前言:中文期刊网精心挑选了网络安全等级保护测评方法范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全等级保护测评方法范文1
关键词: 云计算; 云安全; 信息安全; 等级保护测评; 局限性
中图分类号:TP309 文献标志码:A 文章编号:1006-8228(2016)11-35-03
Discussion on the testing and evaluating of cloud computing security level protection
Liu Xiaoli, Shen Xiaohui
(Zhejiang Provincial Testing Institute of Electronic & Information Products, Hangzhou, Zhejiang 310007, China)
Abstract: Cloud computing has recently attracted extensive attention since Internet has accessed Web 2.0 with more freedom and flexibility. However, the cloud security has become the biggest challenge for cloud promotion. Combined with the problems of the actual testing and evaluation in cloud computing security, the limitations of the application of the current information security level protection evaluation standard to the cloud environment are analyzed, and the contents that cloud security should focus on are proposed.
Key words: cloud computing; cloud security; information security; testing and evaluation of security level protection; limitations
0 引言
近年来,随着网络进入更加自由和灵活的Web2.0时代,云计算的概念风起云涌。美国国家标准与技术研究院(NIST)定义云计算是一种按使用量付费的模式,这种模式提供可用的、便捷的、按需的网络访问,进入可配置的计算资源共享池(资源包括网络,服务器,存储,应用软件,服务),这些资源能够被快速提供,只需投入很少的管理工作,或与服务供应商进行很少的交互。云计算因其节约成本、维护方便、配置灵活已经成为各国政府优先推进发展的一项服务。美、英、澳大利亚等国家纷纷出台了相关发展政策,有计划地促进政府部门信息系统向云计算平台迁移。但是也应该看到,政府部门采用云计算服务也给其敏感数据和重要业务的安全带来了挑战。美国作为云计算服务应用的倡导者,一方面推出“云优先战略”,要求大量联邦政府信息系统迁移到“云端”,另一方面为确保安全,要求为联邦政府提供的云计算服务必须通过安全审查[1]。我国也先后出台了一系列云计算服务安全的国家标准,如GB/T 31167-2014《信息安全技术云计算服务安全指南》、GB/T 31168-2014 《信息安全技术 云计算服务安全能力要求》等。本文关注的是云计算安全,包括云计算应用系统安全、云计算应用服务安全、云计算用户信息安全等[2]。
当前,等级保护测评的依据主要有GB/T 22239-
2008《信息安全技术 信息系统安全等级保护基本要求》、GB/T 28448-2012《信息安全技术 信息系统安全等级保护测评要求》和GB/T 28449-2012《信息安全技术 信息系统安全等级保护测评过程指南》等。然而,这些标准应用于传统计算模式下的信息系统安全测评具有普适性,对于采用云计算服务模式下的信息系统却有一定的局限性。
本文结合实际云计算服务安全测评中的问题,首先讨论现行信息安全等级保护测评标准应用到云环境的一些局限性,其次对于云计算安全特别需要关注的测评项进行分析。
1 云计算安全
正如一件新鲜事物在带给我们好处的同时,也会带来问题一样,云计算的推广也遇到了诸多困难,其中安全问题已成为阻碍云计算推广的最大障碍。
云计算安全面临着七大风险,主要包括客户对数据和业务系统的控制能力减弱、客户与云服务商之间的责任难以界定、可能产生司法管辖权问题、数据所有权保障面临风险、数据保护更加困难、数据残留和容易产生对云服务商的过度依赖等。文献[3]提出了云计算安全测评框架,与传统信息系统安全测评相比,云计算安全测评应重点关注虚拟化安全、数据安全和应用安全等层面。
虚拟化作为云计算最重要的技术,其安全性直接关系到云环境的安全。虚拟化安全涉及虚拟化软件安全和虚拟化服务器安全,其中虚拟化服务器安全包括虚拟化服务器隔离、虚拟化服务器监控、虚拟化服务器迁移等。云计算的虚拟化安全问题主要集中在VM Hopping(一台虚拟机可能监控另一台虚拟机甚至会接入到宿主机)、VM Escape(VM Escape攻击获得Hypervisor的访问权限,从而对其他虚拟机进行攻击)/远程管理缺陷(Hypervisor通常由管理平台来为管理员管理虚拟机,而这些控制台可能会引起一些新的缺陷)、迁移攻击(可以将虚拟机从一台主机移动到另一台,也可以通过网络或USB复制虚拟机)等[4]。
数据实际存储位置往往不受客户控制,且数据存放在云平台上,数据的所有权难以界定,多租户共享计算资源,可能导致客户数据被授权访问、篡改等。另外当客户退出云服务时,客户数据是否被完全删除等是云计算模式下数据安全面临的主要问题。
在云计算中对于应用安全,特别需要注意的是Web应用的安全。云计算应用安全主要包括云用户身份管理、云访问控制、云安全审计、云安全加密、抗抵赖、软件代码安全等[3]。
2 云计算下等级保护测评的局限性
信息系统安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。开展信息系统安全等级保护工作不仅是加强国家信息安全保障工作的重要内容,也是一项事关国家安全、社会稳定的政治任务。信息系统安全等级保护测评工作是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。与之对应的是涉及国家秘密的信息系统安全测评,就是通常所说的分级保护测评。
