百度文库- 让每个人平等地提升自我
国际联网信息系统网络安全检查表
时间:年月日被检单位名称
单位地址
负责人联系电话
联网情况接入方式(服务商) _______________________
账号(电话) _____________________________
联网主机数 _______________________________
IP地址 ___________________________________
服务内容 _________________________________
联网用途 _________________________________
网络拓扑图:
(附后)
组织制度单位成立网络安全小组,确立安全小组负责人(单位领导任组长),确立组长负责制
组长落实小组人员岗位工作职责
配备2到4名计算机安全员,须持证上岗
制定网络安全事故处置措施
安全保护管理制度计算机机房安全保护管理制度
用户登记制度和操作权限管理制度
网络安全漏洞检测和系统升级管理制度
交互式栏目24小时巡查制度
电子公告系统用户登记制度
信息发布审核、登记、保存、清除和备份制度,信息群发服务管理制度
违法案件报告和协助查处制度
备案制度
安全保护技术措施具有保存60天以上系统网络运行日志和用户使用日志记录功能,内容包括IP地址分配及使用情况,交互式信息发布者、主页维护者、邮箱使用者和拨号用户上网的起止时间和对应IP地址,交互式栏目的信息等
安全审计及预警措施
网络攻击防范、追踪措施
计算机病毒防治措施
身份登记和识别确认措施
交互式栏目具有关键字过滤技术措施
开设短信息服务的具有短信群发限制、过滤和删除等技术措施
开设邮件服务的,具有垃圾邮件清理功能
类别检查项目安全标准是否符合
安全标准
备注
物理安全物理位置
的选择
机房和办公场地应选择在具有防震、防
风和防雨等能力的建筑内。
物理访问
控制
机房出入口应安排专人值守,控制、鉴
别和记录进入的人员
需进入机房的来访人员应经过申请和审
批流程,并限制和监控其活动范围
防盗窃和
防破坏
应将主要设备放置在机房内
应将设备或主要部件进行固定,并设置
明显的不易除去的标记;
应将通信线缆铺设在隐蔽处,可铺设在
地下或管道中
应对介质分类标识,存储在介质库或档
案室中;
主机房应安装必要的防盗报警设施
防雷击
机房建筑应设置避雷装置;
机房应设置交流电源地线
防火
机房应设置灭火设备和火灾自动报警系
统
防水和防
潮
水管安装,不得穿过机房屋顶和活动地
板下;
应采取措施防止雨水通过机房窗户、屋
顶和墙壁渗透;
应采取措施防止机房内水蒸气结露和地
下积水的转移与渗透
防静电关键设备应采用必要的接地防静电措施温湿度控
制
机房应设置温、湿度自动调节设施,使
机房温、湿度的变化在设备运行所允许
的范围之内。
电力供应
应在机房供电线路上配置稳压器和过电
压防护设备
应提供短期的备用电力供应,至少满足
关键设备在断电情况下的正常运行要求电磁防护
电源线和通信线缆应隔离铺设,避免互
相干扰
网络安全结构安全
应保证关键网络设备的业务处理能力具
备冗余空间,满足业务高峰期需要
应保证接入网络和核心网络的带宽满足
业务高峰期需要;
类别检查项目安全标准是否符合
安全标准
备注
应绘制与当前运行情况相符的网络拓扑结构图;
应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。
访问控制应在网络边界部署访问控制设备,启用访问控制功能
应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级。
应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户
应限制具有拨号访问权限的用户数量
安全审计应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
边界完整性检查应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。
入侵防范应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等
网络设备防护应对登录网络设备的用户进行身份鉴别;
当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;应对网络设备的管理员登录地址进行限制
网络设备用户的标识应唯一;
应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录
类别检查项目安全标准是否符合
安全标准
备注
连接超时自动退出等措施;
主机安全身份鉴别
应对登录操作系统和数据库系统的用户
进行身份标识和鉴别
操作系统和数据库系统管理用户身份标
识应具有不易被冒用的特点,口令应有
复杂度要求并定期更换
应启用登录失败处理功能,可采取结束
会话、限制非法登录次数和自动退出等
措施;
当对服务器进行远程管理时,应采取必
要措施,防止鉴别信息在网络传输过程
中被窃听;
应为操作系统和数据库系统的不同用户
分配不同的用户名,确保用户名具有唯
一性。
访问控制
应启用访问控制功能,依据安全策略控
制用户对资源的访问;
应及时删除多余的、过期的帐户,避免
共享帐户的存在
应限制默认帐户的访问权限,重命名系
统默认帐户,修改这些帐户的
应实现操作系统和数据库系统特权用户
的权限分离
安全审计
审计范围应覆盖到服务器上的每个操作
系统用户和数据库用户
审计内容应包括重要用户行为、系统资
源的异常使用和重要系统命令的使用等
系统内重要的安全相关事件;
审计记录应包括事件的日期、时间、类
型、主体标识、客体标识和结果等;
应保护审计记录,避免受到未预期的删
除、修改或覆盖等
入侵防范
操作系统应遵循最小安装的原则,仅安
装需要的组件和应用程序,并通过设置
升级服务器等方式保持系统补丁及时得
到更新。
恶意代码应安装防恶意代码软件,并及时更新防
类别检查项目安全标准是否符合
安全标准
备注
防范恶意代码软件版本和恶意代码库;
应支持防恶意代码软件的统一管理
资源控制应通过设定终端接入方式、网络地址范围等条件限制终端登录;
应根据安全策略设置登录终端的操作超时锁定
应限制单个用户对系统资源的最大或最小使用限度
应用安全身份鉴别
应提供登录失败处理功能,可采取结束
会话、限制非法登录次数和自动退出等
措施;
应启用身份鉴别、用户身份标识唯一性
检查、用户身份鉴别信息复杂度检查以
及登录失败处理功能,并根据安全策略
配置相关参数。
应提供专用的登录控制模块对登录用户
进行身份标识和鉴别
应提供用户身份标识唯一和鉴别信息复
杂度检查功能,保证应用系统中不存在
重复用户身份标识,身份鉴别信息不易
被冒用;
访问控制
应提供访问控制功能,依据安全策略控
制用户对文件、数据库表等客体的访问
应授予不同帐户为完成各自承担任务所
需的最小权限,并在它们之间形成相互
制约的关系。
应由授权主体配置访问控制策略,并严
格限制默认帐户的访问权限
访问控制的覆盖范围应包括与资源访问
相关的主体、客体及它们之间的操作
安全审计
应提供覆盖到每个用户的安全审计功
能,对应用系统重要安全事件进行审计
应保证无法删除、修改或覆盖审计记录
审计记录的内容至少应包括事件日期、
时间、发起者信息、类型、描述和结果
等
通信完整
性
应采用校验码技术保证通信过程中数据
的完整性
通信保密
性
在通信双方建立连接之前,应用系统应
利用密码技术进行会话初始化验证
类别检查项目安全标准是否符合
安全标准
备注
应对通信过程中的敏感信息字段进行加密
软件容错应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求
在故障发生时,应用系统应能够继续提供一部分功能,确保能够实施必要的措
资源控制当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;
应能够对单个帐户的多重并发会话进行限制
应能够对应用系统的最大并发会话连接数进行限制
