網(wǎng)絡(luò)安全風(fēng)險隱患自查清單

1一、單位根本情況單位名稱單位地址網(wǎng)絡(luò)平安分管領(lǐng)導(dǎo)**職務(wù)/職稱網(wǎng)絡(luò)平安責(zé)任部門責(zé)任部門負(fù)責(zé)人**職務(wù)/職稱辦公移動責(zé)任部門聯(lián)系人**職務(wù)/職稱辦公移動單位信息系統(tǒng)總數(shù)第四級系統(tǒng)數(shù)第三級系統(tǒng)數(shù)第二級系統(tǒng)數(shù)未定級系統(tǒng)數(shù)單位信息系統(tǒng)等級測評總數(shù)第四級系統(tǒng)數(shù)第三級系統(tǒng)數(shù)第二級系統(tǒng)數(shù)未測評系統(tǒng)數(shù)單位信息系統(tǒng)平安建立整改總數(shù)第四級系統(tǒng)數(shù)第三級系統(tǒng)數(shù)第二級系統(tǒng)數(shù)未整改系統(tǒng)數(shù)單位信息系統(tǒng)平安自查總數(shù)第四級系統(tǒng)數(shù)第三級系統(tǒng)數(shù)第二級系統(tǒng)數(shù)未自查系統(tǒng)數(shù)二、信息系統(tǒng)運(yùn)營使用單位網(wǎng)絡(luò)平安工作情況1、單位網(wǎng)絡(luò)平安等級保護(hù)工作開展情況〔重點(diǎn)包括：單位網(wǎng)絡(luò)平安領(lǐng)導(dǎo)小組成立情況；已運(yùn)行或新建的信息系統(tǒng)是否按"信息系統(tǒng)平安等級保護(hù)定級指南"要求定級、二級以上信息系統(tǒng)是否到公安機(jī)關(guān)備案、已備案信息系統(tǒng)是否按"信息系統(tǒng)平安等級保護(hù)測評要求"測評和平安整改、單位信息系統(tǒng)平安檢測和整改經(jīng)費(fèi)落實情況。〕2、單位網(wǎng)絡(luò)平安規(guī)章制度建立情況〔重點(diǎn)包括：是否建立了單位網(wǎng)絡(luò)平安責(zé)任追究制度，單位網(wǎng)絡(luò)平安人員管理、信息系統(tǒng)機(jī)房管理、設(shè)備管理、介質(zhì)管理、網(wǎng)絡(luò)平安建立管理、運(yùn)維管理、效勞外包等管理制度的建立情況；管理制度的監(jiān)視保障和運(yùn)行情況等?！?、單位網(wǎng)絡(luò)平安保護(hù)技術(shù)措施落實情況〔重點(diǎn)包括：單位是否開展有害信息報警和關(guān)鍵字過濾措施；單位網(wǎng)絡(luò)平安監(jiān)測技術(shù)手段建立情況；單位網(wǎng)絡(luò)平安設(shè)備的國產(chǎn)化比率情況；單位信息技術(shù)產(chǎn)品國產(chǎn)化替換工作方案情況；單位落實防病毒、防網(wǎng)絡(luò)入侵和攻擊等危害網(wǎng)絡(luò)平安技術(shù)措施情況，重要數(shù)據(jù)和重要系統(tǒng)的容災(zāi)備份措施情況，用戶注冊信息、系統(tǒng)運(yùn)行日志、用戶使用日志等是否保存60天以上，單位使用互聯(lián)網(wǎng)平安技術(shù)產(chǎn)品是否符合公安部要求等〕4、單位網(wǎng)絡(luò)平安應(yīng)急預(yù)案和演練情況〔重點(diǎn)包括：是否制定了單位網(wǎng)絡(luò)平安預(yù)案？單位網(wǎng)絡(luò)平安預(yù)案是否進(jìn)展了演練？是否明確了單位網(wǎng)絡(luò)平安事件〔事故〕發(fā)現(xiàn)、報告和處置流程？是否與公安部門、網(wǎng)絡(luò)平安廠商、測評機(jī)構(gòu)等相關(guān)部門建立了網(wǎng)絡(luò)平安應(yīng)急處置機(jī)制等情況?！?