计算机信息网络安全检查项目表

1、计算机信息网络安全检查项目表类别要求检杳内容检杳要求备注安全管理组织是否建立信息网络安全管 理组织。1、检查是否组建信息网络安全管理机构。有信息网络安全管理机构成立的 正式文件、会议记录。2、信息网络安全组织是否报公安公共信息网络 安全监察部门备案。报公安公共信息网络安全监察部 门备案。3、安全组织组成人员是否参加过同级公安机关 组织的安全培训。安全组织人员应定期参加公安公 共信息网络安全监察部门组织的 安全培训。安全管理人员是否有专职的信息网络安 全管理人员。1、安全员、安全监督员、信息审查员是否经过 公安公共信息网络安全监察部门的培训，是否 持证上岗。应接受过公安机关的安全培训，冋 时必须

2、持自治区公安厅、 人事厅颁 发的证书上岗。2、对职工进行信息网络安全培训及考核情况。应定期对单位职工进行信息网络 安全教育和培训。安全管理制度是否建立信息网络安全管 理制度。1、计算机机房安全管理制度。有严格的管理制度。2、安全责任制度。有严格的管理制度。3、网络安全漏洞检测和系统升级管理制度。有严格的管理制度。4、操作权限管理制度。有严格的管理制度。5、用户登记制度。有严格的管理制度。6、安全事件报告制度有严格的管理制度。7、信息网络安全突发事件应急方案。有方案用户/单位备案 情况应向公安机关网监部门提 供安全保护管理所需信息、 资料及数据文件。1、是否填写中华人民共和国计算机信息网络 国际

3、联网备案表，并到同级公安机关公共信息 网络安全监察部门备案。应备案2、提供网络拓扑图。提供3、对信息网络安全保护工作有档案记录。有4、发现信息网络案件及时向公安机关报告。有环境安全系统中心机房应满足国家 标准GB50174 1993电子 计算机机房设计规范、GB2887 2000电子计算 机机场地通用规范、GB9361 1988计算站场 地安全要求的要求。检查机房是否在场地、防火、防水、防震、电 力、布线、配电、温度、湿度、防雷、防静电 等方面达到相应标准要求。达到相应机房标准。设备安全信息系统中心机房应采用 有效的身份鉴别系统（例如 电子门控系统、IC卡、电视 监视系统等）。检查是否安装了身

4、份鉴别系统。已安装2、检查是否记录出入人贝的相关信息。如：身 份、日期、时间等。能记录媒体安全应保证重要或涉密媒体安 全检查是否根据软盘、硬盘、光盘等介质各自的 使用情况、使用寿命及系统的可靠性等级，制 定预防性维护、更新计划。有计划应保证媒体数据安全检查是否对软盘、硬盘、光盘等介质中的重要 或涉密数据进行销毁。有备份与恢复系统的主要设备、软件、数 据、电源等应有备份。1、检查主要服务器、电源是否有备份，重要设 备是否采取备份措施。有备份及备份措施2、检查主要系统软件、应用软件等是否采取备 份措施。有备份措施3、检查数据信息是否有备份。有备份与恢复备份系统应具有在较短时 间恢复系统运行的能力。

5、根据系统的性质，检查系统是否具有在指定时 间内恢复系统功能以及重要数据的能力。有根据系统的重要程 度和涉密程度不 冋，可酌情考虑。重要信息系统的数据应具 备异地备份。检查重要信息的数据是否进行了异地备份，备 份数据的存放应不在冋一建筑物内。有符合要求的异地备份。病毒的检测与清 除应采用经公安部批准的查 毒杀毒软件。1、检查所采用的查、杀毒软件是否获得销售许 可证。获得2、检查所采用的查、杀毒软件和病毒样本库是 否疋取新版本。疋取新版本应适时进行包括服务器和 客户端的查毒、杀毒。1、抽查服务器或客户机是否安装实时查毒、杀 毒软件，验证其是否具有实时功能。有实时功能2、检查是否对服务器或客户机定期

6、查毒、杀毒。有相应规定3、检查对染毒次数、杀毒次数、杀毒结果所做 的记录。有记录应制定严格的防病毒制度。1、检查是否有针对病毒防治的规章制度。有规章制度2、规章制度应包括对查、杀毒软件的使用规定、 疋时查毒的周期时间、控制病毒来源的具体措 施等主要条款，对其中某些具体项目进行检查。有相应条款鉴别次数应规定当不成功鉴别尝试 达到规定次数时，系统所要 采取的行动。检查当某用户对系统的鉴别尝试失败次数连续 达到三次或五次后，系统是否锁定该用户的账 号,并只有安全管理贝有权恢复或重建该账号， 且将有关信息生成审计事件。有相应的操作主要针对被检单位 的应用系统。鉴别方式根据信息的涉密等级制定 不冋的身份

7、鉴别方式，其中 包括采用口令方式、IC卡技 术、一次性口令或生理特征 等强身份鉴别。检查系统的操作系统、数据库系统、业务应用 系统等是否采用了口令、IC卡技术、一次性口 令或生理特征等强身份鉴别。根据信息的涉密等级确定不同的 身份鉴别。用户在规定时段内没有做 任何操作和访问，系统应提 供重鉴别机制。验证系统是否具有此项功能。有重新鉴别机制。口令强度根据系统的重要性和涉密 等级，确定最短的口令长 度。验证操作系统数据库系统、业务应用系统等的 口令长度是否符合要求。至少不得少于八位字符。口令保护应采用组成复杂、不易猜测 的口令，一般应是大小写英 文字母、数字和特殊字符中 两者以上的组合。抽查若干客

