主机安全检查-SQL Server 安全检查流程
1. 设备编号规则
编号规则:设备类型_客户名称_部门名称—数字编号。
设备类型(S—服务器;PC鉴端;FV W防火墙,R0路由器,SW交换机); 客户名称(拼音缩写);
部门名称(拼音缩写);
数字编号使用三位数字顺序号。
2. 主机信息
3. 安全检查
3.1.获取应用服务信息
编号:SQL-01003 名称:获取服务监听端口和地址
说明:
获取SQL Server所监听端口和地址
检查方法:
开始菜单-> 程序->Microsoft SQL Server-〉企业管理器-> 控制台目录-> Microsoft SQLServers->SQL Server 组,在要查看的服务器上右键查看“属性”
-> “常规”
->网络配置,选中“启用协议”中相关协议,察看“属性” 检查风险(对系统
的影响,请具体描述): 无
检查结果: 适用版本:
All
备注:
编号: SQL-01006 名称: 获取数据库维护人员信息
说明:
获取与SQL Server 所有数据库维护人员以及主机维护人员名单 检查方法:
询问相关人员:
每个数据库的管理员是谁? 系统管理员是谁? 「检查风险(对系统的影响,请具体描述): 无
检查结果:
适用版本:
All
「备注:
编号: SQL-01007
|名称:
获取数据库备份方式
说明:
获取与SQL Server 数据库备份方式
编号:
SQL-01007 名称: 获取数据库备份方式 |说明:
检查方法:
询问相关人员:
谁在什么时候用什么方法把哪些数据备份到什么地方? 谁在什么情况下决定用什么方法把哪些地方如何恢复? 检查风险(对系统的影响,请具体描述):无
检查结果:
适用版本:
All
备注:
32 补丁安装情况
33 帐号和口令
编号:SQL-03001 名称:获取SQL Server系统中账号
说明:
获取当前SQL Server系统中所有用户信息
检查方法:
开始菜单->程序-'Microsoft SQL Server->SQL 查询分析器,登录后在查询中输入:use master
Select n ame,password from syslog ins order by n ame
检查风险(对系统的影响,请具体描述): 无
检查结果:适用版本:
A^
备注:
编号:SQL-03003 名称:获取无密码用户列表
说明
获取当前SQL Server系统中所有无密码用户
检查方法:
开始菜单->程序->Microsoft「SQL「Server->SQL—查询分析器,登录后在查询中输入:Use master
Select n ame,password
from syslog ins
where password is null
order by n ame
检查风险(对系统的影响,请具体描述):
无
检查结果:适用版本:
All
备注:
编号:|_SQL-03004 |名称:|用户访问许可
说明:
获取用户访问许可
检查方法:
开始菜单-> 程序->Microsoft SQL Server->企业管理器-> 控制台目录-> Microsoft SQL Servers->SQL Server 组,选择要查看的服务器中“用户”
检查风险(对系统的影响,请具体描述):
无
检查结果:适用版本:
3.4. 服务安全
3.5. 文件系统
xxx有限公司 信息安全评估报告(管理信息系统) x年x月
1目标 xxxxxxxxx公司信息安全检查工作的主要目标是通过自评估工作,发现本公司电子设备当前面临的主要安全问题,边检查边整改,确保信息网络和重要信息系统的安全。 2评估依据、范围和方法 2.1 评估依据 《信息安全技术信息安全风险评估规范》(GB/T 20984-2007) 《信息技术信息技术安全管理指南》 2.2 评估范围 本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等,管理信息系统中业务种类相对较多、网络和业务结构较为复杂,在检查工作中强调对基础信息系统和重点业务系统进行安全性评估,具体包括:基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。 2.3 评估方法 采用自评估方法。 3重要资产识别 对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总,形成重要资产清单。资产清单见附表1。 4安全事件 对公司半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记 录,形成本公司的安全事件列表。 本公司至今没有发生较大安全事故。 5安全检查项目评估 5.1 规章制度与组织管理评估 规章制度详见《计算机信息系统及设备管理办法》 5.1.1组织机构
5.1.1.1 评估标准 信息安全组织机构包括领导机构、工作机构。 5.1.1.2 现状描述 本公司已成立了信息安全领导机构,但尚未成立信息安全工作机构。 5.1.1.3 评估结论 完善信息安全组织机构,成立信息安全工作机构。 5.1.2岗位职责 5.1.2.1 评估标准 岗位要求应包括:专职网络管理人员、专职应用系统管理人员和专职系统管理人员;专责的工作职责与工作范围应有制度明确进行界定;岗位实行主、副岗备用制度。 5.1.2.2 现状描述 我公司没有配置专职网络管理人员、专职应用系统管理人员和专职系统管理人员,都是兼责;专责的工作职责与工作范围没有明确制度进行界定,岗位没有实行主、副岗备用制度。 5.1.2.3 评估结论 我公司已有兼职网络管理员、应用系统管理员和系统管理员,在条件许可下,配置专职管理人员;专责的工作职责与工作范围没有明确制度进行界定,根据实际情况制定管理制度;岗位没有实行主、副岗备用制度,在条件许可下,落实主、副岗备用制度。
