网络安全保障工作总结.docx
《网络安全保障工作总结.docx》由会员分享,可在线阅读,更多相关《网络安全保障工作总结.docx(10页珍藏版)》请在冰豆网上搜索。
网络安全保障工作总结
竭诚为您提供优质文档/双击可除
网络安全保障工作总结
篇一:
网络与信息安全自查工作总结报告
洛阳市第六人民医院
网络与信息安全自查工作总结报告
接到《河南省卫生计生委关于开展河南省卫生系统网络与信息督导检查工作的通知》后,我院领导高度重视,立即召开相关科室负责人会议,深入学习和认真贯彻落实文件精神,充分认识到开展网络与信息安全自查工作的重要性和必要性,对自查工作做了详细部署,由主管院长负责安排、协调相关检查部门、监督检查项目,由信息科负责具体检查和自查工作,并就自查中发现的问题认真做好相关记录,及时整改,完善。
长期以来,我院在信息化建设过程中,一直非常重视网络与信息安全工作,并采取目一套有效的安全管理规范、有效的安全管理措施。
自1月9日起,全院开展网络与信息安全工作自查,根据互联网安全和院内局域网安全的相应特点,逐项排查,消除安全隐患,现将我院信息安全工作情况汇报如下。
信息安全工作情况
一、网络安全管理:
我院的网络分为互联网和院内局域网,两网络实现物理隔离,以确保两网能够互不影响,独立、安全、高效运行。
1.硬件安全,包括防雷、防火、防盗和ups电源连接等。
医院服务器机房严格按照机房标准建设,工作人员坚持每天巡查,排除安全隐患。
hIs、LIs、emR、pAcs等服务器、交换机、存储等都有ups电源保护,可以保证短时间断电情况下,设备运行正常,不至于因突然断电致设备损坏。
此外,局域网内所有计算机usb接口施行完全封闭,
这样就有效地避免了因外接介质(如u盘、移动硬盘)而引起中毒或泄密的发生。
2.网络安全:
包括网络结构、密码管理、Ip管理等;网络结构包括网络结构合理,网络连接的稳定性,网络设备(交换机、路由器、光纤收发器等)的稳定性,我院会定期检查网络设备的运转情况并在信息科有网络设备备件,发生故障可以第一时间更换以确保医院业务的正常进行。
各个医院系统的操作人员,都有自己的登录名和密码,并分配相应的权限,账户施行“谁使用、谁管理、谁负责”的管理制度。
互联网和院内局域网根据区域不同划分为5个Ip段,均施行固定Ip地址,由医院统一分配、管理,不允许私自添加新Ip。
二、数据库安全管理:
我院目前运行的数据库主要是oRAcLe数据库,是保证医院诊疗、划价、收费、查询、统计等各项业务能够正常进行的基础,为确保医院各项业务正常、高效运行,数据库安全管理是极为有必要的。
数据库系统的安全特性主要是针对数据的技术防护而言的,包括数据安全性、并发控制、故障恢复、数据库容灾备份等几个方面。
我院对数据安全性采取以下措施:
(1)将数据库中需要保护的部分与其他部分相隔。
(2)采用授权规则,如账户、口令和权限控制等访问控制方法,并对数据库进行了优化,大大提高服务器数据库并发连接数的承载能力。
(3)数据库容灾备份是数据库安全管理中极为重要的一部分,是数据库有效、安全运行的最后保障,也是保障数据库信息能够长期保存的有效措施。
我院采用的备份类型为完全备份,每天凌晨备份整个数据库,包含用户表、系统表、索引、视图
和存储过程等所有数据库对象。
在备份数据的过程中,主、从服务器正常运行,各客户端的业务能正常进行,也即是热备份。
三、软件管理:
目前我院在运行的软件主要分为三类:
医院系统、常用办公软件和杀毒软件。
医院系统软件包括hIs、LIs、emR、pAcs等系统,其中hIs系统是我院日常业务中最主要的软件,是保障医院诊疗活动正常进行的基础,自20XX年新系统上线以来,运行很稳定,未出现过重大安全问题,并根据业务需要,不断更新充实。
常用办公软件均由医院信息科统一安装,维护。
杀毒软件是保障电脑系统防病毒、防木马、防篡改、防瘫痪、防攻击、防泄密的有效工具。
所有电脑,均安
装了正版杀毒软件(360企业版杀毒软件和安全卫士),并定期更新病毒库,以保证杀毒软件的防御能力始终保持在很高的水平。
