单位网络安全自查报告.docx
- 文档编号:11797832
- 上传时间:2023-04-02
- 格式:DOCX
- 页数:28
- 大小:24.69KB
单位网络安全自查报告.docx
《单位网络安全自查报告.docx》由会员分享,可在线阅读,更多相关《单位网络安全自查报告.docx(28页珍藏版)》请在冰豆网上搜索。
单位网络安全自查报告
网络安全自查报告
本次信息安全检查内容主要包括信息系统基本情况、安全管理情况、安全技术防护情况、信息安全应急工作情况、信息安全教育培训情况、安全保密情况、安全问题整改情况等七个方面。
(一)信息系统的基本情况
至今为止,我所建立了局域网和外网网站。
局域网部署了办公自动化系统和“三率”调查的业务系统和正准备投入使用的财务预算执行管理系统;外部网站有单位门户网站和国家工程中心网站。
单位目前有物理服务器11台,其中局统一配备的6台,单位自行购置5台。
有台式计算机144台,笔记本电脑107台。
有保密计算机的业务处室,保密计算机由处室内部管理,不允许接入网络。
局域网划分为内外网服务器区、并按楼层划分了Vlan,通过在核心交换机上做路由,使本单位通过地调局专线接入局视频会议、IP电话和地调局业务网、地质图书馆。
目前局域网因部分设备已达使用年限,再加上突发断电故障、周边施工建设造成机房很难保持洁净,近几年个别设备时有故障,经过临时维修或者替换新设备,目前基本满足日常性工作需求,由于大多是服务设备,网络安全设备投入很少,要加大网络安全,必须后续陆续投入一些安全产品才能做到安全无死角。
(二)信息安全工作情况
本单位信息安全遵循“上网不涉密、涉密不上网”原则。
门户网站的消息发布由地调处指定专人负责,所发信息经领导审核同意才能发布。
内部网站各个栏目分别由所属部门的负责人或指定人员实名发布,采用动态口令卡验证才能访问。
涉密计算机和存储介质有专门台帐详细记录其使用情况,不允许涉密设备与非涉密设备交叉使用。
各信息系统的数据库都制定了完善的备份计划:
公文系统和信息发布系统等各数据系统采用同步备份方式自动备份。
所内设有由所领导带头的安全检查班子,网络安全检查也属于其检查范围,基本保证每年至少一检,检查发现问题,必须改正到位。
(三)信息安全自查工作组织开展情况
本单位高度重视信息安全保密工作,定期组织相关人员对信息安全工作进行检查。
本单位7月份对信息安全保密情况进行了全面的检查。
检查范围包括:
机房水电设施设备安全隐患、局域网全部信息设备硬件状况、各软件系统运行状况、备份计划执行情况、涉密和非涉密计算机的使用情况等。
本次信息检查结果:
局域网各网络设备(路由器、交换机、服务器)运行正常,部分设备由于环境问题发热比较严重,防火墙、应用服务器安全策略符合单位安全要求;备份计划执行到位,重要数据都得到有效备份;涉密计算机都由专人保管并建立了使用登记制度,且禁止连接网络,个别个人计算机有使用通过网络下载的涉嫌涉密资料的痕迹。
(四)自查发现的主要问题和面临的威胁分析
本次安全检查未发现明显安全问题,但存在服务器位于同一地点,如发生大的灾难事故,备份数据可能会一起丢失。
缺少网络安全设备,目前做到高度安全比较难,所内网络行为管理设备已在采购中,预计今年能使用上,到时将能对各设备运行状况和记录进行直观查看和分析。
(五)改进措施与整改效果
对于本次安全检查所发现面临的安全威胁,要通过增加冗余的设备和购买相关安全设备来保障,同时,提高大家的安全意思、计算机使用水平等,将是我们下一步工作的重点。
(六)关于加强信息安全工作的意见和建议
信息化安全工作需要根据各单位的实际需求,具体情况具体对待。
就本单位来说,需要增加网络安全软硬件设备的固定投入(比如:
VPN、隔离网闸等防攻击、防篡改、防瘫痪、防泄密设备),培养非计算机专业人员的安全意思和提高常规网络安全知识。
附件2
网络安全情况调查表
一、单位基本情况
单位名称
XXXXXX研究所
分管网络安全工作的领导
(本单位正/副职领导)
①姓名:
XXX
②职务:
所长
网络安全管理机构
(如办公室)
①名称:
办公室
②负责人:
XXXX职务:
办公室主任
③联系人:
孙建军电话:
0XX1-XXXXXX1
网络安全专职工作处室
(如网络安全室)
①名称:
信息标准室
②负责人:
XXX电话:
XXX1-XXXXX1
网络安全联络员
①联络员:
XXX电话:
XXX71-XXXXXX6
二、信息系统基本情况
信息系统情况
①信息系统总数:
4个
②网络连接情况
可以通过互联网访问的系统数量:
2个
不能通过互联网访问的系统数量:
2个
③面向社会公众提供服务的系统数量:
0个
④定级备案的系统数量:
0个
⑤完成安全测评的系统数量:
0个
本年度开展完成安全测评的系统数量:
0个
⑥完成安全建设整改的系统数量:
0个
互联网接入情况
互联网网口总数:
2个
□接入中国联通接入口数量:
1个接入宽带:
60MB
■接入中国电信接入口数量:
个接入宽带:
MB
■其他:
地调局专线接入口数量:
1个接入宽带:
10MB
系统定级情况
第一级:
0个第二级:
0个第三级:
0个
第四级:
0个第五级:
0个未(拟)定级:
4个
三、网络安全日常管理情况
人员管理
①岗位网络安全责任制度:
■已建立□未建立
②重点岗位人员安全保密协议:
■全部签订□部分签订□均未签订
③人员离岗离职安全管理规定:
■已制定□未制定
④外部人员访问机房等重要区域审批制度:
■已建立□未建立
资产管理
①资产管理制度:
■已建立□未建立
②设备维修维护和报废管理:
■已建立管理制度,且记录完整
□已建立管理制度,但记录不完整
□未建立管理制度
四、网络安全防护情况
网络边界
安全防护
①网络安全防护设备部署(可多选):
■防火墙□入侵检测设备□安全审计设备
□防病毒网关□抗拒绝服务攻击设备
□其它:
②设备安全策略配置:
□使用默认配置■根据需要配置
③网络访问日志:
■留存日志□未留存日志
无线网络
安全防护
①本单位使用无线路由器数量:
10个
②无线路由器用途:
■访问互联网:
10个
□访问业务/办公网络:
个
③安全防护策略(可多选):
□采取身份鉴别措施□采取地址过滤措施
□为设置安全防护策略
④无线路由器使用默认管理地址情况:
□存在□不存在
⑤信息发布管理:
■已建立审核制度,且记录完整
□已建立审核制度,但记录不完整
□未建立审核制度
⑥运维方式:
□自行运维□委托第三方运维
第三方运维公司名称:
门户网站
安全防护
①门户网站域名:
http:
//www.XXXXX.XXX.cn
②门户网站IP地址:
XXX.XXX.XX.XX
③网页防篡改措施:
■采用□未采用
④漏洞扫描:
□定期,周期■不定期□未进行
⑤信息发布管理:
■已建立审核制度,且记录完整
□已建立审核制度,但记录不完整
□未建立审核制度
⑥运维方式:
■自行运维□委托第三方运维
第三方运维公司名称:
电子邮件
安全防护
①建设方式:
□自行建设□使用第三方服务
邮件服务提供商:
②账户数量:
个
③邮箱注册:
□须经审批□任意注册
④口令管理:
□使用技术措施控制口令强度
□没有采取技术措施控制口令强度
终端计算机
安全防护
①管理方式:
□集中统一管理(可多选)
□规范软硬件安装□统一补丁升级□统一病毒防护
□统一安全审计□对移动存储介质接入实施控制
■分散管理
②接入互联网安全控制措施:
■有控制措施(如实名接入、绑定计算机IP和MAC地址等)
□无控制措施
③接入办公系统安全控制措施
■有控制措施(如实名接入、绑定计算机IP和MAC地址等)
□无控制措施
移动存储介质
安全防护
①安全管理方式:
□集中管理,统一登记、配发、收回、维修、报废、销毁
■未采取集中管理方式
②电子信息保护:
□已配备信息消除和销毁设备■未配备信息消除和销毁设备
五、网络安全应急工作情况
应急预案
□已制定本年度修订情况:
□修订□未修订
■未制定
应急演练
□本年度已开展,演练时间:
■本年度未开展
灾难备份
①数据备份:
■采取备份措施,备份周期:
□实时,■日,□周,□月,□不定期
□未采取备份措施
数据备份地点:
本地备份
②系统备份:
采取实时备份措施的系统数量:
0个
未采取系统备份措施的系统数量:
0个
系统备份地点:
本地备份
应急技术队伍
■部门所属单位□外部专业机构□无
六、网络安全教育培训情况
培训次数
本年度开展网络安全教育培训的次数:
0次
培训人数
本年度参加网络安全教育培训的人数:
0人
占本单位总人数的比例:
0%
专业培训
本年度网络安全管理和技术人员参加专业培训的人数:
0人
七、信息技术产品使用情况
服务器
①总台数:
11台
②品牌情况:
国内品牌台数:
0台,
其中,使用国产CPU的台数:
0台
国外品牌台数:
10台
③操作系统情况:
使用国产操作系统的台数:
0台
使用国外操作系统的台数:
11台
终端计算机
(含笔记本)
①总台数:
248台
②品牌情况:
国内品牌台数:
234台,
其中,使用国产CPU的台数:
0台
国外品牌台数:
17台
③操作系统情况:
使用国产操作系统的台数:
0台
使用国外操作系统的台数:
251台
其中,使用WindowsXP的台数:
210台
④安装国产字处理软件的终端计算机台数:
0台
⑤安装国产防病毒软件的终端计算机台数:
241台
路由器
①总台数:
1台
②品牌情况:
国内品牌台数:
0台
国外品牌台数:
1台
交换机
①总台数:
8台
②品牌情况:
国内品牌台数:
0台
国外品牌台数:
8台
存储设备
①总台数:
0台
②品牌情况:
国内品牌台数:
0台
国外品牌台数:
0台
数据库
管理系统
①总套数:
2套
②品牌情况:
国内品牌套数:
0套
国外品牌套数:
2套
邮件系统
总数:
0个
品牌:
数量:
个
品牌:
数量:
个
负载均衡设备
总数:
0个
品牌:
数量:
个
品牌:
数量:
个
防火墙
总数:
1个
品牌:
天融信数量:
1个
品牌:
数量:
个
入侵检测设备
(入侵防御)
总数:
0个
品牌:
数量:
个
品牌:
数量:
个
安全审计设备
总数:
0个
品牌:
数量:
个
品牌:
数量:
个
八、网络安全经费预算投入情况
经费预算
本年度网络安全经费预算额:
6万元
经费投入
上一年度网络安全经费实际投入额:
3.2万元
九、本年度技术检测及网络安全事件情况
技术检测情况
渗透测试
进行渗透测试的系统数量:
15个
其中,可以成功控制的系统数量:
0个
恶意代码
检测
①进行病毒木马等恶意代码检测的服务器台数:
11个
其中,存在恶意代码的服务器台数:
0个
②进行病毒木马等恶意代码检测的终端计算机台数:
143个
其中,存在恶意代码的终端计算机台数:
1个
安全漏洞
检测结果
①进行漏洞扫描的服务器台数:
11个
其中,存在高风险漏洞的服务器台数:
0个
②进行漏洞扫描的终端计算机台数:
143个
其中,存在高风险漏洞的终端计算机台数:
1个
网络安全事件情况
门户网站
受攻击情况
安全防护设备检测到的门户网站受攻击次数:
0个
网页被篡改情况
门户网站网页篡改(含内嵌恶意代码)次数:
0个
十、信息技术外包服务机构情况(包括参与技术检测的外部专业机构)
外包服务机构1
机构名称
无
机构性质
□国有单位□民营企业□外资企业
服务内容
□系统集成□系统运维□风险评估
□安全检测□安全加固□应急支持
□数据存储□灾难备份
□其他:
网络安全保密协议
□已签订□未签订
网络安全管理体系
认证情况
□已通过认证
认证机构:
□未通过认证
外包服务机构2
机构名称
无
机构性质
□国有单位□民营企业□外资企业
服务内容
□系统集成□系统运维□风险评估
□安全检测□安全加固□应急支持
□数据存储□灾难备份
□其他:
网络安全保密协议
□已签订□未签订
网络安全管理体系认证情况
□已通过认证
认证机构:
□未通过认证
(如有2个以上外包机构,每个机构均应填写)
附件2
网络安全管理工作自评估表
评估指标
评价要素
评价标准
权重
(V)
指标
属性
量化方法(P为量化值)
评估得分
(V×P)
网络安全组织管理
网络安全
主管领导
明确一名主管领导负责本部门网络安全工作(主管领导应为本部门正职或副职领导)。
3
定性
已明确,本年度就网络安全工作作出批示或主持召开专题会议,P=1;
已明确,本年度未就网络安全工作作出批示或主持召开专题会议,P=0.5;
尚未明确,P=0。
3
网络安全
管理机构
指定一个机构具体承担网络安全管理工作(管理机构应为本部门二级机构)。
2
定性
已指定,并以正式文件等形式明确其职责,P=1;
未指定,P=0。
2
网络安全员
各内设机构指定一名专职或兼职网络安全员。
2
定量
P=指定网络安全员的内设机构数量与内设机构总数的比率。
1
网络
安全
日常
管理
网络
安全
日常
管理
网络
安全
日常
管理
规章制度
制度完整性
建立网络安全管理制度体系,涵盖人员管理、资产管理、采购管理、外包管理、教育培训等方面。
3
定性
制度完整,P=1;
制度不完整,P=0.5;
无制度,P=0。
3
制度发布
安全管理制度以正式文件等形式发布。
2
定性
符合,P=1;不符合,P=0。
2
人员管理
重点岗位人员签订安全保密协议
重点岗位人员(系统管理员、网络管理员、网络安全员等)签订网络安全与保密协议。
2
定量
P=重点岗位人员中签订网络安全与保密协议的比率。
2
人员离岗离职管理措施
人员离岗离职时,收回其相关权限,签署安全保密承诺书。
2
定性
符合,P=1;
不符合,P=0。
2
外部人员访问管理措施
外部人员访问机房等重要区域时采取审批、人员陪同、进出记录等安全管理措施。
2
定性
符合,P=1;
不符合,P=0。
2
资产管理
责任落实
指定专人负责资产管理,并明确责任人职责。
2
定性
符合,P=1;不符合,P=0。
2
建立台账
建立完整资产台账,统一编号、统一标识、统一发放。
2
定性
符合,P=1;不符合,P=0。
2
账物符合度
资产台账与实际设备相一致。
2
定性
符合,P=1;不符合,P=0。
2
设备维修维护和报废管理
措施
完整记录设备维修维护和报废信息(时间、地点、内容、责任人等)。
2
定性
记录完整,P=1;
记录基本完整,P=0.5;
记录不完整或无记录,P=0。
2
外包管理
外包服务协议
与信息技术外包服务提供商签订网络安全与保密协议,或在服务合同中明确网络安全与保密责任。
2
定性
符合,P=1;
不符合,P=0。
2
现场服务管理
现场服务过程中安排专人管理,并记录服务过程。
2
定性
记录完整,P=1;
记录不完整,P=0.5;
无记录,P=0。
2
外包开发管理
外包开发的系统、软件上线前通过信息安全测评。
2
定量
P=外包开发的系统、软件上线前通过信息安全测评的比率。
2
运维服务方式
原则上不得采用远程在线方式,确需采用时采取书面审批、访问控制、在线监测、日志审计等安全防护措施。
2
定性
符合,P=1;
不符合,P=0。
2
经费保障
经费预算
将网络安全设施运维、日常管理、教育培训、检查评估等费用纳入年度预算。
3
定性
符合,P=1;
不符合,P=0。
3
网站内容
管理
网站信息发布
网站信息发布前采取内容核查、审批等安全管理措施。
2
定性
符合,P=1;
不符合,P=0。
2
电子信息
管理
介质销毁和
信息消除
配备必要的电子信息消除和销毁设备,对变更用途的存储介质进行信息消除,对废弃的存储介质进行销毁。
1
定性
符合,P=1;
不符合,P=0。
1
网络
安全
防护
管理
网络
安全
防护
管理
网络
安全
防护
管理
物理环境
安全
机房安全
具备防盗窃、防破坏、防雷击、防火、防水、防潮、防静电及备用电力供应、温湿度控制、电磁防护等安全措施。
2
定性
符合,P=1;
不符合,P=0。
2
物理访问控制
机房配备门禁系统或有专人值守。
1
定性
符合,P=1;不符合,P=0。
1
网络边界
安全
访问控制
网络边界部署访问控制设备,能够阻断非授权访问。
3
定性
符合,P=1;
有设备,但未配置策略,P=0.5;
无设备,P=0。
0
入侵检测
网络边界部署入侵检测设备,定期更新检测规则库。
2
定性
符合,P=1;
有设备,但未定期更新,P=0.5;
无设备,P=0。
0
安全审计
网络边界部署安全审计设备,对网络访问情况进行定期分析审计并记录审计情况。
2
定性
符合,P=1;
有设备,但未定期分析,P=0.5;
无设备,P=0。
0
互联网接入口数量
各单位同一办公区域内互联网接入口不超过2个。
2
定性
符合,P=1;
不符合,P=0。
2
设备安全
设备安全
恶意代码防护
部署防病毒网关或统一安装防病毒软件,并定期更新恶意代码库。
2
定性
符合,P=1;
有设备,但未定期分析,P=0.5;
不符合,P=0。
2
设备漏洞扫描
定期对服务器、网络设备、安全设备等进行安全漏洞扫描。
2
定性
符合,P=1;
不符合,P=0。
2
服务器
口令策略
配置口令策略保证服务器口令强度和更新频率。
1
定量
P=配置了口令策略的服务器比率。
1
服务器
安全审计
启用安全审计功能并进行定期分析。
1
定量
P=对安全审计日志进行定期分析的服务器比率。
1
服务器
补丁更新
及时对服务器操作系统补丁和数据库管理系统补丁进行更新。
2
定量
P=补丁得到及时更新的服务器比率。
2
网络设备和
安全设备口令策略
配置口令策略保证网络设备和安全设备口令强度和更新频率。
1
定量
P=网络设备和安全设备(指重要设备)中配置了口令策略的比率。
1
终端计算机
统一防护
采取集中统一管理方式对终端进行防护,统一软件下发、安装系统补丁。
2
定性
符合,P=1;
不符合,P=0。
0
终端计算机
接入控制
采取技术措施(如部署集中管理系统、将IP地址与MAC地址绑定等)对接入本单位网络的终端计算机进行控制。
1
定性
符合,P=1;
不符合,P=0。
1
应用系统
安全
应用系统安全漏洞扫描
定期对服务器、网络设备、安全设备等进行安全漏洞扫描。
2
定性
扫描周期小于1个月,P=1;
扫描周期为2到3个月,P=0.5;
扫描周期为4到6个月,P=0.2;
其他,P=0。
2
门户网站防
篡改措施
门户网站采取网页防篡改措施。
2
定性
符合,P=1;
不符合,P=0。
2
门户网站抗拒绝服务攻击措施
门户网站采取抗拒绝服务攻击措施。
1
定性
符合,P=1;
不符合,P=0。
1
电子邮件账号注册审批
建立邮件账号开通审批程序,防止邮件账号任意注册使用。
1
定性
符合,P=1;
不符合,P=0。
0
电子邮箱账户口令策略
配置口令策略保证电子邮箱口令强度和更新频率。
1
定性
符合,P=1;
不符合,P=0。
0
邮件清理
定期清理工作邮件。
1
定性
符合,P=1;不符合,P=0。
0
数据安全
数据存储保护
采取技术措施(如加密、分区存储等)对存储的重要数据进行保护。
2
定性
符合,P=1;
不符合,P=0。
2
数据传输保护
采取技术措施对传输的重要数据进行加密和校验。
2
定性
符合,P=1;
不符合,P=0。
2
数据和系统
备份
采取技术措施对重要数据和系统进行定期备份。
2
定性
符合,P=1;不符合,P=0。
2
数据中心、灾备中心设立
数据中心、灾备中心应设立在境内。
1
定性
符合,P=1;
不符合,P=0。
0
网络安全应急管理
网络安全应急管理
应急预案
制定网络安全事件应急预案(为部门级预案,非单个信息系统的安全应急预案),并使相关人员熟悉应急预案。
2
定性
符合,P=1;
不符合,P=0。
0
应急演练
开展应急演练,并留存演练计划、方案、记录、总结等文档。
2
定性
符合,P=1;
不符合,P=0。
0
应急资源
指定应急技术支援队伍,配备必要的备机、备件等应急物资。
1
定性
符合,P=1;
不符合,P=0。
0
事件处置
发生网络安全事件后,及时向主管领导报告,按照预案开展处置工作;重大事件及时通报网络安全主管部门。
2
定性
发生过事件并按要求处置,或者未发生过安全事件,P=1;
发生过事件但未按要求处置,P=0。
2
网络安全教育培训
意识教育
面向全体人员开展网络安全形势与警示教育、基本技能培训等活动。
3
定量
本年度开展活动的次数≥3,P=1;
次数=2,P=0.7;
次数=1,P=0.3;
次数=0,P=0。
0.9
专业培训
定期开展网络安全管理人员和技术人员专业培训。
3
定量
P=本年度网络安全管理和技术人员中参加专业培训的比率。
0
网络安全检查
工作部署
下发检查工作相关文件或者组织召开专题会议,对年度检查工作进行部署。
2
定性
符合,P=1;
不符合,P=0。
2
工作机制
明确检查工作负责人,检查机构和检查人员。
2
定性
符合,P=1;
不符合,P=0。
2
技术检测
使用技术手段进行安全检测。
2
定性
符合,P=1;
不符合,P=0。
2
检查经费
安排并落实检查工作经费。
2
定性
符合,P=1;不符合,P=0。
2
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 单位 网络安全 自查 报告