xx縣局網監隊:
我院在接到貴單位發來的《資訊系統安全等保限期整改通知書》後,院領導高度重視,責成資訊科按照要求進行整改,現在整改情況報告如下。
一、我院網路安全等級保護工作概況
根據上級主管部門和行業主管部門要求,我院高度重視並開展了網路安全等級保護相關工作,工作內容主要包含資訊系統梳理、定級、備案、等級保護測評、安全建設整改等。我院目前執行的主要資訊系統有:綜合業務資訊系統。綜合業務資訊系統是xx縣人民醫院核心醫療業務資訊系統的集合,系統功能模組主要包括醫院資訊系統(HIS)、檢驗資訊系統(LIS)、電子病歷系統(EMRS)、醫學影像資訊系統(PACS),其中醫院資訊系統(HIS)、檢驗資訊系統(LIS)、電子病歷系統(EMRS)由x弘揚軟體股份有限公司開發建設並提供技術支援,醫學影像資訊系統(PACS)由x中航資訊科技產業股份有限公司開發建設並提供技術支援。
我院已於20xx年11月完成了綜合業務資訊系統的定級、備案、等級保護測評、專家評審等工作,系統安全保護等級為第二級(S2A2G2),等級保護測評機構為x天祺資訊保安技術有限公司,等級保護測評結論為基本符合,綜合得分為76.02分。在測評過程中,資訊科已根據測評人員建議對能夠立即整改的安全問題進行了整改,如:伺服器安全加固、問控制策略調整、安裝防病毒軟體、增加安全產品等。目前我院正在進行入口網站的網路安全等級保護測評工作。
二、安全問題整改情況
此次整改報告中涉及到的資訊系統安全問題是我院於20xx年11月託x天祺公司對醫院資訊系統進行測評饋的內容,主要包括應用伺服器、資料庫伺服器作業系統漏洞和Oracle漏洞等。針對應用伺服器系統漏洞,我院及時與安全公司進行溝通,溝通後通過關閉部分系統服務和埠,更新必要的系統升級包等措施進行了及時的處理。針對Oracle資料庫存在的安全漏洞問題,我們與安全公司和軟體廠商進行了溝通,我院HIS系統於20xx年底投入使用,資料庫版本為Oracle 11g,投入執行時間較早,且部署於內網環境中未及時進行漏洞修復。
經過軟體開發廠商測試發現修復Oracle資料庫漏洞會影響HIS系統正常執行,並存在未知風險,為了既保證資訊系統安全穩定執行又降低資訊系統面臨的安全隱患,我們主要採取控制資料庫問許可權,切斷與伺服器不必要的連線、限制資料庫管理人員許可權等措施來降低資料庫安全漏洞造成的風險。具體措施為:第一由不同技術人員分別掌握資料庫伺服器和資料庫的管理許可權;第二資料庫伺服器僅允許有業務需求的應用伺服器連線,日常管理資料庫採用本地管理方式,資料庫不對外提供遠端問;第三對資料庫進行了安全加固,設定了強密碼、開啟了日誌審計功能、禁用了資料庫預設使用者等。
我院高度重視網路安全工作,醫院網路中先後配備了防火牆、防毒牆、入侵防禦、網路版防毒軟體、桌面終端管理等安全產品,並正在採購網閘、堡壘機、日誌審計等安全產品,同時組建了醫院網路安全小組,由三名技術人員負責網路安全管理工作,使我院網路安全管理水平幅提升。
“沒有網路安全,就沒有國家安全”。作為全縣醫療救治中心,醫院始終把資訊網路安全和醫療安全放在首位,不斷緊跟醫院發展和形勢需要,科學有效的推進網路安全建設工作,並接受各級主管部門的監督和管理。
根據上級網路安全管理檔案精神,x教育x成立了網路資訊保安工作領導小組,在組長副x長的領導下,制定計劃,明確責任,具體落實,對我係統網路與資訊保安進行了一次全面的調查。發現問題,分析問題,解決問題,確保了網路能更好地保持良好執行,為我x教育發展提供一個強有力的資訊支援平臺。
一、加強領導,成立了網路與資訊保安工作領導小組 為進一步加強全系統網路資訊系統安全管理工作,我x成立了網路與資訊系統安全保密工作領導小組,做到分工明確,責任具體到人。安全工作領導小組,組長,副組長,成員有。分工與各自的職責如下:副x長為我x計算機網路與資訊系統安全保密工作第一責任人,全面負責計算機網路與資訊保安管理工作。辦公室主任分管計算機網路與資訊保安管理工作。劉林聲負責計算機網路與資訊保安管理工作的日常事務,上級教育主管部門釋出的資訊、檔案的接收工作。負責計算機網路與資訊保安管理工作的日常協調、督促工作。蘇宇負責網路維護和日常技術管理工作。
二、完善制度,確保了網路安全工作有章可循
為保證我係統計算機網路的正常執行與健康發展,加強對校園網的.管理,規範網路使用行為,根據《中國教育和科研計算機網路管理辦法(試行)》、《關於進一步加強x教育系統網路安全管理工作的通知》的有關規定,制定了《x教育系統網路安全管理辦法》、《上網資訊釋出稽核登記表》、《上網資訊監控巡視制度》、《x教育系統網路安全管理責任狀》等相關制度、措施,確保網路安全。
三、強化管理,加強了網路安全技術防範措施
我係統計算機網路加強了技術防範措施。一是安裝了火牆,防止病毒、反動不良資訊入侵網路。二是安裝兩種防毒軟體,網路管理員每週對防毒軟體的病毒庫進行升級,及時進行防毒軟體的升級與防毒,發現問題立即解決。三是網路與xx大樓避雷網相聯,計算機所在部門加固門窗,購買滅火器,擺放在顯著位置,做到裝置防雷、防盜、防火,保證裝置安全、完好。四是及時對伺服器的系統和軟體進行更新。五是密切注意cert訊息。六是對重要檔案,資訊資源做到及時備份。建立系統恢復檔案。
我x網路安全領導小組每季度對全系統機房、學校辦公用機、多媒體教室及學校電教室的環境安全、裝置安全、資訊保安、管理制度落實情況等內容進行一次全面的檢查,對存在的問題及時進行糾正,消除安全隱患。
接供電局《開展網路資訊保安生產專項檢查》的通知,我公司深刻領會檔案精神,積極組織落實,認真對照,對網路安全基礎設施建設情況,網路與資訊安全防範技術情況進行了自查,現將自查情況彙報如下:
一、自查工作組織開展情況:
此次自查工作由生產技術部牽頭,安環部,熱電分廠,電石分廠負責具體落實。對所屬的分散控制系統(DCS),計算機監控系統,負荷控制系統進行檢查,集體如下:熱電所選用的控制系統為杭州和利時自動化有限公司的MACSV系統,完成對資料的採集,控制和監控。MACSV系統網路分為監控網路,系統網路和控制網路三個層次,三種網路以“站”的形式連線。包括資料站,工程師站,操作員站和現場控制站;涉及的版本號為MACSV5.2.4中英文正式版,MACSV6.5.1和6.5.2#3機爐和供熱,作業系統版本WINXP+SP3;主從伺服器系統版本為WINSEVER20__;監控網路採用TCP/IP通訊協議,冗餘高速工業乙太網連結,系統網路採用HSIE通訊協議,冗餘高速工業乙太網連結,控制網路採用profibus-DP現場匯流排,位於現場控制站內部。
二、網路與資訊保安工作情況:
1、硬體安全:包括防雷,防火和UPS電源連結等,運維人員每天堅持巡查,排除安全隱患,伺服器,交換機,現場控制站等都有UPS電源保護,可以保證短時間斷電情況下,裝置執行正常,不會因突然斷電導致裝置無法執行或損壞。此外,區域網內所有計算機USB介面實行完全封閉,有效避免了因外接裝置(如U盤,硬碟,其他移動裝置)而引起中毒或洩密的發生。
2、網路安全:包括網路結構、密碼管理、IP管理等;交換機、路由器、光纖收發器等都有備品備件,發生故障可以在第一時間更換,保證裝置的穩定執行。
