網(wǎng)絡(luò)與信息安全檢查工作細則-浙江大學(xué)信息化服務(wù)

PAGEPAGE8附件：網(wǎng)絡(luò)與信息安全檢查工作細則一、自查工作重點檢查責(zé)任制建立及落實情況、安全管理制度規(guī)范建重要數(shù)據(jù)傳輸及存儲備份情況等。一類、二類重點信息系統(tǒng)2；浙江大學(xué)網(wǎng)站或信息系統(tǒng)安全檢查3。二、整治工作針對各網(wǎng)站或信息系統(tǒng)在檢查中發(fā)現(xiàn)的安全風(fēng)險和漏關(guān)閉。三、安全評估學(xué)校信息中心組織力量對部分網(wǎng)站和信息系統(tǒng)進行抽危漏洞進行整改的進行下線整改，直至修復(fù)漏洞。四、登記備案各單位要對本單位及下屬單位主辦的所有網(wǎng)站或信息4件形式向各單位下發(fā)各單位已經(jīng)登記在冊的網(wǎng)站和信息系5統(tǒng)計補充核實各自網(wǎng)站和信息系統(tǒng)名錄后重新蓋章確認并上交。五、明確責(zé)任各單位主要負責(zé)人是網(wǎng)絡(luò)與信息安全工作的第一負責(zé)責(zé)人履行本單位網(wǎng)絡(luò)與信息安全職責(zé)，指定一位安全觀念XX6。六、定期檢查各單位要對主辦的網(wǎng)站和信息系統(tǒng)的安全狀況進行定7。七、安全管理各單位要加強對數(shù)據(jù)備份工作，定期對重要數(shù)據(jù)進行備對各網(wǎng)站和信息系統(tǒng)，要定期檢查清除廢棄域名及無效鏈接，防止盜鏈；檢查目錄結(jié)構(gòu)和上傳文件夾，刪除臨時文件和無用文件，嚴格限制上傳文件夾的讀寫執(zhí)行權(quán)限；檢查系統(tǒng)的運行參數(shù)及系統(tǒng)負荷，及時發(fā)現(xiàn)系統(tǒng)的異常情況；全面檢查系統(tǒng)管理賬戶和口令，清理無關(guān)賬戶，杜絕空口令、弱口令和默認口令；建立管理員口令的定期更換制度和責(zé)任管2八、安全保護要定期檢查服務(wù)器補丁更新情況，實施補丁自動更新的管理措施；關(guān)閉不必要的端口，特別是遠程管理端口，停止不必要的服務(wù)和應(yīng)用，部署本地服務(wù)器的安全管理策略，提SQL傳、文件編輯、文件名輸入等代碼模塊采取合法性檢查和過濾；定期查殺服務(wù)器上的病毒木馬，清除木馬和后門程序。附件1：一類、二類重點信息系統(tǒng)及重點單位清單一、官方網(wǎng)站或公共支撐系統(tǒng)（一類系統(tǒng)）清單123、浙江大學(xué)綜合服務(wù)網(wǎng)4、浙江大學(xué)協(xié)同辦公系統(tǒng)（校院二級）5、浙江大學(xué)統(tǒng)一身份認證6、浙江大學(xué)校?卡管理平臺7、浙江大學(xué)個人主頁8、浙江大學(xué)數(shù)據(jù)交換中心9、我的浙大二、重點網(wǎng)站或業(yè)務(wù)系統(tǒng)（二類系統(tǒng)）清單(一)人事處(二)研究生院(三)本科生院1、現(xiàn)代教務(wù)管理系統(tǒng)（含鶻鷹系統(tǒng)）(四)計劃財務(wù)處（含國有資產(chǎn)管理辦公室1、綜合財務(wù)管理平臺2、國有資產(chǎn)管理系統(tǒng)(五)實驗室與設(shè)備管理處1、設(shè)備資產(chǎn)管理系統(tǒng)2、大型儀器共享管理平臺(六)科學(xué)技術(shù)研究院科研管理系統(tǒng)（科技版）(七)社會科學(xué)研究院科研管理系統(tǒng)（社科版(八)房地產(chǎn)管理處(九)繼續(xù)教育學(xué)院遠程教育管理平臺附件2：xx單位網(wǎng)站或信息系統(tǒng)安全檢查報告(提綱)一、本單位網(wǎng)絡(luò)與信息系統(tǒng)安全情況總體評價概述本單位信息安全情況，對本單位信息安全狀況的總體評價。二、網(wǎng)絡(luò)與信息系統(tǒng)安全自查開展情況情況等，特別是重點信息系統(tǒng)要重點排查。三、網(wǎng)絡(luò)與信息系統(tǒng)安全主要工作情況作情況。3、安全技術(shù)防范措施及應(yīng)急處置落實情況；4、網(wǎng)站及信息系統(tǒng)的漏洞封堵情況；5、重要數(shù)據(jù)傳輸及存儲備份情況。四、自查中發(fā)現(xiàn)的主要問題及整改情況在的主要問題和薄弱環(huán)節(jié)，以及針對這些問題的整改措施或計劃。五、對網(wǎng)絡(luò)與信息系統(tǒng)安全工作的意見和建議一步促進提高信息安全工作水平。附件3：浙江大學(xué)網(wǎng)站或信息系統(tǒng)安全檢查表單位名稱： 聯(lián)系人： 聯(lián)系電話： 網(wǎng)站或信息系統(tǒng)名稱信息系統(tǒng)安全等級保護級別主機服務(wù)器運行維護管理方式是否制定了信息安全規(guī)章制度？是否落實了信息系統(tǒng)安全員？是否對安全防護措施進行了評估？ 么？測試？

