信息安全自查报告

1 / 14 信息安全自查报告 息系统安全自查报告 北京市 公室接到北京市 息化工作办公室关于开展 全 络与信息系统安全检查工作的通知后，我 导十分重视，及时召集相关人员按照文件要求，逐条落实，周密安排自查，对全 备的所有计算机网络与信息安全工作进行了自查，现将自查情况报告如下： 一、 领导高度重视，组织、部门健全 导班子高度重视信息系统安全工作，本着 “ 谁主管谁负责、谁运行谁负责、谁使用谁负责 ” 的原则，成立了 息系统安全领导小组，区局一把手担任领导小组组长，分管领导为副组长，下属各单位负责人为成员。 各基层分部设立计算机管 员岗位，分别有责任心、取得全国计算机等级二级以上（含二级）证书、熟悉业务操作的人员担任，负责本单位计算机软、硬件及网络安全管理。对本单位计算机出现的软、硬件问题及时上报 息中心。结合本部门的信息系统安全管理需求，不定期地对计算机管 员开展相关业务培训。 二、结合 统安全自查方案，认真开展自查工作 （一）安全管理方面： 定了 文处理应2 / 14 急预案、 部网站应急预案、 络故障应急预案、 算机机房运行维护管理办法，并着重落实上级部门下发的信息安全政策、法规和规章制度。 确定信息中心二名工作人员担任信息系统安全管 体处理信息系统安全的相关工作。 心机房于 2015 年建成，面积约 90 平方米，安装了接地保护装置，配备了手持式灭火器，配有两台柜式空调，并确保空调 24 小时正常运转。加强中心机房的供电管理，配备一台专用的 10源专供中心机房设备使用，配备一台专用的 6源专供征收大厅设备使用，并定期对 池性能进行相应测试。 015年元月实行内、外网物理隔离，内外网均通过 2 套线路和隔离卡实现内外网切换。内网分为应用服务区与办公区，通过一台硬件防火墙进行对外与对外的访问控制，所有内网服务器与终端均安装网络版病毒防火墙。外网通过硬件防火墙、上网行为管理工和防病毒网关实行访问控制。局机关所有计算机安装隔离卡进行内外网物理隔离，基层分局只在分局负责人计算机上安装隔离卡实行内外网物理隔离，其他计算机只允许上内网。 （二）安全技术方 面： 网络通过租用联通的专线，实现市局、区局及分局三级网络互联，各基层分局通过路由交换和以太网两种方式按入区局，区局机关按股室按分3 / 14 心机房内网设备目前有 3 台华为 2631 路由器、2 台华为 3680 路由器和 3 台华为 3552 交换机为核心层， 2 台华为 3026 交换机作为接入层。 除华为 3552 交换机有热备份，其他网络设备没有冷、热备份，通过 2 台东软硬件防火墙进一步加强网络安全管理。 心机房外网设备目前有 6 台华为 3928 交换机，2 台防病毒网关， 2 台上网行为管 理， 2 台防火墙，另外租用网通地址，各基层分局以以太网方式接入互联网。 有服务器 8 台， 7 台服务器的操作系统为000 台服务器的操作系统为 003 有服务器根据账号策略设置用户密码，强化安全管理。 有内外网中的路由器和交换机均按照 络运行管理规范进行命名管理，并对其用户口令进行加密。内外网中的防火墙均设置访问控制策略，提高系统的网络安全系数。 （三）工作用台式机、笔计本电脑和移动存储介质 检查和加固： 及时更新台式机和笔计本电脑的操作系统和应用程序补丁，禁用 户组，统一安装网络版瑞星防病毒软件，并通过设置自动升级和定时对计算机进行扫描，对4 / 14 外接的 备，必须进行病毒扫描。 三、存在的主要问题 通过本次自查发现，我 息系统存在不少安全隐患问题，主要有以下几方面： （一）安全保护意识有待增强，各种安全保护措施有待加强，部分管理人员的安全保护意识薄弱。 （二）数据的存储及备份机制还不够完善，存在信息丢失的隐患， 存在移动存储介质内 外网混用，个别笔记本电脑存在内外网混用。 （三）重技术建设、轻安全保护。进行计算机信息系统建设规划时，主要考虑了业务需求和系统技术性能要求，没有很好地将系统的安全保护措施一并考虑，造成安全保护工作相对滞后。 四、加强安全保护工作的意见和建议 根据信息安全自查的情况，结合实际情况，现就加强息系统安全工作，提出以下意见和建议： （一）加强领导，提高对信息系统安全重要性和紧迫性的认识。组织相关人员认真学习与信息系统安全有关的管理规定，不断增强信息系统安全保护意识，做 到认识到位、措施到位、管理到位。 （二）认真落实技术防范措施，着重落实以下等安全5 / 14 保护技术措施： 1、系统重要数据的冗余或备份措施； 2、计算机病毒防治措施； 3、网络攻击防范、追踪措施； 4、研究有关内网补丁升级的措施。 （三）严格防范内外网移动存储混用，加强对移动存储的分类管理，严禁在外网机器处理或保存涉税文件，严格执行内、外网物理隔离制度。 （四）停用内外到外网出口，瑞星防病毒托管服务器升级下挂到市局。 （五）加强网络和安全 设备管理，调整网络和安全设备配置，严 格网络访问控制策略，保护网络安全。 （六）加强中心机房的管理工作，提高机房运行环境，保障设备安全。 学 网站信息系统安全自查报告 我校网站 X 年 X 月建成并正式开始运行，该系统以服务教育教学，提高办公效率、加强对外宣传为中心，主要业务包括：学校信息发布、校务公开、政策宣传、教学科研等。服务的对象主要是我校师生和社会公众，网站运行几年来，整体比较稳定，未发生大的信息安全事故。 接到市教育局6 / 14 转发的 公安局关于 开展国家级重要信息系统和重点网站安全执法检查工作的通知的通知后，我校领导非常重视，立刻召开行政办公会对此项工作进行了布置，成立了自查工作领导小组，组长由主管信息安全工作的副校长担任，成员由校办室主任、信息中心主任、网络管 员等组成。此项工作由校信息中心具体负责，信息中心按照文件要求，对校网站信息系统安全进行了认真的自查，现将自查情况汇报如下： 一、领导重视，组织健全，制度完善，经费到位 学校领导高度重视网络安全，信息安全保护工作为年度工作的重要内容，信息安全工作经费全部列入学校预算 。网站开始运行后，学校即成立了信息网络安全管理小组，组长由分管信息安全的副校长担任。管理小组主要负责制定学校网络安全规章制度，构建校园网络环境，审核信息发布内容，监控网络安全运行，事故调查和处罚等。小组定期召开工作例会，通报、协调网络安全运行情况，对存在的安全隐患，讨论解决方案，制定实施计划，并以最短时间加以解决。 1 二、分工明确，实行信息安全责任制和责任追究制 学校实行信息安全责任制，校长为系统信息安全第一责任人，并签订了信息源入网安全责任书。分管信息中心的副校长为单位网络 安全工作负责人，负责网络安全的全面工7 / 14 作。信息中心为网络安全部门，负责校园网的安全保护工作和设备的维护工作。学校涉及网络信息安全的部门和个人全部签订了信息安全责任书，对不履行职责，造成安全事故和重大损害的，学校将进行责任追究，情况严重的，学校给予纪律或经济处理，直于依法追究刑事责任。 三、网络安全规划合理，安全保护技术落实到位 学校根据网站信息系统的各项实际应用对网络安全的需求进行分析，制定了网络安全规划。针对潜在的网络内部和外部的安全风险，对各层网络存在的安全隐患进行监控，实现多级访问控 制，配备网络安全分析和入侵检测系统，强化安全管理的技术手段。学校网络构建了多层安全防护体系，目前校园网最外层安装有硬件防火墙，并经过路由检测才能进入内网，校内计算机都安装软件防火墙，阻止病毒攻击。信息中心对全校网络进行监控，对存在安全隐患的问题及时排除和解决。学校还多次请专业人员对学校信息系统进行安全检测，对于排查出的问题及时进行了整改。 目前，学校网络系统整体运行正常稳定。 四、严格执行备案制度 2 学校网站在正式发布以前，即办理了前置审批手续，并在工信部进行了备案， 案号为： 。学校还按照国家相关要求，请专业人员对学校网站的安全性进行了8 / 14 测试工，发现问题及时按要求进行整改。学校信息系统进行了自主定级，撰写了信息系统等级自主定级报告，定级备案工作正在进行中。 五、严格执行信息发布审批制度 为确保上网信息的安全，我们按信息内容进行了划分，实行上网信息审批制度。各处室指定有上网信 息报送人，上传信息先由处室主任进行审核，再由办公室主任和信息中心主任进行审核，由发布人和审核人签字后方可上传。坚决杜绝以下几种信息上网：违反国家法律、法规的文章和消息；不宜公开发表及国家有关法规禁止传播的各类信息；涉及著作权的各类信息；造谣、传谣、道听途说、人身攻击等方面的信息。 六、重要数据保护和备份到位，信息安全应急处置措施得当 学校网站的重要数据的备份采用硬盘、光盘等多种存储介质，学校还有专门的备份服务器，重要数据都能做到及时备份，出现问题能马上恢复。学校建立了网络安全日常监测预警机制， 信息中心对学校网络的日常运行进行实时监测。学校还制定了网络安全应急预案，并进行了多次演练，根据演练情况和演练过程中出现的问题进行了修改，信息安全应急预案日臻完善。 