網(wǎng)絡(luò)數(shù)據(jù)安全自查報(bào)告

———網(wǎng)絡(luò)數(shù)據(jù)安全自查報(bào)告網(wǎng)絡(luò)數(shù)據(jù)安全自查報(bào)告1隨著互聯(lián)網(wǎng)技術(shù)和業(yè)務(wù)的快速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題已經(jīng)日益突出和多而雜化，同時(shí)政策方面對(duì)單位計(jì)算機(jī)網(wǎng)絡(luò)安全和上網(wǎng)安全提出了進(jìn)一步規(guī)范和要求。依據(jù)技術(shù)部門前期對(duì)單位的網(wǎng)路安全情形、服務(wù)系統(tǒng)安全情形、上網(wǎng)環(huán)境、上級(jí)部門出臺(tái)的關(guān)于網(wǎng)絡(luò)安全的規(guī)范和要求，對(duì)單位的網(wǎng)絡(luò)安全情形進(jìn)行了深入調(diào)查了解，提出了整改看法。一、網(wǎng)絡(luò)安全的近況1、網(wǎng)站服務(wù)系統(tǒng)采用的是單服務(wù)器進(jìn)行服務(wù)，一旦顯現(xiàn)服務(wù)器故障，網(wǎng)站服務(wù)即處于停止服務(wù)狀態(tài)。2、單位職工的計(jì)算機(jī)與網(wǎng)絡(luò)安全意識(shí)較為淡薄。職工的辦公計(jì)算機(jī)安全僅僅安裝了殺毒防毒軟件，軟件安裝、上網(wǎng)瀏覽是職工本身管理，系統(tǒng)更新也處于放任自流的狀態(tài)。3、單位網(wǎng)絡(luò)安全維護(hù)經(jīng)費(fèi)投入有限，導(dǎo)致網(wǎng)絡(luò)安全性降低。二、針對(duì)上述問(wèn)題，提出整改看法1、對(duì)網(wǎng)站服務(wù)系統(tǒng)進(jìn)行升級(jí)，采用負(fù)載平衡的網(wǎng)站集群服務(wù)方案，提升網(wǎng)站服務(wù)保障本領(lǐng)。2、定期對(duì)職工進(jìn)行計(jì)算機(jī)信息和網(wǎng)絡(luò)安全教育，提升職工計(jì)算機(jī)安全意識(shí)；定期對(duì)辦公計(jì)算機(jī)進(jìn)行安全檢查，進(jìn)行系統(tǒng)更新。3、在年度經(jīng)費(fèi)預(yù)算布置中加添上網(wǎng)行為管理設(shè)備，進(jìn)一步提升網(wǎng)絡(luò)安全。網(wǎng)絡(luò)數(shù)據(jù)安全自查報(bào)告2我局對(duì)網(wǎng)絡(luò)信息安全保密工作始終十分重視，成立了特地的領(lǐng)導(dǎo)組，建立健全了網(wǎng)絡(luò)安全保密責(zé)任制和有關(guān)規(guī)章制度，由局信息中心統(tǒng)一管理，各科室負(fù)責(zé)各自的網(wǎng)絡(luò)信息安全工作。嚴(yán)格落實(shí)有關(guān)網(wǎng)絡(luò)信息安全保密方面的各項(xiàng)規(guī)定，采取了多種措施防范安全保密有關(guān)事件的發(fā)生，總體上看，我局網(wǎng)絡(luò)信息安全保密工作做得比較堅(jiān)固結(jié)實(shí)，效果也比較好，近年來(lái)未發(fā)現(xiàn)失泄密問(wèn)題。