关键信息基础设施网络安全自查情况的报告.docx

关键信息基础设施网络安全自查情况的报告.docx

《关键信息基础设施网络安全自查情况的报告.docx》由会员分享，可在线阅读，更多相关《关键信息基础设施网络安全自查情况的报告.docx（34页珍藏版）》请在冰豆网上搜索。

关键信息基础设施网络安全自查情况的报告

关键信息基础设施网络安全自查情况的报告

市网信办:

按照《2017年AA市关键信息基础设施网络安全执法检查工作方案》（广委网办发〔2017〕2号）要求，我局对关键信息基础设施网络情况进行了全面自查，现将有关情况报告如下。

一、组织开展情况

市环保局网络安全与信息化安全领导小组高度重视此项工作，安排宣教信息中心组织开展关键信息基础设施网络安全检查工作，分析信息安全总体状况，提出了分析报告和安全风险的防范对策，实现了网络运行安全可控。

二、网络及关键信息系统安全问题整改落实情况

（一）实现设备外包，保障网络安全。

2016年，我局通过招投标方式，将网络设备的日常巡检和运维保障外包AA赛远科技，该公司为我局提供技术支撑和运维巡检，确保设备良好运行，保障全局网络运行安全可控。

通过签约AA程友科技公司，强化AA环保官网运维升级，实现了网站安全性、易用性大幅提高。

（二）强化防御措施，保障网络安全。

我局使用三道防火墙保障网络安全，一是电子政务网区域加入IPS入侵防御系统和一级防火墙用于防御互联网的攻击；二是将二级防火墙部署至环保专网和办公网之间，将办公局域网和环保专网联通，通过在二级防火墙上做源地址转换来访问环保专网，并在二级防火墙中建立安全管理区域，部署网络安全审计设备、网络安全管理平台，实现统一管理和维护；三是融合办公网络、环保业务专网、电子政务外网、12369排污收费专网，在互联网出口网关下增加一道防火墙和入侵防御系统构成第三级防火墙。

（三）加强数据监控，保障网络安全。

实现网络安全审计系统不间断监测网络运行状态，查找异常数据判定是否受到攻击。

一是在电子政务网中配置核心交换机，并做局域网网络配置改造，将原在出口锐捷的网关下移到核心交换机中。

二是同时运用二级防火墙建立安全管理区。

将网络安全审计设备部署至二级防火墙的安管区中，审计网络流量。

将网络安全审计数据的抓包端口连接到核心交换机的镜像端口，进行数据的审计和分析。

5月13日全球暴发了大规模电脑病毒（永恒之蓝），按照有关要求，我局在核心交换机上游建立隔离区域（DMZ），从而规避内网与外网融合带来的风险。

同时，组织对全局117台电脑及30多台服务器进行紧急处置，经过长达48小时的艰苦奋战和共同努力，完成了局每台服务器、电脑的修补漏洞工作，全局服务器、电脑未发生被病毒攻克事件，确保了日常工作的稳步推进。

三、信息系统开展等级保护工作情况

近年来，我局不断加强信息化系统建设和运行管理，信息化系统建设和运行整体良好。

新建移动执法、省控重点污染源等系统，均由省厅统一运维管理和等保备案。

我局重点信息系统AA市国控重点污染源系统和AA环保网分别达到等保三级（备案号5108149914416001）等保二级（备案号***********－00123），通过备案工作提升了关键信息基础设施网络安全。

四、当前存在问题

（一）环保局网络安全与信息化工作领导小组职责尚不明确，信息安全管理制度有待完善。

（二）AA环保官方网站登陆账号管理制度尚有缺失，存在一定的安全隐患。

（三）全局无线WIFE存在私接现象，造成内外网隔离还不够严格。

五、下一步工作计划

对照当前存在问题，我局将逐一进行整改、完善，以提高全局网络安全等级，确保网络运行状态安全可控。

一是将以环保系统“省、市、县（区）统筹项目”建设为契机，完善网络安全与信息化工作领导小组职责和相关制度；二是将通过购买安全设备、培训安全运维人员、签约专业公司等手段，力争实现环保官网登录帐号和安全锁挂钩，以避免账号泄漏造成的不良影响；三是将开展整顿WIFE私接现象专项工作，大力整合网络，确保网络安全。

