计算机信息网络安全检查项目表

1 计算机信息网络安全检查项目表计算机信息网络安全检查项目表 类别要求检查内容检查要求备注 1 检查是否组建信息网络安全管理机构 有信息网络安全管理机构成立的 正式文件 会议记录 2 信息网络安全组织是否报公安公共信息网 络安全监察部门备案 报公安公共信息网络安全监察部 门备案 安全管理组织 是否建立信息网络安全管 理组织 3 安全组织组成人员是否参加过同级公安机 关组织的安全培训 安全组织人员应定期参加公安公 共信息网络安全监察部门组织的 安全培训 1 安全员 安全监督员 信息审查员是否经 过公安公共信息网络安全监察部门的培训 是 否持证上岗 应接受过公安机关的安全培训 同时必须持自治区公安厅 人事 厅颁发的证书上岗 安全管理人员 是否有专职的信息网络安 全管理人员 2 对职工进行信息网络安全培训及考核情况 应定期对单位职工进行信息网络 安全教育和培训 1 计算机机房安全管理制度 有严格的管理制度 2 安全责任制度 有严格的管理制度 3 网络安全漏洞检测和系统升级管理制度 有严格的管理制度 4 操作权限管理制度 有严格的管理制度 5 用户登记制度 有严格的管理制度 6 安全事件报告制度有严格的管理制度 安全管理制度 是否建立信息网络安全管 理制度 7 信息网络安全突发事件应急方案 有方案 2 1 是否填写 中华人民共和国计算机信息网 络国际联网备案表 并到同级公安机关公共 信息网络安全监察部门备案 应备案 2 提供网络拓扑图 提供 3 对信息网络安全保护工作有档案记录 有 用户 单位备案 情况 应向公安机关网监部门提 供安全保护管理所需信息 资料及数据文件 4 发现信息网络案件及时向公安机关报告 有 环境安全 系统中心机房应满足国家 标准 GB50174 1993 电 子计算机机房设计规范 GB2887 2000 电子计算 机机场地通用规范 GB9361 1988 计算站场 地安全要求 的要求 检查机房是否在场地 防火 防水 防震 电 力 布线 配电 温度 湿度 防雷 防静电 等方面达到相应标准要求 达到相应机房标准 检查是否安装了身份鉴别系统 已安装 设备安全 信息系统中心机房应采用 有效的身份鉴别系统 例 如电子门控系统 IC 卡 电视监视系统等 2 检查是否记录出入人员的相关信息 如 身份 日期 时间等 能记录 媒体安全 应保证重要或涉密媒体安 全 检查是否根据软盘 硬盘 光盘等介质各自的 使用情况 使用寿命及系统的可靠性等级 制 定预防性维护 更新计划 有计划 3 应保证媒体数据安全 检查是否对软盘 硬盘 光盘等介质中的重要 或涉密数据进行销毁 有 1 检查主要服务器 电源是否有备份 重要 设备是否采取备份措施 有备份及备份措施 2 检查主要系统软件 应用软件等是否采取 备份措施 有备份措施 备份与恢复 系统的主要设备 软件 数据 电源等应有备份 3 检查数据信息是否有备份 有 备份系统应具有在较短时 间恢复系统运行的能力 根据系统的性质 检查系统是否具有在指定时 间内恢复系统功能以及重要数据的能力 有 备份与恢复 重要信息系统的数据应具 备异地备份 检查重要信息的数据是否进行了异地备份 备 份数据的存放应不在同一建筑物内 有符合要求的异地备份 根据系统的重要程 度和涉密程度不同 可酌情考虑 1 检查所采用的查 杀毒软件是否获得销售 许可证 获得 应采用经公安部批准的查 毒杀毒软件 2 检查所采用的查 杀毒软件和病毒样本库 是否是最新版本 是最新版本 1 抽查服务器或客户机是否安装实时查毒 杀毒软件 验证其是否具有实时功能 有实时功能 2 检查是否对服务器或客户机定期查毒 杀 毒 有相应规定 病毒的检测与清 除 应适时进行包括服务器和 客户端的查毒 杀毒 3 检查对染毒次数 杀毒次数 杀毒结果所 做的记录 有记录 4 1 检查是否有针对病毒防治的规章制度 有规章制度 应制定严格的防病毒制度 2 规章制度应包括对查 杀毒软件的使用规 定 定时查毒的周期时间 控制病毒来源的具 体措施等主要条款 对其中某些具体项目进行 检查 有相应条款 鉴别次数 应规定当不成功鉴别尝试 达到规定次数时 系统所 要采取的行动 检查当某用户对系统的鉴别尝试失败次数连续 达到三次或五次后 系统是否锁定该用户的账 号 并只有安全管理员有权恢复或重建该账号 且将有关信息生成审计事件 有相应的操作 主要针对被检单位 的应用系统 根据信息的涉密等级制定 不同的身份鉴别方式 其 中包括采用口令方式 IC 卡技术 一次性口令或生 理特征等强身份鉴别 检查系统的操作系统 数据库系统 业务应用 系统等是否采用了口令 IC 卡技术 一次性口 令或生理特征等强身份鉴别 根据信息的涉密等级确定不同的 身份鉴别 鉴别方式 用户在规定时段内没有做 任何操作和访问 系统应 提供重鉴别机制 验证系统是否具有此项功能 有重新鉴别机制 5 口令强度 根据系统的重要性和涉密 等级 确定最短的口令长 度 验证操作系统数据库系统 业务应用系统等的 