第一篇:2009年信息安全等級保護工作匯報(精)
2009年信息安全等級保護工作匯報
福建省交通運輸廳 2010年1月20日
一、加強領導
2009年,根據部里的總體部署,我廳高度重視非涉密重要信息系統的信息安全保護工作。我廳交通信息安全等級保護工作由廳信息安全領導小組負總責,具體工作由廳信息安全領導小組辦公室承擔,負責廳機關信息系統等級保護工作,并開展對廳直單位的監督指導。根據安排,我廳自2007年以來就開展了信息系統安全等級保護基礎調查工作等相關工作,全面開展信息系統安全等級保護,同時通過組織培訓等方式,不斷提高技術人員的培養,強化信息安全保護能力。
二、完善制度
為了做好信息系統等級保護工作,根據《信息安全等級保護管理辦法》(公通字[2007]43號)的要求,結合我省實際,我廳制定并印發了《福建省交通運輸廳信息系統等級保護管理制度》,對交通信息系統安全等級保護工作做出了具體的要求,同時在我廳開展的資源整合和服務工程建設中,根據等級保護要求,編制《廳網絡安全系統建設方案》,制訂了分步實施計劃,并開展了數據庫審計測試等前期工作。
三、信息等級安全保護基本情況
目前,廳機關已有辦公自動化、門戶網站及交通地理信息系統等3個系統完成了等級保護備案和測評工作,并根據測評中心的評估報告進行了整改優化,積極加強信息系統安全環境建設,消除安全管理中的薄弱環節。在物理安全方面,機房安裝門禁系統,嚴格管理機房人員進出,消防設施完善,所有設備通過UPS供電。關鍵網絡設備和服務器做到有主有備,確保在發生物理故障時可以及時更換。在網絡安全方面,我們嚴格按照內、外網物理隔離的標準建設網絡系統,并采用虛擬局域網技術,通過交換機端口的IP綁定,防止非法網絡接入;在網絡出口以及不同網絡互聯邊界全面部署硬件防火墻,部署日志服務器,記錄并留存使用互聯網和內部網絡地址對應關系;在廳互聯網出口部署網絡行為管理(智能網關)系統,規范和記錄上網行為,合理控制不同應用的網絡流量,實現網絡帶寬動態分配,保障了信息系統正常應用的網絡環境。部署入侵防御系統監測、記錄網絡安全事件。
在主機安全方面,終端計算機采用雙硬盤及物理隔離卡隔離互聯網及政務內網應用,通過部署趨勢網絡防毒墻網絡版,安裝360安全衛士等安全軟件保障主機系統安全,并且做到系統漏洞補丁及時更新,內網終端全部在政務網注冊,重要的應用系統安裝了計算機監控與審計系統,實現對主機的USB等外設接口的控制管理,采用KEY+用戶名+密碼等方式控制用戶登陸行為。
對于應用安全,嚴格做好系統安全測試,配備了專門的漏洞 掃描儀定期掃描應用系統漏洞,并按測試結果做好安全修復和加固工作;在網站區,部屬入侵防御系統,監測、記錄安全事件,及時阻斷入侵行為,自部署起已多次成功檢測出SQL注入,FTP匿名登錄,網站目錄遍歷,探測主機地址漏洞等。同時還安裝網頁防篡改系統,保障網站正常運行。
在數據安全方面,數據庫通過備份系統定期備份,關鍵數據庫服務器采用雙機熱備份,保證數據庫服務器的可用性和高效性,在出現故障時可以快速恢復;數據庫的訪問按不同用戶身份進行嚴格的權限控制。
此外,2009年我廳新建成的福建省衛星定位安全服務等4個系統也及時向省網安辦履行了申請備案和測評手續,具體測評正在實施中。
四、建議
信息系統安全等級保護工作責任重大,技術性強,工作量巨大,我省在該項工作上雖然取得一些進展,但是與部、省要求還有相當的差距,在等級保護意識、宣傳力度、技術人才的培養和制度的建立上仍然存在問題。建議部里加強工作指導,通過多種方式的等級保護技術交流和培訓,提高交通系統各級單位領導及職工的等級保護意識,進一步推進交通系統的信息系統等級保護工作。
