信息系統(tǒng)網(wǎng)絡安全檢查表

1、信息系統(tǒng)檢查項目表（安全技術措施）類別檢查項目安全標準是否符合 安全標準備 注物理 安全物理位置 的選擇機房和辦公場地應選擇在具有防震、防 風和防雨等能力的建筑內(nèi)。物理訪問 控制機房出入口應安排專人值守，控制、鑒 別和記錄進入的人員需進入機房的來訪人員應經(jīng)過申請和審 批流程，并限制和監(jiān)控其活動范圍防盜竊和 防破壞應將主要設備放置在機房內(nèi)應將設備或主要部件進行固定，并設置 明顯的不易除去的標記；應將通信線纜鋪設在隱蔽處，可鋪設在 地卜或管道中應對介質(zhì)分類標識，存儲在介質(zhì)庫或檔 案室中；主機房應安裝必要的防盜報警設施機房建筑應設置避雷裝置；陰田山機房應設置交流電源地線防火機房應設置火火設備和火災自

2、動報警系統(tǒng)防水和防 潮水管安, 板下；總不得穿過機房屋頂和活動地應采取措施防止雨水通過機房窗戶、屋 頂和墻壁滲透；應采取措施防止機房內(nèi)水蒸氣結露和地 下積水的轉(zhuǎn)移與滲透防靜電關鍵設備應采用必要的接地防靜電措施溫濕度控 制機房應設置 溫、濕度自動調(diào)節(jié)設施 ，使 機房溫、濕度的變化在設備運行所允許 的范圍之內(nèi)。電力供應應在機房供電線路上配置穩(wěn)壓器和過電 壓防護設備應提供短期的備用電力供應，至少滿足 關鍵設備在斷電情況下的正常運行要求電磁防護電源線和通信線纜業(yè)隔圖鋪設，避免互 相干擾網(wǎng)絡 安全結構安全應保證關鍵網(wǎng)絡設備的業(yè)務處理能力具 備冗余空間，滿足業(yè)務高峰期需要應保證接入網(wǎng)絡和核心網(wǎng)絡的帶寬滿足

3、業(yè)務高峰期需要；應繪制與當前運行情況相符的網(wǎng)絡拓撲 結構圖；（安全技術措施）類別檢查項目安全標準是否符合 安全標準備 注應根據(jù)各部門的工作職能、重要性和所 涉及信息的重要程度等因素，劃分不向 的子網(wǎng)或網(wǎng)段，并按照方便管理和控制 的原則為各子網(wǎng)、網(wǎng)段分配地址段。訪問控制應在網(wǎng)絡邊界部署訪問控制設備，啟用 訪問控制功能應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明 確的允許/拒絕訪問的能力，控制粒度為 網(wǎng)段級。應按用戶和系統(tǒng)之間的允許訪問規(guī)則， 決定允許或拒絕用戶對受控系統(tǒng)進行資 源訪問，控制粒度為單個用戶應限制具有撥號訪問權限的用戶數(shù)量安全審計應對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設備運行狀況、 網(wǎng)絡流量、用戶行為等進行日志

4、記錄審計記錄應包括事件的日期和時間、用 戶、事件類型、事件是否成功及其他與 審計相關的信息。邊界完整 性檢查應能夠?qū)?nèi)部網(wǎng)絡中出現(xiàn)的內(nèi)部用戶未 通過準許私自聯(lián)到外部網(wǎng)絡的行為進行 檢查。入侵防范應在網(wǎng)絡邊界處監(jiān)視以下攻擊行為：端 口掃描、強力攻擊、木馬后門攻擊、拒 絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡蠕蟲攻擊等網(wǎng)絡設備 防護應對登錄網(wǎng)絡設備的用戶進行身份鑒 別；當對網(wǎng)絡設備進行遠程管理時，應采取 必要措施防止鑒別信息在網(wǎng)絡傳輸過程 中被竊聽。身份鑒別信息應具后不易被冒用的特 點，口令應有復雜度要求并定期更換；應對網(wǎng)絡設備的管理員登錄地址進行限 制網(wǎng)絡設備用戶的標識應唯一；應具有登錄失

