网站系统信息安全等级保护建设整改方案(共11篇)
1.网站系统信息安全等级保护建设整改方案 篇一
关于做好信息安全等级保护工作的通知 各科室:
医院信息系统是医疗服务的重要支撑体系。为贯彻落实国家信息安全等级保护制度,确保我院信息系统安全可靠运行,根据《湖北省卫生厅湖北省公安厅关于开展全省卫生行业信息安全等级保护工作通知》(鄂卫发〔2012〕14号)精神,并结合我院信息系统应用的特点,就相关事项通知如下。
一、组织领导 组长: 副组长: 组员:
领导小组办公室设在XX科,由XX同志兼任主任,XXX等同志负责具体工作。
二、工作任务
1、做好系统定级工作。定级系统包括基础支撑系统,面向患者服务信息系统,内部行政管理信息系统、网络直报系统及门户网站,定级方法由市卫生局统一与市公安局等信息安全相关部门协商。
2、做好系统备案工作。按照市卫生系统信息安全等级保护划分定级要求,对信息系统进行定级后,将本单位《信息系统安全等级保护备案表》《信息系统定级报告》和备案电子数据报卫生局,由卫生局报属地公安机关办理备案手续。
3、做好系统等级测评工作。完成定级备案后,选择市卫生局推荐的等级测评机构,对已确定安全保护等级信息系统,按照国家信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等国家标准开展等级测评,信息系统测评后,及时将测评机构出具的《信息系统等级测评报告》向属地公安机关报备。
4、完善等级保护体系建设做好整改工作。按照测评报告评测结果,对照《信息系统安全等级保护基本要求》等有关标准,组织开展等级保护安全建设整改工作,具体要求如下: 安全类别
控制项
主要安全措施
二级保护措施
三级保护措施
物理安全
物理访问控制
机房安排专人负责,来访人员须审批和陪同
√
√
重要区域配置门禁系统
√
防盗窃和防破坏
暴露在公共场所的网络设备须具备安全保护措施
√
√
主机房安装监控报警系统
√
防雷击
机房计算机系统接地符合GB 50057-1994《建筑物防雷设计规范》中的计算机机房防雷要求
√
√
机房电源、网络信号线、重要设备安装有资质的防雷装置
√
防火
机房设置灭火设备和火灾自动报警系统
√
√
机房配置自动灭火装置
√
电力供应
机房及关键设备应配置UPS备用电力供应
√
√
医院重要科室应采用双回路电源供电
√
√
环境监控
机房设置温、湿度自动调节设施
√
√
机房设置防水检测和报警设施
√
对机房关键设备和磁介质实施电磁屏蔽
√
网络安全
结构安全
网络应按职能和重要程度不同划分网段
√
√
重要网段之间应采用防火墙进行隔离
√
访问控制
网络边界部署防火墙或网闸
√
√
安全审计
网络日志审计、网络运维管理安全审计
√
√
边界完整性检查
采用准入控制系统,实现准入控制、非法外联检查
√
√
采用准入控制系统,实现准入控制及非法外联可阻断
√
入侵防范
入侵检测系统/入侵防御系统
√
√
恶意代码防范
防病毒网关
√
主机安全
入侵防范
采用服务器安全加固
√
√
安全审计
采用终端管理系统实现安全审计
√
√
恶意代码防范
防病毒软件
√
√
应用安全
身份鉴别
采用电子认证措施
√
√
安全审计
数据库安全审计系统
√
√
数据安全与备份恢复
备份和恢复
本地数据备份与恢复
√
√
硬件冗余
关键网络设备、线路和服务器硬件冗余 √
√
异地备份
异地数据备份
√
三、工作要求
1、切实加强组织领导。拟定实施医院信息系统安全等级保护的具体方案,并制定相应的岗位责任制,召开专题会议,确保信息安全等级保护工作顺利实施。
2、建立健全信息系统安全管理制度。根据信息安全等级保护的要求,制定各项信息系统安全管理制度,对安全管理人员或操作人员执行的重要管理操作建立操作规程和执行记录文档。
3、制定保障医疗活动不中断的应急预案。按可能出现问题的不同情形制定相应的应急措施,在系统出现故障和意外且无法短时间恢复的情况下能确保医疗活动持续进行。
2.网站系统信息安全等级保护建设整改方案 篇二
关键词:等级保护,财政信息系统,信息安全
在财政信息系统安全建设的过程中, 由于系统复杂、数据安全的属性要求存在着差异, 导致系统在不同程度上存在一定的脆弱性;在系统安全的规划和设计中由于对策略认识不够, 以致风险延续到信息系统的运行和维护管理阶段。文章从我国信息安全等级体系的规范和标准着眼, 对财政信息系统的安全保护等级模型进行了分析, 并提出了进一步完善财政信息系统安全的措施。
1 信息安全的保护等级及其基本流程
目前信息安全技术和管理水平在不断地提升和发展, 人们逐渐意识到要想保障信息系统的安全, 就要不断完善信息安全管理和技术体系, 构建完整的信息系统, 并且为了把信息和信息系统的残留风险降低到最小级别, 就要提高信息安全应急处置的能力。由于当前不同的信息和信息系统, 对其安全级别的要求也不尽相同, 应将管理策略、技术、工程过程等多个方面相结合, 同时进行客观的综合考虑, 对信息系统的安全分类需要充分运用信息安全等级保护的思想和方式。
1.1 信息系统安全保护等级
信息系统安全保护等级在《信息安全技术——信息系统安全等级保护基本要求》中划分为五个等级, 信息系统安全保护等级的第一级是用户自主保护等级, 用户可根据自主访问控制、身份鉴别和数据的完整性这三个条款进行判断;第二级是系统审计保护级, 在第一级的基础上增加了两个条款, 分别是客体重用和审计;第三级是安全标记保护级, 在第二级的基础上增加了强制访问控制、标记等条款;第四级是结构化保护级, 在第三级的基础上增加了可信路径和隐蔽信道分析;第五级是访问验证保护级, 在第四级的基础上增加了可信恢复条款。这五个等级的基本内容以信息安全的属性为主, 即网络安全、系统安全、应用安全、物理安全以及管理安全等五个方面, 根据其不同要求, 对安全信息系统的构建、测评和运行过程进行管理和掌控, 进而实现对不同信息的类别按照不同的要求进行等级安全保护的目标, 尽管不同等级的条款中有些内容是相似的, 但在一定程度上仍然存在着差异, 安全保护能力的要求会随着保护等级的提升而逐渐增强。
1.2 信息系统安全等级保护实施的流程
信息系统安全等级保护实施的基本流程包括五个阶段, 分别是定级阶段、备案阶段、测评阶段、整改阶段、运行和维护阶段。其中等级保护工作的基本前提是系统划分和定级工作, 定级工作必须要首先确定, 否则后面的工作将会无从做起;备案阶段中, 当专家评审与自定级不同时, 要重新定级, 才能够进行备案工作;测评阶段中指定的第三方测评机构必须是权威机构, 需要公正公平地对系统进行测评;整改和复测阶段中对于整改的项目要通过等级保护测评和风险评估的方法进行分析。等级保护工作要随着信息系统建设的变化和发展而做出不断循环的工作。
2 财政信息系统的等级保护
2.1 财政信息系统安全的架构
在财政信息系统安全的架构模式中, 既包含计算机网络通信和环境平台、又有多种相关的业务平台, 并且这些应用的安全等级各不相同, 所以采取的安全保护策略也有所不同。财政信息系统规模大、系统复杂, 按照系统的功能可以分为核心数据中心、采购管理、预算管理、业务门户网站等多个子系统, 要按照业务应用数据的不同性质进行不同安全等级的保护。总之要根据财政信息系统的实际情况, 构建一个相对完善的财政信息系统模型。
2.2 财政信息系统安全的等级区域的划分
财政信息系统安全等级保护要根据系统的特点和性质进行不同区域的安全划分, 以实现不同强度下的安全保护。针对财政信息系统中不同子系统的实际情况, 可以将财政信息网络划分为不同的安全保密等级区域, 分别为业务核心区, 办公用户区域、专线用户区域、内部网与互联网信息交换的区域等。
3 财政信息系统的等级的保护措施
在财政信息系统安全等级保护的建设工作中, 目前采取内网与外网物理隔离的方式, 从物理上把财政业务中各个子系统与对外服务区进行划分, 分别划分到不同的子网, 在财政业务的防火墙上可以设置权限为允许的策略, 源地址是内部桌面, 目的地址是业务服务器, 对于其他服务的子系统, 同样需要防火墙进行隔离, 使各子系统都有充分的隔离和清晰的界限, 同时可以配置漏洞扫描设备的检测设备, 不定期对各个服务器进行扫描。
数据备份能够进一步保障财政信息系统的安全, 在财政信息系统应用中需要配备存储备份设备以实现数据自动备份, 一旦系统出现故障, 通过数据备份即可恢复。为了进一步支持财政信息系统的稳步运行, 可建立一个异地财政信息数据备份中心, 以防财政信息系统发生灾难性故障时实现异地远程恢复的功能。
在财政信息系统安全保障体系建立的过程中, 要严格依照等级保护下的安全管理制度、系统建设制度和相关财政系信息管理的法律及标准, 在建立完善的网络安全管理机制的同时明确管理人员的职责。
4 结论
综上所述, 文章从我国信息安全等级体系的规范和标准着眼, 对财政信息系统的安全保护等级模型进行了分析, 并提出了进一步完善财政信息系统安全的有效措施。在财政信息建设的过程中, 设计出一个科学合理、全面的信息安全解决方案是一个关键的任务, 要从我国信息安全等级体系的规范和标准着眼, 对财政信息系统安全保障的体系进行深入的探讨, 以达到切实保护财政信息系统安全的目的。
参考文献
[1]龚雷.应用安全透明支撑平台体系结构与模型研究[D].郑州:解放军信息工程大学, 2013.
[2]王会.基于等级保护的党校网络安全体系的研究与应用[D].广州:中山大学, 2012.
[3]刘莎莎.NN市委办政务信息系统安全等级保护策略研究[D].南宁:广西大学, 2012.
3.网站系统信息安全等级保护建设整改方案 篇三
一、信息系统安全和政务公开工作的主要做法 一是建立健全了政务公开领导机构和工作体系。成立了政务公开领导小组,明确“一把手”任组长,负总责,亲自抓;其他副职为成员,协同抓。领导小组下设办公室,机关各科、室、中心、大队负责人为成员。二是实行政务公开责任制。把政务公开的总体任务分解、细化、量化,明确落实到具体部门,并且纳入年度工作计划,与业务工作一起部署、一同督促,对政务公开不到位的,要追究相关责任人的责任。三是通过建章立制,把政务公开推向法制化、规范化、常态化轨道,规范和完善了政务公开的内容、形式和工作机制,规范工作人员行为,把政务公开工作推向了一个新的阶段。四是做好相关的部署,责任落实到位,对整个机关网络信息系统做了完善的检查,网站上无任何涉密信息。经自查,未发现有发布涉密信息,不存在将标密文件、电报掩盖密级扫描、摘录后发布的行为,做到涉密信息保密不公开;未使用互联网办公系统、政务邮箱存储、处理、传输设计国家秘密的文件资料;在互联网门户网站、政务微博、微信公众号、互联网办公系统、政务邮箱等处理有关信息时,设置保密提醒功能,确保专人负责,信息公开不涉密。
二、整改情况 (一)进一步完善信息安全和政务公开制度建设,建立和完善专项的保密审查、依申请公开工作机制;(二)进一步完善栏目建设,在一些栏目内增加新的内容,把政务公开工作做全做实做好,确保信息及时更新;
1.
