61阅读

信息安全检查总结报告-12医院网络与信息安全自查工作总结报

发布时间:2017-08-25 所属栏目:网络与信息安全

一 : 12医院网络与信息安全自查工作总结报

医院网络与信息安全自查工作总结报告

接到《 xxx卫生厅办公室关于开展网络与信息安全检查行动工作的通知》后,我院领导高度重视,立即召开相关科室负责人会议,深入学习和认真贯彻落实文件精神,充分认识到开展网络与信息安全自查工作的重要性和必要性,对自查工作做了详细部署,由主管院长负责安排、协调相关检查部门、监督检查项目,由信息科负责具体检查和自查工作,并就自查中发现的问题认真做好相关记录,及时整改,完善。

长期以来,我院在信息化建设过程中,一直非常重视网络与信息安全工作,并采取目前国内较先进的安全管理规范、有效的安全管理措施。自8月22日起,全院开展网络与信息安全工作自查,根据互联网安全和院内局域网安全的相应特点,逐项排查,消除安全隐患,现将我院信息安全工作情况汇报如下。

信息安全工作情况

一、网络安全管理:我院的网络分为互联网和院内局域网,两网络实现物理隔离,以确保两网能够独立、安全、高效运行。重点抓好“三大安全”排查。

1.硬件安全,包括防雷、防火、防盗和UPS电源连接等。医院HIS服务器机房严格按照机房标准建设,工作人员坚持每天巡查,排除安全隐患。HIS服务器、多口交换机、路由器都有UPS电源保护,

可以保证短时间断电情况下,设备运行正常,不至于因突然断电致设备损坏。此外,局域网内所有计算机USB接口施行完全封闭,这样就有效地避免了因外接介质(如U盘、移动硬盘)而引起中毒或泄密的发生。

2.网络安全:包括网络结构、密码管理、IP管理、互联网行为管理等;网络结构包括网络结构合理,网络连接的稳定性,网络设备(交换机、路由器、光纤收发器等)的稳定性。HIS系统的操作员,每人有自己的登录名和密码,并分配相应的操作员权限,不得使用其他人的操作账户,账户施行“谁使用、谁管理、谁负责” 的管理制度。互联网和院内局域网均施行固定IP地址,由医院统一分配、管理,不允许私自添加新IP,未经分配的IP均无法实现上网。为保障医院互联网能够满足正常的办公需要,通过路由器对于P2P等应用软件进行了屏蔽,有效地阻止了有人利用办公电脑在上班期间在线看视频、玩游戏等,极大地提高了互联网的办公利用率。

二、数据库安全管理:我院目前运行的数据库为 XX HIS数据库,是医院诊疗、划价、收费、查询、统计等各项业务能够正常进行的基础,为确保医院各项业务正常、高效运行,数据库安全管理是极为有必要的。数据库系统的安全特性主要是针对数据的技术防护而言的,包括数据安全性、并发控制、故障恢复、数据库容灾备份等几个方面。我院对数据安全性采取以下措施:(1)将数据库中需要保护的部分与其他部分相隔。(2)采用授权规则,如账户、口令和权限控制等访问控制方法。(3)对数据进行加密后存储于数据库;如果数据库

应用要实现多用户共享数据,就可能在同一时刻多个用户要存取数据,这种事件叫做并发事件。当一个用户取出数据进行修改,在修改存入数据库之前如有其它用户再取此数据,那么读出的数据就是不正确的。这时就需要对这种并发操作施行控制,排除和避免这种错误的发生,保证数据的正确性;数据库管理系统提供一套方法,可及时发现故障和修复故障,从而防止数据被破坏。数据库系统能尽快恢复数据库系统运行时出现的故障,可能是物理上或是逻辑上的错误。比如对系统的误操作造成的数据错误等;数据库容灾备份是数据库安全管理中极为重要的一部分,是数据库有效、安全运行的最后保障,也是保障数据库信息能够长期保存的有效措施。我院采用的备份类型为完全备份,每天凌晨备份整个数据库,包含用户表、系统表、索引、视图和存储过程等所有数据库对象。在备份数据的过程中,主、从服务器正常运行,各客户端的业务能正常进行,也即是热备份。

三、软件管理:目前我院在运行的软件主要分为三类:HIS系统、常用办公软件和杀毒软件。HIS系统是我院日常业务中最主要的软件,是保障医院诊疗活动正常进行的基础,自XXXX年上线以来,运行很稳定,未出现过重大安全问题,并根据业务需要,不断更新充实。对于新入职的员工,上岗前会进行一次培训,向其讲解HIS系统操作流程、规范,也包括安全知识,确保其在使用过程中不会出现重大安全问题。常用办公软件均由医院信息科统一安装,维护。杀毒软件是保障电脑系统防病毒、防木马、防篡改、防瘫痪、防攻击、防泄密的有效工具。所有电脑,均安装了正版杀毒软件(江民杀毒软件、

