仙人球球球球
范文一:网络信息安全自查总结
陕西煤业化工集团神木电化发展有限公司
关于开展网络与信息安全
专项检查工作汇报
2016年6月9日
关于开展网络与信息安全专项检查工作汇报
根据榆林电力分公司的要求及安排,要求各并网电厂开展网络与信息安全专项检查的自查工作,我公司从上到下非常重视,根据通知下发的内容,结合我公司实际生产情况,积极对公司的调度网、计算机监控系统、机组分散控制系统、负荷控制系统等专项自查活动。具体自查情况如下:
一、自查工作组织开展情况:
成立专门领导小组后,本次专项检查人员包括:生产常务副总王志埃;生产技术部部长任志华、副部长马晓军、周东瑜;安环部副部长李智文、热电分厂厂长刘伟、主任工程师刘丽;电石分厂厂长折永峰、副厂长姚小平;生产技术部专工及各分厂技术员等。根据榆林分公司调度中心下发的各站安全防护检查表内容,进行全公司全面的自查活动。
1、规章制度建立、落实情况:目前我公司电石热电分厂已经建立了相关的规章制度,主要制度有信息系统用户和权限管理制度、系统变更管理制度、计算机及相关设备安全管理制度、机房管理制度、变电站运行管理制度、厂家技术人员安全管理制度、变电站消防安全管理制度、备份管理制度、DCS系统软件及防病毒管理制度、DCS系统维护管理制度、DCS软件管理制度、DCS故障的紧急处理措施等。通过制度的实施来规范管理,并同时强化宣传教育,落实工作责任,加强日常监督检查,来监督网络、信息安全工作。
2、组织机构的完善情况:
我公司建立了由生产常务副总直接领导的信息化领导小组,生产技术部部长任领导小组副组长,组员由各分厂、部门第一责任人组成,负责信息化建设和信息安全管理。信息化工作小组由信息中心员工组成,负责信息化建设和信息安全
工作的具体实施。对于信息安全管理设有专人负责。组织机构根据实际情况,实时调整。
详见神木电化网络信息化领导小组组织结构图。
3、人员管理及相关情况:
3.1根据公司制度及实际生产情况,对网络、信息管理职能进行了划分,由人力资源部编写的各岗位职责,每年更新,其规定了各岗位的责任与权限,具体描述了岗位基本技能、工作内容与要求。按照《信息化管理程序》和内控的要求,全厂所有员工(含信息中心全体员工)每年进行一次信息安全原则以及信息安全意识的培训和教育。信息中心每年开展专业技能的培训,包括新开发/变更的系统、新公布的信息行业标准等。
3.1 根据职能划分,对于各部、分厂所辖的网络、信息等方面的设备进行专人管理。如工控机外围介质(U盘、移动硬盘等)的管理,采取专人保管单独存放,严禁携带存在外围介质到工控机上加工、贮存、传递处理文件,形成了良好的安全环境。对工控机实行了与互联网及其他公共信息网物理隔离,并按照有关
规定落实了相关管理制度,自试生产以来,未发生一起工控系统瘫痪等大型事故。
3.3对于外来人员有相应的内控管理措施及制度,其出入机房都需要填写相关的登记,对于厂家技术人员也有相应的管理制度。
4、网络与信息安全情况:
4.1、安全总体防护策略制定情况
我公司目前没有实现办公自动化管理,办公网络与生产网络系统没有任何交集。现网络集中生产区域及与电力调度网,各大区之间的安全防护完全按照电监会的《电力二次系统安全防护总体方案》布置。实现了“安全分区。网络专用,横向隔离,纵向认证”的方针。
各大区之间采用了科东的StoneWall-2000正向隔离装置进行隔离,与电力调度网之间采用了SJW07-A纵向加密装置,电厂DCS系统为独立的局域网,与公司调度网之间没有直接联系;与厂内其它网络实现物理隔离。
4.2、运维管理
根据公司网络与信息相关制度要求,网络设备、系统的运行、维护、变更都有相应的日志记录和程序变更记录。并对相关的设备进行定期检查、点检等。调度数据网使用专用通道,配备纵向加密,正反向隔离,防火墙等安全防护设备,已采取措施禁止私自内联,外联设备。开展经常性安全检查,主要对SQL注入攻击、跨站脚本攻击、弱口令、操作系统补丁安装、应用程序补丁安装、防病毒软件安装与升级、木马病毒检测、端口开放情况、系统管理权限开放情况、访问权限开放情况等进行监管。认真做好系统安全日记,建立切实可行的应急措施,人员配训到位,事故处置措施完善。
4.3、数据安全
数据安全按照制度,对于数据备份与恢复操作以及备份介质都有明确规定,并且严格遵照执行。数据库均设有严密密码保护,按照内控要求,定期进行数据库直接访问检查。对于磁盘、光盘、U盘盒移动硬盘等移动存储介质的管理都有相应的管理制度,并严格遵照执行。同时安全管理方面建立完善的人员管理制度和技术管理措施,操作系统进入都已设置身份核实,网络设备禁止非核实设备进行接入。开展经常性安全检查,主要对SQL注入攻击、跨站脚本攻击、弱口令、操作系统补丁安装、应用程序补丁安装、防病毒软件安装与升级、木马病毒检测、端口开放情况、系统管理权限开放情况、访问权限开放情况等进行监管,认真做好系统安全日记
4.4、信息网络安全设备国产化情况。
电厂网络设备包括防火墙、隔离装置、纵向认证设备均是国产设备。
4.5、物理环境安全
基础设施物理安全基本配置完善,空调、防火防水防破坏等措施齐全,配备UPS不间断电源,满足系统供电可靠性。通讯设施设计合理,各类管理条例齐全,设施设备符合使用要求,人员配置到位。供电和通信系统采用双路冗余。工程师站等涉及网络设备的地方一律上锁,防止无关人员进入,且人员出入有严格的登记制度。
二、自查发现的问题:
1、人员对于信息安全防护和信息安全保护缺乏认识,自查中发现个别人员对工控机安全意识不强,不能全面的意识到信息安全和信息防护对于电厂、电石厂运行和电网安全的重要性。在以后的工作中,我们将继续加强对网络安全意识教育和防范技能培训,切实落实信息安全人人有责的思想。让员工充分认识到
系统安全的严重性。人防与技防结合,确实做好单位的网络安全工作。
2、专业技术的薄弱,应大力加强专业人才的培训,须加强人员在信息设备维护和处理事故的技术培训,提高全员安全生产技能,保障安全可靠运行,为以后的维护安稳运行做好坚实的基础。
3、经过本站自查,我公司整体网络与信息系统安全状况良好,无重大信息网络安全隐患,
四、改进措施
1、进一步规范、健全网络信息安全管理制度;通过此次检查,对我站之前遗漏和不健全的制度,人员管理,技术保护,信息系统建设有了一个全面的认识,对发现的不完善,不具备的项目进行整改,促进电站在信息安全方面的全面提升。
2、加强设备维护,及时更换和维护好故障设备,对发现的不安全因素限期整改,并做好防鼠、防火安全工作。
3、自查中发现个别人员网络与信息安全意识不强。在以后的工作中,我们将继续加强计算机、网络与信息系统安全意识教育和防范技能培训,让员工充分认识到网络事故案件的严重性。人防与技防结合,确实做好单位的网络安全工作。
4、对电子间防尘保湿方面,还有待改进。定期对设备进行清灰保养,对操作站及相关主机进行定期维护保养。为设备长周期稳定运行做好良好的基础。
5、对主机USB接口进行封条式管理,严格外围非专业人员进行拷贝和访问主机。
五、关于加强司网络与信息安全工作的建议和总结:
由于计算机与网络信息安全专业性知识要求比较高,外加现有人员在此方面专业知识薄底子差。请供电局开展专项的网络、信息安全专项培训活动,为为网
络、信息系统稳定安全运行做好有力的后盾。
在本次活动中由在活动中发现问题、整改问题。通过检查明确各部门及分厂网络与信息安全管理主体责任,完善相关工作机制,提高综合防护能力,同时掌握全系统网络与信息安全现状,防范各类网络安全事件,确保发电生产正常进行,最终做到生产运行安、环、常、满、优。
2016
神木电化生产技术部 年6月9日
范文二:信息安全(自查)
选择(7题 6+1) 问答(4题) 讨论题(3题)
密码算法的安全服务异同
公开、对称秘钥的加密方法
密码的算法、替代和置换、乘积密码 防字典攻击(防火墙 用访问列表封堵黑客IP)
无条件和有条件安全 计算安全定义
身份认证的几种手段, 智取密码 质间,应答,基于口令的身份认证
PKI能提供的服务
数字证书的作用
能分析安全协议的漏洞
哈希函数的作用
防火墙的规则
数字证书的作用:
1、身份认证
数字证书中包括的主要内容有:证书拥有者的个人信息、证书拥有者的公钥、公钥的有效期、颁发数字证书的CA、CA的数字签名等。所以网上双方经过相互验证数字证书后,不用再担心对方身份的真伪,可以放心地与对方进行交流或授予相应的资源访问权限。
2、加密传输信息
无论是文件、批文,还是合同、票据,协议、标书等,都可以经过加密后在Internet上传输。发送方用接收方的公钥对报文进行加密,接收方用只有自己才有的私钥进行解密,得到报文明文。
3、数字签名抗否认
在现实生活中用公章、签名等来实现的抗否认在网上可以借助数字证书的数字签名来实现。 数字签名不是书面签名的数字图象,而是在私有密钥控制下对报文本身进行密码变化形成的。数字签名能实现报文的防伪造和防抵赖。
哈希函数的作用:
HASH主要用于信息安全领域中加密算法,它把一些不同长度的信息转化成杂乱的128位的编码里,叫做HASH值. 也可以说,hash就是找到一种数据内容和数据存放地址之间的映射关系。Hash算法在信息安全方面的应用主要体现在以下的3个方面:
1)文件校验
我们比较熟悉的校验算法有奇偶校验和CRC校验,这2种校验并没有抗数据篡改的能力,它们一定程度上能检测并纠正数据传输中的信道误码,但却不能防止对数据的恶意破坏。 MD5 Hash算法的"数字指纹"特性,使它成为目前应用最广泛的一种文件完整性校验和(Checksum)算法,不少Unix系统有提供计算md5 checksum的命令。
2)数字签名
Hash 算法也是现代密码体系中的一个重要组成部分。由于非对称算法的运算速度较慢,所以在数字签名协议中,单向散列函数扮演了一个重要的角色。对 Hash 值,又称"数字摘要"进行数字签名,在统计上可以认为与对文件本身进行数字签名是等效的。而且这样的协议还有其他的优点。
3)鉴权协议
如下的鉴权协议又被称作"挑战--认证模式:在传输信道是可被侦听,但不可被篡改的情况下,这是一种简单而安全的方法。
对称密码算法和非对称密码算法特点的异同分析?
