2011政府信息系统安全检查指南

2011政府信息系统安全检查指南（共9篇）

篇1：2011政府信息系统安全检查指南

关于印发2011年度安徽省政府信息 系统安全检查指南的通知

(节选)

一、检查范围

为各地、各部门履行职能提供支撑的非涉密信息系统，包括自行运行和维护管理以及委托其他机构运行和维护管理的办公系统、业务系统、网站系统等。各地、各部门的重要业务系统、门户网站是检查重点。

政府信息系统安全检查，是指依据国家、省有关政策规定，参照国家信息安全技术标准规范，对信息系统安全保障工作进行检测评估、查找隐患、规范管理、完善措施、落实整改、通报情况的过程，包括进行信息安全风险评估、安全检测、等级测评等。

涉及国家秘密的信息系统保密检查工作，按照国家保密管理规定和标准执行.五、检查内容

主要检查信息安全有关规章制度落实情况、技术防护措

施及其有效性、2010年度信息系统安全检查中发现问题的整改情况。

（一）信息安全组织机构

信息安全工作主管领导、信息安全管理机构、信息安全专职工作机构、专职信息安全员等设置情况。按照《安徽省人民政府办公厅转发国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》（皖政办发〔2008〕21号）文件要求，各部门要明确一名领导主管信息安全工作，应指定一个内设机构承担信息安全管理工作，各内设机构指定一名专职或兼职信息安全员。

（二）日常信息安全管理

1、人员管理。查验相关文档、文件、记录等，检查信息安全和保密责任制建立及落实情况，重要岗位人员安全保密协议签订情况，人员离岗离职信息安全管理情况，外部人员访问机房等重要区域管理情况，违反制度规定造成信息安全事件的责任查处情况等。

2、资产管理。检查资产管理制度建立及落实情况，办公软件、应用软件等安装与使用情况，计算机及相关设备维修维护管理、存储设备报废销毁管理情况等。

3、运维管理。检查信息系统运营和使用权限管理、重要变更审批备案、日常运维操作管理、安全日志定期备份和分析等情况。对于委托外单位运行管理的，应查看服务合同

和安全保密协议等。

（三）等级保护与风险评估

1、等级保护。检查信息安全等级保护有关文件要求的落实情况。通过查看等级保护定级备案、等级测评报告等相关文档，检查信息系统定级、测评、整改等情况。

2、风险评估。检查信息安全风险评估有关文件要求的落实情况。通过查看风险评估报告等，检查风险评估工作的开展。

（四）技术防护手段建设

1、网络边界安全防护。检查系统总体网络架构、区域划分及边界防护、网络管理等情况；互联网接入情况；终端接入互联网时是否有安全信息提示措施等；边界防护设备部署、使用及策略配置情况。

2、信息安全产品部署及使用。提供信息系统完整的网络拓扑图，包括总体网络架构、子系统、终端节点、区域划分、边界防护设备（防火墙、入侵检测设备、防病毒网关和安全审计设备）及对外网络接口等，提供边界防护设备日志。

3、服务器安全防护。检查服务器上应用、服务、端口以及系统补丁等情况，账号口令强度及更新情况，病毒木马防护措施及漏洞扫描、病毒木马检测情况。

4、网络设备安全防护。检查安全策略配置有效性；账

号口令强度和更新情况；漏洞扫描情况。

5、终端计算机和移动存储设备安全防护。检查终端计算机是否采取集中安全管理方式，计算机账号口令强度和更新情况；终端计算机接入互联网安全控制措施（如实名接入、对计算机IP和MAC地址进行绑定、指定固定上网IP地址等）；是否安装病毒防护软件，定期进行漏洞扫描、病毒木马检测；是否在非涉密和涉密信息系统间混用了计算机和移动存储设备，是否使用了非涉密计算机处理涉密信息等。

6、门户网站安全防护。检查网站信息发布审批制度建立及落实情况；边界防护、抗拒绝服务攻击、网页防篡改等安全防护设备的部署情况，以及安全配置策略的有效性；是否定期进行漏洞扫描、木马检测等。

7、密码技术防护。检查采用密码技术对信息系统、终端计算机、电子文档等进行防护的情况，使用的密码技术产品及含有密码技术的信息技术产品是否符合国家密码管理规定。

8、网络信任措施。检查采用数字证书实现身份认证和授权管理的情况，使用的数字证书是否符合国家电子认证服务管理规定。

（五）应急管理工作开展

1、应急预案。检查《安徽省网络与信息安全事件应急预案》落实情况，重要信息系统是否制定了本部门信息安全

应急预案文本及宣贯培训记录、灾难备份工作开展情况等。

2、应急演练。检查是否按照要求开展了信息安全应急演练。对于已开展演练的，应检查演练相关文档（包括演练组织单位、参与部门、演练责任人、演练时间、演练内容等）。

3、应急技术支援队伍。检查是否按照要求明确应急技术支援队伍。对于已明确的，应检查签订的合同和安全保密协议，掌握应急技术支援队伍的基本情况以及开展的应急技术支援活动等。

4、灾难备份。检查重要业务系统和网站的数据是否进行备份，是否配备冗余的通信线路、网络设备、服务器，已进行灾难备份的应查看备份记录、检查相关冗余设备。对于采用社会第三方灾难备份服务的，应检查签订的合同和安全保密协议以及灾难备份服务的运维情况等。

5、信息安全事件应急处置。检查本年度发生的信息安全事件及处置情况。对于发生重大信息安全事件的，应检查是否进行了及时处置，是否按照要求上报和通报等。（信息安全事件分级依据《安徽省网络与信息安全事件应急预案》）。

（六）信息技术产品和信息安全产品使用

1、信息技术产品。检查服务器、网络设备、操作系统、储存设备、终端计算机、字处理软件等国产化情况。在使用捐赠服务器、网络设备、存储阵列等产品，应检查产品应用

范围、签订的相关协议，以及使用前是否进行安全测评等。

2、信息安全产品。在进行网络边界安全防护检查时，查看防火墙、入侵检测设备、安全审计设备、VPN设备等信息安全产品等国产化情况。使用捐赠的信息安全产品，应检查产品应用范围、签订的相关协议，以及使用前是否进行安全测评等。

本指南中的国产终端计算机、国产字处理软件、国产信息安全产品，暂按以下方法进行认定：（1）国产终端计算机应具有国内品牌，最终产品在中国境内生产，并符合法律法规和政策规定的其他条件；（2）国产字处理软件应具有国内品牌，最终产品在中国境内生产，拥有核心模块的自主知识产权和源代码，并符合法律法规和政策规定的其他条件；（3）国产信息安全产品应具有国内品牌，最终产品在中国境内生产，拥有核心模块的自主知识产权和源代码，通过国家认定的信息安全产品检测实验室的检测，并符合法律和政策规定的其他条件。

（七）信息安全服务

查看信息安全外包服务项目清单，包括外包服务内容、服务商名称、服务商性质（外资、非外资）、合同和安全保密协议、服务方式（远程在线服务、现场服务或其他等）。

（八）信息安全教育培训

机关工作人员参加信息安全教育培训、掌握信息安全常

识和基本技能情况，信息安全管理和技术人员参加信息安全专业培训情况、重点岗位持证上岗等情况。

（九）信息安全经费保障

检查信息安全防护设施建设、运行、维护、检查及管理等费用是否纳入单位年度预算，以及本年度信息安全经费实际投入情况等。

(十)安全隐患排查及整改

重点检查对安全制度、防范措施、设备设施等方面存在的漏洞和薄弱环节的排查情况，以及分析产生问题的隐患的原因，研究制定和落实整改措施等情况。

六、时间安排

各地、各单位可根据实际情况，统筹规划和组织部署信息系统安全检查工作，并对安全检查工作进行认真总结、分析和评估，于2011年12月31日前将安全检查报告报送安徽省网络与信息安全协调小组办公室。

