互聯(lián)網(wǎng)聯(lián)網(wǎng)單位信息網(wǎng)絡(luò)安全檢查表

1、鐵嶺市互聯(lián)網(wǎng)聯(lián)網(wǎng)單位信息網(wǎng)絡(luò)安全檢查表檢查時間： 年 月 h被檢杳單位名稱經(jīng)營業(yè)務(wù)范圍單位地址郵政編碼單位負責人聯(lián)系電話組 織 制 度1、單位成立網(wǎng)絡(luò)安全小組，確立小組負責人（單位領(lǐng)導任組長）負責制度冇無口2、落實安全管理人員工作職責有無口3、配備2名以上計算機安全員、持證上崗有無口4、制定網(wǎng)絡(luò)安全事故處置措施有無口安 全 管 理 制 度5、有無建立計算機機房安全管理制度冇無口6、有無用戶登記管理制度有無口7、有無建立網(wǎng)絡(luò)安全漏洞檢測和系統(tǒng)升級管理制度冇無口8、有無操作權(quán)限管理制度有無口9、有無建立違法案件報告協(xié)助查處制度有無口10、有無建立和公安機關(guān)的聯(lián)系制度及機制有無口11、有無建立帳號使

2、用登記和操作權(quán)限管理制度有無口12、有無建立安全教冇培訓制度有無口13、有無依法辦理備案有無口安 全 技 術(shù) 措 施14、有無建立數(shù)據(jù)庫及系統(tǒng)重耍部分的冗災(zāi)備份措施有無口15、防范計算機病毒、網(wǎng)絡(luò)入侵和攻擊破壞等危害網(wǎng)絡(luò)安全事項或者的措施有無口16、記錄并昭存用戶登錄和退出時間、主叫號碼、賬號、互聯(lián)網(wǎng)地址或域名、 系統(tǒng)維護日志的技術(shù)措施有無口17、記錄并留存用戶注冊信息有無口18、在公共信息服務(wù)中發(fā)現(xiàn)、停止傳輸違法信息，并保留相關(guān)記錄冇無口19、使用內(nèi)部地址與互聯(lián)網(wǎng)地址轉(zhuǎn)換方式上網(wǎng)的，能夠記錄并留存其用戶使用 的互聯(lián)網(wǎng)地址與內(nèi)網(wǎng)地址的對應(yīng)關(guān)系冇無口20、記錄留存的技術(shù)措施，具有至少保存60天記

3、錄備份的功能有無口21、提供互聯(lián)網(wǎng)上網(wǎng)服務(wù)的單位，還應(yīng)安裝并運行互聯(lián)網(wǎng)公共上網(wǎng)服務(wù)場所安 全管理系統(tǒng)有無口女全員聯(lián)系電話物理全屮心機房建設(shè)是否滿足國家電子計算機機房設(shè)計規(guī)范、電子計算機場地通用規(guī)范、計算站場地安全要求的要求，在場地防火、防水、防震、電力、布線、配電、o是o否 溫度、濕度、防雷、防靜電等方面是否達到相應(yīng)標準要求是否劃分重點網(wǎng)絡(luò)安全防護區(qū)域o是o否是否安裝了身份鑒別系統(tǒng)（簡單描述：）。o是o否是否記錄出入人員的相關(guān)信息。女山身份、h期、時間等o是o否是否對軟盤、硬盤、光盤等介質(zhì)中的重要或涉密數(shù)據(jù)進行銷毀。o是o否是否根據(jù)軟盤、碩盤、光盤等介質(zhì)各口的使用情況、使用壽命及系統(tǒng)的可靠性等

4、級， 制定預(yù)防性維護、更新計劃。o是o否 a行全主耍服務(wù)器、電源是否有備份，重要設(shè)備是否采取備份措施o是o否主耍系統(tǒng)軟件、應(yīng)用軟件等是否采取備份措施o是o否數(shù)據(jù)信息是否有備份，重要信息的數(shù)據(jù)是否進行了異地備份o是o否有無在指定時1'可內(nèi)恢復(fù)系統(tǒng)功能以及重要數(shù)據(jù)的能力o是o否是否定期對信息系統(tǒng)進行風險分析和評估o是o否是否根據(jù)風險分析、評估結(jié)呆，進行相應(yīng)的安全措施選擇，確認和鑒定措施的可行性， 同時制定應(yīng)急處置預(yù)案。o是o否是否建立病毒防治的規(guī)章制度并適時進行包括服務(wù)器和客戶端的査毒、殺您o是o否防病毒工具名稱：生產(chǎn)廠家：防火墻名稱：當前版本號：升級方式：牛產(chǎn)廠家：身份鑒別當川戶對系統(tǒng)的

