發布時間:2023-03-13 11:15:49
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的網絡安全整改報告樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
根據《網絡安全法》中維護網絡數據的保密性的相關要求,我院結合實際情況,組織開展了自查。現將有關自查匯報如下:
我院領導對網絡安全工作一直十分重視,積極落實上級部門關于網絡安全的各項規定,各方配合采取多種措施防范危害網絡安全的事件發生,總體上看還是有成效的。
一、網絡安全管理措施
我院及14個村衛生室的網絡分為互聯網(外網)與衛生專網(內網),外網與內網兩網實行分離制度,固定IP地址、設置防火墻,不能私自添加新IP,未經允許分配IP做到專網專用,確保兩網獨立、安全。
網絡主機專室存放,專人維護,定期檢查。內網電腦主機禁止任何外接硬件,禁止任何不明程序并配備有正規的防護程序。
內網主要運行的his系統和藍星系統操作人員都經過操作培訓,能夠較好的避免操作失誤帶來的相關風險。
二、自查存在的不足及整改意見
我們在管理過程中發現了一些管理方面存在的薄弱環節,今后我們還要在以下幾個方面進行改進。
1、對于線路不整齊、暴露的、立即對線路進行整改。
2、加強設備維護,及時更換和維護好設備。
3、自查中發現個別人計算機安全意識不強。
在以后的工作中,我們將加強計算機安全意識和防范知識培訓,讓職工充分意識到網絡安全的重要性。人防與技防結合,確保單位信息安全和網絡安全。
【 關鍵詞 】 中小商業銀行;等級保護;信息科技風險管理;信息安全體系框架
1 中小銀行等級保護咨詢服務的背景
隨著信息技術的不斷進步與發展,信息系統的安全建設顯得尤為重要。2012年6月29日人民銀行下發了“銀發【2012】163號”文件,為進一步落實《信息安全等級保護管理辦法》(公通字〔2007〕 43號文印發),加強對銀行業信息安全等級保護工作的指導,結合近年來銀行業信息安全等級保護工作開展情況,人民銀行給出了銀行業金融機構信息系統安全等級保護定級的指導意見,至此,正式的拉開了中小商業銀行等級保護建設和整改工作的序幕。
2 等級保護咨詢服務的項目目標
國內中小銀行在信息安全的發展程度,大部分處于自我認知的階段,一邊忙于業務發展的保障需要,一邊又要應對上級監管部門的監督檢查,對于安全建設來說,大部分沒有納入到戰略的層面來考慮。因此,借助于等級保護咨詢服務來建立的這樣一套信息安全體系,必須同時滿足公安部等級保護基本要求、人民銀行等級保護的測評要求和銀監會關于IT風險管理的要求。這些目標相輔相承,互為補充。只有將通用的要求、標準、規范落實到自己IT風險管理體系的各方面,建立適合自己業務特點與發展需求的信息安全體系,才能達到有效管理風險、進行IT治理的目的,并最終通過等級測評。
3 等級保護咨詢服務的總體思路
中小銀行在咨詢服務項目需要主動地全面的考量自身情況,綜合分析人民銀行、銀監會和等級保護的要求,在現有的安全工作基礎之上,建立統一的信息安全體系,同時滿足這些主要的監管要求。這樣面臨檢查時,只要客觀反映出當前狀態就可以,有效降低臨時的材料組織工作。
同時滿足三方面監管要求的信息安全體系,這個信息安全體系將以公安部的等級保護《基本要求》、人民銀行的《等保測評指南》和銀監會《管理指引》為主要依據來搭建起框架,以各專項監管指引為各個領域的具體工作指導,以ISO27000為代表的國內外信息安全標準為補充。
4 等級保護咨詢服務的內容
等級保護的咨詢服務具體實施過程可參考公安部下發的《信息系統安全等級保護實施指南》,“指南”中將等級保護工作分為了定級備案、規劃設計、建設整改和等級測評四大過程。
4.1 系統定級
系統定級階段需要完成的工作。
1) 等級保護的導入培訓:在進行咨詢服務之前,需要對銀行相關科室信息人員進行等級保護的內容培訓。只要講清楚等保是什么,需要各級人員配合的工作點是什么就可以了。
2) 系統業務安全域劃分:這個階段需要進行信息搜集和資產調研。明確業務系統的范圍、邊界、功能、以及重要性等。
3) 編寫系統定級報告和備案表:定級報告和備案表都是按照公安部等保辦公室的通用模版來編寫的,內容包含了系統功能描述、網絡拓撲、定級的理由和依據等。
4) 召開專家評審會、獲得備案證明:召開專家評審會并獲得備案證明可視為一個里程碑式的階段性成果,因為定級和備案是等級保護工作開展的前提,如果級別定錯了,或者專家有不同的評審意見,則后續的設計方案、整改方案均無法執行。同時,對于銀行信息科技部門的領導而言,服務工作做的怎么樣無法量化,但是備案證書是看的見,摸的著的,如果能在評審會現場當場頒發,則意義更加重大。
4.2 規劃與設計
規劃與設計階段的主要工作就是進行等級差距分析和風險評估。
1) 技術層面可直接參考人民銀行關于金融行業的“測評指南”來完成,可操作性較強。可分物理、網絡、主機、應用、數據五個層面進行差距評估,同時對網絡流量和網絡協議進行簡單的分析,通過漏洞掃描設備、配置核查設備、滲透工具等進行風險分析,輸出風險評估報告和技術層面的差距評估報告。
