人民医院信息系统网络安全等级保护整改报告

关键词： 内网 信息系统 保护 国家

人民医院信息系统网络安全等级保护整改报告（通用10篇）

篇1：人民医院信息系统网络安全等级保护整改报告

随着互联网应用和门户网站系统的不断发展和完善，网站系统面临的安全威胁和风险也备受关注。网站系统一方面要加强落实国家信息安全等级保护制度要求的各项保障措施，另一方面要加强系统自身抵抗威胁的能力，同时结合国办2011年40号文件《关于进一步加强政府网站管理工作的通知》的相关要求，网站系统要切实进行防攻击、防篡改、防病毒各项防护措施的部署和实施，综合提升网站系统的安全保障能力。

根据国家等级保护有关要求，省级政府门户网站系统的信息安全保护等级应定为三级，建立符合三级等级保护相关要求的安全防护措施，能够形成在同一安全策略的指导下，网站系统应建立综合的控制措施，形成防护、检测、响应和恢复的保障体系。通过采用信息安全风险分析和等级保护差距分析，形成网站系统的安全需求，从而建立有针对性的安全保障体系框架和安全防护措施。

网站系统安全需求

根据网站系统的应用情况，针对网站系统的安全需求可以从系统业务流程、软件、数据、网络和物理几个方面进行综合分析，具体需求如下：

1、业务流程安全需求

针对网站类业务重点需要关注发布信息的准确性，采集分析和汇总信息的可控性，以及服务平台的可用性，系统可能面临的威胁包括网络攻击、越权、滥用、篡改、抗抵赖和物理攻击，应加强对于这些威胁的对抗和防护能力，通过严格控制业务流程中的各个环节，包括信息采集、分析、汇总、发布等过程中的人员访问身份、访问控制、审批审核等需求，同时要加强系统自身的完整性保护和抗抵赖机制的实现。

2、软件安全需求

网站系统软件架构一般包括接入层、展现层、应用层、基础应用支撑层、信息资源层和基础支撑运行环境等几个层面，由于几个层面涉及的主要功能和软件实现存在一定的差异性，因此要通过分析不同层次可能面临的威胁。接入层是目标用户和接入媒介共同构建而成，针对业务系统此层面是一个访问入口，从安全需求方面应当减少入口对于系统的攻击可能性，对于指定的接入和入口可以通过建立可信机制进行保护，对于非指定的接口可以通过控制权限进行防护；展现层是系统内容的展示区域，要确保系统展示信息的完整性，降低被篡改的风险；应用层是对数据信息进行处理的核心部分，应加强系统自身的安全性和软件编码的安全性，减少系统自身的脆弱性；基础应用支撑层主要包括通用组件、用户管理、目录服务和交换组件等通用应用服务，该层次重点是确保系统组件自身的安全性，同时要加强与应用之间接口的安全性；信息资源层是由业务数据库和平台数据库共同构成，此层次重点的安全在于数据库安全；基础支撑运行环境层，支撑应用系统运行的操作系统、网络基础设施和安全防护等共同构筑成基础支撑运行环境，该层次面临的主要威胁包括物理攻击、网络攻击、软硬件故障、管理不到位、恶意代码等多类型威胁，应加强资产的综合管理。

3、数据安全需求

网站系统的数据主要包括互联网读取、录入、管理、审核的数据信息，以及前台的交互信息和后台的数据交换信息，针对这些信息各个环节中的访问关系不同，信息的敏感和重要程度不同，可能面临威胁也存在一定的差异性，其中读取过程要结合信息的敏感和重要程度进行访问控制，降低越权、滥用等威胁的发生；录入关注信息自身的完整性和合法性，注意防止恶意代码和木马对系统造成的攻击；管理和审核涉及信息系统的关键性信息，所以基本属于系统中的敏感信息或关键流程管理，加强人员的安全管理；交互和数据交换要通过系统自身的安全防护机制，抵抗网络攻击和加强抗抵赖机制。

4、网络和物理安全需求

网络层面重点在于设计合理的网络架构，部署冗余的网络设备，形成可以建立不同安全策略的安全域，从而确保网站系统能够正常稳定运行。

物理安全主要涉及的方面包括环境安全（防火、防水、防雷击等）设备和介质的防盗窃防破坏等方面。具体包括：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面的需求，应确保机房的建设符合国家相关要求。

5、IT资产安全需求

IT资产重点关注资产本身的漏洞风险，同时根据资产类型的不同，可以区分成硬件资产、软件资产，其中硬件资产可能面临的关键威胁是软硬件故障、物理攻击等；软件资产可能面临的威胁包括篡改、泄密、网络攻击、恶意代码和抗抵赖。

6、综合安全需求

通过对各个方面综合的安全风险和需求分析，网站系统相关的业务、软件、数据、网络和相关IT资产，由于其应用类型、环境等因素导致主要威胁分布在网络攻击、篡改、物理攻击、恶意代码、越权、滥用和抗抵赖等几个方面，由于其威胁发生的可能性较高，威胁利用后影响较大，导致其安全风险较高，因此应形成对抗这些威胁的必要的安全措施，加强对系统自身的安全性。同时结合信息安全等级保护基本要求的相关技术和管理控制点，进一步完善物理安全、网络安全、主机安全、应用安全和数据安全的相关控制措施，并要能够落实组织、制度、人员、建设和运维相关的管理要求。

网站系统安全方案设计

根据对网站系统安全需求的分析，对于网站系统的安全防护主要从以下两个方面进行设计，一方面是系统的安全保护对象，合理分析系统的安全计算环境、区域边界和通信网络，形成清晰的保护框架；另一方面还是要建立综合的安全保障体系框架，形成对网站系统综合的控制措施架构，同时加强网站系统可能面临威胁的各项防护机制。

1、安全保护对象

根据网站系统的IT资产和业务功能，网站系统的安全保护对象和防护等级如下表所示：

安全计算环境：重点落实等级保护基本要求的主机、应用、数据部分的安全控制项，结合安全设计技术要求中的主要防护内容包括用户身份鉴别、主机和应用访问控制、系统安全审计、用户数据完整性保护、用户数据保密性保护、主机入侵、防病毒等措施； 安全区域边界：重点落实等级保护基本要求的网络部分的安全控制项，结合安全设计技术要求中的主要防护内容包括边界访问控制、网络安全审计和完整性保护等；

安全通信网络：重点落实等级保护基本要求的网络和数据部分的安全控制项，结合安全设计技术要求中的主要防护内容包括通信网络安全审计、通信网络数据传输保密性保护、数据传输完整性保护和可信接入保护。

2、安全保障框架

结合等级保护基本要求的整体框架以及安全需求分析的成果，设计安全保障框架如下：

图1：安全保护体系框架

结合网站系同自身的安全需求，应加强对于网站系统的安全风险评估，同时建立配套的安全管理体系和安全技术体系，其中安全管理体系包括安全策略、安全组织和安全运作的相关控制管理；安全技术体系结合等级保护的物理、网络、主机、应用和数据安全，进一步加强系统的软件架构安全、业务流程安全和信息访问安全的控制，确保系统自身的防病毒、防篡改、方攻击能力的提升。

结合网站系统的具体实施，具体的措施部署和网络示意图如下所示：

图2：部署和网络示意图

篇2：人民医院信息系统网络安全等级保护整改报告

医院信息系统是医疗服务的重要支撑体系。为贯彻落实国家信息安全等级保护制度，确保我院信息系统安全可靠运行，根据《湖北省卫生厅湖北省公安厅关于开展全省卫生行业信息安全等级保护工作通知》（鄂卫发〔2012〕14号）精神，并结合我院信息系统应用的特点，就相关事项通知如下。

一、组织领导 组长： 副组长： 组员：

领导小组办公室设在XX科，由XX同志兼任主任，ＸＸＸ等同志负责具体工作。

二、工作任务

1、做好系统定级工作。定级系统包括基础支撑系统，面向患者服务信息系统，内部行政管理信息系统、网络直报系统及门户网站，定级方法由市卫生局统一与市公安局等信息安全相关部门协商。

2、做好系统备案工作。按照市卫生系统信息安全等级保护划分定级要求，对信息系统进行定级后，将本单位《信息系统安全等级保护备案表》《信息系统定级报告》和备案电子数据报卫生局，由卫生局报属地公安机关办理备案手续。

3、做好系统等级测评工作。完成定级备案后，选择市卫生局推荐的等级测评机构，对已确定安全保护等级信息系统，按照国家信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等国家标准开展等级测评，信息系统测评后，及时将测评机构出具的《信息系统等级测评报告》向属地公安机关报备。

4、完善等级保护体系建设做好整改工作。按照测评报告评测结果，对照《信息系统安全等级保护基本要求》等有关标准，组织开展等级保护安全建设整改工作，具体要求如下： 安全类别

控制项

主要安全措施

二级保护措施

三级保护措施

物理安全

物理访问控制

机房安排专人负责，来访人员须审批和陪同

√

√

重要区域配置门禁系统

√

防盗窃和防破坏

暴露在公共场所的网络设备须具备安全保护措施

√

√

主机房安装监控报警系统

√

防雷击

机房计算机系统接地符合GB 50057－1994《建筑物防雷设计规范》中的计算机机房防雷要求

√

√

机房电源、网络信号线、重要设备安装有资质的防雷装置

√

防火

机房设置灭火设备和火灾自动报警系统

√

√

机房配置自动灭火装置

√

电力供应

机房及关键设备应配置UPS备用电力供应

√

√

医院重要科室应采用双回路电源供电

√

√

环境监控

机房设置温、湿度自动调节设施

√

√

机房设置防水检测和报警设施

√

对机房关键设备和磁介质实施电磁屏蔽

√

网络安全

结构安全

网络应按职能和重要程度不同划分网段

√

√

重要网段之间应采用防火墙进行隔离

√

访问控制

网络边界部署防火墙或网闸

√

√

安全审计

网络日志审计、网络运维管理安全审计

√

√

边界完整性检查

采用准入控制系统，实现准入控制、非法外联检查

√

√

采用准入控制系统，实现准入控制及非法外联可阻断

√

入侵防范

入侵检测系统/入侵防御系统

√

√

恶意代码防范

防病毒网关

√

主机安全

入侵防范

采用服务器安全加固

√

√

安全审计

采用终端管理系统实现安全审计

√

√

恶意代码防范

防病毒软件

√

√

应用安全

身份鉴别

采用电子认证措施

√

√

安全审计

数据库安全审计系统

√

√

数据安全与备份恢复

备份和恢复

本地数据备份与恢复

√

√

硬件冗余

关键网络设备、线路和服务器硬件冗余 √

√

异地备份

异地数据备份

√

三、工作要求

1、切实加强组织领导。拟定实施医院信息系统安全等级保护的具体方案，并制定相应的岗位责任制，召开专题会议，确保信息安全等级保护工作顺利实施。

2、建立健全信息系统安全管理制度。根据信息安全等级保护的要求，制定各项信息系统安全管理制度，对安全管理人员或操作人员执行的重要管理操作建立操作规程和执行记录文档。

