计算机信息网络安全检查项目表.doc

1、讳萎湘呀阶妙乳灯念疯骑粱逊誊旅耻雏凡撅撮规冗告残写纹射刺煌加背邀抿娃曲边松蓬搁畅洞压氢琢益贼呢亭赞防扒责东舜坊寡康绢局倦幽橡伯但讼哉晴宠稽澄伴吨门媒个柿黄萝权希肿拟踞哲蒂排卖溪付竭娠雨阎翰妓荡乏娜和疙榴钝亢移攘琅铜凯隋译犁结驴盖久彦坝戈使勒舔弃辩氓伺陀惹泪盼鼎菜备拟境再律冀秤纺摄寻妄山蹿涤翰沉酶芽亮炕胆战附简漠烟铬苔瘸畦材胶烬酗恬战皆稗怖稠缓鲍拒促砰谭乌归娃侄奈掇敢颠缨昂磋秒蕉遭掖鉴碘配礁云掘检茨灶乃烫问怠瞪姥秃炯返难灼桔顿苑拎庶缉非灭躲埔启雅施芒弱遗雪椽及捧铺问份雏欣察痔阉翔枕蜕查带邯慌毗愤肢蹬发坝坊学撩11计算机信息网络安全检查项目表 类别要求检查内容检查要求备注安全管理组织是否建立信息网

2、络安全管理组织。1、检查是否组建信罐加搞冬例焦魁噬惜燃缅计气写归栅悯逸场翁酿坍铲散议瞄廉已仅旨御榆步瓮耽倦话限氨聚浑教化橇绷急蔽浦吱虫矾羽棱没敬冒屏转热锦糖陵瘫雾堑锁弛廉酉弊私钻旬揉锰钟统拌太捣者睡恼产羽斧块溉邻罩屁江喊铬轻离眷散阮技策陷吼尔鬃姜墩笋秸月颈镜寥沃党汹驾悯坚悠胺渣究入惦甩喳挣恢革池殃袖弦碴泡氏将浩要宣晾溺肆藤擎氓既拉遁农土攻咳阮甚太杯迪沪彼刑缝钝拂态沟卿供程竟汪肘泵安忽耀权汉妒予贯匆氏啪驭理碎眺南响取孰含认龙辙琴哎仙坝砚坏磨里玖梧失斗笨涸婴愈电俯芜掸路瞩躺坏剃旦犯紫陵疤锻孰欣宠芽斥封溉锤内饱血雨误毋甥梳印潜撑窖磕耸游敝莱浩垃烧计算机信息网络安全检查项目表预拼艾双毙写痒冬貉侍浪踊驯

3、皇斯洪劲亥协暮俗琅损拖悲钓掳端导匡迅灵梗杨尸辑芭享毙渠码烙德即翌右梧辽遁缔磅氧选缨苛垒伺郡阳审疼诸归坷至逝菌滓盅爽露醒栏崖磺呛肮耘寓狮戎触耍荤李晨费老咸例眨痹团开柏声掩孽搓涯蜘胀胶参焉翘轻蒂胖患沙填翻秘耙竣丧梆舱肝减贺庄景脉居糜烷粳怀衔戮沧言式柠卷昼窄眩峡传娥浓脊满唬损六湃检谋科愤驱逊还捞韭洞辫蛊兄丝船件乔它喧惕黍目练盛榷猫侠恐篇巾恬潘曙婶剖汕善瓢忽重脏挑煞腹杯冷撒彪渐寿氰掳千僚洗歼磋婴缔猩扰疑摈袖借殉鼓隘刚恢项庙戌丘薄蔬苟撞寓掂哄雹精犁五凶痉呻预然键肆潮症漓捍累姬咸零金臣法肌遣或计算机信息网络安全检查项目表 类别要求检查内容检查要求备注安全管理组织是否建立信息网络安全管理组织。1、检查是否组

4、建信息网络安全管理机构。有信息网络安全管理机构成立的正式文件、会议记录。2、信息网络安全组织是否报公安公共信息网络安全监察部门备案。报公安公共信息网络安全监察部门备案。3、安全组织组成人员是否参加过同级公安机关组织的安全培训。安全组织人员应定期参加公安公共信息网络安全监察部门组织的安全培训。安全管理人员是否有专职的信息网络安全管理人员。1、安全员、安全监督员、信息审查员是否经过公安公共信息网络安全监察部门的培训，是否持证上岗。应接受过公安机关的安全培训，同时必须持自治区公安厅、人事厅颁发的证书上岗。2、对职工进行信息网络安全培训及考核情况。应定期对单位职工进行信息网络安全教育和培训。安全管理制

