導(dǎo)語：在網(wǎng)絡(luò)安全整改報告的撰寫旅程中，學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑，好期刊匯集了九篇優(yōu)秀范文，愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感，引領(lǐng)您探索更多的創(chuàng)作可能。

第1篇

一、組織安排。xx隊組織成立自查工作小組，組長為隊長xxx擔任，由兼職信息系統(tǒng)責任、運行維護和信息安全管理科室的辦公室人員組成自查工作小組工作人員，按照自查任務(wù)要求，制定具體自查方案，明確本地檢查對象和具體要求，落實各項保障措施，開展自查工作，撰寫自查報告，并填寫相應(yīng)自查表。

二、制度檢查。自查工作小組根據(jù)《關(guān)于開展重要信息系統(tǒng)及重點網(wǎng)站安全檢查工作的通知》，對前郭隊的網(wǎng)絡(luò)安全工作的基本情況以及網(wǎng)站的安全保護情況的相關(guān)制度進行了檢查，現(xiàn)有制度有：網(wǎng)絡(luò)與信息安全管理制度、內(nèi)網(wǎng)計算機與互聯(lián)網(wǎng)連接制度、終端計算機安全管理制度、桌面安全管理系統(tǒng)制度及其他網(wǎng)絡(luò)安全管理手段及措施制度。及時發(fā)現(xiàn)了問題，要求建立健全信息安全年度預(yù)算制度、信息安全發(fā)展規(guī)劃。

三、完備設(shè)施。自建互聯(lián)網(wǎng)局域網(wǎng)網(wǎng)絡(luò)安全防護措施：xx隊接入互聯(lián)網(wǎng)出口數(shù)量只有一個；終端計算機已安裝有效的防病毒軟件；終端計算機已設(shè)置管理員口令；有專門封網(wǎng)計算機可處理涉密信息；機房安全中防盜、消防、供電相關(guān)設(shè)施完備。

第2篇

一、加強領(lǐng)導(dǎo)，成立了網(wǎng)絡(luò)與信息安全工作領(lǐng)導(dǎo)小組

為進一步加強全局網(wǎng)絡(luò)信息系統(tǒng)安全管理工作，我局成立了網(wǎng)絡(luò)與信息系統(tǒng)安全保密工作領(lǐng)導(dǎo)小組，由局長任組長，下設(shè)辦公室，做到分工明確,責任具體到人。確保網(wǎng)絡(luò)信息安全工作順利實施。

二、我局網(wǎng)絡(luò)安全現(xiàn)狀

我局的統(tǒng)計信息自動化建設(shè)從一九九七年開始，經(jīng)過不斷發(fā)展，逐漸由原來的小型局域網(wǎng)發(fā)展成為目前與國家局、自治區(qū)局以及縣區(qū)局實現(xiàn)四級互聯(lián)互通網(wǎng)絡(luò)。網(wǎng)絡(luò)核心采用思科7600和3600交換機，數(shù)據(jù)中心采用3COM4226交換機，匯集層采用3COM4226交換機、思科2924交換機和聯(lián)想天工iSpirit1208E交換機，總共可提供150多個有線接入點，目前為止已使用80個左右。數(shù)據(jù)中心骨干為千兆交換式，百兆交換到桌面。因特網(wǎng)出口統(tǒng)一由市信息辦提供，為雙百兆光纖；與自治區(qū)統(tǒng)計局采用2兆光纖直聯(lián)，各縣區(qū)統(tǒng)計局及三個開發(fā)區(qū)統(tǒng)計局采用天融信VPN虛擬專用網(wǎng)絡(luò)軟件從互聯(lián)網(wǎng)上連接進入到自治區(qū)統(tǒng)計局的網(wǎng)絡(luò)，VPN入口總帶寬為4兆，然后再連接到我局。橫向方面，積極推進市統(tǒng)計局與政府網(wǎng)互聯(lián)，目前已經(jīng)實現(xiàn)與100多家市級黨政部門和12個縣區(qū)政府的光纖連接。我局采用天融信硬件防火墻對網(wǎng)絡(luò)進行保護，采用偉思網(wǎng)絡(luò)隔離卡和文件防彈衣軟件對重點計算機進行單機保護，安裝正版金山毒霸網(wǎng)絡(luò)版殺毒軟件，對全局計算機進行病毒防治。

三、我局網(wǎng)絡(luò)信息化安全管理

為了做好信息化建設(shè)，規(guī)范統(tǒng)計信息化管理，我局專門制訂了《*市統(tǒng)計局信息化規(guī)章制度》，對信息化工作管理、內(nèi)部電腦安全管理、機房管理、機房環(huán)境安全管理、計算機及網(wǎng)絡(luò)設(shè)備管理、數(shù)據(jù)、資料和信息的安全管理、網(wǎng)絡(luò)安全管理、計算機操作人員管理、網(wǎng)站內(nèi)容管理、網(wǎng)站維護責任等各方面都作了詳細規(guī)定，進一步規(guī)范了我局信息安全管理工作。

針對計算機保密工作，我局制定了《計算機管理制度》，并由計算機使用人員簽訂了《*市統(tǒng)計局計算機保密工作崗位責任書》，對計算機使用做到“誰使用誰負責”；對我局內(nèi)網(wǎng)產(chǎn)生的數(shù)據(jù)信息進行嚴格、規(guī)范管理。

此外，我局在全局范圍內(nèi)每年都組織相關(guān)計算機安全技術(shù)培訓(xùn)，計算站的同志還積極參加市信息辦及其他計算機安全技術(shù)培訓(xùn)，提高了網(wǎng)絡(luò)維護以及安全防護技能和意識，有力地保障我局統(tǒng)計信息網(wǎng)絡(luò)正常運行。

四、網(wǎng)絡(luò)安全存在的不足及整改措施

目前，我局網(wǎng)絡(luò)安全仍然存在以下幾點不足：

一是安全防范意識較為薄弱；

二是病毒監(jiān)控能力有待提高；

三是遇到惡意攻擊、計算機病毒侵襲等突發(fā)事件處理不夠及時。

針對目前我局網(wǎng)絡(luò)安全方面存在的不足，提出以下幾點整改辦法：

第3篇

根據(jù)《廣電總局辦公廳貫徹落實國務(wù)院辦公廳關(guān)于開展重點領(lǐng)域網(wǎng)絡(luò)與信息安全檢查行動的通知》文件精神，我臺在青島市文廣新局的統(tǒng)一部署下，對本臺網(wǎng)絡(luò)與信息安全情況進行了自查，現(xiàn)匯報如下：

一、信息安全自查工作組織開展情況

1、成立了信息安全檢查行動小組。由臺長任組長，分管領(lǐng)導(dǎo)為副組長，相關(guān)科室負責人為組員的行動小組，負責對全臺的重要信息系統(tǒng)的全面指揮、排查并填記有關(guān)報表、建檔留存等。

2、信息安全檢查小組對照網(wǎng)絡(luò)與信息系統(tǒng)的實際情況進行了逐項排查、確認，并對自查結(jié)果進行了全面的核對、分析，提高了對全臺網(wǎng)絡(luò)與信息安全狀況的掌控。

二、信息安全工作情況

1、8月6日完成信息系統(tǒng)的自查工作部署，并研究制定自查實施方案，根據(jù)所承擔的業(yè)務(wù)要求和網(wǎng)絡(luò)邊界安全性對硬盤播出系統(tǒng)、非線性編輯系統(tǒng)、XX有線電視傳輸系統(tǒng)進行全面的梳理并綜合分析。

2、8月7日對硬盤播出系統(tǒng)、非線性編輯系統(tǒng)、XX有線電視傳輸系統(tǒng)進行了細致的自查工作。

(1)系統(tǒng)安全自查基本情況

硬盤播出系統(tǒng)為實時性系統(tǒng)，對主要業(yè)務(wù)影響較高。目前擁有DELL服務(wù)器5臺、惠普服務(wù)器2臺、cisco交換機2臺，操作系統(tǒng)均采用windows系統(tǒng)，數(shù)據(jù)庫采用SQLServer，災(zāi)備情況為數(shù)據(jù)級災(zāi)備，該系統(tǒng)不與互聯(lián)網(wǎng)連接。

非線性編輯系統(tǒng)為非實時性系統(tǒng)，對主要業(yè)務(wù)影響較高。目前擁有DELL服務(wù)器6臺、華為交換機1臺，網(wǎng)關(guān)采用 UNIX操作系統(tǒng)，數(shù)據(jù)庫采用SQLServer，災(zāi)備情況為數(shù)據(jù)災(zāi)備，該系統(tǒng)不與互聯(lián)網(wǎng)連接，安全防護策略采用默認規(guī)則。

XX有線電視傳輸系統(tǒng)為實時性系統(tǒng)，對主要業(yè)務(wù)影響高，災(zāi)備情況為數(shù)據(jù)災(zāi)備，該系統(tǒng)不與互聯(lián)網(wǎng)連接。

(2)、安全管理自查情況

人員管理方面，指定專職信息安全員,成立信息安全管理機構(gòu)和信息安全專職工作機構(gòu)。重要崗位人員全部簽訂安全保密協(xié)議，制定了《人員離職離崗安全規(guī)定》、《外部人員訪問審批表》。

資產(chǎn)管理方面，指定了專人進行資產(chǎn)管理，完善了《資產(chǎn)管理制度》、《設(shè)備維修維護和報廢管理制度》，建立了《設(shè)備維修維護記錄表》。

存儲介質(zhì)管理方面，完善了《存儲介質(zhì)管理制度》，建立了《存儲介質(zhì)管理記錄表》。

(3)、網(wǎng)絡(luò)與信息安全培訓(xùn)情況

制定了《XX市廣播電視臺信息安全培訓(xùn)計劃》，2019年上半年組織信息安全教育培訓(xùn)2次，接受信息安全培訓(xùn)人數(shù)40人，站單位中人數(shù)的20%。組織信息安全管理和技術(shù)人員參加專業(yè)培訓(xùn)4次。

信息安全檢查總結(jié)報告范文二：

按照《關(guān)于組織開展20xx年全市政府信息系統(tǒng)安全檢查工作的通知》(鎮(zhèn)信安聯(lián)辦【20xx】5號)要求，我局高度重視，立即組織開展全局范圍的信息系統(tǒng)安全檢查工作?，F(xiàn)將自查情況匯報如下。

我局信息系統(tǒng)運轉(zhuǎn)以來，能嚴格按照上級部門要求，積極完善各項安全制度、充分加強信息化安全工作人員教育培訓(xùn)、全面落實安全防范措施、全力保障信息安全工作經(jīng)費，信息安全風險得到有效降低，應(yīng)急處置能力得到切實提高，保證了政府信息系統(tǒng)持續(xù)安全穩(wěn)定運行。

