安全信息服务
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇安全信息服务范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
安全信息服务范文第1篇
关键词 食品安全;信息追溯;终端查询
中图分类号:TS201 文献标识码:A 文章编号:1671-7597(2014)10-0137-01
当前食品、药品等关系国计民生的行业屡屡出现严重的质量问题,从毒果冻、毒酸奶、毒胶囊到三聚氰胺、瘦肉精、塑化剂等,无一不在震撼大众视听,社会上对于产品的质量安全保证要求呼声越来越高,企业也非常希望能建立一套完善的质量追踪追溯系统。《国家十二五规划》中明确提出要“建立食品药品质量追溯制度,形成来源可追溯、去向可查证、责任可追究的安全责任链”。
2007年吐鲁番地区提出加快实施“精品哈密瓜品牌战略”,开展了包括质量安全信息追溯体系建设等为内容的多种举措工作,新疆标准化研究院抓住这一契机,在当地相关部门的支持下,建设完成了“吐鲁番哈密瓜质量安全追溯体系建设应用示范”项目。项目的建设完成成为质监部门在开展质量安全信息追溯工作方面的首个应用示范工程。随后通过几年的努力,截至2011年,又先后在和田、吐鲁番、喀什、昌吉等4个地州对总计12个农产品完成了体系建设工作,取得了一定的效果:如追溯体系的建设得到国家中心及兄弟省市同行的认可,产生了一定的影响力;纳入平台企业的信息化管理水平得到了提高,农户取得了一定的收益。
然而,目前追溯体系建设工作的开展在定位、运作方式、系统功能完善及市场开拓和制度建设等方面还需要进一步地研究与探索,以满足食品安全信息追溯工作在新形势下实现快速发展的新要求。
1 平台网站建设
1.1 平台网站功能框架
架设应用子系统,主要包括“果蔬类追溯系统”、“乳制品电子信息追溯系统”、“水产品追溯系统”、“畜禽肉追溯系统”等,完善食品安全追溯信息中心数据库。
主要版块:新疆食品安全追溯信息查询服务,新加入会员的产品宣传,企业展示、营销,食品安全相关资讯的,力争将网站建成新疆权威的食品安全追溯网站;同时不断优化平台,提高在google、baidu中的排名。
信息方式以实现互联网、查询终端、电话、手机接入wap网站服务、短信等。
提供系统智能统计分析;整合各个已有的食品安全信息追溯应用服务,形成对外统计、查询接口。
1.2 为平台的可扩展性预留接口,实现追溯信息的资源共享
1)考虑与国家质监总局追溯平台数据对接。
2)与第三方检测机构数据对接。
3)考虑与销售终端网点、信息门户网站、网上营销等实现的数据对接与资源共享。
1.3 追溯码长度适应多样化要求
可依据企业需求,按照国家标准可自由选择在编码要求规定范围内编制追溯码;同时,查询平台满足不同长度追溯码的查询。
2 平台主要内容
2.1 平台的软件环境
软件环境:Windows 2000 Server以上的操作系统,Microsoft SQL Server 2000以上的数据库、IIS(Internet信息服务) 5.0以上、Microsoft .NET Framework 2.0以上、与Microsoft .NET Framework对应的Crystal Reports、Microsoft 2.0 AJAX Extensions。
2.2 平台建设目的
1)满足职能部门的监管需要;通过提供有效的追溯信息,为职能部门依法行政、打击假冒伪劣等工作提供服务。
2)满足企业管理的需要;“总平台”建设以“扶优抚强”为基本出发点,通过加强追溯信息链条各环节的管理控制工作,提升企业质量控制能力的水平。
3)满足消费者知情权的需要;通过强化企业的应用主体责任,向社会明示追溯产品信息的真实、有效并公开承诺责任义务,为社会监督企业行为获取追溯信息提供渠道。