2) 管理層面上,等保的管理要求相對薄弱,集中體現在運維管理等方面,如果要達到人民銀行和銀監會的標準,還有很多需要加強和補充的地方,可以對現有的制度文檔進行一個簡單的梳理,用最短的時間完成等保的管理制度調研。
4.3 實施與整改
實施與整改階段需要按照規劃階段的設計方案進行實施,以滿足等級保護安全體系的建設要求。
1) 組織體系整改:安全管理組織應形成由主管領導牽頭的信息安全領導小組、具體信息安全職能部門負責日常工作的組織模式。可參考已成立的《等保領導小組》設立模式,但應具體到管理員崗位。
2) 管理體系整改:按照等級保護的要求補充或重新制定管理制度,根據咨詢方提供的制度模版,銀行可根據自身的實際業務需求進行修改,并經內部討論修訂后,下文試運行。
3) 技術體系整改:技術體系整改應從三個層面進行考慮。
制定技術規范:包括windows、AIX、Informix、tuxedo、cisco等主流設備的安全配置規范;可考慮聘請專業安全公司進行咨詢服務,制定適合銀行長期發展的安全策略和技術安全規范。
安全配置加固:根據已制定的技術規范進行主機、服務器、網絡設備、安全設備的全面的安全加固。
安全設備采購:在安全技術體系的具體實現過程中,需要落實安全技術詳細設計方案中的具體技術要求,將先進的信息安全技術落實到具體安全產品中,形成合理、有效、可靠的安全防護體系。
4.4 等級測評
根據人民銀行的《金融行業信息安全等級保護測評服務安全指引》選擇具有資質的第三方測評機構進行等級測評,一般當地公安機關會指定2-3家評估中心進行等級測評,如果銀行自行聯系省外的測評機構,可能需要事先跟當地省公安廳取得聯系,確保該測評機構的測評報告在本省是受到認可的。
實際上做了咨詢服務之后,等級測評的工作就變的非常簡單,因為咨詢方會在規劃與設計階段就會與測評中心取得聯系,確保其設計方案和整改實施方案得到專家和測評中心的認可,保障其順利實施。所以在等級測評的時候,測評師從進場到出具評測報告大概只需一周左右的時間。
5 結束語
關于金融業等級保護的建設工作,是今后兩年的一個重點工作,尤其是中小銀行可借助合規要求,由信息科技部門立項,向行內申請更多的資源來完善自身的安全體系建設工作。
參考文獻
[1] 武冬立.銀行業安全防范建設指南.長安出版社,2008-11-1.
[2]李宗怡. 中國銀行安全網構建基礎研究.經濟管理出版社,2006-6-1.
[3] 劉志友.商業銀行安全問題研究.中國金融出版社, 2010-3-1.
[4] 曹子建,趙宇峰,容曉峰.網絡入侵檢測與防火墻聯動平臺設計[J].信息網絡安全,2012,(09):12-14.
[5] 傅慧.動態包過濾防火墻規則優化研究[J].信息網絡安全,2012,(12):12-14.
第一章
總
則
第一條
為明確網絡安全事故責任主體(以下簡稱“責任主體”),追究網絡安全事故的責任,結合醫院實際情況,制定本制度。責任主體的范圍包括科室或個人等。
第二條
負責追究責任主體事故責任的單位或個人統稱為責任追究主體,主要為衛計部門網絡安全領導小組和蒲窩鎮衛生院網絡安全工作領導小組。
第三條
本制度適用于蒲窩鎮衛生院所有科室,各科室根據本制度落實具體網絡安全工作。
第四條
網絡安全事故責任認定實行“誰主管誰負責、誰使用誰負責”的原則。
第五條
發生網絡安全事故后,應根據安全事件造成的影響及相關責任主體的態度,作出如下處理:
(一)
批評教育。包括責令責任主體檢查、誡勉談話等;
(二)
書面檢查。責令責任主體向主管領導作出書面檢查;
(三)
通報批評。在衛健系統范圍內對責任主體發文通報,責令整改;
(四)
一般處理。降低或扣除責任主體的月薪補貼,將事故寫入月度或年度考核中;
(五)
嚴肅處理。追究網絡安全事故發生負有領導責任的負責人的管理責任,發生嚴重網絡安全事故的,對相關責任人處以罰款、責令其賠償事故損失、通報批評、降職處理、直至開除。
(六)
報警處理。嚴重損壞社會或國家利益的,上報當地公安部門處理。
第六條
責任追究應當堅持公平公正、有責必究、過罰相當、教育與懲戒相結合的原則。
第二章
責任追究范圍和適用
第七條
責任主體有下列行為之一者,應對其進行批評教育或責令作出書面檢查:
(一)
發生一般或較大安全事件,未按要求上報的;
(二)
未按規定落實相關網絡安全管理制度及技術規范,且未導致安全事件發生的;
(三)
發生重大安全事件后,對調查工作配合不力的。
第八條
責任主體有下列行為之一者,應當責令其作出書面檢查或通報批評:
(一)
發生重大安全事件,未按要求上報的;
(二)
未按規定落實相關網絡安全管理制度技術規范,導致一般或較大安全事件發生的;
(三)
發生重大或特別重大安全事件,且發生安全事件后處理及時,未對醫院財產或聲譽造成影響的;
(四)
經過批評教育或責令作出書面檢查后,仍不按規定落實相關網絡安全管理制度及技術規范的;
(五)
發生特別重大安全事件后,對調查工作配合不力的。
第九條
責任主體有下列行為之一者,應當予以通報批評或一般處理:
(一)
發生特別重大安全事件,未按要求上報的;
(二)
發生重大或特別重大安全事件,且發生安全事件后處理不及時,給醫院財產或聲譽帶來一定影響的;
(三)
發生特別重大安全事件后,對調查工作不配合的。
第十條
