第一篇:【学习心得】市社保局综合处学习心得体会
干部作风教育实践活动心得体会
2012年确定为基层组织建设年,是党中央作出的重要部署。旨在把创先争优活动和基层组织建设年融为一体,以创先争优为动力加强基层组织建设,以基层组织建设年为抓手深化创先争优。保持纯洁性是增强党的创造力、凝聚力、战斗力的关键所在和现实需要,也是引深反腐倡廉的重要任务。为认真贯彻落实胡锦涛总书记在十七届中央纪委七次全会上的重要讲话精神,我处按照市社保局的统一安排部署,认真开展了“基层组织建设年”和保持党的纯洁性学习教育活动,全处工作人员通过第一阶段时间的学习和讨论,受到了极大的触动和感悟,深刻地体会到作为一名共产党员应从以下方面保持党先进性纯洁性:
一是要坚持坚定的共产主义理想信念。党的先进性纯洁性体现在思想上,就是要求各级党组织和广大党员、党的领导干部必须坚持把马克思主义及其中国化的理论成果作为指导思想,坚持把为社会主义、共产主义奋斗作为理想信念,坚持马克思主义实事求是的思想路线,坚决抵制各种反马克思主义思想的侵蚀,坚决同各种违背马克思主义的错误思想作斗争。
二是要坚持坚决执行党的路线方针政策。党的先进性纯洁性体现在政治上,就是要求各级党组织和广大党员、党的领导干部必须坚决执行党的纲领、章程和路线方针政策,在社会主义初级阶段必须坚持以经济建设为中心、坚持四项基本原则、坚持改革 开放的基本路线,坚决抵制和反对一切违背党的基本路线的错误政治倾向。
三是要坚持严格执行党的各项纪律。党的先进性纯洁性体现在组织上,就是要求各级党组织和广大党员、党的领导干部必须坚持贯彻党的民主集中制原则和遵守党的组织纪律的要求,自觉维护党的团结统一,坚决反对一切危害和分裂党的行为,严格坚持党章所规定的共产党员标准和领导干部条件,坚决把背离党纲党章、危害党的事业、已经丧失共产党员资格的蜕化变质分子和腐败分子清除出党。
四是要坚持发扬党的优良传统和作风。党的先进性纯洁性体现在作风上,就是要求各级党组织和广大党员、党的领导干部必须坚持发扬党的理论联系实际、密切联系群众、批评和自我批评以及谦虚谨慎、不骄不躁、艰苦奋斗等优良作风,坚持贯彻党的从群众中来到群众中去的工作路线和调查研究的工作方法,坚决反对主观主义、官僚主义、形式主义、以权谋私、弄虚作假和个人专断、追求奢华等不正之风。
五是要结合本职工作提升形象和水平。通过认真学习党的先进性纯洁性,使我们更加清醒地认识到社保服务于民,民生所向的工作,关系到每个社会成员的切身利益,因此,我们要树立我处良好的干部队伍形象,急群众所急,踏实工作,努力进取,为参保群众提供优质、高效、快捷的服务,不断改进和完善工作作风,加强调查研究,及时掌握群众最关心的、最迫切的社会保险 问题,把党的先进性纯洁性贯穿于工作的始终,真正成为群众值得信赖和满意的社保干部。
二O一二年七月十八日
第二篇:社保局实习心得体会
社保局实习心得体会
此次在**镇社保局实习,让我学到了很多课堂上根本学不到的东西,仿佛自己一下子成熟了,懂得了做人做事的道理,也懂得了学习的意义,时间的宝贵,人生的真谛。领悟到了“纸上得来终觉浅,绝知此事要躬行”的道理,任何事情都必须付出我们的实际行动,才会得到真正的收获。或许工作中会遇到烦闷的事情,但是我们还是必须得坚持,因为我们在工作,可能一个小小的失误,就会付出沉重的代价。走入社会就是这个道理,必须时时刻刻对自己的工作高度负责。在实习中,虽然我们做的是一些细小的像整理档案、录入数据的事情,但这正是是考验我们细心,耐心的品质,以及对工作负责的态度。
在实习中,我也知道了基层工作的辛苦,我被基层干部吃苦耐劳的精神所感动,正是因为他们,农民的生活才得到了保障,权益才得到了维护,虽然有那么一个别的没有责任感的工作人员在当中搅混水。我相信如果基层人员都能为老百姓着想,我们的生活将会越过越好,但是只有一部分的力量是不够的,需要千千万万的基层人员行动起来,为老百姓服务。作为大学生的我也要多参加像“三下乡”那样的社会实践活动,到基层去宣讲我们的“中国梦”,关爱留守儿童、孤寡老人,用我们的知识丰富农村的业余生活。此次实习只是一个开始,更多的实践活动还需要我们大学生的参加,我也将义不容辞。
我知道工作是一项热情的事业,并且要持之以恒的品质精神和吃苦耐劳的品质。我觉得重要的是在这段实习期间里,我第一次真正的融入了社会,在实践中了解了社会掌握了一些与人交往的技能,并且在此次实习期间,我注意观察了前辈是怎样与上级交往,怎样处理人他们之间的关系。利用这次难得的机会,也打开了视野,增长了见识,为我以后进一步走向社会打下了坚实的基础。
实习期间,我从末出现无故缺勤。我勤奋好学。谦虚谨慎,认真听取前辈的指导,对于别人提出的工作建议虚心听取。并能够仔细观察、切身体验、独立思考、综合分析,并努力把在学校学到的应用到实际工作中,尽力把工作做到理论和实际相结合的最佳状态,培养了我执着的敬业精神和勤奋踏实的工作作风,也培养了我品质耐心和敬业的素质。能够做到服从指挥,与同事友好相处,尊重领导,工作认真负责,责任心强,能保质保量完成工作任务。并始终坚持一条原则:要么不做,要做就要做最好。
短短一个月的实习就要结束了,实习之中也有很多不如人意的地方,总结经验是工作经验太少吧。感谢蔡玲姐、胡主任、庹老师这一个月对我们的教诲和照顾,让我们的实习变得快乐丰富多彩。
第三篇:市人力资源和社保局年工作总结
市人力资源和社保局年工作总结
市人力资源和社会保障局年工作总结
2013年,面对严峻复杂的经济形势,XX市人社局坚决贯彻市委、市政府的决策部署,扎实推进各项工作并取得了积极成效。全年全市城镇新增就业14.8万人,完成目标的140.8%;城镇登记失业率2.12%,为全省最低。扶持自主创业11594人,实现带动就业人数76117人;全市养老、医疗、失业、工伤、生育“五大保险”净增缴费人数分别为7.59万人、13.46万人、16.21万人、5.83万人、16.92万人;引进各类人才10万人;新增高技能人才2.99万人,均完成或超额完成目标任务。四项基本现代化指标中,城乡基本养老、医疗、失业三项保险覆盖率预计分别为98.2%、98%、98.7%,已提前达到基本现代化目标要求值;全市每万劳动力高技能人才数达到583人,已达到目标值的97.2%。国家人社部尹蔚民部长亲临无锡考察,对我市人社工作取得的成绩给予了充分肯定;市人社局获得“国家技能人才培育突出贡献奖”,成为全国人社系统优质服务窗口单位。
2013年,面对严峻复杂的经济形势,XX市人社局坚决贯彻市委、市政府的决策部署,扎实推进各项工作并取得了积极成效。全年全市城镇新增就业14.8万人,完成目标的140.8%;城镇登记失业率2.12%,为全省最低。扶持自主创业11594人,实现带动就业人数76117人;全市养老、医疗、失业、工伤、生育“五大保险”净增缴费人数分别为7.59万人、13.46万人、16.21万人、5.83万人、16.92万人;引进各类人才10万人;新增高技能人才2.99万人,均完成或超额完成目标任务。四项基本现代化指标中,城乡基本养老、医疗、失业三项保险覆盖率预计分别为98.2%、98%、98.7%,已提前达到基本现代化目标要求值;全市每万劳动力高技能人才数达到583人,已达到目标值的97.2%。国家人社部尹蔚民部长亲临无锡考察,对我市人社工作取得的成绩给予了充分肯定;市人社局获得“国家技能人才培育突出贡献奖”,成为全国人社系统优质服务窗口单位。
(一)奋力创先争优,常规工作继续保持在全省第一方阵
一是千方百计确保就业局势稳定。针对阶段性“招工难”问题,组织赴XX、XX、XX、XX、XX等地开展劳务对接,累计帮助重点企业招工近20万人。继续实施失业保险降低费率政策,全年惠及4万多家企业,为企业和个人共减负5.4亿元,有效稳定了就业岗位。大力扶持困难群体就业,“就业援助月”、“春风行动”期间,共举办了356场公益性招聘活动,提供岗位信息51.85万个。实施促进高校毕业生就业创业八项实事,推进大学生实名制管理,落实大学生租房补贴政策,赴清华大学等重点高校延揽人才。我市积极服务企业用工和吸引大学生就业创业的做法,得到央视关注。
二是社会保障体系进一步完善。调整居民养老保险缴费水平和政府补贴标准,提高最低档次到300元(原100元),增设1500元的最高缴费档次。调整2013市区居民养老保险待遇标准,居民基础养老金每人每月增加40元,为省内地市级城市最高。及时落实2013企业退休人员养老金调整工作,市区调整后平均水平为2033元/月(全市为1921.4元/月)。调整和提高医保待遇水平,职工医保和居民医保政策范围内住院费用基金支付比例分别达84%和72%。实施我市工伤康复管理办法,实行新的康复费用结算办法。
三是人才队伍建设继续加强。积极开展技能振兴专项活动,研究制订关于加强职业培训促进就业的实施意见。先后在上海、深圳、香港举办“东方硅谷”人才政策宣传推介会,新增国际国内顶尖人才、社会事业和中介服务领军人才2人、33人、7人。新增国家级博士后科研工作站10家,列全省第一;省创新实践基地8家,超额完成全年建站任务;全年共招收博士后31人。