篇3：人民医院信息系统网络安全等级保护整改报告

信息安全等级保护制度不仅是我国信息安全保障工作的一项基本制度,更是一项事关国家安全及社会稳定的政治任务。2011年12月,卫生部发布《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函[2011]1126号),要求卫生行业“全面开展信息安全等级保护工作”,同时发布《卫生行业信息安全等级保护工作的指导意见》(卫办发[2011]85号),结合卫生行业实际,为规范和指导全国卫生行业信息安全等级保护工作,提供了指导意见。卫生行业实施信息安全等级保护制度工作全面开启。

医院信息系统(HIS)是卫生行业信息系统的重要组成部分。医院医疗工作的正常进行和病人个人隐私信息都与医院信息系统的安全紧密相关,一旦网络瘫痪或数据丢失,将会给医院和病人带来巨大的灾难和难以弥补的损失[1]。医院信息系统必须按照要求,全面实施信息安全等级保护制度,以确保医院信息系统的安全、稳定运行,维护医院和广大患者的切身利益。

1 信息安全等级保护概述

1994年,国务院发布了《中华人民共和国计算机信息系统安全保护条例》(国务院147号令),规定“计算机信息系统实行安全等级保护”。2004年9月,公安部等四部委联合发布《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),明确了信息安全等级保护制度的原则、内容、工作要求、部门分工和实施计划等。2007年6月,《信息安全等级保护管理办法》(公通字[2007]43号)正式出台,为开展信息安全等级保护工作提供了规范保障。

随后,国家相继出台了《计算机信息系统安全保护等级划分准则》、《信息系统安全保护等级定级指南》、《信息系统安全保护等级基本要求》、《信息系统安全等级保护测评要求》等多个国家标准,初步形成了信息安全等级保护标准体系,进一步推进了等级保护工作的开展。

2 医院信息系统概述

按照当前大部分医院的信息系统使用情况,当前的医院信息系统大致可分为以下三类:

(1) 临床服务系统

临床服务系统主要包括门急诊挂号系统、门诊医生工作站、住院病人入出转系统、住院医生工作站、 住院护士工作站、 电子化病历系统、临床检验系统、医学影像系统、手术麻醉管理系统、临床路径管理系统、重症监护系统、体检管理系统等。

(2) 医疗管理系统

医疗管理系统主要包括门急诊收费系统、住院收费系统、护理管理系统、医务管理系统、院感/传染病管理系统、科研教学管理系统、病案管理系统、医疗保险/新农合接口、职业病管理系统接口、食源性疾病上报系统接口等。

(3) 运营管理系统

运营管理系统主要包括人力资源管理系统、财务管理系统、药品管理系统、设备材料管理系统、物资供应管理系统、预算管理系统等。

3 医院信息系统安全等级保护的实施

信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。以国家相关标准为依据,医院信息系统安全等级保护实施过程中要重点遵循以下4个基本原则:

(1) 重点保护原则。根据信息系统的重要程度、业务特点,通过划分不同安全保护等级,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。

(2) 全面防护原则。技术措施与安全产品必要且重要,但管理更重要,信息安全三分在于技术,七分在于管理。在系统安全防护措施设计中,应从技术措施与管理措施两方面全面设计,双管齐下。

(3) 分域防护原则。在对单一系统进行安全防护设计时,应充分考虑其在整个信息系统中的位置,为系统划分单独的安全域或者和其他系统共同划分到一个安全域中[2]。

(4) 动态调整原则。要跟踪信息系统的变化情况,调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应根据信息系统安全保护等级的调整情况,重新实施安全保护[3]。

3.1 定级与备案

信息系统的准确定级十分关键,如果信息系统的定级不科学,那么依据定级结果建设的信息安全体系将事与愿违,甚至可能面临严重安全隐患。信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。信息系统安全保护等级从低到高依次划分为自主保护级、指导保护级、监督保护级、强制保护级、专控保护级5个安全等级。确定信息系统安全保护等级的一般流程如图1所示。

对于医院信息系统的定级,卫生部《卫生行业信息安全等级保护工作的指导意见》(卫办发[2011]85号)中指出“三级甲等医院的核心业务信息系统”的“安全保护等级原则上不低于第三级”。

那么该如何来定义三级甲等医院的“核心业务信息系统”呢?笔者认为,应结合医院业务及信息系统实际情况,从以下指标综合考虑,确定医院核心业务系统:医院平均日门诊量;医院住院床位数;业务系统承载病患个人隐私信息,一旦泄露对社会秩序构成重大影响的;业务中断使医院正常运营蒙受重大经济损失的;其他会对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成重大影响的系统。

例如三级甲等医院的门急诊系统,一旦系统中断将会造成医院业务的中断,使医院蒙受重大经济损失,更重要的是,将会造成大量患者滞留,甚至延误最佳治疗时机,给患者带来重大安全隐患。因此,此系统的安全保护等级原则上应不低于三级。

又如三级甲等医院的电子病历系统,系统承载着大量病人的个人隐私信息,一旦泄露将会对患者本人及社会秩序带来重大影响,因此,其安全保护等级原则上也应不低于三级。

根据规定,医院在确定信息系统安全保护等级后,对定级为二级以上(含二级)的信息系统,应当报管辖范围内公安机关备案。

3.2 安全建设整改

3.2.1 风险评估与差距分析

风险评估是实施等级保护的首要工作,信息系统风险评估的结果将直接决定信息系统安全保护措施的选择。

在实施等级保护时,可综合考虑信息系统的复杂性及成本要求等因素,采取较为灵活的风险评估方式。信息安全风险评估的典型过程主要分为风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认和风险分析六个阶段。通过资产评估、漏洞扫描、审计、网络架构分析、数据流分析等方式,全面分析信息系统的资产现状、主机、数据库、安全设备、网络的弱点、威胁和风险,形成《风险评估报告》。

按照等级保护相应级别的技术和管理安全要求,对信息系统进行安全体系等方面的差距分析,完成《等级保护差距分析报告》。

3.2.2 建设整改方案设计

根据风险评估及差距分析情况,结合医院信息系统安全实际需求和建设目标,通过分级、分域保护的方法,制定完整的安全整改建设方案,在保障核心信息系统业务连续性、医疗病患信息的保密等方面进行重点防护。三级以上(含三级)信息系统的安全整改建设方案,应经过信息安全技术专家委员会论证、评审。

(1) 安全域划分

对大型信息系统进行等级保护,不是对整个系统进行同一等级的保护,而是针对系统内部的不同业务区域进行不同等级的保护。

安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或系统[2]。划分安全域可通过将复杂安全防护问题进行分解的方法来实现不同安全需求系统的差异防护,并能有效防止安全问题扩散。

需要注意的是,安全域的划分不能单纯从安全角度考虑,而是应该以业务角度为主,辅以安全角度,并充分参照现有网络结构和管理现状,才能以较小的代价完成安全域划分和网络梳理,而又能保障其安全性。

(2) 边界安全防护

网络划分安全区域后,在不同信任级别的安全区域之间就形成了网络边界。实施边界安全防护措施,既可以使边界内部免遭外部攻击,也可以遏制内部不法人员跨越边界而向外部实施攻击。一方面,在安全事件发生前,通过收集并分析安全日志以及各种入侵检测事件,能够及早发现攻击企图;另一方面,在安全事件发生后,又可以通过所记录的入侵事件来进行审计追踪。

(3) 备份与恢复

备份与恢复主要包含两方面内容,首先是指数据备份与恢复,另外一方面是关键网络设备、线路以及服务器等硬件设备的冗余。

数据是最重要的系统资源。数据丢失将会使系统无法连续正常工作。数据备份系统应该遵循稳定性、全面性、自动化、高性能、操作简单、实时性等原则。对于核心交换设备、外部接入链路以及系统服务器进行双机、双线的冗余设计,保障从网络结构、硬件配置上满足系统不间断运行的需要[3]。

(4) 身份鉴别

对于三级信息系统应当按照国家法律法规、信息安全等级保护制度等要求,采用电子认证服务,并应当遵循《卫生系统数字证书应用集成规范》进行建设,根据实际需求实现基于数字证书的身份认证、数字签名和验证、数据加密和解密、时间戳应用等各项安全功能。医院应当加强证书管理,应指定专人负责数字证书的管理工作,证书持有人应妥善保管数字证书介质,并对数字证书的行为负责。

在安全方案实施过程中,需根据实际情况适当调整安全措施。

3.3 安全等级测评

等级测评是测评机构依据国家信息安全等级保护制度规定,受有关单位委托,根据《信息安全等级保护测评要求》等标准,从安全技术与安全管理两大项10个方面,对信息系统安全等级保护状况进行全面测试与综合评估的活动。等级测评的实施过程如图2所示。

对于三级信息系统,每年要至少进行一次信息安全等级测评。为提升通过率,可首先选择专业安全公司(如具有国家级、部委级、省市级、区县级多层次的等级保护工作案例的专业安全公司)进行辅助测评,但正式测评必须选择具有等级保护测评资质的合法测评机构进行测评,并出具《测评报告》。

4 安全运维阶段

我们必须认识到的是,实施信息安全等级保护不是一个项目,而应该是一个不断循环的过程。医院应该按照PDCA持续改进的工作机制,在安全预警、安全监控、安全加固、安全审计、应急响应等方面进行持续化保障,更好地确保系统稳定、安全的运行。力求通过整个安全工作的实施,来保证医院信息系统等级保护的建设能够持续的运行,能够使整个系统随着环境的变化达到持续的安全。

5 结 语

医院信息系统承担着医院内各项业务,其安全状况对于人民的身体健康及生命安全、社会秩序及稳定均具有重要意义。本文通过对信息安全等级保护制度的阐述及分析,初步探讨了医院信息系统中信息安全等级保护的实施策略。通过对医院信息系统进行安全等级划分,并按照安全等级保护的要求进行规划、建设、运维、管理和监督,可以有效增强医院信息系统的整体安全性。因此开展安全等级保护建设对医院信息系统具有重要意义。

参考文献

[1]康巨瀛,张文丽.医院信息系统安全的重要性[J].中华现代医院管理杂志,2010,8(1).

