根據XXXX市資訊化工作領導小組辦公室《關於開展2011年度政府資訊系統安全檢查的通知》(信化辦【2011】8號)要求,我辦高度重視,立即召開專題會議部署資訊系統安全工作,成立自查工作小組,對我辦的資訊系統安全保密等情況進行了系統全面的檢查,下面將自查情況報告如下:
一、資訊保安總體狀況
我辦目前各網路系統運轉良好,未在網上儲存、傳輸涉密資訊,未發生過失密、洩密現象。
(一)領導重視制度完善
1、為進一步加強我辦政府資訊保安工作的領導,成立了資訊保安工作領導小組,有局長任組長,分管領導任副組長、各科室負責人為成員,辦公室身在綜合科,設專人負責除了日常工作,同時建立了安全責任制、應急預案、值班制度 、資訊釋出稽核制度、政府資訊公開工作制度、保密審查制度、責任追究制度等。近年以來都沒發生過安全責任事故。
2、為確保我辦網路資訊保安工作有效順利開展,我辦要求以各部門為單位認真組織學習相關法律、法規和網路資訊保安的相關知識,是全體人員都能正確領會資訊保安工作的重要性,都能掌握計算機安全使用的規定要求,都能正確的使用計算機網路和各類資訊系統。
(二)嚴格要求,措施到位
1、強化安全防範措施。我辦嚴格按照網站程序升級、伺服器託管、網站維護等方面存在的突出問題,進一步強化了安全防範措施。一是對本單位資訊系統的賬戶、口令、軟體補丁等每週進行了一次清理檢查,及時更新和升級、杜絕了弱口令、弱密碼、消除了安全隱患。二是每臺計算機都安裝了防毒軟體,並定期進行病毒查殺、對作業系統存在的漏洞、防毒軟體配置不到位的計算機堅決斷掉網路連線,發現問題,及時上報、處理。三是對本單位有計算機的使用者進行了安全培訓和對每臺入網計算機的使用者、ip地址和物理MAC地址進行了登記造冊,由行政辦公室進行管理,此外,對涉密網路、涉密資訊系統、涉密計算機、由專人維護使用,並嚴禁接入網際網路,嚴禁與非涉密移動儲存介質交叉使用,確保資訊保安。
2、採取特殊管理措施。我辦一是關閉或刪除不必要的應用、服務、埠和連結,限制易被攻擊,禁止開啟不必要的網站。二是嚴格資訊釋出稽核,確保所釋出資訊內容的準確性和真實性。三嚴格執行資訊保安規定。嚴禁在非涉密計算機上處理、儲存、傳遞涉密資訊。嚴禁辦公內網與網際網路相連。嚴禁在網際網路上利用電子郵件系統傳遞涉密資訊。嚴禁在各種論壇、聊天室、部落格等釋出、談論涉密資訊。嚴禁利用qq等聊天工具傳送涉密資訊。
3、落實安全應急預案和應急演練,我辦已經做好各項準備
工作,對可能發生的各類資訊保安事件做到心中有數,進一步完善了資訊保安應急預案,明確應急處置流程,落實了應急技術支撐隊伍,把工作做深做細做在前面。積極組織開展了應急演練,檢驗了應急預案的可操作性,提高了應急處置能力。
二、資訊保安檢查發現的主要問題及整改情況
(一)存在的主要問題
1、資訊保安意識不夠。幹部職工的資訊保安教育還不夠,缺乏維護資訊保安主動性和自覺性。
2、裝置維護、更新還不夠及時。
3、專業技術人員少,資訊系統安全力量有限,資訊系統安全技術水平還有待提高。
4、資訊系統安全工作機制有待進一步完善。
(二)下一步的整改計劃
根據自查過程中發現的不足,同時結合我辦實際,將著重一下幾個方面進行整改。
1、要繼續加強對全辦幹部職工的資訊保安教育,提高做好安全工作的主動性和自覺性。
2、要切實增強資訊保安制度的落實工作,不定期的對安全制度執行情況進行檢查,對於導致不良後果的責任人,要嚴肅追進責任,從而提高人員安全防範意識。
3、要加強專業資訊科技人員的培養,進一步提高資訊保安
工作技術水平,便於我們進一步加強計算機資訊系統安全防範和保密工作。
4、要加大對線路、系統、網路裝置的維護和保養,同時,針對資訊科技發展迅速的特點,要加大系統裝置更新力度。
5、要創新完善資訊保安工作機制,進一步規範辦公秩序,提高資訊工作安全性。
三、對資訊保安檢查工作的建議和意見
希望市政府能夠經常組織有關資訊系統安全的培訓,從而進一步提高資訊系統管理工作人員的專業水平,從而進一步強化資訊系統的安全防範工作。
資訊保安隱患排查報告 [篇2]
北京市XXX辦公室接到《北京市XXX資訊化工作辦公室關於開展XXX年全XXX網路與資訊系統安全檢查工作的通知》後,我XXX領導十分重視,及時召集相關人員按照檔案要求,逐條落實,周密安排自查,對全XXX配備的所有計算機網路與資訊保安工作進行了自查,現將自查情況報告如下:
一、 領導高度重視,組織、部門健全
XXX領導班子高度重視資訊系統安全工作,本著“誰主管誰負責、誰執行誰負責、誰使用誰負責”的原則,成立了XXX資訊系統安全領導小組,區局一把手擔任領導小組組長,分管領導為副組長,下屬各單位負責人為成員。
