烟草公司2015年上半年网络安全检查报告.doc

烟草公司2015年上半年网络安全检查报告根据2015年烟草行业网络安全检查工作方案的工作要求，定于2015年在全省系统范围内检查上一年度安全检查中发现问题的整改情况和整改效果，及本年度“三全”整改情况专项检查发现问题的整改情况和整改效果，以及针对未整改问题制订的整改计划及其可行性。我市烟草专卖局（公司）为配合省局做好此项工作，保证检查工作有序进行、确实检查目标任务完成、巩固“三全”工作成果，特制订本专项检查报告。一、网络安全工作情况（一）网络安全责任制落实情况1、领导到位为更加有效地提高我市信息化安全工作水平，形成领导带头，全员参与的信息化安全工作的长效机制，使信息化安全建设工作渗透到我们工作的每一个角落，全面实现按流程操作、按制度管理，事事有落实的全新工作局面。在市局党组的高度重视下，成立了由局长（经理）担任组长的信息化安全工作领导组。2、机构到位信息中心作为信息化安全工作领导组的牵头部门、落实部门，科室内分工明确，职责清晰，配套相关工作制度、工作流程、管理制度及管理办法，形成了定岗、定人、定责的工作流程、实现了事事有人管，管事靠制度、制度促管理的工作局面，全面负责全市系统与网络的信息安全工作。目前，市局信息中心共有3名工作人员，其中主任1名，科员2名（其中具有计算机或相关专业本科学历的3人、有2人从事信息化工作五年以上、2人取得了国家认证的企业信息管理师资质）。3、人员到位我市每个县级营销部均有两名信息化水平方面较强的人员担任本单位的系统管理员（其中系统管理员要求具有大专以上计算机相关学历者担任），负责本单位的网络和信息系统的维护工作。同时，确定了一名分管领导负责本单位信息化工作的总体协调及信息化安全管理工作。通过“县局对市局负责、市局对省局负责”的工作方法，极大的提高和规范了各县局营销部信息化建设水平与管理水平，也更加规范了信息化设备、系统的安全使用，为我市信息化的安全发展打下了坚实的人才基础与工作基础。（二）信息系统和设备基本情况自查情况2015年上半年，信息部门对我市信息化软、硬件资源进行整合，整合分为摸底汇总、复查封存、整合回收、定岗定机四个阶段进行，并以部门为单位登记入册，建立了统一的信息化软、硬件设备管理台帐，实行定岗、定人、定设备的管理方针，各县级营销部的网络设备系统管理员为第一责任人，并受市局信息中心统一管理。分管领导为第一责任人，日常督促市局信息中心安排的各项工作。整合后的资源实现了定岗定机、统一调度，统一管理，优化组合，物尽其用。 2014年，按照国家局、省局对行业信息化建设的统一安排和部署，严格遵循烟草行业信息化建设统一技术平台要求、行业标准化体系框架、烟草行业计算机网络建设技术与管理规范、烟草行业计算机网络和信息安全技术与管理规范，新开发信息系统符合信息化建设标准、规范；使用行业统一单位代码；使用行业统一卷烟条形码；符合国家局业务应用技术标准与规范。目前形成了支撑业务及专卖运作的营销系统、支撑国家局统计分析的 “一号工程”卷烟生产经营管理系统、国家局数字仓储系统、支撑全市召开视频会议的视频会议系统、支撑车辆管理的GPS系统、支撑网络运作的网络安全管理系统、及省局集中的云平台等系统。此外，还包括支撑以上系统运作的庞大网络和硬件资源。从运行到现在各系统未出现过一次影响业务运行超过2个小时以上的事故发生，从信息平台的管理、支撑方面保证了我市经营业务的平稳运行。（三）2015年上半年网络安全主要工作情况1、网络安全管理情况一是人员管理。建立了较为完美的岗位网络安全责任制度、重点岗位人员安全保密协议、人员离岗离职安全管理及外部人员访问机房审批流程；二是资产管理。对全市信息化资产建立台账，并与办公室、财务科配合，定期进行资产自查，做到账物相符。与县局在信息化资产方面建立联动管理机制，有效的规范了全市行业信息化资产的使用，使得信息化资产资源利用率得到提升，达到了统一管理、合理调配，提高使用效率的目的；三是外包服务情况。