信息安全風險評估表匯總

1、精品表1:基本信息調查1.單位基本情況單位名稱單位地址（公章）聯系人聯系電話Email填表時間信息安全主管領導（簽字）職務檢查工作負責人（簽字）職務2.硬件資產情況2.1.網絡設備情況網絡設備名稱型號物理位置所屬網絡 區(qū)域IP地址/掩碼/網關系統軟件 及版本端口類型 及數量主要用途是否熱備重要程度2.2.安全設備情況安全設備名稱型號（軟件/ 硬件）物理位 置所屬網絡 區(qū)域IP地址/掩碼/網 關系統及運行 平臺端口類型及 數量主要用途是否熱備重要程 度2.3.服務器設備情況設備名稱型號物理位置所屬網絡 區(qū)域IP地址/掩碼/網關操作系統 版本/補丁安裝應用系統軟 件名稱主要業(yè)務應 用涉及數據是否熱

2、備2.4.終端設備情況終端設備名稱型號物理位置所屬網絡 區(qū)域設備數量IP地址/掩碼/網關操作系統安裝應用系統軟 件名稱涉及數據主要用途填寫說明網絡設備：路由器、網關、交換機等。安全設備：防火墻、入侵檢測系統、身份鑒別等。服務器設備：大型機、小型機、服務器、工作站、臺式計算機、便攜計算機等。終端設備：辦公計算機、移動存儲設備。重要程度：依據被檢查機構數據所有者認為資產對業(yè)務影響的重要性填寫非常重要、重要、一般。3.軟件資產情況3.1.系統軟件情況系統軟件名稱版本軟件1商硬件平臺涉及應用系統3.2.應用軟件情況應用系統軟件名稱開發(fā)商硬件/軟件平臺C/S或B/S模式涉及數據現有用戶數量主要用戶角色填

3、寫說明系統軟件：操作系統、系統服務、中間件、數據庫管理系統、開發(fā)系統等。應用軟件：項目管理軟件、網管軟件、辦公軟件等。4 .服務資產情況4.1本年度信息安全服務情況服務類型服務方單位名稱服務內容服務方式（現場、非現場）填寫說明服務類型包括：1.網絡服務；2.安全工程；3.災難恢復；4安全運維服務；5.安全應急響應；6.安全培訓；7.安全咨詢；8.安全風險評估；9.安全審計;10安全研發(fā)。5 .人員資產情況.1、信息系統人員情況崗位名稱崗位描述人數兼任人數填寫說明崗位名稱：1、數據錄入員；2、軟件開發(fā)員；3、桌面管理員；4、系統管理員；5、安全管理員；6、數據庫管理員；7、網絡管理員；8、質量管

4、理員。6 .文檔資產情況6.1怎息系統安全文檔列表文檔類別文檔名稱填寫說明信息系統文檔類別：信息系統組織機構及管理制度、信息系統安全設計、實施、運維文檔；系統開發(fā)程序文件、資料等。7 .信息系統情況7.1、 系統網絡拓撲圖網絡結構圖要求：1、應該標識出網絡設備、服務器設備和主要終端設備及其名稱;2、應該標識出服務器設備的IP地址；3、應該標識網絡區(qū)域劃分等情況；4、應該標識網絡與外部的連接等情況；5、應該能夠對照網絡結構圖說明所有業(yè)務流程和系統組成。如果一張圖無法表示，可以將核心部分和接入部分分別畫出，或以多張圖表示。7.2、信息系統承載業(yè)務情況信息系統名稱業(yè)務描述業(yè)務處理信息 類別用戶數量用

5、戶分布范圍重要程度是否通過第三方安全 測評填寫說明：1、用戶分布范圍欄填寫全國、全省、本地區(qū)、本單位2、業(yè)務處理信息類別一欄填寫：a）國家秘密信息；b）非密敏感信息（機構或公民的專有信息）；c）可公開信息3、重要程度欄填寫非常重要、重要、一般4、如通過測評，請?zhí)顚憰r間和測評機構名稱。73信息系統網絡結構情況網絡區(qū)域名稱主要業(yè)務和信息描述ip網段地址服務器 數量與其連接的其它 網絡區(qū)域網絡區(qū)域邊 界設備重要程度責任部門填寫說明：1、網絡區(qū)域主要包括：服務器域、數據存儲域、網管域、數據中心域、核心交換域、涉密終端域、辦公域、接入域和外聯域等;2、重要程度填寫非常重要、重要、一般。74外聯線路及設備

