网络与信息安全检查工作细则-浙江大学信息化服务.doc

PAGE PAGE 11 附件：网络与信息安全检查工作细则 一、自查工作 重点检查责任制建立及落实情况、安全管理制度规范建立情况、网站和信息系统漏洞情况、技术防护措施部署情况、重要数据传输及存储备份情况等。一类、二类重点信息系统及重点单位清单见附件1；XX单位网站或信息系统安全检查报告（提纲）见附件2；浙江大学网站或信息系统安全检查表见附件3。 二、整治工作 针对各网站或信息系统在检查中发现的安全风险和漏洞，各主办单位要及时采取措施，落实整改，已经不用的网站和信息系统应当尽快关闭，尤其不用的论坛版块应当尽快关闭。 三、安全评估 学校信息中心组织力量对部分网站和信息系统进行抽查和复查。对仍然存在高危安全漏洞的网站或信息系统形成评估报告并通知相关单位，限期进行安全整改。逾期未对高危漏洞进行整改的进行下线整改，直至修复漏洞。 四、登记备案 各单位要对本单位及下属单位主办的所有网站或信息系统建立名录，名录格式见附件4。学校信息中心以电子邮件形式向各单位下发各单位已经登记在册的网站和信息系统名录。各单位要发动下属单位积极开展检查工作，认真核实所开设的网站和信息系统情况，废弃不用的要及时提出书面申请关停，实际开设但未在统计名录中的网站和信息系统要重新注册登记，网站及信息系统登记表见附件5。各单位统计补充核实各自网站和信息系统名录后重新盖章确认并上交。 五、明确责任 各单位主要负责人是网络与信息安全工作的第一负责人，明确本单位的网络与信息安全分管负责人，协助第一负责人履行本单位网络与信息安全职责，指定一位安全观念强、富有责任心、懂技术的工作人员担任专职或兼职信息安全员，负责日常督促、检查工作。XX单位网络与信息安全小组名单见附件6。 六、定期检查 各单位要对主办的网站和信息系统的安全状况进行定期检查，尤其各重点单位每个月要检查一次重点网站或信息系统的安全情况。各重点单位要建立网络与信息系统安全检查台帐，及时记录检查情况。网络与信息系统安全检查台帐见附件7。 七、安全管理 各单位要加强对数据备份工作，定期对重要数据进行备份，各重点单位要定期比对数据的变化情况，及时发现问题。对各网站和信息系统，要定期检查清除废弃域名及无效链接，防止盗链；检查目录结构和上传文件夹，删除临时文件和无用文件，严格限制上传文件夹的读写执行权限；检查系统的运行参数及系统负荷，及时发现系统的异常情况；全面检查系统管理账户和口令，清理无关账户，杜绝空口令、弱口令和默认口令；建立管理员口令的定期更换制度和责任管理办法；检查系统日志情况，至少保存2个月的日志信息。 八、安全保护 要定期检查服务器补丁更新情况，实施补丁自动更新的管理措施；关闭不必要的端口，特别是远程管理端口，停止不必要的服务和应用，部署本地服务器的安全管理策略，提高系统安全等级；对网站和信息系统中的SQL操作、文件上传、文件编辑、文件名输入等代码模块采取合法性检查和过滤；定期查杀服务器上的病毒木马，清除木马和后门程序。 附件1： 一类、二类重点信息系统及重点单位清单 一、官方网站或公共支撑系统（一类系统）清单 浙江大学中英文主页 浙江大学求是新闻网 3、浙江大学综合服务网 4、浙江大学协同办公系统（校院二级） 5、浙江大学统一身份认证 6、浙江大学校园卡管理平台 7、浙江大学个人主页 8、浙江大学数据交换中心 9、我的浙大 二、重点网站或业务系统（二类系统）清单 人事处 　　 人力资源管理系统 研究生院 研究生教育管理信息系统 本科生院 1、现代教务管理系统（含鹘鹰系统） 计划财务处（含国有资产管理办公室） 1、综合财务管理平台 2、国有资产管理系统 实验室与设备管理处 1、设备资产管理系统 2、大型仪器共享管理平台 HYPERLINK /redir.php?catalog_id=1831object_id=16 科学技术研究院 　 科研管理系统（科技版） HYPERLINK /redir.php?catalog_id=1831object_id=17 社会科学研究院 　　　科研管理系统（社科版） 房地产管理处 房地产资源管理系统 继续教育学院 　　 远程教育管理平台 附件2： xx单位网站或信息系统安全检查报告(提纲) 一、本单位网络与信息系统安全情况总体评价 概述本单位信息安全情况，对本单位信息安全状况的总体评价。 二、网络与信息系统安全自查开展情况 本次检查工作的开展落实情况，包括组织领导，部署安排，检查情况等，特别是重点信息系统要重点排查。 三、网络与信息系统安全主要工作情况 根据自查结果，逐项描述本单位在网络与信息安全制度建设、日常管理、技术防范、应急处置、漏洞封堵、数据备份等方面开展的工作情况。 1、制度建设和责任分工落实情况； 2、日常