、單位對照近期我市多發(fā)的網(wǎng)絡(luò)平安隱患自查漏洞情況〔重點(diǎn)包括：1、是否存在賬號管理弱口令漏洞；2、、信息系統(tǒng)程序設(shè)計缺陷是否存在注入漏洞；3、、信息系統(tǒng)中間件版本過低，未及時升級或打補(bǔ)丁，是否存在ApacheStruts2系列漏洞或WeblogicJava反序列化漏洞或OSSApplicationServer反序列化漏洞等；4、是否存在機(jī)房管理、升級維護(hù)等管理制度不健全，操作系統(tǒng)未及時升級，導(dǎo)致效勞器存在MS17-010、遠(yuǎn)程代碼執(zhí)行、溢出攻擊等緊急、高危漏洞，、信息系統(tǒng)存在喪失管理權(quán)限，被篡改頁面內(nèi)容，數(shù)據(jù)信息被篡改、泄露或破壞的風(fēng)險隱患情況；5、是否存在內(nèi)外網(wǎng)劃分不嚴(yán)格，隔離措施不完備或設(shè)備策略配置不完善問題，當(dāng)遭遇網(wǎng)絡(luò)攻擊時，容易出現(xiàn)“一點(diǎn)被突破、全網(wǎng)遭淪陷〞的問題；6、是否存在、信息系統(tǒng)程序設(shè)計存在缺陷，對上傳文件類型未做嚴(yán)格限制，存在文件上傳漏洞，攻擊者利用文件上傳漏洞上傳病毒、木馬，、信息系統(tǒng)存在喪失管理權(quán)限，被篡改頁面內(nèi)容，數(shù)據(jù)信息被篡改、泄露或破壞的風(fēng)險隱患；7、是否存在、信息系統(tǒng)程序設(shè)計存在缺陷，對用戶權(quán)限沒有做嚴(yán)格限制，存在越權(quán)漏洞，導(dǎo)致攻擊者利用越權(quán)漏洞能獲取到較高較大的管理權(quán)限，、信息系統(tǒng)存在喪失管理權(quán)限，被篡改頁面內(nèi)容，數(shù)據(jù)信息被篡改、泄露或破壞的風(fēng)險隱患；8、是否存在、信息系統(tǒng)缺少數(shù)據(jù)平安防護(hù)，或者缺少對訪問者的身份鑒別，導(dǎo)致數(shù)據(jù)在傳輸、存儲、使用等環(huán)節(jié)存在被篡改、泄露或破壞的風(fēng)險隱患。〕三、單位信息系統(tǒng)根本情況序號信息系統(tǒng)名稱是否認(rèn)級是否備案是否為關(guān)鍵信息根底設(shè)施備案編號平安保護(hù)等級1234.......平安情況自查表一、的根本情況中文名IP地址網(wǎng)址責(zé)任單位運(yùn)行單位責(zé)任單位負(fù)責(zé)人及職務(wù)聯(lián)系運(yùn)行平安責(zé)任人及職務(wù)聯(lián)系責(zé)任單位所在地工信部ICP備案號國際聯(lián)網(wǎng)備案號隸屬關(guān)系□中央□省(自治區(qū)、直轄市)□地(區(qū)、市、州、盟)□縣〔區(qū)、市、旗〕□其他_____單位類型□政府機(jī)關(guān)□事業(yè)單位□國企□互聯(lián)網(wǎng)□其他_____行業(yè)類別如：財政〔根據(jù)等級保護(hù)備案表行業(yè)分類劃分〕等級保護(hù)定級備案□二級□三級□四級□未定級等級測評□已開展□未開展平安責(zé)任書□已簽訂□未簽訂效勞欄目□新聞發(fā)布□政策宣傳□事項辦理□論壇□即時通信□電子□留言版□政務(wù)公開□其他_____二、的聯(lián)網(wǎng)信息域名注冊效勞機(jī)構(gòu)和聯(lián)系方式.域名的NS記錄.域名的A記錄主站IP地址*圍主要協(xié)議/端口操作系統(tǒng)版本接入運(yùn)營商及聯(lián)系方式物理接入位置接入帶寬CDNIP地址*圍CDN效勞提供商CDN聯(lián)系人**手機(jī)號三、平安保護(hù)情況1平安責(zé)任部門和平安責(zé)任人落實情況是否落實了單位平安責(zé)任部門？□是□否是否落實了單位平安責(zé)任人？□是□否2主要領(lǐng)導(dǎo)對網(wǎng)絡(luò)平安工作的重視情況是否將平安工作的執(zhí)行情況納入到年度考核指標(biāo)？□是□否開展平安工作的經(jīng)費(fèi)是否納入年度預(yù)算？□是□否3單位網(wǎng)絡(luò)平安責(zé)任制落實情況是否明確了建立單位、運(yùn)維單位和內(nèi)容更新單位等部門的責(zé)任？□是□否是否對發(fā)生的平安事件〔事故〕按照平安責(zé)任制進(jìn)展追責(zé)？