稅務(wù)系統(tǒng)信息安全策略

稅務(wù)系統(tǒng)信息安全策略最新文檔(可以直接使用，可編輯最新文檔，歡迎下載）

論文編號：6G21112101稅務(wù)系統(tǒng)信息安全策略最新文檔(可以直接使用，可編輯最新文檔，歡迎下載）稅務(wù)系統(tǒng)信息安全策略劉宏斌李懷永內(nèi)容題要：隨著稅收信息化程度不斷提高，稅收工作對信息系統(tǒng)的依賴性不斷增大，稅務(wù)信息安全顯得更加重要。本文主要通過分析稅務(wù)信息化的網(wǎng)絡(luò)安全的重要性和內(nèi)部網(wǎng)網(wǎng)絡(luò)信息存在的安全問題來提出稅務(wù)信息化的網(wǎng)絡(luò)安全實施方案。關(guān)鍵詞：稅務(wù)信息化、信息安全、安全策略計算機軟硬件技術(shù)的發(fā)展和互聯(lián)網(wǎng)技術(shù)的普及，為電子稅務(wù)的發(fā)展奠定了基礎(chǔ)。尤其是國家金稅工程的建設(shè)和應(yīng)用，使稅務(wù)部門在遏止騙稅和稅款流失上取得了顯著成效。電子稅務(wù)可以最大限度地確保國家的稅收收入，但卻面臨著系統(tǒng)安全性的難題。雖然我國稅務(wù)信息化建設(shè)自開始金稅工程以來，取得了長足進步，極大提高了稅務(wù)工作效率和質(zhì)量。但稅務(wù)系統(tǒng)本身也暴露出了一系列要改進的問題，各種應(yīng)用軟件自成體系、重復(fù)開發(fā)、信息集中程度低。隨著信息化水平的不斷提高，基于信息網(wǎng)絡(luò)及計算機的犯罪事件也日益增加。稅務(wù)系統(tǒng)所面臨的信息網(wǎng)絡(luò)安全威脅不容忽視。建立稅務(wù)管理信息化網(wǎng)絡(luò)安全體系，要求人們必須提高對網(wǎng)絡(luò)安全重要性的認識，增強防范意識，加強網(wǎng)絡(luò)安全管理，采取先進有效的技術(shù)防范措施。本文主要通過分析稅務(wù)信息化的網(wǎng)絡(luò)安全威脅和內(nèi)部網(wǎng)網(wǎng)絡(luò)信息管理的安全策略和技術(shù)來提出稅務(wù)信息化的網(wǎng)絡(luò)安全實施方案。一、稅務(wù)機關(guān)信息安全的重要性稅收是國家財政收入的重要途徑，相關(guān)的稅務(wù)系統(tǒng)業(yè)務(wù)要求其具有準確性、公證性和完整性的特點，隨著稅收信息化程度不斷提高，稅收工作對信息系統(tǒng)的依賴性不斷增大，稅務(wù)信息安全顯得更加重要。稅務(wù)信息系統(tǒng)已經(jīng)覆蓋到全國鄉(xiāng)鎮(zhèn)，點多面廣，信息安全防范難度加大，稅務(wù)機關(guān)信息系統(tǒng)安全基礎(chǔ)條件不足、管理力量薄弱，成為稅務(wù)信息安全的重點和難點。因此保證稅務(wù)信息系統(tǒng)的安全性意義重大。稅務(wù)系統(tǒng)作為電子政務(wù)系統(tǒng)的一部分，屬國家基礎(chǔ)信息建設(shè)，其基本特點是：網(wǎng)絡(luò)地域廣、信息系統(tǒng)服務(wù)對象復(fù)雜；稅務(wù)信息具有數(shù)據(jù)集中、安全性要求高；應(yīng)用系統(tǒng)的種類較多，網(wǎng)絡(luò)系統(tǒng)安全設(shè)備數(shù)量大，種類多，管理難度大。稅務(wù)系統(tǒng)是一個及其龐大復(fù)雜的系統(tǒng)，從業(yè)務(wù)上有國稅、地稅之分，從地域來說通過總局、省局、市局數(shù)據(jù)中心的三層數(shù)據(jù)分布和總局、省局、市局及縣/區(qū)級、分局/所五層網(wǎng)絡(luò)管理結(jié)構(gòu)。網(wǎng)絡(luò)結(jié)點眾多、網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)出口不計其數(shù)、操作系統(tǒng)種類繁多、應(yīng)用系統(tǒng)五花八門、網(wǎng)絡(luò)機構(gòu)極其復(fù)雜。面對如此復(fù)雜的系統(tǒng)，其內(nèi)部安全隱患隨處可見，經(jīng)過不斷的研究和探索，目前已經(jīng)積累了大量解決稅務(wù)系統(tǒng)信息基礎(chǔ)設(shè)施安全的方法和經(jīng)驗，形成一整套稅務(wù)系統(tǒng)的安全保障方法，相關(guān)安全保障的體系也在不斷完善和發(fā)展中。二、稅務(wù)系統(tǒng)內(nèi)部網(wǎng)存在的安全問題稅務(wù)信息化的網(wǎng)絡(luò)為計算機內(nèi)部網(wǎng)，內(nèi)部網(wǎng)是獨立于其他任何網(wǎng)絡(luò)的獨立網(wǎng)絡(luò),這里所謂的獨立是指的物理上的獨立,因此保證保密內(nèi)部網(wǎng)的網(wǎng)絡(luò)與信息安全也具有特有的要求。稅務(wù)內(nèi)網(wǎng)安全的問題主要表現(xiàn)為：1、物理地域廣。內(nèi)網(wǎng)設(shè)備地理位置分散，內(nèi)網(wǎng)用戶水平參差不齊，承載業(yè)務(wù)不同，安全需求各異，從而決定了內(nèi)網(wǎng)安全建設(shè)的復(fù)雜性和多元性；2、網(wǎng)絡(luò)邊界的擴大。