網(wǎng)絡(luò)風(fēng)險(xiǎn)評估指標(biāo)體系

1、類別風(fēng)險(xiǎn)評估指標(biāo)風(fēng)險(xiǎn)評估檢測標(biāo)準(zhǔn)是否組建信息網(wǎng)絡(luò)安全管理機(jī)構(gòu)。安全管理組織是否建立信息網(wǎng)絡(luò)安全管理組織。安全組織組成人員是否參加過上級單位組織的安全培訓(xùn)。3.對職工進(jìn)行信息網(wǎng)絡(luò)安全培訓(xùn)及考核情況。1計(jì)算機(jī)機(jī)房安全管理制度。2信息安全等級保護(hù)和二次防護(hù)制度安全責(zé)任制度。4網(wǎng)絡(luò)安全漏洞檢測和系統(tǒng)升級管理制度。5操作權(quán)限管理制度。6用戶登記制度。一安全事件報(bào)告制度信息系統(tǒng)應(yīng)急方案。9操作系統(tǒng)和數(shù)據(jù)庫管理制度、病毒防護(hù)管理制度、網(wǎng)絡(luò)互聯(lián)安全管理制度、安全審計(jì)管理制度、災(zāi)難恢復(fù)管理制度等安全管理制度具有統(tǒng)一的格式，并進(jìn)行版本控制；定期對信息安全管理制度進(jìn)行審核、修訂、安全管理制度是否建立信息網(wǎng)絡(luò)安全管理

2、制度。人員使用人員技能人員離崗更新、廢除過時(shí)的管理制度，制定、發(fā)布、宣貫新的管理要求1.對單位的新使用人員要簽署保密協(xié)議1嚴(yán)格規(guī)范人員使用過程，對被使用人的身份、背景、專業(yè)資格和資質(zhì)等進(jìn)行審查，對其所具有的技術(shù)技能進(jìn)行考核終止其在信息系統(tǒng)中的所有訪問權(quán)限；取回離崗人員的各種身份證件、鑰匙、徽章等以及單位提供的軟硬件設(shè)備。人員管理第三方人員管理要求第三方人員在訪問前與公司簽署安全責(zé)任合同書或保密協(xié)議對第三方人員訪問重要區(qū)域以書面形式批準(zhǔn)對并由專人全程許同或監(jiān)督域記錄備案設(shè)備、信息等內(nèi)容進(jìn)行書面的規(guī)定，并按照規(guī)定執(zhí)行應(yīng)向公安機(jī)關(guān)按要求進(jìn)行等級保護(hù)備案。1對信息網(wǎng)絡(luò)安全保護(hù)工作有檔案記錄。信息系統(tǒng)定

3、級情況對各業(yè)務(wù)部門進(jìn)行1告知各業(yè)務(wù)部門定級情況通報(bào)針對不同等級信息系統(tǒng)制定等級保護(hù)萬案1.三級以上系統(tǒng)有專門的保護(hù)方案1在系統(tǒng)運(yùn)行過程中，至少每年對系統(tǒng)進(jìn)行一次等級測評，發(fā)現(xiàn)不符合相應(yīng)等級保護(hù)標(biāo)準(zhǔn)要等級測評求的及時(shí)整改；需求變更應(yīng)有需求變更審核流程，且在需求變更過程中應(yīng)充分考慮系統(tǒng)安全風(fēng)險(xiǎn)等級保護(hù)評估、評測管理辦法1制定評估、評測管理辦法電源可靠性保障1采用UPS設(shè)施，確保停電后系統(tǒng)的供電安全；且UPS定期放電和檢測通道安全1.關(guān)鍵系統(tǒng)的通信鏈路米取雙鏈路方式核心設(shè)備冗余關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備應(yīng)有備份措施，確保設(shè)備故障后可以及時(shí)更換設(shè)備系統(tǒng)中心機(jī)房應(yīng)滿足國家標(biāo)準(zhǔn)GB50174-1993電子計(jì)算機(jī)機(jī)房

