開篇：寫作不僅是一種記錄，更是一種創造，它讓我們能夠捕捉那些稍縱即逝的靈感，將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全整改報告，希望這些內容能成為您創作過程中的良師益友，陪伴您不斷探索和進步。

第1篇

一、2020年度網絡安全檢查工作組織開展情況

一、統一思想認識，提高政治站位。迅速召開專題會議，傳達學習財政部網絡安全和信息化領導小組辦公室《關于地方財政部門進一步強化網絡安全暨開展2020年網絡安全檢查的通知》文件精神，并對網絡安全工作作出了重要指示和部署。

二、加強統一領導，落實安全責任。為進一步加強對網絡安全檢查自查工作的組織領導，成立了由局黨組書記、局長吳冰同志為組長，各黨組成員為副組長的自查工作領導小組，負責網絡安全檢查自查工作安排部署，嚴格對照核查內容和工作要求，認真開展了自查工作。

三、加強督查督導，確保整改到位。結合我縣財政實際情況，組織安排好本地區財政系統網絡安全檢查工作，全面排查網絡風險、漏洞和突出問題，及時部署整改措施，提高網絡安全防護能力。

二、2020年網絡安全檢查情況匯總

一是組織領導方面。成立了由主要領導擔任第一責任人、各相關股室參與、信息中心負責具體工作的財政系統安全保護工作領導小組，統一協調全局開展財政專網運行安全管理工作。

二是網絡安全方面。一是做好本級計算機安全檢查。從內外網是否混接、財政應用軟件是否使用ukey登錄、計算機殺毒、系統漏洞補丁修復、計算機實名制管理等方面對全局所有財政專網計算機進行網絡安全檢查。二是重新部署內網殺毒確保安全。所有金財網pc端及服務器均安裝了省廳統一部署的亞信防病毒軟件，所有外網安裝了360、金山毒霸等殺毒軟件；pc端及服務器均采用了登錄強口令密碼、數據庫異地存儲備份、數據加密等安全防護措施。三是切實抓好金財網、外網、媒介和應用軟件的管理，對金財網pc端、外網pc端實行分網管理，嚴格區分內網和外網，確保內外網不混用、不同用。四是加強對硬件安全的管理，包括防塵、防潮、防雷、防火、防盜、和電源連接等；加強密碼管理、ip管理、互聯網行為管理等；加強計算機應用安全管理，包括郵件系統、資源庫管理、軟件管理等。

三是落實責任方面。一是建立健全相關制度。為確保計算機網絡安全、建立健全了《計算機安全保密制度》、《網絡信息安全管理制度》等一系列規章制度，確保本單位信息系統建設和網絡安全能夠正常運行。二是制定了《縣財政局網絡安全應急預案》，按照要求定期開展應急演練。三是按照州財政局要求，聯合縣電信公司對全縣金財網ip地址進行了規范改造。四是結合省財政廳相關要求，正在對關鍵系統開展等保評測工作，嚴格按照網絡安全行業主管部門的要求，及時查漏補缺，完成評測整改工作。確保核心業務系統安全運行，保障全縣財政業務正常開展。五是對照國家等級保護2.0標準及省財政廳制定的相關技術規范添置入侵檢測、入侵防護、安全審計、數據備份等網絡安全防護設備。強化網絡安全硬件保障基礎，補齊網絡安全硬件建設上的短板。

四是宣傳教育方面。一是加強網絡安全學習培訓。定期不定期組織全局人員專題培訓等方式全方位宣傳學習《網絡安全法》等。二是積極主動對接當地網信辦及網安部門，參加網絡安全宣傳周活動，每年定期組織預算單位財務人員集中培訓網絡安全知識與日常管理技巧，提高網絡安全意識，防范不規范操作，規避內外網互聯風險。

五是落實經費方面。將網絡安全建設經費納入年初預算，確保經費保障充足，相繼采購防火墻、堡壘機、安全管理系統等網絡安全產品，進一步提高了網絡安全技術保障能力。

三、存在的問題

一、整體安全狀況的基本判斷

從檢查情況看，網絡與信息安全總體情況良好。始終把信息安全作為信息化工作的重點內容，網絡信息安全工作機構健全、責任明確，日常管理維護工作比較規范；管理制度完善，技術防護措施得當，信息安全風險得到有效降低；比較重視信息系統系統管理員和網絡安全技術人員培訓，應急預案與應急處置技術隊伍有落實，工作經費有一定保障，基本保證了網信息系統持續安全穩定運行。

二、發現的主要問題和薄弱環節

雖然我縣財政系統網絡安全在上級部門的指導下取得了一定的成績，但在檢查過程中也發現了一些管理方面存在的薄弱環節，如網絡信息安全知識宣傳較少、網絡安全管理專業技術力量薄弱等。

第2篇

以下是《通信網絡安全防護監督管理辦法(征求意見稿)》全文：

為切實履行通信網絡安全管理職責，提高通信網絡安全防護水平，依據《中華人民共和國電信條例》，工業和信息化部起草了《通信網絡安全防護監督管理辦法(征求意見稿)》，現予以公告，征求意見。請于2009年9月4日前反饋意見。

聯系地址:北京西長安街13號工業和信息化部政策法規司(郵編:100804)

電子郵件:wangxiaofei@miit.gov.cn

附件:《通信網絡安全防護監督管理辦法(征求意見稿)》

通信網絡安全防護監督管理辦法

(征求意見稿)

第一條(目的依據)為加強對通信網絡安全的管理，提高通信網絡安全防護能力，保障通信網絡安全暢通，根據《中華人民共和國電信條例》，制定本辦法。

第二條(適用范圍)中華人民共和國境內的電信業務經營者和互聯網域名服務提供者(以下統稱“通信網絡運行單位”)管理和運行的公用通信網和互聯網(以下統稱“通信網絡”)的網絡安全防護工作，適用本辦法。

本辦法所稱互聯網域名服務，是指設置域名數據庫或域名解析服務器，為域名持有者提供域名注冊或權威解析服務的行為。

本辦法所稱網絡安全防護工作，是指為防止通信網絡阻塞、中斷、癱瘓或被非法控制等以及通信網絡中傳輸、存儲、處理的數據信息丟失、泄露或被非法篡改等而開展的相關工作。

第三條(管轄職責)中華人民共和國工業和信息化部(以下簡稱工業和信息化部)負責全國通信網絡安全防護工作的統一指導、協調、監督和檢查，建立健全通信網絡安全防護體系，制訂通信網絡安全防護標準。

省、自治區、直轄市通信管理局(以下簡稱“通信管理局”)依據本辦法的規定，對本行政區域內通信網絡安全防護工作進行指導、協調、監督和檢查。

工業和信息化部和通信管理局統稱“電信管理機構”。

第四條(責任主體)通信網絡運行單位應當按照本辦法和通信網絡安全防護政策、標準的要求開展通信網絡安全防護工作，對本單位通信網絡安全負責。

第五條(方針原則)通信網絡安全防護工作堅持積極防御、綜合防范的方針，實行分級保護的原則。

第六條(同步要求)通信網絡運行單位規劃、設計、新建、改建通信網絡工程項目，應當同步規劃、設計、建設滿足通信網絡安全防護標準要求的通信網絡安全保障設施，并與主體工程同時進行驗收和投入運行。

已經投入運行的通信網絡安全保障設施沒有滿足通信網絡安全防護標準要求的，通信網絡運行單位應當進行改建。

通信網絡安全保障設施的規劃、設計、新建、改建費用，應當納入本單位建設項目預算。

第七條(分級保護要求)通信網絡運行單位應當按照通信網絡安全防護標準規定的方法，對本單位已正式投入運行的通信網絡進行單元劃分，將各通信網絡單元按照其對國家和社會經濟發展的重要程度由低到高分別劃分為一級、二級、三級、四級、五級。

