第一篇:等级保护评测是信息安全首要环节
朱建平:等级保护评测是信息安全首要环节
(一)转载
朱建平:各位来宾大家下午好。由我来讲,我们评估中心专门是从事测评工作的,所以我想介绍政策法规。所以这个关于等级保护的政策方面,还是以后有机会让顾局有机会跟大家介绍。我今天跟大家讲讲和我们工作,等级评估工作相关的测评方面的一些工作。
今天想给大家讲三个方面的内容,一个是等级测评,在等级保护中的作用和地位。第二个是等级测评在奥运安保中间的作用。第三是等级测评一个简单的介绍。
信息安全等级保护的工作流程主要有五个规定:第一个就是定级,定级工作目前市部委下发了一个文件,基本上已经圆满结束了。接下来,第二个阶段的工作就是根据你这个信息系统定完是多少级,要进行相应这个级别的建设和整改工作。在整改和建设完成以后,就有一个对这个系统来进行一个测评。测评完了,应该向主管公安部门进行备案,根据备案材料,进行法规所赋予的监管权利和义务,对这个信息系统进行监管。
通过信息安全等级保护工作流程可以看出,定级是一个首要环节,是定级保护工作的一个开始的环节,但不是核心环节。定级只是一个手段,目的是为了保护国家对已经确定的安全保护等级的信息系统,根据信息技术发展,根据现在的黑客攻击能力,对一到五级的系统,在技术和管理方面,十个部分已经规定了最低的保护要求,如果满足了基本要求,系统就具备了相应等级的基本安全保护能力,达到了一个基本的安全状态,基本要求这个环节是信息安全等级保护的核心。已经确定安全保护的系统是否满足基本要求是需要信息安全等级测评来进行判断的。
系统安全等级测评,不同于一般的安全测和风险评估。等级测评活动的完全首先是依据系统安全保护等级和该级别系统的基本保护要求。同时还要求测评人员具有把握国家政策,理解和掌握相关的技术。最为重要的是等级测评的结果,将是国家信息安全监管部门依法行政管理的技术依据,因此,等级测评活动,是一项政策性很强的技术专业化的一个信息安全服务。
由此可见,信息安全等级测评,是开展信息安全等级保护工作的一个重要环节。是在国家管理下的技术支撑活动和纯粹的商业化的评估有明显的区别。信息安全等级测评,首先要满足国家管理的需求,但是可以采取市场化运行的一种模式。第二给大家介绍一下去年奥运工作中,我们等级测评的一些工作。这是整个等级测评在奥运安保中作用的一个图。对于某一个奥运的信息系统,首先我们开展了一个定级的工作,采用了我们评估中心制订的国家标准,定级指南,对这个奥运系统进行定级。定级指南是2240,基本要求是2239。根据这个定级的标准,把这个奥运信息系统定完级以后,其实它应该具有什么样的保护,有什么要求,基本上已经定了。
然后有一个第一次的测评,就看它比如说定的是三级和基本保护的要求,三级的要求,看看它符合性有多少,那第一次测评基本上都是差距比较大。所以,这个奥运的系统进行了相应的整改。按照基本要求,当时对四个奥运的系统进行测评,问题还是比较大。找出来的问题比较多,经过整改了以后,使得它达到了基本保护要求的很多项的要求都已经满足了,但是我们觉得奥运系统,达到一个基本的安全状态还是不够。为什么?因为这是在我们现在提出的那个基本要求是泛泛针对整个信息系统,它是一个底线的基本要求。
这证明了,如果你达到了这样一个基本要求,证明了你这个系统达到了一个基本的安全状态。如果在一个特定的时期,比如说你在奥运期间,有很多国外的这些反华的势力还有其他的机构,可能会对这些系统进行一些不利于我们国家的一些情况的动作,所以,在这样特殊的威胁之前,对我们的奥运系统又进行了一个特殊安全需求的挖掘,然后又进行了风险评估和渗透测试。
在这个风险评估和渗透测试这些特殊的安全系统加进去以后,发现也有很多问题,然后再进行整改。整改了以后,再进行第二次测评,测评完了以后,在奥运之前,基本上这样反反复复做了三次,使得我们奥运的四个信息系统,在整个的奥运期间,大事没有出,小事也基本上没有,达到了我们国家对奥运信息系统预期的一个安全上的要求。
从奥运的工作中间,我们可以看到,应该要用等级保护的思想,对这个信息系统进行保护。然后风险评估是寻找系统的脆弱性,渗透测试主要是验证这个脆弱性的机构。所以我们认为等级保护是这个信息系
统安全保护的一个基础。风险评估,它是一个有益的补充,然后渗透测试它是对这个系统安全性的一个验证。
第三,向大家介绍一下等级测评。这是等级测评的一个过程,针对某一个信息系统,跟奥运的一样,首先要用国家的标准对这个系统进行定级,定级的过程大家都比较清晰,主要是考虑它对国家重要性的程度,和它损害以后的危害和要素来进行定的级。定完级以后,用基本的要求,对它进行最基本的保护。但是由于现在很多的信息系统不是新建的,都是已经在运行使用的,所以它当时在运行使用设计的时候不是按照这个等级保护的要求来做,所以会有一些地方有一些差距。所以,一般在整个活动中间,定完级以后,后面的工作没有强制一定要进行测评,也可以根据标准,比如定了三级,可以根据级别要求,三级所要求的项和你自己的信息系统设计的那些安全状态进行比对,但是有很多的运行使用单位,它的信息中心,或者是信息安全的主管的那些部门,他人手比较少,信息系统比较大,这样一个比对工作无法单独自己完成,所以也就可以委托那些测评机构,对他的现状,目前的安全现状和他所定的级别之间的差距有多少,可以做第一次的测评。
我们评估中心目前现阶段做的大部分测评工作,主要是现状测评。测评完以后,可以提出一个系统整改的最基本的安全需求,就是和所定的级的差距项有多少项,这是整改的第一个需求。
根据这些需求,你也可以根据你自己行业的一些特殊的需求,比如说,你的上级主管部门要求你的,比如说银行,我们这个标准里面要求业务连续性没有那么高,但是银行的那个他要求你必须得要四个九的业务联系要求,也就是说一年只能够停半小时这样的要求,比我们的基本要求高,这些行业的特殊的安全需求,也可以加进来也是作为一个整改的内容。
然后进行整改以后,再进行法规上的要求的第三个规定动作,测评。第二次测评是一个符合性的测评,就是和国家要求你的级别所应该达到的保护能力的一个符合性测评,测评肯定存在两个结果,一个结果是做得不错,全部都按照基本要求,都测试合格了。我们认为你这个系统已经达到了一个基本的安全保护的状态,是可以备案运行使用。还有一种情况,肯定是存在某些项目没有达到,存在一些缺陷下,对于这个缺陷,我们目前处理的方法是,对这个缺陷下,要进行风险评估,并不是说,判你不合格,然后又让你打回去,再进行整改,再测评,这样可能会造成一些死循环。因为有些系统,由于本身的原因,业务上的一些原因,是不一定能够达到你这个级别所要求的那些技术。在缺陷存在的情况下,你就得要进行风险评估。看看有什么威胁,能对这个缺陷起作用,然后存在的风险有多大,如果你这个信息系统什么也没有,那可能你计算出来的风险就很大。那个时候,可能就得要回去加一些东西,如果说,你觉得强制保护工作做不到,那我做一些其他的,但是也是能够提升他的保护,然后降低这个风险的,比如说我做了一些防护控制和间谍,使得他的防止内部人员作案不容易了,然后再进行风险评估的时候,发现他的风险值就降低了。然后你通过增加一些其他的不是强制防护控制的机制,使得它的风险降低了,原来是5,现在变成了3,根据风险评估的界定,风险的大小可以决定这个信息系统是不是可以运行,所以我们把它作为是带病运行。并不是说是可以永远带病运行,如果是三级的系统,要一年做一次测评的。短期可以带病运行,但是不能保证长期的带病运行。如果长期的技术或者条件许可情况下,还得要按照要求来达到最上面的合格,达到一个基本安全保护的状态。
