2017年重点单位网络安全自查表

网络安全检查自查表网络安全检查自查表1.网络设备安全检查1.1 进行设备清单核对1.2 确保设备固件及软件版本更新及安全性1.3 检查设备是否存在默认用户名和密码1.4 验证设备配置是否按照最佳安全实践进行1.5 检查设备是否启用了所需的安全功能（如访问控制列表、入侵检测系统等）2.用户账户和权限管理2.1 确认是否存在未授权的账户2.2 审核并删除不再使用的用户账户2.3 确定账户密码强度要求，并检查是否符合2.4 检查账户是否采用多因素身份验证2.5 检查用户权限是否合理分配，以避免权限过大或过小3.数据备份和恢复检查3.1 确保所有重要数据都进行了备份3.2 验证备份数据的完整性和可读性3.3 确认备份数据存储在安全位置，防止未授权访问3.4 定期测试和验证数据恢复过程4.网络访问控制4.1 检查防火墙和网络边界设备的配置4.2 验证网络设备上的安全策略是否有效4.3 检查网络中的流量监测和入侵检测系统是否正常工作4.4 确保网络服务的访问控制措施得到实施5.应用程序安全检查5.1 确保所有应用程序都经过安全审计和测试5.2 验证各应用程序的权限设置是否合理5.3 检查应用程序是否有任何已知的漏洞，并及时修复5.4 确认应用程序是否防御常见攻击（如跨站脚本、SQL注入等）6.密码和身份验证6.1 确认密码策略和密码复杂性要求6.2 检查密码是否以安全加密方式存储6.3 审核密码重置和恢复过程是否安全可靠6.4 确保多因素身份验证机制得到有效使用7.事件响应和日志检查7.1 确认安全事件和异常活动的记录是否启用和审查7.2 检查日志记录是否包含必要的信息（如时间戳、事件类型等）7.3 验证日志记录是否存储在安全位置，防止篡改7.4 确保事件响应流程和应急计划得到制定和测试附件:1.设备清单2.用户账户列表3.安全策略配置文件4.应用程序审计报告5.日志记录样本法律名词及注释:1.数据保护法: 一种法律框架，用于保护个人及其数据的隐私和安全。

网络安全自查自纠表网络安全自查自纠表1、系统安全1.1 是否定期更新操作系统和软件的补丁？1.2 是否配置了防火墙以限制不必要的网络流量？1.3 是否设置了密码复杂度要求，并定期修改密码？1.4 是否禁用或删除了不必要的账户？1.5 是否对敏感数据进行加密存储和传输？1.6 是否开启了日志记录并对其进行审计？2、网络访问控制2.1 是否限制了员工的网络访问权限？2.2 是否实施了用户身份验证机制？2.3 是否限制了外部设备（如USB、CD-ROM）的访问？2.4 是否使用网络流量监测工具进行实时监控和检测异常活动？2.5 是否对访问网络的外部设备进行审查？2.6 是否对远程访问进行加密和身份验证？3、数据备份与恢复3.1 是否定期备份重要数据？3.2 是否将备份数据存储在安全的地方？3.3 是否测试并验证备份数据的完整性和可用性？3.4 是否有紧急数据恢复方案？3.5 是否定期测试和更新紧急数据恢复方案？4、员工培训与意识4.1 是否对员工进行网络安全方面的培训？4.2 是否定期强调网络安全政策和措施？4.3 是否建立了网络安全意识的考核机制？4.4 是否定期对员工的网络安全意识进行评估？5、物理安全5.1 是否控制了资产的物理访问权限？5.2 是否安装了监控摄像头并定期进行检查和维护？5.3 是否安装了入侵检测和报警系统？5.4 是否设置了门禁系统和访客登记制度？5.5 是否对重要设备进行密封和标识？6、应急响应6.1 是否建立了网络安全事件应急响应计划？6.2 是否定期进行应急演练和测试？6.3 是否建立了网络安全事件的报告和跟踪机制？6.4 是否与相关部门建立了紧急通信和合作机制？6.5 是否定期对网络安全事件的响应能力进行评估和改进？附件：本文档未涉及到附件。

