最新等保2.0-安全检查情况汇总表
等保2.0测评表-安全管理机构和人员
序号测评对象 测评指标
控制项 a) 应成立指导和管理信息安全工 作的委员会或领导小组,其最高 领导由单位主管领导委任或授 权;
23
外部人员 访问管理
a) 应确保在外部人员物理访问受 控区域前先提出书面申请,批准 后由专人全程陪同,并登记备 案;
24
外部人员 访问管理
b) 应确保在外部人员接入受控网 络访问系统前先提出书面申请, 批准后由专人开设账户、分配权 限,并登记备案; c) 外部人员离场后应及时清除其 所有的访问权限; d) 获得系统访问授权的外部人员 应签署保密协议,不得进行非授 权操作,不得复制和泄露任何敏 感信息。
应访谈安全主管,询问是否定期审查、更新审批项目,审查周期多长。 应检查审批管理制度文档,是否明确需定期审查、更新审批的项目、审批部门、批准人和审查周期等。 应访谈安全主管,询问与组织机构内其它部门之间及内部各部门管理人员之间是否建立沟通、合作机制, 是否定期或不定期召开协调会议。 应访谈安全主管,询问是否召开过部门间协调会议,组织其它部门人员共同协助处理信息系统安全有关问 题,安全管理机构内部是否召开过安全工作会议部署安全工作的实施。 应访谈安全主管,询问信息安全领导小组或者安全管理委员会是否定期召开例会。 应检查组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录,查看是否有会议内 容、会议时间、参加人员和会议结果等的描述。 应检查信息安全领导小组或者安全管理委员会定期例会会议文件或会议记录,查看是否有会议内容、会议 时间、参加人员、会议结果等的描述。 应检查是否有组织机构内部人员联系表。 应访谈安全主管,询问是否建立与外单位(供应商、业界专家、专业的安全公司、安全组织等)的沟通、 合作机制,与外单位和其他部门有哪些合作内容,沟通、合作方式有哪些。 应检查外联单位联系列表,查看外联单位是否包含公安机关、电信公司、兄弟单位、供应商、业界专家、 专业的安全公司和安全组织等,是否说明外联单位的名称、合作内容、联系人和联系方式等内容。 应访谈安全管理员,询问是否定期检查系统日常运行、系统漏洞和数据备份等情况,检查周期多长。 应访谈安全主管,询问是否组织人员定期对信息系统进行全面安全检查,检查周期多长,检查内容有哪些 。 应访谈安全管理员,询问系统全面安全检查情况,检查周期多长,检查人员有哪些,检查程序如何。 应访谈安全管理员,询问是否对检查结果进行通报,通报形式、范围如何。 应检查全面安全检查报告,查看报告日期间隔与检查周期是否一致,报告中是否有检查内容、检查人员、 检查数据汇总表、检查结果等的描述,检查内容是否包括现有安全技术措施的有效性、安全配置与安全策 略的一致性、安全管理制度的执行情况等。 应检查安全管理员定期实施安全检查的报告,查看报告日期间隔与检查周期是否一致,检查内容是否包括 系统日常运行、系统漏洞和数据备份等情况。 应检查是否具有执面安全检查时的安全检查表、安全检查记录和结果通告记录,查看安全检查记录中记录 的检查程序与文件要求是否一致。
等保2.0梳理表(含1-4级)excel表格
安全通用要求
安全通用要求 安全通用要求 安全通用要求 安全通用要求 安全通用要求 安全通用要求
四级 安全通用要求
四级 四级 四级 四级
四级
安全通用要求 安全通用要求 安全通用要求 安全通用要求
安全通用要求
四级 安全通用要求
四级 安全通用要求
四级 安全通用要求
四级
四级 四级 四级 四级 四级
环境管理 环境管理 环境管理
资产管理 资产管理 资产管理 介质管理
四级 安全通用要求 四级 安全通用要求
四级 安全通用要求
四级 安全通用要求
四级 安全通用要求
四级 四级 四级 四级
安全通用要求 安全通用要求 安全通用要求 安全通用要求
四级 安全通用要求
四级 四级
安全通用要求 安全通用要求
四级 安全通用要求
安全运维管理 安全运维管理 安全运维管理
安全运维管理 安全运维管理 安全运维管理 安全运维管理
自行软件开发 自行软件开发 外包软件开发 外包软件开发 外包软件开发 测试验收 测试验收 系统交付 系统交付 系统交付 等级测评 等级测评 等级测评 服务供应商选择 服务供应商选择 服务供应商选择 环境管理
制定和发布 评审和修订
岗位设置
岗位设置
岗位设置 人员配备 人员配备 人员配备 授权和审批 授权和审批 授权和审批 沟通和合作 沟通和合作 沟通和合作 审核和检查 审核和检查