内容保密性:所有管理后台,都不直接暴露在互联网上。定期修改用户口令,要求本局人员严格保管账号和密码,严禁对外泄露信息。
2.内容准确性:确保信息公开目录中基本信息内容的准确性,杜绝严重错别字,避免出现机构名称、机构设置和职能不准确的问题。
3.链接可用性:确保网站中链接上一级或下一级政府信息公开主管部门建设的信息公开目录的链接可用性。
4.网络安全性:已开通了电子政务外网,要求局机关各部门通过本网络访问管理后台,确保政务信息不泄密。
4.网站系统信息安全等级保护建设整改方案 篇四
修订说明 工作简要过程 1.1 任务来源
近年来,随着黑客技术的不断发展以及网络非法入侵事件的激增,国内网络安全产品市场也呈现出良好的发展态势,各种品牌的防火墙产品、入侵检测产品等已经达到了相当可观的规模。最近几年,网络脆弱性扫描产品的出现,为网络安全产品厂商提供了一个展现自身技术水平的更高层次舞台,市场上,各种实现脆弱性扫描功能的产品层出不穷,发展迅速,标准《GB/T 20278-2006 信息安全技术 网络脆弱性扫描产品技术要求》已不能满足现在产品的发展需求,另一方面,为了更好地配合等级保护工作的开展,为系统等级保护在产品层面上的具体实施提供依据,需要对该标准进行合理的修订,通过对该标准的修订,将更加全面系统的阐述网络脆弱性扫描产品的安全技术要求,并对其进行合理的分级。本标准编写计划由中国国家标准化管理委员会2010年下达,计划号20101497-T-469,由公安部第三研究所负责制定,具体修订工作由公安部计算机信息系统安全产品质量监督检验中心承担。1.2 参考国内外标准情况
该标准修订过程中,主要参考了:
—GB 17859-1999 计算机信息系统安全保护等级划分准则 —GB/T 20271-2006 信息安全技术 信息系统安全通用技术要求 —GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求
—GB/T 18336.2-2008 信息技术 安全技术 信息技术安全性评估准则 第二部分:安全功能要求 —GB/T 18336.3-2008 信息技术 安全技术 信息技术安全性评估准则 第三部分:安全保证要求 —GA/T 404-2002 信息技术 网络安全漏洞扫描产品技术要求 —GB/T 20278-2006 信息安全技术 网络脆弱性扫描产品技术要求 —GB/T 20280-2006信息安全技术 网络脆弱性扫描产品测试评价方法 —MSTL_JGF_04-017 信息安全技术 主机安全漏洞扫描产品检验规范 1.3 主要工作过程
1)成立修订组
2010年11月在我中心成立了由顾建新具体负责的标准修订组,共由5人组成,包括俞优、顾建新、张笑笑、陆臻、顾健。
2)制定工作计划
修订组首先制定了修订工作计划,并确定了修订组人员例会及时沟通交流工作情况。3)确定修订内容
确定标准主要内容的论据 2.1 修订目标和原则 2.1.1 修订目标
本标准的修订目标是:对网络脆弱性扫描类产品提出产品功能要求、产品自身安全要求以及产品保证要求,使之适用于我国脆弱性扫描产品的研究、开发、测试、评估以及采购。2.1.2 修订原则
为了使我国网络脆弱性扫描产品的开发工作从一开始就与国家标准保持一致,本标准的编写参考了国家有关标准,主要有GA/T 698-2007、GB/T 17859-1999、GB/T 20271-2006、GB/T 22239-2008和GB/T 18336-2008第二、三部分。本标准又要符合我国的实际情况,遵从我国有关法律、法规的规定。具体原则与要求如下:
1)先进性
标准是先进经验的总结,同时也是技术的发展趋势。目前,我国网络脆弱性扫描类产品种类繁多,功能良莠不齐,要制定出先进的信息安全技术标准,必须参考国内外先进技术和标准,吸收其精华,制定出具有先进水平的标准。本标准的编写始终遵循这一原则。
2)实用性
标准必须是可用的,才有实际意义。因此本标准的编写是在对国内外标准的相关技术内容消化、吸收的基础上,结合我国的实际情况,制定出符合我国国情的、可操作性强的标准。
3)兼容性
本标准既要与国际接轨,更要与我国现有的政策、法规、标准、规范等相一致。修订组在对标准起草过程中始终遵循此原则,其内容符合我国已经发布的有关政策、法律和法规。2.2 对网络脆弱性扫描类产品的理解 2.2.1 网络脆弱性扫描产品
脆弱性扫描是一项重要的安全技术,它采用模拟攻击的形式对网络系统组成元素(服务器、工作站、路由器和防火墙等)可能存在的安全漏洞进行逐项检查,根据检查结果提供详细的脆弱性描述和修补方案,形成系统安全性分析报告,从而为网络管理员完善网络系统提供依据。通常,我们将完成脆弱性扫描的软件、硬件或软硬一体的组合称为脆弱性扫描产品。
脆弱性扫描产品的分类
根据工作模式,脆弱性扫描产品分为主机脆弱性扫描产品和网络脆弱性扫描产品。其中前者基于主机,通过在主机系统本地运行代理程序来检测系统脆弱性,例如针对操作系统和数据库的扫描产品。后者基于网络,通过请求/应答方式远程检测目标网络和主机系统的安全脆弱性。例如Satan 和ISS Internet Scanner等。针对检测对象的不同,脆弱性扫描产品还可分为网络扫描产品、操作系统扫描产品、WWW服务扫描产品、数据库扫描产品以及无线网络扫描产品。
这是最基本的TCP扫描。操作系统提供的connect()系统调用,用来与每一个感兴趣的目标计算机的端口进行连接。如果端口处于侦听状态,那么connect()就能成功。否则,这个端口是不能用的,即没有提供服务。
FIN+URG+PUSH扫描
向目标主机发送一个FIN、URG和PUSH 分组,根据RFC793,如果目标主机的相应端口是关闭的,那么应该返回一个RST标志。
NULL扫描
通过发送一个没有任何标志位的TCP包,根据RFC793,如果目标主机的相应端口是关闭的,它应该发送回一个RST数据包。
UDP ICMP端口不能到达扫描
在向一个未打开的UDP端口发送一个数据包时,许多主机会返回一个ICMP_PORT_UNREACH 错误。这样就能发现哪个端口是关闭的。UDP和ICMP错误都不保证能到达,因此这种扫描器必须能够重新传输丢失的数据包。这种扫描方法速度很慢,因为RFC对ICMP错误消息的产生速率做了规定。
安全漏洞特征定义
目前,脆弱性扫描产品多数采用基于特征的匹配技术,与基于误用检测技术的入侵检测系统相类似。扫描产品首先通过请求/应答,或通过执行攻击脚本,来搜集目标主机上的信息,然后在获取的信息中寻找漏洞特征库定义的安全漏洞,如果有,则认为安全漏洞存在。可以看到,安全漏洞能否发现很大程度上取决于漏洞特征的定义。
扫描器发现的安全漏洞应该符合国际标准,这是对扫描器的基本要求。但是由于扫描器的开发商大都自行定义标准,使得安全漏洞特征的定义不尽相同。
漏洞特征库通常是在分析网络系统安全漏洞、黑客攻击案例和网络系统安全配置的基础上形成的。对于网络安全漏洞,人们还需要分析其表现形式,检查它在某个连接请求情况下的应答信息;或者通过模式攻击的形式,查看模拟攻击过程中目标的应答信息,从应答信息中提取安全漏洞特征。漏洞特征的定义如同入侵检测系统中对攻击特征的定义,是开发漏洞扫描系统的主要工作,其准确直接关系到漏洞扫描系统性能的好坏。这些漏洞特征,有的存在于单个应答数据包中,有的存在于多个应答数据包中,还有的维持在一个网络连接之中。因此,漏洞特征定义的难度很大,需要反复验证和测试。目前,国内许多漏洞扫描产品直接基于国外的一些源代码进行开发。利用现成的漏洞特征库,使系统的性能基本能够与国外保持同步,省掉不少工作量,但核心内容并不能很好掌握。从长远发展来看,我国需要有自主研究安全漏洞特征库实力的扫描类产品开发商,以掌握漏洞扫描的核心技术。
技术趋势
从最初的专门为UNIX系统编写的具有简单功能的小程序发展到现在,脆弱性扫描系统已经成为能够运行在各种操作系统平台上、具有复杂功能的商业程序。脆弱性扫描产品的发展正呈现出以下趋势。
系统评估愈发重要
目前多数脆弱性扫描产品只能够简单地把各个扫描器测试项的执行结果(目标主机信息、安全漏洞信息和补救建议等)罗列出来提供给测试者,而不对信息进行任何分析处理。少数脆弱性扫描产品能够将扫描结果整理形成报表,依据一些关键词(如IP地址和风险等级等)对扫描结果进行归纳总结,但是仍然没有分析扫描结果,缺乏对网络安全状况的整体评估,也不会提出解决方案。
在系统评估方面,我国的国标已明确提出系统评估分析应包括目标的风险等级评估、同一目标多次扫描形式的趋势分析、多个目标扫描后结果的总体分析、关键脆弱性扫描信息的摘要和主机间的比较分析等等,而不能仅仅将扫描结果进行简单罗列。应该说,脆弱性扫描技术已经对扫描后的评估越来越重视。下一代的脆弱性扫描系统不但能够扫描安全漏洞,还能够智能化地协助管理人员评估网络的安全状况,并给出安全建议。为达这一目的,开发厂商需要在脆弱性扫描产品中集成安全评估专家系统。专家系统应能够从网络安全策略、风险评估、脆弱性评估、脆弱性修补、网络结构和安全体系等多个方面综合对网络系统进行安全评估。
插件技术和专用脚本语言
插件就是信息收集或模拟攻击的脚本,每个插件都封装着一个或者多个漏洞的测试手段。通常,脆弱性扫描产品是借助于主扫描程序通过用插件的方法来执行扫描,通过添加新的插件就可以使扫描产品增加新的功能,扫描更多的脆弱性。如果能够格式化插件的编写规范并予以公布,用户或者第三方就可以自己编写插件来扩展扫描器的功能。插件技术可使扫描产品的结构清晰,升级维护变的相对简单,并具有非常强的扩展性。目前,大多数扫描产品其实已采用了基于插件的技术,但各开发商自行规定接口规范,还没有达到严格的规范水平。
专用脚本语言是一种更高级的插件技术,用户使用专用脚本语言可以大大扩展扫描器的功能。这些脚本语言语法通常比较简单直观,十几行代码就可以定制一个安全漏洞的检测,为扫描器添加新的检测项目。专用脚本语言的使用,简化了编写新插件的编程工作,使扩展扫描产品功能的工作变的更加方便,能够更快跟上安全漏洞出现的速度。
网络拓扑扫描
网络拓扑扫描目前还被大多数扫描器所忽略。随着系统评估的愈发重要,网络拓扑结构正成为安全体系中的一个重要因素。拓扑扫描能够识别网络上的各种设备以及设备的连接关系,能够识别子网或
和增强级两个级别,且与“基本要求”和“通用要求”中的划分没有对应关系,不利于该类产品在系统等级保护推行中产品选择方面的有效对应。《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》的网络安全管理,从第一级就要求“定期进行网络系统漏洞扫描,对发现的网络系统安全漏洞进行及时的修补”,《GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求》中的信息系统安全性检测分析,从第二级开始要求“操作系统安全性检测分析、数据库管理系统安全性检测分析、网络系统安全性检测分析、应用系统安全性检测分析和硬件系统安全性检测分析的要求,运用有关工具,检测所选用和/或开发的操作系统、数据库管理系统、网络系统、应用系统、硬件系统的安全性,并通过对检测结果的分析,按系统审计保护级的要求,对存在的安全问题加以改进。”
本次在对原标准的修订过程中,对于产品本身的安全保护要求,主要参考了GB/T 17859-1999、GB/T 20271-2006、GB/T 18336-2008、GB/T 22239-2008等,以等级保护的思路编写制定了自身安全功能要求和保证要求。对于产品提供服务功能的安全保护能力方面,现阶段是以产品功能强弱以及配合等级保护安全、审计等要素进行分级的。通过对标准意见的不断收集以及修改,将产品提供的功能与等级保护安全要素产生更密切的联系,以便有能力参与到系统等级保护相关要素的保护措施中去。2.2.3 与原标准的区别
1)标准结构更加清晰规范,全文按照产品安全功能要求、自身安全功能要求和安全保证要求三部分进行整理修订,与其他信息安全产品标准的编写结构保持一致。
2)删除原标准中性能部分的要求,将原来有关扫描速度、稳定性和容错性,以及脆弱性发现能力等重新整理,作为功能部分予以要求,同时,考虑到原来对于误报率和漏报滤的模糊描述以及实际测试的操作性较差,删除了这两项内容的要求。
3)对于产品功能要求的逻辑结构进行重新整理,按照信息获取,端口扫描,脆弱性扫描,报告的先后顺序进行修订,使得产品的功能要求在描述上逐步递进,易于读者的理解,并且结合产品的功能强弱进行分级。
4)对于产品的自身安全功能要求和安全保证要求,充分参考了等级保护的要求,对其进行了重新分级,使得该标准在应用时更能有效指导产品的开发和检测,使得产品能更加有效的应用于系统的等级保护工作。
