安全等級保護管理辦法范文
時間:2024-03-01 17:55:10
導語:如何才能寫好一篇安全等級保護管理辦法,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
關鍵詞:信息系統(tǒng)安全 等級保護 福建
一、引言
信息安全等級保護制度是國家在國民經(jīng)濟和社會信息化的發(fā)展過程中,提高信息安全保障能力和水平,維護國家安全、社會穩(wěn)定和公共利益,保障和促進信息化建設健康發(fā)展的一項基本制度。我國實施的信息系統(tǒng)安全等級保護制度,根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度,信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素,將信息系統(tǒng)的安全保護等級劃分為5個級別,從第一級到第五級逐級增高,對不同安全級別的信息系統(tǒng)實施不同的安全管理。
二、我國信息系統(tǒng)安全等級保護思想的形成
1994年,《中華人民共和國計算機信息系統(tǒng)安全保護條例 》(國務院147號令)規(guī)定,“計算機信息系統(tǒng)實行安全等級保護,安全等級的劃分標準和安全等級保護的具體辦法,由公安部會同有關部門制定”。
20世紀80年代初,美國國防部制定了“國家計算機安全標準”等系列標準,包括《可信計算機系統(tǒng)評估準則》(TCSEC,即俗稱的“桔皮書”)及其他近40個相關標準,合稱“彩虹系列”。 TCSEC標準是國際上計算機系統(tǒng)安全評估的第一套大規(guī)模系統(tǒng)標準,具有劃時代的意義。TCSEC將安全產(chǎn)品的安全功能和可信度綜合在一起,設立了4類7級。
1999年,我國公安部組織制定了強制性國家標準――《計算機信息系統(tǒng)安全保護等級劃分準則》。
2000年11月10日,國家計委批準公安部開展“計算機信息系統(tǒng)安全保護等級評估體系及互聯(lián)網(wǎng)絡電子身份管理與安全保護平臺項目”建設。
2003年,《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發(fā)[2003]27號)明確指出“實行信息安全等級保護”,“要重點保護基礎信息網(wǎng)絡和關系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng),抓緊建立信息安全等級保護制度,制定信息安全等級保護的管理辦法和技術指南”。這標志著等級保護從計算機信息系統(tǒng)安全保護的一項制度提升到國家信息安全保障一項基本制度。同時中央27號文明確了各級黨委和政府在信息安全保障工作中的領導地位,以及“誰主管誰負責,誰運營誰負責”的信息安全保障責任制。
2004年9月,公安部會同國家保密局、國家密碼管理局和國務院信息辦聯(lián)合出臺了《關于信息安全等級保護工作的實施意見》(公通字[2004]66號),明確了信息安全等級保護制度的原則和基本內(nèi)容,以及信息安全等級保護工作的職責分工、工作實施的要求等。
2006年1月,公安部、國家保密局、國家密碼管理局、國信辦聯(lián)合制定了《信息安全等級保護管理辦法(試行)》,并于2007年6月修訂。
2007年6月,公安部會同國家保密局、國家密碼管理局和國務院信息辦聯(lián)合頒布《信息安全等級保護管理辦法》(公通字[2007]43號,以下簡稱《管理辦法》),明確了信息安全等級保護制度的基本內(nèi)容、流程及工作要求,進一步明確了信息系統(tǒng)運營使用單位和主管部門、監(jiān)管部門在信息安全等級保護工作中的職責、任務,為開展信息安全等級保護工作提供了規(guī)范保障。
三、開展信息系統(tǒng)安全等級保護工作的必要性和重要性
⒈開展信息系統(tǒng)安全等級保護工作的必要性
隨著網(wǎng)絡新技術的飛速發(fā)展和各類信息系統(tǒng)的廣泛應用,網(wǎng)絡與信息安全也相應出現(xiàn)了許多新情況、新問題,福建省網(wǎng)絡與信息安全防護工作面臨的形勢十分嚴峻。這就使得開展信息系統(tǒng)安全等級保護工作成為必然。
一是網(wǎng)上斗爭日趨復雜,不確定性增強。由于在互聯(lián)網(wǎng)上傳播信息具備快速便捷、低成本、無國界、易消除痕跡、技術變化快等特點,使互聯(lián)網(wǎng)成為境內(nèi)外敵對勢力、敵對分子從事各種破壞活動的重要工具。我國將長期面臨敵對勢力的信息優(yōu)勢、技術優(yōu)勢所帶來的信息安全威脅。
二是網(wǎng)絡違法犯罪活動迅速增多,造成的后果越來越嚴重。隨著新技術、新應用的發(fā)展,暴露出來的網(wǎng)絡與信息安全問題也日益增多。
三是漏洞數(shù)量居高不下,利用漏洞發(fā)起攻擊仍是互聯(lián)網(wǎng)最大的安全隱患。安全漏洞是指在網(wǎng)絡系統(tǒng)中硬件、軟件、協(xié)議和系統(tǒng)安全策略等存在的缺陷和錯誤,攻擊者利用這些缺陷和錯誤可以對網(wǎng)絡系統(tǒng)進行非授權的訪問或破壞。
四是計算機病毒傳播和對網(wǎng)絡非法入侵十分嚴重。據(jù)公安機關調(diào)查,2007年1-6月,我國平均每月截獲計算機病毒6.6萬個,累計感染計算機達1.18億臺次。2007年初在我國發(fā)生的“熊貓燒香”病毒案,短時間內(nèi)就出現(xiàn)病毒變種700余個,感染了445萬臺計算機,大批網(wǎng)民的網(wǎng)上帳號、口令被竊取。
⒉開展信息系統(tǒng)安全等級保護工作的重要性
開展信息安全等級保護工作,就是要解決我國信息安全面臨的威脅和存在的主要問題,按標準建設安全保護措施,建立安全保護制度,落實安全責任,加強監(jiān)督檢查,有效保護重要信息系統(tǒng)安全,有效提高我國信息和信息系統(tǒng)安全建設的整體水平。
建立信息安全等級保護制度,開展信息安全等級保護工作,有利于在信息化建設過程中同步建設信息安全設施,保障信息安全與信息化建設相協(xié)調(diào);有利于為信息系統(tǒng)安全建設和管理提供系統(tǒng)性、針對性、可行性的指導和服務;有利于優(yōu)化信息安全資源的配置,重點保障基礎信息網(wǎng)絡和關系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)的安全;有利于明確國家、法人和其他組織、公民的信息安全責任,加強信息安全管理;有利于推動信息安全產(chǎn)業(yè)的發(fā)展,逐步探索出一條適應社會主義市場經(jīng)濟發(fā)展的信息安全模式。
四、加快推進福建省重要信息系統(tǒng)安全等級保護工作
2007年7月20日,公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室在北京聯(lián)合召開“全國重要信息系統(tǒng)安全等級保護定級工作電視電話會議”,部署在全國范圍內(nèi)開展重要信息系統(tǒng)安全等級保護定級工作。8月13日,福建省公安廳、省保密局、省委機要局、數(shù)字福建建設領導小組辦公室等四家單位也聯(lián)合召開“福建省重要信息系統(tǒng)安全等級保護定級工作電視電話會議”。這標志著福建省重要信息系統(tǒng)安全等級保護工作正式啟動。
信息系統(tǒng)安全保護工作的首要環(huán)節(jié)是定級,定級工作是開展信息系統(tǒng)建設、整改、測評、備案、監(jiān)督檢查等后續(xù)工作的重要基礎。信息系統(tǒng)安全級別定不準,系統(tǒng)建設、整改、備案、等級測評等后續(xù)工作都將失去針對性。此次福建省重要信息系統(tǒng)安全等級保護工作將分四個階段進行。
1.突出重點,全面準確劃定定級范圍和定級對象
此次重要信息系統(tǒng)定級的范圍是國家基礎信息網(wǎng)絡和重要信息系統(tǒng),這些網(wǎng)絡和系統(tǒng)廣泛分布在各級黨政機關和電信、廣電、鐵路、銀行、民航、海關、稅務、電力、證券、保險等數(shù)十個行業(yè)。將這些基礎信息網(wǎng)絡和重要信息系統(tǒng)納入此次定級的重點范圍,體現(xiàn)了統(tǒng)籌規(guī)劃、突出重點、重點保障基礎信息網(wǎng)絡和重要信息系統(tǒng)安全的總體要求和原則。
2.依據(jù)《管理辦法》,準確確定信息系統(tǒng)安全保護等級
福建省各運營使用單位和主管部門在全面分析各自信息網(wǎng)絡和信息系統(tǒng)在國家安全、社會秩序、公共利益等方面的作用和影響的基礎上,根據(jù)信息網(wǎng)絡和信息系統(tǒng)被攻擊破壞后對國家安全、社會秩序和公共利益等方面可能造成的危害程度等因素,依據(jù)《管理辦法》,參照《定級指南》所提供的定級方法,綜合確定信息系統(tǒng)的安全保護等級。在確定等級的過程中,要最大限度地避免定級的盲目性、隨意性,力爭做到定級準確、科學、合理。
3.及時備案,加強對定級工作的監(jiān)督、檢查和指導
為全面掌握基礎信息網(wǎng)絡和重要信息系統(tǒng)的單位和系統(tǒng)的基本情況,保護重點領域的重要信息網(wǎng)絡和信息系統(tǒng),凡是安全保護等級為第二級以上的信息系統(tǒng)運營使用單位或主管部門要按照《管理辦法》的要求,到公安機關進行備案。公安機關受理備案后要對備案材料進行審核,加強對重要信息系統(tǒng)安全等級保護定級工作的監(jiān)督、檢查和指導;對定級不準的,要及時通知備案單位重新定級。
4.依據(jù)《管理辦法》和技術標準,開展整改、測評等工作
信息系統(tǒng)的安全保護等級確定后,運營使用單位要按照信息安全等級保護管理規(guī)范和技術標準,使用符合國家有關規(guī)定、滿足信息系統(tǒng)安全保護等級需求的信息技術產(chǎn)品,開展信息系統(tǒng)安全建設或者改建工作,建設符合等級要求的信息安全設施;參照信息安全等級保護管理規(guī)范,制定并落實安全管理制度;選擇符合《管理辦法》規(guī)定條件的測評機構,依據(jù)技術標準對信息系統(tǒng)安全等級狀況開展等級測評,使其盡快達到等級要求的安全保護能力和水平。
五、加大力度,確保福省重要信息系統(tǒng)安全等級保護工作任務落到實處
隨著北京奧運會的日益臨近,特別是“科技奧運”和“數(shù)字奧運”是2008年北京奧運會的一大亮點,信息安全等級保護的工作任務艱巨,責任重大。福建省公安、保密、密碼工作和信息化等部門要密切配合,及時開展監(jiān)督、檢查,嚴格審查信息系統(tǒng)所定級別,積極開展備案、整改、測評等工作。同時,充分利用廣播電視、報刊雜志、互聯(lián)網(wǎng)等媒體,加大對國家信息安全等級保護制度的宣傳力度,積極開展面向不同層次、不同對象的宣傳、培訓,以確保福建省重要信息系統(tǒng)安全等級保護工作落到實處。
1.明確職責,落實責任
各級公安機關要積極向當?shù)攸h委、政府專門匯報,主動爭取黨委、政府對信息安全等級保護工作的重視和支持;或者成立專門的等級保護工作直轄市領導小組,加強對定級工作的領導,研究制定定級工作實施方案。各運營使用單位及其主管部門要按照“誰主管誰負責、誰運營誰負責”的要求,明確主管領導和責任部門。各信息系統(tǒng)主管部門要切實加強對定級工作的組織、領導,落實等級保護各項責任,督促、指導本行業(yè)、本系統(tǒng)開展定級、備案、建設整改等工作。
2.密切配合,通力協(xié)作
