第一篇:信息系统安全工作总结
2011年信息系统安全工作总结
为确保公司信息系统持续安全稳定运行,我中心把此项工作列入重要议事日程,明确主管领导、责任部门和相关人员,制定相应规章制度,确保了我中心公司信息系统持续安全稳定运行。现将2011年工作汇报如下:
一、安全管理制度落实情况
1、成立了信息安全管理机构。明确信息安全工作由中心信息安全领导小组
负责,该领导小组由中心工会主席XX任组长,由中心安全部XX为信息专责,各系统使用人为成员。明确由中心信息中心负责具体公司信息系统安全维护日常工作。健全的机构、明晰的人员分工为公司信息系统安全运行奠定了坚实的基础。
2、建立了信息安全责任制。按责任规定:中心信息安全领导小组对信息安
全负首责,主管领导负总责,管理人员负主责,具体使用人员负主责。
3、制定了计算机外网和公司网分离使用的相关保密管理制度。规定外网使
用人员负责本台电脑信息管护工作,公司网使用人员负责内网保密管理,规定双网间不得相互搭接,严禁泄密。
二、安全防范措施落实情况
1、公司网计算机按照公司管理规定,经过了保密技术检查,没有同互联网相
连接,并安装了防火墙,实行了物理隔离。同时安装了金山杀毒软件,加强了防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的功能。
2、检测信息系统无安全漏洞,载有涉密内容的移动存储设备(包括软盘、硬
盘、光盘等)没有带离办公地点,没有出现涉密内容在Internet相连的计算机系统中存储、处理、传输。
三、应急响应机制建设情况
1、按照要求制定了应急机构及应急预案等,做到了责任落实、人员到位、措
施得力,并在中心内进行了广泛的宣传贯彻和培训,明确了应急技术支援队伍。
2、坚持和涉密计算机系统定点维修单位取得密切联系,并商定在中心涉密计
算机出现问题等应急技术时给予最大程度的支持。
3、严格文件的收发,完善了清点、编号、签收制度,并要求办公室文员在每天下班前进行系统检查维护。
四、信息技术产品和服务国产化情况
计算机的保密系统、公文处理软件、信息安全产品、服务器、路由器、交
换机等皆符合相关技术要求。
五、安全教育培训情况
1、派专人参加了公司组织的网络系统安全和保密知识培训、安全技能培训等,并安排专人负责本中心的网络安全管理和信息安全工作。
2、中心信息安全领导小组多次组织全中心职工学习了计算机的基本操作技能
和信息安 全常识等内容。
总之,在2011年里我单位没有出现违反信息安全规定行为和造成泄密事故、信息、安全事故的情况发生。
六、存在的不足和整改措施
1、对信息安全投入力量有限。由于办公费用紧张,对信息系统安全投入不足,硬件措施不能完全达到标准。
2、人员培训力度需要进一步加强。2011年在人员培训上也下了不少工夫,使用内网职工对于信息安全重要性的认识需要进一步提升,特别是岗位发生变化后,需要进行上岗前的培训,合格后方能进行相关工作,以进一步确保信息安全。
在以后的信息安全工作中,我们将结合实际,主要在以下几个方面进行整改。
1、针对信息安全意识需进一步提升问题,进一步加大力度对计算机安全知识的培训教育,提高做好安全工作的主动性和自觉性。
2、针对设备维护、及时更新问题,加大对线路、系统等及时维护和保养,同
时针对信息技术的快速发展的特点,加大更新力度。
3、针对信息安全工作水平不高问题。继续努力,在落实责任制上下功夫,坚
持执行“谁主管谁负责,谁分管谁负责,谁维护谁负责,谁使用谁负责”的责任制方针,将上级的信息安全精神落实到实处,力争把信息安全的管护提高到现代化水平,促进中心计算机信息系统安全的防范和保密工作的顺利进行。
4、针对工作机制不够完善问题。要坚持以制度为根本,在进一步完善信息安
全制度的同时,安排专人,完善设施,密切监测,加大奖惩力度,随时随地解决可能发生的信息系统安全事故,确保此项工作稳定运行。
第二篇:信息系统安全工作总结
