信息安全检查表格范本
定期安全检查记录表
定期安全检查记录表前言定期进行安全检查是保证公司信息安全的重要措施之一。
本文档提供一个定期安全检查记录表格,用于记录安全检查时间、检查项、问题发现及解决情况等信息,以方便管理和跟踪。
安全检查记录表检查时间检查项发现的问题解决情况2022年1月1日系统防火墙未打开防火墙马上打开防火墙2022年1月1日安全更新程序系统更新时间较久远立即进行安全更新2022年1月1日系统账户管理存在未删除的离职员工账户删除离职员工账户2022年1月1日数据备份存在备份不完整周期性检查调整备份策略,保证备份完整2022年1月1日系统登录限制未设置登录失败次数限制设置登录失败次数限制,防止暴力破解2022年1月1日系统日志日志记录不完整调整存储空间,保证完整记录2022年1月1日企业外网访问限制未限制非法IP访问设置非法IP访问限制2022年1月1日是否存在恶意代码未发现恶意代码安装杀毒软件,并定期进行病毒扫描2022年1月1日数据库账户和口令账户和口令存在弱密码更改账户和口令,设置强密码规则2022年1月1日敏感数据权限控制存在部门员工获取非本部门敏感数据的情况增强权限控制,确保敏感数据只能被授权后的人员访问2022年1月1日网络设备安全配置防火墙、路由器等网络设备存在默认口令未更改的情况对设备进行检查,强制更改默认口令,同时加强其他安全措施2022年1月1日邮件安全邮件加密措施不完善,容易被窃取或篡改强制使用加密邮件传送方式2022年1月1日内网安全存在未授权的外部设备接入网络的情况加强内网安全控制,规定只有授权的设备可以接入内网2022年1月1日应急响应机制与预案未建立健全的应急响应机制和预案制定应急响应预案,并定期演练,提高应对意外事件的能力2022年1月1日域名服务(DNS)安全对域名服务器配置不完善,存在域名被劫持、解析不稳定等问题加强域名服务器安全配置,避免恶意攻击和域名被劫持的情况发生定期安全检查记录表格能够全面记录信息系统安全检查结果,发现问题,收集解决情况的信息。
信息安全检查表模板
信息安全检查表模板信息安全检查表1电⼒⾏业⽹络与信息安全检查⽅案电⼒⾏业⽹络与信息安全领导⼩组办公室⼆〇⼀⼆年七⽉为贯彻落实《国务院办公厅关于开展重点领域⽹络与信息安全检查⾏动的通知》( 国办函〔〕102号) 要求, 结合电⼒⾏业信息安全⼯作实际, 制定电⼒⾏业⽹络与信息安全检查⽅案。
⼀、检查依据1. 《国务院办公厅关于开展重点领域⽹络与信息安全检查⾏动的通知》( 国办函〔〕102号) ;2. 《电⼒⾏业⽹络与信息安全监督管理暂⾏规定》( 电监信息〔〕50号) 。
3. 《电⼒⼆次系统安全防护规定》( 电监会5号令) 。
⼆、检查⽬的经过开展电⼒⾏业⽹络与信息安全检查, 全⾯掌握重要电⼒⽹络与信息系统基本情况, 分析⾯临的安全威胁和风险, 评估安全防护⽔平, 查找突出问题和薄弱环节, 有针对性地采取防范对策和改进措施, 加强⽹络与信息系统安全管理、技术防护和⼈才队伍建设, 促进安全防护能⼒和⽔平提升, 预防和减少重⼤信息安全事件的发⽣, 切实保障电⼒⽹络与信息系统安全, 维护电⼒系统安全稳定运⾏, 保障党的⼗⼋⼤顺利召开。
三、检查范围各电⼒企业运⾏使⽤的⽹络和信息系统, 重点检查信息安全保护等级为3级及以上的重要⽹络与信息系统。
四、检查⽅式本次检查按照”谁主管谁负责、谁运⾏谁负责”的原则, 采⽤电⼒企业⾃查、电监会派出机构对辖区内电⼒企业⾃查情况、⾃查质量进⾏跟踪检查和电监会组织专门队伍同时进⾏抽查相结合的⽅式。
