1、1和田市网络与信息安全自查表填表单位(加盖公章) 单位地址 填 表 人 填表时间 联系电话 电子邮件 二八年五月2填 写 说 明1本表中数据统计截止时间(除明确标注外),为 2007 年 12 月31 日。2表中各选项前为“”标记表示为单选项;“”标记为可多选项;有“ 其他”项的,在后面注明具体内容。3若本表所设置表格的行、列填写空间不足,请自行增加。4请各单位填写电子版,并以 A4 纸打印加盖公章后,将 纸介质版(1 份)和电子版(1 份)文件报送市信息化办公室。5表 2 所指的业务网络,主要包括本部门内网局域网和内网广域网,如有单独的政务外网系统(与互联网接入的业务网),请另行填写。为了便
2、于理解和填写,国办发200036 号文所指的“三网一库” 和中办发200217 号文的“ 二网一站 4 库 12 金 ”构架对应关系示意如下:三网一库 二网一站 4 库 12 金办公业务网 内网局域网办公业务资源网(专网)内网内网广域网互联网接入网 外网公共信息网政府公众网站 政府网站办公业务数据库 四库十二金3表 1:管理机构与管理制度情况单位名称 单位地址联系人 联系电话 电子邮箱信息安全主管领导 职 务信息安全管理部门 部门人数姓 名 职 务 电 话 手 机 持有何种资质证书信息安全部门责任人姓 名 专 业 受过何种培训 持有何种资质证书信息安全管理员制定的相关安全制度信息安全责任制 信
3、息安全情况报告制度资产安全管理制度 物理和环境安全管理制度信息安全人事管理制度 运行安全管理制度系统安全管理制度 数据安全管理制度安全应急响应及事故管理制度 其他:是否进行过信息安全等级认定已认定 系统名称 等级 系统名称 等级 未认定是否进行过信息安全风险评估已评估系统名称 评估机构 系统名称 评估机构 未评估本单位是否制定过安全策略是;其中保证策略:确定责任人,对责任人进行奖惩 定期组织内部检查 通过技术手段,例如部署监控、扫描或检测手段 其它: 否 安全服务是否外包是,其中公司名称:_,内资 合资 外资外包公司安全服务资质:_否安全管理存在的主要问题用户安全意识和观念淡薄 缺乏网络安全管
4、理制度或制度不落实网络安全保障经费投入不足 网络安全管理人员不足,缺乏培训缺乏与信息管理部门的沟通,缺乏安全信息共享网络安全产品不能满足安全要求 网络安全服务公司不能满足要求 其他:4表 2:业务网络运行及关键安全设备管理、应急与防范情况网络与信息安全产品情况业务网络名称支撑的主要业务系统 1支撑的主要业务系统 2网络与信息系统集成、设计维护与监理情况集成商名称:_;系统集成资质等级_设计维护单位:_;监理单位:_监理单位资质:_网络接口带宽 2M 5M 10M 100M 1000M 其它_接入服务商 电信 网通 移动 联通 铁通 广电 电力其他 是否有涉密网络 是;其中是否经保密部门审批 是
5、 否否涉密网络与其他网络的隔离措施隔离;其中采取的措施:_未隔离是否按等级保护要求划分安全域 是 否主要操作系统Win9x/WinMe WinNT/Win2000/win2003 WinXP WinVista Linux Unix Novell Nerware Sun Solaris OS/2 其他:信息安全保障经费投入占信息化项目投入资金比例无 少于 5 510% 1115%多于 15 _ 难以估计 网络与信息安全产品名称 数量 生产厂家 通过安全检验/鉴定/认证情况防火墙入侵检测系统安全审计系统漏洞扫描系统违规外联监控系统网页防篡改系统网络安全隔离网闸病毒防护产品密码产品5政府门户网站基本
6、情况域名 开通时间ICP 备案号: 服务器放置地点网站语言版本 中文简体 中文繁体 维文 哈文 柯文 英文 俄文信息更新周期 每日 每周 不定期 网站服务器建设方式 自行建立 租用空间 主机托管网站信息发布系统建设方式 自行建立 委托外包网站运行维护方式自行维护 维护单位:_委托维护 委托单位:_信息发布方式 动态信息发布 静态信息发布动态信息发布采用的数据库是:ACCESS SQL ORACLE MYSQL 其他服务器操作系统 WINDOWS 2000/2003 LINUX UNIX 其他门户网站主要应用系统电子邮件 文件传输服务(FTP) 电子公告论坛( BBS)数据查询 网上业务受理 视
7、频会议信息发布 其他邮件服务是否采取了安全保障措施是;其中采取的安全措施:_否 电子公告板(BBS)是否采取了安全保障措施是;其中采取哪些控制和过滤措施:_否 信息发布服务是否采取了安全保障措施是;其中信息发布审核措施:_否 网络与信息安全应急管理情况是否制定网络与信息安全应急预案是; 其中是否经过演练: 是 否否本地备份情况有;其中备份方式:磁带机 磁盘阵列 光盘其他(请注明)_无本地备份频率 实时 天 星期 月 无异地容灾备份情况有无异地容灾备份需求 有;其中是否实现异地容灾备份是 否无本单位是否发生过安全事件发生过;共 次,其中是否做相应记录 是 否未发生过 不清楚可能攻击来源 内部 外
8、部 内外都有 不清楚 其他原因:6发生安全事件类型感染病毒、蠕虫、特洛伊木马程序 拒绝服务攻击端口扫描攻击 数据窃取破坏数据或网络 篡改网页垃圾邮件 内部人员有意破坏 内部人员滥用网络端口和系统资源 被利用发送和传播有害信息 网络诈骗和盗窃 其他:导致发生安全事件的原因未修补系统或软件漏洞 网络、系统或软件配置错误 缺少访问控制 登录密码过于简单或未修改原始密码 攻击者使用拒绝服务攻击 攻击者利用软件默认设置 利用内部用户安全管理漏洞或内部人员作案 内部网络违规外连 攻击者使用欺诈方法缺少身份认证措施 不知原因 其他:发现安全事件后采取的措施向相关部门报案 向上级业务主管部门报告 请安全服务单
9、位协助解决 请开发维护单位协助解决 请安全事件应急响应组织解决 自行解决 未采取任何措施 其他:安全事件造成损失评估非常严重 严重 一般 比较轻微 轻微 无法评估网络与信息安全技术防范措施情况是否有在公务外网和互联网上处理内部敏感信息 是 否是否制定了详细的授权管理和访问控制策略 是 否是否有内部用户违规外联的监控措施和管理措施是;其中采取的措施_ 否 是否按照保密管理规定管理涉密存储介质 是 否涉密计算机和涉密人员数量 涉密计算机数量: 涉密人员数量:本单位对涉密信息和敏感信息采取了哪些保护措施没有涉密、敏感信息; 实施严格的访问控制与授权管理措施; 单机处理; 接入专门网络与非涉密网络物理
10、隔离; 专人管理涉密、敏感信息;禁止电子形式涉密、敏感信息被拷贝;监视涉密信息系统的各台终端;涉密信息有相应的密级标识,密级标识不与正文分离; 其它:_ 所有重要信息是否进行了明确分类并记录在案是 否 只有涉密信息进行了定密和统计在访问计算机、重要资源或信息时,是否所有用户都需要进行身份鉴别(认证)是 没有鉴别 只有部分用户进行了鉴别列举本单位采取的身份鉴别方式口令 智能卡 数字证书 CA 生物识别 其它:_ 多余默认帐号和无关服务是否关停是 否 不清楚默认帐号和无关服务情况7采取了哪些口令管理措施口令难以猜测(例如要求口令包括数字、大小写字母、特殊字符等,并设定最小长度) ;口令定期修改;
11、及时删除离职员工帐号和口令;迅速替换厂家提供的默认口令;系统管理员在分发口令、处理丢失或泄漏的口令时有严格的流程;口令在系统中加密存储。 设置帐户锁定阀值(防口令猜测)对哪些存储信息进行加密 没有使用加密措施 涉密信息单位敏感信息 其它:_ 是否对传输信息进行了加密 是 否涉密文档是否使用了基于密级标识的访问控制措施 是 否 不知道 没有涉密电子文档 操作系统更新、升级方式自动在线升级; 到操作系统厂商网站在线升级;利用第三方软件升级; 上级单位或有关部门分发补丁接上级或信息安全服务商通知,到可信站点升级;其它:_ 是否使用防病毒系统 是 否安全产品中漏洞库或病毒库的升级方式在线升级 产品厂商
12、邮寄 其它:_ 系统、病毒库升级和打补丁包程序情况每天 每周 每月 每季度 半年 从不对信息安全产品的是否进行安全配置是否是否有设备、主机、系统和应用软件运行日志的管理措施是;其中采取的措施:_否表 3:机房环境安全情况本单位对机房安全保卫采取的措施外来人员登记 防盗报警、视频监控等安全防范系统 门禁系统 值班 门窗加固 其他措施:_ 关键设备安置措施加锁; 专用机柜;其它:_ 布线措施室外线路埋地; 室外线路未埋地部分加装套管保护;室内线路在地板下; 网络传输线路与电力线分开布置,防止干扰;其它:_防 火 选择耐火材料建设机房; 设置机房专用灭火设备;消防报警系统; 其它:_ 防静电接地与屏
13、蔽;控制机房温度、湿度,防止产生静电; 选择防静电机房装饰材料(如地板、桌椅) ,减少静电发生;穿戴防静电服装、鞋帽等物品;其它:_ 本单位对机房环境安全采取的措施温湿度控制温、湿度监控; 专用机房空调 普通空调其它:_8防水和防潮规划机房周围的水管安装,防止水管泄漏;采取措施防止屋顶漏水; 采取措施防止墙壁渗透;安装漏水保护设施其它:_防 雷 良好接地; 安装避雷设施;其它_电磁辐射防护电磁辐射监测; 采购电磁辐射达标的计算机等信息技术设备电磁辐射防护卡;穿戴电磁辐射保护服装;其它:_电磁泄漏保护设置屏蔽室; 滤波;干扰; 接地;购买低电磁泄漏信息设备 隔离和合理布局;其它:_防电力故障UPS(不间断电源) ; 机房用电与民用电分开;配备发电机; 设置稳压器和过电压防护设备;多路供电; 其它:_