各基層分部設立計算機管理員崗位,分別有責任心、取得全國計算機等級二級以上(含二級)證書、熟悉業務操作的人員擔任,負責本單位計算機軟、硬體及網路安全管理。對本單位計算機出現的.軟、硬體問題及時上報XXX資訊中心。結合本部門的資訊系統安全管理需求,不定期地對計算機管理員開展相關業務培訓。
二、結合XXX系統安全自查方案,認真開展自查工作
(一)安全管理方面:XXX制定了《XXX公文處理應急預案》、《XXX內部網站應急預案》、《XXX網路故障應急預案》、《XXX計算機機房執行維護管理辦法》,並著重落實上級部門下發的資訊保安政策、法規和規章制度。
確定資訊中心二名工作人員擔任資訊系統安全管理員,具體處理資訊系統安全的相關工作。
XXX中心機房於2015年建成,面積約90平方米,安裝了接地保護裝置,配備了手持式滅火器,配有兩臺櫃式空調,並確保空調24小時正常運轉。加強中心機房的供電管理,配備一臺專用的10KV UPS電源專供中心機房裝置使用,配備一臺專用的6KV UPS電源專供徵收大廳裝置使用,並定期對UPS電池效能進行相應測試。
XXX辦公網路已於2015年元月實行內、外網物理隔離,內外網均通過2套線路和隔離卡實現內外網切換。內網分為應用服務區與辦公區,通過一臺硬體防火牆進行對外與對外的訪問控制,所有內網伺服器與終端均安裝網路版病毒防火牆。外網通過硬體防火牆、上網行為管理工和防病毒閘道器實行訪問控制。局機關所有計算機安裝隔離卡進行內外網物理隔離,基層分局只在分局負責人計算機上安裝隔離卡實行內外網物理隔離,其他計算機只允許上內網。
(二)安全技術方面:XXX的網路通過租用聯通的專線,實現市局、區局及分局三級網路互聯,各基層分局通過路由交換和乙太網兩種方式按入區局,區局機關按股室按分VLAN。
XXX中心機房內網裝置目前有3臺華為2631路由器、2臺華為
3680路由器和3臺華為3552交換機為核心層,2臺華為3026交換機作為接入層。 除華為3552交換機有熱備份,其他網路裝置沒有冷、熱備份,通過2臺東軟硬體防火牆進一步加強網路安全管理。
XXX中心機房外網裝置目前有6臺華為3928交換機,2臺防病毒閘道器,2臺上網行為管理,2臺防火牆,另外租用網通地址,各基層分局以乙太網方式接入網際網路。
XXX共有伺服器8臺,7臺伺服器的作業系統為Windows 2000 Server SP4,1臺伺服器的作業系統為Windows 2003 Server,所有伺服器根據賬號策略設定使用者密碼,強化安全管理。
XXX所有內外網中的路由器和交換機均按照XXX網路執行管理規範進行命名管理,並對其使用者口令進行加密。內外網中的防火牆均設定訪問控制策略,提高系統的網路安全係數。
(三)工作用桌上型電腦、筆計本電腦和移動儲存介質檢查和加固: 及時更新臺式機和筆計本電腦的作業系統和應用程式補丁,禁用GUEST使用者組,統一安裝網路版瑞星防病毒軟體,並通過設定自動升級和定時對計算機進行掃描,對外接的USB裝置,必須進行病毒掃描。
三、存在的主要問題
通過本次自查發現,我XXX資訊系統存在不少安全隱患問題,主要有以下幾方面:
(一)安全保護意識有待增強,各種安全保護措施有待加強,部分管理人員的安全保護意識薄弱。
(二)資料的儲存及備份機制還不夠完善,存在資訊丟失的隱患,
存在移動儲存介質內外網混用,個別膝上型電腦存在內外網混用。
(三)重技術建設、輕安全保護。進行計算機資訊系統建設規劃時,主要考慮了業務需求和系統技術性能要求,沒有很好地將系統的安全保護措施一併考慮,造成安全保護工作相對滯後。
四、加強安全保護工作的意見和建議
根據資訊保安自查的情況,結合實際情況,現就加強XXX資訊系統安全工作,提出以下意見和建議:
(一)加強領導,提高對資訊系統安全重要性和緊迫性的認識。組織相關人員認真學習與資訊系統安全有關的管理規定,不斷增強資訊系統安全保護意識,做到認識到位、措施到位、管理到位。
(二)認真落實技術防範措施,著重落實以下等安全保護技術措施:
1、系統重要資料的冗餘或備份措施;
2、計算機病毒防治措施;
3、網路攻擊防範、追蹤措施;
4、研究有關內網補丁升級的措施。
(三)嚴格防範內外網移動儲存混用,加強對移動儲存的分類管理,嚴禁在外網機器處理或儲存涉稅檔案,嚴格執行內、外網物理隔離制度。
(四)停用內外到外網出口,瑞星防病毒託管伺服器升級下掛到市局。
(五)加強網路和安全裝置管理,調整網路和安全裝置配置,嚴
格網路訪問控制策略,保護網路安全。
(六)加強中心機房的管理工作,提高機房執行環境,保障裝置安全。
