信息网络安全等级保护工作自检自查报告.docx
《信息网络安全等级保护工作自检自查报告.docx》由会员分享,可在线阅读,更多相关《信息网络安全等级保护工作自检自查报告.docx(26页珍藏版)》请在冰豆网上搜索。
信息网络安全等级保护工作自检自查报告
信息网络安全等级保护工作
自检自查报告
XX 县烟草专卖局(分公司)的信息网络安全建设在上级部门的
关心指导下,近年取得了快速的进步和发展,实效性强,网络安全
防控能力大大增强。
为进一步贯彻落实行业网络与信息安全各项管
理规定,严格规范信息安全等级保护,提高企业对信息网络安全的
防控能力,保障企业信息网络安全,保证公司各项办公自动化工作
的正常进行,促进企业效益的稳步提升,按照《XX 县人民政府办公
室关于开展信息网络信息安全等级保护安全检查工作的通知》要求,
我司组织相关人员对系统内信息网络安全等级保护工作认真细致的
自检自查,现将自查情况报告如下。
一、 等级保护工作部署和组织实施情况
XX 县烟草公司企业信息化建设在市局(公司)的统一领导下,
按照“统一网络、统一平台、统一数据库”的要求,以打造“数字
烟草”为战略目标,以“系统集成、资源整合、信息共享”为工作
方针,取得了快速的发展,在积极推进企业信息化建设的过程中,
更加重视网络信息的安全建设工作。
从省公司到市公司、县公司,
领导高度重视,统一规划,统一标准,同步实施。
首先是逐级成立
了领导小组和职能部门,XX 分公司按照上级部门要求,2000 年 11
月成立了信息化领导小组,下设信息办在公司办公室,并设置了计
算机系统管理员岗位,明确了各自的职责。
由于网络推广应用迅速,
2005 年重新更设了计算机网络信息中心,旨在强化对企业的网络建
设和网络安全管理。
在历次的机构设置中,都明确了分公司主要领
导分管信息工作,把网络信息安全的建设与管理摆到了企业各项工
作的重要位置中来,表明了企业对信息化建设、网络安全管理的高
度重视和决心。
其次是对行业的网络安全建设高瞻远瞩、统一标准、
规范运作、务求实效。
先后省公司下发了《云南省烟草专卖局关于
建设云南省行业计算机网络与信息安全系统的通知》,对全行业的网
络信息安全建设作了明确、细致的规定,制定了高效规范的《云南
省烟草行业计算机网络与信息安全系统建设方案》,统一在全系统范
围内实施。
随后市局公司又下发了《曲靖市烟草专卖局(公司)关
于建设网络安全系统的通知》,对各分公司的网络安全建设作了具体
的安排部署。
XX 县烟草公司严格按照上级部门要求,主动推进网络
安全建设,严律遵循行业标准规范,组织实施信息项目,积极配合
上级部门在全行业开展网络安全建设工作。
二、信息系统安全保护等级备案情况
XX 县烟草专卖局(分公司)隶属曲靖市烟草专卖局(公司)子
公司,无法人资格。
网络信息安全建设也是依照市公司统一要求进
行,信息安全保护等级为二级。
按照本次检查要求,备案材料主要
包括三类。
一是各级各部门的文件,包括有:
罗烟司字[2000]48
号《关于成立云南省烟草 XX 县公司信息化领导小组的通知》,省公
司云烟科[2000]209 号《关于决举办云南省烟草行业计算机系统
管理员培训班的通知》,省公司云烟信[2003]552 号《云南省烟草
专卖局关于建设云南省烟草行业计算机网络与信息安全系统的通知》,
市公司云曲烟专司字[2004]35 号《曲靖市烟草专卖局(公司)关
于建设网络安全系统的通知》、《曲靖烟草专卖局(公司)党政工作
部关于举办网络信息安全培训的通知》,市公司云曲烟办字[2004]
98 号《曲靖市烟草专卖局(公司)关于建设地面专网的通知》等。
第二类是各项网络信息安全建设规范、技术标准及方案等,主要包
括有:
《云南省烟草行业信息网络信息系统技术规范》两部分,《云
南省烟草行业信息网络系统计算机网络系统建设技术规范》、《云南
