网站安全工作总结
网站安全工作总结范文第1篇
关键词: 地市级; 门户网站; 网络安全; 保障对策
中图分类号:TP393 文献标志码:A 文章编号:1006-8228(2017)02-31-03
0 引言
在政府部门信息化建设的初期,由于建设经验不足,存在重建设、轻安全的问题,致使部分党政机关重点门户网站缺乏必要的安全防护措施,同时,网络安全制度不健全、落实不到位、网络安全意识薄弱等问题层出不穷。
1 研究背景与目的
据国内某网络信息安全龙头企业统计:2015年全年,该公司网站安全检测平台共扫描各类网站231.2万个,其中,存在安全漏洞的网站为101.5万个,占扫描网站总数的43.9%。其中存在高危安全漏洞的网站共有30.8万个,占扫描网站总数的13.0%,与2014年的对比如图1所示。
又据国内某网络安全防护领先企业统计,2015年,共检测发现我国境内网站被黑事件33,929,213次,相比2014年的28,898.261次,增长456.44%。
由上述数据可见我国网络安全现状不容乐观。目前国内各信息安全机构对国家和省级层面的网站安全检查研究较多,但地市级的重点门户网站安全报告较为稀少,通过本次研究旨在实现以下三个目的。
⑴ 通过扫描,检测当前地市级重点门户网站的健康概况,查找问题网站清单,发现面临的主要网络漏洞风险。
⑵ 根据紧急、高危、中危等风险等级,对重点网站进行风险评估,摸清当前地市级重点门户网站现状。
⑶ 总结研究数据,分析主要问题,提出符合地市级网络信息安全管理水平,较为普适的保障对策。
2 研究的对象及方法
2.1 研究对象
本次研究对象为浙江省某地级市105家重点门户网站。其中市政府及区县政府门户网站13家,市经信委及县(市、区)经信局门户网站6家,结尾的市直党政机关网站56家,直属机构事业单位门户网站30家,基本覆盖改地级市网站类关键信息基础设施。
2.2 研究实施过程
⑴ 2016年6月至9月上旬对该地级市市直部门、下辖区县等单位共105个网站系统进行安全性检测,检测内容覆盖网站挂马、SQL注入、跨站脚本、表单绕过等高风险漏洞情况。
⑵ 2016年9月中下旬,对检测的情况进行整理、汇总、归纳、分析,多维度评估事件及漏洞风险等级,综合评定网站的安全现状。
⑶ 2016年10月,对网站出现的问题进行研究,给出解决对策。
⑷ 2016年11月,对本次研究的过程和结果进行终结,认真分析问题,识别主要隐患,评价整改效果,提出下一步工作建议及保障对策。
3 研究结果
3.1 总体概况
检测结果显示,12家网站存在紧急及以下风险,5家网站存在高危及以下风险,11家网站存在中危及以下风险,77家网站处于低风险或较为安全的状态,具体分布如图2所示。
3.2 紧急风险漏洞情况
紧急风险漏洞为可以直接被利用的漏洞,且利用难度较低。被攻击之后可能对网站或服务器的正常运行造成严重影响,或对用户财产及个人信息造成重大损失,是网站安全防护的重中之重,此次检测研究发现,主要存在紧急风险漏洞有以下。
⑴ SQL注入:SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。
⑵ 跨站脚本:跨站脚本攻击(Cross-site scripting,通常简称为XSS)发生在客户端,可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为。
