附表1：網絡及信息安全自查表

1、-PAGE . z.附表1：通過平安檢驗/鑒定/認證情況. 防火墻. 入侵檢測系統. 平安審計系統. 漏洞掃描系統. 違規(guī)外聯監(jiān)控系統. 網頁防篡改系統. 網絡平安隔離網閘. 病毒防護產品. 密碼產品 .附表1：*市網絡與信息平安自查表填表單位：單位簽章填表時間：年月日一、組織管理與規(guī)章制度情況單位名稱單位地址聯系人聯系電子信息平安主管領導職務信息平安管理部門部門人數信息平安部門責任人*職務手機持有何種資質證書信息平安管理員*專業(yè)受過何種培訓持有何種資質證書是否舉辦過信息平安培訓是，其中舉辦過哪些講座或培訓：_否制定的相關平安制度信息平安責任制信息平安通報管理制度資產平安管理制度物理和環(huán)境平安

2、管理制度信息平安人事管理制度系統運行平安管理制度數據信息平安管理制度信息平安應急處理管理制度其他：平安效勞是否外包是，其中公司名稱：_，內資合資外資外包公司平安效勞資質：_否本單位日常信息平安工作信息平安測評系統平安定級信息平安檢查信息平安風險評估其它：_本單位是否制定過平安策略是；其中保證策略：確定責任人，對責任人進展獎懲定期組織內部檢查通過技術手段，例如部署監(jiān)控、掃描或檢測手段其它：否崗位職責文件和相關操作規(guī)程是否健全是否不知道平安管理存在的主要問題用戶平安意識和觀念淡薄缺乏網絡平安管理制度或制度不落實網絡平安保障經費投入缺乏網絡平安管理人員缺乏，缺乏培訓缺乏與信息管理部門的溝通，缺乏平安

3、信息共享網絡平安產品不能滿足平安要求網絡平安效勞公司不能滿足要求其他：_續(xù)表1二、網絡運行及關鍵平安設備情況單位接入的網絡互聯網省公務外網省公務內網行業(yè)系統內部使用的廣域網或城域網內部局域網無網絡與信息系統集成、設計維護與監(jiān)理情況集成商名稱：_；系統集成資質等級_設計維護單位：_；監(jiān)理單位：_監(jiān)理單位資質：_如有專網，專網名稱是否有涉密網絡是；其中是否經*部門審批是否否涉密網絡與其他網絡是否物理隔離是；其中采取的措施：_否是否按國家等級保護要求劃分平安域是否網絡主要用途面向公眾效勞本單位內本系統跨系統網絡配置和規(guī)模10M 100M 1000M 其它_100節(jié)點以下300節(jié)點以下500節(jié)點以下5

4、00節(jié)點以上主要操作系統Win9*/WinMe WinNT/Win2000/win2003 Win*P WinVista Linu* Uni* Novell Nerware Sun Solaris OS/2 其他：_信息平安保障經費投入占信息化工程投入資金比例無少于5 510% 1115% 多于15難以估量網絡與信息平安產品名稱數量生產廠家規(guī)格型號通過平安檢驗/鑒定/認證情況防火墻入侵檢測系統平安審計系統漏洞掃描系統違規(guī)外聯監(jiān)控系統網頁防篡改系統網絡平安隔離網閘病毒防護產品密碼產品。續(xù)表1三、網絡與信息平安應急管理情況本地備份情況有；其中備份方式：磁帶機磁盤陣列光盤其他請注明_無本地備份策略完

5、全備份增量備份備份上次備份后系統中變化過的數據信息差量備份備份上次完全備份后發(fā)變化過的數據信息無本地備份頻率實時天星期月無異地容災備份情況有無異地容災備份需求有；其中是否實現異地容災備份是否無本單位是否發(fā)生過平安事件發(fā)生過；其中是否做相應記錄是否未發(fā)生過不清楚可能攻擊來源內部外部內外都有不清楚其他原因：發(fā)生平安事件類型感染病毒、蠕蟲、特洛伊木馬程序拒絕效勞攻擊端口掃描攻擊數據竊取破壞數據或網絡篡改網頁垃圾內部人員有意破壞內部人員濫用網絡端口和系統資源被利用發(fā)送和傳播有害信息網絡詐騙和盜竊其他：_導致發(fā)生平安事件的原因未修補系統或軟件漏洞網絡、系統或軟件配置錯誤缺少訪問控制登錄密碼過于簡單或未修

6、改原始密碼攻擊者使用拒絕效勞攻擊攻擊者利用軟件默認設置利用內部用戶平安管理漏洞或內部人員作案內部網絡違規(guī)外連攻擊者使用欺詐方法缺少身份認證措施不知原因其他：發(fā)現平安事件后采取的措施向相關部門報案向上級業(yè)務主管部門報告請平安效勞單位協助解決請開發(fā)維護單位協助解決請平安事件應急響應組織解決自行解決未采取任何措施其他：平安事件造成損失評估非常嚴重嚴重一般比擬輕微輕微無法評估是否制定網絡與信息平安應急預案是；其中是否經過演練：是否否續(xù)表1四、物理和環(huán)境平安情況本單位對機房平安保衛(wèi)采取的措施外來人員登記防盜報警、視頻監(jiān)控等平安防*系統門禁系統值班門窗加固其他措施：_ 本單位對機房環(huán)境平安采取的措施關鍵設