一、信息安全組織管理工作情況

我局高度重視信息系統(tǒng)安全工作，成立有由主要領(lǐng)導(dǎo)任組長、分管領(lǐng)導(dǎo)任副組長、各處室負責人為組員組成的局信息安全工作領(lǐng)導(dǎo)小組，明確了局辦公室為主要職能部門，確定了一名兼職信息安全員，召開了由分管領(lǐng)導(dǎo)、信息安全工作職能部門和重點部門負責人參加的會議，對上級有關(guān)文件進行了認真學(xué)習(xí)，對自查工作進行了周密的部署，確定了自查任務(wù)和人員分工，真正做到領(lǐng)導(dǎo)到位、機構(gòu)到位、人員到位、責任到位、措施到位。為確保我局網(wǎng)絡(luò)信息安全工作有效順利開展，我局要求以各處室、下屬單位為單位認真組織學(xué)習(xí)相關(guān)法律、法規(guī)和網(wǎng)絡(luò)信息安全的相關(guān)知識，使全體人員都能正確領(lǐng)會信息安全工作的重要性，都能掌握計算機安全使用的規(guī)定要求，都能正確的使用計算機網(wǎng)絡(luò)和各類信息系統(tǒng)。

二、日常信息安全管理工作情況

我局在以前建立一系列信息安全制度的基礎(chǔ)上，針對信息安全工作的特點，結(jié)合我局實際，重新修訂了一系列信息安全制度和程序，做到按制度辦事，提高執(zhí)行力。按照市政府和市經(jīng)信委要求，我局與計算機維保單位重新簽訂了服務(wù)協(xié)議，增加了信息安全與保密協(xié)議內(nèi)容。同時我局還與全局所有工作人員簽訂了安全保密協(xié)議。我局對涉密計算機和涉密移動存儲介質(zhì)高度關(guān)注，對所有涉密計算機和涉密移動存儲介質(zhì)全部進行編號在冊統(tǒng)一管理，明確責任人和保管人，對涉密信息系統(tǒng)的使用進行多次重點檢查，強化涉密人員管理，嚴格執(zhí)行涉密計算機和涉密移動存儲介質(zhì)的相關(guān)管理制度，專門為涉密人員配發(fā)了帶有硬件鎖的U盤，嚴禁在涉密和非涉密信息系統(tǒng)間混用移動存儲介質(zhì)等等。對非涉密計算機的保密系統(tǒng)和防火墻、殺毒軟件等皆為國產(chǎn)產(chǎn)品，公文處理軟件使用微軟公司的正版office系統(tǒng)，信息系統(tǒng)的第三方服務(wù)外包均為國內(nèi)公司。

三、信息安全防護管理工作情況

我局網(wǎng)絡(luò)系統(tǒng)的組成結(jié)構(gòu)及其配置合理，并符合有關(guān)的安全規(guī)定;網(wǎng)絡(luò)使用的各種硬件設(shè)備、軟件和網(wǎng)絡(luò)接口是也過安全檢驗、鑒定合格后才投入使用的，自安裝以來運轉(zhuǎn)基本正常。我局經(jīng)常開展信息安全檢查工作，主要對操作系統(tǒng)補丁安裝、應(yīng)用程序補丁安裝、防病毒軟件安裝與升級、木馬病毒檢測、網(wǎng)頁篡改情況等進行監(jiān)管，認真做好系統(tǒng)安全日記。今年，我局在市政府辦的指導(dǎo)下試運行協(xié)同辦公系統(tǒng)，投入10多萬元為所有局領(lǐng)導(dǎo)、各處室配置了內(nèi)網(wǎng)計算機，為涉密處室另配備了涉密計算機，從硬件上加強了涉密信息系統(tǒng)管理。

四、信息安全應(yīng)急管理工作情況

我局認真做好各項準備工作，對可能發(fā)生的各類信息安全事件做到心中有數(shù)，進一步完善了信息安全應(yīng)急預(yù)案，明確應(yīng)急處置流程，落實了應(yīng)急技術(shù)支撐隊伍，把工作做深做細做在前面。

五、信息安全教育培訓(xùn)工作情況

我局針對信息管理人員實際情況，每年開展信息化教育培訓(xùn)，以掌握信息化管理技能為目的進行實踐操作能力培訓(xùn)。還組織有關(guān)工作人員參加了相關(guān)信息安全培訓(xùn)，職工信息安全意識得到有效提高。

六、信息安全專項檢查工作情況

目前我局在市行政中心大樓內(nèi)辦公，網(wǎng)絡(luò)和信息系統(tǒng)便于統(tǒng)一管理，內(nèi)外網(wǎng)完全物理隔離，內(nèi)網(wǎng)計算機均在有效管理范圍內(nèi)。局信息安全工作領(lǐng)導(dǎo)小組針對我局的信息安全形勢，定期組織由專業(yè)技術(shù)人員組成的檢查小組到各個辦公室專項檢查網(wǎng)絡(luò)和信息安全情況，仔細排查信息系統(tǒng)的漏洞和安全隱患，用專用工具查殺木馬、病毒，及時加強防范措施，為所有計算機安裝了正版殺毒軟件和防火墻，有效提高了計算機和網(wǎng)絡(luò)防范、抵御風險的能力。此外，檢查小組針對個別在市行政中心大樓外辦公的處室進行了上門檢查，不放過任何信息安全死角。在檢查的同時，檢查小組還就信息安全知識進行了上門培訓(xùn)。經(jīng)多次檢查，我局信息系統(tǒng)總體情況良好，運行正常，未發(fā)現(xiàn)重大隱患。

七、信息安全檢查工作發(fā)現(xiàn)的主要問題及整改情況

(一)存在的主要問題

一是專業(yè)技術(shù)人員較少，信息系統(tǒng)安全方面可投入的力量有限。

二是規(guī)章制度體系初步建立，但還不完善，未能覆蓋到信息系統(tǒng)安全的所有方面。

三是遇到計算機病毒侵襲等突發(fā)事件處理不夠及時。

(二)下一步工作打算

根據(jù)自查過程中發(fā)現(xiàn)的不足，同時結(jié)合我局實際，將著重以下幾個方面進行整改：

一是進一步擴大對計算機安全知識的培訓(xùn)面，組織信息員和干部職工進行培訓(xùn)。

二是要切實增強信息安全制度的落實工作，不定期的對安全制度執(zhí)行情況進行檢查，從而提高人員安全防護意識。

三是要以制度為根本，在進一步完善信息安全制度的同時，安排專人，完善設(shè)施，密切監(jiān)測，隨時隨地解決可能發(fā)生的信息安全事故。

信息安全檢查總結(jié)報告范文三：

根據(jù)**市人民政府辦公室《關(guān)于開展政府信息系統(tǒng)安全的檢查的通知》(天政電[20xx]52號)文件精神。我鎮(zhèn)對本鎮(zhèn)信息系統(tǒng)安全情況進行了自查，現(xiàn)匯報如下：

一、自查情況

(一)安全制度落實情況

1、成立了安全小組。明確了信息安全的主管領(lǐng)導(dǎo)和具體負責管護人員,安全小組為管理機構(gòu)。

2、建立了信息安全責任制。按責任規(guī)定:保密小組對信息安全負首責，主管領(lǐng)導(dǎo)負總責，具體管理人負主責。

3、制定了計算機及網(wǎng)絡(luò)的保密管理制度。鎮(zhèn)網(wǎng)站的信息管護人員負責保密管理，密碼管理，對計算機享有獨立使用權(quán)，計算機的用戶名和開機密碼為其專有，且規(guī)定嚴禁外泄。

(二)安全防范措施落實情況

1、涉密計算機經(jīng)過了保密技術(shù)檢查，并安裝了防火墻。同時配置安裝了專業(yè)殺毒軟件，加強了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面有效性。

2、涉密計算機都設(shè)有開機密碼，由專人保管負責。同時，涉密計算機相互共享之間沒有嚴格的身份認證和訪問控制。

3、網(wǎng)絡(luò)終端沒有違規(guī)上國際互聯(lián)網(wǎng)及其他的信息網(wǎng)的現(xiàn)象，沒有安裝無線網(wǎng)絡(luò)等。

4、安裝了針對移動存儲設(shè)備的專業(yè)殺毒軟件。

(三)應(yīng)急響應(yīng)機制建設(shè)情況

1、制定了初步應(yīng)急預(yù)案，并隨著信息化程度的深入，結(jié)合我鎮(zhèn)實際，處于不斷完善階段。

2、堅持和涉密計算機系統(tǒng)定點維修單位聯(lián)系機關(guān)計算機維修事宜，并商定其給予鎮(zhèn)應(yīng)急技術(shù)以最大程度的支持。

3、嚴格文件的收發(fā)，完善了清點、修理、編號、簽收制度，并要求信息管理員每天下班前進行系統(tǒng)備份。

(四)信息技術(shù)產(chǎn)品和服務(wù)國產(chǎn)化情況

1、終端計算機的保密系統(tǒng)和防火墻、殺毒軟件等，皆為國產(chǎn)產(chǎn)品。

2、公文處理軟件具體使用金山軟件的wps系統(tǒng)。

3、工資系統(tǒng)、年報系統(tǒng)等皆為市政府、市委統(tǒng)一指定產(chǎn)品系統(tǒng)。

(五)安全教育培訓(xùn)情況

1、派專人參加了市政府組織的網(wǎng)絡(luò)系統(tǒng)安全知識培訓(xùn)，并專門負責我鎮(zhèn)的網(wǎng)絡(luò)安全管理和信息安全工作。

2、安全小組組織了一次對基本的信息安全常識的學(xué)習(xí)活動。

二、自查中發(fā)現(xiàn)的不足和整改意見

根據(jù)《通知》中的具體要求，在自查過程中我們也發(fā)現(xiàn)了一些不足，同時結(jié)合我鎮(zhèn)實際，今后要在以下幾個方面進行整改。

1、安全意識不夠。要繼續(xù)加強對機關(guān)干部的安全意識教育，提高做好安全工作的主動性和自覺性。

2、設(shè)備維護、更新及時。要加大對線路、系統(tǒng)等的及時維護和保養(yǎng)，同時，針對信息技術(shù)的飛快發(fā)展的特點，要加大更新力度。

3、安全工作的水平還有待提高。對信息安全的管護還處于初級水平，提高安全工作的現(xiàn)代化水平，有利于我們進一步加強對計算機信息系統(tǒng)安全的防范和保密工作。

4、工作機制有待完善。創(chuàng)新安全工作機制，是信息工作新形勢的必然要求，這有利于提高機關(guān)網(wǎng)絡(luò)信息工作的運行效率，有利于辦公秩序的進一步規(guī)范。

信息安全檢查總結(jié)報告范文四：

根據(jù)《衡陽市人民政府辦公室關(guān)于開展全市重點領(lǐng)域網(wǎng)絡(luò)與信息安全檢查的通知》精神，xx月10日，由市電政辦牽頭，組織對全市政府信息系統(tǒng)進行自查工作，現(xiàn)將自查情況總結(jié)如下：

