机关网络安全自查报告.docx

1、机关网络安全自查报告机关网络安全自查报告导语：“互联网”指的是全球性的信息系统，是能够相互交流，相互沟通，相互参与的互动平台。因此互联网安全问题，应该象每家每户的防火防盗问题一样，做到防范于未然。甚至不会想到你自己也会成为目标的时候，威胁就已经出现了，一旦发生，常常措手不及，造成极大的损失。机关网络安全自查报告为了做好迎接全市党政机关信息系统安全检查工作，根据枣经信字171号文件要求和安排部署，市统计局领导高度重视，召开专题会议，认真学习文件精神，研究部署贯彻落实意见，并结合统计工作实际，开展了本局信息系统安全工作和计算机信息系统安全自查，通过自查，进一步明确了我局信息系统安全工作职责，规范了

2、信息系统安全工作标准，完善了信息系统安全工作制度，提升了信息系统安全工作水平，现将自查情况报告如下：一、建立健全制度，提高信息系统安全工作管理水平先后建立了计算机信息系统安全管理制度、网络安全管理制度、计算机维修、更换、报废信息系统安全管理制度、网络信息上传发布信息系统安全管理制度、XX市统计局信息系统安全应急预案、XX市统计局网路定级标准、XX市统计局信息系统安全规划书、XX市统计局信息系统安全管理流程、补丁分发策略等各项制度。健立健全信息系统安全工作责任制，加强领导。根据信息系统安全法律法规管理是信息系统安全工作部门的重要职责，是信息系统安全工作纳入依法管理的重要途径。一是充分认识信息系统

3、安全工作依法行政的重要意义，增强信息系统安全工作的自觉性，提高信息系统安全工作管理水平。二是进一步规范定密工作，要按照定密程序界定国家秘密，防止定密过宽过严，同时要制定必要的管理制度，逐步实现动态信息系统安全管理。三是继续抓好计算机信息系统和电子政务工作中的信息系统安全管理，建立和完善上网信息的信息系统安全审查制度。四是继续加强日常信息系统安全管理工作，进一步加强对国家秘密载体特别是绝密级国家秘密载体的管理力度，抓好对统计数据的管理工作，所有统计数据必须经主要领导审核同意后，经综合科对外提供。二、领导重视，强化全局人员信息系统安全意识一是成立了市统计局信息系统安全工作领导小组，分管领导任组长，

4、各科室主要负责人为成员，具体负责市统计局信息系统安全工作。二是深入开展信息系统安全法制宣传教育。组织全局干部职工认真学习山东省政府信息系统安全管理办法和各项信息系统安全制度，重点抓好对领导干部和人员的信息系统安全宣传教育，积极参加市信息系统安全部门组织的各类业务培训教育，不断提高领导和人员的信息系统安全意识和做好信息系统安全工作的自觉性。三是采取多渠道、多形式加强对领导干部、重点人员、信息系统安全干部的信息系统安全法制宣传教育。四是充分利用现代宣传教育载体和正反两方面的典型案例开展教育，切实提高信息系统安全宣传教育的效果。三、加大检查力度，防止重点涉密计算机泄密建立了全局计算机管理登记台账，移

5、动磁介质管理登记台账。全局有一台涉密计算机与国际互联网及其它公共信息网物理隔离。涉密计算机设有身份认证和访问控制。网络终端没有违规上国际互联网及其他公共信息网的现象。涉密计算机设有开机密码，由专人保管。对非涉密计算机网络，加大网路安全设备投入，配置了防火墙、ips防护入侵系统，进一步加强对计算机信息系统信息系统安全安全防范和管理工作。加强对内部网络的管理，建立健全网络管理制度，严防失泄密事件的发生。严格执行“涉密信息不上网，上网信息不涉密”和“谁上网，谁负责”的原则，加强对涉密网络的检查。四、制定措施，抓好日常性信息系统安全工作在工作实际中，着力按照市委信息系统安全委员会、市经信委制定的信息系