通信網絡單元的分級結果應由接受其備案的電信管理機構組織專家進行評審。

通信網絡運行單位應當根據實際情況適時調整通信網絡單元的劃分和級別。通信網絡運行單位調整通信網絡單元的劃分和級別的，應當按照前款規定重新進行評審。

第八條(備案要求1)通信網絡運行單位應當按照下列規定在通信網絡投入運行后30日內將通信網絡單元向電信管理機構備案:

(一)基礎電信業務經營者集團公司直接管理的通信網絡單元，向工業和信息化部備案；基礎電信業務經營者各省(自治區、直轄市)子公司、分公司負責管理的通信網絡單元，向當地通信管理局備案。

(二)增值電信業務經營者的通信網絡單元，向電信業務經營許可證的發證機構備案。

(三)互聯網域名服務提供者的通信網絡單元，向工業和信息化部備案。

第九條(備案要求2)通信網絡運行單位辦理通信網絡單元備案，應當提交以下信息:

(一)通信網絡單元的名稱、級別、主要功能等。

(二)通信網絡單元責任單位的名稱、聯系方式等。

(三)通信網絡單元主要負責人的姓名、聯系方式等。

(四)通信網絡單元的拓撲架構、網絡邊界、主要軟硬件及型號、關鍵設施位址等。

前款規定的備案信息發生變化的，通信網絡運行單位應當自變更之日起15日內向電信管理機構變更備案。

第十條(備案審核)電信管理機構應當自收到通信網絡單元備案申請后20日內完成備案信息審核工作。備案信息真實、齊全、符合規定形式的，應當予以備案；備案信息不真實、不齊全或者不符合規定形式的，應當通知備案單位補正。

第十一條(符合性評測要求)通信網絡運行單位應當按照通信網絡安全防護標準的要求，落實與通信網絡單元級別相適應的安全防護措施，并自行組織進行符合性評測。評測方法應當符合通信網絡安全防護標準的有關規定。

三級及三級以上通信網絡單元，應當每年進行一次符合性評測；二級通信網絡單元，應當每兩年進行一次符合性評測。通信網絡單元的級別調整后，應當及時重新進行符合性評測。

符合性評測結果及整改情況或者整改計劃應當于評測結束后30日內報送通信網絡單元的備案機構。

第十二條(風險評估要求)通信網絡運行單位應當對通信網絡單元進行經常性的風險評估，及時消除重大網絡安全隱患。風險評估方法應當符合通信網絡安全防護標準的有關規定。

三級及三級以上通信網絡單元，應當每年進行一次風險評估；二級通信網絡單元，應當每兩年進行一次風險評估；國家重大活動舉辦前，三級及三級以上通信網絡單元應當進行風險評估。

風險評估結果及隱患處理情況或者處理計劃應當于風險評估結束后30日內上報通信網絡單元的備案機構。

第十三條(災難備份要求)通信網絡運行單位應當按照通信網絡安全防護標準的要求，對通信網絡單元的重要線路、設備、系統和數據等進行備份。

第十四條(演練要求)通信網絡運行單位應當定期或不定期組織演練檢驗通信網絡安全防護措施的有效性，并參加電信管理機構組織開展的演練。

第十五條(監測要求)通信網絡運行單位應當對本單位通信網絡的安全狀況進行自主監測，按照通信網絡安全防護標準建設和運行通信網絡安全監測系統。

通信網絡運行單位的監測系統應當按照電信管理機構的要求，與電信管理機構的監測系統互聯。

第十六條(CNCERT職責)工業和信息化部委托國家計算機網絡應急技術處理協調中心建設和運行互聯網網絡安全監測系統。

第十七條(安全服務規范)通信網絡運行單位委托其他單位進行安全評測、評估、監測等工作的，應當加強對受委托單位的管理，保證其服務符合通信網絡安全防護標準及有關法律、法規和政策的要求。

第十八條(監督檢查)電信管理機構應當根據本辦法和通信網絡安全防護政策、標準，對通信網絡運行單位開展通信網絡安全防護工作的情況進行監督檢查。

第十九條(檢查措施)電信管理機構有權采取以下措施對通信網絡安全防護工作進行監督檢查:

(一)查閱通信網絡運行單位的符合性評測報告和風險評估報告。

(二)查閱通信網絡運行單位的有關文檔和工作記錄。

(三)向通信網絡運行單位工作人員詢問了解有關情況。

(四)查驗通信網絡運行單位的有關設施。

(五)對通信網絡進行技術性分析和測試。

(六)采用法律、行政法規規定的其他檢查方式。

第二十條(委托檢查)電信管理機構可以委托網絡安全檢測專業機構開展通信網絡安全檢測活動。

第二十一條(配合檢查的義務)通信網絡運行單位對電信管理機構及其委托的專業機構依據本辦法開展的監督檢查和檢測活動應當予以配合，不得拒絕、阻撓。

第二十二條(規范檢查單位)電信管理機構及其委托的專業機構對通信網絡安全防護工作進行監督檢查和檢測，不得影響通信網絡的正常運行，不得收取任何費用，不得要求接受監督檢查的單位購買指定品牌或者指定生產、銷售單位的安全軟件、設備或者其他產品。

第二十三條(規范檢查人員)電信管理機構及其委托的專業機構的監督檢查人員應當忠于職守、堅持原則，不得泄漏監督檢查工作中知悉的國家秘密、商業秘密、技術秘密和個人隱私。

第二十四條(對專業機構的要求)電信管理機構委托的專業機構進行檢測時，應當書面記錄檢查的對象、時間、地點、內容、發現的問題等，由檢查單位和被檢查單位相關負責人簽字蓋章后，報委托方。

第二十五條(罰則1)違反本辦法第六條、第七條、第八條、第九條、第十一條、第十二條、第十三條、第十四條、第十五條、第十七條、第二十一條規定的，由電信管理機構責令改正，給予警告，并處5000元以上3萬元以下的罰款。

第二十六條(罰則2)未按照通信網絡安全防護標準落實安全防護措施或者存在重大網絡安全隱患的，由電信管理機構責令整改，并對整改情況進行監督檢查。拒不改正的，由電信管理機構給予警告，并處1萬元以上3萬元以下的罰款。

第3篇

醫院網絡與信息安全自查報告

按照衛健發[2019]52號文件通知精神，我院領導高度重視，召開全院職工會議，深入學習和認真貫徹落實文件精神，充分認識到開展網絡與信息安全自查工作的重要性和必要性，對自查工作做了詳細部署，院長親自負責安排信息安全自查工作，并就自查中發現的問題認真做好相關記錄，及時整改，完善。現將我院信息安全工作自查情況匯報如下：

一、我院的網絡為聯通互聯網專線，帶防火墻，以確保網絡能夠獨立、安全、高效運行。重點抓好“三大安全”排查。

1.硬件安全，組織人員對全院設備進行防雷、防火、防盜電源進行檢查，目前均無安全隱患。

2.網絡安全:包括網絡結構、密碼管理、IP管理、互聯網行為管理等；網絡結構包括網絡結構合理，網絡連接的穩定性，網絡設備（交換機、路由器、光纖收發器等）的穩定性。HIS系統的操作員，每人有自己的登錄名和密碼，并分配相應的操作員權限，不得使用其他人的操作賬戶，賬戶施行“誰使用、誰管理、誰負責” 的管理制度。互聯網施行固定IP地址，由醫院統一分配、管理，不允許私自添加新IP，未經分配的IP均無法實現上網。

3.數據安全：未經院方批準，任何人不得將醫院內各科室的數據向外傳遞或泄露，一經發現將嚴肅處理。

二、我院每季度組織全院工作人員進行一次網絡安全教育培訓，并按照“誰使用誰負責”的制度管理并定期對全院網絡設備進行檢查、排查，防止安全隱患的設備運行，對存在安全隱患的設備及時處理并向上級單位報告。

第4篇

根據xx信息化領導小組辦公室下發的相關通知，我院依照通知精神成立了信息安全工作領導小組，制定計劃，明確責任，具體落實，對我院的信息網絡與信息安全進行了一次全面的調查。發現問題，分析問題，解決問題。確保了網絡安全，更好的為檢務工作服務。