7、備安置措施加鎖；專用機柜；其它：_ 布線措施室外線路埋地；室外線路未埋地局部加裝套管保護；室內線路在地板下；網絡傳輸線路與電力線分開布置，防止干擾；其它：_防火選擇耐火材料建立機房；設置機房專用滅火設備；消防報警系統；其它：_ 防靜電接地與屏蔽；控制機房溫度、濕度，防止產生靜電；選擇防靜電機房裝飾材料如地板、桌椅，減少靜電發(fā)生；穿戴防靜電服裝、鞋帽等物品；其它：_ 溫濕度控制溫、濕度監(jiān)控；專用機房空調普通空調其它：_防水和防潮規(guī)劃機房周圍的水管安裝，防止水管泄漏；采取措施防止屋頂漏水；采取措施防止墻壁滲透；安裝漏水保護設施其它：_防雷良好接地；安裝避雷設施；其它_電磁輻射防護電磁輻射監(jiān)測；采購

8、電磁輻射達標的計算機等信息技術設備電磁輻射防護卡；穿戴電磁輻射保護服裝；其它：_電磁泄漏保護設置屏蔽室；濾波；干擾；接地；購置低電磁泄漏信息設備隔離和合理布局；其它：_防電力故障UPS不連續(xù)電源；機房用電與民用電分開；配備發(fā)電機；設置穩(wěn)壓器和過電壓防護設備；多路供電；其它：_續(xù)表1五、網絡與信息平安技術防*措施情況是否執(zhí)行了工作人員短暫離開計算機時鎖定屏幕的要求是否是否有在公務外網和互聯網上處理內部敏感信息是否是否制定了詳細的授權管理和訪問控制策略是否是否有內部用戶違規(guī)外聯的監(jiān)控措施和管理措施是；其中采取的措施_ 否是否按照*管理規(guī)定管理涉密存儲介質是否涉密計算機和涉密人員數量涉密計算機數量：

9、涉密人員數量：本單位對軟盤、USB盤以及筆記本電腦的使用采取了哪些措施實施了管理措施；措施說明：_ 實施了技術措施；措施說明：_ 無本單位對涉密信息和敏感信息采取了哪些保護措施沒有涉密、敏感信息；實施嚴格的訪問控制與授權管理措施；單機處理；接入專門網絡與非涉密網絡物理隔離；專人管理涉密、敏感信息；制止電子形式涉密、敏感信息被拷貝；監(jiān)視涉密信息系統的各臺終端；涉密信息有相應的標識，標識不與正文別離；其它：_ 所有重要信息是否進展了明確分類并記錄在案是否只有涉密信息進展了定密和統計在訪問計算機、重要資源或信息時，是否所有用戶都需要進展身份鑒別認證是沒有鑒別只有局部用戶進展了鑒別列舉本單位采取的鑒別

10、機制口令智能卡數字證書CA 生物識別其它：_ 多余默認*和無關效勞是否關停是否不清楚默認*和無關效勞情況采取了哪些口令管理措施口令難以猜想例如要求口令包括數字、大小寫字母、特殊字符等，并設定最小長度；口令定期修改；及時刪除離職員工*和口令；迅速替換廠家提供的默認口令；系統管理員在分發(fā)口令、處理喪失或泄漏的口令時有嚴格的流程；口令在系統中加密存儲。設置*鎖定閥值防口令猜想對哪些存儲信息進展加密沒有使用加密措施涉密信息單位敏感信息其它：_ 是否對傳輸信息進展了加密是否涉密文檔是否使用了基于標識的訪問控制措施是否不知道沒有涉密電子文檔續(xù)表1續(xù)五、網絡與信息平安技術防*措施情況審計情況主機和效勞器審計

11、系統狀態(tài)審計；系統訪問審計；網絡連接審計；I/O 操作審計；文件訪問審計；主機配置更改審計；效勞訪問審計；其它：_網絡審計網絡通信量審計；網絡入侵審計；協議審計包括對 協議、smtp協議、pop3協議、p2p協議等；其它：_數據庫審計用戶訪問審計；日志審計操作系統更新、升級方式自動在線升級；到操作系統廠商在線升級；利用第三方軟件升級；上級單位或有關部門分發(fā)補丁接上級或信息平安效勞商通知，到可信站點升級；其它：_ 是否使用防病毒系統是否平安產品中漏洞庫或病毒庫的升級方式在線升級產品廠商郵寄其它：_ 系統、病毒庫升級和打補丁包程序情況每天每周每月每季度半年從不對信息平安產品的是否進展平安配置是否信息平安產品和網絡產品的配置文檔是否齊全齊全，非常詳細；沒有；有，但不詳細或不全面信息平安管理員對于平安產品的功能配置是否熟練熟練較為熟練不熟練系統在開發(fā)和運行過程中保存了哪些必要的文檔與記錄操作日志故障記錄值班記錄開發(fā)文檔變更記錄其它：_ 是否有設備、主機、系統和應用軟件運行日志的管理措施是；其中采取的措施：_否是否有效勞是；其中采取的平安措施：_否是否有電子公告板BB