2012年某某市重点领域网络与信息安全检查工作报告　　

根据国函办【2012】102号文件及《自治区人民政府办公厅关于开展重点领域网络与信息安全检查行动的通知》，我市通过开展重点领域网络与信息安全检查，全面掌握了重要网络与信息系统基本情况。此次检查重点是政府信息系统及与正常生产生活具有较大影响的重要网络与信息系统。我市成立的信息安全领导小组办公室于7月6日印发了《关于开展2012年政府网络信息系统检查工作的通知》，在8月22日-23日市信息安全领导小组办公室组织专家对某某市政务大厅、交通局、国土资源局、就业局、烟草专卖局、工商局、公安局、公积金中心、文化旅游局、日报社、广电局、石嘴山在线、某某市新闻网等十三家单位进行了现场检查，主要对机房、安全防护措施、信息安全管理责任制、信息安全组织管理、日常信息安全管理、信息安全培训教育等方面进行实地检查，针对各单位网络系统存在的问题提出整改意见。　　

通过各单位上报的自查报告及检查进一步梳理、掌握我市重要网络与信息系统基本情况，分析面临的安全威胁和风险，评估安全防护水平，有针对性地采取防范对策和改进措施，加强网络与信息系统安全管理和技术防护，促进安全防护能力和水平提升，预防和减少重大信息安全事件的发生，切实保障我市网络与信息安全。　　

一、我市重点领域网络与信息安全情况　　

     此次检查在制度方面包括人员管理制度、资产管理制度、存储介质管理制度、运行维护管理制度。通过调阅相关文件、记录、保密协议、资产台帐，抽取一定比例在用设备，访谈网络管理员，数据管理员，了解大容量存储介质是否外联，是否有防护措施，是否存在远程维护，是否包含备份、应急、监控、审计、变更管理等相关内容。教育培训方面通过访谈相关工作人员和查阅培训记录、培训档案确认信息安全管理人员和技术人员培训内容中是否包含专业技能，确认领导干部和机关工作人员培训内容中是否包含信息安全基本技能。对安全功能配置和重要数据传输、存储的检查分别登录服务器、网络设备、安全设备，查看安全策略配置，检查安全策略配置是否合理，并验证其有效性。检查应用系统安全功能配置情况，确认具有身份认证、访问控制、安全审计等安全功能，登录系统验证安全功能的有效性。访谈数据库管理员，检查重要数据是否进行备份，确认备份方式是本地备份还是异地备份。检查供应商情况、是否具有相应资质。调阅应急预案文本、预案年度评估记录和修订记录等文件，检查应急预案制定和修订情况。在技术防护方面使用检测工具检测操作系统、数据库、网络设备、安全设备、应用系统等的端口、应用、服务及补丁更新情况，检测是否关闭了不必要的端口、应用、服务，是否存在安全漏洞。组织专业技术力量检验系统防入侵、防攻击、防泄漏、防篡改等能力。     通过企业自查及我市信息安全领导小组的检查，现就检查情况做如下总结：　　

（一）    信息安全意识较强，管理制度健全　　

大部分单位比较重视信息安全管理工作，成立了网络信息安全工作小组，分管领导为组长，各科室负责人为成员，建立了相关制度，重视抓好信息安全的教育培训工作。对外来维护人员，要求有关人员陪同，并对其身份和处理情况进行登记，规范设备的维护和管理。内外网实行完全物理隔离，内网