信息系统安全工程学[优秀范文五篇]

第一篇：信息系统安全工程学

网络信息安全之社会工程学攻击

摘要：提到网络安全就不得不提黑客。黑客，网络的最主要的玩家。有了网络，有了黑客，也就有了网络安全这个概念。社会工程学是黑客攻击网络的主要的手段之一。尤其是这几年社会工程学攻击越来越猖獗，所以了解社会工程学是很有必要的。知己知彼，百战不殆。本文主要介绍一下社会工程学的含义、起源，发展，其进攻手段以及防范社会工程学的攻击的方法与技术。

关键词：非传统信息安全，社会工程学师，网络钓鱼攻击，数据加密，数据隐写。

随着电子商务的不断发展，全球电子交易一体化将成为可能。信息成了越来越重要的财富。但是，开放的信息系统必然存在众多潜在的安全隐患，黑客和反黑客、破坏和反破坏的斗争仍将继续。在这样的斗争中，网络信息安全技术作为一个独特的领域越来越受到人们的关注。

那么什么是社会工程学攻击？提到社会工程学不得不提一个人。相信对网络有较深入的玩家都知道凯文·米特尼克。他是黑客中的王者。在他身上体现了什么是真正的社会工程学。他缔造了一个又一个神话。15岁侵入“北美空中防务指挥系统”的计算主机内。紧接着又侵入了“太平洋电话”公司，更改了数据库中的数据。这只是他辉煌历史的一个小小的片段。他的这一切的辉煌经济靠得不仅是传统系统的系统的入侵，更主要的是社会工程学。

社会工程学就是利用人的心理弱点（如人的本能反应、好奇心、信任、贪婪）、规章与制度的漏洞等进行诸如欺骗、伤害等手段，以期获得所需的信息（如计算机口令、银行帐号信息）。社会工程学有狭义与广义之分。广义与侠义社会工程学最明显的区别是会与受害者进行交互式行为。比如，你会设置一个陷阱使对方调入，或是你会伪造一封来自内部的虚假电子邮件，或者你会利用相关通信工具於他们交流获取敏感信息。广义的社会工程学师师不会乱去下载网站与论坛的数据库碰运气。而是清楚的知道自己需要什么信息，应该怎样去做，从收集的信息当中分析出应该与哪个关键人物交流。这就是真正的社会工程学师攻击的思想。社会工程学入侵与传统的黑客入侵有着本质的区别，是非传统的信息安全。它不是利用漏洞入侵，而是利用人为性的漏洞。它无法用硬件防火墙、入侵检测系统，虚拟专用网络，亦或是安全软件产品所能防御的。社会工程学不是单纯针对系统入侵与源代码窃取，本质上，它在黑客攻击边沿上独立并平衡着。它的威胁不仅仅是信息安全，更包括能源、经济、文化、恐怖主义等。国防大学卢凡博士曾经说过：“它（社会工程学攻击）并不能等同于一般的欺骗手法，即使自认为最警惕最小小心的人，一样会受到高明的社会工程学手段的损害，因为社会工程学主导着非传统信息安全，所以通过对它的研究可以提高对非传统信息安全事件的能力。”

现在的大多数攻击的典型入侵手段既传统的系统攻击与脚本攻击，由于安全厂商不断提供完备的解决方案变得越来越难了。在这样的情况下社会工程学慢慢的成了主流入侵技术，他们通过信息搜集与拨打电话式的社交直接索取密码，使得入侵更加容易。但同时就网络安全提出了更高的要求。是不断完善的安全技术推动了社会工程学的进一步发展。因此，想确保网络信息安全，就必须了解其主要的进攻手段。

