前言:中文期刊网精心挑选了信息安全情况报告范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
信息安全情况报告范文1
一、自查情况
(一)安全制度落实情况
1、成立了安全小组。明确了信息安全的主管领导和具体负责管护人员,安全小组为管理机构。
2、建立了信息安全责任制。按责任规定:保密小组对信息安全负首责,主管领导负总责,具体管理人负主责。
3、制定了计算机及网络的保密管理制度。镇网站的信息管护人员负责保密管理,密码管理,对计算机享有独立使用权,计算机的用户名和开机密码为其专有,且规定严禁外泄。
(二)安全防范措施落实情况
1、涉密计算机经过了保密技术检查,并安装了防火墙。同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面有效性。
2、涉密计算机都设有开机密码,由专人保管负责。同时,涉密计算机相互共享之间没有严格的身份认证和访问控制。
3、网络终端没有违规上国际互联网及其他的信息网的现象,没有安装无线网络等。
4、安装了针对移动存储设备的专业杀毒软件。
(三)应急响应机制建设情况
1、制定了初步应急预案,并随着信息化程度的深入,结合我镇实际,处于不断完善阶段。
2、坚持和涉密计算机系统定点维修单位联系机关计算机维修事宜,并商定其给予镇应急技术以最大程度的支持。
3、严格文件的收发,完善了清点、修理、编号、签收制度,并要求信息管理员每天下班前进行系统备份。
(四)信息技术产品和服务国产化情况
1、终端计算机的保密系统和防火墙、杀毒软件等,皆为国产产品。
2、公文处理软件具体使用金山软件的wps系统。
3、工资系统、年报系统等皆为市政府、市委统一指定产品系统。
(五)安全教育培训情况
1、派专人参加了市政府组织的网络系统安全知识培训,并专门负责我镇的网络安全管理和信息安全工作。
2、安全小组组织了一次对基本的信息安全常识的学习活动。
二、自查中发现的不足和整改意见
根据《通知》中的具体要求,在自查过程中我们也发现了一些不足,同时结合我镇实际,今后要在以下几个方面进行整改。
1、安全意识不够。要继续加强对机关干部的安全意识教育,提高做好安全工作的主动性和自觉性。
2、设备维护、更新及时。要加大对线路、系统等的及时维护和保养,同时,针对信息技术的飞快发展的特点,要加大更新力度。
信息安全情况报告范文2
一、引言
信息时代为国家和个人提供了全新的发展机遇和生活空间,但也带来了新的安全威胁。信息安全的威胁可能来自内部的破坏、外部的攻击、内外勾结的破坏和信息系统自身的意外事故等,因此我们应按照风险管理的思想,对可能的威胁和需要保护的信息资源进行风险分析,以便采取安全措施,妥善应对可能发生的安全风险。信息安全风险评估是依据国家信息安全风险评估有关管理要求和技术标准,对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。根据ISO27001的管理思想,信息安全风险评估在信息安全管理的PDCA环中是一个很重要的过程,如何处理信息安全风险评估所产生的数据,是每一个信息安全管理者都非常迫切需要解决的一个问题。最好的解决方法是开发出一套实用性强、可操作性高的系统安全风险评估管理工具。
二、风险评估过程
信息安全风险评估系统的设计是针对组织开展信息安全风险评估的过程。这个过程包括对信息系统中的安全风险识别、信息收集、评估和报告等。风险评估的实施过程如下页图1。
1.评估前准备。在风险评估实施前,需要对以下工作进行确定:确定风险评估的目标、确定风险评估的范围、组建风险评估团队、进行系统调研、确定评估依据和方法、制定评估计划和评估方案、获得最高管理者对工作的支持。
2.资产识别。资产识别过程分为资产分类和资产评价两个阶段。资产分类是将单位的信息资产分为实物资产、软件资产、数据资产、人员资产、服务资产和无形资产六类资产进行识别;资产评价是对资产的三个安全属性保密性、可用性及完整性分别等级评价及赋值,经综合评定后,得出资产的价值。
3.威胁识别。威胁识别主要工作是评估者需要从每项识别出的资产出发,找到可能遭受的威胁。识别威胁之后,还需要确定威胁发生的可能性。
4.脆弱性识别。评估者需要从每项识别出的资产和对应的威胁出发,找到可能被利用的脆弱性。识别脆弱性之后,还需要确定弱点可被利用的严重性。
