信息安全整改措施

篇一：××单位信息安全整改报告

××单位 信息安全整改报告

(管理信息系统)

××单位 二零一一年九月

1 概述

根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》（信安通［2006］15号）、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》（办信息[2006]48号）以及集团公司和省公司公司的文件要求,进行××单位的信息安全整改工作。

2 目标

根据安全检查报告中的整改措施，积极实施整改，力争将检查中发现的安全隐患快速、高效的解决。

××单位信息安全检查工作的主要目标是通过自评估工作，发现本局信息系统当前面临的主要安全问题，边检查边整改，确保本局信息网络和重要信息系统的安全。

本次安全检查工作将完成以下任务：

1）完成相关单位典型系统的信息安全风险评估工作。通过检查掌握当前本局信息系统面临的主要安全问题，并在对检查结果进行分析判断的基础上提出整改措施；

2）进行本局范围内信息安全大检查，对相关单位的基础网络和重要信息系统进行安全性自查，并将相关数据进行汇总分析，统计重大和典型信息安全事件，及时发现和查找基础网络和重要信息系统存在的安全隐患，边检查边整改，确保本局基础网络和重要信息系统安全、可靠运行。

3 安全整改措施

3.1 关于规章制度与组织管理的整改

1、完善信息安全组织机构，成立信息安全工作机构。

整改措施：

2、明确专兼职管理人员配置，根据实际情况制定专责的工作职责与工作范围，岗位设置主、副岗备用制度。

整改措施：

3、完善病毒预警和报告机制，制定计算机病毒防治管理制度。 整改措施：

4、制订信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、运行值班制度，实行工作票制度，记录机房进出情况。

整改措施：

5、制订账号与口令管理制度，完善普通用户账户与管理员账户密码、口令长度要求；对账户密码、口令变更作相关记录；及时对系统用户身份发生变化后对其账户进行变更或注销。

整改措施：

3.2 关于网络与系统安全的整改

1、生产控制系统和管理信息系统之间进行分区。 整改措施：

2、建立IP地址管理系统，加快进行对IP地址的规划和分配。 整改措施：

3、完善补丁管理手段，制订相应管理制度；补缺Windows系统主机补丁安装，补丁安装前进行测试记录。

整改措施：

4、对操作系统的安全配置进行严格的设置，删除系统不必要的服务、协议。 整改措施：

3.3 关于网络服务与应用系统的整改

1、按标准建设WWW服务。 整改措施：

2、解决OA系统趋势防病毒软件系统问题，对邮件系统的维护、检查审计进行记录。

整改措施：

3、远程拨号访问设置按上述标准执行。 整改措施：

4、记录完善系统的角色、权限分配并记录；记录半年内用户账户的变更、修改、注销；关键应用系统的数据功能操作进行审计；制定针对关键应用系统的应急预案；关键应用系统管理员账户、用户账户口令定期进行变更；新系统上线前应严格按照相关标准进行安全性测试。