6、统安全工作制度来严格执行。如：重大节、假日前要进行信息系统安全教育，增强信息系统安全意识，涉密会议要严格场所选择、人员范围、明确信息系统安全要求、涉密文件要严格借阅制度，不准强制他人违反信息系统安全规定复制国家秘密载体，经批准，到指定文印室复印，不准私自留存秘密文件、密品，不准携带秘密文件、密品回家和出入公共场所，不准通过普通邮政传递秘密文件、资料和其他物品，不准向家属、子女和无关人员泄露涉密事项、不准利用移动电话、对讲机等通讯工具谈论涉密事项，不准私自随意处理涉密文件及内部资料，必须集中统一销毁等规定，使之在思想认识上有信息系统安全的意识，在工作实践上有信息系统安全的防线，使信息系统安全工作

7、真正落到实处。五、我局网络风险防范及对策1、系统风险的防范(1)物理安全。主要指对计算机设备场地、计算机系统、网络设备、密钥等关键设备的安全防卫措施。为了防止电磁泄露,要对电源线和信号线加装滤波器,减少传输阻抗和导线间的交叉耦合,同时对辐射进行防护。(2)应用安全操作系统技术。安全操作系统不仅可以防范黑客利用操作系统平台本身的漏洞来攻击网络银行交易系统,而且它还可以在一定程度上屏蔽掉应用软件系统的某些安全漏洞。(3)数据通信加密技术的应用。对传输中的数据流进行加密,按实现加密的通信层次可分为链路加密、节点加密、端到端加密。在链路数较多以及对流量分析要求不高的情况下,适合采用“端到端加密”方式。

8、在对流量分析要求较高的情况下,可采用“链路加密”与“端到端加密”相结合的方式:用“链路加密”对报文的报头进行加密,防止进行流量分析,再用“端到端加密”对传送的报文进行加密保护。(4)应用系统，加强应用系统开发过程的监督,应用系统运行过程中的实时监督。(5)应用数据库安全技术。应用存取控制技术、数据加密技术、硬盘分区防护技术、数据库的安全审计技术、故障恢复技术等。(6)应用防火墙安全技术。建立综合计算机病毒检测技术、代理服务技术和包过滤技术的第四代防火墙,支持链路加密或虚拟专网、病毒扫描等安全服务,并具有实时报告、实时监控、记录非法登录、统计分析等功能。2、操作风险的防范操作风险主要来自内部,应

9、完善网络内部控制制度,建立科学的操作规范,严格内部制约机制,将不相容职务分离、制作者与执行者分离,对主管和操作员实行ic卡身份鉴别,并同时加口令,任何进入系统的操作必须有日志记载。建立操作风险管理中心,对员工进行防范操作风险的技术培训,监督各项操作风险管理制度的执行情况,对操作风险进行评估,并采取相应措施。建立操作风险应急反应中心,对业务的影响因素进行研究,识别出可能导致业务中止的情况,系统的备份及定期测试网络的灾难应急计划,对出现的安全问题提供技术支援和解决方案。六、存在的主要问题及改进措施虽然我局在信息系统安全方面做了大量的工作，但距各级领导的要求还相差很远，主要表现在以下几方面：一是在定

10、期进行安全评估和加固、对安全事件处理流程及办法方面做的不够，二是机房安全建设在场地位置、ups、温度、湿度、消防等方面都能符合国家标准，但机房没有噪音控制、报警监控等措施。三是没有配置病毒集中监控系统，因而在防病毒方面存在着很大隐患。四是没有做到定期、系统地进行培训，基本上都没有制定长期、系统的培训计划。机关网络安全自查报告为保证税务系统网络与信息安全，进一步加强网络新闻宣传管理工作，有效地防范蓄意攻击、破坏网络信息系统及传播、粘贴非法信息等突发紧急事件的发生。按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，将工作落实到人。州局机关成立信息安全检查工作组，负责州局机关各处室安全检查工作

11、，主要采取各处室自查和对部分处室抽查相结合的方式，开展网络安全清理检查工作。一、现 状 与 风 险随着伊犁州地税系统信息化建设的发展，以计算机网络为依托的征管格局已初步形成。总局-区局-地(州、市)局-县(市)局的四级广域网络已经建立，并逐步向基层征收单位延伸，地税系统网络建设进程也逐渐加快。目前伊犁州地税系统广域网节点数已达700多个，联网计算机设备700多台。在完成繁重税收任务的同时，为提高税收征管效率，更好地宣传税收工作、服务纳税人，各县(市)税务机关均根据工作需要建立了因特网访问网站。同时，与其它政府部门部分地实现了联网和信息交换。总之，网络与信息系统已成为整个税务系统工作的重要组成部