8、户机、数据库和服务器等鉴别口令， 检查其是否符合要求。是口令保护必须保证口令文件的安全检查日志文件是否记录了对口令文件的任何操 作。有记录。必须保证口令存 放载体的物理安 全。1、检查用户是否将口令粘贴在机箱、显示器、 键盘等明显的地方。不能随意放置口令。2、检查输入的口令字是否回显在显示终端上。不回显。系统口令更换周期不得长 于一周，且应当有口令更换 记录。1、检查口令更换记录，或采用多次抽查方式。按要求更换。2、检查系统是否有口令有效期的检查功能。有此功能访问控制策略应制定明确的访问控制策 略检查是否有相应的访问控制策略。有访问控制策略访问控制措施局域网与互联网之间是否 采用安全设备（防火

9、墙等） 进行防护，并实施访冋控 制。1、检查是否使用了安全设备进行了边界防护。应进行边界防护2、检查安全设备访冋控制设置是否符合系统访 问控制策略。符合系统访问控制策略应保证访问控制规则设置 的安全。1、检查是否从技术上保证只有安全管理员有权 设置或修改访冋控制规则。技术上有保证2、检查审计日志中是否有对访冋控制规则进行 操作的记录。有记录3、检查访问控制规则是否有备份。有备份安全域划分应根据信息密级和信息重 要性划分系统安全域。1、检查是否利用了系统的网络结构，如广域网、局域网、物理子网和逻辑子网等可靠方法，并 按信息密级和信息重要性进行系统安全域划 分。有安全域划分2、检查安全域划分是否符

10、合系统访问控制策 略。符合系统访问控制策略3、验证安全域划分是否正确。正确冋一安全域中应根据信息 的密级、重要性和授权进行 划分。1、检查是否米用 VLAN、域、组等方式对冋一 安全域进行进一步划分。有逻辑划分2、检查其是否符合系统访冋控制策略。和策略相符合3、验证其划分的正确性。正确安全域划分处理重要或涉密信息的系 统，应当能够检测并记录侵1、检查能否定义异常事件，如：猜测口令。能定义权系统的事件和各种违规 操作，并及时自动警告。2、检查是否设定告警条件。已设定3、检查能否及时自动告警且能否足以提醒安全 管理员有安全事件发生。能报警且有足够提示4、检查在自动告警时是否定义了告警内容及管 理员

11、应采取的措施。已定义审计形式处理重要或涉密信息系统 可采用独立或综合审计系 统。检查是否将各服务器、安全设备及数据库等的 审计信息进行记录，供系统安全管理员审查。采用审计系统日志内容审计日志应记录用户每次 活动（访问时间、地址、数 据、设备等）以及系统出错 和配置修改等信息。1、检查审计日志中是否记录审计事件发生的日 期和时间、主体身份、事件类型、事件结果（成 功或失败）有相应审计事件记录2、检查是否记录以下重要审计事件：鉴别失败、 系统配置修改、用户权限修改等。有相应审计事件记录处理重要或涉密信息的系 统，应当能够检测并记录侵 权系统的事件和各种违规 操作，并及时自动警告。1、检查能否定义异

12、常事件，如：猜测口令。能定义2、检查是否设定告警条件。已设定3、检查能否及时自动告警且能否足以提醒安全 管理员有安全事件发生。能报警且有足够提示4、检查在自动告警时是否定义了告警内容及管 理员应采取的措施。已定义日志保护应保证审计日志的保密性 和完整性。1、检查是否设置了审计日志的访问权限。设置了访问权限2、检查是否定期备份审计日志。有定期备份3、通过审计日志的增、删等方法检查审计系统 对审计日志能否提供完整性保护。有完整性保护审计系统应具有存储器将1、检查能否为审计日志设定存储空间大小。能满的告警和保护措施以防 止审计数据的丢失。2、检查当审计存储空间将满时，能否自动提醒 系统管理员采取措施

13、。能应保证审计不被旁路防止 漏记审计数据。通过加入案例等方式检查审计功能是否能正确 实现。能正确实现审查日志系统安全管理员应定期审 查系统日志。检查安全管理员是否定期查看审计日心，并有 相应的记录。有相应记录审查日志审查记录不得更改、删除。1、检查审查记录能否被修改。不能修改2、检查审查记录是否能被非授权的删除和丢 弃。不能随意删除和丢弃重要或涉密系统审查周期不得长于一个月。检查相应的审查记录相应审查记录的间隔不长于一个 月检测工具应采用公安部批准使用的 检测工具对系统进行安全 性能检测。1、检测是否有能对系统进行安全性能检测的检 测工具。有检测工具根据系统的重要程 度和涉密程度不 冋，可酌情考虑。2、检查采用的检测工具是否经过国家公安部批 准。经过批准检测工具版本应及时更新。根据已批准使用的检测工具列表及其最新版本 号进行核对检查。疋最新版本检测制度应制定完善的安全性能检 测制度，保证检测制度化。1、检查制度中是否规定安全性能检查的周期、 范围、方式、参加人员、使用的工具、依据的 标准