安全保护信息化建设论文

2024-09-14|版权声明|我要投稿

安全保护信息化建设论文(精选12篇)

安全保护信息化建设论文 篇1

1 背景

随着医院信息化的迅猛发展,医院信息系统已经深入到医疗工作的各个环节之中,信息系统的安全一旦受到威胁将会严重影响到医疗活动的顺利开展,因此该工作受到了医院越来越高的重视。

信息安全等级保护是国家出台的针对信息安全分级保护的制度,其最终目的就是保护重要的信息系统的安全,提高信息系统的防护能力和应急水平。

为了信息安全等级保护制度能够更好的在各医院得到有效的落实,国家有关部门针对医疗行业的实际现状印发了《卫生行业信息安全等级保护工作的指导意见》的通知卫办发[2011]85号,此文件在信息安全保护和医疗行业信息安全管理之间起到承接桥梁的作用。根据文件精神,医院的核心业务信息系统安全保护等级原则上不低于第三级。

2 医院信息安全等级保护建设流程

2.1 信息系统定级

信息系统定级主要考虑两个方面,一是业务信息受到破坏时的客观对象是谁,二是对于客观对象的损坏程度如何。两方面结合根据表1来制定本单位的具体哪个信息系统应该定位第几级。

针对医院,一般门诊量都比较大,当在早晨挂号、就诊等高峰的时候就会有大量的患者排队,如果一旦发生系统瘫痪就会造成大面积患者排队,很容易引发群体事件。因此,定义为对“社会秩序、公共利益”造成“严重损害”,即信息安全等级保护定级为第三级。涉及的信息系统即与挂号、就诊等门诊患者密切相关的系统。

2.2 信息系统评审与备案

按照等级保护管理办法和定级指南要求,在完成对本单位信息系统的自主定级后需要将业务系统自主定级结果提交卫生部审批。在定级审批过程中,卫生部组织专家进行评审,并出具《审批意见》。

完成评审后,医院需要填写《信息系统安全等级保护备案表》和《信息系统安全等级保护定级报告》,备案表与报告范例可在“中国信息安全等级保护网”进行下载。最后医院持评审意见、备案表、定级报告到所在地管辖区的市级以上公安机关办理备案手续,在拿到备案回执和审核结果通知后完成定级备案。

2.3 信息系统安全建设与整改

在完成备案后需要开始对信息系统进行合规性建设与整改,主要分为以下几个步骤完成。

2.3.1 等级保护差距分析

等级保护的要求整体分为技术与管理两个方面,而技术又可以分为SAG三类,主要包括:

业务信息安全类(S类):关注的是保护数据在存储、传输、处理过程中不被泄露、破坏和免受未授权的修改,比如在传输患者数据及费用数据是否进行了加密传输,在传输过程中如果出现异常能否及时发现等。

系统服务安全类(A类):关注的是保护系统连续正常的运行,比如机房的电力方面、服务器的负载方面、HIS系统的容错性与资源控制,是否支持单机挂号、就诊、收费、取药,能够在系统服务器瘫痪的情况下保存现有数据,并继续开展诊疗活动,再有就是灾备的建设情况,是否可在系统瘫痪的情况下进行快速恢复。

通用安全保护类(G类):大多数技术类安全要求都属于此类,属于基础类,如机房的物理安全,网络及主机的访问控制与审计、信息系统的审计等。

管理方面三级等级保护执行的是管理G3的要求,控制项为154项,医院需要根据自己的管理制度与控制项进行逐一比对,列出不符合项。

技术方面三级等级保护可进行选择性执行,主要分为G3S3A3、G3S1A3、G3S2A3、G3S3A1、G3S3A2,及G类必须达到三级,A类和S类选择一个达到三级即可。医院可以根据自身的实际情况选择一个标准进行差距分析,最严格的G3S3A3控制项共计136项。

根据管理、技术共计290个控制项医院可进行自行评定得出与等级保护三级的差距分析。

2.3.2 安全需求分析

当前,医院对于信息安全的关注点主要集中在业务连续性与数据隐私保护方面,因此可根据差距分析结果结合医院实际安全需求进行集中分析,使信息安全的建设工作可以满足实际的临床需求,这样才能使资源有效利用,避免资金投入的浪费。

2.3.3 安全建设/整改方案

在明确需求后就要进行整体的方案设计,在设计过程中,要提出总体规划(近期、远期)和详细设计方案,将其细分为不同的子项目,逐一进行完善,最后应组织专家对方案进行评审。

2.3.4 方案实施

完成方案制定与评审后及进入实施阶段,实施过程中应注意管理和技术并重的原则,将技术措施和管理措施有机结合。简历信息系统综合防护体系,提高信息系统整体安全保护能力。

2.4 开展等级测评

信息系统建设完成后,可以着手进行等级保护测评工作,测评需要找公安局认可,具有“DICP”认证的测评机构,机构名称可以在“中国信息安全等级保护网”进行查询,测评机构测评周期一般为一个月。等级保护测评的主要流程。

2.4.1 测评准备阶段

这个阶段主要是测评公司于医院进行前期的沟通阶段,医院需要向测评机构介绍本单位的大致医疗流程,介绍数据流的输出过程,介绍系统的拓扑结构、设备的使用情况等,随后测评机构会根据医院提供的相关信息准备相关的测评工具及表单。

2.4.2 测评方案制定阶段

此阶段测评机构会定制测评指标、测评工具接入点,并对测评的内容进行确定,编制测评方案书。随后与医院进行沟通,确定现场测评的时间以及现场测评的主要内容和流程。

2.4.3 现场测评阶段

此阶段测评机构会进驻医院大约一周左右,主要对上文提到的管理与技术共计290个控制项进行逐一测评,此阶段与医院关系密切,需要逐一测评时双方要约定好时间,不能影响医院业务的正常开展,比如做漏洞扫描等需要占用服务器资源的操作时尽量选择下班等非业务高峰期进行。测评工具的接入前要进行充分测试,保证其对现有业务不会造成任何影响。在此阶段医院的网络工程师、系统工程师、审计工程师需要在场进行配合。

2.4.4 分析与报告编制阶段

完成现场测评后,测评机构会整理所有的单项测评结果,并对其进行分项判定,会对医院的整体结果进行分析,最后给出测评报告,告知医院存在的风险点、整改建议和测评结果。

测评结果是标准医院是否通过测评的主要依据,根据等级保护相关要求,测评结果分为:不符合、部分符合、全部符合,其中不符合为没有通过测评,部分符合和全部符合为通过测评。根据医院的逐项测评数据,290个控制项除必须达到的项目外,达到80%以上符合的即可通过测评。

2.5 做好自查与配合监管部门检查

根据等级保护制度要求,当信息系统定级为第三级时,每年至少进行一次等级保护自查,并且监管部门每年至少来医院现场检查一次。因此该项工作是一个长期工作,必须常抓不懈。

2.5.1 等级保护自查

目前公安局已开发出信息安全等级保护自查工具,医院可以利用工具进行自查,工具主要需要填写医院的信息安全组织机构、资产信息、制度信息等基础信息,然后再进行各备案系统的自查,自查过程需要关联之前填写的资产和制度信息。完成后提交当地公安部门。

2.5.2 监督检查

监管部门多数为当地市属公安部门,公安部门每年定期对三级系统进行上门检查,检查依据主要是自查工具中提供的拓扑、自查以及管理文档,检查时间一般为半天,检查完成后公安部门会对检查结果进行评定,并对下一步安全工作给出建设性指导意见。

3 等级保护建设总结

信息安全等级保护建设可从合规性和系统内需驱动两方面考虑,并要定期检验建设的合规性、合理性。

合规性是指在政策要求指导下构建医院完整的信息安全体系。要落实国家等级保护标准;响应卫生部推进等级保护建设工作的指导精神;通过国家等级保护测评;为医疗行业信息安全体系建设以及等级保护建设方面起到试点示范效应。

系统内需驱动是指结合业务发展,进行系统化建设,切实提高自身信息安全防护水平。实现主动防御外部入侵威胁,防范内部不规范操作带来危害影响;降低日常信息化管理工作难度,提高对复杂、异构信息系统的运管效率,做到“有法可依,有技可行”;对已建、新建和拟建的信息系统进行合理规划,规范建设。

医院信息安全建设,要切合自身条件特点,分批分期循序建设,保证医院各系统能够长期稳定安全运行,以适应医院不断扩展的业务应用和管理需求,这才是信息安全等级保护建设的重要意义所在。

参考文献

[1]信息系统安全保护定级指南.

[2]信息系统安全保护实施指南.

[3]信息安全等级保护测评过程指南.

安全保护信息化建设论文 篇2

一、概述

根据人力资源和社会保障部制定的金保工程安全等级保护评定标准,按照公安部下发的安全等级保护建设规范,结合兵团金保工程已确定的18套业务系统等级保护工作以信息系统的安全保护的实际需求,以等级保护、纵深防御为基础,以安全管理与安全技术并重为方针,以信息系统安全工程为规范,科学、有效、适中地实现信息系统的安全。

二、系统建设文件要求

依据劳动和社会保障部《关于印发<关于开展劳动保障重要信息系统安全等级保护定级工作的指导意见>的通知》(劳社信息函〔2007〕19号)、兵团公安局、兵团信息化工作办公室、兵团教育局联合下发的《关于在非经营性上网服务场所落实安全等级保护技术措施的通知》(兵公通〔2011〕24号)、人力资源和社会保障部《关于进一步推进人力资源社会保障信息安全等级保护工作的通知》(人社部函〔2011〕246号)等文件要求。

三、系统建设内容概要及预算

系统建设周期预计一年,依据系统建设的先后顺序及性

质,整体系统建设分为五大子系统:

(一)金保工程分类和定级

等级保护是金保工程的重要环节,是实现重点保护的有效方法,也是我国信息安全的重大管理措施。本部分依据有关信息安全管理部门制定的管理办法或指南等文件,通过对金保工程18套业务系统的分类和定级来实现金保工程信息系统等级保护的目的,此系统预算60万元。

(二)金保工程风险分析和评估

金保工程安全需求的确定对金保工程安全建设将会起到至关重要的作用。金保工程信息系统安全需求来源于三个方面:首先,安全需求来自金保工程的特殊安全需求;其次,安全需求来自国家的法律法规以及国际和我国的信息安全标准(如,等级保护的管理办法和指南、国家信息安全标准等);最后,通过金保工程18套业务系统的分类和定级并对保护对象进行风险分析和评估,最终得到各子系统以及各保护对象的风险排序,从而形成内网、专网和综合网的等级保护安全策略。通过三个方面的综合得到金保工程的信息系统的安全需求(或要求),此系统预算90万元。

(三)实施金保工程等保安全设计

前两部分工作的实施是为实施安全工程打基础的,实施金保工程安全技术设计是金保工程安全保障体系的核心。实施金保工程安全设计的前提是有明确的安全需求,只有明确 的安全需求才能保证安全设计的正确性。但是,实施安全技术设计采用的安全理念和方法也是实施安全设计成败的关键,我们采用目前世界上先进的纵深防御的安全理念,通过设计安全管理体系、安全技术体系和安全运行体系实现金保工程信息系统的总体安全设计,此系统预算50万元。