一、網(wǎng)絡(luò)與信息安全自查工作組織開展情況

xx月10日起，由市電政辦牽頭，對各市直各單位當前網(wǎng)絡(luò)與信息安全進行了一次全面的調(diào)查，此次調(diào)查工作以各單位自查為主，市電政辦抽查為輔的方式進行。自查的重點包括：電政辦中心機房網(wǎng)絡(luò)檢修、黨政門戶網(wǎng)維護密碼防護升級，市直各單位的信息系統(tǒng)的運行情況摸底調(diào)查、市直各單位客戶機病毒檢測，市直各單位網(wǎng)絡(luò)數(shù)據(jù)流量監(jiān)控和數(shù)據(jù)分析等。

二、信息安全工作情況

通過上半年電政辦和各單位的努力，我市在網(wǎng)絡(luò)與信息安全方面主要完成了以下工作：

1、所有接入市電子政務(wù)網(wǎng)的系統(tǒng)嚴格遵照規(guī)范實施，我辦根據(jù)《常寧市黨政門戶網(wǎng)站信息審核制度》、《常寧市網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案》、《“中國?常寧”黨政門戶網(wǎng)站值班讀網(wǎng)制度》、《"中國?常寧”黨政門戶網(wǎng)站應(yīng)急管理預(yù)案》等制度要求，定期組織開展安全檢查，確保各項安全保障措施落實到位。

2、組織信息安全培訓(xùn)。面向市直政府部門及信息安全技術(shù)人員進行了網(wǎng)站滲透攻擊與防護、病毒原理與防護等專題培訓(xùn)，提高了信息安全保障技能。

3、加強對黨政門戶網(wǎng)站巡檢。定期對各部門子網(wǎng)站進行外部web安全檢查，出具安全風險掃描報告，并協(xié)助、督促相關(guān)部門進行安全加固。

4、做好重要時期信息安全保障。采取一系列有效措施，實行24小時值班制及安全日報制，與重點部門簽訂信息安全保障承諾書，加強互聯(lián)網(wǎng)出口訪問的實時監(jiān)控，確保xx大期間信息系統(tǒng)安全。

三、自查發(fā)現(xiàn)的主要問題和面臨的威脅分析

通過這次自查，我們也發(fā)現(xiàn)了當前還存在的一些問題：

1、部分單位規(guī)章制度不夠完善，未能覆蓋信息系統(tǒng)安全的所有方面。

2、少數(shù)單位的工作人員安全意識不夠強，日常運維管理缺乏主動性和自覺性，在規(guī)章制度執(zhí)行不嚴、操作不規(guī)范的情況。

3、存在計算機病毒感染的情況，特別是U盤、移動硬盤等移動存儲設(shè)備帶來的安全問題不容忽視。

4、信息安全經(jīng)費投入不足，風險評估、等級保護等有待加強。

5、信息安全管理人員信息安全知識和技能不足，主要依靠外部安全服務(wù)公司的力量。

四、改進措施和整改結(jié)果

在認真分析、總結(jié)前期各單位自查工作的基礎(chǔ)上，xx月12日，我辦抽調(diào)3名同志組成檢查組，對部分市直機關(guān)的重要信息系統(tǒng)安全情況進行抽查。檢查組共掃描了18個單位的門戶網(wǎng)站，采用自動和人工相結(jié)合的方式對15臺重要業(yè)務(wù)系統(tǒng)服務(wù)器、46臺客戶端、10臺交換機和10臺防火墻進行了安全檢查。

檢查組認真貫徹“檢查就是服務(wù)”的理念，按照《衡陽市人民政府辦公室關(guān)于開展全市重點領(lǐng)域網(wǎng)絡(luò)與信息安全檢查的通知》要求對抽查單位進行了細致周到的安全巡檢，提供了一次全面的安全風險評估服務(wù)，受到了服務(wù)單位的歡迎和肯定。檢查從自查情況核實到管理制度落實，從網(wǎng)站外部安全掃描到重要業(yè)務(wù)系統(tǒng)安全檢測，從整體網(wǎng)絡(luò)安全評測到機房物理環(huán)境實地勘查，全面了解了各單位信息安全現(xiàn)狀，發(fā)現(xiàn)了一些安全問題，及時消除了一些安全隱患，有針對性地提出了整改建議，督促有關(guān)單位對照報告認真落實整改。通過信息安全檢查，使各單位進一步提高了思想認識，完善了安全管理制度，強化了安全防范措施，落實了安全問題的整改，全市安全保障能力顯著提高。

五、關(guān)于加強信息安全工作的意見和建議

針對上述發(fā)現(xiàn)的問題，我市積極進行整改，主要措施有：

1、對照《衡陽市人民政府辦公室關(guān)于開展全市重點領(lǐng)域網(wǎng)絡(luò)與信息安全檢查的通知》要求，要求各單位進一步完善規(guī)章制度，將各項制度落實到位。

2、繼續(xù)加大對機關(guān)全體工作人員的安全教育培訓(xùn)，提高信息安全技能，主動、自覺地做好安全工作。

3、加強信息安全檢查，督促各單位把安全制度、安全措施切實落實到位，對于導(dǎo)致不良后果的安全事件責任人，要嚴肅追究責任。

4、繼續(xù)完善信息安全設(shè)施，密切監(jiān)測、監(jiān)控電子政務(wù)網(wǎng)絡(luò)，從邊界防護、訪問控制、入侵檢測、行為審計、防毒防護、網(wǎng)站保護等方面建立起全方位的安全防護體系。

5、加大應(yīng)急管理工作推進力度，在全市信息安全員隊伍的基礎(chǔ)上組建一支應(yīng)急支援技術(shù)隊伍，加強部門間協(xié)作，完善應(yīng)急預(yù)案，做好應(yīng)急演練，將安全事件的影響降到最低。

信息安全檢查總結(jié)報告范文五：

按照盟信息化領(lǐng)導(dǎo)小組《關(guān)于20xx年我盟開展重點領(lǐng)域信息安全檢查工作的通知》(阿信領(lǐng)辦字〔20xx〕2號)要求，我局對信息安全管理工作進行自查，現(xiàn)報告如下：

一、信息安全檢查工作組織開展情況

按照《政府部門信息安全檢查操作指南》規(guī)定，我局成立了由王軍副局長擔任組長的信息安全檢查工作組，制發(fā)了《阿拉善盟安全生產(chǎn)監(jiān)督管理局信息安全檢查工作方案》，召開專題會議對信息安全檢查工作進行安排部署，從8月1日起在單位內(nèi)部開展了為期30天的信息安全自查和基本信息梳理等相關(guān)工作。

二、20xx年信息安全主要工作情況

安全管理方面，制定了《阿拉善盟安全生產(chǎn)監(jiān)督管理局信息安全管理制度》、《存儲介質(zhì)管理制度》、《人員離職離崗安全規(guī)定》等制度，重要崗位人員簽訂了安全保密協(xié)議。

技術(shù)防護方面，網(wǎng)站服務(wù)器及計算機設(shè)置防火墻，拒絕外來惡意攻擊，保障網(wǎng)絡(luò)正常運行，安裝了正牌的防病毒軟件，對計算機病毒、有害電子郵件采取有效防范，根據(jù)系統(tǒng)服務(wù)需求，按需開放端口，遵循最小服務(wù)配置原則。一旦發(fā)生網(wǎng)絡(luò)信息安全事故應(yīng)立即報告相關(guān)方面并及時進行協(xié)調(diào)處理。

應(yīng)急處理方面，加強了網(wǎng)絡(luò)管理人員應(yīng)急處理相關(guān)培訓(xùn)教育，對突發(fā)網(wǎng)絡(luò)信息安全事故可快速安全地處理。

教育培訓(xùn)方面，對全體干部職工開展了信息安全教育培訓(xùn)。

三、檢查發(fā)現(xiàn)的主要問題和面臨的威脅分析

1. 發(fā)現(xiàn)的主要問題和薄弱環(huán)節(jié)

自查發(fā)現(xiàn)個別人員計算機安全意識不強。在以后的工作中我們將繼續(xù)加強對計算機安全意識教育和防范技能訓(xùn)練讓干部職工充分認識到計算機泄密后的嚴重性與可怕性。

2.面臨的安全威脅與風險

無。

3.整體安全狀況的基本判斷

網(wǎng)絡(luò)安全總體狀況良好，未發(fā)生重大信息安全事故。

四、改進措施與整改效果

1. 改進措施

為保證網(wǎng)絡(luò)安全有效地運行，減少病毒侵入，我局就網(wǎng)絡(luò)安全及系統(tǒng)安全的有關(guān)知識進行了培訓(xùn)。期間，大家對實際工作中遇到的計算機方面的有關(guān)問題進行了詳細的咨詢，并得到了滿意的答復(fù)。

2. 整改效果

經(jīng)過培訓(xùn)教育，全體干部職工對網(wǎng)絡(luò)信息安全有了更深入的了解，并在工作中時刻注意維護信息安全。

五、關(guān)于加強信息安全工作的意見和建議

第4篇

一、貫徹落實條例情況

二00八年以來,在***市人大和信息化工作領(lǐng)導(dǎo)小組的正確指導(dǎo)下，***市公安局為了深入貫徹落實科學(xué)發(fā)展觀,進一步優(yōu)化我市信息化發(fā)展環(huán)境,推進我市信息化正規(guī)化發(fā)展.按照市人大通知精神，成立了***市公安局信息化安全領(lǐng)導(dǎo)小組，并組織相關(guān)人員對《***信息化條例》進行了認真學(xué)習(xí)，學(xué)習(xí)后按照職責要求對全市從事國際聯(lián)網(wǎng)業(yè)務(wù)的單位和個人進行了安全監(jiān)督、檢查和指導(dǎo)，歷年無信息安全事件發(fā)生。

二、歷年工作情況

首先每年每季度組織全市涉及信息化安全的單位召開信息化安全會議，在組織各單位學(xué)習(xí)信息化條例及網(wǎng)絡(luò)安全知識的同時，總結(jié)各單位網(wǎng)絡(luò)信息化安全事件，并對各單位網(wǎng)絡(luò)信息化安全工作提出要求。

首先每年每季度對全市ISPICP單位進行安全檢查，發(fā)現(xiàn)問題發(fā)放整改通知書，督促其落實安全保護技術(shù)措施，保障本網(wǎng)絡(luò)的運行安全和信息安全，并要求其對網(wǎng)絡(luò)個人用戶進行備案管理和安全教育及培訓(xùn)。對全市重點單位開展了全市非經(jīng)營經(jīng)聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所的安全軟件安裝工作，有效的保障了非經(jīng)營聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所的安全運行。

三、存在的不足

在貫徹執(zhí)行條例中涉及本單位職責范圍的工作時，由于部分單位對網(wǎng)絡(luò)安全監(jiān)察工作不是太理解，所以對我局開展的網(wǎng)絡(luò)安全監(jiān)察工作配合意識不強，對網(wǎng)絡(luò)信息化安全工作開展形成了障礙，造成了部分工作滯后，網(wǎng)絡(luò)信息安全責任制落實不到位的情況。

