安全工作信息(精选6篇)
篇1:安全工作信息
篇一:2011信息安全工作报告 信息安全工作报告 焦作市邮政局
根据《焦作市银行业金融机构信息安全工作指导意见》(焦银办发
[2012]8号)文件精神,我局有序开展了邮政金融信息安全工作,规范了邮政金融信息安全工作,市局领导对信息安全系统工作一直十分重视,成立了专门的邮政金融信息安全工作领导小组,建立健全了信息安全保障组织体系和有关规章制度,由局信息中心统一管理,各科室负责各自的网络信息安全工作。严格落实有关信息安全运行管理制度,采取了多种措施防范信息安全保密有关事件的发生,总体上看,我局信息安全工作做得比较扎实,效果也比较好。
现就我局2011信息安全工作总结报告如下:
一、2011年信息安全工作情况
1、信息安全组织管理。我局成立了以尚副局长为组长,程副行长为副组长,各业务部及县(市、区)邮政局、各县(市)支行负责人为成员的信息安全工作领导小组,全面负责信息安全工作。确定焦作市邮政信息技术中心信息安全管理工作的具体承办机构,信息技术中心主任为具体负责人,并配备专职信息安全管理员。
2、日常信息安全管理。在人员管理上,认真落实信息安全工作领导小组、安全管理工作的具体承办机构及信息安全员的职责,制定了较为完善的检查信息安全和保密责任制建立并认真严格地落实情况,对于重要涉密电脑和设备,严禁人员在离岗离职信息的情况打开运行。对于违反信息安全管理制度规定造成信息安全事件的认真追究相关人员责任。在资产管理上,办公软件、应用软件等安装与使用情况严格按规定办理,计算机及相关设备维修维护管理、存储设备报废管理按保密相关要求执行,杜绝随意马虎。在运维管理上,信息系统运营和使用按相关权限进行管理、日常运维操作由具体负责人进行操作、定期进行安全日志备份和信息安全分析。
3、信息安全防护管理。在办公计算机和移动存储设备安全防护上。计算机采取集中安全管理措施,设置每台计算机账号口令随时更新。计算机互联网实行了实名接入、对计算机ip和mac地址进行绑定、指定固定ip地址,并安装防病毒防护软件,定期进行漏洞扫描、病毒木马检测。杜绝在非涉密和涉密信息系统间混用了计算机和移动存储设备, 禁止使用了非涉密计算机处理涉密信息等。
4、信息安全应急管理。为加强信息系统和网络安全运行,我局制定了本部门信息安全应急预案,认真组织开展了相应的宣贯培训。
5、信息安全教育培训。我局领导干部和部门负责人员全员参加信息安全教育培训、掌握信息安全常识和基本技能。对于信息安全管理和技术人员也定期参加信息安全专培训。
二、信息安全检查等方面开展的工作情况
我局经常、制度性地开展信息安全检查,重点是中心机房系统及网络设备安全防护及办公、营业生产网络安全防护。
1、在信息安全保障方面,采取了单位主要负责人负责制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实部门与个人信息安全面工作责任制。
2、加强了信息系统安全运行管理制度,对现有的各项信息安全管理制度进行适时修改和动态的完善,确保了对所有环节增能有效的规范和约束。并确保各项工作制度的落实。
3、对邮政信息中心机房和配套环境的规划、建设、改造与验收都符合国家、行业建设规范,符合管理机构的相关要求,建立了机房管理制度,并加强做好机房值班、出入人员登记、机房巡查等各项管理制度,定期对机房设备保养维护以及机房巡检加大频次。
4、按照相关规范,网络接入是经相关部门申核与必要的检测才方可接入,防火墙、入侵检测等安全专用产品符合相关要求。对于中心机房业务系统和网络运行都采取集中管理,对系统维护和网络管理明确了岗位职责,并实行了a、b角制度,建立了系统升级登记制度和文档保管制度。
三、自查存在的问题及整改意见
我们在管理过程中发现了一些管理方面存在的薄弱环节,今后我们还要在以下几个方面进行改进。
1、对于金融网点线路不整齐、暴露的,立即对线路进行限期整改,并做好防鼠、防火安全工作。
2、对金融机构内部工作责任不清晰、不明确,立即进行完善和明确,并做好信息部门和业务部门协调工作。
3、自查中发现个别人员计算机安全意识不强。在以后的工作中,我们将继续加强计算机安全意识教育和防范技能训练,让员工充分认识到计算机案件的严重性。人防与技防结合,确实做好单位的网络安全工作。
二○一二年二月二十日篇二:信息安全总结(完整版)信息安全的含义
信息安全是指防止信息资源被故意的或偶然的非授权泄露、更改和破坏,或者信息被非法系统辨认、控制和否认。即确保信息的完整性、秘密性、可用性和不可否认性。
信息安全是使信息避免一系列威胁,保障商务的连续性,最大限度地减少商务的损失,最大限度地获取投资和商务的回报,涉及的是机密性、完整性、可用性和不可否认性。信息安全就是指实体安全、运行安全、数据安全和管理安全四个方面。
信息安全的目标 1:机密性 2:完整性 3:可用性 4:不可否认性
信息安全的重要性
1:社会信息化提升了信息的地位 2:社会对信息技术的依赖性增强 3:虚拟的网络财富日益增长
4:信息安全已成为社会的焦点问题 信息保障(information assurance)为了保障信息安全,除了要进行信息的安全保护,还应该重视提高安全预警能力、系统的入侵检测能力,系统的事件反应能力和系统遭到入侵引起破坏的快速恢复能力。1:保护(protect)2:检测(detect)3:反应(react)4:恢复(restore)
