网站系统信息安全等级保护建设整改方案(共11篇)
网站系统信息安全等级保护建设整改方案 篇1
随着互联网应用和门户网站系统的不断发展和完善,网站系统面临的安全威胁和风险也备受关注。网站系统一方面要加强落实国家信息安全等级保护制度要求的各项保障措施,另一方面要加强系统自身抵抗威胁的能力,同时结合国办2011年40号文件《关于进一步加强政府网站管理工作的通知》的相关要求,网站系统要切实进行防攻击、防篡改、防病毒各项防护措施的部署和实施,综合提升网站系统的安全保障能力。
根据国家等级保护有关要求,省级政府门户网站系统的信息安全保护等级应定为三级,建立符合三级等级保护相关要求的安全防护措施,能够形成在同一安全策略的指导下,网站系统应建立综合的控制措施,形成防护、检测、响应和恢复的保障体系。通过采用信息安全风险分析和等级保护差距分析,形成网站系统的安全需求,从而建立有针对性的安全保障体系框架和安全防护措施。
网站系统安全需求
根据网站系统的应用情况,针对网站系统的安全需求可以从系统业务流程、软件、数据、网络和物理几个方面进行综合分析,具体需求如下:
1、业务流程安全需求
针对网站类业务重点需要关注发布信息的准确性,采集分析和汇总信息的可控性,以及服务平台的可用性,系统可能面临的威胁包括网络攻击、越权、滥用、篡改、抗抵赖和物理攻击,应加强对于这些威胁的对抗和防护能力,通过严格控制业务流程中的各个环节,包括信息采集、分析、汇总、发布等过程中的人员访问身份、访问控制、审批审核等需求,同时要加强系统自身的完整性保护和抗抵赖机制的实现。
2、软件安全需求
网站系统软件架构一般包括接入层、展现层、应用层、基础应用支撑层、信息资源层和基础支撑运行环境等几个层面,由于几个层面涉及的主要功能和软件实现存在一定的差异性,因此要通过分析不同层次可能面临的威胁。接入层是目标用户和接入媒介共同构建而成,针对业务系统此层面是一个访问入口,从安全需求方面应当减少入口对于系统的攻击可能性,对于指定的接入和入口可以通过建立可信机制进行保护,对于非指定的接口可以通过控制权限进行防护;展现层是系统内容的展示区域,要确保系统展示信息的完整性,降低被篡改的风险;应用层是对数据信息进行处理的核心部分,应加强系统自身的安全性和软件编码的安全性,减少系统自身的脆弱性;基础应用支撑层主要包括通用组件、用户管理、目录服务和交换组件等通用应用服务,该层次重点是确保系统组件自身的安全性,同时要加强与应用之间接口的安全性;信息资源层是由业务数据库和平台数据库共同构成,此层次重点的安全在于数据库安全;基础支撑运行环境层,支撑应用系统运行的操作系统、网络基础设施和安全防护等共同构筑成基础支撑运行环境,该层次面临的主要威胁包括物理攻击、网络攻击、软硬件故障、管理不到位、恶意代码等多类型威胁,应加强资产的综合管理。
3、数据安全需求
网站系统的数据主要包括互联网读取、录入、管理、审核的数据信息,以及前台的交互信息和后台的数据交换信息,针对这些信息各个环节中的访问关系不同,信息的敏感和重要程度不同,可能面临威胁也存在一定的差异性,其中读取过程要结合信息的敏感和重要程度进行访问控制,降低越权、滥用等威胁的发生;录入关注信息自身的完整性和合法性,注意防止恶意代码和木马对系统造成的攻击;管理和审核涉及信息系统的关键性信息,所以基本属于系统中的敏感信息或关键流程管理,加强人员的安全管理;交互和数据交换要通过系统自身的安全防护机制,抵抗网络攻击和加强抗抵赖机制。
4、网络和物理安全需求
网络层面重点在于设计合理的网络架构,部署冗余的网络设备,形成可以建立不同安全策略的安全域,从而确保网站系统能够正常稳定运行。
物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。具体包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面的需求,应确保机房的建设符合国家相关要求。
5、IT资产安全需求
IT资产重点关注资产本身的漏洞风险,同时根据资产类型的不同,可以区分成硬件资产、软件资产,其中硬件资产可能面临的关键威胁是软硬件故障、物理攻击等;软件资产可能面临的威胁包括篡改、泄密、网络攻击、恶意代码和抗抵赖。
6、综合安全需求
通过对各个方面综合的安全风险和需求分析,网站系统相关的业务、软件、数据、网络和相关IT资产,由于其应用类型、环境等因素导致主要威胁分布在网络攻击、篡改、物理攻击、恶意代码、越权、滥用和抗抵赖等几个方面,由于其威胁发生的可能性较高,威胁利用后影响较大,导致其安全风险较高,因此应形成对抗这些威胁的必要的安全措施,加强对系统自身的安全性。同时结合信息安全等级保护基本要求的相关技术和管理控制点,进一步完善物理安全、网络安全、主机安全、应用安全和数据安全的相关控制措施,并要能够落实组织、制度、人员、建设和运维相关的管理要求。
网站系统安全方案设计
根据对网站系统安全需求的分析,对于网站系统的安全防护主要从以下两个方面进行设计,一方面是系统的安全保护对象,合理分析系统的安全计算环境、区域边界和通信网络,形成清晰的保护框架;另一方面还是要建立综合的安全保障体系框架,形成对网站系统综合的控制措施架构,同时加强网站系统可能面临威胁的各项防护机制。
1、安全保护对象
根据网站系统的IT资产和业务功能,网站系统的安全保护对象和防护等级如下表所示:
安全计算环境:重点落实等级保护基本要求的主机、应用、数据部分的安全控制项,结合安全设计技术要求中的主要防护内容包括用户身份鉴别、主机和应用访问控制、系统安全审计、用户数据完整性保护、用户数据保密性保护、主机入侵、防病毒等措施; 安全区域边界:重点落实等级保护基本要求的网络部分的安全控制项,结合安全设计技术要求中的主要防护内容包括边界访问控制、网络安全审计和完整性保护等;
安全通信网络:重点落实等级保护基本要求的网络和数据部分的安全控制项,结合安全设计技术要求中的主要防护内容包括通信网络安全审计、通信网络数据传输保密性保护、数据传输完整性保护和可信接入保护。
2、安全保障框架
结合等级保护基本要求的整体框架以及安全需求分析的成果,设计安全保障框架如下:
图1:安全保护体系框架
结合网站系同自身的安全需求,应加强对于网站系统的安全风险评估,同时建立配套的安全管理体系和安全技术体系,其中安全管理体系包括安全策略、安全组织和安全运作的相关控制管理;安全技术体系结合等级保护的物理、网络、主机、应用和数据安全,进一步加强系统的软件架构安全、业务流程安全和信息访问安全的控制,确保系统自身的防病毒、防篡改、方攻击能力的提升。
结合网站系统的具体实施,具体的措施部署和网络示意图如下所示:
图2:部署和网络示意图
网站系统信息安全等级保护建设整改方案 篇2
关键词:三甲医院,信息系统,等级保护,测评
1引言
伴随着医院信息化建设的开展,医院对信息系统的依赖越来越大[1,2]。然而,信息系统本身存在技术、管理等安全问题。因此,文章根据国家及行业制定的信息系统安全等级保护相关配套标准[3,4,5],设计了某三级甲等医院信息系统等级保护测评的方案。通过测试手段对信息系统的安全技术措施、安全管理制度进行单项验证和整体性分析,检测信息系统现有的安全保护能力与国家、行业要求之间的差距,为该医院信息化建设的下一步整改提供科学、合理的依据。
2 医院概况
该医院为全国三级甲等综合性医院,医院信息系统的安全保护等级定为三级(S3A3G3)。医院的信息系统包括:市医保、区医保、金保、铁路医保、挂号系统、门诊系统、住院系统、排队叫号系统、检验系统、医学影像系统、病理系统、药房系统、药库系统、OA系统等。医院的网络结构按功能划分为边界接入区、核心交换区、服务器区和办公区4大功能区域,如图2所示。
3 信息系统安全等级保护测评的设计
3.1 信息系统安全等级保护测评流程
测评流程如图1所示。其中,测评准备活动包括等级测评项目启动、信息收集与分析、工具和表单准备。方案编制活动包括测评对象和指标、测评工具接入点、测评内容三者的确定,测评实施手册开发及测评方案编制。现场测评活动包括测评实施准备、现场测评和结果记录、结果确认和资料归还。分析与报告编制活动包括单项测评结果判定、等级测评结论形成、整体测评、测评报告编制、风险分析、测评结果评审[3]。
