信息安全等级保护办法范文

时间:2024-03-04 18:06:35

导语:如何才能写好一篇信息安全等级保护办法,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

信息安全等级保护办法

篇1

一、指导思想

信息安全等级保护制度是全区信息安全保障工作的一项基本制度,实施信息安全等级保护是社会信息化进程中的一件大事,是维护国家基础信息网络和重要信息系统安全最直接、有效的措施。通过深化信息安全等级保护,全面推动重要信息系统安全整改和测评工作,增强信息系统安全保护的整体性、针对性和实效性,提高信息安全保障能力,维护国家安全、社会稳定和公共利益,保障和促进信息化建设。

二、组织领导

成立区信息安全等级保护工作领导小组。由区政府副区长李彦侠担任组长,区政府电子政务办、公安分局、区国家保密局为成员单位,领导小组下设办公室,办公室设在公安分局网监大队,由网监大队大队长韩迎飞兼任领导小组办公室主任,具体负责日常事务。

三、职责分工

公安分局负责信息安全等级保护工作的监督、检查、指导。区国家保密局负责等级保护工作中有关保密工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。区政府电子政务办负责等级保护工作部门间的协调工作。

四、工作目标

通过开展信息安全等级保护工作,使全区重要信息系统能够全面进行准确定级和审核备案,建立健全信息安全等级保护职能部门、行业主管部门、信息系统运营使用单位渠道畅通、责任明确、运作协调、通力合作的信息系统安全等级保护工作机制。

五、定级范围

(一)基础信息网络、互联网接入服务单位、互联网数据中心、大型互联网信息服务单位重要信息系统。

(二)铁路、银行、海关、税务、民航、电力、证劵、保险、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、卫生、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。

主要单位包括:区法院、区检察院、公安分局、区科协、区教育局、区住建局、区农业局、区卫生局、区计生局、区商务局、区工业办、区果业局、国土分局、国税分局、环保分局、工商分局、区人才交流中心。

(三)党政机关的重要网站和办公信息系统。

(四)涉及国家秘密的信息系统。

(五)其它重要信息系统。

六、工作内容

(一)开展信息系统基本情况的摸底调查。区信息安全等级保护工作领导小组对全区各行业、各单位所属信息系统进行摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《信息安全等级保护管理办法》的要求,确定定级对象。

(二)召开区信息安全等级保护工作会议。召集全区信息系统运营使用单位或主管部门召开一次专门的会议,在会议上宣布信息安全等级保护工作的相关情况,并印发《信息系统安全等级保护备案表》,要求信息系统运营使用单位或主管部门在规定的时间内报送到领导小组办公室。

(三)备案。根据《信息安全等级保护管理办法》,信息系统运营使用单位或主管部门持《信息系统安全等级保护备案表》及相关手续到网监大队办理备案手续,提交有关备案材料。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,向市公安局网安支队备案。信息系统建设使用单位依据《信息安全等级保护管理办法》和国家保密局的有关规定,按照属地管理原则,地方单位的信息系统向所在地的区保密局备案。

(四)备案管理。信息系统备案后,网监大队对信息系统的备案情况进行审核,发现不符合《信息安全等级保护管理办法》及有关标准的,应当通知备案单位予以纠正。

(五)监督检查。区政府电子政务办、公安分局、区国家保密局等单位将从今年起联合对各重要信息系统行业主管部门、运营使用单位开展的等级保护工作进行监督、检查、整改,对拒不落实安全等级保护工作的单位,将依法予以严肃处理。

七、工作要求

(一)加强领导,落实保障。各行业主管部门、各重要信息系统运营使用单位要落实责任部门、责任人员,并于4月20日前将《信息系统安全等级保护备案表》及相关备案资料报送领导小组办公室备案,保障定级工作顺利进行。

(二)明确责任,密切配合。定级工作由区政府牵头,组织区政府电子政务办、公安分局、区国家保密局、共同实施。各单位必须各司其职,加强联系,切实做好重要信息系统的安全等级保护。

篇2

[关键词]政府行业;信息系统;等级保护;误区

doi:10.3969/j.issn.1673-0194.2013.02.040

[中图分类号]G203[文献标识码]A[文章编号]1673-0194(2012)24-0085-03

1 前言

等级保护原本是军事领域的安全保密体系,为了在计算机世界中实现这一体系,研究人员苦心奋斗多年。随着网络时代的到来,等级保护有了新的内涵:从保护对象上,不再局限于军事领域的大型主机,而是所有对国计民生有重要影响的信息系统;从实施的安全策略上,不再局限于军事安全保密规则,而是用于各种安全保护策略;从测评角度看,不再限于个别信息安全产品的静态测评,而是考查网络系统在实际运行中表现出的综合保护能力,是涵盖了架构、功能、管理和配置等各方面检查的全面、综合、动态的测评。一句话,等级保护逐步从一种技术思想发展为今天贯穿了信息安全保障各个工作环节的一个过程和一种制度。等级保护标准是等级保护思想进化历史的快照。各个标准的兴衰历史表明,标准必须与时俱进,跟得上用户的需求,才能得到有关各方(政府、用户与厂商等等)的积极响应,而只有得到积极响应的标准才能称得上有生命。

《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)规定,信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,是信息安全保障工作中国家意志的体现。

各级各类政府部门在推行信息安全等级保护工作的过程中,由于对相关政策和要求“吃不透”,在实施过程中出现了多种误读。本文旨在分析政府行业信息安全等级保护中存在的政策理解误区并提出相关建议。

2 国内信息安全等级保护实施现状

2.1 起源

中国早在1984年就开始收集国外等级保护的相关资料。1994年的《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)被视为中国实施等级保护的法律基础。2004年的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和2007年《信息安全等级保护管理办法》(公通字[2007]43号)等文件明确了等级保护的定位、基本内容、流程和工作要求以及相关部门的职责任务,为开展等级保护工作提供了规范保障。简单地说,中国实施等级保护的基本任务是:系统分等级保护、产品分等级管理、事件分等级处置。

随着《信息系统等级保护安全设计技术要求》(GB/T25070)的和实施,中国的等级保护国家标准和行业标准已有50多个,等级保护标准体系已初步形成。

2.2 实施现状

《信息安全等级保护管理办法》(公通字[2007]43号)(以下简称43号文件)和《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)的出台,标志我国信息安全等级保护工作进入实质的实施阶段。自从2007年6月份以来,全国范围内的重要系统普遍开展了信息安全等级保护工作,到目前为止,定级工作已经基本结束,将进入整改阶段。回顾我国的等级保护工作,可以看到两大成效,即定级保护的定级备案工作成效显著;各种政策标准体系日趋完善。

目前来看,定级工作已经圆满完成,接下来是建设和整改工作,之后进行一些等级测评工作,工作不断地暴露出一些问题和政策理解误区需要解决。

3 等级保护认识误区

不少部门和单位对等级保护的认识存在一定误区,较集中的问题是:等级保护的投资较高,对现有投资是一种浪费。用户经常会反映一些问题,历年来在安全建设方面已经进行了大量投资,现在建设等级保护是否要“推倒重来”。

对于是否要“推倒重来”,可以从两方面考虑:

(1)按照国家相关规定,三级以上网络不能采用国外产品。对于这种底线原则,应该毫不含糊地执行,而由此产生的重复投资,只能说明前期的安全建设没有遵循统一的标准。

(2)目前信息系统中存在着大量没有更新、升级,甚至淘汰落后的设备,通过等级保护的实施,需要对原有网络系统进行加固,重新购买某些产品的服务,这种投资不能称之为重复投资。