4、設(shè)計(jì)規(guī)范、GB2887-2000電子計(jì)算機(jī)機(jī)場地通用規(guī)范、GB93611988計(jì)算站場地安全要求的要求環(huán)境安全設(shè)備應(yīng)符合國家標(biāo)準(zhǔn)設(shè)備應(yīng)是公安部認(rèn)可的信息安全產(chǎn)品檢查機(jī)房是否在場地、防火、防水、防震、電力、布線、配電、溫度、濕度、防雷、防靜電等方面達(dá)至U相應(yīng)標(biāo)準(zhǔn)要求。新選的設(shè)備應(yīng)符合國家標(biāo)準(zhǔn)數(shù)據(jù)處理設(shè)備的安全、電動(dòng)辦公機(jī)器的安全中規(guī)定的要求，其電磁輻射強(qiáng)度、可靠性及兼容性應(yīng)符合現(xiàn)代安全管理等級要求檢查設(shè)備資料，設(shè)備應(yīng)使用經(jīng)國家信息安全測評機(jī)構(gòu)和公安部認(rèn)可的信息安全產(chǎn)品1檢查是否安裝了身份鑒別系統(tǒng)或?qū)嵭辛藱C(jī)房準(zhǔn)入審核及登記管理。設(shè)備安全信息系統(tǒng)中心機(jī)房應(yīng)采用有效的身份鑒別系統(tǒng)（例如電子門控系統(tǒng)、I

5、C卡、電視監(jiān)視系統(tǒng)等）。2檢查是否記錄出入人員的相關(guān)信息。女口：身份、日期、時(shí)間等，審核的表格應(yīng)能充分體現(xiàn)準(zhǔn)入人的信息以及工作范圍、陪護(hù)監(jiān)控措施等。設(shè)備管理軟件管理設(shè)備臺(tái)賬設(shè)備運(yùn)行維護(hù)主機(jī)加固配置管理設(shè)備驗(yàn)收-需求提出與分析軟件的采購、安裝與測試軟件的試運(yùn)行與驗(yàn)收軟件的登記和保管軟件的使用和維護(hù)需求變更與升級應(yīng)建立完整有效的設(shè)備臺(tái)賬。臺(tái)賬包括設(shè)備型號，上線日期，保質(zhì)期，設(shè)備管理人，設(shè)備序歹U號，維修記錄等。檢查設(shè)備巡檢記錄，設(shè)備應(yīng)每天進(jìn)行巡檢，發(fā)現(xiàn)問題及時(shí)處理，并記錄設(shè)備運(yùn)行日志對廠商交付的主機(jī)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等進(jìn)行了配置安全加固審核、操作系統(tǒng)安全補(bǔ)丁安裝情況記錄對信息系統(tǒng)的配置參數(shù)進(jìn)行管

6、理、建立系統(tǒng)、設(shè)備的配置參數(shù)定義文件庫（如：所有防火墻的規(guī)則配置文件）設(shè)備上線運(yùn)行必須經(jīng)過驗(yàn)收環(huán)節(jié)-所有需求申請應(yīng)由使用部門提出；涉及多個(gè)業(yè)軟件門的正要經(jīng)過相采業(yè)過部符分公討論理規(guī)定；軟件供應(yīng)商提供安裝手冊和測試報(bào)告。安裝手冊詳實(shí)可用，測試報(bào)告需經(jīng)過本企業(yè)認(rèn)可軟件系統(tǒng)驗(yàn)收報(bào)告，驗(yàn)收報(bào)告應(yīng)包括功能測試、性能測試和安全測試應(yīng)建立軟件臺(tái)賬，臺(tái)賬內(nèi)容符合管理要求有授權(quán)范圍的軟件，在安裝使用時(shí)需要進(jìn)行相關(guān)記錄。系統(tǒng)的權(quán)限設(shè)置應(yīng)分級設(shè)置，其中系統(tǒng)管理員權(quán)限應(yīng)專人管理。媒體安全應(yīng)保證重要或涉密媒體安全檢查是否根據(jù)軟盤、硬盤、光盤等介質(zhì)各自的使用情況、使用壽命及系統(tǒng)的可靠性等級，制定預(yù)防性維護(hù)、更新計(jì)劃。介質(zhì)