瑞星杀毒软件和360安全卫士),并定期更新病毒库,以保证杀毒软件的防御能力始终保持在很高的水平。

四、网站安全管理:在信息化高度发达的今天,网络宣传的作用日益突出,网站安全管理工作也不容忽视。我院的网站后台服务器施行托管管理,由省卫生厅信息中心统一管理,确保了网站后台服务的稳定性和安全性。我院设专门网站管理员,负责日常更新、维护,严格执行《网站管理规定》,网站自开放以来,从未发生过重大安全问题,并一直运行良好。

五、应急处置:我院HIS系统服务器运行安全、稳定,并配备了大型UPS电源,可以保证大面积断电情况下,服务器坚持运行半小时。虽然医院的HIS系统长期以来,运行良好,服务器未发生过长时间宕机时间,但医院仍然制定了应急处置预案,并对收费操作员和护士进行过培训,如果医院出现大面积、长时间停电情况,HIS系统无法正常运行,将临时开始手工收费、记账、发药,以确保诊疗活动能够正常、有序地进行,待到HIS系统恢复正常工作时,再补打发票、补记收费项目。

总体来说,我院的网络与信息安全工作做得很成功的,从未发生过重大的安全事故,各系统运转稳定,各项业务能够正常运行。但自查中也发现了不足之处,如目前医院信息技术人员少,信息安全力量有限;信息安全意识还够,个别科室缺乏维护信息安全的主动性和自觉性;个别科室的计算机设备配置偏低,服务期限偏长。今后要加强信息技术人员的培养,更进一步提高信息安全技术水平;加强全院职

工的信息安全教育,提高维护信息安全的主动性和自觉性;加大对医院信息化建设投入,提升计算机设备配置,进一步提高工作效率和系统运行的安全性。

经过了为期一周的自查工作,我院充分意识到安全工作是一个需要常抓不懈的工程,同时要不断创新,改变旧有的管理方法和理念,以适应新形势下的安全管理需要。

二 : 网络安全工作检查总结报告

网络安全工作检查总结报告

(www.61k.com)

按照《教育厅关于开展网络安全检查工作的通知》要求,我院高度重视,立即对网络安全工作进行了全面检查,现将自查情况报告如下:

一、网络安全情况

学院网络建设运行以来,一直对安全工作十分重视,成立了专门的网络安全领导小组,积极完善各项安全制度,严格落实有关网络安全的各项管理规定,采取了多种措施防范网络安全事件的发生,从总体上看,我院网络安全工作做得扎实有效,近年来未发生安全事故,保障了网络安全、稳定、高效运行,为学院各项工作的开展奠定字坚实基础。

1.组织管理

我院高度重视网络安全工作,成立了由主要领导任组长,分管领导任副组长,各处室、各系院负责人为组员的网络安全领导小组,领导小组下设办公室,办公室设在教务处。召开了由分管领导、网络安全职能部门和重点部门负责人参加的会议,对上级文件进行了认真学习,对自查工作做了周密部署,确定了自查任务和人员分工,真正做到了领导到位、机构到位、人员到位、责任到位。为确保网络安全工作顺利开展,学院要求全体教职工充分认识网络安全工作的重要性,认真学习网络安全知识,都能按照网络安全的各种规定,正确使用计算机网络和各类信息系统。

2.日常管理

针对网络安全工作的特点,结合我院实际,重新修订了《校园网管理办法》、《网络中心管理规定》、《网络中心机房管理规定》等一系列网络安全制度和规定。网站信息发布由专人负责,并进行登记;杀毒软件和防火墙均为国内产品;网站上传前均在本地进行病毒检测;禁止携带移动存储介质进入网络机房;服务器等设备均按规定拆卸硬盘后再进行维护或报废处理;网络安全相关工作人员离职后对网络设备和信息系统密码均进行相应修改。

3.防护管理

学院网络架构合理,网络设备、服务器等均运转正常。学院购买了硬件防火墙及上网审计设备,从网络入口和出口进行安全防护;服务器安装了防病毒和防火墙软件,增强了防篡改、防病毒、防攻击、防瘫痪的有效性;所有网络设备、服务器、信息系统等按规定设置高强度密码并定期进行更换;开展经常性安全检查,主要对SQL注入攻击、跨站脚本攻击、弱口令、木马病毒检测、端口开放情况、系统管理权限开放情况、访问权限开放情况、网页篡改情况等进行监控,认真检查保管系统安全日志;对重要服务器上的应用、服务、端口和链接都进行了安全检查并加固处理。

4.应急管理

进一步完善了网络安全应急预案,明确了应急处理流程,落实了应急技术支持队伍;对重要文件、数据进行定期自动备份。

5.教育培训

针对我院网络安全管理人员实际情况,以提高网络安全专业知识和增强实际操作能力为目的,制定了详细的培训计划,确保取得实效。

6.安全检查

对系统和软件等及时更新补丁;对防病毒软件和防火墙升级病毒代码特征库;定期对网站进行后门查杀、漏洞扫描、检测和修复。

二、2014年网络安全工作情况

成立了学院网络安全工作领导小组,全面负责学院网络安全工作;修订完善了《网络安全管理规定》等一系列制度;新增3名网络工作人员,充实了技术队伍;与**电信公司签订协议,将于近期安装新的防火墙设备;在服务器上安装了微点主动防御软件;架设了新的备份服务器;开展了网络安全应急处理培训;举办了一次信息安全教育讲座。

