为进一步做好某单位信息安全等级保护工作工作,提高全辖人民银行系统信息安全保障能力和水平,根据《人民银行长沙中心支行20xx年信息安全等级保护工作方案》精神,结合我行实际,组织开展了信息安全等级保护自查工作。通过自查,进一步明确了我行信息安全等级保护工作职责,规范了信息安全等级保护工作标准,完善了信息安全等级保护工作制度,提升了信息安全等级保护工作水平。现将自查情况报告如下:
一、等级保护工作部署和组织实施情况
二、信息系统安全保护等级备案情况
我行根据《人民银行长沙中心支行20xx年信息安全等级保护工作方案》精神,将《郴州中支业务网网络系统》和《郴州中支财库行横向联网系统》信息安全保护等级定为第二级,其他系统定为第一级,并将定为第二级的.系统向市公安局网监支队报备。
三、下一步工作计划
目前,某单位信息安全等级保护工作正在不断完善中,今后还需要在以下几个方面不断加强:
一是进一步加强信息安全管理力度,督促各支行、各科室加强信息安全等级保护工作;
二是加强网络信息安全队伍建设,提高网络管理人员和维护人员的技术水平和安全管理意识;
三是进一步完善信息安全管理制度,开展信息系统安全评估和自测评;
四是规范和完善安全事件处理流程。
为进一步做好x单位信息安全等级保护工作工作,提高全辖人民银行系统信息安全保障能力和水平,根据《人民银行长沙中心支行20xx年信息安全等级保护工作方案》精神,结合我行实际,组织开展了信息安全等级保护自查工作。通过自查,进一步明确了我行信息安全等级保护工作职责,规范了信息安全等级保护工作标准,完善了信息安全等级保护工作制度,提升了信息安全等级保护工作水平。现将自查情况报告如下:
x单位在上级行的统一领导和部署下,按照《信息安全等级保护管理办法》和《人民银行信息系统信息安全等级保护实施指引(试行)》的`要求,组织开展辖内人民银行系统信息安全等级保护工作。
一是成立了x单位信息安全等级保护工作领导小组,由主管科技的副行长任组长,各科室主要负责人为成员,全面负责全辖人民银行系统信息安全等级保护工作,领导小组下设办公室,安排专人负责计算机信息系统安全管理,明确了各自的职责。
二是建立健全了各项信息安全管理制度,做到了有章可循。
我行根据《人民银行长沙中心支行20xx年信息安全等级保护工作方案》精神,将《郴州中支业务网网络系统》和《郴州中支财库行横向联网系统》信息安全保护等级定为第二级,其他系统定为第一级,并将定为第二级的系统向市公安局网监支队报备。
目前,x单位信息安全等级保护工作正在不断完善中,今后还需要在以下几个方面不断加强:
接县公安局文件后,我单位对本单位信息安全等级保护工作进行了自查。
一、等级保护工作组织开展、实施情况:
严格按照文件精神组织开始了信息安全等级保护自查工作,主要检查对象为本单位维护的翼城政府网;安全责任落实情况:按照“谁主管谁负责,谁运营谁负责”的原则开展工作,我单位负责人为第一责任人,对翼城政府网信息安全负直接责任,并接受信息安全监管部门对开展等级保护工作的监管;信息系统安全岗位和安全管理人员设置情况:本单位负责人主管信息系统安全工作,有安全管理员两名。
二、按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况:
遵照有关法律法规,对翼城政府网遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,对翼城政府网信息安全保护等级进行了自主定级。
三、信息系统定级备案情况,信息系统变化及定级备案变动情况:
按照《关于开展全国重要信息系统安全等级保护定级工作的'通知》(公通字20xx861号),对本单位维护网站(翼城政府网)安全保护等级级别定位第二级。
四、信息安全设施建设情况和信息安全整改情况:
鉴于网站的性质,无信息安全设施。
五、信息安全管理制度建设和落实情况:
制定了翼城政府网信息安全管理制度,按照“谁主管谁负责”的原则开展工作,我单位负责人为第一责任人,对翼城政府网信息安全管理负直接责任,并接受上级单位的监管。
六、信息安全保护技术措施建设和落实情况:
七、选择使用信息安全产品情况:
翼城政府网使用了锐捷网络的xxx产品。
八、聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况:
暂无聘请测评机构开展技术测评工作。
九、自行定期开展自查情况:
每半年对翼城政府网进行一次信息系统安全保护自查。
十、开展信息安全知识和技能培训情况:
主动学习信息安全法律法规,积极参加公安机关、上级主管部门组织的信息安全知识和技能培训。
三、信息安全设施建设情况。
四、管理制度建设情况。
五、信息安全产品选择和使用情况。
我司的网络信息安全产品,20xx年开始根据市公司的要求,进行统一配置。其中,硬件防火墙采用中端型产品,基本满足管理要求。防病毒软件曾采用趋势Trend网络版,20xx年以后统一改用瑞星企业专用版,与全国大多企业一致选用国产软件。网络管理平台软件曾使用复旦光华T_Manager网络综合管理系统,预计未来将采用其它新系统实现网络综合管理。此外,针对各终端设备的安全防范,我司还使用了正版的瑞星个人防火墙软件和免费版的奇虎360安全卫土等安全软件,实现防病毒、木马程序、黑客、非法程序等的辅助管理,进一步提高了整个系统的安全防范能力和管理水平。
六、聘请测评机构开展技术测评情况
七、定期自查情况
xx县烟草公司高度重视网络安全建设工作,强调日常维护、安全防范和定期自查工作。对管理制度不断完善更新,新技术新手段积极采用,借助于企业职业健康安全管理体系的贯标、运行和提升工作,不断开展网络信息安全的检查工作,对一经查出的问题及时整改,自己不能解决的及时上报上级部门,给予帮助解决,有效地促进了整个安全防控体系的完善和管理水平的提高。
一、信息系统安全检查基本情况
(一)信息安全组织机构落实情况
(二)日常信息安全管理落实情况
一是,落实具体负责信息安全工作的人员,对涉密信息文件、材料实行专人管理;对重要办公区、办公计算机等进行严格管理,确保信息保密工作。
