赣州市交通局信息系统安全检查实施方案

..PAGE2.v.XX市交通局信息系统平安检查实施方案为标准和加强XX市交通局信息系统平安工作，提高信息平安保障能力，保证XX市交通局信息系统和信息内容平安，根据国务院办公厅印发的?政府信息系统平安检查方法?和?2009年度XX省政府信息系统平安检查指南?要求，结合我局实际情况，制订本实施方案。一、检查目的针对当前境外敌对势力大肆利用各种手段对我各级政府信息系统进展网络攻击、破坏、窃密活动的严峻形势，通过定期开展全面的平安检查，进展信息系统平安风险评估、平安测评等工作，及时掌握政府信息系统平安状况和面临的威胁，认真查找隐患，堵塞平安漏洞，落实和完善平安措施，建立健全信息平安保障机制，减少平安风险，提高应急处置能力，确保政府信息系统持续平安稳定运行。二、检查范围市交通局局机关及其下属企、事业单位自行运行和维护管理以及委托其他机构运行和维护管理的办公系统、重要业务系统、系统。三、检查内容重点检查与网络和信息系统相关的硬件、软件、效劳、信息和人员的根本情况，对信息系统存在的管理和技术薄弱环节进展查找、分析归纳；对已有平安管理体系、平安措施进展核实和评价，主要包括以下内容：〔一〕平安管理制度建立与落实。是否按照要求建立健全了信息平安责任制，做到了机构到位、人员到位、责任到位、措施到位。运维管理、XX管理、密码管理、等级保护、重要部门〔重点、敏感岗位〕人员管理制度建立和落实情况。〔二〕平安防范措施。是否有明确的平安需求及解决方案，是否采取了整体的平安防护措施。重点检查身份认证、访问控制、数据加密、平安审计、责任认定以及防篡改、防病毒、防攻击、防瘫痪、防泄密等技术措施的有效性。检测信息系统是否存在平安漏洞，以及计算机、移动存储设备、电子文档的平安防护措施的落实情况。〔三〕应急响应机制。应急机构是否健全，应急责任人员及措施是否到位，是否按照要求制定了应急预案，是否对预案进展了宣传贯彻和培训，是否开展了演练，是否明确了应急技术支援队伍。重大信息平安事故发生及处置情况，重要数据和业务系统采取的备份措施及备份方式情况。〔四〕信息技术产品和效劳。计算机、公文处理软件、信息平安产品等使用国产产品情况，重点是信息系统关键部位的效劳器、路由器、交换机等使用国产产品的情况，以及信息平安效劳外包情况。对因特殊原因选用国外信息平安技术产品和信息平安效劳是否进展了平安审查工作，以及审查的方式。〔五〕平安教育培训情况。是否对工作人员进展了平安和XX意识教育、平安技能培训，以及对信息平安常识和技能掌握情况进展考核。重点、敏感岗位人员是否制定了针对外包效劳人员等外来人员的平安管理规定。〔六〕责任追究情况。重点检查对违反信息平安规定行为和造成泄密事故、信息平安事故的查处情况，对责任人和有关负责人追究以及惩办措施的落实情况。〔七〕运维管理。是否根据制度维护信息系统，是否存在详细设备、系统运维记录和平安日志分析报告，系统性能的监控措施及运行状况。〔八〕开展风险评估、平安测评情况。是否对信息系统进展了风险评估和平安评测，开展方式是自行开展还是委托开展，委托开展是否签订了平安XX协议。〔九〕信息平安经费保障情况。信息平安经费数额、信息平安经费在信息化建立经费中所占比重及信息平安经费是否按预算方案执行。〔十〕物理环境。物理环境的建立是否符合国家的相关标准和标准，是否按照国家的相关规定建立机房平安管理制度，机房平安管控措施、防灾措施、供电和通信系统的保障措施是否有效。〔十一〕平安隐患排查及整改情况。对以往开展的信息平安检查、风险评估和平安测评，发现平安隐患和问题的整改情况。四、检查步骤及时间安排〔一〕时间安排。从2009年9月开场至2009年12月31日止，用4个月的时间开展交通信息系统平安检查工作。〔二〕检查准备及自查。成立平安检查领导小组，明确检查责任人，并参照本?实施方案?