責任主體有下列行為之一者,應當予嚴肅處理,情況十分嚴重者應報警處理:
(一)
發生重大或特別重大安全事件造成后果嚴重并刻意隱瞞或謊報,造成惡劣影響的;
(二)
未按規定落實相關網絡安全管理制度及技術規范導致發生重大或特別重大安全事件,且發生安全事件后處理不及時,給醫院財產或聲譽帶來惡劣影響的;
(三)
發生安全事件后銷毀證據、弄虛作假的。
第十一條
對應追究責任主體責任而敷衍結案、弄虛作假的,應當對責任追究主體通報批評。
第十二條
有下列情形之一者,不追究責任主體的責任:
(一)
因不可抗力導致發生的網絡安全事故;
(二)
有充分證據證明完全落實了相關安全要求,由未知原因導致網絡安全事故發生的。
第十三條
責任主體主動承認過錯并及時修補管理或技術漏洞,減少損失、挽回影響,態度非常好的,應當予以從輕或減輕責任追究。
第三章
責任追究程序和實施
第十四條
責任追究過程采用層層負責制,下級責任追究主體對上級責任追究主體負責。
第十五條
責任追究程序包括調查、對調查報告審核、作出責任追究決定等。
第十六條
對網絡安全事故的調查和對事故責任的初步定性由醫院網絡安全工作領導小組及醫院網絡安全工作領導小組辦公室負責,并對調查報告進行審核。
第十七條
調查報告的審核重點:
(一)
事故的事實是否清楚;
(二)
證據是否確實、充分;
(三)
性質認定是否準確;
(四)
責任劃分是否明確。
第十八條
責任追究決定:
(一)
對責任主體作出批評教育、責令作出書面檢查、通報批評時,由醫院網絡安全工作領導小組直接決定。
(二)
對責任主體作出一般處理、嚴肅處理時,由責任主體所在科室或上級部門網絡安全工作領導小組安全辦公室、人事、主管部門共同作出決定,并報網絡安全工作領導小組審批通過后執行。
第十九條
對責任主體的追究決定由人事、財務、相對應的主管部門、網絡安全工作領導小組辦公室等職能部門分別負責實施。
第四章
附
則
第二十條
本制度解釋權歸屬蒲窩鎮衛生院醫院網絡安全工作領導小組辦公室。
第二十一條
本制度自之日起執行。
當前,隨著生產智能化程度的不斷提高,工業設備的深度互聯和信息基礎設施的廣泛應用,對信息安全提出了更高層的要求,云計算、移動互聯、大數據、工業控制和物聯網等新技術也為工業領域帶來了新的安全風險。從2010年到2015年期間,一系列的安全事件陸續發生,2010年震驚世界的Stuxnet病毒爆發、2011年的“Duqu”病毒、2012年的Flame火焰病毒、2014年蜻蜓組織利用havex惡意程序對歐美地區千余家能源企業所進行的攻擊,以及2015年末的烏克蘭變電站被攻擊事件,都是典型的影響深遠、波及廣泛、造成經濟損失慘重和社會危害性極高的工控安全事件。
據美國國家網絡安全和通信綜合中心(NCCIC)統計,近5年來,公開安全漏洞數達1300多個,其中2015年安全漏洞就有486個,呈明顯增長趨勢。《2016工業控制系統漏洞趨勢報告》顯示,工業控制系統漏洞正在逐步增多,在2014到2015年之間存在著49%的高速增長。
從國家相關政策頒布來看,自從工業和信息化部451號文之后,國內各行各業對工控系統安全的認識都達到了一個新的高度。電力、石化、制造和煙草等多個行業陸續制定了相應的指導性文件,來同步指導相應行業的安全檢查與整改活動。由此看來,保障工控系統網絡的安全性,實現工控安全的國產化應用是重中之重。
北京中科網威信息技術有限公司(以下簡稱中科網威)是國內最早從事工控安全研究的企業之一,在自主可控工控安全方面有著專業、深入的研究。中科網威認為,工控網絡安全是傳統網絡安全在工控網絡的延伸,指導工控安全建設的理念和方法論是相同的,即所謂的“老套路”。但工控系統又有別于傳統的信息系統,具備一定的特殊性,如資產變化小、資產訪問關系清晰、可靠性要求高、通信協議安全性差等。隨之也產生了一些新問題,傳統的安全防護手段是無法在工控現場環境中直接使用的,例如漏洞掃描、攻擊測試等。這些新的問題只要采用新的方法和手段去解決即可,其整體的理念和方法論與傳統的是相同的。
結合我國傳統網絡安全產品的發展狀況,中科網威提出了自主可控的工控安全理念。網絡安全產品自主化進程經歷了三個階段:無自主可控階段、半自主可控階段和全自主可控階段。如今我國自主品牌的工控安全產品已經完全具備了直接進入第三階段的技術水平,即不但軟件要自主,處理器更要自主。
在愈發嚴峻的網絡安全形勢背景下, 2013年初,中科網威在與申威處理器深度合作的基礎上,打造了基于申威的自主可控品牌――中科神威,以中科神威的自主可控防火墻為例,它已經成功替換了部分以國外x86芯片為技術核心的傳統防火墻,并率先在黨政軍等行業的核心、敏感、要害部門有了批量應用。
網絡安全產品采用自主可控的處理器,也就意味著在信息化時代掌握了事關國家經濟安全的重大技術話語權。專注網絡安全領域多年的中科網威,不僅堅信申威處理器的技術實力和發展潛力,而且敏銳地洞察到自主可控市場潛在的巨大發展空間,并迅速開展了市場推廣工作。
隨著自主可控網絡安全行業的不斷細分,用戶需要的不僅僅是單一的安全產品,更是整體的解決方案與安全技術服務。在這個行業,如果還是一味的銷售產品,不著眼于理念的革新,那么企業將越做越難,尤其是在國產化安全產品競爭如此激烈的時代。為了推動自主可控網絡安全市場的發展,中科網威正與合作伙伴配合,共同推出自主可控的網絡安全解決方案,與合作伙伴合作共贏,共同推動中國網絡安全產業的發展。