法律名词及注释：1、操作系统和软件的补丁：由软件开发商发布的更新程序，用于修复软件中存在的漏洞和安全问题。

2、防火墙：一种位于网络与外部之间的安全设备，用于监控和控制网络流量，阻止不安全的数据包进入网络。

网络安全自查表网络安全自查表1、网络基础设施1.1、网络拓扑结构1.2、网络设备配置1.3、网络访问控制1.4、IP地质管理1.5、网络连接安全性2、数据安全管理2.1、数据分类和标记2.2、数据备份计划2.3、数据加密措施2.4、数据传输安全性2.5、数据丢失和泄露防护3、用户访问控制3.1、用户账号管理3.2、用户权限分配3.3、用户密码策略3.4、用户登录监控3.5、用户身份验证4、应用程序安全4.1、应用程序开发规范 4.2、应用程序漏洞扫描 4.3、应用程序权限控制 4.4、应用程序日志管理4.5、应用程序补丁和更新5、网络安全监测与警告系统 5.1、安全事件监控5.2、安全事件响应计划 5.3、安全事件记录和分析 5.4、网络入侵检测5.5、安全告警系统6、物理安全6.1、数据中心安全6.2、网络设备安全6.3、无线网络安全6.4、办公场所安全6.5、电子设备安全7、员工安全意识培训7.1、安全政策和规范7.2、安全意识培训计划7.3、安全演练和模拟测试7.4、安全报告和沟通7.5、安全意识奖励机制附件：1、网络拓扑图3、用户权限分配表4、应用程序漏洞扫描工具报告样本5、安全事件响应流程图注释：1、IP地质管理：对网络中的IP地质进行统一管理和分配。

2、数据加密措施：使用密码学技术对敏感数据进行加密，确保数据在存储和传输过程中不被窃取或篡改。

3、用户登录监控：监控用户登录行为、检测异常登录尝试，及时发现并阻止未经授权的访问。

4、应用程序补丁和更新：及时应用最新的安全补丁和更新，修补已知漏洞，提高应用程序的安全性。

5、网络入侵检测：使用专业的入侵检测系统，实时监测网络流量和活动，发现并阻止潜在的入侵行为。

6、数据中心安全：确保数据中心的物理安全，包括访问控制、视频监控、消防系统等措施。

7、无线网络安全：采取合适的加密协议和访问控制措施，保护无线网络免受未经授权的访问。

8、安全意识培训计划：制定员工安全意识培训计划，提高员工对安全风险的认识和应对能力。

附件42017年重点XXXX网络安全自查表表一：XXXXXX填写表三：网站安全情况自查表XXX自查工作总结按照《XXXXX 网络安全执法检查工作方案》文件要求，XXX高度重视，立即组织开展XXX范围内的网络与信息系统安全工作。

现将自查情况汇报如下：一、网络与信息系统安全组织管理工作1、XXX高度重视网络与信息系统安全工作并部署了此项工作，明确了多名网络与信息系统安全工作管理员，负责日常管理工作。