四、网站安全管理:
在信息化高度发达的今天,网络宣传的作用日益突出,网站安全管理工作也不容忽视。
我院的网站后台服务器施行托管管理,确保了网站后台服务的稳定性和安全性。
我院设专门网站管理员,负责日常更新、维护,严格执行《网站管理规定》,网站自开放以来,从未发生过重大安全问题,并一直运行良好。
五、应急处置:
我院hIs系统服务器运行安全、稳定,并配备了大型ups电源,可以保证大面积断电情况下,服务器坚持运行数小时。
虽然医院的信息系统长期以来运行良好,但医院仍然制定了应急处置预案,并对收费操作员和医护人员进行过培训,如果医院出现大面积、长时间停电情况,hIs系统无法正常运行,将临时开始手工收费、记
账、发药,以确保诊疗活动能够正常、有序地进行,待到hIs系统恢复正常工作时,再补打发票、补记收费项目。
总体来说,我院对网络与信息安全工作非常重视,未发生过重大的安全事故,各系统运转稳定,各项业务能够正常运行。
但自查中也发现了不足之处,如目前医院信息技术人员少,信息安全力量有限;信息安全意识还够,个别科室缺乏维护信息安全的主动性和自觉性;个别科室的计算机设备配置偏低,服务期限偏长。
今后要加强信息技术人员的培养,更进一步提高信息安全技术水平;加强全院职工的信息安全教育,提高维护信息安全的主动性和自觉性;加大对医院信息化建设投入,提升计算机设备配置,进一步提高工作效率和系统运行的安全性。
经过了为期一周的自查工作,我院充分意识到安全工作是一个需要常抓不懈的工程,同时要不断创新,改变旧有的管理方法和理念,以适应新形势下的安全管理需要。
篇二:
xx通信网络安全防护工作总结
xx通信网络安全防护工作总结
广州xx信息科技有限公司的信息网络安全建设在上级部门的关心指导下,近年取得了快速的进步和发展,实效性强,网络安全防控能力大大增强。
为进一步贯彻落实行业网络与信息安全各项管理规定,严格规范信息安全等级保护,提高企业对信息网络安全的防控能力,保障企业信息网络安全,保证公司各项办公自动化工作的正常进行,促进企业效益的稳步提升,按照《通信网络安全防护管理办法》及《20XX年国家网络安全检查工作方案》要求,我司组织相关人员对系统内信息网络安全等级保护工作认真细致的自检自查,现将自查情况报告如下。
一、定级备案情况
广州xx信息科技有限公司“xx科技网络交易系统”为xx科技自行开发的网络交易系统类型,现使用域名为。
使用1台windows20XX云服务器部署,使用hTTp协议承载业务,2m宽带接入,接入商包括中国电信、中国联通、中国网通三线接入。
“xx科技网络交易系统”网络信息安全建设依照统一标准要求进行,信息安全保护等级为一级。
按照“统一网络、统一平台、统一数据库”的要求,以打造“安全网络交易系统”为战略目标,以“系统集成、资源整合、信息共享”为工作方针,取得了快速的发展,在积极推进企业信息化建设的过程中,更加重视网络信息的安全建设工作。
xx科技有限公司严格按照上级部门要求,主动推进网络安全建设,严律遵循行业标准规范,组织实施信息项目,积极配合上级部门在全行业开展网络安全建设工作。
二、技术安全防范措施和手段落实情况
1、服务器及网络经过检查,已安装了防火墙,同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。
2、网络终端没有违规上国际互联网及其他的信息网的现象。
对信息公开发布门户网站及相关应用系统帐户、口令等进行检查,对服务器上的应用、服务、端口和链接进行了检查,没有网站信息被非法篡改,也没有非法链接。
同时,日常工作中,及时对计算机进行漏洞扫描、木马检测等,加强安全监管。
我单位使用的计算机都为非涉密计算机,主要是用于业务工作,没有用于处理涉密信息的情况。
目前,网络运行良好,安全防范措施和设备运行良好,没有涉及国家秘密
的相关信息,未在网上存储、传输国家秘密信息,未发生过失密、泄密现象。
三、应急工作机制建设情况
1、应急响应机制建设上,根据相关要求,建立了信息安全的相关规章制度,要求信息管理员根据安全工作情况及时向小组报告相关情况,并及时上报县信息化办公室,及时采取有效措施,处理相关问题。