附件：

1.行业部门国家关键信息基础设施基础调查表

2.国家关键信息基础设施基本情况表

3.2017年关键信息基础设施网络安全自查表

AA市环境保护局

2017年5月23日

抄送：

市公安局。

附件1

行业部门国家关键信息基础设施基础调查表

序号

单位名称

联系人

数量

关键信息基础设施名称

安全保护等级

备案编号

备案公安机关名称

姓名

电话

1

AA市环境保护局

王潮军

***********

1

AA市国控重点污染源系统

第三级

5108149914416001

AA市公安局

2

AA市环境保护局

文顺科

***********

1

AA市环保局网站

第二级

***********－00123

AA市公安局

合计

单位总数

1

关键信息基础设施总数

2

附件2

国家关键信息基础设施基本情况表

关键信息基础设施名称

AA市环境保护局网站

运营使用单位名称

AA市环境保护局

单位联系人姓名

文顺科

固定电话

***********

手机电话

***********

安全保护等级

第二级

备案编号

***********－00123

所属行业/领域

其他

受理备案的公安机关

AA市公安局

服务范围

地（市、区）内

服务对象

两者均包括

关键信息基础设施是否连接互联网？

是

（注：

如果连接互联网，请填写关键信息基础设施以下接入信息）

域名

www.************

域名注册服务机构和联系方式

成都西维数码科技有限公司***********

.cn域名的NS记录

211.149.230.100

.cn域名的A记录

211.149.182.162

主站IP地址范围

125.64.55.164

主要协议/端口

http/80

操作系统版本

windows2008

接入运营商及联系方式

成都西维数码科技有限公司***********

物理接入位置

成都市温江区光华大道三段2045号中国电信三楼

接入带宽

10M

CDNIP地址范围

无

CDN服务提供商

无

CDN联系人姓名

李玉林

手机号

***********

附件3

2017年关键信息基础设施网络安全自查表

表一：

行业主管部门填写

一、行业主管部门基本情况

行业主管部门名称

AA市环境保护局

单位地址

AA市利州区苴国路795号

网络安全分管领导

姓名

张厚美

职务/职称

副局长

网络安全责任部门

办公室

责任部门负责人

姓名

罗来柏

职务/职称

主任

办公电话

***********

移动电话

***********

责任部门联系人

姓名

王潮军

职务/职称

科员

办公电话

***********

移动电话

***********

传真

***********

邮箱地址

********@*******

全行业信息系统总数

2

第四级系统数

0

第三级系统数

1

第二级系统数

1

未定级系统数

0

全行业信息系统

等级测评总数

2

第四级系统数

0

第三级系统数

1

第二级系统数

1

未测评系统数

0

全行业信息系统

安全建设整改总数

2

第四级系统数

0

第三级系统数

1

第二级系统数

1

未整改系统数

0

本级单位信息系统总数

2

