稅務(wù)系統(tǒng)信息安全策略

稅務(wù)系統(tǒng)信息安全策略最新文檔(可以直接使用，可編輯最新文檔，歡迎下載）

論文編號(hào)：6G21112101稅務(wù)系統(tǒng)信息安全策略最新文檔(可以直接使用，可編輯最新文檔，歡迎下載）稅務(wù)系統(tǒng)信息安全策略劉宏斌李懷永內(nèi)容題要：隨著稅收信息化程度不斷提高，稅收工作對(duì)信息系統(tǒng)的依賴性不斷增大，稅務(wù)信息安全顯得更加重要。本文主要通過分析稅務(wù)信息化的網(wǎng)絡(luò)安全的重要性和內(nèi)部網(wǎng)網(wǎng)絡(luò)信息存在的安全問題來(lái)提出稅務(wù)信息化的網(wǎng)絡(luò)安全實(shí)施方案。關(guān)鍵詞：稅務(wù)信息化、信息安全、安全策略計(jì)算機(jī)軟硬件技術(shù)的發(fā)展和互聯(lián)網(wǎng)技術(shù)的普及，為電子稅務(wù)的發(fā)展奠定了基礎(chǔ)。尤其是國(guó)家金稅工程的建設(shè)和應(yīng)用，使稅務(wù)部門在遏止騙稅和稅款流失上取得了顯著成效。電子稅務(wù)可以最大限度地確保國(guó)家的稅收收入，但卻面臨著系統(tǒng)安全性的難題。雖然我國(guó)稅務(wù)信息化建設(shè)自開始金稅工程以來(lái)，取得了長(zhǎng)足進(jìn)步，極大提高了稅務(wù)工作效率和質(zhì)量。但稅務(wù)系統(tǒng)本身也暴露出了一系列要改進(jìn)的問題，各種應(yīng)用軟件自成體系、重復(fù)開發(fā)、信息集中程度低。隨著信息化水平的不斷提高，基于信息網(wǎng)絡(luò)及計(jì)算機(jī)的犯罪事件也日益增加。稅務(wù)系統(tǒng)所面臨的信息網(wǎng)絡(luò)安全威脅不容忽視。建立稅務(wù)管理信息化網(wǎng)絡(luò)安全體系，要求人們必須提高對(duì)網(wǎng)絡(luò)安全重要性的認(rèn)識(shí)，增強(qiáng)防范意識(shí)，加強(qiáng)網(wǎng)絡(luò)安全管理，采取先進(jìn)有效的技術(shù)防范措施。本文主要通過分析稅務(wù)信息化的網(wǎng)絡(luò)安全威脅和內(nèi)部網(wǎng)網(wǎng)絡(luò)信息管理的安全策略和技術(shù)來(lái)提出稅務(wù)信息化的網(wǎng)絡(luò)安全實(shí)施方案。一、稅務(wù)機(jī)關(guān)信息安全的重要性稅收是國(guó)家財(cái)政收入的重要途徑，相關(guān)的稅務(wù)系統(tǒng)業(yè)務(wù)要求其具有準(zhǔn)確性、公證性和完整性的特點(diǎn)，隨著稅收信息化程度不斷提高，稅收工作對(duì)信息系統(tǒng)的依賴性不斷增大，稅務(wù)信息安全顯得更加重要。稅務(wù)信息系統(tǒng)已經(jīng)覆蓋到全國(guó)鄉(xiāng)鎮(zhèn)，點(diǎn)多面廣，信息安全防范難度加大，稅務(wù)機(jī)關(guān)信息系統(tǒng)安全基礎(chǔ)條件不足、管理力量薄弱，成為稅務(wù)信息安全的重點(diǎn)和難點(diǎn)。因此保證稅務(wù)信息系統(tǒng)的安全性意義重大。稅務(wù)系統(tǒng)作為電子政務(wù)系統(tǒng)的一部分，屬國(guó)家基礎(chǔ)信息建設(shè)，其基本特點(diǎn)是：網(wǎng)絡(luò)地域廣、信息系統(tǒng)服務(wù)對(duì)象復(fù)雜；稅務(wù)信息具有數(shù)據(jù)集中、安全性要求高；應(yīng)用系統(tǒng)的種類較多，網(wǎng)絡(luò)系統(tǒng)安全設(shè)備數(shù)量大，種類多，管理難度大。稅務(wù)系統(tǒng)是一個(gè)及其龐大復(fù)雜的系統(tǒng)，從業(yè)務(wù)上有國(guó)稅、地稅之分，從地域來(lái)說(shuō)通過總局、省局、市局?jǐn)?shù)據(jù)中心的三層數(shù)據(jù)分布和總局、省局、市局及縣/區(qū)級(jí)、分局/所五層網(wǎng)絡(luò)管理結(jié)構(gòu)。網(wǎng)絡(luò)結(jié)點(diǎn)眾多、網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)出口不計(jì)其數(shù)、操作系統(tǒng)種類繁多、應(yīng)用系統(tǒng)五花八門、網(wǎng)絡(luò)機(jī)構(gòu)極其復(fù)雜。面對(duì)如此復(fù)雜的系統(tǒng)，其內(nèi)部安全隱患隨處可見，經(jīng)過不斷的研究和探索，目前已經(jīng)積累了大量解決稅務(wù)系統(tǒng)信息基礎(chǔ)設(shè)施安全的方法和經(jīng)驗(yàn)，形成一整套稅務(wù)系統(tǒng)的安全保障方法，相關(guān)安全保障的體系也在不斷完善和發(fā)展中。二、稅務(wù)系統(tǒng)內(nèi)部網(wǎng)存在的安全問題稅務(wù)信息化的網(wǎng)絡(luò)為計(jì)算機(jī)內(nèi)部網(wǎng)，內(nèi)部網(wǎng)是獨(dú)立于其他任何網(wǎng)絡(luò)的獨(dú)立網(wǎng)絡(luò),這里所謂的獨(dú)立是指的物理上的獨(dú)立,因此保證保密內(nèi)部網(wǎng)的網(wǎng)絡(luò)與信息安全也具有特有的要求。稅務(wù)內(nèi)網(wǎng)安全的問題主要表現(xiàn)為：1、物理地域廣。內(nèi)網(wǎng)設(shè)備地理位置分散，內(nèi)網(wǎng)用戶水平參差不齊，承載業(yè)務(wù)不同，安全需求各異，從而決定了內(nèi)網(wǎng)安全建設(shè)的復(fù)雜性和多元性；2、網(wǎng)絡(luò)邊界的擴(kuò)大。遠(yuǎn)程撥號(hào)用戶、移動(dòng)辦公用戶、VPN用戶、分支機(jī)構(gòu)、合作伙伴、供應(yīng)商、無(wú)線局域網(wǎng)等等已經(jīng)大大地?cái)U(kuò)展了網(wǎng)絡(luò)的邊界，使得邊界保護(hù)更加困難；稅務(wù)分局、稅務(wù)所等分支機(jī)構(gòu)的局域網(wǎng)與上級(jí)稅務(wù)骨干網(wǎng)的連接，無(wú)論采用ADSL、XDSL寬帶，還是采用DDN、SDH專線，基本沒有路由安全和防止入侵的技術(shù)措施。3、病毒/蠕蟲/特洛伊木馬。