2、对非涉密的相关重要工作信息实行定时异地备份,以防范服务器系统故障带来的损失和影响。
3、目前,我司有专门的信息系统运营支撑团队根据工作中的问题向县信息办及时报告咨询解决。
目前,没有发生信息安全事件。
三、系统风险评估情况
经过安全检查,我司信息安全总体情况良好,但也存在了一些不足,同时结合公司工作实际,进行了整改同时提出了进一步整改的措施。
1、部分职员对信息安全工作的认识不到位。
由于本部门工作涉密很少,机关干部对信息安全防范的意识还不高,对信息系统安全工作重要性的认识还不足。
针对这些情况,县社领导已结合传达全县保密工作会议精神,进一步作了强调和要求。
结合工作开展,今后将继续加强的信息系统安全意识教育,提高干部职工对信息安全工作重要性的认识。
2、设备维护、更新不及时。
服务器的杀毒软件、防护软件没有及时进行更新升级,存在部分漏洞。
针对这些问题,信息管理小组已及时对服务器的杀毒软件、防火墙等进行了更新升级,对存在的漏洞进行了修复。
今后将对线路、系统等的及时维护和保养,及时更新升级防护软件。
3、信息安全工作机制还有待完善。
部门信息安全相关工作机制制度、应急预案等还不健全,还要完善信息安全工作机制,建立完善信息安全应急响应机制,以提高机关网络信息工作的运行效率,促进办公秩序的进一步规范,防范风险。
三、整改情况及计划
针对xx网络安全风险评估结果,我司针对性的指定严密的整改计划:
首先,进一步加大对信息安全工作人员的业务培训,加强员工网络安全意识。
由于网络信息化发展迅速,信息安全管理人员应该时刻保持对新技术的学习,进一步加强对计算机信息系统安全管理工作的业务操作培训,发放一些信息网络安
全管理方面的业务知识材料。
第二,加强对各级各部门人员的信息系统安全教育。
通过开展专题警示教育培训,增强信息系统安全意识,提高做好信息安全工作的主动性和自觉性。
第三,加强分类指导。
由于各部门工作性质不同,信息安全的级别也不同。
希望结合各部门工作实际,对重点信息安全部门和非重点信息安全部门进行分类指导。
篇三:
信息安全工作总结
20xx年信息安全工作总结暨20xx年信息安全工作意见
一、20xx年信息安全工作情况
(一)重点工作开展情况
公司坚持安全第一、预防为主、综合治理的信息安全方针,全面加强人防、制防、技防、物防的四防工作,细化安全管理、深化技术督查、建立健全信息安全管理体系,加大信息安全基础设施建设投入,强化信息系统运维管理工作,坚持信息安全八不准,实现了三个不发生的安全目标,保障了全年信息安全。
1.细化信息安全管理
为加强信息安全保密管理工作,编制了《重庆市电力公司员工信息安全与保密手册》、《重庆市电力公司计算机管理办法》等规章制度,并将保密手册印刷成册,做到每个员工人手一册。
增强了员工的信息安全保密意识,规范了员工的信息安全行为,使公司计算机设备管理更加规范化。
2.积极开展信息安全技术督查
1)建立信息安全督查工作常态化机制
在深入开展信息安全保障工作基础上,成立了重庆市第一支企业化的信息安全督查队,将信息安全督查工作常态化、固定化、流程化。
制定了《重庆市电力公司信息安全督查管理办法》,按照该管理办法,公司先后开展了春节及两会专项督查、供电公司信息安全督查、迎世博信息安全督查等多项工作。
5月21日至22日,通过了国网公司督查组对重庆公司的信息安全专项督查并获得良好评价。
2)开展信息安全反违章专项行动
为努力实现三个不发生基本安全目标,根治违章顽疾,消除事故隐患,全面提高信息系统可控、能控、在控水平,公司编印了《重庆市电力公司开展信息安全反违章专项活动方案》下发到公司各单位。
通过开展信息安全反违章专项活动,组织全员学习《信息安全反事故基线措施》,进行信息安全宣传教育;重点督查了信息安全八不准、隐患消缺机制落实等情况,并及时对公司邮件系统和应用系统发现的弱口令进行了整改。
3.加强应急演练和专项安全保障
1)组织应急演练
公司首次成功举办了由信通公司、江北供电局、杨家坪供电局和超高压局参与的信息广域网联合应急演练。