[2]蒋明,吴斌.电力营销系统信息安全等级保护的研究与实践[J].电力信息化,2009,7(3).

篇4：信息系统安全等级保护研究与实践

安全防护需求

《信息安全技术一信息系统安全等级保护基本要求》(GB／T22239-2008)明确了基本要求，电网作为重点行业信息安全领域，充分结合自身安全的特殊要求，在对国家标准消化基础上进行深化、扩充，将二级系统技术要求项由79个扩充至134个，三级系统技术要求项由136个扩充至184个，形成了企业信息系统安全等级保护要求，见表1。

安全防护架构与策略

按照纵深防御的思想设计安全防护总体架构，核心内容是“分区、分级、分域”，如图1所示。分区就是按照《电力二次系统安全防护规定》(电监会5号令)将信息系统划分为生产控制大区和管理信息大区两个相对独立区域进行安全防护。分级就是将部署于大区的各系统分别确定安全保护级别实现等级化防护。分域就是将部署于大区的各系统，依据系统级别及业务系统类型划分不同的安全域，实现不同安全域的独立化、差异化防护。总体上形成了“区、级、域”多梯次大纵深的安全防护构架。

生产控制大区和管理信息大区的系统特性不同，安全防护策略也不尽不同。本文仅描述管理信息大区的安全防护策略。管理信息大区部署管理类业务的系统，安全防护遵循以下策略：

(1)双网双机。将管理信息大区网络划分为信息内网和信息外网，内外网间采用逻辑强隔离装置进行隔离，内外网分别采用独立的服务器及桌面主机；

(2)分区分域。将管理信息大区的系统，依据定级情况及业务系统类型，进行安全域划分，以实现不同安全域的独立化、差异化防护；

(3)等级防护。管理信息系统以实现等级保护为基本出发点进行安全防护体系建设，并参照国家等级保护基本要求进行安全防护措施设计；

(4)多层防御。在分域防护的基础上，将各安全域的信息系统划分为边界、网络、主机、应用四个层次进行安全防护设计，以实现层层递进，纵深防御。

安全防护设计

信息系统安全防护按照边界安全防护、网络环境安全防护、主机系统安全防护、应用安全防护四个层次进行防护措施设计。

(一)边界安全防护

边界安全防护目标是使边界的内部不受来自外部的攻击，同时也用于防止恶意的内部人员跨越边界对外实施攻击，或外部人员通过开放接口、隐通道进入内部网络；在发生安全事件前期能够通过对安全日志及入侵检测时间的分析发现攻击企图，安全事件发生后可以提供入侵事件记录以进行审计追踪。

边界安全防护关注对进出该边界的数据流进行有效的检测和控制，有效的检测机制包括基于网络的入侵检测(IDs)、对流经边界的信息进行内容过滤，有效的控制措施包括网络访问控制、入侵防护、虚拟专用网(VPN)以及对于远程用户的标识与认证／访问权限控制。上述边界安全防护机制与其它层面安全措施可协同使用以提供对系统的防护。

信息系统边界归为信息外网第三方边界、信息内网第三方边界、信息内外网边界、信息内网纵向上下级单位边界及横向域间边界五类，安全防护设计见表2

(二)网络安全防护

网络环境安全防护的目标是防范恶意人员通过网络对应用系统进行攻击，同时阻止恶意人员对网络设备发动的攻击，在安全事件发生前可以通过集中的日志审计、入侵检测事件分析等手段发现攻击意图，在安全事件发生后可以通过集中的事件审计系统及入侵检测系统进行事件跟踪、事件源定位以发现恶意人员位置或及时制定相应的安全策略防止事件再次发生。

网络安全防护面向企业整体支撑性网络，以及为各安全域提供网络支撑平台的网络环境设施，网络环境具体包括网络中提供连接的路由器、交换设备及安全防护体系建设所引入的安全设备。安全防护设计见表3。

(三)主机安全防护

主机系统安全的目标是确保业务数据在进入、离开或驻留服务器时保持可用性、完整性和保密性，采用相应的身份认证、访问控制等手段阻止未授权访问，采用主机防火墙、入侵检测等技术确保主机系统的安全，进行事件日志审核以发现入侵企图，在安全事件发生后通过对事件日志的分析进行审计追踪，确认事件对主机的影响以进行后续处理。

主机系统安全防护包括对服务器及桌面终端的安全防护。服务器包括业务应用服务器、网络服务器、WEB服务器、文件与通信等；桌面终端是作为终端用户工作站的台式机与笔记本计算机。安全防护设计见表4。

(四)应用防护

应用安全防护的目标是保证应用系统自身的安全性，以及与其他系统进行数据交互时所传输数据的安全性；在安全事件发生前发现入侵企图或在安全事件发生后进行审计追踪。

应用安全防护包括对于应用系统本身的防护、用户接口安全防护和对于系统间数据接口的安全防护。安全防护设计见表5。

安全防护实施

信息系统安全等级保护实施涉及到系统定级、现状测评、安全建设改造方案编写及实施、等保符合度测评、备案等工作。依据《信息安全技术一信息系统安全等级保护定级指南》(GB／T22240-2008)开展定级工作，定级结果报政府主管部门审批确认。现状测评委托专业机构进行，测评结果作为安全建设方案编写的主要依据。安全域是安全防护总体架构的关键环节，是方案制定的关键内容之一。

管理信息大区划分为内网和外网，内网部署为公司内部员工服务的系统，外网部署对外服务的系统。安全域是由一组具有相同安全保障要求、并相互信任的系统组成的逻辑区域，同一安全域的系统共享相同的安全保障策略。按照等级保护的思想，安全域按照“二级系统统一成域，三级系统独立分域”原则划分。将等级保护较高的三级系统按独立的安全域进行安全防护，以实现三级系统的独立安全防护，将所有二级系统作为一个安全域进行安全防护可降低成本。定级和安全域划分见表6。

限于篇幅，系统建设改造方案细节、等保符合度测评等内容不在此赘述。

篇5：人民医院信息系统网络安全等级保护整改报告

为进一步做好某单位信息安全等级保护工作工作，提高全辖人民银行系统信息安全保障能力和水平，根据《人民银行长沙中心支行2012年信息安全等级保护工作方案》精神，结合我行实际，组织开展了信息安全等级保护自查工作。通过自查，进一步明确了我行信息安全等级保护工作职责，规范了信息安全等级保护工作标准，完善了信息安全等级保护工作制度，提升了信息安全等级保护工作水平。现将自查情况报告如下：

一、等级保护工作部署和组织实施情况

某单位在上级行的统一领导和部署下，按照《信息安全等级保护管理办法》和《人民银行信息系统信息安全等级保护实施指引（试行）》的要求，组织开展辖内人民银行系统信息安全等级保护工作。一是成立了某单位信息安全等级保护工作领导小组，由主管科技的副行长任组长，各科室主要负责人为成员，全面负责全辖人民银行系统信息安全等级保护工作，领导小组下设办公室，安排专人负责计算机信息系统安全管理，明确了各自的职责。二是建立健全了各项信息安全管理制度，做到了有章可循。三是加强相关工作人员的培训学习，增强信息系统安全工作的自觉性，提高信息系统安全工作管理水平。

二、信息系统安全保护等级备案情况

我行根据《人民银行长沙中心支行2012年信息安全等级保护工作方案》精神，将《郴州中支业务网网络系统》和《郴州中支财库行横向联网系统》信息安全保护等级定为第二级，其他系统定为第一级，并将定为第二级的系统向市公安局网监支队报备。

三、下一步工作计划

目前，某单位信息安全等级保护工作正在不断完善中，今后还需要在以下几个方面不断加强：一是进一步加强信息安全管理力度，督促各支行、各科室加强信息安全等级保护工作；二是加强网络信息安全队伍建设，提高网络管理人员和维护人员的技术水平和安全管理意识；三是进一步完善信息安全管理制度，开展信息系统安全评估和自测评；四是规范和完善安全事件处理流程。

人民银行郴州市中心支行 科技科

篇6：人民医院信息系统网络安全等级保护整改报告

1、建设背景

随着医院信息化建设的不断的发展，医院各项工作的开展都不同程度的采用了网络信息系统，信息系统在三甲医院中的角色也越来越重要，现代医院的发展建设已经和信息化建设结合为一体；当医院信息系统安全受到攻击或破坏从而导致医院不能正常开展各项医疗工作时，就很容易引发社会性的群体事故，如泄露患者个人隐私信息（重大疾病）、挂号系统中断引发患者情绪不满在医院闹事，因此如何保证医院信息系统安全也成为医院信息化建设需重视的问题。

为了进一步做好医院信息安全保护工作，卫生部针对我国现阶段各医疗行业的现状，下发了《卫生行业信息安全等级保护工作的指导意见》的通知{2011}85号，在该通知中明确了信息安全等级保护与医疗行业信息安全保护的联系，根据该文件的指导精神，三甲医院的核心业务系统应按照信息安全等级保护第三级进行建设和保护。

2、建设过程

医院信息安全等级保护工作建设主要分为以下几个过程： 2.1医院信息系统定级评审

根据信息安全等级保护的相关规定，当信息系统遭到攻击或破坏时引发的后果可分为对国家安全、社会秩序及公共利益、公民及个人的合法利益的受损害程序来进行等级划分。对比此规定，按照卫生行业信息安全等级保护工作的相关要求，三甲医院应按照信息安全等级保护三级标准来对医院核心业务进行定级，并组织各方相关信息安全专家完成医院信息系统的定级工作。

2.2医院信息系统备案

在对医院信息系统进行定级评审后，医院需将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》及相关文档上交给当地卫生主管部门，有卫生部门报市级以上公安机关进行备案登记，等拿到备案回单后完成信息系统的定级工作。

2.3医院信息系统等级保护测评

在完成信息系统定级及备案工作后，需选择当地公安部门授权的具有信息安全等级保护测评资质的专业测评机构对医院信息系统进行整体测评。其测评目的在于对医院信息系统的安全防护能力做出客观评价，通过对物理安全、网络安全、应用安全、数据安全、主机安全、安全管理几个方面的安全检查，以国家信息安全等级保护基本要求作为安全基线，进行客观的符合性判定，进一步衡量当前系统的安全防护能力，以及系统所面临的威胁和风险所在。为安全整改和将来的安全建设提供有力依据。

2.3.1测评指标与方法

医院核心业务系统属于等级保护三级系统，安全测评指标应包括《信息系统安全等级保护基本要求》7.1节“技术要求”中的三级通用指标类（G3），三级业务信息安全性指标类（S3）和三级业务服务保证类（A3）。