在对称密钥体制中,它的加密密钥与解密密钥的密码体制是相同的,且收发双方必须共享密钥,对称密码的密钥是保密的,没有密钥,解密就不可行,知道算法和若干密文不足以确定密钥。公钥密码体制中,它使用不同的加密密钥和解密密钥,且加密密钥是向公众公开的,而解密密钥是需要保密的,发送方拥有加密或者解密密钥,而接收方拥有另一个密钥。两个密钥之一也是保密的,无解密密钥,解密不可行,知道算法和其中一个密钥以及若干密文不能确定另一个密钥。 这两种密码算法的不同之处主要有如下几个方面:
1、加解密时采用的密钥的差异:从上述对对称密钥算法和非对称密钥算法的描述中可看出,对称密钥加解密使用
的同一个密钥,或者能从加密密钥很容易推出解密密钥;而非对称密钥算法加解密使用的不同密钥,其中一个很难推出另一个密钥。
2、算法上区别:①对称密钥算法采用的分组加密技术,即将待处理的明文按照固定长度分组,并对分组利用密钥进行数次的迭代编码,最终得到密文。解密的处理同样,在固定长度密钥控制下,以一个分组为单位进行数次迭代解码,得到明文。而非对称密钥算法采用一种特殊的数学函数,单向陷门函数(one way trapdoor function),即从一个方向求值是容易的,而其逆向计算却很困难,或者说是计算不可行的。加密时对明文利用公钥进行加密变换,得到密文。解密时对密文利用私钥进行解密变换,得到明文。②对称密钥算法具有加密处理简单,加解密速度快,密钥较短,发展历史悠久等特点,非对称密钥算法具有加解密速度慢的特点,密钥尺寸大,发展历史较短等特点。
3、密钥管理安全性的区别:
对称密钥算法由于其算法是公开的,其保密性取决于对密钥的保密。由于加解密双方采用的密钥是相同的,因此密钥的分发、更换困难。而非对称密钥算法由于密钥已事先分配,无需在通信过程中传输密钥,安全性大大提高,也解决了密钥管理问题。
4、安全性:
对称密钥算法由于其算法是公开的,其安全性依赖于分组的长度和密钥的长度,常用的攻击方法包括:
穷举密钥搜索法,字典攻击、查表攻击,差分密码分析,线性密码分析,其中最有效的当属差分密码分析,它通过分析明文对密文对的差值的影响来恢复某些密钥比特。非对称密钥算法安全性建立在所采用单向函数的难解性上,如椭圆曲线密码算法,许多密码专家认为它是指数级的难度,从已知求解算法看,160bit的椭圆曲线密码算法安全性相当于1024bit RSA算法。
数字签名具有哪些性质?
数字签名是一种包括防止源点或终点否认的认证技术。它必须具有如下的性质:
(1)必须能证实作者签名和签名的日期及时间。
(2)在签名时必须能对内容进行认证。
(3)签名必须能被第三方证实以便解决争端。
数字证书中存放了哪些信息?有什么作用?
(1) 证书版本号:说明证书的版本号
(2) 证书序列号:由证书签发者分配给证书的唯一数字标识符。
(3) 签名算法标识和参数:签名算法标识用来指定由CA签发证书时所使用的数字签名算法,包含公开密钥算法和散列算法,由对象标识符加上相关参数组成。
(4) 签发机构名:符合X.500标准的签发该证书的CA实体的名称。
(5) 有效期:是CA授权维持证书状态的时间间隔,由证书开始生效的日期和时间和失效的日期和时间这两个日期表示。
(6) 证书主体名:证书持有者的X.500唯一名字。
(7) 主体公钥信息:此域包含两个重要信息:证书持有者的公开密钥的值;公开密钥使用的算法标识符,此标识符包含公开密钥算法和参数。
(8) 签发者唯一标识:签发者唯一标识在第2版加入证书定义中。此域用在当同一个X.500名字用于多个认证机构时,用1比特字符串来唯一标识签发者的X.500名字,是隐含且可选的,实际中此项用的较少。
(9) 主体唯一标识符:此域用在当同一个X.500名字用于多个证书持有者时,用1比特字符串来唯一标识签发者的X.500名字,是隐含且可选的,实际中此项用的较少。
(10) 签名:证书签发机构对证书上述内容的签名值。
(11) 扩展域:为证书提供了携带附加信息和证书管理的能力。
实现身份鉴别的途径有哪三种?
所知:只有该用户唯一知道的一些知识,如密码、口令;
所有:只有该用户唯一拥有的一些物品,如身份证、护照;
个人特征:人体自身的独特特征(生物特征)以及个人动作方面的一些特征,如指纹、声纹、笔迹等。
简述防火墙的作用和局限性?
防火墙的作用:防火墙是网络安全的屏障,防火墙可以强化网络安全策略,对网络存取合访问进行监控审计,防止内部信息外泄。
防火墙的局限性:防火墙不能防范内部人员的攻击,防火墙不能防范绕过它的连接,防火墙不能防御全部威胁,防火墙难于管理和配置容易造成安全漏洞,防火墙不能防御恶意程序和病毒
为什么流密码的密钥不能重复使用?
如果用流密码对两个明文加密中使用相同的密码,则密码分析就会相当容易。如果对两个密文流进行异或,得出的结果就是两个原始明文的异或,如果明文仅仅是已知特征的字节流,则密码分析极易成功。
6.1解释身份认证的基本概念。
答:身份认证是指计算机及网络系统确认操作者身份的过程。它用来防止计算机系统被非授
权用户或进程侵入,保证以数字身份进行操作的操作者就是这个数字身份合法的拥有者。
6.2 简述使用口令进行身份认证的优缺点。
答:口令认证的优点就是简单,易于实现。口令认证的不足之处是容易受到攻击,主要的攻 击方式有窃听、重放、中间人攻击、口令猜测等。
6.3 解释访问控制的基本概念。
答:访问控制规定了主体对客体访问的限制,并在身份识别的基础上,根据身份对提出资源 访问的请求加以控制。访问控制决定了谁能够访问系统,能访问系统的何种资源以及如何使 用这些资源。适当的访问控制能够阻止未经允许的用户有意或无意地获取数据。
6.4 有哪几种访问控制策略?
答:根据控制策略的不同,访问控制可以划分为自主访问控制、强制访问控制和基于角色的 访问控制三种。
6.5 什么是强制访问控制 MAC策略?它的适用场合是什么?
答:强制访问控制是指计算机系统根据使用系统的机构事先确定的安全策略,对用户的访问
权限进行强制性的控制。强制访问控制进行了很强的等级划分,所以经常用于军事用途。
6.6 什么是自主访问控制 DAC策略?它的安全性如何?
