信息安全等级保护测评前期调查问卷
信息安全风险评估问卷
信息安全风险评估问卷以下是一份信息安全风险评估问卷,用于评估组织或个人的信息安全风险。
请根据实际情况回答问题,并在每个问题后面注明相应的得分。
1. 是否有一个明确的信息安全政策,并且它已经被有效地传达和执行了吗?- 是(2分)- 部分是(1分)- 否(0分)2. 是否有一个专门负责信息安全的团队或个人,并且他们受到足够的支持和资源?- 是(2分)- 部分是(1分)- 否(0分)3. 是否执行了适当的身份验证和访问控制措施,以确保只有授权的人员可以访问敏感信息?- 是(2分)- 部分是(1分)- 否(0分)4. 是否有定期进行信息安全培训和教育计划,并且员工们能够了解如何识别和应对安全威胁?- 是(2分)- 部分是(1分)5. 是否进行了定期的安全审计和漏洞评估,并且采取相应的措施来修复发现的漏洞?- 是(2分)- 部分是(1分)- 否(0分)6. 是否有一个有效的备份和恢复计划,并且已经进行了测试和演练?- 是(2分)- 部分是(1分)- 否(0分)7. 是否有一个紧急响应计划,并且已经进行了测试和演练? - 是(2分)- 部分是(1分)- 否(0分)8. 是否采取了必要的措施来保护移动设备(如笔记本电脑、智能手机等)中存储的敏感信息?- 是(2分)- 部分是(1分)- 否(0分)9. 是否采取了必要的措施来保护网络和系统免受恶意软件和网络攻击?- 部分是(1分)- 否(0分)10. 是否定期评估和更新安全策略和控制措施,以应对不断变化的安全威胁?- 是(2分)- 部分是(1分)- 否(0分)根据您的回答,将每个问题的得分相加,得出总分。
得分解释:- 0-10分:高度风险,需要立即采取行动来改善信息安全措施。
- 11-19分:中度风险,需要进一步加强和改进信息安全控制措施。
- 20-20分:低风险,但仍需保持警惕,随时做出应对威胁的准备。
信息保护泄露调查问卷模板
尊敬的受访者:您好!为了深入了解当前我国个人信息保护现状,增强公众信息保护意识,我们特开展此次问卷调查。
本问卷采取匿名方式,所有信息仅用于统计分析,不会泄露您的个人信息。
请您根据自身实际情况和真实想法填写以下问题。
感谢您的支持与配合!一、基本信息1. 您的性别是?()男()女2. 您的年龄范围是?()18岁以下()18-25岁()26-35岁()36-45岁()46-55岁()56岁以上3. 您的学历是?()小学及以下()初中()高中/中专()大专()本科()硕士及以上二、信息保护意识与行为4. 您是否了解个人信息保护的重要性?()非常了解()比较了解()一般()不太了解()完全不了解5. 您在日常生活中是否会注意保护个人信息?()非常注意()比较注意()一般()不太注意()完全不注意6. 您在以下哪些情况下可能会泄露个人信息?()社交软件聊天()网上购物()填写问卷或注册账号()参加线上活动()其他(请说明):__________7. 您是否了解《中华人民共和国个人信息保护法》?()非常了解()比较了解()一般()不太了解()完全不了解8. 您在以下哪些情况下可能会同意APP或网站获取您的个人信息?()为了获得更好的服务()为了参与活动或抽奖()为了方便使用()其他(请说明):__________三、信息泄露经历与维权9. 您是否曾经遭受过个人信息泄露?()是()否10. 如果您遭受过个人信息泄露,您是如何处理的?()报警()联系相关平台或企业()寻求法律援助()自行解决()其他(请说明):__________11. 您认为当前我国在个人信息保护方面还存在哪些问题?()法律制度不完善()监管力度不够()企业自律意识不强()公众保护意识不足()其他(请说明):__________四、建议与期待12. 您对个人信息保护工作有哪些建议?()加强法律法规建设()加大监管力度()提高企业自律意识()提升公众保护意识()其他(请说明):__________13. 您对我国个人信息保护工作有哪些建议和期待?()希望政府加强监管,保障公民权益()希望企业提高自律,保护用户隐私()希望公众增强保护意识,避免信息泄露()其他(请说明):__________再次感谢您参与本次问卷调查!祝您生活愉快![调查问卷结束]。
信息安全等级保护测评前期调查问卷
128
129 130 131 132 133 134
系 统 运 维 管 理 类
135 136 137 138 139 140 141 142 143 144 145 146
147 148
信息安全等级保护-三级系统预测评调查问卷
需求项
(根据等级保护基本要求的具体项制定而得)
安全防护情况
是否防护 品牌/型号 /文档名称
6、是否具有交还身份证件和设备等的登记记录?是否具有关键 岗位人员调离后的保密承诺书并具有调离人员的签字? 7、是否具有各岗位人员考核记录,记录的考核人员是否包括各 个岗位的人员,考核内容是否包含安全知识、安全技能等?对关 键岗位人员的安全审查和考核与一般岗位人员是否有所不同,审 查内容是否包括操作行为和社会关系等? 8、是否有安全责任和惩戒措施管理文档,包括哪些具体的安全 责任和惩戒措施? 9、是否具有安全教育和培训管理文档,明确规定应进行安全教 育和培训? 10、是否制定安全教育和培训计划,是否具有不同岗位的培训计 划,是否明确了培训目的、培训方式、培训对象、培训内容、培 训时间和地点等,培训内容是否包含信息安全基础知识、岗位操 11、是否有外部人员访问管理文档,明确允许外部人员访问的范 围(区域、系统、设备、信息等内容),外部人员进入的条件 (对哪些重要区域的访问须提出书面申请批准后方可进入),外 部人员进入的访问控制措施(由专人全程陪同或监督等)和外部 (1)、是否具有经当地公安部网安支队批准的系统定级报告? (2)、系统建设/整改方案,是否依据风险分析结果调整和补偿 了安全措施? (3)、是否具有系统的安全建设工作计划,文件是否明确了系 统的近期安全建设计划和远期安全建设计划? (4)、是否有系统总体安全策略、安全技术框架、安全管理策 略、总体建设规划、详细设计方案等配套文件? (5)、对于自主开发的软件,是否具有软件开发相关文档(源 代码、测试数据、测试结果等)的使用控制记录?
