关于网络与信息安全工作落实情况的报告.doc

《关于网络与信息安全工作落实情况的报告.doc》由会员分享，可在线阅读，更多相关《关于网络与信息安全工作落实情况的报告.doc（14页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、关于网络与信息安全工作落实情况的报告关于网络与信息安全工作落实情况的报告接到河南省卫生计生委关于开展河南省卫生系统网络与信息督导检查工作的通知后我院领导高度重视立即召开相关科室负责人会议深入学习和认真贯彻落实文件精神充分认识到开展网络与信息安全自查工作的重要性和必要性对自查工作做了详细部署由主管院长负责安排、协调相关检查部门、监督检查项目由信息科负责具体检查和自查工作并就自查中发现的问题认真做好相关记录及时整改完善。长期以来我院在信息化建设过程中一直非常重视网络与信息安全工作并采取目一套有效的安全管理规范、有效的安全管理措施。自1月9日起全院开展网络与信息安全工作自查根据互联网安全和院内局域网

2、安全的相应特点逐项排查消除安全隐患现将我院信息安全工作情况汇报如下。信息安全工作情况一、网络安全管理：我院的网络分为互联网和院内局域网两网络实现物理隔离以确保两网能够互不影响独立、安全、高效运行。1.硬件安全包括防雷、防火、防盗和UPS电源连接等。医院服务器机房严格按照机房标准建设工作人员坚持每天巡查排除安全隐患。HIS、LIS、EMR、PACS等服务器、交换机、存储等都有UPS电源保护可以保证短时间断电情况下设备运行正常不至于因突然断电致设备损坏。此外局域网内所有计算机USB接口施行完全封闭这样就有效地避免了因外接介质（如U盘、移动硬盘）而引起中毒或泄密的发生。2.网络安全:包括网络结构、密

3、码管理、IP管理等；网络结构包括网络结构合理网络连接的稳定性网络设备（交换机、路由器、光纤收发器等）的稳定性我院会定期检查网络设备的运转情况并在信息科有网络设备备件发生故障可以第一时间更换以确保医院业务的正常进行。各个医院系统的操作人员都有自己的登录名和密码并分配相应的权限账户施行“谁使用、谁管理、谁负责”的管理制度。互联网和院内局域网根据区域不同划分为5个IP段均施行固定IP地址由医院统一分配、管理不允许私自添加新IP。二、数据库安全管理：我院目前运行的数据库主要是ORACLE数据库是保证医院诊疗、划价、收费、查询、统计等各项业务能够正常进行的基础为确保医院各项业务正常、高效运行数据库安全管

4、理是极为有必要的。数据库系统的安全特性主要是针对数据的技术防护而言的包括数据安全性、并发控制、故障恢复、数据库容灾备份等几个方面。我院对数据安全性采取以下措施：（1）将数据库中需要保护的部分与其他部分相隔。（2）采用授权规则如账户、口令和权限控制等访问控制方法并对数据库进行了优化大大提高服务器数据库并发连接数的承载能力。（3）数据库容灾备份是数据库安全管理中极为重要的一部分是数据库有效、安全运行的最后保障也是保障数据库信息能够长期保存的有效措施。我院采用的备份类型为完全备份每天凌晨备份整个数据库包含用户表、系统表、索引、视图和存储过程等所有数据库对象。在备份数据的过程中主、从服务器正常运行各客

5、户端的业务能正常进行也即是热备份。三、软件管理：目前我院在运行的软件主要分为三类：医院系统、常用办公软件和杀毒软件。医院系统软件包括HIS、LIS、EMR、PACS等系统其中HIS系统是我院日常业务中最主要的软件是保障医院诊疗活动正常进行的基础自20_年新系统上线以来运行很稳定未出现过重大安全问题并根据业务需要不断更新充实。常用办公软件均由医院信息科统一安装维护。杀毒软件是保障电脑系统防病毒、防木马、防篡改、防瘫痪、防攻击、防泄密的有效工具。所有电脑均安装了正版杀毒软件（360企业版杀毒软件和安全卫士）并定期更新病毒库以保证杀毒软件的防御能力始终保持在很高的水平。四、网站安全管理：在信息化高度

