网络信息安全自查评估报告篇1
第一条为加强对具有舆论属性或社会动员能力的互联网信息服务和相关新技术新应用的安全管理,规范互联网信息服务活动,维护国家安全、社会秩序和公共利益,根据《中华人民共和国网络安全法》《互联网信息服务管理办法》《计算机信息网络国际联网安全保护管理办法》,制订本规定。
第二条本规定所称具有舆论属性或社会动员能力的互联网信息服务,包括下列情形:
(一)开办论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等信息服务或者附设相应功能;
(二)开办提供公众舆论表达渠道或者具有发动社会公众从事特定活动能力的其他互联网信息服务。
第三条互联网信息服务提供者具有下列情形之一的,应当依照本规定自行开展安全评估,并对评估结果负责:
(一)具有舆论属性或社会动员能力的信息服务上线,或者信息服务增设相关功能的;
(二)使用新技术新应用,使信息服务的功能属性、技术实现方式、基础资源配置等发生重大变更,导致舆论属性或者社会动员能力发生重大变化的;
(三)用户规模显著增加,导致信息服务的舆论属性或者社会动员能力发生重大变化的;
(四)发生违法有害信息传播扩散,表明已有安全措施难以有效防控网络安全风险的;
(五)地市级以上网信部门或者公安机关书面通知需要进行安全评估的其他情形。
第四条互联网信息服务提供者可以自行实施安全评估,也可以委托第三方安全评估机构实施。
第五条互联网信息服务提供者开展安全评估,应当对信息服务和新技术新应用的合法性,落实法律、行政法规、部门规章和标准规定的安全措施的有效性,防控安全风险的有效性等情况进行全面评估,并重点评估下列内容:
(一)确定与所提供服务相适应的安全管理负责人、信息审核人员或者建立安全管理机构的情况;
(二)用户真实身份核验以及注册信息留存措施;
(三)对用户的账号、操作时间、操作类型、网络源地址和目标地址、网络源端口、客户端硬件特征等日志信息,以及用户信息记录的留存措施;
(四)对用户账号和通讯群组名称、昵称、简介、备注、标识,信息、转发、评论和通讯群组等服务功能中违法有害信息的防范处置和有关记录保存措施;
(五)个人信息保护以及防范违法有害信息传播扩散、社会动员功能失控风险的技术措施;
(六)建立投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关投诉和举报的情况;
(七)建立为网信部门依法履行互联网信息服务监督管理职责提供技术、数据支持和协助的工作机制的情况;
(八)建立为公安机关、国家安全机关依法维护国家安全和查处违法犯罪提供技术、数据支持和协助的工作机制的情况。
第六条互联网信息服务提供者在安全评估中发现存在安全隐患的,应当及时整改,直至消除相关安全隐患。
经过安全评估,符合法律、行政法规、部门规章和标准的,应当形成安全评估报告。安全评估报告应当包括下列内容:
(一)互联网信息服务的功能、服务范围、软硬件设施、部署位置等基本情况和相关证照获取情况;
(二)安全管理制度和技术措施落实情况及风险防控效果;
(三)安全评估结论;
(四)其他应当说明的相关情况。
第七条互联网信息服务提供者应当将安全评估报告通过全国互联网安全管理服务平台提交所在地地市级以上网信部门和公安机关。
具有本规定第三条第一项、第二项情形的,互联网信息服务提供者应当在信息服务、新技术新应用上线或者功能增设前提交安全评估报告;具有本规定第三条第三、四、五项情形的,应当自相关情形发生之日起30个工作日内提交安全评估报告。
第八条地市级以上网信部门和公安机关应当依据各自职责对安全评估报告进行书面审查。
发现安全评估报告内容、项目缺失,或者安全评估方法明显不当的,应当责令互联网信息服务提供者限期重新评估。
发现安全评估报告内容不清的,可以责令互联网信息服务提供者补充说明。
第九条网信部门和公安机关根据对安全评估报告的书面审查情况,认为有必要的,应当依据各自职责对互联网信息服务提供者开展现场检查。
网信部门和公安机关开展现场检查原则上应当联合实施,不得干扰互联网信息服务提供者正常的业务活动。
第十条对存在较大安全风险、可能影响国家安全、社会秩序和公共利益的互联网信息服务,省级以上网信部门和公安机关应当组织专家进行评审,必要时可以会同属地相关部门开展现场检查。
第十一条网信部门和公安机关开展现场检查,应当依照有关法律、行政法规、部门规章的规定进行。
第十二条网信部门和公安机关应当建立监测管理制度,加强网络安全风险管理,督促互联网信息服务提供者依法履行网络安全义务。
发现具有舆论属性或社会动员能力的互联网信息服务提供者未按本规定开展安全评估的,网信部门和公安机关应当通知其按本规定开展安全评估。
第十三条网信部门和公安机关发现具有舆论属性或社会动员能力的互联网信息服务提供者拒不按照本规定开展安全评估的,应当通过全国互联网安全管理服务平台向公众提示该互联网信息服务存在安全风险,并依照各自职责对该互联网信息服务实施监督检查,发现存在违法行为的,应当依法处理。
第十四条网信部门统筹协调具有舆论属性或社会动员能力的互联网信息服务安全评估工作,公安机关的安全评估工作情况定期通报网信部门。
第十五条网信部门、公安机关及其工作人员对在履行职责中知悉的国家秘密、商业秘密和个人信息应当严格保密,不得泄露、出售或者非法向他人提供。
网络信息安全自查评估报告篇2
我国的信息安全标准化制定工作比欧美国家起步晚。全国信息化标准制定委员会及其下属的信息安全技术委员会开展了我国信息安全标准方面工作,完成了许多安全技术标准的制定,如GB/t18336、GB17859等。在信息系统的安全管理方面,我国目前在BS7799和iSo17799及CC标准基础上完成了相关的标准修订,我国信息安全标准体系的框架也正在逐步形成之中[1]。随着信息系统安全问题所产生的损失、危害不断加剧,信息系统的安全问题越来越受到人们的普遍关注,如今国内高校已经加强关于信息安全管理方面的研究与实践。
2高校信息安全风险评估模型
2.1信息安全风险评估流程
[2]在实施信息安全风险评估时,河南牧业经济学院成立了信息安全风险评估小组,由主抓信息安全的副校长担任组长,各个相关单位和部门的代表为成员,各自负责与本系部相关的风险评估事务。评估小组及相关人员在风险评估前接受培训,熟悉运作的流程、理解信息安全管理基本知识,掌握风险评估的方法和技巧。学院的风险评估活动包括以下6方面:建立风险评估准则。建立评估小组,前期调研了解安全需求,确定适用的表格和调查问卷等,制定项目计划,组织人员培训,依据国家标准确定各项安全评估指标,建立风险评估准则。资产识别。学院一卡通管理系统、教务管理系统等关键信息资产的标识。威胁识别。识别网络入侵、网络病毒、人为错误等各种信息威胁,衡量威胁的可发性与来源。脆弱性识别。识别各类信息资产、各控制流程与管理中的弱点。风险识别。进行风险场景描述,依据国家标准划分风险等级评价风险,编写河南牧业经济学院信息安全风险评估报告。风险控制。推荐、评估并确定控制目标和控制,编制风险处理计划。学院信息安全风险评估流程图如图1所示:
2.2基于pDCa循环的信息安全风险评估模型
pDCa(策划—实施—检查—措施)经常被称为“休哈特环”或者“戴明环”,是由休哈特(walterShewhart)在19世纪30年代构想,随后被戴明(edwardsDeming)采纳和宣传。此概念的提出是为了有效控制管理过程和工作质量。随着管理理念的深入,该循环在各类管理领域得到广泛使用,取得良好效果。pDCa循环将一个过程定义为策划、实施、检查、措施四个阶段,每个阶段都有阶段任务和目标,如图2所示,四个阶段为一个循环,一个持续的循环使过程的目标业绩持续改进,如图3所示。
3基于pDCa循环模型的信息安全风险评估的实现
[3-5]河南牧业经济学院信息系统安全风险评估的研究经验积累不足,本着边实践边改进,逐步优化的原则,学院决定采用基于pDCa循环的信息安全评估模型。信息安全风险评估模型为信息安全风险评估奠定了理论依据,是有效进行信息安全风险评估的前提。学院拥有3个校区,正在逐步推进数字化校园的建设。校园网一卡通、教务、资产、档案等管理系统是学院网络核心业务系统,同时各院系有自己的各类教学系统平台,由于网络环境的复杂性,经常会监控到信息系统受到内外部的网络攻击,信息安全防范问题已经很突出。信息安全风险评估小组依据自行研发的管理系统对学院各类信息系统进行全面的风险评估(图4),以便下一步对存在的风险进行有效的管理,根据信息系统安全风险评估报告,提出相应的系统安全方案建议,对全院信息系统当前突出的安全问题进行实际解决。
3.1建立信息安全管理体系环境风险评估(p策划)
风险规划是高校开展风险评估管理活动的首要步骤。学院分析内外环境及管理现状,制定包括准确的目标定位、具体的应对实施计划、合理的经费预算、科学的技术手段等风险评估管理规划。风险规划内容包括确定范围和方针、定义风险评估的系统性方法、识别风险、评估风险、识别并评价风险处理的方法。信息安全评估风险评估管理工作获得院领导批准,评估小组开始实施和运作信息安全管理体系。
3.2实施并运行信息安全管理体系(D实施)
该阶段的任务是管理运作适当的优先权,执行选择控制,以管理识别的信息安全风险。学院通过自行研发的信息安全风险管理工具,将常见的风险评估方法集成到软件之中,包括有信息资产和应用系统识别、风险识别与评估、风险处置措施及监测、风险汇总与报告生成等功能。通过使用信息安全风险管理工具,安全风险评估工作都得到了简化,减轻人员的工作量,帮助信息安全管理人员完成复杂的风险评估工作,从而提高学院的信息安全管理水平。
3.3监视并评审信息安全管理体系(C检查)
检查阶段是寻求改进机会的阶段,是pDCa循环的关键阶段。信息安全管理体系分析运行效果,检查到不合理、不充分的控制措施,采取不同的纠正措施。学院在系统实施过程中,规划各院系的信息安全风险评估由本系专门人员上传数据,但在具体项目实施中,发现上传的数据随意甚至杜撰,严重影响学院整体信息系统安全评估的可靠性,为了强化人员责任意识,除了加强风险评估的培训外,还制定相应的惩罚奖励制度,实时进行监督检查,尽最大可能保证风险评估数据的准确性[6]。
3.4改进信息安全管理体系(a措施)
经过以上3个步骤之后,评估小组报告该阶段所策划的方案,确定该循环给管理体系是否带来明显的效果,是继续执行,还是升级改进、放弃重新进行新的策划。学院在项目具体实施后,信息安全状况有了明显的改善,信息管理人员安全责任意识明显提升,遭受到的内外网络攻击、网络病毒等风险因素能及时发现处理。评估小组考虑将成果具体扩大到学院其他的部门或领域,开始了新一轮的pDCa循环持续改进信息安全风险评估。
4结语
网络信息安全自查评估报告篇3
风险评估技术常用的工具一般有渗透测试工具和脆弱性扫描工具。渗透测试工具一般常使用人工结合渗透测试工具进行,常用的web渗透测试工具有iBmappScan、awVS、HpweBinspect,通常需对漏洞进行人工验证,以确定漏洞准确性。脆弱性扫描工具主要用于评估网络或主机存在的系统漏洞,常见工具有nessus,能对主机、网络设备、安全设备进行扫描并形成脆弱性报告。此外,在风险评估过程中,除了利用上述工具来发现系统风险外,还需要利用系统现有数据来进行现状分析和趋势分析,这其中常用的手段有:入侵检测日志分析、主机日志分析、应用系统日志分析、主机/网络检查表等。
风险评估流程
1总体流程
根据风险评估中包含的各个要求,要分别进行实施,整体的风险评估流程如图3所示。
2风险评估准备阶段
通过做好准备工作,能够大大提升风险评估的效果,降低项目实施风险,该阶段是风险评估整个过程的重要组成部分。风险评估准备阶段一般应包含如下工作内容:明确风险评估范围、确定风险评估目标、组建项目团队、设定系统性风险评估方法、整体风险评估方案获得高层批准。
3资产识别阶段
资产识别主要针对现有的信息资产进行分类识别和描述,在识别的基础上从信息安全的角度,机密性、完整性和可用性对其进行赋值,确定信息资产的价值,作为影响分析的基础,典型资产类别可以分为:网络设备、服务器、终端、安全设备、物理环境、业务系统、数据、文档、组织和人员等。
4脆弱性识别
脆弱性评估常被称作弱点评估,是风险评估的重要工作,通过脆弱性评估能够发现信息资产存在的弱点。弱点是资产本身存在的,它可以被威胁利用、引起资产或商业目标的损害。弱点包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。脆弱性分类可分为技术脆弱性和管理脆弱性,其中技术脆弱性又可以细分为:物理安全、网络安全、系统安全、应用安全、数据安全5个方面。
5威胁识别
威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机,人为因素又可分为恶意和非恶意两种。
环境因素包括自然界不可抗的因素和其他物理因素。威胁作用形式可以是对信息系统直接或间接的攻击,在机密性、完整性或可用性等方面造成损害,也可能是偶发的或蓄意的事件。对威胁识别的简单方法就是对威胁进行分类,针对不同的威胁,可以根据其表现形式将威胁识别分为以下几类:软硬件故障、物理环境影响、无作为或操作失误、管理不到位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改、抵赖等。威胁分析方法首先需要考虑威胁的来源,然后分析存在哪些威胁种类,最后做出威胁来源和威胁种类的交叉表进行威胁赋值。
6风险分析
风险分析中要涉及资产、威胁、脆弱性3个基本要素,每个要素有各自的属性。资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。
风险评估的主要内容
信息安全风险评估包含的内容涉及信息安全管理和技术,同时包括网络、系统、应用和数据等不同的技术层面,但根据保险行业的特定需求,总体定位在网络设备和网络架构方面的技术评估。主要内容包括:
1)信息资产的调查,主要针对网络拓扑,网络设备和服务器设备等。
2)网络架构弱点评估,针对目前的网络拓扑图进行弱点分析。
