信息安全评测表.docx

信息安全评测表.docx

《信息安全评测表.docx》由会员分享，可在线阅读，更多相关《信息安全评测表.docx（165页珍藏版）》请在冰豆网上搜索。

信息安全评测表

1.附录1：

测评表

1.1物理安全

序号

类别

测评内容

测评方法示例

结果记录

满分

实际得分

1

物理位置的选择

机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；

应访谈物理安全负责人，询问现有机房和放置终端计算机设备的办公场地的环境条件是否能够满足信息系统业务需求和安全管理需求，是否具有基本的防震、防风和防雨等能力；询问机房场地是否符合选址要求；应检查机房和办公场地是否在具有防震、防风和防雨等能力的建筑内。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

2

物理访问控制

机房出入口应安排专人值守或配置电子门禁系统，控制、鉴别和记录进入的人员；

1.应访谈物理安全负责人，了解具有哪些控制机房进出的能力；

2.应访谈机房值守人员，询问是否认真执行有关机房出入的管理制度，是否对进入机房的人员记录在案；

3.应检查机房安全管理制度，查看是否有关于机房出入方面的规定；

4.应检查机房出入口是否有专人值守，是否有值守记录，以及进出机房的人员登记记录；检查机房是否不存在专人值守之外的出入口；

5.应检查机房，是否有进入机房的人员身份鉴别措施，如戴有可见的身份辨识标识。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

3

a）需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围；

1.应检查是否有来访人员进入机房的审批记录，查看审批记录是否包括来访人员的访问范围；

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

4

防盗窃和防破坏

a）应将主要设备放置在机房内；

1.应访谈物理安全负责人，采取了哪些防止设备、介质等丢失的保护措施。

2.检查主要设备是否放置在机房内或其它不易被盗窃和破坏的可控范围内。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

5

b）应将设备或主要部件进行固定，并设置明显的不易除去的标记；

1.应访谈机房维护人员，询问主要设备放置位置是否做到安全可控,设备或主要部件是否进行了固定和标记；

2.检查主要设备或设备的主要部件的固定情况，查看其是否不易被移动或被搬走，是否设置明显的不易除去的标记。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

6

c）应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；

1.应访谈机房维护人员，询问通信线缆是否铺设在隐蔽处。

2.检查通信线缆是否铺设在隐蔽处。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

7

d）应对介质分类标识，存储在介质库或档案室中；

1.应访谈资产管理员，介质是否进行了分类标识管理，介质是否存放在介质库或档案室内进行管理。

2.应检查介质的管理情况，查看介质是否有正确的分类标识，是否存放在介质库或档案室中，并且进行分类存放（满足磁介质、纸介质等的存放要求）。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

8

e）主机房应安装必要的防盗报警设施；

1.应访谈机房维护人员，是否对机房安装的防盗报警设施进行定期维护检查。

2.应检查机房防盗报警设施是否正常运行，并查看是否有运行记录。

3.应检查应是否有机房监控设施的安全资质材料、安装测试和验收报告。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

9

防雷击

a）机房建筑应设置避雷装置；

1.应访谈物理安全负责人，询问为防止雷击事件导致重要设备被破坏采取了哪些防护措施，机房建筑是否设置了避雷装置，是否通过验收或国家有关部门的技术检测；

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

10

b）机房应设置交流电源地线。

1.询问机房管理员，机房计算机系统是否有交流电源地线。

2.应检查机房是否有交流电源地线。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

11

防火

a）机房应设置灭火设备和火灾自动报警系统；

1.应检查机房是否设置了灭火设备，摆放位置是否合理，有效期是否合格；应检查机房火灾自动报警系统是否正常工作，查看是否有运行记录、报警记录、定期检查和维修记录。

2.应检查机房是否设置了自动检测火情、自动报警、自动灭火的自动消防系统，自动消防系统摆放位置是否合理，其有效期是否合格；应检查自动消防系统是否正常工作，查看是否有运行记录、报警记录、定期检查和维修记录。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