整改措施：

3.4 关于安全技术管理与设备运行状况的整改

1、防火墙规则配置的建立、更改要有规范申请、审核、审批流程，对防火墙日志应进行存储、备份。

整改措施：

2、实施服务器端防病毒系统，配置专责人员负责维护防病毒系统并及时发布病毒通告。

整改措施：

3、按标准部署、配置入侵检测系统。 整改措施：

4、按标准部署身份认证系统、安全管理平台、针对安全设备的日志服务器，采用漏洞扫描系统，重要系统将一年进行一次信息安全风险评估。

整改措施：

3.5 关于存储备份系统的整改

1、完善备份策略，严格按照备份策略对系统数据进行备份。 整改措施：

2、建立介质管理制度和废弃介质处理制度，专人对存储介质进行定期检查。 整改措施：

3.6 关于介质及物理环境安全的整改

1、主机房安装门禁、监控与报警系统。 整改措施：

2、补全机房配线图，定期对UPS的运行状况进行检测和记录。 整改措施：

3、采用气体防火措施。 整改措施：

4、制订笔记本使用管理制度。

篇二：网络安全建设整改方案

四川沃联科技有限公司 .cn

专注系统集成、综合布线、监控系统、网络安全领域

网络

安

全

建

设

整

改

方

案

设计实施单位：四川沃联科技有限公司

.cn

四川沃联科技有限公司｜领先的信息与技术服务公司

? 第一章：公司介绍

? 第二章：客户需求

? 现有问题状况

? 第三章：推荐的安全方案

? 应用背景

? 联合防御机制

? 内外中毒PC预警通知

? 反ARP攻击

? 入侵检测

? 阻挡外部病毒入侵

? 第四章：安全方案的实施

? 安装实施杀毒软件

? 安装实施统一威胁安全网关

? 第五章：产品介绍

? AboCom统一威胁网关介绍

.cn

四川沃联科技有限公司｜领先的信息与技术服务公司

第一章 公司介绍

四川沃联科技有限公司,致力于信息技术及产品的研究、开发与

应用，为政府、教育、企业提供适合、优质、可靠的信息技术产品和

各种类型的解决方案，包括计算机网络系统集成工程、网络安全系统

设计和建设、专业化的网络信息管理系统集成、建筑工程弱电系统设

计和集成、独具特色的行业应用系统以及网络安全和文档安全解决方

案、企业应用软件开发与推广。

公司坚持“客户需求是我们永远的目标”的经营理念，并努力在

内部贯彻高效、和谐、自信、坦诚的企业文化。坚持不断探索、不断

创新的自我超越精神，努力提升团队的服务能力。

“品质与价值、承诺必实现”是沃联对用户不变的保证，我们期待

成为您的IT合作伙伴优先选择。

第二章 客户需求

根据贵公司描述情况，我们发现贵公司有如下安全需求：

1、 内网病毒的防护。保护内网计算机安全

2、 控制上网电脑的一些上网行为，如限制下载、限制即时通信

软件、限制浏览网站、限制BBS等

3、 控制电脑的上网权限，有认证的电脑才能上网

4、 对垃圾邮件、病毒邮件的阻止。对邮件行为控制

5、 保护内部电脑不受黑客攻击

四川沃联科技有限公司｜领先的信息与技术服务公司 .cn

第三章 推荐的安全方案

我们提供的安全方案：内外兼具的网络安全管理解决方案

1、应用背景

病毒通常是以被动的方式透过网络浏览、下载，E-mail 及可移动

储存装置等途径传播，通常以吸引人的标题或文件名称诱惑受害者点

选、下载。中毒计算机某些执行文件会相互感染，如 exe、com、bat、

scr 格式的档案；而黑客通常会针对特定的目标扫描，寻找出该系统

的漏洞，再以各种方式入侵系统并植入木马程序，也可利用一个个已

被攻陷的计算机组成殭尸网络（Botnet）对特定目标发动大规模的分

布式阻断服务攻击（DDoS） 或 SYN 攻击，藉以把目标的系统资源耗

尽并瘫痪其网络资源，若该目标是企业对外提供服务的服务器，必然

会造成企业若大的损失。

早期的网络用户注重对外部威胁的防范而疏于对内防护，而目前有较

多的安全隐患往往从内部网络产生；友旺科技提供内外兼具的立体安

全防护手段，不仅在网络出口的第一道屏障就防止病毒及攻击进入内

部网络，同时也对从内部发起攻击有针对性防范，为企业网络的安全

层层护航。

2、联合防御机制

我们认为企业内网的防护应该是全方位立体的联合防御机制，网

络防护应该从第二层到第七层综合防护，友旺科技产品独有的联合防

四川沃联科技有限公司｜领先的信息与技术服务公司 .cn

御技术将二层的周边交换机及三层的核心交换机有效的整合在一起，

通过联合防御技术达到综合防御管理的目的。把内网有异常的用户所

造成的危害有效控制。达到从第二层就防御的目的。

3、 内网中毒PC预警通知

内部用户中毒特别是中蠕虫病毒后如果不加以重视，采取适当措

施，网络蠕虫病毒会在短时间内对内部网络用户造成极大的危害，如

不采取适当措施，MIS将对局域网络失控； AboCom从2002年开始，

采用先进的内部中毒用户预警防御技术，将可能的网络网络风暴在一

开始就通过多种方式第一时间告知管理员，是哪个用户的哪台PC在

何时出现问题，不会让管理员束手无策，难以定位，从而达到预警可

控的目的。

当察觉内部有 PC 中毒时，不只可以阻挡异常IP发生封包，还会寄

出警讯通知信给系统管理员并发出 NetBIOS 警讯通知中毒 PC，告知

系统管理员是哪个 IP 的计算机疑似中毒，而 PC用户也可及时接获

警讯的通知来得知自己的计算机中毒必须赶紧找 MIS 来处理，这样

管理员便可以迅速地找出中毒的 PC，轻松解决内部PC 中毒的困扰。

4、 反ARP攻击

ARP攻击通过伪装网关的IP地址，不仅可能窃取密码资料，同时

也使内部受攻击用户无法正常上网，使网络造成中断；管理员如不及

时采取措施，受到攻击用户数量可能扩散，因此，友旺科技在网络网

四川沃联科技有限公司｜领先的信息与技术服务公司 .cn

篇三：医疗信息安全等级保护建设整改方案(板模)-V1.0

XX医院信息安全等级保护

XX医院信息安全等级保护

建设整改方案

福建星网锐捷网络有限公司

版权所有 侵权必究

修

订记

录

目

1 录

2

