涉密信息系統(tǒng)、涉密信息設(shè)備和涉密存儲設(shè)備風(fēng)險自評估報告

涉密信息系統(tǒng)、涉密信息設(shè)備和涉密存儲設(shè)備風(fēng)險自評估報告編號：BMB/HEU-FXPJ-01版本：V1.05涉密信息設(shè)備編號密級負(fù)責(zé)人使用人評估時間范圍評估時間評估人簽字涉密信息設(shè)備、存儲設(shè)備風(fēng)險自評估報告從物理安全、系統(tǒng)安全、信息安全、運行管理及應(yīng)急安全四個方面進(jìn)行風(fēng)險綜合評估，以查找其脆弱性和威脅，確定風(fēng)險和隱患，及時采取整改措施。該風(fēng)險評估報告評估等級的計算對各級分類單獨計算。如涉及違反《武器裝備科研生產(chǎn)單位一級保密資格評分標(biāo)準(zhǔn)》中的基本條目或重點扣分條目時，該信息設(shè)備、存儲設(shè)備自評估風(fēng)險等級為高風(fēng)險，不再按分值計算。其中，基本項和重點扣分項條目已用加粗字體標(biāo)識。2.2評估計算方法評估內(nèi)容中，每項評估條目滿分2分，根據(jù)實際情況進(jìn)行打分。如此項不涉及按照2分對于相應(yīng)的分類風(fēng)險評估等級，計算所有涉及的條目得分，滿分為低風(fēng)險，得分不為滿分且大于等于滿分的70%為中風(fēng)險，得分小于滿分的70%為高風(fēng)險。該風(fēng)險自評估報告與審計報告一同上報信息化處。3.1物理設(shè)備安全評估（滿分56分）3.1.1物理和環(huán)境安全評估（滿分10分）（1）涉密場所安裝防盜門。□未安裝得分0分，□未安裝但有監(jiān)控等安防措施得1分，□已安裝得2分（2）安裝防盜窗?！跷窗惭b得0分，□未安裝且處于較高樓層得1分，□（3）涉密場所采用電子門禁系統(tǒng)、視頻監(jiān)控系統(tǒng)、防盜報警系統(tǒng)對人員出入情況進(jìn)行監(jiān)□場所為要害部位且未安裝得0分，□場所為要害部位且已安裝部分安防系統(tǒng)得1分，□場所為要害部位安防系統(tǒng)正常運行或場所為一般涉密場所安裝部分安防系統(tǒng)得2分（4）要害部位做到對進(jìn)入人員進(jìn)行登記。□未登記得0分，□未登記完整或信息要素不全得1分，□已登記完整且信息要素齊全或不涉及此項得2分（5）涉密場所有非涉密計算機時獨立劃分工作區(qū)域，涉密計算機與非涉密設(shè)備和偶然導(dǎo)體保持安全警戒距離且沒有置于同一金屬平臺，上網(wǎng)機禁止安裝攝像頭、麥克風(fēng)等音視頻輸入設(shè)備?！跷磩澐只蛘呱暇W(wǎng)機裝有音視頻輸入設(shè)備得0分，□劃分獨立區(qū)域，但不滿足警戒距離要求得1分，□劃分獨立區(qū)域，且滿足上述要求或不涉及此項得2分風(fēng)險評估類別風(fēng)險評估項該子項得分得分所占比例風(fēng)險評估等級物理設(shè)備安全評估物理和環(huán)境安全評估□高□中□低3.1.2通信和傳輸安全評估（滿分6分）（1）各涉密單位，如需使國家普通密碼產(chǎn)品，須制定專門的密碼產(chǎn)品保護(hù)方案，報保密處進(jìn)行審核?！跏褂妹艽a產(chǎn)品，未進(jìn)行管理0分，□未使用密碼產(chǎn)品，或使用密碼產(chǎn)品并有相應(yīng)保護(hù)方案得2分（2）涉密信息設(shè)備的電源必須使用紅黑電源隔離插座，多臺涉密信息設(shè)備可在紅黑電源隔離插座后串接普通插座使用。（3）機密級涉密計算機，須安裝視頻干擾器。視頻干擾器遵循先開后關(guān)原則，即電腦開啟前先打開，電腦關(guān)閉后再關(guān)閉?！跷词褂玫?分，□不涉及或按規(guī)定使用得2分風(fēng)險評估類別風(fēng)險評估項該子項得分得分所占比例風(fēng)險評估等級物理設(shè)備安全評估通信和傳輸安全評估□高□中□低3.1.2信息設(shè)備安全評估（滿分28分）（1）涉密計算機及與其相關(guān)的涉密辦公自動化設(shè)備、涉密移動存儲介質(zhì)已建立涉密設(shè)備臺賬，均已標(biāo)明密級、編號、責(zé)任人。□未建立臺賬得0分，□已建立涉密設(shè)備臺賬但臺賬要素不完整得1分，□已建立臺賬且臺賬要素完整得2分（2）涉密計算機建立全生命周期管理檔案，相關(guān)記錄齊全?！跷唇⑷芷诠芾頇n案得0分，□建立全生命周期管理檔案，但相關(guān)記錄不齊全得1分，□已建立全生命周期管理檔案且相關(guān)記錄齊全得2分（3）涉密、非涉密計算機及相關(guān)設(shè)備按規(guī)定粘貼學(xué)校統(tǒng)一設(shè)計制定的標(biāo)識?！跷凑迟N標(biāo)識得0分，□只有部分按規(guī)定粘貼學(xué)校統(tǒng)一設(shè)計制定的標(biāo)識得1分，□全都按規(guī)定粘貼學(xué)校統(tǒng)一設(shè)計制定的標(biāo)識得2分。（4）涉密計算機遠(yuǎn)離暖氣管道、通風(fēng)管道、上下水管、電話、有線報警系統(tǒng)等偶然導(dǎo)體?！跷催h(yuǎn)離偶然導(dǎo)體得0分，□遠(yuǎn)離偶然導(dǎo)體得2分（5）涉密計算機及與其相關(guān)的涉密設(shè)備的屏幕、投影擺放不易被無關(guān)人員直視或采用遮擋措施。