12

防水和防潮

a）主机房尽量避开水源，与主机房无关的给排水管道不得穿过主机房,与主机房相关的给排水管道必须有可靠的防渗漏措施；

1.应访谈物理安全负责人，询问机房是否部署了防水防潮措施；如果机房内有上下水管安装，是否避免穿过屋顶和活动地板下，穿过墙壁和楼板的水管是否采取了的保护措施；在湿度较高地区或季节是否有人负责机房防水防潮事宜，配备除湿装置；

2.应访谈机房维护人员，询问机房是否没有出现过漏水和返潮事件；如果机房内有上下水管安装，是否经常检查其漏水情况；如果出现机房水蒸气结露和地下积水的转移与渗透现象是否及时采取防范措施。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

13

b）应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；

1.应检查穿过主机房墙壁或楼板的管道是否采取必要的防渗防漏等防水保护措施；

2.应检查机房的窗户、屋顶和墙壁等是否未出现过漏水、渗透和返潮现象，机房及其环境是否不存在明显的漏水和返潮的威胁；如果出现漏水、渗透和返潮现象，则查看是否能够及时修复解决；。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

14

c）应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；

1.对湿度较高的地区，应检查机房是否有湿度记录，是否有除湿装置并能够正常运行，是否有防止出现机房地下积水的转移与渗透的措施，是否有防水防潮处理记录和除湿装置运行记录；

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

15

防静电

a）关键设备应采用必要的接地防静电措施；

1.应访谈物理安全负责人，询问机房主要设备是否采取必要的防静电措施，是否不存在静电问题或因静电引发的安全事件；在静电较强地区的机房是否采取了有效的防静电措施，存在静电时是否及时采取消除静电的措施；

2.应检查主要设备是否有安全接地，查看机房是否不存在明显的静电现象。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

16

温湿度控制

机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内

1.应访谈物理安全负责人，询问机房是否配备了温湿度自动调节设施，保证温湿度能够满足计算机设备运行的要求，是否在机房管理制度中规定了温湿度控制的要求，是否有人负责此项工作，是否定期检查和维护机房的温湿度自动调节设施，询问是否没有出现过温湿度影响系统运行的事件；

2.应检查温湿度自动调节设施是否能够正常运行，查看是否有温湿度记录、运行记录和维护记录；查看机房温湿度是否满足计算站场地的技术条件要求。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

17

电力供应

a）应在机房供电线路上配置稳压器和过电压防护设备；

1．应访谈物理安全负责人，询问计算机系统供电线路上是否设置了稳压器和过电压防护设备；是否设置了短期备用电源设备，供电时间是否满足系统最低电力供应需求；是否安装了冗余或并行的电力电缆线路；是否建立备用供电系统；

2．应检查机房，查看计算机系统供电线路上的稳压器、过电压防护设备和短期备用电源设备是否正常运行，查看供电电压是否正常；

3．应检查是否有稳压器、过电压防护设备、短期备用电源设备以及备用供电系统等电源设备的检查和维护记录，以及上述计算机系统供电的运行记录，是否能够符合系统正常运行的要求；

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

18

b）应提供短期的备用电力供应，至少满足关键设备在断电情况下的正常运行要求；

检查冗余或并行的电力电缆线路切换记录，备用供电系统运行记录；

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

19

电磁防护

a）电源线和通信线缆应隔离铺设，避免互相干扰；

实地查看电源线和通信线缆是否隔离铺设。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

1.2网络安全

（1）网络拓扑：

序号

类别

测评内容

测评方法示例

结果记录

满分

实际得分

1

结构安全

a）管理信息大区网络与生产控制大区网络应物理隔离；两网之间有信息通信交换时应部署符合电力系统要求的单向隔离装置；

访谈网络管理员和检查网络拓扑图，询问是否部署电力专用的单向隔离装置。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

2

b）管理信息大区网络可进一步划分为内部网络和外部网络，两网之间有信息通信交换时防护强度应强于逻辑隔离；

访谈网络管理员和检查网络拓扑图，询问管理信息大区内外网之间是否部署逻辑强隔离设备。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

