网络安全检查报告优选九篇

引言：易发表网凭借丰富的文秘实践，为您精心挑选了九篇网络安全检查报告范例。如需获取更多原创内容，可随时联系我们的客服老师。

第1篇

一、加强领导，成立了网络安全工作领导小组

为进一步加强全局信息网络系统安全管理工作，我局成立了以局长为组长、分管领导为副组长、办公室人员为成员网络安全工作领导小组，做到分工明确,责任具体到人。分工与各自的职责如下：局长为计算机网络安全工作第一责任人，全面负责计算机网络与信息安全管理工作。副组长分管计算机网络与信息安全管理工作。负责计算机网络安全管理工作的日常协调、督促工作。办公室人员负责计算机网络安全管理工作的日常事务。

二、计算机和网络安全情况

（一）网络安全。我局所有计算机均配备了防病毒软件，采用了强口令密码、数据库存储备份、移动存储设备管理、数据加密等安全防护措施，明确了网络安全责任，强化了网络安全工作。

（二）日常管理。切实抓好内网、外网和应用软件管理，确保“计算机不上网，上网计算机不”，严格按照保密要求处理光盘、硬盘、移动硬盘等管理、维修和销毁工作。重点抓好“三大安全”排查：一是加强对硬件安全的管理，包括防尘、防潮、防雷、防火、防盗、和电源连接等；二是加强网络安全管理，对我局计算机实行分网管理，严格区分内网和外网，合理布线，优化网络结构，加强密码管理、IP管理、互联网行为管理等；三是加强计算机应用安全管理，包括邮件系统、资源库管理、软件管理等。定期组织全局工作人员学习有关网络知识，提高计算机使用水平，确保网络安全。

三、计算机信息管理情况

近年来，我局加强了组织领导，强化宣传教育，加强日常监督检查，重点加大对计算机的管理。对计算机外接设备、移动设备的管理，采取专人保管、文件单独存放，严禁携带存在内容的移动介质到上网的计算机上加工、贮存、传递处理文件，形成了良好的安全保密环境。严格区分内网和外网，对计算机实行了与国际互联网及其他公共信息网物理隔离，落实保密措施，到目前为止，未发生一起计算机失密、泄密事故；其他非计算机及网络使用，也严格按照有关计算机网络与信息安全管理规定，加强管理，确保了我局网络信息安全。

四、硬件、软件使用置规范，设备运行状况良好

为进一步加强我局网络安全，我局对部分需要计算机设备进行了升级，为主要计算机配备了UPS,每台终端机都安装了防病毒软件，硬件的运行环境符合要求；防雷地线正常，防雷设备运行基本稳定，没有出现雷击事故；今年已更换了已经老化的一对光纤收发器，目前光纤收发器、交换机、等网络硬件设备运转正常，各种计算机及辅助设备、软件运转正常。

五、严格管理、规范设备维护

我局对电脑及其设备实行“谁使用、谁管理、谁负责”的管理制度。在管理方面我们一是坚持“制度管人”。二是强化信息安全教育、提高工作人员计算机技能。同时利用远程教育、科普宣传等开展网络安全知识宣传，增强党员干部网络安全意识。在设备维护方面，对出现问题的设备及时进行维护和更换，对外来维护人员，要求有相关人员陪同，并对其身份进行核实，规范设备的维护和管理。

第2篇

为了规范工作人员网络安全相关行为，提高网络安全意识，保护税收信息系统和电子数据的安全，规范计算机网络、终端和存储介质的日常使用，为此我局将开展为期一个星期的网络安全检查工作。

一、对全局的网络环境进行了优化整合。配合专业公司和运营商做好线路的搭建、设备的安装以及网络的测试，重新划分网段，规划内网ip地址,在州局下发部分设备的同时自筹资金XX万元采购了路由器等网络设备。

二、做好网络节点的优化整改。根据文件要求，对全局网络节点进行了进一步优化整改，做到设备线路整齐规范，保持环境的整洁干净，明确了一名网络管理及运维人员。

三、做好系统和网络安全风险分析。按照要求规范全局人员应用系统的岗位权限，加强机和网络设备管理，实行定期巡检制度，确保各项工作顺利开展。

第3篇

一、计算机涉密信息管理情况

今年以来，我局加强组织领导，强化宣传教育，落实工作责任，加强日常监督检查，将涉密计算机管理抓在手上。对于计算机磁介质（软盘、U盘、移动硬盘等）的管理，采取专人保管、涉密文件单独存放，严禁携带存在涉密内容的磁介质到上网的计算机上加工、贮存、传递处理文件，形成了良好的安全保密环境。对涉密计算机（含笔记本电脑）实行了与国际互联网及其他公共信息网物理隔离，并按照有关规定落实了保密措施，到目前为止，未发生一起计算机失密、泄密事故；其他非涉密计算机（含笔记本电脑）及网络使用，也严格按照局计算机保密信息系统管理办法落实了有关措施，确保了机关信息安全。

二、计算机和网络安全情况

一是网络安全方面。我局配备了防病毒软件、网络隔离卡，采用了强口令密码、数据库存储备份、移动存储设备管理、数据加密等安全防护措施，明确了网络安全责任，强化了网络安全工作。

二是信息系统安全方面实行领导审查签字制度。凡上传网站的信息，须经有关领导审查签字后方可上传；二是开展经常性安全检查，主要对SQL注入攻击、跨站脚本攻击、弱口令、操作系统补丁安装、应用程序补丁安装、防病毒软件安装与升级、木马病毒检测、端口开放情况、系统管理权限开放情况、访问权限开放情况、网页篡改情况等进行监管，认真做好系统安全日记。

三是日常管理方面切实抓好外网、网站和应用软件“五层管理”，确保“涉密计算机不上网，上网计算机不涉密”，严格按照保密要求处理光盘、硬盘、U盘、移动硬盘等管理、维修和销毁工作。重点抓好“三大安全”排查：一是硬件安全，包括防雷、防火、防盗和电源连接等；二是网络安全，包括网络结构、安全日志管理、密码管理、IP管理、互联网行为管理等；三是应用安全，包括网站、邮件系统、资源库管理、软件管理等。

三、硬件设备使用合理，软件设置规范，设备运行状况良好。

我局每台终端机都安装了防病毒软件，系统相关设备的应用一直采取规范化管理，硬件设备的使用符合国家相关产品质量安全规定，单位硬件的运行环境符合要求，打印机配件、色带架等基本使用设备原装产品；防雷地线正常，对于有问题的防雷插座已进行更换，防雷设备运行基本稳定，没有出现雷击事故；UPS运转正常。网站系统安全有效，暂未出现任何安全隐患。

四、通讯设备运转正常

我局网络系统的组成结构及其配置合理，并符合有关的安全规定；网络使用的各种硬件设备、软件和网络接口也是通过安全检验、鉴定合格后才投入使用的，自安装以来运转基本正常。

