信息内外网边界安全检查表

101.2.信息内外网边界专项督查检查表边界划分状况〔40〕序号序号检查项评价指标分值评分标准得分记录没有在信息内网与银企联网处或承受专线与第三方单位连接1信息内网第三方边界划分是否合理10处划分网络边界〔10〕10边界划分不清楚〔酌情扣分〕边界划分是否合理2信息外网第三方边界划分是否合理10网与其他第三方单位的接口处10划分网络边界〔10〕边界划分不清楚〔酌情扣分〕省公司与地市公司或直属单位、4信息内网纵向边界10地市公司与县级单位间处划分10边界划分不清楚〔酌情扣分〕没有在桌面终端域与二息系统域、三级系统域之间；三级系统5横向域间边界1010域之间处划分网络边界〔扣10分〕边界划分不清楚〔酌情扣分〕信息内网第三方边界〔120〕序号序号检查项评价指标分值评分标准得分记录1)内网第三方边界是否部署了访问掌握措施-1内网第三方边界访问掌握设备策略配置状况2)内网第三方边界传输的数据是否承受了加密的传输方式5内网第三方边界未部署访问掌握措施〔本项不得分〕如不存在内网第三方边界请注明内网第三方边界之间传输的数据没有实行加密传输〔5〕访问掌握设备中存在过期策略〔0.5〕访问掌握设备中存在无用策略〔0.5〕53)访问掌握策略设置是否准确有效1010

对信息内网效劳器与第三方服务器之间的访问是否进展IP地 10址和端口的访问掌握设备是否对违反策略的非法访 2问行为进展日志记录设备是否对用户登陆、用户注 2设备是否对帐户建、帐户删除、帐户变更、口令变更、权限 2变更行为进展日志记录设备审计日志记录保存时间是否超过6个月 5信息安全治理人员是否认期对日志进展分析处理 5设备是否设置较强的治理口令 5设备是否对治理登陆地址进展 2限制

未对边界两边的IP地址进展限制〔10〕边界两边的IP地址限制不严格IP地址不明确〔每条扣1分，最多扣8分〕 10未对需访问的端口进展限制〔扣10〕被访问的端口的限制不严格〔每18〕未对违反策略的非法访问行为进行日志记录〔扣2分〕 2未对用户登陆、用户注销、用户〔2〕2记录项不全〔1〕未对设备是否对帐户建、帐户删除、帐户变更、口令变更、权限变更行为进展日志记录〔扣2 2分〕记录项不全〔1〕未对日志进展转存〔5〕存储日志时间缺乏6个月〔扣2 5分〕未对日志进展分析〔5〕缺少日志定期分析的报告〔扣3 5分〕未部署日志分析工具〔1〕设备承受空口令或默认口令〔扣5〕设备口令简洁，不满足简单度要 5求〔3〕没有对设备的登陆地址进展限制〔扣2分〕 2设备是否承受较安全的治理方式〔传输过程加密，如S、 2SSH、SSL〕更是否有相应的审批流程并有 20相应记录内网第三方边界处是否部署入侵检测措施 -

设备没有实行传输加密的治理方式如承受TELNET2式〔2〕〔20分〕 20设备问掌握策略的添加、删除、变更缺乏相应审批记录〔扣 10分〕内网第三方边界没有部署入侵检测措施〔本项不得分〕入侵检测系统没有开启木马攻击、蠕虫攻击、僵尸软件攻击、置状况2

击、僵尸软件攻击、拒绝效劳攻击、后门攻击、漏洞攻击、网络 10扫描探测、特别流量行为监测系统是否对检测到攻击的攻击源IP攻击类型攻击目的攻 10击时间进展记录系统是否在攻击发生时发出报 2警信息系统是否对发生攻击行为进展日志记录，记录保存时间超过6 10个月信息安全治理员是否认期对日 3志进展分析处理系统恶意代码库是否准时更，升级周期不得超过一个月 10