5.已有安全措施确认。在识别脆弱性的同时,评估人员将对已采取的安全措施的有效性进行确认,评估其是否真正地降低了系统的脆弱性,抵御了威胁。
6.风险分析。风险评估中完成资产赋值、威胁评估、脆弱性评估后,在考虑已有安全措施的情况下,利用恰当的方法与工具确定威胁利用资产脆弱性发生安全事件的可能性,并结合资产的安全属性受到破坏后的影响得出信息资产的风险。
三、系统设计
1.用角色设计。系统角色分为三种类型,各用户在登录后自动转入各自的操作页面。A.超级管理员:拥有系统所有权限;B.评估项目管理员:可以对所负责的评估项目进行管理,对评估人员进行分工和权限管理;C.评估人员:负责由项目管理员分配的测评工作,将评估数据导入系统。
2.系统模型。根据信息安全风险评估管理的业务需求,我们构建了以安全知识库为支撑,以风险评估流程为系统主要业务流,以受测业务系统及其相关信息资产的风险评估要素为对象的信息安全风险评估综合管理系统模型,系统模型如图2所示。
3.系统功能设计。信息安全风险评估综合管理系统的功能模块包括:①风险评估项目管理:评估项目管理模块包括评估项目的建立、项目列表、项目设置等功能。主要输入项:项目名称、评估时间、评估对象等;主要输出项:项目计划书。②信息安全需求调研管理:该模块用于用户填写安全调研问卷,为安全评估提供数据支持。主要输入项:用户ID、调查答案;主要输出项:问卷标题、调查题内容。③资产识别。系统提供的资产识别,包括:硬件、软件、数据等,根据业务系统对组织战略的影响程度,对相关资产的重要性进行评价;主要输入项:评估对象(信息资产)、赋值规则;主要输出项:资产识别汇总表、资产识别报告。④威胁识别。威胁识别:系统提供多种网络环境的威胁模板,支持和帮助用户进行威胁识别和分析,并提供资产、脆弱性、威胁自动关联功能:主要输入项:评估对象、赋值规则;主要输出项:威胁识别汇总表、威胁识别报告。⑤脆弱性识别。脆弱性识别:系统可提供多种系统的脆弱性识别功能,包括:主机、数据库、网络设备等对象的脆弱性识别。系统支持常用漏洞扫描软件扫描结果的导入,目前支持的扫描系统有:Nessus、NMap等,主机系统支持:Windows、Linux、Unix等,数据库支持:MSSQL、Oracle等:主要输入项:评估对象、漏洞扫描结果、赋值规则;主要输出项:漏洞扫描报告、脆弱性识别汇总表、脆弱性识别报告。⑥安全措施识别。安全措施识别:系统提供基于技术、管理等方面的安全措施检查功能,帮助用户了解目前的安全状况,找到安全管理问题,确定安全措施的有效性:主要输出项:安全措施识别汇总表、安全措施识别报告。⑦风险分析。系统通过资产评价、脆弱性评价、威胁评价、安全措施有效性评价、风险分析等工作,可自动生成安全风险评估分析报告。主要输入项:评估对象、资产值、脆弱性值、威胁值、安全措施值、计算规则;主要输出项:风险计算汇总表、风险分析报告。⑧评估结果管理。主要功能是对历史记录查询与分析。汇总所有的安全评估结果进行综合分析,并生成各阶段风险评估工作报告,主要包括如下:《资产识别报告》、《漏洞扫描报告》、《威胁识别报告》、《脆弱性识别报告》、《控制措施识别报告》、《风险分析报告》。并可对当期风险评估结果和原始数据进行转存或备份。在有需要时能调出评估历史数据进行查询及风险趋势分析。⑨信息安全知识库更新维护。信息安全知识库的更新维护主要对象有:系统漏洞库、安全威胁库、安全脆弱点库、控制措施库。为避免造成数据的冗余,系统将在各评估项目中需要反复使用的数据归入基础数据库进行管理,在进行评估活动时再从基础库提取有关数据,这样也能减少重复的输入工作。⑩数据接口。导入数据接口:资产库、脆弱点库、威胁库、控制措施库。支持以下常用的格式:如EXCEL文件等;常用的漏洞扫描工具:如绿盟、启明星辰、NESSUS、NMAP等。
四、结束语
该系统设计是以信息安全风险评估工作流程为基础,进行信息安全评估项目管理、风险要素数据收集与辅助风险分析的系统,在实际风险管理过程中,可引入了质量管理理念——PDCA循环,即通过监控每一阶段的信息系统风险情况,及时发现问题,不断调险控制工作计划,从而实现信息安全风险管理的工作目标。
信息安全情况报告范文3
漏洞频现企业员工安全意识堪忧
众多的信息安全事故,早已经把信息安全防护的焦点指向了企业内部的员工,实际上,信息安全保障的第一道防线就是企业人员的信息安全意识。但现实情况是,为企业带来无法挽回的经济损失的,恰恰是由于企业员工信息安全意识薄弱导致的信息安全事件。