省烟草行业计算机网络与信息安全系统建设方案》。
第三类是各类管
理制度或规定,主要包括有:
《云南省烟草行业信息网络管理规范》、
《云南省烟草行业计算机网络与信息安全管理制度》、《信息化工作
管理规定》的网络与信息安全管理,《网络建设及信息维护按理规定》
、《计算机设备管理规定》、《计算机机房管理规定》及《突发信息网
络事件应急预案》等。
三、信息安全设施建设情况。
根据上级部门的统一规划、建设要求,XX 县烟草公司积极推进
各项网络安全建设工作。
首先,为考虑网络安全,结合业务实际,
在网络规划时以建设专线为重点,在全省烟草系统内全部采用专线
连接,实现互联互通。
在系统主干网络建设上,先是采用卫星专用
通道联网,后改用 DDN 专线,随着网络技术的发展和普及,从 2006
年开始,全省烟草系统,从省公司至市公司,从市公司至分公司,
从分公司至烟叶站、烟叶收购点,采用带宽不同的 SDH 专线连接。
公司绝大部分业务均在内网里运行,各类数据信息通过内网服务器
和网络流转、共享,无外网托管现象,只有极少部分业务需挂外网。
其次是不断采用新技术、新手段做好网络信息安全防范工作,严格
划分企业内网与外网,通过硬件防火墙设置,保证内外信息交互有
效进行,实现对垃圾信息、非法访问的有效过滤。
同时,通过网络
版杀毒软件的安装使用,对计算机病毒进行整体防治,另一方面,
对操作终端还配置防木马程序的软件,以及软件防火墙等软件的使
用,配合杀毒软件对计算机病毒、黑客攻击、木马程序等进行了有
效的防范。
总之,通过软硬件技术手段的有效结合,使系统内网及
每个终端计算机、系统内的信息、数据安全得到了有效保障,有效
保证了企业各业务工作的顺利开展。
四、管理制度建设情况。
烟草企业自 2004 年工商分制以来,作为一分公司,在曲靖
市烟草公司的直接领导下,各项工作稳步推进,伴随着社会效益、
企业效益的逐年攀升,曲靖烟草企业更加注重管理模式的总结与
创新,强调管理的精细化和规范化,通过长时间的积累、总结和
创新,对各行各业各个环节都制定了规范、有效的管理制度。
形
成了具有行业标准的相关制度-《曲靖烟草商业管理(QTCM)-
管理制度》,在网络信息安全方面涉及很多内容。
制定了《计算
机设备管理规定》,旨在规范烟草系统计算机及相关设备的管理
工作,促进设备的有效管理,提高设备的综合效率,满足工作需
求;制定了《计算机机房管理理规定》,旨在加强计算机机房的
运行、使用和管理,保证各信息系统的稳定可靠运行,促进公司
网络的健康发展;制定了《信息化工作管理规定》、以及《网站
建设及信息维护管理规定》,包括网络和信息安全管理规定,旨
在保证企业网络信息系统运行安全、可靠,做到实体安全、运行
安全、数据安全和管理安全。
2008 年 4 月份,根据企业《职业
健康安全管理体系》运行的整改要求,制定了《突发信息网络事
件应急预案》,包括机房渗漏水应急预案、机房盗窃应急预案、
机房火灾应急预案、机房长时间停电应急预案、通信网络故障应
急预案、网络病毒爆发应急预案、服务器软件系统故障应急预案、
核心设备硬件故障应急预案、业务数据损坏应急预案等九部分内
容,旨在加强对系统内突发信息网络事件的控制,迅速有效开展
应急救援行动,降低危害程度。
总之,企业对网络安全高度重视,
制定了众多管理制度,并积极层层落实,责任分明,有效地保证
了了企业长期以来的网络信息系统的稳定运行。
五、信息安全产品选择和使用情况。
我司的网络信息安全产品,2004 年开始根据市公司的要求,
进行统一配置。
其中,硬件防火墙采用中端型产品,品牌型号为
天融信 NGFWARES-VPN(S),版本 TOPSEC 集中管理器 V2.2.17,
基本满足管理要求。
防病毒软件曾采用趋势 Trend 网络版,2007
年以后统一改用瑞星企业专用版,与全国大多企业一致选用国产
软件。
网络管理平台软件曾使用复旦光华 T_Manager 网络综合管
