关于全市司法行政系统信息网络安全管理工作的情况通报 今年以来,我市司法行政系统按照省司法厅信息化建设工作部署,采取了一系列切实可行的工作措施,市司法局先后下发了《关于做好全市司法行政系统网站建设和信息资源维护工作的通知》、《阜阳市司法行政系统网站管理暂行办法》、《全市司法行政系统网站考核办法》和《关于进一步加快信息化建设工作的实施意见 》等文件,对加快信息化建设和计算机管理使用及信息网络安全提出了要求,进一步明确了信息化建设与管理、网站信息发布与安全、网络运行与安全等措施,并集中了大量人力、物力陆续开展了计算机技术人员培训、信息网络安全状况检查等工作。现将全市司法行政系统信息网络安全状况通报如下:一、进一步加强信息网络安全管理工作的重要性一年来,全市司法行政系统随着“一网两站”建设的完成及办公OA系统的应用, 抓硬件基础、抓软件载体、抓实际应用,使信息化建设迈出可喜步伐。目前,全系统的计算机使用和网络应用越来越普及,在司法行政工作中发挥了重要作用。由于我市司法行政系统信息化工作起步时间不长,计算机使用及信息网络安全管理和安全技术防范等工作滞后,计算机中毒、操作系统崩溃、网络黑客攻击、网上浏览有害信息、安装使用非法软件,计算机房管理不规范,网站管理密码长期不更换等网络安全事件也时有发生,并呈逐步增多趋势。这些情况引起了市局信息化领导小组的高度重视,及时采取了一系列工作措施,全面促进了我市司法行政系统提高自我保护和安全防范意识。但是,通过检查检测工作还是暴露出了不少问题和安全隐患,充分体现了信息网络安全管理工作的长期性、艰巨性、复杂性,全系统仍需不断完善这项系统工作。二、信息网络安全检查情况和主要安全隐患今年下半年,在各单位自查的基础上,市局信息中心制定了全面的检查规范,从10月底至12月中旬,先后多次对各县(市、区)司法局信息化建设及信息网络安全管理状况进行了全面检查,并为每个单位出具了检查情况测评表,共提出整改意见120余条。检测发现各单位信息网络普遍存在安全漏洞,暴露出来的安全隐患集中表现在以下几个方面:1、安全保护管理规章制度不健全,对网络资源和应用情况不掌握,缺少内部监督制约机制,忽视内部安全风险。多数单位虽然建立了一些网络安全管理制度,但在信息发布审核制度、交互式栏目定期巡查制度、病毒检测和网络安全漏洞检测制度、账号使用登记及操作权限管理等关键制度不健全、不系统,并缺少责任制来落实。有的单位的信息网络安全管理组织不健全,部门不明确,人员配备不合理,忽视网络安全法律法规教育,对自身网络资源及设备,网络服务内容及项目等情况不掌握。各单位普遍对网管人员缺少监督制约机制,多数单位只有一个兼职网络管理员,这些人员中具有计算机专业学历的人数不多。有的单位对关键服务器和防火墙不掌握系统管理权限,使本单位网络安全处于失控状态。2、缺乏网络安全管理技术手段,网络安全设置不到位,安全漏洞形式多样、问题突出。一是各单位内外网不分的现象虽然得到纠正,但在管理使用上仍然存在着重外网,轻内网的现象。有的单位内网的使用长期闲置,外网的使用计算机不安装防火墙和杀毒软件,遭受黑客和病毒攻击风险概率极大;二是忽视内网安全防范技术措施。服务器账号密码与用户名相同甚至弱密码、空密码;系统补丁更新不及时;开放大量不必要的服务和端口;管理权限混乱等等。有1家单位服务器已经中了蠕虫病毒或木马程序,导致网络阻塞。三是缺乏有效的上网信息审计系统和系统运行日志保存等技术措施。各单位基本上没有登录互联网的专用服务器,对各科(股)室上网没有监控,也没有上网历史纪录日志;临泉局、颍上局对网站留言板栏目未落实巡视制度,使得交互式栏目长期存在大量垃圾和有害信息。四是重建设轻管理,防火墙、防病毒等安全设施不及时部署或者形同虚设。