安全等级保护管理办法范文

时间:2024-03-01 17:55:10

导语:如何才能写好一篇安全等级保护管理办法,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

安全等级保护管理办法

篇1

关键词:信息系统安全 等级保护 福建

一、引言

信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。我国实施的信息系统安全等级保护制度,根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素,将信息系统的安全保护等级划分为5个级别,从第一级到第五级逐级增高,对不同安全级别的信息系统实施不同的安全管理。

二、我国信息系统安全等级保护思想的形成

1994年,《中华人民共和国计算机信息系统安全保护条例 》(国务院147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。

20世纪80年代初,美国国防部制定了“国家计算机安全标准”等系列标准,包括《可信计算机系统评估准则》(TCSEC,即俗称的“桔皮书”)及其他近40个相关标准,合称“彩虹系列”。 TCSEC标准是国际上计算机系统安全评估的第一套大规模系统标准,具有划时代的意义。TCSEC将安全产品的安全功能和可信度综合在一起,设立了4类7级。

1999年,我国公安部组织制定了强制性国家标准――《计算机信息系统安全保护等级划分准则》。

2000年11月10日,国家计委批准公安部开展“计算机信息系统安全保护等级评估体系及互联网络电子身份管理与安全保护平台项目”建设。

2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。这标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。同时中央27号文明确了各级党委和政府在信息安全保障工作中的领导地位,以及“谁主管谁负责,谁运营谁负责”的信息安全保障责任制。

2004年9月,公安部会同国家保密局、国家密码管理局和国务院信息办联合出台了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),明确了信息安全等级保护制度的原则和基本内容,以及信息安全等级保护工作的职责分工、工作实施的要求等。

2006年1月,公安部、国家保密局、国家密码管理局、国信办联合制定了《信息安全等级保护管理办法(试行)》,并于2007年6月修订。

2007年6月,公安部会同国家保密局、国家密码管理局和国务院信息办联合颁布《信息安全等级保护管理办法》(公通字[2007]43号,以下简称《管理办法》),明确了信息安全等级保护制度的基本内容、流程及工作要求,进一步明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务,为开展信息安全等级保护工作提供了规范保障。

三、开展信息系统安全等级保护工作的必要性和重要性

⒈开展信息系统安全等级保护工作的必要性

随着网络新技术的飞速发展和各类信息系统的广泛应用,网络与信息安全也相应出现了许多新情况、新问题,福建省网络与信息安全防护工作面临的形势十分严峻。这就使得开展信息系统安全等级保护工作成为必然。

一是网上斗争日趋复杂,不确定性增强。由于在互联网上传播信息具备快速便捷、低成本、无国界、易消除痕迹、技术变化快等特点,使互联网成为境内外敌对势力、敌对分子从事各种破坏活动的重要工具。我国将长期面临敌对势力的信息优势、技术优势所带来的信息安全威胁。

二是网络违法犯罪活动迅速增多,造成的后果越来越严重。随着新技术、新应用的发展,暴露出来的网络与信息安全问题也日益增多。

三是漏洞数量居高不下,利用漏洞发起攻击仍是互联网最大的安全隐患。安全漏洞是指在网络系统中硬件、软件、协议和系统安全策略等存在的缺陷和错误,攻击者利用这些缺陷和错误可以对网络系统进行非授权的访问或破坏。

四是计算机病毒传播和对网络非法入侵十分严重。据公安机关调查,2007年1-6月,我国平均每月截获计算机病毒6.6万个,累计感染计算机达1.18亿台次。2007年初在我国发生的“熊猫烧香”病毒案,短时间内就出现病毒变种700余个,感染了445万台计算机,大批网民的网上帐号、口令被窃取。

⒉开展信息系统安全等级保护工作的重要性

开展信息安全等级保护工作,就是要解决我国信息安全面临的威胁和存在的主要问题,按标准建设安全保护措施,建立安全保护制度,落实安全责任,加强监督检查,有效保护重要信息系统安全,有效提高我国信息和信息系统安全建设的整体水平。

建立信息安全等级保护制度,开展信息安全等级保护工作,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务;有利于优化信息安全资源的配置,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式。

四、加快推进福建省重要信息系统安全等级保护工作

2007年7月20日,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室在北京联合召开“全国重要信息系统安全等级保护定级工作电视电话会议”,部署在全国范围内开展重要信息系统安全等级保护定级工作。8月13日,福建省公安厅、省保密局、省委机要局、数字福建建设领导小组办公室等四家单位也联合召开“福建省重要信息系统安全等级保护定级工作电视电话会议”。这标志着福建省重要信息系统安全等级保护工作正式启动。

信息系统安全保护工作的首要环节是定级,定级工作是开展信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。信息系统安全级别定不准,系统建设、整改、备案、等级测评等后续工作都将失去针对性。此次福建省重要信息系统安全等级保护工作将分四个阶段进行。

1.突出重点,全面准确划定定级范围和定级对象

此次重要信息系统定级的范围是国家基础信息网络和重要信息系统,这些网络和系统广泛分布在各级党政机关和电信、广电、铁路、银行、民航、海关、税务、电力、证券、保险等数十个行业。将这些基础信息网络和重要信息系统纳入此次定级的重点范围,体现了统筹规划、突出重点、重点保障基础信息网络和重要信息系统安全的总体要求和原则。

2.依据《管理办法》,准确确定信息系统安全保护等级

福建省各运营使用单位和主管部门在全面分析各自信息网络和信息系统在国家安全、社会秩序、公共利益等方面的作用和影响的基础上,根据信息网络和信息系统被攻击破坏后对国家安全、社会秩序和公共利益等方面可能造成的危害程度等因素,依据《管理办法》,参照《定级指南》所提供的定级方法,综合确定信息系统的安全保护等级。在确定等级的过程中,要最大限度地避免定级的盲目性、随意性,力争做到定级准确、科学、合理。

3.及时备案,加强对定级工作的监督、检查和指导

为全面掌握基础信息网络和重要信息系统的单位和系统的基本情况,保护重点领域的重要信息网络和信息系统,凡是安全保护等级为第二级以上的信息系统运营使用单位或主管部门要按照《管理办法》的要求,到公安机关进行备案。公安机关受理备案后要对备案材料进行审核,加强对重要信息系统安全等级保护定级工作的监督、检查和指导;对定级不准的,要及时通知备案单位重新定级。

4.依据《管理办法》和技术标准,开展整改、测评等工作

信息系统的安全保护等级确定后,运营使用单位要按照信息安全等级保护管理规范和技术标准,使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作,建设符合等级要求的信息安全设施;参照信息安全等级保护管理规范,制定并落实安全管理制度;选择符合《管理办法》规定条件的测评机构,依据技术标准对信息系统安全等级状况开展等级测评,使其尽快达到等级要求的安全保护能力和水平。

五、加大力度,确保福省重要信息系统安全等级保护工作任务落到实处

随着北京奥运会的日益临近,特别是“科技奥运”和“数字奥运”是2008年北京奥运会的一大亮点,信息安全等级保护的工作任务艰巨,责任重大。福建省公安、保密、密码工作和信息化等部门要密切配合,及时开展监督、检查,严格审查信息系统所定级别,积极开展备案、整改、测评等工作。同时,充分利用广播电视、报刊杂志、互联网等媒体,加大对国家信息安全等级保护制度的宣传力度,积极开展面向不同层次、不同对象的宣传、培训,以确保福建省重要信息系统安全等级保护工作落到实处。

1.明确职责,落实责任

各级公安机关要积极向当地党委、政府专门汇报,主动争取党委、政府对信息安全等级保护工作的重视和支持;或者成立专门的等级保护工作直辖市领导小组,加强对定级工作的领导,研究制定定级工作实施方案。各运营使用单位及其主管部门要按照“谁主管谁负责、谁运营谁负责”的要求,明确主管领导和责任部门。各信息系统主管部门要切实加强对定级工作的组织、领导,落实等级保护各项责任,督促、指导本行业、本系统开展定级、备案、建设整改等工作。

2.密切配合,通力协作

各级公安机关作为开展等级保护工作的牵头部门,要加强同保密、密码工作、信息办等其他信息安全职能部门的协调、配合,尽快建立健全信息安全等级保护监管工作的协调配合机制;要主动与信息系统主管部门交流沟通,督促配合其组织下属信息系统运营、使用单位建立信息安全责任制,建立并落实等级保护制度,从而确保等级保护工作的顺利、有效实施。

3.加强宣传,强化培训

篇2

关键词:政务外网 等级保护 定级 网络安全

为贯彻落实公安部、国家保密局、国家密码管理局、原国务院信息化工作办公室于2007年7月26日联合下发《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号),国家电子政务外网工程建设办公室(以下简称“外网工程办”)在2007年11月启动了中央级政务外网定级专项工作,成立了等级保护定级工作组,根据政务外网的实际情况和特点,经过多轮内部讨论和征求专家意见后,基本完成了政务外网安全等级保护定级工作,为后续备案和全面开展、实施等级保护整改和测评工作奠定了坚实基础。