3)网络设备和服务器系统弱点评估,针对设备目前的系统配置进行分析,确认其是否达到应有的安全效果,结合渗透测试的手段。
4)现有安全控制措施,通过分析目前的安全控制措施,综合总结网络架构和设备的弱点。
5)整体网络威胁和风险分析,综合分析网络中面临的威胁和可能的风险,形成总体安全现状。
6)建议安全措施和规划。根据风险评估的成果和建设目标,形成建议的安全措施和时间进度,建立1-2年的信息安全规划。
项目实施成果
根据以上工作内容,项目的最终成果包括:
1)信息资产清单和分析结果。清晰明确系统和网络信息资产,明确其机密性、完整性和可用性的安全目标,同时确定资产的重要类别;必要时可以建立内部的信息资产库。
2)系统和网络脆弱性报告。明确服务器系统、网络设备、网络结构和安全设备可能存在的弱点。
3)系统和网络威胁报告。根据已有的弱点分析目前可能面临的威胁和威胁发生后对业务、系统和网络造成的影响。
4)安全现状报告。基于风险的安全现状总体分析报告,明确目前的网络安全风险。
5)建议安全措施和规划。从技术和管理的角度提出后期进行系统建设的安全控制措施。
结语
网络信息安全自查评估报告篇4
一、电子商务系统审计的必然性和必要性
在商业活动实现网络化之前,采购是面对面或通过纸质文件进行的,有迹可查,即使是电子交易,其设备结构是专用的,一般只限于已知用户使用,任何外部用户必须是已知的、身份明确的、可追踪的;系统通常是主机结构方式,相对易于监督、控制和审计。与传统商业相比,万维网客户/服务器系统的特点是高度分散,资源共享、服务分散、顾客透明度高等,而电子商务的运作速度更快、业务循环周期更短、风险更大、更高程度地依赖于技术。电子商务系统的技术基础和市场的快速变化意味着传统的衡量方法已不再适用于企业的某些资产,财务报告不能充分提供企业的状况和价值方面的信息,特别是网络企业的无形资产,如商誉、客户忠诚度和满意程度等这些产生长期价值的关键资产。核实确认这类资产价值的困难在于缺乏足够的历史数据、合适的参照标准、先进的实践经验以及对网络的各种威胁和概率的准确估算。企业管理层以及公众都需要寻找能够用以表述网络企业的可信度、安全性及其他资产价值的方法,需要一些新的核查和审计方法,更有效地评价无形资产,如知识、品牌等。因此,电子商务系统审计就成为历史的必然。由于,电子商务的可靠性、适用性、安全性和性能等方面受到的威胁或存在的风险,都可能会影响其生存和发展。风险因素包括:商业信息的泄露、智能财产的不当使用、对版权的侵犯、对商标的侵犯、网络谣言和对信誉的损害等。因此,进行必要和客观的审计,才会使董事会、审计委员会、高级管理层对电子商务系统的安全运作和效益满意和放心。
二、网络风险和风险管理
网络风险如同自然灾害一样不可预见。风险管理的关键在于风险评估,风险评估就是要分析和衡量风险事件发生的概率及后果,引起风险的因素及其关联因素,出现风险的关键点采取什么方法能够减缓风险,风险出现造成后果如何,以及评价管理层是否履行了应有的职业审慎进行防范和控制。同时在评估中还要为各项因素设计评价比率,计算各种风险的影响后果,根据影响和后果排序,对高风险因素作进一步的分析。
通过风险评估,可以认识到潜在风险(威胁)及其影响,以便对高风险领域作一些防范、检测、控制、减缓和恢复的工作计划和安排。这些计划和安排应涵盖对各项控制成本,主要是指接受、避免、转移、监测成本的分析以及各项工作的先后次序。
三、电子商务系统审计中网站的合法性证明
网络终端用户都会关注网站是否来自一个真实的、可靠的机构,提供的信息是否准确真实,机构背景是否正当合法,个人信息的隐私权是否得到保护等。所谓隐私权是指对个人的数据/信息的搜集必须合法、公平,必须用于某一特定、公开的目的,必须取得该个人的同意并受到保护,本人必须有权进入系统进行修改或删除,信息的越域流动和将来的使用、披露必须予以安全保证和限制等。
解决这些网站合法性问题的途径之一就是由一公证机构提供可靠的证明,以使网络终端用户能对网站提供的电子商务放心。如Verisign,tRUSte,BBBonline,webtrust,Systurst等都是具有良好的信誉并且提供证明-查证服务的专业组织机构。网络终端用户可以通过查询这些公证机构的记录,获得确认被访问网站的名称、有效状态、服务器标识等信息。
四、内部审计和电子商务系统审计
美国注册会计师协会对“核实查证”的定义是“提高决策者所需要信息的质量或内容的独立性专业服务。”其审计原则是保证系统的可用性、安全性、真实完整性和持续性,建议对系统安全性和真实完整性方面存在的控制点进行检查、评价和测试。并尽量在今后采用合适的审计标准对信息技术进行审计。不同于以年度为基础的传统外部审计,电子商务的实时性要求审计人员应对其进行连续不断的评估,按特定的审核标准对已发生的交易进行追踪,而系统内设置的自动登录记录可作为相应的审计轨迹,在系统内部实施对事件监督和控制。
尽管当前许多人认为核实查证通常与外部审计人员相关,内部审计人员则在公司内部出具审计报告。然而,国际内部审计师协会对电子商务系统审计的要求则是:审计控制目标主要是审计财务报告制度、经营的效益和效率、合规性和保护财产安全等方面。审计模式应该建立在系统的可用性、容量、功能、保护和可靠性的基础上。例如,内部审计对网络企业控制水平的独立评价,使得客户了解到企业提供的数据将不会被有意或无意地滥用。再如,企业目标是建立电子商务以降低成本、提高市场占有率,那么电子商务风险是随着网络交易的增加而增加,以至于不能确保交易的安全性或分辨用户的可靠性,因此,所需要的控制就是对用户的真实性进行确认以及对通讯信息进行加密。
电子商务系统审计的成功与否在于审计人员是否掌握相关的技术知识,了解商业风险及风险管理策略,是否有现成的策略随时应付出现的风险。因此,作为一个成功内部审计人员应了解企业的业务,以服务为宗旨并努力增值,积极提高专业技能,关注系统的效率和效益,建立对电脑领域发展的职业敏感性。
网络信息安全自查评估报告篇5
1前言
随着信息化发展速度不断加快,信息系统用户规模不断扩大、需求不断更新、自动化程度不断提高,信息系统安全状况与企业经济效益越来越密切,直接影响到企业的经营和形象问题。目前,防火墙、iDS、ipS等安全设备已经得到普遍使用,但是同时这些设备产生了海量安全数据,采用人工分析的方法已经无法实现安全威胁的及时预警与处置。另一方面,现有安全设备之间相对孤立,数据没有得到关联分析和综合考虑,很难面对当今各种利用先进手段、高度隐蔽的网络攻击形式。因此,在现有安全手段的基础上,获取和分析海量攻击行为数据,结合态势感知技术实现信息安全行为的准确定位和智能预警,在信息安全防护工作中是非常必要的。
2平台构成
信息安全态势智能预警分析平台由系统数据接口、数据挖掘与融合技术、态势分析与风险预警、可视化展示与系统管理六大部分。其中,系统数据接口用于查看目前监控的设备及应用系统;数据挖掘与融合提供有效的数据分析处理模型和数据分析方法;态势分析和风险预警提供当前网络安全态势评估、未来网络安全态势预测及响应告警功能;可视化展示定义生成各类表单、图表、报告、报表等用户界面。
3关键技术
