全市网络安全检查方案

具备防盗窃、防破坏、防雷击、防火、防水、防潮、防静电及备用电力供应、温湿度控制、电机房安全2磁防护等安全措施物理环境符合，P=l；不符合，P=0o机房配备门禁系统或有专人值守符合，P=l；访问控制1不符合，P=0o网络安全网络边界部署访问控制设备，能够阻断非授权防护管理访问访问控制3符合，P=l;有设备但未配置侧咧，P=

0.5；无设备,P=0边界安全网络边界部署入侵检测设备，定期更新检测规则库入侵检测2符合，P=l；有设备，但未定期更新，P=

0.5；无设备，P=0o计分权重评估指标评价要素评价标准P为量化值VP*V网络边界部署安全审计设备，对网络访问情况进行定期分析审计并记录审计情况安全审计2符合，P=l；有设备，但未定期分析，P=

0.5；边界安全无设备，P=0o同一办公区域内互联网接入口不超过2个入口数量2符合,P=l；不符合，P=0o部署防病毒网关或统一安装防病毒软件，并定期更新恶意代码库网络安全恶意代码2符合，P=l；有设备，但未定期更新，P=

0.5；防护管理无设备，P=0o定期对服务器、网络设备、安全设备等进行安全设备安全漏洞扫描2漏洞扫描符合,P=l；不符合,P=0o服务器配置口令策略保证服务器口令强度和更新频率1口令策略P二配置了口令策略的服务器比率服务器启用安全审计功能并进行定期分析1安全审计P二安全审计日志进行定期分析的服务器比率及时对服务器操作系统补丁和数据库管理系统服务器2补丁进行更新补丁更新P二补丁得到及时更新的服务器比率配置口令策略保证网络设备和安全设备（指重网络设备和要设备）口令强度和更新频率安全设备口1P二网络设备和安全设备中配置了口令策略的令策略比率采取集中统一管理方式对终端进行防护，统一终端计算机2软件下发、安装系统补丁统一防护符合,P=l；不符合，P=0o采取技术措施（如部署集中管理系统、将IP地终端计算机址与MAC地址绑定等）对接入单位网络的终端1接入控制计算机进行控制符合,P=l；不符合,P=0o配备必要的电子信息消除和销毁设备，对变更用途的存储介质进行信息消除，对废弃的存储存储安全1介质进行销毁符合，P=l；不符合，P=0o计分权重评估指标评价要素评价标准（P为量化值）（V）P*V按《信息化条例》要求，对本单位信息系统实施等级保护，开展风险评估风险评估与2等级保护定级未备案或风险评估未采取备案机等级保护构开展P=o.5；未实施等级保护或未开展风险应用系统评估P=0o（无门户网门户网站防门户网站采取网页防篡改措施网络安全2站或邮件系篡改符合，P=l；不符合，P=0o防护管理统则相应项门户网站抗门户网站采取抗拒绝服务攻击措施p=l）拒绝服务攻1符合,P=l；不符合,P=0o击措施网站信息发布前采取内容核查、审批等安全管门户网站信2理措施息发布审核符合，P=l；不符合，P=0o建立邮件账号开通审批程序，防止邮件账号任电子邮件账1意注册使用号审批注册符合，P=l；不符合，P=0o配置口令策略保证电子邮箱口令强度和更新电子邮箱账频率1户口令策略符合，P=l；不符合，P=0o定期清理工作邮件邮件清理1符合，P=l；不符合，P=0o采取技术措施（如加密、分区存储等）对存储存储保护2的重要数据进行保护符合，P=1；不符合，P=0o采取技术措施对传输的重要数据进行加密和校验传输保护2符合,P=l；不符合,P=0o数据安全采取技术措施对重要数据和系统进行定期备数据和系统2份备份符合，P=l；不符合，P=0o数据中心、数据中心、灾备中心应设在境内符合，P=l；灾备中心设1不符合，P=0o立制定网络安全事件应急预案（部门级预案，非单个系统的应急预案），并使相关人员熟悉应急网络安全应急管理应急预案2预案符合，P=l；不符合，P=0o计分权重评估指标评价要素评价标准（P为量化值）（V）P*V开展应急演练，留存演练计划、方案、记录、总应急演练2结等文档符合，P=l；不符合，P=0o网络安全应急管理制定应急技术支援队伍，配备必要的备件等应应急资源1急物质符合,P=l；不符合,P=0o事件处理发生网络安全事件后，及时向主管领导报告，2按照预案开展处置工作；重大事件及时通报网络安全主管部门及时按照省信息安全主管部门处置网络安全事件发生过事件并按要求及时处置，或未发生事件,P=l;发生过事件未按要求及时处置,P=0面向全体人员开展网络安全形势与警示教育、基本技能培训等活动意识教育3本年度开展活动的次数＞2,P=l；次数=2,网络安全教育培训P=

