和田市網(wǎng)絡(luò)與信息安全自查表

1、和田市網(wǎng)絡(luò)與信息安全自查表填表單位（加蓋公章） 單位地址 填表人 填表時(shí)間 聯(lián)系電話 電子郵件OO丿年五月填寫(xiě)說(shuō)明1. 本表中數(shù)據(jù)統(tǒng)計(jì)截止時(shí)間（除明確標(biāo)注外），為2007年12月 31日。2. 表中各選項(xiàng)前為“O”標(biāo)記表示為單選項(xiàng)；”標(biāo)記為可多選項(xiàng)有 “其他”項(xiàng)的，在后面注明具體內(nèi)容。3. 若本表所設(shè)置表格的行、列填寫(xiě)空間不足，請(qǐng)自行增加。4. 請(qǐng)各單位填寫(xiě)電子版，并以 A4紙打印加蓋公章后，將紙介質(zhì) 版（1份）和電子版（1份）文件報(bào)送市信息化辦公室。5. 表2所指的業(yè)務(wù)網(wǎng)絡(luò)，主要包括本部門(mén)內(nèi)網(wǎng)局域網(wǎng)和內(nèi)網(wǎng)廣域 網(wǎng)，如有單獨(dú)的政務(wù)外網(wǎng)系統(tǒng)（與互聯(lián)網(wǎng)接入的業(yè)務(wù)網(wǎng)），請(qǐng)另行填 寫(xiě)。為了便于理解和填

2、寫(xiě)，國(guó)辦發(fā)200036號(hào)文所指的“三網(wǎng)一庫(kù)” 和中辦發(fā)200217號(hào)文的“二網(wǎng)一站4庫(kù)12金”構(gòu)架對(duì)應(yīng)關(guān)系示意 如下：三網(wǎng)一庫(kù)二網(wǎng)一站4庫(kù)12金辦公業(yè)務(wù)網(wǎng)內(nèi)網(wǎng)內(nèi)網(wǎng)局域網(wǎng)辦公業(yè)務(wù)資源網(wǎng)（專(zhuān)網(wǎng)）內(nèi)網(wǎng)廣域網(wǎng)公共信息網(wǎng)互聯(lián)網(wǎng)接入網(wǎng)外網(wǎng)政府公眾網(wǎng)站政府網(wǎng)站辦公業(yè)務(wù)數(shù)據(jù)庫(kù)四庫(kù)十二金表1 :管理機(jī)構(gòu)與管理制度情況單位名稱(chēng)單位地址聯(lián)系人聯(lián)系電話電子郵箱信息安全主管領(lǐng) 導(dǎo)職務(wù)信息安全管理部門(mén)部門(mén)人數(shù)信息安全部門(mén)責(zé) 任人姓名職務(wù)電話手機(jī)持有何種資質(zhì)證書(shū)信息安全管理員姓名專(zhuān)業(yè)受過(guò)何種培訓(xùn)持有何種資質(zhì)證書(shū)制定的相關(guān)安全 制度信息安全責(zé)任制信息安全情況報(bào)告制度資產(chǎn)安全管理制度物理和環(huán)境安全管理制度信息安全人事管理制度運(yùn)

3、行安全管理制度系統(tǒng)安全管理制度數(shù)據(jù)安全管理制度安全應(yīng)急響應(yīng)及事故管理制度其他：是否進(jìn)行過(guò)信息 安全等級(jí)認(rèn)定O已認(rèn)定系統(tǒng)名稱(chēng)等級(jí)系統(tǒng)名稱(chēng)等級(jí)O未認(rèn)定是否進(jìn)行過(guò)信息 安全風(fēng)險(xiǎn)評(píng)估O已評(píng)估系統(tǒng)名稱(chēng)評(píng)估機(jī)構(gòu)系統(tǒng)名稱(chēng) 評(píng)估機(jī)構(gòu)O未評(píng)估本單位是否制定 過(guò)安全策略O(shè)是；其中保證策略：確定責(zé)任人，對(duì)責(zé)任人進(jìn)行獎(jiǎng)懲定期組織內(nèi)部檢查通過(guò)技術(shù)手段，例如部署監(jiān)控、掃描或檢測(cè)手段 其它：O否安全服務(wù)是否外包O是，其中公司名稱(chēng)：內(nèi)資合資外資 外包公司安全服務(wù)資質(zhì)：O否用戶安全意識(shí)和觀念淡薄缺之網(wǎng)絡(luò)安全管理制度或制度不落實(shí)安全管理存在的 主要問(wèn)題網(wǎng)絡(luò)安全保障經(jīng)費(fèi)投入不足網(wǎng)絡(luò)安全管理人員不足，缺之培訓(xùn)缺之與信息管理部門(mén)的溝通

4、，缺之安全信息共享網(wǎng)絡(luò)安全產(chǎn)品不能滿足安全要求 其他：網(wǎng)絡(luò)安全服務(wù)公司不能滿足要求表2:業(yè)務(wù)網(wǎng)絡(luò)運(yùn)行及關(guān)鍵安全設(shè)備管理、應(yīng)急與防范情況網(wǎng)絡(luò)與信息安全產(chǎn)品情況業(yè)務(wù)網(wǎng)絡(luò)名稱(chēng)支撐的主要業(yè)務(wù) 系統(tǒng)1支撐的主要業(yè)務(wù) 系統(tǒng)2網(wǎng)絡(luò)與信息系統(tǒng) 集成、設(shè)計(jì)維護(hù)與 監(jiān)理情況集成商名稱(chēng)：；系統(tǒng)集成資質(zhì)等級(jí)設(shè)計(jì)維護(hù)單位：；監(jiān)理單位：監(jiān)理單位資質(zhì)：網(wǎng)絡(luò)接口帶寬O 2M O 5M 010M 0100M 01000MO其它接入服務(wù)商電信 網(wǎng)通 移動(dòng) 聯(lián)通 鐵通 廣電 電力 其他是否有涉密網(wǎng)絡(luò)O是；其中是否經(jīng)保密部門(mén)審批O是O否O否涉密網(wǎng)絡(luò)與其他 網(wǎng)絡(luò)的隔離措施O隔離：其中米取的措施：O未隔離是否按等級(jí)保護(hù)要求劃分安全域O是

5、O否主要操作系統(tǒng) Win 9x/Wi nMeWinNT/Win2000/w in2003WinXP WinV istaLi nux Unix Novell NerwareSun Solaris OS/2其他：信息安全保障經(jīng)費(fèi)投入占信息化項(xiàng)目投入資金比例O無(wú)O少于 5%O5% 10%011% 15%O多于15%O%O難以估計(jì)網(wǎng)絡(luò)與信息安全 產(chǎn)品名稱(chēng)數(shù)量生產(chǎn)廠家通過(guò)安全檢驗(yàn)/鑒定/認(rèn)證情況防火墻入侵檢測(cè)系統(tǒng)安全審計(jì)系統(tǒng)漏洞掃描系統(tǒng)違規(guī)外聯(lián)監(jiān)控系統(tǒng)網(wǎng)頁(yè)防篡改系統(tǒng)網(wǎng)絡(luò)安全隔離網(wǎng) 閘病毒防護(hù)產(chǎn)品密碼產(chǎn)品政府門(mén)戶網(wǎng)站基本情況域名開(kāi)通時(shí)間ICP備案號(hào)：服務(wù)器放置 地點(diǎn)網(wǎng)站語(yǔ)言版本中文簡(jiǎn)體 中文繁體 維文 哈

6、文 柯文 英文 俄文信息更新周期每日 每周 不定期網(wǎng)站服務(wù)器建設(shè) 方式自行建立租用空間主機(jī)托管網(wǎng)站信息發(fā)布系 統(tǒng)建設(shè)方式自行建立委托外包網(wǎng)站運(yùn)行維護(hù)方 式自行維護(hù) 維護(hù)單位： 委托維護(hù) 委托單位：信息發(fā)布方式動(dòng)態(tài)信息發(fā)布O靜態(tài)信息發(fā)布動(dòng)態(tài)信息發(fā)布采用的數(shù)據(jù)庫(kù)是： ACCESS SQL ORACLE MYSQL 其他服務(wù)器操作系統(tǒng)O WINDOWS 2000/2003O LINUX O UNIX O其他門(mén)戶網(wǎng)站主要應(yīng) 用系統(tǒng)電子郵件文件傳輸服務(wù)（FTP） 電子公告論壇（BBS）數(shù)據(jù)查詢網(wǎng)上業(yè)務(wù)受理視頻會(huì)議信息發(fā)布其他郵件服務(wù)是否采 取了安全保障措 施O是：其中采取的安全措施：O否電子公告板（BB