(四)金保工程等保安全实施

金保工程等保安全实施是金保工程等保安全建设的实施阶段。金保工程的等保安全实施包括:金保工程安全产品的选择、金保工程的安全集成、金保工程安全需求的调整、金保工程的网络微调、金保工程安全集成的监理。其中任何一个措施(步骤)都将对金保工程安全建设的质量产生重大影响。根据该部分工程特点,该子系统建设共分为安全设备选型和采购、系统安全CA认证中心、安全集成及服务,系统建设预算为465万元。

(五)金保等保工程安全有效性测试及加固系统 金保工程必须通过等保安全测试才能投入运行。因此,实施认证认可制度势在必行。为了能使金保工程确保等保安全质量并顺利通过认证认可,我们必须在每一个过程结束后都要进行安全性评估和测试,在系统安全每项测试完成后还要进行总体测试。在自测的基础上完成第三方测试,最终使系统投入运行,此系统预算:35万元。

系统建设总体预算:700万元。

综述:金保工程等级保护暨综合信息安全系统建设,是一个综合、系统、复杂的大型安全类系统建设,直接关系到兵团劳动和社会保障局金保工程核心业务数据及18个系统的安全可靠运行。该系统建设要求承建单位既要熟悉金保工程业务系统,又要在安全建设领域具备专业综合的水平。东软公司承担了国家社保行业的多个金保工程建设案例,同时承担了国家人力资源和劳动社会保障部信息安全等级保护安全整改集成的项目。做为新疆生产建设兵团公安局确认的等级保护测评机构,同时又是我单位金保工程核心的建设和服务厂商。因此,综合考虑,建议由东软公司负责兵团劳动和社会保障局金保工程等级保护暨综合信息安全整体系统的建设。

兵团劳动和社会保障局数据管理中心

网络个人信息安全与保护 篇3

网络隐私权指人在网上享有的私人生活安宁和私人信息依法受到保护,不被他人非法侵犯、知悉、收集、复制、利用和公开的一种人格权利;网络个人信息是其主要内容之一。[1]网络时代,个人隐私被侵犯已经成为很多网民的隐忧与困扰。公民个人信息通过网络被泄露,个人电脑被黑客入侵,网上购物清单被人留底等情况时有发生。如何既恰当地保护隐私权,又不妨碍网络的正常发展,已经成为网络健康发展面临的重大课题。

二、“方周大战”对网络个人信息保护的冲击

“方周大战”是方舟子和360之间的“口水战”。2012年10月9日,方舟子建议用户卸载“360安全浏览器”,称该浏览器窃取用户数据、侵犯个人隐私。360安全浏览器通过远程控制用户电脑,搜集用户各种隐私数据。“方周大战”被互联网行业视为国内互联网首个针对个人网络隐私安全保护的案例,这不仅是因为普通网民对网络个人信息不甚了解,还由于我国对网络个人信息侵权并无专项司法解释,这可能造成司法审判上的困难。“方周大战”的主要争论点在于“360是否侵犯网友的网络个人信息”。对于360侵犯用户网络个人信息的行为,在2010年底,一些谷歌用户就发现,通过谷歌可以搜索到大量用户使用互联网的隐私记录,而这些数据来源都指向360。对于360浏览器被指侵犯隐私的案例,是否属于网络个人信息保护的范畴,具体侵权事实的认定需根据双方提供的证据来认定,具体案件具体分析。

三、我国网络个人信息保护现状及困境

今年3月15日,中国电子信息产业发展研究院、中国软件评测中心发布的《公众个人信息保护意识调研报告》显示,超过60%的被访者遇到过个人信息被盗用的情况。“方周大战”中,用户的网络隐私看起来无异于在互联网世界中“裸奔”,但除了技术带来的监管难题外,立法的滞后性也使得网络个人信息侵权案件无法可依,这使得保护网络个人信息成为数据时代的难题。根据互联网信息中的最新统计,有84.8%的网民遇到过信息安全事件,在这些网民中,平均每人遇到2.4次信息安全事件。[2]如果有确切证据证明360浏览器侵犯了用户网络个人信息,那么如此庞大的用户群体的网络隐私就是在网络上“裸奔”。试想,没有专业技术背景,又没有完善法律知识的普通网民,该如何判断是否被侵权,又该如何取证,如何有时间、精力打官司,如何索赔,这些都是大难题。下面我们从以下几个方面来分析我国网络个人信息面临的困境:

(一)网络个人信息侵权主体的确定

在网络中,用户的身份绝大部分是自己虚拟出来的,同时这种形式也使得在侵害行为发生时难以找到真实的侵害主体,而且互联网中的侵害证据可以通过技术手段删除,这使得在取证时根本找不到明显的侵害现场,更难知道有多少人参与,以及侵权的时间等情况。现实社会中大部分侵权者都具有丰富的网络技术知识,他们在发明侵犯网络隐私技术的同时,也为自己创造了隐匿技术。“方周大战”中虽然方舟子矛头直指360浏览器,但是在网络隐私侵权过程中,网络服务商、网络提供商和网络用户都有侵权的可能性,如何具体确定侵权人,明确侵权责任承担还是面临巨大的挑战。

(二)网络个人信息侵权举证责任分配

在网络个人信息侵权案件中,事实认定如果根据传统民法侵权案件的一般规则原则的过错原则即“谁主张,谁举证”来分配举证责任的话,则由主张自己权利被侵害的主体承担举证责任。[3]但是网络个人信息侵权案件的被侵权方大多是没有网络专业技术的普通网民,对于自己的网络隐私侵权证据无法通过技术手段取得,而相反网路服务提供商和网络提供商具有专业的互联网技术,在提供技术证据方面能较网民而言容易得多。并且由于网络个人信息侵权没有专项的司法解释,隐私权的精神赔偿没有统一的标准,导致最终审判结果对赔偿金额以及赔偿方式的判决会有较大的不同。

(三)网络个人信息格式合同普遍存在

本人于2013年4月13日在hao123网址之家对其所列网站中选择了20个比较知名的网站做了一项调查,如表1。有的网站在首页已经制定了隐私权声明,而对于网络用户来说,访问这些网站要么只能接受,要么就只能拒绝,从而放弃访问,而网络提供商和网络服务提供商在赚取流量的同时又将用户的网络隐私截取,这样明显是不公平的。网络个人信息声明在一定意义上具有合同性质,其内容就应该由双方协商达成,而不是网站单方面制定。

Table1 the Situation List of 20 Sites’ Online Privacy Statements

四、我国网络个人信息保护的完善建议

(一)实行网络实名制

要求以真实姓名从事各种活动的“实名制”,似乎正在成为解决许多社会问题的终极良方。如存款实名制、手机卡实名制、买火车票实名制等。[4]网络实名制并非我国独有,印度在很早之前就已经实行了火车票实名制,2007年韩国实行网络实名制,要求网络用户以真实姓名发帖。网络兴起后,由于网络匿名的特点,使网络言论空前繁荣。在现实生活中不习惯发表意见的“沉默的大多数”,都会在网上勇敢的发表自己的言论。这也使得一些网络侵权者可以利用此漏洞,收集大量网络个人隐私,从而牟取暴利。2012年12月24日,全国人大常委会审议加强网络信息保护决定草案,草案规定实行网络身份管理,网络服务提供者对用户发布信息的网络身份管理,从而加强网络社会管理,保障网络信息安全。利用实行后台的身份管理办法,用户在发布信息时可以使用其他名称。对于网络个人信息保护而言,实行网络实名制可以通过后台程序确定网络个人信息侵权主体的身份,从而为网络个人信息保护提供更好的条件,也有利于互联网的健康发展。

(二)确立过错归责原则为一般情形

对于传统隐私权侵权中的归责原则,学界一般认为适用过错归责原则。然而对于网络个人信息侵权而言,由于网络的虚拟性,变化性,使得在具体案件中的证据取得变得尤为困难,尤其是作为网络个人信息主体,普通网民不具有专业的互联网知识,所以要根据不同情况来确定网络个人信息侵权的归责原则。首先,对于一般网民侵权来讲,归责原则可以适用一般过错规则原则;其次对于网络服务商而言,其在提供网络服务方面具有专业的技术支持和强大的公司财力支持,如果其实施侵犯网络个人信息的行为在一般公众看来是零容忍的,那么对于这种网络服务商侵权而言,我倾向于适用无过错原则。

(三)制定网络个人信息协商性声明

通过表1中有隐私权声明的网站中的声明条款可以看出,现阶段网站的隐私声明只是单方面的,而且没有统一形式,甚至有些网站还没有保护隐私的声明。声明具有合同的性质,根据订立合同时的平等自愿原则,就要求网络提供商与网民在平等自愿的基础上通过协商订立网络个人信息保护声明,而不是由网络提供商单方面的提供。这就要求我国须成立行业自律组织以加强对网络个人信息的保护,制定统一形式的隐私保护声明,使网络用户在涉及网络隐私方面可以与网站进行协商,协商内容可以具体到哪些上网数据是可以公开并且允许网站搜集的,哪些是不允许的等。

五、结论

网络个人信息的保护是一项重大的课题,完善我国网络个人信息法律保护只是网络个人信息保护的一个措施,它可以提供网络个人信息的权利来源、网络个人信息侵权主体的认定依据及侵权责任的规则原则等法律依据。但是,它不可能覆盖所有网络个人信息保护问题,所以只有要求我们加强行业自律,提供政府监管等多方面的合作,才能使网络个人信息保护取得实际的效果。

参考文献

[1] 赵华明.论网络隐私权的法律保护[J].北京大学学报.2002,(专刊):165.

[2] 中国互联网信息中心.2012年中国网民信息安全状况研究报告[DB/OL]. http://www.cnnic.net.cn/hlwfzyj/hlwxzbg/mtbg/201212/t20121227_38418.htm.[2012/12/27][2013/4/14].

[3] 卢爱国.论网络隐私权的法律保护[D].吉林大学硕士论文.2007,6.