3.1数据采集
3.1.1设备实时监测数据
信息安全态势智能预警分析平台监测重要网络设备及服务器的运行状态,主要对网络边界设备、核心交换设备、重要服务器等进行监视,获取CpU、内存、网络流量等性能或安全参数信息。通过该系统数据接口,可按照单个设备、某类设备、整个网络设备来获取相关设备数据。
3.1.2扫描数据
采集日常运维中扫描数据,主要包括利用漏洞扫描工具发现的漏洞、弱口令等安全隐患信息。
3.1.3日志文件数据
采集重要设备的日志文件数据,主要包括网络边界设备、核心交换设备、重要服务器的系统日志、安全日志、应用日志及告警日志等。
3.1.4策略配置数据
采集重要设备的策略配置数据,主要包括主机、服务器、网络设备等的安全策略配置信息以及策略变更信息等。
3.2数据挖掘
数据挖掘的方法有很多种,其中关联规则挖掘方法能够从大量数据中挖掘出有价值描述数据项之间相互联系的有关知识,挖掘用户操作行为之间的关联规则,反映用户的操作倾向。
现实中网络环境复杂,网络设备种类多,影响因素之间相互关联。选取的算法要能有效的对多源异构数据进行关联分析并具有自学习性,能够解决决策层的不确定性,不能仅凭专家经验确定各指标对网络安全状态的影响程度。在底层使用关联规则挖掘算法对异构数据进行关联性分析,使用云模型对异构数据进行融合处理,在决策层使用贝叶斯决策方法进行态势预测,较好的解决了态势评估的不确定性。
3.3态势感知与风险预警
网络安全态势感知主要对网络中部署的各类设备的运行状态进行监测,对动态监测数据、设备运行日志、脆弱性、策略配置数据等进行融合分析,对目前网络安全状况进行风险评估,同时也对未来几天网络安全状况进行预测。
安全风险预警实现各类安全隐患的报警功能。借助安全态势感知功能对各类数据综合分析,提出信息安全风险的来源分布以及风险可能带来的危害,及时的对信息安全隐患或风险进行报警。
3.3.1网络实时状况警报
实现网络中的网络设备、服务器、中间件等的实时运行状态进行监控,并依据的上下限值提供报警功能。将告警指标和风险处理方法进行结合,实现在动态地图上显示出来并提供报警,能够快速的定位出现问题的设备。实现网络中关键的硬件设备配置的监控,实现对硬件的更换、策略的变更的报警功能。
3.3.2态势要素提取
态势要素提取是态势评估与预测的基础。读取核心交换机、重要业务服务器及信息系统、门户网站、路由器、ipS、iDS等关键核心接入设备的配置信息、服务的状态、操作日志、关键性能参数等。
3.3.3态势评估与分析
研究信息安全风险评估和分析方法,制定风险评估指标体系和评估模型,开展基于多协议和应用的关联分析,识别程序或用户的恶意行为,追踪并提供威胁分析。
态势感知的核心是态势评估,是对当前安全态势的一个动态理解过程。识别态势信息中的安全事件并确定它们之间的关联关系,根据所受到的威胁程度生成相应的安全态势图,反映出整个网络的安全态势状况。
研究分层次的安全评估模型,以攻击报警、扫描结果和网络流量等信息为原始数据,发现各关键设备影响因素的脆弱性或威胁情况,在此基础上,综合评估网络系统中各关键设备的安全状况,再根据网络系统结构,评估多个局部范围网络的安全态势,然后再综合分析和统计整个宏观网络的安全态势。
3.3.4态势预测
态势预测主要基于各类网络设备、服务器、终端设备以及安全设备的记录,进行关联性分析,给出总体信息安全趋势。态势预测数据的来源包括用户数据的输入和监测到历史数据和实时数据。
3.3.5响应与报警
针对存在的威胁事件、预知的安全风险以及信息系统故障等进行报警,并提供解决的建议。利用数据挖掘与融合技术处理历史数据和监测数据,经过网络安全态势评估与预测分析,对潜在安全风险进行分析预测,输出预警信息。
3.4可视化展示
根据用户的不同需求,定义不同的功能视图,实现多样化、多元化的展示方式,包括漏洞、弱口令、病毒感染、违规外联、威胁报警等信息。
4结语
通过信息安全态势感知与智能预警平台,利用大数据技术将现有各类监测数据、日志数据、扫描数据等进行有效整合,能自动识别未知的新型攻击、缩短事件响应时间并提高提高人员工作效率,为实时掌握网络整体安全状态和变化趋势提供了基础,从而提升企业信息安全主动防御能力。
网络信息安全自查评估报告篇6
结合当前工作需要,的会员“塔塔”为你整理了这篇法定传染病报告质量与管理现状自查报告范文,希望能给你的学习、工作带来参考借鉴作用。
【正文】
法定传染病报告质量与管理现状自查报告
一、督查内容和方法
(一)督查范围。
县疾病预防控制中心、2家县级医疗机构、4家乡镇卫生院。
(二)调查内容。
1.医疗机构法定传染病报告质量。
2.法定传染病信息报告管理现状。
(三)自查实施。
自市疾控中心下发了《关于开展安庆市2020年法定传染病报告质量和管理现状的通知》,由县卫生健康委疾控办组织县疾控中心组成调查组,严格按照《安徽省法定传染病报告质量和管理现状调查方案(2017年版)》进行自查。
二、自查结果
(一)基本情况。此次共督查了县疾病预防控制中心、2家县级医院,4家乡镇卫生院。
(二)传染病疫情报告质量。
1.法定传染病报告率。实查病例登记数442例,网络报告病例440例,报告率99.55%。
2.法定传染病报告及时率。网络报告病例440例,报告及时440例,报告及时率100%。
3.纸质(电子)传染病报告卡填写完整率。实查纸质报告卡135张,纸质传染病报告卡的必填字段信息填写完整135张,纸质传染病报告卡填写完整率100%。
4.纸质报告卡填写准确率。实查填写完整的纸质报告卡135张,同时与门诊或住院登记信息一致,填写字迹清晰且无明显逻辑错误,无涂改的传染病报告卡135张,纸质传染病报告卡填写准确率100%。
5.网络报告信息一致率。实查纸质报告卡135张,与网络直报信息系统中电子卡必填信息完全相符的135张,网络报告信息一致率100%。
6.报告卡有效证件号填写完整率。实查纸质报告卡135张,身份证号填写完整135张,报告卡有效证件号填写完整率100%。
(三)法定传染病报告管理。
1.疾控机构。
(1)辖区传染病常规监测管理工作情况。每日做好传染病报告卡实时监测审核记录,每日至少4次以上,记录完整;建立了异常信息的快速反应机制与流程,并能有效付诸实施;针对传染病报告过程中出现的问题及时开展传染病报告质量指导,每月至少开展1次传染病报告质量评估;1-11月份传染病报告报告质量评价综合率均值为100%。
(2)数据分析与利用。传染病疫情监测资料每月进行月分析,年终有年分析;重点控制传染病有专题分析;每月将常规分析报告通过纸质和网络直报系统进行反馈;根据疫情流行情况适时开展风险评估工作。
(3)传染病报告管理督导检查与评估。开展了辖区传染病报告管理督导检查,有检查方案和原始工作记录,实行辖区全覆盖,督查结束后有总结和通报,并针对存在的问题进行了二次督导;21家网络直报单位,2020年1-11月有5家全年没有传染病报告,分别是4家民营医疗机构和县血吸虫防治站;县直医疗机构连续3个月零报告单位1家,为县妇计中心;乡镇连续3个月零报告单位4家,为雷池乡卫生院、凉泉乡卫生院、鸦滩镇、高士镇卫生院;县级疾控中心每年对下级单位进行技术指导至少2次以上,每次都有指导记录。