3 概述 ..................................................................................................................................... 4 1.1 目的 .................................................................................................................... 4 1.2 等级安全体系设计目标 .......................................................................................... 4 1.2.1 总体目标 ........................................................................................................... 5 1.2.2 安全技术体系目标 .............................................................................................. 5 安全需求分析 ........................................................................................................................ 6 2.1 现状分析 .............................................................................................................. 6 2.1.1 网络体系现状 ..................................................................................................... 6 2.1.2 安全体系现状 ..................................................................................................... 6 2.1.3 应用系统现状 ..................................................................................................... 7 2.2 安全风险威胁分析 ................................................................................................. 8 2.3 安全问题总结 ....................................................................................................... 8 2.3.1 网络安全问题 ..................................................................................................... 8 2.3.2 主机安全问题 ..................................................................................................... 9 2.3.3 应用系统和数据安全 ........................................................................................... 9 2.3.4 安全保障 ........................................................................................................... 9 2.4 安全需求总结 ....................................................................................................... 9 2.4.1 身份鉴别与访问控制 ........................................................................................... 9 2.4.2 病毒的防治 ............................................................................ 错误！未定义书签。 2.4.3 安全审计 ............................................................................... 错误！未定义书签。 2.4.4 安全管理 ............................................................................... 错误！未定义书签。

等保安全体系总体设计 ........................................................................................................... 9

3.1 等级保护体系概述 ...................................................................... 错误！未定义书签。

3.2 等级化安全体系设计方法 ............................................................ 错误！未定义书签。

3.3 3.2.1 11

分域保护框架建立 ...................................................................... 错误！未定义书签。

4

5 3.3.1 11 整改方案总结 ............................................................................................ 错误！未定义书签。

附录：资产清单列表 ................................................................................... 错误！未定义书签。

概述

1.1 编制背景

随着医疗卫生体制改革的不断深化，卫生行业信息化应用不断普及。医院信息系统已成为医疗服务的重要支撑体系。医院信息系统的安全性直接关系到医院医疗工作的正常运行，一旦网络瘫痪或数据丢失，将会给医院和病人带来巨大的灾难和难以弥补的损失。同时，医院信息系统涉及大量医院经营和患者医疗等私密信息，信息的泄露和传播将会给医院、社会和患者带来安全风险。

