【2016網(wǎng)絡(luò)與信息安全自查報(bào)告1】
為落實(shí)“教育部辦公廳關(guān)于開展網(wǎng)絡(luò)安全檢查的通知”(教技廳函[2016]5號(hào))、“教育部關(guān)于加強(qiáng)教育行業(yè)網(wǎng)絡(luò)與信息安全工作的指導(dǎo)意見”(教技[2016]4號(hào))、陜西省教育廳“關(guān)于開展全省教育系統(tǒng)網(wǎng)絡(luò)與信息安全專項(xiàng)檢查工作的通知”(陜教保【2016】8號(hào)),全面加強(qiáng)我校網(wǎng)絡(luò)與信息安全工作,校信息化建設(shè)領(lǐng)導(dǎo)小組辦公室于9月16日-25日對(duì)全校網(wǎng)絡(luò)、信息系統(tǒng)和網(wǎng)站的安全問題組織了自查,現(xiàn)將自查情況匯報(bào)如下:
一、 學(xué)校網(wǎng)絡(luò)與信息安全狀況
本次檢查采用本單位自查、遠(yuǎn)程檢查與現(xiàn)場(chǎng)抽查相結(jié)合的方式,檢查內(nèi)容主要包含網(wǎng)絡(luò)與信息系統(tǒng)安全的組織管理、日常維護(hù)、技術(shù)防護(hù)、應(yīng)急管理、技術(shù)培訓(xùn)等5各方面,共涉及信息系統(tǒng)28個(gè)、各類網(wǎng)站89個(gè)。
從檢查情況看,我校網(wǎng)絡(luò)與信息安全總體情況良好。學(xué)校一貫重視信息安全工作,始終把信息安全作為信息化工作的重點(diǎn)內(nèi)容。網(wǎng)絡(luò)信息安全工作機(jī)構(gòu)健全、責(zé)任明確,日常管理維護(hù)工作比較規(guī)范;管理制度完善,技術(shù)防護(hù)措施得當(dāng),信息安全風(fēng)險(xiǎn)得到有效降低;比較重視信息系統(tǒng)(網(wǎng)站)系統(tǒng)管理員和網(wǎng)絡(luò)安全技術(shù)人員培訓(xùn),應(yīng)急預(yù)案與應(yīng)急處置技術(shù)隊(duì)伍有落實(shí),工作經(jīng)費(fèi)有一定保障,基本保證了校園網(wǎng)信息系統(tǒng)(網(wǎng)站)持續(xù)安全穩(wěn)定運(yùn)行。但在網(wǎng)絡(luò)安全管理、技術(shù)防護(hù)設(shè)施、網(wǎng)站建設(shè)與維護(hù)、信息系統(tǒng)等級(jí)保護(hù)工作等方面,還需要進(jìn)一步加強(qiáng)和完善。
二、網(wǎng)絡(luò)信息安全工作情況
1.網(wǎng)絡(luò)信息安全組織管理
按照“誰主管誰負(fù)責(zé)、誰運(yùn)維誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則,學(xué)校網(wǎng)絡(luò)信息安全工作實(shí)行“三級(jí)”管理。學(xué)校設(shè)有信息化工作領(lǐng)導(dǎo)小組,校主要領(lǐng)導(dǎo)擔(dān)任組長(zhǎng),信息化工作辦公室設(shè)在網(wǎng)教中心,中心主任兼辦公室主任。領(lǐng)導(dǎo)小組全面負(fù)責(zé)學(xué)校網(wǎng)絡(luò)信息安全工作,授權(quán)信息辦對(duì)全校網(wǎng)絡(luò)信息安全工作進(jìn)行安全管理和監(jiān)督責(zé)任。網(wǎng)教中心作為校園網(wǎng)運(yùn)維部門承擔(dān)信息系統(tǒng)安全技術(shù)防護(hù)與技術(shù)保障工作。各處室、學(xué)院承擔(dān)本單位信息系統(tǒng)和網(wǎng)站信息內(nèi)容的直接安全責(zé)任。
