关于全市司法行政系统信息网络安全管理工作的情况通报

关于全市司法行政系统信息网络安全管理工作的情况通报 今年以来，我市司法行政系统按照省司法厅信息化建设工作部署，采取了一系列切实可行的工作措施，市司法局先后下发了《关于做好全市司法行政系统网站建设和信息资源维护工作的通知》、《阜阳市司法行政系统网站管理暂行办法》、《全市司法行政系统网站考核办法》和《关于进一步加快信息化建设工作的实施意见 》等文件，对加快信息化建设和计算机管理使用及信息网络安全提出了要求，进一步明确了信息化建设与管理、网站信息发布与安全、网络运行与安全等措施，并集中了大量人力、物力陆续开展了计算机技术人员培训、信息网络安全状况检查等工作。现将全市司法行政系统信息网络安全状况通报如下：一、进一步加强信息网络安全管理工作的重要性一年来，全市司法行政系统随着“一网两站”建设的完成及办公OA系统的应用， 抓硬件基础、抓软件载体、抓实际应用，使信息化建设迈出可喜步伐。目前，全系统的计算机使用和网络应用越来越普及，在司法行政工作中发挥了重要作用。由于我市司法行政系统信息化工作起步时间不长，计算机使用及信息网络安全管理和安全技术防范等工作滞后，计算机中毒、操作系统崩溃、网络黑客攻击、网上浏览有害信息、安装使用非法软件，计算机房管理不规范，网站管理密码长期不更换等网络安全事件也时有发生，并呈逐步增多趋势。这些情况引起了市局信息化领导小组的高度重视，及时采取了一系列工作措施，全面促进了我市司法行政系统提高自我保护和安全防范意识。但是，通过检查检测工作还是暴露出了不少问题和安全隐患，充分体现了信息网络安全管理工作的长期性、艰巨性、复杂性，全系统仍需不断完善这项系统工作。二、信息网络安全检查情况和主要安全隐患今年下半年，在各单位自查的基础上，市局信息中心制定了全面的检查规范，从10月底至12月中旬，先后多次对各县（市、区）司法局信息化建设及信息网络安全管理状况进行了全面检查，并为每个单位出具了检查情况测评表，共提出整改意见120余条。检测发现各单位信息网络普遍存在安全漏洞，暴露出来的安全隐患集中表现在以下几个方面：1、安全保护管理规章制度不健全，对网络资源和应用情况不掌握，缺少内部监督制约机制，忽视内部安全风险。多数单位虽然建立了一些网络安全管理制度，但在信息发布审核制度、交互式栏目定期巡查制度、病毒检测和网络安全漏洞检测制度、账号使用登记及操作权限管理等关键制度不健全、不系统，并缺少责任制来落实。有的单位的信息网络安全管理组织不健全，部门不明确，人员配备不合理，忽视网络安全法律法规教育，对自身网络资源及设备，网络服务内容及项目等情况不掌握。各单位普遍对网管人员缺少监督制约机制，多数单位只有一个兼职网络管理员，这些人员中具有计算机专业学历的人数不多。有的单位对关键服务器和防火墙不掌握系统管理权限，使本单位网络安全处于失控状态。2、缺乏网络安全管理技术手段，网络安全设置不到位，安全漏洞形式多样、问题突出。一是各单位内外网不分的现象虽然得到纠正，但在管理使用上仍然存在着重外网，轻内网的现象。有的单位内网的使用长期闲置，外网的使用计算机不安装防火墙和杀毒软件，遭受黑客和病毒攻击风险概率极大；二是忽视内网安全防范技术措施。服务器账号密码与用户名相同甚至弱密码、空密码；系统补丁更新不及时；开放大量不必要的服务和端口；管理权限混乱等等。有1家单位服务器已经中了蠕虫病毒或木马程序，导致网络阻塞。三是缺乏有效的上网信息审计系统和系统运行日志保存等技术措施。各单位基本上没有登录互联网的专用服务器，对各科（股）室上网没有监控，也没有上网历史纪录日志；临泉局、颍上局对网站留言板栏目未落实巡视制度，使得交互式栏目长期存在大量垃圾和有害信息。四是重建设轻管理，防火墙、防病毒等安全设施不及时部署或者形同虚设。阜南局、颍上局、太和局三家单位尚未投入资金购置防火墙设备；颍上局、颍泉局、颍东局、太和局有的虽然购置了防病毒软件但目前都没有安装使用；阜南局服务器电池组损坏后没有及时维修；太和局内网服务器长期闲置不用。检查中发现有的单位购置的交换机、防火墙等网络安全设施，仅仅实现网络连通，未对安全项目进行有效配置，安全性形同虚设。三、进一步采取措施，落实信息网络安全管理长效机制。为了纠正信息网络工作暴露出来的安全隐患，切实对存在问题进行整改，下一步要做好以下几方面工作： 1、不断规范网络安全管理组织，落实安全管理责任制。没有建立组织的要尽快建立，要落实领导负责制，合理配备计算机安全管理员，加强网络管理技术培训，落实双人以上网络管理制度，完善内部监督制约机制。要定期开展网络安全检查、检测工作，堵塞漏洞，减少安全隐患。2、加强网络使用备案工作，明了自身网络资源和网络应用项目，做好IP、网络拓扑、网络应用等关键项目的登记及备案工作。3、加强互联网等法律法规宣传教育和学习工作，完善计算机操作使用的培训工作，督促各单位机关科（股）室负责人履行网络安全使用、管理、宣传、引导等工作职责。4、健全和落实各项管理制度。各单位要尽快建立并落实计算机机房安全管理制度；机房设施定期检查制度；网络管理人员岗位职责和任免制度；信息发布审核、登记制度；信息监视、保存、清除和备份制度；病毒检测和网络安全检测制度；账号使用登记和操作权限管理制度；应急处理制度；计算机管理和上网制度；安全教育和培训制度以及其他与安全防护相关的管理制度等。5、落实网络安全技术防护措施。建立系统运行日志、网络运行日志、用户使用日志，规范使用防火墙和防杀病毒软件，加强入侵检测和防护技术的应用，提高信息安全设施的使用、管理、维护、更新工作，全面提升信息网络安全防护等级。市局信息中心将继续加强全市司法行政系统信息化工作的指导、检查、督促工作，不断巩固、推动信息网络安全管理工作不断进步。2006年12月15日

关于全市司法行政系统信息网络安全管理工作的情况通报 今年以来，我市司法行政系统按照省司法厅信息化建设工作部署，采取了一系列切实可行的工作措施，市司法局先后下发了《关于做好全市司法行政系统网站建设和信息资源维护工作的通知》、《阜阳市司法行政系统网站管理暂行办法》、《全市司法行政系统网站考核办法》和《关于进一步加快信息化建设工作的实施意见 》等文件，对加快信息化建设和计算机管理使用及信息网络安全提出了要求，进一步明确了信息化建设与管理、网站信息发布与安全、网络运行与安全等措施，并集中了大量人力、物力陆续开展了计算机技术人员培训、信息网络安全状况检查等工作。现将全市司法行政系统信息网络安全状况通报如下：一、进一步加强信息网络安全管理工作的重要性一年来，全市司法行政系统随着“一网两站”建设的完成及办公OA系统的应用， 抓硬件基础、抓软件载体、抓实际应用，使信息化建设迈出可喜步伐。目前，全系统的计算机使用和网络应用越来越普及，在司法行政工作中发挥了重要作用。由于我市司法行政系统信息化工作起步时间不长，计算机使用及信息网络安全管理和安全技术防范等工作滞后，计算机中毒、操作系统崩溃、网络黑客攻击、网上浏览有害信息、安装使用非法软件，计算机房管理不规范，网站管理密码长期不更换等网络安全事件也时有发生，并呈逐步增多趋势。这些情况引起了市局信息化领导小组的高度重视，及时采取了一系列工作措施，全面促进了我市司法行政系统提高自我保护和安全防范意识。但是，通过检查检测工作还是暴露出了不少问题和安全隐患，充分体现了信息网络安全管理工作的长期性、艰巨性、复杂性，全系统仍需不断完善这项系统工作。二、信息网络安全检查情况和主要安全隐患今年下半年，在各单位自查的基础上，市局信息中心制定了全面的检查规范，从10月底至12月中旬，先后多次对各县（市、区）司法局信息化建设及信息网络安全管理状况进行了全面检查，并为每个单位出具了检查情况测评表，共提出整改意见120余条。