四是人事管理服务更加规范。围绕打造公务员招录“阳光”品牌,抓好招录计划编制、政策制定公布、工作责任落实、面试工作组织四个环节,圆满完成公务员招录任务。组织事业单位申报参公管理工作如期上报。推进和深化事业单位人员聘用、岗位设置管理和公开招聘三项制度建设。军转安置工作圆满完成。
五是劳资关系保持和谐稳定。密切关注宏观经济形势对企业的影响,扎实做好10多家重点经营困难企业的劳资关系处理工作。积极学习贯彻新法新规,稳妥推进劳务派遣行政许可工作。巩固劳动人事争议处理“三方机制”和“五位一体”调解联席会议机制。推进企业工资集体协商工作,及时出台最低工资标准调整方案。全年全市12333咨询服务电话来电总量229万个(其中市本级214万个),市权益服务中心全年受理各类来访来电来信1.94万件。
(二)致力创新突破,重点难点工作有力推进
一是大力吸引扶持大学生创业。制定出台推进大学生创业园建设促进大学生创业的意见,新政策将扶持对象从原来的毕业2年内的大学生扩大到在校大学生和毕业5年内的大学生,从资金、场地、能力、服务四个方面予以优惠政策支持。以江南大学大学生创业园为依托,会同江南大学、广电集团、XX区政府,推进创建国家级大学生创业园,经努力,创业园已成功被省厅评估认定为省级大学生创业园。二是全面实施城乡居民大病保险制度。制定实施城乡居民大病保险制度,在全省率先采取向商业保险机构购买大病保险方式,对参保人员个人负担超过上一城镇居民年人均可支配收入50%以上的部分(1.7万元)给予保障,有效降低群众大病费用负担。
三是举办首届无锡技能技工大赛。这是我市首次举办的全市性、综合性的职业技能大赛,52个代表队、500多名选手角逐14个职业(工种)“技能状元”,其中9人摘得“无锡职工技能状元”并享受市劳模待遇,14人摘得“无锡学生技能状元”。期间同时开展技能成果展示、大师绝活表演、校企合作对接、高层论坛等活动,直接参与人数超过1万人,在全社会营造了“崇尚技能、人才强企、创新发展”的良好氛围。四是研究推进人力资源服务业发展。在广泛调研的基础上,研究制订“关于大力发展人力资源服务业的意见”。利用市级公共人力资源服务机构的集聚效应,积极筹划在XX区开展人力资源服务产业园建设,目前,规划论证和招商引资工作正有序进行。
五是进一步规范事业单位公开招聘。经过科学论证、认真准备,首次集中组织市属事业单位进行统一笔试和集中面试,招聘的规范性、公平性进一步得到保障,受到了社会各界的认可。
六是完成“两场整合”历史性任务。在没有现成的成功样本可以参照的情况下,以“科学整合资源、方便服务对象”为出发点,在合理确定职能定位的基础上,将市人才市场和市职介中心合并,成立新的“市人力资源市场”,并对人力资源市场大楼进行重新划分和改建,全力打造专业化、综合性的一站式服务格局。目前,市场已实现机构、人员、场地“三到位”,这项工作在全省全国走在了前列。此外,还实现了原市劳动保障信息中心与人才信息中心的整合。
(三)着力追求人民满意,“三个建设”得到全面加强
一是干部队伍建设得到加强。进一步规范了市局干部人事管理制度。组织实施了市局25名机关干部和27名事业单位领导班子、中层干部调整工作。调整后,研究生以上学历、硕士以上学位人员占机关中层干部的36.6%,新提任干部中94%具有基层工作经历或多岗位锻炼经历。二是作风建设得到加强。以省市在九个部门开展“六位一体”民主评议政风行风和推进公共服务标准化工作为契机,全面查找人社部门在改善民生、服务市民方面存在的薄弱环节,并切实加以改进,促进了全系统作风转变和效能提升,综合评议成绩位列全市第一,其中9个市(县)区人社局中4个获得第1名,2个获得第2名,我市成为全省人社系统仅有的两个获得第一名的省辖市之一。
三是廉政建设得到加强。认真贯彻中央八项规定和省市委十项规定,落实党风廉政建设责任制。协助市委巡察组做好各项组织协调工作,按期完成了各项工作任务。
与此同时,各市(县)区人社工作创新发展、亮点纷呈。XX市净增参保2.17万人,以“五步五库法”推进高校毕业生实名制就业管理,得到尹蔚民部长高度肯定;XX市“金保工程”顺利上线运行,首次举办了综合性的全市职业技能大赛;XX区新增博士后科研工作站2家,启动实施了“1+10”服务制度,为重点企业提供专项服务600余次;XX区在9个部门试点机关人员绩效考核考评管理系统,成立了劳动保障权益服务中心;XX区走进高校大力宣传就业创业扶持政策,全面启动五星级人力资源市场改造工程;XX区累计创建创业孵化基地、实训基地已达58家,对优秀高技能人才、有培养贡献的企业给予津贴资助;XX区城镇失业人员再就业17641人,完成率294%,扎实推进公务员教育培训,开办“古运河大讲堂”专题讲座7期;XX区431名就业困难人员实现“宅就业”,57人实现“微创业”,同时开发社区灵活就业岗位3842个,帮助困难群体就业;新区新引进培育国家“千人计划”人才14名,获批省级人力资源服务产业园。
第四篇:市社保局行政事业单位内部控制制度工作报告(仅供学习)
市社保局行政事业单位内部控制制度工作报告(仅供学习)
根据市社保局《关于转发省社保中心〈开展社会保险经办机构内部控制工作检查评估的通知〉的通知》(赣市社险字23号)文件要求,我局高度重视,抽调精干人员组成检查评估小组,认真自查评估,现就自查有关情况汇报如下:
一、自查情况
加强社会保险经办机构内部控制工作,是确保社会保险基金安全的本质要求,也是规范经办机构各种行为,实施自动防错、查错和纠错,实现自我约束、自我控制的重要手段,为切实做好这项工作,我局从社会保险工作制度化、规范化、科学化出发,形成了一套事事有复核、人人有监督,行之有效、科学规范的社保工作内控制度和业务流程,建立对社保基金事前、事中、事后全过程的监督机制。
1、合理设置岗位,明确责任分工,建立内部制衡机制根据工作需要,按照不相容岗位不能一人兼任的原则,设置了财务、业务、稽核和待遇审批等部门。在各部门内部再进行岗位细分,财务部门要求会计与出纳分设,业务部门要求设立业务受理、复核、系统管理员等岗位,待遇审批部门要求设立受理、复核岗位,建立岗位责任制度,形成责任明确,相互制约的内部制衡机制,突出加强对资金结算过程的监督。一是靠财务部门内部的监督,出纳经手的每一笔资金收付业务必须经另一财务人员复核,每天下班前,另一财务人员对出纳当天收缴的社会保险费存入开户银行的情况要再次进行复核;二是靠对账制度来约束,每天、每月、全年都要进行对账,业务部门每天开出的票据与财务部门实际收到的资金核对一致,不一致的查明原因及时解决,月份、终了,财务和业务部门分别由不同的人员核对月份和发生额,确保月发生额与当期日发生额累计数核对一致;三是靠内部稽核来监督,充分发挥稽核部门职能作用,采取定期检查和不定期抽查的方式,对社保基金的运行进行稽核,提出稽核意见和改进建议,促进内控制度的不断完善。形成了对社保基金全方位、全过程的监督。
2、工作程序化、规范化,建立组织严密、可操作性强的工作流程和业务规范按照既高效、便捷又安全、严密的原则,建立涵盖社保基金从进口到出口,涉及财务、业务、待遇、稽核等各部门的。要求加大复核、审核、稽核作用,强化内部控制功能,最终达到一个人不能办理社保业务的要求。
参保单位到业务部门办理缴费基数调整、社保待遇调整等业务,受理人审核后,必须经复核人复核,并经稽核部门稽核后,方能办理;业务经办人每月都要对社会保险待遇本月发放情况与上月发放情况进行对比分析,并经复核人、业务负责人、财务负责人复核,稽核部门稽核,局领导审核后转财务部门办理支付。财务部门出纳收取社会保险费、拨付社保待遇必须经另一财务人员复核;财务专用章和个人名章由两人分开管理;安排专人从源头抓好社会保险费专用收款票据的管理;每月与开户银行和财政部门对账,财务负责人对对账情况进行复核。待遇审批部门应建立档案联合审查制度,审批社保待遇必须经四人审核小组共同审查档案,经稽核部门稽核后,报局领导召开办公会审批。
3、加强内部稽核,确保各项规范和流程得到贯彻落实有了好的规范和流程是做好工作的基础,但把规范和流程贯彻落实好则是关键所在。根据社会保险政策法规,对照《内部社会保险业务规范和流程》,采取定期检查和不定期抽查的方法,对财务部门、业务部门、待遇审批部门执行社保政策和工作流程情况进行稽核。稽核完毕后,向单位领导汇报、分析稽核发现的问题,并提出改进意见,向被稽核部门反馈稽核情况,促进社会保险管理水平的不断提高。
一、我国行政事业单位内部控制存在的问题
1.内部控制意识不强,执行力不够
良好的内控意识是确保内控制度得以健全和实施的重要保证。
一些单位的领导缺乏内部会计控制理念,对建立健全单位内部控制的重要性和现实意义认识不够,不重视内部会计控制制度系统的建设,而简单地将财政的部门预算控制等同于内部控制。有的单位虽建立了内控系统但不尽合理,生搬硬套,没有从自身实际情况出发。还有些单位虽然建有较为完善的内部会计控制制度,但却流于形式,弱于执行。
2.对内部会计控制的监控力度不够