遠程撥號用戶、移動辦公用戶、VPN用戶、分支機構(gòu)、合作伙伴、供應(yīng)商、無線局域網(wǎng)等等已經(jīng)大大地擴展了網(wǎng)絡(luò)的邊界，使得邊界保護更加困難；稅務(wù)分局、稅務(wù)所等分支機構(gòu)的局域網(wǎng)與上級稅務(wù)骨干網(wǎng)的連接，無論采用ADSL、XDSL寬帶，還是采用DDN、SDH專線，基本沒有路由安全和防止入侵的技術(shù)措施。3、病毒/蠕蟲/特洛伊木馬。病毒蠕蟲大規(guī)模泛濫、新的蠕蟲不斷出現(xiàn)，給內(nèi)網(wǎng)用戶帶來損失，以及網(wǎng)絡(luò)出現(xiàn)病毒、蠕蟲攻擊等安全問題后，不能做到及時地阻斷、隔離；一般是以尋找后門、竊取密碼和重要文件為主，還可以對電腦進行跟蹤監(jiān)視、控制、查看、修改資料等操作，具有很強的隱蔽性、突發(fā)性和攻擊性。由于具有很強的隱蔽性，用戶往往是在自己的密碼被盜、機密文件丟失的情況下才知道自己中了木馬。部分內(nèi)部網(wǎng)絡(luò)終端缺少有效的安全防護，業(yè)務(wù)資料和私人信息混存，不設(shè)開機口令，沒有讀寫控制，業(yè)務(wù)系統(tǒng)登錄口令簡單且長期不變，移動存儲設(shè)備不按規(guī)定使用，病毒和垃圾信息充斥。4、身份欺騙。內(nèi)網(wǎng)安全防范措施相對脆弱，不能有效抵御來自內(nèi)外部的入侵和攻擊的問題，安全策略不能得到及時地分發(fā)和執(zhí)行，最終導(dǎo)致安全策略形同虛設(shè)；主要方式有：IP欺騙、ARP欺騙、DNS欺騙、Web欺騙、電子郵件欺騙、源路由欺騙（通過指定路由，以假冒身份與其他主機進行合法通信或發(fā)送假報文，使受攻擊主機出現(xiàn)錯誤動作）、地址欺騙（包括偽造源地址和偽造中間站點）等。5、內(nèi)網(wǎng)非法主機外聯(lián)。非法主機的接入、內(nèi)部網(wǎng)非法通過Modem、無線網(wǎng)卡非法外聯(lián)等的安全防范不足從而引入安全風(fēng)險。有的終端在內(nèi)部網(wǎng)和互聯(lián)網(wǎng)之間來回換用，一些只應(yīng)在內(nèi)部網(wǎng)上運行的操作系統(tǒng)、應(yīng)用軟件和業(yè)務(wù)數(shù)據(jù)沒有與互聯(lián)網(wǎng)實行“隔離”，存在潛在風(fēng)險。6、缺乏上網(wǎng)行為管理監(jiān)控。缺乏對內(nèi)網(wǎng)用戶行為（收發(fā)郵件，Web頁面訪問，文件上傳下載等等）進行監(jiān)控的手段，導(dǎo)致組織機密信息和隱私泄漏。內(nèi)部網(wǎng)上設(shè)備和信息共享范圍廣，信息發(fā)布和公開比較隨意，不少重要或敏感信息只有發(fā)布沒有管理，缺少防止惡意攻擊信息系統(tǒng)和竊取保密信息的技術(shù)手段和措施。內(nèi)外網(wǎng)間的安全解決方案和選購的設(shè)備等，不少沒有經(jīng)過權(quán)威部門的檢測和認定，系統(tǒng)運行中缺少嚴格的跟蹤監(jiān)控，存在安全隱患。7、其他安全威脅緩沖區(qū)溢出。緩沖區(qū)溢出是指當計算機程序向緩沖區(qū)內(nèi)填充的數(shù)據(jù)位數(shù)超過了緩沖區(qū)本身的容量。溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上，一小部分數(shù)據(jù)或者一套指令的溢出就可能導(dǎo)致一個程序或者操作系統(tǒng)崩潰。三、稅務(wù)信息化的網(wǎng)絡(luò)安全實施方案1、做好信息安全風(fēng)險評估為確保稅務(wù)信息資產(chǎn)的安全，應(yīng)定期組織業(yè)務(wù)、技術(shù)和管理等專業(yè)人員進行信息安全風(fēng)險評估，制定科學(xué)的安全預(yù)算。信息安全評估應(yīng)著重于以下問題：（1）確定可能對信息資產(chǎn)造成危害的威脅，包括計算機病毒、黑客和自然災(zāi)害等。（2）通過歷史資料和專家的經(jīng)驗確定威脅實施的可能性。（3）對可能受到威脅影響的信息資產(chǎn)確定其價值、敏感性和嚴重性，以及相應(yīng)的級別，確定所有信息資產(chǎn)的重要程度。（4）對最重要的、最敏感的信息資產(chǎn)，確定一旦威脅發(fā)生其潛在的損失或破壞。（5)準確了解網(wǎng)絡(luò)和系統(tǒng)的安全現(xiàn)狀。（6)明晰網(wǎng)絡(luò)和系統(tǒng)的安全需求。（7）確定網(wǎng)絡(luò)和系統(tǒng)的安全策略。（8）制定網(wǎng)絡(luò)和系統(tǒng)的安全解決方案。（9）向上級提交安全保障體系建設(shè)的意見和建議。（10)通過項目實施和培訓(xùn)，培養(yǎng)自己的安全技術(shù)骨干及隊伍。2、加強信息安全管理信息安全“三分技術(shù)，七分管理”，安全管理是信息安全的核心，建立健全安全管理制度是安全管理的關(guān)鍵。規(guī)范化的安全管理，能夠最大限度地遏制或避免各種危害，是保障計算機信息安全的最重要環(huán)節(jié)。（1）建立健全信息安全管理組織，明確領(lǐng)導(dǎo)體制和工作機制。（2）建立健全信息安全管理制度,落實安全防范責任制。（3）廣泛開展計算機信息安全宣傳，提高全員信息安全意識，建立信息安全培訓(xùn)機制，組織開展多層次、多方位的信息安全培訓(xùn)，提高全員信息安全防范技能。（4）開展經(jīng)常性的安全檢查，切實整改安全隱患，不斷改進信息安全管理工作。