信息安全檢查報告

1、附件1：2011年度政府信息系統(tǒng)安全檢查工作報告一、信息安全狀況總體評價概述本部門信息安全工作情況，與上一年度相比信息安全工作取得的新進展，對本部門信息安全狀況的總體評價。二、2011年信息安全檢查情況（一）本級機關(guān)信息安全自查情況對照2011年政府信息系統(tǒng)安全檢查指南要求，逐項描述本部門2011年在信息安全組織管理、日常信息安全管理、信息安全防護管理、信息安全應急管理、信息安全教育培訓、信息安全檢查等方面開展的工作情況。（二）直屬單位信息安全檢查組織實施情況指導直屬單位開展信息安全自查和組織抽查等有關(guān)情況。三、檢查發(fā)現(xiàn)的主要問題及整改情況（一）存在主要問題及其原因描述本部門安全檢查特別是技術(shù)

2、檢測發(fā)現(xiàn)的主要問題和薄弱環(huán)節(jié)，分析其存在原因。（二）下一步工作打算針對檢查發(fā)現(xiàn)的問題提出整改計劃或整改措施。四、對信息安全工作的意見和建議對信息安全工作特別是信息安全檢查工作提出意見和建議，促進我市進一步提高信息安全檢查工作水平。附件2：2011年度政府信息系統(tǒng)安全自查情況報告表（得分： 分）一、部門基本情況（小計5分，得 分）部門名稱分管信息安全工作的領(lǐng)導（2分）姓 名： 職 務(wù)： 信息安全責任處室（1.5分）名 稱： 負責人： 職務(wù)： 電 話： 信息安全員（1.5分）姓 名： 職務(wù)： 電 話： 二、信息系統(tǒng)基本情況（小計13分，得 分）信息系統(tǒng)基本情況（3分）信息系統(tǒng)總數(shù)： 個面向社會公眾

3、提供服務(wù)的信息系統(tǒng)數(shù)： 個委托社會第三方進行日常運維管理的信息系統(tǒng)數(shù)： 個，其中簽訂運維外包服務(wù)合同的信息系統(tǒng)數(shù)： 個互聯(lián)網(wǎng)接入情況（此項為統(tǒng)計項，不計分 本報告表未列明分值的選項均為統(tǒng)計調(diào)查項，不設(shè)分值，不計入總分。）互聯(lián)網(wǎng)接入口總數(shù)： 個其中：聯(lián)通 接入口數(shù)量： 個 接入帶寬： 兆 電信 接入口數(shù)量： 個 接入帶寬： 兆 其他： 接入口數(shù)量： 個 接入帶寬： 兆系統(tǒng)定級情況（2分）第一級： 個 第二級： 個 第三級： 個第四級： 個 第五級： 個 未定級： 個系統(tǒng)安全測評情況（8分）最近2年開展安全測評（含風險評估、等級測評）系統(tǒng)數(shù)： 個三、日常信息安全管理情況（小計8分，得 分）人員管理

4、（5分）崗位信息安全和保密責任制度：已建立 未建立重要崗位人員信息安全和保密協(xié)議：全部簽訂 部分簽訂 均未簽訂人員離崗離職安全管理規(guī)定：已制定 未制定外部人員訪問機房等重要區(qū)域管理制度：已建立 未建立資產(chǎn)管理（3分）信息安全設(shè)備運維管理：已明確專人負責 未明確定期進行配置檢查、日志審計等 未進行設(shè)備維修維護和報廢銷毀管理：已建立管理制度，且維修維護和報廢銷毀記錄完整已建立管理制度，但維修維護和報廢銷毀記錄不完整尚未建立管理制度四、信息安全防護管理情況（小計37分，得 分）網(wǎng)絡(luò)邊界防護管理（6分）網(wǎng)絡(luò)區(qū)域劃分是否合理：合理 不合理安全防護設(shè)備策略：使用默認配置 根據(jù)應用自主配置互聯(lián)網(wǎng)訪問控制：

5、有訪問控制措施 無訪問控制措施互聯(lián)網(wǎng)訪問日志： 留存日志 未留存日志信息系統(tǒng)安全管理（6分）服務(wù)器安全防護：已關(guān)閉不必要的應用、服務(wù)、端口 未關(guān)閉帳戶口令滿足8位，包含數(shù)字、字母或符號 不滿足定期更新帳戶口令 未能定期更新定期進行漏洞掃描、病毒木馬檢測 未進行網(wǎng)絡(luò)設(shè)備防護：安全策略配置有效 無效帳戶口令滿足8位，包含數(shù)字、字母或符號 不滿足定期更新帳戶口令 未能定期更新定期進行漏洞掃描、病毒木馬檢測 未進行信息安全設(shè)備部署及使用：已部署有防病毒、防火墻、入侵檢測、安全審計等功能的設(shè)備 未部署 安全策略配置有效 無效門戶網(wǎng)站應用管理（15分）門戶網(wǎng)站管理（3分）網(wǎng)站域名：_ IP地址：_是否申請