第四级系统数

0

第三级系统数

1

第二级系统数

1

未整改系统数

0

二、行业主管部门网络安全工作情况

行业信息安全网络安全工作的组织领导情况

行业网络安全领导机构或信息安全等级保护工作领导机构成立情况

是否成立了行业网络安全领导机构或信息安全等级保护工作领导机构？

是

机构名称：

网络安全领导小组

行业网络安全或信息安全等级保护工作的职责部门和具体职能情况

是否成立了行业网络安全或信息安全等级保护工作的职责部门？

是

职责部门名称：

办公室

是否明确了行业网络安全或信息安全等级保护工作职责部门的具体职能？

是

具体职能内容：

负责网络安全和信息安全

全行业信息安全等级保护工作部署情况

全行业信息安全等级保护工作是否做了部署？

是

具体部署情况：

由科技公司24小时值班值守，预警并处置问题。

行业对信息安全等级保护工作的重视情况

行业信息安全等级保护工作年度考核情况

行业是否将信息安全等级保护工作的执行情况纳入到年度考核指标？

是

具体考核情况：

同政务信息一并考核

行业主管部门组织对地方对口部门或所属企事业单位网络安全检查情况

行业主管部门是否组织对地方对口部门或所属企业事业单位进行网络安全检查？

是

具体检查情况：

没有发现重大安全问题

行业网络安全工作经费是否纳入年度预算？

行业网络安全工作经费是否纳入年度预算？

是

工作经费预算：

5万

行业网络安全工作的经费约占行业信息化建设经费的百分比情况

行业网络安全工作的经费约占行业信息化建设经费的百分比

行业网络安全工作的经费约占行业信息化建设经费的百分比：

0.5%

行业网络安全责任追究制度执行情况

是否建立了行业网络安全责任追究制度？

是否建立了行业网络安全责任追究制度？

是

制度名称：

AA市环境保护局网络安全责任追究办法

是否依据责任追究制度对行业发生的网络安全事件（事故）进行追责

是否依据责任追究制度对行业发生的网络安全事件（事故）进行追责？

是

行业网络安全与信息通报工作情况

是否加入了国家网络与信息安全通报机制？

是否加入了国家网络与信息安全通报机制？

否

联络人信息：

是否建立了本行业网络与信息安全通报机制？

是否建立了本行业网络与信息安全通报机制？

否

联络人信息：

行业组织开展日常网络安全监测情况

本行业是否建立了日常网络安全监测机制？

是

具体开展情况：

每月开展一次

本行业日常网络安全监测是否有网络安全监测记录？

是

记录文档名称：

开普云

本行业开展网络与信息安全通报预警工作的总体情况

本行业是否开展了网络与信息安全通报预警工作？

是

开展总体情况：

由部门运维室预警，我局和科技公司一起处理

本行业网络与信息安全通报预警工作是否有通报和预警记录？

否

文件名称：

行业重要网络安全政策和技术标准的制定情况

行业出台网络安全或等级保护政策、管理办法、管理规定等规范性文件情况，具体文件名字和出台时间

行业是否出台网络安全或等级保护政策、管理办法、管理规定等规范性文件？

否

具体文件名字：

出台时间：

行业出台网络安全或等级保护标准规范情况，具体文件名字和出台时间等情况

行业是否出台网络安全或等级保护标准规范？

否

具体文件名字：

出台时间：

行业网络安全顶层设计和统筹规划情况

行业网络安全顶层设计情况

行业是否制定了网络安全顶层设计规划？

否

具体设计情况:

行业网络安全工作的短期目标和长远规划制定情况

行业是否制定了网络安全工作的短期目标？

是

短期目标内容：

网络设备安全加固

行业是否制定了网络安全工作的长远规划？

是

长远规划内容：

省、市、县三级统筹建设项目

全行业的网络安全保护策略制定情况

行业是否制定了全行业的网络安全保护策略？

否

具体制定情况：

各县区无网站

行业数据资源保护情况

行业数据中心建设情况

行业是否建立了数据中心？

否

中心建设情况：

行业数据资源存储情况

行业数据资源存储是否集中统一存储？

是

资源存储情况：

数据机房

行业数据资源安全保护情况

行业数据资源是否有安全保护措施？

是

具体安全保护措施：

机房有多台网络安全设备。

行业数据资源的灾备中心建设情况和数据备份恢复情况

行业数据资源是否建立了灾备中心？

否

具体建设情况：

行业数据资源是否提供了数据备份恢复的措施？

是

具体措施：

备份软件内恢复。

行业数据资源存储和应用是否由社会第三方提供？

提供服务单位的具体情况

行业数据资源存储是否由社会第三方提供？

否

提供服务单位名称：

行业数据资源应用是否由社会第三方提供？

否

提供服务单位名称：

行业网络安全应急预案和演练情况

是否制定了行业网络安全预案？

是否制定了网络安全应急预案，并有相应的预案文档？

是

文档名称：

AA市环境保护局网络安全应急预案

行业网络安全预案是否进行了演练？

网络安全应急预案是否定期进行演练，并有演练的文档记录？

是

文档名称：

是否根据演练情况对预案进行了修改完善

是否根据演练结果对应急预案进行完善，并有应急预案的修订记录？

否

文件名称：

行业网络安全应急队伍建设情况

是否建立了本行业网络安全应急队伍？

是否建立了本行业网络安全应急队伍？

是

联络人信息：

王潮军

是否组建了行业网络安全专家队伍？

是否组建了行业网络安全专家队伍？

是

专家人员名单：

侯炳军杨正斌

是否与社会企业签订了应急支持协议？

是否与社会企业签订了应急支持协议？

否

提供服务单位名称：

行业应急队伍建设规划情况

是否有行业应急队伍的建设规划？

否

具体建设规划情况：

行业网络安全事件（事故）的处置情况

是否明确了行业网络安全事件（事故）发现、报告和处置流程？

是否明确了行业网络安全事件（事故）发现、报告和处置流程？

是

具体流程描述：

部门运维室发现问题，报告我局，我局和科技公司一起处理

年内是否发生重大网络安全事件（事故）？

年内是否发生重大网络安全事件（事故）？

否

事件（事故）次数：

0

是否与相关部门建立了网络安全应急处置机制等情况

是否与相关部门建立了网络安全应急处置机制？

是

相关部门名称：

赛远科技程友科技

行业网络安全宣传培训情况

行业组织开展网络安全宣传教育情况

行业是否组织展开了网络安全宣传教育？

是

开展宣传教育次数：

5

行业组织开展网络安全领导干部培训、业务骨干培训和网络安全员培训等情况

行业是否组织开展了网络安全领导干部培训？

是

培训人员数量：

51

行业是否组织开展了业务骨干培训？

是

培训人员数量：

6

行业是否组织开展了网络安全员培训？

是

培训人员数量：

8

行业新技术、新应用安全保护情况

行业大数据、云计算、物联网、工业控制系统等应用情况

行业是否有大数据应用？

是

具体应用名称：

国控重点污染源系统

行业数据是否进行了分类或归类？

否

具体分类或归类：

是否有行业数据运用在行业大数据中？

是

具体数据名称：

国控重点污染源数据

行业大数据应用是否跨平台？

否

跨平台的应用名称：

行业大数据应用是否跨地域？

否

跨地域的应用名称：

行业大数据应用是否跨领域？

否

跨领域的应用名称：

行业是否有云计算应用？

否

具体应用名称：

行业云计算应用是否建立在私有云上？

否

