网络与信息安全检查工作细则-浙江大学信息化服务.pdfVIP

附件：网络与信息安全检查工作细则 一、自查工作 重点检查责任制建立及落实情况、安全管理制度规范建 立情况、网站和信息系统漏洞情况、技术防护措施部署情况、 重要数据传输及存储备份情况等。一类、二类重点信息系统 及重点单位清单见附件1；XX单位网站或信息系统安全检查 报告（提纲）见附件 2；浙江大学网站或信息系统安全检查 表见附件3。 二、整治工作 针对各网站或信息系统在检查中发现的安全风险和漏 洞，各主办单位要及时采取措施，落实整改，已经不用的网 站和信息系统应当尽快关闭，尤其不用的论坛版块应当尽快 关闭。 三、安全评估 学校信息中心组织力量对部分网站和信息系统进行抽 查和复查。对仍然存在高危安全漏洞的网站或信息系统形成 评估报告并通知相关单位，限期进行安全整改。逾期未对高 危漏洞进行整改的进行下线整改，直至修复漏洞。 四、登记备案 各单位要对本单位及下属单位主办的所有网站或信息 系统建立名录，名录格式见附件 4。学校信息中心以电子邮 件形式向各单位下发各单位已经登记在册的网站和信息系 1 统名录。各单位要发动下属单位积极开展检查工作，认真核 实所开设的网站和信息系统情况，废弃不用的要及时提出书 面申请关停，实际开设但未在统计名录中的网站和信息系统 要重新注册登记，网站及信息系统登记表见附件 5。各单位 统计补充核实各自网站和信息系统名录后重新盖章确认并 上交。 五、明确责任 各单位主要负责人是网络与信息安全工作的第一负责 人，明确本单位的网络与信息安全分管负责人，协助第一负 责人履行本单位网络与信息安全职责，指定一位安全观念 强、富有责任心、懂技术的工作人员担任专职或兼职信息安 全员，负责日常督促、检查工作。XX单位网络与信息安全小 组名单见附件6。 六、定期检查 各单位要对主办的网站和信息系统的安全状况进行定 期检查，尤其各重点单位每个月要检查一次重点网站或信息 系统的安全情况。各重点单位要建立网络与信息系统安全检 查台帐，及时记录检查情况。网络与信息系统安全检查台帐 见附件7。 七、安全管理 各单位要加强对数据备份工作，定期对重要数据进行备 份，各重点单位要定期比对数据的变化情况，及时发现问题。 对各网站和信息系统，要定期检查清除废弃域名及无效链 2 接，防止盗链；检查目录结构和上传文件夹，删除临时文件 和无用文件，严格限制上传文件夹的读写执行权限；检查系 统的运行参数及系统负荷，及时发现系统的异常情况；全面 检查系统管理账户和口令，清理无关账户，杜绝空口令、弱 口令和默认口令；建立管理员口令的定期更换制度和责任管 理办法；检查系统日志情况，至少保存2个月的日志信息。 八、安全保护 要定期检查服务器补丁更新情况，实施补丁自动更新的 管理措施；关闭不必要的端口，特别是远程管理端口，停止 不必要的服务和应用，部署本地服务器的安全管理策略，提 高系统安全等级；对网站和信息系统中的SQL操作、文件上 传、文件编辑、文件名输入等代码模块采取合法性检查和过 滤；定期查杀服务器上的病毒木马，清除木马和后门程序。 3 附件 1： 一类、二类重点信息系统及重点单位清单 一、官方网站或公共支撑系统（一类系统）清单 1、 浙江大学中英文主页 2、 浙江大学求是新闻网 3、浙江大学综合服务网 4、浙江大学协同办公系统（校院二级） 5、浙江大学统一身份认证 6、浙江大学校园卡管理平台 7、浙江大学个人主页 8、浙江大学数据交换中心 9、我的浙大 二、重点网站或业务系统（二类系统）清单 (一) 人事处 人力资源管理系统 (二) 研究生院 研究生教育管理信息系统