第二篇:信息安全等級保護工作匯報
XXX 信息安全等級保護工作匯報
一、醫院簡介
XXX擁有66年發展歷史,坐落于黑龍江北部中心城市北安市的城市中心,地處政治、經濟、文化中心地帶,交通便利,醫院學科優勢突出,專業特色明顯,在市內外享有較高的聲譽。醫院總占地面積22599平方米,業務用房建筑面積25027平方米。
醫院在職職工664人,專業技術人員 557人,其中高級技術職稱172 人,中級技術職稱109人,床位400余張。設有內、外、婦、兒、五官等二十個臨床科室,15個醫技科室。外科共設五個科室包括普外、腦外、胸科、燒傷、泌尿、骨科、肛腸等學科,其中胸外科、腦外科是我院重點科室之一,胸外科是黑河地區該專業龍頭科室,外科常規開展肺癌、腦外、食道癌等復雜手術,廣泛開展腹腔鏡、前列腺電切等介入手術。多項技術的開展和研發均獲得國家及省級科技進步獎,開創了歷史先河,成為北安市及黑河地區醫療技術的領頭雁。內科設有五個科室包括神經內科、心腦血管內科、內分泌內科、呼吸內科、血液內科、腫瘤內科、消化內科、腎內科、傳染科及在黑河地區處于領先地位的急診科。我院影像科室技術實力在本市區位居首位,吸引了大量外院病人來我院檢查,整合了各方優勢資源。
醫院環境優美,整潔。目前,現已發展成為一所集醫療、康復、保健、預防、科研、教學為一體的綜合性二級甲等醫院。公共醫療改革試點醫院、城鎮職工醫療保險定點醫院、新型農村合作醫療定點醫院、城鄉醫療救助一站式即時結算定點醫院、農墾北安管局醫療保險定點醫院、鐵路職工醫療保險定點醫院、公安定點醫院、黑河地區首家工傷康復定點醫院,“120”急救中心設在我院,同時擔負著全市司法鑒定工作。
醫院擁有大型核磁共振成像系統、螺旋CT、高壓氧艙、德國貝朗血液透析機、日產全自動生化分析儀、數字X光機、數字多功能胃腸X光機、C型臂數字成像系統、彩超、經顱多普勒、體外碎石機、電子胃鏡、歐美達麻醉機、運動平板、24小時動態心電監測系統等先進設備百余臺,搶占醫療市場的制高點。全套電子內窺鏡系統、各種手術用硬鏡、介入治療設備、高壓氧艙等一批國內外精密醫療設備,精良的醫療設備為提高臨床診治水平提供了重要的保證。
醫院由門診樓,病房樓,急救中心組成,住院樓設有內科、外科、婦產科、兒科、重癥監護室、手術室、麻醉科、康復科等病區。醫院通過計算機網絡實現信息化管理,所有病房均設有中央空調、獨立衛生間,配備集中供氧、集中負壓吸引、自動對講呼叫等設施。
XXX擁有黑河地區首家具有國際先進水平的ICU重癥監護病房,是我省北部地區成立較早發展最快的重癥科室,設備實力和省級醫院相聘美,從業人員都經過正規重癥醫學培訓學習,成立后為北安市危重癥治療開辟了新的天地,危重癥搶救成功率達到省級醫院水平。具有國際水準的最先進的層流凈化手術室共六個6 手術間,同時可開展胸、腦、腹、四肢、五官、婦科等高尖端手術。急診科是黑龍江北部地區最大的急診綜合科室,科室有獨立床位近30張,搶救設備齊全,實力雄厚,是我院“門神”級科室。我院擁有全區設備最先進功能最完善的燒傷病房和血液病房,發熱門診、檢驗科均按照國家級標準建設,為患者提供了方便、安全的就醫環境。
XXX領導班子帶領廣大職工勇于拼搏,銳意進取實現了醫院的快速、穩定、健康發展,以改革創新的精神腳,踏實地的工作作風使社會效益和經濟效益穩步增長,年收入突破億元大關。醫院的各項事業蓬勃發展,碩果累累,成績斐然。
“以病人為中心,創建人民群眾最滿意醫院”是XXX始終堅持的辦院宗旨。醫院人正以執著的醫志、高尚的醫德、精湛的醫術和嚴謹的學風書寫著輝煌的歷史,為打造“國內知名、省內一流”醫院的目標而努力奮斗!