前面说的那么多必须要达到,那么要什么依据来让我做到。我现在向大家说一下,我们这个等级测评,最后判定的是系统的保护能力。什么是保护能力呢,就是该级别的系统,应该具备该级别的保护能力。信息系统由于种种原因造成被攻击目标。对信息系统,实行安全保护的目的,就是要对抗系统面临的各种威胁,从而降低由于威胁给系统带来的损失,但由于信息系统的保护成本很高,不可能全面抵抗各种各样的威胁,因此,系统因根据其重要的程度,具备不同程度的安全保护能力,以抑制受保护朋友,并在遭受攻击后得以的快速恢复。保护能力体现在两个方面,一个是抗威胁的能力,还有一个是系统的恢复能力,这两个方面,八宝壶成本合理得用在最需要的地方。
这里向大家介绍一下,第三级的保护能力。保护能力,应能够在统一安全测量下,防护系统免受来自外部有组织的团体,拥有较为丰富的资源,较为严重的自然灾害,持续时间较长,覆盖范围较广等,其他相当程度的威胁,内部人员的恶意威胁,较严重的技术故障等所造的损害,在系统遭受危害之后,能够较
快恢复绝大部分的功能。
下面是这个保护能力的一个最终实现和体现的,这是一个图。某级的信息系统,三级的,我们认为,你必须具备三级的保护能力,就刚才前面介绍的,有两个部分组成,一个是应该抵抗的威胁和遭受破坏以后,你的恢复能力。
朱建平:等级保护评测是信息安全首要环节(二)转载
这个级别的保护能力,等级保护就是说,这个能力必须要强制必须要做到,和其他的一些测评是有本质的区别。然后这个保护能力,你怎么实际去做到?我们中间有一个安全目标。这个安全目标是把保护能力进行了细化,有各种安全措施来进行实现。怎么来实现这些安全目标?我们的基本要求,列出了一大堆的安全措施和安全机制来对应这个安全目标。当你在选择安全目标的时候,可以基本要求里面对应的,比如三级可以从三级里面去寻找对应的安全措施,也可以选取更高级别的,如果这个级别对你来讲比较弱,还可以选择更高级别的要求里面去选那些安全措施来满足你这个安全目标。
还有一个我觉得就是某一个层面,我实现得很困难,但是我是不是可以从其他层面上来保护?这个也是一个没有办法的办法。因为这个信息系统安全大家知道,还有一个终生防御的概念,我在各个层面上都可以加不同的安全机制,当某一个层面被突破以后,另外一个层面上还有一些保护措施,使得它的攻击比较难,因为有一个终生防御的这样一个机制在里面。当你的资金各方面存在困难,然后这个安全目标必须要实现的时候,可能我们要求你在某一个层面,比如说要求你是在主机层面上实现比较困难,可能在其他的层面上去实现。但是所对应的安全目标,是目前要满足的。措施可以选择,有一些基本要求的条款,你觉得这些条款对你实现来讲,或者和你现在已经采取的措施来讲,有一些地方你做的东西和我的是差不多的,所对应的安全目标也是一致的,那其实也是可以通过这个其他层面的安全措施的一些互补关系来进行分析。然后最终选取达到安全目标采取的措施。
还有就是现在新发展的那些安全措施,安全技术,我们也不排斥,等级保护的措施也排斥,只要你这些安全措施提供的安全功能和机制是能够满足我这个安全目标的,那我也可以认为你选择对的安全措施。还有一个就是刚才前面讲了,实在做不到,是不是可以探索,也能够满足你的安全目标,或者基本满足你的安全目标,这也是可以进行尝试的。因为你这个有保护,我们认为,你有保护,总比没有保护好,我这个做不到,我什么也不做,那肯定是不合适的。因为这条做不到,但是想了办法了,也采用了一些其他的保护能力比较低的,但是通过它的组合,使得它的安全能力进一步提高,这是一个保护能力,如何来实现的一个图。
我们的基本要求,对于不同的级别,推荐了十个方面的一些措施和机制。主要分技术要求管理要求。技术要求是五个方面,主要分在物理安全、网络安全、主机安全、应用安全、数据安全。
对于信息系统,安全等级保护的状况进行测试评估,应该包括两个方面,刚才前面讲了,按照我这个要求,已经做完了,要测评,怎么测评呢?下面向大家介绍一下测评。测评工作主要分两个方面。一个是单元测评,就是前面讲的分了十个方面,但是每个方面它下面还下挂着很多的那些单元的要求,比如物理安全,有物理位置的选择、控制等等一些单元的测评项。单元测评主要是信息安全保护的一个基本控制的情况,主要测这个情况。还有一个是整体测评。整体测评,它主要是分析信息系统的一个整体的安全性问题。
测评的基本方法有三种,一种是访谈,另外一种是检查,还有一个是测试。访谈的对象主要是人员,典型的访谈包括访谈信息安全主管,信息安全管理员,信息系统的网络安全员,设备安全管理员和用户。工具主要是管理核查表。适用的情况是对技术要求使用访谈方法进行测评的,目的是为了了解信息系统的全局性,包括局部,但是不是细节方向。一般不涉及到具体的实现细节和具体的技术措施,对管理要求,访谈的内容应该较为详细和明确。我们对这个访谈的策略,后面会讲,就是我这个测评有一个测评强度,访谈获得的证据,一般不作为系统测评判定的是否达到要求的一个主要依据,作为是一个参考的依据。但是对低级别的一些系统,有一些访谈的结果是可以作为他测评的依据的。
检查主要有评审、核查、审查、观察、研究和分析等等。检查对象是稳当、机制、设备等,工具是技术核查表。对管理要求,检查的方法主要用于规范性的要求,检查文档。你把防火墙的策略打出来,我看
一看,是不是这个配制,和整体安全的要求,策略是不是一致,把这个都是检查,不是自己动手做。最后的测试是要自己动手,主要分在功能、性能测试还有渗透测试这两个方面。测评对象包括安全的机制,设备等等。测试一般需要借助于特定的工具,比如扫描检测工具,网络协议分析仪等等。适用情况,对技术要求来讲,测试的目的是验证信息系统当前的安全机制,或者运行的有效性和安全强度等等。对管理要求一般不采用测试技术的。
接下来向大家介绍一下测评强度。对信息系统的要求,安全等级越高,基本要求强度越强。体现为安全控制的多少,而且越细。比如说物理安全上面的环境选择,一级的可能AB就两项,二级的ABCD有四项要求,三级的可能ABCDEF,这是体现安全控制的点的多,还有要求更细,这是基本要求上面的一些要求。
对测评也提出了不同的要求。安全等级级别越高,测评的强度应该越强。测评强度,体现在这个测评工作的努力程度上,反映出测评的广度和深度,这个强度从一级到四级是逐步增强的,也就是说,我所获得的证据的那个准确性就更高,遗漏的情况可能就会更少。
咱们可以举一个简单例子,比如说在做网络控制列表测评的时候,你这些用户名和用户都是你开的吗,每个用户是谁你都知道吗?他说这些都是我开的,还有几个什么以前的临时帐户什么的,为什么还留着?因为有的时候调试还要进行调试,你只要回答得出这些问题,上面的那些防护控制列表上的用户,只要你的管理员都知道这些帐户是什么用处的,那么一级基本合格。到二级这样强度和深度是不够的。首先问他,这些方面的没用的,经常不用的,临时的是不是都已经删除掉了?你上面现在有的这些防护控制列表,是不是是随意的,你自己控制的,说我可以添加一个用户,让它授予权限,还是必须每个开用户授权都是有明确的授权书,是根据授权书执行授权操作还是可以操作,那对二级来讲是不行的。有管理部门对这个人员的使用要求要授权,测试的要求就高了,深度就深了,更细了。到了三级要求更高,我举一个例子,表明这个测试,同样测一项指标,可能不同的级别,所付出的努力和所提的要求是完全不一样的。
向大家介绍一下系统测评。系统测评主要包括安全控制间的安全测评,还有层面间的安全测评,还有区域间的一些安全测评。根据这个关联作用,逐层测评分析安全控制间、层面间和区域间的关联关系,对整体安全保护能力的影响。这个主要是考虑就是前面我们是把这个系统的要求打碎了,把它技术分在五个层面上,但是我在测评的时候,我还要把它列起来,看它回到基本要求最前面的保护上去。所以某一个测评项,可能不满足,不并不是判定你整个的系统就不满足了。我首先通过系统测评要考虑是不是在同一层面上是不是存在一些安全机制,和它是互补的,我做了这个,等于是达到了另外一个一样的安全目标这样的功能、作用。还要看如果这个层面上没做,那另外一个层面上是不是做了,举一个简单的例子,防止信息在网络上传输的时候被人家窃取,如果你做了密文那就更好了。明文走密道合不合格,也起来了作用,因为这个标准上的要求是要密文走明道的,这个是不同层面间存在的互补关系,而且所对应的基本要求里面的防止内部人员通过网络侦听来获取信息这样一个安全目标,能够达到我们认为你这个系统整体测评在这一项上也是合格的。
还有就是区与区之间的测评,这是一个整体测评的,还有从系统整体结构方面来进行考虑,这是一个系统整体的测评的问题。测评是一个很复杂的,我们认为测评其实是有两个部分,一个是测一个是评,测,前面讲的单元测评是解决一个测的问题,获取证据,后面的评主要是从系统角度来进行评估和评判。这么多获得的那些证据把它串起来,分析相互之间的关系,然后做出最终的一个判断,使得你这个系统是不是达到了这个系统的保护能力的要求。我们所关注的是保护能力不能缺失,而不是说某一个安全机制或者措施缺失了。
这是我给大家介绍一下信息系统等级测评的结果测定。首先是一个根据你定完级以后,根据定级的要求,是偏重于信息安全类的,还是业务连续性要求类的,可以选择不同的安全指标级。首先先要选择测评的项,安全指标级选出来。然后再进行单元测评,这也就是获取证据测的问题,测出来,肯定有很多,标准上要求没做到,那就通过系统测评的方法,对这些进行分析。通过互补关联分析,分析完,确实这些安全机制虽然没有做,但是整个的保护能力没有缺失,我们认为这个系统是合格的,然后也认为你达到了一个基本的安全保护的状态。如果系统测评发现,你再怎么互补也补不上,你确实是保护能力存在缺失了,就是没有,防止内部人员作案这块安全目标就是缺失了,那系统测评肯定是存在不合格项。那这个不合格项下来我们就要通过风险评估的方法对它进行风险分析,然后发现如果说出了强制防护工作没有做,其他的根本没有做什么,风险很高,又得进行整改,然后再回到单项测评上重新再走一遍。如果说你已经做了一些其他方面的东西,使它风险了,那前面介绍的测评方法是一样的。
第二篇:信息安全等级保护
信息安全等级保护(二级)信息安全等级保护(二级)备注:其中黑色字体为信息安全等级保护第二级系统要求,蓝色字体为第三级系统等保要求。
一、物理安全
1、应具有机房和办公场地的设计/验收文档(机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施)
2、应具有有来访人员进入机房的申请、审批记录;来访人员进入机房的登记记录
3、应配置电子门禁系统(三级明确要求);电子门禁系统有验收文档或产品安全认证资质,电子门禁系统运行和维护记录
4、主要设备或设备的主要部件上应设置明显的不易除去的标记
5、介质有分类标识;介质分类存放在介质库或档案室内,磁介质、纸介质等分类存放
6、应具有摄像、传感等监控报警系统;机房防盗报警设施的安全资质材料、安装测试和验收报告;机房防盗报警系统的运行记录、定期检查和维护记录;
7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告;机房监控报警系统的运行记录、定期检查和维护记录
8、应具有机房建筑的避雷装置;通过验收或国家有关部门的技术检测;
9、应在电源和信号线上增加有资质的防雷保安器;具有防雷检测资质的检测部门对防雷装置的检测报告
10、应具有自动检测火情、自动报警、自动灭火的自动消防系统;自动消防系统的运行记录、检查和定期维护记录;消防产品有效期合格;自动消防系统是经消防检测部门检测合格的产品
11、应具有除湿装置;空调机和加湿器;温湿度定期检查和维护记录
12、应具有水敏感的检测仪表或元件;对机房进行防水检测和报警;防水检测装置的运行记录、定期检查和维护记录
13、应具有温湿度自动调节设施;温湿度自动调节设施的运行记录、定期检查和维护记录
14、应具有短期备用电力供应设备(如UPS);短期备用电力供应设备的运行记录、定期检查和维护记录
15、应具有冗余或并行的电力电缆线路(如双路供电方式)
16、应具有备用供电系统(如备用发电机);备用供电系统运行记录、定期检查和维护记录
二、安全管理制度
1、应具有对重要管理操作的操作规程,如系统维护手册和用户操作规程
2、应具有安全管理制度的制定程序:
3、应具有专门的部门或人员负责安全管理制度的制定(发布制度具有统一的格式,并进行版本控制)
4、应对制定的安全管理制度进行论证和审定,论证和审定方式如何(如召开评审会、函审、内部审核等),应具有管理制度评审记录
5、应具有安全管理制度的收发登记记录,收发应通过正式、有效的方式(如正式发文、领导签署和单位盖章等)----安全管理制度应注明发布范围,并对收发文进行登记。
6、信息安全领导小组定期对安全管理制度体系的合理性和适用性进行审定,审定周期多长。(安全管理制度体系的评审记录)
7、系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时应对安全管理制度进行检查,对需要改进的制度进行修订。(应具有安全管理制度修订记录)
三、安全管理机构
1、应设立信息安全管理工作的职能部门
2、应设立安全主管、安全管理各个方面的负责人
3、应设立机房管理员、系统管理员、网络管理员、安全管理员等重要岗位(分工明确,各司其职),数量情况(管理人员名单、岗位与人员对应关系表)
4、安全管理员应是专职人员
5、关键事物需要配备2人或2人以上共同管理,人员具体配备情况如何。
6、应设立指导和管理信息安全工作的委员会或领导小组(最高领导是否由单位主管领导委任或授权的人员担任)
7、应对重要信息系统活动进行审批(如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等),审批部门是何部门,审批人是何人。审批程序:
8、应与其它部门之间及内部各部门管理人员定期进行沟通(信息安全领导小组或者安全管理委员会应定期召开会议)
9、应组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录,定期:
10、信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录(如会议记录/纪要,信息安全工作决策文档等)
11、应与公安机关、电信公司和兄弟单位等的沟通合作(外联单位联系列表)
12、应与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制。
13、聘请信息安全专家作为常年的安全顾问(具有安全顾问名单或者聘请安全顾问的证明文件、具有安全顾问参与评审的文档或记录)
14、应组织人员定期对信息系统进行安全检查(查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况)