6、中文域名：是_ 否網(wǎng)站是否備案：是 否門戶網(wǎng)站賬戶安全管理： 已清理無關(guān)帳戶 未清理無空口令、弱口令和默認口令 有清理網(wǎng)站臨時文件、關(guān)閉網(wǎng)站目錄遍歷功能等情況：口已清理 口未清理門戶網(wǎng)站信息發(fā)布管理： 已建立審核制度，且審核記錄完整已建立審核制度，但審核記錄不完整尚未建立審核制度其他應用管理（4分）電子郵件功能（開設(shè) 未開設(shè)）已作清理，僅限本部門或有關(guān)人員使用 未作清理有技術(shù)措施用于控制和管理口令強度 無技術(shù)措施無空口令、弱口令和默認口令 有留言板功能（開設(shè) 未開設(shè)）留言內(nèi)容經(jīng)審核后發(fā)布 未經(jīng)審核即可發(fā)布論壇功能（開設(shè) 未開設(shè)） 已備案根據(jù)互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定，擬開展電子論壇等電子公告服

7、務(wù)的，應當向所在地電信管理機構(gòu)進行專項備案。 未備案論壇內(nèi)容經(jīng)審核后發(fā)布 未經(jīng)審核即可發(fā)布博客功能（開設(shè) 未開設(shè)）已作清理，僅限本部門或有關(guān)人員使用 未作清理博客內(nèi)容經(jīng)審核后發(fā)布 未經(jīng)審核即可發(fā)布日常安全保障（8分）此項得分根據(jù)省信安辦定期組織開展的政府網(wǎng)站外部安全檢測結(jié)果和各部門是否及時有效實施安全整改等情況，由省信安辦進行評分。終端計算機安全管理（6分）終端計算機安全管理方式：使用統(tǒng)一平臺對終端計算機進行集中管理 用戶分散管理帳戶口令管理：無空口令、弱口令和默認口令 有接入互聯(lián)網(wǎng)安全控制措施：有控制措施（如實名接入、綁定計算機IP和MAC地址等）無控制措施漏洞掃描、木馬檢測： 定期進行 未

8、進行在非涉密信息系統(tǒng)和涉密信息系統(tǒng)間混用情況：不存在 存在是否存在使用非涉密計算機處理涉密信息情況：不存在 存在存儲設(shè)備安全管理（4分）移動存儲設(shè)備管理方式：集中管理，統(tǒng)一登記、配發(fā)、收回、維修、報廢、銷毀未采取集中管理相關(guān)措施在非涉密信息系統(tǒng)和涉密信息系統(tǒng)間混用情況:不存在 存在五、信息安全應急管理情況（小計10分，得 分）部門應急預案制定及備案情況（5分）已備案 已制定但未備案 未制定應急技術(shù)支援隊伍（1分）部門所屬單位 外部專業(yè)機構(gòu) 未明確信息安全應急演練（2分）本年度已開展 本年度未開展信息安全備份（2分）重要數(shù)據(jù)： 備份 未備份重要信息系統(tǒng)：備份 未備份容災備份服務(wù)：位于境內(nèi) 位于境

9、外 無六、信息技術(shù)產(chǎn)品使用情況（小計5分，得 分）服務(wù)器總臺數(shù)： ，其中國產(chǎn)臺數(shù)： 使用國產(chǎn)CPU的服務(wù)器臺數(shù)： 終端計算機（含筆記本）總臺數(shù)： ，其中國產(chǎn)臺數(shù)： 使用國產(chǎn)CPU的計算機臺數(shù)： 網(wǎng)絡(luò)設(shè)備總臺數(shù)： ，其中國產(chǎn)臺數(shù)： 操作系統(tǒng)服務(wù)器操作系統(tǒng)情況：安裝Windows操作系統(tǒng)的服務(wù)器臺數(shù)： 安裝Linux操作系統(tǒng)的服務(wù)器臺數(shù)： 安裝其他操作系統(tǒng)的服務(wù)器臺數(shù)： 終端計算機操作系統(tǒng)情況：安裝Windows操作系統(tǒng)的計算機臺數(shù)： 安裝Linux操作系統(tǒng)的計算機臺數(shù)： 安裝其他操作系統(tǒng)的計算機臺數(shù)： 數(shù)據(jù)庫總套數(shù)： ，其中國產(chǎn)套數(shù)： 公文處理軟件安裝國產(chǎn)公文處理軟件的終端計算機臺數(shù)： 安裝國外

