前言:中文期刊网精心挑选了网络安全等级保护测评范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全等级保护测评范文1
一、云安全服务模型
云产品在部署模型、服务模型以及资源物理位置和管理属性方面,呈现出较大区别的形态模式,安全风险特征、控制职责范围也存在着较大的差异性。基于此,需基于安全控制角度健全和完善云计算模型, 实现云服务架构到安全架构的有效映射,从而为风险识别、决策以及安全控制提供重要参考。
基础设施即服务,其主要有计算机网络设施、网络设备、主机以及服务器等硬件平台;在基础设施建设过程中,首先是将硬件资源抽象起来,并且将这些资源有效的纳入到基础设施逻辑节点之中,向用户提供可统一编程应用程序接口,然后让用户通过应用程序对应用程序编程接口调用,从而实现物理设备的相互应用。对于IaaS层而言,其关注的主要安全问题是网络基础设施环境、物理、环境、主机以及网络连接设备和系统虚拟化等方面的安全。
对于云安全管理中心而言,基于云安全服务所提出的云安全管理概念,对用户、安全事件以及资产等进行统一监管,集中审计分析研究;同时,通过高效化、专业化支撑平台,以及先进的监测工具,预警安全事件,并且及时对安全状态进行掌控,从而发现基于云计算环境的病毒传播、网络攻击以及异常行为等事件,为应急响应、预警和事件调查提供技术方面的支撑;同时,还要采取有效的主动防护措施保护用户数据信息,并且对云计算中心进行全面安保。
二、基于云安全模型的信息安全等级测评
所谓云安全模式下的信息安全等级测评,主要是基于云安全中心模型、云安全服务模型以及云安全领域的不同要求,得出一个安全模型,并且在信息安全等级保护基础上确定其所处位置。云安全模型的一端与等级保护技术要求相连接,另一端则与等级保护管理要求相连接。实践中,通过云安全信息中心建模操作,全面分析安全模型下的云安全核心基础,并且得出安全等级测评模型,以此来开展相关测评工作。基于以上分析,笔者认为将在云安全模型中有效的嵌套云安全等级保护建模,即可实现与云信息安全等级相关的测评操作,对安全模型下的控制项实施细粒度分析。
云认证及其授权:对于云认证、授权而言,其重点在于全面查看登录认证、程序运行授权、服务认证以及敏感文件授权等事项。云访问控制过程中,基于访问控制模型对是否为强制访问、自主访问以及角色型访问控制进行确定,以便于能够采用不同的方式和方法对其进行有效的分析。对于云安全边界与隔离而言,主要是全面了解安全隔离机制、安全区域划分以及硬件安全技术支撑等问题。对于云安全存储而言,可将数据信息存储成加密格式,而且用户需将数据信息独立出来,区分开来。在恶意代码防范过程中,可了解是否有恶意代码检测、攻击抵御策略。同时,还要具备安全管理功能,对所有物理/虚拟硬件、软件以及网络资源等加强管理,管理测评要求与等级保护管理要求应当保持一致。对于网络安全传输而言,主要了解计算机网络安全传输采用加密的方式与否。对于网络配置及其安全策略而言,应当使访问控制、资源分配确实有效,而且还要以统一、安全可靠的方式进行定义,并且有效解 决、执行实践中的相应安全策略。
结语:总而言之,云安全快速发展的条件下,基于云安全模型的信息系统安全等级保护方法也在不断的完善,如何应当云计算虚拟化技术的漏洞以及数据泄露和共享访问模式问题,成为需要深化研究的要点。
参 考 文 献
网络安全等级保护测评范文2
[关键词]等级保护;等级备案;等级测评
doi:10.3969/j.issn.1673 - 0194.2017.04.115
[中图分类号]TP309 [文献标识码]A [文章编号]1673-0194(2017)02-0-02
0 引 言
随着全球信息技术的快速发展,我国国民经济的繁荣和社会信息化水平的日益提升,信息安全已上升为国家层面的重要内容。为进一步提高信息安全保障工作的能力和水平,2016年国家网络安全宣传周首次在全国范围内统一举办,并首次在地方城市举行开幕式等重要活动。由此信息安全等级保护制度也越来越成为信息社会必不可少的一项制度,等级测评工作也将随之逐步成为一项常规化工作,对保障国家网络安全具有重要意义。下文对信息安全等级保护的概念及发展状况进行梳理。
1 信息安全等级保护的概念
信息安全等级保护是对信息及信息载体按照重要性等级分别进行保护的一种工作,是国际上很多国家都实施的一项信息安全工作。在中国,信息安全等级保护广义上是为涉及信息安全工作的标准、产品、系统、信息等依据等级保护思想确立的安全工作;狭义上一般指信息系统安全等级保护。
2 信息安全等级保护的发展历程
