政府机关网络信息系统安全保密管理
摘要:随着网络社会化,办公无纸化和自动化的发展,信息的战略性和资源性地位越来越凸显,同时信息安全和保密问题也随之而来,受到人们的广泛关注。政府机关的网络信息系统对大量信息进行存储、运输、处理等,许多信息属于内部信息、国家秘密、工作秘密、科技秘密、军事秘密等。如果网络信息系统出现问题,或者信息泄露,严重危害国家利益和安全。政府机关要加强网络信息系统安全保密管理,提高信息的安全性和保密性,在安全的网络环境下,实现信息化建设。
关键词:政府机关;网络信息系统;安全保密管理
随着科学技术的发展,互联网的普及,我国已经成为互联网使用大国,网络信息平台从根本上改变了信息的存储方式、获取方式、传输方式和处理方式,信息自由交流和共享成为趋势。但对于国家和政府来说,信息是信息主权的体现,是重要的战略资源。网络信息系统中的信息资源,是政府机关行政管理的重要内容,为公众服务、领导决策、社会化管理提供依据,在政府机关的正常运行中发挥着重要的作用。目前,互联网成为敌对势力、海外间谍机关对我国政府机关进行破坏活动,或者窃取机密的重要方式。在信息时代,政府机关实行办公自动化,建设电子政府、阳光政府,是各国政府的必然选择。政府机关要加强网络安全建设,提高安全防范能力。
1 政府机关网络信息系统的应用和维护
政府机关的网络信息系统,在方便内部信息沟通的同时,也有利于政府部门办事效率的提升。随着互联网的广泛应用,对网络安全也提出了更高的要求[1]。政府机构在实现信息化健康发展中,亟待解决的重要问题,就是网络安全和保密问题,防止网络信息系统被入侵和攻击。信息技术不断发展,政府的信息网络也不断完善,从单机的与互联网不相连,发展为局域网,并逐渐拓展为广域网[2]。在全国范围内,可以通过网络,联系所有的系统内单位。如图1所示。连接专网和互联网,使中央和地方的计算机终端相连接,形成完整的信息网络。经过广域线路,与行业系统各局域网相连,形成全国性的企业网络。各级用户通过广域网进行信息交流。用户在本地局域网中,共享网络资源。目前机关单位主要使用自动化办公系统,可以网上办公、召开网络会议、进行数据交换等,提高办公效率。
2 政府机关网络信息系统安全隐患
2.1 技术隐患
政府业务管理对网络信息系统的依赖性越来越高,网络环境下的信息安全是多层面的综合体,包括管理、技术、法律等。计算机系统本身的脆弱性,就是潜在的技术隐患,对政府机关的网络信息安全系统带来物理威胁。第一,报警系统漏洞,会造成危害。第二,硬件设备问题会导致信息数据被窃取[3]。第三,一些不可预料的原因可能导致数据库信息丢失,比如设备断电、电源故障等。第四,自然灾害可能对网络造成损害,比如火灾、地震等。第五,外部原因导致设备被损毁、被盗窃等,导致信息泄露,或者丢失。网络技术也存在一系列的缺陷。政务网络并不是与世隔绝的,政府网站由外网和内网构成,由物理隔离内网和外网,同时外网和公共互联网有逻辑隔离 [4]。但在实际应用中,隔离效果并不理想,各种信息都有被恶意篡改,或者被窃取的隐患。设计和开发网络系统中,也容易出现漏洞,或者缺陷,比如使用嗅探程序等方式,保存关键文件夹。入侵者利用系统漏洞,发送大量PING包,从而攻击内部网服务器,导致服务器瘫痪。操作系统也存在安全漏洞,由于技术的被动性,导致不可避免的信息安全隐患,比如办公使用的操作系统是国外厂家设计的,硬件技术依赖发达国家等。操作系统可能存在漏洞,一方面出现黑客入侵,一方面为其国家搜集情报提供便利[5]。系统程序本身设计上也会存在漏洞。办公网络通常资源共享,在方便的同时,也会产生信息泄露的风险。由于局域網的共享功能,如果出现病毒感染,会快速传播,导致不可估量的后果。
2.2 管理隐患
政府各部门任务繁重,没有充分认识到网络安全问题的重要性和危害性,对信息系统维护的重视程度不够,管理方面存在各种问题。管理的疏忽也是安全保密系统漏洞的一个重要原因。部分工作人员缺乏保密意识和安全意识,信息保密防护技术水平低,内部缺乏严密的防范措施,导致发生泄密事件。许多安全问题的发生,与内部人员操作不当有关,有的安全管理员将用户名和口令透露给其他人,或者有意无意泄露了网络结构,被一些别有用心的人使用病毒程序,破坏网络系统。网络安全对内虽然有一些管理措施,但执行度不足,主要的防范针对外部。内部缺乏完善的安全管理制度,工作人员权责不明,一些规章制度的可操作性不强。内部员工为发泄不满,或者恶作剧,故意破坏网络系统。工作人员安全意识薄弱,计算机技术和网络操作能力不足,不及时更新漏洞和补丁,工作疏忽也会导致信息丢失、泄漏等[6]。缺乏专业的安全管理人员,不能准确及时处理突发事件。一些网络管理人员法律意识淡薄,很容易进行违规违法操作,导致信息泄露、丢失、篡改。
3 政府机关网络信息系统安全保密管理策略
3.1 政府网络安全系统建设指导原则
政府机关面临的网络安全风险有技术方面,也有管理方面,信息网络安全保障体系需要统一操作、技术和“人”的层面,结合安全技术和安全管理,完善安全策略。在网络信息系统安全建设中,要充分发挥人的作用,“人”对于网络是两面性的,一方面通过合理使用网络技术,能够为公众提供服务。另一方面可以进行网络攻击,从而破坏网络安全,导致不可估量的损失。因此要规范人在安全操作、技术实施中的职责,构建完善的网络安全管理体系,发挥在网络安全中的积极作用。网络安全管理是要协调运行维护、技术、管理的关系,明确有关人员的职责,发现风险、控制风险,通过有效制度、策略、机制等,促使管理人员提升网络安全事故的应对能力,以及系统恢复的能力,从整体上提高网络安全的保障能力。因此,要从根本上解决“人”的问题,“人”与“技术”的问题,“人”与“操作”的统一性问题。政府机关在网络安全体系建设中要统一领导和协调,遵纪守法、安全保密,突出重点,讲求实效。
3.2 建设政府网络安全系统组织体系
