信息安全等级保护初级(精选8篇)
1.信息安全等级保护初级 篇一
TopSec可信等级体系 天融信等级保护方案
Hacker.cn 更新时间:08-03-27 09:37 来源:硅谷动力 作者:中安网
1.等级保护概述
1.1为什么要实行等级保护?
信息系统与社会组织体系是具有对应关系的,而这些组织体系是分层次和级别的,因此各种信息系统是具有不同等级的重要性和社会、经济价值的。对信息系统的基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统的重要程度进行区别对待就是级别的客观要求。信息安全必须符合这些客观要求,这就需要对信息系统进行分级、分区域、分阶段进行保护,这是做好国家信息安全的必要条件。
1.2等级保护的政策文件
信息安全等级保护工作非常重要,为此从2003年开始国家发布了一系列政策文件,具体如下:
2003年9月,中办国办颁发《关于加强信息安全保障工作的意见》(中办发[2003]27号),这是我国第一个信息安全保障工作的纲领性文件,战略目标为经过五年努力,基本形成国家信息安全保障体系,实行等级保护制度。
2004年11月,四部委会签《关于信息安全等级保护工作的实施意见》(公通字[2004]66号):等级保护是今后国家信息安全的基本制度也是根本方法、等级保护制度的重要意义、原则、基本内容、工作职责分工、工作要求和实施计划。2005年9月,国信办文件,《关于转发《电子政务信息安全等级保护实施指南》的通知》(国信办[2004]25号):基本原理、定级方法、安全规划与设计、实施与运营、大型复杂电子政务系统等级保护过程。
2005年,公安部标准:《等级保护安全要求》、《等级保护定级指南》、《等级保护实施指南》、《等级保护测评准则》。
2006年1月,四部委会签《关于印发《信息安全等级保护管理办法的通知》(公通字[2006]7号)。
1.3 等级保护的管理结构-北京为例
等级保护的实施和落实离不开各级管理机构的指导和监督,这在等级保护的相关文件中已经得到了规定,下面以北京市为例来说明管理机构的组成和职责,具体如下图所示:
1.4等级保护理论的技术演进
在等级保护理论被提出以后,经过相关部门的努力工作,逐渐提出了一系列原则、技术和框架,已经具备实施等级保护工作的基础条件了,其具体演进过程如下图所示:
1.5等级保护的基本需求
一个机构要实施等级保护,需要基本需求。由于等级保护是国家推动的旨在规范安全工作的基本工作制度,因此各级组织在这方面就存在如下需求:
(1)政策要求-符合等级保护的要求。系统符合《基本要求》中相应级别的指标,符合《测评准则》中的要求。
(2)实际需求-适应客户实际情况。适应业务特性与安全要求的差异性,可工程化实施。
1.6基本安全要求的结构
对系统进行定级后,需要通过努力达到相应等级的基本安全要求,在总体上分为技术要求和管理要求,技术上又分为物理安全、网络安全、主机安全、应用安全、数据安全,在管理要求中又分为安全管理机构、安全管理制度等5项,具体如下图所示:
2.等级保护实施中的困难与出路
由于等级保护制度还处于探讨阶段,目前来看,尚存在如下困难:
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统,否则:
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
4.大型客户最关注的关键要求指标超出《基本要求》规定
针对上述问题,在下面几小节分别给出了坚决办法。
2.1安全体系设计方法
需求分析-1
问题1:标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
需求:从组织整体出发,综合考核所有系统
方法:引入体系设计方法
2.2保护对象框架设计方法
需求分析-2
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
需求:准确地进行大系统的分解和描述,反映实际特性和差异性安全要求
方法:引入保护对象框架设计方法
保护对象框架-政府行业
保护对象框架-电信行业
保护对象框架-银行业
2.3安全平台的设计与建设方法
需求分析-3
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
需求:统一规划,集中建设,避免重复和分散,降低成本,提高建设水平
方法:引入安全平台的设计与建设方法
平台定义:为系统提供互操作性及其服务的环境
2.4建立安全运行体系
需求分析-4
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
需求:建立长效机制,建立可持续运行、发展和完善的体系
方法:建立安全运行体系
2.5安全运维工作过程
需求分析-5
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
需求:需要高水平、自动化的安全管理工具
方法:TSM安全管理平台
2.6 TNA可信网络架构模型
需求分析-6
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
4.大型客户最关注的关键指标超出《基本要求》规定
需求:在《基本要求》基础上提出更强的措施,满足客户最关注的指标
方法:引入可信计算的理念,提供可信网络架构
3.总体解决方案-TopSec可信等级体系
按照上面解决等级保护目前困难的方法,总体解决方案就是建立TopSec可信等级体系:
遵照国家等级保护制度、满足客户实际需求,采用等级化、体系化和可信保障相结合的方法,为客户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。
实施后状态:一套持续运行、涵盖所有安全内容的安全保障体系,是企业或组织安全工作所追求的最终目标
特质:
等级化:突出重点,节省成本,满足不同行业、不同发展阶段、不同层次的要求
整体性:结构化,内容全面,可持续发展和完善,持续运行
针对性:针对实际情况,符合业务特性和发展战略
3.1可信等级体系设计方法
3.2信息安全保障体系总体框架
3.3体系设计的成果
安全组织体系
安全策略体系
安全技术体系
安全运行体系
3.4安全体系的实现
4.成功案例
某国有大型企业已经采用了我们的可信等级体系,取得了良好的效果。
2.信息安全等级保护初级 篇二
1 数据库访问权限的控制
医院信息网络系统在运行过程当中会产生很多重要的数据, 对于这些重要的数据必须要设置严格的访问权限。除了部分领导以及相关业务人员之外, 其它人员不得随意访问。一般来说, 数据库的登录需要采用两级安全保障机制。登陆密码不能过于简单, 要设置较为复杂的密码, 且密码要做到定期更换。除此之外, 医院的信息系统管理系统必须要与医院的医疗信息网进行有效隔离, 最常采用的手段即是采用防火墙隔离。有了防火墙就可以有效防止计算机病毒或黑客的攻击。对必须共享的最好设置为只读或加访问密码控制访问权限等措施。除此之外, 医院信息系统的管理人员必定对数据库中不用的用户全部进行安全锁定, 仅仅留下那些系统管理员用户和正常的登陆用户。系统管理员所用的密码在三个月内必须要进行更换。所更换的密码必须要保证其复杂性。
2 医院重要数据备份与恢复