(4)传染病报告管理专业技术培训。每年均开展传染病网络直报管理及监测资料分析利用等相关技术培训,有文件通知、有签到、有总结、有考核;培训的内容包括:《传染病防治法》、《传染病信息报告管理规范(2015年版)》、《全国传染病信息报告管理工作技术指南(2016版)》重点传染病防控技术以及疟疾、登革热等诊治知识培训。
(5)网络直报人员及设备配置情况。疾控中心配备传染病网络直报管理的专职人员2人,实行a、B岗位制。配有专用计算机和笔记本电脑;为疫情监测人员提供了可实时连接传染病信息报告系统的无线网卡,对疫情监测人员提供一定的加班补助,并可以调休。
(6)用户信息安全管理情况。建有辖区中国疾病预防控制信息系统用户及授权安全管理制度,对直报用户和本级用户均有备案,并对系统用户开展了信息安全相关培训。
2.医疗机构。
(1)院内传染病报告管理情况。各医疗卫生单位均成立了传染病报告管理组织,相关工作制度齐全;但门诊日志和住院登记纸质版本普遍缺少有效证件号登记栏,但县级医院电子病历系统均设有该栏;检验科和放射科登记检查结果门诊和住院医生可以实时浏览打印。每月定期开展院内传染病报告质量自查,有记录,县医院并能落实奖惩措施;各单位均开展了传染病报告管理知识培训,部分单位对传染病诊断标准进行了培训。
(2)网络直报专职人员及设备配备情况。各单位均指定专门科室负责院内传染病报告管理工作,配备有传染病网络直报管理兼职人员,并对直报人员有一定的加班补助,加班后可以适时调休。
(3)医疗电子病历系统中传染病报告管理功能。各单位均建有电子病历系统,除县级医院外,其他单位都不具备传染病报告管理功能;县级医院放射和检验结果门诊医院可浏览,但乡镇一级系统不具备该功能;目前也不具备导出功能。
(4)用户信息安全管理。直报用户在县疾控中心均有备案,各单位均配有传染病报告专用计算机,并安装了杀毒软件。
三、主要存在的问题
1.各单位均开展了传染病报告管理培训工作,但大部分缺少传染病诊断标准方面的内容,缺少培训考核,临床医生传染病报告意识和发现能力有待进一步提高。
2.电子病历系统尚不完善。虽然各单位均建有电子病历信息系统,但乡镇不具备传染病报告管理功能,不能适应新形势下传染病报告管理工作的需要。临床医生登记意识和传染病报告意识不高。
四、下一步工作计划
1.进一步规范培训,丰富传染病报告管理培训内容,做好培训考核和相关资料的收集整理。
网络信息安全自查评估报告篇7
广东针对网贷管理细则意见稿第一章总则
第一条[目的及依据]为规范本省网络借贷信息中介机构业务活动,保护各方合法权益,促进本省网络借贷行业规范有序、健康发展,根据《网络借贷信息中介机构业务活动管理暂行办法》(以下简称《暂行办法》),结合本省实际,制定本实施细则。
第二条[适用范围]在广东省内注册并从事网络借贷信息中介业务活动,适用本实施细则,法律法规等另有规定的除外。
第三条[省级部门职责]按照《暂行办法》等相关规定,落实各方管理责任。
省人民政府金融工作办公室(以下简称省金融办)具体承担本省网络借贷信息中介机构的机构监管日常工作。
国务院银行业监督管理机构省一级派出机构根据国务院银行业监督管理机构相关规定,制定本辖区网络借贷信息中介机构业务活动监督管理制度,并实施行为监管。
省通信管理局负责对网络借贷信息中介机构业务活动涉及的电信业务进行监管。
省公安厅牵头负责对网络借贷信息中介机构的互联网服务进行安全监管,依法查处违反网络安全监管的违法违规活动,打击网络借贷涉及的金融犯罪及相关犯罪。
省互联网信息办公室负责对金融信息服务、互联网信息内容等业务进行监管。
省工商局负责网络借贷信息中介机构的注册登记,对违反工商相关规定的情况进行查处。
第四条[分级管理]各地级以上市人民政府是本辖区网络借贷信息中介机构的机构监管和风险处置的第一责任人。各地级以上市人民政府金融监管部门具体承担本辖区网络借贷信息中介机构的机构监管和风险处置工作。国务院银行业监督管理机构市一级派出机构负责本辖区网络借贷信息中介活动的行为监管,配合本市人民政府开展机构监管和风险处置等工作。
第五条[公司治理和增强实力]网络借贷信息中介机构应当依法建立健全公司治理结构,完善议事规则、决策程序、内审制度和风控制度,保持公司治理的有效性。鼓励网络借贷信息中介机构根据自身实际,引进战略投资者,增加注册资本与实收资本,增强机构实力。鼓励聘请具有丰富金融机构从业经验的人员担任高级管理人员。
第二章备案管理
第六条[备案登记]拟开展网络借贷信息中介服务的网络借贷信息中介机构,应当在领取营业执照后,于10个工作日以内携带有关材料向工商登记注册地所在地级以上市人民政府金融监管部门提交备案登记材料,各地级以上市人民政府金融监管部门应当在网络借贷信息中介机构提交的备案登记材料齐备时予以受理。根据需要,区(县、县级市)人民政府金融监管部门可负责相关资料受理工作。
第七条[备案审核]各地级以上市人民政府金融监管部门在规定时间内,将形式合规、完备的备案登记材料报省金融办,省金融办对符合备案条件的,统一出具备案登记证明文件。备案登记不构成对网络借贷信息中介机构经营能力、合规程度、资信状况的认可和评价,不作为出借人资产安全的保证。
省金融办有权根据《暂行办法》和本实施细则等会同相关部门或委托第三方对备案登记后的网络借贷信息中介机构进行评估分类,并及时将备案登记信息及分类结果在官方网站上公示。
网络借贷信息中介机构备案登记、评估分类按照国家相关具体规定执行或由省金融办会同相关部门根据国务院银行业监督管理机构相关规定另行制定。
第八条[电信业务经营许可]网络借贷信息中介机构获得金融监管部门备案登记证明文件后,应当按照通信主管部门的相关规定申请相应的电信业务经营许可;未按规定申请电信业务经营许可的,不得开展网络借贷信息中介业务。
第九条[机构经营范围]开展网络借贷信息中介业务的机构,应当在工商登记经营范围中明确注明网络借贷信息中介等字样,法律、行政法规另有规定的除外。
第十条[备案变更]网络借贷信息中介机构备案登记事项发生变更的,应当在5个工作日以内向工商登记注册地所在地级以上市人民政府金融监管部门报告并进行备案信息变更。
第十一条[备案注销]经备案的网络借贷信息中介机构拟终止网络借贷信息中介服务的,应当在终止业务前提前至少10个工作日,书面告知注册地所在地级以上市人民政府金融监管部门,并按规定办理备案注销。各地级以上市人民政府金融监管部门应当及时将本辖区网络借贷信息中介机构备案注销情况报省金融办。
经备案登记的网络借贷信息中介机构依法解散或者依法宣告破产的,除依法进行清算外,按规定注销其备案。
第三章风险管理与信息披露
第十二条[征信管理]网络借贷信息中介机构应当加强与金融信用信息基础数据库运行机构、征信机构等的业务合作,依法提供、查询和使用有关金融信用信息。
征信管理部门应当将网络借贷信息中介机构的有关信息纳入征信管理系统,为网络借贷信息中介机构查询相关信息、加强借款人风险控制等提供方便。