政府机关要使工作人员树立正确的安全观念,强化工作人员的信息安全意识,尤其是网络安全管理人员,要提高网络风险的识别能力,深刻认识网络信息系统安全的重要性,以及信息泄露的危害性。如果发现有潜在风险,要立刻采取措施控制,及时消除风险。同时做好记录,上报上级网络管理,完善安全管理系统。对于单位内非网络信息管理部门的人员,需要加强培训,提高工作人员的保密意识,增强工作人员的责任感,积极参与网络信息系统的安全和保密工作。开展专题讲座,向工作人员普及网络威胁的安全知识,网络安全风险的应对方法[7]。网络安全风险是不断变化的,政府网络信息安全是一个动态的体系,工作人员要明确认识到,没有一劳永逸的安全措施。
单位成立安全领导小组,设计和规划网络安全体系,组织专家论证安全技术。构建安全顾问制度,由厂商高级工程师、计算机操作人员,共同组成安全顾问,研究适合单位实际的网络安全保密方式,保证安全体系的质量。建立安全实施和运营小组,负责维护网络安全系统,保证其长期稳定的运行。
3.3 完善安全保密管理体制
政府机构加强网络信息系统安全保密管理,关键要提高自身的技术能力,也要重视对网络信息系统的安全管理。政府机构要完善安全保密管理机制,通过规章制度,提高工作人员的安全保密认知,使安全保密防护更加规范性、有逻辑体系,从而保护政府资源和信息。加强安全保密管理,设置访问权限。加密管理网络数据库,以及相关软件,同时对杀毒软件也进行加密处理,防止病毒感染。重要信息要充分利用加密技术。注意监督检查,提前检查加密数据文件,如果出现问题,要及时处理,消除不安全因素。单位要完善防范系统,立黑客攻击防范体制,对黑客攻击进行识别和防范,利用防火墙阻断内外网的联系。
3.4 设置防火墙
防火墙技术是一种常见的网络安全技术,建立新的网络环境,对外部网的行为进行监控,时刻保护着用户的网络安全。通过防火墙可以防止外部网进入内部网,使用户能够安全使用网络,防止数据和信息被窃取,给用户带来损失。如果用户有使用需求,认为外部网安全,也可以允许外部网的访问。通常采用防火墙技术,或者网络安全系统,防范恶意软件、电脑病毒等。防火墙自身有信息隔离功能,将内部网和外部网隔离,不仅可以保护重要信息,而且能够帮助用户获取自己需要的信息。防火墙对内部文件存档定期检查筛选,安全识别外部信息,防止病毒入侵。随着信息技术的发展,各种恶意软件、网络病毒不断增多,严重威胁网络信息安全。相关技术人员要不断提高自身技术,了解各种病毒的特征有,设计具有针对性的安全系统。
总之,在我国经济发展的同时,也要更加重视安全问题,网络信息安全是其中重要的一部分。信息安全保密不仅要针对外部,也要防范内部,有效过滤和防堵涉及保密范围的信息,防止非法泄漏信息。政府机关的网络信息安全与国家发展密切相关,政府机关要重视网络信息系统安全保密管理工作,完善组织体系和管理体制,充分利用防火墙技术,科学管理和防范安全风险,营造良好的发展环境。
参考文献:
[1] 东泽, 董玉峰. 新时期公安机关网络安全管理面临的挑战及策略研究[J]. 信息技术与信息化, 2018, 222(9):134-136.
[2] 鄢渼心, 赵建平. 计算机信息系统保密技术及防范管理研究[J]. 电脑知识与技术, 2018, 14(4X):40-41.
[3] 赵秀梅. 基于电子政务信息安全保密管理研究[J]. 电脑迷, 2018, 112(11):34.
[4] 王霞. 关于政府机关计算机网络的安全管理及维护分析[J]. 电子世界, 2017(3):62-62.
[5] 何高岩. 计算机信息系统保密技术安全防范研究[J]. 数字技术与应用, 2018(1):194-195.
[6] 祁晖. 机关单位计算机网络信息安全及策略研究[J]. 信息与电脑:理论版, 2018(7):197-199.
[7] 丁宏吉. 计算机信息系统保密技术安全防范的思考[J]. 计算机产品与流通, 2017(11):5.
【通聯编辑:谢媛媛】
作者:俞虓
2004年1月,美国成立了“全国信息保障委员会”、“全国信息保障同盟“和”关键基础设施信息保障办公室”等10多个全国性机构。9·1l事件后,美国成立了由副总统领导的国家本土安全局,其职责包括了保护本土信息基础设施的安全。布什总统发布1323l总统令,将克林顿成立的“总统关键基础设施保护委员会”这一部委之间的协调机构改为行政实体“总统关键基础设施保护办公室”,接受总统办公厅领导。这些措施体现了美国积极防御的信息安全战略意图。
美国联邦政府信息系统信息安全机构的设置情况是:
(1)商务部发布有关计算机安全的标准和指导方针,并决定在何种范围内强制执行,或准予豁免执行某些标准规定。商务部属下的国家标准与技术局主要负责非保密信息系统的信息安全工作,具体主持制定和推广成本效益好的计算机安全标准和指导发展。计算机系统实验室计算机安全部具体落实国家标准与技术局所负责的信息安全工作,负责帮助联邦政府各部委解决各种各样的信息安全问题,其中包括安全规划、风险管理、应急计划、安全教育培训、网络安全、加密技术、人员身份认证技术、智能卡应用技术、计算机病毒检测与防治。
(2)国防部属下的国家安全局主要负责保密信息系统(被有关法规称为“国家安全系统”)的信息安全工作。国家安全局局长被任命为国家安全系统的信息安全国家主管。国家安全系统的保密信息包括美国宪法2315款第102项规定的信息:涉及情报的活动;涉及与国家安全有关的隐蔽活动;涉及军队的指挥与控制;涉及属于武器和武器系统的设备或对于完成军事或情报任务至关重要的设备等。全国计算机安全中心具体落实国家安全局所负责的信息安全工作,包括以下几个方面:第一,帮助其他政府机构解决与“国家安全系统”有关的信息安全问题,其中包括风险评估、安全规划、运行安全、验证等安全措施;第二,出版《信息系统安全产品和服务名录》;第三,根据联邦政府机构及其合同单位的耍求,对有关信息系统的薄弱环节加以评估,并提出消除和改善薄弱环节的信息系统安全措施。
(3)计算机应急处理小组协调中心的具体任务是:提供24小时可靠、可信的紧急情况联络;促进专家之间的交流以便解决信息安全问题;作为发现和改善计算机系统薄弱环节的服务中心;与研究流动保持紧密联系,进行旨在改进现有系统安全性能的研究;采取有效措施增进广大网络用户和网络服务提供单位对信息安全的认识和了解。
2.信息安全防护政策