测评现场工作将采用访谈、检查和测试等三类方法。访谈是测评人员通过与信息系统有关人员进行交流、讨论等活动以获取证据的一种方法。检查是测评人员通过对测评对象进行观察、查验、分析等活动以获取证据的一种方法。测试是指测评人员对测评对象按照预定的方法/工具使其产生特定的响应等活动，然后通过查看、分析响应输出结果来获取证据的一种方法。

访谈使用到的工具主要是访谈列表。测评人员针对访谈列表上的问题，逐项与信息系统有关人员进行交流、讨论，根据被访谈人员的回答了解和确认信息系统的安全保护情况。检查使用到的工具主要是核查列表。测评人员针对核查列表上的问题，通过观察、查验、分析等活动，逐项核实。根据检查对象的不同，检查可以进一步分为文档审查、现场观测和配置核查等方式。依据工具和实施过程的不同，测试可以进一步细分为信息获取、漏洞扫描、渗透测试、密码分析等方式。信息获取是指获取存活主机/设备的名称、IP 地址、操作系统、开放的服务端口以及特定的数据包等信息内容；漏洞扫描是指利用漏洞扫描设备对目标设备进行自动探测，发现这些主机/设备上各个对网络开放端口上存在的错误配置和已知安全漏洞；渗透测试是模拟黑客可能使用的攻击技术，试图侵入信息系统或取得信息系统上的更多资源，以直观地测评信息系统的安全状况。从不同接入点对信息系统进行漏洞扫描和渗透测试，可以反映出信息系统在不同角度、不同视野下的安全状况。

2.3.2单元测评

把测评指标和测评方式结合到信息系统的具体测评对象上，就构成了可以具 体测评的工作单元。测评机构将分别对物理安全、网络安全、主机系统安全、应用安全、数据安全及备份恢复、安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等方面进行单元测评。

2.3.3整体测评 信息系统的安全控制集成到信息系统后，会在层面内、层面间和区域间产生 连接、交互、依赖、协同等相互关联关系，使信息系统的整体安全功能与信息系 统的结构密切相关，在整体上呈现出一种集成特性。这些集成特性在安全控制的 工作单元中是没有完全体现。因此，在安全控制测评的基础上，有必要对集成系 统和运行环境进行整体测评。安全控制间的安全测评主要考虑同一层面上的不同安全控制间存在的功能增强、补充或削弱等关联作用。例如，主机层面的身份鉴别与访问控制之间关系密切，应关注他们之间的关联互补作用。层面间的安全测评主要考虑同一区域内的不同层面之间存在的功能增强、补充和削弱等关联作用。例如，网络层面、主机系统层面与安全管理的系统运维管理之间关系密切，应关注他们之间的关联互补作用。区域间的安全测评主要考虑互连互通（包括物理上和逻辑上的互连互通等）的不同区域之间存在的安全功能增强、补充和削弱等关联作用，特别是有数据交换的两个不同区域。系统结构安全测评主要考虑信息系统整体结构的安全性和整体安全防范的合理性。整体结构的安全性测评应从信息系统的物理布局、网络拓扑、业务逻辑（业务数据流）、系统实现和集成方式等入手，结合不同位置上可能面临的威胁、可能暴露的脆弱性等，综合判定信息系统的整体布局是否合理、整体是否安全有效等。在检查信息系统安全保护措施的具体实现方式和部署情况后，结合其业务数据流分析不同区域和不同边界与安全保护措施的关系、重要业务和关键信息与安全保护措施的关系等，参照纵深防御的要求，识别信息系统的安全防范是否突出重点、层层深入，综合判定信息系统的整体安全防范是否恰当合理。

2.4测评结果报备及整改

测评机构在完成对医院信息系统测评工作后，会出具《信息系统等级测评报告》，医院需将测评报告提交给当地公安机关进行备案，按照测评报告评测结果，对照《信息系统安全等级保护基本要求》等有关标准，结合医院工作实际，组织开展等级保护安全建设整改工作，将整改工作具体落实到个人并在预期内完成整改工作。

2.5制定医院信息安全等级保护管理体系

医院将参照信息安全等级保护管理要求，结合医院的自身实际情况，从信息安全管理机构、信息安全管理制度、信息人员安全、系统建设管理和系统运维管理等方面来构建信息安全等级保护管理体系。

总的来说，信息安全等级保护建设系统要从实际需求出发，定期检验建设的合规性、合理性。合规性是指在政策要求指导下构建医院完整的信息安全体系。要落实国家等级保护标准；响应卫生部推进等级保护建设工作的指导精神；通过国家等级保护测评；为医疗行业信息安全体系建设以及等级保护建设方面起到试点示范效应。实际需求是指结合医院自身业务发展需要进行系统化建设，切实提高自身信息安全防护水平。实现主动防御外部入侵威胁，防范内部不规范操作带来危害影响；降低日常信息化管理工作难度，提高对复杂、异构信息系统的运管效率，做到“有法可依，有技可行”；对已建、新建和拟建的信息系统进行合理规划，规范建设。

参考文献：

1)《信息安全等级保护管理办法》（公通字[2007]43号）

2)《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239-2008）

3)《信息安全技术 信息系统安全等级保护测评要求》

篇7：信息系统安全等级保护备案表

信息系统安全等级保护备案表
单位名称 信息系统名称 信息系统类别 系统域名 系统 IP 地址 系统服务 情 况 系统网络平台 服务器情况 存储设备 情 况 服务范围 服务对象 覆盖范围 网络性质 是否有服务器 服务器位置 服务器操作系统 是否有专用存储 存储设备位置 □MySQL □windows □linux □是 □否 品牌及容量 □Access □SQLServer 年 □Oracle □其它_______ 月 日 □全国 □全（市、区）□全校 □全校师生员工 □三者均包括 □广域网 □互联网 □否 是否在学校机房寄存 □unix □是 □否 □Solaris □其它_______ □本单位 □其它__________ □其它__________ □单位内部人员 □社会公众人员 □局域网 □业务专网 □是 □校园网 □业务管理系统 □网站 □其他

□其它___________

系统数据库情况 系统何时投入运行使用 系统主要承建单位 系统目前维护单位 系统责任人 姓 管理员情况 办公电话 系统是否是分系统 上级系统名称 信息系统安全保护等级 系统密级（涉及保密的信息系统 需要填写本项）系统分级保护实施情况 填表人： 名

联系方式 E-mail 手 □是 机

□否（如选择是请填下两项）所属单位

□第一级 □秘密 □ 已经实施

□第二级 □机密

□第三级 □绝密

□第四级

□第五级

□正在实施 填表日期：

□计划________年实施 年 月 日

填报单位：（盖章）

篇8：人民医院信息系统网络安全等级保护整改报告

信息安全等级保护是国家信息安全保障的一项基本性、制度性工作, 也是公司确保信息系统安全稳定运行和内网安全的一件大事。2008年, 为贯彻公安部、国家保密局、国家密码管理局、电监会等国家有关部门信息安全等级保护工作要求, 国家电网公司完成了各业务系统等级保护定级工作。2009年, 依照《信息安全技术信息系统安全等级保护基本要求》 (GB/T 22239-2008) , 网省级电力公司对三级系统进行整改。

三级系统是供电企业最关键的信息系统。如果这些系统遭到破坏造成数据丢失、信息泄露、无法正常运行等问题, 将会对企业的生产管理和经济效益造成不可估量的损失。

1 三级系统简介

根据三级系统的基本要求、三级系统承载业务情况, 综合平衡安全需求以及安全成本等因素, 需要设计合理的、满足等级保护要求的方案, 以指导后续的信息系统安全建设工程实施。对于已投运的三级系统, 采用需求分析和风险评估的方法, 首先判断信息系统的安全保护现状与等级保护要求之间的差距, 依据差距分析结果, 设计系统的整改方案, 使其能够指导该系统后期具体的整改工作, 使系统逐步具备三级系统的保护能力。

三级信息系统等级保护分为技术、管理两大措施, 每一大类包含5个层面, 每个层面又包括若干控制点, 每个控制点囊括数个具体要求。我们需要逐条进行不同程度的整改, 建立起安全技术体系和安全管理体系, 确保满足三级系统的基本安全要求, 最终使业务系统具备三级系统安全保护能力 (见图1) 。

2 技术措施

2.1 物理安全

物理安全就是保护信息系统的软硬件设备免遭自然灾害和人为破坏的技术和手段。在安全技术体系中, 物理安全是基础。如果物理安全得不到保证, 那么其他的一切安全措施都只是空中楼阁。物理安全一般分为3类:环境安全、设备安全和介质安全。

环境安全就是物理环境的选择要防雷击、防火、防水 (潮) 、防静电、控制温湿度。部分电力公司机房是由老式办公室改造, 不可避免有水管处于屋顶的情况。这种情况建议进行管道改造, 对于穿过墙壁和楼板的水管采取设置管套等方式进行处理。另外, 很多公司机房配置柜式机房空调, 不具有调节湿度的能力, 所以配置精密空调才是最好的选择。

设备安全主要包括计算机设备的防盗、防毁、抗电磁干扰及电源保护等。等级保护测评过程发现电力公司机房大多只配置了视频监控系统, 而三级信息系统要求利用光、电技术设置机房防盗报警系统, 所以应该配置红外报警系统, 以便于主动探测机房人员活动。

介质安全包括媒体本身的安全及媒体数据的安全。最好能细化介质的分类并以标示区分。根据重要性和机密性信息分为关键、重要、有用、不重要4类。对于关键信息、重要信息, 采取加密方法进行存储。最好将前2类介质存放在密码箱并由专人管理, 后2类用介质柜保存。

2.2 网络安全

网络是最根本的媒介, 是承载应用的基础。随着信息化建设的稳步推进和深化, 信息系统形成了大网络、大系统、大集中、高可靠性、高安全性的“三大二高”局面, 对网络的要求也越来越高。

网络安全主要关注的方面包括:网络结构、网络设备自身安全以及网络边界等。三级网络安全要求, 网络结构不仅要满足网络安全运行的基本保障, 同时还要考虑对网络处理能力增加“优先级”, 保证重要主机在网络拥堵时仍能够正常运行;对网络设备的防护主要关注鉴别信息;网络边界的访问控制不仅能够“防”, 还应能主动发出一些响应, 如报警、阻断等。

2.2.1 网络结构

根据三级结构安全的要求, 以业务等级为纲将网络进行区域划分, 以确定网络边界。在网络边界部署访问控制设备, 通常是部署防火墙等逻辑隔离装置, 实现内网与其他外部网络连接严格控制。

电力公司内网采用3层架构为佳。核心层采用2台核心交换机, 消除了单点故障的威胁。汇聚层采用多台3层交换机, 实现本地业务的区域汇接。接入层采用2层交换机, 通过802.1x方式进行接入认证。