（6）涉密計算機的電源采用濾波電源。（7）機密級計算機采用視頻信號干擾儀?！跷床捎玫?分，□已采用或不涉及此項得2分（8）按規(guī)定程序?qū)ι婷苡嬎銠C進(jìn)行變更和調(diào)整，記錄齊全且與實際相符?！跷窗匆?guī)定程序且記錄不齊全且與實際不符得0分，□未按規(guī)定程序或記錄不齊全或不與實際相符得1分，□按照規(guī)定執(zhí)行或不涉及此項得2分（9）未擅自卸載、修改涉密計算機的安全技術(shù)程序、管理程序。□擅自卸載和修改得0分，□未擅自卸載和修改得2分（10）涉密計算機未連接非涉密設(shè)備或非涉密移動存儲介質(zhì)。（11）高密級存儲設(shè)備禁止接入低密級信息設(shè)備?！跻呀尤氲?分，□未接入或不涉及此項得2分（12）未超出涉密計算機的涉密等級進(jìn)行存儲、處理、傳輸涉密信息?！醭龅燃壍?分，□未超出等級得2分（13）與涉密計算機相關(guān)的輸出設(shè)備明確專人進(jìn)行管理，實行登記審批制度且限制非授權(quán)打印輸出?！跷磮?zhí)行得0分，□未完全執(zhí)行得1分，□嚴(yán)格執(zhí)行或不涉及此項得2分（14）專用信息設(shè)備或者信息系統(tǒng)，已經(jīng)明確涉密等級和保護(hù)要求，已采取相應(yīng)的安全控制措施?！跷疵鞔_等級且無安全控制措施得0分，□未明確等級或無安全控制措施得1分，□明確等級且具有安全控制措施或不涉及此項得2分風(fēng)險評估類別風(fēng)險評估項該子項得分得分所占比例風(fēng)險評估等級物理設(shè)備安全評估信息設(shè)備安全評估□高□中□低3.1.3存儲設(shè)備安全評估（滿分12分）（1）涉密介質(zhì)標(biāo)明密級、編號、責(zé)任人，按照不同類別粘貼的涉密標(biāo)識不易被涂改、損壞和丟失。□完全不符合要求得0分，□部分符合要求得1分，□全部符合要求得2分（2）不使用時的涉密信息存儲介質(zhì)存放在密碼文件柜內(nèi)?！跷窗匆?guī)定存放得0分，□已按規(guī)定存放得2分（3）不再需要的介質(zhì)按規(guī)定及時審批登記予以銷毀?！跷窗匆?guī)定審批和及時銷毀得0分，□未按規(guī)定審批或未及時銷毀得1分，□已按規(guī)定審批且及時銷毀得2分（4）涉密計算機禁止接入非涉密移動存儲介質(zhì)，涉密信息存儲介質(zhì)禁止接入非涉密計算□未按規(guī)定執(zhí)行得0分，□已按規(guī)定執(zhí)行得2分（5）低密級涉密移動信息介質(zhì)禁止存儲高密級涉密信息?！跷窗匆?guī)定執(zhí)行得0分，□已按規(guī)定執(zhí)行得2分（6）通過計算機防護(hù)系統(tǒng)對涉密計算機的端口進(jìn)行禁用控制，專用介質(zhì)需進(jìn)行認(rèn)證、授權(quán)和管理，輸出操作行為進(jìn)行記錄審計?！醴禽敵鰴C開放端口得0分，□禁用端口但專用介質(zhì)未授權(quán)或輸出無記錄審計得1分，□全部按規(guī)定執(zhí)行得2分風(fēng)險評估類別風(fēng)險評估項該子項得分得分所占比例風(fēng)險評估等級物理設(shè)備安全評估存儲設(shè)備安全評估□高□中□低物理安全總體評估情況風(fēng)險評估類別風(fēng)險評估項該子項得分得分所占比例風(fēng)險評估等級物理設(shè)備安全評估物理和環(huán)境安全評估□高□中□低通信和傳輸安全評估□高□中□低信息設(shè)備安全評估□高□中□低存儲設(shè)備安全評估□高□中□低物理安全總體評估□高□中□低3.2操作安全評估（滿分58分）（1）涉密計算機設(shè)置開機密碼、USBKEY密碼、操作系統(tǒng)密碼、啟用屏幕保護(hù)恢復(fù)密□未設(shè)置密碼得0分，□設(shè)置部分密碼得1分，□按規(guī)（2）根據(jù)涉密等級設(shè)置符合長度、復(fù)雜性要求的密碼，并定期更換。設(shè)置強制定期更改密碼提示，設(shè)置密碼復(fù)雜度提示。□密碼不符合要求且不更換且無提醒得0分，□密碼不符合要求或不及時更換或無（3）妥善保管USBKEY和密碼，離開涉密機時USBKEY及時拔出，離開涉密場所時將USBKEY存放于密碼文件柜內(nèi)?！鮑SBKEY未安全存放得0分，□USBKEY未及時安全存放得1分，□按規(guī)定執(zhí)（4）身份鑒別措施根據(jù)涉密人員崗位和密級變化及時調(diào)整，USBKEY等身份鑒別裝置、賬戶信息與真實用戶相符?！跷凑{(diào)整身份鑒別措施得0分，□未及時調(diào)整或與實際用戶不符得1分，□按規(guī)定（5）未經(jīng)授權(quán)，禁止知悉和掌握他人的身份鑒別裝置和登錄信息，USBKEY等身份鑒別裝置參照國家秘密載體的要求進(jìn)行管控。□未按秘密載體要求管控得0分，□按規(guī)定執(zhí)行得2分風(fēng)險評估類別風(fēng)險評估項該子項得分得分所占比例風(fēng)險評估等級操作安全評估身份鑒別評估□高□中□低3.2.2訪問控制評估（滿分26分）（1）涉密計算機實行強制訪問控制策略。（2）機密級計算機經(jīng)批準(zhǔn)授權(quán)后使用與責(zé)任人綁定的USBKEY登錄系統(tǒng)?！跷词褂玫?分，□按規(guī)定執(zhí)行或不涉及此項得2分（3）多人共用涉密計算機時單獨建立賬戶訪問，禁止非授權(quán)訪問和獲取他人涉密信息?！