1、計算機(jī)信息網(wǎng)絡(luò)安全檢查項目表類別要求檢查內(nèi)容檢查要求備注安全管理組織是否建立信息網(wǎng)絡(luò)安全管 理組織。1、檢查是否組建信息網(wǎng)絡(luò)安全管理機(jī)構(gòu)。有信息網(wǎng)絡(luò)安全管理機(jī)構(gòu)成立的 正式文件、會議記錄。2、信息網(wǎng)絡(luò)安全組織是否報公安公共信息網(wǎng)絡(luò) 安全監(jiān)察部門備案。報公安公共信息網(wǎng)絡(luò)安全監(jiān)察部 門備案。3、安全組織組成人員是否參加過同級公安機(jī)關(guān) 組織的安全培訓(xùn)。安全組織人員應(yīng)定期參加公安公 共信息網(wǎng)絡(luò)安全監(jiān)察部門組織的 安全培訓(xùn)。安全管理人員是否有專職的信息網(wǎng)絡(luò)安 全管理人員。1、安全員、安全監(jiān)督員、信息審查員是否經(jīng)過 公安公共信息網(wǎng)絡(luò)安全監(jiān)察部門的培訓(xùn)，是否 持證上崗。應(yīng)接受過公安機(jī)關(guān)的安全培訓(xùn)，同 時必須

2、持自治區(qū)公安廳、 人事廳頒 發(fā)的證書上崗。2、對職，進(jìn)行信息網(wǎng)絡(luò)安全培訓(xùn)及考核情況。應(yīng)定期對單位職工進(jìn)行信息網(wǎng)絡(luò) 安全教育和培訓(xùn)。安全管理制度是否建立信息網(wǎng)絡(luò)安全管 理制度。1、計算機(jī)機(jī)房安全管理制度。有嚴(yán)格的管理制度。2、安全責(zé)任制度。有嚴(yán)格的管理制度。3、網(wǎng)絡(luò)安全漏洞檢測和系統(tǒng)升級管理制度。有嚴(yán)格的管理制度。4、操作權(quán)限管理制度。后嚴(yán)格的管理制度。5、用戶登記制度。有嚴(yán)格的管理制度。6、安全事件報告制度有嚴(yán)格的管理制度。7、信息網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急方案。侶力案用戶/單位備案 情況應(yīng)向公安機(jī)關(guān)網(wǎng)監(jiān)部門提 供安全保護(hù)管理所需信息、 資料及數(shù)據(jù)文件。1、是否填寫中華人民共和國計算機(jī)信息網(wǎng)絡(luò) 國際

3、聯(lián)網(wǎng)備案表，并到同級公安機(jī)關(guān)公共信息 網(wǎng)絡(luò)安全監(jiān)察部門備案。應(yīng)備案2、提供網(wǎng)絡(luò)拓?fù)鋱D。提供3、對信息網(wǎng)絡(luò)安全保護(hù)工作有檔案記錄。有4、發(fā)現(xiàn)信息網(wǎng)絡(luò)案件及時向公安機(jī)關(guān)報告。有環(huán)境安全系統(tǒng)中心機(jī)房應(yīng)滿足國家標(biāo)準(zhǔn)GB50174 1993電子 計算機(jī)機(jī)房設(shè)計規(guī)范、GB2887 2000電子計算 機(jī)機(jī)場地通用規(guī)范、GB9361 1988計算站場 地安全要求的要求。檢查機(jī)房是否在場地、防火、防水、防震、電 力、布線、配電、溫度、濕度、防雷、防靜電 等方面達(dá)到相應(yīng)標(biāo)準(zhǔn)要求。達(dá)到相應(yīng)機(jī)房標(biāo)準(zhǔn)。設(shè)備安全信息系統(tǒng)中心機(jī)房應(yīng)采用 有效的身份鑒別系統(tǒng)（例如 電子門控系統(tǒng)、IC卡、電視 監(jiān)視系統(tǒng)等）。檢查是否安裝了身份