对检查工作进展安排部署并开场自查。同时，按照要求认真填写?根本信息调查表?和?平安状况调查表?，并由主管领导签字并加盖单位公章。〔三〕分析总结。根据自查情况，各单位系统分析信息系统的平安状况和平安隐患，查找问题产生的原因，11月底前上报自查报告和附表1、2。〔四〕问题整改。对检查过程中发现的平安问题，短时间内能完成的要及时整改，不能在短时间内整改的要制订相应整改方案，在一个月内完成整改，并提交整改报告。〔五〕检查实施。将组织对各单位信息平安检查整改工作进展抽查。重点检查平安检查领导机构是否完善，责任落实是否到位，?根本信息调查表?和?平安状况调查表?是否如实填写等。五、具体要求〔一〕市交通系统单位要把政府信息平安检查工作列入重要议事日程，加强组织领导，明确责任，落实人员和经费，保证检查工作顺利进展。为保证此项工作的顺利开展，市局成立“政府信息系统检查领导小组〞，组长为X昌民调研员，成员杨北林、郇为民、范华荣、苏代焕、钟卫东、王庭基。下设办公室，办公室主任为钟卫东。请各单位于2009年11月30日前按文件要求将本单位信息平安检查情况书面报送“政府信息系统检查领导小组办公室〞，并提交电子文档。联系人员和方式：周华珍：0、X尧源0、：0：gzjtw163.〔二〕实施平安检查的机构及人员要严格遵守工作纪律，周密制订应急预案，控制平安风险，加强XX措施，保证被检查信息系统平安正常运行。检查结果除按规定报送外，不得提供应其他单位和个人。对违反信息平安和XX管理规定造成的泄密事件和信息平安事故的，要依法追究当事人和有关负责人的责任。〔三〕建立信息平安检查工作责任制。凡开展信息平安检查工作，要明确一位检查负责人，检查负责人必须对检查结果负责，未能及时发现问题或漏洞导致平安事故的，要承当相应的责任。附：?根本信息调查表?表1?平安状况调查表?表2表1：根本信息调查单位根本情况单位名称〔公章〕单位地址联系人联系Email填表时间信息平安主管领导〔签字〕职务检查工作负责人〔签字〕职务...v.硬件资产情况2.1.网络设备情况网络设备名称型号物理位置所属网络区域IP地址/掩码/网关系统软件及版本端口类型及数量主要用途是否热备重要程度2.2.平安设备情况平安设备名称型号(软件/硬件)物理位置所属网络区域IP地址/掩码/网关系统及运行平台端口类型及数量主要用途是否热备重要程度2.3.效劳器设备情况设备名称型号物理位置所属网络区域IP地址/掩码/网关操作系统版本/补丁安装应用系统软件名称主要业务应用涉及数据是否热备2.4.终端设备情况终端设备名称型号物理位置所属网络区域设备数量IP地址/掩码/网关操作系统安装应用系统软件名称涉及数据主要用途填写说明网络设备：路由器、网关、交换机等。平安设备：防火墙、入侵检测系统、身份鉴别等。效劳器设备：大型机、小型机、效劳器、工作站、台式计算机、便携计算机等。终端设备：办公计算机、移动存储设备。重要程度：依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。软件资产情况3.1.系统软件情况系统软件名称版本软件厂商硬件平台涉及应用系统3.2.应用软件情况应用系统软件名称开发商硬件/软件平台C/S或B/S模式涉及数据现有用户数量主要用户角色填写说明系统软件：操作系统、系统效劳、中间件、数据库管理系统、开发系统等。应用软件：工程管理软件、网管软件、办公软件等。人员资产情况.1、信息系统人员情况岗位名称岗位描述人数兼任人数填写说明岗位名称：1、数据录入员；2、软件开发员；3、桌面管理员；4、系统管理员；5、平安管理员；6、数据库管理员；7、网络管理员；8、质量管理员。文档资产情况5.1.信息系统平安文档列表文档类别文档名称填写说明信息系统文档类别：信息系统组织机构及管理制度、信息系统平安设计、实施、运维文档。