信息系统运营使用单位等级保护工作情况

2024-10-02

信息系统运营使用单位等级保护工作情况（11篇）

1.信息系统运营使用单位等级保护工作情况篇一

关于做好信息安全等级保护工作的通知各科室：

医院信息系统是医疗服务的重要支撑体系。为贯彻落实国家信息安全等级保护制度，确保我院信息系统安全可靠运行，根据《湖北省卫生厅湖北省公安厅关于开展全省卫生行业信息安全等级保护工作通知》（鄂卫发〔2012〕14号）精神，并结合我院信息系统应用的特点，就相关事项通知如下。

一、组织领导组长：副组长：组员：

领导小组办公室设在XX科，由XX同志兼任主任，ＸＸＸ等同志负责具体工作。

二、工作任务

1、做好系统定级工作。定级系统包括基础支撑系统，面向患者服务信息系统，内部行政管理信息系统、网络直报系统及门户网站，定级方法由市卫生局统一与市公安局等信息安全相关部门协商。

2、做好系统备案工作。按照市卫生系统信息安全等级保护划分定级要求，对信息系统进行定级后，将本单位《信息系统安全等级保护备案表》《信息系统定级报告》和备案电子数据报卫生局，由卫生局报属地公安机关办理备案手续。

3、做好系统等级测评工作。完成定级备案后，选择市卫生局推荐的等级测评机构，对已确定安全保护等级信息系统，按照国家信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等国家标准开展等级测评，信息系统测评后，及时将测评机构出具的《信息系统等级测评报告》向属地公安机关报备。

4、完善等级保护体系建设做好整改工作。按照测评报告评测结果，对照《信息系统安全等级保护基本要求》等有关标准，组织开展等级保护安全建设整改工作，具体要求如下：安全类别

控制项

主要安全措施

二级保护措施

三级保护措施

物理安全

物理访问控制

机房安排专人负责，来访人员须审批和陪同

√

重要区域配置门禁系统

√

防盗窃和防破坏

暴露在公共场所的网络设备须具备安全保护措施

√

主机房安装监控报警系统

√

防雷击

机房计算机系统接地符合GB 50057－1994《建筑物防雷设计规范》中的计算机机房防雷要求

√

机房电源、网络信号线、重要设备安装有资质的防雷装置

√

防火

机房设置灭火设备和火灾自动报警系统

√

机房配置自动灭火装置

√

电力供应

机房及关键设备应配置UPS备用电力供应

√

医院重要科室应采用双回路电源供电

√

环境监控

机房设置温、湿度自动调节设施

√

机房设置防水检测和报警设施

√

对机房关键设备和磁介质实施电磁屏蔽

√

网络安全

结构安全

网络应按职能和重要程度不同划分网段

√

重要网段之间应采用防火墙进行隔离

√

访问控制

网络边界部署防火墙或网闸

√

安全审计

网络日志审计、网络运维管理安全审计

√

边界完整性检查

采用准入控制系统，实现准入控制、非法外联检查

√

采用准入控制系统，实现准入控制及非法外联可阻断

√

入侵防范

入侵检测系统/入侵防御系统

√

恶意代码防范

防病毒网关

√

主机安全

入侵防范

采用服务器安全加固

√

安全审计

采用终端管理系统实现安全审计

√

恶意代码防范

防病毒软件

√

应用安全

身份鉴别

采用电子认证措施

√

安全审计

数据库安全审计系统

√

数据安全与备份恢复

备份和恢复

本地数据备份与恢复

√

硬件冗余

关键网络设备、线路和服务器硬件冗余 √

√

异地备份

异地数据备份

√

三、工作要求

1、切实加强组织领导。拟定实施医院信息系统安全等级保护的具体方案，并制定相应的岗位责任制，召开专题会议，确保信息安全等级保护工作顺利实施。

2、建立健全信息系统安全管理制度。根据信息安全等级保护的要求，制定各项信息系统安全管理制度，对安全管理人员或操作人员执行的重要管理操作建立操作规程和执行记录文档。

3、制定保障医疗活动不中断的应急预案。按可能出现问题的不同情形制定相应的应急措施，在系统出现故障和意外且无法短时间恢复的情况下能确保医疗活动持续进行。

2.信息系统运营使用单位等级保护工作情况篇二

关键词：信息系统,等级测评,安全

随着互联网技术的快速发展,信息技术已在我国的各个领域里得到了广泛的应用,基础信息网络和重要信息系统已成为国家和社会的关键基础设施。由此也引发了一系列的信息安全问题:敌对势力的入侵、攻击、破坏;针对基础信息网络和重要信息系统的违法犯罪的持续上升;基础信息网络和重要信息系统存在的安全隐患等。为此,国家于1994年颁布了《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号),明确的将等级保护制度提升为国家信息安全保障工作的基本制度、基本国策。并后续颁布了一系列的辅助政策标准[1,2,3,4],再次提升了开展等级保护的重要性,推动了等级保护测评[5,6]工作的发展。

1 信息安全等级保护

1.1 保护内容

信息安全等级保护将全国的信息系统按照重要性和遭到破坏后的危害性分为5个安全保护等级[2],第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。

信息安全等级保护工作主要分为5个环节:信息系统定级、备案、安全建设整改、等级测评[3]、监督检查。其中定级和备案是信息安全等级保护的首要环节。安全建设整改是信息安全等级保护工作落实的关键。等级测评工作的主体是第三方测评机构,监督检查工作的主体是信息安全职能管理部门,通过定期的监督、检查和指导,保障重要信息安全保护能力不断提高。

1.2 必要性和紧迫性

来自境内外敌对势力的入侵、攻击、破坏越来越严重,针对基础信息网络和重要信息系统的违法犯罪持续上升,是国家推行等级保护制度的重要原因。国家基础信息网络和重要信息系统安全隐患严重,由于各基础信息网络和重要信息系统的核心设备、技术和高端服务主要依赖国外进口,短时期无法实现自主可控。另外我国的信息安全保障工作基础还很薄弱,监管缺乏标准规范,许多部门安全管理制度和技术防范措施不落实等。

1.3 等级保护制度

等级保护制度是发达国家保护关键信息的基础设施,在借鉴国外经验的基础上,结合我们的国情,并根据多年来信息安全工作经验的总结,在我国需要强制执行等级保护制度。

2 安全等级测评

等级测评是信息安全等级保护实施中的一个重要环节。等级测评是指具有相关资质的、独立的第三方测评服务机构,对信息系统的等级保护落实情况与信息安全等级保护相关标准要求之间的符合程度的测试判定。

2.1 等级测评的目的

《信息安全等级保护管理办法》的规定,信息系统按照《信息系统安全等级保护基本要求》等技术标准建设完成后,由相应的符合条件的测评机构,定期对信息系统安全等级状况开展等级测评。通过测评,一是可以掌握信息系统的安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求;二是衡量信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求,是否具备了相应的安全保护能力。等级测评结果也是安全机关等安全监管部门进行监督、检查、指导的参照。

2.2 等级测评内容

等级测评的基本内容是对信息系统安全等级保护状况进行测试评估,主要包括两个方面:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。

安全控制测评是使用工作单元方式来组织测评的。工作单元分为安全技术测评和安全管理测评两大类。安全技术测评包括:物理安全、网络安全、主机系统安全、应用安全和数据安全等5个层面上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等5个方面的安全控制测评。

2.3 等级测评工作流程

等级测评过程可以分为4个活动:测评准备、方案编制、现场测评以及分析与报告编制,如图1所示等级测评基本工作流程[4]。

2.3.1 系统信息收集

本阶段是开展现场测评工作的前提和基础,是整个等级测评过程有效性的保证。其信息的收集包括物理环境信息、网络信息、主机信息、应用信息和管理信息等。

(1)物理环境信息收集,包括机房数量、每个机房中部署的信息系统、机房物理位置、办公环境等。

(2)系统网络信息收集,包括网络拓扑图、网络结构情况、系统外联情况、网络设备情况和安全设备情况等。

(3)主机信息收集,包括服务器设备情况和终端设备情况等。

(4)应用信息收集,包括系统情况和业务数据情况等。

(5)管理信息收集,包括管理机构的设置情况、人员职责的分配情况、各类管理制度的名称、各类设计方案的名称等。

2.3.2 编制测评方案

编制好测评方案对测评工作来说是相当重要的,一方面测评方案是测评人员进行内部工作交流、明确工作任务的指南;另一方面,测评方案给出具体的现场测评工作思路、方式、方法和具体测评对象及内容,为现场测评的顺利完成打下基础。此外,通过测评方案,可以和被测系统运营使用单位进行充分的交流,让被测系统运营使用单位理解并支持现场测评工作,并依据测评方案做好充分的准备。因此,可以说测评方案的好坏在很大程度上决定着一次测评工作能否顺利完成。

2.3.3 现场测评

现场测评阶段是开展等级测评工作的关键阶段,其活动全部在被测系统现场完成,在被测评系统运营使用单位的人员参与下,测评人员按照测评方案的总体要求,严格执行作业指导书,分布实施所有测评项目,通过查看、获取以及详细、准确、规范记录测评数据,并保留电子证书,为后期的结果分析和报告编制准备充足、详实的资料证据。