2011年信息系统安全工作总结
为确保公司信息系统持续安全稳定运行,我中心把此项工作列入重要议事日程,明确主管领导、责任部门和相关人员,制定相应规章制度,确保了我中心公司信息系统持续安全稳定运行。现将2011年工作汇报如下:
一、安全管理制度落实情况
1、成立了信息安全管理机构。明确信息安全工作由中心信息安全领导小组负责,该领导小组由中心工会主席XX任组长,由中心安全部XX为信息专责,各系统使用人为成员。明确由中心信息中心负责具体公司信息系统安全维护日常工作。健全的机构、明晰的人员分工为公司信息系统安全运行奠定了坚实的基础。
2、建立了信息安全责任制。按责任规定:中心信息安全领导小组对信息安全负首责,主管领导负总责,管理人员负主责,具体使用人员负主责。
3、制定了计算机外网和公司网分离使用的相关保密管理制度。规定外网使用人员负责本台电脑信息管护工作,公司网使用人员负责内网保密管理,规定双网间不得相互搭接,严禁泄密。
二、安全防范措施落实情况
1、公司网计算机按照公司管理规定,经过了保密技术检查,没有同互联网相连接,并安装了防火墙,实行了物理隔离。同时安装了金山杀毒软件,加强了防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的功能。
2、检测信息系统无安全漏洞,载有涉密内容的移动存储设备(包括软盘、硬盘、光盘等)没有带离办公地点,没有出现涉密内容在Internet相连的计算机系统中存储、处理、传输。
三、应急响应机制建设情况
1、按照要求制定了应急机构及应急预案等,做到了责任落实、人员到位、措施得力,并在中心内进行了广泛的宣传贯彻和培训,明确了应急技术支援队伍。
2、坚持和涉密计算机系统定点维修单位取得密切联系,并商定在中心涉密计算机出现问题等应急技术时给予最大程度的支持。
3、严格文件的收发,完善了清点、编号、签收制度,并要求办公室文员在每天下班前进行系统检查维护。
四、信息技术产品和服务国产化情况
计算机的保密系统、公文处理软件、信息安全产品、服务器、路由器、交换机等皆符合相关技术要求。
五、安全教育培训情况
1、派专人参加了公司组织的网络系统安全和保密知识培训、安全技能培训等,并安排专人负责本中心的网络安全管理和信息安全工作。
2、中心信息安全领导小组多次组织全中心职工学习了计算机的基本操作技能和信息安 全常识等内容。
总之,在2011年里我单位没有出现违反信息安全规定行为和造成泄密事故、信息、安全事故的情况发生。
六、存在的不足和整改措施
1、对信息安全投入力量有限。由于办公费用紧张,对信息系统安全投入不足,硬件措施不能完全达到标准。
2、人员培训力度需要进一步加强。2011年在人员培训上也下了不少工夫,使用内网职工对于信息安全重要性的认识需要进一步提升,特别是岗位发生变化后,需要进行上岗前的培训,合格后方能进行相关工作,以进一步确保信息安全。
在以后的信息安全工作中,我们将结合实际,主要在以下几个方面进行整改。
1、针对信息安全意识需进一步提升问题,进一步加大力度对计算机安全知识的培训教育,提高做好安全工作的主动性和自觉性。
2、针对设备维护、及时更新问题,加大对线路、系统等及时维护和保养,同时针对信息技术的快速发展的特点,加大更新力度。
3、针对信息安全工作水平不高问题。继续努力,在落实责任制上下功夫,坚持执行“谁主管谁负责,谁分管谁负责,谁维护谁负责,谁使用谁负责”的责任制方针,将上级的信息安全精神落实到实处,力争把信息安全的管护提高到现代化水平,促进中心计算机信息系统安全的防范和保密工作的顺利进行。
4、针对工作机制不够完善问题。要坚持以制度为根本,在进一步完善信息安全制度的同时,安排专人,完善设施,密切监测,加大奖惩力度,随时随地解决可能发生的信息系统安全事故,确保此项工作稳定运行。
第三篇:信息系统安全
