網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患自查清單

1一、單位根本情況單位名稱單位地址網(wǎng)絡(luò)平安分管領(lǐng)導(dǎo)**職務(wù)/職稱網(wǎng)絡(luò)平安責(zé)任部門責(zé)任部門負(fù)責(zé)人**職務(wù)/職稱辦公移動(dòng)責(zé)任部門聯(lián)系人**職務(wù)/職稱辦公移動(dòng)單位信息系統(tǒng)總數(shù)第四級(jí)系統(tǒng)數(shù)第三級(jí)系統(tǒng)數(shù)第二級(jí)系統(tǒng)數(shù)未定級(jí)系統(tǒng)數(shù)單位信息系統(tǒng)等級(jí)測(cè)評(píng)總數(shù)第四級(jí)系統(tǒng)數(shù)第三級(jí)系統(tǒng)數(shù)第二級(jí)系統(tǒng)數(shù)未測(cè)評(píng)系統(tǒng)數(shù)單位信息系統(tǒng)平安建立整改總數(shù)第四級(jí)系統(tǒng)數(shù)第三級(jí)系統(tǒng)數(shù)第二級(jí)系統(tǒng)數(shù)未整改系統(tǒng)數(shù)單位信息系統(tǒng)平安自查總數(shù)第四級(jí)系統(tǒng)數(shù)第三級(jí)系統(tǒng)數(shù)第二級(jí)系統(tǒng)數(shù)未自查系統(tǒng)數(shù)二、信息系統(tǒng)運(yùn)營(yíng)使用單位網(wǎng)絡(luò)平安工作情況1、單位網(wǎng)絡(luò)平安等級(jí)保護(hù)工作開(kāi)展情況〔重點(diǎn)包括：?jiǎn)挝痪W(wǎng)絡(luò)平安領(lǐng)導(dǎo)小組成立情況；已運(yùn)行或新建的信息系統(tǒng)是否按"信息系統(tǒng)平安等級(jí)保護(hù)定級(jí)指南"要求定級(jí)、二級(jí)以上信息系統(tǒng)是否到公安機(jī)關(guān)備案、已備案信息系統(tǒng)是否按"信息系統(tǒng)平安等級(jí)保護(hù)測(cè)評(píng)要求"測(cè)評(píng)和平安整改、單位信息系統(tǒng)平安檢測(cè)和整改經(jīng)費(fèi)落實(shí)情況?！?、單位網(wǎng)絡(luò)平安規(guī)章制度建立情況〔重點(diǎn)包括：是否建立了單位網(wǎng)絡(luò)平安責(zé)任追究制度，單位網(wǎng)絡(luò)平安人員管理、信息系統(tǒng)機(jī)房管理、設(shè)備管理、介質(zhì)管理、網(wǎng)絡(luò)平安建立管理、運(yùn)維管理、效勞外包等管理制度的建立情況；管理制度的監(jiān)視保障和運(yùn)行情況等?！?、單位網(wǎng)絡(luò)平安保護(hù)技術(shù)措施落實(shí)情況〔重點(diǎn)包括：?jiǎn)挝皇欠耖_(kāi)展有害信息報(bào)警和關(guān)鍵字過(guò)濾措施；單位網(wǎng)絡(luò)平安監(jiān)測(cè)技術(shù)手段建立情況；單位網(wǎng)絡(luò)平安設(shè)備的國(guó)產(chǎn)化比率情況；單位信息技術(shù)產(chǎn)品國(guó)產(chǎn)化替換工作方案情況；單位落實(shí)防病毒、防網(wǎng)絡(luò)入侵和攻擊等危害網(wǎng)絡(luò)平安技術(shù)措施情況，重要數(shù)據(jù)和重要系統(tǒng)的容災(zāi)備份措施情況，用戶注冊(cè)信息、系統(tǒng)運(yùn)行日志、用戶使用日志等是否保存60天以上，單位使用互聯(lián)網(wǎng)平安技術(shù)產(chǎn)品是否符合公安部要求等〕4、單位網(wǎng)絡(luò)平安應(yīng)急預(yù)案和演練情況〔重點(diǎn)包括：是否制定了單位網(wǎng)絡(luò)平安預(yù)案？