病毒蠕蟲大規(guī)模泛濫、新的蠕蟲不斷出現(xiàn)，給內(nèi)網(wǎng)用戶帶來(lái)?yè)p失，以及網(wǎng)絡(luò)出現(xiàn)病毒、蠕蟲攻擊等安全問題后，不能做到及時(shí)地阻斷、隔離；一般是以尋找后門、竊取密碼和重要文件為主，還可以對(duì)電腦進(jìn)行跟蹤監(jiān)視、控制、查看、修改資料等操作，具有很強(qiáng)的隱蔽性、突發(fā)性和攻擊性。由于具有很強(qiáng)的隱蔽性，用戶往往是在自己的密碼被盜、機(jī)密文件丟失的情況下才知道自己中了木馬。部分內(nèi)部網(wǎng)絡(luò)終端缺少有效的安全防護(hù)，業(yè)務(wù)資料和私人信息混存，不設(shè)開機(jī)口令，沒有讀寫控制，業(yè)務(wù)系統(tǒng)登錄口令簡(jiǎn)單且長(zhǎng)期不變，移動(dòng)存儲(chǔ)設(shè)備不按規(guī)定使用，病毒和垃圾信息充斥。4、身份欺騙。內(nèi)網(wǎng)安全防范措施相對(duì)脆弱，不能有效抵御來(lái)自內(nèi)外部的入侵和攻擊的問題，安全策略不能得到及時(shí)地分發(fā)和執(zhí)行，最終導(dǎo)致安全策略形同虛設(shè)；主要方式有：IP欺騙、ARP欺騙、DNS欺騙、Web欺騙、電子郵件欺騙、源路由欺騙（通過指定路由，以假冒身份與其他主機(jī)進(jìn)行合法通信或發(fā)送假報(bào)文，使受攻擊主機(jī)出現(xiàn)錯(cuò)誤動(dòng)作）、地址欺騙（包括偽造源地址和偽造中間站點(diǎn)）等。5、內(nèi)網(wǎng)非法主機(jī)外聯(lián)。非法主機(jī)的接入、內(nèi)部網(wǎng)非法通過Modem、無(wú)線網(wǎng)卡非法外聯(lián)等的安全防范不足從而引入安全風(fēng)險(xiǎn)。有的終端在內(nèi)部網(wǎng)和互聯(lián)網(wǎng)之間來(lái)回?fù)Q用，一些只應(yīng)在內(nèi)部網(wǎng)上運(yùn)行的操作系統(tǒng)、應(yīng)用軟件和業(yè)務(wù)數(shù)據(jù)沒有與互聯(lián)網(wǎng)實(shí)行“隔離”，存在潛在風(fēng)險(xiǎn)。6、缺乏上網(wǎng)行為管理監(jiān)控。缺乏對(duì)內(nèi)網(wǎng)用戶行為（收發(fā)郵件，Web頁(yè)面訪問，文件上傳下載等等）進(jìn)行監(jiān)控的手段，導(dǎo)致組織機(jī)密信息和隱私泄漏。內(nèi)部網(wǎng)上設(shè)備和信息共享范圍廣，信息發(fā)布和公開比較隨意，不少重要或敏感信息只有發(fā)布沒有管理，缺少防止惡意攻擊信息系統(tǒng)和竊取保密信息的技術(shù)手段和措施。內(nèi)外網(wǎng)間的安全解決方案和選購(gòu)的設(shè)備等，不少?zèng)]有經(jīng)過權(quán)威部門的檢測(cè)和認(rèn)定，系統(tǒng)運(yùn)行中缺少嚴(yán)格的跟蹤監(jiān)控，存在安全隱患。7、其他安全威脅緩沖區(qū)溢出。緩沖區(qū)溢出是指當(dāng)計(jì)算機(jī)程序向緩沖區(qū)內(nèi)填充的數(shù)據(jù)位數(shù)超過了緩沖區(qū)本身的容量。溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上，一小部分?jǐn)?shù)據(jù)或者一套指令的溢出就可能導(dǎo)致一個(gè)程序或者操作系統(tǒng)崩潰。三、稅務(wù)信息化的網(wǎng)絡(luò)安全實(shí)施方案1、做好信息安全風(fēng)險(xiǎn)評(píng)估為確保稅務(wù)信息資產(chǎn)的安全，應(yīng)定期組織業(yè)務(wù)、技術(shù)和管理等專業(yè)人員進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，制定科學(xué)的安全預(yù)算。信息安全評(píng)估應(yīng)著重于以下問題：（1）確定可能對(duì)信息資產(chǎn)造成危害的威脅，包括計(jì)算機(jī)病毒、黑客和自然災(zāi)害等。（2）通過歷史資料和專家的經(jīng)驗(yàn)確定威脅實(shí)施的可能性。（3）對(duì)可能受到威脅影響的信息資產(chǎn)確定其價(jià)值、敏感性和嚴(yán)重性，以及相應(yīng)的級(jí)別，確定所有信息資產(chǎn)的重要程度。（4）對(duì)最重要的、最敏感的信息資產(chǎn)，確定一旦威脅發(fā)生其潛在的損失或破壞。（5)準(zhǔn)確了解網(wǎng)絡(luò)和系統(tǒng)的安全現(xiàn)狀。（6)明晰網(wǎng)絡(luò)和系統(tǒng)的安全需求。（7）確定網(wǎng)絡(luò)和系統(tǒng)的安全策略。（8）制定網(wǎng)絡(luò)和系統(tǒng)的安全解決方案。（9）向上級(jí)提交安全保障體系建設(shè)的意見和建議。（10)通過項(xiàng)目實(shí)施和培訓(xùn)，培養(yǎng)自己的安全技術(shù)骨干及隊(duì)伍。2、加強(qiáng)信息安全管理信息安全“三分技術(shù)，七分管理”，安全管理是信息安全的核心，建立健全安全管理制度是安全管理的關(guān)鍵。規(guī)范化的安全管理，能夠最大限度地遏制或避免各種危害，是保障計(jì)算機(jī)信息安全的最重要環(huán)節(jié)。（1）建立健全信息安全管理組織，明確領(lǐng)導(dǎo)體制和工作機(jī)制。（2）建立健全信息安全管理制度,落實(shí)安全防范責(zé)任制。（3）廣泛開展計(jì)算機(jī)信息安全宣傳，提高全員信息安全意識(shí)，建立信息安全培訓(xùn)機(jī)制，組織開展多層次、多方位的信息安全培訓(xùn)，提高全員信息安全防范技能。（4）開展經(jīng)常性的安全檢查，切實(shí)整改安全隱患，不斷改進(jìn)信息安全管理工作。（5）科學(xué)評(píng)定信息系統(tǒng)及信息資產(chǎn)的重要級(jí)別，確定信息安全工作重點(diǎn)，制定近、中、遠(yuǎn)期信息安全工作規(guī)劃。3、完善信息安全技術(shù)手段信息安全離不開安全技術(shù)的實(shí)施和安全技術(shù)防范體系的建立?；鶎訂挝灰詤f(xié)助和配合總局、省局統(tǒng)一的信息安全體系建設(shè)為主，自主建設(shè)為輔，且以內(nèi)網(wǎng)和內(nèi)部的防范為重點(diǎn)。