網(wǎng)絡(luò)與信息安全自查表

1、附表 1 ：通過(guò)安全檢驗(yàn) /鑒定/認(rèn)證情況 . 防火墻. 入侵檢測(cè)系統(tǒng) . 安全審計(jì)系 統(tǒng) . 漏洞掃描系統(tǒng) . 違規(guī)外聯(lián)監(jiān)控系統(tǒng) . 網(wǎng)頁(yè)防篡改系統(tǒng) . 網(wǎng)絡(luò)安全 隔離網(wǎng)閘 . 病毒防護(hù)產(chǎn)品 . （密碼產(chǎn)品） .附表 1：保定市網(wǎng)絡(luò)與信息安全自查表填表時(shí)間:填表單位：（單位簽章）月 日、組 織 管 理 與 規(guī)早制 度 情 況單位名稱(chēng)單位地址聯(lián)系人聯(lián)系電話(huà)電子郵箱信息安全主管領(lǐng)導(dǎo)職務(wù)信息安全管理部門(mén)部門(mén)人數(shù)信息安全部門(mén)責(zé)任人姓名職務(wù)電話(huà)手機(jī)持有何種資質(zhì)證書(shū)信息安全管理員姓名專(zhuān)業(yè)受過(guò)何種培訓(xùn)持有何種資質(zhì)證書(shū)是否舉辦過(guò)信息安全培訓(xùn)O是，其中舉辦過(guò)哪些講座或培訓(xùn)：O否制定的相關(guān)安全制度信息安全責(zé)任制

2、資產(chǎn)安全管理制度信息安全人事管理制度數(shù)據(jù)信息安全管理制度 度其他：信息安全通報(bào)管理制度物理和環(huán)境安全管理制度系統(tǒng)運(yùn)行安全管理制度信息安全應(yīng)急處理管理制安全服務(wù)是否外O是，其中公司名稱(chēng):，內(nèi)資口包合資外資外包公司安全服務(wù)資質(zhì)：O否本單位日常信息信息安全測(cè)評(píng)系統(tǒng)安全定級(jí)信息安全安全工作檢杳信息安全風(fēng)險(xiǎn)評(píng)估其它：O是；其中保證策略:確定責(zé)任人，對(duì)責(zé)任人進(jìn)行獎(jiǎng)懲定期組織內(nèi)部檢杳本單位是否制定通過(guò)技術(shù)手段，例如部署監(jiān)控、掃描或過(guò)安全策略檢測(cè)手段其它：O否崗位職責(zé)文件和相關(guān)操作規(guī)程是否健全安全管理存在的主要問(wèn)題O不知道用戶(hù)安全意識(shí)和觀念淡薄缺乏網(wǎng)絡(luò)安全管理制度或制度不落實(shí)網(wǎng)絡(luò)安全保障經(jīng)費(fèi)投入不足網(wǎng)絡(luò)安全管

3、理人員不足，缺乏培訓(xùn)缺乏與信息管理部門(mén)的溝通，缺乏安全信息共享網(wǎng)絡(luò)安全產(chǎn)品不能滿(mǎn)足安全要求網(wǎng)絡(luò)安全服務(wù)公司不能滿(mǎn)足要求其他：（續(xù)表1）二 、網(wǎng) 絡(luò)運(yùn) 行 及 關(guān) 鍵安 全 設(shè) 備 情況單位接入的網(wǎng)絡(luò)互聯(lián)網(wǎng)省公務(wù)外網(wǎng)省公務(wù)內(nèi)網(wǎng)行業(yè)系統(tǒng)內(nèi)部使用的廣域網(wǎng)或城域網(wǎng)內(nèi)部局域網(wǎng)無(wú)網(wǎng)絡(luò)與信息系統(tǒng)集成、設(shè)計(jì)維護(hù)與監(jiān)理情況集成商名稱(chēng)：；系統(tǒng)集成資質(zhì)等級(jí)設(shè)計(jì)維護(hù)單位：監(jiān)理單位：監(jiān)理單位資質(zhì)：如有專(zhuān)網(wǎng)，專(zhuān)網(wǎng)名稱(chēng)是否有涉密網(wǎng)絡(luò)O是；其中是否經(jīng)保密部門(mén)審批O是O否O否涉密網(wǎng)絡(luò)與其他網(wǎng)絡(luò)是否物理隔離O是：其中采取的措施：O否是否按國(guó)家等級(jí)保護(hù)要求劃分安全域O是O否網(wǎng)絡(luò)主要用途面向公眾服務(wù)本單位內(nèi)本系統(tǒng)口跨系統(tǒng)O 10MO