二、加強領導
根據黑龍江省衛生計生委、黑龍江省公安廳、黑龍江省工信委《關于進一步開展好衛生計生行業信息安全等級保護工作的通知》醫院高度重視信息系統的信息安全保護工作,成立信息安全領導小組,具體工作由網絡中心承擔,負責醫院信息系統等級保護工作,并開展相關科室的監督指導,根據安排,醫院自成立信息安全領導小組以來,就開展了信息系統安全等級保護基礎調查工作等相關工作,全面開展信息系統安全等級保護,同時組織培訓等方式,不斷加強技術人員的培養,對網絡中心增加專業技術人員,強化信息安全保護能力。
三、完善制度
為落實加強和改進互聯網建設與管理,根據原衛生部《關于印發衛生行業信息安全等級保護工作的指導意見》(衛辦發【2011】85號)的文件要求,我們對醫院信息系統安全等級保護工作做出了具體的要求,根據等級保護要求,開展了信息安全制度的前期完善工作。陸續制定了《信息系統安全組織結構及管理制度》《信息人員安全管理制度》《信息系統管理制度》《信息安全組織機構設置》《信息安全組織機構管理制度》《系統運維管理制度》等制度及《物理安全技術措施建設》、《網絡安全技術措施建設》、《主機安全技術措施建設》、《應用安全技術措施建設》、《數據安全技術措施建設》等措施。
四、信息等級安全保護基本情況
目前,醫院已有HIS、院內辦公網、農村合作醫療、城鎮職工醫保、城鎮居民醫保、鐵路醫保、低保等多個內部信息系統,根據等級保護的要求進行了整改優化,積極加強信息系統安全環境建設,消除安全管理中的薄弱環節。
在物理安全方面,嚴格管理機房人員進出,消防設施完善,所有設備通過UPS供電。關鍵網絡設備和服務器做到有主有備,確保在發生物理故障時可以及時更換。機房做到防水、防火、防靜電處理,溫濕度控制在要求的溫濕度之間。
在網絡安全方面,我們嚴格按照內、外網物理隔離的標準建設網絡系統,并采用虛擬局域網技術,通過交換機端口的IP綁定,防止非法網絡接入;在網絡出口以及不同網絡互聯邊界全面部署硬件防火墻,部署日志服務器,記錄并留存使用互聯網和內部網絡地址對應關系;在醫院互聯網出口部署網絡行為管理系統,規范和記錄上網行為,合理控制不同應用的網絡流量,實現網絡帶寬動態分配,保障了信息系統正常應用的網絡環境。
在主機安全方面,終端計算機采用虎紋遠程管理軟件,對終端進行工作行為、上網行為等管理,重要的應用系統安裝了計算機監控與審計系統,實現對主機的USB等外設接口的控制管理,采用KEY用戶名密碼等方式控制用戶登陸行為。
對于應用安全,嚴格做好系統安全測試,配備了專門的漏洞 掃描儀定期掃描應用系統漏洞,并按測試結果做好安全修復和加固工作;安裝彩蝶ARP檢測系統及局域網抓包工具,自部署起已多次成功檢測出SQL注入,偽裝IP地址,全網攻擊,FTP匿名登錄,探測主機地址漏洞等。
在數據安全方面,數據庫通過備份系統定期備份,關鍵數據庫服務器采用雙機熱備份,保證數據庫服務器的可用性和高效性,在出現故障時可以快速恢復;數據庫的訪問按不同用戶身份進行嚴格的權限控制。
對于醫院信息系統的不足,醫院高度重視,在資金緊張等情況下,自籌300余萬元,對系統進行改造,將在下半年投入200余萬元將對醫院信息系統軟件升級改造。增加電子病歷系統,檢驗科LIS系統,醫學影像系統。硬件投入100余萬元,增加服務器終端,網絡設備等。
五、建議
信息系統安全等級保護工作責任重大,技術性強,工作量巨大,醫院在該項工作上雖然取得一些進展,但是與上級主管部門要求還有相當的差距,在等級保護意識、宣傳力度、技術人才的培養和制度的建立上仍然存在問題。
建議上級領導加強工作指導,通過多種方式的等級保護技術交流和培訓,提高單位領導及員工的等級保護意識,進一步推進醫院的信息系統等級保護工作。
第三篇:信息安全等級保護
信息安全等級保護(二級)信息安全等級保護(二級)備注:其中黑色字體為信息安全等級保護第二級系統要求,藍色字體為第三級系統等保要求。
一、物理安全
1、應具有機房和辦公場地的設計/驗收文檔(機房場地的選址說明、地線連接要求的描述、建筑材料具有相應的耐火等級說明、接地防靜電措施)
2、應具有有來訪人員進入機房的申請、審批記錄;來訪人員進入機房的登記記錄
3、應配置電子門禁系統(三級明確要求);電子門禁系統有驗收文檔或產品安全認證資質,電子門禁系統運行和維護記錄
4、主要設備或設備的主要部件上應設置明顯的不易除去的標記
5、介質有分類標識;介質分類存放在介質庫或檔案室內,磁介質、紙介質等分類存放
