市政府信息化工作辦公室:
根據《xx市20xx年度政府信息系統安全檢查實施工作方案》中“安全檢查工作”的八項內容對我局信息系統進行自查,現將自查結果報告如下:
我局信息系統運轉以來,能嚴格按照上級部門要求,積極完善各項安全制度、充分加強信息化安全工作人員教育培訓、全面落實安全防範措施、全力保障信息安全工作經費,信息安全風險得到有效降低,應急處置能力得到切實提高,保證了政府信息系統持續安全穩定運行。
一、基本情況
近年來,為保證信息化工作順利開展,我局先後投入資金xx餘萬元,為各下屬科室分別購置信息化工作辦公電腦、辦公軟件系統和信息安全防護系統。同時,在每個科室確定一名信息管理人員,具體負責向局信息中心上傳信息和對電腦的日常維護,截至目前,全局擁有信息化工作辦公電腦枱,信息員xx名,其中,專職信息員xx名。
二、信息安全系統運行情況
一是強化領導、明晰責任分工。成立了由局長任組長,局黨組成員及各科室負責人為成員的領導小組,領導小組下設了辦公室,安排兩名計算機知識豐富、責任心強的同志擔任辦公室成員,具體負責安全維護工作。健全的機構、明晰的人員分工為政府信息系統安全運行奠定了堅實的基礎。
二是積極建立健全信息發佈體系。在信息收集上傳過程中,由信息化工作領導小組辦公室統一協調,各科室把信息統一上報至局祕書科,由局祕書科掌握上傳密碼的同志統一把信息上傳發布,從而保證了信息上傳的準確性、安全性。
三是不斷加大信息安全工作。與xx有限公司簽訂了技術服務協議,定期對我局計算機進行維護和信息安全檢查。
四是專門制訂了信息化工作有關規章制度,對信息化工作管理、內部電腦安全管理、計算機及網絡設備管理、數據、資料和信息的安全管理、網絡安全管理、計算機操作人員管理、網站內容管理、網站維護責任等各方面都作了詳細規定,進一步規範了我局信息安全管理工作。
五是積極安排計算機管理人員參加市委、市政府組織的計算機安全技術培訓,有效地提高了信息技術人員的安全意識以及維護系統安全的能力,促進了我局信息網絡系統正常運行。
六是及時對系統和軟件進行更新,對重要文件、信息資源做到及時備份,數據恢復。
三、存在不足
一是專業技術人員較少,信息系統安全方面可投入的力量有限。
二是規章制度體系初步建立,但還不完善,未能覆蓋到信息系統安全的所有方面;三是遇到計算機病毒侵襲等突發事件處理不夠及時。
四、整改方向
一是要進一步擴大對計算機安全知識的培訓面,組織信息員和幹部職工進行培訓。
二是要切實增強信息安全制度的落實工作,不定期的對安全制度執行情況進行檢查,從而提高人員安全防護意識。
三是要以制度為根本,在進一步完善信息安全制度的同時,安排專人,完善設施,密切監測,隨時隨地解決可能發生的信息系統安全事故。
根據鐵路局《關於在全球範圍內開展網絡和信息安全檢查行動的通知》。
一、信息安全自查的組織實施
1.成立了信息安全檢查行動小組。站長、書記為組長,相關部門(車間)負責人、信息技術部全體人員為組員,負責全站重要信息系統的綜合調查,填寫相關報告,歸檔保存。
2.信息安全檢查組根據網絡和信息系統的實際情況逐項檢查確認,並對自檢結果進行全面檢查、梳理和分析。整改提高了全站網絡控制和信息安全。
1)組織成立了網絡與信息安全檢查組,由站長、書記任組長,相關部門(車間)負責人和信息技術部全體人員為檢查組成員。
2)研究制定自查實施方案,根據系統承擔業務獨立性的四個因素,對售票訂票系統、客運服務系統、辦公信息系統進行全面梳理分析,責任主體的獨立性、網絡邊界的獨立性、安全防護設備設施的獨立性。
3. 8月6日前逐項檢查售票預訂系統、客運服務系統、辦公信息系統的基本場景。
1)基本系統安全場景自檢售票訂票系統為實時系統,對車站主營業務影響較大。目前,它擁有2台IBM服務器、2台Cisco路由器和13台Cisco交換機。系統採用windows操作系統。災難恢復場景是系統級災難恢復。系統未連接到Internet。防火牆採用永達公司的永達安全控制防火牆。
旅客服務系統為實時系統,對車站主營業務影響較大。目前,它擁有13台HP服務器、5條H3C路由和15台H3C交換機。系統採用linix操作系統,數據庫採用sqlserver,容災場景為數據容災。系統未連接到Internet。安全保護策略根據使用需求採用開放端口,重要數據採用加密保護。
2)在安全管理自查場景的人員管理方面,指定專職信息安全員,建立信息安全管理機構和專職信息安全工作機構。所有重要崗位人員均簽訂了安全保密協議,制定了人員離崗安全規定和外來人員出入審批表。
在資產管理方面,指定專人負責資產管理,完善資產管理制度、設備維修報廢管理制度,建立設備維修記錄表。
在存儲介質管理方面,完善了存儲介質管理系統,建立了存儲介質管理記錄表。
在運維管理方面,建立了客服系統維護標準和運維記錄表,完善了日常運維制度。
3)網絡與信息安全培訓場景
三、自查發現的主要問題和威脅分析
四、改進措施
一、本行相關征信工作人員在使用辦理徵信業務時,嚴格按照 中國人民銀行《徵信業管理條例》執行,遵循合規、審慎、保密、維 護金融消費者權益的原則,對自己的查詢帳號嚴格保密,密碼定期修 改。
二、 在查詢過程中,按照審慎和維護金融消費者權益的原則, 對每一筆被查詢者,由被查詢者當面簽訂查詢授權書,按照被查詢者 的授權的查詢原因,進行授權內查詢,做到無無權查詢和越權查詢。
並且對每一筆查詢結果,做到保密制度,切實維護被查詢者的個人隱 私。
三、 對每一筆查詢者,在查詢之前,做好查詢登記制度,登記 被查詢者的姓名、住址、身份證號碼、聯繫號碼、查詢原因進行詳細 登記, 對每筆查詢記錄逐筆登記, 並按季度對其登記簿進行裝訂保存。
四、 現我行被查詢者為借款人,對其符合發放貸款的被查詢者, 查詢報告都做為貸款資料保存,對不符合貸款條件的貸户,我行對其 查詢報告進行專夾保管,查詢者對其信息絕不對外宣傳,保證其查詢 信息不泄漏,影響個人信譽。五、 對其查詢的'個人與單位徵信,本着全面、客觀、合理的原則 對客户進行綜合評價,徵信信息僅供參考,不應簡單以個人與單位徵 信系統存在負面數據為由,正確使用徵信系統, 合規開展徵信業務。
六、對個人貸款户進行貸款後管理查詢, 嚴格按照主管授權制度, 對每筆需要貸後檢查的個人徵信查詢,按照先登記授權,後查詢的原 則辦理查詢業務。
自查人:
市工信委:
根據《關於開展20xx年全市重點領域網絡與信息安全檢查的通知》(洪工信字【20xx】177號)文件的精神,我局領導高度重視,立即組織開展全局範圍的信息系統安全檢查工作。按照《中華人民共和國計算機信息系統安全保護條例》、《**市政府信息系統安全檢查指南》的要求,我局對政務網站信息安全管理工作認真組織自查,現將情況彙報如下:
我局信息系統運轉以來,能嚴格按照上級部門要求,積極完善各項安全制度、充分加強信息化安全工作人員教育培訓、全面落實安全防範措施、全力保障信息安全工作經費,信息安全風險得到有效降低,應急處置能力得到切實提高,保證了政府信息系統持續安全穩定運行
一、信息安全制度落實情況
