交通运输局重点领域网络与信息安全检查工作自查报告

1、交通运输局重点领域网络与信息安全检查工作自查报告交通运输局重点领域网络与信息安全检查工作自查报告交通运输局重点领域网络与信息安全检查工作自查报告自查报告交通运输局重点领域网络与信息安全检查工作自查报告检查工作报告安全信息重点领域网络交通运输 根据邓州市信息化工作领导小组办公室关于开展2016年重点领域网络与信息安全检查工作的通知信息安全组织管理 局领导对信息安全管理工作高度重视，结合我局自身情况，成立了由局长为组长，相关部门负责人为成员的局信息化工作领导小组，从组织上保障信息化领域信息安全政策的贯彻落实。同时，建立了信息安全责任制，确定具体管理和维护人员，确保网络信息安全工作顺利实施。 日常信

2、息安全管理 长期以来，我局非常重视对信息系统安全工作队伍建设。为确保本系统政府信息系统安全，首先，因工作需要确实涉密的，不随意扩大和缩小保密工作人员范围，确保工作人员队伍稳定;其次，通过专业培训、个人自学等形式提高业务素质，涉密人员签订保密承诺书，并由领导小组具体进行监督，使责任细化到人、到岗。 我局信息安全建设坚持控制源头、积极防范的原则,加强了规章制度建设。依据国家信息安全条例，制定了符合网络特点、针对性强、可操作性强的保密管理规章制度。先后出台了邓州市交通运输局政务网络安全管理暂行办法、邓州市交通运输局电子政务中心固定资产管理制度、邓州市交通运输局机关办公网络安全保密管理规定、邓州市交通

3、运输局信息网络中心机房管理制度、邓州市交通运输局安全管理人员岗位工作职责邓州市交通运输局机关涉密计算机及其信息系统管理规定等一系列制度,网络维护及信息发布人员都签订有网络维护及信息发布保密承诺书。用规章制度规范行为,细化各个操作环节的管理和责任,使政府信息网络安全保密工作有章可循,有法可依。 我局系统中公文处理软件使用微软office系列及金山的wps。工资系统专用软件等皆为市委、市政府统一指定产品。 市委、市政府大力支持信息安全建设，针对邓州市信息网络安全的实际需求加大投入，以完善我局信息网络安全防范体系。每年我局均拨付专项资金用于网络安全建设。截止目前，已累计投入40多万元为信息安全建设做

4、资金保障。所采购的网络设备、计算机等设备完全满足安全可控可审计要求。 信息安全防护管理 我局政务网络分为内、外两套网络，内、外网完全物理隔离。外网出口区域设置有一体化网关、防火墙、防毒墙、上网行为管理设备各一台。外网服务器区域设置有防火墙进行逻辑隔离。总结点配置一台核心交换机和路由器，同汇聚交换机共同完成各单位业务数据交换。在防火墙和上网行为管理设备上设置安全策略和访问权限，对上网行为和权限进行审计。互联网出口为联通光纤网络，在上网行为管理上留存网络访问日志，定期对日志进行分析，排除安全隐患。业务系统有oa系统及web服务器等应用系统。配置网络设备均进行常见病毒及攻击端口过滤配置，以通过基础网

5、络屏蔽部分攻击及病毒的入侵，有效的提高网络整体安全性。 我局的网络及信息系统未划分保密等级。在安全防护措施方面，充分利用技术和管理双重措施，全面加大在防病毒、防篡改、防攻击、防瘫痪等方面的力度，每台设备均实名接入，固定分配ip并绑定mac，同时详细记录备案;及时更新补丁，修复漏洞，升级操作系统，关闭一切不必要的服务和端口;对于移动存储介质采取专人保管，涉密文件单独存放，电子文档不得在办公网络中流转，严禁携带存在涉密内容的介质到联网计算机上加工处理。涉密计算机与互联网和其他公共信息网物理隔离，并配置有密码设备，由专人负责管理，不存在涉密和非涉密设备混用。同时，执行严格的身份认证和访问控制，严禁私

6、自接入互联网。 对于网站运行安全，操作要求：一是专属权限密码登陆后台;二是上传文件提前进行病毒检测;三是网站分模块进行维护，定期清理后台垃圾文件;四是网站更新专人负责。同时，建立并健全网站内容发布和审批制度，各单位发布的信息严格按照交通运输局机关办公网信息发布管理制度规定，责任到人。市委办公室、局信息安全领导小组对各部门上网内容进行文字审核，统一把关。按照 谁上网谁负责 的原则，确保发布到网站上的内容不出现偏差。同时，部署安全设备对服务器进行全面防护，经常性安全检查，主要对sql注入攻击、跨站脚本攻击等进行监管。后台管理制度完善，统一管理系统账户，采用高强度密码操作，无空口令、弱口令或默认口令

7、。定期对网站服务器进行脆弱性扫描，发现问题及时采取措施，修补漏洞，做到防范于未然。 我局电子邮箱依托政务内网，仅对各单位工作人员开放申请注册，每个账号均保存有详细备案，无外部人员使用，且与外部网络完全物理隔离，具有较高的安全保障。规定使用人员定期更改账户口令，采用复杂的多类字符提高口令强度。 信息安全应急管理和教育培训 我局根据国家网络与信息安全事件应急预案，结合实际情况，制定了邓州市网络与信息安全应急预案。重要数据灾难备份目前正在申请专项资金，做好前期调研，加快项目推进。明确应急技术支援队伍，保障技术支撑。加强宣传培训，增强危机防范意识。规定每年至少进行两次信息安全培训，定期组织人员学习，提

8、高专业技术水平。展开应急演练，保证人人演练，人人总结，相互交流经验弥补不足。专业学习和应急演练结合进行，在学习中开展演练，在演练中学习知识，取得了良好的效果，大大提高了工作人员的业务素质。 三、检查发现的主要问题及整改情况. 根据上年度下发的反馈意见，我局对其中发现的问题高度重视，立即对信息安全检查整改工作进行部署和落实，逐条研究落实整改措施，认真开展信息安全整改工作。目前工作已全部落实，具体情况如下。 网络部分：核心交换机及路由设备常见病毒和攻击端口过滤配置工作已完成。核心设备的主要部件已实现冗余设置。网络拓扑结构重新绘制，完善设备配置、端口分配等资料信息，建立设备维护档案。 主机部分：设立了主机管理制度，禁用无用账户和系统服务，定期对主机更新补丁、查杀病毒。目前所有主机已更新到最新的补丁。定期对关键网络设备进行安全评估，提高信息系统设备安全性。 物理安全及其他：对机房中设备线缆进行摸排，完善设备端口对照表，并粘贴标签。已实现对设备主备电源