2、要求各科室、部门认真组织学习，充分认识网络和信息安全工作的重要性，能够按照各项规定正确使用网络和各类信息系统，确保网络与信息系统的安全。

二、网络与信息系统安全日常管理工作结合XXXXXX实际，在日常管理工作中，要求各科室、部门严格按照以下规定执行，确保网络和信息系统的安全。

1、计算机必须设置系统启动密码，密码严禁外泄，避免外部人员登录对本单位计算机网络进行攻击。

2、办公计算机在使用过程中，要定期进行系统备份，以提高突发事件发生时的应对能力。

3、不得随意接入网络设备，避免因擅自接入影响网络和信息系统的正常运行，确因工作需要接入网络设备。

对于移动存储设备，不得与涉密计算机及政务专网以外计算机共用。

4、所有计算机必须安装防火墙，定期查杀网络病毒，移动存储设备在接入计算机使用前，必须进行杀毒。

5、严格信息系统文件的收发，完善清点、修理、编号、签收制度。

三、存在的主要问题及整改情况1、存在的主要问题一是由于XXXXXX计算机网络方面的专业技术人员较少，网络安全方面可投入的力量有限。

二是遇到计算机病毒侵袭等突发事件时，由于技术力量薄弱，处理不够及时。

2、整改措施一是要继续加强对XXXXX人员的安全意识教育，提高做好安全工作的主动性和自觉性。

二是安排专人，密切监测，随时随地解决可能发生的信息系统安全事故。

三是要加大对网络线路、计算机系统的及时维护和保养，加大更新力度，确保网络和信息系统正常运行。

XXXXXXX年月日。

网络安全问题专项整治清单自查表
1. 网络设备安全
- 是否定期更新网络设备的操作系统、驱动程序等关键软件，
以获取最新的安全补丁？
- 是否定期或随机更改网络设备的管理账号和密码，并设置强
密码策略？
- 是否在网络设备上启用防火墙、入侵检测系统和其他网络安
全保护机制？
- 是否对网络设备的日志进行定期审查和分析，以发现潜在的
安全事件？
2. 数据安全
- 是否采取措施加密敏感数据，如个人身份信息、财务信息等？
- 是否定期备份数据，并将备份数据存储在安全可靠的地方？
- 是否限制员工对敏感数据的访问权限，根据需要进行分级管理？
- 是否制定数据安全保护措施并进行培训，以提高员工对数据
安全的意识和保护能力？
3. 网络访问控制
- 是否使用安全的网络认证机制，如双因素认证、单一登录等？
- 是否定期审查和更新用户账号和密码，并删除无用的账号？
- 是否对网络访问进行限制和监控，如限制外部访问、禁止未
授权设备接入等？
- 是否对外部网络连接进行安全评估，查明潜在的网络威胁？
4. 员工安全意识
- 是否定期进行网络安全培训，提高员工对网络安全的意识和
安全防范能力？
- 是否建立举报机制，鼓励员工向安全团队报告可疑活动或事件？
- 是否制定并执行网络安全政策，明确员工在工作中的责任和
义务？
- 是否定期进行网络安全演练，测试员工对安全事件的应对和
处理能力？
以上是网络安全问题专项整治的自查表，通过定期自查，可以
及时发现并解决网络安全问题，保护系统和数据的安全。

网络安全自查自纠表1. 网络基础设施1.1 硬件设备检查- 检查服务器、路由器和交换机等硬件设备是否正常运行。

- 检查各个硬件设备的固件版本，确保已经更新到最新版。

1.2 软件系统检查- 检查操作系统及相关软件是否存在漏洞，并进行修补或升级。

- 定期对防火墙、入侵检测与防御系统等进行配置审计。

2. 访问控制管理2.1 用户账号权限管理- 对所有用户账号设置合理的访问权限，包括限制敏感信息的访问权限。

- 定期审核并清除不再使用或无效的用户账号。

2.２密码策略－强化密码复杂度要求（如长度、大小写字母混用）；－定期更改重置默认口令以及过于简单易猜测口令；－禁止共享帐户和明文存储密码；3.应用程序开发与维护.３１代码规范性–开发人员需遵守统一编码规范, 防止因为低级错误导致的安全漏洞；–定期进行代码审计，发现并修复潜在的安全问题。

.３２输入验证－对用户提交数据进行有效性检查和过滤，防止SQL注入、跨站脚本攻击等。

- 使用白名单机制限定可接受参数范围。

4. 数据保护4.1 敏感信息加密- 对存储或传输中涉及敏感信息（如个人联系号码）采用合适的加密算法。

4.2 备份与恢复策略- 确保重要数据有备份，并测试其完整性以确保能够成功恢复。

5.网络监控与日志管理.５１事件响应－建立紧急处理流程, 并培训相关员工;－实时监测异常行为和未经授权活动;- 及时记录所有关键操作、登录尝试失败次数等情况；.５２日志分析—借助专业软件对系统产生大量日志文件进行自动化分析6.物理环境-.６１设施布局-- 合理规划服务器房间内各种硬件设备位置，防止因误触造成不必要损失。

