对他人计算机及信息系统实施远程控制等功能的代码或程序。
2本表所称高风险漏洞,是指计算机硬件、软件或信息系统中存在的严重安全缺陷,利用这些缺陷可完全控制或部分控制计算机及信息系统,对计算机及信息系统实施攻击、破坏、信息窃取等行为。
附件2网络安全管理工作自评估表9101112131415附件3重点行业网络安全检查结果统计表3网络安全事件分级标准参见《国家网络与信息安全事件应急预案》(国办函〔2008〕168号)附件4重点网络与信息系统商用密码检查情况汇总表统计密码设备时,国内指取得国家密码管理局型号的产品,国外指未取得国家密码管理局型号的产品(包括国外的产品)。
附件5重点网络与信息系统商用密码检查情况表备注:1. 表中的“密码机类”主要包括以下产品:IPSec/SSL VPN密码机、网络密码机、链路密码机、密码认证网关、存储加密机、磁带库/磁盘阵列存储加密机、密钥管理密码机、终端密钥分发器、量子密码机、服务器密码机、终端密码机、金融数据密码机、签名验证服务器、税控密码机、支付服务密码机、传真密码机、电话密码机等。
2. 表中的“密码系统”主要包括以下系统:动态令牌认证系统、数字证书认证系统、证书认证密钥管理系统、IC卡密钥管理系统、身份认证系统、数据加密传输系统、密码综合服务系统、密码设备管理系统等。
3. 表中的“网络通信”主要包括以下产品:无线接入点、无线上网卡、加密电话机、加密传真机、加密VOIP终端等。
4. 表中“密码设备使用情况”的“产品型号”栏,应填写国家密码行政主管部门审批的商用密码产品型号,若产品无商用密码产品型号,可填写产品相关资质证书上标注的型号或生产厂家自定义的型号。
网络安全检查表格
附件1网络安全检查表共30页—2——3——4——5—1本表所称恶意代码,是指病毒木马等具有避开安全保护措施、窃取他人信息、损害他人计算机及信息系统资源、对他人计算机及信息系统实施远程控制等功能的代码或程序。
2本表所称高风险漏洞,是指计算机硬件、软件或信息系统中存在的严重安全缺陷,利用这些缺陷可完全控制或部分控制计算机及信息系统,对计算机及信息系统实施攻击、破坏、信息窃取等行为。
—6——7—附件2网络安全管理工作自评估表—8——9——10——11——12——13——14—附件3重点行业网络安全检查结果统计表—15——16——17—重点网络与信息系统商用密码检查情况汇总表填表日期:年月日3网络安全事件分级标准参见《国家网络与信息安全事件应急预案》(国办函〔2008〕168号)—18—注:统计密码设备时,国内指取得国家密码管理局型号的产品,国外指未取得国家密码管理局型号的产品(包括国外的产品).—19—附件5重点网络与信息系统商用密码检查情况表—20—备注:1. 表中的“密码机类”主要包括以下产品:IPSec/SSL VPN 密码机、网络密码机、链路密码机、密码认证网关、存储加密机、磁带库/磁盘阵列存储加密机、密钥管理密码机、终端密钥分发器、量子密码机、服务器密码机、终端密码机、金融数据密码机、签名验证服务器、税控密码机、支付服务密码机、传真密码机、电话密码机等。
2。
表中的“密码系统”主要包括以下系统:动态令牌认证系统、数字证书认证系统、证书认证密钥管理系统、IC卡密钥管理系统、身份认证系统、数据加密传输系统、密码综合服务系统、密码设备管理系统等.3。
表中的“网络通信”主要包括以下产品:无线接入点、无线上网卡、加密电话机、加密传真机、加密VOIP终端等.4. 表中“密码设备使用情况”的“产品型号”栏,应填写国家密码行政主管部门审批的商用密码产品型号,若产品无商用密码产品型号,可填写产品相关资质证书上标注的型号或生产厂家自定义的型号。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络信息系统安全检查表
评估
为了确保系统的稳定性和安全性,需要对系统进行评估。
评估内容包括系统的架构、安全策略、访问控制、日志管理等方面。
评估结果将为系统的优化提供参考和指导。
检查项目
1.安全漏洞和病毒防护
检查内容
检查单位是否安装了实时升级,在线扫描的木马、病毒防护软件。
是否建立了定期扫描并修补漏洞的工作制度,注入漏洞、弱口令帐户、绕过验证、目录遍毒检测。
是否对网站进行了全面检查,消除了SQL注入漏洞、弱口令帐户等安全隐患。
2.门户网站和网上交易系统
检查内容
检查门户网站和网上交易系统是否进行了严格隔离。
网上交易下单网页和网上交易后台数据库之间是否进行了严格有效隔离。
是否对通过网站下载的网上交易客户端软件采取了严格的防护措施,能够防止被捆绑木马程序。
3.网络安全控制
检查内容
是否在防火墙和服务器上关闭了与业务无关的端口。
是否禁止了通过互联网对防火墙、网络设备、服务器进行远程管理和维护。
是否采用了可靠的身份认证、访问控制和安全审计措施,防止来自互联网的非法接入和非法访问。
4.交易业务系统
检查内容
是否对交易业务网和内部办公网实施了物理隔离。
处理交易业务的计算机终端和移动存储介质是否专网专用,不允许访问互联网。
是否采用了可靠的身份认证、访问控制和安全审计措施,防止来自内部或现场交易的非法接入和非法访问。
是否在核心交易业务网和非核心交易业务网之间采取了有效的隔离措施,确保在外围系统被攻击的情况下,核心交易业务网能够安全运行。
5.系统评估
检查内容
对系统进行评估,包括系统的架构、安全策略、访问控制、日志管理等方面。
评估结果将为系统的优化提供参考和指导。
1.是否定期备份关键网络、安全设备和服务器的日志记录?
2.是否定期检查和分析关键网络、安全设备和服务器的日
志记录,并形成记录?
3.是否按照最小安全访问原则设置访问控制权限,及时清
理冗余系统用户,并正确分配用户权限,特别是对交易业务服务器、主干交换设备等关键设备?
4.是否建立了有效的口令管理制度,记录操作系统、数据库及应用系统管理员口令的修改、权限和口令管理?
5.登录口令修改频率是否不低于每月一次,登录口令长度是否不低于12位,并采用数字、字母、符号混排的方式?
6.是否采取了限制IP登录的管理措施,对交易业务服务器、主干网络设备、安全设备等进行管理和维护?
7.是否对业务网和办公网安装了杀毒和防木马软件,并进行定期升级和在线扫描,进行病毒、木马监控?。