网络安全检查表格 - 图文

评估指标 评价要素 评价标准 权重指标 （V） 属性 3 量化方法（P为量化值） 符合，P = 1； 评估得分 （V×P） 网络边界部署访问控制设备，能够阻断非访问控制 授权访问。 网络边界部署入侵检测设备，定期更新检测规则库。 网络边界部署安全审计设备，对网络访问情况进行定期分析审计并记录审计情况。 定性 有设备，但未配置策略，P = 0.5； 无设备，P = 0。 符合，P = 1； 网络边界 安全 入侵检测 2 定性 有设备，但未定期更新，P = 0.5； 无设备，P = 0。 符合，P = 1； 安全审计 2 定性 有设备，但未定期分析，P = 0.5； 无设备，P = 0。 符合，P = 1； 不符合，P = 0。 符合，P = 1； 互联网接入各单位同一办公区域内互联网接入口不超口数量 过2个。 2 定性 恶意代码防部署防病毒网关或统一安装防病毒软件，设备安全 护 并定期更新恶意代码库。 2 定性 有设备，但未定期更新，P = 0.5； 无设备，P = 0。 扫描周期小于1个月，P = 1； 扫描周期为2到3个月，P = 0.5； 扫描周期为4到6个月，P = 0.2； 其他，P = 0。 信息 安全 防护 管理 设备安全 设备漏洞扫定期对服务器、网络设备、安全设备等进描 服务器 行安全漏洞扫描。 2 定性 配置口令策略保证服务器口令强度和更新口令策略 频率。 1 定量 P = 配置了口令策略的服务器比率。 —11—

评估指标 评价要素 服务器 安全审计 服务器 评价标准 启用安全审计功能并进行定期分析。 权重指标 （V） 属性 1 2 定量 定量 量化方法（P为量化值） P = 对安全审计日志进行定期分析的服务器比率。 P = 补丁得到及时更新的服务器比率。 P = 网络设备和安全设备（指重要设备）中配置了口令策略的比率。 符合，P = 1； 不符合，P = 0。 符合，P = 1； 不符合，P = 0。 扫描周期小于1个月，P = 1； 评估得分 （V×P） 及时对服务器操作系统补丁和数据库管理补丁更新 系统补丁进行更新。 网络设备和配置口令策略保证网络设备和安全设备口安全设备口令强度和更新频率。 令策略 终端计算机 采取集中统一管理方式对终端进行防护，统一防护 统一软件下发、安装系统补丁。 终端计算机 接入控制 采取技术措施（如部署集中管理系统、将IP地址与MAC地址绑定等）对接入本单位网络的终端计算机进行控制。 1 定量 2 定性 1 定性 应用系统安定期对服务器、网络设备、安全设备等进应用系统 全漏洞扫描 行安全漏洞扫描。 安全 门户网站防 篡改措施 信息 安全 应用系统 安全 门户网站抗拒绝服务攻门户网站采取抗拒绝服务攻击措施。 击措施 门户网站采取网页防篡改措施。 2 定性 扫描周期为2到3个月，P = 0.5； 扫描周期为4到6个月，P = 0.2； 其他，P = 0。 符合，P = 1； 不符合，P = 0。 符合，P = 1； 不符合，P = 0。 2 定性 1 定性 —12—

评估指标 防护 管理 评价要素 评价标准 权重指标 （V） 属性 1 1 1 2 2 2 1 定性 定性 量化方法（P为量化值） 符合，P = 1； 不符合，P = 0。 符合，P = 1； 不符合，P = 0。 符合，P = 1； 不符合，P = 0。 符合，P = 1； 不符合，P = 0。 评估得分 （V×P） 电子邮件账建立邮件账号开通审批程序，防止邮件账号注册审批 号任意注册使用。 电子邮箱账配置口令策略保证电子邮箱口令强度和更户口令策略 新频率。 邮件清理 定期清理工作邮件。 数据存储保采取技术措施（如加密、分区存储等）对护 存储的重要数据进行保护。 数据传输保采取技术措施对传输的重要数据进行加密护 和校验。 数据和系统采取技术措施对重要数据和系统进行定期备份 备份。 数据中心、灾数据中心、灾备中心应设立在境内。 备中心设立 制定网络安全事件应急预案（为部门级预应急预案 案，非单个信息系统的安全应急预案），并使相关人员熟悉应急预案。 定性 符合，P = 1；不符合，P = 0。 定性 定性 数据安全 定性 符合，P = 1；不符合，P = 0。 定性 符合，P = 1； 不符合，P = 0。 符合，P = 1； 不符合，P = 0。 符合，P = 1； 不符合，P = 0。 符合，P = 1； 不符合，P = 0。 2 定性 网络安全应急管理 应急演练 应急资源 开展应急演练，并留存演练计划、方案、记录、总结等文档。 2 定性 定性 指定应急技术支援队伍，配备必要的备机、1 备件等应急物资。 —13—

评估指标 评价要素 评价标准 发生网络安全事件后，及时向主管领导报权重指标 （V） 属性 2 量化方法（P为量化值） 评估得分 （V×P） 网络安全应急管理 事件处置 告，按照预案开展处置工作；重大事件及时通报网络安全主管部门。 面向全体人员开展网络安全形势与警示教育、基本技能培训等活动。 定期开展网络安全管理人员和技术人员专业培训。 下发检查工作相关文件或者组织召开专题会议，对年度检查工作进行部署。 发生过事件并按要求处置，或者未发定性 生过安全事件，P = 1； 发生过事件但未按要求处置，P = 0。 本年度开展活动的次数≥3，P = 1； 次数=2，P = 0.7； 次数=1，P = 0.3； 次数=0，P = 0。 P = 本年度网络安全管理和技术人员中参加专业培训的比率。 符合，P = 1； 不符合，P = 0。 符合，P = 1； 不符合，P = 0。 符合，P = 1； 不符合，P = 0。 意识教育 网络安全教育培训 专业培训 工作部署 3 定量 3 2 2 2 2 定量 定性 定性 定性 网络安全检查 明确检查工作负责人、检查机构和检查人工作机制 员。 技术检测 使用技术手段进行安全检测。 检查经费 安排并落实检查工作经费。 评估得分合计 定性 符合，P = 1；不符合，P = 0。 —14—

附件3

重点行业网络安全检查结果统计表

一、行业基本情况 行业名称： ①名称：___________________ ②负责人：_____________ 职务：________________ 行业网络安全管理机构 ③联系人：_____________ 办公电话：________________ 移动电话：________________ 二、行业网络安全管理情况 本年度开展的网络安全培训次数：___________________ 培训情况 培训人数：___________________ ①行业网络安全应急预案：□已建立 □本年度进行过修订 应急工作情况 □未修订 □未建立 ②本年度开展行业网络安全应急演练次数： 本年度开展面向全行业的网络安全技术检测次数： 技术检测情况 其中，按照检测结果进行整改的系统比例： 行业网络安全通报机制：□已建立 □未建立 ①规划制定情况（单选）： □制定了部门的网络安全规划 规划和标准化工作情况 □在部门总体发展规划中涵盖了网络安全规划 □无 ②行业标准化情况（单选）： 网络安全通报机制建设 —15—