从这次由北京谷安天下科技有限公司的《2010企业员工信息安全意识调查报告》中我们可以看到,很多看起来并不起眼的问题,却隐藏着巨大的安全隐患。
例如,很多员工工作胸卡保管、物品保管存在疏忽,对于出差时物理环境安全、工作区域的陌生访客等较为忽视,个人信息经常会在不经意间在网上,个人密码也没有定期更换,此外,像对数据备份、敏感数据、工作资料的保护,对不明邮件、熟悉发件人发的链接和动画的处理方式,电脑设置屏保和密码以及系统升级等都存在着或大或小的漏洞。
由于受访者普遍信息安全意识的薄弱,平时的办公与生活中较多错误的信息安全操作,导致超过半数(58.8%)的受访者遇到过1~2次或者经常遇到恶意插件和病毒的攻击,并有所损失。
调查结果还显示,在受访者信息安全意识普遍薄弱的情况下,而提高信息安全意识的培训和宣贯等工作却做的很少。接受定期的信息安全培训受访者仅占15.8%。
同时,受访者在信息安全隐患的认知和有效保护信息安全面临的最大障碍的认知方面,42.8%的受访者认为所有的安全隐患中,个人信息安全意识不足是最大的安全隐患,然后依次是没有安全制度或制度未落实、投入或人员不足或缺乏信息安全培训、安全产品功能不足和其他。而对于目前有效保护信息安全面临的最大的障碍,受访者认为最大的障碍是普遍缺乏信息安全意识,其他依次是管理水平落后、技术不过关、法律不健全、信息安全人才不够和其他障碍。
应对风险 先建“人力防火墙”
作为一家一直致力于国内IT风险管理咨询的企业,北京谷安天下科技有限公司(以下简称:谷安天下)这次的调查活动以问卷调查和网络在线调查为基本形式,问卷题目范围涉及当前中国企业员工信息安全意识认知及相关应用情况。谷安天下希望统计结果能够为中国各企业提供详实可靠的参考数据,并通过对调查结果的推广,增强企业员工对信息安全意识的重视,提高企业员工信息安全意识水平。
信息安全情况报告范文4
关键词:信息安全;等级保护;定级制度
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2017)03-0045-02
信息安全等级保护制度的建设,是随着经济建设和信息化建设的全面展开而进行的。对国家重要的信息系统等进行定级保护,可以提高信息系统的工作效率,在大数据、云计算的技术支持下,实现全系统的信息安全。为此国家多部门早已出台多项关于信息安全的制度和规定,明确说明国家信息安全保障工作的基本制度之一就是信息安全等级保护制度。其工作流程包含定级、对级别的建设和整改、测评建设整改工作、向主管公安部门备案;监管信息系统。其中首要阶段的定级工作,是作为等级保护的起始,为后面四个阶段的工作奠定基础。
1 信息系统安全等级保护政策概述
我国在信息技术的浪潮退推动下,各行各业都在面临信息化、智能化的转型升级带来的冲击和挑战。需要建设的信息化项目不断增多,很多领域的业务都要采用网络信息系统作为载体,因此,信息系统的数量和结构都在增加和复杂化,对信息进行等级保护就被提上了日程。
2008年,我国首部信息安全等级保护管理办法由公安部下发,信息系统有了等级的划分,并且对信息系统的保护也有了明确的管理规定。2008年,信息系统安全等级保护定级上升到了国家级别的标准,拥有了定级指南,对于信息系统安全等级定级工作来说,意味着拥有了定级的方法和准则。2009年,关于整改信息安全等级保护工作的指导意见证实下发,要求对信息安全等级保护的整改要按照测评工作的标准展开。这是第一次对信息安全等级保护测评体系的建设进行的规定。
2 信息系统的安全定级
在信息安全技术等级定级指南中,对于信息技术的重要性以及遭到破坏的危害性进行了详细的阐述,从公共安全、社会利益、公民权益等几个方面,将信息系统的安全等级划分为五个等级:
第一级为当信息安全被侵犯,国家利益、公共安全等合法权益就会被损坏,但是国家安全、社会利益和公共秩序不会受到损害。
第二级为当信息安全被侵犯,公民的合法权益就会被侵害,但是国家安全不会受到破坏。
第三级为当信息系统受到侵犯后,社会秩序和公共利益被损坏,进而产生对国家安全的损害。
第四级是信息系统受到破坏,社会秩序、公共利益、国家安全都会受到特别严重的损伤。
第五级是信息系统受到侵犯,国家安全被特别严重地损坏。
3 当前信息系统安全定级中存在的问题