4、100MO 1000MO其它網(wǎng)絡(luò)配置和規(guī)模0100節(jié)點(diǎn)以下O 300節(jié)點(diǎn)以下O500節(jié)點(diǎn)以下O 500節(jié)點(diǎn)以上 Win 9x/Wi nMe WinN T/Wi n2000/wi n2003WinXP Win Vista Linux主要操作系統(tǒng)Un ix Novell Nerware Sun SolarisOS/2其他:信息安全保障經(jīng)費(fèi)投入O無(wú)O少于5%O 5 % 占信息化項(xiàng)目投入資金10%比例O 11 % 15%O多于15%O難以估量網(wǎng)絡(luò)與信息安全產(chǎn)品名稱(chēng)數(shù)量生產(chǎn)廠家規(guī)格型號(hào)通過(guò)安全檢驗(yàn)/鑒定/認(rèn)證情況防火墻入侵檢測(cè)系統(tǒng)安全審計(jì)系統(tǒng)漏洞掃描系統(tǒng)違規(guī)外聯(lián)監(jiān)控系統(tǒng)網(wǎng)頁(yè)防篡改系統(tǒng)網(wǎng)絡(luò)安全隔離網(wǎng)閘病毒

5、防護(hù)產(chǎn)品（密碼產(chǎn)品）0 0 0 0 0 0網(wǎng)絡(luò)與信息安全應(yīng)急管理情況本地備份情況o有；其中備份方式：磁帶機(jī)磁盤(pán)陣列光盤(pán)其他（請(qǐng)注明)O無(wú)O完全備份o+增量備份備份上次備份后 系統(tǒng)中變化o增量備份備份上次備份后系統(tǒng)中變化本地備份策過(guò)的數(shù)據(jù)信息略O(shè)差量備份一備份上次完全備份后發(fā)變化過(guò)的數(shù)據(jù)信息O無(wú)本地備份頻。實(shí)時(shí)o天o星期o月率O無(wú)有無(wú)異地容災(zāi)備份需求O有；其中是否實(shí)現(xiàn)異地容災(zāi)備份o異地容災(zāi)備是O否份情況o無(wú)本單位是否O發(fā)生過(guò)；其中是否做相應(yīng)記錄O是O否發(fā)生過(guò)安全O未發(fā)生過(guò)事件O不清楚可能攻擊來(lái)o內(nèi)部o外部o內(nèi)外都有源o不清楚o其他原因：（續(xù)表1）感染病毒、蠕蟲(chóng)、特洛伊木馬程序拒絕服務(wù)攻擊端口掃描

6、攻擊數(shù)據(jù)竊取破壞數(shù)據(jù)或網(wǎng)絡(luò)篡改網(wǎng)頁(yè)發(fā)生安全事垃圾郵件內(nèi)部人員有意破壞件類(lèi)型內(nèi)部人員濫用網(wǎng)絡(luò)端口和系統(tǒng)資源被利用發(fā)送和傳播有害信息網(wǎng)絡(luò)詐騙和盜竊其他：未修補(bǔ)系統(tǒng)或軟件漏洞網(wǎng)絡(luò)、系統(tǒng)或軟件配置錯(cuò)誤缺少訪(fǎng)問(wèn)控制登錄密碼過(guò)于簡(jiǎn)單或未修改原始密碼導(dǎo)致發(fā)生安攻擊者使用拒絕服務(wù)攻擊攻擊者利用軟件默認(rèn)全事件的原設(shè)置因利用內(nèi)部用戶(hù)安全管理漏洞或內(nèi)部人員作案內(nèi)部網(wǎng)絡(luò)違規(guī)外連攻擊者使用欺詐方法缺少身份認(rèn)證措施不知原因其他：發(fā)現(xiàn)安全事件后米取的措施向相關(guān)部門(mén)報(bào)案向上級(jí)業(yè)務(wù)主管部門(mén)報(bào)告請(qǐng)安全服務(wù)單位協(xié)助解決請(qǐng)幵發(fā)維護(hù)單位協(xié)助解決請(qǐng)安全事件應(yīng)急響應(yīng)組織解決自行解決未米取任何措施其他：安全事件造成損失評(píng)估O非常嚴(yán)重O嚴(yán)重O

