网络风险评估指标体系

1、类别风险评估指标风险评估检测标准是否组建信息网络安全管理机构。安全管理组织是否建立信息网络安全管理组织。安全组织组成人员是否参加过上级单位组织的安全培训。3.对职工进行信息网络安全培训及考核情况。1计算机机房安全管理制度。2信息安全等级保护和二次防护制度安全责任制度。4网络安全漏洞检测和系统升级管理制度。5操作权限管理制度。6用户登记制度。一安全事件报告制度信息系统应急方案。9操作系统和数据库管理制度、病毒防护管理制度、网络互联安全管理制度、安全审计管理制度、灾难恢复管理制度等安全管理制度具有统一的格式，并进行版本控制；定期对信息安全管理制度进行审核、修订、安全管理制度是否建立信息网络安全管理

2、制度。人员使用人员技能人员离岗更新、废除过时的管理制度，制定、发布、宣贯新的管理要求1.对单位的新使用人员要签署保密协议1严格规范人员使用过程，对被使用人的身份、背景、专业资格和资质等进行审查，对其所具有的技术技能进行考核终止其在信息系统中的所有访问权限；取回离岗人员的各种身份证件、钥匙、徽章等以及单位提供的软硬件设备。人员管理第三方人员管理要求第三方人员在访问前与公司签署安全责任合同书或保密协议对第三方人员访问重要区域以书面形式批准对并由专人全程许同或监督域记录备案设备、信息等内容进行书面的规定，并按照规定执行应向公安机关按要求进行等级保护备案。1对信息网络安全保护工作有档案记录。信息系统定

3、级情况对各业务部门进行1告知各业务部门定级情况通报针对不同等级信息系统制定等级保护万案1.三级以上系统有专门的保护方案1在系统运行过程中，至少每年对系统进行一次等级测评，发现不符合相应等级保护标准要等级测评求的及时整改；需求变更应有需求变更审核流程，且在需求变更过程中应充分考虑系统安全风险等级保护评估、评测管理办法1制定评估、评测管理办法电源可靠性保障1采用UPS设施，确保停电后系统的供电安全；且UPS定期放电和检测通道安全1.关键系统的通信链路米取双链路方式核心设备冗余关键网络节点设备应有备份措施，确保设备故障后可以及时更换设备系统中心机房应满足国家标准GB50174-1993电子计算机机房

4、设计规范、GB2887-2000电子计算机机场地通用规范、GB93611988计算站场地安全要求的要求环境安全设备应符合国家标准设备应是公安部认可的信息安全产品检查机房是否在场地、防火、防水、防震、电力、布线、配电、温度、湿度、防雷、防静电等方面达至U相应标准要求。新选的设备应符合国家标准数据处理设备的安全、电动办公机器的安全中规定的要求，其电磁辐射强度、可靠性及兼容性应符合现代安全管理等级要求检查设备资料，设备应使用经国家信息安全测评机构和公安部认可的信息安全产品1检查是否安装了身份鉴别系统或实行了机房准入审核及登记管理。设备安全信息系统中心机房应采用有效的身份鉴别系统（例如电子门控系统、I

5、C卡、电视监视系统等）。2检查是否记录出入人员的相关信息。女口：身份、日期、时间等，审核的表格应能充分体现准入人的信息以及工作范围、陪护监控措施等。设备管理软件管理设备台账设备运行维护主机加固配置管理设备验收-需求提出与分析软件的采购、安装与测试软件的试运行与验收软件的登记和保管软件的使用和维护需求变更与升级应建立完整有效的设备台账。台账包括设备型号，上线日期，保质期，设备管理人，设备序歹U号，维修记录等。检查设备巡检记录，设备应每天进行巡检，发现问题及时处理，并记录设备运行日志对厂商交付的主机操作系统、数据库系统等进行了配置安全加固审核、操作系统安全补丁安装情况记录对信息系统的配置参数进行管

6、理、建立系统、设备的配置参数定义文件库（如：所有防火墙的规则配置文件）设备上线运行必须经过验收环节-所有需求申请应由使用部门提出；涉及多个业软件门的正要经过相采业过部符分公讨论理规定；软件供应商提供安装手册和测试报告。安装手册详实可用，测试报告需经过本企业认可软件系统验收报告，验收报告应包括功能测试、性能测试和安全测试应建立软件台账，台账内容符合管理要求有授权范围的软件，在安装使用时需要进行相关记录。系统的权限设置应分级设置，其中系统管理员权限应专人管理。媒体安全应保证重要或涉密媒体安全检查是否根据软盘、硬盘、光盘等介质各自的使用情况、使用寿命及系统的可靠性等级，制定预防性维护、更新计划。介质

