网络信息安全自检自查表及报告.docx

1、网络信息安全自检自查表及报告附件1：网络信息安全自检自查表单位名称（公章）：表1 网络信息安全自检自查情况报告表基本情况重要信息系统总数按实时性进行统计非实时运行的系统数量0实时运行的系统数量1按服务对象进行统计面向社会公众提供服务的系统数量1不面向社会公众提供服务的系统数量0按联网情况进行统计直接连接互联网的系统数量1同互联网逻辑强隔离的系统数量0与互联网物理隔离的系统数量0按数据集中情况进行统计全国数据集中的系统数量0省级数据集中的系统数量0未进行数据集中的系统数量1按灾备情况进行统计进行系统级灾备的系统数量1仅对数据进行灾备的系统数量1无灾备的系统数量0注：以上仅是针对青少年信息网做的统

2、计，不包括团市委其它（如：少先队，志愿者信息网等）和团市委使用的办公系统或应用软件，打印时请删除本条红字系统构成情况主要软硬件设备类型国品牌数量（台/套）国外品牌数量（台/套）服务器10路由器10交换机10防火墙10磁盘阵列10磁带库00操作系统01数据库01其它业务应用软件系统自主设计开发（不含二次开发）的数量0委托国厂商开发的数量1委托国外厂商开发的数量0直接采购国厂商产品的数量0直接采购国外厂商产品的数量0信息技术外包服务服务商名称服务容服务商性质（国有、民营、外贸）服务方式（远程在线服务、现场服务）搜龙科技技术支持民营远程服务（如有更多，请另行附页填写）安全状况分析结果信息系统名称信息

3、系统对国外产品和服务的依赖程度主要业务对信息系统的依赖程度信息系统面临的安全威胁程度信息系统安全防护能力高中低高中低高中低高中低青少年信息网（如有更多，请另行附页填写）表2 系统基本情况检查记录表序 号系统名称实时性服务对象连接互联网情况数据集中情况灾备情况实 时非实时面向社会公众不面向社会公众物理隔离逻辑强隔离无隔离全国集中省级集中不集中系统级灾备仅数据灾备无灾备1青少年信息网2345678910（如有更多，请另行附页填写）表3 系统特征情况分析记录表序号系统名称系统对主要业务的影响程度系统对社会公众的影响程度高中低高中低1青少年信息网2345678910（如有更多，请另行附页填写）注：对业

4、务和社会公众的影响请自行修改，打印时删除本条。表4 系统主要硬件检查记录表检查项检查结果 品牌（如有更多，请另行附页填写）数量服务器国品牌浪潮曙光联想方正国外品牌IBMHPDELL路由器国品牌华为中兴国外品牌CiscoJuniperH3C交换机国品牌华为中兴国外品牌CiscoJuniperH3C防火墙国品牌国外品牌其它设备类型品牌数量国品牌国外品牌表5 系统主要软件检查记录表检查项检查结果品牌（如有更多，请另行附页填写）套数操作系统国品牌国外品牌WindowsRedHatHP-Unix数据库国品牌金仓达梦国外品牌OracleDB2SQL Server其它软件类型品牌套数国品牌国外品牌表6 信息

5、技术外包服务情况检查记录表序号机构名称机构性质（国有、民营、外资）服务容（类型）服务方式（远程在线服务、现场服务）是否签订信息安全与协议1搜龙科技民营软件开发、系统运维远程、现场否23456789（如有更多，请另行附页填写）注：服务容（类型）主要有：系统集成、软件开发、系统运维、风险评估、安全检测、安全加固、应急支持、数据存储、规划咨询、系统托管、灾难备份等。表7 信息安全责任制建立及落实情况检查记录表序号检查项检查结果1分管信息安全工作的领导职务2信息安全管理机构名称负责人职务联系人3信息安全专职工作机构名称负责人职务4信息安全员单位设机构数量信息安全员数量 专职信息安全员数量5岗位责任和事

6、故责任追究岗位信息安全责任制度已制定未制定安全责任事故 发生过，所有事故均已查处相关责任人发生过，有事故未查处相关责任人未发生过表8 日常安全管理制度建立和落实情况检查记录表序号检查项检查结果1人员管理重要岗位人员安全协议全部签订 部分签订 未签订人员离岗离职安全管理规定已制定 未制定外部人员访问审批制度已制定 未制定2资产管理资产管理制度已制定 未制定是否指定专人进行资产管理是 否设备维修维护和报废管理制度已制定 未制定设备维修维护和报废记录完整 不完整3存储介质管理存储介质管理制度已制定 未制定存储介质管理记录完整 不完整大容量存储介质外联，有技术防措施 外联，无技术防措施不外联4运行维护

