系统安全管理checklist

系统安全管理包括身份鉴别、访问控制、可靠性与可用性、系统监控、日志审计、管理员行为审计、系统安全评估与加固、数据备份、系统安全应急九个部分的内容。操作系统、数据库、应用系统可以酌情裁剪。

01.

身份鉴别

  • 是否使用双因素认证来进行身份鉴别?

  • 账号权限是否具有集中管理系统(如堡垒主机系统)?

  • 是否制定了账号口令管理制度?

  • 是否设置了口令复杂度策略?(三种组合、8位以上)

  • 是否强制修改账号的默认口令?

  • 是否定期更换口令?(每三个月)

  • 是否采取了限制登录失败次数安全控制措施?

  • 是否采取了连接超时等登录安全控制措施?

  • 是否采取了必要措施防止鉴别信息在网络传输过程中被窃听?

02.

访问控制

  • 访问权限是否按照权限分离、最小权限等原则设置?
  • 账号权限的开通、变更是否经过审批?
  • 是否对登陆系统访问路径进行控?
  • 是否修改或删除了默认帐户?
  • 特权用户权限是否分离?
  • 是否能够做到账号与使用人一一对应?
  • 账号权限是否设置使用期限?
  • 是否具有系统中所有账号的台账清单?
  • 是否定期对系统账号进行审查和及时清理无用帐户?
  • (数据库)数据关键字段是否支持保密性?
  • (数据库)数据关键字段是否支持完整性?
  • (数据库)对于数据导入导出操作,是否建立对应的管理规定?
  • (数据库)是否对敏感数据进行脱敏管理,并建立正式管理规定?

03.

可靠性与可用性

  • 是否集群提供高可用性?

  • 重要服务器设备是否配备冷备或热备?

  • 重要服务器是否配备冗余电源?

  • 主机服务器是否进行时钟同步?

04.

系统监控

  • 是否采用集中管理监控与管理平台?
  • 是否对系统运行情况进行实时监控?
  • 是否对重要系统的重要指标(如CPU、内存、硬盘空间等)等指标进行监控?
  • 是否对重要系统的重要指标(如线程、连接数)等指标进行监控?
  • 是否对系统监控各项指标设置阈值?
  • 系统监控达到阈值是否能够自动报警?
  • 是否定期(每月)对系统监控状况进行总结分析?
  • 是否对系统各项指标进行容量的管理与规划?

05.

日志审计

  • 系统是否开启了日志功能?

  • 是否部署了集中日志采集设备?

  • 日志记录是否包括事件的日期和时间、用户、事件类型、事件是否成功等内容?

  • 日志审计记录能否生成报表?

  • 日志审计记录是否采取相应的保护措施?

  • 是否定期(每月)对日志审计状况进行总结分析?

06.

管理员行为审计

  • 是否部署统一认证、授权系统?

  • 是否能够统一记录管理员权限操作行为?

  • 是否能够对管理员行为进行定期(每周、每月)审计?

07.

系统安全评估与加固

  • 是否具备补丁管理制度及变更管理?

  • 是否使用专业工具对系统进行定期扫描?扫描工具?

  • 是否根据扫描结果对发现的漏洞进行加固?

  • 是否定期的对系统进行补丁升级?

  • 是否具备测试环境?加固前是否先进行测试环境测试?

  • 升级加固是否具备升级失败回退机制与应急计划?

  • 是否对数据库进行安全配置基线管理?

08.

数据备份

  • 是否建立正式的备份管理制度(备份方式、备份频度、存储介质、保存期等)?

  • 是否制定有明确的数据备份策略?(备份周期、备份方式等)

  • 管理制度是否包含特定系统的业务中断恢复时间要求?

  • 重要的系统备份数据是否异地存放?

  • 是否建立异地灾备中心?

  • 备份介质与备份记录是否进行了妥善的保管?

  • 是否对备份数据进行定期的恢复测试?

  • 备份管理制度及备份恢复测试结果是否定期审查和根据实际情况更新内容?

09.

系统安全应急

  • 是否建立了统一的应急预案框架?

  • 重要系统是否制定针对不同系统故障的应急预案?

  • 是否定期对系统相关的人员进行应急预案培训?

  • 是否定期对应急预案进行演练?