信息安全模型(pd2r)保护(protect)
采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否认性。检测(detect)利用高级术提供的工具检查系统存在的可能提供黑客攻击、白领犯罪、病毒泛滥脆弱性。反应(react)
对危及安全的事件、行为、过程及时作出响应处理,杜绝危害的进一步蔓延扩大,力求系统尚能提供正常服务。恢复(restore)
一旦系统遭到破坏,尽快恢复系统功能,尽早提供正常的服务。密码学发展大致分为三个阶段: 1:古典密码时期 2:近代密码时期 3:现代密码时期
现代密码学的重要事件
1:1949年shannon发表题为《保密通信的信息理论》,为密码系统建立了理论基础,从此密码学成了一门科学。(第一次飞跃)
2:1976年后,美国数据加密标准(des)的公布使密码学的研究公开,密码学得到了迅速发展。
3:1976年,diffe和hellman提出公开密钥的加密体制的实现,1978年由rivest、shamire和adleman 提出第一个比较完善的公钥密码体制算法(第二次飞跃)
密码学的基本概念 密码学(cryptology)是结合数学、计算机科学、电子与通讯等诸多学科于一体的交叉学科,是研究信息系统安全保密的一门科学。
1:密码编码学(cryptography): 主要研究对信息进行编码,实现对信息的隐蔽。2:密码分析学(cryptanalytics):主要研究加密消息的破译或消息的伪造.破译算法的分类(递减)
1:全部破译.密码分析者找到密钥key。
2:全盘推导.密码分析者找到一个代替算法a,在不知道密钥key的情况下,等价于dkey(c)=p。实例(或局部)推导密码分析者从截获的密文中找出明文。3:信息推导.密码分析者获得一些有关密钥或明文的信息。这些信息可能是密钥的几个位、有关明文格式的信息等。
古典密码体制 1:单表密码 2:多表密码
3:多字母代换密码 密码分析学
密码分析学:研究如何分析或破解各种密码编码体制的一门科学。密码分析:常用的方法有以下4类:
1:唯密文攻击(ciphertextonly attack)2:已知明文攻击(knownplaintext attack)3:选择明文攻击(chosenplaintext attack)4:选择密文攻击(chosenciphertext attack)
对称密码算法
对称密码算法有时又叫传统密码算法,就是加密密钥能够从解密密钥中推算出来,反过来也成立。在大多数对称算法中,加密解密密钥是相同的。这些算法也叫秘密密钥算法或单密钥算法,它要求发送者和接收者在安全通信之前,商定一个密钥。对称算法的安全性依赖于密钥,泄漏密钥就意味着任何人都能对消息进行加密解密。只要通信需要保密,密钥就必须保密。
对称密码算法的分类序列密码 1:分组密码 2:序列密码 对称密码算法的优缺点 优点:
(1)效率高,算法简单,系统开销小(2)适合加密大量数据
(3)明文长度与密文长度相等 缺点:
(1)需要以安全方式进行密钥交换(2)密钥管理复杂 序列密码
序列密码是对称密码体制中的一类,主要用于政府、军事等领域。
序列密码的加密过程是先把明文转换成明文数据序列,然后同密钥序列进行逐位加密生成密文序列发送给接收者。接收者用相同的密钥序列对密文序列进行逐位解密以恢复出明文序列。
序列密码小结
1:安全强度取决于密钥序列的随机性和不可预测性 2:理论上能够产生周期为2|k|-1-1的伪随机序列 3:不存在数据扩展和错误转播
4:实时性好,运算速度快,加密、解密易实现 5:密钥分配困难 分组密码的简介
分组密码(block cipher)是现代密码学中的重要体制之一,也是应用最为广泛、影响最大的一种密码体制。
分组密码的加密原理是将明文按照某一规定的n bit长度分组(最后一组长度不够时要用规定的值填充,使其成为完整的一组),然后使用相同的密钥对每一分组分别进行加密。分组密码设计思想 1:扩散
所谓扩散,是指要将算法设计得使每一比特明文的变化尽可能多地影响到输出密文序列的变化,以便隐蔽明文的统计特性;扩散的另一层意思是将每一位密钥的影响也尽可能迅速地扩展到较多的输出密文比特中去。即扩散的目的是希望密文中的任一比特都要尽可能与明文、密文相关联,或者说,明文和密钥中任何一比特值得改变,都会在某种程度上影响到密文值的变化,以防止统计分析攻击。2:混乱
所谓混乱,是指在加密变换过程中是明文、密钥以及密文之间的关系尽可能地复杂化,以防密码破译者采用统计分析法进行破译攻击。混乱可以用“搅拌机”来形象地解释,将一组明文和一组密文输入到算法中,经过充分混合,最后变成密文。同时要求,执行这种“混乱”作业的每一步都必须是可逆的,即明文混乱以后能得到密文,反之,密文经过逆向的混乱操作以后能恢复出明文。des概述
1:分组加密算法:明文和密文为64位分组长度。
2:对称算法:加密和解密除密钥编排不同外,使用同一算法。3:密钥长度:56位,但每个第8位为奇偶校验位,可忽略。
4:密钥可为任意的56位数,但存在弱密钥,容易避开。5:采用混乱和扩散的组合,每个组合先替代后置换,共16轮。
6:只使用了标准的算术和逻辑运算,易于实现。des问题讨论(分组密码体制)1:des的强度:56比特的密钥长度