1、建立管理機構。我局於20__年成立了信息安全和保密管理工作領導小組,並於20xx年調整後,由局長任組長,副調研員負責分管信息安全工作。各科室負責人為成員,辦公室設在局辦公室,設專人負責處理日常工作。
2、建立建全信息安全制度。我局專門制訂了信息化工作有關規章制度,對信息化工作管理、內部電腦安全管理、計算機及網絡設
備管理、數據、資料和信息的安全管理、網絡安全管理、計算機操作人員管理、網站內容管理、網站維護責任等各方面都作了詳細規定,進一步規範了我局信息安全管理工作。並在今年對信息安全制度進行了修訂,完善制度,確保政府信息系統安全防護措施。
二、日常信息安全管理情況
1、在信息收集上傳過程中,由辦公室統一協調,各處室、下屬單位把信息統一上報至局辦公室,由局辦公室審核後再把信息上傳發布,從而保證了信息上傳的準確性、安全性,決執行“誰主管誰負責、誰運行誰負責、誰使用誰負責”的管理原則。
2、我局嚴格文件的收發工作,完善了清點、整理、編號、簽收制度,並要求信息管理員定期進行系統全備份。
3、我局每台涉密計算機採用獨立內網管理,不與外網接觸,防火牆、殺毒軟件等皆為國產產品,公文處理軟件具體使用微軟公司的office系統、金山公司的WPS系統,信息系統的第三方服務外包均為國內公司。
4、為確保我局網絡信息安全工作有效順利開展,我局要求以各科室、下屬單位為單位認真組織學習相關法律、法規和網絡信息安全的相關知識,使全體人員都能正確領會信息安全工作的重要性,都能掌握計算機安全使用的規定要求,都能正確的使用計算機網絡和各類信息系統。全體工作人員簽訂《網絡信息安全承諾書》。
三、安全防範措施落實情況
1. 我局網絡系統的組成結構及其配置合理,並符合有關的安全規定;網絡使用的各種硬件設備、軟件和網絡接口是也過安全檢驗、鑑定合格後才投入使用的,自安裝以來運轉基本正常。
2.我局實行領導審查簽字制度。凡上傳網站的信息,須經有關領導審查簽字後方可上傳;二是開展經常性安全檢查,主要對SQL注入攻擊、跨站腳本攻擊、弱口令、操作系統補丁安裝、應用程序補丁安裝、防病毒軟件安裝與升級、木馬病毒檢測、端口開放情況、系統管理權限開放情況、訪問權限開放情況、網頁篡改情況等進行監管,認真做好系統安全日記。
3.我局切實抓好內網、外網、網站和應用軟件“五層管理”,確保“涉密計算機不上網,上網計算機不涉密”,嚴格按照保密要求處理光盤、硬盤、優盤、移動硬盤等管理、維修和銷燬工作。重點抓好“三大安全”排查:一是硬件安全,包括防雷、防火、防盜和電源連接等;二是網絡安全,包括網絡結構、安全日誌管理、密碼管理、IP管理、互聯網行為管理等;三是應用安全,包括網站、資源庫管理、軟件管理等。涉密計算機都設有專人管理。公文、財務、人事等系統都設有專人管理負責。
四、應急響應機制建設情況
1、制定了應急預案,並隨着信息化程度的深入,結合我局實際,處於不斷完善階段。
2、及時對系統和軟件進行更新,對重要文件、信息資源做到及時備份,數據恢復。
五、信息安全檢查工作發現的`主要問題及整改情況
1.存在的主要問題
一是專業技術人員較少,信息系統安全方面可投入的力量有限。
二是規章制度體系初步建立,但還不完善,未能覆蓋到信息系統安全的所有方面;
三是設備維護、更新還不夠及時。
2.下一步的整改計劃
根據自查過程中發現的不足,同時結合我局實際,將着重以下幾個方面進行整改:
一是要加強專業信息技術人員的培養,進一步提高信息安全工作技術水平,便於我們進一步加強對計算機信息系統安全防範和保密工作。
二是要創新完善信息安全工作機制,進一步規範辦公秩序,提高信息工作安全性。
三是要要創新完善信息安全工作機制,進一步規範辦公秩序,提高信息工作安全性。
最後,希望市政府能夠經常組織有關信息系統安全的培訓,從而進一步提高信息系統管理工作人員的專業水平,從而進一步強化信息系統的安全防範工作。
接縣公安局文件後,我單位對本單位信息安全等級保護工作進行了自查。
一、等級保護工作組織開展、實施情況:
嚴格按照文件精神組織開始了信息安全等級保護自查工作,主要檢查對象為本單位維護的翼城政府網;安全責任落實情況:按照“誰主管誰負責,誰運營誰負責”的原則開展工作,我單位負責人為第一責任人,對翼城政府網信息安全負直接責任,並接受信息安全監管部門對開展等級保護工作的監管;信息系統安全崗位和安全管理人員設置情況:本單位負責人主管信息系統安全工作,有安全管理員兩名。
二、按照信息安全法律法規、標準規範的要求制定具體實施方案和落實情況:
遵照有關法律法規,對翼城政府網遭到破壞後對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度,對翼城政府網信息安全保護等級進行了自主定級。
三、信息系統定級備案情況,信息系統變化及定級備案變動情況:
按照《關於開展全國重要信息系統安全等級保護定級工作的通知》(公通字20xx861號),對本單位維護網站(翼城政府網)安全保護等級級別定位第二級。
四、信息安全設施建設情況和信息安全整改情況:
鑑於網站的.性質,無信息安全設施。
五、信息安全管理制度建設和落實情況:
制定了翼城政府網信息安全管理制度,按照“誰主管誰負責”的原則開展工作,我單位負責人為第一責任人,對翼城政府網信息安全管理負直接責任,並接受上級單位的監管。
六、信息安全保護技術措施建設和落實情況:
對翼城政府網機房實施了24小時值班,操作系統、數據庫系統、防病毒系統、網站軟件系統實時升級,發現安全隱患,第一時間由技術人員解決。
七、選擇使用信息安全產品情況:
翼城政府網使用了鋭捷網絡的產品。
八、聘請測評機構按規範要求開展技術測評工作情況,根據測評結果開展整改情況:
暫無聘請測評機構開展技術測評工作。
九、自行定期開展自查情況:
每半年對翼城政府網進行一次信息系統安全保護自查。
十、開展信息安全知識和技能培訓情況:
主動學習信息安全法律法規,積極參加公安機關、上級主管部門組織的信息安全知識和技能培訓。
為了貫徹落實《關於開展全區信息安全檢查工作的通知》精神,切實加強國慶和十一屆全運會期間信息安全防範工作,創造良好的網絡信息環境,現就我院網絡信息安全自查自糾情況彙報如下:
一、高度重視全運會期間網絡信息安全工作
我院接到《關於開展全區信息安全檢查工作的通知》後,從維護社會穩定、經濟命脈、人民利益的政治高度,充分認識做好國慶、全運會期間網絡信息安全工作的極端重要性和緊迫性,緊急行動起來,立即進行安排部署,落實責任,強化防護措施,加強對本單位網絡和信息系統的安全保護。
二、我院網絡安全現狀
全院共有計算機22台,連接互聯網12台,兼職網絡管理人員一名,定期對計算機進行病毒查殺。目前,網絡運行良好,未在網上存儲、傳輸國家祕密信息,未發生過失密、泄密現象。為及時預防和處理各種信息安全事故,確保網絡系統絕對暢通、絕對安全,提高信息安全管理水平,我們加強了信息保密和網絡安全管理工作,成立了以“一把手”為組長,副院長為副組長,其他主要科室負責人為成員的網絡信息系統安全工作領導小組,制定了信息安全規章制度,並統一安裝了正版殺毒軟件、防火牆,有效的消除了網絡信息不安全隱患。