数字签名过程 “发送报文时,发送方用一个哈希函数从报文文本中生成报文摘要,然后用自己的私人密钥对这个摘要进行加密,这个加密后的摘要将作为报文的数字签名和报文一起发送给接收方,接收方首先用与发送方一样的哈希函数从接收到的原始报文中计算出报文摘要,接着再用发送方的公用密钥来对报文附加的数字签名进行解密,如果这两个摘要相同、那么接收方就能确认该数字签名是发送方的。
数字签名有两种功效:一是能确定消息确实是由发送方签名并发出来的,因为别人假冒不了发送方的签名。二是数字签名能确定消息的完整性。因为数字签名的特点是它代表了文件的特征,文件如果发生改变,数字签名的值也将发生变化。不同的文件将得到不同的数字签名。一次数字签名涉及到一个哈希函数、发送者的公钥、发送者的私钥。”这报文鉴别的描述!数字签名没有那么复杂。数字签名: 发送方用自己的密钥对报文X进行E运算,生成不可读取的密文Esk,然后将Esx传送给接收方,接收方为了核实签名,用发送方的密钥进行D运算,还原报文。
口令攻击的主要方法
1、社会工程学(social Engineering),通过人际交往这一非技术手段以欺骗、套取的方式来获得口令。避免此类攻击的对策是加强用户意识。
2、猜测攻击。首先使用口令猜测程序进行攻击。口令猜测程序往往根据用户定义口令的习惯猜测用户口令,像名字缩写、生日、宠物名、部门名等。在详细了解用户的社会背景之后,黑客可以列举出几百种可能的口令,并在很短的时间内就可以完成猜测攻击。
3、字典攻击。如果猜测攻击不成功,入侵者会继续扩大攻击范围,对所有英文单词进行尝试,程序将按序取出一个又一个的单词,进行一次又一次尝试,直到成功。据有的传媒报导,对于一个有8万个英文单词的集合来说,入侵者不到一分半钟就可试完。所以,如果用户的口令不太长或是单词、短语,那么很快就会被破译出来。
4、穷举攻击。如果字典攻击仍然不能够成功,入侵者会采取穷举攻击。一般从长度为1的口令开始,按长度递增进行尝试攻击。由于人们往往偏爱简单易记的口令,穷举攻击的成功率很高。如果每千分之一秒检查一个口令,那么86%的口令可以在一周内破译出来。
5、混合攻击,结合了字典攻击和穷举攻击,先字典攻击,再暴力攻击。
避免以上四类攻击的对策是加强口令策略。
6、直接破解系统口令文件。所有的攻击都不能够奏效,入侵者会寻找目标主机的安全漏洞和薄弱环节,饲机偷走存放系统口令的文件,然后破译加密的口令,以便冒充合法用户访问这台主机。
7:网络嗅探(sniffer),通过嗅探器在局域网内嗅探明文传输的口令字符串。避免此类攻击的对策是网络传输采用加密传输的方式进行。
8:键盘记录,在目标系统中安装键盘记录后门,记录操作员输入的口令字符串,如很多间谍软件,木马等都可能会盗取你的口述。
9:其他攻击方式,中间人攻击、重放攻击、生日攻击、时间攻击。
避免以上几类攻击的对策是加强用户安全意识,采用安全的密码系统,注意系统安全,避免感染间谍软件、木马等恶意程序。
第四篇:信息系统安全管理制度
信息系统安全管理制度
一、总则
1、为加强公司网络管理,明确岗位职责,规范操作流程,维护网络正常运行,确保计算机信息系统的安全,现根据《中华人民共和国计算机信息系统安全保护条例》、等有关规定,结合本公司实际,特制订本制度;
2、计算机信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统;
3、公司由微机科专门负责本公司范围内的计算机信息系统安全管理工作。
二、网络管理
1、遵守国家有关法律、法规,严格执行安全保密制度及公司信息保密协议相关条款,不得利用网络从事危害公司安全、泄露公司秘密等违法犯罪活动,严格控制和防范计算机病毒的侵入;
2、禁止未授权用户或外来计算机接入公司计算机网络及访问、拷贝网络中的资源;
3、任何员工不得故意输入、传播计算机病毒和其他有害数据,不得利用非法手段复制、截收、篡改计算机信息系统中的数据;
4、计算机各终端用户应保管好自己的用户帐号和密码。严禁随意向他人泄露、借用自己的帐号和密码;计算机使用者更应以30天为周期更改密码、密码长度不少于8位。