Microsoft SQL Server数据库系 统安全配置基线 目 录 第1章 概述 (2) 1.1 目的 (2) 1.2 适用范围 (2) 1.3 适用版本 (2) 第2章 口令 (3) 2.1 口令安全 (3) 2.1.1 SQLServer用户口令安全 (3) 第3章 日志 (4) 3.1 日志审计 (4) 3.1.1 SQLServer登录审计 (4) 3.1.2 SQLServer安全事件审计 (4) 第4章 其他 (6) 4.1 安全策略 (6) 4.1.1 通讯协议安全策略 (6) 4.2 更新补丁 (6) 4.2.1 补丁要求 (6)
第1章 概述 1.1 目的 本文档规定了SQL Server 数据库应当遵循的数据库安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行SQL Server 数据库的安全合规性检查和配置。 1.2 适用范围 本配置标准的使用者包括:数据库管理员、应用管理员、网络安全管理员。 1.3 适用版本 SQL Server系列数据库;
第2章 口令 2.1 口令安全 2.1.1SQLServer用户口令安全 安全基线项 数据库管理系统SQLServer用户口令安全基线要求项 目名称 安全基线SBL-SQLServer-02-01-01 安全基线项 对用户的属性进行安全检查,包括空密码、密码更新时间等。修改目前所有说明 账号的口令,确认为强口令。特别是sa 账号,需要设置至少10位的强口令。 检测操作步 1.检查password字段是否为null。 骤 2.参考配置操作 查看用户状态 运行查询分析器,执行 select * from sysusers Select name,Password from syslogins where password is null order by name # 查 看口令为空的用户 password字段不为null。 基线符合性 判定依据 备注
四川长虹电器股份有限公司 虹微公司管理文件 信息系统安全漏洞评估及管理制度 ××××–××–××发布××××–××–××实施 四川长虹虹微公司发布
目录 1概况 (3) 1.1目的 (3) 1.2目的 ............................................................................................................................. 错误!未定义书签。2正文 . (3) 2.1. 术语定义 (3) 2.2. 职责分工 (4) 2.3. 安全漏洞生命周期 (4) 2.4. 信息安全漏洞管理 (4) 2.4.1原则 (4) 2.4.2风险等级 (5) 2.4.3评估范围 (6) 2.4.4整改时效性 (6) 2.4.5实施 (7) 3例外处理 (8) 4检查计划 (9) 5解释 (9) 6附录 (9)
1概况 1.1目的 1、规范集团内部信息系统安全漏洞(包括操作系统、网络设备和应用系统)的评估及管理,降低信息系统安全风险; 2、明确信息系统安全漏洞评估和整改各方职责。 1.2适用范围 本制度适用于虹微公司管理的所有信息系统,非虹微公司管理的信息系统可参照执行。2正文 2.1. 术语定义 2.1.1.信息安全 Information security 保护、维持信息的保密性、完整性和可用性,也可包括真实性、可核查性、抗抵赖性、可靠性等性质。 2.1.2.信息安全漏洞 Information security vulnerability 信息系统在需求、设计、实现、配置、运行等过程中,有意或无意产生的缺陷,这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中,一旦被恶意主体利用,就会对信息系统的安全造成损害,影响信息系统的正常运行。 2.1. 3.资产 Asset 安全策略中,需要保护的对象,包括信息、数据和资源等等。 2.1.4.风险 Risk 资产的脆弱性利用给定的威胁,对信息系统造成损害的潜在可能。风险的危害可通过事件发生的概率和造成的影响进行度量。 2.1.5.信息系统(Information system) 由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统,本制度信息系统主要包括操作系统、网络设备以及应用系统等。
安全状况调查表 —徐刚 1. 安全管理机构 安全组织体系是否健全,管理职责是否明确,安全管理机构岗位设置、人员配备是否充分合理。 序号检查项结果备注 1. 信息安全管理机构 设置□ 以下发公文方式正式设置了信息安全管理工作的专门职能机构。 □ 设立了信息安全管理工作的职能机构,但还不是专门的职能机构。 □ 其它。 2. 信息安全管理职责 分工情况□ 信息安全管理的各个方面职责有正式的书面分工,并明确具体的责任人。 □ 有明确的职责分工,但责任人不明确。 □ 其它。 3. 人员配备□ 配备一定数量的系统管理人员、网络管理人 员、安全管理人员等; 安全管理人员不能兼任网 络管理员、系统管理员、数据库管理员等。 □ 配备一定数量的系统管理人员、网络管理人 员、安全管理人员等,但安全管理人员兼任网络 管理员、系统管理员、数据库管理员等。 □ 其它。 4. 关键安全管理活动 的授权和审批□ 定义关键安全管理活动的列表,并有正式成文的审批程序,审批活动有完整的记录。 □ 有正式成文的审批程序,但审批活动没有完整的记录。 □ 其它。 5. 与外部组织沟通合 作□ 与外部组织建立沟通合作机制,并形成正式文件和程序。 □ 与外部组织仅进行了沟通合作的口头承诺。□ 其它。 6. 与组织机构内部沟 通合作□ 各部门之间建立沟通合作机制,并形成正式文件和程序。 □ 各部门之间的沟通合作基于惯例,未形成正式文件和程序。 □ 其它。