2.3.4 分析与报告编制

分析和报告编制是等级测评工作的最后环节,是对被测方系统整体安全保护能力的综合评价过程,其过程是根据现场测评结果和《测评准则》的有关要求,通过单项测评结论判定和系统整体测评分析等方法,分析整个系统的安全保护现状与相应等级的保护要求之间的差距,最终编制测评报告。

2.4 测评方法

在等级测评过程中主要采用访谈、检查、测试等方法进行工作的开展。

(1)访谈,是测评人员通过与信息系统相关人员进行交流和讨论的活动,以此来获取被测系统的部分信息。

(2)检查,是测评人员通过对测评对象进行观测、分析等活动,获取更有力的证据以证明信息系统安全等级保护措施是否完善和生效。

(3)测试,是测评人员通过对测评对象按照预定的方法和工具来进行测试,通过查看和分析输出的结果,获取证据以证明信息系统安全等级保护措施是否完善和有效,其主要方法有功能测试、渗透测试和系统漏洞扫描等。

3 系统整体测评

系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关,内容复杂且充满系统个性。因此,测评人员应根据特定信息系统的具体情况,结合标准要求,确定系统整体测评的具体内容,在安全控制测评的基础上,重点考虑安全控制间、层面间以及区域间的相互关联关系,测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。

4 结语

近几年,国家针对信息系统安全等级保护先后颁布了多条法律法规,并明确提出了2012年底前完成所有第三级信息系统的测评工作,强制推动整个国家信息安全保障体系的发展,推动了等级保护测评工作的开展进程,为全面推动我国的国民经济和信息化进程提供了重要保障。

参考文献

[1]GB/T22239-2008.信息系统安全等级保护基本要求[S].

[2]GB17859-1999.计算机信息系统安全保护等级划分准则[S].

[3]GB/T22239-2008.信息系统安全等级保护测评过程指南[S].

[4]公安部信息安全等级保护评估中心.信息安全等级保护政策培训教程[M].北京:电子工业出版社,2010.

[5]崔玉华.对“信息安全等级保护”的探讨[J].信息安全网络,2005,(2).

3.信息系统运营使用单位等级保护工作情况篇三

摘要：随着科技的进步，企业办公信息化、智能化程度显著提升，随之而来的信息安全问题日益突出。企业经营考虑信息化设备创造的利益时，需兼顾互联网开放性造成的风险。针对以上问题，国家严格规范信息系统等级保护工作流程，根据系统的重要性和影响范围划分定级，按照系统级别的不同实施区别化管理。此外，依照信息系统等级保护工作的“三同步”原则（同步规划、同步设计、同步投入运行），在信息系统应用建设的各环节进行标准化管理，规范了信息系统事件的定级、测评、备案、安全整改以及职责等工作标准，同时，明确了检查考核、管理与技术措施，促进供电企业信息专业能力不断提升，充分调动公司各专业的积极性和协调性，有效提高公司信息系统安全管理水平和保护能力。

关键词：信息安全；等级保护；信息系统管理背景简介

通常情况下，企业信息系统管理普遍存在以下问题：（1）信息系统规划阶段侧重于系统功能应用，未提出信息系统安全保护；（2）信息系统设计阶段缺少安全方案的同步设计；（3）信息系统上线运行阶段，未建立安全性测试机制，投运前缺少系统软件恶意代码检测、源代码后门审查、漏洞查找、渗透测试、运行环境测试和等级测评等安全性测评环节。针对以上问题，信息安全等级保护在企业信息系统管理工作中发挥至关重要的作用。信息安全等级保护工作包括定级、备案、安全建设与整改、信息安全等级测评以及信息安全检查五个阶段，覆盖信息系统规划—设计—开发—测试—实施—应用上线与上架—运维的整个生命周期[1]。信息安全等级保护工作的管理思路

根据目前信息系统管理的暴露的缺点，公司将信息系统安全建设作为安全等级保护工作的重点，围绕信息系统应用建设的各个阶段，结合等级保护要求，实现信息系统建设过程的安全管理，有效降低了信息系统上线后的安全隐患，保障了信息系统的安全稳定运行。

2.1 规划阶段

信息系统规划初期，通过建立合理的信息系统安全管理体系、工作要求和工作流程，结合公司实际情况，将系统测评费用纳入其中。

2.2 设计阶段

系统设计阶段，公司要求系统建设部门提交信息系统的安全防护总体方案。对于需要开展安全方案设计的信息系统，在系统定级后，系统建设项目负责部门应组织系统运维单位和系统开发实施单位，根据系统安全防护等级，遵照相关行业信息安全等级保护基本要求和公司信息安全防护总体方案等，制定系统安全防护方案。

2.3 开发阶段

各系统建设部门是信息系统的用户方，必须严格要求系统开发部门遵守相应原则，如使用正版的操作系统、配置强口令、信息系统测试合格正式书等，从而保证系统投运时的实用性和效率。

2.4 测试阶段

系统建设部门组织定级系统，通过具有国家资质的测评机构对系

统进行安全测评，并在当地公安机关网监部门进行定级和备案工作。

2.5 实施阶段和应用上线

各级信息通信职能管理部门，督促检查本单位及下属单位等级保护工作，同时，要求各系统建设部门在信息系统实施阶段，确保系统完成测评整改工作。

2.6 运维阶段

根据“谁主管谁负责，谁运行谁负责”的工作原则，各系统主管部门合理分配部门人员的管理和运维工作，制定所管辖区域的系统安全隐患整改、数据备份以及其他相关安全加固措施。信息系统管理的工作机制

通过信息系统等级保护方案，公司要在系统应用建设全过程中加入安全防护机制，规范信息系统事件的定级、测评、备案、安全整改以及职责等工作标准。此外，为进一步促进等级保护工作的有效执行，公司明确了相应的检查考核管理措施，完善信息系统安全工作的全面管理。

3.1 考评机制

建立相关考评机制。由信息化职能管理部门负责对公司信息专业工作进行标准化管理考评、考核工作，即检查各相关单位网络与信息安全工作的开展情况，并根据上级部门的实时反馈进行整改，从公司信息系统正常运行到信息内外网安全，实施监督和管控，纳入各单位年度绩效指标考核。

3.2 协同机制

成立信息化领导小组及办公室，开展协同控制工作。建立关于信息安全工作的协调机制，明确公司各部门网络与信息安全工作职责，具体负责组织开展信息系统安全等级保护工作，协调、督导信息系统建设部门进行定级、备案、等级测评和安全整改等工作。另外，针对信息系统测评和评估所发现的问题，责任单位制定完善的安全整改方案并认真落实。

3.3 例会机制

例会机制主要通过信息系统等级保护集中工作实现，定期召开信息专业网络安全会议，通过会议通报各单位存在的问题和下一步改进措施。结语

本文提出了一种基于等级保护的信息系统管理工作思路。一方面，从信息系统全生命周期着手，在系统应用建设的各环节加入安全管理工作；另一方面，完善信息系统管理工作机制，通过建立合理的考评机制、协同机制和例会机制，优化系统管理手段。根据以上管理思路，不仅在工作流程上对信息系统进行了安全防护加固，而且制定了相应的管理手段，促进企业信息系统管理工作水平的提升。

参考文献

4.信息系统运营使用单位等级保护工作情况篇四

来源：公安部信息安全等级保护评估中心作者：admin 日期：2011年2月17日

为了推动等级标准的实际执行与实施，对计算机信息系统安全等级保护评估工具进行实际使用与测试，验证安全等级保护评估方法与思路，公安部启动了计算机系统安全保护等级评估试点。选择了四个省和两个部委的6个单位和行业进行试点。武汉市规划国土资源管理局（以下简称武汉市规划国土局）被确定为湖北省的试点单位。武汉市土地管理信息中心与公安部计算机信息系统安全产品质量监督检验中心一起对武汉市规划国土局内部网进行了全面的安全评估。依据《计算机信息系统安全等级保护评估准则》及相关等级标准，就评估结果对内部网的安全状况进行了分析和总结。

工作思路与评估方法

《计算机信息系统安全保护等级划分准则》将我国的计算机信息系统安全确定为5个等级，由低到高依次是“用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级”，对每一等级的计算机信息系统在物理安全、运行安全、信息安全等安全功能要素和安全保证等方面提出了具体技术要求。信息系统安全等级保护就是采用“调查—测试—评估—分析—改进”的工作步骤，对信息系统依照安全保护等级进行评估，确定信息系统的重点保护对象和保护等级，找出安全隐患，提出改进方案，提升系统安全保护措施，保障系统安全。

因为信息系统用户主要通过应用服务的方式访问被保护的重点对象，所以在评估过程中，以应用服务的访问途径为切入点，选取相应的路径进行安全要素的评测与分析。信息系统安全等级评估的技术部分主要包括以下两个方面：