4)满足研究部门提供有效服务的需要;通过对“总平台”管理体系、标准体系、技术体系的研究与建设,全面提高向社会各界提供有效服务的能力和水平。
2.3 平台特点
通过平台的建设,政府监管部门通过此平台可及时对企业及食品进行流向跟踪、抽检,并拉近了企业与消费者的距离,主要体现在以下几个方面。
1)实现信息查询的完整性。在种植/养殖过程、原辅料供应、生产管理、仓储物流、销售业务等各个环节采取合适的技术手段实时记录产品信息,可通过查询随时跟踪产品的生产状态、仓储状态和流向,以达到产品追溯管理的目的。
2)信息的唯一性。通过追溯码的唯一性,能够定位到每个或每批次包装产品。
3)信息查询的准确性。消费者查询到的食品安全信息应与企业食品实际生产过程相一致,保证数据的真实性,同时应对数据传输各环节进行监控,防止数据篡改和前后不一致。
4)信息查询的方便性。消费者可通过手机、PC、超市扫描设备等终端随时随地对食品安全信息进行查询。
2.4 平台建设原则
平台建设的5个原则:
1)法律法规为基础的原则:平台建设充分考虑政策的支持,贯彻落实《食品安全法》、《农产品食品安全法》、《标准化法》、《食品安全法实施条例》、《国务院关于加强食品等产品安全监督管理的特别规定》等相关法律法规。
2)政府引导、企业自愿加入的原则:以“会员制”方式发展成员,以三种模式开展会员制建设工作,一是“政府引导、企业参与”的方式带动区域追溯体系建设工作;二是以经济合作方式下的社团参与模式;三是企业化的运作模式。
3)符合“扶优扶强”的原则:加入平台的企业具备一定的条件,通过“准入制度”的相关要求进行审核评价后,满足追溯体系建设的最低标准要求方可成为平台的加盟企业。
4)企业应用主体责任原则:强调企业在食品安全信息追溯中主体责任的内容,通过落实企业在食品安全中第一责任人的角色,协助企业建立“食品质量安全记录制度”。企业对的信息确保其真实性、准确性、有效性,并向社会公开承诺。
5)整体规划、分步实施的原则:以完成追溯管理要求和查询的要求出发,逐步完成较全面的综合网站平台建设任务。
3 结束语
质量安全追溯系统的应用,无论对企业还是社会,都具有重大的意义和价值。对于企业来讲,追溯系统能解决其生产经营过程中的质量管理问题,有助于企业提高产品质量,提升客户满意度;对于社会来讲,追溯系统的广泛应用可以有效地实现产品质量监管。因此,无论企业还是政府部门都在不断加大力度推动生产、流通领域建立质量安全追溯体系。
安全信息服务范文第2篇
以一种域名系统命名的DNS服务器系统以及在浏览器中输入域名调出,通过浏览器进行远程II管理的WWW服务器配置,可以在任何服务器或者工作站打开浏览器,和FTP服务器配置作为计算机网络的服务器配置的一般分类,从信息安全技术角度来看,以信息安全病毒或者黑客入侵技术等特点作为分析对象,建立服务器安全配置预防机制,首先对服务器自身的安全性进行自主强化。首先加强改版操作系统安全管理软件,做到可以应用服务包来预先防范已知的网络安全漏洞,修复安全补丁。逐步完善计算机操作系统的服务功能,保护登入帐号的安全,删除不经常使用的软件,保证服务器内置的洁净。并且在服务器安全设置能够高效运行的前提下,寻求最高的计算机安全级别,用以强化服务器操作系统。
二、FTP服务器的安全配置
本地用户和组是以管理本地智能网络模块的一项管理工具,存在和运行于Windows的计算机当中,因此在Windows的安全策略中占据重要地位。通过服务器可以控制单独使用的FTP站点,可以确认用户账号安全,控制网络中有不安全性的匿名访问以及IP地址限制。在密码设置时要确认第二到第六个为止中一个或一个以上的符合或字符,并且保证至少七位字符的长度,用以加强密码的安全设置。在主目录的界面上,可以设置出有关于FTP站点的主目录和权限,再通过目录安全性的选项中,如果IP地址方式出现限制用户访问的情况,应该默认FTP服务器中全部IP地址的访问权限。