5)将标准名称修改为《信息安全技术 网络脆弱性扫描产品安全技术要求》,增加了“安全”二字,体现出这个标准的内容是规定了产品的安全要求,而非其它电器、尺寸、环境等标准要求。
6)将原标准中“网络脆弱性扫描”的定义修改为“通过网络对目标网络系统安全隐患进行远程探测的过程,它对网络系统进行安全脆弱性检测和分析,从而发现可能被入侵者利用的漏洞,并可以提出一定的防范和补救措施建议。”作为扫描类产品,在发现系统脆弱性的同时,还要求“能够采取一定的准,结合当前国内外网络脆弱性扫描产品的发展情况,系统地描述了产品的功能要求、自身安全要求和保证要求。这些技术是在对国内外现有技术及标准进行吸收、消化的基础上,考虑了我国国情制定的。
本次是对原有国标《GB/T 20278-2006 信息安全技术 网络脆弱性扫描产品技术要求》的修订,在修订过程中,重新整理了内容和结构,结合等级保护的要求重新进行了分级,在内容和结构上趋于完整化、可行化和系统化。4 贯彻标准的要求和实施建议
本标准是对网络脆弱性扫描产品安全技术要求的详细描述,为生产、测试和评估信息过滤产品提供指导性意见。建议将本标准作为国家标准在全国推荐实施。
《信息安全技术 网络脆弱性扫描产品安全技术要求》修订组
5.网站系统信息安全等级保护建设整改方案 篇五
编制说明
(送审稿)
证券期货业信息系统安全等级保护基本要求》编写组
二〇一〇年五月
I《
目次
一、背景及意义..............1
二、编制目的与原则.................1
三、编制内容................1
四、主要编制过程............2
五、适用范围................2
六、总体框架................2
七、重大分歧意见的处理和依据..............2
八、行业标准属性的建议.............2
九、废止现行有关标准的建议................3
十、其他应予说明的事项.............3一、背景及意义
国家标准《信息系统安全等级保护基本要求》(以下简称《国标》)是证券期货行业各机构开展安全建设整改、测评机构进行安全测评、公安机关开展检查的重要依据。证券期货业具有信息化程度高、业务持续性要求高、对信息系统的容量和处理能力要求高的特点。但由于《国标》是通用性标准,适用范围大,有些规定不够完全适应证券期货行业的实际情况,为了增强标准的可操作性,需要根据行业特点进行明确、细化和调整。公安部文件《关于印送<关于开展信息安全等级保护安全建设整改工作的指导意见>的函》(公信安[2009]1429号)明确要求:“重点行业信息系统主管部门可以按照《信息系统安全等级保护基本要求》等国家标准,结合行业特点,确定《信息系统安全等级保护基本要求》的具体指标;在不低于等级保护基本要求的情况下,结合系统安全保护的特殊需求,在有关部门指导下制定行业标准或细则,指导本行业信息系统安全建设整改工作。”因此,制定《证券期货业信息系统安全等级保护基本要求》(以下简称《行标》)对于全行业开展好信息安全等级保护工作是必要和迫切的。
二、编制目的与原则
(一)编制目的《行标》主要用于指导和规范证券期货行业信息安全等级保护安全建设整改、测评和监督管理工作。
(二)编制原则
本标准的编制遵循以下原则:
1、《行标》严格按照《国标》开展规范的编制工作,在体例、条款上保持一致,不对《国标》条款进行增、删、改。
2、结合行业实际情况,对《国标》安全要求进一步明确、细化和调整,且不低于《国标》要求。
3、根据《国标》附录B的要求,对不同信息系统提出明确的安全要求。
三、编制内容
对《国标》262项安全要求中的195项安全要求进行了细化、明确和调整,其中细化了82项,明确了66项,调整了47项。
细化的内容,主要是对部分安全要求进行分解细化,以便于操作。如,《国标》要求“机房出入应安排专人负责,控制、鉴别和记录进入的人员。”《行标》细化要求为“机房出入应当安排专人负责管理。没有电子门禁系统的机房应当安排专人在机房出入口控制、鉴别和记录人员的进入;有电子门禁系统的机房,应当保存门禁系统的日志记录,应当采用监控设备将机房人员进入情况传输到值班点。”
明确的内容,主要是对定性的词语,给出了明确定义。如,《国标》要求“机房应设置必要的温、湿度控制设施,使机房温、湿度的变化在设备运行所允许的范围之内”,《行标》明确要求“开机时机房温度应控制在18℃-28℃;开机时机房相对湿度应控制在35%-75%;停机时机房温度应控制在5℃-35℃;停机时机房相对湿度应控制在20%-80%。”
调整的内容,主要是针对行业系统特点,对安全要求进行了使用范围的调整。如,《国标》要求“操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并保持系统补丁及时得到更新。”,《行标》调整要求“持续跟踪厂商提供的系统升级更新情况,在经过充分的评估后对必要补丁进行及时更新。”
四、主要编制过程
第一阶段:研究阶段
2008年,中国证监会开始研究《行标》的编制工作,在充分征求行业各类机构意见的基础上,形成了《行标》的最终编写思路,并对标准条款的修改做了大量调研工作。
第二阶段:编写阶段
中国证监会组织10名行业专家(分别来自监管部门、交易所等单位、证券公司、期货公司、基金公司)和5名国家有关安全机构专家(来自于公安部信息安全等级保护评估中心、中国信息安全测评中心和上海市信息安全测评中心)成立了起草小组,集中工作,形成了《行标》初稿。
第三阶段:征求意见阶段
中国证监会2次向市场核心机构和部分经营机构征求意见,共收集了近300条反馈意见,对各单位反馈的意见进行了认真研究,采纳了绝大多数的意见,对未采纳的意见进行了充分讨论。
第四阶段:完善阶段
《行标》起草工作小组根据专家意见,对《行标》的内容进行了2次较大的修改编写形成了《行标》征求意见稿。
第五阶段:证标委征求意见阶段
2010年3月17日,《行标》起草小组将征求意见稿报送给证标委征求专家委员意见,并且同时向中国证监会会内相关业务部门、12家证监局,中国证券业、期货业协会征求意见。返回意见共计242条,其中专家委员意见152条,会内相关部门、证监局和行业协会意见共计90条。经充分吸纳和与各证标委专家委员、各单位充分沟通后,修订形成了《行标》(送审稿)。
第六阶段:国家信息安全等级保护专家评审
2010年5月6日,证监会信息中心邀请了国家信息安全等级保护安全建设指导专家会部分专家对《行标》(送审稿)进行评估,并邀请公安部十一局相关负责同志进行了现场指导。与会专家一致同意《行标》(送审稿)通过评审。
五、适用范围
《行标》适用于适用于指导证券期货行业按照等级保护要求进行安全建设、测评和监督管理。
六、总体框架
《行标》包括前言、引言、9个章节、2个附录,每章包括的具体内容如下:
第1-9章以国际《信息系统安全等级保护基本要求》为基础,针对部分安全要求进行了明确、细化和调整。
附录A为规范性附录,结合证券期货行业特点修订了《信息系统安全等级保护基本要求》附录A。
附录B为规范性附录,根据证券期货行业不同机构、不同系统特点,明确安全要求的选择和使用的原则。
七、重大分歧意见的处理和依据
无。
八、行业标准属性的建议
鉴于国际《信息系统安全等级保护基本要求》是推荐性标准,为保持一致,建议本标准
作为推荐性行业标准。
九、废止现行有关标准的建议
无。
十、其他应予说明的事项
本标准遵守中华人民共和国现行的法律和法规。
6.网站系统信息安全等级保护建设整改方案 篇六
1 系统安全设立原则
国家标准是对我国军工, 石油等重要企业安全控制体系设立应参照的主要原则, 由于这些行业的特殊性, 导致系统安全的设立技术、管理、建设更应遵循国家标准和行业规定。不仅如此, 还应参照国际标准和国外先进成熟的技术, 采取分级保护的原则进行调整和防御。
2 系统安全的设立目标
国家安全信息系统的终极目标, 应该遵循等级划分的原则, 进行安全体系的建设, 在符合国家标准及其他相关规定的条件下, 对安全技术防护能力, 安全管理能力进行规范, 实现工控系统防护, 切实保障公共系统的安全信息, 控制安全系统的稳定性, 为安全系统提供保障。
3 安全管理体系
(1) 风险评估体系建立的目的在于, 对生产和社会的潜在危害进行分析。因为确立安全风险评估体系后, 安全被破坏的危害程度可以根据体系得到确定、而且实施和维护安全措施在很多方面也有章可循。通过建立工控系统安全风险评估体系, 工作人员可以根据体系, 制定不同的安全策略, 和应对危急情况的解决方案。基于这种体系, 通过得当的防护, 和防患于未然的解决问题思路, 进而可以在很大的程度上将风险降低, 以保障安全。在其他方面, 安全评估也是非常重要的。常见的安全评估的方法主要有以下几种:一、工具扫描;二、工人评估;三、白克渗透测试等方法。毫不夸张的说, 安全评估是非常重要的一个关键步骤。安全风险评估体系主要涉及安全设施, 评估体系和整体系统。网络安全评估是对工控系统的通信、宽带、核心路由、以及网络边界等安全漏洞进行测绘, 进行潜在的分析, 以便提出提升安全威胁的合理建议。安全主机评估是对主机的工程系统, 包括数据库系统操作系统, 以及基本的应用服务中间系统配置管理等评估风险工程。系统的专用安全隔离装置防毒系统和检测系统TDS防火墙是安全设施的主要部份, IP加密认证设置是这些系统的安全策略, 工业安全行业在信息安全方面的控制主要就是通过这些安全管理系统配置对管理系统进行评估。
(2) 安全管理防护体系的建设具有很重要的意义, 它是由安全机构, 安全人员, 安全制度, 以及系统的安全管理和运营等多部份组成。随着安全系统的不断完善, 工程系统的不断改进过程, 也需要对管理体系的范围和内容作出相应的调整。随着外部情况及内部条件的改变, 我们要做好适应变化, 使工控系统成功实施, 最终达到管理体系的终极管理目的, 建立制定公共系统安全信息的明确目标。安全管理的范围和安全框架以安全工作总体为方针, 以安全防护信息和安全公约控制系统的信息为主要依据。通过报送归纳日常安全管理体系, 公共系统的数据, 和网络安全管理, 对负责所管辖范围内的安全活动中各类管理内容作出规范和监督。安全管理人员操作人员要建立安全意识, 着重管理操作规程, 执行管理制度和策略, 全面完成安全系统管理体系操作规程。
(3) 安全生产管理的领导者和安全防护管理的主要负责人, 是安全管理信息工作委员会的重要成员。安全信息管理工作委员会, 作为安全管理的重要部门, 承担着重要的作用, 其中制定文件、明确分工、确立岗位、规范技能等工作是委员会的主要工作和任务。对于网络安全管理人员的管理要规范严格。在录用过程中, 对不同的人员的身分、专业的资格资质和背景都要进行详细的审查, 与安全管理人员、系统管理员、关键岗位人员都要签订保密协议, 对所有的技术和技能进行定期考核, 对工作人员进行相关安全管理岗位技能培训和安全教育安全技术培训, 对考核信息内容进行书面的规定, 对外部人员允许的访问区域进行规定。
4 结论
在工业控制系统安全中, 安全管理的重要性和紧迫性标志着工业控制系统安全正式提上了我国的议事日程, 对于重点领域和控制系统的信息安全备受关注的今天, 安全工作是重中之重的事情, 为确保安全系统的信息安全, 我国公共系统安全防护体系应该得到政府的大力支持。政府不仅应该在态度上保证支持, 更应该在政策、制度和经济上支持此种项目的设立和意见的建设。希望在政府主导的调控下, 工业企业各部门的共同努力下, 早日实现工业控制系统安全体系的建立和完善这一目标。工业控制系统信息安全等级的发展是国家安全的重点组成部分, 关系到民众安全问题和社会的和谐, 我们要努力保证工业控制系统安全等级的建设和管理, 这是我们职责也是我们的使命, 在逐步完善我国工业控制系统信息安全等级的建设的时候, 我们不仅要根据我国的经验和教训, 还要借鉴国际的宝贵建议, 在综合我国实际情况的同时做出判断并得出结论。
参考文献
[1]GB/Z 25320.1-2010.电力系统管理及其信息交换:数据和通信安全第1部分:通信网络和系统安全.安全问题介绍[S].2010
[2]GB/T 22239-2008.信息安全技术:信息系统安全等级保护基本要求[S].2008
[3]GB/T 20270-2006.信息安全技术:网络基础安全技术要求[S].2006
7.信息安全等级保护测评 篇七
Hacker.cn 更新时间:08-03-27 09:37 来源:硅谷动力 作者:中安网
1.等级保护概述
1.1为什么要实行等级保护?
信息系统与社会组织体系是具有对应关系的,而这些组织体系是分层次和级别的,因此各种信息系统是具有不同等级的重要性和社会、经济价值的。对信息系统的基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统的重要程度进行区别对待就是级别的客观要求。信息安全必须符合这些客观要求,这就需要对信息系统进行分级、分区域、分阶段进行保护,这是做好国家信息安全的必要条件。
1.2等级保护的政策文件
信息安全等级保护工作非常重要,为此从2003年开始国家发布了一系列政策文件,具体如下:
2003年9月,中办国办颁发《关于加强信息安全保障工作的意见》(中办发[2003]27号),这是我国第一个信息安全保障工作的纲领性文件,战略目标为经过五年努力,基本形成国家信息安全保障体系,实行等级保护制度。
2004年11月,四部委会签《关于信息安全等级保护工作的实施意见》(公通字[2004]66号):等级保护是今后国家信息安全的基本制度也是根本方法、等级保护制度的重要意义、原则、基本内容、工作职责分工、工作要求和实施计划。2005年9月,国信办文件,《关于转发《电子政务信息安全等级保护实施指南》的通知》(国信办[2004]25号):基本原理、定级方法、安全规划与设计、实施与运营、大型复杂电子政务系统等级保护过程。
2005年,公安部标准:《等级保护安全要求》、《等级保护定级指南》、《等级保护实施指南》、《等级保护测评准则》。
2006年1月,四部委会签《关于印发《信息安全等级保护管理办法的通知》(公通字[2006]7号)。
1.3 等级保护的管理结构-北京为例
等级保护的实施和落实离不开各级管理机构的指导和监督,这在等级保护的相关文件中已经得到了规定,下面以北京市为例来说明管理机构的组成和职责,具体如下图所示:
1.4等级保护理论的技术演进
在等级保护理论被提出以后,经过相关部门的努力工作,逐渐提出了一系列原则、技术和框架,已经具备实施等级保护工作的基础条件了,其具体演进过程如下图所示:
1.5等级保护的基本需求
一个机构要实施等级保护,需要基本需求。由于等级保护是国家推动的旨在规范安全工作的基本工作制度,因此各级组织在这方面就存在如下需求:
(1)政策要求-符合等级保护的要求。系统符合《基本要求》中相应级别的指标,符合《测评准则》中的要求。
(2)实际需求-适应客户实际情况。适应业务特性与安全要求的差异性,可工程化实施。
1.6基本安全要求的结构
对系统进行定级后,需要通过努力达到相应等级的基本安全要求,在总体上分为技术要求和管理要求,技术上又分为物理安全、网络安全、主机安全、应用安全、数据安全,在管理要求中又分为安全管理机构、安全管理制度等5项,具体如下图所示:
2.等级保护实施中的困难与出路
由于等级保护制度还处于探讨阶段,目前来看,尚存在如下困难:
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统,否则:
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
4.大型客户最关注的关键要求指标超出《基本要求》规定
针对上述问题,在下面几小节分别给出了坚决办法。
2.1安全体系设计方法
需求分析-1
问题1:标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
需求:从组织整体出发,综合考核所有系统
方法:引入体系设计方法
2.2保护对象框架设计方法
需求分析-2
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
需求:准确地进行大系统的分解和描述,反映实际特性和差异性安全要求
方法:引入保护对象框架设计方法
保护对象框架-政府行业
保护对象框架-电信行业
保护对象框架-银行业
2.3安全平台的设计与建设方法
需求分析-3
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
需求:统一规划,集中建设,避免重复和分散,降低成本,提高建设水平
方法:引入安全平台的设计与建设方法
平台定义:为系统提供互操作性及其服务的环境
2.4建立安全运行体系
需求分析-4
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
需求:建立长效机制,建立可持续运行、发展和完善的体系
方法:建立安全运行体系
2.5安全运维工作过程
需求分析-5
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
需求:需要高水平、自动化的安全管理工具
方法:TSM安全管理平台
2.6 TNA可信网络架构模型
需求分析-6
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
4.大型客户最关注的关键指标超出《基本要求》规定
需求:在《基本要求》基础上提出更强的措施,满足客户最关注的指标
方法:引入可信计算的理念,提供可信网络架构
3.总体解决方案-TopSec可信等级体系
按照上面解决等级保护目前困难的方法,总体解决方案就是建立TopSec可信等级体系:
遵照国家等级保护制度、满足客户实际需求,采用等级化、体系化和可信保障相结合的方法,为客户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。
实施后状态:一套持续运行、涵盖所有安全内容的安全保障体系,是企业或组织安全工作所追求的最终目标
特质:
等级化:突出重点,节省成本,满足不同行业、不同发展阶段、不同层次的要求
整体性:结构化,内容全面,可持续发展和完善,持续运行
针对性:针对实际情况,符合业务特性和发展战略
3.1可信等级体系设计方法
3.2信息安全保障体系总体框架
3.3体系设计的成果
安全组织体系
安全策略体系
安全技术体系
安全运行体系
3.4安全体系的实现
4.成功案例
8.信息安全等级保护管理办法 篇八
各省、自治区、直辖市公安厅(局)、保密局、国家密码管理局(国家密码管理委员会办公室)、信息化领导小组办公室,新疆生产建设兵团公安局、保密局、国家密码管理局、信息化领导小组办公室,中央和国家机关各部委保密委员会办公室、密码工作领导小组办公室、信息化领导小组办公室,各人民团体保密委员会办公室:
为加快推进信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》。现印发给你们,请认真贯彻执行。
公
安
部
国 家 保 密 局 国家密码管理局
国务院信息工作办公室
二〇〇七年六月二十二日
信息安全等级保护管理办法
第一章 总则
第一条 为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
第二条 国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条 信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
第二章 等级划分与保护 第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条 信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。
第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
第三章 等级保护的实施与管理
第九条 信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》 具体实施等级保护工作。
第十条 信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。
跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。
第十一条 信息系统的安全保护等级确定后,运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。
第十二条 在信息系统建设过程中,运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护基本要求》等技术标准,参照《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术 网络基础安全技术要求》(GB/T20270-2006)、《信息安全技术 操作系统安全技术要求》(GB/T20272-2006)、《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006)、《信息安全技术 服务器技术要求》、《信息安全技术 终端计算机系统安全等级技术要求》(GA/T671-2006)等技术标准同步建设符合该等级要求的信息安全设施。
第十三条 运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》(GB/T20269-2006)、《信息安全技术 信息系统安全工程管理要求》(GB/T20282-2006)、《信息系统安全等级保护基本要求》等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。
第十四条 信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改。
第十五条 已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
第十六条 办理信息系统安全保护等级备案手续时,应当填写《信息系统安全等级保护备案表》,第三级以上信息系统应当同时提供以下材料:
(一)系统拓扑结构及说明;
(二)系统安全组织机构和管理制度;
(三)系统安全保护设施设计实施方案或者改建实施方案;
(四)系统使用的信息安全产品清单及其认证、销售许可证明;
(五)测评后符合系统安全保护等级的技术检测评估报告;
(六)信息系统安全保护等级专家评审意见;
(七)主管部门审核批准信息系统安全保护等级的意见。
第十七条 信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明;发现不符合本办法及有关标准的,应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正;发现定级不准的,应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。
运营、使用单位或者主管部门重新确定信息系统等级后,应当按照本办法向公安机关重新备案。
第十八条 受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次,对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查,应当会同其主管部门进行。
对第五级信息系统,应当由国家指定的专门部门进行检查。公安机关、国家指定的专门部门应当对下列事项进行检查:
(一)信息系统安全需求是否发生变化,原定保护等级是否准确;
(二)运营、使用单位安全管理制度、措施的落实情况;
(三)运营、使用单位及其主管部门对信息系统安全状况的检查情况;
(四)系统安全等级测评是否符合要求;
(五)信息安全产品使用是否符合要求;
(六)信息系统安全整改情况;
(七)备案材料与运营、使用单位、信息系统的符合情况;
(八)其他应当进行监督检查的事项。
第十九条 信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,如实向公安机关、国家指定的专门部门提供下列有关信息安全保护的信息资料及数据文件:
(一)信息系统备案事项变更情况;
(二)安全组织、人员的变动情况;
(三)信息安全管理制度、措施变更情况;
(四)信息系统运行状况记录;
(五)运营、使用单位及主管部门定期对信息系统安全状况的检查记录;
(六)对信息系统开展等级测评的技术测评报告;
(七)信息安全产品使用的变更情况;
(八)信息安全事件应急预案,信息安全事件应急处置结果报告;
(九)信息系统安全建设、整改结果报告。
第二十条 公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的,应当向运营、使用单位发出整改通知。运营、使用单位应当根据整改通知要求,按照管理规范和技术标准进行整改。整改完成后,应当将整改报告向公安机关备案。必要时,公安机关可以对整改情况组织检查。
第二十一条 第三级以上信息系统应当选择使用符合以下条件的信息安全产品:
(一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;
(二)产品的核心技术、关键部件具有我国自主知识产权;
(三)产品研制、生产单位及其主要业务、技术人员无犯罪记录;
(四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;
(五)对国家安全、社会秩序、公共利益不构成危害;
(六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。
第二十二条 第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评:
(一)在中华人民共和国境内注册成立(港澳台地区除外);
(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);
(三)(四)
(五)从事相关检测评估工作两年以上,无违法记录; 工作人员仅限于中国公民;
法人及主要业务、技术人员无犯罪记录;
(六)使用的技术装备、设施应当符合本办法对信息安全产品的要求;
(七)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;
(八)对国家安全、社会秩序、公共利益不构成威胁。
第二十三条 从事信息系统安全等级测评的机构,应当履行下列义务:
(一)遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果;
(二)保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险;
(三)对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。
第四章 涉及国家秘密信息系统的分级保护管理
第二十四条 涉密信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。
非涉密信息系统不得处理国家秘密信息。
第二十五条 涉密信息系统按照所处理信息的最高密级,由低到高分为秘密、机 密、绝密三个等级。
涉密信息系统建设使用单位应当在信息规范定密的基础上,依据涉密信息系统分级保护管理办法和国家保密标准BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确定系统等级。对于包含多个安全域的涉密信息系统,各安全域可以分别确定保护等级。