信息系统情况6.1、系统网络拓扑图网络构造图要求：1、应该标识出网络设备、效劳器设备和主要终端设备及其名称；2、应该标识出效劳器设备的IP地址；3、应该标识网络区域划分等情况；4、应该标识网络与外部的连接等情况；5、应该能够对照网络构造图说明所有业务流程和系统组成。如果一X图无法表示，可以将核心局部和接入局部分别画出，或以多X图表示。6.2、信息系统承载业务情况信息系统名称业务描述业务处理信息类别用户数量用户分布范围重要程度是否通过第三方平安测评填写说明:1、用户分布范围栏填写全国、全省、本地区、本单位2、业务处理信息类别一栏填写：a)国家秘密信息；b)非密敏感信息(机构或公民的专有信息)；c)可公开信息3、重要程度栏填写非常重要、重要、一般4、如通过测评，请填写时间和测评机构名称。6.3、信息系统网络构造情况网络区域名称主要业务和信息描述IP网段地址效劳器数量与其连接的其它网络区域网络区域边界设备重要程度责任部门填写说明：1、网络区域主要包括：效劳器域、数据存储域、网管域、数据中心域、核心交换域、涉密终端域、办公域、接入域和外联域等；2、重要程度填写非常重要、重要、一般。6.4、外联线路及设备端口(网络边界)情况外联线路名称(边界名称)所属网络区域连接对象接入线路种类传输速率(带宽)线路接入设备承载主要业务应用备注6.5、业务数据情况数据名称数据使用者或管理者及其访问权限数据平安性要求数据总量及日增量涉及业务应用涉及存储系统与处理设备XX完整可用注:数据平安性要求每项填写高、中、底6.6、数据备份情况备份数据名介质类型备份周期保存期是否异地保存过期处理方法所属备份系统备注6.7、一年来信息平安事件情况平安事件类别特别重大事件次数重大事件次数较大事件次数一般事件次数线路接入设备承载主要业务应用备注有害程序平安事件网络攻击事件信息破坏事件信息内容平安事件设备设施故障灾害性事件其它事件注：平安事件的类别和级别定义请参照GB/Z20986-2007?信息平安事件分类分级指南?表2：平安状况调查1.平安管理机构平安组织体系是否健全，管理职责是否明确，平安管理机构岗位设置、人员配备是否充分合理。序号检查项结果备注1.信息平安管理机构设置□以下发公文方式正式设置了信息平安管理工作的专门职能机构。□设立了信息平安管理工作的职能机构，但还不是专门的职能机构。□其它。2.信息平安管理职责分工情况□信息平安管理的各个方面职责有正式的书面分工，并明确具体的责任人。□有明确的职责分工，但责任人不明确。□其它。3.人员配备□配备一定数量的系统管理人员、网络管理人员、平安管理人员等;平安管理人员不能兼任网络管理员、系统管理员、数据库管理员等。□配备一定数量的系统管理人员、网络管理人员、平安管理人员等，但平安管理人员兼任网络管理员、系统管理员、数据库管理员等。□其它。4.关键平安管理活动的授权和审批□定义关键平安管理活动的列表，并有正式成文的审批程序，审批活动有完整的记录。□有正式成文的审批程序，但审批活动没有完整的记录。□其它。5.与外部组织沟通合作□与外部组织建立沟通合作机制，并形成正式文件和程序。□与外部组织仅进展了沟通合作的口头承诺。□其它。6.与组织机构内部沟通合作□各部门之间建立沟通合作机制，并形成正式文件和程序。□各部门之间的沟通合作基于惯例，未形成正式文件和程序。□其它。2.平安管理制度平安策略及管理规章制度的完善性、可行性和科学性的有关规章制度的制定、发布、修订及执行情况。检查项结果备注1信息平安策略□明确信息平安策略，包括总体目标、范围、原那么和平安框架等内容。□包括相关文件，但内容覆盖不全面。□其它2平安管理制度□平安管理制度覆盖物理、网络、主机系统、数据、应用、建立和管理等层面的重要管理内容。□有平安管理制度，但不全而面。□其它。3操作规程□应对平安管理人员或操作人员执行的重要管理操作建立操作规程。