一、計(jì)算機(jī)涉密信息管理情況今年以來(lái)，我局加強(qiáng)組織領(lǐng)導(dǎo)，強(qiáng)化宣傳教育，落實(shí)工作責(zé)任，加強(qiáng)日常監(jiān)督檢查，將涉密計(jì)算機(jī)管理抓在手上。對(duì)于計(jì)算機(jī)磁介質(zhì)（軟盤、U盤、移動(dòng)硬盤等）的管理，采取專人保管、涉密文件單獨(dú)存放，嚴(yán)禁攜帶存在涉密內(nèi)容的磁介質(zhì)到上網(wǎng)的計(jì)算機(jī)上加工、貯存、傳遞處理文件，形成了良好的安全保密環(huán)境。對(duì)涉密計(jì)算機(jī)（含筆記本電腦）實(shí)行了與國(guó)際互聯(lián)網(wǎng)及其他公共信息網(wǎng)物理隔離，并依照有關(guān)規(guī)定落實(shí)了保密措施，到目前為止，未發(fā)生一起計(jì)算機(jī)失密、泄密事故；其他非涉密計(jì)算機(jī)（含筆記本電腦）及網(wǎng)絡(luò)使用，也嚴(yán)格依照局計(jì)算機(jī)保密信息系統(tǒng)管理方法落實(shí)了有關(guān)措施，確保了機(jī)關(guān)信息安全。二、計(jì)算機(jī)和網(wǎng)絡(luò)安全情況一是網(wǎng)絡(luò)安全方面。我局配備了防病毒軟件、網(wǎng)絡(luò)隔離卡，采用了強(qiáng)口令密碼、數(shù)據(jù)庫(kù)存儲(chǔ)備份、移動(dòng)存儲(chǔ)設(shè)備管理、數(shù)據(jù)加密等安全防護(hù)措施，明確了網(wǎng)絡(luò)安全責(zé)任，強(qiáng)化了網(wǎng)絡(luò)安全工作。二是信息系統(tǒng)安全方面實(shí)行領(lǐng)導(dǎo)審查簽字制度。凡上傳網(wǎng)站的信息，須經(jīng)有關(guān)領(lǐng)導(dǎo)審查簽字后方可上傳；二是開展常常性安全檢查，重要對(duì)SQL注入攻擊、跨站腳本攻擊、弱口令、操作系統(tǒng)補(bǔ)丁安裝、應(yīng)用程序補(bǔ)丁安裝、防病毒軟件安裝與升級(jí)、木馬病毒檢測(cè)、端口開放情況、系統(tǒng)管理權(quán)限開放情況、訪問(wèn)權(quán)限開放情況、網(wǎng)頁(yè)竄改情況等進(jìn)行監(jiān)管，認(rèn)真做好系統(tǒng)安全日記。三是日常管理方面切實(shí)抓好內(nèi)網(wǎng)、外網(wǎng)、網(wǎng)站和應(yīng)用軟件“五層管理”，確?！吧婷苡?jì)算機(jī)不上網(wǎng)，上網(wǎng)計(jì)算機(jī)不涉密”，嚴(yán)格依照保密要求處理光盤、硬盤、優(yōu)盤、移動(dòng)硬盤等管理、維護(hù)和修理和銷毀工作。重點(diǎn)抓好“三大安全”排查：一是硬件安全，包含防雷、防火、防盜和電源連接等；二是網(wǎng)絡(luò)安全，包含網(wǎng)絡(luò)結(jié)構(gòu)、安全日志管理、密碼管理、IP管理、互聯(lián)網(wǎng)行為管理等；三是應(yīng)用安全，包含網(wǎng)站、郵件系統(tǒng)、資源庫(kù)管理、軟件管理等。三、硬件設(shè)備使用合理，軟件設(shè)置規(guī)范，設(shè)備運(yùn)行情形良好。