第一篇:信息系統安全工作總結
2011年信息系統安全工作總結
為確保公司信息系統持續安全穩定運行,我中心把此項工作列入重要議事日程,明確主管領導、責任部門和相關人員,制定相應規章制度,確保了我中心公司信息系統持續安全穩定運行。現將2011年工作匯報如下:
一、安全管理制度落實情況
1、成立了信息安全管理機構。明確信息安全工作由中心信息安全領導小組負責,該領導小組由中心工會主席XX任組長,由中心安全部XX為信息專責,各系統使用人為成員。明確由中心信息中心負責具體公司信息系統安全維護日常工作。健全的機構、明晰的人員分工為公司信息系統安全運行奠定了堅實的基礎。
2、建立了信息安全責任制。按責任規定:中心信息安全領導小組對信息安全負首責,主管領導負總責,管理人員負主責,具體使用人員負主責。
3、制定了計算機外網和公司網分離使用的相關保密管理制度。規定外網使用人員負責本臺電腦信息管護工作,公司網使用人員負責內網保密管理,規定雙網間不得相互搭接,嚴禁泄密。
二、安全防范措施落實情況
1、公司網計算機按照公司管理規定,經過了保密技術檢查,沒有同互聯網相連接,并安裝了防火墻,實行了物理隔離。同時安裝了金山殺毒軟件,加強了防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面的功能。
2、檢測信息系統無安全漏洞,載有涉密內容的移動存儲設備(包括軟盤、硬盤、光盤等)沒有帶離辦公地點,沒有出現涉密內容在Internet相連的計算機系統中存儲、處理、傳輸。
三、應急響應機制建設情況
1、按照要求制定了應急機構及應急預案等,做到了責任落實、人員到位、措施得力,并在中心內進行了廣泛的宣傳貫徹和培訓,明確了應急技術支援隊伍。
2、堅持和涉密計算機系統定點維修單位取得密切聯系,并商定在中心涉密計算機出現問題等應急技術時給予最大程度的支持。
3、嚴格文件的收發,完善了清點、編號、簽收制度,并要求辦公室文員在每天下班前進行系統檢查維護。
四、信息技術產品和服務國產化情況
計算機的保密系統、公文處理軟件、信息安全產品、服務器、路由器、交換機等皆符合相關技術要求。
五、安全教育培訓情況
1、派專人參加了公司組織的網絡系統安全和保密知識培訓、安全技能培訓等,并安排專人負責本中心的網絡安全管理和信息安全工作。
2、中心信息安全領導小組多次組織全中心職工學習了計算機的基本操作技能和信息安 全常識等內容。
總之,在2011年里我單位沒有出現違反信息安全規定行為和造成泄密事故、信息、安全事故的情況發生。
六、存在的不足和整改措施
1、對信息安全投入力量有限。由于辦公費用緊張,對信息系統安全投入不足,硬件措施不能完全達到標準。
2、人員培訓力度需要進一步加強。2011年在人員培訓上也下了不少工夫,使用內網職工對于信息安全重要性的認識需要進一步提升,特別是崗位發生變化后,需要進行上崗前的培訓,合格后方能進行相關工作,以進一步確保信息安全。
在以后的信息安全工作中,我們將結合實際,主要在以下幾個方面進行整改。
1、針對信息安全意識需進一步提升問題,進一步加大力度對計算機安全知識的培訓教育,提高做好安全工作的主動性和自覺性。
2、針對設備維護、及時更新問題,加大對線路、系統等及時維護和保養,同時針對信息技術的快速發展的特點,加大更新力度。
3、針對信息安全工作水平不高問題。繼續努力,在落實責任制上下功夫,堅持執行“誰主管誰負責,誰分管誰負責,誰維護誰負責,誰使用誰負責”的責任制方針,將上級的信息安全精神落實到實處,力爭把信息安全的管護提高到現代化水平,促進中心計算機信息系統安全的防范和保密工作的順利進行。