中科網威作為網絡安全民營企業,擁有多項工業控制系統安全產品發明專利和核心技術。對于網絡安全行業的自主可控應用,有著自己的見解和應對之道,并在業內率先提出了“芯改變,更安全”的安全理念。正是憑借一系列的突破,中科網威在國內自主可控網絡安全領域中占據了領跑者的地位。
近年來,隨著信息安全等級保護工作機制的不斷完善,主管部門監督檢查力度的不斷加大,信息系統開展等級測評的數量穩步增長,測評覆蓋率顯著提升。通過統計分析本單位近些年測評的數百個信息系統的數據,可以得出以下結論:一是較早開展等級測評的行業,經過測評和整改建設,測評符合率逐年提高;二是隨著等級測評工作的持續推進,近期才開展首次測評的行業特別是基層單位的信息安全工作基礎較薄弱,測評得分明顯偏低。通過對物理安全、網絡安全、主機安全、應用安全、數據安全、安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理等10個層面的測評結果進行統計,其中網絡安全、主機安全、應用安全、系統運維管理等方面的不符合率相對較高,信息系統的建設、使用、運維階段存在一些較普遍的問題。
信息系統安全保護措施落實情況分析
整體而言,隨著等級測評工作的持續推進,黨政機關、企事業單位對信息系統安全等級保護的認識和重視程度得到普遍提升,在管理和技術兩方面主要采取了以下安全措施:
信息安全管理措施落實情況
在信息安全管理方面呈現出兩級分化的特點。一些重點行業的業務信息化程度高、自身信息技術隊伍力量足、信息安全投入經費有保障,其安全管理措施一般也能得到有效落實,在機構、人員、制度、建設管理、運維管理等方面均能較好地符合相關標準的要求。這一類的典型包括銀行、證券、電力等行業主管部門對信息安全監管嚴格的幾大行業。相反,部分對信息系統管控相對松散的單位如大專院校、在信息安全投入方面得不到充分保障的單位如基層政府部門,其信息安全專業人員的配備達不到標準規范的要求,安全責任部門地位偏低權限不足,很難制定并有效貫徹落實結合本單位實際的信息安全管理制度。
信息安全技術措施落實情況
多數單位通過部署邊界安全設備,強化入侵防范措施來提高網絡的安全性;通過加固操作系統和數據庫的安全策略,啟用安全審計,安裝殺毒軟件等措施,來提高主機安全防護水平;通過開發應用系統的安全模塊,從身份鑒別、訪問控制、日志記錄等方面,強化業務應用的安全性;通過部署數據備份設備、加密措施,加強對數據安全的保護。
信息系統常見安全問題分析
隨著等級測評工作的覆蓋面進一步擴大,近年來初次測評的單位和基層部門仍發現一些典型問題。
信息安全意識有待提高
很多單位對當前日趨嚴峻的網絡安全形勢認識不足,將信息安全工作視為被動應付上級檢查、被動應對安全事件的任務來消極對待。一些單位認為取得“基本符合”的測評結論就高枕無憂,完成測評備案就完成了等級保護。由此造成對信息安全合規的落實不夠、資金和人員投入不足、重建設輕運維、有制度無執行、有預案不演練等問題,根源還是安全意識薄弱。
信息安全管理有待加強
信息安全管理不到位主要表現在安全管理制度、系統建設管理、系統運維管理等方面。
信息安全管理制度不完善。基層單位信息安全管理制度不全、人員配備不足、授權審批流于形式、執行記錄缺失等問題較為常見。部分單位的信息安全管理制度照搬模版,未結合本單位實際進行修訂,導致缺乏可操作性。
系統建設管理不到位。系統建設過程中落實信息安全“同步建設”原則不到位。在軟件開發階段較普遍未遵循安全編碼規范,導致安全功能缺失、應用層漏洞頻現。在系統驗收階段,很多單位僅注重業務功能驗收,缺乏專門的安全性測試;電子政務類項目較普遍未按規定在項目驗收環節完成“一證兩報告”(即等級測評報告、風險評估報告和系統備案證明)。
系統運維管理不到位。在系統運維管理方面,部分單位運維和開發崗位不分,職責不清,存在一人身兼數職現象。很多單位在信息資產管理、介質管理、變更管理等方面缺乏操作規程和相關記錄,數據備份策略不明,應急預案不完善并缺乏演練。
關鍵技術措施有待落實
分析近年來的測評結果,安全技術措施不足問題主要體現在以下幾個方面:
在物理安全方面,隨著電子政務集約化建設的推進,大量信息系統已經集中到高規格的專業機房,但仍有部分單位自有機房條件簡陋,位置選擇不規范,出入管理較隨意,防盜防破壞、防雷防火防潮能力較差,環境監控措施不足。
在網絡安全方面,常見網絡和安全設備的配置不到位,如未合理劃分區域、未精細配置訪問控制策略、未對重要設備做地址綁定等;較普遍缺少專業審計系統。部分單位設備老舊,安全產品本身存在一定缺陷導致無法滿足等級保護要求。個別單位用于生產控制的重要信息系統在網絡層面未采取必要安全措施的同時,還違規接通互聯網,存在極大的安全隱患。
在主機安全方面,部分單位存在弱口令、不啟用登錄失敗處理和安全審計功能、不及時更新補丁、不關閉非必要服務等問題。此外,由于主流操作系統和數據庫很少支持強制訪問控制機制,相關要求普遍未落實。
