前言:中文期刊网精心挑选了网络信息安全等级保护范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络信息安全等级保护范文1
一、国家等级保护标准
我国的信息安全等级保护工作起步于20世纪90年代,随后相继颁布了多个等级保护标准,具体可分为基础性标准、定级标准、建设标准、测评类标准和管理类标准。基础性标准包括《计算机信息系统安全等级保护划分准则》(GB17859-1999)、《信息系统安全等级保护实施指南》(GB25058-2010)以及《信息安全等级保护管理办法》(公通字[2007]43号)等;定级标准有《信息系统安全等级保护定级指南》(GB/T22240-2008)等;建设标准包括《信息系统安全等级保护基本要求》(GB/T22239-2008)、《信息系统通用安全技术要求》(GB/T20271-2006)以及《信息系统等级保护安全设计技术要求》(GB/T25070-2010)等;测评类标准主要有《信息系统安全等级保护测评要求》(GB/T28448-2012)和《信息系统安全等级保护测评过程指南》(GB/T28449-2012)等;管理类标准主要有《信息系统安全管理要求》(GB/T20269-2006)以及《信息系统安全工程管理要求》(GB/T20282-2006)等。针对单位的普通信息安全工作人员而言,涉及较多的标准主要有定级标准《信息系统安全等级保护定级指南》(GB/T22240-2008)与建设标准《信息系统安全等级保护基本要求》(GB/T22239-2008)等。《信息系统安全等级保护定级指南》主要用于指导信息系统的等级划分和评定,将信息系统安全保护等级划分为5级,定级要素有两个:等级保护对象受到破坏时所侵害的客体以及客体受到侵害程度。定级要素与信息系统安全保护等级的关系见表1。由表1可知,三级及以上系统受到侵害时可能会影响国家安全,而一级、二级系统受到侵害时只会对社会秩序或者个人权益产生影响。在实际系统定级过程中,要从系统的信息安全和服务连续性两个维度分别定级,最后按就高原则给系统进行定级。《信息系统安全等级保护基本要求》是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求,根据实现方式的不同,基本安全要求分为基本技术要求和基本管理要求两大类等级保护基本要求共有10个部分,技术要求和管理要求各占5个部分。其中,技术类安全要求又细分三个类型。信息安全类(S类):为保护数据在存储、传输、处理过程中不被泄露、破坏和免受未授权的修改的信息安全类要求。服务保证类(A类):保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求。通用安全保护类要求(G类):既考虑信息安全类,又考虑服务保障类,最后选择就高原则。
二、金融行业信息安全等级保护标准及必要性分析
1.行业标准金融行业作为信息化行业的一个重要组成部分,金融行业信息系统安全直接关系到国家安全、社会稳定以及公民的利益等。为落实国家对金融行业信息系统信息安全等级保护相关工作要求,加强金融行业信息安全管理和技术风险防范,保障金融行业信息系统信息安全等级保护建设、测评、整改工作顺利开展,中国人民银行针对金融行业的信息安全问题,在2012年了三项行业标准:《金融行业信息系统信息安全等级保护实施指引》、《金融行业信息系统信息安全等级保护测评指南》和《金融行业信息安全等级保护测评服务安全指引》。2.必要性分析网络安全法明确规定国家实行网络安全等级保护制度,开展等级保护工作是满足国家法律法规的合规需求。金融行业开展信息安全等级保护工作的必要性有以下3点。(1)理清安全等级,实现分级保护金融行业各类业务系统众多,系统用途和服务对象差异性大,依据等级保护根据系统可用性和数据重要性开展分级的定级要求,可以有效梳理和分析现有的信息系统,识别出重要的信息系统,将不同系统按照不同重要等级进行分级,按照等级开展适当的安全防护,有效保证了有限资源充分发挥作用。