五、检查内容本次信息安全检查主要分基本情况调查、安全防护情况检查和问题及风险分析三个⽅⾯。
( ⼀) ⽹络与信息系统基本情况调查。
主要调查系统特征, 包括系统停⽌运⾏后对主要业务的影响程度, 系统遭到攻击破坏后对社会公众的影响程度等; 系统构成, 包括主要软硬件设备的类型、数量、⽣产商等; 信息技术外包服务, 包括服务类型、服务提供商、服务⽅式、安全保密协议等。
各单位要在全⾯调查的基础上, 汇总填写《电⼒⾏业信息安全检查情况报告表》( 见附件1) 。
信息安全检查情况报告表p
应急技术支援队伍
□部门所属单位□外部专业机构□无
六、信息技术产品应用情况
服务器
总台数:________,其中国产台数:_______
使用国产CPU的服务器台数:_______
终端计算机
(含笔记本)
总台数:________,其中国产台数:___________
使用国产CPU的计算机台数:_______
其中感染恶意代码的服务器台数:_____________
②进行过病毒木马等恶意代码检测的终端计算机台数:_________
其中感染恶意代码的终端计算机台数:_________
漏洞检测
结果
①进行过漏洞扫描的服务器台数:___________________
其中存在漏洞的服务器台数:_________________
3.本表所称高风险漏洞,是指计算机硬件、软件或信息系统中存在的严重安全缺陷,利用这些缺陷可完全控制或部分控制计算机及信息系统,对计算机及信息系统实施攻击、破坏、信息窃取等行为。
4.服务内容主要包括:系统集成、系统运维、风险评估、安全检测、安全加固、应急支持、数据存储等。
二、信息系统基本情况
信息系统情况
①信息系统总数:________________个
②面向社会公众提供服务的信息系统数:_________个
③委托社会第三方进行日常运维管理的信息系统数:_________个
④本年度经过安全测评(含风险评估、等级测评)系统数:_____个
系统定级情况
第一级:_____ቤተ መጻሕፍቲ ባይዱ_个第二级:_______个第三级:_______个
服务内容
信息安全和保密协议
□已签订□未签订
信息安全检查情况报告表
4. 采取加密措施传输、存储敏感数据的重要工业控制系统数量:套
信息安全检查情况报告表
省(区、市)/部门/行业名称:
一、重要信息系统安全检查情况
基本情况
重要信息系统总数1(请另附系统清单,以下同)
(按实时性进行统计)
1.非实时运行的系统数量
2. 实时运行的系统数量1
(按服务对象进行统计)
1.面向社会公众提供服务的系统数量1
2. 不面向社会公众提供服务的系统数量
(按联网情况进行统计)
台
台
小型
台
台
就地测控设备
仪表
台
台
智能电子设备(IED)
台
台
远端设备(RTU)
台
台
系统构成情况
应用服务器-工程师工作站
应用软件
套
套
系统软件
套
套
PC机/服务器
台
台
数据服务器
数据库软件
套
套
系统软件
套
套
PC机/服务器
台
台
通信设备
台
台
工业控制网络
连接情况
1. 直接与互联网连接的重要工业控制系统数量:套
2. 与内部网络连接的重要工业控制系统数量:套
3. 含有无线接入方式的重要工业控制系统数量:套
运行维护情况
1.采用远程方式运行维护的重要工业控制系统数量:套
2. 由国内厂商提供运行维护服务的重要工业控制系统数量:套
3. 由国外厂商提供运行维护服务的重要工业控制系统数量:套
信息安全
防护情况
1.网络边界处架设网络安全设备的重要工业控制系统数量:套
信息安全检查表