审核和检查 人员录用 人员录用 人员录用 人员录用 人员离岗 人员离岗
四级 四级 四级 四级
安全通用要求 安全通用要求 安全通用要求 安全通用要求
四级 安全通用要求
安全计算环境 安全计算环境 安全计算环境 安全计算环境 安全计算环境
等保2.0高风险项判定汇总
引言所谓高风险项,就是等保测评时可以一票否决的整改项,如果不改,无论你多少分都会被定为不合格。
全文共58页,写得比较细了,但是想到大家基本不会有耐心去仔细看的(凭直觉)。
这几天挑里边相对重点的内容列了出来,就是企业要重点关注的,把这些做好,上70分应该不成问题,个人认为这就是所谓的抓重点了。
最近要定级或者明年打算升级等保2.0的可以参考下。
说明:文中标记(3级)的表示3级及以上系统适用,标记(4级)的表示4级系统适用,为标记的表示所有系统适用。
物理环境部分1. 无防盗报警系统、无监控系统,可判定为高风险。
2. 机房未配备冗余或并行电力线路供电来自于同一变电站,可判高风险。
3. 系统所在的机房必须配备应急供电措施,如未配备,或应急供电措施无法使用,可判高风险。
(4级)4. 对于涉及大量核心数据的系统,如机房或关键设备所在的机柜未采取电磁屏蔽措施,可判高风险。
(4级)网络通信部分1. 对可用性要求较高的系统,网络设备的业务处理能力不足,高峰时可能导致设备宕机或服务中断,影响金融秩序或引发群体事件,若无任何技术应对措施。
核心网络设备性能无法满足高峰期需求,存在业务中断隐患,如业务高峰期,核心设备性能指标平均达到80%以上,可判定为高风险。
2. 应按照不同网络的功能、重要程度进行网络区域划分,如存在重要区域与非重要网络在同一子网或网段的,可判定为高风险。
3. 互联网出口无任何访问控制措施,或访问控制措施配置失效,存在较大安全隐患,可判定为高风险。
(区域边界要求同样适用)4. 办公网与生产网之间无访问控制措施,办公环境任意网络接入均可对核心生产服务器和网络设备进行管理,可判定为高风险。
5. 对可用性要求较高的系统,若网络链路为单链路,核心网络节点、核心网络设备或关键计算设备无冗余设计,一旦出现故障,可能导致业务中断,可判定为高风险。
(3级)6. 对数据传输完整性要求较高的系统,数据在网络层传输无完整性保护措施,一旦数据遭到篡改,可能造成财产损失的,可判定为高风险。
windows server信息安全等级保护等保2.0安全配置核查
5.7
Routing and Remote Access – 禁止
5.8
Simple Mail Trasfer Protocol(SMTP) – 禁止
自动启动 启动
序号 类别
检查项
5.9 5.10 5.11
不必 要的
Simple Simple
服务 Telnet
Network Management Network Management – 禁止
密码策略:密码最长使用期限(90天)
2.4
密码策略:密码最短使用期限(1天)
2.5
密码策略:强制密码历史(24)
2.6
密码策略:用可还原的加密来储存密码(禁用)
2.7
帐户锁定策略:复位帐户锁定计数器(15分钟之后)
2.8
帐户锁定策略:帐户锁定时间(15分钟)
2.9 2.10 2.11 2.12
审计 和帐 号策 略
3.17
关闭系统: 只有Administrators组
3.18
通过终端服务拒绝登陆:加入Guests、User组
3.19
通过终端服务允许登陆:只加入Administrators组
3.20
从网络访问此计算机中删除PowerUsers和BackupOperators
4.1
禁止自动登录: HKLM\Software\Microsoft\Windows NT\ 注册 CurrentVersion\Winlogon\AutoAdminLogon (REG_DWORD) 0
3.12
网络访问:不允许SAM帐户和共享的匿名枚举(启用)
3.13
网络访问:不允许为网络身份验证储存凭证或 .NET passports(启用)
等保2.0测评高危项自查表(等保三级系统)
器和网络设备进行管理,可判定为高风险
对可用性要求较高的系统,若网络链路为单链路,核心网络节点、核心网络设备或
关键计算设备无冗余设计,一旦出现故障,可能导致业务中断,可判定为高风险。
对数据传输完整性要求较高的系统,数据在网络层传输无完整性保护措施,一旦数
据遭到篡改,可能造成财产损失的,可判定为高风险。建议采用校验技术或密码技
21 计算环境部分 22 计算环境部分
23 计算环境部分
24 计算环境部分
25 计算环境部分
26 计算环境部分 27 计算环境部分