安全要素评估：需要评估的安全要素包括：身份鉴别、自主访问控制、客体重用、完整性、审计。通过如下几种方式评估安全要素的实现状况：

对应用服务的工作流程、流程中所传输的数据内容、所经过的传输环节（客户终端、路由器、交换机、中心服务器节点）对数据采取的保护措施、应用服务支撑平台（如SQL Server 2000等）的安全状况、应用服务流程中各组件自身的安全状况进行调查。

根据验证方案，现场操作人员协助评估工程师完成一次全过程的应用服务。评估工程师根据此过程中所采取或所能采取的安全保护措施，确定安全要素在访问路径上的实现状况实施现场验证。

根据评估的结果，总结系统安全要素的实现状况，确定信息系统所达到的安全等级，提出可行的安全建议，并撰写完善的安全评估报告。

安全保证要求评估：安全保证要求评估主要以与协助人员交流，查阅并分析系统开发过程中相关的文档资料为主。考察的内容包括信息系统安全功能自身安全保护、密码支持、生命周期支持、配置管理、开发、测试、指导性文档、脆弱性分析、交付与运行等。

武汉市规划国土局信息系统网络拓扑结构一共划分为四个VLAN区域。其中VLAN14区域为武汉市规划国土资源管理局的各个分局和局属院所，VLAN10、VLAN11、VLAN12属于市局内网部分。根据对信息系统的调查分析，确定将NAS服务和办公自动化应用服务作为评估的切入点，将信息系统划分为四个实体层面进行评价，即物理层面、计算机网络层面、系统层面、应用层面。物理安全体现为环境安全、设备安全、媒体安全。计算机网络层面主要包括交换机（cisco3500、cisco9300、cisco2950）和路由器。系统层面主要指服务器上的操作系统（Windows 2000 Server）与数据库系统（SQL2000 Server）。应用层面指实现应用服务的应用软件，包括NAS应用软件、办公自动化应用软件。

评估结果统计分析与评价

依据相关标准《GB17859-1999计算机信息系统安全保护等级划分准则》和《GA/T391-2002计算机信息系统安全等级保护管理要求》，按照管理要求第一级和第二级的评估标准的80项管理要求，武汉市规划国土局信息系统的安全管理评估结果中，满足要求的共计30项，部分满足要求的共计30项，没有满足要求的共计20项，对没有满足的管理要求，按照不适用、技术、预算、时间、文化、环境、其它等7个方面的原因进行了分析归类，其中不适用指评估原则不适用本系统；技术指由于安全管理技术不全面而没有考虑到的原因；预算指出于经费考虑没有实施的原因；时间指项目已列入计划，实施只是时间问题。

根据计算机信息系统安全等级保护管理的第一和第二级要求，武汉市规划国土局较好地实施了对其信息系统的基本管理，也基本实现了操作规程管理（分别对应于安全保护等级中的用户自主保护级和系统审计保护级）。评价具体如下：

管理目标和范围方面：有统一的安全管理机构以及较完整的安全管理计划，但计划还不全面，如安全管理计划并没有涉及风险管理的内容。安全目标和安全范围具体，有详细的安全管理文档描述和说明，对信息系统的网络、物理设备以及自主开发应用系统实施了生命周期的全程管理，制定了设备购买及其安全操作方面的操作规程，但安全操作规程尚不完善。

人员与职责要求方面：安全管理机构符合要求，任命了安全管理员，并赋予其相应的安全管理权限。安全管理员都有一定的专业技术水平，安全负责人在安全工作方面具有相应的经验和技能，并且都基本履行了相应的职责，但在风险分析和安全性评估方面的工作有所欠缺。

物理安全管理要求方面：信息中心建立了物理安全区，机房是专用机房，还为服务器建立一个单独的隔离机房。而且此机房的物理安全防护措施在防火、温度控制、防盗、出入监控方面较完备，但对一些必备的物理安全措施没有很好实现，如湿度控制，物理安全管理工作由几个相关部门协同负责完成，而且也具有物理安全管理规章制度，并据此制定了相应的物理设施的操作流程。对所有设备建档立卷，实现了对物理设施的分类编目以及严格的登记制度。

系统安全管理要求方面：系统安全管理方面的工作主要由信息中心网络室工作人员负责，其对操作系统和数据库系统进行了日常的安全管理。具有对操作系统和数据库的安全配置和备份方面的安全管理规章制度，操作系统和数据库系统及其信息资源实际也得到了安全的备份，但没有针对操作系统和数据库系统的配置和备份等方面的操作规程，且经实地验证，操作系统和数据库系统均为默认安装配置，存在安全隐患。系统授权用户使用唯一的用户名和口令访问系统资源，但没有对用户口令复杂度的规定，实际存在较多弱口令。采取一定的措施，如统一分发系统工具和拆卸光驱，对系统进行授权管理和变更控制。系统管理员开展了一定的系统安全性维护工作，但经漏洞扫描验证有服务器存在安全配置方面的漏洞。

网络安全管理要求方面：由网络管理室工作人员负责网络环境安全管理工作，网络管理员具体履行对网络安全措施的日常管理，对网络连接和网络安全措施等方面实施安全性检查。具有关于网络配置和网络接入方面的安全管理规定，但没有制定网络使用和网络服务方面的策略。利用授权制度和机制实现用户对网络的安全访问控制，实现对网络配置的变更控制，但经实地验证，网络交换机和路由器的口令为空口令，存在严重的安全隐患，同时也没有对网络访问和网络安全事件等进行安全审计，也缺乏网络安全事件报告流程，以及相应的应急计划。网络设施实施了必要的备份。每年对网络用户实施安全教育和培训。

应用安全管理要求方面：网络管理室工作人员负责应用系统的安全管理，对应用系统进行安全配置和备份，维护工作由系统开发室负责完成，但都没有制定相关的规章制度。数据库应用软件自主开发，有配套的技术和操作文档，经验证管理人员基本据此实施对应用系统的管理。依据部门划分对应用系统数据和信息进行分类管理，并利用授权和访问控制机制保证信息的安全共享和发布，但没有与授权用户签署授权许可以及安全协议。经验证对应用系统及数据实施了有效地备份，但缺乏明确的备份计划和应急计划。

运行安全管理要求方面：制定了信息中心安全生产管理规定，并制定了部分管理制度，但没有对这些规定和制度进行完善。确保运行安全而采取的方法和措施有物理监控、备份、容错以及病毒检测和防护，经验证均运转正常，但信息系统感染病毒情况较多。信息中心实行网络值班制，负责对信息中心运行安全的监督和检查。经验证每年举办安全方面的培训，但没有制定特别明确的计划。经验证明确了系统安全管理员和普通用户的访问权限以及其对各类资源的责任，并有相应的管理。对应用软件的采购、安装和使用等方面实施批准和授权制度。对外部服务方访问信息系统实施人员监督，但没有签署安全保密合同，也没有对其可能带来的安全性问题进行安全性评估。实现了良好的自动化备份，且有专人负责，但备份制度还有待于完善。

系统安全建议

对照计算机信息系统安全等级保护的要求，要满足第一级要求，必须在一些方面进行改进，如：制定整体全面的安全管理计划，以进一步明确安全目标和范围；建立和健全对物理、系统、网络、应用和运行制定安全规章制度，并不断修订和完善；充分考虑到对安全管理员作安全管理的职责规定和实际履行要求；根据分类编号对物理设备加上识别标签；加强出入管理保证运行安全，建议被测单位信息中心工作人员佩戴识别标志（比如胸牌等标志）等。

5.信息系统运营使用单位等级保护工作情况篇五

信息安全等级保护工作检查总结材料

一、部署和组织实施情况

为加强我校信息系统等级保护工作的组织领导，扎实推进信息系统等级保护工作开展，预防和杜绝信息系统安全事件发生，确保信息系统安全，我校成立了网络与信息安全工作领导小组，并组织相关专业技术力量，全面负责信息系统安全管理工作。2011年6月份信息（网络）中心召开多次会议，学习、讨论《信息系统安全等级保护定级指南》等相关文件，组织开展我校信息安全等级保护工作，由各个信息系统的使用部门专人完成相应的信息系统定级工作。

二、定级备案情况

我校各个信息系统的定级报告及备案表汇总到信息（网络）中心，由信息（网络）中心统一使用专用备案工具生成备案电子数据，共8个信息系统，其中二级信息系统四个，其余的为一级系统，即将上报完成相关备案工作。

三、测评情况

我校信息安全等级保护测评工作已经开展，计划将在11月份请相关的测评机构来我校完成信息安全等级保护测评，并上报公安机关备案。

四、安全建设整改情况

我校制定了《南京林业大学计算机安全管理办法》、《南京林业大学网络安全使用制度》、《南京林业大学网络与信息安全应急处置工作预案》等管理制度。设置信息安全管理员岗位，负责我校信息安全管理工作。在校园网络边界部署了千兆防火墙，并设置了上网行为管理平台，保存日志审计等。我校每年都有相应的专项建设经费，用于定级保护安全建设。根据即将开展的测评情况，我们将进一步完成信息安全等级保护相关的建设整改工作。

