市环保局信息系统和政府网络网站安全工作自查报告
市委网络安全和信息化领导小组办公室:
xxx市环保局信息网络安全建设在上级部门的关心指导下,近年取得了快速的进步和发展,信息系统和网络的实效性、安全防控能力大大增强。为进一步贯彻落实网络与信息安全各项管理规定,严格规范信息安全等级保护和政府网站安全,提高我局对信息系统和信息网络安全的防控能力,保障我局信息系统和信息网络安全,保证我局各项办公自动化工作的正常进行。根据办【20xx】63号文件要求,我局组织人员对我局重要信息系统和门户网站进行了自查,现将工作情况报告如下。
一、门户网站安全检查情况
我局的信息化建设按照“统一网络、统一平台、统一数据库”的要求,以创建“国家生态文明示范市”为战略目标,以“系统集成、资源整合、信息共享”为工作方针,取得了快速的发展,在积极推进信息化建设的过程中,市环保局将信息系统安全和网站安全工作作为一项重要任务,采取有力措施,积极推进我局信息系统安全和网站安全工作。
(一)安全制度制定落实情况。为确保门户网站信息安全,我局结合自身情况,制定了市环保局读网制度、计算机安全保密制度、网站安全管理制度、网络信息安全突发事件应急预案等工作制度。同时,做到四个确保:一是网站管理员定期检查维护服务器,确保无隐患问题;二是制作安全检查工作记录,确保工作落实;三是实行每周五定期检查网站栏目功能,确保无木马病毒攻击;四是网站安全员不断学习有关网络知识,提高计算机使用水平,确保安全。
(二)网站运维责任明确。成立市环保局信息系统和政府网站安全保护领导小组并确定市环境信息中心为该项工作的责任部门,从技术室抽调工作人员具体负责网站安全防护策略设置,开展网站的日常管理工作。由网站具体负责人员担任网站的安全员,负责门户网站的日常运维。
(三)全面检查网站栏目功能。xxx市环保局门户网共设置了16个主栏目,按要求进行了全面检查。一是对网站首页及所有子页面所包含的内容及链接进行全面检查,确保所有页面有效,链接正常。二是对网站提供的在线咨询、政民互动、在线办事、网站调查等互动栏目进行模拟测试,保证功能正常。
(四)网站内容审查、保密机制健全。按照有关规定制定了信息发布审查、保密机制,所有上网信息均须通过局办审核,信息来源在网页上标明(即有关转载内容标明转载地址,各科室各单位对本部门发布的信息负责),内容更新不得出现有关法律、行政法规禁止的内容,不得出现泄露国家秘密,破坏国家统一,损害国家荣誉和利益,扰乱社会秩序,破坏社会稳定的内容,并严格遵守“上网不涉密,涉密不上网”的规定。
(五)安全防范措施落实情况。1.网站服务器及网站管理后台密码均设置强口令,服务器管理员负责保密管理,用户名和开机密码为其专有,且规定严禁外泄。2.服务器前端安装了硬件防火墙,同时配置了专业杀毒软件,加强了网站服务器防病毒、防攻击、防瘫痪、防泄密等方面的能力。网站所有发布内容经局办审核后一律要通过网站安全员验证才能够发表、修改、删除。
(六)网站应急响应机制建设情况。1.及时对系统和软件进行更新,对网站重要文件、信息资源做到及时备份,数据恢复。2.建立了网站安全事件应急报告制度。3.遇到攻击后,立即保存相关网络日志,断开事故信息点的网络连接,制止有害信息的再传播扩散。
二、信息系统安全保护等级备案情况
根据我局业务类型、应用或服务范围、系统结构以及系统建设规划等基本情况,按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求,认真填写《信息系统安全等级保护备案表》,提交有关备案材料及电子数据文件。受理单位确定xxx市环境保护局协同办公系统(OA系统)和我局门户网站xxx环保网安全保护等级为二级。
三、自查存在的问题、整改方向及建议
(一)自查过程中我们也发现了一些不足。信息系统和政府网站安全保护工作责任重大,技术性强,工作量巨大,我局在该项工作上虽然取得一些进展,但是主管部门要求还有相当的差距,在安全保护意识、宣传力度、技术人才的培养和制度的建立上仍然存在不足。
(二)整改方向。一是加强对局工作人员计算机水平和网络安全意识教育,提高有关人员做好网络安全工作的主动性和自觉性,进一步增加网站防篡改、防攻击、防瘫痪能力。二是要切实增强信息安全制度的落实工作,安排专人,完善设施,密切监测,不定期的对安全制度执行情况进行检查,随时随地解决可能发生的信息系统安全事故。对于导致不良后果的责任人,要严肃追究责任,从而提高人员安全防护意识。
建议:上级主管部门加强工作指导,通过多种方式的技术交流和培训,提高各级政府和各单位领导及职工的安全保护意识,进一步推进信息系统和政府网站安全保护工作。