安全保护信息化建设论文 篇4

随着我国信息化改革的不断深入, 信息系统也逐渐成为医疗行业中不可或缺的一部分, 但随着信息系统的日益发达, 病毒破坏、黑客攻击、管理缺失等不良因素引发的信息系统安全问题也越来越多。 我国信息安全领域有关部门和专家学者通过多年研究, 在借鉴国外先进经验和结合我国现阶段情况的基础上, 提出分级保护的策略来解决我国信息安全问题。信息安全等级保护制度不仅是我国信息安全保障工作的一项基本制度, 更是一项事关国家安全及稳定的政治任务。 医院数据信息的安全性[1]也同样至关重要, 通过安全等级保护的建设与测评, 有效的改进了医院信息安全方面的一些不足, 优化了信息安全资源。

1信息安全等级保护概述

信息安全等级保护[2]是维护我国信息安全的重要保障, 通过对信息安全等级保护工作的开展, 可以有效解决信息系统所面临的诸多不安全问题, 有利于改善国家信息安全的现状。

信息安全等级保护是指对国家、法人和其他组织及公民的专有信息及公开信息以及存储、传输、处理这些信息的信息系统实行分等级的安全保护工作, 对信息系统中使用到的信息安全产品进行登记管理, 对信息安全系统中的安全事件实行与其对应的处理。《信息安全等级保护信息安全等级保护管理办法》规定, 国家信息安全等级保护坚持自主定级、自主保护的原则。 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度, 信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。根据信息系统的保密性以及完整性要求及信息系统所要达到的相应保护等级要求, 将信息系统安全保护等级划分为五级[3]。 第一级为自主保护级, 第二级为指导保护级, 第三级为监督保护级, 第四级为强制保护级, 第五级为专控保护级。不同级别的安全保护工作有着不同的监督管理政策。信息系统安全等级保护是根据信息系统应用业务的重要程度及实际安全需求, 实行分级、分类的保护, 达到保障信息安全的目的。 将信息安全等级保护的工作划为:等级保护定级与备案;系统安全建设与整改;等级测评。

2医院信息系统安全等级保护建设与测评

信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督[4]。对于医院信息系统的定级, 卫生部《卫生行业信息安全等级保护工作的指导意见》 (卫办发[2011]85号) 中指出“三级甲等医院的核心业务信息系统”的“安全保护等级原则上不低于第三级”。 结合医院业务及信息系统实际情况, 确定医院核心业务系统:医院平均日门诊量;医院住院床位数;业务系统承载病患个人隐私信息, 一旦泄露对社会秩序构成重大影响的;业务中断使医院正常运营蒙受重大经济损失;其他会对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成重大影响的系统。 例如医院的门急诊系统, 一旦业务系统中断, 一方面会使医院蒙受经济损失, 另一方面会造成大量患者滞留, 延误治疗时机, 给患者带来重大安全隐患。又如电子病历系统, 系统中存储着大量病人的个人隐私, 一旦泄露会对患者和社会秩序带来重大影响, 因此这种安全保护等级应不低于三级。 医院信息系统在建设阶段, 应该按照《计算机信息系统安全等级保护划分准则》 以及《信息系统安全等级保护基本要求》等技术标准进行搭建、建设符合申请级别的信息安全措施, 并制定符合该级别要求的安全管理制度。 总体安全设计是提取共性形成模型, 针对模型中的共性要素并结合相应等级要求提出安全策略和安全措施要求。

等级测评是测评机构依据国家信息安全等级保护制度规定, 受有关单位委托, 从安全技术与安全管理两大项, 对信息系统安全等级保护状况进行全面测试与综合评估的活动。 测评活动主要以沟通、洽谈和技术手段为主, 并贯穿了整个测评过程。 测评准备活动主要分为项目启动、信息收集与分析、工具和表单准备。方案编制工作主要分为测评对象和测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发。现场测评工作主要分为测评实施准备、现场测评和结果记录、 结果确认和资料归还。 报告编制工作主要分为单元测评结果判定、整体测评、风险分析、等级测评结论和测评报告编制。

3信息系统安全等级保护的问题

通过信息安全等级保护测评, 会发现关于物理安全、操作系统、数据库系统、网络设备、应用系统等等方面的漏洞[5], 并且由于医院信息安全管理中缺少部分安全管理制度, 缺少制度的落实实施, 也是出现操作系统、数据库系统、网络设备、应用系统等漏洞的原因之一。 发现这些问题之后, 医院组织相关部门管理人员一起制定了一系列的安全管理制度, 来保障对信息安全的有效管理。 信息安全是一个动态的系统工程, 安全管理制度也有一个不断完善的过程。 经过安全事件的处理和等级保护测评, 对信息安全管理策略进行修改, 对信息安全管理范围进行调整, 减少对医院信息系统安全的影响。

4结束语

在信息快速发展的今天, 通过信息安全等级保护评估, 优化了信息安全资源, 并为医院信息化建设提供了系统的、可行性的指导和意见, 保障了信息在传输、管理、控制中的安全, 减少了因信息泄露、信息破坏等对国家、经济、社会等方面造成的影响, 促使医院管理向规范化、 科学化方向发展, 从而为医院、社会、国家创造更高的经济效益。

参考文献

[1]王晖.医疗卫生行业信息安全等级保护实施指南[M].北京:国防工业出版社, 2010.

[2]GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求[S].

[3]GB 17859-1999计算机信息系统安全保护等级划分标准[S].

[4]范红, 胡志昂, 金丽娜, 等.信息系统等级保护安全设计技术实现与使用[M].北京:清华大学出版社, 2010.

信息安全等级保护测评 篇5

Hacker.cn 更新时间:08-03-27 09:37 来源:硅谷动力 作者:中安网

1.等级保护概述

1.1为什么要实行等级保护?

信息系统与社会组织体系是具有对应关系的,而这些组织体系是分层次和级别的,因此各种信息系统是具有不同等级的重要性和社会、经济价值的。对信息系统的基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统的重要程度进行区别对待就是级别的客观要求。信息安全必须符合这些客观要求,这就需要对信息系统进行分级、分区域、分阶段进行保护,这是做好国家信息安全的必要条件。

1.2等级保护的政策文件

信息安全等级保护工作非常重要,为此从2003年开始国家发布了一系列政策文件,具体如下:

2003年9月,中办国办颁发《关于加强信息安全保障工作的意见》(中办发[2003]27号),这是我国第一个信息安全保障工作的纲领性文件,战略目标为经过五年努力,基本形成国家信息安全保障体系,实行等级保护制度。

2004年11月,四部委会签《关于信息安全等级保护工作的实施意见》(公通字[2004]66号):等级保护是今后国家信息安全的基本制度也是根本方法、等级保护制度的重要意义、原则、基本内容、工作职责分工、工作要求和实施计划。2005年9月,国信办文件,《关于转发《电子政务信息安全等级保护实施指南》的通知》(国信办[2004]25号):基本原理、定级方法、安全规划与设计、实施与运营、大型复杂电子政务系统等级保护过程。

2005年,公安部标准:《等级保护安全要求》、《等级保护定级指南》、《等级保护实施指南》、《等级保护测评准则》。

2006年1月,四部委会签《关于印发《信息安全等级保护管理办法的通知》(公通字[2006]7号)。

1.3 等级保护的管理结构-北京为例

等级保护的实施和落实离不开各级管理机构的指导和监督,这在等级保护的相关文件中已经得到了规定,下面以北京市为例来说明管理机构的组成和职责,具体如下图所示:

1.4等级保护理论的技术演进

在等级保护理论被提出以后,经过相关部门的努力工作,逐渐提出了一系列原则、技术和框架,已经具备实施等级保护工作的基础条件了,其具体演进过程如下图所示:

1.5等级保护的基本需求

一个机构要实施等级保护,需要基本需求。由于等级保护是国家推动的旨在规范安全工作的基本工作制度,因此各级组织在这方面就存在如下需求:

(1)政策要求-符合等级保护的要求。系统符合《基本要求》中相应级别的指标,符合《测评准则》中的要求。

(2)实际需求-适应客户实际情况。适应业务特性与安全要求的差异性,可工程化实施。

1.6基本安全要求的结构

对系统进行定级后,需要通过努力达到相应等级的基本安全要求,在总体上分为技术要求和管理要求,技术上又分为物理安全、网络安全、主机安全、应用安全、数据安全,在管理要求中又分为安全管理机构、安全管理制度等5项,具体如下图所示:

2.等级保护实施中的困难与出路

由于等级保护制度还处于探讨阶段,目前来看,尚存在如下困难:

1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统,否则:

a)各系统单独保护,将冲突和割裂,形成信息孤岛

b)复杂大系统的分解和差异性安全要求描述很困难

c)各系统安全单独建设,将造成分散、重复和低水平

2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善

3.管理难度太大,管理成本高

4.大型客户最关注的关键要求指标超出《基本要求》规定

针对上述问题,在下面几小节分别给出了坚决办法。

2.1安全体系设计方法

需求分析-1

问题1:标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统

a)各系统单独保护,将冲突和割裂,形成信息孤岛

需求:从组织整体出发,综合考核所有系统

方法:引入体系设计方法

2.2保护对象框架设计方法

需求分析-2

1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统

a)各系统单独保护,将冲突和割裂,形成信息孤岛

b)复杂大系统的分解和差异性安全要求描述很困难

需求:准确地进行大系统的分解和描述,反映实际特性和差异性安全要求

方法:引入保护对象框架设计方法

保护对象框架-政府行业

保护对象框架-电信行业

保护对象框架-银行业

2.3安全平台的设计与建设方法

需求分析-3

1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统

a)各系统单独保护,将冲突和割裂,形成信息孤岛

b)复杂大系统的分解和差异性安全要求描述很困难

c)各系统安全单独建设,将造成分散、重复和低水平

需求:统一规划,集中建设,避免重复和分散,降低成本,提高建设水平

方法:引入安全平台的设计与建设方法

平台定义:为系统提供互操作性及其服务的环境

2.4建立安全运行体系

需求分析-4

1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统

a)各系统单独保护,将冲突和割裂,形成信息孤岛

b)复杂大系统的分解和差异性安全要求描述很困难

c)各系统安全单独建设,将造成分散、重复和低水平

2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善

需求:建立长效机制,建立可持续运行、发展和完善的体系

方法:建立安全运行体系

2.5安全运维工作过程

需求分析-5

1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统

a)各系统单独保护,将冲突和割裂,形成信息孤岛

b)复杂大系统的分解和差异性安全要求描述很困难

c)各系统安全单独建设,将造成分散、重复和低水平

2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善

3.管理难度太大,管理成本高

需求:需要高水平、自动化的安全管理工具

方法:TSM安全管理平台

2.6 TNA可信网络架构模型

需求分析-6

1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统

a)各系统单独保护,将冲突和割裂,形成信息孤岛

b)复杂大系统的分解和差异性安全要求描述很困难

c)各系统安全单独建设,将造成分散、重复和低水平

2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善

3.管理难度太大,管理成本高

4.大型客户最关注的关键指标超出《基本要求》规定

需求:在《基本要求》基础上提出更强的措施,满足客户最关注的指标

方法:引入可信计算的理念,提供可信网络架构

3.总体解决方案-TopSec可信等级体系

按照上面解决等级保护目前困难的方法,总体解决方案就是建立TopSec可信等级体系:

遵照国家等级保护制度、满足客户实际需求,采用等级化、体系化和可信保障相结合的方法,为客户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。

实施后状态:一套持续运行、涵盖所有安全内容的安全保障体系,是企业或组织安全工作所追求的最终目标

特质:

等级化:突出重点,节省成本,满足不同行业、不同发展阶段、不同层次的要求

整体性:结构化,内容全面,可持续发展和完善,持续运行

针对性:针对实际情况,符合业务特性和发展战略

3.1可信等级体系设计方法

3.2信息安全保障体系总体框架

3.3体系设计的成果

安全组织体系

安全策略体系

安全技术体系

安全运行体系

3.4安全体系的实现

4.成功案例

大数据时代信息安全的刑法保护 篇6

关键词:大数据时代;信息安全;刑法保护

引言

目前,对大数据的研究非常之多,但都表现为基于信息学的角度进行研究,而对于有关安全问题的研究则表现的尤为缺乏,同时对于大数据的规制,在法律制度方面也呈现了不足的情况。这样一来,便导致目前具备的刑法体系在对大数据问题进行解决时会呈现诸多缺陷,比如对行为的规制范围狭窄、对法律的保护周延性不强等[1]。鉴于此,本课题对“大数据时代信息安全的刑法保护”进行分析与探究具有较为深远的重要意义。