三、制度Window服务器安全策略
首先需要将远程桌面窗口的默认端口修改,对系统管理员的默认账户进行重命名,同时取消正在网络连接中的文件和页面,停用打印共享,关闭guest用户使用权限。如果出现防护墙高级设置窗口,应该勾选出W服务和安全Web服务。并且还要注意开放短信的发送平台端口,设置开启Windows的防护墙。其次,禁止Printspooler打印服务、Wirelessconfiguration无线服务以及在局域网和广域网环境中为各个企业提供路由器服务的RoutingandRemoteAcces以及远程注册表等无关服务。并且在打开注册表时,禁止IPC空连接,删除默认共享,新建AutoShareServer把值修改为0。在用户权利分配下,通过网络访问计算机时删除权限,启用不可启动的匿名访问账号和共享。点击“开始菜单”在“管理工具”选项中选择本地安全策略,如果在设置审核登陆过程中,在事件查看器里的安全日志记录登陆失败的信息。在服务管理器的管理界面中,从“站点名称”中点击“属性”项目,需要对计算机日志的高级属性进行设置,扩充记录属性界面,保存日志地址。通过“目录安全性”选项,可记录FTP行为日志,以便惊醒计算机系统的分析和管理。以此同时,记录每一个用户的FTP行为日志,在各个FTP站点启用日志访问选项。通过以上的对计算机信息化安全技术的分析和操作,我们确定从传统的计算机安全理念发展到具备可信化为重心的计算机安全,在硬件平台上引入安全芯片。例如TCP的访问控制、TCP安全操作系统的安全应用。
四、结语
安全信息服务范文第3篇
一、信息资源云服务体系及信息资源安全风险
信息资源云服务是通过云计算将分布式的信息资源进行资源整合、信息分析、数据挖掘等一系列操作后,为用户提供满足其信息需求的一种云端服务模式。信息资源云服务的客体是信息资源,主体则为云用户,在信息资源云服务体系中,大部分信息资源都存储在云端,因此,信息安全成为一个不得不考虑的问题,而这一问题牵涉信息资源云服务体系的各个方面,要想解决信息资源云服务的安全就必须结合通过云计算构建信息资源的流程及方法。信息资源云服务体系主要涉及资源层、用户层、服务层三个核心层次。
1.资源层与安全风险资源层是信息资源云服务体系的基础,旨在为用户提供满足需求的丰富的信息资源,主要通过终端输入和网络爬虫的方式采集信息资源后进行存储,建立资源池并生成信息索引。终端输入是信息资源供给方将本地的信息资源数字化后上传到云端服务器,而在数据传输过程中或许会面临遭遇网络攻击与重要信息资源被截取的可能,即信息资源传输风险,从而造成巨大的损失。资源层采集信息资源的另一种方式是网络爬虫,即网络爬虫是一种按照一定的规则自动抓取万维网资源的程序或者脚本,能在抓取一个或若干个初始网页的URL和网页内容的同时通过数据库比对、自然语言理解、交叉语言检索、数据挖掘等技术进行提取并建立自身的数据库。信息资源云服务的目的之一在于共享,但为保持各个信息资源供给方自身的优势,又有必要保留其特色信息资源,并且只能通过接口的方式访问,而网络爬虫的肆意抓取将会导致诸多信息资源供给方面临信息资源访问权的风险。另外,云存储风险是存在于资源层中的较大问题,云端数据的丢失将使整个信息资源云服务体系失去作用,例如,微软提供SIDEKICK服务曾中断了一个星期,导致用户不能访问自己的邮箱、日历还有其他个人数据,并且微软最后也承认这些数据无法恢复。因此,信息资源云服务中数据的完整性、可用性、保密性是开展云服务的基础。
