資訊保安情況報告 篇一
我院在接到貴單位發來的《資訊系統安全等保限期整改通知書》後,院領導高度重視,責成資訊科按照要求進行整改,現在整改情況報告如下。
一、我院網路安全等級保護工作概況
根據上級主管部門和行業主管部門要求,我院高度重視並開展了網路安全等級保護相關工作,工作內容主要包含資訊系統梳理、定級、備案、等級保護測評、安全建設整改等。我院目前執行的主要資訊系統有:綜合業務資訊系統。綜合業務資訊系統是xx縣人民醫院核心醫療業務資訊系統的集合,系統功能模組主要包括醫院資訊系統(HIS)、檢驗資訊系統(LIS)、電子病歷系統(EMRS)、醫學影像資訊系統(PACS),其中醫院資訊系統(HIS)、檢驗資訊系統(LIS)、電子病歷系統(EMRS)由x弘揚軟體股份有限公司開發建設並提供技術支援,醫學影像資訊系統(PACS)由x中航資訊科技產業股份有限公司開發建設並提供技術支援。
我院已於20xx年11月完成了綜合業務資訊系統的定級、備案、等級保護測評、專家評審等工作,系統安全保護等級為第二級(S2A2G2),等級保護測評機構為x天祺資訊保安技術有限公司,等級保護測評結論為基本符合,綜合得分為76.02分。在測評過程中,資訊科已根據測評人員建議對能夠立即整改的安全問題進行了整改,如:伺服器安全加固、問控制策略調整、安裝防病毒軟體、增加安全產品等。目前我院正在進行入口網站的網路安全等級保護測評工作。
二、安全問題整改情況
此次整改報告中涉及到的資訊系統安全問題是我院於20xx年11月託x天祺公司對醫院資訊系統進行測評饋的內容,主要包括應用伺服器、資料庫伺服器作業系統漏洞和Oracle漏洞等。針對應用伺服器系統漏洞,我院及時與安全公司進行溝通,溝通後通過關閉部分系統服務和埠,更新必要的系統升級包等措施進行了及時的處理。針對Oracle資料庫存在的安全漏洞問題,我們與安全公司和軟體廠商進行了溝通,我院HIS系統於20xx年底投入使用,資料庫版本為Oracle 11g,投入執行時間較早,且部署於內網環境中未及時進行漏洞修復。
經過軟體開發廠商測試發現修復Oracle資料庫漏洞會影響HIS系統正常執行,並存在未知風險,為了既保證資訊系統安全穩定執行又降低資訊系統面臨的安全隱患,我們主要採取控制資料庫問許可權,切斷與伺服器不必要的連線、限制資料庫管理人員許可權等措施來降低資料庫安全漏洞造成的風險。具體措施為:第一由不同技術人員分別掌握資料庫伺服器和資料庫的管理許可權;第二資料庫伺服器僅允許有業務需求的應用伺服器連線,日常管理資料庫採用本地管理方式,資料庫不對外提供遠端問;第三對資料庫進行了安全加固,設定了強密碼、開啟了日誌審計功能、禁用了資料庫預設使用者等。
我院高度重視網路安全工作,醫院網路中先後配備了防火牆、防毒牆、入侵防禦、網路版防毒軟體、桌面終端管理等安全產品,並正在採購網閘、堡壘機、日誌審計等安全產品,同時組建了醫院網路安全小組,由三名技術人員負責網路安全管理工作,使我院網路安全管理水平幅提升。
“沒有網路安全,就沒有國家安全”。作為全縣醫療救治中心,醫院始終把資訊網路安全和醫療安全放在首位,不斷緊跟醫院發展和形勢需要,科學有效的推進網路安全建設工作,並接受各級主管部門的監督和管理。
資訊保安情況報告 篇二
為確保稅務系統網路和資訊保安,進一步加強網路新聞宣傳管理,有效防止蓄意攻擊、破壞網路資訊系統、傳播和貼上非法資訊等突發事件的發生。根據誰在負責,誰在執行,誰在使用”這個原則,對人是行得通的。國家局成立資訊保安檢查工作組,負責國家局各處室的安全檢查,主要採取各處室自查和部分處室抽查相結合的方式進行網路安全清理檢查。
一、風的現狀和風險
隨著伊犁州地稅系統資訊化建設的發展,基於計算機網路的徵管模式已經形成。總局-區局-地方(州、市)局-縣(市)局四級廣域網路已經建立並逐步延伸到基層徵管單位,地稅系統網路建設程序逐步加快。目前,伊犁地稅系統有廣域網節點700多個,聯網計算機700多臺。在完成繁重的稅收任務的同時,為了提高稅收徵管效率,更好地宣傳稅收工作,服務納稅人,各縣(市)稅務機關根據工作需要設立了上網網站。同時,與其他政府部門的聯網和資訊交流已部分實現。總之,網路和資訊系統已經成為整個稅收體系的重要組成部分,是關係國計民生的重要基礎設施。