1985年12月,美国总统直属的行政管理与预算局(OMB)负责制订了一项重要的政策《联邦政府信息资源管理OMB A一130号通告》,并在1993年7月2日作了修改。该通告全面阐述了联邦政府的信息资源管理政策。在这份长达20多万字的政策文件中,不仅详细论述了美国联邦政府信息、信息系统和信息技术的管理政策与方针,而且在其附录中还详细阐述了具体执行上述政策的细则。尤其在附录《联邦政府自动化信息资源的安全》政策大纲中,具体阐述了计算机系统的安全对策。该通告适用于所有联邦政府部门的所有机构,因此这是美国联邦政府信息资源管理和信息安全的政策大纲。
1987年美国国会通过了《计算机安全法案》,并于1988年开始实施。该法案目的是为了“改善联邦政府使用的计算机系统内敏感信息的安全与保密”。该法案定义敏感信息为其丢失、不当使用、未经授权被人接触修改会不利于国家利益或联邦政府计划的实行或不利于个人依法享有的个人隐私权的所有信息。计算机安全保密法案要求所有联邦机构确认含有敏感信息的计算机系统,并提供开发计划确保这些系统的安全。这个法案说明美国政府对计算机脆弱性引起的威胁已经开始重视。
1996年12月国防部颁发的《S600.1命令》和1998年5月美国总统克林顿签发的63号总统令(PDD63),提出了信息保障的概念。为此,1998年1月国防部制定了《国防信息保障纲要》,1998年5月国家安全局制定了《信息保障技术框架》。
2000年,《政府信息安全改革法案》增补了信息安全一章,增加了《政府文案工作减少法案》信息安全方面的内容,同时根据实践工作修订了《计算机安全保密法案》。这些法案增加的信息安全方面的核心内容是:联邦政府机构应该建立内部计算机安全机制,以保护为政府工作的计算机系统不受侵害。
2000年1月,白宫发表了《保卫美国的计算机空间——保护信息的国家计划Vl.O》;关于信息.保障,国防部已、经制定了10多个相关的计划。
2002年,美国通过的《联邦信息安全管理法案》规定必须对联邦政府信息系统进行安全评估并备案,为美国政府机构信息系统改善信息安全问题设定了目标,也被称作美国电子政务法案。《联邦信息安全管理法案》为美国联邦政府信息安全设定了目标,却没有规定如何实现这些目标。为此,美国国家技术与标准局(NIST)负责为实现这些目标制定最低安全要求,因此,NIST专门启动了信息系统安全计划。
3.信息安全技术标准
1985年,国防部国家计算机安全中心代表国防部制定并出版了《可信计算机安全评价标准》,即著名的“桔皮书”(Orange BOOK)。最初,《可信计算机安全评价标准》用于美国政府和军方的计算机系统,而近年这一标准的影响已扩展到了公共管理领域,成为事实上大家公认的标准。
《可信计算机安全评价标准》为计算机信息系统的安全定义了7个安全级别,从最高的A级到最低的D级:A级提供核查保护,只适用于军用计算机;B级为强制保护,采用TCB可信计算基准方法,即保持敏感性标签的完整性并用它们形成一整套强制访问控制规则。B级系统必须在主要数据结构和对象中带有敏感性标签,B级又可细为B1、B2、B3三个等级:B1表示被标签的安全性,B2表示结构化保护、B3表示安全领域;C级为酌情保护,在C级中又细分为C1、C2这两个等级:C1表示酌情安全保护、C2表示访问控制保护;D级为最纸级别。
为了更好地根据网络、信息系统和数据库的具体情况应用“桔皮书”标准,国防部国家安全计算机中心又制定并出版了三个解释性文件,即《可信网络解释》、《计算机安全系统解释》和《可信数据库解释》。至此,便形成了美国计算机系统安全评价标准系列——彩虹系列。
4.信息安全防护技术措施
美国政府2003年财政预算有7.22亿美元用于信息安全建设,以防止遭受恐怖袭击。其中引入注目的是“政府专用网”(GOVNET)研究计划,建立一个连接联邦机构的保密网络,采用合适的技术与因特网隔离。根据《G0VNET需求信息通知》,GOVNET的关键特征是“它必须没有外来网络的攻击,在完全安全的情况下进行网络通信”。政府希望GOVNET能够借助IP协议提供专用的语音和数据传输网络服务,同时保证GOVNET不和商用或公共网络连接。
布什总统的网络安全问题特别顾问理查德·克拉克在提出GOVNET系统的设想时认为,如果政府在互联网安全方面不投入更多的资金,那么,“数字珍珠港”事件总有一天会爆发。恐怖分子完全可能破坏美国的信息基础设施,控制电信、电网。水力供应和空中交通的计算机网络。GOVNET计划同时也得到美国本土安全防御办公室主任汤姆·里奇和布什总统国家安全事务助理赖斯两人的肯定与支持。里奇公开表示,建立独立的政府内部网络将是“在技术层面加强美国国家安全最核心的战略选择之一”。根据GOVNET的需求信息,美国政府目前已经收到了投资商的170份建议。根据最近的消息,美国政府会在近期最终决定是否实行这一计划。
GOVNET一经提出,就有许多批评和争议。主要焦点在于造价问题、安全问题和实用性等问题。支持者则认为,随着网络规模和复杂度的急剧增加,网络安全的问题日益严重,越来越多的用户发现连接在因特网上的安全保密风险太大,甚至防火墙、虚拟专用网、入侵监测系统IDS等安全措施也不足以保证安全。
作者:黄 萃
摘 要:介绍了区域安全性分析方法及其工作流程,并提出了区域安全性分析应当关注的问题。描述了区域安全性分析的区域划分原则和检查的重点内容。区域划分是区域安全性分析的基础,直接影响了区域安全性分析的精度和复杂程度;区域安全性分析的三个方面包括设计/安装准则检查、安装位置检查、系统/设备接口检查。结合一个实例验证了该方法的有效性。
关键词:区域划分 设计/安装准则 安装位置检查 接口检查
民用飞机设计是一个重大的系统工程,需要对飞机气动、结构和系统等各个方面进行严谨的安全性评估和迭代构建。
区域安全性分析(Zonal Safety Analysis, ZSA)是一种在某一指定区域内以设备的安装位置为基础,检查区域内各系统之间、系统内部设备安装相容性的方法。它能有效评估在同一区域相邻机机械或电子设备相互影响。
新设计的飞机,或者对已有机型或设计方案进行重大修改,都需要对飞机做区域安全性分析。区域安全性分析应贯穿于飞机设计始终,在不同设计阶段,对现有设计成熟程度进行评估,确定在该阶段是否满足区域安全性需求。区域安全性分析在验证系统结构的合理性的同时,对系统实现提出了更严格的要求。
1区域划分