3.2 测评对象与指标
3.2.1 测评对象
机房、业务应用软件(市医保、区医保、金保、铁路医保、挂号系统、门诊系统、住院系统、排队叫号系统、检验系统、医学影像系统、病理系统、药房系统、药库系统、OA系统等)、业务应用软件服务器的操作系统、网络互联设备(交换机、路由器)的操作系统、安全设备(防火墙)的操作系统、安全管理文档。
3.2.2 测评指标
测评指标包括物理安全等10项指标,而物理安全又包括防盗窃和防破坏、物理位置的选择等子类[5]。
3.3 测评方法与工具
3.3.1 测评方法
(1)本次测评的主要方法包括访谈、检查和测试三种方式。
(1)访谈的主要内容是“安全管理”类的安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理等管理制度。通过详细阅读各项管理制度,并与安全主管、人事负责人、系统建设负责人、资产管理员、运维管理员等,讨论各项制度描述、执行过程中存在疑问的地方。
通过与不同类型的人员讨论的方式体现了访谈的广度,通过对管理制度存在的疑问进行共同探讨研究的方式体现了访谈的深度。
(2)检查是对所有测评指标的功能级文档、机制和活动进行详细彻底的分析、观察和研究。根据获取的数据,证明被测系统当前的安全机制、配置、实现情况是否符合要求。
检查所有测评指标体现了检查内容的广度。详细彻底的分析、观察和研究测评指标的功能级文档、机制和活动的检查方式,体现了检查内容的深度。
(3)测试是通过手工测试、工具扫描、模拟攻击等方式,对被测系统中的主机、网络设备、业务系统,进行功能、安全性等方面的测试。
手工测试、工具扫描、模拟攻击等方式,体现了测试的深度。对主机、网络设备、业务系统进行功能、安全性等方面的测试,体现了测试的广度。
(2)风险分析方法
测评项目依据安全事件可能性和安全事件后果,对信息系统面临的风险进行分析。分析过程包括:
(1)判断医院信息系统的安全保护能力缺失(等级测评结果中的部分符合项和不符合项)被威胁的时候,利用导致安全事件发生的概率,可能性的取值范围为高、中和低。
(2)判断安全事件对信息系统业务信息安全和系统服务安全造成的影响程度。影响程度取值范围为高、中和低。
(3)综合过程(1)和(2)的结果,对信息系统面临的风险进行汇总和分等级。风险等级的取值范围为高、中和低。
(4)结合信息系统的安全保护等级,对风险分析结果进行评价,即对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的风险。
3.3.2 测评工具
测评的信息系统为三级信息系统。根据三级信息系统的测评强度要求,在测试的广度上,应基本覆盖所有的安全机制,在数量、范围上可以抽样;在测试的深度上,应执行功能测试和渗透测试。功能测试可能涉及机制的功能规范、高级设计和操作规程等文档。渗透测试可能涉及机制的所有可用文档,并试图进入信息系统等。因此,对其进行测评,应涉及到漏洞扫描工具、渗透测评工具集等多种测试工具:
(1)Nessus,是目前全世界使用人数最多的集系统漏洞扫描与分析一体的软件。
(2)绿盟远程安全评估系统,它能够实现漏洞预警、漏洞检测、风险管理、漏洞修复和漏洞审计等功能。绿盟科技NSFOCUS安全小组到目前为止已经独立发现了40多个知名厂家的漏洞,绿盟科技维护着全球最大的中文漏洞知识库。
3.4 测评内容与实施
等级测评的现场实施过程由单元测评、工具测试和整体测评三部分构成。
3.4.1 单元测评
对应各安全控制点的测评称为单元测评。其包括物理安全测评等10个测评任务[5]。因篇幅有限,这里只列举物理安全测评。
(1)物理安全测评
物理安全测评通过访谈和检查方式测评信息系统的物理安全保障情况,主要涉及对象为信息系统所在的机房。
(2)物理安全测评内容
物理安全层面测评内容涉及物理位置的选择等10个安全子类。而物理位置测评指标包括:
(1)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
(2)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
(3)物理安全测评实施
物理安全测评实施方法及过程[5]:
(1)文档查阅与分析。测评人员对测评委托放提交的物理安全相关文档(含制度、记录等)等进行查看和分析,并记录相关证据。
(2)机房实地观测。测评人员在配合人员的陪同下对机房的安全措施进行现场观测,并记录相关证据。
(3)人员访谈。测评人员根据文档查阅和实地观测的测评结果,针对部分不确定项目访谈相关人员,获取补充证据。
(4)结果确认。测评人员向配合人员提交物理安全测评的初步结果记录。测评双方对初步结果进行下一步的分析和修订后,认可形成物理安全测评结果记录。
(4)物理安全测评配合需求
物理安全测评配合项及需求说明[5]:
(1)配合人:机房安全管理员陪同测评人员出入机房,并提供相关的文档(如机房出入人员记录、空调设备等基础设施的维护记录等)。
(2)安全权:测评人员在测评实施期间出入机房的授权许可。
(3)办公环境:会议室。
3.4.2 工具测试
通过漏洞扫描工具、应用安全扫描工具,对主机、应用业务系统进行扫描,找出其存在的安全隐患。
3.4.3 工具接入点
针对被测系统的网络边界和抽查设备、主机及业务应用系统的情况,需要在被测系统及其互联网络中设置两个工具接入点JA、JB。工具测试接入点示意图如图2所示。“接入点”标注表示进行工具测试时,需要从该接入点接入,对应的箭头路线表示工具测试数据的主要流向。
(1)JA接入点工具测试过程描述:
(1)在JA接入点的边界区域互联网、卫生专网、市医保、南铁医保等,为扫描工具提供网络接入接口。
(2)为扫描工具分配相应网段的IP地址,在JA点接入扫描工具,通过防火墙、核心交换机,对服务器区的HIS服务器、PACS服务器等,进行漏洞扫描及应用安全扫描。
(2)JB接入点工具测试过程描述:
(1)在JB接入点抽取一个办公区接入交换机,为扫描工具提供网络接入接口。
(2)为扫描工具分配两个办公区网段的IP地址,在JB点接入扫描工具,通过接入层交换机、汇聚层交换机、核心交换机,对服务器区的HIS服务器、PACS服务器等,进行漏洞扫描及应用安全扫描。
3.5 整体测评
系统整体测评主要是在单项测评的基础上,通过测评分析安全控制点间、层面间和安全区域间存在的关联作用,在整体结构上是否合理、简单、有效,验证和分析不符合项是否影响系统的安全保护能力,测试分析系统的整体安全性是否合理[3]。
3.5.1 控制点间安全测评
在同一功能区域的同一层面内,其他安全控制点是否存在对该安全控制点具有补充作用(如安全审计、物理访问控制、防盗窃及抗抵赖等)。另外,分析是否存在其他的安全措施或技术与该要求项具有相似的安全功能。
3.5.2 层面间安全测评
层面间的安全测评,重点分析其他层面上功能相同或相似的安全控制点是否对该安全控制点存在补充作用(如应用层加密与网络层加密、主机层与应用层上的身份鉴别等),以及技术与管理上各层面的关联关系(如主机安全与系统运维管理、应用安全与系统运维管理等)。
3.5.3 区域间安全测评
区域间安全测评,重点分析系统中访问控制路径(如不同功能区域间的数据流流向和控制方式),是否存在区域间安全功能的相互补充。
4 结论
通过对三级甲等医院的信息系统进行安全等级保护测评方案的设计,与国家及行业的标准、制度进行比较,得出该医院信息系统基本符合第三级安全保护的要求。但存在如机房管理不规范、工作人员信息安全意识薄弱等问题。文章设计的信息系统等级保护测评方法,具有较高的可操作性,为该医院信息化建设的整改提供依据,可作为其他医院测评的借鉴。
参考文献
[1]郎漫芝,王晖,邓小虹.医院信息系统信息安全等级保护的实施探讨[J].计算机应用与软件,2013,1:206-208.