保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。
第二十六条 涉密信息系统建设使用单位应当将涉密信息系统定级和建设使用情况,及时上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案,并接受保密部门的监督、检查、指导。
第二十七条 涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。
涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准,按照秘密、机密、绝密三级的不同要求,结合系统实际进行方案设计,实施分级保护,其保护水平总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。
第二十八条 涉密信息系统使用的信息安全保密产品原则上应当选用国产品,并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测,通过检测的产品由国家保密局审核发布目录。
第二十九条 涉密信息系统建设使用单位在系统工程实施结束后,应当向保密工作部门提出申请,由国家保密局授权的系统测评机构依据国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》,对涉密信息系统进行安全保密测评。
涉密信息系统建设使用单位在系统投入使用前,应当按照《涉及国家秘密的信息系统审批管理规定》,向设区的市级以上保密工作部门申请进行系统审批,涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统,其建设使用单位在按照分级保护要求完成系统整改后,应当向保密工作部门备案。
第三十条 涉密信息系统建设使用单位在申请系统审批或者备案时,应当提交以下材料:
(一)系统设计、实施方案及审查论证意见;
(二)系统承建单位资质证明材料;
(三)系统建设和工程监理情况报告;
(四)系统安全保密检测评估报告;
(五)系统安全保密组织机构和管理制度情况;
(六)其他有关材料。
第三十一条 涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、安全保密管理责任单位变更时,其建设使用单位应当及时向负责审批的保密工作部门报告。保密工作部门应当根据实际情况,决定是否对其重新进行测评和审批。
第三十二条 涉密信息系统建设使用单位应当依据国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》,加强涉密信息系统运行中的保密管理,定期进行风险评估,消除泄密隐患和漏洞。
第三十三条 国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理,并做好以下工作:
(一)指导、监督和检查分级保护工作的开展;
(二)指导涉密信息系统建设使用单位规范信息定密,合理确定系统保护等级;
(三)参与涉密信息系统分级保护方案论证,指导建设使用单位做好保密设施的同步规划设计;
(四)依法对涉密信息系统集成资质单位进行监督管理;
(五)严格进行系统测评和审批工作,监督检查涉密信息系统建设使用单位分级保护管理制度和技术措施的落实情况;
(六)加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评,对绝密级信息系统每年至少进行一次保密检查或者系统测评;
(七)了解掌握各级各类涉密信息系统的管理使用情况,及时发现和查处各种违规违法行为和泄密事件。
第五章 信息安全等级保护的密码管理
第三十四条 国家密码管理部门对信息安全等级保护的密码实行分类分级管理。根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度,被保护对象的安全防护要求和涉密程度,被保护对象被破坏后的危害程度以及密码使用部门的性 质等,确定密码的等级保护准则。
信息系统运营、使用单位采用密码进行等级保护的,应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。
第三十五条 信息系统安全等级保护中密码的配备、使用和管理等,应当严格执行国家密码管理的有关规定。
第三十六条 信息系统运营、使用单位应当充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的,应报经国家密码管理局审批,密码的设计、实施、使用、运行维护和日常管理等,应当按照国家密码管理有关规定和相关标准执行;采用密码对不涉及国家秘密的信息和信息系统进行保护的,须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准,其密码的配备使用情况应当向国家密码管理机构备案。
第三十七条
运用密码技术对信息系统进行系统等级保护建设和整改的,必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护,不得采用国外引进或者擅自研制的密码产品;未经批准不得采用含有加密功能的进口信息技术产品。
第三十八条
信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担,其他任何部门、单位和个人不得对密码进行评测和监控。
第三十九条 各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评,对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中,发现存在安全隐患或者违反密码管理相关规定或者未达到密码相关标准要求的,应当按照国家密码管理的相关规定进行处置。
第六章 法律责任
第四十条 第三级以上信息系统运营、使用单位违反本办法规定,有下列行为之一的,由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正;逾期不改正的,给予警告,并向其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,并及时反馈处理结果:
(一)未按本办法规定备案、审批的;
(二)未按本办法规定落实安全管理制度、措施的;
(三)未按本办法规定开展系统安全状况检查的;
(四)未按本办法规定开展系统安全技术测评的;
(五)接到整改通知后,拒不整改的;
(六)未按本办法规定选择使用信息安全产品和测评机构的;
(七)未按本办法规定如实提供有关文件和证明材料的;
(八)违反保密管理规定的;
(九)违反密码管理规定的;
(十)违反本办法其他规定的。
违反前款规定,造成严重损害的,由相关部门依照有关法律、法规予以处理。
第四十一条 信息安全监管部门及其工作人员在履行监督管理职责中,玩忽职守、滥用职权、徇私舞弊的,依法给予行政处分;构成犯罪的,依法追究刑事责任。
第七章 附则
第四十二条 已运行信息系统的运营、使用单位自本办法施行之日起180日内确定信息系统的安全保护等级;新建信息系统在设计、规划阶段确定安全保护等级。
第四十三条 本办法所称“以上”包含本数(级)。
9.网站系统信息安全等级保护建设整改方案 篇九
随着医院信息化的迅猛发展,医院信息系统已经深入到医疗工作的各个环节之中,信息系统的安全一旦受到威胁将会严重影响到医疗活动的顺利开展,因此该工作受到了医院越来越高的重视。
信息安全等级保护是国家出台的针对信息安全分级保护的制度,其最终目的就是保护重要的信息系统的安全,提高信息系统的防护能力和应急水平。
为了信息安全等级保护制度能够更好的在各医院得到有效的落实,国家有关部门针对医疗行业的实际现状印发了《卫生行业信息安全等级保护工作的指导意见》的通知卫办发[2011]85号,此文件在信息安全保护和医疗行业信息安全管理之间起到承接桥梁的作用。根据文件精神,医院的核心业务信息系统安全保护等级原则上不低于第三级。
2 医院信息安全等级保护建设流程
2.1 信息系统定级
信息系统定级主要考虑两个方面,一是业务信息受到破坏时的客观对象是谁,二是对于客观对象的损坏程度如何。两方面结合根据表1来制定本单位的具体哪个信息系统应该定位第几级。
针对医院,一般门诊量都比较大,当在早晨挂号、就诊等高峰的时候就会有大量的患者排队,如果一旦发生系统瘫痪就会造成大面积患者排队,很容易引发群体事件。因此,定义为对“社会秩序、公共利益”造成“严重损害”,即信息安全等级保护定级为第三级。涉及的信息系统即与挂号、就诊等门诊患者密切相关的系统。
2.2 信息系统评审与备案
按照等级保护管理办法和定级指南要求,在完成对本单位信息系统的自主定级后需要将业务系统自主定级结果提交卫生部审批。在定级审批过程中,卫生部组织专家进行评审,并出具《审批意见》。
完成评审后,医院需要填写《信息系统安全等级保护备案表》和《信息系统安全等级保护定级报告》,备案表与报告范例可在“中国信息安全等级保护网”进行下载。最后医院持评审意见、备案表、定级报告到所在地管辖区的市级以上公安机关办理备案手续,在拿到备案回执和审核结果通知后完成定级备案。
2.3 信息系统安全建设与整改
在完成备案后需要开始对信息系统进行合规性建设与整改,主要分为以下几个步骤完成。
2.3.1 等级保护差距分析
等级保护的要求整体分为技术与管理两个方面,而技术又可以分为SAG三类,主要包括:
业务信息安全类(S类):关注的是保护数据在存储、传输、处理过程中不被泄露、破坏和免受未授权的修改,比如在传输患者数据及费用数据是否进行了加密传输,在传输过程中如果出现异常能否及时发现等。
系统服务安全类(A类):关注的是保护系统连续正常的运行,比如机房的电力方面、服务器的负载方面、HIS系统的容错性与资源控制,是否支持单机挂号、就诊、收费、取药,能够在系统服务器瘫痪的情况下保存现有数据,并继续开展诊疗活动,再有就是灾备的建设情况,是否可在系统瘫痪的情况下进行快速恢复。
通用安全保护类(G类):大多数技术类安全要求都属于此类,属于基础类,如机房的物理安全,网络及主机的访问控制与审计、信息系统的审计等。
管理方面三级等级保护执行的是管理G3的要求,控制项为154项,医院需要根据自己的管理制度与控制项进行逐一比对,列出不符合项。
技术方面三级等级保护可进行选择性执行,主要分为G3S3A3、G3S1A3、G3S2A3、G3S3A1、G3S3A2,及G类必须达到三级,A类和S类选择一个达到三级即可。医院可以根据自身的实际情况选择一个标准进行差距分析,最严格的G3S3A3控制项共计136项。
根据管理、技术共计290个控制项医院可进行自行评定得出与等级保护三级的差距分析。
2.3.2 安全需求分析
当前,医院对于信息安全的关注点主要集中在业务连续性与数据隐私保护方面,因此可根据差距分析结果结合医院实际安全需求进行集中分析,使信息安全的建设工作可以满足实际的临床需求,这样才能使资源有效利用,避免资金投入的浪费。
2.3.3 安全建设/整改方案
在明确需求后就要进行整体的方案设计,在设计过程中,要提出总体规划(近期、远期)和详细设计方案,将其细分为不同的子项目,逐一进行完善,最后应组织专家对方案进行评审。
2.3.4 方案实施
完成方案制定与评审后及进入实施阶段,实施过程中应注意管理和技术并重的原则,将技术措施和管理措施有机结合。简历信息系统综合防护体系,提高信息系统整体安全保护能力。
2.4 开展等级测评
信息系统建设完成后,可以着手进行等级保护测评工作,测评需要找公安局认可,具有“DICP”认证的测评机构,机构名称可以在“中国信息安全等级保护网”进行查询,测评机构测评周期一般为一个月。等级保护测评的主要流程。
2.4.1 测评准备阶段
这个阶段主要是测评公司于医院进行前期的沟通阶段,医院需要向测评机构介绍本单位的大致医疗流程,介绍数据流的输出过程,介绍系统的拓扑结构、设备的使用情况等,随后测评机构会根据医院提供的相关信息准备相关的测评工具及表单。
2.4.2 测评方案制定阶段
此阶段测评机构会定制测评指标、测评工具接入点,并对测评的内容进行确定,编制测评方案书。随后与医院进行沟通,确定现场测评的时间以及现场测评的主要内容和流程。
2.4.3 现场测评阶段
此阶段测评机构会进驻医院大约一周左右,主要对上文提到的管理与技术共计290个控制项进行逐一测评,此阶段与医院关系密切,需要逐一测评时双方要约定好时间,不能影响医院业务的正常开展,比如做漏洞扫描等需要占用服务器资源的操作时尽量选择下班等非业务高峰期进行。测评工具的接入前要进行充分测试,保证其对现有业务不会造成任何影响。在此阶段医院的网络工程师、系统工程师、审计工程师需要在场进行配合。
2.4.4 分析与报告编制阶段
完成现场测评后,测评机构会整理所有的单项测评结果,并对其进行分项判定,会对医院的整体结果进行分析,最后给出测评报告,告知医院存在的风险点、整改建议和测评结果。
测评结果是标准医院是否通过测评的主要依据,根据等级保护相关要求,测评结果分为:不符合、部分符合、全部符合,其中不符合为没有通过测评,部分符合和全部符合为通过测评。根据医院的逐项测评数据,290个控制项除必须达到的项目外,达到80%以上符合的即可通过测评。
2.5 做好自查与配合监管部门检查
根据等级保护制度要求,当信息系统定级为第三级时,每年至少进行一次等级保护自查,并且监管部门每年至少来医院现场检查一次。因此该项工作是一个长期工作,必须常抓不懈。
2.5.1 等级保护自查
目前公安局已开发出信息安全等级保护自查工具,医院可以利用工具进行自查,工具主要需要填写医院的信息安全组织机构、资产信息、制度信息等基础信息,然后再进行各备案系统的自查,自查过程需要关联之前填写的资产和制度信息。完成后提交当地公安部门。
2.5.2 监督检查
监管部门多数为当地市属公安部门,公安部门每年定期对三级系统进行上门检查,检查依据主要是自查工具中提供的拓扑、自查以及管理文档,检查时间一般为半天,检查完成后公安部门会对检查结果进行评定,并对下一步安全工作给出建设性指导意见。
3 等级保护建设总结
信息安全等级保护建设可从合规性和系统内需驱动两方面考虑,并要定期检验建设的合规性、合理性。
合规性是指在政策要求指导下构建医院完整的信息安全体系。要落实国家等级保护标准;响应卫生部推进等级保护建设工作的指导精神;通过国家等级保护测评;为医疗行业信息安全体系建设以及等级保护建设方面起到试点示范效应。
系统内需驱动是指结合业务发展,进行系统化建设,切实提高自身信息安全防护水平。实现主动防御外部入侵威胁,防范内部不规范操作带来危害影响;降低日常信息化管理工作难度,提高对复杂、异构信息系统的运管效率,做到“有法可依,有技可行”;对已建、新建和拟建的信息系统进行合理规划,规范建设。
医院信息安全建设,要切合自身条件特点,分批分期循序建设,保证医院各系统能够长期稳定安全运行,以适应医院不断扩展的业务应用和管理需求,这才是信息安全等级保护建设的重要意义所在。
参考文献
[1]信息系统安全保护定级指南.
