1、1附件:网络与信息安全检查工作细则一、自查工作重点检查责任制建立及落实情况、安全管理制度规范建立情况、网站和信息系统漏洞情况、技术防护措施部署情况、重要数据传输及存储备份情况等。一类、二类重点信息系统及重点单位清单见附件 1;XX 单位网站或信息系统安全检查报告(提纲)见附件 2;浙江大学网站或信息系统安全检查表见附件 3。二、整治工作针对各网站或信息系统在检查中发现的安全风险和漏洞,各主办单位要及时采取措施,落实整改,已经不用的网站和信息系统应当尽快关闭,尤其不用的论坛版块应当尽快关闭。三、安全评估学校信息中心组织力量对部分网站和信息系统进行抽查和复查。对仍然存在高危安全漏洞的网站或信息系统
2、形成评估报告并通知相关单位,限期进行安全整改。逾期未对高危漏洞进行整改的进行下线整改,直至修复漏洞。四、登记备案 各单位要对本单位及下属单位主办的所有网站或信息系统建立名录,名录格式见附件 4。学校信息中心以电子邮件形式向各单位下发各单位已经登记在册的网站和信息系2统名录。各单位要发动下属单位积极开展检查工作,认真核实所开设的网站和信息系统情况,废弃不用的要及时提出书面申请关停,实际开设但未在统计名录中的网站和信息系统要重新注册登记,网站及信息系统登记表见附件 5。各单位统计补充核实各自网站和信息系统名录后重新盖章确认并上交。五、明确责任各单位主要负责人是网络与信息安全工作的第一负责人,明确本
3、单位的网络与信息安全分管负责人,协助第一负责人履行本单位网络与信息安全职责,指定一位安全观念强、富有责任心、懂技术的工作人员担任专职或兼职信息安全员,负责日常督促、检查工作。XX 单位网络与信息安全小组名单见附件 6。六、定期检查各单位要对主办的网站和信息系统的安全状况进行定期检查,尤其各重点单位每个月要检查一次重点网站或信息系统的安全情况。各重点单位要建立网络与信息系统安全检查台帐,及时记录检查情况。网络与信息系统安全检查台帐见附件 7。七、安全管理各单位要加强对数据备份工作,定期对重要数据进行备份,各重点单位要定期比对数据的变化情况,及时发现问题。对各网站和信息系统,要定期检查清除废弃域名
4、及3无效链接,防止盗链;检查目录结构和上传文件夹,删除临时文件和无用文件,严格限制上传文件夹的读写执行权限;检查系统的运行参数及系统负荷,及时发现系统的异常情况;全面检查系统管理账户和口令,清理无关账户,杜绝空口令、弱口令和默认口令;建立管理员口令的定期更换制度和责任管理办法;检查系统日志情况,至少保存2 个月的日志信息。八、安全保护要定期检查服务器补丁更新情况,实施补丁自动更新的管理措施;关闭不必要的端口,特别是远程管理端口,停止不必要的服务和应用,部署本地服务器的安全管理策略,提高系统安全等级;对网站和信息系统中的 SQL 操作、文件上传、文件编辑、文件名输入等代码模块采取合法性检查和过滤
5、;定期查杀服务器上的病毒木马,清除木马和后门程序。4附件 1: 一类、二类重点信息系统及重点单位清单一、官方网站或公共支撑系统(一类系统)清单1、 浙江大学中英文主页2、 浙江大学求是新闻网3、浙江大学综合服务网4、浙江大学协同办公系统(校院二级)5、浙江大学统一身份认证6、浙江大学校园卡管理平台7、浙江大学个人主页8、浙江大学数据交换中心9、我的浙大二、重点网站或业务系统(二类系统)清单(一) 人事处人力资源管理系统(二) 研究生院研究生教育管理信息系统(三) 本科生院1、现代教务管理系统(含鹘鹰系统)(四) 计划财务处(含国有资产管理办公室)1、综合财务管理平台2、国有资产管理系统(五)
6、实验室与设备管理处1、设备资产管理系统2、大型仪器共享管理平台(六) 科学技术研究院5科研管理系统(科技版)(七) 社会科学研究院科研管理系统(社科版)(八) 房地产管理处房地产资源管理系统(九) 继续教育学院远程教育管理平台6附件 2: xx 单位网站或信息系统安全检查报告(提纲)一、本单位网络与信息系统安全情况总体评价概述本单位信息安全情况,对本单位信息安全状况的总体评价。二、网络与信息系统安全自查开展情况本次检查工作的开展落实情况,包括组织领导,部署安排,检查情况等,特别是重点信息系统要重点排查。三、网络与信息系统安全主要工作情况根据自查结果,逐项描述本单位在网络与信息安全制度建设、日常