理论上的强度,97年$100000的机器可以在6小时内用穷举法攻破des。
实际攻破的例子,97年1月提出挑战,有人利用internet的分布式计算能力,组织志愿军连接了70000多个系统在96天后攻破。
这意味着随着计算能力的增长,必须相应地增加算法密钥的长度。
2:最近的一次评估是在1994年1月,当时决定1998年12月以后,des不再作为联邦加密标准。
3:aes(128位)取代des rsa公钥密码的小结(公钥密码体制)1:第一个较完善的公开密钥算法。2:目前使用最多的一种公钥密码算法。3:rsa的基础是数论的欧拉定理。
4:rsa的安全性依赖于大对数的因数分解的困难性。5:密码分析者既不能证明也不能否定rsa的安全性。6:既能用于加密也能用于数字签名。
7:rsa算法在美国申请了专利(2000年9月30日到期),但在其他国家无专利。
公钥密码体制的优缺点 优点:
1:解决密钥传递的问题 2:大大减少密钥持有量
3:提供了对称密码技术无法或很难提供的服务(数字签名)缺点:
1:计算复杂、耗用资源大
2:非对称会导致得到的密文变长 混合加密体制 散列算法(hash)
对不同长度的输入消息,产生固定长度的输出。这个固定长度的输出称为原输入消息的“散列”或“消息摘要”(message digest)。公式表示形式: h=h(m)m:任意长度的消息
h:散列(hash)函数或杂凑函数h:固定长度的散列值
散列算法的特点
1:h能够应用到任意长度的数据上。
2:h能够生成大小固定的输出。3:对干任意给定的x,h(x)的计算相对简单。4:对于给定的散列值h,要发现满足h(x)=h的x在计算上是不可行的。
5:对于给定的消息x,要发现另一个消息y满足h(y)=h(x)在计算上是不可行的,则称h为弱单向hash函数。
6:对于单向函数h,若要找任意一对消息x,y。且x≠y,使满足h(y)=h(x)在计算上是不可行的,则称h为强单向hash函数。7:主要的散列算法: md5(128位)、sha(160位)等 密钥管理的简介
1:密码系统的安全性取决于密钥的保密性,在考虑密码系统的设计时,需要解决的核心问题是密钥管理问题,而不是密码算法问题。密钥管理在保证数据系统的安全中是极为重要 2:密钥管理是一门综合性技术,它除了技术性的因素外,还有人的因素。3:在一种安全策略指导下密钥的产生、存储、分配、删除、归档及应用。
4:对密钥自产生到最终销毁的整个过程中的有关问题进行处理,包括密钥的产生、存储、备份、恢复、装入、分配、保护、更新、销毁等内容。其中密钥的分配和存储是最困难。5:密钥管理目的是维护系统中各实体之间的密钥关系,以抗击各种可能的威胁。密钥类型
1:基本密钥(base key)2:会话密钥(session key)
3:密钥加密密钥(key encrypting key)4:主机主密钥(host master key)
在公钥体制下还有公开密钥、秘密密钥、加密密钥、签名密钥之分。
密钥管理重要阶段简介 1:密钥生成 2:密钥使用 3:密钥更新 4:密钥备份 5:密钥恢复 6:密钥存档 7:密钥吊销 8:密钥销毁
密钥的分配
1:无中心的密钥分配模式 2:中心化密钥分配模式 3:公钥密码体制的密钥分配
密钥存储 1:文件形式。2:加密形式。
3:利用确定算法来生成密钥。
4:存入专门密码装置中(存储型、智能型)。
5:多个密钥分量形式存储。篇三:网络及信息安全工作汇报 莲湖区行知小学
网络及信息安全工作汇报
我校对网络及信息安全工作一直十分重视,成立了专门的网络安全领导小组,建立健全了学校网络及信息安全方面的相关规章制度,严格落实有关网络及信息安全方面的各项规定,采取了多种技术措施防范网络及信息安全有关事件的发生。总体上看,我校网络及信息安全工作做得比较扎实,效果也比较好,近年来未发生网络及信息安全方面的不安全事故,为促进我校现代教育技术的应用和发展,保障教育教学和管理工作的顺利进行发挥了重要作用。下面将详细情况汇报如下:
一、学校网络及信息安全基本情况
(一)学校网络安全基本情况
我校校园网自2008年9月进行建设并投入使用至今,校内主干网为百兆,实现了教学楼、生活楼、综合楼200多“节点”的连网,中心机房光纤接入中国电信30m带宽,3个ip地址,桌面出口带宽2m以上。
1、硬件建设 网管中心现有:d-link交换机、浪潮服务器、ups等主要设备。网管中心通过ros+winbox技术自主建设了我校校园网的虚拟软路由和软件防火墙,运行三年来,性能非常稳定。我校软路由将校园网ip分为四个网段,即“0”段(微机室1)、“100”段(微机室2)“1”段(网站服务器)、“10”段(教学及办公)、不但提高了我校网络的安全和服务水平、还为学校节省了相关费用。
2、机房环境建设
网管中心、语音室和两个微机室均采取标准的布线系统,便于故障快速排查,配臵了机房专用空调,保证良好的设备运行环境。机房采用ups供电,主备电源自动切换、全部机柜等电位接地经过多次实际恶劣环境考验。
3、计算机终端运行情况