(2)明确保护标准,实现规范保护金融行业信息系统等级保护标准有效解决了金融行业信息系统保护无标准可依的问题。在信息系统全生命周期中注重落实等级保护相关标准和规范要求,在信息系统需求、信息系统建设和信息系统维护阶段参照、依据等级保护的标准和要求,基本实现信息系统安全技术措施的同步规划、同步建设、同步使用,从而保证重要的信息系统能够抵御网络攻击而不造成重大损失或影响。(3)定期开展测评,实现有效保护按照等级保护要求,每年对三级以上信息系统开展测评工作,使得重要信息系统能够对系统的安全性实现定期回顾、有效评估,从整体上有效发现信息系统存在的安全问题。通过每年开展等级保护测评工作,持续优化金融行业重要信息系统安全防护措施,有效提高了重要信息系统的安全保障能力,加强了信息系统的安全管理水平,保障信息系统的安全稳定运行以及对外业务服务的正常开展。
三、网络安全法作用下标准的发展
随着等保制度上升为法律层面、等保的重要性不断增加、等保对象也在扩展以及等保的体系也在不断升级,等级保护的发展已经进入到了2.0时代。为了配合网络安全法的出台和实施,满足行业部门、企事业单位、安全厂商开展云计算、大数据、物联网、移动互联等新技术、新应用环境下等级保护工作需求,公安部网络安全保卫局组织对原有的等保系列标准进行修订,主要从三个方面进行了修订:标准的名称、标准的结构以及标准的内容。1.标准名称的变化为了与网络安全法提出的“网络安全等级保护制度”保持一致性,等级保护标准由原来的“信息系统安全等级”修改为“网络安全等级”。例如:《信息系统安全等级保护基本要求》修改为《网络安全等级保护基本要求》,《信息系统安全等级保护定级指南》修改为《网络安全等级保护定级指南》等。2.标准结构的变化为了适应云计算、物联网、大数据等新技术、新应用情况下网络安全等级保护工作的开展,等级保护基本要求标准、等级保护测评要求标准的结构均由原来的一部分变为六部分组成,分别为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求与大数据安全扩展要求。3.标准内容的变化各级技术要求分类和管理要求的分类都发生了变化。其中,技术要求“从面到点”提出安全要求,对机房设施、通信网络、业务应用等提出了要求;管理要求“从元素到活动”,提出了管理必不可少的制度、机构和人员三要素,同时也提出了建设过程和运维过程中的安全活动要求。
网络信息安全等级保护范文2
会议拟请公安、工业和信息化、国家保密、国家密码管理主管部门、中国科学院、国家网络与信息安全信息通报中心等部门担任指导单位,同时将出版论文集,经专家评选的部分优秀论文,将推荐至国家核心期刊发表。现就会议征文的有关情况通知如下:
一、征文范围
1. 新技术应用环境下信息安全等级保护技术:物联网、云计算、大数据、工控系统、移动接入网、下一代互联网(IPv6)等新技术、环境下的等级保护支撑技术,等级保护技术体系在新环境下的应用方法;
2. 关键基础设施信息安全保护技术:政府部门及金融、交通、电力、能源、通信、制造等重要行业网站、核心业务信息系统等安全威胁、隐患分析及防范措施;
3. 国内外信息安全管理政策与策略:信息安全管理政策和策略研究,信息安全管理体制和机制特点,信息安全管理标准发展对策,网络恐怖的特点、趋势、危害研究;
4. 信息安全预警与突发事件应急处置技术:攻击监测技术,态势感知预警技术,安全监测技术,安全事件响应技术,应急处置技术,灾难备份技术,恢复和跟踪技术,风险评估技术;
5. 信息安全等级保护建设技术:密码技术,可信计算技术,网络实名制等体系模型与构建技术,漏洞检测技术,网络监测与监管技术,网络身份认证技术,网络攻防技术,软件安全技术,信任体系研究;
6. 信息安全等级保护监管技术:用于支撑安全监测的数据采集、挖掘与分析技术,用于支撑安全监管的敏感数据发现与保护技术,安全态势评估技术,安全事件关联分析技术、安全绩效评估技术,电子数据取证和鉴定技术;
7. 信息安全等级保护测评技术:标准符合性检验技术,安全基准验证技术,源代码安全分析技术,逆向工程剖析技术,渗透测试技术,测评工具和测评方法;
