導(dǎo)語:在網(wǎng)絡(luò)安全整改報(bào)告的撰寫旅程中,學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑���,好期刊匯集了九篇優(yōu)秀范文,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感����,引領(lǐng)您探索更多的創(chuàng)作可能。
第1篇
一���、組織安排����。xx隊(duì)組織成立自查工作小組���,組長為隊(duì)長xxx擔(dān)任����,由兼職信息系統(tǒng)責(zé)任���、運(yùn)行維護(hù)和信息安全管理科室的辦公室人員組成自查工作小組工作人員�,按照自查任務(wù)要求�,制定具體自查方案���,明確本地檢查對象和具體要求,落實(shí)各項(xiàng)保障措施����,開展自查工作,撰寫自查報(bào)告����,并填寫相應(yīng)自查表。
二���、制度檢查����。自查工作小組根據(jù)《關(guān)于開展重要信息系統(tǒng)及重點(diǎn)網(wǎng)站安全檢查工作的通知》�,對前郭隊(duì)的網(wǎng)絡(luò)安全工作的基本情況以及網(wǎng)站的安全保護(hù)情況的相關(guān)制度進(jìn)行了檢查�,現(xiàn)有制度有:網(wǎng)絡(luò)與信息安全管理制度、內(nèi)網(wǎng)計(jì)算機(jī)與互聯(lián)網(wǎng)連接制度���、終端計(jì)算機(jī)安全管理制度����、桌面安全管理系統(tǒng)制度及其他網(wǎng)絡(luò)安全管理手段及措施制度。及時發(fā)現(xiàn)了問題����,要求建立健全信息安全年度預(yù)算制度、信息安全發(fā)展規(guī)劃����。
三、完備設(shè)施�。自建互聯(lián)網(wǎng)局域網(wǎng)網(wǎng)絡(luò)安全防護(hù)措施:xx隊(duì)接入互聯(lián)網(wǎng)出口數(shù)量只有一個;終端計(jì)算機(jī)已安裝有效的防病毒軟件����;終端計(jì)算機(jī)已設(shè)置管理員口令;有專門封網(wǎng)計(jì)算機(jī)可處理涉密信息���;機(jī)房安全中防盜���、消防、供電相關(guān)設(shè)施完備����。
第2篇
一、加強(qiáng)領(lǐng)導(dǎo)����,成立了網(wǎng)絡(luò)與信息安全工作領(lǐng)導(dǎo)小組
為進(jìn)一步加強(qiáng)全局網(wǎng)絡(luò)信息系統(tǒng)安全管理工作���,我局成立了網(wǎng)絡(luò)與信息系統(tǒng)安全保密工作領(lǐng)導(dǎo)小組,由局長任組長���,下設(shè)辦公室�,做到分工明確,責(zé)任具體到人���。確保網(wǎng)絡(luò)信息安全工作順利實(shí)施�。
二���、我局網(wǎng)絡(luò)安全現(xiàn)狀
我局的統(tǒng)計(jì)信息自動化建設(shè)從一九九七年開始����,經(jīng)過不斷發(fā)展�,逐漸由原來的小型局域網(wǎng)發(fā)展成為目前與國家局���、自治區(qū)局以及縣區(qū)局實(shí)現(xiàn)四級互聯(lián)互通網(wǎng)絡(luò)���。網(wǎng)絡(luò)核心采用思科7600和3600交換機(jī)����,數(shù)據(jù)中心采用3COM4226交換機(jī)�,匯集層采用3COM4226交換機(jī)、思科2924交換機(jī)和聯(lián)想天工iSpirit1208E交換機(jī)�,總共可提供150多個有線接入點(diǎn),目前為止已使用80個左右����。數(shù)據(jù)中心骨干為千兆交換式,百兆交換到桌面����。因特網(wǎng)出口統(tǒng)一由市信息辦提供,為雙百兆光纖���;與自治區(qū)統(tǒng)計(jì)局采用2兆光纖直聯(lián)���,各縣區(qū)統(tǒng)計(jì)局及三個開發(fā)區(qū)統(tǒng)計(jì)局采用天融信VPN虛擬專用網(wǎng)絡(luò)軟件從互聯(lián)網(wǎng)上連接進(jìn)入到自治區(qū)統(tǒng)計(jì)局的網(wǎng)絡(luò),VPN入口總帶寬為4兆����,然后再連接到我局。橫向方面,積極推進(jìn)市統(tǒng)計(jì)局與政府網(wǎng)互聯(lián)���,目前已經(jīng)實(shí)現(xiàn)與100多家市級黨政部門和12個縣區(qū)政府的光纖連接�。我局采用天融信硬件防火墻對網(wǎng)絡(luò)進(jìn)行保護(hù)�,采用偉思網(wǎng)絡(luò)隔離卡和文件防彈衣軟件對重點(diǎn)計(jì)算機(jī)進(jìn)行單機(jī)保護(hù),安裝正版金山毒霸網(wǎng)絡(luò)版殺毒軟件�,對全局計(jì)算機(jī)進(jìn)行病毒防治。
三���、我局網(wǎng)絡(luò)信息化安全管理
為了做好信息化建設(shè)�,規(guī)范統(tǒng)計(jì)信息化管理����,我局專門制訂了《*市統(tǒng)計(jì)局信息化規(guī)章制度》,對信息化工作管理�、內(nèi)部電腦安全管理、機(jī)房管理�、機(jī)房環(huán)境安全管理、計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備管理���、數(shù)據(jù)�、資料和信息的安全管理�、網(wǎng)絡(luò)安全管理、計(jì)算機(jī)操作人員管理����、網(wǎng)站內(nèi)容管理、網(wǎng)站維護(hù)責(zé)任等各方面都作了詳細(xì)規(guī)定����,進(jìn)一步規(guī)范了我局信息安全管理工作。
針對計(jì)算機(jī)保密工作�,我局制定了《計(jì)算機(jī)管理制度》,并由計(jì)算機(jī)使用人員簽訂了《*市統(tǒng)計(jì)局計(jì)算機(jī)保密工作崗位責(zé)任書》����,對計(jì)算機(jī)使用做到“誰使用誰負(fù)責(zé)”;對我局內(nèi)網(wǎng)產(chǎn)生的數(shù)據(jù)信息進(jìn)行嚴(yán)格����、規(guī)范管理。
此外���,我局在全局范圍內(nèi)每年都組織相關(guān)計(jì)算機(jī)安全技術(shù)培訓(xùn)����,計(jì)算站的同志還積極參加市信息辦及其他計(jì)算機(jī)安全技術(shù)培訓(xùn)���,提高了網(wǎng)絡(luò)維護(hù)以及安全防護(hù)技能和意識����,有力地保障我局統(tǒng)計(jì)信息網(wǎng)絡(luò)正常運(yùn)行。
四���、網(wǎng)絡(luò)安全存在的不足及整改措施
目前�,我局網(wǎng)絡(luò)安全仍然存在以下幾點(diǎn)不足:
一是安全防范意識較為薄弱���;
二是病毒監(jiān)控能力有待提高����;
三是遇到惡意攻擊���、計(jì)算機(jī)病毒侵襲等突發(fā)事件處理不夠及時���。
針對目前我局網(wǎng)絡(luò)安全方面存在的不足,提出以下幾點(diǎn)整改辦法:
第3篇
根據(jù)《廣電總局辦公廳貫徹落實(shí)國務(wù)院辦公廳關(guān)于開展重點(diǎn)領(lǐng)域網(wǎng)絡(luò)與信息安全檢查行動的通知》文件精神�,我臺在青島市文廣新局的統(tǒng)一部署下,對本臺網(wǎng)絡(luò)與信息安全情況進(jìn)行了自查���,現(xiàn)匯報(bào)如下:
一�、信息安全自查工作組織開展情況
1、成立了信息安全檢查行動小組����。由臺長任組長���,分管領(lǐng)導(dǎo)為副組長,相關(guān)科室負(fù)責(zé)人為組員的行動小組,負(fù)責(zé)對全臺的重要信息系統(tǒng)的全面指揮�����、排查并填記有關(guān)報(bào)表�����、建檔留存等�����。
2�����、信息安全檢查小組對照網(wǎng)絡(luò)與信息系統(tǒng)的實(shí)際情況進(jìn)行了逐項(xiàng)排查���、確認(rèn)�����,并對自查結(jié)果進(jìn)行了全面的核對��、分析���,提高了對全臺網(wǎng)絡(luò)與信息安全狀況的掌控�����。
二�����、信息安全工作情況
1��、8月6日完成信息系統(tǒng)的自查工作部署���,并研究制定自查實(shí)施方案,根據(jù)所承擔(dān)的業(yè)務(wù)要求和網(wǎng)絡(luò)邊界安全性對硬盤播出系統(tǒng)��、非線性編輯系統(tǒng)�����、XX有線電視傳輸系統(tǒng)進(jìn)行全面的梳理并綜合分析。
2���、8月7日對硬盤播出系統(tǒng)�����、非線性編輯系統(tǒng)、XX有線電視傳輸系統(tǒng)進(jìn)行了細(xì)致的自查工作�����。
(1)系統(tǒng)安全自查基本情況
硬盤播出系統(tǒng)為實(shí)時性系統(tǒng)���,對主要業(yè)務(wù)影響較高�����。目前擁有DELL服務(wù)器5臺��、惠普服務(wù)器2臺��、cisco交換機(jī)2臺�����,操作系統(tǒng)均采用windows系統(tǒng)��,數(shù)據(jù)庫采用SQLServer�����,災(zāi)備情況為數(shù)據(jù)級災(zāi)備��,該系統(tǒng)不與互聯(lián)網(wǎng)連接���。
非線性編輯系統(tǒng)為非實(shí)時性系統(tǒng)�����,對主要業(yè)務(wù)影響較高��。目前擁有DELL服務(wù)器6臺��、華為交換機(jī)1臺�����,網(wǎng)關(guān)采用 UNIX操作系統(tǒng)�����,數(shù)據(jù)庫采用SQLServer���,災(zāi)備情況為數(shù)據(jù)災(zāi)備���,該系統(tǒng)不與互聯(lián)網(wǎng)連接,安全防護(hù)策略采用默認(rèn)規(guī)則��。
XX有線電視傳輸系統(tǒng)為實(shí)時性系統(tǒng)���,對主要業(yè)務(wù)影響高,災(zāi)備情況為數(shù)據(jù)災(zāi)備���,該系統(tǒng)不與互聯(lián)網(wǎng)連接��。
(2)��、安全管理自查情況
人員管理方面��,指定專職信息安全員,成立信息安全管理機(jī)構(gòu)和信息安全專職工作機(jī)構(gòu)���。重要崗位人員全部簽訂安全保密協(xié)議�����,制定了《人員離職離崗安全規(guī)定》�����、《外部人員訪問審批表》�����。
資產(chǎn)管理方面���,指定了專人進(jìn)行資產(chǎn)管理,完善了《資產(chǎn)管理制度》���、《設(shè)備維修維護(hù)和報(bào)廢管理制度》���,建立了《設(shè)備維修維護(hù)記錄表》。
存儲介質(zhì)管理方面�����,完善了《存儲介質(zhì)管理制度》,建立了《存儲介質(zhì)管理記錄表》��。
(3)�����、網(wǎng)絡(luò)與信息安全培訓(xùn)情況
制定了《XX市廣播電視臺信息安全培訓(xùn)計(jì)劃》��,2019年上半年組織信息安全教育培訓(xùn)2次�����,接受信息安全培訓(xùn)人數(shù)40人���,站單位中人數(shù)的20%���。組織信息安全管理和技術(shù)人員參加專業(yè)培訓(xùn)4次���。
信息安全檢查總結(jié)報(bào)告范文二:
按照《關(guān)于組織開展20xx年全市政府信息系統(tǒng)安全檢查工作的通知》(鎮(zhèn)信安聯(lián)辦【20xx】5號)要求�����,我局高度重視���,立即組織開展全局范圍的信息系統(tǒng)安全檢查工作?��,F(xiàn)將自查情況匯報(bào)如下。
我局信息系統(tǒng)運(yùn)轉(zhuǎn)以來�����,能嚴(yán)格按照上級部門要求���,積極完善各項(xiàng)安全制度��、充分加強(qiáng)信息化安全工作人員教育培訓(xùn)���、全面落實(shí)安全防范措施、全力保障信息安全工作經(jīng)費(fèi)��,信息安全風(fēng)險(xiǎn)得到有效降低��,應(yīng)急處置能力得到切實(shí)提高���,保證了政府信息系統(tǒng)持續(xù)安全穩(wěn)定運(yùn)行�����。
一���、信息安全組織管理工作情況