2.信息系統(tǒng)(網(wǎng)站)日常安全管理
學(xué)校建有“校園網(wǎng)管理?xiàng)l例”、“中心機(jī)房安全管理制度“、“數(shù)據(jù)安全管理辦法”、“網(wǎng)站管理辦法”、“服務(wù)器托管管理辦法”、“網(wǎng)絡(luò)故障處理規(guī)范”等系列規(guī)章制度。各系統(tǒng)(網(wǎng)站)使用單位基本能按要求,落實(shí)責(zé)任人,較好地履行網(wǎng)站信息上傳審簽制度、信息系統(tǒng)數(shù)據(jù)保密與防篡改制度。日常維護(hù)操作較規(guī)范,多數(shù)單位做到了杜絕弱口令并定期更改,嚴(yán)密防護(hù)個(gè)人電腦,定期備份數(shù)據(jù),定期查看安全日志等,隨時(shí)掌握系統(tǒng)(網(wǎng)站)狀態(tài),保證正常運(yùn)行。
3.信息系統(tǒng)(網(wǎng)站)技術(shù)防護(hù)
校園網(wǎng)數(shù)據(jù)中心建有一定規(guī)模的綜合安全防護(hù)措施。
一是建有專業(yè)中心機(jī)房,配備視頻監(jiān)控、備用電力供應(yīng)設(shè)備,有防水、防潮、防靜、溫濕度控制、電磁防護(hù)等措施,進(jìn)出機(jī)房實(shí)行門禁和登記制度;
二是網(wǎng)絡(luò)出口部署有安全系統(tǒng),站群系統(tǒng)部署有應(yīng)用防火墻,并定期更新檢測(cè)規(guī)則庫(kù),重要信息系統(tǒng)建立專網(wǎng)以便與校園網(wǎng)物理隔離;
三是對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等定期進(jìn)行安全漏洞檢查,及時(shí)更新操作系統(tǒng)和補(bǔ)丁,配置口令策略保證更新頻度;
四是全面實(shí)行實(shí)名認(rèn)證制度,具備上網(wǎng)行為回溯追蹤能力;
五是對(duì)重要系統(tǒng)和數(shù)據(jù)進(jìn)行定期備份,并建有災(zāi)備中心。
4.信息安全應(yīng)急管理
2009年制定了《西北農(nóng)林科技大學(xué)網(wǎng)絡(luò)與信息安全突發(fā)事件應(yīng)急預(yù)案》。網(wǎng)教中心為應(yīng)急技術(shù)支持單位,確保網(wǎng)絡(luò)安全事件的快速有效處置。
5.信息安全教育培訓(xùn)
派員參加了陜西省信息安全保密培訓(xùn)。暑期處級(jí)干部培訓(xùn)安排有信息安全與保密專題,每年組織全校網(wǎng)管員技術(shù)培訓(xùn),增強(qiáng)管理干部和技術(shù)人員的安全防范意識(shí),提高技術(shù)防護(hù)能力。
三、檢查發(fā)現(xiàn)的主要問題
對(duì)照《通知》中的具體檢查項(xiàng)目,我校在信息安全工作上還存在一定的問題:
1.安全管理方面:網(wǎng)管員為兼職,投入精力難以保證,部分網(wǎng)管員長(zhǎng)時(shí)間未登錄過自己管理的系統(tǒng)(網(wǎng)站),無法及時(shí)知曉已發(fā)生的安全事件。部分系統(tǒng)(網(wǎng)站)日常管理維護(hù)不夠規(guī)范,仍存在管理員弱口令、數(shù)據(jù)備份重視不夠、信息保密意識(shí)差等問題(2013年發(fā)生2起個(gè)人隱私信息上傳網(wǎng)站的事件)。
