网站信息安全情况汇报.ppt
《网站信息安全情况汇报.ppt》由会员分享,可在线阅读,更多相关《网站信息安全情况汇报.ppt(30页珍藏版)》请在冰点文库上搜索。
PowerPoint培训教程首页上一页下一页尾页舒城县人民政府信息化工作办公室2010年09月地址:
安徽省舒城县城关镇梅河路403号联系人:
张定明电子邮件:
电话:
0564-8665333网址:
http:
/2/11/2024网站安全警钟长呜首页上一页下一页尾页概概述述o政府网站是我国电子政务的重要组成部分。
政府网站作为企业和社会公众获取政府信息和服务的主要接入渠道,是电子政务建设的重要抓手,能够充分体现出电子政务的后台应用系统、信息资源、网络基础设施、安全系统及制度保障等各个要素发展水平。
o政府网站的安全形势严峻:
对政府网站安全缺乏足够认识,许多政府网站的安全体系建设都十分脆弱,其应急响应能力也很薄弱;网站运行我们看到的是“重内轻外”;安全体系建设过程中,“唯技术论”观念十分突出;重建设轻管理等。
o问题:
网页频遭篡改暴露出了政府网站重形式、轻安全的问题。
Scinc-zdm网站安全警钟长呜首页上一页下一页尾页o据国家计算机网络应急技术处理协调中心粗略统计,2009年,我国各级政府网站被篡改网页15600次,而且这还未包括隐蔽的篡改行为。
其中六分之一攻击对象为政府网站。
o2009年主要的网络攻击手段从系统漏洞入侵转变为针对网页程序漏洞的攻击,黑客攻击的手段也相比以前变的越来越简单。
o从典型案例看政府网站安全问题2009年11月6日,国家公务员报考确认期间,河南省人事厅网站的网上确认程序突然中断,省人事厅考试中心发出紧急通知:
由于网络出现异常,网上确认改为现场确认。
无独有偶,仅几日之后,郑州市司法局网站被“黑”。
时间再退到两个多月前,省卫生厅网站也遭遇“黑”手。
在短短两个多月的时间里,河南省3家政府部门网站不能够提供服务,政府网站缘何如此“不堪一击”呢?
难道是政府网站硬件不够吗?
网站网站信息安全形势严峻信息安全形势严峻Scinc-zdm网站安全警钟长呜首页上一页下一页尾页网站被黑事件频发o2009年2月5日,有网友向本报报料称,广安市信访局网站无法访问、广安市人事局所属网站被黑。
o2009年2月24日云南晋宁县“躲猫猫”事发地政府网站遭黑客攻击o2009年6月6日,江西省卫生厅考试中心向江西省公安厅公共信息网络安全监察总队报案称,他们的网站数据库被人篡改,有人借此造假、牟取暴利。
他们先后入侵了贵州省人事厅、四川省人事厅、江苏省教育厅、辽宁省建设厅、湖北省荆州市人事局等9个网站。
o2009年12月17日,吉林市人民政府网站遭黑客攻击。
o2010年1月12日百度网站疑被黑客组织攻击,首页打开出现问题o2010年7月7日韩国总统府、国防部、外交通商部等政府部门和主要银行、媒体网站晚同时遭分布式拒绝服务(DDoS)攻击,瘫痪时间长达4小时o。
o2010年7月8日新华都网站被挂黑链360称至少遭两波黑客攻击o2010年9月20日“日本国防部被黑客攻击”疑似骗钱o.Scinc-zdm网站安全警钟长呜首页上一页下一页尾页提提纲纲一、我县信息化现状二、网站信息安全主要做法三、下一步打算Scinc-zdm网站安全警钟长呜首页上一页下一页尾页一一、我县信息化现状、我县信息化现状o一)组织机构:
一)组织机构:
o1、政府信息中心(县信息办)、信息化领导小组1998年正式启动信息化建设,将信息化建设作为“一把手”工程16字方针字方针:
政府主导,市场运作,建用并举,共建共享主要任务:
主要任务:
实施基础网络、应用系统和人才队伍三大建设,以电子政务建设为突破口,促进工业和信息化融合,推动行业和社会信息化进程。
实现目标实现目标:
2010年基本实现县域经济信息化;2015年基本实现县域信息化;2020年基本建成“数字舒城”框架p2、承担职责:
承担职责:
贯彻落实国家(省市)信息化方针政策;推进全县电子政务、工业、农业农村、社会信息化等发展;承担县重大信息化项目组织、建设;宣传、培训信息技术;政府网站建设、维护、监管。
Scinc-zdm网站安全警钟长呜首页上一页下一页尾页o11、建设情况:
、建设情况:
2005年建成全县统一的党政信息网平台(双网),城区自己建设的1000M/100M光纤到单位,乡镇统一租赁电信2MDDN/10M光纤。