  • 应急预案是否需定期审查和根据实际情况更新内容?
(0)

相关推荐

  • 运维安全网关 堡垒机都看看是个什么玩意

    系统信息 运维管理 策略管理 运维审计 报表管理 系统管理数据管理 模块管理 ▼|系统用户 用户列表 用户组管理 ▼| 资产管理 设备列表 设备帐号 设备组管理 ▼| 权限管理 权限管理 授权审计 授 ...

  • 系统设计的三员管理

    一."三员"职责 系统管理员:主要负责系统的日常运行维护工作.包括网络设备.安全保密产品.服务器和用户终端.操作系统数据库.涉密业务系统的安装.配置.升级.维护.运行管理:网络和系 ...

  • 浙江大学:整合数据库的软件和硬件 | 网络安全

    近年来,随着高校师生敏感数据泄露.篡改等多种安全事件的不断发生,各高校越来越重视数据库的安全防护和加固. 本文结合浙江大学数据库现状,对现有的安全策略和正在推进的强化措施进行介绍. 浙江大学数据库现状 ...

  • 中国人民大学:审计保证数据完整性 | 网络安全

    数据库安全问题是一个永远发展的问题,理想的做法是从硬件.软件及管理三个层面来加强防护. 中国人民大学数字校园建设经历了"数字人大"."微人大"两个阶段.十几年来 ...

  • 保障高校数据库安全需定时巡检 | 网络安全

    编者按: 保障高校数据库安全需定时巡检 " 百密或有一疏,再可谓道高一尺,魔高一丈,没有绝对的安全,因此做好数据灾备是必须的. 数据库系统安全是一项综合性的系统工作,贯穿数据库系统环境构建初 ...

  • 远程办公安全解决方案

    图1:远程办公业务安全解决方案 业内推广了多年的远程办公理念在2020年的春天终于火了,以前不温不火的远程办公软件也终于媳妇熬成了婆,实实在在的当了一回"网红".无论你是公司职员还 ...

  • 《数据安全能力成熟度模型》实践指南08:逻辑存储安全

    <信息安全技术 数据安全能力成熟度模型>(GB/T 37988-2019)简称DSMM正式成为国标对外发布,并已正式实施.美创科技将以DSMM数据安全治理思路为依托,针对各过程域,基于充分 ...

  • 通用安全管理checklist

    通用安全管理checklist是对信息安全管理调查问卷的一个补充,将以前没有包含的检查点纳入进来,算是对这个系列的一个拾遗与结尾.内容包含安全策略与计划.组织和人员安全.安全工程管理.安全产品管理与符 ...

  • 供应商与外包安全管理checklist

    供应商与外包安全管理包括供应商与外包管理制度与风险评估.外包需求定义与与服务商选择.供应商与外包服务合约管理.供应商与外包服务合约管理四方面的内容. 供应商与外包管理制度与风险评估 ▼▼外包管理流程 ...

  • 外包人员安全管理checklist

    外包人员安全管理目的是控制外包人员管理不善带来的信息泄露.违规操作等安全风险,内容包括外包人员入场.驻场.离场三个方面的安全控制内容. 外包人员入场安全管理 ▼▼外包人员调查 是否对外包人员的能力.资 ...

  • 开发测试安全管理checklist

    开发测试安全管理包括安全需求.安全设计.安全编码测试.系统部署上线.商用及开源软件使用.开发测试资源安全六个部分的内容. 01. 安全需求 在信息系统需求阶段是否考虑安全需求? 信息系统安全需求是否经 ...

  • 网络安全管理checklist

    网络安全管理checklist包括网络架构设计.网络可靠性与可用性.账号权限管理.远程访问.网络监控与审计.网络安全评估与加固.网络安全应急七个部分内容. 01. 网络架构设计 是否具有完善的网络设计 ...

  • 系统开发安全管理规范

    系统安全安全管理是为了提升信息系统开发安全水平,保障信息系统本身的安全性以及开发.测试和投产过程的安全性,适用于信息系统需求.设计.编码.测试.上线等过程中的信息安全管理. 安全需求 应用系统安全需求 ...

  • 高大模板支撑系统施工安全管理细则汇总,有用的都在这儿了!

    筑龙监理 4篇原创内容 Official Account 来源:AI智慧监理 如有侵权,请联系删除 高大模板支撑系统是指建设工程施工现场混凝土构件模板支撑高度超过8m,或搭设跨度超过18m,或施工总荷 ...

  • [从零开始学装系统六]windows10激活知识,正版盗版?数字许可?

    [从零开始学装系统六]windows10激活知识,正版盗版?数字许可?