网络与信息安全检查工作细则浙江大学信息化服务.docx
《网络与信息安全检查工作细则浙江大学信息化服务.docx》由会员分享,可在线阅读,更多相关《网络与信息安全检查工作细则浙江大学信息化服务.docx(12页珍藏版)》请在冰豆网上搜索。
网络与信息安全检查工作细则浙江大学信息化服务
附件:
网络与信息安全检查工作细则
一、自查工作
重点检查责任制建立及落实情况、安全管理制度规范建立情况、网站和信息系统漏洞情况、技术防护措施部署情况、重要数据传输及存储备份情况等。
一类、二类重点信息系统及重点单位清单见附件1;XX单位网站或信息系统安全检查报告(提纲)见附件2;浙江大学网站或信息系统安全检查表见附件3。
二、整治工作
针对各网站或信息系统在检查中发现的安全风险和漏洞,各主办单位要及时采取措施,落实整改,已经不用的网站和信息系统应当尽快关闭,尤其不用的论坛版块应当尽快关闭。
三、安全评估
学校信息中心组织力量对部分网站和信息系统进行抽查和复查。
对仍然存在高危安全漏洞的网站或信息系统形成评估报告并通知相关单位,限期进行安全整改。
逾期未对高危漏洞进行整改的进行下线整改,直至修复漏洞。
四、登记备案
各单位要对本单位及下属单位主办的所有网站或信息系统建立名录,名录格式见附件4。
学校信息中心以电子邮件形式向各单位下发各单位已经登记在册的网站和信息系统名录。
各单位要发动下属单位积极开展检查工作,认真核实所开设的网站和信息系统情况,废弃不用的要及时提出书面申请关停,实际开设但未在统计名录中的网站和信息系统要重新注册登记,网站及信息系统登记表见附件5。
各单位统计补充核实各自网站和信息系统名录后重新盖章确认并上交。
五、明确责任
各单位主要负责人是网络与信息安全工作的第一负责人,明确本单位的网络与信息安全分管负责人,协助第一负责人履行本单位网络与信息安全职责,指定一位安全观念强、富有责任心、懂技术的工作人员担任专职或兼职信息安全员,负责日常督促、检查工作。
XX单位网络与信息安全小组名单见附件6。
六、定期检查
各单位要对主办的网站和信息系统的安全状况进行定期检查,尤其各重点单位每个月要检查一次重点网站或信息系统的安全情况。
各重点单位要建立网络与信息系统安全检查台帐,及时记录检查情况。
网络与信息系统安全检查台帐见附件7。
七、安全管理
各单位要加强对数据备份工作,定期对重要数据进行备份,各重点单位要定期比对数据的变化情况,及时发现问题。
对各网站和信息系统,要定期检查清除废弃域名及无效链接,防止盗链;检查目录结构和上传文件夹,删除临时文件和无用文件,严格限制上传文件夹的读写执行权限;检查系统的运行参数及系统负荷,及时发现系统的异常情况;全面检查系统管理账户和口令,清理无关账户,杜绝空口令、弱口令和默认口令;建立管理员口令的定期更换制度和责任管理办法;检查系统日志情况,至少保存2个月的日志信息。
八、安全保护
要定期检查服务器补丁更新情况,实施补丁自动更新的管理措施;关闭不必要的端口,特别是远程管理端口,停止不必要的服务和应用,部署本地服务器的安全管理策略,提高系统安全等级;对网站和信息系统中的SQL操作、文件上传、文件编辑、文件名输入等代码模块采取合法性检查和过滤;定期查杀服务器上的病毒木马,清除木马和后门程序。
附件1:
一类、二类重点信息系统及重点单位清单
一、官方网站或公共支撑系统(一类系统)清单
1、浙江大学中英文主页
2、浙江大学求是新闻网
3、浙江大学综合服务网
4、浙江大学协同办公系统(校院二级)
5、浙江大学统一身份认证
6、浙江大学校园卡管理平台
7、浙江大学个人主页
8、浙江大学数据交换中心
9、我的浙大
二、重点网站或业务系统(二类系统)清单
(一)人事处
人力资源管理系统
(二)研究生院
研究生教育管理信息系统
(三)本科生院
1、现代教务管理系统(含鹘鹰系统)
(四)计划财务处(含国有资产管理办公室)
1、综合财务管理平台
2、国有资产管理系统
(五)实验室与设备管理处
1、设备资产管理系统
2、大型仪器共享管理平台
(六)科学技术研究院
科研管理系统(科技版)
(七)社会科学研究院
科研管理系统(社科版)
(八)房地产管理处
房地产资源管理系统
(九)继续教育学院
远程教育管理平台
附件2:
xx单位网站或信息系统安全检查报告(提纲)
一、本单位网络与信息系统安全情况总体评价
概述本单位信息安全情况,对本单位信息安全状况的总体评价。
二、网络与信息系统安全自查开展情况
本次检查工作的开展落实情况,包括组织领导,部署安排,检查情况等,特别是重点信息系统要重点排查。
三、网络与信息系统安全主要工作情况
根据自查结果,逐项描述本单位在网络与信息安全制度建设、日常管理、技术防范、应急处置、漏洞封堵、数据备份等方面开展的工作情况。
1、制度建设和责任分工落实情况;
2、日常管理和定期检查落实情况;
3、安全技术防范措施及应急处置落实情况;
4、网站及信息系统的漏洞封堵情况;
5、重要数据传输及存储备份情况。
四、自查中发现的主要问题及整改情况
根据自查结果,总结分析本单位的安全管理、技术防范等方面存在的主要问题和薄弱环节,以及针对这些问题的整改措施或计划。
五、对网络与信息系统安全工作的意见和建议
对学校的网络与信息安全工作以及检查工作提出意见和建议,进一步促进提高信息安全工作水平。
附件3:
浙江大学网站或信息系统安全检查表
单位名称:
____________________联系人:
____________联系电话:
________________
01.网站或信息系统名称
02.信息系统安全等级保护级别
○三级○二级○一级○未定级
03.主机服务器运行维护管理方式
○自行管理○委托管理
04.是否制定了信息安全规章制度?