跷唇为氋~號得0分，□建立單獨賬號但未禁止非授權(quán)訪問得1分，□按規(guī)定執(zhí)行或不涉及此項得2分（4）管理員用戶密碼設(shè)置禁止為空，關(guān)閉無關(guān)用戶（如guest）?！跷唇篂榭涨椅搓P(guān)閉無關(guān)用戶得0分，□未禁止為空或未關(guān)閉無關(guān)用戶得1分，□按規(guī)定執(zhí)行得2分（5）BIOS啟動項設(shè)為硬盤，禁止設(shè)置光盤為啟動項，設(shè)置BIOS啟動密碼?！跷丛O(shè)置BIOS密碼得0分，□設(shè)置BIOS密碼，但啟動盤為其它盤得1分，□按規(guī)（6）常規(guī)狀態(tài)時關(guān)閉涉密計算機所有端口、共享、服務(wù)、鏈接和系統(tǒng)授權(quán)，在需要時按規(guī)定審批，根據(jù)實際情況有限制的開放?！跷搓P(guān)閉端口得0分，□關(guān)閉端口但未按審批限制開放得1分，□按規(guī)定執(zhí)行得2分（7）禁用網(wǎng)絡(luò)連接設(shè)備。（8）外部信息設(shè)備經(jīng)審批后安裝，禁止涉密設(shè)備與非涉密的外部設(shè)備連接。□未審批且未禁止得0分，□未審批或未禁止得1分，□按規(guī)定執(zhí)行得2分（9）定期對涉密計算機訪問控制策略和審計記錄進(jìn)行審查，確認(rèn)未經(jīng)授權(quán)的訪問情況。（10）在審查時發(fā)現(xiàn)非授權(quán)訪問及時匯報并采取有效措施予以控制，防止非授權(quán)訪問的延續(xù)與擴大?！跷磪R報和控制得0分，□未及時匯報和控制得1分，□按規(guī)定執(zhí)行得2分（11）涉密信息和重要信息的輸出實施嚴(yán)格控制，防止被非授權(quán)訪問和獲取。□未嚴(yán)格控制得0分，□按規(guī)定執(zhí)行得2分（12）涉密計算機禁用共享服務(wù)，未經(jīng)過批準(zhǔn)禁止開放端口?！跷唇霉蚕矸?wù)和未經(jīng)批準(zhǔn)開放端口得0分，□未禁用共享服務(wù)或未經(jīng)批準(zhǔn)開放（13）采用無線方式接入涉密信息系統(tǒng)或者涉密計算機，須采用國家保密行政管理部門和國家密碼管理部門檢測合格的安全保密設(shè)施和密碼設(shè)備，并制定專門的安全保密方案并報國家保密行政管理部門審查?！跷窗匆?guī)定執(zhí)行得0分，□按規(guī)定執(zhí)行得2分風(fēng)險評估類別風(fēng)險評估項該子項得分得分所占比例風(fēng)險評估等級操作安全評估訪問控制評估□高□中□低3.2.3非涉密信息導(dǎo)入安全評估（滿分6分）（1）非涉密信息導(dǎo)入涉密計算機使用非涉密中間機?！跷词褂梅巧婷苤虚g機得0分，□使用但登記不完整得1分，□按規(guī)定執(zhí)行得2分（2）非涉密信息為電子文檔：使用非涉密中間轉(zhuǎn)換盤將非涉密信息系統(tǒng)的信息導(dǎo)入中間機中，經(jīng)病毒查殺，并在《涉密信息設(shè)備全生命周期使用登記簿（端口、管理員KEY、多人共用、中間機）》（BMB/HEU-JZSY-01）登記操作記錄，填寫《涉密信息設(shè)備全生命周期使用登記簿（信息導(dǎo)入審批單）》（BMB/HEU-JZSY-02）定密責(zé)任人、計算機安全保密管理員審批后通過單向?qū)牒袑?dǎo)入涉密計算機?；蛟谥虚g機殺毒后采用一次性寫入光盤的形式刻錄此信息，涉密計算機開放相應(yīng)端口，填寫《涉密信息設(shè)備全生命周期使用登記簿（端口、管理員KEY、多人共用、中間機）》（BMB/HEU-JZSY-01）和《涉密信息設(shè)備全生命周期使用登記簿（信息導(dǎo)入審批單）》（BMB/HEU-JZSY-02）定密責(zé)任人、計算機安全保密管理員審批后，導(dǎo)入涉密計算機中，記錄傳輸內(nèi)容，使用的光盤須存檔?！跷窗匆?guī)定執(zhí)行得0分，□執(zhí)行但登記審批不完整得1分，□按規(guī)定執(zhí)行得2分（3）非涉密信息為光盤，且光盤數(shù)據(jù)為加密數(shù)據(jù)無法復(fù)制，或光盤為正版操作系統(tǒng)、驅(qū)動程序：使用非涉密中間機對光盤進(jìn)行病毒查殺，并在《涉密信息設(shè)備全生命周期使用登記簿（端口、管理員KEY、多人共用、中間機）》（BMB/HEU-JZSY-01）記錄傳輸內(nèi)容，確認(rèn)數(shù)據(jù)無異常后，涉密計算機開放相應(yīng)端口，填寫《涉密信息設(shè)備全生命周期使用登記簿（端口、管理員KEY、多人共用、中間機）》（BMB/HEU-JZSY-01）和《涉密信息設(shè)備全生命周期使用登記簿（信息導(dǎo)入審批單）》（BMB/HEU-JZSY-02）定密責(zé)任人、計算機安全保密管理員審批后，導(dǎo)入涉密計算機中?！跷窗匆?guī)定執(zhí)行得0分，□執(zhí)行但登記審批不完整得1分，□按規(guī)定執(zhí)行得2分風(fēng)險評估類別風(fēng)險評估項該子項得分得分所占比例風(fēng)險評估等級操作安全評估非涉密信息導(dǎo)入安全評估□高□中□低3.2.4涉密信息導(dǎo)入安全評估（滿分6分）（1）涉密中間機原則上只接收外來涉密光盤。