7、 般O比較輕微O輕微O無(wú)法評(píng)估是否制定網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案O是；其中是否經(jīng)過(guò)演練：O是O否O否（續(xù)表1）外來(lái)人員登記防盜報(bào)警、視頻監(jiān)控等安全防本單位對(duì)機(jī)范系統(tǒng)房安全保衛(wèi)門(mén)禁系統(tǒng)值班四、采取的措施門(mén)窗加固其他措施：物關(guān)鍵設(shè)備加鎖；專(zhuān)用機(jī)柜；理安置措施其它：和室外線(xiàn)路埋地；室外線(xiàn)路未埋地部分加裝環(huán)套管保護(hù)；境本單位對(duì)機(jī)布線(xiàn)措施室內(nèi)線(xiàn)路在地板下；安房環(huán)境安全網(wǎng)絡(luò)傳輸線(xiàn)路與電力線(xiàn)分幵布置，防止干擾；全采取的措施其它：情選擇耐火材料建設(shè)機(jī)房；設(shè)置機(jī)房專(zhuān)用火火況防 火設(shè)備；消防報(bào)警系統(tǒng)；其它：防靜電接地與屏蔽；控制機(jī)房溫度、濕度，防止產(chǎn)生靜電；選擇防靜電機(jī)房裝飾材料 （如地板、桌椅），減少 靜電發(fā)生；穿

8、戴防靜電服裝、鞋帽等物品；其它：溫濕度控制溫、濕度監(jiān)控；專(zhuān)用機(jī)房空調(diào)普誦空調(diào)其它：防水和防潮規(guī)劃?rùn)C(jī)房周?chē)乃馨惭b，防止水管泄漏；米取措施防止屋頂漏水；米取措施防止墻壁滲透；安裝漏水保護(hù)設(shè)施其它：防雷良好接地；安裝避雷設(shè)施；其它電磁輻射防護(hù)電磁輻射監(jiān)測(cè)；采購(gòu)電磁輻射達(dá)標(biāo)的計(jì)算機(jī)等信息技術(shù)設(shè)備電磁輻射防護(hù)卡；穿戴電磁輻射保護(hù)服裝；其它：電磁泄漏保護(hù)防電力故障設(shè)置屏蔽室；干擾；購(gòu)買(mǎi)低電磁泄漏信息設(shè)備其它： UPS（不間斷電源）；幵；配備發(fā)電機(jī)；防護(hù)設(shè)備；多路供電；濾波；接地；隔離和合理布局；機(jī)房用電與民用電分設(shè)置穩(wěn)壓器和過(guò)電壓其它：（續(xù)表1）五、網(wǎng) 絡(luò) 與 信 息 安 全 技 術(shù) 防 范 措 施

9、情 況是否執(zhí)行了工作人員短暫離開(kāi)計(jì)算機(jī)時(shí)鎖定屏幕的要求O是O否是否有在公務(wù)外網(wǎng)和互聯(lián)網(wǎng)上處理內(nèi)部敏感信息O是O否是否制定了詳細(xì)的授權(quán)管理和訪(fǎng)問(wèn)控制策略O(shè)是O否是否有內(nèi)部用戶(hù)違規(guī)外聯(lián)的監(jiān)控措施和管理措施O是：其中采取的措施O否是否按照保密管理規(guī)定管理涉密存儲(chǔ)介質(zhì)O是O否涉密計(jì)算機(jī)和涉密人員數(shù)量涉密計(jì)算機(jī)數(shù)量：涉密人員數(shù)量：本單位對(duì)軟盤(pán)、USB盤(pán)以及筆記本電腦的使用采取了哪些措施實(shí)施了管理措施；措施說(shuō)明：實(shí)施了技術(shù)措施；措施說(shuō)明：無(wú)本單位對(duì)涉密信息和敏感信息采取了哪些保護(hù)措施沒(méi)有涉密、敏感信息；實(shí)施嚴(yán)格的訪(fǎng)問(wèn)控制與授權(quán)管理措施；單機(jī)處理；接入專(zhuān)門(mén)網(wǎng)絡(luò)與非涉密網(wǎng)絡(luò)物理隔離；專(zhuān)人管理涉密、敏感信息；禁