信息系统安全等级保护的基本要求包括技术要求和管理要求两大类。其中技术要求包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等五个层面;管理要求包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个层面。
传统的安全已不足以保护现代云计算工作负载。换言之,将现行的等级保护相关标准生搬硬套到云计算模式存在局限性,具体体现在以下方面。
⑴ 物理安全
传统模式的信息系统数据中心或者在本单位,或者托管在第三方机构,用户可以掌握自身数据和副本存储在设备和数据中心的具置。然而,由于云服务商的数据中心可能分布在不同的地区,甚至不同的国家,GB/T 31167-2014明确了存储、处理客户数据的数据中心和云计算基础设施不得设在境外。
⑵ 网络安全
网络安全主要包括结构安全、边界防护、访问控制、入侵防范、恶意代码防范、安全审计、网络设备防护等测评项。网络边界是网络信息安全的第一道防线,因此在网络边界采取安全防护措施就显得尤为重要。但在云计算模式下,多个系统同时运行在同一个物理机上,突破了传统的网络边界。由此可见,网络边界的界定、安全域的划分成为了云计算模式下网络边界安全面临的新挑战[5]。
⑶ 主机安全
主机安全主要包括身份鉴别、访问控制、安全审计等测评项。但在云计算模式下,虚拟化技术能够实现在一台物理机上运行多台虚拟机。尽管虚拟机之间具有良好的隔离性,但在云计算平台,尤其是私有云和社区云中,虚拟机之间通常需要进行交互和通信,正是这种交互为攻击和恶意软件的传播提供了可能。因此,虚拟机之间的安全隔离、用户权限划分、数据残留、跨虚拟机的非授权访问是云计算环境下虚拟机安全需要重点关注的内容。
⑷ 应用安全
应用系统作为承载数据的主要载体,其安全性直接关系到信息系统的整体安全,因此对整个系统的安全保密性至关重要。然而,当前绝大多数单位的应用系统在设计开发过程中,仅仅考虑到应用需求、系统的性能及技术路线的选择等问题,缺少了应用系统自身的安全性。客户的应用托管在云计算平台,面临着安全与隐私双重风险,主要包括多租户环境下来自云计算服务商和其他用户的未授权访问、隐私保护、内容安全管理、用户认证和身份管理问题[6]。
⑸ 数据安全及备份恢复
在云计算模式下,客户的数据和业务迁移至云服务商的云平台中,数据的处理、存储均在“云端”完成,用户一端只具有较少的计算处理能力,数据的安全性依赖于云平台的安全。如何确保数据远程传输安全、数据集中存储安全以及多租户之间的数据隔离是云计算环境下迫切需要解决的问题。
3 云安全之等级保护测评
参照等级保护测评的要求,结合上述分析,云安全之等级保护测评应重点关注以下方面。
⑴ 数据中心物理与环境安全:用于业务运行和数据处理及存储的物理设备是否位于中国境内,从而避免产生司法管辖权的问题。
⑵ 虚拟网络安全边界访问控制:是否在虚拟网络边界部署访问控制设备,设置有效的访问控制规则,从而控制虚机间的互访。
⑶ 远程访问监控:是否能实时监视云服务远程连接,并在发现未授权访问时,及时采取恰当的防护措施。
⑷ 网络边界安全:是否采取了网络边界安全防护措施,如在整个云计算网络的边界部署安全防护设备等。
⑸ 虚拟机安全:虚拟机之间的是否安全隔离,当租户退出云服务时是否有数据残留,是否存在跨虚拟机的非授权访问等。
⑹ 接口安全:是否采取有效措施确保云计算服务对外接口的安全性。
⑺ 数据安全:多租户间的数据是否安全隔离,远程传输时是否有措施确保数据的完整性和保密性,租户业务或数据进行迁移时是否具有可移植性和互操作性。
4 结束语
云计算因其高效化、集约化和节约化的特点,受到越来越多党政机关、企事业单位的青睐,与此同时云计算带来的风险也是不容忽视的。本文结合云计算的特点分析了云计算模式下现行等级保护测评标准的一些局限性,并提出了云计算下等级保护测评需要特别关注的测评项,对云服务商、租户和测评机构提供借鉴。值得注意的是,租户在进行云迁移之前,首先应确定自身迁移业务的等级,其次是租用的云计算平台等级不能低于业务系统的等级。
参考文献(References):
[1] 尹丽波.美国云计算服务安全审查值得借鉴.中国日报网.
[2] 陈军,薄明霞,王渭清.云安全研究进展及技术解决方案发展
趋势[J].技术广角,2011:50-54
[3] 潘小明,张向阳,沈锡镛,严丹.云计算信息安全测评框架研究[J].
计算机时代,2013.10:22-25
[4] 房晶,吴昊,白松林.云计算的虚拟化安全问题[J].电信科学,
2012.28(4):135-140
[5] 陈文捷,蔡立志.云环境中网络边界安全的等级保护研究[C].
第二届全国信息安全等级保护技术大会会议论文集,2013.
网络安全等级保护测评方法范文2
【 关键词 】 信息安全等级保护;等级测评;物联网;云计算
Research of Effect of Internet of Things and Cloud Computing to Classified Evaluation
Zhao Liang
(Sinopec Shandong Dongying Oil Company ShandongJinan 257000)
【 Abstract 】 Classified Protection of Information Security is the basic system and strategy of national information security work. And Classified Evaluation is an important method of testing and evaluating the level of Information Security Protection. The appearance of new technologies, such as cloud computing, Internet of Things, tri-networks integration, brings new challenge to the Classified Evaluation technology. This paper introduced the influences upon Classified Evaluation from new technology development, represented by cloud computing and Internet of Things, in order to promote the development of test method research, and provide theoretical basis to further research.