二是,结合供销社工作实际,对涉密文件材料管理和计算机、移动存储设备等的维修、报废、销毁管理进行了规定。对日常信息办公软件、应用软件等的安装使用,主要是由上级组织人事部门、业务主管部门下发的业务工作应用软件,均按照上级部门的要求和规定,严格进行操作管理。
(三)等级保护与风险评估
1、计算机及网络经过检查,已安装了防火墙,同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。并按县委保密局的要求,在主要的计算机上统一粘贴了“非涉密计算机严禁处理涉密信息”的标识,杜绝涉密和非涉密计算机之间的混用。
(四)应急工作机制建设情况
3、目前,我社的信息安全管理工作还没有明确应急技术支援队伍,主要由县社办公室根据工作中的问题向县信息办及时报告咨询解决。目前,没有发生信息安全事件。
(五)信息技术产品和信息安全产品使用情况
(六)安全教育培训情况
(七)信息安全经费保障。
二、信息安全检查存在的主要问题及整改情况
经过安全检查,我单位信息安全总体情况良好,但也存在了一些不足,同时结合单位工作实际,进行了整改同时提出了进一步整改的措施。
1、部分干部职工对信息安全工作的认识不到位。由于本部门工作涉密很少,机关干部对信息安全防范的意识还不高,对信息系统安全工作重要性的认识还不足。针对这些情况,县社领导已结合传达全县保密工作会议精神,进一步作了强调和要求。结合工作开展,今后将继续加强对机关干部的信息系统安全意识教育,提高干部职工对信息安全工作重要性的认识。
2、设备维护、更新不及时。部分股室计算机的杀毒软件、防护软件没有及时进行更新升级,存在部分漏洞。针对这些问题,办公室已及时对各终端计算机的杀毒软件、防火墙等进行了更新升级,对存在的漏洞进行了修复。今后将对线路、系统等的及时维护和保养,及时更新升级防护软件。
3、信息系统安全工作的水平还有待加强。供销社的信息系统工作人员均为兼职人员,非专业人员,对信息安全的管护水平低,还需要加强专业学习培训,提高信息安全管理和管护工作的水平。
三、对信息安全检查工作的意见和建议
一是,进一步加大对信息安全工作人员的业务培训。由于很多部门的信息安全工作人员均为兼职,均是“半路出家”,非专业人员,没有专业的技能和知识,希望进一步加强对计算机信息系统安全管理工作的业务操作培训,发放一些信息网络安全管理方面的业务知识材料。
二是,加强对各级各部门干部职工的信息系统安全教育。通过开展专题警示教育培训,增强信息系统安全意识,提高做好信息安全工作的主动性和自觉性。
三是,加强分类指导。由于各部门工作性质不同,信息安全的级别也不同。希望结合各部门工作实际,对重点信息安全部门和非重点信息安全部门进行分类指导。
为了认真贯彻落实省公安厅《关于组织开展全省20xx年度信息安全等级保护专项检查工作的通知》文件精神,为进一步做好我省环境自动监控系统信息安全工作,提高环境自动监控系统安全保证能力和水平,切实加强省环境监控系统网络信息安全,为中原经济区建设创造良好的社会和网络环境。
环保部和省委、省政府领导高度重视环境自动监控系统建设和应用工作。陈新贵副厅长和易旭生副巡视员对省环境信息自动监控系统信息安全等级保护专项检查工作做出重要批示,要求认真准备,做好检查工作。
按照省环境监控中心(以下简称“监控中心”)各位领导严格要求,安排专门科室和人员,制定了一系列信息安全管理制度,加强日常信息安全监测和预警,促进了中心信息安全建设和管理,营造出健康、和谐的网络环境。近期,我中心进行了信息安全自查,现将中心信息安全自查工作情况报告如下:
一、信息安全工作的基本情况
(一)积极组织部署等级保护工作
1、专门成立等级保护协调领导机构
成立了由分管领导、分管部门、网络管理组成的信息安全等级保护协调领导小组,确保环境自动监控系统高效运行、理顺信息安全管理、规范信息化安全等级建设。
2、明确等级保护责任部门和工作岗位
监控中心非常注重环境自动监控系统建设,多次开会明确等级保护责任部门,做到分工明确,责任具体到人。
3、贯彻落实等级保护各项工作文件或方案
等级保护责任部门和工作人员认真贯彻落实公安部、省公安厅等级保护各项工作文件或方案,根据环境自动监控工作的特点,制定出《河南省环境保护厅网络与信息安全事件应急预案》、《河南省环境自动监控系统机房管理制度》等一系列规章制度,落实等级保护工作。
4、召开工作动员会议,组织人员培训,专门部署等级保护工作
监控中心每季度召开一次工作动员会议,定期、不定期对技术人员进行培训,并开展考核。技术人员认真学习贯彻有关文件精神,把信息安全等级保护工作提升到重要位置,常抓不懈。
5、有关主要领导认真听取等级保护工作汇报并做出重要指示
省环保厅陈新贵副厅长、易旭生副巡视员分别对等级保护工作给与批示,要求认真做好有关工作。监控中心陶冶主任、丁卫东副主任、郭新望总工程师分别听取等级保护工作汇报,指示责任部门做好自检、自查,精心准备,迎接公安厅专项检查。
(二)认真落实信息安全责任制
1、高规格建设信息安全协调领导机构
在监控中心等级保护协调领导小组中,陶冶主任亲自担任协调领导小组组长,主管领导郭新望总工程师担任协调领导小组常务副组长,信息管理室汪太鹏主任兼任领导小组办公室主任。
2、成立信息安全职能部门
监控中心成立了信息管理室作为信息安全职能部门,负责环境网络建设,信息安全,日常运行管理。
3、制定信息安全责任追究制度
监控中心制定出相应信息安全责任追究制度,定岗到人,明确责任分工,把信息安全责任事故降低到最低。
(三)积极推进信息安全制度建设
1、加强人员安全管理制度建设
监控中心建立了人员录用、离岗、考核、安全保密、教育培训、外来人员管理等安全管理制度,对新进人员进行培训,加强人员安全管理,不定期开展考核。
2、严格执行机房安全管理制度监控中心制定出《机房管理制度》,加强机房进出人员管理和日常监控制度,严格实施机房安全管理条例,做好防火防盗,保证机房安全。
3、建立系统建设管理制度
监控中心制订了产品采购、工程实施、验收交付、服务外包等系统建设管理制度,通过公开招标,择优选用,大大提高了系统建设的质量。
(四)大力加强信息系统运维
1、开展日常信息安全监测和预警
