重点领域网络与信息安全密码检查指南.doc

重点领域网络与信息安全密码检查指南I家密码管理局2012年7月一、 概述 11、 检查目的 12、 检查方式 1二、 检查内容 11、 信息系统基本情况 12、 信息系统中密码设备部署及安全配置情况 43、 信息系统密码服务 104、 密码和关制度的建立和落实情况 13三、 检查工作总结 15—*概述为做好重点领域网络与信息安全密码检查工作，依据《商用密 码管理条例》和《政府信息系统安全检查办法》、《信息安全等级保 护商用密码管理办法》等，制定本指南1、检查目的通过检查，了解被检查对象的商用密码应用情况，分析相关行 业密码应用现状和存在问题，便于在今后的管理中有针对性采取措 施推动商用密码在行业中的应用2、检查方式检查人员采取访谈、查看、测试等方式检查被检查系统检查内容1、信息系统基本情况被查单位信息系统基本情况、信息系统基本信息以及系统密码使用情况，检查记录见表1表1被查单位信息系统基本情况表—、被查单位基本情况单位名称：单位性质：□机关 □事业单位 □企业 □其他单位地址： 邮编：单位网址：行业主管部门：二、信息系统建设情况1、是否有专门负责信息系统建设工作的部门？□是：□否如有，专业技术人员： 人责任部门名称：联系人：：E-mail:：2、如没冇专门负责信息系统建设的部门，IT前由哪个部门负责此方面的工作？部门名称：联系人：：E-mail:：3、木单位在用信息系统数量： 个4、本单位在建信息系统数量： 个5、每年信息系统建设中的信息安全投入： 万元，其中财政拨款： 万元 单位自筹： 万元表2信息系统基本情况调研表编号:一、信息系统基本信息1、系统名称安全保护等级2、系统部署范围□全国 □区域：系统主机机厉地点：3、系统运行环境□ Windows nLinux nUnix □其彳也4、开发方式□上级下发 □口行开发 □合作开发 若为介作开发，开发单位名称：5、运维方式□ 口行维护 □外包 若为外包，单位名称：6、是否开展过系统测评？ □是 □否；如有，测评机构名称： 证书编号：二、信息系统密码使用情况1、系统主要功能2、是否使用密码设备？ □是 □否；如有，密码设备数量： ，含密产品数量：取得国家密码管理局型号数量 ，未取得国家密码管理局型号数呈3、实现的密码功能：□电子门禁 □安全访问路径 □身份鉴别 □访问控制 □审计记录□程序安全 □数据传输 □数据存储 □密钥管理4、是否物理隔离密码设备？ □是 □否5、是否有专员负责密码设备的操作？ □是 □否；如无，操作人员隶属部门：6、是否建立密码相关制度？ □是 □否注：如有多个信息系统，请按顺序编号，另行附表。

2、信息系统中密码设备部署及安全配置情况检查人员调阅系统中使用的密码设备及密码部件清单、了解信 息系统中各种密码设备及部件的名称、类型、型号、生产厂家、使 用时间及部署方式、配置管理方式、配置信息及运彳亍状态等检查 记录见表3,表4・1、4-2> 4-3> 4-4o产品类别产品类型使用情况数量基础密码产品密码应用软件□使用□未使用智能卡□使用□未使用智能密码钥匙□使用□未使用服务器密码机□使用□未使用密码管理产胡密钥管理系统□使用□未使用密码设备管理系统□使用□未使用密码设备监控系统□使用□未使用证据管理系统□使用□未使用权限管理系统□使用□未使用身份管理系统□使用□耒使用可信时间管理系统□使用□未使用证书管理系统□使用□未使用传输加密设备□使用□未使用存储加密设备□使用□未使用鉴别认证设备□使用□未使用行业专用密码设备□使用□未使用信息安全产品安全防火墙□使用□未使用安全路由器□使用□未使用综合安全网关□使用□未使用安全隔离与信息交换□使用□未使用通信网络产品无线接入点□使用□未使用无线上网卡□使用□未使用加密机□使用□未使用加密机□使用□未使用加密于机□使用□耒使用加密VOIP终端□使用□未使用计算机系统产晶女全操作系统□使用□未使用可信计算机□使用□未使用安全数据库□使用□未使用主机安全防护系统□使用□未使用安全应用系统□使用□未使用智能终端产品智能仪表□使用□未使用系统名称检查项检査信息名称型号软件版本牛产厂家使用时间是否接入卫联网□是 □否 如接入，IP地址/网址用途算法使用情况□ SMI DSM4 OAES ODES LJ3DES□ SM2 QRSA1024 QRSA2048□ SM3 DSHA-l nSHA-256 QMD5其它实现的密码功能□电子门禁 □安全访问路径□身份鉴别 □访问控制□审计记录 □程序安全□数据传输 □数据存储□密钥管理釆用的安全策略密钥管理：□是□否密码协议：DTPSec OSSL□其他注：如系统有多款密码应用软件，请自行复印填写。