28 计算环境部分
29 计算环境部分 30 计算环境部分 31 计算环境部分 32 计算环境部分 33 计算环境部分 34 计算环境部分 35 计算环境部分 36 计算环境部分 37 计算环境部分 38 计算环境部分 39 计算环境部分
判定为高风险。(包括1如相关漏洞暴露在可控的网络环境,可酌情降低风险等 级;2如某网络设备的WEB管理界面存在高风险漏洞,而该WEB管理界面只能通过
特定的IP或特定可控环境下才可访问,可酌情降低风险等级) 通过验证测试或渗透测试能够确认并利用的,可对网络设备、安全设备、操作系统 、数据库等造成重大安全隐患的漏洞(包括但不限于缓冲区溢出、提权漏洞、远程
置不当;2非授权接入无线网络将对内部核心网络带来较大安全隐患)
与互联网互连的系统,边界处如无专用的访问控制设备或配置了全通策略,可判定
为高风险。(包括1互联网出口无任何访问控制措施;2互联网出口访问控制措施配
置不当,存在较大安全隐患;互联网出口访问控制措施配置失效,启用透明模式,
无法起到相关控制功能)
的,可判定为高风险。 判例内容:未建立任何与安全管理活动相关的管理制度或相关管理制度无法适用于
(完整版)等保2.0测评表-设备和计算安全-网络设备
删除、修改或覆盖等;
15
d) 应确保审计记录的留存时 间符合法律法规要求;
16
e) 应对审计进程进行保护, 防止未经授权的中断。
a) 应采用免受恶意代码攻击
的技术措施或可信验证机制对
17
恶意代码防范
系统程序、应用程序和重要配 置文件/参数进行可信执行验
证,并在检测到其完整性受到
破坏时采取恢
符合情况 备注
网络设备
a) 应启用安全审计功能,审
12
安全审计
计覆盖到每个用户,对重要的 用户行为和重要安全事件进行
审计; b) 审计记录应包括事件的日
13
期和时间、用户、事件类型、 事件是否成功及其他与审计相
关的信息; c) 应对审计记录进行保护,
14
安全审计
定期备份,避免受到未预期的
a) 应限制单个用户或进程对 系统资源的最大使用限度;
19
b) 应提供重要节点设备的硬 件冗余,保证系统的可用性;
资源控制
c) 应对重要节点进行监视,
20
包括监视CPU、硬盘、内存等
资源的使用情况;
d) 应能够对重要节点的服务
21
水平降低到预先规定的最小值
进行检测和报警。
确认人: 确认时间:
序号 1
测评对象
测评指标
2 身份鉴别
3
4
5
访问控制
6
7
8 访问控制
9
10
11
网络设备
控制项
结果记录
a) 应对登录的用户进行身份
标识和鉴别,身份标识具有唯
一性,身份鉴别信息具有复杂
度要求并定期更换;
b) 应具有登录失败处理功 能,应配置并启用结束会话、 限制非法登录次数和当登录连 接超时自动退出等相关措施;
等保2.0自查表
28
安全通信网络
通信传输
a)应采用校验技术或加解密技术保证通信过程中数据的完整性;
VPN、加密机、SSH、SSL、MD5、防篡改等
1.要求业务应用和运维管理的通信过程都采用非对称加密、哈希校验等密码技术,保障数据传输过程安全可靠。
2.检查所选设备是否具有国家相关部门加解密认证证书及其证书有效性,如国密算法、商密算法等。
3.测试设备是否满足业务高峰期需求。
4.按照业务系统服务的重要次序定义带宽分配的优先级,在网络拥堵时优先保障重要主机;
24
安全通信网络
网络架构
b)应保证网络各个部分的带宽满足业务高峰期需要;
关键网络节点双机冗余、网管软件、QoS监控、CDN网络加速
1.要求网络进出口和核心网络的流量满足高峰期需求;
2.尽量采用不同运营商网络通信线路,保障网络业务的连续性
防盗报警系统、视频监控系统、机房动力环境监控系统
要求部署防盗报警系统或视频监控系统,对于监控信息需保存6个月以上
机房专人值守,定期复查视频记录等,并进行记录告
7
安全物理环境
防雷击
a)应将各类机柜、设施和设备等通过接地系统安全接地;
建设接地网、机房动力环境监控系统
管理制度中规定范围内的设备必须接地
定期检查接地电阻,并进行记录
复合岩棉彩钢板、铯钾防火玻璃等
1.要求对机房中重要信息或者关键业务系统需要和常规信息系统和设备进行隔离;
2.要求隔断防火设备需采用复合岩棉彩钢板、铯钾防火玻璃等;
1.检查存储重要信息和关键信息系统是否有与普通信息系统进行隔离,隔离方式是否满足要求,并出具分析报告;
信息系统安全等级保护等级测评报告模板【等保2.0】