如果开展了安全措施评估,评估结果是什么
○有效○基本有效○不足
本年度是否开展了网站安全风险评估或等级测评
○自评估委托专业评估○没有开展
是否进行了下列安全检查
○SQL注入攻击隐患○跨站脚本攻击隐患
○弱口令○操作系统补丁安装情况
○网站服务系统及其他应用系统补丁安装情况○防病毒软件升级情况○网站是否已被“挂马”
○是○否
是否对自管的域名解析系统采取了安全防护措施
○是○否○无自管域名解析系统
是否与托管方签订了安全协议
○是○否○未采取托管
是否制定了奥运会期间网站安全突发事件应急预案
○是○否
是否根据应急预案组织过应急演练
○是○否
是否采取了备份措施
○备机○备件○网站数据备份○其他措施
是否明确了技术支援队伍
○是○否
是否有24小时值班制度
○是○否
是否关闭或删除了不必要的服务
○是○否
是否关闭或删除了不必要的端口
○是○否
系统管理和数据库管理口令更换周期是多少
○每周或更短○半个月○一个月
○一个月以上○从未更换或偶尔更换
系统管理和数据库管理口令长度是多少位
○小于等于8位○大于8位
是否存在多台服务器或多个帐户使用同一口令的情况
○是○否
对网站进行远程维护时,是否采取了加密防护措施
○是○否
系统安全日志察看的周期是多少
○每天○每周○每月○偶尔或从不
是否具有独立的安全审计系统
○是○否
网站服务器和同一网段内其他服务器之间是否有访问控制措施
○是○否
操作系统最近一次升级的日期
月日
Web服务器最近一次升级的日期
月日
11信息安全数据安全检查记录表
选择
是√
否X
选择"是" 请填写具体情况
说明整体数据访问控制策略 和主要访问控制措施
选择"否" 填写整改措施,对于无法完成整改措
施,描述零时应急措施
备注
主要包括与移动存储介质注 册、使用、销毁有关的管理
及技术控制措施
是否采用加密或其他保护措施实现重要数据传输安全
是否对系统日志并进行记录,并采用另外存储方式(日志服 务器)存储三个月以上 是否对磁盘、光盘、U盘和移动硬盘等移动存储进行安全管 理措施
SJ017 SJ018 SJ019 SJ020
是否对磁盘、光盘、U盘和移动硬盘等移动存储中重要数据 采用加密措施 是否对磁盘、光盘、U盘和移动硬盘等存储的报废数据进行 清除 是否对各种信息技术数据资料等使用、审批、登记、报废记 录 是否对数据的转入、转出、备份、恢复等操作进行权限控制
编号
数据安全检查项
SJ001 是否制定了数据访问控制措施
SJ002 SJ003 SJ004 SJ005
SJ006 SJ007 SJ008 SJ009 SJ010
SJ011 SJ012SJ013 SJ源自14 SJ015SJ016
是否对信息数据进行分类、分级管理
是否对重要数据的访问进行授权、审计
是否对服务器中财务等重要数据采用加密保护措施
是否对用户终端的如财务、生产、营销等重要信息数据采用 加密保护措施 是否对数据库中重要数据采用加密保护措施
财务等重要信息数据是否采用自动备份
财务等重要信息数据是否能够及时恢复
是否对备份信息数据进行了本地存储
是否对财务、生产、营销等重要备份信息数据进行了异地存 储 是否制定了备份介质管理措施
信息安全检查表
○入侵检测系统升级情况
○漏洞扫描系统升级情况
○执行漏洞扫描情况
10、是否有网页防篡改措施?
○安装了防篡改系统
○人工监看
○无防篡改措施
11、是否具有边界保护措施?
○防火墙○其它○无
12、是否有抗拒绝服务攻击措施?
○是○否
13、是否安装了入侵检测系统?
○是○否
14、是展了安全防护措施评估,评估结果是什么?