0.7；次数=1,P=

0.3；次数=0,P=0o参加全省统一组织的管理人员和技术人员专业培训专业培训3符合，P=l；不符合，P=0o下发检查工作相关文件或者组织召开专题会工作部署1议，对年度检查工作进行部署符合,P=l；不符合,P=0o明确检查工作负责人、检查机构和检查人员符工作机制1合,P=l；不符合,P=0o使用技术手段进行安全检测技术检测2网络安全检查符合,P=l；不符合,P=0o安排并落实检查工作经费符合，P=l；不符合，检查经费1P=0o完成上一年度信息安全检查整改，并针对本年度自查问题制定整改工作方案整改落实3符合，p=l;无前一年度整改记录或本年度整改方案，P=

0.5；不符合，P=0o网络安全情况表部门组织情况分管领导姓名职务名称负责人责任处室职务电话姓名移动电话信息安全员电话信息系统基本情况信息系统总数可以通过互联网访问的系统数量不能通过互联网访问的系统数量信息系统情况面向社会公众提供服务的系统数量重要信息系统数量本年度经过安全测评的系统数量互联网入口总数电信入口数量带宽M互联网接入情况联通人口数量带宽M其他入口数量带宽M第一级第二级系统定级数量第三级第四级第五级未定级域名门户网站情况IP地址运维主体信息技术产品使用情况服务器总台数其中国产国内品牌台数CPU台数国外品牌台数使用国产操作系统台数使用国外操作系统台数总台数其中国产国内品牌台数CPU台数国外品牌台数终端计算机使用国产操作系统台数（含笔记本）使用国外操作系统台数使用windowsXP台数安装国产字处理软件的终端计算机台数安装国产防病毒软件的终端计算机台数总台数路由器国内品牌台国外品牌数台数总台数交换机国内品牌台国外品牌数台数总台数存储设备国内品牌台国外品牌数台数总台数数据库管理系统国内品牌台国外品牌台数数总数邮件系统品牌数量品牌数量总数负载均衡设备品牌数量品牌数量总数防火墙品牌数量品牌数量总数入侵检测设备品牌数量品牌数量总数安全审计设备品牌数量品牌数量外包服务机构情况表外包服务机构1机构名称机构性质□国有单位口民营企业□外资企业口系统集成口系统运维□风险评估口安全检测□安全加固口应急支持服务内容口数据存储口灾难备份□其他_______________网络安全保密协议口已签订□未签订□已通过认证信息安全管理体系认证认证机构_____________□未通过认证外包服务机构2机构名称机构性质□国有单位口民营企业□外资企业口系统集成口系统运维口风险评估口安全检测口安全加固口应急支持服务内容口数据存储口灾难备份□其他_______________网络安全保密协议口已签订口未签订□已通过认证信息安全管理体系认证认证机构_____________□未通过认证重要信息系统情况调查表信息系统基本情况信息系统名称□□互联网系统□□内网/专网系统口□工业控制系统信息系统类型（请根据系统类型选填下表内容）基本功能简介等级保护定级:________级（未定级留空）互联网系统IP地址域名可容忍中断时间口小于30分钟是否面向社会公系统运转连续性要□□是□口否口30分钟至12小时众提供服务求口大于12小时日PV量日UV量（页面浏览量）（IP访问量）数据备份情况口□存储介质备份口口数据级灾备口□系统级灾备开发单位简介运维单位简介内网/专网系统是否与互联网数据交系统运转连续性要可容忍中断时间□□是□口否换求口小于30分钟口30分钟至12小时口大于12小时数据备份情况□□存储介质备份口口数据级灾备口□系统级灾备开发单位简介运维单位简介工业控制系统可容忍中断时间口小于30分钟系统运转连续性要是否连接互联网□□是□□否口30分钟至12小时求口大于12小时系统中断后可能造成□□人身伤害□□经济损失□□环境污染口口其它的损失简要描述可能损害情况信息系统密码应用情况密码设备使用情况口已采用口未采用使用国产算法□是□否IPsec VPN密码机数量厂家及型号口已采用口未采用使用国产算法口是口否SSL VPN密码机数量厂家及型号口已采用□未采用使用国产算法口是□否服务器密码机数量厂家及型号实情况；网络边界防护措施，互联网接入安全措施，无线网络安全防护策略；服务器、网络设备、安全设备等安全策略配置，应用系统安全功能及有效性；终端计算机、移动存储介质安全防护措施；重要数据传输、存储的安全防护措施等