全球化网络快速发展的同时其脆弱性和安全性也日益彰显,西方发达国家制定了一系列强化网络信息安全建设的政策和标准,其核心就是将不同重要程度的信息系统划分为不同的安全等级,以便于对不同领域的信息安全工作进行指导。鉴于此,我国相关部门和专家结合我国信息领域的实际情况经过多年的研究,于1994年由国务院下发了《中华人民共和国计算机信息系统安全保护条例》,首次提出了信息安全等级保护的概念,用于解决我国信息安全问题。之后经过了十几年的摸索和探究出台了一系列从中央到地方的政策法规,并实施工程。从计算机系统的定级到等级保护测评,信息安全工作逐步完善。详情见表1。
随着国家对信息安全工作的重视以及各类等级保护规范标准的出台,各行业及监管部门迅速发文响应并落实行业内信息系统安全等级保护工作。建立、健全信息安全管理制度,落实安全保护技术措施,全面贯彻落实信息安全等级保护制度。目前,国家已出台70多个国标、行标及报批标准,展开了对所属安全系统进行先定级后测评的工作。
3 信息安全等级保护具体实施过程
信息安全等级保护具体的实施过程,如图1所示。
3.1 定级
2007年开始在全国范围内进行信息系统等级保护的定级工作。四级以上的定级要求请国家信息安全保护等级专家评审委员会评审定级。此项工作历时一年基本完成。
定级标准为公安部66号文件。主要依据是《信息系统安全保护等级定级指南》(国家)或行业制定的定级指南。对于等级的划分,见表2。
定级注意事项
第一级信息系统:适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。
第二级信息系统:适用于县级一些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如:不涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统,地市级以上国家机关、企事业单位网站等。
第三级信息系统:一般适用于地市级以上国家机关、企事业单位内部重要的信息系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业及控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省门户网站和重要网站;跨省连接的网络系统等,例如,网上银行系统、证券集中交易系统、海关通关系统、民航离港控制系统等为三级信息系统。
第四级信息系统:一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全、影响社会稳定的核心系统。例如:电信骨干传输网、电力能量管理系统、银行核心业务系统、铁路票客系统、列车指挥调度系统等。
第五级信息系统:适用于国家特殊领域的极其重要系统。
3.2 等级备案
已运行的系统在安全保护等级定级后30日内,由运营、使用单位到所在地区的市级以上公安机关办理备案手续。新建的系统,在通过立项申请后30日内办理。将定级情况报各地公安部门备案。
办理备案手续时备案单位需向公安机关网监部门提交以下备案材料。①《信息系统安全等级保护备案表》纸质材料一式两份。该表由“等级保护备案端软件”生成,操作时请详细阅读软件使用说明书。第二级以上信息系统备案时需提交表中的表一、二、三;第三级以上信息系统还应当在系统整改、测评完成后30日内提交表四及其有关材料。②《信息系统安全等级保护定级报告》纸质材料一式两份。每个备案的信息系统均需提供对应的《信息系统安全等级保护定级报告》。
③备案电子数据。每个备案的信息系统,均需通过“等级保护备案端软件”填写信息,以压缩文件(RAR格式)方式保存。
3.3 对照等级标准和要求进行安全建设分析整改
备案工作完成后,需要对照所定的级别对信息系统进行安全建设整改。从满足政策、满足标准和满足用户需求入手,有条件的单位可以请专业机构帮助给出整改意见,在技术和管理两个方面进行整体规划和设计。在设计过程中要考虑近期和远期规划,从而给出总体和详细的方案,特别要把技术体系、物理安全、管理安全、应急与灾备全面进行细分,细分为不同的子项,分项完善。之后就可以进入具体实施操作阶段。
3.4 等级测评
信息系统完成建O整改实施操作之后就可以进行等级保护的测评。等级保护测评工作需要由有“DJCP”(公安部信息安全等级保护测评)认证的测评机构来完成。有“DJCP”资质的机构在“中国信息安全等级保护网”可以查询到。测评时间一般为一个月。测评过程如下。
(1)测评准备阶段:召开项目启动会布置测评需要准备的材料(系统拓扑图、规章制度、设备参数等),测评机构根据提供的材料准备下一步的测评工具和表单。
(2)测评方案编制阶段:测评机构针对测评对象制定测评指标,填写测评内容,并编制测评方案书。双方进一步沟通测评时间及测评场地的测评内容和测评流程。
(3)现场测评阶段:测评机构按照测评方案的测评内容对项目中的管理和技术测评项进行逐一的测评,记录测评相关数据。需要注意的是在现场测评过程中尽量不要影响被测系统的正常运行。可以选择错开业务高峰期或下班后的时间。为了保证被测系统不受影响,系统维护人员应在现场进行配合。
