成年人在线观看视频免费,国产第2页,人人狠狠综合久久亚洲婷婷,精品伊人久久

我要投稿 投訴建議

信息安全等級保護自查報告

時間:2023-07-27 10:55:17 歐敏 自查報告 我要投稿
  • 相關推薦

信息安全等級保護自查報告(精選16篇)

  時光在不經(jīng)意中流逝,一段時間的工作已經(jīng)結束了,回顧這段時間的工作存在了許多問題,讓我們一起來學習寫自查報告吧。相信大家又在為寫自查報告犯愁了吧!以下是小編幫大家整理的信息安全等級保護自查報告,歡迎大家分享。

信息安全等級保護自查報告(精選16篇)

  信息安全等級保護自查報告 1

  為進一步做好某單位信息安全等級保護工作工作,提高全轄人民銀行系統(tǒng)信息安全保障能力和水平,根據(jù)《人民銀行長沙中心支行20xx年信息安全等級保護工作方案》精神,結合我行實際,組織開展了信息安全等級保護自查工作。通過自查,進一步明確了我行信息安全等級保護工作職責,規(guī)范了信息安全等級保護工作標準,完善了信息安全等級保護工作制度,提升了信息安全等級保護工作水平,F(xiàn)將自查情況報告如下:

  一、等級保護工作部署和組織實施情況

  某單位在上級行的統(tǒng)一領導和部署下,按照《信息安全等級保護管理辦法》和《人民銀行信息系統(tǒng)信息安全等級保護實施指引(試行)》的要求,組織開展轄內(nèi)人民銀行系統(tǒng)信息安全等級保護工作。一是成立了某單位信息安全等級保護工作領導小組,由主管科技的副行長任組長,各科室主要負責人為成員,全面負責全轄人民銀行系統(tǒng)信息安全等級保護工作,領導小組下設辦公室,安排專人負責計算機信息系統(tǒng)安全管理,明確了各自的職責。二是建立健全了各項信息安全管理制度,做到了有章可循。三是加強相關工作人員的培訓學習,增強信息系統(tǒng)安全工作的自覺性,提高信息系統(tǒng)安全工作管理水平。

  二、信息系統(tǒng)安全保護等級備案情況

  我行根據(jù)《人民銀行長沙中心支行20xx年信息安全等級保護工作方案》精神,將《郴州中支業(yè)務網(wǎng)網(wǎng)絡系統(tǒng)》和《郴州中支財庫行橫向聯(lián)網(wǎng)系統(tǒng)》信息安全保護等級定為第二級,其他系統(tǒng)定為第一級,并將定為第二級的.系統(tǒng)向市公安局網(wǎng)監(jiān)支隊報備。

  三、下一步工作計劃

  目前,某單位信息安全等級保護工作正在不斷完善中,今后還需要在以下幾個方面不斷加強:

  一是進一步加強信息安全管理力度,督促各支行、各科室加強信息安全等級保護工作;

  二是加強網(wǎng)絡信息安全隊伍建設,提高網(wǎng)絡管理人員和維護人員的技術水平和安全管理意識;

  三是進一步完善信息安全管理制度,開展信息系統(tǒng)安全評估和自測評;

  四是規(guī)范和完善安全事件處理流程。

  信息安全等級保護自查報告 2

  為進一步做好x單位信息安全等級保護工作工作,提高全轄人民銀行系統(tǒng)信息安全保障能力和水平,根據(jù)《人民銀行長沙中心支行20xx年信息安全等級保護工作方案》精神,結合我行實際,組織開展了信息安全等級保護自查工作。通過自查,進一步明確了我行信息安全等級保護工作職責,規(guī)范了信息安全等級保護工作標準,完善了信息安全等級保護工作制度,提升了信息安全等級保護工作水平。現(xiàn)將自查情況報告如下:

  一、等級保護工作部署和組織實施情況

  x單位在上級行的統(tǒng)一領導和部署下,按照《信息安全等級保護管理辦法》和《人民銀行信息系統(tǒng)信息安全等級保護實施指引(試行)》的`要求,組織開展轄內(nèi)人民銀行系統(tǒng)信息安全等級保護工作。

  一是成立了x單位信息安全等級保護工作領導小組,由主管科技的副行長任組長,各科室主要負責人為成員,全面負責全轄人民銀行系統(tǒng)信息安全等級保護工作,領導小組下設辦公室,安排專人負責計算機信息系統(tǒng)安全管理,明確了各自的職責。

  二是建立健全了各項信息安全管理制度,做到了有章可循。

  三是加強相關工作人員的培訓學習,增強信息系統(tǒng)安全工作的自覺性,提高信息系統(tǒng)安全工作管理水平。

  二、信息系統(tǒng)安全保護等級備案情況

  我行根據(jù)《人民銀行長沙中心支行20xx年信息安全等級保護工作方案》精神,將《郴州中支業(yè)務網(wǎng)網(wǎng)絡系統(tǒng)》和《郴州中支財庫行橫向聯(lián)網(wǎng)系統(tǒng)》信息安全保護等級定為第二級,其他系統(tǒng)定為第一級,并將定為第二級的系統(tǒng)向市公安局網(wǎng)監(jiān)支隊報備。

  三、下一步工作計劃

  目前,x單位信息安全等級保護工作正在不斷完善中,今后還需要在以下幾個方面不斷加強:

  一是進一步加強信息安全管理力度,督促各支行、各科室加強信息安全等級保護工作;

  二是加強網(wǎng)絡信息安全隊伍建設,提高網(wǎng)絡管理人員和維護人員的技術水平和安全管理意識;

  三是進一步完善信息安全管理制度,開展信息系統(tǒng)安全評估和自測評;

  四是規(guī)范和完善安全事件處理流程。

  信息安全等級保護自查報告 3

  接縣公安局文件后,我單位對本單位信息安全等級保護工作進行了自查。

  一、等級保護工作組織開展、實施情況:

  嚴格按照文件精神組織開始了信息安全等級保護自查工作,主要檢查對象為本單位維護的翼城政府網(wǎng);安全責任落實情況:按照“誰主管誰負責,誰運營誰負責”的原則開展工作,我單位負責人為第一責任人,對翼城政府網(wǎng)信息安全負直接責任,并接受信息安全監(jiān)管部門對開展等級保護工作的監(jiān)管;信息系統(tǒng)安全崗位和安全管理人員設置情況:本單位負責人主管信息系統(tǒng)安全工作,有安全管理員兩名。

  二、按照信息安全法律法規(guī)、標準規(guī)范的要求制定具體實施方案和落實情況:

  遵照有關法律法規(guī),對翼城政府網(wǎng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度,對翼城政府網(wǎng)信息安全保護等級進行了自主定級。

  三、信息系統(tǒng)定級備案情況,信息系統(tǒng)變化及定級備案變動情況:

  按照《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的'通知》(公通字20xx861號),對本單位維護網(wǎng)站(翼城政府網(wǎng))安全保護等級級別定位第二級。

  四、信息安全設施建設情況和信息安全整改情況:

  鑒于網(wǎng)站的性質(zhì),無信息安全設施。

  五、信息安全管理制度建設和落實情況:

  制定了翼城政府網(wǎng)信息安全管理制度,按照“誰主管誰負責”的原則開展工作,我單位負責人為第一責任人,對翼城政府網(wǎng)信息安全管理負直接責任,并接受上級單位的監(jiān)管。

  六、信息安全保護技術措施建設和落實情況:

  對翼城政府網(wǎng)機房實施了24小時值班,操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、防病毒系統(tǒng)、網(wǎng)站軟件系統(tǒng)實時升級,發(fā)現(xiàn)安全隱患,第一時間由技術人員解決。

  七、選擇使用信息安全產(chǎn)品情況:

  翼城政府網(wǎng)使用了銳捷網(wǎng)絡的xxx產(chǎn)品。

  八、聘請測評機構按規(guī)范要求開展技術測評工作情況,根據(jù)測評結果開展整改情況:

  暫無聘請測評機構開展技術測評工作。

  九、自行定期開展自查情況:

  每半年對翼城政府網(wǎng)進行一次信息系統(tǒng)安全保護自查。

  十、開展信息安全知識和技能培訓情況:

  主動學習信息安全法律法規(guī),積極參加公安機關、上級主管部門組織的信息安全知識和技能培訓。

  信息安全等級保護自查報告 4

  xx縣煙草專賣局(分公司)的信息網(wǎng)絡安全建設在上級部門的關心指導下,近年取得了快速的進步和發(fā)展,實效性強,網(wǎng)絡安全防控能力大大增強。為進一步貫徹落實行業(yè)網(wǎng)絡與信息安全各項管理規(guī)定,嚴格規(guī)范信息安全等級保護,提高企業(yè)對信息網(wǎng)絡安全的防控能力,保障企業(yè)信息網(wǎng)絡安全,保證公司各項辦公自動化工作的正常進行,促進企業(yè)效益的穩(wěn)步提升,按照《xx縣人民政府辦公室關于開展信息網(wǎng)絡信息安全等級保護安全檢查工作的通知》要求,我司組織相關人員對系統(tǒng)內(nèi)信息網(wǎng)絡安全等級保護工作認真細致的自檢自查,現(xiàn)將自查情況報告如下。

  一、等級保護工作部署和組織實施情況

  xx縣煙草公司企業(yè)信息化建設在市局(公司)的統(tǒng)一領導下,按照“統(tǒng)一網(wǎng)絡、統(tǒng)一平臺、統(tǒng)一數(shù)據(jù)庫”的要求,以打造“數(shù)字煙草”為戰(zhàn)略目標,以“系統(tǒng)集成、資源整合、信息共享”為工作方針,取得了快速的發(fā)展,在積極推進企業(yè)信息化建設的過程中,更加重視網(wǎng)絡信息的安全建設工作。從省公司到市公司、縣公司,領導高度重視,統(tǒng)一規(guī)劃,統(tǒng)一標準,同步實施。首先是逐級成立了領導小組和職能部門,xx分公司按照上級部門要求,20xx年11月成立了信息化領導小組,下設信息辦在公司辦公室,并設置了計算機系統(tǒng)管理員崗位,明確了各自的職責。由于網(wǎng)絡推廣應用迅速,20xx年重新更設了計算機網(wǎng)絡信息中心,旨在強化對企業(yè)的網(wǎng)絡建設和網(wǎng)絡安全管理。在歷次的機構設置中,都明確了分公司主要領導分管信息工作,把網(wǎng)絡信息安全的建設與管理擺到了企業(yè)各項工作的重要位置中來,表明了企業(yè)對信息化建設、網(wǎng)絡安全管理的高度重視和決心。其次是對行業(yè)的網(wǎng)絡安全建設高瞻遠矚、統(tǒng)一標準、規(guī)范運作、務求實效。先后省公司下發(fā)了《云南省煙草專賣局關于建設云南省行業(yè)計算機網(wǎng)絡與信息安全系統(tǒng)的通知》,對全行業(yè)的網(wǎng)絡信息安全建設作了明確、細致的規(guī)定,制定了高效規(guī)范的《云南省煙草行業(yè)計算機網(wǎng)絡與信息安全系統(tǒng)建設方案》,統(tǒng)一在全系統(tǒng)范圍內(nèi)實施。隨后市局公司又下發(fā)了《曲靖市煙草專賣局(公司)關于建設網(wǎng)絡安全系統(tǒng)的通知》,對各分公司的網(wǎng)絡安全建設作了具體的安排部署。xx縣煙草公司嚴格按照上級部門要求,主動推進網(wǎng)絡安全建設,嚴律遵循行業(yè)標準規(guī)范,組織實施信息項目,積極配合上級部門在全行業(yè)開展網(wǎng)絡安全建設工作。

  二、信息系統(tǒng)安全保護等級備案情況

  xx縣煙草專賣局(分公司)隸屬曲靖市煙草專賣局(公司)子公司,無法人資格。網(wǎng)絡信息安全建設也是依照市公司統(tǒng)一要求進行,信息安全保護等級為二級。按照本次檢查要求,備案材料主要包括三類。一是各級各部門的文件,包括有:羅煙司字[20xx]48號《關于成立云南省煙草xx縣公司信息化領導小組的通知》,省公司云煙科[20xx]209號《關于決舉辦云南省煙草行業(yè)計算機系統(tǒng)管理員培訓班的通知》,省公司云煙信[20xx]552號《云南省煙草專賣局關于建設云南省煙草行業(yè)計算機網(wǎng)絡與信息安全系統(tǒng)的通知》,市公司云曲煙專司字[20xx]35號《曲靖市煙草專賣局(公司)關于建設網(wǎng)絡安全系統(tǒng)的通知》、《曲靖煙草專賣局(公司)黨政工作部關于舉辦網(wǎng)絡信息安全培訓的通知》,市公司云曲煙辦字[20xx]98號《曲靖市煙草專賣局(公司)關于建設地面專網(wǎng)的通知》等。第二類是各項網(wǎng)絡信息安全建設規(guī)范、技術標準及方案等,主要包括有:《云南省煙草行業(yè)信息網(wǎng)絡信息系統(tǒng)技術規(guī)范》兩部分,《云南省煙草行業(yè)信息網(wǎng)絡系統(tǒng)計算機網(wǎng)絡系統(tǒng)建設技術規(guī)范》、《云南省煙草行業(yè)計算機網(wǎng)絡與信息安全系統(tǒng)建設方案》。第三類是各類管理制度或規(guī)定,主要包括有:《云南省煙草行業(yè)信息網(wǎng)絡管理規(guī)范》、《云南省煙草行業(yè)計算機網(wǎng)絡與信息安全管理制度》、《信息化工作管理規(guī)定》的網(wǎng)絡與信息安全管理,《網(wǎng)絡建設及信息維護按理規(guī)定》、《計算機設備管理規(guī)定》、《計算機機房管理規(guī)定》及《突發(fā)信息網(wǎng)絡事件應急預案》等。

  三、信息安全設施建設情況。

  根據(jù)上級部門的統(tǒng)一規(guī)劃、建設要求,xx縣煙草公司積極推進各項網(wǎng)絡安全建設工作。首先,為考慮網(wǎng)絡安全,結合業(yè)務實際,在網(wǎng)絡規(guī)劃時以建設專線為重點,在全省煙草系統(tǒng)內(nèi)全部采用專線連接,實現(xiàn)互聯(lián)互通。在系統(tǒng)主干網(wǎng)絡建設上,先是采用衛(wèi)星專用通道聯(lián)網(wǎng),后改用DDN專線,隨著網(wǎng)絡技術的發(fā)展和普及,從20xx年開始,全省煙草系統(tǒng),從省公司至市公司,從市公司至分公司,從分公司至煙葉站、煙葉收購點,采用帶寬不同的.SDH專線連接。公司絕大部分業(yè)務均在內(nèi)網(wǎng)里運行,各類數(shù)據(jù)信息通過內(nèi)網(wǎng)服務器和網(wǎng)絡流轉(zhuǎn)、共享,無外網(wǎng)托管現(xiàn)象,只有極少部分業(yè)務需掛外網(wǎng)。其次是不斷采用新技術、新手段做好網(wǎng)絡信息安全防范工作,嚴格劃分企業(yè)內(nèi)網(wǎng)與外網(wǎng),通過硬件防火墻設置,保證內(nèi)外信息交互有效進行,實現(xiàn)對垃圾信息、非法訪問的有效過濾。同時,通過網(wǎng)絡版殺毒軟件的安裝使用,對計算機病毒進行整體防治,另一方面,對操作終端還配置防木馬程序的軟件,以及軟件防火墻等軟件的使用,配合殺毒軟件對計算機病毒、黑客攻擊、木馬程序等進行了有效的防范?傊ㄟ^軟硬件技術手段的有效結合,使系統(tǒng)內(nèi)網(wǎng)及每個終端計算機、系統(tǒng)內(nèi)的信息、數(shù)據(jù)安全得到了有效保障,有效保證了企業(yè)各業(yè)務工作的順利開展。

  四、管理制度建設情況。

  煙草企業(yè)自20xx年工商分制以來,作為一分公司,在曲靖市煙草公司的直接領導下,各項工作穩(wěn)步推進,伴隨著社會效益、企業(yè)效益的逐年攀升,曲靖煙草企業(yè)更加注重管理模式的總結與創(chuàng)新,強調(diào)管理的精細化和規(guī)范化,通過長時間的積累、總結和創(chuàng)新,對各行各業(yè)各個環(huán)節(jié)都制定了規(guī)范、有效的管理制度。形成了具有行業(yè)標準的相關制度-《曲靖煙草商業(yè)管理(QTCM)-管理制度》,在網(wǎng)絡信息安全方面涉及很多內(nèi)容。制定了《計算機設備管理規(guī)定》,旨在規(guī)范煙草系統(tǒng)計算機及相關設備的管理工作,促進設備的有效管理,提高設備的綜合效率,滿足工作需求;制定了《計算機機房管理理規(guī)定》,旨在加強計算機機房的運行、使用和管理,保證各信息系統(tǒng)的穩(wěn)定可靠運行,促進公司網(wǎng)絡的健康發(fā)展;制定了《信息化工作管理規(guī)定》、以及《網(wǎng)站建設及信息維護管理規(guī)定》,包括網(wǎng)絡和信息安全管理規(guī)定,旨在保證企業(yè)網(wǎng)絡信息系統(tǒng)運行安全、可靠,做到實體安全、運行安全、數(shù)據(jù)安全和管理安全。20xx年4月份,根據(jù)企業(yè)《職業(yè)健康安全管理體系》運行的整改要求,制定了《突發(fā)信息網(wǎng)絡事件應急預案》,包括機房滲漏水應急預案、機房盜竊應急預案、機房火災應急預案、機房長時間停電應急預案、通信網(wǎng)絡故障應急預案、網(wǎng)絡病毒爆發(fā)應急預案、服務器軟件系統(tǒng)故障應急預案、核心設備硬件故障應急預案、業(yè)務數(shù)據(jù)損壞應急預案等九部分內(nèi)容,旨在加強對系統(tǒng)內(nèi)突發(fā)信息網(wǎng)絡事件的控制,迅速有效開展應急救援行動,降低危害程度?傊髽I(yè)對網(wǎng)絡安全高度重視,制定了眾多管理制度,并積極層層落實,責任分明,有效地保證了了企業(yè)長期以來的網(wǎng)絡信息系統(tǒng)的穩(wěn)定運行。

  五、信息安全產(chǎn)品選擇和使用情況。

  我司的網(wǎng)絡信息安全產(chǎn)品,20xx年開始根據(jù)市公司的要求,進行統(tǒng)一配置。其中,硬件防火墻采用中端型產(chǎn)品,基本滿足管理要求。防病毒軟件曾采用趨勢Trend網(wǎng)絡版,20xx年以后統(tǒng)一改用瑞星企業(yè)專用版,與全國大多企業(yè)一致選用國產(chǎn)軟件。網(wǎng)絡管理平臺軟件曾使用復旦光華T_Manager網(wǎng)絡綜合管理系統(tǒng),預計未來將采用其它新系統(tǒng)實現(xiàn)網(wǎng)絡綜合管理。此外,針對各終端設備的安全防范,我司還使用了正版的瑞星個人防火墻軟件和免費版的奇虎360安全衛(wèi)土等安全軟件,實現(xiàn)防病毒、木馬程序、黑客、非法程序等的輔助管理,進一步提高了整個系統(tǒng)的安全防范能力和管理水平。

  六、聘請測評機構開展技術測評情況

  我司的網(wǎng)絡安全檢測及風險評估工作也是依照市局(公司)的統(tǒng)一要求組織實施,按照市公司的統(tǒng)一安排,聘請測評機構為曲靖市麒麟?yún)^(qū)聯(lián)創(chuàng)信息網(wǎng)絡有限公司,檢測時間一般為每年6至7月份,檢測內(nèi)容為:機房物理環(huán)境、服務器、網(wǎng)絡設備(交換機、路由器、防火墻),桌面終端等,其中,桌面終端采用抽查方式進行檢測,抽查率不少于總數(shù)的30%,檢測工作中,工程師需簽訂《云南省網(wǎng)絡與信息系統(tǒng)安全檢測單位保密承諾》和安全檢測保密協(xié)議,檢測結果及報告由市公司保存。

  七、定期自查情況

  xx縣煙草公司高度重視網(wǎng)絡安全建設工作,強調(diào)日常維護、安全防范和定期自查工作。對管理制度不斷完善更新,新技術新手段積極采用,借助于企業(yè)職業(yè)健康安全管理體系的貫標、運行和提升工作,不斷開展網(wǎng)絡信息安全的檢查工作,對一經(jīng)查出的問題及時整改,自己不能解決的及時上報上級部門,給予幫助解決,有效地促進了整個安全防控體系的完善和管理水平的提高。

  信息安全等級保護自查報告 5

  根據(jù)《永勝縣人民政府辦公室關于開展政府信息系統(tǒng)安全檢查的通知》(永政辦發(fā)〔20xx〕56號)文件精神,結合我社實際,認真組織開展了信息系統(tǒng)的安全自查工作,F(xiàn)將相關情況報告如下:

  一、信息系統(tǒng)安全檢查基本情況

  (一)信息安全組織機構落實情況

  為規(guī)范信息公開工作,落實好信息安全的相關規(guī)定,我社成立了信息安全工作領導小組,落實了管理機構,由聯(lián)社辦公室負責信息安全的日常管理工作,明確了信息安全的主管領導、分管領導和具體管理人員。

  (二)日常信息安全管理落實情況

  根據(jù)供銷合作社的工作實際,供銷社日常信息安全工作主要涉及上級下發(fā)的涉密文件管理、政府信息公開工作信息管理、業(yè)務工作相關數(shù)據(jù)信息管理、組織人事信息管理。根據(jù)這些實際,縣聯(lián)社已從落實管理機構和人員、加強教育培訓、更新設備、健全完善相關制度等方面對信息安全的人員、資產(chǎn)、運行和維護管理進行了落實。

  一是,落實具體負責信息安全工作的人員,對涉密信息文件、材料實行專人管理;對重要辦公區(qū)、辦公計算機等進行嚴格管理,確保信息保密工作。

  二是,結合供銷社工作實際,對涉密文件材料管理和計算機、移動存儲設備等的維修、報廢、銷毀管理進行了規(guī)定。對日常信息辦公軟件、應用軟件等的安裝使用,主要是由上級組織人事部門、業(yè)務主管部門下發(fā)的業(yè)務工作應用軟件,均按照上級部門的要求和規(guī)定,嚴格進行操作管理。

  三是,結合供銷社政府信息公開工作,按照信息公開的相關保密規(guī)定和程序,初步建立了《永勝縣供銷合作社政府信息公開保密審查制度(試行)》,對信息公開、陽光政府四項制度等公開發(fā)布信息保密審查機制、程序進行了規(guī)范,完善相關信息審批備案和日常記錄。

  (三)等級保護與風險評估

  永勝縣供銷合作社的相關信息系統(tǒng)主要是業(yè)務工作,不是重要涉密部門,還達不到涉密信息系統(tǒng)等級,所以,沒有對信息系統(tǒng)定級、測評和評估。 ㈣技術安全防范措施和手段落實情況。

  1、計算機及網(wǎng)絡經(jīng)過檢查,已安裝了防火墻,同時配置安裝了專業(yè)殺毒軟件,加強了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面的有效性。并按縣委保密局的要求,在主要的計算機上統(tǒng)一粘貼了“非涉密計算機嚴禁處理涉密信息”的標識,杜絕涉密和非涉密計算機之間的混用。

  2、網(wǎng)絡終端沒有違規(guī)上國際互聯(lián)網(wǎng)及其他的信息網(wǎng)的現(xiàn)象,沒有安裝無線網(wǎng)絡等。對信息公開發(fā)布門戶網(wǎng)站及相關應用系統(tǒng)帳戶、口令等進行檢查,對服務器上的應用、服務、端口和鏈接進行了檢查,沒有網(wǎng)站信息被非法篡改,也沒有非法鏈接。同時,日常工作中,及時對計算機進行漏洞掃描、木馬檢測等,加強安全監(jiān)管。我單位使用的計算機都為非涉密計算機,主要是用于業(yè)務工作,沒有用于處理涉密信息的情況。目前,網(wǎng)絡運行良好,安全防范措施和設備運行良好,沒有涉及國家秘密的相關信息,未在網(wǎng)上存儲、傳輸國家秘密信息,未發(fā)生過失密、泄密現(xiàn)象。

  3、密碼技術防范方面。我單位的相關信息還達不到涉密信息系統(tǒng)等級,目前還沒有使用密碼技術防護措施。

  (四)應急工作機制建設情況

  1、應急響應機制建設上,根據(jù)相關要求,建立了信息安全的相關規(guī)章制度,要求縣社信息安全管理辦公室根據(jù)信息安全工作情況及時向工作領導小組報告相關情況,并及時上報縣信息化辦公室,及時采取有效措施,處理相關問題。目前,還沒有應急響應方案。

  2、對非涉密的相關重要工作信息實行光盤備份,以防范計算機系統(tǒng)故障帶來的損失和影響。

  3、目前,我社的信息安全管理工作還沒有明確應急技術支援隊伍,主要由縣社辦公室根據(jù)工作中的問題向縣信息辦及時報告咨詢解決。目前,沒有發(fā)生信息安全事件。

  (五)信息技術產(chǎn)品和信息安全產(chǎn)品使用情況

  我單位終端計算機安裝的防火墻、入侵檢測設備、殺毒軟件等信息安全產(chǎn)品,使用360安全衛(wèi)士等軟件,皆為國產(chǎn)產(chǎn)品。公文處理軟件具體使用金山軟件的WPS office系統(tǒng)和Microsoft Office系統(tǒng)。單位使用的工資系統(tǒng)、業(yè)務統(tǒng)計報表系統(tǒng)、組織人事統(tǒng)計系統(tǒng)等應用軟件均為縣委、縣政府相關部門和市供銷社統(tǒng)一指定的.產(chǎn)品系統(tǒng)。

  (六)安全教育培訓情況

  1、縣供銷社積極參加全縣保密工作會議和縣委政府相關部門組織的信息系統(tǒng)安全知識培訓,并專門負責機關的網(wǎng)絡安全管理和信息安全工作。

  2、結合集中學習,縣供銷社對全縣保密工作會議精神進行了傳達學習。同時,在日常工作中相關保密、信息安全工作人員也結合《保密工作》雜志及相關文件精神,開展自學,提高信息安全意識、保密意識。

  (七)信息安全經(jīng)費保障。

  縣供銷合作社信息安全工作得到縣社領導高度重視,信息安全相關學習培訓材料的征訂購買和相關防護設施建設、運行、維護和管理經(jīng)費均納入預算,實報實銷,為信息安全提供了經(jīng)費保障。

  二、信息安全檢查存在的主要問題及整改情況

  經(jīng)過安全檢查,我單位信息安全總體情況良好,但也存在了一些不足,同時結合單位工作實際,進行了整改同時提出了進一步整改的措施。

  1、部分干部職工對信息安全工作的認識不到位。由于本部門工作涉密很少,機關干部對信息安全防范的意識還不高,對信息系統(tǒng)安全工作重要性的認識還不足。針對這些情況,縣社領導已結合傳達全縣保密工作會議精神,進一步作了強調(diào)和要求。結合工作開展,今后將繼續(xù)加強對機關干部的信息系統(tǒng)安全意識教育,提高干部職工對信息安全工作重要性的認識。

  2、設備維護、更新不及時。部分股室計算機的殺毒軟件、防護軟件沒有及時進行更新升級,存在部分漏洞。針對這些問題,辦公室已及時對各終端計算機的殺毒軟件、防火墻等進行了更新升級,對存在的漏洞進行了修復。今后將對線路、系統(tǒng)等的及時維護和保養(yǎng),及時更新升級防護軟件。

  3、信息系統(tǒng)安全工作的水平還有待加強。供銷社的信息系統(tǒng)工作人員均為兼職人員,非專業(yè)人員,對信息安全的管護水平低,還需要加強專業(yè)學習培訓,提高信息安全管理和管護工作的水平。

  4、信息安全工作機制還有待完善。部門信息安全相關工作機制制度、應急預案等還不健全,還要完善信息安全工作機制,建立完善信息安全應急響應機制,以提高機關網(wǎng)絡信息工作的運行效率,促進辦公秩序的進一步規(guī)范,防范風險。

  三、對信息安全檢查工作的意見和建議

  一是,進一步加大對信息安全工作人員的業(yè)務培訓。由于很多部門的信息安全工作人員均為兼職,均是“半路出家”,非專業(yè)人員,沒有專業(yè)的技能和知識,希望進一步加強對計算機信息系統(tǒng)安全管理工作的業(yè)務操作培訓,發(fā)放一些信息網(wǎng)絡安全管理方面的業(yè)務知識材料。

  二是,加強對各級各部門干部職工的信息系統(tǒng)安全教育。通過開展專題警示教育培訓,增強信息系統(tǒng)安全意識,提高做好信息安全工作的主動性和自覺性。

  三是,加強分類指導。由于各部門工作性質(zhì)不同,信息安全的級別也不同。希望結合各部門工作實際,對重點信息安全部門和非重點信息安全部門進行分類指導。

  信息安全等級保護自查報告 6

  為了認真貫徹落實省公安廳《關于組織開展全省20xx年度信息安全等級保護專項檢查工作的通知》文件精神,為進一步做好我省環(huán)境自動監(jiān)控系統(tǒng)信息安全工作,提高環(huán)境自動監(jiān)控系統(tǒng)安全保證能力和水平,切實加強省環(huán)境監(jiān)控系統(tǒng)網(wǎng)絡信息安全,為中原經(jīng)濟區(qū)建設創(chuàng)造良好的社會和網(wǎng)絡環(huán)境。

  環(huán)保部和省委、省政府領導高度重視環(huán)境自動監(jiān)控系統(tǒng)建設和應用工作。陳新貴副廳長和易旭生副巡視員對省環(huán)境信息自動監(jiān)控系統(tǒng)信息安全等級保護專項檢查工作做出重要批示,要求認真準備,做好檢查工作。

  按照省環(huán)境監(jiān)控中心(以下簡稱“監(jiān)控中心”)各位領導嚴格要求,安排專門科室和人員,制定了一系列信息安全管理制度,加強日常信息安全監(jiān)測和預警,促進了中心信息安全建設和管理,營造出健康、和諧的網(wǎng)絡環(huán)境。近期,我中心進行了信息安全自查,現(xiàn)將中心信息安全自查工作情況報告如下:

  一、信息安全工作的基本情況

  (一)積極組織部署等級保護工作

  1、專門成立等級保護協(xié)調(diào)領導機構

  成立了由分管領導、分管部門、網(wǎng)絡管理組成的信息安全等級保護協(xié)調(diào)領導小組,確保環(huán)境自動監(jiān)控系統(tǒng)高效運行、理順信息安全管理、規(guī)范信息化安全等級建設。

  2、明確等級保護責任部門和工作崗位

  監(jiān)控中心非常注重環(huán)境自動監(jiān)控系統(tǒng)建設,多次開會明確等級保護責任部門,做到分工明確,責任具體到人。

  3、貫徹落實等級保護各項工作文件或方案

  等級保護責任部門和工作人員認真貫徹落實公安部、省公安廳等級保護各項工作文件或方案,根據(jù)環(huán)境自動監(jiān)控工作的特點,制定出《河南省環(huán)境保護廳網(wǎng)絡與信息安全事件應急預案》、《河南省環(huán)境自動監(jiān)控系統(tǒng)機房管理制度》等一系列規(guī)章制度,落實等級保護工作。

  4、召開工作動員會議,組織人員培訓,專門部署等級保護工作

  監(jiān)控中心每季度召開一次工作動員會議,定期、不定期對技術人員進行培訓,并開展考核。技術人員認真學習貫徹有關文件精神,把信息安全等級保護工作提升到重要位置,常抓不懈。

  5、有關主要領導認真聽取等級保護工作匯報并做出重要指示

  省環(huán)保廳陳新貴副廳長、易旭生副巡視員分別對等級保護工作給與批示,要求認真做好有關工作。監(jiān)控中心陶冶主任、丁衛(wèi)東副主任、郭新望總工程師分別聽取等級保護工作匯報,指示責任部門做好自檢、自查,精心準備,迎接公安廳專項檢查。

 。ǘ┱J真落實信息安全責任制

  1、高規(guī)格建設信息安全協(xié)調(diào)領導機構

  在監(jiān)控中心等級保護協(xié)調(diào)領導小組中,陶冶主任親自擔任協(xié)調(diào)領導小組組長,主管領導郭新望總工程師擔任協(xié)調(diào)領導小組常務副組長,信息管理室汪太鵬主任兼任領導小組辦公室主任。

  2、成立信息安全職能部門

  監(jiān)控中心成立了信息管理室作為信息安全職能部門,負責環(huán)境網(wǎng)絡建設,信息安全,日常運行管理。

  3、制定信息安全責任追究制度

  監(jiān)控中心制定出相應信息安全責任追究制度,定崗到人,明確責任分工,把信息安全責任事故降低到最低。

  (三)積極推進信息安全制度建設

  1、加強人員安全管理制度建設

  監(jiān)控中心建立了人員錄用、離崗、考核、安全保密、教育培訓、外來人員管理等安全管理制度,對新進人員進行培訓,加強人員安全管理,不定期開展考核。

  2、嚴格執(zhí)行機房安全管理制度監(jiān)控中心制定出《機房管理制度》,加強機房進出人員管理和日常監(jiān)控制度,嚴格實施機房安全管理條例,做好防火防盜,保證機房安全。

  3、建立系統(tǒng)建設管理制度

  監(jiān)控中心制訂了產(chǎn)品采購、工程實施、驗收交付、服務外包等系統(tǒng)建設管理制度,通過公開招標,擇優(yōu)選用,大大提高了系統(tǒng)建設的質(zhì)量。

 。ㄋ模┐罅訌娦畔⑾到y(tǒng)運維

  1、開展日常信息安全監(jiān)測和預警

  監(jiān)控中心建立日常信息安全監(jiān)測和預警機制,提高處置網(wǎng)絡與信息安全突發(fā)公共能力事件,加強網(wǎng)絡信息安全保障工作,形成科學、有效、反應迅速的應急工作機制,確保重要計算機信息系統(tǒng)的實體安全、運行安全和數(shù)據(jù)安全,最大限度地減輕網(wǎng)站網(wǎng)絡與信息安全突發(fā)公共事件的.危害。

  2、建立安全事件報告和響應處理程序

  監(jiān)控中心建立健全分級負責的應急管理體制,完善日常安全管理責任制。相關部門各司其職,做好日常管理和應急處置工作。設立安全事件報告和相應處理程序,根據(jù)安全事件分類和分級,進行不同的上報程序,開展不同的響應處理。

  3、制定應急處置預案,定期演練并不斷完善監(jiān)控中心制定了安全應急預案,根據(jù)預警信息,啟動相應應急程序,加強值班值守工作,做好應急處理各項準備工作。定期演練預警方案,不斷完善預警方案可行性、可操作性。

  二、扎實開展信息系統(tǒng)定級備案

 。ㄒ唬┬畔⑾到y(tǒng)定級工作概況

  監(jiān)控中心積極有效開展信息系統(tǒng)定級工作,認真編制安全等級保護定級報告。省環(huán)境自動監(jiān)控系統(tǒng)是通過前端自動監(jiān)控設施自動采樣、分析、獲取各污染源、環(huán)境質(zhì)量點位的監(jiān)測數(shù)據(jù)。

  該系統(tǒng)主要服務于省、市環(huán)保部門環(huán)境管理,同時對審核后數(shù)據(jù)通過網(wǎng)站向公眾發(fā)布。

  系統(tǒng)服務受到破壞時侵害的客體是公眾利益,即社會公眾的環(huán)境知情權。

  系統(tǒng)服務受到破壞后,對侵害客體的侵害是一般損害。

  (二)信息系統(tǒng)備案工作情況

  監(jiān)控中心按期規(guī)范開展信息系統(tǒng)備案工作。根據(jù)《信息安全等級保護管理辦法》,填寫信息系統(tǒng)安全等級保護備案表。

  對單位基本情況、信息系統(tǒng)情況、信息系統(tǒng)定級情況等信息做出明確備案。

  三、有效推進信息系統(tǒng)等級測評和安全建設整改工作部署和經(jīng)費保障

  (一)制定等級測評工作計劃

  認真制定等級測評工作計劃表,按照工作計劃表,有條不紊的開展等級測評。

  (二)制定安全建設整改工作計劃

  制定安全建設整改工作計劃,根據(jù)自查結果,對發(fā)現(xiàn)問題進行安全建設整改。編制整改方案,限期完成整改計劃。

 。ㄈ┍WC等級測評工作經(jīng)費

  中心優(yōu)先保證等級測評工作經(jīng)費的劃撥、使用。

  (四)落實安全建設整改工作經(jīng)費保障

  中心積極落實安全建設整改工作經(jīng)費,協(xié)調(diào)財政部門保障整改經(jīng)費保障。

  (五)選擇等級測評機構

  四、不斷完善等級保護自查和整改

  (一)組織部署等級保護自查工作

  領導協(xié)調(diào)小組開專題會議,部署等級保護自查工作。按照信息安全等級保護工作檢查表的要求,細化各項檢查指標,落實各項指標。

 。ǘ┌雌谡拇嬖诘膯栴}

  五、認真做好三級信息系統(tǒng)等級測評和安全建設整改工作

 。ㄒ唬┑燃壴u測工作開展情況

  (二)安全建設整改工作開展情況

  信息安全等級保護自查報告 7

  我院在接到貴單位發(fā)來的《信息系統(tǒng)安全等保限期整改通知書》后,院領導高度重視,責成信息科按照要求進行整改,現(xiàn)在整改情況報告如下。

  一、我院網(wǎng)絡安全等級保護工作概況

  根據(jù)上級主管部門和行業(yè)主管部門要求,我院高度重視并開展了網(wǎng)絡安全等級保護相關工作,工作內(nèi)容主要包含信息系統(tǒng)梳理、定級、備案、等級保護測評、安全建設整改等。我院目前運行的主要信息系統(tǒng)有:綜合業(yè)務信息系統(tǒng)。綜合業(yè)務信息系統(tǒng)是商城縣人民醫(yī)院核心醫(yī)療業(yè)務信息系統(tǒng)的集合,系統(tǒng)功能模塊主要包括醫(yī)院信息系統(tǒng)(HIS)、檢驗信息系統(tǒng)(LIS)、電子病歷系統(tǒng)(EMRS)、醫(yī)學影像信息系統(tǒng)(PACS),其中醫(yī)院信息系統(tǒng)(HIS)、檢驗信息系統(tǒng)(LIS)、電子病歷系統(tǒng)(EMRS)由福建弘揚軟件股份有限公司開發(fā)建設并提供技術支持,醫(yī)學影像信息系統(tǒng)(PACS)由深圳中航信息科技產(chǎn)業(yè)股份有限公司開發(fā)建設并提供技術支持。

  我院已于20xx年11月完成了綜合業(yè)務信息系統(tǒng)的定級、備案、等級保護測評、專家評審等工作,系統(tǒng)安全保護等級為第二級(S2A2G2),等級保護測評機構為河南天祺信息安全技術有限公司,等級保護測評結論為基本符合,綜合得分為76.02分。在測評過程中,信息科已根據(jù)測評人員建議對能夠立即整改的安全問題進行了整改,如:服務器安全加固、訪問控制策略調(diào)整、安裝防病毒軟件、增加安全產(chǎn)品等。目前我院正在進行門戶網(wǎng)站的`網(wǎng)絡安全等級保護測評工作。

  二、安全問題整改情況

  此次整改報告中涉及到的信息系統(tǒng)安全問題是我院于20xx年11月委托河南天祺公司對醫(yī)院信息系統(tǒng)進行測評反饋的內(nèi)容,主要包括應用服務器、數(shù)據(jù)庫服務器操作系統(tǒng)漏洞和Oracle漏洞等。針對應用服務器系統(tǒng)漏洞,我院及時與安全公司進行溝通,溝通后通過關閉部分系統(tǒng)服務和端口,更新必要的系統(tǒng)升級包等措施進行了及時的處理。針對Oracle數(shù)據(jù)庫存在的安全漏洞問題,我們與安全公司和軟件廠商進行了溝通,我院HIS系統(tǒng)于20xx年底投入使用,數(shù)據(jù)庫版本為Oracle 11g,投入運行時間較早,且部署于內(nèi)網(wǎng)環(huán)境中未及時進行漏洞修復。

  經(jīng)過軟件開發(fā)廠商測試發(fā)現(xiàn)修復Oracle數(shù)據(jù)庫漏洞會影響HIS系統(tǒng)正常運行,并存在未知風險,為了既保證信息系統(tǒng)安全穩(wěn)定運行又降低信息系統(tǒng)面臨的安全隱患,我們主要采取控制數(shù)據(jù)庫訪問權限,切斷與服務器不必要的連接、限制數(shù)據(jù)庫管理人員權限等措施來降低數(shù)據(jù)庫安全漏洞造成的風險。具體措施為:第一由不同技術人員分別掌握數(shù)據(jù)庫服務器和數(shù)據(jù)庫的管理權限;第二數(shù)據(jù)庫服務器僅允許有業(yè)務需求的應用服務器連接,日常管理數(shù)據(jù)庫采用本地管理方式,數(shù)據(jù)庫不對外提供遠程訪問;第三對數(shù)據(jù)庫進行了安全加固,設置了強密碼、開啟了日志審計功能、禁用了數(shù)據(jù)庫默認用戶等。