4 定级备案对象误区

4.1 定级范围

《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)规定了信息安全等级保护的定级范围,包括:

(1)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。

(2)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业,部门的生产、调度、管理、办公等重要信息系统。

(3)市(地)级以上党政机关的重要网站和办公信息系统。

(4)涉及国家秘密的信息系统。

4.2 定级对象确定误区

政府行业在实际开展信息安全等级保护定级过程中,由于没有对相关信息系统进行深入的定级对象分析,包括信息系统管理组织机构、业务应用、物理位置和运行环境等,经常会产生以下误区。

4.2.1 定级对象安全责任单位不明确

按照要求,作为定级对象的信息系统应能够唯一确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等工作,则这个下级单位可作为定级对象安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应当是这些下级单位共同所属的上级单位。

而在实际定级对象确定过程中,很多单位和部门存在着安全责任单位确定的随意性,例如对于一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,可能随意指定一家下属单位作为安全责任单位等情况,而其他下属单位认为该系统的安全责任单位并非自己,存在疏忽和大意的情况,导致在定级对象备案、测评、整改过程中产生很多低效率环节。

4.2.2 定级对象不具备信息系统的基本要素

按照要求,作为定级对象的信息系统应该是由相关的或配套的设施设备按照一定的应用目标和规则组合而成的有形实体。

而在实际定级对象确定过程中,则存在将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象的情况,这些单一的系统组件往往不具备信息系统的基本要求,因此不应作为定级对象。

4.2.3 定级对象业务应用不单一或不独立

按照要求,定级对象应承担单一或独立的业务应用,该业务应用的业务流程独立,与其他业务应用没有数据交换且独享所有信息处理设备。

而在实际定级对象确定过程中,有很多应用系统其实是作为其他业务应用系统的一个分支或一部分,而不属于(公信安[2007]861号)文件规定的定级范围。例如船舶过闸收费系统、水情信息监测系统等只是作为一套遥测或监控系统,本质上是为上层业务系统提供数据支撑或实时监控的,与其他业务应用会发生数据交换,不应单独作为定级对象。

5 等保级别确定误区

5.1 安全保护等级划分原则

《信息安全等级保护管理办法》(公通字[2007]43号)规定了信息系统的安全保护等级划分原则,见表1。

5.2 不同级别系统基本要求项的差异

按照要求,应根据“业务信息”和“系统服务”的需求确定整个系统的安全保护等级,不同级别的系统中,信息安全等级保护的基本要求有很大差异,对技术要求和管理要求的级别也不同,见表2。

5.3 定级误区

政府行业在实际开展等级保护定级过程中,经常会因为各种原因造成定级偏高或偏低的情况。

5.3.1 定级偏高

如果系统定级偏高,则会造成该信息系统信息安全过度保护,会增加技术安全防护费用,同时大量增加管理成本。信息系统的测评的频率和要求也相应提高,造成资源浪费。同时由于级别越高,系统的技术和管理要求越高,致使信息系统的易用性受到影响。总的来说,系统定级偏高,会形成“好钢没用在刀刃上”的后果。

5.3.2 定级偏低

如果系统定级偏低,则会造成该信息系统安全保护不到位,没有根据系统侵害客体以及侵害客体的实际情况确定系统保护等级,相应的技术防护水平和安全管理要求难以满足安全需求,且系统安全测评的频率和要求也随之降低。系统一旦发生安全问题,会形成管理部门的过度责任。

6 实施和测评误区

6.1 系统定级后就完成了等级保护

很多部门和单位认为系统完成了定级也就完成了等级保护。其实,完成等级保护定级工作并不是万事大吉,而是刚刚开始。套用一句广告词:“你才刚上路呢。”由于对政策的不理解,很多用户认为完成定级就是完成了等级保护。其实,自定级只是等级保护的入门工作。

涉及等级保护的相关文件已经明确提出系统的安全问题遵循“谁建设谁维护”的原则。安全本身是动态的,这就决定了等级保护是长期、持续性的工作。等级保护最大的推动力是每半年或一年一次的系统检查,检查将统一用户对等级保护建设的认识。

6.2 将安全测评等同于等级保护

在我国,目前主管部门安全认可的依据多数是系统安全测评的结果。主管部门根据系统测评结果判断,如果残余风险可以接受,则允许系统投入运行或继续运行,否则信息系统便没有达到特定安全等级的安全要求。没有最终的主管认可过程,等级保护无法落到实处。从这个意义上讲,进行等级保护建设、实施风险管理过程后的系统安全测评及行政认可是等级保护的落脚点。而不能认为系统做了安全测评就是完成了等级保护。

7 结语

当今的信息产业已经成为国民经济重要支柱之一,政府信息系统对于提高政府公共服务能力,建设责任政府、法制政府和服务政府提供着重要支撑和保障。同时,政府信息系统的安全性问题也越来越重要,必然成为我国开展信息系统安全等级保护的重点。在政府部门开展信息系统安全等级保护过程中,必须严格按照等保相关规定和文件的要求,深入剖析政策内涵,做到政策理解到位,定级范围合理,等保级别准确,实施过程完整,测评及时有效。

主要参考文献

[1]朱继锋,赵英杰,杨贺,等.等级保护思想的演化[J].信息安全与通信保密,2011(4).

[2]张戈.等级保护的三大误区[N].电脑商报,2008-03-03.

[3]中华人民共和国国务院.中华人民共和国计算机信息系统安全保护条例[S].1994.

篇3

[关键词] 信息等级保护概述;中国石油;等级保护建设

[中图分类号] TP391;X913.2 [文献标识码] A [文章编号] 1673 - 0194(2013)05- 0057- 02

1 信息等级保护制度概述

信息安全等级保护制度是国家信息安全保障工作的基本制度,是促进信息化健康发展的根本保障。其具体内容包括:①对国家秘密信息,法人和其他组织及公民的专有信息以及公开信息,存储、传输、处理这些信息的信息系统实行分等级安全保护、分等级监管;②对信息系统中使用的信息安全产品实行按等级管理;③对信息系统中发生的信息安全事件分等级响应、处置。信息安全等级保护配套政策体系及标准体系如图1、图2所示。

定条件的测评机构开展等级测评;④建设整改:备案单位根据信息系统安全等级,按照国家政策、标准开展安全建设整改;⑤检查:公安机关定期开展监督、检查、指导。

2 中国石油信息安全等级保护制度建设

中国石油信息化建设处于我国大型企业领先地位,在国资委历年信息化评比中都名列前茅。2007 年全国开展信息安全等级保护工作之后,中国石油认真贯彻国家信息安全等级保护制度各项要求,全面开展信息安全等级保护工作。逐步建成先进实用、完整可靠的信息安全体系,保障信息化建设和应用,支撑公司业务发展和总体战略的实施,使中国石油的信息安全保障能力显著提高。主要采取的措施有以下几个方面:

(1)以信息安全等级保护工作为契机 , 全面梳理业务系统并定级备案。中国石油根据国家信息安全等级保护制度要求,建立自上而下的工作组织体系,明确信息安全责任部门,对中国石油统一建设的应用系统进行等级保护定级和备案,通过制定《中国石油天然气集团公司重要信息系统安全等级保护定级实施暂行意见》,加强桌面安全、网络安全、身份认证等安全基础防护工作,加快开展重要信息系统的等级测评和安全建设整改工作,进一步提高信息系统的安全防御能力,提高系统的可用性和安全性。在全面组织开展信息系统等级保护定级备案工作之后,聘请专业测评机构,及时开展等级测评、安全检查和风险评估工作,并通过等级测评工作查找系统的不足和安全隐患,制订安全整改方案,开展安全整改和加固改造,保障信息系统持续安全稳定运行。