监控中心建立日常信息安全监测和预警机制,提高处置网络与信息安全突发公共能力事件,加强网络信息安全保障工作,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减轻网站网络与信息安全突发公共事件的.危害。
2、建立安全事件报告和响应处理程序
3、制定应急处置预案,定期演练并不断完善监控中心制定了安全应急预案,根据预警信息,启动相应应急程序,加强值班值守工作,做好应急处理各项准备工作。定期演练预警方案,不断完善预警方案可行性、可操作性。
二、扎实开展信息系统定级备案
(一)信息系统定级工作概况
监控中心积极有效开展信息系统定级工作,认真编制安全等级保护定级报告。省环境自动监控系统是通过前端自动监控设施自动采样、分析、获取各污染源、环境质量点位的监测数据。
该系统主要服务于省、市环保部门环境管理,同时对审核后数据通过网站向公众发布。
系统服务受到破坏时侵害的客体是公众利益,即社会公众的环境知情权。
系统服务受到破坏后,对侵害客体的侵害是一般损害。
(二)信息系统备案工作情况
监控中心按期规范开展信息系统备案工作。根据《信息安全等级保护管理办法》,填写信息系统安全等级保护备案表。
对单位基本情况、信息系统情况、信息系统定级情况等信息做出明确备案。
三、有效推进信息系统等级测评和安全建设整改工作部署和经费保障
(一)制定等级测评工作计划
认真制定等级测评工作计划表,按照工作计划表,有条不紊的开展等级测评。
(二)制定安全建设整改工作计划
制定安全建设整改工作计划,根据自查结果,对发现问题进行安全建设整改。编制整改方案,限期完成整改计划。
(三)保证等级测评工作经费
中心优先保证等级测评工作经费的划拨、使用。
(四)落实安全建设整改工作经费保障
中心积极落实安全建设整改工作经费,协调财政部门保障整改经费保障。
(五)选择等级测评机构
四、不断完善等级保护自查和整改
(一)组织部署等级保护自查工作
领导协调小组开专题会议,部署等级保护自查工作。按照信息安全等级保护工作检查表的要求,细化各项检查指标,落实各项指标。
(二)按期整改存在的问题
五、认真做好三级信息系统等级测评和安全建设整改工作
(一)等级评测工作开展情况
(二)安全建设整改工作开展情况
我院在接到贵单位发来的《信息系统安全等保限期整改通知书》后,院领导高度重视,责成信息科按照要求进行整改,现在整改情况报告如下。
一、我院网络安全等级保护工作概况
我院已于20xx年11月完成了综合业务信息系统的定级、备案、等级保护测评、专家评审等工作,系统安全保护等级为第二级(S2A2G2),等级保护测评机构为河南天祺信息安全技术有限公司,等级保护测评结论为基本符合,综合得分为76.02分。在测评过程中,信息科已根据测评人员建议对能够立即整改的安全问题进行了整改,如:服务器安全加固、访问控制策略调整、安装防病毒软件、增加安全产品等。目前我院正在进行门户网站的`网络安全等级保护测评工作。
二、安全问题整改情况
经过软件开发厂商测试发现修复Oracle数据库漏洞会影响HIS系统正常运行,并存在未知风险,为了既保证信息系统安全稳定运行又降低信息系统面临的安全隐患,我们主要采取控制数据库访问权限,切断与服务器不必要的连接、限制数据库管理人员权限等措施来降低数据库安全漏洞造成的风险。具体措施为:第一由不同技术人员分别掌握数据库服务器和数据库的管理权限;第二数据库服务器仅允许有业务需求的应用服务器连接,日常管理数据库采用本地管理方式,数据库不对外提供远程访问;第三对数据库进行了安全加固,设置了强密码、开启了日志审计功能、禁用了数据库默认用户等。
我院高度重视网络安全工作,医院网络中先后配备了防火墙、防毒墙、入侵防御、网络版杀毒软件、桌面终端管理等安全产品,并正在采购网闸、堡垒机、日志审计等安全产品,同时组建了医院网络安全小组,由三名技术人员负责网络安全管理工作,使我院网络安全管理水平大幅提升。
“没有网络安全,就没有国家安全”。作为全县医疗救治中心,医院始终把信息网络安全和医疗安全放在首位,不断紧跟医院发展和形势需要,科学有效的推进网络安全建设工作,并接受各级主管部门的监督和管理。
为落实“教育部办公厅关于开展网络安全检查的通知”(xx厅函[20xx]5号)、“教育部关于加强教育行业网络与信息安全工作的指导意见”(xx[20xx]4号)、xxx省教育厅“关于开展全省教育系统网络与信息安全专项检查工作的通知”(x教保【20xx】8号),全面加强我校网络与信息安全工作,校信息化建设领导小组办公室于9月16日—25日对全校网络、信息系统和网站的安全问题组织了自查,现将自查情况汇报如下:
一、学校网络与信息安全状况
本次检查采用本单位自查、远程检查与现场抽查相结合的方式,检查内容主要包含网络与信息系统安全的组织管理、日常维护、技术防护、应急管理、技术培训等5各方面,共涉及信息系统28个、各类网站89个。
从检查情况看,我校网络与信息安全总体情况良好。学校一贯重视信息安全工作,始终把信息安全作为信息化工作的重点内容。网络信息安全工作机构健全、责任明确,日常管理维护工作比较规范;管理制度完善,技术防护措施得当,信息安全风险得到有效降低;比较重视信息系统(网站)系统和网络安全技术人员培训,应急预案与应急处置技术队伍有落实,工作经费有一定保障,基本保证了校园网信息系统(网站)持续安全稳定运行。但在网络安全管理、技术防护设施、网站建设与维护、信息系统等级保护工作等方面,还需要进一步加强和完善。
二、网络信息安全工作情况
1、网络信息安全组织管理
2、信息系统(网站)日常安全管理
学校建有“校园网管理条例”、“中心机房安全管理制度“、“数据安全管理办法”、“网站管理办法”、“服务器托管管理办法”、“网络故障处理规范”等系列规章制度。各系统(网站)使用单位基本能按要求,落实责任人,较好地履行网站信息上传审签制度、信息系统数据保密与防篡改制度。日常维护操作较规范,多数单位做到了杜绝弱口令并定期更改,严密防护个人电脑,定期备份数据,定期查看安全日志等,随时掌握系统(网站)状态,保证正常运行。
3、信息系统(网站)技术防护
校园网数据中心建有一定规模的综合安全防护措施。
一是建有专业中心机房,配备视频监控、备用电力供应设备,有防水、防潮、防静、温湿度控制、电磁防护等措施,进出机房实行门禁和登记制度;
