第一篇：2011xxxx單位信息系統安全報告

xxx公司2011年 網絡信息安全自查報告

我公司對網絡信息安全保密工作地直十分重視，成立了專門的領導組，建立健全了網絡安全保密責任制和有關規章制度，由局網絡管理室統一管理，各科室負責各自的網絡信息安全工作。嚴格落實有關網絡信息安全保密方面的各項規定，采取了多種措施防范安全保密有關事件的發生，總體上看，我公司網絡信息安全保密工作做得比較扎實，效果也比較好，近年來未發現失泄密問題。

一、信息安全狀況總體評價

今年以來，我公司加強組織領導，強化宣傳教育，落實工作責任，加強日常監督檢查。對于計算機磁介質（軟盤、U盤、移動硬盤等）的管理，采取專人保管、涉密文件單獨存放，嚴禁攜帶存在涉密內容的磁介質到上網的計算機上加工、貯存、傳遞處理文件，形成了良好的安全保密環境。涉密計算機嚴禁接入局域網，并按照有關規定落實了保密措施，到目前為止，未發生一起計算機失密、泄密事故；其他非涉密計算機及網絡使用也嚴格按照局計算機保密信息系統管理辦法落實了有關措施，主要從以下幾個方面確保了機關信息安全。一是網絡安全方面。我公司終端計算機均安裝了防病毒軟件、軟件防火墻，采用了強口令密碼、數據庫存儲備份、移動存儲設備管理、數據加密等安全防護措施，明確了網絡安全責任，強化了網絡安全工作。二是日常管理方面切實抓好局域網和應用軟件管理，確?！吧婷苡嬎銠C不上網，上網計算機不涉密”，嚴格按照保密要求處理光盤、硬盤、優盤、移動硬盤等管理、維修和銷毀工作。重點抓好“三大安全”排查：一是硬件安全，包括防雷、防火、防盜和電源連接等；二是網絡安全，包括網絡結構、安全日志管理、密碼管理、IP管理、互聯網行為管理等；三是應用安全，公文傳輸系統、軟件管理等。

二、2011年信息安全工作情況 <一>、信息安全組織機構

成立了由一把手總負責的信息安全領導小組。認真落實公司關于信息系統安全作的方針、政策和各項重大部署，對公司內部網絡和信息安全工作進行監督、檢查和常規管理；及時掌握和解決影響網絡安全運行方面出現或存在的有關問題，組織力量對突發事件進行應急處置，最大限度的防止或降低網絡安全事件的發生，確保本公司網絡和信息工作的安全。

<二>、日常信息安全管理

1、人員管理。建立健全了信息安全職責及保密制度，涉密人員均簽訂保密責任書。對檔案管理、計算機管理、信息安全管理等人員均實現離崗離職信息安全管理。外部人員進入機房需出示相關證件并且登記后方可進入，重大事項需報請批示。

2、資產管理。正在逐步建立健全信息安全資產臺賬、記錄、制度等事項，對終端計算機的軟件使用情況也正在逐步統計中。

3、運行維護管理。正在逐步建立健全網絡日常運行維護記錄、安全日志等記錄。

<三>、信息安全防護管理

1、網絡邊界安全防護管理。

2、信息安全產品部署及使用。我局每臺終端機都安裝了防病毒軟件及軟件防火墻，對財務專用計算機安裝了物理隔離卡。

3、網絡設備安全防護。對路由器實行相對安全配置，經常更換密碼。

4、終端計算機和移動存儲設備安全防護。所有接入互聯網的計算機均實行登陸密碼管理，實行IP和MAC地址綁定。所有計算機都安裝了軟件防火墻和殺毒軟件，且由防火墻軟件自動掃描系統漏洞，自動升級補丁，自動進行木馬病毒檢測。對于計算機磁介質（軟盤、U盤、移動硬盤等）的管理，采取專人保管、涉密文件單獨存放，嚴禁攜帶存在涉密內容的磁介質到上網的計算機上加工、貯存、傳遞處理文件，形成了良好的安全保密環境。涉密計算機嚴禁接入局域網，并按照有關規定落實了保密措施，到目前為止，未發生一起計算機失密、泄密事故；