○三級○二級○一級○未定級○自行管理 ○委托管理○是 ○否○是 ○否○是 ○否○有效 ○基本有效 ○不足○自評估○委托專業(yè)評估○沒有開展SQL○跨站腳本攻擊隱患○弱口令○操作系統(tǒng)補丁安裝情況○網(wǎng)站服務(wù)系統(tǒng)及其他應(yīng)用系統(tǒng)補是否進行了下列安全檢查？ 丁安裝情況○系統(tǒng)的運行參數(shù)及系統(tǒng)負荷○目錄結(jié)構(gòu)和上傳文件夾○防病毒軟件升級情況○網(wǎng)站或信息系統(tǒng)是否已被“掛馬”○入侵檢測系統(tǒng)升級情況是否有網(wǎng)頁防篡改措施？ ○安裝了防篡改系統(tǒng)○人工監(jiān)看○無防篡改措施是否具有邊界保護措施？是否有抗拒服務(wù)攻擊措施？是否安裝了入侵檢測系統(tǒng)？是否安裝了防病毒系統(tǒng)？防病毒系統(tǒng)最近一次升級的日期是否保留了系統(tǒng)安全日志？

○防火墻○其他○無○是 ○否○是 ○否○是 ○否 日○是 ○否○每月 ○每周○每天 ○偶爾查看或從不查看是否有獨立的安全審計系統(tǒng)？務(wù)器之間是否有訪問控制措施？操作系統(tǒng)最近一次升級的日期Web服務(wù)器最近一次升級的日期數(shù)據(jù)庫系統(tǒng)最近一次升級的日期是否關(guān)閉或刪除了不必要的賬戶？是否關(guān)閉或刪除了不必要的應(yīng)用？是否關(guān)閉或刪除了不必要的服務(wù)？是否關(guān)閉或刪除了不必要的端口？少？系統(tǒng)管理和數(shù)據(jù)庫管理的口令長度是多少？令的情況？ 取了加密措施？管理員遠程登陸是否采取了訪問控制措施？是否制定了信息安全突發(fā)事件應(yīng)急預(yù)案？是否根據(jù)應(yīng)急預(yù)案組織過應(yīng)急演練？是否對重要數(shù)據(jù)采取了定期備份措施？是否對重要數(shù)據(jù)和備份數(shù)據(jù)進行定期比對？是否明確了技術(shù)支援隊伍？是否建立和落實了網(wǎng)站信息發(fā)布審核制度？信息發(fā)布審核記錄是否完整？是否對網(wǎng)站和信息系統(tǒng)安全進行定期檢查？對本次檢查中發(fā)現(xiàn)問題的整改比例

○是 ○否○是 ○否 日 日 日○是 ○否○是 ○否○是 ○否○是 ○否○從未更換或偶爾更換○一個月以上○一個月○半個月○每周或更短88○是 ○否○是 ○否○是 ○否○是 ○否○是 ○否○是 ○否備份時間間 ○是 ○否備份時間間 ○是 ○否○是 ○否○是 ○否○是 ○否 ％PAGEPAGE11附件4：xx單位網(wǎng)站或信息系統(tǒng)名錄填報日期： 年 月 日序號 網(wǎng)站或信息系統(tǒng)名稱 域名 IP地址 聯(lián)系人 聯(lián)系電話 備注注：1、各單位對本單位所有網(wǎng)站或信息系統(tǒng)進行梳理登記；2、不需保留的網(wǎng)站或信息系統(tǒng)請及時向信息中心申請注銷；單位名稱（章 附件5：浙江大學(xué)網(wǎng)站及信息系統(tǒng)登記表申請日期： 年 月 主管單位