(2)以信息安全等级保护工作为抓手 , 全面推动中国石油信息安全体系建设。中国石油以信息安全等级保护工作为抓手,完善信息安全整体解决方案,建立技术保障体系、管理保障体系和控制保障体系。采用分级、分域的纵深防御理念,将桌面安全、身份认证、网络安全、容灾等相关技术相互结合,建立统一的安全监控平台和安全运行中心,实现对应用系统的授权访问、桌面计算机的安全控制、网络流量的异常监控、恶意软件与攻击行为的及时发现与防御、业务与数据安全保障等功能,显著提高抵御外部和内部信息安全威胁的能力。建立了总部、区域网络中心、企事业单位三级信息系统安全运维队伍;采用集中管理、分级维护的管理模式,网络与安全运维人员采用授权方式,持证上岗,建立网络管理员、安全管理员和安全审计员制度;初步建立起中国石油内部信息安全风险评估队伍,并于 2010 年完成地区公司的网络安全风险评估工作。

(3)建立重要信息系统应急处置预案,完善灾难恢复机制。2008 年,中国石油了《网络与信息安全突发事件专项应急预案》,所有业务系统、网络管理、安全管理等都建立了应急响应处置预案和灾备系统,保障业务系统在遭遇突发事件时,能快速反应并恢复业务系统可用性。通过灾难恢复项目研究,形成了现状及风险分析、灾难恢复等级划分、灾备部署策略分析和灾备部署方案四步法,划分了信息系统灾难恢复等级,完善了灾难恢复机制。

(4)规划信息安全运行中心,建立重要信息系统安全监控机制。中国石油规划了信息安全运行中心的建设方案,提出了信息安全运行中心建设目标,通过网络运行状态、安全信息数据汇集、安全监测分析功能和安全管理流程的有机整合,实现中国石油 信息安全状况的可感知、可分析、可展示、可管理和可指挥,形成中国石油信息安全事件分析、风险分析、预警管理和应急响应处理一体化的技术支撑能力;通过完善安全运行管理体系,将安全运行管理组织、安全运维管理流程和安全监测预警系统三方面有机结合,实现事前预警防范、事中监控处置、事后追溯定位的信息安全闭环运行机制,形成中国石油统一的应急指挥与协调调度能力,为中国石油信息安全保障奠定良好的基础。

3 信息安全等级保护工作存在的不足及改进建议

信息安全等级保护管理办法 (公通字[2007]43号)正式标志着全国范围内的信息安全等级保护工作开始,通过5年的努力,全国信息安全工作形成了以落实信息安全等级保护制度为核心,信息通报、应急处理、技术研究、产业发展、网络信任体系和标准化建设等工作快速发展的良好局面,重要行业部门的信息安全意识、重视程度、工作能力有了显著提高。40余个重要行业出台了100余份行业等级保护政策文件,20余个重要行业出台了40余份行业等级保护标准,但同时存在着以下不足:

(1)对信息安全工作的认识不到位,对重要信息系统安全保护缺乏应有的重视。依据公安部相关资料统计,截至2012年6月,我国有18%的单位未成立信息安全工作领导机构;21%的单位未落实信息安全责任部门,缺乏信息安全整体规划;14个行业重要信息系统底数不清、安全保护状况不明;12个行业未组织全行业信息安全专门业务培训,开展信息安全工作的思路和方法不得当,措施不得力。20%的单位在信息系统规划过程中,没有认真制定安全策略和安全体系规划,导致安全策略不得当;22%的信息系统网络结构划分不合理,核心业务区域部署位置不当,业务应用不合理,容易导致黑客入侵攻击,造成网络瘫痪,数据被窃取和破坏。34.6%的重要信息系统未配置专职安全管理人员,相关岗位设置不完整,安全管理人员身兼多职;48%的单位信息安全建设资金投入不足,导致重要信息系统安全加固和整改经费严重缺乏;27%的单位没有针对安全岗位人员制订相关的培训计划,没有组织开展信息安全教育和培训,安全管理、运维技术人员能力较弱。

(2)重要信息系统未落实关键安全保护技术措施。重要信息系统未落实安全审计措施。在主机层面,有34.9%的信息系统没有保护主机审计记录,34.8%的信息系统没有保护主机审计进程,容易导致事故责任无法认定,无法确定事故(事件)原因,影响应急处理效率。38%的信息系统没有落实对重要系统程序和文件进行完整性检测和自动恢复的技术措施,35%的信息系统没有采取监测重要服务器入侵行为的技术措施,容易使内部网络感染病毒,对攻击行为无法进行有效监测和处置。

(3)我国信息技术与国外存在一定差距,安全专业化服务力量薄弱。具有我国自主知识产权的重要信息技术产品和核心技术水平还有待提高,依赖国外产品的情况还比较普遍;国内信息安全专业化服务力量薄弱,安全服务能力不强,部分重要信息系统的关键产品维护和系统运维依赖国外厂商,给重要信息系统安全留下了隐患。

为了有效提高我国企业信息安全水平,增加等级保护的可行性及执行力,建议:①各企业开展以信息安全等级保护为核心的安全防范工作,提高网络主动防御能力,并制订应急处置预案,加强应急演练,提高网络应急处置能力。②加大人员和资金投入,提高保障能力。③国家层面加快关键技术研究和产品化,重视产品供应链的安全可控。

主要参考文献

[1]中国石油天然气集团公司. 中国石油天然气集团公司全面开展信息安全等级保护工作为信息化建设保驾护航[J].信息网络安全,2012(1).

篇4

等级测评工作其实是信息系统安全建设或整改工作结束后对信息系统安全状况进行检验和发现问题,以促进信息系统安全状况达到等级保护的要求。本刊记者就等级测评工作的相关内容采访了公安部信息安全等级保护评估中心系统测评部副主任、高级测评师陈雪秀。

|医疗卫生机构完成安全建设或整改工作之后就进入到等级测评工作阶段,请您介绍一下等级测评工作的内容及流程。

陈雪秀:首先应该明确,等级测评工作是检测评估信息系统安全等级保护状况是否达到相应等级能力要求的过程,是落实信息安全等级保护制度的必要环节。

等级测评工作的主要内容包括:在确定的测评指标范围内,进行现场测评(包括单元测评和系统整体测评),单项测评结果判定,综合分析和风险评价,并给出等级测评结论、编制等级测评报告等一系列内容。

在GB/T 28449-2012《信息系统安全等级保护测评过程指南》中规范了等级测评的活动流程,分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。通过这四个基本测评活动过程可以发现系统中存在的安全问题和隐患,并给出这些问题或隐患给系统带来的安全风险或影响,为信息系统安全保护能力和安全管理水平的提升奠定技术基础。

需要强调的是,测评双方之间的沟通与洽谈应贯穿整个等级测评过程。

|作为高级测评师,您在测评工作中已经积累了很多测评经验,请您介绍一下测评师是如何对信息系统进行测评的。

陈雪秀:等级测评工作是一项对实践经验要求很强的工作,需要测评机构和人员在实践过程中不断积累和完善各类测评方法,规范测评活动。测评机构的权威性、公正性和质量保证,是维持测评机构生存的基础,也是保证测评数据、测评结论客观、准确的基础。

现场测评活动是开展等级测评工作的核心活动。活动的主要任务是按照测评方案的总体要求,严格执行测评指导书,分步实施所有测评项目,包括单元测评和整体测评两个方面,以了解系统的真实保护情况,获取足够证据,发现系统存在的安全问题。

现场测评必须由具有测评师资质的人员(即测评师,一般分为高级测评师、中级测评师和初级测评师,初级测评师又分为管理测评师和技术测评师)采用一定的测评方法在委托方人员的配合下进行现场测评取证。测评方法一般包括人员访谈、文档检查、上机核查、工具测试、实地察看等。人员访谈一般是针对安全管理方面和技术方面的全局问题;文档检查主要是针对安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理五大管理方面;上机查核主要针对网络、主机和应用方面;实地察看主要针对物理安全方面,工具测试一般针对技术方面开展,包括漏洞扫描、源代码审查、渗透测试等。

|我们都知道根据信息安全等级保护工作的要求,定为第三级的系统每年都要测评一次,请您谈谈每一年的测评工作内容有什么不同?