3、應急處置:我廠系統伺服器執行安全,穩定,並配備了大型UPS電源,可以保證大面積斷電情況下,伺服器堅持執行半小時以上。雖然系統長期穩定,執行良好,但我廠依然定了應急處置預案,並定期進行事故應急演練。
總體來說,我廠對網路與資訊完全工作非常重視,未發生過重大安全事故,各系統運轉穩定。但自查中也發現了不足之處,如目前沒有專門的技術人員,日常檢查維護由熱工人員擔任,而且熱工人員也沒有經過專門的資訊保安培訓,安全力量有限。今後還需要加強資訊科技人員的培養,更進一步提高資訊保安技術水平,提高系統執行的安全性和工作效率。
4、技術防護:
1.1物理環境安全;程師站、算機房不斷改造,均有門禁,防盜上鎖;監視器防火防災報警裝置,供電和通訊系統採用雙線冗餘;人員出入有出入登記制度;
1.2運維管理;根據內容要求,裝置,系統的運維都有相應的日誌記錄和程式變更記錄,以及強制單的管理和記錄,並將工程師站和操作員站分離,有獨自的登入賬號和密碼,並分別配有加密狗保證系統的執行安全。
三、網路安全存在以下幾點不足:
1、 病毒監控能力有待高;
2、遇到惡意攻擊,計算機病毒侵襲等突發事件處理不夠及時。
3、安全防範意識較為薄弱;
四、整改辦法與措施:
1、加強計算機操作技術水平,網路安全技術方面的培訓;強化計算機操作人員對病毒,資訊保安的防範意識。
2、加強計算機維護人員在計算機技術,網路技術方面的學習,不斷提高計算機主管人員的技術水平。
意見建議:
建議按年度列支相關經費,組織相關人員進行培訓,應急演練,改造等工作的開展。
學校接到:“重慶市巴南區教育委員會關於轉發巴南區資訊網路安全大檢查專項行動實施方案的通知”後,按檔案精神立即落實相關部門進行自查,現將自查情況作如下報告:
一、充實領導機構,加強責任落實
接到檔案通知後,學校立即召開行政辦公會議,進一步落實領導小組及工作組,落實分工與責任人(領導小組見附件一)。魚洞二小網路安全大檢查專項行動由學校統一牽頭,統一指揮,學校資訊中心具體負責落實實施。資訊中心設立工作小組(工作小組見附件一),小組成員及各自分工落實管理、維護、檢查信及培訓,層層落實,並堅決執行“誰主管誰負責、誰執行誰負責、誰使用誰負責”的管理原則,保障我校校園網的絕對安全,給全校師生提供一個安全健康的網路使用環境。
二、開展安全檢查,及時整改隱患
1、我校“網路中心、功能室、微機室、教室、辦公室”等都建立了使用及安全管理規章制度,且制度都上牆張貼。
2、網路中心的安全防護是重中之重,我們分為:物理安全、網路入出口安全、資料安全等。物理安全主要是設施裝置的防火防盜、物理損壞等;網路入出口安全是指光纖接入防火牆->路由器->核心交換機及內網訪問出去的安全,把握好源頭;資料安全是指對校園網的資料備份、對不安全的資訊進行處理上報、對資訊的過渡等。資訊中心有獨立的管理制度,如網路更新登記、伺服器資源、硬碟分佈統計資料、安全日誌等,便於發現問題,既時查詢。
4、強化網路安全管理工作,對所有接入我校核心交換機的計算機裝置進行了全面安全檢查,對作業系統存在漏洞、防毒軟體配置不到位的計算機進行全面升級,確保網路安全。
5、規範資訊的採集、稽核和釋出流程,嚴格資訊釋出稽核,確保所釋出資訊內容的準確性和真實性。每週定時對我校站的留言簿、二小部落格上的貼子,留言進行稽核,對不健康的資訊進行遮蔽,對於反映情況的問題,備份好資料,及時向學校彙報。
6、本期第三週我校在教職工大會組織老師學習有關資訊網路法律法規,提高老師們合理、正確使用網路資源的意識,養成良好的上網習慣,不做任何與有關資訊網路法律法規相違背的事。
7、嚴格禁止辦公內網電腦直接與網際網路相連,經檢查未發現在非涉密計算機上處理、儲存、傳遞涉密資訊,在國際網際網路上利用電子郵件系統傳遞涉密資訊,在各種論壇、聊天室、部落格等釋出、談論國家祕密資訊以及利用QQ等聊天工具傳遞、談論國家祕密資訊等危害網路資訊保安現象。
三、存在的問題
1、由於我校的網路終端300多個點,管理難度大,學校沒有多餘的經費來購買正版防毒軟體,現在使用的是偽版的或者免費版本的防毒軟體,這給我們的網路安全帶來了一定的風險。
2、我校的伺服器共有5臺,但我們沒有一套網路管理軟體,平時全靠人工手動去管理,管理難度大,所以平時難免有忘補丁升級的時候,這難免也存在一定的安全風險。
3、在學校,網管員不能專職來搞網路管理,一般都還要兼一個人的工作量,所以在網路管理上的精力有限,在網路管理、資源整理,安全日誌記錄上還有待於進一步提高。
總之,在後面的工作中,針對我們的不足及問題,努力整改,在現有的基礎上,盡最大努力把我校網路安全工作做到更好,給全校師生提供一個安全健康的網路環境。也殷切期望相關領導給我們指點迷津,謝謝。
根據路局《關於在全域性範圍內開展網路與資訊保安檢查行動的通知》()檔案精神。我站對本站網路與資訊保安情況進行了自查,現彙報如下:
一、資訊保安自查工作組織開展情況
1、成立了資訊保安檢查行動小組。由站長、書記任組長,相關科室(車間)負責人、資訊科技科全體人員為組員負責對全站的重要資訊系統全面排查並填記有關報表、建檔留存。
2、資訊保安檢查小組對照網路與資訊系統的實際情況進行了逐項排查、確認,並對自查結果進行了全面的核對、梳理、分析。整改,提高了對全站網路與資訊保安狀況的掌控。
二、網路與資訊保安工作情況
1)組織成立了網路與資訊保安檢查工作小組,由站長、書記任組長,相關科室(車間)負責人、資訊科技科全體人員為組員。
2)研究制定自查實施方案,根據系統所承擔的業務的獨立性、責任主體的獨立性、網路邊界的獨立性、安全防護裝置設施的獨立性四個因素,對客票發售與預訂系統、旅客服務系統、辦公資訊系統進行全面的梳理並綜合分析。
2、8月6日前對客票發售與預訂系統、旅客服務系統、辦公資訊系統的基本情況進行逐項排查。
1)系統安全基本情況自查
客票發售與預訂系統為實時性系統,對車站主要業務影響較高。目前擁有IBM伺服器2臺、cisco路由器2臺、cisco交換機13臺,系統均採用windows作業系統,災備情況為系統級災備,該系統不與網際網路連線,防火牆採用永達公司永達安全管控防火牆。
旅客服務系統為實時性系統,對車站主要業務影響較高。目前擁有HP伺服器13臺、H3C路由5臺、H3C交換機15臺,系統採用linix作業系統,資料庫採用SQLServer,災備情況為資料災備,該系統不與網際網路連線,安全防護策略採用按照使用需求開放埠,重要資料均採用加密防護。
2)安全管理自查情況
人員管理方面,指定專職資訊保安員,成立資訊保安管理機構和資訊保安專職工作機構。重要崗位人員全部簽訂安全保密協議,制定了《人員離職離崗安全規定》、《外部人員訪問審批表》。
資產管理方面,指定了專人進行資產管理,完善了《資產管理制度》、《裝置維修維護和報廢管理制度》,建立了《裝置維修維護記錄表》。
儲存介質管理方面,完善了《儲存介質管理制度》,建立了《儲存介質管理記錄表》。執行維護管理方面,建立了《客服系統維護標準》、《執行維護操作記錄表》,完善了《日常執行維護制度》。
3)網路與資訊保安培訓情況
三、自查發現的主要問題和麵臨的威脅分析
四、改進措施
我x對網路資訊保安保密工作地直十分重視,成立了專門的領導組,建立健全了網路安全保密責任制和有關規章制度,由x網路管理室統一管理,各科室負責各自的網路資訊保安工作。嚴格落實有關網路資訊保安保密方面的各項規定,採取了多種措施防範安全保密有關事件的發生,總體上看,我x網路資訊保安保密工作做得比較紮實,效果也比較好,近年來未發現失洩密問題。
一、計算機涉密資訊管理情況
今年以來,我x加強組織領導,強化宣傳教育,落實工作責任,加強日常監督檢查。對於計算機磁介質(軟盤、u盤、行動硬碟等)的管理,採取專人保管、涉密檔案單獨存放,嚴禁攜帶存在涉密內容的.磁介質到上網的計算機上加工、貯存、傳遞處理檔案,形成了良好的安全保密環境。涉密計算機嚴禁接入x域網,並按照有關規定落實了保密措施,到目前為止,未發生一起計算機失密、洩密事故;其他非涉密計算機及網路使用也嚴格按照x計算機保密資訊系統管理辦法落實了有關措施,確保了資訊保安。
二、計算機和網路安全情況
一是網路安全方面。我x終端計算機均安裝了防病毒軟體、軟體防火牆,採用了強口令密碼、資料庫儲存備份、移動儲存裝置管理、資料加密等安全防護措施,明確了網路安全責任,強化了網路安全工作。
二是日常管理方面切實抓好x域網和應用軟體管理,確保“涉密計算機不上網,上網計算機不涉密”,嚴格按照保密要求處理光碟、硬碟、優盤、行動硬碟等管理、維修和銷燬工作。重點抓好“三大安全”排查:一是硬體安全,包括防雷、防火、防盜和電源連線等;二是網路安全,包括網路結構、安全日誌管理、密碼管理、ip管理、網際網路行為管理等;三是應用安全,公文傳輸系統、軟體管理等。
三、硬體裝置使用合理,軟體設定規範,裝置執行狀況良好。
我x每臺終端機都安裝了防病毒軟體,系統相關裝置的 應用一直採取規範化管理,硬體裝置的使用符合國家相關產品質量安全規定,單位硬體的執行環境符合要求,印表機配件、色帶架等基本使用裝置原裝產品;防雷地線正常,對於有問題的防雷插座已進行更換,防雷裝置執行基本穩定,沒有出現雷擊事故,x域網系統執行安全。
四,通迅裝置運轉正常
我x網路系統的組成結構及其配置合理,並符合有關的安全規定;網路使用的各種硬體裝置、軟體和網路介面是也過安全檢驗、鑑定合格後才投入使用的,自安裝以來運轉基本正常。
五、嚴格管理、規範裝置維護
我x對電腦及其裝置實行“誰使用、誰管理、誰負責”的管理制度。在管理方面我們一定是堅持“制度管人”。二是強化資訊保安教育、提高員工計算機技能。在裝置維護方面,專門設定了網路裝置故障和維護情況屬實登記,並及時處理。對外來維護人員,要求有關人員陪同,並對其身份和處理情況進行,規範裝置的維護和管理。
六、安全制度制定落實情況
為確保計算機網路安全、實行了網路專管員制度、電腦保安保密制度、網路資訊保安突發事件應急預案等以有效提高管理員的工作效率。同時我x結合自身情況制定計算機系統安全自查工作制度,做到四個確保:一是網路管理員於每週五定期檢查x域網系統,確保無隱患問題;二是製作安全檢查工作記錄,確保工作落實;三是領導定期詢問制度,由網路管理員彙報x域網使用情況,確保情況隨時掌握;四是定期組織全x人員學習有關網路知識,提高計算機使用水平,確保預防。
七、安全教育
為保障我x網路安全有效地執行,減少病毒侵入,我x就網路安全及系統安全的有關知識進行了培訓。期間,大家對實際工作中遇到的計算機方面的有關問題進行了詳細的諮詢,並得到了滿意的答覆。
自查存在的問題及整改意見
我們在管理過程中發現了一些管理方面存在的薄弱環節,今後我們還要在以下幾個方面進行改進。
一、對於線路不整齊、暴露的,立即對線路進行期限整改,並做好防鼠、防火安全工作。
二、加強裝置維護,及時更換和維護好故障裝置。
三、自查中發現個別人電腦保安意識不強。
在以後的工作,我們將計算加強電腦保安意識教育和防範技能訓練,讓員工充分認識到計算機案件的嚴重性。人防與技防結合,確實做好單位的資訊系統安全和網路安全工作。
為落實“省教育廳辦公室關於報送落實情況的通知”、“黃石市教育局關於開展全市教育行業網路與資訊保安檢查工作的通知”的相關要求,全面加強我校網路與資訊保安工作,學校教科處對全校網路、資訊系統和網站的安全問題組織了自查,現將自查情況彙報如下:
一、學校網路與資訊保安狀況
我校網路中心杋房於20xx年建成,採用電信光纖20M接入,網路覆蓋全校園(包括教職工宿舍樓、辦公樓、新舊教學樓)。20xx年10月,由於裝置老化,網路執行維護費用高等原因,教職工宿舍樓網路全部切斷,由教師個人申請加入中國電信或其它網路提供商。目前,我校辦公樓、教學樓網路執行正常。
我校網路與資訊保安總體情況良好。學校一貫重視資訊保安工作,始終把資訊保安作為資訊化工作的重點內容。網路資訊保安工作機構健全、責任明確,日常管理維護工作比較規範,比較重視資訊系統(網站)系統管理員和網路安全技術人員培訓,基本保證了校園網資訊系統(網站)持續安全穩定執行。但在網路安全管理、技術防護設施、網站建設與維護、資訊系統等級保護工作等方面,還需要進一步加強和完善。
二、網路資訊保安工作情況
1、網路資訊保安管理機構
為切實加強對網路與計算機系統安全管理工作和對外的宣傳工作的領導,引導督促全校師生安全上網、綠色上網、科學上網,並通過網站視窗的宣傳,擴大我校的社會影響,特成立網路資訊保安管理組織。學校設有網路資訊保安管理組織,校領導為組長,各處室主任和年級主任為組員,承擔本處室資訊系統和網站資訊內容的直接安全責任,網管員作為校園網運維者承擔資訊系統安全技術防護與技術保障工作。
2、資訊系統(網站)日常安全管理
學校建有“校園網路管理制度”、“網路管理員職責”、“計算機教室管理制度”、“計算機機房軟硬體維護管理辦法”、“計算機機房負責人崗位職責”、“學生上機管理制度”、“計算機機房用電安全制度”等系列規章制度。各系統(網站)使用基本能按要求,落實責任人,較好地履行網站資訊上傳審籤制度、資訊系統資料保密與防篡改制度。日常維護操作較規範,做到了杜絕弱口令並定期更改,嚴密防護個人電腦,定期備份資料,定期檢視安全日誌等,隨時掌握系統(網站)狀態,保證正常執行。
3、資訊系統(網站)技術防護
學校建有網路中心機房,有防水、防潮、防靜電防護等措施,對伺服器、網路裝置、安全裝置等定期進行安全漏洞檢查,及時更新作業系統和補丁,配置口令策略保證更新頻度,對重要系統和資料進行定期備份。
三、自查發現的主要問題
對照《通知》中的具體檢查專案,我校在資訊保安工作上還存在一定的問題:
1、安全管理方面:網管員為兼職,投入精力難以保證,長時間未登入過自己管理的系統(網站),無法及時知曉已發生的安全事件。部分系統(網站)日常管理維護不夠規範,仍存在管理員弱口令、資料備份重視不夠、資訊保密意識差等問題。
2、技術防護方面:校園網安全技術防護設施仍不足,如缺少資料中心安全防禦系統和審計系統,欠缺安全檢測設施,無法對伺服器、資訊系統(網站)進行安全與隱患檢查。
3、應用系統(網站)方面:個別應用系統(網站)存在設計缺陷和安全,容易發生安全事故。
四、整改措施
針對存在的問題,學校將進行認真研究部署。
1、進一步完善網路資訊保安管理制度,規範資訊系統和網站日常管理維護工作程式。加強網管員技術培訓,提高安全意識和技術能力。
2、繼續完善網路資訊保安技術防護設施,定期對伺服器、作業系統進行和隱患排查,建立針對性的主動防護體系。
3、加強應急管理,修訂應急預案,加強與網路電腦公司間協作,做好應急演練,將安全事件的影響降到最低。
為確保稅務系統網路和資訊保安,進一步加強網路新聞宣傳管理,有效防止蓄意攻擊、破壞網路資訊系統、傳播和貼上非法資訊等突發事件的發生。根據&other誰在負責,誰在執行,誰在使用”這個原則,對人是行得通的。國家局成立資訊保安檢查工作組,負責國家局各處室的安全檢查,主要採取各處室自查和部分處室抽查相結合的方式進行網路安全清理檢查。
一、風的現狀和風險
隨著伊犁州地稅系統資訊化建設的發展,基於計算機網路的徵管模式已經形成。總局-區局-地方(州、市)局-縣(市)局四級廣域網路已經建立並逐步延伸到基層徵管單位,地稅系統網路建設程序逐步加快。目前,伊犁地稅系統有廣域網節點700多個,聯網計算機700多臺。在完成繁重的稅收任務的同時,為了提高稅收徵管效率,更好地宣傳稅收工作,服務納稅人,各縣(市)稅務機關根據工作需要設立了上網網站。同時,與其他政府部門的聯網和資訊交流已部分實現。總之,網路和資訊系統已經成為整個稅收體系的重要組成部分,是關係國計民生的重要基礎設施。
隨著稅務資訊化建設的蓬勃發展,網路和資訊保安風險逐漸顯現。第一,隨著稅收的發展和業務系統的要求,各級稅務機關逐步實現了與外部相關部門的聯網和資訊交流。此外,為了方便納稅人納稅,新疆地稅系統開通了網際網路申報、網上查詢等服務,地稅系統網路從完全封閉的內網變成了邏輯上與外網、網際網路隔離的網路。二是網路和資訊系統中的主機、路由器、交換機、作業系統等關鍵裝置大多采用國外產品,技術和安全風險較大。三是系統中計算機應用操作人員水平參差不齊,由於資金不足,安全防護裝置和技術手段不盡如人意。第四,利益驅動的敵對勢力和犯罪分子一直急於行動,對國家重要的財政金融部門構成極大威脅。以上幾個方面構成了稅務系統網路和資訊保安的主要風險。
二、是建立健全網路和資訊保安組織
為確保網路和資訊保安工作得到重視,各項措施能夠及時落實,伊犁地方稅務局成立了網路和資訊保安領導小組:
組長:
成員:
領導小組有辦公室,負責日常工作。主任是資訊處處長車,副主任是辦公室副主任王守峰。成員有:王紅星、劉中會、王鍾和王華。
第三,建立健全網路和資訊保安責任制和規章制度
網路和資訊保安辦公室負責審查和監測該組織名稱內外網站上釋出的資訊;資訊辦負責網站的維護和技術支援,以及其他各類應用資訊系統的監控和維護;財務部負責相關財務支援;代理服務中心負責電力、空調、消防、防雷等基礎設施的監控和維護。
網路與資訊保安辦負責突發事件的協調工作,並根據事件嚴重程度起草報告上報領導小組、公安部門或上級部門或通報全系統;此外,還負責各類網站、應用系統、資料庫系統的監控與防範、應急處理和資料與系統恢復,以及網路系統的安全防範、應急處理和網路恢復、安全事件的事後追蹤。為做好國家直接稅系統網路安全自查工作,資訊辦於8月10日通過視訊培訓對全系統網路管理員進行了網路安全知識培訓。並部署網路安全自檢工作。
Kali完善了各種安全系統,包括(1)日誌管理系統;(2)安全稽核制度;(3)資料保護、安全備份和災難恢復計劃;(4)機房等重要區域的門禁系統;(5)硬體、軟體、網路和媒體的使用和維護系統;(六)賬戶、密碼和通訊保密管理制度;(7)預防、發現、報告和消除有害資料和計算機病毒的管理系統。(8)個人電腦使用管理規定。
四、伊犁地方稅務局計算機網路管理
(一)區域網安裝了防火牆。同時為每臺電腦安裝了地區局統一配置的瑞星防毒軟體。鑑於登記號碼不足,向地區局申請了300個登記號碼。現在瑞星防毒軟體線上版可以同時上線550臺電腦,基本滿足伊犁地稅系統內網辦公需求。泉州內網計算機安裝的桌面審計系統達到95%,部分單位達到100%。定期安裝系統補丁增強了防篡改、防病毒、防攻擊、防癱瘓、防洩密等方面的有效性。
(2)加強涉密計算機和區域網內所有計算機的密碼設定,要求開機密碼、檔案處理密碼和採集管理軟體密碼必須混有不少於8位數字的字母和數字。同時,相互共享的計算機之間存在身份認證和訪問控制。
(三)內網計算機沒有非法接入網際網路等資訊網路;各單位辦稅服務大廳自助申報區安裝的網報專用電腦,應由網路管理員每天進行管理和檢查,防止利用網報機進行非法活動。
(4)已安裝移動儲存裝置專業防毒軟體,移動儲存裝置連線電腦前必須進行病毒掃描。稅務所、管理部門等經常接收外部資料的單位的電腦都裝有u盤病毒隔離器。
(5)對伺服器上的應用、服務、埠和鏈路進行檢查和加固。
(6)每天備份檔案處理和檔案管理軟體的資料庫,確保資料安全。嚴格收發檔案,要求資訊管理員定期對系統進行完整備份,燒錄光碟,異地儲存。
(七)不存在通過電子政務外網、網際網路郵箱和限時通訊工具處理、傳遞和轉發機密或敏感資訊的現象。
(八)制定詳細的應急預案,並隨著資訊化的深入,結合各局的實際情況,在今後不斷完善。
(九)國家局網路資訊釋出由辦公室專人管理,網上釋出的所有資訊均按規定進行稽核。
動詞(verb的縮寫)現有問題
根據通知中的具體要求,我們在自查過程中也發現了一些不足。同時,結合實際情況,今後要在以下幾個方面進行整改。
(a)需要加強安全意識。要繼續加強政府官員的安全意識教育,提高他們在安全工作中的主動性和自覺性。
(二)裝置維護和更新應及時。有必要增加線路和系統的及時維護,同時,鑑於資訊科技的快速發展,有必要加強更新。
(3)安全工作水平有待提高。資訊保安的管理和保護仍處於初級階段。提高安全工作的現代化水平將有助於我們進一步加強對計算機資訊系統安全的防範和保密。
(4)加強電腦保安意識教育和防範技能培訓,充分認識計算機洩密案件的嚴重性。將電腦保安防護知識融入實際工作中,而不是寫在紙上;人防與技防相結合,將電腦保安防護的技術措施作為保護資訊保安的無形屏障。
(e)工作機制需要改進。創新安全工作機制是資訊工作新形勢的必然要求,有利於提高網路資訊工作的執行效率,進一步規範辦公秩序。
我局歷年高度重視網路資訊保安,從主要領導到每一名幹部職工都把把搞好網路管理及資訊安全當做事關國家安全、社會穩定的大事來抓。為了規範我局計算機資訊網路系統的安全管理工作,保證網資訊系統的安全和推動精神文明建設,我局成立了安全組織機構,建立健全了各項安全管理制度,加強了網路安全技術防範工作的力度,進一步強化了辦公裝置的使用管理,營造出了一個安全使用網路的辦公環境。下面將詳細情況彙報如下:
一、進一步調整、落實網路與資訊保安領導小組成員及其分工,做到責任明確,具體到人。
為進一步加強我局網路資訊系統安全管理工作,我局成立了由主要領導負責的、各科室負責人組成的計算機資訊保安領導小組和工作小組,做到責任明確,具體到人。
二、進一步建立健全各項安全管理制度,做到有法可依,有章可循
為保證計算機網路的正常執行與健康發展,加強對校園網的管理,規範校園網使用行為,我局認真對照《中華人民共和國計算機資訊系統安全保護條例》、《中華人民共和國計算機資訊網路國際聯網管理暫行規定》、《計算機資訊網路國際聯網安全保護管理辦法》、《網際網路資訊服務管理辦法》,出臺了《楚雄市國土資源局保密管理規定》,對網路安全進行了嚴格的管理。我局在全域性範圍內適時組織相關電腦保安技術培訓,提高了網路維護以及安全防護技能和意識,並定期進行網路安全的全面檢查,對存在的問題要及時進行糾正,消除安全隱患,有力地保障我局統計資訊網路正常執行。
我局的技術防範措施主要從以下幾個方面來做:安裝軟體防火牆,防止病毒、反動不良資訊入侵網路。安裝網路版防毒軟體,實時監控網路病毒,發現問題立即解決。及時修補各種軟體的補丁。
三、網路安全存在的不足及整改措施
目前,我局網路安全仍然存在以下幾點不足:一是安全防範意識較為薄弱;二是病毒監控能力有待提高。
針對目前我局網路安全方面存在的不足,提出以下幾點整改辦法:
1、加強我局計算機操作技術、網路安全技術方面的培訓,強化我局計算機操作人員對網路病毒、資訊保安的防範意識;
2、加強我局幹部職工在計算機技術、網路技術方面的學習,不斷提高我局計算機專管人員的技術水平。
為認真貫徹落實《贛州市20xx年度政府資訊系統安全檢查實施工作方案》精神,我辦按照要求,對政府系統資訊網路安全情況進行了自查,現將自查的有關情況報告如下:
一、強化組織領導,落實工作責任
1、健全組織機構。成立了市扶貧辦政務公開工作領導小組,市政協副主席、市扶貧辦主任溫會禮為組長,市扶貧辦副主任羅開蓮為副組長,周邦春、劉守敏、廖明偉、陳大林、鍾敏蘭、賴外來等同志為成員,具體負責本單位的政務公開工作,並明確了相關工作職責。
2、落實相關措施。一是明確本單位各科室的資訊公開內容。祕書科具體負責本單位政務公開工作的組織實施,並提供勞動力轉移培訓及“一村一名中專生和中高階技工”培養的指標分配、資金安排等方面的政務工作內容;計財科主要負責提供扶貧專案資金安排、專案計劃審批、專案及資金管理要求、貧困人口變化及其他有關的政務工作內容;社會扶貧科主要負責提供定點單位扶貧幫扶重點村情況及市本級社會捐贈資金、物資使用管理等方面的政務工作內容;移民扶貧科主要負責提供省分配的移民搬遷指標、移民扶貧集中安置點審批、移民搬遷物件審批等方面的政務工作內容;監察室主要負責提供本單位黨風廉政建設責任落實、各類扶貧資金管理使用監督檢查、受理檢舉控告和申訴處理等方面的政務工作內容。二是確保資訊公開時限。要求做到經常性工作定期公開、階段性工作逐段公開、臨時性工作隨時公開。三是明確資訊公開責任。主動公開的政府資訊內容,要求各科室做到誰提供、誰負責;對依申請公開的資訊內容,做到誰負責、誰受理、誰答覆。四是擬定了不予公開的政務內容。
3、規範工作機制。為加強政務公開工作,本單位建立了“首問負責制、服務承諾制、一次性告知制、限時辦結制、公開公示制、失職追究制”等六項制度,同時結合機關效能年活動,制定下發了“提高機關幹部素質和能力的實施方案、改進機關作風的實施方案、建立和健全AB崗工作制的實施方案”,較好地轉變了扶貧辦機關工作作風,提高了工作效率和服務水平,促進了政務公開工作的順利開展。
4、深化學習宣傳。為進一步加深對《條例》的學習理解,我單位結合各種會議對《條例》進行了培訓,利用下鄉檢查指導工作的機會對《條例》進行了宣傳。同時,專門建立了包括學習制度在內的《市扶貧辦機關管理制度》,特別是建立的學習制度,明確了學習時間、學習方法、學習內容、學習要求等,把對《條例》的學習作為重要學習內容,要求全體幹部要進一步加深對《條例》的理解,強化學習的主動性、自覺性和積極性,按要求認真做好學習筆記,並結合工
作業務撰寫學習心得體會文章。通過對《條例》多形式的學習、宣傳、培訓,本單位政府資訊公開工作較好地落到了實處。
二、開展安全檢查,及時整改隱患
本單位共有23臺計算機,其中5臺存在各種問題,基本無法正常使用。由於工作性質不同,我單位的工作內容無涉密性質的內容,基本屬於可以向社會公開的內容。因此, 23臺計算機全部為非涉密計算機。儘管如此,我辦還是按要求開展了安全檢查。一是對所有計算機進行了編號,並分別張貼了“非涉密”標識;二是對本單位資訊系統的帳戶、口令等進行了一次專門的清理檢查,並及時將軟體更新和升級,消除安全隱患;三是強化網路安全管理工作,對所有接入政府網路的計算機裝置進行了全面安全檢查,對發現有作業系統存在漏洞、防毒軟體配置不到位的計算機進行全面升級,確保網路安全;四是規範資訊的採集、稽核和釋出流程,嚴格資訊釋出稽核,確保所釋出資訊內容的準確性和真實性;
經檢查,未發現在非涉密計算機上處理、儲存、傳遞涉密資訊,在國際網際網路上利用電子郵件系統傳遞涉密資訊,在各種論壇、聊天室、部落格等釋出、談論國家祕密資訊以及利用QQ等聊天工具傳遞、談論國家祕密資訊等危害網路資訊保安現象。
三、嚴格責任追究,確保資訊保安
一是明確了分管資訊公開工作的羅開蓮副主任負責資訊保安工作,指定祕書科副科長賴外來為兼職資訊保安員,落實了資訊保安制度,並嚴格執行“誰主管誰負責、誰執行誰負責、誰使用誰負責”的資訊管理原則;二是為確保國慶期間的網路資訊保安,我辦對國慶期間資訊保安保障工作進行了專門部署,在國慶期間將執行值班制度,要求值班人員保持24小時通訊暢通;三是加強了資訊保安教育培訓,計算機使用人員基本掌握了資訊保安常識和技能。
按照《xx市衛生局關於轉發河南省衛生計生委關於開展河南省衛生系統網路與資訊保安督導檢查工作的通知》周衛辦函[20xx]2號檔案,我單位立即組織開展資訊系統安全檢查工作,現將自查情況彙報如下。
一、資訊保安狀況總體評價
我單位資訊系統運轉以來,嚴格按照上級部門要求,積極完善各項安全制度、充分加強資訊化安全工作人員教育培訓、全面落實安全防範措施、全力保障資訊保安工作經費,資訊保安風險得到有效降低,應急處置能力切實得到提高,保證了資訊系統持續安全穩定執行。
二、資訊保安工作情況
(一)資訊系統口令管理
我單位徹底梳理在用資訊系統使用情況、數量和承建商。定期召開資訊保安會議,嚴格規定業務人員口令使用情況,尤其是高階或超級管理人員口令要求專人負責,定期修改口令。
(二)資訊保安組織管理
針對資訊系統安全檢查工作,我單位高度重視,做到了主要領導親自抓,併成立了醫院資訊管理委員會,李鳳啟院長擔任委員會主任,副主任於豔副書記擔任,成員楊璨、張東旭、李相君,委員會積極主動開展資訊保安自查工作,保證了資訊化工作的良好執行,確保了資訊系統的安全。
(三)日常資訊保安管理
1、建立了資訊系統安全責任制。按責任規定:安全小組對資訊保安負首責,主管領導負總責,具體管理人負主責。
2、制定了《計算機和網路安全管理規定》。網站和網路有專人負責資訊系統安全管理。
(四)資訊保安防護管理
1、涉密計算機經過了保密技術檢查,並安裝了防火牆,加強了在防篡改、防病毒、防攻擊、防癱瘓、防洩密等方面有效性。
2、涉密計算機都設有開機密碼,由專人保管負責。 3、網路終端沒有違規上國際網際網路及其他的資訊網的現象。(四)資訊保安應急管理
1、制定了初步應急預案,並隨著資訊化程度的深入,結合我院實際,不斷進行完善。
2、堅持和定點維修單位聯絡,並給予應急技術最大支援。 3、嚴格檔案的收發,完善了清點、整理、編號、簽收制度,並要求資訊管理員每天下班前進行存檔。
4、及時對系統和軟體進行更新,對重要檔案、資訊資源做到及時備份,資料恢復。
(五)資訊保安教育培訓
每年派員參加市有關單位組織的網路系統安全知識培訓,做好網路安全管理和資訊保安工作。
三、檢查發現的主要問題及整改情況
根據《通知》中的具體要求,在自查過程中我們也發現了一些不足,同時結合我院實際,今後要在以下幾個方面進行整改。
存在不足:
一是專業技術人員較少,資訊系統安全方面可投入的力量有限;
二是規章制度體系初步建立,但還不完善,未能覆蓋相關資訊系統安全的所有方面;
三是遇到計算機病毒侵襲等突發事件處理不夠及時。
整改方向:
一是要繼續加強對幹部職工的安全意識教育,提高做好安全工作的主動性和自覺性。
二是要切實增強資訊保安制度的落實工作,不定期的對安全制度執行情況進行檢查。
三是要以制度為根本,在進一步完善資訊保安制度的同時,安排專人,完善設施,密切監測,隨時隨地解決可能發生的資訊系統安全事故。
四是要提高資訊保安工作的現代化水平,便於進一步加強對計算機資訊系統安全的防範和保密工作。
五是要創新安全工作機制,提高機關網路資訊工作的執行效率,進一步規範辦公秩序。
四、對資訊保安工作的意見和建議
希望上級部門能夠經常組織有關資訊系統安全的培訓,進一步提升資訊系統管理工作人員的專業水平,進一步強化資訊系統的安全防範工作。
根據路局《關於在全域性範圍內開展網路與資訊保安檢查行動的通知》()檔案精神。
一、資訊保安自查工作組織開展情況
1、成立了資訊保安檢查行動小組。由站長、書記任組長,相關科室(車間)負責人、資訊科技科全體人員為組員負責對全站的重要資訊系統全面排查並填記有關報表、建檔留存。
2、資訊保安檢查小組對照網路與資訊系統的實際情況進行了逐項排查、確認,並對自查結果進行了全面的核對、梳理、分析。整改,提高了對全站網路與資訊保安狀況的掌控。
二、網路與資訊保安工作情況
1)組織成立了網路與資訊保安檢查工作小組,由站長、書記任組長,相關科室(車間)負責人、資訊科技科全體人員為組員。
2)研究制定自查實施方案,根據系統所承擔的業務的獨立性、責任主體的獨立性、網路邊界的獨立性、安全防護裝置設施的獨立性四個因素,對客票發售與預訂系統、旅客服務系統、辦公資訊系統進行全面的梳理並綜合分析。
2、8月6日前對客票發售與預訂系統、旅客服務系統、辦公資訊系統的基本情況進行逐項排查。
1)系統安全基本情況自查
客票發售與預訂系統為實時性系統,對車站主要業務影響較高。目前擁有IBM伺服器2臺、cisco路由器2臺、cisco交換機13臺,系統均採用windows作業系統,災備情況為系統級災備,該系統不與網際網路連線,防火牆採用永達公司永達安全管控防火牆。
旅客服務系統為實時性系統,對車站主要業務影響較高。目前擁有HP伺服器13臺、H3C路由5臺、H3C交換機15臺,系統採用linix作業系統,資料庫採用SQLServer,災備情況為資料災備,該系統不與網際網路連線,安全防護策略採用按照使用需求開放埠,重要資料均採用加密防護。
2)安全管理自查情況
人員管理方面,指定專職資訊保安員,成立資訊保安管理機構和資訊保安專職工作機構。重要崗位人員全部簽訂安全保密協議,制定了《人員離職離崗安全規定》、《外部人員訪問審批表》。
資產管理方面,指定了專人進行資產管理,完善了《資產管理制度》、《裝置維修維護和報廢管理制度》,建立了《裝置維修維護記錄表》。
儲存介質管理方面,完善了《儲存介質管理制度》,建立了《儲存介質管理記錄表》。
執行維護管理方面,建立了《客服系統維護標準》、《執行維護操作記錄表》,完善了《日常執行維護制度》。
3)網路與資訊保安培訓情況
三、自查發現的主要問題和麵臨的威脅分析
四、改進措施
五、整改效果
按照孝感市廣電局《關於轉發省局轉發的的通知》要求,我局組織相關人員對照檢查專案對自行執行維護管理的廣播電視資訊網、有線電視傳輸網和微波傳輸網進行自查。現將自查情況報告如下:
一、成立專班,完善制度
我局黨組高度重視資訊系統安全管理工作,成立了以局黨組成員為組長的網路與資訊保安檢查行動領導小組,並制度了實施方案,對涉及網路與資訊系統執行維護管理的市有線電視臺、廣播電視臺和微波站進行了拉網式檢查。各臺站分別建立了《機房安全管理制度》、《安全管理員崗位職責》、《賬號使用登記及操作許可權管理制度》、《資訊巡查、儲存、清除和備份制度》、《安全教育與培訓工作制度》等一系列資訊系統安全管理制度,各系統執行管理人員在日常操作中嚴格按制度執行,定期和不定期對操作人員執行各項安全制度情況進行檢查和抽查,發現問題及時整改,切實避免了因操作人員操作不當引起的安全事故。自查期間,局黨組和兩臺領導組織專題研究了資訊系統安全保障工作,對此作了專門部署,保障了各項資訊系統安全穩定執行,確保了系統安全無事故發生。
二、加強防範,保障安全
系統內各個伺服器執行正常。重點對賬號、口令、軟體進一步進行了核實檢查,對伺服器上未使用的埠做好了遮蔽,未發現網路上有無效和不安全的連結。有線臺伺服器放置於臺屬專業機房,由專人24小時監控,每日對伺服器進行安全檢測並備案,並在伺服器系統安全上配備了卡巴斯基反病毒軟體,有效保護從移動裝置到伺服器的所有網路終端節點的整體安全。在網站資訊錄入管理上做到了一人一機,資訊錄入所使用的計算機都設定有獨立密碼認證,對移動儲存裝置、電子文件進行嚴格的安全防護檢查,有效保障計算機資料安全。網站的後臺管理平臺都設有獨立的管理賬戶,嚴格控制資訊管理許可權。
三、加強培訓,健全機制
我局定期組織相關人員召開網路安全培訓會,學習掌握資訊保安常識和技能,瞭解伺服器基本工作原理,掌握伺服器的日常維護技能以及網站錄入人員必須做到的保密原則。市有線臺派專人蔘加了資訊保安員培訓。
為了預防突發事件和災難性事件的發生,特別是在黨的十八大即將召開之際,各臺站都建立了網站資訊保安預案和廣播電視安全播出應急預案以及預防自然災害工作預案,成立了由專人負責的安全播出組、技術保障組、搶修組、後勤保障組,對重要訊號和資料都按要求做了備份,確保了安全保障工作順利進行。在這次自查整改期間,市廣播電視臺、有線電視臺和微波站分別與局簽訂了安全播出責任書,嚴格實行資訊系統安全責任追究,目前我局未出現任何資訊系統安全事故。
一、計算機涉密資訊管理情況
今年以來,我局加強組織領導,強化宣傳教育,落實工作責任,加強日常監督檢查,將涉密計算機管理抓在手上。對於計算機磁介質(軟盤、U盤、行動硬碟等)的管理,採取專人保管、涉密檔案單獨存放,嚴禁攜帶存在涉密內容的磁介質到上網的計算機上加工、貯存、傳遞處理檔案,形成了良好的安全保密環境。對涉密計算機(含膝上型電腦)實行了與國際網際網路及其他公共資訊網物理隔離,並按照有關規定落實了保密措施,到目前為止,未發生一起計算機失密、洩密事故;其他非涉密計算機(含膝上型電腦)及網路使用,也嚴格按照局計算機保密資訊系統管理辦法落實了有關措施,確保了機關資訊保安。
二、計算機和網路安全情況
一是網路安全方面。我局配備了防病毒軟體、網路隔離卡,採用了強口令密碼、資料庫儲存備份、移動儲存裝置管理、資料加密等安全防護措施,明確了網路安全責任,強化了網路安全工作。
二是資訊系統安全方面實行領導審查簽字制度。凡上傳網站的資訊,須經有關領導審查簽字後方可上傳;二是開展經常性安全檢查,主要對SQL注入攻擊、跨站指令碼攻擊、弱口令、作業系統補丁安裝、應用程式補丁安裝、防病毒軟體安裝與升級、木馬病毒檢測、埠開放情況、系統管理許可權開放情況、訪問許可權開放情況、網頁篡改情況等進行監管,認真做好系統安全日記。
三是日常管理方面切實抓好外網、網站和應用軟體“五層管理”,確保“涉密計算機不上網,上網計算機不涉密”,嚴格按照保密要求處理光碟、硬碟、U盤、行動硬碟等管理、維修和銷燬工作。重點抓好“三大安全”排查:一是硬體安全,包括防雷、防火、防盜和電源連線等;二是網路安全,包括網路結構、安全日誌管理、密碼管理、IP管理、網際網路行為管理等;三是應用安全,包括網站、郵件系統、資源庫管理、軟體管理等。
三、硬體裝置使用合理,軟體設定規範,裝置執行狀況良好
我局每臺終端機都安裝了防病毒軟體,系統相關裝置的應用一直採取規範化管理,硬體裝置的使用符合國家相關產品質量安全規定,單位硬體的執行環境符合要求,印表機配件、色帶架等基本使用裝置原裝產品;防雷地線正常,對於有問題的防雷插座已進行更換,防雷裝置執行基本穩定,沒有出現雷擊事故;UPS運轉正常。網站系統安全有效,暫未出現任何安全隱患。
四、通訊裝置運轉正常
我局網路系統的組成結構及其配置合理,並符合有關的安全規定;網路使用的各種硬體裝置、軟體和網路介面也是通過安全檢驗、鑑定合格後才投入使用的,自安裝以來運轉基本正常。
五、嚴格管理、規範裝置維護
我局對電腦及其裝置實行“誰使用、誰管理、誰負責”的管理制度。在管理方面我們一是堅持“制度管人”。二是強化資訊保安教育、提高員工計算機技能。同時在局開展網路安全知識宣傳,使全體人員意識到了,電腦保安保護是“三防一保”工作的有機組成部分。而且在新形勢下,計算機犯罪還將成為安全保衛工作的重要內容。在裝置維護方面,專門設定了網路裝置故障登記簿、計算機維護及維修表對於裝置故障和維護情況屬實登記,並及時處理。對外來維護人員,要求有相關人員陪同,並對其身份和處理情況進行登記,規範裝置的維護和管理。
六、網站安全及
我局對網站安全方面有相關要求,一是使用專屬許可權密碼鎖登陸後臺;二是上傳檔案提前進行病素檢測;三是網站分模組分許可權進行維護,定期進後臺清理垃圾檔案;四是網站更新專人負責。
七、安全制度制定落實情況
為確保計算機網路安全、實行了網路專管員制度、電腦保安保密制度、網站安全管理制度、網路資訊保安突發事件應急預案等以有效提高管理員的工作效率。同時我局結合自身情況制定計算機系統安全自查工作制度,做到四個確保:一是系統管理員於每週五定期檢查中心計算機系統,確保無隱患問題;二是製作安全檢查工作記錄,確保工作落實;三是實行領導定期詢問制度,由系統管理員彙報計算機使用情況,確保情況隨時掌握;四是定期組織全域性人員學習有關網路知識,提高計算機使用水平,確保預防。
八、安全教育
為保證我局網路安全有效地執行,減少病毒侵入,我局就網路安全及系統安全的有關知識進行了培訓。期間,大家對實際工作中遇到的計算機方面的有關問題進行了詳細的諮詢,並得到了滿意的答覆。
為落實“教育部辦公廳關於開展網路安全檢查的通知”(教技廳函[20xx]5號)、“教育部關於加強教育行業網路與資訊保安工作的指導意見”(教技[20xx]4號)、陝西省教育廳“關於開展全省教育系統網路與資訊保安專項檢查工作的通知”(陝教保【20xx】8號),全面加強我校網路與資訊保安工作,校資訊化建設領導小組辦公室於9月16日—25日對全校網路、資訊系統和網站的安全問題組織了自查,現將自查情況彙報如下:
一、學校網路與資訊保安狀況
本次檢查採用本單位自查、遠端檢查與現場抽查相結合的方式,檢查內容主要包含網路與資訊系統安全的組織管理、日常維護、技術防護、應急管理、技術培訓等5各方面,共涉及資訊系統28個、各類網站89個。
從檢查情況看,我校網路與資訊保安總體情況良好。學校一貫重視資訊保安工作,始終把資訊保安作為資訊化工作的重點內容。網路資訊保安工作機構健全、責任明確,日常管理維護工作比較規範;管理制度完善,技術防護措施得當,資訊保安風險得到有效降低;比較重視資訊系統(網站)系統管理員和網路安全技術人員培訓,應急預案與應急處置技術隊伍有落實,工作經費有一定保障,基本保證了校園網資訊系統(網站)持續安全穩定執行。但在網路安全管理、技術防護設施、網站建設與維護、資訊系統等級保護工作等方面,還需要進一步加強和完善。
二、網路資訊保安工作情況
1、網路資訊保安組織管理
按照“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則,學校網路資訊保安工作實行“三級”管理。學校設有資訊化工作領導小組,校主要領導擔任組長,資訊化工作辦公室設在網教中心,中心主任兼辦公室主任。領導小組全面負責學校網路資訊保安工作,授權資訊辦對全校網路資訊保安工作進行安全管理和監督責任。網教中心作為校園網運維部門承擔資訊系統安全技術防護與技術保障工作。各處室、學院承擔本單位資訊系統和網站資訊內容的直接安全責任。
2、資訊系統(網站)日常安全管理
學校建有“校園網管理條例”、“中心機房安全管理制度“、“資料安全管理辦法”、“網站管理辦法”、“伺服器託管管理辦法”、“網路故障處理規範”等系列規章制度。各系統(網站)使用單位基本能按要求,落實責任人,較好地履行網站資訊上傳審籤制度、資訊系統資料保密與防篡改制度。日常維護操作較規範,多數單位做到了杜絕弱口令並定期更改,嚴密防護個人電腦,定期備份資料,定期檢視安全日誌等,隨時掌握系統(網站)狀態,保證正常執行。
3、資訊系統(網站)技術防護
校園網資料中心建有一定規模的綜合安全防護措施。
一是建有專業中心機房,配備視訊監控、備用電力供應裝置,有防水、防潮、防靜、溫溼度控制、電磁防護等措施,進出機房實行門禁和登記制度;
二是網路出口部署有安全系統,站群系統部署有應用防火牆,並定期更新檢測規則庫,重要資訊系統建立專網以便與校園網物理隔離;
三是對伺服器、網路裝置、安全裝置等定期進行安全漏洞檢查,及時更新作業系統和補丁,配置口令策略保證更新頻度;
四是全面實行實名認證制度,具備上網行為回溯追蹤能力;
五是對重要系統和資料進行定期備份,並建有災備中心。
4、資訊保安應急管理
制定了《西北農林科技大學網路與資訊保安突發事件應急預案》。網教中心為應急技術支援單位,確保網路安全事件的快速有效處置。
5、資訊保安教育培訓
派員參加了陝西省資訊保安保密培訓。暑期處級幹部培訓安排有資訊保安與保密專題,每年組織全校網管員技術培訓,增強管理幹部和技術人員的安全防範意識,提高技術防護能力。
三、檢查發現的主要問題
對照《通知》中的具體檢查專案,我校在資訊保安工作上還存在一定的問題:
1、安全管理方面:網管員為兼職,投入精力難以保證,部分網管員長時間未登入過自己管理的系統(網站),無法及時知曉已發生的安全事件。部分系統(網站)日常管理維護不夠規範,仍存在管理員弱口令、資料備份重視不夠、資訊保密意識差等問題。
2、技術防護方面:校園網安全技術防護設施仍不足,如缺少資料中心安全防禦系統和審計系統,欠缺安全檢測設施,無法對伺服器、資訊系統(網站)進行安全漏洞掃描與隱患檢查。
3、應用系統(網站)方面:個別應用系統(網站)存在設計缺陷和安全漏洞,容易發生安全事故。
4、資訊系統等級保護工作尚未全面開展。
5、部分院(系)管轄的機房或學習室尚未實行認證和審計。
四、整改措施
針對存在的問題,學校資訊化領導小組專門進行了研究部署。
1、進一步完善網路資訊保安管理制度,規範資訊系統和網站日常管理維護工作程式。加強網管員技術培訓,提高安全意識和技術能力。
2、繼續完善網路資訊保安技術防護設施,配備必要的安全防禦和檢測裝置,實行資訊系統(網站)安全檢測准入制度,從根本上降低安全風險。定期對伺服器、作業系統進行漏洞掃描和隱患排查,建立針對性的主動防護體系。
3、針對各級網站建設水平參差不齊問題,學校20__年引入了站群系統管理平臺,目前已將多個部門共計12個網站遷移到站群系統管理平臺。今後將加大推進力度,逐步將全部各級網站遷入站群系統管理平臺,提高網站技術安全效能。