数据安
全及备
份恢复数据完整
性
应能够检测到鉴别信息和重要业务数据
在传输过程中完整性受到破坏
数据保密
性
应采用加密或其他保护措施实现鉴别信
息的存储保密性
备份和恢
复
应能够对重要信息进行备份和恢复
应提供关键网络设备、通信线路和数据
处理系统的硬件冗余,保证系统的可用
性
信息系统安全检查项目表
(安全管理制度)
类别检查项目项目安全标准是否符合
标准
备注
安全管
理制度管理制度
应制定信息安全工作的总体方针和安全策
略,说明机构安全工作的总体目标、范围、
原则和安全框架等;
应对安全管理活动中重要的管理内容建立
安全管理制度;
应对安全管理人员或操作人员执行的重要
管理操作建立操作规程。
制定和发
布
应指定或授权专门的部门或人员负责安全
管理制度的制定
应组织相关人员对制定的安全管理制度进
行论证和审定
应将安全管理制度以某种方式发布到相关
人员手中
评审和修
订
应定期对安全管理制度进行评审,对存在不
足或需要改进的安全管理制度进行修订
安全管
理机构安全组织
应有信息网络安全管理机构成立的正式文
件、会议记录
报公安公共信息网络安全监察部门备案。岗位设置
应设立安全主管、安全管理各个方面的负责
人岗位,并定义各负责人的职责
应设立系统管理员、网络管理员、安全管理
员等岗位,并定义各个工作岗位的职责。人员配备
应配备一定数量的系统管理员、网络管理
员、安全管理员等安全员、各类管理人员应
经过公安公共信息网络安全监察部门的培
训,持公安厅、人事厅颁发的培训证书持证
上岗。
安全管理员不能兼任网络管理员、系统管理
员、数据库管理员等
授权和审
批
应根据各个部门和岗位的职责明确授权审
批部门及批准人,对系统投入运行、网络系
统接入和重要资源的访问等关键活动进行
审批
应针对关键活动建立审批流程,并由批准人
签字确认
沟通和合
作
应加强各类管理人员之间、组织内部机构之
间以及信息安全职能部门内部的合作与沟
通;
(安全管理制度)
类别检查项目项目安全标准是否符合
标准
备注
应加强与兄弟单位、公安机关、电信公司的合作与沟通
审核和检查安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。
人员安
全管理人员录用
应指定或授权专门的部门或人员负责人员
录用
应与从事关键岗位的人员签署保密协议
应规范人员录用过程,对被录用人员的身
份、背景和专业资格等进行审查,对其所具
有的技术技能进行考核
人员安
全管理人员离岗
应规范人员离岗过程,及时终止离岗员工的
所有访问权限
应取回各种身份证件、钥匙、徽章等以及机
构提供的软硬件设备
应办理严格的调离手续
人员考核
应定期对各个岗位的人员进行安全技能及
安全认知的考核
安全意识
教育
和培训
应告知人员相关的安全责任和惩戒措施,并
对违反违背安全策略和规定的人员进行惩
戒;定期参加公安公共信息网络安全监察部
门组织的安全培训。
应对各类人员进行安全意识教育、岗位技能
培训和相关安全技术培训
应制定安全教育和培训计划,对信息安全基
础知识、岗位操作规程等进行培训
外部人员
访问管理
应确保在外部人员访问受控区域前得到授
权或审批,批准后由专人全程陪同或监督,
并登记备案。
系统建设管理系统定级
应明确信息系统的边界和安全保护等级
应以书面的形式说明信息系统确定为某个
安全保护等级的方法和理由
应确保信息系统的定级结果经过相关部门
的批准
安全方案
设计
应根据系统的安全保护等级选择基本安全
措施,依据风险分析的结果补充和调整安全
措施;
应以书面形式描述对系统的安全保护要求、
策略和措施等内容,形成系统的安全方案;
(安全管理制度)
类别检查项目项目安全标准是否符合
标准
备注
应对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用的详细设计方案;
应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施
产品采购和使用应确保安全产品采购和使用符合国家的有关规定
应确保密码产品采购和使用符合国家密码主管部门的要求
应指定或授权专门的部门负责产品的采购
自行软件开发应确保开发环境与实际运行环境物理分开;应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则
自行软件开发应确保提供软件设计的相关文档和使用指南,并由专人负责保管
外包软件开发应根据开发要求检测软件质量
应确保提供软件设计的相关文档和使用指南
应在软件安装之前检测软件包中可能存在的恶意代码
应要求开发单位提供软件源代码,并审查软件中可能存在的后门
工程实施应指定或授权专门的部门或人员负责工程实施过程的管理
应制定详细的工程实施方案,控制工程实施过程
测试验收应对系统进行安全性测试验收
在测试验收前应根据设计方案或合同要求等制订测试验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告
应组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认
系统交付应制定系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点
应对负责系统运行维护的技术人员进行相应的技能培训
应确保提供系统建设过程中的文档和指导
(安全管理制度)
类别检查项目项目安全标准是否符合
标准
备注
用户进行系统运行维护的文档
安全服务商选择应确保安全服务商的选择符合国家的有关规定
应与选定的安全服务商签订与安全相关的协议,明确约定相关责任
应确保选定的安全服务商提供技术支持和服务承诺,必要的与其签订服务合同。
系统运维管理环境管理
应指定专门的部门或人员定期对机房供配
电、空调、温湿度控制等设施进行维护管理;
应配备机房安全管理人员,对机房的出入、
服务器的开机或关机等工作进行管理
应建立机房安全管理制度,对有关机房物理
访问,物品带进、带出机房和机房环境安全
等方面的管理作出规定;
应加强对办公环境的保密性管理,包括工作
人员调离办公室应立即交还该办公室钥匙
和不在办公区接待来访人员等。
系统运维管理资产管理
应建立资产安全管理制度,规定信息系统资
产管理的责任人员或责任部门,并规范资产
管理和使用的行为。
应编制与信息系统相关的资产清单,包括资
产责任部门、重要程度和所处位置等内容;介质管理
应确保介质存放在安全的环境中,对各类介
质进行控制和保护,并实行存储环境专人管
理;
应对介质归档和查询等过程进行记录,并根
据存档介质的目录清单定期盘点
应对需要送出维修或销毁的介质,首先清除
其中的敏感数据,防止信息的非法泄漏
应根据所承载数据和软件的重要程度对介
质进行分类和标识管理
设备管理
应对信息系统相关的各种设备(包括备份和
冗余设备)、线路等指定专门的部门或人员
定期进行维护管理
应建立基于申报、审批和专人负责的设备安
全管理制度,对信息系统的各种软硬件设备
的选型、采购、发放和领用等过程进行规范
化管理
(安全管理制度)
类别检查项目项目安全标准是否符合
标准
备注
应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规程实现关键设备(包括备份和冗余设备)的启动/停止、加电/断电等操作
应确保信息处理设备必须经过审批才能带离机房或办公地点
网络安全管理应指定人员对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作
应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定
应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份
行应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进及时的修补
应对网络设备的配置文件进行定期备份
系统运维管理
应保证所有与外部系统的连接均得到授权
和批准
系统安全
管理