在應用安全方面,很多應用軟件安全功能不足,缺少身份鑒別、審計日志、信息加密等能力。由于很少進行安全掃描、滲透測試,相當一部分系統存在高危風險,如SQL注入、跨站腳本、文件上傳等漏洞,以及弱口令、網頁木馬等問題。
在數據安全方面,較常見的是數據保密性和完整性措施薄弱。此外,部分信息系統的備份和恢復措施欠完善,缺乏有效的災難恢復手段。
針對新技術的等級保護測評標準有待出臺
隨著浙江政務服務網的大力推進,省內各級政務云平臺的建設使用已全面開展,有相當數量的電子政務系統已遷移上云。同時涉及城市公共設施、水電氣等工控系統密集的行業對等級保護工作越來越重視,對云計算、工控系統、移動APP等的測評需求不斷加大。但現有的《GB/T 22239-2008 信息安全技術 信息系統安全等級保護基本要求》未涉及云計算、工業控制、移動互聯等領域,在測評實踐中已遇到諸多不適應情況。針對這些新技術新應用的等級保護測評標準需求已非常迫切。
重要信息系統安全保護對策建議
針對上述存在的問題,本文提出以下對策建議,以供參考。
提高信息安全意識
提高全員信息安全意識是全面提升信息安全保障水平的根本解決之道。要樹立全體人員的安全觀念,加強信息安全培訓。除了通過強化工作考核和安全檢查來督促信息安全工作的深入開展,還應通過多種方式開展信息安全政策解讀和信息安全標準宣貫,強化對全員的安全意識教育和考查。建議結合一些合適的安全職業技能培訓,落實信息安全相關崗位“持證上崗”的要求。
加強信息安全管理
“三分技術,七分管理”,各單位應轉變觀念,將“信息安全”與“系統穩定、功能正常”同等重視起來,將安全管理要求與自身業務緊密結合,制訂完善的體系化的安全管理制度。
在系統建設管理過程中,應要求開發人員遵循安全編碼規范進行開發;在系統驗收環節,應認真做好安全性驗收測試。在電子政務領域應落實國家對電子政務項目管理的制度要求,驗收階段完成等級測評,未通過測評的應不予驗收。
在系統運維管理方面,應加強制定信息系統日常管理操作的詳細規范,明確定義工作流程和操作步驟,使日常運行管理制度化、規范化。對信息資產按重要性進行分類梳理,建立完善應急災備措施,定期開展演練,確保備份的有效性。
落實關鍵技術措施
針對測評發現的問題,各單位應根據系統所定級別,結合自身條件,綜合考慮問題的影響范圍、嚴重程度、整改難度等因素,制定整改計劃,有步驟地落實相關技術措施。對于策略配置類的問題及時糾正;對于整改難度大、需要添置硬件或修改代碼的問題,應在充分測試和試運行的基礎上實施整改。對于強制訪問控制、敏感標記、雙因子鑒別等難點問題,建議國家加強相關產業政策的引導,促進安全廠商研發技術、推出產品,解決市場供應問題。各級主管部門應通過測評、整改、監督檢查、再測評的閉環管理,督促關鍵技術措施的落實。
加快新技術的等級保護測評標準編制工作
目前公安部信息安全等級保護評估中心在牽頭起草針對云計算安全的等級保護標準,尚處于征求意見階段。其余新技術領域的等級保護標準制定工作進度更晚,隨著智慧城市、云計算、大數據、移動互聯、工業控制等新技術的快速應用,安全標準相對滯后的問題更加突出,應進一步加快相關新標準的制定。
第一條為加強對計算機信息系統的安全保護,維護公共秩序和社會穩定,促進信息化的健康發展,根據《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網絡國際聯網管理暫行規定》等規定,結合本市實際,制定本辦法。
第二條本辦法所稱的計算機信息系統,是指由計算機及其相關的和配套的設備、設施(含有線、無線等網絡,下同)構成的,按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統,包括互聯網、局域網、移動網等。
第三條*市行政區域范圍內計算機信息系統的安全保護管理,適用本辦法。
第四條*市公安局主管全市計算機信息系統安全保護管理工作。
*市公安局公共信息網絡安全監察分局具體負責市區范圍內(蕭山區、余杭區除外)計算機信息系統安全保護管理工作。
各縣(市)公安局和蕭山區、余杭區公安分局負責本行政區域范圍內計算機信息系統安全保護管理工作。
國家安全機關、保密機關、信息化行政主管部門及政府其他有關職能部門,在各自職責范圍內負責計算機信息系統安全保護管理的有關工作。
第五條公安機關、國家安全機關、保密機關、信息化行政主管部門及政府其他有關職能部門,應當建立協調合作管理機制,共同做好計算機信息系統安全保護管理工作。
第六條公安機關、國家安全機關、保密機關、信息化行政主管部門及政府其他有關職能部門在履行管理職責過程中,應當保護計算機信息系統使用單位和個人的合法權益,保守其秘密。
計算機信息系統使用單位和個人應當協助公安機關等有關職能部門做好計算機信息系統的安全保護管理工作。在公安機關等有關職能部門依法履行管理職責時,使用單位和個人應當如實提供本單位計算機信息系統的技術資料。
第七條計算機信息系統的安全保護工作,重點維護下列涉及國家事務、公共利益、經濟建設、尖端科學技術等重要領域和單位(以下簡稱重點安全保護單位)的計算機信息系統的安全:
(一)各級國家機關;
(二)金融、證券、保險、期貨、能源、交通、社會保障、郵電通信及其他公用事業單位;
(三)重點科研、教育單位;
(四)有關國計民生的企業;