（1）病毒防范：建立嚴(yán)密的、全方位的、統(tǒng)一的網(wǎng)絡(luò)病毒防范系統(tǒng)，實(shí)行統(tǒng)一的殺毒組件分發(fā)、維護(hù)、更新和報(bào)警等，重點(diǎn)防控網(wǎng)絡(luò)終端、移動(dòng)存儲(chǔ)設(shè)備的病毒入侵和傳染。（2）身份鑒別與訪問控制：嚴(yán)格設(shè)定所有應(yīng)用系統(tǒng)用戶的崗位和權(quán)限，改變傳統(tǒng)的用戶名加口令的辦法，使用基于密碼技術(shù)、生物統(tǒng)計(jì)技術(shù)等新型的、可靠的電子身份鑒別技術(shù)，把好進(jìn)入系統(tǒng)的第一道關(guān)卡，防止非授權(quán)用戶進(jìn)入各級(jí)信息系統(tǒng)。（3）安全審計(jì)：對(duì)網(wǎng)絡(luò)的Web瀏覽、Web發(fā)布、郵件、即時(shí)通信、FTP和遠(yuǎn)程登錄等行為進(jìn)行全面審計(jì)，對(duì)重要數(shù)據(jù)庫(kù)的訪問對(duì)象、訪問時(shí)間、訪問類型和訪問內(nèi)容進(jìn)行嚴(yán)密跟蹤，及時(shí)掌握整個(gè)網(wǎng)絡(luò)動(dòng)態(tài)，發(fā)現(xiàn)網(wǎng)絡(luò)入侵和違規(guī)行為，記錄網(wǎng)上一切行為，為安全事件的處置和查證提供全面依據(jù)和確鑿證據(jù)。（4）入侵檢測(cè)：對(duì)內(nèi)部網(wǎng)中主要的網(wǎng)段進(jìn)行實(shí)時(shí)入侵監(jiān)測(cè)，動(dòng)態(tài)地監(jiān)測(cè)網(wǎng)絡(luò)內(nèi)部活動(dòng)并做出及時(shí)的響應(yīng)，及時(shí)發(fā)現(xiàn)網(wǎng)上攻擊行為并作出得當(dāng)?shù)奶幹?。?）信息加密：對(duì)重要信息資料、數(shù)據(jù)進(jìn)行加密存儲(chǔ)和傳輸，防止重要信息被篡改、偽造、竊取和泄漏。稅務(wù)機(jī)關(guān)要立足實(shí)際，切實(shí)解決好人員、資金、技術(shù)問題，把信息安全管理工作放在應(yīng)有位置，逐步實(shí)現(xiàn)信息安全的規(guī)范化、制度化管理，不斷建立和完善信息安全技術(shù)防范體系，為稅收征管信息化提供有力的安全保障。結(jié)束語(yǔ)解決信息系統(tǒng)的安全不是一個(gè)獨(dú)立的項(xiàng)目問題，安全策略包括各種安全方案、法律法規(guī)、規(guī)章制度、技術(shù)標(biāo)準(zhǔn)、管理規(guī)范等，是整個(gè)信息系統(tǒng)安全建設(shè)的依據(jù)。現(xiàn)有的安全保障體系一般基于深度防御技術(shù)框架，若能進(jìn)一步利用現(xiàn)代信息處理技術(shù)中的人工智能技術(shù)、嵌入式技術(shù)、主動(dòng)技術(shù)、實(shí)時(shí)技術(shù)等，將形成更加完善的信息安全管理體系。稅務(wù)信息安全直接關(guān)系到稅收信息化建設(shè)的成敗，必須引起稅務(wù)機(jī)關(guān)和每一位稅務(wù)人的重視。科學(xué)技術(shù)的發(fā)展不一定能對(duì)任何事物的本質(zhì)和現(xiàn)象都產(chǎn)生影響，技術(shù)只有與先進(jìn)的管理思想、管理體制相結(jié)合，才能產(chǎn)生巨大的效益。參考文獻(xiàn)：戴宗坤,羅萬(wàn)伯等.信息系統(tǒng)安全[M].電子工業(yè)出版社，2002.黃章勇.信息安全概論.2005年第1版.出版社:北京郵電大學(xué)出版社,2005:7-58孫銳,王純.信息安全原理及應(yīng)用.2003年7月第1版.清華大學(xué)出版社,2003:17-21王聰生.信息與網(wǎng)絡(luò)安全中的若干問題.電力信息化[J],2004(7).白巖,甄真,倫志軍,周芮.計(jì)算機(jī)網(wǎng)絡(luò)信息管理及其安全.現(xiàn)代情報(bào)[J],2006,8(8).王純斌.淺議計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理.哈爾濱市委黨校學(xué)報(bào)[J],2006(9).趙月霞.信息網(wǎng)絡(luò)安全設(shè)計(jì)與應(yīng)用.寧夏電力[J],2004(1).陳月波.網(wǎng)絡(luò)信息安全[M].武漢：武漢理工大學(xué)出版社，2005.鐘樂海，王朝斌，李艷梅.網(wǎng)絡(luò)安全技術(shù)[M].北京：電子工業(yè)出版社,2003.張千里.網(wǎng)絡(luò)安全基礎(chǔ)與應(yīng)用[M].北京：人民郵電出版社,2007.吳金龍,蔡燦輝,王晉隆.網(wǎng)絡(luò)安全[M].北京：高等教育出版社,2004.熊心志.計(jì)算機(jī)網(wǎng)絡(luò)信息安全初探.計(jì)算機(jī)科學(xué).2006,33卷.B12期:60-62網(wǎng)絡(luò)信息安全及防范技術(shù)分析.中國(guó)科技信息.2006,16期:149-151（作者單位：盤錦市大洼縣國(guó)稅局）信息安全管理系統(tǒng)一、產(chǎn)品聚焦1、隨著企業(yè)信息化進(jìn)程的不斷推進(jìn)，信息安全問題日益凸顯。信息技術(shù)水平不斷在提升的同時(shí)，為何信息泄露，信息安全事件仍然時(shí)有發(fā)生？2、對(duì)于信息安全事件為何我們不能更多的在“事前”及時(shí)的發(fā)現(xiàn)并控制，而是在“事后”進(jìn)行補(bǔ)救？3、信息安全管理工作“三分技術(shù)、七分管理”的原因何在？4、信息安全管理工作種類繁多，安全管理人員疲于應(yīng)付，是否有合適的管理手段對(duì)其歸類，有的放矢，加強(qiáng)針對(duì)性、提升工作效率？是否需要有持續(xù)提升信息安全意識(shí)和增強(qiáng)知識(shí)學(xué)習(xí)的管理體系？