單位網(wǎng)絡(luò)平安預(yù)案是否進(jìn)展了演練？是否明確了單位網(wǎng)絡(luò)平安事件〔事故〕發(fā)現(xiàn)、報(bào)告和處置流程？是否與公安部門、網(wǎng)絡(luò)平安廠商、測(cè)評(píng)機(jī)構(gòu)等相關(guān)部門建立了網(wǎng)絡(luò)平安應(yīng)急處置機(jī)制等情況。〕5、單位對(duì)照近期我市多發(fā)的網(wǎng)絡(luò)平安隱患自查漏洞情況〔重點(diǎn)包括：1、是否存在賬號(hào)管理弱口令漏洞；2、、信息系統(tǒng)程序設(shè)計(jì)缺陷是否存在注入漏洞；3、、信息系統(tǒng)中間件版本過(guò)低，未及時(shí)升級(jí)或打補(bǔ)丁，是否存在ApacheStruts2系列漏洞或WeblogicJava反序列化漏洞或OSSApplicationServer反序列化漏洞等；4、是否存在機(jī)房管理、升級(jí)維護(hù)等管理制度不健全，操作系統(tǒng)未及時(shí)升級(jí)，導(dǎo)致效勞器存在MS17-010、遠(yuǎn)程代碼執(zhí)行、溢出攻擊等緊急、高危漏洞，、信息系統(tǒng)存在喪失管理權(quán)限，被篡改頁(yè)面內(nèi)容，數(shù)據(jù)信息被篡改、泄露或破壞的風(fēng)險(xiǎn)隱患情況；5、是否存在內(nèi)外網(wǎng)劃分不嚴(yán)格，隔離措施不完備或設(shè)備策略配置不完善問(wèn)題，當(dāng)遭遇網(wǎng)絡(luò)攻擊時(shí)，容易出現(xiàn)“一點(diǎn)被突破、全網(wǎng)遭淪陷〞的問(wèn)題；6、是否存在、信息系統(tǒng)程序設(shè)計(jì)存在缺陷，對(duì)上傳文件類型未做嚴(yán)格限制，存在文件上傳漏洞，攻擊者利用文件上傳漏洞上傳病毒、木馬，、信息系統(tǒng)存在喪失管理權(quán)限，被篡改頁(yè)面內(nèi)容，數(shù)據(jù)信息被篡改、泄露或破壞的風(fēng)險(xiǎn)隱患；7、是否存在、信息系統(tǒng)程序設(shè)計(jì)存在缺陷，對(duì)用戶權(quán)限沒(méi)有做嚴(yán)格限制，存在越權(quán)漏洞，導(dǎo)致攻擊者利用越權(quán)漏洞能獲取到較高較大的管理權(quán)限，、信息系統(tǒng)存在喪失管理權(quán)限，被篡改頁(yè)面內(nèi)容，數(shù)據(jù)信息被篡改、泄露或破壞的風(fēng)險(xiǎn)隱患；8、是否存在、信息系統(tǒng)缺少數(shù)據(jù)平安防護(hù)，或者缺少對(duì)訪問(wèn)者的身份鑒別，導(dǎo)致數(shù)據(jù)在傳輸、存儲(chǔ)、使用等環(huán)節(jié)存在被篡改、泄露或破壞的風(fēng)險(xiǎn)隱患?！橙?、單位信息系統(tǒng)根本情況序號(hào)信息系統(tǒng)名稱是否認(rèn)級(jí)是否備案是否為關(guān)鍵信息根底設(shè)施備案編號(hào)平安保護(hù)等級(jí)1234.......