一、周密部署,精心组织

为有效贯彻落实国家信息安全等级保护制度,在总结基础调查和试点工作的基础上,根据《关于开展全国重要信息系统安全等级保护定级工作的通知》等相关规定,2007年11月13日,电子政务外网工程办召开等级保护工作启动会,正式启动国家电子政务外网安全等级保护定级工作。

为确保信息系统等级保护工作顺利进行,外网工程办领导高度重视,专门成立了由各主要业务部门负责人为成员的等级保护工作小组,全面负责工作的规划、协调和指导,确定了外网工程办安全组为等级保护工作的牵头部门,各部门分工协作。同时,为确保系统划分和定级工作的准确性和合理性,2007年11月22日外网工程办专门邀请专家,对定级工作进行专项指导。

为统一思想,提高认识,通过召开等级保护专题会议等形式,深入学习《信息安全等级保护管理办法》和《关于开展全国重要信息系统安全等级保护定级工作的通知》等文件精神,使相关人员充分认识和领会了开展信息安全等级保护工作的重要性,进一步认识到实施信息安全等级保护不仅是信息安全管理规范化、标准化、科学化的需要,也是提高政务外网安全保障能力与服务水平的重要途径,是追求自身发展与落实社会责任相一致的现实需要与客观要求,从而增强了开展此项工作的主动性和自觉性。

二、积极做好定级各项工作

信息安全等级保护工作政策性强、技术要求高,时间又非常紧迫,为此,政务外网工程办从三方面抓好定级报备前期准备工作:一是积极参加公安部组织的等级保护培训,领会与理解开展信息安全等级保护工作的目的、意义与技术要求,系统地掌握信息安全等级保护的基础知识、实施过程、定级方法步骤和备案流程等。二是多次组织人员开展内部讨论和交流,使人员较全面地了解等级保护的意义、基础知识和定级方法。三是开展工程办各组的业务应用摸底调查,摸清系统的系统结构、业务类型和应用范围,并汇总整理了政务外网各组成域的相关概况。

三、科学准确定级

在开展政务外网定级工作的过程中突出重点,全面分析政务外网网络基础平台的特点,力求准确划定定级范围和定级对象。在此基础上,依据《信息安全等级保护管理办法》,确定政务外网各组成子系统(网络域)的安全保护等级。

划定定级对象。根据《信息系统安全等级保护定级指南》,外网工程办多次组织技术和业务骨干召开专题会议讨论信息系统划分问题,提出了较为科学合理的信息系统划分方案。

初步确定了信息系统等级。根据系统划分结果,组织各业务部门参与并初步确定了各系统等级,完成了自定级报告的起草。

组织专家自评把关。根据等级保护评审的标准与要求,专家们对信息系统划分和定级报告进行内部评审,并给出了内部评审意见。根据专家意见重新修改并整理了等级保护定级报告及其相关材料。

此外,在定级过程中,外网工程办积极与公安部等级保护主管部门进行沟通,并经由相关专家确认定级对象与等级保护方案后,整理好了所有定级材料,准备下一步的正式评审。

四、定级对象和结果

根据政务外网作为基础网络平台的特性,以及其接入系统的不同业务类型,政务外网按管理边界划分为中央政务外网、地方政务外网两类管理域。中央政务外网按业务边界划分功能区,即公用网络平台区、专用VPN网络区以及互联网接入区,在各功能区内又根据业务类型和系统服务的不同,确定了多个业务系统,主要有安全管理系统、应用平台系统、网络管理系统、邮件系统、VPN业务、互联网数据中心等六个系统作为本次等级保护定级工作的定

级对象,分别予以定级(确定等级结果如表1所示)。

作者简介:

罗海宁,1980年生,男,汉族,工程师,在职硕士,专业方向:网络与信息安全。

郭红,1966年生,女,汉族,高级工程师,在职硕士,专业方向:网络安全。

篇3

安全风险

2008年6月,深圳市忽然出现了12万一张的光盘,而且是一口价销售,拒绝还价。光盘之所以卖得如此之贵,是因为光盘里存有当年深圳市预产期在3月~8月、共4万多条孕产妇的信息。其时,已有多名孕产妇受到商家“阶段性”推销的骚扰:怀孕3个月后孕妇学校会来联系,接着是家政服务商,而宝宝快到百日时,儿童摄影的推销电话又……让孕产妇不胜其烦。事后的调查发现,是深圳市一家保健医院的内部人员利用职务之便,将该院信息系统中所有孕妇和婴儿的信息盗取一空,整个过程只用了5分钟。然后,便有了市场上天价光盘的出现。

信息化在给医疗机构带来便利的同时,也存在着数据安全隐患,上述严重的信息泄露事件给医院的信息安全敲响了警钟。

除了信息泄露,威胁医院信息安全的问题还有网络病毒。随着网络的迅速发展,蠕虫病毒引发的安全事件此起彼伏,且有愈演愈烈之势。某医院由于内网病毒泛滥,带宽被病毒数据包占用,不仅上网速度慢,更影响到了服务器的正常工作。

医院内部人员统方是另一个威胁。2010年5月23日,一张神秘的清单在网上曝光,其中列出了宁波市某医院45名医生的工号、名字和所属科室,后面还注明了他们使用药品氨曲南的数量和总价。6月3日,宁波市卫生局向媒体公布了处罚决定:19名收受药品回扣的医生中,两名医生停止执业活动6个月,6名医生受到警告处分。虽然腐败得到惩戒,大快人心,但所暴露的潜在统方威胁值得警惕。

加强信息安全、消除安全隐患,已经成为医院必须要面对的课题。

政策安排

在信息化建设过程中,与业务性系统相比,信息安全并没有得到足够的重视。在2012年8月举办的中国医院论坛“数字化建设”分论坛上,著名医疗IT专家李包罗说:“这段时间,我参加了7个信息系统的技术规范的制订会,我发现,有的系统跟安全性毫不搭界,技术规范里面没有跟技术、安全有关系的话语,哪怕有,也只是一两句话带过。制订技术规范的人,应该说已经是业界比较有经验、比较有水平的专家,如果他们都不对安全问题给予足够的重视,那将是非常可怕的。”

在同一个会议上,国家卫计委统计信息中心主任孟群直言:“我国卫生信息化建设还存在信息安全保障建设的滞后。”

在政府层面,2007年公安部印发《信息安全等级保护管理办法》,决定“在全社会范围推行‘信息安全等级保护’政策”,2009年公安部印发《关于开展信息安全等级保护安全建设整改工作的指导意见》,对信息安全等级保护工作提出了要求。

在医疗领域,2010年原卫生部制定的《卫生信息化建设指导意见与发展规划(2011-2015)》(“十二五”规划)明确提出了我国医疗信息化发展的蓝图和发展方向“35212工程”,建设信息安全体系即是最后一个“2”中的一项。

医疗卫生系统的相关政策相继出台。2011年12月,“为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作”,原卫生部相继了《卫生行业信息安全等级保护工作的指导意见》和《关于全面开展卫生行业信息安全等级保护工作的通知》,明确指出,“三级甲等医院的核心业务信息系统”等五类卫生信息系统等保原则上不低于三级,要求“卫生行业各单位……要于2015年12月30日前完成信息安全等级保护建设整改工作,并通过等级测评。”

原卫生部、国家中医药管理局在2012年6月15日的《关于加强卫生信息化建设的指导意见》指出,要加强卫生信息安全保障体系建设,落实国家信息安全等级保护制度。加强卫生信息系统安全风险评估工作,确保信息安全和系统运行安全。继续完善居民电子健康档案、电子病历等涉及居民隐私的信息安全体系建设,建设以密码技术为基础的信息安全保障和网络信任体系,推广数字证书和电子签名应用,实现信息共享与隐私保护同步发展。

据悉,国际卫计委一直在推进这方面的工作,包括制度设计、级别保护等相关的概念和边界已经逐步建立起来。

国家卫计委统计信息中心副主任王才有表示,首先,政府层面制定了统一信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对信息安全产品的使用分等级实行管理,对等级保护工作的实施进行监督和指导。

其次,在用户层面,公民、法人和其他组织应当按照国家有关等级保护的管理规范和技术标准开展等级保护工作,服从国家对信息安全等级保护的监督、指导,保障信息系统安全。

最后,在社会层面,关于信息安全产品的研制、生产单位,信息系统的集成、等级测评、风险评估等安全服务机构,应依据国家有关管理规定和技术标准开展相应工作,并接受国家信息安全职能部门的监管。

在政策逐步建立的过程中,医疗机构自身建设亦十分重要。王才有说:“信息安全是专门的技术,但医院应该培养自己的安全人才,我看到许多医院还没有这样做,存在很大的风险。”

先进经验

目前,信息安全已经引起了医疗机构的高度重视,也有医院早早成为信息安全建设方面的先行者。

2012年11月初,中国医学科学院阜外心血管病医院信息中心主任赵接到通知,其医院信息系统的安全保护能力“基本符合等级保护三级要求,符合项为87.8%”。按照规定,符合项超过80%即为通过了等级保护三级。也就是说,阜外医院完成了国家卫生行政部门要求2015年底完成的工作。赵介绍,据他了解,目前除了阜外医院外,国内还没有其他医院通过等保三级。