区域划分是区域安全性分析的基础,区域划分对后续区域安全性分析的评估复杂度、评估精度产生直接影响。划分区域过多,势必降低评估精度,导致一些潜在故障源被忽略掉;划分区域过少,会大大增加工作负担和工作难度。故在划分区域时,应在保证界面清晰明了的情况下,尽量保证区域包含更多的信息量。在划分过程中,通常按照物理区域划分,例如前货舱、后货舱、客舱都可以划分为单独的区域。
在进行区域安全性分析时,由于检查局限在划分的区域内,在相邻区域的边界上,设备之间的相互影响为进行分析。在进行区域安全性分析时,需要对边界附近的设备单独进行分析,确保边界附近不存在能影响另一区域的危险源,或危害程度处于可接受程度。对区域边界验证不需要很严格的分析,因为在共模故障分析中,所有Ⅰ类和Ⅱ类故障中的“与”事件都将进行分析,检查危险源是否能同时危害到“与”事件中的底事件。若能避免Ⅰ类和Ⅱ类故障的“与”事件同时被触发,则视该种安装可以被接受。
设备维护;
确定设计已满足FTA基本事件的独立性声明。
区域安全性分析是定性分析方法,其流程主要包括参照设计/安装准则检查、安装位置检查和接口检查。
2.1设计/安装准则
设计/安装准则是飞机进行区域安全性分析的依据,进行检查时需要参照该准则,逐步对机械和电子设备的安装进行检查。新型号研制,区域安全性分析的第一个步骤是为后续工作确定设计/安装准则;而针对飞机的衍生系列,尽量沿用基本型号飞机的设计/安装准则,这样可以尽可能多地利用成熟的工作方法,减少出现新的不可预知问题的可能性。
在进行区域安全性分析时,首先检查系统的设备安装是否满足设计、安装准则。飞控系统在设计安装时,满足以下设计安装需求:
系统不出现使操纵机构与所要反向工作的可能性,驾驶杆、脚蹬的操纵与舵面运动方向应协调一致,符合适航规章。
驾驶杆、脚蹬的工作行程及脚蹬的调整应符合设计规定的需求;
在可能存在设备安装错误的地方,应当具有防差错设计;
可能导致灾难级故障发生的冗余设备相互之间应当具有足够距离,尽量不安装于同一区域;
运动件与结构件之间相距应为15mm,最小不能超过6mm;
必须住避免发生外来物落入操纵系统造成卡死的情况;
2.2检查区域内的安装
在区域安全性分析的第二个步骤中,检查内容为检查该区域内设备的安装情况。需要重点检查以下几个方面:
1)设备的可达性是否良好,是否易于维护。飞机上的每一设备通常都安装有维护口盖,在设备确定好安装位置后,只需检查通过维护口盖是否能容易地接近设备,只要不出现难于接近设备或者在接近设备的同时可能会影响其它设备的情况,即可接受。
2)设备的安装位置是否存在危险,例如某设备位置离高压管路较近,需要考虑该设备在高压管路爆裂后是否会遭受到泄露的气体或是液压油的冲击或腐蚀。
在进行安装检查的过程中,为了防止出现漏检查的情况,在检查初期,需要确定该区域内的所有危险源。在确定了所有危险源后,逐一确定各设备针对所有危险源的情况。危险源包含各种形式,主要包括高压管路、腐蚀性气体与液体、高能设备和钢索等。判明了各种危险源后,再依次选取各设备,确认各危险源是否对该设备会造成影响。
以某型号飞机某舱区域安全性分析为例,分析飞控系统的区域安全性,在该区域内飞控系统设备仅有水平安定面电子控制装置。表1为该舱危险源列表。
燃油系统从燃油箱或燃油导管内泄漏出的燃油及燃油蒸汽1)泄漏的油气被火花或高温源点燃
2)泄漏
废水系统:经过实物检查,废水系统其中一个接头处在设备左上方,具有腐蚀性的废水可能滴到设备上,造成腐蚀。需对设备采取额外的防护措施;
燃油系统:输油管路采用双层套管,具有很好的防漏功能,且输油管路距离设备距离较远,对设备不会造成影响;
防冰系统:正常情况下,该段管路没有气体通过,即使防冰活门故障和气体泄露同时发生,也可以通过引气调节关断活门隔离过热气源。当管路工作通有高温高压气体并且出现泄漏时,距离也较远,短时间冲击不会对设备造成影响;
液压系统:液压管路的液压油只会出现溢流的情况,不喷射就不会溅到设备上,故该危险源不会对设备造成影响。
2.3检查系统/设备接口
在该步骤中,将在每个区域内检查设备之间是否存在接口。系统/设备接口检查的目的见图2。在图2中,若只局限与区域内设备检查,而忽略区域外的检查,可能导致检查不完整。执行该检查,依赖于系统设备功能与系统框架,仅通过目击检查将无法完成检查。在进行系统/设备接口检查时,需要查阅安装图、样机和设备之间的通信等资料,在确定设备的故障时,可参考FMEA/FMES等文件。
在设备安装时,软件与电子设备应尽量避免相互存在接口的软件与电子设备安装在同一区域中。在无法规避的情况下,才能安装在同一区域内。
检查系统/设备接口时,其步骤与检查区域内的安装步骤相似。
确定区域内所有设备,并依次序进行编号;
选取序号中的首个设备,确定区域内所有在功能上与该系统存在接口的设备;
假设该设备故障,检查该故障是否会对存在接口的设备造成影响。当确定出该设备故障对某个存在接口的设备有故障影响时,需要确定该影响在可接受的范围内,否则需要重新对设备进行设计。记录下接口存在影响的设备;
选择下一个设备,直到该区域内所有设备均已检查完毕;
分析结果,对于两两之间存在接口影响的设备,并且在评估中确定出该种情况在可接受的范围内,还需分析被影响设备的该种故障情况是否会对下个设备造成故障影响,以此类推,不断追溯,直至最后一个设备在被影响后,不会对其它设备造成影响为止。
3结论
本文对区域安全性分析从整体上进行了概述,并以实例对提出的区域安全性分析方法进行说明,表明文中描述的检查方法是合理的。本文描述的区域安全性分析方法对工程设计具有一定的借鉴意义。
參考文献:
[1] DELINES AND METHODS FOR CONDUCTING THE SAFETY ASSESSMENT PROCESS ON CIVIL AIRBORNE SYSTEMS AND EQUIPMENT[S]. ARP4761. SAE International. 1996-12.
[2] 冯福来. 飞机区域安全性分析[J]. China Academic Journal Electronic Publishing House. 2010, 39-42.