6.信息系统运营使用单位等级保护工作情况篇六

电力行业作为国家重要能源工业, 是国民经济的基础产业, 与工农业生产和人民生活息息相关, 因此, 在电力系统中实施等级保护, 从管理和技术两大方面提高电力信息系统的安全防护能力, 有效降低电力信息系统的安全风险, 将对电力信息系统的正常、稳定和可靠运行, 乃至国民经济的平稳运行产生重大意义。

1 信息系统安全等级保护概述

根据等级保护要求, 信息系统根据其重要性不同, 由低到高被划分为1至5级。在电力系统中, 管理信息系统主要为2级、3级系统, 生产控制系统主要为3级、4级系统。

(1) 开展定级备案。由信息系统运营、使用单位依据《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级, 并报公安部备案。

(2) 进行等级保护符合性测评, 发现与《信息安全技术信息系统安全等级保护基本要求》 (GB/T22239—2008) 中技术、管理要求的不符合项。

(3) 依据公司整体安全方针、等级保护符合性测评报告, 编制符合本单位实际情况的等级保护实施方案。

(4) 根据等级保护实施方案开展建设, 主要包括:安全域划分与实现、安全产品采购与部署、边界防护、安全配置加固、应用改造、机房物理环境整改、完善信息安全管理工作。

(5) 进行等级保护测评, 验证建设效果。

2 具有电力行业特色的等级保护建设

2.1 电力信息系统的安全防护现状

电力行业应用信息化技术比较广泛, 也较早重视信息系统安全问题, 在信息安全方面开展了一系列的工作, 形成了以网络隔离、边界防护和分层分级纵深防御为主要特点的立体化安全防护体系, 为开展等级保护工作奠定了扎实的基础。

2.2 电力信息系统等级保护建设历程

2007年7月16日, 公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合签发《关于开展全国重要信息系统安全等级保护定级工作的通知》 (公信安[2007]861号) , 正式启动了2007年7月至10月在全国范围内组织开展的重要信息系统安全等级保护定级工作。

电力行业作为国家基础性行业之一, 一直积极贯彻执行国家的方针政策。2007年11月, 国家电监会下发了《电力行业信息系统安全等级保护定级工作指导意见》。国家电网公司率先启动了等级保护工作, 2006年开展了信息系统安全等级保护制度研究与试点工作, 2007年进行了试点, 2008年涉奥单位完成了等级保护建设的主体工作, 2009年全面展开等级保护建设工作。

2.3 等级保护在电力信息系统中的应用

等级保护建设分为管理和技术两大方面, 其中管理包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理5个部分, 技术包括物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等。以下按照等级保护3级系统标准为例探讨等级保护在电力信息系统中的应用。

(1) 管理方面。

等级保护管理建设包括的内容非常多, 很多单位经过多年的建设已经形成了较为完善的管理体系, 比较容易满足等级保护的要求。易出现不符合项的主要有以下方面:管理制度的评审和修订不及时;人员离岗后相应系统权限、各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等撤销或收回不及时;关键岗位的人员未签署保密协议;外部人员管控不到位;介质的分类、维修和销毁等管理不完善。

其中, 特别需要引起重视的是对内部员工和外部研发及技术支持人员的管控, 这些人员往往接触和掌握公司大量敏感信息, 对公司资产造成的威胁最大。除了加强安全教育外, 还应签署保密协议, 从法律上对可能出现的违约行为加以限制和威慑。

(2) 物理环境安全。

一些物理安全问题往往受限于多种因素而难以整改, 或整改成本过高, 在等级保护应用中一般选择接受现状, 如机房位置的选择、机房布局与区域划分、电磁防护。

出现概率较高且相对容易整改的不符合项主要有:无电子门禁系统;机房出入管理不严格, 出入登记缺失或记录不详细;无防感应雷措施;强弱电线缆未隔离铺设;设备无标签或标签信息不完备;无防水检测和报警设施;未使用精密空调或由于水质过硬等原因而导致湿度调节功能不完善。

近些年电力信息化建设突飞猛进, 信息系统规模愈来愈庞大, 从而直接导致机房设备数量的大幅增加, 对机房空间、空调、供电乃至机房承重都造成了很大挑战, 再加上一些机房原本就是通过办公室等改建而成, 因此很多单位的机房物理安全难以全面满足等级保护要求, 通常需要借助新建或搬迁机房才能得到根本的解决。

(3) 网络安全。

基础网络是承载电力信息系统运行的平台, 其安全性直接决定了整个信息系统的安全等级, 是等级保护建设的重点之一。

网络安全防护主要包括:1) 安全域划分:根据等级保护定级结果, 对高安全等级系统, 如4级系统、3级系统划分独立的安全域, 对安全性要求相对较低的2级系统可统一划分为1个安全域, 同时结合电力系统自身的特点, 将互联网接入区与办公网络分离, 并实施强边界隔离, 通过层层设防, 提高关键业务系统和数据的安全性。2) 确定网络边界:确保所有的网络边界都纳入公司统一的管理之中, 常见的边界有:与Internet互联网的边界、银企互联边界、与其他社会代收机构的边界 (专线连接) 、公共服务通道 (专线、GPRS、CDMA、3G等) 与其他社会代收机构连接 (VPN) 等。3) 实施边界安全防护:明确了网络边界后, 对边界进行分类汇总, 通过部署防火墙或者网络设备上设置访问控制策略, 严格控制不同安全域之间的访问行为, 尤其是低安全域访问高安全域的行为。4) 网络设备安全防护:网络设备的远程管理都要采取SSH、HTTPS等加密方式, 且限制管理员登录地址;网络设备口令的加密强度、SNMP服务的默认口令串等也是网络设备防护的薄弱点。

等级保护3级系统要求网络设备支持2种或2种以上组合的鉴别技术来进行身份鉴别, 对此, 应根据实际情况区别对待, 老旧设备可能难以实现, 而对于新设备可在采购过程中作为必需满足项或通过配置启用相应的功能, 同时也要适当考虑经济性。

在严密的边界防护基础上, 结合严格的访问控制策略和口令管理流程也可有效降低此不符合项所带来的风险。等级保护3级系统对主机安全和应用安全方面也有同样的要求, 可采取类似的措施。

网络安全中除边界防护外, 还必须加强终端安全, 多年的实践表明, 尽管投入很大, 部署了物理隔离装置、防火墙、防病毒系统、补丁升级系统、入侵检测系统、入侵防御系统等众多的安全设备, 但安全态势仍无法令人满意, 很重要的一点就是未对终端防护给予足够的重视。

一方面, 终端往往是病毒木马的传播者和攻击的发起者;另一方面, 终端的非法外联也带来很大的安全风险, 如通过拨号、无线等方式绕过边界防护, 使得来自互联网的攻击者可直接访问内部系统。针对终端的安全问题, 可以通过部署桌面终端管理系统来进行管控, 注意必须覆盖所有的终端, 并设置严格的安全策略, 使得只有满足一定安全要求的终端才能接入公司网络, 并对非法外联行为进行阻断及定位, 做到严格的接入管控, 从而在根本上解决终端的安全防护问题。

除此之外, 移动存储介质的管控也不可忽视, 移动存储介质已成为传播摆渡型病毒木马和泄密的重要途径, 目前大部分桌面终端安全管理软件均可做到对USB、光驱等外设接口的有效管控。

(4) 主机安全。

主机系统的安全状况历来比较受重视, 在防病毒、补丁升级、弱口令、入侵检测等方面均有较完善的安全措施。根据等级保护3级要求, 需完善的方面如下:1) 采用SSH、HTTPS等加密方式进行远程管理;2) 监控重要服务器的CPU、硬盘、内存、网络等资源的使用情况, 并对系统的服务水平降低到预先规定的最小值进行检测和报警。

相比主机系统, 数据库系统存在问题较多, 需完善的方面如下:1) 数据库监听器空口令 (Oracle10g以前版本) 、系统内置账户的默认口令、安装了多余的组件;2) 默认的账户口令策略和日志审计策略;3) 补丁升级迟滞。

关于剩余信息保护的要求, 由于主要依赖于操作系统和数据库系统自身的实现, 通常选择接受现状。

(5) 应用安全。

早期的的应用程序设计对安全关注较少, 近年来国家电网公司倡行信息标准化, 推行典型设计, 从需求分析、设计、开发、上线前测评等多个环节中引入安全要求, 应用系统的安全性得到了很大改观, 尚待继续提升的方面有:1) 采用加密技术确保数据传输过程中的机密性和完整性;2) 采用数字证书等技术确保抗抵赖性。