（2）外來涉密光盤數(shù)據(jù)可以復(fù)制：將外來光盤信息導(dǎo)入涉密中間機，進(jìn)行病毒與惡意代碼查殺，并在《涉密信息設(shè)備全生命周期使用登記簿（端口、管理員KEY、多人共用、中間填寫《涉密信息設(shè)備全生命周期使用登記簿（信息導(dǎo)入審批單）》（BMB/HEU-JZSY-02）定密責(zé)任人、計算機安全保密管理員審批后，通過涉密中間轉(zhuǎn)化盤將數(shù)據(jù)拷入其他涉密計算機中，使用的光盤要存檔?！跷窗匆?guī)定執(zhí)行得0分，□執(zhí)行但登記審批不完整得1分，□按規(guī)定執(zhí)行得2分（3）外來涉密光盤數(shù)據(jù)為加密數(shù)據(jù)，無法復(fù)制：使用涉密中間機對光盤進(jìn)行病毒查殺，并在《涉密信息設(shè)備全生命周期使用登記簿（端口、管理員KEY、多人共用、中間機）》（BMB/HEU-JZSY-01）記錄傳輸內(nèi)容，確認(rèn)數(shù)據(jù)無異常后，填寫《涉密信息設(shè)備全生命周期使用登記簿（端口、管理員KEY、多人共用、中間機）》（BMB/HEU-JZSY-01）和《涉密信息設(shè)備全生命周期使用登記簿（信息導(dǎo)入審批單）》（BMB/HEU-JZSY-02）定密責(zé)任人、計算機安全保密管理員審批后，該光盤可以直接接入涉密計算機使用?！跷窗匆?guī)定執(zhí)行得0分，□執(zhí)行但登記審批不完整得1分，□按規(guī)定執(zhí)行得2分（4）外來涉密信息為涉密移動硬盤：計算機安全保密管理員須針對硬盤的VID和PID值做特殊放行，放行后將數(shù)據(jù)拷入涉密中間機，對數(shù)據(jù)進(jìn)行病毒查殺，并在《涉密信息設(shè)備全生命周期使用登記簿（端口、管理員KEY、多人共用、中間機）》（BMB/HEU-JZSY-01）記錄傳輸內(nèi)容，確認(rèn)無誤后，填寫《涉密信息設(shè)備全生命周期使用登記簿（信息導(dǎo)入審批單）》（BMB/HEU-JZSY-02）定密責(zé)任人、計算機安全保密管理員審批后，通過涉密中間轉(zhuǎn)換盤將數(shù)據(jù)拷入其他涉密計算機，完成后，計算機安全保密管理員將開放的端口關(guān)閉，并取消放行規(guī)□未按規(guī)定執(zhí)行得0分，□執(zhí)行但登記審批不完整得1分，□按規(guī)定執(zhí)行得2分風(fēng)險評估類別風(fēng)險評估項該子項得分得分所占比例風(fēng)險評估等級操作安全評估涉密信息導(dǎo)入安全評估□高□中□低3.2.5信息導(dǎo)出安全評估（滿分10分）（1）涉密計算機輸出所有資料（涉密、非涉密）在《涉密信息設(shè)備全生命周期使用登記簿（打印、刻錄、復(fù)印）》（BMB/HEU-XXSC-01）登記，輸出類別填寫打印、刻錄或復(fù)印，注明去向，審批人（定密責(zé)任人）審批。□未按規(guī)定執(zhí)行得0分，□執(zhí)行但登記審批不完整得1分，□按規(guī)定執(zhí)行得2分（2）項目組由定密責(zé)任人審批，學(xué)院機關(guān)，學(xué)校機關(guān)部處由各個業(yè)務(wù)科室負(fù)責(zé)人審批，其他審批人可由相關(guān)定密責(zé)任人或負(fù)責(zé)人授權(quán)審批（須有書面授權(quán)書）。□未按規(guī)定執(zhí)行得0分，□執(zhí)行但登記審批不完整得1分，□按規(guī)定執(zhí)行得2分（3）涉密計算機輸出的廢頁經(jīng)審批人批準(zhǔn)后銷毀（廢頁為制作時出現(xiàn)錯誤，既無法使用又未體現(xiàn)國家秘密的紙張）。□未按規(guī)定執(zhí)行得0分，□執(zhí)行但登記審批不完整得1分，□按規(guī)定執(zhí)行得2分（4）輸出涉密過程文件資料須按照涉密載體進(jìn)行管理，禁止自行銷毀。□未按規(guī)定執(zhí)行得0分，□執(zhí)行但登記審批不完整得1分，□按規(guī)定執(zhí)行得2分（5）廢頁為由于硒鼓缺墨或其他原因?qū)е碌牟荒荏w現(xiàn)完整內(nèi)容的頁面，打印出的廢頁經(jīng)審批人簽字后可以自行銷毀?！跷窗匆?guī)定執(zhí)行得0分，□執(zhí)行但登記審批不完整得1分，□按規(guī)定執(zhí)行得2分風(fēng)險評估類別風(fēng)險評估項該子項得分得分所占比例風(fēng)險評估等級操作安全評估信息導(dǎo)出安全評估□高□中□低操作安全總體評估情況風(fēng)險評估類別風(fēng)險評估項該子項得分得分所占比例風(fēng)險評估等級操作安全評估身份鑒別評估□高□中□低訪問控制評估□高□中□低非涉密信息導(dǎo)入安全評估□高□中□低涉密信息導(dǎo)入安全評估□高□中□低信息導(dǎo)出安全評估□高□中□低操作安全總體評估□高□中□低3.3應(yīng)用系統(tǒng)及數(shù)據(jù)安全評估（滿分24分）3.3.1應(yīng)用系統(tǒng)安全評估（滿分6分）（1）必須選擇具有國家相關(guān)資質(zhì)的應(yīng)用系統(tǒng)?！鯚o相應(yīng)資質(zhì)得0分，□不涉及或有相應(yīng)資質(zhì)得2分（2）應(yīng)用系統(tǒng)的實施必須滿足實際的訪問權(quán)限需求，禁止非授權(quán)訪問。