三、按要求嚴格落實網絡信息安全各項制度
1.責任制度。對網絡信息安全各項制度進行了全面梳理,重點抓好安全責任制、應急預案、值班值守、信息發佈審核等制度的落實。
嚴格落實領導責任制,一把手親自過問,分管負責人直接抓,一級抓一級,層層抓落實。
2.原則要求。堅決執行“誰主管誰負責、誰運行誰負責、誰使用誰負責、誰發佈誰負責”和的原則,認真履行網絡信息安全保障職責。
3.“五到位”。堅決做到領導、機構、人員、責任、措施“五到位”。健全安全工作機制,對發生重大安全責任事故的,要嚴肅追究相關人員的責任。
四、網絡安全存在的不足及整改措施
針對目前我院網絡安全方面存在的不足,提出以下幾點整改辦法:
1、加強我院計算機操作技術、網絡安全技術方面的培訓,強化我院計算機操作人員對網絡病毒、信息安全的防範意識;
2、加強我院計算機操作人員在計算機技術、網絡技術方面的學習,不斷提高我院計算機使用和管理人員的技術水平。
市政信息辦公室:
為進一步加強我局信息安全工作水平,根據《鶴壁市人民政府關於印發20xx年責任目標的通知》(合政發〔20xx〕17號)和《鶴壁市信息化領導小組辦公室關於印發20xx年信息化責任目標考核辦法的通知》(合信華辦〔20xx〕6號)文件精神,結合我局實際,我局對信息系統安全形勢進行了自查。
一、自檢
1、安全制度的實施:
目前,局(館)已制定並嚴格執行《鶴壁市檔案局網絡安全管理制度(試行)》、《鶴壁市檔案局(館)計算機信息系統安全保密管理制度》等制度。局(庫)信息管理和保護人員負責信息系統安全管理、密碼管理,嚴禁泄密。網站建設服務水平進一步提高,網站佈局和技術標準合格,內容及時更新,局領導率先在線學習,對網站建設提出新要求;完成了網站域名註冊和規範化管理;及時處理市長信箱的相關事宜;及時轉載市委、市政府的重大活動和決策部署信息,及時反饋上級決策和局部署的執行情況。網站信息公開水平進一步提高,政務公開專欄設立。根據政務公開的要求,辦公室分管副主任負責審核內容和保密工作,積極及時公開本單位的重大活動、發展規劃、政策執行等信息,專人經常更新,員工和羣眾反應良好。
2、安全預防措施的實施:
(1)涉密計算機通過了信息系統安全技術檢驗,配備了防火牆和專業殺毒軟件,增強了防篡改、防病毒、防攻擊、防癱瘓、防泄密等效能。
(2)已建立涉密計算機信息系統,物理隔離,不聯網。除特殊人員使用和管理外,任何人不得接觸或查看涉密計算機信息系統。禁止將任何機密文件和內部敏感信息保存或轉移到非機密計算機和信息系統中,所有機密文件和內部敏感信息應保存在機密計算機信息系統中。涉密計算機信息系統配備單獨的移動存儲介質,不使用本局(庫)其他處室的移動存儲介質,禁止使用所有來歷不明或未經殺毒的移動存儲介質。
(3)除政府信息公開場所使用的無線局域網(WLAN)外,局(館)其他所有硬件設施均為有線,有效避免了WLAN中的信息泄露。
(4)安裝殺毒軟件時,各機房採用國家主管部門認可的殺毒軟件及時查殺病毒,不使用來歷不明的軟件、軟盤、光盤、u盤等沒有殺毒的載體,不訪問非法網站,自覺嚴格控制和阻斷病毒來源。單位外的u盤不得攜帶到單位使用。電腦一般用多功能機在局域網內打印掃描,公開保密。
3、應急機制建設:
(1)初步應急預案已制定,處於持續改進階段。
(2)定期備份信息系統數據,減少或消除各種災害對正常工作的影響。
4、信息技術產品的應用:
防火牆、安全門和入侵檢測系統的使用可以有效地保護信息系統的安全。
5、信息安全教育和培訓:
(1)我局不斷加強對計算機用户的`安全培訓,增強每個用户安全使用網絡的能力,提高安全防範意識,並對每台聯網計算機的用户和IP地址進行登記。
(2)組織人員參加網絡安全員培訓。增強內部員工信息安全意識,有效提升局(館)信息安全防護能力。
二、信息安全檢查中發現的主要問題及整改情況
1、存在的問題:
(1)規章制度體系初步建立,但還不夠完善,不能覆蓋信息系統安全的各個方面。
(2)許多信息系統用户沒有安全意識,缺乏管理的主動性和自覺性。
(3)網絡安全技術管理人員配備較少,信息系統安全投入有限。
2、整改措施:
(1)重新審查規章制度各方面的安全政策和制度,對不完善的部分進行修訂和修改,加強信息安全制度的實施,並不定期檢查安全制度的執行情況。
(2)繼續加強人員安全意識教育,提高人員安全工作的主動性和自覺性。
(3)增加線路和系統的及時維護,加大更新力度。提高安全工作的現代化水平,有利於進一步加強計算機信息系統安全防範和信息系統安全工作。
三、對信息安全檢查工作的意見和建議
1、加強信息網絡安全技術人員的培訓,使安全技術人員能夠及時更新信息網絡安全管理知識。
2、強化人員信息安全意識,不斷強化信息系統安全管理和技術防範水平。
我中心對網絡信息安全系統工作一直十分重視,成立了專門的領導組,建立健全了網絡安全保密責任制和有關規章制度,由中心信息中心統一管理,各科室負責各自的網絡信息安全工作。嚴格落實有關網絡信息安全保密方面的各項規定,採取了多種措施防範安全保密有關事件的發生,總體上看,我中心網絡信息安全保密工作做得比較紮實,效果也比較好,近年來未發現失泄密問題。
一、計算機涉密信息管理情況
今年以來,我中心加強組織領導,強化宣傳教育,落實工作責任,加強日常監督檢查,將涉密計算機管理抓在手上。對於計算機磁介質(軟盤、U盤、移動硬盤等)的管理,採取專人保管、涉密文件單獨存放,嚴禁攜帶存在涉密內容的磁介質到上網的計算機上加工、貯存、傳遞處理文件,形成了良好的安全保密環境。對涉密計算機(含筆記本電腦)實行了與國際互聯網及其他公共信息網物理隔離,並按照有關規定落實了保密措施,到目前為止,未發生一起計算機失密、泄密事故;其他非涉密計算機(含筆記本電腦)及網絡使用,也嚴格按照中心計算機保密信息系統管理辦法落實了有關措施,確保了機關信息安全。
二、計算機和網絡安全情況
一是網絡安全方面。我中心配備了防病毒軟件、網絡隔離卡,採用了強口令密碼、數據庫存儲備份、移動存儲設備管理、數據加密等安全防護措施,明確了網絡安全責任,強化了網絡安全工作。
二是信息系統安全方面實行領導審查簽字制度。凡上傳網站的信息,須經有關領導審查簽字後方可上傳;二是開展經常性安全檢查,主要對SQL注入攻擊、跨站腳本攻擊、弱口令、操作系統補丁安裝、應用程序補丁安裝、防病毒軟件安裝與升級、木馬病毒檢測、端口開放情況、系統管理權限開放情況、訪問權限開放情況、網頁篡改情況等進行監管,認真做好系統安全日記。
三是日常管理方面切實抓好外網、網站和應用軟件“五層管理”,確保“涉密計算機不上網,上網計算機不涉密”,嚴格按照保密要求處理光盤、硬盤、U盤、移動硬盤等管理、維修和銷燬工作。重點抓好“三大安全”排查:一是硬件安全,包括防雷、防火、防盜和電源連接等;二是網絡安全,包括網絡結構、安全日誌管理、密碼管理、IP管理、互聯網行為管理等;三是應用安全,包括網站、郵件系統、資源庫管理、軟件管理等。