(五)從事國際聯網的互聯單位、接入單位及重點政務、商務、新聞網站;
(六)向公眾提供上網服務的單位;
(七)互聯網絡游戲、手機短信轉發、各類聊天室等互動欄目的開發、運營和維護單位;
(八)其他對社會公共利益有重大影響的計算機信息系統使用單位。
第二章計算機信息系統使用單位的安全管理
第八條計算機信息系統使用單位應當建立人員管理、機房管理、設備設施管理、數據管理、磁介質管理、輸入輸出控制管理和安全監督等制度,健全計算機信息系統安全保障體系,保障本單位計算機信息系統安全。
第九條計算機信息系統使用單位應當確定本單位的計算機信息系統安全管理責任人。安全管理責任人應履行下列職責:
(一)組織宣傳計算機信息系統安全保護管理方面的法律、法規、規章和有關政策;
(二)組織實施本單位計算機信息系統安全保護管理制度和安全保護技術措施;
(三)組織本單位計算機從業人員的安全教育和培訓;
(四)定期組織檢查計算機信息系統的安全運行情況,及時排除安全隱患。
第十條計算機信息系統使用單位應當配備本單位的計算機信息系統安全技術人員。安全技術人員應履行下列職責:
(一)嚴格執行本單位計算機信息系統安全保護技術措施;
(二)對計算機信息系統安全運行情況進行檢查測試,及時排除安全隱患;
(三)計算機信息系統發生安全事故或違法犯罪案件時,應立即向本單位報告,并采取妥善措施保護現場,避免危害的擴大;
(四)負責收集本單位的網絡拓撲結構圖及信息系統的其他相關技術資料。
第十一條重點安全保護單位應當建立并執行以下安全保護管理制度:
(一)計算機機房安全管理制度;
(二)安全管理責任人、安全技術人員的安全責任制度;
(三)網絡安全漏洞檢測和系統升級管理制度;
(四)操作權限管理制度;
(五)用戶登記制度;
(六)信息審查、登記、保存、清除和備份制度;
(七)信息保密制度;
(八)信息系統安全應急處置制度;
(九)其他相關安全保護管理制度。
第十二條重點安全保護單位應當落實以下安全保護技術措施:
(一)系統重要部分的冗余措施;
(二)重要信息的異地備份措施和保密措施;
(三)計算機病毒和有害數據防治措施;
(四)網絡攻擊防范和追蹤措施;
(五)安全審計和預警措施;
(六)信息群發限制措施;
(七)其他相關安全保護技術措施。
第十三條重點安全保護單位的安全管理責任人和安全技術人員,應當經過計算機信息系統安全知識培訓。
第十四條重點安全保護單位應當對其主服務器輸入輸出數據進行24小時監控,發現異常數據應注意保護現場,并同時報告公安機關等有關職能部門。
第十五條使用和銷售計算機信息系統安全專用產品,必須是依法取得計算機信息系統安全專用產品銷售許可證的產品。
進入本市銷售計算機信息系統安全專用產品的銷售單位,其銷售產品目錄應報市公安局備案。
市公安局應定期通告,公布合格的計算機信息系統安全專用產品目錄。
保密技術專用產品的管理,按照國家和省、市的有關規定執行。
第十六條計算機信息系統使用單位發現計算機信息系統中發生安全事故和違法犯罪案件時,應在24小時內向當地公安機關報告,并做好運行日志等原始記錄的現場保留工作。涉及重大安全事故和違法犯罪案件的,未經公安機關查勘或同意,使用單位不得擅自恢復、刪除現場。涉及其他管理部門法定職權的,公安機關應當在接到報告后及時通知有關部門。
第十七條計算機信息系統發生突發性事件或存在安全隱患,可能危及公共安全或損害公共利益時,公安機關等有關職能部門應當及時通知計算機信息系統使用單位采取安全保護措施,并有權對使用單位采取暫停聯網、停機檢查、備份數據等應急措施,計算機信息系統使用單位應當予以配合。
突發性事件或安全隱患消除之后,公安機關等有關職能部門應立即解除暫停聯網或停機檢查措施,恢復計算機信息系統的正常工作。
第三章計算機信息系統安全檢測
第十八條重點安全保護單位的計算機信息系統進行新建、改建、擴建的,其安全保護設計方案應報公安機關備案。
系統建成后,重點安全保護單位應進行1至6個月的試運行,并委托符合條件的檢測機構對其系統進行安全保障體系檢測,檢測合格的,系統方能投入正式運行。重點安全保護單位應將檢測合格報告書報公安機關備案。
計算機信息系統的建設、檢測等按照國家和省、市的有關規定執行。
第十九條計算機信息系統安全保障體系檢測包括以下內容:
(一)安全保護管理制度和安全保護技術措施的制定和執行情況;
(二)計算機硬件性能和機房環境;
(三)計算機系統軟件和應用軟件的可靠性;
(四)技術測試情況和其他相關情況。
市公安局應當根據計算機信息系統安全保護的行業特點,會同有關部門制定并公布重點行業計算機信息系統安全保障體系的安全要求規范。
第二十條重點安全保護單位對計算機信息系統進行設備更新或改造時,對安全保障體系產生直接影響的,應當委托符合條件的檢測機構對受影響的部分進行檢測,確保其符合該行業計算機信息系統安全保障體系的安全要求規范。
第二十一條重點安全保護單位應加強對計算機信息系統的安全保護,定期委托符合條件的檢測機構對計算機信息系統進行安全保障體系檢測,并將檢測合格報告書報公安機關備案。對檢測不合格的,重點安全保護單位應當按照該行業計算機信息系統安全保障體系的安全要求規范進行整改,整改后達到要求的,系統方能繼續運行。