  我院高度重視網(wǎng)絡安全工作,醫(yī)院網(wǎng)絡中先后配備了防火墻、防毒墻、入侵防御、網(wǎng)絡版殺毒軟件、桌面終端管理等安全產(chǎn)品,并正在采購網(wǎng)閘、堡壘機、日志審計等安全產(chǎn)品,同時組建了醫(yī)院網(wǎng)絡安全小組,由三名技術人員負責網(wǎng)絡安全管理工作,使我院網(wǎng)絡安全管理水平大幅提升。

  “沒有網(wǎng)絡安全,就沒有國家安全”。作為全縣醫(yī)療救治中心,醫(yī)院始終把信息網(wǎng)絡安全和醫(yī)療安全放在首位,不斷緊跟醫(yī)院發(fā)展和形勢需要,科學有效的推進網(wǎng)絡安全建設工作,并接受各級主管部門的監(jiān)督和管理。

  信息安全等級保護自查報告 8

  為落實“教育部辦公廳關于開展網(wǎng)絡安全檢查的通知”(xx廳函[20xx]5號)、“教育部關于加強教育行業(yè)網(wǎng)絡與信息安全工作的指導意見”(xx[20xx]4號)、xxx省教育廳“關于開展全省教育系統(tǒng)網(wǎng)絡與信息安全專項檢查工作的通知”(x教!20xx】8號),全面加強我校網(wǎng)絡與信息安全工作,校信息化建設領導小組辦公室于9月16日—25日對全校網(wǎng)絡、信息系統(tǒng)和網(wǎng)站的安全問題組織了自查,現(xiàn)將自查情況匯報如下:

  一、學校網(wǎng)絡與信息安全狀況

  本次檢查采用本單位自查、遠程檢查與現(xiàn)場抽查相結合的方式,檢查內(nèi)容主要包含網(wǎng)絡與信息系統(tǒng)安全的組織管理、日常維護、技術防護、應急管理、技術培訓等5各方面,共涉及信息系統(tǒng)28個、各類網(wǎng)站89個。

  從檢查情況看,我校網(wǎng)絡與信息安全總體情況良好。學校一貫重視信息安全工作,始終把信息安全作為信息化工作的重點內(nèi)容。網(wǎng)絡信息安全工作機構健全、責任明確,日常管理維護工作比較規(guī)范;管理制度完善,技術防護措施得當,信息安全風險得到有效降低;比較重視信息系統(tǒng)(網(wǎng)站)系統(tǒng)和網(wǎng)絡安全技術人員培訓,應急預案與應急處置技術隊伍有落實,工作經(jīng)費有一定保障,基本保證了校園網(wǎng)信息系統(tǒng)(網(wǎng)站)持續(xù)安全穩(wěn)定運行。但在網(wǎng)絡安全管理、技術防護設施、網(wǎng)站建設與維護、信息系統(tǒng)等級保護工作等方面,還需要進一步加強和完善。

  二、網(wǎng)絡信息安全工作情況

  1、網(wǎng)絡信息安全組織管理

  按照“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則,學校網(wǎng)絡信息安全工作實行“三級”管理。學校設有信息化工作領導小組,校主要領導擔任組長,信息化工作辦公室設在網(wǎng)教中心,中心主任兼辦公室主任。領導小組全面負責學校網(wǎng)絡信息安全工作,授權信息辦對全校網(wǎng)絡信息安全工作進行安全管理和監(jiān)督責任。網(wǎng)教中心作為校園網(wǎng)運維部門承擔信息系統(tǒng)安全技術防護與技術保障工作。各處室、學院承擔本單位信息系統(tǒng)和網(wǎng)站信息內(nèi)容的`直接安全責任。

  2、信息系統(tǒng)(網(wǎng)站)日常安全管理

  學校建有“校園網(wǎng)管理條例”、“中心機房安全管理制度“、“數(shù)據(jù)安全管理辦法”、“網(wǎng)站管理辦法”、“服務器托管管理辦法”、“網(wǎng)絡故障處理規(guī)范”等系列規(guī)章制度。各系統(tǒng)(網(wǎng)站)使用單位基本能按要求,落實責任人,較好地履行網(wǎng)站信息上傳審簽制度、信息系統(tǒng)數(shù)據(jù)保密與防篡改制度。日常維護操作較規(guī)范,多數(shù)單位做到了杜絕弱口令并定期更改,嚴密防護個人電腦,定期備份數(shù)據(jù),定期查看安全日志等,隨時掌握系統(tǒng)(網(wǎng)站)狀態(tài),保證正常運行。

  3、信息系統(tǒng)(網(wǎng)站)技術防護

  校園網(wǎng)數(shù)據(jù)中心建有一定規(guī)模的綜合安全防護措施。

  一是建有專業(yè)中心機房,配備視頻監(jiān)控、備用電力供應設備,有防水、防潮、防靜、溫濕度控制、電磁防護等措施,進出機房實行門禁和登記制度;

  二是網(wǎng)絡出口部署有安全系統(tǒng),站群系統(tǒng)部署有應用防火墻,并定期更新檢測規(guī)則庫,重要信息系統(tǒng)建立專網(wǎng)以便與校園網(wǎng)物理隔離;

  三是對服務器、網(wǎng)絡設備、安全設備等定期進行安全xxxx檢查,及時更新操作系統(tǒng)和補丁,配置口令策略保證更新頻度;

  四是全面實行實名認證制度,具備上網(wǎng)行為回溯追蹤能力;

  五是對重要系統(tǒng)和數(shù)據(jù)進行定期備份,并建有災備中心。

  4、信息安全應急管理

  20xx年制定了《xxx科技大學網(wǎng)絡與信息安全突發(fā)事件應急預案》。網(wǎng)教中心為應急技術支持單位,確保網(wǎng)絡安全事件的快速有效處置。

  5、信息安全教育培訓

  派員參加了xxx省信息安全保密培訓。暑期處級干部培訓安排有信息安全與保密專題,每年組織全校網(wǎng)管員技術培訓,增強管理干部和技術人員的安全防范意識,提高技術防護能力。

  三、檢查發(fā)現(xiàn)的主要問題

  對照《通知》中的具體檢查項目,我校在信息安全工作上還存在一定的問題:

  1、安全管理方面:網(wǎng)管員為xxxx,投入精力難以保證,部分網(wǎng)管員長時間未登錄過自己管理的系統(tǒng)(網(wǎng)站),無法及時知曉已發(fā)生的安全事件。部分系統(tǒng)(網(wǎng)站)日常管理維護不夠規(guī)范,仍存在xxxxxx弱口令、數(shù)據(jù)備份重視不夠、信息保密意識差等問題(20xx年發(fā)生2起個人隱私信息上傳網(wǎng)站的事件)。

  2、技術防護方面:校園網(wǎng)安全技術防護設施仍不足,如缺少數(shù)據(jù)中心安全防御系統(tǒng)和審計系統(tǒng),欠缺安全檢測設施,無法對服務器、信息系統(tǒng)(網(wǎng)站)進行安全xxxxxxxx與隱患檢查。

  3、應用系統(tǒng)(網(wǎng)站)方面:個別應用系統(tǒng)(網(wǎng)站)存在設計缺陷和安全xxxx,容易發(fā)生安全事故。(經(jīng)統(tǒng)計20xx年以來14個網(wǎng)站發(fā)生安全事故17起,其中11起是因為網(wǎng)站存在技術問題,如安全xxxx或設計缺陷)。

  4、信息系統(tǒng)等級保護工作尚未全面開展。

  5、部分院(系)管轄的機房或?qū)W習室尚未實行認證和審計。

  四、整改措施

  針對存在的問題,學校信息化領導小組專門進行了研究部署。

  1、進一步完善網(wǎng)絡信息安全管理制度,規(guī)范信息系統(tǒng)和網(wǎng)站日常管理維護工作程序。加強網(wǎng)管員技術培訓,提高安全意識和技術能力。

  2、繼續(xù)完善網(wǎng)絡信息安全技術防護設施,配備必要的安全防御和檢測設備,實行信息系統(tǒng)(網(wǎng)站)安全檢測準入制度,從根本上降低安全風險。定期對服務器、操作系統(tǒng)進行xxxxxxxx和隱患排查,建立針對性的主動防護體系。

  3、針對各級網(wǎng)站建設水平參差不齊問題,學校20xx年引入了站群系統(tǒng)管理平臺,目前已將多個部門共計12個網(wǎng)站遷移到站群系統(tǒng)管理平臺。今后將加大推進力度,逐步將全部各級網(wǎng)站遷入站群系統(tǒng)管理平臺,提高網(wǎng)站技術安全性能。

  4、全面開展信息系統(tǒng)等級保護工作,按照新頒布的《教育行政部門及高等院校信息系統(tǒng)安全等級保護定級指南》,完成所有在線系統(tǒng)的定級、備案工作。積極創(chuàng)造條件開展后續(xù)定級測評、整改等工作。

  5、加強應急管理,修訂應急預案,組建以網(wǎng)教中心技術人員為骨干、重要系統(tǒng)xxxxxx參加的應急支援技術隊伍,加強部門間協(xié)作,做好應急演練,將安全事件的影響降到最低。

  6、對院(系)管機房或?qū)W習室強制認證和審計。

  五、幾點建議

  1、建議按年度列支相關經(jīng)費,用于培訓、應急演練、網(wǎng)站改造等工作開展。(“網(wǎng)絡安全經(jīng)費預算投入情況”也是xx廳函[20xx]51號文件9個檢查項目之一);

  2、建議在數(shù)字校園建設經(jīng)費里列支專項經(jīng)費用于等保定級、測評、整改等工作;

  3、建議各類網(wǎng)站在適當?shù)臅r候(最好是改版時)加入學校站群系統(tǒng)管理平臺,一旦加入該站群系統(tǒng)管理平臺,管理者將無需考慮網(wǎng)站的技術安全及風險,只需考慮網(wǎng)站的信息與內(nèi)容安全。

  信息安全等級保護自查報告 9

  為進一步加強我院信息系統(tǒng)的安全管理,強化信息安全和保密意識,提高信息安全保障水平,按照省衛(wèi)計《關于xx省衛(wèi)生系統(tǒng)網(wǎng)絡與信息安全督導檢查工作的通知》文件要求,我院領導高度重視,成立專項管理組織機構,召開相關科室負責人會議,深入學習和認真貫徹落實文件精神,充分認識到開展網(wǎng)絡與信息安全自查工作的重要性和必要性,對自查工作做了詳細部署,由主管院長負責安排、協(xié)調(diào)相關檢查部門、監(jiān)督檢查項目,建立健全醫(yī)院網(wǎng)絡安全保密責任制和有關規(guī)章制度,嚴格落實有關網(wǎng)絡信息安全保密方面的各項規(guī)定,并針對全院各科室的網(wǎng)絡信息安全情況進行了專項檢查,現(xiàn)將自查情況匯報如下:

  一、醫(yī)院網(wǎng)絡建設基本情況

  我院信息管理系統(tǒng)于xx年xx月由xxxx科技有限公司對醫(yī)院信息管理系統(tǒng)(HIS系統(tǒng))進行升級。升級后的前臺維護由本院技術人員負責,后臺維護及以外事故處理由xxxx科技有限責任公司技術人員負責。

  二、自查工作情況

  1、機房安全檢查。機房安全主要包括:消防安全、用電安全、硬件安全、軟件維護安全、門窗安全和防雷安全等方面安全。醫(yī)院信息系統(tǒng)服務器機房嚴格按照機房標準建設,工作人員堅持每天定點巡查。系統(tǒng)服務器、多口交換機、路由器都有UPS電源保護,可以保證在斷電3個小時情況下,設備可以運行正常,不至于因突然斷電致設備損壞。

  2、局域網(wǎng)絡安全檢查。主要包括網(wǎng)絡結構、密碼管理、IP管理、存儲介質(zhì)管理等;HIS系統(tǒng)的操作員,每人有自己的登錄名和密碼,并分配相應的操作員權限,不得使用其他人的操作賬戶,賬戶施行“誰使用、誰管理、誰負責”的管理制度。行固定IP地址,由醫(yī)院統(tǒng)一分配、管理,無法私自添加新IP,未經(jīng)分配的IP無法連接到院內(nèi)局域網(wǎng)。我院局域網(wǎng)內(nèi)所有計算機USB接口施行完全封閉,有效地避免了因外接介質(zhì)(如U盤、移動硬盤)而引起中毒或泄密的發(fā)生。

  3、數(shù)據(jù)庫安全管理。我院對數(shù)據(jù)安全性采取以下措施:

  (1)將數(shù)據(jù)庫中需要保護的部分與其他部分相隔。

  (2)采用授權規(guī)則,如賬戶、口令和權限控制等問控制方法。

  (3)數(shù)據(jù)庫賬戶密碼專人管理、專人維護。

  (4)數(shù)據(jù)庫用戶每6個月必須修改一次密碼。

  (5)服務器采取虛擬化進行安全管理,當當前服務器出現(xiàn)問題時,及時切換到另一臺服務器,確保客戶端業(yè)務正常運行。

  三、應急處置

  我院HIS系統(tǒng)服務器運行安全、穩(wěn)定,并配備了型UPS電源,可以保證在面積斷電情況下,服務器可運行六小時左右。我院的HIS系統(tǒng)剛剛升級上線不久,服務器未發(fā)生過長宕機時間,但醫(yī)院仍然制定了應急處預案,并對收費操作員和護士進行了培訓,如果醫(yī)院出現(xiàn)面積、長時間停電情況,HIS系統(tǒng)無法正常運行,將臨時開始手工收費、記賬、發(fā)藥,以確保診療活動能夠正常、有序地進行,待到HIS系統(tǒng)恢復正常工作時,再補打發(fā)票、補記收費項目。

  四、存在問題

  我院的網(wǎng)絡與信息安全工作做的.比較認真、仔細,從未發(fā)生過重的安全事故,各系統(tǒng)運轉(zhuǎn)穩(wěn)定,各項業(yè)務能夠正常運行。但自查中也發(fā)現(xiàn)了不足之處,如目前醫(yī)院信息技術人員少,信息安全力量有限,信息安全培訓不全面,信息安全意識還夠,個別科室缺乏維護信息安全的主動性和自覺性;應急演練開展不足;機房條件差;個別科室的計算機設備配偏低,服務期限偏長。

  今后要加強信息技術人員的培養(yǎng),提升信息安全技術水平,加強全院職工的信息安全教育,提高維護信息安全的主動性和自覺性,加對醫(yī)院信息化建設投入,提升計算機設備配,進一步提高工作效率和系統(tǒng)運行的安全性。

  信息安全等級保護自查報告 10

  隨著計算機網(wǎng)絡和通信技術的飛速發(fā)展,信息網(wǎng)絡已經(jīng)成為一個國家和社會發(fā)展的重要保證;是關系國家安全和主權、社會穩(wěn)定、民族文化繼承和發(fā)揚的重要問題;是政府宏觀調(diào)控決策、軍事、商業(yè)經(jīng)濟信息、銀行資金轉(zhuǎn)賬、股票證券、能源資源數(shù)據(jù)、科研數(shù)據(jù)等重要的信息。因此,網(wǎng)絡信息的安全問題也逐漸成為一個潛在的巨大問題,越來越引起人們的關注。計算機網(wǎng)絡信息一旦受到外來的攻擊和破壞,將給國家、軍隊和使用單位造成不可估量的重大經(jīng)濟損失,并嚴重影響正常的工作秩序和工作的順利開展。通常利用計算機犯罪很難留下犯罪證據(jù),這也大大刺激了計算機高技術犯罪案件的發(fā)生。計算機犯罪率的迅速增加,使各國的計算機系統(tǒng)特別是網(wǎng)絡系統(tǒng)面臨著很大的威脅,并成為嚴重的社會問題之一。我們必須對網(wǎng)絡信息的安全隱患有足夠的重視和防范,做到防患于未然。

  一、網(wǎng)絡信息安全的脆弱性

  互聯(lián)網(wǎng)已遍及世界180多個國家,為億萬用戶提供了多樣化的網(wǎng)絡與信息服務。在互聯(lián)網(wǎng)上,除了原來的電子郵件、新聞論壇等文本信息的交流與傳播之外,網(wǎng)絡電話、網(wǎng)絡傳真、靜態(tài)及視頻等通信技術都在不斷地發(fā)展與完善。在信息化社會中,網(wǎng)絡信息系統(tǒng)將在政治、軍事、金融、商業(yè)、交通、電信、文教等方面發(fā)揮越來越大的作用。社會對網(wǎng)絡信息系統(tǒng)的依賴也日益增強。各種各樣完備的網(wǎng)絡信息系統(tǒng),使得秘密信息和財富高度集中于計算機中。另一方面,這些網(wǎng)絡信息系統(tǒng)都依靠計算機網(wǎng)絡接收和處理信息,實現(xiàn)相互間的聯(lián)系和對目標的管理、控制。以網(wǎng)絡方式獲得信息和交流信息已成為現(xiàn)代信息社會的一個重要特征。網(wǎng)絡正在逐步改變?nèi)藗兊墓ぷ鞣绞胶蜕罘绞,成為當今社會發(fā)展的一個主題。

  然而,伴隨著信息產(chǎn)業(yè)發(fā)展而產(chǎn)生的互聯(lián)網(wǎng)和網(wǎng)絡信息的安全問題,也已成為各國政府有關部門、各大行業(yè)和企事業(yè)領導人關注的熱點問題。目前,全世界每年由于信息系統(tǒng)的脆弱性而導致的經(jīng)濟損失逐年上升,安全問題日益嚴重。面對這種現(xiàn)實,各國政府有關部門和企業(yè)不得不重視網(wǎng)絡安全的問題。

  二、計算機網(wǎng)絡信息的安全隱患

  網(wǎng)絡信息安全是一個關系國家安全和主權、社會穩(wěn)定、民族文化繼承和發(fā)揚的重要問題。其重要性,正隨著全球信息化步伐的加快越來越重要。網(wǎng)絡信息安全是一門涉及計算機科學、網(wǎng)絡技術、通信技術、密碼技術、信息安全技術、應用數(shù)學、數(shù)論、信息論等多種學科的綜合性學科。網(wǎng)絡信息的含義主要是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)信息受到保護,不受偶然的或者惡意原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運行,使得網(wǎng)絡服務不中斷。網(wǎng)絡面臨的威脅和攻擊錯綜復雜,但歸結起來對網(wǎng)絡信息安全的威脅主要表現(xiàn)在:

  1、物理安全對網(wǎng)絡信息造成的威脅

  網(wǎng)絡的物理安全是整個網(wǎng)絡信息安全的前提。在諸多的網(wǎng)絡工程建設中,由于網(wǎng)絡系統(tǒng)屬于是弱電工程,耐壓值很低。因此,在設計和施工中,必須優(yōu)先考慮保護人和網(wǎng)絡設備不受電、火災和雷擊的侵害;考慮布線系統(tǒng)與照明電線、動力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離;考慮布線系統(tǒng)和絕緣線、裸體線以及接地與焊接的安全;必須建設防雷系統(tǒng),防雷系統(tǒng)不僅考慮建筑物防雷,還必須考慮計算機及其他弱電耐壓設備的防雷?傮w來說物理安全的風險主要有,地震、水災、火災等環(huán)境事故;電源故障;人為操作失誤或錯誤;設備被盜、被毀;電磁干擾;線路截獲;高可用性的硬件;雙機多冗余的設計;機房環(huán)境及報警系統(tǒng)、安全意識等,因此要盡量避免網(wǎng)絡的物理安全風險。

  2、網(wǎng)絡的開放性決定網(wǎng)絡的脆弱

  隨著計算機網(wǎng)絡技術的飛速發(fā)展,尤其是互聯(lián)網(wǎng)的應用變得越來越廣泛,在帶來了前所未有的海量信息的同時,網(wǎng)絡的開放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的可能性。而針對網(wǎng)上的信息資源共享這一特性,各種信息資源就要在網(wǎng)上處理,傳遞,從網(wǎng)絡的連通性上看,在享受信息便利的同時,各節(jié)點上用戶的信息資源便有暴露的可能,建立的網(wǎng)絡越大,節(jié)點越多,信息泄漏的危險性也就越大,這種危險可以來自方方面面,比如說,人為的蓄意攻擊等等。網(wǎng)絡信息的廣泛和通信協(xié)議的開放決定了網(wǎng)絡的脆弱和易損性,這就對我們當前的網(wǎng)絡信息安全構成了巨大的威脅和潛在的危險。

  3、來自黑客的威脅和攻擊

  計算機信息網(wǎng)絡上的黑客攻擊事件越演越烈,已經(jīng)成為具有一定經(jīng)濟條件和技術專長的形形色色攻擊者活動的舞臺。他們具有計算機系統(tǒng)和網(wǎng)絡脆弱性的知識,能靈活使用各種計算機工具來達到他們的目的。境內(nèi)外黑客攻擊破壞網(wǎng)絡的問題十分嚴重,他們通常采用非法侵人重要信息系統(tǒng),竊聽、獲取、攻擊侵人網(wǎng)的有關敏感性重要信息,修改和破壞信息網(wǎng)絡的正常使用狀態(tài),造成數(shù)據(jù)丟失或系統(tǒng)癱瘓,給國家造成重大政治影響和經(jīng)濟損失。黑客問題的出現(xiàn),并非黑客能夠制造入侵的機會,從沒有路的地方走出一條路,只是他們善于發(fā)現(xiàn)漏洞。即信息網(wǎng)絡本身的不完善性和缺陷,成為被攻擊的目標或利用為攻擊的途徑,其信息網(wǎng)絡脆弱性引發(fā)了信息社會脆弱性和安全問題,并構成了自然或人為破壞的威脅。

  4、人為造成的`無意識失誤

  無意識的失誤涵蓋的方面也很多,如管理員安全配置考慮不當所造成的安全漏洞,用戶的安全意識不強,用戶口令選擇不慎,用戶將自己的賬號隨意轉(zhuǎn)借他人或與別人共享信息。近幾年,由于計算機網(wǎng)絡的迅速發(fā)展,在網(wǎng)絡中發(fā)布“搏客”,聊天等,由于說著無意,聽者有心,也會無意識的報露一些機密,目前從發(fā)生的一些泄密案件來看,很多都是無意識的行為,這些都會對網(wǎng)絡信息的安全帶來一定的威脅,并給我們的經(jīng)濟帶來巨大的損失。

  5、來自網(wǎng)絡軟件漏洞的隱患

  所說的后門是一種登錄系統(tǒng)的方式,他不僅可以繞過系統(tǒng)已有的安全設置,而且還能挫敗系統(tǒng)上各種增強的安全設置。后門的種類有很多,簡單的后門可能是建立一個新賬號,較復雜一點的可能會繞過系統(tǒng)的安全認證對系統(tǒng)具有訪問權。后門的實質(zhì)是駐留的計算機系統(tǒng)中,供某些特殊使用者通過特殊方式來控制計算機系統(tǒng)的途徑。目前,計算機中的任何網(wǎng)絡軟件都不可能是百分之百的無缺陷和無漏洞的,然而,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。在近幾年的網(wǎng)絡隱患中,有的就是因服務器和工作節(jié)點未及時打上補丁而遭到一些外來攻擊,輕者使得機器出現(xiàn)死機,系統(tǒng)不能正常的啟動,重者是系統(tǒng)癱瘓或造成硬件的損壞。

  三、計算機網(wǎng)絡信息安全防預對策

  計算機網(wǎng)絡信息安全防范工作是一個極為復雜的系統(tǒng)工程,是人防和技防相結合的綜合性工程。在防范策略上我們必須做到:

  1、強化網(wǎng)絡安全技術手段

  強化網(wǎng)絡安全技術手段是保障網(wǎng)絡信息安全必須要采取的措施。尤其是對網(wǎng)絡中使用的關鍵設備,如交換機、網(wǎng)絡服務器等,要制定嚴格的網(wǎng)絡安全規(guī)章制度,采取防輻射、防火以及安裝UPS不間斷電源等。從方位控制上,要對用戶訪問網(wǎng)絡資源的權限上加以嚴格的認證和控制。如,進行用戶身份認證,對口令加密、更新和鑒別,設置用戶訪問目錄和文件的權限,控制網(wǎng)絡設備配置的權限等。

  2、提高網(wǎng)絡安全意識,加強網(wǎng)絡法規(guī)管理

  從目前看,對人員的管理難度比較大,也有一定限度。在強化網(wǎng)絡安全意識的同時,制定相應的網(wǎng)絡安全法規(guī),用法律的權威、公正、強制手段來對網(wǎng)絡人員的思想行為和安全意識確實能夠達到難以代替的規(guī)范和制約作用。例如,從我們當前對一些泄密案件的處理上看,就已經(jīng)威懾到了部分人的繼續(xù)犯罪行為,也起到了對網(wǎng)絡安全信息的宏觀控制。因此制定必要的,具有良好性的可操作性網(wǎng)絡安全的法規(guī)也是十分必要和有效的,這樣才能使得網(wǎng)絡安全有規(guī)可尋,依章管理,對侵犯和瀆職網(wǎng)絡的任何犯罪違法行為在處理上有法可依照,對危急網(wǎng)絡給國家造成任何損失的人都必須要追究法律責任,這樣才能有效的保障網(wǎng)絡信息的高度安全。

  總之,隨著計算機技術和通信技術的飛速發(fā)展,計算機信息網(wǎng)絡安全不是一朝一夕的工作,他是一項長期的任務。網(wǎng)絡安全也是我們今后工作中不能回避的一個問題。他需要全體工作人員的共同參與和努力。同時還要加大投入引進先進技術,建立嚴密的安全防范體系,在制度上確保該體系功能的實現(xiàn),并結合當前工作的實際情況,認真研究,大膽探索,反復實踐,不斷追蹤新技術的應用情況,制定一套行之有效的網(wǎng)絡安全防護措施,確保網(wǎng)絡信息的絕對安全,隨著計算機網(wǎng)絡技術的進一步發(fā)展,網(wǎng)絡安全防護技術也必然隨著網(wǎng)絡應用的發(fā)展而不斷發(fā)展。

  信息安全等級保護自查報告 11

  一、信息安全狀態(tài)總體評價

  我院對網(wǎng)絡信息安全系統(tǒng)工作一直十分重視,成立了專門的領導組,按照相關規(guī)章制度,由院信息中心統(tǒng)一管理,各科室負責各自的網(wǎng)絡信息安全工作。嚴格落實有關網(wǎng)絡信息安全保密方面的各項規(guī)定,采取了多種措施防范安全保密有關事件的發(fā)生,總體上看,我院網(wǎng)絡信息安全保密工作做得比較扎實,效果也比較好,近年來未發(fā)現(xiàn)失泄密問題。

  二、信息安全自查情況

  通過信息安全自查,對本單位在冊80臺辦公用計算機進行了涉密非涉密統(tǒng)計工作,其中非涉密計算機71臺,涉密計算機9臺。

  1、涉密計算機(含筆記本電腦)實行了與國際互聯(lián)網(wǎng)及其它公共信息網(wǎng)物理隔離,并按照有關規(guī)定落實了保密措施,到目前為止,未發(fā)生一起計算機失密泄密事故。

  2、非涉密計算機(含筆記本電腦)及網(wǎng)絡使用也嚴格安照局計算機保密信息系統(tǒng)管理辦法落實有關措施,確保了機關信息安全。

  3、U盤等存儲介質(zhì)采取了專人保管、涉密文件單獨存放,嚴禁攜帶存在涉密內(nèi)容的存儲介質(zhì)在非涉密的計算機上處存儲、傳遞、處理文件,形成了良好的安全保密環(huán)境。

  4、網(wǎng)站安全方面,跟據(jù)局里對下屬單位網(wǎng)站安全的要求,網(wǎng)站專人負責,凡是上傳網(wǎng)站的信息,須經(jīng)由有關領導審查后方可上傳。開展經(jīng)常性安全檢查,主要對SQL注入攻擊、跨站腳本攻擊、弱口令、木馬病毒檢測、端口開放情況、系統(tǒng)管理權限開放情競、訪問權限開放情況、網(wǎng)頁篡改情況等進行監(jiān)控,認真檢查保管系統(tǒng)安全日志。

  三、在主要問題和原因以及下一步的工作打算。

  我們在管理過程中發(fā)現(xiàn)了一些管理方面存在的薄弱環(huán)節(jié),今后我們還要在以下幾個方面進行改進。

  1、對于線路不整齊、暴露的.,力盡對線路進行限期整改。

  2、加強設備維護,及時更換和維護好故障設備。

  3、自查中發(fā)現(xiàn)個別人員計算機安全意識不強,涉密計算機有上網(wǎng)升級病毒庫的情況。

  在以后的工作中,我們將繼續(xù)加強計算機安全意識教育和防范技能培訓,讓單位工作人員充分認識到計算機案件的嚴重性。人防與技能結合,確實做好單位的網(wǎng)絡信息安全工作。

  信息安全等級保護自查報告 12

  1、垃圾郵件和網(wǎng)絡欺騙將立足“社交網(wǎng)絡”

  毫無疑問,20xx年是社交網(wǎng)站迄今為止受到攻擊最多的一年。但是與20xx年相比,這些攻擊可能根本不值一提。koobface蠕蟲等安全問題對社交網(wǎng)站用戶形成了很大的困擾,但這些惡意軟件仍然是首先感染用戶的電腦,然后再竊取信息。但現(xiàn)在,安全專家則認為,惡意軟件作者將進一步拓展攻擊范圍,把惡意軟件植入到社交網(wǎng)站應用內(nèi)部。有了這種病毒,無論用戶是否訪問社交網(wǎng)站,黑客都能毫無限制地竊取用戶的資料和登錄密碼。

  思科在其20xx年《年度安全報告》中揭示了社交媒體(尤其是社交網(wǎng)絡)對網(wǎng)絡安全的影響,并探討了人(而非技術)在為網(wǎng)絡犯罪創(chuàng)造機會方面所起的關鍵作用。社交網(wǎng)絡已經(jīng)迅速成為網(wǎng)絡犯罪的溫床,因為這些網(wǎng)站的成員過于信任他們社區(qū)的其他成員,沒有采取阻止惡意軟件和計算機病毒的預防措施。小漏洞、不良用戶行為以及過期的安全軟件結合在一起會具有潛在的破壞性,可能大幅增加網(wǎng)絡安全的風險。鑒于以上,20xx年社交網(wǎng)絡或許將給我信息安全帶來更多的“驚喜”!

  2、云計算成為孕育黑客新的溫床

  云計算在20xx年取得了長足的`發(fā)展,但我們也必須意識到,市場的快速發(fā)展會犧牲一定的安全性。攻擊者今后將把更多的時間用于挖掘云計算服務提供商的api(應用編程接口)漏洞。

  毋庸置疑,已經(jīng)開始有越來越多的it功能通過云計算來提供,網(wǎng)絡犯罪也順應了這一趨勢。安全廠商fortinet預計,網(wǎng)絡犯罪借鑒“服務即安 全”(security—as—a—service)的理念,打造“服務即網(wǎng)絡犯罪”(cybercrime—as—a—service)這一特殊品牌。 網(wǎng)絡犯罪也將效仿企業(yè)的做法使用基于云計算的工具,以便更有效率地部署遠程攻擊,甚至借此大幅拓展攻擊范圍。

  對于云計算將被黑客所利用這個嚴峻的問題,各大安全公司和技術人員會把精力放在與云計算相關的安全服務上,提供加密、目錄和管理、反垃圾郵件、惡意程序等各種解決方案。據(jù)悉,著名安全評測機構vb 00號召安全行業(yè)應該聯(lián)合起來,組成一個對抗惡意程序的共同體,分享技術和資源;蛟S這一提議在20xx年能發(fā)展到實質(zhì)性的階段。

  3、 大量mac計算機被病毒感染或黑客入侵

  經(jīng)濟危機非但沒有傷害到蘋果的利益,反而使其業(yè)績進一步提升。但安全專家表示,在市場份額提升的同時,mac也要面臨更多的黑客攻擊。過去幾年 間,蘋果的pc市場份額已經(jīng)從 0%增長到 2%,而且沒有放緩的跡象。與此同時,在售價高于 000美元的筆記本電腦中,蘋果更是占據(jù)了90%的份額, 但針對iphone(手機上網(wǎng))和macbook的攻擊也逐步引發(fā)外界關注。安全專家預計,mac有可能會成為下一個最易受攻擊的目標。盡管多數(shù)攻擊都瞄準windows,但20xx年將會出現(xiàn)更多針對mac os x的攻擊。

  安全廠商websense安全研究高級經(jīng)理帕特里克盧納德(patrick runald)說:“mac os x中沒有任何的惡意軟件防范機制!彼硎,在cansecwest黑客大賽上,mac已經(jīng)連續(xù)兩年成為第一個被攻破的系統(tǒng)。

  4、智能手機安全問題愈發(fā)嚴重

  隨著移動應用的不斷增多,智能設備的受攻擊面也在不斷擴大,移動安全所面臨的局面將會越來越嚴重。雖然我們已經(jīng)看到了iphone上的蠕蟲病毒,雖然它還不能自我傳播,還得依靠電腦來傳播,但是我們預計,20xx年,將會出現(xiàn)真正可以自我傳播的病毒,嚴重威脅iphone和android等設備。

  卡巴斯基實驗室惡意軟件高級研究員羅伊爾舒文伯格(roel schouwenberg)說:“android手機的日益流行,加之缺乏對第三方應用安全性的有效控制,將導致諸多高調(diào)惡意軟件的出現(xiàn)!

  總體而言,安全專家認為,隨著用戶將智能手機作為迷你pc來處理銀行交易、游戲、社交網(wǎng)站和其他的業(yè)務,黑客將越發(fā)關注這一平臺。

  5、搜索引擎成為黑客全新贏利方式

  黑客會不斷尋找新的方法借助釣魚網(wǎng)站吸引用戶上鉤,利用搜索引擎優(yōu)化技術展開攻擊便是其中的一種方法。谷歌和必應(bing)對實時搜索的支持 也將吸引黑客進一步提升相關技術。作為一種攻擊渠道,搜索引擎是非常理想的選擇,因為用戶通常都非常信任搜索引擎,對于排在前幾位的搜索結果更是沒有任何 懷疑,這就給了黑客可乘之機,從而對用戶發(fā)動攻擊。

  6、虛擬化普及 安全威脅適應潮流

  與cloud類似的是,虛擬化技術也將抓住快速發(fā)展的時機。業(yè)界中已經(jīng)有公司開始研究傳統(tǒng)桌面電腦的虛擬化。虛擬化不僅能提供一種極高的安全保障,還能方便協(xié)作,提高效率。

  除了瘦客戶機的虛擬桌面以外,企業(yè)還將會開始考察筆記本電腦虛擬機以作為創(chuàng)建安全企業(yè)桌面的手段之一。虛擬機可利用快照迅速恢復到已知的安全狀態(tài)配置,從而為網(wǎng)上銀行或安全的企業(yè)應用提供更高等級的安全保障。工作和休閑可以在同一的硬件上共存,只要相互保持隔離就行。

  信息安全等級保護自查報告 13

  一、工業(yè)控制系統(tǒng)安全分析

  工業(yè)控制系統(tǒng)(Industrial Control Systems, ICS),是由各種自動化控制組件和實時數(shù)據(jù)采集、監(jiān)測的過程控制組件共同構成。其組件包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)、分布式控制系統(tǒng)(DCS)、可編程邏輯控制器(PLC)、遠程終端(RTU)、智能電子設備(IED),以及確保各組件通信的接口技術。

  典型的ICS控制過程通常由控制回路、HMI、遠程診斷與維護工具三部分組件共同完成,控制回路用以控制邏輯運算,HMI執(zhí)行信息交互,遠程診斷與維護工具確保ICS能夠穩(wěn)定持續(xù)運行。

  1.1工業(yè)控制系統(tǒng)潛在的風險

  1.操作系統(tǒng)的安全漏洞問題

  由于考慮到工控軟件與操作系統(tǒng)補丁兼容性的問題,系統(tǒng)開車后一般不會對Windows平臺打補丁,導致系統(tǒng)帶著風險運行。

  2.殺毒軟件安裝及升級更新問題

  用于生產(chǎn)控制系統(tǒng)的Windows操作系統(tǒng)基于工控軟件與殺毒軟件的兼容性的考慮,通常不安裝殺毒軟件,給病毒與惡意代碼傳染與擴散留下了空間。

  3.使用U盤、光盤導致的病毒傳播問題。

  由于在工控系統(tǒng)中的管理終端一般沒有技術措施對U盤和光盤使用進行有效的管理,導致外設的無序使用而引發(fā)的安全事件時有發(fā)生。

  4.設備維修時筆記本電腦的隨便接入問題

  工業(yè)控制系統(tǒng)的管理維護,沒有到達一定安全基線的筆記本電腦接入工業(yè)控制系統(tǒng),會對工業(yè)控制系統(tǒng)的安全造成很大的威脅。

  5.存在工業(yè)控制系統(tǒng)被有意或無意控制的風險問題

  如果對工業(yè)控制系統(tǒng)的操作行為沒有監(jiān)控和響應措施,工業(yè)控制系統(tǒng)中的異常行為或人為行為會給工業(yè)控制系統(tǒng)帶來很大的風險。

  6.工業(yè)控制系統(tǒng)控制終端、服務器、網(wǎng)絡設備故障沒有及時發(fā)現(xiàn)而響應延遲的問題

  對工業(yè)控制系統(tǒng)中IT基礎設施的運行狀態(tài)進行監(jiān)控,是工業(yè)工控系統(tǒng)穩(wěn)定運行的基礎。

  1.2 “兩化融合”給工控系統(tǒng)帶來的風險

  工業(yè)控制系統(tǒng)最早和企業(yè)管理系統(tǒng)是隔離的,但近年來為了實現(xiàn)實時的數(shù)據(jù)采集與生產(chǎn)控制,滿足“兩化融合”的需求和管理的'方便,通過邏輯隔離的方式,使工業(yè)控制系統(tǒng)和企業(yè)管理系統(tǒng)可以直接進行通信,而企業(yè)管理系統(tǒng)一般直接連接Internet,在這種情況下,工業(yè)控制系統(tǒng)接入的范圍不僅擴展到了企業(yè)網(wǎng),而且面臨著來自Internet的威脅。

  同時,企業(yè)為了實現(xiàn)管理與控制的一體化,提高企業(yè)信息化合綜合自動化水平,實現(xiàn)生產(chǎn)和管理的高效率、高效益,引入了生產(chǎn)執(zhí)行系統(tǒng)MES,對工業(yè)控制系統(tǒng)和管理信息系統(tǒng)進行了集成,管理信息網(wǎng)絡與生產(chǎn)控制網(wǎng)絡之間實現(xiàn)了數(shù)據(jù)交換。導致生產(chǎn)控制系統(tǒng)不再是一個獨立運行的系統(tǒng),而要與管理系統(tǒng)甚至互聯(lián)網(wǎng)進行互通、互聯(lián)。

  1.3工控系統(tǒng)采用通用軟硬件帶來的風險

  工業(yè)控制系統(tǒng)向工業(yè)以太網(wǎng)結構發(fā)展,開放性越來越強;赥CP/IP以太網(wǎng)通訊的OPC技術在該領域得到廣泛應用。在工業(yè)控制系統(tǒng)中,由于工業(yè)系統(tǒng)集成和使用的便利性,大量使用了工業(yè)以太環(huán)網(wǎng)和OPC通信協(xié)議進行了工業(yè)控制系統(tǒng)的集成;同時,也大量的使用了PC服務器和終端產(chǎn)品,操作系統(tǒng)和數(shù)據(jù)庫也大量的使用了通用的系統(tǒng),很容易遭到來自企業(yè)管理網(wǎng)或互聯(lián)網(wǎng)的病毒、木馬、黑客的攻擊。

  2、MES層與工業(yè)控制層之間的安全防護

  通過在MES層和生產(chǎn)控制層部署工業(yè)防火墻,可以阻止來自企業(yè)信息層的病毒傳播;阻擋來自企業(yè)信息層的非法入侵;管控OPC客戶端與服務器的通訊,實現(xiàn)以下目標:

  區(qū)域隔離及通信管控:通過工業(yè)防火墻過濾MES層與生產(chǎn)控制層兩個區(qū)域網(wǎng)絡間的通信,那么網(wǎng)絡故障會被控制在最初發(fā)生的區(qū)域內(nèi),而不會影響到其它部分。

  實時報警:任何非法的訪問,通過管理平臺產(chǎn)生實時報警信息,從而使故障問題會在原始發(fā)生區(qū)域被迅速的發(fā)現(xiàn)和解決。

  MES層與工業(yè)控制層之間的安全防護如下圖所示:

  2.1.3工控系統(tǒng)安全防護分域

  安全域是指同一系統(tǒng)內(nèi)有相同的安全保護需求,相互信任,并具有相同的安全訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡,且相同的網(wǎng)絡安全域共享一樣的安全策略。