各級公安機關作為開展等級保護工作的牽頭部門,要加強同保密、密碼工作、信息辦等其他信息安全職能部門的協(xié)調(diào)、配合,盡快建立健全信息安全等級保護監(jiān)管工作的協(xié)調(diào)配合機制;要主動與信息系統(tǒng)主管部門交流溝通,督促配合其組織下屬信息系統(tǒng)運營、使用單位建立信息安全責任制,建立并落實等級保護制度,從而確保等級保護工作的順利、有效實施。
3.加強宣傳,強化培訓
篇2
關鍵詞:政務外網(wǎng) 等級保護 定級 網(wǎng)絡安全
為貫徹落實公安部、國家保密局、國家密碼管理局、原國務院信息化工作辦公室于2007年7月26日聯(lián)合下發(fā)《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》(公信安[2007]861號),國家電子政務外網(wǎng)工程建設辦公室(以下簡稱“外網(wǎng)工程辦”)在2007年11月啟動了中央級政務外網(wǎng)定級專項工作,成立了等級保護定級工作組,根據(jù)政務外網(wǎng)的實際情況和特點,經(jīng)過多輪內(nèi)部討論和征求專家意見后,基本完成了政務外網(wǎng)安全等級保護定級工作,為后續(xù)備案和全面開展、實施等級保護整改和測評工作奠定了堅實基礎。
一、周密部署,精心組織
為有效貫徹落實國家信息安全等級保護制度,在總結(jié)基礎調(diào)查和試點工作的基礎上,根據(jù)《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》等相關規(guī)定,2007年11月13日,電子政務外網(wǎng)工程辦召開等級保護工作啟動會,正式啟動國家電子政務外網(wǎng)安全等級保護定級工作。
為確保信息系統(tǒng)等級保護工作順利進行,外網(wǎng)工程辦領導高度重視,專門成立了由各主要業(yè)務部門負責人為成員的等級保護工作小組,全面負責工作的規(guī)劃、協(xié)調(diào)和指導,確定了外網(wǎng)工程辦安全組為等級保護工作的牽頭部門,各部門分工協(xié)作。同時,為確保系統(tǒng)劃分和定級工作的準確性和合理性,2007年11月22日外網(wǎng)工程辦專門邀請專家,對定級工作進行專項指導。
為統(tǒng)一思想,提高認識,通過召開等級保護專題會議等形式,深入學習《信息安全等級保護管理辦法》和《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》等文件精神,使相關人員充分認識和領會了開展信息安全等級保護工作的重要性,進一步認識到實施信息安全等級保護不僅是信息安全管理規(guī)范化、標準化、科學化的需要,也是提高政務外網(wǎng)安全保障能力與服務水平的重要途徑,是追求自身發(fā)展與落實社會責任相一致的現(xiàn)實需要與客觀要求,從而增強了開展此項工作的主動性和自覺性。
二、積極做好定級各項工作
信息安全等級保護工作政策性強、技術要求高,時間又非常緊迫,為此,政務外網(wǎng)工程辦從三方面抓好定級報備前期準備工作:一是積極參加公安部組織的等級保護培訓,領會與理解開展信息安全等級保護工作的目的、意義與技術要求,系統(tǒng)地掌握信息安全等級保護的基礎知識、實施過程、定級方法步驟和備案流程等。二是多次組織人員開展內(nèi)部討論和交流,使人員較全面地了解等級保護的意義、基礎知識和定級方法。三是開展工程辦各組的業(yè)務應用摸底調(diào)查,摸清系統(tǒng)的系統(tǒng)結(jié)構、業(yè)務類型和應用范圍,并匯總整理了政務外網(wǎng)各組成域的相關概況。
三、科學準確定級
在開展政務外網(wǎng)定級工作的過程中突出重點,全面分析政務外網(wǎng)網(wǎng)絡基礎平臺的特點,力求準確劃定定級范圍和定級對象。在此基礎上,依據(jù)《信息安全等級保護管理辦法》,確定政務外網(wǎng)各組成子系統(tǒng)(網(wǎng)絡域)的安全保護等級。
劃定定級對象。根據(jù)《信息系統(tǒng)安全等級保護定級指南》,外網(wǎng)工程辦多次組織技術和業(yè)務骨干召開專題會議討論信息系統(tǒng)劃分問題,提出了較為科學合理的信息系統(tǒng)劃分方案。
初步確定了信息系統(tǒng)等級。根據(jù)系統(tǒng)劃分結(jié)果,組織各業(yè)務部門參與并初步確定了各系統(tǒng)等級,完成了自定級報告的起草。
組織專家自評把關。根據(jù)等級保護評審的標準與要求,專家們對信息系統(tǒng)劃分和定級報告進行內(nèi)部評審,并給出了內(nèi)部評審意見。根據(jù)專家意見重新修改并整理了等級保護定級報告及其相關材料。
此外,在定級過程中,外網(wǎng)工程辦積極與公安部等級保護主管部門進行溝通,并經(jīng)由相關專家確認定級對象與等級保護方案后,整理好了所有定級材料,準備下一步的正式評審。
四、定級對象和結(jié)果
根據(jù)政務外網(wǎng)作為基礎網(wǎng)絡平臺的特性,以及其接入系統(tǒng)的不同業(yè)務類型,政務外網(wǎng)按管理邊界劃分為中央政務外網(wǎng)、地方政務外網(wǎng)兩類管理域。中央政務外網(wǎng)按業(yè)務邊界劃分功能區(qū),即公用網(wǎng)絡平臺區(qū)、專用VPN網(wǎng)絡區(qū)以及互聯(lián)網(wǎng)接入?yún)^(qū),在各功能區(qū)內(nèi)又根據(jù)業(yè)務類型和系統(tǒng)服務的不同,確定了多個業(yè)務系統(tǒng),主要有安全管理系統(tǒng)、應用平臺系統(tǒng)、網(wǎng)絡管理系統(tǒng)、郵件系統(tǒng)、VPN業(yè)務、互聯(lián)網(wǎng)數(shù)據(jù)中心等六個系統(tǒng)作為本次等級保護定級工作的定
級對象,分別予以定級(確定等級結(jié)果如表1所示)。
作者簡介:
羅海寧,1980年生,男,漢族,工程師,在職碩士,專業(yè)方向:網(wǎng)絡與信息安全。
郭紅,1966年生,女,漢族,高級工程師,在職碩士,專業(yè)方向:網(wǎng)絡安全。
篇3
安全風險
2008年6月,深圳市忽然出現(xiàn)了12萬一張的光盤,而且是一口價銷售,拒絕還價。光盤之所以賣得如此之貴,是因為光盤里存有當年深圳市預產(chǎn)期在3月~8月、共4萬多條孕產(chǎn)婦的信息。其時,已有多名孕產(chǎn)婦受到商家“階段性”推銷的騷擾:懷孕3個月后孕婦學校會來聯(lián)系,接著是家政服務商,而寶寶快到百日時,兒童攝影的推銷電話又……讓孕產(chǎn)婦不勝其煩。事后的調(diào)查發(fā)現(xiàn),是深圳市一家保健醫(yī)院的內(nèi)部人員利用職務之便,將該院信息系統(tǒng)中所有孕婦和嬰兒的信息盜取一空,整個過程只用了5分鐘。然后,便有了市場上天價光盤的出現(xiàn)。
信息化在給醫(yī)療機構帶來便利的同時,也存在著數(shù)據(jù)安全隱患,上述嚴重的信息泄露事件給醫(yī)院的信息安全敲響了警鐘。
除了信息泄露,威脅醫(yī)院信息安全的問題還有網(wǎng)絡病毒。隨著網(wǎng)絡的迅速發(fā)展,蠕蟲病毒引發(fā)的安全事件此起彼伏,且有愈演愈烈之勢。某醫(yī)院由于內(nèi)網(wǎng)病毒泛濫,帶寬被病毒數(shù)據(jù)包占用,不僅上網(wǎng)速度慢,更影響到了服務器的正常工作。
醫(yī)院內(nèi)部人員統(tǒng)方是另一個威脅。2010年5月23日,一張神秘的清單在網(wǎng)上曝光,其中列出了寧波市某醫(yī)院45名醫(yī)生的工號、名字和所屬科室,后面還注明了他們使用藥品氨曲南的數(shù)量和總價。6月3日,寧波市衛(wèi)生局向媒體公布了處罰決定:19名收受藥品回扣的醫(yī)生中,兩名醫(yī)生停止執(zhí)業(yè)活動6個月,6名醫(yī)生受到警告處分。雖然腐敗得到懲戒,大快人心,但所暴露的潛在統(tǒng)方威脅值得警惕。
加強信息安全、消除安全隱患,已經(jīng)成為醫(yī)院必須要面對的課題。
政策安排
在信息化建設過程中,與業(yè)務性系統(tǒng)相比,信息安全并沒有得到足夠的重視。在2012年8月舉辦的中國醫(yī)院論壇“數(shù)字化建設”分論壇上,著名醫(yī)療IT專家李包羅說:“這段時間,我參加了7個信息系統(tǒng)的技術規(guī)范的制訂會,我發(fā)現(xiàn),有的系統(tǒng)跟安全性毫不搭界,技術規(guī)范里面沒有跟技術、安全有關系的話語,哪怕有,也只是一兩句話帶過。制訂技術規(guī)范的人,應該說已經(jīng)是業(yè)界比較有經(jīng)驗、比較有水平的專家,如果他們都不對安全問題給予足夠的重視,那將是非常可怕的。”
在同一個會議上,國家衛(wèi)計委統(tǒng)計信息中心主任孟群直言:“我國衛(wèi)生信息化建設還存在信息安全保障建設的滯后。”
在政府層面,2007年公安部印發(fā)《信息安全等級保護管理辦法》,決定“在全社會范圍推行‘信息安全等級保護’政策”,2009年公安部印發(fā)《關于開展信息安全等級保護安全建設整改工作的指導意見》,對信息安全等級保護工作提出了要求。
在醫(yī)療領域,2010年原衛(wèi)生部制定的《衛(wèi)生信息化建設指導意見與發(fā)展規(guī)劃(2011-2015)》(“十二五”規(guī)劃)明確提出了我國醫(yī)療信息化發(fā)展的藍圖和發(fā)展方向“35212工程”,建設信息安全體系即是最后一個“2”中的一項。
醫(yī)療衛(wèi)生系統(tǒng)的相關政策相繼出臺。2011年12月,“為貫徹落實國家信息安全等級保護制度,規(guī)范和指導全國衛(wèi)生行業(yè)信息安全等級保護工作”,原衛(wèi)生部相繼了《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》和《關于全面開展衛(wèi)生行業(yè)信息安全等級保護工作的通知》,明確指出,“三級甲等醫(yī)院的核心業(yè)務信息系統(tǒng)”等五類衛(wèi)生信息系統(tǒng)等保原則上不低于三級,要求“衛(wèi)生行業(yè)各單位……要于2015年12月30日前完成信息安全等級保護建設整改工作,并通過等級測評?!?/p>
原衛(wèi)生部、國家中醫(yī)藥管理局在2012年6月15日的《關于加強衛(wèi)生信息化建設的指導意見》指出,要加強衛(wèi)生信息安全保障體系建設,落實國家信息安全等級保護制度。加強衛(wèi)生信息系統(tǒng)安全風險評估工作,確保信息安全和系統(tǒng)運行安全。繼續(xù)完善居民電子健康檔案、電子病歷等涉及居民隱私的信息安全體系建設,建設以密碼技術為基礎的信息安全保障和網(wǎng)絡信任體系,推廣數(shù)字證書和電子簽名應用,實現(xiàn)信息共享與隱私保護同步發(fā)展。
據(jù)悉,國際衛(wèi)計委一直在推進這方面的工作,包括制度設計、級別保護等相關的概念和邊界已經(jīng)逐步建立起來。
國家衛(wèi)計委統(tǒng)計信息中心副主任王才有表示,首先,政府層面制定了統(tǒng)一信息安全等級保護管理規(guī)范和技術標準,組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護,對信息安全產(chǎn)品的使用分等級實行管理,對等級保護工作的實施進行監(jiān)督和指導。