5、電子郵箱安全管理：公司對外郵箱由專人操作，密碼長度及組合符合安全規范，定期對郵箱密碼進行更換。

6、移動存儲設備安全管理。嚴格按照我局制定的《涉密存儲介質保密管理規定》執行。

<四>、信息安全應急管理

1、應急預案。制定了本年度的信息安全應急預案。

2、應急演練。

3、應急技術支援。

4、災難備份。對重點業務計算機經常備份數據。

5、信息安全事件應急處置。本年度沒有發生信息安全事故。

<五>、信息安全教育培訓

為保障公司網絡安全有效地運行，減少病毒侵入，我公司就網絡安全及系統安全的有關知識進行了培訓。期間，大家對實際工作中遇到的計算機方面的有關問題進行了詳細的咨詢，并得到了滿意的答復。

Xxxxx公司 XX年XX月XX日

第二篇：信息系統安全檢測報告

信息系統安全檢測報告

我校對信息安全和保密工作十分重視，成立了專門的領導組，建立健全了信息安全保密責任制和有關規章制度，由教務處網絡管理室統一管理，負責網絡信息安全工作。嚴格落實有關網絡信息安全保密方面的各項規定，采取了多種措施防范安全保密有關事件的發生，總體上看，我校網絡信息安全保密工作做得比較扎實，效果也比較好，近年來未發現失泄密問題。

一、計算機涉密信息管理情況

今年以來，我校加強組織領導，強化宣傳教育，落實工作責任，加強日常監督檢查。對于計算機磁介質（軟盤、U盤、移動硬盤等）的管理，采取專人保管、涉密文件單獨存放，嚴禁攜帶存在涉密內容的磁介質到上網的計算機上加工、貯存、傳遞處理文件，形成了良好的安全保密環境。涉密計算機嚴禁接入局域網，并按照有關規定落實了保密措施，到目前為止，未發生一起計算機失密、泄密事故；其他非涉密計算機及網絡使用也嚴格按照計算機保密信息系統管理辦法落實了有關措施，確保了考試信息安全。

二、計算機和網絡安全情況

一是網絡安全方面。我校終端計算機均安裝了防病毒軟件、軟件防火墻，采用了強口令密碼、數據庫存儲備份、移動存儲設備管理、數據加密等安全防護措施，明確了網絡安全責任，強化了網絡安全工作。

二是日常管理方面切實抓好局域網和應用軟件管理，確?！吧婷苡嬎銠C不上網，上網計算機不涉密”，嚴格按照保密要求處理光盤、硬盤、優盤、移動硬盤等管理、維修和銷毀工作。重點抓好“三大安全”排查：一是硬件安全，包括防雷、防火、防盜和電源連接等；二是網絡安全，包括網絡結構、安全日志管理、密碼管理、IP管理、互聯網行為管理等；三是應用安全，公文傳輸系統、軟件管理等。

三、硬件設備使用合理，軟件設置規范，設備運行狀況良好。

我校每臺終端機都安裝了防病毒軟件，系統相關設備的應用一直采取規范化管理，硬件設備的使用符合國家相關產品質量安全規定，單位硬件的運行環境符合要求，打印機配件、色帶架等基本使用設備原裝產品；防雷地線正常，對于有問題的防雷插座已進行更換，防雷設備運行基本穩定，沒有出現雷擊事故，局域網系統運行安全。

四，通迅設備運轉正常

我校網絡系統的組成結構及其配置合理，并符合有關的安全規定；網絡使用的各種硬件設備、軟件和網絡接口是也過安全檢驗、鑒定合格后才投入使用的，自安裝以來運轉基本正常。

五、嚴格管理、規范設備維護

我校對電腦及其設備實行“誰使用、誰管理、誰負責”的管理制度。在管理方面我們一定是堅持“制度管人”。二是強化信息安全教育、提高員工計算機技能。在設備維護方面，專門設置了網絡設備故障和維護情況屬實登記，并及時處理。對外來維護人員，要求有關人員陪同，并對其身份和處理情況進行，規范設備的維護和管理。

