网络安全检查表
填表单位 一、部门基本情况 部门名称 联系人 盖章 姓 名 联系方式 座机 手机 分管网络安全工作的领导 ①姓名:______秋桑_________ (如副部长) ②职务:_______________ 网络安全管理机构 (如办公室) ①名称:_____办公室______________ ②负责人:_____________ 职务:________________ ③联系人:_____________ 办公电话:________________ 移动电话:________________ ①名称:_____网络信息中心______________ ②负责人:_____________ 办公电话:________________ 移动电话:________________ ①本单位网络安全从业人员总数:_______,其中有网络安全从业资质的人员数量:_____1__ ②网络安全从业人员缺口:_______ 网络安全专职工作处室 (如网络安全处) 网络安全从业人员 二、信息系统基本情况 ①信息系统总数:________________ ②网络连接情况 与其它网络物理隔离的系统数量:_________ 应用系统名称_________,本单位使用终端_______个 可以通过电子政务外网访问的系统数量:_________ 信息系统情况 应用系统名称_________,本单位使用终端_______个 可以通过互联网访问的系统数量:_________ 应用系统名称_________,本单位使用终端_______个 ③面向社会公众提供服务的系统数量:_________ ④本年度经过安全测评的系统数量:_________ (如有多个应用系统,可在此表项内增加应用系统名称,每个系统均应填写) 互联网接入 互联网接入口总数:_____ 共30页
情况 □接入中国联通接入口数量:_____ 接入带宽:_______MB □接入中国电信接入口数量:_____ 接入带宽:_______MB □其他:________接入口数量:_____ 接入带宽:_______MB 第一级:_______个第二级:_______个 第三级:_______个已开展年度测评_______个测评通过率______ 第四级:_______个已开展年度测评_______个测评通过率______ 第五级:_______个已开展年度测评_______个测评通过率______ 未定级:_______个 ①岗位网络安全责任制度:□已建立 □未建立 系统等级 保护情况 三、网络安全日常管理情况(如有多个系统,可扩展此项) ②重点岗位人员安全保密协议:□全部签订 □部分签订 □均未签订 ③人员离岗离职安全管理规定:□已制定 □未制定 ④外部人员访问机房等重要区域审批制度:□已建立 □未建立 ①资产管理制度:□已建立 □未建立 ②设备维修维护和报废管理: □已建立管理制度,且记录完整 □已建立管理制度,但记录不完整 □未建立管理制度 规划制定情况(单选): □制定了部门的网络安全规划 □在部门总体发展规划中涵盖了网络安全规划 □无 ①网络安全防护设备部署(可多选): □防火墙 □访问控制设备 □入侵防御设备 □入侵检测设备 □安全审计设备 □防病毒网关 □流量控制设备 □抗拒绝服务攻击设备 □其它:________________________ ②设备安全策略配置:□使用默认配置 □根据需要配置 ③网络访问日志:□留存日志 留存时间:________ □未留存日志 ①本单位使用无线路由器数量: ②无线路由器用途: □访问互联网:_______个 □访问电子政务外网:_______个 □访问业务/办公网络:_______个 ③安全防护策略(可多选): □采取身份鉴别措施 □采取地址过滤措施 人员管理 资产管理 网络安全规划 四、网络安全防护情况(如有多个系统,可扩展此项) 网络边界 安全防护 无线网络 安全防护 —2—