漏洞攻击、网络扫描探测、特别流量监测〔扣10分〕 10入侵检测开启的检测项不全〔每2〕未对检测到攻击的攻击源IP击类型、攻击目的、攻击时间进 10行记录〔10〕记录项不全〔2〕系统在攻击发生时未发出报警信息〔扣2分〕 2未对发生攻击行为进展日志记录〔10〕记录保存时间少于6个月〔扣3 10分〕未对日志进展分析〔3〕缺少日志定期分析的报告〔扣2 3分〕未能对入侵检测系统恶意代码库准时升级〔扣10分〕 10况况设备承受空口令或默认口令〔扣8)系统是否设置较强的登陆治理口令5设备口令简洁，不满足简单度要5信息外网第三方边界〔160〕序号 检查项 评价指标外网第三方边界是否部署了访问掌握措施

分值 评分标准 外网第三方边界未部署访〔本项不得分〕访问掌握设备中存在过期

得分 记录4531 制设备策略配置状况

访问掌握策略设置是否准确有效 10是否对互联网区域可访问的对外网效劳器进展IP地址和端口的访问控 20制是否对外网效劳器主动发起访问互联网的行为进展IP地址和端口的访 2问掌握

策略〔每条扣0.5分〕 10访问掌握设备中存在无用策略〔0.5〕未对互联网访问信息外网的效劳器的端口进展访问掌握〔5〕信息外网效劳器对互联网开放了不必要的端口〔每0.5〕信息外网效劳器对互联网20开启担忧全的效劳和端telneFTP338139、135、445〔每条扣0.5〕如不存在对外效劳，且制止从外到内的访问此项总分值未对外网效劳器主动发起访问互联网的行为进展IP地址和端口的访问掌握〔扣2分〕 2如不存外网效劳器主动连接互联网，且制止外网效劳器主动访问互联网此项总分值5)是否对外网客户端访问外网效劳器IP掌握3未对外网客户端访问外网效劳器域的行为进展IP地址和端口的访问掌握〔3〕36)设备是否对违反策略非法访问行为进展日志记录2未对违反策略的非法访问行为进展日志记录〔扣2分〕27)2用户切换行为进展日志记2户切换行为进展日志记录录〔2〕记录项不全〔1〕8)帐户变更、口令变更、权2限变更行为进展日志记录2外网第三方边界访问控行日志记录〔2〕制设备审计配置状况记录项不全〔1〕未对日志进展转存〔扣59)65分〕65〔2〕未对日志进展分析〔扣5分〕10)信息安全治理人员定期对日志进展分析处理5缺少日志定期分析的报告〔3〕5没有部署日志分析工具〔1〕设备承受空口令或默认口外网第三方边界访问控11)设备设置强壮的治理口令5令〔5〕设备口令简洁，不满足复5制设备治理状况杂度要求〔3〕12)设备对治理登陆地址进展限制2没有对设备的登陆地址进行限制〔2〕213)13)〔传输过程加密，如S、SSH、SSL协议传输的客户端等〕2设备没有实行传输加密的治理方式如承受、TELNET〔2分〕2设备访问掌握策略的添加、删除、变更没有相应14)20的审批流程〔20〕设备问掌握策略的添加、20删除、变更缺乏相应记录〔10〕1)外网第三方边界处部署入侵检测系统-外网第三方边界没有部署入侵检测措施〔本项不得分〕入侵检测系统没有开启木测设备策略配置状况2)系统是否开启木马攻击、蠕虫攻击、流量行为监测10马攻击、蠕虫攻击、僵尸软件攻击、漏洞攻击、网络扫描探测、特别流量监测〔10〕入侵检测开启的检测工程102未对检测到攻击的攻击源3)系统是否对检测到攻击的攻击源IPIP10攻击时间进展记录〔扣1010进展记录分〕〔2〕4)系统是否在攻击发生时发出报警信息2系统在攻击发生时未发出报警信息〔2〕2测设备审计状况5)系统是否对发生攻击行为进展日志610未对发生攻击行为进展日志记录〔10〕610〔3〕不全〔2〕测设备治理状况防护策略配置状况3防护审计状况