检测结果中紧急风险漏洞的分布如图3所示。
从网站类型上看,紧急风险漏洞的分布情况如图4所示。
区县政府门户网站中,有4家存在紧急风险,占31%。市直党政机关门户网站中,有4家存在o急风险,占7%。直属机构及事业单位门户网站中,有3家存在紧急风险,占10%。经信系统门户网站中,有1家存在紧急风险,占16%。
由此可知,区县政府门户网站面临较大风险,其次是直属机构及事业单位的门户网站。
3.3 问题解决对策
⑴ 加强网站对SQL注入和跨站脚本等主要风险的防范;
⑵ 加强对网站安全风险的监控和持续防护;
⑶ 加强对存在紧急风险漏洞网站的检查力度。
4 研究建议
根据此次研究结果并结合地级市普遍存在的实际情况,对下一步网络信息安全保障工作提出以下几点建议,以供参考:
⑴ 加强网络信息安全相关人员专业技术培训。当前安全相关岗位人员专业技术水平还比较欠缺,网络安全工作基本上处于完全依赖开发单位和安全服务单位的状态。应组织专门的网络信息安全基本技能培训,进一步提高网络安全工作人员的专业水平和责任担当意识。
⑵ 进一步加强重点门户网站的应急管理体系建设。研究建立全市重点门户网站的的应急响应标准,须要求各单位落实责任制,明确应急响应的各个环节,根据事件的分级要求,保证网络安全事件发生时的应急和处置能力。
⑶ 依托云计算、云防护等先进技术,加快政府网站集群建设。依托云技术、云防护技术的网站群模式能有效强化资源整合,规范建设运维标准,明显提高安全短板,巩固提升整体的安全防护能力。
⑷ 加快相关管理制度和规范的制定。目前保障网站安全的应对措施主要是靠技术手段,需要从政府层面对网站进行统一监管并制定一系列规范的数据管理条例,加强个人隐私保护、知识产权保护等方面的规范制度建设,明确处罚措施。
⑸ 集全市之智,组建专业可靠的专家智库。尝试在地市范围内征集信息安全专家,不拘一格,通过考核选拔,成立网络信息安全工作组或者专家智库,负责对重点门户网站安全状况进行风险评估,指导监督网络安全审查工作,对安全态势进行感知和预判,为主管单位提供智力支撑。
⑹ 强化重点信息化项目系统生命周期的管理。对于涉及关键领域的大型信息化建设项目,可从立项设计、建设实施,到部署运维、升级变更等各个阶段引入并实施相应级别的安全管理和技术检测,落实等级保护,加强关键信息基础设施的网络信息安全。
5 结束语
安全是相对的,不是绝对的,随着电子政务的快速发展,政府门户网站的网络信息安全任重道远。文本中的案例和建议仅提供参考,下一步,信息系统审计、态势感知平台等新技术的应用将给主管部门带来更广阔的治理思路。
参考文献(References):
[1] 工业和信息化部电子科学技术研究所浙江省信息安全行业
协会.政府部门如何做好网络信息安全检查工作[J].中国信息化,2014.23:107-112
[2] 知道创宇有限公司.2015年中国互联网网站安全报告.http:
//.cn/zxzx/xhdt/listinfo-31793,2016.4.3.
[3] 奇虎360科技有限公司.2015年中国网站安全报告http://
/1101061855.php?dtid=1101062368&did=1101536490,2016.6.1.
[4] Ross Anderso著.齐宁韩志文刘国萍译.信息安全工程(第2
版).清华大学出版社,2012.