(6) 数据安全及备份恢复。

数据安全的重点是保护数据存储、处理和传输过程中的机密性、完整性。

数据的备份与恢复包括2方面, 一是设备和链路等的冗余设计, 避免关键节点出现单点故障;二是数据的本地备份与恢复及异地备份。

数据备份与恢复应考虑经济性, 尤其是异地灾备中心的建设, 通常进行全局考虑, 建设区域性的灾备中心, 即满足异地备份的需要, 又可节约投资。

3 结语

7.信息系统运营使用单位等级保护工作情况篇七

（第33期）

来自：国家信息安全等级保护工作协调小组办公室时间：2008-01-04

全国重要信息系统安全等级保护定级工作取得

重大成效

为了保障党的“十七大”胜利召开和北京奥运会的顺利举办，按照《国家网络与信息安全协调小组关于确保党的十七大信息安全的意见》和《国家网络与信息安全协调小组2007年工作要点》安排，公安部会同国家保密局、国家密码管理局、国务院信息办于2007年7月份开始，在全国范围内部署开展了重要信息系统安全等级保护定级工作（以下简称“定级工作”）。几个月来，各级公安、保密、密码、信息办密切配合，周密部署，广泛宣传，加强指导，各重要信息系统运营使用单位及其主管部门认真组织，积极落实，定级备案工作取得重大成效，基本完成了全国重要信息系统的定级工作任务。

一、定级工作明确重点、突出重点，有力地推动了国家信息安全保障工作

此次定级的范围和对象主要是电信、广电行业的公用通信网、广播电视传输网等基础信息网络；涉及国计民生的重要行业中生产、调度、指挥、控制、管理、办公等重要信息系统；国有大型骨干企业的重要信息系统；市（地）级以上党政机关的重要网站、管理系统和办公系统；涉及国家秘密的信息系统。定级工作覆盖了国家重要领域、重要部门，明确了重点、突出了重点。绝大多数备案信息系统定级准确、备案及时，为深入开展信息安全等级保护工作，全面落实《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号），提高国家基础网络和重要信息系统安全保护能力奠定了坚实基础。

二、各地区、各部门高度重视，狠抓落实

（一）及时成立等级保护工作领导机构，为定级工作的顺利开展提供了组织保证。2007年7月20日，公安部、国家保密局、国家密码管理局和国务院信息办组织召开“全国重要信息系统安全等级保护定级工作电视电话会议”后，各级党委政府和主要领导高度重视，迅速作出了明确批示或指示。各省（区、市）和各部（委、局）根据全国定级工作电视电话会议和四部委通知精神，结合本地区、本行业实际，研究制定下发定级工作指导意见或实施方案。人民银行、铁道部、海关总署、电监会、水利部、信息产业部、广电总局、税务总局、证监会等50多个部（委、局）专门成立了由主要领导挂帅的等级保护领导（协调）机构，确定责任部门，召开全系统会议，部署定级工作，为定级工作的顺利开展提供了组织保证。各省（区、市）或专门成立了由主要领导挂帅的等级保护领导（协调）机构，或由网络与信息安全协调小组领导开展定级工作，并落实了由公安机关牵头，保密部门、密码部门、信息办参加的等级保护工作办公室。

（二）各地区、各部门认真贯彻定级工作会议和通知精神，认真抓好落实。各省（区、市）和各部（委、局）根据全国定级工作电视电话会议和四部委通知精神，结合本地区、本行业实际，研究制定下发定级工作指导意见或实施方案，确定技术支持单位，组建专家组，认真开展定级工作。铁道部、人民银行、海关总署、国税总局、证监会、电监会、国防科工委、民航总局、农业部、商务部、国家统计局、质检总局、水利部、文化部、科技部、国家体育总局、国资委、国家民委、国土资源部、国家地震局、国家海洋局、国家外汇管理局、中国进出口银行等40多个部（委、局）以及国家电网公司、中石油集团、中石化集团、中材集团、建筑设计院等中央骨干企业还召开了专门会议，部署定级工作或开展集中培训。通过培训，各单位、各部门准确理解等级保护政策和标准，定级工作趋于规范化。人民银行、劳动和社会保障部、国家体育总局、水利部、发改委、商务部、卫生部、证监会、新华社等30多个部（委、局）请专家对定级系统进行了评审。通过开展定级工作，各单位、各部门提高了对国家信息安全保障工作重要性的认识，加深了对信息安全等级保护制度的理解，同时，培养和锻炼了信息安全队伍。

三、各级公安、保密、密码、信息办密切配合，认真组织，确保定级工作顺利实施

公安机关与保密部门、密码部门、信息办密切配合，按照全国重要信息系统安全等级保护定级工作电视电话会议精神和部署，积极组织各行各业开展定级工作。主要措施是：

（一）及时举办了定级工作培训班。2007年7月31日，公安部在北京举办了为期一天的中央和国家机关定级工作培训班。在京的中央和国家机关各部委、国务院各直属机构、办事机构、事业单位共93家单位150余人参加了培训。各省（区、市）公安机关也举办了相关部门参加的培训班，重点就开展定级工作的政策、内容、要求以及相关技术进行了培训。

（二）召开了全国公安机关信息安全等级保护工作会议。2007年8月2日至3日，公安部在黑龙江召开了全国各省（区、市）、计划单列市和副省级以上城市公安机关网监部门的分管领导和业务骨干共120余人参加的信息安全等级保护工作会议，对全国公安机关牵头组织开展信息安全等级保护工作进行了全面部署。各省（区、市）公安机关也按照公安部的部署，及时召开了公安机关信息安全等级保护工作会议，对本省（区、市）公安机关牵头组织开展信息安全等级保护工作进行了部署。

（三）开展了对信息系统主管部门和运营使用单位定级工作的监督、检查和指导。一是组织召开了十部委定级工作汇报交流会。2007年9月18日，公安部召集信息产业部、广电总局、铁道部、人民银行、海关总署、国税总局、民航总局、证监会、电监会、保监会等十家基础信息网络和重要信息系统主管部门的有关处长召开了定级工作汇报交流会，听取了十部委定级工作部署开展情况的工作汇报和工作建议，交流了定级工作经验和体会，并就加快开展定级工作提出了明确要求。二是加强对有关部门定级工作的指导和支持。从2007年9月24日开始到现在，公安部会同有关专家，对国家工商总局、国土资源部、教育部、卫生部、劳动与社会保障部、交通部、广电总局、铁道部、人民银行、海关总署、国税总局、民航总局、证监会、电监会、保监会、科技部、财政部、外交部、人事部、气象局等20多个部委的定级工作进行上门指导和调研，各地公安机关也同步开展上门指导工作，进行政策解读，协助解决工作中存在的问题，推动了所到单位定级工作的开展。三是配合有关部门开展定级工作培训。截至目前，公安部应邀参加了铁道部、人民银行、海关总署、国税总局、证监会、电监会、国防科工委、民航总局、农业部、商务部、国家统计局、质检总局、水利部、文化部、科技部、国家体育总局、国资委、国家民委、国土资源部、国家地震局、国家海洋局、国家外汇管理局、中国进出口银行等40多个部（委、局）以及国家电网公司、中石油集团、中石化集团、中材集团、建筑设计院等中央骨干企业的定级培训班，直接为培训人员讲解有关政策和标准，为有关部门的定级工作提供支持。各地公安机关也为本地相关部门组织的培训班提供了指导和帮助。四是及时反映各地区、各部门的工作进展，加强工作经验交流。为及时反映、交流各地区、各部门开展定级工作的做法和经验，公安部以国家信息安全等级保护工作协调小组办公室名义编发了《信息安全等级保护工作简报》30多期，发各部委、奥组委和全国公安网监部门、信息办，强化了对定级工作的指导。

（四）及时出台备案、监督检查等工作规范，使定级备案、监督检查工作法制化。各级公安机关精心组织受理备案和备案材料的审核工作，严格把关。公安部及时出台《信息安全等级保护备案实施细则》，确保了定级备案工作的顺利进行，正在研究制定《公安机关信息安全等级保护监督检查规范》，为下一步开展监督检查工作打下良好基础。

四、分析定级备案数据，进一步明确等级保护工作重点

全国重要信息系统定级工作是等级保护工作的首要环节和关键环节，这项工作的基本完成，标志着我国信息安全保障工作步入科学化、规范化、标准化阶段，对我国信息安全保障工作将会起到巨大的推动作用。根据此次定级备案的情况，对反映出的国家信息安全状况作初步分析：

（一）高依赖度的信息系统所占比例大、数量多，反映出我国信息化发展迅猛，社会进步、经济发展对重要信息系统具有强依赖性。根据备案数据统计，银行、铁路、民航、税务、海关、电力、证券等重要领域的生产、调度、管理、控制、指挥等重要业务完全依赖或较强依赖的信息系统占备案总数的较大比例。说明这些重要业务均已实现了信息化，并对信息系统具有很强的依赖性，这些系统一旦瘫痪，重要领域、部门的生产、调度、办公等重要业务工作将完全停顿或受到严重影响。因此，在定级备案后，各部门、各单位应及时按标准开展安全建设整改和等级测评工作，解决随时可能发生的安全事件和事故，堵塞漏洞和安全隐患。