其次,在用戶層面,公民、法人和其他組織應當按照國家有關等級保護的管理規(guī)范和技術標準開展等級保護工作,服從國家對信息安全等級保護的監(jiān)督、指導,保障信息系統(tǒng)安全。
最后,在社會層面,關于信息安全產(chǎn)品的研制、生產(chǎn)單位,信息系統(tǒng)的集成、等級測評、風險評估等安全服務機構,應依據(jù)國家有關管理規(guī)定和技術標準開展相應工作,并接受國家信息安全職能部門的監(jiān)管。
在政策逐步建立的過程中,醫(yī)療機構自身建設亦十分重要。王才有說:“信息安全是專門的技術,但醫(yī)院應該培養(yǎng)自己的安全人才,我看到許多醫(yī)院還沒有這樣做,存在很大的風險。”
先進經(jīng)驗
目前,信息安全已經(jīng)引起了醫(yī)療機構的高度重視,也有醫(yī)院早早成為信息安全建設方面的先行者。
2012年11月初,中國醫(yī)學科學院阜外心血管病醫(yī)院信息中心主任趙接到通知,其醫(yī)院信息系統(tǒng)的安全保護能力“基本符合等級保護三級要求,符合項為87.8%”。按照規(guī)定,符合項超過80%即為通過了等級保護三級。也就是說,阜外醫(yī)院完成了國家衛(wèi)生行政部門要求2015年底完成的工作。趙介紹,據(jù)他了解,目前除了阜外醫(yī)院外,國內(nèi)還沒有其他醫(yī)院通過等保三級。
篇4
關鍵詞:信息安全;等級保護;定級制度
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2017)03-0045-02
信息安全等級保護制度的建設,是隨著經(jīng)濟建設和信息化建設的全面展開而進行的。對國家重要的信息系統(tǒng)等進行定級保護,可以提高信息系統(tǒng)的工作效率,在大數(shù)據(jù)、云計算的技術支持下,實現(xiàn)全系統(tǒng)的信息安全。為此國家多部門早已出臺多項關于信息安全的制度和規(guī)定,明確說明國家信息安全保障工作的基本制度之一就是信息安全等級保護制度。其工作流程包含定級、對級別的建設和整改、測評建設整改工作、向主管公安部門備案;監(jiān)管信息系統(tǒng)。其中首要階段的定級工作,是作為等級保護的起始,為后面四個階段的工作奠定基礎。
1 信息系統(tǒng)安全等級保護政策概述
我國在信息技術的浪潮退推動下,各行各業(yè)都在面臨信息化、智能化的轉(zhuǎn)型升級帶來的沖擊和挑戰(zhàn)。需要建設的信息化項目不斷增多,很多領域的業(yè)務都要采用網(wǎng)絡信息系統(tǒng)作為載體,因此,信息系統(tǒng)的數(shù)量和結(jié)構都在增加和復雜化,對信息進行等級保護就被提上了日程。
2008年,我國首部信息安全等級保護管理辦法由公安部下發(fā),信息系統(tǒng)有了等級的劃分,并且對信息系統(tǒng)的保護也有了明確的管理規(guī)定。2008年,信息系統(tǒng)安全等級保護定級上升到了國家級別的標準,擁有了定級指南,對于信息系統(tǒng)安全等級定級工作來說,意味著擁有了定級的方法和準則。2009年,關于整改信息安全等級保護工作的指導意見證實下發(fā),要求對信息安全等級保護的整改要按照測評工作的標準展開。這是第一次對信息安全等級保護測評體系的建設進行的規(guī)定。
2 信息系統(tǒng)的安全定級
在信息安全技術等級定級指南中,對于信息技術的重要性以及遭到破壞的危害性進行了詳細的闡述,從公共安全、社會利益、公民權益等幾個方面,將信息系統(tǒng)的安全等級劃分為五個等級:
第一級為當信息安全被侵犯,國家利益、公共安全等合法權益就會被損壞,但是國家安全、社會利益和公共秩序不會受到損害。
第二級為當信息安全被侵犯,公民的合法權益就會被侵害,但是國家安全不會受到破壞。
第三級為當信息系統(tǒng)受到侵犯后,社會秩序和公共利益被損壞,進而產(chǎn)生對國家安全的損害。
第四級是信息系統(tǒng)受到破壞,社會秩序、公共利益、國家安全都會受到特別嚴重的損傷。
第五級是信息系統(tǒng)受到侵犯,國家安全被特別嚴重地損壞。
3 當前信息系統(tǒng)安全定級中存在的問題
1)定級對象不明確是信息系統(tǒng)安全定級中的常見問題。當信息系統(tǒng)在相同的網(wǎng)絡環(huán)境中被按照獨立的系統(tǒng)進行定級時,多個定級對象會重復出現(xiàn)環(huán)境和設備。以機房的EPR系統(tǒng)和OA系統(tǒng)以及配套為例,系統(tǒng)中如果使用到網(wǎng)絡資源,就有可能產(chǎn)生相同的定級對象同時出現(xiàn)不同的網(wǎng)絡設備的情況。
2)根據(jù)安全信息國家定級指南中對安全保護等級的定級要求。當受侵害客體為國家、社會、公民安全以及組織法人的合法權益時,客體的侵害程度可以分為一般、嚴重、特別嚴重。這種分類是比較抽象的。需要進行具體的描述,但是從目前的發(fā)函情況看,對于危害程度的描述還是過于傾向于主觀判斷,因此對客觀情況的定級準確率不足,依據(jù)不足。
3)現(xiàn)有的定級報告皆是從模板中引用格式,參考定價指南,提供定級流程,引導結(jié)論的驗證。從下表我們可以大概地看到定級要素和安全保護等級的關系:
表1
[受侵害的客體\&一般損害\&嚴重損害\&特別嚴重的損害\&公民、法人和組織的合法權益\&第一級\&第二級\&第二級\&社會利益、公共秩序\&第二級\&第三級\&第四級\&國家安全\&第三級\&第四級\&第五級\&]
對于基礎數(shù)據(jù)的描述雖然也能顯示出關于信息安全系統(tǒng)定級的重要意義,但是從系統(tǒng)的客觀問題以及隨時可能出現(xiàn)威脅和侵害的現(xiàn)象角度觀察,很多關于信息安全等級定級的新方法還不能保證定級結(jié)果的準確性,很多定級報告不完善,缺乏依據(jù),主觀判斷成分多,無法將信息安全系統(tǒng)的真實情況反映給決策層,對于工作的開展沒有好處。
4 等級保護流程
等級保護的工作是循環(huán)的、動態(tài)發(fā)展的。將等級保護工作視為循環(huán)性強的工作對于工作流程加以分析,最終得到的是等級保護工作的流程圖:
定級階段:系統(tǒng)劃分、等級確定;填寫表格;
初步備案階段:上報材料、專家評審,不符合安全等級規(guī)定的重新定級,最終進入初備案。
測評階段:選定機構、測評、出具報告;
整改階段:制訂方案、專家論證、提出整改措施并實施;
復評階段:對定級方案進行復評,得到最終的備案;
根據(jù)等級保護制度接受監(jiān)管的階段。
需要說明的是,等級保護工作的初始階段:定級工作可以采用自行定級的方法,也可以委托第三方機構進行監(jiān)管和測評。定級工作是所有階段工作的基礎。初備案階段有一個重新定級的環(huán)節(jié),主要是如果出現(xiàn)不公平、不公正或者定級不合格的情況,要對信息系統(tǒng)的等級評定工作進行復評選,并達到等級保護的要求,才能進行最終的備案。
5 信息安全定級方法
1)定流程是參照定級指南進行的,包括了業(yè)務信息和系統(tǒng)服務等內(nèi)容。首先是確定定級對象,然后確定業(yè)務信息安全受到破壞和侵害的客體,以及系統(tǒng)服務安全受到破壞和侵害的客體。兩方面都要進行客體的侵害程度的評定,前者得出業(yè)務信息安全等級,后者得出系統(tǒng)服務安全等級,最后形成了定級對象的安全保護等級。
定級對象的選取根據(jù)定級指南的規(guī)定,具有一些特征,首先是擁有安全責任單位,第二是信息系統(tǒng)要素,第三是承載單一和獨立的業(yè)務。在定級對象的業(yè)務應用上應該擁有共享的機房基礎環(huán)境和網(wǎng)絡設備等,這樣就不會產(chǎn)生重復出現(xiàn)的定級對象。而且將物理環(huán)境、網(wǎng)絡資源等納入到信息系統(tǒng)中,形成具有單獨優(yōu)先定級權限的定級對象[1]。
對于受侵害的客體的損害程度的評分,要對危害后果等進行權重分析。參照的依據(jù)包括國家安全、社會利益、公眾秩序、公民法人和組織的權益??腕w的侵害程度在定x和解釋上是簡單而抽象的,要對危害程度進行具體的描述,就要規(guī)避主觀判斷、依據(jù)不足的問題。對客體的侵害程度進行確定,是需要參考很多元素的,要得到一個準確的定量,可以采用評分表的方法對危害后果予以打分。
表2
[危害后果\&得分\&權重\&影響工作職能形式\&\&\&降低業(yè)務能力\&\&\&引起糾紛需要法律介入\&\&\&財產(chǎn)損失\&\&\&社會不良影響\&\&\&損害到組織和個人\&\&\&其他影響\&\&\&]
根據(jù)對表格中的打分得到的數(shù)值和權重的分析,可以得出定級對象被破壞后可能產(chǎn)生的危害以及后果。不存在危害的數(shù)值為0,有危害程度較輕的數(shù)值為1,有危害程度較高的為2,后果嚴重的為3。不同的信息系統(tǒng)在服務內(nèi)容、范圍、對象上都不同,因此不同的得分和權重最能反映信息安全系統(tǒng)的實際情況。
確定安全保護等級是在所有流程結(jié)束后,得到的結(jié)論。這個結(jié)論包括客體對等級對象的侵害造成的危害,信息安全的保密性、可用性的情況,系統(tǒng)服務安全的及時性、有效性的問題等等。當業(yè)務信息安全和服務系統(tǒng)的客體侵害程度不同時,就要在定級過程中處理不同的危害后果。
2)定級表格的細化是為定級報告模板提供基礎數(shù)據(jù),并保證信息安全系統(tǒng)穩(wěn)定可靠的重要保障。當系統(tǒng)內(nèi)部問題導致其難以支撐定級結(jié)果后,采用系統(tǒng)定級的方法,就能夠?qū)⑿畔⑾到y(tǒng)的情況記載道定級表中。定級表包括了定級系統(tǒng)的用戶情況以及定級系統(tǒng)的業(yè)務職能等情況,例如在行業(yè)和部門內(nèi)的地位和作用。定級系統(tǒng)需要有備份系統(tǒng)作為應急措施,保證定級系統(tǒng)在關聯(lián)系統(tǒng)受到破壞后不會受到數(shù)據(jù)傳遞等的影響。
6 案例分析
按照等級保護工作測評和定級的規(guī)定,確定信息系統(tǒng)的等級。某政府網(wǎng)站信息系統(tǒng)包括的板塊為:政務公開、地方行政、法制建設、管理措施、領導講話、網(wǎng)上辦事大廳、新聞動態(tài)、政府公告、舉報建議等,還專門開辟了一個下載板塊,方便下載有用的電子表單加以填報。
在這個政府網(wǎng)站的信息系統(tǒng)中,制訂了符合信息安全等級保護定級指南的流程和標準,通過分析,判斷,研究等流程確定定級的系統(tǒng)。該網(wǎng)站的擁有者設立的專門的政府網(wǎng)站平臺,由指定部門確定相關資料的搜集、采集、整理的過程方案。在這套流程中,信息生產(chǎn)者為企業(yè),產(chǎn)生的資料是信息,管理信息的手段是利用科學技術,對外承擔政務信息,擁有獨立的業(yè)務,如辦事流程、新聞會等。將各類任務的環(huán)境加以構建,就形成了政府網(wǎng)站中具有基本特征和要素的定級對象。對定級客體的邀請,要采取分析的方法,確保信息系統(tǒng)內(nèi)的保密性和可用性。實際操作中只要能夠保證信息的完整性和通用性,又增強了制作、、管理的職能建設,激發(fā)出參與者的完整性和保密性。提高可用概率。而系統(tǒng)服務安全有力地支撐著系統(tǒng)安全運行,并為信息安全系統(tǒng)提供有效的服務,達到地方網(wǎng)站發(fā)揮在定級中的作用,幫助提供服務,滿足消費者的需求。采用了這種方法,網(wǎng)站信息系統(tǒng)的業(yè)務信息安全和系統(tǒng)服務安全都將是今后在企業(yè)運用中需要特別加以注意的。