四、下步打算

下步工作中，***市公安局將按照市人大及信息化辦公室的要求，認真貫徹落實條例內(nèi)容，按照本單位職責，在做好本單位工作的同時，對全市涉及網(wǎng)絡(luò)信息安全的單位及個人進行全面督促檢查，履行職責，為全力推動我市信息化健康、協(xié)調(diào)發(fā)展貢獻力量。

 

第5篇

為切實加強對全省政府系統(tǒng)辦公業(yè)務(wù)資源網(wǎng)(以下簡稱省政府專網(wǎng))的安全管理,確保重要網(wǎng)絡(luò)辦公應(yīng)用系統(tǒng)運行穩(wěn)定、安全可控,根據(jù)《國務(wù)院辦公廳關(guān)于加強政府信息系統(tǒng)安全和保密管理工作的通知》(〔2008〕17號)精神,經(jīng)省政府同意,現(xiàn)就加強省政府專網(wǎng)安全管理工作通知如下:

一、提高認識,認清形勢,高度重視新形勢下省政府專網(wǎng)安全管理工作

省政府專網(wǎng)是以省政府辦公廳為樞紐的全省政府系統(tǒng)辦公業(yè)務(wù)資源網(wǎng),是全省電子政務(wù)建設(shè)的重要組成部分,也是我省推進電子政務(wù)建設(shè)的重要基礎(chǔ)。省政府專網(wǎng)自1997年開始建設(shè)使用以來,不斷升級完善,目前已連接各省轄市政府及170家省直單位。其網(wǎng)上的主要辦公應(yīng)用有公文交換、信息采編、應(yīng)急值班、公務(wù)郵件會議通知報名等辦公應(yīng)用系統(tǒng)。同時建設(shè)了省政府專網(wǎng)網(wǎng)站,為各聯(lián)網(wǎng)單位提供了信息共享平臺。

當前,網(wǎng)絡(luò)安全形勢十分嚴峻。國內(nèi)外敵對勢力大肆利用各種手段對我各級政府信息系統(tǒng)進行網(wǎng)絡(luò)攻擊、破壞,竊密手段不斷翻新,竊密活動十分猖獗。隨著信息化建設(shè)的不斷推進和新技術(shù)的發(fā)展運用,泄密風險、泄密渠道和泄密隱患明顯增多,網(wǎng)絡(luò)安全管理難度明顯加大。同時,一些單位和人員信息安全和保密意識淡薄,管理機制不健全,制度不落實,技術(shù)防護措施不完善,違規(guī)操作行為有禁不止等問題比較突出。網(wǎng)絡(luò)安全涉及國家安全,各地、各部門必須站在維護國家安全和利益、保障中原經(jīng)濟區(qū)建設(shè)順利進行、加快中原崛起和振興的戰(zhàn)略高度,充分認識信息化條件下政府信息系統(tǒng)安全管理面臨的嚴峻形勢,采取切實有效措施,加強省政府專網(wǎng)安全管理工作,保障其安全、穩(wěn)定運行。

二、加強領(lǐng)導(dǎo),明確責任,健全省政府專網(wǎng)安全管理責任制

各地、各部門要把省政府專網(wǎng)安全管理工作列入重要議事日程,加強領(lǐng)導(dǎo),落實責任,完善措施,強化監(jiān)管,切實抓緊抓好。省政府辦公廳負責規(guī)劃建設(shè)省級政府專網(wǎng)平臺,制定網(wǎng)絡(luò)對接、信息交換、安全技術(shù)及運行管理標準規(guī)范,并對省級政府專網(wǎng)平臺安全負責。

各地、各部門要按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則,建立健全省政府專網(wǎng)安全管理責任制,把責任落實到具體崗位和個人。一要明確一名主管領(lǐng)導(dǎo),負責本地、本部門省政府專網(wǎng)安全管理工作,及時研究解決工作中存在的問題,統(tǒng)籌協(xié)調(diào)和保障工作的開展。二要指定一個內(nèi)設(shè)機構(gòu)具體承擔本單位省政府專網(wǎng)安全管理工作,負責組織落實本單位網(wǎng)絡(luò)信息安全保密管理制度,完善防護措施,開展信息安全保密教育和監(jiān)督檢查等。三要指定一位安全觀念強、富有責任心、懂安全防護技術(shù)的工作人員擔任專職或兼職省政府專網(wǎng)安全員,負責日常檢查、維護、聯(lián)系等工作。四要制定完善網(wǎng)絡(luò)管理崗位責任制度和辦法,與網(wǎng)絡(luò)管理、使用人員簽訂安全保密責任書,明確省政府專網(wǎng)安全管理責任。

三、強化教育,加強培訓(xùn),提高網(wǎng)絡(luò)安全意識和防護技能

各地、各部門要結(jié)合實際,認真組織開展對省政府專網(wǎng)分管領(lǐng)導(dǎo)、工作人員的教育培訓(xùn),加強對國家保密法律、法規(guī)和網(wǎng)絡(luò)安全保密管理規(guī)定的深入學(xué)習(xí),特別是要對網(wǎng)絡(luò)管理人員和專兼職網(wǎng)絡(luò)安全員開展崗位任職培訓(xùn)。當前,要嚴格落實省政府專網(wǎng)安全管理工作要求,一是嚴禁將網(wǎng)絡(luò)、信息系統(tǒng)和國際互聯(lián)網(wǎng)等公共信息網(wǎng)接入省政府專網(wǎng);二是嚴禁在計算機與連接省政府專網(wǎng)計算機之間交叉使用U盤等移動存儲設(shè)備;三是嚴禁在沒有防護措施的情況下將國際互聯(lián)網(wǎng)等公共信息網(wǎng)上的數(shù)據(jù)拷貝到省政府專網(wǎng);四是嚴禁計算機、連接互聯(lián)網(wǎng)的計算機與連接省政府專網(wǎng)的計算機混用。行政機關(guān)及其工作人員要切實遵守信息安全和保密管理各項規(guī)定,做到令行禁止,杜絕安全隱患。

四、完善措施,增強能力,夯實安全工作基礎(chǔ)

(一)實行嚴格的網(wǎng)絡(luò)隔離。省政府專網(wǎng)是非的全省政府系統(tǒng)內(nèi)部辦公網(wǎng)絡(luò),要與網(wǎng)絡(luò)以及國際互聯(lián)網(wǎng)等公共信息網(wǎng)物理隔離,專網(wǎng)專用。

(二)實行嚴格的接入管理。省政府辦公廳對省政府專網(wǎng)實行嚴格的網(wǎng)絡(luò)接入審批制度,擬接入省政府專網(wǎng)的單位要以書面形式向省政府辦公廳提出申請。對已經(jīng)接入省政府專網(wǎng)的單位,必須按照省政府辦公廳統(tǒng)一分配的域名、IP(網(wǎng)絡(luò)之間互連的協(xié)議)地址段等配置相關(guān)設(shè)備,未經(jīng)批準不得隨意改動;符合安全要求的單位要將本單位辦公局域網(wǎng)整體接入省政府專網(wǎng);如將接入省政府專網(wǎng)的網(wǎng)絡(luò)向下連接或改變省政府專網(wǎng)連接方式、范圍,或利用省政府專網(wǎng)開展新的縱向辦公應(yīng)用,須先制定網(wǎng)絡(luò)系統(tǒng)方案和工作方案,并報省政府辦公廳電子政務(wù)辦公室審核。

(三)實行嚴格的內(nèi)容管理。連接省政府專網(wǎng)的計算機、服務(wù)器和其他設(shè)備不得用于存儲、處理、傳輸涉及國家秘密的信息。接入省政府專網(wǎng)的用戶不得利用省政府專網(wǎng)制作、復(fù)制或傳播各類不良信息,不得從事干擾其他省政府專網(wǎng)用戶、破壞網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)設(shè)備的活動,如在網(wǎng)絡(luò)上不真實的信息、散布計算機病毒等。

(四)實行計算機配置管理和安全審計。各單位要對連接省政府專網(wǎng)的計算機和移動存儲設(shè)備實行配置管理,統(tǒng)一編號、統(tǒng)一標志、統(tǒng)一登記;對辦公用計算機逐步加裝安全審計工具,定期進行安全審計。

(五)增強網(wǎng)絡(luò)安全保障能力。各地、各部門要加快信息安全防護設(shè)施建設(shè),將信息安全防護設(shè)施建設(shè)、運行、維護、檢查和管理費用納入預(yù)算,保證資金落實。同時,要加快建立健全以身份認證、訪問控制、安全審計、責任認定、病毒防護等為主要內(nèi)容的網(wǎng)絡(luò)安全體系,完善網(wǎng)絡(luò)安全技術(shù)防護手段。

第6篇

該文對供水企業(yè)信息集成系統(tǒng)安全進行分析，并探討了可以針對性改進的安全防護措施。首先對當前供水信息系統(tǒng)安全現(xiàn)狀做具體分析，然后研究了在“自主定級，自主保護”的原則下改進和提高供水企業(yè)集成信息系統(tǒng)安全具體的執(zhí)行方案，最終實現(xiàn)供水企業(yè)信息集成系統(tǒng)的信息安全防護。

關(guān)鍵詞：

供水企業(yè)信息集成系統(tǒng)；等級保護；信息安全

供水行業(yè)對國計民生很重要的一個行業(yè)，供水企業(yè)的業(yè)務(wù)性質(zhì)要求以信息的整體化為基本立足點，集中管理所有涉及運營的相關(guān)數(shù)據(jù)，針對供水企業(yè)運行的特殊要求，進行集中的規(guī)劃和架構(gòu)，將不同專業(yè)的應(yīng)用系統(tǒng)進行整合，最終形成完整的供水企業(yè)綜合信息平臺。[1]而集成系統(tǒng)中最重要的一個要求就是信息安全。

隨著大數(shù)據(jù)時代的到來，網(wǎng)格、分布式計算、云計算、物聯(lián)網(wǎng)等新技術(shù)相繼推出，對供水企業(yè)信息集成與應(yīng)用也提出了更高的要求。而隨著應(yīng)用的擴展，應(yīng)用中存在著大量的安全隱患，網(wǎng)絡(luò)黑客、木馬、病毒和人為的破壞等將大量的安全威脅帶給信息系統(tǒng)。根據(jù)美國Radicati公司于2015年3月的調(diào)查報告，截至2014年12月，網(wǎng)絡(luò)攻擊已經(jīng)為全球計算機網(wǎng)絡(luò)安全造成高達上萬億美元的損失。而且隨著網(wǎng)絡(luò)應(yīng)用的規(guī)模進一步上升，計算機網(wǎng)絡(luò)信息安全威脅造成的損失正在呈幾何級數(shù)增長。根據(jù)2015年的中國網(wǎng)絡(luò)安全分析報告，2014年報告的網(wǎng)絡(luò)安全攻擊事件比2013年增加了100多倍。2014年，搜狗由于網(wǎng)絡(luò)黑客攻擊導(dǎo)致搜索服務(wù)在全國各地都出現(xiàn)了長達25分鐘無法使用。2014年7月，某域名服務(wù)商的域名解析服務(wù)器發(fā)生了網(wǎng)絡(luò)黑客的集中式攻擊，造成在其公司注冊的13%的網(wǎng)站無法訪問，時間長達17個小時，經(jīng)濟損失不可估量。因此，從信息安全的角度，要對供水企業(yè)信息集成系統(tǒng)進行防護，降低信息安全事故的發(fā)生的概率，降低其危害，是本文需要研究的內(nèi)容。