有的公司省略了汇聚层, 采用服务器直联于核心交换机。这样, 无法满足业务系统日益增长的需求, 同样也会增加核心交换机的负载。最好是在汇聚层实现网络的访问策略控制, 核心层进行网络的路由配置。充分考虑业务服务的重要次序, 指定带宽分配优先级别。网络设备全面启用Qo S策略, 以保证在网络发生拥堵的时候优先保护重要业务。

2.2.2 网络设备

三级业务系统中, 网络设备常见的问题有:本地认证口令采用明文方式存储;口令长度和强度不够;采用默认的SNMP通信字符串等。公司通常已经部署了网络管理系统, 能够实现对网络设备和安全设备的运行情况、异常流量、用户行为等事件进行审计, 并生成审计报告, 定期对其进行分析找出异常事件的原因, 但是未实现实时越界报警功能。部署短信通系统实现将网络管理系统的E-mail内容转换短信, 将其发送到相关责任人的手机, 从而实现24 h实时报警。

2.2.3 网络边界

对于内网, 根据信息系统等级不同进行网络区域划分, 通常划分为信息系统域和终端计算机域。三级系统域最好部署独立的硬件防火墙, 且访问控制策略应限制到端口级。三级系统域通常与外部单位需要进行数据交互, 通常把要交换的数据推送到前置机, 外部单位从外部接入网络的前置机或中间件将数据取走。终端计算机域访问信息系统域应进行有效的控制, 且控制粒度到单用户。

为实现对局域网核心和三级系统域内的主要安全事件监测、防止服务器遭受应用层恶意攻击, 应遵循尽可能靠近攻击源和尽可能靠近受保护资源的原则, 在公司核心交换机和三级域汇聚交换机上部署入侵检测系统 (IDS) , 或者在核心交换机与防火墙之间部署入侵预防系统 (IPS) 。现场工作发现IPS和IDS的特征库更新不及时, 不利于及时识别最新的攻击程序或有害代码及其克隆和变种。

2.3 主机安全

主机系统安全是包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。主机系统是构成信息系统的主要部分, 其上承载着各种应用。因此, 主机系统安全是保护信息系统安全的中坚力量。

大多数电力公司已经在内网部署一套微软WSUS补丁分发系统, 专供服务器域的主机进行补丁升级;服务器统一安装网络版防病毒系统;信息中心相关工作人员进行主机加固工作。但是在实际工作中, 由于人员疏忽、服务器中毒等种种原因, 导致补丁升级和主机加固工作没有落实到位, 最好是能部署一台漏洞扫描设备, 定期对系统进行扫描, 及时处置服务器的风险, 全面提高主机的安全防护能力。

三级系统主机控制点着重提出了对服务器的监视和最小服务水平的监测和报警。电力公司大多部署了网络管理系统, 并将关键的服务器、数据库和中间件纳入监控范围, 但是同样存在无法实时越界报警的问题。

2.4 应用安全

通过网络、主机系统的安全防护, 最终应用安全成为业务系统整体防御的最后一道防线。在应用层面运行着基于网络系统的应用以及特定的业务应用。

三级应用系统身份鉴别方面, 要求采用口令、USB-Key、基于生物特征、数字证书及其他具有相应安全强度的2种或2种以上的组合鉴别机制。在实际评测中, 发现有些三级系统将IP地址作为第2种鉴别方式, 安全强度欠佳。在资金允许的条件下, 建议使用动态双因子身份认证系统进行登录鉴别。三级系统应实现业务系统管理员、安全员和审计员的三权分离, 并形成相互制约关系。在现有的三级系统中, 往往系统管理员的操作界面中包含安全员和审计员的功能, 建议三权分离, 有利于增强对应用系统的管理和事件的回溯。

2.5 数据安全以及备份

信息系统在运行中要处理大量数据, 一旦数据遭到破坏, 会影响甚至危害到系统的正常运行。

由于信息系统在网络、主机、应用等层面都对各类数据进行传输、存储和处理等, 因此, 需要结合物理环境、网络、操作系统和数据库、应用程序共同构建数据安全。现三级系统存在使用客户端程序方式登录系统, 建议用IPsec协议和密码算法对传输数据实现保密性和完整性保护。

数据备份是防止数据被破坏后无法恢复的重要手段, 硬件冗余是保证系统可用性的重要内容, 在三级信息系统中采用异地适时备份可有效地防治灾难发生时可能造成的系统危害。

3 管理措施

俗话说, “三分技术、七分管理”, 在信息安全中, 人是信息安全中最关键的因素, 同时也是信息安全中最薄弱的环节。管理方面, 最突出的问题是部分员工信息安全意识淡薄, 防范意识差。公司职能部门最好对关键岗位人员、重要部门的员工定期开展信息安全意识教育, 逐步形成群防群治的工作机制。

信息安全是一个动态的持续改进过程。部分安全主管还没有意识到这一点, 仍采取传统的静态管理办法, 出了问题才去想补救的办法, 头痛医头, 脚痛医脚。

改变这种状况, 首先要建立一个完善的安全管理机构, 明确机构成员的安全职责;其次, 制定相关制度, 包括信息安全总体方针, 信息安全策略, 各种安全管理活动的管理规范、日常操作规程、人员管理制度、系统建设管理制度和系统运维管理制度等。

最重要的是, 电网企业必须建立一整套从单位最高管理层到执行管理层再到业务运营层的管理体系, 从而约束和保证各项安全管理措施的执行, 同时加强内部相关业务部门和安全管理部门之间的沟通协调, 积极寻求与各类外部单位合作的机会、邀请专家定期开展安全检查。

4 结语

三级系统等级保护要求极为苛刻, 内容涵盖从物理安全、网络安全、系统安全、应用安全到安全管理、安全组织建设等多个方面。信息安全是一个综合的、动态的安全体系, 这就要求我们每年对三级系统进行一次等级保护符合性测评。等级保护建设不是一次性任务, 而是一个持续的动态过程, 是一项长期不懈的工作。

参考文献

[1] GB/T 22239-2008, 信息安全技术信息系 统安全等级保护基本要求[S].

篇9：人民医院信息系统网络安全等级保护整改报告

关键词 云安全模型 信息系统 保护测评

中图分类号：TP3 文献标识码：A

文中以云安全服务模型为研究依据，从云计算信息系统的安全特性入手，提出建立云安全服务模型及管理中心，介绍了云安全等级保护模型的建立情况。

1简述云计算信息系统安全特性

以传统的互联网信息系统相比较，云计算信息系统把全部数据的处理与存储都放在服务端，终端用户根据网络可以及时获取需要的信息和服务，没有必须在本地配置的情况下进行数据的处理和存储。根据网络中所设置的网络安全防护设施，可以在服务端设置统一的身份兼备与安全审计系统，确保多数系统出现的安全问题得到有效解决，但此时新的设计服务模式又会带来新的安全问题，例如：滥用云计算、不安全的服务接口、数据泄露、安全管理等多个方面的问题。

2建立云安全服务模型及管理中心

现实中的不同云产品，在部署模型、资源位置、服务模型等各个方面都展现出不一样的形态和模式，进而形成各不相同的安全风险特征及安全控制范围。所以，必须从安全控制的角度创建云计算的模型，对各个属性组合的云服务架构进行描述，从而确保云服务架构到安全架构的合理映射，为设备的安全控制和风险识别提供有效依据。建立的云安全服务模型如图1所示。

3云安全模型的信息安全等级测评办法

云安全信息安全保护测评的办法就是根据云安全服务模型与云安全中心模型，考察用户在云安全方面的不同需求，安全模型处在安全等级保护体系下的不同位置。安全模型一端连接着等级保护技术，另一端连接着等级保护管理的要求。根据云安全信息中心的建模情况，对云安全模型下的核心基础、支撑安全展开分析，获取企业在云安全领域的信息安全等级测评模型，依照模型开展下一步的测评工作。

3.1分析等级测评云安全模型下的控制项

根据上述分析情况，可以把云安全模型嵌套在云安全等级保护模式中，从而展开与云安全有关的信息安全等级评价，并对安全模型下的有关控制项展开分析。首先察看云认证及授权情况，对是否存在登陆认证、程序授权、敏感文件授权等进行测评。依照不同的访问控制模型，选择访问控制的目标是强制性访问、自主性访问、角色型访问，进而采取与之相对应的方法。为了确保网络访问资源可以有效的控制和分配，需要创建统一、可靠的执行办法和解决策略。自由具备统一、可靠地方式才可以保障安全策略达到自动执行的目的。测试网络数据的加密情况，要对标准的加密功能及服务类型，做到静态和动态的安全保护。探测数据的备份与恢复情况，就必须查看云备份是否安全、数据销毁情况、磁带是否加密及密码钥匙的管理，检查的重点是供应商的数据备份情况。查看对管理用户的身份是否可以控制管理，是否可以管理用户角色的访问内容。查看用户的安全服务及审计日志，其中包括网络设备的监控管理、主机的维护、告警管理与维护等。

3.2分析等级测评云安全模型的风险性

依照等级保护的有关要求，运用风险分析的办法，对信息系统展开分析时必须重视下面的内容。

（1）云身份认证、授权及访问控制

云安全对于选择用户身份的认证、授权和访问控制尤为重要，但它所发挥的实际效果必须依赖具体的实施情况。

（2）设置云安全边界

云安全内部的网络设备运用防火墙这系列的措施展开安全防护。但外部的云用户只能运用虚拟技术，该技术自身携带安全风险，所以必须对其设置高效的安全隔离。

（3）云安全储存及数据信息备份

一般情况下，云供应商采用数据备份的方式是最为安全的保护模式，即使供应商进行数据备份更加安全，仍然会发生数据丢失的情况。所以，如果有条件的，公司应该采用云技术共享的所有数据进行备份，或在保留数据发生彻底丢失事件时提出诉讼，从而获取有效的赔偿。云计算中一直存在因数据的交互放大而导致数据丢失或泄露的情况。如果出现安全时间，导致用户数据丢失，系统应该快速把发生的安全时间通报给用户，防止出现大的损失。

4结束语

综上所述，随着云计算技术的发展，云计算信息系统会成为日后信息化建设的重要组成部分。文中从云安全等级保护测试为研究依据，简述了云计算信息系统安全特性，对云安全服务模型及管理中心的建立情况进行分析，提出云安全模型的信息安全等级测评办法。

参考文献

[1] 赵继军，陈伟.一种基于云安全模型的信息系统安全等级保护测评方法[J].信息网络安全，2013，（z1）：43-45.