□有操作规程，但不全面。□其它。4平安管理制度的论证和审定□组织相关人员进展正式的论证和审定，具备论证或审定结论。□其它。5平安管理制度的发布□文件发布具备明确的流程、方式和对象范围。□局部文件的发布不明确。□其它。6平安管理制度的维护□有正式的文件进展授权专门的部门或人员负责平安管理制度的制定、保存、销毁、版本控制，并定期评审与修订。□平安管理制度分散管理，缺乏定期修订。□其它。7执行情况□所有操作规程的执行都具备详细的记录文档。□局部操作规程的执行都具备详细的记录文档。□其它。3.人员平安管理人员的平安和XX意识教育、平安技能培训情况，重点、敏感岗位人员有无特殊管理措施以及对外来人员的管理情况。序号检查项结果备注1.重点、敏感岗位人员录用和审查□为与信息平安密切相关的重点、敏感岗位人员制定特殊的录用要求。对被录用人的身份、背景和专业资格进展审查，对技术人员的技术技能进展考核，有严格的制度规定要求。□其它。2XX协议的签署□与从事关键岗位的人员签署XX协议，包括XX范围、XX责任、违约责任、协议的有效期限和责任人签字等内容。□其它。3人员离岗□标准人员离岗过程，有具体的离岗控制方法，及时终止离岗人员的所有访问权限并取回各种XX件、钥匙、徽章等以及机构提供的软硬件设备。□其它。4平安意识教育□根据岗位要求进展有针对性的信息平安意识培训。□未根据岗位要求进展有针对性的信息平安意识培训，仅开展全员平安意识教育。□其它。5平安技能培训□制定了有针对性的平安技能培训方案，培训内容包含信息平安根底知识、岗位操作规程等，并认真实施，而且有培训记录。□平安技能培训针对性不强，效果不显著。□其它。6在岗人员考核□定期对所有人员进展平安技能及平安知识的考核，对重点、敏感岗位的人员进展全面、严格的平安审查。□仅对重点、敏感岗位的人员进展全面、严格的平安审查，未普及到全员。□其它。7惩戒措施□告知人员相关的平安责任和惩戒措施，并对违反违背平安策略和规定的人员进展惩戒。□有惩戒措施，但效果不佳。□其它。8外部人员访问管理□外部人员访问受控区域前得到授权或审批，批准后由专人全程陪同或监视，并登记备案。□外部人员访问受控区域前得到授权或审批，但不能全程陪同或监视。□其它。4.系统建立管理关键资产采购时是否进展了平安性测评，对效劳机构和人员的XX约束情况如何，在效劳提供过程中是否采取了管控措施。信息系统开发过程中设计、开发和验收的管理情况。序号检查项结果备注1关键资产采购时进展平安性测评□相关专门部门负责产品的采购，产品的选用符合国家的有关规定。资产采购之前进展选型测试，确定产品的候选范围，具有产品选型测试结果、候选产品审定记录或更新的候选产品，经过主管信息平安领导批准。□专门部门负责产品的采购，产品的选用符合国家的有关规定。□关键资产采购未进展平安性测试或未经过主管信息平安领导批准。2效劳机构和人员的选择□在具有资格的效劳机构中进展选择，通过内部和专家的评选。对效劳机构的人员，审查其所具有的资格。□对效劳机构的能力进展了详细的审查。□效劳机构和人员的选择未经过审查和筛选。3XX约束□签订的平安责任合同书或XX协议包含效劳内容、XX范围、平安责任、违约责任、协议的有效期限和责任人的签字等。定期考察其效劳质量和XX情况。□签订的平安责任合同书或XX协议明确规定各项内容。但无监视考察机制。□未签订合约或签订了平安责任合同书或XX协议，但效劳范围、平安责任等未明确规定。4效劳管控措施□制定了详细的效劳审核要求和标准。对效劳提供过程中的重要操作进展审核，并要求效劳机构定期提供效劳的情况汇总。每半年组织内部检查，审查效劳机构的效劳质量。□定期进展检查。但缺乏标准的检查内容和要求。□未采用任何管控措施。5系统平安方案制定□根据信息系统平安保障要求，书面形式加以描述，形成能指导平安系统建立、平安产品采购和使用的详细设计方案，并经过专家论证和审定。