二是网络出口部署有安全系统,站群系统部署有应用防火墙,并定期更新检测规则库,重要信息系统建立专网以便与校园网物理隔离;
三是对服务器、网络设备、安全设备等定期进行安全xxxx检查,及时更新操作系统和补丁,配置口令策略保证更新频度;
四是全面实行实名认证制度,具备上网行为回溯追踪能力;
五是对重要系统和数据进行定期备份,并建有灾备中心。
4、信息安全应急管理
20xx年制定了《xxx科技大学网络与信息安全突发事件应急预案》。网教中心为应急技术支持单位,确保网络安全事件的快速有效处置。
5、信息安全教育培训
派员参加了xxx省信息安全保密培训。暑期处级干部培训安排有信息安全与保密专题,每年组织全校网管员技术培训,增强管理干部和技术人员的安全防范意识,提高技术防护能力。
三、检查发现的主要问题
对照《通知》中的具体检查项目,我校在信息安全工作上还存在一定的问题:
2、技术防护方面:校园网安全技术防护设施仍不足,如缺少数据中心安全防御系统和审计系统,欠缺安全检测设施,无法对服务器、信息系统(网站)进行安全xxxxxxxx与隐患检查。
3、应用系统(网站)方面:个别应用系统(网站)存在设计缺陷和安全xxxx,容易发生安全事故。(经统计20xx年以来14个网站发生安全事故17起,其中11起是因为网站存在技术问题,如安全xxxx或设计缺陷)。
4、信息系统等级保护工作尚未全面开展。
5、部分院(系)管辖的机房或学习室尚未实行认证和审计。
四、整改措施
针对存在的问题,学校信息化领导小组专门进行了研究部署。
1、进一步完善网络信息安全管理制度,规范信息系统和网站日常管理维护工作程序。加强网管员技术培训,提高安全意识和技术能力。
2、继续完善网络信息安全技术防护设施,配备必要的安全防御和检测设备,实行信息系统(网站)安全检测准入制度,从根本上降低安全风险。定期对服务器、操作系统进行xxxxxxxx和隐患排查,建立针对性的主动防护体系。
3、针对各级网站建设水平参差不齐问题,学校20xx年引入了站群系统管理平台,目前已将多个部门共计12个网站迁移到站群系统管理平台。今后将加大推进力度,逐步将全部各级网站迁入站群系统管理平台,提高网站技术安全性能。
4、全面开展信息系统等级保护工作,按照新颁布的《教育行政部门及高等院校信息系统安全等级保护定级指南》,完成所有在线系统的定级、备案工作。积极创造条件开展后续定级测评、整改等工作。
5、加强应急管理,修订应急预案,组建以网教中心技术人员为骨干、重要系统xxxxxx参加的应急支援技术队伍,加强部门间协作,做好应急演练,将安全事件的影响降到最低。
6、对院(系)管机房或学习室强制认证和审计。
五、几点建议
2、建议在数字校园建设经费里列支专项经费用于等保定级、测评、整改等工作;
3、建议各类网站在适当的时候(最好是改版时)加入学校站群系统管理平台,一旦加入该站群系统管理平台,管理者将无需考虑网站的技术安全及风险,只需考虑网站的信息与内容安全。
一、医院网络建设基本情况
我院信息管理系统于xx年xx月由xxxx科技有限公司对医院信息管理系统(HIS系统)进行升级。升级后的前台维护由本院技术人员负责,后台维护及以外事故处理由xxxx科技有限责任公司技术人员负责。
二、自查工作情况
1、机房安全检查。机房安全主要包括:消防安全、用电安全、硬件安全、软件维护安全、门窗安全和防雷安全等方面安全。医院信息系统服务器机房严格按照机房标准建设,工作人员坚持每天定点巡查。系统服务器、多口交换机、路由器都有UPS电源保护,可以保证在断电3个小时情况下,设备可以运行正常,不至于因突然断电致设备损坏。
3、数据库安全管理。我院对数据安全性采取以下措施:
(1)将数据库中需要保护的部分与其他部分相隔。
(3)数据库账户密码专人管理、专人维护。
(4)数据库用户每6个月必须修改一次密码。
(5)服务器采取虚拟化进行安全管理,当当前服务器出现问题时,及时切换到另一台服务器,确保客户端业务正常运行。
三、应急处置
四、存在问题
我院的网络与信息安全工作做的.比较认真、仔细,从未发生过重的安全事故,各系统运转稳定,各项业务能够正常运行。但自查中也发现了不足之处,如目前医院信息技术人员少,信息安全力量有限,信息安全培训不全面,信息安全意识还够,个别科室缺乏维护信息安全的主动性和自觉性;应急演练开展不足;机房条件差;个别科室的计算机设备配偏低,服务期限偏长。
今后要加强信息技术人员的培养,提升信息安全技术水平,加强全院职工的信息安全教育,提高维护信息安全的主动性和自觉性,加对医院信息化建设投入,提升计算机设备配,进一步提高工作效率和系统运行的安全性。
一、网络信息安全的脆弱性
二、计算机网络信息的安全隐患
网络信息安全是一个关系国家安全和主权、社会稳定、民族文化继承和发扬的重要问题。其重要性,正随着全球信息化步伐的加快越来越重要。网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络信息的含义主要是指网络系统的硬件、软件及其系统中的数据信息受到保护,不受偶然的或者恶意原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,使得网络服务不中断。网络面临的威胁和攻击错综复杂,但归结起来对网络信息安全的威胁主要表现在:
1、物理安全对网络信息造成的威胁
网络的物理安全是整个网络信息安全的前提。在诸多的网络工程建设中,由于网络系统属于是弱电工程,耐压值很低。因此,在设计和施工中,必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害;考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离;考虑布线系统和绝缘线、裸体线以及接地与焊接的安全;必须建设防雷系统,防雷系统不仅考虑建筑物防雷,还必须考虑计算机及其他弱电耐压设备的防雷。总体来说物理安全的风险主要有,地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获;高可用性的硬件;双机多冗余的设计;机房环境及报警系统、安全意识等,因此要尽量避免网络的物理安全风险。