二、產(chǎn)品簡(jiǎn)介該產(chǎn)品通過與企業(yè)信息安全管理的現(xiàn)狀緊密結(jié)合，融合國(guó)際主流及先進(jìn)的風(fēng)險(xiǎn)管理方法、工具、設(shè)計(jì)理念，有效結(jié)合國(guó)內(nèi)外對(duì)信息安全管理工作提出的相關(guān)安全標(biāo)準(zhǔn)體系要求，通過建立企業(yè)信息安全風(fēng)險(xiǎn)全生命周期、全面風(fēng)險(xiǎn)來(lái)源、全目標(biāo)管理的全方位風(fēng)險(xiǎn)管理模型，以監(jiān)測(cè)預(yù)警防風(fēng)險(xiǎn)、風(fēng)險(xiǎn)流程查隱患、風(fēng)險(xiǎn)應(yīng)對(duì)控事態(tài)、監(jiān)督評(píng)價(jià)促改進(jìn)、保障體系提意識(shí)，保證信息安全風(fēng)險(xiǎn)管理在企業(yè)的落地生效。三、產(chǎn)品特點(diǎn)1、業(yè)務(wù)的無(wú)縫集成無(wú)縫集成企業(yè)終端防護(hù)類安全系統(tǒng)、邊界防護(hù)類安全系統(tǒng)、系統(tǒng)防護(hù)類安全系統(tǒng)、數(shù)據(jù)防護(hù)類安全系統(tǒng)、綜合監(jiān)管類安全管理系統(tǒng)以及相關(guān)的基礎(chǔ)認(rèn)證和授權(quán)平臺(tái)等，實(shí)現(xiàn)對(duì)信息安全事件引發(fā)因素的全面監(jiān)測(cè)和智能分析，有的放矢的對(duì)信息安全工作進(jìn)行管理。2、“上醫(yī)未病，自律慎獨(dú)”的風(fēng)險(xiǎn)管理體系目標(biāo)鮮明、方法合理、注重實(shí)效，為企業(yè)信息化進(jìn)程保駕護(hù)航?；谄髽I(yè)現(xiàn)有管理制度和安全防御體系構(gòu)建，實(shí)現(xiàn)系統(tǒng)的行之有效、行之有依。3、合理的改進(jìn)咨詢建議通過系統(tǒng)建設(shè)對(duì)企業(yè)信息安全管理現(xiàn)狀進(jìn)行梳理和分析，提供合理有效的改進(jìn)咨詢建議。4、創(chuàng)新實(shí)用的管理工具蝴蝶結(jié)模型、風(fēng)險(xiǎn)矩陣、風(fēng)險(xiǎn)熱圖等主流風(fēng)險(xiǎn)管理模型的實(shí)用化創(chuàng)新應(yīng)用；德爾菲打分法、層次分析法、灰色評(píng)價(jià)法等科學(xué)分析方法的靈活嵌入；正態(tài)分布、泊松分布等概率模型的預(yù)測(cè)分析，致力于提升風(fēng)險(xiǎn)管理工作的精細(xì)度和準(zhǔn)確度。5、預(yù)置的信息安全風(fēng)險(xiǎn)事件庫(kù)由信息安全及風(fēng)險(xiǎn)管理專家組成的專家團(tuán)隊(duì)結(jié)合國(guó)內(nèi)外的相關(guān)信息安全管理標(biāo)準(zhǔn)梳理的風(fēng)險(xiǎn)事件庫(kù)基礎(chǔ)信息，可在系統(tǒng)建設(shè)初期提供有力的業(yè)務(wù)數(shù)據(jù)支持。6、持續(xù)漸進(jìn)的信息安全知識(shí)管理信息安全風(fēng)險(xiǎn)知識(shí)管理不僅僅是信息安全相關(guān)知識(shí)的積累和技術(shù)的提升、還在于信息安全管理意識(shí)的提升，通過信息安全知識(shí)管理體系的建立，提升全員的信息安全管理意識(shí)，并提供最新的信息安全知識(shí)儲(chǔ)備。

四、應(yīng)用效果

對(duì)信息安全風(fēng)險(xiǎn)管理全過程的數(shù)據(jù)、重點(diǎn)關(guān)注的風(fēng)險(xiǎn)主題進(jìn)行全方位的數(shù)據(jù)分析，采用科學(xué)合理的數(shù)據(jù)分析模型，以靈活多樣化的圖表進(jìn)行展現(xiàn)以輔助決策。五、產(chǎn)品功能1、目標(biāo)管理維護(hù)企業(yè)信息安全戰(zhàn)略目標(biāo)、不同層級(jí)風(fēng)險(xiǎn)管理目標(biāo)、目標(biāo)預(yù)警指標(biāo)、目標(biāo)風(fēng)險(xiǎn)等。以目標(biāo)為龍頭開展企業(yè)信息安全風(fēng)險(xiǎn)管理工作。2、風(fēng)險(xiǎn)識(shí)別利用層次分析法逐層分析，識(shí)別企業(yè)信息安全工作中包含的資產(chǎn)、資產(chǎn)脆弱性和面臨的威脅，全面辨識(shí)風(fēng)險(xiǎn)源并制定相應(yīng)的防控措施，并針對(duì)風(fēng)險(xiǎn)事件制定緩解措施。3、風(fēng)險(xiǎn)評(píng)估創(chuàng)新利用科學(xué)合理的風(fēng)險(xiǎn)評(píng)估方法對(duì)威脅發(fā)生概率、嚴(yán)重程度進(jìn)行評(píng)估，量化風(fēng)險(xiǎn)指數(shù)，借助評(píng)估工具得出防范風(fēng)險(xiǎn)優(yōu)先級(jí)并對(duì)風(fēng)險(xiǎn)分布進(jìn)行展示。4、監(jiān)測(cè)預(yù)警依托企業(yè)現(xiàn)有的信息安全防范體系架構(gòu)，設(shè)置風(fēng)險(xiǎn)監(jiān)控點(diǎn)，以風(fēng)險(xiǎn)管理視角對(duì)各重要的信息安全指標(biāo)進(jìn)行實(shí)時(shí)的數(shù)據(jù)監(jiān)控，發(fā)揮信息系統(tǒng)“攝像頭”的職能，針對(duì)信息安全關(guān)注的重大風(fēng)險(xiǎn)進(jìn)行實(shí)時(shí)預(yù)警提示，確保風(fēng)險(xiǎn)的提前警示和預(yù)先處理。5、風(fēng)險(xiǎn)應(yīng)對(duì)通過不同類型風(fēng)險(xiǎn)的標(biāo)準(zhǔn)應(yīng)對(duì)流程的設(shè)計(jì)和維護(hù)，結(jié)合現(xiàn)有企業(yè)的信息安全管理現(xiàn)狀和需求，以合理的風(fēng)險(xiǎn)應(yīng)對(duì)策略應(yīng)對(duì)不同的風(fēng)險(xiǎn)，確保各類風(fēng)險(xiǎn)的應(yīng)對(duì)行之有效且不過度。6、監(jiān)督與改進(jìn)結(jié)合內(nèi)外部風(fēng)險(xiǎn)管理要求，以系統(tǒng)自動(dòng)考評(píng)指標(biāo)和人工考評(píng)指標(biāo)對(duì)風(fēng)險(xiǎn)管理工作進(jìn)行量化評(píng)價(jià)，并以報(bào)告等形式結(jié)合系統(tǒng)內(nèi)整改流程推動(dòng)信息安全風(fēng)險(xiǎn)管理的改進(jìn)。7、風(fēng)險(xiǎn)戰(zhàn)略與決策分析運(yùn)用商務(wù)智能分析原理，通過科學(xué)方法將管理數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，為管理層的戰(zhàn)略決策提供數(shù)據(jù)參考和依據(jù)。8、風(fēng)險(xiǎn)信息庫(kù)風(fēng)險(xiǎn)管理基礎(chǔ)信息模塊。同時(shí)包含含知識(shí)管理、培訓(xùn)管理等。