1.大数据的内涵概述

与大多数新生事物是一样的,目前大数据还没有统计的定义。通常将大数据称为巨量数据、海量资料或大资料,是指数据量规模非常大,并且没有办法通过人工、合理的时间进行处理、截取及管理的信息。同时也有学者将大数据定义为是涉及两种或两种以上的数据模式。需收集大于100TB的数据,并且是实时且高速的数据流;或者是从小数据开始,但数据每年会增长超过60%[2]。此定义对大数据的数量大及增长迅速的特征充分强调出来,但是对其实质内涵把握不够充分。整体而言,大数据属于一种数据处理理念,体现出了将样本分析放弃,并使用全部数据的方法。对于大数据来说,最重要的应用途径是实现可视化,利用清晰的图标对大数据分析生成的信息结果进行分析并展示。

2.目前刑法保护体系所存在的缺陷分析

信息安全隐患往往有损个人隐私及商业利益,基于大的层面分析,还会对国家安全利益构成极大的威胁。对于目前刑法保护体系来说,所存在的缺陷主要体现在两大方面:一方面在数据处理过程保护罪名体系中存在缺陷;另一方面在信息保护的罪名体系中存在缺陷。

2.1基于数据处理过程保护罪名体系存在的缺陷分析

我国对于网络犯罪的单行刑法目前还没有出台,同时与计算机犯罪的规定在刑法上也没有独立成章,只存在三个孤立的法条。当中第285条与286条对非法侵入计算机信息系统罪及破坏计算机信息系统罪作出了规定[3]。这种形式的计算机犯罪体系是将计算机信息系统保护和数据应用程序的保护当作重心,然而不管是计算机信息系统,还是数据,基于大数据环境下均会产生质的变化,造成与原有犯罪对象的内涵存在极大的差别,进一步致使原来的刑法体系在解决大数据问题上呈现不相适应的情况。有学者“以信息系统为对象”和“以信息数据为对象”,对基于数据处理过程保护罪名体系存在的缺陷进行了研究,得出了两个重要的结论:其一是对于大数据问题,破坏计算机信息系统罪是无法应对的;同时在面对大数据安全问题,也无法提供有效的保护。其二是我国刑法目前存在的纯粹计算机犯罪的罪名设置,在面对大数据安全问题的情况下,完全不存在适用空间。

2.2基于信息保护罪名体系中存在的缺陷分析

目前我国还没有独立的信息法,有关信息保护的民事及行政规定主要体现在《互联网信息服务管理办法》及《著作权法》等相关法律法规当中[4]。刑法当中的信息保护主要是以法益的不同,以分别的形式设置了相关章节。比如在第253条规定了出售及非法提供公民信息罪、非法获取公民信息罪;第219条规定了犯罪商业秘密罪。上述规定均和信息保护有关的刑法分则规定,但是并没有将信息当作法益进行规制,而是将市场经济秩序及公民人身权利当作犯罪客体,进一步各自应用在相应的章节当中作出相关规定。有学者“以个人信息为对象”与“以商业秘密为对象”,对基于信息保护罪名体系中存在的缺陷进行了分析,得出两个重要结论:其一是在公民个人信息保护问题中,大数据所带来的问题没有办法利用刑法目前具备的罪名体系进行解决。其二是我国刑事法律着重于维护竞争秩序的需要;同时基于内涵与外延两方面分析,商业秘密和大数据均存在显著差异。第219条保护商业秘密的刑法条文无法将大数据的保护问题进行有效解决。

3.完善大数据时代信息安全刑法保护体系的策略探究

对大数据时代信息安全刑法保护体系進行完善,无论是对于大数据时代信息安全的发展,还是对刑法保护体系的强化,均有着实质性的作用。具体完善措施如下:

3.1重视大数据到信息的动态形成过程

由网络产生的大数据动态性让我国现有刑法对信息系统的保护过于险隘及落后,进一步导致信息集成中的法益遭受损害的威胁[5]。所以,重视大数据到信息的动态形成过程便显得极为重要。一方面,需要做好静态系统安全到平台化信息分析的保护扩张工作,要认清从信息结构出发进行保护的迟焕性,从而把保护的关注点进行提前,然后重点关注整个动态集成过程当中。另一方面,需对法益侵害危险判断时间点进行提前。做好数据风险的控制,对于大量客户资源、财务数据及管件业务记录在传输及存储过程中需保持高强度的保密性及安全性。

3.2对刑法保护范围进行扩大

扩大刑法保护范围需要做好两方面的工作。一方面,需对技术性关键词解释进行完善。对于存在的法律漏洞,需要使用刑法条文的解释进行补充。对于具体罪状表述当中的关键词的内涵及外延,需与信息时代及网络空间的特点相结合,进一步做出规范的解释。另一方面,对于规范性关键词的解释需强化。比如,对于“公民个人信息”的解释,便不能仅限在“特定公民个人信息”这样的含义当中。另外,还可以通过对罪名建议与条款建议的增设,进一步使刑法保护范围得到有效扩大。

3.3将信息作为中心对刑法保护体系进行构建

在国家法益与个人法益之间存在秩序法益,秩序法益与个人利益及国家利益密切相关,因此基于风险显示增强的事实为出发点,对信息法益加以确立便显得极为重要。在将信息作为中心的基础上,要想构建有效的刑法保护体系,便需要对数据各环节的行为规范进行严格掌控,包括数据的收集、分析、传输及使用等[6]。对于一些违法规范的行为需采取合理性的惩罚措施。另外,对于以信息为中心的秩序、犯罪构成要件及社会危害性等理论问题,在目前我国刑法体系中较为匮乏,因此对这些内容进行强化便刻不容缓。唯有如此,我国刑法保护体系才能够更具完善性。

4.结语

通过本课题的探究,认识到目前刑法保护体系所存在一些较为明显的缺陷。因此,大数据时代信息安全刑法保护体系进行完善便显得极为重要。然而,这是一项较为系统的工作,不能一蹴而就,需要从多方面进行完善。例如重视大数据到信息的动态形成过程、将信息作为中心构建刑法保护体系及扩大刑法保护范围等。相信做好以上这些,大数据时代信息安全刑法保护体系将能够得到强有力的完善,进一步为我国现有刑法的完善起到推波助澜的作用。(作者单位:中国政法大学研究生院)

参考文献:

[1]冯伟.大数据时代面临的信息安全机遇和挑战[J].中国科技投资,2012,34:49-53.

[2]朱琳.浅议大数据时代下的信息安全[J].网友世界,2014,03:16-19.

[3]张薇薇.大数据时代信息安全隐患与对策分析[J].数字技术与应用,2014,07:190-193.

[4]肖广娣.凌云.大数据时代信息安全分析[J].电脑知识与技术,2013,35:37-38.

[5]戈悦迎.大数据时代信息安全与公民个人隐私保护——访中国电子商务协会政策法律委员会副主任,阿拉木斯[J].中国信息界,2014,02:51-55.

安全保护信息化建设论文 篇7

关键词:人才,信息安全,等级保护,政策,对策

2006年3月, 中共中央办公厅、国务院办公厅印发了《2006-2020年国家信息化发展战略》, 把建设国家信息安全保障体系作为我国信息化发展的战略重点。[1]工业和信息化部信息安全协调司赵泽良司长在2012中国信息安全年会暨第十届中国CSO俱乐部大会上指出, 中国信息安全强调加强信息安全工作的顶层设计。[2]这预示着我国信息安全逐渐向装备、资金、政策、标准、管理、人才、法律等多个维度的战略均衡布局发展。

相关文献及现实情况概述

2005年, 国家提出了“以人为本、科学发展、努力创新”的发展战略。[3]许多调查结果表明, 适当的人力资源政策鼓舞着员工的绩效表现。[4]在管理层次上, 单位的组织结构是基本的, 人力资源政策是为组织结构稳定作保障的。[5]稳键的信息保障状态, 意味着信息保障的政策、步骤、技术和机制在整个组织的信息基础设施的所有层面上都得到实施。[6]

当前, 信息安全已经渗透到社会各层级、各领域, 需要社会各类组织、单位形成一个体系架构———整合的政府危机管理体系来应对。所谓全面整合的政府危机管理体系, 是指在高层政治领导者的直接领导和参与下, 通过法律、制度、政策的作用, 在各种资源支持系统下, 通过整合的组织和社会协作和全程的危机管理, 提升政府危机管理的能力, 以有效预防、回应、化解和消弭各种危机。[7]2007年, 国家出台了《信息安全等级保护管理办法》, [9]旨在规范信息安全等级划分及管理, 为不断深入的信息化保驾护航。

目前, 我国电子政务仍处于“主要以发布信息为主”的应用模式, 电子商务屡屡爆出信息泄露, 甚至核心数据被盗的恶性事故。更让人不安的是, 那些已经造成信息安全事故但信息所有者或管理者却浑然不知。丁雷等研究人员根据对地区级信息安全人才的现状调研, 发现当前地区级信息安全人才的问题是:地区内信息安全专业人才结构不合理;信息安全专业化人员很少参与信息化规划及决策;基层信息安全分工管理的比例偏重;高端人才引入乏力等。[8]

抽样调查过程及统计数据

为了解和分析信息安全等级保护人才方面的政策执行情况, 本课题组选取了信息化相对较高的制造业、教育、信息技术服务、电力及能源、科学研究、服务等行业, 抽取多个大中型企业和部分信息安全专业研发、生产单位作为调查对象。经过与各单位领导、信息部门主管、人力资源部门主管的面对面访谈和问卷调查, 获得了有关单位的调查数据。具体数据统计结果见表1~表7。

基本数据分析及问题剖析

1.基本数据分析

(1) 人才建设配套政策存在结构性薄弱。访谈数据显示, 在人才梯队建设、人力资源政策、专业资质认证政策、奖惩政策4个方面, 大多数单位处于无配套政策的状态。

(2) 政策执行力度还有较大提升空间。在对已知信息安全政策 (包括非人才类政策) 的执行力进行评价方面, 大多数单位主管认为执行力度一般, 甚至有接近20%认为是较弱和很弱, 说明基层单位信息主管在信息安全建设中对有关政策执行的满意程度普遍不高。

(3) 政策完善、强制性诉求较为强烈。在政策强制性需求方面, 有近三分之二单位的信息主管认为需要增强信息安全有关政策的强制性。在完善政策是否能促进单位对信息安全人力资源需求的指标上, 有近85%的单位信息主管认为会有较大甚至很大的促进。

2.问题剖析

(1) 传统指令性体系里的惰性依然存在。在人才建设政策方面, 诸如信息安全人才梯队建设政策、人力资源政策、资质认证政策、奖惩政策等多个方面, 不具备任何一级政策的单位占据了主流。暴露出国家、地方和行业、单位三个层级在信息安全等级保护人才建设规划、人力资源规范管理、资质认证、奖惩制度等方面存在薄弱环节。

(2) 信息安全等级保护建设缺乏顺畅的沟通。访谈与调查数据说明, 在基层信息安全人员与地区信息安全主管部门之间存在沟通、政策执行、反馈不顺畅问题。这不仅阻碍着这些单位信息安全等级保护建设的步伐, 还会拖延地区信息安全的整体发展。

(3) 政策的强制性普遍薄弱。由于受访单位近二分之一的信息主管认为现有政策的执行力一般, 而且有近三分之二的信息主管认为, 信息安全等级保护的政策需要增强强制性, 以便基层切实落实有关建设。体现了单位一级信息主管整体上对国家、地区政策强制性的渴求程度, 佐证了我国信息安全等级保护有关政策缺乏必要的强制性, 一定程度上导致了信息安全等级保护建设推动不畅。