部分单位没有设立内部审计机构,内部会计控制的执行情况由内部会计控制执行部门自行监督检查,导致监控力度不够,影响了内部会计控制作用的发挥。有些单位虽然设立了内部审计机构,但对内部审计工作没有给予足够的重视和支持,不能正确审计和鉴定会计资料和其他有关资料的正确性和真实性,主要原因在于内部审计人员不能认真履行内部审计的职责和权限,不能坚持内部审计的准则和原则,不能遵循内部审计的基本程序,不能正确运用审计方法,没有如实、公正地编写审计报告。
3.国有资产使用效率低下,流失比较严重
单位内部部门之间对国有资产管理相互脱节,部分单位财务部门未建立固定资产明细账,每年只管经费收支,不管家底多少;后勤部门只管发放而不清楚资产价值和实物分布情况;使用部门只用不管。长此以往,造成国有资产管理与财务管理严重脱节,致使存量不实,账实不符,责任不清。部分单位之间互相攀比,盲目、重复购置资产,加之资产的购建、使用、占用、处置权均在单位,跨部门、跨单位无法进行资产配置,致使部分资产闲置浪费,发挥不了应有的作用。
二、加强我国行政事业单位内部控制的策略
1.增强内控意识,强化单位负责人的会计与内控责任单位负责人在单位内部控制体系中居于主导地位。按照《会计法》和《内部会计控制基本规范》的规定,单位负责人是单位财务与会计工作的第一责任主体,对本单位财务会计报告的真实性、完整性以及内部控制制度的合理性、有效性负主要责任。但要真正确立起单位负责人对财务会计工作和内部控制制度建设的“第一责任主体”意识,还必须强化对行政事业单位主要负责人及一些相关领导在内部控制方面的培训学习。
2.建立健全内控制度
《会计法》第二十七条规定“国家机关、社会团体和企事业单位必须建立健全内部控制制度,以确保会计信息的真实可靠,国家财产安全稳定”。不能用一般财经法规替代内控制度。要找准失控环节,明确自控重点,重视伦理道德规范建设,建立良好的单位文化氛围。对于预算管理、资金拨付与费用支出管理、报销审批程序以及对错误核算与错误支出的纠正等等经济活动等方面,确定单位自控的重点和目标,设立合理的组织结构,确认相关的管理职能和关系,为每个组织划分责任权限,明确建立授权和分配责任的方法,因事设人,视能授权,责任到位,且责权对等,以增加组织的控制意识。
3.加强行政事业单位内部审计监督
重视内部审计控制,真正落实责任制,以保证内部会计控制制度的顺利、有效运行。内部审计控制是对内部会计控制的再控制。内审部门应将会计控制制度作为审计评审对象,通过对内部会计控制执行情况的定期检查和监督,及时发现内部会计控制中的漏洞和隐患,尤其是要针对发展中财务及会计核算上出现的新问题、新情况,认真研究,不断发现和改正问题,可以把风险消灭在萌芽状态,防止经济违规;把审计结果与日常考核结合起来,真正落实责任制,加强监督与奖惩制度,这是对单位内控制度执行情况的再监督,也是保护员工的主要措施。有条件的单位均应建立内部审计机制,保证内部会计控制制度的顺利、有效运行。
4.提高人员素质
行政事业单位内部控制的成败关键在于公务员素质的高低程度,其素质控制的目的在于保证工作人员具有爱岗敬业的品质和勤奋、有效的工作能力,从而保证内部控制有效实施。它对财会人员的素质有更高要求,不仅要求专业技术性、政策性、法制性强,并且还需要有一定的职业道德水准。
5.建立财务状况预警机制,加强财务风险预测
各行政事业单位可以借鉴国际先进经验并运用现代科技手段,逐步建立风险监控、评价和预警系统。通过一系列指标的横向和纵向数据比较,对财务运作中潜在风险预警预报,提出控制措施,将可能萌发的财务风险予以化解。
内部控制是一项不断推陈出新、任重而道远的工作,随着时代的不断变化,内部控制制度也要跟着不断的修改,以达到其有效性,切实控制各种漏洞的发生。行政事业单位是一个特殊的单位,不同于企业,有它自身的特点,特别是在社会主义市场经济大发展的情况下,行政事业单位的建设也面临着新的挑战,因此内部控制制度的健全也显得犹为重要。
第五篇:XX市社保局2015安全服务项目实施方案
XX市社保局2015信息安全服务项目
实施计划
目 录一、二、项目概述...............................................................................................................................3 项目服务内容.......................................................................................................................4 2.1.风险评估...................................................................................................................4 2.2.设备安全加固...........................................................................................................5 2.3.安全管理体系建设...................................................................................................6 2.4.等级保护测评.........................................................................................................14 2.5.安全技术运维.........................................................................................................17 2.6.安全咨询、宣传培训及安全专家服务..................................................................20 2.7.上级部门交办的安全自查与整改工作资金概算..................................................20 2.8.通过部署安全配置审计、身份验证令牌等手段,加强系统安全基线审计错误!未定义书签。
2.9.安全证书服务.........................................................................错误!未定义书签。2.10.建立安全运维体系..............................................................................................21 2.11.信息安全实时监控服务..........................................................错误!未定义书签。2.12.网站和网办安全服务..........................................................................................22 项目实施时间及成果文档.................................................................................................34
三、
一、项目概述
经过多年建设XX社保中心已经初步建成完善的信息系统,为XX社保中心重要业务系统的有效开展提供了强有力的支撑。同时,信息系统的安全可靠运行是确保XX社保中心主营业务正常开展的必要条件。
在信息科技发展的同时,各种黑客手段、病毒技术、木马技术也在飞速发展,信息安全问题在信息化的过程中也日益突出,XX社保中心的信息系统建设必须面对日益严峻的信息安全问题。尽管XX社保中心近几年来通过持续的安全建设,形成了初步的单纯依靠安全设备的安全防护体系。但从目前的国内外安全环境以及法律法规的角度来看,仅是单单依靠安全设备,是无法解决XX社保中心的整体信息安全防护需求的。必须引入综合安全服务,结合专业的信息安全服务团队,解决诸多安全设备无法直接解决的安全问题,共同形成确保业务系统安全、稳定运营的综合安全保障措施。
因此,根据目前实际情况,XX社保中心需要引入以安全风险识别、安全风险控制、安全体系完善、日常安全运维、安全宣传、安全培训、网站安全监控、等级保护测评等主要内容的综合信息安全服务保障,切实提高XX社保中心的信息安全保障能力。
二、项目服务内容