3

c）具有层次网络结构的单位可统一提供互联网出口；

访谈网络管理员和检查网络拓扑图，询问单位与下属单位是否统一互联网出口。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

4

d）应保证关键网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；

访谈网络管理员，询问信息系统中边界和主要网络设备的性能及目前业务高峰流量情况，询问采用何种方式或手段对主要网络设备进行监控。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

5

e）应保证网络各个部分的带宽满足业务高峰期需要；

访谈网络管理员，询问网络各个部分的贷款是否满足业务高峰期需要。

例如，询问业务应用的高峰流量是多少，各个网络接入链路带宽是多少？

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

6

f）应绘制完整的网络拓扑结构图，有相应的网络配置表，包含设备IP地址等主要信息，与当前运行情况相符；

访谈网络管理员和检查网络拓扑图以及网络配置表，查看其与当前运行实际情况是否一致。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

7

g）应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。

访谈网络管理员，是否依据部门的工作职能、重要程度和应用系统的级别划分了不同的VLAN，并检查交换机的配置。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

8

边界完整性检查

a）应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。

访谈网络管理员，询问采用何种技术手段或管理措施对非授权设备私自连到内部网络的行为进行检查。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

9

入侵防范

a）应在网络边界处监视以下攻击行为：

端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。

访谈网络管理员和查看网络拓扑图，查看网络边界处是否部署了包含入侵防范功能的安全设备，如果部署了相应的安全设备，则检查该设备产生的系统数据是否能够对端口扫描、木马后门攻击、拒绝服务攻击等进行检测。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

（2）网络设备：

序号

类别

测评内容

测评方法示例

结果记录

满分

实际得分

1

访问控制

a）应在网络边界部署访问控制设备，启用访问控制功能；

访谈网络管理员、安全管理员，检查网络拓扑结构，查看是否在网络边界处部署了访问控制设备并配置了访问控制策略

2

2

b）应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；

查看网络设备是否设置访问控制策略，对高危端口进行限制。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

3

c）应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户。

以拨号或VPN等方式接入网络的，应采用强认证方式，并对用户访问权限进行严格限制；

此项要求不适用

2

4

d）应限制具有拨号、VPN等访问权限的用户数量。

此项要求不适用

2

5

安全审计

a）应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；

查看网络设备是否开启日志功能，对操作进行日志审计。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

6

b）审计记录应包括：

事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。

对于华为设备来说，可以对系统错误、网络和接口的变化、登陆失败、ACL匹配等进行审计，因此只要审计功能启用就能符合该项要求。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

7

网络设备防护

a）应对登录网络设备的用户进行身份鉴别；

查看网络设备是否设置了强口令对身份进行鉴别，强度满足8位、包含字母、数字和字符。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

8

b）应对网络设备的管理员登录地址进行限制；

查看网络设备是否设置访问控制地址，建立ACL对管理员地址进行限制。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

9

c）网络设备标识应唯一；同一网络设备的用户标识应唯一；禁止多个人员共用一个账号；

管理员帐户是否由多人共同管理，口令是否为多人共知。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

10

d）身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换。

应修改默认用户和口令，不得使用缺省口令，口令长度不得小于8位，要求是字母和数字或特殊字符的混合并不得与用户名相同，口令应定期更换，并加密存储；

查看或访谈网络管理员，网络设备管理口令是否满足要求项要求。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

11

e）应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；

查看网络设备是否设置网络登录限制次数和登录失败处理功能。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

12

f）当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；

访谈系统管理员采用何种方式对网络设备进行远程管理。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

13

g）应封闭不需要的网络端口，关闭不需要的网络服务。

如需使用SNMP服务，应采用安全性增强版本；并应设定复杂的Community控制字段，不使用Public、Private等默认字段。

登录网络设备，查看网络设备是否关闭非必须端口，如21、23、80等。

查看是否关闭SNMP服务。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

（3）安全设备：

序号

类别

测评内容

测评方法示例

结果记录

满分

实际得分

1

访问控制

e）应在网络边界部署访问控制设备，启用访问控制功能；

查看网络拓扑结构，判断是否在网络边界部署了入侵检测系统等入侵检测系统设备。

如部署了入侵检测系统，登录入侵检测系统，查看入侵检测系统是否正常运行。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