我校共有计算机160台,网管中心统一为每一台计算机分配了ip,并与mac地址绑定,确保只有经过申请和许可的机器方可进入校园网;用于教育教学和管理的60台计算机都安装杀毒软件和360安全卫士,并接入“教育专网”,保证教育教学资源的安全使用;用于学生信息技术等学科教学的100台计算机,每一台均采取了方正保护卡的系统还原措施,一方面防止计算机病毒的入侵及传播,另一方面保证病毒入侵后能及时有效地处理;机房的每台学生机都安装有“绿坝”软件,通过关键字过滤技术,能有效地过滤网络黄毒,从而为学生提供健康,安全的上网环境。
4、校园网络的运行维护
目前,我校网管中心和微机室各有一名专职人员负责网络的运行维护,已实现:
(3)针对网络、服务器系统的安全,采取了有效的安全策略和措施,能够保障服务器的安全稳定运行,也能够有效地防范了黑客、病毒的攻击。
(4)保障校园网的安全、稳定运行,对教学楼、综合楼、学生机房出现的故障及问题,能及时处理和解决。
(二)学校网站安全基本情况
1、网站建设及运营情况
行知小学网站于2008年8月由学校网管中心工作人员自主开发并投入运营。网站是基于asp.net技术,在动易基础上进行的改进及升级,整个网站共设臵14个栏目,其中在导航栏出示11个子栏目“学校概况、新闻中心、行知剪影、学陶研陶、特色课程、学生频道、教师频道、家长频道、德育之窗、资源中心、校长信箱”。另外三个栏目为,“党旗飘飘、工会园地”为突出党建和工会工作,与新闻中心的“行知动态”一起显示在首页,“班级主页”在网站首页左下角,整个网站版块设臵清楚,突出重点,分类合理。2010年,我校网站在 “陕西省首届中小学教育门户网站”评比中,获优秀网站;2011年获“陕西省中小学优秀网站”百佳奖。学校网站已经成为“行知品牌”推广的主要窗口。
2、学校网站安全运营措施
(1)我校网站服务器设臵有防火墙,并安装了防篡改软件,设臵有较好的安全策略,拒绝外来的恶意攻击,保障网站正常运行。
(2)网站服务器安装有nod防病毒软件,对计算机病毒、有害电子邮件、非法插件、木马有整套的防范措施,防止有害信息对网站系统的干扰和破坏。(3)网站具有保存60天以上的系统运行日志和用户使用日志记录功能,内容包括ip地址及使用情况,主页维护者情况等。
(4)建立了网站数据备份机制,增量备份每月做一次,系统备份三个月做一次。一旦主系统遇到故障或受到攻击导致不能正常运行,保证备用系统能及时替换主系统提供服务。(5)服务器平时处于锁定状态,并保管好登录密码;后台管理界面设臵超级用户名及密码。
二、学校网络及信息安全工作落实情况
(一)加强领导,强化责任
为加强学校的网络及信息安全管理,我校成立了以校长、书记为组长的网络安全领导小组,负责制定学校网络安全管理的办法和规定,协调处理全校有关计算机信息系统安全的重大问题;负责学校计算机信息系统的建设、管理、应用等工作;负责信息系统安全的监督、事故的调查和处罚。为切实保障校园网内每一台计算机的安全运行,学校对各年级组组长进行了网络及信息安全方面的培训,并担任本部门计算机安全员,每年与学校签订《校园网络安全责任书》。
(二)以制度建设为保障,严格规范管理 加强制度建设,是做好校园网络及信息安全工作的保障。为了构筑科学严密的制度防范体系,不断完善各项规章制度,规范学校网络及信息安全的管理工作,学校有一套全面细致的校园网安全、网站安全管理规章制度。包括《计算机机房安全保护管理制度》、《网站安全管理制度》、《网站信息发布审核登记制度》、《网站数据备份和恢复制度》、《病毒防止制度》、《网络使用保密管理制度》、《安全教育和培训制度》等。
(三)、严格执行网站信息审核、备案等制度 2008年8月学校网站正式运营,2010年9月向中华人民共和国工业和信息产业部提交了学校网站的备案资料,2011年3月正式通过审核(备案编码:陕icp备10004465号)
学校网站认真执行信息审核管理工作,杜绝违犯《计算机信息网络国际联网安全保护管理办法》的情形出现。对发布信息的信源部门做好登记,对其提供的信息进行认真检查,不得有危害国家安全、泄露国家秘密,侵犯国家的、社会的、集体的利益和公民的合法权益的内容出现。对发布公共言论的栏目建立完善的审核检查制度,并定时检查,防止违犯《计算机信息网络国际联网安全保护管理办法》的言论出现。学校网站上的信息发布,由各权限部门负责人发布内容,校公告由学校办公室审核同意。
(四)以督促检查为手段,堵塞管理漏洞
为确保学校网络及信息安全工作各项规章制度的落实,及时发现工作中存在的隐患,堵塞管理漏洞,学校十分重视对网络及网站安全工作的督促检查,采取自查与抽查相结合,常规检查与重点检查相结
篇2:安全工作信息
二、组织机构
成立石林彝族自治县网络信息安全检查领导小组(以下简称领导小组)。
组长:和加卫(县人民政府副县长)
副组长:段圳宗(县信息产业办副主任)
成员:雷振涛(县政府办副主任)
李学(县国家保密局局长)
张家友(县公安局网监大队大队长)
张波(县信息产业办)
领导小组下设办公室在县信息产业办,负责组织实施本次安全检查工作,由段圳宗同志兼任办公室主任,办公室工作人员从领导小组成员单位抽调。
三、具体工作
(一)检查范围:各乡镇人民政府,县直各部委办局在内外网运行的办公系统、业务系统、网站系统等。各乡镇、各部门的重要业务系统、门户网站是检查重点。
(二)按照《政府信息系统安全检查实施办法》、《2010云南省政府信息系统安全检查指南》(附件一),请各乡镇、各单位对照进行自检,并形成书面材料(附电子文档),填写《2010年石林彝族自治县人民政府信息系统安全检查报告表》(附件二、三)盖章并附电子文档,于2010年6月13日前一并报领导小组办公室。