□形成能指导平安系统建立、平安产品采购和使用的概要设计方案，内部相关部门审定。□缺乏体系化的平安方案。6信息系统开发□根据软件开发管理制度，各类开发文档齐全，信息系统均经过功能、平安测试，并形成测试报告。□开发文档不全面，仅在内部进展功能测试。□无开发文档，或外包开发，没有源代码或有源代码但未经过全面的平安测试。7信息系统建立实施过程进度和质量控制□制定详细的实施方案，并经过审定和批准，指定或授权专门的部门或人员按照实施方案的要求控制整个过程。□制定简要实施方案，指定或授权专门的部门或人员控制整个过程。□无实施方案或无专人管理实施过程。8.信息系统验收□制定验收方案，组织相关部门和相关人员对系统测试验收报告进展审定，详细记录验收结果，形成验收报告。重要的信息系统在验收前，组织专业的第三方测评机构进展测评。□组织了验收活动，但缺乏专业人员进展全面的验收测试。□未组织验收。5.系统运维管理设备、系统的操作和维护记录，变更管理，平安事件分析和报告；运行环境与开发环境的别离情况；平安审计、补丁升级管理、平安漏洞检测、网管、权限管理及密码管理等情况，重点检查系统性能的监控措施及运行状况。序号检查项结果备注1.环境管理□有机房平安管理制度，并配备机房平安管理人员，对机房供配电等设施、设备和人员出入机房进展严格管理。□配备机房平安管理人员，对机房供配电等设施、设备和人员出入机房进展管理。□其它。2.资产管理□资产清单记录内容与实际使用的计算机设备及其属性内容完全一致。□资产清单内容与实际使用的计算机设备及其属性内容，在数量上一致，但在局部属性记录上有偏差。□其它。3.介质管理□对介质的存放环境、使用、维护和销毁等方面采取严格的控制措施。□对介质的存放环境、使用、维护和销毁等方面采取了局部控制措施。□其它。4.设备管理□对信息系统相关的各种设备、线路等指定专门的部门或人员定期进展维护管理。□对信息系统相关的各种设备、线路等指定专门的部门或人员不定期进展维护管理。□其它。5.生产环境与开发环境的别离□生产环境与开发环境隔离。□其它。6.系统监控□对通信线路、关键效劳器、网络设备和应用软件的运行情况能够实时监测，并能及时分析报警日志。□对通信线路、关键效劳器、网络设备和应用软件的运行情况能够不定期监测，并能定期分析报警日志。□其它。7.变更管理□系统发生重要变更前，以书面形式向主管领导申请，审批后实施变更，并在实施后向相关人员通告，相关记录保存完好。□系统发生重要变更前，向主管领导申请，审批后实施变更，并在实施后向相关人员通告。□其它。8.补丁管理□补丁更新及时，并能在测试环境测试后安装到运行环境。□大局部计算机设备的补丁更新及时，只有少数由于应用软件代码不兼容而导致效劳器补丁更新不及时。□其它。9.平安事件管理□制定平安事件报告和处置管理制度，能及时响应平安事故，并从平安事故中学习总结。□能及时响应平安事故。□其它。10.风险评估□信息系统投入运行后，应每年至少进展一次关键业务或关键风险点的信息平安风险评估，每三年或信息系统发生重大变更时，进展一次全面的信息平安风险评估工作。□信息系统投入运行后，每两年进展一次关键业务的信息平安风险评估。□其它。6.物理平安机房平安管控措施、防灾措施、供电和通信系统的保障措施等。序号检查项结果备注1物理位置选择。机房和办公场地所在的建筑，抗拒人为破坏和自然灾害的能力。□机房和办公场地所在的建筑周边具备防止无关人员接近的措施，并且根据当地的自然环境设置了必要的防震、防火和防水的措施。□机房和办公场地所在的建筑具备根本的抗拒人为破坏和自然灾害的能力，但防护强度有待提高。□其它。2机房出入控制情况□设置专人和自动化技术措施，对出入机房的人员进展全面的鉴别、监控和记录。