答:自主访问控制是指对某个客体具有拥有权(或控制权)的主体能够将对该客体的一种访 问权或多种访问权自主地授予其它主体,并在随后的任何时刻将这些权限回收。它的安全性 不高,权限的传递可能会给系统带来安全隐患,无意间就可能泄露信息,而且不能防备特洛 伊木马的攻击。
请给出案例,说明基于 PKI 的 SSL 是如何工作的?
答:在两个实体进行通信之前,先要建立 SL连接,以此实现对应用层透明的安全通信。利 用 PKI技术,SSL协议允许在浏览器和服务器之间进行加密通信。此外服务器端和浏览器端 通信时双方可以通过数字证书的交互确认对方的身份。基于 PKI技术,结合 SL协议和数字 证书,则可以保证 Web交易多方面的安全需求,使 Web上的交易和面对面的交易一样安全。 基于 B/S 结构的应用系统,客户端通过 HTTP 协议或 SSL 协议进入 WebServer,使用 WebServer 兼做 SSLserver。用户使用的证书交给后台的应用服务器进行解析,由应用服务 器转向 CA 的 LDAP 目录进行查询,同时 CRL 也在应用服务器中存储和查询,对用户的签 名的验证也是在应用服务器中完成。这样的应用适合用户量较少的情况。
范文三:公司网络与信息安全自查工作总结
? ? ? ? ?公司网络?与信息安?全自查工?作总结
?篇一:
? x?xx网络?信息安全?自查报告? xx供?电公司网?络信息系?统安全自?查报告 ?我公司对?网络信息?安全系统?工作一直?十分重视?,建立健? 全了网?络安全保?密责任制?和有关规?章制度,?由公司生?技科统 ?一管理,?各科室负?责各自的?网络信息?安全工作?。严格落?实有 关?网络信息?安全保密?方面的各?项规定,?采取了多?种措施防?范 安全?保密有关?事件的发?生,总体?上看,我?公司网络?信息安全? 保密工?作做得比?较扎实,?效果也比?较好,近?年来未发?现失泄 ?密问题。?
?
一?、计算机?涉密信息?管理情况? 今年以?来,我公?司按照省?公司的要?求,强化?宣传教育?, 落实?工作责任?,加强日?常监督检?查,将涉?密计算机?管理抓在? 手上。?对于计算?机磁介质?(软盘、?U盘、移?动硬盘等?)的管 ?理,采取?专人保管?、涉密文?件单独存?放,严禁?携带存在?涉密 内?容的磁介?质到上网?的计算机?上加工、?贮存、传?递处理文?件,形成?了良好的?安全保密?环境。对?涉密计算?机(含笔?记本电脑?)实行了?与国际互?联网及其?他公共信?息网物理?隔离,并?按照有 ?关规定落?实了保密?措施,到?目前为止?,未发生?一起计算?机失 密?、泄密事?故;其他?非涉密计?算机(含?笔记本电?脑)及网?络 使用?,也严格?按照公司?计算机保?密信息系?统管理办?法落实了? 有关措?施,确保?了机关信?息安全。?
?
?二、计算?机和网络?安全情况?
一?是网络安?全方面。?我公司配?备了防病?毒软件、?防火墙,? 实现了?网络强隔?离与双网?双机,严?禁办公计?算机“一?机双 用?”,采用?了强口令?密码,加?强对办公?计算机的?保密管理?, 明确?了网络安?全责任,?强化了网?络安全工?作。
?
? 二是?开展经常?性安全检?查,主要?对SQL?注入攻击?、跨站 ?脚本攻击?、弱口令?、操作系?统补丁安?装、应用?程序补丁?安装、 ?防病毒软?件安装与?升级、木?马病毒检?测、端口?开放情况?、系 统?管理权限?开放情况?、访问权?限开放情?况、网页?篡改情况?等 进行?监管,认?真做好系?统安全日?记。
?
? 三是?日常管理?方面切实?抓好外网?、网站和?应用软件?“五 层?管理”,?确保“涉?密计算机?不上网,?上网计算?机不涉密?”, 严?格按照保?密要求处?理光盘、?硬盘、U?盘、移动?硬盘等管?理、 维?修和销毁?工作。重?点抓好“?三大安全?”排查:?
?
一?是硬件安? 全,包?括防雷、?防火、防?盗和电源?连接等;?
二?是网络安?全, 包?括网络结?构、安全?日志管理?、密码管?理、IP?管理、互?联网 行?为管理等?;
?三是应用?安全,包?括网站、?邮件系统?、资源库? 管理、?软件管理?等。 ?
? 三、?硬件设备?使用合理?,软件设?置规范,?设备运行?状况良好?。
? 我公?司每台终?端机都安?装了防病?毒软件,?系统相关?设备 的?应用一直?采取规范?化管理,?硬件设备?的使用符?合国家相?关 产品?质量安全?规定,单?位硬件的?运行环境?符合要求?,打印机? 配件、?色带架等?基本使用?设备原装?产品;防?雷地线正?常,对于?有问
题的防雷插座??已进行更?换,防雷?设备运行?基本稳定?, 没有?出现雷击?事故;U?PS运转?正常。网?站系统安?全有效,?暂 未出?现任何安?全隐患。?
?四、严格?管理、规?范设备维?护 我公?司对电脑?及其设备?实行“谁?使用、谁?管理、谁?负责” ?的管理制?度。在管?理方面我?们
?一是坚持?“制度管?人”。
? 二是? 强化信?息安全教?育、提高?员工计算?机技能。?同时在公?司开展 ?网络安全?知识宣传?,使全体?人员意识?到了,计?算机安全?保护 是?“三防一?保”工作?的有机组?成部分。?而且在新?形势下,?计 算机?犯罪还将?成为安全?保卫工作?的重要内?容。在设?备维护方? 面,专?门设置了?网络设备?故障登记?簿、计算?机维护及?维修表 ?对于设备?故障和维?护情况属?实登记,?并及时处?理。对外?来维 护?人员,要?求有相关?人员陪同?,并对其?身份和处?理情况进?行 登记?,规范设?备的维护?和管理。?
?
?五、安全?教育 为?保证我公?司网络安?全有效地?运行,减?少病毒侵?入,我 ?公司就网?络安全及?系统安全?的有关知?识进行了?培训。期?间, 大?家对实际?工作中遇?到的计算?机方面的?有关问题?进行了详? 细的咨?询,并得?到了满意?的答复。?
?
?六、自查?存在的问?题及整改?意见 我?们在管理?过程中发?现了一些?管理方面?存在的薄?弱环节,?今后我们?还要在以?下几个方?面进行改?进。
?
? (一?)对于线?路不整齐?、暴露的?,立即对?线路进行?限期 整?改,并做?好防鼠、?防火安全?工作。 ?
?
(?二)加强?设备维护?,及时更?换和维护?好故障设?备。
?
? (三?)自查中?发现个别?人员计算?机安全意?识不强。?在以 后?的工作中?,我们将?继续加强?计算机安?全意识教?育和防范?技 能训?练,让员?工充分认?识到计算?机案件的?严重性。?人防与技? 防结合?,确实做?好单位的?网络安全?工作。 ?
?2017?年9月1?7日篇二?:
? 网络与?信息安全?自查工作?总结报告? 洛阳市?第六人民?医院 网?络与信息?安全自查?工作总结?报告 接?到《河南?省卫生计?生委关于?开展河南?省卫生系?统网络与?信息督导?检查工作?的通知》?后,我院?领导高度?重视,立?即召开相?关科室负?责人会议?,深入学?习和认真?贯彻落实?文件精神?,充分认?识到开展?网络与信?息安全自?查工作的?重要性和?必要性,?对自查工?作做了详?细部署,?由主管院?长负责安?排、协调?相关检查?部门、监?督检查项?目,由信?息科负责?具体检查?和自查工?作,并就?自查中发?现的问题?认真做好?相关记录?,及时整?改,完善?。
? 长期?以来,我?院在信息?化建设过?程中,一?直非常重?视网络与?信息安全?工作,并?采取目一?套有效的?安全管理?规范、有?效的安全?管理措施?。自1月?9日起,?全院开展?网络与信?息安全工?作自查,?根据互联?网安全和?院内局域?网安全的?相应特点?,逐项排?查,消除?安全隐患?,现将我?院信息安?全工作情?况汇报如?下。
? 信?息安全工?作情况
?
? 一、?网络安全?管理:河?南省卫生?计生委关?于开展河?南省卫生?系统网络?与信息督?导检查工?作的通知?》后,我?院领导高?度重视,?立即召开?相关科室?负责人会?议,深入?学习和认?真贯彻落?实文件精?神,充分?认识到开?展网络与?信息安全?自查工作?的重要性?和必要性?,对自查?工作做了?详细部署?,由主管?院长负责?安排、协?调相关检?查部门、?监督检查?项目,由?信息科负?责具体检?查和自查?工作,并?就自查中?发现的问?题认真做?好相关记?录,及时?整改,完?善。
? 长?期以来,?我院在信?息化建设?过程中,?一直非常?重视网络?与信息安?全工作,?并采取目?一套有效?的安全管?理规范、?有效的安?全管理措?施。自1?月9日起?,全院开?展网络与?信息安全?工作自查?,根据互?联网安全?和院内局?域网安全?的相应特?点,逐项?排查,消?除安全隐?患,现将?我院信息?安全工作?情况汇报?如下。 ?