关于信息网络安全调查问卷
关于信息网络安全调查问卷在当今数字化的时代,信息网络安全已经成为了我们生活和工作中至关重要的一部分。
为了更好地了解大家对信息网络安全的认知、态度和行为,我们特地开展了此次调查问卷。
希望您能抽出几分钟的时间,认真填写这份问卷,您的回答将对我们的研究和改进工作提供非常有价值的参考。
一、个人基本信息1、您的年龄:A 18 岁以下B 18 30 岁C 31 50 岁D 50 岁以上2、您的性别:A 男B 女3、您的职业:A 学生B 上班族C 自由职业者D 其他_____4、您的教育程度:A 初中及以下B 高中/中专C 大专D 本科E 硕士及以上二、对信息网络安全的认知1、您认为信息网络安全重要吗?A 非常重要B 重要C 一般D 不重要E 完全不重要2、您了解以下哪些信息网络安全威胁?(可多选)A 病毒和恶意软件B 网络钓鱼C 黑客攻击D 数据泄露E 社交工程攻击F 其他_____3、您认为以下哪些是信息网络安全的主要目标?(可多选)A 保护个人隐私B 保障数据完整性C 确保系统可用性D 防止网络犯罪E 其他_____三、个人信息网络安全习惯1、您是否经常更新您使用的操作系统、应用程序和杀毒软件?A 总是B 经常C 偶尔E 从不2、您在设置密码时,通常会:A 使用简单易记的密码,如生日、电话号码等B 使用包含字母、数字和符号的复杂密码C 定期更改密码D 从不更改密码3、您在公共场合连接无线网络时,会:A 随意连接,不考虑安全性B 只连接有密码保护的网络C 连接之前先确认网络的安全性D 从不连接公共无线网络4、您是否会定期备份您的重要数据?A 总是B 经常C 偶尔D 很少四、对信息网络安全事件的经历和应对1、您是否曾经遭遇过信息网络安全事件,如个人信息泄露、账号被盗等?A 是B 否如果是,请回答以下问题:2、您认为导致该事件发生的主要原因是什么?A 自身安全意识不足B 网络服务提供商的漏洞C 黑客攻击D 其他_____3、该事件给您带来了哪些影响?(可多选)A 经济损失B 个人隐私泄露C 心理困扰D 其他_____4、遭遇该事件后,您采取了哪些措施来应对?(可多选)A 更改密码B 通知相关机构(如银行、社交媒体平台等)C 安装杀毒软件或防火墙D 寻求专业帮助E 其他_____五、对信息网络安全的期望和建议1、您认为政府在信息网络安全方面应该发挥怎样的作用?(可多选)A 制定相关法律法规B 加强监管和执法力度C 提供安全教育和培训D 建立应急响应机制E 其他_____2、您认为企业在信息网络安全方面应该承担哪些责任?(可多选)A 保护用户数据安全B 加强自身网络安全防护C 及时通知用户安全事件D 提供安全产品和服务E 其他_____3、您对提高个人信息网络安全有哪些建议?(可多选)A 加强自身安全意识B 学习相关知识和技能C 使用安全的网络设备和软件D 其他_____最后,非常感谢您抽出宝贵的时间填写这份问卷!您的回答将为我们更好地了解信息网络安全状况提供重要的帮助。
信息安全风险评估调查表
表1:基本信息调查1 / 222 / 22网络设备:路由器、网关、交换机等。
安全设备:防火墙、入侵检测系统、身份鉴别等。
服务器设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等。
终端设备:办公计算机、移动存储设备。
重要程度:依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。
3 / 22填写说明系统软件:操作系统、系统服务、中间件、数据库管理系统、开发系统等。
应用软件:项目管理软件、网管软件、办公软件等。
4 / 22服务类型包括:1.网络服务;2.安全工程;3.灾难恢复;4.安全运维服务;5.安全应急响应;6.安全培训;7.安全咨询;8.安全风险评估;9.安全审计;10.安全研发。
岗位名称:1、数据录入员;2、软件开发员;3、桌面管理员;4、系统管理员;5、安全管理员;6、数据库管理员;7、网络管理员;8、质量管理员。
5 / 22填写说明信息系统文档类别:信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档;系统开发程序文件、资料等。
6 / 227 / 221、用户分布范围栏填写全国、全省、本地区、本单位2、业务处理信息类别一栏填写:a) 国家秘密信息;b) 非密敏感信息(机构或公民的专有信息) ;c) 可公开信息3、重要程度栏填写非常重要、重要、一般4、如通过测评,请填写时间和测评机构名称。
1、网络区域主要包括:服务器域、数据存储域、网管域、数据中心域、核心交换域、涉密终端域、办公域、接入域和外联域等;2、重要程度填写非常重要、重要、一般。
8 / 22注:安全事件的类别和级别定义请参照GB/Z20986-2007《信息安全事件分类分级指南》9 / 2210 / 22表2:安全状况调查1. 安全管理机构安全组织体系是否健全,管理职责是否明确,安全管理机构岗位安全策略及管理规章制度的完善性、可行性和科学性的有关规章人员的安全和保密意识教育、安全技能培训情况,重点、敏感岗4. 系统建设管理关键资产采购时是否进行了安全性测评,对服务机构和人员的保密约束情况如何,在服务提供过程中是否采取了管控措施。
√信息安全等级保护-三级系统预测评调查问卷
理安全类
类
理
类
员安全
(11)、是否建立安全管理中心或具有安全集中管理的相关工具,对设备状态、恶意代码、补丁升级、安全审计等相关事项进行集中管理?
(12)、是否制定了网络安全管理制度,其内容是否覆盖网络安全配置(包括网络设备的安全
否明确了允许或者拒绝便携式和移动式设备网络接入的规定?等方面?
制定系统的访问控制策略,控制分配文件及服务的访问权限?
等方面?(16)、是否制定了系统安全管理制度,其内容是否覆盖系统安全配置(包括系统的安全策略、授权访问、最小服务、升级与打补丁)、系统账户(用户责任、义务、风险、权限审批、权限分配、账户注销等)、审计日志以及配置文件的生成、备份、变更审批、符合性检查等方
面?是否对系统管理员用户进行分类(比如:划分不同的管理角色,系统管理权限与安全审计权限分离等)?