报告编号:XXXXXXXXXXX-XXXXX-XX-XXXXXX-XX网络安全等级保护[被测对象名称]等级测评报告等保2.0委托单位:测评单位:报告时间:年月网络安全等级测评基本信息表声明【填写说明:声明是测评机构对测评报告的有效性前提、测评结论的适用范围以及使用方式等有关事项的陈述。
针对特殊情况下的测评工作,测评机构可在以下建议内容的基础上增加特殊声明。
】本报告是[被测对象名称]的等级测评报告。
本报告是对[被测对象名称]的整体安全性进行检测分析,针对等级测评过程中发现的安全问题,结合风险分析,提出合理化建议。
本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。
本报告中给出的测评结论仅对被测对象当时的安全状态有效。
当测评工作完成后,由于被测对象发生变更而涉及到的系统构成组件(或子系统)都应重新进行等级测评,本报告不再适用。
本报告中给出的测评结论不能作为对被测对象内部部署的相关系统构成组件(或产品)的测评结论。
在任何情况下,若需引用本报告中的测评结果或结论都应保持其原有的意义,不得对相关内容擅自进行增加、修改和伪造或掩盖事实。
单位名称(加盖单位公章)年月日等级测评结论【填写说明:此表描述等级保护对象及等级测评活动中的一般属性。
包括被测对象名称、安全保护等级、被测对象描述、测评工作描述、等级测评结论及综合得分。
如被测对象为云计算(包括平台/系统)或大数据(包括平台/应用/资源),则需要增加云计算安全扩展表或大数据安全扩展表。
】等级测评结论扩展表(云计算安全)【填写说明:此表描述与云计算(包括平台/系统)相关的扩展信息。
云计算形态用于明确被测对象为云计算平台还是云服务客户业务应用系统,此处为单选。
运维所在地用于明确云计算服务的后台技术管理者所在位置,方便公安机关监管。
云服务模式用于明确被测对象所采用的服务模式,此处为单选。
注意,一个云计算平台可能有多种服务模式,每种服务模式单独构成一个定级系统,对应一份定级报告及一份等级测评报告。
最新等保2.0-网络安全等级保护二级-基本要求汇总
访问控制
安全审计
入侵防范
恶意代码防范 可信验证 数据完整性 数据备份恢复 剩余信息保护 个人信息保护
系统管理
审计管理
安全策略 管理制度 制定和发布 评审和修订 岗位设置 人员配备
授权和审批
沟通和合作 审核和检查 人员录用 人员离岗 安全意识教育和培训 外部人员访问管理
定级和备案
安全方案设计
产品采购和使用 自行软件开发 外包软件开发 工程实施 测试验收 系统交付
云服务商选择
供应链管理 云计算环境管理 无线接入点的物理位置 边界防护 访问控制
入侵防范
移动应用管控 移动应用软件采购 移动应用软件开发 等保二级无 感知节点设备物理防护 接入控制 入侵防范 等保二级无 感知节点管理
室外控制设备物理防护
网络架构
通信传输 访问控制 拨号使用控制 无线使用控制
控制设备安全
移动互联安全扩展要求技术部分安全区域边界入侵防范安全计算环境移动应用管控管理部分安全建设管理移动应用软件采购移动应用软件开发安全运维管理物联网安全扩展要求技术部分安全物理环境感知节点设备物理防护安全区域边界接入控制入侵防范安全计算环境管理部分安全运维管理感知节点管理工业控制系统安全扩展要求技术部分安全物理环境室外控制设备物理防护安全通信网络网络架构通信传输安全区域边界访问控制拨号使用控制无线使用控制安全计算环境控制设备安全管理部分安全建设管理产品采购和使用工业控制系统重要设备应通过专业机构的安全性检测后方可采购使用
a) 应对登录的用户分配账户和权限; b) 应重命名或删除默认账户,修改默认账户的默认口令; c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在; d) 应授予管理用户所需的最 小权限,实现管理用户的权限分离。 a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信 息; a) 应遵循最小安装的原则,仅安装需要的组件和应用程序; b) 应关闭不需要的系统服务、默认共享和高危端口; c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制; d) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设 定要求; 应安装防恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库。 