序言:寫作是分享個人見解和探索未知領(lǐng)域的橋梁,我們?yōu)槟x了8篇的網(wǎng)絡(luò)安全整改報告樣本�,期待這些樣本能夠為您提供豐富的參考和啟發(fā)����,請盡情閱讀。
第1篇
根據(jù)《網(wǎng)絡(luò)安全法》中維護網(wǎng)絡(luò)數(shù)據(jù)的保密性的相關(guān)要求�����,我院結(jié)合實際情況�,組織開展了自查。現(xiàn)將有關(guān)自查匯報如下:
我院領(lǐng)導(dǎo)對網(wǎng)絡(luò)安全工作一直十分重視�����,積極落實上級部門關(guān)于網(wǎng)絡(luò)安全的各項規(guī)定���,各方配合采取多種措施防范危害網(wǎng)絡(luò)安全的事件發(fā)生�,總體上看還是有成效的���。
一�、網(wǎng)絡(luò)安全管理措施
我院及14個村衛(wèi)生室的網(wǎng)絡(luò)分為互聯(lián)網(wǎng)(外網(wǎng))與衛(wèi)生專網(wǎng)(內(nèi)網(wǎng))�,外網(wǎng)與內(nèi)網(wǎng)兩網(wǎng)實行分離制度,固定IP地址�、設(shè)置防火墻,不能私自添加新IP,未經(jīng)允許分配IP做到專網(wǎng)專用�,確保兩網(wǎng)獨立、安全�����。
網(wǎng)絡(luò)主機專室存放����,專人維護�,定期檢查����。內(nèi)網(wǎng)電腦主機禁止任何外接硬件,禁止任何不明程序并配備有正規(guī)的防護程序�����。
內(nèi)網(wǎng)主要運行的his系統(tǒng)和藍(lán)星系統(tǒng)操作人員都經(jīng)過操作培訓(xùn)���,能夠較好的避免操作失誤帶來的相關(guān)風(fēng)險��。
二�����、自查存在的不足及整改意見
我們在管理過程中發(fā)現(xiàn)了一些管理方面存在的薄弱環(huán)節(jié)��,今后我們還要在以下幾個方面進(jìn)行改進(jìn)�����。
1��、對于線路不整齊�、暴露的��、立即對線路進(jìn)行整改�����。
2��、加強設(shè)備維護�,及時更換和維護好設(shè)備。
3���、自查中發(fā)現(xiàn)個別人計算機安全意識不強��。
在以后的工作中����,我們將加強計算機安全意識和防范知識培訓(xùn)�����,讓職工充分意識到網(wǎng)絡(luò)安全的重要性�。人防與技防結(jié)合,確保單位信息安全和網(wǎng)絡(luò)安全�����。
第2篇
【 關(guān)鍵詞 】 中小商業(yè)銀行;等級保護�;信息科技風(fēng)險管理;信息安全體系框架
1 中小銀行等級保護咨詢服務(wù)的背景
隨著信息技術(shù)的不斷進(jìn)步與發(fā)展��,信息系統(tǒng)的安全建設(shè)顯得尤為重要�����。2012年6月29日人民銀行下發(fā)了“銀發(fā)【2012】163號”文件�����,為進(jìn)一步落實《信息安全等級保護管理辦法》(公通字〔2007〕 43號文印發(fā))�����,加強對銀行業(yè)信息安全等級保護工作的指導(dǎo)�,結(jié)合近年來銀行業(yè)信息安全等級保護工作開展情況,人民銀行給出了銀行業(yè)金融機構(gòu)信息系統(tǒng)安全等級保護定級的指導(dǎo)意見���,至此�,正式的拉開了中小商業(yè)銀行等級保護建設(shè)和整改工作的序幕���。
2 等級保護咨詢服務(wù)的項目目標(biāo)
國內(nèi)中小銀行在信息安全的發(fā)展程度�,大部分處于自我認(rèn)知的階段,一邊忙于業(yè)務(wù)發(fā)展的保障需要�����,一邊又要應(yīng)對上級監(jiān)管部門的監(jiān)督檢查�,對于安全建設(shè)來說���,大部分沒有納入到戰(zhàn)略的層面來考慮����。因此�����,借助于等級保護咨詢服務(wù)來建立的這樣一套信息安全體系��,必須同時滿足公安部等級保護基本要求��、人民銀行等級保護的測評要求和銀監(jiān)會關(guān)于IT風(fēng)險管理的要求���。這些目標(biāo)相輔相承�����,互為補充��。只有將通用的要求���、標(biāo)準(zhǔn)�����、規(guī)范落實到自己IT風(fēng)險管理體系的各方面��,建立適合自己業(yè)務(wù)特點與發(fā)展需求的信息安全體系��,才能達(dá)到有效管理風(fēng)險��、進(jìn)行IT治理的目的�,并最終通過等級測評���。
3 等級保護咨詢服務(wù)的總體思路
中小銀行在咨詢服務(wù)項目需要主動地全面的考量自身情況�,綜合分析人民銀行���、銀監(jiān)會和等級保護的要求�,在現(xiàn)有的安全工作基礎(chǔ)之上,建立統(tǒng)一的信息安全體系�,同時滿足這些主要的監(jiān)管要求。這樣面臨檢查時��,只要客觀反映出當(dāng)前狀態(tài)就可以�,有效降低臨時的材料組織工作。
同時滿足三方面監(jiān)管要求的信息安全體系�,這個信息安全體系將以公安部的等級保護《基本要求》����、人民銀行的《等保測評指南》和銀監(jiān)會《管理指引》為主要依據(jù)來搭建起框架,以各專項監(jiān)管指引為各個領(lǐng)域的具體工作指導(dǎo)�,以ISO27000為代表的國內(nèi)外信息安全標(biāo)準(zhǔn)為補充。
4 等級保護咨詢服務(wù)的內(nèi)容
等級保護的咨詢服務(wù)具體實施過程可參考公安部下發(fā)的《信息系統(tǒng)安全等級保護實施指南》�����,“指南”中將等級保護工作分為了定級備案����、規(guī)劃設(shè)計、建設(shè)整改和等級測評四大過程����。
4.1 系統(tǒng)定級
系統(tǒng)定級階段需要完成的工作�。
1) 等級保護的導(dǎo)入培訓(xùn):在進(jìn)行咨詢服務(wù)之前���,需要對銀行相關(guān)科室信息人員進(jìn)行等級保護的內(nèi)容培訓(xùn)�。只要講清楚等保是什么�,需要各級人員配合的工作點是什么就可以了。
2) 系統(tǒng)業(yè)務(wù)安全域劃分:這個階段需要進(jìn)行信息搜集和資產(chǎn)調(diào)研����。明確業(yè)務(wù)系統(tǒng)的范圍、邊界�、功能、以及重要性等���。
3) 編寫系統(tǒng)定級報告和備案表:定級報告和備案表都是按照公安部等保辦公室的通用模版來編寫的�,內(nèi)容包含了系統(tǒng)功能描述���、網(wǎng)絡(luò)拓?fù)?����、定級的理由和依?jù)等�。
4) 召開專家評審會、獲得備案證明:召開專家評審會并獲得備案證明可視為一個里程碑式的階段性成果����,因為定級和備案是等級保護工作開展的前提,如果級別定錯了�����,或者專家有不同的評審意見���,則后續(xù)的設(shè)計方案���、整改方案均無法執(zhí)行。同時���,對于銀行信息科技部門的領(lǐng)導(dǎo)而言,服務(wù)工作做的怎么樣無法量化�,但是備案證書是看的見,摸的著的�����,如果能在評審會現(xiàn)場當(dāng)場頒發(fā)���,則意義更加重大�。
4.2 規(guī)劃與設(shè)計
規(guī)劃與設(shè)計階段的主要工作就是進(jìn)行等級差距分析和風(fēng)險評估。
1) 技術(shù)層面可直接參考人民銀行關(guān)于金融行業(yè)的“測評指南”來完成�,可操作性較強??煞治锢怼⒕W(wǎng)絡(luò)��、主機���、應(yīng)用�����、數(shù)據(jù)五個層面進(jìn)行差距評估�,同時對網(wǎng)絡(luò)流量和網(wǎng)絡(luò)協(xié)議進(jìn)行簡單的分析�����,通過漏洞掃描設(shè)備���、配置核查設(shè)備���、滲透工具等進(jìn)行風(fēng)險分析���,輸出風(fēng)險評估報告和技術(shù)層面的差距評估報告。
2) 管理層面上�����,等保的管理要求相對薄弱����,集中體現(xiàn)在運維管理等方面,如果要達(dá)到人民銀行和銀監(jiān)會的標(biāo)準(zhǔn)�,還有很多需要加強和補充的地方,可以對現(xiàn)有的制度文檔進(jìn)行一個簡單的梳理��,用最短的時間完成等保的管理制度調(diào)研�����。
4.3 實施與整改
實施與整改階段需要按照規(guī)劃階段的設(shè)計方案進(jìn)行實施���,以滿足等級保護安全體系的建設(shè)要求。