检测发现各单位信息网络普遍存在安全漏洞，暴露出来的安全隐患集中表现在以下几个方面：1、安全保护管理规章制度不健全，对网络资源和应用情况不掌握，缺少内部监督制约机制，忽视内部安全风险。多数单位虽然建立了一些网络安全管理制度，但在信息发布审核制度、交互式栏目定期巡查制度、病毒检测和网络安全漏洞检测制度、账号使用登记及操作权限管理等关键制度不健全、不系统，并缺少责任制来落实。有的单位的信息网络安全管理组织不健全，部门不明确，人员配备不合理，忽视网络安全法律法规教育，对自身网络资源及设备，网络服务内容及项目等情况不掌握。各单位普遍对网管人员缺少监督制约机制，多数单位只有一个兼职网络管理员，这些人员中具有计算机专业学历的人数不多。有的单位对关键服务器和防火墙不掌握系统管理权限，使本单位网络安全处于失控状态。2、缺乏网络安全管理技术手段，网络安全设置不到位，安全漏洞形式多样、问题突出。一是各单位内外网不分的现象虽然得到纠正，但在管理使用上仍然存在着重外网，轻内网的现象。有的单位内网的使用长期闲置，外网的使用计算机不安装防火墙和杀毒软件，遭受黑客和病毒攻击风险概率极大；二是忽视内网安全防范技术措施。服务器账号密码与用户名相同甚至弱密码、空密码；系统补丁更新不及时；开放大量不必要的服务和端口；管理权限混乱等等。有1家单位服务器已经中了蠕虫病毒或木马程序，导致网络阻塞。三是缺乏有效的上网信息审计系统和系统运行日志保存等技术措施。各单位基本上没有登录互联网的专用服务器，对各科（股）室上网没有监控，也没有上网历史纪录日志；临泉局、颍上局对网站留言板栏目未落实巡视制度，使得交互式栏目长期存在大量垃圾和有害信息。四是重建设轻管理，防火墙、防病毒等安全设施不及时部署或者形同虚设。阜南局、颍上局、太和局三家单位尚未投入资金购置防火墙设备；颍上局、颍泉局、颍东局、太和局有的虽然购置了防病毒软件但目前都没有安装使用；阜南局服务器电池组损坏后没有及时维修；太和局内网服务器长期闲置不用。检查中发现有的单位购置的交换机、防火墙等网络安全设施，仅仅实现网络连通，未对安全项目进行有效配置，安全性形同虚设。三、进一步采取措施，落实信息网络安全管理长效机制。为了纠正信息网络工作暴露出来的安全隐患，切实对存在问题进行整改，下一步要做好以下几方面工作： 1、不断规范网络安全管理组织，落实安全管理责任制。没有建立组织的要尽快建立，要落实领导负责制，合理配备计算机安全管理员，加强网络管理技术培训，落实双人以上网络管理制度，完善内部监督制约机制。要定期开展网络安全检查、检测工作，堵塞漏洞，减少安全隐患。2、加强网络使用备案工作，明了自身网络资源和网络应用项目，做好IP、网络拓扑、网络应用等关键项目的登记及备案工作。3、加强互联网等法律法规宣传教育和学习工作，完善计算机操作使用的培训工作，督促各单位机关科（股）室负责人履行网络安全使用、管理、宣传、引导等工作职责。4、健全和落实各项管理制度。各单位要尽快建立并落实计算机机房安全管理制度；机房设施定期检查制度；网络管理人员岗位职责和任免制度；信息发布审核、登记制度；信息监视、保存、清除和备份制度；病毒检测和网络安全检测制度；账号使用登记和操作权限管理制度；应急处理制度；计算机管理和上网制度；安全教育和培训制度以及其他与安全防护相关的管理制度等。5、落实网络安全技术防护措施。建立系统运行日志、网络运行日志、用户使用日志，规范使用防火墙和防杀病毒软件，加强入侵检测和防护技术的应用，提高信息安全设施的使用、管理、维护、更新工作，全面提升信息网络安全防护等级。市局信息中心将继续加强全市司法行政系统信息化工作的指导、检查、督促工作，不断巩固、推动信息网络安全管理工作不断进步。2006年12月15日