《学校网络与信息安全巡查表》由会员分享,可在线阅读,更多相关《学校网络与信息安全巡查表(5页珍藏版)》请在金锄头文库上搜索。
1、单位 :类别检测项目网络架构安全网络使用的各种硬件设备、软件等网广域网建设情况络安网络承建单位情况全基网络内部数据信息础设施建设机房环境安全网络与信息安全巡查表检查时间:检查内容检查要求检查结果网络结构设计、网络划分网络结构设计、网络划分符合相关要求是否有不经过防火墙的外联链外网与内网的连接链路(包括拨号外联)必须路(包括拨号外联)经过防火墙网络拓扑结构图提供当前网络的网络拓扑结构图网络分区管理生产控制大区和管理信息大区之间是否按电监会 5 号令要求部署了专用隔离装置各种硬件设备、软件和网络接口是各种硬件设备、软件和网络接口均经过安全检验、否经过安全检验、鉴定、认证。鉴定、认证。广域网是否按集
2、团规定进行建广域网按集团规定进行建设、并按规定进行连设、并按规定进行连接接网络承建单位是否具有相关资网络承建单位具有相关资质(查看相关资质文质件)网络内部数据信息的产生、使网络内部数据信息的产生、使用、存储和维护用、存储和维护是否安全、 合理安全、合理等主机房是否安装了门禁、 监控与主机房安装了门禁、监控与报警系统报警系统是否有详细的机房配线图有详细的机房配线图机房供电系统是否将动力、照明机房供电系统已将动力、照明用电与计算机系用电与计算机系统供电线路分统供电线路分开开机房是否配备应急照明装置机房有配备应急照明装置类别网络安全基础设施建设检测项目机房环境安全检查内容检查要求检查结果是否定期对U
3、PS 的运行状况进定期对 UPS的运行状况进行检测(查看半年内行检测检测记录)是否安装机房自动灭火系统,是安装机房自动灭火系统,配备机房专用灭火器,否配备机房专用灭火器,是否定定期对灭火装置进行检测期对灭火装置进行检测机房有防雷措施, 机房设备接地电阻满足要求,接地线牢固可靠(直流工作接地 1 欧,接是否有防雷措施, 机房设备接地地地位差 1V;交流工作交流工作接地系统电阻是否满足要求, 接地线是否接地电阻: 4、零地电压 1V;计算机牢固可靠系统安全保护接地电阻及静电接地电阻:4)机房温度是否控制在摄氏18-25机房温度控制在摄氏18-25 度以内度以内安全技术防范核心网络设备、 系统安全配
4、置应用安全配置交换机、路由器、 防火墙等网络设备的 安全设置情况;操作系统的安全配置、 版本及补丁升级情况网络设备配置是否进行了备份(电子、物理介质)应用安全配置、身份鉴别策略WWW服务用户账户、口令是否强健信息发布是否进行了分级审核交换机、路由器、防火墙等均根据安全要求进行了正确设置;操作系统的安全配置、版本及补丁升级情况。网络设备配置进行了备份(电子、物理介质)相关服务进行正确的安全配置、身份鉴别情况WWW服务用户账户、口令强健(查看登录)信息发布进行了分级审核(查看审核记录)类别检测项目措施应用安全配置网络与互联网安全隔离网络与广域网安全安隔离网络与二次网安全全隔离技术IP 管理防范措施
5、数据备份与恢复检查内容检查要求检查结果用于业务系统维护的远程拨号用于业务系统维护的远程拨号访问采取了身份访问是否采取了身份验证、 访问验证、访问操作记录等措施。操作记录等措施。用户账户的变更、 修改、注销是用户账户的变更、修改、注销有记录(查看半否有记录年记录情况)关键应用系统管理员账户、 用户关键应用系统管理员账户、用户账户口令定期账户口令是否定期进行了变更进行了变更关键区域或设备是否关闭了关键区域或设备关闭了HTTP、 FTP、 TFTP 等服HTTP、FTP、TFTP等服务务是否删除多余默认账号和无关服删除多余默认账号和无关服务务逻辑隔离、物理隔离技术是否安逻辑隔离、物理隔离技术安全、合