4、全面開展資訊系統等級保護工作,按照新頒佈的《教育行政部門及高等院校資訊系統安全等級保護定級指南》,完成所有線上系統的定級、備案工作。積極創造條件開展後續定級測評、整改等工作。
5、加強應急管理,修訂應急預案,組建以網教中心技術人員為骨幹、重要系統管理員參加的應急支援技術隊伍,加強部門間協作,做好應急演練,將安全事件的影響降到最低。
6、對院(系)管機房或學習室強制認證和審計。
五、幾點建議
1、建議按年度列支相關經費,用於培訓、應急演練、網站改造等工作開展。
2、建議在數字校園建設經費裡列支專項經費用於等保定級、測評、整改等工作。
3、建議各類網站在適當的時候(最好是改版時)加入學校站群系統管理平臺,一旦加入該站群系統管理平臺,管理者將無需考慮網站的技術安全及風險,只需考慮網站的資訊與內容安全。
為加強網際網路行業網路與資訊保安工作,全面加強我公司網路與資訊保安工作,公司運維部門對公司網路、資訊系統和網站的安全問題組織了自查,現將自查情況彙報如下:
一、公司網路與資訊保安狀況
本次檢查採用本單位自查、遠端檢查與現場抽查相結合的方式,檢查內容主要包含網路與資訊系統安全的組織管理、日常維護、技術防護、應急管理、技術培訓等5各方面。
從檢查情況看,我司網路與資訊保安總體情況良好。公司一貫重視資訊保安工作,始終把資訊保安作為資訊化工作的.重點內容。網路資訊保安工作機構健全、責任明確,日常管理維護工作比較規範;管理制度完善,技術防護措施得當,資訊保安風險得到有效降低;比較重視資訊系統(網站)系統管理員和網路安全技術人員培訓,應急預案與應急處置技術隊伍有落實,工作經費有一定保障,基本保證了公司網資訊系統(網站)持續安全穩定執行。但在網路安全管理、技術防護設施、網站建設與維護、資訊系統等級保護工作等方面,還需要進一步加強和完善。
二、網路資訊保安工作情況
1.網路資訊保安組織管理
按照“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則,公司網路資訊保安工作實行“三級”管理。公司設有資訊化工作領導小組,領導小組全面負責公司網路資訊保安工作,授權資訊辦對全公司網路資訊保安工作進行安全管理和監督責任。運維部門承擔資訊系統安全技術防護與技術保障工作。各部門個單位單位資訊系統和網站資訊內容的直接安全責任。
2.資訊系統(網站)日常安全管理
公司有“公司網管理條例”、“中心機房安全管理制度“、“資料安全管理辦法”、“網站管理辦法”、“伺服器託管管理辦法”、“網路故障處理規範”等系列規章制度。各系統(網站)使用單位基本能按要求,落實責任人,較好地履行網站資訊上傳審籤制度、資訊系統資料保密與防篡改制度。日常維護操作較規範,多數單位做到了杜絕弱口令並定期更改,嚴密防護個人電腦,定期備份資料,定期檢視安全日誌等,隨時掌握系統(網站)狀態,保證正常執行。
3.資訊系統(網站)技術防護
公司網資料中心建有一定規模的綜合安全防護措施。
一是建有專業中心機房,配備視訊監控、備用電力供應裝置,有防水、防潮、防靜、溫溼度控制、電磁防護等措施,進出機房實行門禁和登記制度;
二是網路出口部署有安全系統,站群系統部署有應用防火牆,並定期更新檢測規則庫,重要資訊系統建立專網以便與校園網物理隔離;
三是對伺服器、網路裝置、安全裝置等定期進行安全漏洞檢查,及時更新作業系統和補丁,配置口令策略保證更新頻度;
四是全面實行實名認證制度,具備上網行為回溯追蹤能力;
五是對重要系統和資料進行定期備份,並建有災備中心。
4.資訊保安應急管理
運維部制定有《網路與資訊保安突發事件應急預案》。技術部應急技術支援單位,確保網路安全事件的快速有效處置。
5.資訊保安教育培訓
定期對公司全員進行資訊保安保密培訓。增強管理幹部和技術人員的安全防範意識,提高技術防護能力。
三、檢查發現的主要問題
通過具體檢查專案,我司在資訊保安工作上還存在一定的問題:
1.安全管理方面:。部分系統(網站)日常管理維護不夠規範,仍存在管理員弱口令、資料備份重視不夠、資訊保密意識差等問題
2.技術防護方面:安全技術防護設施仍不足,如缺少資料中心安全防禦系統和審計系統,欠缺安全檢測設施,無法對伺服器、資訊系統(網站)進行安全漏洞掃描與隱患檢查。
3.應用系統(網站)方面:個別應用系統(網站)存在設計缺陷和安全漏洞,有可能發生安全事故。
4.資訊系統等級保護工作尚未全面開展。
四、整改措施
針對存在的問題,資訊化領導小組專門進行了研究部署。
1.進一步完善網路資訊保安管理制度,規範資訊系統和網站日常管理維護工作程式。加強網管員技術培訓,提高安全意識和技術能力。
2.繼續完善網路資訊保安技術防護設施,配備必要的安全防禦和檢測裝置,實行資訊系統(網站)安全檢測准入制度,從根本上降低安全風險。定期對伺服器、作業系統進行漏洞掃描和隱患排查,建立針對性的主動防護體系。
3.全面開展資訊系統等級保護工作,完成所有線上系統的定級、備案工作。積極創造條件開展後續定級測評、整改等工作。
4.加強應急管理,修訂應急預案,組建以技術人員為骨幹、重要系統管理員參加的應急支援技術隊伍,加強部門間協作,做好應急演練,將安全事件的影響降到最低
縣資訊辦:
按照《略陽縣資訊化工作辦公室略陽縣經濟貿易局關於轉發市資訊辦工信委20xx年度重點領域網路與資訊保安檢查行動檢查指南並開展相關工作的通知》要求,我局高度重視,積極行動,召開專題會議,學習通知精神,指定相關科室對國土系統網路與資訊保安進行全面檢查,現就自查情況彙報如下:
一、基本情況
縣國土資源局系統網路平臺有:國土資源部土地礦產衛片執法檢查資訊系統、國土資源部土地市場動態監測與監管系統、國土資源部農村土地整治監測監管系統、國土資源部徵地批後實施資訊系統、國土資源部採礦權資訊系統、國土資源部探礦權資訊系統、國土資源部礦產資源補償費徵收統計網路直報系統、國土資源部礦山開發利用統計資料庫管理系統、國土資源部煤、鐵礦產資源開發利用統計系統、陝西地稅網路線上發票系統及略陽縣政務資訊平臺系統等11個資訊系統。
二、安全自查情況
(一)領導重視,網路與資訊保安工作常抓不懈。網路與資訊保安,我局歷來比較重視,國土資源局網路與資訊保安領導小組是局機關常設的一個內部領導機構,由副局長,綜合科、地籍科、礦管科、耕保科、資金科、交易中心、復墾中心負責人為成員,每季度進行一次網路與資訊保安檢查,檢查後召開專題安全會議,對存在的問題及時解決,好的經驗進行交流,做到資訊保安常抓不懈,警鐘長鳴,確保上報資訊真實、準確、及時、安全。
(二)落實制度,專人管理,確保網路資訊保安。按照網路與資訊管理有關規定,制定了《略陽縣國土資源局網路與資訊保安管理規定》,做到電腦固定、專人管理,定期不定時由局網路與資訊保安領導小組進行檢查,及時與上報資訊系統管理部門進行溝通了解情況,保證網路資訊保安。
存在的問題:檢查發現有時專用電腦瀏覽網際網路。
通過自查,我局11項網路與資訊系統安全,各項管理都能按照有關制度監管,沒有發生不安全事故,各項網路與資訊系統正常、安全、暢通。
三、今後的`打算
我們將嚴格按照縣資訊化辦公室的有關要求,進一步強化網路與資訊保安管理,防患於未然,落實好國家各項資訊保安管理規定,確保網路與資訊保安。
三優範文網