我局每臺(tái)終端機(jī)都安裝了防病毒軟件，系統(tǒng)相關(guān)設(shè)備的應(yīng)用始終采取規(guī)范化管理，硬件設(shè)備的使用符合國(guó)家相關(guān)產(chǎn)品質(zhì)量安全規(guī)定，單位硬件的運(yùn)行環(huán)境符合要求，打印機(jī)配件、色帶架等基本使用設(shè)備原裝產(chǎn)品；防雷地線正常，對(duì)于有問(wèn)題的防雷插座已進(jìn)行更換，防雷設(shè)備運(yùn)行基本穩(wěn)定，沒(méi)有顯現(xiàn)雷擊事故；UPS基本運(yùn)轉(zhuǎn)正常。網(wǎng)站系統(tǒng)安全有效，無(wú)任何安全隱患。四、通訊設(shè)備運(yùn)轉(zhuǎn)正常我局網(wǎng)絡(luò)系統(tǒng)的構(gòu)成結(jié)構(gòu)及其配置合理，并符合有關(guān)的安全規(guī)定；網(wǎng)絡(luò)使用的各種硬件設(shè)備、軟件和網(wǎng)絡(luò)接口是也過(guò)安全檢驗(yàn)、鑒定合格后才投入使用的，自安裝以來(lái)運(yùn)轉(zhuǎn)基本正常。五、嚴(yán)格管理、規(guī)范設(shè)備維護(hù)我局對(duì)電腦及其設(shè)備實(shí)行“誰(shuí)使用、誰(shuí)管理、誰(shuí)負(fù)責(zé)”的管理制度。在管理方面我們一是堅(jiān)持“制度管人”。二是強(qiáng)化信息安全教育、提高員工計(jì)算機(jī)技能。同時(shí)在局開展網(wǎng)絡(luò)安全知識(shí)宣傳，使全體人員意識(shí)到了，計(jì)算機(jī)安全保護(hù)是“三防一?！惫ぷ鞯挠袡C(jī)構(gòu)成部分。而且在新形勢(shì)下，計(jì)算機(jī)犯罪還將成為安全保衛(wèi)工作的緊要內(nèi)容。在設(shè)備維護(hù)方面，特地設(shè)置了網(wǎng)絡(luò)設(shè)備故障登記簿、計(jì)算機(jī)維護(hù)及維護(hù)和修理表對(duì)于設(shè)備故障和維護(hù)情況屬實(shí)登記，并及時(shí)處理。對(duì)外來(lái)維護(hù)人員，要求有相關(guān)人員陪伴，并對(duì)其身份和處理情況進(jìn)行登記，規(guī)范設(shè)備的維護(hù)和管理。六、網(wǎng)站安全及向政府的網(wǎng)站平臺(tái)移植情況我局對(duì)網(wǎng)站安全方面有相關(guān)要求：一是后臺(tái)密碼常常更換；二是上傳文件提前進(jìn)行病素檢測(cè)；三是網(wǎng)站分模塊分權(quán)限進(jìn)行維護(hù)，定期進(jìn)后臺(tái)清理垃圾文件；四是網(wǎng)站更新專人負(fù)責(zé)。依據(jù)有關(guān)文件要求，我局已樂(lè)觀準(zhǔn)備，將在6月末前將本部門網(wǎng)站移植更換為我市統(tǒng)一的網(wǎng)站平臺(tái)上。七、安全制度訂立落實(shí)情況為確保計(jì)算機(jī)網(wǎng)絡(luò)安全、實(shí)行了網(wǎng)絡(luò)專管員制度、計(jì)算機(jī)安全保密制度、網(wǎng)站安全管理制度、網(wǎng)絡(luò)信息安全突發(fā)事件應(yīng)急預(yù)案等以有效提高管理員的工作效率。同時(shí)我局結(jié)合自身情況訂立計(jì)算機(jī)系統(tǒng)安全自查工作制度，做到四個(gè)確保：一是系統(tǒng)管理員于每周五定期檢查中心計(jì)算機(jī)系統(tǒng)，確保無(wú)隱患問(wèn)題；二是制作安全檢查工作記錄，確保工作落實(shí)；三是實(shí)行領(lǐng)導(dǎo)定期詢問(wèn)制度，由系統(tǒng)管理員匯報(bào)計(jì)算機(jī)使用情況，確保情況隨時(shí)掌握；四是定期組織全局人員學(xué)習(xí)有關(guān)網(wǎng)絡(luò)知識(shí)，提高計(jì)算機(jī)使用水平，確保防備。