(4) 政策的完善程度存在较大短板。在信息安全人才培养、梯队建设、人力资源管理、专业资质认证、奖惩等政策方面, 仅资质认证具有国家级和其他个别地区自己制定的非强制性政策, 无论从平衡计分卡这一战略管理理论讲, 还是人力资源管理理论和策略, 都体现信息安全等级保护方面存在着多层级人才建设的政策短板。缺乏政策指导、引领、监督, 其执行的效率、效果必然受到影响。

(5) 组织架构与建设目标匹配度存较大提升空间。在调研中发现, 信息部门的信息安全工作大都仅作为信息化人员的兼任工作, 而地区一级, 信息安全测评机构、人才认证机构同样缺位。多级组织结构不健全必然影响信息安全以及相关人才的建设。

应对策略

1.国家层面需落实人才建设思路和加强政策强制性

信息安全涉及国家安全, 信息安全建设是一个系统工程, 是牵涉高新技术社会环境下国家安全的战略工程。而信息安全宏观战略的设计、规划、布局、实施、反馈、应对等, 都需要由专业化、对国家忠诚的人员来完成。所以, 作为信息安全建设的信息安全规划、战略决策机构, 需要从以重视装备研发、技术标准规范为重点, 向围绕信息安全多维度均衡发展的思路转变, 完善信息安全人才管理政策体系, 如出台国家级常态化的人才梯队建设政策、人力资源管理政策、人才建设及奖惩类政策、单位及信息安全人员审计政策等。

由于目前我国出台的有关信息安全等级保护方面的政策, 对于地区及基层单位都是指导性的, 缺乏适当的强制性, 使得国有制为主体的单位在信息安全等级保护建设方面打的折扣比较大, 甚至有的同级规模单位中, 国有单位在信息安全方面的建设不如民营单位。所以, 需要对已有政策的强制性进行必要的修改或补充, 即可以直接增强强制性, 或者对一定范围内的单位实施必要的强制性政策。

2.地方层面需完善在组织架构方面的布局

在国家政策陆续颁布的同时, 需要对地区主管部门的管理范围、协作、流程等进行必要的完善。例如:对信息安全装备测评单位、信息安全专业咨询机构、信息安全培训机构、信息安全人才资质认定机构、信息安全情报分析机构的人员编制动态核定, 另外, 部门间工作衔接流程以及回避制度等都需要尽快补充和完善。

3.提升地区管理的主动性、创造性

加强地区在信息安全建设方面的主动性、创造性, 需要各地区以责权利匹配的方式布局组织架构, 并以任务、绩效的可操作考核指标来评价, 以推动地区主管部门的主动性和创造性。调研获得的访谈和数据表明, 基层单位信息安全推动的突破口还是在管理层。所以, 当前地区开展信息安全建设最紧迫的工作, 是对基层单位管理者和单位内部信息部门主管两级管理者的危机培训、责任制的确立, 其次是人才的专业化、资质化建设。

4.建立地区信息安全建设人才交流平台

建立国家、地区两级人才交流平台, 以促进专业人才业务素质的快速提升。参考信息安全先进国家的经验, 这类交流平台基本分布在高校、研究机构和专业协会等机构中。所以, 我们可以结合不同部门的特点和专长, 建立专业技术类、管理类、政策标准类、法律类、分析咨询类、体系架构和危机处理类交流的平台, 以满足信息安全建设及人才建设的需求。而具体交流平台的载体, 可以是高校专业院系或机构、信息安全研究机构、信息安全协会等组织。

5.基层单位层面需完善的环节

(1) 加强信息安全建设意识的提升。

(2) 根据单位自身所处行业的特点, 以信息安全等级保护管理办法的定级标准开展单位定级工作。

(3) 主动加强与国家、地区级研究机构、高校、信息安全主管部门的沟通, 为单位信息安全建设和人才建设提供科学、有序、有效的保障。

参考文献

[1]张建标, 赖英旭, 侍伟敏.信息安全体系结构[M].北京工业大学出版社, 2011.

[2]王岩.2012中国信息安全年会暨CSO俱乐部大会召开.计算机世界:http://www.donews.com/net/201209/1664407.shtm.2012, 9.

[3]梁镇, 陈立文, 丁雷, 张建军, 梁洁涵, 曹晓丽.新技术企业知识型员工成长战略研究[M].中国铁道出版社, 经济科学出版社, 2010.

[4]高文海.人力资源政策如何转化为员工绩效[J].商学院, 2005 (5) .

[5]李丽娜.业务流程再造过程中的组织变革研究[D].大连理工大学, 2001.

[6]沈昌祥.信息安全国家发展战略思考与对策[J].中国公共安全 (学术卷) , 2005 (6) .

[7]张成福.公共危机管理:全面整合的模式与中国的战略选择[J].中国行政管理, 2003 (7) .

[8]丁雷, 王德庆, 钱海东, 何书林.地区级民用领域信息安全人才建设调查分析及对策[J].中国人力资源开发, 2013 (7) .

安全保护信息化建设论文 篇8

依据卫生部《卫生行业信息安全等级保护工作的指导意见》的通知要求, 为进一步落实国家、部相关要求, 提高CDC信息安全保障能力和水平, 需要尽快对CDC系统现有的网络及信息系统进行研究, 根据文件要求及信息化现状, 确定信息安全等级, 提出差距测评报告和整改方案, 完成系统整改实施以及系统测评工作。等级保护建设的必要性体现在两方面:第一是公安部、保密局、国密局、国信办文件精神要求。第二是CDC加强信息化安全建设的迫切需要, 尽早消除高危安全隐患, 增加抵御攻击能力, 从整体上提高安全防护水平, 从而带动整个CDC信息化的发展和建设水平。

1.1 建设背景

国家CDC成立于2002年, 其使命是通过对疾病、残疾和伤害的预防控制, 创造健康环境, 维护社会稳定, 保障国家安全, 促进人民健康。在对外开展业务的同时, CDC自身也非常重视信息化建设。目前, 中国疾病预防控制中心昌平新址园区基础网络办公环境已经搭成, 为中国疾病预防事业的发展提供了有力支撑。伴随着新的业务系统的快速发展, 信息系统所面临的安全威胁日益复杂, 对信息安全系统的需求与日俱增。同样对于CDC, 各层领导对安全工作非常重视, 进行了一系列的安全组织、制度、管理和技术等方面的安全建设工作, 为CDC信息网络的安全防护起到了积极的作用, 取到了积极的建设效果。但尚未形成一套等级化的信息安全保障体系, 整体安全技术防护能力和管理水平须进一步提升, 以满足CDC业务系统日益发展的带来的安全要求。

1.2 建设目标

总体建设目标是实现国家对信息系统实行等级保护的政策要求且顺利通过测评, 同时结合ISO27001安全管理体系标准, 将等级保护基本要求的管理措施有效落地。基于信息安全等级保护制度要求, 根据CDC系统网络结构和应用模式, 针对可能存在的安全风险和安全需求, 根据系统定级不同选择不同的保护措施, 综合考虑物理层、网络和系统层以及应用层的安全措施和技术以及管理措施, 建立安全、安全管理和安全策略三位一体等级化信息安全防护体系, 增强信息系统抗攻击破坏的防御与预警能力, 保障其系统的信息安全。

1.3 建设原则

1.3.1 适度安全原则

任何信息系统都不能做到绝对的安全, 在进行CDC信息安全等级保护规划中, 要在安全需求、安全风险和安全成本之间进行平衡和折中, 过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。

1.3.2 重点保护原则

根据信息系统的重要程度、业务特点, 通过划分不同安全保护等级的信息系统, 实现不同强度的安全保护, 集中资源优先保护涉及核心业务或关键信息资产的信息系统。

1.3.3 技术管理并重原则

信息安全问题从来就不是单纯的技术问题, 把防范黑客入侵和病毒感染理解为信息安全问题的全部是片面的, 仅通过部署安全产品很难完全覆盖所有的信息安全问题, 因此必须要把技术措施和管理措施结合起来, 更有效的保障信息系统的整体安全性, 形成技术和管理两个部分的建设方案。

1.3.4 分区分域建设原则

对信息系统进行安全保护的有效方法就是分区分域, 由于信息系统中各个信息资产的重要性是不同的, 并且访问特点也不尽相同, 因此需要把具有相似特点的信息资产集合起来, 进行总体防护, 从而可更好地保障安全策略的有效性和一致性。

1.3.5 标准性原则

信息安全建设是非常复杂的过程, 在设计信息安全系统, 进行安全体系规划中单纯依赖经验, 是无法对抗未知的威胁和攻击, 因此需要遵循相应的安全标准, 从更全面的角度进行差异性分析, 是本方案重点强调的设计原则。

1.3.6 成熟性原则

方案设计采取的安全措施和产品, 在技术上是成熟的, 是被检验确实能够解决安全问题并在很多项目中有成功应用的。

2 总体建设规划

2.1 系统定级

通过对CDC信息系统识别分析进行子系统划分, 分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度, 制定细化定级规则, 确定系统安全保护等级, 完成信息系统的定级备案工作。

2.2 差距测评

差距测评是针对已完成定级的业务系统, 是否满足不同安全保护等级信息系统的基本保护标准要求, 依据差距测评表中的各项安全要求, 对比业务系统现状和安全要求之间的差距, 确定不符合项并形成差距测评报告。

2.3 整改方案设计

参照国家等级保护相关安全要求, 结合信息化建设规划、资金预算等实际, 通过分步实施、重点落实的建设方法, 从技术体系和管理体系两方面提出合理的整改建设方案, 该方案必须保证其实施对当前信息系统结构改动最小, 对承载业务系统的影响最小。同时做好中长期信息安全建设规划, 为信息系统将来的安全建立一个安全体系框架和目标提供参考。

2.4 整改集成实施

根据差距性测评报告与等级保护相应级别要求之间的差距, 结合整改建议方案内容编制的整改实施方案, 在整改实施方案的总体规划指导下, 涵盖安全建设阶段的各项实施内容, 由集成商完成实施工作, 对信息系统等级化建设分期、分步落实安全技术和管理措施, 全面贯彻落实信息安全等级保护制度。

2.5 等级测评

邀请在《国等级保护测评机构推荐目录》的测评机构完成对整改实施完成后的系统测评工作, 以满足国家等级保护相应级别的合规性检查。

2.6 整改实施项目验收

整改实施工作完成后, 组织专家对整改实施项目进行验收, 按照项目验收方案涵盖的标准进行符合性和可行性验收。

2.7 安全运维

等级保护建设工作完成后, 就进入了信息系统运维阶段, 建立科学安全运维服务体系, 要包括运行管理、安全状态监控、安全事件处置和应急、安全检查和持续改进等工作。目标是做到信息网络故障早发现、早解决, 确保计算机系统、网络和应用的连续性、可靠性和安全运行, 降低发生故障的可能性, 提高整体的系统运行维护管理水平和服务保障能力。

2.8 后续测评和检查

按照43号文要求, 认真做好三级及以上系统每年至少一次的等级测评和监督检查工作。

3 结语

本文主要论述CDC进行等级保护建设的必要性以及完成等级保护全生命周期所要经历的一系列活动, 难点主要在于定级后如何进行建设和整改, 这也是等级保护工作真正落到实处的关键阶段。总之需要认识到等级保护建设的任务长期性, 是一个需要不断循序渐进, 持续改进的系统过程。