2. 安全管理制度 安全策略及管理规章制度的完善性、可行性和科学性的有关规章制度的制定、发布、修订及执行情况。 检查项结果备注 1 信息安全策略□ 明确信息安全策略,包括总体目标、范围、原则和 安全框架等内容。 □ 包括相关文件,但内容覆盖不全面。 □ 其它 2 安全管理制度□ 安全管理制度覆盖物理、网络、主机系统、数据、 应用、建设和管理等层面的重要管理内容。 □ 有安全管理制度,但不全而面。 □ 其它。 3 操作规程□ 应对安全管理人员或操作人员执行的重要管理操作 建立操作规程。 □ 有操作规程,但不全面。 □ 其它。 4 安全管理制度 的论证和审定□ 组织相关人员进行正式的论证和审定,具备论证或审定结论。 □ 其它。 5 安全管理制度 的发布□ 文件发布具备明确的流程、方式和对象范围。□ 部分文件的发布不明确。 □ 其它。 6 安全管理制度 的维护□ 有正式的文件进行授权专门的部门或人员负责安全管理制度的制定、保存、销毁、版本控制,并定期评审与修订。 □ 安全管理制度分散管理,缺乏定期修订。 □ 其它。 7 执行情况□ 所有操作规程的执行都具备详细的记录文档。 □部分操作规程的执行都具备详细的记录文档。 □ 其它。 3. 人员安全管理 人员的安全和保密意识教育、安全技能培训情况,重点、敏感岗
好好学习社区 企业液氨(专项)安全检查表 企业名称: 企业人员: 服务电话: 检查人员:执法人员: 检查日期: 备注 序号检查项目检查内容及标准是否符合要 求 1 平面布置应符合GB50016第3.4.1、第3.5.2、第4.2.1条的要求是□否□ 2 安全管理主要负责人和安全管理人员持证情况(危化品类)是□否□ 是□否□ 建立建全安全生产责任制、规章制度(现场安全巡回检查、作业环境氨浓度检测、用电安全 管理等15个制度)和操作规程并及时修订 应制定重点部位的检修计划并记录(记录中应明确检查部位、方法、人员、周期等内容。是□否□ 压力容器和管道应按TSG R7001、TSG D0001定期检验是□否□ 重大危险源应符合《危险化学品重大危险源监督管理暂行规定》(安监总局40号令)是□否□ 3 应急管理企业应设置风向标是□否□ 液氨储存、装卸、使用场所应设置安全警示标志和安全告知牌是□否□ 液氨储存、装卸、使用场所应设置洗眼器和淋洗器是□否□ 液氨储存、装卸、使用场所的控制室或值班室应配备通讯、堵漏器材和工具、酸性饮料等是□否□ 是□否□ 液氨储存、装卸、使用场所应配备过滤式防毒面具(氨总量大于或等于30吨宜配备长管式 的)、正压式空气呼吸器(至少配备两套)、隔离式防护服、橡胶手套、胶鞋、化学安全防护 眼镜(一人一具) 应急预案应符合AQ/T9002-2006的要求,并定期演练是□否□ 是□否□ 4 安全监控氨气体浓度报警仪设置应符合《石油化工可燃气体和有毒气体检测报警设计规范》GB50493 的相关规定 氨气体浓度报警仪应与相应的事故排风机联锁是□否□ 氨气体浓度报警仪应定期检测(周期1年)是□否□ 液氨钢瓶储存区、储罐区、充装场所和大中型冷库应设置视频监控报警系统是□否□
Web应用安全配置基线 目 录 第1章 概述 (3) 1.1 目的 (3) 1.2 适用范围 (3) 1.3 适用版本 (3) 第2章 身份与访问控制 (4) 2.1 账户锁定策略 (4) 2.2 登录用图片验证码 (4) 2.3 口令传输 (4) 2.4 保存登录功能 (5) 2.5 纵向访问控制 (5) 2.6 横向访问控制 (5) 2.7 敏感资源的访问 (6) 第3章 会话管理 (7) 3.1 会话超时 (7) 3.2 会话终止 (7) 3.3 会话标识 (7) 3.4 会话标识复用 (8) 第4章 代码质量 (9) 4.1 防范跨站脚本攻击 (9) 4.2 防范SQL注入攻击 (9) 4.3 防止路径遍历攻击 (9) 4.4 防止命令注入攻击 (10) 4.5 防止其他常见的注入攻击 (10) 4.6 防止下载敏感资源文件 (11) 4.7 防止上传后门脚本 (11) 4.8 保证多线程安全 (11) 4.9 保证释放资源 (12) 第5章 内容管理 (13) 5.1 加密存储敏感信息 (13) 5.2 避免泄露敏感技术细节 (13) 第6章 防钓鱼与防垃圾邮件 (14) 6.1 防钓鱼 (14)
6.2 防垃圾邮件 (14) 第7章 密码算法 (15) 7.1 安全算法 (15) 7.2 密钥管理 (15)
第1章 概述 1.1 目的 本文档规定了Web应用服务器应当遵循的安全标准,本文档旨在指导系统管理人员进行Web应用安全基线检查。 1.2 适用范围 本配置标准的使用者包括:服务器系统管理员、应用程序管理员、网络安全管理员。 1.3 适用版本 基于B/S架构的Web应用