（三）应急工作情况按照国家、省和我市信息安全事件应急预案要求，建立健全网络安全应急工作体系情况重点检查网络安全事件应急预案制定、应急演练情况；应急技术支撑队伍、灾难备份措施建设情况、重大网络安全事件处置情况等

（四）宣传教育培训情况重点检查网络安全宣传教育、领导干部及各级人员网络安全基础培训、信息安全员接受持证上岗培训情况等

（五）WindowsXP停止安全服务应对工作情况重点检查WindowsXP使用情况，安全保护方案制定情况，安全防护产品部署情况，采取白名单、卸载与工作无关的应用程序、关闭不必要服务和端口等安全措施情况，推广国产操作系统和应用软件的工作落实情况等

（六）数据及系统可控可管重点检查数据中心及使用的云计算服务设施是否设在境外，采用系统设计开发、系统集成、运行维护、数据处理、数据备份、灾难恢复、系统托管、安全测评等外包服务过程中数据是否被提交给境外机构，系统是否被境外机构远程控制等情况

（七）安全问题整改情况上一年度安全检查问题的整改情况及整改效果，本年度安全检查发现问题的整改情况及整改效果，进一步分析安全风险状况

四、检查方式第三方电子口已采用口未采用认证机构名称认证证书口已采用口未采用使用国产算法□是□否安全认证网关数量厂家及型号口已采用口未采用使用国产算法口是口否签名验证服务器数量厂家及型号口已采用口未采用使用国产算法口是□否智能密码钥匙数量厂家及型号口已采用口未采用使用国产算法□是口否电子签章系统数量厂家及型号口已采用口未采用使用国产算法□是口否动态令牌数量厂家及型号口已采用口未采用使用国产算法□是□否智能IC卡数量厂家及型号口已采用口未采用使用国产算法口是口否加密U盘/加密硬盘数量厂家及型号口已采用口未采用使用国产算法口是□否加密路由器数量厂家及型号口自建口未自建使用国产算法口是口否自建证书认证系统数量厂家及型号口已自建口未自建使用国产算法口是口否自建密钥管理系统数量厂家及型号口已采用口未采用使用国产算法口是口否金融数据密码机数量厂家及型号口已采用口未采用使用国产算法口是口否支付服务密码机数量厂家及型号密码产品备案口已备案口未备案系统密码测评□已测评□未测评密码方案审查口已审查口未审查网络安全检查总结（内容提要）