2.技術(shù)防護(hù)方面:校園網(wǎng)安全技術(shù)防護(hù)設(shè)施仍不足,如缺少數(shù)據(jù)中心安全防御系統(tǒng)和審計(jì)系統(tǒng),欠缺安全檢測(cè)設(shè)施,無法對(duì)服務(wù)器、信息系統(tǒng)(網(wǎng)站)進(jìn)行安全漏洞掃描與隱患檢查。
3.應(yīng)用系統(tǒng)(網(wǎng)站)方面:個(gè)別應(yīng)用系統(tǒng)(網(wǎng)站)存在設(shè)計(jì)缺陷和安全漏洞,容易發(fā)生安全事故。(經(jīng)統(tǒng)計(jì)2013年以來14個(gè)網(wǎng)站發(fā)生安全事故17起,其中11起是因?yàn)榫W(wǎng)站存在技術(shù)問題,如安全漏洞或設(shè)計(jì)缺陷)。
4.信息系統(tǒng)等級(jí)保護(hù)工作尚未全面開展。
5.部分院(系)管轄的機(jī)房或?qū)W習(xí)室尚未實(shí)行認(rèn)證和審計(jì)。
四、整改措施
針對(duì)存在的問題,學(xué)校信息化領(lǐng)導(dǎo)小組專門進(jìn)行了研究部署。
1.進(jìn)一步完善網(wǎng)絡(luò)信息安全管理制度,規(guī)范信息系統(tǒng)和網(wǎng)站日常管理維護(hù)工作程序。加強(qiáng)網(wǎng)管員技術(shù)培訓(xùn),提高安全意識(shí)和技術(shù)能力。
2.繼續(xù)完善網(wǎng)絡(luò)信息安全技術(shù)防護(hù)設(shè)施,配備必要的安全防御和檢測(cè)設(shè)備,實(shí)行信息系統(tǒng)(網(wǎng)站)安全檢測(cè)準(zhǔn)入制度,從根本上降低安全風(fēng)險(xiǎn)。定期對(duì)服務(wù)器、操作系統(tǒng)進(jìn)行漏洞掃描和隱患排查,建立針對(duì)性的主動(dòng)防護(hù)體系。
3.針對(duì)各級(jí)網(wǎng)站建設(shè)水平參差不齊問題,學(xué)校2013年引入了站群系統(tǒng)管理平臺(tái),目前已將多個(gè)部門共計(jì)12個(gè)網(wǎng)站遷移到站群系統(tǒng)管理平臺(tái)。今后將加大推進(jìn)力度,逐步將全部各級(jí)網(wǎng)站遷入站群系統(tǒng)管理平臺(tái),提高網(wǎng)站技術(shù)安全性能。
4.全面開展信息系統(tǒng)等級(jí)保護(hù)工作,按照新頒布的《 教育行政部門及高等院校信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》,完成所有在線系統(tǒng)的定級(jí)、備案工作。積極創(chuàng)造條件開展后續(xù)定級(jí)測(cè)評(píng)、整改等工作。
5.加強(qiáng)應(yīng)急管理,修訂應(yīng)急預(yù)案,組建以網(wǎng)教中心技術(shù)人員為骨干、重要系統(tǒng)管理員參加的應(yīng)急支援技術(shù)隊(duì)伍,加強(qiáng)部門間協(xié)作,做好應(yīng)急演練,將安全事件的影響降到最低。
6.對(duì)院(系)管機(jī)房或?qū)W習(xí)室強(qiáng)制認(rèn)證和審計(jì)。
五、幾點(diǎn)建議
1.建議按年度列支相關(guān)經(jīng)費(fèi),用于培訓(xùn)、應(yīng)急演練、網(wǎng)站改造等工作開展。(“網(wǎng)絡(luò)安全經(jīng)費(fèi)預(yù)算投入情況”也是教技廳函[2015]51號(hào)文件9個(gè)檢查項(xiàng)目之一);
2.建議在數(shù)字校園建設(shè)經(jīng)費(fèi)里列支專項(xiàng)經(jīng)費(fèi)用于等保定級(jí)、測(cè)評(píng)、整改等工作;