5、鑒別嘗試失敗連續(xù)達到一定次數(shù)后，系統(tǒng)是否鎖定該川戶的賬號，并 只有安全管理員有權(quán)恢復(fù)或重建該賬號，且將有關(guān)信息牛成審計事件。o是o否驗證操作系統(tǒng)數(shù)據(jù)庫系統(tǒng)、辦公h動化系統(tǒng)等的口令長度是否少于八位字符o是o否有無根據(jù)信息的涉密等級制定不同的身份鑒別方式，其屮包括采用口令方式、1c卡 技術(shù)、一次性口令或生理特征等強身份鑒別。具體措施：（）o是o否是否建立安全口令的保護制度，采取加密等技術(shù)措施保護口令o是o否利用需要輸入口令進彳亍鑒別的系統(tǒng)應(yīng)用如browser/server、client/server> ftp等，通 過數(shù)據(jù)監(jiān)聽等方式檢查口令是否加密傳輸。o是o否訪 問 控 制是否制定明確的訪

6、問控制策略o是o否是否利用了系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)，如廣域網(wǎng)、局域網(wǎng)、物理子網(wǎng)和邏輯子網(wǎng)等可靠方法， 并按信息密級和信息重要性進行系統(tǒng)安全域劃分o是o否是否采用vlan、域、組等方式對同一安全域進行進一步劃分o是o否不同的安全域需要互連互通時是否采川安全設(shè)備（防火墻、網(wǎng)關(guān)等）進行邊界防護， 并實施訪問控制o是o否是否從技術(shù)上保證只有安全管理員有權(quán)設(shè)置或修改訪問控制規(guī)則o是o否審計f1志中是否有對訪問控制規(guī)則進行操作的記錄o是o否訪問控制規(guī)則是否有備份o是o否安 全 審 計 及 預(yù) 警使用安全審計 系統(tǒng)名稱預(yù)警方式市計h志中是否記錄市計事件發(fā)生的fi期和時間、主體身份、事件類型、事件結(jié)果o是o否是否記錄

7、以下重要審計事件：鑒別失敗、系統(tǒng)配置修改、用八權(quán)限修改o是o否處理垂要或涉密信息的系統(tǒng)，是否能夠檢測并記錄侵權(quán)系統(tǒng)的事件o是o否是否能及時自動告警且能否足以提醒安全管理員有安全事件發(fā)生o是o否在白動告警時是否定義了告警內(nèi)容及管理員應(yīng)采取的措施o是o否是否設(shè)置了審計h志的訪問權(quán)限o是o否是否定期備份審計日志o是o否審計l1志的增、刪等方法檢杳審計系統(tǒng)對審計l1志能否提供完整性保護o是o否安全管理員是否定期查看審計口志，并有相應(yīng)的記錄o是o否檢杳審杳記錄是否能被修改o是o否通過加入案例等方式檢查審計功能是否能正確實現(xiàn)o是o否宙查記錄是否能被if授權(quán)的刪除和丟棄o是o否安全性能檢測是否有能對系統(tǒng)進行安全性能檢測的檢測工具o是o否釆用的檢測工具是否經(jīng)過國家公安部批準o是o否是否建立管理制度，規(guī)定安全性能檢杏的周期、范圍、方式、參加人員、使用的工具、 依據(jù)的標準等內(nèi)容o是o否安全性能檢測是否保存記錄o是o否檢測記錄是否符合制度規(guī)定，包括檢杏周期、范圍、發(fā)現(xiàn)的問題、糾正情況等記錄 是否全而o是o否數(shù)據(jù)庫安全數(shù)據(jù)陽類別數(shù)據(jù)庫釆取的安全機制是否采川安全數(shù)據(jù)庫管理系統(tǒng)（達到gb17859-1999計算機信息系統(tǒng)安全保護等級劃分準則三級 以上的數(shù)據(jù)庫管理系統(tǒng)）或?qū)ζ溥M行數(shù)據(jù)庫安全加強o是o否安 全