○有效○基本有效○不足
8、本年度是否开展了网站安全风险评估或等级测评?
○自评估
○委托专业评估
○没有开展
9、是否进行了下列安全检查?
○SQL注入攻击隐患
○跨站脚本攻击隐患
○弱口令
○操作系统补丁安装情况
○网站服务系统及其他应用系统补丁安装情况
○防病毒软件升级情况
○从未更换或偶尔更换
○一个月以上
○一个月
○半个月
○每周或更短
28、系统管理和数据库管理的口令长度是多少?
○小于8位
○大于8位
29、是否存在多台服务器或多个账户使用同一口令的情况?
○是○否
30、对网站进行远程维护时,是否采取了加密措施?
○是○否
31、是否对自管的域名解析系统采取了安全防护措施?
○是○否
信息安全检查表
单位名称
联系人/联系电话
信息安全主管领导
职务
网站安全第一责任人
职务
1、网站名称
2、网站安全等级保护级别
○四级○三级○二级○未定级
3、网站主机服务器运行维护管理方式
○自行管理○委托管理
4、是否对安全规章制度进行了梳理?
○是○否
5、是否有明确的网站安全责任处罚规定?
信息安全检查表(1)
□已备案 □已制定但未备案 □未制定
应急技术
支援队伍
□本单位自身力量 □外部专业机构 □未明确
信息安全备份
①重要数据: □备份 □未备份
②重要信息系统:□备份 □未备份
③容灾备份服务:□位于境内 □位于境外 □无
五、信息技术产品使用情况
服务器
总台数:,其中国产台数:
使用国产CPU的服务器台数:
□有技术措施用于控制和管理口令强度 □无技术措施
□无:空口令、弱口令和默认口令 □有
②留言板功能(□开设 □未开设)
□留言内容经审核后发布 □未经审核即可发布
③论坛功能(□开设 □未开设)
□已备案 □未备案
□论坛内容经审核后发布 □未经审核即可发布
④博客功能(□开设 □未开设)
□已作清理,仅限本部门或有关人员使用□未作清理
⑤在非涉密信息系统和涉密信息系统间混用情况:
□不存在 □存在
⑥是否存在使用非涉密计算机处理涉密信息情况:
□不存在 □存在
存储设备
安全管理
①移动存储设备管理方式:
□集中管理,统一登记、配发、收回、维修、报废、销毁
□未采取集中管理相关措施
②在非涉密信息系统和涉密信息系统间混用情况:
□不存在 □存在
四、信息安全应急管理情况
终端计算机
(含笔记本)
总台数:,其中国产台数:
使用国产CPU的计算机台数:
网络设备
总台数:,其中国产台数:
操作系统
①服务器操作系统情况:
安装Windows操作系统的服务器台数:
安装Linux操作系统的服务器台数:
安装其他操作系统的服务器台数:
②终端计算机操作系统情况:
信息安全检查表
1.单位基本情况12.人员资产情况2.1人员组织架构XXX组织架构图如图所示。
(请提供本单位组织架构图)人员职责描述:本人已确认以上所填内容及结果,确认无误。
填表人:22.2信息安全人员情况表2-1 信息安全人员调查表填写说明:1.此表主要涉及与网络安全相关的人员及部门;2.岗位名称:网络管理员、系统管理员、安全管理员、运维管理员、数据库管理员等。
32.3信息安全培训情况表2-2 信息安全培训调查表43.网络资产情况3.1网络拓扑情况表3-1 网络拓扑调查表填写说明:1.此表主要是提供本单位实际的网络拓扑图2.拓扑图中需标明出口、核心架构区域,以及其他网络区域。
53.2单位外联情况表3-2 单位外联调查表填写说明:1.连接对象为外联的单位名称;2.线路类型包括:SDH、MSTP、PTN、VPN(SSL、IPsec)等;63.3网络区域划分情况表3-3 网络区域划分调查表填写说明:1.网络区域包括:服务器域、核心交换域、办公域、外联域、存储域、运维域、终端域等。