首先介绍一下网络钓鱼攻击。

网络钓鱼（Phishing）一词，是“Fishing”和“Phone”的综合体，由于黑客始祖起初是以电话作案，所以用“Ph”来取代“F”，创造了”Phishing”。其含义是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息（如用户名、口令、帐号 ID、ATM PIN 码或信用卡详细信息）的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，并获取收信人在此网站上输入的个人敏感信息，通常这个攻击过程不会让受害者警觉。这些个人信息对黑客们具有非常大的吸引力，因为这些信息使得他们可以假冒受害者进行欺诈性金融交易，从而获得经济利益。受害者经常遭受显著的经济损失或全部个人信息被窃取并用于犯罪的目的。案例：今年2月份发现的一种骗取美邦银行（Smith Barney）用户的帐号和密码的“网络钓鱼”电子邮件，该邮件利用了IE的图片映射地址欺骗漏洞，并精心设计脚本程序，用一个显示假地址的弹出窗口遮挡住了IE浏览器的地址栏，使用户无法看到此网站的真实地址。当用户使用未打补丁的Outlook打开此邮件时，状态栏显示的链接是虚假的。当用户点击链接时，实际连接的是钓鱼网站http://**.41.155.60:87/s。该网站页面酷似Smith Barney银行网站的登陆界面，而用户一旦输入了自己的帐号密码，这些信息就会被黑客窃取。攻击者也在不断地进行技术创新和发展，目前新的网络钓鱼技术已经在使用中。例如，用户会受到一则即时通讯消息或一封电子邮件，消息或电子邮件自称是朋友想让用户看渡假或生日舞会的照片，其中包含有指向钓鱼式网站的链接。该网站能够记录用户的ID和密码，并将用户引导到真正的Yahoo Photos网站。

其次是传统的社交手段，如前面提到的通过打电话的方式，使用专业的术语，提出内部人员使用的ID，让一个系统管理员登陆系统，并将其传真过来便可搞定。

社会工程学的手段还有很多，但不是很常见。谨记以上欺骗手段便可以在一定程度上保护自己的信息。下面介绍如何一下防范社会工程学攻击。

社会工程学攻击窃取的是你的信息，所以你只需对你的信息做一些处理就能达到一定效果。黑客也许对你的电脑做了一些手段，来窃取你的机密信息。如果你的信息仅是几段字符串的话（例如系统、邮箱等的登录口令），利用COPY复制命令很容易完成简单的隐藏工作）。这个方法的原理是将两个不同类型的文件进行合并，如将记事本文件与图片文件合并成新的图像文件，记事本的信息只是追加在图片文件数据尾，且是明文显示的，要查看信息时只需要记事本打开。这只是一个小技术而已。下面介绍一下数据隐写技术。数据隐写技术是用隐写软件在图片、音频、文本等文件钟隐藏了信息，当再次试图解码是仍然得使用该软件进行解码，所以将所有相关的东西都放到U盘中，才能保证你的数据安全。数字隐秘技术包括QR密文信息隐写，MP3音频文件信息隐写,BMP与GIF图片文件信息隐写，TEXT、HTM、PDF文件信息隐写，在线JPEG与PNG图片信息隐写以及反汇编技术信息隐写等。数据加密技术是什么？是指将一个信息（或称明文，plain text）经过加密钥匙及加密函数转换，变成无意义的密文（ciphertext），而接收方则将次密文经过解密函数、解密钥匙还原成原文。加密的基本功能包括: 1.防止不速之客查看机密的数据文件； 2.防止机密数据被泄露或篡改；

3.防止特权用户(如系统管理员)查看私人数据文件； 4.使入侵者不能轻易地查找一个系统的文件。

数据加密是确保计算机网络安全的一种重要机制，虽然由于成本、技术和管理上的复杂性等原因，目前尚未在网络中普及，但数据加密的确是实现分布式系统和网络环境下数据安全的重要手段之一。

数据加密可在网络OSI七层协议的多层上实现、所以从加密技术应用的逻辑位置看，有三种方式: ①链路加密：通常把网络层以下的加密叫链路加密，主要用于保护通信节点间传输的数据，加解密由置于线路上的密码设备实现。根据传递的数据的同步方式又可分为同步通信加密和异步通信加密两种，同步通信加密又包含字节同步通信加密和位同步通信加密。②节点加密：是对链路加密的改进。在协议传输层上进行加密，主要是对源节点和目标节点之间传输数据进行加密保护，与链路加密类似.只是加密算法要结合在依附于节点的加密模件中，克服了链路加密在节点处易遭非法存取的缺点。

③端对端加密：网络层以上的加密称为端对端加密。是面向网络层主体。对应用层的数据信息进行加密，易于用软件实现，且成本低，但密钥管理问题困难，主要适合大型网络系统中信息在多个发方和收方之间传输的情况。