三、设备管理
1、IT设备安全管理实行“谁使用谁负责”的原则(公用设备责任落实到部门)。严禁擅自移动和装拆各类设备及其他辅助设备;严禁擅自请人维修;严禁擅自调整部门内部计算机信息系统的安排;
2、设备硬件或重装操作系统等问题由微机科统一管理。
四、数据管理
1、计算机终端用户计算机内的资料涉及公司秘密的,应该为计算机设定开机密码或将文件加密;凡涉及公司机密的数据或文件,非工作需要不得以任何形式转移,更不得透露给他人。离开原工作岗位的员工由所在部门经理负责将其所有工作资料收回并保存;
2、工作范围内的重要数据(重要程度由各部门负责人核定)由计算机终端用户定期更新、备份,并提交给所在部门负责人,由部门负责人负责保存;
3、计算机终端用户务必将有价值的数据存放在除系统盘(操作系统所在的硬盘分区,一般是C盘)外的盘上。计算机信息系统发生故障,应及时与微机科联系并采取保护数据安全的措施;
4、终端用户未做好备份前不得删除任何硬盘数据。对重要的数据应准备双份,存放在不同的地点;光盘保存的数据,要定期进行检查,定期进行复制,防止由于磁性介质损坏,而使数据丢失;做好防磁、防火、防潮和防尘工作。
五、操作管理
1、凡涉及业务的专业软件由使用人员自行负责。严禁利用计算机干与工作无关的事情;严禁除维修人员以外的外部人员操作各类设备;
2、微机科将有针对性地对员工的计算机应用技能进行定期或不定期的培训,培训成绩将记入员工绩效考核;由微机科收集计算机信息系统常见故障及排除方法并整理成册,供公司员工学习参考。
3、计算机终端用户在工作中遇到计算机信息系统问题,首先要学会自行处理或参照手册处理;若遇到手册中没有此问题,或培训未曾讲过的问题,再与微机科或软件开发单位、硬件供应商联系,尽快解决问题。
六、网站管理
1、公司网站由微机科提供技术支持和后台管理,由公司相关部门提供经审核后的书面和电子版网站建设资料。
七、处罚措施
1、计算机终端用户擅自下载、安装或存放与工作无关的文件经查实后,根据文件大小第一次按10元/100M(四舍五入到百兆)进行罚款,以后每次按倍数原则(第二次20元/100M,第三40元/100M,第四次80元/100M,以此类推)处罚。凡某一使用责任人此种情况出现三次以上(包括三次),将给予行政处罚。
2、有以下情况之一者,视情节严重程度处以50元以上500元以下罚款。构成犯罪的,依法追究刑事责任。(1)制造或者故意输入、传播计算机病毒以及其他有害数据的;
(2)非法复制、截收、篡改计算机信息系统中的数据危害计算机信息系统安全的;
(3)对网络和服务器进行恶意攻击,侵入他人网络和服务器系统,利用计算机和网络干扰他人正常工作;
(4)访问未经授权的文件、系统或更改设备设置;
(5)申请人在设备领用或报废一周之内未将所涉及到的表单交微机科;(6)擅自与他人更换使用计算机或相关设备;
(7)擅自调整部门内部计算机的安排且未向行政部备案;
(8)日常抽查、岗位调动、离职时检查到计算机配置与该计算机档案不符、IT设备卡被撕毁、涂画或遮盖等;(9)工作时间外使用公司计算机做与工作无关的事务;(10)相同故障出现三次以上(包括三次)仍无法自行处理的;
(11)因工作需要长时间(五个小时以上)离开办公位置或下班后无故未将计算机关闭;
3、计算机终端用户因主观操作不当对设备造成破坏两次以上或蓄意对设备造成破坏的,视情节严重,按所破坏设备市场价值的20%~80%赔偿,并给予行政处罚。
行政部微机科
第五篇:信息系统安全保密制度
信息系统安全保密制度
信息系统的安全保密工作是保证数据信息安全的基础,同时给全院的信息安全保密工作提供了一个工作指导。为了加强我院信息系统的安全保密管理工作,根据上级要求,结合我院的实际情况,现制定如下制度:
第一章总则
第一条***学院校园网和各个信息系统的服务对象是学校教学、科研和管理机构,全校教职工和学生,以及其他经学校授权的单位及个人。