协调小组办公室将及时跟踪、掌握、汇总安全检查情况，并将安全检查结果报送工业和信息化部。

七、工作要求

（一）各单位要把信息系统安全检查列入重要议事日程，切实加强组织领导，完善检查工作机制，落实检查工作经费，开展宣传教育培训活动，确保检查工作顺利开展。按照《安徽省政府信息系统安全检查实施办法》的要求，参照

本指南制定具体的安全检查实施方案和工作计划，并认真组织实施。建立信息安全检查责任制，明确检查责任，落实检查组织机构、参与单位及检查人员。

（二）可组织所属信息中心等单位开展安全检查工作，也可根据需要委托外部专业机构协助开展技术检测工作。

全面参与技术检测的外部专业机构应至少满足以下条件：

1、事业单位；

2、从事信息安全检测或相关工作两年以上；

3、专业技术检测人员10人以上，均签订两年以上劳动合同；

4、参与技术检测的人员均为中国公民，无违法犯罪记录，并签订安全保密协议。

（三）委托外部专业机构协助开展技术检测，应与检测机构及参与检测的人员签订安全保密协议，明确安全保密责任和义务。

安全保密协议应包括以下内容：

1、检测机构应遵守国家有关法律法规，客观、公正地提供检测服务；

2、检测机构应保证所提供相关材料的真实性；

3、检测机构不得向其他单位和个人泄露数据和检测结果，不得利用检测数据谋取利益；

4、检测机构应采取有效安全措施，防止因技术检测引发信息安全事件；

5、检测机构不得将检测任务分包或转包。

（四）强化安全检查过程的安全保密和风险控制，切实加强对检查活动、检查人员以及相关文档和数据的安全保密

管理，周密制定检查工作应急预案，确保被检查信息系统的安全正常运行。

八、检查报告

（一）检查报告内容

检查报告主要包括三方面内容：一是信息安全总体情况。包括本年度信息安全工作主要情况，安全检查工作开展情况及检查效果，对本单位信息安全状况的总体评价；二是主要问题及整改情况。三是经验总结及意见建议。包括本部门安全检查工作的经验总结，对安徽省网络与信息安全检查工作的意见建议。

根据检查结果编制检查报告，范围限于各部门本级机关及派出机构。

根据检查结果的敏感程度确定检查报告密级，并在检查报告上明确标识。

（二）报送方式

检查报告以各单位办公室名义报送安徽省网络与信息安全协调小组办公室。

九、安全抽查

按照《安徽省政府信息系统安全检查实施办法》要求，省网络与信息安全协调小组办公室会同有关单位组织开展政府信息系统安全抽查工作。抽查方式分为现场安全抽查和外部安全抽查。

（一）现场抽查。主要抽查2010年度安全检查中发现问题的整改情况，2011年度安全检查工作开展情况。相关单位应积极配合抽查工作，指定抽查工作负责人和联络员，落实所需办公场所、办公设备、网络资源等必要条件，提供抽查工作涉及的信息系统资产信息、信息系统建设运维情况、信息安全规章制度等相关文件、文档和记录。

（二）外部安全检查。定期对全省各部门、各单位门户网站进行外部检查，重点检测网站漏洞、网页挂马等情况。

附件：信息安全检查报告编制要求

附件：

信息安全检查报告编制要求

信息安全检查报告包括工作报告和技术报告，编制要求分别如下：

一、工作报告主要内容

1、概述

2、检查工作组织和实施情况。

3、检查发现的主要问题及概要统计分析。

4、被检查单位信息安全状况的总体评价。

5、主要的整改建议措施，以及对信息安全检查工作的建议。

二、技术报告主要内容

1、任务来源和检查依据。

2、检查工作开展情况。概要说明检查准备阶段、实施阶段和总结阶段所做的工作。

3、检查的信息系统基本情况，抽取的服务器、网络设备、终端计算机等相关设备情况。

4、检查结果。对照本规范中关于检查内容的要求，逐项、客观陈述检查和技术测试结果。

5、主要问题及分析。对检查中发现的问题、存在的安全漏洞和隐患进行分类汇总，对可能造成的危害与影响进行分析，对检查数据类项目进行统计（辅以图表形式），对被检查单位信息安全状况进行总体评价。

6、整改建议。针对检查中发现得问题，有针对性地提出整改措施建议。

篇2：2011政府信息系统安全检查指南

市信息化办公室：

为进一步加强我县信息安全工作水平，根据省市信息化管理办公室关于开展2011政府信息系统安全检查的通知精神，结合我县实际，对信息系统安全情况进行了自查，自查情况如下：

一、自查情况

1、安全制度落实情况：

目前我县已制定了《扶沟县网络信息安全管理制度》、《扶沟县计算机信息系统安全保密管理制度》、《扶沟县涉密人员管理制度》等制度并严格执行。明确专业信息管护人员负责信息系统安全管理，密码管理，且规定严禁外泄。进一步提升网站建设的服务水平，县领导带头上网学习和提出网站建设新要求；完成了网站域名注册和规范管理；及时转载市县两级党委政府重大活动和决策部署信息，及时反馈贯彻落实上级决策、部署情况。网站信息公开水平进一步提高，开设了政务公开栏，按照政务公开的要求，主动、及时公开全县的重大活动、发展规划、政策落实等信息，并做到了专人时常更新，职工和群众反应良好。

2、安全防范措施落实情况：

（1）涉密计算机经过了信息系统安全技术检查，并安装了防火墙，同时配置安装了专业杀毒软件，加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。

（2）涉密计算机信息系统已建立，处于物理隔离未接入互联网，除专人使用和管理之外任何人不得接触或查看涉密计算机信息系统。禁止在非涉密计算机及信息系统内保存或流转任何涉密文件和内部敏感信息，所有涉密文件和内部敏感信息一律保存在涉密计算机信息系统中。涉密计算机信息系统配备单独的移动存储介质，不使用本单位以外的移动存储介质，禁止使用来历不明或未经杀毒的一切移动存储介质。

（3）除政务信息公开场所使用无线局域网外，各单位其他一切硬件设施均采用有线连接，有效地避免了信息在无线局域网中泄漏。

（4）各单位在安装杀毒软件时采用国家主管部门批准的查毒杀毒软件适时查毒和杀毒，不使用来历不明、未经杀毒的软件、软盘、光盘、U盘等载体，不访问非法网站，自觉严格控制和阻断病毒来源。在单位外的U盘，不得携带到单位内使用，计算机在局域网中正常使用多功能一体机进行打印、扫描等，都是公开的、未涉密的。

3、应急响应机制建设情况：

（1）制定了初步应急预案，并处于不断完善阶段。

（2）对信息系统数据进行定期备份，以降低或消除各种灾难对正常工作的影响。

4、信息技术产品应用情况：

使用防火墙、安全网闸与入侵检测系统，有效保护信息系统安全。

5、信息安全教育培训情况：

（1）不断加强对计算机使用者的安全培训工作，强化每一个使用者安全使用网络的能力，提高安全防范意识，对每台入网计算机的使用者、IP地址进行登记造册。

（2）组织人员参加网络安全员培训。增强内部人员的信息安全防护意识，有效提高单位信息工作者的信息安全防护能力。

二、信息安全检查发现的主要问题及整改情况

1、目前存在的问题：

（1）规章制度体系初步建立，但还不够完善，未能覆盖信息系统安全的所有方面。

（2）不少信息系统使用人员安全意识不强，在管理上缺乏主动性和自觉性。

（3）网络安全技术管理人员配备较少，信息系统安全方面投入的力量有限。

2、整改措施：

（1）.依据《国家信息安全技术标准规范》，结合我县信息系统安全检查工作要求，再次检查规章制度各个环节的安全策略与安全制度，并对其中不完善部分进行了重新修订与修改；切实增强信息安全制度的落实工作，不定期对安全制度执行情况进行检查。

