网络安全工作自查报告
我公司始终高度重视网络信息安全工作,自20XX年底开展网络安全等级保护备案测评工作以来,我们对客户端产品、系统软硬件设备、网络设备、安全设备、办公终端以及管理制度等方面进行了全面的梳理和整改,在新型肺炎疫情期间,针对网络安全隐患进行了多次排查,并组织人员进行相应的安全教育和应急演练,现将自查情况总结如下:
一、健全网络安全管理机制和建设相关配套规章制度
为维护和规范本公司信息系统的使用管理和网络信息安全,提高各部门网络安全工作的效率,本公司成立了由范军怀总经理担任责任领导、各相关部门参与、信息安全工作组负责具体工作的信息安全领导小组,统一协调全公司各部门开展网络安全管理工作,各部门均设置安全员,负责执行本部门的网络安全工作。与此同时,由基础架构部负责起草规划的三十余项网络安全管理相关规章制度经信息安全领导小组审阅批复,现已在全公司推行。
二、落实网络安全日常监测维护和系统重要操作管理
各部门的日常安全检查内容包括:操作系统及应用软件的安全补丁安装升级;计算机防病毒软件的安装升级、病毒库更新、病毒查杀;终端系统用户管理、密码更新设置及文件共享情况;产品管理系统内容管理、用户管理、账号与权限分配;计算机网络环境安全检测。
基础架构部的日常安全检查内容包括:网络安全规章制度的执行情况;计算机网络安全及运行管理安全;产品系统运行状况管理、漏洞扫描修复、病毒防护查杀;内容审查及防篡改监控;应急预案和应急演练情况;代码及数据备份情况;产品研发、测试与部署。
以上日常工作内容均已落地执行并形成记录汇总至基础架构部,系统重要操作必须由操作人申请,经部门负责人签字同意并报备给总经理后方可执行。对落实不积极或整改不到位的情况,将给予全公司通报批评,情形严重者,公司将追究其责任。
三、强化网络安全防护手段及合理运用安全设备产品
基础架构部负责公司所有主机、网络设备的网络地址划分、网络协议及服务的配置,重要的网段已严格划分子网,均配置严格的访问控制列表。按规定进行重要网络数据备份和整理,在设备配置信息发生更改时进行离线备份。每天检查网络设备的运行情况,对主交换机、防火墙、路由器等重要设备和线路进行监控,遇到问题时要及时处理,并及时上报。所有网络维护资料、日志运行记录等材料均及时存档。定时对服务器主机的防病毒、防火墙、IPS等情况进行检查统计,包括病毒库是否及时升级,是否有病毒、是否有恶意攻击等。发现问题及时处理,并及时的通知相关主机的使用人进行病毒的查杀和清理工作,并对工作情况进行记录。
四、加强网络安全教育培训和形成安全事件通报机制
新员工入职以后或定期举行网络安全教育培训,宣传国家网络安全方面的方针、、法律和法规以及公司现行的规章制度,讲解网络安全方面的专业知识,分析常见的安全事故案例及处理措施,进行应急预案模拟演练。培训要求学员签字并通过考核,过程记录和考核结果将由公司行政办公室归档保存。
在已开展的网络安全教育培训过程中,各部门员工对实际工作中遇到的计算机使用方面或产品系统方面的有关问题进行了详细的咨询,并得到了满意的答复,学到了实用的网络安全防范技巧,加强了员工对网络信息安全的认识力度。
另外,公司根据实际情况,对网络与信息安全事件划分为四级:特别重大(Ⅰ级)、重大(Ⅱ级)、较大(Ⅲ级)、一般(Ⅳ级)。不同等级均有响应的应急预案,应急预案明确了发生网络与信息安全事件时的应急指挥、应急支援、信息处理、安全事件报告和处置管理、后期处置、调查评估等方面的具体措施,确定了责任人和处理流程。
五、测评整改期间的其他问题及解决措施
安全管理方面,测评整改的问题及解决措施包括以下内容:
1、虽有应急预案培训,但欠缺部分记录,现有的培训记录不够规范完善。解决措施:完善应急预案培训计划,制定相应的培训内容,并针对每次培训做好培训记录,要求参训人员签到并通过考核。
2、办公区域的设备终端访问行为尚未设置安全策略并缺乏详细行为记录。解决措施:办公区域部署内网安全管理系统或通过技术措施绑定IP/MAC地址。办公区域部署上网行为管理系统,通过对用户非授权建立网络连接访问非可信网络的行为进行管控,从而减少安全风险的引入。
3、欠缺系统中止变更并从失败变更中恢复的流程规范、人员职责和应急预案。解决措施:制定了中止变更和恢复的流程规范、人员职责和应急预案,并组织有关人员进行了培训演练。
4、外部人员离场后没有及时清除其所有的访间权限的措施。解决措施:完善了外部人员使用办公区域网络的管理办法,入场和离场的网络访问权限均由基础架构部负责管理,离场后将及时清除访问权限。
5、备份与恢复管理制度没有明确备份方式、频度、介质、保存期等内容。解决措施:针对不同的数据内容,明确了备份方式、频度、介质、保存期等规则,并指定了相应的责任人和巡检制度。
6、各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通缺乏必要的会议记录。解决措施:各部门定期召开与网络安全管理相关的合作与沟通会议,并记录会议内容分发给各部门参会人员。
7、虽然对使用的工具产品进行过选型测试,但缺乏试用测试文档。解决措施:对所有选型的工具产品进行各方面的测试,制定相应的试用测试文档,并对备选工具产品进行横向的分析比较。