4、鑒別系統(tǒng)。已安裝2、檢查是否記錄出入人員的相關(guān)信息。如：身 份、日期、時間等。能記錄媒體安全應(yīng)保證重要或涉密媒體安 全檢查是否根據(jù)軟盤、硬盤、光盤等介質(zhì)各自的 使用情況、使用壽命及系統(tǒng)的可靠性等級，制 定預(yù)防性維護(hù)、更新計劃。有計劃應(yīng)保證媒體數(shù)據(jù)安全檢查是否對軟盤、硬盤、光盤等介質(zhì)中的重要 或涉密數(shù)據(jù)進(jìn)行銷毀。有備份與恢復(fù)系統(tǒng)的主要設(shè)備、軟件、數(shù) 據(jù)、電源等應(yīng)用備份。1、檢查主要服務(wù)器、電源是否有備份，重要設(shè) 備是否采取備份措施。有備份及備份措施2、檢查主要系統(tǒng)軟件、應(yīng)用軟件等是否米取備 份措施。有備份措施3、檢查數(shù)據(jù)信息是否有備份。有備份與恢復(fù)備份系統(tǒng)應(yīng)具有在較短時 間恢復(fù)系統(tǒng)運行的能力。根

5、據(jù)系統(tǒng)的性質(zhì)，檢查系統(tǒng)是否具有在指定時 間內(nèi)恢復(fù)系統(tǒng)功能以及重要數(shù)據(jù)的能力。有根據(jù)系統(tǒng)的重要程 度和涉密程度不 同，可的情考慮。重要信息系統(tǒng)的數(shù)據(jù)應(yīng)具 備異地備份。檢查重要信息的數(shù)據(jù)是否進(jìn)行了異地備份，備 份數(shù)據(jù)的存放應(yīng)不在同一建筑物內(nèi)。有符合要求的異地備份。病毒的檢測與清 除應(yīng)采用經(jīng)公安部批準(zhǔn)的查 毒殺毒軟件。1、檢查所米用的查、殺毒軟件是否認(rèn)得銷售許 可證。獲得2、檢查所米用的查、殺毒軟件和病毒樣本庫是 否取新版本。取新版本應(yīng)適時進(jìn)行包括服務(wù)器和 客戶端的查毒、殺毒。1、抽查服務(wù)器或客戶機(jī)是否安裝實時查毒、殺 毒軟件，驗證其是否具后實時功能。有實時功能2、檢查是否對服務(wù)器或客戶機(jī)定期查毒、

6、殺毒。有相應(yīng)規(guī)定3、檢查對染毒次數(shù)、殺毒次數(shù)、殺毒結(jié)果所做 的記錄。有t己錄應(yīng)制定嚴(yán)格的防病毒制度。1、檢查是否有針對病毒防治的規(guī)章制度。有規(guī)章制度2、規(guī)章制度應(yīng)包括對查、殺毒軟件的使用規(guī)定、 定時查毒的周期時間、控制病毒來源的具體措 施等主要條款，對其中某些具體項目進(jìn)行檢查。有相應(yīng)條款鑒別次數(shù)應(yīng)規(guī)定當(dāng)不成功鑒別嘗試 達(dá)到規(guī)定次數(shù)時，系統(tǒng)所要 采取的行動。檢查當(dāng)某用戶對系統(tǒng)的鑒別嘗試失敗次數(shù)連續(xù) 達(dá)到三次或五次后，系統(tǒng)是否鎖定該用戶的賬 號，并只有安全管理員有權(quán)恢復(fù)或重建該賬號， 且將有美信息生成審計事件。有相應(yīng)的操作主要針對被檢單位 的應(yīng)用系統(tǒng)。鑒別方式根據(jù)信息的涉密等級制定 不問的身份鑒別