[2]徐璟璟.医院信息系统安全等级保护[J].信息与电脑(理论版),2015(8):91,93.
[3]GB/T28449-2012.信息安全技术信息系统安全等级保护测评过程指南[S].2012.
[4]GB/T22240-2008.信息安全技术信息系统安全等级保护定级指南[S].2008.
信息系统安全等级保护研究与实践 篇3
安全防护需求
《信息安全技术一信息系统安全等级保护基本要求》(GB/T22239-2008)明确了基本要求,电网作为重点行业信息安全领域,充分结合自身安全的特殊要求,在对国家标准消化基础上进行深化、扩充,将二级系统技术要求项由79个扩充至134个,三级系统技术要求项由136个扩充至184个,形成了企业信息系统安全等级保护要求,见表1。
安全防护架构与策略
按照纵深防御的思想设计安全防护总体架构,核心内容是“分区、分级、分域”,如图1所示。分区就是按照《电力二次系统安全防护规定》(电监会5号令)将信息系统划分为生产控制大区和管理信息大区两个相对独立区域进行安全防护。分级就是将部署于大区的各系统分别确定安全保护级别实现等级化防护。分域就是将部署于大区的各系统,依据系统级别及业务系统类型划分不同的安全域,实现不同安全域的独立化、差异化防护。总体上形成了“区、级、域”多梯次大纵深的安全防护构架。
生产控制大区和管理信息大区的系统特性不同,安全防护策略也不尽不同。本文仅描述管理信息大区的安全防护策略。管理信息大区部署管理类业务的系统,安全防护遵循以下策略:
(1)双网双机。将管理信息大区网络划分为信息内网和信息外网,内外网间采用逻辑强隔离装置进行隔离,内外网分别采用独立的服务器及桌面主机;
(2)分区分域。将管理信息大区的系统,依据定级情况及业务系统类型,进行安全域划分,以实现不同安全域的独立化、差异化防护;
(3)等级防护。管理信息系统以实现等级保护为基本出发点进行安全防护体系建设,并参照国家等级保护基本要求进行安全防护措施设计;
(4)多层防御。在分域防护的基础上,将各安全域的信息系统划分为边界、网络、主机、应用四个层次进行安全防护设计,以实现层层递进,纵深防御。
安全防护设计
信息系统安全防护按照边界安全防护、网络环境安全防护、主机系统安全防护、应用安全防护四个层次进行防护措施设计。
(一)边界安全防护
边界安全防护目标是使边界的内部不受来自外部的攻击,同时也用于防止恶意的内部人员跨越边界对外实施攻击,或外部人员通过开放接口、隐通道进入内部网络;在发生安全事件前期能够通过对安全日志及入侵检测时间的分析发现攻击企图,安全事件发生后可以提供入侵事件记录以进行审计追踪。
边界安全防护关注对进出该边界的数据流进行有效的检测和控制,有效的检测机制包括基于网络的入侵检测(IDs)、对流经边界的信息进行内容过滤,有效的控制措施包括网络访问控制、入侵防护、虚拟专用网(VPN)以及对于远程用户的标识与认证/访问权限控制。上述边界安全防护机制与其它层面安全措施可协同使用以提供对系统的防护。
信息系统边界归为信息外网第三方边界、信息内网第三方边界、信息内外网边界、信息内网纵向上下级单位边界及横向域间边界五类,安全防护设计见表2
(二)网络安全防护
网络环境安全防护的目标是防范恶意人员通过网络对应用系统进行攻击,同时阻止恶意人员对网络设备发动的攻击,在安全事件发生前可以通过集中的日志审计、入侵检测事件分析等手段发现攻击意图,在安全事件发生后可以通过集中的事件审计系统及入侵检测系统进行事件跟踪、事件源定位以发现恶意人员位置或及时制定相应的安全策略防止事件再次发生。
网络安全防护面向企业整体支撑性网络,以及为各安全域提供网络支撑平台的网络环境设施,网络环境具体包括网络中提供连接的路由器、交换设备及安全防护体系建设所引入的安全设备。安全防护设计见表3。
(三)主机安全防护
主机系统安全的目标是确保业务数据在进入、离开或驻留服务器时保持可用性、完整性和保密性,采用相应的身份认证、访问控制等手段阻止未授权访问,采用主机防火墙、入侵检测等技术确保主机系统的安全,进行事件日志审核以发现入侵企图,在安全事件发生后通过对事件日志的分析进行审计追踪,确认事件对主机的影响以进行后续处理。
主机系统安全防护包括对服务器及桌面终端的安全防护。服务器包括业务应用服务器、网络服务器、WEB服务器、文件与通信等;桌面终端是作为终端用户工作站的台式机与笔记本计算机。安全防护设计见表4。
(四)应用防护
应用安全防护的目标是保证应用系统自身的安全性,以及与其他系统进行数据交互时所传输数据的安全性;在安全事件发生前发现入侵企图或在安全事件发生后进行审计追踪。
应用安全防护包括对于应用系统本身的防护、用户接口安全防护和对于系统间数据接口的安全防护。安全防护设计见表5。
安全防护实施
信息系统安全等级保护实施涉及到系统定级、现状测评、安全建设改造方案编写及实施、等保符合度测评、备案等工作。依据《信息安全技术一信息系统安全等级保护定级指南》(GB/T22240-2008)开展定级工作,定级结果报政府主管部门审批确认。现状测评委托专业机构进行,测评结果作为安全建设方案编写的主要依据。安全域是安全防护总体架构的关键环节,是方案制定的关键内容之一。
管理信息大区划分为内网和外网,内网部署为公司内部员工服务的系统,外网部署对外服务的系统。安全域是由一组具有相同安全保障要求、并相互信任的系统组成的逻辑区域,同一安全域的系统共享相同的安全保障策略。按照等级保护的思想,安全域按照“二级系统统一成域,三级系统独立分域”原则划分。将等级保护较高的三级系统按独立的安全域进行安全防护,以实现三级系统的独立安全防护,将所有二级系统作为一个安全域进行安全防护可降低成本。定级和安全域划分见表6。
限于篇幅,系统建设改造方案细节、等保符合度测评等内容不在此赘述。
网站系统信息安全等级保护建设整改方案 篇4
一、项目名称、性质
(一)名称:信息系统安全等级保护备案
(二)性质:非行政许可
二、设定依据
二OO七年六月二十二日公安部、国家保密局、国家密码管理局、国务院信息化工作办公室公通字[2007]43号印发《信息安全等级保护管理办法》第十五条规定:
已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
三、实施权限和实施主体
根据《信息安全等级保护管理办法》第十五条规定,实施主体和权限为: 隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续;
跨省或者全国统一联网运行的信息系统在自治区一级运行、应用的分支系统及各区直单位运营、使用的信息系统,应当向自治区公安厅网络警察总队备案。
跨省或者全国统一联网运行的信息系统在各市运行、应用的分支系统及各市直单位运营、使用的信息系统,应当向市级公安机关网络警察支队备案。
四、行政审批条件
无。
五、实施对象和范围
根据《信息安全等级保护管理办法》第十五条的规定,实施对象和范围是:不涉及国家涉密信息系统的运营使用单位、信息系统主管部门。
六、申请材料
(一)、《信息系统安全等级保护备案表》;
(二)、《信息系统安全等级保护定级报告》;
(三)根据《信息安全等级保护管理办法》第十六条的规定,第三级以上信息系统应当同时提供以下材料:(1)系统拓扑结构及说明;
(2)系统安全组织机构和管理制度;(3)系统安全保护设施设计实施方案或者改建实施方案;(4)系统使用的信息安全产品清单及其认证、销售许可证明;
(5)测评后符合系统安全保护等级的技术检测评估报告;(6)信息系统安全保护等级专家评审意见;
(七)主管部门审核批准信息系统安全保护等级的意见。(提交复印件的应交验原件,复印件规格统一采用A4纸,以上提交材料均为一份)。
七、办结时限
(一)法定办结时限:10个工作日。
(二)承诺办结时限:10个工作日。
八、行政审批数量 无数量限制。
九、收费项目、标准及其依据
不收费。
十、办理时间
夏令时:早上8:30-12:00,下午15:00-18:00
冬令时:早上8:30-12:00,下午14:30-17:30
信息系统安全等级保护备案流程图.doc 附件1.行政审批流程图