3.建議各類網(wǎng)站在適當(dāng)?shù)臅r(shí)候(最好是改版時(shí))加入學(xué)校站群系統(tǒng)管理平臺(tái),一旦加入該站群系統(tǒng)管理平臺(tái),管理者將無需考慮網(wǎng)站的技術(shù)安全及風(fēng)險(xiǎn),只需考慮網(wǎng)站的信息與內(nèi)容安全。
【2016網(wǎng)絡(luò)與信息安全自查報(bào)告2】
據(jù)衡水市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組印發(fā)《衡水市網(wǎng)絡(luò)與信息安全檢查方案》要求,結(jié)合實(shí)際,認(rèn)真對(duì)我市信息系統(tǒng)安全進(jìn)行了檢查,現(xiàn)將檢查情況報(bào)告如下:
一、網(wǎng)絡(luò)與信息安全狀況總體評(píng)價(jià)
今年來,市、局高度重視信息安全工作,把信息安全工作列入重要議事日程,為規(guī)范信息公開工作,落實(shí)好信息安全的相關(guān)規(guī)定,成立了信息安全工作領(lǐng)導(dǎo)小組,落實(shí)了管理機(jī)構(gòu),由專門的信息化公室負(fù)責(zé)信息安全的日常管理工作,明確了信息安全的主管領(lǐng)導(dǎo)、分管領(lǐng)導(dǎo)和具體管理人員。
相繼建立健全了日常信息管理、信息安全防護(hù)管理等相關(guān)工作制度,加強(qiáng)了信息安全教育工作,信息安全工作領(lǐng)導(dǎo)小組定期或不定期地對(duì)我市信息安全工作進(jìn)行檢查,對(duì)查找出的問題及時(shí)進(jìn)行整改,進(jìn)一步規(guī)范了信息安全工作,確保了信息安全工作的有效開展,全市信息安全工作取得了新進(jìn)展。
二、網(wǎng)絡(luò)與信息安全主要工作情況
(一)加強(qiáng)領(lǐng)導(dǎo),明確職責(zé),抓好網(wǎng)絡(luò)與信息安全組織管理工作。為規(guī)范、加強(qiáng)信息安全工作,市領(lǐng)導(dǎo)高度重視,把該項(xiàng)工作列為重點(diǎn)工作任務(wù),成立了由主管市長(zhǎng)為組長(zhǎng),分管信息工作的局級(jí)領(lǐng)導(dǎo)為副組長(zhǎng),各相關(guān)市直單位為成員的信息安全工作領(lǐng)導(dǎo)小組。做到了分工明確,責(zé)任到人,形成了主管領(lǐng)導(dǎo)負(fù)總責(zé),具體管理人負(fù)主責(zé),分級(jí)管理,一級(jí)抓一級(jí),層層抓落實(shí)的領(lǐng)導(dǎo)體制和工作機(jī)制,切實(shí)把信息安全工作落到實(shí)處。
(二)做好網(wǎng)絡(luò)與信息安全日常管理工作。根據(jù)工作實(shí)際,我局建立健全了信息系統(tǒng)安全狀況自查制度、信息系統(tǒng)安全責(zé)任制、計(jì)算機(jī)及網(wǎng)絡(luò)保密管理等相關(guān)制度,使信息安全工作進(jìn)一步規(guī)范化和制度化。
(三)落實(shí)好網(wǎng)絡(luò)與信息安全防護(hù)管理。健全完善了非涉密計(jì)算機(jī)保密管理制度、非涉密移動(dòng)儲(chǔ)存介質(zhì)保密等管理制度。在計(jì)算機(jī)上安裝了防火墻,同時(shí)配置安裝了專業(yè)殺毒軟件,加強(qiáng)了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面的有效性。網(wǎng)絡(luò)終端沒有違規(guī)上國(guó)際互聯(lián)網(wǎng)及其他的信息網(wǎng)的現(xiàn)象,單位未安裝無線網(wǎng)絡(luò)等無線設(shè)備,并安裝了針對(duì)移動(dòng)存儲(chǔ)設(shè)備的專業(yè)殺毒軟件。