8. 信息安全等级保护策略与机制:网络安全综合防控体系建设,重要信息系统的安全威胁与脆弱性分析,纵深防御策略,大数据安全保护策略,信息安全保障工作评价机制、应急响应机制、安全监测预警机制。
二、投稿要求
1. 来稿内容应属于作者的科研成果,数据真实、可靠,未公开发表过,引用他人成果已注明出处,署名无争议,论文摘要及全文不涉及保密内容;
2. 会议只接受以Word排版的电子稿件,稿件一般不超过5000字;
3. 稿件以Email方式发送到征稿邮箱;
4. 凡投稿文章被录用且未作特殊声明者,视为已同意授权出版;
5. 提交截止日期: 2014年5月25日。
三、联系方式
通信地址:北京市海淀区首都体育馆南路1号
邮编:100048
Email:.cn
联系人: 范博、王晨
联系电话:010-68773930,
13717905088,13581879819
网络信息安全等级保护范文3
1.1信息安全保护等级的划分
此级别功能最全,除具备上述所有级别功能外,对系统加设了访问验证保护,以此不但记录访问者对系统的访问历史,还对访问者的访问权限进行设置,确保信息被安全使用,保障信息不外泄。
1.2信息安全等级的划分
对于一些需要特殊保护和隔离的信息系统,如我国的国防部、国家机关以及重点科研机构等特殊机构的信息系统,在进行信息安全保护时,要严格按照国家颁布的关于信息安全等级保护的相关政策制度以及法律法规的规定要求对信息系统进行等级保护。根据需被保护的信息的类别和价值的不同,通常其受到保护的安全等级也不同。此举目的为在保护信息安全的同时降低运作成本。
2信息安全等级保护的基本要求
信息安全等级保护的基本要求分为技术和管理两大类。技术部分是要求在信息安全保护过程中采取安全技术措施,使系统具备对抗外来威胁和受到破坏后自我修复的能力,主要涉及到物理、网络、主机、应用安全和数据恢复功能等技术的应用。管理部分是要求在信息系统的全部运行环节中对各运行环节采取控制措施。管理过程要求对制度、政策、人员和机构都提出要求,涉及到安全保护等级管理、工程建设管理、系统的运行与维护管理以及应急预案管理等管理环节。
3信息安全等级保护的方法
3.1信息安全等级保护流程
信息安全等级保护涉及到多个环节,需要各相关部门共同参与,合力完成。安全等级保护的环节大体上分为以下九步:(1)确定系统等级作为实现信息等级保护的前提,确定信息系统的安全保护等级是必不可缺的步骤。用户要严格按照国家规范标准给所使用的信息系统科学确定等级。(2)等级审批信息系统主管部门对信息系统的安全等级进行审批调整,但调整时要按照规定,只能将等级调高。(3)确定安全需求信息系统的安全需求可反映出该等级的信息系统普遍存在的安全需求。信息系统在确定安全需求时要依赖该系统的安全等级,但因为信息系统普遍存在可变性,因此用户在确定安全需求时还要根据自身实际情况确定自己系统的安全需求。(4)制定安保方案当信息系统的等级和安全需求确定后,针对已掌握情况制定出包括技术安全和管理安全在内的最佳安全保护方案。(5)安全产品选型安全产品的选择直接决定了安全保护工作是否能够成功实现。因此在安全产品的选择过程中,不仅要对产品的可信度和功能进行认真审查,还要求国家相关部门监管产品的使用情况。(6)安全测评测评的目的在于确定系统安全保护的实现,以保证信息安全。若测评不能达到预期目标,要及时进行重新调整。(7)等级备案安全保护等级在三级以上的信息系统,其用户和运营商需要向地市级以上公安机关备案。跨地域的信息系统的备案由其主管部门在当地同级公安机关完成,分系统的备案由其用户和运营商完成。(8)监督管理信息系统的监管工作主要是监督安全产品的使用情况,并对测评机构和信息系统的登记备案进行监管。(9)运行维护该环节主要目的在于通过运行确定系统的信息安全,还可以重新确定对产生变化的信息系统的安全保护等级。以上环节在实现信息系统的安全等级保护过程中极其重要,不可跨环节、漏环节操作。
3.2信息安全等级保护的方法