级时间、升级版本等内容?
代码库升级、定期汇报等方面?
理?
码产品系
统运
维
管
理
类
方面内容?
(23)、是否制定了变更管理制度,其是否覆盖变更前审批、变更过程记录、变更后通报等方面内容?
审批部门、批准人等方面内容?
(25)、是否具有变更失败恢复程序,其是否规定变更失败后的恢复流程
(26)、是否具有定期备份的重要业务信息、系统数据、软件系统的列表或清单?
、介质替换频率、数据离站传输方法等方面?
(29)、是否建立备份和恢复的流程,是否记录操作过程,是否保存记录文档?
介质存放等内容?
性等内容?
括报告单位(人)、接报单位(人)和处置单位等职责?其是否明确了安全事件类型,规定了安全事件的现场处理、事件报告和后期恢复的管理职责及流程?
、等级描述等方面内容?。
信息安全风险评估调查表
表1:基本信息调查1 / 222 / 22网络设备:路由器、网关、交换机等。
安全设备:防火墙、入侵检测系统、身份鉴别等。
服务器设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等。
终端设备:办公计算机、移动存储设备。
重要程度:依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。
3 / 22填写说明系统软件:操作系统、系统服务、中间件、数据库管理系统、开发系统等。
应用软件:项目管理软件、网管软件、办公软件等。
4 / 22服务类型包括:1.网络服务;2.安全工程;3.灾难恢复;4.安全运维服务;5.安全应急响应;6.安全培训;7.安全咨询;8.安全风险评估;9.安全审计;10.安全研发。
岗位名称:1、数据录入员;2、软件开发员;3、桌面管理员;4、系统管理员;5、安全管理员;6、数据库管理员;7、网络管理员;8、质量管理员。
5 / 22填写说明信息系统文档类别:信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档;系统开发程序文件、资料等。
6 / 227 / 221、用户分布范围栏填写全国、全省、本地区、本单位2、业务处理信息类别一栏填写:a) 国家秘密信息;b) 非密敏感信息(机构或公民的专有信息) ;c) 可公开信息3、重要程度栏填写非常重要、重要、一般4、如通过测评,请填写时间和测评机构名称。
1、网络区域主要包括:服务器域、数据存储域、网管域、数据中心域、核心交换域、涉密终端域、办公域、接入域和外联域等;2、重要程度填写非常重要、重要、一般。
8 / 22注:安全事件的类别和级别定义请参照GB/Z20986-2007《信息安全事件分类分级指南》9 / 2210 / 22表2:安全状况调查1. 安全管理机构安全组织体系是否健全,管理职责是否明确,安全管理机构岗位安全策略及管理规章制度的完善性、可行性和科学性的有关规章人员的安全和保密意识教育、安全技能培训情况,重点、敏感岗4. 系统建设管理关键资产采购时是否进行了安全性测评,对服务机构和人员的保密约束情况如何,在服务提供过程中是否采取了管控措施。
XX局信息安全等级保护-测评调查表
XX省XX局信息系统基本情况调查表(XX省XX)20XX年6月1 / 1说明1、请提供信息系统的最新网络结构图(拓扑图)2、请根据信息系统的网络结构图填写各类调查表格。
表1-1. 单位基本情况调查1 / 11 / 1表1-2. 参与人员名单填表人:日期:序号人员姓名所属部门职务/职称负责范围联系方法1 省XX局处长网络设备、安全设备2 省XX局科长服务器3456789101 / 1表1-3. 物理环境情况填表人:日期:序号物理环境名称物理位置涉及信息系统1 省XX局机房国家XX局广域网、计算机网络系统、省XX局公众网站系统、省XX 局内部网站系统、内部办公自动化站2 省XX机房广3 省XX局办公楼计算机网络系统45678注:物理环境包括主机房、辅机房、办公环境等。
1 / 1表1-4. 信息系统基本情况填表人:日期:序号信息系统名称安全保护等级业务信息安全保护等级系统服务安全保护等级承载业务应用1 XX局广域网三三二2 计算机网络系统二二二3 二二二4 省XX局内部网站系统二二二5 内部办公自动化二二二6 二二二7 二二二8 内部办公自动化OA信二二二息系统9 内部门户网站二二二10111 / 1表1-5. 国家XX局广域网-外联(网络边界)情况调查1 / 1表1-6. 国家XX局广域网-网络设备情况调查1 / 1表1-8. 计算机网络系统-外联(网络边界)情况调查1 / 1表1-9. 计算机网络系统-网络设备情况调查1 / 11 / 1表1-10. 计算机网络系统-安全设备情况调查1 / 1表1-11. 服务器设备情况调查1 / 11 / 11 / 11 / 11 / 1表1-12. 应用系统情况调查填表人:日期:1 / 1表1-13. 业务数据情况调查1 / 11 / 11 / 11 / 1表1-14. 数据备份情况填表人:日期:序号备份数据名介质类型备份周期保存期是否异地保存涉及应用系统备注1 否多个应用系统的数据备份2 否3 否暂没业务应用4 否XX5678910111 / 1表1-17. 终端设备情况调查1 / 1表1-18. 管理文档情况调查制度类文档填表人:日期:1 / 11 / 1表1-19. 人员抽样情况调查人员抽样调查文档序号人员抽样调研要求回答情况备注1 是否发生过信息安全事件?发生后是如何处理的?发生过,立马组织相关技术人员进行处理,同时通知厂家派工程师上门提供技术支持2 人员信息安全意识与安全技能掌握情况?3 管理层对信息安全/等级保护是如何认识的??4 员工对信息安全/等级保护的看法??1 / 1表1-19. 