我局高度重視信息系統(tǒng)安全工作��,成立有由主要領(lǐng)導(dǎo)任組長���、分管領(lǐng)導(dǎo)任副組長、各處室負(fù)責(zé)人為組員組成的局信息安全工作領(lǐng)導(dǎo)小組�����,明確了局辦公室為主要職能部門��,確定了一名兼職信息安全員��,召開了由分管領(lǐng)導(dǎo)��、信息安全工作職能部門和重點(diǎn)部門負(fù)責(zé)人參加的會議�����,對上級有關(guān)文件進(jìn)行了認(rèn)真學(xué)習(xí)���,對自查工作進(jìn)行了周密的部署�����,確定了自查任務(wù)和人員分工���,真正做到領(lǐng)導(dǎo)到位、機(jī)構(gòu)到位��、人員到位��、責(zé)任到位��、措施到位�����。為確保我局網(wǎng)絡(luò)信息安全工作有效順利開展�����,我局要求以各處室��、下屬單位為單位認(rèn)真組織學(xué)習(xí)相關(guān)法律��、法規(guī)和網(wǎng)絡(luò)信息安全的相關(guān)知識��,使全體人員都能正確領(lǐng)會信息安全工作的重要性,都能掌握計(jì)算機(jī)安全使用的規(guī)定要求���,都能正確的使用計(jì)算機(jī)網(wǎng)絡(luò)和各類信息系統(tǒng)���。
二、日常信息安全管理工作情況
我局在以前建立一系列信息安全制度的基礎(chǔ)上���,針對信息安全工作的特點(diǎn)��,結(jié)合我局實(shí)際��,重新修訂了一系列信息安全制度和程序��,做到按制度辦事��,提高執(zhí)行力���。按照市政府和市經(jīng)信委要求,我局與計(jì)算機(jī)維保單位重新簽訂了服務(wù)協(xié)議���,增加了信息安全與保密協(xié)議內(nèi)容��。同時我局還與全局所有工作人員簽訂了安全保密協(xié)議���。我局對涉密計(jì)算機(jī)和涉密移動存儲介質(zhì)高度關(guān)注,對所有涉密計(jì)算機(jī)和涉密移動存儲介質(zhì)全部進(jìn)行編號在冊統(tǒng)一管理��,明確責(zé)任人和保管人��,對涉密信息系統(tǒng)的使用進(jìn)行多次重點(diǎn)檢查�����,強(qiáng)化涉密人員管理��,嚴(yán)格執(zhí)行涉密計(jì)算機(jī)和涉密移動存儲介質(zhì)的相關(guān)管理制度�����,專門為涉密人員配發(fā)了帶有硬件鎖的U盤���,嚴(yán)禁在涉密和非涉密信息系統(tǒng)間混用移動存儲介質(zhì)等等��。對非涉密計(jì)算機(jī)的保密系統(tǒng)和防火墻���、殺毒軟件等皆為國產(chǎn)產(chǎn)品,公文處理軟件使用微軟公司的正版office系統(tǒng)��,信息系統(tǒng)的第三方服務(wù)外包均為國內(nèi)公司。
三�����、信息安全防護(hù)管理工作情況
我局網(wǎng)絡(luò)系統(tǒng)的組成結(jié)構(gòu)及其配置合理�����,并符合有關(guān)的安全規(guī)定;網(wǎng)絡(luò)使用的各種硬件設(shè)備��、軟件和網(wǎng)絡(luò)接口是也過安全檢驗(yàn)��、鑒定合格后才投入使用的��,自安裝以來運(yùn)轉(zhuǎn)基本正常�����。我局經(jīng)常開展信息安全檢查工作���,主要對操作系統(tǒng)補(bǔ)丁安裝��、應(yīng)用程序補(bǔ)丁安裝���、防病毒軟件安裝與升級��、木馬病毒檢測��、網(wǎng)頁篡改情況等進(jìn)行監(jiān)管,認(rèn)真做好系統(tǒng)安全日記�����。今年��,我局在市政府辦的指導(dǎo)下試運(yùn)行協(xié)同辦公系統(tǒng)���,投入10多萬元為所有局領(lǐng)導(dǎo)���、各處室配置了內(nèi)網(wǎng)計(jì)算機(jī),為涉密處室另配備了涉密計(jì)算機(jī)��,從硬件上加強(qiáng)了涉密信息系統(tǒng)管理�����。
四��、信息安全應(yīng)急管理工作情況
我局認(rèn)真做好各項(xiàng)準(zhǔn)備工作,對可能發(fā)生的各類信息安全事件做到心中有數(shù)��,進(jìn)一步完善了信息安全應(yīng)急預(yù)案�����,明確應(yīng)急處置流程���,落實(shí)了應(yīng)急技術(shù)支撐隊(duì)伍���,把工作做深做細(xì)做在前面。
五��、信息安全教育培訓(xùn)工作情況
我局針對信息管理人員實(shí)際情況���,每年開展信息化教育培訓(xùn)��,以掌握信息化管理技能為目的進(jìn)行實(shí)踐操作能力培訓(xùn)���。還組織有關(guān)工作人員參加了相關(guān)信息安全培訓(xùn),職工信息安全意識得到有效提高��。
六���、信息安全專項(xiàng)檢查工作情況
目前我局在市行政中心大樓內(nèi)辦公���,網(wǎng)絡(luò)和信息系統(tǒng)便于統(tǒng)一管理���,內(nèi)外網(wǎng)完全物理隔離,內(nèi)網(wǎng)計(jì)算機(jī)均在有效管理范圍內(nèi)�����。局信息安全工作領(lǐng)導(dǎo)小組針對我局的信息安全形勢�����,定期組織由專業(yè)技術(shù)人員組成的檢查小組到各個辦公室專項(xiàng)檢查網(wǎng)絡(luò)和信息安全情況���,仔細(xì)排查信息系統(tǒng)的漏洞和安全隱患,用專用工具查殺木馬���、病毒�����,及時加強(qiáng)防范措施�����,為所有計(jì)算機(jī)安裝了正版殺毒軟件和防火墻���,有效提高了計(jì)算機(jī)和網(wǎng)絡(luò)防范�����、抵御風(fēng)險(xiǎn)的能力���。此外,檢查小組針對個別在市行政中心大樓外辦公的處室進(jìn)行了上門檢查���,不放過任何信息安全死角��。在檢查的同時��,檢查小組還就信息安全知識進(jìn)行了上門培訓(xùn)���。經(jīng)多次檢查,我局信息系統(tǒng)總體情況良好���,運(yùn)行正常���,未發(fā)現(xiàn)重大隱患��。
七���、信息安全檢查工作發(fā)現(xiàn)的主要問題及整改情況
(一)存在的主要問題
一是專業(yè)技術(shù)人員較少,信息系統(tǒng)安全方面可投入的力量有限��。
二是規(guī)章制度體系初步建立���,但還不完善��,未能覆蓋到信息系統(tǒng)安全的所有方面��。
三是遇到計(jì)算機(jī)病毒侵襲等突發(fā)事件處理不夠及時。
(二)下一步工作打算
根據(jù)自查過程中發(fā)現(xiàn)的不足���,同時結(jié)合我局實(shí)際��,將著重以下幾個方面進(jìn)行整改:
一是進(jìn)一步擴(kuò)大對計(jì)算機(jī)安全知識的培訓(xùn)面�����,組織信息員和干部職工進(jìn)行培訓(xùn)���。
二是要切實(shí)增強(qiáng)信息安全制度的落實(shí)工作�����,不定期的對安全制度執(zhí)行情況進(jìn)行檢查���,從而提高人員安全防護(hù)意識。
三是要以制度為根本�����,在進(jìn)一步完善信息安全制度的同時���,安排專人�����,完善設(shè)施�����,密切監(jiān)測�����,隨時隨地解決可能發(fā)生的信息安全事故���。
信息安全檢查總結(jié)報(bào)告范文三:
根據(jù)**市人民政府辦公室《關(guān)于開展政府信息系統(tǒng)安全的檢查的通知》(天政電[20xx]52號)文件精神���。我鎮(zhèn)對本鎮(zhèn)信息系統(tǒng)安全情況進(jìn)行了自查,現(xiàn)匯報(bào)如下:
一��、自查情況
(一)安全制度落實(shí)情況
1�����、成立了安全小組���。明確了信息安全的主管領(lǐng)導(dǎo)和具體負(fù)責(zé)管護(hù)人員,安全小組為管理機(jī)構(gòu)���。
2��、建立了信息安全責(zé)任制���。按責(zé)任規(guī)定:保密小組對信息安全負(fù)首責(zé)��,主管領(lǐng)導(dǎo)負(fù)總責(zé)���,具體管理人負(fù)主責(zé)�����。
3�����、制定了計(jì)算機(jī)及網(wǎng)絡(luò)的保密管理制度�����。鎮(zhèn)網(wǎng)站的信息管護(hù)人員負(fù)責(zé)保密管理���,密碼管理,對計(jì)算機(jī)享有獨(dú)立使用權(quán)�����,計(jì)算機(jī)的用戶名和開機(jī)密碼為其專有���,且規(guī)定嚴(yán)禁外泄�����。
(二)安全防范措施落實(shí)情況
1��、涉密計(jì)算機(jī)經(jīng)過了保密技術(shù)檢查���,并安裝了防火墻�����。同時配置安裝了專業(yè)殺毒軟件���,加強(qiáng)了在防篡改、防病毒��、防攻擊��、防癱瘓���、防泄密等方面有效性��。
2��、涉密計(jì)算機(jī)都設(shè)有開機(jī)密碼,由專人保管負(fù)責(zé)��。同時,涉密計(jì)算機(jī)相互共享之間沒有嚴(yán)格的身份認(rèn)證和訪問控制��。
3���、網(wǎng)絡(luò)終端沒有違規(guī)上國際互聯(lián)網(wǎng)及其他的信息網(wǎng)的現(xiàn)象���,沒有安裝無線網(wǎng)絡(luò)等。
4���、安裝了針對移動存儲設(shè)備的專業(yè)殺毒軟件�����。
(三)應(yīng)急響應(yīng)機(jī)制建設(shè)情況
1�����、制定了初步應(yīng)急預(yù)案�����,并隨著信息化程度的深入��,結(jié)合我鎮(zhèn)實(shí)際��,處于不斷完善階段��。
2���、堅(jiān)持和涉密計(jì)算機(jī)系統(tǒng)定點(diǎn)維修單位聯(lián)系機(jī)關(guān)計(jì)算機(jī)維修事宜��,并商定其給予鎮(zhèn)應(yīng)急技術(shù)以最大程度的支持��。
3���、嚴(yán)格文件的收發(fā),完善了清點(diǎn)���、修理��、編號���、簽收制度,并要求信息管理員每天下班前進(jìn)行系統(tǒng)備份��。
(四)信息技術(shù)產(chǎn)品和服務(wù)國產(chǎn)化情況
1���、終端計(jì)算機(jī)的保密系統(tǒng)和防火墻���、殺毒軟件等,皆為國產(chǎn)產(chǎn)品���。
2���、公文處理軟件具體使用金山軟件的wps系統(tǒng)。
3��、工資系統(tǒng)��、年報(bào)系統(tǒng)等皆為市政府��、市委統(tǒng)一指定產(chǎn)品系統(tǒng)���。
(五)安全教育培訓(xùn)情況
1��、派專人參加了市政府組織的網(wǎng)絡(luò)系統(tǒng)安全知識培訓(xùn)��,并專門負(fù)責(zé)我鎮(zhèn)的網(wǎng)絡(luò)安全管理和信息安全工作��。
2��、安全小組組織了一次對基本的信息安全常識的學(xué)習(xí)活動���。
二��、自查中發(fā)現(xiàn)的不足和整改意見
根據(jù)《通知》中的具體要求��,在自查過程中我們也發(fā)現(xiàn)了一些不足���,同時結(jié)合我鎮(zhèn)實(shí)際,今后要在以下幾個方面進(jìn)行整改�����。
1�����、安全意識不夠���。要繼續(xù)加強(qiáng)對機(jī)關(guān)干部的安全意識教育��,提高做好安全工作的主動性和自覺性��。
2��、設(shè)備維護(hù)��、更新及時��。要加大對線路���、系統(tǒng)等的及時維護(hù)和保養(yǎng),同時��,針對信息技術(shù)的飛快發(fā)展的特點(diǎn)��,要加大更新力度��。
3��、安全工作的水平還有待提高�����。對信息安全的管護(hù)還處于初級水平��,提高安全工作的現(xiàn)代化水平��,有利于我們進(jìn)一步加強(qiáng)對計(jì)算機(jī)信息系統(tǒng)安全的防范和保密工作���。
4�����、工作機(jī)制有待完善�����。創(chuàng)新安全工作機(jī)制���,是信息工作新形勢的必然要求���,這有利于提高機(jī)關(guān)網(wǎng)絡(luò)信息工作的運(yùn)行效率,有利于辦公秩序的進(jìn)一步規(guī)范��。
信息安全檢查總結(jié)報(bào)告范文四:
根據(jù)《衡陽市人民政府辦公室關(guān)于開展全市重點(diǎn)領(lǐng)域網(wǎng)絡(luò)與信息安全檢查的通知》精神���,xx月10日���,由市電政辦牽頭,組織對全市政府信息系統(tǒng)進(jìn)行自查工作�����,現(xiàn)將自查情況總結(jié)如下:
一、網(wǎng)絡(luò)與信息安全自查工作組織開展情況
xx月10日起��,由市電政辦牽頭���,對各市直各單位當(dāng)前網(wǎng)絡(luò)與信息安全進(jìn)行了一次全面的調(diào)查���,此次調(diào)查工作以各單位自查為主,市電政辦抽查為輔的方式進(jìn)行���。自查的重點(diǎn)包括:電政辦中心機(jī)房網(wǎng)絡(luò)檢修、黨政門戶網(wǎng)維護(hù)密碼防護(hù)升級���,市直各單位的信息系統(tǒng)的運(yùn)行情況摸底調(diào)查��、市直各單位客戶機(jī)病毒檢測���,市直各單位網(wǎng)絡(luò)數(shù)據(jù)流量監(jiān)控和數(shù)據(jù)分析等。