1) 組織體系整改:安全管理組織應(yīng)形成由主管領(lǐng)導(dǎo)牽頭的信息安全領(lǐng)導(dǎo)小組��、具體信息安全職能部門負(fù)責(zé)日常工作的組織模式�����。可參考已成立的《等保領(lǐng)導(dǎo)小組》設(shè)立模式�����,但應(yīng)具體到管理員崗位�。
2) 管理體系整改:按照等級保護的要求補充或重新制定管理制度,根據(jù)咨詢方提供的制度模版����,銀行可根據(jù)自身的實際業(yè)務(wù)需求進(jìn)行修改,并經(jīng)內(nèi)部討論修訂后��,下文試運行�。
3) 技術(shù)體系整改:技術(shù)體系整改應(yīng)從三個層面進(jìn)行考慮。
制定技術(shù)規(guī)范:包括windows�����、AIX���、Informix�����、tuxedo���、cisco等主流設(shè)備的安全配置規(guī)范��;可考慮聘請專業(yè)安全公司進(jìn)行咨詢服務(wù)����,制定適合銀行長期發(fā)展的安全策略和技術(shù)安全規(guī)范�����。
安全配置加固:根據(jù)已制定的技術(shù)規(guī)范進(jìn)行主機�、服務(wù)器、網(wǎng)絡(luò)設(shè)備����、安全設(shè)備的全面的安全加固。
安全設(shè)備采購:在安全技術(shù)體系的具體實現(xiàn)過程中�,需要落實安全技術(shù)詳細(xì)設(shè)計方案中的具體技術(shù)要求,將先進(jìn)的信息安全技術(shù)落實到具體安全產(chǎn)品中�,形成合理、有效�、可靠的安全防護體系�����。
4.4 等級測評
根據(jù)人民銀行的《金融行業(yè)信息安全等級保護測評服務(wù)安全指引》選擇具有資質(zhì)的第三方測評機構(gòu)進(jìn)行等級測評,一般當(dāng)?shù)毓矙C關(guān)會指定2-3家評估中心進(jìn)行等級測評�,如果銀行自行聯(lián)系省外的測評機構(gòu),可能需要事先跟當(dāng)?shù)厥」矎d取得聯(lián)系�����,確保該測評機構(gòu)的測評報告在本省是受到認(rèn)可的����。
實際上做了咨詢服務(wù)之后,等級測評的工作就變的非常簡單���,因為咨詢方會在規(guī)劃與設(shè)計階段就會與測評中心取得聯(lián)系�,確保其設(shè)計方案和整改實施方案得到專家和測評中心的認(rèn)可�����,保障其順利實施�����。所以在等級測評的時候��,測評師從進(jìn)場到出具評測報告大概只需一周左右的時間。
5 結(jié)束語
關(guān)于金融業(yè)等級保護的建設(shè)工作��,是今后兩年的一個重點工作�,尤其是中小銀行可借助合規(guī)要求,由信息科技部門立項�����,向行內(nèi)申請更多的資源來完善自身的安全體系建設(shè)工作����。
參考文獻(xiàn)
[1] 武冬立.銀行業(yè)安全防范建設(shè)指南.長安出版社,2008-11-1.
[2]李宗怡. 中國銀行安全網(wǎng)構(gòu)建基礎(chǔ)研究.經(jīng)濟管理出版社���,2006-6-1.
[3] 劉志友.商業(yè)銀行安全問題研究.中國金融出版社��, 2010-3-1.
[4] 曹子建�,趙宇峰����,容曉峰.網(wǎng)絡(luò)入侵檢測與防火墻聯(lián)動平臺設(shè)計[J].信息網(wǎng)絡(luò)安全,2012���,(09):12-14.
[5] 傅慧.動態(tài)包過濾防火墻規(guī)則優(yōu)化研究[J].信息網(wǎng)絡(luò)安全����,2012�,(12):12-14.
第3篇
第一章
總
則
第一條
為明確網(wǎng)絡(luò)安全事故責(zé)任主體(以下簡稱“責(zé)任主體”),追究網(wǎng)絡(luò)安全事故的責(zé)任�,結(jié)合醫(yī)院實際情況,制定本制度����。責(zé)任主體的范圍包括科室或個人等。
第二條
負(fù)責(zé)追究責(zé)任主體事故責(zé)任的單位或個人統(tǒng)稱為責(zé)任追究主體�����,主要為衛(wèi)計部門網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組和蒲窩鎮(zhèn)衛(wèi)生院網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組�����。
第三條
本制度適用于蒲窩鎮(zhèn)衛(wèi)生院所有科室���,各科室根據(jù)本制度落實具體網(wǎng)絡(luò)安全工作�����。
第四條
網(wǎng)絡(luò)安全事故責(zé)任認(rèn)定實行“誰主管誰負(fù)責(zé)�����、誰使用誰負(fù)責(zé)”的原則�����。
第五條
發(fā)生網(wǎng)絡(luò)安全事故后�����,應(yīng)根據(jù)安全事件造成的影響及相關(guān)責(zé)任主體的態(tài)度�,作出如下處理:
(一)
批評教育。包括責(zé)令責(zé)任主體檢查��、誡勉談話等�����;
(二)
書面檢查�����。責(zé)令責(zé)任主體向主管領(lǐng)導(dǎo)作出書面檢查���;
(三)
通報批評��。在衛(wèi)健系統(tǒng)范圍內(nèi)對責(zé)任主體發(fā)文通報��,責(zé)令整改�����;
(四)
一般處理���。降低或扣除責(zé)任主體的月薪補貼,將事故寫入月度或年度考核中���;
(五)
嚴(yán)肅處理����。追究網(wǎng)絡(luò)安全事故發(fā)生負(fù)有領(lǐng)導(dǎo)責(zé)任的負(fù)責(zé)人的管理責(zé)任���,發(fā)生嚴(yán)重網(wǎng)絡(luò)安全事故的�,對相關(guān)責(zé)任人處以罰款�、責(zé)令其賠償事故損失、通報批評�、降職處理、直至開除。
(六)
報警處理�����。嚴(yán)重?fù)p壞社會或國家利益的��,上報當(dāng)?shù)毓膊块T處理��。
第六條
責(zé)任追究應(yīng)當(dāng)堅持公平公正����、有責(zé)必究、過罰相當(dāng)��、教育與懲戒相結(jié)合的原則��。
第二章
責(zé)任追究范圍和適用
第七條
責(zé)任主體有下列行為之一者���,應(yīng)對其進(jìn)行批評教育或責(zé)令作出書面檢查:
(一)
發(fā)生一般或較大安全事件�,未按要求上報的���;
(二)
未按規(guī)定落實相關(guān)網(wǎng)絡(luò)安全管理制度及技術(shù)規(guī)范���,且未導(dǎo)致安全事件發(fā)生的�;
(三)
發(fā)生重大安全事件后�,對調(diào)查工作配合不力的。
第八條
責(zé)任主體有下列行為之一者��,應(yīng)當(dāng)責(zé)令其作出書面檢查或通報批評:
(一)
發(fā)生重大安全事件��,未按要求上報的�����;
(二)
未按規(guī)定落實相關(guān)網(wǎng)絡(luò)安全管理制度技術(shù)規(guī)范�����,導(dǎo)致一般或較大安全事件發(fā)生的�����;
(三)
發(fā)生重大或特別重大安全事件�,且發(fā)生安全事件后處理及時�,未對醫(yī)院財產(chǎn)或聲譽造成影響的;
(四)
經(jīng)過批評教育或責(zé)令作出書面檢查后���,仍不按規(guī)定落實相關(guān)網(wǎng)絡(luò)安全管理制度及技術(shù)規(guī)范的���;
(五)
發(fā)生特別重大安全事件后�����,對調(diào)查工作配合不力的����。
第九條
責(zé)任主體有下列行為之一者���,應(yīng)當(dāng)予以通報批評或一般處理:
(一)
發(fā)生特別重大安全事件����,未按要求上報的�;
(二)
發(fā)生重大或特別重大安全事件,且發(fā)生安全事件后處理不及時�,給醫(yī)院財產(chǎn)或聲譽帶來一定影響的;
(三)
發(fā)生特別重大安全事件后����,對調(diào)查工作不配合的。
第十條
責(zé)任主體有下列行為之一者�,應(yīng)當(dāng)予嚴(yán)肅處理,情況十分嚴(yán)重者應(yīng)報警處理:
(一)
發(fā)生重大或特別重大安全事件造成后果嚴(yán)重并刻意隱瞞或謊報���,造成惡劣影響的�;
(二)
未按規(guī)定落實相關(guān)網(wǎng)絡(luò)安全管理制度及技術(shù)規(guī)范導(dǎo)致發(fā)生重大或特別重大安全事件,且發(fā)生安全事件后處理不及時���,給醫(yī)院財產(chǎn)或聲譽帶來惡劣影響的�;