【 Keywords 】 classified protection of information security; multilevel security database; cloud computing; internet of things
1 引言
社会信息化技术和国民经济的飞速发展,使得信息系统与网络的基础性与全面性作用逐渐增强,而由此带来的信息安全问题也变得突出,并逐渐成为关系国家安全的重大战略问题。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度,而等级测评作为检验和评价信息系统安全保护水平的重要方法,是信息安全等级保护实施过程中的重要环节。近几年,越来越多的研究者致力于等级测评技术、方法和工具的研究与开发,并取得了一定的成果。但越来越多网络新技术的出现,在开拓等级保护与等级测评应用领域的同时,也对传统等级测评技术带来了一定的挑战。本文分别介绍了物联网和云计算两种新的技术应用,并探讨了其对等级测评技术产生的影响,旨在推动等级测评技术的发展,为其深入研究提供理论参考。
2 安全等级保护与等级测评
信息安全等级保护是指根据应用业务重要程度及其实际安全需求,通过制定统一的信息安全等级保护管理规范和技术标准,对信息安全实行等级化保护和等级化管理,以保障信息安全和系统安全正常运行,维护国家利益、公共利益和社会稳定。等级保护是帮助用户分析、评定信息系统的等级,在后期的工作中根据不同的等级进行不同级别的安全防护,
在我国的信息安全等级保护制度中,等级保护工作主要分为五个环节:定级、备案、建设整改、等级测评和监督检查。
等级测评是指第三方等级测评机构根据等级保护的管理规范和技术标准要求,针对已经实施了安全等级保护的信息系统进行的符合性测评活动,以确保信息系统的安全性保护措施符合对应等级的基本安全要求,是信息安全等级保护工作的重要环节,既可以在信息系统安全建设完成后进行,也可以在信息系统的运行维护过程中进行。《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》作为等级测评的基础性标准,目前主要基于其进行符合性判定。
3 物联网技术与等级测评
3.1 物联网技术简介
物联网(Internet of Things, IOT),顾名思义,就是“物物相连的网络”,是指通过各种信息传感设备(如传感器、射频识别技术、全球定位系统、红外感应器、激光扫描器等各种装置与技术),实时采集任何需要监控、连接、互动的物体或过程,采集其声、光、热、电、力学、化学等各种需要的信息,与互联网结合形成的一个巨大网络。物联网作为新一代信息技术的重要组成部分,其目的是实现物与物、物与人,所有的物品与网络的连接,方便识别、管理和控制。
物联网被称为继计算机、互联网之后,世界信息产业的第三次浪潮。业内专家认为,物联网不仅可以大大提高经济效益,有效节约成本,还可以为全球经济的复苏提供技术动力支持。目前,美国、欧盟、韩国等都在加大力度深入研究物联网。我国也正在高度关注、重视物联网的研究,工业和信息化部会同有关部门,在新一代信息技术方面正在开展研究,以形成支持新一代信息技术发展的政策措施。
与传统的互联网相比,物联网有其明显的特征:(1)它是各种感知技术的广泛应用;(2)以互联网为基础;(3)其本身具有智能处理的能力,能对物体实施智能控制。物联网用途广泛,主要应用领域有智能家居、智能医疗、智能环保、智能交通、智能农业。
3.2 物联网对等级测评技术的影响
物联网技术的推广和应用,一方面将显著提高经济和社会运行效率,另一方面也对国家、社会、企业、公民的信息安全和隐私保护问题提出了严峻的挑战,其开放性的特点与信息安全理念背道而驰,对信息安全等级测评的工作方法及测评范围产生了较大的影响。主要体现在几个方面。
(1) 信号易扰:虽然物联网能够智能化的处理一些突发事件,不需要人为干涉,但传感设备都是安装在物品上的,且其信号很容易收到干扰,因此很可能导致物品的损失。此外,如果国家某些重要机构如金融机构依赖物联网,也存在信号扰导致重要信息丢失的隐患。这样如何评估物联网技术的安全性及稳定性成为等级测评中的难题。
(2) 针对性入侵技术:物联网与互联网的关系,使得互联网上的安全隐患同样也会对物联网造成危害。物联网上传播的黑客、病毒和恶意软件等进行的恶意操作会侵害物品,进一步侵犯用户的隐私权。尤其是对一些敏感物品如银行卡、身份证等物品的恶意掌控,将造成不堪设想的后果。因此,在对物联网进行安全保护以及等级测评过程中,不仅要考虑到物联网无线网络的防恶意入侵能力,更要考虑互联网传统的入侵技术。
(3) 通讯安全:物联网与3G手机的结合,在很大程度上方便了人们的生活。然而,移动通讯设备本身存在的安全问题也会对物联网造成影响。移动通信设备存在许多安全漏洞,黑客很有可能通过移动设备的漏洞窃取物联网内部的各种信息,从而带来安全隐患。而且移动设备的便携性也使得其很容易丢失,若被不法分子获得,则很容易造成用户敏感信息的泄露。因此,在对物联网进行等级测评的过程中,还要考虑到通信终端及通信过程的保密性。
总之,在考虑物联网的等级保护与等级测评过程中,要以构建物联网安全体系框架为目标,在充分理解物联网的结构、技术和应用模式的基础上,深入分析物联网设备、网络、信息和管理等各层面面临的安全威胁和风险,梳理物联网安全的主要问题,明确物联网安全需求(“物”的真实性、“联”的完整性、“网”的健壮性),并针对各项安全需求,研究保障物联网安全的关键技术(低能耗密码算法设计技术、海量信息标识技术、物联网设备管理技术、物联网密钥管理技术、动态安全策略控制技术、物联网安全等级保护技术、传感设备物理安全防护技术),提出物联网安全目标以及技术体系、承载装备体系、标准规范体系和管理体系框架,给出物联网安全体系顶层设计思路、建设任务和应对措施,为全面建设物联网安全体系奠定必要的基础。
4 计算与等级测评
4.1 云计算技术简介
作为一种新兴的共享基础架构的网络应用模式,云计算(Cloud Computing)越来越受到研究者的关注。云计算的概念最早由IBM提出,是传统计算机技术和网络技术发展融合的产物,旨在通过网络把多个成本相对较低的计算机实体整合成一个具有强大计算能力的系统,并借助各种商业模式把强大的计算能力分布给终端用户。其核心思想是使用大规模的数据中心和功能强劲的服务器运行网络应用程序、提供网络服务,使得任何一个用户都能轻松访问应用程序。这种特殊的应用模式,使得云计算具有大规模、服务虚拟化、通用性、高可靠性、高扩展性等特点。
云计算作为一种新的概念和应用模式,研究尚未成熟,还存在若干制约其发展的问题,包括服务的可靠性、标准化问题、安全性问题、数据传输瓶颈以及信誉和法律危机。其中云安全问题是目前发展云计算首要解决的问题之一。
4.2 云计算对等级测评技术的影响
云计算平台在为用户提供服务的同时,仍不可避免的面临严峻的安全考验。由于其用户、信息资源的高度集中,带来的安全事件后果与风险较传统应用高出很多。据IDC在2009年底的一项调查报告显示,当前云计算面临的三大市场挑战分别为安全性、稳定性和性能表现。由此可见,解决云计算的安全问题尤为迫切。云计算面临的安全问题及其对等级保护和等级测评造成的影响主要有几个方面。
(1) 身份与权限控制:大数用户对于云计算缺乏信心,其中一个很大原因是对于云模式下的使用和管理权限有顾虑。在复杂、虚拟的环境下,如何有效保证数据与应用依然清晰可控,这既是用户的问题,也是云服务提供商的问题。因此,身份与权限控制解决方案成为云安全的核心问题之一,同样的,传统等级测评中针对身份认证和权限控制的相关技术与方法也不适用于这种虚拟、复杂的应用环境,需要开发专用的测试技术;
(3)计算层并行计算的干扰:计算层的主要功能是为整个云计算提供高效、灵活、高强度的计算服务,但也面临一定的问题,主要有计算性能的不可靠性,即资源竞争造成的性能干扰,云计算主要采用并行计算间性能隔离机制来解决此问题。因此在等级测评中,需要开发新的测试技术和方法来评估并行计算间的干扰问题。
云计算给我们带来创新和变革的同时,对安全问题与等级测评技术也提出了更高的要求。在云计算环境下,无论是使用云服务的用户,还是云服务提供商,安全问题都是第一大问题。研究适用于云计算应用的等级测评技术,将极大的推动云计算领域的发展。
5 结束语
随着各行各业对信息安全等级保护工作的关注和重视,等级保护和等级测评工作已逐渐成为制度化、规范化的研究课题。许多新技术如云计算、物联网、三网融合等的推广应用在带来机遇的同时,也给等级保护乃至整个信息安全带来了新的挑战。本文分别介绍了物联网和云计算两种新的技术应用,并探讨了其对等级测评技术产生的影响,旨在推动等级测评技术的发展,为其深入研究提供理论参考。
参考文献
[1] 公通字[2004]66号 关于信息安全等级保护工作的实施意见.