一、 加強領導，成立了網絡與信息安全工作領導小組

為進一步加強網絡信息系統安全管理工作，xx成立了網絡信息系統安全工作小組，做到分工明確，責任到人。安全工作領導小組組長為xx，副組長xx，成員xx。分工職責如下：xx為信息安全工作第一負責人，全面負責信息安全管理工作。xx負責信息安全管理工作的日常事務。xx負責計算機網絡與信息安全管理工作的日常協調、網絡維護和技術管理。

二、 信息安全工作主要方面

    1、技術方面，網站服務器計算機設置防火墻，拒絕外來惡意攻擊。安裝正版防病毒軟件，對計算機病毒、有害電子郵件有效過濾。

    2、設備方面，內網與外網嚴格分開，并按xx高院要求，安裝密碼機，有效維護網絡安全。機房按照“三鐵兩器”要求設置，即鐵窗、鐵門、保險柜、監控器、報警器齊全。

3、應急處理方面，我院具備專業技術人員，一旦發生網絡安全事故可立即報告相關人員，對突發網絡安全事故可快速安全處理。   

 

4、容災備份，對重要信息采取備份，當遇故障時能夠保障重點重要數據的完整。

   三、自查中發現的主要問題及整改情況

經過自查，我院信息安全總體狀況良好，未發生信息安全事故。在本次檢查過程中也暴露了一些問題，機房設施投入不足，個別人員計算機安全意識不強等。

第5篇

自2020年12月加入***醫療集團以來擔任信息安全經理一職，在這六個月的試用期中通過與各位同事、領導的相處，使我漸漸開始適應現在的工作環境和節奏，在工作中體會到的領導和同事踏實認真的工作態度，讓我更加嚴格的要求主機，把工作做好做細。在此，我需真誠的向各位領導和同事表達我深深的謝意，感謝大家在這段時間給予我足夠的寬容、鼓勵和幫助。下面就我六個月的試用期工作進行總結。

1. 已完成項目總結：

1)三級等保測評：根據國家相關法律法規要求，北京和睦家醫院需通過等級保護三級測評。入職時，此項目已過初測階段進入到整改階段，根據測評機構給出的差異分析報告進行高風險項和中風險項的整改工作，作為整個項目的執行者，之前的工作經驗在整改過程中起到了一定的作用，提高了整改工作的效率并編寫了等級保護要求相關文檔，例如：信息安全應急預案，操作系統基線檢查模板等，同時也存在一些不足，例如對于等級保護要求的一些條例理解不夠深刻，對于等保測評的算分公式不夠熟悉等。在最終測評時，積極配合測評機構的測評工作，回答測評機構提到的關鍵問題，使得終測過程較為順利的完成，并以優異的分數通過了三級等保測評，拿到了三級等保報告，當然這也少不了其他同事的共同努力。

2)安全體系建設--評估階段：根據領導要求，負責和睦家信息安全體系建設，作為此項目的負責人，我將此項目分為三個階段完成，分別為：評估階段，建設階段，以及運營階段。在評估階段的主要目標是需要評估和睦家現狀，以及為安全體系建設第二階段做準備，如不做評估的話是無法進行從0-1的安全體系建設，在評估的過程中利用自己的專業知識并結合等級保護三級的要求，進行了多維度的評估。完成評估后，列出了安全體系建設架構圖，但由于做評估時有些方向沒有做深入的調研，導致安全體系架構圖的某些模塊無法實現，后期會進行一系列的調整及優化。

3)安全意識培訓：企業無時無刻都面臨著信息安全的威脅及風險，根據領導要求，作為該項目的負責人，已于近期針對于和睦家內部IT部門進行了安全意識培訓工作，培訓內容包括安全意識概念、密碼安全、系統安全、郵件安全、物理安全、社會工程攻擊等內容，通過安全意識培訓，提升了企業內部對于信息安全的理解以及信息安全的重要性，同時也在一定程度上提升了員工識別信息安全風險的技能和意識，但美中不足的是培訓內容過多，培訓時間較長，所以需要對培訓的素材進行優化。

4)支持其他Site網絡安全工作情況：

遠程支持**網安檢查，配合IT Manger通過青島市網安的例行檢查，并提出與網安檢查相關的檢查項及關鍵點，最終***以較高的分數通過檢查。

青島互聯網醫院上線前審查，配合IT Manager通過青島互聯網醫院上線前審查，提供了網絡安全應急預案的培訓以及相關檢查項的整改方案，并在審查當天進行遠程技術支持。

***三級等保測評工作，遠程配合***在三級等保終測，并提供相關漏掃報告，以及技術答疑等，最終***復核等保三級測評要求，通過三級等保測評。

2. 正在進行中的項目：

a)安全運營中心部署：根據三級等保要求以及安全體系建設需求，需成立安全運營中心，和睦家購買了IBM的SIEM平臺QRadar，目前該項目已完成北京區域部署，進入到優化策略階段，目前已將AD認證類的告警策略優化完成，下一步準備優化病毒類告警以及服務器相關告警，待策略優化完成后，部署全國各Site日志采集器和流量采集器，預計本年度完成全國部署。

b)Knowbe4釣魚郵件測試平臺：由于釣魚郵件對企業造成的安全風險較高，威脅較大，所以準備采購響應的釣魚郵件測試平臺，通過該平臺的釣魚郵件測試來提升員工對于防釣魚的安全意識，目前該項目已將報價提交給采購進行價格評估，待采購評估價格后進行購買實施。

c) ***全國安全意識培訓：為提升和睦家員工的信息安全意識，計劃于本年度完成***全國員工的信息安全意識培訓，目前已完成北京***部門的培訓，下一步進行***的信息安全意識培訓。

3. 個人能力自我評估：

通過六個月的工作，我發現了自身存在的一些優點與不足：

a)溝通能力方面：樂于與同事及領導積極溝通，并了解自己的任務和角色，樂于與同事合作以達成目標，但有的時候溝通方式存在一定的問題，導致溝通效果欠佳。在今后的工作中，也會注意自己與領導和同事之間的溝通方式及方法，做到高效溝通。

b)項目管理能力：擅長項目管理，因為之前系統的學習過項目管理的知識，所以在工作中可以利用學習到的知識去進行高效工作，但偶爾會出現不熟悉企業內部的工作流程導致對于項目的管理出現偏差，我會在未來的工作中盡快的熟悉各項工作流程，避免再次出現同樣的問題。

c) 崗位知識方面：在信息安全體系建設、安全運營、安全意識培訓以及安全事件分析方面較為擅長，由于網絡安全涉及到的知識面非常廣，在工作的過程中也意識到我所在的崗位上，有些需要用到的信息安全相關知識自己并不夠專業，所以在今后的工作和生活中還需要加強學習相關崗位知識，并實際運用到工作中。

d)工作態度方面：工作態度積極、主動，時常保持良好的狀態完成工作或解決問題。

第6篇

【關鍵詞】信息安全等級保護 測評實施

1 引言

醫院信息化建設快速發展，信息系統應用深入到各個環節，信息業務系統承載了門診收費、門診藥房、住院收費、住院藥房、醫保、財務、門急診醫生護士站、住院醫生護士站、電子病歷、病案首頁、檢驗LIS系統、檢查PACS系統、體檢系統等。保障重點信息系統的安全，規范信息安全等級保護，完善信息保護機制，提高信息系統的防護能力和應急水平，有效遏制重大網絡與信息安全事件的發生，創造良好的信息系統安全運營環境勢在必要。根據衛生部印發的《衛生行業信息安全等級保護工作的指導意見》，衛生信息安全工作是我國衛生事業發展的重要組成部分。做好信息安全等級保護工作，對于促進衛生信息化健康發展，保障醫藥衛生體制改革，維護公共利益、社會秩序和國家安全具有重要意義。

2 確定測評對象與等級

我院是一所二級甲等綜合醫院，日門診人次1000人左右，住院日人次400余人。醫院信息系統HIS、LIS、PACS、電子病歷、體檢等50余個系統無縫結合，信息雙向交流。按照《信息系統安全等級保護定級指南》定級原理，確定醫院信息業務系統的安全保護等級為第2級，其中業務信息安全保護等級為2級，系統服務安全保護等級為2級。

