1、计算机信息网络安全检查项目表计算机信息网络安全检查项目表类别要求检查内容检查要求备注安全管理组织是否建立信息网络安全管理组织。1、检查是否组建信息网络安全管理机构。有信息网络安全管理机构成立的正式文件、会议记录。2、信息网络安全组织是否报公安公共信息网络安全监察部门备案。报公安公共信息网络安全监察部门备案。3、安全组织组成人员是否参加过同级公安机关组织的安全培训。安全组织人员应定期参加公安公共信息网络安全监察部门组织的安全培训。安全管理人员是否有专职的信息网络安全管理人员。1、安全员、安全监督员、信息审查员是否经过公安公共信息网络安全监察部门的培训,是否持证上岗。应接受过公安机关的安全培训,同
2、时必须持自治区公安厅、人事厅颁发的证书上岗。2、对职工进行信息网络安全培训及考核情况。应定期对单位职工进行信息网络安全教育和培训。安全管理制度是否建立信息网络安全管理制度。1、计算机机房安全管理制度。有严格的管理制度。2、安全责任制度。有严格的管理制度。3、网络安全漏洞检测和系统升级管理制度。有严格的管理制度。4、操作权限管理制度。有严格的管理制度。5、用户登记制度。有严格的管理制度。6、安全事件报告制度有严格的管理制度。7、信息网络安全突发事件应急方案。有方案用户/单位备案情况应向公安机关网监部门提供安全保护管理所需信息、资料及数据文件。1、是否填写中华人民共和国计算机信息网络国际联网备案表
3、,并到同级公安机关公共信息网络安全监察部门备案。应备案2、提供网络拓扑图。提供3、对信息网络安全保护工作有档案记录。有4、发现信息网络案件及时向公安机关报告。有环境安全系统中心机房应满足国家标准GB501741993电子计算机机房设计规范、GB28872000电子计算机机场地通用规范、GB93611988计算站场地安全要求的要求。检查机房是否在场地、防火、防水、防震、电力、布线、配电、温度、湿度、防雷、防静电等方面达到相应标准要求。达到相应机房标准。设备安全信息系统中心机房应采用有效的身份鉴别系统(例如电子门控系统、IC卡、电视监视系统等)。检查是否安装了身份鉴别系统。已安装2、检查是否记录出
4、入人员的相关信息。如:身份、日期、时间等。能记录媒体安全应保证重要或涉密媒体安全检查是否根据软盘、硬盘、光盘等介质各自的使用情况、使用寿命及系统的可靠性等级,制定预防性维护、更新计划。有计划应保证媒体数据安全检查是否对软盘、硬盘、光盘等介质中的重要或涉密数据进行销毁。有备份与恢复系统的主要设备、软件、数据、电源等应有备份。1、检查主要服务器、电源是否有备份,重要设备是否采取备份措施。有备份及备份措施2、检查主要系统软件、应用软件等是否采取备份措施。有备份措施3、检查数据信息是否有备份。有备份与恢复备份系统应具有在较短时间恢复系统运行的能力。根据系统的性质,检查系统是否具有在指定时间内恢复系统功
5、能以及重要数据的能力。有根据系统的重要程度和涉密程度不同,可酌情考虑。重要信息系统的数据应具备异地备份。检查重要信息的数据是否进行了异地备份,备份数据的存放应不在同一建筑物内。有符合要求的异地备份。病毒的检测与清除应采用经公安部批准的查毒杀毒软件。1、检查所采用的查、杀毒软件是否获得销售许可证。获得2、检查所采用的查、杀毒软件和病毒样本库是否是最新版本。是最新版本应适时进行包括服务器和客户端的查毒、杀毒。1、抽查服务器或客户机是否安装实时查毒、杀毒软件,验证其是否具有实时功能。有实时功能2、检查是否对服务器或客户机定期查毒、杀毒。有相应规定3、检查对染毒次数、杀毒次数、杀毒结果所做的记录。有记
6、录应制定严格的防病毒制度。1、检查是否有针对病毒防治的规章制度。有规章制度2、规章制度应包括对查、杀毒软件的使用规定、定时查毒的周期时间、控制病毒来源的具体措施等主要条款,对其中某些具体项目进行检查。有相应条款鉴别次数应规定当不成功鉴别尝试达到规定次数时,系统所要采取的行动。检查当某用户对系统的鉴别尝试失败次数连续达到三次或五次后,系统是否锁定该用户的账号,并只有安全管理员有权恢复或重建该账号,且将有关信息生成审计事件。有相应的操作主要针对被检单位的应用系统。鉴别方式根据信息的涉密等级制定不同的身份鉴别方式,其中包括采用口令方式、IC卡技术、一次性口令或生理特征等强身份鉴别。检查系统的操作系统
7、、数据库系统、业务应用系统等是否采用了口令、IC卡技术、一次性口令或生理特征等强身份鉴别。根据信息的涉密等级确定不同的身份鉴别。用户在规定时段内没有做任何操作和访问,系统应提供重鉴别机制。验证系统是否具有此项功能。有重新鉴别机制。口令强度根据系统的重要性和涉密等级,确定最短的口令长度。验证操作系统数据库系统、业务应用系统等的口令长度是否符合要求。至少不得少于八位字符。口令保护应采用组成复杂、不易猜测的口令,一般应是大小写英文字母、数字和特殊字符中两者以上的组合。抽查若干客户机、数据库和服务器等鉴别口令,检查其是否符合要求。是口令保护必须保证口令文件的安全检查日志文件是否记录了对口令文件的任何操