[2] GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求.
[3] 杨磊,郭志博. 信息安全等级保护的等级测评. 中国人民公安大学学报(自然科学版),No. 1 2007.
[4] 刘忠宝. 物联网技术应用与研究. 信息与电脑,2010年第10期.
[5] 郝文江,武捷. 物联网技术安全问题探析. 实践探究,2010.
[6] 王斐. 浅谈信息化的新浪潮――云计算. 科技创新导报,2010 No.30
[7] Jon Brodkin. Gartner: Seven cloud-computing Security risks[EB/OL]. 2008,07.http:///d/.
[8] 陈丹伟,黄秀丽,任勋益. 云计算及安全分析. 计算机技术与发展,2010 第2期.
[9] 任伟.物联网安全架构与技术路线研究.信息网络安全,2012.5.
网络安全等级保护测评方法范文3
随着医疗行业的信息化发展水平的逐步发展,信息系统的安全风险越明显,本文就天津市医院核心业务信息系统等级保护建设工作的管理体系建设提供一些基本的思路、方法和步骤。
关键词:
医院;安全等级;管理体系建设
一、引言
根据上级部门三级甲等要求,为了促进和规范天津市医院信息化建设我院于2014年启动了围绕医院核心业务系统:门诊信息系统、住院信息系统、HIS信息系统,深入开展信息安全等级和统计管理系统,为后续各兄弟医院等级保护建设工作提供一些基本建设和方法。
二、医院信息化建设存在的安全现状分析
大型综合性医院信息系统的安全保障体系建设是一个极为复杂的工程,医院的信息系统应用众多,结构复杂,覆盖广泛,涉及的部门和人员众多,医院信息系统的角色越来越重要。信息系统任何风险都有可能带来巨大的损失。医院信息系统故障,会造成门诊大量排队,业务科室投诉,临床业务停顿,每次引发的问题都给医院管理人员造成巨大压力,社会舆论和声音受到严重影响,不同程度也给医院造成了较大经济损失。医院信息系统面临极大的安全风险。具体有以下几点:
(一)物理环境安全风险
医院的物理安全具备环境安全、设备安全及介质安全等物理支撑环境,保护网络设备、设施、介质和信息免受大自然,环境事故以及误操作导致的破坏和丢失。
(二)网络安全风险
医院的临床、财务系统和物流已经全部纳入IT系统,业务网中各业务应用是其信息系统的核心,同时也需要与外部发生业务联系。因此业务应用面临的任何风险,都会产生严重后果。
(三)管理层安全风险
对医院信息系统的管理尤为重要,责任不明,管理混乱,安全管理制度不健全等都有可能引起管理安全风险。
三、信息安全管理体系建立的作用
信息安全管理体系必须满足等级保护标准,同时也要满足政策的要求,还要贯彻执行,不断进步。一个健全的、正常运行的医疗信息安全管理体系的主要作用体现在以下方面;(1)能够有效增强行政和技术上的安全管理,将解决网络设计缺陷,威胁网络安全的问题,制定出信息系统规范和安全标准。(2)信息安全管理体系的建设,更加重视和执行对安全知识、法规、标准的宣传和培训,考核实现了信息安全的动态管理过程。(3)全方位的保护医院的核心业务系统,在核心数据和信息受到袭击时,要确保各项工作正常开展,并尽量把损失降到最低。(4)满足医疗行业和监督机构要求,保护国家或区域医疗信息安全,维护社会医疗秩序稳定。
四、安全保管体系建设的主要思路
我院从安全管理机构、安全管理制度、系统建设管理、系统运维管理及人员安全管理等五个方面着手开展安全等级保护建设。
(一)安全管理机构的设立
组建安全管理领导团队,由院领导和各科室骨干出任第一责任人,把具体的办公地点设定在信息所。
(二)安全管理制度
根据《公安信息安全等级保护基本要求》,制定《网络安全息安全管理制度》,等9个信息安全管理制度,定期进行内部检查和管理评定,不断优化和持续改进。我院在实施安全等管理体系建设工作中,采取分级、分类、分阶段的策略,根据我院各系统的不同特点,采取不同的安全等级。
(三)系统运维管理
根据最高等级的保护要求,制定多种信息安全方法:一是机房定时巡查,二是增加视频监控,减少视频盲区,三是建立智能监控系统,对全院网络运维情况监控,减低网络故障。
(四)人员安全管理
我院坚持在风险评估的基础上,采取适当和管用、足够的措施来加强信息安全,大大降低系统故障。
五、安全等保的实施过程
实现等级保护,应该采取分级,分类,分阶段的策略坚持分级实施保护,加强安全,突出关注重点,要害部位,根据信息化发展阶段的不平衡,须根据信息资产的规模大小,依赖程度的深浅,按阶段分步骤逐步实现等级保护的各项要求。(1)信息安全管理体系第一阶段主要是做好建立信息安全管理系统的前期工作及安全管理人力资源配置。(2)信息安全工作团队结合等级保护的基本要求,对HIS,LIS,RACS等核心业务信息系统进行处理,对在传输和存储的过程中,信息的机密性,完整性等重要特性进行调研和评价,结合等级保护基本要求差距项汇总,分析差距项目涉及的安全事件一旦发生对医院信息系统造成的影响。(3)制定安全管理策略、安全管理制度和信息安全管理体系等各方位保护措施,计划和建成符合三级等保系统基本要求的信息安全管理框架。(4)落实安全管理制度,根据安全管理体系的具体要求,进行全面的信息安全牢固与整改工作,充分发挥安全体系的各项功能。(5)自查和调整。深入分析问题,找出问题根源,查出不完善的过程记录文件并进行完善,调整不合理管理流程,进一步完善信息安全管理体系。
六、结束语
至2014年初,在我院领导的直接关心和指导下,通过各部门通力合作使信息安全通过了等级保护测评的三甲医院,为地区三甲医院信息安全等级保护建设工作开启良好的开端,展现了我院信息化建设的先进成果。