2.1 招標比選測評公司

醫院通過四川警察網了解到四川省獲得信息安全等級保護測評有資質的5家公司。醫院電話通知該5家公司，簡單介紹醫院信息化情況，其中有3家公司到現場進行調查，掌握了信息系統情況。然后通過招標比選確定一家公司為我院測評安全等級保護。

2.2 測評實施

2.2.1 準備階段

醫院填報《安全等級保護備案申報表》、《安全等級保護定級報告》，確定安全主管人員、系統管理員、數據庫管理員、審計管理員、安全管理員。醫院組織相關人員到市級計算機安全學會進行安全培訓學習。確定醫院信息安全主管人員協助測評公司人員就醫院信息業務系統做調研，提交準備資料。調研內容涉及網絡拓撲結構圖、線路鏈接情況、中心機房位置分布情況、應用系統組成情況、服務器操作系統、數據庫系統以及相應的IP地址、網絡互連設備的配置、網絡安全設備的配置、安全文檔等。

2.2.2 測評主要內容

主要針對醫院信息系統技術安全和安全管理兩方面實施測評，其中技術安全包括物理安全、網絡安全、主機安全、應用系統安全、數據安全及備份恢復進行5；安全管理包括安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理。

2.2.3 測評方式與測評范圍

測評公司綜合采用了現場測評與風險分析方法測評、單元測評與整體測評。單元測評實施過程中采用現場訪談、檢查和測試等測評方法。就各類崗位人員進行訪談，了解醫院業務運作以及網絡運行狀況；查看主機房、應用系統軟件、主機操作系統及安全相關軟件、數據庫管理系統、安全設備管理系統、安全文檔、網絡分布鏈接情況。檢查物理安全、主機安全、網絡安全、應用安全和數據安全及備份恢復等技術類測評任務，以及安全管理類測評任務；查閱分析文檔、核查安全配置、監聽與分析網絡等檢查方法查證防火墻、路由器、交換機部署及其配置情況、端口開放情況等；測評人員采用手工驗證和工具測試進行漏洞掃描、系統滲透測試，檢查系統的安全有效性。

整體測評主要應用于安全控制間、層面間和區域間等三個方面。主要就是針對同一區域內、同一層面上或不同層面上的不同安全控制間存在的安全問題以及不同區域間的互連互通時的安全性。

醫院信息系統運用了身份鑒別措施、軟件容錯機制、用戶權限分組管理、密碼賬戶登錄、數據庫表中記錄用戶操作、對重要事件進行審計并留存記錄。網絡邊界處部署防火墻防御入侵，終端使用了趨勢網絡版本防病毒產品，抵御惡意代碼。開啟系統審計日志，制定和實施有效安全管理制度，加強安全管理，降低系統安全風險。網絡進行了有效的區域劃分，區域之間通過訪問控制列表實現安全控制，與社保局、醫管辦等第三方外聯區之間通過防火墻嚴格限制訪問端口。

2.2.5 差距分析與測評整改

通過測評，測評公司寫出測評報告，提出整改建議。按照《信息系統安全等級保護基本要求》要求6，測評公司人員根據醫院當前安全管理需要和管理特點，針對等級保護所要求的安全管理機構、安全管理制度、人員安全管理、系統建設管理和系統運維管理，從人員、制度、運作、規范等角度，進行全面的建設7，提供技術建設措施，落實等級保護制度的各項要求，就各類人員進行安全培訓，提升醫院信息系統管理的能力。醫院分期逐步投入防網絡入侵系統、數據庫審計系統等。

2.2.6 編制報告，成功備案

測評公司編制報告，上報市公安局備案成功，獲得二級信息系統備案證書。二級信息系統，每兩年進行一次信息安全等級測評。實施安全等級保護測評備案使醫院信息系統安全管理水平提高，安全保護能力增強，有效保障信息化健康發展。

3 結語

網絡安全問題是一個集技術、管理和法規于一體的長期系統工程，始終有其動態性，醫院需要不斷進行完善，加強管理，持續增加安全設備以保障醫院數據安全有效，保障信息系統安全穩定運行。醫院信息安全建設要切合自身條件特點，分期分批循序建設，保證醫院各系統長期穩定安全運行，以適應醫院不斷擴展的業務應用和管理需求8。

參考文獻

[1]衛辦發.〔2011〕85號，衛生部關于印發“衛生行業信息安全等級保護工作的指導意見”的通知，2011.

[2]尚邦治.做好信息安全等級保護工作[J].中國衛生信息管理雜志，2005.

[3]王建英，陳文霞，胡雯，張鵬.醫院信息安全分析及措施[J].中國病案，2013.

[4]王俊.醫院信息安全等級保護管理體系的構建[J].醫學信息，2013.

[5]韓作為.醫院信息安全等級保護三級建設流程與要點[J].中國數字醫學，2006.

第7篇

派出所貫徹落實“三防”活動情況總結

為深入貫徹落實全國公安機關“增強敵情觀念，維護政治紀律”座談會和全省公安機關“三防”活動動員大會精神，切實加強公安隊伍教育和管理，堅決防止和杜絕公安民警因理想信念動搖，敵情觀念淡化，違反政治紀律而導致被境外敵對勢力策反、滲透、出賣情報的案件發生，根據市局、分局黨委的部署，從__年x月x日至x月x日，深入開展了“增強敵情觀念，維護政治紀律，防策反、防滲透、防竊密”的活動?，F將我所貫徹落實“三防”活動的情況總結如下：

一、 抓好民警的動員教育。

我所召開了所支部會和全所民警會，認真傳達和學習了全國公安機關“增強敵情觀念，維護政治紀律”座談會和全省公安機關“三防”活動動員大會以及市局、分局行動方案的精神，《保密法》等，使全所民警掌握了“三防”活動的主要指導思想、目標要求和主要內容。同時加強了民警的忠誠教育、敵情教育、紀律教育、保密教育、反腐倡廉教育和警示教育。

二、查擺問題，積極整改。

在查擺問題階段，發現在民警中存在敵情觀念淡薄、保密觀念不強的問題，在公安專線網絡使用中存在安全隱患與漏洞、防范措施不強問題。針對這些問題，我們逐項逐條進行分析原因并整改。首先是對聘用的工作人員進行了嚴格的審批；其次對使用公安專線的計算機按市局要求粘貼了“嚴禁一機兩用”和“公安專線，嚴禁交叉使用”的標簽；第三是及時給每位民警下發省廳的《公安信息網絡安全知識手冊》；第四是加強對文件的管理。通過一系列整改措施，使發現的問題得到了有效解決。

三、整章建制，建立健全了“三防”工作長效機制。

通過整章建制階段，我所建立了日常保密工作制度、安全檢查督促制度、報告制度等制度，在日常工作中具體貫徹運用，以落實“三防”工作的長效機制。

通過“三防”活動和以社會主義法治理念教育為主要內容的執法執紀大整頓活動。進一步增強民警的政治立場，提高了政治覺悟、政治敏銳性和政治鑒別力，增強了敵情觀念；進一步增強了民警的政治紀律性，確保了公安隊伍的堅強戰斗力；進一步增強了民警的保密意識。

第8篇

大家好！首先,我代表中國聯通**分公司全體員工,對各位領導在百忙之中蒞臨我公司視察指導工作表示熱忱的歡迎。

安全生產及運行維護是通信企業的“兩大項重要工作”。近年來，我公司在省分公司的正確領導下，全面落實“安全第一、預防為主”的安全生產方針，安全生產形勢保持穩定。2005年，我們認真貫徹落實總部《關于開展2005年“全國安全生產月”活動的通知》精神，牢固樹立“安全生產重于泰山”的觀念，實施全員、全方位、全過程的安全監督，以加強監管制度、加大考核制度為2005年安全生產的切入點，進一步夯實了安全生產基礎，推動了公司經營工作的發展。