三、检查发现的主要问题及整改情况

通过这次自查,我们也发现了当前存在的一些问题:

1.很多教职工网络安全意识不强,日常运维缺乏主动性和自觉性。

2.专业技术人员较少,网络安全知识、技术、经验欠缺。

3.网络安全经费投入不足,软、硬件设备需要进行改善。

4.规章制度尚不完善,未能涉及到网络安全的所有方面。

针对自查过程中发现的问题,结合我院实际情况,将在以下几个方面进行整改:

1.进一步加强对教职工和网络工作人员的安全意识教育,提高做好安全工作的主动性和自觉性,增强对网络安全的防范意识。

2.多参加相关部门和专业机构举办的网络安全技术培训,增强安全防范意识和应对能力,提高工作人员的水平和能力,提高网络安全管理水平。

3.创新工作机制,完善网络安全制度,同时安排专人,密切监测,及时发现网络安全隐患。

4.加大投入,继续完善网络安全设施,从边界防护、访问控制、入侵检测、行为审计、病毒防护等方面建立起全方位的安全体系。

四、对网络安全工作的意见和建议

1.经常组织召开专家讲座和座谈会等形式多样的经验交流活动。

2.经常组织网络安全方面的专门培训,增强安全防范意识,提高网络管理人员的专业水平。

三 : 小学网络与信息安全自查工作总结报告12

小学网络与信息安全自查工作总结报告 为了加强我校教育信息网络安全管理,保护信息系统的安全,促进我校信息技术的应用和发展,保障教育教学和管理工作的顺利进行,并配合省公安厅、省教育厅(豫公通[2004]220号文件精神,对我校计算机信息系统开展以“反黑客、反破坏、扫黄打非、清理垃圾邮件”为主要内容的安全大检查,净化校园网络环境,不断提高学校计算机信息系统安全防范能力,从而为学生提供健康,安全的上网环境。

一、领导重视,责任分明,加强领导

为了认真做好迎检准备工作,进一步提高教育网络信息安全工作水平,促进教育信息化健康发展,我校建立了专门的网络信息安全管理组织,成立了由分管领导、网络管理员组成的计算机网络信息安全管理领导小组。负责制定学校计算机信息系统安全管理的办法和规定,协调处理全校有关计算机信息系统安全的重大问题;负责学校计算机信息系统的建设、管理、应用等工作;负责信息系统安全的监督、事故的调查和处罚。学校网络管理人员要在学校计算机安全管理领导小组的领导下,负责校园网的安全保护工作和设备的维护工作,必须模范遵守安全管理制度,积极采取必要的防范技术措施,预防网络安全事故的发生。

二、完善制度,加强管理

为了更好的安全管理网络,我校建立了健全的安全管理制度:

(一)计算机机房安全管理制度

1、 重视安全工作的思想教育,防患于未然。

2、 遵守“教学仪器设备和实验室管理办法”,做好安全保卫工作。

3、 凡进入机房的人员除须遵守校规校纪外,还必须遵守机房的各项管理规定,爱护机房内的所有财产,爱护仪器设备,未经管理人员许可不得随意使用,更不得损坏,如发现人为损坏将视情节按有关规定严肃处理。

4、 机房内禁止吸烟,严禁明火。

5、 工作人员必须熟悉实验室用电线路、仪器设备性能及安全工作的有关规定。

6、 实验室使用的用电线路必须符合安全要求,定期检查、检修。

7、 杜绝黄色、迷信、反动软件,严禁登录黄色、迷信、反动网站,做好计算机病毒的防范工作。

8、 工作人员须随时监测机器和网络状况,确保计算机和网络安全运转。

9、 机房开放结束时,工作人员必须要关妥门窗,认真检查并切断每一台微机的电源和所有电器的电源,然后切断电源总开关。

(二)操作人员权限等级分配制度

1、 校领导统一确定操作人员职能权限。

2、 电教组成员负责管理、维修学校所有计算机,出现重大事故应及时报上级领导。

3、 教师用户帐号、密码由网络管理员发放,并统一管理。

4、 学校计算机管理人员需定期维护计算机软件和数据,重要信息定期进行检查和备份。

5、 网络管理员负责校园用户计算机系统能够正常上网,为用户提供日常网络维护服务和日常数据备份。

(三)账号安全保密制度

1、 网络用户的账号、密码不得外传、外借。

2、 非法用户使用合法用户的账号进入校园网的,追究该帐号拥有者的安全责任。

(四)计算机病毒防治制度

1、学校购买使用公安部颁布批准的电脑杀毒产品。

2、未经许可证,任何人不得携入软件使用,防止病毒传染。

3、凡需引入使用的软件,均须首先防止病毒传染。

4、电脑出现病毒,操作人员不能杀除的,须及时报电脑主管处理。

5、在各种杀毒办法无效后,须重新对电脑格式化,装入正规渠道获得的无毒系统软件。

6、建立双备份制度,对重要资料除在电脑贮存外,还应拷贝到软盘上,以防遭病毒破坏而遗失。

7、及时关注电脑界病毒防治情况和提示,根据要求调节电脑参数,避免电脑病毒侵袭。

(五)安全教育培训制度

1、学校组织教师认真学习《计算机信息网络国际互联网安全保护管理办法》,提高教师的维护网络安全的警惕性和自觉性。

2、学校负责对本校教师进行安全教育和培训,使教师自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,使他们具备基本的网络安全知识。