(三)
發(fā)生安全事件后銷毀證據(jù)��、弄虛作假的���。
第十一條
對應(yīng)追究責(zé)任主體責(zé)任而敷衍結(jié)案����、弄虛作假的�,應(yīng)當(dāng)對責(zé)任追究主體通報批評��。
第十二條
有下列情形之一者�����,不追究責(zé)任主體的責(zé)任:
(一)
因不可抗力導(dǎo)致發(fā)生的網(wǎng)絡(luò)安全事故��;
(二)
有充分證據(jù)證明完全落實了相關(guān)安全要求�,由未知原因?qū)е戮W(wǎng)絡(luò)安全事故發(fā)生的�。
第十三條
責(zé)任主體主動承認(rèn)過錯并及時修補管理或技術(shù)漏洞�,減少損失、挽回影響���,態(tài)度非常好的�����,應(yīng)當(dāng)予以從輕或減輕責(zé)任追究�。
第三章
責(zé)任追究程序和實施
第十四條
責(zé)任追究過程采用層層負(fù)責(zé)制�,下級責(zé)任追究主體對上級責(zé)任追究主體負(fù)責(zé)。
第十五條
責(zé)任追究程序包括調(diào)查�、對調(diào)查報告審核、作出責(zé)任追究決定等�����。
第十六條
對網(wǎng)絡(luò)安全事故的調(diào)查和對事故責(zé)任的初步定性由醫(yī)院網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組及醫(yī)院網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組辦公室負(fù)責(zé)�,并對調(diào)查報告進(jìn)行審核。
第十七條
調(diào)查報告的審核重點:
(一)
事故的事實是否清楚��;
(二)
證據(jù)是否確實���、充分�;
(三)
性質(zhì)認(rèn)定是否準(zhǔn)確;
(四)
責(zé)任劃分是否明確�����。
第十八條
責(zé)任追究決定:
(一)
對責(zé)任主體作出批評教育�、責(zé)令作出書面檢查、通報批評時�,由醫(yī)院網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組直接決定。
(二)
對責(zé)任主體作出一般處理�����、嚴(yán)肅處理時���,由責(zé)任主體所在科室或上級部門網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組安全辦公室����、人事�、主管部門共同作出決定���,并報網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組審批通過后執(zhí)行�����。
第十九條
對責(zé)任主體的追究決定由人事�����、財務(wù)�����、相對應(yīng)的主管部門����、網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組辦公室等職能部門分別負(fù)責(zé)實施。
第四章
附
則
第二十條
本制度解釋權(quán)歸屬蒲窩鎮(zhèn)衛(wèi)生院醫(yī)院網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組辦公室����。
第二十一條
本制度自之日起執(zhí)行。
第4篇
當(dāng)前���,隨著生產(chǎn)智能化程度的不斷提高���,工業(yè)設(shè)備的深度互聯(lián)和信息基礎(chǔ)設(shè)施的廣泛應(yīng)用,對信息安全提出了更高層的要求����,云計算�����、移動互聯(lián)�����、大數(shù)據(jù)��、工業(yè)控制和物聯(lián)網(wǎng)等新技術(shù)也為工業(yè)領(lǐng)域帶來了新的安全風(fēng)險�。從2010年到2015年期間��,一系列的安全事件陸續(xù)發(fā)生�,2010年震驚世界的Stuxnet病毒爆發(fā)、2011年的“Duqu”病毒�、2012年的Flame火焰病毒、2014年蜻蜓組織利用havex惡意程序?qū)W美地區(qū)千余家能源企業(yè)所進(jìn)行的攻擊���,以及2015年末的烏克蘭變電站被攻擊事件��,都是典型的影響深遠(yuǎn)�����、波及廣泛�、造成經(jīng)濟損失慘重和社會危害性極高的工控安全事件�。
據(jù)美國國家網(wǎng)絡(luò)安全和通信綜合中心(NCCIC)統(tǒng)計,近5年來�����,公開安全漏洞數(shù)達(dá)1300多個�,其中2015年安全漏洞就有486個,呈明顯增長趨勢����。《2016工業(yè)控制系統(tǒng)漏洞趨勢報告》顯示��,工業(yè)控制系統(tǒng)漏洞正在逐步增多��,在2014到2015年之間存在著49%的高速增長����。
從國家相關(guān)政策頒布來看,自從工業(yè)和信息化部451號文之后���,國內(nèi)各行各業(yè)對工控系統(tǒng)安全的認(rèn)識都達(dá)到了一個新的高度��。電力����、石化、制造和煙草等多個行業(yè)陸續(xù)制定了相應(yīng)的指導(dǎo)性文件�,來同步指導(dǎo)相應(yīng)行業(yè)的安全檢查與整改活動。由此看來�����,保障工控系統(tǒng)網(wǎng)絡(luò)的安全性�,實現(xiàn)工控安全的國產(chǎn)化應(yīng)用是重中之重。
北京中科網(wǎng)威信息技術(shù)有限公司(以下簡稱中科網(wǎng)威)是國內(nèi)最早從事工控安全研究的企業(yè)之一�����,在自主可控工控安全方面有著專業(yè)��、深入的研究���。中科網(wǎng)威認(rèn)為��,工控網(wǎng)絡(luò)安全是傳統(tǒng)網(wǎng)絡(luò)安全在工控網(wǎng)絡(luò)的延伸����,指導(dǎo)工控安全建設(shè)的理念和方法論是相同的,即所謂的“老套路”����。但工控系統(tǒng)又有別于傳統(tǒng)的信息系統(tǒng)�,具備一定的特殊性,如資產(chǎn)變化小���、資產(chǎn)訪問關(guān)系清晰�����、可靠性要求高���、通信協(xié)議安全性差等。隨之也產(chǎn)生了一些新問題���,傳統(tǒng)的安全防護手段是無法在工控現(xiàn)場環(huán)境中直接使用的���,例如漏洞掃描、攻擊測試等�����。這些新的問題只要采用新的方法和手段去解決即可,其整體的理念和方法論與傳統(tǒng)的是相同的����。
結(jié)合我國傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品的發(fā)展?fàn)顩r,中科網(wǎng)威提出了自主可控的工控安全理念���。網(wǎng)絡(luò)安全產(chǎn)品自主化進(jìn)程經(jīng)歷了三個階段:無自主可控階段����、半自主可控階段和全自主可控階段��。如今我國自主品牌的工控安全產(chǎn)品已經(jīng)完全具備了直接進(jìn)入第三階段的技術(shù)水平�,即不但軟件要自主,處理器更要自主�。
在愈發(fā)嚴(yán)峻的網(wǎng)絡(luò)安全形勢背景下, 2013年初�,中科網(wǎng)威在與申威處理器深度合作的基礎(chǔ)上,打造了基于申威的自主可控品牌――中科神威����,以中科神威的自主可控防火墻為例,它已經(jīng)成功替換了部分以國外x86芯片為技術(shù)核心的傳統(tǒng)防火墻�,并率先在黨政軍等行業(yè)的核心、敏感�、要害部門有了批量應(yīng)用��。
網(wǎng)絡(luò)安全產(chǎn)品采用自主可控的處理器�,也就意味著在信息化時代掌握了事關(guān)國家經(jīng)濟安全的重大技術(shù)話語權(quán)�����。專注網(wǎng)絡(luò)安全領(lǐng)域多年的中科網(wǎng)威��,不僅堅信申威處理器的技術(shù)實力和發(fā)展?jié)摿?,而且敏銳地洞察到自主可控市場潛在的巨大發(fā)展空間�����,并迅速開展了市場推廣工作��。
隨著自主可控網(wǎng)絡(luò)安全行業(yè)的不斷細(xì)分�����,用戶需要的不僅僅是單一的安全產(chǎn)品�,更是整體的解決方案與安全技術(shù)服務(wù)。在這個行業(yè)����,如果還是一味的銷售產(chǎn)品���,不著眼于理念的革新,那么企業(yè)將越做越難���,尤其是在國產(chǎn)化安全產(chǎn)品競爭如此激烈的時代���。為了推動自主可控網(wǎng)絡(luò)安全市場的發(fā)展,中科網(wǎng)威正與合作伙伴配合��,共同推出自主可控的網(wǎng)絡(luò)安全解決方案�����,與合作伙伴合作共贏����,共同推動中國網(wǎng)絡(luò)安全產(chǎn)業(yè)的發(fā)展。