隨著稅務資訊化建設的蓬勃發展,網路和資訊保安風險逐漸顯現。第一,隨著稅收的發展和業務系統的要求,各級稅務機關逐步實現了與外部相關部門的'聯網和資訊交流。此外,為了方便納稅人納稅,新疆地稅系統開通了網際網路申報、網上查詢等服務,地稅系統網路從完全封閉的內網變成了邏輯上與外網、網際網路隔離的網路。二是網路和資訊系統中的主機、路由器、交換機、作業系統等關鍵裝置大多采用國外產品,技術和安全風險較大。三是系統中計算機應用操作人員水平參差不齊,由於資金不足,安全防護裝置和技術手段不盡如人意。第四,利益驅動的敵對勢力和犯罪分子一直急於行動,對國家重要的財政金融部門構成極大威脅。以上幾個方面構成了稅務系統網路和資訊保安的主要風險。
二、是建立健全網路和資訊保安組織
為確保網路和資訊保安工作得到重視,各項措施能夠及時落實,伊犁地方稅務局成立了網路和資訊保安領導小組:
組長:
成員:
領導小組有辦公室,負責日常工作。主任是資訊處處長車,副主任是辦公室副主任王守峰。成員有:王紅星、劉中會、王鍾和王華。
三、建立健全網路和資訊保安責任制和規章制度
網路和資訊保安辦公室負責審查和監測該組織名稱內外網站上釋出的資訊;資訊辦負責網站的維護和技術支援,以及其他各類應用資訊系統的監控和維護;財務部負責相關財務支援;代理服務中心負責電力、空調、消防、防雷等基礎設施的監控和維護。
網路與資訊保安辦負責突發事件的協調工作,並根據事件嚴重程度起草報告上報領導小組、公安部門或上級部門或通報全系統;此外,還負責各類網站、應用系統、資料庫系統的監控與防範、應急處理和資料與系統恢復,以及網路系統的安全防範、應急處理和網路恢復、安全事件的事後追蹤。為做好國家直接稅系統網路安全自查工作,資訊辦於8月10日通過視訊培訓對全系統網路管理員進行了網路安全知識培訓。並部署網路安全自檢工作。
Kali完善了各種安全系統,包括:
(1)日誌管理系統;
(2)安全稽核制度;
(3)資料保護、安全備份和災難恢復計劃;
(4)機房等重要區域的門禁系統;
(5)硬體、軟體、網路和媒體的使用和維護系統;
(6)賬戶、密碼和通訊保密管理制度;
(7)預防、發現、報告和消除有害資料和計算機病毒的管理系統。
(8)個人電腦使用管理規定。
四、伊犁地方稅務局計算機網路管理
(1)區域網安裝了防火牆。同時為每臺電腦安裝了地區局統一配置的瑞星防毒軟體。鑑於登記號碼不足,向地區局申請了300個登記號碼。現在瑞星防毒軟體線上版可以同時上線550臺電腦,基本滿足伊犁地稅系統內網辦公需求。泉州內網計算機安裝的桌面審計系統達到95%,部分單位達到100%。定期安裝系統補丁增強了防篡改、防病毒、防攻擊、防癱瘓、防洩密等方面的有效性。
(2)加強涉密計算機和區域網內所有計算機的密碼設定,要求開機密碼、檔案處理密碼和採集管理軟體密碼必須混有不少於8位數字的字母和數字。同時,相互共享的計算機之間存在身份認證和訪問控制。
(3)內網計算機沒有非法接入網際網路等資訊網路;各單位辦稅服務大廳自助申報區安裝的網報專用電腦,應由網路管理員每天進行管理和檢查,防止利用網報機進行非法活動。
(4)已安裝移動儲存裝置專業防毒軟體, 移動儲存裝置連線電腦前必須進行病毒掃描。稅務所、管理部門等經常接收外部資料的單位的電腦都裝有u盤病毒隔離器。
(5)對伺服器上的應用、服務、埠和鏈路進行檢查和加固。
(6)每天備份檔案處理和檔案管理軟體的資料庫,確保資料安全。嚴格收發檔案,要求資訊管理員定期對系統進行完整備份,燒錄光碟,異地儲存。
(7)不存在通過電子政務外網、網際網路郵箱和限時通訊工具處理、傳遞和轉發機密或敏感資訊的現象。
(8)制定詳細的應急預案,並隨著資訊化的深入,結合各局的實際情況,在今後不斷完善。
(9)國家局網路資訊釋出由辦公室專人管理,網上釋出的所有資訊均按規定進行稽核。
現有問題
根據通知中的具體要求,我們在自查過程中也發現了一些不足。同時,結合實際情況,今後要在以下幾個方面進行整改。
(1)需要加強安全意識。要繼續加強政府官員的安全意識教育,提高他們在安全工作中的主動性和自覺性。
(2)裝置維護和更新應及時。有必要增加線路和系統的及時維護,同時,鑑於資訊科技的快速發展,有必要加強更新。
(3)安全工作水平有待提高。資訊保安的管理和保護仍處於初級階段。提高安全工作的現代化水平將有助於我們進一步加強對計算機資訊系統安全的防範和保密。
(4)加強電腦保安意識教育和防範技能培訓,充分認識計算機洩密案件的嚴重性。將電腦保安防護知識融入實際工作中,而不是寫在紙上;人防與技防相結合,將電腦保安防護的技術措施作為保護資訊保安的無形屏障。
(5)工作機制需要改進。創新安全工作機制是資訊工作新形勢的必然要求,有利於提高網路資訊工作的執行效率,進一步規範辦公秩序。