3、校管理中心对信息源接入的骨干人员进行安全教育和培训,使之自觉遵守和维护《计算机信息网络国际互联安全保护管理办法》,杜绝发布违犯《计算机信息网络国际互联网安全保护管理办法》的信息内容。

(六)、事故和案件及时报告制度

1、任何单位和个人不得利用互联网制作、复制、查阅和传播下列信息: 煽动抗拒、破坏宪法和法律、行政法规实施。

煽动颠覆国家政权,推翻社会主义制度。

煽动分裂国家、破坏国家统一。

煽动民族仇恨、民族歧视、破坏民族团结。

捏造或者歪曲事实、散布谣言,扰乱社会秩序。

宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪。

公然侮辱他人或者捏造事实诽谤他人。

损害国家机关信誉。

其他违反宪法和法律、行政法规。

如发现有上述行为,保留有关原始记录,并填写好《安全日志》,在12小时之内向上级报告。

2、接受并配合区电教中心和公安机关的安全监督、检查和指导,如实向公安机关提供有关安全保护的信息、资料及数据文件,协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为。

3、发现有关计算机病毒、危害国家安全、违反国家有关法律、法规等计算机安全案情的,应在12小时以内向上级报告。

4、计算机机房设管理员一名,其职责是每天不定期浏览主页或自己页面,负责领导还应经常巡视操作者,如发现有违反上述规定者应立即制止并报告校园网安全领导小组。

(七)、面对大面积病毒应急处理方案

1、制定计算机病毒防治管理制度和技术规程,并检查执行情况;

2、培训计算机病毒防治管理人员;

3、采取计算机病毒安全技术防治措施;

4、对网站计算机信息系统应用和使用人员进行计算机病毒防治教育和培训;

5、及时检测、清除计算机系统中的计算机病毒,并做好检测、清除的记录;

6、购置和使用具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品;

7、向公安机关报告发现的计算机病毒,并协助公安机关追查计算机病毒的来源;

8、对因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故及时向公安机关报告,并保护现场。

除以上健全的安全管理制度外,我校也认真落实相关安全技术措施,安全基础措施良好拥有完善的安全保护措施,设有学校重要部位值班制度,做到昼夜值班,任何人不得擅自进入微机房。

四 : 总结|2015年国内信息安全态势大盘点

点击上方“中国信息安全”可以订阅哦

我国网络信息安全形势面临的基本形势

信息安全保护 总结|2015年国内信息安全态势大盘点
2015年,我国网络和信息安全态势总体向好,依法治网逐步推行,发展与安全双轮同驱,稳步推进网络强国目标的实现。然而,现有网络空间治理规则难以反映大多数国家意愿和利益;世界范围内侵害个人隐私、侵犯知识产权、网络犯罪等时有发生,网络监听、网络攻击、网络恐怖主义活动等成为全球公害。国内数据失泄密事件频发,重要的泄露事件主要有:机锋论坛2300万用户用户数据泄露、5000万社保信息泄露、人寿10万保单信息泄露、海康威视监控设备被境外控制、大麦网600万用户信息泄露等。我国在信息安全领域仍面临外部与内部,新风险与老问题,软实力与硬实力等多方叠加的新挑战。国际电信联盟今年4月发布报告,美国在网络安全得分比中国高一倍;一份权威调查提到,全世界网络攻击今年增长百分之十几,而中国遭受的网络攻击增长了571%。

美国逐步强化网络空间威慑能力、优化网络攻防技术水平、热炒中国黑客攻击及商业窃密、指责和歪曲解读我国相关法律和政策;与此同时在网络安全合作上今年有所突破。2月,国家情报总监发表年度世界威胁评估报告,强调俄中是美“首要网络威胁”。8月,美媒体炒作制裁中国公司与个人。9月,习主席访美期间,多次提及网络空间合作共赢,并达成与美达成打击网络犯罪、外资安全审查等共识,10月,与英国就打击网络犯罪签署一项高级别安全对话协议,12月,达成《中美打击网络犯罪及相关事项指导原则》。但美国将中美战略力量对比所带来的安全焦虑症,聚焦释放到网络信息安全领域,对我国在网络空间治理方面的主张与举措存有高度的戒备和抵制心理。美国国会明确要求参谋长联席会议在2016年建设完善以俄罗斯、中国、伊朗、朝鲜为假想敌的网络战兵棋推演能力,以“做好回应上述国家在2020-2025年可能具有的网络战能力威胁的准备”。