六、安全制度制定落實情況

為確保計算機網絡安全、實行了網絡專管員制度、計算機安全保密制度、網絡信息安全突發事件應急預案等以有效提高管理員的工作效率。同時我校結合自身情況制定計算機系統安全自查工作制度，做到四個確保：一是網絡管理員于每周五定期檢查局域網系統，確保無隱患問題；二是制作安全檢查工作記錄，確保工作落實；三是領導定期詢問制度，由網絡管理員匯報局域網使用情況，確保情況隨時掌握；四是定期組織全局人員學習有關網絡知識，提高計算機使用水平，確保預防。

七、安全教育

為保障我校網絡安全有效地運行，減少病毒侵入，我校就網絡安全及系統安全的有關知識進行了培訓。期間，大家對實際工作中遇到的計算機方面的有關問題進行了詳細的咨詢，并得到了滿意的答復。

自查存在的問題及整改意見

我們在管理過程中發現了一些管理方面存在的薄弱環節，今后我們還要在以下幾個方面進行改進。

一、對于線路不整齊、暴露的，立即對線路進行期限整改，并做好防鼠、防火安全工作。

二、加強設備維護，及時更換和維護好故障設備。

三、自查中發現個別人計算機安全意識不強。在以后的工作，我們將計算加強計算機安全意識教育和防范技能訓練，讓員工充分認識到計算機案件的嚴重性。人防與技防結合，確實做好單位的信息系統安全和網絡安全工作。

第三篇：信息系統安全

數字簽名過程 “發送報文時，發送方用一個哈希函數從報文文本中生成報文摘要,然后用自己的私人密鑰對這個摘要進行加密，這個加密后的摘要將作為報文的數字簽名和報文一起發送給接收方，接收方首先用與發送方一樣的哈希函數從接收到的原始報文中計算出報文摘要，接著再用發送方的公用密鑰來對報文附加的數字簽名進行解密，如果這兩個摘要相同、那么接收方就能確認該數字簽名是發送方的。

數字簽名有兩種功效：一是能確定消息確實是由發送方簽名并發出來的，因為別人假冒不了發送方的簽名。二是數字簽名能確定消息的完整性。因為數字簽名的特點是它代表了文件的特征，文件如果發生改變，數字簽名的值也將發生變化。不同的文件將得到不同的數字簽名。一次數字簽名涉及到一個哈希函數、發送者的公鑰、發送者的私鑰?！边@報文鑒別的描述！數字簽名沒有那么復雜。數字簽名： 發送方用自己的密鑰對報文X進行E運算，生成不可讀取的密文Esk，然后將Esx傳送給接收方，接收方為了核實簽名，用發送方的密鑰進行D運算，還原報文。

口令攻擊的主要方法

1、社會工程學(social Engineering)，通過人際交往這一非技術手段以欺騙、套取的方式來獲得口令。避免此類攻擊的對策是加強用戶意識。

2、猜測攻擊。首先使用口令猜測程序進行攻擊。口令猜測程序往往根據用戶定義口令的習慣猜測用戶口令，像名字縮寫、生日、寵物名、部門名等。在詳細了解用戶的社會背景之后，黑客可以列舉出幾百種可能的口令，并在很短的時間內就可以完成猜測攻擊。

3、字典攻擊。如果猜測攻擊不成功，入侵者會繼續擴大攻擊范圍，對所有英文單詞進行嘗試，程序將按序取出一個又一個的單詞，進行一次又一次嘗試，直到成功。據有的傳媒報導，對于一個有8萬個英文單詞的集合來說，入侵者不到一分半鐘就可試完。所以，如果用戶的口令不太長或是單詞、短語，那么很快就會被破譯出來。

4、窮舉攻擊。如果字典攻擊仍然不能夠成功，入侵者會采取窮舉攻擊。一般從長度為1的口令開始，按長度遞增進行嘗試攻擊。由于人們往往偏愛簡單易記的口令，窮舉攻擊的成功率很高。如果每千分之一秒檢查一個口令，那么86%的口令可以在一周內破譯出來。

5、混合攻擊，結合了字典攻擊和窮舉攻擊，先字典攻擊，再暴力攻擊。

避免以上四類攻擊的對策是加強口令策略。

6、直接破解系統口令文件。所有的攻擊都不能夠奏效，入侵者會尋找目標主機的安全漏洞和薄弱環節，飼機偷走存放系統口令的文件，然后破譯加密的口令，以便冒充合法用戶訪問這臺主機。