随着社会信息化程度的不断加深, 医院对于信息系统也愈发依赖。网络的安全离不开数据的恢复和备份, 笔者认为医院必须要建立和健全较为完善的数据备份与恢复制度, 并且要安排专人负责做这项工作, 从而保证信息系统出现故障的时候重要数据不会丢失。专项工作人员每天必须要做好如下工作:运用定时程序或Job在每天的凌晨将医院数据库热备份到相关的辅服务器当中;每隔一到两个小时, 将医院数据库中的日志完整备份大相关的辅服务器当中;将医院当天的数据备份到文件服务器中进行保存, 一般来说, 保存时间不能低于七天;运用定时job每天都将数据备份到异地计算机当中, 一般来说, 其保存时间不应低于七天。
3 建立安全制度及应急方案
医院还必须要建立一套完善的网络安全管理制度, 并制定相关的应急预案。具体可以从以下几个方面着手:建立一个安全管理组织机构, 机构人员必须要由计算机专业人员担任;建立一个完善的安全管理制度, 有了安全管理制度之后, 相关人员在具体的安全管理过程当中才能够有的放矢, 有据可依;医院必须要制定应急预案, 应急预案的制定主要是为了维护医院信息系统的安全, 一旦发生安全事故医院可以及时启动应急预案, 保障医院信息系统可以安全的运行。
4 保证相关设备的物理安全
网络和相关设备主要包括如下几个方面:后备电源、网络终端、服务器以及网络交换设备等诸多物理设备。通常, 由上述物理设备的硬件出现故障而导致的网络暂时性中断就是我们常说的信息网络的物理安全故障。目前, 医院在构建局域网的时候通常会运用星型结果, 假如我们的中心交换机出现故障的话就很容易致使整个网络产生瘫痪;假如存储设备或中心服务器出现故障则很容易会丢失重要的信息数据, 更严重者还会造成整个网络系统的服务终止;假如UPS电源产生故障, 又会致使交换设备以及服务器暂时不可用, 进而影响整个网络信息系统的正常运行。除此之外, 致使设备硬件产生故障的原因还有机房内的潮湿环境等。
要想有效解决医院网络系统的物理安全问题, 我们主要可以从如下几个方面着手解决。首先, 医院必须要建造一个符合国际水准的机房, 在机房内必须要配备防雷设备、湿度仪、温度计及符合机房标准的地线等。要想有效保护硬件设备的安全, 还必须要在机房内增设同样的线路以及设备。对于医院网络系统的数据库服务器, 最好是采用双机热备加RAID 5+hot sprae的磁盘阵列柜。充分保证医院网络系统的数据库服务器可在较高的安全环境下进行工作。于此同时, 为有效保证医院整个网络希望的安全运行, 我们还必须要解决好断电问题, 最好的措施即是对UPS电源要有供电线路多路备份。机房内必须要运用双路供电模式, 其中的一条线路从市电引出, 而另外一条线路则从UPS引出。且这两个电源也不能接在同一个地方, 必须要分开接线, 从而避免一条线路出现问题的时候另外一条线路无法跟上。这样做, 即使是一条线路出现问题, 我们的网络设备和服务器也可以正常运行。
5 结语
总而言之, 保护医院信息系统的安全是一项非常重要的工作, 我们必须要从各个方面着手有效保护医院信息系统的安全。在上述论述当中, 笔者提出了几种具体的安全保护策略, 在论述当中可能有诸多不足, 在今后的研究当中笔者一定继续加深对该问题的研究深度, 不断对其进行完善。
参考文献
[1]王颖.加强医院信息系统安全管理[J].中国病案, 2009 (7) .
[2]谭进进.军队医院信息网络的安全问题探讨[J].实用医药杂志, 2012 (7) .
3.信息安全等级保护初级 篇三
会上,国家信息安全等级保护协调小组组长、公安部副部长张新枫强调,信息安全等级保护制度是国家信息安全保障工作的基本制度。此次定级工作包括三方面的主要内容:一是开展信息系统基本情况的摸底调查,确定定级对象。二是信息系统主管部门和运营使用单位按照等级保护管理办法和定级指南,初步确定定级对象的安全保护等级,请专家进行评审,并报经上级行业主管部门审批同意。三是信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门到公安机关备案。公安机关和国家有关部门受理备案后,要对信息系统的安全保护等级和备案情况进行审核、管理。
同时,张新枫要求,各基础信息网络和重要信息系统在9月底前,按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。各部门、各单位要加强对定级工作的监督、检查和指导。
4.信息安全等级保护工作计划 篇四
信息安全等级保护工作实施方案
为加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进我校信息化建设。根据商教发【2011】321号文件精神,结合我校实际,制订本实施方案。
一、指导思想
以科学发展观为指导,以党的十七大、十七届五中全会精神为指针,深入贯彻执行《信息安全等级保护管理办法》等文件精神,全面推进信息安全等级保护工作,维护我校基础信息网络和重要信息系统安全稳定运行。
二、定级范围
学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。
三、组织领导
(一)工作分工。定级工作由电教组牵头,会同学校办公室、安全保卫处等共同组织实施。学校办公室负责定级工作的部门间协调。安全保卫处负责定级工作的监督。
电教组负责定级工作的检查、指导、评审。
各部门依据《信息安全等级保护管理办法》和本方案要求,开展信息系统自评工作。
(二)协调领导机制。
1、成立领导小组,校长任组长,副校长任副组长、各部门负责人为成员,负责我校信息安全等级保护工作的领导、协调工作。督促各部门按照总体方案落实工作任务和责任,对等级保护工作整体推进情况进行检查监督,指导安全保密方案制定。
2、成立由电教组牵头的工作机构,主要职责:在领导小组的领导下,切实抓好我校定级保护工作的日常工作。做好组织各信息系统运营使用部门参加信息系统安全等级保护定级相关会议;组织开展政策和技术培训,掌握定级工作规范和技术要求,为定级工作打好基础;全面掌握学校各部门定级保护工作的进展情况和存在的问题,对存在的问题及时协调解决,形成定级工作总结并按时上报领导小组。
3、成立由赴省参加过计算机培训的教师组成的评审组,主要负责:一是为我校信息与网络安全提供技术支持与服务咨询;二是参与信息安全等级保护定级评审工作;三是参与重要信息与网络安全突发公共事件的分析研判和为领导决策提供依据。
四、主要内容、工作步骤
(一)开展信息系统基本情况的摸底调查。各部门要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。
(二)初步确定安全保护等级。各使用部门要按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草定级报告。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
(三)评审。初步确定信息系统安全保护等级后,上报学校信息系统安全等级保护评审组进行评审。
(四)备案。根据《信息安全等级保护管理办法》,信息系统安全保护等级为第二级以上的信息系统统一由电教组负责备案工作。
五、定级工作要求
(一)加强领导,落实保障。各部门要落实责任,并于12月15日前将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》上报九年制学校。
(二)加强培训,严格定级。为切实落实评审工作,保证定级准确,备案及时,全面提高我校基础信息网络和重要信息系统的信息安全保护能力和水平,保证定级工作顺利进行,各部门要认真学习《信息安全等级保护管理办法》、《文保处教育系统单位信息分级培训材料》、《信息系统安全保护等级定级指南(国标)》、《信息系统安全等级保护基本要求(报批)》、《信息系统安全等级保护实施指南(报批)》等材料。
(三)积极配合、认真整改。各部门要认真按照评级要求,组织开展等级保护工作,切实做好重要信息系统的安全等级保护。
(四)自查自纠、完善制度。此次定级工作完成后,请各部门按照《信息安全等级保护管理办法》和有关技术标准,依据系统所定保护等级的要求,定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查,并不断完善安全管理制度,今后,若信息系统备案资料发生变化,应及时进行变更备案篇二:医院信息系统安全等级保护工作实施方案 医院信息系统安全等级 保护工作实施方案
医院信息系统是医疗服务的重要支撑体系。为确保我院信息系统安全可靠运行,根据公安部等四部、局、办印发的《关于信息安全等级保护工作的实施意见》公通字【2004】66号、《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》卫办综函【2011】1126号、卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知 卫办发【2011】85号和省市有关文件精神,并结合我院信息化建设的工作实际,特制定《德江县民族中医院信息系统安全等级保护工作实施方案》确保我院信息系统安全。
一、组织领导 组 长: 副组长: 组 员:
领导小组办公室设在xx科,由xx同志兼任主任,xx等同志负责具体工作。
二、工作任务
1、做好系统定级工作。定级系统包括基础支撑系统,面向患者服务信息系统,内部行政管理信息系统、网络直报系统及门户网站,定级方法由市卫生局统一与市公安局等信息安全相关部门协商。
2、做好系统备案工作。按照市卫生系统信息安全等级保护划分定级要求,对信息系统进行定级后,将本单位《信息系统安全等级保护备案表》《信息系统定级报告》和备案电子数据报卫生局,由卫生局报属地公安机关办理备案手续。
3、做好系统等级测评工作。完成定级备案后,选择市卫生局推荐的等级测评机构,对已确定安全保护等级信息系统,按照国家信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等国家标准开展等级测评,信息系统测评后,及时将测评机构出具的《信息系统等级测评报告》向属地公安机关报备。
4、完善等级保护体系建设做好整改工作。按照测评报告评测结果,对照《信息系统安全等级保护基本要求》(gb/t22239-2008)等有关标准,结合医院工作实际,组织开展等级保护安全建设整改工作,具体要求如下:
三、工作要求
1、建立安全管理组织机构。成立信息安全工作组,网络办负责人为安全责任人,拟定实施医院信息系统安全等级保护的具体方案,并制定相应的岗位责任制,确保信息安全等级保护工作顺利实施。
2、建立健全信息系统安全管理制度。根据信息安全等级保护的要求,制定各项信息系统安全管理制度,对安全管理人员或操作人员执行的重要管理操作建立操作规程和执行记录文档。
3、制定保障医疗活动不中断的应急预案。应急预案是安全等级保护的重要组成部分,按可能出现问题的不同情形制定相应的应急措施,在系统出现故障和意外且无法短时间恢复的情况下能确保医疗活动持续进行。
4、严格执行安全事故报告和处置管理制度。医院信息系统所有使用或管理人员均有责任发现和报告信息安全可疑事件,应视情况及时以口头或书面的形式报告院网络办。对重大信息网络安全事件、安全事故和计算机违法犯罪案件,应在24小时内向公安机关报告,并保护好现场。篇三:2013年信息安全等级保护工作汇报 2013年信息安全等级保护工作汇报
一、加强领导
二、完善制度
为贯彻落实全市加强和改进互联网建设与管理工作会议和市委办公室、市政府办公室《扬州市深入推进信息安全等级保护工作的实施意见》(扬办发[2012]57号)文件精神,对集团信息系统安全等级保护工作做出了具体的要求,根据等级保护要求,开展了信息安全制度的前期完善工作。陆续制定了“增加扬州网一些网站新闻发布审核的制度”、《外部人员访问机房审批管理制度》、《中心机房管理办法》、《机房消防安全管理制度》等制度。
三、信息等级安全保护基本情况
目前,集团已有扬州网、扬州晚报网、扬州汽车网、艺术在线网和多个内部信息系统根据等级保护的要求进行了整改优化,积极加强信息系统安全环境建设,消除安全管理中的薄弱环节。在物理安全方面,机房安装门禁系统,严格管理机房人员进出,消防设施完善,所有设备通过ups供电。关键网络设备和服务器做到有主有备,确保在发生物理故障时可以及时更换。
在网络安全方面,我们严格按照内、外网物理隔离的标准建设网络系统,并采用虚拟局域网技术,通过交换机端口的ip绑定,防止非法网络接入;在网络出口以及不同网络互联边界全面部署硬件防火墙,部署日志服务器,记录并留存使用互联网和内部网络地址对应关系; 在集团互联网出口部署网络行为管理系统,规范和记录上网行为,合理控制不同应用的网络流量,实现网络带宽动态分配,保障了信息系统正常应用的网络环境。
在主机安全方面,终端计算机采用双硬盘及物理隔离互联网及内网应用,通过部署趋势网络防毒墙网络版,安装联软安全管理软件保障客户机系统安全,并且做到漏洞补丁及时更新,重要的应用系统安装了计算机监控与审计系统,实现对主机的usb等外设接口的控制管理,采用key用户名密码等方式控制用户登陆行为。
对于应用安全,严格做好系统安全测试,配备了专门的漏洞 扫描仪定期扫描应用系统漏洞,并按测试结果做好安全修复和加固工作;在网站区,部属入侵防御系统,监测、记录安全事件,及时阻断入侵行为,自部署起已多次成功检测出sql注入,ftp匿名登录,网站目录遍历,探测主机地址漏洞等。
在数据安全方面,数据库通过备份系统定期备份,关键数据库服务器采用双机热备份,保证数据库服务器的可用性和高效性,在出现故障时可以快速恢复;数据库的访问按不同用户身份进行严格的权限控制。
四、建议
信息系统安全等级保护工作责任重大,技术性强,工作量巨大,集团在该项工作上虽然取得一些进展,但是与市里要求还有相当的差距,在等级保护意识、宣传力度、技术人才的培养和制度的建立上仍然存在问题。
5.信息安全等级保护初级 篇五
为了认真贯彻落实省公安厅《关于组织开展全省2011信息安全等级保护专项检查工作的通知》文件精神,为进一步做好我省环境自动监控系统信息安全工作,提高环境自动监控系统安全保证能力和水平,切实加强省环境监控系统网络信息安全,为中原经济区建设创造良好的社会和网络环境。
环保部和省委、省政府领导高度重视环境自动监控系统建设和应用工作。陈新贵副厅长和易旭生副巡视员对省环境信息自动监控系统信息安全等级保护专项检查工作做出重要批示,要求认真准备,做好检查工作。
按照省环境监控中心(以下简称“监控中心”)各位领导严格要求,安排专门科室和人员,制定了一系列信息安全管理制度,加强日常信息安全监测和预警,促进了中心信息安全建设和管理,营造出健康、和谐的网络环境。近期,我中心进行了信息安全自查,现将中心信息安全自查工作情况报告如下:
一、信息安全工作的基本情况
(一)积极组织部署等级保护工作
1、专门成立等级保护协调领导机构
成立了由分管领导、分管部门、网络管理组成的信息安全等级保护协调领导小组,确保环境自动监控系统高效运行、理顺信息安全管理、规范信息化安全等级建设。
2、明确等级保护责任部门和工作岗位
监控中心非常注重环境自动监控系统建设,多次开会明确等级保护责任部门,做到分工明确,责任具体到人。
3、贯彻落实等级保护各项工作文件或方案
等级保护责任部门和工作人员认真贯彻落实公安部、省公安厅等级保护各项工作文件或方案,根据环境自动监控工作的特点,制定出《河南省环境保护厅网络与信息安全事件应急预案》、《河南省环境自动监控系统机房管理制度》等一系列规章制度,落实等级保护工作。
4、召开工作动员会议,组织人员培训,专门部署等级保护工作
监控中心每季度召开一次工作动员会议,定期、不定期对技术人员进行培训,并开展考核。技术人员认真学习贯彻有关文件精神,把信息安全等级保护工作提升到重要位置,常抓不懈。
5、有关主要领导认真听取等级保护工作汇报并做出重要指示
省环保厅陈新贵副厅长、易旭生副巡视员分别对等级保护工作给与批示,要求认真做好有关工作。监控中心陶冶主任、丁卫东副主任、郭新望总工程师分别听取等级保护工作汇报,指示责任部门做好自检、自查,精心准备,迎接公安厅专项检查。
(二)认真落实信息安全责任制
1、高规格建设信息安全协调领导机构
在监控中心等级保护协调领导小组中,陶冶主任亲自担任协调领导小组组长,主管领导郭新望总工程师担任协调领导小组常务副组长,信息管理室汪太鹏主任兼任领导小组办公室主任。
2、成立信息安全职能部门
监控中心成立了信息管理室作为信息安全职能部门,负责环境网络建设,信息安全,日常运行管理。
3、制定信息安全责任追究制度
监控中心制定出相应信息安全责任追究制度,定岗到人,明确责任分工,把信息安全责任事故降低到最低。
(三)积极推进信息安全制度建设
1、加强人员安全管理制度建设
监控中心建立了人员录用、离岗、考核、安全保密、教育培训、外来人员管理等安全管理制度,对新进人员进行培训,加强人员安全管理,不定期开展考核。
2、严格执行机房安全管理制度 监控中心制定出《机房管理制度》,加强机房进出人员管理和日常监控制度,严格实施机房安全管理条例,做好防火防盗,保证机房安全。
3、建立系统建设管理制度
监控中心制订了产品采购、工程实施、验收交付、服务外包等系统建设管理制度,通过公开招标,择优选用,大大提高了系统建设的质量。
(四)大力加强信息系统运维
1、开展日常信息安全监测和预警
监控中心建立日常信息安全监测和预警机制,提高处置网络与信息安全突发公共能力事件,加强网络信息安全保障工作,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减轻网站网络与信息安全突发公共事件的危害。
2、建立安全事件报告和响应处理程序
监控中心建立健全分级负责的应急管理体制,完善日常安全管理责任制。相关部门各司其职,做好日常管理和应急处置工作。设立安全事件报告和相应处理程序,根据安全事件分类和分级,进行不同的上报程序,开展不同的响应处理。
3、制定应急处置预案,定期演练并不断完善 监控中心制定了安全应急预案,根据预警信息,启动相应应急程序,加强值班值守工作,做好应急处理各项准备工作。定期演练预警方案,不断完善预警方案可行性、可操作性。
二、扎实开展信息系统定级备案
(一)信息系统定级工作概况
监控中心积极有效开展信息系统定级工作,认真编制安全等级保护定级报告。省环境自动监控系统是通过前端自动监控设施自动采样、分析、获取各污染源、环境质量点位的监测数据,通过VPN网络上传至省、市监控中心,监控中心管理人员对数据进行审核后应用于环境管理工作。
该系统主要服务于省、市环保部门环境管理,同时对审核后数据通过网站向公众发布。
系统服务受到破坏时侵害的客体是公众利益,即社会公众的环境知情权。
系统服务受到破坏后,对侵害客体的侵害是一般损害。
(二)信息系统备案工作情况
监控中心按期规范开展信息系统备案工作。根据《信息安全等级保护管理办法》,填写信息系统安全等级保护备案表。
对单位基本情况、信息系统情况、信息系统定级情况等信息做出明确备案。
三、有效推进信息系统等级测评和安全建设整改工作部署和经费保障
(一)制定等级测评工作计划
认真制定等级测评工作计划表,按照工作计划表,有条不紊的开展等级测评。
(二)制定安全建设整改工作计划
制定安全建设整改工作计划,根据自查结果,对发现问题进行安全建设整改。编制整改方案,限期完成整改计划。
(三)保证等级测评工作经费
中心优先保证等级测评工作经费的划拨、使用。
(四)落实安全建设整改工作经费保障
中心积极落实安全建设整改工作经费,协调财政部门保障整改经费保障。
(五)选择等级测评机构
四、不断完善等级保护自查和整改
(一)组织部署等级保护自查工作
领导协调小组开专题会议,部署等级保护自查工作。按照信息安全等级保护工作检查表的要求,细化各项检查指标,落实各项指标。
(二)按期整改存在的问题
五、认真做好三级信息系统等级测评和安全建设整改工作
(一)等级评测工作开展情况
6.信息安全等级保护初级 篇六
第一章 总则
第一条 为加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等国家有关法律法规,制定本办法。
第二条 信息安全等级保护,是指对国家秘密信息及公民、法人和其他组织的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
第三条 信息系统的安全保护等级应当根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度,信息和信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,信息和信息系统应当达到的基本的安全保护水平等因素确定。
第四条 信息系统的安全保护等级分为以下五级:
(一)第一级为自主保护级,适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益。
(二)第二级为指导保护级,适用于一般的信息系统,其受到破坏后,会对社会秩序和公共利益造成轻微损害,但不损害国家安全。
(三)第三级为监督保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成损害。
(四)第四级为强制保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害。
(五)第五级为专控保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成特别严重损害。
第五条 信息系统运营、使用单位及个人依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理。
(一)第一级信息系统运营、使用单位或者个人可以依据国家管理规范和技术标准进行保护。
(二)第二级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护。必要时,国家有关信息安全职能部门可以对其信息安全等级保护工作进行指导。
(三)第三级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行监督、检查。
(四)第四级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行强制监督、检查。
(五)第五级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护,国家指定的专门部门或者专门机构对其信息安全等级保护工作进行专门监督、检查。
第六条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第二章 信息安全等级保护工作的安全管理
第七条 信息系统的运营、使用单位应当依据本办法和有关标准,确定信息系统的安全保护等级。有主管部门的,应当报主管部门审核批准。
第八条 信息系统的运营、使用单位应当根据据已确定的安全保护等级,依照本办法和有关技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,进行信息系统建设。
第九条 信息系统的运营、使用单位应当履行下列安全等级保护职责:
(一)落实信息安全等级保护的责任部门和人员,负责信息系统的安全等级保护管理工作;
(二)建立健全安全等级保护管理制度;
(三)落实安全等级保护技术标准要求;
(四)定期进行安全状况检测和风险评估;
(五)建立信息安全事件的等级响应、处置制度;
(六)负责对信息系统用户的安全等级保护教育和培训;
(七)其他应当履行的安全等级保护职责。
第十条 信息系统建设完成后,其运营、使用单位应当依据本办法选择具有国家相关技术资质和安全资质的测评单位,按照技术标准进行安全测评,符合要求的,方可投入使用。
第十一条 从事信息系统安全等级测评的单位,应当遵守国家有关法律法规和技术标准规定,保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,提供安全、客观、公正的检测评估服务。
测评单位资质管理办法由有关部门另行制定。
第十二条 第三级以上信息系统的运营、使用单位应当自系统投入运行之日起三十日内,到所在地的省、自治区、直辖市公安机关指定的受理机构办理备案手续,填写《信息系统安全保护等级备案登记表》。国家另有规定的除外。
备案事项发生变更时,信息系统运营、使用单位或其主管部门应当自变更之日起三十日内将变更情况报原备案机关。
第十三条 公安机关应当掌握信息系统运营、使用单位的备案情况,建立备案档案,进行备案管理。发现不符合本办法及有关标准的,应通知其予以纠正。
第十四条 公安机关应当监督、检查第三级和第四级信息系统运营、使用单位履行安全等级保护职责的情况。
对安全保护等级为三级的信息系统每年至少检查一次,对安全保护等级为四级的信息系统每半年至少检查一次。
第十五条 公安机关发现信息系统运营、使用单位未履行安全等级保护职责或未达到安全保护要求的,应当书面通知其整改。
第三章 信息安全等级保护的保密管理
第十六条 涉及国家秘密的信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。
不涉及国家秘密的信息系统不得处理国家秘密信息。
第十七条 涉及国家秘密的信息系统按照所处理信息的最高密级,由低到高划分为秘密级、机密级和绝密级三个级别,其总体防护水平分别不低于三级、四级、五级的要求。
涉及国家秘密的信息系统建设单位应当依据《中华人民共和国保守国家秘密法》和国家有关秘密及其密级具体范围的规定,确定系统处理信息的最高密级和系统的保护级别。
第十八条 涉及国家秘密的信息系统的设计实施、审批备案、运行维护和日常保密管理,按照国家保密工作部门的有关规定和技术标准执行。
第十九条 各级保密工作部门应当对已投入使用的涉及国家秘密的信息系统组织检查和测评。发现系统存在安全隐患或系统保护措施不符合分级保护管理规定和技术标准的,应当通知系统使用单位和管理部门限期整改。
对秘密级、机密级信息系统,每两年至少进行一次保密检查或系统测评;对绝密级信息系统,每年至少进行一次保密检查或系统测评。
第四章 信息安全等级保护的密码管理
第二十条 国家密码管理部门对信息安全等级保护的密码实行分类分级管理。根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度,被保护对象的安全防护要求和涉密程度,被保护对象被破坏后的危害程度以及密码使用部门的性质等,确定密码的等级保护准则。
信息系统运营、使用单位采用密码进行等级保护的,应当遵照信息安全等级保护密码管理规定和相关标准。
第二十一条 信息系统安全等级保护中密码的配备、使用和管理等,应严格执行国家密码管理的有关规定。
第二十二条 要充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的,密码的设计、实施、使用、运行维护和日常管理等,应当按照国家密码管理有关规定和技术标准执行;采用密码对不涉及国家秘密的信息和信息系统进行保护的须遵照《商用密码管理条例》和密码分类分级保护有关规定与相关标准。
第二十三条 各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评,对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中,发现存在安全隐患或违反密码管理相关规定或者未达到密码相关标准要求的,按照国家密码管理的相关规定进行处置。
第五章 法律责任
第二十四条 三级、四级信息系统和涉及国家秘密的信息系统的主管部门和运营、使用单位违反本办法规定,有下列行为之一,造成严重损害的,由相关部门依照有关法律、法规予以处理:
(一)未按本办法规定报请备案、审批的;
(二)未按等级保护技术标准要求进行系统安全设施建设和制度建设的;
(三)接到整改通知后,拒不整改的;
(四)违反保密管理规定的;
(五)违反密码管理规定的;
(六)违反本办法和其他规定的。
第六章 附则
第二十五条 军队的计算机信息系统安全保护工作,按照军队的有关法规执行。
7.电力信息系统安全的等级保护实施 篇七
伴随着我国经济社会的快速发展以及越来越多的信息、通信技术被使用, 智能化电网也随之快速发展壮大, 然后伴随的问题是其信息网络安全问题日益突出, 黑客入侵以及网络攻击现象日益增多, 要就要求电力企业相关部门加强信息技术的安全防护对策。目前, 电力从生产到分配会大量采用各种信息系统和形形色色的各类自动化设备, 比方说发电厂计算机监控系统和配网自动化系统等等很多, 这里不一一列举。电力系统安全防护是一个重大的任务, 它涉及到国家的安全, 如果一旦发生大面积停电事故, 就可能导致很大的经济损失, 甚至会影响国家安全或者社会稳定, 所以说加强电力信息系统的安全等级保护势在必行。
1 信息安全等级保护
1.1 信息安全保护等级的划分
对信息系统安全保护等级的主要影响因子有2个:一是其在国家发展进程中的重要性;二是一旦被故意或者偶然损坏后对这个国家经济与社会发展的危害程度。这个等级往往分为下面5个等级:
第一级:用户自主保护级信息系统遭受破坏, 它可能会影响到当事人以及其所在组织一定程度地利益损失, 然而对整个社会发展的稳定、集体的利益或者国家的安全都没有很大的损伤。这种信息系统的重要性和所采取的安全防护措施都根据用户自己来决定。
第二级:系统审计保护级信息系统遭受破坏, 这种情况的发生会对所在组织机构和当地人民群众利益遭受程度较大的危害, 也会影响到社会的稳定和集体的利益, 然而对国家安全无影响。
第三级:安全标记保护级信息系统遭受破坏, 这种情况的发生会对整个社会的稳定以及集体造成影响重大的损伤, 也会对国家安全产生很大威胁。这个等级同时有着系统审计保护级的全部信息保护功能, 在这个基础上它也会强制对系统进行监查并记录全部内容, 主要监控的是访问者以及所访问的对象。
第四级:结构化保护级遭到破坏, 这种情况的发生会使得相关组织机构以及人民群众利益受到巨大的损伤, 同时对整个社会的稳定和集体的利益以及国家安全产生了特别重大的危害。
第五级:访问验证保护级信息系统遭受破坏, 这种情况的发生会使得国家安全受到极其严重的危害。此级别具有上面几个所有级别的功能, 同时对系统设置访问验证保护, 这样做不仅可以记录访问者以及该访问者对系统的访问历史, 另外对访问者的访问权限进行设定, 最大限度保证信息安全不泄露。
1.2 信息安全等级的划分
1.2.1 按相关政策规定划分安全保护等级
在进行信息安全保护时, 有一些需要特殊保护和隔离的信息系统, 比方说国防部、国家机关或者重点科研机构等特殊机构的信息系统。针对这种系统, 要特别严格, 根据有关的信息安全等级保护的相关政策等法律法规的要求, 对其系统进行防护。
1.2.2 按照保护数据的价值划分保护等级
针对被保护的信息的类别及价值的不同, 设置不同的安全保护等级。这样做是为了在保护信息安全的同时最大限度减小其运作的投入。
2 电力信息系统安全等级保护防护要求
电力信息系统安全等级保护要求重点对象是等级保护三级以上的系统, 换句话说就是监督检查级与强制监督检查级。安全等级防主要发挥以下作用:一是能够使企业可以抵制外来的或者说是敌对组织的不怀好意的对系统的破坏;二是防止企业内部人员与外部势力勾结而进行的对系统的破坏;三是对安全事件记性审核登记;四是能够追查审核违规违法行为等等。电力信息系统安全等级防护要求的系统设计到电力生产控制系统、生产管理系统、管理信息系统、网站系统以及信息网络系统, 具体有下面这些系统:220 KV以上的变电站自动化系统、单机容量300兆瓦及以上的火电机组控制系统DCS含辅机控制系统等许多形形色色各类信息系统。
3 信息安全等级保护的方式
信息安全等级保护有两类, 具体如下两种:
3.1 物理安全保护方面
此类保护又可以从两个安全角度进行划分:一是必要考虑:针对主机房等场所设施, 要采取安全防范工作。需要使用比较先进的技术设备以便达到可以进行室内监控、使用用户信息登记以及自动报警等措施, 可以监控记录用户及其访问情况, 以便日后追查。而使需要考虑:针对主机房以及重要信息存储设备, 则应该采取多路电源同时接入的措施以保护电源的可持续供给性, 防止一旦发生断电会给入侵者制造入侵的机会。
3.2 网络系统安全保护方面
针对于不同安全保护对象的不同, 存在不同的保护方法。详细方法有以下几个:
3.2.1 已确定安全等级系统的安全保护
如果整个系统中有安全等级相同的信息系统, 这种情况下, 对于它的每一个地方、每一处信息应该根据国家标准使用统一安全保护方法给其设计完整的安全机制。如果有安全等级不同的系统, 则要对它的不同的地方以及信息根据不一样的安全要求进行安全防护。
3.2.2 网络病毒的安全保护
网络安全中一个很大的毒瘤是计算机病毒, 因此说防止病毒的入侵对系统进行破坏在信息系统安全保护过程中是至关重要的一个步骤。防止病毒入侵方式多种, 目前常常使用防火墙等阻挡病毒入侵, 有的也会采取给程序加密、监控系统运行情况等来观察病毒入侵与否, 能够尽量最快发现入侵的病毒并予以杀灭, 从而保护计算机信息系统。
3.2.3 漏洞扫描与修复方法
系统存在漏洞会对系统有一定的潜在危害, 许多入侵者往往会利用系统中已有漏洞对系统展开攻击, 所以说要频繁对计算机进行全面的漏洞扫描, 采用一定方式找出系统里的漏洞同时给予修复等措施, 从根源上防止非法入侵者通过这个手段对系统进行破坏。漏洞的修复方式有2种:系统自动修复和人工手动修复, 现实条件中, 不可能存在绝对完美不含漏洞的系统, 所以说要隔段时间就要对系统进行漏洞扫描修复, 从而保证系统的安全性。
4 电力信息系统等级保护实施
信息系统是在社会经济、生活以及实际工作的进步和需求的基础上设置的, 它在一定程度上是社会组织机构以及行政组织机构的反映, 它的安全保护等级也应该符合客观实际的条件以及社会发展的规律要求。如何进行电力信息系统等级保护?主要从下面几个方面进行把关:
4.1 电力信息系统定级与备案
信息系统的运营以及使用单位需要根据它处理信息的实际情况 (包括其敏感程度等) , 结合等级保护的管理规范和技术标准, 还要根据国家对信息系统保护的相关原则, 明确其信息系统的安全保护等级, 并报其主管部门审批同意。如果有很多子系统的信息系统, 它不仅应该保障信息系统安全互联以及有效信息共享, 还应当结合等级保护的具体情况 (各子系统的重要程度等各类) , 对各个保护等级进行各自划分。如果是安全保护等级在三级以上的信息系统, 就需要由运营、使用单位报送本地区地市级公安机关进行备案。如果是跨地域的信息系统, 同上面类似, 备案部门为所在地的同级公安机关。如果是第五级的信息和信息系统的监督检查, 要求更为严格, 需要由国家指定的特殊部门、特殊机构根据相关规定严格执行。
4.2 电力信息系统等级保护安全建设与整改
如果信息系统已经存在, 这种情况下, 运营和使用单位需要做的就是明确其安全保护等级。根据明确的等级的保护桂发来购买合适的信息安全产品, 这样可以建立起来一个合理的安全防护措施促使系统很好的整改。对于那些新建以及改扩建的系统则也应该根据相关等级保护管理规范从设计到施工上进行严格要求。
4.3 电力行业定期自查与监督检查
对于已经完成安全等级保护措施的额信息系统, 其运营和使用单位等主管部门需要根据等级保护的管理规范进行检查评估, 一旦发现问题就立马进行整改, 从本质上加强和完善自身信息安全等级保护制度的建设从而增强自我防护能力。对防护要求很高的重要信息系统则要每年进行1~2次的自身检查, 如果自查不合格就需要整改。
4.4 信息安全保障体系的建立与落实
通过信息安全保障体系的建设可以用来提高源于人、管理以及技术三方面所形成的预示能力、防护能力等各类对待系统安全的能力, 可以对信息系统的安全属性及功能以及效率上开展动态保护, 所谓安全属性指的是信息系统和它的基础网络的真实可用性、完整保密性等安全属性。采取这种方式能够使得应用服务的效率和效益提升, 可以促使电力信息化的学术研究长远发展。
5 结束语
如何创设一个能够持续发挥作用的电力信息系统安全等级保护制度来为企业的信息进行各个方面的防护?这是一个永不落幕的话题。但是根据当前现状, 许多企业的信息安全等级保护还没有发挥出作用, 正处在一个初级阶段, 任重而道远。这个工作需要各个专家、各个学科的专业人士一起探讨研究, 更好的保护信息安全。当前随着信息技术的不断改革进步, 信息安全等级保护技术和水平也要随着进行加快更新, 这样才能在出现信息安全问题的时候以最快时间解决问题, 也能使得信息安全等级保护政策可以又好又快的落实。
摘要:对信息安全等级的保护措施在电力信息网路中一个十分重要同时又需要持续跟进加强的一个过程, 采取信息安全等级保护可以在很大程度上帮助电力企业建立安全建设的长效机制, 从而促使电网的安全性, 保证期可靠运行。而在现实工作中, 要结合实际条件加以改进防护等, 能够充分组建电力信息系统安全等级防护规范, 这样以来, 在现实工作中, 能又快又好的进行安全防护的作业。
关键词:信息安全,等级保护,安全技术,网络系统
参考文献
[1]王雪莉.浅谈信息安全等级保护问题[J].数字技术与应用, 2012.
[2]朱世顺.电力生产控制系统信息安全等级保护研究[J].电力信息化, 2012.
8.信息安全等级保护初级 篇八
关键词:信息安全;等级保护;定级;备案
中图分类号:G203 文献标志码:A 文章编号:1673-8454(2015)21-0012-05
一、背景
近些年来,随着互联网和信息通信技术的发展,信息系统在各行业、各领域快速拓展。随着大数据时代的到来,伪造基站、BIOS后门、高斯病毒、短信僵尸等各类网络攻击层出不穷、日新月异,保障网络与信息系统安全,已经成为信息化发展中迫切需要解决的重大问题。教育部、北京市教委等部门为保障教育信息系统的安全,逐步推出了相关政策和工作办法。
二、信息安全等级保护概述
信息安全等级保护(以下简称等保)是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实施安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。[1]
系统定级备案的实施是信息安全监督、检查和问责的需要。通过备案可以使信息化主管部门知道在哪里、由什么人运行着何等重要程度的信息系统,为信息安全管理提供基础数据。本文着重论述高等院校信息系统信息安全等级保护定级备案工作的实施,所指信息系统是指由计算机及其相关和配套的设备、网络构成的对教育行业相关业务信息进行采集、加工、存储、传输、检索和处理,不涉及国家秘密的系统。[2]
1.信息系统定级备案基本分类
信息系统定级是等级保护的第一步,需分析系统的业务信息类型和系统服务类型,确定信息安全受到破坏时所侵害的客体,确定对客体的侵害程度。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,以及系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。[3]高等院校信息系统中,招生管理类、数据集成类、校务管理类、基础网络服务类等信息系统的业务信息安全或系统服务安全受到破坏,可能影响学校正常秩序,影响高校正常行使工作职能,侵害学校、教师、学生及部分社会公众合法权益,可能在一定范围内对社会秩序造成影响,可能侵害公共利益,引起法律纠纷等;教学支持类、科研管理类、公共服务类、信息发布类等信息系统业务信息安全或系统服务安全受到破坏,可能影响学校正常秩序,影响高校正常行使工作职能,侵害学校、教师、学生合法权益,引起法律纠纷等。[4]
2.高等院校信息系统定级备案的基本原则
为了保护信息安全等级保护工作的科学性、合理性,高等院校的信息系统在实施过程中应遵循以下原则:
(1)自主保护原则。在高等院校的信息安全等级保护工作中,学校各二级单位按照相关标准对管辖范围内的信息系统进行自主定级、自主保护,并接受信息化主管部门的监督、管理。
(2)重点保护原则。将学校有限的财力、物力、人力投入到招生、教务、科研等重要信息系统安全保护中,依据相关标准建设安全保护体系,建立安全保护制度,落实安全责任,优化信息安全资源配置。
(3)同步建设原则。按照等保要求,在学校新建和改建的信息化项目中,将信息安全建设与系统建设同步规划、实施。
(4)动态调整原则。高等院校信息系统的应用功能、服务对象、范围等会根据政策、管理办法、新业务需求而发生变更、扩展。当发生较大变化时,应根据等级保护管理规范和技术标准的要求重新定级、备案,实施安全保护。
三、高等院校等保定级备案管理办法的研究
1.高校信息安全管理存在的主要问题
目前高等院校在信息安全等级保护备案方面存在着以下问题:
(1)二级单位难以按照信息安全等级保护基本要求结合自身情况制定切实可行的信息安全管理制度和技术标准规范。
(2)系统、网站的建设注重业务应用的实现,缺少安全设计和部署,开发环境与生产环境混淆,没有足够的测试急于上线,缺少安全防护意识。
(3)系统的不断改造升级,增加了网络安全的脆弱性,降低了系统的安全状态。
(4)部分二级单位对本单位的信息系统及网站底数不清,依然存在各自为政开设网站的情况,安全防护不统一。且存在科研教学机构替其他用户单位在校内开发、运营系统的情况。
(5)由于学校人员组织、编制等限制,无法严格按照等保要求组建专门的、专业的安全运维管理组织,配备岗责明确的职能人员。二级单位的系统管理员、网站管理员计算机知识与技能相对欠缺、安全意识相对薄弱,不足以开展安全自查、安全防范和风险分析排查。
针对上述问题,本文研究信息安全保障机构的建立、校内定级备案工作流程、自查监察管理办法等,以改进高校等保定级备案工作。
2.高校信息安全保障机构的建立
以高校现有校院两级管理实体为基础,确定信息安全领导小组、专家组以及信息安全主管部门和责任人,统一管理与协调。按照“谁主管、谁负责”的原则实行信息工作责任制和责任追究制,保证全校的信息安全建设与运维的管理职责得到落实。
本文建立的信息安全保障机构实质上是一个三级机构,如图1所示:
(1)信息化主管部门
信息安全领导小组领导下的信息化主管部门通常包括两类:
一类是宣传部、信息办等内容主管部门。负责学校各级网站的内容管理,包括网站审批、舆情监控;负责信息安全组织机构的人员信息登记等工作。
另一类是信息中心、网络中心等技术主管部门。负责全校信息安全等级保护的管理工作;负责校级系统的物理安全、网络安全、主机安全以及应用和数据安全;根据等级保护相应等级的技术要求对二级单位的系统网站进行安全监测、整改等工作。
(2)信息安全第一责任人
二级单位信息安全第一责任人原则上为本部门一把手,对本部门各业务系统及管辖下的网站在形式、内容、运行方面承担监督和管理的责任,负责建立和完善本部门网络安全和信息安全组织,统筹本单位的信息系统建设,建立健全本部门信息化管理制度,审批确定本部门信息系统的安全运维方案和应急预案。
信息系统和网站的申请建设、改造升级以及撤销,信息安全第一责任人负责依法进行信息安全等级保护备案和定级工作,报信息化主管部门备案。
(3)二级单位信息安全工作实施小组
二级单位信息安全工作实施小组主要包括四类人员。
①信息安全员
各二级单位须指定信息安全管理员,负责本单位网络与信息系统的管理和运维工作。接受本部门第一责任人、信息化主管部门的领导,协调本部门的系统管理员、网站管理员以及信息发布员实现信息系统等级保护的管理要求、技术要求。主要有以下工作:
协助信息安全第一责任人统筹本单位的网络建设和信息系统建设,管理本单位的二级网站和三级网站,包括信息系统安全等级保护定级备案以及自查等实施工作。
负责本单位局域网管理,学校固定IP、域名等网络资源的申请、配置、管理工作。
负责本单位的信息收集与维护工作,保证数据的准确性、及时性,支持校内外信息交流和交换、数据上报。
负责本单位网络安全、信息安全与保密工作,对系统安全策略、系统备份、日志管理和操作流程等方面制订管理办法。
②系统管理员和网站管理员
系统管理员和网站管理员应是在职教职工,根据所负责的计算机信息系统对应的信息安全等保等级进行相应技术和管理工作,从服务器、数据库、应用服务等多层面进行系统的补丁升级、定期备份、巡检、应急响应、故障解决等工作,保障系统正常、稳定运行。
③信息发布员
信息发布员是网页具体内容的审核发布人员,应保证信息的及时有效性,能根据上级领导或主管部门的要求更新、撤销、归档网页信息。
④资产管理员
通常高等院校各二级单位都有固定资产管理员,虽然这些管理者不是信息化专业人员,但是负责软硬件各类设备的管理,因此也应纳入等保安全保障体系范畴。
3.校内定级备案工作
高等院校,特别是理工类高等院校内的系统/网站繁多,且教学、科研、服务等应用目标不同,管辖等级不同(校级、院部处级、实验室以及群团组织等),但无论系统大小都应按照有关法律法规进行等级保护定级备案。
各系统主管单位根据信息系统分类、系统重要程度及实际的安全需求,参照《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》和《教育行政部门及高等院校信息系统安全等级保护定级指南》进行定级(高校一般不涉及四、五级系统),实施安全保护。原则上安全等级应不低于建议级别;对于承载复杂功能的信息系统,安全等级可高于建议级别;对于承载多个业务功能的信息系统,应以建议的最高安全等级进行定级。其中电子公文与信息交换、信息门户系统、招生管理系统等为重要保护对象。[4]
本文设计的高等院校内部定级备案工作流程如图2所示。
本工作流程中,等级保护定级备案的关键节点在于二级单位在新建系统或网站时,需要申请服务器、固定IP以及二级域名等网络资源。信息化工作主管部门通常可以在此节点要求二级单位完成系统的定级备案工作,以防疏漏。
如果是校级系统、二级单位重要业务管理系统,通常需要经过经信委等上级主管部门的审批,因此可以在立项之时就进行相应的定级备案、安全规划,落实信息安全等级保护相关控制,以确保在系统的规划设计、建设实施、运行维护整个安全生命周期中贯彻信息安全等级保护要求。
4.自查监察管理办法
(1)等保自查
学校信息化工作主管部门以及各二级单位每年都应参照等保的要求项和控制点,对管辖范围内的信息系统依据保护级别制定安全策略,规范管理和技术实施,并定期检查。包括网络与信息系统安全基本情况、技术防护情况、信息安全产品使用和信息技术服务外包安全管理情况、应急处置及容灾备份情况以及等级保护工作落实情况等。并填报自查结果,上报主管部门备案。
(2)安全监控
信息化工作技术主管部门负责利用可利用的安全技术、产品以及工具了解和评估系统的安全状态;从物理环境、网络、系统、应用、数据,到最终的用户终端汇集安全监控审计信息(详见图3),并进行分析及时发现安全隐患,提供可能的解决方案和技术支持。
信息化工作技术主管部门还应配合教委、公安局等上级部门进行信息安全的抽查、整改工作,完成每年度的信息安全等级保护工作汇报,保障敏感时期的信息安全保障工作。
(3)整改管理办法
对于自行发现的安全隐患以及上级下达的整改通知,信息化主管部门通知二级单位,落实人员限期实施整改,并配合系统主管单位将系统调整到“最安全”和“风险最低”状态。整改完成后,二级单位以书面形式上交整改报告,说明安全问题描述、原因、整改措施等。对于影响严重的系统或不能按期整改完成的系统,信息化技术主管部门有权停止网络服务,经核准整改效果后方可销案,同时加入重点安全监控名单。对于不能解决的安全问题和重大安全问题应及时告知信息安全领导小组和专家组,寻求领导层和校外专业团队的指导。
四、高等院校等保定级备案管理系统探究
信息安全等级保护定级备案以及自查整改的实施,大多是信息采集、录入和管理工作。然而又不同于一般的行政管理,需要结合技术的和非技术的手段保证全校等级保护工作的系统性、可行性、有效性和可扩展性。
目前已经有公司推出了信息安全等级保护综合管理系统,通过应用软件实现各种备案信息的录入、批量导入/导出、审核,从而进行备案信息的查询、检索和统计,以及为上级主管部门提供本单位的信息系统备案状况。但是,这些系统大都缺乏分层管理、数据关联、约束检查,使等保信息还是处于分散的状态中,也不便于校内日常信息安全工作管理。本文从信息化人员管理、资产管理以及制度管理的角度出发,讨论此类系统的设计思想,以实现定级备案工作在高校实施中的有效落地。
1.数据关联与约束(见图4)
建立信息安全保障体系对照表,通过Dept_code、Administrator、Assets_Manager、Assets_code、Rules_code关键字实现系统与部门、系统与管理员、系统与资产、系统与制度的关系。可以知道一个二级单位有哪些系统,分别是几级系统;可以知道每个系统使用了哪些固定资产,管理员是谁;可以知道每个系统建立或使用了哪些制度,是校级的还是二级单位内部的,等等。例如,通过上述关联可以很容易得到如表1所示的查询统计表。
而从表2不仅可以获得二级单位各系统的资产信息(软硬件),而且可按系统、部门进行汇总计算,获得国外产品百分比统计等信息。
通过资产编码Assets_code关联资产信息和资产检查表,按照资产类型编码对应的技术要求-Technology_checkcode、Technology_Description检查项填写资产检查表的检查结果,并记录日期,可以用作后续的变更记录和跟踪。
通过系统编码System_code从系统定级信息获取系统安全等级G_level,对应到管理要求表得到相应的检查项信息,再根据“制度-管理检查项对照”自动获取校级制度,便于二级单位的管理制度检查信息的填报。
这些关系的建立,不但可以获得更多的级联信息,而且可以进行约束。例如,通过制度的“共享标志”约束其他部门是否能使用二级单位自定义的制度;通过在系统备案基本备案信息中录入的资产数量Assets_number来验证资产信息是否填报完备,等等。
2.数图关联
资产管理涉及机器设备、软件系统等方面。梳理资产是实施等级保护的过程中重要的一步,以确定学校各系统的资产,明确责任人、物理位置、使用情况以及数据信息交互情况。
高校信息系统的资产管理大多还处于手工管理的离散状态,即便有固定资产管理系统,也只是从财产角度对各类资产进行注册在案(其分类与信息化角度不同),没有按照信息安全等级保护的管理要求、技术要求记录更为详尽的管理信息、运维信息。
本文建议建立基于拓扑结构图的信息系统资产管理,便于基础信息的录入、等保检查项检查和直观展示。因为,如果只是通过二维表或者树状结构图的形式输入资产信息,难以直观地了解到哪些网络设备、哪些服务器、哪个数据库以及哪个Web应用是一个系统的。但是基于拓扑图资产信息管理,可以通过图形符号的方式建立资产之间的关联,便于掌握一个系统的整体资产情况。例如,一台服务器的符号可以连接服务器、中间件、数据库、应用等多层资产,逐一录入(包括没有固定资产的免费资源)。如果少了哪一层资产没有填报(没有需说明理由),即当前备案信息尚不完备,则该系统应该是不允许访问的状态。从等保管理要求,信息化主管部门就可以停止其运行服务。
五、结束语
每个高等院校都会有自己的信息化组织机构、管理制度和办法,信息化建设进程也不尽相同,在具体应用《信息安全等级保护基本要求》时,不应一味追求所有的安全项,而是要根据学校自身信息化建设情况、特点,兼顾可操作性设计和实施信息安全体系建设,稳步渐进地落实等级保护工作。
参考文献:
[1]中华人民共和国国家质量监督检验检疫总局,中国国家标准化管理委员会.GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求[S].中国标准出版社,2008.
[2]中国教育信息化网.北京市市属教育行业信息安全等级保护定级评审工作办法[EB/OL]. http://www.ict.edu.cn/laws/difang/n20140623_14386.shtml,2014-06-23.
[3]沈昌祥,信息安全保障建设中的等级保护[J].信息技术与标准化,2007(11).
[4]教育部办公厅.教育行业信息系统安全等级保护定级工作指南(试行)[Z].2014.10.
【信息安全等级保护初级】推荐阅读:
信息安全等级保护标准07-10
信息安全等级保护自查项目表10-08
信息安全概论09-26
疾控中心信息安全06-17
管理信息系统安全07-09
信息安全防范08-10
什么事信息安全08-22
信息安全中的信息隐藏技术及其应用09-22
信息安全概论考试总结06-16
信息安全项目规划方案06-18