三、硬件設備使用合理,軟件設置規範,設備運行狀況良好。
我中心每台終端機都安裝了防病毒軟件,系統相關設備
的'應用一直採取規範化管理,硬件設備的使用符合國家相關產品質量安全規定,單位硬件的運行環境符合要求,打印機配件、色帶架等基本使用設備原裝產品;防雷地線正常,對於有問題的防雷插座已進行更換,防雷設備運行基本穩定,沒有出現雷擊事故;UPS運轉正常。網站系統安全有效,暫未出現任何安全隱患。
四、通訊設備運轉正常
我中心網絡系統的組成結構及其配置合理,並符合有關的安全規定;網絡使用的各種硬件設備、軟件和網絡接口也是通過安全檢驗、鑑定合格後才投入使用的,自安裝以來運轉基本正常。
五、嚴格管理、規範設備維護
我中心對電腦及其設備實行“誰使用、誰管理、誰負責”的管理制度。在管理方面我們一是堅持“制度管人”。二是強化信息安全教育、提高員工計算機技能。同時在中心開展網絡安全知識宣傳,使全體人員意識到了,計算機安全保護是“三防一保”工作的有機組成部分。而且在新形勢下,計算機犯罪還將成為安全保衞工作的重要內容。在設備維護方面,專門設置了網絡設備故障登記簿、計算機維護及維修表對於設備故障和維護情況屬實登記,並及時處理。對外來維護人員,要求有相關人員陪同,並對其身份和處理情況進行登記,規範設備的維護和管理。
六、網站安全及
我中心對網站安全方面有相關要求,一是使用專屬權限密碼鎖登陸後台;二是上傳文件提前進行病素檢測;三是網站分模塊分權限進行維護,定期進後台清理垃圾文件;四是網站更新專人負責。
七、安全制度制定落實情況
為確保計算機網絡安全、實行了網絡專管員制度、計算機安全保密制度、網站安全管理制度、網絡信息安全突發事件應急預案等以有效提高管理員的工作效率。同時我中心結合自身情況制定計算機系統安全自查工作制度,做到四個確保:一是系統管理員於每週五定期檢查中心計算機系統,確保無隱患問題;二是製作安全檢查工作記錄,確保工作落實;三是實行領導定期詢問制度,由系統管理員彙報計算機使用情況,確保情況隨時掌握;四是定期組織全中心人員學習有關網絡知識,提高計算機使用水平,確保預防。
八、安全教育
為保證我中心網絡安全有效地運行,減少病毒侵入,我中心就網絡安全及系統安全的有關知識進行了培訓。期間,大家對實際工作中遇到的計算機方面的有關問題進行了詳細的諮詢,並得到了滿意的答覆。
九、自查存在的問題及整改意見
我們在管理過程中發現了一些管理方面存在的薄弱環節,今後我們還要在以下幾個方面進行改進。
(一)對於線路不整齊、暴露的,立即對線路進行限期整改,並做好防鼠、防火安全工作。
(二)加強設備維護,及時更換和維護好故障設備。
(三)自查中發現個別人員計算機安全意識不強。在以後的工作中,我們將繼續加強計算機安全意識教育和防範技能訓練,讓員工充分認識到計算機案件的嚴重性。人防與技防結合,確實做好單位的網絡安全工作。
根據XX市網絡與信息安全協調小組印發《XX市20xx年網絡與信息安全檢查方案》要求,結合實際,認真對我市信息系統安全進行了檢查,現將檢查情況報告如下:
一、網絡與信息安全狀況總體評價
今年來,市、局高度重視信息安全工作,把信息安全工作列入重要議事日程,為規範信息公開工作,落實好信息安全的相關規定,成立了信息安全工作領導小組,落實了管理機構,由專門的信息化公室負責信息安全的日常管理工作,明確了信息安全的主管領導、分管領導和具體管理人員。
相繼建立健全了日常信息管理、信息安全防護管理等相關工作制度,加強了信息安全教育工作,信息安全工作領導小組定期或不定期地對我市信息安全工作進行檢查,對查找出的問題及時進行整改,進一步規範了信息安全工作,確保了信息安全工作的有效開展,全市信息安全工作取得了新進展。
二、20xx年網絡與信息安全主要工作情況
(一)加強領導,明確職責,抓好網絡與信息安全組織管理工作。為規範、加強信息安全工作,市領導高度重視,把該項工作列為重點工作任務,成立了由主管市長為組長,分管信息工作的局級領導為副組長,各相關市直單位為成員的信息安全工作領導小組。做到了分工明確,責任到人,形成了主管領導負總責,具體管理人負主責,分級管理,一級抓一級,層層抓落實的領導體制和工作機制,切實把信息安全工作落到實處。
(二)做好網絡與信息安全日常管理工作。根據工作實際,我局建立健全了信息系統安全狀況自查制度、信息系統安全責任制、計算機及網絡保密管理等相關制度,使信息安全工作進一步規範化和制度化。
(三)落實好網絡與信息安全防護管理。健全完善了非涉密計算機保密管理制度、非涉密移動儲存介質保密等管理制度。在計算機上安裝了防火牆,同時配置安裝了專業殺毒軟件,加強了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面的有效性。網絡終端沒有違規上國際互聯網及其他的信息網的現象,單位未安裝無線網絡等無線設備,並安裝了針對移動存儲設備的專業殺毒軟件。
(四)制定信息安全應急管理機制。結合實際,我市初步建立應急預案,建立了電子公文和信息報送辦理制度(試行)和電子公文和信息報送崗位責任制,嚴格文件的收發,完善了清點、修理、編號、簽收制度;信息管理員及時對系統和軟件進行更新,對重要文件、信息資源做到及時備份,數據恢復。
(五)安全教育培訓情況正在逐步開展。今年下半年,我市計劃對全體計算機使用人員開展了網絡與信息安全等方面的操作培訓,並講解網絡安全的一些知識。
(六)認真開展信息安全檢查工作。市信息安全工作領導小組會定期或不定期地對我市網絡與信息安全工作進行檢查,對查找出的問題及時進行整改,確保了信息安全工作的有效展。
三、網絡與信息安全自查發現的主要問題及整改情況
根據《XX市20xx年網絡與信息安全檢查方案》中的具體要求,在工作自查過程中我們也發現了一些不足及待以整改的情況。
1、存在問題。在自查過程中主要存在以下情況:
一是投入不足。由於我市缺少專業技術人員,且市財政在信息系統安全方面可投入的資金有限,因此在網絡與信息安全建設過程中投入的力量有限;
二是規章制度體系初步建立,但還不完善,未能覆蓋相關信息系統安全的所有方面;
三是在遇到計算機病毒侵襲等突發事件上,處理不夠及時。
2、整改情況。針對以上存在的問題,我們將做好四個“繼續”。
一是繼續完善並執行信息安全工作制度,應經常不定期的對信息安全工作制度執行情況進行檢查,對於導致不良後果的責任人,要嚴肅追究責任,從而提高信息人員安全防護意識;
二是繼續抓好制度落實,在進一步完善網絡與信息安全制度的同時,安排專人密切監測,隨時隨地解決可能發生的信息系統安全事故;
三是繼續加強對全市領導幹部、網絡信息人員的安全意識教育,提高做好信息安全工作的主動性和自覺性;
四是繼續加強加大對全市信息線路、信息系統等方面的及時維護、保養、更新力度。
四、對網絡與信息安全工作的意見和建議
建議省、市加大對縣市區信息安全工作的指導,經常性開展信息安全教育培訓,不斷提高信息安全工作的現代化水平,便於工作人員進一步加強對網絡與信息安全方面的防範和保密工作;建議省、市加大與對信息安全工作的資金和技術投入力度,確保工作順利開展,保證信息安全。