74.信息系统资产情况4.1.信息系统等保备案情况表4-1 信息系统等保备案调查表1.定级备案:等级保护一级、等级保护二级、等级保护三级、等级保护四级、等级保护五级。
84.2.信息系统基本情况表4-2 信息系统基本信息调查表1.架构:C/S、B/S;2.维保情况:维保中、已过保(说明过保原因);3.重要程度:非常重要、重要、一般。
94.3.信息系统详细情况表4-3 信息系统详细信息调查表1.业务处理信息类别:a.国家秘密信息、b.非密敏感信息(机构或公民的专有信息)、c.可公开信息;2.用户范围:全国、全省、本地区、本单位;3.访问方式:互联网访问、专网访问、内网访问;4.信息系统的日志类型:访问日志、操作日志。
104.4.信息系统备份情况表4-4 信息系统备份调查表填写说明:1.备份周期:实时备份、非实时备份(请提供备份周期);2.备份介质:NAS(阵列)、外置盘(U盘、硬盘)、网盘、内置硬盘、光盘等。
信息安全检查表
网络和安全设备的配置文件必须定期备份。
严格控制无线路由器和随身WIFI网络共享设备的使用。对公众开放的无线服务必须采取认证机制。
:
服务器
安全
Windows服务器的登陆账户,要求密码长度最小值为8位,启用密码复杂度要求;设置账户锁定时间,锁定阀值为5次无效登录。
删除Windows多余的账户,关闭不必要的文件共享,及时升级系统补丁,安装杀毒软件。
服务器边界部署防火墙,设置了明确的访问控制策略,实现不同系统之间安全区域的有效隔离及访问控制。
数据库安全
数据库定期备份,每天至少备份2次,至少保留最近15天的备份数据。
修改数据库默认账户的SYS、SYSTEM系统默认口令,删除系统中多余的账户,如SYSMAN、DBSNMP等。
业务系统内网迁移
冷链系统访问和设备数据传输迁移至内网。
会计核算软件访问迁移至内网。
检查人员(签字):
单位负责人(签字):
防火墙、交换机、服务器等主要设备及线缆设置不易除去的标签。
定期巡检要求医院信息人员或维保公司每周巡检一次;进出机房的外来人员执行进出登记。
"
网络安全
内网网络必须建立计算机准入控制,防止未审批的计算机接入内网网络。
内外网采取有效措施隔离,边界部署防火墙设备,实施相应的访问控制策略。
网络和安全设备中配置SSH加密协议,禁止采用明文的telnet协议。
终端计算机必须设置登陆密码, 账户锁定时间为10分钟。
内网和外网重要信息系统使用的计算机必须严格控制U盘和光盘等移动存储介质。
{
机房安全
机房建立红外线防盗报警器或视频监控系统。
信息安全检查收集表
12
FTP账户是否禁止运行权限
□是□否
13
是否作出限制访问来源策略
□是□否
其他安全设置
14
所有的磁盘卷使用NTFS文件系统。
□是□否
15
已经安装第三方个人版防火墙。
□是□否
16
已经安装防病毒软件。
□是□否
17
防病毒软件的特征码和检查引擎已经更新到最新。
□是□否
18
防病毒软件已设置自动更新。
□是□否
□是□否
其他安全设置
21
所有的磁盘卷使用NTFS文件系统。
□是□否
22
已经安装第三方个人版防火墙。
□是□否
23
已经安装防病毒软件。
□是□否
24
防病毒软件的特征码和检查引擎已经更新到最新。
□是□否
25
防病毒软件已设置自动更新。
□是□否
编号
数据库类型
物理位置
所在网络
外部IP地址
内部IP地址
网关IP
域名服务器IP
□是□否
5
管理员口令是否具有严格的保管措施。
□是□否
运行维护
6
是否具备两个以上的用户身份,对系统策略和日志进行维护和管理。