（2）.加强信息网络安全技术人员培训，使安全技术人员及时更新信息网络安全管理知识，提高相关管理及法律法规等的认识，不断地加强信息网络安全管理和技术防范水平；

（3）.加大网络安全设备的投入，进一步强化信息系统客户端安

篇3：2011政府信息系统安全检查指南

一、充分认识开展政府信息系统安全检查工作的重要意义

随着信息技术的发展和广泛应用, 信息已经成为国家的重要战略资源, 信息安全已成为21世纪国家安全的焦点和制高点, 并且已经成为国家安全的新重心。信息安全是全面推进我国国民经济和社会信息化进程的重要保障。党中央、国务院高度重视信息安全问题, 先后做出了一系列重要决策和部署。中央领导同志多次就加强信息安全保障工作做出重要指示。政府信息系统上承载着政府部门大量重要信息资源, 信息系统安全是政府信息安全工作的核心。应该说, 定时不定时开展信息系统安全检查工作, 对政府信息安全具有很重要的意义, 它是发现和消除信息安全隐患、预防涉密信息泄露事件发生的重要措施, 也是开展信息安全宣传和学习的一种有效形式。对此, 我们应保持清醒的头脑, 充分认识当前政府信息系统存在的安全问题, 进一步增强做好政府信息系统安全工作的紧迫感和责任感, 把政府信息系统安全工作抓紧抓好。

二、山东省信息安全工作的情况和问题

山东省按照国家的统一的布置, 在相关部门的支持和配合下扎实推进工作, 健全了网络与信息安全的组织管理体系, 重新调整成立了网络与信息安全协调小组, 初步形成了全省信息安全相关部门密切配合的工作机制;出台了一系列政策文件;开展了网络信任体系和应急支援平台的建设, 风险评估、应急协调、灾难备份等工作取得突破性进展。在各方的大力支持和配合下, 山东省没有发生大规模的病毒传播、严重的网上犯罪事件及失泄密事件。重要信息系统都保证了安全可靠运行。对一些热点和焦点问题也及时采取有效防范措施, 确保了山东省全省信息安全形势总体平稳。但从以往的信息安全检查情况看, 山东省重点业务系统及政府信息系统还存在不少问题:网络与信息系统综合防范手段匮乏, 信息安全管理薄弱, 应急处理能力不强, 信息安全管理和技术人才缺乏。随着我省信息化建设和应用的加快, 多样化的侵害和信息安全隐患将会不断地暴露出来, 使山东省网络与信息安全工作面临着更大的威胁和风险。

三、工作要求

开展政府信息系统安全检查是做好信息安全保障工作的重要手段。为做好此项工作, 具体要求如下。

一要加强领导, 精心组织。此次政府信息系统安全检查工作由省经信委会同安全厅、保密局、密码管理局组织实施, 负责制定切实可行的检查方案, 成立检查组对各部门进行全面检查。各单位要高度重视, 明确分管领导, 安排专人负责, 按规定时间认真做好本单位自查工作, 同时做好本单位二级机构的检查工作, 并将检查结果汇总后一并上报。

二要认真查改, 不留漏洞。检查的目的是发现、消除重要信息网络安全隐患, 是督促帮助大家落实安全措施, 提高防护能力。各单位要认真对照检查, 对查出的问题, 要及时加以整改, 该进一步健全制度的要健全制度, 该加强技术防护的要落实经费购买相关软硬件防护, 不遗留一处安全漏洞。安全检查要突出重点, 注重实效, 保证质量。鉴于政府信息系统安全检查工作技术性和专业性较强, 各单位可聘请专家或专业的安全技术公司协助开展技术检测工作。

三要规范程序, 明确责任。实施安全检查的机构及人员要严格遵守检查工作纪律, 强化安全检查过程中的安全保密和风险控制, 加强对检查活动、检查人员以及相关文档和数据的安全保密管理。检查结果除按规定报送外, 不得提供给其他单位和个人。对违反信息安全和保密管理规定造成泄密事件和信息安全事故的, 要依法追究当事人的责任。对检查工作组织领导不力, 有关要求不落实的, 要予以通报批评。未能及时发现问题或漏洞导致安全事故的, 要承担相应的责任。

篇4：政府信息系统安全保障技术

关键词：政府信息系统安全；安全隐患；保障技术

中图分类号：TP309文献标识码：A文章编号：1007-9599 (2011) 07-0000-01

Government Information System Security Technology

Li Pengchong

(Jilin SASAC Information Center,Changchun130021,China)

Abstract:The government information system safety relates directly to the country's security and sovereignty,so the guarantee of their safety is extremely important and highly strict.Based on this,this paper stated these hidden safe trouble at first briefly,then listed the common and more practical measures and technology.Finally,we got some conclusions and prospects.

Keywords:Government Information System Security;Security risks;Security Technology

一、引言

政府管理网络化是一个新的决策，有利也有弊。首先它有利于行政决策科学化与民主化，政府上网能保证行政决策信息高质、多量；其次能提高行政决策过程的透明度，有利于民众的广泛参与；在此能强化对行政决策的监督，降低决策执行中变形的发生率；最后能收缩行政决策的范围，有利于地方政府行使自主权，提高地方政府的行政能力。但是，我们也应该注意到网络技术在与行政决策的结合中，也会给行政决策带来许多困难和问题，所以使政府的信息系统安全面临很多的挑战。基于此，本文对政府信息系统的安全保障技术进行了详细的阐述[1]。

二、政府信息系统安全保障技术[2]-[5]

政府信息系统安全存在很多隐患，包括自然威胁（于各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备的自然老化等）；人为威胁（网络威胁、各种病毒、木马以及黑客攻击）；管理的欠缺；网络资源滥用；信息泄露等。对于这些安全问题，应该要采取一些有效的保障技术和措施。

（一）加密技术

1.对称加密技术。在对称加密技术中，对信息的加密和解密都使用相同的密钥，也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程，信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露，那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足，如果交换一方有多个交换对象，那么他就要维护多个私有密钥，对称加密存在的另一个问题是双方共享一把私有密钥，交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES的一种变形，这种方法使用两个独立的56为密钥对信息进行3次加密，从而使有效密钥长度达到ll2位。

2.非对称加密技术。在非对称加密体系中，密钥被分解为一对。这对密钥中任何一把都可以作为公开密钥通过非保密方式向他人公开，而另一把作为私有密钥加以保存。公开密钥用于加密，私有密钥用于解密，私有密钥只能有生成密钥的交换方掌握，公开密钥可广泛公布，但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信，广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上，是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。

（二）用户识别和鉴别

识别就是分配给每个用户一个ID来代表用户和进程。鉴别是系统根据用户的私有信息来确定用户的真实性，防止欺骗。识别的方法较简单，如UID、PID。口令机制是最常用的鉴别方法。随着生物技术发展，利用指纹、视网膜等可提高鉴别强度。现在经常使用的还有数字签名等方法。