信息系统安全风险评估的形式 本文介绍了信息安全风险评估的基本概述,信息安全风险评估基本要素、原则、模型、方法以及通用的信息安全风险评估过程。提出在实际工作中结合实际情况进行剪裁,完成自己的风险评估实践。 随着我国经济发展及社会信息化程度不断加快,信息技术得到了迅速的发展。信息在人们的生产、生活中扮演着越来越重要的角色,人类越来越依赖基于信息技术所创造出来的产品。然而人们在尽情享受信息技术带给人类巨大进步的同时,也逐渐意识到它是一把双刃剑,在该领域“潘多拉盒子”已经不止一次被打开。由于信息系统安全问题所产生的损失、影响不断加剧,信息安全问题也日益引起人们的关注、重视。 信息安全问题单凭技术是无法得到彻底解决的,它的解决涉及到政策法规、管理、标准、技术等方方面面,任何单一层次上的安全措施都不可能提供真正的全方位的安全,信息安全问题的解决更应该站在系统工程的角度来考虑。在这项工作中,信息安全风险评估占有重要的地位,它是信息系统安全的基础和前提。 1.信息安全风险评估概述 信息安全风险评估所指的是信息系统资产因为自身存在着安全弱点,当在自然或者自然的威胁之下发生安全问题的可能性,安全风险是指安全事件发生可能性及事件会造成的影响来进行综合衡量,在信息安全的管理环节中,每个环节都存在着安全风险。信息安全的风险评估所指的是从风险管理的角度看,采用科学的手段及方法,对网络信息系统存在的脆弱性及面临的威胁进行系统地分析,对安全事件发生可能带来的危害程度进行评估,同时提出有针对的防护对策及整改措
施,从而有效地化解及防范信息安全的风险,或把风险控制在能够接受的范围内,这样能够最大限度地为信息安全及网络保障提供相关的科学依据。 2.信息安全风险评估的作用 信息安全风险评估是信息安全工作的基本保障措施之一。风险评估工作是预防为主方针的充分体现,它能够把信息化工作的安全控制关口前移,超前防范。 针对信息系统规划、设计、建设、运行、使用、维护等不同阶段实行不同的信息安全风险评估,这样能够在第一时间发现各种所存在的安全隐患,然后再运用科学的方法对风险进行分析,从而解决信息化过程中不同层次和阶段的安全问题。在信息系统的规划设计阶段,信息安全风险评估工作的实行,可以使企业在充分考虑经营管理目标的条件下,对信息系统的各个结构进行完善从而满足企业业务发展和系统发展的安全需求,有效的避免事后的安全事故。这种信息安全风险评估是必不可少的,它很好地体现了“预防为主”方针的具体体现,可以有效降低整个信息系统的总体拥有成本。信息安全风险评估作为整个信息安全保障体系建设的基础、它确保了信息系统安全、业务安全、数据安全的基础性、预防性工作。因此企业信息安全风险评估工作需要落到实处,从而促进其进一步又好又快发展。 3.信息安全风险评估的基本要素 3.1 使命
安全管理制度和操作规程 ?应建立安全生产责任制,明确各部门、各岗位的安全职责。 ?应建立安全教育培训、特种作业人员管理、设备设施安全管理、建设项目安全设施?三同时?管理、重大危险源管理、作业安全管理、相关方及外用工(单位)管理、职业健康管理、个体防护装备管理、安全检查、隐患排查治理、消防安全管理、应急管理、事故管理、安全绩效评定管理等规章制度。 ?制冷系统运行应建立交接班制度、巡检制度、设备维护保养制度等;建立配电间停送电操作规程、电气安全操作规程、交接班制度、巡检制度、设备维护保养制度等;建立压力容器操作规程、压力管道操作规程、制冷压缩机操作规程、制冷系统充氨操作规程、制冷系统除霜操作规程制、冷库内商品堆码操作规程、救护设施操作规程等。 安全生产投入 .应当具备的安全生产条件所必需的资金投入,由生产经营单位的决策机构、主要负责人或者个人经营的投资人予以保证。 ?应当安排用于配备劳动防护用品的经费。 ?应当安排安全生产培训的经费。 安全管理机构和人员 ?设置安全管理机构或配备安全管理人员。 ?根据有关规定和企业实际,设立安全生产领导机构(如安委会)。 安全教育培训 ?应定期识别安全培训教育需求,制定全员安全培训教育计划。 ?按计划进行安全教育培训,对安全培训效果进行评估和改进。建立培训档案。 ?主要负责人和安全生产管理人员应取得有效的安全培训合格证书。
?特种作业人员应持证上岗。 ?新员工应进行?三级?安全教育。 ?操作岗位人员转岗、离岗六个月以上重新上岗者,应进行车间?工段?、班组安全教育培训,经考核合格后,方可上岗工作。在新工艺、新技术、新材料、新设备设施投入使用前,应对有关岗位操作人员进行专门的安全教育和培训。 隐患排查治理 ?应建立隐患排查治理制度。 ?开展隐患排查治理,并做好记录。 ?对隐患治理情况进行验证和效果评估。 ?按规定向政府有关监管部门上报隐患排查治理信息。 职业健康 ?应向地方安监部门进行职业病危害因素申报。 ?建立健全职业健康档案和员工健康监护档案。 ?定期对职业危害场所进行检测,并将检测结果公布、存入档案。 ?应以合同、教育培训等方式向员工进行职业危害告知。 ?在涉氨操作岗位及醒目位置设置警示标志和警示说明。 重大危险源管理 ?按规定对本企业的生产设施或场所进行重大危险源辨识、评估,确定重大危险源(储氨量???吨)。 ?对确认的重大危险源及时登记建档。 ?对重大危险源采取措施进行监控,包括技术措施(设计、建设、运行、维护、检查、检验等)和组织措施(职责明确、人员培训、防护器具配置、作业要求等)。 ?重大危险源及相关安全措施、应急措施形成报告,报地方安监部门和有关部门备案。
广西食品药品检验所 信息安全检查表一、信息系统基本情况 信息系统基本情况①信息系统总数:个 ②面向社会公众提供服务的信息系统数:个 ③委托社会第三方进行日常运维管理的信息系统数:个,其中签订运维外包服务合同的信息系统数:个 互联网接入情况互联网接入口总数:个 其中:□联通接入口数量:个接入带宽:兆□电信接入口数量:个接入带宽:兆 □其他:接入口数量:个 接入带宽:兆 系统定级情况第一级:个第二级:个第三级:个第四级:个第五级:个未定级:个 系统安全 测评情况 最近2年开展安全测评(含风险评估、等级测评)系统数:个二、日常信息安全管理情况 人员管理①岗位信息安全和保密责任制度:□已建立□未建立 ②重要岗位人员信息安全和保密协议: □全部签订□部分签订□均未签订 ③人员离岗离职安全管理规定:□已制定□未制定 ④外部人员访问机房等重要区域管理制度:□已建立□未建立 资产管理①信息安全设备运维管理: □已明确专人负责□未明确 □定期进行配置检查、日志审计等□未进行 ②设备维修维护和报废销毁管理: □已建立管理制度,且维修维护和报废销毁记录完整□已建立管理制度,但维修维护和报废销毁记录不完整□尚未建立管理制度 三、信息安全防护管理情况
