資訊保安情況報告 篇一
我院在接到貴單位發來的《資訊系統安全等保限期整改通知書》後,院領導高度重視,責成資訊科按照要求進行整改,現在整改情況報告如下。
一、我院網路安全等級保護工作概況
根據上級主管部門和行業主管部門要求,我院高度重視並開展了網路安全等級保護相關工作,工作內容主要包含資訊系統梳理、定級、備案、等級保護測評、安全建設整改等。我院目前執行的主要資訊系統有:綜合業務資訊系統。綜合業務資訊系統是xx縣人民醫院核心醫療業務資訊系統的集合,系統功能模組主要包括醫院資訊系統(HIS)、檢驗資訊系統(LIS)、電子病歷系統(EMRS)、醫學影像資訊系統(PACS),其中醫院資訊系統(HIS)、檢驗資訊系統(LIS)、電子病歷系統(EMRS)由x弘揚軟體股份有限公司開發建設並提供技術支援,醫學影像資訊系統(PACS)由x中航資訊科技產業股份有限公司開發建設並提供技術支援。
我院已於20xx年11月完成了綜合業務資訊系統的定級、備案、等級保護測評、專家評審等工作,系統安全保護等級為第二級(S2A2G2),等級保護測評機構為x天祺資訊保安技術有限公司,等級保護測評結論為基本符合,綜合得分為76.02分。在測評過程中,資訊科已根據測評人員建議對能夠立即整改的安全問題進行了整改,如:伺服器安全加固、問控制策略調整、安裝防病毒軟體、增加安全產品等。目前我院正在進行入口網站的網路安全等級保護測評工作。
二、安全問題整改情況
此次整改報告中涉及到的資訊系統安全問題是我院於20xx年11月託x天祺公司對醫院資訊系統進行測評饋的內容,主要包括應用伺服器、資料庫伺服器作業系統漏洞和Oracle漏洞等。針對應用伺服器系統漏洞,我院及時與安全公司進行溝通,溝通後通過關閉部分系統服務和埠,更新必要的系統升級包等措施進行了及時的處理。針對Oracle資料庫存在的安全漏洞問題,我們與安全公司和軟體廠商進行了溝通,我院HIS系統於20xx年底投入使用,資料庫版本為Oracle 11g,投入執行時間較早,且部署於內網環境中未及時進行漏洞修復。
經過軟體開發廠商測試發現修復Oracle資料庫漏洞會影響HIS系統正常執行,並存在未知風險,為了既保證資訊系統安全穩定執行又降低資訊系統面臨的安全隱患,我們主要採取控制資料庫問許可權,切斷與伺服器不必要的連線、限制資料庫管理人員許可權等措施來降低資料庫安全漏洞造成的風險。具體措施為:第一由不同技術人員分別掌握資料庫伺服器和資料庫的管理許可權;第二資料庫伺服器僅允許有業務需求的應用伺服器連線,日常管理資料庫採用本地管理方式,資料庫不對外提供遠端問;第三對資料庫進行了安全加固,設定了強密碼、開啟了日誌審計功能、禁用了資料庫預設使用者等。
我院高度重視網路安全工作,醫院網路中先後配備了防火牆、防毒牆、入侵防禦、網路版防毒軟體、桌面終端管理等安全產品,並正在採購網閘、堡壘機、日誌審計等安全產品,同時組建了醫院網路安全小組,由三名技術人員負責網路安全管理工作,使我院網路安全管理水平幅提升。
“沒有網路安全,就沒有國家安全”。作為全縣醫療救治中心,醫院始終把資訊網路安全和醫療安全放在首位,不斷緊跟醫院發展和形勢需要,科學有效的推進網路安全建設工作,並接受各級主管部門的監督和管理。
資訊保安情況報告 篇二
為確保稅務系統網路和資訊保安,進一步加強網路新聞宣傳管理,有效防止蓄意攻擊、破壞網路資訊系統、傳播和貼上非法資訊等突發事件的發生。根據誰在負責,誰在執行,誰在使用”這個原則,對人是行得通的。國家局成立資訊保安檢查工作組,負責國家局各處室的安全檢查,主要採取各處室自查和部分處室抽查相結合的方式進行網路安全清理檢查。
一、風的現狀和風險