可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验 证, 并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心 应采用校验技术保证重要数据在传输过程中的完整性。 a) 应提供重要数据的本地数据备份与恢复功能; b) 应提供异地数据备份功能,利用通信网络将重要数据定时批量传送至备用场地。 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。 a) 应仅采集和保存业务必需的用户个人信息; b) 应禁止未授权访问和非法使用用户个人信息。 a)应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对 这些操作进行审计;
网络安全等级保护制度2.0详解及标准【最新版】
网络安全等级保护制度2.0详解及标准2019年5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,等保2.0相关的《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准正式发布,将于2019年12月1日开始实施。
相较于2007年实施的《信息安全等级保护管理办法》所确立的等级保护1.0体系,为了适应现阶段网络安全的新形势、新变化以及新技术、新应用发展的要求,2018年公安部正式发布《网络安全等级保护条例(征求意见稿)》,国家对信息安全技术与网络安全保护迈入2.0时代。
什么是等保根据2017 年6 月 1 日起施行《中华人民共和国网络安全法》的规定,等级保护是我国信息安全保障的基本制度。
《中华人民共和国网络安全法》第二十一条规定,国家实行网络安全等级保护制度。
网络运营者应当按照网络安全等级保护制度的要求,履行下列全保护义务:保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
等保1.0指的是2007年的《信息安全等级保护管理办法》和2008年的《信息安全技术信息系统安全等级保护基本要求》。
等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》,并对旧有内容进行调整等保2.0由来过程等保2.0对定级指南、基本要求、实施指南、测评过程指南、测评要求、设计技术要求等标准进行修订和完善,以满足新形势下等级保护工作的需要,其中《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全安全等级保护基本要求》、《信息安全技术网络安全等级保护安全设计要求》已于2019年5月10日发布,并将在2019年12月1日实施。
重点解读相较于等保1.0,等保2.0发生了以下主要变化:第一,名称变化。
等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》,与《网络安全法》保持一致。
“等保2.0”重要信息系统安全等级保护与整改
174服务信息有针对性地推送给消费者,大大提高广告投放的准确性,降低企业的广告营销成本,实现对企业价值的高校评估与管理。
2.2 对企业价值评估与市场定位的影响市场定位是以竞争对手现有产品在市场细分中的地位和消费者对产品某些属性的重视程度为基础,将企业产品的独特个性塑造并传达给目标消费者,从而使企业产品在目标市场具有强大的竞争优势。
因此,为了赢得市场,企业必须拥有不同于竞争对手的个性化产品,并且符合目标客户的需求和偏好,从而形成自己独特的优势。
在这个大数据时代发展环境下,数据经济市场中企业可以利用大数据技术对企业自身进行定期评估,确定市场定位,结合发展目标与企业价值评估结果对市场进行细分,选择适合的目标市场。
此外,企业也可以依托于大数据分析技术,针对不同客户设计不同产品类型,为目标客户制定合理的价格优惠策略和个性化营销服务,最大限度地吸引目标客户,形成强大的竞争优势。
2.3 对生产与营销的影响随着大数据时代的到来和人们消费观念的变化,消费结构和消费质量处于不断变化阶段,消费者需求逐渐多样化。
在这样的市场形态下,企业通过市场营销来实现准确的营销已变得越来越困难。
但与此同时,由于信息技术的自身优势和不断渗透,消费者将各种消费需求数据直接或间接地留在互联网等渠道。
通过这种方式,企业可以充分利用数据挖掘技术对数据进行挖掘提出,利用大数据技术收集、存储这些数据和信息,并进行处理与分析。
3 大数据环境下企业价值管理的优化策略3.1 利用大数据技术优化生产经营流程在企业生产经营过程中,大数据技术在一定程度上被用来处理和控制相关数据,对于有效应用内外部信息,优化和重组业务流程起着重要作用。
