网络安全风险隐患自查清单.docx

细心整理附件1XX单位网络平安风险隐患自查清单一、单位根本状况单位名称单位地址网络平安分管领导姓名职务/职称网络平安责任部门责任部门负责人姓名职务/职称办公移动责任部门联系人姓名职务/职称办公移动单位信息系统总数第四级系统数第三级系统数其次级系统数未定级系统数单位信息系统等级测评总数第四级系统数第三级系统数其次级系统数未测评系统数单位信息系统平安建立整改总数第四级系统数第三级系统数其次级系统数未整改系统数单位信息系统平安自查总数第四级系统数第三级系统数其次级系统数未自查系统数二、信息系统运营运用单位网络平安工作状况1、单位网络平安等级爱惜工作开展状况〔重点包括：单位网络平安领导小组成立状况；已运行或新建的信息系统是否按《信息系统平安等级爱惜定级指南》要求定级、二级以上信息系统是否到公安机关备案、已备案信息系统是否按《信息系统平安等级爱惜测评要求》测评和平安整改、单位信息系统平安检测和整改经费落实状况〕2、单位网络平安规章制度建立状况〔重点包括：是否建立了单位网络平安责任追究制度，单位网络平安人员管理、信息系统机房管理、设备管理、介质管理、网络平安建立管理、运维管理、效劳外包等管理制度的建立状况；管理制度的监视保障和运行状况等。

〕3、单位网络平安爱惜技术措施落实状况〔重点包括：单位是否开展有害信息报警和关键字过滤措施；单位网络平安监测技术手段建立状况；单位网络平安设备的国产化比率状况；单位信息技术产品国产化替换工作准备状况；单位落实防病毒、防网络入侵和攻击等危害网络平安技术措施状况，重要数据和重要系统的容灾备份措施状况，用户注册信息、系统运行日志、用户运用日志等是否保存60天以上，单位运用互联网平安技术产品是否符合公安部要求等〕4、单位网络平安应急预案和演练状况〔重点包括：是否制定了单位网络平安预案？单位网络平安预案是否进展了演练？是否明确了单位网络平安事务〔事故〕发觉、报告和处置流程？是否及公安部门、网络平安厂商、测评机构等相关部门建立了网络平安应急处置机制等状况〕5、单位参照近期我市多发的网络平安隐患自查漏洞状况〔重点包括：1、是否存在账号管理弱口令漏洞；2、网站、信息系统程序设计缺陷是否存在注入漏洞；3、网站、信息系统中间件版本过低，未刚好升级或打补丁，是否存在Apache Struts2系列漏洞或Weblogic Java反序列化漏洞或JBOSS Application Server反序列化漏洞等；4、是否存在机房管理、升级维护等管理制度不健全，操作系统未刚好升级，导致效劳器存在MS 17-010、远程代码执行、溢出攻击等紧急、高危漏洞，网站、信息系统存在丢失管理权限，被篡改页面内容，数据信息被篡改、泄露或破坏的风险隐患状况；5、是否存在内外网划分不严格，隔离措施不完备或设备策略配置不完善问题，当遭遇网络攻击时，简洁出现“一点被突破、全网遭沦陷”的问题；6、是否存在网站、信息系统程序设计存在缺陷，对上传文件类型未做严格限制，存在文件上传漏洞，攻击者利用文件上传漏洞上传病毒、木马，网站、信息系统存在丢失管理权限，被篡改页面内容，数据信息被篡改、泄露或破坏的风险隐患；7、是否存在网站、信息系统程序设计存在缺陷，对用户权限没有做严格限制，存在越权漏洞，导致攻击者利用越权漏洞能获得到较高较大的管理权限，网站、信息系统存在丢失管理权限，被篡改页面内容，数据信息被篡改、泄露或破坏的风险隐患；8、是否存在网站、信息系统缺少数据平安防护，或者缺少对访问者的身份鉴别，导致数据在传输、存储、运用等环节存在被篡改、泄露或破坏的风险隐患。