2.申请书示范文本
网站系统信息安全等级保护建设整改方案 篇5
1.总体准备:
系统网络拓扑图,要求与实际系统一致,及时更新
上机检查(抽查):核心网络设备(交换机、路由、防火墙)、服务器主机
2.检查重点:
身份鉴别:复杂度,唯一性,非法登录次数,超时处理措施
访问控制:网络边界部署访问控制设备,控制粒度:网段级、单个用户,修
改默认账户,删除多余过期账户,权限分离,最小权限原则,尽量避免Telnet,限制登录网络设备网段
入侵防范:网络层:网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
主机:最小安装(包括系统服务)的原则,及时更新。
安全审计:网络设备运行状况、网络流量、用户行为等进行日志记录;内容:
事件日期、时间、发起者信息、类型、描述和结果等,审计记录无法删除、修改或覆盖。
恶意代码防范:及时更新,统一管理(规定和记录)
备份和恢复:对重要信息进行备份,关键网络设备、通信线路和数据处理系
统硬件冗余
应用系统容错性:输入有效性检查:数据格式或长度,故障和恢复
3.相关记录*
设备运行情况记录,定期维护核查记录、更新升级记录、备份和介质管理记录、安全事件记录等。
文档准备清单(G2管理)
1. 总体性工作文件:信息安全等级保护工作的文件、信息安全工作规划或实施方案 书面明确安全管理机构(信息安全领导小组,责任部门,人员),落实信息安全责任 信息安全建设规划(按照国家标准或行业标准建设安全设施,落实安全措施,行业、部门信息安全等级保护行业标准规范)
2. 定级、备案材料(新建信息系统是否在规划、设计阶段确定安全保护等级并备案)
3. 基本安全管理制度
□机房安全管理制度
□网络安全管理制度
□系统运行维护管理制度
□系统安全风险管理制度
□资产和设备管理制度
□数据及信息安全管理制度
□用户管理制度
□备份与恢复管理制度
□密码管理制度
□安全审计管理制度
□岗位和人员管理制度
□技术测评管理制度(包括监督措施)
□信息安全产品采购、使用管理制度
□安全事件报告和处置管理制度,信息系统安全应急处置预案
□教育培训制度
□自查和整改的规定
4. 岗位职责说明书、责任承诺书
□系统管理员□网络管理员□安全管理员□安全审计员
5. 记录文件:
□定期组织开展应急处置演练
□定期开展信息安全知识和技能培训
□自查和整改的方案和记录
(□等级测评监督记录)
6. 资质证明:
信息安全产品、生产单位相关证明:
□产品生产单位营业执照
□产品版权或专利证书
□产品或生产单位的相关声明或证明材料
□计算机信息系统安全专用产品销售许可证
(国外信息安全产品的,是否经主管部门批准,并请有关单位对产品进行专门技术检测)测评机构相关证明:
□营业执照、声明、证明及资质材料等
□保密协议
□技术检测方案
□检测报告
□安全整改
物理准备清单(2级)
1.文档准备:
机房工程验收文件
机房出入记录表
巡检记录、温湿度记录表
来访人员进入机房的规定、审批流程和记录
防盗报警系统验收报告
避雷装置验收报告
(火灾自动报警系统等其他防护系统的验收报告、停电等事件记录、定期核查维护记录等)
2.硬件及人员:
专人值守
主要设备放置在机房内,并固定,有标识
通信线缆铺设在隐蔽处,地板下,管道内
介质分类标识,单独存储
防盗报警系统
避雷装置,地线
灭火设备和火灾自动报警系统
接地防静电措施
温、湿度自动调节设施,温湿度可监控
稳压器和过电压防护设备
网站系统信息安全等级保护建设整改方案 篇6
布置会情况总结
为贯彻落实省教育厅、公安厅《关于印发<湖南省教育信息系统安全等级保护工作实施方案>的通知》(湘教发
[2011]33号)要求,我厅于2011年9月25日-27日在长沙市留芳宾馆组织召开了全省教育信息系统安全等级保护工作布置会暨工作培训。
出席会议的领导有:教育部信息中心曾德华总工程师;省教育厅王键副厅长;省公安厅网技总队刘新平副总队长;省教育厅办公室、信息化办幸勇副主任;湖南省教育管理信息中心唐东斌主任;湖南省教育管理信息中心杨晓北书记;省教育厅维稳办周韶峰同志;省教育管理信息中心黄国圣总工程师;省公安厅网技总队姜颖军支队长等。
出席会议代表有:全省14个市州教育局、105所高等学校、16个教育厅委直属单位共222位单位等保工作负责人和技术员参加会议及培训。
“教育信息化作为国家信息化建设的重要组成部分,在教育改革和发展中的战略地位日益凸显,湖南省„四化两型‟战略中信息化更是发展重点之一。”会上,王键副厅长就如何加
强网络与信息安全工作提出3点意见,他要求各级教育行政部门和学校要高度重视网络信息安全建设,进一步增强做好网络与信息安全工作的责任感和使命感;要做好组织保障、人员保障、经费保障,切实做好信息系统安全定级与备案工作,认真落实信息系统安全建设整改,开展等级测评工作,做好组织管理和技术支撑服务工作,以信息安全等级保护工作为抓手,扎实推进网络与信息安全工作;要端正态度,增强自觉性,强化培训学习并学以致用,努力提高网络与信息安全理论技术水平。
建立完善的教育网络信息安全管理体系,建立教育网络信息安全技术保障体系,这是湖南省开展教育信息系统等级保护工作的两条主要思路,届时省教育厅将围绕这两个方面全面提升教育公共服务能力和教育管理水平。这项工作由省维稳办负责统筹管理、协调、指导,省教育管理信息中心负责组织、指导、监管与应急处置全省教育系统网络信息安全工作。
在《湖南省教育信息化发展规划(2011-2015)》中对教育网络信息安全提出了明确任务目标,核心是围绕国家信息安全等级保护制度的建设要求,完善网络信息安全基础制度,建立以教育电子身份认证为核心的网络信任体系,基本建成省、市州、县市区三级教育网络信息安全监控体系。
会上播放了国家信息系统安全等级保护工作宣传片。教
育部信息中心总工程师、教育部信息化推进办副主任曾德华回顾了教育信息安全等级保护工作开展情况以及所取得的成果。省公安厅网技总队副总队长刘新平介绍信息安全等级保护工作的发展历程,要求各地各校高度重视,切实将信息安全等级保护工作落到实处。省教育厅维稳办周韶峰同志透过7个案例分析了全省教育系统安全形势,并总结教训,提出个人建议。省教育管理信息中心总工程师黄国圣则结合当前我国信息安全等级保护制度建设相关政策提出下一步工作方向和重点。会议由省教育管理信息中心主任唐东斌主持。
网站系统信息安全等级保护建设整改方案 篇7
关键词:等级保护,管理系统,测评,信息安全
0 引言
目前我国信息化发展迅猛, 国家非常重视信息安全工作, 信息安全等级保护测评作为信息安全工作的重要内容已经在全国范围内全面开展。
信息安全等级保护测评理论研究日趋成熟, 测评手段和方法日渐完备, 相关资料比较充分, 但是目前在等级保护测评工作中也遇到了一个问题, 那就是协助测评工作的辅助工具很少, 满足安全服务需求的信息安全等级保护管理系统还始终处于空白状态, 这就导致了在测评过程中不得不将大量的人力、精力投入到测评管理、资产采集、过程文档的生成、现场采集数据的录入, 测评数据的分析、报告的编写过程中。
信息安全等级保护管理系统正是要解决这些问题, 将测评过程规范化, 以信息安全等级保护测评方法为基础, 构建面向信息系统的安全测评工具, 建立一个规范、系统、全面的信息安全等级保护测评的工作支撑平台, 使测评工作系统化、规范化, 从而提高信息系统测评的准确性和自动化程度, 最大限度地降低人力资源, 节省人工时间, 提高工作效率。
1 信息安全等级保护管理系统的建设原则
信息安全等级保护管理系统的建设坚持以统筹规划、资源共享、融合平台、突出特色、可持续发展的原则, 旨在建立信息系统安全测评专业化服务体系, 形成规范化服务模式。信息安全等级保护管理系统的设计需要遵循以下原则。
(1) 统筹规划原则
全面布局, 遵循统一规划、统一标准、统一指导, 分步实施、分级负担、分级管理, 网络互联、信息共享的原则, 为国家重要信息系统提供安全咨询、等级保护测评、安全建设整改、安全运营等专业化信息安全服务, 为内部建立完善的业务管理体系, 形成统一的业务管理流程。
(2) 密切合作原则