例如:對于受侵害的客體,必須說明客體的情況,是否受到法律保護,等級保護中牽扯到的社會關系和合法權益。尤其是針對信息系統(tǒng)的客體的先后順序進行判斷,結(jié)合政府平臺,實施政務信息公開。如果做不到政務信息公開,政府就要設置管理界限,發(fā)揮人的主觀能動性,在知情權、業(yè)務能力、投訴與批評等階段加大業(yè)務辦理力度,最大可能地維護法人和代表組織的知情權,排棄受到破壞的客體,法人由于難以摻入個人組織中,直接投訴合法的法律法規(guī),由于業(yè)務施工的進度過快,環(huán)節(jié)紛繁眾多[2]。再由于受損教育可以對客體的積極主動性。方便法人和組織知情、辦理業(yè)務、舉報、投訴等。
對于客體造成的侵害進行后果的分析,無論是大型門戶網(wǎng)站,還是在金融政策引領下,親自感受到客體檢查結(jié)果的影響,如信息安全管理等,都要注重網(wǎng)絡平臺的臨時性。
7 結(jié)束語
要做好信息系統(tǒng)的安全保護等級的確定,就要采取正確的 (下轉(zhuǎn)第51頁)
(上接第46頁)
策略以及方法,對信息安全管控產(chǎn)生依賴,保護過程中采取正確的策略和方法,等等。信息系統(tǒng)、安全等級保護不足的問題,都要求管理覺決策層加熬煮。在實際運行中,還要以定級指南為指導,綜合信息系統(tǒng)的業(yè)務特征,切實推動信息技術等級保護工作的大力發(fā)展。
參考文獻:
篇5
關鍵詞:信息安全;醫(yī)院信息系統(tǒng);安全措施
隨著信息與網(wǎng)絡技術的不斷發(fā)展,我們進入了一個信息爆炸的時代,人們可以輕松便捷的通過網(wǎng)絡技術來進行各種活動。伴隨而來的信息安全問題也越發(fā)嚴重,也受到越來越多行業(yè)的關注,在網(wǎng)絡技術發(fā)展普及的同時,信息技術業(yè)在醫(yī)學領域得到廣泛的應用,同右攪蘋構信息系統(tǒng)的信息安全性在當今也同樣得到極大的重視。
1 信息系統(tǒng)安全管理的原則
信息系統(tǒng)安全的核心目標是為關鍵資產(chǎn)提供可用性、完整性和機密性[1],所有安全控制、機制和防護措施的實現(xiàn)都是為了提供這些原則中的一個或多個。基于安全需求原則,醫(yī)療機構應根據(jù)其信息系統(tǒng)擔負的使命,積累的信息資產(chǎn)的重要性,可能受到的威脅及面臨的風險分析安全需求,按照信息系統(tǒng)等級保護要求確定相應的信息系統(tǒng)安全保護等級,遵從相應等級的規(guī)范要求,從全局上恰當?shù)仄胶獍踩度肱c效果,做到技術和管理并重。
2 國內(nèi)醫(yī)療信息安全體系
在醫(yī)療活動中,醫(yī)療機構為了診斷及科研等其他需要,經(jīng)常使用醫(yī)療信息系統(tǒng)采集、大量的醫(yī)療相關數(shù)據(jù),其中包含著患者的基本信息和敏感信息。如何有效的避免隱私信息的泄露也是越來越多醫(yī)療機構普遍遇到的問題。與此同時,衛(wèi)生行政主管部門認識到了醫(yī)療機構信息系統(tǒng)安全的重要性,也逐年醫(yī)療信息保障管理辦法。2004年9月的《關于信息安全等級保護工作的實施意見》(公通字[2004]66號)進一步強調(diào)了開展信息安全等級保護工作的重要意義,規(guī)定了實施信息安全等級保護制度的原則、內(nèi)容、職責分工、基本要求和實施計劃,部署了實施信息安全等級保護工作的操作辦法。2011年,信息安全等級保護已列入《三級綜合醫(yī)院評審標準》中信息化規(guī)范建設的重要考核依據(jù)與指標。2011年衛(wèi)生部《衛(wèi)生部辦公廳關于全面開展衛(wèi)生行業(yè)信息安全等級保護工作的通知》,要求衛(wèi)生行業(yè)“全面開展信息安全等級保護工作”。
3 醫(yī)院信息安全治理與風險管理
醫(yī)院系統(tǒng)信息安全風險管理的傳統(tǒng)措施是以邊界、安全域為主的思路和模式,采用被動的、防御型的技術手段,屬于應對型的安全建設模式[2]。近些年來,隨著安全技術的快速發(fā)展,醫(yī)院信息安全規(guī)劃與建設思路也在發(fā)生轉(zhuǎn)變,其防護重點逐漸轉(zhuǎn)向醫(yī)院信息系統(tǒng)數(shù)據(jù)內(nèi)容、應用、用戶身份和行為等全方位的安全防護;安全治理觀念也逐漸轉(zhuǎn)變?yōu)橹鲃臃烙暮弦?guī)管理工作,同時加強醫(yī)院信息安全監(jiān)控綜合分析。通過信息系統(tǒng)安全指標作為衡量依據(jù),衡量安全建設績效推進醫(yī)院信息系統(tǒng)安全治理,從而以工具化、自動化的安全手段,應對不斷擴張的IT資產(chǎn)管理,有效落實安全管理要求。
醫(yī)院信息安全責任部門正確運用控制措施能降低醫(yī)院信息系統(tǒng)安全面臨的風險,控制主要分為三種類型:管理控制、技術控制和物理控制[3]。管理控制因為通常是面向管理的,所以經(jīng)常被稱為“軟控制”,如安全文檔、風險管理、人員安全和培訓都屬于管理控制;技術控制也稱為邏輯控制由軟件或硬件組成,如防火墻、入侵檢測系統(tǒng)、加密、身份識別和認證機制;物理控制用來保護設備、人員和資源,保安、鎖、圍墻等都屬于物理控制。在實際建設和規(guī)劃中,醫(yī)院信息安全責任部門應正確以分層的方法綜合使用多個安全控制類型,為醫(yī)院信息平臺提供安全深度防御。由于入侵者在獲得訪問關鍵資產(chǎn)前將不得不穿越多個不同的保護機制,因此多層防御能夠?qū)B透成功率和威脅降低到最小,從而保障醫(yī)療機構信息系統(tǒng)安全。
4 醫(yī)院系統(tǒng)的安全風險分析及對策
4.1訪問控制安全 安全的根本所在是通過控制如何訪問信息資源來防范資源泄露或未經(jīng)授權的修改。訪問控制是一種安全手段,控制用戶和系統(tǒng)如何與其他系統(tǒng)和資源進行通信和交互。訪問控制能夠保護系統(tǒng)和資源免受未經(jīng)授權的訪問,并且在身份驗證過程成功結(jié)束之后確定授權訪問的等級。信息訪問控制的實現(xiàn)手段在本質(zhì)上都處于技術性、物理性或行政管理性層面。同時需要注意,任何接口處是最應該實施安全控制的一個地方,需要層層縱深防御來實施訪問控制。訪問控制是防范醫(yī)療機構信息系統(tǒng)和資源被未授權訪問的第一道防線,系統(tǒng)使用用戶的訪問權限主要基于其身份、許可等級和/或組成員資格。訪問控制給予組織機構控制、限制、監(jiān)控以及保護資源可用性、完整性和機密性的能力[4]。
4.2計算機及操作系統(tǒng)安全 計算機是系統(tǒng)內(nèi)提供某類安全并實施系統(tǒng)安全策略的所有硬件、軟件和固件的組合,然而其并不僅限于操作系統(tǒng),操作系統(tǒng)的主要風險包括系統(tǒng)漏洞和文件病毒等。醫(yī)療機構的信息安全責任部門需對帳戶、訪問、用戶權限等進行管理與控制,做好定期監(jiān)視、審計和時間日志記錄和分析??梢圆捎猛ㄟ^修改注冊表,屏蔽客戶端操作系統(tǒng)無關的內(nèi)容,限制訪問相關資源;還應及時下載系統(tǒng)補丁,盡可能關閉不需要的端口,以彌補系統(tǒng)漏洞而給醫(yī)院信息系統(tǒng)安全性帶來的各類隱患。醫(yī)療機構辦公計算機中的很多安全管理軟件會產(chǎn)生安全日志,應由信息安全主管部門對這些安全日志進行管理分析以不斷強化整體安全解決方案,例如針對于醫(yī)院可能發(fā)生的“統(tǒng)方”時間以及其他對醫(yī)院影響較大的安全事件,醫(yī)療機構主管部門應能夠及時發(fā)現(xiàn)、定位、報警以及事后審計。
篇6
【 關鍵詞 】 信息安全;企業(yè)管理;績效考核
1 引言
經(jīng)過近幾年的發(fā)展,中國鐵建股份有限公司(以下簡稱中國鐵建)的信息化工作全面展開,眾多信息化項目的實施,大量信息系統(tǒng)的上線應用,有力地促進了企業(yè)核心競爭力的提升。
隨著信息系統(tǒng)不斷建成與投入應用,信息資源擁有量快速增長,對信息安全的保障需求日顯強烈,信息安全管控建設的滯后與日益增長的信息安全需求的矛盾日益突出。中國鐵建根據(jù)國內(nèi)外成熟的信息安全標準和方法,結(jié)合企業(yè)業(yè)務發(fā)展戰(zhàn)略和企業(yè)特點,構建符合本公司業(yè)務實際和安全需要的信息安全管控體系,全面提升信息安全保障能力,并取得了初步效果。另外,信息安全等級保護制度作為國家在信息安全保障管理上的根本制度,具有強制性的特征,也要求企業(yè)認真加以貫徹落實。
在實際工作中利用怎樣的手段來保障信息安全管控體系、信息安全等級保護制度得到切實執(zhí)行,成為亟待需要解決的問題。
為此,結(jié)合中國鐵建所屬各單位地域分布廣、信息化水平差距大的特點,經(jīng)過初步探索,將信息安全指標納入了中國鐵建信息化績效評價體系,與各子分公司領導考核掛鉤,從“信息安全事故”和“等級保護”兩個維度、四項指標,通過定量對比分析,對各單位的信息安全工作進行評價,以推進信息安全持續(xù)改進。
2 考核原則
(1)公開、公平、公正。嚴格按照考核細則對被考核單位,在公開、公平、公正的環(huán)境中,進行客觀的評價。
(2)實事求是。被考核單位應如實反映信息安全工作情況,提供的相關資料和數(shù)據(jù)真實可信。
(3)遵循規(guī)劃、貫徹制度、檢查效果、保障安全??己酥笜说奶岢鲆孕畔踩?guī)劃、制度為依據(jù),重點在信息化建設效果并保障信息安全。
(4)區(qū)別對待,逐步演進。根據(jù)子公司規(guī)模、成長階段、業(yè)務特點的不同,區(qū)別對待;根據(jù)信息安全建設重點,不同年度有不同的考核重點,逐步演進。
3 考核指標
中國鐵建大量的信息系統(tǒng)處于建設時期,因此每年對指標進行調(diào)整。目前,根據(jù)信息系統(tǒng)等級保護評價指標體系的原則要求, 選擇具有可操作性、可以量化的指標,從信息安全事故和信息系統(tǒng)安全等級保護兩個維度,信息安全事件、等級保護定級率、等級保護備案率、等級保護測評通過率四項指標進行了考核。
3.1 信息安全事件
信息安全事件及分級以中國鐵建《信息安全事件管理規(guī)定》定義為準。信息安全事件分為特別重大事件(I級)、重大事件(Ⅱ級)和一般事件(Ⅲ級)三個級別。
指標要點
(1)信息系統(tǒng)安全事件級別的確定。從類別劃分,信息安全事件分為有害程序事件、網(wǎng)絡攻擊事件、信息破壞事件、設備設施安全功能故障、災害性事件等五種;從級別劃分,信息安全事件分為特別重大事件(I級)、重大事件(Ⅱ級)和一般事件(Ⅲ級)三個級別。
(2)信息安全事件的瞞報。對于發(fā)生信息安全事件后,隱瞞事故,在規(guī)定時限內(nèi)不主動向上級部門如實報告的情況,除扣除其該項考核成績外,按照股份公司有關規(guī)定進行通報并嚴肅處理;對多次發(fā)生信息安全事件的單位,將加強監(jiān)督檢查,并責令其徹底整改。
3.2 等保定級率
考核年度在建至驗收投入應用各階段的信息系統(tǒng)與歷年上報的定級報告不重復累計數(shù)之比。
指標要點
(1)信息系統(tǒng)定級準確性。部分單位認為信息系統(tǒng)定級級別越高,就要花費更多的資金、精力,加重單位負擔,因此將基礎信息網(wǎng)絡、門戶網(wǎng)站、郵件、財務等重要信息系統(tǒng)定為一級,以逃避備案、測評。