o22、用户情况:
、用户情况:
全县所有党政机关、乡镇,部分企事业、学校计120多个单位,2000多用户,正常在线1000多用户。
o33、网站情况:
、网站情况:
县政府网站(1个)、乡镇(23个)、县直部门(56个)、村、社区(293+10个)、企事业单位(75个)二)党政信息网基础设施二)党政信息网基础设施Scinc-zdm网站安全警钟长呜首页上一页下一页尾页舒城县党政信息网建设架构图Scinc-zdm网站安全警钟长呜首页上一页下一页尾页三)开展的信息技术应用三)开展的信息技术应用o1、外网应用:
、外网应用:
全县单位上互联网;WEB、应用等服务器租赁、托管(资源管理中心);县乡视频会议系统;OA办公平台;县教育网平台;计生网平台;财政预算、结算支付平台;“数字城管”平台;环保办公平台等。
o2、内网应用:
、内网应用:
政府、财政、信防、审计、组织部Scinc-zdm网站安全警钟长呜首页上一页下一页尾页二、网站信息安全主要做法二、网站信息安全主要做法认清网站安全事件(制度、管理、技术)o三分技术七分管理o木桶“短板”效应o“攘外必先安内”o安全是相对的,不安全是绝对的Scinc-zdm网站安全警钟长呜首页上一页下一页尾页如何有效防范网站信息安全事件发生?
总原则:
技术与管理并重,预防与惩罚结合总目标:
进不来,看不到,看不懂,改不了,拿不走,赖不了。
主要措施:
o1、建立健全管理制度o2、落实技术防范措施o3、保证必要的经费和条件o4、开展宣传、培训、交流Scinc-zdm网站安全警钟长呜首页上一页下一页尾页o1、成立管理机构、成立管理机构o2008年政府信息系统安全保障机构o2008年12月舒政办秘200881号关于调整舒城县政务公开工作领导小组的通知o2009年舒城县互联网信息安全应急预案一)建立健全管理制度一)建立健全管理制度(机构、制度、管理)(机构、制度、管理)Scinc-zdm网站安全警钟长呜首页上一页下一页尾页2、制定政府网站(内容采集、发布、更新、制定政府网站(内容采集、发布、更新、保密)管理办法保密)管理办法o总原则:
总原则:
“谁主管,谁负责谁主管,谁负责”、“谁主办,谁负责谁主办,谁负责”n舒政办200629号关于加强政务网站建设和管理的通知n舒政办200717号转发国务院关于加强政府网站建设和管理工作的意见的通知n舒政办2008113号转发市政府办公室关于印发六安市人民政府信息发布保密审查暂行办法的通知n2009年4月舒政信化200916号舒城县政府网站安全暂行管理办法n2009年12月舒政信化200927号舒城县政务网站信息发布暂行规定n舒政办秘201021号关于进一步加强政府网站在线回复工作的通知Scinc-zdm网站安全警钟长呜首页上一页下一页尾页Scinc-zdm网站安全警钟长呜首页上一页下一页尾页3、加强对党政信息网、网站安全检查、管加强对党政信息网、网站安全检查、管理,签订责任书理,签订责任书o舒国保20011号关于县党政机关计算机局域网进行安全保密检查的通知o办200518号关于严禁擅自连接县党政信息网的通知o舒政办秘200636号关于严格控制县党政信息网连接范围的通知o舒保局20082号关于印发舒城信息系统安全和保密管理的通知o开展检查:
每日进行信息发布安全检查、依申请公开回复监督,开展检查:
每日进行信息发布安全检查、依申请公开回复监督,五大类信息不允许发布;每月信息公开统计、通报;每半年五大类信息不允许发布;每月信息公开统计、通报;每半年1次现场检查;每年一考核次现场检查;每年一考核o2010年1月开展政府信息公开保密审查自查:
通知、自查材料Scinc-zdm网站安全警钟长呜首页上一页下一页尾页资料、文件Scinc-zdm网站安全警钟长呜首页上一页下一页尾页网站信息安全自查内容网站信息安全自查内容1安全管理制度安全管理制度1-1网站管理制度有口无口1-2定期安全检查制度有口无口1-3意外事故处理制度有口无口1-4重要存储介质维护、销毁管理制度有口无口1-5密码管理制度有口无口1-6安全事件报告制度有口无口1-7应急处置预案有口无口2定期检测升级措施定期检测升级措施2-1定期对操作系统的漏洞检测有口无口2-2定期对应用软件的漏洞检测有口无口2-3定期对系统和应用软件升级有口无口2-4定期升级信息网络安全设备有口无口3日志留存、数据备份措施日志留存、数据备份措施3-1系统运行日志记录保存60日以上措施有口无口3-2用户使用记录保存60日以上措施有口无口3-3定期对系统进行备份或冗余有口无口3-4定期对重要数据进行备份有口无口4安全审计措施安全审计措施4-1落实信息网络安全审计措施有口无口4-2能否实现对登录用户进行审计有口无口4-3对用户日志进行审计有口无口Scinc-zdm网站安全警钟长呜首页上一页下一页尾页网站信息安全自查内容网站信息安全自查内容二、网站信息安全自查内容1安全管理制度安全管理制度1-1网站管理制度有口无口1-2定期安全检查制度有口无口1-3意外事故处理制度有口无口1-4重要存储介质维护、销毁管理制度有口无口1-5密码管理制度有口无口1-6安全事件报告制度有口无口1-7应急处置预案有口无口2定期检测升级措施定期检测升级措施2-1定期对操作系统的漏洞检测有口无口2-2定期对应用软件的漏洞检测有口无口2-3定期对系统和应用软件升级有口无口2-4定期升级信息网络安全设备有口无口3日志留存、数据备份措施日志留存、数据备份措施5有害信息过滤措施和群发信息限制措施有害信息过滤措施和群发信息限制措施5-1对有害信息及时进行过滤、删除有口无口5-2限制群发不健康或有害的信息有口无口5-3限制群发大量的垃圾邮件有口无口6已采取的防范网络攻击技术措施已采取的防范网络攻击技术措施6-1扫描攻击防范有口无口6-2DDoS攻击防范有口无口6-3后门攻击防范有口无口6-4电子欺骗防范有口无口6-5分布式拒绝服务攻击防范有口无口6-6WEB攻击防范有口无口6-7网络追踪有口无口7重要网站网页恢复措施重要网站网页恢复措施7-1采取网站恢复技术措施有口无口8安全管理责任人安全责任制度安全管理责任人安全责任制度8-1网站信息安全管理组织机构有口无口8-2明确安全管理责任人职责有口无口8-3网站管理员任免制度有口无口8-4明确其他人员安全责任有口无口8-5重大事故责任追究制度有口无口9信息发布制度信息发布制度9-1信息审查有口无口9-2信息保存有口无口9-3信息登记有口无口9-4信息清除有口无口9-5信息备份有口无口13安全隐患消除情况安全隐患消除情况13-1发现安全隐患数量13-2已消除安全隐患数量13-3拟在何时之前消除剩余安全隐患年月日14应急联动机制建立应急联动机制建立14-1是否与公安网监部门建立了24小时应急联动机制有口无口14-2是否与安全服务机构建立了应急服务机制有口无口9信息发布制度信息发布制度9-1信息审查有口无口9-2信息保存有口无口9-3信息登记有口无口9-4信息清除有口无口9-5信息备份有口无口Scinc-zdm网站安全警钟长呜首页上一页下一页尾页网站信息安全自查内容网站信息安全自查内容13安全隐患消除情况安全隐患消除情况13-1发现安全隐患数量13-2已消除安全隐患数量13-3拟在何时之前消除剩余安全隐患年月日14应急联动机制建立应急联动机制建立14-1是否与公安网监部门建立了24小时应急联动机制有口无口14-2是否与安全服务机构建立了应急服务机制有口无口Scinc-zdm网站安全警钟长呜首页上一页下一页尾页二)落实技术防范措施二)落实技术防范措施o1、防火墙:
设置安全策略,拒绝外来的恶意攻击o2、防病毒软件:
o3、上网行为设备:
访问日志的留存o4、交互式栏目具备有IP地址、身份登记和识别确认功能o5、多机备份机制o6、关闭暂不使用的服务功能,相关端口,及时修补系统漏洞o7、服务器平时处于锁定状态,并保管好登录密码;后台管理密码、用户名和IP绑定o8、提供集中式权限管理o9、标准机房管理o10、网络划分端口VLANo11、全网采用静态IP,重要的、异常的IP进行MAC绑定Scinc-zdm网站安全警钟长呜首页上一页下一页尾页立体安全管理概念图Scinc-zdm网站安全警钟长呜首页上一页下一页尾页三)保证必要经费和条件三)保证必要经费和条件o经费、人员、办公场所等Scinc-zdm网站安全警钟长呜首页上一页下一页尾页四)加强信息安全宣传、培训、交流四)加强信息安全宣传、培训、交流o参加省厅(市)组织的信息安全业务培训、交流n参加“653”培训2007年(朱)、2008年(张)n2009年9月7日参加省组织的信息公开培训会n2009年12月市信息办组织的2009年政府网站安全运维与电子政务绩效提升高级培训班n市组织的政府网站运维管理与政府信息公开培训班o组织县信息安全研讨会,邀请专家做信息安全专题培训o1)2009年1月6日舒城县信息安全研讨会o2)2009年4月县保密局组织全县保密工作会,培训专题信息安全o3)2009年8月7日政府信息公开工作培训会,全县111个单位分管领导、办主任、业务人员参加了会议,邀请省法制办李兵博士主讲。