网站安全工作总结范文第2篇
一是开展信息系统定级备案工作。
1.开展政府网站定级备案。根据去年重点单位调查摸底情况,全市尚有200余个各类信息系统未开展等级保护工作,其中包括大量政府网站(指党政机关门户网站),鉴于政府网站近年来网络安全事件频发,需及时落实各项安全技术措施。
全市党政机关必须在规定时间内开展门户网站定级备案工作,并于5月底前向公安网警部门提交《信息系统安全等级保护定级报告》(简称定级报告),《信息系统安全等级保护备案表》、《涉及国家秘密的信息系统分级保护备案表》(简称备案表)(模板见附件),定级报告、备案表完成后请单位盖章后一式二份送至市公安局网警大队。
2.开展其他信息系统定级备案。除网站外,各单位其他信息系统也可一并开展定级备案工作,提交时间可适当放宽。
二是开展信息系统安全测评工作。
1.有政府网站且定二级以上的单位,必须在12月底前开展网站等级保护安全测评,并根据测评结果及时落实整改建设,切实保障网站安全运行。
2.各单位其他已定二级以上信息系统争取明年完成等级保护安全测评,若今年有条件的也可一并开展。
3.等级保护安全测评须由获得相关资质且在当地备案的专业测评机构开展。目前,拟由市政府采购中心会同市等保办从已在备案的测评机构中通过法定方式选定若干家,确定后于5月底下发具体名单,各单位可直接从中选择开展测评工作。
三是开展等级保护安全培训(时间:半年一次)
要依托等保小组定期邀请专业测评公司技术人员开展信息安全知识培训,进一步普及等保知识,提高信息系统使用单位各级责任人的安全意识和专业水平。
四是实行等保例会和通报制度(时间:每季一次)。
市等保小组成员单位要定期召开等保工作会议,分析总结当前工作开展情况及存在问题,特别是对上述工作开展进度情况定期在全市范围予以通报。
二、系统定级建议
根据信息系统定级标准结合其他县市经验做法,对信息系统的分类定级作如下建议,供各信息系统使用单位参考,定级标准可查阅《信息系统安全保护等级定级指南》(GB/T2240-2008)。
1.政府部委局办门户网站、镇(管理区)以上政府门户网站原则上定为二级;
2.党政机关重要业务应用系统原则上定为二级,特别重要的定为三级以上;
3.医院、水电气、金融系统以及其他涉及国计民生的重要信息系统原则上定为二级,特别重要的定为三级以上。
三、工作要求
一是提高认识,落实工作。“等保”是提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。各单位要充分认识开展“等保”工作的重要性、必要性,全面贯彻落实相关要求和部署,切实做好我市“等保”工作。
二是明确责任,密切配合。市等保小组各成员单位要加强协调配合,共同组织信息系统主管部门和运营、使用单位开展“等保”工作。各信息系统主管部门要积极配合等保小组工作,督促各项工作任务的贯彻落实。
网站安全工作总结范文第3篇
【关键词】星型网络;树型网络;环型网络;复合网络
1.引言
安全监控系统为煤矿安全生产保驾护航、是井下“六大系统”的重要组成部分,系统一般由传感器、执行器、分站、隔爆电源、主站或传输接口等井下设备组成。监控系统信息传输应符合MT/T899《煤矿用信息传输装置》的要求,系统网络是指系统中的分站与分站之间、分站与中心站之间、分站与传感器(含执行机构)之间的相互连接关系。监控系统的网络形式同一般的数字通信和计算机通信网络相比,具有本质安全的特殊要求。为保证系统的安全可靠运行,网络结构应满足如下条件:取得安标及防爆认证,在传感器分散分布的情况下,通过与适当的复用方式配合,使系统的传输电缆用量最少、抗电磁干扰能力强、抗故障能力强,当系统中某些分站发生故障时,力求不影响系统中其余分站的正常工作;当传输电缆发生故障时,不影响整个系统的正常工作;当主站及主干电缆发生故障时,保证甲烷断电及甲烷风电闭锁等功能。安全监控系统传输网络结构主要有星形网络结构、树形网络结构、环形网络结构、复合网络结构等。