中国有6.7亿网民,比欧盟人口总数还多。413万多家网站,在全球国家顶级域名中排名第二。中国要参与全球互联网治理,要体现中国的话语权。中国作为互联网大国,也有这种责任。但目前西方国家在信息内容产量方面处于绝对优势地位,并通过网络新空间和移动新媒介直接和间接地推送其意识形态内容,如妄议我国有关网络信息安全方面的法律法规、歪曲事实,丑化我们党和国家的形象,篡改历史事件,抹黑历史英雄人物,试图煽动民情,挑起群体性事件。我国网络空间通过多次专项整治行动清朗不少,网络正能量逐渐成为主流。我国除需要更加完善的技术监管和内容审核机制外,还要加强网上思想文化阵地建设,实施网络内容专项工程,增加网络空间的“正能量”和“中国声音”,让“中国主张”在网络空间响亮起来。

促进大数据发展行动纲要的发布和“互联网+”行动计划的实施,党政机关、金融、电信、工控等敏感领域的关键基础设施都在加强信息化的建设,但是核心设备漏洞频出、安全修补措施滞后、“带病”运行情况普遍等老问题未完全解决的情况下,大联网使失泄密增加流通途径,大数据使隐患风险规模陡增,直接威胁国家安全。现有信息安全保障能力并不能解决以大数据为核心、以物联网移动互联网为信息采集途径、以云为存储和计算方法的新技术新应用组成的新一代互联网体系问题。与此同时,尽管自主创新能力和产品不断提升,但核心要害部位技术产品仍过度依赖国外的情况并没有根本改变,国外产品预设后门愈加明目张胆,收集用户数据变本加厉,自主可控的安全保障体系建设需要新机制新举措。

2015年我国信息安全会议超过100多场,参与会议人员数万人次,网络攻防技术成为热门主题,全国举办近30场信息安全各种形式竞赛比赛,参赛人数约6000人次。2015年新增公开产品漏洞7000多个,与2014年相比,新增数量略有下降,但总体增长趋势依旧持续,高危漏洞移动终端化趋势明显。涉及政府门户、银行、证券、能源、社保、教育、互联网企业等重要领域的系统漏洞数量高达数十万,一些影响面广的漏洞信息被不负责任公司和黑客随意发布,导致敏感资源泄露,引起社会的不信任和恐慌情绪。

我们看到,无论是从基础设施、技术、产业,还是网络安全和网络话语权,中国与发达国家之间相比还有很大差距,我们还需付出极大努力,奋起直追。面对我国已出台的《国家安全法》、《反恐怖主义法》和即将出台的《网络安全法》和网络安全审查制度,一方面国外政府、企业、媒体或歪曲指责,或抗议我国利用网络安全保护本土企业,质疑我设“贸易壁垒”,另一方面通过与国内产业合作、并购和转让途径,规避和突破我国政策监管。与此同时,我国信息安全企业开发的产品和服务趋于政策标准“合规性”类型,对其产品和服务的“有效性”“对抗性”心中无数,我国信息安全产业普遍存在规模不大,自主创新能力不足,产业规模受到互联网行业融并、挤压的状况。

基础信息网络和重要信息系统安全形势

信息安全保护 总结|2015年国内信息安全态势大盘点
2015年,国家的网络安全基础工作得到了深化,关键基础设施风险评估和安全保障、新兴信息技术安全预警工作取得了突破性的进展。国家信息通报机制得到进一步完善,积极开展了专题研究和技术检测工作。基础信息网络和重要信息系统网络安全投入大幅增加,政策环境得到明显改善;风险评估与等级保护工作全面推进,测评认证工作取得较大进展,涉密信息系统分级保护快速发展,法律法规体系和标准化体系不断完善,网络安全基础保障工作得到显著加强;产业规模快速增长,企业实力进一步壮大,自主产品市场份额逐步增多,网络安全产业支撑能力得到大幅提升;安全操作系统、安全芯片等基础技术取得一定进展,自主密码技术取得较大突破,安全认证技术、可信计算技术取得丰硕成果,网络安全技术体系得到不断完善。

同时,我国电力、交通、金融、能源、通信等行业信息化程度不断加深,各行业密切跟踪国际信息化和信息安全发展动态,紧密围绕国家信息化和信息安全发展战略,实施了一系列安全措施和举措,逐步提升了信息安全防护水平。 2015年4月国家能源局发布了《电力企业网络与信息安全专项监管报告》。报告显示,电力企业网络与信息安全形势保持了持续稳定态势,保证了电力行业重要信息基础设施安全、稳定、高效运行。随着信息技术的广泛应用和电子商务的快速发展,金融服务模式正由传统的柜台服务模式向网上银行、第三方支付、P2P小额贷款、企业网络融资等新型服务模式扩展。我国金融业信息化正经历向信息化金融的转变。石油石化行业的信息化经过多年的持续建设,已经行成覆盖其上中下游全部企业、一体化的网络系统以及配套的信息化基础设施平台,信息系统已经成为其生产运营和经营管理的“中枢神经系统”。