理系统,预计未来将采用其它新系统实现网络综合管理。
此外,
针对各终端设备的安全防范,我司还使用了正版的瑞星个人防火
墙软件和免费版的奇虎 360 安全卫土等安全软件,实现防病毒、
木马程序、黑客、非法程序等的辅助管理,进一步提高了整个系
统的安全防范能力和管理水平。
六、聘请测评机构开展技术测评情况
我司的网络安全检测及风险评估工作也是依照市局(公司)的
统一要求组织实施,按照市公司的统一安排,聘请测评机构为曲靖
市麒麟区联创信息网络有限公司,检测时间一般为每年 6 至 7 月份,
检测内容为:
机房物理环境、服务器、网络设备(交换机、路由器、
防火墙),桌面终端等,其中,桌面终端采用抽查方式进行检测,抽
查率不少于总数的 30%,检测工作中,工程师需签订《云南省网络
与信息系统安全检测单位保密承诺》和安全检测保密协议,检测结
果及报告由市公司保存。
七、定期自查情况
XX 县烟草公司高度重视网络安全建设工作,强调日常维护、安
全防范和定期自查工作。
对管理制度不断完善更新,新技术新手段
积极采用,借助于企业职业健康安全管理体系的贯标、运行和提升
工作,不断开展网络信息安全的检查工作,对一经查出的问题及时
整改,自己不能解决的及时上报上级部门,给予帮助解决,有效地
促进了整个安全防控体系的完善和管理水平的提高。
曲靖市烟草公司 XX 分公司
二 OO 八年十月三十日
关于上报宣州区地税局信息系统安全自查的报告
宣州区地方税务局文件
宣区地税〔2010〕77 号签发人:
殷本辉
关于上报宣州区地税局信息系统安全自查的报告
宣城市地方税务局
根据宣城市地税局对我局网络与终端物理隔离和安全使用检查情况反馈意见,参照安徽地
税信息系统安全自查方案,我局对全区网络与信息安全现状进行了自查,查找薄弱环节和
安全隐患,进一步强化信息安全意识、规范信息安全管理,以提高网络与信息系统的安全
保障能力,现将自查情况上报给你们。
(本文只发电子文件)
二〇一〇年六月二十四日
宣州区地税局信息系统安全自查报告
根据宣城市地税局对我局网络与终端物理隔离和安全使用检查情况反馈意见,参照《安徽
省地税局 2010 年税务信息系统安全检查方案》,从“安全管理检查”、“安全技术检查”、
“终端和移动存储介质检查和加固”等三大方面对宣州区地税局信息安全系统进行了认真地
自查与整改,现将自查情况报告如下:
一、 领导高度重视,组织、部门健全
宣州区地税局领导班子高度重视信息系统安全工作,本着“谁主管谁负责、谁运行谁负责、
谁使用谁负责”的原则,成立了宣州区地税局信息系统安全领导小组,区局一把手担任领导
小组组长,分管领导为副组长,下属各单位负责人为成员。
各基层分局设立计算机管理员岗位,分别 有责任心、取得全国计算机等级二级以上(含
二级)证书、熟悉业务操作的人员担任,负责本单位计算机软、硬件及网络安全管理。
对
本单位计算机出现的软、硬件问题及时上报区局信息中心。
区局结合本部门的信息系统安
全管理需求,不定期地对计算机管理员开展相关业务培训。
二、结合安徽地税系统安全自查方案,认真开展自查工作
(一)安全管理方面:
区局制定了《宣州区地税局公文处理应急预案》、《宣州区地税局
内部网站应急预案》、《宣州区地税局网络故障应急预案》、《宣州区地税局计算机机房
运行维护管理办法》,并着重落实上级部门下发的信息安全政策、法规和规章制度。
确定信息中心一名工作人员担任信息系统安全管理员,具体处理信息系统安全的相关工作。
区局中心机房于 2008 年建成,面积约 90 平方米,安装了接地保护装置,配备了手持式灭
火器,配有两台柜式空调,并确保空调 24 小时正常运转。
加强中心机房的供电管理,配
备一台专用的 10KV UPS 电源专供中心机房设备使用,配备一台专用的 6KV UPS 电源专
供征收大厅设备使用,并定期对 UPS 电池性能进行相应测试。