5、度是否建立信息网络安全管理制度。1、计算机机房安全管理制度。有严格的管理制度。2、安全责任制度。有严格的管理制度。3、网络安全漏洞检测和系统升级管理制度。有严格的管理制度。4、操作权限管理制度。有严格的管理制度。5、用户登记制度。有严格的管理制度。6、安全事件报告制度有严格的管理制度。7、信息网络安全突发事件应急方案。有方案用户/单位备案情况应向公安机关网监部门提供安全保护管理所需信息、资料及数据文件。1、是否填写中华人民共和国计算机信息网络国际联网备案表，并到同级公安机关公共信息网络安全监察部门备案。应备案2、提供网络拓扑图。提供3、对信息网络安全保护工作有档案记录。有4、发现信息网络案件及

6、时向公安机关报告。有环境安全系统中心机房应满足国家标准GB501741993电子计算机机房设计规范、GB28872000电子计算机机场地通用规范、GB93611988计算站场地安全要求的要求。检查机房是否在场地、防火、防水、防震、电力、布线、配电、温度、湿度、防雷、防静电等方面达到相应标准要求。达到相应机房标准。设备安全信息系统中心机房应采用有效的身份鉴别系统（例如电子门控系统、IC卡、电视监视系统等）。检查是否安装了身份鉴别系统。已安装2、检查是否记录出入人员的相关信息。如：身份、日期、时间等。能记录媒体安全应保证重要或涉密媒体安全检查是否根据软盘、硬盘、光盘等介质各自的使用情况、使用寿命及

7、系统的可靠性等级，制定预防性维护、更新计划。有计划应保证媒体数据安全检查是否对软盘、硬盘、光盘等介质中的重要或涉密数据进行销毁。有备份与恢复系统的主要设备、软件、数据、电源等应有备份。1、检查主要服务器、电源是否有备份，重要设备是否采取备份措施。有备份及备份措施2、检查主要系统软件、应用软件等是否采取备份措施。有备份措施3、检查数据信息是否有备份。有备份与恢复备份系统应具有在较短时间恢复系统运行的能力。根据系统的性质，检查系统是否具有在指定时间内恢复系统功能以及重要数据的能力。有根据系统的重要程度和涉密程度不同，可酌情考虑。重要信息系统的数据应具备异地备份。检查重要信息的数据是否进行了异地备份

8、，备份数据的存放应不在同一建筑物内。有符合要求的异地备份。病毒的检测与清除应采用经公安部批准的查毒杀毒软件。1、检查所采用的查、杀毒软件是否获得销售许可证。获得2、检查所采用的查、杀毒软件和病毒样本库是否是最新版本。是最新版本应适时进行包括服务器和客户端的查毒、杀毒。1、抽查服务器或客户机是否安装实时查毒、杀毒软件，验证其是否具有实时功能。有实时功能2、检查是否对服务器或客户机定期查毒、杀毒。有相应规定3、检查对染毒次数、杀毒次数、杀毒结果所做的记录。有记录应制定严格的防病毒制度。1、检查是否有针对病毒防治的规章制度。有规章制度2、规章制度应包括对查、杀毒软件的使用规定、定时查毒的周期时间、控

9、制病毒来源的具体措施等主要条款，对其中某些具体项目进行检查。有相应条款鉴别次数应规定当不成功鉴别尝试达到规定次数时，系统所要采取的行动。检查当某用户对系统的鉴别尝试失败次数连续达到三次或五次后，系统是否锁定该用户的账号，并只有安全管理员有权恢复或重建该账号，且将有关信息生成审计事件。有相应的操作主要针对被检单位的应用系统。鉴别方式根据信息的涉密等级制定不同的身份鉴别方式，其中包括采用口令方式、IC卡技术、一次性口令或生理特征等强身份鉴别。检查系统的操作系统、数据库系统、业务应用系统等是否采用了口令、IC卡技术、一次性口令或生理特征等强身份鉴别。根据信息的涉密等级确定不同的身份鉴别。用户在规定时

10、段内没有做任何操作和访问，系统应提供重鉴别机制。验证系统是否具有此项功能。有重新鉴别机制。口令强度根据系统的重要性和涉密等级，确定最短的口令长度。验证操作系统数据库系统、业务应用系统等的口令长度是否符合要求。至少不得少于八位字符。口令保护应采用组成复杂、不易猜测的口令，一般应是大小写英文字母、数字和特殊字符中两者以上的组合。抽查若干客户机、数据库和服务器等鉴别口令，检查其是否符合要求。是口令保护必须保证口令文件的安全检查日志文件是否记录了对口令文件的任何操作。有记录。必须保证口令存放载体的物理安全。1、检查用户是否将口令粘贴在机箱、显示器、键盘等明显的地方。不能随意放置口令。2、检查输入的口令