应根据业务需求和系统安全分析确定系统
的访问控制策略
应定期进行漏洞扫描,对发现的系统安全漏
洞及时进行修补
应安装系统的最新补丁程序,在安装系统补
丁前,应首先在测试环境中测试通过,并对
重要文件进行备份后,方可实施系统补丁程
序的安装
应建立系统安全管理制度,对系统安全策
略、安全配置、日志管理和日常操作流程等
方面作出规定
应依据操作手册对系统进行维护,详细记录
操作日志,包括重要的日常操作、运行维护
记录、参数的设置和修改等内容,严禁进行
未经授权的操作
应定期对运行日志和审计数据进行分析,以
便及时发现异常行为
恶意代码
防范管理
应提高所有用户的防病毒意识,告知及时升
级防病毒软件,在读取移动存储设备上的数
(安全管理制度)
类别检查项目项目安全标准是否符合
标准
备注
据以及网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也应进行病毒检查
应指定专人对网络和主机进行恶意代码检测并保存检测记录
应对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定
变更管理应确认系统中要发生的重要变更,并制定相应的变更方案
系统发生重要变更前,应向主管领导申请,审批后方可实施变更,并在实施后向相关人员通告。
备份与恢复管理应识别需要定期备份的重要业务信息、系统数据及软件系统等
应规定备份信息的备份方式、备份频度、存储介质、保存期等
应根据数据的重要性及其对系统运行的影响,制定数据的备份策略和恢复策略,备份策略指明备份数据的放置场所、文件命名规则、介质替换频率和数据离站运输方法
安全事件处置应报告所发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点
系统运维管理
应制定安全事件报告和处置管理制度,明确
安全事件类型,规定安全事件的现场处理、
事件报告和后期恢复的管理职责
应根据国家相关管理部门对计算机安全事
件等级划分方法和安全事件对本系统产生
的影响,对本系统计算机安全事件进行等级
划分
应记录并保存所有报告的安全弱点和可疑
事件,分析事件原因,监督事态发展,采取
措施避免安全事件发生
应急预案
管理
应在统一的应急预案框架下制定不同事件
的应急预案,应急预案框架应包括启动应急
预案的条件、应急处理流程、系统恢复流程、
事后教育和培训等内容
应对系统相关的人员进行应急预案培训,应
急预案的培训应至少每年举办一次
安全状况调查表 —徐刚 1. 安全管理机构 安全组织体系是否健全,管理职责是否明确,安全管理机构岗位设置、人员配备是否充分合理。 序号检查项结果备注 1. 信息安全管理机构 设置□ 以下发公文方式正式设置了信息安全管理工作的专门职能机构。 □ 设立了信息安全管理工作的职能机构,但还不是专门的职能机构。 □ 其它。 2. 信息安全管理职责 分工情况□ 信息安全管理的各个方面职责有正式的书面分工,并明确具体的责任人。 □ 有明确的职责分工,但责任人不明确。 □ 其它。 3. 人员配备□ 配备一定数量的系统管理人员、网络管理人 员、安全管理人员等; 安全管理人员不能兼任网 络管理员、系统管理员、数据库管理员等。 □ 配备一定数量的系统管理人员、网络管理人 员、安全管理人员等,但安全管理人员兼任网络 管理员、系统管理员、数据库管理员等。 □ 其它。 4. 关键安全管理活动 的授权和审批□ 定义关键安全管理活动的列表,并有正式成文的审批程序,审批活动有完整的记录。 □ 有正式成文的审批程序,但审批活动没有完整的记录。 □ 其它。 5. 与外部组织沟通合 作□ 与外部组织建立沟通合作机制,并形成正式文件和程序。 □ 与外部组织仅进行了沟通合作的口头承诺。□ 其它。 6. 与组织机构内部沟 通合作□ 各部门之间建立沟通合作机制,并形成正式文件和程序。 □ 各部门之间的沟通合作基于惯例,未形成正式文件和程序。 □ 其它。
2. 安全管理制度 安全策略及管理规章制度的完善性、可行性和科学性的有关规章制度的制定、发布、修订及执行情况。 检查项结果备注 1 信息安全策略□ 明确信息安全策略,包括总体目标、范围、原则和 安全框架等内容。 □ 包括相关文件,但内容覆盖不全面。 □ 其它 2 安全管理制度□ 安全管理制度覆盖物理、网络、主机系统、数据、 应用、建设和管理等层面的重要管理内容。 □ 有安全管理制度,但不全而面。 □ 其它。 3 操作规程□ 应对安全管理人员或操作人员执行的重要管理操作 建立操作规程。 □ 有操作规程,但不全面。 □ 其它。 4 安全管理制度 的论证和审定□ 组织相关人员进行正式的论证和审定,具备论证或审定结论。 □ 其它。 5 安全管理制度 的发布□ 文件发布具备明确的流程、方式和对象范围。□ 部分文件的发布不明确。 □ 其它。 6 安全管理制度 的维护□ 有正式的文件进行授权专门的部门或人员负责安全管理制度的制定、保存、销毁、版本控制,并定期评审与修订。 □ 安全管理制度分散管理,缺乏定期修订。 □ 其它。 7 执行情况□ 所有操作规程的执行都具备详细的记录文档。 □部分操作规程的执行都具备详细的记录文档。 □ 其它。 3. 人员安全管理 人员的安全和保密意识教育、安全技能培训情况,重点、敏感岗
信息系统网络安全检查表 时间: 年月日 系统名称 负责人联系电话 网络拓扑图: 接入方式(服务商) ____________________ (附后)账号(电话)_________________________ 联网主机数__________________________________ 联网情况IP 地址 ______________________________________ 服务内容 联网用途____________________________________ 单位成立网络安全小组,确立安全小组负责人(单位领导任组长),确立组长负责制 组长落实小组人员岗位工作职责组织制度 配备 2 到 4 名计算机安全员,须持证上岗制定网络安全事故处置措施计算机机房安全保护管理制度用户登记制度和操作权限管理制度网络安全漏洞检测和系统升级管理制度交互式栏目24 小时巡查制度安全保护电子公告系统用户登记制度管理制度信息发布审核、登记、保存、清除和备份制度,信息群发服务管理制度违法案件报告和协助查处制度备案制度具有保存60 天以上系统网络运行日志和用户使 用日志记录功能,内容包括IP 地址分配及使用情况,交互式信息发布者、主页维护者、邮箱使用者和拨号用户上网的起止时间和对应IP 地址,交 互式栏目的信息等 安全审计及预警措施安全保护网络攻击防范、追踪措施技术措施计算机病毒防
治措施身份登记和识别确认措施交互式栏目具有关键字过滤技术措施开设短信息服务的具有短信群发限制、过滤和删除等技术措施 开设邮件服务的,具有垃圾邮件清理功能 1 信息系统检查项目表 , 安全技术措施, 是否符合类别检查项目安全标准备注安全标准物理位置机房和办公场地应选择在具有防震、防的选择风和防雨等能力的建筑内。 机房出入口应安排专人值守,控制、鉴别和记录进入的人员物理访问 控制需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围应将主要设备放置在机房内 应将设备或主要部件进行固定,并设置明显的不易除去的标记; 防盗窃和应将通信线缆铺设在隐蔽处,可铺设在防破坏地下或管道中应对介质分类标识,存储在介质库或档案室中; 主机房应安装必要的防盗报警设施 机房建筑应设置避雷装置; 防雷击机房应设置交流电源地线 物理机房应设置灭火设备和火灾自动报警系防火安全统水管安装,不得穿过机房屋顶和活动地板下; 防水和防应采取措施防止雨水通过机房窗户、屋潮顶和墙壁渗透; 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透 防静电关键设备应采用必要的接地防静电措施 机房应设置温、湿度自动调节设施,使温湿度控机房温、湿度的变化在设备运行所
HP-UX Security CheckList