安全威胁情况表填表人:日期:序号安全事件调查调查结果1 是否发生过网络安全事件□没有□1次/年□2次/年□3次以上/年□不清安全事件说明:(时间、影响)2 发生的网络安全事件类型(多选)□感染病毒/蠕虫/特洛伊木马程序□拒绝服务攻击□端口扫描攻击□数据窃取□破坏数据或网络□篡改网页□垃圾邮件□内部人员有意破坏□内部人员滥用网络端口、系统资源□被利用发送和传播有害信息□网络诈骗和盗窃□其它其它说明:3 如何发现网络安全事件(多选)□网络(系统)管理员工作检测发现□通过事后分析发现□通过安全产品发现□有关部门通知或意外发现□他人告知□其它其它说明:4 网络安全事件造成损失评估□非常严重□严重□一般□比较轻微□轻微□无法评估5 可能的攻击来源□内部□外部□都有□病毒□其他原因□不清攻击来源说明:6 导致发生网络安全事件的可能原因□未修补或防范软件漏洞□网络或软件配置错误□登录密码过于简单或未修改□缺少访问控制□攻击者使用拒绝服务攻击□攻击者利用软件默认设置□利用内部用户安全管理漏洞或内部人员作案□内部网络违规连接互联网□攻击者使用欺诈方法□不知原因□其它其它说明:1 / 1序号安全事件调查调查结果7 是否发生过硬件故障□有(注明时间、概率)□无造成的影响是:8 是否发生过软件故障□有(注明时间、概率)□无造成的影响是:9 是否发生过维护失误□有(注明时间、概率)□无造成的影响是:10 是否发生过因用户操作失误引起的安全事件□有(注明时间、概率)□无造成的影响是:11 是否发生过物理设施/设备被物理破坏□有(注明时间、概率)□无造成的影响是:12 有无遭受自然性破坏(如雷击等)□有(注明时间、概率)□无有请注明时间、时间后果13 是否发生过莫名其妙的故障□有(注明时间、概率)□无有请注明时间、时间后果1 / 1。
XX局信息安全等级保护-测评调查表
XX省XX局信息系统基本情况调查表(XX省XX)20XX年6月说明1、请提供信息系统的最新网络结构图(拓扑图)2、请根据信息系统的网络结构图填写各类调查表格。
表1-1. 单位基本情况调查1/ 27注:情况简介栏,请填写与被测评系统有关的机构内容。
2/ 27表1-2. 参与人员名单3/ 27表1-3. 物理环境情况注:物理环境包括主机房、辅机房、办公环境等。
4/ 27表1-4. 信息系统基本情况5/ 27表1-5. 国家XX局广域网-外联(网络边界)情况调查6/ 27表1-6. 国家XX局广域网-网络设备情况调查7/ 27表1-8. 计算机网络系统-外联(网络边界)情况调查8/ 27表1-9. 计算机网络系统-网络设备情况调查9/ 2710/ 27表1-10. 计算机网络系统-安全设备情况调查11/ 27表1-11. 服务器设备情况调查12/ 2713/ 2714/ 2715/ 2716/ 27表1-12. 应用系统情况调查填表人:日期:注:1、用户分布范围栏填写全国、全省、本地区、本单位17/ 27表1-13. 业务数据情况调查18/ 2719/ 2720/ 27表1-14. 数据备份情况21/ 27表1-17. 终端设备情况调查22/ 27表1-18. 管理文档情况调查制度类文档填表人:日期:23/ 2724/ 27表1-19. 人员抽样情况调查25/ 27表1-19. 安全威胁情况表26/ 2727/ 27。
信息安全风险评估调查表
表1:基本信息调查1 / 222 / 22网络设备:路由器、网关、交换机等。
安全设备:防火墙、入侵检测系统、身份鉴别等。
服务器设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等。
终端设备:办公计算机、移动存储设备。
重要程度:依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。
3 / 22填写说明系统软件:操作系统、系统服务、中间件、数据库管理系统、开发系统等。
应用软件:项目管理软件、网管软件、办公软件等。
4 / 22服务类型包括:1.网络服务;2.安全工程;3.灾难恢复;4.安全运维服务;5.安全应急响应;6.安全培训;7.安全咨询;8.安全风险评估;9.安全审计;10.安全研发。
岗位名称:1、数据录入员;2、软件开发员;3、桌面管理员;4、系统管理员;5、安全管理员;6、数据库管理员;7、网络管理员;8、质量管理员。
5 / 22填写说明信息系统文档类别:信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档;系统开发程序文件、资料等。
6 / 227 / 221、用户分布范围栏填写全国、全省、本地区、本单位2、业务处理信息类别一栏填写:a) 国家秘密信息;b) 非密敏感信息(机构或公民的专有信息) ;c) 可公开信息3、重要程度栏填写非常重要、重要、一般4、如通过测评,请填写时间和测评机构名称。
1、网络区域主要包括:服务器域、数据存储域、网管域、数据中心域、核心交换域、涉密终端域、办公域、接入域和外联域等;2、重要程度填写非常重要、重要、一般。
8 / 22注:安全事件的类别和级别定义请参照GB/Z20986-2007《信息安全事件分类分级指南》9 / 2210 / 22表2:安全状况调查1. 安全管理机构安全组织体系是否健全,管理职责是否明确,安全管理机构岗位安全策略及管理规章制度的完善性、可行性和科学性的有关规章人员的安全和保密意识教育、安全技能培训情况,重点、敏感岗4. 系统建设管理关键资产采购时是否进行了安全性测评,对服务机构和人员的保密约束情况如何,在服务提供过程中是否采取了管控措施。
关于信息网络安全调查问卷
关于信息网络安全调查问卷关于信息网络安全调查问卷背景介绍信息网络安全是当前社会中非常重要的一个话题。
随着互联网的普及和发展,越来越多的人们开始在网络上进行各种活动,包括购物、社交、学习等。
与此,网络上也出现了各种各样的安全问题,如黑客攻击、网络诈骗、个人隐私泄露等。
为了更好地了解人们对信息网络安全的认知和态度,本调查问卷旨在收集相关数据,为网络安全的改善提供参考。
调查目的本次调查旨在了解被调查者对信息网络安全的认知程度、遭遇过的网络安全问题、采取的安全措施等方面的情况,以便更好地掌握当前信息网络安全形势,为安全提供有效的解决方案。
调查内容1. 你是否了解信息网络安全的基本概念?是否2. 你是否曾经遭遇过网络安全问题(如账号被盗、个人信息泄露等)?是否3. 如果你曾经遭遇过网络安全问题,请简要描述一下具体情况。
4. 你是否会主动采取一些安全措施来保护个人信息(如设置复杂密码、定期更新软件等)?是否5. 你是否关注网络安全的最新动态和相关信息?是否6. 如果你关注网络安全的最新动态,请简要说明你关注的渠道和原因。
7. 你认为政府在信息网络安全方面应该采取哪些措施?8. 你认为个人在信息网络安全方面应该承担哪些责任?9. 你认为目前的信息网络安全形势是好还是坏?请简要说明理由。
10. 如果你有任何其他关于信息网络安全的想法或建议,请在下方进行补充。
感谢您抽出宝贵的时间参与本次调查。