6、端口（網絡邊界）情況外聯線路名稱所屬網絡區(qū)域|連接對象接入線路種類傳輸速率（帶寬）P線路接入設備承載主要業(yè)務應用備注（邊界名稱）75業(yè)務數據情況數據名稱數據使用者或管理 者及其訪問權限數據安全性要求數據總量及日增 量涉及業(yè)務應用涉及存儲系統與 處理設備保密完整可用注:數據安全性要求每項填寫高、中、底76數據備份情況備份數據名介質類型備份周期保存期是否異地保存:過期處理方法所屬備份系統備注7.7、一年來信息安全事件情況安全事件類別特別重大事 件次數重大事件次數較大事件次數一般事件次數線路接入設備承載主要業(yè)務應用備注有害程序安全事件網絡攻擊事件信息破壞事件信息內容安全事件設備設施故障災害性事件其它

7、事件注：安全事件的類別和級別定義請參照GB/Z20986-2007信息安全事件分類分級指南可修改編輯精品表2:安全狀況調查1 .安全管理機構安全組織體系是否健全，管理職責是否明確，安全管理機構崗位 設置、人員配備是否充分合理。序號檢查項結果備注1.信息安全管理 機構設置口以下發(fā)公文方式正式設置了信息安全管理工作的 專門職能機構。口設立了信息安全管理工作的職能機構，但還不是專門的職能機構?？谄渌?.信息安全管理 職責分工情況口信息安全管理的各個方卸職責有正式的書面分工， 并明確具體的責任人?？谟忻鞔_的職責分，但責任人不明確。:口其它。3.人員配備口配備一定數量的系統管理人員、網絡管理人員、安全

8、管理人員等；安全管理人員不能兼任網絡管理員、 系統管理員、數據庫管理員等?？谂鋫湟欢〝盗康南到y管理人員、網絡管理人員、安全管理人員等，但安全管理人員兼任網絡管理員、系 統管理員、數據庫管理員等。口其它。4.關鍵安全管理 活動的授權和 審批口定義關鍵安全管理活動的列表， 并有正式成文的審 批程序，審批活動有完整的記錄?？谟姓匠晌牡膶徟绦?， 但審批活動沒有完整的記 錄?？谄渌?.與外部組織溝 通合作口與外部組織建立溝通合作機制，并形成正式文件和 程序。與外部組織僅進行了溝通合作的口頭承諾?？谄渌?。6.與組織機構內 部溝通合作口各部門之間建立溝通合作機制，并形成正式文件和 程序。口各部門之間的

9、溝通合作基于慣例，未形成正式文件 和程序?？谄渌? .安全管理制度安全策略及管理規(guī)章制度的完善性、 可行性和科學性的有關規(guī)章 制度的制定、發(fā)布、修訂及執(zhí)行情況。檢查項結果備注1信息安全策略口明確信息安全策略，包括總體目標、范圍、原則 和安全框架等內容?？诎ㄏ嚓P文件，但內容覆蠱/、全面?？谄渌?安全管理制度口安全管理制度覆蓋物理、網絡、主機系統、數據、 應用、建設和管理等層面的重要管理內容?？谟邪踩芾碇贫?，但不全而面?？谄渌?。3操作規(guī)程口應對安全管理人員或操作人員執(zhí)行的重要管理操 作建立操作規(guī)程。口有操作規(guī)程，但不全面?？谄渌?。4安全管理制度 的論證和審定口組織相關人員進行正式的論證和審定