  在管理層、制造執(zhí)行層、工業(yè)控制層中,進行管理系統(tǒng)安全子域的劃分,制造執(zhí)行安全子域的劃分、工業(yè)控制安全子域的劃分。安全域的合理劃分,使用每一個安全域都要明確的邊界,便于對安全域進行安全防護。對MES、ICS的安全域劃分如下圖所示:

  如上圖所示,為了保證各個生產(chǎn)線的安全,對各個生產(chǎn)線進行了安全域劃分,同時在安全域之間進行了安全隔離防護。

  2.1.4工控系統(tǒng)安全防護分等級

  根據(jù)安全域在信息系統(tǒng)中的重要程度以及考慮風險威脅、安全需求、安全成本等因素,將其劃為不同的安全保護等級并采取相應的安全保護技術、管理措施,以保障信息的安全。

  安全域的等級劃分要做到每個安全域的信息資產(chǎn)價值相近,具有相同或相近的安全等級、安全環(huán)境、安全策略等。安全域所涉及應用和資產(chǎn)的價值越高,面臨的威脅越大,那么它的安全保護等級也就越高。

  二、工業(yè)控制系統(tǒng)安全防護設計

  通過以上對工業(yè)控制系統(tǒng)安全狀況分析,我們可以看到,工控系統(tǒng)采用通用平臺,加大了工控系統(tǒng)面臨的安全風險,而“兩化融合”和工控系統(tǒng)自身的缺陷造成的安全風險,主要從兩個方面進行安全防護。

  通過“三層架構,二層防護”的體系架構,對工業(yè)企業(yè)信息系統(tǒng)進行分層、分域、分等級,從而對工控系統(tǒng)的操作行為進行嚴格的、排他性控制,確保對工控系統(tǒng)操作的唯一性。

  通過工控系統(tǒng)安全管理平臺,確保HMI、管理機、控制服務工控通信設施安全可信。

  2.1構建“三層架構,二層防護”的安全體系

  工業(yè)控制系統(tǒng)需要進行橫向分層、縱向分域、區(qū)域分等級進行安全防護,否則管理信息系統(tǒng)、生產(chǎn)執(zhí)行系統(tǒng)、工業(yè)控制系統(tǒng)處于同一網(wǎng)絡平面,層次不清,你中有我、我中有你。來自于管理信息系統(tǒng)的入侵或病毒行為很容易對工控系統(tǒng)造成損害,網(wǎng)絡風暴和拒絕式服務攻擊很容易消耗系統(tǒng)的資源,使得正常的服務功能無法進行。

  2.1.1工控系統(tǒng)的三層架構

  一般工業(yè)企業(yè)的信息系統(tǒng),可以劃分為管理層、制造執(zhí)行層、工業(yè)控制層。在管理信層與制造執(zhí)行系統(tǒng)層之間,主要進行身份鑒別、訪問控制、檢測審計、鏈路冗余、內(nèi)容檢測等安全防護;在制造執(zhí)行系統(tǒng)層和工業(yè)控制系統(tǒng)層之間,主要避免管理層直接對工業(yè)控制層的訪問,保證制造執(zhí)行層對工業(yè)控制層的操作唯一性。工控系統(tǒng)三層架構如下圖所示:

  通過上圖可以看到,我們把工業(yè)企業(yè)信息系統(tǒng)劃分為三個層次,分別是計劃管理層、制造執(zhí)行層、工業(yè)控制層。

  管理系統(tǒng)是指以ERP為代表的管理信息系統(tǒng)(MIS),其中包含了許多子系統(tǒng),如:生產(chǎn)管理、物質(zhì)管理、財務管理、質(zhì)量管理、車間管理、能源管理、銷售管理、人事管理、設備管理、技術管理、綜合管理等等,管理信息系統(tǒng)融信息服務、決策支持于一體。

  制造執(zhí)行系統(tǒng)(MES)處于工業(yè)控制系統(tǒng)與管理系統(tǒng)之間,主要負責生產(chǎn)管理和調(diào)度執(zhí)行。通過MES,管理者可以及時掌握和了解生產(chǎn)工藝各流程的運行狀況和工藝參數(shù)的變化,實現(xiàn)對工藝的過程監(jiān)視與控制。

  工業(yè)控制系統(tǒng)是由各種自動化控制組件和實時數(shù)據(jù)采集、監(jiān)測的過程控制組件共同構成。主要完成加工作業(yè)、檢測和操控作業(yè)、作業(yè)管理等功能。

  2.1.2工控系統(tǒng)的二層防護

  1、管理層與MES層之間的安全防護

  管理層與MES層之間的安全防護主要是為了避免管理信息系統(tǒng)域和MES(制造執(zhí)行)域之間數(shù)據(jù)交換面臨的各種威脅,具體表現(xiàn)為:避免非授權訪問和濫用(如業(yè)務操作人員越權操作其他業(yè)務系統(tǒng));對操作失誤、篡改數(shù)據(jù),抵賴行為的可控制、可追溯;避免終端違規(guī)操作;及時發(fā)現(xiàn)非法入侵行為;過濾惡意代碼(病毒蠕蟲)。

  也就是說,管理層與MES層之間的安全防護,保證只有可信、合規(guī)的終端和服務器才可以在兩個區(qū)域之間進行安全的數(shù)據(jù)交換,同時,數(shù)據(jù)交換整個過程接受監(jiān)控、審計。管理層與MES層之間的安全防護如下圖所示:

  2.2構建工業(yè)控制系統(tǒng)安全管理平臺

  工業(yè)控制系統(tǒng)和傳統(tǒng)信息系統(tǒng)具有大多數(shù)相同的安全問題,但同時也存在獨特的安全需求。工業(yè)控制系統(tǒng)最大的安全需求是唯一性和排它性,在某一特定的工業(yè)控制系統(tǒng)中,工業(yè)控制系統(tǒng)只需用唯一的工業(yè)應用程序和工業(yè)通信協(xié)議運行,其他一概不需要。

  啟明星辰工業(yè)系統(tǒng)安全管理平臺為工業(yè)控制系統(tǒng)建立了一個相對可信的計算環(huán)境,對工控系統(tǒng)管理終端和網(wǎng)絡通信具有非常強的安全控制功能。工業(yè)控制系統(tǒng)安全管理平臺有兩部分組成,一部分是工業(yè)控制系統(tǒng)安全管理平臺,具有終端管理、網(wǎng)絡管理、行為監(jiān)控功能,另一部分是終端安全管理客戶端。

  2.2.1管理平臺部分

  工業(yè)控制系統(tǒng)的安全運行,主要需要保障工業(yè)控制系統(tǒng)相關信息系統(tǒng)基礎設施的安全,包括工業(yè)以太網(wǎng)網(wǎng)絡、操作終端、關系數(shù)據(jù)庫服務器、實時數(shù)據(jù)庫服務器、操作和應用系統(tǒng)等各類IT資源的安全,從工業(yè)控制系統(tǒng)安全的角度對工控系統(tǒng)的各類IT資源進行監(jiān)控(包括設備監(jiān)控、運行監(jiān)控與安全監(jiān)控),實現(xiàn)對安全事件的預警與響應,保障工業(yè)控制系統(tǒng)的安全穩(wěn)定運行。

  具體而言,工業(yè)控制系統(tǒng)安全管理平臺功能如下:

  1.能夠?qū)梅⻊掌、關系數(shù)據(jù)庫服務器、實時數(shù)據(jù)庫服務器、工業(yè)以太網(wǎng)設備運行狀態(tài)進行監(jiān)控,例如CPU、內(nèi)存、端口流量等等。

  2.能夠?qū)Σ僮鹘K端外設、進程、桌面進行合規(guī)性在線和離線管理。

  3.能夠?qū)Ω鲗舆吔鐢?shù)據(jù)交換情況進行監(jiān)控。

  4.能夠?qū)I(yè)控制系統(tǒng)中的網(wǎng)絡操作行為進行審計。

  5.能夠?qū)I(yè)控制系統(tǒng)日志進行關聯(lián)分析和審計。

  6.能夠?qū)I(yè)控制系統(tǒng)中的異常事件進行預警響應。

  7.能夠?qū)I(yè)企業(yè)信息系統(tǒng)進行虛擬安全域的劃分。

  2.2.2工業(yè)控制系統(tǒng)終端安全管理部分

  由于工業(yè)控制系統(tǒng)管理終端的安全防護技術措施十分薄弱,所以病毒、木馬、黑客等攻擊行為都利用這些安全弱點,在終端上發(fā)生、發(fā)起,并通過網(wǎng)絡感染或破壞其他系統(tǒng)。

  工業(yè)控制系統(tǒng)終端最大特點是應用相對固定,終端主要安裝工業(yè)控制系統(tǒng)程序,所以,要防范傳統(tǒng)方式的病毒或木馬等惡意軟件,最直接的方式就是利用工業(yè)控制系統(tǒng)對終端應用程序的進程進行管理。

  具體而言,工業(yè)控制系統(tǒng)安全管理平臺終端安全管理部分功能如下:

  1.工業(yè)控制系統(tǒng)安全管理平臺客戶端軟件輕巧精煉,占用資源極少,能夠最大程度保證工業(yè)控制系統(tǒng)管理終端的穩(wěn)定性。

  2.工業(yè)控制系統(tǒng)安全管理平臺客戶端具有終端準入控制功能,可以防止沒有達到安全基線的筆記本對終端進行管理。

  3.工業(yè)控制系統(tǒng)安全管理平臺客戶端具有終端安全優(yōu)化與加固功能,能夠?qū)I(yè)控制系統(tǒng)終端進行安全優(yōu)化和加固,使終端安全水平達到一定的安全基線。

  4.工業(yè)控制系統(tǒng)安全管理平臺客戶端具有外設管理功能,對工業(yè)控制系統(tǒng)的外設進行管理,比如USB接口、光驅(qū)、網(wǎng)卡、串口等。

  5.工業(yè)控制系統(tǒng)安全管理平臺客戶端具有工業(yè)控制系統(tǒng)應用程序監(jiān)控功能,對終端中的工業(yè)控制系統(tǒng)軟件進行監(jiān)控和管理。

  6.工業(yè)控制系統(tǒng)安全管理平臺客戶端具有工業(yè)通信協(xié)議監(jiān)控功能。工業(yè)控制系統(tǒng)終端通信協(xié)議相對固定,客戶端能夠?qū)K端通信協(xié)議具有唯一性管理功能。

  7.工業(yè)控制系統(tǒng)安全管理平臺客戶端具有離線管理功能,工業(yè)控制系統(tǒng)終端有一部分無法進行在線管理,客戶端具有比較強大的離線自管理功能,可以完成對離線終端的管理。

  8.工業(yè)控制系統(tǒng)安全管理平臺客戶端具有強身份認證功能,客戶端具有使用工業(yè)控制系統(tǒng)在線終端和離線終端都具有強身份認證功能,從而防止工業(yè)控制系統(tǒng)被有意或無意被控制的風險。

  三、總結

  國內(nèi)外發(fā)生了多起由于工控系統(tǒng)安全問題而造成的生產(chǎn)安全事故。最鮮活的例子就是20xx年10月發(fā)生在伊朗布什爾核電站的“震網(wǎng)”(Stuxnet)病毒,為整改工業(yè)生產(chǎn)控制系統(tǒng)安全敲響了警鐘。

  為此,工信部在20xx年10月下發(fā)了“關于加強工業(yè)控制系統(tǒng)信息安全管理的通知”,要求各級政府和國有大型企業(yè)切實加強工業(yè)控制系統(tǒng)安全管理。工信部趙澤良司長也強調(diào),工業(yè)控制系統(tǒng)安全工作也到了非加強不可的時候,否則將影響到我國重要的生產(chǎn)設施的安全。

  本文根據(jù)工業(yè)控制系統(tǒng)安全防護的特點,提出了對工業(yè)控制系統(tǒng)進行分層、分域、分等級,構建“三層架構,二層防護”的工業(yè)控制系統(tǒng)安全體系架構思想;通過分析工業(yè)控制系統(tǒng)面臨的風險,對作為工業(yè)控制系統(tǒng)安全防護的核心產(chǎn)品——工業(yè)控制系統(tǒng)安全管理平臺功能進行了說明。工控系統(tǒng)安全管理平臺,不僅是實現(xiàn)工業(yè)控制系統(tǒng)終端安全的產(chǎn)品,也是監(jiān)控工業(yè)控制系統(tǒng)IT基礎實施和操作行為的平臺。

  信息安全等級保護自查報告 14

  一、強化組織領導,落實工作職責

  1、健全組織機構。成立了市扶貧辦政務公開工作領導小組,市政協(xié)副主席、市扶貧辦主任溫會禮為組長,市扶貧辦副主任羅開蓮為副組長,周邦春、劉守敏、廖明偉、陳大林、鐘敏蘭、賴外來等同志為成員,具體負責本單位的政務公開工作,并明確了相關工作職責。

  2、落實相關措施。一是明確本單位各科室的信息公開資料。秘書科具體負責本單位政務公開工作的組織實施,并帶給勞動力轉(zhuǎn)移培訓及“一村一名中專生和中高級技工”培養(yǎng)的指標分配、資金安排等方面的政務工作資料;計財科主要負責帶給扶貧項目資金安排、項目計劃審批、項目及資金管理要求、貧困人口變化及其他有關的政務工作資料;社會扶貧科主要負責帶給定點單位扶貧幫扶重點村狀況及市本級社會捐贈資金、物資使用管理等方面的政務工作資料;移民扶貧科主要負責帶給省分配的移民搬遷指標、移民扶貧集中安置點審批、移民搬遷對象審批等方面的政務工作資料;監(jiān)察室主要負責帶給本單位黨風廉政建設職責落實、各類扶貧資金管理使用監(jiān)督檢查、受理檢舉控告和申訴處理等方面的政務工作資料。二是確保信息公開時限。要求做到經(jīng)常性工作定期公開、階段性工作逐段公開、臨時性工作隨時公開。三是明確信息公開職責。主動公開的政府信息資料,要求各科室做到誰帶給、誰負責;對依申請公開的信息資料,做到誰負責、誰受理、誰答復。四是擬定了不予公開的政務資料。

  3、規(guī)范工作機制。為加強政務公開工作,本單位建立了“首問負責制、服務承諾制、一次性告知制、限時辦結制、公開公示制、失職追究制”等六項制度,同時結合機關效能年活動,制定下發(fā)了“提高機關干部素質(zhì)和潛力的實施方案、改善機關作風的實施方案、建立和健全AB崗工作制的實施方案”,較好地轉(zhuǎn)變了扶貧辦機關工作作風,提高了工作效率和服務水平,促進了政務公開工作的順利開展。

  4、深化學習宣傳。為進一步加深對《條例》的學習理解,我單位結合各種會議對《條例》進行了培訓,利用下鄉(xiāng)檢查指導工作的`機會對《條例》進行了宣傳。同時,專門建立了包括學習制度在內(nèi)的《市扶貧辦機關管理制度》,特別是建立的學習制度,明確了學習時間、學習方法、學習資料、學習要求等,把對《條例》的學習作為重要學習資料,要求全體干部要進一步加深對《條例》的理解,強化學習的主動性、自覺性和積極性,按要求認真做好學習筆記,并結合工作業(yè)務撰寫學習心得體會文章。通過對《條例》多形式的學習、宣傳、培訓,本單位政府信息公開工作較好地落到了實處。

  二、開展安全檢查,及時整改隱患

  本單位共有23臺計算機,其中5臺存在各種問題,基本無法正常使用。由于工作性質(zhì)不同,我單位的工作資料無涉密性質(zhì)的資料,基本屬于能夠向社會公開的資料。因此,23臺計算機全部為非涉密計算機。盡管如此,我辦還是按要求開展了安全檢查。一是對所有計算機進行了編號,并分別張貼了“非涉密”標識;二是對本單位信息系統(tǒng)的帳戶、口令等進行了一次專門的清理檢查,并及時將軟件更新和升級,消除安全隱患;三是強化網(wǎng)絡安全管理工作,對所有接入政府網(wǎng)絡的計算機設備進行了全面安全檢查,對發(fā)現(xiàn)有操作系統(tǒng)存在漏洞、防毒軟件配置不到位的計算機進行全面升級,確保網(wǎng)絡安全;四是規(guī)范信息的采集、審核和發(fā)布流程,嚴格信息發(fā)布審核,確保所發(fā)布信息資料的準確性和真實性;經(jīng)檢查,未發(fā)此刻非涉密計算機上處理、存儲、傳遞涉密信息,在國際互聯(lián)網(wǎng)上利用電子郵件系統(tǒng)傳遞涉密信息,在各種論壇、聊天室、博客等發(fā)布、談論國家秘密信息以及利用QQ等聊天工具傳遞、談論國家秘密信息等危害網(wǎng)絡信息安全現(xiàn)象。

  三、嚴格職責追究,確保信息安全

  一是明確了分管信息公開工作的羅開蓮副主任負責信息安全工作,指定秘書科副科長賴外來為兼職信息安全員,落實了信息安全制度,并嚴格執(zhí)行“誰主管誰負責、誰運行誰負責、誰使用誰負責”的信息管理原則;

  二是為確保國慶期間的網(wǎng)絡信息安全,我辦對國慶期間信息安全保障工作進行了專門部署,在國慶期間將執(zhí)行值班制度,要求值班人員持續(xù)24小時通信暢通;

  三是加強了信息安全教育培訓,計算機使用人員基本掌握了信息安全常識和技能。

  信息安全等級保護自查報告 15

  按照自治區(qū)信息化領導小組下發(fā)的《關于20xx年我區(qū)開展重點領域信息安全檢查工作的通知》(內(nèi)信領辦字[20xx]xx號)文件精神,xxx自治區(qū)民政廳結合自身情況,認真組織自查,取得預期效果,現(xiàn)將檢查結果報告如下:

  一、重點網(wǎng)絡與信息系統(tǒng)基本情況

  正式運行中的業(yè)務應用系統(tǒng)包括:自治區(qū)最低生活保障信息系統(tǒng)、自治區(qū)婚姻登記信息系統(tǒng)、自治區(qū)優(yōu)待撫恤信息系統(tǒng)、自治區(qū)社會團體信息系統(tǒng)、自治區(qū)五保供養(yǎng)信息系統(tǒng)及自治區(qū)城鄉(xiāng)醫(yī)療救助信息系統(tǒng)等xx個主要業(yè)務信息系統(tǒng),由信息中心負責日常保障和維護。

  從應用系統(tǒng)的實時性、服務對象、連接互聯(lián)網(wǎng)、數(shù)據(jù)集中、災備情況來看,以上xx個業(yè)務信息系統(tǒng)全部采用實時交互、邏輯強隔離措施連接互聯(lián)網(wǎng)、省級數(shù)據(jù)集中、數(shù)據(jù)級災備模式運行。

  從網(wǎng)絡硬件構成情況來看,中心機房配置有xx臺服務器、xx臺小型機、xx部路由器、xx臺隔離網(wǎng)閘、xx臺負載均衡設備等。

  二、整體安全狀況的基本判斷

  從總體來看,各類業(yè)務信息系統(tǒng)上線運行以來,嚴格遵照有關規(guī)章制度的要求、完善各項安全防范措施、加強信息安全工作人員教育培訓、信息安全風險得到有效降低,應急處置能力得到顯著提高,切實保障了業(yè)務信息系統(tǒng)安全、穩(wěn)定,高效運行。

  三、發(fā)現(xiàn)的主要問題

  (一)專業(yè)技術人員隊伍薄弱,網(wǎng)絡與信息系統(tǒng)安全保障工作可投入的人力物力有限。

  (二)處于規(guī)章制度體系建立初期,尚未能覆蓋網(wǎng)絡與信息系統(tǒng)安全保障工作的各個方面。

  (三)當遇到計算機病毒大規(guī)模集中爆發(fā)、惡意侵襲信息系統(tǒng)等突發(fā)事件時,應急處理能力未得到實踐檢驗。

  四、 薄弱環(huán)節(jié)及整改情況

  (一)安全保障預算資金和技術人員缺乏的問題已提請廳領導審批。

  (二)在實際工作中不斷發(fā)現(xiàn)問題、解決問題,修訂各類規(guī)章制度。

  (三)不定期開展數(shù)據(jù)恢復演練,密切監(jiān)測,檢驗各項應急預案的可操作性和實際有效性,隨時預防發(fā)生的`信息系統(tǒng)安全隱患。

  五、意見和建議

  隨著現(xiàn)代信息技術日新月異的發(fā)展,新的、不可預測的信息安全漏洞和安全隱患將層出不窮。建議每年組織一些系統(tǒng)的信息安全技術培訓,有針對性地提高安全防范水平和安全可控能力,預防和減少重大信息安全事件的發(fā)生。

  信息安全等級保護自查報告 16

  我局于5月開通xxx區(qū)醫(yī)保網(wǎng)。其中開設醫(yī)保動態(tài)、政務公開、政策法規(guī)、辦事指南等欄目,由專人負責更新維護。截止目前,更新各類信息302篇。自開建以來,我局由信息網(wǎng)絡科負責,將群眾關心的政策、制度以及常用的表格全部上傳發(fā)表至,并積極開展網(wǎng)上辦公、網(wǎng)上答疑等互動交流,為定點醫(yī)療機構及參保人員在了解政策、辦理事項等方面提供了快捷高效的途徑。

  一、計算機信息管理情況

  今年以來,我局加強組織領導,強化宣傳教育,落實工作責任,加強日常監(jiān)督檢查,將涉密計算機管理抓在手上。對于計算機磁介質(zhì)(軟盤、U盤、移動硬盤等)的管理,采取專人保管、涉密文件單獨存放,嚴禁攜帶存在涉密內(nèi)容的磁介質(zhì)到上網(wǎng)的計算機上加工、貯存、傳遞處理文件,形成了良好的安全保密環(huán)境。對涉密計算機(含筆記本電腦)實行了與國際互聯(lián)網(wǎng)及其他公共信息網(wǎng)物理隔離,并按照有關規(guī)定落實了保密措施,到目前為止,未發(fā)生一起計算機失密、泄密事故;其他非涉密計算機(含筆記本電腦)及網(wǎng)絡使用,也嚴格按照局計算機保密信息系統(tǒng)管理辦法落實了有關措施,確保了機關信息安全。

  二、計算機信息網(wǎng)絡安全情況

  一、是網(wǎng)絡安全方面。我局配備了防病毒軟件、網(wǎng)絡隔離卡,采用了強口令密碼、數(shù)據(jù)庫存儲備份、移動存儲設備管理、數(shù)據(jù)加密等安全防護措施,明確了網(wǎng)絡安全責任,強化了網(wǎng)絡安全工作。

  二、是信息系統(tǒng)安全方面實行領導審查簽批制度。凡上傳的信息,須經(jīng)辦公室審核簽字后方可上傳;二是開展經(jīng)常性安全檢查,主要對SQL注入攻擊、跨站腳本攻擊、弱口令、操作系統(tǒng)補丁安裝、應用程序補丁安裝、防病毒軟件安裝與升級、木馬病毒檢測、端口開放情況、系統(tǒng)管理權限開放情況、訪問權限開放情況、網(wǎng)頁篡改情況等進行監(jiān)管,認真做好系統(tǒng)安全日記。

  三、是日常管理方面切實抓好外網(wǎng)、和應用軟件“五層管理”,確!吧婷苡嬎銠C及業(yè)務專網(wǎng)不上網(wǎng),上網(wǎng)計算機不涉密”,嚴格按照保密要求處理光盤、硬盤、U盤、移動硬盤等管理、維修和銷毀工作。重點抓好“三大安全”排查:一是硬件安全,包括防雷、防火、防盜和電源連接等;二是網(wǎng)絡安全,包括網(wǎng)絡結構、安全日志管理、密碼管理、IP管理、互聯(lián)網(wǎng)行為管理等;三是應用安全,包括、郵件系統(tǒng)、資源庫管理、軟件管理等。

  三、硬件設備運行維護情況。

  我局每臺終端機都安裝了防病毒軟件,系統(tǒng)相關設備的應用一直采取規(guī)范化管理,硬件設備的使用符合國家相關產(chǎn)品質(zhì)量安全規(guī)定,單位硬件的運行環(huán)境符合要求,打印機配件、色帶架等基本使用設備原裝產(chǎn)品;今年以來,我局積極落實網(wǎng)絡安全專項資金,配備網(wǎng)絡安全硬件設備、升級應用服務器,強化網(wǎng)絡安全措施,目前,系統(tǒng)安全有效,暫未出現(xiàn)任何安全隱患。

  我局對電腦及其設備實行“誰使用、誰管理、誰負責”的管理制度。在管理方面我們一是堅持“制度管人”。二是強化信息安全教育、提高干部職工計算機技能。同時在局開展網(wǎng)絡安全知識宣傳,使全體干部職工及終端用戶深刻認識到信息網(wǎng)絡安全的重要性,提高自覺維護網(wǎng)絡安全應用的自覺性和安全防范意識。的在設備維護方面,我局專門設置了網(wǎng)絡設備故障登記簿、計算機維護及維修表對于設備故障和維護情況屬實登記,并及時處理。對外來維護人員,要求有相關人員陪同,并對其身份和處理情況進行登記,規(guī)范設備的維護和管理。

  四、安全制度制定落實情況

  我局對安全方面有相關要求,

  一是使用專屬權限密碼鎖登陸后臺;

  二是上傳文件提前進行病素檢測;

  三是分模塊分權限進行維護,定期進后臺清理垃圾文件;

  四是更新專人負責。為確保計算機網(wǎng)絡安全、實行了網(wǎng)絡專管員制度、計算機安全保密制度、安全管理制度、網(wǎng)絡信息安全突發(fā)事件應急預案等以有效提高管理員的'工作效率。

  同時我局結合自身情況制定計算機系統(tǒng)安全自查工作制度、信息系統(tǒng)內(nèi)控制度、信息系統(tǒng)應急預案等管理制度,做到四個確保:

  一是系統(tǒng)管理員于每周五定期檢查中心計算機系統(tǒng),確保無隱患問題;

  二是制作安全檢查工作記錄,確保工作落實;

  三是實行領導定期詢問制度,由系統(tǒng)管理員匯報計算機使用情況,確保情況隨時掌握;

  四是定期組織全局人員學習有關網(wǎng)絡知識,提高計算機使用水平,確保預防。

  五、自查存在的問題及整改意見

  我們在管理過程中發(fā)現(xiàn)了一些管理方面存在的薄弱環(huán)節(jié),今后我們還要在以下幾個方面進行改進。

 。ㄒ唬⿲τ诰路不整齊、暴露的,立即對線路進行限期整改,并做好防鼠、防火安全工作。

  (二)加強設備維護,及時更換和維護好故障設備。

  (三)自查中發(fā)現(xiàn)個別人員計算機安全意識不強。

  在以后的工作中,我們將繼續(xù)加強計算機安全意識教育和防范技能訓練,讓員工充分認識到計算機案件的嚴重性。人防與技防結合,確實做好單位的網(wǎng)絡安全工作。

【信息安全等級保護自查報告】相關文章:

個人金融信息保護自查報告10-24

信息安全自查報告10-25

信息安全的自查報告02-14

醫(yī)院信息安全自查報告10-13

網(wǎng)絡信息安全自查報告10-06

網(wǎng)絡與信息安全自查報告10-21

網(wǎng)絡信息安全自查報告10-25

信息安全檢查自查報告01-03

局信息安全自查報告01-05