作者:杨静 单位:天津市中心妇产科医院行政楼
参考文献:
[1]王升宝.信息安全等级保护体系研究及应用[J].通信技术,2009
网络安全等级保护测评方法范文4
对于进一步提高信息安全的保障能力和防护水平来说,实行信息安全等级保护无疑是一种好的方法,因为它能充分调动国家、法人和其他组织及公民的积极性,增强安全保护的整体性、针对性和实效性,使信息系统安全建设重点更加突出、规范,更加统一。
但是,电子政务重在政务,由于政务部门的职能不同,信息系统的结构、功能和安全要求也不尽相同,信息安全等级保护工作的侧重点也不同。然而从总体上来说,都需要做好以下几点:
落实好“四个把握”
把握等级保护的建设进程。按照等级保护程序规定,做好定级、备案、整改、评测与监管工作。
把握等级划分的合理性和准确性。要认真分析电子政务系统在国家安全、经济建设、社会生活中的重要性程度,即电子政务系统遭受破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素,合理准确地确定系统安全等级。具体来说,安全等级的确定要根据信息系统的综合价值和综合能力保证的要求不同以及安全性被破坏造成的损失大小,综合考虑信息系统的经济价值、社会价值以及信息服务的服务范围和连续性。
把握好不同等级的基本安全要求。基本要求是针对不同安全保护等级信息系统,应该具有的基本安全保护能力提出的安全要求。例如:第三级信息系统要具有抵御来自外部组织的恶意攻击能力和防内部人员攻击能力,不仅要对安全事件有审计记录,还要能追踪与响应处理,要实现多重保护制度。
把握好基本技术要求和基本管理要求。基本技术要求包括物理安全、网络安全、主机安全、应用安全与数据安全等方面。基本管理要求是通过控制信息系统中各种角色参与的活动,包括安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理等方面,从政策、制度、规范、流程以及记录等方面做出规定。对于电子政务系统要特别关注基础设施监控与管理、网络安全监控与管理、业务应用系统的监控与管理、应急响应与备份恢复管理。
引入风险评估机制
信息安全等级保护必须树立风险管理的思想,而风险评估是风险管理的基础,因此,三级以上电子政务系统必须定期进行信息安全风险评估。风险评估贯穿于等级保护周期的系统定级、安全实施和安全运维三个阶段:
系统定级。由于不同的电子政务系统具有自身的行业和业务特点,且所受到的安全威胁均有所不同。因此,可以依据信息安全风险评估国家标准对所评估资产的重要性、客观威胁发生的频率、系统自身脆弱性的严重程度进行识别和关联分析,判断信息系统应采取什么强度的安全措施,然后将安全事件一旦发生后可能造成的影响控制在可接受的范围内。即将风险评估的结果作为确定信息系统安全措施的保护级别的一个参考依据。
安全实施。安全实施是根据信息安全等级保护国家标准的要求,从管理与技术两个方面选择不同强度的安全措施,来确保建设的安全措施满足相应的等级要求。风险评估在安全实施阶段就可以直接发挥作用,那就是对现有电子政务系统进行评估和加固,然后再进行安全设备部署等。在安全实施过程中也会发生安全事件并可能带来长期的安全隐患,如安全集成过程中设置的超级用户和口令没有完全移交给用户、防火墙部署后长时间保持透明策略等都会带来严重的问题,风险评估能够及早发现并解决这些问题。
安全运维。安全运维是指按照系统等级进行安全实施后开展运行维护的安全工作。安全运维包括两方面:一是维护现有安全措施等级的有效性。二是根据客观情况的变化以及系统内部建设的实际需要,对等级进行定期调整,以防止过度保护或保护不足。在安全运维的过程中,通过信息安全风险评估工作可以对已有信息系统的安全等级保护情况进行评估,依据已确定等级的相关保护要求,对系统的保护效果、潜在风险进行评价,评估是否达到等级保护的要求;当信息系统或外部环境发生变更时,可以通过风险评估工作了解和确定风险的变更,为再次定级和等级保护措施的调整提供依据。
建立有效的信息安全管理组织
信息安全管理组织是建立信息安全保障体系,做好信息安全等级保护工作的必要条件。当前很多政务部门的信息安全工作均有信息化部门兼任,没有足够的权威性。等级保护工作的开展,要求在组织内部建立信息系统安全方面的最高权力组织,并有明确的安全目标,目的是在管理层的承诺和拥有足够资源的情况下开展信息安全工作。因此,建立有效的信息安全管理组织必须明确以下内容:
要遵循分权制衡原则。制度的建立、制度的执行、执行情况的检查与监督要分开考虑。在目前的等级保护测评工作中,时常发现有系统管理员、网络管理员、安全员与审计员兼任的情况,甚至一人包揽所有的信息系统运维工作。但从等级保护的基本要求来看,依据分权制衡的原则,建议在电子政务系统中,系统管理员与审计员不得兼任,审计员不能从事所有日常信息的维护与管理工作,系统管理员不能从事审计日志的查看与处理工作。
要坚持从上而下的垂直管理原则。上一级机关信息系统的安全管理组织指导下一级机关信息系统的安全管理组织的工作,下一级机关信息系统的安全管理组织接受并执行上一级机关信息系统的安全管理组织的安全策略。
应常设信息系统安全管理组织办公机构,负责信息安全的日常事务工作。信息系统安全管理组织应由系统管理、系统分析、软硬件维护、安全保卫、系统稽核、人事与通信等有关方面的人员组成。
信息安全管理组织部门不能隶属于技术部门或运行部门,各级信息系统的安全组织不能隶属于同级信息系统管理和业务机构。信息安全管理组织部门只有不隶属于技术或运维部门,才能站在较高的层次上制定信息安全的整体框架与策略、有效的处理安全事件,启动应急预案。
网络安全等级保护测评方法范文5
关键词:证券行业信息安全网络安全体系