1)定级对象不明确是信息系统安全定级中的常见问题。当信息系统在相同的网络环境中被按照独立的系统进行定级时,多个定级对象会重复出现环境和设备。以机房的EPR系统和OA系统以及配套为例,系统中如果使用到网络资源,就有可能产生相同的定级对象同时出现不同的网络设备的情况。
2)根据安全信息国家定级指南中对安全保护等级的定级要求。当受侵害客体为国家、社会、公民安全以及组织法人的合法权益时,客体的侵害程度可以分为一般、严重、特别严重。这种分类是比较抽象的。需要进行具体的描述,但是从目前的发函情况看,对于危害程度的描述还是过于倾向于主观判断,因此对客观情况的定级准确率不足,依据不足。
3)现有的定级报告皆是从模板中引用格式,参考定价指南,提供定级流程,引导结论的验证。从下表我们可以大概地看到定级要素和安全保护等级的关系:
表1
[受侵害的客体\&一般损害\&严重损害\&特别严重的损害\&公民、法人和组织的合法权益\&第一级\&第二级\&第二级\&社会利益、公共秩序\&第二级\&第三级\&第四级\&国家安全\&第三级\&第四级\&第五级\&]
对于基础数据的描述虽然也能显示出关于信息安全系统定级的重要意义,但是从系统的客观问题以及随时可能出现威胁和侵害的现象角度观察,很多关于信息安全等级定级的新方法还不能保证定级结果的准确性,很多定级报告不完善,缺乏依据,主观判断成分多,无法将信息安全系统的真实情况反映给决策层,对于工作的开展没有好处。
4 等级保护流程
等级保护的工作是循环的、动态发展的。将等级保护工作视为循环性强的工作对于工作流程加以分析,最终得到的是等级保护工作的流程图:
定级阶段:系统划分、等级确定;填写表格;
初步备案阶段:上报材料、专家评审,不符合安全等级规定的重新定级,最终进入初备案。
测评阶段:选定机构、测评、出具报告;
整改阶段:制订方案、专家论证、提出整改措施并实施;
复评阶段:对定级方案进行复评,得到最终的备案;
根据等级保护制度接受监管的阶段。
需要说明的是,等级保护工作的初始阶段:定级工作可以采用自行定级的方法,也可以委托第三方机构进行监管和测评。定级工作是所有阶段工作的基础。初备案阶段有一个重新定级的环节,主要是如果出现不公平、不公正或者定级不合格的情况,要对信息系统的等级评定工作进行复评选,并达到等级保护的要求,才能进行最终的备案。
5 信息安全定级方法
1)定流程是参照定级指南进行的,包括了业务信息和系统服务等内容。首先是确定定级对象,然后确定业务信息安全受到破坏和侵害的客体,以及系统服务安全受到破坏和侵害的客体。两方面都要进行客体的侵害程度的评定,前者得出业务信息安全等级,后者得出系统服务安全等级,最后形成了定级对象的安全保护等级。
定级对象的选取根据定级指南的规定,具有一些特征,首先是拥有安全责任单位,第二是信息系统要素,第三是承载单一和独立的业务。在定级对象的业务应用上应该拥有共享的机房基础环境和网络设备等,这样就不会产生重复出现的定级对象。而且将物理环境、网络资源等纳入到信息系统中,形成具有单独优先定级权限的定级对象[1]。
对于受侵害的客体的损害程度的评分,要对危害后果等进行权重分析。参照的依据包括国家安全、社会利益、公众秩序、公民法人和组织的权益。客体的侵害程度在定x和解释上是简单而抽象的,要对危害程度进行具体的描述,就要规避主观判断、依据不足的问题。对客体的侵害程度进行确定,是需要参考很多元素的,要得到一个准确的定量,可以采用评分表的方法对危害后果予以打分。
表2
[危害后果\&得分\&权重\&影响工作职能形式\&\&\&降低业务能力\&\&\&引起纠纷需要法律介入\&\&\&财产损失\&\&\&社会不良影响\&\&\&损害到组织和个人\&\&\&其他影响\&\&\&]
根据对表格中的打分得到的数值和权重的分析,可以得出定级对象被破坏后可能产生的危害以及后果。不存在危害的数值为0,有危害程度较轻的数值为1,有危害程度较高的为2,后果严重的为3。不同的信息系统在服务内容、范围、对象上都不同,因此不同的得分和权重最能反映信息安全系统的实际情况。
确定安全保护等级是在所有流程结束后,得到的结论。这个结论包括客体对等级对象的侵害造成的危害,信息安全的保密性、可用性的情况,系统服务安全的及时性、有效性的问题等等。当业务信息安全和服务系统的客体侵害程度不同时,就要在定级过程中处理不同的危害后果。