4、針對工作機制不夠完善問題。要堅持以制度為根本,在進一步完善信息安全制度的同時,安排專人,完善設施,密切監測,加大獎懲力度,隨時隨地解決可能發生的信息系統安全事故,確保此項工作穩定運行。
第二篇:信息系統安全工作總結
2011年信息系統安全工作總結
為確保公司信息系統持續安全穩定運行,我中心把此項工作列入重要議事日程,明確主管領導、責任部門和相關人員,制定相應規章制度,確保了我中心公司信息系統持續安全穩定運行。現將2011年工作匯報如下:
一、安全管理制度落實情況
1、成立了信息安全管理機構。明確信息安全工作由中心信息安全領導小組
負責,該領導小組由中心工會主席XX任組長,由中心安全部XX為信息專責,各系統使用人為成員。明確由中心信息中心負責具體公司信息系統安全維護日常工作。健全的機構、明晰的人員分工為公司信息系統安全運行奠定了堅實的基礎。
2、建立了信息安全責任制。按責任規定:中心信息安全領導小組對信息安
全負首責,主管領導負總責,管理人員負主責,具體使用人員負主責。
3、制定了計算機外網和公司網分離使用的相關保密管理制度。規定外網使
用人員負責本臺電腦信息管護工作,公司網使用人員負責內網保密管理,規定雙網間不得相互搭接,嚴禁泄密。
二、安全防范措施落實情況
1、公司網計算機按照公司管理規定,經過了保密技術檢查,沒有同互聯網相
連接,并安裝了防火墻,實行了物理隔離。同時安裝了金山殺毒軟件,加強了防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面的功能。
2、檢測信息系統無安全漏洞,載有涉密內容的移動存儲設備(包括軟盤、硬
盤、光盤等)沒有帶離辦公地點,沒有出現涉密內容在Internet相連的計算機系統中存儲、處理、傳輸。
三、應急響應機制建設情況
1、按照要求制定了應急機構及應急預案等,做到了責任落實、人員到位、措
施得力,并在中心內進行了廣泛的宣傳貫徹和培訓,明確了應急技術支援隊伍。
2、堅持和涉密計算機系統定點維修單位取得密切聯系,并商定在中心涉密計
算機出現問題等應急技術時給予最大程度的支持。
3、嚴格文件的收發,完善了清點、編號、簽收制度,并要求辦公室文員在每天下班前進行系統檢查維護。
四、信息技術產品和服務國產化情況
計算機的保密系統、公文處理軟件、信息安全產品、服務器、路由器、交
換機等皆符合相關技術要求。
五、安全教育培訓情況
1、派專人參加了公司組織的網絡系統安全和保密知識培訓、安全技能培訓等,并安排專人負責本中心的網絡安全管理和信息安全工作。
2、中心信息安全領導小組多次組織全中心職工學習了計算機的基本操作技能
和信息安 全常識等內容。
總之,在2011年里我單位沒有出現違反信息安全規定行為和造成泄密事故、信息、安全事故的情況發生。
六、存在的不足和整改措施
1、對信息安全投入力量有限。由于辦公費用緊張,對信息系統安全投入不足,硬件措施不能完全達到標準。
2、人員培訓力度需要進一步加強。2011年在人員培訓上也下了不少工夫,使用內網職工對于信息安全重要性的認識需要進一步提升,特別是崗位發生變化后,需要進行上崗前的培訓,合格后方能進行相關工作,以進一步確保信息安全。
在以后的信息安全工作中,我們將結合實際,主要在以下幾個方面進行整改。
1、針對信息安全意識需進一步提升問題,進一步加大力度對計算機安全知識的培訓教育,提高做好安全工作的主動性和自覺性。
2、針對設備維護、及時更新問題,加大對線路、系統等及時維護和保養,同
時針對信息技術的快速發展的特點,加大更新力度。
3、針對信息安全工作水平不高問題。繼續努力,在落實責任制上下功夫,堅