6、发达的今天网络宣传的作用日益突出网站安全管理工作也不容忽视。我院的网站后台服务器施行托管管理确保了网站后台服务的稳定性和安全性。我院设专门网站管-理-员负责日常更新、维护严格执行网站管理规定网站自开放以来从未发生过重大安全问题并一直运行良好。五、应急处置：我院HIS系统服务器运行安全、稳定并配备了大型UPS电源可以保证大面积断电情况下服务器坚持运行数小时。虽然医院的信息系统长期以来运行良好但医院仍然制定了应急处置预案并对收费操作员和医护人员进行过培训如果医院出现大面积、长时间停电情况HIS系统无法正常运行将临时开始手工收费、记账、发药以确保诊疗活动能够正常、有序地进行待到HIS系统恢复正常工作

7、时再补打发票、补记收费项目。总体来说我院对网络与信息安全工作非常重视未发生过重大的安全事故各系统运转稳定各项业务能够正常运行。但自查中也发现了不足之处如目前医院信息技术人员少信息安全力量有限；信息安全意识还够个别科室缺乏维护信息安全的主动性和自觉性；个别科室的计算机设备配置偏低服务期限偏长。今后要加强信息技术人员的培养更进一步提高信息安全技术水平；加强全院职工的信息安全教育提高维护信息安全的主动性和自觉性；加大对医院信息化建设投入提升计算机设备配置进一步提高工作效率和系统运行的安全性。经过了为期一周的自查工作我院充分意识到安全工作是一个需要常抓不懈的工程同时要不断创新改变旧有的管理方法和理念以

8、适应新形势下的安全管理需要。关于网络与信息安全工作落实情况的报告为贯彻落实国务院办公厅关于开展重点领域网络与信息安全检查行动的通知精神根据关于开展全市教育系统网络与信息安全检查工作的通知我校认真贯彻落实市有关文件精神切实加强校园网络信息安全维护校园网络运行稳定迎接党的顺利召开创造良好稳定的社会和网络环境近期在学校领导的带领下对我校校园网络进行了网络信息安全自查现将校园网络信息安全自查工作情况报告如下：自成立小组以来我校严格按照上级部门要求积极完善各项安全制度加强组织领导强化宣传教育落实工作责任加强日常监督检查全面落实信息系统安全防范工作。重点抓好”;三大安全”排查工作：一是硬件安全包括防雷、防

9、火、防盗和电源连接等；二是网络安全包括网络结构、密码管理、IP管理、互联网行为管理等；三是应用安全公文传输系统、软件管理等。不断规范网络安全管理形成了良好的安全保密环境。二、日常网络与信息安全管理。1、为保证我校校园网信息安全充分发挥网络在教学科研和管理中的作用制定本制度。2、启用了防火墙设备对互联网有害信息进行过滤、封堵长期对防火墙进行检查维护。3、校园网网络信息安全管理在学校网络信息工作领导小组的领导下进行。网络信息安全管理的范围包括信息发布的审查；信息的日常巡查；网络攻击的监测、预防；网络计算机病毒的预防和清除；有害信息的清理、记录、备份以及上报等。3、所有校园网发布的信息须按照我校校园

10、网信息发布管理办法的规定进行审查核准。4、网络中心以及校内各站点必须有专人负责信息安全工作要对所有网上信息进行日常巡查和维护。5、保证在局域网内每一台计算机都安装了杀毒软件并对计算机的使用者进行网络安全培训。保证使用者可以独立的对计算机进行杀毒并升级病毒库。如使用者遇到不能解决的问题及时联系网络管-理-员。网络管-理-员应及时解决。6、要随时监测来自网络的各种攻击行为制定有效的控制和预防手段对容易造成严重后果的攻击行为要及时报告国家教育科研网紧急响应组进行处理。7、所有接入校园网的主机必须安装有效的病毒防范和清除软件并做到及时升级。如遇不能有效清除的病毒要及时报告学校网络中心进行处理。所有经过

11、网络传输的文件必须预先进行查杀病毒处理。三、校园网络安全工作管理制度的制定及贯彻落实情况。学校专门设有网管中心由专人负责服务器的日常维护工作定期检查发现问题能及时解决闲杂人员一般不允许进入学校的中心机房。四、校园建设等方面情况。学校中心机房为了安全在硬件和软件方面都做了些技术工作学校现有计算机160多台学校建有多媒体教室、微机室、网络中心机房等并接入校园网校内联网计算机达95%有本地教学资源库、办公平台、校园网站等应用系统。学校结合实际应用需求每年均有教育信息化建设经费投入保障校园网络持续发展为教育教学提供服务。五、网络管理情况。为做好网络安全网管给校园电脑统一分配IP地址。建立校园网管理、应