7、管理確保介質(zhì)存放在安全的環(huán)境中，對各類介質(zhì)進(jìn)行控制和保護(hù)，并實(shí)行存儲(chǔ)環(huán)境專人管理應(yīng)保證媒體數(shù)據(jù)安全檢查是否對軟盤、硬盤、光盤等介質(zhì)中的重要或涉密數(shù)據(jù)進(jìn)行銷毀。其中涉密數(shù)據(jù)需根據(jù)集團(tuán)涉密管理要求進(jìn)行相應(yīng)銷毀。備份與恢復(fù)系統(tǒng)的主要設(shè)備、軟件、數(shù)據(jù)、電源等應(yīng)有備份。1、檢杳主要服務(wù)器、電源是否有備份，重要設(shè)備是否采取備份措施。2、檢杳主要系統(tǒng)軟件、應(yīng)用軟件等是否采取備份措施。3、檢查數(shù)據(jù)信息是否有備份。備份與恢復(fù)備份系統(tǒng)應(yīng)具有在較短時(shí)間恢復(fù)系統(tǒng)運(yùn)行的能力。根據(jù)系統(tǒng)的性質(zhì)，檢查系統(tǒng)疋否具有在扌曰定時(shí)間內(nèi)恢復(fù)系統(tǒng)功能以及重要數(shù)據(jù)的能力。重要信息系統(tǒng)的數(shù)據(jù)應(yīng)具備異地備份0檢查重要信息的數(shù)據(jù)是否進(jìn)行了異地備

8、份，備份數(shù)據(jù)的存放應(yīng)不在同一建筑物內(nèi)。病毒的檢測與清除應(yīng)米用經(jīng)公安部批準(zhǔn)的查毒殺毒軟件01、檢查所米用的查、殺毒軟件是否獲得足夠的授權(quán)。2、檢查所米用的查、殺毒軟件和病毒樣本庫是否是最新版本，服務(wù)在有效期內(nèi)。應(yīng)適時(shí)進(jìn)行包括服務(wù)器和客戶端的查毒、殺毒。1、抽杳服務(wù)器或客戶機(jī)是否安裝實(shí)時(shí)杳毒、殺毒軟件，驗(yàn)證其是否具有實(shí)時(shí)功能。2、檢查是否對服務(wù)器或客戶機(jī)定期查毒、殺毒。3、檢查對染毒次數(shù)、殺毒次數(shù)、殺毒結(jié)果所做的記錄。應(yīng)制定嚴(yán)格的防病毒制度。1、檢章制否有包對病毒防治的軟章制度用規(guī)定、定時(shí)查毒的周期時(shí)間、控制病毒來源的具體措施等主要條款，對其中某些具體項(xiàng)目進(jìn)行檢查。鑒別次數(shù)應(yīng)規(guī)定當(dāng)不成功鑒別嘗試達(dá)

9、到規(guī)定次數(shù)時(shí)，系統(tǒng)所要采取的行動(dòng)。檢杳當(dāng)某用戶對系統(tǒng)的鑒別嘗試失敗次數(shù)連續(xù)達(dá)到三次或五次后，系統(tǒng)是否鎖定該用戶的賬號，并只有安全管理員有權(quán)恢復(fù)或重建該賬號，且將有關(guān)信息生成審計(jì)事件。鑒別方式根據(jù)信息的涉密等級制定不同的身份鑒別方式，其中包括采用口令方式、IC卡技術(shù)、一次性口令或生理特征等強(qiáng)身份鑒別。檢查系統(tǒng)的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)等是否米用了口令、IC卡技術(shù)、一次性口令或生理特征等強(qiáng)身份鑒別。用戶在規(guī)定時(shí)段內(nèi)沒有做任何操作和訪問，系統(tǒng)應(yīng)提供重鑒別機(jī)制。驗(yàn)證系統(tǒng)疋否具有此項(xiàng)功冃匕?？诹顝?qiáng)度根據(jù)系統(tǒng)的重要性和涉密等級，確定最短的口令長度。驗(yàn)證操作系統(tǒng)數(shù)據(jù)庫系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)等的口令長度