一、信息安全自查工作組織開展情況
按照“誰主管誰負責、誰運行誰負責”的原則,成立了信息安全領導小組,鎮長任組長,各分管領導為副組長,下屬各科室主任為成員,對各科室信息安全進行檢查, 重點檢查了財政網絡及相關內部網絡,包括黨政內網、信訪內網、人事內網等。各信息系統基本運行良好,但仍存在部分信息安全隱患,還需進一步加大整改力度, 切實保證信息安全。
二、信息安全工作情況
(一)成立了信息安全領導小組,鎮長任組長,各分管領導為副組長,下屬各科室主任為成員,明確了副鎮長曹興樹同志為信息安全主管領導,安監辦幹部陸璐為專職網絡安全信息員。
(二) 建立了信息安全責任制。按照“誰主管誰負責、誰運行誰負責”的原則,信息安全領導小組對信息安全負首責,各分管領導負總責,具體管理人員負主責;各辦公系 統的信息管理人員負責保密管理、密碼管理,對計算機享有獨立使用權,計算機的用户名和開機密碼為其專有,且規定嚴禁外泄,否則,一切後果自負;對重大節假 日期間的信息安全保障進行了專門部署,明確了值班人員。
(三)嚴格了資產管理制度,鎮財政辦負責信息系統資產管理。確定了專職網絡安全信息員,對機關信息系統進行定期檢查,按照“誰主管誰負責、誰運行誰負責”,各分管領導、相關管理人員對信息系統進行不定期自查。
(四)堅持計算機定點維修,並要求其給予應急信息安全的技術支持。嚴格文件的收發,完善了清點、整理、編號、簽收制度,並要求信息管理員每天下班前進行清理彙總。備份恢復目前未實現大面積推廣,目前僅為個別涉密電腦實施。
(五) 加強了重點部門和崗位的`信息安全檢查。規範信息文件資料的管理,對收到的信息文件資料只在主管領導中傳閲,嚴禁其他人員借閲和複製涉密文件,信息文件資料 辦理完畢後立即交黨政辦存檔,並在規定的時間內上交至區相關部門。連接互聯網的計算機全部安裝防火牆和殺毒軟件,嚴禁移動介質內外網混用,電腦內外網混 用。
三、自查發現的主要問題和麪臨的威脅分析
(一)發現的主要問題和薄弱環節
1、安全保護意識有待加強,各種安全保護措施有待加強,部分管理人員安全保護意識薄弱。
2、數據的存儲及備份機制還不夠完善,還存在移動介質內外網混用的情況,個別電腦存在內外網混用情況。
3、信息安全教育培訓開展力度不夠,信息系統尚未實現定期維護。
(二)面臨的安全威脅與風險
1、部分管理人員安全保護意識薄弱,存在信息安全隱患。
2、數據的存儲及備份機制還不夠完善,還存在移動介質內外網混用,個別電腦內外網混用情況,存在信息丟失的隱患。
3、信息系統尚未實現定期維護,存在重使用而輕維護的現象,存在信息系統不能可靠運行的隱患。
(三)整體安全狀況的基本判斷
目 前,xx鎮各信息系統基本運行良好,信息安全有較好保障。對於信息安全,我們做了大量的工作,但對信息安全等規定執行的還不夠全面,不夠徹底。我們決心以 這次自查為契機,堅持不懈地抓好對全體幹部特別是涉密人員的教育管理,加強業務培訓和崗位訓練,不斷完善規章制度,強化信息安全意識,堅決杜絕失泄密問題 發生,為三聖鎮經濟社會發展創造良好的條件。
四、改進措施
1、加強信息安全教育培訓,提升全體幹部特別是涉密人員的信息安全保護意識。
2、完善數據的存儲及備份機制,嚴禁移動介質內外網混用,電腦內外網混用。
3、實現信息系統定期維護,保證信息系統可靠運行。
五、關於加強信息安全工作的意見和建議
1、加強領導,提高對計算機信息系統安全保護工作重要性和緊迫性的認識。
2、加強監督,加大計算機信息系統安全管理力度。
3、加強對基層信息安全的業務指導,基層信息安全業務水平有待提升,建議開展信息安全技術培訓,充實信息安全隊伍。
4、加大對計算機信息系統安全建設力度。把建立或改進信息系統安全措施工作列入重要工作計劃。同時,在進行信息系統建設規劃時,應一併考慮安全保障體系的建設,以及安全保障體系的日常維護。
5、認真落實安全防範措施。完善信息安全防範制度,落實專職部門或人員定期對日常使用的信息系統進行自查,及時發現和消除信息安全隱患。
6、建立健全重大突發事件應急處置工作機制,提高應急處置能力。
根據上級文件《關於集中開展全縣網絡清理檢查工作的通知》,我鎮積極組織落實,對網絡安全基礎設施建設情景、網絡安全防範技術情景及網絡信息安全保密管理等情景進行了自查,對我鎮的網絡信息安全建設進行了深刻的剖析,現將自查情景報告如下:
一、成立領導小組
為進一步加強我鎮網絡清理工作,我鎮成立了網絡清理工作領導小組,由鎮長任組長,分管副鎮長任副組長,下設辦公室,做到分工明確,職責具體到人,確保網絡清理工作順利實施。
二、我鎮網絡安全現狀
我鎮的政府信息化建設從開始到此刻,經過不斷髮展,逐漸由原先的沒有太高安全標準的網絡升級為此刻的具有必須安全性的辦公系統。目前我鎮電腦均採用殺毒軟件對網絡進行保護及病毒防治。
三、我鎮網絡安全管理
為了做好信息化建設,規範政府信息化管理,我鎮專門制訂了《涉密非涉密計算機保密管理制度》、《涉密非涉密移動存儲介質保密管理制度》等多項制度,對信息化工作管理、內部電腦安全管理、計算機及網絡設備管理、數據、資料和信息的安全管理、網絡安全管理、計算機操作人員管理、網站資料管理等各方面都作了詳細規定,進一步規範了我鎮信息安全管理工作。
我鎮定期對網站上的所有信息進行整理,確保計算機使用做到“誰使用、誰負責”,尚未發現涉及到安全保密資料的信息;對我鎮產生的數據信息進行嚴格、規範管理,並及時存檔備份;此外,我鎮在全鎮範圍內組織相關計算機安全技術培訓,並開展有針對性的“網絡信息安全”教育及演練,積極參加其他計算機安全技術培訓,提高了網絡維護以及安全防護技能和意識,有力地保障我鎮政府信息網絡正常運行。
四、網絡安全存在的不足及整改措施
目前,我鎮網絡安全仍然存在以下幾點不足:一是安全防範意識較為薄弱;二是病毒監控本事有待提高;三是遇到惡意攻擊、計算機病毒侵襲等突發事件處理本事不夠。
針對目前我鎮網絡安全方面存在的不足,提出以下幾點整改意見:
1、進一步加強我鎮網絡安全小組成員計算機操作技術、網絡安全技術方面的培訓,強化我鎮計算機操作人員對網絡病毒、信息安全威脅的防範意識,做到早發現,早報告、早處理。
2、加強我鎮幹部職工在計算機技術、網絡技術方面的學習,不斷提高幹部計算機技術水平。
3、加強設備維護,及時更換和維護好故障設備,以免出現重大安全隱患,為我鎮網絡的穩定運行供給硬件保障。
五、對網絡清理檢查工作的意見和提議
隨着信息化水平不斷提高,人們對網絡信息依靠也越來越大,保障網絡與信息安全,維護國家安全和社會穩定,已經成為信息化發展中迫切需要解決的問題,由於我鎮網絡信息方面專業人才不足,對信息安全技術瞭解還不夠,期望上級部門能加強相關知識的培訓與演練,以提高我們的防範本事。
根據縣政府辦公室《關於印發墊江縣開展重點領域網絡與信息安全檢查行動工作方案的緊急通知》(墊江府辦發〔20xx〕60號)文件精神。我鎮對信息系統安全情景進行了自查,現彙報如下:
一、信息系統安全檢查基本情景