紧密协作、集中优势、整合资源。信息安全测评机构应与公安机关、安全厂商、科研院所通力配合与紧密协作, 着力打造符合信息化要求的信息安全等级保护管理系统。
(3) 可持续发展原则
坚持服务为主, 可持续发展。要顺应市场发展需要, 不断完善管理体制、创新理念和运营机制, 使信息安全等级保护管理系统建设完成后, 要具备可持续发展的能力, 能够自主、持续地提供信息安全服务。
(4) 先进性原则
系统设计要充分考虑未来技术发展的需要, 要广泛吸取国内外的成功经验, 最大限度地采用当今世界先进、成熟、有发展前景的技术。这不仅包括数据库所选用的结构、数据所采用的格式和分类方法等开发内容的先进性, 也包括开发平台、操作系统、编程模式等具体开发技术的先进性, 还有支持外包服务的业务流程方面功能实现的先进性。由此建设的系统才能随着未来科学技术的发展而不断地平稳升级, 使系统保持强大生命力。
(5) 多项扶持原则
坚持国家、地方和企业共同建设。通过国家、省资金引导, 带动地方、企业资金和资源的投入, 推动国家和地方资源共享与合作发展, 实现资源利用效益最大化。
(6) 设计独立原则
坚持“功能和数据相分离、逻辑和功能相分离、前台表示和后台实现相分离”的设计原则。
(7) 扩展性原则
系统设计要充分考虑到技术发展、用户变化、功能增加所导致的需求变更, 并要考虑到将来与其它相关系统的数据兼容和共享, 需要具备较强的系统容量扩展能力, 具备支持多种应用服务的能力, 可根据应用发展的需要进行灵活、快速的调整。
(8) 安全性原则
信息安全等级保护管理系统必须具有较高的安全性和可靠性。对系统结构、网络系统、服务器系统、存储系统、备份系统等方面须进行高安全性和可靠性设计, 并通过完善的管理机制和控制手段, 提高系统的防病毒、防入侵能力, 建立一个完善的、能够阻止被国内外反动、敌对分子恶意攻击和非法利用应用系统。
(9) 质量监管原则
以严格的项目管理体制为保证, 建立完善的项目管理体系, 加强项目的时间、范围、费用、人力资源、沟通、风险、质量、采购等各领域的管理, 严格控制变更。各级领导充分重视, 采取专家咨询、工程监理和测试验收制度, 从各方面对系统建设进行全面的监控和管理, 以保证质量和进度。
(10) 资源整合原则
在系统的设计建设上, 应考虑系统运行使用后的维护工作, 建立维护部门, 确定进行维护工作所应遵循的原则和规范化的过程, 建立一套适用于实际测评过程的文档及管理措施, 保证信息安全等级保护管理系统安全、可靠的运行。
2 信息安全等级保护管理系统的框架
信息安全等级保护管理系统对外实现产品级的信息安全测评服务, 对内形成高效、便捷的业务管理体系。系统以安全测评平台为核心, 包括安全测评平台、安全管理平台、信息采集系统等三部分。三个系统之间存在一定的联系, 同时三个子系统又可以单独的工作。如图1所示。
安全管理平台系统, 主要的任务是维护测评机构的日常测评项目的事务管理, 注重业务管理, 同时可以对安全测评平台的数据进行监控和统计分析。
安全测评平台系统, 主要任务是完成测评项目的具体测评工作, 测评平台测试的项目, 可以通过安全管理平台提供, 也可以在安全测评平台中添加一个测试项目, 这样测评平台既可以依托于管理平台工作, 也可以独立对项目进行测评工作。
信息采集系统, 主要的任务是负责为安全测评工作提供所需要的安全信息, 生成各类现场操作单, 并将现场采集的信息录入到安全测评平台。工具集的工作可以依赖测评平台工作, 也可以根据需求手动添加要提取的数据项。
客户通过网络接口提交业务申请, 并提交相应的材料。测评机构对提交的资料进行形式化审查, 生成测评合同。项目正式启动, 生成测评方案。
3 信息安全等级保护管理系统的功能结构
信息安全等级保护管理系统, 是一套综合性的信息化系统。主要完成被测项目相关资料的归档管理、测评流程的自动化计算、生成测评过程中各个阶段的相关文档等工作。
3.1 系统测评模块
系统测评模块是整个系统的核心功能模块, 完成等级保护测评工作的整个流程。
(1) 准备阶段:主要完成测评项目的前期准备工作。该阶段的任务, 包括任务分配、系统调查、系统审查、工具使用、测评方案、测评准备阶段的任务, 可以在任务分配的时候分配给相应的测评工程师。
(2) 测评阶段:主要完成测评流程工作。该阶段包括, 资产识别分析、已有控制措施、脆弱性识别分析、风险分析、整改建议、测评报告。该阶段可以在任务分配的时候分配给测评工程师。
(3) 质量控制:质量控制模块, 主要是项目负责人和质量监督员的专属权限模块, 测评工程师没有权限进入该模块, 不能进行阶段审批和报告审批等工作。
(4) 评价管理:评价管理, 主要是项目负责人和质量监督员对该项目以及项目参与人员的评价信息。此处的项目评价, 只针对当前项目。
3.2 项目管理模块
项目管理模块, 主要是对整个系统中的项目进行管理。包括添加、修改、删除项目, 以及项目的统计分析工作。
(1) 项目管理:完成项目的添加、修改、删除等项目管理工作。包括管理测评项目的测评流程、项目测评包含的测评阶段, 需要审核的阶段等。
(2) 项目统计:对已有项目的统计工作, 可以Excel等格式导出统计的结果。
3.3 知识库管理模块
维护测评项目中要用到的各种基础库的管理。包括脆弱性库、威胁库、设计项目库, 以及脆弱性与威胁的关联库管理, 还可以对脆弱性库、威胁库进行编辑和内容查询。系统的知识库与测评项目应分离, 可以任意修改知识库的内容而不影响之前已经完成的测评项目。
3.4 系统管理模块
系统管理模块, 完成系统的基础信息维护, 实现对单位基础信息的管理、系统使用权限的管理以及系统审计记录管理等。
(1) 用户信息:当前登录用户个人信息的维护, 对系统登录密码等信息的管理。
(2) 基础信息管理:对测评机构基础信息进行管理, 包括机构资质、人员、资产等信息的管理, 还支持被测单位、委托单位的信息进行管理。
(3) 权限管理:在整个系统运行维护过程中, 对系统使用权限以及项目测评权限进行管理。
(4) 系统审计:对系统中所有用户使用系统的记录进行审计, 可以对这些日志记录进行维护, 包括查询、删除等操作。
4 推广信息安全等级保护管理系统的意义
信息安全等级保护测评工作的核心是建立一套科学公正的指标体系和测评管理体系, 信息安全等级保护管理系统正是实现这一目标的有利辅助工具, 该系统的建设与推广主要有如下几点意义:
(1) 实现了信息系统等级保护测评的网络化集成管理, 利用管理系统来完成信息安全等级保护测评工作, 提高工作效率, 简化工作要素。
(2) 研究检测测评技术、规范和方法, 为信息系统和安全产品的测评、测试、选型提供科学、客观的标准。
(3) 协助政府部门发挥监管职能, 规范信息安全测评市场。
(4) 提供软件代码级、模块级、产品级的安全检测能力, 提供针对主流信息安全产品的标准符合性测评服务, 进一步加强对主流信息安全产品的功能、性能以及安全性的检测服务能力。
(5) 建立信息系统测评资源库, 提出科学、规范、合理的测评资源组织方式。
(6) 形成标准规范式的制定模式, 促进适应信息安全保障体系建设需求的信息安全标准体系的建立。
(7) 促进信息安全测评服务质量与技术能力的提升, 推进我国信息化建设进程。
5 结束语
信息安全等级保护管理系统不仅适用于测评机构的日常测评管理工作, 为重要信息系统提供安全测评服务, 提高信息安全技术服务能力, 为社会提供优质的信息安全专业化服务, 也可用于检查机构的检查评估和各单位进行的自测评, 从而提高信息系统的安全性, 降低系统遭受安全威胁的可能性。
信息安全等级保护管理系统的建设与推广不仅可以改善我国信息系统安全等级保护测评的技术能力与手段, 充实信息安全相关资源库, 为政府、企事业单位提供信息安全自动化管理工具, 还可以填补国内在信息安全测评服务体系上管理和技术相结合的空白, 有效促进等级保护工作的顺利开展, 进一步落实国家关于信息安全等级保护的相关要求, 开创信息安全测评的新局面。
参考文献
[1]肖国煜.信息系统等级保护测评实践[J].信息网络安全, 2011 (7) :86-88.