10、止電子形式涉密、敏 感信息被拷貝；監(jiān)視涉密信息系統(tǒng)的各臺(tái)終端；涉密信息有相應(yīng)的密級(jí)標(biāo)識(shí)，密級(jí)標(biāo)識(shí)不與正文分離； 其它：所有重要信息是否進(jìn)行了明確分類(lèi)并記錄在案O是O否O只有涉密信息進(jìn)行了定密和統(tǒng)計(jì)在訪(fǎng)問(wèn)計(jì)算機(jī)、重要資 源或信息時(shí)，是否所有 用戶(hù)都需要進(jìn)行身份鑒 另（認(rèn)證）O是O沒(méi)有鑒別O只有部分用戶(hù)進(jìn)行了鑒別列舉本單位采取的鑒別機(jī)制 口令智能卡數(shù)字證書(shū) CA生物識(shí)別其它：多余默認(rèn)帳號(hào)和無(wú)關(guān)服務(wù)是否關(guān)停O是O否O不清楚默認(rèn)帳號(hào)和無(wú)關(guān)服務(wù)情況采取了哪些口令管理措施 口令難以猜測(cè)（例如要求口令包括數(shù)字、 大小寫(xiě)字母、 特殊字符等，并設(shè)定最小長(zhǎng)度）；口令定期修改； 及時(shí)刪除離職員工帳號(hào)和口令；迅速替換

11、廠家提供 的默認(rèn)口令；系統(tǒng)管理員在分發(fā)口令、處理丟失或泄漏的口令時(shí)有 嚴(yán)格的流程；口令在系統(tǒng)中加密存儲(chǔ)。設(shè)置帳戶(hù)鎖定閥值（防口令猜測(cè)）對(duì)哪些存儲(chǔ)信息進(jìn)行加密沒(méi)有使用加密措施涉密信息單位敏感信息其它：是否對(duì)傳輸信息進(jìn)行了加密O是O否涉密文檔是否使用了基于密級(jí)標(biāo)識(shí)的訪(fǎng)問(wèn)控制措施O是O否O不知道O沒(méi)有涉密電子文檔（續(xù)表1）系統(tǒng)狀態(tài)審計(jì)； 系統(tǒng)訪(fǎng)問(wèn)審計(jì)；網(wǎng)絡(luò)連接審計(jì)；續(xù) I/O操作審計(jì)；文件訪(fǎng)問(wèn)審計(jì)；主機(jī)配置更改主機(jī)和服務(wù)器五審計(jì)審計(jì)；、網(wǎng)審計(jì)情 服務(wù)訪(fǎng)問(wèn)審計(jì)；其它：況絡(luò)網(wǎng)絡(luò)通信量審計(jì)；網(wǎng)絡(luò)入侵審計(jì)；與網(wǎng)絡(luò)審計(jì)協(xié)議審計(jì)（包括對(duì)http協(xié)議、smtp協(xié)議、pop3協(xié)議、信p2p協(xié)議等）；其它：息數(shù)據(jù)庫(kù)審

12、計(jì)用戶(hù)訪(fǎng)問(wèn)審計(jì)；日志審計(jì)安自動(dòng)在線(xiàn)升級(jí)；到操作系統(tǒng)廠商網(wǎng)全站在線(xiàn)升級(jí)；技操作系統(tǒng)更新、升級(jí)方利用第二方軟件升級(jí)；上級(jí)單位或有關(guān)部術(shù)式門(mén)分發(fā)補(bǔ)丁防接上級(jí)或信息安全服務(wù)商通知，到可信站點(diǎn)升級(jí)；范其它：措是否使用防病毒系統(tǒng)O是O否施安全產(chǎn)品中漏洞庫(kù)或病在線(xiàn)升級(jí)產(chǎn)品丿商郵寄情毒庫(kù)的升級(jí)方式其它：況系統(tǒng)、病毒庫(kù)升級(jí)和打。每天O每周O每月補(bǔ)丁包程序情況O每季度O半年O從不對(duì)信息安全產(chǎn)品的是否進(jìn)行安全配置O是O否信息安全產(chǎn)品和網(wǎng)絡(luò)產(chǎn)品的配置文檔是否齊全。齊全，非常詳細(xì)；O沒(méi)有；O有，但不詳細(xì)或不全面信息安全管理員對(duì)于安全產(chǎn)品的功能配置是否熟練O熟練O較為熟練O不熟練系統(tǒng)在幵發(fā)和運(yùn)行過(guò)程中保存了哪些必要的文檔與記錄操作日志故障記錄值班記錄幵發(fā)文檔變更記錄其它：是否有設(shè)備、主機(jī)、系統(tǒng)和應(yīng)用軟件運(yùn)行日志的管理措施O 是；其中采取的措施：O否是否有郵件服務(wù)O是；其中采取的安全措施：O否是否有電子公告板(B