針對這種情況,股份公司按照《信息系統(tǒng)安全等級保護區(qū)域劃分原則與定級指南》,對信息系統(tǒng)定級進行規(guī)范,并對定為一級、二級的信息系統(tǒng)進行重點檢查,避免定級不準確。
(2)信息系統(tǒng)數(shù)量準確性。部分單位在實施等保工作時,上報的信息系統(tǒng)數(shù)量小于實際建設數(shù)量。因此,在實際操作中,本考核項的分母“信息系統(tǒng)數(shù)”以該單位編制信息化項目預算時上報的信息系統(tǒng)數(shù)量為準。
(3)需提供加蓋本單位公章的《定級報告》掃描件。
3.3 等保備案率
考核年度在建至驗收投入應用各階段的信息系統(tǒng)數(shù)與歷年上報的備案證書不重復累計數(shù)之比。
指標要點
(1)備案公安機關的選擇。針對部分單位未根據(jù)國家法律法規(guī)選擇合適公安機關備案的情況,股份公司在的《信息系統(tǒng)安全等級保護管理辦法》中規(guī)定:股份公司統(tǒng)建系統(tǒng),三級及以上系統(tǒng)向公安部網(wǎng)絡安全保衛(wèi)局備案、二級系統(tǒng)向北京市公安局鐵道建筑公安局備案;駐京單位自建信息系統(tǒng)向北京市公安局鐵道建筑公安局備案;京外單位自建信息系統(tǒng)向當?shù)厥屑壖耙陨瞎矙C關備案。
(2)等保備案率的確定。等保備案率中的分母“信息系統(tǒng)數(shù)”,指的是該單位編制信息化項目預算時上報的信息系統(tǒng)數(shù)量,并非已定級的信息系統(tǒng)數(shù)量。
(3)需提供公安機關出具的《備案證明》掃描件。
3.4 等保測評通過率
歷年上報的定級備案證書不重復累計數(shù)與歷年測評通過的信息系統(tǒng)不重復累計數(shù)之比。
指標要點
(1)測評報告符合率。為防止部分單位將工作精力側(cè)重于取得測評報告,而忽視了對測評中反映出的安全問題的整改,在實際工作中,重點對測評不符合率較高的信息系統(tǒng)進行抽查,責令單位定期進行整改。
(2)需提供合格測評機構出具的加蓋測評機構公章的《安全等級測評報告》掃描件。
4 考核權重
4.1 信息安全事件
附加分項,最高減K分。出現(xiàn)一次I級信息安全事件、減K分;出現(xiàn)一次級信息安全事件、減K/2分,最多減K分。
4.2 等保定級率
基本分項,滿分K分??己四甓仍诮ㄖ硫炇胀度霊酶麟A段的信息系統(tǒng)數(shù)為A,歷年上報的定級報告不重復累計數(shù)為B,定級率M=B/A,平均定級率∑M=∑B/∑A。定級率得分S=min{(M/∑M)×K,K}。
4.3 等保備案率
基本分項,滿分K分??己四甓仍诮ㄖ硫炇胀度霊酶麟A段的信息系統(tǒng)數(shù)為A,歷年上報的備案證書不重復累計數(shù)為C,備案率M=C/A,平均備案率∑M=∑C/∑A。備案率得分S=min{(M/∑M)×K,K}。
4.4 等保通過率
基本分項,滿分K分。歷年上報的定級備案證書不重復累計數(shù)為C,歷年測評通過的信息系統(tǒng)不重復累計數(shù)為D,測評通過率M=D/C,平均測評通過率∑M=∑D/∑C。測評通過率得分S=min{(M/∑M)×K,K}。
5 指標計算
考核指標項分基本分項、附加分項兩類。以本單位基本分項滿分(Ai)為基數(shù),用實際得分(Bi)計算其得分率(Mi=Bi/Ai),除以最高得分率(Mmax),再乘以信息安全工作績效指標分(C),即為信息安全工作考核實際得分(Si=C×Mi/Mmax)。
6 結(jié)束語
本文對中國鐵建將信息安全指標納入信息化績效評價體系進行了概述, 提出了綜合評價的方法,希望能借以推進本企業(yè)信息安全工作的開展,提高信息系統(tǒng)的安全性,并切實將國家法律法規(guī)落到實處。從實際執(zhí)行效果看,已經(jīng)取得了一定的成效。
參考文獻
[1] GB/T 22239―2008,信息系統(tǒng)安全等級保護基本要求.
[2] GB 17859-1999,安全等級保護劃分準則.
[3] GB/T 22240―2008,信息系統(tǒng)安全保護等級定級指南.
篇7
關鍵詞:信息安全;風險評估;教學
信息安全風險評估是進行信息安全管理的重要依據(jù),通過對信息系統(tǒng)進行系統(tǒng)的風險分析和評估,發(fā)現(xiàn)存在的安全問題并提出相應的措施,這對于保護和管理信息系統(tǒng)至關重要。目前國內(nèi)外都高度重視信息安全風險評估工作。美國政府2002年頒布《聯(lián)邦信息安全管理法》,對信息安全風險評估提出了具體的要求;歐盟國家也把開展信息安全風險評估作為提高信息安全保障水平的重要手段;2003年7月23日,國家信息中心組建成立“信息安全風險評估課題組”,提出了我國開展信息安全風險評估的對策和辦法。2004年,國務院信息辦研究制訂了《信息安全風險評估指南》和《信息安全風險管理指南》兩個風險評估的標準;2006年又起草了《關于開展信息安全風險評估工作的意見》[1]。這些工作都對信息安全人才的培養(yǎng)提出了更高的要求,同時也為《信息安全風險評估》課程的開設和講授提供了必要的基礎和條件?!缎畔踩L險評估》課程教學,是信息安全專業(yè)一門重要的專業(yè)課程,能全面培養(yǎng)學生綜合運用專業(yè)知識,評估并解決信息系統(tǒng)安全問題的能力,是培養(yǎng)符合國家和社會需要的信息安全專業(yè)人才的重要課程之一?!缎畔踩L險評估》課程本身的理論性與實踐性都很強,課程發(fā)展十分迅速,涉及的學科范圍也較廣,傳統(tǒng)的教學的模式不能使該課程的特點很好地展示出來,無法適應社會經(jīng)濟發(fā)展對信息安全從業(yè)人員的新要求,教學改革勢在必行。
一、現(xiàn)狀與存在的問題
信息安全風險評估是從風險管理角度,運用科學的方法和手段,系統(tǒng)地分析信息系統(tǒng)所面臨的安全威脅及其存在的脆弱性,評估安全事件一旦發(fā)生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和整改措施。它涉及信息系統(tǒng)的社會行為、管理行為、物理行為、邏輯行為等的保密性、完整性和可用性檢測。風險評估的結(jié)果可以作為信息安全風險管理的指南,用來確定合適的管理方針和選擇相應的控制措施來保護信息資產(chǎn),全面提高信息安全保障能力[2]。自2001年信息安全專業(yè)建立以來,高校在制訂本科專業(yè)教學培養(yǎng)目標和教學計劃時,側(cè)重于具體安全理論和技術的教學和講授,特別是重點強調(diào)了密碼學、防火墻、入侵檢測、網(wǎng)絡安全等安全理論與技術的傳授。從目前高校的教學內(nèi)容看,多數(shù)側(cè)重于對“信息風險管理”、“風險識別”、“風險評估”和“風險控制”等基本內(nèi)容的介紹上,而且教學課時數(shù)也較少,只有十個學時。當前從《信息安全風險評估》課程的教學情況來看,該課程在信息安全教育教學過程中地位有待提高,實踐教學的建設與研究迫切需要深化。
當前該課程的教學實踐中普遍存在以下幾個方面的問題,嚴重制約了《信息安全風險評估》課程教學質(zhì)量的提高:
1.本科教學大都以理論內(nèi)容為主體,實驗和課程設計的學時安排較少。一般高校的《信息安全風險評估》課程主要以理論內(nèi)容的講授為主,實驗和課程設計的學時較少,實驗內(nèi)容也大多屬于驗證性質(zhì),缺少具有研究和探索性質(zhì)的信息安全風險評估實踐內(nèi)容和課程設計;
2.教學方法單一,缺乏激勵學生求知欲的教學方法和手段。當前開設《信息安全風險評估》課程的高校還較少,師資力量相對薄弱,教學經(jīng)驗也比較缺乏,仍以主要由教師講述的傳統(tǒng)教學方式為主,學生進行具體實踐和操作的課時較少,缺乏創(chuàng)新性的教學和研究,基本沒有具有探索性和創(chuàng)新性特點的教學內(nèi)容,不利于發(fā)揮學生主觀能動性,提高其創(chuàng)新能力;
3.實驗環(huán)境無法滿足教學需求,缺乏專業(yè)的信息安全風險評估師資。我國信息安全風險評估的研究和教學工作起步晚,缺乏相關的實驗設備;而且受到資金和專業(yè)發(fā)展等多方面因素的制約,難以設立專門的信息安全風險評估實驗室。此外,信息安全風險評估是以計算機技術為核心,涉及管理科學、安全技術、通信和信息工程等多個學科,對于理論和實踐要求都很高。這就要求教師既要學習好各學科的基本知識,又要加強實踐訓練。
二、教學改革與探索
高校計算機相關專業(yè)開設《信息安全風險評估》課程,不是培養(yǎng)網(wǎng)絡信息安全方面的全才或戰(zhàn)略人才,而是培養(yǎng)在實際生活和工作中確實能解決某些具體安全問題的實用型人才。針對《信息安全風險評估》課程的特點和教學中存在的不足,我們從以下幾個方面對該課程的教學改革進行了探索:
1.重新確立課程培養(yǎng)目標。①重點培養(yǎng)學生分析和評估信息安全問題的能力:《信息安全風險評估》課程是一門理論性和實踐性緊密結(jié)合的課程,目前開設該課程的高校較少,各學校的教學內(nèi)容也多種多樣。該課程的教學目標即要培養(yǎng)學生發(fā)現(xiàn)信息系統(tǒng)存在的安全風險,同時也需要培養(yǎng)他們科學地提出解決安全隱患的方案及能力。如何提高學生分析和評估信息安全問題的能力是該課程教學的首要目標。②培養(yǎng)學生實際操作的能力:信息安全風險評估的關鍵是對信息系統(tǒng)的資產(chǎn)進行分類,對其風險的識別、估計和評價做出全面的、綜合的分析。這就要求學生熟練地掌握目標對象的檢測和評估方法,包括使用各種自動化和半自動化的工具,可在模擬實驗里,通過不斷地訓練實現(xiàn)。③培養(yǎng)學生繼續(xù)學習、勇于探索創(chuàng)新的能力:隨著信息化的不斷發(fā)展,信息系統(tǒng)所面臨的安全威脅急劇增加,為此各國政府都不斷提出和完善了各類信息安全測評標準。這就要求我們在教學中不斷地學習、理解和解釋最新的國際、國內(nèi)以及相關的行業(yè)標準,培養(yǎng)和提高學生繼續(xù)學習的能力。另外,《信息安全風險評估》課程也要求通過課堂教學、課后練習、實驗驗證和考試、考查等教學環(huán)節(jié)培養(yǎng)學生獨力分析信息系統(tǒng)安全的能力,培養(yǎng)學生對信息安全風險評估領域進行探索和研究的興趣,最終使學生掌握信息安全風險評估的知識和技能,能夠解決具體信息系統(tǒng)的安全問題。
2.增加信息安全風險評估理論和相關標準的教學。信息安全測評標準和相關法律法規(guī)是進行信息系統(tǒng)安全風險評估的依據(jù)和保障。2006年由原國信辦《關于開展信息安全風險評估工作的意見》(國信辦2006年5號文);同時,隨著信息安全等級保護制度的推行,公安部會同有關部門出臺了一系列政策文件,主要包括:《關于信息安全等級保護工作的實施意見》、《信息安全等級保護管理辦法》等;國家信息安全標準化委員會頒發(fā)了《信息安全風險評估規(guī)范》(GB/T 20984~2007)、《信息系統(tǒng)安全等級保護基本要求》(GB/T 22239-2008)等多個國家標準[3]。為了保證《信息安全風險評估》課程目標的實現(xiàn),我們在教學過程中,增加了《GB/T20984-2007信息安全技術信息安全風險評估規(guī)范》、《GB/Z24364-2009信息安全風險管理指南》、《GB/T
22080-2008信息安全管理體系要求》、《GB/T22081-
