網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患自查清單(20201117054214)

1、附件1XX單位網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患自查清單單位基本情況單位名稱單位地址網(wǎng)絡(luò)安全分管領(lǐng)導(dǎo)職務(wù)/職稱網(wǎng)絡(luò)安全責(zé)任部門職務(wù)/職稱責(zé)任部門負(fù)責(zé)人辦公電話責(zé)任部門聯(lián)系人單位信息系統(tǒng)總數(shù)單位信息系統(tǒng)等級測評總數(shù)單位信息系統(tǒng)安全建設(shè)整改總數(shù)單位信息系統(tǒng)安全自查總數(shù)職務(wù)/職稱 移動電話第四級系統(tǒng)數(shù)第二級系統(tǒng)數(shù)*、一 / -.-#、亠、t t第一級系統(tǒng)數(shù)未疋級系統(tǒng)數(shù)第四級系統(tǒng)數(shù)第二級系統(tǒng)數(shù)第二級系統(tǒng)數(shù)未測評系統(tǒng)數(shù)第四級系統(tǒng)數(shù)第二級系統(tǒng)數(shù)第二級系統(tǒng)數(shù)未整改系統(tǒng)數(shù)第四級系統(tǒng)數(shù)第二級系統(tǒng)數(shù)第二級系統(tǒng)數(shù)未自查系統(tǒng)數(shù)移動電話辦公電話姓 名完美 WORD格式二、信息系統(tǒng)運(yùn)營使用單位網(wǎng)絡(luò)安全工作情況1、單位網(wǎng)絡(luò)安全等級保護(hù)工作開

2、展情況（重點(diǎn)包括：單位網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組成立情況；已運(yùn)行或新建的信息系統(tǒng)是否按信息系統(tǒng) 安全等級保護(hù)定級指南要求定級、二級以上信息系統(tǒng)是否到公安機(jī)關(guān)備案、已備案信息系 統(tǒng)是否按信息系統(tǒng)安全等級保護(hù)測評要求測評和安全整改、單位信息系統(tǒng)安全檢測和整 改經(jīng)費(fèi)落實(shí)情況。）2、單位網(wǎng)絡(luò)安全規(guī)章制度建立情況（重點(diǎn)包括：是否建立了單位網(wǎng)絡(luò)安全責(zé)任追究制度，單位網(wǎng)絡(luò)安全人員管理、信息系統(tǒng)機(jī) 房管理、設(shè)備管理、介質(zhì)管理、網(wǎng)絡(luò)安全建設(shè)管理、運(yùn)維管理、服務(wù)外包等管理制度的建設(shè) 情況；管理制度的監(jiān)督保障和運(yùn)行情況等。）3、單位網(wǎng)絡(luò)安仝保護(hù)技術(shù)措施落實(shí)情況（重點(diǎn)包括：單位是否開展有害信息報(bào)警和關(guān)鍵字過濾措施；單位網(wǎng)絡(luò)安全

3、監(jiān)測技術(shù)手段建”設(shè)情況； 單位網(wǎng)絡(luò)安全設(shè)備的國產(chǎn)化比率情況；單位信息技術(shù)產(chǎn)品國產(chǎn)化替換工作計(jì)劃情況；單位落實(shí)防病毒、防網(wǎng)絡(luò)入侵和攻擊等危害網(wǎng)絡(luò)安全技術(shù)措施情況，重要數(shù)據(jù)和重要系統(tǒng)的容災(zāi)備份措施情況，用戶注冊信息、系統(tǒng)運(yùn)行日志、用戶使用日志等是否保存60天以上，單位使用互聯(lián)網(wǎng)安全技術(shù)產(chǎn)品是否符合公安部要求等）4、單位網(wǎng)絡(luò)安全應(yīng)急預(yù)案和演練情況完美 WORD格式（重點(diǎn)包括：是否制定了單位網(wǎng)絡(luò)安全預(yù)案？單位網(wǎng)絡(luò)安全預(yù)案是否進(jìn)行了演練？是否明確 了單位網(wǎng)絡(luò)安全事件（事故）發(fā)現(xiàn)、報(bào)告和處置流程？是否與公安部門、網(wǎng)絡(luò)安全廠商、測 評機(jī)構(gòu)等相關(guān)部門建立了網(wǎng)絡(luò)安全應(yīng)急處置機(jī)制等情況。）5、單位對照近期我市多發(fā)

4、的網(wǎng)絡(luò)安全隱患自查漏洞情況（重點(diǎn)包括：1、是否存在賬號管理弱口令漏洞；2、網(wǎng)站、信息系統(tǒng)程序設(shè)計(jì)缺陷是否存在注入漏洞；3、 網(wǎng)站、信息系統(tǒng)中間件版本過低，未及時(shí)升級或打補(bǔ)丁，是否存在Apache Struts2系列漏洞或 Weblogic Java 反序列化漏洞或JBOSS Application Server 反序列化漏洞等；4、是否存在機(jī)房管理、升級維護(hù)等管理制度不健全，操作系統(tǒng)未及時(shí)升級，導(dǎo)致服務(wù)器存在MS 17-010、遠(yuǎn)程代碼執(zhí)行、溢出攻擊等緊急、高危漏洞， 網(wǎng)站、 信息系統(tǒng)存在喪失管理權(quán)限，被篡改頁面內(nèi)容，數(shù)據(jù)信息被篡改、泄露或破壞的風(fēng)險(xiǎn)隱患情況；5、是否存在內(nèi)外網(wǎng)劃分不嚴(yán)格，隔離