您的回答将对了解和改善信息网络安全至关重要。
我们将根据调查结果,提出相应的解决方案来保障您的信息安全。
我们也鼓励您在日常生活中加强对信息网络安全的关注和保护。
如有任何疑问或需要进一步了解,请联系我们。
谢谢!。
关于信息网络安全调查问卷[1]简版
![关于信息网络安全调查问卷[1]简版](https://img.taocdn.com/s3/m/91d39ad5988fcc22bcd126fff705cc1754275f61.png)
关于信息网络安全调查问卷关于信息网络安全调查问卷1. 引言信息网络安全是当前社会中至关重要的一个问题。
随着互联网的普及和数字化的快速发展,我们每天都在使用各种各样的在线服务。
然而,与之同时,也面临着越来越多的网络安全威胁,比如网络钓鱼、黑客攻击、恶意软件等。
为了更好地了解人们对信息网络安全的认知和应对措施,我们特别制定了这份调查问卷。
在这份调查问卷中,我们将了解您对信息网络安全的整体认知,以及您在面对网络安全威胁时所采取的措施。
我们的目标是通过了解普通人的观点和行为,为制定更有针对性的网络安全策略提供参考。
请您在回答问题时,尽可能详细和真实地回答。
您的答案将被严格保密,并仅用于统计分析和研究之用。
注意事项:本调查问卷仅限于18岁以上的成年人参与。
2. 用户个人信息请您提供一些基本个人信息,以便我们进行数据分析和处理。
这些信息将严格保密,不会用于其他任何目的。
- 姓名:__________- 年龄:__________- 性别:__________- 职业:__________3. 信息网络安全认知这一部分将涉及您对信息网络安全的认知和理解。
请您根据自己的想法选择正确的答案。
3.1 您对网络安全的定义是什么?- [ ] a) 保护个人隐私和数据免受未经授权的访问和使用- [ ] b) 防止计算机和网络系统受到恶意软件和黑客攻击- [ ] c) 防止个人信息泄露和身份盗窃- [ ] d) 其他(请注明):__________3.2 您认为以下哪种情况可能导致您的个人信息泄露?- [ ] a) 恶意软件感染我的计算机- [ ] b) 在不安全的网络上进行在线交易- [ ] c) 泄露密码或账号信息- [ ] d) 不小心了钓鱼邮件或- [ ] e) 以上所有情况- [ ] f) 其他(请注明):__________3.3 您使用的在线服务中,您认为最需要保护的是哪种信息?- [ ] a) 和支付信息- [ ] b) 和个人身份信息- [ ] c) 邮箱账号和密码- [ ] d) 社交媒体账号和个人聊天记录- [ ] e) 其他(请注明):__________3.4 您在使用社交媒体时,是否会定期检查隐私设置并进行必要的调整?- [ ] a) 每天都会- [ ] b) 经常会- [ ] c) 偶尔会- [ ] d) 从不会4. 信息网络安全行为这一部分将询问您在面对信息网络安全威胁时采取的行为和措施。
个人信息安全保护调查问卷
个人信息安全保护调查问卷您好,我是西南政法大学的学生。
为了了解个人信息安全保护现状,我组织了本次问卷调查。
本问卷实行匿名制,所有回答只用于学术研究,对您的信息会严格保密。
感谢您的参与!第1项:您的性别○男○女第2项:您的年龄○ A.18岁及以下○ B.19-28岁○ C.29-35岁○ D.36-55岁○ E.56岁及以上第3项:您的受教育程度○ A.初中及以下○ B.高中(包括中专、职高等)○ C.本科(包括大专)○ D.研究生及以上第4项:您的职业○ A.务农○ B.党政机关员工○ C.事业单位员工○ D.公司企业员工○ E.个体经营者○ F.学生○I.离退休人员○G.其他第5项:您遇到自身个人信息泄露事件次数○ A.0○ B.1○ C.2○ D.3次及以上第6项:您认为是否有必要对个人信息的收集者设立准入规则○ A.有必要○ B.一般○ C.没必要第7项:现实和网络生活中,信息征集者在征集你的信息时是否有先征求你同意○ A.是○ B.否第8项:现实和网络生活中,信息征集者向您征集信息时是否明确告知您信息的用途○ A.是○ B.否第9项:现实和网络生活中,您是否会阅读在办理/使用各种服务前的安全隐私协议○ A.从没有○ B.偶尔会○ C.一直会第10项:您不希望被合法机构所利用的个人信息包括哪些□A.姓名□B.出生日期□C.籍贯□D.身份证信息□E.家庭住址及联系方式□F.婚姻及家庭情况□G.病历□H.工作与经济情况□I.个人照片□J.个人喜好□K.其他第11项:您认为信息持有者在利用你的个人信息时应该○ A.随意、不用告知○ B.告知并经自己同意○ C.用途正当则可不必告知○ D.其他第12项:您知道在必要时个人可以要求网络运营者删除或更改其个人信息吗○ A.知道○ B.不知道第13项:您认为出现个人数据信息泄露的原因有哪些□A.数据平台为了牟利□B.网络监管不力□C.相关立法不够完善□D.社会对该问题不够重视□E.其他第14项:您是否支持制定《个人信息保护法》○ A.是○ B.否第15项:您对现今个人信息安全保护中的不足有什么想法和建议? ____________。
信息系统安全等级测评-基本情况调查表
信息系统安全等级测评基本情况调查表**股份有限公司目录表1-1. 单位基本情况调查 (1)表1-2. 参与人员名单 (2)表1-3. 物理环境情况 (3)表1-4. 信息系统基本情况 (4)表1-5. 信息系统承载业务(服务)情况 (5)表1-6. 网络结构(环境)情况调查 (6)表1-7. 外联(网络边界)情况调查 (7)表1-8. 网络设备情况调查 (8)表1-9. 安全设备情况调查 (9)表1-10. 服务器设备情况调查 (10)表1-11. 终端设备情况调查 (12)表1-12. 系统软件情况 (13)表1-13. 应用系统情况调查 (14)表1-14. 业务数据情况调查 (15)表1-15. 数据备份情况 (16)表1-16. 应用系统软件处理流程(多表) (17)表1-17. 业务数据流程(多表) (18)表1-18. 管理文档情况调查 (19)表1-19. 安全威胁情况表 (26)表1-1. 单位基本情况调查注:情况简介栏,请填写与被测评系统有关的机构内容。
1 / 27表1-2. 参与人员名单2 / 27表1-3. 物理环境情况注:物理环境包括主机房、辅机房、办公环境等。