阜南局、颍上局、太和局三家单位尚未投入资金购置防火墙设备;颍上局、颍泉局、颍东局、太和局有的虽然购置了防病毒软件但目前都没有安装使用;阜南局服务器电池组损坏后没有及时维修;太和局内网服务器长期闲置不用。检查中发现有的单位购置的交换机、防火墙等网络安全设施,仅仅实现网络连通,未对安全项目进行有效配置,安全性形同虚设。三、进一步采取措施,落实信息网络安全管理长效机制。为了纠正信息网络工作暴露出来的安全隐患,切实对存在问题进行整改,下一步要做好以下几方面工作: 1、不断规范网络安全管理组织,落实安全管理责任制。没有建立组织的要尽快建立,要落实领导负责制,合理配备计算机安全管理员,加强网络管理技术培训,落实双人以上网络管理制度,完善内部监督制约机制。要定期开展网络安全检查、检测工作,堵塞漏洞,减少安全隐患。2、加强网络使用备案工作,明了自身网络资源和网络应用项目,做好IP、网络拓扑、网络应用等关键项目的登记及备案工作。3、加强互联网等法律法规宣传教育和学习工作,完善计算机操作使用的培训工作,督促各单位机关科(股)室负责人履行网络安全使用、管理、宣传、引导等工作职责。4、健全和落实各项管理制度。各单位要尽快建立并落实计算机机房安全管理制度;机房设施定期检查制度;网络管理人员岗位职责和任免制度;信息发布审核、登记制度;信息监视、保存、清除和备份制度;病毒检测和网络安全检测制度;账号使用登记和操作权限管理制度;应急处理制度;计算机管理和上网制度;安全教育和培训制度以及其他与安全防护相关的管理制度等。5、落实网络安全技术防护措施。建立系统运行日志、网络运行日志、用户使用日志,规范使用防火墙和防杀病毒软件,加强入侵检测和防护技术的应用,提高信息安全设施的使用、管理、维护、更新工作,全面提升信息网络安全防护等级。市局信息中心将继续加强全市司法行政系统信息化工作的指导、检查、督促工作,不断巩固、推动信息网络安全管理工作不断进步。2006年12月15日
关于全市司法行政系统信息网络安全管理工作的情况通报 今年以来,我市司法行政系统按照省司法厅信息化建设工作部署,采取了一系列切实可行的工作措施,市司法局先后下发了《关于做好全市司法行政系统网站建设和信息资源维护工作的通知》、《阜阳市司法行政系统网站管理暂行办法》、《全市司法行政系统网站考核办法》和《关于进一步加快信息化建设工作的实施意见 》等文件,对加快信息化建设和计算机管理使用及信息网络安全提出了要求,进一步明确了信息化建设与管理、网站信息发布与安全、网络运行与安全等措施,并集中了大量人力、物力陆续开展了计算机技术人员培训、信息网络安全状况检查等工作。现将全市司法行政系统信息网络安全状况通报如下:一、进一步加强信息网络安全管理工作的重要性一年来,全市司法行政系统随着“一网两站”建设的完成及办公OA系统的应用, 抓硬件基础、抓软件载体、抓实际应用,使信息化建设迈出可喜步伐。目前,全系统的计算机使用和网络应用越来越普及,在司法行政工作中发挥了重要作用。由于我市司法行政系统信息化工作起步时间不长,计算机使用及信息网络安全管理和安全技术防范等工作滞后,计算机中毒、操作系统崩溃、网络黑客攻击、网上浏览有害信息、安装使用非法软件,计算机房管理不规范,网站管理密码长期不更换等网络安全事件也时有发生,并呈逐步增多趋势。这些情况引起了市局信息化领导小组的高度重视,及时采取了一系列工作措施,全面促进了我市司法行政系统提高自我保护和安全防范意识。但是,通过检查检测工作还是暴露出了不少问题和安全隐患,充分体现了信息网络安全管理工作的长期性、艰巨性、复杂性,全系统仍需不断完善这项系统工作。二、信息网络安全检查情况和主要安全隐患今年下半年,在各单位自查的基础上,市局信息中心制定了全面的检查规范,从10月底至12月中旬,先后多次对各县(市、区)司法局信息化建设及信息网络安全管理状况进行了全面检查,并为每个单位出具了检查情况测评表,共提出整改意见120余条。