6、應具有攝像、傳感等監控報警系統;機房防盜報警設施的安全資質材料、安裝測試和驗收報告;機房防盜報警系統的運行記錄、定期檢查和維護記錄;
7、應具有機房監控報警設施的安全資質材料、安裝測試和驗收報告;機房監控報警系統的運行記錄、定期檢查和維護記錄
8、應具有機房建筑的避雷裝置;通過驗收或國家有關部門的技術檢測;
9、應在電源和信號線上增加有資質的防雷保安器;具有防雷檢測資質的檢測部門對防雷裝置的檢測報告
10、應具有自動檢測火情、自動報警、自動滅火的自動消防系統;自動消防系統的運行記錄、檢查和定期維護記錄;消防產品有效期合格;自動消防系統是經消防檢測部門檢測合格的產品
11、應具有除濕裝置;空調機和加濕器;溫濕度定期檢查和維護記錄
12、應具有水敏感的檢測儀表或元件;對機房進行防水檢測和報警;防水檢測裝置的運行記錄、定期檢查和維護記錄
13、應具有溫濕度自動調節設施;溫濕度自動調節設施的運行記錄、定期檢查和維護記錄
14、應具有短期備用電力供應設備(如UPS);短期備用電力供應設備的運行記錄、定期檢查和維護記錄
15、應具有冗余或并行的電力電纜線路(如雙路供電方式)
16、應具有備用供電系統(如備用發電機);備用供電系統運行記錄、定期檢查和維護記錄
二、安全管理制度
1、應具有對重要管理操作的操作規程,如系統維護手冊和用戶操作規程
2、應具有安全管理制度的制定程序:
3、應具有專門的部門或人員負責安全管理制度的制定(發布制度具有統一的格式,并進行版本控制)
4、應對制定的安全管理制度進行論證和審定,論證和審定方式如何(如召開評審會、函審、內部審核等),應具有管理制度評審記錄
5、應具有安全管理制度的收發登記記錄,收發應通過正式、有效的方式(如正式發文、領導簽署和單位蓋章等)----安全管理制度應注明發布范圍,并對收發文進行登記。
6、信息安全領導小組定期對安全管理制度體系的合理性和適用性進行審定,審定周期多長。(安全管理制度體系的評審記錄)
7、系統發生重大安全事故、出現新的安全漏洞以及技術基礎結構和組織結構等發生變更時應對安全管理制度進行檢查,對需要改進的制度進行修訂。(應具有安全管理制度修訂記錄)
三、安全管理機構
1、應設立信息安全管理工作的職能部門
2、應設立安全主管、安全管理各個方面的負責人
3、應設立機房管理員、系統管理員、網絡管理員、安全管理員等重要崗位(分工明確,各司其職),數量情況(管理人員名單、崗位與人員對應關系表)
4、安全管理員應是專職人員
5、關鍵事物需要配備2人或2人以上共同管理,人員具體配備情況如何。
6、應設立指導和管理信息安全工作的委員會或領導小組(最高領導是否由單位主管領導委任或授權的人員擔任)
7、應對重要信息系統活動進行審批(如系統變更、重要操作、物理訪問和系統接入、重要管理制度的制定和發布、人員的配備和培訓、產品的采購、外部人員的訪問等),審批部門是何部門,審批人是何人。審批程序:
8、應與其它部門之間及內部各部門管理人員定期進行溝通(信息安全領導小組或者安全管理委員會應定期召開會議)
9、應組織內部機構之間以及信息安全職能部門內部的安全工作會議文件或會議記錄,定期:
10、信息安全管理委員會或領導小組安全管理工作執行情況的文件或工作記錄(如會議記錄/紀要,信息安全工作決策文檔等)
11、應與公安機關、電信公司和兄弟單位等的溝通合作(外聯單位聯系列表)
12、應與供應商、業界專家、專業的安全公司、安全組織等建立溝通、合作機制。
13、聘請信息安全專家作為常年的安全顧問(具有安全顧問名單或者聘請安全顧問的證明文件、具有安全顧問參與評審的文檔或記錄)
14、應組織人員定期對信息系統進行安全檢查(查看檢查內容是否包括系統日常運行、系統漏洞和數據備份等情況)
15、應定期進行全面安全檢查(安全檢查是否包含現行技術措施有效性和管理制度執行情況等方面、具有安全檢查表格,安全檢查報告,檢查結果通告記錄)
四、人員安全管理
1、何部門/何人負責安全管理和技術人員的錄用工作(錄用過程)
2、應對被錄用人的身份、背景、專業資格和資質進行審查,對技術人員的技術技能進行考核,技能考核文檔或記錄
3、應與錄用后的技術人員簽署保密協議(協議中有保密范圍、保密責任、違約責任、協議的有效期限和責任人的簽字等內容)
4、應設定關鍵崗位,對從事關鍵崗位的人員是否從內部人員中選拔,是否要求其簽署崗位安全協議。
5、應及時終止離崗人員的所有訪問權限(離崗人員所有訪問權限終止的記錄)