（三）防火墙技术

防火墙是网络安全的屏障，配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。

当网络接上互联网之后，系统的安全除了考虑计算机病毒、系统的健壮性之外，更主要的是防止非法用户的入侵，而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。通过以防火墙为中心的安全方案配置，能将所有安全软件配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。

（四）地址防盗用

在数据网络上，IP地址由于可以通过系统更改，完全可能被非法用户监听后盗用。需要接入交换机能提供“端口+MAC地址+IP地址”的三者绑定，杜绝其他用户盗用地址的可能。

（五）建设好政府网络安全管理队伍

在进计算机网络系统中，绝对的安全是不存在的，制定健全的安全管理体制是计算机网络安全的重要保证，只有通过网络管理人员与使用人员的共同努力，运用一切可以使用的工具和技术，尽一切可能去控制、减小一切非法的行为，尽可能地把不安全的因素降到最低。同时，要不断地加强计算机信息网络的安全规范化管理力度，大力加强安全技术建设，强化政府内部使用人员和管理人员的安全防范意识。网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略，为了更好地进行安全管理工作，应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。只有共同努力，才能使计算机网络的安全可靠得到保障，从而使政府网络健康运行。

三、结论与展望

政府网络的安全直接关系到我们整个国家的安全和主权，是不容忽视的，截收、非法访问、破坏信息的完整性、冒充、抵赖、重演等威胁都是信息系统的致命伤害。我国对密码技术和产品有着严格有效的管理，政府上网涉及到密码技术或产品的使用时，应严格按照国家密码主管部门的有关规定办理。同时，我国的技术人才在信息维护和安全保障方面应该要不断寻求更为有效的技术和措施。

参考文献

[1]马希敏.政府决策面临的网络化挑战及对策[J].2004,2:60-61

[2]张娟苗.网络安全与防范技术[J].广东科技,2010,10:54-55

[3]李星.浅析网络安全技术[J].计算机光盘软件与应用,2010,11:91

[4]吴琼,崔大鹏.政府网络安全防范技术[J].信息技术,2003,3:65-68

篇5：2011政府信息系统安全检查指南

报告

政府办：

根据县人民政府办公室《关于组织开展2011年度政府信息系统安全检查工作的通知》要求，结合我局工作实际，对政府信息系统网络进行了大检查，确保政府信息安全正常运行，现将自查情况报告如下：

一、领导重视、制度完善

为进一步加强我局政府信息安全工作的领导，成立了政府信息安全工作领导小组，由局长赵斌担任组长，副局长任永华、史学英任副组长，各科室负责人为成员，办公室设在局办公室，由李红云办公室主任，李红云、张云斌负责处理日常工作，寸文生负责网络安全工作。建立了安全责任制、应急预案、值班制度、信息发布审核制度、政府信息公开工作制度、保密审查制度、内部考核、社会评议、责任追究制度等。建立健全了工作机构，完善了工作机制，落实了领导责任制，主要领导亲自过抓，分管负责人直接抓，一级抓一级，层层抓落实。严格信息安全事故责任追究制度，2011年没有发生安全责任事故。

二、严格要求防范措施

（一）强化安全防范措施。我局严格按照网站程序升级、服务器托管、网站维护等方面存在的突出问题，进一步强化了安全防范措施。一是对本单位信息系统的帐户、口令、软件补丁等每周进行了一次清理检查，及时更新和升级，杜绝了弱口令、弱密码、消除了安全隐患。二是本单位实行每天查看，对操作系统存在漏洞、防毒软件配置不到位的计算机坚决断掉网络连接，发现问题，及时上报、处理。三是对本单位有计算机的使用者进行了安全培训和对每台入网计算机的使用者、进行了登记造册，由我局网络维护中心统一进行管理。

（二）采取特殊管理措施。我局一是关闭或删除不必要的应用、服务、端口和链接，限制易被攻击，禁止打开不必要的网站。二是严格信息发布审核，确保所发布信息内容的准确性和真实性。三是严格执行信息安全“五禁止”规定。严禁在非涉密计算机上处理、存储、传递涉密信息。严禁办公内网与互联网相连。严禁在国际互联网上利用电子邮件系统传递涉密信息。严禁在各种论坛、聊天室、博客等发布、谈论国家秘密信息。严禁利用QQ等聊天工具传送、谈论国家秘密等信息。

（三）落实安全应急预案和应急演练。我局已经做好各项准备工作，对可能发生的各类信息安全事件做到心中有数，进一步完善了信息安全应急预案，明确应急处置流程，落实了应急技术支撑队伍（寸文生、陈开科等懂网络、电脑

2技术的同志负责的网络维护中心），把工作做深做细做在前面。积极组织开展了应急演练，检验了应急预案的可操作性，提高了应急处置能力。

三、严肃纪律落实责任

我局加强了值班值守制度，节假日局办公室关闭网络总电源开关，业务科室24小时值班。做到了通信联络畅通，重大事项及时按规定上报。为了保证重要网络安全的严肃性，确保政府信息系统安全工作的各项工作落到实处，层层落实了责任，使我局政府信息系统安全工作逐步走上了程序化、规范化轨道。

我局按县政府的要求，政府信息系统安全工作的安全检查基本完成，通过我局自查还存在一些不足之处，主要表现在部分工作人员计算机、网络操作维护水平有待于进一步提高，安全意识需进一步加强。在下一步的工作中，我局将发扬成绩，克服不足，在政府信息系统安全工作方面取得更好的成效。

篇6：政府信息系统安全检查自查报告

根据巩义市信息化工作领导小组办公室《2011年政府信息系统安全检查实施方案》(巩信组办[2011]3号)文件精神。我街道对本镇信息系统安全情况进行了自查，现汇报如下：

一、自查情况(一)安全制度落实情况

1、成立了安全小组。明确了信息安全的主管领导和具体负责管护人员,安全小组为管理机构。

2、建立了信息安全责任制。按责任规定:保密小组对信息安全负首责，主管领导负总责，具体管理人负主责。

3、制定了计算机及网络的保密管理制度。网站的信息管护人员负责保密管理，密码管理，对计算机享有独立使用权，计算机的用户名和开机密码为其专有，且规定严禁外泄。

(二)安全防范措施落实情况

1、涉密计算机经过了保密技术检查，并安装了防火墙。同时配置安装了专业杀毒软件，加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面有效性。