篇4

关键词:信息安全;等级保护;定级制度

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2017)03-0045-02

信息安全等级保护制度的建设,是随着经济建设和信息化建设的全面展开而进行的。对国家重要的信息系统等进行定级保护,可以提高信息系统的工作效率,在大数据、云计算的技术支持下,实现全系统的信息安全。为此国家多部门早已出台多项关于信息安全的制度和规定,明确说明国家信息安全保障工作的基本制度之一就是信息安全等级保护制度。其工作流程包含定级、对级别的建设和整改、测评建设整改工作、向主管公安部门备案;监管信息系统。其中首要阶段的定级工作,是作为等级保护的起始,为后面四个阶段的工作奠定基础。

1 信息系统安全等级保护政策概述

我国在信息技术的浪潮退推动下,各行各业都在面临信息化、智能化的转型升级带来的冲击和挑战。需要建设的信息化项目不断增多,很多领域的业务都要采用网络信息系统作为载体,因此,信息系统的数量和结构都在增加和复杂化,对信息进行等级保护就被提上了日程。

2008年,我国首部信息安全等级保护管理办法由公安部下发,信息系统有了等级的划分,并且对信息系统的保护也有了明确的管理规定。2008年,信息系统安全等级保护定级上升到了国家级别的标准,拥有了定级指南,对于信息系统安全等级定级工作来说,意味着拥有了定级的方法和准则。2009年,关于整改信息安全等级保护工作的指导意见证实下发,要求对信息安全等级保护的整改要按照测评工作的标准展开。这是第一次对信息安全等级保护测评体系的建设进行的规定。

2 信息系统的安全定级

在信息安全技术等级定级指南中,对于信息技术的重要性以及遭到破坏的危害性进行了详细的阐述,从公共安全、社会利益、公民权益等几个方面,将信息系统的安全等级划分为五个等级:

第一级为当信息安全被侵犯,国家利益、公共安全等合法权益就会被损坏,但是国家安全、社会利益和公共秩序不会受到损害。

第二级为当信息安全被侵犯,公民的合法权益就会被侵害,但是国家安全不会受到破坏。

第三级为当信息系统受到侵犯后,社会秩序和公共利益被损坏,进而产生对国家安全的损害。

第四级是信息系统受到破坏,社会秩序、公共利益、国家安全都会受到特别严重的损伤。

第五级是信息系统受到侵犯,国家安全被特别严重地损坏。

3 当前信息系统安全定级中存在的问题

1)定级对象不明确是信息系统安全定级中的常见问题。当信息系统在相同的网络环境中被按照独立的系统进行定级时,多个定级对象会重复出现环境和设备。以机房的EPR系统和OA系统以及配套为例,系统中如果使用到网络资源,就有可能产生相同的定级对象同时出现不同的网络设备的情况。

2)根据安全信息国家定级指南中对安全保护等级的定级要求。当受侵害客体为国家、社会、公民安全以及组织法人的合法权益时,客体的侵害程度可以分为一般、严重、特别严重。这种分类是比较抽象的。需要进行具体的描述,但是从目前的发函情况看,对于危害程度的描述还是过于倾向于主观判断,因此对客观情况的定级准确率不足,依据不足。

3)现有的定级报告皆是从模板中引用格式,参考定价指南,提供定级流程,引导结论的验证。从下表我们可以大概地看到定级要素和安全保护等级的关系:

表1

[受侵害的客体\&一般损害\&严重损害\&特别严重的损害\&公民、法人和组织的合法权益\&第一级\&第二级\&第二级\&社会利益、公共秩序\&第二级\&第三级\&第四级\&国家安全\&第三级\&第四级\&第五级\&]

对于基础数据的描述虽然也能显示出关于信息安全系统定级的重要意义,但是从系统的客观问题以及随时可能出现威胁和侵害的现象角度观察,很多关于信息安全等级定级的新方法还不能保证定级结果的准确性,很多定级报告不完善,缺乏依据,主观判断成分多,无法将信息安全系统的真实情况反映给决策层,对于工作的开展没有好处。

4 等级保护流程

等级保护的工作是循环的、动态发展的。将等级保护工作视为循环性强的工作对于工作流程加以分析,最终得到的是等级保护工作的流程图:

定级阶段:系统划分、等级确定;填写表格;

初步备案阶段:上报材料、专家评审,不符合安全等级规定的重新定级,最终进入初备案。

测评阶段:选定机构、测评、出具报告;

整改阶段:制订方案、专家论证、提出整改措施并实施;

复评阶段:对定级方案进行复评,得到最终的备案;

根据等级保护制度接受监管的阶段。

需要说明的是,等级保护工作的初始阶段:定级工作可以采用自行定级的方法,也可以委托第三方机构进行监管和测评。定级工作是所有阶段工作的基础。初备案阶段有一个重新定级的环节,主要是如果出现不公平、不公正或者定级不合格的情况,要对信息系统的等级评定工作进行复评选,并达到等级保护的要求,才能进行最终的备案。

5 信息安全定级方法

1)定流程是参照定级指南进行的,包括了业务信息和系统服务等内容。首先是确定定级对象,然后确定业务信息安全受到破坏和侵害的客体,以及系统服务安全受到破坏和侵害的客体。两方面都要进行客体的侵害程度的评定,前者得出业务信息安全等级,后者得出系统服务安全等级,最后形成了定级对象的安全保护等级。

定级对象的选取根据定级指南的规定,具有一些特征,首先是拥有安全责任单位,第二是信息系统要素,第三是承载单一和独立的业务。在定级对象的业务应用上应该拥有共享的机房基础环境和网络设备等,这样就不会产生重复出现的定级对象。而且将物理环境、网络资源等纳入到信息系统中,形成具有单独优先定级权限的定级对象[1]。

对于受侵害的客体的损害程度的评分,要对危害后果等进行权重分析。参照的依据包括国家安全、社会利益、公众秩序、公民法人和组织的权益。客体的侵害程度在定x和解释上是简单而抽象的,要对危害程度进行具体的描述,就要规避主观判断、依据不足的问题。对客体的侵害程度进行确定,是需要参考很多元素的,要得到一个准确的定量,可以采用评分表的方法对危害后果予以打分。

表2

[危害后果\&得分\&权重\&影响工作职能形式\&\&\&降低业务能力\&\&\&引起纠纷需要法律介入\&\&\&财产损失\&\&\&社会不良影响\&\&\&损害到组织和个人\&\&\&其他影响\&\&\&]

根据对表格中的打分得到的数值和权重的分析,可以得出定级对象被破坏后可能产生的危害以及后果。不存在危害的数值为0,有危害程度较轻的数值为1,有危害程度较高的为2,后果严重的为3。不同的信息系统在服务内容、范围、对象上都不同,因此不同的得分和权重最能反映信息安全系统的实际情况。

确定安全保护等级是在所有流程结束后,得到的结论。这个结论包括客体对等级对象的侵害造成的危害,信息安全的保密性、可用性的情况,系统服务安全的及时性、有效性的问题等等。当业务信息安全和服务系统的客体侵害程度不同时,就要在定级过程中处理不同的危害后果。

2)定级表格的细化是为定级报告模板提供基础数据,并保证信息安全系统稳定可靠的重要保障。当系统内部问题导致其难以支撑定级结果后,采用系统定级的方法,就能够将信息系统的情况记载道定级表中。定级表包括了定级系统的用户情况以及定级系统的业务职能等情况,例如在行业和部门内的地位和作用。定级系统需要有备份系统作为应急措施,保证定级系统在关联系统受到破坏后不会受到数据传递等的影响。

6 案例分析

按照等级保护工作测评和定级的规定,确定信息系统的等级。某政府网站信息系统包括的板块为:政务公开、地方行政、法制建设、管理措施、领导讲话、网上办事大厅、新闻动态、政府公告、举报建议等,还专门开辟了一个下载板块,方便下载有用的电子表单加以填报。

在这个政府网站的信息系统中,制订了符合信息安全等级保护定级指南的流程和标准,通过分析,判断,研究等流程确定定级的系统。该网站的拥有者设立的专门的政府网站平台,由指定部门确定相关资料的搜集、采集、整理的过程方案。在这套流程中,信息生产者为企业,产生的资料是信息,管理信息的手段是利用科学技术,对外承担政务信息,拥有独立的业务,如办事流程、新闻会等。将各类任务的环境加以构建,就形成了政府网站中具有基本特征和要素的定级对象。对定级客体的邀请,要采取分析的方法,确保信息系统内的保密性和可用性。实际操作中只要能够保证信息的完整性和通用性,又增强了制作、、管理的职能建设,激发出参与者的完整性和保密性。提高可用概率。而系统服务安全有力地支撑着系统安全运行,并为信息安全系统提供有效的服务,达到地方网站发挥在定级中的作用,帮助提供服务,满足消费者的需求。采用了这种方法,网站信息系统的业务信息安全和系统服务安全都将是今后在企业运用中需要特别加以注意的。