网络边界防护管理①网络区域划分是否合理:□合理□不合理 ②安全防护设备策略:□使用默认配置□根据应用自主配置 ③互联网访问控制:□有访问控制措施□无访问控制措施 ④互联网访问日志:□留存日志□未留存日志 信息系统安全管理①服务器安全防护: □已关闭不必要的应用、服务、端口□未关闭 □帐户口令满足8位,包含数字、字母或符号□不满足 □定期更新帐户口令□未能定期更新□定期进行漏洞扫描、病毒木马检测□未进行 ②网络设备防护: □安全策略配置有效□无效 □帐户口令满足8位,包含数字、字母或符号□不满足 □定期更新帐户口令□未能定期更新□定期进行漏洞扫描、病毒木马检测□未进行 ③信息安全设备部署及使用: □已部署有防病毒、防火墙、入侵检测、安全审计等功能的设备□未部署□安全策略配置有效□无效 门户网站应用管理门 户 网 站 管 理 网站域名:_______________ IP地址:_____________ 是否申请中文域名:□是_______________ □否 ①网站是否备案:□是□否 ②门户网站账户安全管理: □已清理无关帐户□未清理 □无:空口令、弱口令和默认口令□有 ③清理网站临时文件、关闭网站目录遍历功能等情况: 口已清理口未清理 ④门户网站信息发布管理: □已建立审核制度,且审核记录完整 □已建立审核制度,但审核记录不完整 □尚未建立审核制度
国家电子政务工程建设项目非涉密 信息系统 欧阳歌谷(2021.02.01) 信息安全风险评估报告格式 项目名称: 项目建设单位: 风险评估单位: 年月日 目录 一、风险评估项目概述1 1.1工程项目概况1 1.1.1 建设项目基本信息1 1.1.2 建设单位基本信息1 1.1.3承建单位基本信息2 1.2风险评估实施单位基本情况2 二、风险评估活动概述2 2.1风险评估工作组织管理2 2.2风险评估工作过程2 2.3依据的技术标准及相关法规文件2
2.4保障与限制条件3 三、评估对象3 3.1评估对象构成与定级3 3.1.1 网络结构3 3.1.2 业务应用3 3.1.3 子系统构成及定级3 3.2评估对象等级保护措施3 3.2.1XX子系统的等级保护措施3 3.2.2子系统N的等级保护措施3 四、资产识别与分析4 4.1资产类型与赋值4 4.1.1资产类型4 4.1.2资产赋值4 4.2关键资产说明4 五、威胁识别与分析4 5.1威胁数据采集5 5.2威胁描述与分析5 5.2.1 威胁源分析5 5.2.2 威胁行为分析5 5.2.3 威胁能量分析5 5.3威胁赋值5
六、脆弱性识别与分析5 6.1常规脆弱性描述5 6.1.1 管理脆弱性5 6.1.2 网络脆弱性5 6.1.3系统脆弱性5 6.1.4应用脆弱性5 6.1.5数据处理和存储脆弱性6 6.1.6运行维护脆弱性6 6.1.7灾备与应急响应脆弱性6 6.1.8物理脆弱性6 6.2脆弱性专项检测6 6.2.1木马病毒专项检查6 6.2.2渗透与攻击性专项测试6 6.2.3关键设备安全性专项测试6 6.2.4设备采购和维保服务专项检测6 6.2.5其他专项检测6 6.2.6安全保护效果综合验证6 6.3脆弱性综合列表6 七、风险分析6 7.1关键资产的风险计算结果6 7.2关键资产的风险等级7 7.2.1 风险等级列表7
氨制冷系统安全检查表集团企业公司编码:(LL3698-KKI1269-TM2483-LUI12689-ITT289-
氨制冷系统安全检查表酿造车间(氨系统)重大危险源检查表检查人:检查日期: 项目 查核事项 查核标准 权重 得分 问题描述 动力运行状态 制冷系统运行 制冷机运行参数(吸排气压力、吸排气温度、油温等)是否指示灵敏,在合适工作范围内;
所有的参数都在运行记录表中的标准值内得2分,每一个参数超出标准值扣1分;刻度清晰,记录齐全。 6 冷凝压力、蒸发压力和温度与介质温度是否匹配 蒸发温度与介质温度差在5度以内的得2分;温度差在5~8度的得1分;8度以上的得0分。 6 蒸发冷循环水温度、电导率、硬度等指标是否符合准则要求 有检测而且符合要求的得1分;有检测但不符合要求的得0.5分;无检测的得0分。
6 冷凝器表面是否结垢、喷淋水喷头是否堵塞,风扇运转是否正常 冷凝器表面无结垢,且喷淋状况良好,皮带运转正常的得1分;冷凝器表面结垢或喷淋状况不好,且皮带运转正常的得0.5分;冷凝器表面结垢且喷淋不好的得0分。 6 制冷系统是否定期排空、放油并记录 制冷系统有排空和排油操作,操作规范并且记录的得2分;制冷系统有排空和排油操作,但操作不规范或无记录的得1分;制冷系统无排空或排油操作得0分 6
工作现场是否有明显氨味 工作现场无氨味的得1分;工作现场有轻微氨味的得1分;工作现场有明显氨味的得0分。 5 液氨储罐区域设置水喷淋设施及高压水源;其区域的电器、照明灯必须是防爆装置。 有水喷淋及高压水源;电器、照明灯是防爆装置;一项不符合扣2分。 6
XX系统安全风险评估调查表 系统名称: 申请单位: 申请日期:
填写说明 1.申请表一律要求用计算机填写,内容应真实、具体、准确。 2.如填写内容较多,可另加附页或以附件形势提供。 3.申报资料份数为纸版和电子版各一份。