宣州区地税局办公网络已于 2009 年元月实行内、外网物理隔离,内外网均通过 2 套线路
和隔离卡实现内外网切换。
内网分为应用服务区与办公区,通过一台硬件防火墙进行对外
与对外的访问控制,所有内网服务器与终端均安装网络版病毒防火墙。
外网通过硬件防火
墙、上网行为管理工和防病毒网关实行访问控制。
局机关所有计算机安装隔离卡进行内外
网物理隔离,基层分局只在分局负责人计算机上安装隔离卡实行内外网物理隔离,其他计
算机只允许上内网。
征管数据市局集中后,区局目前的重要数据库有区局内网数据库、公文处理数据库、车辆
税及触摸查询系统数据库,定期对上述数据库进行备份,并将备份数据复制到文件服务器
上。
(二)安全技术方面:
区局的网络通过租用联通的专线,实现市局、区局及分局三级网络
互联,各基层分局通过路由交换和以太网两种方式按入区局,区局机关按股室按分
VLAN。
区局中心机房内网设备目前有 1 台华为 2631 路由器、1 台华为 3680 路由器和 2 台华为
3552 交换机为核心层,3 台华为 3026 交换机作为接入层。
除华为 3552 交换机有热备份,
其他网络设备没有冷、热备份,通过 1 台东软硬件防火墙进一步加强网络安全管理。
区局中心机房外网设备目前有 5 台华为 3928 交换机,1 台防病毒网关,1 台上网行为管理,
1 台防火墙,另外租用网通地址,各基层分局以以太网方式接入互联网。
宣州区地税局共有服务器 6 台,5 台服务器的操作系统为 Windows 2000 Server SP4,1 台服
务器的操作系统为 Windows 2003 Server,所有服务器根据账号策略设置用户密码,强化安
全管理。
宣州区地税局所有内外网中的路由器和交换机均按照省局网络运行管理规范进行命名管理,
并对其用户口令进行加密。
内外网中的防火墙均设置访问控制策略,提高系统的网络安全
系数。
(三)工作用台式机、笔计本电脑和移动存储介质检查和加固:
及时更新台式机和笔计
本电脑的操作系统和应用程序补丁,禁用 GUEST 用户组,统一安装网络版瑞星防病毒软
件,并通过设置自动升级和定时对计算机进行扫描,对外接的 USB 设备,必须进行病毒扫
描。
三、存在的主要问题
通过本次自查发现,我局信息系统存在不少安全隐患问题,主要有以下几方面:
(一)安全保护意识有待增强,各种安全保护措施有待加强,部分管理人员的安全保护意
识薄弱。
(二)数据的存储及备份机制还不够完善,存在信息丢失的隐患,存在移动存储介质内外
网混用,个别笔记本电脑存在内外网混用。
(三)因区局搬迁新办公楼后,对区局的内网进行了重新规划,路由策略进行了了修改,
核心网络设备失效的路由策略未即时清理。
(四)重技术建设、轻安全保护。
进行计算机信息系统建设规划时,主要考虑了业务需求
和系统技术性能要求,没有很好地将系统的安全保护措施一并考虑,造成安全保护工作相
对滞后。
四、加强安全保护工作的意见和建议
根据信息安全自查的情况,结合区局实际情况,现就加强区局信息系统安全工作,提出以
下意见和建议:
(一)加强领导,提高对信息系统安全重要性和紧迫性的认识。
组织相关人员认真学习与
信息系统安全有关的管理规定,不断增强信息系统安全保护意识,做到认识到位、措施到
位、管理到位。
(二)认真落实技术防范措施,着重落实以下等安全保护技术措施:
1、系统重要数据的冗余或备份措施;
2、计算机病毒防治措施;
3、网络攻击防范、追踪措施;
4、研究有关内网补丁升级的措施。
(三)严格防范内外网移动存储混用,加强对移动存储的分类管理,严禁在外网机器处理
或保存涉税文件,严格执行内、外网物理隔离制度。
(四)停用内外到外网出口,瑞星防病毒托管服务器升级下挂到市局。
(五)加强网络和安全设备管理,调整网络和安全设备配置,严格网络访问控制策略,保
护网络安全。