例如:对于受侵害的客体,必须说明客体的情况,是否受到法律保护,等级保护中牵扯到的社会关系和合法权益。尤其是针对信息系统的客体的先后顺序进行判断,结合政府平台,实施政务信息公开。如果做不到政务信息公开,政府就要设置管理界限,发挥人的主观能动性,在知情权、业务能力、投诉与批评等阶段加大业务办理力度,最大可能地维护法人和代表组织的知情权,排弃受到破坏的客体,法人由于难以掺入个人组织中,直接投诉合法的法律法规,由于业务施工的进度过快,环节纷繁众多[2]。再由于受损教育可以对客体的积极主动性。方便法人和组织知情、办理业务、举报、投诉等。

对于客体造成的侵害进行后果的分析,无论是大型门户网站,还是在金融政策引领下,亲自感受到客体检查结果的影响,如信息安全管理等,都要注重网络平台的临时性。

7 结束语

要做好信息系统的安全保护等级的确定,就要采取正确的 (下转第51页)

(上接第46页)

策略以及方法,对信息安全管控产生依赖,保护过程中采取正确的策略和方法,等等。信息系统、安全等级保护不足的问题,都要求管理觉决策层加熬煮。在实际运行中,还要以定级指南为指导,综合信息系统的业务特征,切实推动信息技术等级保护工作的大力发展。

参考文献:

篇5

关键词:信息安全;医院信息系统;安全措施

随着信息与网络技术的不断发展,我们进入了一个信息爆炸的时代,人们可以轻松便捷的通过网络技术来进行各种活动。伴随而来的信息安全问题也越发严重,也受到越来越多行业的关注,在网络技术发展普及的同时,信息技术业在医学领域得到广泛的应用,同右搅苹构信息系统的信息安全性在当今也同样得到极大的重视。

1 信息系统安全管理的原则

信息系统安全的核心目标是为关键资产提供可用性、完整性和机密性[1],所有安全控制、机制和防护措施的实现都是为了提供这些原则中的一个或多个。基于安全需求原则,医疗机构应根据其信息系统担负的使命,积累的信息资产的重要性,可能受到的威胁及面临的风险分析安全需求,按照信息系统等级保护要求确定相应的信息系统安全保护等级,遵从相应等级的规范要求,从全局上恰当地平衡安全投入与效果,做到技术和管理并重。

2 国内医疗信息安全体系

在医疗活动中,医疗机构为了诊断及科研等其他需要,经常使用医疗信息系统采集、大量的医疗相关数据,其中包含着患者的基本信息和敏感信息。如何有效的避免隐私信息的泄露也是越来越多医疗机构普遍遇到的问题。与此同时,卫生行政主管部门认识到了医疗机构信息系统安全的重要性,也逐年医疗信息保障管理办法。2004年9月的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)进一步强调了开展信息安全等级保护工作的重要意义,规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。2011年,信息安全等级保护已列入《三级综合医院评审标准》中信息化规范建设的重要考核依据与指标。2011年卫生部《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》,要求卫生行业“全面开展信息安全等级保护工作”。

3 医院信息安全治理与风险管理

医院系统信息安全风险管理的传统措施是以边界、安全域为主的思路和模式,采用被动的、防御型的技术手段,属于应对型的安全建设模式[2]。近些年来,随着安全技术的快速发展,医院信息安全规划与建设思路也在发生转变,其防护重点逐渐转向医院信息系统数据内容、应用、用户身份和行为等全方位的安全防护;安全治理观念也逐渐转变为主动防御的合规管理工作,同时加强医院信息安全监控综合分析。通过信息系统安全指标作为衡量依据,衡量安全建设绩效推进医院信息系统安全治理,从而以工具化、自动化的安全手段,应对不断扩张的IT资产管理,有效落实安全管理要求。

医院信息安全责任部门正确运用控制措施能降低医院信息系统安全面临的风险,控制主要分为三种类型:管理控制、技术控制和物理控制[3]。管理控制因为通常是面向管理的,所以经常被称为“软控制”,如安全文档、风险管理、人员安全和培训都属于管理控制;技术控制也称为逻辑控制由软件或硬件组成,如防火墙、入侵检测系统、加密、身份识别和认证机制;物理控制用来保护设备、人员和资源,保安、锁、围墙等都属于物理控制。在实际建设和规划中,医院信息安全责任部门应正确以分层的方法综合使用多个安全控制类型,为医院信息平台提供安全深度防御。由于入侵者在获得访问关键资产前将不得不穿越多个不同的保护机制,因此多层防御能够将渗透成功率和威胁降低到最小,从而保障医疗机构信息系统安全。

4 医院系统的安全风险分析及对策

4.1访问控制安全 安全的根本所在是通过控制如何访问信息资源来防范资源泄露或未经授权的修改。访问控制是一种安全手段,控制用户和系统如何与其他系统和资源进行通信和交互。访问控制能够保护系统和资源免受未经授权的访问,并且在身份验证过程成功结束之后确定授权访问的等级。信息访问控制的实现手段在本质上都处于技术性、物理性或行政管理性层面。同时需要注意,任何接口处是最应该实施安全控制的一个地方,需要层层纵深防御来实施访问控制。访问控制是防范医疗机构信息系统和资源被未授权访问的第一道防线,系统使用用户的访问权限主要基于其身份、许可等级和/或组成员资格。访问控制给予组织机构控制、限制、监控以及保护资源可用性、完整性和机密性的能力[4]。

4.2计算机及操作系统安全 计算机是系统内提供某类安全并实施系统安全策略的所有硬件、软件和固件的组合,然而其并不仅限于操作系统,操作系统的主要风险包括系统漏洞和文件病毒等。医疗机构的信息安全责任部门需对帐户、访问、用户权限等进行管理与控制,做好定期监视、审计和时间日志记录和分析。可以采用通过修改注册表,屏蔽客户端操作系统无关的内容,限制访问相关资源;还应及时下载系统补丁,尽可能关闭不需要的端口,以弥补系统漏洞而给医院信息系统安全性带来的各类隐患。医疗机构办公计算机中的很多安全管理软件会产生安全日志,应由信息安全主管部门对这些安全日志进行管理分析以不断强化整体安全解决方案,例如针对于医院可能发生的“统方”时间以及其他对医院影响较大的安全事件,医疗机构主管部门应能够及时发现、定位、报警以及事后审计。

篇6

【 关键词 】 信息安全;企业管理;绩效考核

1 引言

经过近几年的发展,中国铁建股份有限公司(以下简称中国铁建)的信息化工作全面展开,众多信息化项目的实施,大量信息系统的上线应用,有力地促进了企业核心竞争力的提升。

随着信息系统不断建成与投入应用,信息资源拥有量快速增长,对信息安全的保障需求日显强烈,信息安全管控建设的滞后与日益增长的信息安全需求的矛盾日益突出。中国铁建根据国内外成熟的信息安全标准和方法,结合企业业务发展战略和企业特点,构建符合本公司业务实际和安全需要的信息安全管控体系,全面提升信息安全保障能力,并取得了初步效果。另外,信息安全等级保护制度作为国家在信息安全保障管理上的根本制度,具有强制性的特征,也要求企业认真加以贯彻落实。

在实际工作中利用怎样的手段来保障信息安全管控体系、信息安全等级保护制度得到切实执行,成为亟待需要解决的问题。

为此,结合中国铁建所属各单位地域分布广、信息化水平差距大的特点,经过初步探索,将信息安全指标纳入了中国铁建信息化绩效评价体系,与各子分公司领导考核挂钩,从“信息安全事故”和“等级保护”两个维度、四项指标,通过定量对比分析,对各单位的信息安全工作进行评价,以推进信息安全持续改进。

2 考核原则

(1)公开、公平、公正。严格按照考核细则对被考核单位,在公开、公平、公正的环境中,进行客观的评价。

(2)实事求是。被考核单位应如实反映信息安全工作情况,提供的相关资料和数据真实可信。

(3)遵循规划、贯彻制度、检查效果、保障安全。考核指标的提出以信息安全规划、制度为依据,重点在信息化建设效果并保障信息安全。

(4)区别对待,逐步演进。根据子公司规模、成长阶段、业务特点的不同,区别对待;根据信息安全建设重点,不同年度有不同的考核重点,逐步演进。

3 考核指标

中国铁建大量的信息系统处于建设时期,因此每年对指标进行调整。目前,根据信息系统等级保护评价指标体系的原则要求, 选择具有可操作性、可以量化的指标,从信息安全事故和信息系统安全等级保护两个维度,信息安全事件、等级保护定级率、等级保护备案率、等级保护测评通过率四项指标进行了考核。

3.1 信息安全事件

信息安全事件及分级以中国铁建《信息安全事件管理规定》定义为准。信息安全事件分为特别重大事件(I级)、重大事件(Ⅱ级)和一般事件(Ⅲ级)三个级别。

指标要点

(1)信息系统安全事件级别的确定。从类别划分,信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、设备设施安全功能故障、灾害性事件等五种;从级别划分,信息安全事件分为特别重大事件(I级)、重大事件(Ⅱ级)和一般事件(Ⅲ级)三个级别。

(2)信息安全事件的瞒报。对于发生信息安全事件后,隐瞒事故,在规定时限内不主动向上级部门如实报告的情况,除扣除其该项考核成绩外,按照股份公司有关规定进行通报并严肃处理;对多次发生信息安全事件的单位,将加强监督检查,并责令其彻底整改。

3.2 等保定级率

考核年度在建至验收投入应用各阶段的信息系统与历年上报的定级报告不重复累计数之比。

指标要点

(1)信息系统定级准确性。部分单位认为信息系统定级级别越高,就要花费更多的资金、精力,加重单位负担,因此将基础信息网络、门户网站、邮件、财务等重要信息系统定为一级,以逃避备案、测评。

针对这种情况,股份公司按照《信息系统安全等级保护区域划分原则与定级指南》,对信息系统定级进行规范,并对定为一级、二级的信息系统进行重点检查,避免定级不准确。

(2)信息系统数量准确性。部分单位在实施等保工作时,上报的信息系统数量小于实际建设数量。因此,在实际操作中,本考核项的分母“信息系统数”以该单位编制信息化项目预算时上报的信息系统数量为准。

(3)需提供加盖本单位公章的《定级报告》扫描件。

3.3 等保备案率

考核年度在建至验收投入应用各阶段的信息系统数与历年上报的备案证书不重复累计数之比。

指标要点

(1)备案公安机关的选择。针对部分单位未根据国家法律法规选择合适公安机关备案的情况,股份公司在的《信息系统安全等级保护管理办法》中规定:股份公司统建系统,三级及以上系统向公安部网络安全保卫局备案、二级系统向北京市公安局铁道建筑公安局备案;驻京单位自建信息系统向北京市公安局铁道建筑公安局备案;京外单位自建信息系统向当地市级及以上公安机关备案。

(2)等保备案率的确定。等保备案率中的分母“信息系统数”,指的是该单位编制信息化项目预算时上报的信息系统数量,并非已定级的信息系统数量。

(3)需提供公安机关出具的《备案证明》扫描件。

3.4 等保测评通过率

历年上报的定级备案证书不重复累计数与历年测评通过的信息系统不重复累计数之比。

指标要点

(1)测评报告符合率。为防止部分单位将工作精力侧重于取得测评报告,而忽视了对测评中反映出的安全问题的整改,在实际工作中,重点对测评不符合率较高的信息系统进行抽查,责令单位定期进行整改。

(2)需提供合格测评机构出具的加盖测评机构公章的《安全等级测评报告》扫描件。

4 考核权重

4.1 信息安全事件

附加分项,最高减K分。出现一次I级信息安全事件、减K分;出现一次级信息安全事件、减K/2分,最多减K分。

4.2 等保定级率

基本分项,满分K分。考核年度在建至验收投入应用各阶段的信息系统数为A,历年上报的定级报告不重复累计数为B,定级率M=B/A,平均定级率∑M=∑B/∑A。定级率得分S=min{(M/∑M)×K,K}。

4.3 等保备案率

基本分项,满分K分。考核年度在建至验收投入应用各阶段的信息系统数为A,历年上报的备案证书不重复累计数为C,备案率M=C/A,平均备案率∑M=∑C/∑A。备案率得分S=min{(M/∑M)×K,K}。

4.4 等保通过率

基本分项,满分K分。历年上报的定级备案证书不重复累计数为C,历年测评通过的信息系统不重复累计数为D,测评通过率M=D/C,平均测评通过率∑M=∑D/∑C。测评通过率得分S=min{(M/∑M)×K,K}。

5 指标计算

考核指标项分基本分项、附加分项两类。以本单位基本分项满分(Ai)为基数,用实际得分(Bi)计算其得分率(Mi=Bi/Ai),除以最高得分率(Mmax),再乘以信息安全工作绩效指标分(C),即为信息安全工作考核实际得分(Si=C×Mi/Mmax)。

6 结束语

本文对中国铁建将信息安全指标纳入信息化绩效评价体系进行了概述, 提出了综合评价的方法,希望能借以推进本企业信息安全工作的开展,提高信息系统的安全性,并切实将国家法律法规落到实处。从实际执行效果看,已经取得了一定的成效。

参考文献

[1] GB/T 22239―2008,信息系统安全等级保护基本要求.

[2] GB 17859-1999,安全等级保护划分准则.

[3] GB/T 22240―2008,信息系统安全保护等级定级指南.

篇7

关键词:信息安全;风险评估;教学

信息安全风险评估是进行信息安全管理的重要依据,通过对信息系统进行系统的风险分析和评估,发现存在的安全问题并提出相应的措施,这对于保护和管理信息系统至关重要。目前国内外都高度重视信息安全风险评估工作。美国政府2002年颁布《联邦信息安全管理法》,对信息安全风险评估提出了具体的要求;欧盟国家也把开展信息安全风险评估作为提高信息安全保障水平的重要手段;2003年7月23日,国家信息中心组建成立“信息安全风险评估课题组”,提出了我国开展信息安全风险评估的对策和办法。2004年,国务院信息办研究制订了《信息安全风险评估指南》和《信息安全风险管理指南》两个风险评估的标准;2006年又起草了《关于开展信息安全风险评估工作的意见》[1]。这些工作都对信息安全人才的培养提出了更高的要求,同时也为《信息安全风险评估》课程的开设和讲授提供了必要的基础和条件。《信息安全风险评估》课程教学,是信息安全专业一门重要的专业课程,能全面培养学生综合运用专业知识,评估并解决信息系统安全问题的能力,是培养符合国家和社会需要的信息安全专业人才的重要课程之一。《信息安全风险评估》课程本身的理论性与实践性都很强,课程发展十分迅速,涉及的学科范围也较广,传统的教学的模式不能使该课程的特点很好地展示出来,无法适应社会经济发展对信息安全从业人员的新要求,教学改革势在必行。

一、现状与存在的问题

信息安全风险评估是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的安全威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。它涉及信息系统的社会行为、管理行为、物理行为、逻辑行为等的保密性、完整性和可用性检测。风险评估的结果可以作为信息安全风险管理的指南,用来确定合适的管理方针和选择相应的控制措施来保护信息资产,全面提高信息安全保障能力[2]。自2001年信息安全专业建立以来,高校在制订本科专业教学培养目标和教学计划时,侧重于具体安全理论和技术的教学和讲授,特别是重点强调了密码学、防火墙、入侵检测、网络安全等安全理论与技术的传授。从目前高校的教学内容看,多数侧重于对“信息风险管理”、“风险识别”、“风险评估”和“风险控制”等基本内容的介绍上,而且教学课时数也较少,只有十个学时。当前从《信息安全风险评估》课程的教学情况来看,该课程在信息安全教育教学过程中地位有待提高,实践教学的建设与研究迫切需要深化。

当前该课程的教学实践中普遍存在以下几个方面的问题,严重制约了《信息安全风险评估》课程教学质量的提高:

1.本科教学大都以理论内容为主体,实验和课程设计的学时安排较少。一般高校的《信息安全风险评估》课程主要以理论内容的讲授为主,实验和课程设计的学时较少,实验内容也大多属于验证性质,缺少具有研究和探索性质的信息安全风险评估实践内容和课程设计;

2.教学方法单一,缺乏激励学生求知欲的教学方法和手段。当前开设《信息安全风险评估》课程的高校还较少,师资力量相对薄弱,教学经验也比较缺乏,仍以主要由教师讲述的传统教学方式为主,学生进行具体实践和操作的课时较少,缺乏创新性的教学和研究,基本没有具有探索性和创新性特点的教学内容,不利于发挥学生主观能动性,提高其创新能力;

3.实验环境无法满足教学需求,缺乏专业的信息安全风险评估师资。我国信息安全风险评估的研究和教学工作起步晚,缺乏相关的实验设备;而且受到资金和专业发展等多方面因素的制约,难以设立专门的信息安全风险评估实验室。此外,信息安全风险评估是以计算机技术为核心,涉及管理科学、安全技术、通信和信息工程等多个学科,对于理论和实践要求都很高。这就要求教师既要学习好各学科的基本知识,又要加强实践训练。

二、教学改革与探索

高校计算机相关专业开设《信息安全风险评估》课程,不是培养网络信息安全方面的全才或战略人才,而是培养在实际生活和工作中确实能解决某些具体安全问题的实用型人才。针对《信息安全风险评估》课程的特点和教学中存在的不足,我们从以下几个方面对该课程的教学改革进行了探索:

1.重新确立课程培养目标。①重点培养学生分析和评估信息安全问题的能力:《信息安全风险评估》课程是一门理论性和实践性紧密结合的课程,目前开设该课程的高校较少,各学校的教学内容也多种多样。该课程的教学目标即要培养学生发现信息系统存在的安全风险,同时也需要培养他们科学地提出解决安全隐患的方案及能力。如何提高学生分析和评估信息安全问题的能力是该课程教学的首要目标。②培养学生实际操作的能力:信息安全风险评估的关键是对信息系统的资产进行分类,对其风险的识别、估计和评价做出全面的、综合的分析。这就要求学生熟练地掌握目标对象的检测和评估方法,包括使用各种自动化和半自动化的工具,可在模拟实验里,通过不断地训练实现。③培养学生继续学习、勇于探索创新的能力:随着信息化的不断发展,信息系统所面临的安全威胁急剧增加,为此各国政府都不断提出和完善了各类信息安全测评标准。这就要求我们在教学中不断地学习、理解和解释最新的国际、国内以及相关的行业标准,培养和提高学生继续学习的能力。另外,《信息安全风险评估》课程也要求通过课堂教学、课后练习、实验验证和考试、考查等教学环节培养学生独力分析信息系统安全的能力,培养学生对信息安全风险评估领域进行探索和研究的兴趣,最终使学生掌握信息安全风险评估的知识和技能,能够解决具体信息系统的安全问题。

2.增加信息安全风险评估理论和相关标准的教学。信息安全测评标准和相关法律法规是进行信息系统安全风险评估的依据和保障。2006年由原国信办《关于开展信息安全风险评估工作的意见》(国信办2006年5号文);同时,随着信息安全等级保护制度的推行,公安部会同有关部门出台了一系列政策文件,主要包括:《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》等;国家信息安全标准化委员会颁发了《信息安全风险评估规范》(GB/T 20984~2007)、《信息系统安全等级保护基本要求》(GB/T 22239-2008)等多个国家标准[3]。为了保证《信息安全风险评估》课程目标的实现,我们在教学过程中,增加了《GB/T20984-2007信息安全技术信息安全风险评估规范》、《GB/Z24364-2009信息安全风险管理指南》、《GB/T

22080-2008信息安全管理体系要求》、《GB/T22081-

2008信息安全管理实用规则》、《GB/T20269-2006信息系统安全管理要求》、《GB/T25063-2010?摇信息安全技术服务器安全测评要求》、《GB/T 20010-2005信息安全技术包过滤防火墙评估准则》、《GB/T20011-2005信息安全技术路由器安全评估准则》、《GA/T 672-2006信息安全技术终端计算机系统安全等级评估准则》、《GA/T 712-2007信息安全技术应用软件系统安全等级保护通用测试指南》等相关评估标准和指南的学习,并编制相关的调查、检查、测试表,重点强调对脆弱性检测的理论依据的描述,检测方法及其步骤的详细记录。

3.利用各种测评工具,提高学生实践能力。在信息安全风险评估过程中,资产赋值、威胁量化分析、安全模型的建立等环节的教学和实践对教师和学生都提出了较高的专业课程要求。我们在《信息安全风险评估》课程实践中通过使用风险评估工具,并对具体的信息系统进行自动化或半自动化的分析,加深了学生信息安全风险评估的理论知识理解,同时注重培养学生动手实践能力和探索新知识的能力。我们增加了主动型风险评估工具Tenable扫描门户网站系统的实践性教学内容。通过评估,该系统的服务器存在感染病毒的症状,其原因是服务器存在特定漏洞。为此我们使用漏洞扫描器对该服务器进行扫描,发现了“远程代码被执行”漏洞,而且该漏洞能被蠕虫病毒利用,形成针对系统的攻击。通过案例特征提供了的信息,培养学生使用测评工具对具体信息系统进行安全风险评估的能力,并进一步使其认识到主动型评估工具是信息安全风险评估中快速了解目标系统安全状况不可或缺的重要手段。

笔者结合自己的教学实践体会,论述了当前《信息安全风险评估》课程中存在的问题以及解决对策。《信息安全风险评估》课程教学改革和建设是一个长期的、系统化的工程,需要不断地根据信息系统在新环境下面临的各种威胁,制定新的评估标准和评估方案,并使得学生在有限的时间和环境下掌握相应的知识和技能,以满足社会对信息安全人才的需求。

参考文献:

[1]付沙.加强信息安全风险评估工作的研究[J].微型电脑应用,2010,26(8):6-8.

[2]杨春晖,张昊,王勇.信息安全风险评估及辅助工具应用[J].信息安全与通信保密,2007,(12):75-77.

[3]潘平,杨平,罗东梅,何朝霞.信息系统安全风险检查评估实践教学探讨[C]// Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security(NTS-CIS 2011),2011,(8).

篇8

关键词:等级保护;三级信息系统;系统设计

现如今各方面竞争都尤为激烈,信息资源已然成为战略资源中最关键的构成部分,此时以等级保护三级信息系统设计与实现为例的技术研究,就必须要尽快提上日程,这也是信息安全管理与保护水平获得提升的必要途径。

1信息系统安全等级保护的概念

信息系统安全等级保护是我国信息安全保障工作的基本制度和方法,是我国多年来信息安全工作经验的总结。根据相关法律政策规定,我国制定了一系列信息安全管理办法,为信息安全保护工作的开展提供了法律、政策、标准依据。作为国家统一制定并的标准,《信息系统安全等级保护基本要求》中明确指出,应将信息系统的重要程度作为根据,将保护工作有针对性的合理安排下去,并且应对信息系统展开相应的保护,国家也需对各等级的信息系统,制定强度适中的监督管理计划[1]。

2等保三级的设计要求

2.1安全计算环境设计

本文主要从以下几方面来论述安全计算环境设计。首先是身份鉴别,这是达到三级安全要求的首要前提,需从用户标识与用户鉴别这两方面来明确安全机制。用户标识安全机制简单来讲,就是用系统中每位用户注册时填写的用户标识,来对用户身份进行标注,同时需保证生存周期内用户标识不能出现重复;而后者则指用户在每次登录系统的时候,通过安全管理中心控制下的口令、生物特征以及安全强度达标的组合机制,展开的对用户身份的鉴别,且鉴22别后会保护好生成数据的私密性与完整性。其次是标记和强制访问控制。系统需针对安全管理员,展开严格的身份鉴别与权限控制,并且赋予其主体与客体安全标记的权利。在强制访问控制之下,技术人员应将重点放在全部主体与客体标机信息的一致性上,且强制访问控制规则也应该同样落实。最后是安全计算环境的严格审计。系统应对安全事件有明确且完整的记录,且一般来讲,安全事件的主体、客体、类型、出现节点、后果等,都应纳入安全事件记录的总体范畴。与此同时,审计记录还应通过分析、分类等环节,向系统中存储保护。技术人员还应为安全管理中心提供接口,如果某些安全事件系统无法自行解决,则应基于授权主体调用要求创设接口。

2.2安全通信网络设计

安全通信网络设计工作,基本上都是以通信网络的保密要求为基点展开的,通常情况下,网络加密技术能满足等保三级中涉及的全部要求,技术人员可通过对VPN技术的合理运用,达成保护通信网络与数据的目的[2-3]。

2.3安全管理中心设计

(1)系统管理等级保护三级对系统的要求,主要体现在系统管理员的身份鉴别与授权上,管理员一般情况下只有特定界面与系统访问的权利。系统管理员大致可以划分成网络、主机以及存储管理这几种,网络管理员的主要职责在于配置网络设备;主机管理的配置服务则主要针对服务器展开;存储管理员需做好存储设备的维护与管理工作[4]。(2)安全管理等保三级在管理员身份鉴别与授权方面的要求也格外严格。虽说安全管理员的工作并不复杂,通常只涉及安全设备管理,但因为安全设备是覆盖到计算系统各方面的,所以安全管理员的专业水平、工作状态以及综合素质等,都需要得到足够的重视。现阶段,安全设备基本上都有log记录功能,可用于授权管理的接口使用也很方便。(3)审计管理安全审计员也应接受严格的身份鉴别和管理,由于其在工作中会接触多种设备,所以对其行为的控制也要得到充分保证。

3等保三级的实现设计策略

(1)安全计算环境建设首先,在安全计算环境设计的过程中,多因子身份认证系统的应用绝对是重中之重,经实践证明,如果能确保此身份认证系统的合理应用,则等保三级中要求的用户身份鉴别、强制访问以及自主访问控制等要求均能得到满足。除此之外,此系统还能有效控制访问的过程,从而在最大程度上确保访问的有效性。其次,敏感数据保护系统在我国出现与应用的时间虽然并不长,但在文件驱动管理方面的优势却非常显著,例如稳定性与可靠性强等,但同时此系统的缺陷与弊端也不能忽视,因为其对操作系统平台的依赖度过强,导致操作系统中的数据私密性与完整性很难被保护。现阶段,也有很多国内企业通过国际先进技术,来保护存于操作系统内部的数据,但其稳定性与实际效果仍有待观察,所以就目前的要求来看,敏感数据保护系统已然可以达到等保三级对用户数据及客体安全保护的标准和要求[5]。(2)安全区域边界建设防火墙、入侵检测设备以及防病毒网关,即为现如今等保三级系统中内外部网络保护系统的主要构成部分。第一,防火墙中只有必要的服务端才会开放,如果有相应的IDS在配置中,则技术人员必须将二者间的联动充分考虑在内,从而在系统受到攻击时能及时检测并且报警。第二,对于外部网络层的保护而言,入侵检测设备对攻击能发挥良好、稳定的分布式拒绝功能。第三,防病毒网关主要针对进入系统的数据信息,展开全面的防毒检测,它是预防病毒进入的最前线,对于安全区域边界建设而言,有着不能忽视的重要作用。但经实践证明,仅用防病毒网关来保护系统是远远不够的,还应将网络防病毒软件安装于终端,以确保对入侵病毒的实时查杀。此时相关人员还需明确意识到,部分国外的防毒软件在染毒文件无法有效杀毒时,通常会选择采取保守策略,即只对病毒给出警告或把染毒文件移动到保护区;而国内大多数的防毒软件则基本上会直接将文件删除。在染毒文件尤为重要的情况下,这两种方法都可能会为用户带来不可逆转的损失,因此,我们可以采取结合杀毒软件与终端管理软件的方法,确保染毒文件能向相应病毒服务器的制定目录中移动,从而由安全管理员展开接下来的人工处理[6]。作为不同网络安全域间的访问控制设备,安全区域边界防护系统通常都以安全计算环境边界为主要设置点,其会以安全标记过滤与管理标准为根据,实现对数据包与访问的有效过滤、检测并对网络攻击发出警报等功能。(3)安全通信网络建设实际上,一台可正常运行的VP设备,就能满足安全通信网络的基本要求。具体来讲,在外部终端需访问内部网络资源的时候,SSLVPN的效果更加显著;若出现分支机构的现象,则利用VPN设备的加速功能,也能促进网络传输效率的大幅度提升;从技术成熟度的角度上来看,IPSecVPN略胜一筹,但其配置的复杂性较强,实际使用也远比不过SSLVPN的便捷性[6]。除此之外,在等级保护三级的要求下,技术人员必须开放VPN数据校验与系统审计的功能。(4)安全管理中心建设就等级保护三级系统中安全管理中心的建设而言,很多厂家的SOC产品安全管理平台产品,设计与配置都是以ITIL规范为根据展开的,但目前能将规范中全部要求一一满足的厂家几乎没有。与此同时,只有少部分的合作伙伴才能接触到安全产品,产品大量生产及统一管理的目的很难达成,经过相应的分析与研究可知,此问题主要是安全产品并未严格遵循规范导致的。因此,为同时满足等保三级的要求与实际使用需求,我们应基于多个产品来建设安全管理中心,确保其各项功能均能发挥应有的重要作用,也为各被管理系统中管理工具与数据的高效融合提供更高程度的保证。具体来讲,技术人员可按照要求选择多个产品,这样即使在权限不同的情况下,系统级别划分工作也不会受到影响;同时各部分的管理人员也应分别配置,从而使管理规范能充分发挥其约束作用。在各项管理工具获取到相应信息之后,技术人员即可进行最终的数据整合工作,一般情况下,需要进行数据整合的产品数量很多,尤其被广泛应用于ERP系统里,并且最终用于企业领导层的重大决策。实际上,一般企业都能接受此价位,价格也能够为一般企业所接受,只是传统方案设计中并未考虑过产品在安全管理中心建设中的使用,现如今只通过对数据整合工具的利用,即能实现对多个管理工具间的信息互通[7]。

篇9

随着军队物资采购机构信息化建设的不断推进,信息系统已经成为当前采办系统的核心组成部分。信息安全风险直接影响到军队物资采购系统为军队用户提供服务和对各类供应商等采购实体进行管理的能力。在关键时刻,个别重大的信息系统发生故障或瘫痪,往往会给整个军队后勤保障带来不可挽回的损失和影响,从而给整个军队建设和国防事业带来损失。

当前,军队物资采购系统根据总后关于信息化建设的精神,建立了依托干军队内部的指挥自动化网、军队综合信息网等内部指挥控制网络、办公网络、业务管理网络等信息服务和指挥网络,为军队采购管理单位、采购业务单位、科研和教学单位、军内终端客户提供广泛的信息服务。

实施信息安全管理,不仅能够有效地提高信息系统的安全性、完整性、可用性以及对相关应急采购任务的快速反应能力,同时也是保障军队物资采购系统科学发展,为军队提供最优保障力的重要手段。

一、军队物资采购信息安全风险

在军队物资采购活动中,存在各种各样的风险,都对采办的结果产生不同程度的影响。根据风险产生对象的不同,将风险分为人为风险、系统风险、数据风险等三个方面。

(一)人为风险。

人是信息安全最主要的风险因素,不适当的信息系统授权,会导致未经授权的人获取不适当的信息。采购人员的操作失误或疏忽会导致信息系统的错误动作或产生垃圾信息;违规篡改数据、修改系统时间、修改系统配置、违规导入或删除信息系统的数据,可能导致各种重大采购事故的发生。有令不行、有禁不止等人为因素形成的风险,是军队物资采购信息安全的最大风险。

(二)系统风险。

系统风险包括系统开发风险和系统运行风险。在采购项目开发过程中没有考虑到必要的信息系统安全设计,或安全设计存在缺陷,都会导致采办信息系统安全免疫能力不足。没有完善、严格的生产系统运行管理体制,会导致机房管理、口令管理、授权管理、用户管理、服务器管理、网络管理、备份管理、病毒管理等方面出现问题,轻则产生垃圾信息,重则发生系统中断、信息被非法获取。

当前的采购信息系统已是一个庞大的网络化系统,在网络内存在众多的中小型机、服务器、前置机、路由器、终端设备,也包括数据库、操作系统、中间件、应用系统等软件系统。网络系统中的任何一个环节都有可能出现故障,一旦出现故障便有可能造成系统中断,影响业务正常运作。同时,由于自然灾害、战争等突发事件造成的系统崩溃、数据载体不可修复性损失等等,都能够给采购信息系统带来很大的影响。

(三)数据风险。

数据是信息的载体,也是军队物资采购系统最重要的资产。对数据的存储、处理、获取、和共享均需要有一套完整的流程和审批制度,没有健全的数据管理制度,便存在导致数据信息泄露的风险。

二、军队物资采购信息安全的内容

通过对信息安全定义的查询,可以看到其是根据不同的环境情况各自不同的。在相对受到专业影响较小的国际标准ISOl7799信息安全标准中,信息安全是指:使信息避免一系列威胁,保障商务的连续性,尽量减少业务损失,从而最大限度地获取投资和商务的回报。

对于军队物资采购系统,信息安全管理则应该坚持系统和全局的观念,基于平战结合、立足应急保障的思想,指导组织建立安全管理体系。通过系统、全面、科学的安全风险评估,体现“积极预防、综合防范”的方针,强调遵守国家有关信息安全的法律法规及其他合同方要求,透过全过程和动态控制,本着控制费用与风险平衡的原则,合理选择安全控制方式,保护组织所拥有的关键信息资产,使信息风险的发生概率降低到可接受的水平,确保信息的保密性、完整性和可用性,保持组织业务运作的持续性。

(一)保密性。

信息安全的保密性,在确保遵守军队保密守则规定的前提下,确保信息仅可让授权获取的相关人员访问。结合当前的状况,军队物资采购系统的信息安全保密应当做熟严格分岗授权制衡机制,杜绝不相容岗位兼岗现象;严格用户管理和授权管理,防止非法用户,用户冗余和用户授权不当;加强密码管理,防止不设口令或者口令过于简熟加强病毒防范管理,防范病毒损氰控制访问信息,组织非法访问信息系统确保对外网络服务得到保护,阴止非法访问网络;检测非法行为,防范道德风险;保证在使用移动电脑和远程网络设备时的信息安全,防止非法攻击。

(二)完备性。

信息安全的完备性,是指信息准确和具备完善的处理方法。具体要求是:严格采购业务流程管理,确保采购业务流程与采购信息系统操作流程完备一熟严格控制生产系统数据修改,防止数据丢失。防止不正确修改,减少误操作;严格数据管理,确保数据得到完整积累与保全,使系统数据能够真实、完整地反映采购业务信息;严格按照军队关于物资采购规定和要求操作,减少或杜绝非标业务。避免任何违反法令、法规、合同约定及易导致业务信息与数据信息不一致、不完整的行为。

(三)可用性。

信息安全的可用性,要求确保被授权人可以获取所需信息。具体要求是:加强生产系统运行管理,确保生产系统安全、稳定、可靠运行;加强生产机房建设与管理,保障机房工作环境所必需的湿度、温度、电源、防火、防水、防静电、防雷、限制进人等要求,减少安全隐患;加强生产系统日常检查管理,及早发现故障苗头;加强系统备份,防止数据损失;严格生产系统时间管理,禁止随意修改生产系统时间;保障系统持续运标实施灾难备份,防止关键业务处理在灾难发生时受到影响。