12、用、维护等技术文档和日志。杜绝有害信息在校园网上散布及时发现、举报有害信息入侵等网络信息安全事件。及时升级学校网络中心及终端计算机的各类系统安全补丁。及时做好各类应用系统的信息安全、数据备份工作。加强网络信息保密工作严格贯彻落实涉密信息不上网上网信息不涉密的有关信息保密工作要求。学校未发生重大网络信息安全责任事故。六、网络应用情况。我校积极参加区市教育局组织的网络建设、应用、管理等的各项活动。利用校园网络开展校园网站和专题网站建设、应用活动；有专人负责网站建设、应用和管理。教师能够使用“网络办公”系统办公提高办公效率节约办公经费。积极利用教育网上的资源库开展教学促进教育教学质量不断提高。对网络

13、中的ARP欺骗进行定期维护查杀对教师使用的BT、QQ、p2p等软件进行部分限制以确保网络正常。七、自查存在的问题及整改意见自查存在的问题及整改意见自查存在的问题及整改意见自查存在的问题及整改意见我们在管理过程中发现了一些管理方面存在的薄弱环节今后我们还要在以下几个方面进行改进。1、对于线路不整齐、暴露的立即对线路进行限期整改并做好防鼠、防火安全工作。2、加强设备维护及时更换和维护好故障设备。3、自查中发现个别人员计算机安全意识不强。在以后的工作中我们将继续加强计算机安全意识教育和防范技能训练让员工充分认识到计算机案件的严重性。人防与技防结合确实做好单位的网络安全工作关于网络与信息安全工作落实情

14、况的报告为落实”;教育部办公厅关于开展网络安全检查的通知”（教技厅函202151号）、“教育部关于加强教育行业网络与信息安全工作的指导意见”（教技20214号）、陕西省教育厅”;关于开展全省教育系统网络与信息安全专项检查工作的通知”（陕教保【2021】8号）,全面加强我校网络与信息安全工作,校信息化建设领导小组办公室于9月16日-25日对全校网络、信息系统和网站的安全问题组织了自查,现将自查情况汇报如下:一、 学校网络与信息安全状况本次检查采用本单位自查、远程检查与现场抽查相结合的方式,检查内容主要包含网络与信息系统安全的组织管理、日常维护、技术防护、应急管理、技术培训等5各方面,共涉及信息系

15、统28个、各类网站89个.从检查情况看,我校网络与信息安全总体情况良好.学校一贯重视信息安全工作,始终把信息安全作为信息化工作的重点内容.网络信息安全工作机构健全、责任明确,日常管理维护工作比较规范；管理制度完善,技术防护措施得当,信息安全风险得到有效降低；比较重视信息系统（网站）系统管理员和网络安全技术人员培训,应急预案与应急处置技术队伍有落实,工作经费有一定保障,基本保证了校园网信息系统（网站）持续安全稳定运行.但在网络安全管理、技术防护设施、网站建设与维护、信息系统等级保护工作等方面,还需要进一步加强和完善.二、2021年网络信息安全工作情况1.网络信息安全组织管理按照“谁主管谁负责、谁

16、运维谁负责、谁使用谁负责”的原则,学校网络信息安全工作实行”;三级”管理.学校设有信息化工作领导小组,校主要领导担任组长,信息化工作办公室设在网教中心,中心主任兼办公室主任.领导小组全面负责学校网络信息安全工作,授权信息办对全校网络信息安全工作进行安全管理和监督责任.网教中心作为校园网运维部门承担信息系统安全技术防护与技术保障工作.各处室、学院承担本单位信息系统和网站信息内容的直接安全责任.2.信息系统（网站）日常安全管理 学校建有“校园网管理条例”、”;中心机房安全管理制度“、”;数据安全管理办法”、“网站管理办法”、”;服务器托管管理办法”、“网络故障处理规范”等系列规章制度.各系统（网站