持執行“誰主管誰負責,誰分管誰負責,誰維護誰負責,誰使用誰負責”的責任制方針,將上級的信息安全精神落實到實處,力爭把信息安全的管護提高到現代化水平,促進中心計算機信息系統安全的防范和保密工作的順利進行。
4、針對工作機制不夠完善問題。要堅持以制度為根本,在進一步完善信息安
全制度的同時,安排專人,完善設施,密切監測,加大獎懲力度,隨時隨地解決可能發生的信息系統安全事故,確保此項工作穩定運行。
第三篇:信息系統安全
數字簽名過程 “發送報文時,發送方用一個哈希函數從報文文本中生成報文摘要,然后用自己的私人密鑰對這個摘要進行加密,這個加密后的摘要將作為報文的數字簽名和報文一起發送給接收方,接收方首先用與發送方一樣的哈希函數從接收到的原始報文中計算出報文摘要,接著再用發送方的公用密鑰來對報文附加的數字簽名進行解密,如果這兩個摘要相同、那么接收方就能確認該數字簽名是發送方的。
數字簽名有兩種功效:一是能確定消息確實是由發送方簽名并發出來的,因為別人假冒不了發送方的簽名。二是數字簽名能確定消息的完整性。因為數字簽名的特點是它代表了文件的特征,文件如果發生改變,數字簽名的值也將發生變化。不同的文件將得到不同的數字簽名。一次數字簽名涉及到一個哈希函數、發送者的公鑰、發送者的私鑰。”這報文鑒別的描述!數字簽名沒有那么復雜。數字簽名: 發送方用自己的密鑰對報文X進行E運算,生成不可讀取的密文Esk,然后將Esx傳送給接收方,接收方為了核實簽名,用發送方的密鑰進行D運算,還原報文。
口令攻擊的主要方法
1、社會工程學(social Engineering),通過人際交往這一非技術手段以欺騙、套取的方式來獲得口令。避免此類攻擊的對策是加強用戶意識。
2、猜測攻擊。首先使用口令猜測程序進行攻擊。口令猜測程序往往根據用戶定義口令的習慣猜測用戶口令,像名字縮寫、生日、寵物名、部門名等。在詳細了解用戶的社會背景之后,黑客可以列舉出幾百種可能的口令,并在很短的時間內就可以完成猜測攻擊。
3、字典攻擊。如果猜測攻擊不成功,入侵者會繼續擴大攻擊范圍,對所有英文單詞進行嘗試,程序將按序取出一個又一個的單詞,進行一次又一次嘗試,直到成功。據有的傳媒報導,對于一個有8萬個英文單詞的集合來說,入侵者不到一分半鐘就可試完。所以,如果用戶的口令不太長或是單詞、短語,那么很快就會被破譯出來。
4、窮舉攻擊。如果字典攻擊仍然不能夠成功,入侵者會采取窮舉攻擊。一般從長度為1的口令開始,按長度遞增進行嘗試攻擊。由于人們往往偏愛簡單易記的口令,窮舉攻擊的成功率很高。如果每千分之一秒檢查一個口令,那么86%的口令可以在一周內破譯出來。
5、混合攻擊,結合了字典攻擊和窮舉攻擊,先字典攻擊,再暴力攻擊。
避免以上四類攻擊的對策是加強口令策略。
6、直接破解系統口令文件。所有的攻擊都不能夠奏效,入侵者會尋找目標主機的安全漏洞和薄弱環節,飼機偷走存放系統口令的文件,然后破譯加密的口令,以便冒充合法用戶訪問這臺主機。
7:網絡嗅探(sniffer),通過嗅探器在局域網內嗅探明文傳輸的口令字符串。避免此類攻擊的對策是網絡傳輸采用加密傳輸的方式進行。
8:鍵盤記錄,在目標系統中安裝鍵盤記錄后門,記錄操作員輸入的口令字符串,如很多間諜軟件,木馬等都可能會盜取你的口述。
9:其他攻擊方式,中間人攻擊、重放攻擊、生日攻擊、時間攻擊。
避免以上幾類攻擊的對策是加強用戶安全意識,采用安全的密碼系統,注意系統安全,避免感染間諜軟件、木馬等惡意程序。
第四篇:信息系統安全管理辦法
1.0
目的為保證集團計算機信息系統的平安,防止信息泄密,特制定本管理辦
法。
2.0
適用范圍
本規定適用于本集團的全體員工;適用于本公司所有辦公用計算機、網
絡布線和網絡連接設備。
3.0
職責