第十三条[风险揭示]网络借贷信息中介机构应当向出借人以醒目方式提示网络借贷风险、禁止性行为,尤其是风险自担原则,并经出借人确认。
第十四条[合格出借人审查]网络借贷信息中介机构应当开展合格出借人审查,对出借人的年龄、财务状况、投资经验、风险偏好、风险承受能力等进行尽职评估,不得向未进行风险评估和风险评估不合格的出借人提供交易服务。
第十五条[机构经营管理信息披露]网络借贷信息中介机构应当及时在其官方网站显著位置披露本机构所撮合借贷项目等经营管理信息。
网络借贷信息中介机构应当在其官方网站上建立业务活动经营管理信息披露专栏,定期以公告形式向公众披露年度报告、法律法规、网络借贷有关监管规定,其中经审计的年度报告应当在本年度结束后4个月内进行披露。鼓励网络借贷信息中介机构主动、及时、准确披露主要股东与高级管理人员详细信息等。
网络借贷信息中介机构应当将定期信息披露公告文稿和相关备查文件每季度结束后1个月内报送工商登记注册地所在地级以上市人民政府金融监管部门及国务院银行业监督管理机构市一级派出机构,并置备于机构住所供社会公众查阅。
第四章监督管理
第十六条[金融监管部门职责]本省网络借贷信息中介机构的监管部门为省金融办、地级以上市人民政府金融监管部门、国务院银行业监督管理机构派出机构。
省金融办和各地级以上市人民政府金融监管部门具体承担本省或本辖区网络借贷信息中介机构监管日常工作,包括对网络借贷信息中介机构的规范引导、备案管理和风险防范、处置工作。
国务院银行业监督管理机构派出机构配合国务院银行业监督管理机构制定统一的规范发展政策措施和监督管理制度,负责网络借贷信息中介机构的日常行为监管,指导本级人民政府金融监管部门做好网络借贷信息中介机构的机构监管,配合地方人民政府做好网络借贷信息中介机构的风险处置工作,建立跨部门跨地区监管协调机制。
第十七条[自律组织职责]广东互联网金融协会应当加强省内网络借贷行业自律管理,并严格履行《暂行办法》第三十四条相关职责。
广东互联网金融协会网络借贷专业委员会按照《关于促进互联网金融健康发展的指导意见》、《暂行办法》、本实施细则和协会章程开展自律并接受相关监管部门指导。
第十八条[监督管理措施]监管部门根据履行职责的需要,可以依法采取多种措施对网络借贷信息中介机构进行监督管理,包括但不限于开展现场检查、非现场监管,与董事、高级管理人员等进行监管谈话。
现场检查可根据需要,组成跨部门联合现场检查组,联合现场检查组由省金融办或各地级以上市人民政府金融监管部门具体牵头组织。
第十九条[非现场监管]监管部门应当对网络借贷信息中介机构开展非现场监管,省金融办会同相关部门建立全省统一的非现场监管信息系统,收集、整理、分析网络借贷信息中介机构的业务活动,持续监测风险状况。
网络借贷信息中介机构应当定期向各地级以上市人民政府金融监管部门及国务院银行业监督管理机构市一级派出机构报送财务会计、统计报表和资料等信息。
第二十条[重大风险信息报送]网络借贷信息中介机构应当在下列重大事件发生后,立即采取应急措施并向注册地所在地级以上市人民政府金融监管部门报告:
(一)因经营不善等原因出现重大经营风险;
(二)网络借贷信息中介机构或其董事、监事、高级管理人员发生重大违法违规行为;
(三)因商业欺诈行为被起诉,包括违规担保、夸大宣传、虚构隐瞒事实、虚假信息、签订虚假合同、错误处置资金等行为。
省金融办应当会同有关部门建立网络借贷行业重大事件的发现、报告和处置制度,制定处置预案,及时、有效地协调处置有关重大事件。
各地级以上市人民政府金融监管部门应当及时将本辖区网络借贷信息中介机构重大风险及处置情况信息报送本级人民政府、省金融办。
省金融办应当及时将本辖区网络借贷信息中介机构重大风险及处置情况信息报送省人民政府、国务院银行业监督管理机构和中国人民银行。
第二十一条[一般信息报送]除本实施细则第十条规定的事项外,网络借贷信息中介机构发生下列情形的,应当在5个工作日以内向各地级以上市人民政府金融监管部门报告:
(一)因违规经营行为被查处或被起诉;
(二)董事、监事、高级管理人员违反境内外相关法律法规行为;
(三)金融监管部门等要求的其他情形。
第二十二条[年度审计]网络借贷信息中介机构应当聘请会计师事务所进行年度审计,审计报告中应特别载明分支机构相关情况,并在上一会计年度结束之日起4个月内向注册地所在地级以上市人民政府金融监管部门、国务院银行业监督管理机构市一级派出机构报送年度审计报告。
第二十三条[监管情况报告]各地级以上市人民政府金融监管部门应于每年2月中旬前向本级人民政府和省金融办报告上一年度本辖区网络借贷信息中介机构的监管情况。省金融办应于每年3月中旬前向省人民政府和国务院银行业监督管理机构报送上一年度本省网络借贷信息中介机构的监管情况。
第二十四条[信息共享机制]省金融办、广东银监局、人民银行广州分行、省公安厅、省工商局、省通信管理局、省网信办应当建立网络借贷信息中介机构信息共享机制,定期将网络借贷信息中介机构工商注册、备案登记、电信业务经营许可、违法违规等信息,通过统一的省级企业信息共享交换平台或全国企业信用信息公示系统(广东)实时交换数据、共享信息。
各地级以上市参照省的做法,实现信息共享。
第五章附则
第二十五条[监管部门责任]监管部门存在未依照本实施细则等规定报告重大风险和处置情况、未依照本实施细则等规定向国务院银行业监督管理机构和本级人民政府提供行业统计或行业报告等违反法律法规及本实施细则规定情形的,应当对有关责任人依法给予行政处分;构成犯罪的,依法追究刑事责任。
第二十六条[省外注册公司的监管]注册地在外省的网络借贷信息中介机构,其公司总部办公所在地不得在广东省设立,法律法规另有规定的除外。其在本省设立的分支机构,遵守本实施细则。
第二十七条[深圳市]深圳市人民政府可以根据《暂行办法》,参照本实施细则制定深圳市实施细则,并报广东省人民政府和国务院银行业监督管理机构备案。
第二十八条[解释权]本实施细则解释权归广东省人民政府。
第二十九条[数量含义]本实施细则所称不超过、以下、以内,包括本数。
第三十条[生效期]本实施细则自年月日起生效,有效期为3年。
广东针对网贷管理细则解读针对过去监管责任不清晰的问题,根据《网络借贷信息中介机构业务活动管理暂行办法》,《意见稿》对网贷机构的各方管理责任进行细化:省金融办承担本省网络借贷信息中介机构的机构监管日常工作。国务院银行业监督管理机构省一级派出机构制定本辖区网络借贷信息中介机构业务活动监督管理制度,并实施行为监管。省通信管理局负责对网贷机构业务活动涉及的电信业务进行监管。省公安厅牵头负责对网贷机构的互联网服务进行安全监管,依法查处违反网络安全监管的违法违规活动,打击网络借贷涉及的金融犯罪及相关犯罪。省互联网信息办公室负责对金融信息服务、互联网信息内容等业务进行监管。省工商局负责网贷机构的注册登记,对违反工商相关规定的情况进行查处。
《意见稿》明确,各地级以上市人民政府是本辖区网贷机构的机构监管和风险处置的第一责任人。
在网贷机构备案登记上,《意见稿》指出,拟开展网贷业务的信息中介机构,应当在领取营业执照后,于10个工作日以内携带有关材料向工商登记注册地所在地级以上市金融办提交备案登记材料。省金融办有权会同有关部门或委托第三方对备案登记后的网贷机构评估分类。