隨著伊犁州地稅系統資訊化建設的發展,基於計算機網路的徵管模式已經形成。總局-區局-地方(州、市)局-縣(市)局四級廣域網路已經建立並逐步延伸到基層徵管單位,地稅系統網路建設程序逐步加快。目前,伊犁地稅系統有廣域網節點700多個,聯網計算機700多臺。在完成繁重的稅收任務的同時,為了提高稅收徵管效率,更好地宣傳稅收工作,服務納稅人,各縣(市)稅務機關根據工作需要設立了上網網站。同時,與其他政府部門的聯網和資訊交流已部分實現。總之,網路和資訊系統已經成為整個稅收體系的重要組成部分,是關係國計民生的重要基礎設施。
隨著稅務資訊化建設的蓬勃發展,網路和資訊保安風險逐漸顯現。第一,隨著稅收的發展和業務系統的要求,各級稅務機關逐步實現了與外部相關部門的'聯網和資訊交流。此外,為了方便納稅人納稅,新疆地稅系統開通了網際網路申報、網上查詢等服務,地稅系統網路從完全封閉的內網變成了邏輯上與外網、網際網路隔離的網路。二是網路和資訊系統中的主機、路由器、交換機、作業系統等關鍵裝置大多采用國外產品,技術和安全風險較大。三是系統中計算機應用操作人員水平參差不齊,由於資金不足,安全防護裝置和技術手段不盡如人意。第四,利益驅動的敵對勢力和犯罪分子一直急於行動,對國家重要的財政金融部門構成極大威脅。以上幾個方面構成了稅務系統網路和資訊保安的主要風險。
二、是建立健全網路和資訊保安組織
為確保網路和資訊保安工作得到重視,各項措施能夠及時落實,伊犁地方稅務局成立了網路和資訊保安領導小組:
組長:
成員:
領導小組有辦公室,負責日常工作。主任是資訊處處長車,副主任是辦公室副主任王守峰。成員有:王紅星、劉中會、王鍾和王華。
三、建立健全網路和資訊保安責任制和規章制度
網路和資訊保安辦公室負責審查和監測該組織名稱內外網站上釋出的資訊;資訊辦負責網站的維護和技術支援,以及其他各類應用資訊系統的監控和維護;財務部負責相關財務支援;代理服務中心負責電力、空調、消防、防雷等基礎設施的監控和維護。
網路與資訊保安辦負責突發事件的協調工作,並根據事件嚴重程度起草報告上報領導小組、公安部門或上級部門或通報全系統;此外,還負責各類網站、應用系統、資料庫系統的監控與防範、應急處理和資料與系統恢復,以及網路系統的安全防範、應急處理和網路恢復、安全事件的事後追蹤。為做好國家直接稅系統網路安全自查工作,資訊辦於8月10日通過視訊培訓對全系統網路管理員進行了網路安全知識培訓。並部署網路安全自檢工作。
Kali完善了各種安全系統,包括:
(1)日誌管理系統;
(2)安全稽核制度;
(3)資料保護、安全備份和災難恢復計劃;
(4)機房等重要區域的門禁系統;
(5)硬體、軟體、網路和媒體的使用和維護系統;
(6)賬戶、密碼和通訊保密管理制度;
(7)預防、發現、報告和消除有害資料和計算機病毒的管理系統。
(8)個人電腦使用管理規定。
四、伊犁地方稅務局計算機網路管理
(1)區域網安裝了防火牆。同時為每臺電腦安裝了地區局統一配置的瑞星防毒軟體。鑑於登記號碼不足,向地區局申請了300個登記號碼。現在瑞星防毒軟體線上版可以同時上線550臺電腦,基本滿足伊犁地稅系統內網辦公需求。泉州內網計算機安裝的桌面審計系統達到95%,部分單位達到100%。定期安裝系統補丁增強了防篡改、防病毒、防攻擊、防癱瘓、防洩密等方面的有效性。
(2)加強涉密計算機和區域網內所有計算機的密碼設定,要求開機密碼、檔案處理密碼和採集管理軟體密碼必須混有不少於8位數字的字母和數字。同時,相互共享的計算機之間存在身份認證和訪問控制。
(3)內網計算機沒有非法接入網際網路等資訊網路;各單位辦稅服務大廳自助申報區安裝的網報專用電腦,應由網路管理員每天進行管理和檢查,防止利用網報機進行非法活動。
(4)已安裝移動儲存裝置專業防毒軟體,移動儲存裝置連線電腦前必須進行病毒掃描。稅務所、管理部門等經常接收外部資料的單位的電腦都裝有u盤病毒隔離器。