综合安全服务要求包含风险评估、设备安全加固、安全管理体系建设、等级保护测评、安全技术运维、安全咨询及宣传培训、上级部门交办的安全自查和整改、通过部署安全配置审计身份验证令牌等技术手段加强技术控制、安全服务证书、建立安全运维体系、信息安全实时监控服务、网站和网办安全服务等内容,具体要求如下。2.1.风险评估
针对社保的物理机房环境、网络结构、网络服务、主机系统、中间件、数据库系统、容灾系统及数据存储安全、应用系统、应用代码、安全系统、安全相关人员、处理流程、安全管理制度、安全策略等对象进行评估,包括采用漏洞扫描、人工安全审计、渗透测试、代码安全审计、客户端测试等方法,深入且全面的掌握社保中心的安全现状,为后续的持续安全改进提供科学、详细的依据。主要内容包括:
建立安全风险模型:评估前建立安全风险模型,该模型必须包含但不限于以下要素:资产、影响、威胁、漏洞、安全控制、安全需求、安全风险,投标人应详细描述其风险模型的各个要素及之间的关系,并包括对威胁、漏洞、风险的等级划分标准。安全评估必须按照分层的原则,包括但不限于以下对象:物理环境、网络结构、网络服务、主机系统、数据、应用系统、安全系统、安全相关人员、处理流程、安全管理制度、安全策略等。 信息资产评估:收集社保中心所有信息资产,包括所有的有形资产和无形资产,如服务器、网络设备、存储设备、应用软件、数据、人员、管理等。并对所有资产根据关键安全要素进行赋值,为评估阶段的风险计算和安全优化阶段的风险控制提供依据。
安全审计:对社保中心的服务器和网络设备进行安全审计。其中,服务器的安全审计包括操作系统安全(WINDOWS、LINUX、Solaris、AIX)审计和应用软件(如数据库、IIS、APACHE、TOMCAT、WEBLOGIC)的安全审计。安全审计的每台被审计设备也必须体现CIA三要素包含的安全性、完整性、可用性。
漏洞扫描:漏洞扫描针社保中心的主要IT设备(服务器,网络设备,安全设备)得自身脆弱性进行安全评估。扫描内容包括端口扫描、系统扫描、漏洞扫描、数据库等应用软件扫描等,服务完成后应提供扫描报告,解决方案并对发现漏洞给予解决。
数据安全威胁分析:通过入侵检测系统对社保中心信息安全所面临的威胁进行细致分析,并给出报告。报告必须包括网络事件协议类型统计及对比饼图、事件危险级别统计及对比
饼图、事件攻击类型统计及对比饼图、信息安全性综合分析等。
网络结构安全分析:为降低社保中心整体网络安全风险、增强IT内控的实效性、更清晰的评价和监控现有安全状况,需要对网络结构进行分析,并结合业务情况进行安全域的规划设计。安全域设计需要对社保中心现有网络按照等级分为域、区、单元三个级别,描述安全域划分步骤及边界防护原则,对现有网络结构的每项不足之处提出可执行的措施,并在安全优化阶段实施。
渗透测试服务:对所有业务应用系统进行渗透测试。
源代码审核:针对用户应用系统的白盒测试,主要目的是发现系统代码层的安全问题,并提出解决方案。源代码审核需要包括以下内容,且服务方需要形成源代码审核模型图:(1)审核业务流程中是否存在可被绕开的漏洞;(2)审核业务系统源代码中是否有一般性的漏洞类型;
(3)审核业务系统源代码中因需要开放给管理员或用户而可能导致的隐蔽漏洞;(4)给出加固解决方案;
(5)对代码中不符合安全规范的部分进行规范;(6)对今后代码编写的安全措施给出指导意见。(7)检查出代码中存在的安全漏洞。
综合风险分析:在对社保中心信息体系的各个层次进行技术安全评估基础上,综合分析社保中心信息系统面临的各方面威胁,依靠定量计算和定性分析结合的方式,计算出社保中心各方面的风险级别,并提出解决措施。
月度动态安全评估。结合每月的安全运维工作,随时获取信息系统安全要素的最新安全情况,监控社保中心信息系统的最新安全动态情况,并根据需要调整安全策略,确保应对最新的安全威胁。 数据安全保护
对业务数据、数据库系统提供实施保护技术服务,协助用户对数据设计及数据库漏洞进行分析整改,对敏感数据进行过滤规划,对测试数据提供脱敏服务。
2.2.设备安全加固
安全整改加固工作对通过安全配置核查、漏洞扫描、渗透测试、策略分析等工作中发现的安全漏洞、安全弱点、安全风险,通过多方面的安全加固措施进行修补。特别对问题源头进行整改与加固,以最大限度的降低风险。包括:
配置核查结果的服务器安全加固 漏洞扫描的服务器安全加固 网络及安全设备的安全加固 边界安全策略的安全加固 渗透测试安全核查结果的安全整改 等级保护差距测评结果的安全整改加固 等级保护验收测评结果的安全整改加固 代码审计结果的协助性加固 病毒库升级
其它技术测试、评估发现问题的安全整改加固。
2.3.安全管理体系建设
根据各类安全标准要求,包括等级保护要求、社保行业要求,以及劳动保障信息中心内部信息系统运行对安全管理的需求,完善中心的安全管理体系。形成并落实信息安全策略、信息安全管理制度、信息安全操作规范等,提高中心安全运营的管理水平。具体制度要求如下:
五个方面包含的主要内容如下:
(1)安全管理机构:
设立信息安全管理工作的职能部门,设立安全主管人、安全管理各个方面的负责人,定义各负责人的职责;
设立系统管理人员、网络管理人员、安全管理人员岗位,定义各个工作岗位的职责; 成立指导和管理信息安全工作的委员会或领导小组,其最高领导应由单位主管领导委任或授权;
制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。 配备一定数量的系统管理人员、网络管理人员和安全管理人员等; 配备专职安全管理人员,不可兼任;
关键区域或部位的安全管理人员应按照机要人员条件配备; 关键岗位应定期轮岗; 关键事务应配备多人共同管理;
授权审批部门及批准人,对关键活动进行审批;
列表说明须审批的事项、审批部门和可批准人;
建立各审批事项的审批程序,按照审批程序执行审批过程; 建立关键活动的双重审批制度; 不再适用的权限应及时取消授权; 定期审查、更新需授权和审批的项目; 记录授权过程并保存授权文档;
加强各类管理人员和组织内部机构之间的合作与沟通,定期或不定期召开协调会议,共同协助处理信息安全问题;
信息安全职能部门应定期或不定期召集相关部门和人员召开安全工作会议,协调安全工作的实施;
信息安全领导小组或者安全管理委员会定期召开例会,对信息安全工作进行指导、决策;
加强与兄弟单位、公安机关、电信公司的合作与沟通,以便在发生安全事件时能够得到及时的支持;
加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通,获取信息安全的最新发展动态,当发生紧急事件的时候能够及时得到支持和帮助; 文件说明外联单位、合作内容和联系方式;
聘请信息安全专家,作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等;
由安全管理人员定期进行安全检查,检查内容包括用户账号情况、系统漏洞情况、系统审计情况等;
由安全管理部门组织相关人员定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等; 由安全管理部门组织相关人员定期分析、评审异常行为的审计记录,发现可疑行为,形成审计分析报告,并采取必要的应对措施;
制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报;
制定安全审核和安全检查制度规范安全审核和安全检查工作,定期按照程序进行安全审核和安全检查活动。
(2)安全管理制度:
制定信息安全工作的总体方针、政策性文件和安全策略等,说明机构安全工作的总体目标、范围、方针、原则、责任等;
对安全管理活动中的各类管理内容建立安全管理制度,以规范安全管理活动,约束人员的行为方式;
对要求管理人员或操作人员执行的日常管理操作,建立操作规程,以规范操作行为,防止操作失误;
形成由安全政策、安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系;
由安全管理职能部门定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。在信息安全领导小组的负责下,组织相关人员制定; 保证安全管理制度具有统一的格式风格,并进行版本控制; 组织相关人员对制定的安全管理进行论证和审定;
安全管理制度应经过管理层签发后按照一定的程序以文件形式发布; 安全管理制度应注明发布范围,并对收发文进行登记; 安全管理制度应注明密级,进行密级管理;
定期对安全管理制度进行评审和修订,对存在不足或需要改进的安全管理制度进行修订;
当发生重大安全事故、出现新的安全漏洞以及技术基础结构发生变更时,应对安全管理制度进行检查、审定和修订;
每个制度文档应有相应负责人或负责部门,负责对明确需要修订的制度文档的维护; 评审和修订的操作范围应考虑安全管理制度的相应密级。
(3)人员安全管理:
保证被录用人具备基本的专业技术水平和安全管理知识; 对被录用人声明的身份、背景、专业资格和资质等进行审查; 对被录用人所具备的技术技能进行考核; 对被录用人说明其角色和职责; 签署保密协议;