近年来,我国资本市场发展迅速,市场规模不断扩大,社会影响力不断增强.成为国民经济巾的重要组成部分,也成为老百姓重要的投资理财渠道。资本市场的稳定健康发展,关系着亿万投资者的切身利益,关系着社会稳定和国家金融安全的大局。证券行业作为金融服务业,高度依赖信息技术,而信息安全是维护资本市场稳定的前提和基础。没有信息安全就没有资本市场的稳定。
目前.国内外网络信息安全问题日益突出。从资本市场看,近年来,随着市场快速发展,改革创新深入推进,市场交易模式日趋集巾化,业务处理逻辑日益复杂化,网络安全事件、公共安全事件以及水灾冰灾、震灾等自然灾害都对行业信息系统的连续、稳定运行带来新的挑战。资本市场交易实时性和整体性强,交易时问内一刻也不能中断。加强信息安全应急丁作,积极采取预防、预警措施,快速、稳妥地处置信息安全事件,尽力减少事故损失,全力维护交易正常,对于资本市场来说至关重要。
1证券行业倍息安全现状和存在的问题
1.1行业信息安全法规和标准体系方面
健全的信息安全法律法规和标准体系是确保证券行业信息安全的基础。是信息安全的第一道防线。为促进证券市场的平稳运行,中国证监会自1998年先后了一系列信息安全法规和技术标准。其中包括2个信息技术管理规范、2个信息安全等级保护通知、1个信息安全保障办法、1个信息通报方法和10个行业技术标准。行业信息安全法规和标准体系的初步形成,推动了行业信息化建设和信息安全工作向规范化、标准化迈进。
虽然我国涉及信息安全的规范性文件众多,但在现行的法律法规中。立法主体较多,法律法规体系庞杂而缺乏统筹规划。面对新形势下信息安全保障工作的发展需要,行业信息安全工作在政策法规和标准体系方面的问题也逐渐显现。一是法规和标准建设滞后,缺乏总体规划;二是规范和标准互通性和协调性不强,部分规范和标准的可执行性差;三是部分规范和标准已不适应,无法应对某些新型信息安全的威胁;四是部分信息安全规范和标准在行业内难以得到落实。
1.2组织体系与信息安全保障管理模型方面
任何安全管理措施或技术手段都离不开人员的组织和实施,组织体系是信息安全保障工作的核心。目前,证券行业采用“统一组织、分工有序”的信息安全工作体系,分为决策层、管理层、执行层。
为加强证券期货业信息安全保障工作的组织协调,建立健全信息安全管理制度和运行机制,切实提高行业信息安全保障工作水平,根据证监会颁布的《证券期货业信息安全保障管理暂行办法》,参照ISO/IEC27001:2005,提出证券期货业信息安全保障管理体系框架。该体系框架采用立方体架构.顶面是信息安全保障的7个目标(机密性、完整性、可用性、真实性、可审计性、抗抵赖性、可靠性),正面是行业组织结构.侧面是各个机构为实现信息安全保障目标所采取的措施和方式。
1.3IT治理方面
整个证券业处于高度信息化的背景下,IT治理已直接影响到行业各公司实现战略目标的可能性,良好的IT治理有助于增强公司灵活性和创新能力,规避IT风险。通过建立IT治理机制,可以帮助最高管理层发现信息技术本身的问题。帮助管理者处理IT问题,自我评估IT管理效果.可以加强对信息化项目的有效管理,保证信息化项目建设的质量和应用效果,使有限的投入取得更大的绩效。
2003年lT治理理念引入到我国证券行业,当前我国证券业企业的IT治理存在的问题:一是IT资源在公司的战略资产中的地位受到高层重视,但具体情况不清楚;二是IT治理缺乏明确的概念描述和参数指标;是lT治理的责任与职能不清晰。
1.4网络安全和数据安全方面
随着互联网的普及以及网上交易系统功能的不断丰富、完善和使用的便利性,网上交易正逐渐成为证券投资者交易的主流模式。据统计,2008年我同证券网上交易量比重已超过总交易量的80%。虽然交易系统与互联网的连接,方便了投资者。但由于互联网的开放性,来自互联网上的病毒、小马、黑客攻击以及计算机威胁事件,都时刻威胁着行业的信息系统安全,成为制约行业平稳、安全发展的障碍。此,维护网络和数据安全成为行业信息安全保障工作的重要组成部分。近年来,证券行业各机构采取了一系列措施,建立了相对安全的网络安全防护体系和灾舴备份系统,基木保障了信息系统的安全运行。但细追究起来,我国证券行业的网络安全防护体系及灾备系统建设还不够完善,还存存以下几方面的问题:一是网络安全防护体系缺乏统一的规划;二是网络访问控制措施有待完善;三是网上交易防护能力有待加强;四是对数据安全重视不够,数据备份措施有待改进;五是技术人员的专业能力和信息安全意识有待提高。
1.5IT人才资源建设方面
近20年的发展历程巾,证券行业对信息系统日益依赖,行业IT队伍此不断发展壮大。据统计,2008年初,在整个证券行业中,103家证券公司共有IT人员7325人,占证券行业从业总人数73990人的9.90%,总体上达到了行业协会的IT治理工作指引中“IT工作人员总数原则上应不少于公司员工总人数的6%”的最低要求。目前,证券行业的IT队伍肩负着信息系统安全、平稳、高效运行的重任,IT队伍建设是行业信息安全IT作的根本保障。但是,IT人才队伍依然存在着结构不合理、后续教育不足等问题,此行业的人才培养有待加强。
2采取的对策和措施
2.1进一步完善法规和标准体系
首先,在法规规划上,要统筹兼顾,制定科学的信息技术规范和标准体系框架。一是全面做好立法规划;二是建立科学的行业信息安全标准和法规体系层次。行业信息安全标准和法规体系初步划分为3层:第一层是管理办法等巾同证监会部门规章;第二层是证监会相关部门制定的管理规范等规范性文件;第三层是技术指引等自律规则,一般由交易所、行业协会在证监会总体协调下组织制定。其次,在法规制定上.要兼顾规范和发展,重视法规的可行性。最后,在法规实施上.要坚持规范和指引相结合,重视监督检查和责任落实。