口令长度是否符合要求 至少不得少于八位字符 口令保护 应采用组成复杂 不易猜 测的口令 一般应是大小 写英文字母 数字和特殊 字符中两者以上的组合 抽查若干客户机 数据库和服务器等鉴别口令 检查其是否符合要求 是 必须保证口令文件的安全 检查日志文件是否记录了对口令文件的任何操 作 有记录 1 检查用户是否将口令粘贴在机箱 显示器 键盘等明显的地方 不能随意放置口令 口令保护 必须保证口令存 放载体的物理安 全 2 检查输入的口令字是否回显在显示终端上 不回显 6 1 检查口令更换记录 或采用多次抽查方式 按要求更换 系统口令更换周期不得长 于一周 且应当有口令更 换记录 2 检查系统是否有口令有效期的检查功能 有此功能 访问控制策略 应制定明确的访问控制策 略 检查是否有相应的访问控制策略 有访问控制策略 1 检查是否使用了安全设备进行了边界防护 应进行边界防护 局域网与互联网之间是否 采用安全设备 防火墙等 进行防护 并实施访问控 制 2 检查安全设备访问控制设置是否符合系统 访问控制策略 符合系统访问控制策略 访问控制措施 应保证访问控制规则设置 的安全 1 检查是否从技术上保证只有安全管理员有 权设置或修改访问控制规则 技术上有保证 7 2 检查审计日志中是否有对访问控制规则进 行操作的记录 有记录 3 检查访问控制规则是否有备份 有备份 1 检查是否利用了系统的网络结构 如广域 网 局域网 物理子网和逻辑子网等可靠方法 并按信息密级和信息重要性进行系统安全域划 分 有安全域划分 2 检查安全域划分是否符合系统访问控制策 略 符合系统访问控制策略 应根据信息密级和信息重 要性划分系统安全域 3 验证安全域划分是否正确 正确 1 检查是否采用 VLAN 域 组等方式对同 一安全域进行进一步划分 有逻辑划分 2 检查其是否符合系统访问控制策略 和策略相符合 安全域划分 同一安全域中应根据信息 的密级 重要性和授权进 行划分 3 验证其划分的正确性 正确 8 1 检查能否定义异常事件 如 猜测口令 能定义 2 检查是否设定告警条件 已设定 3 检查能否及时自动告警且能否足以提醒安 全管理员有安全事件发生 能报警且有足够提示 安全域划分 处理重要或涉密信息的系 统 应当能够检测并记录 侵权系统的事件和各种违 规操作 并及时自动警告 4 检查在自动告警时是否定义了告警内容及 管理员应采取的措施 已定义 审计形式 处理重要或涉密信息系统 可采用独立或综合审计系 统 检查是否将各服务器 安全设备及数据库等的 审计信息进行记录 供系统安全管理员审查 采用审计系统 9 1 检查审计日志中是否记录审计事件发生的 日期和时间 主体身份 事件类型 事件结果 成功或失败 有相应审计事件记录 审计日志应记录用户每次 活动 访问时间 地址 数据 设备等 以及系统 出错和配置修改等信息 2 检查是否记录以下重要审计事件 鉴别失 败 系统配置修改 用户权限修改等 有相应审计事件记录 1 检查能否定义异常事件 如 猜测口令 能定义 2 检查是否设定告警条件 已设定 3 检查能否及时自动告警且能否足以提醒安 全管理员有安全事件发生 能报警且有足够提示 日志内容 处理重要或涉密信息的系 统 应当能够检测并记录 侵权系统的事件和各种违 规操作 并及时自动警告 4 检查在自动告警时是否定义了告警内容及 管理员应采取的措施 已定义 1 检查是否设置了审计日志的访问权限 设置了访问权限 日志保护 应保证审计日志的保密性 和完整性 2 检查是否定期备份审计日志 有定期备份 10 3 通过审计日志的增 删等方法检查审计系 统对审计日志能否提供完整性保护 有完整性保护 1 检查能否为审计日志设定存储空间大小 能 审计系统应具有存储器将 满的告警和保护措施以防 止审计数据的丢失 2 检查当审计存储空间将满时 能否自动提 醒系统管理员采取措施 能 应保证审计不被旁路防止 漏记审计数据 通过加入案例等方式检查审计功能是否能正确 实现 能正确实现 审查日志 系统安全管理员应定期审 查系统日志 检查安全管理员是否定期查看审计日志 并有 相应的记录 有相应记录 1 检查审查记录能否被修改 不能修改 审查记录不得更改 删除 2 检查审查记录是否能被非授权的删除和丢 弃 不能随意删除和丢弃 审查日志 重要或涉密系统审查周期 不得长于一个月 检查相应的审查记录 相应审查记录的间隔不长于一个 月 检测工具 应采用公安部批准使用的 检测工具对系统进行安全 1 检测是否有能对系统进行安全性能检测的 检测工具 有检测工具 根据系统的重要程 度和涉密程度不同 11 性能检测 2 检查采用的检测工具是否经过国家公安部 批准 经过批准 检测工具版本应及时更新 根据已批准使用的检测工具列表及其最新版本 号进行核对检查 是最新版本 可酌情考虑 检测制度 应制定完善的安全性能检 测制度 保证检测制度化 1 检查制度中是否规定安全性能检查的周期 范围 方式 参加人员 使用的工具 依据的 标准等内容 制度中有