網(wǎng)站及信息系統(tǒng)負責(zé)人負責(zé)人有效證件號碼負責(zé)人EMAIL地址網(wǎng)站及信息系統(tǒng)名稱聯(lián)系電話手機號域 名首頁URLhttp://主要功能及服務(wù)對象服務(wù)器所在地點校內(nèi)IP地址：IP地址校外IP地址：MAC網(wǎng)站及信息系統(tǒng)管理員聯(lián)系電話手機號碼EMAIL地址管理制度□有□沒有服務(wù)種類欄目名稱

①單位主頁（選） ②FTP ③Email ④留言板 ⑤個人主頁⑥電子公告服（BBS論壇聊天室）⑦業(yè)務(wù)系統(tǒng)⑧綜合信息系統(tǒng)⑨其 內(nèi) 容 欄目負責(zé)人 聯(lián)系方式主管單位蓋章負責(zé)人：日期：

校園網(wǎng)絡(luò)信息管理辦公室蓋章審批：日期：

信息中心蓋章審批：日期：注：1、擬在校園網(wǎng)上開展電子公告服務(wù)（BBS、論壇、聊天室等面申請，蓋章。校園網(wǎng)絡(luò)信息管理辦公室（聯(lián)系方式：學(xué)校宣傳部88981045袁老師。2、網(wǎng)站及信息系統(tǒng)負責(zé)人對該網(wǎng)站及信息系統(tǒng)安全負責(zé)。3、以上信息發(fā)生變化，需要修改后并重新提交本表。4、按要求填寫各表格內(nèi)容，并提請學(xué)院黨委書記簽名蓋章，主管單位為院級單位。浙江大學(xué)網(wǎng)站及信息系統(tǒng)安全管理制度一、安全保護技術(shù)措施1、防范計算機病毒、網(wǎng)絡(luò)入侵和攻擊破壞等危害網(wǎng)絡(luò)安全事項或者行為的技術(shù)措施。2、記錄并保留至少60天系統(tǒng)維護日志的技術(shù)措施。3、防范網(wǎng)站、網(wǎng)頁被篡改的措施，被篡改后能夠快速恢復(fù)。4、法律、法規(guī)和規(guī)章規(guī)定應(yīng)當落實的其它安全保護技術(shù)措施。二、信息發(fā)布審核登記制度1、能夠記錄內(nèi)容發(fā)布的帳號、登錄IP、信息內(nèi)容及發(fā)布時間，并留存60天以上。2、對上網(wǎng)信息由信息審核員進行登記、審核。3、對本單位制作的信息或委托其發(fā)布的信息要有審核手續(xù)。4話和委托發(fā)布信息類別及題目。三、信息監(jiān)視、保存、清除和備份制度1、重要數(shù)據(jù)庫和系統(tǒng)主要設(shè)備的冗災(zāi)備份措施。定期對重要數(shù)據(jù)進行備份和比對。2、記錄留存技術(shù)措施，應(yīng)當具有至少保存六十天記錄備份的功能。3、必須對所提供的信息負責(zé);不得利用計算機網(wǎng)絡(luò)從事危害國家安全、泄露國家秘密的活動；不得查閱、復(fù)制和傳播有礙社會治安和淫穢、色情的信息。四、不良信息協(xié)助報告和協(xié)助查處制度1、必須建立有害信息處理和計算機違法案件申報制度。2、發(fā)現(xiàn)有害信息，應(yīng)當保留有關(guān)原始記錄后，及時予以刪除，并向?qū)W校網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組報告。3場。五、管理人員崗位責(zé)任制1、負責(zé)數(shù)據(jù)安全和系統(tǒng)安全。2、負責(zé)FTP帳號、密碼的管理維護。3、負責(zé)數(shù)據(jù)備份和恢復(fù)；負責(zé)網(wǎng)站及信息系統(tǒng)系統(tǒng)管理資料的整理和歸檔。4、網(wǎng)站及信息系統(tǒng)的安全監(jiān)控和日常管理，及時排除各種故障，確保網(wǎng)站及信息系統(tǒng)正常運行。5、定期檢查網(wǎng)站及信息系統(tǒng)的安全情況，建立日常檢查臺帳。對檢查中發(fā)現(xiàn)的安全漏洞，及時修補堵塞漏洞。本單位針對 網(wǎng)站及信息系統(tǒng)已落實以上五項安全管理制度，并指定人 老師負責(zé)。主管單位（院系部處級）蓋章：主管單位負責(zé)人簽字：日 期： 年 月 日附件6：XX單位網(wǎng)絡(luò)與信息安全小組名單1、第一責(zé)任人姓1、第一責(zé)任人姓名職務(wù)聯(lián)系電話電子郵箱2、分管負責(zé)人姓名職務(wù)聯(lián)系電話電子郵箱3、信息安全員姓名職務(wù)聯(lián)系電話電子郵箱單位名稱（章 單位：域名或IP：檢查時間：單位：域名或IP：檢查時間：檢查序號檢查內(nèi)容檢查情況備1信息安全員有□無□2安全教育和培