****人寿**分公司关于开展2017年保险业网络安全检查工作的报告 **保监局办公室:
接到**保监局《关于开展2017 年**保险业信息系统安全检查工作的通知》(新保监统〔2017〕14 号)后,我司领导高度重视,责成客服部牵头,按照自查表项目进行逐一排查。由于我司信息化建设和管理工作一直遵循总公司“统一规划、统一建设、统一管理、集中运营”的策略。**分公司机房为中转机房,不涉及保险行业关键基础信息、国家级重要信息系统;
不涉及服务器独立运行、网络独立连接以和网络安全等级等系列问题。现将我司自查所涉及问题作如下汇报:
(一) 网络信息安全自查情况;
为确保本次自查工作有序开展,稳步推进,公司成立了自查领导小组。分公司总经理刘捷担任组长;
分公司总经理助理黄健担任执行小组组长;
组员为分公司IT岗王磊、许志鑫及三级机构兼职IT岗人员。
我司分三个阶段落实自查工作:第一阶段,对自查项目逐一排查并按要求填报;
第二阶段,由分公司执行小组本着客观负责的工作态度,采用查阅管理文档、现场演示、人员访谈等方式,对上一阶段的排查情况进行汇总及实地复核;
第三阶段,根据复核结果完善报送材料,提交报告。
(二) 网络安全监测、技术检测方面 1.信息基础设施梳理和排查情况 我司运营网络依托总公司信息营运中心提供的集中网络运营。为保护内网安全,由外至内建立多层级的软硬件防护体系,将信息安全 建设、信息系统建设同步规划、同步实施。
(1)计算机涉密信息管理情况 今年以来,我司加强组织领导,强化宣传教育,落实工作责任,加强日常监督检查,将涉密计算机管理抓在手上。对于计算机磁介质(软盘、U盘、移动硬盘等)的管理,采取专人保管、涉密文件单独存放,严禁携带存在涉密内容的磁介质到上网的计算机上加工、贮存、传递处理文件。另外我司对全体员工实行了USB管控,没有权限的员工无法对公司电脑进行读取写入,形成了良好的安全保密环境。对涉密计算机(含笔记本电脑)实行了与国际互联网及其他公共信息网物理隔离,并按照有关规定落实了保密措施,到目前为止,未发生一起计算机失密、泄密事故;其他非涉密计算机(含笔记本电脑)及网络使用,也严格按照司计算机保密信息系统管理办法落实了有关措施,确保了机关信息安全。
(2)硬件设备使用合理,软件设置规范,设备运行状况良好。
我司每台终端机都安装了防病毒软件,系统相关设备的应用一直采取规范化管理,硬件设备的使用符合国家相关产品质量安全规定。我们重点清查了内网和外网的接入情况,排除了内网和外网共用设备、混接等安全隐患,内、外网严格实行了物理隔离。严禁计算机使用者擅自进行内外网切换,杀毒软件由网络管理人员定期升级维护。禁止使用无线网卡、蓝牙等无线互联功能的设备。机房有专人负责管理与维护,无关人员未经批准不得进入机房,更不得动用机房内的网络设备和资料。
网络及硬件设备确保24小时正常运行,工作温度保持在25℃以下。内网专用防火墙设置正确,相关安全策略正常启用。IP地址分配表网络线标注明晰,并记录在案。对所有硬盘、移动设备全部按照保密要求进行排检,所有U盘存放文件必须符合保密要求,用于内外网传输的U盘不得存放文件,内外网计算机严格区别使用,不得在外网计算机上存放、操作内部文件。
(3)通讯设备运转正常 我司网络系统的组成结构及其配置合理,并符合有关的安全规定;网络使用的各种硬件设备、软件和网络接口也是通过安全检验、鉴定合格后才投入使用的,自安装以来运转基本正常。
? 2.网络安全自查情况 公司内部网络,通过划分子网分区、设置内部防火墙,限制内部人员对服务器的访问控制,实现无线网络同办公网络的完全隔离。同时内网防火墙与DMZ区边界防火墙配合实现多重异构防护,增强了内部核心网络对外来黑客渗透攻击的防护力。