第二十二條公安機關應當會同有關部門,按照國家有關規定和相關行業安全要求規范,對重點安全保護單位的計算機信息系統安全保障體系進行檢查。檢查內容包括:
(一)安全保護管理制度和安全保護技術措施的落實情況;
(二)計算機信息系統實體的安全;
(三)計算機網絡通訊和數據傳輸的安全;
(四)計算機軟件和數據庫的安全;
(五)計算機信息系統安全審計狀況和安全事故應急措施的執行情況;
(六)其他計算機信息系統的安全情況。
第二十三條公安機關等有關職能部門發現重點安全保護單位的計算機信息系統存在安全隱患、可能危及公共安全或損害公共利益的,可委托符合條件的檢測機構對其安全保障體系進行檢測。經檢測發現存在安全問題的,重點安全保護單位應當立即予以整改。
第二十四條檢測機構進行計算機信息系統安全檢測時,應保障被檢測單位各種活動的正常進行,并不得泄露其秘密。
檢測機構應當嚴格按照國家有關規定和相關規范進行檢測,并對其出具的檢測報告承擔法律責任。
第四章計算機信息網絡公共秩序管理
第二十五條互聯網絡接入單位以及申請從事互聯網信息服務的單位和個人,除應當按照國家有關規定辦理相關手續外,還應當自網絡正式聯通之日起30日內到公安機關辦理安全備案手續。
第二十六條用戶在接入單位辦理入網手續時,應當填寫用戶備案表。接入單位應當定期將接入本網絡的用戶情況報當地公安機關備案。
第二十七條設立互聯網上網服務營業場所,應當按照《互聯網上網服務營業場所管理條例》的規定向公安機關申請信息網絡安全審核。經公安機關審核合格,發給互聯網上網服務營業場所信息網絡安全許可證明后,再向文化、工商部門辦理有關審批手續。
互聯網上網服務營業場所經營單位變更營業場所地址或者對營業場所進行改建、擴建,變更計算機數量或者其他重要事項的,應當經原審核機關同意。
互聯網上網服務營業場所經營單位變更名稱、住所、法定代表人或者主要負責人、注冊資本、網絡地址或者終止經營活動的,應當依法到工商行政管理部門辦理變更登記或者注銷登記,并到文化行政部門、公安機關辦理相關手續。
第二十八條互聯網上網服務營業場所經營單位必須使用固定的IP地址聯網,并按規定落實安全保護技術措施。
互聯網上網服務營業場所經營單位應按規定對上網人員進行電子實名登記,登記內容包括姓名、身份證號碼、上網起止時間,并應記錄上網信息。登記內容和記錄備份保存時間不得少于60日,在保存期內不得修改或者刪除。
第二十九條任何單位和個人不得從事下列危害計算機信息網絡安全的活動:
(一)未經授權查閱他人電子郵箱,或者以贏利和非正常使用為目的,未經允許向第三方公開他人電子郵箱地址;
(二)故意向他人發送垃圾郵件,或者冒用他人名義發送電子郵件;(三)利用計算機信息網絡傳播有害手機短信;
(四)侵犯他人隱私、竊取他人帳號、進行網上詐騙活動;
(五)未經計算機信息網絡所有者同意,掃描他人信息網絡漏洞;
(六)利用計算機信息網絡鼓動公眾惡意評論他人或公開他人隱私,或者暗示、影射對他人進行人身攻擊;
(七)其他危害計算機信息網絡安全的行為。
第三十條從事信息網絡經營、服務的單位和個人應當遵守下列規定:
(一)制訂安全保護管理制度,對本網絡用戶進行安全教育;
(二)落實安全保護技術措施,保障本網絡的運行安全和其的信息安全;
(三)建立電子公告系統的信息審核制度,設立信息審核員,發現有害信息的,應在做好數據保存工作后及時刪除;
(四)發現本辦法第二十九條中各類情況時應保留有關稽核記錄,并立即向公安機關報告;
(五)落實信息群發限制、匿名轉發限制和有害數據防治措施;
(六)落實系統運行和上網用戶使用日志記錄措施;
(七)按公安機關要求報送各類接入狀況及基礎數據。
第三十一條發現計算機信息網絡傳播病毒、轉發垃圾郵件、轉發有害手機短信或傳播有害信息的,信息網絡的經營、服務單位和個人應當采取技術措施予以防護和制止,并在24小時內向公安機關報告。
對不采取技術措施予以防護和制止的信息網絡經營、服務單位和個人,公安機關有權責令其采取技術措施,或主動采取有關技術措施予以防護和制止。
第三十二條公安機關應對計算機信息網絡的安全狀況、公共秩序狀況進行經常性監測,發現危害信息安全和危害公共秩序的事件應及時進行處理,并及時通知有關單位和個人予以整改。
第五章法律責任
第三十三條違反本辦法規定,有下列行為之一的,給予警告,責令限期改正,并可處以1000元以上10000元以下罰款;情節嚴重的,可以給予6個月以內停機整頓的處罰:
(一)計算機信息系統使用單位未建立安全保護管理制度或未落實安全保護技術措施,危害計算機信息系統安全的;
(二)計算機信息系統使用單位不按照規定時間報告計算機信息系統中發生的安全事故和違法犯罪案件,造成危害的;
(三)重點安全保護單位的計算機信息系統未經檢測或檢測不合格即投入正式運行的。
第三十四條違反本辦法規定,銷售計算機信息系統安全專用產品未向公安機關備案的,給予警告,責令限期改正,并可處以200元以上2000元以下罰款。
第三十五條違反本辦法規定,接入單位或從事互聯網信息服務的單位和個人不辦理安全備案手續的,給予警告,責令限期改正,并可處以1000元以上5000元以下的罰款;情節嚴重的,可以給予6個月以內停機整頓的處罰。
第三十六條違反本辦法規定,未取得互聯網上網服務營業場所信息網絡安全許可證明從事互聯網上網服務經營活動的,責令限期補辦手續,并可處以1000元以上10000元以下的罰款。