信息安全等级保护分为物理安全保护和网络系统安全保护两类。对于物理安全保护,又分为必要考虑和需要考虑两个安全层面。对于必要考虑的物理安全方面:对于主机房等场所设施来说,要做好安全防范工作。采用先进的技术设备做到室内监控、使用用户信息登记、以及自动报警系统等。记录用户及其访问情况,方便随时查看。对于需要考虑的物理安全方面:对于主机房以及重要信息存储设备来说,要通过采用多路电源同时接入的方式保障电源的可持续供给,谨防因断电给入侵者制造入侵的机会。根据安全保护对象的不同,有不同的保护方法。具体方法如下:(1)已确定安全等级系统的安全保护对于全系统中同一安全等级的信息系统,对于任何部分、任何信息都要按照国家标准采取统一安全保护方法给其设计完整的安全机制。对于不同安全等级的分系统,对其上不同的部分及信息按照不同的安全要求设计安全保护。(2)网络病毒的防范方法计算机病毒严重威胁到计算机网络安全,所以防范病毒的入侵在信息系统安全保护过程中是非常重要的步骤。运用防火墙机制阻挡病毒入侵,或者给程序加密、监控系统运行情况、设置访问权限,判断是否存在病毒入侵,及时发现入侵的病毒并予以清除,保障计算机信息系统的安全。(3)漏洞扫描与修复方法系统存在漏洞是系统的安全隐患,不法分子常会利用系统中的漏洞对系统进行攻击破坏。因此要经常对计算机进行全面的漏洞扫描,找出系统中存在的漏洞并及时修复漏洞,避免给不法分子留下入侵机会。漏洞的修复分为系统自动修复和人工手动修复两种,由于多种原因,绝对完善的系统几乎不存在,因此要定期对系统进行漏洞扫描修复,确保系统的安全。
4结束语
网络信息安全等级保护范文4
安全风险
2008年6月,深圳市忽然出现了12万一张的光盘,而且是一口价销售,拒绝还价。光盘之所以卖得如此之贵,是因为光盘里存有当年深圳市预产期在3月~8月、共4万多条孕产妇的信息。其时,已有多名孕产妇受到商家“阶段性”推销的骚扰:怀孕3个月后孕妇学校会来联系,接着是家政服务商,而宝宝快到百日时,儿童摄影的推销电话又……让孕产妇不胜其烦。事后的调查发现,是深圳市一家保健医院的内部人员利用职务之便,将该院信息系统中所有孕妇和婴儿的信息盗取一空,整个过程只用了5分钟。然后,便有了市场上天价光盘的出现。
信息化在给医疗机构带来便利的同时,也存在着数据安全隐患,上述严重的信息泄露事件给医院的信息安全敲响了警钟。
除了信息泄露,威胁医院信息安全的问题还有网络病毒。随着网络的迅速发展,蠕虫病毒引发的安全事件此起彼伏,且有愈演愈烈之势。某医院由于内网病毒泛滥,带宽被病毒数据包占用,不仅上网速度慢,更影响到了服务器的正常工作。
医院内部人员统方是另一个威胁。2010年5月23日,一张神秘的清单在网上曝光,其中列出了宁波市某医院45名医生的工号、名字和所属科室,后面还注明了他们使用药品氨曲南的数量和总价。6月3日,宁波市卫生局向媒体公布了处罚决定:19名收受药品回扣的医生中,两名医生停止执业活动6个月,6名医生受到警告处分。虽然腐败得到惩戒,大快人心,但所暴露的潜在统方威胁值得警惕。
加强信息安全、消除安全隐患,已经成为医院必须要面对的课题。
政策安排
在信息化建设过程中,与业务性系统相比,信息安全并没有得到足够的重视。在2012年8月举办的中国医院论坛“数字化建设”分论坛上,著名医疗IT专家李包罗说:“这段时间,我参加了7个信息系统的技术规范的制订会,我发现,有的系统跟安全性毫不搭界,技术规范里面没有跟技术、安全有关系的话语,哪怕有,也只是一两句话带过。制订技术规范的人,应该说已经是业界比较有经验、比较有水平的专家,如果他们都不对安全问题给予足够的重视,那将是非常可怕的。”
在同一个会议上,国家卫计委统计信息中心主任孟群直言:“我国卫生信息化建设还存在信息安全保障建设的滞后。”
在政府层面,2007年公安部印发《信息安全等级保护管理办法》,决定“在全社会范围推行‘信息安全等级保护’政策”,2009年公安部印发《关于开展信息安全等级保护安全建设整改工作的指导意见》,对信息安全等级保护工作提出了要求。
在医疗领域,2010年原卫生部制定的《卫生信息化建设指导意见与发展规划(2011-2015)》(“十二五”规划)明确提出了我国医疗信息化发展的蓝图和发展方向“35212工程”,建设信息安全体系即是最后一个“2”中的一项。