2008信息安全管理實用規(guī)則》、《GB/T20269-2006信息系統(tǒng)安全管理要求》、《GB/T25063-2010?搖信息安全技術服務器安全測評要求》、《GB/T 20010-2005信息安全技術包過濾防火墻評估準則》、《GB/T20011-2005信息安全技術路由器安全評估準則》、《GA/T 672-2006信息安全技術終端計算機系統(tǒng)安全等級評估準則》、《GA/T 712-2007信息安全技術應用軟件系統(tǒng)安全等級保護通用測試指南》等相關評估標準和指南的學習,并編制相關的調(diào)查、檢查、測試表,重點強調(diào)對脆弱性檢測的理論依據(jù)的描述,檢測方法及其步驟的詳細記錄。
3.利用各種測評工具,提高學生實踐能力。在信息安全風險評估過程中,資產(chǎn)賦值、威脅量化分析、安全模型的建立等環(huán)節(jié)的教學和實踐對教師和學生都提出了較高的專業(yè)課程要求。我們在《信息安全風險評估》課程實踐中通過使用風險評估工具,并對具體的信息系統(tǒng)進行自動化或半自動化的分析,加深了學生信息安全風險評估的理論知識理解,同時注重培養(yǎng)學生動手實踐能力和探索新知識的能力。我們增加了主動型風險評估工具Tenable掃描門戶網(wǎng)站系統(tǒng)的實踐性教學內(nèi)容。通過評估,該系統(tǒng)的服務器存在感染病毒的癥狀,其原因是服務器存在特定漏洞。為此我們使用漏洞掃描器對該服務器進行掃描,發(fā)現(xiàn)了“遠程代碼被執(zhí)行”漏洞,而且該漏洞能被蠕蟲病毒利用,形成針對系統(tǒng)的攻擊。通過案例特征提供了的信息,培養(yǎng)學生使用測評工具對具體信息系統(tǒng)進行安全風險評估的能力,并進一步使其認識到主動型評估工具是信息安全風險評估中快速了解目標系統(tǒng)安全狀況不可或缺的重要手段。
筆者結(jié)合自己的教學實踐體會,論述了當前《信息安全風險評估》課程中存在的問題以及解決對策?!缎畔踩L險評估》課程教學改革和建設是一個長期的、系統(tǒng)化的工程,需要不斷地根據(jù)信息系統(tǒng)在新環(huán)境下面臨的各種威脅,制定新的評估標準和評估方案,并使得學生在有限的時間和環(huán)境下掌握相應的知識和技能,以滿足社會對信息安全人才的需求。
參考文獻:
[1]付沙.加強信息安全風險評估工作的研究[J].微型電腦應用,2010,26(8):6-8.
[2]楊春暉,張昊,王勇.信息安全風險評估及輔助工具應用[J].信息安全與通信保密,2007,(12):75-77.
[3]潘平,楊平,羅東梅,何朝霞.信息系統(tǒng)安全風險檢查評估實踐教學探討[C]// Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security(NTS-CIS 2011),2011,(8).
篇8
關鍵詞:等級保護;三級信息系統(tǒng);系統(tǒng)設計
現(xiàn)如今各方面競爭都尤為激烈,信息資源已然成為戰(zhàn)略資源中最關鍵的構成部分,此時以等級保護三級信息系統(tǒng)設計與實現(xiàn)為例的技術研究,就必須要盡快提上日程,這也是信息安全管理與保護水平獲得提升的必要途徑。
1信息系統(tǒng)安全等級保護的概念
信息系統(tǒng)安全等級保護是我國信息安全保障工作的基本制度和方法,是我國多年來信息安全工作經(jīng)驗的總結(jié)。根據(jù)相關法律政策規(guī)定,我國制定了一系列信息安全管理辦法,為信息安全保護工作的開展提供了法律、政策、標準依據(jù)。作為國家統(tǒng)一制定并的標準,《信息系統(tǒng)安全等級保護基本要求》中明確指出,應將信息系統(tǒng)的重要程度作為根據(jù),將保護工作有針對性的合理安排下去,并且應對信息系統(tǒng)展開相應的保護,國家也需對各等級的信息系統(tǒng),制定強度適中的監(jiān)督管理計劃[1]。
2等保三級的設計要求
2.1安全計算環(huán)境設計
本文主要從以下幾方面來論述安全計算環(huán)境設計。首先是身份鑒別,這是達到三級安全要求的首要前提,需從用戶標識與用戶鑒別這兩方面來明確安全機制。用戶標識安全機制簡單來講,就是用系統(tǒng)中每位用戶注冊時填寫的用戶標識,來對用戶身份進行標注,同時需保證生存周期內(nèi)用戶標識不能出現(xiàn)重復;而后者則指用戶在每次登錄系統(tǒng)的時候,通過安全管理中心控制下的口令、生物特征以及安全強度達標的組合機制,展開的對用戶身份的鑒別,且鑒22別后會保護好生成數(shù)據(jù)的私密性與完整性。其次是標記和強制訪問控制。系統(tǒng)需針對安全管理員,展開嚴格的身份鑒別與權限控制,并且賦予其主體與客體安全標記的權利。在強制訪問控制之下,技術人員應將重點放在全部主體與客體標機信息的一致性上,且強制訪問控制規(guī)則也應該同樣落實。最后是安全計算環(huán)境的嚴格審計。系統(tǒng)應對安全事件有明確且完整的記錄,且一般來講,安全事件的主體、客體、類型、出現(xiàn)節(jié)點、后果等,都應納入安全事件記錄的總體范疇。與此同時,審計記錄還應通過分析、分類等環(huán)節(jié),向系統(tǒng)中存儲保護。技術人員還應為安全管理中心提供接口,如果某些安全事件系統(tǒng)無法自行解決,則應基于授權主體調(diào)用要求創(chuàng)設接口。
2.2安全通信網(wǎng)絡設計
安全通信網(wǎng)絡設計工作,基本上都是以通信網(wǎng)絡的保密要求為基點展開的,通常情況下,網(wǎng)絡加密技術能滿足等保三級中涉及的全部要求,技術人員可通過對VPN技術的合理運用,達成保護通信網(wǎng)絡與數(shù)據(jù)的目的[2-3]。
2.3安全管理中心設計
(1)系統(tǒng)管理等級保護三級對系統(tǒng)的要求,主要體現(xiàn)在系統(tǒng)管理員的身份鑒別與授權上,管理員一般情況下只有特定界面與系統(tǒng)訪問的權利。系統(tǒng)管理員大致可以劃分成網(wǎng)絡、主機以及存儲管理這幾種,網(wǎng)絡管理員的主要職責在于配置網(wǎng)絡設備;主機管理的配置服務則主要針對服務器展開;存儲管理員需做好存儲設備的維護與管理工作[4]。(2)安全管理等保三級在管理員身份鑒別與授權方面的要求也格外嚴格。雖說安全管理員的工作并不復雜,通常只涉及安全設備管理,但因為安全設備是覆蓋到計算系統(tǒng)各方面的,所以安全管理員的專業(yè)水平、工作狀態(tài)以及綜合素質(zhì)等,都需要得到足夠的重視?,F(xiàn)階段,安全設備基本上都有l(wèi)og記錄功能,可用于授權管理的接口使用也很方便。(3)審計管理安全審計員也應接受嚴格的身份鑒別和管理,由于其在工作中會接觸多種設備,所以對其行為的控制也要得到充分保證。
3等保三級的實現(xiàn)設計策略
(1)安全計算環(huán)境建設首先,在安全計算環(huán)境設計的過程中,多因子身份認證系統(tǒng)的應用絕對是重中之重,經(jīng)實踐證明,如果能確保此身份認證系統(tǒng)的合理應用,則等保三級中要求的用戶身份鑒別、強制訪問以及自主訪問控制等要求均能得到滿足。除此之外,此系統(tǒng)還能有效控制訪問的過程,從而在最大程度上確保訪問的有效性。其次,敏感數(shù)據(jù)保護系統(tǒng)在我國出現(xiàn)與應用的時間雖然并不長,但在文件驅(qū)動管理方面的優(yōu)勢卻非常顯著,例如穩(wěn)定性與可靠性強等,但同時此系統(tǒng)的缺陷與弊端也不能忽視,因為其對操作系統(tǒng)平臺的依賴度過強,導致操作系統(tǒng)中的數(shù)據(jù)私密性與完整性很難被保護。現(xiàn)階段,也有很多國內(nèi)企業(yè)通過國際先進技術,來保護存于操作系統(tǒng)內(nèi)部的數(shù)據(jù),但其穩(wěn)定性與實際效果仍有待觀察,所以就目前的要求來看,敏感數(shù)據(jù)保護系統(tǒng)已然可以達到等保三級對用戶數(shù)據(jù)及客體安全保護的標準和要求[5]。(2)安全區(qū)域邊界建設防火墻、入侵檢測設備以及防病毒網(wǎng)關,即為現(xiàn)如今等保三級系統(tǒng)中內(nèi)外部網(wǎng)絡保護系統(tǒng)的主要構成部分。第一,防火墻中只有必要的服務端才會開放,如果有相應的IDS在配置中,則技術人員必須將二者間的聯(lián)動充分考慮在內(nèi),從而在系統(tǒng)受到攻擊時能及時檢測并且報警。第二,對于外部網(wǎng)絡層的保護而言,入侵檢測設備對攻擊能發(fā)揮良好、穩(wěn)定的分布式拒絕功能。第三,防病毒網(wǎng)關主要針對進入系統(tǒng)的數(shù)據(jù)信息,展開全面的防毒檢測,它是預防病毒進入的最前線,對于安全區(qū)域邊界建設而言,有著不能忽視的重要作用。但經(jīng)實踐證明,僅用防病毒網(wǎng)關來保護系統(tǒng)是遠遠不夠的,還應將網(wǎng)絡防病毒軟件安裝于終端,以確保對入侵病毒的實時查殺。此時相關人員還需明確意識到,部分國外的防毒軟件在染毒文件無法有效殺毒時,通常會選擇采取保守策略,即只對病毒給出警告或把染毒文件移動到保護區(qū);而國內(nèi)大多數(shù)的防毒軟件則基本上會直接將文件刪除。在染毒文件尤為重要的情況下,這兩種方法都可能會為用戶帶來不可逆轉(zhuǎn)的損失,因此,我們可以采取結(jié)合殺毒軟件與終端管理軟件的方法,確保染毒文件能向相應病毒服務器的制定目錄中移動,從而由安全管理員展開接下來的人工處理[6]。作為不同網(wǎng)絡安全域間的訪問控制設備,安全區(qū)域邊界防護系統(tǒng)通常都以安全計算環(huán)境邊界為主要設置點,其會以安全標記過濾與管理標準為根據(jù),實現(xiàn)對數(shù)據(jù)包與訪問的有效過濾、檢測并對網(wǎng)絡攻擊發(fā)出警報等功能。(3)安全通信網(wǎng)絡建設實際上,一臺可正常運行的VP設備,就能滿足安全通信網(wǎng)絡的基本要求。具體來講,在外部終端需訪問內(nèi)部網(wǎng)絡資源的時候,SSLVPN的效果更加顯著;若出現(xiàn)分支機構的現(xiàn)象,則利用VPN設備的加速功能,也能促進網(wǎng)絡傳輸效率的大幅度提升;從技術成熟度的角度上來看,IPSecVPN略勝一籌,但其配置的復雜性較強,實際使用也遠比不過SSLVPN的便捷性[6]。除此之外,在等級保護三級的要求下,技術人員必須開放VPN數(shù)據(jù)校驗與系統(tǒng)審計的功能。(4)安全管理中心建設就等級保護三級系統(tǒng)中安全管理中心的建設而言,很多廠家的SOC產(chǎn)品安全管理平臺產(chǎn)品,設計與配置都是以ITIL規(guī)范為根據(jù)展開的,但目前能將規(guī)范中全部要求一一滿足的廠家?guī)缀鯖]有。與此同時,只有少部分的合作伙伴才能接觸到安全產(chǎn)品,產(chǎn)品大量生產(chǎn)及統(tǒng)一管理的目的很難達成,經(jīng)過相應的分析與研究可知,此問題主要是安全產(chǎn)品并未嚴格遵循規(guī)范導致的。因此,為同時滿足等保三級的要求與實際使用需求,我們應基于多個產(chǎn)品來建設安全管理中心,確保其各項功能均能發(fā)揮應有的重要作用,也為各被管理系統(tǒng)中管理工具與數(shù)據(jù)的高效融合提供更高程度的保證。具體來講,技術人員可按照要求選擇多個產(chǎn)品,這樣即使在權限不同的情況下,系統(tǒng)級別劃分工作也不會受到影響;同時各部分的管理人員也應分別配置,從而使管理規(guī)范能充分發(fā)揮其約束作用。在各項管理工具獲取到相應信息之后,技術人員即可進行最終的數(shù)據(jù)整合工作,一般情況下,需要進行數(shù)據(jù)整合的產(chǎn)品數(shù)量很多,尤其被廣泛應用于ERP系統(tǒng)里,并且最終用于企業(yè)領導層的重大決策。實際上,一般企業(yè)都能接受此價位,價格也能夠為一般企業(yè)所接受,只是傳統(tǒng)方案設計中并未考慮過產(chǎn)品在安全管理中心建設中的使用,現(xiàn)如今只通過對數(shù)據(jù)整合工具的利用,即能實現(xiàn)對多個管理工具間的信息互通[7]。