作者:龚孝懿
紫荆路街道政府信息系统安全检查自查报告
根据巩义市信息化工作领导小组办公室《2011年政府信息系统安全检查实施方案》(巩信组办[2011]3号)文件精神。我街道对本镇信息系统安全情况进行了自查,现汇报如下:
一、自查情况 (一)安全制度落实情况
1、成立了安全小组。明确了信息安全的主管领导和具体负责管护人员,安全小组为管理机构。
2、建立了信息安全责任制。按责任规定:保密小组对信息安全负首责,主管领导负总责,具体管理人负主责。
3、制定了计算机及网络的保密管理制度。网站的信息管护人员负责保密管理,密码管理,对计算机享有独立使用权,计算机的用户名和开机密码为其专有,且规定严禁外泄。
(二)安全防范措施落实情况
1、涉密计算机经过了保密技术检查,并安装了防火墙。同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面有效性。
2、涉密计算机都设有开机密码,由专人保管负责。同时,涉密计算机相互共享之间没有严格的身份认证和访问控制。
3、网络终端没有违规上国际互联网及其他的信息网的现象,没有安装无线网络等。
4、安装了针对移动存储设备的专业杀毒软件。
(三)应急响应机制建设情况
1、制定了初步应急预案,并随着信息化程度的深入,结合我街道实际,处于不断完善阶段。
2、坚持和涉密计算机系统定点维修单位联系机关计算机维修事宜,并商定其给予镇应急技术以最大程度的支持。
3、严格文件的收发,完善了清点、修理、编号、签收制度,并要求信息管理员每天下班前进行系统备份。 (四)信息技术产品和服务国产化情况
1、终端计算机的保密系统和防火墙、杀毒软件等,皆为国产产品。
2、公文处理软件具体使用金山软件的WPS系统。
3、工资系统、年报系统等皆为市政府、市委统一指定产品系统。
(五)安全教育培训情况
1、派专人参加了市政府组织的网络系统安全知识培训,并专门负责我街道的网络安全管理和信息安全工作。
2、安全小组组织了一次对基本的信息安全常识的学习活动。
二、自查中发现的不足和整改意见
根据《实施方案》中的具体要求,在自查过程中我们也发现了一些不足,同时结合我街道实际,今后要在以下几个方面进行整改。
1、安全意识不够。要继续加强对机关干部的安全意识教育,提高做好安全工作的主动性和自觉性。
2、设备维护、更新及时。要加大对线路、系统等的及时维护和保养,同时,针对信息技术的飞快发展的特点,要加大更新力度。
3、安全工作的水平还有待提高。对信息安全的管护还处于初级水平,提高安全工作的现代化水平,有利于我们进一步加强对计算机信息系统安全的防范和保密工作。
4、工作机制有待完善。创新安全工作机制,是信息工作新形势的必然要求,这有利于提高机关网络信息工作的运行效率,有利于办公秩序的进一步规范。
紫荆路街道党政办公室 2011年8月26日
XXXX人民防空办公室2011年度政府
信息系统安全检查情况报告
根据XXXX市信息化工作领导小组办公室《关于开展2011年度政府信息系统安全检查的通知》(信化办【2011】8号)文件精神。我办对信息系统安全检查情况进行了自查,现汇报如下:
一、信息安全状况总体评价:
1、以宣传教育为主导,强化保密意识
为加强计算机、移动存储介质以及网络的保密管理,防止泄密事件发生,确保涉密信息安全,我办采取多种方式,一是对信息化相关操作人员进行强化培训,增强保密安全意识。二是将《办公自动化设备管理规定》、《办公网络管理规定》等相关制定人手一份,要求结合实际,认真学习,并落到实处。三是进行警示教育,进一步重视和加强网上信息的保密管理,确保计算机及其网络安全。
2、以制度建设为保障,严格规范管理
构筑科学严密的制度防范体系,是做好信息保密管理的重要保障。按照《国家人防办关于》的规定要求,我办不断完善各项规章制度,规范计算机、移动存储介质以及网络等相关设备的管理;规范涉密信息流转,弥补管理上存在的空挡;规范信息发布程序,制定涉密信息发布审查制度。 要求严格审查、严格控制、严格把关,从制度上杜绝泄密隐患。
3、以督促检查为手段,堵塞管理漏洞
为了确保计算机、移动存储介质以及网络保密管理工作各项规章制度的落实,及时发现计算机保密工作中存在的泄密隐患,堵塞管理漏洞,我办十分重视对计算机、网络及移动存储介质保密工作的督促检查,采取自查与抽查相结合,常规检查与重点检查相结合,定期检查与突击检查相结合等方式,对计算机及其网络管理制度的落实情况、涉密网络的建设和使用情况以及涉密计算机、涉密移动存储介质、涉密网络采取的管理和防范措施的落实情况进行检查。这次我办对计算机、网络及移动存储介质的情况进行了一次全面检查,通过检查,查找计算机保密工作中存在的管理漏洞,并立即整改到位。进一步做好计算机信息安全防护工作是一件刻不容缓的大事。所以我们必须做到人防与技防结合,真正设置起一道信息安全工作的一道看不见的屏障。
二、2011年信息安全主要工作情况:
(一)安全制度落实情况
1、成立了以我办XX副主任为组长的信息系统安全工作领导小组,并将信息系统安全工作领导小组办公室设在指挥通信科,由指通科科长兼办公室主任,安全小组成员从各科室抽调,具体负责日常工作。
2、建立了信息安全责任制。按责任规定,安全小组对信息安全负首责,主管领导负总责,具体管理人负主责。
3、制定了计算机及网络的保密管理制度。办网站的信息管护人员负责保密管理,密码管理,对计算机享有独立使用权,计算机的用户名和开机密码为其专有,且规定严禁外泄。
(二)安全防范措施落实情况
1、涉密计算机经过了保密技术检查,并安装了防火墙。同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面有效性。
2、涉密计算机都设有开机密码,由各科室安全员保管负责。同时,涉密计算机相互共享之间设有严格的身份认证和访问控制。
3、网络终端没有违规上国际互联网及其他信息网的现象,没有安装无线网络等。同时,我办内部网络与因特网实行物理隔离手段,防止泄密情况发生。
4、安装了针对移动存储设备及泄密载体的专业杀毒软件。
(三)应急响应机制建设情况
1、制定了《XXXX市人防办网络与信息安全事件应急预案》,并随着信息化程度的深入,结合我办实际,处于不断完善阶段。
2、坚持和涉密计算机系统定点维修单位联系机关计算机维修事宜,并商定其给予我办应急技术以最大程度的支持。
3、严格文件的收发,完善了清点、整理、编号、签收制度,并要求信息管理员每天下班前进行系统备份。
(四)信息技术产品和服务国产化情况
1、终端计算机的保密系统和防火墙、杀毒软件等,皆为国产产品。
2、公文处理软件具体使用金山软件的wps系统。
3、工资系统、年报系统等皆为市委、市政府统一指定产品系统。
(五)安全教育培训情况
安全小组在全办组织了一次对基本的信息安全常识的学习活动。
三、检查发现的主要问题及整改情况: 自查中发现的不足和整改意见
根据《通知》中的具体要求,在自查过程中我们也发现了一些不足,同时结合我办实际,今后要在以下几个方面进行整改。
1、安全意识不够。
要继续加强对全体干部员工的安全意识教育,提高做好安全工作的主动性和自觉性。切实增强信息安全制度的落实工作,不定期的对安全制度执行情况进行检查,对于导致不良后果的责任人,要严肃追究责任,从而提高人员安全防护意识。
2、设备维护、更新及时。
要加大对线路、系统等的及时维护和保养,同时,针对信息技术的飞快发展的特点,要加大更新力度。
3、安全工作的水平还有待提高。
对信息安全的管护还处于初级水平,提高安全工作的现代化水平,有利于我们进一步加强对计算机信息系统安全的防范和保密工作。要以制度为根本,在进一步完善信息安全制度的同时,安排专人,完善设施,密切监测,随时随地解决可能发生的信息系统安全事故。
4、工作机制有待完善。
创新安全工作机制,是信息工作新形势的必然要求,这有利于提高机关网络信息工作的运行效率,有利于办公秩序的进一步规范。
5、日常信息安全管理。
坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,统筹安排、突出重点、明确责任、注重实效。
四、对信息安全工作的意见和建议
成立信息安全工作领导责任制与机构队伍建设
1、建立信息安全工作领导小组。领导重视是做好信息安全工作的前提。领导班子对信息安全工作十分重视,把它做为一项重要工作来抓,每年年初都会安排布置信息安全工作,并成立了由单位二把手任组长的信息安全工作领导小组,领导小组下设办公室,办公室设在综合科,由指通科科长担任办公室主任,亲自布置落实信息安全工作。
2、信息安全工作队伍的建设。近年来,我办坚持做到信息安全工作机构健全、信息安全工作队伍不散,信息安全工作人员及时调整和补充,并不断加强信息安全业务知识的学习,做好工作交接,都能熟练掌握保密法规和信息安全技术基础知识,熟悉本办的业务工作和信息安全工作基本情况。
XXXX市人防办信息系统安全工作领导小组名单
XXXX人民防空办公室2011政府
信息系统安全检查情况报告
根据XXXX市信息化工作领导小组办公室《关于开展2011政府信息系统安全检查的通知》(信化办【2011】8号)文件精神。我办对信息系统安全检查情况进行了自查,现汇报如下:
一、信息安全状况总体评价:
1、以宣传教育为主导,强化保密意识
为加强计算机、移动存储介质以及网络的保密管理,防止泄密事件发生,确保涉密信息安全,我办采取多种方式,一是对信息化相关操作人员进行强化培训,增强保密安全意识。二是将《办公自动化设备管理规定》、《办公网络管理规定》等相关制定人手一份,要求结合实际,认真学习,并落到实处。三是进行警示教育,进一步重视和加强网上信息的保密管理,确保计算机及其网络安全。
2、以制度建设为保障,严格规范管理
构筑科学严密的制度防范体系,是做好信息保密管理的重要保障。按照《国家人防办关于》的规定要求,我办不断完善各项规章制度,规范计算机、移动存储介质以及网络等相关设备的管理;规范涉密信息流转,弥补管理上存在的空挡;规范信息发布程序,制定涉密信息发布审查制度。 要求严格审查、严格控制、严格把关,从制度上杜绝泄密隐患。
3、以督促检查为手段,堵塞管理漏洞
为了确保计算机、移动存储介质以及网络保密管理工作各项规章制度的落实,及时发现计算机保密工作中存在的泄密隐患,堵塞管理漏洞,我办十分重视对计算机、网络及移动存储介质保密工作的督促检查,采取自查与抽查相结合,常规检查与重点检查相结合,定期检查与突击检查相结合等方式,对计算机及其网络管理制度的落实情况、涉密网络的建设和使用情况以及涉密计算机、涉密移动存储介质、涉密网络采取的管理和防范措施的落实情况进行检查。这次我办对计算机、网络及移动存储介质的情况进行了一次全面检查,通过检查,查找计算机保密工作中存在的管理漏洞,并立即整改到位。进一步做好计算机信息安全防护工作是一件刻不容缓的大事。所以我们必须做到人防与技防结合,真正设置起一道信息安全工作的一道看不见的屏障。
二、2011年信息安全主要工作情况:
(一)安全制度落实情况
1、成立了以我办XX副主任为组长的信息系统安全工作领导小组,并将信息系统安全工作领导小组办公室设在指挥通信科,由指通科科长兼办公室主任,安全小组成员从各科室抽调,具体负责日常工作。
2、建立了信息安全责任制。按责任规定,安全小组对信息安全负首责,主管领导负总责,具体管理人负主责。
3、制定了计算机及网络的保密管理制度。办网站的信息管护人员负责保密管理,密码管理,对计算机享有独立使用权,计算机的用户名和开机密码为其专有,且规定严禁外泄。
(二)安全防范措施落实情况
1、涉密计算机经过了保密技术检查,并安装了防火墙。同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面有效性。
2、涉密计算机都设有开机密码,由各科室安全员保管负责。同时,涉密计算机相互共享之间设有严格的身份认证和访问控制。
3、网络终端没有违规上国际互联网及其他信息网的现象,没有安装无线网络等。同时,我办内部网络与因特网实行物理隔离手段,防止泄密情况发生。
4、安装了针对移动存储设备及泄密载体的专业杀毒软件。
(三)应急响应机制建设情况
1、制定了《XXXX市人防办网络与信息安全事件应急预案》,并随着信息化程度的深入,结合我办实际,处于不断完善阶段。
2、坚持和涉密计算机系统定点维修单位联系机关计算机维修事宜,并商定其给予我办应急技术以最大程度的支持。
3、严格文件的收发,完善了清点、整理、编号、签收制度,并要求信息管理员每天下班前进行系统备份。
(四)信息技术产品和服务国产化情况
1、终端计算机的保密系统和防火墙、杀毒软件等,皆为国产产品。
2、公文处理软件具体使用金山软件的wps系统。
3、工资系统、年报系统等皆为市委、市政府统一指定产品系统。
(五)安全教育培训情况
安全小组在全办组织了一次对基本的信息安全常识的学习活动。
三、检查发现的主要问题及整改情况: 自查中发现的不足和整改意见
根据《通知》中的具体要求,在自查过程中我们也发现了一些不足,同时结合我办实际,今后要在以下几个方面进行整改。
1、安全意识不够。
