国家级重要信息系统和重点网站安全执法检查自查表

网络与信息安全自查表网络与信息安全自查表1、网络基础设施1.1 网络拓扑结构检查1.2 网络设备配置和管理1.3 防火墙设置与管理1.4 网络流量监控1.5 安全策略和措施评估1.6 网络备份与恢复机制2、系统与应用安全2.1 操作系统安全补丁更新2.2 权限和访问控制2.3 账号和密码管理2.4 数据加密和传输安全2.5 应用程序安全性评估2.6 弱点扫描和漏洞管理3、数据安全3.1 敏感数据分类和标记 3.2 数据备份和灾难恢复 3.3 数据存储和传输加密 3.4 数据访问控制和审计 3.5 数据泄漏防止和检测3.6 数据销毁和归档策略4、网络安全事件应对4.1 安全事件监测和报警 4.2 安全事件响应和处理 4.3 安全事件调查和取证 4.4 业务连续性和恢复计划 4.5 紧急通信和协调机制4.6 安全事件后评估和改进5、员工安全意识和培训5.1 安全政策和规程宣贯 5.2 社会工程学识别和防范5.3 网络安全意识培训计划5.4 安全演练和模拟攻击5.5 员工违规行为监测5.6 奖惩机制和绩效考核附件：1、网络拓扑图2、设备配置文件3、防火墙规则表4、安全策略和措施文件5、应用程序漏洞扫描报告6、数据备份和恢复方案7、安全事件响应指南8、员工安全意识培训材料法律名词及注释：1、《中华人民共和国网络安全法》：中华人民共和国全国人民代表大会常务委员会于2016年11月7日通过的一部涉及网络安全的综合性法律。

2、《个人信息保护法》：中华人民共和国全国人民代表大会常务委员会拟制的一部保护个人信息的法律。

3、《信息安全技术个人信息安全规范》：中华人民共和国国家标准化管理委员会发布的一项关于个人信息安全技术规范的国家标准。

4、《数据安全管理办法》：中华人民共和国工业和信息化部发布的一项关于数据安全管理的规章。

5、《网络数据安全管理办法》：中华人民共和国公安部发布的一项关于网络数据安全管理的规章。

附件2
网络与信息安全专项整治行动检查工作自查表
- 1 -
- 2 -
- 4 -
- 6 -
说明：
1.本自评标准的评分项目根据《国家网络安全检查操作指南》设置，共37小项。

其中，第1至34小项设置总分值为100分；第35至36小项为加重扣分项，不设分值；第37小项为否决项。

2.单位对照项目自评，未达到项目要求的扣除相应分值，在得分栏中注明得分分值；累计扣分超过项目分值的，扣分分值不超过项目分值上限。

3.发生第35至36小项严重违规行为和网络安全事件的，直接扣除相应分值；发生第37小项严重网络安全案件的，直接评定为不符合要求。

单位名称：（盖章）
单位负责人：信息部门负责人：
填表日期：
- 8 -。

网站信息系统安全检查表一、物理环境安全1、机房环境机房是否具备防火、防水、防潮、防雷、防静电等设施？温度和湿度是否控制在设备正常运行的范围内？机房是否有门禁系统，限制未经授权的人员进入？2、设备设施服务器、网络设备等硬件是否放置在稳固的机柜中，防止物理损坏？电源供应是否稳定，是否有备用电源（如 UPS）以应对突发停电？二、网络安全1、网络架构网络拓扑结构是否合理，是否存在单点故障？不同区域（如内网、外网、DMZ 区）之间的访问控制策略是否得当？2、防火墙防火墙规则是否配置正确，是否能够有效阻止非法访问和攻击？防火墙是否定期进行策略更新和漏洞修复？3、入侵检测/防御系统（IDS/IPS）IDS/IPS 是否正常运行，能够及时发现和阻止入侵行为？其告警信息是否得到及时处理和分析？4、 VPN如果使用 VPN 进行远程访问，VPN 连接是否安全可靠，加密强度是否足够？用户认证和授权机制是否严格？三、系统安全1、操作系统服务器操作系统是否及时更新补丁，修复已知漏洞？系统账号和密码管理是否严格，是否存在弱密码？系统服务是否仅开启必要的服务，关闭不必要的服务？2、数据库系统数据库是否进行定期备份，备份数据是否可恢复？数据库访问权限是否合理设置，防止数据泄露？数据库是否采取加密措施，保护敏感数据？四、应用安全1、网站程序网站代码是否经过安全审计，是否存在 SQL 注入、跨站脚本（XSS）等漏洞？上传功能是否存在文件上传漏洞？验证码机制是否有效，防止暴力破解？2、中间件如 Web 服务器（Apache、Nginx 等）、应用服务器（Tomcat、JBoss 等）是否配置正确，是否存在安全漏洞？3、内容管理系统（CMS）如果使用 CMS 搭建网站，CMS 是否及时更新版本，修复安全漏洞？CMS 插件和模板是否来自官方或可信来源？五、数据安全1、数据备份数据备份策略是否制定并执行，包括全量备份和增量备份？备份数据是否存储在异地，以防止本地灾难？2、数据加密敏感数据（如用户密码、信用卡信息等）在传输和存储过程中是否加密？加密算法是否足够强度，密钥管理是否安全？3、数据销毁当不再需要的数据被删除时，是否采取安全的数据销毁方法，防止数据恢复？六、用户认证与授权1、用户注册与登录用户注册流程是否验证邮箱或手机号，防止恶意注册？登录是否采取双因素认证（如密码＋短信验证码）？2、权限管理用户权限是否根据其职责进行最小化授权？权限变更是否经过审批流程？七、安全管理制度1、安全策略是否制定了完善的网站信息系统安全策略，包括访问控制、数据保护、应急响应等？2、人员管理员工是否接受过安全培训，了解基本的安全知识和操作规范？离职员工的账号是否及时删除或禁用？3、应急响应是否制定了应急响应预案，包括数据恢复、系统恢复等措施？定期进行应急演练，检验预案的有效性？八、日志与审计1、系统日志服务器、网络设备、应用系统等是否开启日志功能，记录重要操作和事件？日志是否定期进行备份和分析？2、审计功能对关键操作（如数据修改、用户权限变更等）是否进行审计，审计记录是否完整？通过以上网站信息系统安全检查表，可以全面、系统地评估网站的安全性。