5、敗處理功能，可米取結束 會話、限制非法登錄次數(shù)和當網(wǎng)絡登錄 連接超時自動退出等措施；主機 安全身份鑒別應對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶 進行身份標識和鑒別（安全技術措施）類別檢查項目安全標準是否符合 安全標準備 注操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標 識應具后不易被冒用的特點，口令應有 復雜度要求并定期更換應啟用登錄失敗處理功能，可米取結束 會話、限制非法登錄次數(shù)和自動退出等 措施；當對服務器進行遠程管理時，應采取必 要措施，防止鑒別信息在網(wǎng)絡傳輸過程 中被竊聽；應為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶 分配/、同的用戶名，確保用戶名具有唯 一性。訪問控制應啟用訪問控制功能，依據(jù)安全策略控 制用戶對

6、資源的訪問；應及時刪除多余的、過期的帳戶，避免 共享帳戶的存在應限制默認帳戶的訪問權限，重命名系 統(tǒng)默認帳戶，修改這些帳戶的應實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權用戶 的權限分離安全審計審計范圍應覆蓋到服務器上的每個操作 系統(tǒng)用戶和數(shù)據(jù)庫用戶審計內(nèi)容應包括重要用戶行為、系統(tǒng)資 源的異常使用和重要系統(tǒng)命令的使用等 系統(tǒng)內(nèi)重要的安全相關事件；審計記錄應包括事件的日期、時間、類 型、主體標識、客體標識和結果等；應保護審計記錄，避免受到未預期的刪 除、修改或覆蓋等入侵防范操作系統(tǒng)應遵循最小安裝的原則，僅安 裝需要的組件和應用程序，并通過設置 升級服務器等方式保持系統(tǒng)補丁及時得 到更新。惡意代碼 防范應安裝防惡

7、意代碼軟件，并及時更新防 惡意代碼軟件版本和惡意代碼庫；應支持防惡意代碼軟件的統(tǒng)一管理資源控制應通過設定終端接入方式、網(wǎng)絡地址范 圍等條件限制終端登錄；應根據(jù)安全策略設置登錄終端的操作超（安全技術措施）類別檢查項目安全標準是否符合 安全標準備 注時鎖定應限制單個用戶對系統(tǒng)資源的最大或最 小使用限度應用 安全身份鑒別應提供登錄失敗處理功能，可米取結束 會話、限制非法登錄次數(shù)和自動退出等 措施；應啟用身份鑒別、用戶身份標識唯一性 檢查、用戶身份鑒別信息復雜度檢查以 及登錄失敗處理功能，并根據(jù)安全策略 配置相關參數(shù)。應提供專用的登錄控制模塊對登錄用戶 進行身份標識和鑒別應提供用戶身份標識唯一和鑒別信

8、息復 雜度檢查功能，保證應用系統(tǒng)中/、存在 重復用戶身份標識，身份鑒別信息不易 被冒用；訪問控制應提供訪問控制功能，依據(jù)安全策略控 制用戶對文件、數(shù)據(jù)庫表等客體的訪問應授予不向帳戶為完成各自承擔任務所 需的最小權限，并在它們之間形成相互 制約的關系。應由授權主體配置訪問控制策略，并嚴 格限制默認帳戶的訪問權限訪問控制的覆蓋范圍應包括與資源訪問 相關的主體、客體及它們之間的操作安全審計應提供覆蓋到每個用戶的安全審計功 能，對應用系統(tǒng)重要安全事件進行審計應保證無法刪除、修改或覆蓋審計記錄審計記錄的內(nèi)容至少應包括事件日期、 時間、發(fā)起者信息、類型、描述和結果 等通信完整 性應米用校驗碼技術保證通信過