2.用户层与安全风险信息资源云服务体系中资源池的构建不仅取决于云端信息资源的储备,也涵盖用户这一层面。在整个信息资源云服务体系中,云用户的信息需求直接影响信息资源的构建方向,云用户的个性化特征将指引服务模式的创新,因此,用户与信息资源云系统的交互在服务体系中担当着不可估量的角色。两者之间的交互具体体现在用户根据自身的信息需求向信息资源云系统请求服务和信息资源云系统分析用户信息行为两个方面。第一个方面,用户在请求服务前必须登入自己的云端账户以获取自己所需的信息资源。信息资源云服务的构建中用户分为普通用户和管理员用户,不同的用户拥有的权限必须有所区别。在信息资源云系统针对不同用户提供服务时,许多信息资源都要经过二次加工后才能满足用户的需求,而这类加工操作则必须由信息资源云系统的管理员才能完成,因此,权限的设定在服务中尤为重要,否则将引发管理权限风险。第二个方面,为了提供更好的个性化服务,信息资源云系统需要对用户的信息行为踪迹进行收集和分析,通过数据挖掘等技术发现用户的隐性需求,这也是云计算中普遍使用的一种方法。用户的个人信息行为属于用户隐私的范畴,因此云计算提供的服务与用户隐私间存在着持久的矛盾,对用户个人信息行为的分析是云计算提供更好服务的前提,但此举实际上又侵犯用户个人隐私。对于普通用户而言,用户隐私保护也是信息资源云服务的构建中迫切需要解决的问题。
3.服务层与安全风险信息资源云服务层为用户提供信息资源的检索、个性化定制、推送、云管理等信息资源云服务。信息资源云服务体系中使用的是公共云、私有云和混合云三种模式。信息资源公共云是第三方提供商为信息资源用户提供的能够使用的云;信息资源私有云是为一个信息资源用户单独使用而构建的,提供对数据、安全性和服务质量的最有效控制(这里的用户通常是信息资源方);而信息资源混合云则是两种云的混合,具备两者的基础特征。在信息资源云服务中,三种云之间的访问应是无缝连接的,能够同步完成信息资源的检索、个性化定制、推送等操作,要实现这些功能,必须拥有信息资源云管理的统一标准。轻量目录访问协议(LightweightDire-ctoryAccessProtocol,LDAP)是一个用来目录信息到许多不同资源的协议,能够构建一个这样的通用平台。LDAP通过TLS(安全传输层协议)和SASL(简单认证和安全层)来保证信息传输的安全性,但最近在拉斯维加斯举办的黑帽大会上,安全研究人员AngeloPrado、NealHarris与YoelGluck披露了一种名为BREACH(超文本自适应压缩浏览器勘测与渗透)的新技术,该技术能够获取来自SSL/TLS加密网络流量的敏感信息,并且三位研究人员声称,BREACH技术能给采用加密机制、算法的大部分TLS/SSL带来巨大威胁。由此可见,数据的安全传输在信息资源云服务层中是一个很大的问题。所以,信息安全问题在信息资源云服务体系中主要体现为:信息资源传输风险、资源访问权的风险、云存储风险、管理权限风险、用户隐私保护问题、数据的安全传输等几方面,归类后,安全问题可划分为信息资源过程管理和用户管理两大模块。
二、信息资源云服务中信息安全技术的应用
1.信息资源过程管理与信息安全技术信息资源过程管理包括信息采集、信息组织加工、信息存储与检索、信息服务四大子过程。在对信息资源进行云管理之前,可根据重要性对本地数字化的信息资源和网络爬虫抓取的信息资源划分为一般信息资源、重要信息资源和信息资源。一般信息资源的目的在于分享,其重要性往往较低,在信息资源安全问题的管理上,可采用HTTP(超文本传输协议)或HTTPS(安全超文本传输协议,采用完全套接字层SSL作为HTTP应用层的子层)的方式直接进行传输,以保证其使用效率,改善用户体验。重要信息资源旨在为拥有更高信息需求的用户提供服务,包括许多经过数据挖掘、信息分析和多次加工后的信息资源,这些资源也是增强用户对信息资源云服务粘合度的重要原因之一,因此有必要对这类信息资源进行进一步的加密,实现技术为可在信息资源云服务器上部署云端加解密模块。