2012年度通信網(wǎng)絡(luò)安全防護(hù)符合性評(píng)測(cè)表范文

1、2012年度通信網(wǎng)絡(luò)安全防護(hù)符合性評(píng)測(cè)表藍(lán)字部分不用回答1關(guān)鍵網(wǎng)絡(luò)設(shè)備是否具備冗余的業(yè)務(wù)處理能力，滿足業(yè)務(wù)高峰期需要？（第2級(jí)以及以上適 用）A是B否C不適用分析建議A2接入網(wǎng)和核心網(wǎng)的帶寬是否滿足業(yè)務(wù)高峰期需要？（第2級(jí)以及以上適用）A是B否C不適用分析建議A3是否能夠提供與當(dāng)前網(wǎng)絡(luò)運(yùn)行狀況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖？（第2級(jí)以及以上適用）A是B否C不適用分析建議4是否根據(jù)安全和管理需要?jiǎng)澐至俗泳W(wǎng)？（第2級(jí)以及以上適用）A是B否C不適用分析建議5是否在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，并啟用邊界訪問控制功能？（第2級(jí)以及以上適用）A是B否C不適用分析建議A6邊界訪問控制措施是否可以按照網(wǎng)段實(shí)施訪問控制？（

2、第2級(jí)以及以上適用）A是B否C不適用分析建議7邊界訪問控制措施是否可以按照用戶實(shí)施訪問控制？（第2級(jí)以及以上適用） A是B否C不適用分析建議8是否對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄？（第2 級(jí)以及以上適用）A是B否C不適用分析建議A9是否有審計(jì)記錄（包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審 計(jì)相關(guān)的信息）？（第2級(jí)以及以上適用）A是B否C不適用分析建議A10能夠?qū)?nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查？（第2級(jí)以及以上適用）A是B否C不適用分析建議A11是否在網(wǎng)絡(luò)邊界監(jiān)視類攻擊行為？（第2級(jí)以及以上適用）A是B否C不適

3、用分析建議A12是否對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份認(rèn)證？（第2級(jí)以及以上適用）A是B否C不適用分析建議13是否對(duì)網(wǎng)絡(luò)設(shè)備的登錄地址進(jìn)行限制？（第2級(jí)以及以上適用）A是B否C不適用分析建議14網(wǎng)絡(luò)設(shè)備用戶標(biāo)識(shí)是否唯一？（第2級(jí)以及以上適用）A是B否C不適用分析建議15網(wǎng)絡(luò)設(shè)備用戶的口令是否具有復(fù)雜度要求？（第2級(jí)以及以上適用）A是B否C不適用分析建議16網(wǎng)絡(luò)設(shè)備用戶的口令是否有定期更換的要求？（第2級(jí)以及以上適用）A是B否C不適用分析建議17網(wǎng)絡(luò)設(shè)備是否具有登錄失敗處理功能（可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登 錄連接超時(shí)自動(dòng)退出等措施）？（第2級(jí)以及以上適用）A是B否C不適用分析建議18當(dāng)

4、對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，是否有防竊聽的措施？（第2級(jí)以及以上適用）A是B否C不適用分析建議19對(duì)操作系統(tǒng)用戶的密碼復(fù)雜度是否有要求？（第2級(jí)以及以上適用）A是B否C不適用分析建議20對(duì)數(shù)據(jù)庫(kù)系統(tǒng)用戶的密碼復(fù)雜度是否有要求？（第2級(jí)以及以上適用）A是B否C不適用分析建議21對(duì)操作系統(tǒng)用戶的密碼是否要求定期更換？（第2級(jí)以及以上適用）A是B否C不適用分析建議22對(duì)數(shù)據(jù)系統(tǒng)用戶的密碼是否要求定期更換？（第2級(jí)以及以上適用）A是B否C不適用分析建議23是否啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施?（第2級(jí)以及以上適用A是B否C不適用分析建議24當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，

5、是否采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊 聽？（第2級(jí)以及以上適用）A是B否C不適用分析建議25操作系統(tǒng)的用戶名具有唯一性？（第2級(jí)以及以上適用）A是B否C不適用分析建議26數(shù)據(jù)庫(kù)系統(tǒng)的用戶名具有唯一性？（第2級(jí)以及以上適用）A是B否C不適用分析建議27是否（在有需要的情況下）根據(jù)對(duì)用戶的訪問權(quán)限進(jìn)行分組（第2級(jí)以及以上適用）A是B否C不適用分析建議28是否實(shí)現(xiàn)操作系統(tǒng)特權(quán)用戶權(quán)限分離？（第2級(jí)以及以上適用）A是B否C不適用分析建議29是否實(shí)現(xiàn)數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶權(quán)限分離？（第2級(jí)以及以上適用）A是B否C不適用分析建議30是否限制默認(rèn)帳戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默