?信息安全?工作情况?
?
一?、网络安?全管理》?,网站自?开放以来?,从未发?生过重大?安全问题?,并一直?运行良好?。
?
? 五、应?急处置:?
?我院HI?S系统服?务器运行?安全、稳?定,并配?备了大型?UPS电?源,可以?保证大面?积断电情?况下,服?务器坚持?运行数小?时。虽然?医院的信?息系统长?期以来运?行良好,?但医院仍?然制定了?应急处置?预案,并?对收费操?作员和医?护人员进?行过培训?,如果医?院出现大?面积、长?时间停电?情况,H?IS系统?无法正常?运行,将?临时开始?手工收费?、记账、?发药,以?确保诊疗?活动能够?正常、有?序地进行?,待到H?IS系统?恢复正常?工作时,?再补打发?票、补记?收费项目?。
? 总体?来说,我?院对网络?与信息安?全工作非?常重视,?未发生过?重大的安?全事故,?各系统运?转稳定,?各项业务?能够正常?运行。但?自查中也?发现了不?足之处,?如目前医?院信息技?术人员少?,信息安?全力量有?限;信息?安全意识?还够,个?别科室缺?乏维护信?息安全的?主动性和?自觉性;?个别科室?的计算机?设备配置?偏低,服?务期限偏?长。今后?要加强信?息技术人?员的培养?,更进一?步提高信?息安全技?术水平;?加强全院?职工的信?息安全教?育,提高?维护信息?安全的主?动性和自?觉性;加?大对医院?信息化建?设投入,?提升计算?机设备配?置,进一?步提高工?作效率和?系统运行?的安全性?。
? 经过?了为期一?周的自查?工作,我?院充分意?识到安全?工作是一?个需要常?抓不懈的?工程,同?时要不断?创新,改?变旧有的?管理方法?和理念,?以适应新?形势下的?安全管理?需要。篇?三:
? 关于?网络与信?息安全自?查情况的?报告 国?都证券有?限责任公?司文件 ?国都信字??201?7?01?0号 关?于网络与?信息安全?自查情况?的报告 ?东城公安?分局网安?大队: ?根据贵局?关于网络?与信息安?全自查的?要求,国?都证券有?限责任公?司组织有?关部门和?人员对信?息系统的?安全管理?制度、建?设和全管?理、安全?运营、应?急管理等?进行了自?查,现将?有关自查?情况报告?提交贵局?审阅。 ?
?特此报告?。
? 附件?:
? 《国都?证券有限?责任公司?关于网络?与信息安?全自查情?况的报告?》 二??一一年六?月二十八?日 主题?词:国都?证券有限?责任公司?关于网络?与信息安?全自查情?况的报告?》
二??一一年六?月二十八?日 主题?词》文件?精神,我?局积极组?织落实,?认真对照?,对计算?机涉密信?息管理情?况、计算?机和网络?安全情况?及硬件设?备使用情?况进行了?自查,对?我局的网?络信息安?全建设进?行了深刻?的剖析,?现将自查?情况报告?如下: ?
一?、加强领?导,成立?了网络与?信息安全?自查小组? 为进一?步加强全?局网络信?息系统安?全自查工?作,我局?成立了网?络与信息?安全自查?小组,责?任具体到?人, 确?保网络与?信息安全?自查工作?顺利实施?。
?
? 二、计?算机涉密?信息管理?情况 对?于计算机?磁介质(?光盘、U?盘、移动?硬盘等)?的管理,?采取专人?保管、涉?密文件单?独存放,?严禁携带?存在涉密?内容的磁?介质到上?网的计算?机上加工?、贮存、?传递处理?文件,形?成了良好?的安全保?密环境。?涉密计算?机严禁接?入局域网?,并按照?有关规定?落实了保?密措施,?到目前为?止,未发?生一起计?算机失密?、泄密事?故;其他?非涉密计?算机及网?络使用也?严格按照?局计算机?保密信息?系统管理?办法落实?了有关措?施,确保?了机关信?息安全。?
三?、计算机?和网络安?全情况 ?
一?是网络安?全方面。?我局终端?计算机均?安装了防?病毒软件?、软件防?火墙,采?用了强口?令密码、?数据库存?储备份、?数据加密?等安全防?护措施,?明确了网?络安全责?任,强化?了网络安?全工作。?
?
?二是日常?管理方面?切实抓好?局域网和?应用软件?管理,确?保“涉密?计算机不?上网,上?网计算机?不涉密”?,严格按?照保密要?求处理光?盘、硬盘?、移动硬?盘等管理?、维修和?销毁工作?。重点抓?好“三大?安全”排?查:
?
? 一是硬?件安全,?包括防雷?、防火、?防盗和电?源连接等?;
?二是网络?安全,包?括网络结?构、密码?管理、I?P管理、?互联网行?为管理等?;
?三是应用?安全,公?文传输系?统、软件?管理等。?
?四、硬件?设备使用?合理,软?件设置规?范,设备?运行状况?良好。 ?
?我局每台?终端机都?安装了防?病毒软件?,系统相?关设备的?应用一直?采取规范?化管理,?硬件设备?的使用符?合国家相?关产品质?量安全规?定,单位?硬件的运?行环境符?合要求,?打印机配?件基本使?用设备原?装产品;?防雷地线?正常,防?雷设备运?行基本稳?定,没有?出现雷击?事故,局?域网系统?运行安全?。
?
? 五、严?格管理、?规范设备?维护 我?局对电脑?及其设备?实行“谁?使用、谁?管理、谁?负责”的?管理制度?。在管理?方面我们?一定是坚?持“制度?管人”。?
二?是强化信?息安全教?育、提高?员工计算?机技能。?在设备维?护方面,?专门设置?了网络设?备故障和?维护情况?属实登记?,并及时?处理。对?外来维护?人员,要?求有关人?员陪同,?并对其身?份和处理?情况进行?,规范设?备的维护?和管理。?
? 自查存?在的问题?及整改意?见 我们?在管理过?程中发现?了一些管?理方面存?在的薄弱?环 节,?今后我们?还要在以?下几个方?面进行改?进。
?
? 一、对?于线路不?整齐、暴?露的,立?即对线路?进行期限?整改,并?做好防鼠?、防火安?全工作。?
?
?二、加强?设备维护?,及时更?换和维护?好故障设?备。
?
? 三、?自查中发?现个别人?计算机安?全意识不?强。在以?后的工作?,我们将?计算加强?计算机安?全意识教?育和防范?技能训练?,让职工?充分认识?到计算机?案件的严?重性。人?防
与技防?结合,确?实做好单?位的信息?系统安全?和网络安?全工作。?
? 。..?市水务局? 201?7年9月?4日篇五?:
? 某公司?信息系统?安全自查?报告20?17年7?月 XX?XXXX?XXXX?公司信息?安全自查?报告 我?XXXX?X公司对?网络信息?系统安全?工作一直?十分重视?,根据X?XX相关?要求要求?成立了专?门的领导?组,建立?健全了网?络安全保?密责任制?和有关规?章制度,?由XXX?XX公司?信息中心?统一管理?,各业务?部门负责?各自的日?常信息安?全工作。?严格落实?有关网络?信息安全?保密方面?的各项规?定,采取?了多种措?施防范安?全保密有?关事件的?发生,总?体上看,?我XXX?XX公司?网络信息?安全保密?工作做得?比较扎实?,效果也?比较好,?自业务系?统正式上?线后,未?发现安全?问题。 ?
?XXXX?X公司高?度重视网?络信息安?全工作,?在接到X?XX的相?关文件后?,立即召?开专题会?议部署信?息系统安?全工作,?成立自查?工作小组?,对我X?XXXX?公司的信?息系统网?络安全等?情况进行?了系统全?面的检查?,下面将?自查情况?报告如下?:
一、信?息安全总?体状况 ?我XXX?XX公司?目前各网?络系统运?转良好,?未发现网?络入 ?
侵和?其他安全?事件。 ?
?
(?一)领导?重视制度?完善
? 1、?为进一步?加强XX?XXX公?司信息安?全工作的?领导,成?立了信息?安全工作?领导小组?,组长分?管副局长?为XX,?组员XX?X、XX?X、XX?XX;各?科室负责?人为成员?,办公室?设在信息?中心,设?专人负责?除了日常?工作,同?时建立了?安全责任?制、应急?预案、值?班制度、?信息发布?审核制度?、保密制?度、责任?追究制度?等。近年?以来都没?发生过安?全责任事?故。
?