2、涉密计算机都设有开机密码，由专人保管负责。同时，涉密计算机相互共享之间没有严格的身份认证和访问控制。

3、网络终端没有违规上国际互联网及其他的信息网的现象，没有安装无线网络等。

4、安装了针对移动存储设备的专业杀毒软件。

(三)应急响应机制建设情况

1、制定了初步应急预案，并随着信息化程度的深入，结合我街道实际，处于不断完善阶段。

2、坚持和涉密计算机系统定点维修单位联系机关计算机维修事宜，并商定其给予镇应急技术以最大程度的支持。

3、严格文件的收发，完善了清点、修理、编号、签收制度，并要求信息管理员每天下班前进行系统备份。(四)信息技术产品和服务国产化情况

1、终端计算机的保密系统和防火墙、杀毒软件等，皆为国产产品。

2、公文处理软件具体使用金山软件的WPS系统。

3、工资系统、年报系统等皆为市政府、市委统一指定产品系统。

(五)安全教育培训情况

1、派专人参加了市政府组织的网络系统安全知识培训，并专门负责我街道的网络安全管理和信息安全工作。

2、安全小组组织了一次对基本的信息安全常识的学习活动。

二、自查中发现的不足和整改意见

根据《实施方案》中的具体要求，在自查过程中我们也发现了一些不足，同时结合我街道实际，今后要在以下几个方面进行整改。

1、安全意识不够。要继续加强对机关干部的安全意识教育，提高做好安全工作的主动性和自觉性。

2、设备维护、更新及时。要加大对线路、系统等的及时维护和保养，同时，针对信息技术的飞快发展的特点，要加大更新力度。

3、安全工作的水平还有待提高。对信息安全的管护还处于初级水平，提高安全工作的现代化水平，有利于我们进一步加强对计算机信息系统安全的防范和保密工作。

4、工作机制有待完善。创新安全工作机制，是信息工作新形势的必然要求，这有利于提高机关网络信息工作的运行效率，有利于办公秩序的进一步规范。

篇7：2011政府信息系统安全检查指南

市政府网管中心：

根据《通知》要求，我局对本部门信息系统安全情况进行了自查，现将具体情况汇报如下：

一、基本情况

按照《通知》要求，我局立即组织开展全局范围的信息系统安全检查工作，对我局的业务信息系统、网络安全情况等作了全面检查。

二、2014年信息安全主要工作情况

（一）信息安全制度落实情况；我局严格按照上级部门要求，全面落实安全防范措施，全力保障信息系统安全工作，积极开展信息安全应急演练，有效降低、防范信息安全风险，应急处置能力得到切实提高，保证了信息系统持续安全稳定运行，建立建全信息安全制度。我局针对信息化工作，制订了有关规章制度，对内部网络安全管理、计算机及网络设备管理、数据、资料和信息的安全、政府信息公开保密审查等各方面都作了详细规定，进一步规范了我局信息安全管理工作。

（二）信息安全管理与技术防护情况：

1.加强日常监督，遵照“涉密计算机不上网，上网计算机不涉密”的工作原则，严格按照保密要求处理光盘、硬盘、U

盘等存储介质的管理、维修和销毁工作。涉密计算机经过了保密技术检查，并安装了防火墙。同时配置安装了专业杀毒软件，加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。

2.定期进行系统数据备份，及时对系统软件进行更新、升级，对系统数据、信息资源做到及时备份。

（三）安全防范措施落实情况

1.为确保我局网络信息安全工作有效顺利开展，积极与网络安全经验丰富的技术人员取得联系，不定期对网络安全保障工作进行检查。

2.登录系统都设有专门的账户名及密码，由操作人员负责保管。

（四）应急管理

1.与系统外包单位紧密联系，实时监控系统运用，并商定其给予局应急技术以最大程度的支持。

2.定时对系统和软件进行更新，对重要文件、信息资源做到及时备份，数据恢复。

三、检查发现的主要问题和面临的威胁

在自查过程中我们发现了一些不足：一是专业技术人员较少，信息系统安全方面可投入的力量有限；二是规章制度体系初步建立，但还不完善，未能覆盖相关信息系统安全的所有方面；三是遇到计算机病毒侵袭等突发事件处理不够及

时。

四、改进措施与整改效果

(一)继续加强对局机关干部的安全意识教育，提高做好安全工作的主动性和自觉性。

(二)切实增强信息安全制度的落实工作，不定期的对安全制度执行情况进行检查，对于导致不良后果的责任人，要严肃追究责任，从而提高人员安全防护意识。

(三)以制度为根本，在进一步完善信息安全制度的同时，安排专人，完善设施，密切监测，随时随地解决可能发生的信息系统安全事故。

（四）提高安全工作的现代化水平，加大人员培训力度，提高系统管理人员的专业技术水平，以便进一步加强对计算机信息系统安全的防范和保密工作。

五、关于加强信息安全工作的意见和建议

希望市政府能够经常性地组织有关信息系统安全、网络安全等方面的专业培训，进一步提高信息系统管理工作人员的专业技术水平，强化信息系统的安全防范工作。

篇8：2011政府信息系统安全检查指南

安全检查工作通常包括检查工作部署、信息系统基本情况梳理、日常工作情况检查、安全技术检测、检查总结整改等五个环节。

检查工作部署

检查工作部署通常包括制定检查方案、成立检查工作组、下达检查通知等。

1. 制定检查方案

网络安全管理部门应根据中央网络与信息化领导小组办公室关于年度信息安全检查工作的统一安排,结合工作实际,制定检查方案,并报本单位网络安全主管领导批准。

检查方案应当明确如下内容:检查工作负责人、组织机构和具体实施机构;检查范围和检查重点;检查内容;检查工作组织开展方式;检查工作时间进度安排;有关工作要求。

(1)关于检查范围。检查的范围通常包括本单位各内设机构,以及为本单位信息系统(包括办公系统、业务系统、网站系统等)提供运行维护支撑服务的下属单位。可根据本单位网络安全保障工作需要,将其他为本单位信息系统提供运维服务、对本单位信息系统安全可能产生重大影响的相关单位纳入检查范围。

(2)关于检查重点。在对各类信息系统进行全面检查的基础上,应突出重点,对事关国家安全和社会稳定,对地区、部门或行业正常生产生活具有较大影响的重要信息系统进行重点检查。

(3)关于重要信息系统。可根据本单位实际,参考七方面标准进行判定:关系国家安全和社会稳定;业务依赖度高;数据集中度高(全国或省级数据集中);业务连续性要求高;系统关联性强(发生重大信息安全事件后,会对与其相连的其他系统造成较大影响,并产生连片连锁反应);面向社会公众提供服务,用户数量大,覆盖范围广;灾备等级高(系统级灾备)。

2. 成立检查工作组

本单位网络安全管理部门制定完成检查方案后,应及时成立检查工作组,组织开展培训,保证工作组成员熟悉检查方案,掌握检查内容、检查工具使用方法等。工作组成员通常由信息安全管理及运维部门、信息化部门有关人员,相关业务部门中熟悉业务、具备信息安全知识的人员,以及本单位相关技术支撑机构的业务骨干等组成。

3. 下达检查通知

本单位网络安全管理部门应以书面形式部署网络安全检查工作,明确检查时间、检查范围、检查内容、工作要求等具体事项。

信息系统基本情况梳理

对信息系统进行全面梳理,目的是及时掌握本单位信息系统基本情况,特别是变更情况,以便针对性地开展网络安全管理和防护工作。

1.基本信息梳理

查验信息系统规划设计方案、安全防护规划设计方案、网络拓扑图等相关文档,访谈信息系统管理人员与工作人员,了解掌握系统基本信息,主要包括以下三方面的具体内容。

(1)信息系统的主要功能、硬件环境部署位置、网络拓扑结构、服务对象、用户规模、业务周期、运行高峰期等;

(2)业务主管部门、运维机构、系统开发商和集成商、上线运行及系统升级日期等;

(3)定级情况、数据集中情况、灾备情况等。

2.系统构成情况梳理

重点梳理主要硬件和软件设备类型、数量、生产商(品牌)情况。其中硬件设备类型主要有服务器、路由器、交换机、防火墙、终端计算机、磁盘阵列、磁带库及其他主要安全设备;软件类型主要有操作系统、数据库、公文处理软件及主要业务应用系统。

日常工作情况检查

网络安全日常工作情况检查通常包括规章制度完整性、网络安全管理、安全技术防护、信息安全应急、网络安全教育培训等方面情况的检查。

1.规章制度完整性检查

调阅网络安全管理相关制度文档,检查管理制度体系是否健全,即是否涵盖人员管理、资产管理、采购管理、外包管理、应急管理、教育培训等方面。另一方面表现在检查管理制度是否以正式文件等形式发布。

2.网络安全管理情况检查

网络安全管理情况检查一定程度上是对管理制度贯彻执行程度的考核,它包含了组织管理情况检查、人员管理情况检查、资产管理情况检查、采购管理情况检查、外包服务管理情况检查、经费保障情况检查等六方面内容。

(1)组织管理情况检查

查验领导分工等文件,检查是否明确了网络安全主管领导;查验网络安全相关工作批示、会议记录等,了解主管领导履职情况;

查验本单位各内设机构职责分工等文件,检查是否指定了网络安全管理机构;查验工作计划、工作方案、规章制度、监督检查记录、教育培训记录等文档,了解管理机构履职情况;

查验网络安全员列表,检查是否每个内设机构都指定了专职或兼职网络安全员;访谈信息安全员,检查其网络安全意识和网络安全知识、技能掌握情况;查验工作计划、工作报告等相关文档,检查网络安全员日常工作开展情况。

(2)人员管理情况检查

查验岗位信息安全责任制度文件,检查系统管理员、网络管理员、信息安全员、一般工作人员等不同岗位的信息安全责任是否明确;检查重点岗位人员信息安全与保密协议签订情况;访谈部分重点岗位人员,抽查对信息安全责任的了解程度;

查验人员离岗离职管理制度文件,检查是否有终止系统访问权限、收回软硬件设备、收回身份证件和门禁卡等要求;检查离岗离职人员安全保密承诺书签署情况;查验信息系统账户,检查离岗离职人员账户访问权限是否已被终止;

查验外部人员访问机房等重要区域的审批制度文件,检查是否有访问审批、人员陪同等要求;查验访问审批记录、访问活动记录,检查记录是否清晰、完整;

查验安全事件记录及安全事件责任查处等文档,检查是否发生过因违反制度规定造成的信息安全事件、是否对信息安全事件责任人进行了处置。

(3)资产管理情况检查

查验资产管理制度文档,检查资产管理制度是否建立;

查验设备管理员任命及岗位分工等文件,检查是否明确专人负责资产管理;访谈设备管理员,检查其对资产管理制度和日常工作任务的了解程度;

查验资产台账,检查台账是否完整(包括设备编号、设备状态、责任人等信息);查验领用记录,检查是否做到统一编号、统一标识、统一发放;

随机抽取资产台账中的部分设备登记信息,查验是否有对应的实物;随机抽取一定数量的实物,查验其是否纳入资产台账,同台账是否相符;

查验相关制度文档和记录,检查设备维修维护和报废管理制度建立及落实情况。

(4)采购管理情况检查

随机抽取信息安全产品,检查该产品是否有国家统一认证的证明材料。

对比资产台账及采购清单,检查台账中是否有捐赠的信息技术产品;对于使用中的受赠信息技术产品,检查是否有安全测评报告以及与捐赠方签订的信息安全与保密协议;

查验开发、集成、运维等信息安全服务合同,检查是否有非国内厂商提供信息安全服务情况,若有,进一步检查厂商名称及其提供的服务内容;确认未采购社会第三方认证机构提供的信息安全管理体系认证服务;

查验数据中心和灾备中心建设规划文档,检查是否设立在境外。

(5) 外包服务管理情况检查

查验相关文档,检查是否有外包服务安全管理制度;

查验信息技术外包服务合同及信息安全与保密协议,检查信息安全责任是否清晰;

查验外包人员现场服务记录,查验记录是否完整(包括服务时间、服务人员、陪同人员、工作内容等信息);

访谈系统管理员和工作人员,查验安全测评报告,检查外包开发的系统、软件上线前是否进行过信息安全测评及其方式;

查验外包服务合同及技术方案等文档,检查是否存在远程在线运维服务;如确需采用远程在线服务的,检查是否对安全风险进行了充分评估并采取了书面审批、访问控制、在线监测、日志审计等安全防护措施。

(6)经费保障情况检查

会同本单位财物部门人员,查验上一年度和本年度预算文件,检查年度预算中是否有网络安全相关费用;

查验相关财务文档和经费使用账目,检查上一年度网络安全经费实际投入情况、网络安全经费是否专款专用。

3.安全技术防护情况检查

安全技术防护情况检查包括物理环境安全情况检查、网络边界安全防护情况检查、关键设备安全防护情况检查、应用系统安全防护情况检查、终端计算机安全防护情况检查、存储介质安全防护情况检查和重要数据安全防护情况检查等。

(1)物理环境安全情况检查

物理环境安全应符合《GB 9361-1988计算机场地安全要求》中B类机房要求,其他检查具体流程如下。

查验机房设计、改造、施工等相关文档,检查机房防盗窃、防破坏、防雷击、防火、防水、防潮、防静电等措施,并进行核查;现场检查机房备用电源、温湿度控制、电磁防护等安全防护设施;

现场检查机房等物理访问控制措施,确认配备门禁系统或有专人值守。

(2)网络边界安全防护情况检查

查验网络拓扑图,检查重要设备连接情况,现场核查内部办公系统等非涉密系统的交换机、路由器等网络设备,确认以上设备的光纤、网线等物理线路没有与互联网及其他公共信息网络直接连接,有相应的安全隔离措施;

查验网络拓扑图,检查接入互联网情况,统计网络外联的出口个数,检查每个出口是否均有相应的安全防护措施(互联网接入口指内部网络与公共互联网边界处的接口,如联通、电信等提供的互联网接口,不包括内部网络与其他非公共网络连接的接口);

查验网络拓扑图,检查是否在网络边界部署了访问控制(如防火墙)、入侵检测、安全审计以及非法外联检测、病毒防护等必要的安全设备;

分析网络拓扑图,检查网络隔离设备部署、交换机VLAN划分情况,检查网络是否按重要程度划分了安全区域,并确认不同区域间采用了正确的隔离措施;

查验网络日志(重点是互联网访问日志)及其分析报告,检查日志分析周期、日志保存方式和保存时限等。

(3)关键设备安全防护情况检查

对承担网络与信息系统运行的关键设备,包括服务器、网络设备、安全设备等的安全防护情况进行检查,保证安全策略配置及防护的有效性。

登录恶意代码防护设备(如防病毒网关),检查恶意代码库更新情况;

登录服务器(应用系统服务器、数据库服务器),检查口令策略配置情况,包括口令强度和更新频率;检查安全审计策略配置情况,包括审计功能是否启用、操作记录是否留存、日志是否定期分析、是否对异常访问和操作及时进行处置;检查病毒防护情况,包括防病毒软件是否安装、病毒库是否及时更新;检查补丁更新情况,包括操作系统、数据库管理系统等的补丁是否及时更新;

登录网络设备、安全设备,检查口令策略配置情况,包括口令强度和更新频率;检查安全审计策略配置情况,包括审计功能是否启用、操作记录是否留存、日志是否定期分析、是否对异常访问和操作及时进行处置。

(4)应用系统安全防护情况检查

查验信息系统定级报告,检查信息系统定级情况;

查验测评报告,检查风险评估、等级测评开展情况。

(5)门户网站安全防护情况检查

查验检测报告等相关文档,检查网站开通或新增应用时是否进行过安全测评;

查验相关记录,访谈网站管理员,检查是否定期对网站链接的安全性和有效性进行检查;采用技术工具进行扫描,检测网站链接的有效性;

查看防护设备部署情况,检查是否有网页防篡改、抗拒绝服务攻击等功能并进行必要的配置;

查验相关记录,检查网站信息发布时是否对内容进行核查、是否经过审批。

(6)电子邮件系统安全防护情况检查

查验设备部署或配置情况,检查电子邮件系统是否采取了反垃圾邮件技术措施;