1當前供水企業(yè)信息集成系統(tǒng)安全防護的現(xiàn)狀和存在的問題

伴隨著科技的不斷發(fā)展，供水企業(yè)的信息化建設(shè)也得到了很大的發(fā)展，主要是從深度和廣度兩個層面做進一步拓展。典型的供水企業(yè)信息集成系統(tǒng)涵蓋了生產(chǎn)調(diào)度系統(tǒng)、銷售系統(tǒng)、管網(wǎng)信息系統(tǒng)、財務(wù)管理系統(tǒng)、人事管理系統(tǒng)、辦公自動化系統(tǒng)等子系統(tǒng)。其中多個系統(tǒng)數(shù)據(jù)需要接受外部訪問，存在大量的安全隱患。目前，威脅到供水企業(yè)信息安全的風險因素主要分為三個大類：1）人為原因，如惡意的黑客攻擊、不懷好意的內(nèi)部人員造成的信息外泄、操作中出現(xiàn)低級錯誤等。2）數(shù)據(jù)存儲位置位置的風險?？赡苡勺匀粸?zāi)害引發(fā)的問題，缺乏數(shù)據(jù)備份和恢復(fù)能力。3）不斷增長的數(shù)據(jù)交互放大了數(shù)據(jù)丟失或泄漏的風險。包括未知的安全漏洞、軟件版本、安全實踐和代碼更改等。

2有關(guān)分級防護的要求

尤其是供水企業(yè)信息集成系統(tǒng)中，存在大量涉及公民個人隱私的信息，也存在像生產(chǎn)調(diào)度這樣涉及國計民生的信息。因此，需要按照國家有關(guān)信息安全的法律法規(guī)，明確企業(yè)的信息安全責任。提升供水企業(yè)信息管理區(qū)內(nèi)的業(yè)務(wù)系統(tǒng)信息安全防護。依據(jù)《信息安全等級保護管理辦法》（公通字[2007]43號）第十四條，信息系統(tǒng)建設(shè)完成后，運營、使用單位或者其主管部門應(yīng)當選擇符合本辦法規(guī)定條件的測評機構(gòu)，依據(jù)《信息系統(tǒng)安全等級保護測評要求》等技術(shù)標準，定期對信息系統(tǒng)安全等級狀況開展等級測評。定級標準按照國家標準《信息系統(tǒng)安全等級保護定級指南》（GB/T22240—2008）實施，根據(jù)等級保護相關(guān)管理文件，信息系統(tǒng)的安全保護等級分為以下五級：第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。等級保護對象受到破壞后對客體造成侵害的程度歸結(jié)為以下三種：1）造成一般損害；2）造成嚴重損害；3）造成特別嚴重損害。

3分別防護實施步驟

根據(jù)有關(guān)法律法規(guī)，建設(shè)完成并投入使用的信息系統(tǒng)，其有關(guān)使用此系統(tǒng)的單位需要對其系統(tǒng)的等級狀況做定期的測評。供水企業(yè)要遵照要求選擇具有資質(zhì)的測評機構(gòu)來對管理信息區(qū)的業(yè)務(wù)系統(tǒng)做等級保護的測評工作。其所得到的結(jié)果如下表1所示：通常情況下，供水企業(yè)信息系統(tǒng)中不會出現(xiàn)第四級和第五級的系統(tǒng)。根據(jù)測評結(jié)果，有必要對供水企業(yè)內(nèi)部的局域網(wǎng)進行系統(tǒng)化整改。具體的整改內(nèi)容包括兩項主要內(nèi)容：細化各業(yè)務(wù)系統(tǒng)服務(wù)器的物理位置；按照需求設(shè)置信息安全區(qū)域。根據(jù)供水企業(yè)信息集成系統(tǒng)的具體實際，主要有等級包括三個業(yè)務(wù)區(qū)域，以及一個公共業(yè)務(wù)區(qū)和測評業(yè)務(wù)區(qū)。按照上述原則對供水企業(yè)信息集成系統(tǒng)服務(wù)器做物理劃分如圖1所示。不同等級的系統(tǒng)服務(wù)器針對不同級別的信息安全區(qū)進行設(shè)置。等級為一、二、三的業(yè)務(wù)區(qū)分別安裝著對應(yīng)的服務(wù)器，而公共業(yè)務(wù)區(qū)域的服務(wù)器主要是DNS服務(wù)器或者是域服務(wù)器。公共業(yè)務(wù)區(qū)服務(wù)器主要為基礎(chǔ)服務(wù)提供非業(yè)務(wù)系統(tǒng)服務(wù)，不需要進行保護分級。測評業(yè)務(wù)區(qū)提供是投入正式使用前的測試服務(wù)器。

依據(jù)表1的測評結(jié)果，將安全區(qū)域進行細化表2所示的就是企業(yè)管理信息區(qū)，其主要業(yè)務(wù)系統(tǒng)對安全區(qū)域存放問題的展示。根據(jù)表2得到的結(jié)果，可以將信息安全設(shè)備存放在不同信息區(qū)域邊界內(nèi)，以此達到服務(wù)器分級防護目的。信息安全設(shè)備設(shè)置在信息安全區(qū)域邊界，也就是局域網(wǎng)與信息安全區(qū)域之間的連接部。信息安全設(shè)備主要是防火墻、查殺病毒、攻擊防護、服務(wù)防護禁止、授權(quán)等。對于不同區(qū)域邊界的信息安全的部署建議，供水企業(yè)要遵照各自的實際情況做周密的設(shè)置。供水企業(yè)管理信息安全區(qū)域邊界防護表見表3。將信息安全防護設(shè)備部署在所在的區(qū)域邊界內(nèi)，如此可以初步實現(xiàn)對供水企業(yè)管理信息區(qū)的信息安全防護。

4結(jié)束語

隨著大數(shù)據(jù)的發(fā)展，對供水企業(yè)信息集成系統(tǒng)在數(shù)據(jù)的交互和應(yīng)用方面會提出更高的要求，也大大加強了安全防護措施的重要性和迫切性。在安全防護措施基本到位的前提下，還需要加強信息審計，及時發(fā)現(xiàn)和補救系統(tǒng)缺陷，加強數(shù)據(jù)庫安全防護，維護管理系統(tǒng)的隱患。

參考文獻：

[1]孫鋒.基于多agent技術(shù)的供水企業(yè)信息集成系統(tǒng)研究[J].供水技術(shù),2015(10).

第7篇

第一條 為加強對具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)和相關(guān)新技術(shù)新應(yīng)用的安全管理，規(guī)范互聯(lián)網(wǎng)信息服務(wù)活動，維護國家安全、社會秩序和公共利益，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《互聯(lián)網(wǎng)信息服務(wù)管理辦法》《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》，制訂本規(guī)定。

第二條 本規(guī)定所稱具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)，包括下列情形：

（一）開辦論壇、博客、微博客、聊天室、通訊群組、公眾賬號、短視頻、網(wǎng)絡(luò)直播、信息分享、小程序等信息服務(wù)或者附設(shè)相應(yīng)功能；

（二）開辦提供公眾輿論表達渠道或者具有發(fā)動社會公眾從事特定活動能力的其他互聯(lián)網(wǎng)信息服務(wù)。

第三條 互聯(lián)網(wǎng)信息服務(wù)提供者具有下列情形之一的，應(yīng)當依照本規(guī)定自行開展安全評估，并對評估結(jié)果負責：

（一）具有輿論屬性或社會動員能力的信息服務(wù)上線，或者信息服務(wù)增設(shè)相關(guān)功能的；

（二）使用新技術(shù)新應(yīng)用，使信息服務(wù)的功能屬性、技術(shù)實現(xiàn)方式、基礎(chǔ)資源配置等發(fā)生重大變更，導(dǎo)致輿論屬性或者社會動員能力發(fā)生重大變化的；

（三）用戶規(guī)模顯著增加，導(dǎo)致信息服務(wù)的輿論屬性或者社會動員能力發(fā)生重大變化的；

（四）發(fā)生違法有害信息傳播擴散，表明已有安全措施難以有效防控網(wǎng)絡(luò)安全風險的；

（五）地市級以上網(wǎng)信部門或者公安機關(guān)書面通知需要進行安全評估的其他情形。

第四條 互聯(lián)網(wǎng)信息服務(wù)提供者可以自行實施安全評估，也可以委托第三方安全評估機構(gòu)實施。

第五條 互聯(lián)網(wǎng)信息服務(wù)提供者開展安全評估，應(yīng)當對信息服務(wù)和新技術(shù)新應(yīng)用的合法性，落實法律、行政法規(guī)、部門規(guī)章和標準規(guī)定的安全措施的有效性，防控安全風險的有效性等情況進行全面評估，并重點評估下列內(nèi)容：

（一）確定與所提供服務(wù)相適應(yīng)的安全管理負責人、信息審核人員或者建立安全管理機構(gòu)的情況；

（二）用戶真實身份核驗以及注冊信息留存措施；

（三）對用戶的賬號、操作時間、操作類型、網(wǎng)絡(luò)源地址和目標地址、網(wǎng)絡(luò)源端口、客戶端硬件特征等日志信息，以及用戶信息記錄的留存措施；

（四）對用戶賬號和通訊群組名稱、昵稱、簡介、備注、標識，信息、轉(zhuǎn)發(fā)、評論和通訊群組等服務(wù)功能中違法有害信息的防范處置和有關(guān)記錄保存措施；

（五）個人信息保護以及防范違法有害信息傳播擴散、社會動員功能失控風險的技術(shù)措施；

（六）建立投訴、舉報制度，公布投訴、舉報方式等信息，及時受理并處理有關(guān)投訴和舉報的情況；

（七）建立為網(wǎng)信部門依法履行互聯(lián)網(wǎng)信息服務(wù)監(jiān)督管理職責提供技術(shù)、數(shù)據(jù)支持和協(xié)助的工作機制的情況；

（八）建立為公安機關(guān)、國家安全機關(guān)依法維護國家安全和查處違法犯罪提供技術(shù)、數(shù)據(jù)支持和協(xié)助的工作機制的情況。

第六條 互聯(lián)網(wǎng)信息服務(wù)提供者在安全評估中發(fā)現(xiàn)存在安全隱患的，應(yīng)當及時整改，直至消除相關(guān)安全隱患。