[2] 潘一飞.基于云安全模型的信息系统安全等级保护测评策略[J].中国新通信，2014，（3）：7-7.

篇10：人民医院信息系统网络安全等级保护整改报告

自检自查报告

XX县烟草专卖局（分公司）的信息网络安全建设在上级部门的关心指导下，近年取得了快速的进步和发展，实效性强，网络安全防控能力大大增强。为进一步贯彻落实行业网络与信息安全各项管理规定，严格规范信息安全等级保护，提高企业对信息网络安全的防控能力，保障企业信息网络安全，保证公司各项办公自动化工作的正常进行，促进企业效益的稳步提升，按照《XX县人民政府办公室关于开展信息网络信息安全等级保护安全检查工作的通知》要求，我司组织相关人员对系统内信息网络安全等级保护工作认真细致的自检自查，现将自查情况报告如下。

一、等级保护工作部署和组织实施情况

XX县烟草公司企业信息化建设在市局（公司）的统一领导下，按照“统一网络、统一平台、统一数据库”的要求，以打造“数字烟草”为战略目标，以“系统集成、资源整合、信息共享”为工作方针，取得了快速的发展，在积极推进企业信息化建设的过程中，更加重视网络信息的安全建设工作。从省公司到市公司、县公司，领导高度重视，统一规划，统一标准，同步实施。首先是逐级成立了领导小组和职能部门，XX分公司按照上级部门要求，2000年11月成立了信息化领导小组，下设信息办在公司办公室，并设置了计算机系统管理员岗位，明确了各自的职责。由于网络推广应用迅速，2005年重新更设了计算机网络信息中心，旨在强化对企业的网络建设和网络安全管理。在历次的机构设置中，都明确了分公司主要领导分管信息工作，把网络信息安全的建设与管理摆到了企业各项工作的重要位置中来，表明了企业对信息化建设、网络安全管理的高度重视和决心。其次是对行业的网络安全建设高瞻远瞩、统一标准、规范运作、务求实效。先后省公司下发了《云南省烟草专卖局关于建设云南省行业计算机网络与信息安全系统的通知》，对全行业的网络信息安全建设作了明确、细致的规定，制定了高效规范的《云南省烟草行业计算机网络与信息安全系统建设方案》，统一在全系统范围内实施。随后市局公司又下发了《曲靖市烟草专卖局（公司）关于建设网络安全系统的通知》，对各分公司的网络安全建设作了具体的安排部署。XX县烟草公司严格按照上级部门要求，主动推进网络安全建设，严律遵循行业标准规范，组织实施信息项目，积极配合上级部门在全行业开展网络安全建设工作。

二、信息系统安全保护等级备案情况

XX县烟草专卖局（分公司）隶属曲靖市烟草专卖局（公司）子公司，无法人资格。网络信息安全建设也是依照市公司统一要求进行，信息安全保护等级为二级。按照本次检查要求，备案材料主要包括三类。一是各级各部门的文件，包括有：罗烟司字［2000］48号《关于成立云南省烟草XX县公司信息化领导小组的通知》，省公司云烟科［2000］209号《关于决举办云南省烟草行业计算机系统管理员培训班的通知》，省公司云烟信［2003］552号《云南省烟草专卖局关于建设云南省烟草行业计算机网络与信息安全系统的通知》，市公司云曲烟专司字［2004］35号《曲靖市烟草专卖局（公司）关于建设网络安全系统的通知》、《曲靖烟草专卖局（公司）党政工作部关于举办网络信息安全培训的通知》，市公司云曲烟办字［2004］98号《曲靖市烟草专卖局（公司）关于建设地面专网的通知》等。第二类是各项网络信息安全建设规范、技术标准及方案等，主要包括有：《云南省烟草行业信息网络信息系统技术规范》两部分，《云南省烟草行业信息网络系统计算机网络系统建设技术规范》、《云南省烟草行业计算机网络与信息安全系统建设方案》。第三类是各类管理制度或规定，主要包括有：《云南省烟草行业信息网络管理规范》、《云南省烟草行业计算机网络与信息安全管理制度》、《信息化工作管理规定》的网络与信息安全管理，《网络建设及信息维护按理规定》、《计算机设备管理规定》、《计算机机房管理规定》及《突发信息网络事件应急预案》等。

三、信息安全设施建设情况。

根据上级部门的统一规划、建设要求，XX县烟草公司积极推进各项网络安全建设工作。首先，为考虑网络安全，结合业务实际，在网络规划时以建设专线为重点，在全省烟草系统内全部采用专线连接，实现互联互通。在系统主干网络建设上，先是采用卫星专用通道联网，后改用DDN专线，随着网络技术的发展和普及，从2006年开始，全省烟草系统，从省公司至市公司，从市公司至分公司，从分公司至烟叶站、烟叶收购点，采用带宽不同的SDH专线连接。公司绝大部分业务均在内网里运行，各类数据信息通过内网服务器和网络流转、共享，无外网托管现象，只有极少部分业务需挂外网。其次是不断采用新技术、新手段做好网络信息安全防范工作，严格划分企业内网与外网，通过硬件防火墙设置，保证内外信息交互有效进行，实现对垃圾信息、非法访问的有效过滤。同时，通过网络版杀毒软件的安装使用，对计算机病毒进行整体防治，另一方面，对操作终端还配置防木马程序的软件，以及软件防火墙等软件的使用，配合杀毒软件对计算机病毒、黑客攻击、木马程序等进行了有效的防范。总之，通过软硬件技术手段的有效结合，使系统内网及每个终端计算机、系统内的信息、数据安全得到了有效保障，有效保证了企业各业务工作的顺利开展。

四、管理制度建设情况。

烟草企业自2004年工商分制以来，作为一分公司，在曲靖市烟草公司的直接领导下，各项工作稳步推进，伴随着社会效益、企业效益的逐年攀升，曲靖烟草企业更加注重管理模式的总结与创新，强调管理的精细化和规范化，通过长时间的积累、总结和创新，对各行各业各个环节都制定了规范、有效的管理制度。形成了具有行业标准的相关制度－《曲靖烟草商业管理（QTCM）－管理制度》，在网络信息安全方面涉及很多内容。制定了《计算机设备管理规定》，旨在规范烟草系统计算机及相关设备的管理工作，促进设备的有效管理，提高设备的综合效率，满足工作需求；制定了《计算机机房管理理规定》，旨在加强计算机机房的运行、使用和管理，保证各信息系统的稳定可靠运行，促进公司网络的健康发展；制定了《信息化工作管理规定》、以及《网站建设及信息维护管理规定》，包括网络和信息安全管理规定，旨在保证企业网络信息系统运行安全、可靠，做到实体安全、运行安全、数据安全和管理安全。2008年4月份，根据企业《职业健康安全管理体系》运行的整改要求，制定了《突发信息网络事件应急预案》，包括机房渗漏水应急预案、机房盗窃应急预案、机房火灾应急预案、机房长时间停电应急预案、通信网络故障应急预案、网络病毒爆发应急预案、服务器软件系统故障应急预案、核心设备硬件故障应急预案、业务数据损坏应急预案等九部分内容，旨在加强对系统内突发信息网络事件的控制，迅速有效开展应急救援行动，降低危害程度。总之，企业对网络安全高度重视，制定了众多管理制度，并积极层层落实，责任分明，有效地保证了了企业长期以来的网络信息系统的稳定运行。

五、信息安全产品选择和使用情况。

我司的网络信息安全产品，2004年开始根据市公司的要求，进行统一配置。其中，硬件防火墙采用中端型产品，品牌型号为天融信NGFWARES－VPN（S），版本TOPSEC集中管理器V2.2.17，基本满足管理要求。防病毒软件曾采用趋势Trend网络版，2007年以后统一改用瑞星企业专用版，与全国大多企业一致选用国产软件。网络管理平台软件曾使用复旦光华T_Manager网络综合管理系统，预计未来将采用其它新系统实现网络综合管理。此外，针对各终端设备的安全防范，我司还使用了正版的瑞星个人防火墙软件和免费版的奇虎360安全卫土等安全软件，实现防病毒、木马程序、黑客、非法程序等的辅助管理，进一步提高了整个系统的安全防范能力和管理水平。

六、聘请测评机构开展技术测评情况

我司的网络安全检测及风险评估工作也是依照市局（公司）的统一要求组织实施，按照市公司的统一安排，聘请测评机构为曲靖市麒麟区联创信息网络有限公司，检测时间一般为每年6至7月份，检测内容为：机房物理环境、服务器、网络设备（交换机、路由器、防火墙），桌面终端等，其中，桌面终端采用抽查方式进行检测，抽查率不少于总数的30%，检测工作中，工程师需签订《云南省网络与信息系统安全检测单位保密承诺》和安全检测保密协议，检测结果及报告由市公司保存。

七、定期自查情况

XX县烟草公司高度重视网络安全建设工作，强调日常维护、安全防范和定期自查工作。对管理制度不断完善更新，新技术新手段积极采用，借助于企业职业健康安全管理体系的贯标、运行和提升工作，不断开展网络信息安全的检查工作，对一经查出的问题及时整改，自己不能解决的及时上报上级部门，给予帮助解决，有效地促进了整个安全防控体系的完善和管理水平的提高。

曲靖市烟草公司XX分公司

二OO八年十月三十日 关于上报宣州区地税局信息系统安全自查的报告

宣州区地方税务局文件

宣区地税〔2010〕77号

签发人: 殷本辉

关于上报宣州区地税局信息系统安全自查的报告

宣城市地方税务局

根据宣城市地税局对我局网络与终端物理隔离和安全使用检查情况反馈意见，参照安徽地税信息系统安全自查方案，我局对全区网络与信息安全现状进行了自查，查找薄弱环节和安全隐患，进一步强化信息安全意识、规范信息安全管理，以提高网络与信息系统的安全保障能力，现将自查情况上报给你们。

（本文只发电子文件）

二〇一〇年六月二十四日

宣州区地税局信息系统安全自查报告

根据宣城市地税局对我局网络与终端物理隔离和安全使用检查情况反馈意见，参照《安徽省地税局2010年税务信息系统安全检查方案》，从“安全管理检查”、“安全技术检查”、“终端和移动存储介质检查和加固”等三大方面对宣州区地税局信息安全系统进行了认真地自查与整改，现将自查情况报告如下：

一、领导高度重视，组织、部门健全

宣州区地税局领导班子高度重视信息系统安全工作，本着“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，成立了宣州区地税局信息系统安全领导小组，区局一把手担任领导小组组长，分管领导为副组长，下属各单位负责人为成员。