查验电子邮件系统管理相关规定文档,检查是否有注册审批流程要求;查验服务器上邮箱账户列表,同本单位人员名单进行核对,检查是否有非本单位人员使用;

查看邮箱口令策略配置界面,检查电子邮件系统是否设置了口令策略,是否对口令强度和更改周期等进行要求。

(7)终端计算机安全防护情况检查

查看集中管理服务器,抽查终端计算机,检查是否部署了终端管理系统或采用了其他集中统一管理方式对终端计算机进行管理,包括统一软硬件安装、统一补丁升级、统一病毒防护、统一安全审计等;

查看终端计算机,检查是否安装有与工作无关的软件;

使用终端检查工具或采用人工方式,检查终端计算机是否配置了口令策略。

访谈网络管理员和工作人员,检查是否采取了实名接入认证、IP地址与MAC地址绑定等措施对接入本单位网络的终端计算机进行控制;将未经授权的终端计算机接入网络,测试是否能够访问互联网,验证控制措施的有效性;

查验审计记录,检查是否对终端计算机进行了安全审计。

(8)存储介质安全防护情况检查

访谈网络管理员,检查大容量存储介质是否存在远程维护,对于有远程维护的,进一步检查是否有相应的安全风险控制措施;查看光纤、网线等物理线路连接情况,检查大容量存储介质是否在无防护措施情况下与互联网及其他公共信息网络直接连接;

查验相关记录,检查是否对移动存储介质进行统一管理,包括统一领用、交回、维修、报废、销毁等;

查看服务器和办公终端计算机上的杀毒软件,检查是否开启了移动存储介质接入自动查杀功能;

查看设备台账或实物,检查是否配备了电子信息消除和销毁设备。

(9)重要数据安全防护情况检查

登录数据存储设备、数据库管理系统,检查是否对重要数据进行了分区分域存储,或者进行加密存储;

查验存储设备是否配置了数据传输加密和校验的功能。

4.信息安全应急管理工作情况检查

信息安全应急管理工作情况检查包括应急预案制定、应急演练、应急处置、应急支撑队伍建设等情况的检查。

(1)查验预案文本、评估记录等,检查应急预案制定和年度评估修订情况;

(2)查验宣贯材料和培训记录,检查是否开展过预案宣贯培训;访谈系统管理员、网络管理员和工作人员,检查其对应急预案的熟悉程度;

(3)查验演练计划、方案、记录、总结等文档,检查本年度是否开展了应急演练;

(4)查验事件处置记录,检查信息安全事件报告和通报机制建立情况,是否对所有信息安全事件都进行了处置;

(5)查验应急技术支援队伍合同及安全协议、参与应急技术演练及应急响应等工作的记录文件,确认应急技术支援队伍能够发挥有效的应急技术支撑作用;

(6)查验设备或采购协议,检查是否有信息安全应急保障物资或有供应渠道;

(7)查验备份数据和备份系统,检查是否对重要数据和业务系统进行了备份。

5.网络安全教育培训情况检查

网络安全教育培训情况检查包括教育培训宣传工作以及管理人员和工作人员信息安全基本防护技能掌握情况的检查。

(1)查验教育宣传计划、会议通知、宣传资料等文档,检查网络形势和警示教育、基本防护技能培训开展情况;

(2)访谈机关工作人员,检查信息安全基本防护技能掌握情况;

(3)查验培训通知、培训教材、结业证书等,检查网络安全管理和技术人员专业技能培训情况。

安全技术检测

设备安全检测主要针对重要业务系统和门户网站系统的网络设备、服务器、终端计算机及安全设备进行检测。

1.网络设备及安全设备安全检测

(1)根据工作实际合理安排年度检测设备数量,每1~3年对所有网络设备及安全设备进行一次技术检测。重要业务系统和门户网站系统的网络设备及安全设备应作为检测重点。网络设备主要包括交换机、路由器等,安全设备主要包括访问控制设备(如防火墙)、入侵检测设备、安全审计产品、VPN、恶意代码防护设备、网页防篡改产品等。

(2)使用漏洞扫描等工具检测网络设备及安全设备端口、应用、服务及补丁更新情况,检测是否关闭了不必要的端口、应用、服务,是否存在安全漏洞。

2.服务器安全检测

(1)可根据工作实际合理安排年度检测的服务器数量,每1~2年对所有服务器进行一次技术检测,重要业务系统和门户网站系统的服务器应作为检测重点;

(2)使用漏洞扫描等工具检测服务器操作系统、端口、应用、服务及补丁更新情况,检测是否关闭了不必要的端口、应用、服务,是否存在安全漏洞;

(3)使用病毒木马检测工具,检测服务器是否感染了病毒、木马等恶意代码。

3.终端计算机安全检测

(1)可根据工作实际合理安排终端计算机的年度检测数量,每1~3年对所有终端计算机进行一次技术检测。抽取终端计算机时应依据使用者身份划分,合理选择不同级别、不同工作岗位人员的终端计算机;

(2)使用漏洞扫描等工具检测终端计算机操作系统漏洞情况以及补丁更新情况;

(3)使用病毒木马检测工具,检测终端计算机是否感染了病毒、木马等恶意代码;

(4)使用计算机违规检查和取证工具,检查是否使用非涉密计算机处理涉密信息,是否使用了涉密移动介质。

4. 应用系统安全检测

应用系统安全检测主要针对业务系统、办公系统和网站系统等相关应用系统进行安全检测,对重要业务系统、门户网站至少每年进行一次检测。

(1)应对业务系统、办公系统和网站系统等相关应用系统进行安全检测,重要业务系统、门户网站至少每年进行一次检测,其他系统每1~2年进行一次检测;

(2)使用漏洞扫描等工具测试重要业务系统及网站,检测是否存在安全漏洞;

(3)开展渗透测试,检查是否可以获取应用系统权限,验证网站是否可以被挂马、篡改页面、获取敏感信息等,检查系统是否被入侵过(存在入侵痕迹)等。

检查总结整改

1. 汇总检查结果

检查实施完成后,检查工作组应对检查结果进行梳理、汇总,从安全管理、技术防护等方面对检查发现的问题和隐患进行分类整理。

2. 分析问题隐患

检查工作组应对检查发现的问题和隐患逐项进行研究,深入分析产生的原因。结合年度信息安全形势,对本单位面临的信息安全威胁和风险程度、信息系统抵御网络攻击的能力进行评估。

3. 研究整改措施

检查工作组研究提出针对性的改进措施建议。本单位网络安全管理部门根据检查工作组的建议,组织相关单位和人员进行整改,对于不能及时整改的,要制定整改计划和时间表,整改完成后应及时进行再评估。

4. 编写总结报告

篇9：2011政府信息系统安全检查指南

近年来,为了加强政府信息系统工作的安全性和保密性,我县对全县范围内的各类政府网站、电子政务内外网、各局委政务信息网、县直单位信息保密工作等进行了多次检查和抽查,针对存在问题和不足制定了相应的整改措施,确保了我县政府信息工作安全高效运作。现将具体工作情况汇报如下:

一、信息安全总体情况

(一)领导重视,机构健全。针对政府信息系统安全检查工作,县委、县政府高度重视,做到了主要领导亲自抓,并成立了专门的信息安全工作领导小组,组长由县委副书记担任,副组长由县政府副县长担任,成员由县直有关局委组成,领导小组下设办公室,办公室设在县工业和信息化局,办公室主任由县工信局局长兼任。同时,县直各单位和各乡镇领导也十分重视信息安全工作,持续建立健全信息安全工作制度,积极主动开展信息安全自查工作,保证了政府网站的良好运行,确保了网络和信息传输工作的安全运作。

(二)制定方案,加强检查。为确保我县政府信息系统的安全,加大对信息安全的检查督导力度,XX年,县信息安全工作领导小组制定了详细的检查方案,对所要检查的部门、范围和具体要求做了详细的安排部署。

一是检查范围具体包括:县政府电子政务内外网、各类政府门户网站、县政务信息报送系统、网上信访、各局委政务信息网站、档案管理系统等。

二是检查内容包括:信息安全组织领导、工作机构和网站安全责任人落实情况;信息安全制度落实情况;网站应急值班、网站信息内容发布审核、安全责任追究等制度;主要技术防范措施,包括网页防篡改、防病毒、防攻击等技术措施,账户和口令的管理措施,操作系统、应用软件、病毒防护软件等的补丁升级,网站域名安全管理措施等;特殊管理措施,如关闭或删除不必要的应用、服务、端口和链接,限制易被攻击、利用的网站栏目和功能,临时关停一些影响面积小、信息长期不更新、安全风险大的网站;安全应急预案落实与应急演练情况,包括应急技术支撑队伍、值班制度的落实情况等。

通过这次检查,我县信息安全工作整体运行状况良好,但也发现工作中存在一定的问题与隐患。一是个别单位和部分信息系统使用人员的安全意识淡薄,在管理上缺乏足够的主动性和自觉性;二是网络安全技术管理人员配备较少,信息系统安全方面可投入的力量有限;三是规章制度体系初步建立,还不够健全和完善,未能覆盖信息系统安全的所有方面;四是目前部分信息系统的数据无可靠备份,出现故障后会导致系统使用中断;五是在设备和操作系统安全环节,缺乏有效审计手段,无法建立可行的审计策略;六是防病毒系统更新、升级相对滞后,整体运行不够稳定,信息系统存在感染计算机病毒的风险隐患。

(三)明确责任,强化措施。XX年,县政府信息安全检查领导小组对我县80多个县直部门和21个乡镇进行了信息安全拉网式排查,共查出问题21起,存在隐患15处,对存在问题和隐患及时提出了整改意见和建议,并责令其制定整改措施,限时进行整改到位。

同时,我县确立四项工作重点,对全县信息涉密单位和网站进行了回头看,确保政府系统信息安全检查成效明显。一是把进一步建立完善信息安全制度列入工作重点,要求县直各单位和各乡镇的政府网站,必须按照规定进一步建立和完善管理制度。二是加强网站链接的定期检查,对服务器受攻击,网页被篡改的网站,进行全面的检查、测试、打补丁、安装。进行网页源代码漏洞查找,并对查找到的问题进行了修补,特别是对上传的控制。三是强化信息安全意识,对县直单位和乡镇专业人员进行安全意识培训,确保信息传输的安全性。四是关闭因无人管理常年闲置的网站。

由于我县领导高度重视信息安全检查工作,检查措施和力度到位、落实责任到位,增强了信息安全合作与交流、促进了相互学习,确保了我县内外网站正常、安全运行。

二、XX年工作开展情况

根据“安信化办[XX]5号”文件的要求,及XX年2月1日国家正式实施《信息安全技术基于互联网电子政务信息安全实施指南》标准,我县结合实际,对各项规章制度及技术设备进行多方位的整改,以满足国家标准的要求。

一是完善和修订相关管理制度。针对我县目前网站及其设备,先后制定完善了《政府网站建设管理规范制度》、《政府信息公开保密制度》、《涉密人员教育管理制度》、《保密工作目标考核制度》、《安阳县政府网站政民互动栏目内容处理办法》等。重新规范了“政府信息公开管理制度”、“视频会议设备管理制度”、“政府网站信息安全保密审核责任制度”、“机房安全管理制度”等主要工作制度。

二是加强信息安全的管理。根据我县的实际情况和网络通讯设备的用途,我县对信息安全工作加强了管理,按照“谁使用、谁管理、谁负责”的原则,严格落实领导责任制,并制定了相应的管理策略。一是严格“四本一签”制度,即收发文登记本、传阅文件登记本、借阅文件登记本、清退销毁文件登记本和机要文件处理签;二是涉密载体保管,必须在具备“三铁两器”独立专用场所存放;三是对全县计算机建立台帐,实行单位统一编号,责任到人;四是对计算机实行定位、定机、定人管理,逐级签订责任书;五是要求全县网站内的计算机要有防火墙安全策略,同时,制定了电子政务网络规划策略、视频会议应用策略、党政综合楼网络管理策略等。

三是加强安全技能培训工作。为了提高信息安全意识,4月份,我县组织了县直各单位和乡镇计算机保密和信息安全培训会,培养专业信息安全技术人员,以提高专业人员应对各种软硬件安全技能。对硬件产品的使用,要求各单位掌握其配置策略及方法,在厂商配置完后,各单位要重新配置关键部位,并保存备份配置策略,遇见问题时要认真学习配置手册及产品手册或电话咨询相关技术人员,以保证更有效的管理安全设备后续服务。对软件产品的应用,要求开发商提交黑盒子测试产品时同时提供软件开发源代码,以供以后遇见问题时进行扩展或添加补丁。

四是定期进行安全检查并及时纠错。县信息安全领导小组办公室定期对县党政综合楼网络、视频会议网络、政府门户网站、电子政务外网等进行检测和检查,对存在的安全隐患问题及时做好更换检修。定期对软件进行测试,对检测和用户反应的问题进行研究,制定相应的措施,编写相应的补丁,并做好版本的备案。对服务器,杀毒软件,安全策略,系统安全日志,进行定期安全检测保证其在安全的前提下,确保数据传输和信息的安全度。今年5月8日至21日,我县对部分县直单位信息保密工作进行了抽查,对县检察院、县法院、县工商局、县统计局等单位政府信息公开保密和涉密载体清理检查工作进行了肯定,对意识淡薄、管理不规范、制度不健全的单位进行了通报批评。6月份,由县保密局牵头,对全县40个各类政府门户网站和电子政务外网、20余家政府信息公开单位、20余家废品收购进行了检查,清理涉密文件800余份,内部资料余吨,销毁文件资料余吨,清理计算机、移动介质100余台。通过检查,有效地促了进保密工作的开展,全县信息安全工作得到了进一步保障。

总之,我县对涉及信息系统方面的规章制度、安全组织及职责、人员管理、体系结构、网络安全、设备和操作系统安全、应用系统安全、数据安全、物理环境安全、应急响应和灾难恢复等环节都进行了检查、分析和归纳,对已有的安全管理体系和安全措施进行核实和评价。从自查情况看,我县信息系统安全状况总体情况良好,各类政府门户网站、电子政务外网、政府信息公开单位网站制度健全,安全措施到位,多年来未发生过信息系统安全事件。

三、下一步措施和打算

为进一步加强我县政府信息系统安全,针对检查中发现的隐患与不足,我们下一步要围绕信息系统安全工作目标,重点在完善规章制度、丰富技术手段上下功夫,认真开展整改工作。

1、依据《国家信息安全技术标准规范》,结合信息系统安全检查工作目标,再次检查规章制度各个环节的安全策略与安全制度,并对其中不完善部分进行了重新修订与修改。

2、加强信息网络安全技术人员培训。组织系统管理员、网络管理员、信息系统使用人员等核心技术人员开展多种形式的信息系统安全知识学习、培训,进一步强化相关工作人员安全意识的教育工作,进一步加强设备安全巡检,防患于未然;