系统名称检査项检查信息编号:名称型号生产厂家使用时间用途接口类型□接触式 □非接触式算法使用情况□ SMI nSM4 OAES ODES LI3DES□ SM2 □RSA1024 nRSA2048□ SM3 DSHA-l QSHA-256 QMD5其它检查项检查信息智能IC卡编号：名称型号生产厂家使用时间用途接口类型□接触式 □非接触式算法使用情况□ SMI OSM4 OAES ODES LI3DES□ SM2 □RSA1024 LIRSA2048□ SM3 DSHA-l QSHA-256 QMD5其它注：如系统有多款智能IC卡，请按顺序编号，自行复印填写系统名称检査项检查信息智能密码 钥匙编号：名称型号生产厂家使用时间用途个性化特征□有□无；如冇，□指纹□按键□可视□其他算法使用情况□ SMI DSM4 QAES DDES Q3DES□ SM2 QRSA1024 QRSA2048□ SM3 DSHA-l nSHA-256 LIMD5其它检查项检査信息能码匙智密钥 氏名称型号牛产厂家使用时间用途个性化特征□有□无；如有，□指纹□按键□可视 □其他算法使用情况□ SMI DSM4 OAES DDES LI3DES□ SM2 DRSA1024 E1RSA2048□ SM3 nSHA-1 nSHA-256 QMD5其它注：如系统冇多款智能密码钥匙，请按顺序编号，口行复印填坊。

系统名称检查项设备情况名称型号牛产厂家密码机使用时间接入互联网□是 □否 如接入，IP地址/网址编号:用途算法使用情况□ SMI QSM4 QAES ODES Q3DES□ SM2 □RSA1024 □RSA2048□ SM3 DSHA-l nSHA-256 QMD5其它采用的安全策略密钥管理：□是□否 密码协议：DTPSec DSSL□其他检査项设备情况名称型号牛产厂家使用时间密码机接入互联网□是 □否 如接入，IP地址/网址编号：用途算法使用情况□ SMI DSM4 QAES DDES Q3DES□ SM2 QRSA1024 QRSA2048□ SM3 DSHA-l nSHA-256 LIMD5其它釆用的安全策略密钥管理：□是□否 密码协议：LllPSec EJSSL□其他注：1、密码机主要检查：服务器密码机、安全网关、VPN、金融数据密码机等2、如系统有多个密码机，请按顺序编号，自行复印填写3、信息系统密码服务检查密码信息系统密码服务有关情况，检查记录见表5・1、5-2>5-3 o表5-1信息系统密码服务（系统建设或集成机构）检查结果记录表系统名称检査项检査结果系统建设或集成机构编号：机构名称机构性质□国有 □民营 □外资商密相关资质□生产定点单位 □销售许可单位 □无建设内容建设时问信息安全与保密协议□已签订 □未签订检査项检査结果系统建设或集成机构编号：机构名称机构性质□国有 □民营 □外资商密相关资质□生产定点单位 □销售许可单位 □无建设内容建设时间信息安全与保密协议□已签订 □未签订注：如系统有多个系统建设或集成机构，请按顺序编号，自行复印填写。

系统名称检查项检查结果系统运维机构编号：机构名称机构性质□国有 □民营 □外资商密相关资质□牛产定点单位 □销售许可单位 □无服务内容服务方式□远程服务□现场服务信息安全与保密协议□已签订 □未签订检查项检查结果系统运维机构编号：机构名称机构性质□国有 □民营 □外资商密相关资质□生产定点单位 □销售许可单位 □无服务内容服务方式□远程服务□现场服务信息安全与保密协议□已签订 □未签订注：如系统有多个系统建设或集成机构，请按顺序编号，自行复印填写系统名称检査项检査结果系统测评机构编号:机构名称机构性质□国有 □民营 □外资测评时间测评内容是否具备测评证书□是□否如有，证书编号：检查项检查结果系统测评机构编号：机构名称机构性质□国有 □民营 □外资测评时间测评内容是否具备测评证书□是□否如有，证书编号：注：如系统有多个系统测评机构，请按顺序编号，自行复印填写4、密码相关制度的建立和落实情况检查人员访谈系统安全管理员，结合密码相关管理制度文件确 定信息系统是否建立了有效的密码设备安全管理制度检查人员访谈系统安全管理员、密码设备操作人员、密码设备 维护人员，确定密码管理制度文件的落实情况检查记录见表6、表 7o表6信息系统密码相关制度建立和落实情况检查记录表序号检査项检査结果1分管密码安全工 作的领导□有□无如有，姓名：职务：（本部门正职或副职领导）2密码安全管理机 构□有□无如有，名称：负责人： 职务：联系人： ：3密码女全专职管 理机构□有□无如有，名称：负责人： ：4密码安全管理员%1 本单位内设机构数量：%1。