(六)加强中心机房的管理工作,提高机房运行环境,保障设备安全。
黄河科技学院网络信息安全防范系统
情况自查报告
随着网络在我校教学与管理环节中的普及,我校领导已充分认识到开展高校校园和网络信息安全防范工作,
是加强维护高校稳定工作,为高校创造良好的教学科研环境,推进高校校园安全防范系统和网络信息安全
系统建设的重要措施。
自一九九九年我校初建校园网,一直到现在,上至领导下到我们中心的工作人员一
直比较注重网络的安全性。
严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,各单位、部门层
层落实责任制,明确责任人和职责,细化工作措施和流程,建立完善了一系列的管理制度和实施办法,确
保使用的网络和提供服务信息的安全。
现根据省教育厅的《关于在开展高校校园和网络信息安全防范系统
情况调查工作的通知》的文件精神,对我校的网络与信息安全与网络与信息服务等内容做了详细的自查,
自查情况如下:
(一)我校于一九九九年十月,成立了以常务副校长为组长,以网络中心主任董峰及保卫处处长宋同先为
副组长的黄河科技学院网络中心安全组织。
(二)根据我校的网络发展情况以及国家、省、市等有关的文件精神,我们相继建立了一系列的安全管理
制度,并落实到各部门。
如:
信息的发布审核由新闻办指办专人负责;信息的监视、保存、备份、清除由
网络中心负责;校内所有上网的帐号、邮件帐号、网站帐号等我们都做有实名备案;对于较为知名的公众
网络媒体,如我校相关的XX贴吧,我校新闻办公室也安排专人负责信息的监管工作,以实现正面的引导,
并及时发现和删除各类有害信息,维护学校和社会的稳定。
(三)我们加强了安全保护技术措施,切实抓紧、抓实、抓好,保障了学校网络和信息安全,网络运行正
常、使用规范,网站没有发现有害信息和不良连接,网络节点安全设施基本符合要求。
我们使用了天融信
防火墙与天阗入侵监测系统相结合,使日志留存具有保存 60 日以上系统运行日志和用户使用日志记录功
能,内容包括 IP 地址及使用情况,交互式栏目发布者和上、下网时间及信息、主页维护者、邮箱使用者
和对应的 IP 地址情况等;对于邮件服务器,我们使用的是亿邮,并配套使用了亿邮网关,并与公安部门
实行了数据对接,有效的隔离了垃圾邮件,防止有害信息的干扰和破坏。
对于我们的网站信息服务系统建
立了备份,一旦受到破坏能及时恢复正常。
(四)针对网上突发事件,我们制定了应急处置方案,细化流程,责任到人。
做到及时预警、快速反应、
果断处置网上突发事件。
(五)我校网络中心经过仔细排查,已经关闭所有校园网内开通的交互式栏目(BBS,留言板);对于必
须使用留言服务的招生咨询网站,我们采取了用户发布信息必须审核和记录用户 IP 地址的机制。
同时由
新闻办公室安排专人负责信息审核工作,并在技术上采用了关键字过滤来防止有害信息。
由于我们的高度重视,认真组织,确保了网络正常运行和信息安全,至今为止没有发生任何事故,受到了
我校有关领导的肯定和好评。
当然,随着科技的发展,社会信息的不断扩大,新时代,新情况对网络安全
技术的要求也越来越高,新的问题也会不断出现,我们真正希望通过省厅的此次网络信息安全防范系统情
况的调查使我校的网络运行得更安全,有利于社会的安定及国家的繁荣昌盛。
永胜县供销合作社联合社
2010 年上半年政府信息系统安全检查自查报告
根据《永胜县人民政府办公室关于开展政府信息系统安全检查的通知》
(永政办发〔2010〕56 号)文件精神,结合我社实际,认真组织开展了信息系
统的安全自查工作。
现将相关情况报告如下:
一、信息系统安全检查基本情况
㈠信息安全组织机构落实情况
为规范信息公开工作,落实好信息安全的相关规定,我社成立了信息
安全工作领导小组,落实了管理机构,由联社办公室负责信息安全的日常管理
工作,明确了信息安全的主管领导、分管领导和具体管理人员。
㈡日常信息安全管理落实情况