对从事关键岗位的人员应从内部人员选拔,并定期进行信用审查; 对从事关键岗位的人员应签署岗位安全协议;
立即终止由于各种原因即将离岗的员工的所有访问权限; 取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;
经机构人事部门办理严格的调离手续,并承诺调离后的保密义务后方可离开; 关键岗位的人员调离应按照机要人员的有关管理办法进行; 对所有人员实施全面、严格的安全审查;
定期对各个岗位的人员进行安全技能及安全认知的考核; 对考核结果进行记录并保存;
对违背安全策略和规定的人员进行惩戒; 对各类人员进行安全意识教育; 告知人员相关的安全责任和惩戒措施;
制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训; 针对不同岗位制定不同培训计划;
对安全教育和培训的情况和结果进行记录并归档保存。
(4)系统运维管理:
系统定级- 应明确信息系统划分的方法; 应确定信息系统的安全保护等级;
应以书面的形式定义确定了安全保护等级的信息系统的属性,包括使命、业务、网络、硬件、软件、数据、边界、人员等; 应确保信息系统的定级结果经过相关部门的批准。安全方案设计- 根据系统的安全级别选择基本安全措施,依据风险评估的结果补充和调整安全措施; 以书面的形式描述对系统的安全保护要求和策略、安全措施等内容,形成系统的安全方案;
对安全方案进行细化,形成能指导安全系统建设和安全产品采购的详细设计方案; 组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定;
确保安全设计方案必须经过批准,才能正式实施。产品采购- 确保安全产品的使用符合国家的有关规定; 确保密码产品的使用符合国家密码主管部门的要求; 指定或授权专门的部门负责产品的采购; 自行软件开发-
开发环境与实际运行环境物理分开;
系统开发文档由专人负责保管,系统开发文档的使用受到控制; 提供软件设计的相关文档和使用指南; 外包软件开发- 与软件开发单位签订协议,明确知识产权的归属和安全方面的要求; 根据协议的要求检测软件质量;
在软件安装之前检测软件包中可能存在的恶意代码; 要求开发单位提供软件设计的相关文档和使用指南; 工程实施- 与工程实施单位签订与安全相关的协议,约束工程实施单位的行为; 指定或授权专门的人员或部门负责工程实施过程的管理; 制定详细的工程实施方案控制实施过程; 测试验收- 对系统进行安全性测试验收;
在测试验收前根据设计方案或合同要求等制订测试验收方案,测试验收过程中详细记录测试验收结果,形成测试验收报告;
组织相关部门和相关人员对系统测试验收报告进行审定,没有疑问后由双方签字。系统交付- 明确系统的交接手续,并按照交接手续完成交接工作; 由系统建设方完成对委托建设方的运维技术人员的培训;
由系统建设方提交系统建设过程中的文档和指导用户进行系统运行维护的文档; 由系统建设方进行服务承诺,并提交服务承诺书,确保对系统运行维护的支持;
(5)安全运维管理:
环境管理- 对机房供配电、空调、温湿度控制等设施指定专人或专门的部门定期进行维护管理; 配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理; 建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定;
应对机房来访人员实行登记、备案管理,同时限制来访人员的活动范围;
加强对办公环境的保密性管理,包括如工作人员调离办公室应立即交还该办公室钥匙和不在办公区接待来访人员等;
资产管理- 建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门;
编制并保存与信息系统相关的资产、资产所属关系、安全级别和所处位置等信息的资产清单;
根据资产的重要程度对资产进行定性赋值和标识管理,根据资产的价值选择相应的管理措施。
介质管理- 确保介质存放在安全的环境中,并对各类介质进行控制和保护,以防止被盗、被毁、被未授权的修改以及信息的非法泄漏;
介质的存储、归档、登记和查询记录,并根据备份及存档介质的目录清单定期盘点; 对于需要送出维修或销毁的介质,应首先清除介质中的敏感数据,防止信息的非法泄漏;
根据所承载数据和软件的重要程度对介质进行分类和标识管理,并实行存储环境专人管理。
设备管理- 对信息系统相关的各种设备、线路等指定专人或专门的部门定期进行维护管理; 对信息系统的各种软硬件设备的选型、采购、发放或领用等过程建立基于申报、审批和专人负责的管理规定;
对终端计算机、工作站、便携机、系统和网络等设备的操作和使用建进行规范化管理;
对带离机房或办公地点的信息处理设备进行控制;
按操作规程实现服务器的启动/停止、加电/断电等操作,加强对服务器操作的日志文件管理和监控管理,并对其定期进行检查;
监控管理- 进行主机运行监视,包括监视主机的CPU、硬盘、内存、网络等资源的使用情况; 网络安全管理- 指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作;
根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份;
进行网络系统漏洞扫描,对发现的网络系统安全漏洞进行及时的修补;
保证所有与外部系统的连接均应得到授权和批准;
建立网络安全管理制度,对网络安全配置、网络用户以及日志等方面作出规定; 对网络设备的安全策略、授权访问、最小服务、升级与打补丁、维护记录、日志以及配置文件的生成、备份、变更审批、符合性检查等方面做出具体要求; 规定网络审计日志的保存时间以便为可能的安全事件调查提供支持; 系统安全管理- 指定专人对系统进行管理,删除或者禁用不使用的系统缺省账户;
制定系统安全管理制度,对系统安全配置、系统账户以及审计日志等方面作出规定; 对能够使用系统工具的人员及数量进行限制和控制;
定期安装系统的最新补丁程序,并根据厂家提供的可能危害计算机的漏洞进行及时修补,并在安装系统补丁前对现有的重要文件进行备份;
根据业务需求和系统安全分析确定系统的访问控制策略,系统访问控制策略用于控制分配信息系统、文件及服务的访问权限;
对系统账户进行分类管理,权限设定应当遵循最小授权要求;
对系统的安全策略、授权访问、最小服务、升级与打补丁、维护记录、日志以及配置文件的生成、备份、变更审批、符合性检查等方面做出具体要求; 规定系统审计日志的保存时间以便为可能的安全事件调查提供支持; 进行系统漏洞扫描,对发现的系统安全漏洞进行及时的修补; 恶意代码防范管理- 提高所用用户的防病毒意识,告知及时升级防病毒软件;
在读取移动存储设备(如软盘、移动硬盘、光盘)上的数据以及网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也要进行病毒检查;
指定专人对网络和主机的进行恶意代码检测并保存检测记录;
对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确管理规定; 密码管理- 密码算法和密钥的使用应符合国家密码管理规定。变更管理- 确认系统中要发生的变更,并制定变更方案;
建立变更管理制度,重要系统变更前,管理人员应向主管领导申请,变更和变更方案经过评审、审批后方可实施变更;
系统变更情况应向所有相关人员通告; 备份与恢复管理- 识别需要定期备份的重要业务信息、系统数据及软件系统等;
规定备份信息的备份方式(如增量备份或全备份等)、备份频度(如每日或每周等)、存储介质、保存期等;
根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略,备份策略应指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法;
指定相应的负责人定期维护和检查备份及冗余设备的状况,确保需要接入系统时能够正常运行;
根据备份方式,规定相应设备的安装、配置和启动的流程; 安全事件处置- 所有用户均有责任报告自己发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点;
制定安全事件报告和处置管理制度,规定安全事件的现场处理、事件报告和后期恢复的管理职责;
分析信息系统的类型、网络连接特点和信息系统用户特点,了解本系统和同类系统已发生的安全事件,识别本系统需要防止发生的安全事件,事件可能来自攻击、错误、故障、事故或灾难;
根据国家相关管理部门对计算机安全事件等级划分方法,根据安全事件在本系统产生的影响,将本系统计算机安全事件进行等级划分;
记录并保存所有报告的安全弱点和可疑事件,分析事件原因,监督事态发展,采取措施避免安全事件发生;
应急预案管理- 在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程和事后教育和培训等内容;