目录 HP-UX SECURITY CHECKLIST (1) 1初级检查评估内容 (6) 1.1 系统信息 (6) 1.1.1 系统基本信息 (6) 1.1.2 系统网络设置 (6) 1.1.3 系统当前路由 (7) 1.1.4 检查目前系统开放的端口 (7) 1.1.5 检查当前系统网络连接情况 (8) 1.1.6 系统运行进程 (8) 1.2 物理安全检查 (9) 1.2.1 检查系统单用户运行模式中的访问控制 (9) 1.3 帐号和口令 (9) 1.3.1 检查系统中Uid相同用户情况 (9) 1.3.2 检查用户登录情况 (10) 1.3.3 检查账户登录尝试失效策略 (10) 1.3.4 检查账户登录失败时延策略 (10) 1.3.5 检查所有的系统默认帐户的登录权限 (11) 1.3.6 空口令用户检查 (11) 1.3.7 口令策略设置参数检查 (11) 1.3.8 检查root是否允许从远程登录 (12)
1.3.9 验证已经存在的Passwd强度 (12) 1.3.10 用户启动文件检查 (12) 1.3.11 用户路径环境变量检查 (13) 1.4 网络与服务 (13) 1.4.1 系统启动脚本检查 (13) 1.4.2 TCP/UDP小服务 (13) 1.4.3 login(rlogin),shell(rsh),exec(rexec) (14) 1.4.4 comsat talk uucp lp kerbd (15) 1.4.5 Sadmind Rquotad Ruser Rpc.sprayd Rpc.walld Rstatd Rexd Ttdb Cmsd Fs Cachefs Dtspcd Gssd (15) 1.4.6 远程打印服务 (16) 1.4.7 检查是否开放NFS服务 (16) 1.4.8 检查是否Enables NFS port monitoring (17) 1.4.9 检查是否存在和使用NIS ,NIS+ (17) 1.4.10 检查sendmail服务 (17) 1.4.11 Expn, vrfy (若存在sendmail进程) (18) 1.4.12 SMTP banner (19) 1.4.13 检查是否限制ftp用户权限 (19) 1.4.14 TCP_Wrapper (20) 1.4.15 信任关系 (20) 1.5 文件系统 (20) 1.5.1 suid文件 (21)
广西食品药品检验所 信息安全检查表一、信息系统基本情况 信息系统基本情况①信息系统总数:个 ②面向社会公众提供服务的信息系统数:个 ③委托社会第三方进行日常运维管理的信息系统数:个,其中签订运维外包服务合同的信息系统数:个 互联网接入情况互联网接入口总数:个 其中:□联通接入口数量:个接入带宽:兆□电信接入口数量:个接入带宽:兆 □其他:接入口数量:个 接入带宽:兆 系统定级情况第一级:个第二级:个第三级:个第四级:个第五级:个未定级:个 系统安全 测评情况 最近2年开展安全测评(含风险评估、等级测评)系统数:个二、日常信息安全管理情况 人员管理①岗位信息安全和保密责任制度:□已建立□未建立 ②重要岗位人员信息安全和保密协议: □全部签订□部分签订□均未签订 ③人员离岗离职安全管理规定:□已制定□未制定 ④外部人员访问机房等重要区域管理制度:□已建立□未建立 资产管理①信息安全设备运维管理: □已明确专人负责□未明确 □定期进行配置检查、日志审计等□未进行 ②设备维修维护和报废销毁管理: □已建立管理制度,且维修维护和报废销毁记录完整□已建立管理制度,但维修维护和报废销毁记录不完整□尚未建立管理制度 三、信息安全防护管理情况
网络边界防护管理①网络区域划分是否合理:□合理□不合理 ②安全防护设备策略:□使用默认配置□根据应用自主配置 ③互联网访问控制:□有访问控制措施□无访问控制措施 ④互联网访问日志:□留存日志□未留存日志 信息系统安全管理①服务器安全防护: □已关闭不必要的应用、服务、端口□未关闭 □帐户口令满足8位,包含数字、字母或符号□不满足 □定期更新帐户口令□未能定期更新□定期进行漏洞扫描、病毒木马检测□未进行 ②网络设备防护: □安全策略配置有效□无效 □帐户口令满足8位,包含数字、字母或符号□不满足 □定期更新帐户口令□未能定期更新□定期进行漏洞扫描、病毒木马检测□未进行 ③信息安全设备部署及使用: □已部署有防病毒、防火墙、入侵检测、安全审计等功能的设备□未部署□安全策略配置有效□无效 门户网站应用管理门 户 网 站 管 理 网站域名:_______________ IP地址:_____________ 是否申请中文域名:□是_______________ □否 ①网站是否备案:□是□否 ②门户网站账户安全管理: □已清理无关帐户□未清理 □无:空口令、弱口令和默认口令□有 ③清理网站临时文件、关闭网站目录遍历功能等情况: 口已清理口未清理 ④门户网站信息发布管理: □已建立审核制度,且审核记录完整 □已建立审核制度,但审核记录不完整 □尚未建立审核制度
某单位 信息系统监督检查制度 第一章总则 第一条为加强和规范某单位信息系统安全监督检查工作,保障系统安全稳定运行,根据国家信息安全等级保护有关规定和信息系统安全有关管理规定制定本制度。 第二条本制度适用于某单位所属计算机信息系统建设、使用和运维管理中安全工作的监督检查。 第三条安全主管部门负责组织监督检查工作。人员管理、教育相关检查由主管人事部门具体执行,安全技术相关检查由某单位网络信息中心等技术部门具体执行。某单位网络信息中心安全审计员负责信息系统日常监督审计。 第二章实施细则 第四条检查内容包括各项信息系统技术措施有效性和安全管理制度执行情况。 第五条计算机、网络和移动存储介质的专项检查应填写检查登记表,检查结果汇总后报某单位信息化工作领导小组办公室,发现问题及时整改。 第六条每年至少两次对系统进行安全性能检测,确保系统安全稳定运行。 第七条系统安全性能检测由系统管理员、安全管理员
和安全审计员共同完成。 第八条利用漏洞扫描等工具对整个系统进行安全检查,进行网络系统安全分析、应用系统安全分析、安全防护系统安全分析、用户终端安全分析,发现漏洞或安全隐患及时采取整改措施。 第九条安全检查情况和整改操作应及时登记和记录。 (一)网络设备和网络服务器安全性能检测由网络管理员负责, 并根据检测情况填写《网络系统安全性能检测表》。 (二)应用系统安全性能检测由应用系统开发管理员负责,并根据检测情况填写《应用系统安全性能检测表》。 (三)安全防护系统安全性能检测由安全管理员负责,并根据检测情况填写《安全系统安全性能检测表》。 (四)用户终端安全检测由网络管理员负责,并根据检测情况填写《终端用户安全性能检测表》。 (五)漏洞扫描安全检测由系统管理员负责,并根据检测情况填写《系统漏洞扫描安全性能检测表》。 第十条安全管理员汇总各类安全性能检测表和整改情况后上报某单位信息化工作领导小组办公室和有关领导。 第三章附则 第十一条本规定由某单位网络信息中心负责解释。 第十二条本规定自发布之日起施行。
信息网络安全检查表 附: 信息网络安全检查表 经营业务被检查单位范围 单位地址邮政编码 单位负责人联系电话 安全员联系电话 网站中文名 E-mail邮箱 网址 IDC? 论坛? 留言板? 聊天室? 即时通讯? 设置的网络服务项目电子邮件? 网页制作? P2P? 短信息? 1、有无建立机房管理制度有? 无? 2、有无建立电子公告服务、个人主页等栏目的信息审核、登记制度有? 无? 3、有无对BBS栏目实行先审后发制度有? 无? 4、新闻网站和具有新闻登载资格的非新闻单位网站对新闻栏目有无实有? 无? 行先审后发制度 5、有无对新闻编辑人员实行资格认证和岗位责任制有? 无? 6、有无建立链接网站和聊天室等有害信息的检查管理制度有? 无? 7、有无建立信息监视制度有? 无? 8、有无建立信息的保存、清除和备份制度有? 无? 9、有无建立病毒检测和网络安全漏洞检测制度有? 无? 安全管理 制度 10、有无建立违法案件报告和协助查处制度有? 无? 11、有无建立帐号使用登记和操作权限管理制度有? 无? 12、有无落实安全管理人员岗位工作职责有? 无?