在这个发展及其快的社会，信息变得越来越重要，因此如何利用社会工程学保护好个人的信息是网络信息安全的最重要的项目之一，也是致力于网络安全的工程师不得不考虑的问题。

参考文献：《欺骗的艺术》；

《社会工程学》

《了解你的敌人》。

第二篇：信息系统安全

数字签名过程 “发送报文时，发送方用一个哈希函数从报文文本中生成报文摘要,然后用自己的私人密钥对这个摘要进行加密，这个加密后的摘要将作为报文的数字签名和报文一起发送给接收方，接收方首先用与发送方一样的哈希函数从接收到的原始报文中计算出报文摘要，接着再用发送方的公用密钥来对报文附加的数字签名进行解密，如果这两个摘要相同、那么接收方就能确认该数字签名是发送方的。

数字签名有两种功效：一是能确定消息确实是由发送方签名并发出来的，因为别人假冒不了发送方的签名。二是数字签名能确定消息的完整性。因为数字签名的特点是它代表了文件的特征，文件如果发生改变，数字签名的值也将发生变化。不同的文件将得到不同的数字签名。一次数字签名涉及到一个哈希函数、发送者的公钥、发送者的私钥。”这报文鉴别的描述！数字签名没有那么复杂。数字签名： 发送方用自己的密钥对报文X进行E运算，生成不可读取的密文Esk，然后将Esx传送给接收方，接收方为了核实签名，用发送方的密钥进行D运算，还原报文。

口令攻击的主要方法

1、社会工程学(social Engineering)，通过人际交往这一非技术手段以欺骗、套取的方式来获得口令。避免此类攻击的对策是加强用户意识。

2、猜测攻击。首先使用口令猜测程序进行攻击。口令猜测程序往往根据用户定义口令的习惯猜测用户口令，像名字缩写、生日、宠物名、部门名等。在详细了解用户的社会背景之后，黑客可以列举出几百种可能的口令，并在很短的时间内就可以完成猜测攻击。

3、字典攻击。如果猜测攻击不成功，入侵者会继续扩大攻击范围，对所有英文单词进行尝试，程序将按序取出一个又一个的单词，进行一次又一次尝试，直到成功。据有的传媒报导，对于一个有8万个英文单词的集合来说，入侵者不到一分半钟就可试完。所以，如果用户的口令不太长或是单词、短语，那么很快就会被破译出来。

4、穷举攻击。如果字典攻击仍然不能够成功，入侵者会采取穷举攻击。一般从长度为1的口令开始，按长度递增进行尝试攻击。由于人们往往偏爱简单易记的口令，穷举攻击的成功率很高。如果每千分之一秒检查一个口令，那么86%的口令可以在一周内破译出来。

5、混合攻击，结合了字典攻击和穷举攻击，先字典攻击，再暴力攻击。

避免以上四类攻击的对策是加强口令策略。

6、直接破解系统口令文件。所有的攻击都不能够奏效，入侵者会寻找目标主机的安全漏洞和薄弱环节，饲机偷走存放系统口令的文件，然后破译加密的口令，以便冒充合法用户访问这台主机。

7:网络嗅探(sniffer)，通过嗅探器在局域网内嗅探明文传输的口令字符串。避免此类攻击的对策是网络传输采用加密传输的方式进行。

8:键盘记录，在目标系统中安装键盘记录后门，记录操作员输入的口令字符串，如很多间谍软件，木马等都可能会盗取你的口述。

9:其他攻击方式，中间人攻击、重放攻击、生日攻击、时间攻击。

避免以上几类攻击的对策是加强用户安全意识，采用安全的密码系统，注意系统安全，避免感染间谍软件、木马等恶意程序。

第三篇：信息系统安全管理制度

信息系统安全管理制度

一、总则

1、为加强公司网络管理，明确岗位职责，规范操作流程，维护网络正常运行，确保计算机信息系统的安全，现根据《中华人民共和国计算机信息系统安全保护条例》、等有关规定，结合本公司实际，特制订本制度；

2、计算机信息系统是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统；

3、公司由微机科专门负责本公司范围内的计算机信息系统安全管理工作。

二、网络管理

1、遵守国家有关法律、法规，严格执行安全保密制度及公司信息保密协议相关条款，不得利用网络从事危害公司安全、泄露公司秘密等违法犯罪活动，严格控制和防范计算机病毒的侵入；