目录 填写说明................................................................................................ I I 目录............................................................................................................... I 一、申请单位信息 (2) 二、系统评估委托书 .....................................................错误!未定义书签。 三、信息系统基本情况调查表 (4) 四、信息系统的最新网络拓扑图 (6) 五、根据信息系统的网络结构图填写各类调查表格。 (7) 表3-1. 第三方服务单位基本情况 (9) 表3-2. 项目参与人员名单 (10) 表3-3. 信息系统承载业务(服务)情况调查 (11) 表3-4. 信息系统网络结构(环境)情况调查 (12) 表3-5. 外联线路及设备端口(网络边界)情况调查 (13) 表3-6. 网络设备情况调查 (14) 表3-7. 安全设备情况调查 (15) 表3-8. 服务器设备情况调查 (16) 表3-9. 终端设备情况调查 (17) 表3-10. 系统软件情况调查 (18) 表3-11. 应用系统软件情况调查 (19) 表3-12. 业务数据情况调查 (20) 表3-13. 数据备份情况调查 (21) 表3-14. 应用系统软件处理流程调查(多表) (22) 表3-15. 业务数据流程调查(多表) (23) 表3-16. 管理文档情况调查 (24) 六、信息系统安全管理情况 (25) 七、信息系统安全技术方案 (25)
When the lives of employees or national property are endangered, production activities are stopped to rectify and eliminate dangerous factors. (安全管理) 单位:___________________ 姓名:___________________ 日期:___________________ 液氨制冷检查表(最新版)
液氨制冷检查表(最新版) 导语:生产有了安全保障,才能持续、稳定发展。生产活动中事故层出不穷,生产势必陷于混乱、甚至瘫痪状态。当生产与安全发生矛盾、危及职工生命或国家财产时,生产活动停下来整治、消除危险因素以后,生产形势会变得更好。"安全第一" 的提法,决非把安全摆到生产之上;忽视安全自然是一种错误。 消防设施与应急设施 1.采用氨制冷系统的机房、速冻加工车间内应安装氨气体浓度报警仪。氨气体浓度报警仪应由法定计量鉴定机构或厂家每年进行复检,确保安全有效。 2.冷库库区及氨制冷机房和设备间门外应按有关规定设置消火栓。 3.氨制冷机房、设备间及采用速冻装置的房间(靠近速冻装置)门外应配备移动式喷雾水枪。 4.消防灭火器、防毒器具和抢救药品等应急物品应放在危险事故发生时易于安全取用的位置,并由专人保管,定期校验和维护。淋洗器、洗眼器等卫生防护设施,其服务半径应小于15m。构成重大危险源的液氨场所应配备长管式防毒面具、重型防护服。 5.库区应设有消防安全疏散等指示标识,严禁关闭、遮挡或覆盖安全疏散指示标识。保持疏散通道、安全出口畅通,严禁将安全出口
项目名称: XXX风险评估报告被评估公司单位: XXX有限公司 参与评估部门:XXXX委员会 一、风险评估项目概述 1.1 工程项目概况 1.1.1 建设项目基本信息
1.2 风险评估实施单位基本情况 二、风险评估活动概述 2.1 风险评估工作组织管理 描述本次风险评估工作的组织体系(含评估人员构成)、工作原则和采取的保密措施。 2.2 风险评估工作过程 本次评估供耗时2天,采取抽样的的方式结合现场的评估,涉及了公司所有部门及所有的产品,已经包括了位于公司地址位置的相关产品。 2.3 依据的技术标准及相关法规文件
2.4 保障与限制条件 需要被评估单位提供的文档、工作条件和配合人员等必要条件,以及可能的限制条件。 三、评估对象 3.1 评估对象构成与定级 3.1.1 网络结构 根据提供的网络拓扑图,进行结构化的审核。 3.1.2 业务应用 本公司涉及的数据中心运营及服务活动。 3.1.3 子系统构成及定级 N/A
3.2 评估对象等级保护措施 按照工程项目安全域划分和保护等级的定级情况,分别描述不同保护等级保护范围内的子系统各自所采取的安全保护措施,以及等级保护的测评结果。 根据需要,以下子目录按照子系统重复。 3.2.1XX子系统的等级保护措施 根据等级测评结果,XX子系统的等级保护管理措施情况见附表一。 根据等级测评结果,XX子系统的等级保护技术措施情况见附表二。 四、资产识别与分析 4.1 资产类型与赋值 4.1.1资产类型 按照评估对象的构成,分类描述评估对象的资产构成。详细的资产分类与赋值,以附件形式附在评估报告后面,见附件3《资产类型与赋值表》。 4.1.2资产赋值 填写《资产赋值表》。
数据库服务器安全配置检查表 更新日期:2004年04月12日 本页内容 如何使用本检查表 产品服务器的安装注意事项 修补程序和更新程序 服务 协议 帐户 文件和目录 共享 端口 注册表 审核与日志记录 SQL Server 安全性 SQL Server 登录、用户和角色 SQL Server 数据库对象 其他注意事项 保持安全 如何使用本检查表 本检查表随模块18 保证数据库服务器的安全一起提供。本检查表可帮助您保护数据库服务器,并可用作相应模块的快照。返回页首 产品服务器的安装注意事项
返回页首 修补程序和更新程序 返回页首 服务
