網(wǎng)絡(luò)安全等級保護(hù)管理辦法精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全等級保護(hù)管理辦法主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:網(wǎng)絡(luò)安全等級保護(hù)管理辦法范文
本文重點(diǎn)在結(jié)合信息安全等級的要求與IDS本身結(jié)構(gòu)的優(yōu)缺點(diǎn),對信息安全策略進(jìn)行分析,構(gòu)建滿足五級信息安全保護(hù)能力的入侵檢測系統(tǒng)。
關(guān)鍵詞:入侵檢測,信息安全
1.信息安全等級
信息安全等級保護(hù)是我國信息安全保障工作的綱領(lǐng)性文件(《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》)(中辦發(fā)[2003]27號)提出的重要工作任務(wù)[1],其基本原理是,不同的信息系統(tǒng)有不同的重要性,在決定信息安全保護(hù)措施時,必須綜合平衡安全成本和風(fēng)險。
2007年6月,公安部的《信息安全等級保護(hù)管理辦法》規(guī)定,根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度,其遭受破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等,其安全等級由低到高劃分為五級,其等級劃分原則如表1.1所示:
表1.1 安全等級劃分原則
不同安全等級的信息系統(tǒng)應(yīng)該具備相應(yīng)的基本安全保護(hù)能力,其中第四級安全保護(hù)能力是應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊,嚴(yán)重的自然災(zāi)害,以及其他相當(dāng)維護(hù)程度的威脅所造成的資源損害,能夠發(fā)現(xiàn)安全漏洞和安全相關(guān)事件,在系統(tǒng)遭到損害后,能夠迅速恢復(fù)所有功能;第五級安全保護(hù)能力是在第四級安全的安全保護(hù)能力的基礎(chǔ)上,由訪問控制監(jiān)視器實(shí)行訪問驗(yàn)證,采用形式化技術(shù)驗(yàn)證相應(yīng)的安全保護(hù)能力確實(shí)得到實(shí)現(xiàn)。
2.IDS主要功能
入侵檢測:通過對行為、安全日志、審計數(shù)據(jù)或其他網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作,檢測到對系統(tǒng)的闖入或者闖入的企圖[2]。(國標(biāo)GB/T 18336)
入侵檢測系統(tǒng)的主要功能:
檢測并分析用戶和系統(tǒng)的活動,查找非法用戶和合法用戶的越權(quán)操作;檢查系統(tǒng)配置和漏洞,并提示管理員修補(bǔ)漏洞。(由安全掃描系統(tǒng)完成)、評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性;識別已知的攻擊行為;統(tǒng)計分析異常行為;操作系統(tǒng)日志管理,并識別違反安全策略的用戶活動等;
成功的入侵檢測系統(tǒng),應(yīng)該達(dá)到的效果:可以使系統(tǒng)管理員時刻了解網(wǎng)絡(luò)系統(tǒng)(軟件和硬件)的任何變更,能給網(wǎng)絡(luò)安全策略的制定提供依據(jù);管理配置簡單,使非專業(yè)人員非常容易地獲得網(wǎng)絡(luò)安全。入侵檢測的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)規(guī)模、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后,能及時作出響應(yīng),包括切斷網(wǎng)絡(luò)連接、記錄事件和報警等。
圖2.1入侵檢測系統(tǒng)結(jié)構(gòu)圖
3.IDS類別
由于IDS的模型多樣化,IDS的類別也表現(xiàn)出較為復(fù)雜的情況,但是當(dāng)前通常將入侵檢測按照分析方法和數(shù)據(jù)來源來進(jìn)行分類[3]。
3.1按照分析方法(檢測方法)
異常檢測模型(Anomaly Detection):首先總結(jié)正常操作應(yīng)該具有的特征(用戶輪廓),當(dāng)用戶活動與正常行為有重大偏離時即被認(rèn)為是入侵。
誤用檢測模型(MisuseDetection):收集非正常操作的行為特征,建立相關(guān)的特征庫,當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時,系統(tǒng)就認(rèn)為這種行為是入侵。
3.2按照數(shù)據(jù)來源
基于主機(jī)的IDS:系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運(yùn)行所在的主機(jī),保護(hù)的目標(biāo)也是系統(tǒng)運(yùn)行所在的主機(jī);檢測的目標(biāo)主要是主機(jī)系統(tǒng)和系統(tǒng)本地用戶。檢測原理是根據(jù)主機(jī)的審計數(shù)據(jù)和系統(tǒng)的日志發(fā)現(xiàn)可疑事件,檢測系統(tǒng)可以運(yùn)行在被檢測的主機(jī)或單獨(dú)的主機(jī)上。
圖3.1基于主機(jī)的IDS結(jié)構(gòu)圖
基于網(wǎng)絡(luò)的IDS:系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包,保護(hù)的是網(wǎng)絡(luò)的運(yùn)行;根據(jù)網(wǎng)絡(luò)流量、協(xié)議分析、單臺或多臺主機(jī)的審計數(shù)據(jù)檢測入侵。
圖3.2 基于網(wǎng)絡(luò)的IDS結(jié)構(gòu)圖
探測器由過濾器、網(wǎng)絡(luò)接口引擎器以及過濾規(guī)則決策器構(gòu)成,探測器的功能是按一定的規(guī)則從網(wǎng)絡(luò)上獲取與安全事件相關(guān)的數(shù)據(jù)包,傳遞給分析引擎器進(jìn)行安全分析判斷[4]。
分析引擎器將從探測器上接收到的包并結(jié)合網(wǎng)絡(luò)安全數(shù)據(jù)庫進(jìn)行分析,把分析的結(jié)果傳遞給配置構(gòu)造器。
配置構(gòu)造器按分析引擎器的結(jié)果構(gòu)造出探測器所需要的配置規(guī)則。
分布式IDS:
傳統(tǒng)的集中式IDS的基本模型是在網(wǎng)絡(luò)的不同網(wǎng)段放置多個探測器收集當(dāng)前網(wǎng)絡(luò)狀態(tài)的信息,然后將這些信息傳送到中央控制臺進(jìn)行處理分析。
分布式結(jié)構(gòu)采用了本地主體處理本地事件,中央主體負(fù)責(zé)整體分析的模式。
3.3 IDS的局限性
對于大規(guī)模的分布式攻擊,中央控制臺的負(fù)荷將會超過其處理極限,這種情況會造成大量信息處理的遺漏,導(dǎo)致漏警率的增高[5]。
多個探測器收集到的數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸會在一定程度上增加網(wǎng)絡(luò)負(fù)擔(dān),導(dǎo)致網(wǎng)絡(luò)系統(tǒng)性能的降低[6]。
由于網(wǎng)絡(luò)傳輸?shù)臅r延問題,中央控制臺處理的網(wǎng)絡(luò)數(shù)據(jù)包中所包含的信息只反映了探測器接收到它時網(wǎng)絡(luò)的狀態(tài),不能實(shí)時反映當(dāng)前網(wǎng)絡(luò)狀態(tài)[7]。
4.五級安全防護(hù)能力IDS構(gòu)建
根據(jù)公安部《信息安全等級保護(hù)管理辦法》,五級安全防護(hù)能力需要具備四級安全防護(hù)的漏洞發(fā)現(xiàn)和入侵檢測能力,同時需要由訪問控制監(jiān)視器實(shí)現(xiàn)對訪問的及時驗(yàn)證,保證杜絕未授權(quán)用戶的非法訪問。
與此同時,如何解決因?yàn)榫W(wǎng)絡(luò)時延而導(dǎo)致的數(shù)據(jù)分析的延后,以及解決探測器在網(wǎng)絡(luò)傳輸中造成的網(wǎng)絡(luò)負(fù)擔(dān),提高網(wǎng)絡(luò)系統(tǒng)性能的同時保證中央控制臺的高效運(yùn)轉(zhuǎn),是當(dāng)前IDS需要重點(diǎn)研究的問題。
當(dāng)前IDS的結(jié)構(gòu)中入侵檢測和數(shù)據(jù)安全審計是兩個不同的模塊,入侵檢測系統(tǒng)將檢測數(shù)據(jù)提交給安全審計模塊,對入侵行為的確認(rèn)是由安全審計模塊進(jìn)行的[8]。因此在成本可接受的范圍內(nèi),如果將審計模塊和檢測模塊結(jié)合,并且將分布式IDS的每一個檢測終端都由一個獨(dú)立處理單元來進(jìn)行基本的檢測,只將較為復(fù)雜的數(shù)據(jù)提交給中央控制臺,這樣即減輕了網(wǎng)絡(luò)傳輸?shù)膲毫Γ灿欣谥醒肟刂婆_更加高效運(yùn)轉(zhuǎn)。將每一個獨(dú)立處理單元命名為一個agent,每個agent的結(jié)構(gòu)如下圖所示:
5.結(jié)束語
本文介紹了信息安全等級的分類依據(jù),在對IDS系統(tǒng)的類別和局限性進(jìn)行分析的基礎(chǔ)上,對滿足五級信息安全防護(hù)能力的入侵檢測系統(tǒng)進(jìn)行了基本構(gòu)建,探討通過對分布式IDS終端處理單元的結(jié)構(gòu)和防范策略進(jìn)行調(diào)整,研究對IDS存在主要問題的處理策略。
參考文獻(xiàn)
[1] 高永強(qiáng),羅世澤.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用大典[M].北京:人民郵電出版社,2003:15-16.
[2] 盛思源,戰(zhàn)守義,石耀斌.基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)[J].計算機(jī)工程,2003,28(3).
[3] 胡振昌.網(wǎng)絡(luò)入侵檢測原理與技術(shù)[M].北京:北京理工大學(xué)出版社,2006
[4] 唐正軍,李建華.入侵檢測技術(shù)[M].北京:清華大學(xué)出版,2004.
[5] 程伯良,周洪波,鐘林輝.基于異常與誤用的入侵檢測系統(tǒng)[J].計算機(jī)工程與設(shè)計.2007,28(14)
[6] 胥小波,蔣琴琴.基于混沌粒子群的IDS告警聚類算法[J].通信學(xué)報.2013,34(3)
第2篇:網(wǎng)絡(luò)安全等級保護(hù)管理辦法范文
信息安全防護(hù)要考慮不同層次的問題。例如網(wǎng)絡(luò)平臺就需要擁有網(wǎng)絡(luò)節(jié)點(diǎn)之間的相互認(rèn)證以及訪問控制;應(yīng)用平臺則需要有針對各個用戶的認(rèn)證以及訪問控制,這就需要保證每一個數(shù)據(jù)的傳輸?shù)耐暾院捅C苄裕?dāng)然也需要保證應(yīng)用系統(tǒng)的可靠性和可用性。一般電力企業(yè)主要采用的措施有:
1.1信息安全等級保護(hù)
信息安全等級保護(hù)是對信息和信息載體按照重要性等級分級別進(jìn)行保護(hù)的一種工作,工作包括定級、備案、安全建設(shè)和整改、信息安全等級測評、信息安全檢查五個階段。要積極參與信息安全等級定級評定,及時在當(dāng)?shù)毓矙C(jī)關(guān)進(jìn)行備案,然后根據(jù)對應(yīng)等級要求,組織好評測,然后開展針對性的防護(hù),從而提供全面的保障。
1.2網(wǎng)絡(luò)分區(qū)和隔離
運(yùn)用網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備將企業(yè)網(wǎng)絡(luò)劃分為若干個區(qū)域,通過在不同區(qū)域?qū)嵤┨囟ǖ陌踩呗詫?shí)現(xiàn)對區(qū)域的防護(hù),保證網(wǎng)絡(luò)及基礎(chǔ)設(shè)置穩(wěn)定正常,保障業(yè)務(wù)信息安全。
1.3終端安全防護(hù)
需要部署(實(shí)施)防病毒系統(tǒng)、上網(wǎng)行為管理、主機(jī)補(bǔ)丁管理等終端安全防護(hù)措施。通過這些安全措施使網(wǎng)絡(luò)內(nèi)的終端可以防御各種惡意代碼和病毒;可以對互聯(lián)網(wǎng)訪問行為監(jiān)管,為網(wǎng)絡(luò)的安全防護(hù)管理提供安全保障;可以自動下發(fā)操作系統(tǒng)補(bǔ)丁,提高終端的安全性。
2.構(gòu)建信息安全防護(hù)體系
電力企業(yè)應(yīng)充分利用已經(jīng)成熟的信息安全理論成果,在此基礎(chǔ)上在設(shè)計出具有可操作性,能兼顧整體性,并且能融合策略、組織、技術(shù)以及運(yùn)行為一體化的信息安全保障體系,從而保障信息安全。
2.1建立科學(xué)合理的信息安全策略體系
信息安全策略體系包括信息安全策略、信息安全操作流程、信息安全標(biāo)準(zhǔn)以及規(guī)范和多方面的細(xì)則,所涉及的基本要素包括信息管理和信息技術(shù)這兩方面,其覆蓋了信息系統(tǒng)的網(wǎng)絡(luò)層面、物理層面、系統(tǒng)層面以及應(yīng)用層面這四大層面。
2.2建設(shè)先進(jìn)可靠的信息安全技術(shù)防護(hù)體系
結(jié)合電力企業(yè)的特點(diǎn),在企業(yè)內(nèi)部形成分區(qū)、分域、分級、分層的網(wǎng)絡(luò)環(huán)境,然后充分運(yùn)用防火墻、病毒過濾、入侵防護(hù)、單向物理隔離、拒絕服務(wù)防護(hù)和認(rèn)證授權(quán)等技術(shù)進(jìn)行區(qū)域邊界防護(hù)。通過統(tǒng)一規(guī)劃,解決系統(tǒng)之間、系統(tǒng)內(nèi)部網(wǎng)段間邊界不清晰,訪問控制措施薄弱的問題,對不同等級保護(hù)的業(yè)務(wù)系統(tǒng)分級防護(hù),避免安全要求低的業(yè)務(wù)系統(tǒng)的威脅影響到安全要求高的業(yè)務(wù)系統(tǒng),實(shí)現(xiàn)全方位的技術(shù)安全防護(hù)。同時,還要結(jié)合信息機(jī)房物流防護(hù)、網(wǎng)絡(luò)準(zhǔn)入控制、補(bǔ)丁管理、PKI基礎(chǔ)設(shè)施、病毒防護(hù)、數(shù)據(jù)庫安全防護(hù)、終端安全管理和電子文檔安全防護(hù)等細(xì)化的措施,形成覆蓋企業(yè)全領(lǐng)域的技術(shù)防護(hù)體系。
2.3設(shè)置責(zé)權(quán)統(tǒng)一的信息安全組織體系
在企業(yè)內(nèi)部設(shè)置網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)機(jī)構(gòu)和工作機(jī)構(gòu),按照“誰主管誰負(fù)責(zé),誰運(yùn)營誰負(fù)責(zé)”原則,實(shí)行統(tǒng)一領(lǐng)導(dǎo)、分級管理。信息安全領(lǐng)導(dǎo)機(jī)構(gòu)由決策層組成,工作機(jī)構(gòu)由各部門管理成員組成。工作機(jī)構(gòu)一般設(shè)置在信息管理部門,包含安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員和應(yīng)用管理員,并分配相關(guān)安全責(zé)任,使信息安全在組織內(nèi)得以有效管理。
2.4構(gòu)建全面完善的信息安全管理體系
對于電力企業(yè)的信息安全防范來說,單純的使用技術(shù)手段是遠(yuǎn)遠(yuǎn)不夠的,只有配合管理才能提供有效運(yùn)營的保障。
2.4.1用制度保證信息安全