（二）重要信息系统集中在广电、银行等重要行业，需要尽快落实安全措施重点保护。根据备案数据统计，第三级以上的重要信息系统主要分布在电信、广电、银行、铁道、海关、税务、民航、证券、电力、公安、财政、教育、科技、国防、交通、文化、工商、劳动保障、水利、卫生、统计等涉及经济命脉、社会发展的重点行业、重点领域。全国范围服务的特大型信息系统占有较大比重。因此必须重点维护和保障这些重要行业信息系统，特别是涉及全国范围的特大型信息系统的安全，从根本上提升国家基础信息网络和重要信息系统整体安全保护水平。

（三）有些部门信息安全责任、安全措施和安全制度不落实，信息系统存在严重的安全隐患和问题。公安机关在督促、检查、指导有关单位定级工作中发现，一些重要信息系统的安全状况十分令人担忧，以至发生严重的信息安全事件，直接威胁国家安全和北京奥运会的顺利举办。信息系统主管部门和运营使用单位必须通过实施等级保护，突出重点，严格进行安全建设、整改，落实安全责任，建设安全设施，落实安全措施，从根本上解决重要信息系统存在的严重问题，扭转信息安全面临的被动局面。

8.信息系统运营使用单位等级保护工作情况篇八

9月8日上午，公司在一号会议室召开2011信息化座谈会后，紧接着召开了信息安全工作领导小组会议，会议议题为信息安全等级保护工作部署。公司领导、公司相关部（室）主要负责人和业务骨干及信息中心全体人员参加了会议。

结合公安部会同国家保密局、国家密码管理局和国务院信息办下发的《关于开展全国重要信息系统安全等级保护定级工作的通知》、国家局《烟草行业信息系统安全等级保护基本要求》以及8月30日关于开展信息系统安全等级保护工作情况调查建立联络员制度的函（桂公（信安）[2011]12号文）要求，就如何提高信息安全管理水平和保障能力，对下一步对信息系统进行梳理，对业务系统进行定级、备案等提出要求。

会议要求做好信息系统安全等级咨询工作，通过等级保护咨询公司，按照等级保护的要求，结合烟草行业的要求，对信息系统进行定级，信息中心联合各个业务部门，对业务系统的定级情况进行分析论证，最终确定信息系统的等级情况，并报国家局和本地公安部门进行备案。通过定级，差异

9.信息系统运营使用单位等级保护工作情况篇九

关键词：三甲医院,信息系统,等级保护,测评

1引言

伴随着医院信息化建设的开展,医院对信息系统的依赖越来越大[1,2]。然而,信息系统本身存在技术、管理等安全问题。因此,文章根据国家及行业制定的信息系统安全等级保护相关配套标准[3,4,5],设计了某三级甲等医院信息系统等级保护测评的方案。通过测试手段对信息系统的安全技术措施、安全管理制度进行单项验证和整体性分析,检测信息系统现有的安全保护能力与国家、行业要求之间的差距,为该医院信息化建设的下一步整改提供科学、合理的依据。

2 医院概况

该医院为全国三级甲等综合性医院,医院信息系统的安全保护等级定为三级(S3A3G3)。医院的信息系统包括:市医保、区医保、金保、铁路医保、挂号系统、门诊系统、住院系统、排队叫号系统、检验系统、医学影像系统、病理系统、药房系统、药库系统、OA系统等。医院的网络结构按功能划分为边界接入区、核心交换区、服务器区和办公区4大功能区域,如图2所示。

3 信息系统安全等级保护测评的设计

3.1 信息系统安全等级保护测评流程

测评流程如图1所示。其中,测评准备活动包括等级测评项目启动、信息收集与分析、工具和表单准备。方案编制活动包括测评对象和指标、测评工具接入点、测评内容三者的确定,测评实施手册开发及测评方案编制。现场测评活动包括测评实施准备、现场测评和结果记录、结果确认和资料归还。分析与报告编制活动包括单项测评结果判定、等级测评结论形成、整体测评、测评报告编制、风险分析、测评结果评审[3]。

3.2 测评对象与指标

3.2.1 测评对象

机房、业务应用软件(市医保、区医保、金保、铁路医保、挂号系统、门诊系统、住院系统、排队叫号系统、检验系统、医学影像系统、病理系统、药房系统、药库系统、OA系统等)、业务应用软件服务器的操作系统、网络互联设备(交换机、路由器)的操作系统、安全设备(防火墙)的操作系统、安全管理文档。

3.2.2 测评指标

测评指标包括物理安全等10项指标,而物理安全又包括防盗窃和防破坏、物理位置的选择等子类[5]。

3.3 测评方法与工具

3.3.1 测评方法

(1)本次测评的主要方法包括访谈、检查和测试三种方式。

(1)访谈的主要内容是“安全管理”类的安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理等管理制度。通过详细阅读各项管理制度,并与安全主管、人事负责人、系统建设负责人、资产管理员、运维管理员等,讨论各项制度描述、执行过程中存在疑问的地方。

通过与不同类型的人员讨论的方式体现了访谈的广度,通过对管理制度存在的疑问进行共同探讨研究的方式体现了访谈的深度。

(2)检查是对所有测评指标的功能级文档、机制和活动进行详细彻底的分析、观察和研究。根据获取的数据,证明被测系统当前的安全机制、配置、实现情况是否符合要求。

检查所有测评指标体现了检查内容的广度。详细彻底的分析、观察和研究测评指标的功能级文档、机制和活动的检查方式,体现了检查内容的深度。

(3)测试是通过手工测试、工具扫描、模拟攻击等方式,对被测系统中的主机、网络设备、业务系统,进行功能、安全性等方面的测试。

手工测试、工具扫描、模拟攻击等方式,体现了测试的深度。对主机、网络设备、业务系统进行功能、安全性等方面的测试,体现了测试的广度。

(2)风险分析方法

测评项目依据安全事件可能性和安全事件后果,对信息系统面临的风险进行分析。分析过程包括:

(1)判断医院信息系统的安全保护能力缺失(等级测评结果中的部分符合项和不符合项)被威胁的时候,利用导致安全事件发生的概率,可能性的取值范围为高、中和低。

(2)判断安全事件对信息系统业务信息安全和系统服务安全造成的影响程度。影响程度取值范围为高、中和低。

(3)综合过程(1)和(2)的结果,对信息系统面临的风险进行汇总和分等级。风险等级的取值范围为高、中和低。

(4)结合信息系统的安全保护等级,对风险分析结果进行评价,即对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的风险。

3.3.2 测评工具

测评的信息系统为三级信息系统。根据三级信息系统的测评强度要求,在测试的广度上,应基本覆盖所有的安全机制,在数量、范围上可以抽样;在测试的深度上,应执行功能测试和渗透测试。功能测试可能涉及机制的功能规范、高级设计和操作规程等文档。渗透测试可能涉及机制的所有可用文档,并试图进入信息系统等。因此,对其进行测评,应涉及到漏洞扫描工具、渗透测评工具集等多种测试工具:

(1)Nessus,是目前全世界使用人数最多的集系统漏洞扫描与分析一体的软件。

(2)绿盟远程安全评估系统,它能够实现漏洞预警、漏洞检测、风险管理、漏洞修复和漏洞审计等功能。绿盟科技NSFOCUS安全小组到目前为止已经独立发现了40多个知名厂家的漏洞,绿盟科技维护着全球最大的中文漏洞知识库。

3.4 测评内容与实施

等级测评的现场实施过程由单元测评、工具测试和整体测评三部分构成。

3.4.1 单元测评

对应各安全控制点的测评称为单元测评。其包括物理安全测评等10个测评任务[5]。因篇幅有限,这里只列举物理安全测评。

(1)物理安全测评

物理安全测评通过访谈和检查方式测评信息系统的物理安全保障情况,主要涉及对象为信息系统所在的机房。

(2)物理安全测评内容

物理安全层面测评内容涉及物理位置的选择等10个安全子类。而物理位置测评指标包括:

(1)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。

(2)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。

(3)物理安全测评实施

物理安全测评实施方法及过程[5]:

(1)文档查阅与分析。测评人员对测评委托放提交的物理安全相关文档(含制度、记录等)等进行查看和分析,并记录相关证据。

(2)机房实地观测。测评人员在配合人员的陪同下对机房的安全措施进行现场观测,并记录相关证据。

(3)人员访谈。测评人员根据文档查阅和实地观测的测评结果,针对部分不确定项目访谈相关人员,获取补充证据。

(4)结果确认。测评人员向配合人员提交物理安全测评的初步结果记录。测评双方对初步结果进行下一步的分析和修订后,认可形成物理安全测评结果记录。

(4)物理安全测评配合需求

物理安全测评配合项及需求说明[5]:

(1)配合人:机房安全管理员陪同测评人员出入机房,并提供相关的文档(如机房出入人员记录、空调设备等基础设施的维护记录等)。

(2)安全权:测评人员在测评实施期间出入机房的授权许可。

(3)办公环境:会议室。

3.4.2 工具测试

通过漏洞扫描工具、应用安全扫描工具,对主机、应用业务系统进行扫描,找出其存在的安全隐患。

3.4.3 工具接入点

针对被测系统的网络边界和抽查设备、主机及业务应用系统的情况,需要在被测系统及其互联网络中设置两个工具接入点JA、JB。工具测试接入点示意图如图2所示。“接入点”标注表示进行工具测试时,需要从该接入点接入,对应的箭头路线表示工具测试数据的主要流向。