一、工作组织（工作部署时间、方式、承担部门、经费保障等情况）

二、检查方式（自查、管理检查、技术检查等情况）

三、检查结果（至少包括网络安全管理情况、技术防护情况、风险评估与等级保护工作落实情况、应急工作情况、宣传教育培训情况、WinXP停止更新应对情况等）

四、整改措施（下一步工作方向）

五、意见建议（对我市信息安全工作的具体建议）附件2南京市重点行业网给安全旅查材料（2014年）部门（签章）联系人_______________________联系电话_____________________填表时间_____________________填表说明

一、如实认真填写各表各项内容

二、行业主管部门填写统计表，并将各行业内重要信息系统表逐一附后

三、行业网络安全检查工作总结结合本行业业务特点描述，与前述材料一并装订

四、涉密信息系统不在此次调查范围内重点行业网络安全检查结果统计表

一、行业基本情况名称职务负责人办公电话行业网络安全管理机构联系人移动电话

二、行业网络安全管理情况培训情况本年度开展的网络安全培训次数培训人数

①行业网络安全应急预案□已建立口本年度进行过修订口本年度未进行过修订应急工作情况口未建立

②本年度开展行业网络安全应急演练次数技术检测情况本年度开展面向全行业的网络安全技术检测次数

三、行业重要系统安全情况重要系统总数

①信息系统数量系统类型

②工业控制系统数量

①面向社会公众提供服务的系统数量服务对象

②不面向社会公众提供服务的系统数量

①通过互联网可直接访问的系统数量基本

②通过互联网不能直接访问的系统数量联网情况情况其中，与互联网物理隔离的系统数量

①全国数据集中的系统数量

②省级数据集中的系统数量数据集中情况

③未进行数据集中的系统数量

④数据存放在境外的系统数量业务连续性

①可容忍中断时间小于30分钟的系统数量

②可容忍中断时间大于30分钟、小于12小时的系统数量:

③可容忍中断时间大于12小时的系统数量

①进行系统级灾备的系统数量灾难备份情况

②仅对数据进行灾备的系统数量

③无灾备的系统数量:

①采用远程在线方式进行运行维护的系统数量

②由国内机构提供运行维护服务的系统数量外包服务情况由国外机构提供运行维护服务的系统数量

③由国内机构提供云计算服务的系统数量由国外机构提供云计算服务的系统数量主要服务器路由器交换机防火墙磁盘阵列磁带库操作系统数据库硬件国内品牌数量和软（台/套）系统件产国内品牌数量口口构成口（台/套）