(三)针对当前政府信息系统存在的薄弱环节,按照《云南省政府信息系统安全检查实施办法》要求,重点检查以下内容:
1.信息安全组织机构。
2.日常信息安全管理。
3.等级保护与风险评估。
4.建设防范手段建设。
5.应急管理工作开展。
6.信息技术产品和信息安全产品使用。
7.信息安全服务。
8.信息安全教育培训。
9.信息安全经费保障。
10.安全隐患排除及整改。
(四)领导小组对县重点部门的网络信息安全进行现场抽查。
(五)2010年6月中下旬接受市网络信息安全检查工作组到石林检查,具体检查单位根据市检查组通知临时确定。
(六)2010年9月根据我县的信息安全检查结果,对检查中发现的问题,将按照《政府信息系统安全检查办法》的规定,责令相关部门限期整改,并追究有关人员的责任。
(七)自2010年10月起,各乡镇、各单位开展2010年下半年信息安全检查工作。在上半年工作的基础上,进行自评、自查并形成书面材料(附电子文档),填写《2010石林彝族自治县政府信息系统安全检查报告表》(附件二、三)盖章并附电子文档,于2010年10月15日前一并报领导小组办公室。
四、工作要求
各乡镇、各部门要把政府信息系统安全检查工作列入重要议事日程,加强领导,明确检查责任,落实专职的检查人员和经费,保证检查工作顺利进行。要求所有参与检查的人员必须严格按照《云南省政府信息系统安全检查实施办法》和《2010云南省政府信息系统安全检查指南》要求开展工作,要特别强调工作中注意信息安全和保密。涉及国家秘密的信息系统保密检查工作,按照国家保密管理规定执行。
附件:1.2010云南省政府信息系统安全检查指南
2.2010年石林彝族自治县人民政府信息系统安全检查情况报告表
3.2010年石林彝族自治县人民政府信息系统安全检查情况报告表(补)
附件
12010云南省政府信息系统安全检查指南
为指导规范2010云南省政府信息系统安全检查工作,依据《国务院办公厅关于印发<政府信息系统安全检查办法>的通知》(以下简称《检查办法》)等文件,参照国家信息安全技术标准规范,总结2009政府信息系统安全检查工作,制定本指南。
一、检查目的依据国家及我省有关政策规定,在2009年12月开展政府信息系统安全检查工作基础上,对各部门信息安全工作进行全面检查,了解掌握政府信息系统安全总体状况,发现存在的主要问题和薄弱环节,完善信息安全管理制度,加强安全防护措施,提高信息安全工作水平。
二、检查原则
坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,统筹安排、突出重点、明确责任、注重实效。
各部门自行组织检查与工业和信息化委员会会同有关部门统一组织抽查相结合。部门管理的全国性信息系统安全检查工作,由主管部门统一组织部署。
三、检查范围
本指南所称政府信息系统安全检查,是指依据国家有关政策规定,参照国家信息安全技术标准规范,对政府信息系统安全工作进行检测评估、查找隐患、堵塞漏洞、规范管理、完善措施、落实整改、通报情况的过程,包括进行信息安全风险评估、安全检测、等级测评等。
政府信息系统安全检查的范围是为各部门履行职能提供支撑的信息系统,包括自行运行维护管理以及委托其他机构运行维护管理的办公系统、业务系统、网站系统等。各部门的重要业务系统、门户网站是检查重点。
涉及国家秘密的信息系统保密检查工作,按照国家保密管理规定执行。
四、检查依据
(一)政策文件
篇3:安全工作信息
台式计算机和笔记本电脑等普通计算机终端作为日常办公设备, 数量众多, 分布范围广, 使用环境复杂, 用户群大, 网络暴露面广, 当遇到用户技术水平不高, 安全意识不强的情况, 容易遭受外来恶意软件入侵, 是黑客攻击控制的常见对象。我国个人计算机被植入木马成为“肉鸡”的数量已超400万台, 病毒木马从业人员也接近百万规模, 发展为包括木马制造、传播、密码窃取和售卖等环节在内的完整产业链。
普通计算机终端的安全防护缺陷能通过“木桶效应”传导, 容易造成单位整体安全防护体系短板。本文通过构建安全硬件支撑层、安全防护层、安全维护层和管理审计层4道防线, 围绕普通计算机办公终端设备生命周期, 结合终端立体安全防护网, 构筑信息安全基本防护面, 与读者一起探讨加强普通办公终端安全管理的措施和思路。
二、措施
(一) 构建安全硬件支撑层, 是加强办公终端安全管理的基础
一是在产品选择上, 优先选用国产品牌设备, 支持本土企业, 增强产品安全自主可控性, 选用具有国家主管部门认证的节能设备, 选择符合行业高标准的电源配件, 消除不合格产品引发的火灾隐患。二是在产品配置选择上, 依据不同的用途, 选择合适的硬件配置, 结合设备历史使用情况统计, 分析设备生命周期规律, 寻找设备配置水平与业务需求最佳平衡点, 寻找配置最佳组合, 优化设备购置需求, 形成高、中、低设备配置搭配格局, 在满足安全防护性能要求的前提下, 最大程度提高资金使用效率。三是在产品软件配置选择上, 选取成熟可靠、有专业服务支持的操作系统, 提倡使用国产操作系统, 从基础软件层面提高终端信息安全保障能力。安装硬盘健康情况监测软件, 监控硬盘运行状态, 及时发现硬盘故障, 并向用户发出告警信息, 避免出现因硬盘损坏引发数据丢失风险。此外, 整体上要保持新购置终端设备软硬件环境初始纯净性, 从设备引入伊始杜绝各类不安全软硬件。