为贯彻落实国家信息安全等级保护制度，按照《卫生部关于印发〈卫生行业信息安全等级保护工作的指导意见〉的通知》要求，XX医院积极开展等级测评工作。医院信息系统是支撑医院系统运作及各部门共同合作与营运的关键应用，承载着医院主要的业务数据。通过信息系统等级保护定级和安全测评工作，提前发现信息系统中存在的安全风险和漏洞，据此提出信息系统安全等级保护整改和解决方案，避免安全事件对业务工作带来损失；完善信息系统安全管理制度，提升信息系统安全管理水平。

1.2 编制目的

根据XX医院网络系统的现状和将来的应用需求，并结合等级化保护的相关要求，而制定针对性的技术方案与管理方案，为XX医院信息系统的等级化安全体系改造和加固提供参考和实施依据。本方案将主要阐述和针对XX医院网络系统的改造和信息安全体系的规划设计。

主要内容为XX医院信息系统的总体信息安全体系安全改造，包括以下几个方面：

?

?

?

?

? 建设XX医院网络安全基础设施； XX医院信息系统的边界安全保护； XX医院 信息系统的计算环境安全保护； 建立XX医院信息系统的安全管理和运维体系。

1.3 等级安全体系设计目标

根据对XX医院信息系统的全面了解，并结合国家的相关政策标准，XX医院网络系统的信息安全建设目标如下。

4

1.3.1 总体目标

为了落实《卫生行业信息安全等级保护工作的指导意见》（卫办发〔2011〕85号）和《关于全面开展卫生行业信息安全等级保护工作的通知》（卫办综函[2011]1126号），实施符合国家标准的安全等级保护体系建设，通过对XX医院网络系统的安全等级划分，确保XX医院网络的核心信息资产的安全性，从而使重要信息系统的安全威胁最小化，达到网络信息安全投入的最优化。最终实现如下总体安全目标：

（1） 依据信息系统所包括的信息资产的安全性、信息系统主要处理的业务信息类别、信息系统

服务范围以及业务对信息系统的依赖性等指标，来划分信息系统的安全等级。

（2） 通过信息安全需求分析，判断信息系统的安全保护现状与《信息安全技术信息系统安全等

级保护基本要求》之间的差距，确定安全需求，然后根据信息系统的划分情况、信息系统定级

情况、信息系统承载业务情况和安全需求等，设计合理的、满足等级保护要求的总体安全方案，

并制定出安全实施规划，以指导后续的信息系统安全建设工程实施。

（3） 达到公安部关于信息系统安全等级保护相关要求。

1.3.2 安全技术体系目标

按照信息系统安全等级保护关于信息系统在物理、网络安全运行、信息保密和管理等方面的总体要求，科学合理评估信息系统当前存在的风险，协助其合理确定安全保护等级，在此基础上科学规划设计一整套完整的安全体系改造加固方案。

该安全体系需要全面保卫网络和基础设施、边界和外部接入、计算环境、支持性基础设施、数据和系统等方面内容，实现信息资源的机密、完整、可用、不可抵赖和可审计性，基本做到“进不来、拿不走、改不了、看不懂、跑不了、可审计”。

具体包括：

（1） 保障基础设施安全，保障网络周边环境和物理特性引起的网络设备和线路的持续使用。

（2） 保障网络连接安全，保障网络传输中的安全，尤其保障网络边界和外部接入中的安全。

（3） 保障计算环境的安全，保障操作系统、数据库、服务器、用户终端及相关商用产品的安全。

（4） 保障应用系统安全，保障应用程序层对网络信息的保密性、完整性和信源的真实的保护和

鉴别，防止和抵御各种安全威胁和攻击手段，在一定程度上弥补和完善现有操作系统和网络信

息系统的安全风险。

（5） 安全管理体系保障，根据国家有关信息安全等级保护方面的标准和规范要求，结合XX医

院实际情况，建立一套切实可行的安全管理体系。

5

《信息安全整改措施》由：免费论文网互联网用户整理提供；
链接地址：http://www.csmayi.cn/show/47725.html
转载请保留,谢谢!

• 上一篇：师德建设整改措施
• 下一篇：办公室卫生整改措施