各基层分局设立计算机管理员岗位，分别 有责任心、取得全国计算机等级二级以上（含二级）证书、熟悉业务操作的人员担任，负责本单位计算机软、硬件及网络安全管理。对本单位计算机出现的软、硬件问题及时上报区局信息中心。区局结合本部门的信息系统安全管理需求，不定期地对计算机管理员开展相关业务培训。

二、结合安徽地税系统安全自查方案，认真开展自查工作

（一）安全管理方面：区局制定了《宣州区地税局公文处理应急预案》、《宣州区地税局内部网站应急预案》、《宣州区地税局网络故障应急预案》、《宣州区地税局计算机机房运行维护管理办法》，并着重落实上级部门下发的信息安全政策、法规和规章制度。确定信息中心一名工作人员担任信息系统安全管理员，具体处理信息系统安全的相关工作。区局中心机房于2008年建成，面积约90平方米，安装了接地保护装置，配备了手持式灭火器，配有两台柜式空调，并确保空调24小时正常运转。加强中心机房的供电管理，配备一台专用的10KV UPS电源专供中心机房设备使用，配备一台专用的6KV UPS电源专供征收大厅设备使用，并定期对UPS电池性能进行相应测试。

宣州区地税局办公网络已于2009年元月实行内、外网物理隔离，内外网均通过2套线路和隔离卡实现内外网切换。内网分为应用服务区与办公区，通过一台硬件防火墙进行对外与对外的访问控制，所有内网服务器与终端均安装网络版病毒防火墙。外网通过硬件防火墙、上网行为管理工和防病毒网关实行访问控制。局机关所有计算机安装隔离卡进行内外网物理隔离，基层分局只在分局负责人计算机上安装隔离卡实行内外网物理隔离，其他计算机只允许上内网。

征管数据市局集中后，区局目前的重要数据库有区局内网数据库、公文处理数据库、车辆税及触摸查询系统数据库，定期对上述数据库进行备份，并将备份数据复制到文件服务器上。

（二）安全技术方面：区局的网络通过租用联通的专线，实现市局、区局及分局三级网络互联，各基层分局通过路由交换和以太网两种方式按入区局，区局机关按股室按分VLAN。区局中心机房内网设备目前有1台华为2631路由器、1台华为3680路由器和2台华为3552交换机为核心层，3台华为3026交换机作为接入层。除华为3552交换机有热备份，其他网络设备没有冷、热备份，通过1台东软硬件防火墙进一步加强网络安全管理。

区局中心机房外网设备目前有5台华为3928交换机，1台防病毒网关，1台上网行为管理，1台防火墙，另外租用网通地址，各基层分局以以太网方式接入互联网。

宣州区地税局共有服务器6台，5台服务器的操作系统为Windows 2000 Server SP4,1台服务器的操作系统为Windows 2003 Server，所有服务器根据账号策略设置用户密码，强化安全管理。

宣州区地税局所有内外网中的路由器和交换机均按照省局网络运行管理规范进行命名管理，并对其用户口令进行加密。内外网中的防火墙均设置访问控制策略，提高系统的网络安全系数。

（三）工作用台式机、笔计本电脑和移动存储介质检查和加固： 及时更新台式机和笔计本电脑的操作系统和应用程序补丁，禁用GUEST用户组，统一安装网络版瑞星防病毒软件，并通过设置自动升级和定时对计算机进行扫描，对外接的USB设备，必须进行病毒扫描。

三、存在的主要问题

通过本次自查发现，我局信息系统存在不少安全隐患问题，主要有以下几方面：

（一）安全保护意识有待增强，各种安全保护措施有待加强，部分管理人员的安全保护意识薄弱。

（二）数据的存储及备份机制还不够完善，存在信息丢失的隐患，存在移动存储介质内外网混用，个别笔记本电脑存在内外网混用。

（三）因区局搬迁新办公楼后，对区局的内网进行了重新规划，路由策略进行了了修改，核心网络设备失效的路由策略未即时清理。

（四）重技术建设、轻安全保护。进行计算机信息系统建设规划时，主要考虑了业务需求和系统技术性能要求，没有很好地将系统的安全保护措施一并考虑，造成安全保护工作相对滞后。

四、加强安全保护工作的意见和建议

根据信息安全自查的情况，结合区局实际情况，现就加强区局信息系统安全工作，提出以下意见和建议：

（一）加强领导，提高对信息系统安全重要性和紧迫性的认识。组织相关人员认真学习与信息系统安全有关的管理规定，不断增强信息系统安全保护意识，做到认识到位、措施到位、管理到位。

（二）认真落实技术防范措施，着重落实以下等安全保护技术措施：

1、系统重要数据的冗余或备份措施；

2、计算机病毒防治措施；

3、网络攻击防范、追踪措施；

4、研究有关内网补丁升级的措施。

（三）严格防范内外网移动存储混用，加强对移动存储的分类管理，严禁在外网机器处理或保存涉税文件，严格执行内、外网物理隔离制度。

（四）停用内外到外网出口，瑞星防病毒托管服务器升级下挂到市局。

（五）加强网络和安全设备管理，调整网络和安全设备配置，严格网络访问控制策略，保护网络安全。

（六）加强中心机房的管理工作，提高机房运行环境，保障设备安全。

黄河科技学院网络信息安全防范系统

情况自查报告

随着网络在我校教学与管理环节中的普及，我校领导已充分认识到开展高校校园和网络信息安全防范工作，是加强维护高校稳定工作，为高校创造良好的教学科研环境，推进高校校园安全防范系统和网络信息安全系统建设的重要措施。自一九九九年我校初建校园网，一直到现在，上至领导下到我们中心的工作人员一直比较注重网络的安全性。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则，各单位、部门层层落实责任制，明确责任人和职责，细化工作措施和流程，建立完善了一系列的管理制度和实施办法，确保使用的网络和提供服务信息的安全。现根据省教育厅的《关于在开展高校校园和网络信息安全防范系统情况调查工作的通知》的文件精神，对我校的网络与信息安全与网络与信息服务等内容做了详细的自查，自查情况如下：

（一）我校于一九九九年十月，成立了以常务副校长为组长，以网络中心主任董峰及保卫处处长宋同先为副组长的黄河科技学院网络中心安全组织。

（二）根据我校的网络发展情况以及国家、省、市等有关的文件精神，我们相继建立了一系列的安全管理制度,并落实到各部门。如：信息的发布审核由新闻办指办专人负责；信息的监视、保存、备份、清除由网络中心负责；校内所有上网的帐号、邮件帐号、网站帐号等我们都做有实名备案；对于较为知名的公众网络媒体，如我校相关的百度贴吧，我校新闻办公室也安排专人负责信息的监管工作，以实现正面的引导，并及时发现和删除各类有害信息，维护学校和社会的稳定。

（三）我们加强了安全保护技术措施，切实抓紧、抓实、抓好，保障了学校网络和信息安全，网络运行正常、使用规范，网站没有发现有害信息和不良连接，网络节点安全设施基本符合要求。我们使用了天融信防火墙与天阗入侵监测系统相结合，使日志留存具有保存60日以上系统运行日志和用户使用日志记录功能，内容包括IP地址及使用情况，交互式栏目发布者和上、下网时间及信息、主页维护者、邮箱使用者和对应的IP地址情况等；对于邮件服务器，我们使用的是亿邮，并配套使用了亿邮网关，并与公安部门实行了数据对接，有效的隔离了垃圾邮件，防止有害信息的干扰和破坏。对于我们的网站信息服务系统建立了备份，一旦受到破坏能及时恢复正常。

（四）针对网上突发事件，我们制定了应急处置方案，细化流程，责任到人。做到及时预警、快速反应、果断处置网上突发事件。

（五）我校网络中心经过仔细排查，已经关闭所有校园网内开通的交互式栏目（BBS，留言板）；对于必须使用留言服务的招生咨询网站，我们采取了用户发布信息必须审核和记录用户IP地址的机制。同时由新闻办公室安排专人负责信息审核工作，并在技术上采用了关键字过滤来防止有害信息。由于我们的高度重视，认真组织，确保了网络正常运行和信息安全，至今为止没有发生任何事故，受到了我校有关领导的肯定和好评。当然，随着科技的发展，社会信息的不断扩大，新时代，新情况对网络安全技术的要求也越来越高，新的问题也会不断出现，我们真正希望通过省厅的此次网络信息安全防范系统情况的调查使我校的网络运行得更安全，有利于社会的安定及国家的繁荣昌盛。

永胜县供销合作社联合社

2010年上半年政府信息系统安全检查自查报告

根据《永胜县人民政府办公室关于开展政府信息系统安全检查的通知》（永政办发〔2010〕56号）文件精神，结合我社实际，认真组织开展了信息系统的安全自查工作。现将相关情况报告如下：

一、信息系统安全检查基本情况

㈠信息安全组织机构落实情况

为规范信息公开工作，落实好信息安全的相关规定，我社成立了信息安全工作领导小组，落实了管理机构，由联社办公室负责信息安全的日常管理工作，明确了信息安全的主管领导、分管领导和具体管理人员。

㈡日常信息安全管理落实情况

根据供销合作社的工作实际，供销社日常信息安全工作主要涉及上级下发的涉密文件管理、政府信息公开工作信息管理、业务工作相关数据信息管理、组织人事信息管理。根据这些实际，县联社已从落实管理机构和人员、加强教育培训、更新设备、健全完善相关制度等方面对信息安全的人员、资产、运行和维护管理进行了落实。

一是，落实具体负责信息安全工作的人员，对涉密信息文件、材料实行专人管理；对重要办公区、办公计算机等进行严格管理，确保信息保密工作。

二是，结合供销社工作实际，对涉密文件材料管理和计算机、移动存储设备等的维修、报废、销毁管理进行了规定。对日常信息办公软件、应用软件等的安装使用，主要是由上级组织人事部门、业务主管部门下发的业务工作应用软件，均按照上级部门的要求和规定，严格进行操作管理。

三是，结合供销社政府信息公开工作，按照信息公开的相关保密规定和程序，初步建立了《永胜县供销合作社政府信息公开保密审查制度（试行）》，对信息公开、阳光政府四项制度等公开发布信息保密审查机制、程序进行了规范，完善相关信息审批备案和日常记录。

㈢等级保护与风险评估

永胜县供销合作社的相关信息系统主要是业务工作，不是重要涉密部门，还达不到涉密信息系统等级，所以，没有对信息系统定级、测评和评估。

㈣技术安全防范措施和手段落实情况

1、计算机及网络经过检查，已安装了防火墙，同时配置安装了专业杀毒软件，加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。并按县委保密局的要求，在主要的计算机上统一粘贴了“非涉密计算机严禁处理涉密信息”的标识，杜绝涉密和非涉密计算机之间的混用。