〕三、单位信息系统根本状况序号信息系统名称是否认级是否备案是否为关键信息根底设施备案编号平安爱惜等级1234.......网站平安状况自查表一、网站的根本状况网站中文名　IP地址　网址　网站责任单位　网站运行单位　网站责任单位负责人及职务　联系　网站运行平安责任人及职务　联系　网站责任单位所在地　工信部ICP备案号　国际联网备案号　隶属关系□中心 □省(自治区、直辖市) □地(区、市、州、盟) □县〔区、市、旗〕 □其他_____单位类型□政府机关 □事业单位 □国企□互联网 □其他_____行业类别如：财政〔依据等级爱惜备案表行业分类划分〕等级爱惜定级备案□二级 □三级 □四级 □未定级等级测评□已开展 □未开展网站平安责任书□已签订 □未签订网站效劳栏目□新闻发布 □政策传播 □事项办理 □论 坛 □即时通信□电子邮件 □留言版 □政务公开 □其他_____ 二、网站的联网信息域名注册效劳机构和联系方式 域名的NS记录 域名的A记录主站IP地址范围主要协议/端口操作系统版本接入运营商及联系方式物理接入位置接入带宽CDN IP地址范围CDN 效劳供应商CDN 联系人姓名号三、网站平安爱惜状况1网站平安责任部门和平安责任人落实状况是否落实了单位网站平安责任部门？□是 □否是否落实了单位网站平安责任人？□是 □否2主要领导对网站网络平安工作的重视状况是否将网站平安工作的执行状况纳入到年度考核指标？□是 □否 开展网站平安工作的经费是否纳入年度预算？□是 □否 3单位网站网络平安责任制落实状况是否明确了网站建立单位、运维单位和内容更新单位等部门的责任？□是 □否 是否对发生的网站平安事务〔事故〕遵照平安责任制进展追责？□是 □否 4关键岗位人员配备状况是否有明确的平安管理员，并签订保密协议？□是 □否 是否有内容管理员，并签订保密协议？□是 □否 5网站定级备案执行状况单位网站是否确定了平安爱惜等级？□是 □否 单位网站是否按要求到公安机关进展了备案？□是 □否 6网站等级测评状况是否从《全国网络平安等级爱惜测评机构引荐书目》中选择测评机构开展等级测评？□是 □否 是否对网站系统定期进展平安测评？□是 □否 是否对网站系统进展了外部渗透测试？□是 □否是否依据测评和渗透测试结果对网站进展平安加固改造？ □是 □否7平安事务报告处置是否制定网站平安事务〔事故〕报告制度？□是 □否发生网站平安事务〔事故〕是否向属地公安机关报告？□是 □否 是否有完整网站平安事务处置记录？□是 □否是否遵照要求保存网站完整日志？□是 □否 8开展网站平安监测和预警状况本单位是否开展日常网站平安监测？□是 □否 是否有网站平安监测记录？□是 □否 是否有网站平安预警和处理记录？□是 □否 9网站内容管理是否制定网站内容发布管理制度？□是 □否 是否制定网站内容发布流程？□是 □否 10应急预案的制定、演练和完善状况是否有应急预案，并有相应的预案文档？□是 □否 是否有应急保障队伍并有人员联系方式？□是 □否 是否认期应急演练并有应急演练的文档记录？□是 □否 是否依据演练结果对应急预案进展完善？□是 □否 11机房平安管理制度执行状况本单位机房进出人员管理是否遵照制度执行，并有详细记录？□是 □否 本单位机房日常监控是否制度执行并有监控记录？□是 □否 12网络平安检查状况是否有网站平安自查工作总结报告？□是 □否 13网站交互式栏目信息巡查状况单位网站是否有交互式栏目？□是 □否 是否有专人负责网站交互式栏目信息巡查？□是 □否 14网页防篡改措施是否认期对网站文件进展检测？□是 □否 是否接受网页防篡改措施？□是 □否 15漏洞扫描措施及修复升级状况是否进展过系统层漏洞扫描，并有详细记录？□是 □否 是否进展过应用层漏洞扫描，并有详细记录？□是 □否 发觉的漏洞是否刚好修复？□是 □否 16网站恶意代码防护是否有网页挂马检测系统？□是 □否 17网站内容平安防护措施内容编辑、审核及发布权限是否分别？□是 □否 关键信息发布是否多级审核？□是 □否 网站发布内容是否过滤？□是 □否 18管理终端平安防护措施是否有限制措施〔如地址绑定，网络接入限制等〕？□是 □否 19网站后台管理系统防护措施是否对网站后台管理系统的接口进展隐藏？□是 □否 网站后台管理系统登录是否接受验证机制？□是 □否 是否对网站后台管理系统的登录失败尝试次数进展限制？□是 □否 是否对网站后台管理系统的用户口令困难度进展强度限制？□是 □否 20网站应用远程管理状况是否不允许远程管理网站的应用？□是 □否 应用远程管理时是否接受加密通道？□是 □否 21网站内容远程维护状况是否不允许远程维护网站内容？□是 □否 网站内容远程维护时是否接受加密通道？□是 □否 22网站效劳器操作系统平安措施网站效劳器操作系统平安补丁是否刚好更新？□是 □否 网站效劳器操作系统是否存在弱口令？□是 □否 23网站效劳器数据库平安措施网站效劳器数据库是否存在弱口令？□是 □否 网站效劳器数据库是否共用同一管理口令？□是 □否 24网站效劳器中间件平安措施网站效劳器中间件管理界面是否允许外部访问？□是 □否 网站效劳器中间件是否存在弱口令？□是 □否 25网站平安整治专项工作状况是否完成网站通信管理部门备案？□是 □否 是否完成网站等级爱惜备案？□是 □否是否完成网站统一标识？□是 □否 。