7、S 是否采取了安全 保障措施O是：其中采取哪些控制和過(guò)濾措施：O否信息發(fā)布服務(wù)是 否采取了安全保 障措施O是：其中信息發(fā)布審核措施：O否網(wǎng)絡(luò)與信息安全應(yīng)急管理情況是否制定網(wǎng)絡(luò)與 信息安全應(yīng)急預(yù) 案O是；其中是否經(jīng)過(guò)演練：O是O否O否本地備份情況O有；其中備份方式：磁帶機(jī)磁盤(pán)陣列光盤(pán)其他（請(qǐng)注明）O無(wú)本地備份頻率O實(shí)時(shí)O天O星期O月O無(wú)異地容災(zāi)備份情 況有無(wú)異地容災(zāi)備份需求O有；其中是否實(shí)現(xiàn)異地容災(zāi)備份O是O否O無(wú)本單位是否發(fā)生 過(guò)安全事件O發(fā)生過(guò)；共次，其中是否做相應(yīng)記錄O是O否O未發(fā)生過(guò)O不清楚可能攻擊來(lái)源O內(nèi)部O外部O內(nèi)外都有O不清楚O其他原因：發(fā)生安全事件類(lèi) 型感染病毒、蠕蟲(chóng)、特洛伊木馬

8、程序拒絕服務(wù)攻擊端口掃描攻擊數(shù)據(jù)竊取破壞數(shù)據(jù)或網(wǎng)絡(luò)篡改網(wǎng)頁(yè)垃圾郵件內(nèi)部人員有意破壞內(nèi)部人員濫用網(wǎng)絡(luò)端口和系統(tǒng)資源被利用發(fā)送和傳播有害信息網(wǎng)絡(luò)詐騙和盜竊其他：導(dǎo)致發(fā)生安全事 件的原因未修補(bǔ)系統(tǒng)或軟件漏洞網(wǎng)絡(luò)、系統(tǒng)或軟件配置錯(cuò)誤缺少訪冋控制登錄密碼過(guò)于簡(jiǎn)單或未修改原始密碼攻擊者使用拒絕服務(wù)攻擊攻擊者利用軟件默認(rèn)設(shè)置利用內(nèi)部用戶安全管理漏洞或內(nèi)部人員作案內(nèi)部網(wǎng)絡(luò)違規(guī)外連攻擊者使用欺詐方法缺少身份認(rèn)證措施不知原因其他：發(fā)現(xiàn)安全事件后 采取的措施向相關(guān)部門(mén)報(bào)案 向上級(jí)業(yè)務(wù)主管部門(mén)報(bào)告 請(qǐng)安全服務(wù)單位協(xié)助解決 請(qǐng)開(kāi)發(fā)維護(hù)單位協(xié)助解決 請(qǐng)安全事件應(yīng)急響應(yīng)組織解決 自行解決未采取任何措施 其他：安全事件造成

9、損失評(píng)估O非常嚴(yán)重O嚴(yán)重O般O比較輕微O輕微O無(wú)法評(píng)估網(wǎng)絡(luò)與信息安全技術(shù)防范措施情況是否有在公務(wù)外網(wǎng)和互聯(lián)網(wǎng) 上處理內(nèi)部敏感信息O是O否是否制定了詳細(xì)的授權(quán)管理 和訪問(wèn)控制策略O(shè)是O否是否有內(nèi)部用戶違規(guī)外聯(lián)的 監(jiān)控措施和管理措施O是：其中采取的措施O否是否按照保密管理規(guī)定管理 涉密存儲(chǔ)介質(zhì)O是O否涉密計(jì)算機(jī)和涉密人員數(shù)量涉密計(jì)算機(jī)數(shù)量：涉密人員數(shù)量：本單位對(duì)涉密信息和敏感信 息采取了哪些保護(hù)措施沒(méi)有涉密、敏感信息；實(shí)施嚴(yán)格的訪問(wèn)控制與授權(quán)管理措施；單機(jī)處理；接入專(zhuān)門(mén)網(wǎng)絡(luò)與非涉密網(wǎng)絡(luò)物理隔離；專(zhuān)人管理涉密、敏感信息:禁止電子形式涉密、敏感信息被拷 貝；監(jiān)視涉密信息系統(tǒng)的各臺(tái)終端；涉密信息有相應(yīng)的