□是□否4關(guān)鍵崗位人員配備情況是否有明確的平安管理員，并簽訂**協(xié)議？□是□否是否有內(nèi)容管理員，并簽訂**協(xié)議？□是□否5定級備案執(zhí)行情況單位是否確定了平安保護(hù)等級？□是□否單位是否按要求到公安機(jī)關(guān)進(jìn)展了備案？□是□否6等級測評情況是否從"全國網(wǎng)絡(luò)平安等級保護(hù)測評機(jī)構(gòu)推薦目錄"中選擇測評機(jī)構(gòu)開展等級測評？□是□否是否對系統(tǒng)定期進(jìn)展平安測評？□是□否是否對系統(tǒng)進(jìn)展了外部滲透測試？□是□否是否根據(jù)測評和滲透測試結(jié)果對進(jìn)展平安加固改造？

□是□否7平安事件報告處置是否制定平安事件〔事故〕報告制度？□是□否發(fā)生平安事件〔事故〕是否向?qū)俚毓矙C(jī)關(guān)報告？□是□否是否有完整平安事件處置記錄？□是□否是否按照要求保存完整日志？□是□否8開展平安監(jiān)測和預(yù)警情況本單位是否開展日常平安監(jiān)測？□是□否是否有平安監(jiān)測記錄？□是□否是否有平安預(yù)警和處理記錄？□是□否9內(nèi)容管理是否制定內(nèi)容發(fā)布管理制度？□是□否是否制定內(nèi)容發(fā)布流程？□是□否10應(yīng)急預(yù)案的制定、演練和完善情況是否有應(yīng)急預(yù)案，并有相應(yīng)的預(yù)案文檔？□是□否是否有應(yīng)急保障隊伍并有人員聯(lián)系方式？□是□否是否認(rèn)期應(yīng)急演練并有應(yīng)急演練的文檔記錄？□是□否是否根據(jù)演練結(jié)果對應(yīng)急預(yù)案進(jìn)展完善？□是□否11機(jī)房平安管理制度執(zhí)行情況本單位機(jī)房進(jìn)出人員管理是否按照制度執(zhí)行，并有詳細(xì)記錄？□是□否本單位機(jī)房日常監(jiān)控是否制度執(zhí)行并有監(jiān)控記錄？□是□否12網(wǎng)絡(luò)平安檢查情況是否有平安自查工作總結(jié)報告？□是□否13交互式欄目信息巡查情況單位是否有交互式欄目？□是□否是否有專人負(fù)責(zé)交互式欄目信息巡查？□是□否14網(wǎng)頁防篡改措施是否認(rèn)期對文件進(jìn)展檢測？□是□否是否采取網(wǎng)頁防篡改措施？□是□否15漏洞掃描措施及修復(fù)升級情況是否進(jìn)展過系統(tǒng)層漏洞掃描，并有詳細(xì)記錄？□是□否是否進(jìn)展過應(yīng)用層漏洞掃描，并有詳細(xì)記錄？□是□否發(fā)現(xiàn)的漏洞是否及時修復(fù)？□是□否16惡意代碼防護(hù)是否有網(wǎng)頁掛馬檢測系統(tǒng)？□是□否17內(nèi)容平安防護(hù)措施內(nèi)容編輯、審核及發(fā)布權(quán)限是否別離？□是□否關(guān)鍵信息發(fā)布是否多級審核？□是□否發(fā)布內(nèi)容是否過濾？□是□否18管理終端平安防護(hù)措施是否有控制措施〔如地址綁定，網(wǎng)絡(luò)接入控制等〕？□是□否19后臺管理系統(tǒng)防護(hù)措施是否對后臺管理系統(tǒng)的接口進(jìn)展隱藏？□是□否后臺管理系統(tǒng)登錄是否采取驗證機(jī)制？□是□否是否對后臺管理系統(tǒng)的登錄失敗嘗試次數(shù)進(jìn)展限制？□是□否是否對后臺管理系統(tǒng)的用戶口令復(fù)雜度進(jìn)展強(qiáng)度限制？□是□否20應(yīng)用遠(yuǎn)程管理情況是否不允許遠(yuǎn)程管理的應(yīng)用？□是□否應(yīng)用遠(yuǎn)程管理時是否采用加密通道？□是□否21內(nèi)容遠(yuǎn)程維護(hù)情況是否不允許遠(yuǎn)程維護(hù)內(nèi)容？□是□否內(nèi)容遠(yuǎn)程維護(hù)時是否采用加密通道？□是□否22效勞器操作系統(tǒng)平安措施效勞器操作系統(tǒng)平安補(bǔ)丁是否及時更新？□是□否效勞器操作系統(tǒng)是否存在弱口令？□