本地的重要信息资源数字化后,经过数字水印技术和AES(AdvancedEncryptionStandard,高级加密标准)算法加密后,通过VPN技术在公网上封装出一个数据通讯隧道,上传到云服务器,而网络爬虫抓取的信息资源则直接通过云端加密模块进行加密后保存。由于通过VPN技术访问信息资源的速度会降低不少,并且许多VPN技术受网络环境及使用平台影响的复杂程度也不尽相同,因此会导致用户的使用效率受到影响。在保证信息资源安全性的前提下,为了尽可能地提高使用效率,可采用SSLVPN协议。SSLVPN结合了SSL和VPN两者的优点,SSL处于网络结构体系的传输层和应用层之间,因此SSLVPN几乎支持所有的WEB浏览器,这也意味着用户不需要为了获取SSLVPN的支持而安装第三方软件,符合云计算开发的初衷。用户通过SSLVPN协议访问重要的信息资源不仅不受平台的限制,而且能极大地提高使用效率。信息资源理论上并不适合保存在云服务器上,其资源池的建立是为了解决部分用户因地域限制等因素而无法及时获取自己所需的那些保密性较高的信息资源。为保证这类信息资源的安全,可使用多重技术,即用户将访问保密信息资源的请求经数据通讯隧道发送给信息资源的另一服务器,由该服务器将请求转发给原始服务器,并最后得到所需的信息资源,这样做的目的是为了隐藏用户的目的及信息资源请求的来源,最大限度地保证这些保密信息不被窃取。信息资源能够保证使用的前提是其完整性,为了避免由于物理因素、网络安全风险、人为因素等引起的数据丢失、信息更改的现象,应适时采用云备份与磁盘备份相结合的方式对信息资源进行数据备份。
2.用户管理与信息安全技术用户的管理主要涉及用户权限管理和用户隐私保护。根据用户层对用户的分类,不同权限的用户拥有不同的访问权,在用户权限管理上应用的信息安全技术为信息确认技术和网络控制技术。信息确认技术的核心为涵盖消息确认、身份确认和数字签名的信息确认系统,对于需要一般信息资源的用户通常可采用静态密码的方式来确认身份,访问重要信息资源的用户则必须开通动态密码服务来获取身份的确认,而针对那些与信息资源有关的用户可根据实际情况采用生物识别技术。同时对普通用户和管理员而言,两者也不能出现超越限制权限的行为,否则会引起信息资源云服务的隐性风险,因此云服务器有必要通过网络控制技术来规范其行为,最典型的即为防火墙技术,通过该技术既能够允许获得授权的外部人员访问云服务器,又能够识别和抵制非授权者的访问。实际上,现有的防火墙技术并不能完全保证信息资源的安全,也存在被黑客突破的可能性,一旦突破,信息资源将完全呈现出来,同时外部用户的身份认证技术也无法解决这一问题,为此需要对信息资源本身的文件操作制定相应的规则,而这一技术就是主动防御系统(Host-basedIntrusionPreven-tionSystem,HIPS)。HIPS不仅能够限制用户的行为,也能保护用户隐私。HIPS包括应用程序防御体系、注册表防御体系和文件防御体系,通过定制合适的规则可实现对运行程序、注册表和文件读写操作的控制,在一定程度上可防止用户访问权限外的信息资源,同时也能保证用户的行为不被云服务器肆意跟踪。以上几种信息安全技术的综合应用将使用户管理更趋科学化、合理化。
三、结束语
安全信息服务范文第4篇
关键词:网络环境;排水档案信息;工作流安全体系
中图分类号:C270.7 文献标识码:A 文章编号:1001-828X(2012)07-0-01
网络时代的到来,使得各行业的工作方式发生了根本变化。对于排水行业而言,对排水信息的日常归档和管理也已主要借助计算机来完成。网络环境的运行,对排水档案信息的整理、细化和储存,都带来了极大的方便,但凡事都具有两面性,在方便排水档案工作的同时,也对档案信息的安全服务提出了更高的考验。如何使网络环境下的排水档案信息更安全地服务于经济社会的发展以及生态环境的保护呢?
