机关单位网络安全总结

1、机关单位网络安全总结 0. 0. 引言 随着社会计算机信息技术的飞速发展，计算机网络的便捷性使 得网络成为机关单位的重要办公平台。然而，矛盾辩证法告诉我们， 事物往往正反相随、 有利必有弊。同样也是因为计算机网络的便捷性， 使得机关单位的网络办公平台较之传统平台更易暴露在不法分子眼 前，用以进行非法勾当。机关单位网络入侵事件屡有发生，这严重影 响了政府工作以及社会的正常运行， 本文旨在研究探讨机关单位的网 络安全问题，为维护机关单位的网络安全提供一定的理论依据。 机关单位网络安全就是指，机关单位的组织内部局域网络不受 不被允许和识别用户干扰、 进入。局域网内数据只能被机关单位所认 可的工作人员

2、共享、利用， 组织网内计算机的硬件、软件以及数据的 安全性受到保护。 网络安全对于任何组织、国家的正常运行以及健康发展都具有 至关重要的意义。 就机关单位内部网来说， 其是所有机关工作人员数 据联通、共享以及交流的最主要平台，保证这个网络平台的通畅、安 全运行，不仅关乎到我们单位组织工作人员能否顺利进行工作， 更关 乎到我们人民的切身利益能否得到可靠保障。 为了做好迎接全市 _ _ 信息系统安全检查工作，根据枣经信字 20 xx20 xx171 171 号文件要求和安排部署，市 _ _ 领导高度重视，召开专题 会议，认真学习文件精神， 研究部署贯彻落实意见，并结合统计工作 实际，开展了本局信息

3、系统安全工作和计算机信息系统安全自查， 通 过自查，进一步明确了我局信息系统安全工作职责， 规范了信息系统 安全工作标准， 完善了信息系统安全工作制度， 提升了信息系统安全 工作水平，现将自查情况报告如下： 是成立了市 _ _ 信息系统安全工作领导小组， 分管领导任组长， 各科室主要负责人为成员，具体负责市信息系统安全工作。二是 深入开展信息系统安全法制宣传教育。组织全局干部职工认真学习 山东 _ _ 信息系统安全管理办法和各项信息系统安全制度，重点 抓好对领导干部和人员的信息系统安全宣传教育， 积极参加市信息系 统 _ _ 门组织的各类业务培训教育，不断提高领导和人员的信息系统 安全意识和做

4、好信息系统安全工作的自觉性。 三是采取多渠道、 多形 式加强对领导干部、 重点人员、 信息系统安全干部的信息系统安全法 制宣传教育。四是充分利用现代宣传教育载体和正反两方面的典型案 例开展教育，切实提高信息系统安全宣传教育的效果。 先后建立了计算机信息系统安全管理制度、 网络安全管理制度、 计算机维修、更换、报废信息系统安全管理制度、网络信息上传发布 信息系统安全管理制度、XXXX 市信息系统安全应急预案、XXXX 市 网路定级标准、XXXX 市信息系统安全规划书、XXXX 市信息系统安 全管理流程、 补丁分发策略等各项制度。 健立健全信息系统安全工作 责任制，加强领导。 根据信息系统安全法律

5、法规管理是信息系统安全 工作部门的重要职责， 是信息系统安全工作纳入依法管理的重要途径。 一是充分认识信息系统安全工作依法行政的重要意义， 增强信息系统 安全工作的自觉性， 提高信息系统安全工作管理水平。 二是进一步规 范定密工作，要按照定密程序界定国家秘密，防止定密过宽过严，同 时要制定必要的管理制度， 逐步实现动态信息系统安全管理。 三是继 续抓好计算机信息系统和电子政务工作中的信息系统安全管理， 建立 和完善上网信息的信息系统安全审查制度。 四是继续加强日常信息系 统安全管理工作， 进一步加强对国家秘密载体特别是绝密级国家秘密 载体的管理力度， 抓好对统计数据的管理工作， 所有统计数据必