二�����、信息安全工作情況
通過上半年電政辦和各單位的努力�����,我市在網(wǎng)絡(luò)與信息安全方面主要完成了以下工作:
1、所有接入市電子政務(wù)網(wǎng)的系統(tǒng)嚴(yán)格遵照規(guī)范實(shí)施���,我辦根據(jù)《常寧市黨政門戶網(wǎng)站信息審核制度》�����、《常寧市網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案》��、《“中國?常寧”黨政門戶網(wǎng)站值班讀網(wǎng)制度》��、《"中國?常寧”黨政門戶網(wǎng)站應(yīng)急管理預(yù)案》等制度要求�����,定期組織開展安全檢查��,確保各項(xiàng)安全保障措施落實(shí)到位���。
2、組織信息安全培訓(xùn)��。面向市直政府部門及信息安全技術(shù)人員進(jìn)行了網(wǎng)站滲透攻擊與防護(hù)、病毒原理與防護(hù)等專題培訓(xùn)���,提高了信息安全保障技能��。
3���、加強(qiáng)對黨政門戶網(wǎng)站巡檢。定期對各部門子網(wǎng)站進(jìn)行外部web安全檢查�����,出具安全風(fēng)險(xiǎn)掃描報(bào)告��,并協(xié)助�����、督促相關(guān)部門進(jìn)行安全加固���。
4、做好重要時期信息安全保障�����。采取一系列有效措施��,實(shí)行24小時值班制及安全日報(bào)制,與重點(diǎn)部門簽訂信息安全保障承諾書���,加強(qiáng)互聯(lián)網(wǎng)出口訪問的實(shí)時監(jiān)控�����,確保xx大期間信息系統(tǒng)安全��。
三���、自查發(fā)現(xiàn)的主要問題和面臨的威脅分析
通過這次自查,我們也發(fā)現(xiàn)了當(dāng)前還存在的一些問題:
1�����、部分單位規(guī)章制度不夠完善��,未能覆蓋信息系統(tǒng)安全的所有方面��。
2���、少數(shù)單位的工作人員安全意識不夠強(qiáng)��,日常運(yùn)維管理缺乏主動性和自覺性���,在規(guī)章制度執(zhí)行不嚴(yán)���、操作不規(guī)范的情況。
3��、存在計(jì)算機(jī)病毒感染的情況��,特別是U盤���、移動硬盤等移動存儲設(shè)備帶來的安全問題不容忽視��。
4���、信息安全經(jīng)費(fèi)投入不足,風(fēng)險(xiǎn)評估�����、等級保護(hù)等有待加強(qiáng)��。
5��、信息安全管理人員信息安全知識和技能不足��,主要依靠外部安全服務(wù)公司的力量��。
四��、改進(jìn)措施和整改結(jié)果
在認(rèn)真分析���、總結(jié)前期各單位自查工作的基礎(chǔ)上��,xx月12日�����,我辦抽調(diào)3名同志組成檢查組��,對部分市直機(jī)關(guān)的重要信息系統(tǒng)安全情況進(jìn)行抽查���。檢查組共掃描了18個單位的門戶網(wǎng)站,采用自動和人工相結(jié)合的方式對15臺重要業(yè)務(wù)系統(tǒng)服務(wù)器���、46臺客戶端���、10臺交換機(jī)和10臺防火墻進(jìn)行了安全檢查��。
檢查組認(rèn)真貫徹“檢查就是服務(wù)”的理念�����,按照《衡陽市人民政府辦公室關(guān)于開展全市重點(diǎn)領(lǐng)域網(wǎng)絡(luò)與信息安全檢查的通知》要求對抽查單位進(jìn)行了細(xì)致周到的安全巡檢���,提供了一次全面的安全風(fēng)險(xiǎn)評估服務(wù),受到了服務(wù)單位的歡迎和肯定�����。檢查從自查情況核實(shí)到管理制度落實(shí)���,從網(wǎng)站外部安全掃描到重要業(yè)務(wù)系統(tǒng)安全檢測�����,從整體網(wǎng)絡(luò)安全評測到機(jī)房物理環(huán)境實(shí)地勘查���,全面了解了各單位信息安全現(xiàn)狀,發(fā)現(xiàn)了一些安全問題��,及時消除了一些安全隱患�����,有針對性地提出了整改建議�����,督促有關(guān)單位對照報(bào)告認(rèn)真落實(shí)整改��。通過信息安全檢查���,使各單位進(jìn)一步提高了思想認(rèn)識��,完善了安全管理制度��,強(qiáng)化了安全防范措施���,落實(shí)了安全問題的整改,全市安全保障能力顯著提高�����。
五���、關(guān)于加強(qiáng)信息安全工作的意見和建議
針對上述發(fā)現(xiàn)的問題�����,我市積極進(jìn)行整改�����,主要措施有:
1��、對照《衡陽市人民政府辦公室關(guān)于開展全市重點(diǎn)領(lǐng)域網(wǎng)絡(luò)與信息安全檢查的通知》要求�����,要求各單位進(jìn)一步完善規(guī)章制度�����,將各項(xiàng)制度落實(shí)到位��。
2��、繼續(xù)加大對機(jī)關(guān)全體工作人員的安全教育培訓(xùn)�����,提高信息安全技能���,主動���、自覺地做好安全工作。
3�����、加強(qiáng)信息安全檢查�����,督促各單位把安全制度���、安全措施切實(shí)落實(shí)到位��,對于導(dǎo)致不良后果的安全事件責(zé)任人���,要嚴(yán)肅追究責(zé)任。
4��、繼續(xù)完善信息安全設(shè)施���,密切監(jiān)測�����、監(jiān)控電子政務(wù)網(wǎng)絡(luò)�����,從邊界防護(hù)���、訪問控制�����、入侵檢測��、行為審計(jì)�����、防毒防護(hù)���、網(wǎng)站保護(hù)等方面建立起全方位的安全防護(hù)體系。
5�����、加大應(yīng)急管理工作推進(jìn)力度,在全市信息安全員隊(duì)伍的基礎(chǔ)上組建一支應(yīng)急支援技術(shù)隊(duì)伍��,加強(qiáng)部門間協(xié)作��,完善應(yīng)急預(yù)案�����,做好應(yīng)急演練���,將安全事件的影響降到最低。
信息安全檢查總結(jié)報(bào)告范文五:
按照盟信息化領(lǐng)導(dǎo)小組《關(guān)于20xx年我盟開展重點(diǎn)領(lǐng)域信息安全檢查工作的通知》(阿信領(lǐng)辦字〔20xx〕2號)要求��,我局對信息安全管理工作進(jìn)行自查��,現(xiàn)報(bào)告如下:
一�����、信息安全檢查工作組織開展情況
按照《政府部門信息安全檢查操作指南》規(guī)定��,我局成立了由王軍副局長擔(dān)任組長的信息安全檢查工作組��,制發(fā)了《阿拉善盟安全生產(chǎn)監(jiān)督管理局信息安全檢查工作方案》,召開專題會議對信息安全檢查工作進(jìn)行安排部署�����,從8月1日起在單位內(nèi)部開展了為期30天的信息安全自查和基本信息梳理等相關(guān)工作���。
二�����、20xx年信息安全主要工作情況
安全管理方面��,制定了《阿拉善盟安全生產(chǎn)監(jiān)督管理局信息安全管理制度》�����、《存儲介質(zhì)管理制度》�����、《人員離職離崗安全規(guī)定》等制度���,重要崗位人員簽訂了安全保密協(xié)議。
技術(shù)防護(hù)方面���,網(wǎng)站服務(wù)器及計(jì)算機(jī)設(shè)置防火墻�����,拒絕外來惡意攻擊��,保障網(wǎng)絡(luò)正常運(yùn)行��,安裝了正牌的防病毒軟件���,對計(jì)算機(jī)病毒��、有害電子郵件采取有效防范,根據(jù)系統(tǒng)服務(wù)需求�����,按需開放端口��,遵循最小服務(wù)配置原則���。一旦發(fā)生網(wǎng)絡(luò)信息安全事故應(yīng)立即報(bào)告相關(guān)方面并及時進(jìn)行協(xié)調(diào)處理�����。
應(yīng)急處理方面,加強(qiáng)了網(wǎng)絡(luò)管理人員應(yīng)急處理相關(guān)培訓(xùn)教育,對突發(fā)網(wǎng)絡(luò)信息安全事故可快速安全地處理���。
教育培訓(xùn)方面,對全體干部職工開展了信息安全教育培訓(xùn)���。
三�、檢查發(fā)現(xiàn)的主要問題和面臨的威脅分析
1. 發(fā)現(xiàn)的主要問題和薄弱環(huán)節(jié)
自查發(fā)現(xiàn)個別人員計(jì)算機(jī)安全意識不強(qiáng)���。在以后的工作中我們將繼續(xù)加強(qiáng)對計(jì)算機(jī)安全意識教育和防范技能訓(xùn)練讓干部職工充分認(rèn)識到計(jì)算機(jī)泄密后的嚴(yán)重性與可怕性�����。
2.面臨的安全威脅與風(fēng)險(xiǎn)
無�。
3.整體安全狀況的基本判斷
網(wǎng)絡(luò)安全總體狀況良好�����,未發(fā)生重大信息安全事故�。
四、改進(jìn)措施與整改效果
1. 改進(jìn)措施
為保證網(wǎng)絡(luò)安全有效地運(yùn)行�,減少病毒侵入,我局就網(wǎng)絡(luò)安全及系統(tǒng)安全的有關(guān)知識進(jìn)行了培訓(xùn)�。期間�����,大家對實(shí)際工作中遇到的計(jì)算機(jī)方面的有關(guān)問題進(jìn)行了詳細(xì)的咨詢�����,并得到了滿意的答復(fù)���。
2. 整改效果
經(jīng)過培訓(xùn)教育,全體干部職工對網(wǎng)絡(luò)信息安全有了更深入的了解�����,并在工作中時刻注意維護(hù)信息安全�����。
五�、關(guān)于加強(qiáng)信息安全工作的意見和建議
第4篇
一�����、貫徹落實(shí)條例情況
二00八年以來,在***市人大和信息化工作領(lǐng)導(dǎo)小組的正確指導(dǎo)下���,***市公安局為了深入貫徹落實(shí)科學(xué)發(fā)展觀,進(jìn)一步優(yōu)化我市信息化發(fā)展環(huán)境,推進(jìn)我市信息化正規(guī)化發(fā)展.按照市人大通知精神���,成立了***市公安局信息化安全領(lǐng)導(dǎo)小組���,并組織相關(guān)人員對《***信息化條例》進(jìn)行了認(rèn)真學(xué)習(xí),學(xué)習(xí)后按照職責(zé)要求對全市從事國際聯(lián)網(wǎng)業(yè)務(wù)的單位和個人進(jìn)行了安全監(jiān)督���、檢查和指導(dǎo)���,歷年無信息安全事件發(fā)生。
二�����、歷年工作情況
首先每年每季度組織全市涉及信息化安全的單位召開信息化安全會議�����,在組織各單位學(xué)習(xí)信息化條例及網(wǎng)絡(luò)安全知識的同時���,總結(jié)各單位網(wǎng)絡(luò)信息化安全事件���,并對各單位網(wǎng)絡(luò)信息化安全工作提出要求���。
首先每年每季度對全市ISPICP單位進(jìn)行安全檢查,發(fā)現(xiàn)問題發(fā)放整改通知書���,督促其落實(shí)安全保護(hù)技術(shù)措施�,保障本網(wǎng)絡(luò)的運(yùn)行安全和信息安全�,并要求其對網(wǎng)絡(luò)個人用戶進(jìn)行備案管理和安全教育及培訓(xùn)。對全市重點(diǎn)單位開展了全市非經(jīng)營經(jīng)聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所的安全軟件安裝工作�����,有效的保障了非經(jīng)營聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所的安全運(yùn)行���。
三���、存在的不足
在貫徹執(zhí)行條例中涉及本單位職責(zé)范圍的工作時,由于部分單位對網(wǎng)絡(luò)安全監(jiān)察工作不是太理解�����,所以對我局開展的網(wǎng)絡(luò)安全監(jiān)察工作配合意識不強(qiáng)�����,對網(wǎng)絡(luò)信息化安全工作開展形成了障礙�,造成了部分工作滯后,網(wǎng)絡(luò)信息安全責(zé)任制落實(shí)不到位的情況�。
四、下步打算
下步工作中���,***市公安局將按照市人大及信息化辦公室的要求�,認(rèn)真貫徹落實(shí)條例內(nèi)容�,按照本單位職責(zé),在做好本單位工作的同時�,對全市涉及網(wǎng)絡(luò)信息安全的單位及個人進(jìn)行全面督促檢查,履行職責(zé)�,為全力推動我市信息化健康、協(xié)調(diào)發(fā)展貢獻(xiàn)力量�。
