第一篇:基于互联网的电子政务等级保护研究
密级:
页数:
毕 业 实习(论文)
信息工程大学
题目:基于互联网的电子政务等级保护研究
学员姓名
*** 学
号
所在单位
指导教师
郭义喜 技术职务
副教授 完成日期
2010年5月
摘 要
随着这几年计算机网络技术的发展,网络信息安全成为了人们越来越关注的问题,也同时成为了威胁计算机网络之间信息传播的最大障碍。为此,国家已经在2007年7月26日发出了《关于开展全国重要信息系统安全等级保护定级工作的通知》,电子政务工程建设办公室在2007年11月启动了中央级 政务外网定级专项工作,成立了等级保护定级工作组,根据政务外网实际情况和特点,经过多伦内部讨论和专家征求意见后,基本完成了政务外网安全等级保护定级工作,为后续备案和全面开展、实施等级保护整改和测评工作奠定了坚实基础。
由此可见,当今社会中,电子政务等级的保护研究已经是一个非常重要的课题。本文从电子政务等级保护的研究方法、电子政务等级保护出现问题时的解决办法、电子政务等级保护的整体安全解决方案、基于互联网的电子政务的优点以及如何有效的保护电子政务的安全等方面来阐述电子政务等级保护问题。
目 录
第一章 概述.................................................................1
1.1 选题背景与研究现状................................................1 1.2 研究内容与论文组织结构............................................1 1.4 论文组织结构......................................................2
第二章 信息化与电子政务.....................................................3
2.1 我国信息化进程的回顾..............................................3 2.2 我国电子政务发展计划..............................................4 2.3 我国电子政务的保障措施............................................5 2.4 电子政务的优势....................................................6
第三章 电子政务信息安全与等级保护...........................................8
3.1 电子政务信息安全内涵..............................................8 3.2 等级保护在电子政务中的应用........................................8 3.3 电子政务安全管理和技术层面........................................9
第四章 基于互联网的电子政务等级保护的建设..................................12
4.1 信息安全等级保护实施过程.........................................12 4.2 电子政务等级保护实施措施.........................................15
第五章 基于等级保护的电子政务安全度量......................................17
5.1 信息安全度量现状.................................................17 5.2 基于等级保护的安全管理度量方法的设计.............................18
第六章 总结................................................................21 参考文献...................................................................22
第一章 概述
1.1 选题背景与研究现状
以Internet为代表的全球性信息化浪潮日益涌起,网络技术的应用层次不断深入、应用领域日益广泛,逐步由传统的、小型业务系统向大型的、关键性的业务系统扩展,目前基于互联网技术的网络平台已经在电子政务中得到了广泛的应用,使政府以最快的方式与市民进行沟通,市民也能方便快捷地参与政府工作。但是,由于电子政务同时涉及到对国家秘密信息和高敏感度核心政务的保护,涉及到维护公共秩序和行政监管,从而使这种快捷和方便给政府网络的安全造成了一定的威胁,使基于互联网技术的电子政务面临着严峻的挑战。因此,运用网络安全技术,建立实用可靠的安全策略体系,实施等级保护,已经成为电子政务能否得到真正应用的关键。
目前,我国建立了与电子政务发展水平相适应的安全保障措施,并且结合实际需要,制定了一批具有实际指导意义的信息安全法规制度和工作机制。
我国开始从整体安全体系出发来进行信息安全建设。分级分域防护的基本思路正在逐步得到贯彻。
1.2 研究内容与论文组织结构
本课题选择了基于互联网的电子政务等级保护作为研究重点,讨论了基于互联网的电子政务等级保护的安全目标以及为实现上述目标应采取积极的安全策略,尤其对电子政务安全保障体系框架做了进一步分析,对基于互联网的电子政务等级保护提出了自己的观点。
主要内容包括:(l)电子政务的安全目标及其应对策略;(2)电子政务安全保障体系框架;(3)电子政务等级保护当前的主要问题;
(4)对于基于互联网的电子政务等级保护建设的自我观点。
由于国内的基于互联网的电子政务等级保护的标准和规范不太明确,所以本课题将对电子政务做进一步的分析,提出自己的一些观点和看法,希望通过自己的努力对电子政务等级保护问题有着推进意义。
1.4 论文组织结构
共分五章,第一章对我国基于互联网的电子政务等级保护的现状以及研究内容做一简要介绍,第二章主要概述了信息化与电子政务的发展史,第三章重点讨论了电子政务信息安全与等级保护的关系问题,第四章主要介绍了基于互联网的电子政务等级保护建设问题,第五章讨论了电子政务等级保护安全度量方法,第六章是总结及展望。
第二章 信息化与电子政务
中国的信息化建设起步于20世纪80年代初期,从国家大力推动电子信息技术应用开始,大致经历了四个阶段,而我国的电子政务建设是中国信息化建设发展的一个新阶段,它以我国前期信息化建设的成果为基础。
2.1 我国信息化进程的回顾
(1)准备阶段(1993年以前)
20世纪80年代初期,在我国国民经济进行调整的情况下,计算机工业界认识到发展我国计算机工业,应该从过去的一研究制造计算机硬件设备为中心,迅速的转向以普及应用为重点,以此带动研究开发、生产制造、外围配套、应用开发、技术服务和产品销售等工作。1982年10月4日,国务院成立了计算机与超大规模集成电路领导小组。下设计算机和集成电路两个顾问小组,聘请有理论水平、有实践经验的科学家、经济学家和工程技术人员参加,负责规划、决策和技术经济咨询。
1984年,为了研究我国新技术革命的对策,国务院成立了新技术革命对策小组,组织了计算集专项和光纤通信专项研究。1984年9月15日,计算机与大型集成电路领导小组改为电子振兴领导小组。1986年3月,“863”计划启动。该计划投资100亿元,其中,信息技术相关项目的投资约占投资总额的三分之二。
1988年5月,根据国务院机构改革方案,成立机械电子工业部,并将振兴电子产业的任务交机械电子工业部承担。随后,国务院常务会议决定,国务院电子振兴领导小组办公室更名为国务院电子信息系统推广应用办公室,继续支持各行各业应用电子信息技术。从1988年至1992年,国家发展计划委员会、机械电子工业部、国家科学技术委员会和电子信息技术推广应用办公室,在传统产业技术改造、EDI技术、CAD/CAM以及MIS等领域,做了大量工作,不断推动电子信息技术应用向纵深发展。
(2)启动阶段(1993年3月至1997年4月)
1993年,成立国家经济信息化联席会议。我国信息化基本上正式起步于1993年,党和国家领导人江泽民、李鹏、朱镕基、李岚清等相继提出了信息化建设的任务,启动了“金卡”、“金桥”、“金关”等重大信息化工程,拉开了国民经济信息化的序幕。同年12月,成立了以国务院副总理邹家华为主席的国家经济信息化联席会议,确立了“推进信息化工程实施、以信息化带动产业发展”的指导思想。1996年1月,国务院信息化工作领导小组成立。国务院信息化工作领导小组由国务院副总理邹家华任组长,由20多个部委领 导组成的国务院信息化工作领导小组,统一领导和组织协调全国地信息化工作。1996年以后,中央和地方都确立了信息化在国民经济和社会发展中的重要地位,信息化在各领域、各地区形成了强劲的发展潮流。
(3)展开阶段(1997年4月至2000年10月)
经过1993—1997年的建设和发展,符合我国国情的信息化发展思路初步形成。国务院信息化工作领导小组确立了国家信息化的定义和国家信息化体系六要素,进一步充实和丰富了我国信息化建设的内涵;提出了信息化建设“统筹计划,国家主导;统一标准,联合建设;互联互通,资源共享”的二十四字指导方针。
1997年4月18—21日,经国务院批准,国务院信息化工作领导小组在深圳召开了首次全国信息化工作会议,会议全面部署了国家信息化工作,通过了《国家信息化“九五”规划和2010年远景目标》,成为我国信息化建设的里程碑。此后,全国地信息化工作从解决应急性的热点问题,步入了为经济发展和社会全面进步服务,有组织、有计划的发展轨道。
1998年3月,组建信息产业部。随着国务院机构的新一轮改革,将原国务院信息化工作领导小组办公室整建制并入新组建的信息产业部,负责推进国民经济和社会服务信息化的工作。在信息产业部内部机构设置上,设立了信息化推进司(国家信息化办公室)。
1999年12月,恢复国务院信息化工作领导小组。根据国务院关于恢复国务院信息化工作领导小组的批示,为了加强国家信息化工作的领导,决定成立由国务院副总理吴邦国任组长的国家信息化工作领导小组,并将国家信息化办公室改名为国家信息化推进工作办公室。
(4)发展阶段(2000年10月至今)
2001年8月,国家信息化工作办公室成立。党中央、国务院在原有基础上成立了由朱镕基任组长,胡锦涛、李岚清、丁关根、吴邦国、曾培炎为成员的国家信息化领导小组,这样高规格的领导机构,充分反映出党中央、国务院加强中国信息化建设的决心和力度。同时它的办事机构——国务院信息化工作办公室也正式成立,由国家发展计划委员会主任、国家信息化领导小组副组长曾培炎兼任国务院信息化工作办公室主任。
2.2 我国电子政务发展计划
国务院信息化办公室组织了上百位专家对国家电子政务进行研究,形成一套电子政务发展战略框架,电子政务已经被列为中国信息化建设的重点任务。
一是建立两个统一的电子政务平台,即连接副省级以上部门办公业务的“政务内网”和面向公众、企业以及连接政府间业务的“政务外网”;其中,外网将与互联网相连接。
二是建设和推进十二项重点工程,包括为各级领导决策服务的“办公业务资源系统” 和“宏观政策管理系统”,目标将所有税务机关和税种扩展成为全方位的税收电子化系统的“金税工程”,将完整的通关业务电子化的“金关工程”,为国家预算编制和预算执行提供网络化、数字化服务的“金财工程”,对银行、信托、证券、保险进行有效监管“金融监管工程”、实现审计工作数字化的“金审工程”。另外,还有包括保障社会稳定、安全的“金盾工程”和“社会保障工程”、防伪打假的“金质工程”、应对水旱灾情的“金水工程”和为农业现代化服务的“金农工程”。
三是信息资源建设,包括两个信息体系和人口库、法人库、信息资源和空间地域库、宏观经济库等四个数据库,为政府部门提供最基础的数据资源。
2.3 我国电子政务的保障措施
1、标准先行
为贯彻落实国家信息化领导小组推进国家信息化工作的五项方针和统一标准的具体要求,进一步推动我国电子政务顺利发展,国家标准化管理委员会和国务院信息化工作办公室批准成立了“国家电子政务标准化总体组”。
我国电子政务标准化工作的开展是在国家标准化管理委员会和国务院信息化办公室的统一领导下,由国家电子政务标准化总体组组织实施。
总体组的主要工作是积极研究跟进国内外与电子政务有关的标准的发展动态,及时调整工作思路及方向,与国内各政府部门、技术专家及开发商一起研究制定中国电子政务标准,推动我国电子政务健康、有序的建设。
总体组花费近半年的时间完成了《电子政务标准化指南》(第一版)。《电子政务标准化指南》(第一版)在电子政务标准化工作的指导思想、工作原则的基础上,确定了电子政务标准化的总体目标和工作任务并对电子政务标准体系和电子政务标准化管理机制等多方面的内容进行了阐述。
《电子政务标准化指南》共分为以下六个部分: 第一部分:总则。第二部分:工程管理。第三部分:网络建设。第四部分:信息共享。第五部分:支撑技术。第六部分:信息安全。
《电子政务标准化指南第一部分:总则》(第一版)已于2002年正式发布。
2、实施监理制度
信息产业部为了规范信息系统工程建设市场,保证国家电子政务工程的质量,2002年 11月28日发布了《信息系统工程监理暂行规定》,明确指出下列信息工程应当实施监理:
● 国家级、省部级、地市级的大中型信息系统工程项目;
● 国家政策性银行或者国有商业银行规定使用贷款需要实施监理的项目; ● 涉及国家安全、生产安全的信息系统工程项目;
● 国家法律、行政法规及行政规章规定应当实施监理的其他信息系统工程项目。监理的主要内容是对信息系统工程项目的质量、进度和投资进行监督,对项目合同和文档资料进行管理,协调有关单位间的工作关系。监理制度的引入从组织结构上和管理上,保证了电子政务工程的质量。
2.4 电子政务的优势
(1)办公透明,利于监督
政府上网以后,可以在网上向所有公众公开政府本门的名称、职能、机构组织、办事章程及各项公开文件等,可以让公众迅速了解政府机构的组成、只能和办事章程、各项证词法规,增加办事的透明度,并自觉接受公众的监督。除政府行政部门之外,人大、政协上网可以让公众了解到人大立法和提出议案的过程,促进人格各项立法更完善合理,通过网络使个向法律更加迅速的传递到民众手上。事实上,在欧洲,已经有虚拟议会,人们足不出户就可以积极参与国家事物核对法律的考核,促进社会民主的进步与发展,市政府管理更加直接、有效。
(2)提高工作效率
“电子政府”建设完成并全达到普及后,公众可以通过网络与政府机关打交道。配合数字签名和网络身份认证的的建立,公众可以直接通过网络向政府机关申请服务,政府可以通过网络提供服务,例如,工商管理、缴纳税金、海关报关验关等,可以大大提高政府的工作效率。
(3)增加跨时间、快地域服务
“电子政府”可以为群众提供全天候的服务,网络上的政府是“数字化”的政府,政府可以无所不在,群众可以在任何地点,只要是因特网可以触及的地方,都可以与政府服务网建立连接,随时随地获得服务。
(4)文档管理负担大幅度减轻
政府各部门每年要向群众和企事业单位发送各种待填写的单据,数量相当庞大。设立了“电子政府”后,用户可以在政府的网页上找到相应的填写表单、申报的应用程序,通过这一服务可以实现整个表单处理过程的自动化。
(5)资料上网,社会共享
政府部门的许多资料档案对公众是很有用处的,要充分挖掘其内在的潜力,为社会服 务。例如,如果把个城市所有注册公司单位的情况在网上公布,供公众查询,这样公司在进行商业交往的时候,通过Internet查询,就可以方便迅速的了解到对方的资信情况。可以有效的避免商业诈骗活动,保护商业者的利益。教育部门可以把全国各大专院校的情况上网,工考上在报考时查询选择等等,这些都是政府对公众服务的一个重要内容。政府部门的日常活动也可以上网,公开政府部门的各项活动,可以使政府部门受到的公众监督,这对于发扬民主,搞好政府部门的廉政建设有很大意义。
(6)加强政府与群众间的双向沟通
利用网络可以建立起更加有效的、快捷的政府与公众之间的相互交流的渠道,为公众与政府部门实时、双向地沟通提供方便。为了更好的利用网络与民众进行沟通交流,并对民众建设和意见作出及时有效的处理,政府部门应设有一个电子信息处理中心,处理群众意见,并及时转发到相关部门,督促和监督问题的解决,这比过去的上访、市长信箱、市长热线等等更加方便、有效、及时。总之,加强政府与公众之间的双向沟通对于政府更及时、更有效地接纳公众意见,更有效地为人民服务,树立政府形象十分重要。
第三章 电子政务信息安全与等级保护
3.1 电子政务信息安全内涵
电子政务作为国家信息化战略重要组成部分,具有先导和示范作用,其信息安全保障事关经济发展、国家安全、社会稳定、公众利益和社会主义精神文明建设。实行电子政务信息安全等级保护是我国信息安全保护的基本制度和重点任务之一,本章制着重讨论等级保护制度如何保护电子政务的信息安全。
电子政务市政府管理方式的革命,它是运用信息以及通信技术打破行政机关的组织界限,构建一个电子化的虚拟机关,使公众摆脱传统的层层关卡以及书面审核的作业方式,并依据人们的需求、人们可以获取的方式、人们要求的时间及地点,高效快捷的向人们提供了各种不同的服务选择。政府机关之间以及政府与社会各界之间也经由各种电子化渠道进行相互沟通,电子政务的建立将使政府成为一个更符合环保精神的政府,一个更开放透明的政府,一个更有效率的政府,一个更廉洁勤政的政府。然而,电子政务的只能与优势得以实现的一个根本前提是信息安全的有效保障。因为电子政务信息网络上有相当多的政府公文在流转,其中不乏重要信息,内部网络上有着大量高度机密的数据和信息,直接涉及政府的核心政务,它关系到政府部门、各大系统乃至整个国家的利益,有的甚至涉及国家安全。如果电子政务信息安全得不到保障,电子政务的便利与效率便无从保证,对国家利益将带来严重威胁。电子政务信息安全是制约电子政务建设与发展的首要问题和核心问题。
电子政务的信息安全可以理解为:
1、从新的层次看,包括信息的完整性(保证新的来源,去向、内容真实无误)、保密性(保证信息不会被非法泄露扩散)、不可否认性(保证信息的发送和接受着无法否认自己所做过的操作行为)等。
2、从网络层次看,包括可靠性(保证网络和信息系统随时可用,运行过程中不出现故障,与意外事故能够尽量减少损失并尽早 恢复正常)、可控性(保证营运者对网络和信息系统有足够的控制额管理能力)、互操作性(保证协议和系统那个能互相连接)、可计算性(保证准确跟踪实体运行达到审计知识的目的)等。
3、从设备层次看,包括质量保证、设备备份、物理安全等。
4、从管理层次看,包括人员可靠、规章制度完整等。
3.2 等级保护在电子政务中的应用
1、电子政务等级保护的基本原则(1)重点保护原则
电子政务等级保护应突出重点,重点保护关系国家安全、经济命脉、社会稳定等方面的重要电子政务系统,集中资源首先确保重点系统那个安全。
(2)自主保护原则
电子政务等级保护药贯彻“谁主管谁负责,谁运营谁负责”的原则,由个主管部门能和运营单位依照国家相关法规和标准,自主确定电子政务系统的安全等级并组织实施安全防护。
(3)分区域保护原则
电子政务等级保护要根据各地区、各行业电子政务系统的重要程度、业务特点政务系统的重要程度、业务特点和不同发展水平,分类、分级、分阶段进行实施,铜鼓划分不同安全保护等级的区域,实现不同强度的安全保护。
(4)同步建设、动态调整原则
电子政务系统在新建、改建、扩建时应当同步建设信息安全设施,保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当重新确定系统的安全保护等级。
3.3 电子政务安全管理和技术层面
政府部门通过全面推行信息安全等级保护制度,逐步将信息安全等级保护制度,逐步将信息安全等级保护制度落实到信息系统安全规划、建设、测评、运行维护和使用等各个环节,根据电子政务信息系统的实际情况,应从技术体系和管理体系两方面来找开说明,结合等级保护的制度来构建电子政务系统的信息安全体系。根据等级保护的思想并结合安全域的原则,根据电子政务系统的实际情况,电子政务系统安全体系建设流程如下图所示:
1、安全管理体系
