当前位置:文档之家 › 信息系统安全等级保护检查

信息系统安全等级保护检查

  • 格式:docx
  • 大小:31.33 KB
  • 文档页数:12

下载文档原格式

  / 12

合集下载

信息安全等级保护自查报告

信息安全等级保护自查报告

信息安全等级保护自查报告信息安全等级保护自查报告XX县烟草专卖局(分公司)的信息*安全建设在上级部门的关心指导下,近年取得了快速的进步和发展,实效性强,*安全防控能力大大增强。

为进一步贯彻落实行业*与信息安全各项管理规定,严格规范信息安全等级保护,提高企业对信息*安全的防控能力,保障企业信息*安全,保证公司各项办公自动化工作的正常进行,促进企业效益的稳步提升,按照《XX县人民*办公室关于开展信息*信息安全等级保护安全检查工作的通知》要求,我司组织相关人员对系统内信息*安全等级保护工作认真细致的自检自查,现将自查情况报告如下。

曲烟专司字[2004]35号《曲靖市烟草专卖局(公司)关于建设*安全系统的通知》、《曲靖烟草专卖局(公司)党政工作部关于举办*信息安全培训的通知》,市公司云曲烟办字[2004]98号《曲靖市烟草专卖局(公司)关于建设地面专网的通知》等。

第二类是各项*信息安全建设规范、技术标准及方案等,主要包括有:《云南省烟草行业信息*信息系统技术规范》两部分,《云南省烟草行业信息*系统计算机*系统建设技术规范》、《云南省烟草行业计算机*与信息安全系统建设方案》。

第三类是各类管理制度或规定,主要包括有:《云南省烟草行业信息*管理规范》、《云南省烟草行业计算机*与信息安全管理制度》、《信息化工作管理规定》的*与信息安全管理,《*建设及信息维护按理规定》、《计算机设备管理规定》、《计算机机房管理规定》及《突发信息*事件应急预案》等。

七、定期自查情况根据《永胜县人民*办公室关于开展*信息系统安全检查的通知》(永政办发〔2010〕56号)文件精神,结合我社实际,认真组织开展了信息系统的安全自查工作。

现将相关情况报告如下:一、信息系统安全检查基本情况(一)信息安全组织机构落实情况为规范信息公开工作,落实好信息安全的相关规定,我社成立了信息安全工作领导小组,落实了管理机构,由联社办公室负责信息安全的日常管理工作,明确了信息安全的主管领导、分管领导和具体管理人员。

信息安全技术 信息系统安全等级保护测评要求

信息安全技术 信息系统安全等级保护测评要求

信息安全技术信息系统安全等级保护测评要求一、概述信息安全技术作为当前社会中不可或缺的一部分,对于信息系统的安全等级保护测评要求也变得愈发重要。

信息系统安全等级保护测评是指为了评估信息系统的安全性,保障信息系统的功能和安全性,根据《信息安全技术信息系统安全等级保护测评要求》,对信息系统进行等级保护测评,明确信息系统安全等级。

二、等级划分根据我国《信息安全技术信息系统安全等级保护测评要求》,信息系统安全等级分为四个等级,分别是一级、二级、三级和四级。

每个等级都有相应的技术和管理要求,以及安全保护的措施。

在信息系统安全等级保护测评中,根据信息系统的安全等级,采用不同的测评方法和技术手段,对信息系统进行全面的评估和测试。

三、技术要求在信息系统安全等级保护测评中,技术要求是至关重要的一环。

根据《信息安全技术信息系统安全等级保护测评要求》,信息系统的技术要求包括但不限于以下几个方面:1. 安全功能要求信息系统在进行测评时,需要满足一定的安全功能要求。

对于不同等级的信息系统,需要有相应的访问控制、身份认证、加密通信等安全功能,以确保系统的安全性。

2. 安全性能要求信息系统的安全性能也是非常重要的。

在信息系统安全等级保护测评中,需要对系统的安全性能进行评估,包括系统的稳定性、可靠性、容错性等方面。

3. 鉴别技术要求鉴别技术是信息系统安全等级保护测评中的关键环节。

通过鉴别技术对信息系统进行鉴别,以确定系统的真实性和完整性,防止系统被篡改和伪造。

4. 安全风险评估要求在信息系统安全等级保护测评中,需要进行全面的安全风险评估,包括对系统可能存在的安全威胁和漏洞进行评估,以及制定相应的安全保护措施和应急预案。