一、保证网络环境和硬件设施的安全
网络环境和硬件设施是排水档案信息存在的依附体。只有保证二者的安全,才能保证排水档案信息的安全。环境安全主要是指计算机等网络设施存放环境的安全,能确保网络资源的信号畅通,并处于良性运转状态。硬件设施安全是指计算机的各个部分都能正常使用,不会因故障而导致排水档案信息无法正常查找和使用。
二、保证网络资源的全面建设和安全管理
为保证排水信息能更有效地进行管理,并能在需要时随时查找到,可在排水行业内部根据区域或者单位建立起局域网,使局域范围内的排水档案信息实现资源共享,能在出现任何排水问题需要档案信息调度时,可以通过局域网站内部的查找,及时地拿到需要的资料,并尽快解决问题。局域网不仅可以极大方便工作,而且能通过信息输送,及时保证排水系统的安全隐患得到排查,保证一个城市或区域的用水安全,并能在洪涝灾害等特殊情况下,保证城市或一个区域的整体安全。局域网建好后,还应注意随时维护,并加强对网络资源的管理,能及时更改新的排水系统信息,及时行业内的最新动态,以利于相关工作人员的工作开展,利于整个行业工作的正常有序运作。同时,还应注意警惕病毒的入侵,防范恶意更改,加强对排水档案信息的安全管理。
三、建设好数据库,保证排水信息基本资料的安全
排水行业内部的资料是非常复杂的,仅就一个城市而言,整个城市的排水管道情况、排水设施情况以及容易出现问题的排水系统情况等等,都需要在排水档案信息中有较详细完整的记录和存储。这些庞大复杂的资料,在网络时代之前,需要耗费工作人员大量的时间进行随时记录,并占用大量的空间进行保管存档,还极易面临信息丢失或者不完整等不安全情况,而在网络环境下,这种不安全因素得到了很好的解决,只要建立起一个数据库,便可以将所有的排水档案信息存储起来,并且信息资料更清晰,更方便查找,容易保存。当然,应对数据库做好安全管理工作,保证电脑的正常运行,数据库的存储完好无损,避免排水档案信息的遗失,从而可以保证排水行业安全工作和为民服务安全到位。
四、做好排水文档一体化工作流安全体系设计
数据库的建设及使用,还需要做好网络环境下文档一体化工作流安全体系设计,这是一系列更为具体的工作,具体内容涵括:归档电子文件的采集、鉴定、整理、录入、归档保管、移交、使用以及归档管理者责任界定等各个环节,在这些环节中,要保证环环相扣,有序运作,各个阶段的工作必须保证做到位,并保证信息的准确无误,丝毫的差错可能会酿成整个排水档案信息的大错,使得整个数据信息无法安全使用。对整个流程进行安全体系设计,将是保证排水信息准确无误,安全使用,保证排水行业工作安全的有效途径。
五、完善智能档案信息管理系统
通过进一步完善排水档案的动态信息与静态信息建设,对城市排水档案进行综合化、模拟化分析,构建污水处理厂调度、泵站调度等相应模型,并且随着时间的推移而不断补充、修正、完善。当完成城市排水档案的信息化、数字化建设之后,将转变传统的纸质文字、图像、声音存储模式,将重要材料分布于网络媒体中,并通过计算机网络实现资源共享、信息共享。通过档案信息建设,对城市排水管网、污水处理厂、泵站等动态信息进行综合管理,可以通过计算机浏览,并且任意放大、缩小、移动等;同时系统还可以与相关数据库进行连接,实现数据的实时交换,同时采取必要的安全防范措施;系统界面以中文为主,一切功能通过菜单进行操作,在输入属性资料过程中,可以对选项菜单进行优化,以提高参数记忆能力;同时系统的操作应注意安全性,由专人负责管理,避免数据内容的任意篡改或删除;通过应用网络信息,实现了信息共享,更利于提高城市排水管理单位的交互性。
六、提高排水行业工作人员的网络工作能力和安全意识
网络环境下的档案工作人员,必须适应新的形势,转变观念,改变原有的人工为主的档案整理保管工作,而逐渐学会运用计算机,并能逐步熟练各项操作,以保证排水档案信息在网络时代,能更安全有效地管理。工作人员业务素质的提高,需要一个过程,不可急于求成,避免工作人员技术不到位即上岗操作,对排水信息的安全存储带来麻烦,出现信息遗失等错误,影响整个排水信息的安全服务。另外,应聘请专门的网络技术人员,对习惯于手工操作的老员工进行专门培训,使他们尽快学会相关的技术工作,准确进行计算机操作。同时,在加强业务素质提高的同时,应同步提高他们安全保管信息的意识,以保证所有排水信息的安全完整。
七、结语
网络环境下,排水行业各单位应积极转变观念,充分利用计算机带来的便捷,并加强排水档案信息安全意识。建好数据库,设计好文档一体化工作流安全体系,开设局域网并进行安全管理,同时提高工作人员的业务技能和安全意识,从各环节全面做好工作,以保证排水档案信息的服务安全。
参考文献:
[1]赵毅强,张晖.网络环境下档案信息服务安全对策[J].黑龙江档案,2009(03).
[2]闫丽华,贡伟国.由哈尔滨城市排水档案管理工作中存在的问题引出的思考[J].城建档案,2002(03) .