? 2、?为确保我?XXXX?X公司网?络信息安?全工作有?效顺利开?展,开展?了网络信?息安全宣?传教育培?训工作,?平均每季?度一次,?目前共举?办了二期?,主要培?训内容信?息安全及?计算机技?术。我X?XXXX?公司要求?以各部门?为单位认?真组织学?习国家及?XXX相?关法律、?法规和网?络信息安?全的相关?知识,让?全体人员?都能正确?领会信息?安全工作?的重要性?,都能掌?握计算机?安全使用?的规定要?求,都能?正确的使?用计算机?网络和各?类信息系?统。
?
? (二?)严格要?求,措施?到位
? 1、?强化安全?防范措施?。我XX?XXX公?司对于程?序升级、?服务器维?护、网络?设备和安?全设备维?护等方面?工作进行?了严格要?求,进一?步强化了?安全防范?措施。 ? 一是?对本单位?信息系统?的账户、?口令、软?件补丁等?定期进行?检查,及?时更新和?升级、杜?绝了弱口?令、弱密?码、消除?了安全隐?患。
? 二是每?台计算机?都安装了?杀毒软件?,并定期?进行病毒?查杀、对?操作系统?存在的漏?洞、防毒?软件配置?不到位的?计算机坚?决断掉网?络连接,?发现问题?,及时上?报、处理?。
?三是对本?单位有计?算机的使?用者进行?了安全培?训和对每?台入网计?算机的使?用者、i?p地址和?物理MA?C地址进?行了登记?造册,由?信息中心?进行管理?,此外,?严格管理?业务处理?计算机、?由专人维?护使用,?并严禁访?问互联网?,严禁与?非工作存?储介质交?叉使用,?确保信息?安全。
? 2、?采取特殊?管理措施?。
?一是关闭?或删除不?必要的应?用、服务?、端口和?链接,限?制易被攻?击。
? 二是针?对微软W?INDO?WS X?P停止安?全补丁服?务的情况?,采取了?禁止入互?联网和安?装第三方?防护软件?的技术处?理措施。?三严格执?行信息安?全规定。?严禁在非?业务计算?机上处理?、存储、?传递业务?信息。严?禁业务计?算机访问?互联网。?严禁在互?联网上利?用电子邮?件系统传?递业务信?息。
?
? 3、?落实安全?应急预案?和应急演?练,我X?XXXX?公司已经?做好各项?准备工作?,成立应?急小组并?编制的应?急预案。?实现了对?可能发生?的各类信?息安全事?件做到心?中有数,?近期进一?步完善了?信息安全?应急预案?,明确应?急处置流?程,落实?了应急技?术支撑队?伍,把工?作做深做?细做在前?面。积极?组织开展?了应急演?练,检验?了应急预?案的可操?作性,提?高了应急?处置能力?。
?
? 4、定?期检查机?房环境。?定期检查?服务器设?备运行状?况。定期?更改服务?器、交换?机、防火?墙密码。?定期查看?网络设备?登录日志?。填写《?机房巡检?日志》。?机房严禁?无关人员?进入,进?入时需批?准,并专?人陪同。?
?
?5、数据?泄露及系?统被控情?况。目前?我XXX?XX公司?未发生数?据泄露和?被控事件?。针对此?方面的自?查,我X?XXXX?公司要求?系统承建?单位定期?进行检查?,以便及?时发现安?全风险。?我XXX?XX公司?核心业务?运营系统?由XXX?负责实施?开发;网?络安全由?XXXX?XXX提?供支持;?数据存储?及备份由?XXXX?XX负责?;上述三?家公司均?有较强的?技术实力?,通过定?期的安全?巡检和核?查能够及?时发现相?关安全风?险。 ?
? 二、?信息安全?检查发现?的主要问?题及整改?情况
? (一?)存在的?主要问题?
?1、信息?安全意识?不够。员?工的信息?安全教育?还不够,?缺乏维护?信息安全?主动性和?自觉性。?
?
?2、设备?维护、更?新还不够?及时。 ?
?
3?、专业技?术人员少?,信息系?统安全力?量有限,?信息系统?安全技术?水平还有?待提高。?
?
?4、信息?系统安全?工作机制?有待进一?步完善。?
?
?(二)下?一步的整?改计划 ?根据自查?过程中发?现的不足?,同时结?合我XX?XXX公?司实际,?将着重一?下几个方?面进行整?改。
?
? 1、?要继续加?强对全员?的信息安?全教育,?提高做好?安全工作?的主动性?和自觉性?。
?
? 2、要?切实增强?信息安全?制度的落?实工作,?不定期的?对安全制?度执行情?况进行检?查,对于?导致不良?后果的责?任人,要?严肃追进?责任,从?而提高人?员安全防?范意识。?
?
?3、要加?强专业信?息技术人?员的培养?,进一步?提高信息?安全工作?技术水平?,便于我?们进一步?加强计算?机信息系?统安全防?范和保密?工作。 ?
?
4?、要加大?对线路、?系统、网?络设备的?维护和保?养,同时?,针对信?息技术发?展迅速的?特点,要?加大系统?设备更新?力度。 ?
?
5?、要创新?完善信息?安全工作?机制,进?一步规范?办公秩序?,提高信?息工作安?全性。 ?
?
三?、对信息?安全检查?工作的建?议和意见? 希望X?XX省X?XX能够?经常组织?有关信息?系统安全?的培训,?从而进一?步提高信?息系统管?理工作人?员的专业?水平,从?而进一步?
强化信息?系统的安?全防范工?作。
? X?XXXX?集团XX?XXX公?司 20?17年8?月7日
?
范文四:公司网络与信息安全自查工作总结
公司网络与信息安全自查工作总结
篇一:xxx网络信息安全自查报告
xx供电公司网络信息系统安全自查报告
我公司对网络信息安全系统工作一直十分重视,建立健
全了网络安全保密责任制和有关规章制度,由公司生技科统
一管理,各科室负责各自的网络信息安全工作。严格落实有
关网络信息安全保密方面的各项规定,采取了多种措施防范
安全保密有关事件的发生,总体上看,我公司网络信息安全
保密工作做得比较扎实,效果也比较好,近年来未发现失泄
密问题。
一、计算机涉密信息管理情况
今年以来,我公司按照省公司的要求,强化宣传教育,
落实工作责任,加强日常监督检查,将涉密计算机管理抓在
手上。对于计算机磁介质(软盘、U盘、移动硬盘等)的管
理,采取专人保管、涉密文件单独存放,严禁携带存在涉密
内容的磁介质到上网的计算机上加工、贮存、传递处理文件,形成了良好的安全保密环境。对涉密计算机(含笔记本电脑)实行了与国际互联网及其他公共信息网物理隔离,并按照有
关规定落实了保密措施,到目前为止,未发生一起计算机失
密、泄密事故;其他非涉密计算机(含笔记本电脑)及网络
使用,也严格按照公司计算机保密信息系统管理办法落实了
有关措施,确保了机关信息安全。
二、计算机和网络安全情况
一是网络安全方面。我公司配备了防病毒软件、防火墙,
实现了网络强隔离与双网双机,严禁办公计算机“一机双
用”,采用了强口令密码,加强对办公计算机的保密管理,
明确了网络安全责任,强化了网络安全工作。
二是开展经常性安全检查,主要对SQL注入攻击、跨站
脚本攻击、弱口令、操作系统补丁安装、应用程序补丁安装、
防病毒软件安装与升级、木马病毒检测、端口开放情况、系
统管理权限开放情况、访问权限开放情况、网页篡改情况等
进行监管,认真做好系统安全日记。
三是日常管理方面切实抓好外网、网站和应用软件“五
层管理”,确保“涉密计算机不上网,上网计算机不涉密”,
严格按照保密要求处理光盘、硬盘、U盘、移动硬盘等管理、
维修和销毁工作。重点抓好“三大安全”排查:一是硬件安
全,包括防雷、防火、防盗和电源连接等;二是网络安全,
包括网络结构、安全日志管理、密码管理、IP管理、互联网
行为管理等;三是应用安全,包括网站、邮件系统、资源库
管理、软件管理等。
三、硬件设备使用合理,软件设置规范,设备运行状况良好。
我公司每台终端机都安装了防病毒软件,系统相关设备
的应用一直采取规范化管理,硬件设备的使用符合国家相关
产品质量安全规定,单位硬件的运行环境符合要求,打印机
配件、色带架等基本使用设备原装产品;防雷地线正常,对
于有问题的防雷插座已进行更换,防雷设备运行基本稳定,
没有出现雷击事故;UPS运转正常。网站系统安全有效,暂
未出现任何安全隐患。
四、严格管理、规范设备维护
我公司对电脑及其设备实行“谁使用、谁管理、谁负责”
的管理制度。在管理方面我们一是坚持“制度管人”。二是
强化信息安全教育、提高员工计算机技能。同时在公司开展
网络安全知识宣传,使全体人员意识到了,计算机安全保护
是“三防一保”工作的有机组成部分。而且在新形势下,计