6、理全、合理逻辑隔离、物理隔离技术是否安逻辑隔离、物理隔离技术安全、合理全、合理逻辑隔离、物理隔离技术是否安逻辑隔离、物理隔离技术安全、合理全、合理是否能对本单位全部 IP 地址进能对本单位全部 IP 地址进行授权管理, 作到接行授权管理,作到接入可控。入可控是否有 IP 地址分配记录有 IP 地址分配记录是否建立了明确、 合理的备份策建立了明确、合理的备份策略;严格按照备份略;是否严格按照备份策略对系策略对系统数据进行备份 (查看备份策略文件、统数据进行备份查看备份记录,或查看备份工具配置)是否建立了明确的数据恢复预建立了明确的数据恢复预案(查看文件)案是否定期进行数据恢复演练定期进行数据恢复
7、演练(查看半年演练记录)储存介质是否存放在安全环境储存介质存放在安全的地方类别检测项目检查内容检查要求检查结果安全技术防范措施补丁管理防病毒管理防火墙 管理入侵检测管理是否有严格的介质存取控制,是否有专人对存储介质进行定期有严格的介质存取控制,有专人对存储介质进行定期检查检查是否有补丁管理的手段, 或管理制度有补丁管理的手段,或管理制度是否有使用通过公安部及有关测有使用通过公安部及有关测评机构认证的防病毒评机构认证的防病毒系统系统是否有对病毒库及时升级,定期定期对全网进行病毒查杀,有对病毒库及时升级对全网进行病毒查杀(最新病毒库)所有服务器和客户端是否都安所有服务器和客户端都安装防病毒软件装防
8、病毒软件是否有专责人员负责维护防病有专责人员负责维护防病毒系统,并及时发布毒系统,并及时发布病毒通告病毒通告网络中的防火墙部署位置是否网络中的防火墙部署位置合理合理防火墙墙规则配置是否符合安防火墙墙规则配置符合安全要求全要求防火墙规则配置的建立、更改是防火墙规则配置的建立、更改有规范的申请、否有规范的申请、 审核、审批流审核、审批流程(查看半年内的记录)程是否对防火墙日志进行了存储、对防火墙日志进行了存储、备份备份检查入侵检测系统部署是否合入侵检测系统部署合理、能覆盖主要网络边界理、能否覆盖主要网络边界与主与主要服务器要服务器是否定期更新入侵检测的规则定期更新入侵检测的规则与升级与升级检查项目
9、检查内容检查要求检查记录检查结果1、有信息安全管理的组织领导机构,具1、单位的信息安全组织领导情况有明确的职责划分;及职责划分情况;2、制定保密制度,与相关人员签订保密2、保密制度;协议;3、信息安全教育与培训计划。3、不定期对相关人员进行信息安全知识培训及保密教育。安全组织管安全组织管理制度1、 制定相关的信息安全规章制度;2、 建立信息安全事故和信息安全故障的1、 信息安全规章制度;应急预案;2、 信息安全应急制度;3、 对已发生的网络安全事件进行记录;3、 网络安全事件记录情况;4、 若发生安全事件则有相应的系统安全信息安全事件管理规程。分析、软件故障报告的程序、安全事故报告、安全事故处理报告等。信息安全责任人、管理员是否定理信息安全责任人、 管理员定期参加有关单期参加有关单位的信息安全培对本单位全体人员进信息安全培训情况位的信息安全培训。训。对本单位全体人员是否进行行了信息安全培训(提供培训计划、培训了信息安全培训(提供培训计划、内容、培训成绩、人员)培训内容、培训成绩、人员)是否按照集团公司、 省公司的要按照集团公司、省公司的要求建立了及信息安全通报机制求建立了及时的信息安全信息时的信息安全信息通报机制通报机制