□不滿足要求得0分，□不涉及或滿足相應(yīng)要求得2分（3）應(yīng)用系統(tǒng)安全同時應(yīng)滿足網(wǎng)絡(luò)安全、數(shù)據(jù)通訊安全、操作系統(tǒng)安全、數(shù)據(jù)庫安全、應(yīng)用程序安全、終端安全等安全機制。□不滿足要求得0分，□不涉及或滿足相應(yīng)要求得2分風(fēng)險評估類別風(fēng)險評估項該子項得分得分所占比例風(fēng)險評估等級應(yīng)用系統(tǒng)及數(shù)據(jù)安全評估應(yīng)用系統(tǒng)安全評估□高□中□低3.3.2信息交換安全評估（滿分6分）（1）涉密計算機與互聯(lián)網(wǎng)和其他公共網(wǎng)絡(luò)實現(xiàn)物理隔離，防止非法設(shè)備與涉密設(shè)備發(fā)生連接，防止涉密設(shè)備非法外聯(lián)?！醪粷M足要求得0分，□滿足要求得2分（2）涉密計算機均安裝“三合一”防護(hù)系統(tǒng)，并具有違規(guī)外聯(lián)報警功能；所有涉密移動存儲介質(zhì)均為滿足國家要求的涉密專用介質(zhì)，也具有違規(guī)外聯(lián)報警功能?！醪粷M足要求得0分，□滿足要求得2分（3）涉密信息系統(tǒng)內(nèi)的數(shù)據(jù)傳輸或使用的應(yīng)用系統(tǒng)應(yīng)具備信息完整性檢測功能，及時發(fā)現(xiàn)涉密信息被篡改、刪除、插入等情況，并生成審計日志?！醪粷M足要求得0分，□不涉及或滿足要求得2分風(fēng)險評估類別風(fēng)險評估項該子項得分得分所占比例風(fēng)險評估等級應(yīng)用系統(tǒng)及數(shù)據(jù)安全評估信息交換安全評估□高□中□低3.3.3數(shù)據(jù)和數(shù)據(jù)庫安全評估（滿分4分）（1）涉密信息系統(tǒng)中重要數(shù)據(jù)庫應(yīng)采用安全加強措施，保證數(shù)據(jù)庫的安全使用?！跷床扇〈胧┑?分，□不涉及此項或按要求執(zhí)行得2分（2）主機審計服務(wù)器數(shù)據(jù)庫已定期備份。風(fēng)險評估類別風(fēng)險評估項該子項得分得分所占比例風(fēng)險評估等級應(yīng)用系統(tǒng)及數(shù)據(jù)安全評估數(shù)據(jù)和數(shù)據(jù)庫安全評估□高□中□低3.3.4備份與恢復(fù)安全評估（滿分6分）（1）定期備份系統(tǒng)數(shù)據(jù)文件。（2）安全審計日志和重要業(yè)務(wù)數(shù)據(jù)采取數(shù)據(jù)備份技術(shù)，確保數(shù)據(jù)完整性。□未備份得0分，□備份但數(shù)據(jù)不完整得1分，□備份且數(shù)據(jù)完整得2分（3）所有涉密信息、數(shù)據(jù)的備份設(shè)備和介質(zhì)視同處理涉密信息的信息設(shè)備和介質(zhì)管理?！跷窗瓷婷苄畔⒃O(shè)備和介質(zhì)管理得0分，□按涉密信息設(shè)備和介質(zhì)管理得2分風(fēng)險評估類別風(fēng)險評估項該子項得分得分所占比例風(fēng)險評估等級應(yīng)用系統(tǒng)及數(shù)據(jù)安全評估備份與恢復(fù)安全評估□高□中□低3.3.5開發(fā)和維護(hù)安全評估（滿分2分）如涉及開發(fā)和維護(hù)安全時，應(yīng)按照數(shù)據(jù)安全、運行安全、系統(tǒng)安全、物理安全、人員安全等策略實施?！醪粷M足要求得0分，□不涉及或滿足相應(yīng)要求得2分風(fēng)險評估類別風(fēng)險評估項該子項得分得分所占比例風(fēng)險評估等級應(yīng)用系統(tǒng)及數(shù)據(jù)安全評估開發(fā)和維護(hù)安全評估□高□中□低應(yīng)用系統(tǒng)及數(shù)據(jù)安全總體評估情況風(fēng)險評估類別風(fēng)險評估項該子項得分得分所占比例風(fēng)險評估等級應(yīng)用系統(tǒng)及數(shù)據(jù)安全評估應(yīng)用系統(tǒng)安全評估□高□中□低信息交換安全評估□高□中□低數(shù)據(jù)和數(shù)據(jù)庫評估□高□中□低備份與恢復(fù)安全評估□高□中□低開發(fā)和維護(hù)安全評估□高□中□低應(yīng)用系統(tǒng)及數(shù)據(jù)安全總體評估□高□中□低3.4安全審計評估（滿分40分）3.4.1主機審計基本要求評估（滿分4分）（1）秘密級計算機每3個月導(dǎo)出審計日志，結(jié)合自查情況，填寫《哈爾濱工程大學(xué)涉密涉密信息設(shè)備和涉密存儲設(shè)備安全保密審計報告》（BMB/HEU-SJBG-014份/臺年機密級計算機每1個月導(dǎo)出審計日志，結(jié)合自查情況，填寫《哈爾濱工程大學(xué)涉密涉密信息設(shè)備和涉密存儲設(shè)備安全保密審計報告》（BMB/HEU-SJBG-0110份/臺年內(nèi)部計算機和信息系統(tǒng)每半年進(jìn)行安全審計并填寫《哈爾濱工程大學(xué)涉密涉密信息設(shè)備和涉密存儲設(shè)備安全保密審計報告》（BMB/HEU-SJBG-014份/臺年互聯(lián)網(wǎng)計算機和信息系統(tǒng)每3個月進(jìn)行安全審計并填寫《哈爾濱工程大學(xué)涉密涉密信息設(shè)備和涉密存儲設(shè)備安全保密審計報告》（BMB/HEU-SJBG-014份/臺年各涉密處級單位匯總，按照時間要求報送至信息化處?！