2、禁止未授权用户或外来计算机接入公司计算机网络及访问、拷贝网络中的资源；

3、任何员工不得故意输入、传播计算机病毒和其他有害数据，不得利用非法手段复制、截收、篡改计算机信息系统中的数据；

4、计算机各终端用户应保管好自己的用户帐号和密码。严禁随意向他人泄露、借用自己的帐号和密码；计算机使用者更应以30天为周期更改密码、密码长度不少于8位。

三、设备管理

1、IT设备安全管理实行“谁使用谁负责”的原则（公用设备责任落实到部门）。严禁擅自移动和装拆各类设备及其他辅助设备；严禁擅自请人维修；严禁擅自调整部门内部计算机信息系统的安排；

2、设备硬件或重装操作系统等问题由微机科统一管理。

四、数据管理

1、计算机终端用户计算机内的资料涉及公司秘密的，应该为计算机设定开机密码或将文件加密；凡涉及公司机密的数据或文件，非工作需要不得以任何形式转移，更不得透露给他人。离开原工作岗位的员工由所在部门经理负责将其所有工作资料收回并保存；

2、工作范围内的重要数据（重要程度由各部门负责人核定）由计算机终端用户定期更新、备份，并提交给所在部门负责人，由部门负责人负责保存；

3、计算机终端用户务必将有价值的数据存放在除系统盘(操作系统所在的硬盘分区，一般是C盘)外的盘上。计算机信息系统发生故障，应及时与微机科联系并采取保护数据安全的措施；

4、终端用户未做好备份前不得删除任何硬盘数据。对重要的数据应准备双份，存放在不同的地点；光盘保存的数据，要定期进行检查，定期进行复制，防止由于磁性介质损坏，而使数据丢失；做好防磁、防火、防潮和防尘工作。

五、操作管理

1、凡涉及业务的专业软件由使用人员自行负责。严禁利用计算机干与工作无关的事情；严禁除维修人员以外的外部人员操作各类设备；

2、微机科将有针对性地对员工的计算机应用技能进行定期或不定期的培训，培训成绩将记入员工绩效考核；由微机科收集计算机信息系统常见故障及排除方法并整理成册，供公司员工学习参考。

3、计算机终端用户在工作中遇到计算机信息系统问题，首先要学会自行处理或参照手册处理；若遇到手册中没有此问题，或培训未曾讲过的问题，再与微机科或软件开发单位、硬件供应商联系，尽快解决问题。

六、网站管理

1、公司网站由微机科提供技术支持和后台管理，由公司相关部门提供经审核后的书面和电子版网站建设资料。

七、处罚措施

1、计算机终端用户擅自下载、安装或存放与工作无关的文件经查实后，根据文件大小第一次按10元/100M（四舍五入到百兆）进行罚款，以后每次按倍数原则（第二次20元/100M，第三40元/100M，第四次80元/100M，以此类推）处罚。凡某一使用责任人此种情况出现三次以上（包括三次），将给予行政处罚。

2、有以下情况之一者，视情节严重程度处以50元以上500元以下罚款。构成犯罪的，依法追究刑事责任。（1）制造或者故意输入、传播计算机病毒以及其他有害数据的；

（2）非法复制、截收、篡改计算机信息系统中的数据危害计算机信息系统安全的；

（3）对网络和服务器进行恶意攻击，侵入他人网络和服务器系统，利用计算机和网络干扰他人正常工作；

（4）访问未经授权的文件、系统或更改设备设置；

（5）申请人在设备领用或报废一周之内未将所涉及到的表单交微机科；（6）擅自与他人更换使用计算机或相关设备；

（7）擅自调整部门内部计算机的安排且未向行政部备案；

（8）日常抽查、岗位调动、离职时检查到计算机配置与该计算机档案不符、IT设备卡被撕毁、涂画或遮盖等；（9）工作时间外使用公司计算机做与工作无关的事务；（10）相同故障出现三次以上（包括三次）仍无法自行处理的；

（11）因工作需要长时间(五个小时以上)离开办公位置或下班后无故未将计算机关闭；

3、计算机终端用户因主观操作不当对设备造成破坏两次以上或蓄意对设备造成破坏的，视情节严重，按所破坏设备市场价值的20%~80%赔偿，并给予行政处罚。

行政部微机科

第四篇：信息系统安全保密制度

信息系统安全保密制度

信息系统的安全保密工作是保证数据信息安全的基础，同时给全院的信息安全保密工作提供了一个工作指导。为了加强我院信息系统的安全保密管理工作，根据上级要求，结合我院的实际情况，现制定如下制度：