2)定级表格的细化是为定级报告模板提供基础数据,并保证信息安全系统稳定可靠的重要保障。当系统内部问题导致其难以支撑定级结果后,采用系统定级的方法,就能够将信息系统的情况记载道定级表中。定级表包括了定级系统的用户情况以及定级系统的业务职能等情况,例如在行业和部门内的地位和作用。定级系统需要有备份系统作为应急措施,保证定级系统在关联系统受到破坏后不会受到数据传递等的影响。
6 案例分析
按照等级保护工作测评和定级的规定,确定信息系统的等级。某政府网站信息系统包括的板块为:政务公开、地方行政、法制建设、管理措施、领导讲话、网上办事大厅、新闻动态、政府公告、举报建议等,还专门开辟了一个下载板块,方便下载有用的电子表单加以填报。
在这个政府网站的信息系统中,制订了符合信息安全等级保护定级指南的流程和标准,通过分析,判断,研究等流程确定定级的系统。该网站的拥有者设立的专门的政府网站平台,由指定部门确定相关资料的搜集、采集、整理的过程方案。在这套流程中,信息生产者为企业,产生的资料是信息,管理信息的手段是利用科学技术,对外承担政务信息,拥有独立的业务,如办事流程、新闻会等。将各类任务的环境加以构建,就形成了政府网站中具有基本特征和要素的定级对象。对定级客体的邀请,要采取分析的方法,确保信息系统内的保密性和可用性。实际操作中只要能够保证信息的完整性和通用性,又增强了制作、、管理的职能建设,激发出参与者的完整性和保密性。提高可用概率。而系统服务安全有力地支撑着系统安全运行,并为信息安全系统提供有效的服务,达到地方网站发挥在定级中的作用,帮助提供服务,满足消费者的需求。采用了这种方法,网站信息系统的业务信息安全和系统服务安全都将是今后在企业运用中需要特别加以注意的。
例如:对于受侵害的客体,必须说明客体的情况,是否受到法律保护,等级保护中牵扯到的社会关系和合法权益。尤其是针对信息系统的客体的先后顺序进行判断,结合政府平台,实施政务信息公开。如果做不到政务信息公开,政府就要设置管理界限,发挥人的主观能动性,在知情权、业务能力、投诉与批评等阶段加大业务办理力度,最大可能地维护法人和代表组织的知情权,排弃受到破坏的客体,法人由于难以掺入个人组织中,直接投诉合法的法律法规,由于业务施工的进度过快,环节纷繁众多[2]。再由于受损教育可以对客体的积极主动性。方便法人和组织知情、办理业务、举报、投诉等。
对于客体造成的侵害进行后果的分析,无论是大型门户网站,还是在金融政策引领下,亲自感受到客体检查结果的影响,如信息安全管理等,都要注重网络平台的临时性。
7 结束语
要做好信息系统的安全保护等级的确定,就要采取正确的 (下转第51页)
(上接第46页)
策略以及方法,对信息安全管控产生依赖,保护过程中采取正确的策略和方法,等等。信息系统、安全等级保护不足的问题,都要求管理觉决策层加熬煮。在实际运行中,还要以定级指南为指导,综合信息系统的业务特征,切实推动信息技术等级保护工作的大力发展。
参考文献:
信息安全情况报告范文5
关键词:信息安全;等级保护;漏洞扫描
中图分类号:TP315 文献标识码:A 文章编号:1007-9599 (2011) 23-0000-02
Use Vulnerability Scanning System to Improve the Level of Power Supply Enterprise Information Security Management
Chen Wan
(Guangdong Power Grid Corporation,Shantou Power Supply Bureau,Shantou 515041,China)
Abstract:The building vulnerability scanning system,and regulate their use of processes,thereby enhancing the power supply enterprise level and effectiveness of information security management.Shantou Power Supply Bureau introduced the use of the IDC deployment vulnerability scanning system,set up the server was added to the process specifications,thereby enhancing the information security management.