7、方式，其中 包括米用口令方式、IC卡技 術(shù)、一次性口令或生理特征 等強(qiáng)身份鑒別。檢查系統(tǒng)的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、業(yè)務(wù)應(yīng)用 系統(tǒng)等是否采用了 口令、IC卡技術(shù)、一次性口 令或生理特征等強(qiáng)身份鑒別。根據(jù)信息的涉密等級確定不同的 身份鑒別。用戶在規(guī)定時段內(nèi)沒有做 任何操作和訪問，系統(tǒng)應(yīng)提 供重鑒別機(jī)制。驗證系統(tǒng)是否具有此項功能。后重新鑒別機(jī)制。口令強(qiáng)度根據(jù)系統(tǒng)的重要性和涉密 等級，確定最短的口令長 度。驗證操作系統(tǒng)數(shù)據(jù)庫系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)等的 口令長度是否符合要求。至少不得少于八位字符。口令保護(hù)應(yīng)采用組成復(fù)雜、不易猜測 的口令，一般應(yīng)是大小寫英 文字母、數(shù)字和特殊字符中 兩者以上的組合。抽查若干客戶

8、機(jī)、數(shù)據(jù)庫和服務(wù)器等鑒別口令， 檢查其是否符合要求。是口令保護(hù)必須保證口令文件的安全檢查日志文件是否記錄了對口令文件的任何操 作。有記錄。必須保證口令存 放載體的物理安 全。1、檢查用戶是否將口令粘貼在機(jī)箱、顯示器、 鍵盤等明顯的地方。不能隨意放置口令。2、檢查輸入的口令字是否回顯在顯示終端上。/、回顯。系統(tǒng)口令更換周期不得長 一周，且應(yīng)當(dāng)有口令更換 記錄。1、檢查口令更換記錄，或米用多次抽查方式。按要求更換。2、檢查系統(tǒng)是否有口令有效期的檢查功能。有此功能訪問控制策略應(yīng)制定明確的訪問控制策 略檢查是否有相應(yīng)的訪問控制策略。有訪問控制策略訪問控制措施局域網(wǎng)與互聯(lián)網(wǎng)之間是否 采用安全設(shè)備（防火墻

9、等） 進(jìn)行防護(hù)，并實施訪問控 制。1、檢查是否使用了安全設(shè)備進(jìn)行了邊界防護(hù)。應(yīng)進(jìn)行邊界防護(hù)2、檢查安全設(shè)備訪問控制設(shè)置是否符合系統(tǒng)訪 問控制策略。符合系統(tǒng)訪問控制策略應(yīng)保證訪問控制規(guī)則設(shè)置 的安全。1、檢查是否從技術(shù)上保證只有安全管理員有權(quán) 設(shè)置或修改訪問控制規(guī)則。技木上有保證2、檢查審計日志中是否有對訪問控制規(guī)則進(jìn)行 操作的記錄。有t己錄3、檢查訪問控制規(guī)則是否有備份。有備份安全域劃分應(yīng)根據(jù)信息密級和信息重 要性劃分系統(tǒng)安全域。1、檢查是否利用了系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)，如廣域網(wǎng)、局域網(wǎng)、物理子網(wǎng)和邏輯子網(wǎng)等可靠方法，并 按信息密級和信息重要性進(jìn)行系統(tǒng)安全域劃分。有安全域劃分2、檢查安全域劃分是否符合

10、系統(tǒng)訪問控制策 略。符合系統(tǒng)訪問控制策略3、驗證安全域劃分是否正確。正確同一安全域中應(yīng)根據(jù)信息 的密級、重要性和授權(quán)進(jìn)行 劃分。1、檢查是否采用 VLAN、域、組等方式對同一 安全域進(jìn)行進(jìn)一步劃分。有邏輯劃分2、檢查具是否符合系統(tǒng)訪問控制策略。和策略相符合3、驗證其劃分的正確性。正確安全域劃分處理重要或涉密信息的系 統(tǒng)，應(yīng)當(dāng)能夠檢測并記錄侵1、檢查能否定義異常事件，如：猜測口令。能定義權(quán)系統(tǒng)的事件和各種違規(guī) 操作，并及時自動警告。2、檢查是否設(shè)定告警條件。已設(shè)定3、檢查能否及時自動告警且能否足以提醒安全 管理員后安全事件發(fā)生。能報警且有足夠提示4、檢查在自動告警時是否定義了告警內(nèi)容及管 理員應(yīng)