医疗卫生系统的相关政策相继出台。2011年12月,“为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作”,原卫生部相继了《卫生行业信息安全等级保护工作的指导意见》和《关于全面开展卫生行业信息安全等级保护工作的通知》,明确指出,“三级甲等医院的核心业务信息系统”等五类卫生信息系统等保原则上不低于三级,要求“卫生行业各单位……要于2015年12月30日前完成信息安全等级保护建设整改工作,并通过等级测评。”
原卫生部、国家中医药管理局在2012年6月15日的《关于加强卫生信息化建设的指导意见》指出,要加强卫生信息安全保障体系建设,落实国家信息安全等级保护制度。加强卫生信息系统安全风险评估工作,确保信息安全和系统运行安全。继续完善居民电子健康档案、电子病历等涉及居民隐私的信息安全体系建设,建设以密码技术为基础的信息安全保障和网络信任体系,推广数字证书和电子签名应用,实现信息共享与隐私保护同步发展。
据悉,国际卫计委一直在推进这方面的工作,包括制度设计、级别保护等相关的概念和边界已经逐步建立起来。
国家卫计委统计信息中心副主任王才有表示,首先,政府层面制定了统一信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对信息安全产品的使用分等级实行管理,对等级保护工作的实施进行监督和指导。
其次,在用户层面,公民、法人和其他组织应当按照国家有关等级保护的管理规范和技术标准开展等级保护工作,服从国家对信息安全等级保护的监督、指导,保障信息系统安全。
最后,在社会层面,关于信息安全产品的研制、生产单位,信息系统的集成、等级测评、风险评估等安全服务机构,应依据国家有关管理规定和技术标准开展相应工作,并接受国家信息安全职能部门的监管。
在政策逐步建立的过程中,医疗机构自身建设亦十分重要。王才有说:“信息安全是专门的技术,但医院应该培养自己的安全人才,我看到许多医院还没有这样做,存在很大的风险。”
先进经验
目前,信息安全已经引起了医疗机构的高度重视,也有医院早早成为信息安全建设方面的先行者。
2012年11月初,中国医学科学院阜外心血管病医院信息中心主任赵接到通知,其医院信息系统的安全保护能力“基本符合等级保护三级要求,符合项为87.8%”。按照规定,符合项超过80%即为通过了等级保护三级。也就是说,阜外医院完成了国家卫生行政部门要求2015年底完成的工作。赵介绍,据他了解,目前除了阜外医院外,国内还没有其他医院通过等保三级。
网络信息安全等级保护范文5
建设财政信息的安全系统是财政管理改革发展中的要求。当下财政信息化的应用在全国各地的财政系统中正逐渐深入,覆盖了各级财政部门和面向社会公众的财政信息系统。可以说财政信息系统是各级财政系统进行信息共享的平台,目前由于大量需要保护的数据和信息存储在财政信息系统中,所以对系统中运行的安全保障提出了更高的要求。
【关键词】等级保护 财政信息系统 信息安全
在财政信息系统安全建设的过程中,由于系统复杂、数据安全的属性要求存在着差异,导致系统在不同程度上存在一定的脆弱性;在系统安全的规划和设计中由于对策略认识不够,以致风险延续到信息系统的运行和维护管理阶段。文章从我国信息安全等级体系的规范和标准着眼,对财政信息系统的安全保护等级模型进行了分析,并提出了进一步完善财政信息系统安全的措施。
1 信息安全的保护等级及其基本流程
目前信息安全技术和管理水平在不断地提升和发展,人们逐渐意识到要想保障信息系统的安全,就要不断完善信息安全管理和技术体系,构建完整的信息系统,并且为了把信息和信息系统的残留风险降低到最小级别,就要提高信息安全应急处置的能力。由于当前不同的信息和信息系统,对其安全级别的要求也不尽相同,应将管理策略、技术、工程过程等多个方面相结合,同时进行客观的综合考虑,对信息系统的安全分类需要充分运用信息安全等级保护的思想和方式。
1.1 信息系统安全保护等级