第二条我院内任何部门及个人不得利用校园网危害国家安全、泄露国家秘密,不得侵犯国家、社会、集体利益和个人的合法权益,不得从事违法犯罪活动。第三条未经批准,任何单位或个人不得将校园网延伸至校外或将校外网络引入至校园内。未经批准,任何数据业务运营商或电信代理商不得擅自进入山东信息职业技术学院内进行工程施工,开展因特网业务。
第四条各部门应按照国家信息系统等级保护制度的相关法律法规、标准规范的要求,落实信息系统安全等级保护制度。
第五条各部门要规范信息维护、信息管理、运行维护等方面的工作流程和机制,指定专人负责系统运行的日常工作,做好用户授权等管理服务工作。
第二章数据安全
第六条本制度中的数据是指各类信息系统所覆盖的所有数据,包括档案管理系统、财务管理系统、资产管理系统、安防监控系统以及学院网站等网站和系统的所有数据。
第七条各部门要及时补充和更新管理系统的业务数据,确保数据的完整性、时效性和准确性。第八条各部门要保证信息系统安全和数据安全,制定重要数据库和系统主要设备的容灾备案措施。记录并保留至少60天系统维护日志。各系统管理员和个人要妥善保管好账号和密码,定期更新密码,防止密码外泄。
第九条保证各系统相关数据安全。各部门和系统管理人员,要对自己所管理的数据负责,保证数据安全,防止数据泄漏。
第十条学校数据信息主要用于教学、科研、管理、生活服务等,申请数据获取的单位有义务保护数据的隐秘性,不得将数据信息用于申请用途外的活动。第十一条未经批准,任何部门和个人不得擅自提供信息系统的内部数据。对于违反规定、非法披露、提供数据的单位和个人,应依照相关规定予以处罚。
第三章信息安全
第十二条任何部门和个人不得利用校园网及各系统制作、复制、传播和查阅下列信息:
(一)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
(二)损害国家荣誉和利益的;
(三)煽动民族仇恨、民族歧视,破坏民族团结的;
(四)破坏国家宗教政策,宣扬邪教和封建迷信的;
(五)散布谣言,扰乱社会公共秩序,破坏国家稳定的;
(六)散步淫秽、色情、暴力、凶杀、恐怖或者教唆犯罪的;
(七)侮辱和诽谤他人,侵害他人合法权益的;
(八)含有国家法律和行政法规禁止的其他内容的;
(九)煽动抗拒、破坏宪法和法律、法规实施的;
第十三条未经批准,任何个人和部门不能擅自发布、删除和改动学院网站和系统信息。凡发布信息,必须经过严格审核。
第十四条校园网用户必须自觉配合国家和学校有关部门依法进行的监督、检查。用户若发现违法有害信息,有义务向学校有关部门报告。第十五条学院内部所有人员上网均需实名制,并执行严格的实名备案制度。一经发现上网本制度禁止信息,要尽快查处,情节严重者交由公安机关。
第四章学院网站安全
第十六条学院网站是学院的门户,学院网站信息安全是至关重要的。****学院门户网站已按照相关部门要求,委托信息中心备案,备案域名为:***。
第十七条凡上线网站,山东信息职业技术学院实行网站备案,未经备案的网站,学院一律停止对该网站的运行。
第十八条各部门要保证网站的数据安全和系统安全,制定重要数据库和系统主要设备的容灾备案措施。记录并保留至少60天系统维护日志。
第十九条各部门网站信息发布严格实行信息发布审核登记制度,发现有害信息,应当在保留有关原始记录后,及时予以删除,并在第一时间向学校办公室和网络管理中心报告。发现计算机犯罪案件,要立即向公安机关网警部门报案。第二十条学院办公室、网络管理中心负责对学校网站进行监督、检查。对于存在安全隐患的网站,网络信息中心有权停止其对外服务。
第五章其他
第二十一条违反本管理规定的,视情节轻重采用以下其中一种或多种处理措施:
(一)批评整改;
(二)报相关部门领导处理;
(三)移交公安、司法部门处理。
第二十二条本规定由网络信息中心负责解释。第二十三条本规定自公布之日起生效。
点击咨询 