篇9
隨著軍隊物資采購機構信息化建設的不斷推進,信息系統(tǒng)已經(jīng)成為當前采辦系統(tǒng)的核心組成部分。信息安全風險直接影響到軍隊物資采購系統(tǒng)為軍隊用戶提供服務和對各類供應商等采購實體進行管理的能力。在關鍵時刻,個別重大的信息系統(tǒng)發(fā)生故障或癱瘓,往往會給整個軍隊后勤保障帶來不可挽回的損失和影響,從而給整個軍隊建設和國防事業(yè)帶來損失。
當前,軍隊物資采購系統(tǒng)根據(jù)總后關于信息化建設的精神,建立了依托干軍隊內(nèi)部的指揮自動化網(wǎng)、軍隊綜合信息網(wǎng)等內(nèi)部指揮控制網(wǎng)絡、辦公網(wǎng)絡、業(yè)務管理網(wǎng)絡等信息服務和指揮網(wǎng)絡,為軍隊采購管理單位、采購業(yè)務單位、科研和教學單位、軍內(nèi)終端客戶提供廣泛的信息服務。
實施信息安全管理,不僅能夠有效地提高信息系統(tǒng)的安全性、完整性、可用性以及對相關應急采購任務的快速反應能力,同時也是保障軍隊物資采購系統(tǒng)科學發(fā)展,為軍隊提供最優(yōu)保障力的重要手段。
一、軍隊物資采購信息安全風險
在軍隊物資采購活動中,存在各種各樣的風險,都對采辦的結(jié)果產(chǎn)生不同程度的影響。根據(jù)風險產(chǎn)生對象的不同,將風險分為人為風險、系統(tǒng)風險、數(shù)據(jù)風險等三個方面。
(一)人為風險。
人是信息安全最主要的風險因素,不適當?shù)男畔⑾到y(tǒng)授權,會導致未經(jīng)授權的人獲取不適當?shù)男畔ⅰ2少徣藛T的操作失誤或疏忽會導致信息系統(tǒng)的錯誤動作或產(chǎn)生垃圾信息;違規(guī)篡改數(shù)據(jù)、修改系統(tǒng)時間、修改系統(tǒng)配置、違規(guī)導入或刪除信息系統(tǒng)的數(shù)據(jù),可能導致各種重大采購事故的發(fā)生。有令不行、有禁不止等人為因素形成的風險,是軍隊物資采購信息安全的最大風險。
(二)系統(tǒng)風險。
系統(tǒng)風險包括系統(tǒng)開發(fā)風險和系統(tǒng)運行風險。在采購項目開發(fā)過程中沒有考慮到必要的信息系統(tǒng)安全設計,或安全設計存在缺陷,都會導致采辦信息系統(tǒng)安全免疫能力不足。沒有完善、嚴格的生產(chǎn)系統(tǒng)運行管理體制,會導致機房管理、口令管理、授權管理、用戶管理、服務器管理、網(wǎng)絡管理、備份管理、病毒管理等方面出現(xiàn)問題,輕則產(chǎn)生垃圾信息,重則發(fā)生系統(tǒng)中斷、信息被非法獲取。
當前的采購信息系統(tǒng)已是一個龐大的網(wǎng)絡化系統(tǒng),在網(wǎng)絡內(nèi)存在眾多的中小型機、服務器、前置機、路由器、終端設備,也包括數(shù)據(jù)庫、操作系統(tǒng)、中間件、應用系統(tǒng)等軟件系統(tǒng)。網(wǎng)絡系統(tǒng)中的任何一個環(huán)節(jié)都有可能出現(xiàn)故障,一旦出現(xiàn)故障便有可能造成系統(tǒng)中斷,影響業(yè)務正常運作。同時,由于自然災害、戰(zhàn)爭等突發(fā)事件造成的系統(tǒng)崩潰、數(shù)據(jù)載體不可修復性損失等等,都能夠給采購信息系統(tǒng)帶來很大的影響。
(三)數(shù)據(jù)風險。
數(shù)據(jù)是信息的載體,也是軍隊物資采購系統(tǒng)最重要的資產(chǎn)。對數(shù)據(jù)的存儲、處理、獲取、和共享均需要有一套完整的流程和審批制度,沒有健全的數(shù)據(jù)管理制度,便存在導致數(shù)據(jù)信息泄露的風險。
二、軍隊物資采購信息安全的內(nèi)容
通過對信息安全定義的查詢,可以看到其是根據(jù)不同的環(huán)境情況各自不同的。在相對受到專業(yè)影響較小的國際標準ISOl7799信息安全標準中,信息安全是指:使信息避免一系列威脅,保障商務的連續(xù)性,盡量減少業(yè)務損失,從而最大限度地獲取投資和商務的回報。
對于軍隊物資采購系統(tǒng),信息安全管理則應該堅持系統(tǒng)和全局的觀念,基于平戰(zhàn)結(jié)合、立足應急保障的思想,指導組織建立安全管理體系。通過系統(tǒng)、全面、科學的安全風險評估,體現(xiàn)“積極預防、綜合防范”的方針,強調(diào)遵守國家有關信息安全的法律法規(guī)及其他合同方要求,透過全過程和動態(tài)控制,本著控制費用與風險平衡的原則,合理選擇安全控制方式,保護組織所擁有的關鍵信息資產(chǎn),使信息風險的發(fā)生概率降低到可接受的水平,確保信息的保密性、完整性和可用性,保持組織業(yè)務運作的持續(xù)性。
(一)保密性。
信息安全的保密性,在確保遵守軍隊保密守則規(guī)定的前提下,確保信息僅可讓授權獲取的相關人員訪問。結(jié)合當前的狀況,軍隊物資采購系統(tǒng)的信息安全保密應當做熟嚴格分崗授權制衡機制,杜絕不相容崗位兼崗現(xiàn)象;嚴格用戶管理和授權管理,防止非法用戶,用戶冗余和用戶授權不當;加強密碼管理,防止不設口令或者口令過于簡熟加強病毒防范管理,防范病毒損氰控制訪問信息,組織非法訪問信息系統(tǒng)確保對外網(wǎng)絡服務得到保護,陰止非法訪問網(wǎng)絡;檢測非法行為,防范道德風險;保證在使用移動電腦和遠程網(wǎng)絡設備時的信息安全,防止非法攻擊。
(二)完備性。
信息安全的完備性,是指信息準確和具備完善的處理方法。具體要求是:嚴格采購業(yè)務流程管理,確保采購業(yè)務流程與采購信息系統(tǒng)操作流程完備一熟嚴格控制生產(chǎn)系統(tǒng)數(shù)據(jù)修改,防止數(shù)據(jù)丟失。防止不正確修改,減少誤操作;嚴格數(shù)據(jù)管理,確保數(shù)據(jù)得到完整積累與保全,使系統(tǒng)數(shù)據(jù)能夠真實、完整地反映采購業(yè)務信息;嚴格按照軍隊關于物資采購規(guī)定和要求操作,減少或杜絕非標業(yè)務。避免任何違反法令、法規(guī)、合同約定及易導致業(yè)務信息與數(shù)據(jù)信息不一致、不完整的行為。
(三)可用性。
信息安全的可用性,要求確保被授權人可以獲取所需信息。具體要求是:加強生產(chǎn)系統(tǒng)運行管理,確保生產(chǎn)系統(tǒng)安全、穩(wěn)定、可靠運行;加強生產(chǎn)機房建設與管理,保障機房工作環(huán)境所必需的濕度、溫度、電源、防火、防水、防靜電、防雷、限制進人等要求,減少安全隱患;加強生產(chǎn)系統(tǒng)日常檢查管理,及早發(fā)現(xiàn)故障苗頭;加強系統(tǒng)備份,防止數(shù)據(jù)損失;嚴格生產(chǎn)系統(tǒng)時間管理,禁止隨意修改生產(chǎn)系統(tǒng)時間;保障系統(tǒng)持續(xù)運標實施災難備份,防止關鍵業(yè)務處理在災難發(fā)生時受到影響。
三、軍隊物資采購信息安全管理
(一)信息安全機構。
軍隊物資采購系統(tǒng)應分出專人專職來負責信息安全管理工作,并協(xié)同上級業(yè)務管理單位制定信息安全管理制度和工作程序,設定安全等級,評估安全風險程度,落實防范措施方案,提出內(nèi)控體系整改方案與措施,監(jiān)督和評估信息安全管理成效。在與上級總部和軍區(qū)、軍兵種物油部管理機構之間還要有一個快速響應的信息安全事故收集、匯總、處理及反饋體系。
(二)信息安全管理制度與策略。
信息安全管理制度應針對軍隊物資采購系統(tǒng)現(xiàn)狀與發(fā)展方向來制定,要充分考慮可操作性?,F(xiàn)階段可根據(jù)“積極防御、綜合防范”的方針,制定內(nèi)部網(wǎng)、OA網(wǎng)、外部網(wǎng)的管理辦法,明確用戶的訪問權限。制定生產(chǎn)系統(tǒng)運行管理辦法。嚴格實行分崗制衡、分級授權,嚴格執(zhí)行生產(chǎn)系統(tǒng)時間管理、備份管理、數(shù)據(jù)管理和口令管理。
(三)信息安全分級管理。
信息安全分級管理,是將信息資源根據(jù)重要性進行分級,對不同級別的信息資產(chǎn)采用不同級別信息安全保護措施,國家已將信息安全等級保護監(jiān)督劃分為五個級別,分別為自主性保護、指導性保護、??匦员Wo。
軍隊物資采購系統(tǒng)可以結(jié)合實際情況,將信息資產(chǎn)分為“三級”或“五級”保護,目的在于突出重點,抓住關鍵,兼顧一般,合理保護。分級管理的方法是分析危險源或危險點,評估其重要性,再分設等級,從而采取不同的保護措施。比如,對于采購機構業(yè)務機房,可采取門禁與限制進入等方式進行保護;針對采購中相關數(shù)據(jù)的提供,可設計一定的審判流程,根據(jù)數(shù)據(jù)的重要程度,分為公開信息、優(yōu)先共享信息、內(nèi)部一般信息、內(nèi)部控制信息、內(nèi)部關鍵信息和內(nèi)部核心信息,實施嚴格的授權控制;對于信息安全事故,可分為重大事故、一般事故、輕微事故等,采取不同的處置方案。
(四)信息安全集中監(jiān)控與處置。
設立集中運行的信息安全監(jiān)控處置中心,及時監(jiān)控、發(fā)現(xiàn)安全事故,做到響應快速、處置果斷,并實施應急恢復。結(jié)合軍隊物資采購系統(tǒng)當前實際情況,可對網(wǎng)絡、服務器等運行設備進行集中監(jiān)控,開展服務器容量管理、網(wǎng)絡流量監(jiān)控;對應用系統(tǒng)采取防范與監(jiān)控相結(jié)合的方式,對信息系統(tǒng)的數(shù)據(jù)設置校驗碼,防止非法修改;在開發(fā)應用系統(tǒng)的同時,還應開發(fā)相應的審計檢查監(jiān)控程序,由各單位分別運行和維護,由上級采購管理機構定期查驗和監(jiān)督,及時發(fā)現(xiàn)數(shù)據(jù)信息存在的風險。
四、信息安全管理系統(tǒng)
實現(xiàn)信息安全管理的集中運行,需借助信息安全管理系統(tǒng)。各軍隊采購機構和部門可以按照上級下達的統(tǒng)一標準,構建基于同一操作平臺的信息安全管理系統(tǒng),幫助安全管理中心實現(xiàn)系統(tǒng)的監(jiān)控、分析、預警等功能,實現(xiàn)信息安全事故處理的收集、存儲、分析等功能,及時對信息風險作出反饋。
(一)監(jiān)控功能。
為采辦機構和部門的相關信息處理和傳輸設備配置專人管理,并設置機房日志管理、服務器性能日志管理、服務器容量日志管理、數(shù)據(jù)修改日志管理、流量監(jiān)控日志等功能,酌情設置數(shù)據(jù)檢測結(jié)果日志管理功能。通過對存儲、傳輸和刪改的操作進行管理,達到監(jiān)督控制的目的。
(二)處理功能.