四、管理要求除了技术要求之外,信息系统安全等级保护测评还需要满足一定的管理要求。

管理要求主要包括以下几个方面:1. 安全管理体系要求信息系统安全等级保护测评需要建立健全的安全管理体系,包括安全管理策略、安全管理制度、安全管理流程等,以确保信息系统的安全性。

信息系统安全等级保护三级评测内容

信息系统安全等级保护三级评测内容

信息系统安全等级保护三级评测内容信息系统安全等级保护二级评测内容等级保护自上而下分别为:类、控制点和项。

其中,类表示《信息系统安全等级保护基本要求》在整体上大的分类,其中技术部分分为:物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等5大类,管理部分分为: 安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等5大类,一共分为10大类。

控制点表示每个大类下的关键控制点,如物理安全大类中的“物理访问控制”作为一个控制点。

而项则是控制点下的具体要求项,如“机房出入应安排专人负责,控制、鉴别和记录进入的人员。

”根据等级保护第二级的基本要求,在物理安全、网络安全、主机系统安全、应用安全、数据安全及备份恢复、安全管理等几方面目前的安全现状进行分析检测。

物理安全对象主要为中心机房、重要设备存放物理位置等。

指标及检测内容:网络安全对象包括:网络结构、交换机、防火墙。

指标及检测内容:主机系统安全对象包括:服务器、数据库管理系统。

指标及检测内容:信息系统安全等级保护基本要求-主机安全应用安全对象:网络内运行的信息系统。

指标及检测内容信息系统安全等级保护基本要求-应用安全信息系统安全等级保护基本要求-应用安全信息系统安全等级保护基本要求-应用安全发会话连接数进行限制;C)应能够对单个帐户的多重并发会话进行限制。

数据安全及备份恢复对象包括信息系统以及安全设备、网络设备等指标及检查表:安全管理制度安全管理机构信息系统安全等级保护基本要求-安全管理机构人员安全管理系统建设管理系统运维管理2.5.3 介质管理(G2 )2.5.4 设备管理(G2a)应对信息系统相关的各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理;b)应建立基于申报、审批和专人负责的设备安全管理制度,对信2.5.5 网络全理G2日常维护和报警信息分析和处理息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理;C)应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规程实现主要设备(包括备份和冗余设备)的启动/停止、加电/ 断电等操作;d)应确保信息处理设备必须经过审批才能带离机房或办公地点。

信息安全等级保护自查报告

信息安全等级保护自查报告

篇⼀:信息安全等级保护⾃查报告 XX县烟草专卖局(分公司)的信息络安全建设在上级部门的关⼼指导下,近年取得了快速的进步和发展,实效性强,络安全防控能⼒⼤⼤增强。

为进⼀步贯彻落实⾏业络与信息安全各项管理规定,严格规范信息安全等级保护,提⾼企业对信息络安全的防控能⼒,保障企业信息络安全,保证公司各项办公⾃动化⼯作的正常进⾏,促进企业效益的稳步提升,按照《XX县⼈民政府办公室关于开展信息络信息安全等级保护安全检查⼯作的通知》要求,我司组织相关⼈员对系统内信息络安全等级保护⼯作认真细致的⾃检⾃查,现将⾃查情况报告如下。

⼀、等级保护⼯作部署和组织实施情况 XX县烟草公司企业信息化建设在市局(公司)的统⼀领导下,按照“统⼀络、统⼀平台、统⼀数据库”的要求,以打造“数字烟草”为战略⽬标,以“系统集成、资源整合、信息共享”为⼯作⽅针,取得了快速的发展,在积极推进企业信息化建设的过程中,更加重视络信息的安全建设⼯作。

从省公司到市公司、县公司,领导⾼度重视,统⼀规划,统⼀标准,同步实施。

⾸先是逐级成⽴了领导⼩组和职能部门,XX分公司按照上级部门要求,2000年11⽉成⽴了信息化领导⼩组,下设信息办在公司办公室,并设置了计算机系统管理员岗位,明确了各⾃的职责。

由于络推⼴应⽤迅速,2005年重新更设了计算机络信息中⼼,旨在强化对企业的络建设和络安全管理。

在历次的机构设置中,都明确了分公司主要领导分管信息⼯作,把络信息安全的建设与管理摆到了企业各项⼯作的重要位置中来,表明了企业对信息化建设、络安全管理的⾼度重视和决⼼。

其次是对⾏业的络安全建设⾼瞻远瞩、统⼀标准、规范运作、务求实效。

先后省公司下发了《云南省烟草专卖局关于建设云南省⾏业计算机络与信息安全系统的通知》,对全⾏业的络信息安全建设作了明确、细致的规定,制定了⾼效规范的《云南省烟草⾏业计算机络与信息安全系统建设⽅案》,统⼀在全系统范围内实施。

随后市局公司⼜下发了《曲靖市烟草专卖局(公司)关于建设络安全系统的通知》,对各分公司的络安全建设作了具体的安排部署。

公安机关信息安全等级保护检查工作规范(试行)

公安机关信息安全等级保护检查工作规范(试行)

公安机关信息安全等级保护检查工作规范(试行)第一条为规范公安机关公共信息网络安全监察部门开展信息安全等级保护检查工作,根据《信息安全等级保护管理办法》(以下简称《管理办法》),制定本规范。

第二条公安机关信息安全等级保护检查工作是指公安机关依据有关规定,会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查,督促、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员。

第三条信息安全等级保护检查工作由市(地)级以上公安机关公共信息网络安全监察部门负责实施。

每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次,每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次。

第四条公安机关开展检查工作,应当按照“严格依法,热情服务”的原则,遵守检查纪律,规范检查程序,主动、热情地为运营使用单位提供服务和指导。

第五条信息安全等级保护检查工作采取询问情况,查阅、核对材料,调看记录、资料,现场查验等方式进行。

第六条检查的主要内容:(一)等级保护工作组织开展、实施情况。

安全责任落实情况,信息系统安全岗位和安全管理人员设置情况;(二)按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况;(三)信息系统定级备案情况,信息系统变化及定级备案变动情况;(四)信息安全设施建设情况和信息安全整改情况;(五)信息安全管理制度建设和落实情况;(六)信息安全保护技术措施建设和落实情况;(七)选择使用信息安全产品情况;(八)聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况;(九)自行定期开展自查情况;(十)开展信息安全知识和技能培训情况。

第七条检查项目:(一)等级保护工作部署和组织实施情况1.下发开展信息安全等级保护工作的文件,出台有关工作意见或方案,组织开展信息安全等级保护工作情况。

2.建立或明确安全管理机构,落实信息安全责任,落实安全管理岗位和人员。

信息系统安全等级保护测评要求

信息系统安全等级保护测评要求

信息系统安全等级保护测评要求
一、简介
信息系统安全、个人隐私保护和网络安全问题一直是个热点和特殊的研究课题,也是
信息技术世界范围内备受关注的热点。

信息系统安全等级保护(Information System Security Level Protection, ISSLP)测评是一项用来评估信息系统安全水平的评估方法,目的是为信息系统提供安全、可靠保护,防止网络安全攻击和信息泄露。

本文结合安全自
评和安装者评价两个方面,系统总结以下ISSLP测评要求。

二、ISSLP测评要求
1)安全自评:
(1)组织安全管理体系:包括安全系统结构、人员应聘、培训和定期评审、安全管
理架构和流程、安全风险管理体系和安全配置管理。

(2)数据安全性:需要检查系统数据存储、采集和处理能力以及安全加密算法等。

(3)网络安全性:需要检查系统的防火墙、虚拟隔离、网络监控、日志分析等。

2)安全第三方评价:
(1)程序测试:包括对系统程序行为的测试和检查,监督操作,及时发现系统、应
用程序和数据库中可能存在的安全问题。

(2)静态测试:针对需要安全和可靠性测试的技术安全策略,进行程序漏洞分析,
安全漏洞识别,安全破坏分析,保护系统安全等测试。

(3)动态测评:用来评估系统应付攻击环境下的实际可靠性,系统能否充分实现安
全要求,避免恶意行为攻击对安全造成损害。

三、结论
ISSLP测评为了防止安全攻击和信息系统的安全威胁,提出了许多有用的安全措施。

系统架构,数据安全性,网络安全配置,程序测试,静态测试,动态验证等都需要定期检
查和测评,以确保信息系统的安全和可靠性。

信息系统安全等级保护第一级检查-管理要求+技术要求


应用系统的输入域设有长度限制; 应用系统的日期型输入域设有限制,输入非日期数值进行过滤。 应用系统的数值型输入域设有限制,对输入字符或字母进行过滤; 应用系统不存在SQL注入漏洞(如未过滤单引号等); 应用系统对可上传的文件类型具有限制,不能上传.asp、.jsp、.php和webshell脚本等文件; 应用系统是否采取身份标识和鉴别措施? 应用系统已对管理员权限或者用户权限进行区分控制; 具有对重要信息的备份与恢复策略。
网络安全
软件容错 应用安全
软件容错 应用安全 身份鉴别 访问控制 备份和恢复
数据安全及备份恢复
a 检查项 检查是否建立日常管理活动中常用的安全管理制度。 检查是否配备一定数量的系统管理员、网络管理员、安全管理员。
检查是否由专门的部门或人员负责对信息系统建设运维相关的人员进行录用。 检查是否对外部人员访问受控区域前进行授权或审批,查验审批记录。
检查范围 安全管理制度 安全管理机构
检查内容 管理制度 人员配备 人员录用
人员安全管理
外部人员访问管理 系统定级 安全方案设计 产品采购和使用 工程实施 测试验收 环境管理 资产管理 设备管理
系统建设管理
网络安全管理 系统运维管理 系统安全管理 恶意代码防范管理
安全事பைடு நூலகம்处置
物理访问控制 物理安全 温湿度控制 结构安全 访问控制 网络设备防护 恶意代码防范 主机安全 身份鉴别 访问控制
指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理。 检查是否编制与信息系统相关的资产清单。
否对信息系统相关的各种设备、线路等指定专门的部门或人员定期进行维护管理。
人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作。

公安机关信息安全等级保护检查工作规范标准

公安机关信息安全等级保护检查工作规范(试行)第一条为规范公安机关公共信息网络安全监察部门开展信息安全等级保护检查工作,根据《信息安全等级保护管理办法》(以下简称《管理办法》),制定本规范。

第二条公安机关信息安全等级保护检查工作是指公安机关依据有关规定,会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查,督促、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员。

第三条信息安全等级保护检查工作由市(地)级以上公安机关公共信息网络安全监察部门负责实施。

每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次,每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次。

第四条公安机关开展检查工作,应当按照“严格依法,热情服务”的原则,遵守检查纪律,规范检查程序,主动、热情地为运营使用单位提供服务和指导。

第五条信息安全等级保护检查工作采取询问情况,查阅、核对材料,调看记录、资料,现场查验等方式进行。

第六条检查的主要内容:(一)等级保护工作组织开展、实施情况。

安全责任落实情况,信息系统安全岗位和安全管理人员设置情况;(二)按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况;(三)信息系统定级备案情况,信息系统变化及定级备案变动情况;(四)信息安全设施建设情况和信息安全整改情况;(五)信息安全管理制度建设和落实情况;(六)信息安全保护技术措施建设和落实情况;(七)选择使用信息安全产品情况;(八)聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况;(九)自行定期开展自查情况;(十)开展信息安全知识和技能培训情况。

第七条检查项目:(一)等级保护工作部署和组织实施情况1.下发开展信息安全等级保护工作的文件,出台有关工作意见或方案,组织开展信息安全等级保护工作情况。

2.建立或明确安全管理机构,落实信息安全责任,落实安全管理岗位和人员。

信息系统安全等级保护测评报告


技术发展趋势:云计算、大数据、物联网等技术的发展对信息安全等级保护提出了新的挑战和 机遇。
政策法规完善:随着信息安全等级保护工作的深入,政策法规将不断完善,为信息安全等级保 护工作提供更加明确的指导。
企业投入加大:企业对信息安全的重视程度不断提高,投入也将加大,为信息安全等级保护工 作提供更加充足的资源。
信息系统安全等级 保护建议与展望
加强信息系统安全管理制度建设,完善 安全管理体系
定期进行信息系统安全等级测评,及时 发现和解决问题
加强信息系统安全技术防护,提高系统 安全性
加强信息系统安全培训和教育,提高员 工安全意识
加强与相关部门的沟通和协作,共同维 护信息系统安全
建立完善的信息系统安全应急预案,确 保在突发事件中能够及时响应和处理

测评结论:系统在安全 防护、数据保护、系统 管理等方面均符合安全 等级保护的要求
建议:加强系统安全 管理,提高系统安全 防护能力,确保系统 安全稳定运行
结论:系统安全等级保 护测评结果符合要求, 建议加强安全管理,提 高系统安全防护能力。
信息系统安全等级保护测评发现的问题 整改建议 具体问题描述及原因分析 整改措施及效果评估
测评结果:根据测评结果,给出安全等 级保护建议和整改措施
审查目的:检查信 息系统的安全等级 保护文档是否齐全、 合规
审查内容:包括但 不限于安全策略、 安全制度、安全技 术措施等
审查方法:查阅文 档、访谈相关人员 、实地考察等
审查结果:对文档 审查结果进行汇总 和分析,提出改进 建议和措施
测评结果汇总: 对测评过程中发 现的安全问题进 行汇总,包括漏 洞、风险、威胁 等
信息系统安全等级保 护测评报告
汇报人:

信息系统安全等级保护第四级检查-管理要求+技术要求


应选择两种或两种以上组合的鉴别技术来进行身份鉴别,身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
应选择两种或两种以上组合的鉴别技术来进行身份鉴别,身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并措施防止鉴别信息在网络传输过程中被窃听。
安全审计
抗抵赖
身份鉴别
访问控制
通信完整性 通信保密性
数据安全及备份恢复
备份和恢复
第四级检查-管理要求+技术要求 检查项
系统管理+系
查网络安全管理体系是否由总体方针、安全策略、管理制度、操作规程等构成。
安全管理制度是否具有统一的格式进行版本控制,并通过正式、有效的方式发布。
检查是否定期对安全管理制度进行评审和修订。
用软件的运行状态、网络流量、用户行为、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理,并对监测和报警记录进行分析。
络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定;是否定期对网络系统进行漏洞扫描
络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定;是否定期对网络系统进行漏洞扫描
提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;
应具有对重要信息资源设置敏感标记的功能。 应禁止默认帐户的访问。 应采用密码技术保证通信过程中数据的完整性。 应对通信过程中的整个报文或会话过程进行加密。 应基于硬件化的设备对重要通信过程进行加解密运算和密钥管理。
,备份介质场外存放;应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。
格限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令;
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

第14章信息系统安全等级保护检查
信息系统的检查工作时信息系统等级保护工作的重要组成部分之一。

系统的检查涉及系统管理和技术的方方面面,是对信息系统安全保障措施能否切实保障系统安全的检查和确认。

本章中将详细叙述检查重要性、分类和实施方式。

14.1.1 概述
信息系统检查是保障信息系统安全性的重要任务之一,通过对建立的信息系统进行安全性检查,能够发现系统的不足,并及时补救和改进。

所以,各国为了解决信息系统的安全性问题,对系统的检查都提出了相应的要求,并且建立了相关的法律、法规、标准和规范等来保障安全检查的正常运行。

14.1.2 检查的工作形势
检查的工作形式,可以分为自检查、监督检查和委托检查。

(1)自检查:指信息系统所有者或运营、使用单位发起的对本单位信息系统的安全状态进行的检查。

若系统所有者的自检查有周期性,则不必每次都执行完整的
检查流程,而只是自检查系统变化的部分和重要部位。

(2)监督检查:指信息系统的上级管理部门组织的,或由国家相关部门依法开展的检查。

监督检查一般需要执行完整的检查流程,但特殊情况下,也可在自检查
的基础上,只执行关键部门的检查。

(3)委托检查:受检单位或监督检查的组织部门不具备检查能力的,可委托经相关主管部门认可的机构来检查。

14.1.3 检查的分类
信息系统的安全性检查按照起因和组织形式可分为常规检查、专项检查、事件检查、安全检查和自查五类;按照内容划分可分为管理类检查和技术类检查两类。

本章将从内容划分进行描述。

(1)管理类检查:针对信息系统的管理过程施行的检查称为管理类检查,主要分为组织安全检查、人员安全检查、系统建设检查和系统运维检查等几个部分。

(2)技术类检查:针对支持和保障信息系统安全运行使用的技术和操作施行的检查称为技术类检查,主要包括物理安全检查、网络安全检查、主机安全检查和应用安全检查等几个部分。

14.2 检查的目标和内容
14.2.1 检查目标
信息系统的检查,无论是自检还是监督检查,实质上都是一种持续性的风险评估和风险规避过程。

美国《联邦信息安全管理法案》中明确要求了联邦各机构需要对每一个系统实施“定期的有效性测试与评估”,考察信息安全的策略、流程和措施“。

维持这样一个风险评估和风险规避过程,能够有效地将系统的安全风险控制在可接受的范围之内,这也就是信息系统安全性检查和目标。

为了更清楚地说明检查的目标,这里给出信息系统安全等级保护检查目标的定义;通过对信息系统安全性检查,将信息系统的安全风险控制在可接受的范围,并且保障系统在相应的系统保护等级上达到相应的等级保护标准和规范。

14.2.2 检查内容
通过细化信息系统安全性检查目标,可以很容易地得到系统检查相应的检查内容,如表14-1所示。

表14-1 系统检查内容
14.3 检查的实施
14.3.1 管理类检查
1.组织安全检查
检查对象:信息安全组织机构相关文档和管理制度。

检查条目和结果判定可参照组织安全管理检查表,如表14-2所示。

表14-2 组织机构安全管理检查
2.人员安全检查
检查对象:人员管理的制度和记录。

检查条目和结果判定可参照人员安全管理检查表,如表14-3所示。

表14-3 人员安全管理检查表
3.系统建设检查
检查对象:系统顶级管理中的制度、记录文档和相关的合同及文档等。

检查条目和结果判定参照系统建设管理检查表,如表14-4所示。

表14-4 系统建设管理检查表
4.系统运维检查
14.3.2 技术类检查
1.物理安全检查
检查对象:机房环境安全、设备安全、系统安全保障措施实施情况和检测验收报告。

检查条目:
1)物理环境安全
(1)检查机房安全环境,包括机房布线、防静电和防盗防毁措施的实施情况;
(2)检查机房防水、防火和温湿度调节等保障措施和设备是否完全符合标准,以及其运行维护情况;
(3)检查机房管理制度和相关的记录文件;
(4)检查机房的门禁机监控系统运行情况和相关记录文件;
(5)检查屏幕和办公桌面。

2)设备物理安全
(1)检查物理设备的防电磁干扰和泄露措施;
(2)检查物理设备的维护情况和相关记录文档。

3)介质物理安全
(1)检查物理介质存放、管理措施和相关文档记录文件;
(2)检查物理介质信息消除措施的实施情况和相关记录;
(3)检查介质信息加密措施实施情况。

检查条目和结果判定可参照物理安全检查表,如表14-6所示。

2.网络安全措施
检查对象:网络拓扑、安全策略、设备和网络安全的各类保障措施。

如访问控制等的实施情况以及相关的记录和审计文件等。

检查条目:
1)结构安全
(1)网络拓扑结构图与当前网络系统结构的符合性;
(2)网络结构设计和区域划分的合理性;
(3)重要区域和网段、业务、职能部门的隔离性;
(4)重要业务系统的带宽优先级;
(5)路由控制;
(6)网络冗余性配置。

2)访问控制
(1)检查身份认证系统运行情况和相关记录文件;
(2)检查访问控制措施实施情况以及相关的监控和记录文件。

3)安全审计
(1)检查审计数据保护措施实施情况;
(2)检查审计数据的审查记录文件;
(3)检查审计工具使用情况。

4)边界检测
带宽控制、非授权连接行为检查和阻断。

5)入侵防范
(1)检查入侵检测技术实施情况以及相关监控和记录文件;(2)检查攻击情况和相关额攻击记录。

6)恶意代码防护
(1)恶意代码检测、清除措施实施情况和记录;
(2)恶意代码库升级情况。

7)网络设备防护
(1)用户身份鉴别;
(2)网络管理员登录地址限制;
(3)网络设备用户标识唯一性;
(4)登录失败处理功能;
(5)权限分离;
检查条目和结果判定参见网络安全检查表,如表14-7所示。

表14-7 网络安全检查表
3.主机安全检查
检查对象:主机安全中各类保护措施的实施情况,以及相关记录、日志和审计文件。

检查条目:
1)身份鉴别机制
(1)检查操作系统和数据库系统管理员用户的身份标识和鉴别;
(2)检查操作系统和数据库系统管理员用户标识唯一性和不可冒用性和口令的复杂性;(3)检查用户登录失败的处理机制;
(4)检查服务器远程管理功能及其保护措施;
(5)检查管理员身份鉴别组合技术及其实施情况。

2)访问控制机制
(1)检查访问控制机制的实施、审计情况和相关审计记录;
(2)检查管理员用户权限分配情况是否符合最小权限管理;
(3)检查操作系统和数据库管理系统管理员权限分离情况;
(4)检查其他默认账号的权限分配和管理情况;
(5)检查敏感资源标记情况,以及对敏感资源进行控制。

3)安全审计
(1)检查审计范围覆盖情况;
(2)检查审计内容覆盖情况;
(3)检查审计安全记录内容;
(4)检查审计报表生成和自动生成情况;
(5)检查审计进度保护情况;
(6)检查审计记录保护情况。

4)剩余信息保护
(1)检查操作系统和数据库系统用户鉴别信息所在的存储空间(内存和硬盘空间)移为他用时剩余信息和痕迹清除情况;
(2)检查系统文件、目录和数据库等资源文件存储空间,被释放或移为他用时剩余信息清理情况。

5)入侵防范
(1)检查主机入侵检测软件运行情况和入侵检测记录;
(2)检查重要程序完整性检查和恢复措施;
(3)检查操作系统安全是否符合最小安装原则,以及系统补丁的升级和更新情况。

6)恶意代码防护
(1)检查恶意代码软件的安装、运行和更新情况;
(2)检查主机恶意代码库和网络恶意代码库分离情况;
(3)检查恶意代码库的统一管理和升级。

7)资源控制
(1)检查终端登录限制情况;
(2)检查安全策略中终端登录超时情况;
(3)检查单个用户系统资源使用情况;
8)备份恢复
(1)检查关键网络设备、通信线路、关键设备的硬件冗余情况,保障系统的高可用性;检查条目和结果判定操作主机安全检查法,如表14-8所示。

4.应用安全检查
1)脆弱性检查
检查对象:重要业务系统和网站等重要应用系统。

检查条目:业务系统和网站等重要应用系统中、高风险安全漏洞情况。

2)应用措施防护
检查对象:业务系统和重要网站等应用系统。

检查条目:
(1)防篡改与恢复功能;
(2)WEB应用层防护功能。

3)门户网站监测
检查对象:门户网站系统。

检查条目:
(1)系统可用性监测;
(2)信息破坏事件监测;
(3)有害程序事件监测;
(4)信息内容安全监测。

检查条目和结果判定如表14-9所示。