安全管理贯穿整个电子政务安全防护体系,对电子政务安全实施起指导作用。安全管理体系包括:法律政策、规章制度和标准规范。安全管理体系的建立应符合组织使命,符合组织利益。电子政务的工作内容和工作流程涉及到国家秘密与核心政务它的安全关系到国家的主权、国家的安全和公众利益,所以电子政务的安全实施和保障,必须以国家法规形式将其固化,形成全国共同遵守的规约。目前,世界上很多国家制订了与网络安全相关的法律法规,如英国的《官方信息保护法》等。我国虽然颁发了一些与网络安全有关的法律法规,如《计算机信息系统安全保护条例》、《计算机信息系统保密管理暂行规定》等等,但显得很零散,在完善法律法规的同时,还应该加大执法力度,严格执法,这一目标的实现不仅需要政府的努力,更要国家立法机构的参与和支持。
信息安全标准有利于安全产品规范化,有利于保证产品安全可信性、实现产品的互联和互操作性、更新和可扩展性,支持系统安全的测评预评估,保障电子政务系统的安全可靠。电子政务网络安全标准规范包括电子文档秘密划分和标记格式、内容健康性等级划分与标记、内容敏感性等级划分与标记、密码算法标准、密码模块标准、密钥管理标准、PKI/CA标准、PMI标准、信息系统安全评估和网络安全产品测评标准等方面的内容。
电子政务信息系统存在着来自社会环境、技术环境和物理自然环境的安全风险,其安全为威胁无时无处不再。对于电子政务信息系统的安全问题,不能企图单凭利用一些集成了信息安全技术的安全产品来解决,而必须建立电子政务信息系统安全管理体系,全方位地,综合解决系统安全问题。
2、安全技术体系
安全技术体系包括网络安全体系和数据安全传输与存储体系,功能主要是通过各种技术手段实现技术层次的安全保护。
网络安全体系包括网闸、日勤检测、漏洞检测、外联和接入检测、补丁管理、防火墙、身份鉴别和认证、系统访问控制、网络审计等;数据安全与传输与存储体系包括数据备份恢复、PKI/CA、PMI等,拓扑图如下图所示。
根据电子政务系统的情况,我们应以等级保护为基本的指导原则,并结合安全域的理念来进行,首先我们应对电子政务的信息系统进行系统等级的划分,在我们得到了相应的系统等级之后,再根据各应用系统的等级情况来涉及安全规划和建设方案,真正的将等级保护制度落实到实处,如下图所示。
根据上述的相应流程,最后我们的到得电子政务系统可操作的解决方案。
电子政务系统应根据自己的安全等级来制定相应的安全措施和安全规则,具体过程如下图。
第四章 基于互联网的电子政务等级保护的建设
电子政务外网是政府部门之间由于协同办公的需要而建立的专用网络。它同政府内网物理隔离,同Internet网逻辑隔离,它同其他网络逻辑隔离。电子政务外网系统是由相关的和配套的设备、设施按照电子政务平台信息系统的一个应用目标和规则组合而成的有形实体。它是各级政府对外沟通的门户系统,为用户提供查阅信息,办理相关业务(公民、企业可以通过政府外网办理各种手需、证书、执照等,享受到政府所提供的各种服务)、沟通交流的网络平台。它的内部人物是OA、邮件、简报、公文交换、会议管理,还包含通过互联网的办公数据交互等。各级政府的信息委的信息委是各级政府外网系统的唯一安全责任单位、安全建设、运行维护、物理环境安全等,系统承担全部安全保护责任。
4.1 信息安全等级保护实施过程
各级政府的电子政务外网具有较高的相似性,机构、规模、功能已经承载业务等都有很多相似性。根据这写相似性,上海三零为是信息安全有限公司从所有参与建设的电子政务外网项目中进行抽象、总结,基于《信息安全等级保护管理办法》、《信息系统安全等级保护基本要求》、《信息安全技术 信息系统安全等级保护定级指南》和《信息系统安全等级保护实施指南》设计了完整的电子政务外网整体安全解决方案。
该解决方案按照实施过程分为三个阶段五个模块。如下图所示:
在系统出示化阶段中,按照《信息系统安全等级保护定级指南》制定如下流程:
信息定级模块的最终交付成果为《某政务外网信息系统等级保护定级报告》,共分3个章节,两份附件表进行编写:第一章,信息系统描述:第二章,信息系统安全保护等级 确定;第三章,安全保护等级的确定;附件表一,政务外网系统业务信息安全等级确定工作表;附件表二,政务外网系统服务安全等级确定工作表。
在信息系统描述中,需要确认政务外网系统具有唯一确定的安全责任单位,详细说明该单位的名称与职责;需要明确政务外网系统具备的信息系统基本要素,详细描述系统拓扑图和系统硬件设备配置;需要描述政务外网系统承载的单一或相对独立的业务应用,相信分析应用专业数据应用流程。
在信息系统安全保护等级确定中需要完成对业务信息安全保护等级的确定和系统服务安全保护等级的确定。包括:业务信息/系统服务描述、业务信息/系统服务受到破坏时所侵害客体的侵害程度的确定。
根据等级保护的标准《信息安全技术 信息系统安全等级保护定级指南》的要求,政务外网系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定,并最终决定该政务外网系统的安全保护等级。
在系统建设试用阶段包括:基于等级保护的安全保护题写的整体设计、建设、运行、维护分阶段,是整个体系的主体部分。下面的方案以最常见的定级为二级的系统进行详细叙述。基于等级保护的安全防护体系方案一般可分为9个章节,其中包括:前沿、方案概况、安全需求分析、总体安全设计、安全建设项目规划、安全方案详细设计、系统产品性能要求及选型、项目实施与工程管理、安全运行维护与服务。
第一章,前言。在本章中主要介绍用户电子政务外网的业务情况,其中包括系统的背景叙述。
第二章,方案概述。在本章中主要阐述方案的背景、设计目标、设计原则和设计思想、说明对等级保护的需求,安全保护体系的主要建设内容等。
第三章,安全需求分析。本章包括技术层次面安全需求分析和管理层面安全需求分析。根据等级保护的基本要求,技术层面安全需求分析。根据等级保护基本要求,技术层面安全需求分析按照五个方面:物理安全、网络安全、主机安全、应用安全、数据安全和数据恢复。管理层面的安全需求分析按照安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理方面进行分析。
第四章,总体安全设计。对一个组织的任务、业务运作异常关键的信息都是由信息基础设施负责处理、存储和传输。信息基础设施对这些信息的保护需要通过“信息保障”完成。信息保障提出了目前信息基础设施的整套安全要求。信息保障依赖人、操作和技术来实现组织任务、业务运作。稳定的信息保证体系意味着信息保证的政策、步骤、技术与机制在整个组织的信息基础设施的所有层面上均得以实施。在制定安全策略中,依据的IATF信息保障技术框架定义了对该电子政务外网系统进行信息保障的过程,以及该系统中硬件和软件部件的安全要求。遵循这些原则就可以对信息基础设施进行名为“深度防御战略” 的多层防护。信息安全可用性策略是用户电子政务外网信息系统安全保护体系的核心。根据实际情况提出恰当得安全策略。一个全面的安全策略将有助于方案的设计,实施和执行。在本章节中首先完成等级化安全模型、总体安全策略,进而完成核心的安全技术策略设计、安全管理策略设计。
第五章,安全建设项目规划。在本章主要完成整个用户电子政务外网安全保护体系建设项目的整体进度计划以及各自项目的时间安排。
第六章,安全方案详细设计。本章为安全技术措施设计和安全管理措施设计两部分,并最终形成安全保护体系实施的预期效果(蜘蛛图)。在安全技术措施设计中包括:物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复。
第七章,系统产品性能要求及选型。在本章中对用户电子政务外网安全保护体系中选用的产品按照实际需要完成对性能指标的定量要求以及选型定型。
第八章,项目实施与工程管理。采取工程化的项目管理方法进行严格、科学和有效的项目控制和管理。从组织管理和技术管理两个方面对项目实施严格规范和有效管理。在项目实施中按照SSE-CMM的要求,即系统按安全工程能力成熟模型,精心工程实施。不断提高工程的质量与可用性,降低工程的实施成本。SSE-CMM给出了信息系统工程建设需要考虑的关键过程保障域,可能知道工程从单一的安全设备设置转向系统的剞劂整个工程的分先评估、安全策略形成、安全方案提出、实施和生命期控制等问题。根据SSE-CMM,将整个项目所做的工作分为项目启动准备、项目实施改进、项目完成跟踪,时需审核和改进以确保建设的项目能符合设计的方案。
第九章,安全运行维护与服务。主张为用户电子政务外网系统提供生名周期的服务。电子政务外网信息系统的整体性进行考虑,以营运的业务流程为眼点,运用信息系统安全工程技术理论、工具和方法,通过专业,客观的风险分析,在保证电子政务外网信息系统应用效率和投资收益比例恰当的前提下,降低客户的信息系统运行风险,确保客户信息系统发挥其价值。严格遵循国家网络安全主管部门有关规定以及国际安全服务标准,以ITSM 为目标、ITIL为指导,由专业从事网络服务和安全服务的专家小组提供服务,同时对安全管理员进行安全培训。在系统种植阶段遵照以下流程:
“信息转移、暂存和清除过程”是在信息系统中止处理过程中,对于可能会在另外的信息系统中使用的信息采取适当的方法将其安全的转移或暂存到可以恢复的介质中,确保将来可继续使用,同时采用安全的方法清除要终止的信息系统的信息。“设备迁移或废弃过程”是确保信息系统中之后,迁移或废弃的设备内不包括敏感信息,对设备的处理方式应符合国家相关部门的要求。“存储介质的清除或销毁过程”是通过采用合理的方式计算机介质(包括磁带、磁盘、打印结果和文档)进行信息清除或销毁处理,防止介质内的敏感信息泄露。通过讲不同的电子政务外网系统进行的个性处理,导入上述三个基本等级保护的安全保护体系建设过程,将可以得到完整的安全基于等级保护的安全体系建设方案,并指导基于等级保护的安全的电子政务外网系统。
4.2 电子政务等级保护实施措施
1、周密部署,精心组织
为有效贯彻落实国家信息安全等级保护制度,在总基础调查和试点工作基础上,根据《关于开展全国重要信息系统安全等级保护定级工作的通知》等相关规定,2007年11月13日,电子政务外网工程办召开等级工作启动会,正式启动国家电子政务外网安全等级的定级保护工作。
为确保信息系统等级保护工作顺利进行,外网工程办领导高度重视,专门成立了有个主要业务部门负责人为成员的等级保护工作小组,全面负责工作的规划、协调和指导,确定了外网工程版安全组为等级保护工作的牵头部门,各部门分工协作。同时,为确保系统划分和定级工作的准确性,2007年11月22日外网工程办专门邀请专家,对定级工作进行专项指导。
2、积极做好定级各项工作
信息安全等级保护工作政策性强、技术要求高,时间有非常紧迫,为此,政务外网工程办从3个方面抓好等级保护前期准备工作:一是积极参加公安部组织的等级保护培训,领会与理解开展信息等级保护目的、意义与技术要求,系统的掌握信息安全等级保护的基础知识、实施过程、顶级方法步骤和备案流程。二是多次组织人员开展内部讨论和交流,使人员较全面的了解等级保护的意义、基础知识核定级方法。三是开展工程办各组的业务应用摸底调查,摸清系统的系统机构、业务类型和应用范围,并汇总整理政务外网各组成域的相关概况。
3、科学准确定级
在开展政务外网定级工作的过程中突出重点,全面分析政务外网网络基础平台的特 点,力求准确划定定级范围和定级对象。在此基础上,依据《信息安全等级保护管理办法》,确定政务外网各组成组子系统(网络域)的安全保护等级。
划定定级对象。根据《信息系统安全等级保护定级指南》,外网工程办多次组织技术和业务骨干召开专题会议讨论信息系统划分问题,提出了较为科学合理的信息系统划分方案。
组织专家自评把关。根据等级保护评审的标准与要求,专家们对信息系统划分和定级报告进行内部评审,并给出了内部评审意见。根据专家意见重新修订并整理了等级保护定级报告及其相关材料。
此外,在顶级过程中,外网工程办积极与公安部门等级保护主管部门进行沟通,并竟由相关专家确定定级对象与等级保护方案后,整理好了所有定级材料,准备下一步的正式评审。
4、定级对象和结果
根据政务外网作为基础网络平台的特性,以及其接入系统的不同业务类型,政务外网按管理边界划分为中央政务外网、地方政务外网两类管理域。中央政务外网按业务边界划分功能区,即公用网络平台区、专用VPN网络区以及互联网接入区,在各功能区内又根据业务类型和系统服务的不同,确定了多个业务系统,主要有安全管理系统、应用平台系统、网络管理系统、邮件系统、VPN业务、互联网数据中心等六个系统作为本次等级保护定级工作的定级对象,分别予以定级(确定等级结果如下表所示)。
表 国家电子政务外网业务信息系统定级对象和结果
第五章 基于等级保护的电子政务安全度量
本章针对安全管理的量化问题,建立了信息安全管理度量的层次结构模型,确定了信息安全管理度量要素及度量指标,设计了相应的度量方法及辅助调查工具——度量核查表。
5.1 信息安全度量现状
信息安全“三分技术,七分管理”的思想目前已经被广泛接受,然而,在实际的安全实践中,安全管理依然被人们忽视。导致这种局面的一个重要原因是安全管理的有效型难以度量。相对于安全技术,安全管理涉及到更多的领域,包含众多的非量化的难以测量的因素,如规章制度度的制定和培训、管理措施的落实、财政预算的支持等。因此,信息安全管理有效的度量繁杂乃至琐碎,难度很大。具体实施过程中,对安全管理的度量主要依靠操作人员进行,度量的准确性往往依赖于操作人员的实践经验、对相关标准的理解程度等。这些主观因素往往导致度量结果不够准确,不能真实反映安全管理上的弱点,也就不能有针对性的进行改进,从而降低了度量结果的可信度,进而影响甚至误导信息安全的改进过程。
管理学上有如下原则:不能被测量的行为是不能被管理的。如何对安全管理进行有效的量化度量,根据量化的度量结果进一步指导安全管理,提高信息安全能力和水平,目前已经成为信息安全领域的一个研究热点。
2003年7月,NIST发布了SP800-55《信息技术系统安全度量指南》。该标准对安全管理度量定义如下:一种工具,被设计用来通过收集、分析和报告与性能相关的数据,以辅助决策、改善性能和可审计性。《信息技术系统安全度量指南》中结合NIST SP800-26《信息技术系统安全自我评估导则》中的安全控制目标和技术方法,对角色责任、度量定义、度量类型、度量开发和实施方法、度量项目的实施过程都做了描述,同时以附件形式给出了17种度量的模板。
SC27N4474:WD 27004(ISO/IEC27004草案)《信息安全管理度量机制和测量措施》中规定了测量项以及组织可能用于促进对ISMS管理的测量技术,该模型使用客观信息来监督和评审ISMS以及孔子措施的性能。
我国信息安全管理标准的研究比较落后。不仅已经制定的少量标准大多沿用国际标准,而且很少直接参与到国际信息安全标准的制定当中,致使无法在国际标准的制定中体现我国国家利益,也只能加了参照国际标准制定相应国内标准是的困难。目前在信息安全 管理度量标准方面的主要工作向是积极跟踪国际信息安全管理度量方法和技术标准化的动态,系统研究信息安全度量方法和测量技术,抓紧制定相应的国内安全管理度量标准,为我国信息安全管理体系建设提供基础技术保障。
5.2 基于等级保护的安全管理度量方法的设计
安全管理度量的成功实施需要解决若干个关键问题。(1)度量要素、度量指标的选取(2)度量结果的量化
度量要素是评判信息安全管理是否有效的组成因素,所有度量要素的合理表现,就能构呈现出信息安全管理的效果。
度量指标是为考察各个度量要素而设计的核查项,单个的度量指标是安全管理的最小度量单位。通过对某度量要素所包含的若干指标的核查结果,能够对该度量要素进行评估。
度量要素、度量指标的选取时前提条件,它为安全管理度量的实施准备工具。如果度量要素、度量指标集合不完备、不合理,将导致度量结果出现较大的偏差,进而影响信息安全管理目标的实现;而量化则是对安全管理度量的进一步加工处理,以便从中发现问题,总计规律。
1、国家计算机等级保护标准GB17859 根据《计算机信息系统安全保护等级划分准则》(GB17859),我国的信息安全划分为五个级别,即用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。五个级别以第一级用户自主保护级为基础,每级对信息安全的保护方法一步增强,保护范围进一步扩大。
GB17859给出了对计算机信息系统实施五级保护的原则,并对各个级别的具体实施要求进行了目标上的阐述,但其本身并没有提供如何评估某级别安全保护目标是否现得定量化指标。所以根据GB17859的实施要求有针对性的提出一个安全管理度量方法十分必要。
2、度量要素的选取
ISO/IEC17799确立的信息安全管理体系目前在国际上已经成为通行的信息安全管理体系,它包含了安全方针的拟定、安全责任的归属、风险的评估与确定、强化安全参数及存取的控制,提供了10大管理方面,36个管理目标,127重安全控制供用户选择和使用。标准自公布以来,被多个国家政府机构及其他单位组织采用,受到良好的效果。
为保证度量的全面性与合理性,以ISO/IEC17799中的安全控制措施作为安全管理的度量要素,以保证能够完成整覆盖信息安全管理的各个环节。同时为每个度量要素设计了相应的度量指标(核查问题)集合,这样就首先构造了一个安全管理度量要素的全集,以及一个度量指标的全集,其中,单个的度量指标是安全管理的最小度量单位。但在实际操 作中,由于各个信息系统对于安全的要求不同,需要对个度量要素全集和度量指标全集进一步裁剪以符合实际情况。以国家计算机等级保护标准G17859为依据,根据组织的信息系统所划分的安全等级,从度量要素全集合度量指标全集中提取相应的度量要素子集、度量指标子集。安全管理度量的层次结构如下图所示:
如上图所示,度量要素包含若干个度量指标,即度量该要素的核查问题。度量指标是最小的测量单位,可以分别从规章制度、落实证据两个方面进行设计。
(1)管理制度包括技术开发文档、管理制度、操作规程以及其他与系统运行、维护、安全相关的所有文档。
(2)落实证据包括会议纪要、各种登记表、值班日志、故障记录、出入登记表等纸当文件,也包括对安全管理负责人、系统维护者、企业关公等的调查询问结果。
对照ISO/IEC17799的章节结构设计安全管理度量核查表,如下表所示:
表 安全管理度量核查表
表中控制措施即为度量要素,核查问题即为度量标准。度量指标的安全类别划分为与GB17859相对应的5级,如果待度量的信息系统的安全等级被划分为二级,则表1中于每个度量要素对应的所有安全类别为二级以及以下的度量指标都应被提取出来,构成给度量要素的度量指标集合,进而构成此次度量的度量指标集合。
3、度量结果的量化与分析
显然,定量化的数据及图表在描述安全控制目标实现程度的变化趋势,证明安全投资合理性方面比非量化的描述更具有优势。因此,试图从度量要素和度量指标的量化工作出发,最后给出定量化的安全管理度量结果。在度量要素集合中,各个度量要素对于信息系 统安全的影响是不同。为是度量结果更真的反应安全管理的各个环节,需要为各个度量要素赋予不同的权重。类似的,每个度量要素的各指标也应该赋予不同的权重。
在统计信息系统安全管理度量的得分时,首先根据各个度量指标的得分统计加权得出每个度量要素的得分,然后再由各个度量要素得分的统计加权得出该组织的安全管理度量最后得分。
如上表所示,度量要素的各个度量指标(核查问题)的设计应该标准化,如均为单选选择题,并知道那个简单明确、无歧义的评分规则,如选答案“是”应得满分M,选答案“否”为0分,选答案“一部分”得5分等。度量指标谁的标准优化可保证度量结构不受度量实施人员主观因素的干扰,维持客观性。
安全管理度量应该定期进行。一段时间(如一年或一季度)内的几次安全管理度量的量化结果能够表现安全控制目标实现程度随时时间的变化趋势(如下图所示),帮助管理者识别抵消的安全控制,引导安全投资,提高安全管理水平,实现组织的信息安全目标。
第六章 总结
本论文主要研究的是基于互联网的电子政务等级保护,首先讨论了电子政务的现状和主要问题,叙述了基于互联网的电子政务等级保护的建设和研究。主旨是通过对此项问题的研究,对基于互联网的电子政务等级保护有更深刻的了解,并且加深印象,对此项问题的研究起到推动作用。
随着社会的发展,政府的网络化越来越重要,使人民的政府成为一个民主的政府,透明的政府,是越来越需要的。
总结近年来的电子政务的发展,总体来说是相当不错的,国家对此也十分注重,多次制定法律法规规范电子政务的发展以及应用,为电子政务在我国普及、发展提供了必要的条件,同时,也是人们对电子政务的重要性有了新的认识。
在未来的时间里,电子政务无疑会成为社会的主流,无论是政府还是企业,都会把发展电子政务作为首要问题。电子政务无疑已经成为了一个成熟的企业、一个发达的国家的象征。
参考文献
[1] 马作者:燕曹,周湛.信息安全法规与标准[M].北京:机械工业出版社,2004. [2] 罗海宁 郭红 吴亚飞
国家电子政务外网安全等级保护定级工作基本完成 [3] 刘学忠 刘增良 余达太
基于等级保护的安全管理度量方法研究 [4] 孟源 杨宏
基于等级保护的电子政务外网整体安全解决方案 [5] 吴海波 有效保障电子政务安全
第二篇:兰州互联网等级保护工作总结
兰州互联网新闻中心2011年等保工作总结
根据信息安全等级保护工作要求,结合我单位工作实际需要,我们认真开展了信息安全自查工作,加强了信息系统的管理和维护,完善了系统软硬件设施,实现了网站信息系统的安全运行。现将2011年信息安全自查工作开展情况总结如下:
一、信息安全保护工作现状
1、制定信息安全保护规章制度,加强日常管理。在硬件安全方面,及时检查防雷、防火、防盗和电源连接等情况;在网络安全方面,加强网络结构、安全日志、密码和IP地址的管理;在应用安全方面,提高人员安全意识,增强系统操作的规范性。
2、平台及网络管理方面,购置了新式服务器,提高平台性能,增强稳定性;采用linux操作系统,更换原03操作系统,提升系统的安全性。更新数据库,采用了功能更强大,性能更优异,安全性更强的oracle数据库。对平台关键部位进行了双机热备份,加强了主站的可靠性。安装硬件防火墙,隔离内外网,进一步提高网络安全。
3、系统操作权限方面,严格按系统使用所需,针对不同系统操作用户的需求,划分使用权限。制定了密码定期更新机制,对用户密码按月更新,并采取9位数字加字符的设置方式提高密码的健壮性。
二、自查中存在的问题
1、初步建立了信息安全规章制度,但还不完善,未能覆盖到信息系统安全的所有方面。
2、专业技术人员较少,信息系统安全方面可投入的力量有限。
3、由于我单位处在创业起步阶段,经费相对紧张,信息系统建设和信息安全保护工作可投入的经费不足。
三、整改方向
1、在今后的工作中,我们将进一步完善信息安全相关规章制度,实现信息安全的规范管理。
2、加强对计算机安全知识的培训,定期开展信息安全检查工作,提高人员安全防护意识。
3、积极争取财政支持,购买相关设备,进一步扩大对信息安全工作的投入。
兰州互联网新闻中心 二〇一一年11月8日
第三篇:电子政务发展研究
电子政务发展研究
09信管2班03成雅婷
信息时代的国家竞争力最高评价标准已从过去的土地、原材料、技术、人才等变为以信息能力为最高参数的评价标准系统。对信息的把握和支配能力,是影响国家竞争力的重大要素之一。利用信息网络技术和其他相关技术构造更加适合时代要求的政府结构和运行方式,推行电子政务,深化行政体制改革显得尤为重要。十六大报告指出了我国政府下一步改革的方向:“深化行政管理体制改革。进一步转变政府职能,改进管理方式,推行电子政务,提高行政效率,降低行政成本,形成行为规范、运转协调、公正透明、廉洁高效的行政管理体制。”当前我国政府面临着重大的变革和挑战,但同时也更具备了进一步改革的思想基础、方向指南与技术准备。作为技术创新与体制创新相结合的典范,电子政务在推动我国行政体制改革方面将发挥巨大的作用,具有深远的历史意义和重要的现实意义。
电子政务是政府管理方式的革命,它是运用信息以及通信技术打破行政机关的组织界限,构建一个电子化的虚拟机关,使公众摆脱传统的层层关卡以及书面审核的作业方式,并依据人们的需求、人们可以获取的方式、人们要求的时间及地点等,高效快捷地向人们提供各种不同的服务选择。政府机关之间以及政府与社会各界之间也经由各种电子化渠道进行相互沟通。
电子政务的建立将使政府社会服务职能得到最大程度的发挥,但也使政府敏感信息暴露在无孔不入的网络威胁面前。由于电子政务信息网络上有相当多的政府公文在流转,其中不乏重要信息,内部网络上有着大量高度机密的数据和信息,直接涉及政府的核心政务,它关系到政府部门、各大系统乃至整个国家的利益,有的甚至涉及国家安全。因此,电子政务信息安全是制约电子政务建设与发展的首要问题和核心问题,是电子政务的职能与优势得以实现的根本前提。如果电子政务信息安全得不到保障,不仅电子政务的便利与效率无从保证,更会给国家利益带来严重威胁。
一、我国电子政务建设的现状
目前,我国电子政务建设的现状大致表现在以下五个方面;
(1)纵横成网、架构合理
电子政务的应用主体是各级政府及其职能部门,建设之初,我们都在遵循国务院办公厅制定的“以需求为导向,以应用促发展,统一规划,协同建设,资源共享,安全保密”的原则,结合省、市、区情况,按照国办提出的规划和技术指导书,紧紧贴近需求,由小到大,由浅人深,由单机到网络,递进发展,并已形成了一个“三网一库”的科学架构。
(2)电子政府、雏形已具
电子政务建设中组建的“三网一库,是一个有机结合的整体,各级政府机关与各级政府部门之间,通过“三网一库”,使物理的政府“升华”成了一个虚拟的电子政府体系,使办公效率提高、交换加快、决策走向科学、政令更加畅通。
(3)育有队伍、拥有数据
经过近十年的耕耘,政府机关的信息化建设已经引起政府部门各级领导的关注,井且人员的结构也日趋合理,突出的特点是,人员知识结构的“两栖化”,即这些同志既懂得机关行政管理业务,又熟悉计算机网络知识和操作技能,现已成为政府机关办公不可或缺的部门和力量。
(4)业内认可、应用有序
由于中国政务信息化建设走了一条贴近需求、便捷实用的务实之路,使广大公务员尝到甜头,既解放了生产力,又大大提高了办公效率和辅助领导决策的水平,同时还使个人素质一了一个档次,从而调动了机关干部参与信息化建设的积极性。
(5)先行一步、优势无比
中国政务信息化系统,相对于其它领域的信息化系统而言,启动较早,有连续性,应用扎实,系统可靠,安全性高,已成气候,起到了带头示范作用。由于政府部门上下左右间的可干预性、协调性互动性以及对于其他信息系统数据索取的高权限性,使得他的发展壮大具有很强的优势。
二、我国电子政务存在的问题
从目前的发展情况看,国内各政府职能部门的网络基础建设已经初具规模,不同部门的局域网已经基本搭建完成,有些地区已经形成了城域网的基本雏形。从具体应用效果看,政府内部通过网络化沟通和信息共享,办公效率大为提高。虽然近几年我国电子政务取得了长足的进展,但还存在着不少问题,制约着我国
电子政务的进一步发展。
(一)对电子政务的性质和地位认识不足在一些纲领性文件中,虽然也提出要加快政府行政管理信息化步伐,但是并没有明确提出“电子政务”或“电子政府”的概念,而且还将“政府行政管理信息化”与“金融、财税、贸易等领域的信息化”相区别。这表明,我们对电子政务的系统性及其在信息化建设当中的地位还缺乏足够的认识。
实际上,电子政务是经济与社会信息化的先决条件。一个国家的信息化需要来自多方面力量的推进。政府作为国家组成及信息流的“中心节点”,在社会信息化的进程中起着责无旁贷而又无可替代的作用。
首先,政府是信息资源的最大拥有者,从我国现阶段来看,政府的信息资源最多,占总信息资源的80%;同时政府也是信息通信技术的最大使用者。因此,信息化应该首先从政府开始,政府先要解决好自身的信息化问题。
其次,电子政务将带动企业、社会信息化。一方面,在政府实现信息化之后,企业如果不及时转变,便享受不到政府所提供的快捷、透明的信息化服务;而如果放弃政府所提供的各种信息资源,或者缺乏与信息化政府交往的有利手段和渠道,企业在市场中的竞争力自然就会受损。这就迫使企业也不得不信息化,与政府保持同步。另一方面,电子政务建设需要相应的网络商、技术开发商的支持,这就为信息产业开辟了极大的商业市场,使得电子商务和电子政务找到了结合点,而电子商务的发展也将促进全社会的信息化。
第三,由于自身的特殊地位,电子政务能够实现更大范围的示范效应,特别是在信息化意识不够主动的地方,政府更可以用相关的优惠政策刺激民间信息化的发展;或者藉由自身的特殊权力,强制推动信息化的进程。
(二)缺乏统一规划目前,电子政务的发展缺乏宏观规划,没有提出明确的电子政务发展目标,也没有制定相应的发展规划。同时,“条块分割”的管理体制与电子政务的统一性、开放性、交互性和规模经济等自然特性产生严重冲突,各级地方政府和部门在开展电子政务时往往各自为政,采用的标准也各不相同,业务内容单调重复,造成新的重复建设。例如,在某些省会城市,省工商局、市工商局甚至区工商局同时建立各自的网站,给工商行政管理带来混乱。即使是前面介绍的办得比较成功的“海淀园数字园区”,其职能范围也只仅限于中关村海
淀园区区内的企业,出了这个地域范围就不灵了。电子政务是一种新事物,涉及技术、产品、标准、管理等众多领域。由于缺乏整体规划,在宏观层面上对各级政府及部门电子政务的建设也就不能进行很好的协调。
(三)基础条件比较落后由于当前电信领域的改革尚未到位,计算机、有线电视和电信的“三网融合”迟迟实现不了,影响了我国电信基础设施的建设步伐。各地政府的计算机、电信网络设施的建设普及率不高,无线互联网、数字电视和呼叫中心等数据通信设施基本上还处于起步阶段,因此整体的物质和技术条件还远远不能适应建设电子政务的需要。
我国在电子政务的立法方面也严重滞后,目前只是由行政机关对互联网管理出台了一些限制性的行政法规,而对于如何促进电子交易、使用电子签名和电子支付还没有制定相关的法律,在一定程度上也制约了电子政务的发展。“政府上网工程”有待深入1999年开始的“政府上网工程”()取得了很大的成绩,政府网站数量在短时间里成倍增长,对电子政务的发展起了很大的推动作用。但是,在这过程当中也存在着许多问题(政府上网工程秘书处,2000年1月,《政府上网工程白皮书》。),从内容的组织、网页制作到服务应用等方面都有待改进和完善。由于缺乏预算来源和合理的经营机制,相当多的政府网站仅仅局限于把一些法律、法规、政策、条文从纸上搬到网上,公开的信息数量少,质量也不高,网上信息更新很不及时,网页与网页之间的连接渠道少,各级政府的电子政务还没有形成网络。有些政府网站只重视了网页介绍宣传的静态功能,而对于政府部门的信息未有动态的反映,也缺乏和用户的交流沟通手段。群众虽然从网上可以了解一些政务信息,但要办理一些事务却缺乏必要的渠道,政府与上网公民之间缺乏互动性、回应性
三、中国电子政务发展趋势
这两年来,尽管从市场发展速度来看,我国的电子政务发展较快,但是这并不表明我国的电子政务已经发展到了一个较高的水平了。恰恰相反,由于“数字鸿沟”以及各种体制的障碍,我国电子政务的发展水平仍然较低。根据联合国“2003年电子化政府完备程度”的调查,在173个成员国当中,我国排在第74位,只在中等水平。因此,我国的电子政务还面临着一个大发展的问题。
四、近期内应该采取的措施
为推动电子政务的发展,近期内应该采取下列措施:
(一)加强宣传,突破误区。电子政务是近些年来随着电子信息技术的发展和互联网的出现才兴起的一种新的政府管理方式,其概念、内涵和特点尚不为大多数公务员所理解。实际上,从我国的现实情况来看,许多人对电子商务还是一知半解,对电子政务就更是一无所知了。因此,当前必须就电子政务与传统的政府管理的差异、电子政务与办公自动化的区别、电子政务对信息产业的引导作用等加强宣传工作,破除各种错误认识,使各级领导树立正确观念。
(二)统一规划,加强领导。可以借鉴国外先进国家的经验,在国务院建立电子政务的领导机构,统一领导、组织中央政府和地方政府的电子政务建设。为此,可以推行“总体统筹、分工负责”制。“总体统筹”就是:国务院领导机构对全国政府信息化建设进行统一规划,制定统一标准、相关政策法规及管理办法,对重大工程的资金进行统筹安排。“分工负责”就是:各部委、各地方按照统一的规划、标准,负责具体项目的实施。
(三)以发展电子政务、实现“电子政府”为目标,以政府机构改革为契机,改革政府管理模式,优化业务工作流程。这是实现政务信息化的前提和基础。实施电子政务工程不能简单地将现有业务、办公、办事程序原封不动地搬上计算机,而是要对传统的工作模式、工作方法、工作手段进行革新。
(四)整合政务信息资源,建设和改造政务数据库。这是电子政务工程的关键和难点,必须打破各级政府和部门对信息的垄断和封闭,整合政务信息资源,重视对信息资源的不断开发、更新和维护;推动政府信息资源对社会的开放,使之发挥巨大的社会效益和经济效益。
(五)健全和完善政府专网,加快建设宽带高速政务网络系统。规划、引导国家骨干通信网络和社区宽带网建设,促进无线上网、数字电视与呼叫中心等技术与市场的发展,加快各地“数字城市”和政务网络系统建设,进一步改造各级政府与上级机关联通的专用通讯网络(政府专网)。
(六)吸引私人部门与非政府机构参与电子政务的建设,确保电子政务顺利发展。在确保政务安全的前提下,可以考虑通过合理方式授权企业参与筹资、建设、运营和管理。这样既可减轻政府部门的预算压力,确保维持政府网站运行的资金来源,企业也可通过产品开发、技术咨询与服务、数据的商业再开发而获得
利润。实际上,有些地方已经尝试过这种方式并获得成功。建立电子政务研究、咨询、统计和评估等方面的非政府机构,促进电子政务的改进与提高。
(七)加强电子政务的软环境建设,制定相应的政策法规,保护网络安全。发展电子政务,立法要先行。立法要从有利于信息技术发展、有利于电子政务开展的角度,解决电子政务发展中亟待解决的问题,如政务信息的公开、电子签名、电子支付的合法性等,制定电子政务信息技术规范,并及时修改现有政策法规中与信息技术发展不相适应的成份。
第四篇:电信网和互联网管理安全等级保护要求
电信网和互联网管理安全等级保护要求 范围
本标准规定了公众电信网和互联网的管理安全等级保护要求。
本标准适用于电信网和互联网安全防护体系中的各种网络和系统。2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本.凡是不注日期的引用文件,其最新版本适用于本标准。3 术语和定义
下列术语和定义适用于本标准。3.1
电信网 Telecom Network
利用有线和,或无线的电磁、光电网络,进行文字、声音、数据、图像或其他任何媒体的信息传递的网络,包括固定通信网、移动通信网等。3.2
互联网 Internet
泛指由多个计算机网络相互连接而形成的网络,它是在功能和逻辑上组成的大型计算机网络。3.3
安全等级 Security Classification
安全重要程度的表征.重要程度可从网络受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。4 管理安全等级保护要求 4.1 第1级要求
不作要求。4.2 第2级要求 4.2.1 安全管理制度 4.2.1.1 管理制度
a)应制定安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等;
b)应对安全管理活动中重要的管理内容建立安全管理制度; c)应对安全管理人员或操作人员执行的重要管理操作建立操作规程。4.2.1.2 制定和发布
a)应指定或授权专门的部门或人员负责安全管理制度的制定;
b)应组织相关人员对制定的安全管理制度进行论证和审定; c)应将安全管理制度以某种方式发布到相关人员手中。4.2.1.3 评审和修订
应定期对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订。4.2.2 安全管理机构 4.2.2.1 岗位设置
a)应设立安全主管、安全管理各个方面的负责人岗位,定义各负责人的职责; b)应设立系统管理人员、网络管理人员、安全管理员岗位,定义各个工作岗位的职责。4.2.2.2 人员配备
应配备一定数量的系统管理人员、网络管理人员、安全管理员等。4.2.2.3 授权和审批
a)应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批;
b)应针对关键活动建立审批流程,并由批准人签字确认。4.2.2.4 沟通和合作
a)应加强各类管理人员之间、组织内部机构之间以及网络安全职熊部门内部的合作与沟通;
b)应加强与相关外部单位的合作与沟通。4.2.2.5 审核和检查
应由安全管理人员定期进行安全检查,检查内容包括用户账号情况、系统漏洞情况、数据备份等情况。4.2.3 人员安全管理 4.2.3.1 人员录用
a)应指定或授权专门的部门或人员负责人员录用;
b)应规范人员录用过程,对被录用人员的身份、背景和专业资格等进行审查,对其所具有的技术技能进行考核;
c)应与从事关键岗位的人员签署保密协议。4.2.3.2 人员离岗
a)应规范人员离岗过程,及时终止离岗员工的所有访问权限;
b)对于离岗人员,应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备; c)对于离岗人员,应办理严格的调离手续。4.2.3.3 人员考核
应定期对各个岗位的人员进行安全技能及安全认知的考核。4.2.3.4 安全意识教育和培训
a)应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训;
b)应告知人员相关的安全责任和惩戒措施,并对违反违背安全策略和规定的人员进行惩戒;
c)应制定安全教育和培训计划,对网络安全基础知识、岗位操作规程等进行培训. 4.2.3.5 外部人员访问管理
应确保在外部人员访问受控区域前得到授权或审批,批准后由专人全程陪同或监督,并登记备案。
4.2.4 安全建设管理 4.2.4.1 定级
a)应明确网络的边界和安全保护等级
b)应以书面的形式说明网络确定为某个安全等级的方法和理由; c)应确保网络的定级结果经过相关部门的批准。4.2.4.2 安全方案设计
a)应根据网络的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施; b)应以书面形式描述对网络的安全保护要求、策略和措施等内容,形成网络的安全方案;
c)应对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用的详细设计方案;
d)应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施。4.2.4.3 产品采购和使用
a)应确保安全产品采购和使用符合固家的有关规定; b)应确保密码产品采购和使用符合国家密码主管部门的要求; c)应指定或授权专门的部门负责产品的采购。4.2.4.4 自行软件开发
a)应确保开发环境与实际运行环境物理分开;
b)应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则; c)应确保提供软件设计的相关文档和使用指南,并由专人负责保管。4.2.4.5 外包软件开发
a)应根据开发需求检测软件质量;
b)应要求开发单位提供软件设计的相关文档和使用指南; c)应在软件安装之前检测软件包中可能存在的恶意代码。4.2.4.6工程实施
a)应指定或授权专门的部门或人员负责工程实施过程的管理; b)应制定详细的工程实施方案,控制工程实施过程。4.2.4.7 测试验收
a)应对系统进行安全性测试验收:
b)在测试验收前应根据设计方案或合同要求等制订测试验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告;
c)应组织相关部门和相关人员对网络测试验收报告进行审定,并签字确认。4.2.4.8 交付
a)应制定网络交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点; b)应对负责网络运行维护的技术人员进行相应的技能培训;
c)应确保提供网络建设过程中的文档和指导用户进行网络运行维护的文档。4.2.4.9 安全服务商的选择
a)应确保安全服务商的选择符合国家的有关规定;
b)应与选定的安全服务商签订与安全相关的协议,明确约定相关责任;
c)应确保选定的安全服务商提供技术支持和服务承诺,必要时与其签订服务合同。4.2.4.10 备案
应将网络的定级、属性等资料指定专门的人员或部门负责管理,并控制这些材料的使用。4.2.5 安全运维管理 4.2.5.1 环境管理
a)应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理;
b)应配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理;
c)应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定;
d)应加强对办公环境的保密性管理,包括工作人员调离办公室应立即交还该办公室钥匙和不在办公区接待来访人员等。4.2.5.2 资产管理
a)应编制与网络相关的资产清单,包括资产责任部门、重要程度和所处位置等内容; b)应建立资产安全管理制度-规定资产管理的责任人员或责任部门,并规范资产管理和使用的行为。4.2.5.3 介质管理
a)应确保介质存放在安全的环境中,对各类介质进行控制和保护,并实行存储环境专人管理;
b)应对介质归档和查询等过程进行记录,并根据存档介质的目录清单定期盘点; c)应对需要送出维修或销毁的介质,首先清除其中的敏感数据,防止信息的非法泄漏; d)应根据所承载数据和软件的重要程度对介质进行分类和标识管理。4.2.5.4 设备管理
a)应对网络相关的各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理;
b)应建立基于申报、审批和专人负责的设备安全管理制度,对各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理;
c)应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规程实现关键设备(包括备份和冗余设备)的启动,停止、加电,断电等操作; d)应确保信息处理设备必须经过审批才能带离机房或办公地点。4.2.5.5 网络安全管理
a)应指定人员对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作;
b)应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定;
c)应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份;
d)应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补; e)应对网络设备的配置文件进行定期备份; f)应保证所有与外部系统的连接均得到授权和批准。4.2.5.6 系统安全管理
a)应根据业务需求和系统安全分析确定系统的访问控制策略; b)应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补;
c)应安装系统的最新补丁程序,在安装系统补丁前,应首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装;
d)应建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面作出规定;
e)应依据操作手册对系统进行维护,详细记录操作日志,包括重要的日常操作、运行维护记录、参数的设置和修改等内容,严禁进行未经授权的操作; f)应定期对运行日志和审计数据进行分析,以便及时发现异常行为。4.2.5.7 恶意代码防范管理 a)应提高所有用户的防病毒意识,告知及时升级防病毒软件,在读取移动存储设备上的数据以及从网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也,直进行病毒检查;
b)应指定专人对网络和主机进行恶意代码检测并保存检测记录;
c)应对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定。4.2.5.8 密码管理
应使用符合国家密码管理规定的密码技术和产品。4.2.5.9 变更管理
a)应确认网络中要发生的重要变更,并制定相应的变更方案;
b)网络发生重要变更前,应向主管领导申请,审批后方可实施变更,并在实施后向相关人员通告。
4.2.5.10 备份与恢复管理
a)应识别需要定期备份的重要业务信息、系统数据及软件系统等;
b)应规定备份信息的备份方式(如增量备份或全备份等)、备份频度(如每日或每周等)、存储介质、保存期等;
c)应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略,备份策略应指明各份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法。
4.2.5.11 安全事件处置
a)应报告所发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点; b)应制定安全事件报告和处置管理制度,明确安全事件类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责;
c)应根据安全事件对本网络产生的影响,对本网络安全事件进行等级划分; d)应记录并保存所有报告的安全弱点和可疑事件,分析事件原因,监督事态发展,采取措施避免安全事件发生。4.2.5.12 应急预察管理
a)应在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容;
b)应对相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次。4.3 第3.1级要求 4.3.1 安全管理制度 4.3.1.1 管理制度
除满足4.2.1.1的要求之外,还应满足:
a)应对安全管理活动中的各类管理内窖建立安全管理制度,以规范安全管理活动; b)应形成由安全策略、管理制度、操作规程等构成的全面的安全管理制度体系。4.3.1.2 制定和发布
除满足4.2.1.2的要求之外,还应满足:
a)安全管理制度应有统一的格式,并进行版本控制; b)安全管理制度应通过正式、有效的方式发布; c)安全管理制度应注明发布范围,并对收发文进行登记. 4.3.1.3 评审和修订
除满足4.2.1.3的要求之外,还应满足:
a)安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定;
b)应定期或不定期对安全管理制度进行检查和审定。4.3.2 安全管理机构 4.3.2.1 岗位设置
除满足4.2.2.1的要求之外,还应满足。a)应设立安全管理工作的职能部门;
b)应成立指导和管理安全工作的委员会或领导小组,其最高领导应由单位主管领导委任或授权;
c)应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求. 4.3.2.2 人员配备
除满足4.2.2.2的要求之外,还应满足: a)应配备专职安全管理员,不可兼任; b)关键事务岗位应配备多人共同管理。4.3.2.3 授权和审批
除满足4.2.2.3的要求之外,还应满足:
a)应根据各个部门和岗位的职责明确授权审批事项;
b)应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度;
c)应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息; d)应记录审批过程并保存审批文档。4.3.2.4 沟通相合作
除满足4.2.2.4的要求之外,还应满足。
a)各类管理人员之间、组织内部机构之间以及网络安全职能部门内部定期或不定期召开协调会议,共同协作处理网络安全问题;
b)应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息;
c)应聘请网络安全专家作为常年的安全顾问,指导网络安全建设,参与安全规划和安全评审等。
4.3.2.5 审核和检查
除满足4.2.2.5的要求之外,还应满足:
a)应由内部人员或上级单位定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;
b)应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报;
c)应制定安全审核和安全检查制度规范安全审核和安全检查工作,定期按照程序进行安全审核和安全检查活动。4.3.3 人员安全管理 4.3.3.1 人员录用
除满足4.2.3.1的要求之外,还应满足。
a)应严格规范人员录用过程,对被录用人的资质等进行审查; b)应签署保密协议; c)应从内部人员中选拔从事关键岗位的人员,并签署岗位安全协议。4.3.3.2 人员离岗
除满足4.2.3.2的要求之外,还应满足。
关键岗位人员离岗须承诺调离后的保密义务后方可离开。4.3.3.3 人员考核
除满足4.2.3.3的要求之外,还应满足:
a)应对关键岗位的人员进行全面、严格的安全审查和技能考核; b)应对考核结果进行记录并保存。4.3.3.4 安全意识教育和培训
除满足4.2.3.4的要求之外,还应满足: a)应对安全责任和惩戒措施进行书面规定;
b)应对定期安全教育和培训进行书面规定,针对不同岗位制定不同的培训计划; c)应对安全教育和培训的情况和结果进行记录并归档保存。4.3.3.5 外部人员访问管理
除满足4.2.3.5的要求之外,还应满足;
a)应确保在外部人员访问受控区域前先提出书面申请;
b)对外部人员允许访问的区域、网络、设备、信息等内容应进行书面的规定,并按照规定执行。
4.3.4 安全建设管理 4.3.4.1 定级
除满足4.2.4,1的要求之外,还应满足:
a)应组织相关部门和有关安全技术专家对网络定级结果的合理性和正确性进行论证和审定;
b)应将网络的定级结果分级上报至全国或地区的主管部门,主管部门对定级结果审批。
4.3.4.2 安全方案设计
除满足4.2.4.2的要求之外,还应满足: a)应指定和授权专门的部门对网络的安全建设进行总体规划,制定近期和远期的安全建设工作计划;
b)应根据网络的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件;
c)应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理镶略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施;
d)应根据等级测评、安全评估的结果定期调整和惨订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。4.3.4.3 产品采购和使用
除满足4.2.4.3的要求之外,还应满足:
应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。4.3.4.4 自行软件开发
除满足4.2.4.4的要求之外,还应满足:
a)应确保开发人员和测试人员分离,测试数据和测试结果受到控制; b)应制定代码编写安全规范,要求开发人员参照规范编写代码; c)应确保对程序资源库的修改、更新、发布进行授权和批准。4.3.4.5 外包软件开发
与4.2.4.5的要求相同。4.3.4.6 工程实施
除满足4.2.4.6的要求之外,还应满足: a)要求工程实施单位能正确地执行安全工程过程;
b)应制定工程实施方面的管理制度,明确说明实施过程的控制方法和人员行为准则。4.3.4.7 测试验收
除满足4.2.4.7的要求之外,还应满足:
a)应委托公正的第三方测试单位对网络进行安全性测试,并出具安全性测试报告; b)应对系统测试验收的控制方法和人员行为准则进行书面规定; c)应指定或授权专门韵部门负责系统测试验收的管理,并按照管理规定的要求完成系统测试验收工作。4.3.4.8 交付
除满足4.2.4.8的要求之外,还应满足;
a)应对网络交付的控制方法和人员行为准则进行书面规定;
b)应指定或授权专门的部门负责网络交付的管理工作,并按照管理规定的要求完成交付工作;
c)在网络正式投入使用前,应根据实际情况进行试运行,试运行期间应提供相关应急预防措施;
d)在网络正式投入使用后,应对开发、建设过程中涉及安全要求的配置、口令等内容重新修改、设定。
4.3.4.9 安全服务商的选择
与4.2.4.9的要求相同。4.3.4.10 备案
除满足4.2.4.10的要求之外,还应满足:
应将网络的安全等级、属性、定级的理由等资料分级上报至全国或地区的主管部门备案。4.3.4.11 等级测评
a)在网络运行过程中,应至少每年对网络进行一次等级测评,发现不符合相应等级保护标准要求的及时整改;
b)应在网络发生变更时及时对网络进行等级测评,发现级别发生变化的及时调整级别并进行安全改造,发现不符合相应等级保护标准要求的及时整改;
c)应选择具有国家相关技术资质和安全资质的测评单位进行等级测评; d)应指定或授权专门的部门或人员负责等级测评的管理。4.3.5 安全运维管理 4.3.5.1 环境管理
除满足4.2.5.1的要求之外,还应满足:
a)应有指定的部门负责机房安全,并配置电子门禁系统,对机房来访人员实行登记记录和电子记录双重备案管理。b)工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件。
4.3.5.2 资产管理
除满足4.2.5.2的要求之外,还应满足:
a)应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施;
b)应对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。
4.3.5.3 介质管理
除满足4.2,5.3的要求之外,还应满足:
a)应建立介质安全管理制度,对介质的存放环境、使用、维护和销毁等方面作出规定: b)应对介质的物理传输过程中人员选择、打包、交付等情况进行控制;
c)应对存储介质的使用过程进行严格的管理,对带出工作环境的存储介质进行内容加密和监控管理,对保密性较高的存储介质未经批准不得自行销毁;
d)应根据数据备份的需要对某些介质实行异地存储,存储地的环境要求和管理方法应与本地相同;
c)应对重要介质中的数据和软件采取加密存储。4.3.5.4 设备管理
除满足4.2.5.4的要求之外,还应满足:
应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等。4.3.5.5 监控管理
a)应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警,形成记录并妥善保存;
b)应组织相关人员定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,并采取必要的应对措施;
c)应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。4.3.5.6 网络安全管理 除满足4.2.5.5的要求之外,还应满足:
a)应实现设备的最小服务配置,并对配置文件进行定期离线备份; b)应依据安全策略允许或者拒绝便携式和移动式设备的网络接入: c)应定期检查违反规定拨号上阚或其他违反网络安全策略的行为。4.3.5.7 系统安全管理
除满足4.2.5.6的要求之外,还应满足:
应指定专人对系统进行管理,划分系统管理员角色,明确各个角色的权限、责任和风险,权限设定应当遵循最小授权原则。4.3.5.8 恶意代码防范管理
除满足4.2.5.7的要求之外,还应满足:
应定期检查网络内各种产品的恶意代码库的升级情况并进行记录,对主机防病毒产品、防病毒网关和邮件防病毒网关上截获的危险病毒或恶意代码进行及时分析处理,并形成书面的报表和总结汇报。4.3.5.9 密码管理
除满足4.2.5.8的要求之外,还应满足:
应建立密码使用管理制度。4.3.5.10 变更管理
除满足4.2.5.9的要求之外,还应满足:
a)应建立变更管理制度,变更和变更方案需有评审过程;
b)应建立变更控制的申报和审批文件化程序,对变更影响进行分析并文档化,记录变更实施过程,并妥善保存所有文档和记录;
c)应建立中止变更并从失败变更中恢复的文件化程序,明确过程控制方法和人员职责,必要时对恢复过程进行演练。4.3.5.11 备份与恢复管理
除满足4.2.5.10的要求之外,还应满足: a)应建立备份与恢复管理相关的安全管理制度;
b)应建立控制数据备份和恢复过程的程序,对备份过程进行记录,所有文件和记录应妥善保存; c)应定期执行恢复程序,检查和测试备份介质的有效性,确保可以在恢复程序规定的时间内完成备份的恢复。4.3.5.12 安全事件处置
除满足4.2.5.11的要求之外,还应满足:
a)应制定安全事件报告和响应处理程序,确定事件的报告流程,响应和处置的范围、程度,以及处理方法等;
b)应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训,制定防止再次发生的补救措施,过程形成的所有文件和记录均应妥善保存;
c)对造成系统中断和造成信息泄密的安全事件应采用不同的处理程序和报告程序。4.3.5.13 应急预案管理
除满足4.2.5.12的要求之外,还应满足:
a)应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障; b)应定期对应急预案进行演练,根据不同的应急恢复内容,确定演练的周期; c)应规定应急预案需要定期审查和根据实际情况更新的内容,并按照执行。4.4 第3.2级要求
与第3.1级要求相同。
4.5 第4圾要求
同第3.2级要求。4.6 第5级要求
待补充。
第五篇:安全等级保护管理办法
安全等级保护管理办法
为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规制定以下办法:
第1条 网络安全策略管理由安全保密管理员专职负责,未经允许任何人不得进行此项操作。
第2条 根据网络信息系统的安全设计要求及主机审计系统数据的分析结果,制定、配置、修改、删除主机审计系统的各项管理策略,并做记录。
第3条 根据网络信息系统的安全设计要求制定、配置、修改、删除网络安全评估分析系统的各项管理策略,并做记录。
第4条 根据网络信息系统的安全设计要求制定、配置、修改、删除入侵检测系统的各项管理策略,并做记录。
第5条 根据网络信息系统的安全设计要求制定、配置、修改、删除、内网主机安全监控与审计系统的各项管理策略,并做记录。
第6条 每周对网络信息系统安全管理策略进行数据备份,并作详细记录。第7条 网络信息安全技术防护系统(主机审计系统、漏洞扫描系统、防病毒系统、内网主机安全监控与审计系统)由网络安全保密管理员统一负责安装和卸载。
第8条 网络信息系统安全检查由安全保密管理员专职负责执行,未经允许任何人不得进行此项操作。
第9条 每天根据入侵检测系统的系统策略检测、审计系统日志,检查是否有网络攻击、异常操作、不正常数据流量等,对异常情况做及时处理,遇有重大安全问题上报保密局,并做详细记录。
第10条 每周登陆入侵检测系统产品网站,下载最新升级文件包,对系统进行更新,并做详细记录。
第11条 每月通过漏洞扫描系统对网络系统终端进行安全评估分析,并对扫描结果进行分析,及时对终端系统漏洞及安全隐患进行处理,作详细记录,并将安全评估分析报告上报保密办。
第12条 每周登录全评估产品网站,下载最新升级文件包,对系统进行更新,并作详细记录。
第13条 每周备份入侵检测系统和漏洞扫描系统的审计信息,并作详细记录。第14条 涉密计算机安全管理由安全保密管理员专人负责,未经允许任何人不得进行此项操作。
第15条 根据网络系统安全设计要求制定、修改、删除涉密计算机安全审计策略,包括打印控制策略、外设输入输出控制策略、应用程序控制策略,并做记录。
第16条 每日对涉密计算机进行安全审计,及时处理安全问题,并做详细记录,遇有重大问题上报保密部门。
第17条 涉密计算机的新增、变更、淘汰需经保密部门审批,审批通过后由安全保密管理员统一进行操作,并做详细记录。
第18条 新增涉密计算机联入涉密网络,需经保密局审批,由安全保密管理员统一进行操作,并做详细记录。