互联网联网单位信息网络安全检查表

1、铁岭市互联网联网单位信息网络安全检查表检查时间： 年 月 h被检杳单位名称经营业务范围单位地址邮政编码单位负责人联系电话组 织 制 度1、单位成立网络安全小组，确立小组负责人（单位领导任组长）负责制度冇无口2、落实安全管理人员工作职责有无口3、配备2名以上计算机安全员、持证上岗有无口4、制定网络安全事故处置措施有无口安 全 管 理 制 度5、有无建立计算机机房安全管理制度冇无口6、有无用户登记管理制度有无口7、有无建立网络安全漏洞检测和系统升级管理制度冇无口8、有无操作权限管理制度有无口9、有无建立违法案件报告协助查处制度有无口10、有无建立和公安机关的联系制度及机制有无口11、有无建立帐号使

2、用登记和操作权限管理制度有无口12、有无建立安全教冇培训制度有无口13、有无依法办理备案有无口安 全 技 术 措 施14、有无建立数据库及系统重耍部分的冗灾备份措施有无口15、防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者的措施有无口16、记录并昭存用户登录和退出时间、主叫号码、账号、互联网地址或域名、 系统维护日志的技术措施有无口17、记录并留存用户注册信息有无口18、在公共信息服务中发现、停止传输违法信息，并保留相关记录冇无口19、使用内部地址与互联网地址转换方式上网的，能够记录并留存其用户使用 的互联网地址与内网地址的对应关系冇无口20、记录留存的技术措施，具有至少保存60天记

3、录备份的功能有无口21、提供互联网上网服务的单位，还应安装并运行互联网公共上网服务场所安 全管理系统有无口女全员联系电话物理全屮心机房建设是否满足国家电子计算机机房设计规范、电子计算机场地通用规范、计算站场地安全要求的要求，在场地防火、防水、防震、电力、布线、配电、o是o否 温度、湿度、防雷、防静电等方面是否达到相应标准要求是否划分重点网络安全防护区域o是o否是否安装了身份鉴别系统（简单描述：）。o是o否是否记录出入人员的相关信息。女山身份、h期、时间等o是o否是否对软盘、硬盘、光盘等介质中的重要或涉密数据进行销毁。o是o否是否根据软盘、硕盘、光盘等介质各口的使用情况、使用寿命及系统的可靠性等

4、级， 制定预防性维护、更新计划。o是o否 a行全主耍服务器、电源是否有备份，重要设备是否采取备份措施o是o否主耍系统软件、应用软件等是否采取备份措施o是o否数据信息是否有备份，重要信息的数据是否进行了异地备份o是o否有无在指定时1'可内恢复系统功能以及重要数据的能力o是o否是否定期对信息系统进行风险分析和评估o是o否是否根据风险分析、评估结呆，进行相应的安全措施选择，确认和鉴定措施的可行性， 同时制定应急处置预案。o是o否是否建立病毒防治的规章制度并适时进行包括服务器和客户端的査毒、杀您o是o否防病毒工具名称：生产厂家：防火墙名称：当前版本号：升级方式：牛产厂家：身份鉴别当川户对系统的

5、鉴别尝试失败连续达到一定次数后，系统是否锁定该川户的账号，并 只有安全管理员有权恢复或重建该账号，且将有关信息牛成审计事件。o是o否验证操作系统数据库系统、办公h动化系统等的口令长度是否少于八位字符o是o否有无根据信息的涉密等级制定不同的身份鉴别方式，其屮包括采用口令方式、1c卡 技术、一次性口令或生理特征等强身份鉴别。具体措施：（）o是o否是否建立安全口令的保护制度，采取加密等技术措施保护口令o是o否利用需要输入口令进彳亍鉴别的系统应用如browser/server、client/server> ftp等，通 过数据监听等方式检查口令是否加密传输。o是o否访 问 控 制是否制定明确的访

6、问控制策略o是o否是否利用了系统的网络结构，如广域网、局域网、物理子网和逻辑子网等可靠方法， 并按信息密级和信息重要性进行系统安全域划分o是o否是否采用vlan、域、组等方式对同一安全域进行进一步划分o是o否不同的安全域需要互连互通时是否采川安全设备（防火墙、网关等）进行边界防护， 并实施访问控制o是o否是否从技术上保证只有安全管理员有权设置或修改访问控制规则o是o否审计f1志中是否有对访问控制规则进行操作的记录o是o否访问控制规则是否有备份o是o否安 全 审 计 及 预 警使用安全审计 系统名称预警方式市计h志中是否记录市计事件发生的fi期和时间、主体身份、事件类型、事件结果o是o否是否记录

7、以下重要审计事件：鉴别失败、系统配置修改、用八权限修改o是o否处理垂要或涉密信息的系统，是否能够检测并记录侵权系统的事件o是o否是否能及时自动告警且能否足以提醒安全管理员有安全事件发生o是o否在白动告警时是否定义了告警内容及管理员应采取的措施o是o否是否设置了审计h志的访问权限o是o否是否定期备份审计日志o是o否审计l1志的增、删等方法检杳审计系统对审计l1志能否提供完整性保护o是o否安全管理员是否定期查看审计口志，并有相应的记录o是o否检杳审杳记录是否能被修改o是o否通过加入案例等方式检查审计功能是否能正确实现o是o否宙查记录是否能被if授权的删除和丢弃o是o否安全性能检测是否有能对系统进行安全性能检测的检测工具o是o否釆用的检测工具是否经过国家公安部批准o是o否是否建立管理制度，规定安全性能检杏的周期、范围、方式、参加人员、使用的工具、 依据的标准等内容o是o否安全性能检测是否保存记录o是o否检测记录是否符合制度规定，包括检杏周期、范围、发现的问题、纠正情况等记录 是否全而o是o否数据库安全数据阳类别数据库釆取的安全机制是否采川安全数据库管理系统（达到gb17859-1999计算机信息系统安全保护等级划分准则三级 以上的数据库管理系统）或对其进行数据库安全加强o是o否安 全