(4)报告编制阶段:测评机构根据测评内容和数据进行整理,给出测评报告,告知风险点和测评发现的问题。
测评结果有三种:不符合,即未通过测评;部分符合和全部符合,后两种为通过测评。
在等级保护测评方面,按照要求,三级的信息系统应当每年至少进行一次安全自查和安全测评;四级的信息系统应当每半年至少进行一次安全自查和安全测评;五级的应当依据特殊安全要求进行安全自查和安全测评。
4 信息安全等级保护的发展现状
随着信息技术的不断发展,云计算、移动互联、物联网、工业控制、大数据等概念的出现对信息系统等级保护提出了新的要求。在新技术应用背景下,等级保护的标准和规范也将随之不断调整,信息系统和测评机构都需要不断提高自身的技术能力以适应新技术发展的需求。保证信息系统的循序建设和长期稳定的运行,是等级保护建设的重要意义。
主要参考文献
网络安全等级保护测评范文3
1.1国家卫生部文件
文件明确规定了信息安全等级保护工作的工作目标、工作原则、工作机制、工作任务、工作要求,工作任务别强调了“三级甲等医院的核心业务信息系统”应进行定级备案。
1.2浙江省卫生厅文件
为加强医疗卫生行业信息安全管理,提高信息安全意识,以信息安全等级保护标准促进全行业的信息安全工作,提高全省卫生系统信息安全保护与信息安全技术水平,强化信息安全的重要性。2011年6月7日,浙江省卫生厅和浙江省公安厅联合下发《关于做好全省医疗卫生行业重要信息系统信息安全等级保护工作的通知》(浙卫发〔2011〕131号),并一同下发了《浙江省医疗卫生行业信息安全等级保护工作实施方案》和《浙江省卫生行业信息系统安全等级保护定级工作指导意见》。为进一步指导我省卫生行业单位开展信息安全等级保持工作,浙江省卫生信息中心于2012年4月6日下发了《关于印发<浙江省卫生行业信息安全等级保护工作指导意见细则>的函》。上述文件详细规定了工作目标、工作流程和工作进度,并明确了医疗卫生单位重要信息系统的划分和定级,具有很强的指导性和操作性。
2医院信息安全等级保护
依据上述行业文件要求,全省医院重要信息系统信息安全等级保护工作由省卫生厅和各级卫生局、公安局分级负责,按照系统定级、系统备案、等级测评、安全整改[1]四个工作步骤实施。
2.1系统定级
2.1.1确定对象
我省医院信息化发展较早,各类系统比较完善,但数量繁多。将出现多达几十甚至上百个定级对象的状况,这与要求重点保护、控制建设成本、优化资源配置[2]的原则相违背,不利于医院重要信息系统开展信息安全等级保护工作。依据《计算机信息系统安全保护等级划分准则(GB17859-1999)》等标准,结合我省医院信息化现状及发展需要,经卫生信息化专家和信息安全专家多次论证,本着突出重点、按类归并、相对独立、节约费用的原则,从系统管理、业务使用者、系统服务对象和运行环境等多方面综合考虑,把医院信息系统划分为以下几类,如表1所示。
2.1.2等级评定
医院重要信息系统的信息安全和系统服务应用被破坏时,产生的危害主要涉及公民的个人隐私、就医权利及合法权益,对社会秩序和公共利益的损害属于“损害”或“严重损害”程度。参考《信息安全等级保护管理办法》及省卫生信息中心指导意见细则要求[3],即属于“第二级”或“第三级”范畴。因此医院信息系统对信息安全防护和服务能力保护的要求较高,结合业务服务及系统应用范畴,实行保护重点、以点带面原则,参考定级如表2所示。
2.2系统定级备案
省卫生厅及省级医疗卫生单位信息系统、全省统一联网或跨市联网运行的信息系统由省公安厅受理备案;各市卫生局及其下属单位、辖区内医院信息系统由属地公安机关受理备案。各市卫生局应将辖区内医疗卫生单位备案汇总情况和《信息系统安全等级保护备案表》等材料以电子文件形式向省卫生厅报备。定级备案流程示意图如图1所示。
2.3等级保护测评
医院重要信息系统完成定级备案后,应依据《浙江省信息安全等级保护工作协调小组关于公布信息安全等级报测评机构的通知》(浙等保〔2010〕9号)选择浙江省信息安全等级保护工作协调小组办公室推荐的等级测评机构,启动等级测评工作,结合所属等级要求对系统进行逐项测评。通过对医院系统进行查验、访谈、现场测试等方式收集相关信息,详细了解信息安全保护现状,分析所收集的资料和数据,查找发现医院重要信息系统漏洞和安全隐患,针对测评报告结果进行分析反馈、沟通协商,明确等级保护整改工作目标、整改流程及注意事项,共同制定等级保护整改建议方案用于指导后续整改工作。对第二级以上的信息系统要定期开展等级测评。信息系统测评后,医院应及时将测评机构出具的《信息系统等级测评报告》向所属地公安机关报备。
2.4等级保护规划建设整改