《意见稿》指出,网贷机构应当开展合格出借人审查,并向出借人以醒目方式提示网络借贷风险、禁止性行为,尤其是风险自担原则,并经出借人确认。
网络信息安全自查评估报告篇8
网络产品和服务安全审查办法
(试行)
第一条为提高网络产品和服务安全可控水平,防范网络安全风险,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》等法律法规,制定本办法。
第二条关系国家安全的网络和信息系统采购的重要网络产品和服务,应当经过网络安全审查。
第三条坚持企业承诺与社会监督相结合,第三方评价与政府持续监管相结合,实验室检测、现场检查、在线监测、背景调查相结合,对网络产品和服务及其供应链进行网络安全审查。
第四条网络安全审点审查网络产品和服务的安全性、可控性,主要包括:
(一)产品和服务自身的安全风险,以及被非法控制、干扰和中断运行的风险;
(二)产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险;
(三)产品和服务提供者利用提品和服务的便利条件非法收集、存储、处理、使用用户相关信息的风险;
(四)产品和服务提供者利用用户对产品和服务的依赖,损害网络安全和用户利益的风险;
(五)其他可能危害国家安全的风险。
第五条国家互联网信息办公室会同有关部门成立网络安全审查委员会,负责审议网络安全审查的重要政策,统一组织网络安全审查工作,协调网络安全审查相关重要问题。
网络安全审查办公室具体组织实施网络安全审查。
第六条网络安全审查委员会聘请相关专家组成网络安全审查专家委员会,在第三方评价基础上,对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估。
第七条国家依法认定网络安全审查第三方机构,承担网络安全审查中的第三方评价工作。
第八条网络安全审查办公室按照国家有关要求、根据全国性行业协会建议和用户反映等,按程序确定审查对象,组织第三方机构、专家委员会对网络产品和服务进行网络安全审查,并或在一定范围内通报审查结果。
第九条金融、电信、能源、交通等重点行业和领域主管部门,根据国家网络安全审查工作要求,组织开展本行业、本领域网络产品和服务安全审查工作。
第十条公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过网络安全审查。产品和服务是否影响国家安全由关键信息基础设施保护工作部门确定。
第十一条承担网络安全审查的第三方机构,应当坚持客观、公正、公平的原则,按照国家有关规定,参照有关标准,重点从产品和服务及其供应链的安全性、可控性,安全机制和技术的透明性等方面进行评价,并对评价结果负责。
第十二条网络产品和服务提供者应当对网络安全审查工作予以配合,并对提供材料的真实性负责。
第三方机构等相关单位和人员对审查工作中获悉的信息等承担安全保密义务,不得用于网络安全审查以外的目的。
第十三条网络安全审查办公室不定期网络产品和服务安全评估报告。
第十四条网络产品和服务提供者认为第三方机构等相关单位和人员有失客观公正,或未能对审查工作中获悉的信息承担安全保密义务的,可以向网络安全审查办公室或者有关部门举报。
网络信息安全自查评估报告篇9
无证生产经营加工食品是广大群众反映的食品安全突出问题,也是近年来上海市人民代表食品安全执法检查中反映的重点问题。经过多次调查研究和听取意见,在《条例》中增加了关于“无证生产经营食品的治理”相关条款。采取“疏堵结合、分类施策、减少存量、严控增量”的方式实施分类管理,采取备案纳管等方式做好“放管服”等各项工作,既满
足市民日常生活需要,又必须加强食品安全监管。
1.加强商业规划和配套建设
区和乡、镇人民政府或街道办事处应当按照方便群众、合理布局的原则,完善区域商业规划,加强住宅区、商务区、工业区等的餐饮服务配套建设,引导小型餐饮服务提供者改善经营条件,提高管理水平。
2.实施分类管理
小型餐饮服务提供者从事食品经营活动,应当依法取得食品经营许可,并遵守食品安全法律、法规、规章和标准的要求。未取得食品经营许可,但经营食品符合食品安全卫生要求、不影响周边居民正常生活的小型餐饮服务提供者,应当向所在地的乡、镇人民政府或街道办事处办理临时备案。
3.实施联合监管
乡、镇人民政府或街道办事处应当将备案信息通报所在地的区市场监督管理、环境保护、房屋管理、消防安全、城市管理行政执法等部门,相关部门应当按照各自职责加强对小型餐饮服务提供者的日常监管。小型餐饮服务提供者未依法取得食品经营许可或者未办理临时备案从事食品经营活动的,由上海市食品药品监督管理部门或者区市场监督管理部
门没收违法所得、违法经营的食品和用于违法经营的工具、设备、原料等物品;违法经营的食品货值金额不足1万元的,并处1万元以上5万元以下罚款;货值金额1万元以上的,并处货值金额5倍以上10倍以下罚款。
4.明确小型餐饮服务提供者的“退出机制”
小型餐饮服务提供者违反环境保护、房屋管理、消防安全、市容环境卫生管理等法律、法、规章规定的,由相关部门依法进行处理,并将信息告知所在地的乡、镇人民政府、街道办事处,由其注销临时备案。
加强网络食品经营新业态的管理
总结《上海市网络餐饮服务管理办法》实施的情况,落实上海市人大代表食品安全执法检查的意见建议,并回应社会各方关切,《条例》对网络食品经营做出了以下规范:
1.建立网络食品交易第三方平台备案制度
(1)在上海市注册登记的网络食品交易第三方平台提供者,应当在通信管理部门批准后30个工作日内,向上海市食品药品监督管理部门备案,取得备案号。
(2)在外省市注册登记的网络食品交易第三方平台提供者,应当自在上海市提供网络食品交易第三方平台服务之日起30个工作日内,将其在上海市实际运营机构的地址、负责人、联系方式等相关信息向上海市食品药品监督管理部门备案。
(3)通过自建网站交易的食品生产经营者,应当在通信管理部门批准后30个工作日内,向所在地的区市场监督管理部门备案,取得备案号。实行统一配送经营方式的食品经营企业,可以由企业总部统一办理备案手续。
2.细化网络食品经营者许可和信息公示制度
网络食品经营者应当依法取得食品生产经营许可,并按规定在自建交易网站或者网络食品交易第三方平台的首页显著位置或者经营活动主页面醒目位置,公示其营业执照、食品生产经营许可证件、从业人员健康证明、食品安全量化分级管理等信息。相关信息应当完整、真实、清晰,发生变化的,应当在10日内更新。
3.明确网络食品交易第三方平台提供者的管理责任
《食品安全法》中规定了第三方平台的实名登记入网审查违法行为报告三项管理责任,在此基础上,《条例》增设了制定准入标准、开展抽样检验、平台上的食品经营行为及信息进行检查、公示入网食品经营者的食品安全信用状况等四项要求。
4.强调第三方平台提供者对入网食品经营者的事后监管责任
网络食品交易第三方平台提供者发现入网食品经营者存在未经许可从事食品经营、经营禁止生产经营的食品、发生食品安全事故等严重违法行为的,应当立即停止为其提供网络交易平台服务。