中科網(wǎng)威作為網(wǎng)絡(luò)安全民營企業(yè)�,擁有多項工業(yè)控制系統(tǒng)安全產(chǎn)品發(fā)明專利和核心技術(shù)。對于網(wǎng)絡(luò)安全行業(yè)的自主可控應(yīng)用����,有著自己的見解和應(yīng)對之道,并在業(yè)內(nèi)率先提出了“芯改變,更安全”的安全理念�����。正是憑借一系列的突破��,中科網(wǎng)威在國內(nèi)自主可控網(wǎng)絡(luò)安全領(lǐng)域中占據(jù)了領(lǐng)跑者的地位���。
第5篇
近年來�,隨著信息安全等級保護工作機制的不斷完善��,主管部門監(jiān)督檢查力度的不斷加大�����,信息系統(tǒng)開展等級測評的數(shù)量穩(wěn)步增長���,測評覆蓋率顯著提升。通過統(tǒng)計分析本單位近些年測評的數(shù)百個信息系統(tǒng)的數(shù)據(jù)�����,可以得出以下結(jié)論:一是較早開展等級測評的行業(yè)�,經(jīng)過測評和整改建設(shè),測評符合率逐年提高;二是隨著等級測評工作的持續(xù)推進(jìn),近期才開展首次測評的行業(yè)特別是基層單位的信息安全工作基礎(chǔ)較薄弱�����,測評得分明顯偏低�。通過對物理安全、網(wǎng)絡(luò)安全���、主機安全����、應(yīng)用安全�、數(shù)據(jù)安全、安全管理制度���、安全管理機構(gòu)�、人員安全管理����、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理等10個層面的測評結(jié)果進(jìn)行統(tǒng)計�����,其中網(wǎng)絡(luò)安全、主機安全����、應(yīng)用安全、系統(tǒng)運維管理等方面的不符合率相對較高�����,信息系統(tǒng)的建設(shè)����、使用、運維階段存在一些較普遍的問題�。
信息系統(tǒng)安全保護措施落實情況分析
整體而言,隨著等級測評工作的持續(xù)推進(jìn)�,黨政機關(guān)、企事業(yè)單位對信息系統(tǒng)安全等級保護的認(rèn)識和重視程度得到普遍提升�����,在管理和技術(shù)兩方面主要采取了以下安全措施:
信息安全管理措施落實情況
在信息安全管理方面呈現(xiàn)出兩級分化的特點��。一些重點行業(yè)的業(yè)務(wù)信息化程度高����、自身信息技術(shù)隊伍力量足、信息安全投入經(jīng)費有保障���,其安全管理措施一般也能得到有效落實�,在機構(gòu)����、人員、制度�、建設(shè)管理、運維管理等方面均能較好地符合相關(guān)標(biāo)準(zhǔn)的要求����。這一類的典型包括銀行、證券��、電力等行業(yè)主管部門對信息安全監(jiān)管嚴(yán)格的幾大行業(yè)�。相反,部分對信息系統(tǒng)管控相對松散的單位如大專院校�、在信息安全投入方面得不到充分保障的單位如基層政府部門,其信息安全專業(yè)人員的配備達(dá)不到標(biāo)準(zhǔn)規(guī)范的要求���,安全責(zé)任部門地位偏低權(quán)限不足�,很難制定并有效貫徹落實結(jié)合本單位實際的信息安全管理制度����。
信息安全技術(shù)措施落實情況
多數(shù)單位通過部署邊界安全設(shè)備����,強化入侵防范措施來提高網(wǎng)絡(luò)的安全性;通過加固操作系統(tǒng)和數(shù)據(jù)庫的安全策略�����,啟用安全審計�,安裝殺毒軟件等措施,來提高主機安全防護水平;通過開發(fā)應(yīng)用系統(tǒng)的安全模塊�,從身份鑒別、訪問控制����、日志記錄等方面,強化業(yè)務(wù)應(yīng)用的安全性;通過部署數(shù)據(jù)備份設(shè)備����、加密措施,加強對數(shù)據(jù)安全的保護�����。
信息系統(tǒng)常見安全問題分析
隨著等級測評工作的覆蓋面進(jìn)一步擴大����,近年來初次測評的單位和基層部門仍發(fā)現(xiàn)一些典型問題。
信息安全意識有待提高
很多單位對當(dāng)前日趨嚴(yán)峻的網(wǎng)絡(luò)安全形勢認(rèn)識不足�����,將信息安全工作視為被動應(yīng)付上級檢查�����、被動應(yīng)對安全事件的任務(wù)來消極對待�����。一些單位認(rèn)為取得“基本符合”的測評結(jié)論就高枕無憂��,完成測評備案就完成了等級保護�。由此造成對信息安全合規(guī)的落實不夠、資金和人員投入不足����、重建設(shè)輕運維、有制度無執(zhí)行����、有預(yù)案不演練等問題�����,根源還是安全意識薄弱���。
信息安全管理有待加強
信息安全管理不到位主要表現(xiàn)在安全管理制度、系統(tǒng)建設(shè)管理�����、系統(tǒng)運維管理等方面��。
信息安全管理制度不完善����。基層單位信息安全管理制度不全�����、人員配備不足�����、授權(quán)審批流于形式�����、執(zhí)行記錄缺失等問題較為常見��。部分單位的信息安全管理制度照搬模版�,未結(jié)合本單位實際進(jìn)行修訂,導(dǎo)致缺乏可操作性�����。
系統(tǒng)建設(shè)管理不到位�����。系統(tǒng)建設(shè)過程中落實信息安全“同步建設(shè)”原則不到位�。在軟件開發(fā)階段較普遍未遵循安全編碼規(guī)范,導(dǎo)致安全功能缺失�、應(yīng)用層漏洞頻現(xiàn)。在系統(tǒng)驗收階段�,很多單位僅注重業(yè)務(wù)功能驗收,缺乏專門的安全性測試;電子政務(wù)類項目較普遍未按規(guī)定在項目驗收環(huán)節(jié)完成“一證兩報告”(即等級測評報告����、風(fēng)險評估報告和系統(tǒng)備案證明)。
系統(tǒng)運維管理不到位�。在系統(tǒng)運維管理方面�,部分單位運維和開發(fā)崗位不分�����,職責(zé)不清����,存在一人身兼數(shù)職現(xiàn)象。很多單位在信息資產(chǎn)管理��、介質(zhì)管理�、變更管理等方面缺乏操作規(guī)程和相關(guān)記錄,數(shù)據(jù)備份策略不明�����,應(yīng)急預(yù)案不完善并缺乏演練����。
關(guān)鍵技術(shù)措施有待落實
分析近年來的測評結(jié)果,安全技術(shù)措施不足問題主要體現(xiàn)在以下幾個方面:
在物理安全方面��,隨著電子政務(wù)集約化建設(shè)的推進(jìn)�����,大量信息系統(tǒng)已經(jīng)集中到高規(guī)格的專業(yè)機房,但仍有部分單位自有機房條件簡陋�,位置選擇不規(guī)范,出入管理較隨意�,防盜防破壞�����、防雷防火防潮能力較差�����,環(huán)境監(jiān)控措施不足�����。
在網(wǎng)絡(luò)安全方面��,常見網(wǎng)絡(luò)和安全設(shè)備的配置不到位���,如未合理劃分區(qū)域���、未精細(xì)配置訪問控制策略、未對重要設(shè)備做地址綁定等;較普遍缺少專業(yè)審計系統(tǒng)。部分單位設(shè)備老舊�,安全產(chǎn)品本身存在一定缺陷導(dǎo)致無法滿足等級保護要求。個別單位用于生產(chǎn)控制的重要信息系統(tǒng)在網(wǎng)絡(luò)層面未采取必要安全措施的同時���,還違規(guī)接通互聯(lián)網(wǎng)�����,存在極大的安全隱患���。
在主機安全方面,部分單位存在弱口令�����、不啟用登錄失敗處理和安全審計功能�����、不及時更新補丁��、不關(guān)閉非必要服務(wù)等問題�。此外,由于主流操作系統(tǒng)和數(shù)據(jù)庫很少支持強制訪問控制機制�����,相關(guān)要求普遍未落實。
在應(yīng)用安全方面�,很多應(yīng)用軟件安全功能不足,缺少身份鑒別�、審計日志、信息加密等能力���。由于很少進(jìn)行安全掃描�、滲透測試���,相當(dāng)一部分系統(tǒng)存在高危風(fēng)險,如SQL注入�����、跨站腳本�����、文件上傳等漏洞����,以及弱口令、網(wǎng)頁木馬等問題。
