政府网站安全现状自查表.docVIP

PAGE 附件： 网站安全现状自查表 一级 指标 二级 指标 三级 指标 分数 细则 自评分 自核详细情况说明 组织领导 架构与 管理(20分) 领导层 （3分） 主管设置 1 1、是否有负责网站安全的主管领导（1分）； 工作职能 2 2、每年有具体的工作意见或工作方案（2分）； 机构 设置 （5分） 机构建设 2 3、是否设立网站安全工作机构（1分）； 4、网站安全工作机构工作制度健全，主要工作有记录、有档案（1分）； 人员安排 3 5、安全工作机构是否有固定的工作人员和明确的分工（2分）； 6、部门专职负责信息安全管理的人员是否达到至少两人的要求（1分）； 部门 工作 （5分） 沟通情况 1 7、信息安全管理部门与各部门之间是否就系统安全运行维护工作进行及时沟通（1分）； 工作指导 2 8、信息安全管理部门是否定期派人对系统及网站进行安全漏洞扫描并及时指导打补丁工作（2分）； 监督实施 2 9、信息安全部门是否定期派人监督检查系统及网站防范措施的实施（1分）； 10、网站信息发布是否先审后发（1分）； 人员 管理 （7分） 培训 3 11、每年是否有对业务、技术人员进行安全宣传、教育及培训（2分）； 12、安全负责人是否定期进行安全知识学习（1分）； 岗位设置 1 13、是否根据工作需要设置不同的系统及网站维护和安全管理岗位（1分）； 数据管理 人员 3 14、作为数据管理员，是否按职能分配数据库管理权限（1分）； 15、作为数据库管理员，是否经常备份数据（1分）； 16、人员调离后，是否更换管理口令和机要锁（1分）； 运行机制管理(35分) 安全 保障 制度 （5分） 制度制定 5 17、是否有网站安全应急预案（1分）； 18、是否有信息加载更新和保密审查管理制度（1分）； 19、是否有网站运行维护管理制度（1分）； 20、是否有机房管理制度（1分）； 21、是否有设备使用管理制度（1分）； 设备 管理 （8分） 机房管理 4 22、机房是否采取有效的防水、防火、防雷、防静电等措施（2分）； 23、机房是否配置专门的配线间或配线柜（1分）； 24、机房是否有专用的空调设备（1分）； 网络设备管理 4 25、是否有防火墙、入侵检测等边界防护设备（2分）； 26、路由器、交换机、防火墙、入侵检测等设备配置是否安全（网络设备是否有管理密码、是否禁用掉不必要的服务，对可访问设备的IP进行限制）（2分） 软件 管理 （7分） 应用软件及相关软件 4 27、使用操作系统、数据库、应用软件、设备软件是否是正版（1分）； 28、是否对操作系统、数据库及相关软件禁用不必要的帐户和服务，是否进行及时升级打补丁（1分）； 29、是否安装防火墙或杀毒软件，杀毒软件是否及时更新病毒库（2分）； 相关信息 安全防护 3 30、口令的强度（1分）； 31、重要栏目是否具有身份标识和鉴别功能（1分）； 32、是否定期对操作系统、数据库进行稽核审查，分析与安全有关的事件，堵塞安全漏洞（1分）； 数据 管理 （15分） 数据库 管理 6 33、数据库是否存在过期用户账号（1分）； 34、是否设置数据库失败登陆尝试次数（1分）； 35、是否设置数据库登录连接超时（1分）； 36、是否有数据库身份认证措施（1分）； 37、是否对存有重要业务数据的主机实现了对输入、输出介质的控制（1分）； 38、跨区敏感数据的传输线路是否建立了VPN通道（1分）； 后台数据 信息管理 6 39、管理界面密码复杂度是否有要求（1分）； 40、是否根据信息的敏感程度和业务重要程度对数据进行分类（1分）； 41、服务器与后端数据库服务器之间是否建立了安全传输通道（1分）； 42、网站后台管理是否增加权限（1分）； 43、登录页面是否使用验证码（1分）； 44、是否使用数字证书和使用软键盘输入密码（1分）； 数据备份 3 45、是否制定完善的灾难恢复与备份计划（1分）； 46、关键业务数据是否进行实时备份（1分）； 47、冷备份的数据、设备是否进行异地存放（1分）； 技术防范措施(45分) 网站 嵌入 技术 分析 (11分) 网站整体 检测 3 48、域名是否恰当（1分）； 49、链接性能（1分）； 50、访问速度（1分）； 网站技术 分析 4 51、是否使用CSS样式（可以提高数据库构建的完整程度）（1分）； 52、是否使用XRML技术（可以提高网站的安全性）（1分）； 53、分析不同开发技术（ASP、PHP、JSP等）开发是否留有“后门”程序（2分）； SQL注入 检测 4 54、对网站输入框和地址栏进行 SQL 注入测试，检查是否有错误信息返回并暴露敏感信息(2分)； 55、检查网站是否存在 SQL 注入漏洞（是者不得分；否得2分）。注：攻击者可以把 SQL 命令插入到