根据市场经济的特点,在当前大数据时代,数据信息已成为各行业各领域企业管理与发展的重要因素。
因此,企业必须对现代信息化观念提起重视,建立有效的信息化机制,全面收集市场信息,运用科学、合理的方式提炼信息,消除虚假信息,保证数据的真实性与可靠性,分析判断数据信息是否适用于企业的发展经营,并借助数据进行科学的经营决策,制定精细的经营计划[3]。
等保2.0 测评项目清单内容 228项清单 -回复
等保2.0 测评项目清单内容228项清单-回复什么是等保2.0测评项目清单,及为什么要进行等保2.0测评项目清单?在网络安全领域,等保2.0是中国国家标准委发布的关于信息安全等级保护的标准,也是政府和企业信息系统建设安全保障的基础。
为了确保信息系统的安全性和可靠性,等保2.0需要进行测评项目清单的评估和审核。
下面我将介绍这个228项清单的内容和其重要性。
测评项目清单的内容非常丰富,从信息系统建设的规划、审计和风险管理,到网络和系统安全、数据管理和密码技术,甚至涵盖了供应商管理和人员行为等方面。
整个清单涉及了信息安全管理的各个方面,帮助评估者全面了解信息系统的安全现状,并提供改进建议和措施。
首先,测评项目清单要求信息系统建设必须具备明确的规划和组织,包括建设目标、策略、责任和资源规划等方面。
这样可以确保信息安全建设有条不紊地进行,并为后续的安全保障提供基础。
其次,测评项目清单对信息系统的审计要求进行了详细的规定。
审计是评估系统各个方面的重要手段,包括系统配置、安全策略、访问控制等等。
通过定期审计,可以发现潜在的安全风险,并采取相应措施进行改进。
第三,测评项目清单强调了风险管理的重要性。
信息系统建设往往面临各种潜在的风险,如数据泄露、系统故障等。
通过风险管理措施的实施,可以降低系统面临的风险,并提高信息安全等级。
网络和系统安全是测评项目清单的重点之一。
这包括建立基础网络设施、网络设备安全、应用程序安全等方面。
网络和系统安全是信息系统最容易受到攻击的地方,因此必须采取相应的安全措施来保护系统免受攻击。
另外,测评项目清单还涉及了数据管理和密码技术。
数据是信息系统最重要的资产之一,因此必须对其进行安全管理和保护。
密码技术是保证数据传输和存储安全的重要手段,测评项目清单要求系统要采用安全可靠的密码技术来保护用户的数据。
此外,测评项目清单还强调了供应商管理和人员行为的重要性。
供应商管理包括评估供应商的安全能力和控制措施,选择安全可靠的供应商来保障系统的安全。
等保2.0测评表-安全建设管理
测评对象
测评指标
控制项 a) 应以书面的形式说明保护 对象的安全保护等级及确定等 级的方法和理由; b) 应组织相关部门和有关安 全技术专家对定级结果的合理 性和正确性进行论证和审定; c) 应确保定级结果经过相关 部门的批准; d) 应将备案材料报主管部门 和相应公安机关备案。 a) 应根据安全保护等级选择 基本安全措施,依据风险分析 的结果补充和调整安全措施; b) 应根据保护对象的安全保 护等级及与其他级别保护对象 的关系进行安全整体规划和安 全方案设计,设计内容应包含 密码相关内容,并形成配套文 件; c) 应组织相关部门和有关安 全专家对安全整体规划及其配 套文件的合理性和正确性进行 论证和审定,经过批准后才能 正式实施。
查看是否存在软件设计的相关文档和使用指南,对文档的使用 进行控制。 查看是否存在软件测试文档。 应访谈系统建设负责人,是否对程序资源库的修改、更新、发 布进行授权和批准,授权部门是何部门,批准人是何人。 应检查对程序资源库的修改、更新、发布进行授权和审批的文 档或记录,查看是否有批准人的签字。 应访谈系统建设负责人,询问是否要求开发人员不能做测试人 员(即二者分离),开发人员有哪些人,是否是专职人员。 应访谈系统建设负责人,询问对开发人员的开发活动采取哪些 控制措施,是否有专人监控、审查。 应检查是否具有对开发人员的审查记录,查看审查记录是否记 录审查结果等。 应访谈系统建设负责人,询问软件安装之前是否检测软件中的 恶意代码,检测工具是否是第三方的商业产品。 应检查是否具有需求分析说明书、软件设计说明书、软件操作 手册、软件源代码文档等软件开发文档和使用指南。 应访谈系统建设负责人,询问是否要求开发单位提供源代码, 是否根据源代码对软件中可能存在的后门进行审查。 应检查软件源代码审查记录,查看是否包括对可能存在后门的 审查结果。 应访谈系统建设负责人,询问是否有专门部门或人员负责工程 实施管理工作,由何部门/何人负责。 应检查工程实施方案,查看其是否包括工程时间限制、进度控 制和质量控制等方面内容。 应检查是否具有按照实施方案形成的阶段性工程报告等文档。 询问安全管理员项目实施时是否有监理全程控制。