陈雪秀:《信息安全等级保护管理办法》(公通字〔2007〕43号)中规定三级系统每年测评一次,四级系统每半年测评一次是非常有必要的。众所周知,安全是一个动态的过程。随着时间的推移和外部环境的变化,信息系统面临的外部威胁和自身的安全现状、安全需求均会发生较大的变化,变化的部分即是测评的重点。

因此,每年测评主要关注以下方面:(1)上一年度测评发现的安全问题。(2)系统的变更情况。系统由于网络结构调整、业务规模变化可能导致测评范围发生变化,如果系统级别变更会导致测评指标发生变化,新系统采用了虚拟化、大数据、移动互联等新技术、新应用引发新的安全需求而带来测评指标的变化。(3)外部环境的变化。一方面关注目前国际、国内安全形势的新动向新变化,目前产品的自主、可控是安全关注的重点,对抗有组织的外部攻击的能力和应急响应能力也是本年度测评关注的重点。另一方面,关注新的安全威胁或漏洞隐患情况,如心脏滴血(Open ssl heart bleeding)漏洞、struts2远程执行漏洞、BadUSB的安全漏洞等。(4)系统日常运行带来新的安全隐患。在信息系统日常运行维护过程安全管理执行落实情况、安全策略配置的有效性等,需要在每年测评时重点关注。

篇5

关键词:信息安全;医院信息系统;安全措施

随着信息与网络技术的不断发展,我们进入了一个信息爆炸的时代,人们可以轻松便捷的通过网络技术来进行各种活动。伴随而来的信息安全问题也越发严重,也受到越来越多行业的关注,在网络技术发展普及的同时,信息技术业在医学领域得到广泛的应用,同右搅苹构信息系统的信息安全性在当今也同样得到极大的重视。

1 信息系统安全管理的原则

信息系统安全的核心目标是为关键资产提供可用性、完整性和机密性[1],所有安全控制、机制和防护措施的实现都是为了提供这些原则中的一个或多个。基于安全需求原则,医疗机构应根据其信息系统担负的使命,积累的信息资产的重要性,可能受到的威胁及面临的风险分析安全需求,按照信息系统等级保护要求确定相应的信息系统安全保护等级,遵从相应等级的规范要求,从全局上恰当地平衡安全投入与效果,做到技术和管理并重。

2 国内医疗信息安全体系

在医疗活动中,医疗机构为了诊断及科研等其他需要,经常使用医疗信息系统采集、大量的医疗相关数据,其中包含着患者的基本信息和敏感信息。如何有效的避免隐私信息的泄露也是越来越多医疗机构普遍遇到的问题。与此同时,卫生行政主管部门认识到了医疗机构信息系统安全的重要性,也逐年医疗信息保障管理办法。2004年9月的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)进一步强调了开展信息安全等级保护工作的重要意义,规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。2011年,信息安全等级保护已列入《三级综合医院评审标准》中信息化规范建设的重要考核依据与指标。2011年卫生部《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》,要求卫生行业“全面开展信息安全等级保护工作”。

3 医院信息安全治理与风险管理

医院系统信息安全风险管理的传统措施是以边界、安全域为主的思路和模式,采用被动的、防御型的技术手段,属于应对型的安全建设模式[2]。近些年来,随着安全技术的快速发展,医院信息安全规划与建设思路也在发生转变,其防护重点逐渐转向医院信息系统数据内容、应用、用户身份和行为等全方位的安全防护;安全治理观念也逐渐转变为主动防御的合规管理工作,同时加强医院信息安全监控综合分析。通过信息系统安全指标作为衡量依据,衡量安全建设绩效推进医院信息系统安全治理,从而以工具化、自动化的安全手段,应对不断扩张的IT资产管理,有效落实安全管理要求。

医院信息安全责任部门正确运用控制措施能降低医院信息系统安全面临的风险,控制主要分为三种类型:管理控制、技术控制和物理控制[3]。管理控制因为通常是面向管理的,所以经常被称为“软控制”,如安全文档、风险管理、人员安全和培训都属于管理控制;技术控制也称为逻辑控制由软件或硬件组成,如防火墙、入侵检测系统、加密、身份识别和认证机制;物理控制用来保护设备、人员和资源,保安、锁、围墙等都属于物理控制。在实际建设和规划中,医院信息安全责任部门应正确以分层的方法综合使用多个安全控制类型,为医院信息平台提供安全深度防御。由于入侵者在获得访问关键资产前将不得不穿越多个不同的保护机制,因此多层防御能够将渗透成功率和威胁降低到最小,从而保障医疗机构信息系统安全。

4 医院系统的安全风险分析及对策

4.1访问控制安全 安全的根本所在是通过控制如何访问信息资源来防范资源泄露或未经授权的修改。访问控制是一种安全手段,控制用户和系统如何与其他系统和资源进行通信和交互。访问控制能够保护系统和资源免受未经授权的访问,并且在身份验证过程成功结束之后确定授权访问的等级。信息访问控制的实现手段在本质上都处于技术性、物理性或行政管理性层面。同时需要注意,任何接口处是最应该实施安全控制的一个地方,需要层层纵深防御来实施访问控制。访问控制是防范医疗机构信息系统和资源被未授权访问的第一道防线,系统使用用户的访问权限主要基于其身份、许可等级和/或组成员资格。访问控制给予组织机构控制、限制、监控以及保护资源可用性、完整性和机密性的能力[4]。

4.2计算机及操作系统安全 计算机是系统内提供某类安全并实施系统安全策略的所有硬件、软件和固件的组合,然而其并不仅限于操作系统,操作系统的主要风险包括系统漏洞和文件病毒等。医疗机构的信息安全责任部门需对帐户、访问、用户权限等进行管理与控制,做好定期监视、审计和时间日志记录和分析。可以采用通过修改注册表,屏蔽客户端操作系统无关的内容,限制访问相关资源;还应及时下载系统补丁,尽可能关闭不需要的端口,以弥补系统漏洞而给医院信息系统安全性带来的各类隐患。医疗机构办公计算机中的很多安全管理软件会产生安全日志,应由信息安全主管部门对这些安全日志进行管理分析以不断强化整体安全解决方案,例如针对于医院可能发生的“统方”时间以及其他对医院影响较大的安全事件,医疗机构主管部门应能够及时发现、定位、报警以及事后审计。

篇6

【 关键词 】 云计算;云安全;CSA信息安全等级保护

1 云安全现状分析

1.1 全球企业和消费者对云计算安全的关注

云计算是一种新兴的商业计算模型,它利用高速互联网的传输能力,将数据的处理过程从个人计算机或服务器转移到一个大型的计算中心,并将计算能力、存储能力当作服务来提供。云计算模式已得到业界普遍认同,成为信息技术领域新的发展方向。但是随着云计算的大量应用,云环境的安全问题也日益突出。在拥抱云计算的同时云计算面对的风险也是不容忽视,如果不能很好的解决相关的安全管理问题,云计算就会成为过眼“浮云”。 在众多对云计算的讨论中,SafeNet的调查非常具有代表性。

“对于云计算面临的安全问题, 88.5%的企业对云计算安全担忧,占首位。一方面,安全保护被视为云计算广泛使用的绊脚石;另一方面,它也可以成为云计算的推动力量。在“云”模式下,通过找到一个有效的保护数据的方法,企业则可以将“云”模式所带来的商业潜力最大化,从而在行业中保持持续创新和增长。” 从调查和社会反馈来看,如何保证云环境的安全成为企业和消费者最为关注的问题,如何做好企业和消费者所关注的云计算的安全和管理问题也成为发展云计算产业急需解决的关键问题。

1.2 云计算安全理论研究及规范、标准现状分析

云计算作为全新的Web服务模式,其本质是计算与存储能力从桌面端到网络端(云端)迁移、以及网络资源的动态伸缩,包括软件即服务(SaaS)、平台即服务(PaaS)和基础设施即服务(IaaS)等内容,以实现缩减IT成本、提高企业业务运营效率等目的。可预见的是,云计算将在互联网、电信、IT、金融及政府企事业单位等领域的信息化建设中扮演重要角色,为现有工作方式以及商业应用带来根本性变化。

云计算应用安全研究目前还处于起步阶段,业界尚未形成统一标准,目前主要的研究组织主要包括CSA(Cloud Security Alliance,云安全联盟)、CAM(common assurance metric beyond the cloud通用保障测量体系)等相关论坛。 为了推动云计算应用安全的研究交流与协作发展,业界多家公司在2008年12月联合成立了CSA,该组织是一个非赢利组织,旨在推广云计算应用安全的最佳实践,并为用户提供云计算方面的安全指引。CSA在2009年12月17日的新版的《云计算安全指南》(V2.1),着重总结了云计算的技术架构模型、安全控制模型以及相关合规模型之间的映射关系,从云计算用户角度阐述了可能存在的商业隐患、安全威胁以及推荐采取的安全措施。另外,欧洲网络信息安全局(ENISA)和CSA联合发起了CAM项目。CAM项目的研发目标是开发一个客观、可量化的测量标准,供客户评估和比较云计算服务提供商安全运行的水平。 此外,2011年1月美国国家标准委员会推出了SP800-144标准草案,针对公有云计算的安全与隐私保护提出了指导性意见。

目前,国内专门针对云计算提出的安全管理标准和规范尚属空白,尚无云安全的相关法律法规政策出台。2007年,国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室联合颁布了861号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》和《信息安全等级保护管理办法》,要求涉及国计民生的信息系统应达到一定的安全等级。现在相关部门正在针对云计算平台与传统信息系统的技术及管理方面的差别进行深入研究。未来将可能在此基础上对信息安全等级保护管理办法进行针对性的升级,作为国内云计算平台的安全管理标准及规范。

1.3 云安全的两种研究方向

当前,由于云计算方兴未艾,许多云服务提供商也纷纷出台了自己的云安全解决方案。目前云安全基本上有两种研究方向:云计算平台的安全和安全云。

安全云:是研究如何以云计算的模式提供安全服务,目前的服务比较单一,已防病毒为主,主要来源于传统的杀毒厂商,如瑞星、PANDA、McAfee等。

云计算安全:则是研究如何保护云计算平台本身的安全性,是目前很多云服务提供商和云安全研究机构研究的主体。

2 云安全需求分析

2.1 CSA云计算关键领域安全指南V2.1

CSA云计算关键领域安全指南V2.1中为云安全构建了技术及管理框架(如下图),其中包含了3个层面,13个关注点。

CSA安全指南v2.1在技术上面明确阐述了法律、电子证据发现(D3)以及虚拟化(D13)方面的安全关注建议,另外对于数据的可移植性和互操作性(D6)也是新版CSA安全指南的独特之处。这些内容在ISO27001或者PCI-DSS中或者没有要求,或者很少阐述。

D3和D6都是法律层面的关注点;而D13虚拟化则是安全技术关注点,这也是云计算中心相对于传统信息中心在技术方面最大的区别之一。

2.2 传统信息系统的基本安全需求

《信息安全等级保护管理办法》中对信息系统的安全需求的深入研究,对传统信息系统的安全做出了很全面的规定,主要包含两个层面的要求:技术层面和管理层面。

应用系统应根据《计算机信息系统安全保护等级划分准则》确定自身的等保级别,并根据《信息系统安全等级保护基本要求》的具体要求进行安全系统与制度建设。不同级别间的大项要求相同,细项不同。下图对不同级别系统控制项的差异进行了汇总。

篇7

【关键词】信息系统 身份鉴别 漏洞扫描 信息安全管理体系(ISMS)

近年来,“Locky勒索软件变种”、““水牢漏洞””、“支付宝实名认证信息漏洞”、“京东12G用户数据泄露”、“700元买他人隐私信息”等信息安全事件层出不穷,引起各国领导的重视和社会关注。为提高网络安全和互联网治理,2014年,我国成立了以主席为最高领导的信息安全管理机构-中央网信办;2016年11月,在中国乌镇举行了《第三届世界互联网大会》。通过一系列的行为,为求现有的网络系统能够提高安全能力,为广大社会群众提供服务的同时,能够保证人民的利益。

信息系统是由硬件、软件、信息、规章制度等组成,主要以处理信息流为主,信息系统的网络安全备受关注。企业在应对外部攻击,安全风险的同时,当务之急是建立一套完整的信息安全管理体系。在统一的体系管控下,分布实施,开展各项安全工作。

目前,大多数企业的信息安全工作比较单一,主要是部署安全防护设备,进行简单的配置。信息安全工作不全面,安全管理相对薄弱,不足以抵抗来自外部的威胁。

1 信息安全问题

1.1 身份鉴别不严格

考虑到方便记忆和频繁的登录操作,企业普遍存在管理员账号简单或者直接采用系统的默认账号现象,并且基本不设定管理员的权限,默认使用最大权限。一旦攻击者通过猜测或其他手段获得管理员账号,攻击者如入无人之境,可以任意妄为。最终可造成数据泄露,系统瘫痪等不可估量的严重后果。注重信息安全的企业会修改默认管理员账号,设定较为复杂的口令,并定期进行口令更换。但是也仅仅使用一种身份鉴别技术,不足以抵抗外部攻击。

1.2 外部攻击,层出不穷

随着计算机技术的发展,信息系统的外部攻簦层出不穷。攻击者利用网络系统的漏洞和缺陷,攻击系统软件、硬件和数据,进行非法操作,造成系统瘫痪或者数据丢失。 目前主要存在的攻击手段包括扫描技术、邮件

攻击、拒绝服务攻击、口令攻击、恶意程序等等;入侵常用的步骤包括采用漏洞扫描工具进行扫描、选择合适的方式入侵、获取系统的一定权限、提升为系统最高权限、安装系统后门、获取敏感信息或者其他攻击目的。攻击者会根据系统特性和网络结构采取不同的手段对网络进行攻击,如果不采取相应的防御手段,很容易被黑客攻击,造成损失。