改变了广域网故障排除以前大家各自为阵的局面,取而代之的是先进的远程统一指挥协作。
通过本次演练,为今后信息系统突发性故障远程统一指挥、协同处置提供了新的模式。
2)保障迎峰度夏和世博会期间的信息安全
为确保迎峰度夏和世博会期间的网络与信息安全,公司开展了以下三方面的工作,一是完善信息系统应急处理机制。
二是开展了安全区域、分区防护、终端安全接入等方面的划分工作,强化业务应用系统与核心设备的综合防护,加大互联网出口和对外服务系统的安全巡检与防恶意攻击。
三是强化运维值班制度,尤其是在重要、特殊时期的值班管理。
4.信息安全人才梯队建设
1)举办公司首届信息化技能竞赛
在全公司组织开展了首届信息化技能竞赛。
公司直属单位、控股供电公司共计40家单位参加竞赛。
本次竞赛的开展对建设信息化高技能人才队伍、优秀信息运维队伍、进一步提高全公司信息化建设水平具有重要意义。
2)开展新进大学生信息安全培训
坚持从源头抓信息安全教育,不断创新信息安全教育培训工作。
每年对新进大学生开展信息安全知识培训,使每位大学生在正式走上工作岗位前就深刻领会信息安全的重要性,敲响安全警钟,牢固树立信息安全意识,在今后的工作中严格遵守信息安全和保密相关规章制度。
(二)工作的突破和创新:
信息安全标准化体系建设
参照Iso27001标准建立了公司信息安全标准化管理体系。
已梳理原有11方面共计64个信息安全规章制度,新编了24个制度、修订了20个制度,保证了公司信息安全管理体系的先进性和完整性。
二、形势分析和重要问题研究
(一)面临的新形势
随着国网公司sg186工程的不断深入,越来越多的系统投入运行,信息系统安全运行工作的重要性更加凸显。
sg186工程对于国网公司,乃至对于整个电力行业都是一个跨时代的事件,通过建立纵向贯通、横向集成的一体化企业级信息集成平台,公司系统实现了上下信息畅通传输和数据共享,由于sg186工程主要是大集中模式,使得信息安全事件已成为一个全局性的、能影响整个公司的较大威胁。
因此必须建立有效的发现、报告、处理、解决信息安全工作机制。
公司作为公共服务行业之一,如果信息安全得不到有效保障,在遭受恶意攻击等破坏行为的情况下,可能造成局部或整个系统瘫痪,影响公司正常生产业务和对外服务。
在加快推进公司信息化建设的同时,必须全面提高信息安全的整体防范能力,加强系统运行维护工作。
(二)需要着力解决的重要问题及措施
公司要建立健全信息安全保障、监督体系,积极防御和综合防范信息技术风险,增强信息系统安全预警、应急处理和灾难恢复能力,保证网络和信息系统功能正常发挥,不断提高信息系统安全稳定运行水平。
1.强化信息安全意识
目前还有个别员工使用信息内网终端直接连接互联网,给公司带来巨大信息安全隐患,甚至可能造成信息泄露事件。
这些行为充分表明个别员工的信息安全意识仍然淡薄,需进一步强化员工信息安全意识。
2.健全信息系统运维体系
健全信息系统运维体系,人员保障是根本。
按照国网公司工作部署,公司20XX年建立了两级三线信息运维体系。
但目前由于信息系统建设、运行、管理工作呈现点多面广的局面,加之个别单位未建立专业的信息化机构,运维人员极其缺乏,很难继续深入细致地开展信息化工作。
三、20XX年信息安全工作思路和重点工作安排
(一)工作思路
20xx年信息安全坚持安全第一、预防为主、综合治理的工作方针,以确保信息系统运行安全和信息内容安全为目标,全面加强人防、制防、技防、物防的四防工作,落实安全责任。
以制度完善为基础,以体系健全为关键,以措施强化为手段,以队伍建设为保障,进一步完善公司信息系统运维体系,严肃安全运行纪律,深化安全管理,加强技术手段应用。
全面深化应用信息运行综合监管系统(Ims系统),着力加强信息系统运行监控,变被动处理为主动防御,持续提升信息系统运维安全保障水平,为公司两个转变和智能电网五大体系建设提供支撑。
(二)重点工作
1.强化信息安全责任制,坚决做到信息安全八不准,确保三个不发生
信息安全关系到公司电网安全,关系到国家安全。
一是各单位要坚持将信息安全纳入公