[2]王亚东.信息安全管理体系与等级保护的关系研究[J].北京电子科技学院学报, 2012, 20 (2) :26-30.
[3]张都乐.信息系统等级保护实施方案研究与分析[J].网络安全技术与应用, 2012 (8) :5-7.
[4]郭新安.从安全等级保护的角度看信息系统制度建设[J].信息系统工程, 2012 (6) :67-69.
[5]肖国煜.信息系统等级保护测评实践[J].信息网络安全, 2011 (7) :86-88.
2014网站信息安全整改措施 篇8
整改措施
1、对技术人员工作存在的松懈,没有定期对所有服务器进行全方位的漏洞扫描、及时进行重要系统的补丁修复的问题。
整改措施:加强对技术人员思想的教育,安全工作没小事,时时刻刻都得注意,每天安排专人对服务器进行检查。
2、对异常的、突发性的安全情况,处理不够及时,没有进行第一时间处理的问题。
整改措施:对异常的、突发性的安全情况,技术人员有时没有认识到问题的严重性,造成没有及时处理,还是对技术人员进行强调工作责任心,并根据事情的严重程度给予处罚。
3、对没有做好机房人员出入登记工作,有时甚至不进行登记的问题。整改措施:安排专人进行机房人员出入登记工作,只要是外来人员来参观考察或维修系统的一律进行登记。配备专用外来人员机房出入登记薄。
4、对服务器上的数据备份工作没有做好,没有做到本地和异地双备份保存的问题。
整改措施:只进行了本地备份,对异地备份问题,已购买大容量的移动硬盘进行备份。
信息安全等级保护工作计划 篇9
信息安全等级保护工作实施方案
为加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进我校信息化建设。根据商教发【2011】321号文件精神,结合我校实际,制订本实施方案。
一、指导思想
以科学发展观为指导,以党的十七大、十七届五中全会精神为指针,深入贯彻执行《信息安全等级保护管理办法》等文件精神,全面推进信息安全等级保护工作,维护我校基础信息网络和重要信息系统安全稳定运行。
二、定级范围
学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。
三、组织领导
(一)工作分工。定级工作由电教组牵头,会同学校办公室、安全保卫处等共同组织实施。学校办公室负责定级工作的部门间协调。安全保卫处负责定级工作的监督。
电教组负责定级工作的检查、指导、评审。
各部门依据《信息安全等级保护管理办法》和本方案要求,开展信息系统自评工作。
(二)协调领导机制。
1、成立领导小组,校长任组长,副校长任副组长、各部门负责人为成员,负责我校信息安全等级保护工作的领导、协调工作。督促各部门按照总体方案落实工作任务和责任,对等级保护工作整体推进情况进行检查监督,指导安全保密方案制定。
2、成立由电教组牵头的工作机构,主要职责:在领导小组的领导下,切实抓好我校定级保护工作的日常工作。做好组织各信息系统运营使用部门参加信息系统安全等级保护定级相关会议;组织开展政策和技术培训,掌握定级工作规范和技术要求,为定级工作打好基础;全面掌握学校各部门定级保护工作的进展情况和存在的问题,对存在的问题及时协调解决,形成定级工作总结并按时上报领导小组。
3、成立由赴省参加过计算机培训的教师组成的评审组,主要负责:一是为我校信息与网络安全提供技术支持与服务咨询;二是参与信息安全等级保护定级评审工作;三是参与重要信息与网络安全突发公共事件的分析研判和为领导决策提供依据。
四、主要内容、工作步骤
(一)开展信息系统基本情况的摸底调查。各部门要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。
(二)初步确定安全保护等级。各使用部门要按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草定级报告。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
(三)评审。初步确定信息系统安全保护等级后,上报学校信息系统安全等级保护评审组进行评审。
(四)备案。根据《信息安全等级保护管理办法》,信息系统安全保护等级为第二级以上的信息系统统一由电教组负责备案工作。
五、定级工作要求
(一)加强领导,落实保障。各部门要落实责任,并于12月15日前将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》上报九年制学校。
(二)加强培训,严格定级。为切实落实评审工作,保证定级准确,备案及时,全面提高我校基础信息网络和重要信息系统的信息安全保护能力和水平,保证定级工作顺利进行,各部门要认真学习《信息安全等级保护管理办法》、《文保处教育系统单位信息分级培训材料》、《信息系统安全保护等级定级指南(国标)》、《信息系统安全等级保护基本要求(报批)》、《信息系统安全等级保护实施指南(报批)》等材料。
(三)积极配合、认真整改。各部门要认真按照评级要求,组织开展等级保护工作,切实做好重要信息系统的安全等级保护。
(四)自查自纠、完善制度。此次定级工作完成后,请各部门按照《信息安全等级保护管理办法》和有关技术标准,依据系统所定保护等级的要求,定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查,并不断完善安全管理制度,今后,若信息系统备案资料发生变化,应及时进行变更备案篇二:医院信息系统安全等级保护工作实施方案 医院信息系统安全等级 保护工作实施方案
医院信息系统是医疗服务的重要支撑体系。为确保我院信息系统安全可靠运行,根据公安部等四部、局、办印发的《关于信息安全等级保护工作的实施意见》公通字【2004】66号、《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》卫办综函【2011】1126号、卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知 卫办发【2011】85号和省市有关文件精神,并结合我院信息化建设的工作实际,特制定《德江县民族中医院信息系统安全等级保护工作实施方案》确保我院信息系统安全。
一、组织领导 组 长: 副组长: 组 员:
领导小组办公室设在xx科,由xx同志兼任主任,xx等同志负责具体工作。
二、工作任务
1、做好系统定级工作。定级系统包括基础支撑系统,面向患者服务信息系统,内部行政管理信息系统、网络直报系统及门户网站,定级方法由市卫生局统一与市公安局等信息安全相关部门协商。
2、做好系统备案工作。按照市卫生系统信息安全等级保护划分定级要求,对信息系统进行定级后,将本单位《信息系统安全等级保护备案表》《信息系统定级报告》和备案电子数据报卫生局,由卫生局报属地公安机关办理备案手续。
3、做好系统等级测评工作。完成定级备案后,选择市卫生局推荐的等级测评机构,对已确定安全保护等级信息系统,按照国家信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等国家标准开展等级测评,信息系统测评后,及时将测评机构出具的《信息系统等级测评报告》向属地公安机关报备。
4、完善等级保护体系建设做好整改工作。按照测评报告评测结果,对照《信息系统安全等级保护基本要求》(gb/t22239-2008)等有关标准,结合医院工作实际,组织开展等级保护安全建设整改工作,具体要求如下:
三、工作要求
1、建立安全管理组织机构。成立信息安全工作组,网络办负责人为安全责任人,拟定实施医院信息系统安全等级保护的具体方案,并制定相应的岗位责任制,确保信息安全等级保护工作顺利实施。
2、建立健全信息系统安全管理制度。根据信息安全等级保护的要求,制定各项信息系统安全管理制度,对安全管理人员或操作人员执行的重要管理操作建立操作规程和执行记录文档。
3、制定保障医疗活动不中断的应急预案。应急预案是安全等级保护的重要组成部分,按可能出现问题的不同情形制定相应的应急措施,在系统出现故障和意外且无法短时间恢复的情况下能确保医疗活动持续进行。
4、严格执行安全事故报告和处置管理制度。医院信息系统所有使用或管理人员均有责任发现和报告信息安全可疑事件,应视情况及时以口头或书面的形式报告院网络办。对重大信息网络安全事件、安全事故和计算机违法犯罪案件,应在24小时内向公安机关报告,并保护好现场。篇三:2013年信息安全等级保护工作汇报 2013年信息安全等级保护工作汇报
一、加强领导
二、完善制度
为贯彻落实全市加强和改进互联网建设与管理工作会议和市委办公室、市政府办公室《扬州市深入推进信息安全等级保护工作的实施意见》(扬办发[2012]57号)文件精神,对集团信息系统安全等级保护工作做出了具体的要求,根据等级保护要求,开展了信息安全制度的前期完善工作。陆续制定了“增加扬州网一些网站新闻发布审核的制度”、《外部人员访问机房审批管理制度》、《中心机房管理办法》、《机房消防安全管理制度》等制度。
三、信息等级安全保护基本情况
目前,集团已有扬州网、扬州晚报网、扬州汽车网、艺术在线网和多个内部信息系统根据等级保护的要求进行了整改优化,积极加强信息系统安全环境建设,消除安全管理中的薄弱环节。在物理安全方面,机房安装门禁系统,严格管理机房人员进出,消防设施完善,所有设备通过ups供电。关键网络设备和服务器做到有主有备,确保在发生物理故障时可以及时更换。
在网络安全方面,我们严格按照内、外网物理隔离的标准建设网络系统,并采用虚拟局域网技术,通过交换机端口的ip绑定,防止非法网络接入;在网络出口以及不同网络互联边界全面部署硬件防火墙,部署日志服务器,记录并留存使用互联网和内部网络地址对应关系; 在集团互联网出口部署网络行为管理系统,规范和记录上网行为,合理控制不同应用的网络流量,实现网络带宽动态分配,保障了信息系统正常应用的网络环境。
在主机安全方面,终端计算机采用双硬盘及物理隔离互联网及内网应用,通过部署趋势网络防毒墙网络版,安装联软安全管理软件保障客户机系统安全,并且做到漏洞补丁及时更新,重要的应用系统安装了计算机监控与审计系统,实现对主机的usb等外设接口的控制管理,采用key用户名密码等方式控制用户登陆行为。
对于应用安全,严格做好系统安全测试,配备了专门的漏洞 扫描仪定期扫描应用系统漏洞,并按测试结果做好安全修复和加固工作;在网站区,部属入侵防御系统,监测、记录安全事件,及时阻断入侵行为,自部署起已多次成功检测出sql注入,ftp匿名登录,网站目录遍历,探测主机地址漏洞等。
在数据安全方面,数据库通过备份系统定期备份,关键数据库服务器采用双机热备份,保证数据库服务器的可用性和高效性,在出现故障时可以快速恢复;数据库的访问按不同用户身份进行严格的权限控制。
四、建议
信息系统安全等级保护工作责任重大,技术性强,工作量巨大,集团在该项工作上虽然取得一些进展,但是与市里要求还有相当的差距,在等级保护意识、宣传力度、技术人才的培养和制度的建立上仍然存在问题。
高校信息系统安全等级保护研究 篇10
关键词:高校,信息系统,安全等级,保护
随着信息技术的迅猛发展和计算机网络的快速普及,信息系统在各行业、各领域得到广泛应用。高校作为学术研究的重要阵地,信息化建设高速开展。校园网、信息系统的建立,为学校教学、科研和管理提供资源共享、信息交流和协同工作的网络平台,并且已成为高校信息化建设的重要组成部分,同时也是衡量一个高校教育信息化、现代化的重要标志。大数据、云计算、“互联网+”等新技术出现的同时,伪基站、BIOS(基本输入输出系统)后门、木马僵尸、SQL(结构化查询语言)注入、DDOS(分布式拒绝服务)攻击等各类网络攻击层出不穷、攻击方式变异频繁,因此,保障网络与信息系统安全,已成为高校信息化发展中迫切需要解决的重大问题。
1 信息系统等级保护
信息网络的全球化使信息网络的安全问题日益严峻,任何与互联网相连接的信息系统都必须面对世界范围内的网络攻击、数据窃取、身份假冒等安全问题。信息系统安全最重要的3 个属性是机密性、完整性与可用性。
信息系统等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。根据信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织合法权益的危害程度,针对信息的机密性、完整性和可用性要求及信息系统必须要达到的基本安全保护水平等因素,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
2 高校信息系统安全现状
为保证高校信息系统安全性,对信息系统按重要程度、数据的机密性等进行不同等级的划分并按级别进行保护是必要的。目前,高校信息系统的安全等级保护主要存在以下几个问题。
第一,思想认识不到位。部分高校对信息系统安全等级保护工作认识不足,认为信息系统定级过高会提高管理成本,造成不必要的麻烦。
第二,在信息安全方面的资金投入不足,等级保护工作整改不到位。部分高校学校经费紧张,信息化建设主要投资在校园网络的基础设施,针对网络安全方面的专项投入不足。
第三,未建立相应的安全管理机构和安全管理制度,一些必要的管理制度没有制定。此外一些管理制度修订不及时,已经不能满足当前系统安全管理的需求。
第四,专业技术力量较弱,技术防护与制度落实不彻底。部分高校网管人员专业技术力量较弱,一些不属于网络中心的网络处于无人监管的状态。
第五,部分二级单位对本单位的信息系统及网站底数不清,依然存在各自为政开设网站的情况,安全防护也不统一。此外,还存在科研教学机构替其他用户单位在校内开发、运营系统的情况。
第六,在建设网络安全体系时,存在重技术、轻管理的现象。许多安全设备处于系统默认配置,安全设备不能起到应有的作用,部分系统没有配备安全管理员。
3 高校信息系统等级保护
3.1 实施流程
高校信息系统安全等级保护的实施应按照公安部门及教育主管部门的相关文件要求严格执行,其主要包含明确责任主体、自主定级、专家评审、主管部门审核批准、公安机关备案、差距测评、安全整改建设、验收测评等流程。
第一,明确责任主体。按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,信息系统的主管单位为定级工作的责任主体,负责组织运维单位、使用单位开展信息系统定级工作。
第二,自主定级。首先要确定本单位有哪些符合定义的信息系统需要做等级保护工作。在定级时要坚持自主定级、自主保护的原则。参照《信息系统安全等级保护定级指南》,根据本单位实际情况,对本单位的信息系统作自我评估,完成自主定级。
第三,专家评审。主管单位完成信息系统自主定级后,聘请有关信息安全等级保护专家对信息系统自主定级情况进行评审,形成评审意见,以求准确对信息系统进行定级。
第四,主管部门审核批准。主管单位完成信息系统专家评审后,填写《信息系统安全等级保护定级报告》《信息系统安全等级保护备案表》和信息系统安全等级保护专家评审意见等材料报送至所属教育主管部部门进行审批,并出具行业定级意见。
第五,公安机关备案。高校定级为二级及以上的信息系统需要到当地公安局网监部门备案审核。
第六,差距测评。完成定级、备案后,高校应委托具备信息安全等级保护测评资质的且熟悉教育行业的第三方测评机构,按照相关要求和标准,对信息系统安全保护状况开展差距测评,并编写差距测评报告及整改建议。
第七,安全整改建设。高校根据差距测评报告和整改建议,针对存在安全问题的信息系统,有针对性地进行整改建设,提高信息系统的安全性。
第八,验收测评。完成安全整改建设后,高校应委托具备信息安全等级保护测评资质的且熟悉教育行业的第三方测评机构,按照相关要求和标准,对信息系统开展验收测评,编写验收测评报告,并送至公安机关备案,以完成安全等级保护工作。
3.2 保障策略
高校信息系统的等级保护存在各种各样的问题,以至于等级保护工作落实不到位,为保证安全等级保护工作顺利进行,应采取如下保障策略。
第一,提高安全意识。信息安全等级保护管理部门应加大信息系统安全等级保护工作的宣传力度,定期召开由各高校有关信息系统部门负责人参加的信息安全等级保护相关会议,宣传信息安全等级保护工作的重要性和意义,促使高校加强对信息系统的安全意识。
第二,增强技术能力。高校信息系统安全,需要强大的技术团队作支撑。在开展安全等级保护工作中,专业的技术能力是保证测评工作和整改工作顺利高效进行的基础。因而,应注重技术能力的培养和提高。
第三,建立安全管理机构、健全安全管理制度,保证信息系统安全的专项预算。针对高校信息系统,应及时建立及更新各项管理制度,以达到安全等级保护的要求,并满足系统安全管理的需求,同时在制度中规划高校信息系统安全建设的整体方针,并保证网络安全方面的专项投入。
4 结语
高校信息系统的安全至关重要,信息系统安全等级保护是保障信息安全的重要屏障。充分了解高校信息系统安全的现状和存在的问题,并严格按照等级保护的要求、实施流程对高校信息系统进行等级保护,建立高校信息系统安全等级保护完整体系,有利于高校信息系统的安全保护。
参考文献
[1]冼伟铨,王厚奎.等级保护要求下的高校Web安全[J].信息安全与技术,2012(2).
[2]高朝勤.信息系统等级保护中的多级安全技术研究[D].北京:北京工业大学,2012.
[3]路萍,翟跃.信息安全等级保护备案在高等院校中的研究与实践[J].中国教育信息化:高教职教,2015(21).
[4]刘玉燕.高校信息安全等级保护评测[J].信息技术,2011(2).
网站系统信息安全等级保护建设整改方案 篇11
第一章 总则
第一条 为加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等国家有关法律法规,制定本办法。
第二条 信息安全等级保护,是指对国家秘密信息及公民、法人和其他组织的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
第三条 信息系统的安全保护等级应当根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度,信息和信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,信息和信息系统应当达到的基本的安全保护水平等因素确定。
第四条 信息系统的安全保护等级分为以下五级:
(一)第一级为自主保护级,适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益。
(二)第二级为指导保护级,适用于一般的信息系统,其受到破坏后,会对社会秩序和公共利益造成轻微损害,但不损害国家安全。
(三)第三级为监督保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成损害。
(四)第四级为强制保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害。
(五)第五级为专控保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成特别严重损害。
第五条 信息系统运营、使用单位及个人依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理。
(一)第一级信息系统运营、使用单位或者个人可以依据国家管理规范和技术标准进行保护。
(二)第二级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护。必要时,国家有关信息安全职能部门可以对其信息安全等级保护工作进行指导。
(三)第三级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行监督、检查。
(四)第四级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行强制监督、检查。
(五)第五级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护,国家指定的专门部门或者专门机构对其信息安全等级保护工作进行专门监督、检查。
第六条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第二章 信息安全等级保护工作的安全管理
第七条 信息系统的运营、使用单位应当依据本办法和有关标准,确定信息系统的安全保护等级。有主管部门的,应当报主管部门审核批准。
第八条 信息系统的运营、使用单位应当根据据已确定的安全保护等级,依照本办法和有关技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,进行信息系统建设。
第九条 信息系统的运营、使用单位应当履行下列安全等级保护职责:
(一)落实信息安全等级保护的责任部门和人员,负责信息系统的安全等级保护管理工作;
(二)建立健全安全等级保护管理制度;
(三)落实安全等级保护技术标准要求;
(四)定期进行安全状况检测和风险评估;
(五)建立信息安全事件的等级响应、处置制度;
(六)负责对信息系统用户的安全等级保护教育和培训;
(七)其他应当履行的安全等级保护职责。
第十条 信息系统建设完成后,其运营、使用单位应当依据本办法选择具有国家相关技术资质和安全资质的测评单位,按照技术标准进行安全测评,符合要求的,方可投入使用。
第十一条 从事信息系统安全等级测评的单位,应当遵守国家有关法律法规和技术标准规定,保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,提供安全、客观、公正的检测评估服务。
测评单位资质管理办法由有关部门另行制定。
第十二条 第三级以上信息系统的运营、使用单位应当自系统投入运行之日起三十日内,到所在地的省、自治区、直辖市公安机关指定的受理机构办理备案手续,填写《信息系统安全保护等级备案登记表》。国家另有规定的除外。
备案事项发生变更时,信息系统运营、使用单位或其主管部门应当自变更之日起三十日内将变更情况报原备案机关。
第十三条 公安机关应当掌握信息系统运营、使用单位的备案情况,建立备案档案,进行备案管理。发现不符合本办法及有关标准的,应通知其予以纠正。
第十四条 公安机关应当监督、检查第三级和第四级信息系统运营、使用单位履行安全等级保护职责的情况。
对安全保护等级为三级的信息系统每年至少检查一次,对安全保护等级为四级的信息系统每半年至少检查一次。
第十五条 公安机关发现信息系统运营、使用单位未履行安全等级保护职责或未达到安全保护要求的,应当书面通知其整改。
第三章 信息安全等级保护的保密管理
第十六条 涉及国家秘密的信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。
不涉及国家秘密的信息系统不得处理国家秘密信息。
第十七条 涉及国家秘密的信息系统按照所处理信息的最高密级,由低到高划分为秘密级、机密级和绝密级三个级别,其总体防护水平分别不低于三级、四级、五级的要求。
涉及国家秘密的信息系统建设单位应当依据《中华人民共和国保守国家秘密法》和国家有关秘密及其密级具体范围的规定,确定系统处理信息的最高密级和系统的保护级别。
第十八条 涉及国家秘密的信息系统的设计实施、审批备案、运行维护和日常保密管理,按照国家保密工作部门的有关规定和技术标准执行。
第十九条 各级保密工作部门应当对已投入使用的涉及国家秘密的信息系统组织检查和测评。发现系统存在安全隐患或系统保护措施不符合分级保护管理规定和技术标准的,应当通知系统使用单位和管理部门限期整改。
对秘密级、机密级信息系统,每两年至少进行一次保密检查或系统测评;对绝密级信息系统,每年至少进行一次保密检查或系统测评。
第四章 信息安全等级保护的密码管理
第二十条 国家密码管理部门对信息安全等级保护的密码实行分类分级管理。根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度,被保护对象的安全防护要求和涉密程度,被保护对象被破坏后的危害程度以及密码使用部门的性质等,确定密码的等级保护准则。
信息系统运营、使用单位采用密码进行等级保护的,应当遵照信息安全等级保护密码管理规定和相关标准。
第二十一条 信息系统安全等级保护中密码的配备、使用和管理等,应严格执行国家密码管理的有关规定。
第二十二条 要充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的,密码的设计、实施、使用、运行维护和日常管理等,应当按照国家密码管理有关规定和技术标准执行;采用密码对不涉及国家秘密的信息和信息系统进行保护的须遵照《商用密码管理条例》和密码分类分级保护有关规定与相关标准。
第二十三条 各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评,对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中,发现存在安全隐患或违反密码管理相关规定或者未达到密码相关标准要求的,按照国家密码管理的相关规定进行处置。
第五章 法律责任
第二十四条 三级、四级信息系统和涉及国家秘密的信息系统的主管部门和运营、使用单位违反本办法规定,有下列行为之一,造成严重损害的,由相关部门依照有关法律、法规予以处理:
(一)未按本办法规定报请备案、审批的;
(二)未按等级保护技术标准要求进行系统安全设施建设和制度建设的;
(三)接到整改通知后,拒不整改的;
(四)违反保密管理规定的;
(五)违反密码管理规定的;
(六)违反本办法和其他规定的。
第六章 附则
第二十五条 军队的计算机信息系统安全保护工作,按照军队的有关法规执行。
【网站系统信息安全等级保护建设整改方案】推荐阅读:
网站系统安全整改方案08-12
信息系统安全等级保护备案操作规范08-14
信息系统等级保护测评05-17
设计课题:商务网站管理信息系统06-12
网站建设课设图书管理系统(DOC)08-14
网站发布系统08-06
网站结构优化系统研究08-04
精品课程网站管理系统07-17
网站建设方案参考05-20