9、程中數(shù)據(jù) 的完整性通信保密 性在通信雙方建立連接之前，應用系統(tǒng)應 利用密碼技術進行會話初始化驗證應對通信過程中的敏感信息字段進行加 密軟件容錯應提供數(shù)據(jù)有效性檢驗功能，保證通過 人機接口輸入或通過通信接口輸入的數(shù) 據(jù)格式或長度符合系統(tǒng)設定要求（安全技術措施）類別檢查項目安全標準是否符合 安全標準備 注在故障發(fā)生時，應用系統(tǒng)應能夠繼續(xù)提 供一部分功能，確保能夠?qū)嵤┍匾拇胭Y源控制當應用系統(tǒng)的通信雙方中的一方在一段 時間內(nèi)未作任何響應，另一方應能夠自 動結束會話；應能夠?qū)蝹€帳戶的多重并發(fā)會話進行 限制應能夠?qū)孟到y(tǒng)的最大并發(fā)會話連接 數(shù)進行限制數(shù)據(jù)安全及備份恢 復數(shù)據(jù)完整 性應能夠檢測到鑒別信

10、息和重要業(yè)務數(shù)據(jù) 在傳輸過程中完整性受到破壞數(shù)據(jù)保密 性應米用加密或其他保護措施實現(xiàn)鑒別信 息的存儲保密性備份和恢復應能夠?qū)χ匾畔⑦M行備份和恢復應提供關鍵網(wǎng)絡設備、通信線路和數(shù)據(jù) 處理系統(tǒng)的硬件冗余，保證系統(tǒng)的可用 性5 / 12信息系統(tǒng)安全檢查項目表（安全管理制度）類別檢查項目項目安全標準是否符合 標準備注安全管理制 度管理制度應制定信息安全工作的總體方針和安全策 略，說明機構安全工作的總體目標、范圍、 原則和安全框架等；應對安全管理活動中重要的管理內(nèi)容建立 安全管理制度；應對安全管理人員或操作人員執(zhí)行的重要 管理操作建立操作規(guī)程。制定和發(fā) 布應指定或授權專門的部門或人員負責安全 管理制度

11、的制定應組織相關人員對制定的安全管理制度進 行論證和審定應將安全管理制度以某種方式發(fā)布到相關 人員手中評審和修 訂應定期對安全管理制度進行評審，對存在不足或需要改進的安全管理制度進行修訂安全管理機構安全組織應有信息網(wǎng)絡安全管理機構成立的正式文 件、會議記錄報公安公共信息網(wǎng)絡安全監(jiān)察部門備案。崗位設置應設立安全主管、安全管理各個方面的負責 人崗位，并定義各負責人的職責應設立系統(tǒng)管理員、網(wǎng)絡管理員、安全管理 員等崗位，并定義各個工作崗位的職責。人員配備應配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡管理 員、安全管理員等安全員、各類管理人員應 經(jīng)過公安公共信息網(wǎng)絡安全監(jiān)察部門的培 訓，持公安廳、人事廳頒發(fā)的培訓證

12、書持證 上崗。安全管理員不能兼任網(wǎng)絡管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等授權和審 批應根據(jù)各個部門和崗位的職責明確授權審 批部門及批準人，對系統(tǒng)投入運行、網(wǎng)絡系 統(tǒng)接入和重要資源的訪問等關鍵活動進行 審批應針對關鍵活動建立審批流程，并由批準人簽字確認溝通和合 作應加強各類管理人員之間、組織內(nèi)部機構之 間以及信息安全職能部門內(nèi)部的合作與溝 通；信息系統(tǒng)安全檢查項目表（安全管理制度）類別檢查項目項目安全標準是否符合 標準備注應加強與兄弟單位、公安機關、電信公司的 合作與溝通審核和檢 查安全管理員應負責定期進行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運行、 系統(tǒng)漏洞和數(shù)據(jù)備 份等情況。人員 安全管 理人員錄用應

13、指定或授權專門的部門或人員負責人員 錄用應與從事關鍵崗位的人員簽署保密協(xié)議應規(guī)范人員錄用過程，對被錄用人員的身 份、背景和專業(yè)資格等進行審查，對其所具 有的技術技能進行考核人員安全管 理人員離同應規(guī)范人員離崗過程， 及時終止離崗員工的 所有訪問權限應取回各種身份證件、鑰匙、徽章等以及機 構提供的軟硬件設備應辦理嚴格的倜離手續(xù)人員考核應定期對各個崗位的人員進行安全技能及 安全認知的考核安全意識教育 和培訓應告知人員相關的安全責任和懲戒措施，并對違反違背安全策略和規(guī)定的人員進行懲 戒；定期參加公安公共信息網(wǎng)絡安全監(jiān)察部 門組織的安全培訓。應對各類人員進行安全意識教育、崗位技能培訓和相關安全技術培訓