[2]信息系统安全保护实施指南.
10.信息安全等级保护与风险评估 篇十
一、什么是信息安全?
目前常说的所谓信息主要是指在信息系统中存储、传输、处理的数字化信息。信息安全通常是指保证信息数据不受偶然的或者恶意的原因遭到破坏、更改、泄露,保证信息系统能够连续可靠正常地运行,信息服务不中断。信息安全涉及到信息的保密性、完整性、可用性、可控性。保密性是保证信息不泄漏给未经授权的人;完整性是防止信息被未经授权的篡改;可用性是保证信息及信息系统确实为授权使用者所用;可控性就是对信息及信息系统实施安全监控。
信息安全面临的主要威胁来源有环境因素和人为因素,而威胁最大的并不是恶意的外部人员,恰恰是缺乏责任心或专业技能不足的内部人员,由于没有遵循规章制度和操作流程或不具备岗位技能而导致信息系统故障或被攻击。
信息安全涉及到物理环境、网络、主机、应用等不同的信息领域,每个领域都有其相关的风险、威胁及解决方法。信息安全是一个动态发展的过程,仅仅依赖于安全产品的堆积来应对迅速发展变化的各种攻击手段是不能持续有效的。
二、什么是等级保护?
信息安全等级保护是指对存储、传输、处理信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级进行响应、处置。
等级保护是指导我国信息安全保障体系总体建设的基础管理原则,是围绕信息安全保障全过程的一项基础性管理制度,其核心内容是对信息安全分等级、按标准进行建设、管理和监督。
按照《计算机信息系统安全保护等级划分准则》规定的规定,我国实行五级信息安全等级保护。第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级;
由公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合发出的66号文《关于信息安全等级保护工作的实施意见的通知》将信息和信息系统的安全保护等级划分为五级,即:第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。
66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的,是系统从应用需求出发必须纳入的安全业务等级,而不是GB17859中定义的安全技术等级。
三、什么是风险评估?
风险评估就是量化评判安全事件带来的影响或损失的可能程度。
从信息安全的角度来讲,风险评估是对信息资产所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。
风险评估的主要任务包括:1)识别组织面临的各种风险;2)评估风险概率和可能带来的负面影响;3)确定组织承受风险的能力;4)确定风险消减和控制的优先等级;5)推荐风险消减对策。
在风险评估过程中需要考虑几个关键问题:
第一,要确定保护的对象(资产)是什么?它的直接和间接价值如何?
第二,资产面临哪些潜在威胁?导致威胁的问题所在?威胁发生的可能性有多大?
第三,资产中存在哪里弱点可能会被威胁所利用?利用的容易程度又如何?
第四,一旦威胁事件发生,组织会遭受怎样的损失或者面临怎样的负面影响?
第五,组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度?
解决以上这些问题的过程,就是风险评估的过程。
四、中科网威的风险评估案例
2010年,某市税务局通过招标,对市属税务单位进行了一次风险评估。
在招标中,要求风险评估单位具有安全服务资质、风险评估资质、参与过国家信息安全评估产品标准的制订,有具有自主知识产权的风险评估产品、有6名以上CISP等。北京中科网威信息技术有限公司因技术实力突出而一举中标。
根据先期确定的风险评估实施方案,风险评估工作的对象为市局及其五个下属的区县级税务分局的信息系统。评估范围是市局的数据管理中心及五个下属区县局,涵盖物理环境、网络、应用、管理和终端等方面的评估;从20个分局中抽取了三个征管局和两个县区局,针对征管系统、OA系统、国地税数据交换系统进行检查评估。
经过2个月的评估,北京中科网威信息技术有限公司出具了风险评估报告,指明该市局税务系统的信息安全风险突出表现在以下五个方面:
1)安全管理体系不够健全
2)管理执行力度较差,缺乏监管与奖惩机制
3)各类人员不同程度的缺乏安全意识
4)现有安全措施不足,总体安全策略没有在技术上落实
5)安全风险过于集中,对于突发事件缺乏应急准备
针对发现的风险,北京中科网威信息技术有限公司协助市税务局制订了完整的整改方案,采取了一系列措施进行安全建设整改。经过4个月的安全建设和整改,完善了安全体系,有效防范了大部分安全风险,取得了令人满意的阶段性成果,并通过了国税总局进行的信息安全等级测评。
在总结会上,市局信息中心孙主任表示,在实行等级保护过程中,风险评估的作用至关重要,这次之所以顺利通过等级测评,就是前期的风险评估工作扎实到位,使得信息安全建设有的放矢。
11.网站系统信息安全等级保护建设整改方案 篇十一
自检自查报告
XX县烟草专卖局(分公司)的信息网络安全建设在上级部门的关心指导下,近年取得了快速的进步和发展,实效性强,网络安全防控能力大大增强。为进一步贯彻落实行业网络与信息安全各项管理规定,严格规范信息安全等级保护,提高企业对信息网络安全的防控能力,保障企业信息网络安全,保证公司各项办公自动化工作的正常进行,促进企业效益的稳步提升,按照《XX县人民政府办公室关于开展信息网络信息安全等级保护安全检查工作的通知》要求,我司组织相关人员对系统内信息网络安全等级保护工作认真细致的自检自查,现将自查情况报告如下。
一、等级保护工作部署和组织实施情况
XX县烟草公司企业信息化建设在市局(公司)的统一领导下,按照“统一网络、统一平台、统一数据库”的要求,以打造“数字烟草”为战略目标,以“系统集成、资源整合、信息共享”为工作方针,取得了快速的发展,在积极推进企业信息化建设的过程中,更加重视网络信息的安全建设工作。从省公司到市公司、县公司,领导高度重视,统一规划,统一标准,同步实施。首先是逐级成立了领导小组和职能部门,XX分公司按照上级部门要求,2000年11月成立了信息化领导小组,下设信息办在公司办公室,并设置了计算机系统管理员岗位,明确了各自的职责。由于网络推广应用迅速,2005年重新更设了计算机网络信息中心,旨在强化对企业的网络建设和网络安全管理。在历次的机构设置中,都明确了分公司主要领导分管信息工作,把网络信息安全的建设与管理摆到了企业各项工作的重要位置中来,表明了企业对信息化建设、网络安全管理的高度重视和决心。其次是对行业的网络安全建设高瞻远瞩、统一标准、规范运作、务求实效。先后省公司下发了《云南省烟草专卖局关于建设云南省行业计算机网络与信息安全系统的通知》,对全行业的网络信息安全建设作了明确、细致的规定,制定了高效规范的《云南省烟草行业计算机网络与信息安全系统建设方案》,统一在全系统范围内实施。随后市局公司又下发了《曲靖市烟草专卖局(公司)关于建设网络安全系统的通知》,对各分公司的网络安全建设作了具体的安排部署。XX县烟草公司严格按照上级部门要求,主动推进网络安全建设,严律遵循行业标准规范,组织实施信息项目,积极配合上级部门在全行业开展网络安全建设工作。
二、信息系统安全保护等级备案情况
XX县烟草专卖局(分公司)隶属曲靖市烟草专卖局(公司)子公司,无法人资格。网络信息安全建设也是依照市公司统一要求进行,信息安全保护等级为二级。按照本次检查要求,备案材料主要包括三类。一是各级各部门的文件,包括有:罗烟司字[2000]48号《关于成立云南省烟草XX县公司信息化领导小组的通知》,省公司云烟科[2000]209号《关于决举办云南省烟草行业计算机系统管理员培训班的通知》,省公司云烟信[2003]552号《云南省烟草专卖局关于建设云南省烟草行业计算机网络与信息安全系统的通知》,市公司云曲烟专司字[2004]35号《曲靖市烟草专卖局(公司)关于建设网络安全系统的通知》、《曲靖烟草专卖局(公司)党政工作部关于举办网络信息安全培训的通知》,市公司云曲烟办字[2004]98号《曲靖市烟草专卖局(公司)关于建设地面专网的通知》等。第二类是各项网络信息安全建设规范、技术标准及方案等,主要包括有:《云南省烟草行业信息网络信息系统技术规范》两部分,《云南省烟草行业信息网络系统计算机网络系统建设技术规范》、《云南省烟草行业计算机网络与信息安全系统建设方案》。第三类是各类管理制度或规定,主要包括有:《云南省烟草行业信息网络管理规范》、《云南省烟草行业计算机网络与信息安全管理制度》、《信息化工作管理规定》的网络与信息安全管理,《网络建设及信息维护按理规定》、《计算机设备管理规定》、《计算机机房管理规定》及《突发信息网络事件应急预案》等。
三、信息安全设施建设情况。
根据上级部门的统一规划、建设要求,XX县烟草公司积极推进各项网络安全建设工作。首先,为考虑网络安全,结合业务实际,在网络规划时以建设专线为重点,在全省烟草系统内全部采用专线连接,实现互联互通。在系统主干网络建设上,先是采用卫星专用通道联网,后改用DDN专线,随着网络技术的发展和普及,从2006年开始,全省烟草系统,从省公司至市公司,从市公司至分公司,从分公司至烟叶站、烟叶收购点,采用带宽不同的SDH专线连接。公司绝大部分业务均在内网里运行,各类数据信息通过内网服务器和网络流转、共享,无外网托管现象,只有极少部分业务需挂外网。其次是不断采用新技术、新手段做好网络信息安全防范工作,严格划分企业内网与外网,通过硬件防火墙设置,保证内外信息交互有效进行,实现对垃圾信息、非法访问的有效过滤。同时,通过网络版杀毒软件的安装使用,对计算机病毒进行整体防治,另一方面,对操作终端还配置防木马程序的软件,以及软件防火墙等软件的使用,配合杀毒软件对计算机病毒、黑客攻击、木马程序等进行了有效的防范。总之,通过软硬件技术手段的有效结合,使系统内网及每个终端计算机、系统内的信息、数据安全得到了有效保障,有效保证了企业各业务工作的顺利开展。
四、管理制度建设情况。
烟草企业自2004年工商分制以来,作为一分公司,在曲靖市烟草公司的直接领导下,各项工作稳步推进,伴随着社会效益、企业效益的逐年攀升,曲靖烟草企业更加注重管理模式的总结与创新,强调管理的精细化和规范化,通过长时间的积累、总结和创新,对各行各业各个环节都制定了规范、有效的管理制度。形成了具有行业标准的相关制度-《曲靖烟草商业管理(QTCM)-管理制度》,在网络信息安全方面涉及很多内容。制定了《计算机设备管理规定》,旨在规范烟草系统计算机及相关设备的管理工作,促进设备的有效管理,提高设备的综合效率,满足工作需求;制定了《计算机机房管理理规定》,旨在加强计算机机房的运行、使用和管理,保证各信息系统的稳定可靠运行,促进公司网络的健康发展;制定了《信息化工作管理规定》、以及《网站建设及信息维护管理规定》,包括网络和信息安全管理规定,旨在保证企业网络信息系统运行安全、可靠,做到实体安全、运行安全、数据安全和管理安全。2008年4月份,根据企业《职业健康安全管理体系》运行的整改要求,制定了《突发信息网络事件应急预案》,包括机房渗漏水应急预案、机房盗窃应急预案、机房火灾应急预案、机房长时间停电应急预案、通信网络故障应急预案、网络病毒爆发应急预案、服务器软件系统故障应急预案、核心设备硬件故障应急预案、业务数据损坏应急预案等九部分内容,旨在加强对系统内突发信息网络事件的控制,迅速有效开展应急救援行动,降低危害程度。总之,企业对网络安全高度重视,制定了众多管理制度,并积极层层落实,责任分明,有效地保证了了企业长期以来的网络信息系统的稳定运行。
五、信息安全产品选择和使用情况。
