政策
法定主动公开内容
政府信息公开年报
政府网站工作年报
陕西省交通运输厅关于2017年网络安全自查情况的总结报告
| 索引号: | ZDDBG234472 | 发文字号: | 陕交字〔2017〕81号 |
| 发布机构: | 公文时效: | 有效 | |
| 名称: | 陕西省交通运输厅关于2017年网络安全自查情况的总结报告 | ||
| 主题分类: | 其他文件 | 发布日期: | 2018-01-04 |
交通运输部:
按照交通运输部《交通运输部办公厅关于开展2017年度交通运输行业网络安全检查工作的通知》(交办科技函〔2017〕548号)要求,我厅组织开展了2017年信息系统与网络安全检查工作,现将检查情况汇报如下:
一、网络安全检查工作组织开展情况
按照部网络安全检查要求,我厅向直属各单位传达了文件精神,各厅直属单位能够认真贯彻执行,严格按照检查要求,对各自掌握的网络和重要信息系统进行自查。同时我厅组织技术力量对厅机关的网络及重要信息系统进行安全检查。
截止报送日期,25家厅直属单位全部完成上报工作,其中5家单位既无独立的信息系统也无网站,以零数据进行报送。共统计信息系统和网站总数为51个,其中等保三级信息系统3个,二级信息系统9个,未定级的信息系统39个。
二、关键信息基础设施确定情况
根据“安全保护等级第三级(含)以上保护对象才能纳入关键信息基础设施范围”的原则,我厅符合“关键信息基础设施”的网络系统有三个,分别是省厅机关的“电子公文传输系统”;陕西省高速公路收费管理中心的“陕西省高速公路联网收费系统”和“陕西省高速公路电子收费系统”。
其中“电子公文传输系统”是基于交通行业专网运行的信息系统,与互联网为逻辑隔离,目前暂未开展风险评估工作;“高速公路联网收费系统”、“高速公路电子收费系统”在2017年交通运输部统一安排的安全检查工作中,已经完成了等保和风险评估工作。
三、2017年网络安全主要工作情况
2017年度,我厅在网络安全管理方面做了以下工作:
(一)网站渗透测试
2017年4月,我厅网络安全技术负责单位陕西省交通运行监测中心委托西安捷润数码科技有限公司(该公司具备信息系统安全等级保护测评资质)对省厅机关、省公路局、省高速集团、省交通集团、厅运管局、厅航运局、路政执法总队、收费管理中心、交通规划研究院、西安公路研究院、省汽车站、厅质监站等12家单位的门户网站进行渗透攻击测试,旨在检测这些单位门户网站的脆弱性,评估网站的安全管理水平。测试结果发现有四家单位的网站存在安全漏洞,监测中心已将测试结果反馈回发现安全隐患的单位,要求其尽快修补漏洞,加强门户网站安全管理。
(二)防范“勒索”病毒攻击
5月13日上午接交通运输部防范病毒攻击的紧急通知后,我厅以微信、短信、电话等方式在第一时间向厅直各单位发出网络安全预警信息,安排部署病毒攻击防范工作,与互联网安全服务商及时沟通,迅速取得专用漏洞扫描修复工具、蠕虫病毒免疫工具和关闭端口和相应服务的方法,并迅速向各单位转发。在省厅指导和各单位网络安全技术部门的通力合作下,成功度过病毒传播高发期的72小时,确保我省交通运输行业在此次席卷全球的高危病毒攻击下,未发生一起感染事件,各系统均正常稳定。
(三)建立信息通报渠道
为了防范电脑恶意代码、黑客病毒等网络威胁,加强行业单位间信息的快速传递,及时传达部省网络安全资讯,我厅开通了手机微信群“陕西交通网安交流”,并下发通知要求各厅直单位报送“陕西省交通运输行业网络安全工作联络表”备案。
(四)开展《网络安全法》宣传
1.为了迎接《中华人民共和国网络安全法》的颁布,我厅制作了《网络安全法》宣传展板,在厅机关大楼内开展为期一周宣传活动。
2.为了加强《网络安全法》的宣贯力度,提高各单位一把手的网络安全认知,增强法制意识,我厅邀请了交通运输信息安全中心李璐瑶主任,组织厅机关有关处室、十二个地市交通行业管理部门,召开了《网络安全法》的宣贯视频会,超过200多人参加学习。
四、检查发现的主要问题和面临威胁分析
(一)等级保护认识程度不足
部分单位对信息安全等级保护的认识不足,首先是不能确定信息系统的定义,其次是不知该如何对信息系统进行定级,从目前掌握的各单位信息系统定级情况来看,存在部分信息系统定级不准的情况。有些单位看到等保级别较高时,对系统的安全设备要求,技术力量投入都比较高,为了图省事,怕麻烦,将信息系统等保级别定的较低,这导致信息系统存在安全隐患。