10、是否符合要求?？诹畋Ｗo(hù)應(yīng)采用組成復(fù)雜、不易猜測的口令，一般應(yīng)是大小寫英文字母、數(shù)字和特殊字符中兩者以上的組合。抽杳若干客戶機(jī)、數(shù)據(jù)庫和服務(wù)器等鑒別口令，檢查其是否符合要求。檢查日志文件是否記錄了對口令文件的任何操作。檢查日志文件是否記錄了對口令文件的任何操口令保護(hù)必須保證口令文件的安全作。必須保證口令存放載體的物理安全。1、抽杳用戶是否將口令粘貼在機(jī)箱、顯示器、鍵盤等明顯的地方。2、檢杳輸入的口令字是否回顯在顯示終端上。系統(tǒng)口令更換周期不得長于一周，且1、檢杳口令更換記錄，或米用多次抽杳方式。應(yīng)當(dāng)有口令更換記錄。2、檢查系統(tǒng)是否有口令有效期的檢查功能。訪問控制策略應(yīng)制定明確的訪問控制策略檢查是

11、否有相應(yīng)的訪問控制策略。訪問控制措施局域網(wǎng)與互聯(lián)網(wǎng)之間是否采用安全設(shè)備（防火墻等）進(jìn)行防護(hù)，并實(shí)施訪問控制。1、檢查是否使用了安全設(shè)備進(jìn)行了邊界防護(hù)。2、檢查安全設(shè)備訪問控制設(shè)置是否符合系統(tǒng)訪問控制策略。終端接入控制，對IP地址進(jìn)行統(tǒng)一管理對于局域網(wǎng)終端應(yīng)有嚴(yán)格的準(zhǔn)入審批程序，且能形成IP地址等信息與計(jì)算機(jī)終端的嚴(yán)格對應(yīng)關(guān)系，確保接入終端的可追溯及不可否認(rèn)性?；ヂ?lián)網(wǎng)訪問控制應(yīng)對能上互聯(lián)網(wǎng)的終端，根據(jù)上網(wǎng)服務(wù)最小化的原則，控制上網(wǎng)范圍以及開放的服務(wù)，設(shè)置合理的上網(wǎng)策略應(yīng)保證訪問控制規(guī)則設(shè)置的安全。1、檢查是否從技術(shù)上保證只有安全管理員有權(quán)設(shè)置或修改訪問控制規(guī)則。2、檢查審計(jì)日志中是否有對訪問控制

12、規(guī)則進(jìn)行操作的記錄。1、檢查訪否利用規(guī)系是的網(wǎng)絡(luò)結(jié)構(gòu)，如廣域網(wǎng)安全域劃分應(yīng)根據(jù)信息等級和信息重要性劃分系統(tǒng)安全域。、局域網(wǎng)、物理子網(wǎng)和邏輯子網(wǎng)等可靠方法，并按信息密級和信息重要性進(jìn)行系統(tǒng)安全域劃分。2、檢查安全域劃分是否符合系統(tǒng)訪問控制策略。3、驗(yàn)證安全域劃分是否正確。同一安全域中應(yīng)根據(jù)信息的等級、重要性和授權(quán)進(jìn)行劃分。1、檢查是否采用VLAN、域、組等方式對同一安全域進(jìn)行進(jìn)一步劃分。2、檢查其是否符合系統(tǒng)訪問控制策略。3、驗(yàn)證其劃分的正確性。安全域劃分處理重要信息的系統(tǒng)，應(yīng)當(dāng)能夠檢測并記錄侵權(quán)系統(tǒng)的事件和各種違規(guī)操作，并及時(shí)自動(dòng)警告。1、檢查能否定義異常事件，女口：猜測口令。2、檢查是否設(shè)定