我司的网络信息安全产品,2004年开始根据市公司的要求,进行统一配置。其中,硬件防火墙采用中端型产品,品牌型号为天融信NGFWARES-VPN(S),版本TOPSEC集中管理器V2.2.17,基本满足管理要求。防病毒软件曾采用趋势Trend网络版,2007年以后统一改用瑞星企业专用版,与全国大多企业一致选用国产软件。网络管理平台软件曾使用复旦光华T_Manager网络综合管理系统,预计未来将采用其它新系统实现网络综合管理。此外,针对各终端设备的安全防范,我司还使用了正版的瑞星个人防火墙软件和免费版的奇虎360安全卫土等安全软件,实现防病毒、木马程序、黑客、非法程序等的辅助管理,进一步提高了整个系统的安全防范能力和管理水平。
六、聘请测评机构开展技术测评情况
我司的网络安全检测及风险评估工作也是依照市局(公司)的统一要求组织实施,按照市公司的统一安排,聘请测评机构为曲靖市麒麟区联创信息网络有限公司,检测时间一般为每年6至7月份,检测内容为:机房物理环境、服务器、网络设备(交换机、路由器、防火墙),桌面终端等,其中,桌面终端采用抽查方式进行检测,抽查率不少于总数的30%,检测工作中,工程师需签订《云南省网络与信息系统安全检测单位保密承诺》和安全检测保密协议,检测结果及报告由市公司保存。
七、定期自查情况
XX县烟草公司高度重视网络安全建设工作,强调日常维护、安全防范和定期自查工作。对管理制度不断完善更新,新技术新手段积极采用,借助于企业职业健康安全管理体系的贯标、运行和提升工作,不断开展网络信息安全的检查工作,对一经查出的问题及时整改,自己不能解决的及时上报上级部门,给予帮助解决,有效地促进了整个安全防控体系的完善和管理水平的提高。
曲靖市烟草公司XX分公司
二OO八年十月三十日 关于上报宣州区地税局信息系统安全自查的报告
宣州区地方税务局文件
宣区地税〔2010〕77号
签发人: 殷本辉
关于上报宣州区地税局信息系统安全自查的报告
宣城市地方税务局
根据宣城市地税局对我局网络与终端物理隔离和安全使用检查情况反馈意见,参照安徽地税信息系统安全自查方案,我局对全区网络与信息安全现状进行了自查,查找薄弱环节和安全隐患,进一步强化信息安全意识、规范信息安全管理,以提高网络与信息系统的安全保障能力,现将自查情况上报给你们。
(本文只发电子文件)
二〇一〇年六月二十四日
宣州区地税局信息系统安全自查报告
根据宣城市地税局对我局网络与终端物理隔离和安全使用检查情况反馈意见,参照《安徽省地税局2010年税务信息系统安全检查方案》,从“安全管理检查”、“安全技术检查”、“终端和移动存储介质检查和加固”等三大方面对宣州区地税局信息安全系统进行了认真地自查与整改,现将自查情况报告如下:
一、领导高度重视,组织、部门健全
宣州区地税局领导班子高度重视信息系统安全工作,本着“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,成立了宣州区地税局信息系统安全领导小组,区局一把手担任领导小组组长,分管领导为副组长,下属各单位负责人为成员。
各基层分局设立计算机管理员岗位,分别 有责任心、取得全国计算机等级二级以上(含二级)证书、熟悉业务操作的人员担任,负责本单位计算机软、硬件及网络安全管理。对本单位计算机出现的软、硬件问题及时上报区局信息中心。区局结合本部门的信息系统安全管理需求,不定期地对计算机管理员开展相关业务培训。
二、结合安徽地税系统安全自查方案,认真开展自查工作
(一)安全管理方面:区局制定了《宣州区地税局公文处理应急预案》、《宣州区地税局内部网站应急预案》、《宣州区地税局网络故障应急预案》、《宣州区地税局计算机机房运行维护管理办法》,并着重落实上级部门下发的信息安全政策、法规和规章制度。确定信息中心一名工作人员担任信息系统安全管理员,具体处理信息系统安全的相关工作。区局中心机房于2008年建成,面积约90平方米,安装了接地保护装置,配备了手持式灭火器,配有两台柜式空调,并确保空调24小时正常运转。加强中心机房的供电管理,配备一台专用的10KV UPS电源专供中心机房设备使用,配备一台专用的6KV UPS电源专供征收大厅设备使用,并定期对UPS电池性能进行相应测试。
宣州区地税局办公网络已于2009年元月实行内、外网物理隔离,内外网均通过2套线路和隔离卡实现内外网切换。内网分为应用服务区与办公区,通过一台硬件防火墙进行对外与对外的访问控制,所有内网服务器与终端均安装网络版病毒防火墙。外网通过硬件防火墙、上网行为管理工和防病毒网关实行访问控制。局机关所有计算机安装隔离卡进行内外网物理隔离,基层分局只在分局负责人计算机上安装隔离卡实行内外网物理隔离,其他计算机只允许上内网。
征管数据市局集中后,区局目前的重要数据库有区局内网数据库、公文处理数据库、车辆税及触摸查询系统数据库,定期对上述数据库进行备份,并将备份数据复制到文件服务器上。
(二)安全技术方面:区局的网络通过租用联通的专线,实现市局、区局及分局三级网络互联,各基层分局通过路由交换和以太网两种方式按入区局,区局机关按股室按分VLAN。区局中心机房内网设备目前有1台华为2631路由器、1台华为3680路由器和2台华为3552交换机为核心层,3台华为3026交换机作为接入层。除华为3552交换机有热备份,其他网络设备没有冷、热备份,通过1台东软硬件防火墙进一步加强网络安全管理。
区局中心机房外网设备目前有5台华为3928交换机,1台防病毒网关,1台上网行为管理,1台防火墙,另外租用网通地址,各基层分局以以太网方式接入互联网。
宣州区地税局共有服务器6台,5台服务器的操作系统为Windows 2000 Server SP4,1台服务器的操作系统为Windows 2003 Server,所有服务器根据账号策略设置用户密码,强化安全管理。
宣州区地税局所有内外网中的路由器和交换机均按照省局网络运行管理规范进行命名管理,并对其用户口令进行加密。内外网中的防火墙均设置访问控制策略,提高系统的网络安全系数。
(三)工作用台式机、笔计本电脑和移动存储介质检查和加固: 及时更新台式机和笔计本电脑的操作系统和应用程序补丁,禁用GUEST用户组,统一安装网络版瑞星防病毒软件,并通过设置自动升级和定时对计算机进行扫描,对外接的USB设备,必须进行病毒扫描。
三、存在的主要问题
通过本次自查发现,我局信息系统存在不少安全隐患问题,主要有以下几方面:
(一)安全保护意识有待增强,各种安全保护措施有待加强,部分管理人员的安全保护意识薄弱。
(二)数据的存储及备份机制还不够完善,存在信息丢失的隐患,存在移动存储介质内外网混用,个别笔记本电脑存在内外网混用。
(三)因区局搬迁新办公楼后,对区局的内网进行了重新规划,路由策略进行了了修改,核心网络设备失效的路由策略未即时清理。
(四)重技术建设、轻安全保护。进行计算机信息系统建设规划时,主要考虑了业务需求和系统技术性能要求,没有很好地将系统的安全保护措施一并考虑,造成安全保护工作相对滞后。
四、加强安全保护工作的意见和建议
根据信息安全自查的情况,结合区局实际情况,现就加强区局信息系统安全工作,提出以下意见和建议:
(一)加强领导,提高对信息系统安全重要性和紧迫性的认识。组织相关人员认真学习与信息系统安全有关的管理规定,不断增强信息系统安全保护意识,做到认识到位、措施到位、管理到位。
(二)认真落实技术防范措施,着重落实以下等安全保护技术措施:
1、系统重要数据的冗余或备份措施;
2、计算机病毒防治措施;
3、网络攻击防范、追踪措施;
4、研究有关内网补丁升级的措施。
(三)严格防范内外网移动存储混用,加强对移动存储的分类管理,严禁在外网机器处理或保存涉税文件,严格执行内、外网物理隔离制度。
(四)停用内外到外网出口,瑞星防病毒托管服务器升级下挂到市局。
(五)加强网络和安全设备管理,调整网络和安全设备配置,严格网络访问控制策略,保护网络安全。
(六)加强中心机房的管理工作,提高机房运行环境,保障设备安全。
黄河科技学院网络信息安全防范系统
情况自查报告
随着网络在我校教学与管理环节中的普及,我校领导已充分认识到开展高校校园和网络信息安全防范工作,是加强维护高校稳定工作,为高校创造良好的教学科研环境,推进高校校园安全防范系统和网络信息安全系统建设的重要措施。自一九九九年我校初建校园网,一直到现在,上至领导下到我们中心的工作人员一直比较注重网络的安全性。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,各单位、部门层层落实责任制,明确责任人和职责,细化工作措施和流程,建立完善了一系列的管理制度和实施办法,确保使用的网络和提供服务信息的安全。现根据省教育厅的《关于在开展高校校园和网络信息安全防范系统情况调查工作的通知》的文件精神,对我校的网络与信息安全与网络与信息服务等内容做了详细的自查,自查情况如下:
(一)我校于一九九九年十月,成立了以常务副校长为组长,以网络中心主任董峰及保卫处处长宋同先为副组长的黄河科技学院网络中心安全组织。
(二)根据我校的网络发展情况以及国家、省、市等有关的文件精神,我们相继建立了一系列的安全管理制度,并落实到各部门。如:信息的发布审核由新闻办指办专人负责;信息的监视、保存、备份、清除由网络中心负责;校内所有上网的帐号、邮件帐号、网站帐号等我们都做有实名备案;对于较为知名的公众网络媒体,如我校相关的百度贴吧,我校新闻办公室也安排专人负责信息的监管工作,以实现正面的引导,并及时发现和删除各类有害信息,维护学校和社会的稳定。
(三)我们加强了安全保护技术措施,切实抓紧、抓实、抓好,保障了学校网络和信息安全,网络运行正常、使用规范,网站没有发现有害信息和不良连接,网络节点安全设施基本符合要求。我们使用了天融信防火墙与天阗入侵监测系统相结合,使日志留存具有保存60日以上系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,交互式栏目发布者和上、下网时间及信息、主页维护者、邮箱使用者和对应的IP地址情况等;对于邮件服务器,我们使用的是亿邮,并配套使用了亿邮网关,并与公安部门实行了数据对接,有效的隔离了垃圾邮件,防止有害信息的干扰和破坏。对于我们的网站信息服务系统建立了备份,一旦受到破坏能及时恢复正常。
(四)针对网上突发事件,我们制定了应急处置方案,细化流程,责任到人。做到及时预警、快速反应、果断处置网上突发事件。
(五)我校网络中心经过仔细排查,已经关闭所有校园网内开通的交互式栏目(BBS,留言板);对于必须使用留言服务的招生咨询网站,我们采取了用户发布信息必须审核和记录用户IP地址的机制。同时由新闻办公室安排专人负责信息审核工作,并在技术上采用了关键字过滤来防止有害信息。由于我们的高度重视,认真组织,确保了网络正常运行和信息安全,至今为止没有发生任何事故,受到了我校有关领导的肯定和好评。当然,随着科技的发展,社会信息的不断扩大,新时代,新情况对网络安全技术的要求也越来越高,新的问题也会不断出现,我们真正希望通过省厅的此次网络信息安全防范系统情况的调查使我校的网络运行得更安全,有利于社会的安定及国家的繁荣昌盛。
永胜县供销合作社联合社
2010年上半年政府信息系统安全检查自查报告
根据《永胜县人民政府办公室关于开展政府信息系统安全检查的通知》(永政办发〔2010〕56号)文件精神,结合我社实际,认真组织开展了信息系统的安全自查工作。现将相关情况报告如下:
一、信息系统安全检查基本情况
㈠信息安全组织机构落实情况
为规范信息公开工作,落实好信息安全的相关规定,我社成立了信息安全工作领导小组,落实了管理机构,由联社办公室负责信息安全的日常管理工作,明确了信息安全的主管领导、分管领导和具体管理人员。
㈡日常信息安全管理落实情况