6、應及時取回離崗人員的各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備等(交還身份證件和設備等的登記記錄)
7、人員離崗應辦理調離手續,是否要求關鍵崗位調離人員承諾相關保密義務后方可離開(具有按照離崗程序辦理調離手續的記錄,調離人員的簽字)
8、對各個崗位人員應定期進行安全技能考核;具有安全技能考核記錄,考核內容要求包含安全知識、安全技能等。
9、對關鍵崗位人員的安全審查和考核與一般崗位人員有何不同,審查內容是否包括操作行為和社會關系等。
10、應對各類人員(普通用戶、運維人員、單位領導等)進行安全教育、崗位技能和安全技術培訓。
11、應針對不同崗位制定不同的培訓計劃,并按照計劃對各個崗位人員進行安全教育和培訓(安全教育和培訓的結果記錄,記錄應與培訓計劃一致)
12、外部人員進入條件(對哪些重要區域的訪問須提出書面申請批準后方可進入),外部人員進入的訪問控制(由專人全程陪同或監督等)
13、應具有外部人員訪問重要區域的書面申請
14、應具有外部人員訪問重要區域的登記記錄(記錄描述了外部人員訪問重要區域的進入時間、離開時間、訪問區域、訪問設備或信息及陪同人等)
五、系統建設管理
1、應明確信息系統的邊界和安全保護等級(具有定級文檔,明確信息系統安全保護等級)
2、應具有系統建設/整改方案
3、應授權專門的部門對信息系統的安全建設進行總體規劃,由何部門/何人負責
4、應具有系統的安全建設工作計劃(系統安全建設工作計劃中明確了近期和遠期的安全建設計劃)
5、應組織相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理策略等相關配套文件進行論證和審定(配套文件的論證評審記錄或文檔)
6、應對總體安全策略、安全技術框架、安全管理策略等相關配套文件應定期進行調整和修訂
7、應具有總體安全策略、安全技術框架、安全管理策略、總體建設規劃、詳細設計方案等相關配套文件的維護記錄或修訂版本
8、應按照國家的相關規定進行采購和使用系統信息安全產品
9、安全產品的相關憑證,如銷售許可等,應使用符合國家有關規定產品
10、應具有專門的部門負責產品的采購
11、采購產品前應預先對產品進行選型測試確定產品的候選范圍,形成候選產品清單,是否定期審定和更新候選產品名單
12、應具有產品選型測試結果記錄和候選產品名單及更新記錄(產品選型測試結果文檔)
13、應具有軟件設計相關文檔,專人保管軟件設計的相關文檔,應具有軟件使用指南或操作手冊
14、對程序資源庫的修改、更新、發布應進行授權和批準
15、應具有程序資源庫的修改、更新、發布文檔或記錄
16、軟件交付前應依據開發協議的技術指標對軟件功能和性能等進行驗收檢測
17、軟件安裝之前應檢測軟件中的惡意代碼(該軟件包的惡意代碼檢測報告),檢測工具是否是第三方的商業產品
18、應具有軟件設計的相關文檔和使用指南
19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發文檔
20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質量控制
21、應具有工程實施過程應按照實施方案形成各種文檔,如階段性工程進程匯報報告,工程實施方案
22、在信息系統正式運行前,應委托第三方測試機構根據設計方案或合同要求對信息系統進行獨立的安全性測試(第三方測試機構出示的系統安全性測試驗收報告)
23、應具有工程測試驗收方案(測試驗收方案與設計方案或合同要求內容一致)
24、應具有測試驗收報告
25、應指定專門部門負責測試驗收工作(具有對系統測試驗收報告進行審定的意見)
26、根據交付清單對所交接的設備、文檔、軟件等進行清點(系統交付清單)
27、應具有系統交付時的技術培訓記錄
28、應具有系統建設文檔(如系統建設方案)、指導用戶進行系統運維的文檔(如服務器操作規程書)以及系統培訓手冊等文檔。
29、應指定部門負責系統交付工作
30、應具有與產品供應商、軟件開發商、系統集成商、系統運維商和等級測評機構等相關安全服務商簽訂的協議(文檔中有保密范圍、安全責任、違約責任、協議的有效期限和責任人的簽字等內容
31、選定的安全服務商應提供一定的技術培訓和服務
32、應與安全服務商簽訂的服務合同或安全責任合同書
11、采購產品前應預先對產品進行選型測試確定產品的候選范圍,形成候選產品清單,是否定期審定和更新候選產品名單
12、應具有產品選型測試結果記錄和候選產品名單及更新記錄(產品選型測試結果文檔)