附件工業(yè)控制系統(tǒng)信息安全自查表填表說(shuō)明一、組成結(jié)構(gòu)本表包含三個(gè)分表：（1）工業(yè)控制系統(tǒng)信息安全檢查情況匯總表（2）工業(yè)控制系統(tǒng)運(yùn)營(yíng)單位基本情況表（3）工業(yè)控制系統(tǒng)信息安全自查表二、填寫對(duì)象各分表填寫責(zé)任人如下：（1）工業(yè)控制系統(tǒng)信息安全檢查情況匯總表：由各地經(jīng)濟(jì)和信息化主管部門指定專人負(fù)責(zé)匯總填寫。（2）工業(yè)控制系統(tǒng)運(yùn)營(yíng)單位基本情況表：由各工業(yè)控制系統(tǒng)運(yùn)營(yíng)單位指定專人負(fù)責(zé)填寫。（3）工業(yè)控制系統(tǒng)信息安全自查表：由工業(yè)控制系統(tǒng)運(yùn)營(yíng)單位的各工業(yè)控制系統(tǒng)負(fù)責(zé)人填寫。表1工業(yè)控制系統(tǒng)信息安全檢查情況匯總表市州名稱基本情況重要工業(yè)控制系統(tǒng)1運(yùn)營(yíng)單位總數(shù)：家重要工業(yè)控制系統(tǒng)總數(shù)：套系統(tǒng)構(gòu)成情況類型設(shè)備國(guó)內(nèi)品牌國(guó)外品牌工業(yè)生產(chǎn)控制設(shè)備可邏輯編程控制器（PLC）臺(tái)臺(tái)分布式控制系統(tǒng)（DCS）臺(tái)臺(tái)遠(yuǎn)程終端設(shè)備（RTU）臺(tái)臺(tái)數(shù)控機(jī)床臺(tái)臺(tái)工業(yè)機(jī)器人臺(tái)臺(tái)智能儀表臺(tái)臺(tái)其它臺(tái)臺(tái)工業(yè)網(wǎng)絡(luò)通信設(shè)備工業(yè)交換機(jī)臺(tái)臺(tái)工業(yè)路由器臺(tái)臺(tái)串口服務(wù)器臺(tái)臺(tái)其它臺(tái)臺(tái)工業(yè)主機(jī)設(shè)備工業(yè)主機(jī)2臺(tái)臺(tái)組態(tài)軟件&數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）軟件套套工業(yè)數(shù)據(jù)庫(kù)套套其它臺(tái)臺(tái)工業(yè)生產(chǎn)信息系統(tǒng)制造執(zhí)行系統(tǒng)（MES）套套ERP管理系統(tǒng)套套工業(yè)云套套其它套套工業(yè)網(wǎng)絡(luò)安全設(shè)備工業(yè)防火墻臺(tái)臺(tái)工業(yè)網(wǎng)閘臺(tái)臺(tái)主機(jī)安全防護(hù)設(shè)備臺(tái)臺(tái)其它臺(tái)臺(tái)安全軟件選擇與管理情況1、安裝防病毒軟件或應(yīng)用程序白名單軟件的重要工業(yè)控制系統(tǒng)數(shù)量：套2、病毒庫(kù)或白名單規(guī)則及時(shí)更新的重要工業(yè)控制系統(tǒng)數(shù)量：套3、定期對(duì)工業(yè)控制系統(tǒng)進(jìn)行查殺的重要工業(yè)控制系統(tǒng)數(shù)量：套4、已建立防病毒和惡意軟件入侵管理機(jī)制的重要工業(yè)控制系統(tǒng)數(shù)量：套配置和補(bǔ)丁管理情況1、已建立工業(yè)控制網(wǎng)絡(luò)安全配置策略的重要工業(yè)控制系統(tǒng)數(shù)量：套2、已建立工業(yè)主機(jī)安全配置策略的重要工業(yè)控制系統(tǒng)數(shù)量：套3、已建立工業(yè)控制設(shè)備安全配置策略的重要工業(yè)控制系統(tǒng)數(shù)量：套4、已建立工業(yè)控制系統(tǒng)配置清單的重要工業(yè)控制系統(tǒng)數(shù)量：套5、定期對(duì)配置清單進(jìn)行更新和維護(hù)的重要工業(yè)控制系統(tǒng)數(shù)量：套6、及時(shí)修復(fù)重大工控安全漏洞的重要工業(yè)控制系統(tǒng)數(shù)量：套邊界安全防護(hù)情況1、直接與企業(yè)網(wǎng)連接的重要工業(yè)控制系統(tǒng)數(shù)量：套2、直接與互聯(lián)網(wǎng)連接的重要工業(yè)控制系統(tǒng)數(shù)量:套3、對(duì)工業(yè)控制系統(tǒng)進(jìn)行安全區(qū)域劃分的重要工業(yè)控制系統(tǒng)數(shù)量：套4、對(duì)工業(yè)控制系統(tǒng)安全區(qū)域?qū)嵤┻壿嫺綦x的重要工業(yè)控制系統(tǒng)數(shù)量：套物理和環(huán)境安全防護(hù)情況1、已明確劃分重點(diǎn)物理安全防護(hù)區(qū)域并建立物理安全防護(hù)措施的重要工業(yè)控制系統(tǒng)數(shù)量：套2、拆除或封閉工業(yè)主機(jī)上不必要外設(shè)接口的重要工業(yè)控制系統(tǒng)數(shù)量：套3、使用外設(shè)安全管理技術(shù)手段管理外設(shè)接口的重要工業(yè)控制系統(tǒng)數(shù)量：套身份認(rèn)證情況1、使用身份認(rèn)證管理手段的重要工業(yè)控制系統(tǒng)數(shù)量：套2、以最小特權(quán)原則分配賬戶權(quán)限的重要工業(yè)控制系統(tǒng)數(shù)量：套3、未使用默認(rèn)口令或弱口令的重要工業(yè)控制系統(tǒng)數(shù)量：套4、定期更新口令的重要工業(yè)控制系統(tǒng)數(shù)量：套遠(yuǎn)程訪問安全情況1、面向互聯(lián)網(wǎng)開通HTTP、FTP等網(wǎng)絡(luò)服務(wù)的重要工業(yè)控制系統(tǒng)數(shù)量：套2、使用數(shù)據(jù)單向訪問控制等策略進(jìn)行安全加固的重要工業(yè)控制系統(tǒng)數(shù)量：套3、使用VPN等遠(yuǎn)程接入方式的重要工業(yè)控制系統(tǒng)數(shù