□未设置安全防护策略 ④无线路由器使用默认管理地址情况:□存在 □不存在 ⑤无线路由器使用默认管理口令情况:□存在 □不存在 ①门户网站域名:_www.abzj.net__________________________________ 党政机关网 □是 √否 加挂党政机关网站标识情况 □是 □否 ②门户网站IP地址:______221.10.42.144_____________________________ ③本单位及其内设机构具有独立域名的网站域名: _____________________________________________(可另附页) ④网页防篡改措施:√采取 □未采取 ⑤漏洞扫描:□定期,周期 √不定期 □未进行 ⑥信息发布管理:√已建立审核制度,且记录完整 □已建立审核制度,但记录不完整 □未建立审核制度 ⑦运维方式:√自行运维 □委托第三方运维 ⑧域名解析系统情况:□自行建设 √委托第三方:________________ ①建设方式:√自行建设 □使用第三方服务邮件服务提供商 ②帐户数量: 个 ③注册管理:□须经审批 □任意注册 ④口令管理:□使用技术措施控制口令强度 □没有采取技术措施控制口令强度 ⑤安全防护:(可多选) □采取病毒木马防护措施 □部署防火墙、入侵检测等设备 □采取反垃圾邮件措施 □其他: ①管理方式: □集中统一管理(可多选) □规范软硬件安装□统一补丁升级□统一病毒防护 □统一安全审计 □对移动存储介质接入实施控制 终端计算机 安全防护 □统一身份管理 □分散管理 ②接入互联网安全控制措施: □有控制措施(如实名接入、绑定计算机IP和MAC地址等) 终端网络隔离措施:____________________________ □无控制措施 ③接入电子政务外网安全控制措施: □有控制措施(如实名接入、绑定计算机IP和MAC地址等) 网站 安全防护 电子邮件 安全防护 —3—
终端网络隔离措施:____________________________ □无控制措施 ④接入办公系统安全控制措施: □有控制措施(如实名接入、绑定计算机IP和MAC地址等) 终端网络隔离措施:____________________________ □无控制措施 ①管理方式: √集中管理,统一登记、配发、收回、维修、报废、销毁 移动存储介质 □未采取集中管理方式 安全防护 ②信息销毁: □已配备信息消除和销毁设备 √未配备信息消除和销毁设备 重要漏洞 修复情况 重大漏洞处置率:_____________处置平均时长: ______________ 五、网络安全应急工作情况 应急预案 应急演练 □已制定本年度修订情况:□修订 □未修订 □未制定 □本年度已开展,演练时间:_____________ □本年度未开展 ①数据备份: □采取备份措施,备份周期:□实时,□日,□周,□月,√不定期 □未采取备份措施 ②系统备份: 采取实时备份措施的系统数量:________________ 未采取系统备份措施的系统数量: ________________ □本部门所属 □外部服务机构 □无 灾难备份 应急技术 队伍 培训次数 培训人数 六、网络安全教育培训情况 本年度开展网络安全教育培训的次数:_____ 本年度参加网络安全教育培训的人数:_____ 占本部门总人数的比例:_____% 七、信息技术产品使用情况 ①总台数:__________ ②品牌情况:国内品牌台数:______,其中,使用国产CPU的台数:______ 国外品牌台数:______ ③操作系统情况:使用国产操作系统的台数:______ 使用国外操作系统的台数:______ ①总台数:___________ 服务器 终端计算机 —4—
