《网络安全检查自查报告.docx》由会员分享,可在线阅读,更多相关《网络安全检查自查报告.docx(13页珍藏版)》请在金锄头文库上搜索。
1、网络安全检查自查报告网络安全检查自查报告网络安全检查自查报告怎么写,以下是聘才网小编精心整理的相关内容,希望对大家有所帮助!网络安全检查自查报告 为落实“教育部办公厅关于开展网络安全检查的通知”(教技厅函 51 号)、 “教育部关于加强教育行业网络与信息安全工作的指导意见”(教技4 号)、陕西省教育厅“关于开展全省教育系统网络与信息安全专项检查工作的通知”(陕教保【XX】8 号),全面加强我校网络与信息安全工作,校信息化建设领导小组办公室于 9 月 16 日-25 日对全校网络、信息系统和网站的安全问题组织了自查,现将自查情况汇报如下: 一、 学校网络与信息安全状况 本次检查采用本单位自查、远
2、程检查与现场抽查相结合的方式,检查内容主要包含网络与信息系统安全的组织管理、日常维护、技术防护、应急管理、技术培训等 5 各方面,共涉及信息系统 28 个、各类网站 89 个。 从检查情况看,我校网络与信息安全总体情况良好。学校一贯重视信息安全工作,始终把信息安全作为信息化工作的重点内容。网络信息安全工作机构健全、责任明确,日常管理维护工作比较规范;管理制度完善,技术防护措施得当,信息安全风险得到有效降低;比较重视信息系统(网站)系统管理员和网络安全技术人员培训,应急预案与应急处置技术队伍有落实,工作经费有一定保障,基本保证了校园网信息系统(网站)持续安全稳定运行。但在网络安全管理、技术防护设
3、施、网站建设与维护、信息系统等级保护工作等方面,还需要进一步加强和完善。 二、XX 年网络信息安全工作情况 1.网络信息安全组织管理 按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,学校网络信息安全工作实行“三级”管理。学校设有信息化工作领导小组,校主要领导担任组长,信息化工作办公室设在网教中心,中心主任兼办公室主任。领导小组全面负责学校网络信息安全工作,授权信息办对全校网络信息安全工作进行安全管理和监督责任。网教中心作为校园网运维部门承担信息系统安全技术防护与技术保障工作。各处室、学院承担本单位信息系统和网站信息内容的直接安全责任。 2.信息系统(网站)日常安全管理 学校建有“校园网
4、管理条例” 、 “中心机房安全管理制度“、 “数据安全管理办法” 、 “网站管理办法” 、 “服务器托管管理办法” 、 “网络故障处理规范”等系列规章制度。各系统(网站)使用单位基本能按要求,落实责任人,较好地履行网站信息上传审签制度、信息系统数据保密与防篡改制度。日常维护操作较规范,多数单位做到了杜绝弱口令并定期更改,严密防护个人电脑,定期备份数据,定期查看安全日志等,随时掌握系统(网站)状态,保证正常运行。3.信息系统(网站)技术防护 校园网数据中心建有一定规模的综合安全防护措施。 一是建有专业中心机房,配备视频监控、备用电力供应设备,有防水、防潮、防静、温湿度控制、电磁防护等措施,进出机
5、房实行门禁和登记制度; 二是网络出口部署有安全系统,站群系统部署有应用防火墙,并定期更新检测规则库,重要信息系统建立专网以便与校园网物理隔离; 三是对服务器、网络设备、安全设备等定期进行安全漏洞检查,及时更新操作系统和补丁,配置口令策略保证更新频度; 四是全面实行实名认证制度,具备上网行为回溯追踪能力; 五是对重要系统和数据进行定期备份,并建有灾备中心。 4.信息安全应急管理 XX 年制定了西北农林科技大学网络与信息安全突发事件应急预案 。网教中心为应急技术支持单位,确保网络安全事件的快速有效处置。 5.信息安全教育培训 XX 年派员参加了陕西省信息安全保密培训。暑期处级干部培训安排有信息安全