五、严格管理、规范设备维护

我局对电脑及其设备实行“谁使用、谁管理、谁负责”的管理制度。在管理方面我们一是坚持“制度管人”。二是强化信息安全教育、提高员工计算机技能。同时在局开展网络安全知识宣传，使全体人员意识到了，计算机安全保护是“三防一保”工作的有机组成部分。而且在新形势下，计算机犯罪还将成为安全保卫工作的重要内容。在设备维护方面，专门设置了网络设备故障登记簿、计算机维护及维修表对于设备故障和维护情况属实登记，并及时处理。对外来维护人员，要求有相关人员陪同，并对其身份和处理情况进行登记，规范设备的维护和管理。

六、网站安全及

我局对网站安全方面有相关要求，一是使用专属权限密码锁登陆后台；二是上传文件提前进行病素检测；三是网站分模块分权限进行维护，定期进后台清理垃圾文件；四是网站更新专人负责。

七、安全制度制定落实情况

为确保计算机网络安全、实行了网络专管员制度、计算机安全保密制度、网站安全管理制度、网络信息安全突发事件应急预案等以有效提高管理员的工作效率。同时我局结合自身情况制定计算机系统安全自查工作制度，做到四个确保：一是系统管理员于每周五定期检查中心计算机系统，确保无隐患问题；二是制作安全检查工作记录，确保工作落实；三是实行领导定期询问制度，由系统管理员汇报计算机使用情况，确保情况随时掌握；四是定期组织全局人员学习有关网络知识，提高计算机使用水平，确保预防。

八、安全教育

为保证我局网络安全有效地运行，减少病毒侵入，我局就网络安全及系统安全的有关知识进行了培训。期间，大家对实际工作中遇到的计算机方面的有关问题进行了详细的咨询，并得到了满意的答复。

网络信息安全自查报告（二）

根据路局《关于在全局范围内开展网络与信息安全检查行动的通知》（XXXXXXXX）文件精神。我站对本站网络与信息安全情况进行了自查，现汇报如下：

一、信息安全自查工作组织开展情况

1、成立了信息安全检查行动小组。由站长、书记任组长，相关科室（车间）负责人、信息技术科全体人员为组员负责对全站的重要信息系统全面排查并填记有关报表、建档留存。

2、信息安全检查小组对照网络与信息系统的实际情况进行了逐项排查、确认，并对自查结果进行了全面的核对、梳理、分析。整改，提高了对全站网络与信息安全状况的掌控。

二、网络与信息安全工作情况

1）组织成立了网络与信息安全检查工作小组，由站长、书记任组长，相关科室（车间）负责人、信息技术科全体人员为组员。

2）研究制定自查实施方案，根据系统所承担的业务的独立性、责任主体的独立性、网络边界的独立性、安全防护设备设施的独立性四个因素，对客票发售与预订系统、旅客服务系统、办公信息系统进行全面的梳理并综合分析。

2、8月6日前对客票发售与预订系统、旅客服务系统、办公信息系统的基本情况进行逐项排查。

1）系统安全基本情况自查

客票发售与预订系统为实时性系统，对车站主要业务影响较高。目前拥有IBM服务器2台、cisco路由器2台、cisco交换机13台，系统均采用windows操作系统，灾备情况为系统级灾备，该系统不与互联网连接，防火墙采用永达公司永达安全管控防火墙。

旅客服务系统为实时性系统，对车站主要业务影响较高。目前拥有HP服务器13台、H3C路由5台、H3C交换机15台，系统采用linix操作系统，数据库采用SQLServer，灾备情况为数据灾备，该系统不与互联网连接，安全防护策略采用按照使用需求开放端口，重要数据均采用加密防护。

2）安全管理自查情况

人员管理方面，指定专职信息安全员，成立信息安全管理机构和信息安全专职工作机构。重要岗位人员全部签订安全保密协议，制定了《人员离职离岗安全规定》、《外部人员访问审批表》。

资产管理方面，指定了专人进行资产管理，完善了《资产管理制度》、《设备维修维护和报废管理制度》，建立了《设备维修维护记录表》。

存储介质管理方面，完善了《存储介质管理制度》，建立了《存储介质管理记录表》。

运行维护管理方面，建立了《客服系统维护标准》、《运行维护操作记录表》，完善了《日常运行维护制度》。

3）网络与信息安全培训情况

三、自查发现的主要问题和面临的威胁分析

四、改进措施

五、整改效果

网络信息安全自查报告（三）

学校接到：“重庆市巴南区教育委员会关于转发巴南区信息网络安全大检查专项行动实施方案的通知”后，按文件精神立即落实相关部门进行自查，现将自查情况作如下报告：

一、充实领导机构，加强责任落实

接到文件通知后，学校立即召开行政办公会议，进一步落实领导小组及工作组，落实分工与责任人（领导小组见附件一）。鱼洞二小网络安全大检查专项行动由学校统一牵头，统一指挥，学校信息中心具体负责落实实施。信息中心设立工作小组（工作小组见附件一），小组成员及各自分工落实管理、维护、检查信及培训，层层落实，并坚决执行“谁主管谁负责、谁运行谁负责、谁使用谁负责”的管理原则，保障我校校园网的绝对安全，给全校师生提供一个安全健康的网络使用环境。

二、开展安全检查，及时整改隐患

1、我校“网络中心、功能室、微机室、教室、办公室”等都建立了使用及安全管理规章制度，且制度都上墙张贴。

2、网络中心的安全防护是重中之重，我们分为：物理安全、网络入出口安全、数据安全等。物理安全主要是设施设备的防火防盗、物理损坏等；网络入出口安全是指光纤接入防火墙->路由器->核心交换机及内网访问出去的安全，把握好源头；数据安全是指对校园网的数据备份、对不安全的信息进行处理上报、对信息的过渡等。信息中心有独立的管理制度，如网络更新登记、服务器资源、硬盘分布统计资料、安全日志等，便于发现问题，既时查找。

4、强化网络安全管理工作，对所有接入我校核心交换机的计算机设备进行了全面安全检查，对操作系统存在漏洞、防毒软件配置不到位的计算机进行全面升级，确保网络安全。

5、规范信息的采集、审核和流程，严格信息审核，确保所信息内容的准确性和真实性。每周定时对我校门户网站的留言簿、二小博客上的贴子，留言进行审核，对不健康的信息进行屏蔽，对于反映情况的问题，备份好数据，及时向学校汇报。

6、本期第三周我校在教职工大会组织老师学习有关信息网络法律法规，提高老师们合理、正确使用网络资源的意识，养成良好的上网习惯，不做任何与有关信息网络法律法规相违背的事。

7、严格禁止办公内网电脑直接与互联网相连，经检查未发现在非涉密计算机上处理、存储、传递涉密信息，在国际互联网上利用电子邮件系统传递涉密信息，在各种论坛、聊天室、博客等、谈论国家秘密信息以及利用QQ等聊天工具传递、谈论国家秘密信息等危害网络信息安全现象。

三、存在的问题

1、由于我校的网络终端300多个点，管理难度大，学校没有多余的经费来购买正版杀毒软件，现在使用的是伪版的或者免费版本的杀毒软件，这给我们的网络安全带来了一定的风险。