(1)JA接入点工具测试过程描述:

(1)在JA接入点的边界区域互联网、卫生专网、市医保、南铁医保等,为扫描工具提供网络接入接口。

(2)为扫描工具分配相应网段的IP地址,在JA点接入扫描工具,通过防火墙、核心交换机,对服务器区的HIS服务器、PACS服务器等,进行漏洞扫描及应用安全扫描。

(2)JB接入点工具测试过程描述:

(1)在JB接入点抽取一个办公区接入交换机,为扫描工具提供网络接入接口。

(2)为扫描工具分配两个办公区网段的IP地址,在JB点接入扫描工具,通过接入层交换机、汇聚层交换机、核心交换机,对服务器区的HIS服务器、PACS服务器等,进行漏洞扫描及应用安全扫描。

3.5 整体测评

系统整体测评主要是在单项测评的基础上,通过测评分析安全控制点间、层面间和安全区域间存在的关联作用,在整体结构上是否合理、简单、有效,验证和分析不符合项是否影响系统的安全保护能力,测试分析系统的整体安全性是否合理[3]。

3.5.1 控制点间安全测评

在同一功能区域的同一层面内,其他安全控制点是否存在对该安全控制点具有补充作用(如安全审计、物理访问控制、防盗窃及抗抵赖等)。另外,分析是否存在其他的安全措施或技术与该要求项具有相似的安全功能。

3.5.2 层面间安全测评

层面间的安全测评,重点分析其他层面上功能相同或相似的安全控制点是否对该安全控制点存在补充作用(如应用层加密与网络层加密、主机层与应用层上的身份鉴别等),以及技术与管理上各层面的关联关系(如主机安全与系统运维管理、应用安全与系统运维管理等)。

3.5.3 区域间安全测评

区域间安全测评,重点分析系统中访问控制路径(如不同功能区域间的数据流流向和控制方式),是否存在区域间安全功能的相互补充。

4 结论

通过对三级甲等医院的信息系统进行安全等级保护测评方案的设计,与国家及行业的标准、制度进行比较,得出该医院信息系统基本符合第三级安全保护的要求。但存在如机房管理不规范、工作人员信息安全意识薄弱等问题。文章设计的信息系统等级保护测评方法,具有较高的可操作性,为该医院信息化建设的整改提供依据,可作为其他医院测评的借鉴。

参考文献

[1]郎漫芝,王晖,邓小虹.医院信息系统信息安全等级保护的实施探讨[J].计算机应用与软件,2013,1:206-208.

[2]徐璟璟.医院信息系统安全等级保护[J].信息与电脑(理论版),2015(8):91,93.

[3]GB/T28449-2012.信息安全技术信息系统安全等级保护测评过程指南[S].2012.

[4]GB/T22240-2008.信息安全技术信息系统安全等级保护定级指南[S].2008.

10.信息系统运营使用单位等级保护工作情况篇十

按照国家相关法律和国家标准, 一些重要行业、重要单位需要根据信息系统在国家安全、经济建设、社会生活中的重要程度, 信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民法人和其他组织的合法权益的危害程度等因素,对重要的信息系统确定其应该达到的安全保护等级(分为五个级别),信息系统安全保护能力随着其被确定的安全保护等级的增高, 逐渐增强。在对信息系统进行定级、采取安全防卫措施后,还需要确认该系统是否已经达到相应的保护等级及在未达到的情况下给出整改方案。

按照《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统安全保护等级划分准则》等法规和标准,信息系统的安全等级保护流程分为:确定等级、安全建设、等级测评、安全整改、安全检查等五个步骤。

2 定级流程

现有方法在定级流程的第二和第三步,即评定定级对象的业务信息安全保护等级和系统服务安全保护等级时,国家标准GB 17859-1999《信息系统安全保护等级定级指南》中建议各行业可根据本行业信息特点和系统服务特点,制定客体被侵害程度的综合评定方法。但现实中缺乏一套通用的准则和方法,因此在评价客体被侵害程度时受到人为因素的影响程度较大,定级过程中人员的主观性强,对定级结果产生不利影响,如果定级不够准确,则将影响该信息系统的后续防护工作,即不能实施与国家标准中匹配的防护强度,给防护带来较大的安全隐患。

本文主要针对现有定级工作定级缺乏可行的准则,定级结果主观成分大,定量不足的缺点,提出一种定性与定量结合的定级方法,提高信息系统的安全保护等级的定级准确性,从而安全建设环节根据定级结果做好重要信息系统的安全防护。

2.1 确定定级对象和受侵害的客体

为了体现重要部分重点保护,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。

2.3 确定对客体的侵害程度

(1)侵害的客观方面。由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种危害方式。(2)综合判定侵害程度。国家标准GB 17859-1999《信息系统安全保护等级定级指南》种,将不同危害后果的三种危害程度描述:一般损害、严重损害、特别严重损害。

2.4 确定定级对象的安全保护等级

根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据业务信息安全保护等级矩阵表,即可得到业务信息安全保护等级。根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据系统服务安全保护等级矩阵表,即可得到系统服务安全保护等级。作为定级对象的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。

3 基于层次分析法的定级

本文采用层次分析法来进客体被侵害程度的定量确定。

3.1 建立层次分析模型

建立层次分析模型的过程:首先建立最高层(解决问题的目的);中间层(实现总目标而采取的各种措施、必须考虑的准则等,也可称策略层、约束层、准则层等);以电信业务这一客体被侵害时受到影响必须考虑的因素为例,通常需要考察电信业务的覆盖区域(面积)、该电信业务覆盖范围内的用户人数、区域内业务量(一定时间周期内的用户拨打和接听电话的时间长度) 三个指标,需要说明的是,电信业务客体受到侵害需要考虑的不止以上提到的三个因素,在实践中,还可以考虑其他因素。

最低层(用于解决问题的各种措施、方案等,也称为方案层)。备选的方案为国家标准GB 17859-1999《信息系统安全保护等级定级指南》中确定的五个等级,分别是第一级、第二级、第三级、第四级和第五级。

针对确定客体被侵害程度问题建立的层次分析模型如图1所示。

3.2 构造成对比较矩阵

从层次分析模型的第二层开始,对于从属于(或影响)上一层每个因素的同一层诸因素,用成对比较法和1-9比较尺度构建成对比较矩阵 ,直到最下层。下面结合实例,构造成对比较矩阵。以某地电信部门的电信系统的业务客体被侵害为例, 得到三个指标的重要性依次为:区域内业务量 > 该电信业务区域的用户人数 > 电信业务区域覆盖范围。在矩阵中令区域业务量为m11,当前可用上传带宽为m22,电信业务区域覆盖范围为m33。

构造一个三阶矩阵Mij(3*3),根据长期积累的经验 ,其中m12=3,表示区域内业务量相比该电信业务区域的用户人数略重要,m13=5,表示区域内业务量相比电信业务区域覆盖范围重要,m23=3,表示该电信业务区域的用户人数比电信业务区域覆盖范围略重要,从而得到三阶矩阵。

3.3 计算权向量并做一致性检验

要求成对比较矩阵具备一定的一致性即可。由分析可知,对完全一致的成对比较矩阵,其绝对值最大的特征值等于该矩阵的维数。

检验成对比较矩阵M一致性的步骤如下: 计算衡量一个成对比矩阵M (n>1阶方阵) 不一致程度的指标CI为:

其中max(M)是矩阵M的最大特征值,n为矩阵的阶数。

通过计算 ,λmax为3.0385, 特征向量为 (0.6370,0.2583,0.1047),即权重分别为0.637, 0.258和0.104

CI=0,有完全的一致性。CI接近于0,有满意的一致性,反之CI越大,不一致越严重

按公式计算成对比较矩阵M的随机一致性比率CR:

RI称为平均随机一致性指标,它只与矩阵的阶数有关, 可从有关资料查出检验成对比较矩阵M一致性的标准RI。查表得出三阶矩阵对应的RI为0.58,故有:

判断方法:(1) 当CR<0.1时, 判定成对比较矩阵M具有可接受的一致性,或者说其不一致程度是可以接受的;(2) 若CR≥0.1,则需要调整成对比较矩阵M,直到其达到可接受的一致性为止。若检验通过,特征向量(归一化后)即为权向量;若不通过,需重新构建成对比较矩阵。

3.4 计算客体被侵害的程度

在计算出每个评价因素的权重后,由于每个评价因素的数值隶属于不同体系,因此要在同一标准体系下进行评价,在本例中,区域是以平方公里为单位,业务受到影响的用户数量以万人为单位,业务量是以万小时 / 天为单位 , 在实践中将每个评价因素的实际数值采用Decimal scaling小数定标标准化方法进行归一化 , 通过归一化因子,将每个评价因素的取值范围限定于[0,1]。