(二) 打造全面可信的终端安全防护层, 是加强办公终端安全管理的关键
一是加固操作系统层。对每一类型的操作系统制定不同安全加固标准, 确保所有终端满足基本安全加固要求;根据用户角色的不同, 按照“必须知道”和“最小授权”的原则合理分配用户权限, 加强对最高权限用户的审批和审计管理;安装最新系统补丁, 并及时修复系统自身缺陷, 开启系统各项审核审计功能以及各类安全策略;关闭无关的系统服务和共享。
二是在操作系统安全加固基础上, 着力引入各类防护软件, 提高专业防护能力。安装专业的防病毒和防间谍软件, 在具备查杀病毒和恶意软件的能力的同时, 加入主动防御威胁的功能;部署专业的补丁分发系统, 对终端进行系统漏洞修复和提供关键基础软件更新;部署木马查杀工具, 定期对终端进行木马查杀和检测, 让终端远离“肉鸡”;部署专业入侵检测系统, 时刻监测网络上终端行为, 有效发现各类恶意入侵行为, 定位、隔离问题终端;部署终端综合管理软件, 从技术上强制规范终端各类外设的使用, 强制对系统进行各类基本安全加固, 避免因人为或误操作引发防护实效。
三是对特殊的系统类型进行有针对性的专业防护, 对终端按重要性进行分级、分区域管理, 因地制宜, 提高终端安全防护效能。
(三) 规范日常终端维护, 形成办公终端安全维护层, 是加强终端安全管理不可或缺的环节
一是采用成熟的网络准入技术, 定制终端准入标准, 实现对终端接入的自动化审批。准入标准一般包含两个方面, 一方面是技术防护要求, 包括终端系统加固要求、安全防护软件安装要求和用户个性化软件安装要求等;另一方面是身份认证审核机制, 即只有合法的用户才能被允许接入网络, 准入标准的制定可有效防止“不合格”终端接入网络, 或非法终端“潜入”网络。
二是保持和强化终端防护能力, 重在终端变更管理。要求在终端日常维护过程中, 不能破坏已建立的安全防护网, 不能降低防护能力, 维护过程应严格遵循风险防范标准, 扎牢终端安全防护的笼子。在人的要求和管理上, 技术维护人员要具有较高的专业知识和熟练的操作技能, 要有足够的保密意识和相应的维修维护资质。在维护工具选用上, 要使用安全的工具, 软件工具要无病毒、无木马, 软件来源安全, 硬件工具特别是电气类工具要满足行业标准, 避免存在短路等火灾隐患。在具体维护过程中, 要格外注意数据的处理, 避免数据丢失和数据接触范围扩大。在硬件故障的维修上, 要从正规渠道购置配件替换件, 避免引入有“夹带”的配件, 留下安全隐患。维修维护原则上不能移出办公地点, 采用定点定人维修机制, 杜绝携带信息存储部件送修;注重终端设备的生命终期的管理, 规范设备报废。
三是保持和强化终端防护能力, 需要知识的积累和延续。要建立终端维护文档, 积累经验知识, 同时也可作为一种行为日志记录, 用于监督和审计。一类是技术文档, 登记各种故障现象、处理方式以及技术操作要点, 有利于培养维护人才, 提高维护技能;另一类是日志文档, 记录终端编号、故障原因、现象等信息, 也保存维护人员和日期等信息, 有利于责任划分, 也可用于日后的监督审计。
(四) 全员参与, 强化过程监督, 建立管理审计层, 是加强办公终端安全管理必要措施
办公终端信息安全工作需要每一位终端设备使用人的共同参与。科技管理部门应定期组织开展全单位信息安全培训, 讲解信息安全保护的知识, 及时发布信息安全保护中的新风险、新技术, 灌输信息安全保护不利的严重后果, 使他们正确认识信息安全保护工作的重要性, 特别是重要岗位人员要熟悉信息保护流程, 掌握信息安全基本常识, 提高信息安全意识。要建立有效的组织结构, 群防群治, 明确分工, 责任到人, 通过信息安全交流平台, 及时发布风险预警信息。
一是通过部署行为审计和日志分析系统, 对终端进行全过程的行为记录和分析, 时时收集终端系统行为和用户行为信息, 自动分析行为信息日志, 较快发现异常行为, 定位问题终端, 发出告警信息, 及时排查和阻止终端的非法或不安全操作。根据维护日志和审计日志的统计分析, 建立终端防护能力曲线, 分析终端防护效果, 重点修补薄弱点。通过行为日志, 加强对“不稳定”人员的管理, 消除人为故意降低终端防护能力的风险隐患。
二是终端安全专项检查与各类综合检查相结合, 有利于强化终端安全管理力度, 提升用户对终端信息安全主动保护意识。
此外, 不能忽视便携式设备安全管理。笔记本计算机由于体积较小、重量轻, 方便携带, 已在各单位普遍使用, 在提供工作便利和工作效率的同时, 也存在被盗、被抢或遗失风险, 要重点根据笔记本计算机存储信息量大、移动性等特点制定有针对性的安全管理措施。其次加强对手机、平板等手持式移动终端的安全管理, 防止发生信息安全事件。
摘要:随着信息化建设的深入和新技术的不断涌现, 金融机构普通计算机终端面临更多攻击风险, 往往成为机构整体安全防护体系短板。本文通过构建安全硬件支撑层、安全防护层、安全维护层和管理层审计层4道防线, 围绕普通计算机办公终端设备生命周期, 与读者一起探讨加强普通办公终端安全管理的措施和思路。
关键词:计算机终端,安全防护,安全管理
参考文献
[1]商业银行信息科技风险管理指引[Z].中国银行业监督管理委员会.2009.
