——部分省重点单位信息网络安全状况剖析

各位代表：

    大家好！

    为了促进我省重点单位信息系统安全保护工作，提高安全防范能力，健全安全监督、指导工作机制，今年4月底省公安厅指导省计算机信息网络安全协会对42重点单位的计算机信息网络系统进行免费安全检测。5至10月省公安厅在省计算机信息网络安全协会安全服务中心协助下，分两批对司法、财税、国土、海关、物价、审计、交通、能源、金融、高校、电信等领域的32家省直重点单位计算机信息系统进行安全检查和检测，及时堵塞漏洞，有效改善省直单位计算机信息系统安全状况，取得了较好成效。

    一、检查情况

    省计算机信息网络安全协会对42家重点单位的计算机信息系统进行安全检测发现，完全没有安装任何安全设备的有8家，安装了安全设备还存在严重安全问题的11家，存在一般问题的有14家，信息网络系统安全性较好的有9家。省公安厅对32家省重点单位计算机信息系统进行安全检查和检测，共发现高级风险安全漏洞4226个，低级风险安全漏洞17838个。

    在安全检查、检测工作中，省公安厅通过调阅相关文档、听取汇报和技术检测等方式，重点检查安全组织建设情况、安全保护制度制订和落实情况、应急处置预案制定和落实情况、安全事故和事件报告制度落实情况。同时，省公安厅向重点单位发放了信息网络安全宣传资料，宣传相关法律法规和防范知识，并针对受检单位落实制度和措施方面存在的问题现场提出整改建议。检查结束后，省公安厅组织技术人员对技术检测结果进行分析，提出加强技术防范意见，并跟进落实整改情况。

    二、受检单位的安全状况

    （一）基本建立安全保护制度。经检查，大多数单位建立了安全组织机构，配备安全责任人和安全联系人；结合自身情况，制定安全管理规定；建立了计算机机房安全管理、系统升级管理、操作权限管理、用户登记以及信息发布审查、登记、保存、清除和备份等安全保护制度。

    （二）采取基本的安全措施。在物理安全方面，大多数单位对重要信息采取了加密传输方式,配置了防火、防盗, 防磁设备。在网络设备方面，大多数单位机房设置合理，有空调、通风设备等基本设施，并定期进行检查。在网络安全方面，建立操作系统漏洞定期检测机制，不定期实施系统补丁更新工作。一些单位配备了边缘路由器和核心交换机，将网络分成不同的逻辑网段。在工作站和服务器以及网络出口安装了防火墙, 设置了相应的访问控制策略，增加了网络的安全性。

    （三）存在的安全问题

    1、安全意识不够强，安全制度不健全。各单位对系统安全有一定程度的认识，但防范意识不够强，安全投入与安全保护要求不相适应，并对安全人员缺乏系统的和有针对性的安全培训。在32家重点单位中,有3家单位虽然建立了安全组织，但没有专职的安全管理人员;6家有专职的安全管理员,但安全管理员没有参加公安机关组织的安全员培训并取得证书；其余单位参加培训的人数在本单位安全员中所占比例也不大。此外，有个别单位在系统规划、设计、验收，设备入网等环节未考虑安全要求。有的单位虽然制定了安全制度，但未认真贯彻执行。

    2、安全措施不落实，安全漏洞比较多。一是没有采取必要的物理隔离措施。有3家单位的内部敏感信息网络和外部互联网没有采取物理隔离措施，无法彻底杜绝内部敏感信息从互联网泄密。二是信息分类、安全监测和应急处置机制不健全。有20家单位未进行系统的灾难恢复测试和应急处置演练，系统和网络日常监测机制不健全，未对信息资源实施分类和分级管理。三是内部工作站问题相对突出。一些工作站的资源随意设置共享，操作系统和应用系统没有做好升级和补丁更新工作，弱口令或空口令用户普遍存在。个别单位系统管理员密码管理不当，不按要求定期更换口令。四是文档管理较为薄弱。核心网络设备和系统的安全要求和操作流程不规范。五是系统中存在大量安全漏洞，容易被不法分子利用从事远程执行命令、数据修改、信息泄露和拒绝服务攻击。

    3、获取专业服务的意识较弱，没有建立畅通的安全技术支持机制。很多单位没有与安全服务机构建立技术支持机制，一旦发生安全事件将难以及时妥善处置。

    三、加强信息网络安全保护工作的意见

    针对存在的安全问题，省公安厅向各单位提出了整改意见。一是配备专职安全管理人员，组织针对不同岗位的安全培训和教育。二是建立系统规划、设计、验收和设备入网等环节的安全管理制度。三是及时做好系统的升级和补丁安装工作，有条件的可参考反病毒服务器的运作模式，配置内部网络机器自动升级打补丁。四是定期对系统实施安全检测，加强密码管理，定期更改。五是配备必要的安全防护产品，如防火墙、入侵检测设备，防范网络攻击，加强网络运行状况的监控。六是加强与安全专用产品生产单位和安全服务机构的沟通合作，建立畅通的安全服务机制。

                        二OO五年十二月六日