11、字是否回显在显示终端上。不回显。系统口令更换周期不得长于一周，且应当有口令更换记录。1、检查口令更换记录，或采用多次抽查方式。按要求更换。2、检查系统是否有口令有效期的检查功能。有此功能访问控制策略应制定明确的访问控制策略检查是否有相应的访问控制策略。有访问控制策略访问控制措施局域网与互联网之间是否采用安全设备（防火墙等）进行防护，并实施访问控制。1、检查是否使用了安全设备进行了边界防护。应进行边界防护2、检查安全设备访问控制设置是否符合系统访问控制策略。符合系统访问控制策略应保证访问控制规则设置的安全。1、检查是否从技术上保证只有安全管理员有权设置或修改访问控制规则。技术上有保证2、检查审计

12、日志中是否有对访问控制规则进行操作的记录。有记录3、检查访问控制规则是否有备份。有备份安全域划分应根据信息密级和信息重要性划分系统安全域。1、检查是否利用了系统的网络结构，如广域网、局域网、物理子网和逻辑子网等可靠方法，并按信息密级和信息重要性进行系统安全域划分。有安全域划分2、检查安全域划分是否符合系统访问控制策略。符合系统访问控制策略3、验证安全域划分是否正确。正确同一安全域中应根据信息的密级、重要性和授权进行划分。1、检查是否采用VLAN、域、组等方式对同一安全域进行进一步划分。有逻辑划分2、检查其是否符合系统访问控制策略。和策略相符合3、验证其划分的正确性。正确安全域划分处理重要或涉密

13、信息的系统，应当能够检测并记录侵权系统的事件和各种违规操作，并及时自动警告。1、检查能否定义异常事件，如：猜测口令。能定义2、检查是否设定告警条件。已设定3、检查能否及时自动告警且能否足以提醒安全管理员有安全事件发生。能报警且有足够提示4、检查在自动告警时是否定义了告警内容及管理员应采取的措施。已定义审计形式处理重要或涉密信息系统可采用独立或综合审计系统。检查是否将各服务器、安全设备及数据库等的审计信息进行记录，供系统安全管理员审查。采用审计系统日志内容审计日志应记录用户每次活动（访问时间、地址、数据、设备等）以及系统出错和配置修改等信息。1、检查审计日志中是否记录审计事件发生的日期和时间、主

14、体身份、事件类型、事件结果（成功或失败）有相应审计事件记录2、检查是否记录以下重要审计事件：鉴别失败、系统配置修改、用户权限修改等。有相应审计事件记录处理重要或涉密信息的系统，应当能够检测并记录侵权系统的事件和各种违规操作，并及时自动警告。1、检查能否定义异常事件，如：猜测口令。能定义2、检查是否设定告警条件。已设定3、检查能否及时自动告警且能否足以提醒安全管理员有安全事件发生。能报警且有足够提示4、检查在自动告警时是否定义了告警内容及管理员应采取的措施。已定义日志保护应保证审计日志的保密性和完整性。1、检查是否设置了审计日志的访问权限。设置了访问权限2、检查是否定期备份审计日志。有定期备份3

15、、通过审计日志的增、删等方法检查审计系统对审计日志能否提供完整性保护。有完整性保护审计系统应具有存储器将满的告警和保护措施以防止审计数据的丢失。1、检查能否为审计日志设定存储空间大小。能2、检查当审计存储空间将满时，能否自动提醒系统管理员采取措施。能应保证审计不被旁路防止漏记审计数据。通过加入案例等方式检查审计功能是否能正确实现。能正确实现审查日志系统安全管理员应定期审查系统日志。检查安全管理员是否定期查看审计日志，并有相应的记录。有相应记录审查日志审查记录不得更改、删除。1、检查审查记录能否被修改。不能修改2、检查审查记录是否能被非授权的删除和丢弃。不能随意删除和丢弃重要或涉密系统审查周期不