經(jīng)過安全評估，符合法律、行政法規(guī)、部門規(guī)章和標準的，應(yīng)當形成安全評估報告。安全評估報告應(yīng)當包括下列內(nèi)容：

（一）互聯(lián)網(wǎng)信息服務(wù)的功能、服務(wù)范圍、軟硬件設(shè)施、部署位置等基本情況和相關(guān)證照獲取情況；

（二）安全管理制度和技術(shù)措施落實情況及風險防控效果；

（三）安全評估結(jié)論；

（四）其他應(yīng)當說明的相關(guān)情況。

第七條 互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當將安全評估報告通過全國互聯(lián)網(wǎng)安全管理服務(wù)平臺提交所在地地市級以上網(wǎng)信部門和公安機關(guān)。

具有本規(guī)定第三條第一項、第二項情形的，互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當在信息服務(wù)、新技術(shù)新應(yīng)用上線或者功能增設(shè)前提交安全評估報告；具有本規(guī)定第三條第三、四、五項情形的，應(yīng)當自相關(guān)情形發(fā)生之日起30個工作日內(nèi)提交安全評估報告。

第八條 地市級以上網(wǎng)信部門和公安機關(guān)應(yīng)當依據(jù)各自職責對安全評估報告進行書面審查。

發(fā)現(xiàn)安全評估報告內(nèi)容、項目缺失，或者安全評估方法明顯不當?shù)模瑧?yīng)當責令互聯(lián)網(wǎng)信息服務(wù)提供者限期重新評估。

發(fā)現(xiàn)安全評估報告內(nèi)容不清的，可以責令互聯(lián)網(wǎng)信息服務(wù)提供者補充說明。

第九條 網(wǎng)信部門和公安機關(guān)根據(jù)對安全評估報告的書面審查情況，認為有必要的，應(yīng)當依據(jù)各自職責對互聯(lián)網(wǎng)信息服務(wù)提供者開展現(xiàn)場檢查。

網(wǎng)信部門和公安機關(guān)開展現(xiàn)場檢查原則上應(yīng)當聯(lián)合實施，不得干擾互聯(lián)網(wǎng)信息服務(wù)提供者正常的業(yè)務(wù)活動。

第十條 對存在較大安全風險、可能影響國家安全、社會秩序和公共利益的互聯(lián)網(wǎng)信息服務(wù)，省級以上網(wǎng)信部門和公安機關(guān)應(yīng)當組織專家進行評審，必要時可以會同屬地相關(guān)部門開展現(xiàn)場檢查。

第十一條 網(wǎng)信部門和公安機關(guān)開展現(xiàn)場檢查，應(yīng)當依照有關(guān)法律、行政法規(guī)、部門規(guī)章的規(guī)定進行。

第十二條 網(wǎng)信部門和公安機關(guān)應(yīng)當建立監(jiān)測管理制度，加強網(wǎng)絡(luò)安全風險管理，督促互聯(lián)網(wǎng)信息服務(wù)提供者依法履行網(wǎng)絡(luò)安全義務(wù)。

發(fā)現(xiàn)具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)提供者未按本規(guī)定開展安全評估的，網(wǎng)信部門和公安機關(guān)應(yīng)當通知其按本規(guī)定開展安全評估。

第十三條 網(wǎng)信部門和公安機關(guān)發(fā)現(xiàn)具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)提供者拒不按照本規(guī)定開展安全評估的，應(yīng)當通過全國互聯(lián)網(wǎng)安全管理服務(wù)平臺向公眾提示該互聯(lián)網(wǎng)信息服務(wù)存在安全風險，并依照各自職責對該互聯(lián)網(wǎng)信息服務(wù)實施監(jiān)督檢查，發(fā)現(xiàn)存在違法行為的，應(yīng)當依法處理。

第十四條 網(wǎng)信部門統(tǒng)籌協(xié)調(diào)具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)安全評估工作，公安機關(guān)的安全評估工作情況定期通報網(wǎng)信部門。

第十五條 網(wǎng)信部門、公安機關(guān)及其工作人員對在履行職責中知悉的國家秘密、商業(yè)秘密和個人信息應(yīng)當嚴格保密，不得泄露、出售或者非法向他人提供。

第8篇

根據(jù)《基本要求》的規(guī)定，二級要求的系統(tǒng)防護能力為：信息系統(tǒng)具有抵御一般攻擊的能力，能防范常見計算機病毒和惡意代碼危害的能力，系統(tǒng)遭受破壞后，具有恢復(fù)系統(tǒng)主要功能的能力。數(shù)據(jù)恢復(fù)的能力要求為：系統(tǒng)具有一定的數(shù)據(jù)備份功能和設(shè)備冗余，在遭受破壞后能夠在有限的時間內(nèi)恢復(fù)部分功能。按照二級的要求，一般情況下分為技術(shù)層面和管理層面的兩個層面對信息系統(tǒng)安全進行全面衡量，技術(shù)層面主要針對機房的物理條件、安全審計、入侵防范、邊界、主機安全審計、主機資源控制、應(yīng)用資源控制、應(yīng)用安全審計、通信完整性和數(shù)據(jù)保密性等多個控制點進行測評，而管理層面主要針對管理制度評審修訂、安全管理機構(gòu)的審核和檢查、人員安全管理、系統(tǒng)運維管理、應(yīng)急預(yù)案等方面進行綜合評測。其中技術(shù)類安全要求按照其保護的側(cè)重點不同分為業(yè)務(wù)信息安全類（S類）、系統(tǒng)服務(wù)安全類（A類）、通用安全防護類（G類）三類。水利信息系統(tǒng)通常以S和G類防護為主，既關(guān)注保護業(yè)務(wù)信息的安全性，又關(guān)注保護系統(tǒng)的連續(xù)可用性。

2水利科研院所信息安全現(xiàn)狀分析

水利科研院所信息系統(tǒng)結(jié)構(gòu)相對簡單，在管理制度上基本建立了機房管控制度、人員安全管理制度等，技術(shù)上也都基本達到了一級防護的要求。下面以某水利科研單位為例分析。某水利科研單位主機房選址為大樓低層(3層以下)，且不臨街。機房大門為門禁電磁防盜門，機房內(nèi)安裝多部監(jiān)控探頭。機房內(nèi)部劃分為多個獨立功能區(qū)，每個功能區(qū)均安裝門禁隔離。機房鋪設(shè)防靜電地板，且已與大樓防雷接地連接。機房內(nèi)按照面積匹配自動氣體消防，能夠?qū)馂?zāi)發(fā)生進行自動報警，人工干預(yù)滅火。機房內(nèi)已安裝溫度濕度監(jiān)控探頭，對機房內(nèi)溫濕度自動監(jiān)控并具有報警功能，機房配備較大功率UPS電源，能夠保障關(guān)鍵業(yè)務(wù)系統(tǒng)在斷電后2小時正常工作。機房采用通信線路上走線，動力電路下走線方式。以上物理條件均滿足二級要求。網(wǎng)絡(luò)拓撲結(jié)構(gòu)分為外聯(lián)區(qū)、對外服務(wù)區(qū)、業(yè)務(wù)處理區(qū)和接入?yún)^(qū)4大板塊，對外服務(wù)區(qū)部署有VPN網(wǎng)關(guān)，外部人員可通過VPN網(wǎng)關(guān)進入加密SSL通道訪問業(yè)務(wù)處理區(qū)，接入?yún)^(qū)用戶通過認證網(wǎng)關(guān)訪問互聯(lián)網(wǎng)。整個網(wǎng)絡(luò)系統(tǒng)未部署入侵檢測（IDS）系統(tǒng)、非法外聯(lián)檢測系統(tǒng)、網(wǎng)絡(luò)安全審計系統(tǒng)以及流量控制系統(tǒng)。由上述拓撲結(jié)構(gòu)可以看出，現(xiàn)有的安全防護手段可基本保障信息網(wǎng)絡(luò)系統(tǒng)的安全，但按照二級要求，系統(tǒng)內(nèi)缺少IDS系統(tǒng)、網(wǎng)絡(luò)安全審計系統(tǒng)和非法外聯(lián)檢測系統(tǒng)，且沒有獨立的數(shù)據(jù)備份區(qū)域，給整個信息網(wǎng)安全帶來一定的隱患。新的網(wǎng)絡(luò)系統(tǒng)在外聯(lián)區(qū)邊界防火墻下接入了入侵檢測系統(tǒng)（IDS），新規(guī)劃了獨立的數(shù)據(jù)備份區(qū)域，在核心交換機上部署了網(wǎng)絡(luò)審計系統(tǒng)，并在接入?yún)^(qū)安裝了非法外聯(lián)檢測系統(tǒng)。形成了較為完整的信息網(wǎng)絡(luò)安全防護體系。

3信息系統(tǒng)安全等級測評的內(nèi)容

3.1信息系統(tǒng)等級保護的總體規(guī)劃

信息系統(tǒng)從規(guī)劃到建立是一個復(fù)雜漫長的過程，需要做好規(guī)劃。一般情況下,信息系統(tǒng)的安全規(guī)劃分為計算機系統(tǒng)、邊界區(qū)域、通信系統(tǒng)的安全設(shè)計。相應(yīng)的技術(shù)測評工作也主要圍繞這3個模塊展開。

3.2測評的要素

信息系統(tǒng)是個復(fù)雜工程，設(shè)備的簡單堆疊并不能有效保障系統(tǒng)的絕對安全，新建系統(tǒng)應(yīng)嚴格按照等保規(guī)劃設(shè)計，已建系統(tǒng)要對信息系統(tǒng)進行安全測試，對于測評不合格項對照整改。信息系統(tǒng)安全測試范圍很廣，主要在網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全、物理安全、管理安全六大方面展開測評。本文僅對測評內(nèi)容要素進行描述，對具體測試方法及工具不作描述。

3.2.1網(wǎng)絡(luò)安全的測評

水利科研院所網(wǎng)絡(luò)安全的測評主要參照公安部編制《信息安全等級測評》條件對網(wǎng)絡(luò)全局、路由和交換設(shè)備、防火墻、入侵檢測系統(tǒng)展開測評。但應(yīng)結(jié)合科研院所實際有所側(cè)重。水利科研院所信息系統(tǒng)數(shù)據(jù)傳輸量大，網(wǎng)絡(luò)帶寬占用比例相對較高，因此，在網(wǎng)絡(luò)全局中主要測試網(wǎng)絡(luò)設(shè)備是否具備足夠的數(shù)據(jù)處理能力，網(wǎng)絡(luò)設(shè)備資源占用情況，確保網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力冗余性?？蒲性核乩砦恢孟鄬Ψ稚?，因此，需要合理的VLAN劃分，確保局部網(wǎng)絡(luò)攻擊不會引發(fā)全局癱瘓。科研院所擁有大量的研究生，這類人群對于制度的約束相對較差，網(wǎng)絡(luò)應(yīng)用多伴有P2P應(yīng)用，對出口帶寬影響極大，因此除了用經(jīng)濟杠桿的手段外，在技術(shù)上要求防火墻配置帶寬控制策略。同時對“非法接入和外聯(lián)”行為進行檢查。網(wǎng)絡(luò)中應(yīng)配置IDS對端口掃描，對木馬、后門攻擊、網(wǎng)絡(luò)蠕蟲等常見攻擊行為監(jiān)視等等。