对系统相关的人员进行培训使之了解如何及何时使用应急预案中的控制手段及恢复策略,对应急预案的培训至少每年举办一次;
2.4.等级保护测评
1、根据相关要求,对于等级保护2级和3级系统,一年进行一次差距评估,通过差距评估,获取最新的安全薄弱环节,并通过后续工作进行安全整改建设;
2、对于未定级的系统,需进行定级备案,差距测评,安全整改等相关工作。根据等级保护标准以及广东公安厅发文要求,等级保护主要建设流程如下:
等级保护建设目标
等级保护建设框架
信息系统等级保护建设整体流程框架图如下:
等级保护评估是在信息系统定级以后,根据信息系统等保级别进行风险评估,找出与等保标准的差距,进行安全规划设计,即完成等级保护整改方案。
等级保护评估流程
评估指标选择
根据信息系统的安全等级,从等级保护基本要求的指标中选择和组合评估用的安全指标,形成一套信息系统的评估指标,作为评估的依据;将具体评估对象和评估指标进行结合,形成评估使用的评估方案。
等级保护基本要求
《信息系统安全等级保护基本要求》规定了信息系统安全等级保护的基本要求,包括基本技术要求和基本管理要求,适用于不同安全等级的信息系统的安全保护。
技术类安全要求通常与信息系统提供的技术安全机制有关,通过在信息系统中部署软硬件并正确的配置其安全功能来实现;管理类安全要求通常与信息系统中各种角色参与的活动有关,主要是通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。不同安全等级的信息系统,其对业务信息的安全性要求和业务服务的连续性要求是有差异的;即使相同安全等级的信息系统,其对业务信息的安全性要求和业务服务的连续性要求也有差异。因此,对某一个定级后的信息系统的保护要求可以有多种组合。
对基本要求进行选择的过程:基本要求的选择由信息系统的安全等级确定,基本要求包括技术
要求和管理要求。二级系统应该选择
建议。
整改建议包括针对每项安全弱点的有效建议措施,以及从整个系统角度科学的、统筹安排改进措施,确保最小的投入达到整改目标。
2.5.安全技术运维
通过安全技术运维服务工作,充分发挥各类安全设备的价值,并通过专业技术人员的服务工作,完善整个安全技术保障工作。安全技术运维服务工作包括每周的安全设备日志分析与处理,针对所有IT设备每月的漏洞扫描工作,针对网上办事大厅业务、网站业务、医保业务、社保业务、劳动就业业务等业务系统每季度的渗透测试工作,针对新业务系统、新系统模块或新IT设备的上线安全评估工作、针对信息系统的7*24小时应急响应服务工作、针对信息安全预案的修编及演练工作、针对设备自身脆弱性的定期安全修补工作等。
安全技术运维过程中,需要用到相关的安全工具。为保证安全工具的先进性,以及避免因为工具的使用而生产法律纠纷等,中标人需要承诺安全服务过程中提供符合要求的安全工具,产权仍属于中标人。
★安全服务过程中提供使用的所有工具必须是国产产品。本项目使用的安全工具具体要求如下:
1、对招标人所有服务器操作系统、客户端和网络及安全设备进行安全漏洞扫描,采用的漏洞扫描工具应满足以下要求:
(1)“综合安全服务”实施团队应具备多年的漏洞研究经验,具备独立漏洞发掘的能力;(2)可扫描的漏洞应不小于3600;
(3)★漏洞扫描工具支持对各种Web应用系统的扫描,支持检测SQL注入漏洞、XSS攻击漏洞、CGI漏洞、网页挂马、关键字检测、网站备案信息、敏感信息泄露等。提供产品截图证明。
(4)★漏洞扫描工具支持对主流数据库的识别与扫描,包括:Oracle、Sybase、SQL Server、DB2、MySQL等,能够扫描的数据库漏洞扫描方法不小于580种。提供产品截图证明。(5)扫描报告中的漏洞应具备统一的CVSS国际标准评分,以准确衡量漏洞的危险级别,为漏洞修补工作的优先级提供指导;
(6)产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》,要求为增强型,投标时提供证书复印件;
(7)★投标人必须承诺供货时提供该产品针对本项目的原厂授权证明函(需加盖原厂商公
章)。
2、对招标人IT机房设备的
别合法终端,并基于此设定无线准入策略,通过射频信号阻止非法AP、终端的接入。(7)无线入侵防御:支持无线扫描、欺骗、DoS、破解等常见无线网络攻击行为的检测、告警、阻断功能,同时支持多种类型流氓AP的检测与阻断。提供产品截图证明。(8)支持无线网络拓扑识别和呈现。提供产品截图证明。
(9)应满足自身安全性需求,设备对外不可见,且不能介入用户业务流程。
(10)★投标人必须承诺供货时提供该产品针对本项目的原厂授权证明函(需加盖原厂商公章)
4、对招标人四个机房及网络系统进行实时安全监控,并结合安全威胁与安全脆弱性对全局安全风险进行预警,便于信息安全专家迅速在安全事件的萌芽状态进行处理,消除安全隐患,确保网络安全、平稳运行。安全态势监控及预警平台须至少满足以下要求:
(1)具有《中国信息安全测评中心信息技术产品安全测评证书》— EAL3,需提供证书复印件
(2)具有《计算机软件著作权登记证书》,需提供证书复印件;(3)采用业界主流的B/S方式,不需要安装客户端;
(4)采用基于浏览器的用户界面,至少支持IE与FireFox。为了适应不同用途,用户可以对界面颜色进行选择调整;
(5)具备很强的扩展性,能够方便的支持现有及未来的各类设备;对新设备的定制支持时间小于5个工作日;
(6)事件处理性能可以达到平均每秒15000条事件;
(7)简单部署,无需安装任何其他软件和组件,用户只需要安装管理中心即可实现对全网资源的安全管理;
(8)在综合展示界面中能够显示系统的基本管理信息,包括当前告警状态、最近告警信息、资产告警排行、事件趋势、监控对象概要信息等。提供产品截图证明。;
(9)系统提供基于资产的拓扑视图,可以显示资产之间的逻辑连接关系。在资产拓扑上选择每个资产节点,可查看每个资产的事件信息、告警信息、漏洞信息、风险信息,并且支持向下钻取,直接进入事件列表、关联告警列表。提供产品截图证明;(10)支持多事件关联,对不同来源的安全事件进行复杂的相关性分析;
(11)★投标人必须承诺供货时提供该产品针对本项目的原厂授权证明函(需加盖原厂商公章)。
5、针对招标人面临的复杂安全局势,避免当前基于特征匹配检测技术的局限性,需要加强技
术手段检测基于未知漏洞或可逃过检测的已知漏洞触发的攻击、检测未知木马的行为、发现不可信的加密信道、APT攻击等。提供的恶意代码检测系统至少满足以下要求:
(1)系统硬件尺寸:2U上架设备。(2)千兆捕包电口(GE)≥ 6个。
(3)旁路部署。设备支持通过流量镜像方式旁路部署的能力。
(4)0day攻击检测。可以对0day攻击进行检测,并在产品界面中中明确表明该攻击是0day攻击还是Nday攻击。提供产品截图证明。
(5)未知恶意代码检测。具备对未知恶意代码具备检测能力,漏报率不高于10%(6)基于行为的攻击检测。具备通过分析攻击行为对攻击进行检测的能力。
(7)支持APT攻击行为记录。支持对APT攻击关键步骤的具体攻击行为进行记录的能力。提供产品截图证明。
(8)可区分0day攻击与Nday攻击。可以明确区分出0day攻击与Nday攻击,并在报警界面中进行展示。提供产品截图证明。
(9)★产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》,投标时提供证书复印件。
(10)★投标人必须承诺供货时提供该产品针对本项目的原厂授权证明函(需加盖原厂商公章)。
2.6.安全咨询、宣传培训及安全专家服务
1、通过各种安全咨询服务,协助中心工作人员加强信息安全建设,提高整个信息系统运维过程中的安全可控性,协调各信息安全项目按质按量实施,确保中心信息安全建设不断积累、逐步完善、达到更高的安全保障能力;
2、针对普通工作人员,进行安全宣传。包括制作信息安全宣传的FLASH屏幕保护等;
3、针对IT工作人员,提供安全培训。包括安全管理体系的设计、安全管理的执行,安全意识、安全知识等。针对普通工作人员,提供安全意识培训。
4、提供2名安全专家5*8小时驻场服务(节假日除外)。2.7.上级部门交办的安全自查与整改工作资金概算
根据上级部门具体安全要求,落实信息安全专项检查整改,并提交相关安全整改报告。
单位上级部门交办安全自查与整改
根据广东省社会保险基金管理局、中华人民共和国人力资源和社会保障部等上级部门的安全要
求,落实信息安全专项检查工作,包括重要业务系统安全检测工作、重要业务系统安全扫描工作、重要业务系统基线检查工作、重要业务系统应用安全检查工作等,并针对各项检查工作中发现的问题进行整改,提交相关安全整改报告等工作。
行业监管部门交办安全自查与整改
根据行业监管部门的安全要求,落实各项信息安全防护工作。依据行业安全标准相关要求,及时进行各项安全自查与整改工作。如安全检测工作、风险评估、安全管理体系评估等,并针对各项安全自查工作中发现的问题进行整改等。
其它监管部门交办安全自查与整改