安全信息服务范文第5篇
县经科局:
根据你局《通知》(镇经科通〔2011〕9号)和《昭通市工业和信息委员会关于报送2011年度下半年政府信息系统安全检查自查报告和开展抽查工作的通知》(昭工信信推〔2011〕279号)文件精神。我局对信息系统安全情况进行了自查,现将自查情况汇报如下:
一、信息安全总体情况
2011年我局信息系统安全工作与2010年相比,有了一些改进。在安全管理、落实解决方案方面加大了力度,确保在系统升级项目完成之前,现有的系统能够保持良好的运行状态。
二、2011年信息安全主要工作情况
(一)信息安全组织管理
1、成立了安全小组。明确了信息安全的主管领导和具体负责的管护人员,安全小组为管理机构。(1)制定了2011年信息安全工作方案。随着系统升级项目的进行,接处警系统信息的安全是重点考虑的问题之一。(2)进一步制定和完善了信息安全方面的制度。(3)不定期进行安全检查工作。
2、有指定的信息安全员,负责维护本单位网络安全,指导协调相关工作。
(二)日常信息安全管理
1、人员管理情况。(1)重要岗位指定保密员并签订了保密协议;各信息专员对重要文件和信息资源要做到及时备份。(2)人员离岗离职需要通过各部门审核,持有单位信息、帐户密码的,需交接清楚,单位配备的专用存储设备必须回收,人员离职后,信息安全员必须修改相关计算机设备的帐户、密码。(3)外部人员访问机房必须登记,由相关部门人员监督,带出设备需要相关部门签章。(4)违反制度规定造成信息安全事件的,视情节轻重予以相应处罚。
2、资产管理情况。(1)每个部门指定一个资产管理人员,单位设定固定资产管理员。(2)计算机及相关设备送修需报固定资产管理员,报废销毁需要做好登记。
3、各办公用计算机均已安装杀毒软件,严禁使用不可靠、不知名的办公软件。涉密计算机专人专用,用户名和密码专人持有。
4、今年年初相关股室已将信息安全经费纳入年度预算。
(三)信息安全防护管理
1、每个部门设置不同的网段。相关科室定期检查服务器运行情况,防病毒是否正常,及时排查防火墙等防护设备的故障。
2、门户网站的信息严格按照审核程序执行,防止敏感信息泄露,上传工作由局办公室专门负责。电子邮箱由专人管理,定期更新用户口令。
3、涉密和非涉密计算机物理隔离,分类明确。专用移动存储设备需登记,使用前必须先进行杀毒检查,存储设备报废需使用有效的工具进行销毁。
(四)信息安全应急管理
1、制定了应急响应预案。当网络、设备在运行中发生重大故障时,须报告相关领导。发现可疑攻击,及时追查其网络地址,并阻断。一旦发现有计算机中病毒,及时将其断网,并杀毒。
2、根据需要设置了备份服务器,以应对突发事件。
(五)信息安全检查工作
1、上一年度存在的问题主要是接处警数据拷贝安全性,今年配置了两台计算机终端专门用于处警日常查询数据和拷贝文件,避免接处警计算机使用外部存储设备。
2、部分在用设备为我局建设初期购置,存在设备陈旧、故障率高的问题,应加大对设备进行维护、保养的力度,提高防范意识。
三、检查发现中发现的主要问题及整改情况
根据《通知》中的具体要求,在自查过程中我们也发现了一些不足,同时结合我局实际,今后要在以下几个方面进行整改。
1、安全意识不够。要继续加强对机关干部的安全意识教育,提高做好安全工作的主动性和自觉性。
2、设备维护、更新及时。要加大对线路、系统等的及时维护和保养,同时,针对信息技术的飞快发展的特点,要加大更新力度。
3、安全工作的水平还有待提高。对信息安全的管护还处于初级水平,提高安全工作的现代化水平,有利于我们进一步加强对计算机信息系统安全的防范和保密工作。
4、工作机制有待完善。创新安全工作机制,是信息工作新形势的必然要求,这有利于提高机关网络信息工作的运行效率,有利于办公秩序的进一步规范。
四、对信息安全工作的意见和建议
信息系统安全教育培训有待重视。由于我局不具备很专业的信息系统安全工作人员,对信息系统安全工作一知半解,希望相关部门能加强这方面的业务培训工作。