8、作。有记录。必须保证口令存放载体的物理安全。1、检查用户是否将口令粘贴在机箱、显示器、键盘等明显的地方。不能随意放置口令。2、检查输入的口令字是否回显在显示终端上。不回显。系统口令更换周期不得长于一周,且应当有口令更换记录。1、检查口令更换记录,或采用多次抽查方式。按要求更换。2、检查系统是否有口令有效期的检查功能。有此功能访问控制策略应制定明确的访问控制策略检查是否有相应的访问控制策略。有访问控制策略访问控制措施局域网与互联网之间是否采用安全设备(防火墙等)进行防护,并实施访问控制。1、检查是否使用了安全设备进行了边界防护。应进行边界防护2、检查安全设备访问控制设置是否符合系统访问控制策略。
9、符合系统访问控制策略应保证访问控制规则设置的安全。1、检查是否从技术上保证只有安全管理员有权设置或修改访问控制规则。技术上有保证2、检查审计日志中是否有对访问控制规则进行操作的记录。有记录3、检查访问控制规则是否有备份。有备份安全域划分应根据信息密级和信息重要性划分系统安全域。1、检查是否利用了系统的网络结构,如广域网、局域网、物理子网和逻辑子网等可靠方法,并按信息密级和信息重要性进行系统安全域划分。有安全域划分2、检查安全域划分是否符合系统访问控制策略。符合系统访问控制策略3、验证安全域划分是否正确。正确同一安全域中应根据信息的密级、重要性和授权进行划分。1、检查是否采用VLAN、域、组等方
10、式对同一安全域进行进一步划分。有逻辑划分2、检查其是否符合系统访问控制策略。和策略相符合3、验证其划分的正确性。正确安全域划分处理重要或涉密信息的系统,应当能够检测并记录侵权系统的事件和各种违规操作,并及时自动警告。1、检查能否定义异常事件,如:猜测口令。能定义2、检查是否设定告警条件。已设定3、检查能否及时自动告警且能否足以提醒安全管理员有安全事件发生。能报警且有足够提示4、检查在自动告警时是否定义了告警内容及管理员应采取的措施。已定义审计形式处理重要或涉密信息系统可采用独立或综合审计系统。检查是否将各服务器、安全设备及数据库等的审计信息进行记录,供系统安全管理员审查。采用审计系统日志内容审
11、计日志应记录用户每次活动(访问时间、地址、数据、设备等)以及系统出错和配置修改等信息。1、检查审计日志中是否记录审计事件发生的日期和时间、主体身份、事件类型、事件结果(成功或失败)有相应审计事件记录2、检查是否记录以下重要审计事件:鉴别失败、系统配置修改、用户权限修改等。有相应审计事件记录处理重要或涉密信息的系统,应当能够检测并记录侵权系统的事件和各种违规操作,并及时自动警告。1、检查能否定义异常事件,如:猜测口令。能定义2、检查是否设定告警条件。已设定3、检查能否及时自动告警且能否足以提醒安全管理员有安全事件发生。能报警且有足够提示4、检查在自动告警时是否定义了告警内容及管理员应采取的措施。
12、已定义日志保护应保证审计日志的保密性和完整性。1、检查是否设置了审计日志的访问权限。设置了访问权限2、检查是否定期备份审计日志。有定期备份3、通过审计日志的增、删等方法检查审计系统对审计日志能否提供完整性保护。有完整性保护审计系统应具有存储器将满的告警和保护措施以防止审计数据的丢失。1、检查能否为审计日志设定存储空间大小。能2、检查当审计存储空间将满时,能否自动提醒系统管理员采取措施。能应保证审计不被旁路防止漏记审计数据。通过加入案例等方式检查审计功能是否能正确实现。能正确实现审查日志系统安全管理员应定期审查系统日志。检查安全管理员是否定期查看审计日志,并有相应的记录。有相应记录审查日志审查记
13、录不得更改、删除。1、检查审查记录能否被修改。不能修改2、检查审查记录是否能被非授权的删除和丢弃。不能随意删除和丢弃重要或涉密系统审查周期不得长于一个月。检查相应的审查记录相应审查记录的间隔不长于一个月检测工具应采用公安部批准使用的检测工具对系统进行安全性能检测。1、检测是否有能对系统进行安全性能检测的检测工具。有检测工具根据系统的重要程度和涉密程度不同,可酌情考虑。2、检查采用的检测工具是否经过国家公安部批准。经过批准检测工具版本应及时更新。根据已批准使用的检测工具列表及其最新版本号进行核对检查。是最新版本检测制度应制定完善的安全性能检测制度,保证检测制度化。1、检查制度中是否规定安全性能检查的周期、范围、方式、参加人员、使用的工具、依据的标准等内容。制度中有相关内容检测制度2、检查安全性能检测是否保存记录。有相应记录安全管理员应定期对系统进行检查、发现漏洞及时弥补。1、根据检测制度查看检测记录是否符合制度规定,包括检查周期、范围、发现的问题、纠正情况等记录是否全面。记录符合制度规定2、对检查中发现的问题进行检查,验证改正情况。问题已改正3、检查产品是否经过认证。有相应证明计算机信息网络安全检查联系表单位名称:部门名称部门领导联系电话安全员联系电话邮箱