10、，具備論證 或審定結論?？谄渌?安全管理制度 的發(fā)布口文件發(fā)布具備明確的流程、方式和對象范圍?？诓糠治募陌l(fā)布不明確?？谄渌?。6安全管理制度 的維護口有正式的文件進行授權專門的部門或人員負責安 全管理制度的制定、保存、銷毀、版本控制，并定期 評審與修訂。口安全管理制度分散管理，缺之定期修訂?？谄渌?執(zhí)行情況口所有操作規(guī)程的執(zhí)行都具備詳細的記錄文檔。口部分操作規(guī)程的執(zhí)行都具備詳細的記錄文檔。口其它。3 .人員安全管理人員的安全和保密意識教育、安全技能培訓情況，重點、敏感崗 位人員有無特殊管理措施以及對外來人員的管理情況。序號檢查項結果備注1.重點、敏感 崗位人員 錄用和審 查口為與信息安全密

11、切相關的重點、敏感崗位人員制定特殊 的錄用要求。對被錄用人的身份、背景和專業(yè)資格進行審 查，對技術人員的技術技能進行考核，有嚴格的制度規(guī)定 要求?？谄渌?。2保密協議 的簽署口與從事關鍵崗位的人員簽署保密協議，包括保密范圍、 保密責任、違約責任、協議的有效期限和責任人簽字等內 容。口其它。3人員離同口規(guī)范人員離商過程，有具體的離崗控制方法， 及時終止 離崗人員的所有訪問權限并取回各種身份證件、鑰匙、徽 章等以及機構提供的軟硬件設備?？谄渌?。4安全意識 教育口根據崗位要求進行有針對性的信息安全意識培訓?？谖锤鶕徫灰筮M行有針對性的信息安全意識培訓，僅開展全員安全意識教育。口其它。5安全技能 培訓

12、口制定了有針對性的安全技能培訓計劃，培訓內容包含信息安全基礎知識、崗位操作規(guī)程等，并認真實施，而且有 培訓記錄?？诎踩寄芘嘤栣槍π圆粡?，效果不顯著?？谄渌?。6在崗人員 考核口定期對所有人員進行安全技能及安全知識的考核，對重點、敏感崗位的人員進行全面、嚴格的安全審查。口僅對重點、敏感崗位的人員進行全面、嚴格的安全審查， 未普及到全員?？谄渌?。7懲戒措施口告知人員相關的安全責任和懲戒措施，并對違反違背安全策略和規(guī)定的人員進行懲戒。口有懲戒措施，但效果不佳?？谄渌?。8外部人員 訪問管理口外部人員訪問受控區(qū)域前得到授權或審批，批準后曲專人全程陪同或監(jiān)督，并登記備案?？谕獠咳藛T訪問受控區(qū)域前得到授權或

13、審批，但不能全程陪同或監(jiān)督?？谄渌?。4 .系統建設管理關鍵資產采購時是否進行了安全性測評， 對服務機構和人員的保 密約束情況如何，在服務提供過程中是否采取了管控措施。 信息系統 開發(fā)過程中設計、開發(fā)和驗收的管理情況。序號檢查項結果備注1關鍵資產米 購時進行安 全性測評口相關專門部門負責產品的米購，產品的選用符合 國家的有美規(guī)定。資產采購之前進行選型測試，確定產品 的候選范圍，具有產品選型測試結果、候選產品名單審定 記錄或更新的候選產品名單，經過主管信息安全領導批準?？趯ｉT部門負責產品的米購，產品的選用符合國家的有美 規(guī)定?？陉P鍵資產米購未進行安全性測試或未經過主管信息安 全領導批準。2服務機構

14、和 人員的選擇口在具有資格的服務機構中進行選擇，通過內部和專家的評選。對服務機構的人員，審查具所具有的資 格?？趯Ψ諜C構的能力進行了詳細的審查。服務機構和人員的選擇未經過審查和篩選。3保密約束口簽訂的安全責任合同書或保密協議包含服務內容、保密范圍、安全責任、違約責任、協議的有效期限和責任人的 簽字等。定期考察其服務質量和保密情況。口簽訂的安全責任合同書或保密協議明確規(guī)定各項內容。 但無監(jiān)督考察機制?？谖春炗喓霞s或簽訂了安全責任合同書或保密協議，但服務范圍、安全責任等未明確規(guī)定。4服務管控措 施口制定了詳細的服務審核要求和規(guī)范。對服務提供過程中的重要操作進行審核，并要求服務機構定期提供服務的情