13、有无建立信息审查人员和用户的安全教育培训制度有? 无? 14、有无建立值班制度有? 无? 15、是否有个人主页上传信息管理制度有? 无? 16、是否有搜索引擎安全管理制度有? 无? 17、有无其他与安全保护相关的管理制度有? 无? 18、有无根据公安机关要求,提供有关安全管理和安全保护的技术资料有? 无? 和信息 19、系统网络运行日志和用户使用日志记录有无保存60日有? 无? 检查上门 以上用户日志20、有无记录,,地址分配及使用情况有? 无? 记录留存安全技术21、有无记录交互式信息发布者、主页维护者、邮箱使用制度情况措施者和拨 号用户上网的起止时间和对应,,地址、交互式栏有? 无? 目的信息等 22、是否具有安全审计或预警功能是? 否? 23、有无采取计算机防黑客入侵和病毒防护功能有? 无? 24、使用何种计算机防病毒软件 25、有无其他保护信息和系统网络安全的技术措施有? 无? 26、有无发送控制和有害信息过滤封堵技术措施有? 无? 27、没有取得新闻登载资格的网站,有无登载时政、社会、文化(不包有? 无? 括娱乐)三类新闻 28、网站有无链接境外媒体网站和港澳台网站。有? 无? 29、有无建立措施配合公安机关追查有害信息、有害电子邮件的来源,有? 无? 协助做好取证工作。 30、有无与公安机关建立联络员工作关系有? 无? 31、在紧急的情况下(包括非上班时间和节假日),联络员是否可以按 公安机关的要求及时查询资料(如IP等),是否可以按公安机关要求是? 否?
网络与信息安全检查项目表 类别检查项目检查内容检查要求 明确信息安全主管领导、责任人、信息安全管理员,制定岗位职责文件和 组织管理与规 章制度网络与信息安 全管理组织 日常管理工作 规章制度情况 信息安全责任制落实情况 信息安全培训情况 信息安全管理策略情况 信息安全测评、系统安全定级、信息安全检 查和风险评估工作 网络与信息安全政策落实情况 信息安全管理职责、信息安全情况报告制 度、资产安全管理制度、系统运行安全管理 制度、安全应急响应及事故管理制度等 操作规程等(要提供相应文档) 信息安全责任人、管理员定期参加有关单位的信息安全培训。对本单位全 体人员进行了信息安全培训(提供培训计划、培训内容、培训成绩、人员) 制定了详细的信息安全管理策略,并有专人负责,定期进行检查(要提供 检查纪录) 有工作开展的相关文档、记录、总结 国家有关网络与信息安全文件(计算机信息网络国际联网安全保护管理办 法等)的落实情况 制定了严格的规章制度,并认真落实(提供所有制度文档)。 保密承诺书重要岗位、涉密岗位人员保密承诺书是否签订,是否及时更新,新入岗、离岗人员均要签订保密承诺。 网络运行及关 键安全设备情 况网络基本情况 网络使用情况网络设计使用符合相关规定要求。 网络与信息系统集成、设计与监理情况集成商、设计单位、监理单位必须具备相关资质(要有资质证书复印件)
网络与信息安全产品防火墙、入侵检测、安全审计、漏洞扫描、 违规外联监控、网页防篡改、网络安全隔离 网闸、病毒防范等安全产品以及密码设备 必须采用通过国家保密局涉密信息系统安全保密测评机构、国家及省级信 息安全测评机构测评的测评资质证书,公安部销售许可证;密码产品及研发、 生产、销售企业必须具有国家密码管理局的许可资质(各类资质要有资质证 书复印件)
单位:长春市第一五七中学网络与信息安全检查表检查时间:2017.10 类别检测项目检查内容检查要求检查记录检查结果 网络安全基础设施建设 网络架构安全 网络结构设计、网络划分网络结构设计、网络划分符合相关要求 是否有不经过防火墙的外联链 路(包括拨号外联) 外网与内网的连接链路(包括拨号外联)必须 经过防火墙 网络拓扑结构图提供当前网络的网络拓扑结构图 网络分区管理 生产控制大区和管理信息大区之间是否按电监 会5号令要求部署了专用隔离装置 网络使用的各种硬 件设备、软件等 各种硬件设备、软件和网络接口是 否经过安全检验、鉴定、认证。 各种硬件设备、软件和网络接口均经过安全检验、 鉴定、认证。 广域网建设情况 广域网是否按集团规定进行建 设、并按规定进行连接 广域网按集团规定进行建设、并按规定进行连 接 网络承建单位情况 网络承建单位是否具有相关资 质 网络承建单位具有相关资质(查看相关资质文 件) 网络内部数据信息 网络内部数据信息的产生、使 用、存储和维护是否安全、合理 等 网络内部数据信息的产生、使用、存储和维护 安全、合理 机房环境安全 机房环境安全 主机房是否安装了门禁、监控与 报警系统 主机房安装了门禁、监控与报警系统 是否有详细的机房配线图有详细的机房配线图 机房供电系统是否将动力、照明 用电与计算机系统供电线路分 开 机房供电系统已将动力、照明用电与计算机系 统供电线路分开 机房是否配备应急照明装置机房有配备应急照明装置 是否定期对UPS的运行状况进 行检测 定期对UPS的运行状况进行检测(查看半年内 检测记录) 是否安装机房自动灭火系统,是安装机房自动灭火系统,配备机房专用灭火器,
网络与信息安全检查表 单位名称:嘉兴市妇幼保健院 一、信息安全组织机构基本情况 信息安全责任部门信息科 分管信息安全工作的领导(如单位正副职领导)①姓名:王立中;职务:副院长; ②姓名:;职务:; 信息安全管理机构(如信息中心)①名称:信息科; ②负责人:沈碧飞;职务:科长; ③联系人:龚林峰;电话:; 信息安全专职工作处室(如信息科)①名称:; ②联系人:;电话:; 信息安全责任部门职责 (可附件另附) 二、重要信息系统基本情况 重要信息系统总数:(请另附系统简介清单) 系统定级情况第一级:个第二级:个第三级:个第四级:个第五级:个未定级:个 等级保护测评完成等级保护测评系统的名称及对应等级:①; ②; ③; ④; 服务对象统计①面向社会公众提供服务的系统数量及等级:; ②非面向社会公众提供服务的系统数量及等级:; 联网情况统计①通过互联网可直接访问的系统数量及等级:; ②通过互联网不能直接访问的系统数量及等级:;其中,与互联网物理隔离的系统数量及等级:;
数据集中性统计①省级数据集中的系统数量及数据类型:; ②市级数据集中的系统数量及数据类型:; ③县级数据集中的系统数量及数据类型:; ④未进行数据集中的系统数量:; 业务连续性统计①可容忍值小于小时的系统数量:; ②可容忍值大于小时,小于小时的系统数量:; ③可容忍值大于小时的系统数量:; 系统灾备统计①定期对系统级进行灾备的系统数量:; ②仅对数据库定期进行灾备的系统数量:; ③无灾备措施的系统数量:; 业务应用软件系统(统计年内数据)①自主设计开发(不含二次开发)的套数:; ②外包国内服务商开发的套数:; 外包国外服务商开发的套数:; ③直接采购国内服务商产品的套数:; 直接采购国外服务商产品的套数:; 三、日常信息安全运维管理情况 人员安全管理①重点岗位人员安全保密协议:全部签订部分签订均未签订; ②人员离岗离职安全管理规定:已制定未制定; ③外部人员机房访问管理制度及权限审批制度:已建立未建 立; 设备资产管理①资产管理制度:已建立未建立; ②机房设备标签:全部标签合格部分标签合格无标签; ③设备维修维护和报废管理: 已建立管理制度,且维修维护和报废记录完整; 已建立管理制度,但维修维护和报废记录不完整; 未建立管理制度; 机房安全管理①机房管理制度:已建立未建立; ②机房日常运维记录:完整详实部分简略无记录; ③人员进出机房记录:完整详实部分简略无记录; ④机房物理环境:达标未达标; 采购预算保障①年度采购方案及预算:已建立未建立; ②采购合同:完整部分完整; ③安全设备采购比例:> > <; 外包服务管理①外包服务商资质证书:齐全部分齐全; ②外包服务合同:完整部分完整;