10、公文處理軟件的終端計算機臺數(shù)： 信息安全設(shè)備安裝國產(chǎn)防病毒產(chǎn)品的終端計算機臺數(shù)： 防火墻（不含終端軟件防火墻）臺數(shù)： 其中國產(chǎn)防火墻的臺數(shù)： 新購信息安全產(chǎn)品強制性認證情況 根據(jù)財政部、工信部等四部門下發(fā)的關(guān)于信息安全產(chǎn)品實施政府安全采購的通知（財庫201048號）要求：國家機關(guān)、事業(yè)單位和團體組織使用財政性資金采購信息安全產(chǎn)品的，應當采購經(jīng)國家認證的信息安全產(chǎn)品。（5分）2011年新購信息安全產(chǎn)品通過國家認證的臺（套）數(shù)： ，占新購信息安全產(chǎn)品總數(shù)的百分比為： 七、信息安全教育培訓情況（小計5分，得 分）參加培訓情況（1.5分）本年度是否派員參加信息安全主管部門組織的教育培訓，人次數(shù)： ，培

11、訓部門名稱 組織培訓情況（1.5分）本年度是否組織開展信息安全教育培訓，次數(shù)： 參訓人員比例（2分）本年度參加信息安全教育培訓的人員占總?cè)藬?shù)比例為： 八、信息安全檢查情況（小計12分，得 分）2010年度安全檢查發(fā)現(xiàn)問題整改情況（4分）已落實整改內(nèi)容 已制定整改工作計劃 未開展2011年度信息安全檢查工作情況（8分）檢查工作和經(jīng)費落實情況： 已落實 未落實檢查工作方案制定情況： 已制定 未制定安全保密和風險控制措施： 已采取 未采取組織開展技術(shù)檢測情況： 已開展 未開展九、信息安全經(jīng)費預算投入情況（小計5分，得 分）經(jīng)費預算（2分）本年度信息安全經(jīng)費預算額： 萬元實際經(jīng)費投入（3分）本年度信息

12、安全經(jīng)費實際投入額： 萬元十、本年度信息安全事件情況本年度安全技術(shù)檢測結(jié)果病毒木馬等惡意代碼 本表所稱惡意代碼，是指病毒木馬等具有避開安全保護措施、竊取他人信息、損害他人計算機及信息系統(tǒng)資源、對他人計算機及信息系統(tǒng)實施遠程控制等功能的代碼或程序。檢測結(jié)果進行過病毒木馬等惡意代碼檢測的服務(wù)器臺數(shù)： 其中感染惡意代碼的服務(wù)器臺數(shù)： 進行過病毒木馬等惡意代碼檢測的終端計算機臺數(shù)： 其中感染惡意代碼的終端計算機臺數(shù)： 漏洞檢測結(jié)果進行過漏洞掃描的服務(wù)器臺數(shù)：_ ，其中存在漏洞的服務(wù)器臺數(shù)：_ ,存在高風險漏洞 本表所稱高風險漏洞，是指計算機硬件、軟件或信息系統(tǒng)中存在的嚴重安全缺陷，利用這些缺陷可完全控

13、制或部分控制計算機及信息系統(tǒng)，對計算機及信息系統(tǒng)實施攻擊、破壞、信息竊取等行為。的服務(wù)器臺數(shù)：_進行過漏洞掃描的終端計算機臺數(shù)：_ ,其中存在漏洞的終端計算機臺數(shù)：_ ,存在高風險漏洞的終端計算機臺數(shù)： 本年度信息安全事件統(tǒng)計門戶網(wǎng)站受攻擊情況本部門入侵檢測設(shè)備檢測到的門戶網(wǎng)站受攻擊次數(shù)： 網(wǎng)頁被篡改情況門戶網(wǎng)站網(wǎng)頁被篡改（含內(nèi)嵌惡意代碼）次數(shù)： 設(shè)備違規(guī)使用情況使用非涉密終端計算機處理涉密信息事件數(shù)： 終端計算機在非涉密系統(tǒng)和涉密系統(tǒng)間混用事件數(shù)： 移動存儲介質(zhì)在非涉密系統(tǒng)和涉密系統(tǒng)間交叉使用事件數(shù)： 十一、信息技術(shù)外包服務(wù)機構(gòu)情況外包服務(wù)機構(gòu)1機構(gòu)名稱機構(gòu)性質(zhì)國有 民營 外資服務(wù)內(nèi)容 服務(wù)內(nèi)容主要包括：系統(tǒng)集成、系統(tǒng)運維、風險評估、安全檢測、安全加固、應