1、 深圳市沙井中学网络安全检查登记表 检查汇总表 检查时间: 2010 年 4 月 7 日 检查人员 章卫红 被查单位 网络中心 服务器名称 硬件序列号 服务器型号 用途 硬件配置 IP 地 址 存在问题: 处理方法和结果: 备注 检查人 章卫红 负责人 章卫红 填表说明 1.沙井中学网络安全检查登记表:每学期开学时开启校园网站至期末 时关闭网站,其中开学、期中和期末分三次记录检查情况,包括检查 汇总表 、 操作系统安全检查登记表 、 安全防护软件检查登记表 、 Web 服务软件安全检查登记表 、 网站内容安全检查登记表和系 统安全漏洞检查登记表6 部分。 2.全面检查时 1 台服务器及其上安装
2、的操作系统、相关软件和网站等填写 1 套表格。例如:1 台服务器安装了 1 套操作系统、 1 套安全防护软件、 1 套 Web 服务软件和 3 个网站,应填写检查汇总表1 张, 操作系统 安全检查登记表 、 安全防护软件检查登记表 、 Web 服务软件安全检 查登记表各 1 张, 网站内容安全检查登记表3 张, 系统安全漏洞检 查登记表可根据实际检查方法单独编写测试报告。没有检查或不适用 的项目(登记表)不填。 3.检查具体方法和标准参照深圳市沙井中学网站安全检查技术规范 。 4.检查中发现的问题、处理方法和结果应简洁、明确的记录。 5.不同检查项目可根据情况由不同人员执行,但必须记录清楚,并
3、由他人 对检查情况进行复核。检查和相关处理完成后由检查人和负责人分别在 检查汇总表上签字确认。 操作系统安全检查登记表 检查时间: 年 月 日 检查人员 被查单位 操 作 系 统 类 型 和 版 本 服务器名称 签名检查分项 检查要点 异常说明 执行人 复核人 1.1 系统安装 没 有 安 装 无 关 的 软 件 和 服 务 功 能 , 已 安 装 的 管 理 和 工 具 软 件 没 有 已 知 漏 洞 1.2 磁盘分区配置 分 区 类 型 正 确 , 能 够 实 现 文 件 访问权限设置 1.3 系统更新 系 统 补 丁 已 升 级 到 最 新 1.4 系统帐号 使 用 了 强 密 码 并
4、定 期 更 换 帐 号 无 异 常 变 动 1.5 系统服务 禁 用 了 不 使 用 的 默 认 服 务 服 务 状 态 无 异 常 变 动 1.6 系统日志 能 正 确 记 录 90 天 日 志 日 志 内 容 无 异 常 1.7 注册表设置 修 改 了 不 安 全 的 默 认 设 置 1.8 网络协议 禁 用 了 不 必 要 的 网 络 协 议 1.9 远程管理限制 限 制 了 远 程 管 理 端 口 的 访 问 范 围 1.10 运行状态 CPU 占 用 率 正 常 系 统 进 程 无 异 常 网 络 连 接 无 异 常 硬 件 无 报 警 , 运 行 正 常 备注 安全防护软件安全检查
5、登记表 检查时间: 年 月 日 检查人员 被查单位 安全防护软件 类型和版本 服务器名称 签名检查分项 检查要点 异常说明 执行人 复核人 2.1 安装设置 安 装 了 防 病 毒 和 防 火 墙 软 件 并 开 启 了 实 时 防 护 防 火 墙 策 略 配 置 正 确 2.2 更新升级 防 护 软 件 已 升 级 到 最 新 2.3 防护日志 防 护 日 志 无 异 常 报 警 , 如 出 现 未 能 阻 止 入 侵 、 删 除 病 毒 应 进 一 步 检 查 备注 Web服务软件安全检查登记表 检查时间: 年 月 日 检查人员 被查单位 Web 服务软件 类型和版本 服务器名称 服务 I
6、P 地址 服 务 网 站 和 域 名 签名检查分项 检查要点 异常说明 执行人 复核人 3.1 网站安装 网 站 安 装 规 范 , 配 置 信 息 正 确 一 致 , 便 于 维 护 管 理 3.2 网站运行环境 配置 删 除 未 使 用 的 功 能 , 提 供 最 小 化 运 行 环 境 , 减 少 可 能 的 漏 洞 3.3 网站权限设置 正 确 设 置 了 权 限 隔 离 正 确 设 置 了 上 传 目 录 和 数 据 库 文 件 权 限 3.4 错误页面设置 屏 蔽 了 默 认 的 错 误 页 面 和 提 示 信 息 , 能 够 防 止 配 置 信 息 泄 露 3.5Web 日志设置
7、 能 正 确 记 录 90 天 日 志 3.6 Web 服务软 件更新升级 服 务 软 件 已 升 级 , 不 存 在 已 知 的 安 全 漏 洞 3.7 中间件和脚本 解析环境设置 正 确 设 置 了 中 间 件 运 行 权 限 和 运 行 模 式 屏 蔽 了 默 认 管 理 功 能 备注 网站内容安全检查登记表 检查时间: 年 月 日 检查人员 操 作 系 统 类 型 和 版 本 网站管理单位 服务器名称 网站 IP 地址 数据库类型 Access SQLServer无 其它:_ 网站域名 网站运行方式 独立运行 平台管理 网站名称 签名检查分项 检查要点 异常说明 执行人 复核人 4.1
8、 前台信息 前 台 功 能 运 行 正 常 无 违 规 或 异 常 信 息 4.2 后台程序 后 台 功 能 运 行 正 常 程 序 已 升 级 到 最 新 , 无 已 知 漏 洞 4.3 网站文件 网 站 存 储 空 间 无 异 常 文 件 , 不 存 在 病 毒 、 木 马 和 恶 意 代 码 4.4 网站数据库 数 据 库 内 无 异 常 内 容 , 不 存 在 SQL 注 入 等 攻 击 迹 象 4.5 网站日志 后 台 操 作 日 志 无 异 常 Web 日 志 无 异 常 4.6 网站访问控 制 前 台 、 后 台 都 具 备 完 善 的 访 问 控 制 访 问 控 制 策 略 无
9、 异 常 改 变 4.7 数据备份 数 据 按 计 划 备 份 、 内容 可 用 备注 系统安全漏洞检查登记表 检查时间: 年 月 日 检查人员 被查单位 检查对象 网站 主机 服务器名称 操 作 系 统 类 型 和 版 本 Web 服务软件类型和版本 IP 地 址 网站名称 签名检查分项 检查要点 异常说明 执行人 复核人 5.1 信息泄露 通 过 版 本 信 息 、 错 误 信 息 等 没 有 发 现 公 开 漏 洞 5.2 端口扫描 通 过 端 口 扫 描 没 有 发现 漏 洞 5.3 溢出测试 通 过 溢 出 测 试 没 有 发 现漏 洞 5.4SQL 注入 有 过 滤 屏 蔽 措 施
10、 , 无SQL 注 入 漏 洞 5.5 跨站脚本 没 有 发 现 跨 站 脚 本 漏 洞 5.6Web 访问控制 漏洞 通 过 Web 访 问 不 能 非 法 修 改 数 据 库 、 绕 过 验 证 、 获 取 系 统 文 件 和 权 限 5.7 代码检查 无 明 显 的 编 程 错 误 和漏 洞 5.8 辅助软件漏 洞 相 关 辅 助 软 件 没 有 不 安 全 配 置 和 漏 洞 5.9Cookie 处理 无 不 安 全 的 Cookie 使用 处 理 5.1 后门程序检 查 没 有 发 现 后 门 程 序 5.11 密码破解 没 有 可 以 快 速 破 解 的弱 密 码 5.12 敏感信息保 护 通 过 嗅 探 没 有 获 得 敏 感 信 息 其 它 漏 洞 备注