5.增加网络食品配送管理的卫生规范要求
从事网络交易食品配送的网络食品经营者、网络食品交易第三方平台提供者、物流配送企业应当遵守有关法律、法规对贮存、运输食品以及餐具、饮具、容器和包装材料的要求,并加强对配送人员的培训和管理。从事网络订餐配送的,还应当遵守本条例第三十九条的规定。
完善食品安全风险监测和风险评估体系建设
食品安全风险监测、风险评估和风险交流是食品安全监管的重要措施和方式,也是上海市食品安全监管十多年来形成的重要经验。
1.相关职能部门责任调整
《条例》明确,上海市卫生计生部门依据国家食品安全风险评估的要求,负责组织上海市食品安全风险评估工作,成立由医学、农业、食品、营养、生物、环境等方面专家组成的上海市食品安全风险评估专家委员会,进行食品安全风险评估。
2.增加出入境检验检疫部门的相关工作职责
上海市卫生计生部门应当会同上海市食品药品监督管理、质量技术监督、农业、出入境检验检疫等部门,根据国家和上海市食品安全风险监测和风险评估工作的需要,加强食品安全风险监测和风险评估能力建设,建立和完善食品安全风险监测和风险评估体系。同时,根据国家食品安全风险监测计划和实际情况,制定、调整上海市食品安全风险监测方案,
报国务院卫生计生部门备案并实施。
3.强化对食品安全风险评估结果的应用
网络信息安全自查评估报告篇10
主动攻击是指攻击者利用网络与系统设计中存在的漏洞进行恶意的侵入和破坏,其中当今最突出的恶意攻击----拒绝服务攻击就是主动攻击的典型。它通过对信息服务资源进行超负荷使用或干扰使计算机功能或性能崩溃来阻止提供服务。主动攻击主要分为中断、篡改和伪造3种。中断是指攻击者通过干扰计算机阻止计算机网络用户进行正常通信。篡改是指攻击者截获网络用户传输的数据,对该数据进行恶意修改,然后再将修改后的数据传输给接收者。伪造指攻击者伪造成甲用户与乙用户建立通信,从而非法获得信息。
2造成计算机网络安全风险的因素
2.1系统本身存在的漏洞
系统漏洞存在的原因主要有:编程人员能力、技术和当时安全监控技术的限制;编程人员无法弥补的硬件漏洞问题通过软件表现出来;编程人员为某种利益驱动故意留存的漏洞。这些因素给攻击者带来了有机可成的机会。尽管微软等公司一直致力于漏洞的修复技术,但系统的某一微小的漏洞就可造成就计算机系统巨大损失。是计算机网络安全十分重要的环节。
2.2病毒及恶意软件防范能力薄弱
根据目前某公司的分析报告:目前全世界拥有200万程序员具有能力写较成熟电脑病毒。而黑客的攻击方法完全超出了病毒的种类,并且计算机病毒的具有强大的传播能力,在短时间内就可攻击到internet网络上的所有计算机,令人防不胜防。造成计算机及网络系统的瘫痪。特洛伊木马、蠕虫病毒等因其强大的破坏力被网络用户所熟悉,而其却显示越演越烈之势,黑客的攻击手段层出不穷,向计算机网路安全发起了强有力的挑战。
2.3计算机用户问题
计算机操作者水平参差不齐,由于其防范意识薄弱,在应用过程中的误操作,误判断也会给计算机带了安全隐患。
2.4缺乏科学准确的评估、分析手段
科学准确的安全评估和分析手段是应对黑客入侵的基础,它是通过对整个网络存在的威胁、影响和薄弱点进行评估,从而确认安全风险及其危害程度的计算机网络防范手段。网络安全评估是计算机网络安全维护的基础,是对计算机网络安全性能分析的前提,它为网络管理人员提供了降低风险,实施风险管理和风险控制的依据。它通过扫描目前网络信息系统中的漏洞,分析系统的安全状况,并对已发现的问题提出可行性建议。安全评估和分析技术是应对网络黑客攻击行之有效的方法。
3计算机网络安全防范措施
3.1漏洞扫描
漏洞扫描是计算机网络防护的重要手段,及时准确地发现自己工作中的弱点,信息平台中漏洞和问题,才能抢占先机,处于不败之地。漏洞检测的功能主要有:定期自我检查和评估网络安全;检查安装的新软件和开启的新服务的安全性;网络建设和改造前后安全规划评估和效果检测。主要的漏洞扫描工具有Qualys,FoundStone,Rapid7和nessus等。其中专门提供Saas服务的Qualys工具被广泛推广和应用,它能够为各类企业提供企业网络、网站应用等多个方面的特定的扫描方法和报告服务。漏洞扫描能及时准确地检查系统中的安全隐患,从而能保证用户的业务能安全迅速地开展,维护了国家所有信息资产、公司和企业资产的安全。
3.2防火墙技术
防火墙是由多个硬件设备及其相应软件组成的系统,它位于不可信的外部网与需要保护的内部网之间,起到屏障作用。它通过在internet与intranet之间建立一个SecurityGateway(网关),保护内部网络免受没有授权的非法用户的攻击并执行用户规定的访问控制策略。它主要有4部分组成:服务访问政策、应用网关、验证过滤和包过滤。从应用原理上可以分为以下4类:(1)包过滤防火墙,用户常见的路由器就是一个传统型的包过滤防火墙,它主要是根据数据包的源地址、目的地址、协议、端口等决定是否转发收到的网络包。包网络防火墙将数据包的信息与其设定的规则匹配,若没有任何符合的规则与该数据包符合则防火墙就会丢弃该包。包过滤防火墙提供的端口检查服务能够有效地控制外部非信任主机对内部客户端和服务器连接请求。(2)应用级网关。该类网关能够解析应用层协议,可做复杂的访问控制,并能够做出精细的注册和稽核。它能够检查网络中传输的数据包,通过复制传递数据,阻止不受信任的主机与受信任的主机和服务器进行通信。(3)电路级网关。主要通过监控tCp会话的3次握手信息。从而确定受信任的主机和服务器与非信任的主机之间建立的对话是否合法。电路级网关提供的服务器(proxyServer)功能,能够允许网络管理员对特定的应用程序或该应用程序的特定功能进行使用或屏蔽。该功能主要由计算机的硬件来承担实现。(4)规则检查防火墙。此类防火墙集成以上3种防火墙的特点,能够检查传输中的数据包,能够检查aCK和SYn标记和序列数字在逻辑上是否有序,并且能够检查数据包内容是否符合网络安全规约。
3.3数据加密与身份认证
数字加密和认证技术是进行计算机网络防护的有效手段之一,数据加密是对传输的数据进行加密,并以密文的形式传输信息数据的方法。数据加密能够保护用户数据不会被恶意获取或篡改,只有具有相应密钥的用户才能获取该数据包的信息。但是密钥管理在此技术中就显得尤为重要,必须以安全的形式进行传输。在对计算机网络安全进行维护时适当采用数据加密算法进行安全通信是可行的。身份认证是指外部用户对内部资源进行访问时,需要首先在门户服务器上进行认证和授权。只有身份认证通过的授权用户才能对内网进行数据访问。
3.4加强防范意识
对用户加强计算机网络安全教育,建立网络安全管理部门,对重要部门、重要设备进行集中管理,并设立专职维护人员,做到定期自查,及时发现,立刻修复;建立健全计算机安全法律法规,对计算机网络用户进行法律知识培训,使用户从思想上培养计算机安全防范意识;定期对计算机及其网络设备进行漏洞扫描、修复和计算机系统维护,建议安装适合的防病毒软件,并加强用户防病毒技术能力培训。
4结语