企業(yè)要建立從指導(dǎo)性到具體性的安全管理框架體系。安全方針是信息安全指導(dǎo)性文件,指明信息安全的發(fā)展方向,為信息安全提供管理指導(dǎo)和支持;安全管理辦法是對信息安全各方面內(nèi)容進(jìn)行管理的方法總述;安全管理流程是在信息安全管理辦法的基礎(chǔ)上描述各控制流程;安全規(guī)范和操作手冊則是為用戶提供詳細(xì)使用文檔。人是信息安全最活躍的因素,人的行為會直接影響到信息安全保障。所以需要通過加強(qiáng)人員信息安全培訓(xùn)、建立懲罰機(jī)制、加大關(guān)鍵崗位員工安全防范力度、加強(qiáng)離崗或調(diào)動人員的信息安全審查等措施實(shí)現(xiàn)企業(yè)工作人員的規(guī)范管理,明確員工信息安全責(zé)任和義務(wù),避免人為風(fēng)險。
2.4.3建設(shè)時就考慮信息安全
在網(wǎng)絡(luò)和應(yīng)用系統(tǒng)建設(shè)時,就從生命周期的各階段統(tǒng)籌考慮信息安全,遵照信息安全和信息化建設(shè)“三同步”原則,即“同步規(guī)劃、同步建設(shè)、同步投入運(yùn)行”。
2.4.4實(shí)施信息安全運(yùn)行保障
主要是以資產(chǎn)管理為基礎(chǔ),風(fēng)險管理為核心,事件管理為主線,輔以有效的管理、監(jiān)視與響應(yīng)功能,構(gòu)建動態(tài)的可信安全運(yùn)行保障。同時,還需要不斷完善應(yīng)急預(yù)案,做好預(yù)案演練,可以對信息安全事件進(jìn)行及時的應(yīng)急響應(yīng)和處置。
3.總結(jié)
第3篇:網(wǎng)絡(luò)安全等級保護(hù)管理辦法范文
1.1國家衛(wèi)生部文件
文件明確規(guī)定了信息安全等級保護(hù)工作的工作目標(biāo)、工作原則、工作機(jī)制、工作任務(wù)、工作要求,工作任務(wù)別強(qiáng)調(diào)了“三級甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)”應(yīng)進(jìn)行定級備案。
1.2浙江省衛(wèi)生廳文件
為加強(qiáng)醫(yī)療衛(wèi)生行業(yè)信息安全管理,提高信息安全意識,以信息安全等級保護(hù)標(biāo)準(zhǔn)促進(jìn)全行業(yè)的信息安全工作,提高全省衛(wèi)生系統(tǒng)信息安全保護(hù)與信息安全技術(shù)水平,強(qiáng)化信息安全的重要性。2011年6月7日,浙江省衛(wèi)生廳和浙江省公安廳聯(lián)合下發(fā)《關(guān)于做好全省醫(yī)療衛(wèi)生行業(yè)重要信息系統(tǒng)信息安全等級保護(hù)工作的通知》(浙衛(wèi)發(fā)〔2011〕131號),并一同下發(fā)了《浙江省醫(yī)療衛(wèi)生行業(yè)信息安全等級保護(hù)工作實(shí)施方案》和《浙江省衛(wèi)生行業(yè)信息系統(tǒng)安全等級保護(hù)定級工作指導(dǎo)意見》。為進(jìn)一步指導(dǎo)我省衛(wèi)生行業(yè)單位開展信息安全等級保持工作,浙江省衛(wèi)生信息中心于2012年4月6日下發(fā)了《關(guān)于印發(fā)<浙江省衛(wèi)生行業(yè)信息安全等級保護(hù)工作指導(dǎo)意見細(xì)則>的函》。上述文件詳細(xì)規(guī)定了工作目標(biāo)、工作流程和工作進(jìn)度,并明確了醫(yī)療衛(wèi)生單位重要信息系統(tǒng)的劃分和定級,具有很強(qiáng)的指導(dǎo)性和操作性。
2醫(yī)院信息安全等級保護(hù)
依據(jù)上述行業(yè)文件要求,全省醫(yī)院重要信息系統(tǒng)信息安全等級保護(hù)工作由省衛(wèi)生廳和各級衛(wèi)生局、公安局分級負(fù)責(zé),按照系統(tǒng)定級、系統(tǒng)備案、等級測評、安全整改[1]四個工作步驟實(shí)施。
2.1系統(tǒng)定級
2.1.1確定對象
我省醫(yī)院信息化發(fā)展較早,各類系統(tǒng)比較完善,但數(shù)量繁多。將出現(xiàn)多達(dá)幾十甚至上百個定級對象的狀況,這與要求重點(diǎn)保護(hù)、控制建設(shè)成本、優(yōu)化資源配置[2]的原則相違背,不利于醫(yī)院重要信息系統(tǒng)開展信息安全等級保護(hù)工作。依據(jù)《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則(GB17859-1999)》等標(biāo)準(zhǔn),結(jié)合我省醫(yī)院信息化現(xiàn)狀及發(fā)展需要,經(jīng)衛(wèi)生信息化專家和信息安全專家多次論證,本著突出重點(diǎn)、按類歸并、相對獨(dú)立、節(jié)約費(fèi)用的原則,從系統(tǒng)管理、業(yè)務(wù)使用者、系統(tǒng)服務(wù)對象和運(yùn)行環(huán)境等多方面綜合考慮,把醫(yī)院信息系統(tǒng)劃分為以下幾類,如表1所示。
2.1.2等級評定
醫(yī)院重要信息系統(tǒng)的信息安全和系統(tǒng)服務(wù)應(yīng)用被破壞時,產(chǎn)生的危害主要涉及公民的個人隱私、就醫(yī)權(quán)利及合法權(quán)益,對社會秩序和公共利益的損害屬于“損害”或“嚴(yán)重?fù)p害”程度。參考《信息安全等級保護(hù)管理辦法》及省衛(wèi)生信息中心指導(dǎo)意見細(xì)則要求[3],即屬于“第二級”或“第三級”范疇。因此醫(yī)院信息系統(tǒng)對信息安全防護(hù)和服務(wù)能力保護(hù)的要求較高,結(jié)合業(yè)務(wù)服務(wù)及系統(tǒng)應(yīng)用范疇,實(shí)行保護(hù)重點(diǎn)、以點(diǎn)帶面原則,參考定級如表2所示。
2.2系統(tǒng)定級備案
省衛(wèi)生廳及省級醫(yī)療衛(wèi)生單位信息系統(tǒng)、全省統(tǒng)一聯(lián)網(wǎng)或跨市聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)由省公安廳受理備案;各市衛(wèi)生局及其下屬單位、轄區(qū)內(nèi)醫(yī)院信息系統(tǒng)由屬地公安機(jī)關(guān)受理備案。各市衛(wèi)生局應(yīng)將轄區(qū)內(nèi)醫(yī)療衛(wèi)生單位備案匯總情況和《信息系統(tǒng)安全等級保護(hù)備案表》等材料以電子文件形式向省衛(wèi)生廳報備。定級備案流程示意圖如圖1所示。
2.3等級保護(hù)測評
醫(yī)院重要信息系統(tǒng)完成定級備案后,應(yīng)依據(jù)《浙江省信息安全等級保護(hù)工作協(xié)調(diào)小組關(guān)于公布信息安全等級報測評機(jī)構(gòu)的通知》(浙等保〔2010〕9號)選擇浙江省信息安全等級保護(hù)工作協(xié)調(diào)小組辦公室推薦的等級測評機(jī)構(gòu),啟動等級測評工作,結(jié)合所屬等級要求對系統(tǒng)進(jìn)行逐項(xiàng)測評。通過對醫(yī)院系統(tǒng)進(jìn)行查驗(yàn)、訪談、現(xiàn)場測試等方式收集相關(guān)信息,詳細(xì)了解信息安全保護(hù)現(xiàn)狀,分析所收集的資料和數(shù)據(jù),查找發(fā)現(xiàn)醫(yī)院重要信息系統(tǒng)漏洞和安全隱患,針對測評報告結(jié)果進(jìn)行分析反饋、溝通協(xié)商,明確等級保護(hù)整改工作目標(biāo)、整改流程及注意事項(xiàng),共同制定等級保護(hù)整改建議方案用于指導(dǎo)后續(xù)整改工作。對第二級以上的信息系統(tǒng)要定期開展等級測評。信息系統(tǒng)測評后,醫(yī)院應(yīng)及時將測評機(jī)構(gòu)出具的《信息系統(tǒng)等級測評報告》向所屬地公安機(jī)關(guān)報備。
2.4等級保護(hù)規(guī)劃建設(shè)整改
根據(jù)《信息系統(tǒng)安全等級保護(hù)實(shí)施指南》及省實(shí)施方案,結(jié)合醫(yī)院信息系統(tǒng)的安全需求分析,判斷安全保護(hù)現(xiàn)狀,設(shè)計合理的、滿足等級保護(hù)要求的總體安全方案,并制定出安全實(shí)施規(guī)劃[4]等,用以指導(dǎo)信息系統(tǒng)安全建設(shè)工程實(shí)施。引進(jìn)第三方安全技術(shù)服務(wù)商,協(xié)助完成系統(tǒng)安全規(guī)劃、建設(shè)及整改工作。建設(shè),整改實(shí)施過程中按照詳細(xì)設(shè)計方案,設(shè)置安全產(chǎn)品采購、安全控制開發(fā)與集成、機(jī)構(gòu)和人員配置、安全管理制度建設(shè)、人員安全技能培訓(xùn)等環(huán)節(jié)[5],將規(guī)劃設(shè)計階段的安全方針和策略,切實(shí)落實(shí)到醫(yī)院系統(tǒng)的信息安全規(guī)劃、建設(shè)、評估、運(yùn)行和維護(hù)等各個環(huán)節(jié)。其核心是根據(jù)系統(tǒng)的實(shí)際信息安全需求、業(yè)務(wù)特點(diǎn)及應(yīng)用重點(diǎn),并結(jié)合醫(yī)院自身信息安全建設(shè)的實(shí)際需求,建設(shè)一套全面保護(hù)、重點(diǎn)突出、持續(xù)運(yùn)行的安全保障體系,確保醫(yī)院系統(tǒng)的信息安全。等級保護(hù)工程及管理體系建設(shè)整改流程如圖2所示。
3醫(yī)院重要信息系統(tǒng)安全等級保護(hù)成效
各級醫(yī)院按照國家有關(guān)信息安全等級保護(hù)政策、標(biāo)準(zhǔn),結(jié)合衛(wèi)生行業(yè)政策和要求,全面落實(shí)信息系統(tǒng)信息安全等級保護(hù)工作,保障信息系統(tǒng)安全可靠運(yùn)行,提高安全管理運(yùn)維水平。
3.1明確系統(tǒng)安全保護(hù)目標(biāo)
通過推行各級醫(yī)院信息安全等級保護(hù)工作,梳理衛(wèi)生信息系統(tǒng)資產(chǎn)、網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)安全設(shè)備部署及運(yùn)行狀況。根據(jù)系統(tǒng)風(fēng)險評估、危害的覆蓋范圍及影響性判定安全等級,從而根據(jù)標(biāo)準(zhǔn)全面、系統(tǒng)、深入地掌握系統(tǒng)潛在的風(fēng)險隱患,安全漏洞。明確需要重點(diǎn)保護(hù)的應(yīng)用系統(tǒng)及信息資產(chǎn),提出行之有效的保護(hù)措施,有針對性地提高保護(hù)等級,實(shí)現(xiàn)重點(diǎn)目標(biāo)重點(diǎn)保護(hù)。
3.2建立安全管理保障體系
安全管理保障體系是開展信息安全工作的保障,指導(dǎo)落實(shí)各項(xiàng)安全指標(biāo)要求。信息安全等級保護(hù)基本要求中明確要求加強(qiáng)主管及安全責(zé)任部門領(lǐng)導(dǎo),配備信息安全專員督導(dǎo)安全檢查、維護(hù)、培訓(xùn)工作。建立健全信息安全管理保障制度體系,包括機(jī)房安全管理制度、人員安全管理制度、運(yùn)維安全管理規(guī)范。建立行之有效的安全應(yīng)急響應(yīng)預(yù)案及常規(guī)化的信息安全培訓(xùn)及預(yù)防演練,形成長期的安全風(fēng)險管控機(jī)制。
3.3加強(qiáng)安全意識和管理能力
通過落實(shí)等級保護(hù)制度的各項(xiàng)要求,認(rèn)識安全意識在信息安全工作中的重要性和必要性,調(diào)動安全保護(hù)的自覺主動性,加大安全保護(hù)的資金投入力度,優(yōu)化安全管理資源及策略,主動提升安全保護(hù)能力。同時重視常規(guī)化的信息安全管理教育和培訓(xùn),強(qiáng)化安全管理員和責(zé)任人的安全意識,提高風(fēng)險分析和安全性評估等能力,信息系統(tǒng)安全整體管理水平將得到提高。
3.4強(qiáng)化安全保護(hù)技術(shù)實(shí)施
醫(yī)院開展信息安全等級保護(hù)工作可加深分級、分域的縱深防御理念,進(jìn)一步結(jié)合終端安全、身份認(rèn)證、網(wǎng)絡(luò)安全、容災(zāi)技術(shù),建立統(tǒng)一的安全監(jiān)控平臺和安全運(yùn)行中心。根據(jù)測評報告及建設(shè)整改建議,增強(qiáng)對應(yīng)用系統(tǒng)的授權(quán)訪問,終端計算機(jī)的安全控制,網(wǎng)絡(luò)流量的異常監(jiān)控,業(yè)務(wù)與數(shù)據(jù)安全保障,惡意軟件和攻擊行為的防御、發(fā)現(xiàn)及阻擊等功能,深層次提高抵御外部和內(nèi)部信息安全威脅的能力。
3.5優(yōu)化第三方技術(shù)服務(wù)
與安全技術(shù)服務(wù)機(jī)構(gòu)建立長期穩(wěn)定的合作關(guān)系,引進(jìn)并優(yōu)化第三方技術(shù)資源,搭建安全保護(hù)技術(shù)的學(xué)習(xí)橋梁與交流平臺。在安全技術(shù)與管理方面加固信息安全防護(hù)措施,完善信息安全管理制度,同時通過安全技術(shù)管理培訓(xùn)強(qiáng)化醫(yī)院工作人員信息安全保護(hù)意識,提高信息安全隊(duì)伍的技術(shù)與管理水平,共同為醫(yī)院系統(tǒng)信息化建設(shè)的快速發(fā)展保駕護(hù)航。總之,醫(yī)院開展信息安全等級保護(hù)工作將有效提高醫(yī)院信息化建設(shè)的整體水平,有利于醫(yī)院信息化建設(shè)過程中同步建設(shè)信息安全設(shè)施,保障信息安全與信息化建設(shè)相協(xié)調(diào);有利于為信息系統(tǒng)安全建設(shè)和管理提供系統(tǒng)性、針對性、可行性的指導(dǎo)和服務(wù);有利于優(yōu)化信息安全資源的配置,重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)、個人隱私、醫(yī)療資源和社會公共衛(wèi)生等方面的重要信息系統(tǒng)的安全[6]。
4結(jié)束語
第4篇:網(wǎng)絡(luò)安全等級保護(hù)管理辦法范文
[關(guān)鍵詞] 網(wǎng)絡(luò) 信息安全 法律保障
美國2002年《聯(lián)邦信息安全管理法》規(guī)定,信息安全指確保信息和信息系統(tǒng)免受非授權(quán)訪問、使用、披露、中斷、修改或破壞,以實(shí)現(xiàn)完整性、機(jī)密性、可用性。那么,網(wǎng)絡(luò)信息安全就是指在網(wǎng)絡(luò)環(huán)境下確保網(wǎng)絡(luò)基礎(chǔ)設(shè)施免遭干擾、破壞,從而實(shí)現(xiàn)網(wǎng)絡(luò)信息的完整性、保密性、可用性和真實(shí)性。
互聯(lián)網(wǎng)是一個開放的網(wǎng)絡(luò),任何團(tuán)體或個人都可以在網(wǎng)上方便地傳送和獲取各種各樣的信息。由于網(wǎng)絡(luò)的迅速發(fā)展而自身的安全防護(hù)能力很弱,許多應(yīng)用系統(tǒng)處于不設(shè)防狀態(tài),存在著極大的安全風(fēng)險和隱患。網(wǎng)絡(luò)在為人們提供便利、帶來效益的同時,也使人類面臨著信息安全方面的巨大挑戰(zhàn)。近年來,因網(wǎng)絡(luò)信息安全而造成的突出事件,如“艷照門事件”、“熊貓燒香事件”等引起了人們的廣泛關(guān)注,也使我們認(rèn)識到建立網(wǎng)絡(luò)信息安全的緊迫性與必要性。網(wǎng)絡(luò)信息不安全可以毀人一輩子,會帶來嚴(yán)重的、惡劣的社會影響和巨大的經(jīng)濟(jì)損失。有人言:電腦不可靠!網(wǎng)絡(luò)更不可靠!在互聯(lián)網(wǎng)時代是否真的無安全可言?除了本身技術(shù)手段之外,我們的法律體系對網(wǎng)絡(luò)信息安全還要去如何加強(qiáng)?這都是我們需要繼續(xù)努力的方向和思考的問題。從法律的角度來探求網(wǎng)絡(luò)信息安全的保障,到底有什么樣的規(guī)范和措施呢?