2、我校的服务器共有5台，但我们没有一套网络管理软件，平时全靠人工手动去管理，管理难度大，所以平时难免有忘补丁升级的时候，这难免也存在一定的安全风险。

第4篇

一、贯彻落实条例情况

二00八年以来,在***市人大和信息化工作领导小组的正确指导下，***市公安局为了深入贯彻落实科学发展观,进一步优化我市信息化发展环境,推进我市信息化正规化发展.按照市人大通知精神，成立了***市公安局信息化安全领导小组，并组织相关人员对《***信息化条例》进行了认真学习，学习后按照职责要求对全市从事国际联网业务的单位和个人进行了安全监督、检查和指导，历年无信息安全事件发生。

二、历年工作情况

首先每年每季度组织全市涉及信息化安全的单位召开信息化安全会议，在组织各单位学习信息化条例及网络安全知识的同时，总结各单位网络信息化安全事件，并对各单位网络信息化安全工作提出要求。

首先每年每季度对全市ISPICP单位进行安全检查，发现问题发放整改通知书，督促其落实安全保护技术措施，保障本网络的运行安全和信息安全，并要求其对网络个人用户进行备案管理和安全教育及培训。对全市重点单位开展了全市非经营经联网上网服务营业场所的安全软件安装工作，有效的保障了非经营联网上网服务营业场所的安全运行。

三、存在的不足

在贯彻执行条例中涉及本单位职责范围的工作时，由于部分单位对网络安全监察工作不是太理解，所以对我局开展的网络安全监察工作配合意识不强，对网络信息化安全工作开展形成了障碍，造成了部分工作滞后，网络信息安全责任制落实不到位的情况。

四、下步打算

下步工作中，***市公安局将按照市人大及信息化办公室的要求，认真贯彻落实条例内容，按照本单位职责，在做好本单位工作的同时，对全市涉及网络信息安全的单位及个人进行全面督促检查，履行职责，为全力推动我市信息化健康、协调发展贡献力量。

 

第5篇

基础设施安全隐患自查报告范文(一)

根据《关于转发<关于开展2019年六安市网络安全检查工作的通知>的通知》(区宣字〔2019〕23号)的要求，椿树镇党委、政府高度重视并迅速开展检查工作，现将检查情况总结报告如下：

一、成立领导小组

为进一步加强网络信息系统安全管理工作，我镇成立了网络信息工作领导小组，由镇长任组长，分管副书记任副组长，下设办公室，做到分工明确，责任具体到人，确保网络信息安全工作顺利实施。

二、网络安全现状

目前我镇共有电脑32台，均采用防火墙对网络进行保护，并安装了杀毒软件对全镇计算机进行病毒防治。

三、网络安全管理措施

为了做好信息化建设，规范政府信息化管理，我镇专门制订了《椿树镇网络安全管理制度》、《椿树镇网络信息安全保障工作方案》、《椿树镇病毒检测和网络安全漏洞检测制度》等多项制度，对信息化工作管理、内部电脑安全管理、计算机及网络设备管理、数据、资料和信息的安全管理、网络安全管理、计算机操作人员管理、网站内容管理、网站维护责任等各方面都作了详细规定，进一步规范了我镇信息安全管理工作。

针对计算机保密工作，我镇制定了《椿树镇镇信息审核、登记制度》、《椿树镇突发信息网络事件应急预案》等相关制度，并定期对网站上的所有信息进行整理，未发现涉及到安全保密内容的信息;与网络安全小组成员签订了《椿树镇网络信息安全管理责任书》，确保计算机使用做到“谁使用、谁负责”;对我镇内网产生的数据信息进行严格、规范管理，并及时存档备份;此外，在全镇范围内组织相关计算机安全技术培训，并开展有针对性的“网络信息安全”教育及演练，积极参加其他计算机安全技术培训，提高了网络维护以及安全防护技能和意识，有力地保障我镇政府信息网络正常运行。

四、网络安全存在的不足及整改措施

目前，我镇网络安全仍然存在以下几点不足：

一是安全防范意识较为薄弱;二是病毒监控能力有待提高;三是对移动存储介质的使用管理还不够规范;四是遇到恶意攻击、计算机病毒侵袭等突发事件处理能力不够。

针对目前我镇网络安全方面存在的不足，提出以下几点整改意见：

1、进一步加强网络安全小组成员计算机操作技术、网络安全技术方面的培训，强化计算机操作人员对网络病毒、信息安全威胁的防范意识，做到早发现，早报告、早处理。

2、加强干部职工在计算机技术、网络技术方面的学习，不断提高机关干部的计算机技术水平。

基础设施安全隐患自查报告范文(二)

按照《XX市交通局关于开展全市重大交通基础设施安全隐患排查工作的通知》文件的安排部署，10月25日至11月2日，市公路处副处长刘大伦、刘志斌带队赴各县、区(市)，采取检查组重点抽查与各县、区(市)自查结合的方式，检查了全市管养的县公路、乡公路和部分村公路XX县乡公路桥梁情况。现将综合检查情况报告如下：

一、公路检查情况

全面检查了县公路68条，抽查和自查了乡公路692条、村公路310条。查出存在安全隐患的线路有958条，需处治隐患4521处，处治隐患里程1587.464公里，需总投资4307.23万元。没有发现重大安全隐患。检查资料已上报省公路局。

二、桥梁检查情况

抽查农村公路管理养护桥梁211座(不含村道中小桥)，自查管理养护农村公路桥梁499座(不含村道中小桥)。大部分桥梁存在不同类型安全隐患的桥梁。已查出存在安全隐患的管理养护桥梁：二郎小桥、二郎大桥、两河口二桥、两蔑路一桥、梁蔑路二桥、官渡大桥、人仁路孔滩桥、官渡鱼湾大桥、河闪渡大桥、戏子滩大桥、龙塘桥、半坎桥、乐庄桥、盐津河大桥、两河口大桥等，存在的隐患类型主要是超荷、地质灾害、水毁等，隐患程度不一，有的仅需少量人财物即可恢复，有的需列入危桥改造工程维修加固。针对隐患的不同类型和程度，分别采取了设置超载限速标志、落实专人监管、向省公路局上报检查资料等措施。

募溪河桥(XX县)、青杠塘桥(XX县)、进化新桥(XX县)等在建桥梁、危桥维修加固桥梁未发现安全隐患。列入抽查的通村公路桥梁，以及各县、区(市)自查通村公路桥梁，检查中没有发现重大安全隐患。

三、安保工程实施情况

根据省公路局“关于XX市农村公路安全保障工程设计方案的批复”(黔路复〔2019〕169号文)，我市今年18个项目的安保工程计划，中央车购税投资827万元，项目涉及习水、务川、湄潭、仁怀、绥阳、余庆、桐梓、正安、XX县及习赤公司等十个县、区(市)，12月底完成钢筋砼护栏14808米，波型护栏74698米，警示墩3589个，禁令和警告标志898套，地名和指路标志18套，标线4194㎡，处治隐患670处，处治隐患里程309k，完成投资827万元。

四、水毁恢复情况

据统计，进入雨季以来，我市有41条农村公路发生水毁，工程量：损毁路基13906 m3/2365m，冲毁路面砂路87000 m2/4428m，砼或沥青路面14261 m2/4428m;桥梁局部毁20米/1座;涵洞全毁18道，局部毁6道;挡墙15908 m3/193处，坍方259342 m3/620处，需恢复资金810.682万元。今年共安排水毁抢险资金320万元，主要修复路基缺口、山体滑坡造成改移线路段截12月底共完成挡墙修复23500m3， 177处，改线3.2公里，恢复水毁线路37条。