三、军队物资采购信息安全管理

(一)信息安全机构。

军队物资采购系统应分出专人专职来负责信息安全管理工作,并协同上级业务管理单位制定信息安全管理制度和工作程序,设定安全等级,评估安全风险程度,落实防范措施方案,提出内控体系整改方案与措施,监督和评估信息安全管理成效。在与上级总部和军区、军兵种物油部管理机构之间还要有一个快速响应的信息安全事故收集、汇总、处理及反馈体系。

(二)信息安全管理制度与策略。

信息安全管理制度应针对军队物资采购系统现状与发展方向来制定,要充分考虑可操作性。现阶段可根据“积极防御、综合防范”的方针,制定内部网、OA网、外部网的管理办法,明确用户的访问权限。制定生产系统运行管理办法。严格实行分岗制衡、分级授权,严格执行生产系统时间管理、备份管理、数据管理和口令管理。

(三)信息安全分级管理。

信息安全分级管理,是将信息资源根据重要性进行分级,对不同级别的信息资产采用不同级别信息安全保护措施,国家已将信息安全等级保护监督划分为五个级别,分别为自主性保护、指导性保护、专控性保护。

军队物资采购系统可以结合实际情况,将信息资产分为“三级”或“五级”保护,目的在于突出重点,抓住关键,兼顾一般,合理保护。分级管理的方法是分析危险源或危险点,评估其重要性,再分设等级,从而采取不同的保护措施。比如,对于采购机构业务机房,可采取门禁与限制进入等方式进行保护;针对采购中相关数据的提供,可设计一定的审判流程,根据数据的重要程度,分为公开信息、优先共享信息、内部一般信息、内部控制信息、内部关键信息和内部核心信息,实施严格的授权控制;对于信息安全事故,可分为重大事故、一般事故、轻微事故等,采取不同的处置方案。

(四)信息安全集中监控与处置。

设立集中运行的信息安全监控处置中心,及时监控、发现安全事故,做到响应快速、处置果断,并实施应急恢复。结合军队物资采购系统当前实际情况,可对网络、服务器等运行设备进行集中监控,开展服务器容量管理、网络流量监控;对应用系统采取防范与监控相结合的方式,对信息系统的数据设置校验码,防止非法修改;在开发应用系统的同时,还应开发相应的审计检查监控程序,由各单位分别运行和维护,由上级采购管理机构定期查验和监督,及时发现数据信息存在的风险。

四、信息安全管理系统

实现信息安全管理的集中运行,需借助信息安全管理系统。各军队采购机构和部门可以按照上级下达的统一标准,构建基于同一操作平台的信息安全管理系统,帮助安全管理中心实现系统的监控、分析、预警等功能,实现信息安全事故处理的收集、存储、分析等功能,及时对信息风险作出反馈。

(一)监控功能。

为采办机构和部门的相关信息处理和传输设备配置专人管理,并设置机房日志管理、服务器性能日志管理、服务器容量日志管理、数据修改日志管理、流量监控日志等功能,酌情设置数据检测结果日志管理功能。通过对存储、传输和删改的操作进行管理,达到监督控制的目的。

(二)处理功能.

根据采办单位所在环境和情况,自主设置安全事故报告、响应、处置等采办信息管理功能,对于高级别信息,也可以采用每天零报告措施。通过信息处理的简化、优化和快速反应,提高信息安全保障能力,从而保证军队采购的正常进行。

(三)安全等级管理功能。

针对采办单位自身特点,设置信息资产、危险源、危险点定义与分级功能,对于不同级别的信息安全危机设定不同的保护等级,并采取不同的保护措施、监控措施、事故响应与处置措施,保证系统的稳定性和完好性。

篇10

关键词:等级保护分级管理;中小型网络;安全建设

中图分类号:TP309文献标识码:A文章编号:1007-9599 (2011) 24-0000-01

SMs Network Security Building Analysis in Level Protection Hierarchical Management

Xu Aihua,Lv Yun

(Nanjing Institute of Science& Technology Information,Nanjing 210018)

Abstract:This article based on "communications network security management approach"in the basic situation of small and medium sized networks and applications based on the analysis of the characteristics on small and medium sized network construction and management of network security solutions.

Keywords:Level protection classification management;Small network;

Security building

一、工信部关于等级保护分级管理的要求

如何利用等级保护中分级管理制度,确定不同的系统不同的安全策略,消除内部网向公网传送的信息可能被他人窃听或篡改等等安全隐患,对中小网络而言至关重要。为此,自2010年3月1日起,工业和信息化部了《通信网络安全防护管理办法》(以下简称《办法》)开始施行。《办法》要求通信网络运行单位应按照各通信网络单元遭到破坏后可能造成的危害程度,将本单位已正式投入运行的通信网络单元由低到高分别划分为一级、二级、三级、四级、五级。《办法》要求,通信网络运行单位应当在通信网络定级评审通过后三十日内,将通信网络单元的划分和定级情况按照有关规定向电信管理机构备案。电信管理机构对通信网络运行单位开展通信网络安全防护工作的情况进行检查。

二、中小型网络基本情况与应用特点

中小型计算机网络主要应用于办公自动化系统、信息查询系统、邮件服务、财务、人事、计划系统等实际工作和WWW应用中。根据中小型计算机网络的应用特点,需要保证网络中的数据具有可用性、可靠性、保密性、完整性、安全性等。又由于计算机网络跨越公共网络及与Internet网互联,这就给计算机网络带来严峻的安全问题,如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。这些安全问题如果得不到解决,那将会给计算机网络带来严重的安全隐患。所谓可用性是指网络信息可被授权用户访问的特性,即网络信息服务在需要时,能够保证授权用户使用。可靠性是指网络系统硬件和软件无故障运行的性能,是网络系统安全最基本的要求;保密性是指网络信息不被泄露的特性,保密性是保证信息即使泄露,非授权用户在有限的时间内也不能识别真正的信息内容;完整性即网络信息在存储和传输过程中不被删除、修改、伪造、乱序、重放和插入等操作,是指网络信息未经授权不能进行改变的特性,也称作不可否认性。从技术角度看,网络安全的内容大体包括四个方面,即:网络实体安全、软件安全网络数据安全和网络安全管理。由此可见,计算机网络安全不仅要保护计算机网络设备安全,还要保护数据安全。因此实施网络安全保护方案,目的是以保证算机网络自身的安全。

三、中小型网络安全解决方案

随着网络威胁越来越普遍、破坏性越来越严重,网络入侵者攻击来源广泛,形式多样。通常采用信息收集、探测分析系统的安全弱点和实施攻击有步骤地进行入侵。如在目标系统安装木马程序用来窥探目标,网络所熟悉的病毒,如红色代码、冲击波,口令蠕虫等对网络造成了巨大损失。本文按照安全风险、需求分析结果、安全目标及安全设计原则,为中小型计算机网络解决网络安全问题,力求构建一个适合于中小型计算机网络的安全体系。

(一)外网安全设计

1.防火墙系统:采用防火墙系统实现对内部网和广域网进行隔离保护。对内部网络中服务器子网通过单独的防火墙设备进行保护。

2.入侵检测系统:采用入侵检测设备,作为防火墙的功能互补,提供对监控网段的攻击的实时报警和积极响应。

3.病毒防护系统:强化病毒防护系统的应用策略和管理策略,增强病毒防护有效性。

4.垃圾邮件过滤系统:过滤邮件,阻止垃圾邮件及病毒邮件的入侵。

(二)内网安全设计

采用访问控制策略,通过密码、口令(不定期修改、定期保存密码与口令)等禁止非授权用户对服务器的访问,以及对办公自动化平台、的访问和管理、用户身份真实性的验证、内部用户访问权限设置、ARP病毒的防御、数据完整、审计记录、防病毒入侵。对内部采用:网络管理软件系统:使网管人员对网络中的实时数据流量情况能够清晰了解。掌握整个网络使用流量的平均标准,定位网络流量的基线,及时发现网络是否出现异常流量并控制带宽。

具体可采用Juniper的整合式安全设备+三层交换机的配置方案。Juniper的整合式安全设备专为互联网网络安全而设,将硬件状态防火墙、虚拟专用网(IP sec VPN)、入侵防护(IPS)和流量管理等多种安全功能集于一体,可以通过内置的Web UI、命令行界面或中央管理方案进行统一管理。

三层交换机具用于日志审计及监控。根据不同用户安全级别或者根据不同部门的安全访问需求,网络利用三层交换机来划分虚拟子网(VLAN)。因为三层交换机具有路由功能,在没有配置路由的情况下,不同虚拟子网间是不能够互相访问,同时通过在不同VLAN间做限制来实现不同资源的访问控制。通过虚拟子网的划分,既方便局域网络的互联,又能够实现访问控制。

四、结束语

总之,我们必须不断强化信息安全观念,加强网络与信息系统安全保障工作的检查和监督,充分利用《通信网络安全防护管理办法》关于安全等级划分的要求制定具体的信息安全防护策略,全面落实各项制度、预案,加强技术积累,定期进行网络漏洞扫描等安全有效措施,切实加强网络与信息系统安全保障工作,确保中小型网络信息系统的安全稳定运行。

参考文献: