2016年財政局網絡安全檢查總結報告

網絡的迅速發展，給我們的生活帶了更多便利的同時，也使得網絡結構複雜化，維護難度增大化，計算機網絡系統的安全保護問題也越來越突出。下面是小編整理的，歡迎大家閱讀!

　　【2016年財政局網絡安全檢查總結報告1】

根據自治區財政廳 新財辦[2016] 1 號文件精神和地區財政局金財辦的有關要求，爲進一步健全我局信息網絡安全管理制度，完善信息網絡安全技術措施，提高信息網絡安全防護能力，保障我市金財網信息網絡的安全。近日金財辦對我市金財網信息網絡進行調研，現將調研結果報告如下：

一、上一年度安全問題的整改情況

1、上一年度自查存在的問題

我們在管理過程中發現了一些管理方面存在的薄弱環節，今後我們還要在以下幾個方面進行改進。

1)、專業技術人員較少，信息系統安全方面可投入的力量有限。

2)、是遇到計算機病毒侵襲等突發事件處理不夠及時。

3)、我局的服務器共有14臺，但我們沒有一套網絡管理軟件，平時全靠人工手動去管理，管理難度大，所以平時難免有忘補丁升級的時候，這難免也存在一定的安全風險。

2、整改結果

一是我們將繼續加強計算機安全意識教育培訓和防範技能訓練，讓幹部職工充分認識到網絡安全的嚴重性。人防與技防結合，確實做好單位的網絡安全工作。

二是要切實增強信息安全制度的落實工作，不定期的對安全制度執行情況進行檢查，從而提高人員安全防護意識。

三是要以制度爲根本，在進一步完善信息安全制度的同時，安排專人，完善設施，密切監測，隨時隨地解決可能發生的信息系統安全事故。

二、信息網絡安全保障組織管理

(1)成立了涵蓋財政各項信息系統的管理者、使用者、建設者和運行維護者的信息安全管理工作組織，明確了各主體責任，建立了主體責任分解清單並進行了落實。

(2)組織了信息安全風險隱患評估，從組織體系、制度體系和技術體系三方面落實風險防範措施，並且對這些防範措施進行了落實。

(3)制定了並落實了信息網絡安全管理規章制度。更新了2016年度的管理制度。

(4)制定了年度信息網絡安全工作計劃和工作方案。

(5)開展了信息網絡安全教育培訓，並且有培訓紀錄。

(6)落實了2016年信息安全保障資金，在2016年財政局部門預算進行了落實。

(7)定期向領導彙報了信息安全技術體系日常管理工作，以保障信息安全工作有序開展。

三、信息網絡安全制度體系建設情況

檢查了信息網絡安全管理制度體系。

(1)建立了信息網絡安全管理制度，將信息安全治理工作落實到信息系統的整個生命週期(規劃階段、建設階段、實施階段、驗收階段、使用階段、升級改造階段、報廢階段等)的各個環節。

(2)建立了信息網絡安全管理制度，將信息安全保障工作責任落實到每個相關的干係人(管理者、使用者、建設者、維護者)。

四、日常信息網絡安全管理工作

1、人員管理

(1)落實了崗位信息安全和保密責任制，特別是簽訂了重要崗位信息安全和保密協議，包括：資金計劃審批人、資金支付審批人、信息發佈審覈人、核心數據庫管理人、應用軟件維護人等。

(2)人員權限管理情況，結合烏蘇市財政內部管理控制制度，建立了應用系統權限分配清單，建立權限分配審覈機制，定期檢查權限變更情況。

(3)外部人員訪問機房、核心數據庫和核心設備等重要區域和設備管理情況，建立了訪問登記表，記錄有時間、人員、操作過程等信息。

(4)沒有違反制度規定造成信息網絡安全事件的責任查處情況。

2、資產管理

(1)建立了資產管理制度並進行了落實，資產臺帳清晰、賬物相符;

(2)辦公軟件、應用軟件等安裝與使用都進行了檢查，沒有使用盜版的情況;

(3)計算機及相關設備維修維護、報廢銷燬管理都有相應的登記記錄。

3、信息技術外包服務安全管理

(1)對服務機構性質與背景都有一定的瞭解;

(2)服務合同及安全保密協議都已簽訂，安全責任清晰;

(3)人員現場服務記錄情況，有現場服務監管措施;對中長期派駐人員，制定了嚴格的考勤管理制度。

(4)系統維護方式情況，重點排查了遠程在線服務帶來的安全風險。

4、信息技術產品使用管理

對辦公終端、公文處理軟件、信息安全設備、服務器、網絡設備等使用產品的國產化和安全可控都有一定的要求，特別是2016年度新採購的辦公終端、公文處理軟件、信息網絡安全設備都滿足安全可控要求。