3 / 27表1-4. 信息系统基本情况4 / 27表1-5. 信息系统承载业务(服务)情况注:1、用户分布范围,写全国、全省、本地区、本单位2、业务信息类别,写国家秘密信息、非密敏感信息(机构或公民的专有信息)、可公开信息3、重要程度,写非常重要、重要、一般5 / 27表1-6. 网络结构(环境)情况调查6 / 27表1-7. 外联(网络边界)情况调查7 / 27表1-8. 网络设备情况调查注:重要程度填写非常重要、重要、一般8 / 27表1-9. 安全设备情况调查9 / 27表1-10. 服务器设备情况调查10 / 272、包括数据存储设备11 / 27表1-11. 终端设备情况调查2、包括专用终端设备以及网管终端、安全设备控制台等12 / 27表1-12. 系统软件情况注:包括操作系统、数据库系统等软件13 / 27表1-13. 应用系统情况调查填表人:日期:2、重要程度栏填写非常重要、重要、一般14 / 27表1-14. 业务数据情况调查15 / 27表1-15. 数据备份情况注:备份数据名与表1-12的数据名称一致16 / 27表1-16. 应用系统软件处理流程(多表)注:重要应用系统软件应该描述处理流程图,说明主要处理步骤、过程、流向、涉及设备和用户。
01等保测评基础调查表
2
发生的网络安全事件类型(多选)
3 4 5
如何发现网络安全事件(多选) 网络安全事件造成损失评估 可能的攻击来源
□无法评估
□内部 □外部 □都有 □病毒 □其他原因 □不清楚 攻击来源说明: □未修补或防范软件漏洞 □网络软件配置错误 □登陆密码过于简单或 未修改 □缺少访问控制 □攻击者使用拒绝服务攻击 □攻击者利用软件 默认设置 □利用内部用户安全管理漏洞或内部人员作案 □内部网络违 规连接互联网 □攻击者使用欺诈方法 □不知原因 □其他 其他原因:
表1-19. 安全威胁情况 填表人: 序号 1 安全事件调查 是否发生过网络安全事件 调查结果 □没有 □1次/年 □2次/年 □3次/年 □不清楚 安全事件说明:(时间、影响) □感染病毒/蠕虫/特洛伊木马程序 □拒绝服务攻击 □端口扫描攻击 □数据窃取 □破坏数据网络 □篡改网页 □垃圾邮件 □内部人员有 意破坏 □内部人员滥用网络端口、系统资源 □被利用发送和传播有害 信息 □网络诈骗和盗窃 □其他 其他说明: □网络(系统)管理员工作监测发现 □通过事后分析发现 产品发行 □有关部门通知或意外发现 □他人告知 □其他 其他说明: □非常严重 □严重 □一般 □比较轻微 □轻微 □通过安全 日期:导致发生网络安全事件的可能原因
序号
安全事件调查
调查结果
7 8 9 10 11 12 13
是否发生过硬件故障 是否发生过软件故障 是否发生过维护失误 是否发生过因用户操作失误引起的安全事件 是否发生过物理设施/设备被物理破坏 有无遭受自然性破坏(如雷击等) 有无发生过莫名其妙的故障
□有 (注明时间、频率) 造成的影响: □有 (注明时间、频率) 造成的影响: □有 (注明时间、频率) 造成的影响: □有 (注明时间、频率) 造成的影响: □有 (注明时间、频率) 造成的影响: □有 (注明时间、频率) 有请注明时间、事件后果: □有 (注明时间、频率) 造成的影响:
信息安全风险评估调查表
表1:基本信息调查1 / 222 / 22网络设备:路由器、网关、交换机等。
安全设备:防火墙、入侵检测系统、身份鉴别等。
服务器设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等。
终端设备:办公计算机、移动存储设备。
重要程度:依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。
3 / 22填写说明系统软件:操作系统、系统服务、中间件、数据库管理系统、开发系统等。
应用软件:项目管理软件、网管软件、办公软件等。
4 / 22服务类型包括:1.网络服务;2.安全工程;3.灾难恢复;4.安全运维服务;5.安全应急响应;6.安全培训;7.安全咨询;8.安全风险评估;9.安全审计;10.安全研发。
岗位名称:1、数据录入员;2、软件开发员;3、桌面管理员;4、系统管理员;5、安全管理员;6、数据库管理员;7、网络管理员;8、质量管理员。
5 / 22填写说明信息系统文档类别:信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档;系统开发程序文件、资料等。
6 / 227 / 221、用户分布范围栏填写全国、全省、本地区、本单位2、业务处理信息类别一栏填写:a) 国家秘密信息;b) 非密敏感信息(机构或公民的专有信息) ;c) 可公开信息3、重要程度栏填写非常重要、重要、一般4、如通过测评,请填写时间和测评机构名称。
1、网络区域主要包括:服务器域、数据存储域、网管域、数据中心域、核心交换域、涉密终端域、办公域、接入域和外联域等;2、重要程度填写非常重要、重要、一般。
8 / 22注:安全事件的类别和级别定义请参照GB/Z20986-2007《信息安全事件分类分级指南》9 / 2210 / 22表2:安全状况调查1. 安全管理机构安全组织体系是否健全,管理职责是否明确,安全管理机构岗位安全策略及管理规章制度的完善性、可行性和科学性的有关规章人员的安全和保密意识教育、安全技能培训情况,重点、敏感岗4. 系统建设管理关键资产采购时是否进行了安全性测评,对服务机构和人员的保密约束情况如何,在服务提供过程中是否采取了管控措施。