首先,要明確法律責(zé)任的責(zé)任主體。法律責(zé)任就是由特定法律事實(shí)所引起的對損害予以賠償、補(bǔ)償或接受懲罰的特殊義務(wù)。責(zé)任主體是指因違反法律、違約或法律規(guī)定的事由而承擔(dān)法律責(zé)任的人,包括自然人、法人和其他社會組織。責(zé)任主體對于法律責(zé)任的有無、種類、大小有著密切的關(guān)系。
目前,我國法制體系中就網(wǎng)絡(luò)信息安全問責(zé)中主要是針對違法犯罪的自然人,而忽略了網(wǎng)站的法律責(zé)任。本文認(rèn)為要建立網(wǎng)絡(luò)信息安全的保障,需要強(qiáng)化個人與網(wǎng)站雙方的法律責(zé)任。在網(wǎng)絡(luò)違法犯罪過程中,人是主謀,網(wǎng)站則是主要幫兇。日前,鬧得沸沸揚(yáng)揚(yáng)的“艷照門事件”中,我們追究了原始投放者的法律責(zé)任和傳播者的法律責(zé)任。而且在我國《刑法》中第三百六十四條明確規(guī)定:傳播的書刊、影片、音像、圖片或者其他物品,情節(jié)嚴(yán)重的,處二年以下有期徒刑、拘役或者管制。其別強(qiáng)調(diào)了非牟利的傳播也可以構(gòu)罪。但對于網(wǎng)站傳媒僅僅從道德上予以回?fù)簦狈Ψ杉s束及相關(guān)法律責(zé)任的追究。
按照引起責(zé)任的法律事實(shí)與責(zé)任人的關(guān)系的不同,法律責(zé)任可以分為直接責(zé)任、連帶責(zé)任和替代責(zé)任。根據(jù)法律責(zé)任的類型可把法律責(zé)任分為民事法律責(zé)任、行政法律責(zé)任、刑事法律責(zé)任和違憲責(zé)任。在危害網(wǎng)絡(luò)信息安全的法律問責(zé)中,原始違法犯罪人所造成的不利后果是直接的、明顯的、嚴(yán)重的,應(yīng)承擔(dān)直接法律責(zé)任與刑事法律責(zé)任。后承違法犯罪人(傳播者等)所造成的不利后果是直接的、有一定危害性的,應(yīng)承擔(dān)直接法律責(zé)任與民事法律責(zé)任,情節(jié)特別嚴(yán)重的也應(yīng)追究其刑事責(zé)任,這在我國現(xiàn)有法律體系中已有明確規(guī)定。網(wǎng)站傳媒作為社會組織,理應(yīng)具有職業(yè)操守與社會責(zé)任感,是公民權(quán)利的代言人,是網(wǎng)絡(luò)信息安全的管理者與執(zhí)行者,如在維護(hù)網(wǎng)絡(luò)信息安全的過程中成為了公民私權(quán)的侵犯者,除了予以道德譴責(zé)之外,還要承擔(dān)一定的法律責(zé)任,即相應(yīng)的連帶法律責(zé)任與民事法律責(zé)任。
其次,要以法律手段強(qiáng)化網(wǎng)絡(luò)監(jiān)管。俗話說:三分技術(shù),七分管理。這在網(wǎng)絡(luò)信息安全領(lǐng)域也同樣適用。據(jù)有關(guān)部門統(tǒng)計,在所有的網(wǎng)絡(luò)安全事件中,約有52%是人為因素造成的,25%由火災(zāi)、水災(zāi)等自然災(zāi)害引起,技術(shù)錯誤占10%,組織內(nèi)部人員作案占10%,僅有3%左右是由外部不法人員的攻擊造成。屬于管理方面的原因比重高達(dá)70%以上,而這些安全問題中的95%是可以通過科學(xué)的信息安全管理來避免。因此,在維護(hù)網(wǎng)絡(luò)信息安全過程中,網(wǎng)絡(luò)監(jiān)管是關(guān)鍵,并且應(yīng)由一定的法律來強(qiáng)制保障實(shí)行。
以法律強(qiáng)制手段推行網(wǎng)絡(luò)實(shí)名制。網(wǎng)絡(luò)實(shí)名制指在網(wǎng)絡(luò)環(huán)境中傳遞信息時應(yīng)使用真實(shí)身份資料認(rèn)證的制度。網(wǎng)絡(luò)以計算機(jī)為依托,借助一定的計算機(jī)符號來承載信息,帶有很強(qiáng)的虛擬性。在這個虛擬性高的空間來實(shí)現(xiàn)非虛擬的信息安全管理具有一定的難度,因此就需要用法律的強(qiáng)制手段來推行。比如:上傳網(wǎng)絡(luò)信息的法律約束與管理。無論是個人還是集體要在網(wǎng)絡(luò)中上傳信息應(yīng)受到一定的法律約束。不能是任何人任何時候都可以在任何網(wǎng)站上傳任何信息,如要上傳,應(yīng)有特定的監(jiān)管程序通過網(wǎng)絡(luò)實(shí)名制的信息庫檢驗(yàn)其身份資格的合法性才能進(jìn)行。當(dāng)然這其中涉及到一個公民私權(quán)(個人隱私權(quán)等)的規(guī)避問題,但是我們的法律可以先在部分網(wǎng)站、部分領(lǐng)域?qū)嵭芯W(wǎng)絡(luò)實(shí)名制,等到條件成熟之后再全面推行。
進(jìn)一步推廣與完善電子簽名及相關(guān)法律。電子簽名也稱作“數(shù)字簽名”,是指用符號及代碼組成電子密碼進(jìn)行“簽名”來代替書寫簽名或印章,它采用規(guī)范化的程序和科學(xué)化的方法,用于鑒定簽名人的身份以及對一項(xiàng)數(shù)據(jù)電文內(nèi)容信息的認(rèn)可。2004年8月,我國正式頒布了《中華人民共和國電子簽名法》,并于2005年4月1日起正式施行。這是我國首部真正意義上的信息法律化,它明確了可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。通過應(yīng)用電子簽名認(rèn)證證書實(shí)現(xiàn)網(wǎng)上身份識別認(rèn)證,并確保信息在網(wǎng)絡(luò)中傳輸?shù)谋C苄浴⑼暾浴⒁约靶袨榈牟豢煞裾J(rèn)性。針對目前“電子認(rèn)證”等實(shí)踐中的具體問題,應(yīng)加快相關(guān)法律的建設(shè)與完善。
落實(shí)網(wǎng)絡(luò)信息安全等級評價。網(wǎng)絡(luò)信息系統(tǒng)的安全等級是指國家信息安全監(jiān)督管理部門根據(jù)計算機(jī)網(wǎng)絡(luò)處理信息的敏感程度、業(yè)務(wù)應(yīng)用性質(zhì)和部門重要程度所確認(rèn)的信息網(wǎng)絡(luò)安全保護(hù)能力的級別。信息系統(tǒng)安全等級評價是指評價機(jī)構(gòu)根據(jù)國家信息安全等級技術(shù)標(biāo)準(zhǔn)和管理標(biāo)準(zhǔn),對使用單位的信息網(wǎng)絡(luò)進(jìn)行安全等級檢測、評價和監(jiān)督的活動。對于網(wǎng)絡(luò)信息安全等級評價不合格的單位部門應(yīng)由法律強(qiáng)制撤消其處理網(wǎng)絡(luò)信息等相關(guān)職能或給予一定期限進(jìn)行整改。
加強(qiáng)網(wǎng)絡(luò)實(shí)名制、電子簽名、網(wǎng)絡(luò)信息安全等級評價等一系列法律的建立與完善,是強(qiáng)化網(wǎng)絡(luò)信息安全監(jiān)管的保障。
最后,要進(jìn)一步制定完善信息安全法律法規(guī),加強(qiáng)網(wǎng)絡(luò)信息安全的法律宣傳與教育。國外的信息安全立法活動進(jìn)行較早,尤其是美國的信息安全法律體系較完備。我國的信息安全立法仍處在起步階段,還沒有形成一個具有完整性、適用性、針對性的法律體系。這個法律體系的形成一方面要依賴我國信息化進(jìn)程的深化,另一方面要依賴對信息化和信息安全的深刻認(rèn)識和技術(shù)、法學(xué)意義上的超前研究。我國已有的法律法規(guī)從不同的層次對信息安全問題做出了規(guī)范,如《國家安全法》、《中華人民共和國電子簽名法》、《中華人民共和國計算機(jī)信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)絡(luò)安全保護(hù)管理辦法》等使我們初步有了處罰網(wǎng)絡(luò)信息安全違法犯罪的法律依據(jù),但還有很多領(lǐng)域缺乏對信息犯罪進(jìn)行定罪處罰的法律依據(jù),有待進(jìn)一步完善。
安全意味著受到保護(hù),免受那些有意或以其他方式產(chǎn)生危害的人的攻擊。網(wǎng)絡(luò)安全是對網(wǎng)絡(luò)組件、連接和內(nèi)容的保護(hù)。信息安全是對信息、系統(tǒng)以及使用、存儲和傳輸信息的硬件的保護(hù)。網(wǎng)絡(luò)信息安全的法律法規(guī)教育是計算機(jī)信息系統(tǒng)安全教育的重要內(nèi)容。不管是作為一名計算機(jī)工作人員,還是普通計算機(jī)用戶,都應(yīng)該接受相關(guān)法律法規(guī)的教育。尤其是那些使用網(wǎng)絡(luò)機(jī)會多而且很活躍的群體,更應(yīng)該熟悉和掌握我國的信息安全方面的法律法規(guī)。法律法規(guī)是保證計算機(jī)信息系統(tǒng)安全準(zhǔn)則,法律法規(guī)教育是遵守法律法規(guī)的必由之路。
總之,建立網(wǎng)絡(luò)信息安全問題日益緊迫,為保障公民的合法權(quán)益,健全我國的法制建設(shè),在提高網(wǎng)絡(luò)技術(shù)的同時,我們也要重視相關(guān)法律的完善,使網(wǎng)絡(luò)信息安全切實(shí)得到法律的保障。
參考文獻(xiàn):
[1]郭明瑞:民法[M].高等教育出版社,2005.6
[2]張文顯:法理學(xué)[M].高等教育出版社,2004.5
[3]田文英符秋艷:論網(wǎng)絡(luò)信息安全法的調(diào)整對象[J].情報雜志,2005;(4)
[4]周磊劉可靜:我國網(wǎng)絡(luò)信息安全問題及其立法探討[J]. 圖書情報工作,2006;(5)
第5篇:網(wǎng)絡(luò)安全等級保護(hù)管理辦法范文
為了貫徹國家對信息系統(tǒng)安全保障工作的要求以及等級化保護(hù)堅(jiān)持“積極防御、綜合防范”的方針,需要全面提高信息安全防護(hù)能力。貴州廣電網(wǎng)絡(luò)信息系統(tǒng)建設(shè)需要進(jìn)行整體安全體系規(guī)劃設(shè)計,全面提高信息安全防護(hù)能力,創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境,保護(hù)國家利益,促進(jìn)貴州廣電網(wǎng)絡(luò)信息化的深入發(fā)展。
1安全規(guī)劃的目標(biāo)和思路
貴州廣電網(wǎng)絡(luò)目前運(yùn)營并管理著兩張網(wǎng)絡(luò):辦公網(wǎng)與業(yè)務(wù)網(wǎng);其中辦公網(wǎng)主要用于貴州廣電網(wǎng)絡(luò)各部門在線辦公,重要的辦公系統(tǒng)為OA系統(tǒng)、郵件系統(tǒng)等;業(yè)務(wù)網(wǎng)主要提供貴州廣電網(wǎng)絡(luò)各業(yè)務(wù)部門業(yè)務(wù)平臺,其中核心業(yè)務(wù)系統(tǒng)為BOSS系統(tǒng)、互動點(diǎn)播系統(tǒng)、安全播出系統(tǒng)、內(nèi)容集成平臺以及寬帶系統(tǒng)等。
基于對貴州廣電網(wǎng)絡(luò)信息系統(tǒng)的理解和國家信息安全等級保護(hù)制度的認(rèn)識,我們認(rèn)為,信息安全體系是貴州廣電網(wǎng)絡(luò)信息系統(tǒng)建設(shè)的重要組成部分,是貴州廣電網(wǎng)絡(luò)業(yè)務(wù)開展的重要安全屏障,它是一個包含貴州廣電網(wǎng)絡(luò)實(shí)體、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理等五個層面,包括保護(hù)、檢測、響應(yīng)、恢復(fù)四個方面,通過技術(shù)保障和管理制度建立起來的可靠有效的安全體系。
1.1設(shè)計目標(biāo)
貴州廣電網(wǎng)絡(luò)就安全域劃分已經(jīng)進(jìn)行的初步規(guī)劃,在安全域整改中初見成效,然而,安全系統(tǒng)建設(shè)不僅需要建立重要資源的安全邊界,而且需要明確邊界上的安全策略,提高對核心信息資源的保護(hù)意識。貴州廣電網(wǎng)絡(luò)相關(guān)安全管理體系的建設(shè)還略顯薄弱,管理細(xì)則文件亟需補(bǔ)充,安全管理人員亟需培訓(xùn)。因此,本次規(guī)劃重點(diǎn)在于對安全管理體系以及目前的各個業(yè)務(wù)系統(tǒng)進(jìn)行了全面梳理,針對業(yè)務(wù)系統(tǒng)中安全措施進(jìn)行了重點(diǎn)分析,綜合貴州廣電網(wǎng)絡(luò)未來業(yè)務(wù)發(fā)展的方向,進(jìn)行未來五年的信息安全建設(shè)規(guī)劃。
1.2設(shè)計原則
1.2.1合規(guī)性原則
安全設(shè)計要符合國家有關(guān)標(biāo)準(zhǔn)、法規(guī)要求,符合廣電總局對信息安全系統(tǒng)的等級保護(hù)技術(shù)與管理要求。良好的信息安全保障體系必然是分為不同等級的,包括對信息數(shù)據(jù)保密程度分級,對用戶操作權(quán)限分級,對網(wǎng)絡(luò)安全程度分級(安全子網(wǎng)和安全區(qū)域),對系統(tǒng)實(shí)現(xiàn)結(jié)構(gòu)的分級(應(yīng)用層、網(wǎng)絡(luò)層、鏈路層等),從而針對不同級別的安全對象,提供全面、可選的安全技術(shù)和安全體制,以滿足貴州廣電網(wǎng)絡(luò)業(yè)務(wù)網(wǎng)、辦公網(wǎng)系統(tǒng)中不同層次的各種實(shí)際安全需求。
1.2.2技管結(jié)合原則
信息安全保障體系是一個復(fù)雜的系統(tǒng)工程,涉及人、技術(shù)、操作等要素,單靠技術(shù)或單靠管理都不可能實(shí)現(xiàn)。因此,必須將各種安全技術(shù)與運(yùn)行管理機(jī)制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。
1.2.3實(shí)用原則
安全是為了保障業(yè)務(wù)的正常運(yùn)行,不能為了安全而妨礙業(yè)務(wù),同時設(shè)計的安全措施要可以落地實(shí)現(xiàn)。
1.3設(shè)計依據(jù)
1.3.1“原則”符合法規(guī)要求
依據(jù)《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例K國務(wù)院147號令)、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[20〇3]27號)、《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》(公通字[2004]66號)、《信息安全等級保護(hù)管理辦法》(公通字[2007]43號)和GB/T22240-2009《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南》、GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》、《廣播電視安全播出管理規(guī)定》(廣電總局62號令)、GDJ038-CATV|有線網(wǎng)絡(luò)。
2011《廣播電視播出相關(guān)信息系統(tǒng)等級保護(hù)基本要求》,對貴州省廣播電視相關(guān)信息系統(tǒng)安全建設(shè)進(jìn)行規(guī)劃。
1.3.2“策略”符合風(fēng)險管理
風(fēng)險管理是基于“資產(chǎn)-價值-漏洞-風(fēng)險-保障措施”的思想進(jìn)行保障的。風(fēng)險評估與管理的理論與方法已經(jīng)成為國際信息安全的標(biāo)準(zhǔn)。