5、信息網絡安全防護技術體系日常管理

1、信息系統日常運行維護管理

(1)系統巡檢管理。建立了定期的系統巡檢機制，主動發現系統故障和隱患，記錄巡檢工作情況。

(2)系統故障管理。通過記錄系統故障事件，可以分析故障產生的原因，提出了安全防護解決方案。

(3)系統配置手冊和文檔管理。收集並整理了應用軟件、中間件、數據庫等操作文檔，定期更新了文檔內容，確保了維護保障工作有據可依。

2、網絡安全防護管理

(1)網絡設備防護。重點檢查了網絡設備配置有效性;賬號口令增加了強度和重新進行了更新。

(2)檢查了防火牆等安全防護設備策略配置的有效性;並重新進行了配置。

(3)預算單位和金融機構接入情況，都按照財政廳的要求統一接入新疆財政，都向自治區財政廳報備，不存在非法接入新疆財政的情況。

(4)定期檢查了網絡通斷情況，截止到目前無通斷情況發生。

(5)定期分析了防火牆等安全設備日誌信息，根據日誌告警信息採取了相應的安全措施。

3、主機安全防護管理

重點檢查了服務器上應用、服務、端口以及系統補丁等情況，關閉了不必要的應用、服務、端口;重新更新賬戶口令和強度;病毒木馬防護情況，使用360專用工具軟件定期進行漏洞掃描、病毒木馬檢測。

4、應用軟件安全管理

(1)檢查了管理賬戶和口令，清理了無關賬戶，沒有出現空口令、弱口令和默認口令;

(2)檢查了系統目錄結構，刪除了臨時文件，防止敏感信息泄露;

(3)定期使用專業掃描工具檢查應用軟件漏洞;

5、終端計算機安全管理

財政局內部及各預算單位終端都實行了內外網物理隔離，做到了專機專用。

(1)終端安全管理系統的部署和使用情況，啓用了相應的管理策略(非法接入阻斷、IP和MAC地址綁定、移動存儲介質管理);

(2)重新更新了賬戶口令和強度。

(3)使用了專用的技術工具軟件定期進行漏洞掃描、病毒木馬檢測;

(4)安裝了統一的殺毒軟件並定期進行更新;

(5)有明確標識;

(6)沒有使用非涉密計算機處理涉密信息。

6、移動存儲設備安全管理

(1)啓用了終端安全管理系統移動存儲介質管理策略;

(2)對內外網使用的移動存儲介質進行了統一管理和標識。

五、信息網絡安全應急管理

1、應急預案。修訂了本單位信息網絡安全應急預案並進行了培訓。分別建立停電、空調停機、服務器故障、存儲故障、數據庫故障、外網攻擊事件、節假日期間系統故障等情況下的應急預案，技術部門建立了技術應急預案，業務部門也建立了在信息系統短期內無法恢復的情況下，還能正常開展業務工作的應急預案。

2、應急演練。準備在下半年對信息網絡安全進行應急演練;

3、應急技術支援。明確了應急技術支援隊伍。並且與簽訂了服務合同及安全保密協議簽訂情況，瞭解並掌握應急技術支援隊伍基本情況以及開展的技術支援活動。

4、數據備份。對重要數據和重要信息系統都進行了異地雙備份。

5、信息網絡安全事件應急處置。沒有發生的信息網絡安全事件。

六、信息網絡安全教育培訓

準備在下半年對機關工作人員參加信息網絡安全基本技能進行培訓，對信息網絡安全管理技術人員也準備對其進行信息網絡安全專業的專業培訓。

七、自查存在的問題

烏蘇市金財網絡安全工作情況良好，不存在大的安全隱患，但也有一些不足，今後我們還要在以下幾個方面進行改進。

一是預算單位在接入金財網後缺乏網絡安全意識，對網絡安全的認識還不夠充分。

二是個別預算單位不採用財政提供的網絡版殺毒軟件，但自己的殺毒軟件又不能正常升級。

三是專業技術人員較少，信息系統安全方面可投入的力量有限。

八、整改方向

一是加強對全局幹部職工及各預算單位接入金財內網使用人員的計算機安全意識教育和防範技能訓練，使其進一步認識到信息網絡安全的重要性，把信息安全保護意識真正融於工作當中。

二是對預算單位接入金財內網但殺毒軟件未正常升級的電腦，安裝網絡版殺毒軟件，再對其計算機進行徹底掃描殺毒。

三是進一步完善健全金財網絡安全管理制度，做到人防與技防相結合，真正建立起金財網絡與信息安全工作的一道屏障。

四是加強與地區財政局信息網絡中心及其他兄弟縣市信息中心的聯繫，認真學習好的經驗和做法，確保烏蘇金財網絡安全工作取得更大的成績。

總之，在以後的工作中，針對我們的不足及問題，努力整改，在現有的基礎上，盡最大努力把我局金財網絡安全工作做到更好，也殷切期望相關領導給我們指點迷津。

　　【2016年財政局網絡安全檢查總結報告2】

財政廳的財政信息化建設，以1987年省財政廳財稅計算處成立爲標誌，經過25年的發展，特別是20**年1月25日“金財工程”正式啓動後的高速發展，已經形成了一套完整的系統，爲省財政廳財政管理的科學化、精細化提供強有力的支撐。爲確保信息化系統的安全暢通，廳信息網絡中心在今年5月份完成隱患排查的基礎上，8月份又組織了信息安全自查，現將有關情況報告如下。

一、信息化系統安全管理情況

我廳對信息化系統安全工作非常重視，把保安全、保暢通作爲信息化系統管理工作的重中之重。2007年12月18日成立了廳信息化工作領導小組及其辦公室，2008年7月3日印發的廳領導小組辦公室內部管理職責中明確規定，技術項目組負責信息安全及信息安全等級保護有關工作，並責成專人負責網絡與信息安全。在領導小組領導下，廳信息網絡中心採取了一系列針對性的措施，力求從根本上解決信息化系統安全管理問題。

一是建立健全安全運行的管理制度。制定了《山西省財政廳計算機及網絡保密管理(暫行)辦法》、《省級政府財政管理信息系統用戶和登錄密碼管理(暫行)辦法》、《山西省財政廳服務器內部託管管理辦法》、《山西省財政廳信息網絡中心安全隱患報告和獎勵制度》、《山西省省級財政信息化系統運維外包服務管理辦法》等十幾項安全管理制度。彙編了《山西省財政廳信息化系統運維手冊》、《山西省財政廳信息化管理制度彙編》、《山西省財政廳信息網絡中心工作制度彙編》等工作手冊，切實加強內部信息網絡安全管理。

二是樹立安全運行的工作意識。廳信息網絡中心樹立了“責任、奉獻、創新、合作”的團隊精神和“專業高效、安全暢通”的工作理念。一方面，加強內部安全要求，每兩週與各科室簽訂一次《山西省財政廳信息網絡系統安全運行承諾書》，確保所負責的信息網絡系統安全正常運行。另一方面，與所有應用系統開發商、運維外包服務商、運維外包服務工作人員簽訂《安全保密承諾書》，防止在技術層面和運維方面造成安全隱患。

三是堅持進行日常巡檢和隱患排查。在每天對設備系統進行巡檢的基礎上，廳信息網絡中心還定期進行更深層次的隱患排查。今年的隱患排查歷時2個月，對現有的軟硬件基礎設施進行了全面系統的排查，並對排查過程中收集到的信息進行了彙總分析，提出了整改意見。力圖通過整改，促進省級財政系統整體的穩定性、安全性再上一個新臺階。

四是加強安全教育與培訓。採用“走出去、請進來”的方法，一方面舉辦多期面向技術人員和全廳幹部的網絡安全技術和基本防範知識培訓，引導大家重視信息安全工作，樹立安全防範意識。另一方面，派出多人多批次參加財政部和省有關機構組織的網絡信息安全技能培訓，提高安全防範專業技能。

二、信息化系統安全技術防護情況

近年來，中心根據實際工作需要和財政部要求，部署了一系列安全防護系統，用技術來提高我廳財政信息化系統防護能力。

應用系統技術防範方面。建立了本地數據備份存儲系統，實現了重要系統設備雙機熱備，主要服務器磁盤採用raid 5冗餘技術，儘量避免單點故障。建設了省、市兩級的財政身份認證與授權管理系統(ca)，在應用層面上進一步推進信息系統信任體系建設。採用了國家認定的傳輸加密技術，對財政資金清算系統、公文傳輸等核心系統進行加密處理。部署了安全審計系統，爲事後追蹤提供技術支撐。設置了服務器開機和應用軟件登錄密碼，與ca一同實現應用系統的雙因子認證，杜絕非法訪問確保信息傳輸安全。建設了itsm運維管理系統，使用hp openview nnm對網絡進行管理和監控。

網絡安全建設方面。進行了“金財工程”一期(省級)網絡安全建設，引入了項目監理機制，對財政業務專網進行了安全風險評估，對內外網設備、數據庫和安全策略進行了整合加固。採用多層防護體系，按重要性和功能劃分安全域(包括設備位置調整和網絡邏輯隔離)，對財政核心業務數據進行重點安全防護，強化分域管控與網絡邊界防護。對流量密集和重要區域採用雙鏈路設備冗餘，增配更新了防火牆、ids等。部署了網頁防篡改和防垃圾郵件系統。實施了內、外網物理隔離，部署了防火牆、防病毒軟件、入侵檢測、漏洞掃描等基礎安全設施。

終端管理方面。採用了“雙機雙網”或“單機加裝隔離卡”上網方式，統一安裝了防殺病毒軟件和正版軟件，客戶端安全管理與監控系統也正在實施中。

物理環境安全防範方面。廳機關機房採用玻璃隔斷門禁+防盜鐵門雙門禁系統，劃分不同的功能區域，網絡設備和服務器按功能和重要性分別防置於不同的機櫃中由專人管理。配備了自動火災探測系統、二氧化碳專用滅火器和火探管式自動探火機滅火裝置。配備了2臺24小時連續運行的機房專用空調，自動恆溫恆溼。配備了 120kva×2雙機冗餘ups不間斷電源系統，12小時後備電池，雙迴路電源供電。部署了vista機房環境監控系統，實現了對門禁、環境與環境設備(電源、空調、ups、漏水、溫溼度)的監控和遠程短信報警等。記錄介質專人保存、機房外圍安裝有24小時全天候紅外線監控探頭。

三、信息化系統應急處置與容災備份情況

應急處置方面。建立了《山西省省級財政信息網絡和系統突發事件應急處理預案 v1.0》，並正在進行修訂升級。對主要信息系統(網絡、ca、oa)每天實行零故障報告制度，要求所有運維人員對風險較高的系統維護，只能在非上班時間進行。部署了san+nas相結合的存儲備份系統，爲主要應用系統數據進行定期和增量備份。

容災備份方面。在XX市財政局綜合辦公大樓建立了全省財政數據異地災備中心，對全省各市的3個主要應用系統和省級的9個核心應用系統的數據每天進行4次備份。今年6月17日成功舉行了災備恢復演練，人民網、山西電視臺、中國財經報、山西日報等新聞媒體進行了報道。採取了建立聯繫人制度、實現專線網絡雙電路雙路由自動切換和提高數據同步頻率等措施，確保災備中心備份數據的完整性和可靠性。

四、存在的問題與面臨的風險

整體來看，我廳財政信息化系統防範措施到位，安全狀況良好，能夠滿足目前財政管理科學化、精細化的需要。但從現狀和長遠來看，也存在一些問題，面臨着一定風險。

一是網絡邊界越來越模糊。隨着財政信息系統數量的增加、應用的深入、業務的延伸和功能擴展，財政業務專網與人民銀行、商業代理銀行和預算單位的網絡連接越來越多，關係越來越複雜，網絡邊界越來越難以控制。

二是操作系統打補丁與應用系統穩定運行的矛盾越來越突出。我廳在利用漏洞掃描系統對所有內、外網服務器掃描後，發現了多個操作系統和應用軟件方面的漏洞，以及系統存在的“弱口令賬號”等問題。發現的漏洞已通知服務器管理部門、業務處室及應用系統開發商，但受限於對業務應用系統的熟悉程度，以及從謹慎角度出發，考慮到打補丁後會影響原基於舊版本操作系統和數據庫下開發的應用軟件的正常運行，目前還在與應用系統的開發商協商研究當中，未能進行更新。

三是外部非法侵入的風險越來越大。在今年5月份例行查看外網ips時，發現了針對省註冊會計師管理協會網站web服務器的入侵告警。雖然採取了升級ips攻擊防禦特徵庫和修改sql server數據庫默認的服務端等措施，保證了該服務器被黑客控制時，不會嚴重影響廳外網其他用戶的正常使用。但隨着網絡與信息安全攻防矛盾的加劇，類似這樣的攻擊，預計以後會越來越多，需要更多的技術支持與公安網監部門的介入。

更多熱門自查報告推薦：

1.2016年網絡安全檢查總結報告

2.2016年國土局網絡安全檢查總結報告

3.網絡安全檢查總結報告

4.2016網絡與信息安全自查報告

5.2016年關鍵信息基礎設施網絡安全檢查總結報告