3.2.2主機安全測評

主機安全的測評主要對操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)展開測評。通常水利科研院所服務(wù)器種類繁多，從最多見的機架式服務(wù)器到曙光一類的大型并行服務(wù)器均有部署，同時操作系統(tǒng)有window系列、Linux、Unix、Solaris等多種操作系統(tǒng)，數(shù)據(jù)庫以主流SQLSERVER、ORACLE為主，早期開發(fā)的系統(tǒng)還有Sybase，DB2等數(shù)據(jù)庫。對于window操作系統(tǒng)是容易被攻擊的重點，因為二級等保為審計級保護所以重點在于身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼4個方面進行測評，主要審計重要用戶行為、系統(tǒng)資源的異常使用和重要信息的命令使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件。對于LINUX等其他系統(tǒng)和數(shù)據(jù)庫，主要審計操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的身份標識唯一性，口令應(yīng)復(fù)雜程度以及限制條件等。

3.2.3應(yīng)用安全測評

水利科研院所內(nèi)部業(yè)務(wù)種類繁多，如OA系統(tǒng)，科研管理系統(tǒng)，內(nèi)部財務(wù)系統(tǒng)、網(wǎng)站服務(wù)器群，郵件服務(wù)器等，測評的重點主要是對這些業(yè)務(wù)系統(tǒng)逐個測評身份驗證，日志記錄，訪問控制、安全審計等功能。

3.2.4數(shù)據(jù)安全的測評

數(shù)據(jù)安全的測評主要就數(shù)據(jù)的完整性、保密性已及備份和恢復(fù)可靠性、時效性展開測評。水利科研院所數(shù)據(jù)量十分龐大，一般達到上百TB級數(shù)據(jù)量，一旦遭受攻擊，恢復(fù)任務(wù)十分艱巨，因此備份區(qū)和應(yīng)用區(qū)應(yīng)該選用光纖直連的方式，避免電纜數(shù)據(jù)傳輸效率的瓶頸。日常情況下應(yīng)做好備份計劃，采用增量備份的方式實時對數(shù)據(jù)備份。

3.2.5物理安全測評

機房的物理安全測評主要是選址是否合理，機房大門防火防盜性能，機房的防雷擊、防火、防水防潮防靜電設(shè)施是否完好達標，溫濕度控制、電力供應(yīng)以及電磁防護是否符合規(guī)定等物理條件。

3.2.6安全管理測評

安全管理主要就制定的制度文檔和記錄文檔展開評測。制度文檔主要分為3類，流程管理，人員管理和設(shè)備管理。記錄文檔主要為制度文檔的具體實施形式。在滿足二級的條件下，一般需要制度文檔有《信息安全管理辦法》、《安全組織及職責管理規(guī)定》、《安全審核與檢查管理制度》、《授權(quán)和審批管理規(guī)定》、《信息安全制度管理規(guī)范》、《內(nèi)部人員安全管理規(guī)定》、《外部人員安全管理規(guī)定》、《系統(tǒng)設(shè)計和采購安全管理規(guī)定》、《系統(tǒng)實施安全管理規(guī)定》、《系統(tǒng)測試驗收和交付安全管理規(guī)定》、《軟件開發(fā)安全管理規(guī)定》、《系統(tǒng)運維和監(jiān)控安全管理規(guī)定》、《網(wǎng)絡(luò)安全管理規(guī)定》、《系統(tǒng)安全管理規(guī)定》、《賬號密碼管理規(guī)定》等基本規(guī)章制度。同時對管理制度本身進行也要規(guī)范管理，如版本控制，評審修訂流程等。需要制定的記錄文檔有《機房出入登記記錄》、《機房基礎(chǔ)設(shè)施維護記錄》、《各類評審和修訂記錄》、《人員考核、審查、培訓(xùn)記錄》、《各項審批和批準執(zhí)行記錄》、《產(chǎn)品的測試選型測試結(jié)果記錄》、《系統(tǒng)驗收測試記錄報告》、《介質(zhì)歸檔查詢等的等級記錄》、《主機系統(tǒng)，網(wǎng)絡(luò)，安全設(shè)備等的操作日志和維護記錄》、《機房日常巡檢記錄》、《安全時間處理過程記錄》、《應(yīng)急預(yù)案培訓(xùn)，演練，審查記錄》等。

4測評的方式方法

按照《基本要求》在等級測評中，對二級及二級以上的信息系統(tǒng)應(yīng)進行工具測試。

4.1測試目的工具測試

是利用各種測試工具，通過對目標系統(tǒng)的掃描、探測等操作，使其產(chǎn)生特定的響應(yīng)等活動，查看分析響應(yīng)結(jié)果，獲取證據(jù)以證明信息系統(tǒng)安全保護措施是否得以有效實施的一種方法。工具測試種類繁多，這里特指適用于等保測評過程中的工具測試。利用工具測試不僅可以直接獲得系統(tǒng)本身存在的漏洞，同時也可以通過不同的區(qū)域接入測試工具所得到的測試結(jié)果判斷出不同區(qū)域之間的訪問控制情況。利用工具測試并結(jié)合其他的核查手段能為測試結(jié)果提供客觀準確的保障。

4.2測試流程

收集信息→規(guī)劃接入點→編制《工具測試作業(yè)指導(dǎo)書》→現(xiàn)場測試→結(jié)果整理。收集信息主要是對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機設(shè)備型號、IP地址、操作系統(tǒng)以及網(wǎng)絡(luò)拓撲結(jié)構(gòu)等信息進行收集。規(guī)劃接入點是保證不影響整個信息系統(tǒng)網(wǎng)絡(luò)正常運行的前提下嚴格按照方案選定范圍進行測試。接入點的規(guī)劃隨著網(wǎng)絡(luò)結(jié)構(gòu)，訪問控制，主機位置等情況的不同而不同,但應(yīng)該遵循以下規(guī)則。（1）由低級別系統(tǒng)向高級別系統(tǒng)探測。（2）同一系統(tǒng)同等重要程度功能區(qū)域之間要互相探測。（3）由外聯(lián)接口向系統(tǒng)內(nèi)部探測。（4）跨網(wǎng)絡(luò)隔離設(shè)備（包括網(wǎng)絡(luò)設(shè)備和安全設(shè)備）要分段探測。

4.3測試手段

利用漏洞掃描器、滲透測試工具集、協(xié)議分析儀、網(wǎng)絡(luò)拓撲結(jié)構(gòu)生成工具更能迅速可靠地找到系統(tǒng)的薄弱環(huán)節(jié)，為整改方案的編制提供依據(jù)。

5云計算與等級保護

近年來，隨著水利科研院各自的云計算中心相繼建立，云計算與以往的計算模式安全風險差異很大，面臨的風險也更大，因為以往的系統(tǒng)多數(shù)為集中式管理范圍較小，安全管理和設(shè)備資源是可控的，而云計算是分布式管理，是一個動態(tài)變化的計算環(huán)境，這種環(huán)境在某種意義上是無序的，這種虛擬動態(tài)的運行環(huán)境更不可控，傳統(tǒng)的安全邊界消失。同時，云計算在認證、授權(quán)、訪問控制和數(shù)據(jù)保密這些方面這對于信息網(wǎng)絡(luò)安全也提出了更高的要求。由云安全聯(lián)盟和惠普公司列出了云計算面臨的7宗罪（風險），說明云安全的狀況變化非?？?，現(xiàn)有的技術(shù)和管理體系并不完全適應(yīng)于云計算的模式，如何結(jié)合自身特點制定出適合云計算的等級保護體系架構(gòu)是今后研究的方向。

6結(jié)語

第9篇

主要內(nèi)容

對銀行和信用卡支付卡授權(quán)商的系統(tǒng)風險管理。新加坡金管局在2013年6月21日了644號和644A號通知，并于2014年7月1日起開始執(zhí)行。兩個通知分別對在新加坡的銀行和信用卡或支付卡授權(quán)商的系統(tǒng)風險管理做了安排。644A號文規(guī)定信用卡或支付卡授權(quán)商是被授權(quán)依法進行在新加坡開立信用卡或支付卡業(yè)務(wù)的個人。通知規(guī)定，銀行和信用卡或支付卡授權(quán)商應(yīng)該落實一個框架，處理識別核心系統(tǒng)，盡最大努力維持核心系統(tǒng)的高可靠性，確保每一個影響和授權(quán)商操作和對客戶服務(wù)的核心系統(tǒng)的最大意外停機每12個月不超過4小時。并且銀行和授權(quán)商應(yīng)該建立一個修復(fù)時間目標（RTO，指從故障發(fā)生到系統(tǒng)修復(fù)的持續(xù)時間），對于每一個核心系統(tǒng)不超過4個小時。每12個月須至少驗證并且記錄一次核心系統(tǒng)在系統(tǒng)修復(fù)測試中的表現(xiàn)以及測試時間。一旦核心系統(tǒng)發(fā)生故障或事故，銀行和授權(quán)商應(yīng)在1小時以內(nèi)通知新加坡金管局。在重大事件發(fā)生的14天以內(nèi)，或者經(jīng)當局許可的更長一段時間內(nèi)，銀行和授權(quán)商應(yīng)向新加坡金管局提交一份根本原因和沖擊分析報告。報告應(yīng)該包括：重大事件的綜合摘要、觸發(fā)重大事件的根本原因分析、描述重大事件對銀行的沖擊、描述已采取的補救措施以解決根本原因和重大事件的結(jié)果。最后，銀行和授權(quán)商應(yīng)實施IT控制以保護客戶信息免遭非法入侵和曝光。

有關(guān)IT外包的監(jiān)管。新加坡金管局在其《IT Outsourcing Circular Jul 2011》對外包商的監(jiān)管作了明確規(guī)定。文件中指出，外包是指位于新加坡國內(nèi)外的一個或多個提供第三方IT技術(shù)和設(shè)備的供應(yīng)商，包括從系統(tǒng)開發(fā)、維護和支持到數(shù)據(jù)中心操作、網(wǎng)絡(luò)管理、故障修復(fù)服務(wù)、應(yīng)用托管和云計算。金融機構(gòu)要落實正確的框架、政策和流程去評估、審批、復(fù)審、控制和監(jiān)控所有外包活動的風險和實質(zhì)。在與外包商簽訂合同之前，金融機構(gòu)應(yīng)該就所有的外包建議做一個徹底的風險評估，可以參考基于移動終端的信息化應(yīng)用服務(wù)（MAS）的外包技術(shù)調(diào)查問卷作為進一步指導(dǎo)，金融機構(gòu)在簽訂任何外包委托之前向服務(wù)商提交完成后的問卷。新加坡金管局沒有直接涵蓋對銀行技術(shù)外包服務(wù)商（TSP-Technology Service Providers）的具體要求，而是要求金融機構(gòu)確保外包商采用高標準的政策和流程以確保敏感信息的機密性和安全性，敏感信息例如客戶資料、計算機文件、檔案、目標程序和源代碼。在與外包商的合同終止時，金融機構(gòu)應(yīng)該在有合同的保證下，可以快速移除或銷毀所有的IT信息和資產(chǎn)。