协议 在 在数据库服务器上强化 返回页首 帐户 使用具有最少权限的本地帐户运行 从 禁用 重命名 强制执行强密码策略。 限制远程登录。 限制使用空会话(匿名登录)。 帐户委派必须经过审批。 不使用共享帐户。 限制使用本地
文件和目录 返回页首 共享 从服务器中删除所有不必要的共享。 限制对必需的共享的访问( 如果不需要管理性共享( Operations Manager (MOM) 返回页首 端口
和 配置在同一端口侦听命名实例。 如果端口 将防火墙配置为支持 在服务器网络实用工具中,选中 返回页首 注册表 返回页首 审核与日志记录 记录所有失败的 记录文件系统中的所有失败的操作。 启用 将日志文件从默认位置移走,并使用访问控制列表加以保护。 将日志文件配置为适当大小,具体取决于应用程序的安全需要。
返回页首 SQL Server 安全性 返回页首 SQL Server 登录、用户和角色 返回页首
编订:__________________ 单位:__________________ 时间:__________________ 液氨制冷检查表 Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑
文件编号:KG-AO-1554-77 液氨制冷检查表 使用备注:本文档可用在日常工作场景,通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范,从而使得组织内人员按照既定标准、规范的要求进行操作,使日常工作或活动达到预期的水平。下载后就可自由编辑。 消防设施与应急设施 1.采用氨制冷系统的机房、速冻加工车间内应安装氨气体浓度报警仪。氨气体浓度报警仪应由法定计量鉴定机构或厂家每年进行复检,确保安全有效。 2.冷库库区及氨制冷机房和设备间门外应按有关规定设置消火栓。 3.氨制冷机房、设备间及采用速冻装置的房间(靠近速冻装置)门外应配备移动式喷雾水枪。 4.消防灭火器、防毒器具和抢救药品等应急物品应放在危险事故发生时易于安全取用的位置,并由专人保管,定期校验和维护。淋洗器、洗眼器等卫生防护设施,其服务半径应小于15m。构成重大危险源的液氨场所应配备长管式防毒面具、重型防护服。 5.库区应设有消防安全疏散等指示标识,严禁关
闭、遮挡或覆盖安全疏散指示标识。保持疏散通道、安全出口畅通,严禁将安全出口封闭、上锁。 6.应保持应急照明、机械通风、事故报警等设施处于正常状态,并定期检测、维护保养。 7.氨制冷机房应设置防爆型照明设施及开关;氨制冷机房和配电室及采用速冻装置的房间应设置防爆型应急照明灯具,应急照明持续时间不应小于30min。 8.在正常照明因故障熄灭后,在易引起工伤事故或通行时易发生危险的场所,应装设人员疏散用的事故照明。 9.在正常照明因故障熄灭后,事故照明电源应自动投入,在有专人值班时,可采用手动切换。 10.消防设备设施应由具备相应资质的机构进行维修保养和定期检测。 11.库区视频监控系统应设立专管员负责安防监控系统的日常管理与维护,确保视频监控系统的安全运行、视频质量清晰。视频资料应至少保存3个月。 12.消防设施日常使用管理应由专职管理员负责。
项目名称:XXX风险评估报告 _________________________ 被评估公司单位:XXX有限公司 _____________________________ 参与评估部门:XXXX委员会___________________________________ 一、风险评估项目概述 1.1工程项目概况 1.1.1建设项目基本信息
1.2风险评估实施单位基本情况 二、风险评估活动概述 2.1风险评估工作组织管理 描述本次风险评估工作的组织体系(含评估人员构成)、工作原则和采取的保密措施。 2.2风险评估工作过程 本次评估供耗时2天,采取抽样的的方式结合现场的评估,涉及了公司所有部门及所有的产品,已经包括了位于公司地址位置的相关产品。 2.3依据的技术标准及相关法规文件 本次评估依据的法律法规条款有:
2.4保障与限制条件 需要被评估单位提供的文档、工作条件和配合人员等必要条件,以及可能的限制条件。 三、评估对象 3.1评估对象构成与定级 3.1.1网络结构 根据提供的网络拓扑图,进行结构化的审核。 3.1.2业务应用
本公司涉及的数据中心运营及服务活动。 3.1.3子系统构成及定级 N/A 3.2评估对象等级保护措施 按照工程项目安全域划分和保护等级的定级情况,分别描述不同保护等级保 护范围内的子系统各自所采取的安全保护措施,以及等级保护的测评结果。 根据需要,以下子目录按照子系统重复。 3.2.1 XX子系统的等级保护措施 根据等级测评结果,XX子系统的等级保护管理措施情况见附表一。 根据等级测评结果,XX子系统的等级保护技术措施情况见附表二。 四、资产识别与分析 4.1资产类型与赋值 4.1.1资产类型 按照评估对象的构成,分类描述评估对象的资产构成。详细的资产分类与赋值,以附件形式附在评估报告后面,见附件3《资产类型与赋值表》。 4.1.2资产赋值
附件2 信息安全检查表 单位名称 联系人/联系电话 信息安全主管领导 职 务 网 站 名 称 检 查 项 目 检 查 结 果 是否有制作机密信息的管理列表? ○是 ○否 是否与委托对象签订保密合同? ○是 ○否 信息安全场合是否设置了摄像头等? ○是 ○否 员工和外来人员是否进行区别? ○是 ○否 机密信息是否上锁被保管于文件柜中? ○是 ○否 工作中是否使用私人电脑? ○是 ○否 对于带出的业务上必要的电子媒体和电脑是否对 机密信息实施加密? ○是 ○否 对于私密信息的相关资料,废弃是否用碎纸机粉碎 或物理性破坏(硬盘)? ○是 ○否 是否有两个或两个以上的人共用使用一个ID? ○是 ○否 是否有网页防篡改措施 ○安装了防篡改系统 ○人工监看 ○无措施 是否具有边界保护措施 ○是 ○否 是否有抗拒服务器攻击措施 ○是 ○否 是否安装了入侵检测系统 ○是 ○否 是否安装了防病毒系统 ○是 ○否 网站主机服务器运行维护管理方式 ○自行管理 ○委托管理 是否进行了下列安全检查 ○SQL注入攻击隐患 ○跨站脚本攻击隐患 ○弱口令 ○操作系统补丁安装情况 ○网站服务系统及其他应用系统补丁安装情况○防病毒软件升级情况 ○网站是否已被“挂马”○入侵检测系统升级情况 ○漏洞扫描系统升级情况 ○执行漏洞扫描情况 防病毒系统最近一次升级的日期 年 月 日 1