集團人力行政中心統一負責管理和維護集團各公司的計算機、打印機、電腦網絡等辦公自動化設備及各類軟件,并對計算機系統平安保密工作進行指導、協調和監督檢查;各部門主管負責本部門辦公設備和信息系統的平安保密工作,應指定專人經常進行信息的平安情況檢查;定期查、殺病毒,確保系統平安運行。
4.0
具體管理方法
4.1
設備平安管理
4.1.1
非設備維護人員,不得私自拆裝計算機設備,不得私自變更網絡設備的連接,對非法操作造成的財產損失和網絡重大故障的有關人員,要追究
責任。
嚴禁帶電拔插計算機上的所有連線和設備〔鍵盤、鼠標、打印機、軟件
狗等〕,以防止損壞設備。
4.1.3
除不可抗拒的原因外,禁止非法開、關機,關機后再次啟動電腦的間隔
時間不得低于1分鐘。
對外來軟盤、u盤等介質應先殺毒,以消除可能帶有的病毒。
嚴禁在開機狀態下移動計算機主機等設備。
4.1.6
未經人力行政中心IT部門登記,不得將外來的筆記本電腦等設備私自接
入公司網絡。
4.2
軟件平安管理
4.2.1
計算機上使用的系統軟件由集團人力行政中心有關技術人員進行安裝,各部門使用的自購或開發的軟件必須由集團人力行政中心技術員檢查確認平安問題并建立軟件檔案前方可使用。
計算機使用人員應遵守如下規定:
〔1〕不得隨意修改計算機和網絡上的配置參數、程序及信息資源;
〔2〕未經防病毒檢查和平安性檢查,不得隨意拷入外來程序及數據;
〔3〕不得私自從因特網上下載非工作必需的軟件,以免影響其他人上網的速度。
〔4〕不得安裝與工作無關的軟件,嚴禁辦公時間在電腦上玩游戲、上網瀏覽色情網站或下載游戲軟件,工作時間不得上網聊天或進入交友網站。
4.3
信息平安管理
4.3.1
各計算機用戶負責妥善處理本人使用的計算機上的信息,未經許可不得
隨意拷貝、打印保密信息。
4.3.2不得向網絡輸入有害程序和信息或利用網絡查詢、傳播各種違法信息。
4.3.3向網站發布信息必須按相關規定審批前方可發布。
4.3.4需長期保存的文件不得放置在電腦C盤,應放在D、E等盤,并及時備份〔建議采用光盤或U盤的方式,盡量不使用軟盤方式〕,以免由于系統出錯格式化造成文檔喪失,如因硬盤損壞等原因造成信息喪失的后果由當事人及部門主管負責。
任何部門或個人發現計算機信息系統泄密和存在不平安因素,應及時報
告集團人力行政中心IT部門采取措施補救。
5.0
違反本管理方法按?獎懲制度?處理。
6.0
本管理方法解釋權歸屬集團人力行政中心。如原有規定與本管理方法有沖突,以本管理方法為準。
7.0
本管理方法自2021年1月1日起執行。
第五篇:信息系統安全自查報告
信息系統安全自查報告
一、自查情況
1、安全制度落實情況: 目前我院已制定了<網絡安全管理制度>、<計算機信息系統安全保密管理制度>、<涉密人員管理制度>等制度并嚴格執行。信息管護人員負責信息系統安全管理,密碼管理,且規定嚴禁外泄。
2、安全防范措施落實情況:(1)計算機經過了信息系統安全技術檢查,并安裝了防火墻,同時配置安裝了專業殺毒軟件,加強了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面的有效性。(2)禁止使用來歷不明或未經殺毒的一切移動存儲介質。(3)在安裝殺毒軟件時采用國家主管部門批準的查毒殺毒軟件適時查毒和殺毒,不使用來歷不明、未經殺毒的軟件、軟盤、光盤、u盤等載體,不訪問非法網站,自覺嚴格控制和阻斷病毒來源。在單位外的u盤,不得攜帶到單位內使用。(4)安裝了準入準出管理系統,對內部網絡中出現的內部用戶未通過允許私自聯到外部網絡的行為進行檢查。對外來終端接入醫院網絡必須進行健康度審查,直至符合相關要求后,經管理員審核才能接入醫院網絡。