1 / 13

信息安全检查工作汇报

信息安全检查工作汇报. 委信息办. 2012.05. 1. 2011 年政府信息系统安全检查工作. 2. 本年度信息系统安全自查工作. 下一步工作建议与安排. 3. 一步建设思路. 《 国务院办公厅关于印发 < 政府信息系统安全检查办法 > 的通知 》 (国办发 [2009]28 号). 《 关于做好 2011 年度政府信息系统安全检查工作的通知 》 (质检信办 [2011]95 号). 一、信息安全状况总体评价.

miette
Télécharger la présentation

信息安全检查工作汇报

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 信息安全检查工作汇报 委信息办 2012.05

  2. 1 2011年政府信息系统安全检查工作 2 本年度信息系统安全自查工作 下一步工作建议与安排 3 一步建设思路

  3. 《国务院办公厅关于印发<政府信息系统安全检查办法>的通知》(国办发[2009]28号)《国务院办公厅关于印发<政府信息系统安全检查办法>的通知》(国办发[2009]28号) 《关于做好2011年度政府信息系统安全检查工作的通知》(质检信办[2011]95号)

  4. 一、信息安全状况总体评价 1、安全制度落实方面。信息中心开展了“信息安全管理、IT运维和等级保护”咨询与认证工作; 制定了35份信息安全管理体系文件以及55份记录模板。 2、应急响应机制建设方面。完善并发布《机房环境、信息网络与信息系统应急响应预案》,提升处理重大信息安全事故的应变能力。 3、安全隐患排查方面。定期对安全制度、防范措施、技术设备等各方面进行检查,尽可能排除各方面的安全隐患,防患于未然,降低安全事故发生的概率,提高信息安全保障能力。

  5. 二、2011年信息安全主要工作情况 (一)建立健全组织机构 1、国家认监委信息中心信息安全管理委员会; 2、信息安全执行小组。 (二)严格落实信息安全日常管理工作 1、信息安全保障经费,2011年经费150万元; 2、信息安全管理体系文件、质量管理体系文件。 (三)严格落实安全防范措施 1、业务系统大集中部署、每日两次巡检; 2、网站信息发布审批制度、网站防篡改系统; 3、网络统一监控、防病毒、防攻击、对用户上网行为进行审计等安全防范措施。

  6. 二、2011年信息安全主要工作情况 (四)完善应急响应机制 1、重要业务系统数据每天进行一次备份; 2、发布《机房环境、信息网络与信息系统应急响应预案》,并组织了2次推演演练。 (五)加强信息安全教育培训 1、认证认可信息化专题培训; 2、信息安全管理体系审核员培训。 (六)信息安全检查 1、组织两次信息安全保密检查工作

  7. 1 2011年政府信息系统安全检查工作 2 本年度信息系统安全自查工作 下一步工作建议与安排 3 一步建设思路

  8. 对5项网站系统、25台服务器设备漏洞扫描情况:对5项网站系统、25台服务器设备漏洞扫描情况: 1、设备部署的中间件软件版本较低,已通过下载最新稳定版本及官方补丁方式解决; 2、业务系统不支持最新中间件软件、数据库软件的系统补丁,已通过在网络设备中关闭可能产生漏洞的端口解决,需要联系系统开发人员对程序安全性做进一步评估、改进才能最终杜绝相关漏洞; 3、网站存在跨站漏洞、SQL注入漏洞、网站源代码泄露等问题,已通过配置Web应用防火墙设备进行前端隔离,还需联系网站开发人员或外购厂商对网站代码做进一步的安全优化。

  9. 安全加固手段: 1、对主机系统进行安全加固,关闭非必要的服务与端口,并在网络边界防火墙进行访问控制; 2、对网络进行定期扫描,及时解决网络中存在的安全问题; 3、完善网络与安全设备配置,实时监控、防护、保障网络安全; 4、在web服务器前端增加配置专业防护设备,抵御和检测外部恶意攻击。

  10. 1 2011年政府信息系统安全检查工作 2 本年度信息系统安全自查工作 下一步工作建议与安排 3 一步建设思路

  11. 一、存在的问题与建议 1、存在信息安全意识薄弱、日常操作不规范的问题。建议参照信息安全管理体系、等级保护要求等系统、规范的方式,提高日常管理与监督能力,并加强信息安全教育培训,提升安全意识与操作水平。 2、信息中心、各成员单位部分服务器与网络设备存在系统漏洞,恶意人员可以通过漏洞对我委信息系统或用户造成不良影响和损失。建议加强日常系统扫描、功能模块升级、安装补丁,并与委信息办、信息安全机构、厂商及时沟通,从技术层面避免安全事故的发生。 3、部分设备存在单点故障问题,相关灾备体系尚未全面建立。建议调整完善相关网络结构、加大信息化经费投入进行解决。

  12. 二、下一步信息安全工作安排 (一)统筹规划,全面推行信息安全体系、信息系统等级保护工作 本年度信息中心将完成构建、运行ISO27000信息安全管理体系,并开始重要信息系统等级保护定级与备案准备工作,实现管理与技术两手抓。 (二)加强信息安全意识与实践,开展年度信息系统安全检查工作 信息办将参照2011年信息系统安全检查要求,结合等级保护、信息安全管理体系建议,组织技术专家会同各成员单位进行进一步交流与培训,并开展先期检查与整改工作。

  13. 敬请领导批评指正!

More Related