2.2深入开展证券行业IT治理工作
2.2.1提高IT治理意识
中国证券业协会要进一步加强IT治理理念的教育宣传工作,特别是对会员单位高层领导的IT治理培训,将IT治理的定义、工具、模型等理论知识纳入到高管任职资格考试的内容之中。通过举办论坛、交流会等形式强化证券经营机构的IT治理意识,提高他们IT治理的积极性。
2.2.2通过设立IT治理试点形成以点带面的示范效应
根据IT治理模型的不同特点,建议证券公司在决策层使用CISR模型,通过成立lT治理委员会,建立各部门之间的协调配合、监督制衡的责权体系;在执行层以COBIT模型、ITFL模型等其他模型为补充,规范信息技术部门的各项控制和管理流程。同时,证监会指定一批证券公司和基金公司作为lT试点单位,进行IT治理模型选择、剪裁以及组合的实践探索,形成一批成功实施IT治理的优秀范例,以点带面地提升全行业的治理水平。
2.3通过制定行业标准积极落实信息安全等级保护
行业监管部门在推动行业信息安全等级保护工作中的作用非常关键.应进一步明确监管部门推动行业信息安全等级保护工作的任务和工作机制,统一部署、组织行业的等级保护丁作,为该项丁作的顺利开展提供组织保证。行业各机构应采取自主贯彻信息系统等级保护的行业要求,对照标准逐条落实。同时,应对各单位实施信息系统安全等级保护情况进行测评,在测评环节一旦发现信息系统的不足,被测评单位应立即制定相应的整改方案并实施.且南相芙的监督机构进行督促。
2.4加强网络安全体系规划以提升网络安全防护水平
2.4.1以等级保护为依据进行统筹规划
等级保护是围绕信息安全保障全过程的一项基础性的管理制度,通过将等级化的方法和安全体系规划有效结合,统筹规划证券网络安全体系的建设,建立一套信息安全保障体系,将是系统化地解决证券行业网络安全问题的一个非常有效的方法。
2.4.2通过加强网络访问控制提高网络防护能力
对向证券行业提供设备、技术和服务的IT公司的资质和诚信加强管理,确保其符合国家、行业技术标准。根据网络隔离要求,要逐步建立业务网与办公网、业务网与互联网、网上交易各子系统间有效的网络隔离。技术上可以对不同的业务安全区域划分Vlan或者采用网闸设备进行隔离;对主要的网络边界和各外部进口进行渗透测试,进行系统和设备的安全加固.降低系统漏洞带来的安全风险;在网上交易方面,采取电子签名或数字认证等高强度认证方式,加强访问控制;针对现存恶意攻击网站的事件越来越多的情况,要采取措施加强网站保护,提高对恶意代码的防护能力,同时采用技术手段,提高网上交易客户端软件使朋的安全性。
2.4.3提高从业人员安全意识和专业水平
目前在证券行业内,从业人员的网络安全意识比较薄弱.必要时可定期对从业人员进行安全意识考核,从行业内部强化网络安全工作。要加强网络安全技术人员的管理能力和专业技能培训,提高行业网络安全的管理水平和专业技术水平。
2.5扎实推进行业灾难备份建设
数据的安全对证券行业是至关重要的,数据一旦丢失对市场各方的损失是难以估量的。无论是美国的“9·11”事件,还是我国2008年南方冰雪灾害和四川汶川大地震,都敲响了灾难备份的警钟。证券业要在学习借鉴国际经验的基础上,针对自身需要,对重要系统开展灾难备份建设。要继续推进证券、基金公司同城灾难备份建设,以及证券交易所、结算公司等市场核心机构的异地灾难备份系统的规划和建设。制定各类相关的灾难应急预案,并加强应急预案的演练,确保灾难备份系统应急有效.使应急工作与日常工作有机结合。
2.6抓好人才队伍建设
证券行业要采取切实可行的措施,建立吸引人才、留住人才、培养人才、发展人才的用人制度和机制。积极吸引有技术专长的人才到行业巾来,加强lT人员的岗位技能培训和业务培训,注重培养既懂得技术义懂业务和管理的复合型人才。要促进从业人员提高水平、转变观念,行业各机构应采取采取请进来、派出去以及内部讲座等多种培训方式。通过建立规范有效的人才评价体系,对信息技术人员进行科学有效的考评,提升行业人才资源的优化配置和使用效率,促进技术人才结构的涮整和完善。
网络安全等级保护测评方法范文6
在国外,随着诸如Iso27001,萨班斯法案等信息安全标准和法规的颁布,国外的信息安全审计己经企业,得到了广泛的应用。而在我国,信息安全审计主要来源于企业信息安全管理的需求、企业内控的要求并且获得了一定规模的应用。而随着计算机信息安全等级保护的推进,信息安全审计必然越来越受到政府、企事业单位的重视。目前市场上存在着各种各样的信息安全审计系统,其功能不一,部署使用力一式也不相同。如何在等保建设中更好的应用审计系统,木文在以下内容中给出了分析和建议。
1信息安全审计的意义和目的
计算机信息安全是要保证计算机信息系统中信息的机密性、完整性、可控性、可用性和不可否认性(抗抵赖),简称五性。安全审计是这五性的重要保障之一,它对计算机信息系统中的所有IT资源(包括数据库、主机、操作系统、安全设备、网络行为等)进行安全审计,提供给系统管理员作为系统维护以及安全防范的依据。安全审计如同银行的CCAV监控系统,任何人进出银行,柜台操作都进行如实录像记录,一旦有异常事件可以快速的查阅进出记录和行为记录,确定问题所在,以便采取相应的处理措施。
信息系统的安全审计工作更为复杂,通过统一收集信息系统中的设备、系统、终端、应用的登录、操作日志以及其它各种网络行为,例如互联网访问,FTP传输、电子邮件等记录,通过综合关联分析从各类记录中进行多层而、多视角的跟踪、分析和处理,发现异常事件,及时采取相应措施。
通过以上分析可以看到信息安全审计在信息安全管理体系中是不可缺失的部分。它的作用主要如下:
(1)对正在发生的各类信息事件进行监控、记录和告警;