（5）科學(xué)評定信息系統(tǒng)及信息資產(chǎn)的重要級別，確定信息安全工作重點，制定近、中、遠期信息安全工作規(guī)劃。3、完善信息安全技術(shù)手段信息安全離不開安全技術(shù)的實施和安全技術(shù)防范體系的建立?；鶎訂挝灰詤f(xié)助和配合總局、省局統(tǒng)一的信息安全體系建設(shè)為主，自主建設(shè)為輔，且以內(nèi)網(wǎng)和內(nèi)部的防范為重點。（1）病毒防范：建立嚴密的、全方位的、統(tǒng)一的網(wǎng)絡(luò)病毒防范系統(tǒng)，實行統(tǒng)一的殺毒組件分發(fā)、維護、更新和報警等，重點防控網(wǎng)絡(luò)終端、移動存儲設(shè)備的病毒入侵和傳染。（2）身份鑒別與訪問控制：嚴格設(shè)定所有應(yīng)用系統(tǒng)用戶的崗位和權(quán)限，改變傳統(tǒng)的用戶名加口令的辦法，使用基于密碼技術(shù)、生物統(tǒng)計技術(shù)等新型的、可靠的電子身份鑒別技術(shù)，把好進入系統(tǒng)的第一道關(guān)卡，防止非授權(quán)用戶進入各級信息系統(tǒng)。（3）安全審計：對網(wǎng)絡(luò)的Web瀏覽、Web發(fā)布、郵件、即時通信、FTP和遠程登錄等行為進行全面審計，對重要數(shù)據(jù)庫的訪問對象、訪問時間、訪問類型和訪問內(nèi)容進行嚴密跟蹤，及時掌握整個網(wǎng)絡(luò)動態(tài)，發(fā)現(xiàn)網(wǎng)絡(luò)入侵和違規(guī)行為，記錄網(wǎng)上一切行為，為安全事件的處置和查證提供全面依據(jù)和確鑿證據(jù)。（4）入侵檢測：對內(nèi)部網(wǎng)中主要的網(wǎng)段進行實時入侵監(jiān)測，動態(tài)地監(jiān)測網(wǎng)絡(luò)內(nèi)部活動并做出及時的響應(yīng)，及時發(fā)現(xiàn)網(wǎng)上攻擊行為并作出得當?shù)奶幹?。?）信息加密：對重要信息資料、數(shù)據(jù)進行加密存儲和傳輸，防止重要信息被篡改、偽造、竊取和泄漏。稅務(wù)機關(guān)要立足實際，切實解決好人員、資金、技術(shù)問題，把信息安全管理工作放在應(yīng)有位置，逐步實現(xiàn)信息安全的規(guī)范化、制度化管理，不斷建立和完善信息安全技術(shù)防范體系，為稅收征管信息化提供有力的安全保障。結(jié)束語解決信息系統(tǒng)的安全不是一個獨立的項目問題，安全策略包括各種安全方案、法律法規(guī)、規(guī)章制度、技術(shù)標準、管理規(guī)范等，是整個信息系統(tǒng)安全建設(shè)的依據(jù)?，F(xiàn)有的安全保障體系一般基于深度防御技術(shù)框架，若能進一步利用現(xiàn)代信息處理技術(shù)中的人工智能技術(shù)、嵌入式技術(shù)、主動技術(shù)、實時技術(shù)等，將形成更加完善的信息安全管理體系。稅務(wù)信息安全直接關(guān)系到稅收信息化建設(shè)的成敗，必須引起稅務(wù)機關(guān)和每一位稅務(wù)人的重視。科學(xué)技術(shù)的發(fā)展不一定能對任何事物的本質(zhì)和現(xiàn)象都產(chǎn)生影響，技術(shù)只有與先進的管理思想、管理體制相結(jié)合，才能產(chǎn)生巨大的效益。參考文獻：戴宗坤,羅萬伯等.信息系統(tǒng)安全[M].電子工業(yè)出版社，2002.黃章勇.信息安全概論.2005年第1版.出版社:北京郵電大學(xué)出版社,2005:7-58孫銳,王純.信息安全原理及應(yīng)用.2003年7月第1版.清華大學(xué)出版社,2003:17-21王聰生.信息與網(wǎng)絡(luò)安全中的若干問題.電力信息化[J],2004(7).白巖,甄真,倫志軍,周芮.計算機網(wǎng)絡(luò)信息管理及其安全.現(xiàn)代情報[J],2006,8(8).王純斌.淺議計算機網(wǎng)絡(luò)信息安全管理.哈爾濱市委黨校學(xué)報[J],2006(9).趙月霞.信息網(wǎng)絡(luò)安全設(shè)計與應(yīng)用.寧夏電力[J],2004(1).陳月波.網(wǎng)絡(luò)信息安全[M].武漢：武漢理工大學(xué)出版社，2005.鐘樂海，王朝斌，李艷梅.網(wǎng)絡(luò)安全技術(shù)[M].北京：電子工業(yè)出版社,2003.張千里.網(wǎng)絡(luò)安全基礎(chǔ)與應(yīng)用[M].北京：人民郵電出版社,2007.吳金龍,蔡燦輝,王晉隆.網(wǎng)絡(luò)安全[M].北京：高等教育出版社,2004.熊心志.計算機網(wǎng)絡(luò)信息安全初探.計算機科學(xué).2006,33卷.B12期:60-62網(wǎng)絡(luò)信息安全及防范技術(shù)分析.中國科技信息.2006,16期:149-151（作者單位：盤錦市大洼縣國稅局）信息安全管理系統(tǒng)一、產(chǎn)品聚焦1、隨著企業(yè)信息化進程的不斷推進，信息安全問題日益凸顯。信息技術(shù)水平不斷在提升的同時，為何信息泄露，信息安全事件仍然時有發(fā)生？2、對于信息安全事件為何我們不能更多的在“事前”及時的發(fā)現(xiàn)并控制，而是在“事后”進行補救？3、信息安全管理工作“三分技術(shù)、七分管理”的原因何在？