第5篇
為切實(shí)加強(qiáng)對全省政府系統(tǒng)辦公業(yè)務(wù)資源網(wǎng)(以下簡稱省政府專網(wǎng))的安全管理,確保重要網(wǎng)絡(luò)辦公應(yīng)用系統(tǒng)運(yùn)行穩(wěn)定、安全可控,根據(jù)《國務(wù)院辦公廳關(guān)于加強(qiáng)政府信息系統(tǒng)安全和保密管理工作的通知》(〔2008〕17號)精神,經(jīng)省政府同意,現(xiàn)就加強(qiáng)省政府專網(wǎng)安全管理工作通知如下:
一�、提高認(rèn)識,認(rèn)清形勢,高度重視新形勢下省政府專網(wǎng)安全管理工作
省政府專網(wǎng)是以省政府辦公廳為樞紐的全省政府系統(tǒng)辦公業(yè)務(wù)資源網(wǎng),是全省電子政務(wù)建設(shè)的重要組成部分,也是我省推進(jìn)電子政務(wù)建設(shè)的重要基礎(chǔ)。省政府專網(wǎng)自1997年開始建設(shè)使用以來,不斷升級完善,目前已連接各省轄市政府及170家省直單位�����。其網(wǎng)上的主要辦公應(yīng)用有公文交換���、信息采編�、應(yīng)急值班、公務(wù)郵件會議通知報(bào)名等辦公應(yīng)用系統(tǒng)�。同時建設(shè)了省政府專網(wǎng)網(wǎng)站,為各聯(lián)網(wǎng)單位提供了信息共享平臺。
當(dāng)前,網(wǎng)絡(luò)安全形勢十分嚴(yán)峻�。國內(nèi)外敵對勢力大肆利用各種手段對我各級政府信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)攻擊、破壞,竊密手段不斷翻新,竊密活動十分猖獗�。隨著信息化建設(shè)的不斷推進(jìn)和新技術(shù)的發(fā)展運(yùn)用,泄密風(fēng)險(xiǎn)、泄密渠道和泄密隱患明顯增多,網(wǎng)絡(luò)安全管理難度明顯加大�。同時,一些單位和人員信息安全和保密意識淡薄,管理機(jī)制不健全,制度不落實(shí),技術(shù)防護(hù)措施不完善,違規(guī)操作行為有禁不止等問題比較突出。網(wǎng)絡(luò)安全涉及國家安全,各地�����、各部門必須站在維護(hù)國家安全和利益�����、保障中原經(jīng)濟(jì)區(qū)建設(shè)順利進(jìn)行�、加快中原崛起和振興的戰(zhàn)略高度,充分認(rèn)識信息化條件下政府信息系統(tǒng)安全管理面臨的嚴(yán)峻形勢,采取切實(shí)有效措施,加強(qiáng)省政府專網(wǎng)安全管理工作,保障其安全、穩(wěn)定運(yùn)行���。
二�、加強(qiáng)領(lǐng)導(dǎo),明確責(zé)任,健全省政府專網(wǎng)安全管理責(zé)任制
各地���、各部門要把省政府專網(wǎng)安全管理工作列入重要議事日程,加強(qiáng)領(lǐng)導(dǎo),落實(shí)責(zé)任,完善措施,強(qiáng)化監(jiān)管,切實(shí)抓緊抓好�����。省政府辦公廳負(fù)責(zé)規(guī)劃建設(shè)省級政府專網(wǎng)平臺,制定網(wǎng)絡(luò)對接�����、信息交換�����、安全技術(shù)及運(yùn)行管理標(biāo)準(zhǔn)規(guī)范,并對省級政府專網(wǎng)平臺安全負(fù)責(zé)�����。
各地�����、各部門要按照“誰主管誰負(fù)責(zé)�����、誰運(yùn)行誰負(fù)責(zé)�、誰使用誰負(fù)責(zé)”的原則,建立健全省政府專網(wǎng)安全管理責(zé)任制,把責(zé)任落實(shí)到具體崗位和個人。一要明確一名主管領(lǐng)導(dǎo),負(fù)責(zé)本地���、本部門省政府專網(wǎng)安全管理工作,及時研究解決工作中存在的問題,統(tǒng)籌協(xié)調(diào)和保障工作的開展���。二要指定一個內(nèi)設(shè)機(jī)構(gòu)具體承擔(dān)本單位省政府專網(wǎng)安全管理工作,負(fù)責(zé)組織落實(shí)本單位網(wǎng)絡(luò)信息安全保密管理制度,完善防護(hù)措施,開展信息安全保密教育和監(jiān)督檢查等。三要指定一位安全觀念強(qiáng)���、富有責(zé)任心���、懂安全防護(hù)技術(shù)的工作人員擔(dān)任專職或兼職省政府專網(wǎng)安全員,負(fù)責(zé)日常檢查、維護(hù)�、聯(lián)系等工作。四要制定完善網(wǎng)絡(luò)管理崗位責(zé)任制度和辦法,與網(wǎng)絡(luò)管理���、使用人員簽訂安全保密責(zé)任書,明確省政府專網(wǎng)安全管理責(zé)任�����。
三�、強(qiáng)化教育,加強(qiáng)培訓(xùn),提高網(wǎng)絡(luò)安全意識和防護(hù)技能
各地���、各部門要結(jié)合實(shí)際,認(rèn)真組織開展對省政府專網(wǎng)分管領(lǐng)導(dǎo)�����、工作人員的教育培訓(xùn),加強(qiáng)對國家保密法律�����、法規(guī)和網(wǎng)絡(luò)安全保密管理規(guī)定的深入學(xué)習(xí),特別是要對網(wǎng)絡(luò)管理人員和專兼職網(wǎng)絡(luò)安全員開展崗位任職培訓(xùn)���。當(dāng)前,要嚴(yán)格落實(shí)省政府專網(wǎng)安全管理工作要求,一是嚴(yán)禁將網(wǎng)絡(luò)、信息系統(tǒng)和國際互聯(lián)網(wǎng)等公共信息網(wǎng)接入省政府專網(wǎng);二是嚴(yán)禁在計(jì)算機(jī)與連接省政府專網(wǎng)計(jì)算機(jī)之間交叉使用U盤等移動存儲設(shè)備;三是嚴(yán)禁在沒有防護(hù)措施的情況下將國際互聯(lián)網(wǎng)等公共信息網(wǎng)上的數(shù)據(jù)拷貝到省政府專網(wǎng);四是嚴(yán)禁計(jì)算機(jī)���、連接互聯(lián)網(wǎng)的計(jì)算機(jī)與連接省政府專網(wǎng)的計(jì)算機(jī)混用���。行政機(jī)關(guān)及其工作人員要切實(shí)遵守信息安全和保密管理各項(xiàng)規(guī)定,做到令行禁止,杜絕安全隱患。
四�����、完善措施,增強(qiáng)能力,夯實(shí)安全工作基礎(chǔ)
(一)實(shí)行嚴(yán)格的網(wǎng)絡(luò)隔離�����。省政府專網(wǎng)是非的全省政府系統(tǒng)內(nèi)部辦公網(wǎng)絡(luò),要與網(wǎng)絡(luò)以及國際互聯(lián)網(wǎng)等公共信息網(wǎng)物理隔離,專網(wǎng)專用�����。
(二)實(shí)行嚴(yán)格的接入管理。省政府辦公廳對省政府專網(wǎng)實(shí)行嚴(yán)格的網(wǎng)絡(luò)接入審批制度,擬接入省政府專網(wǎng)的單位要以書面形式向省政府辦公廳提出申請�。對已經(jīng)接入省政府專網(wǎng)的單位,必須按照省政府辦公廳統(tǒng)一分配的域名、IP(網(wǎng)絡(luò)之間互連的協(xié)議)地址段等配置相關(guān)設(shè)備,未經(jīng)批準(zhǔn)不得隨意改動;符合安全要求的單位要將本單位辦公局域網(wǎng)整體接入省政府專網(wǎng);如將接入省政府專網(wǎng)的網(wǎng)絡(luò)向下連接或改變省政府專網(wǎng)連接方式���、范圍,或利用省政府專網(wǎng)開展新的縱向辦公應(yīng)用,須先制定網(wǎng)絡(luò)系統(tǒng)方案和工作方案,并報(bào)省政府辦公廳電子政務(wù)辦公室審核�����。
(三)實(shí)行嚴(yán)格的內(nèi)容管理�。連接省政府專網(wǎng)的計(jì)算機(jī)���、服務(wù)器和其他設(shè)備不得用于存儲�、處理�、傳輸涉及國家秘密的信息。接入省政府專網(wǎng)的用戶不得利用省政府專網(wǎng)制作�、復(fù)制或傳播各類不良信息,不得從事干擾其他省政府專網(wǎng)用戶、破壞網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)設(shè)備的活動,如在網(wǎng)絡(luò)上不真實(shí)的信息���、散布計(jì)算機(jī)病毒等�。
(四)實(shí)行計(jì)算機(jī)配置管理和安全審計(jì)�。各單位要對連接省政府專網(wǎng)的計(jì)算機(jī)和移動存儲設(shè)備實(shí)行配置管理,統(tǒng)一編號�、統(tǒng)一標(biāo)志�����、統(tǒng)一登記;對辦公用計(jì)算機(jī)逐步加裝安全審計(jì)工具,定期進(jìn)行安全審計(jì)�����。
(五)增強(qiáng)網(wǎng)絡(luò)安全保障能力���。各地、各部門要加快信息安全防護(hù)設(shè)施建設(shè),將信息安全防護(hù)設(shè)施建設(shè)�����、運(yùn)行�����、維護(hù)���、檢查和管理費(fèi)用納入預(yù)算,保證資金落實(shí)���。同時,要加快建立健全以身份認(rèn)證�����、訪問控制�、安全審計(jì)�、責(zé)任認(rèn)定、病毒防護(hù)等為主要內(nèi)容的網(wǎng)絡(luò)安全體系,完善網(wǎng)絡(luò)安全技術(shù)防護(hù)手段���。
第6篇
該文對供水企業(yè)信息集成系統(tǒng)安全進(jìn)行分析�,并探討了可以針對性改進(jìn)的安全防護(hù)措施�。首先對當(dāng)前供水信息系統(tǒng)安全現(xiàn)狀做具體分析,然后研究了在“自主定級�,自主保護(hù)”的原則下改進(jìn)和提高供水企業(yè)集成信息系統(tǒng)安全具體的執(zhí)行方案,最終實(shí)現(xiàn)供水企業(yè)信息集成系統(tǒng)的信息安全防護(hù)�。
關(guān)鍵詞:
供水企業(yè)信息集成系統(tǒng);等級保護(hù)�����;信息安全
供水行業(yè)對國計(jì)民生很重要的一個行業(yè)�����,供水企業(yè)的業(yè)務(wù)性質(zhì)要求以信息的整體化為基本立足點(diǎn)�,集中管理所有涉及運(yùn)營的相關(guān)數(shù)據(jù)�����,針對供水企業(yè)運(yùn)行的特殊要求���,進(jìn)行集中的規(guī)劃和架構(gòu),將不同專業(yè)的應(yīng)用系統(tǒng)進(jìn)行整合�����,最終形成完整的供水企業(yè)綜合信息平臺���。[1]而集成系統(tǒng)中最重要的一個要求就是信息安全。
隨著大數(shù)據(jù)時代的到來�����,網(wǎng)格���、分布式計(jì)算�、云計(jì)算�����、物聯(lián)網(wǎng)等新技術(shù)相繼推出,對供水企業(yè)信息集成與應(yīng)用也提出了更高的要求�����。而隨著應(yīng)用的擴(kuò)展�,應(yīng)用中存在著大量的安全隱患,網(wǎng)絡(luò)黑客���、木馬�、病毒和人為的破壞等將大量的安全威脅帶給信息系統(tǒng)���。根據(jù)美國Radicati公司于2015年3月的調(diào)查報(bào)告���,截至2014年12月,網(wǎng)絡(luò)攻擊已經(jīng)為全球計(jì)算機(jī)網(wǎng)絡(luò)安全造成高達(dá)上萬億美元的損失���。而且隨著網(wǎng)絡(luò)應(yīng)用的規(guī)模進(jìn)一步上升�,計(jì)算機(jī)網(wǎng)絡(luò)信息安全威脅造成的損失正在呈幾何級數(shù)增長�。根據(jù)2015年的中國網(wǎng)絡(luò)安全分析報(bào)告,2014年報(bào)告的網(wǎng)絡(luò)安全攻擊事件比2013年增加了100多倍�。2014年,搜狗由于網(wǎng)絡(luò)黑客攻擊導(dǎo)致搜索服務(wù)在全國各地都出現(xiàn)了長達(dá)25分鐘無法使用�。2014年7月���,某域名服務(wù)商的域名解析服務(wù)器發(fā)生了網(wǎng)絡(luò)黑客的集中式攻擊,造成在其公司注冊的13%的網(wǎng)站無法訪問�,時間長達(dá)17個小時,經(jīng)濟(jì)損失不可估量�。因此,從信息安全的角度���,要對供水企業(yè)信息集成系統(tǒng)進(jìn)行防護(hù)���,降低信息安全事故的發(fā)生的概率,降低其危害���,是本文需要研究的內(nèi)容�。
1當(dāng)前供水企業(yè)信息集成系統(tǒng)安全防護(hù)的現(xiàn)狀和存在的問題
伴隨著科技的不斷發(fā)展�,供水企業(yè)的信息化建設(shè)也得到了很大的發(fā)展�,主要是從深度和廣度兩個層面做進(jìn)一步拓展。典型的供水企業(yè)信息集成系統(tǒng)涵蓋了生產(chǎn)調(diào)度系統(tǒng)�、銷售系統(tǒng)、管網(wǎng)信息系統(tǒng)�����、財(cái)務(wù)管理系統(tǒng)、人事管理系統(tǒng)�����、辦公自動化系統(tǒng)等子系統(tǒng)�。其中多個系統(tǒng)數(shù)據(jù)需要接受外部訪問,存在大量的安全隱患�。目前,威脅到供水企業(yè)信息安全的風(fēng)險(xiǎn)因素主要分為三個大類:1)人為原因�,如惡意的黑客攻擊、不懷好意的內(nèi)部人員造成的信息外泄���、操作中出現(xiàn)低級錯誤等�。2)數(shù)據(jù)存儲位置位置的風(fēng)險(xiǎn)���?����?赡苡勺匀粸?zāi)害引發(fā)的問題�����,缺乏數(shù)據(jù)備份和恢復(fù)能力�。3)不斷增長的數(shù)據(jù)交互放大了數(shù)據(jù)丟失或泄漏的風(fēng)險(xiǎn)。包括未知的安全漏洞�����、軟件版本���、安全實(shí)踐和代碼更改等���。
2有關(guān)分級防護(hù)的要求
尤其是供水企業(yè)信息集成系統(tǒng)中,存在大量涉及公民個人隱私的信息�,也存在像生產(chǎn)調(diào)度這樣涉及國計(jì)民生的信息。因此�����,需要按照國家有關(guān)信息安全的法律法規(guī)�,明確企業(yè)的信息安全責(zé)任。提升供水企業(yè)信息管理區(qū)內(nèi)的業(yè)務(wù)系統(tǒng)信息安全防護(hù)�。依據(jù)《信息安全等級保護(hù)管理辦法》(公通字[2007]43號)第十四條,信息系統(tǒng)建設(shè)完成后�����,運(yùn)營�、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測評機(jī)構(gòu),依據(jù)《信息系統(tǒng)安全等級保護(hù)測評要求》等技術(shù)標(biāo)準(zhǔn)���,定期對信息系統(tǒng)安全等級狀況開展等級測評���。定級標(biāo)準(zhǔn)按照國家標(biāo)準(zhǔn)《信息系統(tǒng)安全等級保護(hù)定級指南》(GB/T22240—2008)實(shí)施,根據(jù)等級保護(hù)相關(guān)管理文件�,信息系統(tǒng)的安全保護(hù)等級分為以下五級:第一級,信息系統(tǒng)受到破壞后���,會對公民�、法人和其他組織的合法權(quán)益造成損害�����,但不損害國家安全�、社會秩序和公共利益。
第二級���,信息系統(tǒng)受到破壞后�,會對公民�����、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對社會秩序和公共利益造成損害�,但不損害國家安全。第三級���,信息系統(tǒng)受到破壞后�,會對社會秩序和公共利益造成嚴(yán)重?fù)p害�,或者對國家安全造成損害。第四級�����,信息系統(tǒng)受到破壞后���,會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害���,或者對國家安全造成嚴(yán)重?fù)p害。第五級�����,信息系統(tǒng)受到破壞后�,會對國家安全造成特別嚴(yán)重?fù)p害���。等級保護(hù)對象受到破壞后對客體造成侵害的程度歸結(jié)為以下三種:1)造成一般損害�����;2)造成嚴(yán)重?fù)p害�;3)造成特別嚴(yán)重?fù)p害。
3分別防護(hù)實(shí)施步驟
根據(jù)有關(guān)法律法規(guī)�����,建設(shè)完成并投入使用的信息系統(tǒng)�����,其有關(guān)使用此系統(tǒng)的單位需要對其系統(tǒng)的等級狀況做定期的測評���。供水企業(yè)要遵照要求選擇具有資質(zhì)的測評機(jī)構(gòu)來對管理信息區(qū)的業(yè)務(wù)系統(tǒng)做等級保護(hù)的測評工作�����。其所得到的結(jié)果如下表1所示:通常情況下�,供水企業(yè)信息系統(tǒng)中不會出現(xiàn)第四級和第五級的系統(tǒng)���。根據(jù)測評結(jié)果���,有必要對供水企業(yè)內(nèi)部的局域網(wǎng)進(jìn)行系統(tǒng)化整改���。具體的整改內(nèi)容包括兩項(xiàng)主要內(nèi)容:細(xì)化各業(yè)務(wù)系統(tǒng)服務(wù)器的物理位置;按照需求設(shè)置信息安全區(qū)域���。根據(jù)供水企業(yè)信息集成系統(tǒng)的具體實(shí)際���,主要有等級包括三個業(yè)務(wù)區(qū)域,以及一個公共業(yè)務(wù)區(qū)和測評業(yè)務(wù)區(qū)���。按照上述原則對供水企業(yè)信息集成系統(tǒng)服務(wù)器做物理劃分如圖1所示�����。不同等級的系統(tǒng)服務(wù)器針對不同級別的信息安全區(qū)進(jìn)行設(shè)置���。等級為一、二���、三的業(yè)務(wù)區(qū)分別安裝著對應(yīng)的服務(wù)器�����,而公共業(yè)務(wù)區(qū)域的服務(wù)器主要是DNS服務(wù)器或者是域服務(wù)器�����。公共業(yè)務(wù)區(qū)服務(wù)器主要為基礎(chǔ)服務(wù)提供非業(yè)務(wù)系統(tǒng)服務(wù)���,不需要進(jìn)行保護(hù)分級。測評業(yè)務(wù)區(qū)提供是投入正式使用前的測試服務(wù)器���。
依據(jù)表1的測評結(jié)果���,將安全區(qū)域進(jìn)行細(xì)化表2所示的就是企業(yè)管理信息區(qū),其主要業(yè)務(wù)系統(tǒng)對安全區(qū)域存放問題的展示�����。根據(jù)表2得到的結(jié)果���,可以將信息安全設(shè)備存放在不同信息區(qū)域邊界內(nèi)���,以此達(dá)到服務(wù)器分級防護(hù)目的���。信息安全設(shè)備設(shè)置在信息安全區(qū)域邊界,也就是局域網(wǎng)與信息安全區(qū)域之間的連接部�。信息安全設(shè)備主要是防火墻、查殺病毒���、攻擊防護(hù)�����、服務(wù)防護(hù)禁止�、授權(quán)等�����。對于不同區(qū)域邊界的信息安全的部署建議���,供水企業(yè)要遵照各自的實(shí)際情況做周密的設(shè)置�。供水企業(yè)管理信息安全區(qū)域邊界防護(hù)表見表3�����。將信息安全防護(hù)設(shè)備部署在所在的區(qū)域邊界內(nèi),如此可以初步實(shí)現(xiàn)對供水企業(yè)管理信息區(qū)的信息安全防護(hù)�。
4結(jié)束語
隨著大數(shù)據(jù)的發(fā)展,對供水企業(yè)信息集成系統(tǒng)在數(shù)據(jù)的交互和應(yīng)用方面會提出更高的要求�,也大大加強(qiáng)了安全防護(hù)措施的重要性和迫切性。在安全防護(hù)措施基本到位的前提下�,還需要加強(qiáng)信息審計(jì),及時發(fā)現(xiàn)和補(bǔ)救系統(tǒng)缺陷�����,加強(qiáng)數(shù)據(jù)庫安全防護(hù)�,維護(hù)管理系統(tǒng)的隱患���。
參考文獻(xiàn):
[1]孫鋒.基于多agent技術(shù)的供水企業(yè)信息集成系統(tǒng)研究[J].供水技術(shù),2015(10).
第7篇
第一條 為加強(qiáng)對具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)和相關(guān)新技術(shù)新應(yīng)用的安全管理�����,規(guī)范互聯(lián)網(wǎng)信息服務(wù)活動�,維護(hù)國家安全�、社會秩序和公共利益,根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《互聯(lián)網(wǎng)信息服務(wù)管理辦法》《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》�,制訂本規(guī)定。
第二條 本規(guī)定所稱具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)�����,包括下列情形:
(一)開辦論壇、博客�、微博客、聊天室�、通訊群組、公眾賬號�����、短視頻�、網(wǎng)絡(luò)直播、信息分享�、小程序等信息服務(wù)或者附設(shè)相應(yīng)功能;
(二)開辦提供公眾輿論表達(dá)渠道或者具有發(fā)動社會公眾從事特定活動能力的其他互聯(lián)網(wǎng)信息服務(wù)�����。
第三條 互聯(lián)網(wǎng)信息服務(wù)提供者具有下列情形之一的�,應(yīng)當(dāng)依照本規(guī)定自行開展安全評估,并對評估結(jié)果負(fù)責(zé):
(一)具有輿論屬性或社會動員能力的信息服務(wù)上線���,或者信息服務(wù)增設(shè)相關(guān)功能的�;
(二)使用新技術(shù)新應(yīng)用�����,使信息服務(wù)的功能屬性、技術(shù)實(shí)現(xiàn)方式�、基礎(chǔ)資源配置等發(fā)生重大變更,導(dǎo)致輿論屬性或者社會動員能力發(fā)生重大變化的�;
(三)用戶規(guī)模顯著增加,導(dǎo)致信息服務(wù)的輿論屬性或者社會動員能力發(fā)生重大變化的�����;
(四)發(fā)生違法有害信息傳播擴(kuò)散���,表明已有安全措施難以有效防控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的�����;
(五)地市級以上網(wǎng)信部門或者公安機(jī)關(guān)書面通知需要進(jìn)行安全評估的其他情形。
第四條 互聯(lián)網(wǎng)信息服務(wù)提供者可以自行實(shí)施安全評估�����,也可以委托第三方安全評估機(jī)構(gòu)實(shí)施�����。
第五條 互聯(lián)網(wǎng)信息服務(wù)提供者開展安全評估,應(yīng)當(dāng)對信息服務(wù)和新技術(shù)新應(yīng)用的合法性�����,落實(shí)法律�、行政法規(guī)、部門規(guī)章和標(biāo)準(zhǔn)規(guī)定的安全措施的有效性�����,防控安全風(fēng)險(xiǎn)的有效性等情況進(jìn)行全面評估�����,并重點(diǎn)評估下列內(nèi)容:
(一)確定與所提供服務(wù)相適應(yīng)的安全管理負(fù)責(zé)人�����、信息審核人員或者建立安全管理機(jī)構(gòu)的情況�;
(二)用戶真實(shí)身份核驗(yàn)以及注冊信息留存措施;
(三)對用戶的賬號���、操作時間�����、操作類型���、網(wǎng)絡(luò)源地址和目標(biāo)地址�、網(wǎng)絡(luò)源端口���、客戶端硬件特征等日志信息�����,以及用戶信息記錄的留存措施���;
(四)對用戶賬號和通訊群組名稱、昵稱���、簡介�、備注�、標(biāo)識,信息�����、轉(zhuǎn)發(fā)�����、評論和通訊群組等服務(wù)功能中違法有害信息的防范處置和有關(guān)記錄保存措施�;
(五)個人信息保護(hù)以及防范違法有害信息傳播擴(kuò)散、社會動員功能失控風(fēng)險(xiǎn)的技術(shù)措施�;
(六)建立投訴、舉報(bào)制度�,公布投訴、舉報(bào)方式等信息���,及時受理并處理有關(guān)投訴和舉報(bào)的情況�;
(七)建立為網(wǎng)信部門依法履行互聯(lián)網(wǎng)信息服務(wù)監(jiān)督管理職責(zé)提供技術(shù)�����、數(shù)據(jù)支持和協(xié)助的工作機(jī)制的情況�;
(八)建立為公安機(jī)關(guān)、國家安全機(jī)關(guān)依法維護(hù)國家安全和查處違法犯罪提供技術(shù)�、數(shù)據(jù)支持和協(xié)助的工作機(jī)制的情況。
第六條 互聯(lián)網(wǎng)信息服務(wù)提供者在安全評估中發(fā)現(xiàn)存在安全隱患的���,應(yīng)當(dāng)及時整改���,直至消除相關(guān)安全隱患�����。
經(jīng)過安全評估���,符合法律、行政法規(guī)���、部門規(guī)章和標(biāo)準(zhǔn)的�����,應(yīng)當(dāng)形成安全評估報(bào)告���。安全評估報(bào)告應(yīng)當(dāng)包括下列內(nèi)容:
(一)互聯(lián)網(wǎng)信息服務(wù)的功能、服務(wù)范圍�����、軟硬件設(shè)施�����、部署位置等基本情況和相關(guān)證照獲取情況���;
(二)安全管理制度和技術(shù)措施落實(shí)情況及風(fēng)險(xiǎn)防控效果�;
(三)安全評估結(jié)論�;
(四)其他應(yīng)當(dāng)說明的相關(guān)情況。
第七條 互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當(dāng)將安全評估報(bào)告通過全國互聯(lián)網(wǎng)安全管理服務(wù)平臺提交所在地地市級以上網(wǎng)信部門和公安機(jī)關(guān)�。
具有本規(guī)定第三條第一項(xiàng)、第二項(xiàng)情形的�,互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當(dāng)在信息服務(wù)、新技術(shù)新應(yīng)用上線或者功能增設(shè)前提交安全評估報(bào)告���;具有本規(guī)定第三條第三�、四���、五項(xiàng)情形的�����,應(yīng)當(dāng)自相關(guān)情形發(fā)生之日起30個工作日內(nèi)提交安全評估報(bào)告�����。
第八條 地市級以上網(wǎng)信部門和公安機(jī)關(guān)應(yīng)當(dāng)依據(jù)各自職責(zé)對安全評估報(bào)告進(jìn)行書面審查�����。
發(fā)現(xiàn)安全評估報(bào)告內(nèi)容�、項(xiàng)目缺失,或者安全評估方法明顯不當(dāng)?shù)?��,?yīng)當(dāng)責(zé)令互聯(lián)網(wǎng)信息服務(wù)提供者限期重新評估���。
發(fā)現(xiàn)安全評估報(bào)告內(nèi)容不清的,可以責(zé)令互聯(lián)網(wǎng)信息服務(wù)提供者補(bǔ)充說明�����。
第九條 網(wǎng)信部門和公安機(jī)關(guān)根據(jù)對安全評估報(bào)告的書面審查情況�����,認(rèn)為有必要的�,應(yīng)當(dāng)依據(jù)各自職責(zé)對互聯(lián)網(wǎng)信息服務(wù)提供者開展現(xiàn)場檢查。
網(wǎng)信部門和公安機(jī)關(guān)開展現(xiàn)場檢查原則上應(yīng)當(dāng)聯(lián)合實(shí)施�,不得干擾互聯(lián)網(wǎng)信息服務(wù)提供者正常的業(yè)務(wù)活動。
第十條 對存在較大安全風(fēng)險(xiǎn)���、可能影響國家安全�����、社會秩序和公共利益的互聯(lián)網(wǎng)信息服務(wù)���,省級以上網(wǎng)信部門和公安機(jī)關(guān)應(yīng)當(dāng)組織專家進(jìn)行評審,必要時可以會同屬地相關(guān)部門開展現(xiàn)場檢查�����。
第十一條 網(wǎng)信部門和公安機(jī)關(guān)開展現(xiàn)場檢查�����,應(yīng)當(dāng)依照有關(guān)法律���、行政法規(guī)���、部門規(guī)章的規(guī)定進(jìn)行。
第十二條 網(wǎng)信部門和公安機(jī)關(guān)應(yīng)當(dāng)建立監(jiān)測管理制度���,加強(qiáng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理���,督促互聯(lián)網(wǎng)信息服務(wù)提供者依法履行網(wǎng)絡(luò)安全義務(wù)。
發(fā)現(xiàn)具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)提供者未按本規(guī)定開展安全評估的,網(wǎng)信部門和公安機(jī)關(guān)應(yīng)當(dāng)通知其按本規(guī)定開展安全評估���。
第十三條 網(wǎng)信部門和公安機(jī)關(guān)發(fā)現(xiàn)具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)提供者拒不按照本規(guī)定開展安全評估的�����,應(yīng)當(dāng)通過全國互聯(lián)網(wǎng)安全管理服務(wù)平臺向公眾提示該互聯(lián)網(wǎng)信息服務(wù)存在安全風(fēng)險(xiǎn)�����,并依照各自職責(zé)對該互聯(lián)網(wǎng)信息服務(wù)實(shí)施監(jiān)督檢查���,發(fā)現(xiàn)存在違法行為的,應(yīng)當(dāng)依法處理�。
第十四條 網(wǎng)信部門統(tǒng)籌協(xié)調(diào)具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)安全評估工作,公安機(jī)關(guān)的安全評估工作情況定期通報(bào)網(wǎng)信部門�。
第十五條 網(wǎng)信部門、公安機(jī)關(guān)及其工作人員對在履行職責(zé)中知悉的國家秘密���、商業(yè)秘密和個人信息應(yīng)當(dāng)嚴(yán)格保密�����,不得泄露�、出售或者非法向他人提供。
第8篇
根據(jù)《基本要求》的規(guī)定���,二級要求的系統(tǒng)防護(hù)能力為:信息系統(tǒng)具有抵御一般攻擊的能力�����,能防范常見計(jì)算機(jī)病毒和惡意代碼危害的能力���,系統(tǒng)遭受破壞后�����,具有恢復(fù)系統(tǒng)主要功能的能力�。數(shù)據(jù)恢復(fù)的能力要求為:系統(tǒng)具有一定的數(shù)據(jù)備份功能和設(shè)備冗余,在遭受破壞后能夠在有限的時間內(nèi)恢復(fù)部分功能�。按照二級的要求,一般情況下分為技術(shù)層面和管理層面的兩個層面對信息系統(tǒng)安全進(jìn)行全面衡量���,技術(shù)層面主要針對機(jī)房的物理?xiàng)l件�、安全審計(jì)�����、入侵防范、邊界�����、主機(jī)安全審計(jì)�����、主機(jī)資源控制�、應(yīng)用資源控制、應(yīng)用安全審計(jì)�、通信完整性和數(shù)據(jù)保密性等多個控制點(diǎn)進(jìn)行測評,而管理層面主要針對管理制度評審修訂�����、安全管理機(jī)構(gòu)的審核和檢查���、人員安全管理�����、系統(tǒng)運(yùn)維管理�、應(yīng)急預(yù)案等方面進(jìn)行綜合評測�。其中技術(shù)類安全要求按照其保護(hù)的側(cè)重點(diǎn)不同分為業(yè)務(wù)信息安全類(S類)�、系統(tǒng)服務(wù)安全類(A類)�����、通用安全防護(hù)類(G類)三類�。水利信息系統(tǒng)通常以S和G類防護(hù)為主,既關(guān)注保護(hù)業(yè)務(wù)信息的安全性�,又關(guān)注保護(hù)系統(tǒng)的連續(xù)可用性。
2水利科研院所信息安全現(xiàn)狀分析
水利科研院所信息系統(tǒng)結(jié)構(gòu)相對簡單���,在管理制度上基本建立了機(jī)房管控制度���、人員安全管理制度等���,技術(shù)上也都基本達(dá)到了一級防護(hù)的要求�����。下面以某水利科研單位為例分析�。某水利科研單位主機(jī)房選址為大樓低層(3層以下)���,且不臨街�。機(jī)房大門為門禁電磁防盜門,機(jī)房內(nèi)安裝多部監(jiān)控探頭�。機(jī)房內(nèi)部劃分為多個獨(dú)立功能區(qū),每個功能區(qū)均安裝門禁隔離���。機(jī)房鋪設(shè)防靜電地板�,且已與大樓防雷接地連接�����。機(jī)房內(nèi)按照面積匹配自動氣體消防�,能夠?qū)馂?zāi)發(fā)生進(jìn)行自動報(bào)警,人工干預(yù)滅火�����。機(jī)房內(nèi)已安裝溫度濕度監(jiān)控探頭�����,對機(jī)房內(nèi)溫濕度自動監(jiān)控并具有報(bào)警功能�,機(jī)房配備較大功率UPS電源,能夠保障關(guān)鍵業(yè)務(wù)系統(tǒng)在斷電后2小時正常工作�。機(jī)房采用通信線路上走線,動力電路下走線方式�。以上物理?xiàng)l件均滿足二級要求�。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分為外聯(lián)區(qū)���、對外服務(wù)區(qū)�、業(yè)務(wù)處理區(qū)和接入?yún)^(qū)4大板塊���,對外服務(wù)區(qū)部署有VPN網(wǎng)關(guān)���,外部人員可通過VPN網(wǎng)關(guān)進(jìn)入加密SSL通道訪問業(yè)務(wù)處理區(qū),接入?yún)^(qū)用戶通過認(rèn)證網(wǎng)關(guān)訪問互聯(lián)網(wǎng)�����。整個網(wǎng)絡(luò)系統(tǒng)未部署入侵檢測(IDS)系統(tǒng)���、非法外聯(lián)檢測系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)系統(tǒng)以及流量控制系統(tǒng)���。由上述拓?fù)浣Y(jié)構(gòu)可以看出���,現(xiàn)有的安全防護(hù)手段可基本保障信息網(wǎng)絡(luò)系統(tǒng)的安全,但按照二級要求�,系統(tǒng)內(nèi)缺少IDS系統(tǒng)�、網(wǎng)絡(luò)安全審計(jì)系統(tǒng)和非法外聯(lián)檢測系統(tǒng)�����,且沒有獨(dú)立的數(shù)據(jù)備份區(qū)域�,給整個信息網(wǎng)安全帶來一定的隱患。新的網(wǎng)絡(luò)系統(tǒng)在外聯(lián)區(qū)邊界防火墻下接入了入侵檢測系統(tǒng)(IDS)���,新規(guī)劃了獨(dú)立的數(shù)據(jù)備份區(qū)域�����,在核心交換機(jī)上部署了網(wǎng)絡(luò)審計(jì)系統(tǒng)�����,并在接入?yún)^(qū)安裝了非法外聯(lián)檢測系統(tǒng)�。形成了較為完整的信息網(wǎng)絡(luò)安全防護(hù)體系�。
3信息系統(tǒng)安全等級測評的內(nèi)容
3.1信息系統(tǒng)等級保護(hù)的總體規(guī)劃
信息系統(tǒng)從規(guī)劃到建立是一個復(fù)雜漫長的過程,需要做好規(guī)劃�����。一般情況下,信息系統(tǒng)的安全規(guī)劃分為計(jì)算機(jī)系統(tǒng)�����、邊界區(qū)域、通信系統(tǒng)的安全設(shè)計(jì)�。相應(yīng)的技術(shù)測評工作也主要圍繞這3個模塊展開。
3.2測評的要素
信息系統(tǒng)是個復(fù)雜工程���,設(shè)備的簡單堆疊并不能有效保障系統(tǒng)的絕對安全�,新建系統(tǒng)應(yīng)嚴(yán)格按照等保規(guī)劃設(shè)計(jì)���,已建系統(tǒng)要對信息系統(tǒng)進(jìn)行安全測試�����,對于測評不合格項(xiàng)對照整改���。信息系統(tǒng)安全測試范圍很廣,主要在網(wǎng)絡(luò)安全�����、主機(jī)安全���、應(yīng)用安全�����、數(shù)據(jù)安全�、物理安全�、管理安全六大方面展開測評。本文僅對測評內(nèi)容要素進(jìn)行描述���,對具體測試方法及工具不作描述�。
3.2.1網(wǎng)絡(luò)安全的測評
水利科研院所網(wǎng)絡(luò)安全的測評主要參照公安部編制《信息安全等級測評》條件對網(wǎng)絡(luò)全局�、路由和交換設(shè)備、防火墻�、入侵檢測系統(tǒng)展開測評。但應(yīng)結(jié)合科研院所實(shí)際有所側(cè)重���。水利科研院所信息系統(tǒng)數(shù)據(jù)傳輸量大�����,網(wǎng)絡(luò)帶寬占用比例相對較高�,因此�����,在網(wǎng)絡(luò)全局中主要測試網(wǎng)絡(luò)設(shè)備是否具備足夠的數(shù)據(jù)處理能力,網(wǎng)絡(luò)設(shè)備資源占用情況�,確保網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力冗余性??蒲性核乩砦恢孟鄬Ψ稚ⅲ虼?����,需要合理的VLAN劃分���,確保局部網(wǎng)絡(luò)攻擊不會引發(fā)全局癱瘓���。科研院所擁有大量的研究生�,這類人群對于制度的約束相對較差,網(wǎng)絡(luò)應(yīng)用多伴有P2P應(yīng)用���,對出口帶寬影響極大���,因此除了用經(jīng)濟(jì)杠桿的手段外,在技術(shù)上要求防火墻配置帶寬控制策略�。同時對“非法接入和外聯(lián)”行為進(jìn)行檢查�。網(wǎng)絡(luò)中應(yīng)配置IDS對端口掃描�����,對木馬���、后門攻擊、網(wǎng)絡(luò)蠕蟲等常見攻擊行為監(jiān)視等等�����。
3.2.2主機(jī)安全測評
主機(jī)安全的測評主要對操作系統(tǒng)�、數(shù)據(jù)庫系統(tǒng)展開測評。通常水利科研院所服務(wù)器種類繁多�,從最多見的機(jī)架式服務(wù)器到曙光一類的大型并行服務(wù)器均有部署,同時操作系統(tǒng)有window系列�����、Linux�、Unix、Solaris等多種操作系統(tǒng)���,數(shù)據(jù)庫以主流SQLSERVER���、ORACLE為主�,早期開發(fā)的系統(tǒng)還有Sybase�����,DB2等數(shù)據(jù)庫���。對于window操作系統(tǒng)是容易被攻擊的重點(diǎn)�,因?yàn)槎壍缺閷徲?jì)級保護(hù)所以重點(diǎn)在于身份鑒別�、訪問控制、安全審計(jì)�����、入侵防范�、惡意代碼4個方面進(jìn)行測評,主要審計(jì)重要用戶行為���、系統(tǒng)資源的異常使用和重要信息的命令使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件���。對于LINUX等其他系統(tǒng)和數(shù)據(jù)庫,主要審計(jì)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的身份標(biāo)識唯一性���,口令應(yīng)復(fù)雜程度以及限制條件等���。
3.2.3應(yīng)用安全測評
水利科研院所內(nèi)部業(yè)務(wù)種類繁多�,如OA系統(tǒng)���,科研管理系統(tǒng),內(nèi)部財(cái)務(wù)系統(tǒng)���、網(wǎng)站服務(wù)器群���,郵件服務(wù)器等,測評的重點(diǎn)主要是對這些業(yè)務(wù)系統(tǒng)逐個測評身份驗(yàn)證���,日志記錄�,訪問控制���、安全審計(jì)等功能���。
3.2.4數(shù)據(jù)安全的測評
數(shù)據(jù)安全的測評主要就數(shù)據(jù)的完整性、保密性已及備份和恢復(fù)可靠性���、時效性展開測評�����。水利科研院所數(shù)據(jù)量十分龐大�,一般達(dá)到上百TB級數(shù)據(jù)量,一旦遭受攻擊���,恢復(fù)任務(wù)十分艱巨�,因此備份區(qū)和應(yīng)用區(qū)應(yīng)該選用光纖直連的方式���,避免電纜數(shù)據(jù)傳輸效率的瓶頸���。日常情況下應(yīng)做好備份計(jì)劃,采用增量備份的方式實(shí)時對數(shù)據(jù)備份�。
3.2.5物理安全測評
機(jī)房的物理安全測評主要是選址是否合理,機(jī)房大門防火防盜性能���,機(jī)房的防雷擊�、防火���、防水防潮防靜電設(shè)施是否完好達(dá)標(biāo)���,溫濕度控制���、電力供應(yīng)以及電磁防護(hù)是否符合規(guī)定等物理?xiàng)l件。
3.2.6安全管理測評
安全管理主要就制定的制度文檔和記錄文檔展開評測���。制度文檔主要分為3類���,流程管理�����,人員管理和設(shè)備管理�。記錄文檔主要為制度文檔的具體實(shí)施形式。在滿足二級的條件下�,一般需要制度文檔有《信息安全管理辦法》、《安全組織及職責(zé)管理規(guī)定》�、《安全審核與檢查管理制度》、《授權(quán)和審批管理規(guī)定》�����、《信息安全制度管理規(guī)范》�����、《內(nèi)部人員安全管理規(guī)定》、《外部人員安全管理規(guī)定》�、《系統(tǒng)設(shè)計(jì)和采購安全管理規(guī)定》、《系統(tǒng)實(shí)施安全管理規(guī)定》�、《系統(tǒng)測試驗(yàn)收和交付安全管理規(guī)定》、《軟件開發(fā)安全管理規(guī)定》�����、《系統(tǒng)運(yùn)維和監(jiān)控安全管理規(guī)定》�、《網(wǎng)絡(luò)安全管理規(guī)定》、《系統(tǒng)安全管理規(guī)定》���、《賬號密碼管理規(guī)定》等基本規(guī)章制度���。同時對管理制度本身進(jìn)行也要規(guī)范管理,如版本控制�����,評審修訂流程等���。需要制定的記錄文檔有《機(jī)房出入登記記錄》�、《機(jī)房基礎(chǔ)設(shè)施維護(hù)記錄》、《各類評審和修訂記錄》���、《人員考核���、審查、培訓(xùn)記錄》�、《各項(xiàng)審批和批準(zhǔn)執(zhí)行記錄》、《產(chǎn)品的測試選型測試結(jié)果記錄》�、《系統(tǒng)驗(yàn)收測試記錄報(bào)告》、《介質(zhì)歸檔查詢等的等級記錄》�����、《主機(jī)系統(tǒng)�,網(wǎng)絡(luò)�����,安全設(shè)備等的操作日志和維護(hù)記錄》�、《機(jī)房日常巡檢記錄》、《安全時間處理過程記錄》�����、《應(yīng)急預(yù)案培訓(xùn),演練�����,審查記錄》等�。
4測評的方式方法
按照《基本要求》在等級測評中,對二級及二級以上的信息系統(tǒng)應(yīng)進(jìn)行工具測試�。
4.1測試目的工具測試
是利用各種測試工具,通過對目標(biāo)系統(tǒng)的掃描���、探測等操作�,使其產(chǎn)生特定的響應(yīng)等活動���,查看分析響應(yīng)結(jié)果�,獲取證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否得以有效實(shí)施的一種方法�����。工具測試種類繁多���,這里特指適用于等保測評過程中的工具測試�。利用工具測試不僅可以直接獲得系統(tǒng)本身存在的漏洞,同時也可以通過不同的區(qū)域接入測試工具所得到的測試結(jié)果判斷出不同區(qū)域之間的訪問控制情況�。利用工具測試并結(jié)合其他的核查手段能為測試結(jié)果提供客觀準(zhǔn)確的保障。
4.2測試流程
收集信息→規(guī)劃接入點(diǎn)→編制《工具測試作業(yè)指導(dǎo)書》→現(xiàn)場測試→結(jié)果整理���。收集信息主要是對網(wǎng)絡(luò)設(shè)備���、安全設(shè)備、主機(jī)設(shè)備型號���、IP地址�����、操作系統(tǒng)以及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等信息進(jìn)行收集�。規(guī)劃接入點(diǎn)是保證不影響整個信息系統(tǒng)網(wǎng)絡(luò)正常運(yùn)行的前提下嚴(yán)格按照方案選定范圍進(jìn)行測試�����。接入點(diǎn)的規(guī)劃隨著網(wǎng)絡(luò)結(jié)構(gòu)�����,訪問控制�����,主機(jī)位置等情況的不同而不同,但應(yīng)該遵循以下規(guī)則�����。(1)由低級別系統(tǒng)向高級別系統(tǒng)探測���。(2)同一系統(tǒng)同等重要程度功能區(qū)域之間要互相探測���。(3)由外聯(lián)接口向系統(tǒng)內(nèi)部探測。(4)跨網(wǎng)絡(luò)隔離設(shè)備(包括網(wǎng)絡(luò)設(shè)備和安全設(shè)備)要分段探測�����。
4.3測試手段
利用漏洞掃描器�����、滲透測試工具集���、協(xié)議分析儀���、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)生成工具更能迅速可靠地找到系統(tǒng)的薄弱環(huán)節(jié)�,為整改方案的編制提供依據(jù)���。
5云計(jì)算與等級保護(hù)
近年來�����,隨著水利科研院各自的云計(jì)算中心相繼建立���,云計(jì)算與以往的計(jì)算模式安全風(fēng)險(xiǎn)差異很大,面臨的風(fēng)險(xiǎn)也更大���,因?yàn)橐酝南到y(tǒng)多數(shù)為集中式管理范圍較小�,安全管理和設(shè)備資源是可控的�,而云計(jì)算是分布式管理,是一個動態(tài)變化的計(jì)算環(huán)境�����,這種環(huán)境在某種意義上是無序的�����,這種虛擬動態(tài)的運(yùn)行環(huán)境更不可控�����,傳統(tǒng)的安全邊界消失�。同時,云計(jì)算在認(rèn)證�、授權(quán)、訪問控制和數(shù)據(jù)保密這些方面這對于信息網(wǎng)絡(luò)安全也提出了更高的要求�����。由云安全聯(lián)盟和惠普公司列出了云計(jì)算面臨的7宗罪(風(fēng)險(xiǎn))�����,說明云安全的狀況變化非??欤F(xiàn)有的技術(shù)和管理體系并不完全適應(yīng)于云計(jì)算的模式���,如何結(jié)合自身特點(diǎn)制定出適合云計(jì)算的等級保護(hù)體系架構(gòu)是今后研究的方向�。
6結(jié)語
第9篇
主要內(nèi)容
對銀行和信用卡支付卡授權(quán)商的系統(tǒng)風(fēng)險(xiǎn)管理�。新加坡金管局在2013年6月21日了644號和644A號通知,并于2014年7月1日起開始執(zhí)行�����。兩個通知分別對在新加坡的銀行和信用卡或支付卡授權(quán)商的系統(tǒng)風(fēng)險(xiǎn)管理做了安排。644A號文規(guī)定信用卡或支付卡授權(quán)商是被授權(quán)依法進(jìn)行在新加坡開立信用卡或支付卡業(yè)務(wù)的個人���。通知規(guī)定���,銀行和信用卡或支付卡授權(quán)商應(yīng)該落實(shí)一個框架,處理識別核心系統(tǒng)�����,盡最大努力維持核心系統(tǒng)的高可靠性�����,確保每一個影響和授權(quán)商操作和對客戶服務(wù)的核心系統(tǒng)的最大意外停機(jī)每12個月不超過4小時�。并且銀行和授權(quán)商應(yīng)該建立一個修復(fù)時間目標(biāo)(RTO,指從故障發(fā)生到系統(tǒng)修復(fù)的持續(xù)時間)�,對于每一個核心系統(tǒng)不超過4個小時。每12個月須至少驗(yàn)證并且記錄一次核心系統(tǒng)在系統(tǒng)修復(fù)測試中的表現(xiàn)以及測試時間�。一旦核心系統(tǒng)發(fā)生故障或事故,銀行和授權(quán)商應(yīng)在1小時以內(nèi)通知新加坡金管局���。在重大事件發(fā)生的14天以內(nèi)���,或者經(jīng)當(dāng)局許可的更長一段時間內(nèi)���,銀行和授權(quán)商應(yīng)向新加坡金管局提交一份根本原因和沖擊分析報(bào)告�。報(bào)告應(yīng)該包括:重大事件的綜合摘要、觸發(fā)重大事件的根本原因分析���、描述重大事件對銀行的沖擊���、描述已采取的補(bǔ)救措施以解決根本原因和重大事件的結(jié)果。最后�,銀行和授權(quán)商應(yīng)實(shí)施IT控制以保護(hù)客戶信息免遭非法入侵和曝光。
有關(guān)IT外包的監(jiān)管���。新加坡金管局在其《IT Outsourcing Circular Jul 2011》對外包商的監(jiān)管作了明確規(guī)定���。文件中指出,外包是指位于新加坡國內(nèi)外的一個或多個提供第三方IT技術(shù)和設(shè)備的供應(yīng)商�����,包括從系統(tǒng)開發(fā)�、維護(hù)和支持到數(shù)據(jù)中心操作、網(wǎng)絡(luò)管理�����、故障修復(fù)服務(wù)、應(yīng)用托管和云計(jì)算�����。金融機(jī)構(gòu)要落實(shí)正確的框架�、政策和流程去評估、審批���、復(fù)審�、控制和監(jiān)控所有外包活動的風(fēng)險(xiǎn)和實(shí)質(zhì)�。在與外包商簽訂合同之前,金融機(jī)構(gòu)應(yīng)該就所有的外包建議做一個徹底的風(fēng)險(xiǎn)評估�����,可以參考基于移動終端的信息化應(yīng)用服務(wù)(MAS)的外包技術(shù)調(diào)查問卷作為進(jìn)一步指導(dǎo)�����,金融機(jī)構(gòu)在簽訂任何外包委托之前向服務(wù)商提交完成后的問卷�����。新加坡金管局沒有直接涵蓋對銀行技術(shù)外包服務(wù)商(TSP-Technology Service Providers)的具體要求,而是要求金融機(jī)構(gòu)確保外包商采用高標(biāo)準(zhǔn)的政策和流程以確保敏感信息的機(jī)密性和安全性�,敏感信息例如客戶資料、計(jì)算機(jī)文件���、檔案、目標(biāo)程序和源代碼���。在與外包商的合同終止時���,金融機(jī)構(gòu)應(yīng)該在有合同的保證下,可以快速移除或銷毀所有的IT信息和資產(chǎn)���。
對個人移動設(shè)備的監(jiān)管�����。2014年9月26日�,新加坡金管局了《Circular SRD TR02 2014》���,對金融機(jī)構(gòu)中“自帶設(shè)備”所帶來的風(fēng)險(xiǎn)進(jìn)行了規(guī)定���。文件中指出“自帶你的移動設(shè)備”(BYOD)是越來越多的金融機(jī)構(gòu)采用的一種相對較新的實(shí)踐���,讓員工從他們的個人移動設(shè)備訪問公司電子郵件、日歷���、應(yīng)用程序和數(shù)據(jù)���。但是“自帶設(shè)備”相應(yīng)地會增加金融風(fēng)險(xiǎn),金融機(jī)構(gòu)應(yīng)該發(fā)展出一套綜合的防止資料損失的策略�,去保護(hù)敏感或機(jī)密的用戶信息。一些不利于策略有效應(yīng)用的因素包括幾個方面���,第一�,隱私和個人使用的沖擊�。在“自帶設(shè)備”環(huán)境中,雇員可以根據(jù)他們的選擇自由在他們的移動設(shè)備上安裝應(yīng)用���,并且拒絕安裝特定的安全軟件�����;第二�����,不同的設(shè)備組合���。實(shí)施“自帶設(shè)備”的金融機(jī)構(gòu)將不得不支持大范圍的設(shè)備�����,操作系統(tǒng)和應(yīng)用組合�����。這將造成一個一致而有效的方式難以被應(yīng)用于不同平臺的混合環(huán)境;第三���,缺乏對于設(shè)備升級的控制�����。在自帶設(shè)備的環(huán)境中�����,雇員們可以隨意在他們的個人設(shè)備上安裝應(yīng)用和運(yùn)行軟件升級�����,這可能給他們的設(shè)備帶來安全漏洞和惡意軟件�����。這將危及可由這些設(shè)備進(jìn)入的金融機(jī)構(gòu)的資料和公司系統(tǒng)���,第四���,移動安全方法的成熟性。移動的安全方法仍然普遍處于起始階段���。 兩個常見的解決“自帶設(shè)備”安全隱患的方法是使用移動設(shè)備管理和虛擬化�。移動設(shè)備管理方面�����,在移動設(shè)備被許可進(jìn)入公司網(wǎng)絡(luò)之前�����,設(shè)備要被驗(yàn)證以確保沒有被越獄或被嵌入的風(fēng)險(xiǎn)�����。移動設(shè)備管理方法也可以在一個沙盒環(huán)境(指在一個受限制的操作系統(tǒng)環(huán)境中執(zhí)行一個應(yīng)用去保護(hù)公司應(yīng)用可能使用的資源)中管理公司應(yīng)用、資料�、政策和設(shè)置。這樣做目的是允許雇員們自由地使用設(shè)備�,同時使企業(yè)得以保護(hù)其工作環(huán)境。一個健全的移動設(shè)備管理方法應(yīng)該被應(yīng)用于所有的“自帶設(shè)備”安排中�����。在虛擬化方面�,允許雇員們通過一個請求式的入口從他們的移動設(shè)備進(jìn)入公司的資源和資料,使用強(qiáng)力認(rèn)證和網(wǎng)絡(luò)加密�。由于公司的資料在公司數(shù)據(jù)中心內(nèi)部處理而不能被下載進(jìn)入移動設(shè)備。在虛擬環(huán)境中嚴(yán)格的安全政策限制設(shè)備的復(fù)制和使用���,例如打印機(jī),可移動存儲設(shè)備等�,以幫助防止數(shù)據(jù)進(jìn)一步的數(shù)據(jù)泄露。
新加坡金管局要求���,如果金融機(jī)構(gòu)不能夠恰當(dāng)?shù)毓芾硐嚓P(guān)的安全風(fēng)險(xiǎn)�����,則不應(yīng)該實(shí)施自帶設(shè)備���。金融機(jī)構(gòu)要牢記保持警戒并且緊跟移動領(lǐng)域的技術(shù)進(jìn)步和關(guān)注緊急威脅�。定期在自帶設(shè)備基礎(chǔ)設(shè)施上實(shí)施漏洞評估和滲透測試以確保任何安全漏洞被識別并盡快做出調(diào)整���。
對我國的啟示
2006年銀監(jiān)會《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》(以下簡稱《指引》)�,填補(bǔ)了我國銀行業(yè)信息系統(tǒng)監(jiān)管領(lǐng)域的空白�����,為推動國內(nèi)銀行業(yè)信息科技風(fēng)險(xiǎn)管理奠定了基礎(chǔ)�����。2009年3月���,銀監(jiān)會對原《指引》進(jìn)行修訂���,并重新定名為《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》。新《指引》貫徹了“管法人�����、管風(fēng)險(xiǎn)、管內(nèi)控�、提高透明度”的銀行監(jiān)管理念。新《指引》規(guī)定���,“商業(yè)銀行法定代表人是本機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理的第一責(zé)任人”�����。要求商業(yè)銀行建立有效的機(jī)制�����,實(shí)現(xiàn)對信息科技風(fēng)險(xiǎn)的識別�、計(jì)量�、監(jiān)測和控制,促進(jìn)商業(yè)銀行安全�、持續(xù)、穩(wěn)健運(yùn)行�,推動業(yè)務(wù)創(chuàng)新�,提高信息技術(shù)使用水平。要求商業(yè)銀行在信息系統(tǒng)開發(fā)�、測試和維護(hù)以及服務(wù)外包過程中加強(qiáng)對客戶信息的保護(hù),防止敏感信息泄露�,對業(yè)務(wù)連續(xù)性管理也加以規(guī)范���,保障客戶數(shù)據(jù)安全和服務(wù)連續(xù)。在新《指引》中�,提出要構(gòu)建信息科技風(fēng)險(xiǎn)管理的三大防線,即信息科技管理�、信息科技風(fēng)險(xiǎn)管理、信息科技風(fēng)險(xiǎn)審計(jì)�。
從銀監(jiān)會對商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)管理的現(xiàn)場檢查實(shí)踐來看,主要有如下幾個問題:高層的知曉度和參與度較低���,存在重建設(shè)�、輕管理的現(xiàn)象�;信息科技風(fēng)險(xiǎn)管理三道防線的設(shè)置存在缺失、重合和分工不清晰的問題�;信息系統(tǒng)開發(fā)風(fēng)險(xiǎn)須引起全行更多關(guān)注;銀行業(yè)金融機(jī)構(gòu)對災(zāi)難性���、突發(fā)性事件的應(yīng)對能力有待提升���。
新加坡金管局從2001年開始開展信息科技風(fēng)險(xiǎn)監(jiān)管工作,經(jīng)過不斷實(shí)踐�����、探索,摸索出一套較為先進(jìn)的監(jiān)管做法�����。新加坡金管局的信息科技風(fēng)險(xiǎn)監(jiān)管由現(xiàn)場檢查和非現(xiàn)場監(jiān)管構(gòu)成?����,F(xiàn)場檢查的工作方式有訪談�����、調(diào)閱資料�����、現(xiàn)場取證等�,檢查結(jié)束后金管局給金融機(jī)構(gòu)檢查意見書,金融機(jī)構(gòu)要在三個星期內(nèi)向金管局提交整改報(bào)告(已整改的問題���、未整改問題的整改計(jì)劃)���,金管局會在下次現(xiàn)場檢查時核查整改情況。金融機(jī)構(gòu)按照新加坡金管局的要求填報(bào)調(diào)查問卷作為非現(xiàn)場監(jiān)管的資料�。在處罰方面,罰款是處罰的一種方式���,另一種處罰方式是提高存款準(zhǔn)備金率�����。另外�,新加坡金管局定期召集商業(yè)銀行高管人員會議傳達(dá)科技監(jiān)管信息�。金管局利用此種形式,向被監(jiān)管機(jī)構(gòu)定期講解信息科技風(fēng)險(xiǎn)發(fā)展的最新形勢���,對金融機(jī)構(gòu)進(jìn)行技術(shù)輔導(dǎo)�,警示風(fēng)險(xiǎn)�����,并介紹有關(guān)風(fēng)險(xiǎn)領(lǐng)域的解決方案�。
結(jié)合新加坡的監(jiān)管安排及我國銀行及監(jiān)管的實(shí)踐,新加坡的監(jiān)管經(jīng)驗(yàn)對我國有一定的啟發(fā)�����。
加強(qiáng)我國信息科技風(fēng)險(xiǎn)管理部門建設(shè)。大力度培養(yǎng)復(fù)合型信息科技風(fēng)險(xiǎn)監(jiān)管人員�����,提高科技人員的業(yè)務(wù)監(jiān)督能力���,推動業(yè)務(wù)監(jiān)管人員掌握信息科技監(jiān)督知識�。
進(jìn)一步完善我國銀行業(yè)信息科技風(fēng)險(xiǎn)監(jiān)管的有關(guān)規(guī)章制度�����。有必要完善信息科技風(fēng)險(xiǎn)評估體系�,系統(tǒng)分析銀行業(yè)機(jī)構(gòu)采取的風(fēng)險(xiǎn)防控措施的有效性,客觀評價銀行業(yè)機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理水平�����;建立健全I(xiàn)T外包監(jiān)管體系�����,建立IT外包監(jiān)督流程�����,要求商業(yè)銀行健全外包商的風(fēng)險(xiǎn)評估機(jī)制,加強(qiáng)對外包風(fēng)險(xiǎn)的識別和監(jiān)控���;進(jìn)一步出臺有關(guān)銀行數(shù)據(jù)保護(hù)規(guī)范或政策���,要求商業(yè)銀行對數(shù)據(jù)進(jìn)行分類�����、定級�,確定不同的保護(hù)措施和方法。
向銀行業(yè)及時提示信息科技風(fēng)險(xiǎn)信息�����。各級銀行監(jiān)管機(jī)構(gòu)應(yīng)定期召集轄內(nèi)商業(yè)銀行信息科技工作高級管理人員舉辦情況通報(bào)會議�����,每次會議選定重點(diǎn)關(guān)注的信息科技風(fēng)險(xiǎn)點(diǎn)�����,及時傳達(dá)監(jiān)管部門的工作意圖�����,使商業(yè)銀行能夠及時獲取風(fēng)險(xiǎn)控制手段和工作技巧。
因此�,對于我國銀行機(jī)構(gòu)防控信息系統(tǒng)風(fēng)險(xiǎn)來說,有如下幾點(diǎn)應(yīng)予以重視�����。
加強(qiáng)對電子支付欺詐案件的防范�����。首先���,網(wǎng)上支付安全最重要的基礎(chǔ)是客戶端的安全���。MAS認(rèn)為客戶端安全的責(zé)任在銀行而非客戶本身,銀行有義務(wù)對客戶進(jìn)行安全教育�,并提供更安全和便捷的技術(shù)工具去增強(qiáng)客戶端的安全性。其次���,加快推廣銀行卡的EMV(芯片卡)和動態(tài)認(rèn)證的實(shí)施進(jìn)程���。相對于磁條卡���,EMV有安全性高和不易偽造的特點(diǎn)。在芯片卡的認(rèn)證方式上�,MAS要求銀行發(fā)放動態(tài)和混合數(shù)據(jù)認(rèn)證的芯片卡并逐步替代已有的靜態(tài)數(shù)據(jù)認(rèn)證芯片卡,以解決靜態(tài)卡中可能存在的仿冒風(fēng)險(xiǎn)�����,以強(qiáng)化電子支付的安全性�。
強(qiáng)化銀行數(shù)據(jù)安全問題的關(guān)注�。近年來國際上發(fā)生的一系列數(shù)據(jù)丟失并導(dǎo)致了客戶資金被盜等惡性案件。如2009年8月德國某銀行由于數(shù)據(jù)泄漏而導(dǎo)致了30萬歐元的經(jīng)濟(jì)損失���,2010年3月匯豐瑞士私人銀行的一個IT員工竊取了該行24000個賬戶信息�����。新加坡金管局在其許多監(jiān)管文件中都反復(fù)提到了數(shù)據(jù)泄露保護(hù)(DLP-Data Loss Prevention)���。在IT外包,核心系統(tǒng)可靠性和個人移動設(shè)備管理上下大力氣保護(hù)敏感信息的機(jī)密性和安全性���。借鑒國際銀行業(yè)數(shù)據(jù)中心先進(jìn)經(jīng)驗(yàn)���,加強(qiáng)對銀行數(shù)據(jù)中心���、災(zāi)難恢復(fù)能力的建設(shè)。深入研究和解決目前在災(zāi)難備份系統(tǒng)建設(shè)方面存在的突出問題和技術(shù)難點(diǎn)���。