15、应定期进行全面安全检查(安全检查是否包含现行技术措施有效性和管理制度执行情况等方面、具有安全检查表格,安全检查报告,检查结果通告记录)
四、人员安全管理
1、何部门/何人负责安全管理和技术人员的录用工作(录用过程)
2、应对被录用人的身份、背景、专业资格和资质进行审查,对技术人员的技术技能进行考核,技能考核文档或记录
3、应与录用后的技术人员签署保密协议(协议中有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容)
4、应设定关键岗位,对从事关键岗位的人员是否从内部人员中选拔,是否要求其签署岗位安全协议。
5、应及时终止离岗人员的所有访问权限(离岗人员所有访问权限终止的记录)
6、应及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等(交还身份证件和设备等的登记记录)
7、人员离岗应办理调离手续,是否要求关键岗位调离人员承诺相关保密义务后方可离开(具有按照离岗程序办理调离手续的记录,调离人员的签字)
8、对各个岗位人员应定期进行安全技能考核;具有安全技能考核记录,考核内容要求包含安全知识、安全技能等。
9、对关键岗位人员的安全审查和考核与一般岗位人员有何不同,审查内容是否包括操作行为和社会关系等。
10、应对各类人员(普通用户、运维人员、单位领导等)进行安全教育、岗位技能和安全技术培训。
11、应针对不同岗位制定不同的培训计划,并按照计划对各个岗位人员进行安全教育和培训(安全教育和培训的结果记录,记录应与培训计划一致)
12、外部人员进入条件(对哪些重要区域的访问须提出书面申请批准后方可进入),外部人员进入的访问控制(由专人全程陪同或监督等)
13、应具有外部人员访问重要区域的书面申请
14、应具有外部人员访问重要区域的登记记录(记录描述了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等)
五、系统建设管理
1、应明确信息系统的边界和安全保护等级(具有定级文档,明确信息系统安全保护等级)
2、应具有系统建设/整改方案
3、应授权专门的部门对信息系统的安全建设进行总体规划,由何部门/何人负责
4、应具有系统的安全建设工作计划(系统安全建设工作计划中明确了近期和远期的安全建设计划)
5、应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定(配套文件的论证评审记录或文档)
6、应对总体安全策略、安全技术框架、安全管理策略等相关配套文件应定期进行调整和修订
7、应具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本
8、应按照国家的相关规定进行采购和使用系统信息安全产品
9、安全产品的相关凭证,如销售许可等,应使用符合国家有关规定产品
10、应具有专门的部门负责产品的采购
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案
22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)
23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)
24、应具有测试验收报告
25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)
26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案
22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)
23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)
24、应具有测试验收报告
25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)
26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书
六、系统运维管理
1、应指定专人或部门对机房的基本设施(如空调、供配电设备等)进行定期维护,由何部门/何人负责。
2、应具有机房基础设施的维护记录,空调、温湿度控制等机房设施定期维护保养的记录
3、应指定部门和人员负责机房安全管理工作
4、应对办公环境保密性进行管理(工作人员离开座位确保终端计算机退出登录状态、桌面上没有包含敏感信息的纸档文件)
5、应具有资产清单(覆盖资产责任人、所属级别、所处位置、所处部门等方面)
6、应指定资产管理的责任部门或人员
7、应依据资产的重要程度对资产进行标识
8、介质存放于何种环境中,应对存放环境实施专人管理(介质存放在安全的环境(防潮、防盗、防火、防磁,专用存储空间))
9、应具有介质使用管理记录,应记录介质归档和使用等情况(介质存放、使用管理记录)
10、对介质的物理传输过程应要求选择可靠传输人员、严格介质的打包(如采用防拆包装置)、选择安全的物理传输途径、双方在场交付等环节的控制
11、应对介质的使用情况进行登记管理,并定期盘点(介质归档和查询的记录、存档介质定期盘点的记录)
12、对送出维修或销毁的介质如何管理,销毁前应对数据进行净化处理。(对带出工作环境的存储介质是否进行内容加密并有领导批准。对保密性较高的介质销毁前是否有领导批准)(送修记录、带出记录、销毁记录)
13、应对某些重要介质实行异地存储,异地存储环境是否与本地环境相同(防潮、防盗、防火、防磁,专用存储空间)
14、介质上应具有分类的标识或标签
15、应对各类设施、设备指定专人或专门部门进行定期维护。
16、应具有设备操作手册
17、应对带离机房的信息处理设备经过审批流程,由何人审批(审批记录)
18、应监控主机、网络设备和应用系统的运行状况等
19、应有相关网络监控系统或技术措施能够对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警
20、应具有日常运维的监控日志记录和运维交接日志记录
21、应定期对监控记录进行分析、评审
22、应具有异常现象的现场处理记录和事后相关的分析报告
23、应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等相关事项进行集中管理
24、应指定专人负责维护网络安全管理工作
25、应对网络设备进行过升级,更新前应对现有的重要文件是否进行备份(网络设备运维维护工作记录)
26、应对网络进行过漏洞扫描,并对发现的漏洞进行及时修补。
27、对设备的安全配置应遵循最小服务原则,应对配置文件进行备份(具有网络设备配置数据的离线备份)
28、系统网络的外联种类(互联网、合作伙伴企业网、上级部门网络等)应都得到授权与批准,由何人/何部门批准。应定期检查违规联网的行为。
29、对便携式和移动式设备的网络接入应进行限制管理
30、应具有内部网络外联的授权批准书,应具有网络违规行为(如拨号上网等)的检查手段和工具。
31、在安装系统补丁程序前应经过测试,并对重要文件进行备份。
32、应有补丁测试记录和系统补丁安装操作记录
33、应对系统管理员用户进行分类(比如:划分不同的管理角色,系统管理权限与安全审计权限分离等)
34、审计员应定期对系统审计日志进行分析(有定期对系统运行日志和审计数据的分析报告)
35、应对员工进行基本恶意代码防范意识的教育,如告知应及时升级软件版本(对员工的恶意代码防范教育的相关培训文档)
36、应指定专人对恶意代码进行检测,并保存记录。
37、应具有对网络和主机进行恶意代码检测的记录
38、应对恶意代码库的升级情况进行记录(代码库的升级记录),对各类防病毒产品上截获的恶意代码是否进行分析并汇总上报。是否出现过大规模的病毒事件,如何处理
39、应具有恶意代码检测记录、恶意代码库升级记录和分析报告 40、应具有变更方案评审记录和变更过程记录文档。
41、重要系统的变更申请书,应具有主管领导的批准
42、系统管理员、数据库管理员和网络管理员应识别需定期备份的业务信息、系统数据及软件系统(备份文件记录)
43、应定期执行恢复程序,检查和测试备份介质的有效性
44、应有系统运维过程中发现的安全弱点和可疑事件对应的报告或相关文档
45、应对安全事件记录分析文档
46、应具有不同事件的应急预案
47、应具有应急响应小组,应具备应急设备并能正常工作,应急预案执行所需资金应做过预算并能够落实。
48、应对系统相关人员进行应急预案培训(应急预案培训记录)
49、应定期对应急预案进行演练(应急预案演练记录)50、应对应急预案定期进行审查并更新
51、应具有更新的应急预案记录、应急预案审查记录。
第三篇:信息安全等级保护工作计划
篇一:信息安全等级保护工作实施方案 白鲁础九年制学校
信息安全等级保护工作实施方案
为加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进我校信息化建设。根据商教发【2011】321号文件精神,结合我校实际,制订本实施方案。
一、指导思想
以科学发展观为指导,以党的十七大、十七届五中全会精神为指针,深入贯彻执行《信息安全等级保护管理办法》等文件精神,全面推进信息安全等级保护工作,维护我校基础信息网络和重要信息系统安全稳定运行。
二、定级范围
学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。
三、组织领导
(一)工作分工。定级工作由电教组牵头,会同学校办公室、安全保卫处等共同组织实施。学校办公室负责定级工作的部门间协调。安全保卫处负责定级工作的监督。
电教组负责定级工作的检查、指导、评审。
各部门依据《信息安全等级保护管理办法》和本方案要求,开展信息系统自评工作。
(二)协调领导机制。
1、成立领导小组,校长任组长,副校长任副组长、各部门负责人为成员,负责我校信息安全等级保护工作的领导、协调工作。督促各部门按照总体方案落实工作任务和责任,对等级保护工作整体推进情况进行检查监督,指导安全保密方案制定。
2、成立由电教组牵头的工作机构,主要职责:在领导小组的领导下,切实抓好我校定级保护工作的日常工作。做好组织各信息系统运营使用部门参加信息系统安全等级保护定级相关会议;组织开展政策和技术培训,掌握定级工作规范和技术要求,为定级工作打好基础;全面掌握学校各部门定级保护工作的进展情况和存在的问题,对存在的问题及时协调解决,形成定级工作总结并按时上报领导小组。
3、成立由赴省参加过计算机培训的教师组成的评审组,主要负责:一是为我校信息与网络安全提供技术支持与服务咨询;二是参与信息安全等级保护定级评审工作;三是参与重要信息与网络安全突发公共事件的分析研判和为领导决策提供依据。
四、主要内容、工作步骤
(一)开展信息系统基本情况的摸底调查。各部门要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。
(二)初步确定安全保护等级。各使用部门要按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草定级报告。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
(三)评审。初步确定信息系统安全保护等级后,上报学校信息系统安全等级保护评审组进行评审。
(四)备案。根据《信息安全等级保护管理办法》,信息系统安全保护等级为第二级以上的信息系统统一由电教组负责备案工作。
五、定级工作要求
(一)加强领导,落实保障。各部门要落实责任,并于12月15日前将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》上报九年制学校。
(二)加强培训,严格定级。为切实落实评审工作,保证定级准确,备案及时,全面提高我校基础信息网络和重要信息系统的信息安全保护能力和水平,保证定级工作顺利进行,各部门要认真学习《信息安全等级保护管理办法》、《文保处教育系统单位信息分级培训材料》、《信息系统安全保护等级定级指南(国标)》、《信息系统安全等级保护基本要求(报批)》、《信息系统安全等级保护实施指南(报批)》等材料。
(三)积极配合、认真整改。各部门要认真按照评级要求,组织开展等级保护工作,切实做好重要信息系统的安全等级保护。
(四)自查自纠、完善制度。此次定级工作完成后,请各部门按照《信息安全等级保护管理办法》和有关技术标准,依据系统所定保护等级的要求,定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查,并不断完善安全管理制度,今后,若信息系统备案资料发生变化,应及时进行变更备案篇二:医院信息系统安全等级保护工作实施方案 医院信息系统安全等级 保护工作实施方案
医院信息系统是医疗服务的重要支撑体系。为确保我院信息系统安全可靠运行,根据公安部等四部、局、办印发的《关于信息安全等级保护工作的实施意见》公通字【2004】66号、《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》卫办综函【2011】1126号、卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知 卫办发【2011】85号和省市有关文件精神,并结合我院信息化建设的工作实际,特制定《德江县民族中医院信息系统安全等级保护工作实施方案》确保我院信息系统安全。
一、组织领导 组 长: 副组长: 组 员:
领导小组办公室设在xx科,由xx同志兼任主任,xx等同志负责具体工作。
二、工作任务
1、做好系统定级工作。定级系统包括基础支撑系统,面向患者服务信息系统,内部行政管理信息系统、网络直报系统及门户网站,定级方法由市卫生局统一与市公安局等信息安全相关部门协商。
2、做好系统备案工作。按照市卫生系统信息安全等级保护划分定级要求,对信息系统进行定级后,将本单位《信息系统安全等级保护备案表》《信息系统定级报告》和备案电子数据报卫生局,由卫生局报属地公安机关办理备案手续。
3、做好系统等级测评工作。完成定级备案后,选择市卫生局推荐的等级测评机构,对已确定安全保护等级信息系统,按照国家信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等国家标准开展等级测评,信息系统测评后,及时将测评机构出具的《信息系统等级测评报告》向属地公安机关报备。
4、完善等级保护体系建设做好整改工作。按照测评报告评测结果,对照《信息系统安全等级保护基本要求》(gb/t22239-2008)等有关标准,结合医院工作实际,组织开展等级保护安全建设整改工作,具体要求如下:
三、工作要求
1、建立安全管理组织机构。成立信息安全工作组,网络办负责人为安全责任人,拟定实施医院信息系统安全等级保护的具体方案,并制定相应的岗位责任制,确保信息安全等级保护工作顺利实施。
2、建立健全信息系统安全管理制度。根据信息安全等级保护的要求,制定各项信息系统安全管理制度,对安全管理人员或操作人员执行的重要管理操作建立操作规程和执行记录文档。
3、制定保障医疗活动不中断的应急预案。应急预案是安全等级保护的重要组成部分,按可能出现问题的不同情形制定相应的应急措施,在系统出现故障和意外且无法短时间恢复的情况下能确保医疗活动持续进行。
4、严格执行安全事故报告和处置管理制度。医院信息系统所有使用或管理人员均有责任发现和报告信息安全可疑事件,应视情况及时以口头或书面的形式报告院网络办。对重大信息网络安全事件、安全事故和计算机违法犯罪案件,应在24小时内向公安机关报告,并保护好现场。篇三:2013年信息安全等级保护工作汇报 2013年信息安全等级保护工作汇报
一、加强领导
二、完善制度
为贯彻落实全市加强和改进互联网建设与管理工作会议和市委办公室、市政府办公室《扬州市深入推进信息安全等级保护工作的实施意见》(扬办发[2012]57号)文件精神,对集团信息系统安全等级保护工作做出了具体的要求,根据等级保护要求,开展了信息安全制度的前期完善工作。陆续制定了“增加扬州网一些网站新闻发布审核的制度”、《外部人员访问机房审批管理制度》、《中心机房管理办法》、《机房消防安全管理制度》等制度。
三、信息等级安全保护基本情况
目前,集团已有扬州网、扬州晚报网、扬州汽车网、艺术在线网和多个内部信息系统根据等级保护的要求进行了整改优化,积极加强信息系统安全环境建设,消除安全管理中的薄弱环节。在物理安全方面,机房安装门禁系统,严格管理机房人员进出,消防设施完善,所有设备通过ups供电。关键网络设备和服务器做到有主有备,确保在发生物理故障时可以及时更换。
在网络安全方面,我们严格按照内、外网物理隔离的标准建设网络系统,并采用虚拟局域网技术,通过交换机端口的ip绑定,防止非法网络接入;在网络出口以及不同网络互联边界全面部署硬件防火墙,部署日志服务器,记录并留存使用互联网和内部网络地址对应关系; 在集团互联网出口部署网络行为管理系统,规范和记录上网行为,合理控制不同应用的网络流量,实现网络带宽动态分配,保障了信息系统正常应用的网络环境。
在主机安全方面,终端计算机采用双硬盘及物理隔离互联网及内网应用,通过部署趋势网络防毒墙网络版,安装联软安全管理软件保障客户机系统安全,并且做到漏洞补丁及时更新,重要的应用系统安装了计算机监控与审计系统,实现对主机的usb等外设接口的控制管理,采用key用户名密码等方式控制用户登陆行为。
对于应用安全,严格做好系统安全测试,配备了专门的漏洞 扫描仪定期扫描应用系统漏洞,并按测试结果做好安全修复和加固工作;在网站区,部属入侵防御系统,监测、记录安全事件,及时阻断入侵行为,自部署起已多次成功检测出sql注入,ftp匿名登录,网站目录遍历,探测主机地址漏洞等。
在数据安全方面,数据库通过备份系统定期备份,关键数据库服务器采用双机热备份,保证数据库服务器的可用性和高效性,在出现故障时可以快速恢复;数据库的访问按不同用户身份进行严格的权限控制。
四、建议
信息系统安全等级保护工作责任重大,技术性强,工作量巨大,集团在该项工作上虽然取得一些进展,但是与市里要求还有相当的差距,在等级保护意识、宣传力度、技术人才的培养和制度的建立上仍然存在问题。
建议市里加强工作指导,通过多种方式的等级保护技术交流和培训,提高单位领导及员工的等级保护意识,进一步推进集团的信息系统等级保护工作。
第四篇:浅谈信息安全等级保护问题
浅谈信息安全等级保护问题 当今,我国关于实现信息安全的一项重要的举措就是信息系统安全等级保护。严格按照等级保护的规定,建设安全的信息系统成为了目前面临的主要问题。本文主要介绍了信息安全等级的划分以及如何对具体的信息系统实施安全等级保护措施的方法。
随着现在高科技的快速发展以及当前社会对信息系统需求的不断增加,信息系统的规模也在日益扩大,它的诸多应用都给社会创造了巨大的财富,与此同时,信息系统也成为了威胁、攻击以及破坏的对象。由于信息在网络上的存储、传输和共享等过程的非法利用,导致目前如何确保信息系统的安全性就成为了我们现阶段亟待解决的重点问题。当前,我们正在有计划的开展信息安全等级保护制度实施工作。为了确保计算机信息系统的安全,一定要系统地、深入地研究和学习信息系统安全技术和等级保护方法。
1、信息安全等级保护
2003年,中办、国办转发 国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003327号),提出实行信息安全等级保护,建立国家信息安全保障体系的明确要求。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
信息系统的安全保护等级分为五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。该级别是用户自主保护级。完全由用户自己来决定如何对资源进行保护,以及采用何种方式进行保护。第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。该级别是系统审计保护级。第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。该级别是安全标记保护级。除具有第二级系统审计保护级的所有功能外,它还要求对访问者和访问对象实施强制访问控制,并能够进行记录,以便事后的监督 审计。第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。该级别是结构化保护级。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。该级别是访问验证保护级。这一个级别除了具备前四级的所有功能外还特别增设了访问验证功能,负责管理访问者对访问对象的所有访问活动,管理访问者能否访问某些对象从而对访问对象实行专控,保护信息不能被非授权获取。
2、信息安全等级划分
2.1按相关政策规定划分安全保护等级
对于我国中央和国家各级机关、国家重点科研部门机构、国防建设部门等需要对信息系统施行特殊隔离和保护的单位机关,均应按照相关政策、相关法律法规,实施安全等级保护。
2.2按照保护数据的价值划分保护等级
不同类别的数据信息需要实施不同安全等级的保护,这样不仅能使信息系统中的数据信息的安全得到应有的保证,而且又能缩减一部分不必要的开销。
3、信息安全等级保护具体方法
信息系统安全等级划分的最优的选择是全方位划分等级,其最基本的思想为重点保护和适度保护。在此基础上,投入合理的安全投入,运用以下两点信息安全等级保护方法,努力使信息系统得到应有的安全保护。
3.1全系统的同一安全等级的安全保护
全系统同一安全等级安全保护:在一个需要进行安全等级保护的信息系统中,在组成系统的任何部分,所存储、传输和处理的全部数据信息,都需进行相同的安全保护等级的保护措施。
当有这样要求,规定所要保护的数据信息,不管处于系统中任何位置,进行任何形式的数据处理都需采取相同安全保护等级是,都应严格按照全系统同一安全等级安全保护方法开展系统安全性设计,设计出要求所需的安全机制。
3.2分系统不同安全等级安全保护
所谓分系统不同安全等级安全保护:在一个需要进行安全等级保护的计算机信息系统中,其中所存储、传输和处理的全部数据信息,应该按照信息在组成计算机信息系统的每个分系统中的不同保护要求的原则,对其实施不同安全保护等级的安全保护。
3.3虚拟系统不同安全等级安全保护
络信息安全进行控制。具体的实施措施可以使用路由器对外界进行控制,将路由器作为网关的局域网上的诸?~llnternet等网络服务的信息流量,也可以通过对系统文件权限的设置来确认访问是否合法,以此来保证计算机网络信息的安全。
3.4计算机网络病毒的防范技术
计算机病毒是威胁计算机网络安全的重大因素,因此应该对常见的计算机病毒知识进行熟练地掌握,对其基本的防治技术手段有一定的了解,能够在发现病毒的第一时间里对其进行及时的处理,将危害降到最低。对于计算机病毒的防范可以采用以下一些技术手段,可以通过加密执行程序,引导区保护、系统监控和读写控制等手段,对系统中是否有病毒进行监督判断,进而阻止病毒侵人计算机系统。
3.5漏洞扫描及修复技术
计算机系统中的漏洞是计算机网络安全中存在的极大隐患,因此,要定期对计算机进行全方位的系统漏洞扫描,以确认当前的计算机系统中是否存在着系统漏洞。一旦发现计算机中存在系统漏洞,要及时的对其进行修复,避免被黑客等不放法子利用。漏洞的修复分两种,有的漏洞系统自身可以进行恢复,而有一部分漏洞则需要手动进行修复。
4、结语
在当前通信与信息产业高速发展的形势下,计算机网络安全技术的研究与应用也应该与时俱进,不断地研究探讨更加优化的计算机网络防范技术,将其应用到计算机网络系统的运行中,减少计算机网络使用的安全风险。实现安全的进行信息交流,资源共享的目的,使计算机网络系统更好的为人们的生活工作服务。
第五篇:信息安全等级保护(二级)
信息安全等级保护(二级)
备注:其中黑色字体为信息安全等级保护第二级系统要求,蓝色字体为第三级系统等保要求。
一、物理安全
1、应具有机房和办公场地的设计/验收文档(机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施)
2、应具有有来访人员进入机房的申请、审批记录;来访人员进入机房的登记记录
3、应配置电子门禁系统(三级明确要求);电子门禁系统有验收文档或产品安全认证资质,电子门禁系统运行和维护记录
4、主要设备或设备的主要部件上应设置明显的不易除去的标记
5、介质有分类标识;介质分类存放在介质库或档案室内,磁介质、纸介质等分类存放
6、应具有摄像、传感等监控报警系统;机房防盗报警设施的安全资质材料、安装测试和验收报告;机房防盗报警系统的运行记录、定期检查和维护记录;
7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告;机房监控报警系统的运行记录、定期检查和维护记录
8、应具有机房建筑的避雷装置;通过验收或国家有关部门的技术检测;
9、应在电源和信号线上增加有资质的防雷保安器;具有防雷检测资质的检测部门对防雷装置的检测报告
10、应具有自动检测火情、自动报警、自动灭火的自动消防系统;自动消防系统的运行记录、检查和定期维护记录;消防产品有效期合格;自动消防系统是经消防检测部门检测合格的产品
11、应具有除湿装置;空调机和加湿器;温湿度定期检查和维护记录
12、应具有水敏感的检测仪表或元件;对机房进行防水检测和报警;防水检测装置的运行记录、定期检查和维护记录
13、应具有温湿度自动调节设施;温湿度自动调节设施的运行记录、定期检查和维护记录
14、应具有短期备用电力供应设备(如UPS);短期备用电力供应设备的运行记录、定期检查和维护记录
15、应具有冗余或并行的电力电缆线路(如双路供电方式)
16、应具有备用供电系统(如备用发电机);备用供电系统运行记录、定期检查和维护记录
二、安全管理制度
1、应具有对重要管理操作的操作规程,如系统维护手册和用户操作规程
2、应具有安全管理制度的制定程序:
3、应具有专门的部门或人员负责安全管理制度的制定(发布制度具有统一的格式,并进行版本控制)
4、应对制定的安全管理制度进行论证和审定,论证和审定方式如何(如召开评审会、函审、内部审核等),应具有管理制度评审记录
5、应具有安全管理制度的收发登记记录,收发应通过正式、有效的方式(如正式发文、领导签署和单位盖章等)----安全管理制度应注明发布范围,并对收发文进行登记。
6、信息安全领导小组定期对安全管理制度体系的合理性和适用性进行审定,审定周期多长。(安全管理制度体系的评审记录)
7、系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时应对安全管理制度进行检查,对需要改进的制度进行修订。(应具有安全管理制度修订记录)
三、安全管理机构
1、应设立信息安全管理工作的职能部门
2、应设立安全主管、安全管理各个方面的负责人
3、应设立机房管理员、系统管理员、网络管理员、安全管理员等重要岗位(分工明确,各司其职),数量情况(管理人员名单、岗位与人员对应关系表)
4、安全管理员应是专职人员
5、关键事物需要配备2人或2人以上共同管理,人员具体配备情况如何。
6、应设立指导和管理信息安全工作的委员会或领导小组(最高领导是否由单位主管领导委任或授权的人员担任)
7、应对重要信息系统活动进行审批(如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等),审批部门是何部门,审批人是何人。审批程序:
8、应与其它部门之间及内部各部门管理人员定期进行沟通(信息安全领导小组或者安全管理委员会应定期召开会议)
9、应组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录,定期:
10、信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录(如会议记录/纪要,信息安全工作决策文档等)
11、应与公安机关、电信公司和兄弟单位等的沟通合作(外联单位联系列表)
12、应与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制。
13、聘请信息安全专家作为常年的安全顾问(具有安全顾问名单或者聘请安全顾问的证明文件、具有安全顾问参与评审的文档或记录)
14、应组织人员定期对信息系统进行安全检查(查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况)
15、应定期进行全面安全检查(安全检查是否包含现行技术措施有效性和管理制度执行情况等方面、具有安全检查表格,安全检查报告,检查结果通告记录)
四、人员安全管理
1、何部门/何人负责安全管理和技术人员的录用工作(录用过程)
2、应对被录用人的身份、背景、专业资格和资质进行审查,对技术人员的技术技能进行考核,技能考核文档或记录
3、应与录用后的技术人员签署保密协议(协议中有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容)
4、应设定关键岗位,对从事关键岗位的人员是否从内部人员中选拔,是否要求其签署岗位安全协议。
5、应及时终止离岗人员的所有访问权限(离岗人员所有访问权限终止的记录)
6、应及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等(交还身份证件和设备等的登记记录)
7、人员离岗应办理调离手续,是否要求关键岗位调离人员承诺相关保密义务后方可离开(具有按照离岗程序办理调离手续的记录,调离人员的签字)
8、对各个岗位人员应定期进行安全技能考核;具有安全技能考核记录,考核内容要求包含安全知识、安全技能等。
9、对关键岗位人员的安全审查和考核与一般岗位人员有何不同,审查内容是否包括操作行为和社会关系等。
10、应对各类人员(普通用户、运维人员、单位领导等)进行安全教育、岗位技能和安全技术培训。
11、应针对不同岗位制定不同的培训计划,并按照计划对各个岗位人员进行安全教育和培训(安全教育和培训的结果记录,记录应与培训计划一致)
12、外部人员进入条件(对哪些重要区域的访问须提出书面申请批准后方可进入),外部人员进入的访问控制(由专人全程陪同或监督等)
13、应具有外部人员访问重要区域的书面申请
14、应具有外部人员访问重要区域的登记记录(记录描述了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等)
五、系统建设管理
1、应明确信息系统的边界和安全保护等级(具有定级文档,明确信息系统安全保护等级)
2、应具有系统建设/整改方案
3、应授权专门的部门对信息系统的安全建设进行总体规划,由何部门/何人负责
4、应具有系统的安全建设工作计划(系统安全建设工作计划中明确了近期和远期的安全建设计划)
5、应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定(配套文件的论证评审记录或文档)
6、应对总体安全策略、安全技术框架、安全管理策略等相关配套文件应定期进行调整和修订
7、应具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本
8、应按照国家的相关规定进行采购和使用系统信息安全产品
9、安全产品的相关凭证,如销售许可等,应使用符合国家有关规定产品
10、应具有专门的部门负责产品的采购
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案
22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)
23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)
24、应具有测试验收报告
25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)
26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书
六、系统运维管理
1、应指定专人或部门对机房的基本设施(如空调、供配电设备等)进行定期维护,由何部门/何人负责。
2、应具有机房基础设施的维护记录,空调、温湿度控制等机房设施定期维护保养的记录
3、应指定部门和人员负责机房安全管理工作
4、应对办公环境保密性进行管理(工作人员离开座位确保终端计算机退出登录状态、桌面上没有包含敏感信息的纸档文件)
5、应具有资产清单(覆盖资产责任人、所属级别、所处位置、所处部门等方面)
6、应指定资产管理的责任部门或人员
7、应依据资产的重要程度对资产进行标识
8、介质存放于何种环境中,应对存放环境实施专人管理(介质存放在安全的环境(防潮、防盗、防火、防磁,专用存储空间))
9、应具有介质使用管理记录,应记录介质归档和使用等情况(介质存放、使用管理记录)
10、对介质的物理传输过程应要求选择可靠传输人员、严格介质的打包(如采用防拆包装置)、选择安全的物理传输途径、双方在场交付等环节的控制
11、应对介质的使用情况进行登记管理,并定期盘点(介质归档和查询的记录、存档介质定期盘点的记录)
12、对送出维修或销毁的介质如何管理,销毁前应对数据进行净化处理。(对带出工作环境的存储介质是否进行内容加密并有领导批准。对保密性较高的介质销毁前是否有领导批准)(送修记录、带出记录、销毁记录)
13、应对某些重要介质实行异地存储,异地存储环境是否与本地环境相同(防潮、防盗、防火、防磁,专用存储空间)
14、介质上应具有分类的标识或标签
15、应对各类设施、设备指定专人或专门部门进行定期维护。
16、应具有设备操作手册
17、应对带离机房的信息处理设备经过审批流程,由何人审批(审批记录)
18、应监控主机、网络设备和应用系统的运行状况等
19、应有相关网络监控系统或技术措施能够对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警 20、应具有日常运维的监控日志记录和运维交接日志记录
21、应定期对监控记录进行分析、评审
22、应具有异常现象的现场处理记录和事后相关的分析报告
23、应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等相关事项进行集中管理
24、应指定专人负责维护网络安全管理工作
25、应对网络设备进行过升级,更新前应对现有的重要文件是否进行备份(网络设备运维维护工作记录)
26、应对网络进行过漏洞扫描,并对发现的漏洞进行及时修补。
27、对设备的安全配置应遵循最小服务原则,应对配置文件进行备份(具有网络设备配置数据的离线备份)
28、系统网络的外联种类(互联网、合作伙伴企业网、上级部门网络等)应都得到授权与批准,由何人/何部门批准。应定期检查违规联网的行为。
29、对便携式和移动式设备的网络接入应进行限制管理
30、应具有内部网络外联的授权批准书,应具有网络违规行为(如拨号上网等)的检查手段和工具。
31、在安装系统补丁程序前应经过测试,并对重要文件进行备份。
32、应有补丁测试记录和系统补丁安装操作记录
33、应对系统管理员用户进行分类(比如:划分不同的管理角色,系统管理权限与安全审计权限分离等)
34、审计员应定期对系统审计日志进行分析(有定期对系统运行日志和审计数据的分析报告)
35、应对员工进行基本恶意代码防范意识的教育,如告知应及时升级软件版本(对员工的恶意代码防范教育的相关培训文档)
36、应指定专人对恶意代码进行检测,并保存记录。
37、应具有对网络和主机进行恶意代码检测的记录
38、应对恶意代码库的升级情况进行记录(代码库的升级记录),对各类防病毒产品上截获的恶意代码是否进行分析并汇总上报。是否出现过大规模的病毒事件,如何处理
39、应具有恶意代码检测记录、恶意代码库升级记录和分析报告 40、应具有变更方案评审记录和变更过程记录文档。
41、重要系统的变更申请书,应具有主管领导的批准
42、系统管理员、数据库管理员和网络管理员应识别需定期备份的业务信息、系统数据及软件系统(备份文件记录)
43、应定期执行恢复程序,检查和测试备份介质的有效性
44、应有系统运维过程中发现的安全弱点和可疑事件对应的报告或相关文档
45、应对安全事件记录分析文档
46、应具有不同事件的应急预案
47、应具有应急响应小组,应具备应急设备并能正常工作,应急预案执行所需资金应做过预算并能够落实。
48、应对系统相关人员进行应急预案培训(应急预案培训记录)
49、应定期对应急预案进行演练(应急预案演练记录)50、应对应急预案定期进行审查并更新
51、应具有更新的应急预案记录、应急预案审查记录。