2.星型网络结构
星形(又称放射状)网络结构就是系统中的每一分站通过一根传输电缆与中心站相连,如图1所示。采用这种网络结构的监控系统具有发送和接收设备简单,传输阻抗易于匹配,各分站之间干扰小,抗故障能力强,可靠性高,并且可以由中心站向甲烷等传感器本质安全供电等优点。但是这种结构所需传输电缆用量大,特别是当系统监控容量大、使用分站多时,系统的造价高,且不便于安装和维护。因此,该网络系统仅用于小容量的监控系统,不宜用于中大型监控系统使用。
图1 星形网络结构
3.树形网络结构
树形(又称树状)网络结构是将系统中每一分站使用一根传输电缆就近接到系统传输电缆上,如图2所示。采用这种结构的监控系统所使用的传输电缆最少,但由于往往传输阻抗难以匹配,且多路分流,在信号发送功率一定的情况下信噪比较低,抗电磁干扰能力较差。在半双工传输系统中,分站的故障还会影响系统的正常工作。例如,当分站死机时,若分站处于发送状态,将会长时间占用信道,影响系统正常工作,直至故障排除或分站从系统中脱离。
图2 树形网络结构
采用该种结构的监控系统,其信号传输质量与分支多少、分支位置、线路长度、端接阻抗、分站发送电路截止时漏电流等因素有关,不确定因素太多,难以保证质量。
4.环形网络结构
环形网络结构就是系统中各分站与中心站用一根电缆串在一起,形成一个环,如图3所示。不难看出,环形系统需要电缆往复敷设。因此,使用电缆数量大于树形系统,小于星形系统。环形系统中各分站的工作状态是受中心站控制,具有如图3所示:
图3 环形网络结构
(1)由于传输电缆没有分支。因此,传输阻抗易于匹配,不存在过电压、过电流、电磁波反射严重等问题,系统抗电磁干扰能力强,利于防爆。
(2)由于上一分站的信号仅仅传给下一分站接收。因此,不存在多路分流问题,并且当分站误动作时,不会出现传输线上信号能量迭加问题,也不会因为发送电路漏电流较大而影响系统工作。
(3)由于环形系统中任一分站既是上一分站的接收机,又是下一分站的发送机,分站可对接收到的数字信号进行门限判决、整形、放大。因此,在数字传输方式下,抗干扰能力进一步加强。
(4)环形系统的致命问题是抗故障能力差,当系统电缆在任一处发生故障(短路或开路)或任一分站发生故障时,整个系统将无法正常工作。因为在故障点之前的分站虽能接收到同步信号,但信号不能传至中心站,而在故障点之后的分站,接收不到信号,无法正常工作。
5.复合网络结构
复合网络结构是环形和树形结构的复合改进。把井下划分几个大区域,区域间采用环形网络结构与中心站相连,区域内分站采用树型结构,如图4所示。
图4 复合网络结构
复合结构中传输通道一般由冗余工业以太环网和现场总线组成,如RS485和CAN总线等。工业以太环网具有通讯冗余功能,一侧线路故障时,因其自愈时间短,一般小于20ms,不影响系统正常运行,具有很高的可靠性能,同时复合网络结构中树形网络使用电缆少、成本低、使用维护方便的特点,适用于大中型监控系统中。
6.总结与展望
本文分别介绍安全监控系统网络传输中普遍应用的星型网络、树型网络、环型网络、复合网络的优缺点,近年来,随着科学技术的飞速发展,EPON、GEPON结构的试用,复合网络是指出了系统网络发展的重点方向。
参考文献
[1]孙继平.煤矿安全监控技术与系统[J].煤炭科学技术信息,2010(01):65-67.
[2]赵延明,高军.煤矿安全监控系统的现状与发展[J].煤矿机电,2007(06):187-189.
[3]邹哲强.煤矿安全监控系统可靠性指标的测试方法计[J].工矿自动化,2010(04):30-34
[4]范高贤.光纤工业以太网在煤矿监控系统中的应用[J].工矿自动化,2007(12):15-18.
[5]桑海泉.煤矿安全监控系统研究计[J].中国安全生产科学技术,2009(12):33-35.