篇4:国务院部署信息化和信息安全工作
会议讨论通过《关于大力推进信息化发展和切实保障信息安全的若干意见》,确定了以下重点工作:
(一)实施“宽带中国”工程。加快信息网络宽带化升级,推进城镇光纤到户,实现行政村宽带普及服务。加快推进电信网、广电网、互联网三网融合,培育壮大相关产业和市场。(二)推动信息化和工业化深度融合。重点推动企业信息化水平全面提升,推广节能减排信息技术,增强信息产业核心竞争力,引导电子商务健康发展,推进服务业信息化。(三)加快社会领域信息化。继续深化电子政务应用,加快电子政务服务向街道、社区和农村延伸,建设服务型政府。提高社会管理和城市运行信息化水平,加快推进教育、医疗、就业、社会保障和减灾救灾等民生领域信息化。(四)推进农业农村信息化。重点提高农业生产经营信息化水平,完善农业农村综合信息服务体系。(五)健全安全防护和管理。基础信息网络要与安全防护设施同步规划、同步建设、同步运行,强化技术防范,严格安全管理,切实提高防攻击、防篡改、防病毒、防瘫痪、防窃密能力。(六)加快安全能力建设。完善网络与信息安全基础设施,加强信息安全应急等基础性工作,提高风险隐患发现、监测预警和突发事件处置能力。
篇5:信息安全工作汇报
安全生产工作重在基层,目前,全区8个街道均设有安监所,并于年初正式单列。共有街道安监人员26名,社区安管员148名。但与兄弟县(市)、区相比,监管力量仍较为薄弱。在日益复杂的安全生产形势下,依靠信息化技术辅助提高基层监管效率是一条值得积极探索的途径。随着安全生产领域社会管理创新工作的不断深化,在“智慧城市”建设的全局展望中,海曙借风扬帆,把安全生产信息化建设作为一项基础工作和重点工作来抓。这个思路也得到了市安监局、区政府有关领导的认可与支持,认为这是把基层安监工作逐步纳入数字化管理、规范化管理的好想法。在多方的积极努力下,XX区安全生产综合监管平台建设经历了 “从无到有、从有到优”的不断完善的过程,取得了一些成果和经验。
一、XX区安全生产综合监管平台的基本情况
XX区安全生产综合监管平台以生产经营单位的安全生产属性为核心数据,以常态化管理工作为功能模块;以区级监管平台为中心,区、街道、社区三级联动,街道、部门双向互动。平台包含“组织机构、工作日历、网格化巡查、计划总结、日常管理、统计分析、基础数据”七大功能模块,涵盖了企业基本信息、日常工作记录、网格化巡查管理、安全培训状况、隐患排查整治、事故应急管理、工作信息上报、履职与考核等内容。线上流转与线下监管相呼应,形成了一张覆盖全区主要监管对象的公共安全动态监管网。通过责任的逐级分解、考核的层层推进,把监管职责进一步向基层延伸。提升了基层安全生产工作的准确性和时效性,加强了对安全生产形势的整体把握和研判,推动安全生产监管向“工作规范化、管理透明化、考核无纸化”的方向转变。8个街道74个社区已向平台录入了企业数据 20083条、检查数据8134条、安全隐患1290条、安全信息379条,会议记录、履职报告、应急演练、安全培训等日常管理工作的完成情况得到了动态、直观的反映。今年下半年,区安监局将安全生产网格化管理工作也纳入到了平台中来,以网格化巡查进一步推动平台运转,通过平台运转提升网格化巡查的效率,两者相互促进,使信息化对安全生产监管的提速作用更加显著。
二、系统的建设思路与应用现状
(一)建设初衷
我局全面地梳理了近年来的安全生产工作,总结出了当前监管工作所面临的三个瓶颈,一是量大面广的监管对象与监管效率低下的矛盾;二是综合监管格局建立与条块职责不清的矛盾;三是安全生产对基础数据的需求与信息资源整合度低的矛盾。系统要从街道安监工作的实际出发,深度开发、利用各类企业基本数据和隐患排查资料,在状况不明、数据不清的复杂环境下,以消除安全隐患为基本目标,围绕“谁来做”、“做什么”、“怎么做”进行量化的要求、管理和评价,使安全隐患有人管、管了能发现、发现了能处置,从根本上提高基层整体安全生产监管水平和监管效能。据此,我局广泛征求了意见与建议,形成了系统的初步建设框架。
(二)试点运作
从20xx年底开始,望春街道作为全区的试点单位正式启动了“街道安全生产监管信息系统”的开发工作。该街道地处城乡结合部,辖区内大多数企业生产经营规模较小、自主管理水平低下、操作人员素质较差。加上外来务工人员数量众多,安全生产管理难度大,安全生产态势较不稳定。本着科学、规范、人性化的基本要求,根据前期的调研和实际情况,经过一年多时间的搭建,系统雏形基本形成。在随后的试用过程中,又经过了反复的修改和完善,大到模块设置、小到对话框的设计,在尽可能贴近实际需要的同时保留了系统延展的可能性,为日后的全区推广奠定了基础。
(三)现阶段应用成效
今年初,“街道安全监管信息系统”在全区8个街道推广应用,并在与实际工作的不断磨合中日臻成熟,在升级为“XX区安全生产监管综合平台”后,继续向“目标明确、流程合理、方法科学、考核有效”的总体目标完善。今年4月份,市局在望春街道召开了XX市乡镇街道安全生产监管信息系统建设应用现场会,省、市两级领导对海曙在安全生产信息化道路上的探索给予了肯定。信息化项目开展至今,在五个方面取得了阶段性成果:
一是建立了一本企业“户口簿”,摸清了监管底数。目前,在信息系统的基础数据库中共有2万余家企业,点击一家企业,它的基本信息、设施设备、事故信息、安全培训、隐患排查、责任书签订等一系列的安全生产属性一目了然。监管人员可以根据这些属性对企业进行筛选,有针对性地开展检查、指导工作,避免了随意性和盲目性。系统推广之初,大量企业数据的导入、核对、筛选、归类使街道安监所的工作量骤增,但在逐渐体会到企业数据储备带来的便捷之后,广大安监员也很快认可了这个为他们“减负”的信息系统。
二是整理了一套“工作手册”,规范了日常监管工作。
七大功能模块的十余项工作内容,基本涵盖了街道日常安全生产工作的方方面面,也逐项量化了区政府下达的考核目标,明确了街道安监所的工作职责、工作目标、工作内容和工作规范,相当于一个在线的业务知识库。辅助街道合理安排工作计划,防止工作疏漏;及时跟踪业务进展,把握时间节点。工作痕迹的实时记录,也确保了考核工作的公正透明。
