信息系統(tǒng)安全定期分析記錄表

1、烏拉特中旗人民醫(yī)院信息系統(tǒng)安全定期分析記錄表文稿歸稿存檔編號"KKUY-KKIO69-OTM243-OLUI129.G00I-FDQS58-信息系統(tǒng)安全定期分析記錄表（安全技術措施）分析時間分析人 員類別檢查 項目安全標準否合全準 是符安標備 注度控 制溫、濕度的變化在設備運行所允許的范圍之 內。電力 供應應在機房供電線路上配置穩(wěn)壓器和過電壓防 護設備應提供短期的備用電力供應，至少滿足關鍵 設備在斷電情況下的正常運行要求電磁 防護電源線和通信線纜應隔離鋪設，避免互相干 擾網絡安 全構全 結安應保證關鍵網絡設備的業(yè)務處理能力具備冗 余空間，滿足業(yè)務高峰期需要應保證接入網絡和核心網絡的帶

2、寬滿足業(yè)務 高峰期需要；應繪制與當前運行情況相符的網絡拓撲結構 圖；應根據(jù)各部門的工作職能、重要性和所涉及 信息的重要程度等因素，劃分不同的子網或 網段，并按照方便管理和控制的原則為各子 網、網段分配地址段。訪問 控制應在網絡邊界部署訪問控制設備，啟用訪問 控制功能應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的 允許/拒絕訪問的能力，控制粒度為網段級。應按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定 允許或拒絕用戶對受控系統(tǒng)進行資源訪問， 控制粒度為單個用戶應限制具有撥號訪問權限的用戶數(shù)量安全 市計應對網絡系統(tǒng)中的網絡設備運行狀況、網絡 流量、用戶行為等進行日志記錄信息系統(tǒng)安全定期分析記錄表（安全技術措施）分析

3、時間分析人 員類別檢查 項目安全標準否合全準 是符安標備 注審計記錄應包括事件的日期和時間、用戶、 事件類型、事件是否成功及其他與審計相關 的信息。邊界 完整 性檢 查應能夠對內部網絡中出現(xiàn)的內部用戶未通過 準許私自聯(lián)到外部網絡的行為進行檢查。入侵 防范應在網絡邊界處監(jiān)視以下攻擊行為：端口掃 描、強力攻擊、木馬后門攻擊、拒絕服務攻 擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網絡蠕 蟲攻擊等網絡 設備 防護應對登錄網絡設備的用戶進行身份鑒別；當對網絡設備進行遠程管理時，應采取必要 措施防止鑒別信息在網絡傳輸過程中被竊 聽。身份鑒別信息應具有不易被冒用的特點，口 令應有復雜度要求并定期更換；應對網絡設備的

4、管理員登錄地址進行限制網絡設備用戶的標識應唯；應具有登錄失敗處理功能，可采取結束會 話、限制非法登錄次數(shù)和當網絡登錄連接超 時自動退出等措施：主機安 全身份 鑒別應對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行 身份標識和鑒別操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標識應 具有不易被冒用的特點，口令應有復雜度要 求并定期更換信息系統(tǒng)安全定期分析記錄表（安全技術措施）分析時間分析人 員類別檢查 項目安全標準否合全準 是符安標備 注應啟用登錄失敗處理功能，可采取結束會 話、限制非法登錄次數(shù)和自動退出等措施；當對服務器進行遠程管理時，應采取必要措 施，防止鑒別信息在網絡傳輸過程中被竊 聽；應為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不

5、同用戶分配 不同的用戶名，確保用戶名具有唯一性。訪問 控制應啟用訪問控制功能，依據(jù)安全策略控制用 戶對資源的訪問；應及時刪除多余的、過期的帳戶，避免共享 帳戶的存在應限制默認帳戶的訪問權限，重命名系統(tǒng)默 認帳戶，修改這些帳戶的應實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權用戶的權 限分離安全 審計審計范圍應覆蓋到服務器上的每個操作系統(tǒng) 用戶和數(shù)據(jù)庫用戶審計內容應包括重要用戶行為、系統(tǒng)資源的 異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內重 要的安全相關事件；審計記錄應包括事件的口期、時間、類型、 主體標識、客體標識和結果等；應保護審計記錄，避免受到未預期的刪除、 修改或覆蓋等入侵 防范操作系統(tǒng)應遵循最小安裝的原則，僅安

6、裝需 要的組件和應用程序，并通過設置升級服務信息系統(tǒng)安全定期分析記錄表（安全技術措施）分析時間分析人 員類別檢查 項目安全標準否合全準 是符安標備 注器等方式保持系統(tǒng)補丁及時得到更新。惡意 代碼 防范應安裝防惡意代碼軟件，并及時更新防惡意 代碼軟件版本和惡意代碼庫；應支持防惡意代碼軟件的統(tǒng)管理資源 控制應通過設定終端接入方式、網絡地址范圍等 條件限制終端登錄；應根據(jù)安全策略設置登錄終端的操作超時鎖 定應限制單個用戶對系統(tǒng)資源的最大或最小使 用限度應用安 全份別 身鑒應提供登錄失敗處理功能，可采取結束會 話、限制非法登錄次數(shù)和自動退出等措施；應啟用身份鑒別、用戶身份標識唯一性檢 查、用戶身份鑒別

7、信息復雜度檢查以及登錄 失敗處理功能，并根據(jù)安全策略配置相關參 數(shù)。應提供專用的登錄控制模塊對登錄用戶進行 身份標識和鑒別應提供用戶身份標識唯一和鑒別信息復雜度 檢查功能，保證應用系統(tǒng)中不存在重復用戶 身份標識，身份鑒別信息不易被冒用；訪問 控制應提供訪問控制功能，依據(jù)安全策略控制用 戶對文件、數(shù)據(jù)庫表等客體的訪問應授予不同帳戶為完成各自承擔任務所需的 最小權限，并在它們之間形成相互制約的關 系。應由授權主體配置訪問控制策略，并嚴格限信息系統(tǒng)安全定期分析記錄表（安全技術措施）分析時間分析人 員類別檢查 項目安全標準否合全準 是符安標備 注制默認帳戶的訪問權限訪問控制的覆蓋范圍應包括與資源訪問相

8、關 的主體、客體及它們之間的操作安全 審計應提供覆蓋到每個用戶的安全審計功能，對 應用系統(tǒng)重要安全事件進行審計應保證無法刪除、修改或覆蓋審計記錄審計記錄的內容至少應包括事件日期、時 間、發(fā)起者信息、類型、描述和結果等信整 通完性應采用校驗碼技術保證通信過程中數(shù)據(jù)的完 整性信密 通保性在通信雙方建立連接之前，應用系統(tǒng)應利用 密碼技術進行會話初始化驗證應對通信過程中的敏感信息字段進行加密件錯 軟容應提供數(shù)據(jù)有效性檢驗功能，保證通過人機 接口輸入或通過通信接口輸入的數(shù)據(jù)格式或 長度符合系統(tǒng)設定要求在故障發(fā)生時，應用系統(tǒng)應能夠繼續(xù)提供 部分功能，確保能夠實施必要的措資源 控制當應用系統(tǒng)的通信雙方中的一方在一段時間 內未作任何響應，另一方應能夠自動結束會 話；應能夠對單個帳戶的多重并發(fā)會話進行限制應能夠對應用系統(tǒng)的最大并發(fā)會話連接數(shù)進 行限制安備復 據(jù)及恢 數(shù)缸份據(jù)整 數(shù)完性應能夠檢測到鑒別信息和重要業(yè)務數(shù)據(jù)在傳 輸過程中完整性受到破壞信息系統(tǒng)安全定期分