15、 況匯總。每半年組織內部檢查， 審查服務機構的服務質量?？诙ㄆ谶M行檢查。但缺之規(guī)范的檢查內容和要求?？谖床捎萌魏喂芸卮胧?。5系統安全方 案制定口根據信息系統安全保障要求，書面形式加以描述，形成能指導安全系統建設、安全產品采購和使用的詳細設計方 案，并經過專家論證和審定。口形成能指導安全系統建設、安全產品米購和使用的概要 設計方案，內部相關部門審定?？谌敝w系化的安全方案。6信息系統開 發(fā)口根據軟件開發(fā)管理制度， 各類開發(fā)文檔齊全，信息系統 均經過功能、安全測試，并形成測試報告?？陂_發(fā)文檔不全面，僅在內部進行功能測試?？跓o開發(fā)文檔，或外包開發(fā)，沒有源代碼或有源代碼但未 經過全面的安全測試。7信息

16、系統建 設實施過程口制定詳細的實施方案， 并經過審定和批準， 指定或授權 專門的部門或人員按照實施方案的要求控制整個過程。進度和質里 控制口制定簡要實施方案，指定或授權專門的部門或人員控制 整個過程?？跓o實施方案或無專人管理實施過程。8.信息系統驗 收口制定驗收方案，組織相關部門和相關人員對系統測試驗 收報告進行審定，詳細記錄驗收結果，形成驗收報告。重 要的信息系統在驗收前，組織專業(yè)的第二方測評機構進行 測評。口組織了驗收活動，但缺乏專業(yè)人員進行全面的驗收測 試。口未組織驗收。5 .系統運維管理設備、系統的操作和維護記錄，變更管理，安全事件分析和報告; 運行環(huán)境與開發(fā)環(huán)境的分離情況；安全審計、

17、補丁升級管理、安全漏 洞檢測、網管、權限管理及密碼管理等情況，重點檢查系統性能的監(jiān) 控措施及運行狀況。序號檢查項結果備注1.環(huán)境管理口有機房安全管理制度，并配備機房安全管理人員，對機 房供配電等設施、設備和人員出入機房進行嚴格管理。口配備機房安全管理人員，對機房供配電等設施、設備和 人員出入機房進行管理?？谄渌?。2.資產管理口資產清單記錄內容與實際使用的計算機設備及其屬性 內容完全一致?？谫Y產清單內容與實際使用的計算機設備及其屬性內容， 在數量上一致，但在部分屬性記錄上有偏差?？谄渌?。3.介質管理口對介質的存放環(huán)境、使用、維護和銷毀等方面米取嚴格 的控制措施?？趯橘|的存放環(huán)境、使用、維護和銷

18、毀等方面米取了部 分控制措施?？谄渌?。4.設備管理口對信息系統相關的各種設備、線路等指定專門的部門或 人員定期進行維護管理?？趯π畔⑾到y相關的各種設備、線路等指定專門的部門或 人員不定期進行維護管理?？谄渌?。5.生產環(huán)境 與開發(fā)環(huán) 境的分離口生產環(huán)境與開發(fā)環(huán)境隔離?？谄渌?.系統監(jiān)控口對通信線路、關鍵服務器、網絡設備和應用軟件的運行 情況能夠實時監(jiān)測，并能及時分析報警日志?？趯νㄐ啪€路、關鍵服務器、網絡設備和應用軟件的運行 情況能夠不定期監(jiān)測，并能定期分析報警日志。口其它。7.變更臂埋口系統發(fā)生重要變更前， 以書面形式向主管領導申請，審批后實施變更，并在實施后向相關人員通告，相關記錄保 存完

19、好?？谙到y發(fā)生重要變更前， 向主管領導申請，審批后實施變 更，并在實施后向相關人員通告。口其它。8.補丁管理口補丁更新及時，并能在測試環(huán)境測試后安裝到運行環(huán) 境?？诖蟛糠钟嬎銠C設備的補丁更新及時，只有少數由于應用軟件代他不兼容而導致服務器補更新不及時?？谄渌?.安全事件 管理口制定安全事件報告和處置管理制度，能及時響應安全事故，并從安全事故中學習總結?？谀芗皶r響應安全事故?？谄渌?。10.風險評估口信息系統投入運行后，應每年至少進彳L次關鍵業(yè)務或 關鍵風險點的信息安全風險評估，每三年或信息系統發(fā)生 重大變更時，進彳L次全面的信息安全風險評估工作?？谛畔⑾到y投入運行后，每兩年進彳L次關鍵業(yè)務的信

20、息 安全風險評估。口其它。6 .物理安全機房安全管控措施、防災措施、供電和通信系統的保障措施等。序號檢查項結果備注1物理位置選擇。機房和辦公場地所在的 建筑，抗拒人為破壞和 自然災害的能力。口機房和辦公場地所在的建筑周邊具備防止 無關人員接近的措施，并且根據當地的自然環(huán) 境設置了必要的防震、防火和防水的措施。口機房和辦公場地所在的建筑具備基本的抗 拒人為破壞和自然災害的能力，但防護強度后待提高。口其它。2機房出入控制情況口設置專人和自動化技術措施，對出入機房 的人員進行全面的鑒別、監(jiān)控和記錄?？谠O置專人或自動化技術措施，對出入機房的人員進行鑒別，但沒有監(jiān)控和完整的記錄?？谄渌?。3機房環(huán)境。機房

21、配備防火、防水、 防雷、防靜電、溫度濕 度調節(jié)等措施，并提供口機房環(huán)境保障完全達到相關國家標準的要 求?？谏俨糠謾C房環(huán)境保障措施沒有達到有美標 準要求，但可以在短時間內有效整改。充足穩(wěn)定的電源，為機 房中的設備提供良好的 運行環(huán)境?？谄渌?電磁防護。電源線和通信線纜口米用接地方式防止外界電磁干擾和設備寄 生耦合干擾；電源線和通信線纜隔離，避免互 相干擾。應隔離鋪設，避免 互相干擾。口其它。7 .網絡安全安全域劃分、邊界防護、內網防護、外部設備接入控制等情況。 網絡和信息系統的體系結構、各類安全保障措施的組合是否合理。序號檢查項結果備注1網絡拓撲結構圖口有正式的文檔化的網絡拓撲結構圖，且完全與

22、實際運行的網絡結構相吻合?？谟形臋n化的網絡拓撲結構圖，關鍵部分吻 合?？谄渌?。2網絡冗余設計口對關鍵網絡設備進行了冗余設計，以增強網絡的健壯性和可用性。口對部分關鍵網絡設備進行了冗余設計?？谄渌?網絡安全域劃分口按照信息資源的重要程度進行了細致的安 全域劃分?？诎凑招畔①Y源的重要程度進行了基本的安 全域劃分?？谄渌?。4安全域訪問控制口根據業(yè)務需要實施了嚴格的訪問控制措施?？趯嵤┝嗽L問控制措施，但訪問控制粒度較 粗。口其它5網絡準入控制。防止未授權人員接入 到網絡中來，以引入 安全風險。口有網絡準入控制措施，且嚴格執(zhí)行?？诩河袦嗜肟刂拼胧?，但未嚴格執(zhí)行。口其它。6網絡入侵防范口檢測網絡邊界處的

23、網絡攻擊行為，發(fā)生嚴重入侵事件時提供報警，并能及時響應和處理?？跈z測網絡邊界處的網絡攻擊行為，并提供報警?？谄渌?便于安全事件發(fā)生后 進行溯源追蹤口配備審計設備且進行了良好配置，能夠定期查看和分析審計日志?？谂鋫鋵徲嬙O備且進行了良好配置，但未能定期查看和分析審計日志?？谄渌? .設備和主機安全網絡交換設備、安全設備、主機和終端設備的安全性，操作系統 的安全配置、病毒防護、惡意代碼防范等。1）網絡設備、安全設備和終端設備防護序 號檢查項結果備注1.設備用戶身份標識?？诿總€設備的用戶擁有自己唯一的身份標識?？诟鶕脩袈氊熞孕〗M為單位分配身份標識?？谄渌?。2.管理員登錄地址限 制。通過對管理員登

24、錄 地址的限制，降低非 法網絡接入后取得 設備使用權限的可 能?？诠芾韱T只能通過有限的、 固定的IP地址和MAC 地址登錄。口管理員職能在一個固定的IP地址段登錄?？谄渌?.設備用戶身份鑒別。 通過嚴格的口令設 置和管理，保障身份 鑒別的準確性?？谠O備的登錄密碼復雜不易猜測、定期更換且加 密存儲?？谠O備的登錄密碼復雜不易猜測且加密存儲，但 沒有做到定期更換。口其它。4.登錄失敗處理。采用有效措施，對于失敗和異常的登錄活動進行妥善處理口米取結束會話、限制非法登錄次數和當網絡登 錄連接超時自動退出等措施?？诿兹〗Y束會話、限制非法登錄次數的措施?？谄渌?。5.管理信息防竊聽。米用有效措施對設 備的管理

25、信息進行 加密口對所有管理通信進行了加密?？趯﹁b別信息的通信進行了加密?？谄渌?。2）操作系統安全序 號檢查項結果備注1.身份標識。為操作系統和數 據庫系統用戶建 立身份標識?？谒胁僮飨到y和數據庫系統為其所有用戶建立了 唯一的用戶標識?？陉P鍵主機的操作系統和數據庫系統為其所有用戶 建立了唯一的用戶標識，而具它主機和終端的操作系 統和數據庫系統沒有為其所有用戶建立了唯一的用 戶標識?？谄渌?.身份鑒別。通過嚴格的口令口所有操作系統和數據庫系統的登錄密碼復雜不易 猜測、定期更換且加密存儲。設置和管理，保障 對操作系統和數 據庫系統身份鑒 別的準確性?？陉P鍵主機的操作系統和數據庫系統登錄密碼復雜

26、不易猜測、定期更換且加密存儲， 而其它主機和終端 的操作系統和數據庫的登錄密碼則不夠嚴格。口其它。3.訪問控制。加強服務器的用 戶權限管理。口所有服務器的操作系統和數據庫系統的特權用戶權限分離，默認賬戶和口令進行了修改， 無用的賬戶已刪除口關鍵主機的操作系統和數據庫系統機操作系統和數據庫系統的特權用戶權限分離， 默認賬戶和口令進 行了修改，無用的賬戶已刪除； 而具它主機和終端沒 后做到?？谄渌?.為操作系統和數 據庫系統部署有 效的審計措施。口審計范圍覆蓋重要服務器操作系統和數據庫的所有用戶的行為、資源使用情況和重要命令的執(zhí)行，以及這些活動的時間、主體標識、客體標識以及結果； 審計記錄被妥善

27、保存?？诮⒘酸槍χ匾掌鞑僮飨到y和數據庫的審計 措施，但沒有達到以上所有的要求。無審計措施。5.入侵防范。通過嚴格的安全 配置和補丁更新 消除可能被入侵 者利用的安全漏 洞。口操作系統僅安裝了必要的組件和應用程序，僅開 放了必要的服務，并且及時保持補更新以消除嚴重 的安全漏洞?？诓僮飨到y僅安裝了必要應用程序，關閉了大多數 無用的端口，刪除了大多數無用的系統組件，進行了部分補更新?？谄渌?。6.惡意代碼防范。通過防病毒技術 措施，對惡意代碼 進行有效監(jiān)控口為服務器和終端安裝防惡意代碼軟件，及時更新 防惡意代碼軟件版本和惡意代碼庫；支持防惡意代碼軟件的統一管理。口為服務器和終端安裝防惡意代碼軟件

28、，但防惡意代碼軟件版本和惡意代碼庫更新不及時；支持防惡意代碼軟件的統一管理，但少量服務器和終端未覆蓋 到?？谄渌?。7.資源控制。對用戶使用操作 系統資源的情況 進行合理的限制?？趯χ匾掌鞯牟僮飨到y和數據庫系統通過設定 終端接入方式、網絡地址范圍等條件限制終端登錄， 并當操作系統和數據庫系統的服務水平降低到預先 規(guī)定的最小值時，能夠監(jiān)測和報警?？诋敳僮飨到y和數據庫系統的服務水平降低到預先 規(guī)定的最小值時，能夠監(jiān)測和報警?？谄渌? .應用安全數據庫、WEB網站、日常辦公和業(yè)務系統等應用的安全設計、 配置和管理情況；關鍵應用系統開發(fā)過程中的質量控制和安全性測試 情況。序號檢查項結果備注1.身份

29、標識和鑒別。采用專用的登錄 控制模塊對登錄 用戶進行身份標 識和鑒別口各個應用系統均米用專用的登錄模塊，提供用 戶身份標識唯一和鑒別信息復雜度檢查功能，提供 登錄失敗處理功能。對關鍵應用系統中的同一用戶 采用兩種或兩種以上組合的鑒別技術實現用戶身 份鑒別。口關鍵系統中采用了身份標識和鑒別，但鑒別信 息復雜度檢查功能不足，弱口令現象存在。對關鍵 應用系統中的同一用戶采用一種鑒別技術實現用 戶身份鑒別。口各個系統均未采用身份標識與鑒別。2.訪問控制功能口不同帳戶為完成各自承擔任務所需的最小權 限，嚴格限制默認帳戶的訪問權限，特權用戶的權 限分離，權限之間相互制約。訪問控制的粒度到數 據級?？诓煌瑤?/p>

30、戶權限不是最小的。訪問控制的粒度到 功能級?？谠L問控制無限制。3.應用系統安全審 計口應用系統提供審計功能，對用戶的各類操作均 進行細致的審計（例如，用戶標識與鑒別、訪問控 制的所有操作記錄、重要用戶行為、系統資源的異 常使用、重要系統命令的使用等），并定期對應用系統重要安全事件的審計記錄進行檢查，分析異常 情況產生的原因。口應用系統提供審計功能，但審計不全面，僅記 錄重要的事件和操作?？趯τ脩舻牟僮鞑贿M行審計。4.通信完整性。采用密碼技術保 證通信過程中數 據的完整性?？趯χ匾畔⑾到y中的關鍵數據米用數據完整性 校驗技術?？谄渌?.通信保密性。通信過程中的整 個報文或會話過程進行加密口應用

31、系統的敏感數據通信過程均米用國家有關 部門要求的密碼技術保證保密性?？趹孟到y的敏感數據通信時米用密碼技術保證 保密性，但未采用國家有關部門要求的密碼技術?？谖床捎么胧┍Ｗo通信保密性。6.應用系統業(yè)務軟 件容錯功能口提供數據有效性檢驗功能，保證輸入的數據格 式和長度符合系統設定要求。重要應用系統提供自 動保護功能，當故障發(fā)生時自動保護當前所有狀 態(tài)，保證系統能夠進行恢復?？谔峁祿行詸z驗功能，但系統出現問題時 不能自動恢復。:口不提供軟件容錯功能。7.應用系統資源控 制能力口對于重要的應用系統，限制單個帳戶的多重并 發(fā)會話，當應用系統的服務水平降低到預先設定的 最小值時，系統報警?？趯τ谥匾膽孟到y，限制單個帳戶的多重并 發(fā)會話。口應用系統不提供資源控制功能。10 .數據安全數據訪問控制情況，服務器、用戶終端、數據庫等數據加密保護 能力，磁盤、光盤、U盤和移動硬盤等存儲介質管理情況，數據備份 與恢復手段等。序號檢查項結果備注1.業(yè)務數據完整性口對重要業(yè)務數據在傳輸和存儲時米取了必要 的完整性保證措施?？谄渌?.業(yè)務數據保密性口對重要業(yè)務數據在傳輸和存儲時米取了加密 措施?？谄渌?.配置數據文件口重要設備的配置數據文件離線存放，統一管 理?？谥匾O備的配置文件離線存放，但無