网络信息安全自检自查表及报告网络信息安全自检自查表及报告一、引言在网络信息时代的背景下，网络安全问题日益凸显，为确保网络系统的安全性及保护用户的隐私，本自检自查表及报告旨在帮助组织进行网络信息安全自检，发现潜在的风险并提供相应的解决方案。

二、自检自查内容2.1 硬件设备安全2.1.1 确保服务器及网络设备的安全性2.1.2 确保硬件设备的完整性和可用性2.1.3 进行设备漏洞扫描和修补2.2 网络架构和拓扑安全2.2.1 审查网络拓扑图和安全策略2.2.2 防火墙和入侵检测系统的设置和管理2.2.3 安全网关和虚拟专用网络的配置2.3 身份认证和访问控制安全2.3.1 强化用户身份验证和访问控制机制2.3.2 管理用户和权限2.3.3 评估访问控制策略和权限配置的合理性2.4 数据加密和隐私保护2.4.1 确保敏感数据的加密传输2.4.2 定期备份和恢复数据2.4.3 确保数据隐私保护的合规性2.5 安全事件监测和应急响应2.5.1 配置和管理安全事件监测系统2.5.2 制定安全事件应急响应计划2.5.3 定期测试应急响应计划的有效性2.6 员工安全意识和培训2.6.1 组织安全培训活动并跟踪培训效果2.6.2 建立安全意识教育体系三、自检自查报告3.1 硬件设备安全自检自查报告3.2 网络架构和拓扑安全自检自查报告3.3 身份认证和访问控制安全自检自查报告3.4 数据加密和隐私保护自检自查报告3.5 安全事件监测和应急响应自检自查报告3.6 员工安全意识和培训自检自查报告附件：1：网络拓扑图2：应急响应计划3：培训材料和记录法律名词及注释：1：信息安全法：指中华人民共和国国家安全法规定的信息安全的法律规范。

2：个人隐私保护法：指中华人民共和国个人信息保护法规定的个人隐私的法律规范。

网络信息安全自检自查表及报告一、前言在当今数字化时代，网络信息安全已成为企业和个人面临的重要挑战。

为了确保网络系统的稳定运行，保护敏感信息不被泄露，我们有必要定期进行网络信息安全的自检自查。

本报告将详细介绍网络信息安全自检自查的相关内容和结果。

二、网络信息安全自检自查表（一）物理安全1、机房环境是否符合温度、湿度、防尘等要求。

2、服务器、网络设备等硬件是否有良好的防护措施，如机柜锁、防盗报警等。

（二）网络安全1、网络拓扑结构是否合理，是否存在单点故障。

2、防火墙、入侵检测系统等安全设备是否正常运行，规则配置是否合理。

3、网络访问控制策略是否严格，是否存在不必要的开放端口和服务。

（三）系统安全1、操作系统是否及时更新补丁，是否存在已知的安全漏洞。

2、应用系统是否进行了安全配置，如用户权限管理、密码策略等。

（四）数据安全1、重要数据是否定期备份，备份数据是否可恢复。

2、数据存储是否采取了加密措施，数据传输是否安全。

（五）用户安全1、用户账号管理是否规范，是否存在弱密码、长期未修改密码等情况。

2、员工是否接受过网络信息安全培训，是否具备基本的安全意识。

（六）应急响应1、是否制定了网络信息安全应急预案，是否定期进行演练。

2、在发生安全事件时，是否能够及时发现、报告和处理。

三、自检自查结果（一）物理安全方面1、机房温度、湿度基本符合要求，但防尘措施有待加强，部分机柜存在积尘现象。

2、硬件防护措施基本到位，但机柜锁存在老化损坏情况，需要及时更换。

（二）网络安全方面1、网络拓扑结构较为合理，但部分网络设备存在单点故障风险。

2、防火墙和入侵检测系统运行正常，但部分规则配置需要进一步优化，以提高安全性。

3、网络访问控制策略存在一定漏洞，发现了一些不必要的开放端口和服务，需要立即关闭。

（三）系统安全方面1、部分操作系统未能及时更新补丁，存在一定的安全隐患。

2、应用系统的安全配置需要进一步完善，用户权限管理存在一些混乱情况。