根据《信息系统安全等级保护实施指南》及省实施方案,结合医院信息系统的安全需求分析,判断安全保护现状,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施规划[4]等,用以指导信息系统安全建设工程实施。引进第三方安全技术服务商,协助完成系统安全规划、建设及整改工作。建设,整改实施过程中按照详细设计方案,设置安全产品采购、安全控制开发与集成、机构和人员配置、安全管理制度建设、人员安全技能培训等环节[5],将规划设计阶段的安全方针和策略,切实落实到医院系统的信息安全规划、建设、评估、运行和维护等各个环节。其核心是根据系统的实际信息安全需求、业务特点及应用重点,并结合医院自身信息安全建设的实际需求,建设一套全面保护、重点突出、持续运行的安全保障体系,确保医院系统的信息安全。等级保护工程及管理体系建设整改流程如图2所示。
3医院重要信息系统安全等级保护成效
各级医院按照国家有关信息安全等级保护政策、标准,结合卫生行业政策和要求,全面落实信息系统信息安全等级保护工作,保障信息系统安全可靠运行,提高安全管理运维水平。
3.1明确系统安全保护目标
通过推行各级医院信息安全等级保护工作,梳理卫生信息系统资产、网络边界、网络安全设备部署及运行状况。根据系统风险评估、危害的覆盖范围及影响性判定安全等级,从而根据标准全面、系统、深入地掌握系统潜在的风险隐患,安全漏洞。明确需要重点保护的应用系统及信息资产,提出行之有效的保护措施,有针对性地提高保护等级,实现重点目标重点保护。
3.2建立安全管理保障体系
安全管理保障体系是开展信息安全工作的保障,指导落实各项安全指标要求。信息安全等级保护基本要求中明确要求加强主管及安全责任部门领导,配备信息安全专员督导安全检查、维护、培训工作。建立健全信息安全管理保障制度体系,包括机房安全管理制度、人员安全管理制度、运维安全管理规范。建立行之有效的安全应急响应预案及常规化的信息安全培训及预防演练,形成长期的安全风险管控机制。
3.3加强安全意识和管理能力
通过落实等级保护制度的各项要求,认识安全意识在信息安全工作中的重要性和必要性,调动安全保护的自觉主动性,加大安全保护的资金投入力度,优化安全管理资源及策略,主动提升安全保护能力。同时重视常规化的信息安全管理教育和培训,强化安全管理员和责任人的安全意识,提高风险分析和安全性评估等能力,信息系统安全整体管理水平将得到提高。
3.4强化安全保护技术实施
医院开展信息安全等级保护工作可加深分级、分域的纵深防御理念,进一步结合终端安全、身份认证、网络安全、容灾技术,建立统一的安全监控平台和安全运行中心。根据测评报告及建设整改建议,增强对应用系统的授权访问,终端计算机的安全控制,网络流量的异常监控,业务与数据安全保障,恶意软件和攻击行为的防御、发现及阻击等功能,深层次提高抵御外部和内部信息安全威胁的能力。
3.5优化第三方技术服务
与安全技术服务机构建立长期稳定的合作关系,引进并优化第三方技术资源,搭建安全保护技术的学习桥梁与交流平台。在安全技术与管理方面加固信息安全防护措施,完善信息安全管理制度,同时通过安全技术管理培训强化医院工作人员信息安全保护意识,提高信息安全队伍的技术与管理水平,共同为医院系统信息化建设的快速发展保驾护航。总之,医院开展信息安全等级保护工作将有效提高医院信息化建设的整体水平,有利于医院信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务;有利于优化信息安全资源的配置,重点保障基础信息网络、个人隐私、医疗资源和社会公共卫生等方面的重要信息系统的安全[6]。
4结束语
网络安全等级保护测评范文4
关键词:政务外网 等级保护 定级 网络安全
为贯彻落实公安部、国家保密局、国家密码管理局、原国务院信息化工作办公室于2007年7月26日联合下发《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号),国家电子政务外网工程建设办公室(以下简称“外网工程办”)在2007年11月启动了中央级政务外网定级专项工作,成立了等级保护定级工作组,根据政务外网的实际情况和特点,经过多轮内部讨论和征求专家意见后,基本完成了政务外网安全等级保护定级工作,为后续备案和全面开展、实施等级保护整改和测评工作奠定了坚实基础。
一、周密部署,精心组织
为有效贯彻落实国家信息安全等级保护制度,在总结基础调查和试点工作的基础上,根据《关于开展全国重要信息系统安全等级保护定级工作的通知》等相关规定,2007年11月13日,电子政务外网工程办召开等级保护工作启动会,正式启动国家电子政务外网安全等级保护定级工作。
为确保信息系统等级保护工作顺利进行,外网工程办领导高度重视,专门成立了由各主要业务部门负责人为成员的等级保护工作小组,全面负责工作的规划、协调和指导,确定了外网工程办安全组为等级保护工作的牵头部门,各部门分工协作。同时,为确保系统划分和定级工作的准确性和合理性,2007年11月22日外网工程办专门邀请专家,对定级工作进行专项指导。