**分公司及其他二级机构均进行了网络隔离,使得彼此拥有相对独立的运行空间,满足监管部门对于集团化运作风险隔离的要求。
为确保计算机网络安全、实行了网络专管员制度、计算机安全保密制度、网站安全管理制度、网络信息安全突发事件应急预案等以有效提高管理员的工作效率。同时我司结合自身情况制定计算机系统安全自查工作制度,做到四个确保:一是系统管理员于每周五定期检查中心计算机系统,确保无隐患问题;二是制作安全检查工作记录,确保工作落实;三是实行领导定期询问制度,由系统管理员汇报计算机使用情况,确保情况随时掌握;四是定期组织全司人员学习有关网络知识,提高计算机使用水平,确保预防。
? (1)网络安全方面。我司配备了防病毒软件、网络隔离卡,采用了强口令密码、数据库存储备份、移动存储设备管理、数据加密等安全防护措施,明确了网络安全责任,强化了网络安全工作。
(2)开展经常性安全检查,主要对SQL注入攻击、跨站脚本攻击、弱口令、操作系统补丁安装、应用程序补丁安装、防病毒软件安装与升级、木马病毒检测、端口开放情况、系统管理权限开放情况、访问权限开放情况、网页篡改情况等进行监管,认真做好系统安全日记。
(3)日常管理方面切实抓好外网、网站和应用软件“五层管理”,确保“涉密计算机 不上网,上网计算机不涉密”,严格按照保密要求处理光盘、硬盘、U盘、移动硬盘等管理、维修和销毁工作。重点抓好“三大安全”排查:一是硬件安全,包括防雷、防火、防盗和电源连接等;二是网络安全,包括网络结构、安全日志管理、密码管理、IP管理、互联网行为管理等;三是应用安全,包括网站、邮件系统、资源库管理、软件管理等。
? ? ? 3.员工终端 **分公司的员工终端使用统一的网络代理,内外网的数据交换均通过总公司代理服务器筛选,可对员工上网行为进行控制,增强了员工使用互联网的安全性。
我司为富德生命人寿**分公司,网络环境应总公司要求架设。网络策略应总公司要求实施。本地服务器有域控服务器,文件服务器,防火墙服务器及备份服务器。辖下所有电脑终端均安装有趋势防火墙,对所有终端进行行为监控和风险预防。
? 4.防病毒管理 **分公司设有趋势防火墙子服务器,终端设备利用脚本强制安装趋势杀毒客户端,并接入**分公司趋势防火墙子服务器,以保证持续更新。客户端的病毒查杀日志会集中上报至信息技术中心统一管控平台,按周、月出具报表,提醒各地IT人员跟进异常。
同时总公司信息技术中心设立windows补丁发布平台,一旦有高危补丁可借助域控策略推送安装,防范于未然。
5.运行维护单位、服务外包情况 **分公司不涉及外包服务,所有运行维护均由分公司两位专职IT及九家机构的兼职IT完成。
6.网络安全评估情况 我司对电脑及其设备实行“谁使用、谁管理、谁负责”的管理制度。在管理方面我们一是坚持“制度管人”。二是强化信息安全教育、提高员工计算机技能。同时在司开展网络安全知识宣传,使全体人员意识到了,计算机安全保护是“三防一保”工作的有机组成部分。而且在新形势下,计算机犯罪还将成为安全保卫工作的重要内容。在设备维护方面,专门设置了网络设备故障登记簿、计算机维护及维修表对于设备故障和维护情况属实登记,并及时处理。对外来维护人员,要求有相关人员陪同,并对其身份和处理情况进行登记,规范设备的维护和管理。
? 7.软件正版化 **分公司桌面使用软件均符合正版化要求,目前操作系统为正版Windows7,办公软件为office2007,转换软件为adobe acrobat7.0,以上软件均由总公司提供正版的CD KEY并由**分公司IT进行安装,非正版软件或未付费软件禁止安装。
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ???????????????? 富德生命人寿保险股份有限公司**分公司 ???????????????????????????????????????? 2017年6月6日 本文来自https://www.zaidian.com/