1.3 员工安全意识薄弱

很多互联网企业的员工缺乏信息安全意识,存在离开办公电脑时不锁屏现象;将重要客户信息、合同等敏感材料放在办公桌上或者不及时取走打印机房内的材料;优盘未经杀毒直接连接公司电脑;随意点击不明邮件的链接;更有员工将系统账号、密码粘贴在办公桌上;在系统建设阶段,大到管理者,小到开发人员、测试人员,均注重技术实现和业务要求,而忽略了系统的安全和管理。由于员工的信息安全意识较为薄弱,很容易造成公司信息泄露,进而导致公司的损失。

1.4 内部管理制度不完善

俗话说,“不以规矩,不能成方圆”。未形成全面的信息安全管理制度体系,缺失部分安全策略、管理制度、操作规程,可能导致信息安全管理制度体系存在疏漏,部分管理内容无法有效实施。使相关工作过程缺乏规范依据和质量保障,进而影响到信息系统的安全建设和安全运维。比如在软件开发过程中,开发人员会因为各种原因而忽略安全开发(存在开发人员没有意识到代码安全开发的问题;有些开发人员不愿意使用边界检查,怕影响系统的效率和性能;当然也存在许多遗留代码存在问题的现象,从而导致二次开发同样产生问题),可能导致系统存在后门,被黑客攻击。

2 防范措施

企业需依据《信息安全等级保护管理办法(公通字[2007]43号)》、《中华人民共和国网络安全法》》、《ISO/IEC 27001》等标准和法律法规进行信息系统安全建设工作。测评机构在网安的要求下,对企业信息系统的安全进行测评,并出具相应测评结果。根据测评结果和整改建议,采用相应的技术手段(安全认证、入侵检测、漏洞扫描、监控管理、数据备份与加密等)和管理措施(安全团队、教育与培训、管理体系等)对信息系统进行整改。如图1所示。

2.1 技术手段

2.1.1 安全认证

身份鉴别是指在计算机系统中确认执行者身份的过程,以确定该用户是否具有访问某种资源的权限,防止非法用户访问系统资源,保障合法用户访问授权的信息系统。凡登录系统的用户,均需进行身份鉴别和标识,且标识需具有唯一性。用户身份鉴别机制一般分为用户知道的信息、用户持有的信息、用户生物特征信息三种。针对不同鉴别机制,常用的鉴别技术(认证技术)如表1所示。

不同的认证技术,在安全性、便捷性方面存在不同的特性。比如USB-Key的安全等级较高,但会遇到各种问题,导致便捷性较差(比如存在软硬件适配性问题,移动终端无USB口等)。一般认为在相同的便捷性前提下,选择安全等级较高的认证技术。针对重要系统应采用双因子认证技术。

2.1.2 入侵检测

入侵检测能够依据安全策略,对网络和系统进行监视,发现各种攻击行为,能够实时保护内部攻击、外部攻击和误操作的情况,保证信息系统网络资源的安全。入侵检测系统(IDS)是一个旁路监听设备,需要部署在网络内部。如果信息系统中包含了多个逻辑隔离的子网,则需要在整个信息系统中实施分布部署,从而掌控整个信息系统安全状况。

2.1.3 漏洞扫描

漏洞扫描是指基于漏洞数据库,通过扫描等手段对目标系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测行为。常见的漏洞扫描类型主要包括系统安全隐患扫描、应用安全隐患扫描、数据库安全配置隐患扫描等。系统安全隐患扫描根据扫描方式的不同,分为基于网络的和基于主机的系统安全扫描,可以发现系统存在的安全漏洞、安全配置隐患、弱口令、服务和端口等。应用安全隐患扫描可以扫描出Web应用中的SQL注入、Cookie注入、XPath注入、LDAP注入、跨站脚本、第三方软件等大部分漏洞。数据库安全配置隐患扫描可以检测出数据库的DBMS漏洞、缺省配置、权限提升漏洞、缓冲区溢出、补丁未升级等自身漏洞。

漏洞扫描主要用于评估主机操作系统、网络和安全设备操作系统、数据库以及应用平台软件的安全情况,它能有效避免黑客攻击行为,做到防患于未然。

2.1.4 监控管理

网络监控主要包括上网监控和内网监控两部分。目前市场上已做的完整监控软件已包含上述功能。网络监控需结合网络拓扑,在网络关键点接入监控工具监测当前网络数据流量,分析可疑信息流,通过截包解码分析的方式验证系统数据传输的安全。例如Solarwinds网络监控平台,它包括Network Performance Monitoring、Network Traffic Analysis、WAN Performance (IP SLA) 、IP Address Management、Network Configuration Management、Application Performance Monitoring等。可以执行全面的带宽性能监控和故障管理;可以分析网络流量;可以对服务器上运行的服务和进程进行自动监控,并在故障发生时及时告警;可对VOIP的相关参数进行监控;可以通过直观的网络控制台管理整个IP架构;可快速检测、诊断及解决虚拟化环境的网络性能;强大的应用程序监视、告警、报告功能等。

2.1.5 数据备份与加密

企业高度重视业务信息、系统数据和软件系统。数据在存储时应加密存储,防止黑客攻击系统,轻易获得敏感数据,造成公司的重大经济损失。常用的加密算法包括对称加密(DES、AES)和不对称加密算法(RSA)。密码技术不仅可以防止信息泄露,同时可以保证信息的完整性和不可抵赖性。例如现在比较成熟的哈希算法、数字签名、数字证书等。

除了对数据进行加密存储外,由于存在数据丢失、系统断电、机房着火等意外,需对系统数据进行备份。按照备份环境,备份分为本地备份和异地备份;按照备份数据量的多少,备份分为全备、增备、差分备份和按需备份。各企业需根据自己的业务要求和实际情况,选取合适的备份方式进行备份。理想的备份是综合了软件数据备份和硬件冗余设计。

2.2 管理措施

2.2.1 安全团队

企业应设立能够统一指挥、协调有序、组织有力的专业的安全管理团队负责信息安全工作,该团队包括信息安全委员会,信息安全部门及其成员。安全部门负责人除了具备极强的业务处理能力,还需要有管理能力、沟通能力、应变能力。目前安全团队的从业人员数量在逐渐增加,话语权在增多,肩上的担子也越来越大。安全团队需要定好自己的位,多检查少运维,多帮企业解决问题。即安全团队修路,各部门在上面跑自己的需求。

2.2.2 教育c培训

保护企业信息安全,未雨绸缪比亡羊补牢要强。培养企业信息安全意识文化,树立员工信息安全责任心,是解决企业信息安全的关键手段之一。企业的竞争实际上是人才的竞争,除了定期进行技能培训外,还需对员工的安全意识进行教育和培训。信息安全团队应制定信息安全意识教育和培训计划,包括但不限于在线、邮件、海报(标语)、视频、专场、外培等形式。通过对员工的安全意识教育,能从内部预防企业安全事件的发生,提高企业的安全保障能力。

2.2.3 管理体系

随着计算机攻击技术的不断提高,攻击事件越来越多,且存在部分攻击来自公司组织内部。单靠个人的力量已无法保障信息系统的安全。因此,企业需建立自上而下的信息安全管理体系(ISMS, Information Security Management System),以达到分工明确,职责清晰,安全开发,可靠运维。安全管理制度作为安全管理体系的纲领性文件,在信息系统的整个生命周期中起着至关重要的作用。不同机构在建立与完善信息安全管理体系时,可根据自身情况,采取不同的方法,一般经过PDCA四个基本阶段(Plan:策划与准备;Do文件的编制;Check运行;Action审核、评审和持续改进)。可依据ISO27000,信息安全等级保护等,从制度、安全机构、人员、系统建设和系统运维5个方面去制定信息安全管理体系。通常,信息安全管理体系主要由总体方针和政策、安全管理制度、日常操作规程和记录文档组成,如图2所示。

3 结语

国家不断加强对各个互联网企业、金融、银行等的信息安全工作监督,通过ISO27000、信息安全等级保护测评、电子银行评估、互联网网站专项安全测评等方式,规范企业的信息安全建设工作。同样,信息安全工作长期面临挑战,不能一蹴而就,需要相关安全工作人员戮力同心、同舟共济、相互扶持、携手共建信息安全的共同体。

参考文献

[1]沈昌祥,张焕国,冯登国等.信息安全综述[J].中国科学杂志社,2007(37):129-150.