Keywords:Information security;Protection Level;Vulnerability scanning
引言:伴随着信息化的高速发展,信息安全的形势日趋复杂和严峻。国家政府对信息安全高度关注,信息安全等级保护是我国在新的信息安全形势下推行的一项国家制度,国家相关部门高度重视等级保护制度的落实与执行。信息系统是业务系统的支持平台,信息系统的安全是承载业务系统安全的基础,而在信息系统等级保护中,安全技术测评包括五个部分:分别是物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复。其中所涉及到的主机系统安全控制点包括:身份鉴别、安全标记、访问控制、可信路径、安全审计、入侵防范、恶意代码防范和资源控制等九个控制点。怎么提前做好风险控制,利用现有的信息安全工具,规范信息系统主机上架前的检测,对信息安全的管理是一种创新的尝试,也是安全管理中位于未雨绸缪的体现。
一、漏洞扫描系统的构建
(一)漏洞扫描工具的作用
漏洞扫描工具采用高效、智能的漏洞识别技术,第一时间主动对网络中的资产进行细致深入的漏洞检测、分析,并提供专业、有效的漏洞防护建议。
我们采用的漏洞扫描工具的管理是基于Web的管理方式,用户使用浏览器通过SSL加密通道和系统Web界面模块进行交互,采用模块化设计。具有优化的专用安全系统平台,具有很高的安全性和稳定性。其专用硬件能够长期稳定地运行,很好地保证了任务的周期性自动处理。能够自动处理的任务包括:评估任务下发、扫描结果自动分析、处理和发送、系统检测插件的自动升级等。同时支持多用户管理模式,能够对用户的权限做出严格的限制,通过权限的划分可以实现一台设备多人的虚拟多机管理,并且提供了登录、操作和异常等日志审计功能,方便用户对系统的审计和控制。
在每次安全评估之前,用户需要根据自己的业务系统确定需要进行评估的资产,并且划分资产的重要性。漏洞扫描系统根据用户的资产及其重要性会自动在其内部对目标评估系统建立基于时间和基于风险等多种安全评估模型。在对目标完成评估之后,模型输出的结果数据不但有定性的趋势分析,而且有定量的风险分析,用户能够清楚地看到单个资产、整个网络的资产存在的风险,还能够看到网络中漏洞的分布情况、风险级别排名较高的资产、不同操作系统和不同应用漏洞分布等详细统计信息,用户能够很直观地了解自己网络安全状况。
(二)漏洞扫描工具的部署
针对汕头供电局的网络情况,使用独立式部署方式。独立式部署就是在网络中部署一台漏洞扫描设备。在共享式工作模式下,只要将设备接入网络并进行正确的配置即可正常使用,其工作范围通常包含汕头供电局的整个网络地址,用户登录系统并下达扫描任务。下图是漏洞扫描系统独立式部署模式图。从图中可以看出,无论在汕头供电局何处接入设备,网络都能正常工作,完成对网络的安全评估。
图1:漏洞扫描系统独立式部署模式图
(三)漏洞扫描工具的定位
1.利用漏洞扫描工具定期对网络信息系统进行扫描,以便主动发现存在的安全隐患和防护漏洞。
2.巡检服务中对操作系统修补、加固和优化,根据提供出来的评估报告对相关系统进行打补丁、升级、修补、加固和优化,提供详细操作报告。
3.巡检服务过程中针对网络设备安全加固和优化;进行修补和加固,按照安全策略进行安全配置和优化,提供详细操作报告。包括:网络设备的安全配置,网络设备的安全加固,网络设备的优化配置等。
4.检服务过程中对网络安全设备,对所有网络边界进行梳理,对边界安全防护系统的策略进行优化。通过综合应用防火墙、IPS、防病毒网关等网络安全系统,在区域边界实施严密的控制措施,尽量在边界阻断来自区域外的安全威胁,从而最大化地提高电力信息数据的安全性和电力信息系统的可用性。
5.巡检服务过程中在安全评估的基础上,对桌面终端和服务器系统中存在的安全漏洞进行修复。对于无法修复的漏洞,评价其可能带来的安全风险,并采用周边网络防护系统(如防火墙、IPS等)阻断可能的攻击,或通过监控等手段对该风险进行控制管理。
二、服务器上架漏洞扫描规范编写
按照信息安全工作实际需要,以“制度化管理、规范化操作”为原则,完善信息安全管理策略规范,理顺信息工作内部安全控制流程规范,不断增强网络与信息安全整体管控效能。为更好的保障汕头供电局信息网络的安全、稳定运行,使得漏洞扫描工具能真正的用到实处,特制订漏洞系统管理流程。如下图:
图2:每季度漏洞扫描流程图
图3:新服务器上架前漏洞扫描流程图
(一)漏洞扫描管理员的职责
负责漏洞扫描软件(包括漏洞库)的管理、更新和公布;
负责查找修补漏洞的补丁程序,及时提出漏洞修复方案;
密切注意最新漏洞的发生、发展情况,关注和追踪业界公布的漏洞疫情;
每季度第一个月1-4日期间(节假日顺推)进行上季度安全扫描复查;