5、措施不完備或設(shè)備策略配置不完善問題，當(dāng)遭遇網(wǎng)絡(luò) 攻擊時(shí)，容易出現(xiàn)“一點(diǎn)被突破、全網(wǎng)遭淪陷”的問題；6、是否存在網(wǎng)站、信息系統(tǒng)程序設(shè)計(jì)存在缺陷，對上傳文件類型未做嚴(yán)格限制，存在文件上傳漏洞，攻擊者利用文件上傳漏洞上傳病毒、木馬，網(wǎng)站、信息系統(tǒng)存在喪失管理權(quán)限，被 篡改頁面內(nèi)容，數(shù)據(jù)信息被篡改、泄露或破壞的風(fēng)險(xiǎn)隱患；7、 是否存在網(wǎng)站、信息系統(tǒng)程序設(shè)計(jì)存在缺陷，對用戶權(quán)限沒有做嚴(yán)格限制，存在越權(quán)漏洞，導(dǎo)致攻擊者利用越權(quán)漏洞能獲取到較高較大的管理權(quán)限，網(wǎng)站、 信息系統(tǒng)存在喪失管理權(quán)限，被篡改頁面內(nèi)容，數(shù)據(jù)信息被篡改、泄露或破壞的風(fēng)險(xiǎn)隱患；8、是否存在網(wǎng)站、信息系統(tǒng)缺少數(shù)據(jù)安全防護(hù)，或者缺少對訪問者的

6、身份鑒別，導(dǎo)致數(shù)據(jù) 在傳輸、存儲、使用等環(huán)節(jié)存在被篡改、泄露或破壞的風(fēng)險(xiǎn)隱患。）范文范例指導(dǎo)是否為序號信息系統(tǒng)名稱是否定級卜 彳是否 1備案 彳關(guān)鍵信息基礎(chǔ)卜設(shè)施1備案編號安全保護(hù)等級完美 WORD格式二、單位信息系統(tǒng)基本情況*41網(wǎng)站中文名IP地址網(wǎng)站責(zé)任單位負(fù)責(zé)等級保護(hù)定級備案未定級級工信部ICP備案號一、網(wǎng)站的基本情況人及職務(wù)網(wǎng)站責(zé)任單位所在地國際聯(lián)網(wǎng)備案號范文范例指導(dǎo)網(wǎng)站安全情況自查表人及職務(wù)聯(lián)系電話網(wǎng)站運(yùn)行安全責(zé)任聯(lián)系電話單位類型行業(yè)類別如：財(cái)政（根據(jù)等級保護(hù)備案表行業(yè)分類劃分）網(wǎng)站服務(wù)欄目隸屬關(guān)系中央 省（自治區(qū)、直轄市） 地（區(qū)、市、州、盟）政府機(jī)關(guān)事業(yè)單位國企二級四級網(wǎng)站安全責(zé)

7、任書已簽訂未簽訂新聞發(fā)布政策宣傳事項(xiàng)辦理論 壇 即時(shí)通信電子郵件留言版政務(wù)公開其他元美 WORD 格網(wǎng)址網(wǎng)站責(zé)任單位網(wǎng)站運(yùn)行單位縣（區(qū)、市、旗）其他互聯(lián)網(wǎng)等級測評已開展未開展其他完美 WORD格式三、網(wǎng)站安全保護(hù)情況1網(wǎng)站安全責(zé)任部門和安全責(zé)任人 落實(shí)情況是否落實(shí)了單位網(wǎng)站安全責(zé)任部門？是否是否落實(shí)了單位網(wǎng)站安全責(zé)任人？是否2主要領(lǐng)導(dǎo)對網(wǎng)站網(wǎng)絡(luò)安全工作的是否將網(wǎng)站安全工作的執(zhí)行情況納入到年度考核指 標(biāo)？是否重視情況開展網(wǎng)站安全工作的經(jīng)費(fèi)是否納入年度預(yù)算？是否3單位網(wǎng)站網(wǎng)絡(luò)安是否明確了網(wǎng)站建設(shè)單位、運(yùn)維單位和內(nèi)容更新單位 等部門的責(zé)任？是否全責(zé)任制落實(shí)情況是否對發(fā)生的網(wǎng)站安全事件（事故）按照安全