14、應制定安全教育和培訓計劃，對信息安全基 礎知識、崗位操作規(guī)程等進行培訓外部人員 訪問管理應確保在外部人員訪問受控區(qū)域前得到授 權或?qū)徟?，批準后曲專人全程陪同或監(jiān)督， 并登記備案。系統(tǒng) 建設 管理系統(tǒng)定級應明確信息系統(tǒng)的邊界和安全保護等級應以書面的形式說明信息系統(tǒng)確定為某個 安全保護等級的方法和理由應確保信息系統(tǒng)的定級結果經(jīng)過相關部門 的批準安全方案 設計應根據(jù)系統(tǒng)的安全保護等級選擇基本安全 措施，依據(jù)風險分析的結果補充和調(diào)整安全 措施；應以書面形式描述對系統(tǒng)的安全保護要求、 策略和措施等內(nèi)容，形成系統(tǒng)的安全方案；7 / 12信息系統(tǒng)安全檢查項目表（安全管理制度）類別檢查項目項目安全標準是否符合

15、 標準備注應對安全方案進行細化，形成能指導安全系 統(tǒng)建設、安全產(chǎn)品采購和使用的詳細設計方 案；應組織相關部門和有美安全技術專家對安 全設計方案的合理性和正確性進行論證和 審定，并且經(jīng)過批準后，才能正式實施產(chǎn)品采購 和使用應確保安全產(chǎn)品采購和使用符合國家的有 關規(guī)定應確保密碼產(chǎn)品米購和使用符合國家密碼 主管部門的要求;應指定或授權專門的部門負責產(chǎn)品的米購自行軟件 開發(fā)應確保開發(fā)環(huán)境與實際運行環(huán)境物理分開； 應制定軟件開發(fā)管理制度，明確說明開發(fā)過 程的控制方法和人員行為準則自行軟件 開發(fā)應確保提供軟件設計的相關文檔和使用指 南，并由專人負責保管外包軟件 開發(fā)r應根據(jù)開發(fā)要求檢測軟件質(zhì)量應確保提供軟

16、件設計的相關文檔和使用指 南應在軟件安裝之前檢測軟件包中可能存在 的惡意代碼應要求開發(fā)單位提供軟件源代碼，并審查軟 件中可能存在的后門工程實施應指定或授權專門的部門或人員負責工程 實施過程的管理應制定詳細的工程實施方案，控制工程實施 過程測試驗收應對系統(tǒng)進行安全性測試驗收在測試驗收前應根據(jù)設計方案或合同要求等制訂測試驗收方案，在測試驗收過程中應 詳細記錄測試驗收結果，并形成測試驗收報 告應組織相關部門和相關人員對系統(tǒng)測試驗 收報告進行審定，并簽字確認系統(tǒng)交付應制定系統(tǒng)交付清單，并根據(jù)交付清單對所 交接的設備、軟件和文檔等進行清點應對負責系統(tǒng)運行維護的技術人員進行相 應的技能培訓應確保提供系統(tǒng)建

17、設過程中的文檔和指導（安全管理制度）類別檢查項目項目安全標準是否符合 標準備注用戶進行系統(tǒng)運行維護的文檔安全服務 商選擇應確保安全服務商的選擇符合國家的有美 規(guī)定應與選定的安全服務商簽訂與安全相關的 協(xié)議，明確約定相關責任應確保選定的安全服務商提供技術支持和 服務承諾，必要的與其簽訂服務合同。系統(tǒng) 運維 管理環(huán)境管理應指定專門的部門或人員定期對機房供配 電、空調(diào)、溫濕度控制等設施進行維護管理；應配備機房安全管理人員，對機房的出入、 服務器的開機或關機等工作進行管理應建立機房安全管理制度，對有關機房物理 訪問，物品帶進、帶出機房和機房環(huán)境安全 等方面的管理作出規(guī)定；應加強對辦公環(huán)境的保密性管理，