[2]李嘉,蔡立志,张春柳等.信息系统安全等级保护测评实践[M].哈尔滨工程大学出版社,2016(01).

[3]蒋欣.计算机网络战防御技术分析[J].指挥控制与仿真,2006(08),28-4.

作者简介

康玉婷(1988-),女,上海市人。硕士学位。现为信息安全等级测评师、初级工程师。主要研究方向为信息安全。

作者单位

篇8

【关键词】大数据 企业网络 信息安全

1 大数据下的网络安全现状

网络企业普遍将大数据定义为数据量与数据类型复杂到在合理时间内无法通过当前的主流数据库管理软件生成、获取、传输、存储、处理,管理、分析挖掘、应用决策以及销毁等的大型数据集。大数据具有4V特征,即数据量大、数据类型多、数据价值密度低、数据处理速度快。在大数据计算和分析过程中,安全是不容忽视的。大数据的固有特征对现有的安全标准、安全体系架构、安全机制等都提出了新的挑战。面向大数据的高效隐私保护方法方面,高效、轻量级的数据加密已有多年研究,虽然可用于大数据加密,但加密后数据不具可用性。保留数据可用性的非密码学的隐私保护方法因而得到了广泛的研究和应用。这些方法包括数据随机化、k-匿名化、差分隐私等。这些方法在探究隐私泄漏的风险、提高隐私保护的可信度方面还有待深入,也不能适应大数据的海量性、异构性和时效性。

2 企业网络信息安全的主要问题

在开放的互联网环境中,企业网络信息安全问题日益突显,成为影响互联网快速发展的重要因子。从实际来看,造成企业网络信息安全问题的因素多元化,计算机系统漏洞、病毒入侵、黑客进攻是造成目前网络信息安全主要原因。特别是病毒入侵、黑客进攻的频繁,对整个互联网的发展形成了较大影响。

2.1 计算机系统漏洞

计算机系统漏洞的存在,是造成计算机网络信息安全的重要原因。在日常的系统运行中,360等安全工具都会对系统进行不定期的漏洞修复,以确保系统运行的安全稳定。因此,计算机系统漏洞的存在,一方面造成了计算机运行中的不稳定性,易于受到外界的恶意攻击,进而造成网络终端用户的信息安全;另一方面,系统漏洞的存在,为黑客等的攻击,提供了更多的途径和选择,特别是系统和软件编写中存在的漏洞,给不法分子的恶意攻击提供了可能,进而造成计算机系统信息数据被盗,给计算机用户的信息安全带来极大的安全隐患。

2.2 计算机病毒攻击

计算机病毒是当前计算机安全问题的“始作俑者”,对计算机网络信息安全带来极大的破坏性。计算机病毒具有隐蔽性强、可扩散等特点,决定了其在计算机安全中的巨大破坏性。首先,计算机病毒入侵的过程中,会造成计算机出现运行不稳定、系统异常等情况,数据丢失、硬盘内存不足等问题的出现,都会影响计算机的安全运行;其次,病毒一旦入侵计算机,其自动传播、自动复制的特性,如木马、蠕虫等计算机病毒,可以让其在计算机系统中形成大规模的自动传播,进而对计算机系统内的数据信息进行破坏及窃取。

2.3 黑客攻击频繁

在开放的互联网平台,日益活跃的黑客成为企业网络信息安全的重要影响因子。黑客通过入侵计算机系统,进而对计算机网络的正常运行形成破坏,甚至将整个计算机网络瘫痪,造成巨大的安全影响。近年来,随着互联网技术的不断发展,黑客攻击日益频繁,且攻击手段多样化,这给计算机网络安全带来较大威胁。一方面,网络安全监管存在漏洞,良好的网络环境有待进一步净化;另一方面,安全工具在技术升级等方面,存在一定的滞后性,在应对黑客进攻的过程中,表现出较大的被动性,以至于计算机网络运行故障问题的频发。

3 企业网络信息安全防护办法

完整的企业网络信息安全防护体系应包括以下几方面,如图1所示。

3.1 企业系统终端安全防护

对企业计算机终端进行分类,依照国家信息安全等级保护的要求实行分等级管理,根据确定的等级要求采取相应的安全防护。企业拥有多种类型终端设备,对于不同终端,根据具体终端的类型、通信方式以及应用环境等选择适宜的保障策略。确保移动终端的接入安全,移动作业类终端严格执行企业制定的办公终端严禁“内外网机混用”原则,移动终端接入内网需采用软硬件相结合的加密方式接入。

3.2 企业网络边界安全防护

企业网络具有分区分层的特点,通过边界防护确保信息资产不受外部的攻击,防止恶意的内部人员跨越边界对外实施攻击或对内进行超越权限的访问和攻击,在不同区的网络边界加强安全防护策略,或外部人员通过开放接口、隐蔽通道进入内部网络。在管理信息内部,审核不同业务安全等级与网络密级,在网络边界进行相应的隔离保护。按照业务网络的安全等级、业务连续性需求以及用途等评价指标,采用防火墙隔离技术、协议隔离技术、物理隔离技术等对关键核心业务网络进行安全隔离,实现内部网与外部网访问资源的有效控制。

篇9

持续推动的等级保护

信息化技术标准委员会副主任委员崔书昆认为,在基础信息网络和重要信息系统的安全严重关系到国家安全、社会稳定以及人民群众切身利益的今天,信息安全问题已然成为事关全局的战略性问题。近年来,有关部门围绕信息安全保障体系建设,在信息安全等级保护、风险评估、标准制定、产品开发及打击各种网络违法犯罪活动等方面取得了积极进展。在这种情势下,将信息安全等级保护确定为提高国家信息安全保障能力,维护国家安全、社会稳定和公共利益的一项基本制度,是非常必要的。

可以这样理解,我国信息安全各项工作快速推进,信息安全风险评估工作和保障体系建设、信息安全管理工作、信息安全法制化和规范化建设、信息化基础设施和体系建设取得了重要的成效。特别是从2007年7月20号开始,全国重要信息系统定级工作已经开始,并在各行业、各部门、各单位的支持下,取得了丰硕的成果。

从2008年开始,公安部会同国家保密局等部门,在重要信息系统定级工作的基础之上,部署和开展深入推进信息安全等级保护工作,它主要分为三个方面:

第一,依据国家行业标准,从管理和技术两个方面,开展信息系统安全建设整改,建立并落实安全管理制度,落实安全责任制。

第二,根据等级保护标准开展风险评估、灾难备份、应急处置、安全检查等工作。

第三,对信息系统应用的一些重要单位,开展等级保护工作检查。

公安部网络安全保卫局郭启全处长说:“目前全国范围内,大规模的重要系统定级工作已经基本完成,相关资料目前集中到公安部进行管理。定级工作的主要成效是了解重要信息系统的底数,掌握国家信息安全的基本情况,为全面贯彻落实信息安全等级保护制度,推动国家信息安全保障等工作的深入发展奠定坚实的基础。同时,某些地方、企业或者单位没有完成定级工作,但会纳入到我们下一阶段的检查工作当中完成。另外,有些企业会随后逐步执行该工作,不会影响国家等级保护制度的大规模推动。”