下面我就中國聯通**分公司安全生產及運行維護工作向大家作一個匯報，敬請批評指正，并提出寶貴意見。

一、認真開展安全生產工作：

（一）樹立安全生產意識，明確安全生產工作的重要意義。

安全生產工作事關公司發展和穩定的大局。尤其是對我們通信行業來說，實現生產安全，保證網絡暢通，就是保障社會穩定，建立和諧社會的一個不可忽視的部分。因此，樹立先進的安全文化理念，建立先進的安全生產文化，提高員工的安全生產意識，也就是推進公司做大做強的有力保證。

幾年來，我們始終把安全生產作為頭等大事來抓，堅持“安全第一，預防為主”的生產方針，堅持管理、培訓、落實并重，堅持黨政工團齊抓共管，正確處理安全與生產、安全與改革、安全與效益的關系，全面加強安全管理，營造“關注安全，平安是?！钡臐夂穹諊?，為建設“管理精細化”的平安公司奠定了基礎，實現了長治久安。

（二）落實組織機構，加大監管力度，加強應急預案的制定和完善。

1、成立了以***總經理為組長，***、***、***副總經理為副組長以及各部門經理為成員的安全生產領導小組。以文件的形式明確了各部門安全生產第一責任人，制定了相關的安全生產制度，簽訂了安全生產責任書，明確了各級員工安全生產職責所在，并將績效考核與之掛鉤，嚴格執行，把它擴大到整個公司整個安全生產中，明確“責任不落實就是安全隱患”的全局觀念。

2、2002年為我公司管理規范年，該年度，我公司依據總部及省分公司相關文件精神，參照其他運營商的相關制度，結合我公司實際情況，編制了《企業管理制度匯編》。對安全生產工作進行了全方位的描述，明確規定了各個崗位員工的職責與義務，同時根據安全生產工作形勢的發展，不斷完善充實，建立健全定期檢查和日常防范相結合的安全生產規章制度，嚴禁一切違反安全生產工作的現象，堅決杜絕違紀違章事故的發生，使我公司的安全生產做到有章可循，違章必究。

3、按照省分公司“安全事故應急救援預案編制指導意見”的要求，進一步完善我公司的各類安全事故應急救援預案，組織各部門安全生產管理人和員工認真學習預案的各項內容，熟悉掌握應急救援職責、事故報告及救援程序、步驟和應采取的措施，做好必需的物資儲備，真正做到事故發生后第一時間到達事故現場，有條不紊地開展應急救援工作。由于荊州地處長江中下游，容易受到洪澇災害的浸襲，我公司每年都在省分公司的組織下對各類應急預案進行修訂，以確保網絡安全運行。多年來我們制定了GSM網應急預案、CDMA網應急預案、基站應急預案、關口局應急預案、長途/IP應急預案、傳輸應急預案、互聯網應急預案等多類應急預案。并經過多方論證，可操作性強，同時建立和健全安全生產預警機制，及時準確預警，探索事故發生的規律性，尤其是做好生產經營一線的預警工作，從預測、預警、預防三個方面入手，堅持關口前移，重心下移，充分發揮了人的主觀能動性，用科學完善的防范措施，建好事故防范的“防火墻”，堅決避免各類重大事故的發生。

（三）加大宣傳力度，加強安全意識，開展各項檢查及整治工作。

1、本年度，我公司根據省分安排結合當地實際情況，截至現在，開展了一月的“安全生產宣傳周”活動、六月的“關注安全、平安是?！钡陌踩a月宣傳活動。進行了兩次消防安全知識培訓，二次消防演練，講解了各種消防知識，學習了各種消防器械的使用方法，傳授了應對各種災害時的自保、自救方法。組織全體員工117人進行了一次安全生產培訓，并進行了考試。通過以上各項活動，幫助員工樹立了正確的安全生產意識，掌握了各種消防器材的使用方法，提高了應對突發事件的能力。

2、大力開展檢查及整治工作。一是切實抓好防火和重大電器設備的安全工作，特別是通信機房、電力機房、庫房、營業場所、客服等重要場所的消防安全，定期組織檢查，發現問題、堵塞漏洞，加大排查力度，進一步理順防火防災的重要部位、環節和對象，徹底消除火災隱患，確保公司網絡穩定運行。二是隨著近年來，我公司業務的迅速發展，各縣市營業網點的不斷增多，營業廳的資金管理、人身的安全等問題呈現出來，針對這一情況，我公司立即調查解決，加強所有營業網點的安全防護措施。抽調專項資金購置了電警棍、消防滅火器及自救式呼吸器，分別安放在營業廳、辦公區域、機房、電視電話會議室、電力室等地。從硬件上保證了安全生產工作的落實，確保了各項業務的正常運行。同時各分公司安全管理人員通過相互交流、觀摩，相互學習，取長補短，提升了全市安全管理水平。三是每年度計劃財務部根據公司上年的實際開支情況，結合各部門上報的各項整改預算，制定年度的安全生產維護費用，確保能及時對生產中發現的隱患進行整改，有效的保證了安全設施的維護、維修工作。

二、狠抓運行維護工作：

在日益激烈的競爭環境下，聯通荊州分公司牢固樹立“運行維護出質量，網絡優化出效益”的理念，加強運行維護基礎管理工作，提高我公司網絡維護、網絡優化的水平。

（一）加大新規程、制度的貫徹執行力度。從2004年10月開始，荊州分公司多次組織新規程、制度的學習及考試，要求各專業不折不扣執行新規程、制度，并建立了與省分KPI考核掛鉤的考核獎勵辦法，將運行維護的各項KPI考核指標分解到各專業部門，落實到具體執行人，強化了執行力，取得了較好的效果。

（二）建立“全程全網”的運維管理體系，加強對干線的維護管理，清理維護管理流程。認真貫徹落實總部及省分下發的各項規章制度，完成了一干機房、二干機房、中心機房及城區各基站的標準化工作，并根據總部有關光纜線路更新改造工作的安排，對一干、二干網絡進行了改造和調整，以確保網絡安全穩定運行。防汛期間，我們還制定了相應的巡線計劃和三盯措施，委派巡線人員認真填寫巡檢日志，定時上報外力情況，并建立應急處理體制，提高自維能力。

（三）建立三級維護體系，落實維護人員，強化維護力量。目前，在維護工作上我公司實行由運行監督部全面負責監管，***進行代維的管理模式。為保證網絡質量，各專業部門分別與***簽訂了協議，每月對代維情況進行考核通報并結算費用，同時***負責人每月還定期對維護中出現的難點與專業部門進行溝通，有效確保了代維工作的順利開展。05年以來，***已對***境內的一、二干線路進行了多次整改，消除了隱患，降低了故障率。目前移動基站總數已超過300個，為此我們成立了傳輸優化小組，全盤考慮傳輸網絡規劃，全面掌握網絡資源，及時調整網絡結構。數據方面：對IP超市進行了多次的硬件優化和軟件升級，針對互聯網電路丟包嚴重而ATM電路相對較空閑的情況提出了寬帶IP超市走ATM路由的建議，經過實施后話音質量明顯改善。針對縣市互聯網帶寬低，與對手相比處于劣勢的實際情況，我們提出了IPOVERSDH的技術實現方案，借傳輸建設2.5G本地網的楔機，通過加裝以太網板卡實現了縣市100M互聯網電路的開通，從而大大增強了縣市互聯網業務的競爭實力。通過這些網絡優化工作大大改善了網絡運行的狀態，為業務發展創造了良好的機遇。

（四）加強對各網絡運行狀態的監測及維護基礎管理工作的檢查和考核。要求各專業部門進一步加強對班組、縣市維護基礎工作的制度執行情況的檢查和考核，運維部加強對各專業部門和縣市分公司維護工作的檢查和考核。主要是檢查原始記錄登統計的管理，作業計劃執行情況，值班制度、安全管理制度、維護操作規范的落實情況。進一步完善事故報告分析制度，加大對障礙處理的預見性和及時性，將障礙降低到最低限度。同時將各專業部門對縣市維護工作的指導和監督納入對專業部門的考核范圍之中，將運行維護分析工作落實到縣市分公司，對運維中存在問題進行通報，并責成相關部門與單位進行限期整改，從而將運行維護工作形成有效的閉環，不斷的將運維工作推向深入，使縣市的維護水平再上一個新臺階。