8、責(zé)任制 進(jìn)行追責(zé)？是否4關(guān)鍵崗位人員配是否有明確的安全管理員，并簽訂保密協(xié)議？是否備情況是否有內(nèi)容管理員，并簽訂保密協(xié)議？是否5網(wǎng)站定級備案執(zhí)單位網(wǎng)站是否確定了安全保護(hù)等級？是否行情況單位網(wǎng)站是否按要求到公安機(jī)關(guān)進(jìn)行了備案？是否是否從全國網(wǎng)絡(luò)安全等級保護(hù)測評機(jī)構(gòu)推薦目錄是否中選擇測評機(jī)構(gòu)開展等級測評？6網(wǎng)站等級測評情是否對網(wǎng)站系統(tǒng)定期進(jìn)行安全測評？是否況是否對網(wǎng)站系統(tǒng)進(jìn)行了外部滲透測試？是否I1是否根據(jù)測評和滲透測試結(jié)果對網(wǎng)站進(jìn)行安全加固改造？是否是否制定網(wǎng)站安全事件（事故）報(bào)告制度？是否7安全事件報(bào)告處置發(fā)生網(wǎng)站安全事件（事故）是否向?qū)俚毓矙C(jī)關(guān)報(bào)告？是否是否有完整網(wǎng)站安全事件處置記錄？是否

9、是否按照要求保留網(wǎng)站完整日志？是否本單位是否開展日常網(wǎng)站安全監(jiān)測？是否8開展網(wǎng)站安全監(jiān)測和預(yù)警情況是否有網(wǎng)站安全監(jiān)測記錄？是否是否有網(wǎng)站安全預(yù)警和處理記錄？是否是否制定網(wǎng)站內(nèi)容發(fā)布管理制度？是否9網(wǎng)站內(nèi)容管理是否制定網(wǎng)站內(nèi)容發(fā)布流程？是否完美 WORD格式10應(yīng)急預(yù)案的制定、演練和完善 情況是否有應(yīng)急預(yù)案，并有相應(yīng)的預(yù)案文檔？是否是否有應(yīng)急保障隊(duì)伍并有人員聯(lián)系方式？是否是否定期應(yīng)急演練并有應(yīng)急演練的文檔記錄？是否是否根據(jù)演練結(jié)果對應(yīng)急預(yù)案進(jìn)行完善？是否11機(jī)房安全管理制 度執(zhí)行情況本單位機(jī)房進(jìn)出人員管理是否按照制度執(zhí)行，并有詳 細(xì)記錄？是否本單位機(jī)房日常監(jiān)控是否制度執(zhí)行并有監(jiān)控記錄？是否12網(wǎng)

10、絡(luò)安全檢查情況是否有網(wǎng)站安全自杳工作總結(jié)報(bào)告？是否13網(wǎng)站交互式欄目單位網(wǎng)站是否有交互式欄目？是否信息巡查情況是否有專人負(fù)責(zé)網(wǎng)站交互式欄目信息巡查？是否14網(wǎng)頁防篡改措施是否定期對網(wǎng)站文件進(jìn)行檢測？是否是否采取網(wǎng)頁防篡改措施？是否是否進(jìn)行過系統(tǒng)層漏洞掃描，并有詳細(xì)記錄？是否15漏洞掃描措施及修復(fù)升級情況是否進(jìn)行過應(yīng)用層漏洞掃描，并有詳細(xì)記錄？是否發(fā)現(xiàn)的漏洞是否及時(shí)修復(fù)？是否16網(wǎng)站惡意代碼防護(hù)是否有網(wǎng)頁掛馬檢測系統(tǒng)？是否內(nèi)容編輯、審核及發(fā)布權(quán)限是否分離？是否17網(wǎng)站內(nèi)容安全防護(hù)措施關(guān)鍵信息發(fā)布是否多級審核？是否網(wǎng)站發(fā)布內(nèi)容是否過濾？是否18管理終端安全防護(hù)措施是否有控制措施（如地址綁定，網(wǎng)絡(luò)接

11、入控制等）？是否是否對網(wǎng)站后臺管理系統(tǒng)的接口進(jìn)行隱藏？是否網(wǎng)站后臺管理系統(tǒng)登錄是否采取驗(yàn)證機(jī)制？是否19網(wǎng)站后臺管理系是否對網(wǎng)站后臺管理系統(tǒng)的登錄失敗嘗試次數(shù)進(jìn)行限是否統(tǒng)防護(hù)措施制?是否對網(wǎng)站后臺管理系統(tǒng)的用戶口令復(fù)雜度進(jìn)行強(qiáng)度 限制？是否范文范例指導(dǎo)是否不允許遠(yuǎn)程維護(hù)網(wǎng)站內(nèi)容?網(wǎng)站內(nèi)容遠(yuǎn)程維212223是否是否是否是否是否完美 WORD格式是否是否網(wǎng)站服務(wù)器中間24件安全措施網(wǎng)站服務(wù)器中間件管理界面是否允許外部訪問?網(wǎng)站服務(wù)器中間件是否存在弱口令?是否完成網(wǎng)站通信管理部門備案?是否完成網(wǎng)站等級保護(hù)備案?是否是否是否網(wǎng)站應(yīng)用遠(yuǎn)程管20理情況是否是否完成網(wǎng)站統(tǒng)一標(biāo)識?是否是否范文范例指導(dǎo)是否不允許遠(yuǎn)程管理網(wǎng)站的應(yīng)用