)量：套4、保留工業(yè)控制系統(tǒng)相關(guān)訪問日志的重要工業(yè)控制系統(tǒng)數(shù)量：套安全監(jiān)測(cè)和應(yīng)急預(yù)案演練情況1、在工業(yè)控制網(wǎng)絡(luò)部署網(wǎng)絡(luò)安全監(jiān)測(cè)設(shè)備的重要工業(yè)控制系統(tǒng)數(shù)量：套2、在重要工業(yè)控制設(shè)備前端已部署具備深度包分析和過濾功能防護(hù)設(shè)備的重要工業(yè)控制系統(tǒng)數(shù)量：套3、已制定工控安全事件應(yīng)急響應(yīng)預(yù)案的重要工業(yè)控制系統(tǒng)運(yùn)營(yíng)單位數(shù)量：家4、定期對(duì)應(yīng)急預(yù)案進(jìn)行演練的重要工業(yè)控制系統(tǒng)運(yùn)營(yíng)單位數(shù)量：家5、對(duì)應(yīng)急響應(yīng)預(yù)案進(jìn)行修訂的重要工業(yè)控制系統(tǒng)運(yùn)營(yíng)單位數(shù)量：家資產(chǎn)安全情況1、建立工業(yè)控制系統(tǒng)資產(chǎn)清單的重要工業(yè)控制系統(tǒng)數(shù)量：套2、對(duì)關(guān)鍵主機(jī)設(shè)備進(jìn)行冗余配置的重要工業(yè)控制系統(tǒng)數(shù)量：套3、對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行冗余配置的重要工業(yè)控制系統(tǒng)數(shù)量：套4、對(duì)控制組件進(jìn)行冗余配置的重要工業(yè)控制系統(tǒng)數(shù)量：套數(shù)據(jù)安全情況1、對(duì)靜態(tài)存儲(chǔ)的重要工業(yè)數(shù)據(jù)進(jìn)行保護(hù)的重要工業(yè)控制系統(tǒng)數(shù)量：套2、對(duì)動(dòng)態(tài)傳輸?shù)闹匾I(yè)數(shù)據(jù)進(jìn)行保護(hù)的重要工業(yè)控制系統(tǒng)數(shù)量：套3、定期備份關(guān)鍵業(yè)務(wù)數(shù)據(jù)的重要工業(yè)控制系統(tǒng)數(shù)量：套4、對(duì)測(cè)試數(shù)據(jù)進(jìn)行保護(hù)的重要工業(yè)控制系統(tǒng)數(shù)量：套供應(yīng)鏈管理情況1、合同中已約定服務(wù)商在服務(wù)過程中應(yīng)當(dāng)承擔(dān)的信息安全責(zé)任和義務(wù)的重要工業(yè)控制系統(tǒng)數(shù)量：套2、與服務(wù)商簽訂保密協(xié)議的重要工業(yè)控制系統(tǒng)數(shù)量：套落實(shí)責(zé)任情況1、建立工控安全管理機(jī)制的重要工業(yè)控制系統(tǒng)運(yùn)營(yíng)單位數(shù)量：家1重要工業(yè)控制系統(tǒng)是指與國(guó)家安全、國(guó)家經(jīng)濟(jì)安全、國(guó)計(jì)民生緊密相關(guān)的，如鋼鐵、有色、化工、裝備制造、電子信息、核設(shè)施、石油石化、電力、天然氣、水利樞紐、環(huán)境保護(hù)、鐵路、城市軌道交通、民航、城市供水供氣供熱等工業(yè)生產(chǎn)領(lǐng)域中的工業(yè)控制系統(tǒng)。2工業(yè)主機(jī)是指工業(yè)生產(chǎn)控制各業(yè)務(wù)環(huán)節(jié)涉及組態(tài)、操作、監(jiān)控、數(shù)據(jù)采集與存儲(chǔ)等功能的主機(jī)設(shè)備載體，包括工程師站、操作員站、歷史站等。表2工業(yè)控制系統(tǒng)運(yùn)營(yíng)單位基本情況表單位信息單位全稱法人代表通訊地址組織機(jī)構(gòu)代碼單位網(wǎng)址郵政編碼所屬行業(yè)1銷售收入經(jīng)濟(jì)類型□國(guó)有事業(yè)單位2□國(guó)有及國(guó)有控制企業(yè)3（□中央□地方）□股份制企業(yè)□外商及港澳臺(tái)投資企業(yè)4□集體企業(yè)□民營(yíng)企業(yè)□其他：聯(lián)系人姓名職務(wù)所屬部門工作電子郵件工控系統(tǒng)基本情況工業(yè)控制系統(tǒng)總數(shù)量系統(tǒng)名稱系統(tǒng)簡(jiǎn)介工業(yè)安全管理情況應(yīng)急預(yù)案演練情況1.工控安全事件應(yīng)急響應(yīng)預(yù)案：□已制定，包括：□應(yīng)急計(jì)劃策略和規(guī)程□應(yīng)急計(jì)劃培訓(xùn)□應(yīng)急計(jì)劃測(cè)試與演練□應(yīng)急處理流程□事件監(jiān)控措施□應(yīng)急事件報(bào)告流程□應(yīng)急支持資源□應(yīng)急響應(yīng)計(jì)劃□其它：□未制定2.急預(yù)案演練情況：□定期開展，演練周期：□本年度已開展□將演練情況報(bào)網(wǎng)絡(luò)安全主管部門□未將演練情況報(bào)網(wǎng)絡(luò)安全主管部門□應(yīng)急演練結(jié)束后對(duì)應(yīng)急預(yù)案進(jìn)行了評(píng)估和適用性修訂□應(yīng)急演練結(jié)束后未對(duì)應(yīng)急預(yù)案進(jìn)行了評(píng)估和適用性修訂□本年度未開展□未定期開展落實(shí)責(zé)任情況1.工控安全管理機(jī)制：□已建立，包括：□建立了工業(yè)控制系統(tǒng)安全管理制度□成立了工業(yè)控制系統(tǒng)信息安全協(xié)調(diào)小組□明確了工控安全管理責(zé)任人□其它：□未建立注1：工控系統(tǒng)基本情況可另附表說(shuō)明。注2：此處工業(yè)控制系統(tǒng)的劃分原則為1）具體的完整的工業(yè)控制系統(tǒng)：以企業(yè)工業(yè)自動(dòng)化生產(chǎn)過程為基礎(chǔ)，屬于企業(yè)的一個(gè)自動(dòng)化生產(chǎn)全過程或一個(gè)工業(yè)自動(dòng)化生產(chǎn)裝置；或者是2）工業(yè)控制系統(tǒng)中相對(duì)獨(dú)立的一部分：以企業(yè)工業(yè)自動(dòng)化生產(chǎn)過程的局部環(huán)節(jié)為基礎(chǔ)，屬于企業(yè)的一個(gè)自動(dòng)化生產(chǎn)全過程或一個(gè)工業(yè)自動(dòng)化生產(chǎn)裝置的工業(yè)控制系統(tǒng)中的相對(duì)獨(dú)立的且物理邊界清晰的某個(gè)安全區(qū)域或通信網(wǎng)絡(luò)。