工业和信息化部发布了《关于开展电信行业网络安全试点示范工作的通知》,立足电信行业网络安全防护的实际需求,推动基础电信企业开展管理和技术手段创新应用,引导基础电信企业加大网络安全技术投入,落实安全防护责任,充分发挥技术手段在保障网络基础设施安全方面的作用,切实增强电信行业防范和应对网络安全威胁的能力。与此同时,我们看到,国家基础信息网络与重要信息系统的脆弱性依然突出,关键数据的安全和业务的连续性面临极大的挑战。存在的主要问题有:互联网边界易被突破,业务安全隐患突出;敏感数据防护不严,失窃密事件频发;安全产业发展滞后,难以应对复杂的安全威胁;核心要害部位过度依赖国外,自主可控性差;安全保障工作反应迟缓,防护体系存在疏漏;个人终端接入普遍,移动安全不容忽视。

电子政务网络信息安全形势


信息安全保护 总结|2015年国内信息安全态势大盘点
2015年,我国电子政务建设不断深入和拓展,教育、医疗卫生、就业、社会保障等民生方面的政务应用系统不断成熟,提高了政府服务社会的能力,获得了社会的广泛认可,加强和提升了社会管理能力和水平;据统计,目前我国有6.7亿网民,413万多家网站(其中政府门户网站超过5万多家),在全球国家顶级域名中排名第二;网络规模已经位居世界第一,宽带规模也仅次于美国,位居全球第二,固话、手机用户达到10亿,城市家庭的电脑普及率达到60%以上,全国的IP地址达到2.16亿。

电子政务依赖的技术手段不断完善,云计算、物联网、下一代互联网、智慧城市、大数据等新技术不断应用到电子政务的发展中,改善了电子政务发展的技术环境,但在国家电子政务飞速实践发展的同时,其面临的信息安全形势日益严峻,与2014年相比,网站遭受篡改、网站挂马攻击、网站后门攻击、互联网病毒木马传播、拒绝服务攻击等事件继续频繁发生,在2015年,各政府服务部门的数据安全威胁又不断增大,且发生了多起大规模数据泄露事件。这些安全隐患严重威胁着国家和社会稳定以及公民隐私、人民生命财产安全。

我国政府把云计算列为重点发展的战略性新兴产业,并确定了北京、上海、杭州、深圳和无锡五个试点城市,先行开展云计算服务创新发展试点示范工作,北京、上海、成都、武汉、深圳等多个地方都发布了地方云计算战略规划。国家电子政务信息安全风险评估工作持续有效开展,风险评估、等级保护和分级保护、标准制定等相关政策推进实施。各级政府以及信息化建设主管部门日益重视信息安全保障工作,中央各部委一方面逐渐增大信息安全基础设施投入,完善信息安全管理制度,建立健全应急保障机制和国家通报机制,逐步推进灾备中心建设。

在电子政务建设方面,我们还存在一些网络安全问题:一是我国的电子政务信息系统主要由政务内网和政务外网组成,还存在大量的政务专网。这些不同的信息系统在建设初期并未统一协调规划,由于某种原因各级政府部门出现“重内(专)网,轻外网”的现象,从而导致电子政务系统整体存在安全隐患。各部门、各级、各地域电子政务系统发展不均衡,短板现象明显。二是各种方式的黑客入侵和攻击事件层出不穷。据监测,2015年,我国政府网站被入侵次数为21674次,较2014年增长36.7%。从以上数据来看,我国政府网站面临的安全形势非常严峻,其面临的主要风险有页面被篡改、业务被攻击、数据被窃取、内网被侵入,同时还呈现出新的特点,攻击者攻击手段日益隐蔽,攻击者逐渐从网络层攻击转向应用层渗透和攻击,攻击者动机从个人爱好或是扬名到追求经济获利,同时,电子政务系统自身还很脆弱,存在网站管理机制不健全、网站人员技术水平有限、网站运维人员安全意识薄弱等一系列问题。

工业控制系统信息安全形势


信息安全保护 总结|2015年国内信息安全态势大盘点
2015年,工业控制系统信息安全总体形势并不乐观。工业控制系统面临的安全威胁持续增长,工控安全漏洞仍处高发状态,针对工控网络的APT攻击明显增加,已对工业生产运行造成“实质性”影响。工业领域虽已关注工控系统的信息安全问题,但受限于工业环境特殊性、安全防护技术成熟度、基层人员安全意识等多种因素的限制,目前我国工业控制系统的信息安全防护水平较为薄弱,相对前几年状况并未好转。随着“互联网+”、物联网、智能制造、智慧城市、车联网等各种创新应用不断发展和深入,工业控制系统未来面临网络攻击风险将进一步加大。

自2010年震网病毒以后,工控信息安全事件数量居高不下,针对工控系统的APT攻击逐渐增多。工控核心硬件漏洞数量增长明显。漏洞已覆盖工控系统主要组件,主流工控厂商无一幸免。继2014年全年发生多起重大工控APT攻击事件之后,2015年更是在工业控制系统核心设备中发现了木马和预置后门,工控APT攻击已成为现实威胁。继德国西门子提出工业4.0、美国提出工业互联网之后,2015年5月8日,国务院正式发布《中国制造2025》规划,提出了中国制造强国建设三个十年的“三步走”战略。规划要求推进信息化与工业深度融合,加快推动新一代信息技术与制造技术的融合发展,把智能制造作为两化深度融合的主攻方向。