7、管理、技术防范、应急处置、漏洞封堵、数据备份等方面开展的工作情况。1、制度建设和责任分工落实情况;2、日常管理和定期检查落实情况;3、安全技术防范措施及应急处置落实情况;4、网站及信息系统的漏洞封堵情况;5、重要数据传输及存储备份情况。四、自查中发现的主要问题及整改情况根据自查结果,总结分析本单位的安全管理、技术防范等方面存在的主要问题和薄弱环节,以及针对这些问题的整改措施或计划。五、对网络与信息系统安全工作的意见和建议7对学校的网络与信息安全工作以及检查工作提出意见和建议,进一步促进提高信息安全工作水平。8附件 3: 浙江大学网站或信息系统安全检查表单位名称:_ 联系人:_ 联系电话:_01
8、. 网站或信息系统名称02. 信息系统安全等级保护级别 三级 二级 一级 未定级03. 主机服务器运行维护管理方式 自行管理 委托管理04. 是否制定了信息安全规章制度? 是 否05. 是否落实了信息系统安全员? 是 否06. 是否对安全防护措施进行了评估? 是 否07. 如果开展了安全防护措施,评估结果是什么? 有效 基本有效 不足08. 本年度是否开展了网站安全风险评估或等级测试?自评估委托专业评估没有开展09. 是否进行了下列安全检查?SQL 注入攻击隐患跨站脚本攻击隐患弱口令操作系统补丁安装情况网站服务系统及其他应用系统补丁安装情况系统的运行参数及系统负荷目录结构和上传文件夹防病毒软件
9、升级情况网站或信息系统是否已被“挂马”入侵检测系统升级情况10. 是否有网页防篡改措施? 安装了防篡改系统人工监看无防篡改措施11. 是否具有边界保护措施? 防火墙 其他 无12. 是否有抗拒服务攻击措施? 是 否13. 是否安装了入侵检测系统? 是 否14. 是否安装了防病毒系统? 是 否15. 防病毒系统最近一次升级的日期 _月_日16. 是否保留了系统安全日志? 是 否17. 系统安全日志查看的周期是多少? 每月 每周9每天 偶尔查看或从不查看18. 是否有独立的安全审计系统? 是 否19. 网站或信息系统服务器和同一网段内其他服务器之间是否有访问控制措施? 是 否20. 操作系统最近一
10、次升级的日期 _月_日21. Web 服务器最近一次升级的日期 _月_日22. 数据库系统最近一次升级的日期 _月_日23. 是否关闭或删除了不必要的账户? 是 否24. 是否关闭或删除了不必要的应用? 是 否25. 是否关闭或删除了不必要的服务? 是 否26. 是否关闭或删除了不必要的端口? 是 否27. 系统管理和数据库管理的口令更换周期是多少?从未更换或偶尔更换一个月以上一个月半个月每周或更短28. 系统管理和数据库管理的口令长度是多少? 小于 8 位大于 8 位29. 是否存在多台服务器或多个账户使用同一口令的情况? 是 否30. 对网站或信息系统进行远程维护时,是否采取了加密措施?
11、是 否31. 管理员远程登陆是否采取了访问控制措施? 是 否32. 是否制定了信息安全突发事件应急预案? 是 否33. 是否根据应急预案组织过应急演练? 是 否34. 是否对重要数据采取了定期备份措施? 是 否 备份时间间隔_35. 是否对重要数据和备份数据进行定期比对? 是 否 备份时间间隔_36. 是否明确了技术支援队伍? 是 否37. 是否建立和落实了网站信息发布审核制度? 是 否38. 信息发布审核记录是否完整? 是 否39. 是否对网站和信息系统安全进行定期检查? 是 否40. 对本次检查中发现问题的整改比例 _10附件 4:xx 单位网站或信息系统名录填报日期: 年 月 日序号 网站或信息系统名称 域名 IP 地址 联系人 联系电话 备注注:1、各单位对本单位所有网站或信息系统进行梳理登记;2、不需保留的网站或信息系统请及时向信息中心申请注销;单位名称(章):