(本文编辑:赵瑞)

【传染病控制管理】

安全保护信息化建设论文 篇9

关键词:等级保护,管理系统,测评,信息安全

0 引言

目前我国信息化发展迅猛, 国家非常重视信息安全工作, 信息安全等级保护测评作为信息安全工作的重要内容已经在全国范围内全面开展。

信息安全等级保护测评理论研究日趋成熟, 测评手段和方法日渐完备, 相关资料比较充分, 但是目前在等级保护测评工作中也遇到了一个问题, 那就是协助测评工作的辅助工具很少, 满足安全服务需求的信息安全等级保护管理系统还始终处于空白状态, 这就导致了在测评过程中不得不将大量的人力、精力投入到测评管理、资产采集、过程文档的生成、现场采集数据的录入, 测评数据的分析、报告的编写过程中。

信息安全等级保护管理系统正是要解决这些问题, 将测评过程规范化, 以信息安全等级保护测评方法为基础, 构建面向信息系统的安全测评工具, 建立一个规范、系统、全面的信息安全等级保护测评的工作支撑平台, 使测评工作系统化、规范化, 从而提高信息系统测评的准确性和自动化程度, 最大限度地降低人力资源, 节省人工时间, 提高工作效率。

1 信息安全等级保护管理系统的建设原则

信息安全等级保护管理系统的建设坚持以统筹规划、资源共享、融合平台、突出特色、可持续发展的原则, 旨在建立信息系统安全测评专业化服务体系, 形成规范化服务模式。信息安全等级保护管理系统的设计需要遵循以下原则。

(1) 统筹规划原则

全面布局, 遵循统一规划、统一标准、统一指导, 分步实施、分级负担、分级管理, 网络互联、信息共享的原则, 为国家重要信息系统提供安全咨询、等级保护测评、安全建设整改、安全运营等专业化信息安全服务, 为内部建立完善的业务管理体系, 形成统一的业务管理流程。

(2) 密切合作原则

紧密协作、集中优势、整合资源。信息安全测评机构应与公安机关、安全厂商、科研院所通力配合与紧密协作, 着力打造符合信息化要求的信息安全等级保护管理系统。

(3) 可持续发展原则

坚持服务为主, 可持续发展。要顺应市场发展需要, 不断完善管理体制、创新理念和运营机制, 使信息安全等级保护管理系统建设完成后, 要具备可持续发展的能力, 能够自主、持续地提供信息安全服务。

(4) 先进性原则

系统设计要充分考虑未来技术发展的需要, 要广泛吸取国内外的成功经验, 最大限度地采用当今世界先进、成熟、有发展前景的技术。这不仅包括数据库所选用的结构、数据所采用的格式和分类方法等开发内容的先进性, 也包括开发平台、操作系统、编程模式等具体开发技术的先进性, 还有支持外包服务的业务流程方面功能实现的先进性。由此建设的系统才能随着未来科学技术的发展而不断地平稳升级, 使系统保持强大生命力。

(5) 多项扶持原则

坚持国家、地方和企业共同建设。通过国家、省资金引导, 带动地方、企业资金和资源的投入, 推动国家和地方资源共享与合作发展, 实现资源利用效益最大化。

(6) 设计独立原则

坚持“功能和数据相分离、逻辑和功能相分离、前台表示和后台实现相分离”的设计原则。

(7) 扩展性原则

系统设计要充分考虑到技术发展、用户变化、功能增加所导致的需求变更, 并要考虑到将来与其它相关系统的数据兼容和共享, 需要具备较强的系统容量扩展能力, 具备支持多种应用服务的能力, 可根据应用发展的需要进行灵活、快速的调整。

(8) 安全性原则

信息安全等级保护管理系统必须具有较高的安全性和可靠性。对系统结构、网络系统、服务器系统、存储系统、备份系统等方面须进行高安全性和可靠性设计, 并通过完善的管理机制和控制手段, 提高系统的防病毒、防入侵能力, 建立一个完善的、能够阻止被国内外反动、敌对分子恶意攻击和非法利用应用系统。

(9) 质量监管原则

以严格的项目管理体制为保证, 建立完善的项目管理体系, 加强项目的时间、范围、费用、人力资源、沟通、风险、质量、采购等各领域的管理, 严格控制变更。各级领导充分重视, 采取专家咨询、工程监理和测试验收制度, 从各方面对系统建设进行全面的监控和管理, 以保证质量和进度。

(10) 资源整合原则

在系统的设计建设上, 应考虑系统运行使用后的维护工作, 建立维护部门, 确定进行维护工作所应遵循的原则和规范化的过程, 建立一套适用于实际测评过程的文档及管理措施, 保证信息安全等级保护管理系统安全、可靠的运行。

2 信息安全等级保护管理系统的框架

信息安全等级保护管理系统对外实现产品级的信息安全测评服务, 对内形成高效、便捷的业务管理体系。系统以安全测评平台为核心, 包括安全测评平台、安全管理平台、信息采集系统等三部分。三个系统之间存在一定的联系, 同时三个子系统又可以单独的工作。如图1所示。

安全管理平台系统, 主要的任务是维护测评机构的日常测评项目的事务管理, 注重业务管理, 同时可以对安全测评平台的数据进行监控和统计分析。

安全测评平台系统, 主要任务是完成测评项目的具体测评工作, 测评平台测试的项目, 可以通过安全管理平台提供, 也可以在安全测评平台中添加一个测试项目, 这样测评平台既可以依托于管理平台工作, 也可以独立对项目进行测评工作。

信息采集系统, 主要的任务是负责为安全测评工作提供所需要的安全信息, 生成各类现场操作单, 并将现场采集的信息录入到安全测评平台。工具集的工作可以依赖测评平台工作, 也可以根据需求手动添加要提取的数据项。

客户通过网络接口提交业务申请, 并提交相应的材料。测评机构对提交的资料进行形式化审查, 生成测评合同。项目正式启动, 生成测评方案。

3 信息安全等级保护管理系统的功能结构

信息安全等级保护管理系统, 是一套综合性的信息化系统。主要完成被测项目相关资料的归档管理、测评流程的自动化计算、生成测评过程中各个阶段的相关文档等工作。

3.1 系统测评模块

系统测评模块是整个系统的核心功能模块, 完成等级保护测评工作的整个流程。

(1) 准备阶段:主要完成测评项目的前期准备工作。该阶段的任务, 包括任务分配、系统调查、系统审查、工具使用、测评方案、测评准备阶段的任务, 可以在任务分配的时候分配给相应的测评工程师。

(2) 测评阶段:主要完成测评流程工作。该阶段包括, 资产识别分析、已有控制措施、脆弱性识别分析、风险分析、整改建议、测评报告。该阶段可以在任务分配的时候分配给测评工程师。

(3) 质量控制:质量控制模块, 主要是项目负责人和质量监督员的专属权限模块, 测评工程师没有权限进入该模块, 不能进行阶段审批和报告审批等工作。

(4) 评价管理:评价管理, 主要是项目负责人和质量监督员对该项目以及项目参与人员的评价信息。此处的项目评价, 只针对当前项目。

3.2 项目管理模块

项目管理模块, 主要是对整个系统中的项目进行管理。包括添加、修改、删除项目, 以及项目的统计分析工作。

(1) 项目管理:完成项目的添加、修改、删除等项目管理工作。包括管理测评项目的测评流程、项目测评包含的测评阶段, 需要审核的阶段等。

(2) 项目统计:对已有项目的统计工作, 可以Excel等格式导出统计的结果。

3.3 知识库管理模块

维护测评项目中要用到的各种基础库的管理。包括脆弱性库、威胁库、设计项目库, 以及脆弱性与威胁的关联库管理, 还可以对脆弱性库、威胁库进行编辑和内容查询。系统的知识库与测评项目应分离, 可以任意修改知识库的内容而不影响之前已经完成的测评项目。

3.4 系统管理模块

系统管理模块, 完成系统的基础信息维护, 实现对单位基础信息的管理、系统使用权限的管理以及系统审计记录管理等。

(1) 用户信息:当前登录用户个人信息的维护, 对系统登录密码等信息的管理。

(2) 基础信息管理:对测评机构基础信息进行管理, 包括机构资质、人员、资产等信息的管理, 还支持被测单位、委托单位的信息进行管理。

(3) 权限管理:在整个系统运行维护过程中, 对系统使用权限以及项目测评权限进行管理。

(4) 系统审计:对系统中所有用户使用系统的记录进行审计, 可以对这些日志记录进行维护, 包括查询、删除等操作。

4 推广信息安全等级保护管理系统的意义

信息安全等级保护测评工作的核心是建立一套科学公正的指标体系和测评管理体系, 信息安全等级保护管理系统正是实现这一目标的有利辅助工具, 该系统的建设与推广主要有如下几点意义:

(1) 实现了信息系统等级保护测评的网络化集成管理, 利用管理系统来完成信息安全等级保护测评工作, 提高工作效率, 简化工作要素。

(2) 研究检测测评技术、规范和方法, 为信息系统和安全产品的测评、测试、选型提供科学、客观的标准。

(3) 协助政府部门发挥监管职能, 规范信息安全测评市场。

(4) 提供软件代码级、模块级、产品级的安全检测能力, 提供针对主流信息安全产品的标准符合性测评服务, 进一步加强对主流信息安全产品的功能、性能以及安全性的检测服务能力。

(5) 建立信息系统测评资源库, 提出科学、规范、合理的测评资源组织方式。

(6) 形成标准规范式的制定模式, 促进适应信息安全保障体系建设需求的信息安全标准体系的建立。

(7) 促进信息安全测评服务质量与技术能力的提升, 推进我国信息化建设进程。

5 结束语

信息安全等级保护管理系统不仅适用于测评机构的日常测评管理工作, 为重要信息系统提供安全测评服务, 提高信息安全技术服务能力, 为社会提供优质的信息安全专业化服务, 也可用于检查机构的检查评估和各单位进行的自测评, 从而提高信息系统的安全性, 降低系统遭受安全威胁的可能性。

信息安全等级保护管理系统的建设与推广不仅可以改善我国信息系统安全等级保护测评的技术能力与手段, 充实信息安全相关资源库, 为政府、企事业单位提供信息安全自动化管理工具, 还可以填补国内在信息安全测评服务体系上管理和技术相结合的空白, 有效促进等级保护工作的顺利开展, 进一步落实国家关于信息安全等级保护的相关要求, 开创信息安全测评的新局面。

参考文献

[1]肖国煜.信息系统等级保护测评实践[J].信息网络安全, 2011 (7) :86-88.

[2]王亚东.信息安全管理体系与等级保护的关系研究[J].北京电子科技学院学报, 2012, 20 (2) :26-30.

[3]张都乐.信息系统等级保护实施方案研究与分析[J].网络安全技术与应用, 2012 (8) :5-7.

[4]郭新安.从安全等级保护的角度看信息系统制度建设[J].信息系统工程, 2012 (6) :67-69.

[5]肖国煜.信息系统等级保护测评实践[J].信息网络安全, 2011 (7) :86-88.

