单位漏扫检查表

1、单位网络安全核查表评估指标评价标准是否具备备注一、安全责任制落实情况网络安全主管领导明确一名主管领导负责本部门网络安全工作（主管领导应为本部门正职或副职领导）。安全检查主管领导参与情况主管领导参与本次网络安全与信息化工作安全检查主管领导应为本部门正职或副职领导）。网络安全管理机构普定一个机构具体承担网络安全管理工作（管理机构应为本部门二级机构）。网络安全员"单位已指定网络安全专职工作人员安全自查管理工作部署F发检查工作相关文件或者组织召开专题会议，明确责任人，对年度检查工作进行部署。固化自查流程明确安全自查例行工作，梳理自查工作流程。检查经费安排并落实安全检查专项工作经费。二、安全日

2、常管理情况规章制度制度完整性建立网络安全管理制度体系，涵盖人员管理、资产管理、采购管理、外包管理、教育培训 等方面。制度发布安全管理制度以正式文件等形式发布。制度审评修订制定安全管理制度的评审修订办法，定期或不定期对需要改进制度进行修订。人员管理人员权限管理数据库、应用系统、操作系统等管理员账号，人员岗位调动或离岗离职时收回其相关权限， 签署安全保密承诺书。外部人员访问管理措施外部人员访问机房等重要区域时采取审批、人员陪同、进出记录等安全管理措施。资产管理责任落实指定专人负责资产管理，并明确责任人职责。建立资产台账建立完整资产台账，统一编号、统一标识、统一发放。资产的标识管理根据资产的重要程度

3、对资产进行标识管理，根据资产的价值选择对应的措施网站挂标管理是否根据主管单位要求，在网站挂党政机关或事业单位表示。信息技术产品的国产化情况冬端计算机、公文处理软件、信息安全产品等国产品牌的使用经费保障各网络安全设施运维、日常管理、教育培训、检查评估等费用纳入年度预算。三、安全防护情况门户网站安全防护,站信息发布前采取内容检查、审批等安全管理措施；口户网站采取网页防篡改、防 SQL注入等安全防护措施；不取针对应用系统的漏洞扫描、事件发现等措施。口令策略,置口令策略保证口令强度和更新频率，忘记密码，此项不得分。网络安全结构安全；艮据网络的真实情况绘制拓扑图，并按照各部门的工作职能、重要性和所涉及信

4、息的重要程度等因素，划分不同的子网"网段；访问控制R络边界部署访问控制设备，能够阻断非授权访问。包括但不限于防火墙、入侵检测、安全审计、防病毒、抗拒绝服务 次击、Web应用防火墙等；策略配置"全设备根据本单位安全需求做必要的防护策略。主机安全配置核查纪置审核（日1志记录）策略佥查是否已正确配置审核（日志记录）策略，审核对象访问/审核登录事件/审核目录服务访问/审核账户登录事件/审核系统事件/审核策略更改/审核账户管理/审核特权使用/审核进程跟踪；补丁包和补丁佥查系统是否已安装最新补丁包和补丁；防病毒 ：佥查是否已安装防病毒软件；自动更新佥查是否已启用并正确配置自动更新；服务

5、关闭：佥查是否关闭不必要的服务和端口 ；网络协议安全防护佥查是否设置TCP/SYN/SNM等攻击保护；系统防火墙-佥查是否开启系统防火墙，并只开放必要端口；无线网络统一管理：佥查是否对无线网络进行统一管理；防护策略工取身份鉴别措施；S取地址过滤措施；管理地址无线路由器更改默认管理地址；管理口令无线路由器更改默认管理口令；电子邮箱建设管理不取统一注册、注销等管理方式；口令管理,用技术手段控制口令强度；安全防护不取数字证书、反垃圾邮件等安全防护措施。终端安全统一防护工取集中统一管理方式对终端进行防护，统一软件下放、安装系统补丁；接入网络控制采取技术措施（如部署集中管理系统、将 IP地址和MACfe

6、址绑定等）对接入网络终端计算机进行控制。移动存储介质使用和管理国寸移动存储介质进行集中管理，建立统一登记、配发、收回、维修、报废、销毁制度；信息消除“备必要的电子信息消除和销毁设备，对变更用途的存储介质进行信息消除，对废弃的存储介质进行销毁。四、数据安全情况数据分类分级U确了数据分类分级的定义，并对系统内数据内信息进行安全等级标注。数据访问控制口备应用系统账号对数据访问权限的有效控制，定义了相应的防护策略。数据脱敏保护卜数据库导出进行脱敏操作。数据存储保护卜取技术措施（如加密、分区存储等）对存储的重要数据进行保护。数据传输保护卜取技术措施对传输的重要数据进行加密和校验。数据和系统备份卜取技术措

7、施对重要数据和系统进行定期备份。，、日志与审计情况物理环境访问审计具备对物理环境访问的审计措施，查看6个月的原始日志和审计记录。主机访问审计具备对系统主机访问的审计措施，查看6个月的原始日志和审计记录。应用访问审计：具备对应用系统访问的审计措施，查看6个月的原始日志和审计记录。数据库访问审计具备对数据库访问的审计措施，查看 6个月的原始日志和审计记录。应用操作审计具备队一同的关键操作的审计措施，查看 6个月的原始日志和审计记录。六、监测预警和应急处置工作情况技术自查风险评估一年内对应用系统进行过风险评估；渗透测试1寸应用系统进行渗透测试。监控管理网站系统检测.1寸网站服务进行持续安全检测，检测内容包括：安全漏洞，及篡改、窃密等安全事件，检查整改加固流程过程文档；主机系统检测.皿务器和终端进行持续性的漏洞扫描检测，检查整改加固流程过程文档；基础设施检测1寸通信线缆、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行检查和报