(二)技术力量薄弱
行业内各单位普遍存在缺少信息系统和网络安全方面的专业人员,各信息系统的安全运维基本上都依靠信息系统的开发机构,这样情况存在事件响应不及时,管理权限和核心内容掌握在外部人员手中等安全问题。
本次检查也暴露出部分单位填报数据缺失、报表数据内容矛盾等情况比较严重,这反映出部分单位网络安全管理人员技术水平有待提升。
针对该问题我们加强了对行业信息化工作人员的培训,提高认识和技术水平,保证信息系统核心管理权限和日志审计能力掌握在本单位技术人员手中,同时发文要求各单位严格执行等级保护制度,预期将提升信息系统安全防范能力。
五、新建系统和未定级备案系统开展等级保护工作推进情况
针对信息系统的等级保护定级备案工作,我厅印发的《陕西省交通运输信息化项目管理办法》规定“新建安全等级为第二级以上的信息系统(含第二级),在交工验收前应到公安机关办理备案手续,在竣工验收前应接受并通过厅信息中心信息系统安全检查;已建成信息系统应严格按照相关要求,分年度开展信息系统安全等级保护测评工作”。
同时省厅已下文要求厅直各单位对已投入使用但未做等保备案的信息系统及时确定等保等级,并组织信息化专家对信息系统定级进行审查论证,尽快完成备案工作。
六、下一步工作计划
(一)建立健全网络安全管理规章制度
针对我省交通运输行业网络安全管理存在的问题,我厅已经开展行业网络安全管理体系方面的研究,其目的在于确定网络安全管理体系适用的范围;建立网络安全管理制度框架;编制网络安全管理体系文件;制订陕西网络安全管理体系改进策略。
(二)开展行业内安全检查工作
针对本次检查中发现的问题,我厅近期准备开展行业内网络安全大检查,切实清查各单位网络安全现状,对发现的问题查找原因,限期整改。
(三)督促各单位开展等保备案工作
进一步加强各单位信息系统等保工作,督促各单位加快对未完成备案的信息系统等保等级确定、审核、备案的进程。
附件1
国家关键信息基础设施基础调查表
填表单位:_陕西省交通运输厅_
|
序号 |
单位名称 |
联系人 |
数量 |
关键信息基础设施名称 |
安全保护等级 |
备案编号 |
备案公安机关名称 |
|
|
姓名 |
电话 |
|||||||
|
1 |
陕西省交通运输厅 |
黄山 |
88869271 |
1 |
电子公文传输系统 |
3 |
61000939003-0002 |
陕西省公安厅 |
|
|
|
|
|
|||||
|
|
|
|
|
|||||
|
2 |
陕西省高速公路收费管理中心 |
石军 |
029-86531095 |
2 |
高速公路联网收费系统 |
3 |
61000039009-1602 |
陕西省公安厅 |
|
高速公路电子收费系统 |
3 |
61000039009-1601 |
陕西省公安厅 |
|||||
|
|
|
|
|
|||||
|
合计 |
单位总数 |
3 |
关键信息基础设施总数 |
3 |
||||
填表说明:
1.各省、自治区、直辖市及新疆生产建设兵团交通运输厅(局、委),部属各单位,部内有关单位均需填写。
2.各省、自治区、直辖市及新疆生产建设兵团交通运输厅(局、委)应将本单位本辖区各级单位情况汇总后填写。
附件2
国家关键信息基础设施基本情况表
填表单位:_陕西省交通运输厅_
|
等级保护备案系统(网络、系统或数据资源等) |
电子公文传输系统 |
||
|
运营使用单位名称 |
陕西省交通运输厅 |
||
|
单位联系人姓名 |
黄山 |
固定电话 |
029-88869271 |
|
手机电话 |
18706767333 |
||
|
安全保护等级 |
3 |
备案编号 |
61000939003-0002 |
|
所属行业/领域 |
交通运输 |
受理备案的公安机关 |
陕西省公安厅 |
|
服务范围 |
全省 |
服务对象 |
交通运输行业 |
|
关键信息基础设施是否连接互联网?□是■否 (注:如果连接互联网,请填写关键信息基础设施以下接入信息) |
|||
|
域名 |
与互联网逻辑隔离 |
||
|
域名注册服务机构和联系方式 |
|
||
|
.cn域名的NS记录 |
|
||
|
.cn域名的A记录 |
|
||
|
主站IP地址范围 |
|
||
|
主要协议/端口 |
|