检查表明：我市列入管理养护的农村公路及桥梁，安全形势稳定，无安全事故，

五、下步工作安排

(一)进一步全面了解本辖区内事故事易发路段，建立安保工程数据库。

(二)逐年安排资金消除存在安全隐患的线路。

六、存在问题及建议

(一)我市农村公路点多、线长、面广，公路建设中未考虑安保设施，安全隐患治理资金投入少，急需治理隐患较多，为保障公路安全运行，需各级筹措资金治理现有农村安全隐患。建议今后公路改建安全设施应纳入设计。

(二)汛期水毁灾害有突发性和季节性特征。由于无水毁预备资金，发生灾害后不能及时安排资金处治，计划报送后，往往投资不足，造成水毁工程修复不彻底，部分路段只能设置简易警示标志，建议安排水毁预备金。

基础设施安全隐患自查报告范文(三)

根据南信联发[XX]4号文件《关于开展**市电子政务网信息安全与网络管理专项检查的通知》文件精神，我局积极组织落实，认真对照，对网络安全基础设施建设情况、网络安全防范技术情况及网络信息安全保密管理情况进行了自查，对我局的网络信息安全建设进行了深刻的剖析，现将自查情况报告如下：

一、加强领导，成立了网络与信息安全工作领导小组

为进一步加强全局网络信息系统安全管理工作，我局成立了网络与信息系统安全保密工作领导小组，由局长任组长，下设办公室，做到分工明确,责任具体到人。确保网络信息安全工作顺利实施。

二、我局网络安全现状

我局的统计信息自动化建设从一九九七年开始，经过不断发展，逐渐由原来的小型局域网发展成为目前与国家局、自治区局以及县区局实现四级互联互通网络。网络核心采用思科7600和3600交换机，数据中心采用3com4226交换机，汇集层采用3com4226交换机、思科2924交换机和联想天工ispirit 1208e交换机，总共可提供150多个有线接入点，目前为止已使用80个左右。数据中心骨干为千兆交换式，百兆交换到桌面。因特网出口统一由市信息办提供，为双百兆光纤;与自治区统计局采用2兆光纤直联，各县区统计局及三个开发区统计局采用天融信vpn虚拟专用网络软件从互联网上连接进入到自治区统计局的网络，vpn入口总带宽为4兆，然后再连接到我局。横向方面，积极推进市统计局与政府网互联，目前已经实现与100多家市级党政部门和12个县区政府的光纤连接。我局采用天融信硬件防火墙对网络进行保护，采用伟思网络隔离卡和文件防弹衣软件对重点计算机进行单机保护，安装正版金山毒霸网络版杀毒软件，对全局计算机进行病毒防治。

三、我局网络信息化安全管理

为了做好信息化建设，规范统计信息化管理，我局专门制订了《**市统计局信息化规章制度》，对信息化工作管理、内部电脑安全管理、机房管理、机房环境安全管理、计算机及网络设备管理、数据、资料和信息的安全管理、网络安全管理、计算机操作人员管理、网站内容管理、网站维护责任等各方面都作了详细规定，进一步规范了我局信息安全管理工作。

针对计算机保密工作，我局制定了《涉密计算机管理制度》，并由计算机使用人员签订了《**市统计局计算机保密工作岗位责任书》，对计算机使用做到“谁使用谁负责”;对我局内网产生的数据信息进行严格、规范管理。

此外，我局在全局范围内每年都组织相关计算机安全技术培训，计算站的同志还积极参加市信息办及其他计算机安全技术培训，提高了网络维护以及安全防护技能和意识，有力地保障我局统计信息网络正常运行。

四、网络安全存在的不足及整改措施

目前，我局网络安全仍然存在以下几点不足：一是安全防范意识较为薄弱;二是病毒监控能力有待提高;三是遇到恶意攻击、计算机病毒侵袭等突发事件处理不够及时。

针对目前我局网络安全方面存在的不足，提出以下几点整改办法：

第6篇

县社保局内部控制检查评估工作自查报告

市社保处：

根据省社保局《养老保险经办机构内部控制检查评估工作的通知》（湘社险函71号）文件精神，按照组织机构、业务运行、基金财务、信息系统控制、内部控制的管理和监督等五个方面的具体要求，我局不断细化内容，一一对比，详细进行了自查，具体情况报告如下：

一、组织机构控制

一是在进一步建立健全队伍管理各项规章制度的基础上，机构职能职责、内设机构、人员编制等方面进行了规范，明确业务经办、基金财务、信息系统等内部控制活动全过程的岗位设置及其职责范围。

二是各个股室之间的内部控制职责明确、业务信息传递、反馈、监控流程规范。各项待遇支付时，首先业务审核、分管领导复核，主要领导签字，做到了各个环节互相监督制约。

三是多年来，通过思想政治教育、党风廉政教育、业务培训、学历培训、规范业务流程、优化岗位设置等措施，切实加强了社保经办队伍尤其是领导班子的思想、作风和业务建设，有力地促进了领导班子及经办人员整体素质和管理水平的提高。

二、业务运行控制

一是社会保险登记、变更、注销、年检、养老保险待遇审核、待遇计算、基数核定、基数增减核定、补缴、缴费基数修改管理、欠费数据库管理、帐户管理、基金收入记账与对账管理、领取待遇资格认定、待遇支付、系统口令管理、系统软件维护管理、信息网络安全管理、数据库安全管理，稽核监督等主要岗位做到了各岗位之间分工明确，各负其责，相互制约。

二是积极推行政务公开，在我局“社保信息网”及公告栏上公开社保局服务工作内容和职责，办事依据、办事流程图、收费项目及标准、办理各项业务需提交的主要资料、违规违纪的投诉、追究办法及咨询电话等公诸社会，提高办事的透明度。

三、各种人事、文书、业务、财务档案及时留存、归档保管，做到建档有规定、调档有制度。原始档案、资料由专人管理，单位或个人查阅档案，须持介绍信或相应的证明。

三、基金财务控制

一是严格执行《社会保险基金财务制度》和《社会保险基金会计制度》和收支两条线的管理规定，分别设立财政专户、支出户，地税征收的养老保险费及时拨付财政专户，按月申请资金及时拨付到支出户，确保足额发放。对存入银行的沉淀或当期基金，按其存期照人民银行规定的同期城乡居民储蓄存款利率计算，所得利息并入了基金。

二是严格按照《社会保险基金财务制度》和《社会保险基金会计制度》等有关规定，真实准确地核算和反映基金的收入、支出和结余。

三是基金的预算管理严格按《社会保险基金财务制度》规定的内容、方法和程序编制、审批、执行，在分析本年度预算执行情况及测算下年度基金收支情况的基础上，编制基金下年度收、支预算，做到了认真、科学、合理。

四是基金的决算报表由财政部、劳动保障部统一设计、统一布置，我们根据统一规定的报表格式、时间和要求编制年度决算报表，认真填制、审核，确保有关数据一致。

五是按照管理权限、分级审核的原则，设立了原始资料审核、出纳、记帐、凭证审核、登帐、会计资料归档、会计负责人等财务岗位。

四、信息系统控制

开展网络技术信息安全检查，及时整改隐患。一是对本单位信息系统的帐户、口令等进行了一次专门的清理检查，并及时将软件更新和升级，消除安全隐患。二是对全局计算机按型号、出厂编号、生产日期重新统计备案，对所有接入局域网的设备进行了全面安全检查，对发现有操作系统存在漏洞、防毒软件配置不到位的计算机进行全面升级，确保网络安全。三是规范信息的采集、审核和流程，严格信息审核，确保所信息内容的准确性和真实性。

四是严格禁止办公内网与互联网相连，为了防止人为的或其它意外事件发生，使致信息系统的数据丢失，采取了异地备份等有效的措施，保证了各项基础信息的安全。

五、内部控制的管理和监督

目前我局稽核审计配备2名专职稽核人员，每年按照市局任务要求及社会保险稽核审计程序，编制稽审工作计划，对享受待遇人员组织实施稽核，通过查阅社会保险个人帐户手册、单位参保人员花名册、缴费基数核定表、核实参保时间、缴费年限等情况，核查职工个人档案和待遇资格条件证明原件，核实享受待遇标准，并不定期对各项业务进行抽查，及时反馈主要领导及上级业务主管部门。

虽然我局经办流程及程序根据《社会保险经办机构内部控制暂行办法》及相关文件规定建立和制定，但有些环节还是存在管理上的漏洞和制度缺陷。

六、整改意见或建议

一是优化队伍结构，推进机关效能建设。加强干部培养、考核和监督，加大轮岗交流和竞争上岗力度。加强思想政治建设，转变观念、转变职能、转变作风，全面提升经办队伍的综合素质和工作能力，构建学习型、服务型单位。

第7篇

欧盟对华为的指控，更大程度是出于贸易政策需要，与实际市场竞争并无太多关联。美国试图遏制华为在美扩张的一些做法，可能也对欧盟的行动起到了推波助澜的作用。

如果不考虑遭受到的国家安全指控，华为在美国的扩张本可以被看作是一次难得的机遇。有利于美国政府和业界公司，同样有利于技术创新和维护消费者利益。首先，华为在美国的扩张，为美国带来了工作岗位、资本和税收；其次，华为给竞争对手带来了外部价格压力；第三，该公司在美国维护着六个以上的高级研发中心；第四，依靠出类拔萃的安全检查机制，华为创造了全程覆盖的全球网络安全保障机制。

尽管欧盟对华为的指责，表面看起来，重点关注的是贸易融资，而不是安全问题，但背后的动机，却与美国毫无二致。市场并不反对华为在欧洲的扩张，但布鲁塞尔对此却并不欢迎。换言之，拒绝华为的真正原因，并不是为了维护消费者权益，而是为了维护企业的利益。

据报道，欧盟委员会的内部报告声称：华为和中兴公司销售的无线电网络设备，价格比“市场公允价格”低35%。在华为登陆欧洲以后，业内利润即大幅下滑。但是从消费者利益出发，价格下降却是高科技行业的常态。所谓的“市场公允价格”也并非永久不变。在过去三十年间，决定此类价格的区域，也从美国转移到欧洲，随后又转移到亚洲。

欧盟这份报告之所以成为布鲁塞尔眼中烫手的山芋，另外一层原因就在于：报告把华为和中兴两家公司的成功的原因，归结于中国政府直接为两家公司及购买其设备的客户提供的支持。

2000年至2001年互联网和通讯产业泡沫破裂之后，中国和印度这两个新兴经济大国的崛起，拯救了欧美残留的设备制造商。然后，随着欧美制造商将生产设施及研发中心迁移至新兴国家，他们也为自己制造出了新的竞争对手，包括中国私营企业华为公司和国企中兴通?讯。

在电信技术行业，产业价值中心从一个地点转移到另外一个地方是非常常见的事情。以移动通讯行业为例，1980年代，模拟信号手机（1G）的价值，主要由美国公司控制；随后十年间，欧洲厂商主导了数字手机（2G）时代；而在此前的十年中，包括台湾和韩国在内的亚洲四小龙，在多媒体手机时挥了重要作用（3G）。在2010年代，宽带手机（4G）将会越来越多地由中国和印度产业巨头控制。在此过程中，由于后起公司更能够将成本控制在相对较低的水平，传统的产业成本结构体系也在不断崩塌。

第8篇

关键词：校园网；网络安全；IPS；流控；IPv6

中图分类号：TP315 文献标识码：A 文章编号：1673-8454(2012)09-0033-04

一、前言

在大力推动高校信息化过程中，校园网络得到了快速发展。校园网作为高校信息化建设的重要基础设施，为学校教学、科研提供先进的信息化教学环境，同时为师生提供网络接入、综合信息服务等，校园网已经成为学校日常工作中不可或缺的一部分。在Internet快速发展过程中暴露出一系列问题，其中网络安全问题尤其突出，校园网作为Internet的重要组成部分，由于自身在网络安全方面的弱点，使其成为网络安全的重灾区，每年因为网络安全事件给高校造成财产、声誉等巨大的损失。校园网络安全建设是一个系统工程，它包含防火墙、入侵防御检测、防病毒、网络行为审计、漏洞扫描、灾难备份、安全集中管理等一系列安全措施。本文将详细分析校园网现状及用户特点，并针对影响整个校园网运行的安全事件进行分析，如造成校园网整体或部分区域断网、访问延迟的事件等，最后提出保障校园网网络安全的基本措施。

二、校园网安全现状及特点

校园网是一个集计算机网络技术、信息管理、办公自动化和信息等功能于一体的综合信息平台，是一个终端、服务器、网络设备、用户众多的复杂的局域网，通过有线、无线实现互联和数据传输。校园网的这些特点决定了在网络安全管理方面的复杂性。分析研究校园网安全现状可以从多个方面入手，主要的分析手段包括IDS、IPS等入侵检测系统以及系统漏洞分析系统。在本文中将通过流量控制系统、入侵检测系统、脆弱扫描分析系统等对校园网安全现状进行分析研究。校园网的安全现状及特点可以分为以下几方面：

1．活跃用户众多，安全意识淡薄

随着经济的快速发展，拥有一台个人计算机对于现在的大学生来说已经不再是一件不能想象的事，计算机技术也成为大学生的必修课。校园网的用户群体非常庞大，少则数千人、多则数万人。中国的高校学生一般集中住宿，因而用户非常密集。正是由于高带宽和大用户量的特点，网络安全问题蔓延快、对网络的影响严重。除此之外，大学生对新鲜事物的好奇心，驱使他们更愿意去尝试和挑战网络新技术，如果没有意识到后果的严重性，可能对网络造成一定的影响和破坏。校园网用户众多，但真正有网络安全意识的用户却少的可怜，大多数用户对于自己的PC机只做简单的系统默认防护，因此成为了校外攻击的主要攻击目标，除了会对个人信息、财产造成损失外，还有大量的PC机成为“僵尸主机”，成为了被非法分子利用攻击他人的“肉机”，或者作为攻击校园网的跳板。