7、管理日常运维制度已制定 未制定运维操作手册已制定 未制定运维操作记录完整 不完整5本年度教育培训年度培训计划已制定 未制定接受信息安全教育培训的人数接受信息安全教育培训的人数占总人数比例 %开展信息安全教育培训的次数信息安全管理和技术人员参加专业培训的人次表9 信息安全经费投入情况表序号检查项检查结果1本年度信息安全经费预算额（单位：万元）2上年度信息安全经费投入额（单位：万元）表10 技术防护情况检查记录表 （每个系统分别填写，如有更多系统，请复制本表填写）检查项系统1检查结果系统2检查结果系统3检查结果系统名称青少年信息网1网络边界防护全域隔离情况物理隔离逻辑强隔离无隔离连接互联网情况未连

8、接互联网互联网接入口总数（如连接互联网，请填写）1联通接入口数量1接入带宽（单位：兆）10M电信接入口数量接入带宽（单位：兆）其它运营商名称接入口数量接入带宽（单位：兆）网络边界防护措施（多选）访问控制 安全审计 边界完整性检查入侵防 恶意代码防VPN方式接入无措施 2安全防护策略服务器安全策略使用默认配置 根据应用自主配置按需开放端口 最小服务配置网络设备安全策略使用默认配置 根据应用自主配置按需开放端口 最小服务配置安全设备安全策略使用默认配置 根据应用自主配置按需开放端口 最小服务配置通用系统安全功能身份验证访问控制 安全审计3重要数据防护传输防护加密未加密存储防护加密未加密备份本地备份

9、异地备份未备份4密码技术防护产品使用，软件产品使用，硬件产品未使用5物理环境安全状况计算机机房是否经公安机关验收已验收未验收机房面积米机房验收日期2009年合格证编号黑备20091301表11 应急处置及容灾备份情况检查记录表序号检查项检查结果1信息安全应急预案应急预案制定情况已制定未制定预案评估本年度已评估本年度未评估从未评估2应急演练本年度已开展本年度未开展从未开展3灾难备份重要系统全部备份部分备份未备份重要数据全部备份部分备份未备份4应急资源应急支援队伍部门所属队伍外部专业机构无备机备件已配备有供应渠道未配备表12 问题和威胁分析记录表序号系统名称系统对国外产品和服务的依赖程度系统面临的

10、威胁程度系统安全防护能力高中低高中低高中低1青少年信息网234567891011（如有更多，请另行附页填写）表13 信息安全保障情况记录表一、信息系统情况信息系统情况信息系统总数：_1_个；面向社会公众提供服务的信息系统数：_1_个；委托社会第三方进行日常运维管理的信息系统数：_1_个信息系统是否托管在外地： 否 托管服务器地址： 联通机房 责任主体： 产生的问题： 信息系统定级、备案情况第一级数量应该没有进行信息安全定级，打印时请删除本条第二级数量已备案数量第三级数量已备案数量第四级数量已备案数量未定级数量安全建设整改情况拟定安全建设整改方案或计划已拟定 未拟定开展安全建设整改已开展 未开展

11、完成安全建设整改系统数量发现隐患、漏洞数量整改隐患、漏洞数量本年度等级测评情况第二级系统测评数量第三级及以上系统测评数量测评报告结果符合 基本符合 不符合互联网接入情况互联网接入口总数：_1_个 其中：联通 接入口数量：_1_个 接入带宽：_100M_兆 电信 接入口数量：_个 接入带宽：_兆 其它：_ 接入口数量：_个 接入带宽：_兆二、信息安全教育培训情况培训人数本年度接受信息安全教育培训的人数：_人 占本部门总人数的比例：_培训次数本年度开展信息安全教育培训的次数：_次专业培训本年度信息安全管理和技术人员参加专业培训：_人次三、本年度信息安全事件情况安全技术检测结果病毒木马等恶意代码检测

12、结果进行过病毒木马等恶意代码检测的服务器台数：_1_ 其中感染恶意代码的服务器台数：_0_进行过病毒木马等恶意代码检测的终端计算机台数：_这里指团市委办公电脑_ 其中感染恶意代码的终端计算机台数：_请酌情填写数字_漏洞检测结果进行过漏洞扫描的服务器台数：_1_ 其中存在漏洞的服务器台数：_0_ 存在高风险漏洞的服务器台数：_0_进行过漏洞扫描的终端计算机台数：_1_ 其中存在漏洞的终端计算机台数：_0_ 存在高风险漏洞的终端计算机台数：_0_信息安全事件统计门户受攻击情况本部门入侵检测设备检测到的门户受攻击次数：_100_网页被篡改情况门户网页被篡改（含嵌恶意代码）次数：_0_表14 信息系统

13、密码产品使用记录表（每个系统分别填写）系统名称：青少年信息网产品使用本单位在信息系统中是否已应用数字证书或相关产品：是 否本单位在信息系统中数字证书应用领域情况：A 电子商务 企业部管理 企业间商务应用 网上支付 其它 B 政务外网 税务 工商 社保 银行 电信 医疗 其它 本单位数字证书应用类别:USBkey 电子签章 设备证书说明：USBkey即智能密码钥匙存储用户证书（例如：U盾）；电子签章即office或wps文字处理软件中可见的电子签名（电子公章）图形化软件；设备证书即服务器或硬件设备身份认证证书（例如:SSL证书、VPN证书）。数字证书本单位数字证书应用功能情况：身份认证 数据 数

14、据加密 数字签名本单位数字证书使用频率:经常 偶尔 很少您认为使用数字证书认证后给原业务系统带来的变化：更安全可靠 更简单便捷 系统易管理 更繁琐复杂说明：身份认证既使用数字证书进行客户端或服务器端身份验证；数据既对网络链路通道加密（例如：SSL、VPN）；数据加密文件或数据加解密（例如：PGP、文件保险柜）；数字签名既对操作数据进行行为留痕、防止篡改（例如：电子签章）。密码产品软硬件本单位商用密码通用产品软硬件情况： A软件产品 CA签发软件 RA注册软件 电子签章系统 身份认证系统 数字证书中间件 其它 B硬件产品 加密机 加密卡 签名服务器 身份认证网关 USBkey（例如：U盾） 其它

15、 表15 系统安全自检自查记录表（每个系统分别填写）一、安全检查评估自查基本情况系统名称青少年信息网负责人职务Email系统维护负责人职务Email安全等级保护级别四级 三级 二级 一级 未定级域名名称IP青少年信息网218.8.245.73门户1个其中服务器1台网络设备1台安全设备1台/套服务器是否托管（托管单位名称）联通托管服务器地址南岗区湘江路45号发现安全隐患0处已完成整改0处提供的服务信息发布 业务办理 论坛 服务 其它 本单位信息发布的审查制度：接入了何种网络互联网 业务网 涉密网 网络总带宽10M 100M 1000M 其它 二、安全防实施情况本年度开展的信息安全日常管理工作信息

16、安全测评 系统安全定级、备案 信息安全检查 信息安全风险评估 信息安全管理体系建设 安全管理 其它： 是否进行了下列安全检查SQL注入攻击隐患 跨站脚本攻击隐患 网页木马、恶意代码 CGI弱点 应用程拒绝服务 操作系统补丁安全情况 服务系统及其它应用系统补丁安装情况 防病毒软件升级情况 源码漏洞隐患 弱口令 是否已被“挂马” 敏感信息泄露 入侵检测系统升级情况 栏目容更新 漏洞扫描系统升级情况 功能及提供的服务 安全隐患扫描情况 文件上传及运行权限控制采取了哪些防措施防止信息泄漏 防止SQL注入 防止跨站脚本攻击 定期进行弱口令检查 定期进行挂马检查 定期进行漏洞扫描 定期对发布系统进行升级

17、关闭了不必要的端口 关闭或删除了不必要的 关停了不必要的账户 关闭了不必要的服务或应用 其它： 网页防篡改措施安装了防篡改系统 人工监看 无防篡改措施是否具有抗DDoS措施是 否是否保留了系统安全日志是 否系统安全日志查看的周期是多少每月 每周 每天 偶尔查看或从不查看是否有独立的安全审计系统是 否服务器和同一网段其它服务器之间是否有访问控制措施是 否是否有在电子政务外网和互联网上处理部敏感信息是 否三、应急响应机制建设情况重大信息安全事件处置情况应急管理信息安全应急预案：有 无应急技术支援队伍：部 外部 无发生安全事件类型感染病毒、木马程序 拒绝服务攻击 端口扫描攻击 数据窃取 破坏数据或网

18、络 篡改网页 垃圾 部人员有意破坏 源码泄露 网络诈骗和盗窃 部人员滥用网络端口和系统资源被利用发送和传播有害信息 其它： 导致发生安全事件的原因未修补系统或软件漏洞 网络、系统或软件配置错误 源码存在安全隐患登录密码过于简单或未修改原始密码 缺少访问控制 攻击者使用拒绝服务攻击 攻击者利用软件默认设置 利用部用户安全管理漏洞或部人员作案 部网络违规外联 攻击者使用欺诈方法 缺少身份认证措施 不知原因 存在错链或断链 其它： 发现安全事件后采取的措施向相关部门报案 向上级业务主管部门报告 请安全服务单位协助解决 请开发维护单位协助解决 请安全事件应急响应组织解决 自行解决 未采取任何措施 其它

19、： 填表说明：1.表间逻辑关系及填写要求：表1为表2至表15的汇总报告表。其中表10、表14、表15按信息系统分别填写，其余表格按单位填写。2.应如实填写，填写容不实引发的后果由填表人承担，须盖单位公章后有效。3.表中各选项前为“”标记表示为单选项，“”标记为可多选项。凡有“其它”项的，在后面注明具体容。4.表中所指国产字处理软件、国产信息安全产品，按国家相关规定认定如下：国产信息安全产品应具有国品牌，最终产品在中国境生产，拥有核心模块的自主知识产权和源程序，通过国家认定的信息安全产品检测实验室的检测，并符合法律法规和政策规定的其它条件。5.参与检查的机构指委托的专业机构，如有多个机构同时参与检查时，每个机构均应填写一个表格。6.如表格