参照网监等监管部门的安全要求,依据信息系统等级保护等标准要求和电子政务安全要求,及时进行中心各项核心业务系统的安全自查与整改工作。如信息系统等级保护定级、信息系统等级保护测评、信息系统等级保护安全建设等工作的开展实施。2.8.建立安全运维体系
社保中心负责整个业务系统的运作,包括开发、实施、维护等,涉及的因素多、对象广、流程复杂,对信息安全管理的要求较高,需要建立较为完善的信息安全管理体系并执行,才能发挥安全技术措施的效果,确保持续的整体安全保障能力。通过安全管理体系建设,在满足等级保护三级安全管理的基础上,实现以下层次化、体系化的安全管理建设内容。为社保中心建立四阶文件组成的安全管理文件体系。
如果任何潜在的危险字符必须被作为输入,需要确保执行了额外的控制。例如:输出编码、特定的安全 API等。部分常见的危险字符包括:<> “ ' %()& + ' ”。 如果使用的标准验证规则无法验证下面的输入,那么它们需要被单独验证:
验证空字节(%00);
验证换行符(%0d, %0a, r, n);
验证路径替代字符“点-点-斜杠”(../或..)。如果支持 UTF-8 扩展字符集编码,验证替代字符: %c0%ae%c0%ae/(使用规范化验证双编码或其他类型的编码攻击)。
输出编码
在可信系统(例如:服务器)上执行所有的编码。
为每一种输出编码方法采用一个标准的、已通过测试的规则。通过语义输出编码方式,对所有返回到客户端并来自于应用程序信任边界之外的数据进行编码。 针对 SQL、XML 和 LDAP 查询,语义净化所有不可信数据的输出。 对于操作系统命令,净化所有不可信数据输出。
身份验证和密码管理
除了特定设为“公开”的内容以外,对所有的网页和资源均要求身份验证。 所有的身份验证过程必须在可信系统(例如:服务器)上执行。 在任何可能的情况下,建立并使用标准的、已通过测试的身份验证服务。 为所有身份验证控制使用一个集中实现的方法。
将身份验证逻辑从被请求的资源中隔离开,并重定向到集中的身份验证控制。
所有的身份验证控制应当安全的处理未成功的身份验证。所有的权限管理功能至少应当具有和主要身份验证机制一样的安全性。
如果应用程序管理的凭证被存储,应当保证只保存通过使用强加密单向 salted 哈希算法得到的密码,并且只有应用程序具有对保存密码和密钥的表/文件的写权限(禁止使用 MD5 算法,该算法不够安全)。
密码哈希必须在可信系统(例如:服务器)上执行。
只有当所有的数据输入以后,才开始对身份验证数据进行验证,特别是对连续身份验证机制。
身份验证的失败提示信息应当避免过于明确。例如:可以使用“用户名和/或密码错误”,而不要使用“用户名错误”或者“密码错误”。错误提示信息在显示和源代码中应保持一致。 涉及敏感信息或功能的外部系统连接需要使用身份验证。
用于访问应用程序以外服务的身份验证凭据信息应当加密,并存储在一个可信系统(例如:服务器)中受到保护的地方。
只使用 Http Post 请求传输身份验证的凭据信息。 非临时密码只在加密连接中发送或作为加密的数据
通过规则加强密码复杂度的要求(例如:要求使用字母、数字和/或特殊符号)。 通过规则加强密码长度要求。常用使用 8-16 个字符长度。 输入的密码应当在用户的屏幕上非明文显示。
当连续多次登录失败后(例如:通常情况下是 5 次),应强制锁定账户。账户锁定的时间必须足够长,以阻止暴力攻击猜测登录信息,但不能长到允许执行拒绝服务攻击。 密码重设和更改操作需要类似于账户创建和身份验证的同样安全控制等级。
密码重设问题应当支持尽可能随机的提问(通过注册账号环节收集用户填写的提问信息)。 如果使用基于邮件的密码重设,只将临时链接或密码发送到预先注册的邮件地址。 临时密码和链接应当有一个短暂的有效期。 当再次使用临时密码时,强制修改临时密码。 阻止密码重复使用。
密码在被更改前应当至少使用了一天,以阻止密码重用攻击。
强制定期更改密码。重要系统或账号需要更频繁的更改。更改时间周期必须进行明确。 为密码填写框禁用“记住密码”功能。
用户账号的上一次使用信息(成功或失败)应当在下一次成功登录时向用户报告。
执行监控以捕获针对使用相同密码的多用户帐户攻击(例如:暴力破解)。当用户名可以被攻击者得到或被猜到时,该攻击模式可以绕开标准的锁死功能。 更改所有厂商提供的默认用户用户名和密码,或者禁用相关帐号。 在执行关键操作以前,对用户再次进行身份验证。 为高度敏感或重要的账户使用多因子身份验证机制。
如果使用了
在身份验证的时候,如果连接从 HTTP 变为 HTTPS,则生成一个新的会话标识符。在应用程序中,推荐持续使用 HTTPS,而非在 HTTP 和 HTTPS 之间转换。
为服务器端的操作执行标准的会话管理。例如,通过在每个会话中使用强随机令牌或参数来管理账户。该方法可以用来防止跨站点请求伪造攻击。
通过在每个请求或每个会话中使用强随机令牌或参数,为高度敏感或关键的操作提供标准的会话管理。
为在 TLS 连接上传输的 cookie 设置“安全”属性。将 cookie 设置为 HttpOnly 属性,除非在应用程序中明确要求了客户端脚本程序读取或者设置cookie 的值。
访问控制
只使用可信系统对象(例如:服务器端会话对象)以做出访问授权的控制。 使用一个单独的全站点功能组件以检查访问授权。
安全的处理访问控制失败的操作。如果应用程序无法访问其安全配置信息,则拒绝所有的访问。
在每个请求中加强授权控制。包括:服务器端脚本产生的请求、“includes”、来自AJAX 及FLASH 等客户端技术的请求。
将有特权的逻辑从其他应用程序代码中隔离开。
限制只有授权的用户才能访问文件或其他资源,包括那些应用程序外部的直接控制。 限制只有授权的用户才能访问受保护的 URL。 限制只有授权的用户才能访问受保护的功能。 限制只有授权的用户才能访问直接对象引用。 限制只有授权的用户才能访问服务。 限制只有授权的用户才能访问应用程序数据。
限制通过使用访问控制来访问用户、数据属性和策略信息。 限制只有授权的用户才能访问与安全相关的配置信息。
服务器端执行的访问控制规则和表示层实施的访问控制规则必须匹配。
如果状态数据必须存储在客户端,使用加密算法,并在服务器端检查完整性以捕获状态的
改变。
强制应用程序逻辑流程遵照业务规则。
限制单一用户或设备在一段时间内可以执行的事务数量,以预防自动化攻击。
仅使用“referer”头作为补偿性质的检查,但不能通过“referer”头单独用来进行身份验证检查,防止被伪造。
如果长时间的身份验证会话被允许,周期性的重新验证用户的身份,以确保他们的权限没有改变。如果发生改变,注销该用户,并强制他们重新执行身份验证。
执行帐户审计,并将没有使用的帐号强制失效(例如:在用户密码过期后的 30 天以内)。 应用程序必须支持帐户失效,并在帐户停止使用时终止会话(例如:角色、职务状况、业务处理的改变等)。
服务帐户,或连接到或来自外部系统的帐号,应当只有尽可能小的权限。
建立一个“访问控制策略”以明确一个应用程序的业务规则、数据类型和身份验证的标准或处理流程,确保访问可以被恰当的提供和控制。这包括了为数据和系统资源确定访问需求。
加密规范
所有用于保护来自应用程序用户秘密信息的加密功能都必须在一个可信系统(例如:服务器)上执行。
保护主要秘密信息免受未授权的访问。 安全的处理加密模块失败的操作。
为防范对随机数据的猜测攻击,应当使用加密模块中已验证的随机数生成器生成所有的随机数、随机文件名、随机 GUID 和随机字符串等。
建立并使用相关的政策和流程以实现加、解密的密钥管理。
错误处理和日志
不要在错误响应中泄露敏感信息,包括:系统的详细信息、会话标识符或帐号信息等。使用错误处理以避免显示调试或系统跟踪信息。
使用通用的错误消息并使用定制的错误页面。
应用程序应当处理应用程序错误,并且不依赖服务器配置。 当错误条件发生时,适当的清空分配的内存。
在默认情况下,应当拒绝访问与安全控制相关联的错误处理逻辑。 所有的日志记录控制应当在可信系统(例如:服务器)上执行。 日志记录控制应当支持记录特定安全事件的成功及失败操作。 确保日志记录包含了重要的日志事件数据。
确保日志记录中包含的不可信数据,不会在查看界面或者软件时以代码的形式被执行。 限制只有授权的用户才能访问日志。
不要在日志中保存敏感信息。包括:不必要的系统详细信息、会话标识符或密码。 确保一个执行日志查询分析机制的存在。 记录所有失败的输入验证。
记录所有的身份验证尝试,特别是失败的验证。 记录所有失败的访问控制。
记录明显的修改事件,包括对于状态数据非期待的修改。 记录连接无效或者已过期的会话令牌尝试。 记录所有的系统例外信息。
记录所有的管理功能行为,包括对于安全配置设置的更改。 记录所有失败的后端 TLS 链接。 记录加密模块的错误。
使用加密哈希功能以验证日志记录的完整性。
数据保护
授予最低权限,以限制用户只能访问为完成任务所需要的功能、数据和系统信息。 保护所有存放在服务器上缓存的或临时拷贝的敏感数据,以避免非授权的访问,并在上述数据不再需要时被尽快清除。