尽管工控信息安全问题已得到世界各国普遍重视,但在工业生产环境中如何落实信息安全管理和技术却没有切实可行的方法,工控信息安全防护面临着“无章可循”,工控信息安全标准已迫在眉睫。当前,无论是国外还是国内,工控信息安全标准的需求非常强烈,标准制定工作也如火如荼在开展,但目前成果还极为有限。从总体上看,我国工业控制系统信息安全标准化工作正积极稳步推进,拟逐步形成涵盖安全管理、系统安全防护、产品安全评估等全面的工控信息安全标准体系,但工控系统的特殊性导致目前工控安全技术和管理仍处探索阶段,目前绝大多数标准正处于草案或征求意见阶段。工控安全防护技术开始试点,但离大规模部署和应用有一定差距。当前许多信息安全厂商和工控自动化厂商纷纷研究工业控制系统的信息安全防护技术并开发相应产品,近几年出现了一系列诸如工控防火墙、工控异常监测系统、主机防护软件等产品并在部分企业进行试点应用。

云计算技术发展安全形势

信息安全保护 总结|2015年国内信息安全态势大盘点
云计算作为IT产业发展的重要战略,得到了国家的高度重视,工信部和发改委、财政部、科技部等部门联手协同以促发展。2015年国务院发布了《关于促进云计算创新发展培育信息产业新业态的意见》,这对进一步加强推动云计算在我国的健康发展具有指导意义。意见提出的主要任务有:增强云计算服务能力;提升云计算自主创新能力;探索电子政务云计算发展新模式;加强大数据开发与利用;统筹布局云计算基础设施和提升安全保障能力。同时出台了为促进云计算产业发展明确的一系列保障措施。在政务云应用方面,近两年来我国取得了重要突破。北京、上海、成都、济南、深圳、襄阳等城市已开启政务云应用时代。随着作为政府部门云计算服务安全审查主要依据的两个国家标准,以及中央网信办《关于加强党政部门云计算服务网络安全管理的意见》的发布,政府云计算服务安全审查工作正式开启,我国政务云应用逐步走上正轨。

在国家云计算发展过程中,还存在一些安全隐患:一是云安全技术发展水平整体滞后云计算技术的发展。二是云计算相关法律政策和标准尚不成熟。三是我国云产品安全自主可控水平仍待提高。四是政务应用云上部署潜在隐患较多。

互联网安全基本情况

信息安全保护 总结|2015年国内信息安全态势大盘点
2015年是我国信息安全态势整体平稳的一年,全年未发生造成大范围影响的恶性重大信息安全事件。根据CNITSEC监测数据,发现恶意网站305978645个,以假冒伪劣、欺诈及恶意广告为主,占到总数的八成以上,各类恶意网站构成情况与2015年相比没有大幅度改变。网站挂马事件次数共5014次,网站暗链131774248个,同比2014年均有较大幅度上升。此外,发现国内恶意IP数目共809个,整体呈下降趋势,与2014年数据相比明显减少。同时,全国共发现国内钓鱼网站数目共2803271个,木马病毒数目共31525452个。

整体来说,2015年我国信息安全事件围绕用户数据泄露展开。全国各种不同应用类型的数据系统,无论用户群数量大小,无一例外都遭到了不同程度的安全质疑。黑客的肆虐猖獗,让互联网这个虚拟世界找不到任何安全的角落,无论是网络安全工作者还是使用Internet的普通用户,都深深体会到网络安全所带来的切身威胁。各类信息安全事件的出现,使得我国中央到地方各级政府及安全保障相关职能部门对信息安全的技术、管理和政策都有了高度关注,围绕信息安全展开的国家与科研院所、高校、信息安全企业之间的合作,将会是一个长期的过程。