每季度第一个月5号(节假日顺推)生成上季度汇总报告;
新系统上线前,负责对系统管理员提出的申请的主机进行漏洞扫描检查,并提交漏洞扫描报告给系统管理员,并检查主机漏洞修补情况。
(二)系统管理员的职责
负责对漏洞扫描系统发现的漏洞进行修补工作;
遵守漏洞扫描设备各项管理规范。
新系统上线前,提交扫描申请,并负责对漏洞扫描系统发现的漏洞进行修补工作。
三、结束语
信息安全情况报告范文6
一、信息安全概况
随着信息技术的飞速发展,金融机构生产、使用和共享的信息呈现几何增长的态势,信息传递的方式和渠道急剧增加,在为金融机构带来收益和效率的同时,也使信息安全问题更加凸显。在全球范围内,信息安全事件频发,给银行和客户造成经济损失的同时,也带来了巨大的声誉损失。如何有效提升信息安全管理水平,成为银行关注的焦点。信息安全审计作为信息安全保障工作中的重要一环,能够促进信息安全控制措施的落实,规范信息安全管理,提高全员信息安全意识,从而有利于保持和持续改进银行信息安全能力和水平。
根据当前的信息安全管理体系国家标准GB/T22080-2008(等同采用ISO/IEC27001:2005),信息安全保障工作从整体看应包括四个阶段:一是规划和建设阶段(Plan,简称“P阶段”);二是实施和运行阶段(Do,简称“D阶段”);三是监视和评审阶段(Check,简称“C阶段”);四是保持和改进(Act,简称“A阶段”)。这四个阶段按顺序循环往复,从而使信息安全得到持续改进。这种方法也被称为“PDCA循环”,如图1所示。
经过近十几年的努力,金融行业信息安全保障工作已经普遍走过了“P阶段”和“D阶段”,金融行业的信息安全需求已基本明确,满足信息安全需求的基础设施也基本具备。经过大范围的规划建设,各金融机构已经建立了相对完备的信息安全软硬件环境,初步形成了信息安全保障体系。尽管如此,作为关系国计民生的重要基础产业,金融行业对信息安全有着更高的要求,也面临着更大的信息安全风险挑战。近年来,金融行业频繁发生的信息安全事件表明,金融行业信息安全保障工作还存在很多缺陷和不足。导致这一局面的因素很多,其中一个重要的原因就是大家普遍重视信息安全的建设和运行,而忽视了信息安全工作的检查和改进。从整体上看,金融行业信息安全保障工作已经走过“P阶段”和“D阶段”,尚未进入“C阶段”和“A阶段”,还没有形成完整的基于“PDCA”过程方法的持续改进机制。接下来金融行业信息安全工作的重心应该转向检查和改进。信息安全审计是“C阶段”的主要手段。它利用传统财务审计和审计工作的规范与严谨,结合信息和保密技术的工具与手段,对金融机构信息安全工作的成效和不足给出客观、确定的审计结论,并根据审计结果,对金融机构的信息安全保障工作提出改进措施、给出合理化建议。
为了对商业银行信息科技整个生命周期内的信息安全、业务连续性管理和外包等主要方面提出高标准、高要求,满足商业银行信息科技风险管理的需要,银监会2009年了《商业银行信息科技风险管理指引》,其中第六十五条规定:“商业银行应根据业务性质、规模和复杂程度,信息科技应用情况,以及信息科技风险评估结果,决定信息科技内部审计范围和频率。但至少应每三年进行一次全面审计。”
二、国内外信息安全审计现状
(一)国外信息安全审计发展与现状
在建立信息安全审计制度,开展信息安全审计研究方面,美国走在了世界前列。早在计算机进入实用阶段时,美国就开始提出系统审计(SYSTEMAUDIT)概念。1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA),1994年该协会更名为信息系统审计与控制协会(ISACA),总部设在美国芝加哥。自1978年以来,由ISACA发起的注册信息系统审计师(CISA)认证计划已经成为涵盖信息系统审计、控制与安全等专业领域的被广泛认可的标准。目前该组织在世界上100多个国家设有160多个分会,现有会员两万多人。
1999年,美国国家审计署(GAO)《联邦信息系统控制审计手册》(第一版),为美国联邦政府实施信息安全审计提供基本准则和方法。2001年,GAO《联邦信息系统安全审计管理的计划指南》,用于为美国联邦政府实施信息安全审计提供具体指导;2009年,GAO《联邦信息系统控制审计手册》(第二版),该手册成为现阶段美国联邦政府实施信息安全审计的事实标准。
近年来,美国通过立法赋予信息安全审计新的意义,并对企业实施信息安全审计产生重大影响。2002年,美国安然公司和世通财务欺诈案爆发后,美国国会和政府紧急通过了《萨班斯——奥克斯利法案》(Sarbanes-OxleyAct,简称萨班斯法案)。萨班斯法案第302条款和第404条款明确要求“,通过内部控制加强公司治理,包括加强与财务报表相关的IT系统内部控制,而信息安全审计正是IT系统内部控制的核心。”2006年底生效的《巴塞尔新资本协议(》BaselII),要求全球银行必须针对其市场、信用及营运等三种金融作业风险提供相应水准的资金准备,迫使各银行必须做好风险控管,而这一“金融作业风险”的防范也正是需要业务信息安全审计为依托。