①自主设计开发（不含二次开发）的套数情况

②委托国内厂商开发的套数在用业务应用委托国外厂商开发的套数软件系统

③直接采购国内厂商产品的套数直接采购国外厂商产品的套数

四、本年度网络安全事件特别重大网络安全事件次数网络重大网络安全事件次数安全较大网络安全事件次数事件一般网络安全事件次数情况重要信息系统情况调查表信息系统基本情况信息系统名称口互联网系统口内网/专网系统□工业控制系统信息系统类型（请根据系统类型选填下表内容）基本功能简介等级保护定级_____级（未定级留空）互联网系统1P地址域名可容忍中断时间口小于30分钟是否面向社会公众口是口否系统运转连续性要求口30分钟至12小时提供服务口大于12小时日PV量日UV量（页面浏览量）（IP访问量）数据备份情况口存储介质备份口数据级灾备口系统级灾备开发单位简介运维单位简介内网/专网系统可容忍中断时间是否与互联网数据交换□是□否系统运转连续性要求口小于30分钟□30分钟至12小时口大于12小时数据备份情况□存储介质备份口数据级灾备口系统级灾备开发单位简介运维单位简介工业控制系统可容忍中断时间口小于30分钟是否连接互联网□是口否系统运转连续性要求□30分钟至12小时口大于12小时系统中断后可能造成的口人身伤害□经济损失口环境污染口其它损失简要描述可能损害情况信息系统密码应用情况密码设备使用情况口已采用口未采用使用国产算法□是口否IPsec VPN密码机数量厂家及型号口已采用口未采用使用国产算法口是口否SSL VPN密码机数量厂家及型号口已采用口未采用使用国产算法口是口否服务器密码机数量厂家及型号第三方电子口已采用口未采用认证机构名称认证证书口已采用口未采用使用国产算法口是口否安全认证网关数量厂家及型号口已采用口未采用使用国产算法口是口否签名验证服务器数量厂家及型号口已采用口未采用使用国产算法口是口否智能密码钥匙数量厂家及型号口已采用口未采用使用国产算法口是口否电子签章系统数量厂家及型号口已采用口未采用使用国产算法口是口否动态令牌数量厂家及型号口已采用口未采用使用国产算法口是口否智能IC卡数量厂家及型号口已采用口未采用使用国产算法口是口否加密U盘/加密硬盘数量厂家及型号口已采用口未采用使用国产算法口是口否加密路由器数量厂家及型号口自建口未自建使用国产算法口是口否自建证书认证系统数量厂家及型号口已自建口未自建使用国产算法口是口否自建密钥管理系统数量厂家及型号口已采用口未采用使用国产算法□是□否金融数据密码机数量厂家及型号口已采用口未采用使用国产算法口是口否支付服务密码机数量厂家及型号网络安全检查以自查为主，市委网信办、市经信委将对部分重要网络及信息系统进行安全抽查

（一）安全自查党政机关各部门、各人民团体、各重点行业按要求开展自查各部门、各单位应制定检查实施方案，明确检查范围，周密计划，精心部署，认真实施为确保检查工作取得实效，各部门、各单位可组织开展安全抽查和技术检测，深入挖掘安全隐患，及时整改安全问题为全面评价网络安全管理工作，各部门、各单位应根据《网络安全检查材料》（附件1）,从网络安全组织管理、日常管理、防护管理、应急管理、教育培训、安全检查等方面进行量化评估，总结成绩、查找不足，更好地推动网络安全管理工作

（二）安全抽查由主管部门和专业技术队伍组成的抽查组，对重要网站、重要信息网络和系统进行安全抽查，将抽查中发现的问题通报给相关单位，督促其进行核查和整改，对不认真整改的单位予以通报批评，并通报公安机关，按照相关法规予以警告或停机整顿有关安全抽查工作将另行部署

五、检查组织市级党政机关各部门、各人民团体、各重点行业网络安全检查工作由市委网信办、市经信委具体组织实施；各部门、人民团体下属单位网络安全检查工作由各部门、人民团体组织实施，并汇总整理《网络安全检查材料》（附件1）;轨道交通、供水供气等重点行业的重要网络与信息系统由各相关单位汇总整理《南京市重点行业网络安全检查材料》（附件2）；各区（开发区）网络安全检查工作由各区信息安全主管部门（区网密码产品备案口已备案口未备案系统密码测评口已测评口未测评密码方案审查口已审查口未审查信办）参照本工作方案组织开展

六、结果上报各区、各部门、各单位在检查工作完成后，应对检查情况进行汇总分析和总结评估，按照要求编制自查总结报告报送市委网信办和市经信委，包括纸质文档和电子文档（光盘形式）各部门、人民团体汇总整理《网络安全检查材料》（附件1）,各重点行业相关单位汇总整理《南京市重点行业网络安全检查材料》（附件2）各区信息安全主管部门参照附件1中重要信息系统情况调查表，汇总地方重要信息系统情况，并总结地方工作后上报

七、工作要求

（一）加强领导，落实责任各区、各部门、各单位要把网络安全检查工作列入重要议事日程，加强组织领导，明确检查责任，落实检查机构、检查人员、检查经费及其他保障条件，确保检查工作顺利进行