風(fēng)險管理是靜態(tài)的防護(hù)策略,是在對方攻擊之前的自我鞏固的過程。風(fēng)險分析的核心是發(fā)現(xiàn)信息系統(tǒng)的漏洞,包括技術(shù)上的、管理上的,分析面臨的威脅,從而確定防護(hù)需求,設(shè)計防護(hù)的措施,具體的措施是打補(bǔ)丁,還是調(diào)整管理流程,或者是增加、增強(qiáng)某種安全措施,要根據(jù)用戶對風(fēng)險的可接受程度,這樣就可以與安全建設(shè)的成本之間做一個平衡。
1.3.3“措施”符合P2DR模型
美國ISS公司(IntemetSecuritySystem,INC)設(shè)計開發(fā)的P2DR模型包括安全策略(Policy)、檢測(Detection)、防護(hù)(Protection)和響應(yīng)(Response)四個主要部分,是一個可以隨著網(wǎng)絡(luò)安全環(huán)境的變化而變化的、動態(tài)的安全防御系統(tǒng)。安全策略是整個P2DR模型的中樞,根據(jù)風(fēng)險分析產(chǎn)生的安全策略描述了系統(tǒng)中哪些資源要得到保護(hù),以及如何實(shí)現(xiàn)對它們的保護(hù)等,策略是模型的核心,所有的防護(hù)、檢測和響應(yīng)都是依據(jù)安全策略實(shí)施的。
檢測(Detection)、防護(hù)(Protection)和響應(yīng)(Response)三個部分又構(gòu)成一個變化的、動態(tài)的安全防御體系。P2DR模型是在整體的安全策略的控制和指導(dǎo)下,在綜合運(yùn)用防護(hù)工具(如防火墻、身份認(rèn)證、加密等)的同時,利用檢測工具(如漏洞評估、入侵檢測等)了解和評估系統(tǒng)的安全狀態(tài),通過適當(dāng)?shù)姆磻?yīng)將系統(tǒng)調(diào)整至“最安全”和“風(fēng)險最低”的狀態(tài),在安全策略的指導(dǎo)下保證信息系統(tǒng)的安全[3]。
1.4安全規(guī)劃體系架構(gòu)
在進(jìn)行了規(guī)劃“原則”、“策略”、“措施”探討的基礎(chǔ)上,我們設(shè)計貴州廣電網(wǎng)絡(luò)的安全保障體系架構(gòu)為“一個中心、兩種手段”。
“一個中心”,以安全管理中心為核心,構(gòu)建安全計算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò),確保業(yè)務(wù)系統(tǒng)能夠在安全管理中心的統(tǒng)一管控下運(yùn)行,不會進(jìn)入任何非預(yù)期狀態(tài),從而防止用戶的非授權(quán)訪問和越權(quán)訪問,確保業(yè)務(wù)系統(tǒng)的安全。
“兩種手段”,是安全技術(shù)與安全管理兩種手段,其中安全技術(shù)手段是安全保障的基礎(chǔ),安全管理手段是安全技術(shù)手段真正發(fā)揮效益的關(guān)鍵,管理措施的正確實(shí)施同時需要有技術(shù)手段來監(jiān)管和驗(yàn)證,兩者相輔相成,缺一不可。
2安全保陳方案規(guī)劃
2.1總體設(shè)計
貴州廣電網(wǎng)絡(luò)的安全體系作為信息安全的技術(shù)支撐措施,分為五個方面:
邊界防護(hù)體系:安全域劃分,邊界訪問控制策略的部署,主要是業(yè)務(wù)核心資源的邊界,運(yùn)維人員的訪問通道。
行為審計體系:通過身份鑒別、授權(quán)管理、訪問控制、行為曰志等手段,保證用戶行為的合規(guī)性。
安全監(jiān)控體系:監(jiān)控網(wǎng)絡(luò)中的異常,維護(hù)業(yè)務(wù)運(yùn)行的安全基線,包括安全事件與設(shè)備故障,也包括系統(tǒng)漏洞與升級管理。
公共安全輔助:作為整個網(wǎng)絡(luò)信息安全的基礎(chǔ)服務(wù)系統(tǒng),包括身份認(rèn)證系統(tǒng)、補(bǔ)丁管理系統(tǒng)以及漏洞掃描系統(tǒng)等。
IT基礎(chǔ)設(shè)施:提供智能化、彈能力的基礎(chǔ)設(shè)施,主要的機(jī)房的智能化、服務(wù)器的虛擬化、存儲的虛擬化等。
2.2安全域劃分
劃分安全域的方法是首先區(qū)分網(wǎng)絡(luò)功能區(qū)域,服務(wù)器資源區(qū)、網(wǎng)絡(luò)連接區(qū)、用戶接入?yún)^(qū)、運(yùn)維管理區(qū)、對外公共服務(wù)區(qū);其次是在每個區(qū)域中,按照不同的安全需求區(qū)分不同的業(yè)務(wù)與用戶,進(jìn)一步劃分子區(qū)域;最后,根據(jù)每個業(yè)務(wù)應(yīng)用系統(tǒng),梳理其用戶到服務(wù)器與數(shù)據(jù)庫的網(wǎng)絡(luò)訪問路徑,通過的域邊界或網(wǎng)絡(luò)邊界越少越好。
Z3邊界防護(hù)體系規(guī)劃
邊界包括網(wǎng)絡(luò)邊界、安全域邊界、用戶接口邊界(終端與服務(wù)器)、業(yè)務(wù)流邊界,邊界上部署訪問控制措施,是防止非授權(quán)的“外部”用戶訪問“里面”的資源,因此分析業(yè)務(wù)的訪問流向,是訪問控制策略設(shè)計的依據(jù)。
2.3.1邊界措施選擇
在邊界上我們建議四種安全措施:
1.網(wǎng)絡(luò)邊界:與外部網(wǎng)絡(luò)的邊界是安全防護(hù)的重點(diǎn),我們建議采用統(tǒng)一安全網(wǎng)關(guān)(UTM),從網(wǎng)絡(luò)層到應(yīng)用層的安全檢測,采用防火墻(FW)部署訪問控制策略,采用入侵防御系統(tǒng)(IPS)部署對黑客入侵的檢測,采用病毒網(wǎng)關(guān)(AV)部署對病毒、木馬的防范;為了方便遠(yuǎn)程運(yùn)維工作,與遠(yuǎn)程辦公實(shí)施,在網(wǎng)絡(luò)邊界上部署VPN網(wǎng)關(guān),對遠(yuǎn)程訪問用戶身份鑒別后,分配內(nèi)網(wǎng)地址,給予限制性的訪問授權(quán)。Web服務(wù)的SQL注入、XSS攻擊等。
3.業(yè)務(wù)流邊界:安全需求等級相同的業(yè)務(wù)應(yīng)用采用VLAN隔離,采用路由訪問限制策略;不同部門的接入域也采用VLAN隔離,防止二層廣播,通知可以在發(fā)現(xiàn)安全事件時,開啟不同子域的安全隔離。
4.終端邊界:重點(diǎn)業(yè)務(wù)系統(tǒng)的終端,如運(yùn)維終端,采用終端安全系統(tǒng),保證終端上系統(tǒng)的安全,如補(bǔ)丁的管理、黑名單軟件管理、非法外聯(lián)管理、移動介質(zhì)管理等等。
2.3.2策略更新管理
邊界是提高入侵者的攻擊“門檻”的,部署安全策略重點(diǎn)有兩個方面:一是有針對性。允許什么,不允許什么,是明確的;二是動態(tài)性。就是策略的定期變化,如訪問者的口令、允許遠(yuǎn)程訪問的端口等,變化的周期越短,給入侵者留下的攻擊窗口越小。
2.4行為審計體系規(guī)劃
行為審計是指對網(wǎng)絡(luò)用戶行為進(jìn)行詳細(xì)記錄,直接的好處是可以為事后安全事件取證提供直接證據(jù),間接的好處乇兩方面:對業(yè)務(wù)操作的日志記錄,可以在曰后發(fā)現(xiàn)操作錯誤、確定破壞行為恢復(fù)時提供操作過程的反向操作,最大程度地減小損失;對系統(tǒng)操作的日志記錄,可以分析攻擊者的行為軌跡,從而判斷安全防御系統(tǒng)的漏洞所在,亡羊補(bǔ)牢,可以彌補(bǔ)入侵者下次入侵的危害。
行為審計主要措施包括:一次性口令、運(yùn)維審計(堡壘機(jī))、曰志審計以及網(wǎng)絡(luò)行為審計。
2.5安全監(jiān)控體系規(guī)劃
監(jiān)控體系不僅是網(wǎng)絡(luò)安全態(tài)勢展示平臺,也是安全事件應(yīng)急處理的指揮平臺。為了管理工作上的方便,在安全監(jiān)控體系上做到幾方面的統(tǒng)一:
1.運(yùn)維與安全管理的統(tǒng)一:業(yè)務(wù)運(yùn)維與安全同平臺管理,提高安全事件的應(yīng)急處理速度。
2.曰常安全運(yùn)維與應(yīng)急指揮統(tǒng)一:隨時了解網(wǎng)絡(luò)上的設(shè)備、系統(tǒng)、流量、業(yè)務(wù)等狀態(tài)變化,不僅是日常運(yùn)維發(fā)現(xiàn)異常的平臺,而且作為安全事件應(yīng)急指揮的調(diào)度平臺,隨時了解安全事件波及的范圍、影響的業(yè)務(wù),同時確定安全措施執(zhí)行的效果。
3.管理與考核的統(tǒng)一:安全運(yùn)維人員的工作考核就是網(wǎng)絡(luò)安全管理的曰常工作與緊急事件的處理到位,在安全事件的定位、跟蹤、處理過程中,就體現(xiàn)了安全運(yùn)維人員服務(wù)的質(zhì)量。因此對安全運(yùn)維平臺的行為記錄就可以為運(yùn)維人員的考核提供一線的數(shù)據(jù)。
安全監(jiān)控措施主要包括安全態(tài)勢監(jiān)控以及安全管理平臺,2.6公共安全輔助系統(tǒng)
作為整個網(wǎng)絡(luò)信息安全的基礎(chǔ)服務(wù)系統(tǒng),需要建設(shè)公共安全輔助系統(tǒng):
1.身份認(rèn)證系統(tǒng):獨(dú)立于所有業(yè)務(wù)系統(tǒng)之外,為業(yè)務(wù)、運(yùn)維提供身份認(rèn)證服務(wù)。
2.補(bǔ)丁管理系統(tǒng):對所有系統(tǒng)、應(yīng)用的補(bǔ)丁進(jìn)行管理,對于通過測試的補(bǔ)丁、重要的補(bǔ)丁,提供主動推送,或強(qiáng)制執(zhí)行的技術(shù)手段,保證網(wǎng)絡(luò)安全基線。
3.漏洞掃描系統(tǒng):對于網(wǎng)絡(luò)上設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫、業(yè)務(wù)系統(tǒng)等的漏洞要及時了解,對于不能打補(bǔ)丁的系統(tǒng),要確認(rèn)有其他安全策略進(jìn)行防護(hù)。漏洞掃描分為兩個方面,一是系統(tǒng)本身的漏洞,二是安全域邊界部署了安全措施之后,實(shí)際用戶所能訪問到的漏洞(滲透性測試服務(wù))。
2.7IT基礎(chǔ)設(shè)施規(guī)劃
IT基礎(chǔ)設(shè)施是所有網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)服務(wù)的基礎(chǔ),具備一個優(yōu)秀的基礎(chǔ)架構(gòu),不僅可以快速、靈活地支撐各種業(yè)務(wù)系統(tǒng)的有效運(yùn)行,而且可以極大地提高基礎(chǔ)IT資源的利用率,節(jié)省資金投入,達(dá)到環(huán)保的要求。
IT基礎(chǔ)設(shè)施的優(yōu)化主要體現(xiàn)在三個方面:智能機(jī)房、服務(wù)器虛擬化、存儲虛擬化。
3安全筐理體系規(guī)劃
在系統(tǒng)安全的各項(xiàng)建設(shè)內(nèi)容中,安全管理體系的建設(shè)是關(guān)鍵和基礎(chǔ),建立一套科學(xué)的、可靠的、全面而有層次的安全管理體系是貴州省廣播電視信息網(wǎng)絡(luò)股份有限公司安全建設(shè)的必要條件和基本保證。
3_1安全管理標(biāo)準(zhǔn)依據(jù)
以GBAT22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》中二級、三級安全防護(hù)能力為標(biāo)準(zhǔn),對貴州廣電網(wǎng)絡(luò)安全管理體系的建設(shè)進(jìn)行設(shè)計。
3.2安全管理體系的建設(shè)目標(biāo)
通過有效的進(jìn)行貴州廣電網(wǎng)絡(luò)的安全管理體系建設(shè),最終要實(shí)現(xiàn)的目標(biāo)是:采取集中控制模式,建立起貴州廣電網(wǎng)絡(luò)完整的安全管理體系并加以實(shí)施與保持,實(shí)現(xiàn)動態(tài)的、系統(tǒng)的、全員參與的、制度化的、以預(yù)防為主的安全管理模式,從而在管理上確保全方位、多層次、快速有效的網(wǎng)絡(luò)安全防護(hù)。
3.3安全管理建設(shè)指導(dǎo)思想
各種標(biāo)準(zhǔn)體系文件為信息安全管理建設(shè)僅僅提供一些原則性的建議,要真正構(gòu)建符合貴州廣電網(wǎng)絡(luò)自身狀況的信息安全管理體系,在建設(shè)過程中應(yīng)當(dāng)以以下思想作為指導(dǎo):“信CATV丨有線網(wǎng)絡(luò)息安全技術(shù)、信息安全產(chǎn)品是信息安全管理的基礎(chǔ),信息安全管理是信息安全的關(guān)鍵,人員管理是信息安全管理的核心,信息安全政策是進(jìn)行信息安全管理的指導(dǎo)原則,信息安全管理體系是實(shí)現(xiàn)信息安全管理最為有效的手段。”
3.4安全管理體系的建設(shè)具體內(nèi)容
GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》(以下簡稱《基本要求》)對信息系統(tǒng)的安全管理體系提出了明確的指導(dǎo)和要求。我們應(yīng)以《基本要求》為標(biāo)準(zhǔn),結(jié)合目前貴州廣電網(wǎng)絡(luò)安全管理體系的現(xiàn)狀,對廣電系統(tǒng)的管理機(jī)構(gòu)、管理制度、人員管理、技術(shù)手段四個方面進(jìn)行建設(shè)和加強(qiáng)。同時,由于信息安全是一個動態(tài)的系統(tǒng)工程,所以,貴州廣電網(wǎng)絡(luò)還必須對信息安全管理措施不斷的加以校驗(yàn)和調(diào)整,以使管理體系始終適應(yīng)和滿足實(shí)際情況的需要,使貴州廣電網(wǎng)絡(luò)的信息資產(chǎn)得到有效、經(jīng)濟(jì)、合理的保護(hù)。
貴州廣電網(wǎng)絡(luò)的安全管理體系主要包括安全管理機(jī)構(gòu)、安全管理制度、安全標(biāo)準(zhǔn)規(guī)范和安全教育培訓(xùn)等方面。
通過組建完整的信息網(wǎng)絡(luò)安全管理機(jī)構(gòu),設(shè)置安全管理人員,規(guī)劃安全策略、確定安全管理機(jī)制、明確安全管理原則和完善安全管理措施,制定嚴(yán)格的安全管理制度,合理地協(xié)調(diào)法律、技術(shù)和管理三種因素,實(shí)現(xiàn)對系統(tǒng)安全管理的科學(xué)化、系統(tǒng)化、法制化和規(guī)范化,達(dá)到保障貴州廣電網(wǎng)絡(luò)信息系統(tǒng)安全的目的。
3.5曰常安全運(yùn)維3.5.1安全風(fēng)險評估
安全風(fēng)險評估是建立主動防御安全體系的重要和關(guān)鍵環(huán)節(jié),這環(huán)的工作做好了可以減少大量的安全威脅,提升整個信息系統(tǒng)的對網(wǎng)絡(luò)災(zāi)難的免疫能力;風(fēng)險評估是信息安全管理體系建立的基礎(chǔ),是組織平衡安全風(fēng)險和安全投入的依據(jù),也是信息安全管理體系測量業(yè)績、發(fā)現(xiàn)改進(jìn)機(jī)會的最重要途徑。
3.5.2網(wǎng)絡(luò)管理與安全管理
網(wǎng)絡(luò)管理與安全管理的主要措施包括:出入控制、場地與設(shè)施安全管理、網(wǎng)絡(luò)運(yùn)行狀態(tài)監(jiān)控、安全設(shè)備監(jiān)控、安全事件監(jiān)控與分析、提出預(yù)防措施。
3.5.3備份與容災(zāi)管理