13、告警條件。3、檢查能否及時(shí)自動(dòng)告警且能否足以提醒安全管理員有安全事件發(fā)生。4、檢查在自動(dòng)告警時(shí)是否定義了告警內(nèi)容及管理員應(yīng)采取的措施。審計(jì)形式處理重要信息系統(tǒng)可米用獨(dú)立或綜合審計(jì)系統(tǒng)。檢杳是否將各服務(wù)器、安全設(shè)備及數(shù)據(jù)庫等的申計(jì)信息進(jìn)行記錄，供系統(tǒng)安全管理員申查，記錄周期至少三個(gè)月以上。審計(jì)日志應(yīng)記錄用戶每次活動(dòng)（訪問時(shí)間、地址、數(shù)據(jù)、設(shè)備等）以及系統(tǒng)出錯(cuò)和配置修改等信息。1、檢查申計(jì)日志中是否記錄申計(jì)事件發(fā)生的日期和時(shí)間、主體身份、事件類型、事件結(jié)果（成功或失?。?、檢查是否記錄以下重要審計(jì)事件：鑒別失敗、系統(tǒng)配置修改、用戶權(quán)限修改等。1、檢查能否定義異常事件，女口：猜測口令。夠檢測并記錄侵

14、權(quán)系統(tǒng)的事件和各種2、檢查是否設(shè)定告警條件。3、檢查能否及時(shí)自動(dòng)告警且能否足以提醒安全管理員有安全事件發(fā)生。日志內(nèi)容處理重要或涉密信息的系統(tǒng)，應(yīng)當(dāng)能夠檢測并記錄侵權(quán)系統(tǒng)的事件和各種違規(guī)操作，并及時(shí)自動(dòng)警告。4、檢查在自動(dòng)告警時(shí)是否定義了告警內(nèi)容及管理員應(yīng)采取的措施。日志保護(hù)應(yīng)保證審計(jì)日志的保密性和完整性。1、檢查是否設(shè)置了審計(jì)日志的訪問權(quán)限。2、檢查是否定期備份審計(jì)日志。3、通過審計(jì)日志的增、刪等方法檢查審計(jì)系統(tǒng)對審計(jì)日志能否提供完整性保護(hù)。審計(jì)系統(tǒng)應(yīng)具有存儲(chǔ)器將滿的告警和保護(hù)措施以防止審計(jì)數(shù)據(jù)的丟失。1、檢查能否為審計(jì)日志設(shè)定存儲(chǔ)空間大小。2、檢杳當(dāng)審計(jì)存儲(chǔ)空間將滿時(shí)，能否自動(dòng)提醒系統(tǒng)管理員

15、采取措施。應(yīng)保證審計(jì)不被旁路防止漏記審計(jì)數(shù)據(jù)。通過加入案例等方式檢查審計(jì)功能是否能正確實(shí)現(xiàn)。審查日志系統(tǒng)安全管理員應(yīng)定期審查系統(tǒng)日志。檢查安全管理員是否定期查看申計(jì)日志，并有相應(yīng)的記錄。審查記錄不得更改、刪除。1、檢查審查記錄能否被修改。2、檢查審查記錄是否能被非授權(quán)的刪除和丟棄。重要或涉密系統(tǒng)審查周期不得長于一個(gè)月。檢查相應(yīng)的審查記錄檢測工具應(yīng)米用公安部批準(zhǔn)使用的檢測工具對系統(tǒng)進(jìn)行安全性能檢測。1、檢測是否有能對系統(tǒng)進(jìn)行安全性能檢測的檢測工具。2、檢查采用的檢測工具是否經(jīng)過國家公安部批準(zhǔn)。檢測工具版本應(yīng)及時(shí)更新。根據(jù)已批準(zhǔn)使用的檢測工具列表及其最新版本號進(jìn)行核對檢查。檢測制度應(yīng)制定完善的安全