在數(shù)據(jù)安全方面�����,較常見的是數(shù)據(jù)保密性和完整性措施薄弱�。此外,部分信息系統(tǒng)的備份和恢復(fù)措施欠完善�����,缺乏有效的災(zāi)難恢復(fù)手段�����。
針對新技術(shù)的等級保護測評標(biāo)準(zhǔn)有待出臺
隨著浙江政務(wù)服務(wù)網(wǎng)的大力推進(jìn)��,省內(nèi)各級政務(wù)云平臺的建設(shè)使用已全面開展���,有相當(dāng)數(shù)量的電子政務(wù)系統(tǒng)已遷移上云�。同時涉及城市公共設(shè)施�、水電氣等工控系統(tǒng)密集的行業(yè)對等級保護工作越來越重視,對云計算�、工控系統(tǒng)、移動APP等的測評需求不斷加大��。但現(xiàn)有的《GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》未涉及云計算、工業(yè)控制�����、移動互聯(lián)等領(lǐng)域�,在測評實踐中已遇到諸多不適應(yīng)情況。針對這些新技術(shù)新應(yīng)用的等級保護測評標(biāo)準(zhǔn)需求已非常迫切�。
重要信息系統(tǒng)安全保護對策建議
針對上述存在的問題,本文提出以下對策建議�����,以供參考�。
提高信息安全意識
提高全員信息安全意識是全面提升信息安全保障水平的根本解決之道��。要樹立全體人員的安全觀念�����,加強信息安全培訓(xùn)�����。除了通過強化工作考核和安全檢查來督促信息安全工作的深入開展�,還應(yīng)通過多種方式開展信息安全政策解讀和信息安全標(biāo)準(zhǔn)宣貫���,強化對全員的安全意識教育和考查。建議結(jié)合一些合適的安全職業(yè)技能培訓(xùn)�����,落實信息安全相關(guān)崗位“持證上崗”的要求����。
加強信息安全管理
“三分技術(shù),七分管理”��,各單位應(yīng)轉(zhuǎn)變觀念�,將“信息安全”與“系統(tǒng)穩(wěn)定、功能正?����!蓖戎匾暺饋?����,將安全管理要求與自身業(yè)務(wù)緊密結(jié)合�,制訂完善的體系化的安全管理制度。
在系統(tǒng)建設(shè)管理過程中�,應(yīng)要求開發(fā)人員遵循安全編碼規(guī)范進(jìn)行開發(fā);在系統(tǒng)驗收環(huán)節(jié)����,應(yīng)認(rèn)真做好安全性驗收測試�����。在電子政務(wù)領(lǐng)域應(yīng)落實國家對電子政務(wù)項目管理的制度要求�,驗收階段完成等級測評,未通過測評的應(yīng)不予驗收���。
在系統(tǒng)運維管理方面�����,應(yīng)加強制定信息系統(tǒng)日常管理操作的詳細(xì)規(guī)范�,明確定義工作流程和操作步驟�����,使日常運行管理制度化�、規(guī)范化����。對信息資產(chǎn)按重要性進(jìn)行分類梳理����,建立完善應(yīng)急災(zāi)備措施�,定期開展演練,確保備份的有效性����。
落實關(guān)鍵技術(shù)措施
針對測評發(fā)現(xiàn)的問題,各單位應(yīng)根據(jù)系統(tǒng)所定級別��,結(jié)合自身條件����,綜合考慮問題的影響范圍、嚴(yán)重程度���、整改難度等因素�,制定整改計劃�,有步驟地落實相關(guān)技術(shù)措施。對于策略配置類的問題及時糾正;對于整改難度大�����、需要添置硬件或修改代碼的問題�����,應(yīng)在充分測試和試運行的基礎(chǔ)上實施整改。對于強制訪問控制����、敏感標(biāo)記、雙因子鑒別等難點問題���,建議國家加強相關(guān)產(chǎn)業(yè)政策的引導(dǎo)��,促進(jìn)安全廠商研發(fā)技術(shù)����、推出產(chǎn)品�,解決市場供應(yīng)問題。各級主管部門應(yīng)通過測評�、整改、監(jiān)督檢查�、再測評的閉環(huán)管理,督促關(guān)鍵技術(shù)措施的落實�。
加快新技術(shù)的等級保護測評標(biāo)準(zhǔn)編制工作
目前公安部信息安全等級保護評估中心在牽頭起草針對云計算安全的等級保護標(biāo)準(zhǔn),尚處于征求意見階段����。其余新技術(shù)領(lǐng)域的等級保護標(biāo)準(zhǔn)制定工作進(jìn)度更晚,隨著智慧城市�����、云計算�、大數(shù)據(jù)、移動互聯(lián)���、工業(yè)控制等新技術(shù)的快速應(yīng)用�,安全標(biāo)準(zhǔn)相對滯后的問題更加突出��,應(yīng)進(jìn)一步加快相關(guān)新標(biāo)準(zhǔn)的制定��。
第6篇
第一條為加強對計算機信息系統(tǒng)的安全保護,維護公共秩序和社會穩(wěn)定,促進(jìn)信息化的健康發(fā)展,根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》��、《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》等規(guī)定,結(jié)合本市實際,制定本辦法��。
第二條本辦法所稱的計算機信息系統(tǒng),是指由計算機及其相關(guān)的和配套的設(shè)備����、設(shè)施(含有線、無線等網(wǎng)絡(luò),下同)構(gòu)成的,按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集��、加工、存儲��、傳輸�、檢索等處理的人機系統(tǒng),包括互聯(lián)網(wǎng)、局域網(wǎng)���、移動網(wǎng)等���。
第三條*市行政區(qū)域范圍內(nèi)計算機信息系統(tǒng)的安全保護管理,適用本辦法。
第四條*市公安局主管全市計算機信息系統(tǒng)安全保護管理工作�。
*市公安局公共信息網(wǎng)絡(luò)安全監(jiān)察分局具體負(fù)責(zé)市區(qū)范圍內(nèi)(蕭山區(qū)、余杭區(qū)除外)計算機信息系統(tǒng)安全保護管理工作����。
各縣(市)公安局和蕭山區(qū)、余杭區(qū)公安分局負(fù)責(zé)本行政區(qū)域范圍內(nèi)計算機信息系統(tǒng)安全保護管理工作�。
國家安全機關(guān)、保密機關(guān)�、信息化行政主管部門及政府其他有關(guān)職能部門,在各自職責(zé)范圍內(nèi)負(fù)責(zé)計算機信息系統(tǒng)安全保護管理的有關(guān)工作。
第五條公安機關(guān)�、國家安全機關(guān)、保密機關(guān)�����、信息化行政主管部門及政府其他有關(guān)職能部門,應(yīng)當(dāng)建立協(xié)調(diào)合作管理機制,共同做好計算機信息系統(tǒng)安全保護管理工作。
第六條公安機關(guān)�����、國家安全機關(guān)���、保密機關(guān)、信息化行政主管部門及政府其他有關(guān)職能部門在履行管理職責(zé)過程中,應(yīng)當(dāng)保護計算機信息系統(tǒng)使用單位和個人的合法權(quán)益,保守其秘密�����。
計算機信息系統(tǒng)使用單位和個人應(yīng)當(dāng)協(xié)助公安機關(guān)等有關(guān)職能部門做好計算機信息系統(tǒng)的安全保護管理工作�����。在公安機關(guān)等有關(guān)職能部門依法履行管理職責(zé)時,使用單位和個人應(yīng)當(dāng)如實提供本單位計算機信息系統(tǒng)的技術(shù)資料����。
第七條計算機信息系統(tǒng)的安全保護工作,重點維護下列涉及國家事務(wù)、公共利益�����、經(jīng)濟建設(shè)��、尖端科學(xué)技術(shù)等重要領(lǐng)域和單位(以下簡稱重點安全保護單位)的計算機信息系統(tǒng)的安全:
(一)各級國家機關(guān);
(二)金融、證券��、保險�����、期貨���、能源����、交通��、社會保障�、郵電通信及其他公用事業(yè)單位;
(三)重點科研、教育單位;
(四)有關(guān)國計民生的企業(yè);
(五)從事國際聯(lián)網(wǎng)的互聯(lián)單位�����、接入單位及重點政務(wù)�、商務(wù)、新聞網(wǎng)站;
(六)向公眾提供上網(wǎng)服務(wù)的單位;
(七)互聯(lián)網(wǎng)絡(luò)游戲�、手機短信轉(zhuǎn)發(fā)����、各類聊天室等互動欄目的開發(fā)����、運營和維護單位;