网站安全工作总结范文第4篇
【关键词】钢结构网架;吊装;关键控制点
1. 前言
由江苏油建承建的南京扬子CNG加气母站工程,加气站顶棚为网架钢结构,网架长50m,宽24m,网架面积1200m2,支撑高度6.5m,共10个支点。网架重量30.5t,加上天沟板等起吊总重量35t。
吊装安全是本次吊装的重点,一是人员安全;二是机械设备安全;三是钢结构网架安全。如何组织吊装施工是吊装成败的关键。
2. 吊装施工总体方案
项目部充分分析了影响钢结构网架吊装的各种因素:如吊装设备能力的选择、对吊装空间和作业面要求,起吊点数量和分布等。本着吊装工艺简单,经济适用,安全可靠这一原则。项目部制定的网架结构吊装总体方案:采用4台50t吊车,吊车分布在指定位置,确定16个起吊点(吊车位置及吊点分布见图1、图2),4台吊车同时起吊的总体施工方案。
3. 吊装施工组织及过程
3.1 吊装前准备。
3.1.1 吊装前工程准备。10根混凝土支柱浇筑完毕经28天养护,达到强度要求;在地面进行钢结构网架的组装;在每根柱子上由地面向上间距为30cm画上刻度线,并编上序号,以便观察网架吊装时的整体水平度;施工场地地面平整,吊车停泊位置10m×8m浇筑C30厚20cm混凝土地面。上述施工完成后需经检验合格,方能进行吊装。
3.1.2 吊装机具准备。经计算本次吊装所用机具如下: 4台50t汽车吊;16根8m22新钢丝绳;16只5t卸扣。
3.1.3 劳动力配备与安全教育。
(1)工种配备见下: 持证起重工2名;持证吊车司机4名;持证安全员1名;现场辅助人员4名。
(2)指定一名起重工担任吊装施工总指挥,设专职安全员,各工种施工人员在吊装过程中,服从施工总指挥的指令。
(3)认真学习有关安全操作规程,按规程规定操作施工。
3.1.4 工程技术人员编制吊装工艺作业指导书并经过审批,向班组及所有参加起吊的施工人员进行交底。
3.1.5 吊车位置确定。根据网架边缘铝塑板高度为1.6m, 网架底面吊装高度为6.5m。为防止起吊过程中吊臂与网架边缘相撞,取网架吊装到预定高度后与吊臂的安全距离为1.5m。根据50t吊车尺寸,边缘吊点到钢丝绳吊点距离为7.5m,计算得吊臂长度为21.59m,夹角为64°,作业半径为9.5m,查表工作半径10m,吊臂伸长为25.4m时起吊重量为10t>35/4=8.75T,满足要求 ,具体见图1、图2。
4. 吊装过程
4.1 经检查钢丝绳和吊点连接牢固后,起重机缓慢起吊,观察吊索、构件平衡程度,4台吊车起吊动作一致。
4.2 网架提离地面50cm时,停止提升,观察绳索具等各处受力情况,4名安装工站于吊点附近下弦处,再观察2分钟,确认无误后,人员撤离。
4.3 四台吊车均匀缓慢上升,提升过程中应仔细观察,防止网架与柱子相碰,同时固定在网架四角上的八根溜绳分别在对称方向拉紧,防止构件与起重机大臂相互碰撞。提升高度超过柱顶时,起重机缓缓平移调整,确保准确吊装到位。
4.4 起吊时刻注意吊装指挥口令,网架下方不许站人,无关人员离开现场,由一人指挥均匀起吊,吊装指挥口令清楚,声音宏亮,站于网架一侧吊车之间。网架支座就位后,焊接牢固,然后松钩。
图1 吊车及吊点平面示意图
网站安全工作总结范文第5篇
一、2019年工作总结
近年来,在互联网内容不断革新的新形势下,网络安全委员会始终认真贯彻落实各项法律法规的相关要求,结合实际情况,不断完善网络安全工作机制,提高基础管理和专业队伍技能水平,同时积极开展网络安全知识技能宣传和普及,努力提高安全管控能力,切实保障绿色、健康的互联网接入环境。现将2019年重点工作汇总如下:
1. 强化组织建设,坚决打击违规网站及违法犯罪行为