近一段时期,以美国、加拿大、澳大利亚为主的西方国家,针对不同的组织机构,以不同的信息安全审计方式,卓有成效地开展了包括信息系统计划与技术构架、信息安全保护与灾难恢复、软件系统开发、获得、实施及维护、商业流程评估及风险管理等方面的信息安全审计。
具体来说,针对各类企业的信息安全审计,采取了以内部审计为主,从关注安全向关注业务目标过渡,一般控制审计与应用控制审计相结合的方式;针对政府机构的信息安全审计,强调外部审计与政府内部审计结合,融入绩效预算管理体系,关注系统最终效果。
在亚洲,日本的信息安全审计始于20世纪80年代。1983年,通产省公开发表了《系统审计标准》,并在全国软件水平考试中增加了“系统审计师”一级的考试,着手培养从事信息系统审计的骨干队伍。近几年,东南亚各国也开始制定电子商务法规,成立专门机构开展信息系统审计业务,并制定技术标准。
(二)我国信息安全审计发展与现状
近年来,我国的信息安全审计日益受到重视,审计署以及一些大型国有银行也相继开展了信息安全方面的审计工作。信息系统审计规范的研究和制定方面,我国已建成了一套比较成熟规范的法规、准则体系,但在信息系统及信息安全审计方面,虽有《内部审计具体准则第28号——信息系统审计》(中国内部审计协会2008年)以及审计署对信息系统审计相关法规、准则的规划及研究,但尚未形成系统的法规、准则和技术标准体系。
三、金融行业信息安全审计组织与实施
金融行业的信息安全审计(InformationSecurityAudit),是指金融机构为了掌握其信息安全保障工作的有效性,根据事先确定的审计依据,在规定的审计范围内,通过文件审核、记录检查、技术测试、现场访谈等活动,获得审计证据,并对其进行客观的评价,以确定被审计对象满足审计依据的程度所进行的系统的、独立的并形成文件的过程。金融机构可以单独实施信息安全审计,也可以将信息安全审计作为其他相关工作的一部分内容联合实施。如IT审计、信息安全等级保护建设、信息安全风险评估、信息安全管理体系建设等。审计的工作流程和内容大致包括六个方面的活动(如图2所示)。
1.确定审计目的和范围。金融机构实施信息安全审计,首先要明确审计目的,确定审计范围。审计目的是信息安全审计工作的出发点。审计目的可以从满足监管部门的要求、满足信息安全国际国内标准的要求、满足机构自身信息安全工作要求等合规性方面考虑。明确了审计目的,然后要确定审计范围。审计范围是影响审计工作量的一个重要因素。确定审计范围,可以从组织机构考虑,如仅对个别部门实施审计,或者在组织全部范围实施审计;也可以从业务和系统角度考虑,如仅对核心系统实施审计,或者仅对信贷业务实施审计等。
2.明确审计依据。审计依据就像一把“尺子”,审计人员用它来衡量信息安全工作的“长短”。审计目的不同,审计依据就可能不同,如表1中所示。
3.组建审计组。审计组是具体实施信息安全审计工作的基本组织单位,应由审计组长和审计员组成。管理良好的审计组是信息安全审计工作顺利实施并达成审计目的的保障。审计组长应由金融机构内部审计部门的管理者任命。负责编制审计方案和审计计划,选择审计员,管理审计小组,与被审计对象沟通等。审计组长应具备较强的项目管理能力,熟悉被审计对象的业务和系统,了解被审计对象面临的信息安全风险和常用的风险控制措施。审计员应选择责任心强、公正、独立、熟悉业务的人员担任,避免审计员与被审计对象存在利害关系,以免影响审计结果的公正性。正式实施信息安全审计前,应对审计组成员进行培训。
4.实施现场审计。审计准备工作就绪后,则可以实施现场审计。现场审计是一项复杂的系统工程,具有较强的不确定性。因此,现场审计应根据事先编制的审计方案和审计计划执行,审计过程中还要做好变更控制。现场审计往往由首次会议开始,至末次会议结束。在首次会议上,审计组长应向被审计单位阐明此次审计的目的、范围、依据和审计计划,并提出需要被审计单位配合的事项。末次会议上,审计组长向被审计单位说明审计发现,报告审计初步结果,并与被审计单位就初步审计结果达成一致。现场审计方法通常包括:现场访谈、审阅文件、查看记录、系统检查和测试等。在系统检查和测试过程中,可能需要相关的审计工具,如系统漏洞扫描器、数据库安全审计系统、桌面终端配置检查工具、网络安全检查工具、恶意软件扫描器等。现场审计过程中,应做好文档化工作。对所发现的审计证据应进行详细记录,并与被审计单位人员进行现场确认。现场审计应注意方式方法,就意见不一致的问题先做好记录,避免现场与被审计单位人员发生争执。