o宣传o1)2008月6月全县单位办公室主任工作会专题:
网站工作会o2)2008年12月政府信息公开启动会安全会Scinc-zdm网站安全警钟长呜首页上一页下一页尾页主讲人主题时间、地点听众刘自朝计算机技术与应用1998.10县教委党政干部计算机能力培训班80人梁启章(中科院研究员)区域经济管理与决策支持系统1999.10舒城宾馆县几个班子领导,部分科局主要负责人60人王彩(市电信局高工)计算机与互联网技术2001.5县委党校县委扩大会议180人因特网技术及其应用演示2002.3舒城剧场县乡村三级干部1000人刘自朝信息革命与教育改革2000.11六安师范全市骨干初中校长培训班200人刘自朝加快信息化建设,适应全球化挑战2001.12稻香楼宾馆省信息化发展论坛刘自朝信息技术的发展及其影响2003.8舒城师范全省骨干教师培训班210人刘自朝信息技术与信息化2003.9县委党校青年干部培训班160人刘自朝信息技术与信息化2003.11县委党校全县办公室主任培训班150人刘自朝党政办公网建设背景及其应用2004.4飞霞宾馆党政信息网二期工程建设动员会180人刘自朝信息技术与电子政务2004.9市委党校县处级干部培训班180人刘自朝信息化与电子政务2004.10.县委党校科级干部培训班160人19981998年以来舒城县信息化宣讲部分活动(部分)年以来舒城县信息化宣讲部分活动(部分)Scinc-zdm网站安全警钟长呜首页上一页下一页尾页召开全县信息安全专题工作会召开全县信息安全专题工作会2009年元月6日下午,舒城县信息安全研讨会召开,副县长余靖,北京海信数码科技有限公司总经理姜斌斌、北京海信数码科技有限公司华东区经理倪晓利出席会议。
此次信息安全研讨会是由县委保密办、县政府信息办主办,北京海信数码有限公司协办,全县部分乡镇、县直部门及学校的信息中心主任或信息化分管负责人30多人参加了研讨会。
Scinc-zdm网站安全警钟长呜首页上一页下一页尾页培训主讲人主题时间、地点听众张定明政府信息公开2008.12舒怡多功能厅各单位分管领导、办公室主任、工作人员400多人张定明信息安全2009.4舒怡多功能厅各单位分管领导、办公室主任、工作人员400多人李兵政府信息公开2009.8舒怡多功能厅各单位分管领导、办公室主任、工作人员400多人李海峰阳光政务管理系统应用培训2009、11-12(三场)电信、党校、电大办公室主任、工作人员200多人李海峰阳光政务管理系统应用培训2010、8教育局县委中心组织学习Scinc-zdm网站安全警钟长呜首页上一页下一页尾页舒城县首届舒城县首届20032003信息化知识与技能竞赛信息化知识与技能竞赛省信息产业厅领导观看比赛参赛选手在答题Scinc-zdm网站安全警钟长呜首页上一页下一页尾页三、下一步打算o1、完善网络信息安全基础设施,特别是网站安全邀请省有关专业技术进行网站安全评估,网闸、入侵检测系统、CA认识等o2、进一步推进信息技术应用,加大安全管理o3、扩大安全技术业务培训、交流Scinc-zdm网站安全警钟长呜首页上一页下一页尾页结束语o网站信息安全任重道远o一劳永逸的信息安全体系是不存在的,信息安全技术应力求在攻防的消长中把握主动权,并依据信息安全风险管理的原则制定相应的安全策略以抑制安全事件的膨胀。
o信息安全从深度上看是一个长期存在的问题,从广度上看是一个包括管理和技术等多个层面的综合体。
因此,把握关键点,注重控制权,以综合集成实现信息安全体系的可持续发展,是保障我县信息安全的一个有效途径。
Scinc-zdm网站安全警钟长呜首页上一页下一页尾页谢谢大家!
谢谢大家!
诚挚邀请各界领导光临舒城指导工作诚挚邀请各界领导光临舒城指导工作!
Scinc-zdm
升级会员 