7、管理确保介质存放在安全的环境中，对各类介质进行控制和保护，并实行存储环境专人管理应保证媒体数据安全检查是否对软盘、硬盘、光盘等介质中的重要或涉密数据进行销毁。其中涉密数据需根据集团涉密管理要求进行相应销毁。备份与恢复系统的主要设备、软件、数据、电源等应有备份。1、检杳主要服务器、电源是否有备份，重要设备是否采取备份措施。2、检杳主要系统软件、应用软件等是否采取备份措施。3、检查数据信息是否有备份。备份与恢复备份系统应具有在较短时间恢复系统运行的能力。根据系统的性质，检查系统疋否具有在扌曰定时间内恢复系统功能以及重要数据的能力。重要信息系统的数据应具备异地备份0检查重要信息的数据是否进行了异地备

8、份，备份数据的存放应不在同一建筑物内。病毒的检测与清除应米用经公安部批准的查毒杀毒软件01、检查所米用的查、杀毒软件是否获得足够的授权。2、检查所米用的查、杀毒软件和病毒样本库是否是最新版本，服务在有效期内。应适时进行包括服务器和客户端的查毒、杀毒。1、抽杳服务器或客户机是否安装实时杳毒、杀毒软件，验证其是否具有实时功能。2、检查是否对服务器或客户机定期查毒、杀毒。3、检查对染毒次数、杀毒次数、杀毒结果所做的记录。应制定严格的防病毒制度。1、检章制否有包对病毒防治的软章制度用规定、定时查毒的周期时间、控制病毒来源的具体措施等主要条款，对其中某些具体项目进行检查。鉴别次数应规定当不成功鉴别尝试达

9、到规定次数时，系统所要采取的行动。检杳当某用户对系统的鉴别尝试失败次数连续达到三次或五次后，系统是否锁定该用户的账号，并只有安全管理员有权恢复或重建该账号，且将有关信息生成审计事件。鉴别方式根据信息的涉密等级制定不同的身份鉴别方式，其中包括采用口令方式、IC卡技术、一次性口令或生理特征等强身份鉴别。检查系统的操作系统、数据库系统、业务应用系统等是否米用了口令、IC卡技术、一次性口令或生理特征等强身份鉴别。用户在规定时段内没有做任何操作和访问，系统应提供重鉴别机制。验证系统疋否具有此项功冃匕。口令强度根据系统的重要性和涉密等级，确定最短的口令长度。验证操作系统数据库系统、业务应用系统等的口令长度

10、是否符合要求。口令保护应采用组成复杂、不易猜测的口令，一般应是大小写英文字母、数字和特殊字符中两者以上的组合。抽杳若干客户机、数据库和服务器等鉴别口令，检查其是否符合要求。检查日志文件是否记录了对口令文件的任何操作。检查日志文件是否记录了对口令文件的任何操口令保护必须保证口令文件的安全作。必须保证口令存放载体的物理安全。1、抽杳用户是否将口令粘贴在机箱、显示器、键盘等明显的地方。2、检杳输入的口令字是否回显在显示终端上。系统口令更换周期不得长于一周，且1、检杳口令更换记录，或米用多次抽杳方式。应当有口令更换记录。2、检查系统是否有口令有效期的检查功能。访问控制策略应制定明确的访问控制策略检查是

11、否有相应的访问控制策略。访问控制措施局域网与互联网之间是否采用安全设备（防火墙等）进行防护，并实施访问控制。1、检查是否使用了安全设备进行了边界防护。2、检查安全设备访问控制设置是否符合系统访问控制策略。终端接入控制，对IP地址进行统一管理对于局域网终端应有严格的准入审批程序，且能形成IP地址等信息与计算机终端的严格对应关系，确保接入终端的可追溯及不可否认性。互联网访问控制应对能上互联网的终端，根据上网服务最小化的原则，控制上网范围以及开放的服务，设置合理的上网策略应保证访问控制规则设置的安全。1、检查是否从技术上保证只有安全管理员有权设置或修改访问控制规则。2、检查审计日志中是否有对访问控制

12、规则进行操作的记录。1、检查访否利用规系是的网络结构，如广域网安全域划分应根据信息等级和信息重要性划分系统安全域。、局域网、物理子网和逻辑子网等可靠方法，并按信息密级和信息重要性进行系统安全域划分。2、检查安全域划分是否符合系统访问控制策略。3、验证安全域划分是否正确。同一安全域中应根据信息的等级、重要性和授权进行划分。1、检查是否采用VLAN、域、组等方式对同一安全域进行进一步划分。2、检查其是否符合系统访问控制策略。3、验证其划分的正确性。安全域划分处理重要信息的系统，应当能够检测并记录侵权系统的事件和各种违规操作，并及时自动警告。1、检查能否定义异常事件，女口：猜测口令。2、检查是否设定