□设置专人或自动化技术措施，对出入机房的人员进展鉴别，但没有监控和完整的记录。□其它。3机房环境。机房配备防火、防水、防雷、防静电、温度湿度调节等措施，并提供充足稳定的电源，为机房中的设备提供良好的运行环境。□机房环境保障完全到达相关国家标准的要求。□少局部机房环境保障措施没有到达有关标准要求，但可以在短时间内有效整改。□其它。4电磁防护。电源线和通信线缆应隔离铺设，防止互相干扰。□采用接地方式防止外界电磁干扰和设备寄生耦合干扰;电源线和通信线缆隔离，防止互相干扰。□其它。7.网络平安平安域划分、边界防护、内网防护、外部设备接入控制等情况。网络和信息系统的体系构造、各类平安保障措施的组合是否合理。序号检查项结果备注1网络拓扑构造图□有正式的文档化的网络拓扑构造图，且完全与实际运行的网络构造相吻合。□有文档化的网络拓扑构造图，关键局部吻合。□其它。2网络冗余设计□对关键网络设备进展了冗余设计，以增强网络的强健性和可用性。□对局部关键网络设备进展了冗余设计。□其它。3网络平安域划分□按照信息资源的重要程度进展了细致的平安域划分。□按照信息资源的重要程度进展了根本的平安域划分。□其它。4平安域访问控制□根据业务需要实施了严格的访问控制措施。□实施了访问控制措施，但访问控制粒度较粗。□其它5网络准入控制。防止未授权人员接入到网络中来，以引入平安风险。□有网络准入控制措施，且严格执行。□己有准入控制措施，但未严格执行。□其它。6网络入侵防范□检测网络边界处的网络攻击行为，发生严重入侵事件时提供报警，并能及时响应和处理。□检测网络边界处的网络攻击行为，并提供报警。□其它。7平安审计。便于平安事件发生后进展溯源追踪□配备审计设备且进展了良好配置，能够定期查看和分析审计日志。□配备审计设备且进展了良好配置，但未能定期查看和分析审计日志。□其它。8.设备和主机平安网络交换设备、平安设备、主机和终端设备的平安性，操作系统的平安配置、病毒防护、恶意代码防范等。网络设备、平安设备和终端设备防护序号检查项结果备注1.设备用户身份标识。□每个设备的用户拥有自己唯一的身份标识。□根据用户职责以小组为单位分配身份标识。□其它。2.管理员登录地址限制。通过对管理员登录地址的限制，降低非法网络接入后取得设备使用权限的可能。□管理员只能通过有限的、固定的IP地址和MAC地址登录。□管理员职能在一个固定的IP地址段登录。□其它3.设备用户身份鉴别。通过严格的口令设置和管理，保障身份鉴别的准确性。□设备的登录密码复杂不易猜想、定期更换且加密存储。□设备的登录密码复杂不易猜想且加密存储，但没有做到定期更换。□其它。4.登录失败处理。采用有效措施，对于失败和异常的登录活动进展妥善处理□采取完毕会话、限制非法登录次数和当网络登录连接超时自动退出等措施。□采取完毕会话、限制非法登录次数的措施。□其它。5.管理信息防窃听。采用有效措施对设备的管理信息进展加密□对所有管理通信进展了加密。□对鉴别信息的通信进展了加密。□其它。2〕操作系统平安序号检查项结果备注1.身份标识。为操作系统和数据库系统用户建立身份标识。□所有操作系统和数据库系统为其所有用户建立了唯一的用户标识。□关键主机的操作系统和数据库系统为其所有用户建立了唯一的用户标识，而其它主机和终端的操作系统和数据库系统没有为其所有用户建立了唯一的用户标识。□其它。2.身份鉴别。通过严格的口令设置和管理，保障对操作系统和数据库系统身份鉴别的准确性。□所有操作系统和数据库系统的登录密码复杂不易猜想、定期更换且加密存储。□关键主机的操作系统和数据库系统登录密码复杂不易猜想、定期更换且加密存储，而其它主机和终端的操作系统和数据库的登录密码那么不够严格。□其它。3.访问控制。加强效劳器的用户权限管理。