百度文库- 让每个人平等地提升自我 国际联网信息系统网络安全检查表 时间:年月日被检单位名称 单位地址 负责人联系电话 联网情况接入方式(服务商) _______________________ 账号(电话) _____________________________ 联网主机数 _______________________________ IP地址 ___________________________________ 服务内容 _________________________________ 联网用途 _________________________________ 网络拓扑图: (附后) 组织制度单位成立网络安全小组,确立安全小组负责人(单位领导任组长),确立组长负责制 组长落实小组人员岗位工作职责 配备2到4名计算机安全员,须持证上岗 制定网络安全事故处置措施 安全保护管理制度计算机机房安全保护管理制度 用户登记制度和操作权限管理制度 网络安全漏洞检测和系统升级管理制度 交互式栏目24小时巡查制度 电子公告系统用户登记制度 信息发布审核、登记、保存、清除和备份制度,信息群发服务管理制度 违法案件报告和协助查处制度 备案制度 安全保护技术措施具有保存60天以上系统网络运行日志和用户使用日志记录功能,内容包括IP地址分配及使用情况,交互式信息发布者、主页维护者、邮箱使用者和拨号用户上网的起止时间和对应IP地址,交互式栏目的信息等 安全审计及预警措施 网络攻击防范、追踪措施 计算机病毒防治措施 身份登记和识别确认措施 交互式栏目具有关键字过滤技术措施 开设短信息服务的具有短信群发限制、过滤和删除等技术措施 开设邮件服务的,具有垃圾邮件清理功能
附件 1 XXXXXXX网络安全检查表一、部门基本情况 部门(单位)名称 分管网络安全工作的领导(如副厅长) 网络安全管理机构 (如办公室)① 姓名: ② 职务: ① 名称: ② 负责人: ③ 联系人: 职务: 办公电话: 移动电话: 网络安全专职工作处室(如信息中心、网络安全科 等) 网络安全从业人员① 名称: ② 负责人:办公电话: 移动电话: ① 本单位网络安全从业人员总数:,其中有网络安全从 业资格的人员数量: ② 网络安全从业人员缺口: 二、信息系统基本情况 ① 信息系统总数: ② 网络连接情况 信息系统可以通过互联网访问的系统数量:情况不能通过互联网访问的系统数量: ③ 面向社会公众提供服务的系统数量: ④ 本年度经过安全测评的系统数量: 互联网接入口总数: 互联网接入□接入中国联通接入口数量:情况□接入中国电信接入口数量: □其他:中国移动接入口数量: 第一级:个第二级:个 第三级:个已开展年度测评 系统等级第四级:个已开展年度测评 保护情况第五级:个已开展年度测评 未定级:个接入带宽:MB 接入带宽:MB 1接入带宽:8 MB 个测评通过率 个测评通过率 个测评通过率
三、网络安全日常管理情况 人员管理 资产管理网络安全规划① 岗位网络安全责任制度:□已建立□未建立 ② 重点岗位人员安全保密协议:□全部签订□部分签订□均未签订 ③ 人员离岗离职安全管理规定:□已制定□未制定 ④ 外部人员访问机房等重要区域审批制度:□已建立□未建立 ① 资产管理制度:□已建立□未建立 ② 设备维修维护和报废管理: □已建立管理制度,且记录完整 □已建立管理制度,但记录不完整 □未建立管理制度 规划制定情况(单选): □制定了部门(单位)的网络安全规划 □在部门(单位)总体发展规划中涵盖了网络安全规划 □无 四、网络安全防护情况 ① 网络安全防护设备部署(可多选) □防火墙□入侵检测设备□安全审计设备网络边界 □防病毒网关□抗拒绝服务攻击设备 □其他: 安全防护 ② 设备安全策略配置:□使用默认配置□根据需要配置 ③ 网络访问日志:□留存日志□未留存日志 ① 本单位使用无线路由器数量: ② 无线路由器用途: □访问互联网:个 无线网络 □访问业务 /办公网络:个③ 安全防护策略(可多选): 安全防护 □采取身份鉴别措施□采取地址过滤措施 □未设置安全防护策略 ④ 无线路由器使用默认管理地址情况:□存在□不存在 ⑤ 无线路由器使用默认管理口令情况:□存在□不存在
最全安全检查表汇编第一部分安全管理篇 1. 综合安全管理检查表 2. 安全生产规章制度检查表 3. 安全生产责任制度检查表 4. 安全教育检查表 5. 事故管理检查表 6. 安全档案检查表 7. 特种设备安全管理检查表 8. 应急救援预案安全检查表 第二部分机械篇 9. 车床安全检查表 10. 铣床安全检查表 11. 刨床安全检查表 12. 冲、剪、压机械安全检查表 13. 电焊机安全检查表 14. 破碎机安全检查表 15. 砂轮机安全检查表 16. 压力机安全检查表 17. 水压机安全检查表 18. 皮带运输机安全检查表 19. 型材挤压机安全检查表 20. 锻造机械检查表 21. 铸造机械安全检查表 22. 木工机械安全检查表 23. 光学机械安全检查表 24. 热交换器安全检查表 25. 吊具安全检查表 第三部分电气篇
26. 电气线路安全检查表 27. 电气检修作业安全检查表 28. 临时用电线路安全检查表 29. 手持电动工具安全检查表 30. 电网接地系统安全检查表 31. 防雷接地装置安全检查表 32. 车间动力配电箱安全检查表 33. 电气试验站(台、室)安全检查表第四部分特种设备篇 34. 起重机械安全检查表 35. 锅炉安全检查表 36. 压力容器安全检查表 37. 压力管道安全检查表 38. 电梯安全检查表 39. 客运索道安全检查表 40. 大型游乐设施安全检查表 41. 高压气瓶安全检查表 42. 溶解乙炔气瓶安全检查表 第五部分生产场所篇 43. 车间安全检查表 44. 安全标志检查表 45. 厂区道路设施安全检查表 46. 工件材料堆放安全检查表 47. 设备设施间距安全检量表 48. 仓库安全检查表 49. 变、配电站安全检查表 50. 空压站安全检查表 51. 配电室安全检查表 52. 制氧站安全检查表 53. 加油站安全检查表
长春市第一五七中学网络与信息安全检查表 ①重点岗位人员安全保密协议:全部签订部分签订均未签订; ②人员离岗离职安全管理规定:已制定未制定; ③外部人员机房访问管理制度及权限审批制度:已建立未 建立; ①资产管理制度:已建立未建立; ②机房设备标签:全部标签合格部分标签合格无标签; ③设备维修维护和报废管理: 已建立管理制度,且维修维护和报废记录完整; 已建立管理制度,但维修维护和报废记录不完整; 未建立管理制度; ①机房管理制度:已建立未建立; ②机房日常运维记录:完整详实部分简略无记录; ③人员进出机房记录:完整详实部分简略无记录; ④机房物理环境:达标未达标; ①互联网接入口总数:_____个;其中: 电信接入口数量:_____个; 移动接入口数量:_____个; 联通接入口数量:_____个; 其他:____________ 接入口数量:_____个; ②网络安全防护设备部署(可多选): 防火墙防篡改入侵检测设备安全审计设备 防病毒网关抗拒绝服务攻击设备 其它:________________________; ③网络访问日志:留存日志周期_____ 未留存日志 ④安全防护设备策略:使用默认配置根据应用自主配置 办公区域无线局域网接入设备(无线路由器)数量:个; ①网络用途: 访问互联网:_____个;