18、包括工作人員調(diào)離辦公室應立即交還該辦公室鑰匙 和不在辦公區(qū)接待來訪人員等。系統(tǒng) 運維 管理資產(chǎn)管理應建立資產(chǎn)安全管理制度，規(guī)定信息系統(tǒng)資 產(chǎn)管理的責任人員或責任部門， 并規(guī)范資產(chǎn) 管理和使用的行為。應編制與信息系統(tǒng)相關的資產(chǎn)清單，包括資產(chǎn)責任部門、重要程度和所處位置等內(nèi)容；介質(zhì)管理應確保介質(zhì)存放在安全的環(huán)境中，對各類介質(zhì)進行控制和保護，并實行存儲環(huán)境專人管 理；應對介質(zhì)歸檔和查詢等過程進行記錄，并根據(jù)存檔介質(zhì)的目錄清單定期盤點應對需要送出維修或銷毀的介質(zhì)，首先清除其中的敏感數(shù)據(jù)，防止信息的非法泄漏應根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介 質(zhì)進行分類和標識管理設備管理應對信息系統(tǒng)相關的各種設備（包括

19、備份和 冗余設備）、線路等指定專門的部門或人員 定期進行維護管理應建立基于申報、 審批和專人負責的設備安 全管理制度，對信息系統(tǒng)的各種軟硬件設備 的選型、采購、發(fā)放和領用等過程進行規(guī)范 化管理9 / 12信息系統(tǒng)安全檢查項目表信息系統(tǒng)安全檢查項目表（安全管理制度）類別檢查項目項目安全標準是否符合 標準備注應對終端計算機、工作站、便攜機、系統(tǒng)和 網(wǎng)絡等設備的操作和使用進行規(guī)范化管理， 按操作規(guī)程實現(xiàn)關鍵設備（包括備份和冗余 設備）白啟動/停止、加電/斷電等操作應確保信息處理設備必須經(jīng)過審批才能帶 離機房或辦公地點網(wǎng)絡安全 管理應指定人員對網(wǎng)絡進行管理，負責運行日 志、網(wǎng)絡監(jiān)控記錄的日常維護和報警

20、信息分 析和處理工作應建立網(wǎng)絡安全管理制度，對網(wǎng)絡安全配 置、日志保存時間、安全策略、升級與打補 丁、 口令更新周期等方面作出規(guī)定應根據(jù)廠家提供的軟件升級版本對網(wǎng)絡設 備進行更新，并在更新前對現(xiàn)有的重要文件 進行備份行應定期對網(wǎng)絡系統(tǒng)進行漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡系統(tǒng)安全漏洞進及時的修補P應對網(wǎng)絡設備的配置文件進行定期備份系統(tǒng) 運維 管理應保證所有與外部系統(tǒng)的連接均得到授權 和批準系統(tǒng)安全 管理應根據(jù)業(yè)務需求和系統(tǒng)安全分析確定系統(tǒng) 的訪問控制策略應定期進行漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏 洞及時進行修補應安裝系統(tǒng)的最新補丁程序，在安裝系統(tǒng)補J前，應首先在測試環(huán)境中測試通過，并對 重要文件進行備份后，方可實施系統(tǒng)補丁程 序的安裝應建立系統(tǒng)安全管理制度，對系統(tǒng)安全策 略、安全配置、日志管理和日常操作流程等 方卸作出規(guī)7E應依據(jù)操作手冊對系統(tǒng)進行維護，詳細記錄操作日志，包括重要的日常操作、運行維護 記錄、參數(shù)的設置和修改等內(nèi)容，嚴禁進行 未經(jīng)授權的操作應定期對運行日志和審計數(shù)據(jù)進行分析，以便及時發(fā)現(xiàn)異常行為惡意代碼 防范管理應提高所有用戶的防病毒意識，告知及時升級防病毒軟件，在讀取移動存儲設備上的數(shù)（