按照网络和数据安全监督检查工作的要求, 现将网络信息安全自查阶段有关情况总结如下:
一、自查工作的组织开展情况
我单位始终高度重视网络与信息安全自查工作, 成立专项管理组织机构,深入学习贯彻相关文件精神,严格落实工作职责。围绕本次自查工作,及时组织相关科室负责人召开专题会议,详细部署、推动落实。同时,建立健全网络安全保密责任制和有关规章制度,严格落实网络信息安全保密方面各项规定。
(一) 机房安全检查。机房安全主要包括:消防安全、 用电安全、硬件安全、软件维护安全、门窗安全和防雷安全等。全单位内部、外部信息系统服务器机房严格按照机房标准建设, 工作人员坚持每天定点巡查。系统服务器、交换机、路由器都有 UPS 电源保护,可以保证在断电 6 个小时情况下,设备可以运行正常,不至于因突然断电致设备损坏或是业务中断数据丢失等情况的发生。
(二)网络安全检查。主要包括网络架构、密码管理、IP 管理、存储介质管理等;信息平台的操作员,每人有自己的登录名和密码,并分配相应的操作员权限, 不得使用其他人的操作账户, 账户实行 “谁使用、谁管理、谁负责”的管理制度。单位局域网均施行固定 IP 地址,由信息中心统一分配、管理,无法私自添加新 IP,未经分配的 IP 无法连接到单位局域网。单位局域网内所有计算机 USB 接口施行完全封闭,有效地避免了因外接介质(如 U 盘、移动硬盘)而引起中毒或泄密。
(三)数据库安全管理。我单位对数据安全性采取以下措施:
1.将数据库中需要保护的部分与其他部分相隔离。
2.采用授权规则,如账户、口令和权限控制等访问控制方法。
3.数据库账户密码专人管理、专人维护。
4.数据库用户每 6 个月必须修改一次密码。
5.部分服务器采取虚拟化进行管理,当前服务器出现问题时,及时切换到另一台服务器,确保客户端业务正常运行。
二、网络安全等级保护工作开展情况
目前, 我单位有行业定级三级信息系统两个, 自建数据中心一个,能够实现数据存储统一性。另外,异地备份容灾系统一套,能够实现定期数据备份工作。
每年我单位信息中心会定期组织开展网络等保测评工作,聘请网络信息安全方面专家根据市里统一工作部署,有计划地针对网络安全防护方面及信息安全备份方面组织开展实战演习,计划在 202X 年 X 月底完成本年度的网络等保测评工作。
三、关键信息基础设施安全保护工作开展情况
(一)聚焦关键信息基础设施的安全防护工作,及时制定了多项制度和措施,如, 《某单位信息中心人员安全管理规定》 《某单位信息中心机房管理制度》 《某单位信息中心设备管理制度》 《某单位信息中心介质管理制度》 《某单位信息中心网络安全管理制度》 《某单位信息中心运维管理等制度》 《某单位网络安全应急预案》 。
(二) 确定安全管理责任制度和安全管理负责人, 做到定岗定责,制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任, 定期对安全管理相关人员进行网络安全教育和技术培训。并对数据进行分类,实施安全分级管理。根据权限分级进行数据管理,同时数据传输加密管理。
(三)对重要系统和数据库进行容灾备份、定期备份,做到异地容灾、本地异地 NAS 备份等多种备份方式相结合,并定期测试备份数据可用性。
(四)采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施,包括操作系统的安全增强系统、应用系统安全加固措施、网络杀毒系统及 WEB 防火墙、DDOS 防火墙、流控等多种安全硬件,并设置专人监测网络状态,确保及时发现问题。同时配置了数据库、网络的安全审计系统,监测和记录网络运行状态、配置专用存储保留相关网络日志不少于六个月。
四、数据安全工作开展情况
从业务角度出发,结合我单位基础情况,根据相关法律文件需要落实的专业角度, 我单位信息中心制定出一套详细的网络信息安全管理办法,进一步明确各级部门需要起到职责及作用;
(一)网络管理方面。严格遵守 IP 统一分配原则,对本单位计算机在根本上采取控制, 严禁外来设备通过网络方面影响全单位网络的安全稳定运行。
(二)设备管理方面。建立健全台账管理机制,对原财政资金购买的设备进行登记管理,到折旧年限的设备及时提出解决方案。对国产化设备替代工作从严从实落实责任,加紧建设国产化系统网络。
(三)数据管理方面。对业务科室所涉及到的计算机进行出入口封存处理(USB、光驱等) ,严禁任何数据通过人工形式外流。对外网设备上网行为进行管理,严格控制上班时间做其他无关事项。
五、网络与信息安全信息通报工作开展情况
(一)成立网络信息安全专项保护组,由本系统内部所有参与机房建设、开发、维护人员组成。
(二)建立健全信息中心数据安全通报管理制度,从制度出发管理到岗责任落实到位。
(三)与市级相关部门形成联动机制,及时对国外运营厂商的产品漏洞进行修复,确保数据信息安全。
六、网络安全综合业务平台建设及应用工作开展情况
对所有计算机及其网络的安全情况进行了一次全面的检查, 通过检查,查找到计算机及其网络安全工作中存在的管理漏洞,并整改到位。我单位主要采取了以下几项措施:一是认真贯彻执行上级保密部门文件的有关规定和要求, 不断增强依法做好计算机保密管理的能力;二是对处理信息类别进行了明确规定;三是定期对非涉密网络开展保密检查,严格涉密信息流转的规范性,弥补管理上存在的空档;四是针对信息发布存在的不规范等问题, 及时对照相关审查制度进行整改,要求对上网信息严格审查、严格控制、严格把关,从制度上杜绝泄密隐患,做到上网信息不涉密、涉密信息不上网。
七、当前网络安全方面存在的突出问题
(一)我单位未来各城区均要开展分中心,目前仅中心一处办公地点网络终端多达 XXX 个,使得管理难度增大,每年用于网络信息安全维护工作的经费明显不足。
(二)我单位的网络信息安全产品都采购国产厂商的产品。信息系统和重要数据均自行维护,在售后服务方面由厂家提供服务。即使随机性开展网络安全应急预案演练效果尚好,但是在发现处置问题和应急反应速度上需要加强。
(三)我单位在网络安全、信息建设方面缺乏人才引进,专职从事网络安全及信息维护方面的人员较少。因此,在网络管理、资源整理、安全日志记录上还有待于提高。
八、下一步网络安全工作计划
202X 年,计划进一步加强管理和管理人员的专业培训,做好计算机安全管理员的培训管理工作,开展面向全员的普及性培训,不断提高网络系统安全管理人员的业务素质和技术水平, 使网络系统安全管理人员掌握互联网安全法律法规、政府信息安全保密规定等,具备处理各种突发网络安全事故的能力。