平安情況自查表一、的根本情況中文名IP地址網(wǎng)址責(zé)任單位運(yùn)行單位責(zé)任單位負(fù)責(zé)人及職務(wù)聯(lián)系運(yùn)行平安責(zé)任人及職務(wù)聯(lián)系責(zé)任單位所在地工信部ICP備案號(hào)國(guó)際聯(lián)網(wǎng)備案號(hào)隸屬關(guān)系□中央□省(自治區(qū)、直轄市)□地(區(qū)、市、州、盟)□縣〔區(qū)、市、旗〕□其他_____單位類型□政府機(jī)關(guān)□事業(yè)單位□國(guó)企□互聯(lián)網(wǎng)□其他_____行業(yè)類別如：財(cái)政〔根據(jù)等級(jí)保護(hù)備案表行業(yè)分類劃分〕等級(jí)保護(hù)定級(jí)備案□二級(jí)□三級(jí)□四級(jí)□未定級(jí)等級(jí)測(cè)評(píng)□已開(kāi)展□未開(kāi)展平安責(zé)任書(shū)□已簽訂□未簽訂效勞欄目□新聞發(fā)布□政策宣傳□事項(xiàng)辦理□論壇□即時(shí)通信□電子□留言版□政務(wù)公開(kāi)□其他_____二、的聯(lián)網(wǎng)信息域名注冊(cè)效勞機(jī)構(gòu)和聯(lián)系方式.域名的NS記錄.域名的A記錄主站IP地址*圍主要協(xié)議/端口操作系統(tǒng)版本接入運(yùn)營(yíng)商及聯(lián)系方式物理接入位置接入帶寬CDNIP地址*圍CDN效勞提供商CDN聯(lián)系人**手機(jī)號(hào)三、平安保護(hù)情況1平安責(zé)任部門和平安責(zé)任人落實(shí)情況是否落實(shí)了單位平安責(zé)任部門？□是□否是否落實(shí)了單位平安責(zé)任人？□是□否2主要領(lǐng)導(dǎo)對(duì)網(wǎng)絡(luò)平安工作的重視情況是否將平安工作的執(zhí)行情況納入到年度考核指標(biāo)？□是□否開(kāi)展平安工作的經(jīng)費(fèi)是否納入年度預(yù)算？□是□否3單位網(wǎng)絡(luò)平安責(zé)任制落實(shí)情況是否明確了建立單位、運(yùn)維單位和內(nèi)容更新單位等部門的責(zé)任？□是□否是否對(duì)發(fā)生的平安事件〔事故〕按照平安責(zé)任制進(jìn)展追責(zé)？□是□否4關(guān)鍵崗位人員配備情況是否有明確的平安管理員，并簽訂**協(xié)議？□是□否是否有內(nèi)容管理員，并簽訂**協(xié)議？□是□否5定級(jí)備案執(zhí)行情況單位是否確定了平安保護(hù)等級(jí)？□是□否單位是否按要求到公安機(jī)關(guān)進(jìn)展了備案？□是□否6等級(jí)測(cè)評(píng)情況是否從"全國(guó)網(wǎng)絡(luò)平安等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦目錄"中選擇測(cè)評(píng)機(jī)構(gòu)開(kāi)展等級(jí)測(cè)評(píng)？□是□否是否對(duì)系統(tǒng)定期進(jìn)展平安測(cè)評(píng)？□是□否是否對(duì)系統(tǒng)進(jìn)展了外部滲透測(cè)試？□是□否是否根據(jù)測(cè)評(píng)和滲透測(cè)試結(jié)果對(duì)進(jìn)展平安加固改造？