国家标准GB 17859-1999《信息系统安全保护等级定级指南》中将等级保护对象受到破坏后对客体造成侵害的程度归结为三种:a. 造成一般损害;b. 造成严重损害;c.造成特别严重损害。

定义:损害值D(Oi)为客体Oi被侵害的分值。

:D(Oi)∈(0,0.3],则定义该客体受到的损害为一般损害

∈(0.3,0.8],则定义该客体受到的损害为严重损害

∈(0.8,1],则该客体受到的损害为特别严重损害

实践中,可根据需要调整区间大小。

举例来说,某市某区常住人口为60万,电信业务量为平均80万小时 / 每天, 该区面积为250平方公里,通过归一化公式X'=X/10是使得X' 落入[0,1]的最j,其中 ,j小整数。

可计算出:

人口Pg=0.6, 电信业务量Tg=0.8, 业务覆盖面积Sg=0.25α=0.6370,β =0.2583γ=0.1047,将归一化后的三个评价因素 ,代入公式D(Oi)= αPg+βTg+γSg,求得D(Oi)=0.61。

从定义可以看出,客体受到“严重损害”,该客体属于社会秩序和公众利益范畴,根据业务信息安全保护等级矩阵表,侵害程度为第三级,故该信息系统的业务信息安全等级被定为“三级”。对该信息系统的系统服务安全等级,可遵循同样的方式计算得到,最后比较两个等级,取最高等级作为最终该信息系统的安全保护等级。

4 结束语

本文针对现有信息系统的安全保护定级工作缺乏可行的定级准则,定级结果较大程度上取决于人的主观感受、定性成分大和定量分析不足的缺点,提出一种定性与定量结合的定级方法,提高信息系统的安全保护等级的定级准确性,从而根据定级结果做好重要信息系统的安全防护。

摘要：信息系统安全等级保护工作已经成为保护国家重要IT系统的有力手段。但现有定级手段存在着缺乏可行的准则,定级结果主观成分大,定量不足的缺点。论文提出一种定性与定量分析结合的定级方法,提高信息系统的安全保护等级的定级准确性。

11.信息系统运营使用单位等级保护工作情况篇十一

2009-06-29 10:13:18

来源：本站

网友评论 0条

第一条为规范公安机关公共信息网络安全监察部门开展信息安全等级保护检查工作，根据《信息安全等级保护管理办法》（以下简称《管理办法》），制定本规范。

第二条公安机关信息安全等级保护检查工作是指公安机关依据有关规定，会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查，督促、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员。

第三条信息安全等级保护检查工作由市（地）级以上公安机关公共信息网络安全监察部门负责实施。每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次，每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次。

第四条公安机关开展检查工作，应当按照“严格依法，热情服务”的原则，遵守检查纪律，规范检查程序，主动、热情地为运营使用单位提供服务和指导。

第五条信息安全等级保护检查工作采取询问情况，查阅、核对材料，调看记录、资料，现场查验等方式进行。

第六条检查的主要内容：

（一）等级保护工作组织开展、实施情况。安全责任落实情况，信息系统安全岗位和安全管理人员设置情况；

（二）按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况；

（三）信息系统定级备案情况，信息系统变化及定级备案变动情况；

（四）信息安全设施建设情况和信息安全整改情况；

（五）信息安全管理制度建设和落实情况；

（六）信息安全保护技术措施建设和落实情况；

（七）选择使用信息安全产品情况；

（八）聘请测评机构按规范要求开展技术测评工作情况，根据测评结果开展整改情况；

（九）自行定期开展自查情况；

（十）开展信息安全知识和技能培训情况。

第七条检查项目：

（一）等级保护工作部署和组织实施情况

1．下发开展信息安全等级保护工作的文件，出台有关工作意见或方案，组织开展信息安全等级保护工作情况。

2．建立或明确安全管理机构，落实信息安全责任，落实安全管理岗位和人员。

3．依据国家信息安全法律法规、标准规范等要求制定具体信息安全工作规划或实施方案。

4．制定本行业、本部门信息安全等级保护行业标准规范并组织实施。

（二）信息系统安全等级保护定级备案情况

1．了解未定级、备案信息系统情况以及第一级信息系统有关情况，对定级不准的提出调整建议。

2．现场查看备案的信息系统，核对备案材料，备案单位提交的备案材料与实际情况相符合情况。

3．补充提交《信息系统安全等级保护备案登记表》表四中有关备案材料。

4．信息系统所承载的业务、服务范围、安全需求等发生变化情况，以及信息系统安全保护等级变更情况。

5．新建信息系统在规划、设计阶段确定安全保护等级并备案情况。

（三）信息安全设施建设情况和信息安全整改情况 1．部署和组织开展信息安全建设整改工作。

2．制定信息安全建设规划、信息系统安全建设整改方案。

3．按照国家标准或行业标准建设安全设施，落实安全措施。

（四）信息安全管理制度建立和落实情况

1．建立基本安全管理制度，包括机房安全管理、网络安全管理、系统运行维护管理、系统安全风险管理、资产和设备管理、数据及信息安全管理、用户管理、备份与恢复、密码管理等制度。

2．建立安全责任制，系统管理员、网络管理员、安全管理员、安全审计员是否与本单位签订信息安全责任书。

3．建立安全审计管理制度、岗位和人员管理制度。

4．建立技术测评管理制度，信息安全产品采购、使用管理制度。

5．建立安全事件报告和处置管理制度，制定信息系统安全应急处置预案，定期组织开展应急处置演练。

6．建立教育培训制度，定期开展信息安全知识和技能培训。

（五）信息安全产品选择和使用情况

1．按照《管理办法》要求的条件选择使用信息安全产品。

2．要求产品研制、生产单位提供相关材料。包括营业执照，产品的版权或专利证书，提供的声明、证明材料，计算机信息系统安全专用产品销售许可证等。

3．采用国外信息安全产品的，经主管部门批准，并请有关单位对产品进行专门技术检测。

（六）聘请测评机构开展技术测评工作情况

1．按照《管理办法》的要求部署开展技术测评工作。对第三级信息系统每年开展一次技术测评，对第四级信息系统每半年开展一次技术测评。

2．按照《管理办法》规定的条件选择技术测评机构。

3．要求技术测评机构提供相关材料。包括营业执照、声明、证明及资质材料等。

4．与测评机构签订保密协议。

5．要求测评机构制定技术检测方案。

6．对技术检测过程进行监督，采取了哪些监督措施。

7．出具技术检测报告，检测报告是否规范、完整，检查结果是否客观、公正。

8．根据技术检测结果，对不符合安全标准要求的，进一步进行安全整改。

（七）定期自查情况

1．定期对信息系统安全状况、安全保护制度及安全技术措施的落实情况进行自查。第三级信息系统是否每年进行一次自查，第四级信息系统是否每半年进行一次自查。

2．经自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位进一步进行安全建设整改。

第八条各级公安机关按照“谁受理备案，谁负责检查”的原则开展检查工作。具体要求是：

对跨省或者全国联网运行、跨市或者全省联网运行等跨地域的信息系统，由部、省、市级公安机关分别对所受理备案的信息系统进行检查。对辖区内独自运行的信息系统，由受理备案的公安机关独自进行检查。

第九条对跨省或者全国联网运行的信息系统进行检查时，需要会同其主管部门。因故无法会同的，公安机关可以自行开展检查。

第十条公安机关开展检查前，应当提前通知被检查单位，并发送《信息安全等级保护监督检查通知书》。

第十一条检查时，检查民警不得少于两人，并应当向被检查单位负责人或其他有关人员出示工作证件。第十二条检查中应当填写《信息系统安全等级保护监督检查记录》（以下简称《监督检查记录》）。检查完毕后，《监督检查记录》应当交被检查单位主管人员阅后签字；对记录有异议或者拒绝签名的，监督、检查人员应当注明情况。《监督检查记录》应当存档备查。[!--empirenews.page--] 第十三条检查时，发现不符合信息安全等级保护有关管理规范和技术标准要求，具有下列情形之一的，应当通知其运营使用单位限期整改，并发送《信息系统安全等级保护限期整改通知书》（以下简称《整改通知》）。逾期不改正的，给予警告，并向其上级主管部门通报：

（一）未按照《管理办法》开展信息系统定级工作的；

（二）信息系统安全保护等级定级不准确的；

（三）未按《管理办法》规定备案的；

（四）备案材料与备案单位、备案系统不符合的；

（五）未按要求及时提交《信息系统安全等级保护备案登记表》表四的有关内容的；

（六）系统发生变化，安全保护等级未及时进行调整并重新备案的；

（七）未按《管理办法》规定落实安全管理制度、技术措施的；

（八）未按《管理办法》规定开展安全建设整改和安全技术测评的；

（九）未按《管理办法》规定选择使用信息安全产品和测评机构的；

（十）未定期开展自查的；

（十一）违反《管理办法》其他规定的。

第十四条检查发现需要限期整改的，应当出具《整改通知》，自检查完毕之日起10个工作日内送达被检查单位。