(八)其他對社會公共利益有重大影響的計算機信息系統(tǒng)使用單位。
第二章計算機信息系統(tǒng)使用單位的安全管理
第八條計算機信息系統(tǒng)使用單位應(yīng)當(dāng)建立人員管理��、機房管理�、設(shè)備設(shè)施管理�、數(shù)據(jù)管理、磁介質(zhì)管理�、輸入輸出控制管理和安全監(jiān)督等制度,健全計算機信息系統(tǒng)安全保障體系,保障本單位計算機信息系統(tǒng)安全。
第九條計算機信息系統(tǒng)使用單位應(yīng)當(dāng)確定本單位的計算機信息系統(tǒng)安全管理責(zé)任人���。安全管理責(zé)任人應(yīng)履行下列職責(zé):
(一)組織宣傳計算機信息系統(tǒng)安全保護管理方面的法律�、法規(guī)�����、規(guī)章和有關(guān)政策;
(二)組織實施本單位計算機信息系統(tǒng)安全保護管理制度和安全保護技術(shù)措施;
(三)組織本單位計算機從業(yè)人員的安全教育和培訓(xùn);
(四)定期組織檢查計算機信息系統(tǒng)的安全運行情況,及時排除安全隱患�����。
第十條計算機信息系統(tǒng)使用單位應(yīng)當(dāng)配備本單位的計算機信息系統(tǒng)安全技術(shù)人員���。安全技術(shù)人員應(yīng)履行下列職責(zé):
(一)嚴(yán)格執(zhí)行本單位計算機信息系統(tǒng)安全保護技術(shù)措施;
(二)對計算機信息系統(tǒng)安全運行情況進(jìn)行檢查測試,及時排除安全隱患;
(三)計算機信息系統(tǒng)發(fā)生安全事故或違法犯罪案件時,應(yīng)立即向本單位報告,并采取妥善措施保護現(xiàn)場,避免危害的擴大;
(四)負(fù)責(zé)收集本單位的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖及信息系統(tǒng)的其他相關(guān)技術(shù)資料��。
第十一條重點安全保護單位應(yīng)當(dāng)建立并執(zhí)行以下安全保護管理制度:
(一)計算機機房安全管理制度;
(二)安全管理責(zé)任人��、安全技術(shù)人員的安全責(zé)任制度;
(三)網(wǎng)絡(luò)安全漏洞檢測和系統(tǒng)升級管理制度;
(四)操作權(quán)限管理制度;
(五)用戶登記制度;
(六)信息審查����、登記、保存�����、清除和備份制度;
(七)信息保密制度;
(八)信息系統(tǒng)安全應(yīng)急處置制度;
(九)其他相關(guān)安全保護管理制度�����。
第十二條重點安全保護單位應(yīng)當(dāng)落實以下安全保護技術(shù)措施:
(一)系統(tǒng)重要部分的冗余措施;
(二)重要信息的異地備份措施和保密措施;
(三)計算機病毒和有害數(shù)據(jù)防治措施;
(四)網(wǎng)絡(luò)攻擊防范和追蹤措施;
(五)安全審計和預(yù)警措施;
(六)信息群發(fā)限制措施;
(七)其他相關(guān)安全保護技術(shù)措施���。
第十三條重點安全保護單位的安全管理責(zé)任人和安全技術(shù)人員,應(yīng)當(dāng)經(jīng)過計算機信息系統(tǒng)安全知識培訓(xùn)�����。
第十四條重點安全保護單位應(yīng)當(dāng)對其主服務(wù)器輸入輸出數(shù)據(jù)進(jìn)行24小時監(jiān)控,發(fā)現(xiàn)異常數(shù)據(jù)應(yīng)注意保護現(xiàn)場,并同時報告公安機關(guān)等有關(guān)職能部門�。
第十五條使用和銷售計算機信息系統(tǒng)安全專用產(chǎn)品,必須是依法取得計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證的產(chǎn)品��。
進(jìn)入本市銷售計算機信息系統(tǒng)安全專用產(chǎn)品的銷售單位,其銷售產(chǎn)品目錄應(yīng)報市公安局備案。
市公安局應(yīng)定期通告,公布合格的計算機信息系統(tǒng)安全專用產(chǎn)品目錄�����。
保密技術(shù)專用產(chǎn)品的管理,按照國家和省����、市的有關(guān)規(guī)定執(zhí)行。
第十六條計算機信息系統(tǒng)使用單位發(fā)現(xiàn)計算機信息系統(tǒng)中發(fā)生安全事故和違法犯罪案件時,應(yīng)在24小時內(nèi)向當(dāng)?shù)毓矙C關(guān)報告,并做好運行日志等原始記錄的現(xiàn)場保留工作�����。涉及重大安全事故和違法犯罪案件的,未經(jīng)公安機關(guān)查勘或同意,使用單位不得擅自恢復(fù)�����、刪除現(xiàn)場�����。涉及其他管理部門法定職權(quán)的,公安機關(guān)應(yīng)當(dāng)在接到報告后及時通知有關(guān)部門�。
第十七條計算機信息系統(tǒng)發(fā)生突發(fā)性事件或存在安全隱患,可能危及公共安全或損害公共利益時,公安機關(guān)等有關(guān)職能部門應(yīng)當(dāng)及時通知計算機信息系統(tǒng)使用單位采取安全保護措施,并有權(quán)對使用單位采取暫停聯(lián)網(wǎng)�����、停機檢查、備份數(shù)據(jù)等應(yīng)急措施,計算機信息系統(tǒng)使用單位應(yīng)當(dāng)予以配合����。
突發(fā)性事件或安全隱患消除之后,公安機關(guān)等有關(guān)職能部門應(yīng)立即解除暫停聯(lián)網(wǎng)或停機檢查措施,恢復(fù)計算機信息系統(tǒng)的正常工作。
第三章計算機信息系統(tǒng)安全檢測
第十八條重點安全保護單位的計算機信息系統(tǒng)進(jìn)行新建�、改建、擴建的,其安全保護設(shè)計方案應(yīng)報公安機關(guān)備案�。
系統(tǒng)建成后,重點安全保護單位應(yīng)進(jìn)行1至6個月的試運行,并委托符合條件的檢測機構(gòu)對其系統(tǒng)進(jìn)行安全保障體系檢測,檢測合格的,系統(tǒng)方能投入正式運行。重點安全保護單位應(yīng)將檢測合格報告書報公安機關(guān)備案�����。
計算機信息系統(tǒng)的建設(shè)�、檢測等按照國家和省、市的有關(guān)規(guī)定執(zhí)行��。
第十九條計算機信息系統(tǒng)安全保障體系檢測包括以下內(nèi)容:
(一)安全保護管理制度和安全保護技術(shù)措施的制定和執(zhí)行情況;
(二)計算機硬件性能和機房環(huán)境;
(三)計算機系統(tǒng)軟件和應(yīng)用軟件的可靠性;
(四)技術(shù)測試情況和其他相關(guān)情況�����。
市公安局應(yīng)當(dāng)根據(jù)計算機信息系統(tǒng)安全保護的行業(yè)特點,會同有關(guān)部門制定并公布重點行業(yè)計算機信息系統(tǒng)安全保障體系的安全要求規(guī)范���。
第二十條重點安全保護單位對計算機信息系統(tǒng)進(jìn)行設(shè)備更新或改造時,對安全保障體系產(chǎn)生直接影響的,應(yīng)當(dāng)委托符合條件的檢測機構(gòu)對受影響的部分進(jìn)行檢測,確保其符合該行業(yè)計算機信息系統(tǒng)安全保障體系的安全要求規(guī)范�����。
第二十一條重點安全保護單位應(yīng)加強對計算機信息系統(tǒng)的安全保護,定期委托符合條件的檢測機構(gòu)對計算機信息系統(tǒng)進(jìn)行安全保障體系檢測,并將檢測合格報告書報公安機關(guān)備案��。對檢測不合格的,重點安全保護單位應(yīng)當(dāng)按照該行業(yè)計算機信息系統(tǒng)安全保障體系的安全要求規(guī)范進(jìn)行整改,整改后達(dá)到要求的,系統(tǒng)方能繼續(xù)運行����。
第二十二條公安機關(guān)應(yīng)當(dāng)會同有關(guān)部門,按照國家有關(guān)規(guī)定和相關(guān)行業(yè)安全要求規(guī)范,對重點安全保護單位的計算機信息系統(tǒng)安全保障體系進(jìn)行檢查。檢查內(nèi)容包括:
(一)安全保護管理制度和安全保護技術(shù)措施的落實情況;
(二)計算機信息系統(tǒng)實體的安全;
(三)計算機網(wǎng)絡(luò)通訊和數(shù)據(jù)傳輸?shù)陌踩?