2．盗版资源泛滥

由于缺乏版权意识，盗版软件、影视资源在校园网中普遍使用，这些软件的传播一方面占用了大量的网络带宽，另一方面也给网络安全带来了一定的隐患。比如，Microsoft公司对盗版的XP操作系统的更新作了限制，盗版安装的计算机系统今后会留下大量的安全漏洞。另一方面，从网络上随意下载的软件中很多都隐藏木马、后门等恶意代码，如不进行检测直接运行安装将很容易被攻击者侵入和利用。

3．应用服务管理不规范

随着互联网应用的增加以及师生对互联网资源需求的快速增长，校内各院系组织都建立起了自己的应用服务器，其中包括Web应用、FTP服务、BBS、高性能计算服务等等，这些服务部署分散、管理松散，大多数没有做安全防范，因此极容易受到攻击。这些服务虽然不是学校统一管理，但一旦受到攻击将严重影响学校网络和学校的声誉。如图1所示为我校某天的实时流量监控图，可以看出在21：00至22：00流量达到了顶峰，这时已经造成了整个校园网的丢包率在50%以上，整个校园网几乎瘫痪。

经过排查，最终发现为服务器区的某台服务器被攻击，断开该服务器网络后，校园网恢复正常，图2为局部网络拓扑，可见图中下方斜线处流量已经达800多兆。通过查看该服务器记录，得知该服务器为新入网机器，操作系统安装后并未做任何安全措施，也没有更新必要的安全补丁。

三、校园网常见安全问题分析

1．流量类型分析

流量控制系统是校园网中应用比较广泛的网络管理系统，近年来以P2P协议为核心的下载工具的大量应用，在给用户带来高速下载的同时也给网络带宽带来巨大的挑战，因此网络管理者开始应用流量控制系统以监控和管理这些流量来保证其他流量的正常传输。如果不对P2P流量进行限制，它将占满整个网络带宽，使整个校园网访问出现巨大延迟。除了P2P流量外，某些中毒的PC机或服务器也会出现向外发送大流量的情况，如UDP泛洪攻击、蠕虫攻击等。图3所示为我校IPS对网络事件的监测分析图，从图上可以看到校园网络中存在大量的P2P流量。

2．攻击方式分析

（1）探测扫描

网络攻击者在发动攻击之前必定会对目标网络进行探测以找出网络漏洞以备攻击，因此在对网络监控过程中将会发现大量的网络探测事件。图4为我校10天的网络事件监测分布图，其中排在第一位的便是Traceroute ICMP/IPOPT扫描探测类事件的相关操作，这其中有正常的操作当然也有很多非法的嗅探，由此可见网络攻击者无时无刻不在关注着校园的网络安全漏洞。

（2）跨站脚本攻击

跨站脚本攻击是指在远程Web页面的HTML代码中插入恶意代码，用户误认为该页面是可信赖的，当用户打开该页面，浏览器会自动下载恶意代码，运行其中的脚本。脚本注入事件属于Web安全问题范畴，它指攻击者利用Web应用系统不对用户输入数据进行严格检查和过滤的缺陷，主动通过用户输入域注入具有恶意性质的脚本片段。攻击者可以利用的用户输入域包括URL参数、表单域、Cookie域等，一般通过标签来注入脚本，或者通过其他HTML标签的属性赋值来注入脚本。这些注入的脚本片段将反射到被攻击者Web客户端并在被攻击主机的Web客户端上执行，从而达到恶意攻击目的，包括窃取客户端敏感信息，或者在用户无法觉察的情况下发送具有恶意性质或者可能导致严重后果的HTTP请求。跨站脚本攻击是一种在校园网中发生频率非常高的网络安全事件，每天在IPS监控中可以看到大量的报警信息。从学校网络管理者的角度来看，可将跨站脚本攻击分为两类，一类是校内某应用系统被植入脚本，当校内用户访问该用户时对用户发起攻击行为，第二类是校外的应用系统被植入脚本，当校内用户访问时对用户发起攻击，相对而言前者对校园网的危害更大一些，但一般不会对整个校园网整体运行造成危害。

（3）SQL 注入

SQL 注入是攻击者通过输入恶意的请求直接操作数据库服务器的攻击技巧。SQL注入是应用系统中最常见同时也是危害最大的一类弱点。导致SQL注入的基本原因是由于应用程序对用户的输入没有进行安全性检查，从而使得用户可以自行输入SQL查询语句，对数据库中的信息进行浏览、查询、更新。基于SQL注入的攻击方法多种多样，而且有很多变形，这也是传统工具难以发现和定位的。利用SQL注入漏洞可以构成对Web服务器的直接攻击，还可能用于网页挂马，导致机密数据如电子商务网站的客户信息等泄漏；服务器被控制；后台数据库执行非授权的查询、修改、删除；泄露认证相关的敏感信息，导致攻击者控制Web应用、网站数据的恶意破坏。每年在高校招生的一段时间内，都有众多高校的招生网站被挂马，因此给学校和考生带来非常大的损失。

（4）DDoS攻击

DDoS攻击是Distributed Denial of Service (分布式拒绝服务攻击)很多DoS攻击源一起攻击某台服务器就组成了DDoS攻击。[1]最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使服务器无法处理合法用户的指令。常见的有SYN Flood、TCP Flood、UDP Flood、ICMP Flood及其变种Land、Teardrop、Smurf、Ping of Death等等。　DDoS攻击是一种可以造成大规模破坏的黑客武器，它通过制造伪造的流量，使得被攻击的服务器、网络链路或是网络设备(如防火墙、路由器等)负载过高，从而最终导致系统崩溃，无法提供正常的服务。随着各种业务对Internet依赖程度的日益加强，DDoS攻击所带来的损失也愈加严重。包括运营商、企业及政府机构的各种用户时刻都受到了DDoS攻击的威胁，而未来更加强大的攻击工具的出现，为日后发动数量更多、破坏力更强的DDoS攻击带来可能。

图5为我校2011年8月4日的校园网流量图，可以看出在18：20至18：30左右和19：50至20：00点间校园网总出口流量异常，在此期间整个校园网几乎无法访问。IPS设备报警显示网络受到UDP-Flood淹没拒绝服务攻击。通过对相应外网攻击IP和校内被攻击IP做了访问限制，网络恢复正常。

（5）ARP病毒

ARP病毒并不是某一种病毒的名称，而是对利用ARP协议的漏洞进行传播的一类病毒的总称。ARP协议是TCP/IP协议组的一个协议，用于把网络地址翻译成物理地址（又称MAC地址）。[2]通常此类攻击的手段有两种：路由欺骗和网关欺骗。ARP是一种入侵电脑的木马病毒。当病毒发作时会发出大量的数据包导致局域网通讯拥塞，造成该交换机资源耗尽，导致大量用户无法上网或访问速度缓慢。如图6所示为我校某宿舍楼ARP监测记录，因一台PC机中ARP病毒导致其他学生无法上网。从图上可以看出该网段内所有IP地址对外呈现一个MAC地址和一个交换机端口，可见ARP病毒将自己宣称为网关致使所有PC机将流量转移到该中毒PC上。