跷葱纬蓪徲媹蟾娴?分，□未指定安全審計報告或未定期形成審計報告得1分，□按要求執(zhí)行得2分（2）審計記錄存儲至少保存一年，并保證有足夠的空間存儲審計記錄，防止由于存儲空間溢出造成審計記錄的丟失?！鯚o審計記錄得0分，□內(nèi)容不完整或保存時間不足或未定期審查分析或未授權(quán)查風(fēng)險評估類別風(fēng)險評估項該子項得分得分所占比例風(fēng)險評估等級安全審計評估主機審計基本要求評估□高□中□低3.4.2涉密信息系統(tǒng)審計內(nèi)容評估（滿分20分，不重復(fù)計算）（1）整體運行情況：包括設(shè)備和用戶的在線和離線、系統(tǒng)負(fù)載均衡、網(wǎng)絡(luò)和交換設(shè)備、電力保障、機房防護(hù)等是否正常?！鯚o審計記錄得0分，□內(nèi)容不完整得1分，□不涉及或按要求執(zhí)行得2分（2）涉密信息系統(tǒng)服務(wù)器：對系統(tǒng)的域控制、應(yīng)用系統(tǒng)、數(shù)據(jù)庫、文件交換等服務(wù)的啟動、關(guān)閉，用戶登錄、退出時間，用戶的關(guān)鍵操作等進(jìn)行審計，查驗各個服務(wù)器的運行狀態(tài)。□無審計記錄得0分，□內(nèi)容不完整得1分，□不涉及或按要求執(zhí)行得2分（3）安全保密產(chǎn)品：對身份鑒別、訪問控制、防火墻、IDS、漏洞掃描、病毒與惡意代碼防護(hù)、網(wǎng)絡(luò)監(jiān)控審計、主機監(jiān)控審計、各種網(wǎng)關(guān)、打印和刻錄監(jiān)控審計等安全保密產(chǎn)品的功能以及自身安全性進(jìn)行審計。查驗各個安全保密產(chǎn)品的功能是否處于正常狀態(tài)，日志記錄是否完整，匯總并分析安全防護(hù)設(shè)備的日志記錄，發(fā)現(xiàn)是否存在未授權(quán)的涉密信息訪問、入侵報警事件、惡意程序與木馬、病毒大規(guī)模爆發(fā)、高風(fēng)險漏洞、違規(guī)拆卸或接入設(shè)備、擅自改變軟件配置、違規(guī)輸入輸出情形?！鯚o審計記錄得0分，□內(nèi)容不完整得1分，□不涉及或按要求執(zhí)行得2分（4）設(shè)備接入和變更情況：對信息設(shè)備接入和變更的審批流程、接入方式、控制機制等情況進(jìn)行審計，防止設(shè)備違規(guī)接入。對涉密信息系統(tǒng)服務(wù)器、用戶終端和涉密計算機重新安裝操作系統(tǒng)進(jìn)行審計，防止故意隱藏或銷毀違規(guī)記錄的行為。對試用人員和設(shè)備的變更審批、設(shè)備交接、授權(quán)策略和權(quán)限控制進(jìn)行審計、保證試用人員崗位變更后，無法查看和獲取超出知悉范圍的國家秘密信息?！鯚o審計記錄得0分，□內(nèi)容不完整得1分，□不涉及或按要求執(zhí)行得2分（5）應(yīng)用系統(tǒng)和數(shù)據(jù)庫：應(yīng)當(dāng)依據(jù)管理制度和訪問控制策略，對應(yīng)用系統(tǒng)和數(shù)據(jù)庫的身份鑒別、訪問控制強度和細(xì)粒度進(jìn)行審計，保證各個應(yīng)用系統(tǒng)和數(shù)據(jù)庫的涉密信息控制在各種主體的知悉范圍內(nèi)，并且能夠進(jìn)行安全傳遞和交換（如：通過安全審計分析用戶是否按照信息密級和知悉范圍進(jìn)行信息傳遞，審批人員是否認(rèn)真履行職責(zé)等）?！鯚o審計記錄得0分，□內(nèi)容不完整得1分，□不涉及或按要求執(zhí)行得2分（6）導(dǎo)入導(dǎo)出控制：對信息系統(tǒng)和信息設(shè)備的導(dǎo)入導(dǎo)出點的建立、管理和控制，以及審批流程、導(dǎo)入導(dǎo)出操作、存儲設(shè)備使用管理等進(jìn)行審計。特別要對是否存在以非涉密方式導(dǎo)出涉密信息的情形進(jìn)行審計，發(fā)現(xiàn)違規(guī)行為應(yīng)當(dāng)及時記錄、上報、并協(xié)助查處?！鯚o審計記錄得0分，□內(nèi)容不完整得1分，□不涉及或按要求執(zhí)行得2分（7）涉密信息、數(shù)據(jù)：對涉密信息和數(shù)據(jù)的產(chǎn)生、修改、存儲、交換、使用、輸出、歸檔、消除和銷毀等進(jìn)行審計。□無審計記錄得0分，□內(nèi)容不完整得1分，□不涉及或按要求執(zhí)行得2分（8）移動存儲設(shè)備：對移動存儲設(shè)備是否按照授權(quán)策略配置，以及管理、存放、借用、使用、歸還、報廢、銷毀情況進(jìn)行審計?！鯚o審計記錄得0分，□內(nèi)容不完整得1分，□不涉及或按要求執(zhí)行得2分（9）用戶操作行為：對涉密信息系統(tǒng)、涉密信息設(shè)備和涉密存儲設(shè)備用戶的關(guān)鍵操作行為進(jìn)行審計，發(fā)現(xiàn)用戶失誤或者違規(guī)操作行為?！