16、性能檢測制度，保證檢測制度化。1、檢查制度中是否規(guī)定安全性能檢查的周期、范圍、方式、參加人員、使用的工具、依據(jù)的標(biāo)準(zhǔn)等內(nèi)容。2、檢查安全性能檢測是否保存記錄。安全管理員應(yīng)定期對系統(tǒng)進(jìn)行檢查、發(fā)現(xiàn)漏洞及時(shí)彌補(bǔ)。1、根據(jù)檢測制度查看檢測記錄是否符合制度規(guī)定，包括檢查周期、范圍、發(fā)現(xiàn)的問題、糾正情況等記錄是否全面。2、對檢查中發(fā)現(xiàn)的問題進(jìn)行檢查，驗(yàn)證改正情況。3、檢查產(chǎn)品是否經(jīng)過認(rèn)證。應(yīng)急措施應(yīng)急培訓(xùn)對系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次應(yīng)急演練定期對應(yīng)急預(yù)案進(jìn)行演練，根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容，確定演練的周期應(yīng)急責(zé)任所有相關(guān)人員應(yīng)清楚地知道自己在應(yīng)急響應(yīng)中的角色和職責(zé)應(yīng)急評

17、估定期對應(yīng)急預(yù)案進(jìn)行評估和修訂風(fēng)險(xiǎn)評估檢查備注有信息網(wǎng)絡(luò)安全管理機(jī)構(gòu)成立的正式文件、會(huì)議記錄等，建議在信息化工作會(huì)議過程中將信息安全管理內(nèi)容體現(xiàn)。安全組織人員應(yīng)定期參加上級單位或本企業(yè)組織的安全培訓(xùn)。應(yīng)定期對單位職工進(jìn)行信息網(wǎng)絡(luò)安全教育和培訓(xùn)1,評估的重點(diǎn)為培訓(xùn)記錄。有嚴(yán)格的管理制度。GB/T20269-2006信息安全技術(shù)信息系統(tǒng)安全管理要求有嚴(yán)格的管理制度。有嚴(yán)格的管理制度，將各應(yīng)用系統(tǒng)的運(yùn)維及信息安全責(zé)任分解到個(gè)人。有嚴(yán)格的管理制度。有嚴(yán)格的管理制度。有嚴(yán)格的管理制度。有嚴(yán)格的管理制度。有方案有相關(guān)制度有版本控制有計(jì)劃，有修訂痕跡有保密協(xié)議有過程記錄系統(tǒng)中可抽查，且退回物品有記錄有協(xié)議有

18、記錄有規(guī)定有有有有記錄有UPS巡檢記錄。記錄有備用設(shè)備達(dá)到相應(yīng)機(jī)房標(biāo)準(zhǔn)。夏季，機(jī)房溫度控制在23c土2C,冬季控制在20C土2C；機(jī)房濕度控制在45%65%已安裝或能查閱審核記錄。能記錄有臺(tái)賬巡檢記錄有記錄有備份的配置文件及管理記錄驗(yàn)收報(bào)告查閱需求分析報(bào)告查閱相關(guān)報(bào)告查閱相關(guān)報(bào)告有軟件臺(tái)賬系統(tǒng)中權(quán)限設(shè)置合理且安全有記錄，且合理有計(jì)劃有臺(tái)賬和借用記錄有有備份及備份措施有備份措施有根據(jù)系統(tǒng)有的重要程度和涉密程度不同，可酌有符合要求的異地備份。獲得是最新版本有實(shí)時(shí)功能有相應(yīng)規(guī)定記錄，抽杳殺毒軟件的杳殺記錄。如為重要系統(tǒng)，因一個(gè)月內(nèi)至少全盤杳殺一次。有記錄有規(guī)章制度有相應(yīng)條款有相應(yīng)的操作主要針對被評估單位的應(yīng)用系統(tǒng)。根據(jù)信息的保護(hù)等級確定不同的身份鑒別。有重新鑒別機(jī)制。至少不得少于八位字符。是有記錄。不能隨意放置口令。不回顯。按要求更換。有此功能有訪問控制策略應(yīng)進(jìn)行邊界防護(hù)符