□是□否7平安事件報(bào)告處置是否制定平安事件〔事故〕報(bào)告制度？□是□否發(fā)生平安事件〔事故〕是否向?qū)俚毓矙C(jī)關(guān)報(bào)告？□是□否是否有完整平安事件處置記錄？□是□否是否按照要求保存完整日志？□是□否8開(kāi)展平安監(jiān)測(cè)和預(yù)警情況本單位是否開(kāi)展日常平安監(jiān)測(cè)？□是□否是否有平安監(jiān)測(cè)記錄？□是□否是否有平安預(yù)警和處理記錄？□是□否9內(nèi)容管理是否制定內(nèi)容發(fā)布管理制度？□是□否是否制定內(nèi)容發(fā)布流程？□是□否10應(yīng)急預(yù)案的制定、演練和完善情況是否有應(yīng)急預(yù)案，并有相應(yīng)的預(yù)案文檔？□是□否是否有應(yīng)急保障隊(duì)伍并有人員聯(lián)系方式？□是□否是否認(rèn)期應(yīng)急演練并有應(yīng)急演練的文檔記錄？□是□否是否根據(jù)演練結(jié)果對(duì)應(yīng)急預(yù)案進(jìn)展完善？□是□否11機(jī)房平安管理制度執(zhí)行情況本單位機(jī)房進(jìn)出人員管理是否按照制度執(zhí)行，并有詳細(xì)記錄？□是□否本單位機(jī)房日常監(jiān)控是否制度執(zhí)行并有監(jiān)控記錄？□是□否12網(wǎng)絡(luò)平安檢查情況是否有平安自查工作總結(jié)報(bào)告？□是□否13交互式欄目信息巡查情況單位是否有交互式欄目？□是□否是否有專人負(fù)責(zé)交互式欄目信息巡查？□是□否14網(wǎng)頁(yè)防篡改措施是否認(rèn)期對(duì)文件進(jìn)展檢測(cè)？□是□否是否采取網(wǎng)頁(yè)防篡改措施？□是□否15漏洞掃描措施及修復(fù)升級(jí)情況是否進(jìn)展過(guò)系統(tǒng)層漏洞掃描，并有詳細(xì)記錄？□是□否是否進(jìn)展過(guò)應(yīng)用層漏洞掃描，并有詳細(xì)記錄？□是□否發(fā)現(xiàn)的漏洞是否及時(shí)修復(fù)？□是□否16惡意代碼防護(hù)是否有網(wǎng)頁(yè)掛馬檢測(cè)系統(tǒng)？□是□否17內(nèi)容平安防護(hù)措施內(nèi)容編輯、審核及發(fā)布權(quán)限是否別離？□是□否關(guān)鍵信息發(fā)布是否多級(jí)審核？□是□否發(fā)布內(nèi)容是否過(guò)濾？□是□否18管理終端平安防護(hù)措施是否有控制措施〔如地址綁定，網(wǎng)絡(luò)接入控制等〕？□是□否19后臺(tái)管理系統(tǒng)防護(hù)措施是否對(duì)后臺(tái)管理系統(tǒng)的接口進(jìn)展隱藏？□是□否后臺(tái)管理系統(tǒng)登錄是否采取驗(yàn)證機(jī)制？□是□否是否對(duì)后臺(tái)管理系統(tǒng)的登錄失敗嘗試次數(shù)進(jìn)展限制？□是□否是否對(duì)后臺(tái)管理系統(tǒng)的用戶口令復(fù)雜度進(jìn)展強(qiáng)度限制？□是□否20應(yīng)用遠(yuǎn)程管理情況是否不允許遠(yuǎn)程管理的應(yīng)用？□是□否應(yīng)用遠(yuǎn)程管理時(shí)是否采用加密通道？□是□否21內(nèi)容遠(yuǎn)程維護(hù)情況是否不允許遠(yuǎn)程維護(hù)內(nèi)容？□是□否內(nèi)容遠(yuǎn)程維護(hù)時(shí)是否采用加密通道？□是□否22效勞器操作系統(tǒng)平安措施效勞器操作系統(tǒng)平安補(bǔ)丁是否及時(shí)更新？□是□否效勞器操作系統(tǒng)是否存在弱口令？□