信息安全服务发展基本情况

2015年我国信息安全服务产业可以用三句话概括:一是“互联网+”加速信息安全服务行业发展,结构性调整逐渐启动;二是产业类型进一步细分;三是市场进一步壮大。

2015年,国家出台一系列关于促进信息化和网络安全发展的法律法规,互联网与传统产业加速融合,“互联网+”成为产业发展新常态。传统的大型信息产业集团及互联网企业通过投资、并购等方式进入信息安全服务市场的目标愈发坚定。继中国电子信息产业集团有限公司(CEC)之后,另一家航母级央企中国电子科技集团公司(CETC)也开始全力打造属于自己的信息安全国家队,投资成立了中国电子科技网络信息安全有限公司。今年以来,作为我国互联网传统三强的BAT(百度、阿里、腾讯)先后通过投资和收购杀入信息安全服务市场。3月份,腾讯对网络安全公司知道创宇进行第二轮投资;4月,百度全资收购了安全企业安全宝,安全宝将融入百度云安全体系;6月,腾讯安全与启明星辰宣布展开战略合作,推出面向企业终端的“云子可信”网络防病毒系统。同月,阿里集团宣布收购国内安全公司翰海源,翰海源将整体加入到阿里安全部,借助阿里云计算和集团大数据的资源继续研究安全技术,应对包括APT攻击(高级持续性威胁攻击)在内的下一代安全威胁的挑战,后续将推出面向更多企业的APT云防御、威胁情报体系等产品与服务。亚信安全也利用信息安全国产化的春风,于今年9月成功收购趋势科技在中国的全部业务,包括核心技术及著作权100多项,同时建立独立安全技术公司——亚信安全,将亚信原有的通信安全技术与趋势科技云安全、大数据安全技术相结合,原“趋势科技(中国)”安全及技术服务业务的全部核心研发与技术人员整体并入亚信安全。在资本市场中,并购也多有发生,如立思辰11月2日公布重大资产重组方案,拟作价21.64亿元并购康邦科技、江南信安,顺网科技拟3.71亿并购国瑞信安加码信息安全等。

针对大数据、APT、云计算等等,出现了相应的更加专业化的安全服务类型,业界也提出了“云安全”服务的概念。既有提供解决云计算平台安全的服务企业,也有基于云计算技术提供“一站式”安全解决方案的服务企业。针对APT高级持续性威胁攻击,也有相应专业机构开展专业性的安全服务,以防范这种更为高级和先进APT高级持续性威胁攻击。国家信息安全等级保护政策进一步落实,公共信息系统安全等级测评与备案成为常态。

2015年中国信息安全产业规模将突破670亿元,保持年均30%以上的增长速度,高于全球的信息安全产业20%的增速,占信息产业的比重稳步提高。而我们的信息安全服务企业业务收入也呈现增长趋势,在整个行业中占得比重也越来越重。信息安全企业的数量持续保持增加态势,企业规模在行业整合、并购的环境下,规模越来越大,不少巨头企业跻身于信息安全服务领域。

我们在信息安全服务领域存在的主要问题有:一是互联网应用高速发展,但信息安全服务相对缺乏。二是各行业制定标准不同,导致信息安全服务企业无所适从。三是信息安全服务企业“符合性”服务能力较强,“有效性”相对不足。(本文刊登于《中国信息安全》2016年第1期)



五 : 会计信息质量检查工作报告

  一、领导重视、职责明确   为认真做好这项工作,在接到省财政厅通知后,我局即进行了研究部署,确定由分管财政监督检查工作的***副局长牵头负责,从监督检查科、会计管理科、企财科等相关科室抽调了六名业务骨干,还聘请了县人民银行会计科科长、会计师事务所的两位注册会计师组成两个检查组。为了充分认识到本次检查的重要性,全面提高每位参检人员的思想觉悟和业务水平,6月13日,集中全体参检人员强调了检查纪律,并就具体的检查方法、步骤、具体检查中应注意的问题等进行了辅导培训。

  二、认真检查、不走过场   每位参检人员都以高度的责任心,全身心的投入到本次检查中去,对被检查单位的会计凭证、会计帐簿、财务报表和其它会计资料的真实性、完整性进行了全面的检查,对查出的问题,能以事实为依据,以法律为准绳,严格按照《中华人民共和国会计法》、《国务院关于违反财政法规处罚的暂行规定》,以及财政部《财政检查工作规则》的有关要求实施检查和处理。

 三、检查中发现的主要问题:

1、未按规定填制、取得合法的原始凭证,违法使用白条子(收款凭证、付款凭证)现象依然存在,个别单位贪图省事,应该使用正式发票入帐的也用付款凭证等白条子入帐,从而诱发了偷漏税行为。

 2、票据报销不规范。有些单位的票据报销没有经办人、用途或者单位负责人签字,也有个别的付款凭证没有领款人签收,取得的凭证无付款人名称等。

3、个别单位未按会计制度规定设置会计帐簿,主要是总帐不全,明细不明;帐表不符,报表中的收入总额与明细帐中的收入总额相差16.5万元;经实际现金盘点,该单位白条子抵库9.2万元;同时,XX年度会计报表未委托会计师事务所审计。

4、工会帐簿不规范,没有依法设帐,使用的票据随意性强,管理工会会计帐簿的往往是不懂会计业务、没有会计从业资格的人员。

5、内部会计管理制度不完善。有的单位没有内部会计管理制度;有的单位只是临时拼凑了几条,敷衍检查;有的单位是几年以前规定的制度,许多内容已严重滞后或过时,已根本无法与目前的形势相适应。  对于本次检查中被查处的单位,我们要求必须在规定的期限内,按照通知书的要求,认真整改。同时我局还将进行跟踪检查,如再发现违法情况,将根据《中华人民共和国会计法》等有关财经法规,从严进行处理。

本文标题:信息安全检查总结报告-12医院网络与信息安全自查工作总结报
本文地址: http://www.61k.com/1097155.html

61阅读| 精彩专题| 最新文章| 热门文章| 苏ICP备13036349号-1