实施等级保护,充分体现了“适度安全、保护重点”的目的,可以把国家的重要网络、重要系统挑出来,把国家有限的精力、财力投入到信息保护当中去,提高国家基础网络和重要信息系统的安全保护水平,同时提高信息安全保障工作的整体水平。

奥运留下的财富

“2008年北京奥运会的信息网络安全工作给我们留下了很多财富。”郭启全曾经说过,奥运会对我们国家的信息网络安全工作进行了一次大考。它既考验了我们国家信息网络安全的工作,同时也考验了等级保护主管部门、公安部和很多部委的行业主管部门的信息安全工作。在这次大考中,各部门均表现得很优秀。在北京奥运会期间,无论是核心网络还是信息系统,都遭受了大规模的攻击和入侵,却没有出现相关安全事故,支撑北京奥运会顺利举办,这是我国信息网络安全领域经历的考验。

实际上,奥运会取得的经验和公安部下一步等级保护工作之间存在密切的相关性。公安部和有关部委会借鉴奥运会信息安全网络经验,充分利用好奥运留下的财富,进一步开展今后的工作。

记者了解到,在北京奥运会之前,成立了以公安部牵头的包括海关、银行、广电等14个部委参加的信息网络安全指挥部。由于有了这样的指挥部,使得各项工作的落实有了一个组织保障。如果没有这个指挥部,大家各干各的,在北京奥运会期间便无法保证重要系统和网络的安全。

在2008年,国家安全的核心问题便是保障奥运的安全,奥运安全采取的第一个措施就是等级保护。郭启全介绍说:“公安部把奥运核心网络和涉及奥运会的系统都定级、备案,针对风险和重要性搞等级测评和风险评估,反复查找问题、漏洞、脆弱性和安全风险。从历史经验来看,总会有一些黑客试图攻击奥运系统。所以,在这些黑客攻击之前,我们就需要开始做严格的攻击性自测。找到问题后进行系统加固,并且是有针对性地进行加固。这种安全建设、整改、加固还有等级测评,提升了我们的系统防范能力。”

郭启全强调:“我们当时还专门针对北京奥运会提出了风险评估的指南。北京奥运会期间最大的风险是什么?其实就是来自黑客的攻击破坏,所以搞风险评估要针对最大的风险去做。举个例子,我到国家体育总局去了三次,就是研究他们的网络安全问题、网站安全问题,这就有针对性,搞等级保护、风险评估非常有针对性。这使得我们的风险找得准,漏洞找得准,问题找得准,因此相关措施就有针对性。”

2009年的新工作

中国工程院院士沈昌祥指出,目前我国信息与网络安全的防护能力还处于发展的初级阶段,有些应用系统处于不设防状态。国防科技大学的一项研究表明,我国与互联网相连的网络管理中心有95%都遭到过境内外黑客的攻击或侵入,其中银行、金融和证券机构是攻击重点。

由于奥运网络和信息系统开展了等级保护工作,并对等级保护工作的政策标准、工作环节进行了检验,所以等级保护下一步的工作部署将充分借鉴北京奥运会的经验,健全完善等级保护领导体制和协调配合机制,例如等级保护原来有些领导体制可能还要进行补充,明确重点工作对象,比如说拿三级系统作为重点工作对象。

郭启全说:“我们会严格落实责任制,认真抓好三点工作,计划三年内完成安全系统的整改工作,总的目标就是:能力提高,事故降低,等级保护制度得到落实,国家信息网络安全基本得到保障。”

开展的重点工作主要分为三个方面。第一个方面是全面开展等级保护安全建设整改工作,要建设安全设施,落实安全措施,建立并落实安全管理制度,落实责任制。第二个方面是各单位建立安全整改工作规划,完成定级系统整改规划和制定具体实施方案。第三个方面是以三级以上系统为重点,确定安全需求,制定安全方案。“当然,一些单位可能不太明白具体的操作办法,届时我们会选择有代表性的信息系统进行安全建设试点、示范,结合行业特点制定行业标准规范,按照有关工作实施的规范要求组织实施信息系统安全建设工程。”

篇10

在成功举办前六届中国国际计算机信息系统安全展览会的基础上,今年为配合新颁布的《国家信息安全等级保护管理办法(试行)》的实施,第七届中国国际计算机网络和信息安全展览会全面深入把握当前信息及网络安全发展动态,广泛展示最具代表性的信息及网络安全产品及技术,为展商和观众提供全面信息安全咨询及解决方案等最新资讯。此次展会展品涉及互联网安全、电子政务安全、虚拟专用网、公共密钥基础设施、证书中心、入侵监测系统、网络安全与管理、计算机安全、计算机取证、通讯安全、数据储存/备份、防火强/计算机病毒防护、灾难恢复、安全审核、无线安全、掌上电脑安全等。截至目前参展厂商有:天融信、安氏、联想网御、冠群金辰、启明星辰、索利通、金山、东软、微软、亿阳信通、方正、网康、O2、Broadweb、美亚、安浪、飞塔、中软等近六十家。众多厂商将在展会上展示最安全、有效,具有自身优越性的安全产品及解决方案,为信息安全以及网络安全的市场完善有序而不断开拓创新。

一、 众多领先安全产品齐聚展会

天融信:依托最佳安全服务资质以及最佳安全服务团队,为用户提供各级别的安全管理平台产品。

安氏:面对新的安全形势,用户及厂商都在不断探索和寻觅一个贴近用户实际需求、具有先进的体系架构及扩展性的解决方案。在这种情况下,UTM(Unified Threat Management ,一体化威胁管理)产品应运而生,形成“终端统一威胁管理”。

索利通:索利通网络系统(上海)有限公司作为一家致力于信息技术研究和提供的跨国公司在1998年成立之初即意识到相关安全技术研究的匮乏和其在信息化时代中举足轻重的核心作用,在海内外开展了以加强用户认证,监督系统应用为代表的研究和开发,并在以后的数年里完成和完善了SmartOn,InfoTrace,e-Care,Net'Attest等一系列软硬件安全产品。

冠群金辰:冠群金辰KSG产品家族中有两名重要成员:KILL过滤网关(KSG)、KILL邮件安全网关(KSG-M)。KSG重点过滤网络病毒、阻断蠕虫攻击、防御非法网络流量。KSG-M专门过滤非法邮件,重点过滤邮件病毒、垃圾邮件等。

金山:金山公司此次参展的产品除了原有的金山毒霸系列产品之外,还包括三大系列新品:金山防火墙、金山防毒墙和金山防水墙。

二、 安全厂商理性分析行业现状

索利通:安全和便利是伴随信息化发展的一对矛盾体。针对不同的需求,准确地把握这一对矛盾体的平衡点,给出最佳的解决方案是信息安全产业的一个长期的课题和目标。安全的信息系统的最基本的指标是在提高系统使用的便利性的同时,杜绝一切来自于外部和内部的攻击。

冠群金辰:

1.应用规模近两年有明显扩大

2.网关产品多元化发展

3.技术各有千秋,但逐步趋同

4.国内与国外产品一时难分高下

三、 安全产品发展前景值得期待

冠群金辰:

1.需求将继续快速增长

2.以内容为主的网关技术将继续发展

3.“积极防御,综合防范”继续发挥指导作用

4.技术、制度、管理并重

5.自主核心技术将成为产品长久发展的重要因素