6、与保密专题,每年组织全校网管员技术培训,增强管理干部和技术人员的安全防范意识,提高技术防护能力。 三、检查发现的主要问题 对照通知中的具体检查项目,我校在信息安全工作上还存在一定的问题: 1.安全管理方面:网管员为兼职,投入精力难以保证,部分网管员长时间未登录过自己管理的系统(网站),无法及时知晓已发生的安全事件。部分系统(网站)日常管理维护不够规范,仍存在管理员弱口令、数据备份重视不够、信息保密意识差等问题(XX 年发生 2 起个人隐私信息上传网站的事件)。 2.技术防护方面:校园网安全技术防护设施仍不足,如缺少数据中心安全防御系统和审计系统,欠缺安全检测设施,无法对服务器、信息系统(网站)
7、进行安全漏洞扫描与隐患检查。 3.应用系统(网站)方面:个别应用系统(网站)存在设计缺陷和安全漏洞,容易发生安全事故。(经统计 XX 年以来 14 个网站发生安全事故 17 起,其中 11 起是因为网站存在技术问题,如安全漏洞或设计缺陷)。 4.信息系统等级保护工作尚未全面开展。 5.部分院(系)管辖的机房或学习室尚未实行认证和审计。 四、整改措施 针对存在的问题,学校信息化领导小组专门进行了研究部署。 1.进一步完善网络信息安全管理制度,规范信息系统和网站日常管理维护工作程序。加强网管员技术培训,提高安全意识和技术能力。 2.继续完善网络信息安全技术防护设施,配备必要的安全防御和检测设备,实
8、行信息系统(网站)安全检测准入制度,从根本上降低安全风险。定期对服务器、操作系统进行漏洞扫描和隐患排查,建立针对性的主动防护体系。 3.针对各级网站建设水平参差不齐问题,学校 XX 年引入了站群系统管理平台,目前已将多个部门共计 12 个网站迁移到站群系统管理平台。今后将加大推进力度,逐步将全部各级网站迁入站群系统管理平台,提高网站技术安全性能。 4.全面开展信息系统等级保护工作,按照新颁布的 教育行政部门及高等院校信息系统安全等级保护定级指南 ,完成所有在线系统的定级、备案工作。积极创造条件开展后续定级测评、整改等工作。 5.加强应急管理,修订应急预案,组建以网教中心技术人员为骨干、重要系统
9、管理员参加的应急支援技术队伍,加强部门间协作,做好应急演练,将安全事件的影响降到最低。 6.对院(系)管机房或学习室强制认证和审计。 五、几点建议 1.建议按年度列支相关经费,用于培训、应急演练、网站改造等工作开展。(“网络安全经费预算投入情况”也是教技厅函 51 号文件 9 个检查项目之一); 2.建议在 XX 年数字校园建设经费里列支专项经费用于等保定级、测评、整改等工作; 3.建议各类网站在适当的时候(最好是改版时)加入学校站群系统管理平台,一旦加入该站群系统管理平台,管理者将无需考虑网站的技术安全及风险,只需考虑网站的信息与内容安全。 网络安全检查自查报告 根据市委保密委员会关于集中开
10、展全市网络清理检查工作的通知(xx 密20xx5 号)要求,xx 市环保局高度重视,重点对文件制发、网络使用、信息发布、网站监督等四个方面工作进行了全面自查。基本情况和自查情况汇报如下: 一、加强领导,深化意识 (一)加强保密工作组织领导。我局将保密工作列入重要议事日程,实行保密工作领导责任制。专门成立了以分管领导为组长,各单位负责人为成员的网络及信息安全工作领导小组,负责网络及信息安全统筹规划和组织协调工作。对保密工作所需设施、设备和经费,我局领导给以充分的重视和支持,保证了日常工作顺利开展。 (二)加强保密工作队伍建设。坚持做到网络及信息安全工作机构健全,安排信息中心负责网络及信息安全具体
11、工作,设有专职网站信息编辑人员和技术维护人员,安全工作队伍基本素质较高,大部分管理人员具备本科以上学历,且都能熟练掌握保密法规和保密技术基础知识,熟悉本单位业务工作和保密工作基本要求。 (三)加强保密教育提高保密意识。局领导对安全保密工作十分重视,时刻强调安全保密工作的重要性,要求做到部署、检查、总结、考核与安全保密工作同步进行。采取多种方式,利用各种机会对干部职工进行经常性的保密教育,除了文件学习,还组织观看保密录像,开展网络及信息安全工作培训,进一步增强职工的安全保密意识,提高做好安全工作的主动性和自觉性。 二、健全机制,落实责任 (一)抓好制度的完善 通过认真学习中华人民共和国保守国家秘
12、密法和保密法实施办法 ,切实开展好保密工作的教育与宣传。及时传达贯彻上级安全保密工作会议及有关文件精神,进一步明确保密管理要求。依据中华人民共和国政府信息公开条例和环保部环境信息公开办法(试行) ,认真审核、发布各类政务信息及依申请公开信息。近年来,结合xx 市政务信息工作实际,修订完善政府信息公开指南 、目录 ,健全了主动公开和依申请公开工作机制,补充完善了 xx 市环保局政府信息发布协调机制、公开保密审查、政府信息公开申请、投诉举报受理和机房设备管理等 17 项制度。根据安全保密工作需要,制定完善了xx 市环保局网络安全管理制度 、 信息发布审核制度等 22 项安全保密工作制度,所有制度编
13、制成册发到各部门遵照执行。 (二)抓好制度的落实 为保证制度落到实处,建立了网络及信息安全工作跟踪检查机制,局网络及信息安全工作领导小组定期通报各单位网络及信息安全工作及制度落实情况,发现问题,及时督促整改,并追究相关人员责任,使网络及信息安全工作真正做到制度化、经常化,切实落实安全保密工作长效机制。 三、加强管理,规范程序 明确保密领导责任和涉密岗位人员责任,落实了“谁主管,谁负责”的工作原则,为做好保密工作打下了良好基础。 (一)加强文件制发的管理 局办公室及各业务科室在制作文件或内部资料时严格把关,对涉及国家秘密的文件资料依法定秘,明确密级、保密期限和知悉范围;按知悉范围最小化原则,发放
14、涉密文件资料均根据工作需要,严格控制范围,认真履行登记、签收手续,在资料使用完毕后,均收回并实行专人、专柜管理,严禁擅自复印和转发;对不属于国家秘密但不宜公开的文件资料,标注“内部使用” ,明确发放范围,未经单位负责人批准,不得扩大知悉范围;对可以部分公开或一段时间后可公开的文件资料,按文件资料明确的公开时间、内容和方式进行。 (二)加强网络及硬件设备的管理。 20xx 年 3 月,我局整体完成新大楼搬迁,着力加强环境信息化能力建设,按照国家 B 级标准建设了专业的网络机房。面积达 100 余平方,采取全封闭式管理,可容纳服务器柜 15 台,目前架设 IBM、浪潮等各类高性能服务器 20余台,
15、网络设备 50 余台,内设两台大功率精密空调,所有设备均连接 UPS 保障停电等紧急情况下的设备安全正常运行。环保局网络接入中国电信百兆带宽,实现各科室、下属事业单位 200 多个“节点”的联网。为加强网络及硬件设备安全工作,采取以下措施: 1、服务器机房安装门禁系统,管理员通过门禁卡进入服务器房,并做好出入登记。服务器房按照区域划分责任人,负责日常维护管理工作,按制度规定定时检查服务器及防火防盗防雷设备。 2、服务器系统都安装瑞星防火墙和瑞星杀毒软件网络版,防止黑客、病毒入侵,工作计算机需与互联网实行彻底物理隔离,内网机之间尽可能使用内网邮件系统,减少使用移动存储介质;针对网络、服务器系统的
16、安全,采取了有效的安全策略和措施,保障服务器的安全稳定运行,有效地防范了黑客、病毒的攻击。 3、架设 VPN 及上网行为管理设备。屏蔽存在威胁的网站,杜绝不当操作引起的涉密信息泄露及网络威胁。 4、建立完整的上网记录,禁止处理存储涉密信息和工作秘密信息;加强计算机、服务器及网络设备的密码安全管理工作,按照要求使用复杂性密码,定期进行修改。 5、严格管控移动存储介质,杜绝内外网 U 盘混用;根据现有关于环保工作的管理规定,尚没有明确的政务和业务归类于涉密范畴。为完善涉密管理机制,防范于未然,我局参照省委保密委员会与市委保密委员会相关文件规定,特设置一套计算机设备,按涉密计算机要求严格管理。 (三) 加强网站信息管理。xx 市环保网是由我局信息中心技术人员自主开发设计,采用基于 Asp/环境,结合SQL server 数据库开发设计,具有网站前后台分离技术,独立页面模板技术、页面全静态生成技术,后台动态管理等技