安全保护信息化建设论文 篇10

在国外,随着诸如ISO27001,萨班斯法案等信息安全标准和法规的颁布,国外的信息安全审计已经深入企业,得到了广泛的应用。而在我国,信息安全审计主要来源于企业信息安全管理的需求、企业内控的要求并且获得了一定规模的应用。而随着计算机信息安全等级保护的推进,信息安全审计必然越来越受到政府、企事业单位的重视。目前市场上存在着各种各样的信息安全审计系统,其功能不一,部署使用方式也不相同。如何在等保建设中更好的应用审计系统,本文在以下内容中给出了分析和建议。

1 信息安全审计的意义和目的

计算机信息安全是要保证计算机信息系统中信息的机密性、完整性、可控性、可用性和不可否认性(抗抵赖),简称“五性”。安全审计是这“五性”的重要保障之一,它对计算机信息系统中的所有IT资源(包括数据库、主机、操作系统、安全设备、网络行为等)进行安全审计,提供给系统管理员作为系统维护以及安全防范的依据。安全审计如同银行的CCAV监控系统,任何人进出银行,柜台操作都进行如实录像记录,一旦有异常事件可以快速的查阅进出记录和行为记录,确定问题所在,以便采取相应的处理措施。

信息系统的安全审计工作更为复杂,通过统一收集信息系统中的设备、系统、终端、应用的登录、操作日志以及其它各种网络行为,例如互联网访问,FTP传输、电子邮件等记录,通过综合关联分析从各类记录中进行多层面、多视角的跟踪、分析和处理,发现异常事件,及时采取相应措施。

通过以上分析可以看到信息安全审计在信息安全管理体系中是不可缺失的部分。它的作用主要如下:

(1)对正在发生的各类信息事件进行监控、记录和告警;

(2)为安全主管提供审计记录和分析决策,及时针对异常行为采取措施;

(3)通过安全审计记录,可以对于已发生的信息系统破坏行为提供有效的法律追究证据;

(4)有效的安全审计策略和安全审计防护措施可以对潜在的攻击者起到震慑和警告的作用。

2 等级保护中安全审计问题

2.1 等级保护中的安全审计要求

等级保护是我国目前在非涉密系统信息安全防护方面一个有效的政策依据。等级保护测评中对网络,主机,数据库和应用都有相应的安全审计要求。

2.1.1 各安全域通用要求

(1)审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等;

(2)应保护审计进程,避免受到未预期的中断;

(3)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。

2.1.2 网络设备和网络安全设备特殊要求

应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。

2.1.3 主机和数据安全审计特殊要求

(1)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;

(2)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等;

(3)应能够根据记录数据进行分析,并生成审计报表。

2.2 等级保护中存在的安全审计问题

在实际测评中由于企业对安全审计不够重视导致存在诸多安全隐患,不但影响了测评结果也给企业带来了安全风险。

2.2.1 网络设备和安全设备存在的问题

(1)未开启安全审计功能,或只设置了相应的日志服务器但没专人定期对日志分析、记录;

(2)记录内容较简单,只包含用户登录行为,而对设备运行情况、网络告警信息、流量信息都未记录;

(3)只是简单的对日志进行保存,并未能运用这些数据做分析统计并从中发现问题;

(4)对审计记录的保存未做过优化或定期检查,没有专人进行维护,不能确保审计记录不会被修改或删除。

2.2.2 主机和数据库存在的问题

(1)LINUX系列主机安全审计功能一般都未启,而对于WINDOWS系列的主机安全审计功能均是系统默认设置。

(2)主机开启了审计服务但审计对象只包含了操作系统用户,而对数据库用户和其他系统的用户并未进行审计。

(3)只是简单对日志进行保存,并没有专人对这些数据统进行计分析统计。

(4)对审计日志的记录的内容采采取了系统默认保存方法,对日志存储位置、存储最大值以及达到最大值后的处理都未设置。

(5)对审计进程和审计日志均没有专人去做维护检查,不能保证审计系统的安全运行,审计日志不被非法修改。

2.3 等级保护中安全审计的重要性

从多次等保测评的结果看来,不少企业对安全审计不够重视,信息安全建设主要集中于传统的信息安全基础设施,如部署防火墙,IPS等。目前企业的信息安全管理主要依托于这类网关型安全设备上,忽略了事中监控和事后审计溯源的安全管理。从实际测评中发现造成这一系列问题的主要原因是未能认识信息安全审计的重要性,对信息安全审计所需的各类资源投入不足。有效安全审计手段的缺失不仅使企业信息安全等级保护不足,而且也使企业自身信息安全管理体系存在短板,导致企业存在以下安全风险:

(1)内部风险:由内部员工违规操作导致的安全风险和网络的非法接入带来的风险。

(2)第三方维护:企业系统由第三方维护所带来的风险。

(3)系统日志:单纯的分析业务系统或者数据库系统的日志,都无法对整个访问过程是否存在风险进行判断。

3 信息安全审计系统介绍

根据信息安全管理需要,信息安全厂家开发和研制了诸多的信息信息安全审计系统。这些信息安全审计系统按照审计对象可分为网络审计,终端审计,应用系统审计、运维审计系统和安全审计管理平台(例如SOC,SIEM)。

3.1 网络审计系统

主要负责网络通信的审计;通过网络镜像方式对网络数据包进行分析判断,根据通信协议、TCP/IP端口对网络数据进行应用归类和记录,通过预设的规则发现和找出网络应用行为中的异常。通常该类系统旁路部署于网络出口或者核心交换机处。

3.2 终端审计系统

主要负责用户终端的审计;对所有终端的登录,移动介质的使用、终端配置的改变、文件的访问操作以及终端违规外联等进行记录审计。该系统通常采取C/S架构方式,在每个终端上安装客户端程序并从终端审计服务器上下载相应策略。

3.3 应用审计系统

主要负责重要服务器主机的应用平台软件,以及重要应用系统进行审计,目前应用最为广泛的是数据库审计系统。该系统对数据库的镜像数据操作进行审计,通过分析数据包,鉴别数据库登录用户、使用账号并对数据库的各类操作行为进行记录分析,帮组运维管理人员准确发现各种非法、违规的数据库操作,并及时告警响应处理,降低数据库安全风险。该系统一般旁路部署于数据库服务器区。

3.4 运维审计系统

该系统通过SSO单点登录功能,实现账号管理,身份认证,资源授权,访问控制和操作审计的功能,该设备在网络中常采取逻辑串接或物理串接方式。

3.5 安全审计管理平台(SOC/SIEM)

该系统是安全审计的统一管理平台。该系统解决了现有的网络中审计信息孤立分散,缺乏关联性的情况。系统通过采集各类网络设备、安全设备、主机系统、应用系统等的信息日志,进行深度关联分析,最终实现审计日志的集中统一汇总、集中统一分析和集中统一展现。

4 信息安全审计系统在等级保护建设中的应用

等级保护建设中提出了很多具体的安全审计要求。不少企业不知从何处着手开展工作。信息安全审计系统种类繁多、针对性强,在等级保护建设过程应该根据等级保护的具体要求并结合这些审计系统的特点,有针对性的进行建设才能最终满足等级保护要求,提高企业安全水平。

以等级保护测评三级系统为例,安全审计方面建设可以从以下几方面考虑。

4.1 等保三级系统中网络设备和网络安全设备的安全审计

4.1.1等级保护基本要求

(1)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;

(2)审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

(3)应能够根据记录数据进行分析,并生成审计报表;

(4)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。

4.1.2 可采用的审计系统

按照等级保护三级系统中对网络设备和网络安全设备的安全审计基本要求,可采用网络审计系统。

4.1.3 符合度分析

网络审计系统通过网络数据的采集、分析、识别,实时动态监测通信内容、网络行为和网络流量,发现和捕获各种敏感信息、违规行为,实时报警响应,全面记录网络系统中的各种会话和事件,实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位。

网络审计系统支持权限分级管理模式,可对不同的角色设定不同的管理权限,符合三权分立原则。例如,超级管理员拥有所有的管理权限;而某些普通管理员则可能仅拥有查看审计报表的权限,某些管理员可以拥有设置审计策略或安全规则的权限。并可对依据审计记录生成报表。

4.2 等保三级系统中主机和数据库的安全审计

4.2.1 等级保护基本要求

(1)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;

(2)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;

(3)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;

(4)应能够根据记录数据进行分析,并生成审计报表;

(5)应保护审计进程,避免受到未预期的中断;

(6)应保护审计记录,避免受到未预期的删除、修改或覆盖等。

4.2.2 可采用的审计系统

按照等级保护三级系统中对主机和数据库的安全审计基本要求,可采用终端审计系统、运维审计系统、数据库审计系统。

4.2.3 符合度分析

终端审计系统对需要接入网络的终端进行安全认证,只有符合要求的终端才能接入,检查终端防病毒软件安装情况以及病毒库更新情况,对接入的移动存储设备进行管理以及对终端数据操作进行管理审计。可审计操作系统账号的维护操作,对账号登录和退出的操作进行审计,对终端系统的文件操作进行审计。

运维审计系统提供两种以上组合方式进行身份验证。可以提供本地认证、AD域认证、Radius认证、数字证书认证。通过主从账号一一对应的授权方式,赋予用户完成操作的最小权限。其中命令访问控制策略,能对高危命令进行告警或阻断;图形控制策略能对RDP文件传输进行控制,达到允许或阻断的能力。访问控制粒度达到文件或命令级别。

运维审计系统记录系统的相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。应提供审计记录查询、分类、分析和存储保护;确保对特定安全事件进行报警;确保审计记录不被破坏或非授权访问。应为安全管理中心提供接口。堡垒机能够对字符、图形、数据库操作、WEB应用、应用发布、KVM等各类操作进行审计,堡垒机作为独立的第三方审计系统,可以有效避免数据遭到破坏或非授权的访问删除、增加、篡改;对于审计记录只有超级管理员和审计员可以查看。

5 总结

信息安全管理是一个完整的体系,必须要考虑到信息安全的事前防御、事中监控、事后分析。信息安全审计系统的引入在等级保护工作中填补了在传统企业安全溯源不足所带来的风险。信息安全审计系统代替了设备自身的日志记录功能可实现系统的统一管理。

信息系统安全等级保护研究与实践 篇11

安全防护需求

《信息安全技术一信息系统安全等级保护基本要求》(GB/T22239-2008)明确了基本要求,电网作为重点行业信息安全领域,充分结合自身安全的特殊要求,在对国家标准消化基础上进行深化、扩充,将二级系统技术要求项由79个扩充至134个,三级系统技术要求项由136个扩充至184个,形成了企业信息系统安全等级保护要求,见表1。

安全防护架构与策略

按照纵深防御的思想设计安全防护总体架构,核心内容是“分区、分级、分域”,如图1所示。分区就是按照《电力二次系统安全防护规定》(电监会5号令)将信息系统划分为生产控制大区和管理信息大区两个相对独立区域进行安全防护。分级就是将部署于大区的各系统分别确定安全保护级别实现等级化防护。分域就是将部署于大区的各系统,依据系统级别及业务系统类型划分不同的安全域,实现不同安全域的独立化、差异化防护。总体上形成了“区、级、域”多梯次大纵深的安全防护构架。

生产控制大区和管理信息大区的系统特性不同,安全防护策略也不尽不同。本文仅描述管理信息大区的安全防护策略。管理信息大区部署管理类业务的系统,安全防护遵循以下策略:

(1)双网双机。将管理信息大区网络划分为信息内网和信息外网,内外网间采用逻辑强隔离装置进行隔离,内外网分别采用独立的服务器及桌面主机;

(2)分区分域。将管理信息大区的系统,依据定级情况及业务系统类型,进行安全域划分,以实现不同安全域的独立化、差异化防护;

(3)等级防护。管理信息系统以实现等级保护为基本出发点进行安全防护体系建设,并参照国家等级保护基本要求进行安全防护措施设计;

(4)多层防御。在分域防护的基础上,将各安全域的信息系统划分为边界、网络、主机、应用四个层次进行安全防护设计,以实现层层递进,纵深防御。

安全防护设计

信息系统安全防护按照边界安全防护、网络环境安全防护、主机系统安全防护、应用安全防护四个层次进行防护措施设计。

(一)边界安全防护

边界安全防护目标是使边界的内部不受来自外部的攻击,同时也用于防止恶意的内部人员跨越边界对外实施攻击,或外部人员通过开放接口、隐通道进入内部网络;在发生安全事件前期能够通过对安全日志及入侵检测时间的分析发现攻击企图,安全事件发生后可以提供入侵事件记录以进行审计追踪。

边界安全防护关注对进出该边界的数据流进行有效的检测和控制,有效的检测机制包括基于网络的入侵检测(IDs)、对流经边界的信息进行内容过滤,有效的控制措施包括网络访问控制、入侵防护、虚拟专用网(VPN)以及对于远程用户的标识与认证/访问权限控制。上述边界安全防护机制与其它层面安全措施可协同使用以提供对系统的防护。

信息系统边界归为信息外网第三方边界、信息内网第三方边界、信息内外网边界、信息内网纵向上下级单位边界及横向域间边界五类,安全防护设计见表2

(二)网络安全防护

网络环境安全防护的目标是防范恶意人员通过网络对应用系统进行攻击,同时阻止恶意人员对网络设备发动的攻击,在安全事件发生前可以通过集中的日志审计、入侵检测事件分析等手段发现攻击意图,在安全事件发生后可以通过集中的事件审计系统及入侵检测系统进行事件跟踪、事件源定位以发现恶意人员位置或及时制定相应的安全策略防止事件再次发生。

网络安全防护面向企业整体支撑性网络,以及为各安全域提供网络支撑平台的网络环境设施,网络环境具体包括网络中提供连接的路由器、交换设备及安全防护体系建设所引入的安全设备。安全防护设计见表3。

(三)主机安全防护

主机系统安全的目标是确保业务数据在进入、离开或驻留服务器时保持可用性、完整性和保密性,采用相应的身份认证、访问控制等手段阻止未授权访问,采用主机防火墙、入侵检测等技术确保主机系统的安全,进行事件日志审核以发现入侵企图,在安全事件发生后通过对事件日志的分析进行审计追踪,确认事件对主机的影响以进行后续处理。

主机系统安全防护包括对服务器及桌面终端的安全防护。服务器包括业务应用服务器、网络服务器、WEB服务器、文件与通信等;桌面终端是作为终端用户工作站的台式机与笔记本计算机。安全防护设计见表4。

(四)应用防护

应用安全防护的目标是保证应用系统自身的安全性,以及与其他系统进行数据交互时所传输数据的安全性;在安全事件发生前发现入侵企图或在安全事件发生后进行审计追踪。

应用安全防护包括对于应用系统本身的防护、用户接口安全防护和对于系统间数据接口的安全防护。安全防护设计见表5。

安全防护实施

信息系统安全等级保护实施涉及到系统定级、现状测评、安全建设改造方案编写及实施、等保符合度测评、备案等工作。依据《信息安全技术一信息系统安全等级保护定级指南》(GB/T22240-2008)开展定级工作,定级结果报政府主管部门审批确认。现状测评委托专业机构进行,测评结果作为安全建设方案编写的主要依据。安全域是安全防护总体架构的关键环节,是方案制定的关键内容之一。

管理信息大区划分为内网和外网,内网部署为公司内部员工服务的系统,外网部署对外服务的系统。安全域是由一组具有相同安全保障要求、并相互信任的系统组成的逻辑区域,同一安全域的系统共享相同的安全保障策略。按照等级保护的思想,安全域按照“二级系统统一成域,三级系统独立分域”原则划分。将等级保护较高的三级系统按独立的安全域进行安全防护,以实现三级系统的独立安全防护,将所有二级系统作为一个安全域进行安全防护可降低成本。定级和安全域划分见表6。

限于篇幅,系统建设改造方案细节、等保符合度测评等内容不在此赘述。

安全保护信息化建设论文 篇12

第一, 利用基础信息网络和重要信息系统的违法犯罪活动迅速上升。

不法分子利用一些安全漏洞, 使用病毒、木马、网络钓鱼等技术进行网络盗窃、网络诈骗、网络赌博等违法犯罪, 对我国的经济秩序、社会管理秩序和公民的合法权益造成严重侵害。

第二, 基础信息网络和重要信息系统存在安全隐患。

由于各基础信息网络和重要信息系统的核心设备、技术和高端服务主要依赖国外进口, 在操作系统、专用芯片和大型应用软件等方面不能自主可控, 给我国的信息安全带来了深层的技术隐患。

第三, 我国的信息安全保障工作基础薄弱。

信息安全意识和安全防范能力差, 信息系统安全建设、监管缺乏依据和标准, 安全保护措施和安全制度不完善, 监管措施不到位。1994年《中华人民共和国计算机信息系统安全保护条例》 (国务院147号令) 规定, “计算机信息系统实行安全等级保护, 安全等级的划分标准和安全等级保护的具体办法, 由公安部会同有关部门制定”。2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》 (中办发[2003]27号) 明确指出“实行信息安全等级保护”, “要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统, 抓紧建立信息安全等级保护制度, 制定信息安全等级保护的管理办法和技术指南”。实行信息安全等级保护是国际上通行的做法开展信息安全等级保护工作应建立安全保护机制, 安全保护机制包括:信息安全效能评估、信息安全保障工作评价机制、印记响应机制、安全响应技术体系、安全监测预警机制等。

二建立信息网络和重要信息系统安全保护机制

本人就从事信息安全等级保护工作以来, 浅谈信息系统在开展等级保护工作建立安全保护机制应从以下几个方面开展。

(一) 积极组织部署等级保护工作

1.专门成立等级保护协调领导机构成立由分管领导、分管部门、网络管理组成的信息安全等级保护协调领导小组, 确保系统高效运行、理顺信息安全管理、规范信息化安全等级建设。

2.明确等级保护责任部门和工作岗位开会、下文明确等级保护责任部门, 做到分工明确, 责任具体到人。

3.贯彻落实等级保护各项工作文件或方案等级保护责任部门和工作人员认真贯彻落实公安部、省公安厅等级保护各项工作文件或方案, 制定出《网络与信息安全事件应急预案》、《机房管理制度》等一系列规章制度, 落实等级保护工作。

4.召开工作动员会议, 组织人员培训, 专门部署等级保护工作每季度召开一次工作动员会议, 定期、不定期对技术人员进行培训, 并开展考核。技术人员认真学习贯彻有关文件精神, 把信息安全等级保护工作提升到重要位置, 常抓不懈。

5.要求主要领导认真听取等级保护工作汇报并做出重要指示主要领导对等级保护工作给与批示, 要求认真做好有关工作。指示责任部门做好自检、自查, 精心准备, 迎接公安机关专项检查。

(二) 认真落实信息安全责任制

1.成立信息安全职能部门单位需成立信息系统安全职能部门, 负责信息系统络建设, 信息安全, 日常运行管理。

2.制定信息安全责任追究制度制定相应信息安全责任追究制度, 定岗到人, 明确责任分工, 把信息安全责任事故降低到最低。

(三) 积极推进信息安全制度建设

1.加强人员安全管理制度建设各单位需建立人员录用、离岗、考核、安全保密、教育培训、外来人员管理等安全管理制度, 对新进人员进行培训, 加强人员安全管理, 不定期开展考核。

2.严格执行机房安全管理制度各单位需制定出《机房管理制度》, 加强机房进出人员管理和日常监控制度, 严格实施机房安全管理条例, 做好防火防盗, 保证机房安全。

3.建立系统建设管理制度各单位需制订产品采购、工程实施、验收交付、服务外包等系统建设管理制度, 通过公开招标, 择优选用, 提高系统建设的质量。

(四) 大力加强信息系统运维

1.开展日常信息安全监测和预警各单位需建立日常信息安全监测和预警机制, 提高处置网络与信息安全突发公共能力事件, 加强网络信息安全保障工作, 形成科学、有效、反应迅速的应急工作机制, 确保重要计算机信息系统的实体安全、运行安全和数据安全, 最大限度地减轻网站网络与信息安全突发公共事件的危害。

2.建立安全事件报告和响应处理程序各单位需建立健全分级负责的应急管理体制, 完善日常安全管理责任制。相关部门各司其职, 做好日常管理和应急处置工作。设立安全事件报告和相应处理程序, 根据安全事件分类和分级, 进行不同的上报程序, 开展不同的响应处理。

3.制定应急处置预案, 定期演练并不断完善制定安全应急预案, 根据预警信息, 启动相应应急程序, 加强值班值守工作, 做好应急处理各项准备工作。定期演练预警方案, 不断完善预警方案可行性、可操作性。

(五) 有效推进信息系统等级测评和安全建设整改工作

1.制定等级测评工作计划认真制定等级测评工作计划表, 按照工作计划表, 有条不紊的开展等级测评。

2.制定安全建设整改工作计划制定安全建设整改工作计划, 根据自查结果, 对发现问题进行安全建设整改。编制整改方案, 限期完成整改计划。

3.保证等级测评工作经费优先保证等级测评工作经费的划拨、使用。

4.落实安全建设整改工作经费保障积极落实安全建设整改工作经费, 协调财政部门保障整改经费保障。

三不断完善等级保护自查和整改

1.组织部署等级保护自查工作领导协调小组开专题会议, 部署等级保护自查工作。按照信息安全等级保护工作检查表的要求, 细化各项检查指标, 落实各项指标。

2.等级保护体系建立后, 还需要一个有效的、持续性的验证方法确保信息系统在不断发展的同时保证符合安全等级要求, 并且由管理部门确认信息系统能够投入运行, 这就是信息系统的认证和认可 (C&A) 。这个阶段一般由国家专门的测评认证和认可部门进行。信息安全立法、评测认证体系对等级保护起着至关重要的作用。由于业务的发展和信息技术的更新, 信息系统始终处在变更过程中;由于新的安全漏洞和威胁的不断出现, 信息资产也会出现新的安全脆弱点, 这可能会影响到整个信息系统的安全风险状态和安全等级。所以, 用户需要建立一套动态的安全状况跟踪和监控机制。

四总结

注:本文为网友上传,旨在传播知识,不代表本站观点,与本站立场无关。若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:iwenmi@163.com

上一篇:动态曲线下一篇:门洞设计

付费复制
期刊天下网10年专业运营,值得您的信赖

限时特价:7.98元/篇

原价:20元
微信支付
已付款请点这里联系客服
欢迎使用微信支付
扫一扫微信支付
微信支付:
支付成功
已获得文章复制权限
确定
常见问题