7:網絡嗅探(sniffer)，通過嗅探器在局域網內嗅探明文傳輸的口令字符串。避免此類攻擊的對策是網絡傳輸采用加密傳輸的方式進行。

8:鍵盤記錄，在目標系統中安裝鍵盤記錄后門，記錄操作員輸入的口令字符串，如很多間諜軟件，木馬等都可能會盜取你的口述。

9:其他攻擊方式，中間人攻擊、重放攻擊、生日攻擊、時間攻擊。

避免以上幾類攻擊的對策是加強用戶安全意識，采用安全的密碼系統，注意系統安全，避免感染間諜軟件、木馬等惡意程序。

第四篇：政府信息系統安全檢查情況報告

XXXX人民防空辦公室2011政府

信息系統安全檢查情況報告

根據XXXX市信息化工作領導小組辦公室《關于開展2011政府信息系統安全檢查的通知》（信化辦【2011】8號）文件精神。我辦對信息系統安全檢查情況進行了自查，現匯報如下：

一、信息安全狀況總體評價：

1、以宣傳教育為主導，強化保密意識

為加強計算機、移動存儲介質以及網絡的保密管理，防止泄密事件發生，確保涉密信息安全，我辦采取多種方式，一是對信息化相關操作人員進行強化培訓，增強保密安全意識。二是將《辦公自動化設備管理規定》、《辦公網絡管理規定》等相關制定人手一份，要求結合實際，認真學習，并落到實處。三是進行警示教育，進一步重視和加強網上信息的保密管理，確保計算機及其網絡安全。

2、以制度建設為保障，嚴格規范管理

構筑科學嚴密的制度防范體系，是做好信息保密管理的重要保障。按照《國家人防辦關于》的規定要求，我辦不斷完善各項規章制度，規范計算機、移動存儲介質以及網絡等相關設備的管理；規范涉密信息流轉，彌補管理上存在的空擋；規范信息發布程序，制定涉密信息發布審查制度。要求嚴格審查、嚴格控制、嚴格把關，從制度上杜絕泄密隱患。

3、以督促檢查為手段，堵塞管理漏洞

為了確保計算機、移動存儲介質以及網絡保密管理工作各項規章制度的落實，及時發現計算機保密工作中存在的泄密隱患，堵塞管理漏洞，我辦十分重視對計算機、網絡及移動存儲介質保密工作的督促檢查，采取自查與抽查相結合，常規檢查與重點檢查相結合，定期檢查與突擊檢查相結合等方式，對計算機及其網絡管理制度的落實情況、涉密網絡的建設和使用情況以及涉密計算機、涉密移動存儲介質、涉密網絡采取的管理和防范措施的落實情況進行檢查。這次我辦對計算機、網絡及移動存儲介質的情況進行了一次全面檢查，通過檢查，查找計算機保密工作中存在的管理漏洞，并立即整改到位。進一步做好計算機信息安全防護工作是一件刻不容緩的大事。所以我們必須做到人防與技防結合，真正設置起一道信息安全工作的一道看不見的屏障。

二、2011年信息安全主要工作情況：

（一）安全制度落實情況

1、成立了以我辦XX副主任為組長的信息系統安全工作領導小組，并將信息系統安全工作領導小組辦公室設在指揮通信科，由指通科科長兼辦公室主任，安全小組成員從各科室抽調，具體負責日常工作。

2、建立了信息安全責任制。按責任規定，安全小組對信息安全負首責，主管領導負總責，具體管理人負主責。

3、制定了計算機及網絡的保密管理制度。辦網站的信息管護人員負責保密管理，密碼管理，對計算機享有獨立使用權，計算機的用戶名和開機密碼為其專有，且規定嚴禁外泄。

（二）安全防范措施落實情況

1、涉密計算機經過了保密技術檢查，并安裝了防火墻。同時配置安裝了專業殺毒軟件，加強了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面有效性。