貴州廣電網(wǎng)絡(luò)主要關(guān)鍵業(yè)務(wù)系統(tǒng)需要雙機(jī)本地?zé)醾洹?shù)據(jù)離線備份措施;其他相關(guān)業(yè)務(wù)應(yīng)用系統(tǒng)需要數(shù)據(jù)離線備份措施。
3.5.4應(yīng)急響應(yīng)計劃
通過建立應(yīng)急相應(yīng)機(jī)構(gòu),制定應(yīng)急響應(yīng)預(yù)案,通過建立專家資源庫、廠商資源庫等人力資源措施,通過對應(yīng)急響應(yīng)有線網(wǎng)絡(luò)ICATV預(yù)案不低于一年兩次的演練,可以在發(fā)生緊急事件時,做到規(guī)范化操作,更快的恢復(fù)應(yīng)用和數(shù)據(jù),并最大可能的減少損失
3.6安全人員管理
信息系統(tǒng)的運(yùn)行是依靠在各級黨政機(jī)構(gòu)工作的人員來具體實(shí)施的,他們既是信息系統(tǒng)安全的主體,也是系統(tǒng)安全管理的對象。所以,要確保信息系統(tǒng)的安全,首先應(yīng)加強(qiáng)人事安全管理。
安全人員應(yīng)包括:系統(tǒng)安全管理員、系統(tǒng)管理員、辦公自動化操作人員、安全設(shè)備操作員、軟硬件維修人員和警衛(wèi)人員。
其中系統(tǒng)管理員、系統(tǒng)安全管理員必須由不同人員擔(dān)當(dāng)。3.7技術(shù)安全管理
主要措施包括:軟件管理、設(shè)備管理、備份管理以及技術(shù)文檔管理。
4安全規(guī)劃分期建設(shè)路線
信息安全保障重要的是過程,而不一定是結(jié)果,重要的是安全意識的提高,而不一定是安全措施的多少。因此,信息安全建設(shè)也應(yīng)該從保障業(yè)務(wù)運(yùn)營為目標(biāo),提高用戶自身的安全意識為思路,根據(jù)業(yè)務(wù)應(yīng)用的模式與規(guī)模逐步、分階段建設(shè),同時還要符合國家與廣電總局關(guān)于等級保護(hù)的技術(shù)與管理要求。
4.1主要的工作內(nèi)容
根據(jù)安全保障方案規(guī)劃的設(shè)計,貴州廣電網(wǎng)絡(luò)的信息安全建設(shè)分為如下幾個方面的內(nèi)容:
1.網(wǎng)絡(luò)優(yōu)化改造:主要是安全域的劃分,網(wǎng)絡(luò)結(jié)構(gòu)的改造。
2.安全措施部署:邊界隔離措施部署,行為審計系統(tǒng)部署、安全監(jiān)控體系部署。
3.基礎(chǔ)設(shè)施改造:主要是數(shù)據(jù)大集中、服務(wù)器虛擬化、存儲虛擬化。
4.安全運(yùn)維管理:信息安全管理規(guī)范、日常安全運(yùn)維考核、安全檢查與審計流程、安全應(yīng)急演練、曰常安全服務(wù)等。
4.2分期建設(shè)規(guī)劃
4_2.1達(dá)標(biāo)階段(2015-2017)
1.等保建設(shè)
2.信任體系:網(wǎng)絡(luò)審計、運(yùn)維審計、日志審計
3.身份鑒別(一次口令)
4.監(jiān)控平臺:入侵檢測、流量監(jiān)測、木馬監(jiān)測
5.安全管理平臺建設(shè)
6.等保測評通過(2級3級系統(tǒng))
7.安全服務(wù):建立定期模式
8.滲透性測試服務(wù)(外部+內(nèi)部)
9.安全加固服務(wù),建立服務(wù)器安全底線
10.信息安全管理
11.落實(shí)安全管理細(xì)則文件制定
12.落實(shí)安全運(yùn)維與應(yīng)急處理流程
13.完善IT服務(wù)流程,建設(shè)安全運(yùn)維管理平臺
14.定期安全演練與培訓(xùn)
4.2.2持續(xù)改進(jìn)階段(2018?2019)
1.等保建設(shè)
2.完善信息安全防護(hù)體系
3.提升整體防護(hù)能力
4.深度安全服務(wù)
5.有針對性安全演練,協(xié)調(diào)改進(jìn)管理與技術(shù)措施
6.源代碼安全審計服務(wù)(新上線業(yè)務(wù))
7.信息安全管理
8.持續(xù)改進(jìn)運(yùn)維與應(yīng)急流程與制度,提高應(yīng)急反應(yīng)能力
9.提高運(yùn)維效率,開拓運(yùn)維增值模式
5結(jié)東語
第6篇:網(wǎng)絡(luò)安全等級保護(hù)管理辦法范文
近年來,國信辦組織了幾項(xiàng)信息安全試點(diǎn),遍及全國的近三十余家試點(diǎn)單位成為安全探索先行者。當(dāng)通過一年多的努力,為中國信息安全前行之路成功點(diǎn)燃一簇簇“星火”的時候,
他們坦然面對記者說出了這背后的故事。
國稅總局在風(fēng)險評估實(shí)踐中總結(jié)出的差距分析法
有句話是這么說的:道路是什么,道路是人在沒有路的地方用腳踩出來的。
人生的道路是這樣,信息安全之路也是這樣。當(dāng)安全威脅成為信息化進(jìn)程最大阻礙的時候,如何踩出一條網(wǎng)絡(luò)信息安全之路,就成為政府主管部門思考的問題。
2006年,為貫徹落實(shí)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號文件),形成與國際標(biāo)準(zhǔn)相銜接的中國特色的信息安全標(biāo)準(zhǔn)體系,以更好應(yīng)對未來日益嚴(yán)峻的信息安全威脅,國務(wù)院信息化工作辦公室會同相關(guān)部門,組織了三項(xiàng)信息安全試點(diǎn),包括:電子政務(wù)信息安全試點(diǎn)、信息安全風(fēng)險評估試點(diǎn)、信息安全管理標(biāo)準(zhǔn)應(yīng)用試點(diǎn)。總共有三十余家試點(diǎn)單位參加了相關(guān)試點(diǎn)工作。
因?yàn)樯婕皣倚畔踩磥順?biāo)準(zhǔn)和技術(shù)道路的探索,所有的試點(diǎn)單位一直都仿佛蒙上一層神秘的面紗。這些探索者究竟做了一些什么工作?它們的先行又為我國信息安全事業(yè)踏出什么樣的實(shí)踐之路?近日,在國信辦召開的全國地方信息安全處長會議間歇,記者走近本次試點(diǎn)工作六個優(yōu)秀試點(diǎn)單位代表,揭開了一直罩在這些試點(diǎn)單位頭上那層神秘的面紗,看到了他們的努力和汗水,以及試點(diǎn)工作探*索出來的寶貴經(jīng)驗(yàn)。政務(wù)馳入安全互聯(lián)網(wǎng)模式
試點(diǎn)方向:電子政務(wù)信息安全
訪談人物:河南省濟(jì)源市信息辦副主任焦依平
電子政務(wù)是國家信息化的重中之重,而信息安全又是電子政務(wù)順利完成的重中之重。
為貫徹落實(shí)中辦發(fā)27號文件精神,研究解決電子政務(wù)信息安全建設(shè)和管理中的一些共性問題,探索電子政務(wù)信息安全保障方法,國信辦會同國家保密局、國家密碼管理局、公安部十一局,從2005年10月開始,在廣東、河南、天津、重慶4個省市開展了電子政務(wù)信息安全試點(diǎn)。
這4個試點(diǎn)具體方向各有不同,其中河南濟(jì)源市探索的方向是如何基于互聯(lián)網(wǎng)開展電子政務(wù)建設(shè)、保障信息安全問題。“我們按照‘保安全,促應(yīng)用’的思路,構(gòu)建了基于互聯(lián)網(wǎng)的電子政務(wù)信息安全保障體系,探索出了一條低成本建設(shè)電子政務(wù)的新路子。”焦依平現(xiàn)在談起試點(diǎn),依然抑制不住激動的心情。
焦依平介紹說,濟(jì)源市通信光纖現(xiàn)已覆蓋到村,政務(wù)部門全部接入了互聯(lián)網(wǎng),但是統(tǒng)計下來,濟(jì)源市政務(wù)信息中部分總量不超過3%。如果僅為了3%的信息傳遞投入巨資建專網(wǎng),顯然投入和效益不能平衡,這也與電子政務(wù)建設(shè)的初衷相違背。為此,濟(jì)源市按照國信辦和河南省信息辦的要求,不拉專線,完全基于互聯(lián)網(wǎng),開展電子政務(wù)建設(shè)。
濟(jì)源市試點(diǎn)系統(tǒng)建設(shè)內(nèi)容包括以下幾項(xiàng):一是基于互聯(lián)網(wǎng)建設(shè)連接全市所有黨政部門和鄉(xiāng)鎮(zhèn)的電子政務(wù)網(wǎng)絡(luò);二是在互聯(lián)網(wǎng)上建設(shè)政務(wù)辦公、項(xiàng)目審批管理、12345便民熱線、新農(nóng)村信息服務(wù)等4個應(yīng)用系統(tǒng);三是在進(jìn)行網(wǎng)絡(luò)和應(yīng)用系統(tǒng)建設(shè)的同時開展信息安全試點(diǎn),建設(shè)基于互聯(lián)網(wǎng)電子政務(wù)信息安全支撐平臺。
那么,如何真正用技術(shù)實(shí)現(xiàn)政務(wù)網(wǎng)絡(luò)互聯(lián)網(wǎng)辦公的安全需求呢?焦依平介紹說,試點(diǎn)工程遵循信息安全系統(tǒng)工程思想,按照“適度安全,促進(jìn)應(yīng)用,綜合防范”的原則和等級保護(hù)的要求,采用集成創(chuàng)新的技術(shù)路線,綜合運(yùn)用以密碼為核心的信息安全技術(shù),合理配置信息安全保密設(shè)備和安全策略,建設(shè)一個技術(shù)先進(jìn)、安全可靠的基于互聯(lián)網(wǎng)的電子政務(wù)信息安全支撐平臺,形成一體化的分級防護(hù)安全保障體系,為電子政務(wù)提供可靠、有效的安全保障。
從安全技術(shù)實(shí)現(xiàn)上,據(jù)焦依平介紹,濟(jì)源市試點(diǎn)工程的安全支撐平臺涉及網(wǎng)絡(luò)安全和應(yīng)用安全兩部分,本次試點(diǎn)網(wǎng)絡(luò)安全系統(tǒng)共建設(shè)7個安全子系統(tǒng):一是VPN系統(tǒng),由VPN密碼機(jī)、VPN客戶端和VPN管理系統(tǒng)組成,共同完成域間安全互聯(lián)、移動安全接入、用戶接入控制與網(wǎng)絡(luò)邊界安全等功能,其中中心機(jī)房的VPN密碼機(jī)帶有防火墻功能;二是統(tǒng)一身份認(rèn)證與授權(quán)管理系統(tǒng),完成用戶統(tǒng)一身份認(rèn)證、授權(quán)管理等功能;三是網(wǎng)絡(luò)防病毒系統(tǒng),部署于安全服務(wù)區(qū),完成網(wǎng)絡(luò)防病毒功能;四是網(wǎng)頁防篡改系統(tǒng),部署于政府網(wǎng)站,提供網(wǎng)站立即恢復(fù)的手段和功能;五是入侵檢測系統(tǒng),部署于中心交換機(jī),對網(wǎng)絡(luò)入侵事件進(jìn)行主動防御;六是網(wǎng)絡(luò)審計系統(tǒng)部署于中心交換機(jī),對網(wǎng)絡(luò)事件進(jìn)行記錄,方便事后追蹤;七是桌面安全防護(hù)系統(tǒng),部署在用戶終端,提供網(wǎng)絡(luò)防護(hù)、病毒防護(hù)、存儲安全、郵件安全等一體化的終端安全保護(hù)。
對于目前試點(diǎn)效果,焦依平認(rèn)為,從實(shí)際效果來說,一是低成本建設(shè)了安全的政務(wù)網(wǎng)絡(luò),實(shí)際投入620萬元,比原計劃專網(wǎng)方式預(yù)算總投資節(jié)約48.3%;二是實(shí)現(xiàn)了安全政務(wù)辦公和可信政務(wù)服務(wù),全市各部門已100%實(shí)現(xiàn)了安全互聯(lián),網(wǎng)絡(luò)可達(dá)鄉(xiāng)鎮(zhèn),試點(diǎn)村;三是實(shí)現(xiàn)了安全的移動辦公,打破了電子政務(wù)應(yīng)用只能在本地訪問的局限。而從長遠(yuǎn)來講,濟(jì)源市已經(jīng)初步建成安全、開放、實(shí)用的全面基于互聯(lián)網(wǎng)的電子政務(wù)系統(tǒng)。
電子政務(wù)內(nèi)外互通
試點(diǎn)方向:電子政務(wù)信息安全
訪談人物:廣東省信息中心副主任曾強(qiáng)
目前,妨礙電子政務(wù)系統(tǒng)互聯(lián)互通的主要原因就是由此帶來的信息安全問題。跟濟(jì)源市試點(diǎn)方向不同,廣東省的試點(diǎn)方向主要是通過等級保護(hù),探索解決省、市、縣(區(qū))電子政務(wù)系統(tǒng)的信息共享與互聯(lián)互通問題。曾強(qiáng)介紹說,面對國信辦試點(diǎn)布置的這個大命題,廣東省將試點(diǎn)命題細(xì)化成以下幾個方面:由廣東省民政廳及東莞、深圳兩市民政局以及地下救助站完成民政4個業(yè)務(wù)系統(tǒng)縱向互聯(lián)互通試點(diǎn);由省政府辦公廳完成視頻會議系統(tǒng)省府門戶網(wǎng)站試點(diǎn);由佛山市政府完成財稅庫銀互聯(lián)互通系統(tǒng)試點(diǎn);由江門市政府完成開放互聯(lián)環(huán)境下的信息安全解決方案試點(diǎn);由佛山市南海區(qū)政府完成大社保6個分系統(tǒng)橫向互聯(lián)互通試點(diǎn)。
關(guān)于如何解決在不同的電子政務(wù)系統(tǒng)之間,安全實(shí)現(xiàn)互聯(lián)互通以及資源共享問題,曾強(qiáng)介紹說,試點(diǎn)工作中,廣東省綜合運(yùn)用等級保護(hù)和風(fēng)險評估相結(jié)合的方法,確定了解決互聯(lián)互通問題的基本思路:一是明確系統(tǒng)的重要程度,確定系統(tǒng)安全等級,采取與系統(tǒng)安全等級相適應(yīng)的安全保護(hù)措施;二是按照有條件互聯(lián)、共享可控制的原則,確定需要共享的系統(tǒng)和應(yīng)用以及需要共享的數(shù)據(jù),保證只共享那些確實(shí)需要共享的數(shù)據(jù),以保護(hù)系統(tǒng)中原有信息的安全;三是在進(jìn)行系統(tǒng)互聯(lián)的部門之間建立共同的安全管理機(jī)制,明確系統(tǒng)互聯(lián)后的安全管理責(zé)任、管理邊界、安全事件協(xié)同處理等機(jī)制;四是對系統(tǒng)互聯(lián)的安全風(fēng)險進(jìn)行評估,全面分析低安全等級的系統(tǒng)給高安全等級的系統(tǒng)帶來的安全風(fēng)險;五是針對系統(tǒng)互聯(lián)的安全風(fēng)險,確定關(guān)鍵的安全控制要素,如互聯(lián)邊界的訪問控制、系統(tǒng)互聯(lián)的安全傳輸?shù)龋⒙鋵?shí)具體的安全措施,保障系統(tǒng)互聯(lián)、數(shù)據(jù)共享的安全。
在以上措施的執(zhí)行下,廣東省取得了初步成功,形成了《廣東省電子政務(wù)系統(tǒng)定級規(guī)范》、《廣東省電子政務(wù)系統(tǒng)互聯(lián)互通安全規(guī)范》等地方指導(dǎo)性文件。
風(fēng)險規(guī)避預(yù)先保障
試點(diǎn)方向:信息安全風(fēng)險評估
訪談人物:國家稅務(wù)總局處長李建彬
上海市信息化委員會信息安全測評中心
總工程師應(yīng)力
信息網(wǎng)絡(luò),風(fēng)險無處不在,防患于未然是上上之策。這也是風(fēng)險評估安全保障的內(nèi)涵所在。國信辦于2005年2月組織北京市、上海市、黑龍江省、云南省、中國人民銀行、國家稅務(wù)總局、國家電網(wǎng)公司、國家信息中心等地方和部門開展信息安全風(fēng)險評估試點(diǎn)工作。
國家稅務(wù)總局在廣東地稅南海數(shù)據(jù)中心所進(jìn)行的風(fēng)險評估試點(diǎn),最大的亮點(diǎn)就是具有創(chuàng)新精神的“差距分析法”。