（二）认真实施，确保成效各区、各部门、各单位要周密制定检查实施方案，全面深入查找安全问题和隐患，切实做到不走过场、不漏环节、不留死角对发现的问题要及时整改，举一反三，标本兼治，因条件不具备暂时不能整改的问题应采取临时防范措施

（三）控制风险，强化保密各区、各部门、各单位要强化风险控制，有针对性地制定检查工作应急预案，确保被检查系统的正常运行要加强对检查活动、检查人员及相关文档和数据的安全保密管理委托外部机构进行安全检测，要对其机构背景、技术能力、服务水平、人员资质及安全保密管理措施等进行严格审查，并明确外部机构及人员的安全责任附件

1、网络安全检查材料

2、南京市重点行业网络安全检查材料附件1:网络安全检查材料（2014年）部门（签章）联系人_____________________联系电话___________________填表时间___________________填表说明

一、如实认真填写各表各项内容

二、如本单位有下属单位或部门，应组织下属单位或部门一并开展信息安全检查，并填写检查材料下属单位的《外包服务机构情况表》及《重要信息系统情况调查表》与本单位表格一并装订

三、《外包服务机构情况表》及《重要信息系统情况调查表》如不够填写，可自行复制增补

四、网络安全检查总结附在本材料末，统一装订后上交

五、涉密信息系统不在此次调查范围内网络安全自查表计分权重评估指标评价要素评价标准（P为量化值）（V）P*V明确一名主管领导负责本部门网络安全工作已明确，本年度就网络安全工作作出批示或主分管领导3持召开专题会议，P=1；已明确，本年度未就网络安全工作作出批示或主持召开专题会议，P=

0.5；未明确，P=0o明确一个部门具体承担网络安全管理工作（应为本单位二级机构）组织管理责任部门2已以正式文件等形式明确其职责，P=l；未明确，P=0o各本单位及下属部门指定一名专职或兼职信息安全员信息安全员2P二指定网络安全员的机构数量与机构总数的比率建立网络安全管理制度体系，涵盖人员管理、资产管理、采购管理、外包管理、教育培训等方制度完整性3面规章制度制度完整，P=l;制度不完整，P=

0.5；无制度,P=0安全管理制度以正式文件等形式发布制度发布2符合，P=1；不符合，P=0重点岗位人员（系统管理员、网络管理员、网络网络安全安全员等）签订网络安全与保密协议保密协议日常管理2P二重点岗位人员中签订网络安全与保密协议的比率人员离岗离职时，收回其相关权限，签署安全人员管理保密承诺书离岗管理2符合，P=l；不符合，P=0o外部人员访问机房等重要区域时采取审批、人到访管理2员陪同、进出记录等安全管理措施符合，P=l；不符合，P=0o指定专人负责资产管理，并明确责任人职责责任落实2符合,P=l；不符合,P=0o资产管理建立完整资产台账，统一编号、统一标识、统一建立台账2发放符合,P=l；不符合,P=0o计分权重评估指标评价要素评价标准（P为量化值）（V）P*V资产台账和设备相一致账物相符2符合，P=l；不符合，P=0o完整记录设备维修维护和报废信息（时间、地点、内容、责任人等）资产管理维修报废2记录完整，P=l;记录不完整，P=

0.5；无记录，P=0o将网络安全设施运维、日常管理、教育培训、检经费保障3查评估等费用纳入年度预算符合，P=l；不符合,P=0o与信息技术外包服务提供商签订网络安全与保密协议，或在服务合同中明确网络安全与保密服务协议2网络安全责任日常管理符合,P=l；不符合,P=0o现场服务过程中安排专人管理，并记录服务过程现场管理2记录完整，P=l;记录不完整，P=

0.5；无记录,P=0o外包管理外包开发的系统、软件上线前通过信息安全测评开发管理2P二外包开发的系统、软件上线前通过信息安全测评的比率原则上不得采用远程在线方式，确需采用时采取书面审批、访问控制、在线监测、日志审计等运维方式2安全防护措施符合，P=l；不符合，P=0o。