(2)为安全主管提供审计记录和分析决策,及时针对异常行为采取措施;
(3)通过安全审计记录,可以对于发生的信息系统破坏行为提供有效的法律追究证据;
(4)有效的安全审计策略和安全审计防护措施可以对潜在的攻击者起到震慑和警告的作用。
2等级保护中安全审计问题
2.1等级保护中的安全审计要求
等级保护是我国目前在非涉密系统信息安全防护一个有效的政策依据。等级保护测评中对网络,主机,数据库和应用都有相应的安全审计要求。
2.1.1各安全域通用要求
(1)审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等;
(2)应保护审计进程,避免受到未预期的中断;
(3)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
2.1.2网络设备和网络安全设备特殊要求
应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。
2.1.3主机和数据安全审计特殊要求
(1)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;
(2)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等;
(3)应能够根据记录数据进行分析,并生成审计报表。
2.2等级保护中存在的安全审计问题
在实际测评中由于企业对安全审计不够重视导致存在诸多安全隐患,不但影响了测评结果也给企业带来了安全风险。
2.2.1网络设备和安全设备存在的问题
(1)未开启安全审计功能,或只设置了相应的日志服务器但没专人定期对日志分析、记录;
(2)记录内容较简单,只包含用户登录行为,而对设备运行情况、网络告警信息、流量信息都未记录;
(3)只是简单的对日志进行保存,并未能运用这些数据做分析统计并从中发现问题;
(4)对审计记录的保存未做过优化或定期检查,没有专人进行维护,不能确保审计记录不会被修改或删除。
2.2.2主机和数据库存在的问题
(1) LINUX系列主机安全审计功能一般都未启,而对于WINDOWS系列的主机安全审计功能均是系统默认设置。
(2)主机开启了审计服务但审计对象只包含了操作系统用户,而对数据库用户和其他系统的用户并未进行审计。
(3)只是简单对日志进行保存,并没有专人对这些数据统进行计分析统计。
(4)对审计日志的记录的内容采取了系统默认保存方法,对日志存储位置、存储最大值以及达到最大值后的处理都未设置。
(5)对审计进程和审计日志均没有专人去做维护检查,不能保证审计系统的安全运行,审计日志不被非法修改。
2.3等级保护中安全审计的重要性
从保测评的结果看来,不少企业对安全审计不够重视,信息安全建设主要集中于传统的信息安全基础设施,如部署防火墙,IPS等。目前企业的信息安全管理主要依托于这类网关型安全设备上,忽略了事中监控和事后审计溯源的安全管理。从实际测评中发现造成这一系列问题的主要原因是未能认识信息安全审计的重要性,对信息安全审计所需的各类资源投入不足。有效安全审计手段的缺失不仅使企业信息安全等级保护不足,而且也使企业自身信息安全管理体系存在短板,导致企业存在以下安全风险:
(1)内部风险:由内部员工违规操作导致的安全风险和网络的非法接入带来的风险。
(2)第二力一维护:企业系统由第二力一维护所带来的风险。
(3)系统日志:单纯的分析业务系统或者数据库系统的日志,都无法对整个访问过程是否存在风险进行判断。
4信息安全审计系统在等级保护建设中的应用
等级保护建设中提出了很多具体的安全审计要求。不少企业不知从何处着手开展工作。信息安全审计系统种类繁多、针对性强,在等级保护建设过程应该根据等级保护的具体要求并结合这些审计系统的特点,有针对性的进行建设才能最终满足等级保护要求,提高企业安全水平。
4.1等保三级系统中网络设备和网络安全设备的安全审计
4.1.1等级保护基木要求
(1)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
(2)审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
(3)应能够根据记录数据进行分析,并生成审计报表;
(4)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
4.1.2可采用的审计系统
按照等级保护二级系统中对网络设备和网络安全设备的安全审计基本要求,可采用网络审计系统。
4.1.3符合度分析
网络审计系统通过网络数据的采集、分析、识别,实时动态监测通信内容、网络行为和网络流量,发现和捕获各种敏感信息、违规行为,实时报警响应,全而记录网络系统中的各种会话和事件,实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位。
4.2等保三级系统中主机和数据库的安全审计
4.2.1等级保护基木要求
(1)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;
(2)审计内容应包括重要用户行为、系统资源的异常使用和}重要系统命令的使用等系统内重要的安全相关事件;
(3) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;
(4)应能够根据记录数据进行分析,并生成审计报表;
(5)应保护审计进程,避免受到未预期的中断;
4.2.2可采用的审计系统
按照等级保护二级系统中对主机和数据库的安全审计基本要求,可采用终端审计系统、运维审计系统、数据库审计系统。
5总结