李建彬在介紹廣東南海試點(diǎn)經(jīng)驗(yàn)時,將差距分析法用一句話概括,就是“通過找出安全目標(biāo)與現(xiàn)實(shí)系統(tǒng)差距,從而得出風(fēng)險分析報告”。在試點(diǎn)工作中,李建彬感觸最深的就是,要對系統(tǒng)生命周期的整個過程都持續(xù)不斷地引入風(fēng)險評估,盡量避免“先運(yùn)行,后評估”的亡羊補(bǔ)牢式工作流程,以降低信息系統(tǒng)整體的信息安全風(fēng)險等級。此外,李建彬還提出在風(fēng)險評估工作具體實(shí)施過程中必須重點(diǎn)考慮以下幾點(diǎn):
首先是風(fēng)險評估與等級保護(hù)有密切的關(guān)系。類別和級別都是信息系統(tǒng)的固有屬性,通過風(fēng)險評估可以識別系統(tǒng)的類別和安全級別,從而落實(shí)“等級保護(hù)”這一國家政策。但是系統(tǒng)的安全級別不應(yīng)該一刀切,可考慮將系統(tǒng)最高安全級別部分的安全等級作為系統(tǒng)的安全等級。其次是系統(tǒng)分析是系統(tǒng)安全評估的基礎(chǔ)工作。再次是行業(yè)性系統(tǒng)安全要求在風(fēng)險評估中起決定作用,不同行業(yè)的系統(tǒng)有著不同的安全要求,必須為不同行業(yè)、不同類型的系統(tǒng)制定適應(yīng)其特點(diǎn)的系統(tǒng)安全要求。最后,通過安全風(fēng)險評估工作進(jìn)一步完善系統(tǒng)安全總體設(shè)計。
上海市在很早的時候就開始對風(fēng)險評估進(jìn)行探索。2002年上海市就確立180家重點(diǎn)信息安全責(zé)任單位(2004年調(diào)整為163家),涉及重要政府部門、公共事業(yè)單位、基礎(chǔ)網(wǎng)絡(luò)和涉及國計民生的重要信息系統(tǒng)。2006年,上海市了《上海市公共信息系統(tǒng)安全測評管理辦法》,又于2007年1月出臺了《上海市市級機(jī)關(guān)信息系統(tǒng)建設(shè)與管理指南》。之后,上海市信息委又出臺了關(guān)于風(fēng)險評估工作的實(shí)施意見,明確建立自評估與檢查評估制度的原則、工作安排。
上海市信息安全測評中心總工程師應(yīng)力博士在介紹上海市的風(fēng)險評估實(shí)踐經(jīng)驗(yàn)時,多次強(qiáng)調(diào)要引導(dǎo)各單位進(jìn)行自評估建設(shè),讓信息安全風(fēng)險評估成為政府及企事業(yè)信息安全建設(shè)的常態(tài),在系統(tǒng)的設(shè)計階段、驗(yàn)收階段、運(yùn)行階段,都需要進(jìn)行風(fēng)險評估工作,形成“預(yù)防為主,持續(xù)改進(jìn)”的風(fēng)險評估機(jī)制。應(yīng)力認(rèn)為,對信息安全主管機(jī)關(guān)來說,風(fēng)險評估是一種管理措施,通過風(fēng)險評估,領(lǐng)導(dǎo)者可以了解信息系統(tǒng)的安全現(xiàn)狀,從而為管理決策提供依據(jù)。
信息安全重在管理
試點(diǎn)方向:信息安全管理標(biāo)準(zhǔn)應(yīng)用
訪談人物:北京市海淀區(qū)信息辦主任張澤根
深交所ISMS項(xiàng)目組張興東
有專家提出:“信息安全系統(tǒng)是三分技術(shù),七分管理。”可見信息安全管理在整個信息安全保障體系中的重要性。
國信辦網(wǎng)絡(luò)與信息安全組與全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會共同于2006年3月開始,在北京市、上海市、國家稅務(wù)總局、中國證監(jiān)會和武漢鋼鐵(集團(tuán))公司選取了相關(guān)單位,對國際上通用的,也是已經(jīng)列入國家標(biāo)準(zhǔn)制、修訂計劃的兩個信息安全管理標(biāo)準(zhǔn),即ISO/IEC 27001:2005《信息安全管理體系要求》和ISO/IEC 17799:2005《信息安全管理使用規(guī)則》,組織了應(yīng)用試點(diǎn)。
北京市海淀區(qū)信息辦張澤根主任在具體介紹北京市海淀區(qū)信息安全管理體系實(shí)踐經(jīng)驗(yàn)時,感觸最深的就是在參考國際標(biāo)準(zhǔn)ISO/IEC27001和ISO/IEC17799的基礎(chǔ)上,結(jié)合海淀區(qū)原有ISO9001管理體系,取得了事半功倍的實(shí)際效果。通過ISMS的運(yùn)行實(shí)踐,海淀區(qū)信息辦建立了信息安全管理體系,為進(jìn)一步通過ISO/IEC27001認(rèn)證做了很好的準(zhǔn)備,同時還對ISMS與風(fēng)險評估和等級保護(hù)的關(guān)系進(jìn)行了有益的探索。ISMS為解決海淀區(qū)信息安全問題,提供了良好的方法和管理機(jī)制,并且為政府的信息化建設(shè)通過避免安全事故和合理分配經(jīng)費(fèi)兩種方式很好地節(jié)約了建設(shè)經(jīng)費(fèi)。
在ISMS項(xiàng)目試點(diǎn)實(shí)施前,深交所ISMS項(xiàng)目組就確定了項(xiàng)目實(shí)施不能流于形式的總體工作思路。深交所ISMS項(xiàng)目組張興東介紹經(jīng)驗(yàn)時,認(rèn)為除了利用技術(shù)調(diào)查手段之外,還需要深入各個層面調(diào)研,充分了解深交所的信息安全現(xiàn)狀,利用多種方法相互補(bǔ)充、相互印證,以提高調(diào)查質(zhì)量,為項(xiàng)目后期的實(shí)施打下良好的基礎(chǔ)。
第7篇:網(wǎng)絡(luò)安全等級保護(hù)管理辦法范文
關(guān)鍵詞:網(wǎng)絡(luò)信息安全;等級保護(hù)
中圖分類號:TP311 文獻(xiàn)標(biāo)識碼:A文章編號:1007-9599 (2011) 14-0000-02
The Public Security Frontier Forces Information Security Construction Discussion
Jiang Haijun
(Liaoning Province Public Security Border Defense Corps Logistics Base,Shenyang110136,China)
Abstract:This article according to the public security Frontier forces network and the information security present situation,had determined by the internal core data protection network and the information security system construction goal primarily,through the pass word method safeguard internal data security,achieves the data security rank protection the request.
Keywords:Network information security;Level protection
隨著科學(xué)技術(shù)和邊防部隊(duì)勤務(wù)工作的深入發(fā)展,信息化建設(shè)已成為提高邊防執(zhí)法水平的有力途徑,全國邊防部隊(duì)近年來已基本實(shí)現(xiàn)信息資源網(wǎng)絡(luò)化。但是,緊隨信息化發(fā)展而來的網(wǎng)絡(luò)安全問題日漸凸出,給邊防部隊(duì)管理工作帶來了新的挑戰(zhàn),筆者結(jié)合邊防部隊(duì)當(dāng)前網(wǎng)絡(luò)安全工作實(shí)際,就如何構(gòu)建全方位的網(wǎng)絡(luò)安全管理體系略陳管見。
一、影響邊防部隊(duì)信息網(wǎng)絡(luò)安全的主要因素分析
(一)物理層的安全問題。構(gòu)成網(wǎng)絡(luò)的一些計算機(jī)設(shè)備主要包括各種服務(wù)器、計算機(jī)、路由器、交換機(jī)、集線器等硬件實(shí)體和通信鏈路,這些設(shè)備分向在各種不同的地方,管理困難。其中任何環(huán)節(jié)上的失誤都有可能引起網(wǎng)絡(luò)的癱瘓。物理安全是制定區(qū)域網(wǎng)安全解決方案時首先應(yīng)考慮的問題。
(二)計算機(jī)病毒或木馬的危害。計算機(jī)病毒影響計算機(jī)系統(tǒng)的正常運(yùn)行、破壞系統(tǒng)軟件和文件系統(tǒng)、破壞網(wǎng)絡(luò)資源、使網(wǎng)絡(luò)效率急劇下降、甚至造成計算機(jī)和網(wǎng)絡(luò)系統(tǒng)的癱瘓,是影響網(wǎng)絡(luò)安全的豐要因素。新型的木馬和病毒的界限越來越模糊,木馬往往借助病毒強(qiáng)大的繁殖功能使其傳播更加廣泛。
(三)黑客的威脅和攻擊。現(xiàn)在各類打著安全培訓(xùn)旗號的黑客網(wǎng)站不勝枚舉,大量的由淺到深的視頻教程,豐富的黑客軟件使得攻擊變得越來越容易,攻擊者的年齡也呈現(xiàn)低齡化,攻擊越演越烈。黑客入侵的常用手法有:系統(tǒng)溢出、端口監(jiān)聽、端口掃描、密碼破解、腳本滲透等。
二、邊防部隊(duì)信息網(wǎng)絡(luò)安全的特征分析
(一)網(wǎng)絡(luò)安全管理范圍不斷擴(kuò)大。從工作點(diǎn)來看,網(wǎng)絡(luò)覆蓋范圍已從機(jī)關(guān)直接深入到基層一線,從機(jī)關(guān)辦公大樓到沿邊沿海的邊檢站、派出所。凡是有網(wǎng)絡(luò)接入點(diǎn)的地方,無論是物理線路還是無線上網(wǎng)點(diǎn)都必須進(jìn)行網(wǎng)絡(luò)安全管理,點(diǎn)多線長,情況復(fù)雜;從工作環(huán)節(jié)來看,從設(shè)備的選購、網(wǎng)絡(luò)的組建、專線的租用到日常網(wǎng)絡(luò)應(yīng)用,從設(shè)備維護(hù)保養(yǎng)、設(shè)備出入庫到送修和報廢,無一不涉及到網(wǎng)絡(luò)信息安全,網(wǎng)絡(luò)安全已滲透到工作的每一個環(huán)節(jié)。如:某單位被通報發(fā)現(xiàn)違規(guī)事件,經(jīng)調(diào)查,結(jié)果是有人將手機(jī)接上公安網(wǎng)計算機(jī)充電,而該手機(jī)正在無線上網(wǎng)。
(二)安全管理對象類型復(fù)雜多樣。目前,公安信息網(wǎng)、互聯(lián)網(wǎng)、業(yè)務(wù)專網(wǎng)、機(jī)要專網(wǎng)在日常工作中頻繁使用,成為管理的難點(diǎn)。同時,公安網(wǎng)上各類使用中的網(wǎng)絡(luò)安全管理軟件系統(tǒng)應(yīng)用有待深化,一些網(wǎng)絡(luò)管理軟件使用功能僅停留在表層,未能成為得力工具。
(三)網(wǎng)絡(luò)安全問題不斷翻新。目前互聯(lián)網(wǎng)、公安網(wǎng)、業(yè)務(wù)網(wǎng)、網(wǎng)四種網(wǎng)絡(luò)必須物理隔離,禁止交叉使用移動存儲介質(zhì),但四種網(wǎng)絡(luò)的信息資源在一定范圍內(nèi)卻必須共享交流。曾經(jīng)出現(xiàn)過這種情況,某單位人員在互聯(lián)網(wǎng)上建立論壇,發(fā)表不健康言論,觸犯邊防部隊(duì)管理?xiàng)l例。究其原因,是因?yàn)槲覀兊木W(wǎng)絡(luò)安全工作一直以來是局限在公安網(wǎng)內(nèi)部,尚未隨著網(wǎng)絡(luò)應(yīng)用發(fā)展趨勢擴(kuò)展到互聯(lián)網(wǎng)的管理上。
三、邊防部隊(duì)信息網(wǎng)絡(luò)安全的技術(shù)分析
網(wǎng)絡(luò)安全產(chǎn)品的自身安全的防護(hù)技術(shù)網(wǎng)絡(luò)安全設(shè)備安全防護(hù)的關(guān)鍵,一個自身不安全的設(shè)備不僅不能保護(hù)被保護(hù)的網(wǎng)絡(luò)而且一旦被入侵,反而會變?yōu)槿肭终哌M(jìn)一步入侵的平臺。
(一)虛擬網(wǎng)技術(shù)。虛擬網(wǎng)技術(shù)主要基于近年發(fā)展的局域網(wǎng)交換技術(shù)(ATM和以太網(wǎng)交換)。交換技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)。因此,網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無需通過開銷很大的路由器。
(二)防火墻技術(shù)。網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實(shí)施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。雖然防火墻是保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。
(三)病毒防護(hù)技術(shù)。病毒歷來是信息系統(tǒng)安全的主要問題之一。由于網(wǎng)絡(luò)的廣泛互聯(lián),病毒的傳播途徑和速度大大加快。在防火墻、服務(wù)器、SMTP服務(wù)器、網(wǎng)絡(luò)服務(wù)器、群件服務(wù)器上安裝病毒過濾軟件。在桌面PC安裝病毒監(jiān)控軟件。
(四)入侵檢測技術(shù)。利用防火墻技術(shù),經(jīng)過仔細(xì)的配置,通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù),降低了網(wǎng)絡(luò)安全風(fēng)險。但是,僅僅使用防火墻、網(wǎng)絡(luò)安全還遠(yuǎn)遠(yuǎn)不夠。需要監(jiān)視的服務(wù)器上安裝監(jiān)視模塊(agent),分別向管理服務(wù)器報告及上傳證據(jù),提供跨平臺的入侵監(jiān)視解決方案;在需要監(jiān)視的網(wǎng)絡(luò)路徑上,放置監(jiān)視模塊(sensor),分別向管理服務(wù)器報告及上傳證據(jù),提供跨網(wǎng)絡(luò)的入侵監(jiān)視解決方案。
四、邊防部隊(duì)信息網(wǎng)絡(luò)安全管理體系的對策
網(wǎng)絡(luò)安全是一個范圍相對較大的概念,根據(jù)具體的實(shí)際情況組成不同安全管控層次或等級的網(wǎng)絡(luò)系統(tǒng),既是網(wǎng)絡(luò)實(shí)際發(fā)展應(yīng)用的趨勢,更是網(wǎng)絡(luò)現(xiàn)實(shí)應(yīng)用的一種必然。
(一)提高多層次的技術(shù)防范措施。按照網(wǎng)絡(luò)實(shí)際應(yīng)用中出現(xiàn)故障的原因和現(xiàn)象,參考網(wǎng)絡(luò)的結(jié)構(gòu)層次,我們可以把網(wǎng)絡(luò)安全工作的對象分為物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全和應(yīng)用層安全,不同層次反映不同的安全問題,采取不同的防范重點(diǎn):一是確保物理環(huán)境的安全性。包括通信線路的安全、物理設(shè)備的安全、機(jī)房的安全等。在內(nèi)網(wǎng)、外網(wǎng)共存的環(huán)境中,可以使用不同顏色的網(wǎng)線、網(wǎng)口標(biāo)記、網(wǎng)口吊牌來標(biāo)記區(qū)分不同的網(wǎng)絡(luò),如灰色的公安網(wǎng)專用,紅色的互聯(lián)網(wǎng)專用,黃色的網(wǎng)專用。二是確保軟硬件設(shè)備安全性。必須預(yù)備一定的備用設(shè)備,并定期備份重要網(wǎng)絡(luò)設(shè)備設(shè)置。對待報廢的各類存儲類配件,一定要進(jìn)行消磁處理,確保信息安全。三是提供良好的設(shè)備運(yùn)行環(huán)境機(jī)房要有嚴(yán)格的防盜、防火、防潮、防靜電、防塵、防高溫、防泄密等措施,并且有單獨(dú)的電源供電系統(tǒng);安裝有計算機(jī)的辦公室要有防塵、防火、防潮、防泄密等措施,電源要符合計算機(jī)工作要求。四是完善操作系統(tǒng)的安全性必須設(shè)置系統(tǒng)自動升級系統(tǒng)補(bǔ)丁。五是加強(qiáng)密碼的管理。存取網(wǎng)絡(luò)上的任何數(shù)據(jù)皆須通過密碼登錄。同時設(shè)制復(fù)雜的計算機(jī)開機(jī)密碼、系統(tǒng)密碼和屏保密碼。
(二)建立嚴(yán)格的網(wǎng)絡(luò)安全管理制度。嚴(yán)格的安全管理制度、明確的部門安全職責(zé)劃分、合理的人員角色配置都可以在很大程度上降低安全漏洞。我們應(yīng)通過制度規(guī)范協(xié)調(diào)網(wǎng)絡(luò)安全的組織、制度建設(shè)、安全規(guī)劃、應(yīng)急計劃,筑起網(wǎng)絡(luò)安全的第一道防線。
(三)合理開放其它類型的網(wǎng)絡(luò)應(yīng)用。目前,很多單位都建立了警營網(wǎng)吧,給官兵提供良好的學(xué)習(xí)娛樂平臺,這種情況下就必須把互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全工作納入安全工作范圍,采取多種方法,規(guī)范和引導(dǎo)官兵進(jìn)行互聯(lián)網(wǎng)的應(yīng)用,合理開放所需的應(yīng)用功能,有效控制不合理的功能應(yīng)用。目前,邊防部隊(duì)的信息網(wǎng)絡(luò)安全技術(shù)的研究仍處于起步階段,有大量的工作需要我們?nèi)ヌ剿骱烷_發(fā)。公安部已在全國范圍內(nèi)大力推進(jìn)信息網(wǎng)絡(luò)安全工作,相信在大家的共同努力下,邊防部隊(duì)將建立起一套完整的網(wǎng)絡(luò)安全體系,確保信息網(wǎng)絡(luò)的安全,推動邊防部隊(duì)信息化高度發(fā)展。
五、結(jié)論
網(wǎng)絡(luò)信息安全系統(tǒng)建設(shè)完成后,將實(shí)現(xiàn)信息系統(tǒng)等級保護(hù)中有關(guān)數(shù)據(jù)安全保護(hù)的基本要求和目標(biāo),尤其是應(yīng)用密碼技術(shù)和手段對信息系統(tǒng)內(nèi)部的數(shù)據(jù)進(jìn)行透明加密保護(hù)。網(wǎng)絡(luò)信息安全系統(tǒng)還為單位內(nèi)部機(jī)密電子文檔的管理提供了一套有效的管理辦法,為電子文檔的泄密提供了追查依據(jù),解決了信息系統(tǒng)使用方便性和安全共享可控制的難點(diǎn),為部隊(duì)深化信息化建設(shè)提供技術(shù)保障。網(wǎng)絡(luò)信息安全系統(tǒng)能夠有效提高單位的數(shù)據(jù)安全保護(hù)等級,與其他信息系統(tǒng)模塊協(xié)調(diào)工作,實(shí)現(xiàn)了資源的整合和系統(tǒng)的融合,形成一個更加安全、高效、可控、完善的信息系統(tǒng)風(fēng)險監(jiān)控與等級保護(hù)平臺,提高了部隊(duì)內(nèi)部核心數(shù)據(jù),特別是對內(nèi)部敏感電子文檔的安全管理,隨著系統(tǒng)的不斷完善和擴(kuò)大,將對部隊(duì)內(nèi)部網(wǎng)絡(luò)和信息系統(tǒng)的安全保護(hù)發(fā)揮更大作用。
參考文獻(xiàn):
第8篇:網(wǎng)絡(luò)安全等級保護(hù)管理辦法范文
關(guān)鍵詞:信息安全;技術(shù)創(chuàng)新;分級管理
21世紀(jì)以來,隨著我國網(wǎng)絡(luò)信息化的高速發(fā)展和“三網(wǎng)融合”的積極推進(jìn),廣電行業(yè)的網(wǎng)絡(luò)化、數(shù)字化和智能化的趨勢與日俱增。人們在享受便利的同時,也面臨著信息安全的嚴(yán)峻挑戰(zhàn)。
一、信息安全的概念和要求
網(wǎng)絡(luò)的開放性和共享性,使其更容易受到病毒、黑客的侵襲,從而導(dǎo)致信息外泄、惡意篡改、密碼被盜、網(wǎng)絡(luò)竊聽等問題。因此,網(wǎng)絡(luò)的信息安全,從根本上說是指網(wǎng)絡(luò)系統(tǒng)本身運(yùn)行穩(wěn)定,以及系統(tǒng)中的相關(guān)數(shù)據(jù)信息在任何情況下,不會被泄漏、更改或干擾。其內(nèi)涵主要包括系統(tǒng)安全、內(nèi)容安全、傳輸安全等。信息安全防護(hù)工作應(yīng)該滿足以下要求:一是保密性,要求在保證為授權(quán)使用者正常使用的同時,能保護(hù)數(shù)據(jù)不被非法截獲;二是完整性,能確保數(shù)據(jù)信息在運(yùn)行過程中是未被篡改或破壞的原始信息;三是可用性,要保證系統(tǒng)時刻正常運(yùn)行,用戶在任何情況下都能及時得到或使用數(shù)據(jù);四是可控性,確保用戶身份的真實(shí)性,保證信息和信息系統(tǒng)的授權(quán)認(rèn)證和監(jiān)控管理,同時能有效防范黑客、病毒等。
二、廣電行業(yè)信息安全存在的問題
廣電行業(yè)的網(wǎng)絡(luò)化、信息化和智能化的趨勢,對信息安全工作提出了嚴(yán)峻的挑戰(zhàn)。一方面,由于信息安全管理和技術(shù)的專業(yè)性,目前無論是人員數(shù)量上還是技能上,都存在不足;另一方面,互聯(lián)網(wǎng)的開放性和共享性使黑客攻擊更方便、破壞更廣,會給單位和個人信息造成很大的安全隱患。因此,提高信息安全集中監(jiān)管的能力和技術(shù)水平,成為廣電行業(yè)發(fā)展的中心課題。雖然我國信息安全工作也在穩(wěn)步開展,但還是存在一些不容忽視的共性問題。1.管理制度不完善,執(zhí)行不到位安全保護(hù)工作日益受到各級領(lǐng)導(dǎo)的重視,各相關(guān)單位對網(wǎng)絡(luò)和信息系統(tǒng)的安全保護(hù)日常管理工作基本規(guī)范,但未能嚴(yán)格按照等級保護(hù)管理要求,建立完整的安全管理制度;沒有制定具體崗位工作職責(zé),如系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員崗位不明確;安全管理制度執(zhí)行過程中的記錄存在缺失現(xiàn)象;缺乏整體的信息安全應(yīng)急預(yù)案和演練記錄;在信息系統(tǒng)建設(shè)時有規(guī)劃,但缺少相關(guān)安全技術(shù)專家對安全設(shè)計方案進(jìn)行論證和審定,決策的民主性、科學(xué)性不足;專門針對安全技能方面的培訓(xùn)和考核需要加強(qiáng)。2.信息安全技術(shù)滯后,創(chuàng)新性不足在安全技術(shù)方面各單位雖然也采取了隔離技術(shù)、防火墻技術(shù)等,但仍存在明顯不足:沒有從物理安全、主機(jī)安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全幾個方面建立完整的技術(shù)防范體系;目前依賴于外網(wǎng)隔離、延播和備播等傳統(tǒng)安全播出手段,很難適應(yīng)日益發(fā)展的新媒體平臺建設(shè),在互聯(lián)網(wǎng)上提供點(diǎn)播和直播內(nèi)容服務(wù);管理用戶的身份鑒定大多數(shù)采取用戶名/口令的方式,而且缺乏有效的口令更新周期機(jī)制,存在被暴力破解和竊聽的風(fēng)險;平臺未能按照三權(quán)分立的原則設(shè)定系統(tǒng)管理員、安全管理員和安全審計員,造成系統(tǒng)存在超級用戶,權(quán)力過大;目前廠家可通過第三方軟件或者遠(yuǎn)程桌面直接登錄到應(yīng)用服務(wù)器,且操作沒有行為記錄,存在安全風(fēng)險,需要加強(qiáng)對廠家進(jìn)行系統(tǒng)運(yùn)維的監(jiān)管。3.管理隊(duì)伍素質(zhì)參差不齊,安全意識淡薄由于編制和經(jīng)費(fèi)等因素的制約,很多管理人員身兼多職,一人多崗。一方面,專業(yè)技術(shù)人員明顯存在不足;另一方面,有的技術(shù)人員年齡偏大、專業(yè)知識老化,對一些新技術(shù)、新病毒缺乏職業(yè)敏感性,更缺乏預(yù)見性。此外,安全教育工作也沒有跟上,部分人員安全意識淡薄。
三、廣電行業(yè)信息安全管理的對策
信息安全問題,不僅是一個技術(shù)問題,更是一個管理方面的問題。加強(qiáng)信息安全管理,必須從以下幾個方面入手。1.增強(qiáng)信息安全意識,樹立整體信息安全觀信息安全的保障能力是21世紀(jì)國家核心競爭力的重要組成部分,必須從國家戰(zhàn)略層面加以重視,人人都要樹立信息安全觀。同時,信息安全防護(hù)也是一個比技術(shù)防護(hù)層面和一般社會管理層面更高層次的問題,它應(yīng)該是基于安全技術(shù)為基礎(chǔ)的集法律、道德、管理、技術(shù)和人才于一體的綜合保障體系,因此,必須樹立整體信息安全觀。2.加強(qiáng)信息安全立法,構(gòu)筑信息安全法律之網(wǎng)有效解決網(wǎng)絡(luò)信息安全問題不僅要依靠技術(shù)手段,還必須將技術(shù)性規(guī)范法律化。雖然我國的《計算機(jī)信息系統(tǒng)安全保護(hù)條例》《計算機(jī)病毒防治管理辦法》《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》等相繼出臺,在保障網(wǎng)絡(luò)信息安全方面發(fā)揮了重要作用,但是現(xiàn)行的法律制度仍然難以適應(yīng)日益發(fā)展的網(wǎng)絡(luò)信息化的新形勢,因此,加快相關(guān)立法、構(gòu)建更加完善的信息安全法律保障體系,成為廣電網(wǎng)快速發(fā)展的必然要求。3.健全信息安全管理體系,加強(qiáng)信息安全頂層設(shè)計隨著網(wǎng)絡(luò)的普及和深入,信息安全已不是一個孤立的問題,依靠任何單一的安全技術(shù)或產(chǎn)品,都不能保證網(wǎng)絡(luò)信息的安全。這就需要構(gòu)建一個以安全技術(shù)措施為基礎(chǔ),科學(xué)決策、規(guī)范管理、安全運(yùn)行的有機(jī)統(tǒng)一的安全管理體系。其中,最關(guān)鍵是要建立和落實(shí)信息安全分級保護(hù)制度,根據(jù)不同單元的重要程度或風(fēng)險程度劃分為不同的保護(hù)等級,分別采取必要的保護(hù)技術(shù)和措施,以達(dá)到安全有效保護(hù)的目的。4.建立完整高效的技術(shù)防范體系,為信息安全提供技術(shù)支撐不斷加強(qiáng)網(wǎng)絡(luò)技術(shù)的研究與開發(fā),從物理安全、主機(jī)安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全與備份恢復(fù)幾個方面建立完整高效的技術(shù)防范體系。加大對內(nèi)容過濾和檢測技術(shù)、加密技術(shù)等關(guān)鍵信息技術(shù)的研發(fā)力度;同時,推行信息安全技術(shù)設(shè)備的國產(chǎn)化,進(jìn)一步提升廣電網(wǎng)信息安全的管控水平。合理劃分安全域是建立信息安全防范技術(shù)體系的前提。通過合理劃分安全域,網(wǎng)絡(luò)邊界更加明確,這樣既有利于實(shí)現(xiàn)對物理區(qū)域和網(wǎng)絡(luò)區(qū)域之間的有效隔離和訪問控制,也增強(qiáng)了安全域的邊界安全及內(nèi)部進(jìn)行重點(diǎn)安全防護(hù)的針對性。另外,要不斷優(yōu)化終端設(shè)備、IP協(xié)議以及網(wǎng)絡(luò)上下行頻率分配等,改善用戶體驗(yàn),提升信息服務(wù)水平。5.提高管理人員素質(zhì),為信息安全提供人才保障要制定科學(xué)合理的人才發(fā)展規(guī)劃,充分發(fā)揮技術(shù)人才的作用。一方面,加大專業(yè)技術(shù)人才的引進(jìn)力度,落實(shí)人才優(yōu)惠政策,既要吸引人才,更要留住人才。另一方面,重視對員工的業(yè)務(wù)技能培訓(xùn)和職業(yè)道德教育,使其增強(qiáng)保密意識,遵守工作規(guī)范,履行崗位職責(zé),讓每一名信息管理人員成為守護(hù)信息安全的忠誠衛(wèi)士。
四、結(jié)語
推進(jìn)三網(wǎng)融合是促進(jìn)我國信息化建設(shè)的必由之路。廣電網(wǎng)是三網(wǎng)融合中很重要的一個環(huán)節(jié),確保網(wǎng)絡(luò)信息安全舉足輕重。然而,開放共享的網(wǎng)絡(luò)也是一把“雙刃劍”,使用網(wǎng)絡(luò)就必然存在網(wǎng)絡(luò)信息安全問題。因此,在融合過程中,必須緊緊抓住信息安全這條主線,加強(qiáng)信息基礎(chǔ)設(shè)施建設(shè),健全法律體系,加強(qiáng)技術(shù)創(chuàng)新,落實(shí)信息安全分級保護(hù)制度,不斷提升廣電網(wǎng)的安全性,切實(shí)保障黨和國家的財產(chǎn)安全以及人民群眾的切身利益。人力資源是企業(yè)最根本、最核心的資源之一。企業(yè)以實(shí)現(xiàn)利益最大化為目標(biāo),而企業(yè)利益必須依靠人來創(chuàng)造和獲取。因此,優(yōu)化人力資源管理,已經(jīng)成為國有煤炭企業(yè)可持續(xù)發(fā)展的重中之重。一、國有煤炭企業(yè)人力資源管理存在的問題1.“以人為本”的觀念在實(shí)際工作中體現(xiàn)不夠國有煤炭企業(yè)體制機(jī)制上的弊端反映在人力資源管理上,即強(qiáng)調(diào)“聽從安排”,否定個性發(fā)展,重?fù)碛胁恢厥褂茫斐刹糠謫T工工作主動性和創(chuàng)造性不足。雖然企業(yè)也積極探索“以人為本”的人力資源管理新模式,但口頭上、形式上、表面上的“以人為本”,覆蓋了實(shí)質(zhì)上、實(shí)際上、實(shí)效上的“以人為本”。2.沒有正確認(rèn)識“人力資本”的意義國有煤炭企業(yè)對人力資源的管理基本上還停留在經(jīng)驗(yàn)管理為主的傳統(tǒng)模式,缺乏對“人力資本”的認(rèn)識,“人力資本”的概念更是模糊不清,仍然習(xí)慣于人多好干活、人海戰(zhàn)術(shù)的勞動密集型人力資源管理方式。這造成很多部門和崗位人員偏多,工作效率較低。同時,計劃經(jīng)濟(jì)的“大鍋飯”思想束縛了員工工作的主動性和自覺性,人力資本的潛能無法發(fā)揮作用。3.員工整體素質(zhì)有待提高國有煤炭企業(yè)員工整體素質(zhì)較低,參加工作之前接受學(xué)校的教育程度和知識水平不高,缺乏煤礦專業(yè)系統(tǒng)性理論知識,根基打得不牢、不實(shí),造成工作中業(yè)務(wù)技能難以提升。
作者:錢英 單位:安徽智圣通信技術(shù)股份有限公司
參考文獻(xiàn)
[1]張愛華.試論我國網(wǎng)絡(luò)信息安全的現(xiàn)狀與對策[J].江西社會科學(xué),2006(09):252-255.
[2]毋晶晶,肖晏夏.關(guān)于對企業(yè)信息安全等級保護(hù)的思考[J].科技創(chuàng)新與生產(chǎn)力,2011(08):60-61.
[3]張瑞芝.廣電行業(yè)信息安全等級保護(hù)工作探究[J].信息網(wǎng)絡(luò)安全,2010(9):72-73.
第9篇:網(wǎng)絡(luò)安全等級保護(hù)管理辦法范文
【 關(guān)鍵詞 】 內(nèi)蒙古電力公司信息系統(tǒng);信息安全;風(fēng)險評估;探索與思考
The Exploration and Inspiration of Risk Assessment on Information Systems
in Inner Mongolia Power (Group) Co., Ltd.
Ao Wei 1 Zhuang Su-shuai 2
(1.Information Communication Branch of the Inner Mongolia Power (Group)Co., Ltd Inner MongoliaHohhot 010020;
2.Beijing Certificate Authority Co., Ltd Beijing 100080)
【 Abstract 】 Based on the conduct of information security risk assessment in Inner Mongolia Power (Group) Co. Ltd., we analyzed the general methods of risk assessment on power information systems. Besides, we studied the techniques and overall process of risk assessment on power information systems in Inner Mongolia Power (Group) Co. Ltd., whose exploration provides valuable inspiration to information security in electric power industry.
【 Keywords 】 information systems of Inner Mongolia Power (Group) Co., Ltd.; information security; risk assessment; exploration and inspiration
1 引言
目前,電力行業(yè)信息安全的研究只停留于網(wǎng)絡(luò)安全防御框架與防御技術(shù)的應(yīng)用層面,缺少安全評估方法與模型研究。文獻(xiàn)[1]-[3]只初步分析了信息安全防護(hù)體系的構(gòu)架與策略,文獻(xiàn)[4]、[5]研究了由防火墻、VPN、PKI和防病毒等多種技術(shù)構(gòu)建的層次式信息安全防護(hù)體系。這些成果都局限于單純的信息安全保障技術(shù)的改進(jìn)與應(yīng)用。少數(shù)文獻(xiàn)對電力信息安全評估模型進(jìn)行了討論,但對于安全風(fēng)險評估模型的研究都不夠深入。文獻(xiàn)[6]、文獻(xiàn)[7]只定性指出了安全風(fēng)險分析需要考慮的內(nèi)容;文獻(xiàn)[8]討論了一種基于模糊數(shù)學(xué)的電力信息安全評估模型,這種模型本質(zhì)上依賴于專家的經(jīng)驗(yàn),帶有主觀性;文獻(xiàn)[9]只提出了一種電力信息系統(tǒng)安全設(shè)計的建模語言和定量化評估方法,但是并未對安全風(fēng)險的評估模型進(jìn)行具體分析。
本文介紹了內(nèi)蒙古電力信息系統(tǒng)風(fēng)險評估的相關(guān)工作,并探討了內(nèi)蒙古電力信息系統(tǒng)風(fēng)險評估工作在推動行業(yè)信息安全保護(hù)方面帶給我們的啟示。
2 內(nèi)蒙古電力信息安全風(fēng)險評估工作
隨著電網(wǎng)規(guī)模的日益擴(kuò)大,內(nèi)蒙古電力信息系統(tǒng)日益復(fù)雜,電網(wǎng)運(yùn)行對信息系統(tǒng)的依賴性不斷增加,對電力系統(tǒng)信息安全的要求也越來越高。因此,在電力行業(yè)開展信息安全風(fēng)險評估工作,研究電力信息安全問題,顯得尤為必要。
根據(jù)國家關(guān)于信息安全的相關(guān)標(biāo)準(zhǔn)與政策,并根據(jù)實(shí)際業(yè)務(wù)情況,內(nèi)蒙古電力公司委托北京數(shù)字認(rèn)證股份有限公司(BJCA)對信息系統(tǒng)進(jìn)行了有效的信息安全風(fēng)險評估工作。評估的內(nèi)容主要包括系統(tǒng)面臨的安全威脅與系統(tǒng)脆弱性兩個方面,以解決電力信息系統(tǒng)面臨的的安全風(fēng)險。
3 電力系統(tǒng)信息安全風(fēng)險評估的解決方案
通過對內(nèi)蒙古電力信息系統(tǒng)的風(fēng)險評估工作,我們可以總結(jié)出電力信息系統(tǒng)風(fēng)險評估的解決方案。
4 電力信息系統(tǒng)風(fēng)險評估的流程
電力信息系統(tǒng)風(fēng)險評估的一般流程。
(1) 前期準(zhǔn)備階段。本階段為風(fēng)險評估實(shí)施之前的必需準(zhǔn)備工作,包括對風(fēng)險評估進(jìn)行規(guī)劃、確定評估團(tuán)隊(duì)組成、明確風(fēng)險評估范圍、準(zhǔn)備調(diào)查資料等。
(2) 現(xiàn)場調(diào)查階段:實(shí)施人員對評估信息系統(tǒng)進(jìn)行詳細(xì)調(diào)查,收集數(shù)據(jù)信息,包括信息系統(tǒng)資產(chǎn)組成、系統(tǒng)資產(chǎn)脆弱點(diǎn)、組織管理脆弱點(diǎn)、威脅因素等。
(3) 風(fēng)險分析階段:根據(jù)現(xiàn)場調(diào)查階段獲得的相關(guān)數(shù)據(jù),選擇適當(dāng)?shù)姆治龇椒▽δ繕?biāo)信息系統(tǒng)的風(fēng)險狀況進(jìn)行綜合分析。
(4) 策略制定階段:根據(jù)風(fēng)險分析結(jié)果,結(jié)合目標(biāo)信息系統(tǒng)的安全需求制定相應(yīng)的安全策略,包括安全管理策略、安全運(yùn)行策略和安全體系規(guī)劃。
5 數(shù)據(jù)采集
在風(fēng)險評估實(shí)踐中經(jīng)常使用的數(shù)據(jù)采集方式主要有三類。
(1) 調(diào)查表格。根據(jù)一定的采集目的而專門設(shè)計的表格,根據(jù)調(diào)查內(nèi)容、調(diào)查對象、調(diào)查方式、工作計劃的安排而設(shè)計。常用的調(diào)查表有資產(chǎn)調(diào)查表、安全威脅調(diào)查表、安全需求調(diào)查表、安全策略調(diào)查表等。
(2) 技術(shù)分析工具。常用的是一些系統(tǒng)脆弱性分析工具。通過技術(shù)分析工具可以直接了解信息系統(tǒng)目前存在的安全隱患的脆弱性,并確認(rèn)已有安全技術(shù)措施是否發(fā)揮作用。
(3) 信息系統(tǒng)資料。風(fēng)險評估還需要通過查閱、分析、整理信息系統(tǒng)相關(guān)資料來收集相關(guān)資料。如:系統(tǒng)規(guī)劃資料、建設(shè)資料、運(yùn)行記錄、事故處理記錄、升級記錄、管理制度等。
a) 分析方法
風(fēng)險評估的關(guān)鍵在于根據(jù)所收集的資料,采取一定的分析方法,得出信息系統(tǒng)安全風(fēng)險的結(jié)論,因此,分析方法的正確選擇是風(fēng)險評估的核心。
結(jié)合內(nèi)蒙電力信息系統(tǒng)風(fēng)險評估工作的實(shí)踐,我們認(rèn)為電力行業(yè)信息安全風(fēng)險分析的方法可以分為三類。
定量分析方法是指運(yùn)用數(shù)量指標(biāo)來對風(fēng)險進(jìn)行評估,在風(fēng)險評估與成本效益分析期間收集的各個組成部分計算客觀風(fēng)險值,典型的定量分析方法有因子分析法、聚類分析法、時序模型、回歸模型、等風(fēng)險圖法等。
定性分析方法主要依據(jù)評估者的知識、經(jīng)驗(yàn)、歷史教訓(xùn)、政策走向及特殊案例等非量化資料對系統(tǒng)風(fēng)險狀況做出判斷的過程。在實(shí)踐中,可以通過調(diào)查表和合作討論會的形式進(jìn)行風(fēng)險分析,分析活動會涉及來自信息系統(tǒng)運(yùn)行和使用相關(guān)的各個部門的人員。
綜合分析方法中的安全風(fēng)險管理的定性方法和定量方法都具有各自的優(yōu)點(diǎn)與缺點(diǎn)。在某些情況下會要求采用定量方法,而在其他情況下定性的評估方法更能滿足組織需求。
表1概括介紹了定量和定性方法的優(yōu)點(diǎn)與缺點(diǎn)。
b) 質(zhì)量保證
鑒于風(fēng)險評估項(xiàng)目具有一定的復(fù)雜性和主觀性,只有進(jìn)行完善的質(zhì)量控制和嚴(yán)格的流程管理,才能保證風(fēng)險評估項(xiàng)目的最終質(zhì)量。風(fēng)險評估項(xiàng)目的質(zhì)量保障主要體現(xiàn)在實(shí)施流程的透明性以及對整體項(xiàng)目的可控性,質(zhì)量保障活動需要在評估項(xiàng)目實(shí)施中提供足夠的可見性,確保項(xiàng)目實(shí)施按照規(guī)定的標(biāo)準(zhǔn)流程進(jìn)行。在內(nèi)蒙古電力風(fēng)險評估的實(shí)踐中,設(shè)立質(zhì)量監(jiān)督員(或聘請獨(dú)立的項(xiàng)目監(jiān)理擔(dān)任)是一個有效的方法。質(zhì)量監(jiān)督員依照相應(yīng)各階段的實(shí)施標(biāo)準(zhǔn),通過記錄審核、流程監(jiān)理、組織評審、異常報告等方式對項(xiàng)目的進(jìn)度、質(zhì)量進(jìn)行控制。
6 內(nèi)蒙古電力信息安全風(fēng)險評估的啟示
為了更好地開展風(fēng)險評估工作,可以采取以下安全措施及管理辦法。
6.1 建立定期風(fēng)險評估制度
信息安全風(fēng)險管理是發(fā)達(dá)國家信息安全保障工作的通行做法。按照風(fēng)險管理制度,適時開展風(fēng)險評估工作,或建立風(fēng)險評估的長效機(jī)制,將風(fēng)險評估工作與信息系統(tǒng)的生命周期和安全建設(shè)聯(lián)系起來,讓風(fēng)險評估成為信息安全保障工作運(yùn)行機(jī)制的基石。
6.2 編制電力信息系統(tǒng)風(fēng)險評估實(shí)施細(xì)則
由于所有的信息安全風(fēng)險評估標(biāo)準(zhǔn)給出的都是指導(dǎo)性文件,并沒有給出具體實(shí)施過程、風(fēng)險要素識別方法、風(fēng)險分析方法、風(fēng)險計算方法、風(fēng)險定級方法等,因此建議在國標(biāo)《信息安全風(fēng)險評估指南》的框架下,編制適合電力公司業(yè)務(wù)特色的實(shí)施細(xì)則,根據(jù)選用的或自定義的風(fēng)險計算方法,,制各種模板,以在電力信息系統(tǒng)實(shí)現(xiàn)評估過程和方法的統(tǒng)一。
6.3 加強(qiáng)風(fēng)險評估基礎(chǔ)設(shè)施建設(shè),統(tǒng)一選配風(fēng)險評估工具
風(fēng)險評估工具是保障風(fēng)險評估結(jié)果可信度的重要因素。應(yīng)根據(jù)選用的評估標(biāo)準(zhǔn)和評估方法,選擇配套的專業(yè)風(fēng)險評估工具,向分支機(jī)構(gòu)配發(fā)或推薦。如漏洞掃描、滲透測試等評估輔助工具,及向評估人員提供幫助的資產(chǎn)分類庫、威脅參考庫、脆弱性參考庫、可能性定義庫、算法庫等評估輔助專家系統(tǒng)。
6.4 統(tǒng)一組織實(shí)施核心業(yè)務(wù)系統(tǒng)的評估
由于評估過程本身的風(fēng)險性,對于重要的實(shí)時性強(qiáng)、社會影響大的核心業(yè)務(wù)系統(tǒng)的評估,由電力公司統(tǒng)一制定評估方案、組織實(shí)施、指導(dǎo)加固整改工作。
6.5 以自評估為主,自評估和檢查評估相結(jié)合
自評估和檢查評估各有優(yōu)缺點(diǎn),要發(fā)揮各自優(yōu)勢,配合實(shí)施,使評估的過程、方法和風(fēng)險控制措施更科學(xué)合理。自評估時,通過對實(shí)施過程、風(fēng)險要素識別、風(fēng)險分析、風(fēng)險計算方法、評估結(jié)果、風(fēng)險控制措施等重要環(huán)節(jié)的科學(xué)性、合理性進(jìn)行分析,得出風(fēng)險判斷。
6.6 風(fēng)險評估與信息系統(tǒng)等級保護(hù)應(yīng)結(jié)合起來
信息系統(tǒng)等級保護(hù)若與風(fēng)險評估結(jié)合起來,則可相互促進(jìn),相互依托。等級保護(hù)的級別是依據(jù)系統(tǒng)的重要程度和安全三性來定義,而風(fēng)險評估中的風(fēng)險等級則是綜合考慮了信息的重要性、安全三性、現(xiàn)有安全控制措施的有效性及運(yùn)行現(xiàn)狀后的綜合結(jié)果。通過風(fēng)險評估為信息系統(tǒng)確定安全等級提供依據(jù)。確定安全等級后,根據(jù)風(fēng)險評估的結(jié)果作為實(shí)施等級保護(hù)、安全等級建設(shè)的出發(fā)點(diǎn)和參考,檢驗(yàn)網(wǎng)絡(luò)與信息系統(tǒng)的防護(hù)水平是否符合等級保護(hù)的要求。
參考文獻(xiàn)
[1] 魏曉菁, 柳英楠, 來風(fēng)剛. 國家電力信息網(wǎng)信息安全防護(hù)體系框架與策略. 計算機(jī)安全,2004,6.
[2] 魏曉菁,柳英楠,來風(fēng)剛. 國家電力信息網(wǎng)信息安全防護(hù)體系框架與策略研究. 電力信息化,2004,2(1).
[3] 沈亮. 構(gòu)建電力信息網(wǎng)安全防護(hù)框架. 電力信息化,2004,2(7).
[4] 梁運(yùn)華,李明,談順濤. 電力企業(yè)信息網(wǎng)網(wǎng)絡(luò)安全層次式防護(hù)體系探究. 電力信息化,2003,2(1).
[5] 周亮,劉開培,李俊娥. 一種安全的電力系統(tǒng)計算機(jī)網(wǎng)絡(luò)構(gòu)建方案. 電網(wǎng)技術(shù),2004,28(23).
[6] 陳其,陳鐵,姚林等. 電力系統(tǒng)信息安全風(fēng)險評估策略研究. 計算機(jī)安全,2007,6.
[7] 阮文峰. 電力企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險分析和評估. 計算機(jī)安全,2003(4).
[8] 叢林,李志民,潘明惠等. 基于模糊綜合評判法的電力系統(tǒng)信息安全評估. 電力系統(tǒng)自動化,2004,28(12).
[9] 胡炎,謝小榮,辛耀中. 電力信息系統(tǒng)建模和定量安全評估. 電力系統(tǒng)自動化,2005,29(10).
作者簡介:
相關(guān)熱門標(biāo)簽
相關(guān)文章閱讀
- 1網(wǎng)絡(luò)時期網(wǎng)絡(luò)會計問題分析
- 2網(wǎng)絡(luò)技術(shù)安全與網(wǎng)絡(luò)防御分析
- 3高校網(wǎng)絡(luò)的維護(hù)與網(wǎng)絡(luò)技術(shù)
- 4社會網(wǎng)絡(luò)分析網(wǎng)絡(luò)傳播論文
- 5虛擬網(wǎng)絡(luò)技術(shù)在網(wǎng)絡(luò)安全中的運(yùn)用
- 6網(wǎng)絡(luò)時代網(wǎng)絡(luò)文學(xué)論文
- 7網(wǎng)絡(luò)傳播與網(wǎng)絡(luò)輿論的生成及特征
- 8網(wǎng)絡(luò)時代網(wǎng)絡(luò)會計論文
- 9網(wǎng)絡(luò)安全技術(shù)在網(wǎng)絡(luò)維護(hù)中的應(yīng)用
- 10網(wǎng)絡(luò)傳播及網(wǎng)絡(luò)輿論的生成作用
相關(guān)期刊推薦
-
網(wǎng)絡(luò)財富
級別:部級期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫
-
網(wǎng)絡(luò)傳播
級別:部級期刊
榮譽(yù):中國期刊全文數(shù)據(jù)庫(CJFD)
-
網(wǎng)絡(luò)與信息
級別:省級期刊
榮譽(yù):中國學(xué)術(shù)期刊(光盤版)全文收錄期刊
-
衛(wèi)星與網(wǎng)絡(luò)
級別:部級期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫
-
農(nóng)業(yè)網(wǎng)絡(luò)信息
級別:部級期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