为统一思想,提高认识,通过召开等级保护专题会议等形式,深入学习《信息安全等级保护管理办法》和《关于开展全国重要信息系统安全等级保护定级工作的通知》等文件精神,使相关人员充分认识和领会了开展信息安全等级保护工作的重要性,进一步认识到实施信息安全等级保护不仅是信息安全管理规范化、标准化、科学化的需要,也是提高政务外网安全保障能力与服务水平的重要途径,是追求自身发展与落实社会责任相一致的现实需要与客观要求,从而增强了开展此项工作的主动性和自觉性。
二、积极做好定级各项工作
信息安全等级保护工作政策性强、技术要求高,时间又非常紧迫,为此,政务外网工程办从三方面抓好定级报备前期准备工作:一是积极参加公安部组织的等级保护培训,领会与理解开展信息安全等级保护工作的目的、意义与技术要求,系统地掌握信息安全等级保护的基础知识、实施过程、定级方法步骤和备案流程等。二是多次组织人员开展内部讨论和交流,使人员较全面地了解等级保护的意义、基础知识和定级方法。三是开展工程办各组的业务应用摸底调查,摸清系统的系统结构、业务类型和应用范围,并汇总整理了政务外网各组成域的相关概况。
三、科学准确定级
在开展政务外网定级工作的过程中突出重点,全面分析政务外网网络基础平台的特点,力求准确划定定级范围和定级对象。在此基础上,依据《信息安全等级保护管理办法》,确定政务外网各组成子系统(网络域)的安全保护等级。
划定定级对象。根据《信息系统安全等级保护定级指南》,外网工程办多次组织技术和业务骨干召开专题会议讨论信息系统划分问题,提出了较为科学合理的信息系统划分方案。
初步确定了信息系统等级。根据系统划分结果,组织各业务部门参与并初步确定了各系统等级,完成了自定级报告的起草。
组织专家自评把关。根据等级保护评审的标准与要求,专家们对信息系统划分和定级报告进行内部评审,并给出了内部评审意见。根据专家意见重新修改并整理了等级保护定级报告及其相关材料。
此外,在定级过程中,外网工程办积极与公安部等级保护主管部门进行沟通,并经由相关专家确认定级对象与等级保护方案后,整理好了所有定级材料,准备下一步的正式评审。
四、定级对象和结果
根据政务外网作为基础网络平台的特性,以及其接入系统的不同业务类型,政务外网按管理边界划分为中央政务外网、地方政务外网两类管理域。中央政务外网按业务边界划分功能区,即公用网络平台区、专用VPN网络区以及互联网接入区,在各功能区内又根据业务类型和系统服务的不同,确定了多个业务系统,主要有安全管理系统、应用平台系统、网络管理系统、邮件系统、VPN业务、互联网数据中心等六个系统作为本次等级保护定级工作的定
级对象,分别予以定级(确定等级结果如表1所示)。
作者简介:
罗海宁,1980年生,男,汉族,工程师,在职硕士,专业方向:网络与信息安全。
郭红,1966年生,女,汉族,高级工程师,在职硕士,专业方向:网络安全。
网络安全等级保护测评范文5
近年来,随着信息安全等级保护工作机制的不断完善,主管部门监督检查力度的不断加大,信息系统开展等级测评的数量稳步增长,测评覆盖率显著提升。通过统计分析本单位近些年测评的数百个信息系统的数据,可以得出以下结论:一是较早开展等级测评的行业,经过测评和整改建设,测评符合率逐年提高;二是随着等级测评工作的持续推进,近期才开展首次测评的行业特别是基层单位的信息安全工作基础较薄弱,测评得分明显偏低。通过对物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等10个层面的测评结果进行统计,其中网络安全、主机安全、应用安全、系统运维管理等方面的不符合率相对较高,信息系统的建设、使用、运维阶段存在一些较普遍的问题。
信息系统安全保护措施落实情况分析
整体而言,随着等级测评工作的持续推进,党政机关、企事业单位对信息系统安全等级保护的认识和重视程度得到普遍提升,在管理和技术两方面主要采取了以下安全措施:
信息安全管理措施落实情况
在信息安全管理方面呈现出两级分化的特点。一些重点行业的业务信息化程度高、自身信息技术队伍力量足、信息安全投入经费有保障,其安全管理措施一般也能得到有效落实,在机构、人员、制度、建设管理、运维管理等方面均能较好地符合相关标准的要求。这一类的典型包括银行、证券、电力等行业主管部门对信息安全监管严格的几大行业。相反,部分对信息系统管控相对松散的单位如大专院校、在信息安全投入方面得不到充分保障的单位如基层政府部门,其信息安全专业人员的配备达不到标准规范的要求,安全责任部门地位偏低权限不足,很难制定并有效贯彻落实结合本单位实际的信息安全管理制度。
信息安全技术措施落实情况