○是○否
05.是否落实了信息系统安全员?
○是○否
06.是否对安全防护措施进行了评估?
○是○否
07.如果开展了安全防护措施,评估结果是什么?
○有效○基本有效○不足
08.本年度是否开展了网站安全风险评估或等级测试?
○自评估
○委托专业评估
○没有开展
09.是否进行了下列安全检查?
○SQL注入攻击隐患
○跨站脚本攻击隐患
○弱口令
○操作系统补丁安装情况
○网站服务系统及其他应用系统补丁安装情况
○系统的运行参数及系统负荷
○目录结构和上传文件夹
○防病毒软件升级情况
○网站或信息系统是否已被“挂马”
○入侵检测系统升级情况
10.是否有网页防篡改措施?
○安装了防篡改系统
○人工监看
○无防篡改措施
11.是否具有边界保护措施?
○防火墙○其他○无
12.是否有抗拒服务攻击措施?
○是○否
13.是否安装了入侵检测系统?
○是○否
14.是否安装了防病毒系统?
○是○否
15.防病毒系统最近一次升级的日期
____月_____日
16.是否保留了系统安全日志?
○是○否
17.系统安全日志查看的周期是多少?
○每月○每周
○每天○偶尔查看或从不查看
18.是否有独立的安全审计系统?
○是○否
19.网站或信息系统服务器和同一网段内其他服务器之间是否有访问控制措施?
○是○否
20.操作系统最近一次升级的日期
____月_____日
21.Web服务器最近一次升级的日期
____月_____日
22.数据库系统最近一次升级的日期
____月_____日
23.是否关闭或删除了不必要的账户?
○是○否
24.是否关闭或删除了不必要的应用?
○是○否
25.是否关闭或删除了不必要的服务?
○是○否
26.是否关闭或删除了不必要的端口?
○是○否
27.系统管理和数据库管理的口令更换周期是多少?
○从未更换或偶尔更换
○一个月以上
○一个月
○半个月
○每周或更短
28.系统管理和数据库管理的口令长度是多少?
○小于8位
○大于8位
29.是否存在多台服务器或多个账户使用同一口令的情况?
○是○否
30.对网站或信息系统进行远程维护时,是否采取了加密措施?
○是○否
31.管理员远程登陆是否采取了访问控制措施?
○是○否
32.是否制定了信息安全突发事件应急预案?
○是○否
33.是否根据应急预案组织过应急演练?
○是○否
34.是否对重要数据采取了定期备份措施?
○是○否备份时间间隔_____
35.是否对重要数据和备份数据进行定期比对?
○是○否备份时间间隔_____
36.是否明确了技术支援队伍?
○是○否
37.是否建立和落实了网站信息发布审核制度?
○是○否
38.信息发布审核记录是否完整?
○是○否
39.是否对网站和信息系统安全进行定期检查?
○是○否
40.对本次检查中发现问题的整改比例
_____%
附件4:
xx单位网站或信息系统名录
填报日期:
年月日
序号
网站或信息系统名称
域名
IP地址
联系人
联系电话
备注
注:
1、各单位对本单位所有网站或信息系统进行梳理登记;
2、不需保留的网站或信息系统请及时向信息中心申请注销;
单位名称(章):
_______________________
附件5:
浙江大学网站及信息系统登记表
申请日期:
年月日
主管单位
网站及信息系统负责人
负责人有效证件号码
联系电话
负责人EMAIL地址
手机号码
网站及信息系统名称
域名
英文名称(若有请填写)
首页URL
http:
//
主要功能及服务对象
服务器所在地点
IP地址
校内IP地址:
MAC
校外IP地址:
网站及信息系统管理员
联系电话
手机号码
EMAIL地址
管理制度
□有□没有
服务种类
1单位主页(选)②FTP③Email④留言板⑤个人主页
⑥电子公告服务(BBS、论坛、聊天室)⑦业务系统⑧综合信息系统⑨其它_________
栏目名称
内容
栏目负责人
联系方式
主管单位盖章
负责人:
日期:
校园网络信息管理办公室盖章
审批:
日期:
信息中心盖章
审批:
日期:
注:
1、拟在校园网上开展电子公告服务(BBS、论坛、聊天室等),应当向宣传部校园网络信息管理办公室递交书面申请,盖章。
校园网络信息管理办公室(联系方式:
学校宣传部88981045袁老师)。
2、网站及信息系统负责人对该网站及信息系统安全负责。
3、以上信息发生变化,需要修改后并重新提交本表。
4、按要求填写各表格内容,并提请学院党委书记签名盖章,主管单位为院级单位。
浙江大学网站及信息系统安全管理制度
一、安全保护技术措施
1、防范计算机病毒、网络
升级会员 