對個人移動設(shè)備的監(jiān)管。2014年9月26日，新加坡金管局了《Circular SRD TR02 2014》，對金融機構(gòu)中“自帶設(shè)備”所帶來的風險進行了規(guī)定。文件中指出“自帶你的移動設(shè)備”（BYOD）是越來越多的金融機構(gòu)采用的一種相對較新的實踐，讓員工從他們的個人移動設(shè)備訪問公司電子郵件、日歷、應(yīng)用程序和數(shù)據(jù)。但是“自帶設(shè)備”相應(yīng)地會增加金融風險，金融機構(gòu)應(yīng)該發(fā)展出一套綜合的防止資料損失的策略，去保護敏感或機密的用戶信息。一些不利于策略有效應(yīng)用的因素包括幾個方面，第一，隱私和個人使用的沖擊。在“自帶設(shè)備”環(huán)境中，雇員可以根據(jù)他們的選擇自由在他們的移動設(shè)備上安裝應(yīng)用，并且拒絕安裝特定的安全軟件；第二，不同的設(shè)備組合。實施“自帶設(shè)備”的金融機構(gòu)將不得不支持大范圍的設(shè)備，操作系統(tǒng)和應(yīng)用組合。這將造成一個一致而有效的方式難以被應(yīng)用于不同平臺的混合環(huán)境；第三，缺乏對于設(shè)備升級的控制。在自帶設(shè)備的環(huán)境中，雇員們可以隨意在他們的個人設(shè)備上安裝應(yīng)用和運行軟件升級，這可能給他們的設(shè)備帶來安全漏洞和惡意軟件。這將危及可由這些設(shè)備進入的金融機構(gòu)的資料和公司系統(tǒng)，第四，移動安全方法的成熟性。移動的安全方法仍然普遍處于起始階段。 兩個常見的解決“自帶設(shè)備”安全隱患的方法是使用移動設(shè)備管理和虛擬化。移動設(shè)備管理方面，在移動設(shè)備被許可進入公司網(wǎng)絡(luò)之前，設(shè)備要被驗證以確保沒有被越獄或被嵌入的風險。移動設(shè)備管理方法也可以在一個沙盒環(huán)境（指在一個受限制的操作系統(tǒng)環(huán)境中執(zhí)行一個應(yīng)用去保護公司應(yīng)用可能使用的資源）中管理公司應(yīng)用、資料、政策和設(shè)置。這樣做目的是允許雇員們自由地使用設(shè)備，同時使企業(yè)得以保護其工作環(huán)境。一個健全的移動設(shè)備管理方法應(yīng)該被應(yīng)用于所有的“自帶設(shè)備”安排中。在虛擬化方面，允許雇員們通過一個請求式的入口從他們的移動設(shè)備進入公司的資源和資料，使用強力認證和網(wǎng)絡(luò)加密。由于公司的資料在公司數(shù)據(jù)中心內(nèi)部處理而不能被下載進入移動設(shè)備。在虛擬環(huán)境中嚴格的安全政策限制設(shè)備的復(fù)制和使用，例如打印機，可移動存儲設(shè)備等，以幫助防止數(shù)據(jù)進一步的數(shù)據(jù)泄露。

新加坡金管局要求，如果金融機構(gòu)不能夠恰當?shù)毓芾硐嚓P(guān)的安全風險，則不應(yīng)該實施自帶設(shè)備。金融機構(gòu)要牢記保持警戒并且緊跟移動領(lǐng)域的技術(shù)進步和關(guān)注緊急威脅。定期在自帶設(shè)備基礎(chǔ)設(shè)施上實施漏洞評估和滲透測試以確保任何安全漏洞被識別并盡快做出調(diào)整。

對我國的啟示

2006年銀監(jiān)會《銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引》（以下簡稱《指引》），填補了我國銀行業(yè)信息系統(tǒng)監(jiān)管領(lǐng)域的空白，為推動國內(nèi)銀行業(yè)信息科技風險管理奠定了基礎(chǔ)。2009年3月，銀監(jiān)會對原《指引》進行修訂，并重新定名為《商業(yè)銀行信息科技風險管理指引》。新《指引》貫徹了“管法人、管風險、管內(nèi)控、提高透明度”的銀行監(jiān)管理念。新《指引》規(guī)定，“商業(yè)銀行法定代表人是本機構(gòu)信息科技風險管理的第一責任人”。要求商業(yè)銀行建立有效的機制，實現(xiàn)對信息科技風險的識別、計量、監(jiān)測和控制，促進商業(yè)銀行安全、持續(xù)、穩(wěn)健運行，推動業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平。要求商業(yè)銀行在信息系統(tǒng)開發(fā)、測試和維護以及服務(wù)外包過程中加強對客戶信息的保護，防止敏感信息泄露，對業(yè)務(wù)連續(xù)性管理也加以規(guī)范，保障客戶數(shù)據(jù)安全和服務(wù)連續(xù)。在新《指引》中，提出要構(gòu)建信息科技風險管理的三大防線，即信息科技管理、信息科技風險管理、信息科技風險審計。

從銀監(jiān)會對商業(yè)銀行信息系統(tǒng)風險管理的現(xiàn)場檢查實踐來看，主要有如下幾個問題：高層的知曉度和參與度較低，存在重建設(shè)、輕管理的現(xiàn)象；信息科技風險管理三道防線的設(shè)置存在缺失、重合和分工不清晰的問題；信息系統(tǒng)開發(fā)風險須引起全行更多關(guān)注；銀行業(yè)金融機構(gòu)對災(zāi)難性、突發(fā)性事件的應(yīng)對能力有待提升。

新加坡金管局從2001年開始開展信息科技風險監(jiān)管工作，經(jīng)過不斷實踐、探索，摸索出一套較為先進的監(jiān)管做法。新加坡金管局的信息科技風險監(jiān)管由現(xiàn)場檢查和非現(xiàn)場監(jiān)管構(gòu)成。現(xiàn)場檢查的工作方式有訪談、調(diào)閱資料、現(xiàn)場取證等，檢查結(jié)束后金管局給金融機構(gòu)檢查意見書，金融機構(gòu)要在三個星期內(nèi)向金管局提交整改報告（已整改的問題、未整改問題的整改計劃），金管局會在下次現(xiàn)場檢查時核查整改情況。金融機構(gòu)按照新加坡金管局的要求填報調(diào)查問卷作為非現(xiàn)場監(jiān)管的資料。在處罰方面，罰款是處罰的一種方式，另一種處罰方式是提高存款準備金率。另外，新加坡金管局定期召集商業(yè)銀行高管人員會議傳達科技監(jiān)管信息。金管局利用此種形式，向被監(jiān)管機構(gòu)定期講解信息科技風險發(fā)展的最新形勢，對金融機構(gòu)進行技術(shù)輔導(dǎo)，警示風險，并介紹有關(guān)風險領(lǐng)域的解決方案。

結(jié)合新加坡的監(jiān)管安排及我國銀行及監(jiān)管的實踐，新加坡的監(jiān)管經(jīng)驗對我國有一定的啟發(fā)。

加強我國信息科技風險管理部門建設(shè)。大力度培養(yǎng)復(fù)合型信息科技風險監(jiān)管人員，提高科技人員的業(yè)務(wù)監(jiān)督能力，推動業(yè)務(wù)監(jiān)管人員掌握信息科技監(jiān)督知識。

進一步完善我國銀行業(yè)信息科技風險監(jiān)管的有關(guān)規(guī)章制度。有必要完善信息科技風險評估體系，系統(tǒng)分析銀行業(yè)機構(gòu)采取的風險防控措施的有效性，客觀評價銀行業(yè)機構(gòu)信息科技風險管理水平；建立健全IT外包監(jiān)管體系，建立IT外包監(jiān)督流程，要求商業(yè)銀行健全外包商的風險評估機制，加強對外包風險的識別和監(jiān)控；進一步出臺有關(guān)銀行數(shù)據(jù)保護規(guī)范或政策，要求商業(yè)銀行對數(shù)據(jù)進行分類、定級，確定不同的保護措施和方法。

向銀行業(yè)及時提示信息科技風險信息。各級銀行監(jiān)管機構(gòu)應(yīng)定期召集轄內(nèi)商業(yè)銀行信息科技工作高級管理人員舉辦情況通報會議，每次會議選定重點關(guān)注的信息科技風險點，及時傳達監(jiān)管部門的工作意圖，使商業(yè)銀行能夠及時獲取風險控制手段和工作技巧。

因此，對于我國銀行機構(gòu)防控信息系統(tǒng)風險來說，有如下幾點應(yīng)予以重視。

加強對電子支付欺詐案件的防范。首先，網(wǎng)上支付安全最重要的基礎(chǔ)是客戶端的安全。MAS認為客戶端安全的責任在銀行而非客戶本身，銀行有義務(wù)對客戶進行安全教育，并提供更安全和便捷的技術(shù)工具去增強客戶端的安全性。其次，加快推廣銀行卡的EMV（芯片卡）和動態(tài)認證的實施進程。相對于磁條卡，EMV有安全性高和不易偽造的特點。在芯片卡的認證方式上，MAS要求銀行發(fā)放動態(tài)和混合數(shù)據(jù)認證的芯片卡并逐步替代已有的靜態(tài)數(shù)據(jù)認證芯片卡，以解決靜態(tài)卡中可能存在的仿冒風險，以強化電子支付的安全性。

強化銀行數(shù)據(jù)安全問題的關(guān)注。近年來國際上發(fā)生的一系列數(shù)據(jù)丟失并導(dǎo)致了客戶資金被盜等惡性案件。如2009年8月德國某銀行由于數(shù)據(jù)泄漏而導(dǎo)致了30萬歐元的經(jīng)濟損失，2010年3月匯豐瑞士私人銀行的一個IT員工竊取了該行24000個賬戶信息。新加坡金管局在其許多監(jiān)管文件中都反復(fù)提到了數(shù)據(jù)泄露保護（DLP-Data Loss Prevention）。在IT外包，核心系統(tǒng)可靠性和個人移動設(shè)備管理上下大力氣保護敏感信息的機密性和安全性。借鑒國際銀行業(yè)數(shù)據(jù)中心先進經(jīng)驗，加強對銀行數(shù)據(jù)中心、災(zāi)難恢復(fù)能力的建設(shè)。深入研究和解決目前在災(zāi)難備份系統(tǒng)建設(shè)方面存在的突出問題和技術(shù)難點。