12、分，成为关系到国计民生的重要基础设施。在税务信息化建设不断蓬勃发展的同时，网络与信息安全的风险也逐渐显露。一是随着税收事业的发展，业务系统的要求，各级税务机关逐步与外部相关部门实现了联网与信息交换。此外为方便纳税人纳税，新疆地税系统开通了因特网申报、网上查询等业务，地税系统网络由过去完全封闭的内部网，转变成与外部网、因特网逻辑隔离的网络。二是网络与信息系统中的关键设备如主机、路由器、交换机以及操作系统等大部分采用国外产品，存在着较大的技术和安全隐患。三是系统内计算机应用操作人员水平参差不齐，加上由于经费不足，安全防护设备与技术手段不尽如人意。四是敌对势力以及受利益驱使的犯罪分子一直蠢蠢欲动，对

13、国家重要的财政、金融部门构成巨大威胁。上述几个方面构成税务系统网络与信息安全的主要风险。二、建立健全了网络与信息安全组织机构为了确保网络与信息安全工作得到重视和措施能及时落实，伊犁州地税局成立了网络与信息安全领导小组：组长：程爱民 总经济师成员：车艳霞、王守峰、王红星、刘忠辉、王忠、欧阳灿、王华、褚天玉领导小组下设办公室，具体负责日常工作，主任由信息处长车艳霞担任，副主任由办公室副主任王守峰担任。成员有：王红星、刘忠辉、王忠、王华。三、建立健全了网络与信息安全岗责体系和规章制度网络与信息安全办公室负责对以机关名义在内、外网站上发布信息的审查和监控;信息处负责网站的维护和技术支持以及其它各类应用

14、信息系统的监控和维护;计财处负责相关资金支持;机关服务中心负责电力、空调、防火、防雷等基础设施的监控和维护。网络与信息安全办公室负责在发生紧急事件时协调开展工作，并根据事件的严重程度起草向领导小组、公安部门或上级有关部门的报告或向全系统的通报;并负责各类网站、各应用系统、数据库系统的监控防范、应急处置和数据、系统恢复工作，以及网络系统的安全防范、应急处置和网络恢复工作及安全事件的事后追查。为做好州直地税系统网络安全自查工作，信息处在8月10日，通过视频培训，对全系统网管员进行网络安全知识培训。并对网络安全自查工作进行部署。建立健全了各种安全制度，包括(1)日志管理制度;(2)安全审计制度;(3

15、)数据保护、安全备份、灾难恢复计划;(4)计算机机房及其他重要区域的出入制度;(5)硬件、软件、网络、媒体的使用及维护制度;(6)帐户、密码、通信保密的管理制度;(7)有害数据及计算机病毒预防、发现、报告及清除管理制度。(8)个人计算机使用及管理规定。四、伊犁州地税局计算机网络管理情况(一)局域网安装了防火墙。同时对每台计算机配置安装了区局统一配置的瑞星杀毒软件，针对注册号户数不够的情况，向区局又申请了300户注册号，现网络版瑞星杀毒软件可以同时上线550台计算机，基本满足了伊犁州地税系统内网办公需要。全州内网计算机安装桌面审计系统达到95%，部分单位达到100%。定期安装系统补丁，加强了在防

16、篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。(二)涉密计算机和局域网内所有计算机都强化口令设置，要求开机密码、公文处理口令、征管软件口令必须字母与数字混合不少于8位。同时，计算机相互共享之间设有身份认证和访问控制。(三)内网计算机没有违规上国际互联网及其他的信息网的现象;在各单位办税服务厅自助申报区安装的网报专用计算机每天由网管员进行管理检查，以防利用网报机进行违法活动。(四)安装了针对移动存储设备的专业杀毒软件，对移动存储设备接入计算机前必须进行病毒扫描，对于经常接收外来数据的办税服务厅、管理科等单位计算机都配备使用U盘病毒隔离器。(五)对服务器上的应用、服务、端口和链接都进行了安全

17、检查并加固处理。(六)对公文处理及档案管理软件数据库进行按日备份，确保数据安全。严格文件的收发，并要求信息管理员定期进行系统全备份，刻录光碟并异地存储。(七)没有通过电子政务外网、互联网邮箱、限时通信工具等处理、传递、转发涉密或敏感信息的现象。(八)制定了详细应急预案，并随着信息化程度的深入，结合各局实际，并在以后不断完善。(九)州局的网络信息发布由办公室设置了专人管理，对所有要在网络上发布的信息按规定进行了审查。五、存 在 的 问 题根据通知中的具体要求，在自查过程中我们也发现了一些不足，同时结合实际，今后要在以下几个方面进行整改。(一)安全意识还需加强。要继续加强对机关干部的安全意识教育，

18、提高做好安全工作的主动性和自觉性。(二)设备维护、更新应及时。要加大对线路、系统等的及时维护和保养，同时，针对信息技术的飞快发展的特点，需加大更新力度。(三)安全工作的水平还有待提高。对信息安全的管护还处于初级水平，要提高安全工作的现代化水平，有利于我们进一步加强对计算机信息系统安全的防范和保密工作。(四)加强计算机安全意识教育和防范技能训练，充分认识到计算机泄密案件的严重性。把计算机安全保护知识真正融于实际工作中，而不是记在纸上;人防与技防结合，把计算机安全保护的技术措施看作是保护信息安全的一道看不见的屏障。(五)工作机制有待完善。创新安全工作机制，是信息工作新形势的必然要求，这有利于提高机

19、关网络信息工作的运行效率，有利于办公秩序的进一步规范。机关网络安全自查报告根据上级网络安全管理文件精神，桃江县教育局成立了网络信息安全工作领导小组，在组长曾自强副局长的领导下，制定计划，明确责任，具体落实，对我系统网络与信息安全进行了一次全面的调查。发现问题，分析问题，解决问题，确保了网络能更好地保持良好运行，为我县教育发展提供一个强有力的信息支持平台。一、加强领导，成立了网络与信息安全工作领导小组为进一步加强全系统网络信息系统安全管理工作，我局成立了网络与信息系统安全保密工作领导小组，做到分工明确,责任具体到人。安全工作领导小组，组长曾自强，副组长吴万夫，成员有刘林声、王志纯、苏宇。分工与各

20、自的职责如下：曾自强副局长为我局计算机网络与信息系统安全保密工作第一责任人，全面负责计算机网络与信息安全管理工作。办公室主任吴万夫分管计算机网络与信息安全管理工作。刘林声负责计算机网络与信息安全管理工作的日常事务，上级教育主管部门发布的信息、文件的接收工作。王志纯负责计算机网络与信息安全管理工作的日常协调、督促工作。苏宇负责网络维护和日常技术管理工作。二、完善制度，确保了网络安全工作有章可循为保证我系统计算机网络的正常运行与健康发展，加强对校园网的管理，规范网络使用行为，根据中国教育和科研计算机网络管理办法(试行)、关于进一步加强桃江县教育系统网络安全管理工作的通知的有关规定，制定了桃江县教育

21、系统网络安全管理办法、上网信息发布审核登记表、上网信息监控巡视制度、桃江县教育系统网络安全管理责任状等相关制度、措施，确保网络安全。三、强化管理，加强了网络安全技术防范措施我系统计算机网络加强了技术防范措施。一是安装了卡巴斯基防火墙，防止病毒、反动不良信息入侵网络。二是安装瑞星和江民两种杀毒软件，网络管理员每周对杀毒软件的病毒库进行升级，及时进行杀毒软件的升级与杀毒，发现问题立即解决。三是网络与机关大楼避雷网相联，计算机所在部门加固门窗，购买灭火器，摆放在显著位置，做到设备防雷、防盗、防火，保证设备安全、完好。四是及时对服务器的系统和软件进行更新。五是密切注意CERT消息。六是对重要文件，信息资源做到及时备份。创建系统恢复文件。我局网络安全领导小组每季度对全系统机房、学校办公用机、多媒体教室及学校电教室的环境安全、设备安全、信息安全、管理制度落实情况等内容进行一次全面的检查，对存在的问题及时进行纠正，消除安全隐患。