八、安全教育為保證我局網(wǎng)絡(luò)安全有效地運(yùn)行，減少病毒侵入，我局就網(wǎng)絡(luò)安全及系統(tǒng)安全的有關(guān)知識(shí)進(jìn)行了培訓(xùn)。期間，大家對(duì)實(shí)際工作中遇到的計(jì)算機(jī)方面的有關(guān)問(wèn)題進(jìn)行了認(rèn)真的咨詢，并得到了滿意的回復(fù)。自查存在的問(wèn)題及整改看法我們?cè)诠芾磉^(guò)程中發(fā)現(xiàn)了一些管理方面存在的孱弱環(huán)節(jié)，今后我們還要在以下幾個(gè)方面進(jìn)行改進(jìn)。（一）對(duì)于線路不整齊、暴露的，立刻對(duì)線路進(jìn)行限期整改，并做好防鼠、防火安全工作。（二）加強(qiáng)設(shè)備維護(hù)，及時(shí)更換和維護(hù)好故障設(shè)備。（三）自查中發(fā)現(xiàn)個(gè)別人員計(jì)算機(jī)安全意識(shí)不強(qiáng)。在以后的工作中，我們將連續(xù)加強(qiáng)計(jì)算機(jī)安全意識(shí)教育和防范技能訓(xùn)練，讓員工充分認(rèn)得到計(jì)算機(jī)案件的嚴(yán)重性。人防與技防結(jié)合，確實(shí)做好單位的網(wǎng)絡(luò)安全工作。網(wǎng)絡(luò)數(shù)據(jù)安全自查報(bào)告3為全面構(gòu)建全省法院網(wǎng)絡(luò)信息安全保障體系，切實(shí)加強(qiáng)法院信息安全保護(hù)，確保網(wǎng)絡(luò)安全運(yùn)行，依據(jù)人民法院的工作部署要求，省法院《全省法院專網(wǎng)信息安全專項(xiàng)整治工作方案》要求，結(jié)合本院工作實(shí)際，在全院范圍內(nèi)開展網(wǎng)絡(luò)安全檢查整改工作。一、加強(qiáng)領(lǐng)導(dǎo)我院成立了專項(xiàng)整治工作領(lǐng)導(dǎo)小組，由院長(zhǎng)任組長(zhǎng)，由副院長(zhǎng)任副組長(zhǎng)，審管辦、辦公室、各業(yè)務(wù)部門負(fù)責(zé)同志為成員，具體負(fù)責(zé)整改活動(dòng)的日常工作、業(yè)務(wù)引導(dǎo)和督導(dǎo)檢查。二、自查摸底接到省院和中院通知后，我院專項(xiàng)整治工作領(lǐng)導(dǎo)小組重點(diǎn)對(duì)我院安全防護(hù)本領(lǐng)、安全監(jiān)測(cè)措施、備份恢復(fù)機(jī)制、安全管理和運(yùn)維監(jiān)管等方面的安全隱患和防護(hù)措施進(jìn)行梳理、排查（一）安全建設(shè)方面我院嚴(yán)格依照省法院冀高法發(fā)〔20xx）64號(hào)《關(guān)于印發(fā)〈河北法院信息安全保障體系建設(shè)引導(dǎo)看法〉的通知》和冀高法［119］號(hào)《河北省高級(jí)人民法院關(guān)于印發(fā)〈全省法院專網(wǎng)信息安全專項(xiàng)整治工作方案〉的通知》的要求，對(duì)我院安全建設(shè)方面進(jìn)行了重點(diǎn)梳理排查，目前存在問(wèn)題如下：1、核心交換區(qū)。