(5)對伺服器上的應用、服務、埠和鏈路進行檢查和加固。
(6)每天備份檔案處理和檔案管理軟體的資料庫,確保資料安全。嚴格收發檔案,要求資訊管理員定期對系統進行完整備份,燒錄光碟,異地儲存。
(7)不存在通過電子政務外網、網際網路郵箱和限時通訊工具處理、傳遞和轉發機密或敏感資訊的現象。
(8)制定詳細的應急預案,並隨著資訊化的深入,結合各局的實際情況,在今後不斷完善。
(9)國家局網路資訊釋出由辦公室專人管理,網上釋出的所有資訊均按規定進行稽核。
現有問題
根據通知中的具體要求,我們在自查過程中也發現了一些不足。同時,結合實際情況,今後要在以下幾個方面進行整改。
(1)需要加強安全意識。要繼續加強政府官員的安全意識教育,提高他們在安全工作中的主動性和自覺性。
(2)裝置維護和更新應及時。有必要增加線路和系統的及時維護,同時,鑑於資訊科技的快速發展,有必要加強更新。
(3)安全工作水平有待提高。資訊保安的管理和保護仍處於初級階段。提高安全工作的現代化水平將有助於我們進一步加強對計算機資訊系統安全的防範和保密。
(4)加強電腦保安意識教育和防範技能培訓,充分認識計算機洩密案件的嚴重性。將電腦保安防護知識融入實際工作中,而不是寫在紙上;人防與技防相結合,將電腦保安防護的技術措施作為保護資訊保安的無形屏障。
(5)工作機制需要改進。創新安全工作機制是資訊工作新形勢的必然要求,有利於提高網路資訊工作的執行效率,進一步規範辦公秩序。
資訊保安自查報告 篇三
市資訊化辦公室:
為進一步加強我局資訊保安工作水平,根據我市資訊化管理辦公室<鶴壁市人民政府關於印發20xx年責任目標的通知6號檔案精神,結合我局實際,我局對資訊系統安全情況進行了自查,自查情況如下:
一、自查情況
1、安全制度落實情況:
目前局(館)已制定了<鶴壁市檔案局(館)網路安全管理制度(試行)>、<鶴壁市檔案局(館)計算機資訊系統安全保密管理制度>、<鶴壁市檔案局(館)涉密人員管理制度>等制度並嚴格執行。局(館)的資訊管護人員負責資訊系統安全管理,密碼管理,且規定嚴禁外洩。進一步提升網站建設的服務水平,網站版式和技術標準合格,內容更新及時,局領導帶頭上網學習和提出網站建設新要求;完成了網站域名註冊和規範管理;及時辦理市長信箱有關我局事項;及時轉載市委、市政府重大活動和決策部署資訊,及時反饋本局貫徹落實上級決策、部署情況。網站資訊公開水平進一步提高開設了政務公開欄,按照政務公開的要求,分管辦公室的副局長負責進行內容、保密等審查,主動、及時公開本單位的重大活動、發展規劃、政策落實等資訊,並做到了專人時常更新,職工和群眾反應良好。
2、安全防範措施落實情況:
(1)涉密計算機經過了資訊系統安全技術檢查,並安裝了防火牆,同時配置安裝了專業防毒軟體,加強了在防篡改、防病毒、防攻擊、防癱瘓、防洩密等方面的有效性。
(2)涉密計算機資訊系統已建立,處於物理隔離未接入網際網路,除專人使用和管理之外任何人不得接觸或檢視涉密計算機資訊系統。禁止在非涉密計算機及資訊系統內儲存或流轉任何涉密檔案和內部敏感資訊,所有涉密檔案和內部敏感資訊一律儲存在涉密計算機資訊系統中。涉密計算機資訊系統配備單獨的移動儲存介質,不使用本局(館)內其他處室的移動儲存介質,禁止使用來歷不明或未經防毒的一切移動儲存介質。
(3)除政務資訊公開場所使用無線區域網外,局(館)其他一切硬體設施均採用有線連線,有效地避免了資訊在無線區域網中洩漏。
(4)各室在安裝防毒軟體時採用國家主管部門批准的查毒防毒軟體適時查毒和防毒,不使用來歷不明、未經防毒的軟體、軟盤、光碟、u盤等載體,不訪問非法網站,自覺嚴格控制和阻斷病毒來源。在單位外的u盤,不得攜帶到單位內使用,計算機在區域網中正常使用多功能一體機進行列印、掃描等,都是公開的、未涉密的。