根据供销合作社的工作实际,供销社日常信息安全工作主要涉及上级
下发的涉密文件管理、政府信息公开工作信息管理、业务工作相关数据信息管
理、组织人事信息管理。
根据这些实际,县联社已从落实管理机构和人员、加
强教育培训、更新设备、健全完善相关制度等方面对信息安全的人员、资产、
运行和维护管理进行了落实。
一是,落实具体负责信息安全工作的人员,对涉密信息文件、材料实
行专人管理;对重要办公区、办公计算机等进行严格管理,确保信息保密工作。
二是,结合供销社工作实际,对涉密文件材料管理和计算机、移动存
储设备等的维修、报废、销毁管理进行了规定。
对日常信息办公软件、应用软
件等的安装使用,主要是由上级组织人事部门、业务主管部门下发的业务工作
应用软件,均按照上级部门的要求和规定,严格进行操作管理。
三是,结合供销社政府信息公开工作,按照信息公开的相关保密规定
和程序,初步建立了《永胜县供销合作社政府信息公开保密审查制度(试行)》
,对信息公开、阳光政府四项制度等公开发布信息保密审查机制、程序进行了
规范,完善相关信息审批备案和日常记录。
㈢等级保护与风险评估
永胜县供销合作社的相关信息系统主要是业务工作,不是重要涉密部
门,还达不到涉密信息系统等级,所以,没有对信息系统定级、测评和评估。
㈣技术安全防范措施和手段落实情况
1、计算机及网络经过检查,已安装了防火墙,同时配置安装了专业杀
毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。
并按县委保密局的要求,在主要的计算机上统一粘贴了“非涉密计算机严禁处
理涉密信息”的标识,杜绝涉密和非涉密计算机之间的混用。
2、网络终端没有违规上国际互联网及其他的信息网的现象,没有安装
无线网络等。
对信息公开发布门户网站及相关应用系统帐户、口令等进行检查,
对服务器上的应用、服务、端口和链接进行了检查,没有网站信息被非法篡改,
也没有非法链接。
同时,日常工作中,及时对计算机进行漏洞扫描、木马检测
等,加强安全监管。
我单位使用的计算机都为非涉密计算机,主要是用于业务
工作,没有用于处理涉密信息的情况。
目前,网络运行良好,安全防范措施和
设备运行良好,没有涉及国家秘密的相关信息,未在网上存储、传输国家秘密
信息,未发生过失密、泄密现象。
3、密码技术防范方面。
我单位的相关信息还达不到涉密信息系统等级,
目前还没有使用密码技术防护措施。
㈤应急工作机制建设情况
1、应急响应机制建设上,根据相关要求,建立了信息安全的相关规章
制度,要求县社信息安全管理办公室根据信息安全工作情况及时向工作领导小
组报告相关情况,并及时上报县信息化办公室,及时采取有效措施,处理相关
问题。
目前,还没有应急响应方案。
2、对非涉密的相关重要工作信息实行光盘备份,以防范计算机系统故
障带来的损失和影响。
3、目前,我社的信息安全管理工作还没有明确应急技术支援队伍,主
要由县社办公室根据工作中的问题向县信息办及时报告咨询解决。
目前,没有
发生信息安全事件。
㈥信息技术产品和信息安全产品使用情况
我单位终端计算机安装的防火墙、入侵检测设备、杀毒软件等信息安全产品,
使用 360 安全卫士等软件,皆为国产产品。
公文处理软件具体使用金山软件的
WPS office 系统和 Microsoft Office 系统。
单位使用的工资系统、业务统计
报表系统、组织人事统计系统等应用软件均为县委、县政府相关部门和市供销
社统一指定的产品系统。
㈦安全教育培训情况
1、县供销社积极参加全县保密工作会议和县委政府相关部门组织的信
息系统安全知识培训,并专门负责机关的网络安全管理和信息安全工作。
2、结合集中学习,县供销社对全县保密工作会议精神进行了传达学习。
同时,在日常工作中相关保密、信息安全工作人员也结合《保密工作》杂志及
相关文件精神,开展自学,提
升级会员 