四、防护措施

1．有效利用网络管理系统

强有力的技术手段是网络安全的重要保证，网络管理人员应在网络出现问题时在最短的时间内解决问题。有效地利用入侵检测系统、流量监控系统、网络管理系统来定位网络故障点，并进行有效处理。入侵检测系统能最早地对网络安全事件进行报警，通知管理人员防止事件蔓延，网络管理员通过入侵检测系统报警的信息通过网络管理系统查看网络拓扑图，网络设备信息具体定位到某一区域的某几台设备，并对其进行相应处理。根据问题设备的不同用途和安全事件类型进行不同的处理，包括关闭该设备的外网访问、限制流量、限制连接数等措施。

2．校园网真实源地址验证

目前因特网大多数采用IPv4协议，由于互联网在近几年的飞速发展，IPv4协议自身的局限性日渐凸显，严重制约着网络的进一步发展，尤其是枯竭的地址及安全问题，由此产生的以IPv6协议为基础的下一代互联网在很大程度上顺应了网络的发展要求。针对IPv6主机的安全合法接入问题，清华大学于2009年4月提出SAVI源地址合法性检验RFC草案，该草案主要讲述了IPv4/IPv6的CPS（Control Packet Snooping）原理，根据CPS原理在接入设备上建立基于源地址、锚（MAC地址和接入设备的端口）绑定关系，从而可以判断从接入设备的指定端口接收到的报文的源地址的有效性。源地址匹配绑定表项的数据才允许转发，保证网络上数据分组源地址的真实性。过滤表项用来对数据报文进行过滤。过滤表项的绑定表的一个子集，只有源地址存在于过滤表中的数据报文才能允许通过。地址过滤表主要是将表项绑定到硬件接口上，由硬件进行源地址过滤，指定的用户只能从指定的接口接入。硬件绑定支持“仅IPv6地址”模式和“IPv6+MAC”模式两种绑定。前者检查报文（VID，源IP地址，端口）的匹配关系，后者检查报文（VID，源MAC地址，源IP地址，端口）的匹配关系。我校现已经实现了教学科研区、学生宿舍区的IPv6全覆盖，并通过校园网真实地址验证系管理系统对其进行监测，实时发现非法IP和非法访问，图7为我校校园网真实地址验证管理系统监控报警信息。

3．服务器的统一规范管理

信息网络中心作为学校网络的服务提供者应将校内各单位Web服务、FTP服务等集中放置在信息网络中心的服务器上，服务器由信息网络中心统一管理，内容的更新由各单位负责并通过远程维护，信息网络中心为各单位提供统一的动态信息平台。具备服务器运行环境，并需独立运行和维护服务器的单位，需经信息网络中心批准后方可自行管理维护。统一的管理便于部署统一的安全策略，大大提高资源的有效性和安全性。对服务器的入网进行统一管理，没有达到网络安全标准的禁止入网，网络中心负责全校IP地址的管理与分配，对于新入网的服务器必须要求其填写服务器相关信息，明确服务用途，服务上架完成后，由信息网络中心进行安全检测和端口扫描，根据用户填写的服务用途要求用户关闭不相关的端口和服务，安全检测通过后允许用户连接外网。定期进行安全评估，帮助校园网管理者对目前自己的网络、系统、应用的缺陷有相对直观的认识和了解，及时发现问题并采取相应安全措施。安全评估利用网络安全扫描器、专用安全测试工具对网络中的核心服务器及重要的网络设备，包括服务器、网络设备、防火墙等进行安全检查并结合非破坏性质的模拟黑客攻击，目的是侵入系统并获取机密信息并将入侵的过程和细节产生报告给用户。网络管理者通过这些报告对网络设备及信息系统进行安全加固，预防网络安全事件的发生。

4．校外人员接入安全

校外人员接入分为师生对校内资源的访问和工作人员远程对校内网络设备的访问。在校师生出差或不在校内时有访问校内资源的需求，学校开放这些资源的同时也带来一定安全方面的问题，SSL VPN的接入方式很好地解决了这方面的问题，为校外师生访问校内资源提供了安全可靠的访问方式。我校信息网络中心目前有核心设备近百台，包括防火墙网络、路由器、交换机、重要服务器等。每台设备出问题，都会影响到学校部分甚至整个的网络和工作，而每台设备都由两人或多人共同管理维护，还有公司人员协助管理维护。另外学校在建的很多网络工程需要公司的参与，校外公司人员需长期参与和维护校内网络设备，因此需要给这些人员建立一种专门的访问方式。如果无法记录每台设备的操作历史，出现问题将无法查找，操作安全问题无法解决；另外，设备较多，密码的管理和维护比较困难，设备的安全性比较低。为解决这一问题，我校建立了网络核心设备安全管理系统（堡垒主机系统）统一管理网络设备及部分核心服务器，校外人员通过合法的身份进入堡垒主机，通过堡垒主机去访问网络设备，作为学校网络管理者可以掌握并审计这些人员的操作行为，做到行为可查询、可审计。

五、结束语

高校校园网络的高速发展在很大程度上推动了学校的发展，同时日益突出的网络安全问题严重影响了网络健康发展。本文从高校网络管理者的角度结合日常工作，通过分析校园网运行数据提出解决校园网网络安全的措施，高校网络安全需要有完善的软硬件环境，更需要有完善的可执行的规章制度。

参考文献：

第9篇

21世纪足信息化的时代，信息化覆盖面广、渗透力强、带动作用明显，是推动经济社会发展和变革的重要力量，已成衡量一个国家或地区经济发展和社会文明进步的重要标志。电子政务足社会信息化发展的必然，发展电子政务对加快转变政府职能，提高行政效率，增强政府社会管理和公共服务能力，具有重大的推动作用，同时也是全面贯彻党的十七大精神，深入落实科学发展观的重大举措。随着电子政务的发展和人们对信息依赖程度的逐步提高，电子政务的安全问题也越来越突出，电子政务系统中被发现的安全漏洞越来越多，针对政府电子政务系统的攻击更是层出不穷。随着经济的发展政府在电子政务系统的投入也在不断增多，我国的电子政务发展口新月异，在软硬件建设上已初具规模，但是大部分电子政务系统都是重建设、轻安全，系统建设完成后对系统的安全性还不能做到心中有数。进行电子政务系统安全测评是掌握已投入使用的电子政务系统安全性的必要手段。那么如何系统科学地开展电子政务系统的安全测评工作呢?本文正是围绕这个问题对电子政务系统安全测评的诸多方面进行研究分析的。

2测评方法研究

在电子政务系统的安全测评中，摆在我们面前的测评对象往往是一个庞大的、错综复杂的信息系统，因此采用解决系统复杂性的科学方法是做好电子政务系统安全测评的必然选择。举例来说，如果没有当年的系统科学工程都江堰，就不会有现。。在富饶的天府之国。都江堰水利工程在2008年经历了“5．12”汶川8级毁灭性的大地震之后，损失甚微，这非常值得我们深思。都江堰“治水”工程中的系统科学方法之思想，与我们今天的“治信息”的思想有着异曲同工之妙。

电子政务系统安全测评工作的最大特征就是要求澜评工程师具有“系统科学”的视野和方法。在这里“系统科学”包括以下几个方面的含义：

一是系统测评中要有严肃的科学精神、严谨的工作作风和对标准严格遵守的精神。所有的测评工作都必须严格遵守国家有关标准规范并严格遵循铡评工作流程，只有这样才能体现测评结果的客观性、科学性和公正性。