鯚o審計記錄得0分，□內(nèi)容不完整得1分，□不涉及或按要求執(zhí)行得2分（10）管理和運行維護(hù)人員操作行為：通過信息系統(tǒng)、網(wǎng)絡(luò)設(shè)備、外部設(shè)備、應(yīng)用系統(tǒng)自身和安全保密產(chǎn)品的審計功能，結(jié)合人工文字記錄，準(zhǔn)確記錄和審計系統(tǒng)管理員、安全保密管理員的操作行為，如：登錄或退出事件、新建和刪除用戶、更改用戶權(quán)限、更改系統(tǒng)配置、改變安全保密產(chǎn)品狀態(tài)等?！鯚o審計記錄得0分，□內(nèi)容不完整得1分，□不涉及或按要求執(zhí)行得2分風(fēng)險評估類別風(fēng)險評估項該子項得分得分所占比例風(fēng)險評估等級安全審計評估涉密信息系統(tǒng)審計內(nèi)容評估□高□中□低3.4.3單臺涉密信息設(shè)備和涉密存儲設(shè)備審計內(nèi)容（滿分12分，不重復(fù)計算）（1）對其管理和使用情況進(jìn)行審計,特別是對專供外出使用的便攜式計算機等信息設(shè)備，應(yīng)當(dāng)對外出期間所攜帶的涉密文件和信息的操作、導(dǎo)入導(dǎo)出、設(shè)備接入和管控情況進(jìn)行審計。□無審計記錄得0分，□內(nèi)容不完整得1分，□不涉及或按要求執(zhí)行得2分（2）移動存儲設(shè)備：對移動存儲設(shè)備是否按照授權(quán)策略配置，以及管理、存放、借用、使用、歸還、報廢、銷毀情況進(jìn)行審計?！鯚o審計記錄得0分，□內(nèi)容不完整得1分，□不涉及或按要求執(zhí)行得2分（3）用戶操作行為：對涉密信息設(shè)備和涉密存儲設(shè)備用戶的關(guān)鍵操作行為進(jìn)行審計，發(fā)現(xiàn)用戶失誤或者違規(guī)操作行為。管理和運行維護(hù)人員操作行為：通過網(wǎng)絡(luò)設(shè)備、外部設(shè)備、應(yīng)用系統(tǒng)自身和安全保密產(chǎn)品的審計功能，結(jié)合人工文字記錄，準(zhǔn)確記錄和審計系統(tǒng)管理員、安全保密管理員的操作行為，如：登錄或退出事件、新建和刪除用戶、更改用戶權(quán)限、更改系統(tǒng)配置、改變安全保密產(chǎn)品狀態(tài)等?！鯚o審計記錄得0分，□內(nèi)容不完整得1分，□不涉及或按要求執(zhí)行得2分（5）涉密計算機的審計范圍包括：違規(guī)外聯(lián)日志、違規(guī)操作日志、文件操作日志、程序運行日志、上網(wǎng)行為日志、文件共享日志、文件打印日志、用戶登錄日志、網(wǎng)絡(luò)訪問日志、軟件安裝日志、違規(guī)使用日志、賬戶變更日志、刻錄審計日志、文件流入流出日志、服務(wù)監(jiān)控日志、主機狀態(tài)日志?！鯚o審計記錄得0分，□內(nèi)容不完整得1分，□不涉及或按要求執(zhí)行得2分（6）審計記錄內(nèi)容包括：日期時間、計算機用戶、事件分類、事件內(nèi)容、事件來源?！鯚o審計記錄得0分，□內(nèi)容不完整得1分，□不涉及或按要求執(zhí)行得2分風(fēng)險評估類別風(fēng)險評估項該子項得分得分所占比例風(fēng)險評估等級安全審計評估單臺涉密信息設(shè)備和涉密存儲設(shè)備審計內(nèi)容□高□中□低3.4.4非涉密信息系統(tǒng)、非涉密信息設(shè)備和非涉密存儲設(shè)備審計評估（滿分4分）（1）內(nèi)部信息系和信息設(shè)備：對內(nèi)部信息系統(tǒng)、內(nèi)部信息設(shè)備和內(nèi)部存儲設(shè)備的配置、管理、使用、控制、安全機制等進(jìn)行審計?！鯚o審計記錄得0分，□內(nèi)容不完整得1分，□不涉及或按要求執(zhí)行得2分（2）互聯(lián)網(wǎng)計算機：對互聯(lián)網(wǎng)計算機的配置、管理、使用、控制、安全機制等進(jìn)行審計?！鯚o審計記錄得0分，□內(nèi)容不完整得1分，□不涉及或按要求執(zhí)行得2分風(fēng)險評估類別風(fēng)險評估項該子項得分得分所占比例風(fēng)險評估等級安全審計評估非涉密信息系統(tǒng)、非涉密信息設(shè)備和非涉密存儲設(shè)備審計評估□高□中□低安全審計總體評估情況風(fēng)險評估類別風(fēng)險評估項該子項得分得分所占比例風(fēng)險評估等級安全審計評估主機審計基本要求評估□高□中□低涉密信息系統(tǒng)審計內(nèi)容評估□高□中□低單臺涉密信息設(shè)備和涉密存儲設(shè)備審計內(nèi)容□高□中□低非涉密信息系統(tǒng)、非涉密信息設(shè)備和非涉密存儲設(shè)備審計評估□高□中□低安全審計總體評估□高□中□低3.5運維安全評估（滿分72分）3.5.1運行管理評估（滿分26分）（1）申請涉密計算機按規(guī)定進(jìn)行審批。（2）涉密計算機密級、責(zé)任人、使用放置場所、軟硬件變更按規(guī)定審批并調(diào)整相應(yīng)臺賬信息。□未審批且未調(diào)整臺賬得0分，□未審批或未調(diào)整臺賬得1分，□按要求執(zhí)行得2分（3）重新安裝操作系統(tǒng)、安裝和拆卸涉密信息設(shè)備硬件或者外部設(shè)備的相關(guān)操作流程符合規(guī)定。□流程不符合規(guī)定得0分，□按要求執(zhí)行得2分（4）涉密便攜式計算機外出攜帶按規(guī)定進(jìn)行審批且進(jìn)行安全保密檢查，做好外出操作記錄，詳細(xì)記錄計算機使用情況。