等保2.0梳理表内容
安全运维管理
网络和系统安全管理
安全运维管理 安全运维管理
网络和系统安全管理 网络和系统安全管理
四级 四级
安全通用要求 安全通用要求
四级 安全通用要求
四级 四级 四级 四级 四级 四级 四级 四级 四级 四级 四级
安全通用要求 安全通用要求 安全通用要求 安全通用要求 安全通用要求 安全通用要求 安全通用要求 安全通用要求 安全通用要求 安全通用要求 安全通用要求
安全运维管理 安全运维管理 安全运维管理
安全运维管理 安全运维管理 安全运维管理 安全运维管理
自行软件开发 自行软件开发 外包软件开发 外包软件开发 外包软件开发 测试验收 测试验收 系统交付 系统交付 系统交付 等级测评 等级测评 等级测评 服务供应商选择 服务供应商选择 服务供应商选择 环境管理
四级 四级 四级 四级 四级 四级
安全通用要求
安全通用要求 安全通用要求 安全通用要求 安全通用要求 安全通用要求 安全通用要求
四级 安全通用要求
四级 四级 四级 四级
四级
安全通用要求 安全通用要求 安全通用要求 安全通用要求
安全通用要求
四级 安全通用要求
四级 安全通用要求
四级 安全通用要求
四级
四级 四级 四级 四级 四级
四级 安全通用要求
四级 四级 四级 四级 四级 四级 四级
安全通用要求 安全通用要求 安全通用要求 安全通用要求 安全通用要求 安全通用要求 安全通用要求
安全运维管理 安全运维管理
安全运维管理
安全运维管理 安全运维管理 安全运维管理 安全运维管理 安全运维管理 安全运维管理 安全运维管理 安全运维管理 安全运维管理 安全运维管理 安全运维管理
最新等保2.0-安全考核表
被考核人签名:
安全需求
状况(是/否/n/a)
说明
开机口令
是否设置了开机口令?
口令长度是否大于6位?
口令中是否包含数字?
屏保
是否在15分钟的非活动状态内自动激活带密码保护的屏保?
密码长度是否大于6位?
密码中是否包含数字?
邮件系统是否加了密码?
工作结束时,是否关闭台式计算机?
工作结束时,是否妥善保管便携电脑,如锁入文件柜?
软件
是否擅自改变预安装软件?
是否安装与工作无关的软件,安装非法使用的软件?
共享
是否开启匿名FTP, TFTP, HTTP等服务?
是否将本地硬盘文件匿名共享?
防病毒
是否安装指定的防病毒软件?
版本是否正确?
病毒特征码是否每天更新?
病毒特征码版本是否正确?
是否每星期至少扫描一次?
等保2.0测评表-应用和数据安全-业务软件
12
13
安全审计
14
15 16 17 20 21 22 资源控制 资源控制
资源控制 23
24
数据完整性
25
数据完整性
26
数据保密性
c) 应能够对单个账户的多重 并发会话进行限制。 a) 应采用校验码技术或密码 技术保证重要数据在传输过程 中的完整性,包括但不限于鉴 别数据、重要业务数据、重要 审计数据、重要配置数据、重 要视频数据和重要个人信息 等; b) 应采用校验码技术或密码 技术保证重要数据在存储过程 中的完整性,包括但不限于鉴 别数据、重要业务数据、重要 审计数据、重要配置数据、重 要视频数据和重要个人信息等 。 a) 应采用密码技术保证重要 数据在传输过程中的保密性, 包括但不限于鉴别数据、重要 业务数据和重要个人信息等; b) 应采用密码技术保证重要 数据在存储过程中的保密性, 包括但不限于鉴别数据、重要 业务数据和重要个人信息等。 a) 应提供重要数据的本地数 据备份与恢复功能; b) 应提供异地实时备份功 能,利用通信网络将重要数据 实时备份至备份场地; c) 应提供重要数据处理系统 的热冗余,保证系统的高可用 性。 a) 应保证鉴别信息所在的存 储空间被释放或重新分配前得 到完全清除;
序号 1
测评对象
测评指标
2 3 身份鉴别 4
控制项 结果记录 a) 应对登录的用户进行身份 标识和鉴别,身份标识具有唯 一性,鉴别信息具有复杂度要 求并定期更换; b) 应提供并启用登录失败处 理功能,多次登录失败后应采 取必要的保护措施; c) 应强制用户首次登录时修 改初始口令; d) 用户身份鉴别信息丢失或 失效时,应采用技术措施确保 鉴别信息重置过程的安全; e) 应采用两种或两种以上组 合的鉴别技术对用户进行身份 鉴别,且其中一种鉴别技术至 少应使用动态口令、密码技术 或生物技术来实现。 a) 应提供访问控制功能,对 登录的用户分配账户和权限; b) 应重命名或删除默认账 户,修改默认账户的默认口 令; c) 应及时删除或停用多余的 、过期的账户,避免共享账户 的存在; d) 应授予不同账户为完成各 自承担任务所需的最小权限, 并在它们之间形成相互制约的 关系; e) 应由授权主体配置访问控 制策略,访问控制策略规定主 体对客体的访问规则;
等保2.0 测评项目清单内容 228项清单
等保2.0 是指信息系统安全等级保护2.0的缩写,是我国信息安全领域的重要标准之一。
为了评估一个信息系统是否符合等保2.0的标准,就需要进行等保2.0的测评。
而在进行等保2.0的测评时,就需要使用到228项的测评项目清单。
下面就来详细介绍一下等保2.0测评项目清单的内容。
一、网络安全1. 网络安全管理制度是否健全2. 网络安全保护技术是否到位3. 网络边界安全防护能力是否强化4. 网络安全监测和预警系统是否完善5. 网络安全事件应急响应能力是否有保障二、数据安全1. 数据安全管理制度是否健全2. 数据备份与恢复是否得当3. 数据加密技术是否应用到位4. 数据安全监测和预警系统是否完善5. 数据泄露风险防范能力是否符合要求三、应用安全1. 应用系统安全管理制度是否健全2. 应用系统权限控制是否有效3. 应用系统漏洞管理是否及时4. 应用系统安全防护技术是否到位5. 应用系统安全审计与监测能力是否完善四、系统安全1. 操作系统安全配置是否合规2. 系统基线配置是否达标3. 系统安全防护能力是否强化4. 系统漏洞管理是否及时5. 系统安全审计和监测系统是否完善五、物理安全1. 机房和设备的物理安全控制是否符合要求2. 机房和设备的入侵检测与防范能力是否到位3. 机房和设备的监控与报警系统是否完善4. 机房和设备的灾备和可用性控制是否有效5. 机房和设备的维护管理制度是否健全六、人员安全1. 信息安全人员的保密意识与责任制度是否健全2. 信息安全人员的权限控制管理是否有效3. 信息安全人员的培训与考核是否得当4. 信息安全事件处置与报告流程是否符合要求5. 信息安全人员的岗位责任是否明确七、管理安全1. 信息安全管理制度是否健全2. 信息安全政策与规范是否完善3. 信息安全管理控制是否有效4. 信息安全内部审核与评估是否及时5. 信息安全管理体系是否符合等保2.0标准要求总结:等保2.0 测评项目清单内容共包括228项清单,涵盖了网络安全、数据安全、应用安全、系统安全、物理安全、人员安全和管理安全等多个方面。
2023年二级等保应用检查项
二级等保应用安全现场检查项整理说明文档基于《财政信息化项目管理系统》现场检查内容进行整理,不能代表其他系统的现场检查。
检查过程检查组一人到现场基于《二级等保检查项》模板对建设方进行提问,提问内容基本不会偏离模板内容。
注意:对于容易展现的检查项,检查组也许会规定建设方进行现场操作演示,因此对于一些容易重现的问题应尽量不要以欺瞒的方式回答。
举例说明:“用户密码是否以加密方式存储”,可以通过查询数据直观的体现出来,属于容易重现的检查项;而“系统传输过程中是否对数据进行加密”,验证这个问题则需要通过开发环境进行体现,属于不易重现的检查项,对于此类检查项,检查组人员一般不会规定通过系统进行重现。
身份鉴别应提供专用的登录控制模块对登录用户进行身份标记和鉴别;检查系统是否有登录环节。
(一般系统都会有登录环节,不需关心)应提供用户身份标记唯一和鉴别信息复杂度检查功能,保证应用系统中不存在反复用户身份标记,身份鉴别信息不易被冒用;检查登录时信息是否可以唯一标示一个用户。
(一般系统都有此限制,不需关心)检查密码的复杂度。
(二级等保规定密码长度为8位,并以数字+字母组合)应提供登录失败解决功能,可采用结束会话、限制非法登录次数和自动退出等措施;检查是否有多次登录失败的解决机制。
(一般都是通过增长登录失败计数器机制实现登录失败解决(每次登录失败后计数器+1,当计数器达成一定数值时进行失败解决,当用户登录成功后计数器清零),目前主流的解决方式有两种:一是锁定用户,需要管理员进行解锁后才可再次使用;二是限制登录时间,比如10分钟后才可再次尝试登录)应启用身份鉴别、用户身份标记唯一性检查、用户身份鉴别信息复杂度检查以及登录失败解决功能,并根据安全策略配置相关参数。
检查是否可以绕过登录模块进入系统(直接在URL中录入某功能的页面URL)。
(一般情况下业务系统都会以登录人的信息来取得相应的业务功能和业务数据,因此大多数情况下不登录是无法正常使用系统功能的。