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(10)、应用系统是否提供会话超时处理功能,长时间未操作进 行页面锁定或退出登录? (11)、应用系统是否能够限制单个账户多重并发会话? (12)、应用系统是否能够对一个访问帐户或一个请求进程占用 的资源分配最大限额和最小限额? (13)、是否对应用系统服务水平(性能指标)进行检测、报 警? (1)、是否采用校验技术/措施对数据传输过程中完整性、保密 性进行检测并采取修改措施? (2)、是否对系统管理数据、鉴别信息和重要业务数据加密存 储? (3)、是否能够对备份数据进行异地备份存储? (4)、是否能提供主要网络设备、通信线路和数据处理系统的 硬件冗余? (1)、是否形成全面的信息安全管理制度体系,制度体系是否 由安全政策、管理制度、操作规程等构成? (2)、是否制定信息安全工作的总体方针和安全策略,说明机 构安全工作的总体目标、范围、原则和安全框架等? (3)、各项安全管理制度是否覆盖安全管理活动中的各类管理 内容(制度管理、机构管理、人员管理、系统建设管理和运维管 (4)、是否具有对重要管理操作的操作规程,如系统维护手册 和用户操作规程等? (5)、是否具有安全管理制度制定和发布要求管理文档,其内 容是否说明安全管理制度的格式要求、版本编号,是否说明安全 管理制度的制定、发布程序和发布范围等各项要求? (1)、是否具有部门、岗位职责文件,文件是否明确安全管理 机构的职责,是否明确机构内各部门和各负责人的职责和分工? (2)、设置了哪些工作岗位(如安全主管、安全管理各个方面 的负责人、机房管理员、系统管理员、网络管理员、安全管理员 等重要岗位),岗位职责文档是否明确各岗位的职责范围、任职 (3)、是否设立指导和管理信息安全工作的委员会或领导小 组,其最高领导是否由单位主管领导委任或授权的人员担任? (4)、是否有职责文件明确信息安全管理委员会或领导小组的 职责?是否明确委员会安全管理机构的职责? (5)、是否制定事项审批程序明确哪些事项((如系统变更、 重要操作、物理访问和系统接入、重要管理制度的制定和发布、 人员的配备和培训、产品的采购、外部人员的访问等))需要哪 些责任人、领导进行审批,审批程序如何?是否明确重要事项需 (6)、是否具有信息安全管理委员会或领导小组安全管理工作 执行情况的文件或工作记录(如会议记录/纪要,信息安全工作 (7)、是否有外联单位联系列表,外联单位是否包含公安机关 、电信公司、兄弟公司、供应商、业界专家、专业的安全公司、 安全组织等,是否说明外联单位的名称、联系人、合作内容和联 (8)、是否具有安全顾问指导信息安全建设、参与安全规划和 安全评审的相关文档或记录? (9)、是否具有安全检查制度,否明确检查内容包括技术措施 有效性和安全管理制度执行情况等方面,是否规定检查内容、检 查程序和检查周期等,检查内容是否包括现有安全技术措施的有 效性、安全配置与安全策略的一致性、安全管理制度的执行情况 等?是否具有相应的安全检查表和检查报告? 1、是否有人员录用要求管理文档,说明录用人员应具备的条件 (如学历、学位要求,技术人员应具备的专业技术水平,管理人 员应具备的安全管理知识等)? 2、是否具有人员录用时对录用人身份、背景、专业资格和资质 等进行审查的相关文档或记录? 3、是否与录用后的技术人员签署保密协议?保密协议是否具有 保密范围、保密责任、违约责任、协议的有效期限和责任人的签 4、对从事关键岗位的人员是否从内部人员中选拔,是否要求其 签署岗位安全协议,其是否具有岗位安全责任、违约责任、协议 的有效期限和责任人签字等内容? 5、是否具有人员离岗管理文档,文档是否规定了调离手续和离 岗要求,是否规范人员离岗过程,并明确终止离岗人员的访问权
(8)、是否采取措施对内部网络中出现的内部用户未通过准许 私自联到外部网络的行为进行检测和检查? (9)、是否部署终端管理软件或采取其它技术手段防止非法外 联行为,并进行验证? (10)、是否在网络边界处部署恶意代码防范技术措施,是否启 用了检测和阻断功能? (11)、是否开启对网络系统中的网络设备运行状况、网络流量 、用户行为等进行日志记录或使用第三方安全审计系统进行审 (12)、是否采取措施在网络边界处监视以下攻击行为:端口扫 描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击 、IP碎片攻击和网络蠕虫攻击等,并能报警和阻断? (13)、系统是否有主要网络设备、通信线路和数据处理系统的 硬件冗余? (1)、服务器远程管理采用什么方式,什么软件,例如:KVM/ 远程桌面/PcAnywhere/Radmin等? (2)、是否采取特别的措施进行防止鉴别信息在传输过程中被 嗅探?服务器是否启用了远程管理加密措施?若有第三方的远程 管理工具,则记录该工具使用的加密方式。 (3)、是否采用两种或两种以上组合的鉴别技术对管理用户进 行身份鉴别? (4)、是否安装有第三方审计工具或系统,审计是否能够覆盖 到服务器、客户端上的每个操作系统用户? (5)、是否安装有第三方软件或系统能够对重要用户行为和重 要系统命令的使用作审计(Windows系统组策略不能对重要用户 行为和重要系统命令的使用作审计)? (6)、是否采取措施能够检测到对重要服务器进行入侵的行 为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时 间,并在发生严重入侵事件时提供报警? ()、是否安装防恶意代码软件,并及时更新防恶意代码软件 版本和恶意代码库? (8)、网络防病毒软件和主机防病毒软件分别采用什么病毒 库? (9)、是否通过网络设备或硬件防火墙实现“通过设定终端接 入方式、网络地址范围等条件限制终端登录”? (10)、是否经常查看“系统资源监控器”或第三方监控软件对 重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网 络等资源的使用情况? (11)、是否使用第三方主机监控程序对系统的服务水平降低到 预先规定的最小值进行检测和报警,且其提供主动的声、光、电 、短信、邮件等形式的一种或多种报警方式? (12)、是否满足主要网络设备、通信线路和数据处理系统的硬 件冗余? (1)、应用系统是否采用两种或两种以上身份认证技术对用户 身份进行验证? (2)、应用系统是否对密码复杂度做要求,例如要求密码满足8 位以上,且由数字、字母、符号等至少两种组成? (3)、应用系统是否提供登录失败处理功能(身份认证信息输 错自动退出会话并3~5次锁定)? (4)、应用系统是否提供敏感信息标记功能,例如个人身份证 号码、银行账号等部分字符用星号(*)代替显示? (5)、应用系统是否能提供覆盖各个用户的安全审计功能,以 记录个用户操作痕迹? (6)、应用系统是否采用密码技术保证通信过程中数据的完整 性和机密性? (7)、应用系统是否在通信双方建立连接之前利用密码技术进 行会话初始化验证(安装数字证书)? (8)、应用系统是否提供数据有效性校验功能对输入数据进行 格式、长度等进行校验? (9)、应用系统是否提供自动保护功能确保发生故障时自动保 存未完成的业务信息?