访问业务/办公网络:_____个; ②安全防护策略(可多选):采取身份鉴别措施:_____个; 采取地址过滤措施:_____个;未设置:_____个; ①入侵检测系统:已部署未部署; ②防火墙技术:已部署未部署; ③漏洞扫描技术:已部署未部署; ④访问权限设置:有无; ①数据库管理制度:完整并落实未落实无; ②Root账户权限设置:分级设置未分级设置; ③数据备份周期:实时,定期:周期_____,不定期; ①网页防篡改措施:采用、未采用; ②漏洞扫描:定期扫描,周期_____ 不定期、未进行; ③信息发布管理: 已建立审核制度,且审核记录完整; 已建立审核制度,但审核记录不完整; 未建立审核制度; ④管理员口令复杂度策略: 高(包含数字、大小写字母、特殊符号,8位以上); 中(数字、字母,6位以上); 低(单一数字、字母,6位以下); 是否设置有效时间:是周期:_____ 否; ①邮箱注册:注册邮箱账号须经审批任意注册使用; ②账户口令防护: 使用技术措施控制和管理口令强度; 无口令强度限制技术措施;
竭诚为您提供优质文档/双击可除政府信息系统安全自查情况报告表 篇一:信息系统安全自查报告20XX **市旅游局20XX年政府信息系统安全 检查工作自查报告 市工信委: 根据《关于开展20XX年全市重点领域网络与信息安全 检查的通知》(洪工信字【20XX】177号)文件的精神,我局领导高度重视,立即组织开展全局范围的信息系统安全检查工作。按照《中华人民共和国计算机信息系统安全保护条例》、《**市政府信息系统安全检查指南》的要求,我局对政务网站信息安全管理工作认真组织自查,现将情况汇报如下:我局信息系统运转以来,能严格按照上级部门要求,积极完善各项安全制度、充分加强信息化安全工作人员教育培训、全面落实安全防范措施、全力保障信息安全工作经费,信息安全风险得到有效降低,应急处置能力得到切实提高,保证了政府信息系统持续安全稳定运行 一、信息安全制度落实情况
1、建立管理机构。我局于20XX年成立了信息安全和保密管理工作领导小组,并于20XX年调整后,由局长**任组长,副调研员**负责分管信息安全工作。各科室负责人为成员,办公室设在局办公室,设专人负责处理日常工作。 2、建立建全信息安全制度。我局专门制订了信息化工作有关规章制度,对信息化工作管理、内部电脑安全管理、计算机及网络设 备管理、数据、资料和信息的安全管理、网络安全管理、计算机操作人员管理、网站内容管理、网站维护责任等各方面都作了详细规定,进一步规范了我局信息安全管理工作。并在今年对信息安全制度进行了修订,完善制度,确保政府信息系统安全防护措施。 二、日常信息安全管理情况 1.在信息收集上传过程中,由办公室统一协调,各处室、下属单位把信息统一上报至局办公室,由局办公室审核后再把信息上传发布,从而保证了信息上传的准确性、安全性,决执行“谁主管谁负责、谁运行谁负责、谁使用谁负责”的管理原则。 2.我局严格文件的收发工作,完善了清点、整理、编号、签收制度,并要求信息管理员定期进行系统全备份。 3.我局每台涉密计算机采用独立内网管理,不与外网接触,防火墙、杀毒软件等皆为国产产品,公文处理软件具体
2020年网络与信息安全检查表 类别检测项目检查内容检查要求检查记录检查结果 网络安全基础设施建设 网 网络架构安全 网络结构设计、网络划分网络结构设计、网络划分符合相关要求 是否有不经过防火墙的外联链 路(包括拨号外联) 外网与内网的连接链路(包括拨号外联)必须 经过防火墙 网络拓扑结构图提供当前网络的网络拓扑结构图 网络分区管理 生产控制大区和管理信息大区之间是否按电监 会5号令要求部署了专用隔离装置 网络使用的各种硬 件设备、软件等 各种硬件设备、软件和网络接口是 否经过安全检验、鉴定、认证。 各种硬件设备、软件和网络接口均经过安全检验、 鉴定、认证。 广域网建设情况 广域网是否按集团规定进行建 设、并按规定进行连接 广域网按集团规定进行建设、并按规定进行连 接 网络承建单位情况 网络承建单位是否具有相关资 质 网络承建单位具有相关资质(查看相关资质文 件) 网络内部数据信息 网络内部数据信息的产生、使 用、存储和维护是否安全、合理 等 网络内部数据信息的产生、使用、存储和维护 安全、合理 机房环境安全 机房环境安全 主机房是否安装了门禁、监控与 报警系统 主机房安装了门禁、监控与报警系统 是否有详细的机房配线图有详细的机房配线图 机房供电系统是否将动力、照明 用电与计算机系统供电线路分 开 机房供电系统已将动力、照明用电与计算机系 统供电线路分开 机房是否配备应急照明装置机房有配备应急照明装置 是否定期对UPS的运行状况进 行检测 定期对UPS的运行状况进行检测(查看半年内 检测记录) 是否安装机房自动灭火系统,是安装机房自动灭火系统,配备机房专用灭火器,
类别检测项目检查内容检查要求检查记录检查结果 络安全基础设施建设否配备机房专用灭火器,是否定 期对灭火装置进行检测 定期对灭火装置进行检测 是否有防雷措施,机房设备接地 电阻是否满足要求,接地线是否 牢固可靠 机房有防雷措施,机房设备接地电阻满足要求, 接地线牢固可靠(直流工作接地≤1欧,接 地地位差≤1V;交流工作交流工作接地系统 接地电阻:<4Ω、零地电压<1V;计算机 系统安全保护接地电阻及静电接地电阻:< 4Ω) 机房温度是否控制在摄氏18-25 度以内 机房温度控制在摄氏18-25度以内 安全技术防范措施核心网络设备、系统 安全配置 交换机、路由器、防火墙等网络 设备的安全设置情况;操作系统 的安全配置、版本及补丁升级情 况 交换机、路由器、防火墙等均根据安全要求进 行了正确设置;操作系统的安全配置、版本及 补丁升级情况。 网络设备配置是否进行了备份 (电子、物理介质) 网络设备配置进行了备份(电子、物理介质)应用安全配置 应用安全配置 应用安全配置、身份鉴别策略 相关服务进行正确的安全配置、身份鉴别情况WWW服务用户账户、口令是否强 健 WWW服务用户账户、口令强健(查看登录) 信息发布是否进行了分级审核信息发布进行了分级审核(查看审核记录) 用于业务系统维护的远程拨号 访问是否采取了身份验证、访问 操作记录等措施。 用于业务系统维护的远程拨号访问采取了身份 验证、访问操作记录等措施。 用户账户的变更、修改、注销是 否有记录 用户账户的变更、修改、注销有记录(查看半 年记录情况)
广东鸿联九五信息产业有限公司 网络与信息安全检查 情况报告 去年以来,我司大力实施信息化基础建设,严格落实信息系统安全机制,从源头做起,从基础抓起,不断提升信息安全理念,强化信息技术的安全管理和保障,加强对包括设备安全、网络安全、数据安全等信息化建设全方位的安全管理,以信息化促进公司管理的科学化和精细化。 一、提升安全理念,健全制度建设 我司结合信息化安全管理现状,在充分调研的基础上,制定了《机房进出登记表》、《系统故障处理表》、《厂商巡检报告》、《设备进出机房登记表》、《生产设备定期检查表》、《生产用户权限申请表》、《系统变更申请表》、《机房应急管理制度》、《机房巡检登记表》、《机房设备到期检查表》、《设备维修记录表》等以公文的形式下发执行,把安全教育发送到每一个岗位和人员。进一步强化信息化安全知识培训,广泛签订《保密协议》。进一步增强公司的安全防范意识,在全公司统建立保密及信息安全工作领导小组,由技术部经理毛伟为组长,网络工程师主管谢嘉为副组长,技术部罗江林()为网络安全管理员,负责公司的网络信息安全工作。 二、着力堵塞漏洞,狠抓信息安全