3、應急響應機制建設情況:
(1)制定了初步應急預案,並處於不斷完善階段。
(2)對資訊系統資料進行定期備份,以降低或消除各種災難對正常工作的影響。
4、資訊科技產品應用情況:
使用防火牆、安全網閘與入侵檢測系統,有效保護資訊系統安全。
5、資訊保安教育培訓情況:
(1)我局不斷加強對計算機使用者的安全培訓工作,強化每一個使用者安全使用網路的能力,提高安全防範意識,對每臺入網計算機的使用者、ip地址進行登記造冊。
(2)組織人員參加網路安全員培訓。增強內部人員的資訊保安防護意識,有效提高局(館)的。資訊保安防護能力。
二、資訊保安檢查發現的主要問題及整改情況
1、目前存在的問題:
(1)規章制度體系初步建立,但還不夠完善,未能覆蓋資訊系統安全的所有方面。
(2)不少資訊系統使用人員安全意識不強,在管理上缺乏主動性和自覺性。
(3)網路安全技術管理人員配備較少,資訊系統安全方面投入的力量有限。
2、整改措施:
(1)再次檢查規章制度各個環節的安全策略與安全制度,並對其中不完善部分進行重新修訂與修改,切實增強資訊保安制度的落實工作,不定期對安全制度執行情況進行檢查。
(2)繼續加強人員的安全意識教育,提高人員安全工作的主動性和自覺性。
(3)加大對線路、系統等的及時維護和保養,加大更新力度。提高安全工作的現代化水平,便於進一步加強對計算機資訊系統安全的防範和資訊系統安全工作。
三、對資訊保安檢查工作的意見和建議
1、加強資訊網路安全技術人員培訓,使安全技術人員及時更新資訊網路安全管理知識。
2、加強人員的資訊保安意識,不斷地加強資訊系統安全管理和技術防範水平。
資訊保安情況報告 篇四
為了貫徹落實《關於開展網路與資訊保安檢查工作的通知》的精神,切實加強我局政務資訊系統執行管理和對外網站安全防範工作,嚴防攻擊、網路中斷、病毒傳播、資訊失竊密,為國慶xx週年慶祝活動的順利舉行創造良好的網路資訊環境,現就我局網路資訊保安自查自糾情況彙報如下:
一、高度重視,切實加強國慶xx週年慶祝活動期間網路資訊保安工作。我局接到區資訊辦下發的《關於開展網路與資訊保安檢查工作的通知》後,局領導班子高度重視,立即進行安排部署,落實責任,強化防護措施,加強對本單位網路和資訊系統的安全保護,做好我局內部網路和資訊系統的安全防範和安全檢查工作。
二、按要求嚴格落實網路資訊保安各項制度
1、責任制度。對網路資訊保安各項制度進行了全面梳理,重點抓好安全責任制、應急預案、值班值守、資訊釋出稽核等制度的落實。嚴格落實領導責任制,一把手親自過問,分管負責人直接抓,一級抓一級,層層抓落實。
2、原則要求。堅決執行“誰主管誰負責、誰執行誰負責、誰使用誰負責、誰釋出誰負責”的原則,認真履行網路資訊保安保障職責。
3、“五到位”。堅決做到領導、機構、人員、責任、措施“五到位”。健全安全工作機制,對發生重大安全責任事故的,要嚴肅追究相關人員的責任。
三、進一步強化安全防範措施
1、清查網站隱患。針對和應用系統的程序升級、賬戶、密碼、殺病毒、網站維護、政務網接入和執行等方面存在的突出問題,我們逐一進行清理、排查,能及時更新升級的更新升級,進一步強化安全防範措施,及時堵塞漏洞、消除隱患、化解風險。
2、嚴格執行網路資訊保安“五禁止”規定。能夠按要求禁止將涉密資訊系統接入國際網際網路及其他公共資訊網路,能夠禁止在沒有防護措施的情況下將國際網際網路等公共資訊網路上的資料拷貝到涉密資訊系統,能夠禁止將涉密與非涉密網路混用,能夠禁止將涉密與非涉密計算機、移動儲存裝置混用,能夠禁止使用具有無線互聯功能的裝置處理涉密資訊。
四、認真抓好網路資訊保安自查和整改
通過自查,我們發現我局網路與資訊系統安全隱患還是存在一些問題,我們將切實對涉及到的有關問題逐步解決,進一步加強網路資訊保安管理。