是否保留了系统安全日志 ○是 ○否 系统安全日志察看的周期是多少 ○每天 ○每周 ○每月 ○偶尔或从不 服务器设置是否在可确保安全的合适场所? ○是 ○否 网站服务器和同一网段内其他服务器之间是否有 访问控制措施 ○是 ○否 操作系统最近一次升级的日期 月 日 Web服务器最近一次升级的日期 月 日 数据库系统最近一次升级的日期 月 日 是否关闭或删除了不必要的帐户 ○是 ○否 是否关闭或删除了不必要的应用 ○是 ○否 是否关闭或删除了不必要的服务 ○是 ○否 是否关闭或删除了不必要的端口 ○是 ○否 系统管理和数据库管理口令更换周期是多少 ○每周或更短 ○半个月 ○一个月 ○一个月以上 ○从未更换或偶尔更换 系统管理和数据库管理口令长度是多少位 ○小于等于8位 ○大于8位 对网站进行远程维护时,是否采取了加密防护措施○是 ○否 是否对自管的域名解析系统采取了安全防护措施 ○是 ○否 ○无自管域名解析系统 是否与托管方签订了安全协议 ○是 ○否 ○未采取托管 是否根据应急预案组织过应急演练 ○是 ○否 是否采取了备份措施? ○备机 ○备件 ○网站数据备份 ○其他措施 是否对员工进行了信息安全的教育和培训? ○是 ○否 所有员工是否签订保密协议? ○是 ○否 是否有组织地定期实施自主检查? ○是 ○否 2
信息系统安全管理与风险评估 陈泽民:3080604041 信息时代既带给我们无限商机与方便,也充斥着隐患与危险。越来越多的黑客通过网络肆意侵入企业的计算机,盗取重要资料,或者破坏企业网络,使其陷入瘫痪,造成巨大损失。因此,网络安全越来越重要。企业网络安全的核心是企业信息的安全。具体来说,也就涉及到企业信息系统的安全问题。一套科学、合理、完整、有效的网络信息安全保障体系,就成为网络信息系统设计和建设者们追求的主要目标。信息安全是整个网络系统安全设计的最终目标,信息系统安全的建立必须以一系列网络安全技术为摹础。但信息系统是一个综合的、动态的、多层次之间相结合的复杂系统,只从网络安全技术的角度保证整个信息系统的安全是很网难的,网络信息系统对安全的整体是任何一种单元安全技术都无法解决的。冈此对信息系统的安全方案的设计必须以科学的安全体系结构模型为依据,才能保障整个安全体系的完备性、合理性。 制定安全目标和安全策略对于建造一个安全的计算机系统是举足轻重的。网络上可采用安全技术例如防火墙等实现网络安全,软件开发上可选择不同的安全粒度,如记录级,文件级信息级等。在系统的各个层次中展开安全控制是非常有利的。在应用软件层上设置安全访问控制是整个应用系统安全性的重要步骤。此外安全教育与管理也是系统安全的重要方面。信息系统的安全管理就是以行政手段对系统的安全活动进行综合管理,并与技术策略和措施相结合,从而使信息系统达到整体上的安全水平。其实,在系统的安全保护措施中,技术性安全措施所占的比例很小,而更多则是非技术性安全措施。两者之间是互相补充,彼此促进,相辅相成的关系。信息系统的安全性并不仅仅是技术问
液氨检查表 安全管理检查内容 序号检查项目检查内容及要求检查情 1 安全管理制度 和操作规程 1.应建立安全生产责任制,明确各部门、各岗位的安全职 责。 2.应建立安全教育培训、特种作业人员管理、设备设施安 全管理、建设项目安全设施“三同时”管理、重大危险源 管理、作业安全管理、相关方及外用工(单位)管理、职 业健康管理、个体防护装备管理、安全检查、隐患排查治 理、消防安全管理、应急管理、事故管理、安全绩效评定 管理等规章制度。 3.制冷系统运行应建立交接班制度、巡检制度、设备维护 保养制度等;建立配电间停送电操作规程、电气安全操作 规程、交接班制度、巡检制度、设备维护保养制度等;建 立压力容器操作规程、压力管道操作规程、制冷压缩机操 作规程、制冷系统充氨操作规程、制冷系统除霜操作规程 制、冷库内商品堆码操作规程、救护设施操作规程等。 2 安全生产投入1.应当具备的安全生产条件所必需的资金投入,由生产经营单位的决策机构、主要负责人或者个人经营的投资人予以保证。 2.应当安排用于配备劳动防护用品的经费。 3.应当安排安全生产培训的经费。 3 安全管理机构 和人员 1.设臵安全管理机构或配备安全管理人员。 2.根据有关规定和企业实际,设立安全生产领导机构(如 安委会)。 4 安全教育培训1.应定期识别安全培训教育需求,制定全员安全培训教育计划。 2.按计划进行安全教育培训,对安全培训效果进行评估和改进。建立培训档案。 3.主要负责人和安全生产管理人员应取得有效的安全培训合格证书。 4.特种作业人员应持证上岗。 5.新员工应进行“三级”安全教育。 6.操作岗位人员转岗、离岗六个月以上重新上岗者,应进行车间(工段)、班组安全教育培训,经考核合格后,方可上岗工作。在新工艺、新技术、新材料、新设备设施投入使用前,应对有关岗位操作人员进行专门的安全教育和培训。 5 隐患排查治理1.应建立隐患排查治理制度。 2.开展隐患排查治理,并做好记录。 3.对隐患治理情况进行验证和效果评估。 4.按规定向政府有关监管部门上报隐患排查治理信息。