交通运输局重点领域网络与信息安全检查工作自查报告
根据邓州市信息化工作领导小组办公室《关于开展20XX年重点领域网络与信息安全检查工作的通知》(邓信化办[20XX]4号)文件精神,我局对本行业信息系统安全情况进行了全面检查,现将情况报告如下:
一、信息安全状况总体评价
局领导高度重视信息网络安全工作,认真贯彻落实《计算机信息系统安全保护条例》和《计算机信息网络国际联网安全保护管理办法》等有关文件精神,加大投入,采取积极有效的安全保护措施,取得了良好成效。截至目前,邓州市交通运输局信息网络没有出现明显的黑客入侵或攻击迹象,没有出现过一起重大安全事故,信息系统和网络安全状况良好。
二、20XX年信息安全主要工作情况
(一) 信息安全组织管理
局领导对信息安全管理工作高度重视,结合我局自身情况,成立了由局长为组长,相关部门负责人为成员的局信息化工作领导小组,从组织上保障信息化领域信息安全政策的贯彻落实。同时,建立了信息安全责任制,确定具体管理和维护人员,确保网络信息安全工作顺利实施。
(二)日常信息安全管理
长期以来,我局非常重视对信息系统安全工作队伍建设。为确保本系统政府信息系统安全,首先,因工作需要确实涉密的,不随意扩大和缩小保密工作人员范围,确保工作人员队伍稳定;其次,通过专业培训、个人自学等形式提高业务素质,涉密人员签订《保密承诺书》,并由领导小组具体进行监督,使责任细化到人、到岗。
我局信息安全建设坚持控制源头、积极防范的原则,加强了规章制度建设。依据《国家信息安全条例》,制定了符合网络特点、针对性强、可操作性强的保密管理规章制度。先后出台了《邓州市交通运输局政务网络安全管理暂行办法》、《邓州市交通运输局电子政务中心固定资产管理制度》、《邓州市交通运输局机关办公网络安全保密管理规定》、《邓州市交通运输局信息网络中心机房管理制度》、《邓州市交通运输局安全管理人员岗位工作职责》《邓州市交通运输局机关涉密计算机及其信息系统管理规定》等一系列制度,网络维护及信息发布人员都签订有《网络维护及信息发布保密承诺书》。用规章制度规范行为,细化各个操作环节的管理和责任,使政府信息网络安全保密工作有章可循,有法可依。
我局系统中公文处理软件使用微软Office系列及金山的WPS。工资系统专用软件等皆为市委、市政府统一指定产品。
市委、市政府大力支持信息安全建设,针对邓州市信息网络安全的实际需求加大投入,以完善我局信息网络安全防范体系。每年我局均拨付专项资金用于网络安全建设。截止目前,已累计投入40多万元为信息安全建设做资金保障。所采购的网络设备、计算机等设备完全满足安全可控可审计要求。
(三)信息安全防护管理
我局政务网络分为内、外两套网络,内、外网完全物理隔离。外网出口区域设置有一体化网关(UTM)、防火墙、防毒墙、上网行为管理设备各一台。外网服务器区域设置有防火墙进行逻辑隔离。总结点配置一台核心交换机和路由器,同汇聚交换机共同完成各单位业务数据交换。在防火墙和上网行为管理设备上设置安全策略和访问权限,对上网行为和权限进行审计。互联网出口为联通光纤网络,在上网行为管理上留存网络访问日志,定期对日志进行分析,排除安全隐患。业务系统有OA系统及WEB服务器等应用系统。配置网络设备均进行常见病毒及攻击端口过滤配置,以通过基础网络屏蔽部分攻击及病毒的入侵,有效的提高网络整体安全性。
我局的网络及信息系统未划分保密等级。在安全防护措施方面,充分利用技术和管理双重措施,全面加大在防病毒、防篡改、防攻击、防瘫痪等方面的力度,每台设备均实名接入,固定分配IP并绑定MAC,同时详细记录备案;及时更新补丁,修复漏洞,升级操作系统,关闭一切不必要的服务和端口;对于移动存储介质采取专人保管,涉密文件单独存放,电子文档不得在办公网络中流转,严禁携带存在涉密内容的介质到联网计算机上加工处理。涉密计算机与互联网和其他公共信息网物理隔离,并配置有密码设备,由专人负责管理,不存在涉密和非涉密设备混用。同时,执行严格的身份认证和访问控制,严禁私自接入互联网。
对于网站运行安全,操作要求:一是专属权限密码登陆后台;二是上传文件提前进行病毒检测;三是网站分模块进行维护,定期清理后台垃圾文件;四是网站更新专人负责。同时,建立并健全网站内容发布和审批制度,各单位发布的信息严格按照《交通运输局机关办公网信息发布管理制度》规定,责任到人。市委办公室、局信息安全领导小组对各部门上网内容进行文字审核,统一把关。按照“谁上网谁负责”的原则,确保发布到网站上的内容不出现偏差。同时,部署安全设备对服务器进行全面防护,经常性安全检查,主要对SQL注入攻击、跨站脚本攻击等进行监管。后台管理制度完善,统一管理系统账户,采用高强度密码操作,无空口令、弱口令或默认口令。定期对网站服务器进行脆弱性扫描,发现问题及时采取措施,修补漏洞,做到防范于未然。
我局电子邮箱依托政务内网,仅对各单位工作人员开放申请注册,每个账号均保存有详细备案,无外部人员使用,且与外部网络完全物理隔离,具有较高的安全保障。规定使用人员定期更改账户口令,采用复杂的多类字符提高口令强度。
(四)信息安全应急管理和教育培训
我局根据《国家网络与信息安全事件应急预案》,结合实际情况,制定了《邓州市网络与信息安全应急预案》。重要数据灾难备份目前正在申请专项资金,做好前期调研,加快项目推进。明确应急技术支援队伍,保障技术支撑。加强宣传培训,增强危机防范意识。规定每年至少进行两次信息安全培训,定期组织人员学习,提高专业技术水平。展开应急演练,保证人人演练,人人总结,相互交流经验弥补不足。专业学习和应急演练结合进行,在学习中开展演练,在演练中学习知识,取得了良好的效果,大大提高了工作人员的业务素质。
三、检查发现的主要问题及整改情况
根据上年度下发的《反馈意见》,我局对其中发现的问题高度重视,立即对信息安全检查整改工作进行部署和落实,逐条研究落实整改措施,认真开展信息安全整改工作。目前工作已全部落实,具体情况如下。
网络部分:核心交换机及路由设备常见病毒和攻击端口过滤配置工作已完成。核心设备(服务器,路由器等)的主要部件已实现冗余设置。网络拓扑结构重新绘制,完善设备配置、端口分配等资料信息,建立设备维护档案。
主机部分:设立了主机管理制度,禁用无用账户和系统服务,定期对主机更新补丁、查杀病毒。目前所有主机已更新到最新的补丁。定期对关键网络设备进行安全评估,提高信息系统设备安全性。
物理安全及其他:对机房中设备线缆进行摸排,完善设备端口对照表,并粘贴标签。已实现对设备主备电源分别接入不同供电插排。机房地板重新更换,对设备角落进行了清洁和整理,清除了无关物品。
四、对信息安全工作的意见和建议
通过这次信息系统安全检查,我局进一步认识到信息安全工作的重要性及紧迫性,希望上级部门今后多组织相关单位交流学习及业务培训,共同提高信息安全建设水平。