第一章总则

第一条***学院校园网和各个信息系统的服务对象是学校教学、科研和管理机构，全校教职工和学生，以及其他经学校授权的单位及个人。

第二条我院内任何部门及个人不得利用校园网危害国家安全、泄露国家秘密，不得侵犯国家、社会、集体利益和个人的合法权益，不得从事违法犯罪活动。第三条未经批准，任何单位或个人不得将校园网延伸至校外或将校外网络引入至校园内。未经批准，任何数据业务运营商或电信代理商不得擅自进入山东信息职业技术学院内进行工程施工，开展因特网业务。

第四条各部门应按照国家信息系统等级保护制度的相关法律法规、标准规范的要求，落实信息系统安全等级保护制度。

第五条各部门要规范信息维护、信息管理、运行维护等方面的工作流程和机制，指定专人负责系统运行的日常工作，做好用户授权等管理服务工作。

第二章数据安全

第六条本制度中的数据是指各类信息系统所覆盖的所有数据，包括档案管理系统、财务管理系统、资产管理系统、安防监控系统以及学院网站等网站和系统的所有数据。

第七条各部门要及时补充和更新管理系统的业务数据，确保数据的完整性、时效性和准确性。第八条各部门要保证信息系统安全和数据安全，制定重要数据库和系统主要设备的容灾备案措施。记录并保留至少60天系统维护日志。各系统管理员和个人要妥善保管好账号和密码，定期更新密码，防止密码外泄。

第九条保证各系统相关数据安全。各部门和系统管理人员，要对自己所管理的数据负责，保证数据安全，防止数据泄漏。

第十条学校数据信息主要用于教学、科研、管理、生活服务等，申请数据获取的单位有义务保护数据的隐秘性，不得将数据信息用于申请用途外的活动。第十一条未经批准，任何部门和个人不得擅自提供信息系统的内部数据。对于违反规定、非法披露、提供数据的单位和个人，应依照相关规定予以处罚。

第三章信息安全

第十二条任何部门和个人不得利用校园网及各系统制作、复制、传播和查阅下列信息：

（一）危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；

（二）损害国家荣誉和利益的；

（三）煽动民族仇恨、民族歧视，破坏民族团结的；

（四）破坏国家宗教政策，宣扬邪教和封建迷信的；

（五）散布谣言，扰乱社会公共秩序，破坏国家稳定的；

（六）散步淫秽、色情、暴力、凶杀、恐怖或者教唆犯罪的；

（七）侮辱和诽谤他人，侵害他人合法权益的；

（八）含有国家法律和行政法规禁止的其他内容的；

（九）煽动抗拒、破坏宪法和法律、法规实施的；

第十三条未经批准，任何个人和部门不能擅自发布、删除和改动学院网站和系统信息。凡发布信息，必须经过严格审核。

第十四条校园网用户必须自觉配合国家和学校有关部门依法进行的监督、检查。用户若发现违法有害信息，有义务向学校有关部门报告。第十五条学院内部所有人员上网均需实名制，并执行严格的实名备案制度。一经发现上网本制度禁止信息，要尽快查处，情节严重者交由公安机关。

第四章学院网站安全

第十六条学院网站是学院的门户，学院网站信息安全是至关重要的。****学院门户网站已按照相关部门要求，委托信息中心备案，备案域名为：***。

第十七条凡上线网站，山东信息职业技术学院实行网站备案，未经备案的网站，学院一律停止对该网站的运行。

第十八条各部门要保证网站的数据安全和系统安全，制定重要数据库和系统主要设备的容灾备案措施。记录并保留至少60天系统维护日志。

第十九条各部门网站信息发布严格实行信息发布审核登记制度，发现有害信息，应当在保留有关原始记录后，及时予以删除，并在第一时间向学校办公室和网络管理中心报告。发现计算机犯罪案件，要立即向公安机关网警部门报案。第二十条学院办公室、网络管理中心负责对学校网站进行监督、检查。对于存在安全隐患的网站，网络信息中心有权停止其对外服务。

第五章其他

第二十一条违反本管理规定的，视情节轻重采用以下其中一种或多种处理措施：

（一）批评整改；

（二）报相关部门领导处理；

（三）移交公安、司法部门处理。

第二十二条本规定由网络信息中心负责解释。第二十三条本规定自公布之日起生效。

第五篇：信息系统安全自查报告

XXXX市人防办信息系统安全自查报告

根据XXXX市信息化工作领导小组办公室《关于开展2011政府信息系统安全检查的通知》（信化办【2011】8号）要求，我办高度重视，立即召开专题会议部署信息系统安全工作，成立自查工作小组，对我办的信息系统安全保密等情况进行了系统全面的检查，下面将自查情况报告如下：