信息系统安全保护等级在《信息安全技术――信息系统安全等级保护基本要求》中划分为五个等级,信息系统安全保护等级的第一级是用户自主保护等级,用户可根据自主访问控制、身份鉴别和数据的完整性这三个条款进行判断;第二级是系统审计保护级,在第一级的基础上增加了两个条款,分别是客体重用和审计;第三级是安全标记保护级,在第二级的基础上增加了强制访问控制、标记等条款;第四级是结构化保护级,在第三级的基础上增加了可信路径和隐蔽信道分析;第五级是访问验证保护级,在第四级的基础上增加了可信恢复条款。这五个等级的基本内容以信息安全的属性为主,即网络安全、系统安全、应用安全、物理安全以及管理安全等五个方面,根据其不同要求,对安全信息系统的构建、测评和运行过程进行管理和掌控,进而实现对不同信息的类别按照不同的要求进行等级安全保护的目标,尽管不同等级的条款中有些内容是相似的,但在一定程度上仍然存在着差异,安全保护能力的要求会随着保护等级的提升而逐渐增强。
1.2 信息系统安全等级保护实施的流程
信息系统安全等级保护实施的基本流程包括五个阶段,分别是定级阶段、备案阶段、测评阶段、整改阶段、运行和维护阶段。其中等级保护工作的基本前提是系统划分和定级工作,定级工作必须要首先确定,否则后面的工作将会无从做起;备案阶段中,当专家评审与自定级不同时,要重新定级,才能够进行备案工作;测评阶段中指定的第三方测评机构必须是权威机构,需要公正公平地对系统进行测评;整改和复测阶段中对于整改的项目要通过等级保护测评和风险评估的方法进行分析。等级保护工作要随着信息系统建设的变化和发展而做出不断循环的工作。
2 财政信息系统的等级保护
2.1 财政信息系统安全的架构
在财政信息系统安全的架构模式中,既包含计算机网络通信和环境平台、又有多种相关的业务平台,并且这些应用的安全等级各不相同,所以采取的安全保护策略也有所不同。财政信息系统规模大、系统复杂,按照系统的功能可以分为核心数据中心、采购管理、预算管理、业务门户网站等多个子系统,要按照业务应用数据的不同性质进行不同安全等级的保护。总之要根据财政信息系统的实际情况,构建一个相对完善的财政信息系统模型。
2.2 财政信息系统安全的等级区域的划分
财政信息系统安全等级保护要根据系统的特点和性质进行不同区域的安全划分,以实现不同强度下的安全保护。针对财政信息系统中不同子系统的实际情况,可以将财政信息网络划分为不同的安全保密等级区域,分别为业务核心区,办公用户区域、专线用户区域、内部网与互联网信息交换的区域等。
3 财政信息系统的等级的保护措施
在财政信息系统安全等级保护的建设工作中,目前采取内网与外网物理隔离的方式,从物理上把财政业务中各个子系统与对外服务区进行划分,分别划分到不同的子网,在财政业务的防火墙上可以设置权限为允许的策略,源地址是内部桌面,目的地址是业务服务器,对于其他服务的子系统,同样需要防火墙进行隔离,使各子系统都有充分的隔离和清晰的界限,同时可以配置漏洞扫描设备的检测设备,不定期对各个服务器进行扫描。
数据备份能够进一步保障财政信息系统的安全,在财政信息系统应用中需要配备存储备份设备以实现数据自动备份,一旦系统出现故障,通过数据备份即可恢复。为了进一步支持财政信息系统的稳步运行,可建立一个异地财政信息数据备份中心,以防财政信息系统发生灾难性故障时实现异地远程恢复的功能。
在财政信息系统安全保障体系建立的过程中,要严格依照等级保护下的安全管理制度、系统建设制度和相关财政系信息管理的法律及标准,在建立完善的网络安全管理机制的同时明确管理人员的职责。
4 结论
综上所述,文章从我国信息安全等级体系的规范和标准着眼,对财政信息系统的安全保护等级模型进行了分析,并提出了进一步完善财政信息系统安全的有效措施。在财政信息建设的过程中,设计出一个科学合理、全面的信息安全解决方案是一个关键的任务,要从我国信息安全等级体系的规范和标准着眼,对财政信息系统安全保障的体系进行深入的探讨,以达到切实保护财政信息系统安全的目的。
参考文献
[1]龚雷.应用安全透明支撑平台体系结构与模型研究[D].郑州:信息工程大学,2013.