為規範和落實信息系統安全檢查,我鎮制訂了《xx鎮20xx年政府信息系統安全檢查工作方案》,併成立了信息安系統安全工作領導小組,並對此次檢理工作做了統一安排,由我鎮黨政辦公室負責信息系統安全的日常管理工作,明確了信息系統安全的主管領導、分管領導和具體管理人員:一是清理重點為涉密電子文檔和存儲、處理過涉密信息的計算機、移動硬盤、軟盤、光盤、優盤、錄像帶等。二是清理網絡管理安全,包括網絡結構、密碼管理、ip管理、互聯網行為管理等。三是清理應用管理安全,公文傳輸系統、軟件管理等,不斷規範網絡安全管理,構成了良好的安全保密環境。
二、信息安全工作情景
一是結合我鎮實際制定了初步應急預案,並處於不斷完善階段。二是專人維護涉密電腦。信息管理人員負責保密管理、密碼管理,對計算機享有獨立使用權,且規定嚴禁外泄。三是嚴格文件的收發程序,完善收發文、編號、簽收制度。四是建立健全重要數據及時備份和災難性數據恢復機制,嚴格按照市、縣的要求,認真做好日常數據備份工作,以防發生數據災難時對數據進行恢復。五是採取多層次對有害信息、惡意攻擊的防範與處理措施。
三、自查發現的主要問題
一是安全意識不夠,幹部職工的保密意識有待進一步加強。二是設備維護、更新不及時。三是安全工作的水平還有待提高,對信息安全的管護還處於初級水平。四是規章制度體系有待進一步完善。
四、改善措施
一是要繼續加強對機關幹部的安全意識教育,提高做好安全工作的主動性和自覺性。二是要切實增強信息安全制度的落實工作,不定期的`對安全制度執行情景進行檢查,對於導致不良後果的職責人,要嚴肅追究職責,從而提高人員安全防護意識。三是要以制度為根本,進一步完善信息安全制度,同時安排專人,完善設施,密切監測,隨時隨地解決可能發生的信息系統安全事故。四是不斷加強計算機信息安全管理、維護、更新等方面的資金投入,及時維護設備、更新軟件,以做好信息系統安全防範工作。
五、對信息系統安全檢查工作的意見和提議
一是進一步加大對信息系統安全工作人員的業務培訓。由於很多辦公室的信息系統安全工作人員均為非專業人員且流動性大,沒有專業的技能和知識,期望進一步加強對計算機信息系統安全管理工作的業務操作培訓。
二是加強對幹部職工的信息系統安全教育。經過開展專題警示教育培訓,增強信息系統安全意識,提高做好信息系統安全工作的主動性和自覺性。
三是加強分類指導。由於各科的工作性質不一樣,信息系統安全的防護級別也不一樣。期望結合各科室工作實際,對重點信息系統安全部門和非重點信息系統安全部門進行分類指導。
按照自治區信息化領導小組下發的《關於20xx年我區開展重點領域信息安全檢查工作的通知》(內信領辦字[20xx]號)文件精神,x自治區民政廳結合自身情況,認真組織自查,取得預期效果,現將檢查結果報告如下:
一、重點網絡與信息系統基本情況
正式運行中的業務應用系統包括:自治區最低生活保障信息系統、自治區婚姻登記信息系統、自治區優待撫卹信息系統、自治區社會團體信息系統、自治區五保供養信息系統及自治區城鄉醫療救助信息系統等xx個主要業務信息系統,由信息中心負責日常保障和維護。
從應用系統的實時性、服務對象、連接互聯網、數據集中、災備情況來看,以上xx個業務信息系統全部採用實時交互、邏輯強隔離措施連接互聯網、省級數據集中、數據級災備模式運行。
從網絡硬件構成情況來看,中心機房配置有台服務器、台小型機、xx部路由器、台隔離網閘、台負載均衡設備等。
二、整體安全狀況的基本判斷
從總體來看,各類業務信息系統上線運行以來,嚴格遵照有關規章制度的要求、完善各項安全防範措施、加強信息安全工作人員教育培訓、信息安全風險得到有效降低,應急處置能力得到顯著提高,切實保障了業務信息系統安全、穩定,高效運行。
三、發現的主要問題
(一)專業技術人員隊伍薄弱,網絡與信息系統安全保障工作可投入的人力物力有限。
(二)處於規章制度體系建立初期,尚未能覆蓋網絡與信息系統安全保障工作的'各個方面。
(三)當遇到計算機病毒大規模集中爆發、惡意侵襲信息系統等突發事件時,應急處理能力未得到實踐檢驗。
四、 薄弱環節及整改情況
(一)安全保障預算資金和技術人員缺乏的問題已提請廳領導審批。
(二)在實際工作中不斷髮現問題、解決問題,修訂各類規章制度。
(三)不定期開展數據恢復演練,密切監測,檢驗各項應急預案的可操作性和實際有效性,隨時預防發生的信息系統安全隱患。
五、意見和建議
隨着現代信息技術日新月異的發展,新的、不可預測的信息安全漏洞和安全隱患將層出不窮。建議每年組織一些系統的信息安全技術培訓,有針對性地提高安全防範水平和安全可控能力,預防和減少重大信息安全事件的發生。
一、網絡與信息安全自查工作組織開展狀況
9月10日起,由市電政辦牽頭,對各市直各單位當前網絡與信息安全進行了一次全面的調查,此次調查工作以各單位自查為主,市電政辦抽查為輔的方式進行。自查的重點包括:電政辦中心機房網絡檢修、黨政門户網維護密碼防護升級,市直各單位的信息系統的運行狀況摸底調查、市直各單位客户機病毒檢測,市直各單位網絡數據流量監控和數據分析等。
二、信息安全工作狀況
透過上半年電政辦和各單位的努力,我市在網絡與信息安全方面主要完成了以下工作:
1、所有接入市電子政務網的系統嚴格遵照規範實施,我辦根據《常寧市黨政門户網站信息發佈審核制度》、《常寧市網絡與信息安全應急預案》、《“中國常寧”黨政門户網站值班讀網制度》、《"中國常寧”黨政門户網站應急管理預案》等制度要求,定期組織開展安全檢查,確保各項安全保障措施落實到位。
2、組織信息安全培訓。面向市直政府部門及信息安全技術人員進行了網站滲透攻擊與防護、病毒原理與防護等專題培訓,提高了信息安全保障技能。
3、加強對黨政門户網站巡檢。定期對各部門子網站進行外部web安全檢查,出具安全風險掃描報告,並協助、督促相關部門進行安全加固。
4、做好重要時期信息安全保障。採取一系列有效措施,實行24小時值班制及安全日報制,與重點部門簽訂信息安全保障承諾書,加強互聯網出口訪問的實時監86、控,確保十八大期間信息系統安全。
三、自查發現的主要問題和麪臨的威脅分析
透過這次自查,我們也發現了當前還存在的一些問題:
1、部分單位規章制度不夠完善,未能覆蓋信息系統安全的所有方面。
2、少數單位的工作人員安全意識不夠強,日常運維管理缺乏主動性和自覺性,在規章制度執行不嚴、操作不規範的狀況。
3、存在計算機病毒感染的狀況,個性是U盤、移動硬盤等移動存儲設備帶來的安全問題不容忽視。
4、信息安全經費投入不足,風險評估、等級保護等有待加強。
5、信息安全管理人員信息安全知識和技能不足,主要依靠外部安全服務公司的力量。
四、改善措施和整改結果
在認真分析、總結前期各單位自查工作的基礎上,9月12日,我辦抽調3名同志組成檢查組,對部分市直機關的重要信息系統安全狀況進行抽查。檢查組共掃描了18個單位的門户網站,採用自動和人工相結合的方式對15台重要業務系統服務器、46台客户端、10台交換機和10台防火牆進行了安全檢查。