（五）狠抓指標分析和提升工作，提高網絡運行質量。05年以來我公司開展了多次專項分析，不斷提升網絡質量。對G網位置更新成功率進行了專題分析，通過減小周期性位置更新的時間間隔使該項指標從78%上升到93%；對G網錄音通知機擁塞情況；對IP電話忙時落地應答率指標；對G網交換系統接通率等進行了分析，通過聯系網管修改ISUP消息參數方式，將此類不規范ACM修改為規范ACM。從而將去話系統接通率由78％提高到95％，整個交換機的系統接通率也提高了1.5%。

第9篇

一、高度重視，精心組織

縣經信局和農網辦高度重視農電安全工作，12月22日至29日，會同縣水務局、安監局組建3個工作組，由三名副局長帶隊深入全縣供電企業及供區全面開展安全檢查。檢查前進行了統一培訓，制定了《縣農村配電網絡安全檢查評分細則》，明確了檢查內容、方法和工作要求，對15家發供電企業，采用事先不打招呼直接赴現場、不聽匯報直接查閱資料、詢問領導及員工等方式，詳細了解各電力企業2014年安全生產工作開展情況，針對發現的問題，提出了整改措施和建議，要求對照國家法律法規，認真排查安全隱患，加大整治力度，建立長效機制，堅決杜絕各類事故發生。

二、突出重點，嚴格檢查

此次檢查突出五個重點：一是對各單位的安全生產“雙主體”責任落實及履職情況。二是安全生產制度及執行情況。三是主要設備、設施安全運行情況。四是隱患排查和治理情況。五是事故應急預案制定情況。

三、發現問題，及時整改

通過檢查，督促了各供電企業的安全生產工作的開展。大部分企業都已落實了安全生產責任，成立了安全生產工作領導小組，落實了專（兼）職安全人員，做到了有機構、有制度，層層簽訂了安全生產責任書；制定了應急處置預案，能嚴格執行“兩票三制”；能積極組織職工安規培訓和考試，持證上崗制度落實較好。通過檢查，共查出安全隱患136處，下達了整改通知書16份，并限期整改，定期復查。綜合全縣電力安全生產檢查情況，發現主要存在以下問題：

1、部分企業安全生產雙主體責任不落實。個別企業年初未簽訂安全生責任書，未落實專兼職安全生產員，員工未進行安全培訓和考試，未定期召開安全生產例會，分析解決安全生產中的問題。如：紅渠電站未簽訂2014年安全目標責任書，安全員未取得安全員資格證上崗。

2、電網安全隱患嚴重。由于投入不足，小水電供區未實施農網改造，木電桿多，線路對地安全距離不夠，檔距跨度大，線徑小，長期超負荷帶病運行，安全隱患十分突出。如：西清電業公司匯灘供區低壓線全部使用木質電桿且電桿高度不夠；電力公司供區村3社220V線路對地距離不夠，村一社低壓線路老化；桃園電站工地線路凌亂，對地對物安全距離不夠，消防器材未定期檢修，滅火器超過使用期且受潮嚴重。

3、小水電站，由于建設年代久遠，生產設備陳舊老化，未全面實施技術改造，設備更新進度緩慢；人員技術素質較低，規范管理差，潛在安全隱患較多。機械傳動部分無防護罩，設施設備未進行評級和編號掛牌。小水電站對發供電設備設施提出保護的水平參差不齊，部份小水電企業不能及時排除故障，可能導致主網跳閘事故的發生，嚴重威脅電網的安全穩定運行。

4、安全經費投入不足。小水電供區資產清理后，對低壓供電設施維護和隱患整治無積極性，不愿意再投入，存在的隱患不能完全消除。S101線升級改造，造成新的安全隱患未整治。上關10KV、上銀10KV線路，由于業主單位未支付補助資金，遷改不及時，S101線道路施工，部分電桿基礎破壞，隨時都有倒桿斷線涉及施工、行人觸電的危險，同時危及110KV寨坡變電站安全運行。

5、高低壓線路障礙多，進戶線、廣播通訊線路交叉，用戶用電安全保護裝置不齊全，入戶線路零亂，線徑小，導線老化嚴重。

6、用電企業安全隱患排查不到位，整改責任不落實，措施不具體，造成了重大安全生產事故，如趕場供電公司年內發生人員傷亡事故，下兩電站排查的安全隱患未落實責任人限期整治。

7、個別企業兩票三制執行不到位。工作票未執行，操作票填寫不規范。

8、安全工器具、消防器材未配備齊全，無臺賬，未定置擺放。

9、配電臺區警示標志不齊全，變壓器未按規定校驗。如鄉街道變壓器跌落開關、接地裝置銹蝕嚴重。鎮村4社變臺開關箱銹蝕嚴重。

10、安全管理軟件資料不齊全，填寫不規范。如：桃園電站2014年未建立安全管理制度，應急預案未及時修訂和演練，無安全管理記錄，未建立隱患排查整治臺賬。

第10篇

【關鍵詞】 政務云 云安全 IaaS服務

信息化建設是我國現階段發展的主要內容和方向，但同時也就面臨著信息安全的眾多問題。根據國家互聯網應急中心的報告，15年接收境內外報告的網絡安全事件同比增長125.9%，主要遭受攻擊的對象就包括政府。因此在電子政務云建設時信息安全方面的內容必須作為重點進行考慮。

一、電子政務云安全問題分析

云計算服務采購方式作為電子政務基礎設施建設的主要方式，而IaaS服務模式是目前常用的政務云服務提供模式。

政務云面臨的安全風險呈現出3個主要特點。需要管控的角色更多：除一般的系統建設者和訪問用戶外，還有服務提供商、政府內部政務云的統一管理人員等。需要解決的管控問題更多：虛擬化安全的問題、對資源管控能力減弱的問題、過渡依賴和鎖定的問題等。影響更深遠：政務云上的信息出現安全問題時存在影響面更廣、更敏感、政府公信力受損等問題。

二、建設方案探討

按照我國政府對信息安全的要求，境內的計算機信息系統實行安全等級保護制度。除此外國家還下發黨政部門云計算服務網絡安全管理的相關要求，明確了安全管理責任不變、數據歸屬關系不變、安全管理標準不變、敏感信息不出境、要參照信息安全國家標準等的要求。

2.1安全防范需求分析

整體要求：滿足等保要求外，還需滿足黨政內部的信息管理要求。

監管要求：對云服務提供商各方面的管理和監督較一般企業用戶強、要求更高。

數據要求：對數據的安全性、機密性、完整性的要求更高，對殘余數據的處置也更謹慎，對服務商數據管理的流程和制度提出更高要求。

物理要求：υ浦行牡慕ㄉ櫛恢煤透衾攵紉求更敏感。

分工要求：對于服務合同中的責任義務要求更明晰，對云服務商內部的各項管理、監測、檢查、配合度等有更高的要求。

2.2設計思路及方案探討

從其本質上看，政務云仍是一類信息系統，其防護體系應當是以等級保護為指導思想，并考慮虛擬化等新的技術和運營方式所帶來的安全問題，從技術和管理兩個層面全方位保護信息安全，將安全理念貫穿政務云建設、整改、測評、運維全過程。

