关于学校网络安全检查通知.docVIP

附件一： 西安交通大学 网站（网络信息系统）安全检查指南 检查网站范围 学校门户网站、部门重要网站、新闻网站、网络信息系统。 二、主要检查内容 信息安全主管领导、网站安全责任人和技术人员落实情况。 信息安全制度落实情况。包括网站应急值班、网站信息内容发布审核、安全责任追究等制度。 主要技术防范措施。包括网页防篡改、防病毒、防攻击等技术措施，账户和口令的管理措施，操作系统、应用软件、病毒防护软件的不定升级，网站域名安全管理措施等。 奥运会期间采取的特殊管理措施。如关闭或删除不必要的应用、服务、端口和链接，限制易被攻击、利用的网站栏目和功能，临时关停一些影响面小、信息长期不更新、安全风险大的网站等。 安全应急预案落实与应急演练情况。包括应急技术支撑队伍、值班制度的落实情况。 附件二： 西安交通大学 网站（网络信息系统）安全检查表 单位名称 联系人/联系电话 信息安全主管领导 职务 网站安全第一责任人 职务 网站名称 网站安全等级保护级别 ○ 四级 ○ 三级 ○ 二级 ○ 未定级 网站主机服务器运行维护管理方式 ○ 自行管理 ○ 委托管理 是否对安全规章制度进行了梳理？ ○ 是 ○ 否 是否有明确的网站安全责任处罚规定？ ○ 是 ○ 否 是否对安全防护措施进行了评估？ ○ 是 ○ 否 如果开展了安全防护措施评估，评估结果是什么？ ○ 有效 ○ 基本有效 ○ 不足 本年度是否开展了网站安全风险评估或等级测评？ ○ 自评估 ○ 委托专业评估 ○ 没有开展 是否进行了下列安全检查 ○ SQL注入攻击隐患 ○ 跨站脚本攻击隐患 ○ 弱口令 ○ 操作系统补丁安装情况 ○ 网站服务器系统及其他应用系统补丁安装情况 ○ 防病毒软件升级情况 ○ 网站是否已被“挂马” ○ 入侵检测系统升级情况 ○ 漏洞扫描系统升级情况 ○ 执行漏洞扫描情况 是否有网页防篡改措施？ ○ 安装了防篡改系统 ○ 人工监管 ○ 无防篡改系统 是否具有边界保护措施？ ○ 防火墙 ○ 其他 ○ 无 是否有抗拒绝服务攻击措施？ ○ 是 ○ 否 是否安装了入侵检测系统？ ○ 是 ○ 否 是否按装了防病毒系统？ ○ 是 ○ 否 防病毒最近一次升级的日期？ 月 日 是否保留了系统安全日志？ ○ 是 ○ 否 系统安全日志察看的周期是多少？ ○ 每月 ○ 每周 ○ 每天 ○ 偶尔查看或不查看 是否有独立的安全审计系统？ ○ 是 ○ 否 网站服务器和同一网段内其他服务器之间是否有访问控制措施？ ○ 是 ○ 否 操作系统最近一次升级的日期？ 月 日 Web服务系统最近一次升级的日期 月 日 数据库系统最近一次升级的日期 月 日 是否关闭或删除了不必要的账户？ ○ 是 ○ 否 是否关闭或删除了不必要的应用？ ○ 是 ○ 否 是否关闭或删除了不必要的服务？ ○ 是 ○ 否 是否关闭或删除了不必要的端口？ ○ 是 ○ 否 系统管理和数据库管理的口令更换周期是多少？ ○ 从未更换或偶尔更换 ○ 一个月以上 ○ 一个月 ○ 半个月 ○ 每周或更短 系统管理和数据库管理的口令长度是多少？ ○ 大于8位 ○ 小于8位 是否存在多台服务器或多个帐户使用同一口令的情况？ ○ 是 ○ 否 对网站进行远程维护时，是否采取了加密措施？ ○ 是 ○ 否 是否对自管的域名解析系统采取了安全防护措施？ ○ 是 ○ 否 ○ 无自管域名解析系统 是否与托管方签订了安全协议？ ○ 是 ○ 否 ○ 未采取托管方式 是否制定了奥运会期间网站安全突发事件应急预案？ ○ 是 ○ 否 是否根据应急预案组织过应急演练？ ○ 是 ○ 否 是否采取了备份措施？ ○ 备机 ○ 备件 ○ 网站数据备份 ○ 其他措施 是否明确了技术支持队伍？ ○ 是 ○ 否 是否有24小时值班制度？ ○ 已开始值班 ○ 拟定从奥运会开始实行24小时值班 ○ 不需要进行24小时值班 是否建立网站发布审核制度？ ○ 是 ○ 否 对本次检查中发现问题的整改比例 % 填表人（签字）： 联系电话： 信息安全主管领导（处级签字）： 联系电话： 一级单位名称（盖章）： 填表日期：