對接入互聯網的終端計算機采取控制措施,包括實名接入認證、IP地址與MAC地址綁定等,定期對終端計算機進行安全審計;規范化使用終端軟硬件,不得擅自更改軟硬件配置,不得擅自安裝軟件,嚴禁在計算機上安裝非法盜版軟件;監控系統開啟服務與程序情況,關閉不必要的服務、端口、來賓組等,防止惡意程序后臺運行,防止安裝過多應用軟件及病毒、木馬程序的自運行;加強網絡訪問控制,防止計算機進行違規互聯,防止信息因共享等方式進行違規流轉,防止木馬、病毒在信息系統內大規模爆發。(5)安裝了防病毒系統、威肋預警系統,服務器安裝支持統一管理的防病毒軟件,及時更新軟件版本和病毒庫;整改配備威脅管理平臺和殺軟,主機與網絡的防范產品統一管理,且必須與終端殺毒軟件屬不同的安全庫;定期(如每半年年)進行系統漏洞掃描,并根據掃描發現的漏洞開展整改工作,應定期(如每月)對惡意代碼查殺結果進行分析,對于查殺發現的病毒及其傳播、感染方式進行通告,并出具分析報告,及時更新操作系統的安全補丁,更新前應對補丁進行測試,確認其不影響操作系統的業務性能后,再安裝系統安全補丁。(6)安裝了數據庫審計系統(防統方)軟件,審計范圍覆蓋到服務器上的每個操作系統用戶和數據庫用戶;審計內容包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件;審計記錄包括事件的日期、時間、類型、主體標識、客體標識和結果等;保護審計記錄,避免受到未預期的刪除、修改或覆蓋等;對醫院數據庫幾張重要的表格(統方)采取相應的安全措施,降低國家省里衛計委三令五聲的統方信息泄露事件。整改配備數據庫審計系統(反統方),對重要客戶端的審計和審計報表計記錄的保護。部署數據庫審計系統,賦予安全管理員審計系統管理權限,其中系統管理員無審計系統日志訪問權限,安全管理員無數據庫系統管理權限;(7)安裝了網閘隔離設備,醫院內網與外網原本是物理上隔離,因部份數據需要內外網進行交互,采用專用三機統的安全網閘來實現內外網數據交互,保障安全。
3、應急響應機制建設情況:(1)制定了初步應急預案,并處于不斷完善階段。(2)對信息系統數據進行定期備份,以降低或消除各種災難對正常工作的影響。
4、信息技術產品應用情況: 使用防火墻、安全網閘與入侵檢測系統,有效保護信息系統安全。
5、信息安全教育培訓情況:(1)我院不斷加強對計算機使用者的安全培訓工作,強化每一個使用者安全使用網絡的能力,提高安全防范意識,對每臺入網計算機的使用者、ip地址進行登記造冊。(2)組織人員參加網絡安全員培訓。增強內部人員的信息安全防護意識,有效提高信息安全防護能力。
二、信息安全檢查發現的主要問題及整改情況
1、目前存在的問題:(1)規章制度體系初步建立,但還不夠完善,未能覆蓋信息系統安全的所有方面。(2)不少信息系統使用人員安全意識不強,在管理上缺乏主動性和自覺性。(3)網絡安全技術管理人員配備較少,信息系統安全方面投入的力量有限。
2、整改措施:(1)再次檢查規章制度各個環節的安全策略與安全制度,并對其中不完善部分進行重新修訂與修改,切實增強信息安全制度的落實工作,不定期對安全制度執行情況進行檢查。(2)繼續加強人員的安全意識教育,提高人員安全工作的主動性和自覺性。(3)加大對線路、系統等的及時維護和保養,加大更新力度。提高安全工作的現代化水平,便于進一步加強對計算機信息系統安全的防范和信息系統安全工作。
三、對信息安全檢查工作的意見和建議
1、加強信息網絡安全技術人員培訓,使安全技術人員及時更新信息網絡安全管理知識。
2、加強人員的信息安全意識,不斷地加強信息系統安全管理和技術防范水平。
3、增加安全管理的經費。
點擊咨詢 