入侵檢測(cè)和入侵防范系統(tǒng)亟待更新，目前的版本已不能滿足我院日益增長(zhǎng)的業(yè)務(wù)需求，需對(duì)入侵檢測(cè)和防范設(shè)備進(jìn)行升級(jí)。未部署業(yè)務(wù)審計(jì)系統(tǒng)，終端用戶對(duì)業(yè)務(wù)系統(tǒng)的緊要操作、資源異常和異常操作缺乏審計(jì)。對(duì)web界面的操作缺乏記錄。2、安全管理區(qū)。未部署終端管理服務(wù)器、網(wǎng)絡(luò)審計(jì)、數(shù)據(jù)流分析系統(tǒng)，對(duì)準(zhǔn)入掌控商、終端數(shù)據(jù)泄漏、梳理正常業(yè)務(wù)流量、發(fā)現(xiàn)異常流量并告警缺乏安全有效的監(jiān)控和管理。3、網(wǎng)絡(luò)接入?yún)^(qū)。防火墻系統(tǒng)未能更新，不能滿足業(yè)務(wù)需要。4、安全交換區(qū)。與檢察院三方庭審、遠(yuǎn)程提訊采用網(wǎng)閘，未使用光閘。5、ca認(rèn)證系統(tǒng)未全面部署。6、互聯(lián)網(wǎng)出口未實(shí)現(xiàn)負(fù)載均衡，直播平臺(tái)抗ddos攻本領(lǐng)較差。上網(wǎng)行為管理軟件至今未更新。（二）備份恢復(fù)機(jī)制方面未嚴(yán)格落實(shí)系統(tǒng)備份要求，對(duì)緊要數(shù)字法庭、電子檔案等業(yè)務(wù)數(shù)據(jù)、緊要系統(tǒng)和關(guān)鍵配置信息備份不及時(shí)，未實(shí)現(xiàn)容災(zāi)備份。（三）安全管理及運(yùn)維監(jiān)管方面我院尚未完成安全管理平臺(tái)建設(shè)，依據(jù)冀法明傳《關(guān)于落實(shí)人民法院安全綜合管理平臺(tái)試點(diǎn)工作的通知》要求，未實(shí)現(xiàn)法院內(nèi)網(wǎng)安全數(shù)據(jù)的手記、分析和日志存儲(chǔ)，未實(shí)現(xiàn)全院信息安全總體態(tài)勢(shì)的檢測(cè)、預(yù)警和可視化呈現(xiàn)。（四）運(yùn)維人員配備方面依據(jù)省院文件要求，對(duì)運(yùn)維人員，特別是承當(dāng)核心系統(tǒng)、核心數(shù)據(jù)和基礎(chǔ)設(shè)施的網(wǎng)絡(luò)運(yùn)維單位未簽訂保密協(xié)議，對(duì)其運(yùn)維人員進(jìn)行定期開展安全保密教育不足。三、分步整改1、安全建設(shè)方面（1）按省院、中院要求在12月30日前完成ca統(tǒng)一身份認(rèn)證系統(tǒng)的采購(gòu)與安裝、調(diào)試，完成我院應(yīng)用工作。在ca統(tǒng)一身份認(rèn)證系統(tǒng)部署前要杜絕業(yè)務(wù)系統(tǒng)弱口令現(xiàn)象顯現(xiàn)。（2）依照河北法院信息安全保障體系建設(shè)引導(dǎo)看法，爭(zhēng)取省高院、縣委、縣政府、縣財(cái)政的資金支持，對(duì)我院互聯(lián)網(wǎng)的互聯(lián)網(wǎng)出口、門戶網(wǎng)站、安全域界限，法院專網(wǎng)的核心交換區(qū)、安全管理區(qū)、專網(wǎng)應(yīng)用區(qū)、網(wǎng)絡(luò)接入?yún)^(qū)、終端區(qū)、用戶區(qū)、移動(dòng)網(wǎng)接入?yún)^(qū)進(jìn)行安全設(shè)備進(jìn)行全面更新、采購(gòu)，完成我院安全保障體系的建設(shè)工作。