□所有效劳器的操作系统和数据库系统的特权用户权限别离，默认账户和口令进展了修改，无用的账户已删除□关键主机的操作系统和数据库系统机操作系统和数据库系统的特权用户权限别离，默认账户和口令进展了修改，无用的账户已删除；而其它主机和终端没有做到。□其它。4.平安审计。为操作系统和数据库系统部署有效的审计措施。□审计范围覆盖重要效劳器操作系统和数据库的所有用户的行为、资源使用情况和重要命令的执行，以及这些活动的时间、主体标识、客体标识以及结果；审计记录被妥善保存。□建立了针对重要效劳器操作系统和数据库的审计措施，但没有到达以上所有的要求。□无审计措施。5.入侵防范。通过严格的平安配置和补丁更新消除可能被入侵者利用的平安漏洞。□操作系统仅安装了必要的组件和应用程序，仅开放了必要的效劳，并且及时保持补丁更新以消除严重的平安漏洞。□操作系统仅安装了必要应用程序，关闭了大多数无用的端口，删除了大多数无用的系统组件，进展了局部补丁更新。□其它。6.恶意代码防范。通过防病毒技术措施，对恶意代码进展有效监控□为效劳器和终端安装防恶意代码软件，及时更新防恶意代码软件版本和恶意代码库；支持防恶意代码软件的统一管理。□为效劳器和终端安装防恶意代码软件，但防恶意代码软件版本和恶意代码库更新不及时；支持防恶意代码软件的统一管理，但少量效劳器和终端未覆盖到。□其它。7.资源控制。对用户使用操作系统资源的情况进展合理的限制。□对重要效劳器的操作系统和数据库系统通过设定终端接入方式、网络地址范围等条件限制终端登录，并当操作系统和数据库系统的效劳水平降低到预先规定的最小值时，能够监测和报警。□当操作系统和数据库系统的效劳水平降低到预先规定的最小值时，能够监测和报警。□其它。9.应用平安数据库、WEB、日常办公和业务系统等应用的平安设计、配置和管理情况；关键应用系统开发过程中的质量控制和平安性测试情况。序号检查项结果备注1.身份标识和鉴别。采用专用的登录控制模块对登录用户进展身份标识和鉴别□各个应用系统均采用专用的登录模块，提供用户身份标识唯一和鉴别信息复杂度检查功能，提供登录失败处理功能。对关键应用系统中的同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。□关键系统中采用了身份标识和鉴别，但鉴别信息复杂度检查功能缺乏，弱口令现象存在。对关键应用系统中的同一用户采用一种鉴别技术实现用户身份鉴别。□各个系统均未采用身份标识与鉴别。2.访问控制功能□不同XX为完成各自承当任务所需的最小权限，严格限制默认XX的访问权限，特权用户的权限别离，权限之间相互制约。访问控制的粒度到数据级。□不同XX权限不是最小的。访问控制的粒度到功能级。□访问控制无限制。3.应用系统平安审计□应用系统提供审计功能，对用户的各类操作均进展细致的审计〔例如，用户标识与鉴别、访问控制的所有操作记录、重要用户行为、系统资源的异常使用、重要系统命令的使用等〕，并定期对应用系统重要平安事件的审计记录进展检查，分析异常情况产生的原因。□应用系统提供审计功能，但审计不全面，仅记录重要的事件和操作。□对用户的操作不进展审计。4.通信完整性。采用密码技术保证通信过程中数据的完整性。□对重要信息系统中的关键数据采用数据完整性校验技术。□其它。5.通信XX性。通信过程中的整个报文或会话过程进展加密□应用系统的敏感数据通信过程均采用国家有关部门要求的密码技术保证XX性。□应用系统的敏感数据通信时采用密码技术保证XX性，但未采用国家有关部门要求的密码技术。□未采用措施保护通信XX性。6.应用系统业务软件容错功能□提供数据有效性检验功能，保证输入的数据格式和长度符合系统设定要求。重要应用系统提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进展恢复。□提供数据有效性检验功能，但系统出现问题时不能自动恢复。□不提供软件容错功能。7.应用系统资源控制能力□对于重要