6、须经 _审核同意后，经综合科对外提供。 建立了全局计算机管理登记台账，移动磁介质管理登记台账。 计算机设有身份认证和访问控制。 网络终端没有违规上国际互联网及 其他公共的现象。涉密计算机设有开机密码，由专人保管。对非 涉密计算机网络，加大网路安全设备投入，配置了防火墙、 ips ips 防护 入侵系统，进一步加强对计算机信息系统信息系统安全安全防范和管 理工作。加强对内部网络的管理，建立健全网络管理制度，严防失泄 密事件的发生。严格执行“涉密信息不上网， 上网信息不涉密”和“谁 上网，谁负责”的原则，加强对涉密网络的检查。 在工作实际中，着力按照市委信息系统安全委员会、市经信委 制定的信息系统

7、安全工作制度来严格执行。如：重大节、假日前要进 行信息系统安全教育， 增强信息系统安全意识， 涉密会议要严格场所 选择、人员范围、明确信息系统安全要求、 涉密文件要严格借阅制度， 不准强制他人违反信息系统安全规定复制国家秘密载体， 经批准，到 指定文印室复印，不准私自留存秘密文件、 密品，不准携带秘密文件、 密品回家和出入公共场所， 不准通过普通邮政传递秘密文件、 和其他 物品，不准向家属、子女和无关人员泄露涉密事项、不准利用移动电 话、对讲机等通讯工具谈论涉密事项， 不准私自随意处理涉密文件及 内部资料， 必须集中统一销毁等规定， 使之在认识上有信息系统安全 的意识，在工作上有信息系统安全的

8、防线， 使信息系统安全工作真正 落到实处。 全局有一台涉密计算机与国际互联网及其它公共 物理隔离。涉密 1 1 、系统风险的防范 (1) (1) 物理安全。主要指对计算机设备场地、计算机系统、网络设 备、密钥等关键设备的安全防卫措施。为了防止电磁泄露 , , 要对电源 线和信号线加装滤波器 , ,减少传输阻抗和导线间的交叉耦合 , , 同时对 辐射进行防护。 (2) (2) 应用安全操作系统技术。 安全操作系统不仅可以防范黑客利 用操作系统平台本身的漏洞来攻击网络银行交易系统 , , 而且它还可以 在一定程度上屏蔽掉应用软件系统的某些安全漏洞。 (3) (3) 数据通信加密技术的应用。对传输中

9、的数据流进行加密 , , 按 实现加密的通信层次可分为链路加密、节点加密、端到端加密。在链 路数较多以及对流量分析要求不高的情况下 , , 适合采用“端到端加密” 方式。在对流量分析要求较高的情况下 , , 可采用“链路加密”与“端 到端加密”相结合的方式 : : 用“链路加密”对报文的报头进行加密 , , 防止进行流量分析 , , 再用“端到端加密”对传送的报文进行加密保护。 (4) (4) 应用系统，加强应用系统开发过程的监督 , , 应用系统运行过 程中的实时监督。 (5) (5) 应用数据库安全技术。应用存取控制技术、数据加密技术、 硬盘分区防护技术、数据库的安全审计技术、故障恢复技术

10、等。 (6) (6) 应用防火墙安全技术。 建立综合计算机病毒检测技术、 代理 服务技术和包过滤技术的 _防火墙, , 支持链路加密或虚拟专网、 病毒 扫描等安全服务 , , 并具有实时报告、实时监控、记录非法登录、统计 分析等功能。2 2 、操作风险的防范 操作必须有日志记载。 建立操作风险管理中心 , , 对员工进行防范操作风险的技术 , ,监督 各项操作风险管理制度的执行情况 , ,对操作风险进行评估 , , 并采取相 应措施。建立操作风险应急反应中心 , , 对业务的影响因素进行研究 , , 识别出可能导致业务中止的情况 , , 系统的备份及定期测试网络的灾难 应急计划 , ,对出现的安全问题提供支援和解决方案。 虽然我局在信息系统方面做了大量的工作，但距各级领导的要 求还相差很远， 主要表现在以下几方面： 一是在定期进行安全评估和 加固、对安全事件处理流程及办法方面做的不够， 二是机房安全建设 在场地位置、upsups、温度、湿度、消防等方面都能符合国家标准，但 机房没有噪音控制、 报警监控等措施。 三是没有配置病毒集中监控系 统，因而在防病毒方