11、采取的措施。已定義審計形式處理重要或涉密信息系統(tǒng) 可采用獨立或綜合審計系 統(tǒng)。檢查是否將各服務(wù)器、安全設(shè)備及數(shù)據(jù)庫等的 審計信息進(jìn)行記錄，供系統(tǒng)安全管理員審查。采用審計系統(tǒng)日志內(nèi)谷審計日志應(yīng)記錄用戶每次 活動（訪問時間、地址、數(shù) 據(jù)、設(shè)備等）以及系統(tǒng)出錯 和配置修改等信息。1、檢查審計日志中是否記錄審計事件發(fā)生的日 期和時間、主體身份、事件類型、事件結(jié)果（成 功或失敗）有相應(yīng)審計事件記錄2、檢查是否記錄以下重要審計事件：鑒別失敗、系統(tǒng)配置修改、用戶權(quán)限修改等。有相應(yīng)審計事件記錄處理重要或涉密信息的系 統(tǒng)，應(yīng)當(dāng)能夠檢測并記錄侵 權(quán)系統(tǒng)的事件和各種違規(guī) 操作，并及時自動警告。1、檢查能否定義異常事

12、件，如：猜測口令。能定義2、檢查是否設(shè)定告警條件。已設(shè)定3、檢查能否及時自動告警且能否足以提醒安全 管理員后安全事件發(fā)生。能報警且有足夠提示4、檢查在自動告警時是否定義了告警內(nèi)容及管 理員應(yīng)采取的措施。已定義日志保護(hù)應(yīng)保證審計日志的保密性 和完整性。1、檢查是否設(shè)置了審計日志的訪問權(quán)限。設(shè)置了訪問權(quán)限2、檢查是否定期備份審計日志。有定期備份3、通過審計日志的增、刪等方法檢查審計系統(tǒng) 對審計日志能否提供完整性保護(hù)。有完整性保護(hù)審計系統(tǒng)應(yīng)具有存儲器將1、檢查能否為審計日志設(shè)定存儲空間大小。能滿的告警和保護(hù)措施以防 止審計數(shù)據(jù)的丟失。2、檢查當(dāng)審計存儲空間將滿時，能否自動提醒 系統(tǒng)管理員采取措施。能

13、應(yīng)保證審計不被旁路防止 漏記審計數(shù)據(jù)。通過加入案例等方式檢查審計功能是否能正確 實現(xiàn)。能正確實現(xiàn)審查日志系統(tǒng)安全管理員應(yīng)定期審 查系統(tǒng)日志。檢查安全管理員是否定期查看審計日志，并有 相應(yīng)的記錄。有相應(yīng)記錄審查日志審查記錄不得更改、刪除。1、檢查審查記錄能否被修改。不能修改2、檢查審查記錄是否能被非授權(quán)的刪除和丟 棄。不能隨意刪除和丟棄重要或涉密系統(tǒng)審查周期 不得長于一個月。檢查相應(yīng)的審查記錄相應(yīng)審查記錄的間隔不長十-個 月檢測工具應(yīng)采用公安部批準(zhǔn)使用的 檢測工具對系統(tǒng)進(jìn)行安全 性能檢測。1、檢測是否有能對系統(tǒng)進(jìn)行安全性能檢測的檢 測工具。有檢測工具根據(jù)系統(tǒng)的重要程 度和涉密程度不 同，可的情考慮。2、檢查采用的檢測工具是否經(jīng)過國家公安部批 準(zhǔn)。經(jīng)過批準(zhǔn)檢測工具版本應(yīng)及時更新。根據(jù)已批準(zhǔn)使用的檢測工具列表及其最新版本 號進(jìn)行核對檢查。取新版本檢測制度應(yīng)制定完善的安全性能檢 測制度，保證檢測制度化。1、檢查制度中是否規(guī)定安全性能檢查的周期、 范圍、方式、參加人員、使用的工具、依據(jù)的 標(biāo)