建立在私有云的云计算应用名称：

行业云计算应用是否建立在公有云上？

否

建立在公有云的云计算应用名称：

行业是否有物联网应用？

是

具体应用名称：

国控重点污染源系统

行业是否有工业控制系统？

否

具体应用名称：

行业新技术、新应用是否开展等级保护工作情况

行业是否有其他的新技术、新应用？

否

具体技术、应用名称：

行业新技术、新应用是否开展了定级备案工作？

否

开展定级备案工作的新技术、新应用名称：

安全保护等级和备案号：

行业新技术、新应用是否开展了测评整改工作？

否

开展测评整改工作的新技术、新应用名称：

行业新技术、新应用是否出台了相关的规范或标准？

否

相关的规范或标准名称：

行业新技术、新应用是否开展了网络安全培训？

否

开展了培训的新技术、新应用：

新技术、新应用网络安全保护等情况

行业对大数据应用是否有相应的管理和技术网络安全保护措施？

否

行业是否有对云计算应用的网络安全保护措施？

否

行业是否有对物联网应用的网络安全保护措施？

否

行业是否有对工业控制系统的网络安全保护措施？

否

行业是否有对其他的新技术、新应用网络安全保护措施？

否

表二：

信息系统运营使用单位填写

一、信息系统运营使用单位基本情况

单位名称

AA市环境保护局

单位地址

AA市利州区苴国路795号

网络安全分管领导

姓名

张厚美

职务/职称

副局长

网络安全责任部门

环境宣教信息中心

责任部门负责人

姓名

罗来柏

职务/职称

主任

办公电话

***********

移动电话

***********

责任部门联系人

姓名

王潮军

职务/职称

科员

办公电话

***********

移动电话

***********

单位信息系统总数

2

第四级系统数

0

第三级系统数

1

第二级系统数

1

未定级系统数

0

单位信息系统

等级测评总数

2

第四级系统数

0

第三级系统数

1

第二级系统数

1

未测评系统数

0

单位信息系统

安全建设整改总数

2

第四级系统数

0

第三级系统数

1

第二级系统数

1

未整改系统数

0

单位信息系统

安全自查总数

2

第四级系统数

0

第三级系统数

1

第二级系统数

1

未自查系统数

0

二、信息系统运营使用单位网络安全工作情况

单位信息安全等级保护工作的组织领导情况

单位网络安全领导机构或信息安全等级保护工作领导机构成立情况

是否成立了单位网络安全领导机构或信息安全等级保护工作领导机构？

是

机构名称：

AA市环境保护局网络安全领导小组

单位网络安全或信息安全等级保护工作的职责部门和具体职能情况

是否有单位网络安全或信息安全等级保护工作的职责部门？

是

职责部门名称：

局环境宣教信息中心

是否明确了单位网络安全或信息安全等级保护工作职责部门的具体职能？

是

具体职能内容：

单位网络安全防护和信息安全保护

单位信息安全等级保护工作部署情况

单位信息安全等级保护工作是否做了部署？

是

具体部署情况：

由局环境宣教信息中心负责，同部门技术人员和聘请的科技公司24小时进行安全保护监控和处置

单位对信息安全等级保护工作的重视情况

单位信息安全等级保护工作年度考核情况

单位是否将信息安全等级保护工作的执行情况纳入到年度考核指标？

是

具体考核情况：

将信息安全等级保护工作纳入政务信息一同考核

单位组织开展网络安全自查情况

单位是组织开展过网络安全自查活动？

是

开展活动时间：

结合开普云监管系统每月开展一次自查活动

单位网络安全工作经费是否纳入年度预算?

单位网络安全工作经费是否纳入年度预算?

是

工作经费预算：

5万

单位网络安全工作的经费约占单位信息化建设经费的百分比情况

单位网络安全工作的经费约占单位信息化建设经费的百分比

单位网络安全工作的经费约占单位信息化建设经费的百分比:

0.5%

单位网络安全责任追究制度执行情况

是否建立了单位网络安全责任追究制度？

是否建立了单位网络安全责任追究制度？

是

制度名称：

AA市环境保护局网络安全责任追究办法

是否依据责任追究制度对单位发生的网络安全事件（事故）进行追责等情况

是否依据责任追究制度对单位发生的网络安全事件（事故）进行追责？

是

单位信息系统定级备案工作情况

单位信息系统是否全部定级备案？

单位信息系统是否全部定级备案？

是

单位系统调整是否及时进行备案变更？

单位系统调整是否及时进行备案变更？

是

单位新建信息系统是否落实定级备案

单位新建信息系统是否落实定级备案工作？

是

单位信息系统安全测评和安全建设整改工作情况

单位信息系统安全检测和整改经费落实情况

是否有年度等级测评经费预算，或专项经费预算？

是

工作经费预算：

1.0万

年度等级测评经费预算或专项经费预算是否按预算计划拨款？

是

是否有年度安全建设整改经费预算，或专项经费预算？

是

工作经费预算：

0.5万

年度安全建设整改经费预算或专项经费预算是否按预算计划拨款？

是

单位信息系统恶意代码扫描、渗透性测试、等级测评和风险评估的安全检测情况

单位信息系统是否进行过恶意代码扫描？

是

恶意代码数量：

0

单位信息系统是否进行过渗透性测试？

是

测试发现问题：

有死链和空白栏目

单位信息系统是否进行过等级测评？

否

进行过等级测评系统数量：

单位信息系统是否进行过风险评估？

否

进行过风险评估系统数量：

信息系统安全建设整改方案制定和实施情况

是否制定年度安全建设整改计划？

是

计划本年度安全建设整改的信息系统数是：

2

是否有正在进行安全建设整改的信息系统？

否

正在进行安全建设整改的信息系统数量：

是否有已经完成安全建设整改的信息系统？

是

已经完成安全建设整改的信息系统数量:

2

单位网络安全保护状况的了解掌握情况

是否了解和掌握了单位网络安全保护状况？

是

具体情况：

目前我局网站相对老化，计划今年内全面改版，进一步改善网络安全状况。

单位网络安全管理制度的制定和实施情况

单位信息系统建设和网络安全“同步规划、同步建设、同步运行”措施的落实情况

单位是否落实了信息系统建设和网络安全“同步规划、同步建设、同步运行”措施？

是

具体措施落实情况：

将网站建设和部分网络安全同时交由科技公司负责实施，并要求科技公司24小时负责网络安全的监控和整改。

单位人员管理，信息系统机房管理、设备管理、介质管理、网络安全建设管理、运维管理、服务外包等管理制度的建设情况

单位是否建设了人员管理制度？

是

制度名称：

AA市环境保护局网站管理制度

单位是否建设了信息系统机房管理制度？

否

制度名称：

机房值班制度、数据备份制度

单位是否建设了设备管理制度？

否

制度名称：

单位是否建设了介质管理制度？

否

制度名称：

单位是否建设了网络安全建设管理制度？

是

制度名称：

AA市环境保护局电子政务系统整改升级方案

单位是否建设了运维管理制度？

是

制度名称：

AA市环境保护局网站运维管理制度

单位是否建设了服务外包管理制度？

是

制度名称：

AA市环境保护局网站服务外包管理制度

管理制度的监督保障和运行情况

是否有管理制度的监督保障机制？

是

具体机制内容：

将网站管理纳入年度考核

管理制度的执行是否受到监督保障？

是

具体运行情况：

局分管领导随时抽查网站、国控污染源系统运行情况

单位重要数据的保护情况

单位数据中心建设情况

单位是否建立了数据中心？

是

中心建设情况：

初步的文件数据。

单位重要数据存储和安全保护情况

单位数据资源存储是否集中统一存储？

是

资源存储情况：

60T磁盘存储

单位重要数据存储是否有安全保护措施？

是

具体措施：

物理隔离，不同网段。

单位重要数据备份恢复情况

单位重要数据是否提供了数据备份恢复的措施？

是

具体措施：

由局档案室纸质存放和使用同步备份软件备份。

单位重要数据存储和应用是否由社会第三方提供？

提供服务单位的具体情况

单位重要数据存储和应用是否由社会第三方提供？

否

提供服务单位名称：

单位网络安全监测和预警情况

单位开展日常网络安全监测情况

单位是否有日常网络安全监测机制？

是

具体组织开展情况：

每月开展一次检查，查出问题立即整改

单位网络安全监测技术手段建设情况

单位网络安全监测是否有网络安全监测记录？

是

记录文件名称：

开普云AA市