多数单位通过部署边界安全设备,强化入侵防范措施来提高网络的安全性;通过加固操作系统和数据库的安全策略,启用安全审计,安装杀毒软件等措施,来提高主机安全防护水平;通过开发应用系统的安全模块,从身份鉴别、访问控制、日志记录等方面,强化业务应用的安全性;通过部署数据备份设备、加密措施,加强对数据安全的保护。
信息系统常见安全问题分析
随着等级测评工作的覆盖面进一步扩大,近年来初次测评的单位和基层部门仍发现一些典型问题。
信息安全意识有待提高
很多单位对当前日趋严峻的网络安全形势认识不足,将信息安全工作视为被动应付上级检查、被动应对安全事件的任务来消极对待。一些单位认为取得“基本符合”的测评结论就高枕无忧,完成测评备案就完成了等级保护。由此造成对信息安全合规的落实不够、资金和人员投入不足、重建设轻运维、有制度无执行、有预案不演练等问题,根源还是安全意识薄弱。
信息安全管理有待加强
信息安全管理不到位主要表现在安全管理制度、系统建设管理、系统运维管理等方面。
信息安全管理制度不完善。基层单位信息安全管理制度不全、人员配备不足、授权审批流于形式、执行记录缺失等问题较为常见。部分单位的信息安全管理制度照搬模版,未结合本单位实际进行修订,导致缺乏可操作性。
系统建设管理不到位。系统建设过程中落实信息安全“同步建设”原则不到位。在软件开发阶段较普遍未遵循安全编码规范,导致安全功能缺失、应用层漏洞频现。在系统验收阶段,很多单位仅注重业务功能验收,缺乏专门的安全性测试;电子政务类项目较普遍未按规定在项目验收环节完成“一证两报告”(即等级测评报告、风险评估报告和系统备案证明)。
系统运维管理不到位。在系统运维管理方面,部分单位运维和开发岗位不分,职责不清,存在一人身兼数职现象。很多单位在信息资产管理、介质管理、变更管理等方面缺乏操作规程和相关记录,数据备份策略不明,应急预案不完善并缺乏演练。
关键技术措施有待落实
分析近年来的测评结果,安全技术措施不足问题主要体现在以下几个方面:
在物理安全方面,随着电子政务集约化建设的推进,大量信息系统已经集中到高规格的专业机房,但仍有部分单位自有机房条件简陋,位置选择不规范,出入管理较随意,防盗防破坏、防雷防火防潮能力较差,环境监控措施不足。
在网络安全方面,常见网络和安全设备的配置不到位,如未合理划分区域、未精细配置访问控制策略、未对重要设备做地址绑定等;较普遍缺少专业审计系统。部分单位设备老旧,安全产品本身存在一定缺陷导致无法满足等级保护要求。个别单位用于生产控制的重要信息系统在网络层面未采取必要安全措施的同时,还违规接通互联网,存在极大的安全隐患。
在主机安全方面,部分单位存在弱口令、不启用登录失败处理和安全审计功能、不及时更新补丁、不关闭非必要服务等问题。此外,由于主流操作系统和数据库很少支持强制访问控制机制,相关要求普遍未落实。
在应用安全方面,很多应用软件安全功能不足,缺少身份鉴别、审计日志、信息加密等能力。由于很少进行安全扫描、渗透测试,相当一部分系统存在高危风险,如SQL注入、跨站脚本、文件上传等漏洞,以及弱口令、网页木马等问题。
在数据安全方面,较常见的是数据保密性和完整性措施薄弱。此外,部分信息系统的备份和恢复措施欠完善,缺乏有效的灾难恢复手段。
针对新技术的等级保护测评标准有待出台
随着浙江政务服务网的大力推进,省内各级政务云平台的建设使用已全面开展,有相当数量的电子政务系统已迁移上云。同时涉及城市公共设施、水电气等工控系统密集的行业对等级保护工作越来越重视,对云计算、工控系统、移动APP等的测评需求不断加大。但现有的《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》未涉及云计算、工业控制、移动互联等领域,在测评实践中已遇到诸多不适应情况。针对这些新技术新应用的等级保护测评标准需求已非常迫切。
重要信息系统安全保护对策建议
针对上述存在的问题,本文提出以下对策建议,以供参考。
提高信息安全意识
提高全员信息安全意识是全面提升信息安全保障水平的根本解决之道。要树立全体人员的安全观念,加强信息安全培训。除了通过强化工作考核和安全检查来督促信息安全工作的深入开展,还应通过多种方式开展信息安全政策解读和信息安全标准宣贯,强化对全员的安全意识教育和考查。建议结合一些合适的安全职业技能培训,落实信息安全相关岗位“持证上岗”的要求。
加强信息安全管理
“三分技术,七分管理”,各单位应转变观念,将“信息安全”与“系统稳定、功能正常”同等重视起来,将安全管理要求与自身业务紧密结合,制订完善的体系化的安全管理制度。
在系统建设管理过程中,应要求开发人员遵循安全编码规范进行开发;在系统验收环节,应认真做好安全性验收测试。在电子政务领域应落实国家对电子政务项目管理的制度要求,验收阶段完成等级测评,未通过测评的应不予验收。