8、欠缺部分代码的安全性测试报告。解决措施:完善代码评审流程和制度,加强对产品各端代码的安全性测试,并在产品上线发布前制定安全性测试报告。
系统维护方面,对办公区域、服务器、防护产品进行了安全检查,发现以下问题并采取了相应的解决措施。
| 序号 | 安全层面 | 安全问题 | 解决措施 | 所涉及设备 |
| 1 | 安全区域边界 (通用) | 办公网络区域无法对非授权设备私自连接到内部网络的行为进行检查或。 | 办公区域部署内网安全管理系统或通过技术措施绑定IP/MAC地址。 | 办公网络区域 |
| 2 | 办公网络区域无法对内部用户非授权连到外部网络的行为进行检查或 | 办公区域部署上网行为管理系统,通过对用户非授权建立网络连接访问非可信网络的行为进行管控,从而减少安全风险的引入。 | 办公网络区域 | |
| 3 | 安全计算环境 (通用) | 服务器操作系统未定期修改密码 | 服务器操作系统定期修改更换,每季度或每半年。 | 全部服务器 |
| 4 | 服务器操作系统未非法登录次数,未配置连接超时会话。 | 服务器配置登录失败处理功能,非法登录次数,连接超时自动退出。 | 全部服务器 | |
| 5 | 服务器操作系统未对登录的用户分配账户和权限。 | 服务器操作系统禁止超级管理员root用户,对需要登录服务器的管理人员创建账户,并合理配置账户权限 | 全部服务器 | |
| 6 | 服务器操作系统未授予管理用户所需的最小权限。 | 服务器操作系统建立需要登录服务器的账户,并合理配置账户权限,根据管理账号权限分离原则。 | 全部服务器 | |
| 7 | 服务器操作系统未配置访问控制策略。 | 服务器操作系统由管理员配置用户的访问权限,制定访问控制规则。 | 全部服务器 | |
| 8 | 服务器操作系统无审计备份。 | 审计记录定期上传至日志服务器,日志保存时间6个月以上。 | 全部服务器 | |
| 9 | 服务器操作系统未登录的终端。 | 通过网络地址范围或终端ID登录服务器终端。 | 全部服务器 | |
| 10 | 服务器操作系统未对已知漏洞修复前进行评估和测试。 | 服务器操作系统漏洞修复前进行安全评估和测试后在进行修复。 | 全部服务器 | |
| 11 | xx产品系统应用程序未配置密码复杂度要求,未定期修改密码。 | xx产品系统应用程序管理账号启用密码复杂度,要求:数字、大小写字母、特殊字符(选三种)并定期修改,每季度或每年。 | xx产品系统 | |
| 12 | xx产品系统应用程序未对敏感信息进行标记。 | 为敏感信息设置标记,并根据敏感标记进行访问权限的区别。 | xx产品系统 | |
| 13 | xx产品系统应用程序未提供审计功能,无法对用户行为进行审计。 | xx产品系统应用程序添加审计功能,审计范围覆盖每个用户,可对用户行为和重要安全事件进行审计。 | xx产品系统 | |
| 14 | xx产品系统应用程序无审计备份。 | xx产品系统应用程序审计记录定期上传至日志服务器,日志保存时间6个月以上。 | xx产品系统 | |
| 15 | xx产品系统应用程序数据无异地备份。 | xx产品系统应用程序数据进行异地备份,并通过专线进行实时备份 | xx产品系统 | |
| 16 | xx产品系统应用程序未个人信息未授权人员访问。 | xx产品系统应用程序添加策略,仅授权人员可访问个人信息。 | xx产品系统 | |
| 17 | 服务器数据库未要求定期修改密码。 | 服务器数据库定期修改更换,每季度或每半年。 | 服务器数据库 | |
| 18 | 服务器数据库未配置访问控制策略。 | 服务器数据库由管理员配置用户的访问权限,制定访问控制规则。 | 服务器数据库 | |
| 19 | 服务器数据库未对已知漏洞修复前进行评估和测试。 | 服务器数据库漏洞修复前进行安全评估和测试后在进行修复。 | 服务器数据库 | |
| 20 | 服务器数据库无异地备份。 | 服务器数据库数据进行异地备份,并通过专线进行实时备份 | 服务器数据库 | |
| 21 | 安全设备云防火墙未管理终端。 | 安全设备云防火墙通过网络地址范围或终端ID管理终端登录。 | 云防火墙 | |
| 22 | 安全设备数据库审计无审计备份。 | 审计记录定期上传至日志服务器,日志保存时间6个月以上。 | 数据库审计 | |
| 23 | 安全设备数据库审计无审计进程。 | 安全设备数据库审计审计进程进行保护,避免意外或未授权中断。 | 数据库审计 |
| 24 | 安全管理中心 | 审计数据未集中汇总。 | 审计数据通过日志服务器进行集中汇总。 | 安全管理中心 |
在以后的工作我们将继续加强对网络信息安全意识的教育和防范技能的演练,让员工充分意识到网络安全对企业和个人发展的重要性,在各级主管部门指引下,积极响应党和国家的号召,切实做好本公司的网络与信息安全维护工作。
XX公司
20XX年X月X日
Copyright © 2019-2025 51dongshi.net 版权所有
违法及侵权请联系:TEL:177 7030 7066 E-MAIL:11247931@qq.com 本站由北京市万商天勤律师事务所王兴未律师提供法律服务