操作系统版本 |
|
|
接入运营商及联系方式 |
|
||
|
物理接入位置 |
|
||
|
接入带宽 |
|
||
|
CDN IP地址范围 |
|
||
|
CDN 服务提供商 |
|
||
|
CDN 联系人姓名 |
|
手机号 |
|
填表说明:每个关键信息基础设施填写一张表格。
国家关键信息基础设施基本情况表
填表单位:_陕西省高速公路收费管理中心_
|
等级保护备案系统(网络、系统或数据资源等) |
高速公路联网收费系统 |
||
|
运营使用单位名称 |
陕西省高速公路收费管理中心 |
||
|
单位联系人姓名 |
石军 |
固定电话 |
029-86531095 |
|
手机电话 |
|
||
|
安全保护等级 |
3 |
备案编号 |
61000039009-1602 |
|
所属行业/领域 |
交通运输 |
受理备案的公安机关 |
陕西省公安厅 |
|
服务范围 |
全省 |
服务对象 |
社会公众 |
|
关键信息基础设施是否连接互联网?□是■否 (注:如果连接互联网,请填写关键信息基础设施以下接入信息) |
|||
|
域名 |
|
||
|
域名注册服务机构和联系方式 |
|
||
|
.cn域名的NS记录 |
|
||
|
.cn域名的A记录 |
|
||
|
主站IP地址范围 |
|
||
|
主要协议/端口 |
|
操作系统版本 |
|
|
接入运营商及联系方式 |
|
||
|
物理接入位置 |
|
||
|
接入带宽 |
|
||
|
CDN IP地址范围 |
|
||
|
CDN 服务提供商 |
|
||
|
CDN 联系人姓名 |
|
手机号 |
|
填表说明:每个关键信息基础设施填写一张表格。
国家关键信息基础设施基本情况表
填表单位:_陕西省高速公路收费管理中心_
|
等级保护备案系统(网络、系统或数据资源等) |
高速公路电子收费系统 |
||
|
运营使用单位名称 |
陕西省高速公路收费管理中心 |
||
|
单位联系人姓名 |
石军 |
固定电话 |
029-86531095 |
|
手机电话 |
|
||
|
安全保护等级 |
3 |
备案编号 |
61000039009-1601 |
|
所属行业/领域 |
交通运输 |
受理备案的公安机关 |
陕西省公安厅 |
|
服务范围 |
全省 |
服务对象 |
社会公众 |
|
关键信息基础设施是否连接互联网?□是■否 (注:如果连接互联网,请填写关键信息基础设施以下接入信息) |
|||
|
域名 |
|
||
|
域名注册服务机构和联系方式 |
|
||
|
.cn域名的NS记录 |
|
||
|
.cn域名的A记录 |
|
||
|
主站IP地址范围 |
|
||
|
主要协议/端口 |
|
操作系统版本 |
|
|
接入运营商及联系方式 |
|
||
|
物理接入位置 |
|
||
|
接入带宽 |
|
||
|
CDN IP地址范围 |
|
||
|
CDN 服务提供商 |
|
||
|
CDN 联系人姓名 |
|
手机号 |
|
填表说明:每个关键信息基础设施填写一张表格。
附件3
网络安全检查工作联系表
填表单位(盖章): 陕西省交通运输厅
|
检查工作负责人 (厅局级) |
姓名 |
王省安 |
|
职务 |
副厅长 |
|
|
电话 |
|
|
|
手机 |
|
|
|
检查工作联系人 (处级) |
姓名 |
王立平 |
|
部门(处室) |
陕西省交通运行监测中心 |
|
|
职务 |
主任工程师 |
|
|
电话 |
029-88869268 |
|
|
手机 |
18991956056 |
|
|
邮箱 |
359581198@qq.com |
填表说明:
1.检查工作负责人为单位主要领导同志或网络安全分管领导;
2.检查工作联系人为承担检查工作的部门或处室主要负责同志。
附件4
2017年网络安全基本情况自查表
(各省、直辖市、自治区交通运输厅(局、委)、部属各单位、部内有关单位填写)
填表单位(盖章): 陕西省交通运输厅
|
一、单位基本情况表 |
||||||
|
单位名称 |
陕西省交通运输厅 |
|||||
|
单位地址 |
西安市高新区唐延路6号 |
|||||
|
网络安全分管领导 |
姓名 |
王省安 |
职务/职称 |
副厅长 |
||
|
网络安全责任部门 |