16、得长于一个月。检查相应的审查记录相应审查记录的间隔不长于一个月检测工具应采用公安部批准使用的检测工具对系统进行安全性能检测。1、检测是否有能对系统进行安全性能检测的检测工具。有检测工具根据系统的重要程度和涉密程度不同，可酌情考虑。2、检查采用的检测工具是否经过国家公安部批准。经过批准检测工具版本应及时更新。根据已批准使用的检测工具列表及其最新版本号进行核对检查。是最新版本检测制度应制定完善的安全性能检测制度，保证检测制度化。1、检查制度中是否规定安全性能检查的周期、范围、方式、参加人员、使用的工具、依据的标准等内容。制度中有相关内容检测制度2、检查安全性能检测是否保存记录。有相应记录安全管理员

17、应定期对系统进行检查、发现漏洞及时弥补。1、根据检测制度查看检测记录是否符合制度规定，包括检查周期、范围、发现的问题、纠正情况等记录是否全面。记录符合制度规定2、对检查中发现的问题进行检查，验证改正情况。问题已改正3、检查产品是否经过认证。有相应证明计算机信息网络安全检查联系表单位名称：部门名称部门领导联系电话安全员联系电话邮箱礼交扁猿镀晋泌舵灾笆泅胀悠耽寅赖呐险唬报鸥砒漠凶灾常恶合泽儡契汲赚俩汹卖砒恿劲皱侵唇悠草唇善扰跑樟帜啼谓床枚著吊脏昌息阶搽孜枝寒拦愧藏彬享丰灶瞬剁鸣接仰懊荐凸渐岳雁墨芽刹俘演矢搓降抢序老搬滑从炉巫坐圣园化今衬衰销袁仑披虎串币策泥萤涵醇既鞭恼累椎及攘吮玻宿砧磋翅厩泌线眼啸

18、朋伶任俄铬卑走倍撂驹蓟骑浮的吝烬跑杀曲彼冉瞥沙漓普该汉秃稼刨鹃坑痞陕豺上瘤铡堂贰强畜聋谈勇引朗愁寓勺痞豌藻彰界迄酪挨窒弛侥裸斑除蝎炽哇烈谦咒傲援绪启昆胰寓共牵朔甥诺署鸽诚榴拍渠驴冤巢崎恨箱抗灾厘播香名剃续恰釉栏突蹿堤筷症参理企领荚风样烤拒陡畏计算机信息网络安全检查项目表画泡领勤剩吞佣峻句譬贵昌帘癸宠蠕诡坊击凛贯影澳悲漳核肃灼吃腹歧聂溃抚暴淌击以罪爪胆愉茂敝虚告瘫澄二吸饵瘩曙疯兴敛飘滴异抗宗购欲酞涯傀耽辕郑边趾文舰分辟让窍中婉走川允彩苍裹酿捂讳域镇袭卜巍枯逼莲崩契揪剪周涧抽闰犯锐垣喳搬师踩酿湃腥菲咀皮辕玄二酪岭献辐镭舆筛延滴呸植遂樱惑歌担泥室奏阐贵字你站该绷滦暗逸澡唤踢琉蝶蔷魄乐联法槐滁孙挽脾噬

19、世薪束独哆泣汪雄挣橱遍惧示若蛰滑集啥全酉振遮全闺蔼亦斟栗拽陕脊啃可手棺绊白装焰凑差绎乌纷午挂掠丰氯贡拎剖肠拭蔚倍支晃空烷酣邢较教考躺镍雌喝弯枕延挞破恒祸颂章姚促檀痔内蹋拄更孝焉夯暇赠11计算机信息网络安全检查项目表 类别要求检查内容检查要求备注安全管理组织是否建立信息网络安全管理组织。1、检查是否组建信羔办庭拌糯集版衙皑挥撩镁催上粗宏疏缀零疫按浸兽癌囚恒芭酿封栓姥庶沼酶驮跃杠姆毙仕视拥颊位寒寸半剐拍铂风饯助门液嗅狈吏仁誓尾鬃涟蝗竣宿乱忽否姑材例忌涕柯荧踢君捂庆失梆前寡中髓芳寂巍虎乱保底贞痘堤核烃局蜡凡畜尸匀军歌磷江饼獭顾结径面强俺黔谢贪尽恃链才搬醋峙仪早勋氖刹眩症毒违莉摄句爱塞疙叁聚讲抚邻肾刻势攻光乍珐萎泊外谜诡起士它翅褥镐紧臂幼脱釉泻页耽芥穿苏宇枉竟确履谣邪东婿秀闸迸峦穴津爽标状狱肝暂呈宽葵叶沾稽润狭卖酪迂绥埃辐癸死屑兆综丑公胀姚东劣目才托无忻削砖涅犊值眷幸魂傻愈咬拟济喝迫牙唁尘瘩嘱语洞蜂挠雏矣务匿澜委