根据供销合作社的工作实际,供销社日常信息安全工作主要涉及上级下发的涉密文件管理、政府信息公开工作信息管理、业务工作相关数据信息管理、组织人事信息管理。根据这些实际,县联社已从落实管理机构和人员、加强教育培训、更新设备、健全完善相关制度等方面对信息安全的人员、资产、运行和维护管理进行了落实。
一是,落实具体负责信息安全工作的人员,对涉密信息文件、材料实行专人管理;对重要办公区、办公计算机等进行严格管理,确保信息保密工作。
二是,结合供销社工作实际,对涉密文件材料管理和计算机、移动存储设备等的维修、报废、销毁管理进行了规定。对日常信息办公软件、应用软件等的安装使用,主要是由上级组织人事部门、业务主管部门下发的业务工作应用软件,均按照上级部门的要求和规定,严格进行操作管理。
三是,结合供销社政府信息公开工作,按照信息公开的相关保密规定和程序,初步建立了《永胜县供销合作社政府信息公开保密审查制度(试行)》,对信息公开、阳光政府四项制度等公开发布信息保密审查机制、程序进行了规范,完善相关信息审批备案和日常记录。
㈢等级保护与风险评估
永胜县供销合作社的相关信息系统主要是业务工作,不是重要涉密部门,还达不到涉密信息系统等级,所以,没有对信息系统定级、测评和评估。
㈣技术安全防范措施和手段落实情况
1、计算机及网络经过检查,已安装了防火墙,同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。并按县委保密局的要求,在主要的计算机上统一粘贴了“非涉密计算机严禁处理涉密信息”的标识,杜绝涉密和非涉密计算机之间的混用。
2、网络终端没有违规上国际互联网及其他的信息网的现象,没有安装无线网络等。对信息公开发布门户网站及相关应用系统帐户、口令等进行检查,对服务器上的应用、服务、端口和链接进行了检查,没有网站信息被非法篡改,也没有非法链接。同时,日常工作中,及时对计算机进行漏洞扫描、木马检测等,加强安全监管。我单位使用的计算机都为非涉密计算机,主要是用于业务工作,没有用于处理涉密信息的情况。目前,网络运行良好,安全防范措施和设备运行良好,没有涉及国家秘密的相关信息,未在网上存储、传输国家秘密信息,未发生过失密、泄密现象。
3、密码技术防范方面。我单位的相关信息还达不到涉密信息系统等级,目前还没有使用密码技术防护措施。
㈤应急工作机制建设情况
1、应急响应机制建设上,根据相关要求,建立了信息安全的相关规章制度,要求县社信息安全管理办公室根据信息安全工作情况及时向工作领导小组报告相关情况,并及时上报县信息化办公室,及时采取有效措施,处理相关问题。目前,还没有应急响应方案。
2、对非涉密的相关重要工作信息实行光盘备份,以防范计算机系统故障带来的损失和影响。
3、目前,我社的信息安全管理工作还没有明确应急技术支援队伍,主要由县社办公室根据工作中的问题向县信息办及时报告咨询解决。目前,没有发生信息安全事件。
㈥信息技术产品和信息安全产品使用情况
我单位终端计算机安装的防火墙、入侵检测设备、杀毒软件等信息安全产品,使用360安全卫士等软件,皆为国产产品。公文处理软件具体使用金山软件的WPS office系统和Microsoft Office系统。单位使用的工资系统、业务统计报表系统、组织人事统计系统等应用软件均为县委、县政府相关部门和市供销社统一指定的产品系统。
㈦安全教育培训情况
1、县供销社积极参加全县保密工作会议和县委政府相关部门组织的信息系统安全知识培训,并专门负责机关的网络安全管理和信息安全工作。
2、结合集中学习,县供销社对全县保密工作会议精神进行了传达学习。同时,在日常工作中相关保密、信息安全工作人员也结合《保密工作》杂志及相关文件精神,开展自学,提高信息安全意识、保密意识。
㈧信息安全经费保障。
县供销合作社信息安全工作得到县社领导高度重视,信息安全相关学习培训材料的征订购买和相关防护设施建设、运行、维护和管理经费均纳入预算,实报实销,为信息安全提供了经费保障。
二、信息安全检查存在的主要问题及整改情况
经过安全检查,我单位信息安全总体情况良好,但也存在了一些不足,同时结合单位工作实际,进行了整改同时提出了进一步整改的措施。
1、部分干部职工对信息安全工作的认识不到位。由于本部门工作涉密很少,机关干部对信息安全防范的意识还不高,对信息系统安全工作重要性的认识还不足。针对这些情况,县社领导已结合传达全县保密工作会议精神,进一步作了强调和要求。结合工作开展,今后将继续加强对机关干部的信息系统安全意识教育,提高干部职工对信息安全工作重要性的认识。
2、设备维护、更新不及时。部分股室计算机的杀毒软件、防护软件没有及时进行更新升级,存在部分漏洞。针对这些问题,办公室已及时对各终端计算机的杀毒软件、防火墙等进行了更新升级,对存在的漏洞进行了修复。今后将对线路、系统等的及时维护和保养,及时更新升级防护软件。
3、信息系统安全工作的水平还有待加强。供销社的信息系统工作人员均为兼职人员,非专业人员,对信息安全的管护水平低,还需要加强专业学习培训,提高信息安全管理和管护工作的水平。
4、信息安全工作机制还有待完善。部门信息安全相关工作机制制度、应急预案等还不健全,还要完善信息安全工作机制,建立完善信息安全应急响应机制,以提高机关网络信息工作的运行效率,促进办公秩序的进一步规范,防范风险。
三、对信息安全检查工作的意见和建议
一是,进一步加大对信息安全工作人员的业务培训。由于很多部门的信息安全工作人员均为兼职,均是“半路出家”,非专业人员,没有专业的技能和知识,希望进一步加强对计算机信息系统安全管理工作的业务操作培训,发放一些信息网络安全管理方面的业务知识材料。
二是,加强对各级各部门干部职工的信息系统安全教育。通过开展专题警示教育培训,增强信息系统安全意识,提高做好信息安全工作的主动性和自觉性。
三是,加强分类指导。由于各部门工作性质不同,信息安全的级别也不同。希望结合各部门工作实际,对重点信息安全部门和非重点信息安全部门进行分类指导。
二○一○年六月二十二日
泸州市人民政府信息化管理办公室:
根据你办《关于印发<2009泸州市政府信息系统安全检查指南>的通知》(市府信管办〔2009〕33号)文件要求和市府办召开的网络与信息安全事件应急预案暨信息系统安全检查工作会的要求,现就我区政府信息系统安全检查自查情况汇报如下:
一、信息安全总体情况
10月15日、16日参加完市上会议之后,我区及时开展了信息系统安全情况的调查摸底工作,制定了工作方案,并获得领导的大力支持。于10月23日印发了《2009泸州市纳溪区政府信息系统安全检查指南》的通知。在10月27日,我区召开了全区网络与信息安全事件应急预案暨政府信息系统安全检查工作会,安排布置了全区的工作。
1、安全制度落实情况
经自查发现,我区各级各单位的网络与信息系统管理机构比较完善,有主管领导和具体检查人员,信息安全责任制和各项安全保密制度较完善,重要部门人员管理制度落实,每个部门都落实了一名人员,负责信息日常安全。严格实行了“谁上网,谁使用,谁负责”的原则。重要信息上网必须经过单位分管领导批准,一般信息上网必须经过部门负责人审核。我区针对新中国成立60周年国庆制定了完善的应急工作方案,坚持了网络值班。同时将信息安全经费列入财政预算,今年全区已落实近15万元用于网络与信息安全建设。
近年来,通过中心机房建设和对网络配套改造,建成了覆盖全区的高速信息网络系统。我区部署了网络硬件路由、防火墙,党政网上应用了金山毒霸网络版杀毒软件,政务外网上应用了卡巴斯基网络版杀毒软件。机房实施了UPS供电,建立了中心机房网络雷电防护
体系。我区建立健全了网络值班制度,加强了网络值班工作,区信息化办工作人员每天对设备运行情况、网站信息发布情况进行监控,并填写值班日志。
2、安全防范措施落实情况
我区要求各级各单位严格按保密管理、密码管理、等级保护要求,对上党政网的计算机进行了加密保护。涉密计算机实行专人管理,责任到人。对涉密介质,如光盘、磁盘、优盘等由专人管理。做到了涉密计算机定点维修,保证了涉密计算机的安全和保密;同时加强对涉密文件资料的管理,所有印发的涉及单位秘密的文件资料者是在单位文印部门(打印中心)制作,并编排序号;上级发来的涉密文件资料都是作好严格登记,并根据工作需要,严格控制范围,认真履行了传借阅国家秘密文件登记、签收手续,未有丢失现象;对秘密文件都是实行专门文件夹传阅,并将领导阅后的秘密文件收回并专门保管,防止秘
密文件的流失。
自查发现,我区计算机使用国产化率较高,主要的品牌有联想、清华同方等,使用较多的非国产品牌有HP、DELL等。字处理软件95%以上都使用微软Office,只有少数使用国产WPS。互联网终端计算机上85%使用的瑞星和金山毒霸等杀毒软件,少数使用360安全卫士和卡巴斯基等。党政网的计算机90%以上都使用了网络版金山毒霸,电子政务外网
85%以上都使用了网络版的卡巴斯基。
我区各级各单位都高度重视政府信息系统安全检查工作,为了搞好这次检查,都成立了领导小组,主要领导亲自抓,分管领导具体抓。对这次检查进行了统筹安排,严密组织,明确了职责,强化了责任,以确保检查不走过场,注重实效,确保检查质量,以切实提高政府信息系统安全保障能力,确保我区政府信息系统安全运行。
二、信息安全检查发现的主要问题及整改情况
根据《通知》中的具体要求,在自查过程中我们也发现了一些不足,同时结合我区实际,今后要在以下几个方面进行整改。
1、部分单位安全意识不够。部分单位工作人员信息安全意识不够,未引起高度重视。检查要求其要高度保持信息安全工作的警惕性,从政治和大局出发,继续加强对机关干部的安全意识教育,提高做好安全工作的主动性和自觉性。
2、部分单位缺乏相关专业人员。由于部分单位缺乏相关专业技术人员,信息系统安全方面可投入的力量非常有限,下一步要加强相关技术人员的培训工作。
3、部分单位安全制度落实不力。要求各单位要加强制度建设,加大安全制度的执行力度,责任追究力度。要强化问责制度,对于行动缓慢、执行不力、导致不良后果的单位和个人,要严肃追究相关责任人责任,从而提高人员安全防护意识。
4、部分单位工作机制有待完善。部分单位网络与信息安全管理混乱,要进一步创新安全工作机制,提高机关网络信息工作的运行效率,进一步规范办公秩序。
5、计算机病毒问题较为严重。由于单位经费紧张,部分单位使用的是盗版杀毒软件,有的是网上下载的,有的是已过期不能升级的,更有不装杀毒软件的。要求各单位加大投
入,确保用上正版杀毒软件。
6、计算机密码管理重视不够。相当部分计算机未设置密码,有的密码设置也过于简单。要求各台计算机至少要设置8-10个字符的开机密码。
三、对信息安全检查工作的建议和意见
信息和信息网络安全的防范和监管是信息主管部门的一个重要职责。明确信息安全检查工作是为了加强安全防范,在此,对于做好安全防范工作建议如下:
1、明确各层组织机构和人员的网络和信息安全责任,实现组织和人力上的安全保证;
2、组织建立和健全各项信息和信息网络安全制度,实现制度和管理上的安全保证;规范日常信息化管理和检查制度。包括:软件管理、硬件管理、机房管理、系统运行和维护管理、网络管理等,提出并实施各系统配置和标准化设置,便于安全的维护和加固,实
现基础管理上的安全保证;
3、组织好单位内的项目协调、实施、推广应用与培训等工作,确保信息化项目的实施成效,实现规划和应用上的安全保证;
4、我区对网络与信息安全检查工作进行了部署,建议市上指导我区开展网络和信息
系统安全应急演练。
泸州市纳溪区人民政府信息化管理办公室
【网站系统信息安全等级保护建设整改方案】推荐阅读:
电子商务网站服务器系统架设方案07-11
信息系统网络安全建设08-23
企业信息化系统建设方案09-13
网站信息安全保证书08-14
郑州锐旗网站建设 企业网站建设推广方案07-03
集团网站建设方案08-09
信息系统整改报告08-28
系统安全建设实施方案08-30
政府网站建设方案范文07-23