□未進(jìn)行保密審查和審批得0分，□未審批或未經(jīng)保密審查得1分，□按要求執(zhí)行（5）處理文檔的涉密計算機上使用規(guī)定版本的操作系統(tǒng)，并安裝系統(tǒng)補丁?！跷词褂靡?guī)定的操作系統(tǒng)和未安裝補丁得0分，□未使用規(guī)定的操作系統(tǒng)或未安裝（6）涉密信息系統(tǒng)和涉密信息設(shè)備使用的軟件統(tǒng)一管理并制定軟件白名單?！跷粗贫ㄜ浖酌麊蔚?分，□制定軟件白名單但未統(tǒng)一管理得1分□,按要求執(zhí)（7）臨時使用的軟件及應(yīng)用系統(tǒng)采取一次一批的管理辦法按規(guī)定進(jìn)行審批。（8）涉密設(shè)備維修時嚴(yán)格按照相關(guān)管理辦法做好審批，按規(guī)定與維修單位相關(guān)維修人員簽訂保密協(xié)議，認(rèn)真填寫設(shè)備維修日志檔案，維修過程全程旁站陪同。□未審批且維修過程不符合規(guī)定得0分，□未按規(guī)定審批或維修過程不符合規(guī)定得（9）涉密設(shè)備送外維修時，在具有相關(guān)保密資質(zhì)的單位進(jìn)行維修并與其簽訂保密協(xié)議。拆除所有可能存儲過涉密信息的硬件和固件，維修信息記錄詳細(xì)?！跷春炗啽Ｃ軈f(xié)議且維修過程不符合規(guī)定得0分，□未簽訂保密協(xié)議或維修過程不（10）與涉密計算機相關(guān)的不再使用的設(shè)備及其存儲部件辦理銷毀手續(xù)符合規(guī)定且記錄□未銷毀得0分，□未按規(guī)定銷毀或記錄不完整得1分，□按要求執(zhí)行得2分（11）涉密便攜式計算機不使用時存放在密碼文件柜內(nèi)。□未按規(guī)定存放得0分，□按要求執(zhí)行或不涉及此項得2分（12）由專人管理專供外出攜帶的涉密信息設(shè)備和涉密存儲設(shè)備，借出前或者歸還后按規(guī)定進(jìn)行保密檢查且與實際情況相符。□無專人管理且借出歸還未按規(guī)定進(jìn)行得0分，□無專人管理或借出歸還未按規(guī)定（13）不得修改、刪除涉密計算機保密技術(shù)防護(hù)專用系統(tǒng)的監(jiān)控程序報警回聯(lián)地址?！跷窗匆?guī)定執(zhí)行得0分，□按規(guī)定執(zhí)行得2分風(fēng)險評估類別風(fēng)險評估項該子項得分得分所占比例風(fēng)險評估等級運維安全評估運行管理評估□高□中□低3.5.2計算機病毒和惡意代碼防護(hù)評估（滿分12分）（1）涉密計算機安裝國產(chǎn)防病毒軟件與惡意代碼軟件，對系統(tǒng)進(jìn)行全面病毒掃描后投入□未安裝國產(chǎn)殺毒軟件得0分，□安裝國產(chǎn)殺毒軟件但未全面掃描得1分，□全部按規(guī)定執(zhí)行得2分（2）定期對殺毒軟件進(jìn)行更新，不取消殺毒功能。□軟件未更新或取消殺毒功能得0分，□軟件未及時更新得1分，□按規(guī)定執(zhí)行得（3）中間轉(zhuǎn)換機與涉密機采用不同的病毒查殺工具。□采用相同的病毒查殺工具得0分，□采用不同的病毒查殺工具得2分（4）殺毒軟件升級后立即進(jìn)行全盤查殺及時清除隔離區(qū)和未被刪除的病毒，對無法刪除的病毒及時上報信息化處?！跷床闅⒑颓宄椅瓷蠄蟮?分，□未及時查殺或清除病毒或未及時上報得1分，□按規(guī)定執(zhí)行得2分（5）病毒庫升級包經(jīng)過安全保密檢測，按照規(guī)定操作流程及頻率對殺毒軟件進(jìn)行升級。□未升級得0分，□未檢測或未按規(guī)定流程升級得1分，□按規(guī)定執(zhí)行得2分（6）被病毒感染的計算機中止信息交換等數(shù)據(jù)操作，直至病毒清除。風(fēng)險評估類別風(fēng)險評估項該子項得分得分所占比例風(fēng)險評估等級運維安全評估計算機病毒和惡意代碼防護(hù)評估□高□中□低3.5.3系統(tǒng)安全性能檢測評估（滿分8分）（1）已進(jìn)行非法外聯(lián)等安全性能檢測?！跷催M(jìn)行檢測得0分，□已進(jìn)行安全檢測得2分（2）對檢測數(shù)據(jù)進(jìn)行詳細(xì)記錄和分析，對發(fā)現(xiàn)的漏洞和脆弱點及時修補。□未分析檢測數(shù)據(jù)得0分，□未及時發(fā)現(xiàn)漏洞或未及時修補得1分，□完成情況良（3）涉密信息系統(tǒng)、涉密信息設(shè)備和涉密存儲設(shè)備自檢自查定期執(zhí)行。（4）非涉密信息系統(tǒng)、非涉密信息設(shè)備和非涉密存儲設(shè)備自檢自查定期執(zhí)行。風(fēng)險評估類別風(fēng)險評估項該子項得分得分所占比例風(fēng)險評估等級運維安全評估系統(tǒng)安全性能檢測評估□高□中□低3.5.4操作系統(tǒng)策略安全評估（滿分32分）（1）用戶屬性禁止選擇“密碼永不過期”。（2）密碼策略須啟用“密碼必須符合復(fù)雜性要求”。（3）密碼長度最小值按照不同密級輸入數(shù)字。（4）密碼最長留存期按照不同密級輸入數(shù)字。（7）帳戶鎖定閾值設(shè)置為“5次無效登錄”。（8）重置帳戶鎖定計數(shù)器設(shè)置為“30分鐘之后”。（9）審核策略更改設(shè)置為“成功、失敗