13、應具有軟件設計相關文檔,專人保管軟件設計的相關文檔,應具有軟件使用指南或操作手冊
14、對程序資源庫的修改、更新、發布應進行授權和批準
15、應具有程序資源庫的修改、更新、發布文檔或記錄
16、軟件交付前應依據開發協議的技術指標對軟件功能和性能等進行驗收檢測
17、軟件安裝之前應檢測軟件中的惡意代碼(該軟件包的惡意代碼檢測報告),檢測工具是否是第三方的商業產品
18、應具有軟件設計的相關文檔和使用指南
19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發文檔
20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質量控制
21、應具有工程實施過程應按照實施方案形成各種文檔,如階段性工程進程匯報報告,工程實施方案
22、在信息系統正式運行前,應委托第三方測試機構根據設計方案或合同要求對信息系統進行獨立的安全性測試(第三方測試機構出示的系統安全性測試驗收報告)
23、應具有工程測試驗收方案(測試驗收方案與設計方案或合同要求內容一致)
24、應具有測試驗收報告
25、應指定專門部門負責測試驗收工作(具有對系統測試驗收報告進行審定的意見)
26、根據交付清單對所交接的設備、文檔、軟件等進行清點(系統交付清單)
27、應具有系統交付時的技術培訓記錄
28、應具有系統建設文檔(如系統建設方案)、指導用戶進行系統運維的文檔(如服務器操作規程書)以及系統培訓手冊等文檔。
29、應指定部門負責系統交付工作
30、應具有與產品供應商、軟件開發商、系統集成商、系統運維商和等級測評機構等相關安全服務商簽訂的協議(文檔中有保密范圍、安全責任、違約責任、協議的有效期限和責任人的簽字等內容
31、選定的安全服務商應提供一定的技術培訓和服務
32、應與安全服務商簽訂的服務合同或安全責任合同書
六、系統運維管理
1、應指定專人或部門對機房的基本設施(如空調、供配電設備等)進行定期維護,由何部門/何人負責。
2、應具有機房基礎設施的維護記錄,空調、溫濕度控制等機房設施定期維護保養的記錄
3、應指定部門和人員負責機房安全管理工作
4、應對辦公環境保密性進行管理(工作人員離開座位確保終端計算機退出登錄狀態、桌面上沒有包含敏感信息的紙檔文件)
5、應具有資產清單(覆蓋資產責任人、所屬級別、所處位置、所處部門等方面)
6、應指定資產管理的責任部門或人員
7、應依據資產的重要程度對資產進行標識
8、介質存放于何種環境中,應對存放環境實施專人管理(介質存放在安全的環境(防潮、防盜、防火、防磁,專用存儲空間))
9、應具有介質使用管理記錄,應記錄介質歸檔和使用等情況(介質存放、使用管理記錄)
10、對介質的物理傳輸過程應要求選擇可靠傳輸人員、嚴格介質的打包(如采用防拆包裝置)、選擇安全的物理傳輸途徑、雙方在場交付等環節的控制
11、應對介質的使用情況進行登記管理,并定期盤點(介質歸檔和查詢的記錄、存檔介質定期盤點的記錄)
12、對送出維修或銷毀的介質如何管理,銷毀前應對數據進行凈化處理。(對帶出工作環境的存儲介質是否進行內容加密并有領導批準。對保密性較高的介質銷毀前是否有領導批準)(送修記錄、帶出記錄、銷毀記錄)
13、應對某些重要介質實行異地存儲,異地存儲環境是否與本地環境相同(防潮、防盜、防火、防磁,專用存儲空間)
14、介質上應具有分類的標識或標簽
15、應對各類設施、設備指定專人或專門部門進行定期維護。
16、應具有設備操作手冊
17、應對帶離機房的信息處理設備經過審批流程,由何人審批(審批記錄)
18、應監控主機、網絡設備和應用系統的運行狀況等
19、應有相關網絡監控系統或技術措施能夠對通信線路、主機、網絡設備和應用軟件的運行狀況、網絡流量、用戶行為等進行監測和報警
20、應具有日常運維的監控日志記錄和運維交接日志記錄
21、應定期對監控記錄進行分析、評審
22、應具有異常現象的現場處理記錄和事后相關的分析報告
23、應建立安全管理中心,對設備狀態、惡意代碼、補丁升級、安全審計等相關事項進行集中管理
24、應指定專人負責維護網絡安全管理工作
25、應對網絡設備進行過升級,更新前應對現有的重要文件是否進行備份(網絡設備運維維護工作記錄)
26、應對網絡進行過漏洞掃描,并對發現的漏洞進行及時修補。
27、對設備的安全配置應遵循最小服務原則,應對配置文件進行備份(具有網絡設備配置數據的離線備份)