按照省局统一工作部署，今年分别与6家运维服务公司签订了关于系统软硬件、机房基础设施、服务器软硬件等运维合同；四是网络安全教育和技术培训。今年对全市系统管理员开展了关于office软件操作、双面打印技巧及网络安全知识及简单故障排查方法的培训工作，取得了良好成效。2、技术防护情况按照国家局提出的网络安全“五防”建设要求，我市分别从内网安全及外网安全两方面，从以下三方面提升了我市信息安全管理水平：一是利用“防火墙”、“IPS入侵防御”、“上网行为管理”、“准入管理”等工具，最大程度的防止网络黑客、病毒对我市局网络的攻击，降低了网络安全风险；二是通过设置网络地址映射、下发网络安全策略、实现IP地址与MAC地址的绑定，在提高网络带宽使用效率的前提下，分时段、分权限、分内容，按照“谁可以访问互联网”、“什么时间可以访问互联网”、“可以访问哪些内容”的原则，执行“外网开通审批”制度，实现全网统一策略、统一管理，实现了真正意义上的集中控制、集中管理，不断加强了我市的信息安全管理水平；三是在客户端、服务器端严格要求安装指定杀毒软件，定期进行漏洞扫描及修复，并在核心交换机内部安装“防火墙板卡”，从内部网络着手，以“防内为主、内外兼防”为原则，与外部防御共同构建积极、综合、牢固的安全防护系统。3、应急管理情况制订（修订）了信息安全应急预案；明确了应急技术支援队伍；公司本年度内没有组织应急演练验证应急预案的可操作性；2015年上半年，我市局（公司）进行了机房停电应急演练和网络链路中断应急演练。4、网站和邮件系统安全防护情况在互联网运行的外部网站管理账户和口令强度符合安全要求，不存在无关账户；及时更新服务器补丁，关闭了不必要的端口，停止不必要的服务和应用，删除了不必要的链接和插件；实施了网站防篡改信息系统，定期检查网站目录结构，及时删除临时文件；信息发布审核按照分工由市局办公室审核把关，记录完整。我市公司使用的是outlook内部邮箱系统，按照部门及岗位工作需要严格履行邮箱开通审批流程，并在核心交换机处部署防火墙板卡，结合PC端McAfee杀毒软件加强邮件收发的安全性。5、Windows XP停止服务应对工作情况按照省局关于开展微软公司相关软件使用更新情况调查的通知工作通知，我市局迅速作出响应，一是面向全市各个部门下发了邮件，对我市公司对Windows XP、Office2003、Windows Server 2003等软件的使用情况进行了摸底调查并上报了省局；二是建议目前仍在使用上述软件的工作用计算机改用正版Win7系统、Office2007或更高版本办公软件；三是联系各系统运维商对部分服务器系统升级成为Windows Server 2008或更高版本。二、检查发现的主要问题和面临的威胁分析（一）整体安全状况分析1、网络安全问题的产生随着信息化水平的不断提升，工作中和互联网的接触愈加紧密，不仅有终端计算机可以直接访问互联网获取信息，而且有依托互联网开展卷烟订购业务的网上订货系统。互联网的开放性、交互性和分散性使我市公司的经营业务及日常工作得到顺利开展，然后互联网的上述特性也使我市公司在享受方便、灵活、快捷的同时面临有许多安全问题：如计算机中毒、网络攻击及面对网络安全事情应急预案不完善、应变能力薄弱等。 2、制约我市公司提升网络安全防范能力的因素2.1缺乏我国自主的计算机网络和软件核心技术我国目前使用的CPU、操作系统和数据库多为国外品牌，这些因素导致我国的计算机网络安全性能大大降低，被认为是“易窥视”和“易打击”的。在这种大环境下，我市公司的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中，网络安全处于极度脆弱状态。2.2安全意识淡薄是网络安全的根源 由于网络安全知识的普及程度不够，大部分人在利用计算机忙于工作的同时，对网络信息的安全性无暇顾及、安全意识较为薄弱，对网络信息不安全的事实认识不足。