10、密級(jí)標(biāo)識(shí)，密級(jí)標(biāo)識(shí)不與正文分離； 其它：所有重要信息是否進(jìn)行了明 確分類(lèi)并記錄在案O是O否O只有涉密信息進(jìn)行了定密和統(tǒng)計(jì)在訪問(wèn)計(jì)算機(jī)、重要資源或 信息時(shí)，是否所有用戶都需 要進(jìn)行身份鑒別（認(rèn)證）O是O沒(méi)有鑒別O只有部分用戶進(jìn)行了鑒別列舉本單位采取的身份鑒別 方式 口令智能卡數(shù)字證書(shū) CA生物識(shí)別其它：多余默認(rèn)帳號(hào)和無(wú)關(guān)服務(wù)是 否關(guān)停O是O否O不清楚默認(rèn)帳號(hào)和無(wú)關(guān)服務(wù)情況采取了哪些口令管理措施 口令難以猜測(cè)（例如要求口令包括數(shù)子、大小與子母、特殊子符 等，并設(shè)定最小長(zhǎng)度）；口令定期修改；及時(shí)刪除離職員工帳號(hào)和口令；迅速替換廠家提供的默認(rèn)口 令；系統(tǒng)管理員在分發(fā)口令、處理丟失或泄漏的口令時(shí)有嚴(yán)格的

11、流程； 口令在系統(tǒng)中加密存儲(chǔ)。設(shè)置帳戶鎖定閥值（防口令猜測(cè)）對(duì)哪些存儲(chǔ)信息進(jìn)行加密沒(méi)有使用加密措施涉密信息單位敏感信息其它：是否對(duì)傳輸信息進(jìn)行了加密O是O否涉密文檔是否使用了基于密 級(jí)標(biāo)識(shí)的訪問(wèn)控制措施O是O否O不知道O沒(méi)有涉密電子文檔操作系統(tǒng)更新、升級(jí)方式自動(dòng)在線升級(jí)； 到操作系統(tǒng)廠商網(wǎng)站在線升級(jí)； 利用第三方軟件升級(jí)； 上級(jí)單位或有關(guān)部門(mén)分發(fā)補(bǔ)丁 接上級(jí)或信息安全服務(wù)商通知，到可信站點(diǎn)升級(jí)；其它：是否使用防病毒系統(tǒng)O是O否安全產(chǎn)品中漏洞庫(kù)或病毒庫(kù) 的升級(jí)方式在線升級(jí)產(chǎn)品廠商郵寄其它：系統(tǒng)、病毒庫(kù)升級(jí)和打補(bǔ)丁 包程序情況O每天O每周O每月O每季度O半年O從不對(duì)信息安全產(chǎn)品的是否進(jìn)行 安全配置

12、O是O否是否有設(shè)備、主機(jī)、系統(tǒng)和 應(yīng)用軟件運(yùn)行日志的管理措 施O是：其中采取的措施：O否表3:機(jī)房環(huán)境安全情況本單位對(duì)機(jī)房 安全保衛(wèi)采取 的措施外來(lái)人員登記防盜報(bào)警、視頻監(jiān)控等安全防范系統(tǒng)門(mén)禁系統(tǒng)值班門(mén)窗加固其他措施：本單位對(duì)機(jī)房 環(huán)境安全采取 的措施關(guān)鍵設(shè)備 安置措施加鎖；口專(zhuān)用機(jī)柜；其它：布線措施室外線路埋地；室外線路未埋地部分加裝套管保護(hù)；室內(nèi)線路在地板下；網(wǎng)絡(luò)傳輸線路與電力線分開(kāi)布置，防止干擾； 其它：防 火選擇耐火材料建設(shè)機(jī)房；設(shè)置機(jī)房專(zhuān)用滅火設(shè)備；消防報(bào)警系統(tǒng)；其它：防靜電接地與屏敝；控制機(jī)房溫度、濕度，防止產(chǎn)生靜電；選擇防靜電機(jī)房裝飾材料（如地板、桌椅），減少靜電發(fā)生；穿戴防靜電服裝、鞋帽等物品；其它：溫濕度控 制溫、濕度監(jiān)控；專(zhuān)用機(jī)房空調(diào)普通空調(diào)其它：防水和防 潮規(guī)劃?rùn)C(jī)房周?chē)乃馨惭b，防止水管泄漏；采取措施防止屋頂漏水；采