2、網(wǎng)絡(luò)整改方面一是強(qiáng)化法院專網(wǎng)與檢察院、看管所等其他網(wǎng)絡(luò)數(shù)據(jù)交互管控。對(duì)以后接入法院專網(wǎng)的的第三方網(wǎng)絡(luò)和系統(tǒng)嚴(yán)格依照省院安全保障體系建設(shè)引導(dǎo)看法的要求，堅(jiān)決采用符合規(guī)定的交換設(shè)備。對(duì)我院安全域界限，按要求設(shè)置防火墻、入侵防范等界限設(shè)備，堅(jiān)決杜絕內(nèi)外網(wǎng)直接連接，禁止界限端口映射，不使用通用網(wǎng)絡(luò)協(xié)議穿透。二是強(qiáng)化法院專網(wǎng)自身管控。完成安全設(shè)備策略配置工作，嚴(yán)格依照省院規(guī)定訂立策略，在法院專網(wǎng)界限區(qū)必需串接防火墻，規(guī)劃設(shè)計(jì)緊要業(yè)務(wù)系統(tǒng)—獨(dú)立安全域，與他網(wǎng)絡(luò)區(qū)域之間須串接防火墻或網(wǎng)關(guān)等安全設(shè)備。加強(qiáng)服務(wù)器賬戶密碼管理，杜絕全部服務(wù)器、交換機(jī)等設(shè)備使用一個(gè)密碼等情況，加強(qiáng)密碼安全強(qiáng)度，不使用簡(jiǎn)單密碼、弱口令。三是強(qiáng)化數(shù)據(jù)管理。對(duì)我院成電子檔案、數(shù)字法庭同步錄音錄像數(shù)據(jù)完成數(shù)據(jù)備份。結(jié)合我院實(shí)際情況，訂立完善的數(shù)據(jù)備份方案，并依據(jù)方案，樂(lè)觀協(xié)調(diào)縣財(cái)政支持將涉及到的設(shè)備和軟件系統(tǒng)列入預(yù)算中，樂(lè)觀完成采購(gòu)安裝，確保數(shù)據(jù)的安全。訂立完善備份方案，做到備份充分有效，每月至少一次檢驗(yàn)備份數(shù)據(jù)和恢復(fù)流程的有效性，確保業(yè)務(wù)系統(tǒng)或業(yè)務(wù)數(shù)據(jù)受損后能夠快速恢復(fù)或重修；要做到備份和檢驗(yàn)工作形成記錄備查。四是專網(wǎng)接入終端管理。加快ca身份認(rèn)證系統(tǒng)的采購(gòu)、安裝、使用工作，強(qiáng)化應(yīng)用系統(tǒng)用戶準(zhǔn)入。冀高法發(fā)〔20xx）64號(hào)和冀高法（20xx）119號(hào)文件要求，采用終端桌面管理系統(tǒng)，強(qiáng)化終端管理，專網(wǎng)終端做到專網(wǎng)專用，禁止專網(wǎng)電腦上使用u盤等移動(dòng)存儲(chǔ)介質(zhì)。訂立專網(wǎng)入制度，通過(guò)專網(wǎng)管理設(shè)備、軟件，對(duì)院機(jī)關(guān)、派出法庭專網(wǎng)接入的電腦、攝像頭等設(shè)備進(jìn)行管控。四、即查即改，掌控風(fēng)險(xiǎn)切實(shí)強(qiáng)化風(fēng)險(xiǎn)管控，結(jié)合我院實(shí)際，科學(xué)訂立應(yīng)急預(yù)案，科學(xué)—運(yùn)用技術(shù)手段，避開因整改影響關(guān)鍵信息基礎(chǔ)設(shè)施的正常運(yùn)行