-.６２访问控制-- 严格限制服务器房间的进入权限，只允许特定人员进入。

7.附件- 网络设备清单表- 用户账号列表法律名词及注释：1. 数据保护：指对个人数据进行合理使用、存储和传输，并采取相应安全措施以防止未经授权的访问或泄露。

2. 加密算法：是一种将明文转换为密文的数学运算方法，通过加密可以有效地保护敏感信息不被非法获取。

网络安全自查表在当今数字化时代，网络的普及和应用已经渗透到我们生活的方方面面。

然而，随之而来的风险和威胁也日益增加。

为了保障个人和企业的信息安全，网络安全自查变得至关重要。

本文将为您提供一份网络安全自查表，帮助您评估和加强网络安全。

1. 硬件安全：- 我的计算机和网络设备安装了最新的防病毒软件，并定期更新病毒定义文件。

- 我的路由器和防火墙设置了强密码，并进行了安全性配置。

- 我的计算机和网络设备锁定在离开时，确保未经授权的访问。

- 我的无线网络使用了加密技术，如WPA2，并定期更改密码。

2. 软件安全：- 我的操作系统和软件应用程序都是最新版本，并及时进行了安全更新。

- 我只从官方网站或可信来源下载软件和应用程序。

- 我的浏览器设置了适当的安全选项，如启用弹出窗口和恶意网站的阻止。

- 我的电子邮件帐户和社交媒体使用了强密码，并启用了两步验证。

3. 数据安全：- 我定期备份重要的文件和数据，并将其存储在安全的位置，如云存储或外部硬盘。

- 我的文件和数据加密，以防止未经授权的访问。

- 我只与可信任的人共享敏感信息，并仅在安全连接下进行在线交流。

- 我不会点击来自不明来源或可疑的链接和附件。

4. 密码和身份验证：- 我使用不同且强大的密码来保护我的各种在线帐户，并定期更改密码。

- 我启用了双因素身份验证来增加帐户的安全性。

- 我不会在公共场所或不安全的网络上登录我的账户。

- 我只使用可信任的网站和服务来保护我的个人信息。

5. 社交工程和钓鱼攻击：- 我会警惕并避免回应未知的电话、短信或电子邮件，以免成为社交工程的目标。

- 我会仔细检查链接的真实性，避免点击可疑的链接。

- 我会验证任何索要个人信息的请求的真实性，以防止成为钓鱼攻击的受害者。

- 我会定期审查我的隐私设置，确保只与熟悉的人分享我的个人信息。

6. 员工教育和培训：- 我的员工接受了关于网络安全的培训，并了解基本的网络安全原则和最佳实践。

- 我定期举办网络安全意识活动，提醒员工保护机密信息和遵守公司的安全政策。

附件42017年重点单位网络安全自查表表一：行业主管部门填写二、行业主管部门网络安全工作情况1、行业网络安全工作的组织领导情况（重点包括：行业网络安全领导机构或网络安全等级保护工作领导机构成立情况；行业网络安全或网络安全等级保护工作的职责部门和具体职能情况；全行业网络安全等级保护工作部署情况等。

）2、行业网络安全等级保护工作保陣情况（重点包括：行业网络安全等级保护工作年度老核情况；行业主管部门组织对地方对口部门或所属企事业单位网络安全检查情况；行业网络安全工作经费是否纳入年度预算？行业网络安全工作的经费约占行业信息化建设经费的百分比情况等。

）3、行业网络安全责任追究制度执行情况（重点包括：是否建立了行业网络安全责任追究制度？是否依据责任追究制度对行业发生的网络安全事件（事故）进行追责等情况。

）4、行业网络安全与信息通报工作情况（重点包括：是否加入了国家网络与信息安全通报机制？是否建立了本行业网络与信息安全通报机制？行业组织开展日常网络安全监测情况；本行业开展网络与信息安全通报预警工作的总体情况等。

）5、行业重要网络安全政策和技术标准的制定情况（重点包括：行业出台网络安全或等级保护政策、管理办法、管理规定等规性文件情况，具体文件名字和出台时间；行业出台网络安全或等级保护标准规情况，具体文件名字和出台时间等情况。

）6、行业网络安全顶层设计和统筹规划情况（重点包括：行业网络安全顶层设计情况；行业网络安全工作的短期目标和长远规划制定情况；全行业的网络安全保护策略制定情况等。

）7、行业数据资源保护情况（重点包括：行业数据中心建设情况；行业数据资源存储情况；行业数据资源安全保护情况; 行业数据资源的灾备中心建设情况和数据备份恢复情况，行业数据资源存储和应用是否由社会第三方提供？提供服务单位的具体情况等）8、行业网络安全应急预案和演练情况（重点包括：是否制定了行业网络安全预案？行业网络安全预案是否进行了演练？是否根据演练情况对预案进行了修改完善等情况）9、行业网络安全应急队伍建设情况（重点包括：是否建立了本行业网络安全应急队伍？是否组建了行业网络安全专家队伍？是否与社会企业签订了应急支持协议？行业应急队伍建设规划等情况。