填报重要信息系统和网站安全专项检查自查表(填完)

信息系统网络安全检查表信息系统网络安全检查表一、网络基础设施安全检查1、网络拓扑及结构安全检查1.1 确认网络拓扑图是否准确无误，并与实际网络拓扑一致。

1.2 检查网络设备的布局是否合理，防止单点故障发生。

1.3 检查网络设备是否设置了安全认证机制，防止未授权用户访问。

1.4 检查网络设备是否启用了防火墙，以及是否进行了适当的配置。

1.5 检查网络设备是否更新了最新的固件版本，并是否存在已知的安全漏洞。

1.6 检查网络设备是否启用了日志功能，是否进行了适当的日志管理。

2、网络设备配置安全检查2.1 检查网络设备的管理员密码是否满足复杂度要求，并定期更换密码。

2.2 检查网络设备的端口及协议配置是否需要，所有不必要的端口及协议应禁用或关闭。

2.3 检查网络设备是否启用了访问控制列表（ACL），以限制特定IP地质或IP地质段的访问权限。

2.4 检查网络设备是否启用了安全登录方式，如SSH，禁止使用明文协议进行远程登录。

2.5 检查网络设备是否启用了IPsec等加密协议，保障数据在传输过程中的安全性。

2.6 检查网络设备是否配置了IP源路由保护，防止IP地质伪造攻击。

3、网络通信安全检查3.1 检查网络通信是否采用了加密协议，如SSL/TLS，以保护数据在传输过程中的安全性。

3.2 检查网络通信是否启用了VPN，以提供安全的远程访问功能。

3.3 检查网络通信是否启用了安全的WiFi认证机制，如WPA2-PSK，禁止使用弱密码。

3.4 检查网络通信是否设置了流量监控和分析工具，以便及时发现异常网络流量。

3.5 检查网络通信是否启用了反嗅探功能，防止数据被嗅探工具获取。

二、服务器与系统安全检查1、服务器配置安全检查1.1 检查服务器操作系统是否为最新的稳定版本，并及时安装安全补丁。

1.2 检查服务器是否设置了安全的访问控制策略，禁止未授权用户访问。

1.3 检查服务器是否启用了防火墙，并根据需求进行适当的配置。

网络信息安全自检自查表及报告网络信息安全自检自查表及报告1.信息资产清单1.1 硬件设备1.1.1 服务器1.1.2 路由器1.1.3 防火墙1.1.4 交换机1.1.5 存储设备1.1.6 其他设备（如打印机、摄像头等）1.2 软件应用1.2.1 操作系统1.2.2 数据库1.2.3 网络应用软件1.2.4 客户端软件2.网络架构2.1 网段划分2.2 子网掩码配置2.3 网络设备配置2.4 网络拓扑图3.访问控制3.1 用户账号管理3.2 密码策略3.3 账号权限管理3.4 访问控制列表配置3.5 安全组配置4.数据保护4.1 敏感数据分类4.2 数据备份策略4.3 数据恢复测试4.4 数据加密策略4.5 安全删除机制5.系统安全5.1 操作系统更新5.2 安全补丁管理5.3 强化系统安全配置5.4 安全审计配置5.5 系统日志监控6.网络安全6.1 防火墙配置6.2 网络隔离策略6.3 VPN配置6.4 IDS/IPS配置6.5 网络入侵检测与防护7.应用安全7.1 应用安全评估7.2 应用漏洞扫描7.3 安全开发规范7.4 安全代码审计7.5 应用安全测试8.物理环境安全8.1 机房访问控制8.2 机房环境监控8.3 电源与供电备份8.4 硬件设备防盗措施8.5 火灾与水灾预防9.员工安全意识9.1 安全培训计划9.2 安全政策知晓度9.3 安全知识测试9.4 安全事件处理流程9.5 安全风险上报机制10.漏洞管理10.1 漏洞扫描策略10.2 漏洞评估与修复10.3 漏洞跟踪与升级10.4 漏洞演练与应急演练附件：附件一：网络拓扑图附件二：访问控制列表配置文件附件三：数据备份计划法律名词及注释：1.信息资产：指企业拥有并管理的各类信息资源，包括硬件设备、软件应用及相关数据等。

2.子网掩码：用于划分IP地质的网络标识和主机标识部分的边界。

3.访问控制列表（ACL）：用于控制数据包的流动与过滤，以实现网络安全防护的一种机制。

附件2
网络与信息安全专项整治行动检查工作自查表
- 1 -
- 2 -
- 4 -
- 6 -
说明：
1.本自评标准的评分项目根据《国家网络安全检查操作指南》设置，共37小项。

其中，第1至34小项设置总分值为100分；第35至36小项为加重扣分项，不设分值；第37小项为否决项。

2.单位对照项目自评，未达到项目要求的扣除相应分值，在得分栏中注明得分分值；累计扣分超过项目分值的，扣分分值不超过项目分值上限。

3.发生第35至36小项严重违规行为和网络安全事件的，直接扣除相应分值；发生第37小项严重网络安全案件的，直接评定为不符合要求。

单位名称：（盖章）
单位负责人：信息部门负责人：
填表日期：
- 8 -。

关于填报重要信息系统和网站安全专项检查自查表的通知附件1重要信息系统和网站安全专项检查自查表单位名称（加盖单位公章）自查时间 2013年11月7日一、单位基本情况单位名称单位地址省（区、市）地（区、市、州、盟）县（区、市、旗）邮政编码单位所在地行政区划编码网络安全工作分管领导姓名职务/职称网络安全责任部门责任部门负责人姓名职务/职称办公电话移动电话责任部门联系人姓名职务/职称办公电话移动电话单位类型 党政机关 事业单位 企业 其他所属行业网站数量（统计本单位及内设机构具有独立域名的网站数量）二、网络安全工作情况1.网络安全协调（领导）机构的建立和运行情况（包括机构建立、组成、主要职责以及网络安全工作议事或例会制度等具体情况）结合我局实际情况建立了网络安全协调（领导）机构，由网络安全工作领导、督察人员及日常管理人员组成，主要职责为网络工作安全的领导、监督、实施等，每月举行一次网络安全工作例会。

2.网络安全责任制落实情况（包括安全责任分工、信息系统安全责任人、签订网络安全责任书及责任追究制度落实等具体情况）1．成立了安全小组。

明确了信息安全的主管领导和具体负责管护人员,安全小组为管理机构。

2．建立了信息安全责任制。

按责任规定:保密小组对信息安全负首责，主管领导负总责，具体管理人负主责。

3．制定了计算机及网络的保密管理制度，签订了网络安全责任书。

网站的信息管护人员负责保密管理，密码管理，对计算机享有独立使用权，计算机的用户名和开机密码为其专有，且规定严禁外泄，如有外泄，追究其相应责任。

3.网络安全规划、策略制定和落实情况（包括网络安全工作的短期目标和长远规划、网络安全策略制定和执行、网络安全工作在信息化建设工作落实情况，如同步立项、同步设计、同步建设、同步验收，同步运维等）1．网络安全工作的短期目标为自查安全设置，消除安全隐患。

2．网络安全策略为通过系统及网络安全配置，应用防火墙及入侵检测、安全扫描、网络防病毒等技术，对出入口的信息进行严格的控制；对网络中所有的装置（如Web服务器、路由器和内部网络等）进行检测、分析和评估，发现并报告系统内存在的弱点和漏洞，评估安全风险，找出补救措施，以便有效地防止黑客入侵和病毒扩散，监控整个网络的运行状况。

附件12017年重点单位网络安全自查表表一：行业主管部门填写7、行业数据资源保护情况操作系统为windowsXP，办公软件为Microsoft??Office 、wps等软件。

本单位计算机、信息系统安全产品均为国产产品，包括使用360等安全软件。

重点信息系统使用的服务器、防火墙、路由器等均为国产产品。

表二：信息系统运营使用单位填写1、单位网络安全等级保护工作的组织领导情况（重点包括：单位网络安全领导机构或网络安全等级保护工作领导机构成立情况；单位网络安全或网络安全等级保护工作的职责部门和具体职能情况；单位网络安全等级保护工作部署情况等。

）2、单位对网络安全等级保护工作的保障情况（重点包括：单位网络安全等级保护工作年度考核情况；单位组织开展网络安全自查情况；单位网络安全工作经费是否纳入年度预算？单位网络安全工作的经费约占单位信息化建设经费的百分比情况等。

）3、单位网络安全责任追究制度执行情况网络安全预警工作情况等。

）9、单位网络安全应急预案和演练情况（重点包括：是否制定了单位网络安全预案？单位网络安全预案是否进行了演练？是否根据演练情况对预案进行了修改完善等情况。

）10、单位网络安全事件（事故）的处置情况（重点包括：是否明确了单位网络安全事件（事故）发现、报告和处置流程？年内是否发生重大网络安全事件（事故）？是否与相关部门建立了网络安全应急处置机制等情况。

）11、单位信息技术产品、服务国产化情况（重点包括：单位操作系统、服务器、数据库、交换机等核心信息技术产品的国产化比率情况；单位网络安全设备的国产化比率情况；单位信息技术产品国产化替换工作计划情况；单位新建信息系统是否采用国产化设备；单位信息安全服务情况等。

）12、单位网络安全宣传培训情况（重点包括：单位组织开展网络安全宣传教育情况；单位组织开展网络安全岗位培训和网络安全员培训等情况。

）三、单位信息系统基本情况表三：网站安全情况自查表。

网络安全执法检查自查表表一：主管部门填写二、主管部门网络安全工作情况1、网络安全工作的组织领导情况（重点包括：网络安全领导机构或网络安全等级保护工作领导机构成立情况：网络安全或网络安全等级保护工作的职责部门和具体职能情况：全网络安全等级保护工作部署情况等。

）2、网络安全等级保护工作保障情况（重点包括：网络安全等级保护工作年度考核情况：主管部门组织对地方对口部门或所属企事业单位网络安全检查情况：网络安全工作经费是否纳入年度预算？网络安全工作的经费约占信息化建设经费的百分比情况等。

）3、网络安全责任追究制度执行情况（重点包括：是否建立了网络安全责任追究制度？是否依据责任追究制度对发生的网络安全事件（事故）进行追责等情况。

）4、网络安全与信息通报工作情况（重点包括：是否加入了国家网络与信息安全通报机制？是否建立了本网络与信息安全通报机制？组织开展日常网络安全监测情况：本开展网络与信息安全通报预警工作的总体情况等。

）5、重要网络安全政策和技术标准的制左情况（重点包括：出台网络安全或等级保护政策、管理办法、管理规左等规范性文件情况，具体文件名字和出台时间；出台网络安全或等级保护标准规范情况，具体文件爼字和出台时间等情况。

）6、网络安全顶层设计和统筹规划情况（重点包括：网络安全顶层设汁情况；网络安全工作的短期目标和长远规划制左情况：全的网络安全保护策略制定情况等。

）7、大数据、重要敏感信息和公民个人信息保护情况（重点包括：数据中心建设情况：数据资源存储情况：数据资源安全保护情况；数据资源的灾备中心建设情况和数据备份恢复情况，数据资源存储和应用是否由社会第三方提供？提供服务单位的具体情况等）8、网络安全应急预案和演练情况（重点包括：是否制立了网络安全预案？网络安全预案是否进行了演练？是否根据演练情况对预案进行了修改完善等情况）9、网络安全应急队伍建设情况（重点包括：是否建立了本网络安全应急队伍？是否组建了网络安全专家队伍？是否与社会企业签订了应急支持协议？应急队伍建设规划等情况。

网络信息安全自检自查表及报告一、前言在当今数字化时代，网络信息安全已成为企业和个人面临的重要挑战。

为了确保网络系统的稳定运行，保护敏感信息不被泄露，我们有必要定期进行网络信息安全的自检自查。

本报告将详细介绍网络信息安全自检自查的相关内容和结果。

二、网络信息安全自检自查表（一）物理安全1、机房环境是否符合温度、湿度、防尘等要求。

2、服务器、网络设备等硬件是否有良好的防护措施，如机柜锁、防盗报警等。

（二）网络安全1、网络拓扑结构是否合理，是否存在单点故障。

2、防火墙、入侵检测系统等安全设备是否正常运行，规则配置是否合理。

3、网络访问控制策略是否严格，是否存在不必要的开放端口和服务。

（三）系统安全1、操作系统是否及时更新补丁，是否存在已知的安全漏洞。

2、应用系统是否进行了安全配置，如用户权限管理、密码策略等。

（四）数据安全1、重要数据是否定期备份，备份数据是否可恢复。

2、数据存储是否采取了加密措施，数据传输是否安全。

（五）用户安全1、用户账号管理是否规范，是否存在弱密码、长期未修改密码等情况。

2、员工是否接受过网络信息安全培训，是否具备基本的安全意识。

（六）应急响应1、是否制定了网络信息安全应急预案，是否定期进行演练。

2、在发生安全事件时，是否能够及时发现、报告和处理。

三、自检自查结果（一）物理安全方面1、机房温度、湿度基本符合要求，但防尘措施有待加强，部分机柜存在积尘现象。

2、硬件防护措施基本到位，但机柜锁存在老化损坏情况，需要及时更换。

（二）网络安全方面1、网络拓扑结构较为合理，但部分网络设备存在单点故障风险。

2、防火墙和入侵检测系统运行正常，但部分规则配置需要进一步优化，以提高安全性。

3、网络访问控制策略存在一定漏洞，发现了一些不必要的开放端口和服务，需要立即关闭。

（三）系统安全方面1、部分操作系统未能及时更新补丁，存在一定的安全隐患。

2、应用系统的安全配置需要进一步完善，用户权限管理存在一些混乱情况。