2、网络的开放性决定网络的脆弱
随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性。而针对网上的信息资源共享这一特性,各种信息资源就要在网上处理,传递,从网络的连通性上看,在享受信息便利的同时,各节点上用户的信息资源便有暴露的可能,建立的网络越大,节点越多,信息泄漏的危险性也就越大,这种危险可以来自方方面面,比如说,人为的蓄意攻击等等。网络信息的广泛和通信协议的开放决定了网络的脆弱和易损性,这就对我们当前的网络信息安全构成了巨大的威胁和潜在的危险。
3、来自黑客的威胁和攻击
计算机信息网络上的黑客攻击事件越演越烈,已经成为具有一定经济条件和技术专长的形形色色攻击者活动的舞台。他们具有计算机系统和网络脆弱性的知识,能灵活使用各种计算机工具来达到他们的目的。境内外黑客攻击破坏网络的问题十分严重,他们通常采用非法侵人重要信息系统,窃听、获取、攻击侵人网的有关敏感性重要信息,修改和破坏信息网络的正常使用状态,造成数据丢失或系统瘫痪,给国家造成重大政治影响和经济损失。黑客问题的出现,并非黑客能够制造入侵的机会,从没有路的地方走出一条路,只是他们善于发现漏洞。即信息网络本身的不完善性和缺陷,成为被攻击的目标或利用为攻击的途径,其信息网络脆弱性引发了信息社会脆弱性和安全问题,并构成了自然或人为破坏的威胁。
4、人为造成的`无意识失误
无意识的失误涵盖的方面也很多,如管理员安全配置考虑不当所造成的安全漏洞,用户的安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享信息。近几年,由于计算机网络的迅速发展,在网络中发布“搏客”,聊天等,由于说着无意,听者有心,也会无意识的报露一些机密,目前从发生的一些泄密案件来看,很多都是无意识的行为,这些都会对网络信息的安全带来一定的威胁,并给我们的经济带来巨大的损失。
5、来自网络软件漏洞的隐患
三、计算机网络信息安全防预对策
计算机网络信息安全防范工作是一个极为复杂的系统工程,是人防和技防相结合的综合性工程。在防范策略上我们必须做到:
1、强化网络安全技术手段
强化网络安全技术手段是保障网络信息安全必须要采取的措施。尤其是对网络中使用的关键设备,如交换机、网络服务器等,要制定严格的网络安全规章制度,采取防辐射、防火以及安装UPS不间断电源等。从方位控制上,要对用户访问网络资源的权限上加以严格的认证和控制。如,进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限等。
2、提高网络安全意识,加强网络法规管理
从目前看,对人员的管理难度比较大,也有一定限度。在强化网络安全意识的同时,制定相应的网络安全法规,用法律的权威、公正、强制手段来对网络人员的思想行为和安全意识确实能够达到难以代替的规范和制约作用。例如,从我们当前对一些泄密案件的处理上看,就已经威慑到了部分人的继续犯罪行为,也起到了对网络安全信息的宏观控制。因此制定必要的,具有良好性的可操作性网络安全的法规也是十分必要和有效的,这样才能使得网络安全有规可寻,依章管理,对侵犯和渎职网络的任何犯罪违法行为在处理上有法可依照,对危急网络给国家造成任何损失的人都必须要追究法律责任,这样才能有效的保障网络信息的高度安全。
总之,随着计算机技术和通信技术的飞速发展,计算机信息网络安全不是一朝一夕的工作,他是一项长期的任务。网络安全也是我们今后工作中不能回避的一个问题。他需要全体工作人员的共同参与和努力。同时还要加大投入引进先进技术,建立严密的安全防范体系,在制度上确保该体系功能的实现,并结合当前工作的实际情况,认真研究,大胆探索,反复实践,不断追踪新技术的应用情况,制定一套行之有效的网络安全防护措施,确保网络信息的绝对安全,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。
一、信息安全状态总体评价
二、信息安全自查情况
通过信息安全自查,对本单位在册80台办公用计算机进行了涉密非涉密统计工作,其中非涉密计算机71台,涉密计算机9台。
1、涉密计算机(含笔记本电脑)实行了与国际互联网及其它公共信息网物理隔离,并按照有关规定落实了保密措施,到目前为止,未发生一起计算机失密泄密事故。
2、非涉密计算机(含笔记本电脑)及网络使用也严格安照局计算机保密信息系统管理办法落实有关措施,确保了机关信息安全。
3、U盘等存储介质采取了专人保管、涉密文件单独存放,严禁携带存在涉密内容的存储介质在非涉密的计算机上处存储、传递、处理文件,形成了良好的安全保密环境。
4、网站安全方面,跟据局里对下属单位网站安全的要求,网站专人负责,凡是上传网站的信息,须经由有关领导审查后方可上传。开展经常性安全检查,主要对SQL注入攻击、跨站脚本攻击、弱口令、木马病毒检测、端口开放情况、系统管理权限开放情竞、访问权限开放情况、网页篡改情况等进行监控,认真检查保管系统安全日志。
三、在主要问题和原因以及下一步的工作打算。
我们在管理过程中发现了一些管理方面存在的薄弱环节,今后我们还要在以下几个方面进行改进。
1、对于线路不整齐、暴露的.,力尽对线路进行限期整改。
2、加强设备维护,及时更换和维护好故障设备。
3、自查中发现个别人员计算机安全意识不强,涉密计算机有上网升级病毒库的情况。
在以后的工作中,我们将继续加强计算机安全意识教育和防范技能培训,让单位工作人员充分认识到计算机案件的严重性。人防与技能结合,确实做好单位的网络信息安全工作。
1、垃圾邮件和网络欺骗将立足“社交网络”
思科在其20xx年《年度安全报告》中揭示了社交媒体(尤其是社交网络)对网络安全的影响,并探讨了人(而非技术)在为网络犯罪创造机会方面所起的关键作用。社交网络已经迅速成为网络犯罪的温床,因为这些网站的成员过于信任他们社区的其他成员,没有采取阻止恶意软件和计算机病毒的预防措施。小漏洞、不良用户行为以及过期的安全软件结合在一起会具有潜在的破坏性,可能大幅增加网络安全的风险。鉴于以上,20xx年社交网络或许将给我信息安全带来更多的“惊喜”!