算机犯罪还将成为安全保卫工作的重要内容。在设备维护方
面,专门设置了网络设备故障登记簿、计算机维护及维修表
对于设备故障和维护情况属实登记,并及时处理。对外来维
护人员,要求有相关人员陪同,并对其身份和处理情况进行
登记,规范设备的维护和管理。
五、安全教育
为保证我公司网络安全有效地运行,减少病毒侵入,我
公司就网络安全及系统安全的有关知识进行了培训。期间,
大家对实际工作中遇到的计算机方面的有关问题进行了详
细的咨询,并得到了满意的答复。
六、自查存在的问题及整改意见
我们在管理过程中发现了一些管理方面存在的薄弱环
节,今后我们还要在以下几个方面进行改进。
(一)对于线路不整齐、暴露的,立即对线路进行限期
整改,并做好防鼠、防火安全工作。
(二)加强设备维护,及时更换和维护好故障设备。
(三)自查中发现个别人员计算机安全意识不强。在以
后的工作中,我们将继续加强计算机安全意识教育和防范技
能训练,让员工充分认识到计算机案件的严重性。人防与技
防结合,确实做好单位的网络安全工作。
2013年9月17日
篇二:网络与信息安全自查工作总结报告
洛阳市第六人民医院
网络与信息安全自查工作总结报告
接到《河南省卫生计生委关于开展河南省卫生系统网络与信息督导检查工作的通知》后,我院领导高度重视,立即召开相关科室负责人会议,深入学习和认真贯彻落实文件精神,充分认识到开展网络与信息安全自查工作的重要性和必要性,对自查工作做了详细部署,由主管院长负责安排、协调相关检查部门、监督检查项目,由信息科负责具体检查和自查工作,并就自查中发现的问题认真做好相关记录,及时整改,完善。
长期以来,我院在信息化建设过程中,一直非常重视网络与信息安全工作,并采取目一套有效的安全管理规范、有效的安全管理措施。自1月9日起,全院开展网络与信息安全工作自查,根据互联网安全和院内局域网安全的相应特点,逐项排查,消除安全隐患,现将我院信息安全工作情况汇报如下。
信息安全工作情况
一、网络安全管理:我院的网络分为互联网和院内局域网,两网络实现物理隔离,以确保两网能够互不影响,独立、安全、高效运行。
1.硬件安全,包括防雷、防火、防盗和UPS电源连接等。医院服务器机房严格按照机房标准建设,工作人员坚持每天巡查,排除安全隐患。HIS、LIS、EMR、PACS等服务器、交换机、存储等都有UPS电源保护,可以保证短时间断电情况下,设备运行正常,不至于因突然断电致设备损坏。此外,局域网内所有计算机USB接口施行完全封闭,
这样就有效地避免了因外接介质(如U盘、移动硬盘)而引起中毒或泄密的发生。
2.网络安全:包括网络结构、密码管理、IP管理等;网络结构包括网络结构合理,网络连接的稳定性,网络设备(交换机、路由器、光纤收发器等)的稳定性,我院会定期检查网络设备的运转情况并在信息科有网络设备备件,发生故障可以第一时间更换以确保医院业务的正常进行。各个医院系统的操作人员,都有自己
的登录名和密码,并分配相应的权限,账户施行“谁使用、谁管理、谁负责” 的管理制度。互联网和院内局域网根据区域不同划分为5个IP段,均施行固定IP地址,由医院统一分配、管理,不允许私自添加新IP。
二、数据库安全管理:我院目前运行的数据库主要是ORACLE数据库,是保证医院诊疗、划价、收费、查询、统计等各项业务能够正常进行的基础,为确保医院各项业务正常、高效运行,数据库安全管理是极为有必要的。数据库系统的安全特性主要是针对数据的技术防护而言的,包括数据安全性、并发控制、故障恢复、数据库容灾备份等几个方面。我院对数据安全性采取以下措施:(1)将数据库中需要保护的部分与其他部分相隔。(2)采用授权规则,如账户、口令和权限控制等访问控制方法,并对数据库进行了优化,大大提高服务器数据库并发连接数的承载能力。(3)数据库容灾备份是数据库安全管理中极为重要的一部分,是数据库有效、安全运行的最后保障,也是保障数据库信息能够长期保存的有效措施。我院采用的备份类型为完全备份,每天凌晨备份整个数据库,包含用户表、系统表、索引、视图
和存储过程等所有数据库对象。在备份数据的过程中,主、从服务器正常运行,各客户端的业务能正常进行,也即是热备份。
三、软件管理:目前我院在运行的软件主要分为三类:医院系统、常用办公软件和杀毒软件。医院系统软件包括HIS、LIS、EMR、PACS等系统,其中HIS系统是我院日常业务中最主要的软件,是
保障医院诊疗活动正常进行的基础,自2012年新系统上线以来,运行很稳定,未出现过重大安全问题,并根据业务需要,不断更新充实。常用办公软件均由医院信息科统一安装,维护。杀毒软件是保障电脑系统防病毒、防木马、防篡改、防瘫痪、防攻击、防泄密的有效工具。所有电脑,均安装了正版杀毒软件(360企业版杀毒软件和安全卫士),并定期更新病毒库,以保证杀毒软件的防御能力始终保持在很高的水平。
四、网站安全管理:在信息化高度发达的今天,网络宣传的作用日益突出,网站安全管理工作也不容忽视。我院的网站后台服务器施行托管管理,确保了网站后台服务的稳定性和安全性。我院设专门网站管理员,负责日常更新、维护,严格执行《网站管理规定》,网站自开放以来,从未发生过重大安全问题,并一直运行良好。
五、应急处置:我院HIS系统服务器运行安全、稳定,并配备了大型UPS电源,可以保证大面积断电情况下,服务器坚持运行数小时。虽然医院的信息系统长期以来运行良好,但医院仍然制定了应急处置预案,并对收费操作员和医护人员进行过培训,如果医院出现大面积、长时间停电情况,HIS系统无法正常运行,将临时开始手工收费、记
账、发药,以确保诊疗活动能够正常、有序地进行,待到HIS系统恢复正常工作时,再补打发票、补记收费项目。
总体来说,我院对网络与信息安全工作非常重视,未发生过重
大的安全事故,各系统运转稳定,各项业务能够正常运行。但自查中也发现了不足之处,如目前医院信息技术人员少,信息安全力量有限;信息安全意识还够,个别科室缺乏维护信息安全的主动性和自觉性;个别科室的计算机设备配置偏低,服务期限偏长。今后要加强信息技术人员的培养,更进一步提高信息安全技术水平;加强全院职工的信息安全教育,提高维护信息安全的主动性和自觉性;加大对医院信息化建设投入,提升计算机设备配置,进一步提高工作效率和系统运行的安全性。
经过了为期一周的自查工作,我院充分意识到安全工作是一个需要常抓不懈的工程,同时要不断创新,改变旧有的管理方法和理念,以适应新形势下的安全管理需要。
篇三:关于网络与信息安全自查情况的报告
国都证券有限责任公司文件
国都信字?2011?010号
关于网络与信息安全自查情况的报告
东城公安分局网安大队:
根据贵局关于网络与信息安全自查的要求,国都证券有限责任公司组织有关部门和人员对信息系统的安全管理制度、建设和全管理、安全运营、应急管理等进行了自查,现将有关自查情况报告提交贵局审阅。
特此报告。
附件:《国都证券有限责任公司关于网络与信息安全自查情况
的报告》
二?一一年六月二十八日
主题词:信息技术 自查情况 报告
内部抄送:公司领导,综合管理部、人力资源部、
合规与风险管理部。
校对:李静波 印制:3份 2011年6月28日发
附件:
国都证券有限责任公司
关于网络与信息安全自查情况的报告
东城公安分局网安大队:
根据贵局关于网络与信息安全自查的要求,国都证券有限责任公司(以下简称“公司”或“我司”)组织有关部门和人员对信息系统的安全管理制度、建设和全管理、安全运营、应急管理等进行了自查,现将有关自查情况报告如下:
一、 信息安全总体情况
公司一直非常重视信息系统的安全管理工作。公司明确由信息技术中心负责信息系统的安全管理工作,公司在信息系统的安全制度建设、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面不断细化和完善,公司信息系统总体运行稳定,未发生重大网络与信息系统安全事件。
(一) 建立安全管理制度
公司2010年全面修订信息技术的相关管理制度,明确了信息技
术管理组织框架、信息安全管理的总体目标和原则。公司建立了信息技术安全管理办法,明确了信息系统安全管理工作的重点为身份识别(账户权限及密码)、访问控制、漏洞管理、病毒防范、日志管理、系统安全策略配置、信息安全事件处置等方面,明确了安全管理操作的原则和规范。