17、）使用单位基本能按要求,落实责任人,较好地履行网站信息上传审签制度、信息系统数据保密与防篡改制度.日常维护操作较规范,多数单位做到了杜绝弱口令并定期更改,严密防护个人电脑,定期备份数据,定期查看安全日志等,随时掌握系统（网站）状态,保证正常运行. 3.信息系统（网站）技术防护 校园网数据中心建有一定规模的综合安全防护措施.一是建有专业中心机房,配备视频监控、备用电力供应设备,有防水、防潮、防静、温湿度控制、电磁防护等措施,进出机房实行门禁和登记制度；二是网络出口部署有安全系统,站群系统部署有应用防火墙,并定期更新检测规则库,重要信息系统建立专网以便与校园网物理隔离；三是对服务器、网络设备、安全

18、设备等定期进行安全漏洞检查,及时更新操作系统和补丁,配置口令策略保证更新频度；四是全面实行实名认证制度,具备上网行为回溯追踪能力；五是对重要系统和数据进行定期备份,并建有灾备中心.4.信息安全应急管理 20_年制定了西北农林科技大学网络与信息安全突发事件应急预案.网教中心为应急技术支持单位,确保网络安全事件的快速有效处置.5.信息安全教育培训 2021年派员参加了陕西省信息安全保密培训.暑期处级干部培训安排有信息安全与保密专题,每年组织全校网管员技术培训,增强管理干部和技术人员的安全防范意识,提高技术防护能力. 三、检查发现的主要问题对照通知中的具体检查项目,我校在信息安全工作上还存在一定的问

19、题:1.安全管理方面:网管员为兼职,投入精力难以保证,部分网管员长时间未登录过自己管理的系统（网站）,无法及时知晓已发生的安全事件.部分系统（网站）日常管理维护不够规范,仍存在管理员弱口令、数据备份重视不够、信息保密意识差等问题（2021年发生2起个人隐私信息上传网站的事件）. 2.技术防护方面:校园网安全技术防护设施仍不足,如缺少数据中心安全防御系统和审计系统,欠缺安全检测设施,无法对服务器、信息系统（网站）进行安全漏洞扫描与隐患检查.3应用系统（网站）方面:个别应用系统（网站）存在设计缺陷和安全漏洞,容易发生安全事故.（经统计2021年以来14个网站发生安全事故17起,其中11起是因为网站

20、存在技术问题,如安全漏洞或设计缺陷）. 4.信息系统等级保护工作尚未全面开展.5.部分院（系）管辖的机房或学习室尚未实行认证和审计.四、整改措施针对存在的问题,学校信息化领导小组专门进行了研究部署.1.进一步完善网络信息安全管理制度,规范信息系统和网站日常管理维护工作程序.加强网管员技术培训,提高安全意识和技术能力. 2.继续完善网络信息安全技术防护设施,配备必要的安全防御和检测设备,实行信息系统（网站）安全检测准入制度,从根本上降低安全风险.定期对服务器、操作系统进行漏洞扫描和隐患排查,建立针对性的主动防护体系.3.针对各级网站建设水平参差不齐问题,学校2021年引入了站群系统管理平台,目前

21、已将多个部门共计12个网站迁移到站群系统管理平台.今后将加大推进力度,逐步将全部各级网站迁入站群系统管理平台,提高网站技术安全性能. 4.全面开展信息系统等级保护工作,按照新颁布的 教育行政部门及高等院校信息系统安全等级保护定级指南,完成所有在线系统的定级、备案工作.积极创造条件开展后续定级测评、整改等工作.5.加强应急管理,修订应急预案,组建以网教中心技术人员为骨干、重要系统管理员参加的应急支援技术队伍,加强部门间协作,做好应急演练,将安全事件的影响降到最低.6.对院（系）管机房或学习室强制认证和审计.五、几点建议1.建议按年度列支相关经费,用于培训、应急演练、网站改造等工作开展.（”;网络安全经费预算投入情况”也是教技厅函202151号文件9个检查项目之一）；2.建议在2021年数字校园建设经费里列支专项经费用于等保定级、测评、整改等工作；3.建议各类网站在适当的时候（最好是改版时）加入学校站群系统管理平台,一旦加入该站群系统管理平台,管理者将无需考虑网站的技术安全及风险,只需考虑网站的信息与内容安全.第 14 页 共 14 页