檢查組認真貫徹“檢查就是服務”的理念,按照《衡陽市人民政府辦公室關於開展全市重點領域網絡與信息安全檢查的通知》要求對抽查單位進行了細緻周到的安全巡檢,帶給了一次全面的安全風險評估服務,受到了服務單位的歡迎和肯定。檢查從自查狀況核實到管理制度落實,從網站外部安全掃描到重要業務系統安全檢測,從整體網絡安全評測到機房物理環境實地勘查,全面瞭解了各單位信息安全現狀,發現了一些安全問題,及時消除了一些安全隱患,有針對性地提出了整改推薦,督促有關單位對照報告認真落實整改。透過信息安全檢查,使各單位進一步提高了思想認識,完善了安全管理制度,強化了安全防範措施,落實了安全問題的整改,全市安全保障潛力顯著提高。
五、關於加強信息安全工作的`意見和推薦
針對上述發現的問題,我市用心進行整改,主要措施有:
1、對照《衡陽市人民政府辦公室關於開展全市重點領域網絡與信息安全檢查的通知》要求,要求各單位進一步完善規章制度,將各項制度落實到位。
2、繼續加大對機關全體工作人員的安全教育培訓,提高信息安全技能,主動、自覺地做好安全工作。
3、加強信息安全檢查,督促各單位把安全制度、安全措施切實落實到位,對於導致不良後果的安全事件職責人,要嚴肅追究職責。
4、繼續完善信息安全設施,密切監測、監控電子政務網絡,從邊界防護、訪問控制、入侵檢測、行為審計、防毒防護、網站保護等方面建立起全方位的安全防護體系。
5、加大應急管理工作推進力度,在全市信息安全員隊伍的基礎上組建一支應急支援技術隊伍,加強部門間協作,完善應急預案,做好應急演練,將安全事件的影響降到最低。
北京市x辦公室接到《北京市信息化工作辦公室關於開展x年全網絡與信息系統安全檢查工作的通知》後,我領導十分重視,及時召集相關人員按照文件要求,逐條落實,周密安排自查,對全配備的所有計算機網絡與信息安全工作進行了自查,現將自查情況報告如下:
一、 領導高度重視,組織、部門健全
領導班子高度重視信息系統安全工作,本着“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則,成立了信息系統安全領導小組,區局一把手擔任領導小組組長,分管領導為副組長,下屬各單位負責人為成員。
各基層分部設立計算機管理員崗位,分別有責任心、取得全國計算機等級二級以上(含二級)證書、熟悉業務操作的人員擔任,負責本單位計算機軟、硬件及網絡安全管理。對本單位計算機出現的軟、硬件問題及時上報信息中心。結合本部門的信息系統安全管理需求,不定期地對計算機管理員開展相關業務培訓。
二、結合系統安全自查方案,認真開展自查工作
(一)安全管理方面:制定了《公文處理應急預案》、《內部應急預案》、《網絡故障應急預案》、《計算機機房運行維護管理辦法》,並着重落實上級部門下發的信息安全政策、法規和規章制度。
確定信息中心二名工作人員擔任信息系統安全管理員,具體處理信息系統安全的相關工作。
中心機房於20xx年建成,面積約90平方米,安裝了接地保護裝置,配備了手持式滅火器,配有兩台櫃式空調,並確保空調24小時正常運轉。加強中心機房的供電管理,配備一台專用的10KV UPS電源專供中心機房設備使用,配備一台專用的6KV UPS電源專供徵收大廳設備使用,並定期對UPS電池性能進行相應測試。
x辦公網絡已於20xx年元月實行內、外網物理隔離,內外網均通過2套線路和隔離卡實現內外網切換。內網分為應用服務區與辦公區,通過一台硬件防火牆進行對外與對外的訪問控制,所有內網服務器與終端均安裝網絡版病毒防火牆。外網通過硬件防火牆、上網行為管理工和防病毒網關實行訪問控制。局機關所有計算機安裝隔離卡進行內外網物理隔離,基層分局只在分局負責人計算機上安裝隔離卡實行內外網物理隔離,其他計算機只允許上內網。
(二)安全技術方面:網絡通過租用聯通的專線,實現市局、區局及分局三級網絡互聯,各基層分局通過路由交換和以太網兩種方式按入區局,區局機關按股室按分VLAN。 中心機房內網設備目前有3台華為2631路由器、2台華為
3680路由器和3台華為3552交換機為核心層,2台華為3026交換機作為接入層。除華為3552交換機有熱備份,其他網絡設備沒有冷、熱備份,通過2台東軟硬件防火牆進一步加強網絡安全管理。
中心機房外網設備目前有6台華為3928交換機,2台防病毒網關,2台上網行為管理,2台防火牆,另外租用網通地址,各基層分局以以太網方式接入互聯網。
共有服務器8台,7台服務器的操作系統為Windows 20xx Server SP4,1台服務器的操作系統為Windows 20xx Server,所有服務器根據賬號策略設置用户密碼,強化安全管理。 所有內外網中的路由器和交換機均按照網絡運行管理規範進行命名管理,並對其用户口令進行加密。內外網中的防火牆均設置訪問控制策略,提高系統的`網絡安全係數。
(三)工作用台式機、筆計本電腦和移動存儲介質檢查和加固:
及時更新台式機和筆計本電腦的操作系統和應用程序補丁,禁用GUEST用户組,統一安裝網絡版瑞星防病毒軟件,並通過設置自動升級和定時對計算機進行掃描,對外接的USB設備,必須進行病毒掃描。
三、存在的主要問題
通過本次自查發現,我信息系統存在不少安全隱患問題,主要有以下幾方面:
(一)安全保護意識有待增強,各種安全保護措施有待加強,部分管理人員的安全保護意識薄弱。
(二)數據的存儲及備份機制還不夠完善,存在信息丟失的隱患,
存在移動存儲介質內外網混用,個別筆記本電腦存在內外網混用。
(三)重技術建設、輕安全保護。進行計算機信息系統建設規劃時,主要考慮了業務需求和系統技術性能要求,沒有很好地將系統的安全保護措施一併考慮,造成安全保護工作相對滯後。
四、加強安全保護工作的意見和建議
根據信息安全自查的情況,結合實際情況,現就加強信息系統安全工作,提出以下意見和建議:
(一)加強領導,提高對信息系統安全重要性和緊迫性的認識。組織相關人員認真學習與信息系統安全有關的管理規定,不斷增強信息系統安全保護意識,做到認識到位、措施到位、管理到位。
(二)認真落實技術防範措施,着重落實以下等安全保護技術措施:
1、系統重要數據的宂餘或備份措施;
2、計算機病毒防治措施;
3、網絡攻擊防範、追蹤措施;
4、研究有關內網補丁升級的措施。
(三)嚴格防範內外網移動存儲混用,加強對移動存儲的分類管理,嚴禁在外網機器處理或保存涉税文件,嚴格執行內、外網物理隔離制度。
(四)停用內外到外網出口,瑞星防病毒託管服務器升級下掛到市局。
(五)加強網絡和安全設備管理,調整網絡和安全設備配置,嚴
格網絡訪問控制策略,保護網絡安全。
根據《XX市人民政府辦公室關於開展全市重點領域網絡與信息安全檢查的通知》精神,9月10日,由市電政辦牽頭,組織對全市政府信息系統進行自查工作,現將自查情景總結如下:
一、網絡與信息安全自查工作組織開展情景
9月10日起,由市電政辦牽頭,對各市直各單位當前網絡與信息安全進行了一次全面的調查,此次調查工作以各單位自查為主,市電政辦抽查為輔的方式進行。自查的重點包括:電政辦中心機房網絡檢修、黨政維護密碼防護升級,市直各單位的信息系統的運行情景摸底調查、市直各單位客户機病毒檢測,市直各單位網絡數據流量監控和數據分析等。