要继续加强对全体干部员工的安全意识教育,提高做好安全工作的主动性和自觉性。切实增强信息安全制度的落实工作,不定期的对安全制度执行情况进行检查,对于导致不良后果的责任人,要严肃追究责任,从而提高人员安全防护意识。
2、设备维护、更新及时。
要加大对线路、系统等的及时维护和保养,同时,针对信息技术的飞快发展的特点,要加大更新力度。
3、安全工作的水平还有待提高。
对信息安全的管护还处于初级水平,提高安全工作的现代化水平,有利于我们进一步加强对计算机信息系统安全的防范和保密工作。要以制度为根本,在进一步完善信息安全制度的同时,安排专人,完善设施,密切监测,随时随地解决可能发生的信息系统安全事故。
4、工作机制有待完善。
创新安全工作机制,是信息工作新形势的必然要求,这有利于提高机关网络信息工作的运行效率,有利于办公秩序的进一步规范。
5、日常信息安全管理。
坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,统筹安排、突出重点、明确责任、注重实效。
四、对信息安全工作的意见和建议
成立信息安全工作领导责任制与机构队伍建设
1、建立信息安全工作领导小组。领导重视是做好信息安全工作的前提。领导班子对信息安全工作十分重视,把它做为一项重要工作来抓,每年年初都会安排布置信息安全工作,并成立了由单位二把手任组长的信息安全工作领导小组,领导小组下设办公室,办公室设在综合科,由指通科科长担任办公室主任,亲自布置落实信息安全工作。
2、信息安全工作队伍的建设。近年来,我办坚持做到信息安全工作机构健全、信息安全工作队伍不散,信息安全工作人员及时调整和补充,并不断加强信息安全业务知识的学习,做好工作交接,都能熟练掌握保密法规和信息安全技术基础知识,熟悉本办的业务工作和信息安全工作基本情况。
XXXX市人防办信息系统安全工作领导小组名单
根据《关于开展全区重要信息系统和政府网站安全专项检查的通知》的精神,我局领导高度重视,立即组织开展全局范围的信息系统安全检查工作。现将自查情况汇报如下:
我局信息系统运转以来,能严格按照上级部门要求,积极完善各项安全制度、充分加强信息化安全工作人员教育培训、全面落实安全防范措施、全力保障信息安全工作经费,信息安全风险得到有效降低,应急处置能力得到切实提高,保证了政府信息系统持续安全稳定运行。
一、 自查情况
(一) 信息安全组织管理情况
1.我局专门制订了信息化工作有关规章制度,对信息化工作管理、内部电脑安全管理、计算机及网络设备管理、数据、资料和信息的安全管理、网络安全管理、计算机操作人员管理、网站内容管理、网站维护责任等各方面都作了详细规定,进一步规范了我局信息安全管理工作
2.为确保我局网络信息安全工作有效顺利开展,我局要求以各科室、下属单位为单位认真组织学习相关法律、法规和网络信息安全的相关知识,使全体人员都能正确领会信息安全工作的重要性,都能掌握计算机安全使用的规定要求,都能正确的使用计算机网络和各类信息系统。
(二)日常信息安全管理
1.为进一步加强我局政府信息安全工作的领导,成立了信息安全工作领导小组,由局长任组长,分管领导任网络安全负责人,各科室负责人为成员,办公室内部设立信息中心,设专人负责处理日常工作。
2.在信息收集上传过程中,由信息中心统一协调,各科室、下属单位把信息统一上报至办公室,由信息中心掌握上传密码的同志统一把信息上传发布,从而保证了信息上传的准确性、安全性,决执行“谁主管谁负责、谁运行谁负责、谁使用谁负责”的管理原则。
3.我局严格文件的收发工作,完善了清点、整理、编号、签收制度,并要求信息管理员每天下班前进行系统全数据备份检查,并对所有业务系统都进行了逻辑备份和物理备份。
4.我局没有涉密计算机。每台非涉密计算机的保密系统和防火墙、杀毒软件等皆为国产产品,公文处理软件具体使用微软公司的office系统。
(三)信息安全防护管理
1. 我局网络系统的组成结构及其配置合理,并符合有关的安全规定;网络使用的各种硬件设备、软件和网络接口是也过安全检验、鉴定合格后才投入使用的,自安装以来运转基本正常。
2.我局实行角色审核制度。凡上传网站的信息,须经有关负责人审核后方可上传;二是开展经常性安全检查,主要对SQL注入攻击、跨站脚本攻击、弱口令、操作系统补丁安
装、应用程序补丁安装、防病毒软件安装与升级、木马病毒检测、端口开放情况、系统管理权限开放情况、访问权限开放情况、网页篡改情况等进行监管,认真做好系统安全日记。
3.我局切实抓好内网、外网、网站和应用软件“五层管理”,确保“涉密计算机不上网,上网计算机不涉密”,严格按照保密要求处理光盘、硬盘、优盘、移动硬盘等管理、维修和销毁工作。重点抓好“三大安全”排查:一是硬件安全,包括防雷、防火、防盗和电源连接等;二是网络安全,包括网络结构、安全日志管理、密码管理、IP管理、互联网行为管理等;三是应用安全,包括网站、邮件系统、资源库管理、软件管理等。
(四)信息安全应急管理
我局已经做好各项准备工作,对可能发生的各类信息安全事件做到心中有数,进一步完善了信息安全应急预案,明确应急处置流程,落实了应急技术支撑队伍,把工作做深做细做在前面。积极组织开展了应急演练,检验了应急预案的可操作性,提高了应急处置能力。
(五)信息安全教育培训
我局针对信息管理人员实际情况,每年开展信息化教育培训,以掌握信息化管理技能为目的进行实践操作能力培训。在我们建的文化系统办公室QQ群实时对一些最新网络病毒及安全事件进行播报以提高信息管理人员的安全防范意识。
(六)信息安全检查工作发现的主要问题及整改情况 1.存在的主要问题
一是专业技术人员较少,信息系统安全方面可投入的力量有限。
二是规章制度体系初步建立,但还不完善,未能覆盖到信息系统安全的所有方面;
三是设备维护、更新还不够及时。 2.下一步的整改计划
根据自查过程中发现的不足,同时结合我局实际,将着重以下几个方面进行整改:
一是要加强专业信息技术人员的培养,进一步提高信息安全工作技术水平,便于我们进一步加强对计算机信息系统安全防范和保密工作。
二是要创新完善信息安全工作机制,进一步规范办公秩序,提高信息工作安全性。
三是要要创新完善信息安全工作机制,进一步规范办公秩序,提高信息工作安全性。
最后,希望区政府信息中心和公安局网络监察办公室能够经常组织有关信息系统安全的培训,从而进一步提高信息系统管理工作人员的专业水平,从而进一步强化信息系统的安全防范工作。
根据**市人民政府办公室《关于开展政府信息系统安全的检查的通知》(天政电52号)文件精神。我镇对本镇信息系统安全情况进行了自查,现汇报如下:
一、自查情况
(一)安全制度落实情况
1、成立了安全小组。明确了信息安全的主管领导和具体负责管护人员,安全小组为管理机构。
2、建立了信息安全责任制。按责任规定:保密小组对信息安全负首责,主管领导负总责,具体管理人负主责。
3、制定了计算机及网络的保密管理制度。镇网站的信息管护人员负责保密管理,密码管理,对计算机享有独立使用权,计算机的用户名和开机密码为其专有,且规定严禁外泄。
(二)安全防范措施落实情况
1、涉密计算机经过了保密技术检查,并安装了防火墙。同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面有效性。
2、涉密计算机都设有开机密码,由专人保管负责。同时,涉密计算机相互共享之间没有严格的身份认证和访问控制。
3、网络终端没有违规上国际互联网及其他的信息网的现象,没有安装无线网络等。
4、安装了针对移动存储设备的专业杀毒软件。
(三)应急响应机制建设情况
1、制定了初步应急预案,并随着信息化程度的深入,结合我镇实际,处于不断完善阶段。
2、坚持和涉密计算机系统定点维修单位联系机关计算机维修事宜,并商定其给予镇应急技术以最大程度的支持。
3、严格文件的收发,完善了清点、修理、编号、签收制度,并要求信息管理员每天下班前进行系统备份。
(四)信息技术产品和服务国产化情况
1、终端计算机的保密系统和防火墙、杀毒软件等,皆为国产产品。
2、公文处理软件具体使用金山软件的ps系统。
3、工资系统、年报系统等皆为市政府、市委统一指定产品系统。
(五)安全教育培训情况
1、派专人参加了市政府组织的网络系统安全知识培训,并专门负责我镇的网络安全管理和信息安全工作。
2、安全小组组织了一次对基本的信息安全常识的学习活动。
二、自查中发现的不足和整改意见
根据《通知》中的具体要求,在自查过程中我们也发现了一些不足,同时结合我镇实际,今后要在以下几个方面进行整改。
1、安全意识不够。要继续加强对机关干部的安全意识教育,提高做好安全工作的主动性和自觉性。
2、设备维护、更新及时。要加大对线路、系统等的及时维护和保养,同时,针对信息技术的飞快发展的特点,要加大更新力度。
3、安全工作的水平还有待提高。对信息安全的管护还处于初级水平,提高安全工作的现代化水平,有利于我们进一步加强对计算机信息系统安全的防范和保密工作。
4、工作机制有待完善。创新安全工作机制,是信息工作新形势的必然要求,这有利于提高机关网络信息工作的运行效率,有利于办公秩序的进一步规范。
市信息化办公室:
为进一步加强我县信息安全工作水平,根据省市信息化管理办公室关于开展2011年度政府信息系统安全检查的通知精神,结合我县实际,对信息系统安全情况进行了自查,自查情况如下:
一、自查情况
1、安全制度落实情况:
目前我县已制定了《扶沟县网络信息安全管理制度》、《扶沟县计算机信息系统安全保密管理制度》、《扶沟县涉密人员管理制度》等制度并严格执行。明确专业信息管护人员负责信息系统安全管理,密码管理,且规定严禁外泄。进一步提升网站建设的服务水平,县领导带头上网学习和提出网站建设新要求;完成了网站域名注册和规范管理;及时转载市县两级党委政府重大活动和决策部署信息,及时反馈贯彻落实上级决策、部署情况。网站信息公开水平进一步提高,开设了政务公开栏,按照政务公开的要求,主动、及时公开全县的重大活动、发展规划、政策落实等信息,并做到了专人时常更新,职工和群众反应良好。
2、安全防范措施落实情况:
(1)涉密计算机经过了信息系统安全技术检查,并安装了防火墙,同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。
(2)涉密计算机信息系统已建立,处于物理隔离未接入互联网,除专人使用和管理之外任何人不得接触或查看涉密计算机信息系统。禁止在非涉密计算机及信息系统内保存或流转任何涉密文件和内部敏感信息,所有涉密文件和内部敏感信息一律保存在涉密计算机信息系统中。涉密计算机信息系统配备单独的移动存储介质,不使用本单位以外的移动存储介质,禁止使用来历不明或未经杀毒的一切移动存储介质。
(3)除政务信息公开场所使用无线局域网外,各单位其他一切硬件设施均采用有线连接,有效地避免了信息在无线局域网中泄漏。
(4)各单位在安装杀毒软件时采用国家主管部门批准的查毒杀毒软件适时查毒和杀毒,不使用来历不明、未经杀毒的软件、软盘、光盘、U盘等载体,不访问非法网站,自觉严格控制和阻断病毒来源。在单位外的U盘,不得携带到单位内使用,计算机在局域网中正常使用多功能一体机进行打印、扫描等,都是公开的、未涉密的。
3、应急响应机制建设情况:
(1)制定了初步应急预案,并处于不断完善阶段。
(2)对信息系统数据进行定期备份,以降低或消除各种灾难对正常工作的影响。
4、信息技术产品应用情况:
使用防火墙、安全网闸与入侵检测系统,有效保护信息系统安全。
5、信息安全教育培训情况:
(1)不断加强对计算机使用者的安全培训工作,强化每一个使用者安全使用网络的能力,提高安全防范意识,对每台入网计算机的使用者、IP地址进行登记造册。
(2)组织人员参加网络安全员培训。增强内部人员的信息安全防护意识,有效提高单位信息工作者的信息安全防护能力。
二、信息安全检查发现的主要问题及整改情况
1、目前存在的问题:
(1)规章制度体系初步建立,但还不够完善,未能覆盖信息系统安全的所有方面。
(2)不少信息系统使用人员安全意识不强,在管理上缺乏主动性和自觉性。
(3)网络安全技术管理人员配备较少,信息系统安全方面投入的力量有限。
2、整改措施:
(1).依据《国家信息安全技术标准规范》,结合我县信息系统安全检查工作要求,再次检查规章制度各个环节的安全策略与安全制度,并对其中不完善部分进行了重新修订与修改;切实增强信息安全制度的落实工作,不定期对安全制度执行情况进行检查。
(2).加强信息网络安全技术人员培训,使安全技术人员及时更新信息网络安全管理知识,提高相关管理及法律法规等的认识,不断地加强信息网络安全管理和技术防范水平;
(3).加大网络安全设备的投入,进一步强化信息系统客户端安
全监控及授权管理,确保系统安全。
推荐阅读:
区水利局政府信息公开工作自查报告06-06
河北省地方税务局政府信息公开指南06-13
三道川乡政府信息公开工作年度报告06-01
关于进一步加强全市政府信息公开工作的通知06-14
在全县政府信息公开工作会议上的讲话07-02
税务系统信息安全策略07-02
信息系统可研报告05-29
护理管理信息系统06-11