司安全生产管理体系中,将信息安全纳入信息化工作中,将信息系统等级保护纳入信息安全日常管理工作中。
二是要按照谁主管谁负责、谁运行谁负责、谁使用谁负责、谁督查谁负责的原则,抓好信息安全责任落实。
抓安全生产必须抓信息安全,抓保密工作必须抓信息安全。
三是完善以各单位要成立一把手任组长的信息化领导小组和分管领导任组长的信息安全领导小组,落实信息安全组织机构、编制、人员等方面工作,贯彻执行国家和公司发布的各项信息安全规章制度,把安全责任和安全措施落实到每个环节、每个岗位和每位员工。
四是健全信息化管理运维部门及人员配置,完善本单位的信息化运维考核管理办法,确保责任到位、管理到位、措施到位、执行到位。
1.建立健全信息安全制度体系
建立健全信息安全过程管理的制度、流程、标准体系,实行信息系统安全规划、计划、实施、运行、督查的全过程管控。
对信息安全制度、标准进行滚动式修订,持续夯实公司信息安全标准化管理基础。
2.持续强化信息安全基础管理
一是强化信息安全教育培训,引入信息安全仿真培训平台,将原有单次现场培训调整为通过网络多次、周期化培训,按季度、半年滚动进行,不断强化和提高员工信息安全意识和行为规范;二是深化现有信息安全防御体系建设,加强信息外网安全防护,对信息外网终端进行标准化管理,提高信息外网对DDos攻击防护能力。
推广实施信息安全接入平台及安全终端、非法外联监测系统、身份认证(RA)系统、文档保护系统、统一漏洞补丁管理系统;三是推广实施信息安全综合治理体系,主要包括合规控制、风险控制、管理控制等方面;四是推进智能电网信息系统安全接入,按照国家电网公司统一坚强智能电网信息安全总体方案要求,研究重庆公司用电采集系统、输电线路监测系统、仓库管理系统和车辆管理系统的安全接入工作。
3.切实提高信息系统运行水平
一是按照电网安全生产和运行管理的要求强化信息系统运行管理,建立一套先进的信息调度运行体系。
进一步将所有信息系统纳入公司统一信息运行队伍,严肃安全运行纪律,严格运维监控、运行维护、计划检修、故障通报处理等环节。
二是开展运维操作标准化建设。
制定信息系统运行《标准作业指导书》,实施标准化作业流程(sop),对操作前、中、后三个环节执行严格管理。
严格执行工作票制度,严格故障处理、升级和配置变更、投运与停运等操作流程的审批;通过安全审计系统对所有操作进行全程记录,实现对运行操作从审批、执行到检查、审核各主要环节的全过程管控。
运行操作人员实行持证上岗操作制度,重要操作必须两人在场,有人监护执行。
加强运行现场工作的科学管理,规范运行操作标准,提高系统运维质量。
三是加强三同步工作。
确保信息安全措施与sg-eRp各业务建设的同步规划、同步实施、同步投运,使信息系统全生命周期安全管理贯穿信息系统规划、设计、实施、运维、废弃五个阶段,明确界定各涉及部门责任要求。
建立信息系统安全评审制度,搭建应用系统项目管理平台,从安全管理、安全技术方面对信息系统进行安全管控。
4.深化信息安全督查工作
一是通过完善信息安全技术督查队伍的装备、工具,建设信息安全实验室等手段逐步完善信息安全督查队伍的硬件设施,提高技术检查的准确性和精确度。
二是贯彻全员参加、全员合格、全员保安全的宗旨,结合电监会和国网公司培训、技术交流等形式,开展信息安全督查人员持证上岗培训,提高信息安全督查队员的业务技能,推动信息安全督查工作规范化、标准化,打造一流的信息安全技术督查队伍。
三是建立督查挂牌消缺制度,加强督查发现问题的整改工作机制。
深化日常、专项督查工作,开展信息安全高级督查。
加强督查通报,建立公司督查标杆,推广督查典型经验。
整合并扩充督查工具功能,搭建安全督查工作平台,通过安全督查专家分析,提高督查工作效率,规范督查工作。
5.大力培养信息系统运维人才
推广运维队伍持证上岗工作,拓展运维人员视野,适应信息技术日新月异发展的潜在要求,提升运维人员监测、响应和主动发现威胁的能力,新产品新技术掌控能力,新风险及时发现处置能力,建立一支高素质的信息运行维护人才队伍,确保公司信息系统安全稳定可靠运行。
升级会员 