二是系统测评涉及到方方面面的技术，不是一个人就能完全驾驭的，从事测评工作的应该是一个团队，而不是单独的一个人，也就是说团队协作至关重要。

三是测评对象往往不是单一的软件或硬件，而是一个庞大复杂而且处在不断变化中的信息系统，这就决定了我们在铡评过程中不可能仅仅使用一套软件或是一种方法就能够完成任务，我们需要使用系统科学的方法。

四是将安全测评系统科学的方法宣贯给被测评方的相关管理人员和技术人员，即在测评过程中要贯彻“人一机合一”的系统科学思想。

本文主要按照上述的系统科学思想对电子政务系统测评中标准遵守、“人一机合一”、安全控制项的安全测评和系统整体安全测评的方法进行研究。

2．1遵守标准

标准往往只具有指导性而缺乏可操作性，因此要做到严格遵守标准就需要测评机构应该认真研究信息技术安全技术信息技术安全性评估准则》、《信息安全技术信息安全风险评估规范》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》等信息安全测评方面的标准，将其项目逐一细化为可操作性强的作业指导书，并编写各个安全测评控制项的安全检查方法和测试用例。另外，溯评前应制定测评计划和测评实施方案等文件。

2．2安全控制测评

系统中的各种安全控制(如数据安全控制、主机安全控制、网络安全控制以及应用安全控制等方面的配置情况和其有效性进行访谈、检查和测试)，是电子政务系统安全的基石，对电子政务安全控制的溯评也是对系统整体测评的基础。

安全控制测评的具体方法是访谈、检查和测试。访谈是指测评工程师通过与被测评方的相关管理和技术人员进行交流和讨论，获取能够证明系统安全措施有效的证据。检查是指测评工程师通过对测评对象进行观察、查验和分析等活动，获取能够证明系统安全措施有效的证据。测试是指测评工程师按照作业指导书和测试用例对测评对象进行输入的活动，然后查看分析输出结果，获取能够证明系统安全措施有效的证据。

测评工作完成后应当出具一个包括访谈、检查和测试的整体测评技术报告。其中访谈部分的内容可以贯穿到报告的其他方面检查报告至少要包括检查对象、检查目标、检查环境、检查方案、检查步骤、检查结论和检查人员时间等内容；测试报告应该至少应包括以下内容：测试对象、测试目标、测试环境、溯试方案、测试步骤、测试分析、测试结果和测试人员时间等。

2．2．1数据安全测评

数据安全测评主要从数据的完整性、保密性、可用性和数据备份与灾难恢复四个方面来考虑，在测评过程中应尽可能的使用硬件或软设备来辅助工作，这样不仅可以提高测评效率，还有助于提高测评结果的准确性。如我们可以使用Sentinel工具来帮助我们完成数据完整性检查和测试，检查主机足否配备了检测程序完整性受到破坏的功能，并能够在检测到完整性错误时采取必要的恢复措施；可以使用Wireshark、Sniffer等软件来进行数据保密性测试。

2．2．2主机安全测评

根据相关国家标准主机安全测评包含8个主要环节，分别为身份鉴别、自主访问控制、强制访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范和资源控制。主机安全测评的3种主要手段是安全访谈调研、主机安全现场检查、主机安全措施有效性测试。

2．2．3网络安全测评

网络安全测评的主要方面也可以归结为8个环节，即结构安全与网段划分、网络访问控制、拨号访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护。测评方法也是对上述8个方面，利用访谈、检查和测试等手段进行分析。

2．2．4应用安全测评

从目前信息系统安全漏洞统计来看，应用服务漏洞比例占据了80％。应用服务是整个信息系统的灵魂。伴随着应用服务功能的多样化，其存在的漏洞可能性就越多，因此应用安全测评是整个系统安全测评的重中之重。应用服务安全常规的测评对象主要由以下9个环节组成，分别是身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错和资源控制。对于以上内容的测评方式，可以采用前期访谈分析、现场检查应用配置安全和工具检测测评等手段。

2．3系统整体测评

系统整体测评，以安全控制测评为基础，主要测评分析信息系统的整体安伞性，系统整体测评涉及到信息系统的整体拓扑、局部结构，也关系到信息系统的具体安全功能实现和安全控制配置，与特定信息系统的实际情况紧密相关，内容复杂且充满系统个性。

安全控制间安全测评是指测评分析在同一区域和层面内两个或者两个以上不同安全控制之间由于存在连接、交互、依赖、协调、协同等相互关联关系而产生的安全功能增强、补充或削弱等关联作用对信息系统整体安全保护能力的影响。

层面间安全测评是指测评分析在同一区域内两个或者两个以上不同层面之间由于存在连接、交互、依赖、协调、协同等相互关联关系而产生的安全功能增强、补充或削弱等关联作用对信息系统安全保护能力的影响。

区域间安全测评是指测评分析两个或者两个以上不同物理逻辑区域之问由于存在连接、交互、依赖、协调、协同等相互关联关系产生的安全功能增强、补充或削弱等关联作用对信息系统安伞保护能力的影响。

全面地给出系统整体测评要求的完整内容、具体实施方法和明确的结果判定方法是很困难的。测评工程师应根据特定信息系统的具体情况，在安全控制测评的基础上，重点考虑不同安全控制之间、安全层而之间以及不同安全区域之间的相互关联关系，发掘这些因素之间相互影响和带来的安全漏洞。在本文中我们以渗透测试为例来阐述系统整体测评。渗透测试可以通过某一个安全区域(或安全控制或安全层面)为立足点，通过获取操作权限，占领主机并以此为跳板渗透到其他区域(或安全控制或安全层面)，因此渗透测试不失为系统整体测试的一种好方法。

渗透测试(penetrationtest)作为一种非常规测评方法，任得到授权后，以黑客使用的工具、技术和攻击手段为主，对目标网络和应用系统等进行非破坏性入侵，使用不影响业务系统正常运行的攻击方法进行的测试，从而发现系统存在的安全隐患，检验业务系统的安全防护措施是否有效，各项安全策略是否得到贯彻落实。渗透测试的过程是一个层叠、循序渐进的过程，其测试手段具备多样化、偶然性、累积性、针对性强的特点。

渗透测试作为安全测评中的一项重要环节，其意义主要有如下两种：

(1)凸现最严重的安伞问题。渗透测试通过各种手段搜集获取的信息池，分析建立系统薄弱环节，通过利用漏洞达到入侵目的，验证了系统严重的安全问题。

(2)突出信息安全测评重要性。渗透测试以最直观的形式，以即在事实证据向被评估单位提供安全漏洞的潜在威胁风险，起到震撼效果，消除了部分人员对安全测评工作重要性轻视和质疑。

2．4“人一机合一”

我们在测评过程中发现有些被测评方的管理人员和技术人员对操作系统安全配置不屑一顾，他们没有认识到信息安全遵循的“木桶原理”，即系统安全与否主要取决于“最短板”。不法人员往往就是利用系统的短板来进行攻击和渗透。因此在测评过程中应该与被测评方进行充分有效的沟通和交流，这样我们的安全防范能力才能有所提高。

3结语