2、涉密計算機都設有開機密碼，由各科室安全員保管負責。同時，涉密計算機相互共享之間設有嚴格的身份認證和訪問控制。

3、網絡終端沒有違規上國際互聯網及其他信息網的現象，沒有安裝無線網絡等。同時，我辦內部網絡與因特網實行物理隔離手段，防止泄密情況發生。

4、安裝了針對移動存儲設備及泄密載體的專業殺毒軟件。

（三）應急響應機制建設情況

1、制定了《XXXX市人防辦網絡與信息安全事件應急預案》，并隨著信息化程度的深入，結合我辦實際，處于不斷完善階段。

2、堅持和涉密計算機系統定點維修單位聯系機關計算機維修事宜，并商定其給予我辦應急技術以最大程度的支持。

3、嚴格文件的收發，完善了清點、整理、編號、簽收制度，并要求信息管理員每天下班前進行系統備份。

（四）信息技術產品和服務國產化情況

1、終端計算機的保密系統和防火墻、殺毒軟件等，皆為國產產品。

2、公文處理軟件具體使用金山軟件的wps系統。

3、工資系統、年報系統等皆為市委、市政府統一指定產品系統。

（五）安全教育培訓情況

安全小組在全辦組織了一次對基本的信息安全常識的學習活動。

三、檢查發現的主要問題及整改情況： 自查中發現的不足和整改意見

根據《通知》中的具體要求，在自查過程中我們也發現了一些不足，同時結合我辦實際，今后要在以下幾個方面進行整改。

1、安全意識不夠。

要繼續加強對全體干部員工的安全意識教育，提高做好安全工作的主動性和自覺性。切實增強信息安全制度的落實工作，不定期的對安全制度執行情況進行檢查，對于導致不良后果的責任人，要嚴肅追究責任，從而提高人員安全防護意識。

2、設備維護、更新及時。

要加大對線路、系統等的及時維護和保養，同時，針對信息技術的飛快發展的特點，要加大更新力度。

3、安全工作的水平還有待提高。

對信息安全的管護還處于初級水平，提高安全工作的現代化水平，有利于我們進一步加強對計算機信息系統安全的防范和保密工作。要以制度為根本，在進一步完善信息安全制度的同時，安排專人，完善設施，密切監測，隨時隨地解決可能發生的信息系統安全事故。

4、工作機制有待完善。

創新安全工作機制，是信息工作新形勢的必然要求，這有利于提高機關網絡信息工作的運行效率，有利于辦公秩序的進一步規范。

5、日常信息安全管理。

堅持“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則，統籌安排、突出重點、明確責任、注重實效。

四、對信息安全工作的意見和建議

成立信息安全工作領導責任制與機構隊伍建設

1、建立信息安全工作領導小組。領導重視是做好信息安全工作的前提。領導班子對信息安全工作十分重視，把它做為一項重要工作來抓，每年年初都會安排布置信息安全工作，并成立了由單位二把手任組長的信息安全工作領導小組，領導小組下設辦公室，辦公室設在綜合科，由指通科科長擔任辦公室主任，親自布置落實信息安全工作。

2、信息安全工作隊伍的建設。近年來，我辦堅持做到信息安全工作機構健全、信息安全工作隊伍不散，信息安全工作人員及時調整和補充，并不斷加強信息安全業務知識的學習，做好工作交接，都能熟練掌握保密法規和信息安全技術基礎知識，熟悉本辦的業務工作和信息安全工作基本情況。

XXXX市人防辦信息系統安全工作領導小組名單

第五篇：信息系統安全管理制度

信息系統安全管理制度

一、總則

1、為加強公司網絡管理，明確崗位職責，規范操作流程，維護網絡正常運行，確保計算機信息系統的安全，現根據《中華人民共和國計算機信息系統安全保護條例》、等有關規定，結合本公司實際，特制訂本制度；

2、計算機信息系統是指由計算機及其相關的和配套的設備、設施（含網絡）構成的，按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統；

3、公司由微機科專門負責本公司范圍內的計算機信息系統安全管理工作。

二、網絡管理

1、遵守國家有關法律、法規，嚴格執行安全保密制度及公司信息保密協議相關條款，不得利用網絡從事危害公司安全、泄露公司秘密等違法犯罪活動，嚴格控制和防范計算機病毒的侵入；

2、禁止未授權用戶或外來計算機接入公司計算機網絡及訪問、拷貝網絡中的資源；

3、任何員工不得故意輸入、傳播計算機病毒和其他有害數據，不得利用非法手段復制、截收、篡改計算機信息系統中的數據；

4、計算機各終端用戶應保管好自己的用戶帳號和密碼。嚴禁隨意向他人泄露、借用自己的帳號和密碼；計算機使用者更應以30天為周期更改密碼、密碼長度不少于8位。

三、設備管理

1、IT設備安全管理實行“誰使用誰負責”的原則（公用設備責任落實到部門）。嚴禁擅自移動和裝拆各類設備及其他輔助設備；嚴禁擅自請人維修；嚴禁擅自調整部門內部計算機信息系統的安排；

2、設備硬件或重裝操作系統等問題由微機科統一管理。

四、數據管理

1、計算機終端用戶計算機內的資料涉及公司秘密的，應該為計算機設定開機密碼或將文件加密；凡涉及公司機密的數據或文件，非工作需要不得以任何形式轉移，更不得透露給他人。離開原工作崗位的員工由所在部門經理負責將其所有工作資料收回并保存；

2、工作范圍內的重要數據（重要程度由各部門負責人核定）由計算機終端用戶定期更新、備份，并提交給所在部門負責人，由部門負責人負責保存；

3、計算機終端用戶務必將有價值的數據存放在除系統盤(操作系統所在的硬盤分區，一般是C盤)外的盤上。計算機信息系統發生故障，應及時與微機科聯系并采取保護數據安全的措施；

4、終端用戶未做好備份前不得刪除任何硬盤數據。對重要的數據應準備雙份，存放在不同的地點；光盤保存的數據，要定期進行檢查，定期進行復制，防止由于磁性介質損壞，而使數據丟失；做好防磁、防火、防潮和防塵工作。

五、操作管理

1、凡涉及業務的專業軟件由使用人員自行負責。嚴禁利用計算機干與工作無關的事情；嚴禁除維修人員以外的外部人員操作各類設備；

2、微機科將有針對性地對員工的計算機應用技能進行定期或不定期的培訓，培訓成績將記入員工績效考核；由微機科收集計算機信息系統常見故障及排除方法并整理成冊，供公司員工學習參考。

3、計算機終端用戶在工作中遇到計算機信息系統問題，首先要學會自行處理或參照手冊處理；若遇到手冊中沒有此問題，或培訓未曾講過的問題，再與微機科或軟件開發單位、硬件供應商聯系，盡快解決問題。

六、網站管理

1、公司網站由微機科提供技術支持和后臺管理，由公司相關部門提供經審核后的書面和電子版網站建設資料。

七、處罰措施

1、計算機終端用戶擅自下載、安裝或存放與工作無關的文件經查實后，根據文件大小第一次按10元/100M（四舍五入到百兆）進行罰款，以后每次按倍數原則（第二次20元/100M，第三40元/100M，第四次80元/100M，以此類推）處罰。凡某一使用責任人此種情況出現三次以上（包括三次），將給予行政處罰。

2、有以下情況之一者，視情節嚴重程度處以50元以上500元以下罰款。構成犯罪的，依法追究刑事責任。（1）制造或者故意輸入、傳播計算機病毒以及其他有害數據的；

（2）非法復制、截收、篡改計算機信息系統中的數據危害計算機信息系統安全的；

（3）對網絡和服務器進行惡意攻擊，侵入他人網絡和服務器系統，利用計算機和網絡干擾他人正常工作；

（4）訪問未經授權的文件、系統或更改設備設置；

（5）申請人在設備領用或報廢一周之內未將所涉及到的表單交微機科；（6）擅自與他人更換使用計算機或相關設備；

（7）擅自調整部門內部計算機的安排且未向行政部備案；

（8）日常抽查、崗位調動、離職時檢查到計算機配置與該計算機檔案不符、IT設備卡被撕毀、涂畫或遮蓋等；（9）工作時間外使用公司計算機做與工作無關的事務；（10）相同故障出現三次以上（包括三次）仍無法自行處理的；

（11）因工作需要長時間(五個小時以上)離開辦公位置或下班后無故未將計算機關閉；

3、計算機終端用戶因主觀操作不當對設備造成破壞兩次以上或蓄意對設備造成破壞的，視情節嚴重，按所破壞設備市場價值的20%~80%賠償，并給予行政處罰。

行政部微機科