(四)制定信息安全應(yīng)急管理機(jī)制。結(jié)合實(shí)際,我市初步建立應(yīng)急預(yù)案,建立了電子公文和信息報(bào)送辦理制度(試行)和電子公文和信息報(bào)送崗位責(zé)任制,嚴(yán)格文件的收發(fā),完善了清點(diǎn)、修理、編號(hào)、簽收制度;信息管理員及時(shí)對(duì)系統(tǒng)和軟件進(jìn)行更新,對(duì)重要文件、信息資源做到及時(shí)備份,數(shù)據(jù)恢復(fù)。
(五)安全教育培訓(xùn)情況正在逐步開展。今年下半年,我市計(jì)劃對(duì)全體計(jì)算機(jī)使用人員開展了網(wǎng)絡(luò)與信息安全等方面的操作培訓(xùn),并講解網(wǎng)絡(luò)安全的一些知識(shí)。
(六)認(rèn)真開展信息安全檢查工作。市信息安全工作領(lǐng)導(dǎo)小組會(huì)定期或不定期地對(duì)我市網(wǎng)絡(luò)與信息安全工作進(jìn)行檢查,對(duì)查找出的問題及時(shí)進(jìn)行整改,確保了信息安全工作的有效展。
三、網(wǎng)絡(luò)與信息安全自查發(fā)現(xiàn)的主要問題及整改情況
根據(jù)《衡水市網(wǎng)絡(luò)與信息安全檢查方案》中的具體要求,在工作自查過程中我們也發(fā)現(xiàn)了一些不足及待以整改的情況。
1.存在問題。在自查過程中主要存在以下情況:一是投入不足。由于我市缺少專業(yè)技術(shù)人員,且市財(cái)政在信息系統(tǒng)安全方面可投入的資金有限,因此在網(wǎng)絡(luò)與信息安全建設(shè)過程中投入的力量有限;二是規(guī)章制度體系初步建立,但還不完善,未能覆蓋相關(guān)信息系統(tǒng)安全的所有方面;三是在遇到計(jì)算機(jī)病毒侵襲等突發(fā)事件上,處理不夠及時(shí)。
2.整改情況。針對(duì)以上存在的問題,我們將做好四個(gè)“繼續(xù)”。 一是繼續(xù)完善并執(zhí)行信息安全工作制度,應(yīng)經(jīng)常不定期的對(duì)信息安全工作制度執(zhí)行情況進(jìn)行檢查,對(duì)于導(dǎo)致不良后果的責(zé)任人,要嚴(yán)肅追究責(zé)任,從而提高信息人員安全防護(hù)意識(shí);二是繼續(xù)抓好制度落實(shí),在進(jìn)一步完善網(wǎng)絡(luò)與信息安全制度的同時(shí),安排專人密切監(jiān)測(cè),隨時(shí)隨地解決可能發(fā)生的信息系統(tǒng)安全事故;三是繼續(xù)加強(qiáng)對(duì)全市領(lǐng)導(dǎo)干部、網(wǎng)絡(luò)信息人員的安全意識(shí)教育,提高做好信息安全工作的主動(dòng)性和自覺性;四是繼續(xù)加強(qiáng)加大對(duì)全市信息線路、信息系統(tǒng)等方面的及時(shí)維護(hù)、保養(yǎng)、更新力度。
四、對(duì)網(wǎng)絡(luò)與信息安全工作的意見和建議
建議省、市加大對(duì)縣市區(qū)信息安全工作的指導(dǎo),經(jīng)常性開展信息安全教育培訓(xùn),不斷提高信息安全工作的現(xiàn)代化水平,便于工作人員進(jìn)一步加強(qiáng)對(duì)網(wǎng)絡(luò)與信息安全方面的防范和保密工作;建議省、市加大與對(duì)信息安全工作的資金和技術(shù)投入力度,確保工作順利開展,保證信息安全。