128
129 130 131 132 133 134
系 统 运 维 管 理 类
135 136 137 138 139 140 141 142 143 144 145 146
147 148
信息安全等级保护-三级系统预测评调查问卷
需求项
(根据等级保护基本要求的具体项制定而得)
安全防护情况
是否防护 品牌/型号 /文档名称
信息安全等级保护-三级系统预测评调查问卷
序号
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 网 络 安 全 类 物 理 安 全 类
控制域
34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60
6、是否具有交还身份证件和设备等的登记记录?是否具有关键 岗位人员调离后的保密承诺书并具有调离人员的签字? 7、是否具有各岗位人员考核记录,记录的考核人员是否包括各 个岗位的人员,考核内容是否包含安全知识、安全技能等?对关 键岗位人员的安全审查和考核与一般岗位人员是否有所不同,审 查内容是否包括操作行为和社会关系等? 8、是否有安全责任和惩戒措施管理文档,包括哪些具体的安全 责任和惩戒措施? 9、是否具有安全教育和培训管理文档,明确规定应进行安全教 育和培训? 10、是否制定安全教育和培训计划,是否具有不同岗位的培训计 划,是否明确了培训目的、培训方式、培训对象、培训内容、培 训时间和地点等,培训内容是否包含信息安全基础知识、岗位操 11、是否有外部人员访问管理文档,明确允许外部人员访问的范 围(区域、系统、设备、信息等内容),外部人员进入的条件 (对哪些重要区域的访问须提出书面申请批准后方可进入),外 部人员进入的访问控制措施(由专人全程陪同或监督等)和外部 (1)、是否具有经当地公安部网安支队批准的系统定级报告? (2)、系统建设/整改方案,是否依据风险分析结果调整和补偿 了安全措施? (3)、是否具有系统的安全建设工作计划,文件是否明确了系 统的近期安全建设计划和远期安全建设计划? (4)、是否有系统总体安全策略、安全技术框架、安全管理策 略、总体建设规划、详细设计方案等配套文件? (5)、对于自主开发的软件,是否具有软件开发相关文档(源 代码、测试数据、测试结果等)的使用控制记录?
备注
(1)、机房所在地是否具有基本的防震、防风和防雨等能力? (2)、机房出入口是否安排人员值守,控制、鉴别和记录进入 的人员? (3)、是否在机房重要区域前设置交付或安装等过渡区域;是 否在不同机房间和同一机房不同区域间设置了有效的物理隔离装 (4)、重要区域是否配置电子门禁系统,控制、鉴别和记录进 入的人员? (5)、设备或主要部件是否固定在机柜上,并设置明显不易去 除的标记? (6)、通信线缆是否铺设在活动地板下或管道中? (7)、机房是否安装利用光、电等技术设置机房的防盗报警系 统? (8)、机房所在建筑物是否设置避雷装置? (9)、是否设置防雷保安器,防止感应雷? (10)、主要设备是否设置交流电源地线? (11)、机房是否设置灭火设备和火灾自动报警系统? (12)、机房及相关的工作房间和辅助房是否采用具有耐火等级 的建筑材料(如彩钢板、防火门)? (13)、机房是否采取区域隔离防火措施,将重要设备与其他设 备隔离开(如UPS间与配电间应与重要区域物理隔离)? (14)、机房内的导水管安装部署是否满足不穿过机房屋顶和活 动地板下? (15)、是否采取措施防止雨水通过机房窗户、屋顶和墙壁渗透 (如保温棉、管道设置套管等)? (16)、机房否设置水敏感的检测仪表或元件,对机房进行防水 检测和报警(漏水报警绳)? (17)、机房是否采取措施防止机房内水蒸气结露和地下积水的 转移与渗透(除湿装置)? (18)、机房是否采用了防静电工作台、静电消除剂和/或静电 消除器等防静电措施? (19)、机房是否采用了防静电地板? (20)、机房是否设置温、湿度自动调节设施(精密空调等)? (21)、机房计算机系统供电线路上是否设置了稳压器和过电压 防护设备等装置? (22)、机房是否配备UPS、发电机等备用供电系统? (23)、机房是否设置冗余或并行的电力电缆线路为计算机系统 供电? (24)、是否有防止外界电磁干扰和设备寄生耦合干扰的措施 (包括设备外壳有良好的接地,电源线和通信线缆隔离等);是 否对处理秘密级信息的设备和磁介质采取了防止电磁泄漏的措 (25)、磁介质是否存放在具有电磁屏蔽功能的容器中(磁介质 需配备屏蔽机柜)? (26)、电源线和通信线缆是否隔离铺设(分不同线槽或分层桥 架)? (1)、是否根据各部门的工作职能、重要性和所涉及信息的重 要程度等因素,划分不同的子网或网段? (2)、重要网段是否部署在网络边界处且直接连接外部信息系 统? (3)、重要网段与其他网段之间是否采取可靠的技术隔离手 段,如网闸、防火墙、ACL等? (4)、是否配置QoS的具体设备(如防火墙、路由、交换设备或 专用带宽管理设备)对网络带宽、流量进行管理? (5)、在网络边界处是否部署了访问控制设备,并开启和配置 相应的访问控制功能? (6)、是否采取措施确保主要网络设备的同一用户能够选择两 种或两种以上组合的鉴别技术来进行身份鉴别? (7)、能根据会话状态信息为数据流提供明确的允许/拒绝访问 的能力,控制粒度为网段级?