2、云计算成为孕育黑客新的温床
毋庸置疑,已经开始有越来越多的it功能通过云计算来提供,网络犯罪也顺应了这一趋势。安全厂商fortinet预计,网络犯罪借鉴“服务即安全”(security—as—a—service)的理念,打造“服务即网络犯罪”(cybercrime—as—a—service)这一特殊品牌。网络犯罪也将效仿企业的做法使用基于云计算的工具,以便更有效率地部署远程攻击,甚至借此大幅拓展攻击范围。
3、大量mac计算机被病毒感染或黑客入侵
安全厂商websense安全研究高级经理帕特里克卢纳德(patrickrunald)说:“macosx中没有任何的恶意软件防范机制。”他表示,在cansecwest黑客大赛上,mac已经连续两年成为第一个被攻破的系统。
4、智能手机安全问题愈发严重
随着移动应用的不断增多,智能设备的受攻击面也在不断扩大,移动安全所面临的局面将会越来越严重。虽然我们已经看到了iphone上的蠕虫病毒,虽然它还不能自我传播,还得依靠电脑来传播,但是我们预计,20xx年,将会出现真正可以自我传播的病毒,严重威胁iphone和android等设备。
卡巴斯基实验室恶意软件高级研究员罗伊尔舒文伯格(roelschouwenberg)说:“android手机的日益流行,加之缺乏对第三方应用安全性的有效控制,将导致诸多高调恶意软件的出现。”
5、搜索引擎成为黑客全新赢利方式
6、虚拟化普及安全威胁适应潮流
与cloud类似的是,虚拟化技术也将抓住快速发展的时机。业界中已经有公司开始研究传统桌面电脑的虚拟化。虚拟化不仅能提供一种极高的安全保障,还能方便协作,提高效率。
除了瘦客户机的虚拟桌面以外,企业还将会开始考察笔记本电脑虚拟机以作为创建安全企业桌面的手段之一。虚拟机可利用快照迅速恢复到已知的安全状态配置,从而为网上银行或安全的企业应用提供更高等级的安全保障。工作和休闲可以在同一的硬件上共存,只要相互保持隔离就行。
一、工业控制系统安全分析
工业控制系统(IndustrialControlSystems,ICS),是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。其组件包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED),以及确保各组件通信的接口技术。
典型的ICS控制过程通常由控制回路、HMI、远程诊断与维护工具三部分组件共同完成,控制回路用以控制逻辑运算,HMI执行信息交互,远程诊断与维护工具确保ICS能够稳定持续运行。
1.1工业控制系统潜在的风险
1.操作系统的安全漏洞问题
由于考虑到工控软件与操作系统补丁兼容性的问题,系统开车后一般不会对Windows平台打补丁,导致系统带着风险运行。
2.杀毒软件安装及升级更新问题
用于生产控制系统的Windows操作系统基于工控软件与杀毒软件的兼容性的考虑,通常不安装杀毒软件,给病毒与恶意代码传染与扩散留下了空间。
3.使用U盘、光盘导致的病毒传播问题。
由于在工控系统中的管理终端一般没有技术措施对U盘和光盘使用进行有效的管理,导致外设的无序使用而引发的安全事件时有发生。
4.设备维修时笔记本电脑的随便接入问题
工业控制系统的管理维护,没有到达一定安全基线的笔记本电脑接入工业控制系统,会对工业控制系统的安全造成很大的威胁。
5.存在工业控制系统被有意或无意控制的风险问题
如果对工业控制系统的操作行为没有监控和响应措施,工业控制系统中的异常行为或人为行为会给工业控制系统带来很大的风险。
6.工业控制系统控制终端、服务器、网络设备故障没有及时发现而响应延迟的问题
对工业控制系统中IT基础设施的运行状态进行监控,是工业工控系统稳定运行的基础。
1.2“两化融合”给工控系统带来的风险
工业控制系统最早和企业管理系统是隔离的,但近年来为了实现实时的数据采集与生产控制,满足“两化融合”的需求和管理的'方便,通过逻辑隔离的方式,使工业控制系统和企业管理系统可以直接进行通信,而企业管理系统一般直接连接Internet,在这种情况下,工业控制系统接入的范围不仅扩展到了企业网,而且面临着来自Internet的威胁。
同时,企业为了实现管理与控制的一体化,提高企业信息化合综合自动化水平,实现生产和管理的高效率、高效益,引入了生产执行系统MES,对工业控制系统和管理信息系统进行了集成,管理信息网络与生产控制网络之间实现了数据交换。导致生产控制系统不再是一个独立运行的系统,而要与管理系统甚至互联网进行互通、互联。
1.3工控系统采用通用软硬件带来的风险
工业控制系统向工业以太网结构发展,开放性越来越强。基于TCP/IP以太网通讯的OPC技术在该领域得到广泛应用。在工业控制系统中,由于工业系统集成和使用的便利性,大量使用了工业以太环网和OPC通信协议进行了工业控制系统的集成;同时,也大量的使用了PC服务器和终端产品,操作系统和数据库也大量的使用了通用的系统,很容易遭到来自企业管理网或互联网的病毒、木马、黑客的攻击。
2、MES层与工业控制层之间的安全防护
通过在MES层和生产控制层部署工业防火墙,可以阻止来自企业信息层的病毒传播;阻挡来自企业信息层的非法入侵;管控OPC客户端与服务器的通讯,实现以下目标:
区域隔离及通信管控:通过工业防火墙过滤MES层与生产控制层两个区域网络间的通信,那么网络故障会被控制在最初发生的区域内,而不会影响到其它部分。
实时报警:任何非法的访问,通过管理平台产生实时报警信息,从而使故障问题会在原始发生区域被迅速的发现和解决。
MES层与工业控制层之间的安全防护如下图所示:
2.1.3工控系统安全防护分域
安全域是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,且相同的网络安全域共享一样的安全策略。
在管理层、制造执行层、工业控制层中,进行管理系统安全子域的划分,制造执行安全子域的划分、工业控制安全子域的划分。安全域的合理划分,使用每一个安全域都要明确的边界,便于对安全域进行安全防护。对MES、ICS的安全域划分如下图所示:
如上图所示,为了保证各个生产线的安全,对各个生产线进行了安全域划分,同时在安全域之间进行了安全隔离防护。
2.1.4工控系统安全防护分等级
根据安全域在信息系统中的重要程度以及考虑风险威胁、安全需求、安全成本等因素,将其划为不同的安全保护等级并采取相应的安全保护技术、管理措施,以保障信息的安全。