1按照《國(guó)民經(jīng)濟(jì)行業(yè)分類》（GB/T4745-2021）規(guī)定填寫。2按照《事業(yè)單位登記管理暫行條例》登記的，為社會(huì)公益目的、由國(guó)家機(jī)關(guān)舉辦或者其他組織組織利用國(guó)有資產(chǎn)舉辦的，從事教育、科技、文化、衛(wèi)生等活動(dòng)的社會(huì)服務(wù)組織。3按照《中華人民共和國(guó)企業(yè)法人登記管理?xiàng)l例》登記注冊(cè)的三類經(jīng)濟(jì)組織：（1）全部資產(chǎn)歸國(guó)家所有的（非公司制）國(guó)有企業(yè)；（2）全部資產(chǎn)歸國(guó)家所有的國(guó)有獨(dú)資有限責(zé)任公司；（3）由國(guó)有資本占控制地位的有限責(zé)任公司和股份，此處稱國(guó)有控股公司。4包括港、澳、臺(tái)資本和其他地區(qū)外資資本投資設(shè)立的獨(dú)資或控股的獨(dú)資公司、有限責(zé)任公司和股份。表3工業(yè)控制系統(tǒng)信息安全自查表系統(tǒng)名稱1000t聚己內(nèi)酯DCS控制系統(tǒng)負(fù)責(zé)人姓名職務(wù)所屬部門工作功能描述（描述該系統(tǒng)的功能、業(yè)務(wù)流程）1、設(shè)備運(yùn)行工藝參數(shù)監(jiān)控、調(diào)整。2、現(xiàn)場(chǎng)設(shè)備安全運(yùn)行狀況監(jiān)控、報(bào)警。業(yè)務(wù)互聯(lián)（描述與其他工業(yè)控制系統(tǒng)、上層監(jiān)控系統(tǒng)、MES系統(tǒng)互聯(lián)情況）無(wú)系統(tǒng)組成結(jié)構(gòu)（描述該工業(yè)控制系統(tǒng)的組成情況、網(wǎng)絡(luò)拓?fù)鋱D等）該系統(tǒng)由熔融罐、中間罐、反應(yīng)器、脫揮器、水下切粒機(jī)及其他附屬設(shè)備組成。系統(tǒng)構(gòu)成情況類型設(shè)備國(guó)內(nèi)品牌國(guó)外品牌工業(yè)生產(chǎn)控制設(shè)備可邏輯編程控制器（PLC）臺(tái)臺(tái)分布式控制系統(tǒng)（DCS）1套臺(tái)遠(yuǎn)程終端設(shè)備（RTU）臺(tái)臺(tái)數(shù)控機(jī)床臺(tái)臺(tái)工業(yè)機(jī)器人臺(tái)臺(tái)智能儀表若干臺(tái)臺(tái)其它臺(tái)臺(tái)工業(yè)網(wǎng)絡(luò)通信設(shè)備工業(yè)交換機(jī)2臺(tái)臺(tái)工業(yè)路由器臺(tái)臺(tái)串口服務(wù)器臺(tái)臺(tái)其它臺(tái)臺(tái)工業(yè)主機(jī)設(shè)備工業(yè)主機(jī)12臺(tái)臺(tái)組態(tài)軟件&數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）軟件1套套工業(yè)數(shù)據(jù)庫(kù)1套套其它臺(tái)臺(tái)工業(yè)生產(chǎn)信息系統(tǒng)制造執(zhí)行系統(tǒng)（MES）套套ERP管理系統(tǒng)套套工業(yè)云套套其它套套工業(yè)網(wǎng)絡(luò)安全設(shè)備工業(yè)防火墻臺(tái)臺(tái)工業(yè)網(wǎng)閘臺(tái)臺(tái)主機(jī)安全防護(hù)設(shè)備臺(tái)臺(tái)其它臺(tái)臺(tái)安全軟件選擇與管理情況1.工業(yè)主機(jī)防護(hù)設(shè)備（如防病毒軟件、應(yīng)用程序白名單軟件）：□已安裝，防護(hù)設(shè)備名稱：■未安裝2.及時(shí)進(jìn)行惡意代碼庫(kù)或白名單規(guī)則庫(kù)更新升級(jí)：□是，目前庫(kù)版本號(hào)：□否，目前庫(kù)版本號(hào)：3.定期進(jìn)行系統(tǒng)查殺：□是，查殺時(shí)間間隔：■未進(jìn)行定期查殺4.防病毒和惡意軟件入侵管理機(jī)制：□已建立，包括：□定期掃描病毒和惡意軟件□定期更新病毒庫(kù)□查殺臨時(shí)接入設(shè)備（如臨時(shí)接入U(xiǎn)盤、移動(dòng)終端外設(shè)）■未建立配置和補(bǔ)丁管理情況1.工業(yè)控制網(wǎng)絡(luò)安全配置策略：■已建立，包括：■網(wǎng)絡(luò)分區(qū)分域■非必要端口禁用□其它：□未建立2.工業(yè)主機(jī)安全配置策略：■已建立，包括：■遠(yuǎn)程控制管理禁用■關(guān)閉默認(rèn)賬戶□最小服務(wù)配置■關(guān)閉非必要文件共享■啟用登錄口令復(fù)雜度要求□其它：□未建立3.工業(yè)控制設(shè)備安全配置策略：□已建立，包括：□口令策略合規(guī)性□其它：■未建立4.工業(yè)控制系統(tǒng)配置清單：■已建立，包括：■設(shè)備名稱■設(shè)備編號(hào)■配置策略■配置時(shí)間□其它：□未建立5.定期進(jìn)行配置清單的更新和維護(hù)：□是，維護(hù)時(shí)間間隔：更新時(shí)間間隔：■部分是，定期更新和維護(hù)的配置清單：時(shí)間間隔：半年□否6.及時(shí)修復(fù)重大工控安全漏洞：■是□否邊界安全防護(hù)情況1.直接與企業(yè)內(nèi)網(wǎng)連接：□是■否，組網(wǎng)方式（單選）：■獨(dú)立□使用防護(hù)設(shè)備進(jìn)行隔離，防護(hù)設(shè)備名稱及生產(chǎn)廠商：□其它：2.直接與互聯(lián)網(wǎng)連接：□是■否，組網(wǎng)方式（單選）：■獨(dú)立□使用防護(hù)設(shè)備進(jìn)行隔離，防護(hù)設(shè)備名稱及生產(chǎn)廠商：□通過企業(yè)網(wǎng)連接□其它：3.對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)進(jìn)行安全域劃分：□是，劃分原則：□安全域重要性□業(yè)務(wù)需求□其它：□■否4.各安全域之間進(jìn)行邏輯隔離：□是，隔離措施：□防火墻□網(wǎng)閘□其它：■否物理和環(huán)境安全防護(hù)情況1.