28、系統網絡的外聯種類(互聯網、合作伙伴企業網、上級部門網絡等)應都得到授權與批準,由何人/何部門批準。應定期檢查違規聯網的行為。
29、對便攜式和移動式設備的網絡接入應進行限制管理
30、應具有內部網絡外聯的授權批準書,應具有網絡違規行為(如撥號上網等)的檢查手段和工具。
31、在安裝系統補丁程序前應經過測試,并對重要文件進行備份。
32、應有補丁測試記錄和系統補丁安裝操作記錄
33、應對系統管理員用戶進行分類(比如:劃分不同的管理角色,系統管理權限與安全審計權限分離等)
34、審計員應定期對系統審計日志進行分析(有定期對系統運行日志和審計數據的分析報告)
35、應對員工進行基本惡意代碼防范意識的教育,如告知應及時升級軟件版本(對員工的惡意代碼防范教育的相關培訓文檔)
36、應指定專人對惡意代碼進行檢測,并保存記錄。
37、應具有對網絡和主機進行惡意代碼檢測的記錄
38、應對惡意代碼庫的升級情況進行記錄(代碼庫的升級記錄),對各類防病毒產品上截獲的惡意代碼是否進行分析并匯總上報。是否出現過大規模的病毒事件,如何處理
39、應具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告 40、應具有變更方案評審記錄和變更過程記錄文檔。
41、重要系統的變更申請書,應具有主管領導的批準
42、系統管理員、數據庫管理員和網絡管理員應識別需定期備份的業務信息、系統數據及軟件系統(備份文件記錄)
43、應定期執行恢復程序,檢查和測試備份介質的有效性
44、應有系統運維過程中發現的安全弱點和可疑事件對應的報告或相關文檔
45、應對安全事件記錄分析文檔
46、應具有不同事件的應急預案
47、應具有應急響應小組,應具備應急設備并能正常工作,應急預案執行所需資金應做過預算并能夠落實。
48、應對系統相關人員進行應急預案培訓(應急預案培訓記錄)
49、應定期對應急預案進行演練(應急預案演練記錄)50、應對應急預案定期進行審查并更新
51、應具有更新的應急預案記錄、應急預案審查記錄。
第四篇:2009年信息安全等級保護工作匯報
2009年信息安全等級保護工作匯報
2010年1月20日
一、加強領導 2009年,根據部里的總體部署,我廳高度重視非涉密重要信息系統的信息安全保護工作。我廳交通信息安全等級保護工作由廳信息安全領導小組負總責,具體工作由廳信息安全領導小組辦公室承擔,負責廳機關信息系統等級保護工作,并開展對廳直單位的監督指導。根據安排,我廳自2007年以來就開展了信息系統安全等級保護基礎調查工作等相關工作,全面開展信息系統安全等級保護,同時通過組織培訓等方式,不斷提高技術人員的培養,強化信息安全保護能力。
二、完善制度 為了做好信息系統等級保護工作,根據《信息安全等級保護管理辦法》(公通字200743號)的要求,結合我省實際,我廳制定并印發了《福建省交通運輸廳信息系統等級保護管理制度》,對交通信息系統安全等級保護工作做出了具體的要求,同時在我廳開展的資源整合和服務工程建設中,根據等級保護要求,編制《廳網絡安全系統建設方案》,制訂了分步實施計劃,并開展了數據庫審計測試等前期工作。2
三、信息等級安全保護基本情況 目前,廳機關已有辦公自動化、門戶網站及交通地理信息系統等3個系統完成了等級保護備案和測評工作,并根據測評中心的評估報告進行了整改優化,積極加強信息系統安全環境建設,消除安全管理中的薄弱環節。在物理安全方面,機房安裝門禁系統,嚴格管理機房人員進出,消防設施完善,所有設備通過UPS供電。關鍵網絡設備和服務器做到有主有備,確保在發生物理故障時可以及時更換。
在網絡安全方面,我們嚴格按照內、外網物理隔離的標準建設網絡系統,并采用虛擬局域網技術,通過交換機端口的IP綁定,防止非法網絡接入;在網絡出口以及不同網絡互聯邊界全面部署硬件防火墻,部署日志服務器,記錄并留存使用互聯網和內部網絡地址對應關系;在廳互聯網出口部署網絡行為管理(智能網關)系統,規范和記錄上網行為,合理控制不同應用的網絡流量,實現網絡帶寬動態分配,保障了信息系統正常應用的網絡環境。部署入侵防御系統監測、記錄網絡安全事件。在主機安全方面,終端計算機采用雙硬盤及物理隔離卡隔離互聯網及政務內網應用,通過部署趨勢網絡防毒墻網絡版,安裝360安全衛士等安全軟件保障主機系統安全,并且做到系統漏洞補丁及時更新,內網終端全部在政務網注冊,重要的應用系統安裝了計算機監控與審計系統,實現對主機的USB等外設接口的控制管理,采用KEY用戶名密碼等方式控制用戶登陸行為。