二、信息安全工作情景
經過上半年電政辦和各單位的努力,我市在網絡與信息安全方面主要完成了以下工作:
1、所有接入市電子政務網的系統嚴格遵照規範實施,我辦根據《常寧市黨政站信息發佈審核制度》、《常寧市網絡與信息安全應急預案》、《“中國·常寧”黨政站值班讀網制度》、《中國?常寧”黨政站應急管理預案》等制度要求,定期組織開展安全檢查,確保各項安全保障措施落實到位。
2、組織信息安全培訓。面向市直政府部門及信息安全技術人員進行了網站滲透攻擊與防護、病毒原理與防護等專題培訓,提高了信息安全保障技能。
3、加強對黨政站巡檢。定期對各部門子網站進行外部web安全檢查,出具安全風險掃描報告,並協助、督促相關部門進行安全加固。
4、做好重要時期信息安全保障。採取一系列有效措施,實行24小時值班制及安全日報制,與重點部門簽訂信息安全保障承諾書,加強互聯網出口訪問的實時監控,確保十八大期間信息系統安全。
三、自查發現的主要問題和麪臨的威脅分析
經過這次自查,我們也發現了當前還存在的一些問題:
1、部分單位規章制度不夠完善,未能覆蓋信息系統安全的所有方面。
2、少數單位的工作人員安全意識不夠強,日常運維管理缺乏主動性和自覺性,在規章制度執行不嚴、操作不規範的情景。
3、存在計算機病毒感染的情景,異常是U盤、移動硬盤等移動存儲設備帶來的安全問題不容忽視。
4、信息安全經費投入不足,風險評估、等級保護等有待加強。
5、信息安全管理人員信息安全知識和技能不足,主要依靠外部安全服務公司的力量。
四、改善措施和整改結果
在認真分析、總結前期各單位自查工作的基礎上,9月12日,我辦抽調3名同志組成檢查組,對部分市直機關的重要信息系統安全情景進行抽查。檢查組共掃描了18個單位的站,採用自動和人工相結合的方式對15台重要業務系統服務器、46台客户端、10台交換機和10台防火牆進行了安全檢查。
檢查組認真貫徹“檢查就是服務”的理念,按照《XX市人民政府辦公室關於開展全市重點領域網絡與信息安全檢查的通知》要求對抽查單位進行了細緻周到的安全巡檢,供給了一次全面的安全風險評估服務,受到了服務單位的歡迎和肯定。檢查從自查情景核實到管理制度落實,從網站外部安全掃描到重要業務系統安全檢測,從整體網絡安全評測到機房物理環境實地勘查,全面瞭解了各單位信息安全現狀,發現了一些安全問題,及時消除了一些安全隱患,有針對性地提出了整改提議,督促有關單位對照報告認真落實整改。經過信息安全檢查,使各單位進一步提高了思想認識,完善了安全管理制度,強化了安全防範措施,落實了安全問題的整改,全市安全保障本事顯著提高。
五、關於加強信息安全工作的意見和提議
針對上述發現的問題,我市進取進行整改,主要措施有:
1、對照《XX市人民政府辦公室關於開展全市重點領域網絡與信息安全檢查的通知》要求,要求各單位進一步完善規章制度,將各項制度落實到位。
2、繼續加大對機關全體工作人員的安全教育培訓,提高信息安全技能,主動、自覺地做好安全工作。
3、加強信息安全檢查,督促各單位把安全制度、安全措施切實落實到位,對於導致不良後果的安全事件職責人,要嚴肅追究職責。
4、繼續完善信息安全設施,密切監測、監控電子政務網絡,從邊界防護、訪問控制、入侵檢測、行為審計、防毒防護、網站保護等方面建立起全方位的安全防護體系。
5、加大應急管理工作推進力度,在全市信息安全員隊伍的基礎上組建一支應急支援技術隊伍,加強部門間協作,完善應急預案,做好應急演練,將安全事件的影響降到最低。
根據《衡陽市人民政府辦公室關於開展全市重點領域網絡與信息安全檢查的通知》精神,9月10日,由市電政辦牽頭,組織對全市政府信息系統進行自查工作,現將自查情況總結如下:
一、網絡與信息安全自查工作組織開展情況
9月10日起,由市電政辦牽頭,對各市直各單位當前網絡與信息安全進行了一次全面的調查,此次調查工作以各單位自查為主,市電政辦抽查為輔的方式進行。自查的重點包括:電政辦中心機房網絡檢修、黨政門户網維護密碼防護升級,市直各單位的信息系統的運行情況摸底調查、市直各單位客户機病毒檢測,市直各單位網絡數據流量監控和數據分析等。
二、信息安全工作情況
通過上半年電政辦和各單位的努力,我市在網絡與信息安全方面主要完成了以下工作:
1、所有接入市電子政務網的系統嚴格遵照規範實施,我辦根據《常寧市黨政門户網站信息發佈審核制度》、《常寧市網絡與信息安全應急預案》、《“中國?常寧”黨政門户網站值班讀網制度》、《"中國?常寧”黨政門户網站應急管理預案》等制度要求,定期組織開展安全檢查,確保各項安全保障措施落實到位。
2、組織信息安全培訓。面向市直政府部門及信息安全技術人員進行了網站滲透攻擊與防護、病毒原理與防護等專題培訓,提高了信息安全保障技能。
3、加強對黨政門户網站巡檢。定期對各部門子網站進行外部4226交換機,彙集層採用3com4226交換機、思科2924交換機和聯想天工ispirit 1208e交換機,總共可提供150多個有線接入點,目前為止已使用80個左右。數據中心骨幹為千兆交換式,百兆交換到桌面。因特網出口統一由市信息辦提供,為雙百兆光纖;與自治區統計局採用2兆光纖直聯,各縣區統計局及三個開發區統計局採用天融信虛擬專用網絡軟件從互聯網上連接進入到自治區統計局的網絡,入口總帶寬為4兆,然後再連接到我局。橫向方面,積極推進市統計局與政府網互聯,目前已經實現與100多家市級黨政部門和12個縣區政府的光纖連接。我局採用天融信硬件防火牆對網絡進行保護,採用偉思網絡隔離卡和文件防彈衣軟件對重點計算機進行單機保護,安裝正版金山毒霸網絡版殺毒軟件,對全局計算機進行病毒防治。
三、我局網絡信息化安全管理
為了做好信息化建設,規範統計信息化管理,我局專門制訂了《xx市統計局信息化規章制度》,對信息化工作管理、內部電腦安全管理、機房管理、機房環境安全管理、計算機及網絡設備管理、數據、資料和信息的安全管理、網絡安全管理、計算機操作人員管理、網站內容管理、網站維護責任等各方面都作了詳細規定,進一步規範了我局信息安全管理工作。
針對計算機保密工作,我局制定了《涉密計算機管理制度》,並由計算機使用人員簽訂了《xx市統計局計算機保密工作崗位責任書》,對計算機使用做到“誰使用誰負責”;對我局內網產生的數據信息進行嚴格、規範管理。
此外,我局在全局範圍內每年都組織相關計算機安全技術培訓,計算站的同志還積極參加市信息辦及其他計算機安全技術培訓,提高了網絡維護以及安全防護技能和意識,有力地保障我局統計信息網絡正常運行。
四、網絡安全存在的不足及整改措施
目前,我局網絡安全仍然存在以下幾點不足:一是安全防範意識較為薄弱;二是病毒監控能力有待提高;三是遇到惡意攻擊、計算機病毒侵襲等突發事件處理不夠及時。
針對目前我局網絡安全方面存在的不足,提出以下幾點整改辦法:
1、加強我局計算機操作技術、網絡安全技術方面的培訓,強化我局計算機操作人員對網絡病毒、信息安全的防範意識;
2、加強我局計算站同志在計算機技術、網絡技術方面的學習,不斷提高我局計算機專管人員的技術水平。
三優範文網