6、認(rèn)口令？（第2級(jí)以及以上適用）A是B否C不適用分析建議31是否及時(shí)刪除多余的、過期的帳戶，避免共享帳戶的存在？（第2級(jí)以及以上適用）A是B否C不適用分析建議32審計(jì)范圍是否覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶？（第2級(jí)以及以上適 用）A是B否C不適用分析建議33審計(jì)內(nèi)容是否包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件？（第2級(jí)以及以上適用）A是B否C不適用分析建議34審計(jì)記錄是否包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等？（第2級(jí) 以及以上適用）A是B否C不適用分析建議35能否保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋？（第2級(jí)以及

7、以上適用）A是B否C不適用分析建議36操作系統(tǒng)是否遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序？（第2級(jí)以及以上 適用）A是B否C不適用分析建議37是否能保持系統(tǒng)補(bǔ)丁及時(shí)得到更新？（第2級(jí)以及以上適用）A是B否C不適用分析建議38是否有防惡意代碼（病毒、木馬等）的相關(guān)管理制度？（第2級(jí)以及以上適用A是B否C不適用分析建議39 Windows操作系統(tǒng)是否安裝了防病毒和防木馬軟件？（第2級(jí)以及以上適用）A是B否C不適用分析建議40是否能夠及時(shí)更新惡意代碼庫(kù)？（第2級(jí)以及以上適用）A是B否C不適用分析建議41是否對(duì)網(wǎng)內(nèi)的所有防惡意代碼軟件進(jìn)行統(tǒng)一管理？（第2級(jí)以及以上適用）A是B否C不適用分析建議

8、42是否對(duì)登錄主機(jī)方式有限制措施？（如限定終端接入方式、網(wǎng)絡(luò)地址范圍等）（第2級(jí) 以及以上適用）A是B否C不適用分析建議43是否對(duì)登錄操作超時(shí)作出限制？（超時(shí)鎖定或自動(dòng)退出）（第2級(jí)以及以上適用）A是B否C不適用分析建議44是否限制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使用限度，查看配置數(shù)據(jù)？（第2級(jí)以及以上適用）A是B否C不適用分析建議45是否對(duì)應(yīng)用程序登錄進(jìn)行身份認(rèn)證？（第2級(jí)以及以上適用）A是B否C不適用分析建議46對(duì)應(yīng)用程序用戶的密碼復(fù)雜度是否有要求？（第2級(jí)以及以上適用）A是B否C不適用分析建議47是否提供登錄失敗處理功能？（可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施）（第2級(jí)以及以上

9、適用）A是B否C不適用分析建議48對(duì)身份認(rèn)證的管理過程是否有相關(guān)安全策略進(jìn)行配置？（第2級(jí)以及以上適用）A是B否C不適用分析建議49應(yīng)用程序是否根據(jù)用戶權(quán)限對(duì)用戶進(jìn)行分組，不同的用戶組具備不同的資源訪問權(quán)限?（第2級(jí)以及以上適用）A是B否C不適用分析建議50是否根據(jù)資源訪問的主體、客體及操作進(jìn)行訪問控制授權(quán)？（第2級(jí)以及以上適用）A是B否C不適用分析建議51是否限定默認(rèn)賬戶的訪問權(quán)限？（第2級(jí)以及以上適用）A是B否C不適用分析建議52是否授予每個(gè)賬戶最小權(quán)限，并有制約關(guān)系？（第2級(jí)以及以上適用）A是B否C不適用分析建議53應(yīng)用審計(jì)是否覆蓋到每個(gè)用戶？（第2級(jí)以及以上適用）A是B否C不適用分析建

10、議54是否對(duì)應(yīng)用程序重要安全事件進(jìn)行審計(jì)？（第2級(jí)以及以上適用）A是B否C不適用分析建議55是否能夠保證無法刪除、修改或覆蓋審計(jì)記錄？（第2級(jí)以及以上適用）A是B否C不適用分析建議56審計(jì)記錄的內(nèi)容是否至少包括事件日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等？（第2級(jí)以及以上適用）A是B否C不適用分析建議57是否采用校驗(yàn)碼技術(shù)保證通信過程中數(shù)據(jù)的完整性？（第2級(jí)以及以上適用）A是B否C不適用分析建議58在通信雙方建立連接之前，應(yīng)用系統(tǒng)是否利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證？（第2級(jí) 以及以上適用）A是B否C不適用分析建議59是否對(duì)通信過程中的敏感信息字段進(jìn)行加密？（第2級(jí)以及以上適用）A是B否C不適