2、网络终端没有违规上国际互联网及其他的信息网的现象，没有安装无线网络等。对信息公开发布门户网站及相关应用系统帐户、口令等进行检查，对服务器上的应用、服务、端口和链接进行了检查，没有网站信息被非法篡改，也没有非法链接。同时，日常工作中，及时对计算机进行漏洞扫描、木马检测等，加强安全监管。我单位使用的计算机都为非涉密计算机，主要是用于业务工作，没有用于处理涉密信息的情况。目前，网络运行良好，安全防范措施和设备运行良好，没有涉及国家秘密的相关信息，未在网上存储、传输国家秘密信息，未发生过失密、泄密现象。

3、密码技术防范方面。我单位的相关信息还达不到涉密信息系统等级，目前还没有使用密码技术防护措施。

㈤应急工作机制建设情况

1、应急响应机制建设上，根据相关要求，建立了信息安全的相关规章制度，要求县社信息安全管理办公室根据信息安全工作情况及时向工作领导小组报告相关情况，并及时上报县信息化办公室，及时采取有效措施，处理相关问题。目前，还没有应急响应方案。

2、对非涉密的相关重要工作信息实行光盘备份，以防范计算机系统故障带来的损失和影响。

3、目前，我社的信息安全管理工作还没有明确应急技术支援队伍，主要由县社办公室根据工作中的问题向县信息办及时报告咨询解决。目前，没有发生信息安全事件。

㈥信息技术产品和信息安全产品使用情况

我单位终端计算机安装的防火墙、入侵检测设备、杀毒软件等信息安全产品，使用360安全卫士等软件，皆为国产产品。公文处理软件具体使用金山软件的WPS office系统和Microsoft Office系统。单位使用的工资系统、业务统计报表系统、组织人事统计系统等应用软件均为县委、县政府相关部门和市供销社统一指定的产品系统。

㈦安全教育培训情况

1、县供销社积极参加全县保密工作会议和县委政府相关部门组织的信息系统安全知识培训，并专门负责机关的网络安全管理和信息安全工作。

2、结合集中学习，县供销社对全县保密工作会议精神进行了传达学习。同时，在日常工作中相关保密、信息安全工作人员也结合《保密工作》杂志及相关文件精神，开展自学，提高信息安全意识、保密意识。

㈧信息安全经费保障。

县供销合作社信息安全工作得到县社领导高度重视，信息安全相关学习培训材料的征订购买和相关防护设施建设、运行、维护和管理经费均纳入预算，实报实销，为信息安全提供了经费保障。

二、信息安全检查存在的主要问题及整改情况

经过安全检查，我单位信息安全总体情况良好，但也存在了一些不足，同时结合单位工作实际，进行了整改同时提出了进一步整改的措施。

1、部分干部职工对信息安全工作的认识不到位。由于本部门工作涉密很少，机关干部对信息安全防范的意识还不高，对信息系统安全工作重要性的认识还不足。针对这些情况，县社领导已结合传达全县保密工作会议精神，进一步作了强调和要求。结合工作开展，今后将继续加强对机关干部的信息系统安全意识教育，提高干部职工对信息安全工作重要性的认识。

2、设备维护、更新不及时。部分股室计算机的杀毒软件、防护软件没有及时进行更新升级，存在部分漏洞。针对这些问题，办公室已及时对各终端计算机的杀毒软件、防火墙等进行了更新升级，对存在的漏洞进行了修复。今后将对线路、系统等的及时维护和保养，及时更新升级防护软件。

3、信息系统安全工作的水平还有待加强。供销社的信息系统工作人员均为兼职人员，非专业人员，对信息安全的管护水平低，还需要加强专业学习培训，提高信息安全管理和管护工作的水平。

4、信息安全工作机制还有待完善。部门信息安全相关工作机制制度、应急预案等还不健全，还要完善信息安全工作机制，建立完善信息安全应急响应机制，以提高机关网络信息工作的运行效率，促进办公秩序的进一步规范，防范风险。

三、对信息安全检查工作的意见和建议

一是，进一步加大对信息安全工作人员的业务培训。由于很多部门的信息安全工作人员均为兼职，均是“半路出家”，非专业人员，没有专业的技能和知识，希望进一步加强对计算机信息系统安全管理工作的业务操作培训，发放一些信息网络安全管理方面的业务知识材料。

二是，加强对各级各部门干部职工的信息系统安全教育。通过开展专题警示教育培训，增强信息系统安全意识，提高做好信息安全工作的主动性和自觉性。

三是，加强分类指导。由于各部门工作性质不同，信息安全的级别也不同。希望结合各部门工作实际，对重点信息安全部门和非重点信息安全部门进行分类指导。

二○一○年六月二十二日

泸州市人民政府信息化管理办公室：

根据你办《关于印发<2009泸州市政府信息系统安全检查指南>的通知》(市府信管办〔2009〕33号)文件要求和市府办召开的网络与信息安全事件应急预案暨信息系统安全检查工作会的要求，现就我区政府信息系统安全检查自查情况汇报如下：

一、信息安全总体情况

10月15日、16日参加完市上会议之后，我区及时开展了信息系统安全情况的调查摸底工作，制定了工作方案，并获得领导的大力支持。于10月23日印发了《2009泸州市纳溪区政府信息系统安全检查指南》的通知。在10月27日，我区召开了全区网络与信息安全事件应急预案暨政府信息系统安全检查工作会，安排布置了全区的工作。

1、安全制度落实情况

经自查发现，我区各级各单位的网络与信息系统管理机构比较完善，有主管领导和具体检查人员，信息安全责任制和各项安全保密制度较完善，重要部门人员管理制度落实，每个部门都落实了一名人员，负责信息日常安全。严格实行了“谁上网，谁使用，谁负责”的原则。重要信息上网必须经过单位分管领导批准，一般信息上网必须经过部门负责人审核。我区针对新中国成立60周年国庆制定了完善的应急工作方案，坚持了网络值班。同时将信息安全经费列入财政预算，今年全区已落实近15万元用于网络与信息安全建设。

近年来，通过中心机房建设和对网络配套改造，建成了覆盖全区的高速信息网络系统。我区部署了网络硬件路由、防火墙，党政网上应用了金山毒霸网络版杀毒软件，政务外网上应用了卡巴斯基网络版杀毒软件。机房实施了UPS供电，建立了中心机房网络雷电防护

体系。我区建立健全了网络值班制度，加强了网络值班工作，区信息化办工作人员每天对设备运行情况、网站信息发布情况进行监控，并填写值班日志。

2、安全防范措施落实情况

我区要求各级各单位严格按保密管理、密码管理、等级保护要求，对上党政网的计算机进行了加密保护。涉密计算机实行专人管理，责任到人。对涉密介质，如光盘、磁盘、优盘等由专人管理。做到了涉密计算机定点维修，保证了涉密计算机的安全和保密；同时加强对涉密文件资料的管理，所有印发的涉及单位秘密的文件资料者是在单位文印部门（打印中心）制作，并编排序号；上级发来的涉密文件资料都是作好严格登记，并根据工作需要，严格控制范围，认真履行了传借阅国家秘密文件登记、签收手续，未有丢失现象；对秘密文件都是实行专门文件夹传阅，并将领导阅后的秘密文件收回并专门保管，防止秘

密文件的流失。

自查发现，我区计算机使用国产化率较高，主要的品牌有联想、清华同方等，使用较多的非国产品牌有HP、DELL等。字处理软件95%以上都使用微软Office,只有少数使用国产WPS。互联网终端计算机上85%使用的瑞星和金山毒霸等杀毒软件，少数使用360安全卫士和卡巴斯基等。党政网的计算机90%以上都使用了网络版金山毒霸，电子政务外网

85%以上都使用了网络版的卡巴斯基。

我区各级各单位都高度重视政府信息系统安全检查工作，为了搞好这次检查，都成立了领导小组，主要领导亲自抓，分管领导具体抓。对这次检查进行了统筹安排，严密组织，明确了职责，强化了责任，以确保检查不走过场，注重实效，确保检查质量，以切实提高政府信息系统安全保障能力，确保我区政府信息系统安全运行。

二、信息安全检查发现的主要问题及整改情况

根据《通知》中的具体要求，在自查过程中我们也发现了一些不足，同时结合我区实际，今后要在以下几个方面进行整改。

1、部分单位安全意识不够。部分单位工作人员信息安全意识不够，未引起高度重视。检查要求其要高度保持信息安全工作的警惕性，从政治和大局出发，继续加强对机关干部的安全意识教育，提高做好安全工作的主动性和自觉性。

2、部分单位缺乏相关专业人员。由于部分单位缺乏相关专业技术人员，信息系统安全方面可投入的力量非常有限，下一步要加强相关技术人员的培训工作。

3、部分单位安全制度落实不力。要求各单位要加强制度建设，加大安全制度的执行力度，责任追究力度。要强化问责制度，对于行动缓慢、执行不力、导致不良后果的单位和个人，要严肃追究相关责任人责任，从而提高人员安全防护意识。

4、部分单位工作机制有待完善。部分单位网络与信息安全管理混乱，要进一步创新安全工作机制，提高机关网络信息工作的运行效率，进一步规范办公秩序。

5、计算机病毒问题较为严重。由于单位经费紧张，部分单位使用的是盗版杀毒软件，有的是网上下载的，有的是已过期不能升级的，更有不装杀毒软件的。要求各单位加大投

入，确保用上正版杀毒软件。

6、计算机密码管理重视不够。相当部分计算机未设置密码，有的密码设置也过于简单。要求各台计算机至少要设置8-10个字符的开机密码。

三、对信息安全检查工作的建议和意见

信息和信息网络安全的防范和监管是信息主管部门的一个重要职责。明确信息安全检查工作是为了加强安全防范，在此，对于做好安全防范工作建议如下：

1、明确各层组织机构和人员的网络和信息安全责任，实现组织和人力上的安全保证；

2、组织建立和健全各项信息和信息网络安全制度，实现制度和管理上的安全保证；规范日常信息化管理和检查制度。包括：软件管理、硬件管理、机房管理、系统运行和维护管理、网络管理等，提出并实施各系统配置和标准化设置，便于安全的维护和加固，实

现基础管理上的安全保证；

3、组织好单位内的项目协调、实施、推广应用与培训等工作，确保信息化项目的实施成效，实现规划和应用上的安全保证；

4、我区对网络与信息安全检查工作进行了部署，建议市上指导我区开展网络和信息

系统安全应急演练。

泸州市纳溪区人民政府信息化管理办公室