2

f）应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；

登录入侵检测系统，查看入侵检测系统是否限制源地址、目的地址、具体的服务等。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

3

g）应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户。

以拨号或VPN等方式接入网络的，应采用强认证方式，并对用户访问权限进行严格限制；

查看防火墙或其他访问控制设备，是否根据业务及用户工作需求设置访问控制策略，控制粒度是否满足测评要求项要求。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

4

h）应限制具有拨号、VPN等访问权限的用户数量；

此项不合适

2

5

安全审计

c）应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；

登录入侵检测系统，进入入侵检测系统日志记录管理界面，查看入侵检测系统是否对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

6

d）审计记录应包括：

事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

查看审计内容是否包含了事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

7

网络设备防护

h）应对登录网络设备的用户进行身份鉴别；

访谈安全设备管理员，入侵检测系统是否采用口令进行安全保护，口令长度、组成和更新周期如何。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

8

i）应对网络设备的管理员登录地址进行限制；

当采用在控制中心本地登录时，重点检查是否配置了本地登录限制，如果为远程管理，查看设备是否对管理员登录地址进行了限制。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

9

j）网络设备标识应唯一；同一网络设备的用户标识应唯一；禁止多个人员共用一个账号；

访谈管理员并实地查看设备用户的标识应唯一。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

10

k）身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换。

应修改默认用户和口令，不得使用缺省口令，口令长度不得小于8位，要求是字母和数字或特殊字符的混合并不得与用户名相同，口令应定期更换，并加密存储；

访谈管理员，询问口令的长度、组成与更换周期。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

11

l）应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；

登录入侵检测，查看设备自动超时设置是否启用，超时时间长度。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

12

m）当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；

查看安全设备采取何种措施防止鉴别信息在网络传输过程中不被窃听，如采用客户端的形式还是web方式，是否使用ssh或https。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

13

n）应封闭不需要的网络端口，关闭不需要的网络服务。

如需使用SNMP服务，应采用安全性增强版本；并应设定复杂的Community控制字段，不使用Public、Private等默认字段。

登录入侵检测，查看入侵检测策略；如有开启SNMP服务，是否采用安全性增强版本，Community控制字段是否使用默认字段。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

1.3主机安全

序号

类别

测评内容

测评方法示例

结果记录

满分

实际得分

1

身份鉴别

a）应对登录操作系统和数据库系统的用户进行身份标识和鉴别；

访谈系统管理员，是否为系统用户设置密码，并查看系统帐户登录过程中是否使用了密码进行登录验证。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

2

b）操作系统和数据库系统管理用户身份鉴别信息应不易被冒用，口令复杂度应满足要求并定期更换。

口令长度不得小于8位，且为字母、数字或特殊字符的混合组合，用户名和口令禁止相同；

查看Windows系统“本地安全策略”中“账户策略”：

密码历史记录：

24

密码最长使用期限：

70

密码最短使用期限：

2

最短密码长度：

8

密码复杂性要求：

启用

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

3

c）启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施。

限制同一用户连续失败登录次数；

查看Windows系统“本地安全策略”中“账户锁定策略”：

账户锁定阈值：

3~5次

账户锁定时间：

30分钟。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

4

d）当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；

查看Windows系统版本是否启用远程管理，若接受远程管理，则查看是否启用远程管理加密措施；如使用第三方远程管理工具，查看工具使用加密方式，例如SSL加密、RDP是否使用SSL加密。

1、全部满足则得满分。

2、全部未实现得0分。

3、部分满足，得1分。

2

5

e）应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性；

查看“管理工具”中“计算机管理”，“本地用户和组”中用户是否重复

2

6

访问控制

a）应启用访问控制功能，依据安全策略控制用户对资源的访问；

查看Windows系统中%systemdrive%\windows\system等文件的“属性”中“安全”everyone组、users组和administrators组权限设置；是否开启默认共享。

1、全部满足则得满分。

2、