對于應用安全,嚴格做好系統安全測試,配備了專門的漏洞 3 掃描儀定期掃描應用系統漏洞,并按測試結果做好安全修復和加固工作;在網站區,部屬入侵防御系統,監測、記錄安全事件,及時阻斷入侵行為,自部署起已多次成功檢測出SQL注入,FTP匿名登錄,網站目錄遍歷,探測主機地址漏洞等。同時還安裝網頁防篡改系統,保障網站正常運行。在數據安全方面,數據庫通過備份系統定期備份,關鍵數據庫服務器采用雙機熱備份,保證數據庫服務器的可用性和高效性,在出現故障時可以快速恢復;數據庫的訪問按不同用戶身份進行嚴格的權限控制。此外,2009年我廳新建成的福建省衛星定位安全服務等4個系統也
及時向省網安辦履行了申請備案和測評手續,具體測評正在實施中。
四、建議 信息系統安全等級保護工作責任重大,技術性強,工作量巨大,我省在該項工作上雖然取得一些進展,但是與部、省要求還有相當的差距,在等級保護意識、宣傳力度、技術人才的培養和制度的建立上仍然存在問題。建議部里加強工作指導,通過多種方式的等級保護技術交流和培訓,提高交通系統各級單位領導及職工的等級保護意識,進一步推進交通系統的信息系統等級保護工作。
第五篇:2013年信息安全等級保護工作匯報
2013年信息安全等級保護工作匯報
一、加強領導
2013年,根據揚州市信息安全等級保護辦公室的的通知,集團高度重視非涉密重要信息系統的信息安全保護工作。集團安全等級保護工作由集團信息安全領導小組負責,具體工作由網絡技術部和揚州網等部門承擔,負責集團信息系統等級保護工作,并開展對集團所屬單位的監督指導。根據安排,集團自2011年以來就開展了信息系統安全等級保護基礎調查工作等相關工作,全面開展信息系統安全等級保護,同時通過組織培訓等方式,不斷加強技術人員的培養,強化信息安全保護能力。
二、完善制度
為貫徹落實全市加強和改進互聯網建設與管理工作會議和市委辦公室、市政府辦公室《揚州市深入推進信息安全等級保護工作的實施意見》(揚辦發[2012]57號)文件精神,對集團信息系統安全等級保護工作做出了具體的要求,根據等級保護要求,開展了信息安全制度的前期完善工作。陸續制定了“增加揚州網一些網站新聞發布審核的制度”、《外部人員訪問機房審批管理制度》、《中心機房管理辦法》、《機房消防安全管理制度》等制度。
三、信息等級安全保護基本情況
目前,集團已有揚州網、揚州晚報網、揚州汽車網、藝術在線網和多個內部信息系統根據等級保護的要求進行了整改優化,積極加強信息系統安全環境建設,消除安全管理中的薄弱環節。在物理安全方面,機房安裝門禁系統,嚴格管理機房人員進出,消防設施完善,所有設備通過UPS供電。關鍵網絡設備和服務器做到有主有備,確保在發生物理故障時可以及時更換。
在網絡安全方面,我們嚴格按照內、外網物理隔離的標準建設網絡系統,并采用虛擬局域網技術,通過交換機端口的IP綁定,防止非法網絡接入;在網絡出口以及不同網絡互聯邊界全面部署硬件防火墻,部署日志服務器,記錄并留存使用互聯網和內部網絡地址對應關系;
在集團互聯網出口部署網絡行為管理系統,規范和記錄上網行為,合理控制不同應用的網絡流量,實現網絡帶寬動態分配,保障了信息系統正常應用的網絡環境。
在主機安全方面,終端計算機采用雙硬盤及物理隔離互聯網及內網應用,通過部署趨勢網絡防毒墻網絡版,安裝聯軟安全管理軟件保障客戶機系統安全,并且做到漏洞補丁及時更新,重要的應用系統安裝了計算機監控與審計系統,實現對主機的USB等外設接口的控制管理,采用KEY用戶名密碼等方式控制用戶登陸行為。
對于應用安全,嚴格做好系統安全測試,配備了專門的漏洞 掃描儀定期掃描應用系統漏洞,并按測試結果做好安全修復和加固工
作;在網站區,部屬入侵防御系統,監測、記錄安全事件,及時阻斷入侵行為,自部署起已多次成功檢測出SQL注入,FTP匿名登錄,網站目錄遍歷,探測主機地址漏洞等。
在數據安全方面,數據庫通過備份系統定期備份,關鍵數據庫服務器采用雙機熱備份,保證數據庫服務器的可用性和高效性,在出現故障時可以快速恢復;數據庫的訪問按不同用戶身份進行嚴格的權限控制。
四、建議
信息系統安全等級保護工作責任重大,技術性強,工作量巨大,集團在該項工作上雖然取得一些進展,但是與市里要求還有相當的差距,在等級保護意識、宣傳力度、技術人才的培養和制度的建立上仍然存在問題。
建議市里加強工作指導,通過多種方式的等級保護技術交流和培訓,提高單位領導及員工的等級保護意識,進一步推進集團的信息系統等級保護工作。
點擊咨詢 