4、信息安全管理工作種類繁多，安全管理人員疲于應(yīng)付，是否有合適的管理手段對其歸類，有的放矢，加強針對性、提升工作效率？是否需要有持續(xù)提升信息安全意識和增強知識學(xué)習(xí)的管理體系？二、產(chǎn)品簡介該產(chǎn)品通過與企業(yè)信息安全管理的現(xiàn)狀緊密結(jié)合，融合國際主流及先進的風(fēng)險管理方法、工具、設(shè)計理念，有效結(jié)合國內(nèi)外對信息安全管理工作提出的相關(guān)安全標準體系要求，通過建立企業(yè)信息安全風(fēng)險全生命周期、全面風(fēng)險來源、全目標管理的全方位風(fēng)險管理模型，以監(jiān)測預(yù)警防風(fēng)險、風(fēng)險流程查隱患、風(fēng)險應(yīng)對控事態(tài)、監(jiān)督評價促改進、保障體系提意識，保證信息安全風(fēng)險管理在企業(yè)的落地生效。三、產(chǎn)品特點1、業(yè)務(wù)的無縫集成無縫集成企業(yè)終端防護類安全系統(tǒng)、邊界防護類安全系統(tǒng)、系統(tǒng)防護類安全系統(tǒng)、數(shù)據(jù)防護類安全系統(tǒng)、綜合監(jiān)管類安全管理系統(tǒng)以及相關(guān)的基礎(chǔ)認證和授權(quán)平臺等，實現(xiàn)對信息安全事件引發(fā)因素的全面監(jiān)測和智能分析，有的放矢的對信息安全工作進行管理。2、“上醫(yī)未病，自律慎獨”的風(fēng)險管理體系目標鮮明、方法合理、注重實效，為企業(yè)信息化進程保駕護航?；谄髽I(yè)現(xiàn)有管理制度和安全防御體系構(gòu)建，實現(xiàn)系統(tǒng)的行之有效、行之有依。3、合理的改進咨詢建議通過系統(tǒng)建設(shè)對企業(yè)信息安全管理現(xiàn)狀進行梳理和分析，提供合理有效的改進咨詢建議。4、創(chuàng)新實用的管理工具蝴蝶結(jié)模型、風(fēng)險矩陣、風(fēng)險熱圖等主流風(fēng)險管理模型的實用化創(chuàng)新應(yīng)用；德爾菲打分法、層次分析法、灰色評價法等科學(xué)分析方法的靈活嵌入；正態(tài)分布、泊松分布等概率模型的預(yù)測分析，致力于提升風(fēng)險管理工作的精細度和準確度。5、預(yù)置的信息安全風(fēng)險事件庫由信息安全及風(fēng)險管理專家組成的專家團隊結(jié)合國內(nèi)外的相關(guān)信息安全管理標準梳理的風(fēng)險事件庫基礎(chǔ)信息，可在系統(tǒng)建設(shè)初期提供有力的業(yè)務(wù)數(shù)據(jù)支持。6、持續(xù)漸進的信息安全知識管理信息安全風(fēng)險知識管理不僅僅是信息安全相關(guān)知識的積累和技術(shù)的提升、還在于信息安全管理意識的提升，通過信息安全知識管理體系的建立，提升全員的信息安全管理意識，并提供最新的信息安全知識儲備。

四、應(yīng)用效果

對信息安全風(fēng)險管理全過程的數(shù)據(jù)、重點關(guān)注的風(fēng)險主題進行全方位的數(shù)據(jù)分析，采用科學(xué)合理的數(shù)據(jù)分析模型，以靈活多樣化的圖表進行展現(xiàn)以輔助決策。五、產(chǎn)品功能1、目標管理維護企業(yè)信息安全戰(zhàn)略目標、不同層級風(fēng)險管理目標、目標預(yù)警指標、目標風(fēng)險等。以目標為龍頭開展企業(yè)信息安全風(fēng)險管理工作。2、風(fēng)險識別利用層次分析法逐層分析，識別企業(yè)信息安全工作中包含的資產(chǎn)、資產(chǎn)脆弱性和面臨的威脅，全面辨識風(fēng)險源并制定相應(yīng)的防控措施，并針對風(fēng)險事件制定緩解措施。3、風(fēng)險評估創(chuàng)新利用科學(xué)合理的風(fēng)險評估方法對威脅發(fā)生概率、嚴重程度進行評估，量化風(fēng)險指數(shù)，借助評估工具得出防范風(fēng)險優(yōu)先級并對風(fēng)險分布進行展示。4、監(jiān)測預(yù)警依托企業(yè)現(xiàn)有的信息安全防范體系架構(gòu)，設(shè)置風(fēng)險監(jiān)控點，以風(fēng)險管理視角對各重要的信息安全指標進行實時的數(shù)據(jù)監(jiān)控，發(fā)揮信息系統(tǒng)“攝像頭”的職能，針對信息安全關(guān)注的重大風(fēng)險進行實時預(yù)警提示，確保風(fēng)險的提前警示和預(yù)先處理。5、風(fēng)險應(yīng)對通過不同類型風(fēng)險的標準應(yīng)對流程的設(shè)計和維護，結(jié)合現(xiàn)有企業(yè)的信息安全管理現(xiàn)狀和需求，以合理的風(fēng)險應(yīng)對策略應(yīng)對不同的風(fēng)險，確保各類風(fēng)險的應(yīng)對行之有效且不過度。6、監(jiān)督與改進結(jié)合內(nèi)外部風(fēng)險管理要求，以系統(tǒng)自動考評指標和人工考評指標對風(fēng)險管理工作進行量化評價，并以報告等形式結(jié)合系統(tǒng)內(nèi)整改流程推動信息安全風(fēng)險管理的改進。7、風(fēng)險戰(zhàn)略與決策分析運用商務(wù)智能分析原理，通過科學(xué)方法將管理數(shù)據(jù)進行統(tǒng)計分析，為管理層的戰(zhàn)略決策提供數(shù)據(jù)參考和依據(jù)。8、風(fēng)險信息庫風(fēng)險管理基礎(chǔ)信息模塊。同時包含含知識管理、培訓(xùn)管理等。

附件工業(yè)控制系統(tǒng)信息安全自查表填表說明一、組成結(jié)構(gòu)本表包含三個分表：（1）工業(yè)控制系統(tǒng)信息安全檢查情況匯總表（2）工業(yè)控制系統(tǒng)運營單位基本情況表（3）工業(yè)控制系統(tǒng)信息安全自查表二、填寫對象各分表填寫責任人如下：（1）工業(yè)控制系統(tǒng)信息安全檢查情況匯總表：由各地經(jīng)濟和信息化主管部門指定專人負責匯總填寫。（2）工業(yè)控制系統(tǒng)運營單位基本情況表：由各工業(yè)控制系統(tǒng)運營單位指定專人負責填寫。（3）工業(yè)控制系統(tǒng)信息安全自查表：由工業(yè)控制系統(tǒng)運營單位的各工業(yè)控制系統(tǒng)負責人填寫。表1工業(yè)控制系統(tǒng)信息安全檢查情況匯總表市州名稱基本情況重要工業(yè)控制系統(tǒng)1運營單位總數(shù)：家重要工業(yè)控制系統(tǒng)總數(shù)：套系統(tǒng)構(gòu)成情況類型設(shè)備國內(nèi)品牌國外品牌工業(yè)生產(chǎn)控制設(shè)備可邏輯編程控制器（PLC）臺臺分布式控制系統(tǒng)（DCS）臺臺遠程終端設(shè)備（RTU）臺臺數(shù)控機床臺臺工業(yè)機器人臺臺智能儀表臺臺其它臺臺工業(yè)網(wǎng)絡(luò)通信設(shè)備工業(yè)交換機臺臺工業(yè)路由器臺臺串口服務(wù)器臺臺其它臺臺工業(yè)主機設(shè)備工業(yè)主機2臺臺組態(tài)軟件&數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）軟件套套工業(yè)數(shù)據(jù)庫套套其它臺臺工業(yè)生產(chǎn)信息系統(tǒng)制造執(zhí)行系統(tǒng)（MES）套套ERP管理系統(tǒng)套套工業(yè)云套套其它套套工業(yè)網(wǎng)絡(luò)安全設(shè)備工業(yè)防火墻臺臺工業(yè)網(wǎng)閘臺臺主機安全防護設(shè)備臺臺其它臺臺安全軟件選擇與管理情況1、安裝防病毒軟件或應(yīng)用程序白名單軟件的重要工業(yè)控制系統(tǒng)數(shù)量：套2、病毒庫或白名單規(guī)則及時更新的重要工業(yè)控制系統(tǒng)數(shù)量：套3、定期對工業(yè)控制系統(tǒng)進行查殺的重要工業(yè)控制系統(tǒng)數(shù)量：套4、已建立防病毒和惡意軟件入侵管理機制的重要工業(yè)控制系統(tǒng)數(shù)量：套配置和補丁管理情況1、已建立工業(yè)控制網(wǎng)絡(luò)安全配置策略的重要工業(yè)控制系統(tǒng)數(shù)量：套2、已建立工業(yè)主機安全配置策略的重要工業(yè)控制系統(tǒng)數(shù)量：套3、已建立工業(yè)控制設(shè)備安全配置策略的重要工業(yè)控制系統(tǒng)數(shù)量：套4、已建立工業(yè)控制系統(tǒng)配置清單的重要工業(yè)控制系統(tǒng)數(shù)量：套5、定期對配置清單進行更新和維護的重要工業(yè)控制系統(tǒng)數(shù)量：套6、及時修復(fù)重大工控安全漏洞的重要工業(yè)控制系統(tǒng)數(shù)量：套邊界安全防護情況1、直接與企業(yè)網(wǎng)連接的重要工業(yè)控制系統(tǒng)數(shù)量：套2、直接與互聯(lián)網(wǎng)連接的重要工業(yè)控制系統(tǒng)數(shù)量:套3、對工業(yè)控制系統(tǒng)進行安全區(qū)域劃分的重要工業(yè)控制系統(tǒng)數(shù)量：套4、對工業(yè)控制系統(tǒng)安全區(qū)域?qū)嵤┻壿嫺綦x的重要工業(yè)控制系統(tǒng)數(shù)量：套物理和環(huán)境安全防護情況1、已明確劃分重點物理安全防護區(qū)域并建立物理安全防護措施的重要工業(yè)控制系統(tǒng)數(shù)量：套2、拆除或封閉工業(yè)主機上不必要外設(shè)接口的重要工業(yè)控制系統(tǒng)數(shù)量：套3、使用外設(shè)安全管理技術(shù)手段管理外設(shè)接口的重要工業(yè)控制系統(tǒng)數(shù)量：套身份認證情況1、使用身份認證管理手段的重要工業(yè)控制系統(tǒng)數(shù)量：套2、以最小特權(quán)原則分配賬戶權(quán)限的重要工業(yè)控制系統(tǒng)數(shù)量：套3、未使用默認口令或弱口令的重要工業(yè)控制系統(tǒng)數(shù)量：套4、定期更新口令的重要工業(yè)控制系統(tǒng)數(shù)量：套遠程訪問安全情況1、面向互聯(lián)網(wǎng)開通HTTP、FTP等網(wǎng)絡(luò)服務(wù)的重要工業(yè)控制系統(tǒng)數(shù)量：套2、使用數(shù)據(jù)單向訪問控制等策略進行安全加固的重要工業(yè)控制系統(tǒng)數(shù)量：套3、使用VPN等遠程接入方式的重要工業(yè)控制系統(tǒng)數(shù)量：套4、保留工業(yè)控制系統(tǒng)相關(guān)訪問日志的重要工業(yè)控制系統(tǒng)數(shù)量：套安全監(jiān)測和應(yīng)急預(yù)案演練情況1、在工業(yè)控制網(wǎng)絡(luò)部署網(wǎng)絡(luò)安全監(jiān)測設(shè)備的重要工業(yè)控制系統(tǒng)數(shù)量：套2、在重要工業(yè)控制設(shè)備前端已部署具備深度包分析和過濾功能防護設(shè)備的重要工業(yè)控制系統(tǒng)數(shù)量：套3、已制定工控安全事件應(yīng)急響應(yīng)預(yù)案的重要工業(yè)控制系統(tǒng)運營單位數(shù)量：家4、定期對應(yīng)急預(yù)案進行演練的重要工業(yè)控制系統(tǒng)運營單位數(shù)量：家5、對應(yīng)急響應(yīng)預(yù)案進行修訂的重要工業(yè)控制系統(tǒng)運營單位數(shù)量：家資產(chǎn)安全情況1、建立工業(yè)控制系統(tǒng)資產(chǎn)清單的重要工業(yè)控制系統(tǒng)數(shù)量：套2、對關(guān)鍵主機設(shè)備進行冗余配置的重要工業(yè)控制系統(tǒng)數(shù)量：套3、對網(wǎng)絡(luò)設(shè)備進行冗余配置的重要工業(yè)控制系統(tǒng)數(shù)量：套4、對控制組件進行冗余配置的重要工業(yè)控制系統(tǒng)數(shù)量：套數(shù)據(jù)安全情況1、對靜態(tài)存儲的重要工業(yè)數(shù)據(jù)進行保護的重要工業(yè)控制系統(tǒng)數(shù)量：套2、對動態(tài)傳輸?shù)闹匾I(yè)數(shù)據(jù)進行保護的重要工業(yè)控制系統(tǒng)數(shù)量：套3、定期備份關(guān)鍵業(yè)務(wù)數(shù)據(jù)的重要工業(yè)控制系統(tǒng)數(shù)量：套4、對測試數(shù)據(jù)進行保護的重要工業(yè)控制系統(tǒng)數(shù)量：套供應(yīng)鏈管理情況1、合同中已約定服務(wù)商在服務(wù)過程中應(yīng)當承擔的信息安全責任和義務(wù)的重要工業(yè)控制系統(tǒng)數(shù)量：套2、與服務(wù)商簽訂保密協(xié)議的重要工業(yè)控制系統(tǒng)數(shù)量：套落實責任情況1、建立工控安全管理機制的重要工業(yè)控制系統(tǒng)運營單位數(shù)量：家1重要工業(yè)控制系統(tǒng)是指與國家安全、國家經(jīng)濟安全、國計民生緊密相關(guān)的，如鋼鐵、有色、化工、裝備制造、電子信息、核設(shè)施、石油石化、電力、天然氣、水利樞紐、環(huán)境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱等工業(yè)生產(chǎn)領(lǐng)域中的工業(yè)控制系統(tǒng)。2工業(yè)主機是指工業(yè)生產(chǎn)控制各業(yè)務(wù)環(huán)節(jié)涉及組態(tài)、操作、監(jiān)控、數(shù)據(jù)采集與存儲等功能的主機設(shè)備載體，包括工程師站、操作員站、歷史站等。表2工業(yè)控制系統(tǒng)運營單位基本情況表單位信息單位全稱法人代表通訊地址組織機構(gòu)代碼單位網(wǎng)址郵政編碼所屬行業(yè)1銷售收入經(jīng)濟類型□國有事業(yè)單位2□國有及國有控制企業(yè)3（□中央□地方）□股份制企業(yè)□外商及港澳臺投資企業(yè)4□集體企業(yè)□民營企業(yè)□其他：聯(lián)系人姓名職務(wù)所屬部門工作電子郵件工控系統(tǒng)基本情況工業(yè)控制系統(tǒng)總數(shù)量系統(tǒng)名稱系統(tǒng)簡介工業(yè)安全管理情況應(yīng)急預(yù)案演練情況1.工控安全事件應(yīng)急響應(yīng)預(yù)案：□已制定，包括：□應(yīng)急計劃策略和規(guī)程□應(yīng)急計劃培訓(xùn)□應(yīng)急計劃測試與演練□應(yīng)急處理流程□事件監(jiān)控措施□應(yīng)急事件報告流程□應(yīng)急支持資源□應(yīng)急響應(yīng)計劃□其它：□未制定2.急預(yù)案演練情況：□定期開展，演練周期：□本年度已開展□將演練情況報網(wǎng)絡(luò)安全主管部門□未將演練情況報網(wǎng)絡(luò)安全主管部門□應(yīng)急演練結(jié)束后對應(yīng)急預(yù)案進行了評估和適用性修訂□應(yīng)急演練結(jié)束后未對應(yīng)急預(yù)案進行了評估和適用性修訂□本年度未開展□未定期開展落實責任情況1.工控安全管理機制：□已建立，包括：□建立了工業(yè)控制系統(tǒng)安全管理制度□成立了工業(yè)控制系統(tǒng)信息安全協(xié)調(diào)小組□明確了工控安全管理責任人□其它：□未建立注1：工控系統(tǒng)基本情況可另附表說明。注2：此處工業(yè)控制系統(tǒng)的劃分原則為1）具體的完整的工業(yè)控制系統(tǒng)：以企業(yè)工業(yè)自動化生產(chǎn)過程為基礎(chǔ)，屬于企業(yè)的一個自動化生產(chǎn)全過程或一個工業(yè)自動化生產(chǎn)裝置；或者是2）工業(yè)控制系統(tǒng)中相對獨立的一部分：以企業(yè)工業(yè)自動化生產(chǎn)過程的局部環(huán)節(jié)為基礎(chǔ)，屬于企業(yè)的一個自動化生產(chǎn)全過程或一個工業(yè)自動化生產(chǎn)裝置的工業(yè)控制系統(tǒng)中的相對獨立的且物理邊界清晰的某個安全區(qū)域或通信網(wǎng)絡(luò)。1按照《國民經(jīng)濟行業(yè)分類》（GB/T4745-2021）規(guī)定填寫。2按照《事業(yè)單位登記管理暫行條例》登記的，為社會公益目的、由國家機關(guān)舉辦或者其他組織組織利用國有資產(chǎn)舉辦的，從事教育、科技、文化、衛(wèi)生等活動的社會服務(wù)組織。3按照《中華人民共和國企業(yè)法人登記管理條例》登記注冊的三類經(jīng)濟組織：（1）全部資產(chǎn)歸國家所有的（非公司制）國有企業(yè)；（2）全部資產(chǎn)歸國家所有的國有獨資有限責任公司；（3）由國有資本占控制地位的有限責任公司和股份，此處稱國有控股公司。4包括港、澳、臺資本和其他地區(qū)外資資本投資設(shè)立的獨資或控股的獨資公司、有限責任公司和股份。表3工業(yè)控制系統(tǒng)信息安全自查表系統(tǒng)名稱1000t聚己內(nèi)酯DCS控制系統(tǒng)負責人姓名職務(wù)所屬部門工作功能描述（描述該系統(tǒng)的功能、業(yè)務(wù)流程）1、設(shè)備運行工藝參數(shù)監(jiān)控、調(diào)整。2、現(xiàn)場設(shè)備安全運行狀況監(jiān)控、報警。業(yè)務(wù)互聯(lián)（描述與其他工業(yè)控制系統(tǒng)、上層監(jiān)控系統(tǒng)、MES系統(tǒng)互聯(lián)情況）無系統(tǒng)組成結(jié)構(gòu)（描述該工業(yè)控制系統(tǒng)的組成情況、網(wǎng)絡(luò)拓撲圖等）該系統(tǒng)由熔融罐、中間罐、反應(yīng)器、脫揮器、水下切粒機及其他附屬設(shè)備組成。系統(tǒng)構(gòu)成情況類型設(shè)備國內(nèi)品牌國外品牌工業(yè)生產(chǎn)控制設(shè)備可邏輯編程控制器（PLC）臺臺分布式控制系統(tǒng)（DCS）1套臺遠程終端設(shè)備（RTU）臺臺數(shù)控機床臺臺工業(yè)機器人臺臺智能儀表若干臺臺其它臺臺工業(yè)網(wǎng)絡(luò)通信設(shè)備工業(yè)交換機2臺臺工業(yè)路由器臺臺串口服務(wù)器臺臺其它臺臺工業(yè)主機設(shè)備工業(yè)主機12臺臺組態(tài)軟件&數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）軟件1套套工業(yè)數(shù)據(jù)庫1套套其它臺臺工業(yè)生產(chǎn)信息系統(tǒng)制造執(zhí)行系統(tǒng)（MES）套套ERP管理系統(tǒng)套套工業(yè)云套套其它套套工業(yè)網(wǎng)絡(luò)安全設(shè)備工業(yè)防火墻臺臺工業(yè)網(wǎng)閘臺臺主機安全防護設(shè)備臺臺其它臺臺安全軟件選擇與管理情況1.工業(yè)主機防護設(shè)備（如防病毒軟件、應(yīng)用程序白名單軟件）：□已安裝，防護設(shè)備名稱：■未安裝2.及時進行惡意代碼庫或白名單規(guī)則庫更新升級：□是，目前庫版本號：□否，目前庫版本號：3.定期進行系統(tǒng)查殺：□是，查殺時間間隔：■未進行定期查殺4.防病毒和惡意軟件入侵管理機制：□已建立，包括：□定期掃描病毒和惡意軟件□定期更新病毒庫□查殺臨時接入設(shè)備（如臨時接入U盤、移動終端外設(shè)）■未建立配置和補丁管理情況1.工業(yè)控制網(wǎng)絡(luò)安全配置策略：■已建立，包括：■網(wǎng)絡(luò)分區(qū)分域■非必要端口禁用□其它：□未建立2.工業(yè)主機安全配置策略：■已建立，包括：■遠程控制管理禁用■關(guān)閉默認賬戶□最小服務(wù)配置■關(guān)閉非必要文件共享■啟用登錄口令復(fù)雜度要求□其它：□未建立3.工業(yè)控制設(shè)備安全配置策略：□已建立，包括：□口令策略合規(guī)性□其它：■未建立4.工業(yè)控制系統(tǒng)配置清單：■已建立，包括：■設(shè)備名稱■設(shè)備編號■配置策略■配置時間□其它：□未建立5.定期進行配置清單的更新和維護：□是，維護時間間隔：更新時間間隔：■部分是，定期更新和維護的配置清單：時間間隔：半年□否6.及時修復(fù)重大工控安全漏洞：■是□否邊界安全防護情況1.直接與企業(yè)內(nèi)網(wǎng)連接：□是■否，組網(wǎng)方式（單選）：■獨立□使用防護設(shè)備進行隔離，防護設(shè)備名稱及生產(chǎn)廠商：□其它：2.直接與互聯(lián)網(wǎng)連接：□是■否，組網(wǎng)方式（單選）：■獨立□使用防護設(shè)備進行隔離，防護設(shè)備名稱及生產(chǎn)廠商：□通過企業(yè)網(wǎng)連接□其它：3.對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)進行安全域劃分：□是，劃分原則：□安全域重要性□業(yè)務(wù)需求□其它：□■否4.各安全域之間進行邏輯隔離：□是，隔離措施：□防火墻□網(wǎng)閘□其它：■否物理和環(huán)境安全防護情況1.物理安全防護區(qū)域防護措施：□無■門禁系統(tǒng)□專人值守■視頻監(jiān)控□其它：2.拆除或封閉工業(yè)主機外設(shè)接口：■是□否，未拆除或封閉的外設(shè)接口包括：□USB□光驅(qū)□無線□其它：3.使用外設(shè)安全管理技術(shù)手段進行安全管理：□是，方式：□主機外設(shè)統(tǒng)一管理設(shè)備（或軟件）：□隔離存放有外設(shè)接口的工業(yè)主機□其它：■否身份認證情況1.使用身份認證管理手段：■是，包括：■口令密碼□USB-Key□智能卡□生物指紋□其它：2.最小權(quán)限原則分配賬戶權(quán)限：■是□否3.工業(yè)控制系統(tǒng)口令使用：■采用默認口令□采用弱口令□其它：（口令策略要求）4.定期更新口令：□是，更新周期：■否遠程訪問安全情況1.面向互聯(lián)網(wǎng)開通通用網(wǎng)絡(luò)服務(wù)：□是，包括：□HTTP□FTP□Telnet□其它：■否2.使用遠程訪問：□是，安全加固策略：□無□采用數(shù)據(jù)單向訪問控制□其它：■否3.使用遠程維護：□是，安全加固策略：□無□采用虛擬專用網(wǎng)絡(luò)（VPN）□其它：■否4.工業(yè)控制系統(tǒng)相關(guān)訪問日志：□留存，留存期：■未留存安全監(jiān)測情況1.工業(yè)控制系統(tǒng)網(wǎng)絡(luò)部署網(wǎng)絡(luò)安全監(jiān)測設(shè)備：■是，網(wǎng)絡(luò)安全監(jiān)測設(shè)備型號及生產(chǎn)商：□否2.重要工業(yè)控制設(shè)備前端部署具備深度包分析和過濾功能的防護設(shè)備：□是，防護設(shè)備型號及生產(chǎn)商：□否資產(chǎn)安全情況1.工業(yè)控制系統(tǒng)資產(chǎn)清單：■已建立，包括：■設(shè)備名稱■設(shè)備編號■設(shè)備型號■設(shè)備類型■生產(chǎn)廠商■設(shè)備重要程度/密級■設(shè)備版本□啟用時間■責任部門■責任人■使用狀態(tài)□其它：□未建立2.關(guān)鍵主機設(shè)備是否進行硬件冗余：■是□否3.網(wǎng)絡(luò)設(shè)備是否進行硬件冗余：■是□否4.控制組件是否進行硬件冗余：■是□否數(shù)據(jù)安全情況1.對靜態(tài)存儲的重要工業(yè)數(shù)據(jù)進行保護：■是，保護措施：■數(shù)據(jù)加密■隔離存放□訪問權(quán)限控制□其它：□否2.對動態(tài)傳輸?shù)闹匾I(yè)數(shù)據(jù)進行保護：■是，保護措施：■數(shù)據(jù)加密□數(shù)據(jù)隔離□其它：□否3.定期備份關(guān)鍵業(yè)務(wù)數(shù)據(jù)：■是，備份周期：半年□否4.對測試數(shù)據(jù)進行保護：■是，保護措施：■數(shù)據(jù)加密□數(shù)據(jù)銷毀■隔離存放□訪問權(quán)限控制□其它：□否供應(yīng)鏈管理情況1.服務(wù)商在服務(wù)過程中應(yīng)當承擔的信息安全責任和義務(wù)：■已約定，包括：售后維護□未約定2.服務(wù)商簽訂保密協(xié)議情況：■已簽訂□未簽訂注：多套系統(tǒng)可復(fù)印分別填寫。1工業(yè)主機是指工業(yè)生產(chǎn)控制各業(yè)務(wù)環(huán)節(jié)涉及組態(tài)、操作、監(jiān)控、數(shù)據(jù)采集與存儲等功能的主機設(shè)備載體，包括工程師站、操作員站、歷史站等。廣東鴻聯(lián)九五信息產(chǎn)業(yè)網(wǎng)絡(luò)與信息安全檢查情況報告去年以來，我司大力實施信息化基礎(chǔ)建設(shè)，嚴格落實信息系統(tǒng)安全機制，從源頭做起,從基礎(chǔ)抓起，不斷提升信息安全理念，強化信息技術(shù)的安全管理和保障，加強對包括設(shè)備安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全等信息化建設(shè)全方位的安全管理,以信息化促進公司管理的科學(xué)化和精細化.一、提升安全理念，健全制度建設(shè)我司結(jié)合信息化安全管理現(xiàn)狀，在充分調(diào)研的基礎(chǔ)上,制定了《機房進出登記表》、《系統(tǒng)故障處理表》、《廠商巡檢報告》、《設(shè)備進出機房登記表》、《生產(chǎn)設(shè)備定期檢查表》、《生產(chǎn)用戶權(quán)限申請表》、《系統(tǒng)變更申請表》、《機房應(yīng)急管理制度》、《機房巡檢登記表》、《機房設(shè)備到期檢查表》、《設(shè)備維修記錄表》等以公文的形式下發(fā)執(zhí)行，把安全教育發(fā)送到每一個崗位和人員。進一步強化信息化安全知識培訓(xùn)，廣泛簽訂《保密協(xié)議》。進一步增強公司的安全防范意識，在全公司統(tǒng)建立保密及信息安全工作領(lǐng)導(dǎo)小組，由技術(shù)部經(jīng)理毛偉為組長，網(wǎng)絡(luò)工程師主管謝嘉為副組長,技術(shù)部羅江林為網(wǎng)絡(luò)安全管理員，負責公司的網(wǎng)絡(luò)信息安全工作。二、著力堵塞漏洞，狠抓信息安全我司現(xiàn)有計算機85臺,每個工作人員使用的計算機按涉密用、內(nèi)網(wǎng)用、外網(wǎng)用三種情況分類登記和清理，清理工作分為自我清理和檢查兩個步驟。清理工作即每個干部職工都要對自己使用的計算機（含筆記本電腦)和移動存儲介質(zhì)