設計方案時建議可從以下幾個內容考慮：

等保等級劃分：按照等保定級要素和一般流程進行分析定級，并參考云計算服務安全指南確定是一般保護或增強保護。

責任范圍劃分：云服務商和政府客戶間基于IaaS的服務，以虛擬化計算資源層為界線，以上由政府客戶負責，以下由云服務商負責，虛擬化計算資源層安全措施由雙方分擔。

物理安全：根據等保要求，對機房位置、環境、管理等進行規范。

網絡安全：這里主要討論區域的劃分，邊界部分則按要求部署FW、IPS/IDS等設備。功能區劃分：政務云一般設計時按業務承載類型劃分為互聯網區和電子政務外網區，之間有安全設備進行區間信息的交換管控，確?；ヂ摼W用戶不能直接訪問公用網絡區的系統。安全域劃分：各個區內根據需求劃分安全域，各域之間根據業務需求進行隔離。一般可劃分為：完成對外安全控制的安全邊界區；完成業務部署的業務區；完成運維管理系統部署的運維管理區；完成安全管控設備部署的安全管理區。

主機安全：除部署傳統的漏掃、配置核查、安全審計等主機安全系統外，還需要考慮傳統安全設備對物理主機內部虛擬化主機的管控缺失問題。目前業界一般以兩種模式解決：集中部署虛機安全設備或在虛機內部署安全軟件。前一種方式主要是流量迂回問題，后一種方式主要是服務器資源占用問題，后一種方式一般采用較多。

應用安全：云服務商通過網管系統和安全系統對應用進行資源監測，但應用的主要安全由云服務使用者完成。應用安全審計則各自收集所控制部分的審計數據，云服務商以云資源應用為主，上層應用由云服務使用者完成審計。

數據安全：主要包括數據隔離與訪問控制、剩余數據刪除、數據加密和數據備份。政務云比較特殊的是剩余數據問題，各子系統之間分配各自的物理空間，虛機遷移或釋放時，虛擬機內的所有信息應該被清空，確保數據的不泄露。當雙方合作終止時，云服務商需在政府方相關管理部門的監督下，進行信息銷毀。

結束語：政務云安全的保障是一個較復雜的問題，設計方案時需從政府業務特殊性、云計算技術的特點等進行多視角的分析，進行全局化的設計。

參 考 文 獻

[1] GBT 31167-2014，信息安全技術 云計算服務安全指南，中國標準出版社，2015-04-01；

第11篇

1數據信息安全威脅信息數據

面臨的安全威脅來自于多個方面，有通過病毒、非授權竊取來破壞數據保密性的安全威脅，有因為操作系統故障、應用系統故障等導致的破壞數據完整性的安全威脅，有因為硬盤故障、誤操作等導致的破壞數據可用性的安全威脅，還有因為病毒威脅、非授權篡改導致的破壞數據真實性的安全威脅，這些潛在的安全威脅將會導致信息數據被刪除、破壞、篡改甚至被竊取，給公共衛生行業帶來無法彌補的損失。

2安全管理缺失公共衛生行業

在信息化建設工作中，如果存在重應用、輕安全的現象，在IT系統建設過程中沒有充分考慮信息安全的科學規劃，將導致后期信息安全建設和管理工作比較被動，業務的發展及信息系統的建設與信息安全管理建設不對稱；或由于重視信息安全技術，輕視安全管理，雖然采用了比較先進的信息安全技術，但相應的管理措施不到位，如病毒庫不及時升級、變更管理松懈、崗位職責不清、忽視數據備份等現象普遍存在，很有可能會導致本不應該發生的信息安全事件發生。

二分析問題產生的主要原因

1經費投入不足導致的安全防范技術

薄弱許多公共衛生機構的信息化基礎設施和軟硬件設備，都是在2003年SARS疫情爆發以后國家投入建設的，運行至今，很多省級以下的公共衛生單位由于領導認識不足或經費所限，只重視疾病防控能力和實驗室檢驗檢測能力的建設，而忽視了對公共衛生信息化的投入，很少將經費用于信息化建設和信息安全投入，信息化基礎設施陳舊、軟硬件設備老化，信息安全防范技術比較薄弱，因網絡設備損壞、服務器宕機等故障或無入侵檢測、核心防火墻等安全防護設備，導致信息數據丟失、竊取的現象時有發生，嚴重影響了重要信息數據的保密性、完整性和安全性，一旦發生信息安全事件后果將不堪設想。

2專業技術人才缺乏

建設信息化、發展信息化最大的動力資源是掌握信息化的專業技術人才，人才的培養是行業信息化高速發展的基礎，然而，公共衛生行業的人才梯隊主要以疾病控制、醫學檢驗專業為主，信息化、信息安全專業技術人才缺乏，隊伍力量薄弱，不能很好地利用現有的計算機軟硬件設備，也很難對本單位現有的信息化、信息安全現狀進行有效的評估，缺乏制定本行業長期、可持續信息化建設發展規劃的能力，這也是制約公共衛生行業信息化發展的重要因素。

3信息安全培訓不足

職工安全保密意識不強信息安全是一項全員參與的工作，它不僅是信息化管理部門的本職工作，更是整個公共衛生行業的重要工作職責，很多單位沒有將信息安全培訓放在重要位置，沒有定期開展信息安全意識教育培訓，許多職工對網絡安全不夠重視，缺乏網絡安全意識，隨意接收、下載、拷貝未知文件，沒有查殺病毒、木馬的習慣，經常有意無意的傳播病毒，使得單位網絡系統經常遭受ARP、宏病毒等病毒木馬的攻擊，嚴重影響了單位網絡的安全穩定運行；同時，許多職工對于單位的移動介質缺乏規范化管理意識，隨意將拷貝有信息的移動硬盤、優盤等介質帶出單位，在其他聯網的計算機上使用，信息容易失竊，存在非常嚴重的信息安全隱患。

三如何促進公共衛生行業計算機網絡安全性提升

1強化管理

建立行業計算機網絡安全管理制度為了確保整個計算機網絡的安全有效運行，建立出一套既符合本行業工作實際的，又滿足網絡實際安全需要的、切實可行的安全管理制度勢在必行。主要包括以下三方面的內容：

1.1成立信息安全管理機構

引進信息安全專業技術人才，結合單位開展的工作特點，從管理、安全等級保護、安全防范、人員管理等方面制定統管全局的網絡安全管理規定。

1.2制定信息安全知識培訓制度

定期開展全員信息安全知識培訓，讓全體員工及時了解計算機網絡安全知識最新動態，結合信息安全事件案列，進一步強化職工對信息安全保密重要性的認識。同時，對信息技術人員進行專業知識和操作技能的培訓，培養一支具有安全管理意識的隊伍，提高應對各種網絡安全攻擊破壞的能力。

1.3建立信息安全監督檢查機制

開展定期或不定期內部信息安全監督檢查，同時將信息安全檢查納入單位季度、年度綜合目標責任制考核體系，檢查結果直接與科室和個人的獎勵績效工資、評先評優掛鉤，落實獎懲機制，懲防并舉，確保信息安全落實無死角。

2開展信息安全等級保護

建設開展信息安全等級保護建設，通過對公共衛生行業處理、存儲重要信息數據的信息系統實行分等級安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置，建立健全信息安全應急機制，定期對信息系統安全等級保護建設情況進行測評，存在問題及時整改，從制度落實、安全技術防護、應急處置管理等各個方面，進一步提高公共衛生行業信息安全的防護能力、應急處置能力和安全隱患發現能力。

3加強網絡安全技術防范

隨著信息技術的高速發展，信息網絡安全需要依托防火墻、入侵檢測、VPN等安全防護設施，充分運用各個軟硬件網絡安全技術特點，建立安全策略層、用戶層、網絡與信息資源層和安全服務層4個層次的網絡安全防護體系，全面增強網絡系統的安全性和可靠性。

3.1防火墻技術

防火墻技術在公共衛生行業網絡安全建設體系中發揮著重要的作用，按照結構和功能通常劃分為濾防火墻、應用防火墻和狀態檢測防火墻三種類型，一般部署在核心網絡的邊緣，將內部網絡與Internet之間或者與其他外部網絡互相隔離，有效地記錄Internet上的活動，將網絡中不安全的服務進行有效的過濾，并嚴格限制網絡之間的互相訪問，從而提高網絡的防毒能力和抗攻擊能力，確保內部網絡安全穩定運行。