第三十七條有本辦法第二十九條規定行為之一的,給予警告,責令限期改正,并可處以1000元以上5000元以下的罰款;情節嚴重的,可以給予6個月以內停機整頓的處罰。
第三十八條違反本辦法第三十條和第三十一條第一款規定的,給予警告,責令限期改正,并可處以1000元以上10000元以下的罰款;情節嚴重的,可以給予6個月以內停機整頓的處罰。
第三十九條計算機信息系統使用單位的安全管理責任人和安全技術人員不履行本辦法規定的職責,造成安全事故或重大損害的,給予警告,并可建議其所在單位按照相關規定給予其行政處分。
第四十條對本辦法規定的行政處罰,市區范圍內(蕭山區、余杭區除外)由市公安局公共信息網絡安全監察分局負責;各縣(市)和蕭山區、余杭區范圍內由各縣(市)公安局和蕭山區、余杭區公安分局負責。
第四十一條對違反本辦法規定的行為,涉及其他有關法律法規的,由有關部門依法予以處罰。對違反治安管理行為的,依照《中華人民共和國治安管理處罰條例》的規定給予處罰;構成犯罪的,依法追究刑事責任。
第四十二條行政機關工作人員違反本辦法規定,、、的,由其所在單位或有關部門按照有關規定給予其行政處分;構成犯罪的,由司法機關依法追究刑事責任。
第六章附則
第四十三條計算機信息系統的保密管理,按照國家有關規定執行。
根據市人民政府辦公室《關于開展政府信息系統安全的檢查的通知》(天政電[2010]52號)文件精神。我鎮對本鎮信息系統安全情況進行了自查,現匯報如下:
一、自查情況
(一)安全制度落實情況
1、成立了安全小組。明確了信息安全的主管領導和具體負責管護人員,安全小組為管理機構。
2、建立了信息安全責任制。按責任規定:保密小組對信息安全負首責,主管領導負總責,具體管理人負主責。
3、制定了計算機及網絡的保密管理制度。鎮網站的信息管護人員負責保密管理,密碼管理,對計算機享有獨立使用權,計算機的用戶名和開機密碼為其專有,且規定嚴禁外泄。
(二)安全防范措施落實情況
1、計算機經過了保密技術檢查,并安裝了防火墻。同時配置安裝了專業殺毒軟件,加強了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面有效性。
2、計算機都設有開機密碼,由專人保管負責。同時,計算機相互共享之間沒有嚴格的身份認證和訪問控制。
3、網絡終端沒有違規上國際互聯網及其他的信息網的現象,沒有安裝無線網絡等。
4、安裝了針對移動存儲設備的專業殺毒軟件。
(三)應急響應機制建設情況
1、制定了初步應急預案,并隨著信息化程度的深入,結合我鎮實際,處于不斷完善階段。
2、堅持和計算機系統定點維修單位聯系機關計算機維修事宜,并商定其給予鎮應急技術以最大程度的支持。
3、嚴格文件的收發,完善了清點、修理、編號、簽收制度,并要求信息管理員每天下班前進行系統備份。
(四)信息技術產品和服務國產化情況
1、終端計算機的保密系統和防火墻、殺毒軟件等,皆為國產產品。
2、公文處理軟件具體使用金山軟件的wps系統。
3、工資系統、年報系統等皆為市政府、市委統一指定產品系統。
(五)安全教育培訓情況
1、派專人參加了市政府組織的網絡系統安全知識培訓,并專門負責我鎮的網絡安全管理和信息安全工作。
2、安全小組組織了一次對基本的信息安全常識的學習活動。
二、自查中發現的不足和整改意見
根據《通知》中的具體要求,在自查過程中我們也發現了一些不足,同時結合我鎮實際,今后要在以下幾個方面進行整改。
1、安全意識不夠。要繼續加強對機關干部的安全意識教育,提高做好安全工作的主動性和自覺性。
2、設備維護、更新及時。要加大對線路、系統等的及時維護和保養,同時,針對信息技術的飛快發展的特點,要加大更新力度。
一、健全完善互聯網工作郵箱安全保密制度。院黨委十分重視保密工作,嚴格執行“誰主管誰負責、誰運行誰負責、誰使用誰負責”的保密原則,嚴格執行有關網絡安全制度,不斷完善保密工作機制。
二、嚴把互聯網工作郵箱信息審核關。凡用工作郵箱信息均要通過分管領導審核,安排專人,并做好信息登記記錄。用互聯網工作郵箱等處理有關信息時,設置了保密提醒功能。
三、加強對工作郵箱以及個人郵箱的檢查。經自查,我院開設的互聯網工作郵箱,沒有違規儲存、傳輸、處理國家秘密和工作秘密,沒有發現以單位、部門名稱或者簡稱命名的互聯網工作郵箱,沒有將單位工作郵箱郵件自動轉發至個人郵箱或境外郵箱;沒有用個人郵箱處理公務的行為;建立完善相關制度,認真完善和落實日常保密管理措施,不存在泄密隱患,互聯網工作郵箱保密安全狀況良好。
四、發現問題立即整改。在自查過程中,發現個別工作郵箱登陸密碼設置雖符合保密要求,但未定期修改密碼,立即要求負責人員進行整改,并明確使用人的職能職責,確保定期對使用郵箱密碼進行修改。
通過此次開展互聯網工作郵箱保密自查工作,我院摸清和掌握了基本情況,明確了今后保密工作的努力方向。我院將以此次互聯網工作郵箱保密檢查工作為契機,進一步建立健全保密工作規章制度,不斷強化工作人員保密意識,嚴格規范工作人員保密行為,定期開展互聯網工作郵箱保密自查工作,及時整改存在的問題,切實將保密工作落實到各項工作中去,不斷推動安全保密工作向前發展。