公司安全管理制度的制定、修订和发布等均按公司有关制度的要规定进行,安全管理制度由信息技术中心制定、修订,由合规与风险管理部及相关部门参与审核,公司通过发文的形式完成安全制度的发布,公司规定每年对制度进行一次梳理并酌情进行修订。
(二) 明确安全管理机构
公司明确了信息技术中心负责公司信息系统安全管理工作,信息技术中心设立并配备了安全管理员、网络管理员、系统运维管理员等,公司总部各部门、北京交易中心、上海灾备中心及各营业部均指定专人为安全管理联络员。系统的运行、网络接入和重要资源的访问均通过公司OA办公系统进行
审批,依据审批内容不同将分别由部门负责人、主管公司领导等审批。公司通过电话、即时通信工具等及时进行公司内部信息的沟通以及与公安、电信及兄弟单位等部门的沟通。
(三) 人员安全管理
公司由人力资源部负责人员的招聘和录用,公司明确禁止录用有犯罪或严重违规行为记录的人员从事公司信息技术工作,公司
与员工均签有保密协议,在人员离职时均要求办理交接手续并终止系统访问权限等,公司不断加强安全意识的教育与培训工作,对信息技术中心关键岗位人员上岗前均进行必要的培训,公司制订了信息技术事故认定与处理制度,规范了相关奖惩的措施。
(四) 系统建设管理
公司完成了主要信息系统安全的保护等级工作,相关信息系统的定级结果经证监局核准后已报北京市公安局备案。
公司在系统建设时就网络设计、访问管理、应用安全等与厂商和有关部门进行详细沟通,并结合公司情况及监管要求,审查厂商的方案是否符合公司安全管理要求,公司要求开发商提供的产品涉及密码产品的应提供国家有关部门的资质证书。公司制定了信息技术项目管理、采购的制度,明确了负责采购的部门为信息技术中心及采购程序,公司在软件安装前通过NOD32防病毒系统进行病毒检测,但缺乏全面的恶意代码检测机制。
公司规定了项目实施前应建立项目计划书并实施项目周报制度,
公司由信息技术中心负责项目建设的管理工作,系统的测试工作由信息技术中心协调有关部门工作完成。公司规定了信息系统上线前厂商应提供的有关文档资料,并安排厂商对公司有关部门和人员进行必要的运维和使用的培训。
公司对信息系统涉及的网络、设备、应用等根据系统运行情况进行必要的巡查,总体来看,公司信息系统安全状况基本达到安
全等级保护的要求,但是公司网站等需要进一步完善安全管理措施,即将建设硬件防病毒网关与更新高性能的WEB应用防火墙,均已完成立项工作。
公司明确了信息系统安全建设的主管领导、责任部门和相关责任人员,公司在相关系统的建设时分析其对公司网络资源、访问控制、使用管理等可能出现的问题,并尽可能改进有关安全管理的措施,确保系统安全稳定运行。
公司购置了多种类型的安全硬件设备,并于2010年部署了终端安全管理系统,与提供产品的多家安全厂商保持着常年合作的关系。在合作期间众厂商皆对我公司的信息系统提供各类安全检查、威胁发现、整改建议等服务。
(五) 系统运维管理
公司制定了机房与运行环境管理办法对有关机房物理访问、人员及设备进出机房、基础环境、开关机要求等仅进行了规范,信息技术中心明确具体人员负责有关操作和监控。
公司制定了信息技术设备管理办法及固定资产管理办法,对信息技术设备的登记、使用、关键设备的管理及处置等进行了规范,公司综合管理部对公司信息技术设备进行盘点和登记。
公司制定了信息系统数据管理办法,对数据的备份与恢复、数据的访问及有关操作进行了规范,根据信息系统及数据的重要程度分别
采用硬盘、光盘并通过手工、自动等方式进行全量、增量的数据
备份,对光盘等存储介质进行异地保存。
公司制定了信息技术设备管理办法、网络管理办法,明确了相关设备及网路的管理部门为信息技术中心及机房负责人、网络管理员等,公司信息技术设备的选型由信息技术中心负责,一般信息技术设备的采购由综合管理部负责,符合信息技术项目采购管理办法的设备采购由信息技术中心负责,公司机房内关键设备的开启和关闭均由各机房值班人员按开关机操作流程进行操作,未规定流程的操作应经机房负责人同意后进行操作。
公司制定了网络管理办法等制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面进行了规定,公司设立网络管理员负责网络运行日志、网络监控记录的日常维护和报警信息分析和处理工作,网络管理员每季度对网络系统进行漏洞扫描,对发现的网络系统安全漏洞采取措施进行修补,并备份有关配置,公司与外部系统的连接均通过OA办公系统有关流程进行审批得到授权和批准;
公司制定了信息系统权限管理制度,公司相关系统的访问控制策略根据最小化原则通过审批后才赋予相关用户,公司根据信息系统运行情况不定期进行漏洞扫描,对发现的系统安全漏洞在保证公司系统稳定运行的情况下在与信息系统安全管理员及相关厂商沟通后酌情进行修补,因系统实时性要求较高,公司未全面开启有关设备和系统的审计功能,公司每天对系统运行情况进行实时的监控和巡检,并根据情况对有关日志进行不定期的分析。
公司安装了NOD32网络版防病毒系统、亿阳网管终端安全管理系统并由安全管理员管理,公司要求所有外来设备在接入网络前进行检查,公司严格控制外来设备接入交易网,公司信息技术安全管理办法
篇四:市水务局网络与信息安全自查工作总结报告
?水务局网络与信息安全自查
工作总结报告
根据?信息办[2012]1号文件《关于转发?省重点领域网络与信息安全检查工作方案和信息安全自查操作指南的通知》文件精神,我局积极组织落实,认真对照,对计算机涉密信息管理情况、计算机和网络安全情况及硬件设备使用情况进行了自查,对我局的网络信息安全建设进行了深刻的剖析,现将自查情况报告如下:
一、加强领导,成立了网络与信息安全自查小组
为进一步加强全局网络信息系统安全自查工作,我局成立了网络与信息安全自查小组,责任具体到人, 确保网络与信息安全自查工作顺利实施。
二、计算机涉密信息管理情况
对于计算机磁介质(光盘、U盘、移动硬盘等)的管理,采取专人保管、涉密文件单独存放,严禁携带存在涉密内容的磁介质到上网的计算机上加工、贮存、传递处理文件,形成了良好的安全保密环境。涉密计算机严禁接入局域网,并按照有关规定落实了保密措施,到目前为止,未发生一起计算机失密、泄密事故;
其他非涉密计算机及网络使用也严格按照局计算机保密信息系统管理办法落实了有关措施,确保了机关信息安全。
三、计算机和网络安全情况
一是网络安全方面。我局终端计算机均安装了防病毒软件、软件防火墙,采用了强口令密码、数据库存储备份、数据加密等安全防护措施,明确了网络安全责任,强化了网络安全工作。
二是日常管理方面切实抓好局域网和应用软件管理,确保“涉密计算机不上网,上网计算机不涉密”,严格按照保密要求处理光盘、硬盘、移动硬盘等管理、维修和销毁工作。重点抓好“三大安全”排查:一是硬件安全,包括防雷、防火、防盗和电源连接等;二是网络安全,包括网络结构、密码管理、IP管理、互联网行为管理等;三是应用安全,公文传输系统、软件管理等。
四、硬件设备使用合理,软件设置规范,设备运行状况良好。
我局每台终端机都安装了防病毒软件,系统相关设备的应用一直采取规范化管理,硬件设备的使用符合国家相关产品质量安全规定,单位硬件的运行环境符合要求,打印机配件基本使用设备原装产品;防雷地线正常,防雷设备运行基本稳定,没有出现雷击事故,局域网系统运行安全。
五、严格管理、规范设备维护
我局对电脑及其设备实行“谁使用、谁管理、谁负责”的管理制度。在管理方面我们一定是坚持“制度管人”。二
是强化信息安全教育、提高员工计算机技能。在设备维护方面,
专门设置了网络设备故障和维护情况属实登记,并及时处理。对外来维护人员,要求有关人员陪同,并对其身份和处理情况进行,规范设备的维护和管理。
自查存在的问题及整改意见
我们在管理过程中发现了一些管理方面存在的薄弱环
节,今后我们还要在以下几个方面进行改进。
一、对于线路不整齐、暴露的,立即对线路进行期限整改,并做好防鼠、防火安全工作。
二、加强设备维护,及时更换和维护好故障设备。
三、自查中发现个别人计算机安全意识不强。在以后的工作,我们将计算加强计算机安全意识教育和防范技能训练,让职工充分认识到计算机案件的严重性。人防与技防结合,确实做好单位的信息系统安全和网络安全工作。
.....市水务局
2012年9月4日
篇五:某公司信息系统安全自查报告2014年7月
XXXXXXXXXX公司信息安全自查报告