[2]王会.基于等级保护的党校网络安全体系的研究与应用[D].广州:中山大学,2012.
[3]刘莎莎.NN市委办政务信息系统安全等级保护策略研究[D].南宁:广西大学,2012.
[4]高朝勤.信息系统等级保护中的多级安全技术研究[D].北京:北京工业大学,2012.
网络信息安全等级保护范文6
[关键词]信息安全等级保护分级分域网络隔离安全防护
1网络现状及防护需求
福建省莆田电业局已构建了信息网络,已经稳定运行有财务管理、安全生产管理、协同办公、电力营销、ERP等应用系统。随着国家电网公司“SG186”工程的信息化建设的推进工作,网络和信息系统情况复杂,迫切需要进行信息安全全面建设。
根据国家《信息安全技术信息系统安全等级保护实施指南》(GB/T22240-2008)、国家《信息安全技术信息系统安全等级保护基本要求》(GB/T-22239-2008)、《国家电网公司“SG186”工程安全防护总体方案》、《国家电网公司“SG186”工程信息系统安全等级保护基本要求》、《国家电网公司“SG186”工程信息系统安全等级保护验收测评要求(试行)》等文件要求,按照统筹资源,重点保护,适度安全的原则,依据等级保护定级结果,采用“二级系统统一成域,三级系统独立分域”的方法,对信息网络系统进行分级分域。
2安全防护建设目标
通过项目的实施,按照“层层递进,纵深防御”的思想,从边界、网络、主机、应用四个层次进行安全防护等级保护设计和施工,使莆田电业局信息系统符合国家和国家电网公司的网络与信息系统等级保护建设要求。
3实施方法
信息系统分级分域安全防护建设一般分三个阶段:
第一阶段:合理进行安全域划分和初步规划,针对重要信息进行防护。主要表现在针对业务安全要求比较高的信息系统如ERP、财务系统域进行防护,以及针对互联网出口的应用层防护。
第二阶段:针对当前信息网络状态,按照等级保护要求进行等级化评估、安全评估和合理定级,全面获取当前安全现状以及企业信息化建设的特殊需求。在评估基础上,全面从等级保护要求及企业信息化建设的安全需求出发,合理进行安全方案设计。
第三阶段:根据设计方案,全面开展等级化改造,包括技术措施和管理措施的完善,建立完整的信息安全体系,并且根据相关要求进行运行维护。
4分级分域安全防护方解决方案
信息网络系统分级分域安全防护建设应当按照国家标准和国家电网公司“SG186”工程相关规定的要求完成,通过项目建设实施保障莆田电业局信息化管理系统的安全运营。
4.1 分级分域设计方案及安全等级建设要求
莆田电业局信息网络主要分为两个部分:信息内网和信息外网,两个网络之间通过强制隔离设备进行隔离。
信息内网分级分域及安全等级建设要求:
4.1.1二级系统域
二级系统域是指协同办公系统、财务管理系统、安全生产管理系统、人力资源管理系统、企业门户、ERP等信息系统
安全建设等级:基于信息系统的整合,所有二级系统统一部署于二级系统域,并根据国家安全等级保护标准和国家电网公司“SG186”工程信息系统安全等级保护基本要求等规范要求,按照安全防护等级二级进行建设。
4.1.2内网桌面终端域
信息内网桌面终端是用于内网业务操作及内网业务办公处理,通过对桌面办公终端按业务部门或访问类型进一步进行VLAN区域细分,实现不同的业务访问需求指定访问控制及其他防护措施,由于桌面终端的安全防护与应用系统不同,将其划分为独立区域进行安全防护。
安全建设等级:按照安全等级二级进行安全建设;
信息外网分级分域及安全等级建设要求:
4.1.3外网应用系统域
需与互联网进行数据交换的系统统一部署为外网系统域。
安全建设等级:按照安全等级二级进行安全建设;
4.1.4外网桌面终端域
外网桌面终端用于外网业务办公及互联网访问,对外网桌面办公终端按业务部门或访问类型进行区域细分,针对不同业务访问需求进行访问控制及其他防护措施。