□是□否
7
防火墙是否具有详细的访问控制列表。
□是□否
8
防火墙是否标注了源地址和目的地址。
□是□否
9
防火墙是否标注了允许和拒绝的动作。
□是□否
10
是否将防火墙配置及时保存并导出。
□是□否
□是□否
12
消防系统
□是□否
13
动力环境集中监控系统
□是□否
XXXXX 网络与信息安全检查资料情况表(模板)
口无
(三)信息 系统等级保 护工作开展 情况
1.等级保护工作部署和ห้องสมุดไป่ตู้织实施情况。
口有
口无
2.信息系统安全等级保护定级备案情况。
口有
口无
3.信息安全设施建设情况。
口有
口无
检查人员签名: 受检行业确认签名:
1.信息安全培训。
口有
口无
2.信息系统安全漏洞检测。
口有
口无
3.互联网应用安全监测预警。
口有
口无
4.系统备份饮复。
口有
口无
5.应急处置及演练制度。
口有
口无
6.信息安全事件(事故)处置及上报制度和执行情况。
口有
口无
7.保密规章制度建设及对纹感事件传播的保客控制落实情况。
口有
口无
8.办公电子部箱管理制度等落实情况。
XXXXX网络与信息安全检查资料情况表
受检单位企业: 检查时间:
项目
内容
情况
备注
(一)网络 与信息安全 组织落实情况
1.成立网络安全领导机构。
口有
口无
2.落实网络与信息安全责任部门和责任人。
口有
口无
3.落实信息安全等级保护工作小组。
口有
口无
4.建立网络与信息责任追究制度。
口有
口无
(二)网络 与信息安全 管理规章制 度的建立和 落实情况
网络与信息安全检查表
1本表所称国产,是指具有国内品牌,最终产品在中国境内生产,并符合法律法规和政策规定的其他条件。
2本表所称恶意代码,是指病毒木马等具有避开安全保护措施、窃取他人信息、损害他人计算机及信息系统资源、对他人计算机及信息系统实施远程控制等功能的代码或程序。
3本表所称高风险漏洞,是指计算机硬件、软件或信息系统中存在的严重安全缺陷,利用这些缺陷可完全控制或部分控制计算机及信息系统,对计算机及信息系统实施攻击、破坏、信息窃取等行为。
4信息安全事件分级标准参见《国家网络与信息安全事件应急预案》(国办函〔2008〕168号)
5本表所称服务内容,主要包括系统集成、系统运维、风险评估、安全检测、安全加固、应急支持、数据存储、灾难备份等。
信息安全检查表
门户网站受攻击
情况
本单位入侵检测设备检测到的门户网站受攻击次数:
网页被篡改情况
门户网站网页被篡改(含内嵌恶意代码)次数:
设备违规
使用情况
①使用非涉密终端计算机处理涉密信息事件数:
②终端计算机在非涉密系统和涉密系统间混用事件数:
③移动存储介质在非涉密系统和涉密系统间交叉使用事件数:
□尚未建立管理制度
三、信息安全防护管理情况
网络边界
防护管理
①网络区域划分是否合理:□合理 □不合理
②安全防护设备策略:□使用默认配置 □根据应用自主配置
③互联网访问控制: □有访问控制措施 □无访问控制措施
④互联网访问日志: □留存日志 □未留存日志
信息系统
安全管理
①服务器安全防护:
□已关闭不必要的应用、服务、端口□未关闭
□帐户口令满足8位,包含数字、字母或符号 □不满足
□定期更新帐户口令 □未能定期更新
□定期进行漏洞扫描、病毒木马检测□未进行
②网络设备防护:
□安全策略配置有效 □无效
□帐户口令满足8位,包含数字、字母或符号 □不满足
□定期更新帐户口令 □未能定期更新
□定期进行漏洞扫描、病毒木马检测□未进行
③信息安全设备部署及使用:
八、信息安全经费预算投入情况
经费预算
本年度信息安全经费预算额:万元