信息安全治理员是否认期对日志进 3行分析处理系统恶意代码库是否准时更升级 10周期不得超过一个月系统是否设置较强的登陆治理口令，不允许使用默认口令 5是否部署有效的web防护措施 -是否能供给SQL攻击安全WEB效劳恶意编码攻击安 5全监测力量系统是否保证对外公布的Web效劳页面文件不被恶意篡改安全大事发 5生后能够准时恢复设备应对WEB〔如，SQL入攻击跨站脚本攻击名目遍历等〕 5进展日志记录信息安全治理员是否认期对日志进行分析处理 5

未对日志进展分析〔扣5分〕缺少日志定期分析的报告3〔3〕未能对入侵检测系统恶意代码库准时升级〔扣103分〕设备承受空口令或默认口令〔5〕设备口令简洁，不满足复5杂度要求〔3〕信息外网未部署有效的web防护措施〔本项不得分〕SQL跨站脚本攻击安全、WEB效劳恶意编码攻击的检测5力量〔5〕WEB力量〔2〕WEB防篡改措施5〔5〕WEB〔如，SQL注入攻击、跨站脚本5攻击、名目遍历等〕进展日志记录〔5〕未对日志进展分析〔扣5分〕缺少日志定期分析的报告5〔3〕设备承受空口令或默认口设备承受空口令或默认口6)设备是否设置较强的登陆治理口令53设备口令简洁，不满足简单未对设备的登陆地址进展设备没有实行传输加密的5外网第三方边界Web防护治理状况7)是否对设备治理地址进展限制38)〔传输过程加密，如S、SSH、SSL 2治理方式如承受、2协议传输的客户端等〕TELNET〔2分〕序号检查项评价指标分值序号检查项评价指标分值评分标准记录整改状况1信息内外网隔离装置部署状况1〕署了隔离设备1〕信息治理人员是否具备查看隔离装置日志的力量及手段2信息内外网隔离装置治理状况2)20〔20〕设备问掌握策略的添加、删除、变更缺乏相应审批记录〔10〕20信息内网与信息外网边界未部署隔离装置，且存在连接15〔本项不得分〕15信息内网与信息外网完全断开〔本项总分值〕〔扣35分〕信息治理人员不具备独立查5〔扣2分〕设备访问掌握策略的添加信息内网纵向边界〔120〕序号 检查项 评价指标内网纵向边界是否部署了访问掌握措施

分值 评分标准 内网第三方边界未部署访〔本项不得分〕访问掌握设备中存在过期

记录 整改状况访问掌握策略设置是否准确有效 10内网纵向边界访问掌握3)是否对本单位内网访问内网广域网设备策略配置状况 的行为进展IP段和端口的访问掌握 51是否对内网广域网访问本单位内网1的行为进展IP段和端口的访问掌握 10设备是否对违反策略非法访问行为 2进展日志记录设备是否对用户登陆用户注销用 2

策略〔0.5〕访问掌握设备中存在无用10策略〔0.5〕未对本单位内网访问内网广域网的IP段进展访问掌握〔3〕未对本单位内网访问内网5广域网的端口进展访问掌握〔2〕未对内网广域网访问本单位内网的IP段进展访问掌握〔10〕未对内网广域网访问本单10位内网的端口进展访问掌握〔5〕未对违反策略的非法访问行为进展日志记录〔扣22分〕用户切换行为进展日志记2设备审计状况