安全域的等级划分要做到每个安全域的信息资产价值相近,具有相同或相近的安全等级、安全环境、安全策略等。安全域所涉及应用和资产的价值越高,面临的威胁越大,那么它的安全保护等级也就越高。
二、工业控制系统安全防护设计
通过以上对工业控制系统安全状况分析,我们可以看到,工控系统采用通用平台,加大了工控系统面临的安全风险,而“两化融合”和工控系统自身的缺陷造成的安全风险,主要从两个方面进行安全防护。
通过“三层架构,二层防护”的体系架构,对工业企业信息系统进行分层、分域、分等级,从而对工控系统的操作行为进行严格的、排他性控制,确保对工控系统操作的唯一性。
通过工控系统安全管理平台,确保HMI、管理机、控制服务工控通信设施安全可信。
2.1构建“三层架构,二层防护”的安全体系
工业控制系统需要进行横向分层、纵向分域、区域分等级进行安全防护,否则管理信息系统、生产执行系统、工业控制系统处于同一网络平面,层次不清,你中有我、我中有你。来自于管理信息系统的入侵或病毒行为很容易对工控系统造成损害,网络风暴和拒绝式服务攻击很容易消耗系统的资源,使得正常的服务功能无法进行。
2.1.1工控系统的三层架构
一般工业企业的信息系统,可以划分为管理层、制造执行层、工业控制层。在管理信层与制造执行系统层之间,主要进行身份鉴别、访问控制、检测审计、链路冗余、内容检测等安全防护;在制造执行系统层和工业控制系统层之间,主要避免管理层直接对工业控制层的访问,保证制造执行层对工业控制层的操作唯一性。工控系统三层架构如下图所示:
通过上图可以看到,我们把工业企业信息系统划分为三个层次,分别是计划管理层、制造执行层、工业控制层。
管理系统是指以ERP为代表的管理信息系统(MIS),其中包含了许多子系统,如:生产管理、物质管理、财务管理、质量管理、车间管理、能源管理、销售管理、人事管理、设备管理、技术管理、综合管理等等,管理信息系统融信息服务、决策支持于一体。
制造执行系统(MES)处于工业控制系统与管理系统之间,主要负责生产管理和调度执行。通过MES,管理者可以及时掌握和了解生产工艺各流程的运行状况和工艺参数的变化,实现对工艺的过程监视与控制。
工业控制系统是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。主要完成加工作业、检测和操控作业、作业管理等功能。
2.1.2工控系统的二层防护
1、管理层与MES层之间的安全防护
也就是说,管理层与MES层之间的安全防护,保证只有可信、合规的终端和服务器才可以在两个区域之间进行安全的数据交换,同时,数据交换整个过程接受监控、审计。管理层与MES层之间的安全防护如下图所示:
2.2构建工业控制系统安全管理平台
工业控制系统和传统信息系统具有大多数相同的安全问题,但同时也存在独特的安全需求。工业控制系统最大的安全需求是唯一性和排它性,在某一特定的工业控制系统中,工业控制系统只需用唯一的工业应用程序和工业通信协议运行,其他一概不需要。
启明星辰工业系统安全管理平台为工业控制系统建立了一个相对可信的计算环境,对工控系统管理终端和网络通信具有非常强的安全控制功能。工业控制系统安全管理平台有两部分组成,一部分是工业控制系统安全管理平台,具有终端管理、网络管理、行为监控功能,另一部分是终端安全管理客户端。
2.2.1管理平台部分
具体而言,工业控制系统安全管理平台功能如下:
1.能够对应用服务器、关系数据库服务器、实时数据库服务器、工业以太网设备运行状态进行监控,例如CPU、内存、端口流量等等。
2.能够对操作终端外设、进程、桌面进行合规性在线和离线管理。
3.能够对各层边界数据交换情况进行监控。
4.能够对工业控制系统中的网络操作行为进行审计。
5.能够对工业控制系统日志进行关联分析和审计。
6.能够对工业控制系统中的异常事件进行预警响应。
7.能够对工业企业信息系统进行虚拟安全域的划分。
2.2.2工业控制系统终端安全管理部分
由于工业控制系统管理终端的安全防护技术措施十分薄弱,所以病毒、木马、黑客等攻击行为都利用这些安全弱点,在终端上发生、发起,并通过网络感染或破坏其他系统。
工业控制系统终端最大特点是应用相对固定,终端主要安装工业控制系统程序,所以,要防范传统方式的病毒或木马等恶意软件,最直接的方式就是利用工业控制系统对终端应用程序的进程进行管理。
具体而言,工业控制系统安全管理平台终端安全管理部分功能如下:
1.工业控制系统安全管理平台客户端软件轻巧精炼,占用资源极少,能够最大程度保证工业控制系统管理终端的稳定性。
2.工业控制系统安全管理平台客户端具有终端准入控制功能,可以防止没有达到安全基线的笔记本对终端进行管理。
3.工业控制系统安全管理平台客户端具有终端安全优化与加固功能,能够对工业控制系统终端进行安全优化和加固,使终端安全水平达到一定的安全基线。
4.工业控制系统安全管理平台客户端具有外设管理功能,对工业控制系统的外设进行管理,比如USB接口、光驱、网卡、串口等。
5.工业控制系统安全管理平台客户端具有工业控制系统应用程序监控功能,对终端中的工业控制系统软件进行监控和管理。
6.工业控制系统安全管理平台客户端具有工业通信协议监控功能。工业控制系统终端通信协议相对固定,客户端能够对终端通信协议具有唯一性管理功能。
7.工业控制系统安全管理平台客户端具有离线管理功能,工业控制系统终端有一部分无法进行在线管理,客户端具有比较强大的离线自管理功能,可以完成对离线终端的管理。
8.工业控制系统安全管理平台客户端具有强身份认证功能,客户端具有使用工业控制系统在线终端和离线终端都具有强身份认证功能,从而防止工业控制系统被有意或无意被控制的风险。
三、总结
国内外发生了多起由于工控系统安全问题而造成的生产安全事故。最鲜活的例子就是20xx年10月发生在伊朗布什尔核电站的“震网”(Stuxnet)病毒,为整改工业生产控制系统安全敲响了警钟。
为此,工信部在20xx年10月下发了“关于加强工业控制系统信息安全管理的通知”,要求各级政府和国有大型企业切实加强工业控制系统安全管理。工信部赵泽良司长也强调,工业控制系统安全工作也到了非加强不可的时候,否则将影响到我国重要的生产设施的安全。
本文根据工业控制系统安全防护的特点,提出了对工业控制系统进行分层、分域、分等级,构建“三层架构,二层防护”的工业控制系统安全体系架构思想;通过分析工业控制系统面临的风险,对作为工业控制系统安全防护的核心产品——工业控制系统安全管理平台功能进行了说明。工控系统安全管理平台,不仅是实现工业控制系统终端安全的产品,也是监控工业控制系统IT基础实施和操作行为的平台。