实际经费投入
本年度信息安全经费实际投入额:万元
九、本年度信息安全事件情况
本年度安全技术检测结果
病毒木马等
恶意代码检测结果
①进行过病毒木马等恶意代码检测的服务器台数:
其中感染恶意代码的服务器台数:
②进行过病毒木马等恶意代码检测的终端计算机台数:
信息安全检查情况报告表
信息安全检查情况报告表信息安全检查情况报告表
(⼀)基本信息⾃查
表1 单位基本情况
表2 信息安全应急响应组织机构和经费落实情况
表3 信息安全教育培训情况
表4 信息安全检查情况
表5 ⽇常安全管理制度建⽴和落实情况
表6.1 系统基本情况
表6.2 系统特征及等保定级情况
表6.3 系统技术防护情况
表7.1 主要硬件品牌及数量
表7.2 安全设备情况
表8.1 主要软件品牌及数量
表8.2 安全软件情况
表1-9 信息服务资产情况
表10 信息系统⼈员资产情况
表11 ⽂档资产情况
表12.1 信息系统分域防护情况
表12.2 ⽹站基本情况
表12.3 ⽹站托管情况
表12.4 外联线路(⽹络边界)情况
表12.5 业务数据情况
表12.6 数据备份情况
表1-13 安全隐患排查及整改情况
表1-14 受赠信息技术产品情况
表15.1 重点领域信息系统类型与构成情况检查记录表。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
单位名称(盖章):
日期:年月日
指标
考核细则
检查结果
备注
管理制度
1、机房管理制度(上墙)2、运维安全管理制度3、信息化保密管理制度4、数据备份与安全管理制度5、信息安全应急制度
终端计算机安全
终端计算机建立终端采取统一软件下发、补丁更新、病毒查杀、漏洞扫描等措施
终端计算机必须设置登陆密码,账户锁定时间为10分钟。(secpol.msc)
对网络安全设备远程登陆的管理地址进行限制,只允许某一网段或某些IP可以访问;
网络和安全设备的配置文件必须定期备份。
严格控制无线路由器和随身WIFI网络共享设备的使用。对公众开放的无线服务必须采取认证机制。
服务器安全
Windows服务器的登陆账户,要求密码长度最小值为8位,启用密码复杂度要求;设置账户锁定时间,锁定阀值为5次无效登录。
内网和外网重要信息系统使用的计算机必须严格控制U盘和光盘等移动存储介质。
机房安全
机房建立红外线防盗报警器或视频监控系统。
网络机房建立烟雾传感器、火灾报警器等装置、灭火消防设施。
机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。(建议值:温度夏季23±2℃,冬季20±2℃,湿度45~65%。)
删除Windows多余的账户,关闭不必要的文件共享,及时升级系统补丁,安装杀毒软件。
服务器边界部署防火墙,设置了明确的访问控制策略,实现不同系统之间安全区域的有效隔离及访问控制。
数据库安全
数据库定期备份,每天至少备份默认账户的SYS、SYSTEM系统默认口令,删除系统中多余的账户,如SYSMAN、DBSNMP等。
业务系统内网迁移
冷链系统访问和设备数据传输迁移至内网。
会计核算软件访问迁移至内网。
检查人员(签字):
单位负责人(签字):
防火墙、交换机、服务器等主要设备及线缆设置不易除去的标签。
定期巡检要求医院信息人员或维保公司每周巡检一次;进出机房的外来人员执行进出登记。
网络安全
内网网络必须建立计算机准入控制,防止未审批的计算机接入内网网络。
内外网采取有效措施隔离,边界部署防火墙设备,实施相应的访问控制策略。
网络和安全设备中配置SSH加密协议,禁止采用明文的telnet协议。