总体上看，由于从上到下普遍存在的侥幸心理，没有在我市公司形成主动防御、积极应对的全民意识，更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。2.3运行管理机制的缺陷和不足制约了安全防范的力度一是网络安全管理方面人才匮乏。目前我市公司从事信息安全管理的人员并不具备安全管理所需要的技能、资源和丰富经验。网络安全管理方面的人才无论在数量还是水平，都无法适应信息安全形势的需要。二是安全措施不到位。对工作用计算机的配置不当和对系统补丁漏洞的修复不及时，往往导致的结果就是系统瘫痪、敏感数据暴露，使系统导致风险。三是缺乏综合性的解决方案。网络安全问题远远不是简单的防火墙和防病毒软件就可以解决的，也不是大量标准安全产品的简单堆砌就能解决的。我们需要的是一整套综合性企业网络安全管理解决方案，包括风险评估和漏洞检测、入侵检测、防火墙和虚拟专用网、防病毒和内容安全过滤解决方案等。（二）发现的主要问题和薄弱环节1、信息系统的自主设计开发能力薄弱立足于自主研发，实现核心技术“以我为主、由我掌控”，是国际著名烟草企业以及业外知名企业的成功经验。但通过本次自查发现，我市6套信息系统，自主设计开发的数量为0，全部委托国内厂商开发。由于对信息系统的自主设计开发能力较弱，导致对外部企业的技术和运维产生较强依赖性。2、网络边界安全防护有待进一步加强我公司目前在网络边界部署了互联网防火墙、网页防篡改、上网行为管理、网络准入系统、入侵防御系统、内容安全管理。按照国家局“三全”工作要求，仍缺少防病毒网关及抗拒绝服务攻击设备，网络安全防护能力有待进一步加强。3、终端计算机管理方式不完善通过自查，暴露了我市公司目前对全市终端计算机的统一管理上面尚存两方面缺陷。一是缺少对全市工作用计算机统一的补丁升级管理；二是对移动存储介质的接入缺少统一控制管理且未配备信息消除和销毁设备。4、国产信息技术产品使用率较低从检查结果来看，除了有限的网络安全设备为国产产品外，如深信服、绿盟等，其余服务器、小型机及终端计算机的CPU、操作系统，以及中心机房所使用的路由器及交换机等均非国产。（三）面临的安全威胁和主要风险1、由于我们目前使用的信息系统全部委托国内厂商进行定制开发，在系统运行与维护上对软件开发公司产生了较强的依赖性，同时，还存在着行业机密信息泄漏的风险。2、由于网络本身存在开放性及脆弱性等特点。如TCP/IP协议作为开放的网络协议，存在着大量的安全漏洞，基于它所提供的FTP、EMAIL、RPC、NFS等我市公司常用到的系统服务也包含了诸多的不安全因素；3、由于操作系统、杀毒软件、CPU均是国外产品，其中隐藏的程序“后门”、监听端口往往容易被别有用心的组织或个人所利用，造成网络攻击及信息窃取。三、安全整改情况根据2014年安全检查和本次安全自查的要求，在自查过程中发现了很多不足，同时结合我市实际，今后要在以下几个方面进行整改。一是要继续加强对入网用户的信息化安全意识教育，提高做好安全工作的主动性和自觉性，要切实增强信息安全制度的落实工作，不定期的对安全制度执行情况进行检查，对于导致不良后果的责任人，要严肃追究责任，从而提高人员安全防护意识，并提高安全工作的现代化水平，便于我们进一步加强对计算机信息系统安全的防范和保密工作;二是要以制度为根本，以我市局（公司）全市范围内进行的制度梳理要求下，在进一步完善信息安全制度的同时，安排专人，完善设施，密切监测，随时随地解决潜在或可能发生的信息系统安全事故;三是要加大对线路、系统等的及时维护和保养，加大更新力度，计划对重要的专线进行链路备份，从物理安全和网络安全方面增加信息系统的安全性;四是充分发挥我烟草目前在安全设备配置方面（网页防篡改、上网行为管理、网络准入系统、IPS、内容安全管理、入侵防御设备和负载均衡设备）的作用，加强网络安全管理；五是将逐步对现在应用系统制定应急预案，根据应急预案准备应急