一、强化组织领导,落实工作职责
3、规范工作机制。为加强政务公开工作,本单位建立了“首问负责制、服务承诺制、一次性告知制、限时办结制、公开公示制、失职追究制”等六项制度,同时结合机关效能年活动,制定下发了“提高机关干部素质和潜力的实施方案、改善机关作风的实施方案、建立和健全AB岗工作制的实施方案”,较好地转变了扶贫办机关工作作风,提高了工作效率和服务水平,促进了政务公开工作的顺利开展。
二、开展安全检查,及时整改隐患
三、严格职责追究,确保信息安全
一是明确了分管信息公开工作的罗开莲副主任负责信息安全工作,指定秘书科副科长赖外来为兼职信息安全员,落实了信息安全制度,并严格执行“谁主管谁负责、谁运行谁负责、谁使用谁负责”的信息管理原则;
二是为确保国庆期间的网络信息安全,我办对国庆期间信息安全保障工作进行了专门部署,在国庆期间将执行值班制度,要求值班人员持续24小时通信畅通;
三是加强了信息安全教育培训,计算机使用人员基本掌握了信息安全常识和技能。
按照自治区信息化领导小组下发的《关于20xx年我区开展重点领域信息安全检查工作的通知》(内信领办字[20xx]xx号)文件精神,xxx自治区民政厅结合自身情况,认真组织自查,取得预期效果,现将检查结果报告如下:
一、重点网络与信息系统基本情况
正式运行中的业务应用系统包括:自治区最低生活保障信息系统、自治区婚姻登记信息系统、自治区优待抚恤信息系统、自治区社会团体信息系统、自治区五保供养信息系统及自治区城乡医疗救助信息系统等xx个主要业务信息系统,由信息中心负责日常保障和维护。
从应用系统的实时性、服务对象、连接互联网、数据集中、灾备情况来看,以上xx个业务信息系统全部采用实时交互、逻辑强隔离措施连接互联网、省级数据集中、数据级灾备模式运行。
从网络硬件构成情况来看,中心机房配置有xx台服务器、xx台小型机、xx部路由器、xx台隔离网闸、xx台负载均衡设备等。
二、整体安全状况的基本判断
从总体来看,各类业务信息系统上线运行以来,严格遵照有关规章制度的要求、完善各项安全防范措施、加强信息安全工作人员教育培训、信息安全风险得到有效降低,应急处置能力得到显著提高,切实保障了业务信息系统安全、稳定,高效运行。
三、发现的主要问题
(一)专业技术人员队伍薄弱,网络与信息系统安全保障工作可投入的人力物力有限。
(二)处于规章制度体系建立初期,尚未能覆盖网络与信息系统安全保障工作的各个方面。
(三)当遇到计算机病毒大规模集中爆发、恶意侵袭信息系统等突发事件时,应急处理能力未得到实践检验。
四、薄弱环节及整改情况
(一)安全保障预算资金和技术人员缺乏的问题已提请厅领导审批。
(二)在实际工作中不断发现问题、解决问题,修订各类规章制度。
(三)不定期开展数据恢复演练,密切监测,检验各项应急预案的可操作性和实际有效性,随时预防发生的`信息系统安全隐患。
五、意见和建议
随着现代信息技术日新月异的发展,新的、不可预测的信息安全漏洞和安全隐患将层出不穷。建议每年组织一些系统的信息安全技术培训,有针对性地提高安全防范水平和安全可控能力,预防和减少重大信息安全事件的发生。
我局于5月开通xxx区医保网。其中开设医保动态、政务公开、政策法规、办事指南等栏目,由专人负责更新维护。截止目前,更新各类信息302篇。自开建以来,我局由信息网络科负责,将群众关心的政策、制度以及常用的表格全部上传发表至,并积极开展网上办公、网上答疑等互动交流,为定点医疗机构及参保人员在了解政策、办理事项等方面提供了快捷高效的途径。
一、计算机信息管理情况
今年以来,我局加强组织领导,强化宣传教育,落实工作责任,加强日常监督检查,将涉密计算机管理抓在手上。对于计算机磁介质(软盘、U盘、移动硬盘等)的管理,采取专人保管、涉密文件单独存放,严禁携带存在涉密内容的磁介质到上网的计算机上加工、贮存、传递处理文件,形成了良好的安全保密环境。对涉密计算机(含笔记本电脑)实行了与国际互联网及其他公共信息网物理隔离,并按照有关规定落实了保密措施,到目前为止,未发生一起计算机失密、泄密事故;其他非涉密计算机(含笔记本电脑)及网络使用,也严格按照局计算机保密信息系统管理办法落实了有关措施,确保了机关信息安全。
二、计算机信息网络安全情况
一、是网络安全方面。我局配备了防病毒软件、网络隔离卡,采用了强口令密码、数据库存储备份、移动存储设备管理、数据加密等安全防护措施,明确了网络安全责任,强化了网络安全工作。
二、是信息系统安全方面实行领导审查签批制度。凡上传的信息,须经办公室审核签字后方可上传;二是开展经常性安全检查,主要对SQL注入攻击、跨站脚本攻击、弱口令、操作系统补丁安装、应用程序补丁安装、防病毒软件安装与升级、木马病毒检测、端口开放情况、系统管理权限开放情况、访问权限开放情况、网页篡改情况等进行监管,认真做好系统安全日记。
三、是日常管理方面切实抓好外网、和应用软件“五层管理”,确保“涉密计算机及业务专网不上网,上网计算机不涉密”,严格按照保密要求处理光盘、硬盘、U盘、移动硬盘等管理、维修和销毁工作。重点抓好“三大安全”排查:一是硬件安全,包括防雷、防火、防盗和电源连接等;二是网络安全,包括网络结构、安全日志管理、密码管理、IP管理、互联网行为管理等;三是应用安全,包括、邮件系统、资源库管理、软件管理等。
三、硬件设备运行维护情况。
四、安全制度制定落实情况
一是使用专属权限密码锁登陆后台;
二是上传文件提前进行病素检测;
三是分模块分权限进行维护,定期进后台清理垃圾文件;
四是更新专人负责。为确保计算机网络安全、实行了网络专管员制度、计算机安全保密制度、安全管理制度、网络信息安全突发事件应急预案等以有效提高管理员的'工作效率。
同时我局结合自身情况制定计算机系统安全自查工作制度、信息系统内控制度、信息系统应急预案等管理制度,做到四个确保:
一是系统管理员于每周五定期检查中心计算机系统,确保无隐患问题;
二是制作安全检查工作记录,确保工作落实;
三是实行领导定期询问制度,由系统管理员汇报计算机使用情况,确保情况随时掌握;
四是定期组织全局人员学习有关网络知识,提高计算机使用水平,确保预防。
五、自查存在的问题及整改意见
(一)对于线路不整齐、暴露的,立即对线路进行限期整改,并做好防鼠、防火安全工作。
(二)加强设备维护,及时更换和维护好故障设备。
(三)自查中发现个别人员计算机安全意识不强。
在以后的工作中,我们将继续加强计算机安全意识教育和防范技能训练,让员工充分认识到计算机案件的严重性。人防与技防结合,确实做好单位的网络安全工作。