陕西省交通运行监测中心 |
|||||
|
责任部门负责人 |
姓 名 |
廖军 |
职务/职称 |
主任 |
||
|
办公电话 |
88869279 |
移动电话 |
|
|||
|
责任部门联系人 |
姓 名 |
黄山 |
职务/职称 |
助工 |
||
|
办公电话 |
88869272 |
移动电话 |
18706767333 |
|||
|
传 真 |
88869261 |
邮箱地址 |
381365124@qq.com |
|||
|
本单位本辖区信息系统总数 |
51 |
第四级系统数 |
|
第三级系统数 |
3 |
|
|
第二级系统数 |
9 |
未定级系统数 |
39 |
|||
|
本单位本辖区信息系统等级测评总数 |
3 |
第四级系统数 |
|
第三级系统数 |
2 |
|
|
第二级系统数 |
1 |
未测评系统数 |
57 |
|||
|
本单位本辖区信息系统安全建设整改总数 |
|
第四级系统数 |
|
第三级系统数 |
|
|
|
第二级系统数 |
|
未整改系统数 |
|
|||
|
本单位本辖区网站 总数 |
17 |
第四级系统数 |
|
第三级系统数 |
|
|
|
第二级系统数 |
3 |
未定级系统数 |
|
|||
|
本单位本辖区工业控制系统总数 |
|
第四级系统数 |
|
第三级系统数 |
|
|
|
第二级系统数 |
|
未定级系统数 |
|
|||
|
本级单位信息系统 总数 |
6 |
第四级系统数 |
|
第三级系统数 |
1 |
|
|
第二级系统数 |
5 |
未整改系统数 |
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
填表说明:
1.本表中所涉及的系统级别、备案、等级测评、安全建设整改等是指
等级保护相关规定中的内容。
2.各省、自治区、直辖市及新疆生产建设兵团交通运输厅(局、委),
部属各单位,部内有关单位均需填写。
3.各省、自治区、直辖市及新疆生产建设兵团交通运输厅(局、委)
应将本辖区各级单位情况汇总后一并填写。
4.统计本单位本辖区信息系统总数时,网站、工业控制系统应纳入统
计。
附件5
2017年网络安全自查表
(系统运营使用单位填写)
填表单位(盖章): 陕西省交通运输厅
|
一、信息系统运营使用单位基本情况 |
|||||||||||||
|
单位名称 |
陕西省交通运输厅 |
||||||||||||
|
单位地址 |
西安市高新区唐延路6号 |
||||||||||||
|
网络安全分管领导 |
姓名 |
王省安 |
职务/职称 |
副厅长 |
|||||||||
|
网络安全责任部门 |
陕西省交通运行监测中心 |
||||||||||||
|
责任部门负责人 |
姓 名 |
廖军 |
职务/职称 |
主任 |
|||||||||
|
办公电话 |
88869279 |
移动电话 |
|
||||||||||
|
责任部门联系人 |
姓 名 |
黄山 |
职务/职称 |
助工 |
|||||||||
|
办公电话 |
88869272 |
移动电话 |
18706767333 |
||||||||||
|
单位信息系统 总数 |
6 |
第四级系统数 |
|
第三级系统数 |
1 |
||||||||
|
第二级系统数 |
5 |
未定级系统数 |
|
||||||||||
|
单位信息系统 等级测评总数 |
|
第四级系统数 |
|
第三级系统数 |
|
||||||||
|
第二级系统数 |
|
未测评系统数 |
|
||||||||||
|
单位信息系统 安全建设整改总数 |
|
第四级系统数 |
|
第三级系统数 |
|
||||||||
|
第二级系统数 |
|
未整改系统数 |
|
||||||||||
|
单位信息系统 安全自查总数 |
6 |
第四级系统数 |
|
第三级系统数 |
1 |
||||||||
|
第二级系统数 |
5 |
未自查系统数 |
|
||||||||||
|
二、信息系统运营使用单位网络安全工作情况 |
|||||||||||||
|
1、单位网络安全等级保护工作的组织领导情况 |
|||||||||||||
|
(重点包括:单位网络安全领导机构或网络安全等级保护工作领导机构成立情况;单位网络安全或网络安全等级保护工作的职责部门和具体职能情况;单位网络安全等级保护工作部署情况等。)
成立了由主管厅领导为组长,厅直各单位负责信息化安全的领导为成员的信息系统安全等级保护机构,厅科技教育处作为行业信息安全工作的管理机构,统筹行业各单位信息安全及等级保护工作的开展情况,厅交通厅信息中心为等级保护工作提供技术支持。
|
|||||||||||||
|
2、单位对网络安全等级保护工作的保障情况 |
|||||||||||||
|
(重点包括:单位网络安全等级保护工作年度考核情况;单位组织开展网络安全自查情况;单位网络安全工作经费是否纳入年度预算?单位网络安全工作的经费约占单位信息化建设经费的百分比情况等。)
网络安全作为厅信息中心考核指标纳入该单位的年度考核指标中。 目前我厅没有针对网络安全方面的专项经费。
|
|||||||||||||
|
3、单位网络安全责任追究制度执行情况 |
|||||||||||||
|
(重点包括:是否建立了单位网络安全责任追究制度?是否依据责任追究制度对单位发生的网络安全事件(事故)进行追责等情况。)
我厅制订的《陕西省交通运输厅信息系统等级保护实施细则》中对安全责任追究有描述。目前本行业尚未发生过重大信息安全事件。
|
|||||||||||||
|
4、单位信息系统定级备案工作情况 |
|||||||||||||
|
(重点包括:单位信息系统是否全部定级备案?单位系统调整是否及时进行备案变更?单位新建信息系统是否落实定级备案等工作。)
省厅机关所掌握的信息系统有6个,均进行了等保备案,其中三级系统一个,二级系统五个。 目前拟对省厅门户网站的备案等级由二级提升至三级,该工作正在进行中。 在我厅下发的信息化管理办法中有明确规定,新建信息系统在竣工验收时,必须取得等保备案证,并将其作为验收的必要支撑材料。
|
|||||||||||||
|
5、单位信息系统安全测评和安全建设整改工作情况 |
|||||||||||||
|
(重点包括:单位信息系统安全检测和整改经费落实情况;单位信息系统恶意代码扫描、渗透性测试、等级测评和风险评估的安全检测情况;信息系统安全建设整改方案制定和实施情况;单位网络安全保护状况的了解掌握等情况。)
厅机关的信息系统有一个三级系统和一个二级系统在等保备案时进行过安全测评,其余二级系统未进行安全测评。因我厅没有对应的信息安全经费,也无相应的安全技术手段,无法进行自主的恶意代码扫描。
|
|||||||||||||
|
6、单位网络安全管理制度的制定和实施情况 |
|||||||||||||
|
(重点包括:单位信息系统建设和网络安全“同步规划、同步建设、同步运行”措施的落实情况;单位人员管理,信息系统机房管理、设备管理、介质管理、网络安全建设管理、运维管理、服务外包等管理制度的建设情况;管理制度的监督保障和运行情况等。)
我厅制订的《信息化管理办法》、《陕西省交通运输厅信息系统等级保护实施细则》中都有对信息系统的建设要与安全建设同步的描述。
|
|||||||||||||
|
7、单位重要数据的保护情况 |
|||||||||||||
|
(重点包括:单位数据中心建设情况;单位重要数据存储和安全保护情况;单位重要数据备份恢复情况,单位重要数据存储和应用是否由社会第三方提供?提供服务单位的具体情况等)
厅机关建设有网站中心机房,重要数据和系统均部署在相应的安全DMZ区,重要数据保存在磁盘阵列中,并做有RIAD。
|
|||||||||||||
|
8、单位网络安全监测和预警情况 |
|||||||||||||
|
(重点包括:单位开展日常网络安全监测情况;单位网络安全监测技术手段建设情况;单位网络安全预警工作情况等。)
我厅在行业专网上部署有网络安全测评系统,可对专业的运行进行实时监测。
|
|||||||||||||
|
9、单位网络安全应急预案和演练情况 |
|||||||||||||
|
(重点包括:是否制定了单位网络安全预案?单位网络安全预案是否进行了演练?是否根据演练情况对预案进行了修改完善等情况。)
我厅制订有《陕西省交通运输厅网络与信息安全事件应急预案》,但尚未进行过针对性演练。
|
|||||||||||||
|
10、单位网络安全事件(事故)的处置情况 |
|||||||||||||
|
(重点包括:是否明确了单位网络安全事件(事故)发现、报告和处置流程?年内是否发生重大网络安全事件(事故)?是否与相关部门建立了网络安全应急处置机制等情况。)
我厅在《陕西省交通运输厅信息系统等级保护实施细则》中对网络安全事件的发现、报告和处置有明确描述,与交通运输部建立有网络安全事件通报机制。目前我厅未发生过重大网络安全事件。
|
|||||||||||||
|
11、单位信息技术产品、服务国产化情况 |
|||||||||||||
|
(重点包括:单位操作系统、服务器、数据库、交换机等核心信息技术产品的国产化比率情况;单位网络安全设备的国产化比率情况;单位信息技术产品国产化替换工作计划情况;单位新建信息系统是否采用国产化设备;单位信息安全服务情况等。)
因我厅的中心机房建设较早,而且要承担行业几个核心系统的正常、稳定运行,所以厅机关中心机房的核心设备,如路由器、服务器、核心交换机等均是进口产品,非核心的交换机和全部的安全设备均为国产。操作系统没有国产产品。
|
|||||||||||||
|
12、单位网络安全宣传培训情况 |
|||||||||||||
|
(重点包括:单位组织开展网络安全宣传教育情况;单位组织开展网络安全岗位培训和网络安全员培训等情况。)
2017年上半年已开展过两次针对网络安全的培训,参加培训人员包括厅机关、厅直各单位、各地市交通行业管理部门的人员。
|
|||||||||||||
|
三、单位信息系统基本情况 |
|||||||||||||
|
序号 |
信息系统名称 |
是否定级 |
是否备案 |
是否为关键信息基础设施 |
备案编号 |
安全保护等级 |
|||||||
|
1 |
陕西省交通运输厅门户网站 |
是 |
是 |
|
61000939003-0001 |
二 |
|||||||
|
2 |
陕西省交通运输行业专网 |
是 |
是 |
|
61000939003-0003 |
二 |
|||||||
|
3 |
视频会议系统 |
是 |
是 |
|
61000939004-0004 |
二 |
|||||||
|
4 |
政务协同平台 |
是 |
是 |
|
61000123004-0006 |
二 |
|||||||
|
5 |
陕西省高速公路建设项目信息管理平台 |
是 |
是 |
|
61001239004-0005 |
二 |
|||||||
|
6 |
电子公文传输系统 |
是 |
是 |
是 |
61000939003-0002 |
三 |
|||||||
附件6
2017年网站安全情况自查表
填表单位(盖章): 陕西省交通运输厅
|
一、网站的基本情况 |
|||||||||
|
网站中文名 |
陕西省交通运输厅 |
IP地址 |
113.140.70.179 |
||||||
|
网址 |
www.sxsjtt.gov.cn |
||||||||
|
网站责任单位 |
陕西省交通运输厅 |
网站运行单位 |
省交通运输厅办公室 |
||||||
|
网站责任单位负责 人及职务 |
冯西宁 厅长 |
联系电话 |
|
||||||
|
网站运行安全责任人及职务 |
王建勋 办公室主任 |
联系电话 |
029-88869001 |
||||||
|
网站责任单位 所在地 |
陕西 西安 |
||||||||
|
工信部ICP备案号 |
陕ICP备:05009021号 |
||||||||
|
国际联网备案号 |
|
||||||||
|
隶属关系 |
□中央 R省(自治区、直辖市) □地(区、市、州、盟) □县(区、市、旗) □其他_____ |
||||||||
|
单位类型 |
R政府机关 □事业单位 □国企 □互联网 □其他_____ |
||||||||
|
行业类别 |
交通运输 |
||||||||
|
等级保护定级备案 |
R二级 □三级 □四级 □未定级 |
||||||||
|
等级测评 |
R已开展 □未开展 |
||||||||
|
网站安全责任书 |
R已签订 □未签订 |
||||||||
|
网站服务栏目 |
R新闻发布 R政策宣传 R事项办理 □论 坛 R即时通信 R电子邮件 R留言版 R政务公开 □其他_____ |
||||||||
|
二、网站的联网信息 |
|||||||||
|
域名注册服务机构和联系方式 |
厦门三五互联科技股份有限公司 4006003535 |
||||||||
|
.cn域名的NS记录 |
ns1.dns-diy.com ns2.dns-diy.com |
||||||||
|
.cn域名的A记录 |
124.115.170.173 |
||||||||
|
主站IP地址范围 |
124.115.170.173 |
||||||||
|
主要协议/端口 |
TCP/IP:80 |
操作系统版本 |
windows2008 |
||||||
|
接入运营商及联系方式 |
陕西省政府政务机房 |
||||||||
|
物理接入位置 |
西安市高新区茶张路 |
||||||||
|
接入带宽 |
100M共享带宽 |
||||||||
|
CDN IP地址范围 |
|
||||||||
|
CDN 服务提供商 |
|
||||||||
|
CDN 联系人姓名 |
|
手机号 |
|
||||||
|
三、网站安全保护情况 |
|||||||||
|
1 |
网站安全责任部门和安全责任人落实情况 |
是否落实了单位网站安全责任部门? |
R是 □否 |
||||||
|
是否落实了单位网站安全责任人? |
R是 □否 |
||||||||
|
2 |
主要领导对网站网络安全工作的重视情况 |
是否将网站安全工作的执行情况纳入到年度考核指标? |
R是 □否 |
||||||
|
开展网站安全工作的经费是否纳入年度预算? |
R是 □否 |
||||||||
|
3 |
单位网站网络安全责任制落实情况 |
是否明确了网站建设单位、运维单位和内容更新单位等部门的责任? |
R是 □否 |
||||||
|
是否对发生的网站安全事件(事故)按照安全责任制进行追责? |
R是 □否 |
||||||||
|
4 |
关键岗位人员配备情况 |
是否有明确的安全管理员,并签订保密协议? |
R是 □否 |
||||||
|
是否有内容管理员,并签订保密协议? |
R是 □否 |
||||||||
|
5 |
网站定级备案执行情况 |
单位网站是否确定了安全保护等级? |
R是 □否 |
||||||
|
单位网站是否按要求到公安机关进行了备案? |
R是 □否 |
||||||||
|
6 |
网站等级测评情况 |
是否从《全国网络安全等级保护测评机构推荐目录》中选择测评机构开展等级测评? |
R是 □否 |
||||||
|
是否对网站系统定期进行安全测评? |
□是 R否 |
||||||||
|
是否对网站系统进行了外部渗透测试? |
R是 □否 |
||||||||
|
是否根据测评和渗透测试结果对网站进行安全加固改造? |
R是 □否 |
||||||||
|
7 |
安全事件报告处置 |
是否制定网站安全事件(事故)报告制度? |
R是 □否 |
||||||
|
发生网站安全事件(事故)是否向属地公安机关报告? |
R是 □否 |
||||||||
|
是否有完整网站安全事件处置记录? |
R是 □否 |
||||||||
|
是否按照要求保留网站完整日志? |
R是 □否 |
||||||||
|
8 |
开展网站安全监测和预警情况 |
本单位是否开展日常网站安全监测? |
□是 R否 |
||||||
|
是否有网站安全监测记录? |
□是 R否 |
||||||||
|
是否有网站安全预警和处理记录? |
□是 R否 |
||||||||
|
9 |
网站内容管理 |
是否制定网站内容发布管理制度? |
R是 □否 |
||||||
|
是否制定网站内容发布流程? |
R是 □否 |
||||||||
|
10 |
应急预案的制定、演练和完善情况 |
是否有应急预案,并有相应的预案文档? |
R是 □否 |
||||||
|
是否有应急保障队伍并有人员联系方式? |
R是 □否 |
||||||||
|
是否定期应急演练并有应急演练的文档记录? |
□是 R否 |
||||||||
|
是否根据演练结果对应急预案进行完善? |
□是 R否 |
||||||||
|
11 |
机房安全管理制度执行情况 |
本单位机房进出人员管理是否按照制度执行,并有详细记录? |
R是 □否 |
||||||
|
本单位机房日常监控是否制度执行并有监控记录? |
R是 □否 |
||||||||
|
12 |
网络安全检查情况 |
是否有网站安全自查工作总结报告? |
R是 □否 |
||||||
|
13 |
网站交互式栏目信息巡查情况 |
单位网站是否有交互式栏目? |
R是 □否 |
||||||
|
是否有专人负责网站交互式栏目信息巡查? |
R是 □否 |
||||||||
|
14 |
网络边界安全防护设备情况 |
是否部署防火墙? |
R是 □否 |
||||||
|
是否对外屏蔽了不必要的服务/端口? |
R是 □否 |
||||||||
|
是否部署入侵检测(防护)设备? |
□是 R否 |
||||||||
|
是否部署防病毒网关? |
□是 R否 |
||||||||
|
是否部署抗拒绝服务攻击设备? |
R是 □否 |
||||||||
|
是否部署Web应用防火墙? |
R是 □否 |
||||||||
|
是否部署设备? |
R是 □否 |
||||||||
|
15 |
网页防篡改措施 |
是否定期对网站文件进行检测? |
R是 □否 |
||||||
|
是否采取网页防篡改措施? |
R是 □否 |
||||||||
|
16 |
漏洞扫描措施及修复升级情况 |
是否进行过系统层漏洞扫描,并有详细记录? |
R是 □否 |
||||||
|
是否进行过应用层漏洞扫描,并有详细记录? |
R是 □否 |
||||||||
|
发现的漏洞是否及时修复? |
R是 □否 |
||||||||
|
17 |
网站恶意代码防护 |
是否有网页挂马检测系统? |
R是 □否 |
||||||
|
18 |
网站内容安全防护措施 |
内容编辑、审核及发布权限是否分离? |
R是 □否 |
||||||
|
关键信息发布是否多级审核? |
R是 □否 |
||||||||
|
网站发布内容是否过滤? |
R是 □否 |
||||||||
|
19 |
管理终端安全防护措施 |
是否有控制措施(如地址绑定,网络接入控制等)? |
R是 □否 |
||||||
|
20 |
网站后台管理系统防护措施 |
是否对网站后台管理系统的接口进行隐藏? |
R是 □否 |
||||||
|
网站后台管理系统登录是否采取验证机制? |
R是 □否 |
||||||||
|
是否对网站后台管理系统的登录失败尝试次数进行限制 |
R是 □否 |
||||||||
|
是否对网站后台管理系统的用户口令复杂度进行强度限制 |
R是 □否 |
||||||||
|
21 |
主要设备可用性 |
网站服务器和数据库服务器是否双机热备? |
□是 R否 |
||||||
|
网站服务器和数据库服务器是否采用冷备方式? |
R是 □否 |
||||||||
|
22 |
网站前、后台系统隔离情况 |
是否采用逻辑隔离? |
□是 R否 |
||||||
|
23 |
网站应用远程管理情况 |
是否不允许远程管理网站的应用? |
□是 R否 |
||||||
|
应用远程管理时是否采用加密通道? |
R是 □否 |
||||||||
|
24 |
网站内容远程维护情况 |
是否不允许远程维护网站内容? |
□是 R否 |
||||||
|
网站内容远程维护时是否采用加密通道? |
R是 □否 |
||||||||
|
25 |
网站服务器操作系统安全措施 |
网站服务器操作系统安全补丁是否及时更新? |
R是 □否 |
||||||
|
网站服务器操作系统是否存在弱口令? |
□是 R否 |
||||||||
|
26 |
网站服务器数据库安全措施 |
网站服务器数据库是否存在弱口令? |
□是 R否 |
||||||
|
网站服务器数据库是否共用同一管理口令? |
□是 R否 |
||||||||
|
27 |
网站服务器中间件安全措施 |
网站服务器中间件管理界面是否允许外部访问? |
□是 R否 |
||||||
|
网站服务器中间件是否存在弱口令? |
□是 R否 |
||||||||
|
28 |
网站安全整治 专项工作情况 |
是否完成网站通信管理部门备案? |
R是 □否 |
||||||
|
是否完成网站等级保护备案? |
R是 □否 |
||||||||
|
是否完成网站统一标识? |
R是 □否 |
||||||||
填表说明:每个独立域名网站均需要填写一张表格。
陕西省交通运输厅
2017年7月27日