检测发现各单位信息网络普遍存在安全漏洞,暴露出来的安全隐患集中表现在以下几个方面:1、安全保护管理规章制度不健全,对网络资源和应用情况不掌握,缺少内部监督制约机制,忽视内部安全风险。多数单位虽然建立了一些网络安全管理制度,但在信息发布审核制度、交互式栏目定期巡查制度、病毒检测和网络安全漏洞检测制度、账号使用登记及操作权限管理等关键制度不健全、不系统,并缺少责任制来落实。有的单位的信息网络安全管理组织不健全,部门不明确,人员配备不合理,忽视网络安全法律法规教育,对自身网络资源及设备,网络服务内容及项目等情况不掌握。各单位普遍对网管人员缺少监督制约机制,多数单位只有一个兼职网络管理员,这些人员中具有计算机专业学历的人数不多。有的单位对关键服务器和防火墙不掌握系统管理权限,使本单位网络安全处于失控状态。2、缺乏网络安全管理技术手段,网络安全设置不到位,安全漏洞形式多样、问题突出。一是各单位内外网不分的现象虽然得到纠正,但在管理使用上仍然存在着重外网,轻内网的现象。有的单位内网的使用长期闲置,外网的使用计算机不安装防火墙和杀毒软件,遭受黑客和病毒攻击风险概率极大;二是忽视内网安全防范技术措施。服务器账号密码与用户名相同甚至弱密码、空密码;系统补丁更新不及时;开放大量不必要的服务和端口;管理权限混乱等等。有1家单位服务器已经中了蠕虫病毒或木马程序,导致网络阻塞。三是缺乏有效的上网信息审计系统和系统运行日志保存等技术措施。各单位基本上没有登录互联网的专用服务器,对各科(股)室上网没有监控,也没有上网历史纪录日志;临泉局、颍上局对网站留言板栏目未落实巡视制度,使得交互式栏目长期存在大量垃圾和有害信息。四是重建设轻管理,防火墙、防病毒等安全设施不及时部署或者形同虚设。阜南局、颍上局、太和局三家单位尚未投入资金购置防火墙设备;颍上局、颍泉局、颍东局、太和局有的虽然购置了防病毒软件但目前都没有安装使用;阜南局服务器电池组损坏后没有及时维修;太和局内网服务器长期闲置不用。检查中发现有的单位购置的交换机、防火墙等网络安全设施,仅仅实现网络连通,未对安全项目进行有效配置,安全性形同虚设。三、进一步采取措施,落实信息网络安全管理长效机制。为了纠正信息网络工作暴露出来的安全隐患,切实对存在问题进行整改,下一步要做好以下几方面工作: 1、不断规范网络安全管理组织,落实安全管理责任制。没有建立组织的要尽快建立,要落实领导负责制,合理配备计算机安全管理员,加强网络管理技术培训,落实双人以上网络管理制度,完善内部监督制约机制。要定期开展网络安全检查、检测工作,堵塞漏洞,减少安全隐患。2、加强网络使用备案工作,明了自身网络资源和网络应用项目,做好IP、网络拓扑、网络应用等关键项目的登记及备案工作。3、加强互联网等法律法规宣传教育和学习工作,完善计算机操作使用的培训工作,督促各单位机关科(股)室负责人履行网络安全使用、管理、宣传、引导等工作职责。4、健全和落实各项管理制度。各单位要尽快建立并落实计算机机房安全管理制度;机房设施定期检查制度;网络管理人员岗位职责和任免制度;信息发布审核、登记制度;信息监视、保存、清除和备份制度;病毒检测和网络安全检测制度;账号使用登记和操作权限管理制度;应急处理制度;计算机管理和上网制度;安全教育和培训制度以及其他与安全防护相关的管理制度等。5、落实网络安全技术防护措施。建立系统运行日志、网络运行日志、用户使用日志,规范使用防火墙和防杀病毒软件,加强入侵检测和防护技术的应用,提高信息安全设施的使用、管理、维护、更新工作,全面提升信息网络安全防护等级。市局信息中心将继续加强全市司法行政系统信息化工作的指导、检查、督促工作,不断巩固、推动信息网络安全管理工作不断进步。2006年12月15日