一、信息安全总体状况

我办目前各网络系统运转良好，未在网上存储、传输涉密信息，未发生过失密、泄密现象。

（一）领导重视制度完善

1、为进一步加强我办政府信息安全工作的领导，成立了信息安全工作领导小组，有局长任组长，分管领导任副组长、各科室负责人为成员，办公室身在综合科，设专人负责除了日常工作，同时建立了安全责任制、应急预案、值班制度、信息发布审核制度、政府信息公开工作制度、保密审查制度、责任追究制度等。近年以来都没发生过安全责任事故。

2、为确保我办网络信息安全工作有效顺利开展，我办要求以各部门为单位认真组织学习相关法律、法规和网络信息安全的相关知识，是全体人员都能正确领会信息安全工作的重要性，都能掌握计算机安全使用的规定要求，都能正确的使用计算机网络和各类信息系统。

（二）严格要求，措施到位

1、强化安全防范措施。我办严格按照网站程序升级、服务器托管、网站维护等方面存在的突出问题，进一步强化了安全防范措施。一是对本单位信息系统的账户、口令、软件补丁等每周进行了一次清理检查，及时更新和升级、杜绝了弱口令、弱密码、消除了安全隐患。二是每台计算机都安装了杀毒软件，并定期进行病毒查杀、对操作系统存在的漏洞、防毒软件配置不到位的计算机坚决断掉网络连接，发现问题，及时上报、处理。三是对本单位有计算机的使用者进行了安全培训和对每台入网计算机的使用者、ip地址和物理MAC地址进行了登记造册，由行政办公室进行管理，此外，对涉密网络、涉密信息系统、涉密计算机、由专人维护使用，并严禁接入互联网，严禁与非涉密移动存储介质交叉使用，确保信息安全。

2、采取特殊管理措施。我办一是关闭或删除不必要的应用、服务、端口和链接，限制易被攻击，禁止打开不必要的网站。二是严格信息发布审核，确保所发布信息内容的准确性和真实性。三严格执行信息安全规定。严禁在非涉密计算机上处理、存储、传递涉密信息。严禁办公内网与互联网相连。严禁在互联网上利用电子邮件系统传递涉密信息。严禁在各种论坛、聊天室、博客等发布、谈论涉密信息。严禁利用qq等聊天工具传送涉密信息。

3、落实安全应急预案和应急演练，我办已经做好各项准备工作，对可能发生的各类信息安全事件做到心中有数，进一步完善了信息安全应急预案，明确应急处置流程，落实了应急技术支撑队伍，把工作做深做细做在前面。积极组织开展了应急演练，检验了应急预案的可操作性，提高了应急处置能力。

二、信息安全检查发现的主要问题及整改情况

（一）存在的主要问题

1、信息安全意识不够。干部职工的信息安全教育还不够，缺乏维护信息安全主动性和自觉性。

2、设备维护、更新还不够及时。

3、专业技术人员少，信息系统安全力量有限，信息系统安全技术水平还有待提高。

4、信息系统安全工作机制有待进一步完善。

（二）下一步的整改计划

根据自查过程中发现的不足，同时结合我办实际，将着重一下几个方面进行整改。

1、要继续加强对全办干部职工的信息安全教育，提高做好安全工作的主动性和自觉性。

2、要切实增强信息安全制度的落实工作，不定期的对安全制度执行情况进行检查，对于导致不良后果的责任人，要严肃追进责任，从而提高人员安全防范意识。

3、要加强专业信息技术人员的培养，进一步提高信息安全工作技术水平，便于我们进一步加强计算机信息系统安全防范和保密工作。

4、要加大对线路、系统、网络设备的维护和保养，同时，针对信息技术发展迅速的特点，要加大系统设备更新力度。

5、要创新完善信息安全工作机制，进一步规范办公秩序，提高信息工作安全性。

三、对信息安全检查工作的建议和意见

希望市政府能够经常组织有关信息系统安全的培训，从而进一步提高信息系统管理工作人员的专业水平，从而进一步强化信息系统的安全防范工作。