七、经常开展网络安全宣传培训 3 9 / 14 学校通过多种途径经常对全体师生开展网络安全宣传教育，以提高他们的信息安全意识。单位还拨出经费，对网络安全岗位管理人员和网络安全员进行培训，提高他们的技术能力。 通过自查，我们也发现了一些问题： 1、个别教师安全意识有待进一步加强； 2、信息安全技术方面力量较为薄弱，安全管理人员 的能力需进一步提高； 3、信息安全档案不够规范等。 发现问题后，我们对全体教师的信息安全意识进行了再教育，进一步明确了岗位职责，强化了责任意识和责任追究制度。对于发现的信息安全不够规范的问题，我们责成相关人员进行了重新整理。下一步，学校将增加信息安全方面的投入，加强对信息安全管理人员的技术培训，进一步提高他们的技术能力。另外，学校还将与信息安全方面的专业公司进行合作，对学校网站进行优化，加强信息安全防范力度，保证学校信息系统的安全运行。 4 根据上级相关通知精神要求，为进 一步加强我镇社网络与信息安全工作，认真查找我镇社网络与信息安全工作中存在的隐患及漏洞，完善安全管理措施，减少安全风险，提高应急处置能力，确保全镇网络与信息安全，我镇对网络与信息安全状况进行了自查自纠和认真整改，现将自查自纠10 / 14 情况报告如下： 一、计算机涉密信息管理情况 今年以来，我镇加强组织领导，强化宣传教育，落实工作责任，加强日常监督检查，将涉密计算机管理抓在手上。对于计算机磁介质（软盘、 U 盘、移动硬盘等）的管理，采取专人保管、涉密文件单独存放，严禁携带存在涉密内容的磁介质到上网的计算机上 加工、贮存、传递处理文件，形成了良好的安全保密环境。对涉密计算机（含笔记本电脑）实行了与国际互联网及其他公共信息网物理隔离，并按照有关规定落实了保密措施，到目前为止，未发生一起计算机失密、泄密事故；其他非涉密计算机（含笔记本电脑）及网络使用，也严格按照镇计算机保密信息系统管理办法落实了有关措施，确保了机关信息安全。 二、计算机和网络安全情况 一是网络安全方面。我镇配备了防病毒软件、网络隔离卡，采用了强口令密码、数据库存储备份、移动存储设备管理、数据加密等安全防护措施，明确了网络安全责任， 强化了网络安全工作。 二是信息系统安全方面实行领导审查签字制度。凡上传网站的信息，须经有关领导审查签字后方可上传；二是开展经常性安全检查，主要对 入攻击、跨站脚本攻击、弱口令、操作系统补丁安装、应用程序补丁安装、防病毒软11 / 14 件安装与升级、木马病毒检测、端口开放情况、系统管理权限开放情况、访问权限开放情况、网页篡改情况等进行监管，认真做好系统安全日记。 三是日常管理方面切实抓好外网、网站和应用软件“ 五层管理 ” ，确保 “ 涉密计算机不上网，上网计算机不涉密 ” ，严格按照保密要求处理光盘、硬盘、 U 盘、移动硬盘等管理、维修和销毁工作。重点抓好 “ 三大安全 ” 排查：一是硬件安全，包括防雷、防火、防盗和电源连接等；二是网络安全，包括网络结构、安全日志管理、密码管理、 理、互联网行为管理等；三是应用安全，包括网站、邮件系统、资源库管理、软件管理等。 三、硬件设备使用合理，软件设置规范，设备运行状况良好。 我镇每台终端机都安装了防病毒软件，系统相关设备的应用一直采取规范化管理，硬件设备的使用符合国家相关产品质量安全规定，单位硬件的运行环境符合要求，打印机配件、色带架等基本使用设备原装产品； 防雷地线正常，对于有问题的防雷插座已进行更换，防雷设备运行基本稳定，没有出现雷击事故； 转正常。网站系统安全有效，暂未出现任何安全隐患。 四、通讯设备运转正常 我镇网络系统的组成结构及其配置合理，并符合有关12 / 14 的安全规定；网络使用的各种硬件设备、软件和网络接口也是通过安全检验、鉴定合格后才投入使用的，自安装以来运转基本正常。 五、严格管理、规范设备维护 我镇对电脑及其设备实行 “ 谁使用、谁管理、谁负责 ” 的管理制度。在管理方面我们一是坚持 “ 制度管人 ” 。二是强化信息安全教 育、提高员工计算机技能。同时在镇开展网络安全知识宣传，使全体人员意识到了，计算机安全保护是 “ 三防一保 ” 工作的有机组成部分。而且在新形势下，计算机犯罪还将成为安全保卫工作的重要内容。在设备维护方面，专门设置了网络设备故障登记簿、计算机维护及维修表对于设备故障和维护情况属实登记，并及时处理。对外来维护人员，要求有相关人员陪同，并对其身份和处理情况进行登记，规范设备的维护和管理。 六、网站安全 我镇对网站安全方面有相关要求，一是使用专属权限密码锁登陆后台；