过去的一年,网络安全工作委员会带头强化自身组织建设,完善内部管理制度与规范;对有关单位接入网站的备案信息积极核查,紧紧围绕违法犯罪内容进行监督管理,及时接收并处理违法和不良信息举报,并积极协助执法机关对涉案网站调查取证。2019年全年,清理违规网站16083个,涉及链接2946013条,协助执法单位调查取证79起,有效处理不良信息举报7965个。
2. 积极参与2019河南省互联网大会、网络安全竞赛等活动
为加快科技创新,发展数字经济,助推实体经济与传统产业数字化转型,聚焦大数据时代网络安全、为互联网发展保驾护航,网络安全工作委员会积极参加2019河南省第六届互联网大会,并在主管部门领导的支持下参与承办了“安全护航 数创未来”分会;分会场上特邀中国科学院计算技术研究所大数据研究院院长王元卓、北京赛博英杰科技有限公司创始人兼董事长谭晓生、沃通电子认证服务有限公司 CTO王高华、阿里云华中大区安全总监马睿博、百度安全总经理马杰、中国网络空间安全协会副理事长杜跃进等网络安全领域专家及学者,分别作《大数据驱动数字经济》、《智能化安全运营,护航数字化未来》《解读<密码法>,数据加密保护是重点》《构安全生态,建AI未来》《云安全应用的新实践》《大安全亟待升级》等主题演讲,深度探讨以云计算、大数据、人工智能、5G等新一代信息技术为核心,以新时期网络安全为基石,助力企业数字化转型,构建并全力护航数字经济时代。
除此之外,网络安全委员会始终重视并坚持培养技术人才,2019年7月积极参加主管部门组织的网络安全竞赛,并积极为赛场提供场地、设备及网络环境等,以确保比赛的顺利进行。
3. 全力保障国家重要会议和活动安保工作
网络安全工作委员会积极开展安全教育学习工作,组织相关单位学习安全相关的法律法规,并开展考核。在2019年民族运动会和70周年大庆安保期间,及时将安保工作的目的、要求和内容传达到相关负责人,以确保安保工作的落地与执行。除此之外,安保期间相关企业单位专设专人值班,实行7*24工作制度,并适时信息安全安保工作的通知,设置紧急信息接收、反馈与处理通道,第一时间接收上级主管单位的指令、处理并反馈;全力完成重点阶段的安全保障工作。
二、目前存在的问题和建议
网民的网络安全技能仍需提高
自《网络安全法》普及以来,明显感觉到网民的网络安全意识有了显著提升,但是有些用户虽重视,但苦于未配置技术人员或技术人员能力达不到要求,导致即使知道网站存在安全隐患也不能及时得到解决。希望主管部门在宣传安全意识的基础上,增加一些基础安全防范技能方面的内容。
三、2020年工作设想
当下,随着《网络安全法》的普及,网民对打击网络有害信息和不法行为的呼声更为强烈,尤其是数据泄露、钓鱼网站等诈骗事件的频发,维护网络安全已是迫在眉睫、刻不容缓。基于此,2020年将从以下几个方面开展网络安全工作:
1. 做好自我规范,加强组织沟通
委员会将继续完善组织建设,通过组织会议、行业沙龙等形式为会员单位创造更多的交流机会,集中发挥各会员单位的优势,共同促进我省互联网行业健康,共同参与维护我省网络安全。除此之外,委员会始终坚持“坚决打击违规网站及违法犯罪行为”的决心,联合各成员单位,对发现可疑线索及时上报主管部门,并积极协助其锁定证据。
2. 坚持投入,大力培养技术人才
2020年委员会将继续强化网络安全队伍建设,完善网络与信息安全专业的学习、培训及考核平台;并积极组织相关单位参加各项网络安全技能大赛,切实提升网络安全保障能力和水平。
3. 做好重要时期的网络安全保障工作
2020年,国家网络安全宣传周将在郑州举办,网络安全工作委员会将全力领导各相关单位各尽其责,充分发挥“警务室”等机构在政企间的桥梁作用,共同为该活动做好准备工作,。
最后,委员会将牢记宗旨,通过组织网络安全培训、竞赛、行业会议及专项安保等多种工作方式,积极推进网络安全工作的顺利进行;加快科技创新,助推实体经济与传统产业数字化转型,争取在2020年将我省网络与信息安全工作再上一个新的台阶。