在系统运维管理方面,应加强制定信息系统日常管理操作的详细规范,明确定义工作流程和操作步骤,使日常运行管理制度化、规范化。对信息资产按重要性进行分类梳理,建立完善应急灾备措施,定期开展演练,确保备份的有效性。
落实关键技术措施
针对测评发现的问题,各单位应根据系统所定级别,结合自身条件,综合考虑问题的影响范围、严重程度、整改难度等因素,制定整改计划,有步骤地落实相关技术措施。对于策略配置类的问题及时纠正;对于整改难度大、需要添置硬件或修改代码的问题,应在充分测试和试运行的基础上实施整改。对于强制访问控制、敏感标记、双因子鉴别等难点问题,建议国家加强相关产业政策的引导,促进安全厂商研发技术、推出产品,解决市场供应问题。各级主管部门应通过测评、整改、监督检查、再测评的闭环管理,督促关键技术措施的落实。
加快新技术的等级保护测评标准编制工作
目前公安部信息安全等级保护评估中心在牵头起草针对云计算安全的等级保护标准,尚处于征求意见阶段。其余新技术领域的等级保护标准制定工作进度更晚,随着智慧城市、云计算、大数据、移动互联、工业控制等新技术的快速应用,安全标准相对滞后的问题更加突出,应进一步加快相关新标准的制定。
网络安全等级保护测评范文6
关键词:信息安全;等级保护;技术方案
中图分类号:TP393.092
随着采供血业务对信息系统的依赖程度越来越高,信息安全问题日益突现,各采供血机构对信息安全保障工作给予了高度重视,各方面的信息安全保障工作都在逐步推进。《卫生行业信息安全等级保护工作的指导意见》(卫办发[2011]85号)指出[1],依据国家信息安全等级保护制度,遵循相关标准规范,全面开展信息安全等级保护定级备案、建设整改和等级测评等工作,明确信息安全保障重点,落实信息安全责任,建立信息安全等级保护工作长效机制,切实提高卫生行业信息安全防护能力、隐患发现能力、应急能力,做好信息安全等级保护工作,对于促进采供血机构信息化发展,维护公共利益、社会秩序和国家安全具有重要意义。
1 信息安全等级保护概述
1994年国务院147号令《中华人民共和国计算机信息系统保护条例》,规定我国实行“计算机信息安全等级保护制度”[2]。根据147号令的要求,公安部制定了《计算机信息等级划分标准》(GB17859-1999以下简称GB17859),该标准是我国最早的信息安全等级标准。
当前实施的信息安全等级保护制度是由公安部等四部委联合发文《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)及《信息安全等级保护管理办法》(公通字[2007]43号),文件明确了信息安全等级保护制度的原则、内容、工作要求、部门分工和实施计划,为信息安全工作提供了规范保障。这些信息安全的有关政策法规主要是从管理角度划分安全等级的要求。
2006年,国家信息安全技术标准化技术委员会以GB17859为基本依据,提出并制定了一系列信息安全国家标准(GB/T20269-2006《信息安全技术 信息系统安全管理要求》等)。这一系列规范性文件体现了从技术角度划分信息安全等级的要求,主要以信息安全的基本要素为单位,对实现不同安全要求的安全技术和机制提出不同的要求。本文主要讨论以GB17859为依据从技术角度探讨信息安全等级保护技术在采供血机构中的实践。
2 等级保护技术方案
信息安全等级保护制度明确了信息安全防护方案,要求确保信息系统安全稳定运行,确保信息内容安全。保证业务数据在生成、存储、传输和使用过程中的安全,重要业务操作行为可审计,保证应用系统可抵御黑客、恶意代码、病毒等造成的攻击与破坏,防范恶意人员对信息系统资源的非法、非授权访问。
2.1 实现要求。三级安全应用平台安全计算环境的安全目标是保护计算环境的终端、重要服务器、乃至上层的应用安全和数据安全,并对入侵事件进行检测/发现、防范/阻止和审计/追查。依据GB17859-1999等系列标准把相关技术要求落实到安全计算环境、安全区域边界和安全通信网络、安全管理中心及四个部分,形成“一个中心”三重保障体系[3]。
图1 三级安全应用平台TCB模型
2.2 安全计算机环境。安全计算机环境是由安全局域通信网络连接的各个安全的计算资源所组成的计算环境,其工作方式包括客户/服务器模式;主机/终端模式;服务器/工作站模式。
2.3 安全区域边界。是安全计算环境通过安全通信网络与外部连接的所有接口的总和,包括防火墙、防病毒网关及入侵检测等共同实现。
2.4 安全通信网络。实现信息系统中各个安全计算机环境之间互相连接的重要设施。包括安全性检测、安全审计病毒防杀、备份与故障恢复以及应急计划与应急反应。
2.5 安全管理中心。针对安全计算机环境、安全区域边界和安全通信网络三个部分的安全机制的集中管理设施。针对安全审计网络管理、防病毒等技术的安全集中管理。
3 采供血机构信息系统等级保护建设