三是铺设了一张协同监管网络,梳理了条块职责。
安全生产涉及的行业多、领域广,安全生产领域里的公共安全问题往往涉及多个部门。在安全生产综合监管平台中,所有的企业根据性质、所在区域和所属行业进行了分类,并对危化企业、规模以上企业、消防重点单位、高层多业主建筑、烟花爆竹经营点等重点监管的单位进行单独归整,使所在地街道和对应的行业主管部门明确监管对象和监管任务,从技术层面上消除了监管的“真空地带”。
四是组建了一支安全协管队伍,增强了基层监管力量。
安全生产网格化管理是今年XX区重点推动的一项工作,监管平台将网格化巡查系统纳入其中,使网格巡查员的日常巡查工作也得到了及时、完整的反映。由街道安监所人员、社区安全员、网格巡查员共同构筑的安全隐患管控布防,增加了检查频次,扩大了检查范围,进一步消除了监管盲点。监管平台作为调度中心,即时将隐患抄告给相关职能部门,并落实反馈,使每一条安全隐患的来龙去脉有迹可循。巡查员配备的智能pda(便携式终端),将安全生产法规标准智能查询、执法系统、gps定位、信息上报、通话调度、企业数据库、地理信息、应急预案等功能整合在一部手机里,菜单式界面、引导式操作提高了网格巡查员发现隐患的能力和精准度。
五是创新了一种考核模式,夯实了考核效果。
在今年新修订的XX区安全生产目标管理考核办法中,安全生产综合监管平台的应用情况被列入了重要的考核项目之一。同时,为了转变“重台账轻实地、重年度轻常态、重结果轻过程”的考核观念,区安委办逐步加大了对常态化工作的督查,每季度根据街道在平台中录入的工作情况,结合实地抽查检验其工作成果。区安监局在区级平台上能实时查阅各街道的工作开展情况,把握工作进度和时间节点。年底,平台的统计分析模块将自动汇总各项考核数据,得出考核结论,为街道省去了繁琐的台账整理工作,使“无纸化考核”成为可能。由此,平台既是考核的内容,也是实施考核的载体。工作做得再好,不上系统就等于零。而反过来说,不上系统,也就做不好工作。这给信息系统的推广应用上了“双保险”,增加了驱动力。
三、前景展望
(一)放眼全局,开拓思路,提升平台建设的高度
无论是从当前安全生产工作的需求,还是从安全生产长远发展的要求来看,安全生产信息化建设对安全生产长效监管机制的建立起着重要的支撑作用,是实现安全生产监督管理工作快速、准确、高效的保障。安监系统组建时间短、信息化投入较少、信息化管理手段较为单一,XX区安全生产综合监管平台的建设是对普遍适用的安全生产监管信息系统的有益探索。将信息化监管平台的开发作为创新安全生产管理工作的重要抓手,持续做、反复做、细致做。
(二)加快部门、企业全面覆盖,拓展平台维护的广度
发挥区安委办综合协调、统筹管理的作用,以信息化平台为技术支撑,逐步建立一个区安监局、区级行业主管部门以及辖区企业共同参与、纵横联通的立体监管平台。一是要拓展企业端口,包含企业基本信息、所属监管部门、安全管理人员、设施设备安全、特种作业人员、安全生产规章制度、应急管理、隐患自查上报、法律法规、标准规范、行政许可管理等模块,那信息平台延伸到企业,特别是从重点监管企业开始应用,规范企业的安全生产自我管理,实现企业的自我监督,逐步解决政府与企业间沟通渠道不畅的问题。二是要拓展行业主管部门的工作端口,促进相关职能部门在本领域内安全生产日常管理工作的规范化,解决安全隐患的抄告流转问题,杜绝部门间职责不清、互相推诿导致隐患长期存在、无人处理的现象。平台最终要完成区级、各职能部门、街道、社区和企业五级的系统配置,统一使用综合监管平台的资源,根据角色定义、权限控制分配模块和工作内容。所有级别的用户在综合监管平台内统一管理和体现,各部门之间业务协调,按照预定的流程规则在系统内处理。为监管系统升级更多的数据通信接口提供其他业务系统调用,切实体现综合监管平台在整个系统间的协调作用。
(三)探索功能模块与实际工作的紧密衔接,挖掘平台应用的深度
篇6:信息安全工作要求
李东荣指出,近年来,金融业信息化程度不断提高,对金融业改革、发展、壮大发挥了重要的促进作用。同时,金融业对信息技术的依赖程度越来越大,信息安全保障工作的难度不断加大,互联网应用又进一步加大了信息安全风险的扩散效应。国家对金融信息安全高度重视,有关领导多次作出重要指示,要求金融业切实采取措施,努力提高信息安全保障水平,坚决打击危害金融信息安全的犯罪活动。因此,各金融机构要清醒地看到当前我国金融信息安全面临的形势,充分认识金融信息安全工作的重要性,未雨绸缪,勇于应对挑战,进一步做好工作。
李东荣强调,要从以下方面做好金融业信息安全保障工作:
一是要提高金融信息安全风险防范意识,工作总结《信息安全工作要求》。各金融机构要深刻认识信息安全风险发展的新趋势,从防范系统性金融风险的高度去认识做好金融信息安全工作的重要性和紧迫性,妥善处理数据大集中带来的风险集中以及互联网对金融机构信息安全风险的放大,采取有效措施积极应对。
二是完善金融信息安全保障组织机制,加强组织领导。将金融信息安全风险管理纳入机构风险管理范畴,避免片面地将信息安全风险防范作为单一的科技工作。
落实金融信息安全责任制和问责制,形成各部门有效协作、齐抓共管的工作局面。
三是将金融信息安全管理各项措施落到实处,保障业务连续性。做好金融信息安全发展规划,完善金融信息安全保障体系,加强金融信息系统生命周期过程的风险管理,坚决贯彻“优先恢复系统对外服务”的原则,切实加强自主运维能力建设,定期进行风险的深度检测与评估,加强应急演练,不断提高应急实战能力。
四是加强指导与服务,协同防范金融信息安全风险。人民银行将认真履行国家赋予的工作职责,与金融监管部门协调配合,加强对金融机构的指导与服务,通过明确标准规范引导、加大监督检查力度、完善协调机制建设等措施,促进金融机构共同提高我国金融信息安全保障能力。
21家全国性商业银行分管科技工作的负责同志以及人民银行相关司局、直属企事业单位有关负责人参加了会议。