(含笔记本) ②品牌情况:国内品牌台数:______,其中,使用国产CPU的台数:______ 国外品牌台数:______ ③操作系统情况:使用国产操作系统的台数:______ 使用国外操作系统的台数:______ 其中,使用Windows XP的台数:______ ④安装国产字处理软件的终端计算机台数:______ ⑤安装国产防病毒软件的终端计算机台数:______ 路由器 ①总台数:__________ ②品牌情况:国内品牌台数:______ 国外品牌台数:______ ①总台数:__________ ②品牌情况:国内品牌台数:______ 国外品牌台数:______ ①总台数:__________ ②品牌情况:国内品牌台数:______ 国外品牌台数:______ ①总套数:__________ ②品牌情况:国内品牌台数:______ 国外品牌台数:______ 总数:__________ 邮件系统 品牌:_______________ 数量:______ 品牌:_______________ 数量:______ 交换机 存储设备 数据库 管理系统 总数:__________ 负载均衡设备 品牌:_______________ 数量:______ 品牌:_______________ 数量:______ 防火墙 总数:__________ 品牌:_______________ 数量:______ 品牌:_______________ 数量:______ 总数:__________ 入侵检测设备 品牌:_______________ 数量:______ (入侵防御) 品牌:_______________ 数量:______ 总数:__________ 安全审计设备 品牌:_______________ 数量:______ 品牌:_______________ 数量:______ 八、商用密码使用情况 ①密码功能用途(可多选): □身份认证 □访问控制 □电子签名 □安全审计 —5—
□传输保护 □存储保护 □密钥管理 ②密码机数量:______ 密码系统数量:______ 智能IC卡数量:______ 智能密码钥匙数量:______ 动态令牌数量:______ ③所采用的密码算法: 对称算法:SM1___个 SM4___个 SM7___个 AES___个 DES___个 3DES___个 非对称算法:SM2___个 SM9___个 RSA1024___个 RSA2048___个 杂凑算法:SM3___个 SHA-1___个 SHA-256___个 SHA-384___个 SHA-512___个 MD5___个 其它:____________________________________________________________ 九、网络安全经费预算投入情况 经费保障 ①上一年度网络安全预算:_______万元,实际到位情况:_______万元 ②本年度信息化建设总预算(含网络安全预算):_______万元,其中网络安全预算:_______万元 十、本年度技术检测及网络安全事件情况 渗透测试 进行渗透测试的系统数量:________________ 其中,可以成功控制的系统数量:________________ ①进行病毒木马等恶意代码检测的服务器台数:___________ 其中,存在恶意代码的服务器台数:___________ ②进行病毒木马等恶意代码检测的终端计算机台数:_________ 其中,存在恶意代码的终端计算机台数:___________ ①进行漏洞扫描的服务器台数:___________ 其中,存在高风险漏洞2的服务器台数:___________ ②进行漏洞扫描的终端计算机台数:___________ 其中,存在高风险漏洞的终端计算机台数:___________ 安全防护设备检测到的门户网站受攻击次数:___________ 门户网站网页被篡改(含内嵌恶意代码)次数:______0_____ 恶意代码1技术检测情况 检测 安全漏洞 检测结果 门户网站受攻击情况 网页被篡 改情况 网络安全事件情况 十一、信息技术外包服务机构情况(包括参与技术检测的外部专业机构) 外包服务机构1 机构名称 机构性质 □国有单位 □民营企业 □外资企业
1
本表所称恶意代码,是指病毒木马等具有避开安全保护措施、窃取他人信息、损害他人计算机及信息系统资源、对他人计算机及信息系统实施远程控制等功能的代码或程序。 2
本表所称高风险漏洞,是指计算机硬件、软件或信息系统中存在的严重安全缺陷,利用这些缺陷可完全控制或部分控制计算机及信息系统,对计算机及信息系统实施攻击、破坏、信息窃取等行为。
—6—
服务内容 □系统集成 □系统运维 □风险评估 □安全检测 □安全加固 □应急支持 □数据存储 □灾难备份 □其他:____________ □已签订 □未签订 □已通过认证 认证机构:______________________ □未通过认证 □国有单位 □民营企业 □外资企业 □系统集成 □系统运维 □风险评估 □安全检测 □安全加固 □应急支持 □数据存储 □灾难备份 □其他:____________ □已签订 □未签订 □已通过认证 认证机构:______________________ □未通过认证 网络安全保密协议 信息安全管理体系 认证情况 机构名称 机构性质 服务内容 外包服务机构2 网络安全保密协议 信息安全管理体系认证情况 (如有2个以上外包机构,每个机构均应填写,可另附页) —7—
附件2
网络安全管理工作自评估表
填表单位: (盖章) 联系人: 电话: 评估指标 评价要素 评价标准 权重指标 (V) 属性 量化方法(P为量化值) 已明确,本年度就网络安全工作作出批示或主持召开专题会议,P = 1; 3 定性 已明确,本年度未就网络安全工作作出批示或主持召开专题会议,P = 0.5; 尚未明确,P = 0。 网络安全 指定一个机构具体承担网络安全管理工作。 管理机构 (管理机构应为本部门二级机构)网络安全员 网络 安全 日常 管理 规章制度 各内设机构指定一名专职或兼职网络安全员。 建立网络安全管理制度体系,涵盖人员管制度完整性 理、资产管理、采购管理、外包管理、教育培训等方面。 制度发布 安全管理制度以正式文件等形式发布。 2 3 2 已指定,并以正式文件等形式明确其定性 职责,P = 1; 未指定,P = 0。 2 定量 P = 指定网络安全员的内设机构数量与内设机构总数的比率。 制度完整,P = 1; 定性 制度不完整,P = 0.5; 无制度,P = 0。 定性 符合,P = 1;不符合,P = 0。 2 3 评估得分 (V×P) 网络安全 明确一名主管领导负责本部门网络安全工作(主管领导应为本部门正职或副职领主管领导 导)。 网络安全组织管理 —8—
评估指标 评价要素 重点岗位人评价标准 权重指标 (V) 属性 定量 量化方法(P为量化值) P = 重点岗位人员中签订网络安全与保密协议的比率。 符合,P = 1; 不符合,P = 0。 符合,P = 1; 不符合,P = 0。 评估得分 (V×P) 重点岗位人员(系统管理员、网络管理员、2 员签订安全网络安全员等)签订网络安全与保密协议。 保密协议 人员管理 人员离岗离人员离岗离职时,收回其相关权限,签署职管理措施 安全保密承诺书。 2 定性 定性 外部人员访外部人员访问机房等重要区域时采取审人员管理 2 问管理措施 批、人员陪同、进出记录等安全管理措施。 责任落实 网络 安全 日常 管理 资产管理 建立台账 指定专人负责资产管理,并明确责任人职责。 建立完整资产台账,统一编号、统一标识、统一发放。 2 2 2 定性 符合,P = 1;不符合,P = 0。 定性 符合,P = 1;不符合,P = 0。 定性 符合,P = 1;不符合,P = 0。 记录完整,P = 1; 定性 记录基本完整,P = 0.5; 记录不完整或无记录,P = 0。 定性 符合,P = 1; 不符合,P = 0。 账物符合度 资产台账与实际设备相一致。 设备维修维完整记录设备维修维护和报废信息(时间、2 护和报废管地点、内容、责任人等)。 理措施 外包管理 外包服务协议 与信息技术外包服务提供商签订网络安全与保密协议,或在服务合同中明确网络安全与保密责任。 2 —9—
评估指标 评价要素 评价标准 权重指标 (V) 属性 2 量化方法(P为量化值) 记录完整,P = 1; 评估得分 (V×P) 现场服务管现场服务过程中安排专人管理,并记录服理 务过程。 外包开发管外包开发的系统、软件上线前通过信息安理 全测评。 原则上不得采用远程在线方式,确需采用定性 记录不完整,P = 0.5; 无记录,P = 0。 P =外包开发的系统、软件上线前通过信息安全测评的比率。 符合,P = 1; 不符合,P = 0。 符合,P = 1; 不符合,P = 0。 符合,P = 1; 不符合,P = 0。 符合,P = 1; 不符合,P = 0。 符合,P = 1; 不符合,P = 0。 2 定量 运维服务方时采取书面审批、访问控制、在线监测、式 日志审计等安全防护措施。 经费保障 网络 安全 日常 管理 信息 安全 防护 管理 物理环境 安全 经费预算 将网络安全设施运维、日常管理、教育培训、检查评估等费用纳入年度预算。 2 定性 3 2 定性 定性 网站内容 网站信息发网站信息发布前采取内容核查、审批等安布 全管理措施。 管理 配备必要的电子信息消除和销毁设备,对电子信息 介质销毁和变更用途的存储介质进行信息消除,对废信息消除 管理 弃的存储介质进行销毁。 具备防盗窃、防破坏、防雷击、防火、防机房安全 水、防潮、防静电及备用电力供应、温湿度控制、电磁防护等安全措施。 物理访问控机房配备门禁系统或有专人值守。 制 1 定性 2 定性 1 定性 符合,P = 1;不符合,P = 0。 —10—
评估指标 评价要素 评价标准 权重指标 (V) 属性 3 量化方法(P为量化值) 符合,P = 1; 评估得分 (V×P) 网络边界部署访问控制设备,能够阻断非访问控制 授权访问。 网络边界部署入侵检测设备,定期更新检测规则库。 网络边界部署安全审计设备,对网络访问情况进行定期分析审计并记录审计情况。 定性 有设备,但未配置策略,P = 0.5; 无设备,P = 0。 符合,P = 1; 网络边界 安全 入侵检测 2 定性 有设备,但未定期更新,P = 0.5; 无设备,P = 0。 符合,P = 1; 安全审计 2 定性 有设备,但未定期分析,P = 0.5; 无设备,P = 0。 符合,P = 1; 不符合,P = 0。 符合,P = 1; 互联网接入各单位同一办公区域内互联网接入口不超口数量 过2个。 2 定性 恶意代码防部署防病毒网关或统一安装防病毒软件,设备安全 护 并定期更新恶意代码库。 2 定性 有设备,但未定期更新,P = 0.5; 无设备,P = 0。 扫描周期小于1个月,P = 1; 扫描周期为2到3个月,P = 0.5; 扫描周期为4到6个月,P = 0.2; 其他,P = 0。 信息 安全 防护 管理 设备安全 设备漏洞扫定期对服务器、网络设备、安全设备等进描 服务器 行安全漏洞扫描。 2 定性 配置口令策略保证服务器口令强度和更新口令策略 频率。 1 定量 P = 配置了口令策略的服务器比率。 —11—
评估指标 评价要素 服务器 安全审计 服务器 评价标准 启用安全审计功能并进行定期分析。 权重指标 (V) 属性 1 2 定量 定量 量化方法(P为量化值) P = 对安全审计日志进行定期分析的服务器比率。 P = 补丁得到及时更新的服务器比率。 P = 网络设备和安全设备(指重要设备)中配置了口令策略的比率。 符合,P = 1; 不符合,P = 0。 符合,P = 1; 不符合,P = 0。 扫描周期小于1个月,P = 1; 评估得分 (V×P) 及时对服务器操作系统补丁和数据库管理补丁更新 系统补丁进行更新。 网络设备和配置口令策略保证网络设备和安全设备口安全设备口令强度和更新频率。 令策略 终端计算机 采取集中统一管理方式对终端进行防护,统一防护 统一软件下发、安装系统补丁。 终端计算机 接入控制 采取技术措施(如部署集中管理系统、将IP地址与MAC地址绑定等)对接入本单位网络的终端计算机进行控制。 1 定量 2 定性 1 定性 应用系统安定期对服务器、网络设备、安全设备等进应用系统 全漏洞扫描 行安全漏洞扫描。 安全 门户网站防 篡改措施 信息 安全 应用系统 安全 门户网站抗拒绝服务攻门户网站采取抗拒绝服务攻击措施。 击措施 门户网站采取网页防篡改措施。 2 定性 扫描周期为2到3个月,P = 0.5; 扫描周期为4到6个月,P = 0.2; 其他,P = 0。 符合,P = 1; 不符合,P = 0。 符合,P = 1; 不符合,P = 0。 2 定性 1 定性 —12—
评估指标 防护 管理 评价要素 评价标准 权重指标 (V) 属性 1 1 1 2 2 2 1 定性 定性 量化方法(P为量化值) 符合,P = 1; 不符合,P = 0。 符合,P = 1; 不符合,P = 0。 符合,P = 1; 不符合,P = 0。 符合,P = 1; 不符合,P = 0。 评估得分 (V×P) 电子邮件账建立邮件账号开通审批程序,防止邮件账号注册审批 号任意注册使用。 电子邮箱账配置口令策略保证电子邮箱口令强度和更户口令策略 新频率。 邮件清理 定期清理工作邮件。 数据存储保采取技术措施(如加密、分区存储等)对护 存储的重要数据进行保护。 数据传输保采取技术措施对传输的重要数据进行加密护 和校验。 数据和系统采取技术措施对重要数据和系统进行定期备份 备份。 数据中心、灾数据中心、灾备中心应设立在境内。 备中心设立 制定网络安全事件应急预案(为部门级预应急预案 案,非单个信息系统的安全应急预案),并使相关人员熟悉应急预案。 定性 符合,P = 1;不符合,P = 0。 定性 定性 数据安全 定性 符合,P = 1;不符合,P = 0。 定性 符合,P = 1; 不符合,P = 0。 符合,P = 1; 不符合,P = 0。 符合,P = 1; 不符合,P = 0。 符合,P = 1; 不符合,P = 0。 2 定性 网络安全应急管理 应急演练 应急资源 开展应急演练,并留存演练计划、方案、记录、总结等文档。 2 定性 定性 指定应急技术支援队伍,配备必要的备机、1 备件等应急物资。 —13—
评估指标 评价要素 评价标准 发生网络安全事件后,及时向主管领导报权重指标 (V) 属性 2 量化方法(P为量化值) 评估得分 (V×P) 网络安全应急管理 事件处置 告,按照预案开展处置工作;重大事件及时通报网络安全主管部门。 面向全体人员开展网络安全形势与警示教育、基本技能培训等活动。 定期开展网络安全管理人员和技术人员专业培训。 下发检查工作相关文件或者组织召开专题会议,对年度检查工作进行部署。 发生过事件并按要求处置,或者未发定性 生过安全事件,P = 1; 发生过事件但未按要求处置,P = 0。 本年度开展活动的次数≥3,P = 1; 次数=2,P = 0.7; 次数=1,P = 0.3; 次数=0,P = 0。 P = 本年度网络安全管理和技术人员中参加专业培训的比率。 符合,P = 1; 不符合,P = 0。 符合,P = 1; 不符合,P = 0。 符合,P = 1; 不符合,P = 0。 意识教育 网络安全教育培训 专业培训 工作部署 3 定量 3 2 2 2 2 定量 定性 定性 定性 网络安全检查 明确检查工作负责人、检查机构和检查人工作机制 员。 技术检测 使用技术手段进行安全检测。 检查经费 安排并落实检查工作经费。 评估得分合计 定性 符合,P = 1;不符合,P = 0。 —14—
附件3
重点行业网络安全检查结果统计表
一、行业基本情况 行业名称: ①名称:___________________ ②负责人:_____________ 职务:________________ 行业网络安全管理机构 ③联系人:_____________ 办公电话:________________ 移动电话:________________ 二、行业网络安全管理情况 本年度开展的网络安全培训次数:___________________ 培训情况 培训人数:___________________ ①行业网络安全应急预案:□已建立 □本年度进行过修订 应急工作情况 □未修订 □未建立 ②本年度开展行业网络安全应急演练次数: 本年度开展面向全行业的网络安全技术检测次数: 技术检测情况 其中,按照检测结果进行整改的系统比例: 行业网络安全通报机制:□已建立 □未建立 ①规划制定情况(单选): □制定了部门的网络安全规划 规划和标准化工作情况 □在部门总体发展规划中涵盖了网络安全规划 □无 ②行业标准化情况(单选): 网络安全通报机制建设 —15—
□建立了行业网络安全标准化工作机制 □无 ①本单位网络安全从业人员总数:_______,其中有网络安全从业网络安全从业人员 资质的人员数量:_______ ②网络安全从业人员缺口:_______ 本年度信息化建设总预算(含网络安全预算):_______万元 经费保障 其中网络安全预算:_______万元 三、行业重要系统安全情况 重要系统总数:______ ①信息系统数量:______ 系统类型 ②工业控制系统数量:______ ①面向社会公众提供服务的系统数量:______ 服务对象 基本情况 联网情况 ②不面向社会公众提供服务的系统数量:______ ①通过互联网可直接访问的系统数量:______ ②通过互联网不能直接访问的系统数量:______ 其中,与互联网物理隔离的系统数量:______ ①全国数据集中的系统数量:______ ②省级数据集中的系统数量:______ 数据集中情况 ③未进行数据集中的系统数量:______ ④数据存放在境外的系统数量:______ ①可容忍中断时间小于30分钟的系统数量:______ 业务连续性 基本情况 灾难备份情况 ②可容忍中断时间大于30分钟、小于12小时的系统数量:______ ③可容忍中断时间大于12小时的系统数量:______ ①进行系统级灾备的系统数量:______ ②仅对数据进行灾备的系统数量:______ —16—
③无灾备的系统数量:______ ①采用远程在线方式进行运行维护的系统数量:______ ②由国内机构提供运行维护服务的系统数量:_______ 外包服务情况 ③由国外机构提供运行维护服务的系统数量:______ ④由国内机构提供云计算服务的系统数量:______ ⑤由国外机构提供云计算服务的系统数量:______ 第一级:_______个第二级:_______个 第三级:_______个已开展年度测评_______个测评通过率______ 系统等级 保护情况 第五级:_______个已开展年度测评_______个测评通过率______ 未定级:_______个 主要硬件和软件产品 国内品牌数量 (台/套) 国外品牌数量 (台/套) 系统 构成情况 密码 设备 国内品牌数量 (台/套) 国外品牌数量 (台/套) 服务器 密码机 路由器 交换机 智能IC卡 防火墙 智能密码钥匙 磁盘阵列 磁带库 密码系统 操作系统 数据库 动态令牌 第四级:_______个已开展年度测评_______个测评通过率______ ①自主设计开发(不含二次开发)的套数:______ 在用业务应用 ②委托国内厂商开发的套数:______ 软件系统 委托国外厂商开发的套数:______ ③直接采购国内厂商产品的套数:______ —17—
直接采购国外厂商产品的套数:______ 四、本年度网络安全事件 特别重大网络安全事件次数:______ 网络安全事件3 情况 重大网络安全事件次数:______ 较大网络安全事件次数:______ 一般网络安全事件次数:______ 3
网络安全事件分级标准参见《国家网络与信息安全事件应急预案》(国办函〔2008〕168号)
—18—
附件4
重点网络与信息系统商用密码检查情况汇总表
汇总单位 联系人 基本情况 自查单位数量 本地区、信息系本部统数量门 (个) 合 计 二 级 三 级 四 级 个 密码机类 密码系统类 智能IC卡 智能密码钥匙 动态令牌 其他密码产品 合 计 国内 国外 国内 国外 国内 国外 国内 国外 国内 国外 国内 国外 合 计 抽查信息系统数量(个) 填表日期: 年 月 日
阿坝州中等职业技术学校 联系电话 (座机、手机) 抽查情况 二 级 三 级 四 级 合 计 个 密码机类 密码系统类 国内 国外 国内 国外 国内 国外 国内 国外 国内 国外 国内 国外 密码设备数量统计(台、套、个) 密码设备数量统计智能IC卡 (台、套、个) 智能密码钥匙 动态令牌 其他密码产品 国内: 台、套、个 国外: 台、套、个 国内: 台、套、个 国外: 台、套、个 —19—
注:统计密码设备时,国内指取得国家密码管理局型号的产品,
国外指未取得国家密码管理局型号的产品(包括国外的产品)。
—20—
附件5
重点网络与信息系统商用密码检查情况表
一、填报单位信息 单位名称 行业主管部门 联系人 二、系统基本情况 网络或系统名称 类别 功能简介 (不超过200字) 用户数量 上线时间 操作系统 集成单位 运维单位 安全保护等级 □政务信息系统 √基础信息网络 □重要信息系统 □重要工业控制系统 √自行维护 □外包 若为外包,单位名称:
部署范围 □全国 □全省 □本地区 □本单位 阿坝州中等职业技术学校 阿坝州教育局 是否接入互联网 √是 □否 √Windows □Linux □Unix □其他
是否开展过系统测评?□是 √否; 如有,测评机构名称: 测评证书(报告)编号: 是否使用了密码设备或含有密码技术的信息安全产品?□是 □否 密码机 □无 □有 台密码系统 □无 □有 台(套) (套) 智能IC卡 □无 □有 台智能密码钥匙 □无 □有 台—21—
(套) (套) (套) 动态令牌 □无 □有 台 网络存储设备 □无 □有 台服务器 □无 □有 台(套) (套) (套) 产品名其他 称 产品名称 系统实现的密码功能: □安全门禁 □安全访问路径 □身份鉴别 □访问控制 □安全审计 □程序安全 □传输保护 □存储保护 □密钥管理 系统中使用的密码算法: 对称算法: □SM1 □SM4 □SM7 □AES □DES □3DES 非对称算法:□SM2 □SM9 □RSA1024 □RSA2048 杂凑算法: □SM3 □SHA-1 □SHA-256 □SHA-384 □SHA-512 □MD5 其它算法: 三、密码设备使用情况 类型 密码产品产品数名称 型号 量 生产厂商 及国别 使用的密码算法 主要用途 (套) (套) (套) 数量 数量 台(套) 台(套) 交换机 □无 □有 台路由器 □无 □有 台网关 □无 □有 台防火墙 □无 □有 台机类 —22—
密码 系统类 智能 IC卡 智能密码 钥匙 动态 令牌 其他 □系统使用了 (台/套)密码设备;其中,取得国家密码设备使用综合情况 密码管理局审批型号的数量 (台/套),未取得国家密码管理局审批型号的国内产品数量 (台/套),国外产品数量 (台/套)。 □系统未使用密码设备。 四、含有密码模块的软硬件设备使用情况 类型 含VPN的路由器 含VPN的防—23—
产品 名称 产品型数号 量 生产厂商及国别 使用的密码算法 主要用途 火墙 安全安全隔离与信息交换 网络安全存储 安全操作系统 安全数据库 网络通信类 可信(安全)计算 其他 备注:1. 表中的“密码机类”主要包括以下产品:IPSec/SSL VPN密码机、网络密码机、链路密码机、密码认证网关、存储加密机、磁带库/磁盘阵列存储加密机、密钥管理密码机、终端密钥分发器、量子密码机、服务器密码机、终端密码机、金融数据密码机、签名验证服—24—
网关 务器、税控密码机、支付服务密码机、传真密码机、电话密码机等。
2. 表中的“密码系统”主要包括以下系统:动态令牌认证系统、数字证书认证系统、证书认证密钥管 理系统、IC卡密钥管理系统、身份认证系统、数据加密传输系统、密码综合服务系统、密码设备管理系统等。
3. 表中的“网络通信”主要包括以下产品:无线接入点、无线上网卡、加密电话机、加密传真机、加密VOIP终端等。
4. 表中“密码设备使用情况”的“产品型号”栏,应填写国家密码行政主管部门审批的商用密码产品型号,若产品无商用密码产品型号,可填写产品相关资质证书上标注的型号或生产厂家自定义的型号。
5. 每个系统应填写一张表,表中的设备栏目填写不下时,可自行增行或附页。
—25—
因篇幅问题不能全部显示,请点此查看更多更全内容