我XXXXX公司对网络信息系统安全工作一直十分重视,根据XXX相关要求要求成立了专门的领导组,建立健全了网络安全保密责任制和有关规章制度,由XXXXX公司信息中心统一管理,各业务部门负责各自的日常信息安全工作。严格落实有关网络信息安全保密方面的各项规定,采取了多种措施防范安全保密有关事
件的发生,总体上看,我XXXXX公司网络信息安全保密工作做得比较扎实,效果也比较好,自业务系统正式上线后,未发现安全问题。
XXXXX公司高度重视网络信息安全工作,在接到XXX的相关文件后,立即召开专题会议部署信息系统安全工作,成立自查工作小组,对我XXXXX公司的信息系统网络安全等情况进行了系统全面的检查,下面将自查情况报告如下:
一、信息安全总体状况
我XXXXX公司目前各网络系统运转良好,未发现网络入侵和其他安全事件。
(一)领导重视制度完善
1、为进一步加强XXXXX公司信息安全工作的领导,成立了信息安全工作领导小组,组长分管副局长为XX,组员XXX、XXX、XXXX;各科室负责人为成员,办公室设在信息中心,设专人负责除了日常工作,同时建立了安全责任制、应急预案、值班制度、信息发布审核制度、保密制度、责任追究制度等。
近年以来都没发生过安全责任事故。
2、为确保我XXXXX公司网络信息安全工作有效顺利开展,开展了网络信息安全宣传教育培训工作,平均每季度一次,目前共举办了二期,主要培训内容信息安全及计算机技术。我XXXXX公司要求以各部门为单位认真组织学习国家及XXX相关法律、法规和网络信息安全的相关知识,让全体人员都能正确领会信息安全工
作的重要性,都能掌握计算机安全使用的规定要求,都能正确的使用计算机网络和各类信息系统。
(二)严格要求,措施到位
1、强化安全防范措施。我XXXXX公司对于程序升级、服务器维护、网络设备和安全设备维护等方面工作进行了严格要求,进一步强化了安全防范措施。一是对本单位信息系统的账户、口令、软件补丁等定期进行检查,及时更新和升级、杜绝了弱口令、弱密码、消除了安全隐患。二是每台计算机都安装了杀毒软件,并定期进行病毒查杀、对操作系统存在的漏洞、防毒软件配置不到位的计算机坚决断掉网络连接,发现问题,及时上报、处理。三是对本单位有计算机的使用者进行了安全培训和对每台入网计算机的使用者、ip地址和物理MAC地址进行了登记造册,由信息中心进行管理,此外,严格管理业务处理计算机、由专人维护使用,并严禁访问互联网,严禁与非工作存储介质交叉使用,确保信息安全。
2、采取特殊管理措施。一是关闭或删除不必要的应用、服务、端口和链接,限制易被攻击。二是针对微软WINDOWS XP停止安全补丁服务的情况,采取了禁止入互联网和安装第三方防护软件的技术处理措施。三严格执行信息安全规定。严禁在非业务计算机上处理、存储、传递业务信息。严禁业务计算机访问互联网。严禁在互联网上利用电子邮件系统传递业务信息。
3、落实安全应急预案和应急演练,我XXXXX公司已经做好各项
准备工作,成立应急小组并编制的应急预案。实现了对可能发生的各类信息安全事件做到心中有数,近期进一步完善了信息安全应急预案,明确应急处置流程,落实了应急技术支撑队伍,把工作做深做细做在前面。积极组织开展了应急演练,检验了应急预案的可操作性,提高了应急处置能力。
4、定期检查机房环境。定期检查服务器设备运行状况。定期更改服务器、交换机、防火墙密码。定期查看网络设备登录日志。填写《机房巡检日志》。机房严禁无关人员进入,进入时需批准,并专人陪同。
5、数据泄露及系统被控情况。目前我XXXXX公司未发生数据泄露和被控事件。针对此方面的自查,我XXXXX公司要求系统承建单位定期进行检查,以便及时发现安全风险。我XXXXX公司核心业务运营系统由XXX负责实施开发;网络安全由XXXXXXX提供支持;数据存储及备份由XXXXXX负责;
上述三家公司均有较强的技术实力,通过定期的安全巡检和核查能够及时发现相关安全风险。
二、信息安全检查发现的主要问题及整改情况
(一)存在的主要问题
1、信息安全意识不够。员工的信息安全教育还不够,缺乏维护信息安全主动性和自觉性。
2、设备维护、更新还不够及时。
3、专业技术人员少,信息系统安全力量有限,信息系统安全技
术水平还有待提高。
4、信息系统安全工作机制有待进一步完善。
(二)下一步的整改计划
根据自查过程中发现的不足,同时结合我XXXXX公司实际,将着重一下几个方面进行整改。
1、要继续加强对全员的信息安全教育,提高做好安全工作的主动性和自觉性。
2、要切实增强信息安全制度的落实工作,不定期的对安全制度执行情况进行检查,对于导致不良后果的责任人,要严肃追进责任,从而提高人员安全防范意识。
3、要加强专业信息技术人员的培养,进一步提高信息安全工作技术水平,便于我们进一步加强计算机信息系统安全防范和保密工作。
4、要加大对线路、系统、网络设备的维护和保养,同时,
针对信息技术发展迅速的特点,要加大系统设备更新力度。
5、要创新完善信息安全工作机制,进一步规范办公秩序,提高信息工作安全性。
三、对信息安全检查工作的建议和意见
希望XXX省XXX能够经常组织有关信息系统安全的培训,从而进一步提高信息系统管理工作人员的专业水平,从而进一步强化信息系统的安全防范工作。
XXXXX集团XXXXX公司
2014年8月7日
范文五:重点领域网络与信息安全自查工作总结
重点领域网络与信息安全自查工作总结
按照《**县网络安全和信息化领导小组关于开展2015年**县网络与信息安全检查的通知》(嵩网信办通〔2015〕1号)文件要求,我办高度重视,积极组织落实,认真对照,对网络安全基础设施建设情况、网络安全防范技术情况及网络信息安全保密管理情况进行了自查,对我办的网络信息安全建设进行了深刻的剖析,现将自查情况总结如下:
一、加强领导
为进一步加强单位网络信息系统安全管理工作,我办成立了网络和信息安全督查自查领导小组,由分管副局长孙永坪任组长,办公室主任李艳聪任副组长,办公室干部职工为成员,严格按照网络安全检查表对全局网络信息系统开展了网络与信息安全自查。做到分工明确,责任具体到人。
二、网络安全现状
1.网络安全方面。我办每台电脑系统都安装杀毒软件,防止黑客、病毒入侵。对移动存储介质采取集中管理,统一登记、配发、收回、维修、报废、销毁。同时,建立了岗位安全责任制度,明确了网络安全责任,强化了网络安全工作。
2.信息系统安全方面。实行领导审查签字制度,凡上传网站的信息,须经有关领导审查签字后方可上传。
3.日常管理方面。切实抓好外网、网站和应用软件“五层管理”,确保“涉密计算机不上网,上网计算机不涉密”,
1 / 3
严格按照保密要求处理光盘、硬盘、U盘、移动硬盘等管理、维修和销毁工作。
4.硬件设备情况。硬件设备使用合理,软件设置规范,设备运行状况良好。我办每台终端机都安装了防病毒软件,系统相关设备的应用一直采取规范化管理,硬件设备的使用符合国家相关产品质量安全规定,单位硬件的运行环境符合要求,打印机配件、色带架等基本使用设备原装产品。
5.通讯设备运转正常。我办网络系统的组成结构及其配置合理,并符合有关的安全规定;网络使用的各种硬件设备、软件和网络接口也是通过安全检验、鉴定合格后才投入使用的,自安装以来运转基本正常。
6.严格管理、规范设备维护。我办对电脑及其设备实行“谁使用、谁管理、谁负责”的管理制度。在管理方面我们一是坚持“制度管人”。二是强化信息安全教育、提高员工计算机技能。
三、网络安全存在的不足及整改措施
我们在自查过程中发现了一些管理方面存在的薄弱环节,例如:未制定网络安全应急预案,也无应急技术队伍等。今后还要在以下几个方面进行改进:
1.对于线路不整齐、暴露的,立即对线路进行限期整改,并做好防鼠、防火安全工作。
2.加强设备维护,及时更换和维护好故障设备。
2 / 3
3.制定网络安全应急预案,并组织演练。
四、关于加强信息安全工作的意见和建议
做好网络与信息安全工作还需要坚强的物质基础作保证,除了必要的资金、设备投入外,还应加强对相关工作人员的业务培训,提高工作人员的业务素质及网络安全管理工作人员的专业水平。
我们将严格按照县科学技术和信息化局有关要求,进一步强化网络与信息安全管理,防患于未然,落实好国家各项信息安全管理规定,确保网络与信息安全。
3 / 3
转载请注明出处范文大全网 » 网络信息安全自查总结