13、告警条件。3、检查能否及时自动告警且能否足以提醒安全管理员有安全事件发生。4、检查在自动告警时是否定义了告警内容及管理员应采取的措施。审计形式处理重要信息系统可米用独立或综合审计系统。检杳是否将各服务器、安全设备及数据库等的申计信息进行记录，供系统安全管理员申查，记录周期至少三个月以上。审计日志应记录用户每次活动（访问时间、地址、数据、设备等）以及系统出错和配置修改等信息。1、检查申计日志中是否记录申计事件发生的日期和时间、主体身份、事件类型、事件结果（成功或失败）2、检查是否记录以下重要审计事件：鉴别失败、系统配置修改、用户权限修改等。1、检查能否定义异常事件，女口：猜测口令。够检测并记录侵

14、权系统的事件和各种2、检查是否设定告警条件。3、检查能否及时自动告警且能否足以提醒安全管理员有安全事件发生。日志内容处理重要或涉密信息的系统，应当能够检测并记录侵权系统的事件和各种违规操作，并及时自动警告。4、检查在自动告警时是否定义了告警内容及管理员应采取的措施。日志保护应保证审计日志的保密性和完整性。1、检查是否设置了审计日志的访问权限。2、检查是否定期备份审计日志。3、通过审计日志的增、删等方法检查审计系统对审计日志能否提供完整性保护。审计系统应具有存储器将满的告警和保护措施以防止审计数据的丢失。1、检查能否为审计日志设定存储空间大小。2、检杳当审计存储空间将满时，能否自动提醒系统管理员

15、采取措施。应保证审计不被旁路防止漏记审计数据。通过加入案例等方式检查审计功能是否能正确实现。审查日志系统安全管理员应定期审查系统日志。检查安全管理员是否定期查看申计日志，并有相应的记录。审查记录不得更改、删除。1、检查审查记录能否被修改。2、检查审查记录是否能被非授权的删除和丢弃。重要或涉密系统审查周期不得长于一个月。检查相应的审查记录检测工具应米用公安部批准使用的检测工具对系统进行安全性能检测。1、检测是否有能对系统进行安全性能检测的检测工具。2、检查采用的检测工具是否经过国家公安部批准。检测工具版本应及时更新。根据已批准使用的检测工具列表及其最新版本号进行核对检查。检测制度应制定完善的安全

16、性能检测制度，保证检测制度化。1、检查制度中是否规定安全性能检查的周期、范围、方式、参加人员、使用的工具、依据的标准等内容。2、检查安全性能检测是否保存记录。安全管理员应定期对系统进行检查、发现漏洞及时弥补。1、根据检测制度查看检测记录是否符合制度规定，包括检查周期、范围、发现的问题、纠正情况等记录是否全面。2、对检查中发现的问题进行检查，验证改正情况。3、检查产品是否经过认证。应急措施应急培训对系统相关的人员进行应急预案培训，应急预案的培训应至少每年举办一次应急演练定期对应急预案进行演练，根据不同的应急恢复内容，确定演练的周期应急责任所有相关人员应清楚地知道自己在应急响应中的角色和职责应急评

17、估定期对应急预案进行评估和修订风险评估检查备注有信息网络安全管理机构成立的正式文件、会议记录等，建议在信息化工作会议过程中将信息安全管理内容体现。安全组织人员应定期参加上级单位或本企业组织的安全培训。应定期对单位职工进行信息网络安全教育和培训1,评估的重点为培训记录。有严格的管理制度。GB/T20269-2006信息安全技术信息系统安全管理要求有严格的管理制度。有严格的管理制度，将各应用系统的运维及信息安全责任分解到个人。有严格的管理制度。有严格的管理制度。有严格的管理制度。有严格的管理制度。有方案有相关制度有版本控制有计划，有修订痕迹有保密协议有过程记录系统中可抽查，且退回物品有记录有协议有

18、记录有规定有有有有记录有UPS巡检记录。记录有备用设备达到相应机房标准。夏季，机房温度控制在23c土2C,冬季控制在20C土2C；机房湿度控制在45%65%已安装或能查阅审核记录。能记录有台账巡检记录有记录有备份的配置文件及管理记录验收报告查阅需求分析报告查阅相关报告查阅相关报告有软件台账系统中权限设置合理且安全有记录，且合理有计划有台账和借用记录有有备份及备份措施有备份措施有根据系统有的重要程度和涉密程度不同，可酌有符合要求的异地备份。获得是最新版本有实时功能有相应规定记录，抽杳杀毒软件的杳杀记录。如为重要系统，因一个月内至少全盘杳杀一次。有记录有规章制度有相应条款有相应的操作主要针对被评估单位的应用系统。根据信息的保护等级确定不同的身份鉴别。有重新鉴别机制。至少不得少于八位字符。是有记录。不能随意放置口令。不回显。按要求更换。有此功能有访问控制策略应进行边界防护符