户切换行为进展日志记录户变更口令变更权限变更行为进 2行日志记录

录〔2〕记录目不全〔1〕帐户变更、口令变更、权限变更行为进展日志记录2〔2〕记录项不全〔1〕8)设备审计日志记录保存时间是否超68)设备审计日志记录保存时间是否超65分〕65〔2〕未对日志进展分析〔扣59)信息安全治理人员是否认期对日志进展分析处理5分〕缺少日志定期分析的报告〔3〕5没有部署日志分析工具〔1〕设备承受空口令或默认口10)设备是否设置强壮的治理口令5令〔5〕设备口令简洁，不满足复5杂度要求〔3〕11)设备是否对治理登陆地址进展限制2未对设备的登陆地址进展限制〔2〕2设备治理状况12)〔传输过程加密，如S、SSH、SSL协议传输的客户端等〕2设备未实行传输加密的治理方式如承受TELNET〔2分〕2设备访问掌握策略的添加、删除、变更没有相应13)20的审批流程〔20〕设备问掌握策略的添加、20删除、变更缺乏相应审批记录〔10〕2内网纵向边界入侵检测系统策略配置状况1)内网纵向边界处是否部署入侵检测系统-内网纵向边界未部署入侵检测措施〔本项不得分〕入侵检测系统没有开启木2)系统是否开启木马攻击、蠕虫攻击、流量行为监测10马攻击、蠕虫攻击、僵尸软件攻击、漏洞攻击、网络扫描探测、特别流量监测功能〔10〕入侵检测开启的检测项不10全〔2〕未对检测到攻击的攻击源3)系统是否对检测到攻击的攻击源IP进展记录10IP攻击时间进展记录〔扣10分〕记录的工程不全〔每项扣102〕4)系统是否在攻击发生时发出报警信息2系统在攻击发生时未发出报警信息〔2〕2未对发生攻击行为进展日5)系统是否对发生攻击行为进展日志610志记录〔10〕610内网纵向边界入侵检测〔3〕没有对日志进展分析〔扣设备审计状况5〕6)信息安全治理员是否认期对日志进展分析处理3缺少定期日志分析的报告〔3〕3没有部署日志分析工具〔1〕设备治理状况7)8)周期不得超过一个月系统是否设置较强的登陆治理口令，不允许使用默认口令105未能对入侵检测系统恶意代码库准时升级〔扣10分〕设备承受空口令或默认口令〔5〕设备口令简洁，不满足复105杂度要求〔3〕横向域间边界〔120〕序号 检查项 评价指标

分值 评分标准

记录 整改状况存在数据流的横向域间应部署访问掌握措施

- 横向域间没有访问掌握措施〔本项不得分〕访问掌握策略准确有效 5横向域间边界访问掌握3)客户端域与二级系统域和三级系统

访问掌握设备中存在过期策略〔0.5〕访问掌握设备中存在无 5用策略〔0.5〕未在客户端域与二级系统域、三级系统域之间进展IP设备策略配置状况1

域的访问进展IP段和端口的访问控 10制二级系统域和各三级系统域之间的访问进展IP地址和端口的访问掌握 10

制〔10〕未在客户端域与二级系 10统域、三级系统域之间〔5分〕未在二级系统域与三级系统域或各三级系统域之间进展IP问掌握〔10〕未在二级系统域与三级 10系统域或各三级系统域之间进展端口访问掌握〔5〕横向域间边界访问掌握5)设备是否对违反策略非法访问行为

未对违反策略非法访问设备审计状况

进展日志记录

2 〔22分〕户切换行为进展日志记录 2户变更口令变更权限变更行为进 2行日志记录设备审计日志记录至少保存6个月

未对用户登陆、用户注销、用户切换行为进展 日志记录〔扣2分〕记录项不全〔1〕未对设备帐户建、帐户删除、帐户变更、口令变更、权限变更行为 进展日志记录〔扣2分〕记录工程不全〔1〕〔5分〕存储日志时间缺乏6个5月〔2〕〔5分〕信息安全治理人员定期对日志进展分析处理

5 缺少定期日志分析的报 5告〔3〕未部署日志分析工具〔1〕设备承受空口令或默认设备治理状况

设备设置强壮的治理口令 5设备对治理登陆地址进展限制 2〔传输过程加密，如