3.2入侵檢測

入侵檢測是防火墻的合理補充，是一種對網絡傳輸進行即時監視，在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備，檢測方法包括基于專家系統入侵檢測方法和基于神經網絡的入侵檢測方法兩種，利用入侵檢測系統，能夠迅速及時地發現并報告系統中未授權或異?，F象，幫助系統對付內部攻擊和外部網絡攻擊，在網絡系統受到危害之前攔截和響應入侵，在安全審計、監視、進攻識別等方面進一步擴展了系統管理員的安全管理能力，提高了信息安全基礎結構的完整性。

3.3虛擬專用網絡（VPN）技術

VPN技術因為低成本、高度靈活的特點，在很多行業信息化建設中被廣泛應用，公共衛生行業也有很多信息系統都是基于VPN進行數據傳輸的，如中國疾病預防控制信息系統等，通過在公用網絡上建立VPN，利用VPN網關將數據包進行加密和目標地址轉換，以實現遠程訪問。VPN技術實現方式目前運用的主要有MPLS、IPSEC和SSL三種類型，中國疾病預防控制信息系統VPN鏈路網絡采用的就是IPSECVPN模式，利用VPN鏈路隧道，實現國家到省、市、縣四級的互聯互通和數據傳輸共享。VPN通過使用點到點協議用戶級身份驗證的方法進行驗證，將高度敏感的數據地址進行物理分隔，只有授權用戶才能與VPN服務器建立連接，進行遠程訪問，避免非授權用戶接觸或竊取重要數據，為用戶信息提供了很高的安全性保護。

四結語

第12篇

關鍵詞：信息安全防護體系；風險評估；信息安全隱患；應急預案

中圖分類號：F470.6 文獻標識碼：A 文章編號：

信息安全管理是信息安全防護體系建設的重要內容，也是完善各項信息安全技術措施的基礎，而信息安全管理標準又是信息安全管理的基礎和準則，因此要做好信息安全防護體系建設，必須從強化管理著手，首先制定信息安全管理標準。電力系統借鑒 ISO27000國際信息安全管理理念，并結合公司信息安全實際情況，制訂了信息安全管理標準，明確了各單位、各部門的職責劃分，固化了信息系統安全檢測與風險評估管理、信息安全專項檢查與治理、信息安全預案管理、安全事件統計調查及組織整改等工作流程，促進了各單位信息安全規范性管理，為各項信息安全技術措施奠定了基礎，顯著提升了公司信息安全防護體系建設水平。

1電力系統信息安全防護目標

規范、加強公司網絡和信息系統安全的管理，確保信息系統持續、穩定、可靠運行和確保信息內容的機密性、完整性、可用性，防止因信息系統本身故障導致信息系統不能正常使用和系統崩潰， 抵御黑客、病毒、惡意代碼等對信息系統發起的各類攻擊和破壞，防止信息內容及數據丟失和失密，防止有害信息在網上傳播，防止公司對外服務中斷和由此造成的電力系統運行事故，并以此提升公司信息安全的整體管理水平。

2信息安全防護體系建設重點工作

電力系統信息安全防護體系建設應遵循“強化管理、標準先行”的理念。下面，結合本公司信息安全防護體系建設經驗，對信息安全防護體系建設四項重點工作進行闡述。

2.1 信息系統安全檢測與風險評估管理

信息管理部門信息安全管理專職根據年度信息化項目綜合計劃，每年在綜合計劃正式下達后，制定全年新建應用系統安全檢測與風險評估計劃，確保系統上線前符合國網公司信息安全等級保護要求。 應用系統在建設完成后 10個工作日內，按照《國家電網公司信息系統上下線管理辦法》要求進行上線申請。 由信息管理部門信息安全管理專職在接到上線申請 10個工作日內， 組織應用系統專職及業務主管部門按照《國家電網公司信息安全風險評估實施指南》對系統的安全性進行風險評估測試，并形成評估報告交付業務部門。 對應用系統不滿足安全要求的部分， 業務部門應在收到評估報告后 10個工作日內按照《國家電網公司信息安全加固實施指南（試行）》進行安全加固，加固后 5個工作日內，經信息管理部門復查，符合安全要求后方可上線試運行。應用系統進入試運行后，應嚴格做好數據的備份、保證系統及用戶數據的安全，對在上線后影響網絡信息安全的，信息管理部門有權停止系統的運行。

2.2 信息安全專項檢查與治理

信息管理部門信息安全管理專職每年年初制定公司全年信息安全專項檢查工作計劃。檢查內容包括公司本部及各基層單位的終端設備、網絡設備、應用系統、機房安全等。 信息安全專職按照計劃組織公司信息安全督查員開展信息安全專項檢查工作，對在檢查中發現的問題，檢查后 5 個工作日內錄入信息安全隱患庫并反饋給各相關單位，隱患分為重大隱患和一般隱患，對于重大隱患，信息安全專職負責在錄入隱患庫 10 個工作日內組織制定重大隱患治理方案。 各單位必須在收到反饋 5 個工作日內對發現的問題制定治理方案， 并限期整技信息部信息安全專職。信息管理部門安全專職對隱患庫中所有隱患的治理情況進行跟蹤，并組織復查，對未能按期完成整改的單位，信息安全專職 10 個工作日內匯報信息管理部門負責人， 信息管理部門有權向人資部建議對其進行績效考核。

2.3 信息安全應急預案管理

信息管理部門信息安全管理專職每年 年初制定公司全年信息安全應急預案編制、演練及修訂計劃，并下發給各單位。各單位信息安全專職按照計劃組織本單位開展相關預案的制定，各種預案制定后 5 個工作日內交本部門主要負責人審批，審批通過后 5 個工作日內報信息管理部門信息安全專職。各單位信息安全專職負責組織對系統相關人員進行應急預案培訓，并按年度計劃開展預案演練。 根據演練結果，10 個工作日內組織對預案進行修訂。各單位信息安全預案應每年至少進行一次審查修訂， 對更新后的內容， 需在 10 個工作日內經本部門領導審批，并在審批通過后 5 個工作日內報信息管理部門備案。

2.4 安全事件統計、調查及組織整改

信息管理部門信息安全專職負責每月初對公司本部及各基層單位上個月信息安全事件進行統計。 各系統負責人、各單位信息安全管理專職負責統計本系統、單位的信息安全事件，并在每月 30 日以書面形式報告信息管理部門信息安全專職， 對于逾期未報的按無事件處理。 出現信息安全事件后 5 個工作日內，信息管理部門信息安全專職負責組織對事件的調查，調查過程嚴格按照《國家電網公司信息系統事故調查及統計規定(試行)》執行，并組織開展信息系統事故原因分析，堅持“四不放過”原則，調查后 5 個工作日內組織編寫事件調查報告。調查、分析完成后 10 個工作日內組織落實各項整改措施。信息安全事件調查嚴格執行《國家電網公司網絡與信息系統安全運行情況通報制度》制度。

3評估與改進

通過執行“強化管理、標準先行”的信息安全防護體系建設理念和實施電力公司信息安全管理標準， 明確了各項工作的“5W1H”。 使信息管理部門和各部門及下屬各單位的接口與職責劃分進一步清晰，有效協調了相互之間的分工協作。 并通過 ITMIS 系統進行對上述流程進行固化，在嚴格執行國網公司、省公司各項安全要求的基礎上簡化了工作流程， 搭建了信息安全防護建設工作的基礎架構，實現了信息安全防護建設工作的體系化。同時在標準的 PDCA 四階段循環周期通過管理目標、職責分工，管理方法，管理流程、考核要求，文檔記錄 6 種管理要素對信息系統安全檢測與風險評估管理、信息安全專項檢查與治理、信息安全預案管理、安全事件統計調查及組織整改4 項管理內容進行持續改進，使信息安全防護體系建設工作的質量有了質變提升。 在信息安全防護建設工作的基礎架構搭建完成后，江蘇省電力公司常州供電公司下一步將重點完善信息安全防護體系中技術體系建設，管理與技術措施并舉，構建堅強信息安全防護體系。