我司现有计算机85台,每个工作人员使用的计算机按涉密用、内网用、外网用三种情况分类登记和清理,清理工作分为自我清理和检查两个步骤。清理工作即每个干部职工都要对自己使用的计算机(含笔记本电脑)和移动存储介质,按涉密用、内网用、外网用进行分类,并进行相应的信息清理归类,分别存储。检查组办公室成员对各类计算机和移动存储介质进行抽查,确保所有计算机及存储设备都符合保密的要求。 定期巡查,建立安全保密长效机制。针对不同情况采用分类处理办法(如更新病毒库、重装操作系统、更换硬盘等),并制定相应制度来保证长期有效。严肃纪律,认真学习和严格按照《计算机安全及保密工作条例》养成良好的行为习惯,掌握安全操作技能,强化安全人人有责、违规必究的责任意识和机制。 三、规范流程操作,养成良好习惯 我司要求全系统工作人员都应该了解信息安全形势,遵守安全规定,掌握操作技能,努力提高全系统信息保障能力,提出人人养成良好信息安全习惯“九项规范”。 1、禁止用非涉密机处理涉密文件。所有涉密文件必须在涉密计算机上处理(包括编辑、拷贝和打印),内外网计算机不得处理、保存标密文件。 2、禁止在外网上处理和存放内部文件资料。
附件1 网络安全检查表 一、网络安全机构和人员 网络安全工作主管领导姓名职务 网络安全专职机构 网络安全专职机构负责人机构名称 主要职责 姓名 办公电话 机构级别 职务 联系电话 专职网络安全管理人员数量专职网络安全技术人员数量业务相关安全人员数量 安全人员资质情况 获奖情况及激励措施 二、日常管理情况 人员管理岗位网络安全责任制度 重点岗位人员安全保密协议 人员离岗离职安全管理规定 外部人员访问审批制度 □已建立□未建立 □全部签订□部分签订□均未签订 □已制定□未制定 □已建立覆盖全部区域□覆盖重要区域□未建立资产管理 责任部门 资产管理责任 部门名称 主要职责 部门级别 资产管理 制度 资产清查□已建立□未建立 清查时间清查范围 资产维修维护和报废管理管理制度 记录情况 □已建立□未建立 □记录完整□记录不完整
网络安全 规划企业级网络安全规划 企业级网络安全规划 □已制定□未制定 □已制定□未制定 三、用户个人电子信息和数据安全保护情况 用户个人电子信息保护 数据安全管理制度 管理措施 技术手段 管理制度 责任部门 数据存储 情况 数据安全 专项评估 □已建立用户信息保护制度□未建立用户信息保护制度 □授权管理□安全审计□金库模式□其他 □数据防泄露产品□数据防篡改产品□数据模糊化□数据加 密产品□其他 □已建立数据安全保护制度□未建立数据安全保护制度 存储地点□全部境内存储□部分境内存储□全部境外存储 存储模式□未集中存储□省级集中存储□全国集中存储 评估机构 评估时间 评估结果 外包服务总量 机构名称 □系统开发企业□第三方机构□ 机构类型 安全企业□其他: 机构性质 □系统研发□系统集成□运行维护 外包服务中的外包服务机服务类型□安全检测□安全加固□应急支持 数据保护情况构情况 服务方式 □数据存储□灾难备份□其他: □远程□现场 □已签订 数据安全条款或协议 涉及合作相关的额数据泄露责任 归属情况 □未签订 □已明确 □未明确 (如有多个外包服务机构每个机构需单独填写,可在电子版中扩充)
陕西煤业化工集团神木电化发展有限公司关于开展网络与信息安全 专项检查工作汇报 2016年6月9日
关于开展网络与信息安全专项检查工作汇报 根据榆林电力分公司的要求及安排,要求各并网电厂开展网络与信息安全专项检查的自查工作,我公司从上到下非常重视,根据通知下发的内容,结合我公司实际生产情况,积极对公司的调度网、计算机监控系统、机组分散控制系统、负荷控制系统等专项自查活动。具体自查情况如下: 一、自查工作组织开展情况: 成立专门领导小组后,本次专项检查人员包括:生产常务副总王志埃;生产技术部部长任志华、副部长马晓军、周东瑜;安环部副部长李智文、热电分厂厂长刘伟、主任工程师刘丽;电石分厂厂长折永峰、副厂长姚小平;生产技术部专工及各分厂技术员等。根据榆林分公司调度中心下发的各站安全防护检查表内容,进行全公司全面的自查活动。 1、规章制度建立、落实情况:目前我公司电石热电分厂已经建立了相关的规章制度,主要制度有信息系统用户和权限管理制度、系统变更管理制度、计算机及相关设备安全管理制度、机房管理制度、变电站运行管理制度、厂家技术人员安全管理制度、变电站消防安全管理制度、备份管理制度、DCS系统软件及防病毒管理制度、DCS系统维护管理制度、DCS软件管理制度、DCS故障的紧急处理措施等。通过制度的实施来规范管理,并同时强化宣传教育,落实工作责任,加强日常监督检查,来监督网络、信息安全工作。 2、组织机构的完善情况: 我公司建立了由生产常务副总直接领导的信息化领导小组,生产技术部部长任领导小组副组长,组员由各分厂、部门第一责任人组成,负责信息化建设和信息安全管理。信息化工作小组由信息中心员工组成,负责信息化建设和信息安全
信息系统安全等级测评 基本情况调查表 股份有限公司** 目录 表1-1. 单位基本情况调查.................................................................................................................................................................. (1) 表1-2. 参与人员名单................................................................................................................................................................ (2) 表1-3. 物理环境情况................................................................................................................................................................ (3) 表1-4. 信息系统基本情况.................................................................................................................................................................. (4) 表1-5. 信息系统承载业务(服务)情况................................................................................................................................................................ .. (5) 表1-6. 网络结构(环境)情况调查................................................................................................................................................................ . (6) 表1-7. 外联(网络边界)情况调查................................................................................................................................................................