11、用分析建議60是否能夠保證通過人機(jī)接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定 要求？（第2級(jí)以及以上適用）A是B否C不適用分析建議61當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方是否能夠自動(dòng)結(jié)束會(huì)話？（第2級(jí)以及以上適用）A是B否C不適用分析建議62是否能夠?qū)?yīng)用系統(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制？（第2級(jí)以及以上適用）A是B否C不適用分析建議63是否能夠?qū)蝹€(gè)帳戶的多重并發(fā)會(huì)話進(jìn)行限制？（第2級(jí)以及以上適用）A是B否C不適用分析建議64是否能夠檢測(cè)到鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞？（第2級(jí)以及 以上適用）A是B否C不適用分析建議65是否采用加密或其

12、他保護(hù)措施實(shí)現(xiàn)鑒別信息的存儲(chǔ)保密性？（第2級(jí)以及以上適用）A是B否C不適用分析建議66是否能夠?qū)χ匾畔⑦M(jìn)行備份和恢復(fù)？（第2級(jí)以及以上適用）A是B否C不適用分析建議67是否能夠提供關(guān)鍵網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的可用 性？（第2級(jí)以及以上適用）A是B否C不適用分析建議68支撐網(wǎng)重要服務(wù)器是否采用本地雙機(jī)備份方式進(jìn)行容災(zāi)保護(hù)？（第2級(jí)以及以上適用）A是B否C不適用分析建議69支撐網(wǎng)重要部件是否采用本地雙機(jī)備份方式進(jìn)行容災(zāi)保護(hù)？（第2級(jí)以及以上適用）A是B否C不適用分析建議70支撐網(wǎng)重要數(shù)據(jù)庫(kù)是否采用本地雙機(jī)備份方式進(jìn)行容災(zāi)保護(hù)？（第2級(jí)以及以上適用）A是B否C不適用分

13、析建議71網(wǎng)絡(luò)災(zāi)難恢復(fù)時(shí)間是否滿足行業(yè)管理的相關(guān)要求？（第2級(jí)以及以上適用）A是B否C不適用分析建議72網(wǎng)絡(luò)災(zāi)難恢復(fù)時(shí)間是否滿足網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商應(yīng)急預(yù)案的相關(guān)要求？（第2級(jí)以及以上 適用）A是B否C不適用分析建議73是否有網(wǎng)管系統(tǒng)配置數(shù)據(jù)的本地備份？（第2級(jí)以及以上適用）A是B否C不適用分析建議74是否有業(yè)務(wù)支撐系統(tǒng)用戶數(shù)據(jù)的本地備份？（第2級(jí)以及以上適用）A是B否C不適用分析建議75是否有費(fèi)率表的本地備份？（第2級(jí)以及以上適用）A是B否C不適用分析建議76關(guān)鍵數(shù)據(jù)的本地備份范圍是否與企業(yè)要求一致？（第2級(jí)以及以上適用）A是B否C不適用分析建議77關(guān)鍵數(shù)據(jù)的本地備份時(shí)間間隔是否與企業(yè)要求一致？

14、（第2級(jí)以及以上適用）A是B否C不適用分析建議78備份在本地的關(guān)鍵數(shù)據(jù)的數(shù)據(jù)恢復(fù)能力是否與企業(yè)要求一致？（第2級(jí)以及以上適用）A是B否C不適用分析建議79是否有負(fù)責(zé)災(zāi)難備份及恢復(fù)的管理人員？（第2級(jí)以及以上適用）A是B否C不適用分析建議80是否有負(fù)責(zé)災(zāi)難備份及恢復(fù)的技術(shù)人員？（第2級(jí)以及以上適用）A是B否C不適用分析建議81負(fù)責(zé)災(zāi)難備份及恢復(fù)的管理人員的專業(yè)技能是否能夠滿足要求，即熟練對(duì)災(zāi)難備份及恢 復(fù)事件進(jìn)行有效管理？（第2級(jí)以及以上適用）A是B否C不適用分析建議82是否有針對(duì)災(zāi)難備份及恢復(fù)的介質(zhì)存取管理制度？（第2級(jí)以及以上適用）A是B否C不適用分析建議83是否有針對(duì)災(zāi)難備份及恢復(fù)的數(shù)據(jù)驗(yàn)證管理制度？（第2級(jí)以及以上適用）A是B否C不適用分析建議84是否有針對(duì)災(zāi)難備份及恢復(fù)的數(shù)據(jù)轉(zhuǎn)儲(chǔ)管理制度？（第2級(jí)以及以上適用）A是B否C不適用分析建議85是否能確保備份數(shù)據(jù)的授權(quán)訪問？（第2級(jí)以及以上適用）A是B否C不適用分析建議86是否對(duì)災(zāi)難備份及恢復(fù)相關(guān)數(shù)據(jù)進(jìn)行定期的有效性驗(yàn)證？（第2級(jí)以及以上適用）A是B否C不適用分析建議87是否有針對(duì)災(zāi)難備份及恢復(fù)的設(shè)備和網(wǎng)絡(luò)的運(yùn)行管理制度？（第2級(jí)以及以上適用）