(四)計算機軟件和數(shù)據(jù)庫的安全;
(五)計算機信息系統(tǒng)安全審計狀況和安全事故應(yīng)急措施的執(zhí)行情況;
(六)其他計算機信息系統(tǒng)的安全情況�。
第二十三條公安機關(guān)等有關(guān)職能部門發(fā)現(xiàn)重點安全保護單位的計算機信息系統(tǒng)存在安全隱患、可能危及公共安全或損害公共利益的,可委托符合條件的檢測機構(gòu)對其安全保障體系進(jìn)行檢測�����。經(jīng)檢測發(fā)現(xiàn)存在安全問題的,重點安全保護單位應(yīng)當(dāng)立即予以整改�����。
第二十四條檢測機構(gòu)進(jìn)行計算機信息系統(tǒng)安全檢測時,應(yīng)保障被檢測單位各種活動的正常進(jìn)行,并不得泄露其秘密�。
檢測機構(gòu)應(yīng)當(dāng)嚴(yán)格按照國家有關(guān)規(guī)定和相關(guān)規(guī)范進(jìn)行檢測,并對其出具的檢測報告承擔(dān)法律責(zé)任��。
第四章計算機信息網(wǎng)絡(luò)公共秩序管理
第二十五條互聯(lián)網(wǎng)絡(luò)接入單位以及申請從事互聯(lián)網(wǎng)信息服務(wù)的單位和個人,除應(yīng)當(dāng)按照國家有關(guān)規(guī)定辦理相關(guān)手續(xù)外,還應(yīng)當(dāng)自網(wǎng)絡(luò)正式聯(lián)通之日起30日內(nèi)到公安機關(guān)辦理安全備案手續(xù)��。
第二十六條用戶在接入單位辦理入網(wǎng)手續(xù)時,應(yīng)當(dāng)填寫用戶備案表����。接入單位應(yīng)當(dāng)定期將接入本網(wǎng)絡(luò)的用戶情況報當(dāng)?shù)毓矙C關(guān)備案��。
第二十七條設(shè)立互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所,應(yīng)當(dāng)按照《互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所管理條例》的規(guī)定向公安機關(guān)申請信息網(wǎng)絡(luò)安全審核����。經(jīng)公安機關(guān)審核合格,發(fā)給互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所信息網(wǎng)絡(luò)安全許可證明后,再向文化�����、工商部門辦理有關(guān)審批手續(xù)����。
互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所經(jīng)營單位變更營業(yè)場所地址或者對營業(yè)場所進(jìn)行改建、擴建,變更計算機數(shù)量或者其他重要事項的,應(yīng)當(dāng)經(jīng)原審核機關(guān)同意����。
互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所經(jīng)營單位變更名稱、住所��、法定代表人或者主要負(fù)責(zé)人����、注冊資本、網(wǎng)絡(luò)地址或者終止經(jīng)營活動的,應(yīng)當(dāng)依法到工商行政管理部門辦理變更登記或者注銷登記,并到文化行政部門��、公安機關(guān)辦理相關(guān)手續(xù)。
第二十八條互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所經(jīng)營單位必須使用固定的IP地址聯(lián)網(wǎng),并按規(guī)定落實安全保護技術(shù)措施����。
互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所經(jīng)營單位應(yīng)按規(guī)定對上網(wǎng)人員進(jìn)行電子實名登記,登記內(nèi)容包括姓名、身份證號碼�、上網(wǎng)起止時間,并應(yīng)記錄上網(wǎng)信息。登記內(nèi)容和記錄備份保存時間不得少于60日,在保存期內(nèi)不得修改或者刪除�。
第二十九條任何單位和個人不得從事下列危害計算機信息網(wǎng)絡(luò)安全的活動:
(一)未經(jīng)授權(quán)查閱他人電子郵箱,或者以贏利和非正常使用為目的,未經(jīng)允許向第三方公開他人電子郵箱地址;
(二)故意向他人發(fā)送垃圾郵件,或者冒用他人名義發(fā)送電子郵件;(三)利用計算機信息網(wǎng)絡(luò)傳播有害手機短信;
(四)侵犯他人隱私、竊取他人帳號����、進(jìn)行網(wǎng)上詐騙活動;
(五)未經(jīng)計算機信息網(wǎng)絡(luò)所有者同意,掃描他人信息網(wǎng)絡(luò)漏洞;
(六)利用計算機信息網(wǎng)絡(luò)鼓動公眾惡意評論他人或公開他人隱私,或者暗示、影射對他人進(jìn)行人身攻擊;
(七)其他危害計算機信息網(wǎng)絡(luò)安全的行為�����。
第三十條從事信息網(wǎng)絡(luò)經(jīng)營��、服務(wù)的單位和個人應(yīng)當(dāng)遵守下列規(guī)定:
(一)制訂安全保護管理制度,對本網(wǎng)絡(luò)用戶進(jìn)行安全教育;
(二)落實安全保護技術(shù)措施,保障本網(wǎng)絡(luò)的運行安全和其的信息安全;
(三)建立電子公告系統(tǒng)的信息審核制度,設(shè)立信息審核員,發(fā)現(xiàn)有害信息的,應(yīng)在做好數(shù)據(jù)保存工作后及時刪除;
(四)發(fā)現(xiàn)本辦法第二十九條中各類情況時應(yīng)保留有關(guān)稽核記錄,并立即向公安機關(guān)報告;
(五)落實信息群發(fā)限制�����、匿名轉(zhuǎn)發(fā)限制和有害數(shù)據(jù)防治措施;
(六)落實系統(tǒng)運行和上網(wǎng)用戶使用日志記錄措施;
(七)按公安機關(guān)要求報送各類接入狀況及基礎(chǔ)數(shù)據(jù)��。
第三十一條發(fā)現(xiàn)計算機信息網(wǎng)絡(luò)傳播病毒�、轉(zhuǎn)發(fā)垃圾郵件、轉(zhuǎn)發(fā)有害手機短信或傳播有害信息的,信息網(wǎng)絡(luò)的經(jīng)營�、服務(wù)單位和個人應(yīng)當(dāng)采取技術(shù)措施予以防護和制止,并在24小時內(nèi)向公安機關(guān)報告。
對不采取技術(shù)措施予以防護和制止的信息網(wǎng)絡(luò)經(jīng)營���、服務(wù)單位和個人,公安機關(guān)有權(quán)責(zé)令其采取技術(shù)措施,或主動采取有關(guān)技術(shù)措施予以防護和制止�����。
第三十二條公安機關(guān)應(yīng)對計算機信息網(wǎng)絡(luò)的安全狀況�、公共秩序狀況進(jìn)行經(jīng)常性監(jiān)測,發(fā)現(xiàn)危害信息安全和危害公共秩序的事件應(yīng)及時進(jìn)行處理,并及時通知有關(guān)單位和個人予以整改��。
第五章法律責(zé)任
第三十三條違反本辦法規(guī)定,有下列行為之一的,給予警告,責(zé)令限期改正,并可處以1000元以上10000元以下罰款;情節(jié)嚴(yán)重的,可以給予6個月以內(nèi)停機整頓的處罰:
(一)計算機信息系統(tǒng)使用單位未建立安全保護管理制度或未落實安全保護技術(shù)措施,危害計算機信息系統(tǒng)安全的;
(二)計算機信息系統(tǒng)使用單位不按照規(guī)定時間報告計算機信息系統(tǒng)中發(fā)生的安全事故和違法犯罪案件,造成危害的;
(三)重點安全保護單位的計算機信息系統(tǒng)未經(jīng)檢測或檢測不合格即投入正式運行的�����。
第三十四條違反本辦法規(guī)定,銷售計算機信息系統(tǒng)安全專用產(chǎn)品未向公安機關(guān)備案的,給予警告,責(zé)令限期改正,并可處以200元以上2000元以下罰款���。
第三十五條違反本辦法規(guī)定,接入單位或從事互聯(lián)網(wǎng)信息服務(wù)的單位和個人不辦理安全備案手續(xù)的,給予警告,責(zé)令限期改正,并可處以1000元以上5000元以下的罰款;情節(jié)嚴(yán)重的,可以給予6個月以內(nèi)停機整頓的處罰����。
第三十六條違反本辦法規(guī)定,未取得互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所信息網(wǎng)絡(luò)安全許可證明從事互聯(lián)網(wǎng)上網(wǎng)服務(wù)經(jīng)營活動的,責(zé)令限期補辦手續(xù),并可處以1000元以上10000元以下的罰款����。
第三十七條有本辦法第二十九條規(guī)定行為之一的,給予警告,責(zé)令限期改正,并可處以1000元以上5000元以下的罰款;情節(jié)嚴(yán)重的,可以給予6個月以內(nèi)停機整頓的處罰�。
第三十八條違反本辦法第三十條和第三十一條第一款規(guī)定的,給予警告,責(zé)令限期改正,并可處以1000元以上10000元以下的罰款;情節(jié)嚴(yán)重的,可以給予6個月以內(nèi)停機整頓的處罰�����。
第三十九條計算機信息系統(tǒng)使用單位的安全管理責(zé)任人和安全技術(shù)人員不履行本辦法規(guī)定的職責(zé),造成安全事故或重大損害的,給予警告,并可建議其所在單位按照相關(guān)規(guī)定給予其行政處分��。
第四十條對本辦法規(guī)定的行政處罰,市區(qū)范圍內(nèi)(蕭山區(qū)�����、余杭區(qū)除外)由市公安局公共信息網(wǎng)絡(luò)安全監(jiān)察分局負(fù)責(zé);各縣(市)和蕭山區(qū)�、余杭區(qū)范圍內(nèi)由各縣(市)公安局和蕭山區(qū)、余杭區(qū)公安分局負(fù)責(zé)�����。
第四十一條對違反本辦法規(guī)定的行為,涉及其他有關(guān)法律法規(guī)的,由有關(guān)部門依法予以處罰��。對違反治安管理行為的,依照《中華人民共和國治安管理處罰條例》的規(guī)定給予處罰;構(gòu)成犯罪的,依法追究刑事責(zé)任�����。
第四十二條行政機關(guān)工作人員違反本辦法規(guī)定,�����、����、的,由其所在單位或有關(guān)部門按照有關(guān)規(guī)定給予其行政處分;構(gòu)成犯罪的,由司法機關(guān)依法追究刑事責(zé)任。
第六章附則
第四十三條計算機信息系統(tǒng)的保密管理,按照國家有關(guān)規(guī)定執(zhí)行�。
第7篇
根據(jù)市人民政府辦公室《關(guān)于開展政府信息系統(tǒng)安全的檢查的通知》(天政電[2010]52號)文件精神。我鎮(zhèn)對本鎮(zhèn)信息系統(tǒng)安全情況進(jìn)行了自查��,現(xiàn)匯報如下:
一�����、自查情況
(一)安全制度落實情況
1��、成立了安全小組���。明確了信息安全的主管領(lǐng)導(dǎo)和具體負(fù)責(zé)管護人員,安全小組為管理機構(gòu)��。
2����、建立了信息安全責(zé)任制�����。按責(zé)任規(guī)定:保密小組對信息安全負(fù)首責(zé),主管領(lǐng)導(dǎo)負(fù)總責(zé)���,具體管理人負(fù)主責(zé)�����。
3�����、制定了計算機及網(wǎng)絡(luò)的保密管理制度�。鎮(zhèn)網(wǎng)站的信息管護人員負(fù)責(zé)保密管理�,密碼管理,對計算機享有獨立使用權(quán)�,計算機的用戶名和開機密碼為其專有,且規(guī)定嚴(yán)禁外泄�����。
(二)安全防范措施落實情況
1�、計算機經(jīng)過了保密技術(shù)檢查,并安裝了防火墻�。同時配置安裝了專業(yè)殺毒軟件,加強了在防篡改�、防病毒�����、防攻擊、防癱瘓�����、防泄密等方面有效性����。
2、計算機都設(shè)有開機密碼��,由專人保管負(fù)責(zé)���。同時�,計算機相互共享之間沒有嚴(yán)格的身份認(rèn)證和訪問控制����。
3、網(wǎng)絡(luò)終端沒有違規(guī)上國際互聯(lián)網(wǎng)及其他的信息網(wǎng)的現(xiàn)象��,沒有安裝無線網(wǎng)絡(luò)等�����。
4、安裝了針對移動存儲設(shè)備的專業(yè)殺毒軟件�。
(三)應(yīng)急響應(yīng)機制建設(shè)情況
1、制定了初步應(yīng)急預(yù)案�,并隨著信息化程度的深入,結(jié)合我鎮(zhèn)實際���,處于不斷完善階段����。
2�、堅持和計算機系統(tǒng)定點維修單位聯(lián)系機關(guān)計算機維修事宜,并商定其給予鎮(zhèn)應(yīng)急技術(shù)以最大程度的支持�����。
3��、嚴(yán)格文件的收發(fā)�����,完善了清點、修理�、編號、簽收制度�����,并要求信息管理員每天下班前進(jìn)行系統(tǒng)備份�。
(四)信息技術(shù)產(chǎn)品和服務(wù)國產(chǎn)化情況
1、終端計算機的保密系統(tǒng)和防火墻�、殺毒軟件等�����,皆為國產(chǎn)產(chǎn)品����。
2、公文處理軟件具體使用金山軟件的wps系統(tǒng)�����。
3�、工資系統(tǒng)、年報系統(tǒng)等皆為市政府�、市委統(tǒng)一指定產(chǎn)品系統(tǒng)。
(五)安全教育培訓(xùn)情況
1、派專人參加了市政府組織的網(wǎng)絡(luò)系統(tǒng)安全知識培訓(xùn)��,并專門負(fù)責(zé)我鎮(zhèn)的網(wǎng)絡(luò)安全管理和信息安全工作�����。
2�����、安全小組組織了一次對基本的信息安全常識的學(xué)習(xí)活動�����。
二�����、自查中發(fā)現(xiàn)的不足和整改意見
根據(jù)《通知》中的具體要求���,在自查過程中我們也發(fā)現(xiàn)了一些不足��,同時結(jié)合我鎮(zhèn)實際��,今后要在以下幾個方面進(jìn)行整改�����。
1�、安全意識不夠。要繼續(xù)加強對機關(guān)干部的安全意識教育�����,提高做好安全工作的主動性和自覺性�。
2、設(shè)備維護��、更新及時��。要加大對線路��、系統(tǒng)等的及時維護和保養(yǎng)�����,同時�,針對信息技術(shù)的飛快發(fā)展的特點�����,要加大更新力度。
第8篇
一�����、健全完善互聯(lián)網(wǎng)工作郵箱安全保密制度�。院黨委十分重視保密工作,嚴(yán)格執(zhí)行“誰主管誰負(fù)責(zé)�����、誰運行誰負(fù)責(zé)��、誰使用誰負(fù)責(zé)”的保密原則,嚴(yán)格執(zhí)行有關(guān)網(wǎng)絡(luò)安全制度�����,不斷完善保密工作機制��。
二�����、嚴(yán)把互聯(lián)網(wǎng)工作郵箱信息審核關(guān)����。凡用工作郵箱信息均要通過分管領(lǐng)導(dǎo)審核�,安排專人�,并做好信息登記記錄。用互聯(lián)網(wǎng)工作郵箱等處理有關(guān)信息時�,設(shè)置了保密提醒功能。
三�、加強對工作郵箱以及個人郵箱的檢查。經(jīng)自查���,我院開設(shè)的互聯(lián)網(wǎng)工作郵箱�����,沒有違規(guī)儲存�����、傳輸、處理國家秘密和工作秘密��,沒有發(fā)現(xiàn)以單位����、部門名稱或者簡稱命名的互聯(lián)網(wǎng)工作郵箱,沒有將單位工作郵箱郵件自動轉(zhuǎn)發(fā)至個人郵箱或境外郵箱�;沒有用個人郵箱處理公務(wù)的行為�;建立完善相關(guān)制度�����,認(rèn)真完善和落實日常保密管理措施�����,不存在泄密隱患�,互聯(lián)網(wǎng)工作郵箱保密安全狀況良好。
四�����、發(fā)現(xiàn)問題立即整改�。在自查過程中,發(fā)現(xiàn)個別工作郵箱登陸密碼設(shè)置雖符合保密要求�,但未定期修改密碼,立即要求負(fù)責(zé)人員進(jìn)行整改�����,并明確使用人的職能職責(zé)�,確保定期對使用郵箱密碼進(jìn)行修改。
通過此次開展互聯(lián)網(wǎng)工作郵箱保密自查工作����,我院摸清和掌握了基本情況�����,明確了今后保密工作的努力方向�。我院將以此次互聯(lián)網(wǎng)工作郵箱保密檢查工作為契機���,進(jìn)一步建立健全保密工作規(guī)章制度�,不斷強化工作人員保密意識�,嚴(yán)格規(guī)范工作人員保密行為,定期開展互聯(lián)網(wǎng)工作郵箱保密自查工作��,及時整改存在的問題����,切實將保密工作落實到各項工作中去,不斷推動安全保密工作向前發(fā)展���。