需要加密存储的高度机密信息。例如,身份验证的验证数据。 保护服务器端的源代码不被用户下载。
不要在客户端上以明文形式或其它非加密模式保存密码、连接字符串或其他敏感信息。这包括嵌入在不安全的环境中:如Adobe flash 或者已编译的代码。 删除用户可访问页面中的注释,以防止泄露后台系统或者其它敏感信息。 删除不需要的应用程序和系统文档,这些可能向攻击者泄露有用的信息。 不要在 HTTP GET 请求参数中包含敏感信息。
禁止表单中的自动填充功能。表单中可能包含敏感信息,包括身份验证信息。 禁止客户端缓存网页,网页中可能包含敏感信息。
应用程序应当支持,当数据不再需要的时候,删除敏感信息。
为存储在服务器中的敏感信息提供恰当的访问控制。这包括缓存的数据、临时文件以及只允许特定系统用户访问的数据。
通信安全
为所有敏感信息采用加密传输。其中应该包括使用 TLS 对连接的保护,以及支持对敏感文件或非基于 HTTP 连接的不连续加密。
TLS 证书应当是有效的,有正确且未过期的域名,并且在需要时,可以和中间证书一起安装。
没有成功的 TLS 连接不应当后退成为一个不安全的连接。
为所有要求身份验证的访问内容和其它所有的敏感信息提供 TLS 连接。 为包含敏感信息或功能、且连接到外部系统的连接使用 TLS。 使用配置合理的单一标准 TLS 连接。 为所有的连接明确字符编码。
当链接到外部站点时,过滤来自 HTTP referer 中包含敏感信息的参数。
系统配置
确保服务器、框架和系统部件采用了最新版本。
确保服务器、框架和系统部件安装了当前使用版本的所有补丁。 关闭目录列表功能。
将 Web 服务器、进程和服务的账户限制为尽可能低的权限。 当例外发生时,安全的进行错误处理。 移除所有不需要的功能和文件。
在部署前,移除测试代码和产品不需要的功能。
将不进行对外检索的路径目录放在一个隔离的父目录里,以防止目录结构在 robots.txt 文档中暴露。在 robots.txt 文档中“禁止”整个父目录,而不是对每个单独目录的“禁止”。 明确应用程序采用哪种 HTTP 方法:GET 或 POST,以及是否需要在应用程序不同网页中以不同的方式进行处理。
禁用不需要的 HTTP 方法,例如 WebDAV 扩展。如果需要使用一个扩展的 HTTP 方法以支持文件处理,则使用经过验证的身份验证机制。
如果 Web 服务器支持 HTTP1.0 和 1.1,确保以相似的方式对它们进行配置,或者确保明确它们之间可能存在差异(例如:处理扩展的 HTTP 方法)。
移除在 HTTP 相应报头中有关 OS、Web 服务版本和应用程序框架的相关信息。 应用程序存储的安全配置信息应当可以以可读的形式输出,以支持审计。 将开发环境从生产网络隔离开,仅提供给授权的开发和测试团队访问。 使用一个软件变更管理系统,以管理和记录在开发和测试中代码的主要变更。
数据库安全
使用强类型的参数化查询方法。
使用输入验证和输出编码,并确保处理了元字符。如果失败,则不执行数据库命令。 确保变量是强类型的。
当应用程序访问数据库时,应使用尽可能最低的权限。 为数据库访问使用安全凭证。
连接字符串不应当在应用程序中硬编码。连接字符串应当存储在一个可信服务器的独立配置文件中,并且应当被加密。
使用存储过程以实现抽象访问数据,并允许对数据库中表的删除权限。 尽可能地快速关闭数据库连接。
删除或者修改所有默认的数据库管理员密码。使用强密码或者使用多因子身份验证。 关闭所有不必要的数据库功能(例如:不必要的存储过程或服务、应用程序包、仅最小化安装需要的功能和选项等)。
删除厂商提供的不必要的默认信息(例如:数据库模式示例)。 禁用任何不业务不需要的默认帐户。
应用程序应当以不同的凭证为每个信任的角色(例如:用户、只读用户、访问用户、管理员)连接数据库
文件管理
不要把用户提交的数据直接传送给任何动态调用功能。 在允许上传文档之前进行身份验证。 只允许上传满足业务需要的相关文档类型。
通过检查文件报头信息,验证上传文档是否是所期待的类型。只验证文件类型扩展是不够安全的。
不要把文件保存在与应用程序相同的 Web 环境中。文件应当保存在内容服务器或者数据库中。
防止或限制上传任意可能被 Web 服务器解析的文件。 关闭在文件上传目录的运行权限。
当引用已有文件时,使用一个白名单记录允许的文件名和类型。验证传递的参数值,如果与预期的值不匹配,则拒绝使用,或者使用默认的硬编码文件值代替。
不要将用户提交的数据传递到动态重定向中。如果必须允许使用,那么重定向应当只接受通过验证的相对路径 URL。
不要传递目录或文件路径,使用预先设置路径列表中的匹配索引值。 禁止将绝对文件路径传递给客户。 确保应用程序文件和资源是只读的。
对用户上传的文件执行安全检查。例如:采取病毒扫描等措施。
内存管理
对不可信数据进行输入和输出控制。
重复确认缓存空间的大小是否和指定的大小一样。
当使用允许多字节拷贝的函数时,如果目的缓存容量和源缓存容量相等,需要留意字符串没有 NULL 终止。如果在循环中调用函数时,检查缓存大小,以确保不会出现超出分配空间大小的危险。
在将输入字符串传递给拷贝和连接函数前,将所有输入的字符串缩短到合理的长度。 关闭资源时需要注意,不要依赖垃圾回收机制(例如:连接对象、文档处理等)。 在可能的情况下,使用不可执行的堆栈。 避免使用已知有漏洞的函数。
当方法结束时和在所有的退出节点时,正确地清空所分配的内存。
通用编码规范
为常用的任务使用已测试且已认可的托管代码,而非创建新的非托管代码。
使用特定任务的内置 API 以执行操作系统的任务。不允许应用程序直接将代码发送给操作系统,特别是通过使用应用程序初始的命令 shell。
使用校验和或哈希值验证编译后的代码、库文件、可执行文件和配置文件的完整性。 使用死锁来防止多个同时发送的请求,或使用一个同步机制防止竞态条件。 在同时发生不恰当的访问时,保护共享的变量和资源。
在声明时或在
后尽快关闭所提升的权限。
通过了解使用的编程语言的底层表达式以及它们是如何进行数学计算,从而避免计算错误。密切注意字节大小依赖、精确度、有无符合、截尾操作、转换、字节之间的组合,以及对于编程语言底层表达式如何处理非常大或者非常小的数。 不要将用户提供的数据传递给任何动态运行的功能。 限制用户生成新代码或更改现有代码。
审核所有从属的应用程序、三、项目实施时间及成果文档
风险评估工作计划2015年10月—2016年3月进行,通过风险评估服务,形成以下成果文档:
信息资产评估报告 安全审计报报告 漏洞扫描报告 安全威胁分析报告 网络安全整改设计方案 渗透测试报告 源代码安全审核报告 综合风险评估报告 月度动态安全评估报告 数据安全保护报告
安全设备加固工作计划2015年5月—2016年2月进行,通过设备安全加固服务,将形成以下成果文档:
安全加固方案 服务器安全加固报告 网络及安全设备安全加固报告 边界安全策略安全加固报告 渗透测试安全整改报告 等级保护安全整改加固报告 代码审计协助性加固报告 病毒库升级报告
其它技术测试、评估发现问题的安全整改加固报告。
安全制度建设服务计划2015年6月—2016年3月进行,通过安全制度建设服务,形成一套信息安全管理体系文件:
等级保护测评工作计划2016年2月—2016年3月进行,完成等级保护测评后,形成以下主要成果文档:
信息系统等级保护定级报告、备案证 等级保护测评方案 等级保护测评报告 等级保护安全整改方案
安全技术运维服务计划2015年5月—2016年3月,完成安全技术运维服务后,形成以下主要成果文档:
安全设备日志分析与处理报告(每周一份) 漏洞扫描报告(每月一份) 渗透测试报告(每季度一份) 无线网络安全检测报告(每周一份) 上线安全评估报告(按需提供) 应急响应服务(按需提供)
信息安全预案、信息安全预案演练报告 安全修补方案、安全修补报告
安全宣传工作计划计划2015年11月—2016年3月进行,完成安全咨询、宣传培训及安全专家服务后,形成以下主要成果文档: 安全咨询方案(按需提供)
安全宣传材料
上级部门交办的安全自查与整改工作时间,按需提供。完成上级部门交办的安全自查与整改工作服务后,形成以下主要成果文档: 信息安全自查报告(按需提供) 信息安全整改报告(按需提供)
建立安全运维体系工作,计划2015年11月—2016年3月进行。通过建立安全运维体系服务后,形成以下主要成果文档: 总体安全策略、方针
安全管理机构管理制度、检查表、记录表单(按需提供) 安全管理制度管理制度、检查表、记录表单(按需提供) 人员安全管理管理制度、检查表、记录表单(按需提供) 系统建设管理管理制度、检查表、记录表单(按需提供) 系统运维管理管理制度、检查表、记录表单(按需提供)
网站和网办服务,计划2015年11月—2016年1月进行,通过网站和网办安全服务后,形成以下主要成果文档: 源代码安全审计报告(每个三级系统一份)
点击咨询 