物理安全防護(hù)區(qū)域防護(hù)措施：□無(wú)■門禁系統(tǒng)□專人值守■視頻監(jiān)控□其它：2.拆除或封閉工業(yè)主機(jī)外設(shè)接口：■是□否，未拆除或封閉的外設(shè)接口包括：□USB□光驅(qū)□無(wú)線□其它：3.使用外設(shè)安全管理技術(shù)手段進(jìn)行安全管理：□是，方式：□主機(jī)外設(shè)統(tǒng)一管理設(shè)備（或軟件）：□隔離存放有外設(shè)接口的工業(yè)主機(jī)□其它：■否身份認(rèn)證情況1.使用身份認(rèn)證管理手段：■是，包括：■口令密碼□USB-Key□智能卡□生物指紋□其它：2.最小權(quán)限原則分配賬戶權(quán)限：■是□否3.工業(yè)控制系統(tǒng)口令使用：■采用默認(rèn)口令□采用弱口令□其它：（口令策略要求）4.定期更新口令：□是，更新周期：■否遠(yuǎn)程訪問安全情況1.面向互聯(lián)網(wǎng)開通通用網(wǎng)絡(luò)服務(wù)：□是，包括：□HTTP□FTP□Telnet□其它：■否2.使用遠(yuǎn)程訪問：□是，安全加固策略：□無(wú)□采用數(shù)據(jù)單向訪問控制□其它：■否3.使用遠(yuǎn)程維護(hù)：□是，安全加固策略：□無(wú)□采用虛擬專用網(wǎng)絡(luò)（VPN）□其它：■否4.工業(yè)控制系統(tǒng)相關(guān)訪問日志：□留存，留存期：■未留存安全監(jiān)測(cè)情況1.工業(yè)控制系統(tǒng)網(wǎng)絡(luò)部署網(wǎng)絡(luò)安全監(jiān)測(cè)設(shè)備：■是，網(wǎng)絡(luò)安全監(jiān)測(cè)設(shè)備型號(hào)及生產(chǎn)商：□否2.重要工業(yè)控制設(shè)備前端部署具備深度包分析和過濾功能的防護(hù)設(shè)備：□是，防護(hù)設(shè)備型號(hào)及生產(chǎn)商：□否資產(chǎn)安全情況1.工業(yè)控制系統(tǒng)資產(chǎn)清單：■已建立，包括：■設(shè)備名稱■設(shè)備編號(hào)■設(shè)備型號(hào)■設(shè)備類型■生產(chǎn)廠商■設(shè)備重要程度/密級(jí)■設(shè)備版本□啟用時(shí)間■責(zé)任部門■責(zé)任人■使用狀態(tài)□其它：□未建立2.關(guān)鍵主機(jī)設(shè)備是否進(jìn)行硬件冗余：■是□否3.網(wǎng)絡(luò)設(shè)備是否進(jìn)行硬件冗余：■是□否4.控制組件是否進(jìn)行硬件冗余：■是□否數(shù)據(jù)安全情況1.對(duì)靜態(tài)存儲(chǔ)的重要工業(yè)數(shù)據(jù)進(jìn)行保護(hù)：■是，保護(hù)措施：■數(shù)據(jù)加密■隔離存放□訪問權(quán)限控制□其它：□否2.對(duì)動(dòng)態(tài)傳輸?shù)闹匾I(yè)數(shù)據(jù)進(jìn)行保護(hù)：■是，保護(hù)措施：■數(shù)據(jù)加密□數(shù)據(jù)隔離□其它：□否3.定期備份關(guān)鍵業(yè)務(wù)數(shù)據(jù)：■是，備份周期：半年□否4.對(duì)測(cè)試數(shù)據(jù)進(jìn)行保護(hù)：■是，保護(hù)措施：■數(shù)據(jù)加密□數(shù)據(jù)銷毀■隔離存放□訪問權(quán)限控制□其它：□否供應(yīng)鏈管理情況1.服務(wù)商在服務(wù)過程中應(yīng)當(dāng)承擔(dān)的信息安全責(zé)任和義務(wù)：■已約定，包括：售后維護(hù)□未約定2.服務(wù)商簽訂保密協(xié)議情況：■已簽訂□未簽訂注：多套系統(tǒng)可復(fù)印分別填寫。1工業(yè)主機(jī)是指工業(yè)生產(chǎn)控制各業(yè)務(wù)環(huán)節(jié)涉及組態(tài)、操作、監(jiān)控、數(shù)據(jù)采集與存儲(chǔ)等功能的主機(jī)設(shè)備載體，包括工程師站、操作員站、歷史站等。廣東鴻聯(lián)九五信息產(chǎn)業(yè)網(wǎng)絡(luò)與信息安全檢查情況報(bào)告去年以來(lái)，我司大力實(shí)施信息化基礎(chǔ)建設(shè)，嚴(yán)格落實(shí)信息系統(tǒng)安全機(jī)制，從源頭做起,從基礎(chǔ)抓起，不斷提升信息安全理念，強(qiáng)化信息技術(shù)的安全管理和保障，加強(qiáng)對(duì)包括設(shè)備安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全等信息化建設(shè)全方位的安全管理,以信息化促進(jìn)公司管理的科學(xué)化和精細(xì)化.一、提升安全理念，健全制度建設(shè)我司結(jié)合信息化安全管理現(xiàn)狀，在充分調(diào)研的基礎(chǔ)上,制定了《機(jī)房進(jìn)出登記表》、《系統(tǒng)故障處理表》、《廠商巡檢報(bào)告》、《設(shè)備進(jìn)出機(jī)房登記表》、《生產(chǎn)設(shè)備定期檢查表》、《生產(chǎn)用戶權(quán)限申請(qǐng)表》、《系統(tǒng)變更申請(qǐng)表》、《機(jī)房應(yīng)急管理制度》、《機(jī)房巡檢登記表》、《機(jī)房設(shè)備到期檢查表》、《設(shè)備維修記錄表》等以公文的形式下發(fā)執(zhí)行，把安全教育發(fā)送到每一個(gè)崗位和人員。進(jìn)一步強(qiáng)化信息化安全知識(shí)培訓(xùn)，廣泛簽訂《保密協(xié)議》。進(jìn)一步增強(qiáng)公司的安全防范意識(shí)，在全公司統(tǒng)建立保密及信息安全工作領(lǐng)導(dǎo)小組，由技術(shù)部經(jīng)理毛偉為組長(zhǎng)，網(wǎng)絡(luò)工程師主管謝嘉為副組長(zhǎng),技術(shù)部羅江林為網(wǎng)絡(luò)安全管理員，負(fù)責(zé)公司的網(wǎng)絡(luò)信息安全工作。二、著力堵塞漏洞，狠抓信息安全我司現(xiàn)有計(jì)算機(jī)85臺(tái),每個(gè)工作人員使用的計(jì)算機(jī)按涉密用、內(nèi)網(wǎng)用、外網(wǎng)用三種情況分類登記和清理，清理工作分為自我清理和檢查兩個(gè)步驟。清理工作即每個(gè)干部職工都要對(duì)自己使用的計(jì)算機(jī)（含筆記本電腦)和移動(dòng)存儲(chǔ)介質(zhì)