安全建设等级:按照安全等级二级进行安全建设;
图1改造后的网络拓扑图
4.2 安全防护部署方案
4.2.1防火墙等级保护部署方案
目前网络中主要使用防火墙来保证基础安全。它监控可信任网络和不可信任网络之间的访问通道,以防止外部网络的危险蔓延到内部网络上。
项目在四个域与核心交换机的连接点分别部署了启明星辰天清汉马USG-FW-4000D防火墙(见图1),并进行了相应的配置。
防火墙典型的网络部署模式包括路由模式和透明模式,本项目中,考虑到防火墙负责转发各个区域的用户访问,采取透明模式部署。
根据企业安全区域的划分,部署防火墙对不同区域之间的网络流量进行控制,基本原则为:高安全级别区域可以访问低安全级别区域,低安全级别严格受控访问高安全级别区域,进行如下基本配置策略:
防火墙设置为默认拒绝工作方式,保证所有的数据包,如果没有明确的规则允许通过,全部拒绝以保证安全;
配置防火墙防DOS/DDOS功能,对Land、Smurf、Fraggle、Ping of death、udp flood等拒绝服务攻击进行防范;
配置防火墙全面安全防范能力,包括arp欺骗攻击的防范,提供arp主动反向查询、tcp报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等。
4.2.2入侵防护系统等级保护部署方案
在传统的安全解决方案中,防火墙和入侵检测系统已经无法满足高危网络的安全需求,互联网上流行的蠕虫、P2P、木马等安全威胁日益滋长,必须有相应的技术手段和解决方案来解决对应用层的安全威胁。以入侵防御系统为代表的应用层安全设备作为防火墙的重要补充,很好地解决了应用层防御的问题,并且变革了管理员构建网络防御的方式。通过部署IPS,可以在线检测并直接阻断恶意流量。
项目在外网系统部署1台启明星辰天清NIPS3060入侵防护系统。
4.2.3服务器换机等级保护部署方案
服务器交换机采用华为QuidwayS9306高端多业务路由交换机,该产品基于华为公司自主知识产权的Comware V5操作系统,融合了MPLS、IPv6、网络安全等多种业务,提供不间断转发、优雅重启、环网保护等多种可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低企业的总拥有成本。
项目配置两台华为QuidwayS9306交换机分别用作内网二级系统域和外网应用系统域,配置冗余电源、双引擎、2块48端口千兆电口板、1块48端口SFP千兆光口板卡,保证了服务器换机的安全可靠。
4.2.4终端汇聚交换机等级保护部署方案
终端汇聚交换机采用华为Quidway LS-S5328C交换机,实现信息内外网桌面终端域的安全接入。
华为QuidwayLS-S5300系列交换机是华为公司最新开发的增强型IPv6万兆以太网交换机,具备业界盒式交换机最先进的硬件处理能力和丰富的业务特性。支持最多4个万兆扩展接口;支持IPv4/IPv6硬件双栈及线速转发;出色的安全性、可靠性和多业务支持能力使其成为网络汇聚和城域网边缘设备的第一选择。
配置2台桌面终端汇聚交换机分别部署在信息内网和信息外网的桌面终端域接口上。
5网络安全成果分析
福建省莆田电业局信息网络系统分级分域安全防护建设项目从边界、网络、主机、应用四个层次进行了安全防护等级保护设计及工程实施,对原有网络、安全设备进行了调整,实现了安全域的划分,实现了对关键业务的安全防护,达到了国家和国家电网公司的网络与信息系统等级保护建设要求,并通过了国家电网公司等级测评验收。
参考文献:
[1] 信息安全技术信息系统安全等级保护实施指南(GB/T22240-2008)
[2] 信息安全技术信息系统安全等级保护基本要求(GB/T-22239-2008)