3.1 定级。采供血机构为地市级公益卫生事业单位,信息管理系统受到破坏会严重损害社会秩序,采供血业务停滞会严重损害公共利益,信息泄露则会严重影响公众利益,按信息系统安全等级保护定级指南,确定采供血信息系统安全保护等级为第三级。
3.2 系统分析。采供血信息系统覆盖采供血业务和相关服务过程,包括献血者档案、血液采集、制备、检验和发放等信息记录必须妥善保存并保持可溯性。艾滋病疫情信息根据国家相关法律法规的要求,必须防止泄露,以免产生对国家安全及社会稳定的负面影响。
信息系统核心由两台双机热备服务器、磁盘阵列柜组成,采用硬件VPN、硬件防火墙作为网络安全设备。应用VPN技术将远离采供血机构本部的献血屋、移动采血车及医院输血科使用的业务计算机与站内的服务器联网。
3.3 等级保护建设。依据GB17859-1999等系列标准把相关技术要求落实到安全计算环境、安全区域边界和安全通信网络和安全管理中心四部分。构建“一个中心”管理下的“三重保障体系”,实现拓朴图如下:
图2 采供血机构拓扑图
3.3.1 安全计算环境。系统层主要进行身份认证及用户管理、访问控制、安全审计、审恶意代码防范,补丁升级及系统安全性检测分析。安全计算环境主要依靠在用户终端或是服务器中充分挖掘完善现有windows/Linux操作系统本身固有的安全特性来保证其安全性。在应用系统实现身份鉴别、访问控制、安全审计等安全机制。
3.3.2 安全区域边界。在网络边界处以网关模式部署深信服下一代防火墙AF-1320,电信及联通两条线路都接入其中,达到以下防护目的:(1)区域边界访问控制:逻辑隔离数据、透明并严格进行服务控制,隔离本单位网络和互联网,成为网络之间的边界屏障,单位内部电脑上网,实施相应访问控制策略,设置自主和强制访问控制机制;(2)区域边界包过滤:通过检查数据包源地址、过滤与状态检测提供静态的包过滤和动态包过滤功能;(3)区域边界安全审计:由内置数据中心和独立数据中心记录各类详细事件,并产生统计报表。还可根据管理者定义的风险行为特征自动挖掘并输出风险行为智能报表;(4)完整性保护:保护计算机网络免受非授权人员的骚扰与黑客的入侵,过滤所有内部网和外部网之间的信息交换。该防火墙具有IPS入侵防护,防护类型包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击等;具有网络应用层防护,识别及清杀恶意代码功能。
3.3.3 安全通信网络。当用户跨区域访问时,根据三级标准要求,需要进行数据传输保护。通过部署VPN安全设备构建安全隧道,实施机密性和完整性保护,实现对应用数据的网络传输保护。(1)本单位用采两台深信服VPN网关为跨区域边界的通信双方建立安全的通道。一台为IPsec VPN用于连接采供血机构的分支机构如大型献血屋,另一台为SSL VPN用于小型捐血屋、流动采血车、各医院与采供血机构的数据通信。VPN设备可为采供血机构内部网络与外部网络间信息的安全传输提供加密、身份鉴别、完整性保护及控制等安全机制。另外,VPN安全网关中设计了审计功能来记录、存储和分析安全事件,可为安全管理员提供有关追踪安全事件和入侵行为的有效证据;(2)在防火墙下端部署华为S5700系列三层核心交换机,并在网络中划分VLAN,设置部门应用终端的访问权限,规定哪些部门可以访问哪些服务器等以减少网络中的广播风暴,提高网络效率;(3)在行政办公区域利用深信服上网行为管理(Sinfor-M5000-AC)有效管理与利用互联网资源,合理封堵非业务网络应用。
3.3.4 安全管理中心。信息安全等级保护三级的信息系统,应建立安全管理中心,主要用于监视和记录信息系统中比较重要的服务器、网络设备等环节,以及所有应用系统和主要用户的安全状况。本单位目前安全管理中心由两部分组成,配置赛门铁克赛门铁克SEP12.1,采用分布式的体系结构部署了防病毒系统中心、防病毒服务器端、防病毒客户端、防病毒管理员控制台。防病毒软件与防火墙、VPN及上网行为管理协同完成通信线路、主机、网络设备、应用软件的运行等监测和报警,并形成相关报表。对设备状态、恶意代码、补丁升级及安全审计等相关事项进行集中管理。
4 结束语
按照等级保护的相关规范和技术要求,结合采供血机构具体网络和系统应用,设计三级信息安全等级保护方案并建设,保证采供血机构网络的安全、稳定、通畅,保障了整个采供血业务的正常运转,更好地服务于广大患者。
参考文献:
[1]网神信息技术(北京)股份有限公司[J].信息网络安全,2012(10):28.
[2]郎漫芝,王晖,邓小虹.医院信息系统信息安全等级保护的实施探讨[J].计算机应用与软件,2013(01):206.
[3]胡志昂,范红.信息系统等级保护安全建设技术方案设计实现与应用[M].北京:电子工业出版社,2011:98-104.