根據(jù)采辦單位所在環(huán)境和情況,自主設置安全事故報告、響應、處置等采辦信息管理功能,對于高級別信息,也可以采用每天零報告措施。通過信息處理的簡化、優(yōu)化和快速反應,提高信息安全保障能力,從而保證軍隊采購的正常進行。
(三)安全等級管理功能。
針對采辦單位自身特點,設置信息資產(chǎn)、危險源、危險點定義與分級功能,對于不同級別的信息安全危機設定不同的保護等級,并采取不同的保護措施、監(jiān)控措施、事故響應與處置措施,保證系統(tǒng)的穩(wěn)定性和完好性。
篇10
關鍵詞:等級保護分級管理;中小型網(wǎng)絡;安全建設
中圖分類號:TP309文獻標識碼:A文章編號:1007-9599 (2011) 24-0000-01
SMs Network Security Building Analysis in Level Protection Hierarchical Management
Xu Aihua,Lv Yun
(Nanjing Institute of Science& Technology Information,Nanjing 210018)
Abstract:This article based on "communications network security management approach"in the basic situation of small and medium sized networks and applications based on the analysis of the characteristics on small and medium sized network construction and management of network security solutions.
Keywords:Level protection classification management;Small network;
Security building
一、工信部關于等級保護分級管理的要求
如何利用等級保護中分級管理制度,確定不同的系統(tǒng)不同的安全策略,消除內(nèi)部網(wǎng)向公網(wǎng)傳送的信息可能被他人竊聽或篡改等等安全隱患,對中小網(wǎng)絡而言至關重要。為此,自2010年3月1日起,工業(yè)和信息化部了《通信網(wǎng)絡安全防護管理辦法》(以下簡稱《辦法》)開始施行。《辦法》要求通信網(wǎng)絡運行單位應按照各通信網(wǎng)絡單元遭到破壞后可能造成的危害程度,將本單位已正式投入運行的通信網(wǎng)絡單元由低到高分別劃分為一級、二級、三級、四級、五級。《辦法》要求,通信網(wǎng)絡運行單位應當在通信網(wǎng)絡定級評審通過后三十日內(nèi),將通信網(wǎng)絡單元的劃分和定級情況按照有關規(guī)定向電信管理機構備案。電信管理機構對通信網(wǎng)絡運行單位開展通信網(wǎng)絡安全防護工作的情況進行檢查。
二、中小型網(wǎng)絡基本情況與應用特點
中小型計算機網(wǎng)絡主要應用于辦公自動化系統(tǒng)、信息查詢系統(tǒng)、郵件服務、財務、人事、計劃系統(tǒng)等實際工作和WWW應用中。根據(jù)中小型計算機網(wǎng)絡的應用特點,需要保證網(wǎng)絡中的數(shù)據(jù)具有可用性、可靠性、保密性、完整性、安全性等。又由于計算機網(wǎng)絡跨越公共網(wǎng)絡及與Internet網(wǎng)互聯(lián),這就給計算機網(wǎng)絡帶來嚴峻的安全問題,如敏感信息的泄露、黑客的侵擾、網(wǎng)絡資源的非法使用以及計算機病毒等。這些安全問題如果得不到解決,那將會給計算機網(wǎng)絡帶來嚴重的安全隱患。所謂可用性是指網(wǎng)絡信息可被授權用戶訪問的特性,即網(wǎng)絡信息服務在需要時,能夠保證授權用戶使用??煽啃允侵妇W(wǎng)絡系統(tǒng)硬件和軟件無故障運行的性能,是網(wǎng)絡系統(tǒng)安全最基本的要求;保密性是指網(wǎng)絡信息不被泄露的特性,保密性是保證信息即使泄露,非授權用戶在有限的時間內(nèi)也不能識別真正的信息內(nèi)容;完整性即網(wǎng)絡信息在存儲和傳輸過程中不被刪除、修改、偽造、亂序、重放和插入等操作,是指網(wǎng)絡信息未經(jīng)授權不能進行改變的特性,也稱作不可否認性。從技術角度看,網(wǎng)絡安全的內(nèi)容大體包括四個方面,即:網(wǎng)絡實體安全、軟件安全網(wǎng)絡數(shù)據(jù)安全和網(wǎng)絡安全管理。由此可見,計算機網(wǎng)絡安全不僅要保護計算機網(wǎng)絡設備安全,還要保護數(shù)據(jù)安全。因此實施網(wǎng)絡安全保護方案,目的是以保證算機網(wǎng)絡自身的安全。
三、中小型網(wǎng)絡安全解決方案
隨著網(wǎng)絡威脅越來越普遍、破壞性越來越嚴重,網(wǎng)絡入侵者攻擊來源廣泛,形式多樣。通常采用信息收集、探測分析系統(tǒng)的安全弱點和實施攻擊有步驟地進行入侵。如在目標系統(tǒng)安裝木馬程序用來窺探目標,網(wǎng)絡所熟悉的病毒,如紅色代碼、沖擊波,口令蠕蟲等對網(wǎng)絡造成了巨大損失。本文按照安全風險、需求分析結(jié)果、安全目標及安全設計原則,為中小型計算機網(wǎng)絡解決網(wǎng)絡安全問題,力求構建一個適合于中小型計算機網(wǎng)絡的安全體系。
(一)外網(wǎng)安全設計
1.防火墻系統(tǒng):采用防火墻系統(tǒng)實現(xiàn)對內(nèi)部網(wǎng)和廣域網(wǎng)進行隔離保護。對內(nèi)部網(wǎng)絡中服務器子網(wǎng)通過單獨的防火墻設備進行保護。
2.入侵檢測系統(tǒng):采用入侵檢測設備,作為防火墻的功能互補,提供對監(jiān)控網(wǎng)段的攻擊的實時報警和積極響應。
3.病毒防護系統(tǒng):強化病毒防護系統(tǒng)的應用策略和管理策略,增強病毒防護有效性。
4.垃圾郵件過濾系統(tǒng):過濾郵件,阻止垃圾郵件及病毒郵件的入侵。
(二)內(nèi)網(wǎng)安全設計
采用訪問控制策略,通過密碼、口令(不定期修改、定期保存密碼與口令)等禁止非授權用戶對服務器的訪問,以及對辦公自動化平臺、的訪問和管理、用戶身份真實性的驗證、內(nèi)部用戶訪問權限設置、ARP病毒的防御、數(shù)據(jù)完整、審計記錄、防病毒入侵。對內(nèi)部采用:網(wǎng)絡管理軟件系統(tǒng):使網(wǎng)管人員對網(wǎng)絡中的實時數(shù)據(jù)流量情況能夠清晰了解。掌握整個網(wǎng)絡使用流量的平均標準,定位網(wǎng)絡流量的基線,及時發(fā)現(xiàn)網(wǎng)絡是否出現(xiàn)異常流量并控制帶寬。
具體可采用Juniper的整合式安全設備+三層交換機的配置方案。Juniper的整合式安全設備專為互聯(lián)網(wǎng)網(wǎng)絡安全而設,將硬件狀態(tài)防火墻、虛擬專用網(wǎng)(IP sec VPN)、入侵防護(IPS)和流量管理等多種安全功能集于一體,可以通過內(nèi)置的Web UI、命令行界面或中央管理方案進行統(tǒng)一管理。
三層交換機具用于日志審計及監(jiān)控。根據(jù)不同用戶安全級別或者根據(jù)不同部門的安全訪問需求,網(wǎng)絡利用三層交換機來劃分虛擬子網(wǎng)(VLAN)。因為三層交換機具有路由功能,在沒有配置路由的情況下,不同虛擬子網(wǎng)間是不能夠互相訪問,同時通過在不同VLAN間做限制來實現(xiàn)不同資源的訪問控制。通過虛擬子網(wǎng)的劃分,既方便局域網(wǎng)絡的互聯(lián),又能夠?qū)崿F(xiàn)訪問控制。
四、結(jié)束語
總之,我們必須不斷強化信息安全觀念,加強網(wǎng)絡與信息系統(tǒng)安全保障工作的檢查和監(jiān)督,充分利用《通信網(wǎng)絡安全防護管理辦法》關于安全等級劃分的要求制定具體的信息安全防護策略,全面落實各項制度、預案,加強技術積累,定期進行網(wǎng)絡漏洞掃描等安全有效措施,切實加強網(wǎng)絡與信息系統(tǒng)安全保障工作,確保中小型網(wǎng)絡信息系統(tǒng)的安全穩(wěn)定運行。
參考文獻: