信息系统等级保护测评

信息系统等级保护测评（精选10篇）

信息系统等级保护测评 篇1

摘要：随着互联网技术的快速发展,信息系统对政府、机构、企业的日常工作和生产起到越来越重要的作用,信息系统的安全性、可用性和连续性越来越受到重视。开展信息系统的等级保护测评工作是评测系统安全性的必要手段,是检验系统整体的安全部署是否完善的有效方法。

关键词：信息系统,等级测评,安全

随着互联网技术的快速发展,信息技术已在我国的各个领域里得到了广泛的应用,基础信息网络和重要信息系统已成为国家和社会的关键基础设施。由此也引发了一系列的信息安全问题:敌对势力的入侵、攻击、破坏;针对基础信息网络和重要信息系统的违法犯罪的持续上升;基础信息网络和重要信息系统存在的安全隐患等。为此,国家于1994年颁布了《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号),明确的将等级保护制度提升为国家信息安全保障工作的基本制度、基本国策。并后续颁布了一系列的辅助政策标准[1,2,3,4],再次提升了开展等级保护的重要性,推动了等级保护测评[5,6]工作的发展。

1 信息安全等级保护

1.1 保护内容

信息安全等级保护将全国的信息系统按照重要性和遭到破坏后的危害性分为5个安全保护等级[2],第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。

信息安全等级保护工作主要分为5个环节:信息系统定级、备案、安全建设整改、等级测评[3]、监督检查。其中定级和备案是信息安全等级保护的首要环节。安全建设整改是信息安全等级保护工作落实的关键。等级测评工作的主体是第三方测评机构,监督检查工作的主体是信息安全职能管理部门,通过定期的监督、检查和指导,保障重要信息安全保护能力不断提高。

1.2 必要性和紧迫性

来自境内外敌对势力的入侵、攻击、破坏越来越严重,针对基础信息网络和重要信息系统的违法犯罪持续上升,是国家推行等级保护制度的重要原因。国家基础信息网络和重要信息系统安全隐患严重,由于各基础信息网络和重要信息系统的核心设备、技术和高端服务主要依赖国外进口,短时期无法实现自主可控。另外我国的信息安全保障工作基础还很薄弱,监管缺乏标准规范,许多部门安全管理制度和技术防范措施不落实等。

1.3 等级保护制度

等级保护制度是发达国家保护关键信息的基础设施,在借鉴国外经验的基础上,结合我们的国情,并根据多年来信息安全工作经验的总结,在我国需要强制执行等级保护制度。

2 安全等级测评

等级测评是信息安全等级保护实施中的一个重要环节。等级测评是指具有相关资质的、独立的第三方测评服务机构,对信息系统的等级保护落实情况与信息安全等级保护相关标准要求之间的符合程度的测试判定。

2.1 等级测评的目的

《信息安全等级保护管理办法》的规定,信息系统按照《信息系统安全等级保护基本要求》等技术标准建设完成后,由相应的符合条件的测评机构,定期对信息系统安全等级状况开展等级测评。通过测评,一是可以掌握信息系统的安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求;二是衡量信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求,是否具备了相应的安全保护能力。等级测评结果也是安全机关等安全监管部门进行监督、检查、指导的参照。

2.2 等级测评内容

等级测评的基本内容是对信息系统安全等级保护状况进行测试评估,主要包括两个方面:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。

安全控制测评是使用工作单元方式来组织测评的。工作单元分为安全技术测评和安全管理测评两大类。安全技术测评包括:物理安全、网络安全、主机系统安全、应用安全和数据安全等5个层面上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等5个方面的安全控制测评。

2.3 等级测评工作流程

等级测评过程可以分为4个活动:测评准备、方案编制、现场测评以及分析与报告编制,如图1所示等级测评基本工作流程[4]。

2.3.1 系统信息收集

本阶段是开展现场测评工作的前提和基础,是整个等级测评过程有效性的保证。其信息的收集包括物理环境信息、网络信息、主机信息、应用信息和管理信息等。

(1)物理环境信息收集,包括机房数量、每个机房中部署的信息系统、机房物理位置、办公环境等。

(2)系统网络信息收集,包括网络拓扑图、网络结构情况、系统外联情况、网络设备情况和安全设备情况等。

(3)主机信息收集,包括服务器设备情况和终端设备情况等。

(4)应用信息收集,包括系统情况和业务数据情况等。

(5)管理信息收集,包括管理机构的设置情况、人员职责的分配情况、各类管理制度的名称、各类设计方案的名称等。

2.3.2 编制测评方案

编制好测评方案对测评工作来说是相当重要的,一方面测评方案是测评人员进行内部工作交流、明确工作任务的指南;另一方面,测评方案给出具体的现场测评工作思路、方式、方法和具体测评对象及内容,为现场测评的顺利完成打下基础。此外,通过测评方案,可以和被测系统运营使用单位进行充分的交流,让被测系统运营使用单位理解并支持现场测评工作,并依据测评方案做好充分的准备。因此,可以说测评方案的好坏在很大程度上决定着一次测评工作能否顺利完成。

2.3.3 现场测评

现场测评阶段是开展等级测评工作的关键阶段,其活动全部在被测系统现场完成,在被测评系统运营使用单位的人员参与下,测评人员按照测评方案的总体要求,严格执行作业指导书,分布实施所有测评项目,通过查看、获取以及详细、准确、规范记录测评数据,并保留电子证书,为后期的结果分析和报告编制准备充足、详实的资料证据。

2.3.4 分析与报告编制

分析和报告编制是等级测评工作的最后环节,是对被测方系统整体安全保护能力的综合评价过程,其过程是根据现场测评结果和《测评准则》的有关要求,通过单项测评结论判定和系统整体测评分析等方法,分析整个系统的安全保护现状与相应等级的保护要求之间的差距,最终编制测评报告。

2.4 测评方法

在等级测评过程中主要采用访谈、检查、测试等方法进行工作的开展。

(1)访谈,是测评人员通过与信息系统相关人员进行交流和讨论的活动,以此来获取被测系统的部分信息。

(2)检查,是测评人员通过对测评对象进行观测、分析等活动,获取更有力的证据以证明信息系统安全等级保护措施是否完善和生效。

(3)测试,是测评人员通过对测评对象按照预定的方法和工具来进行测试,通过查看和分析输出的结果,获取证据以证明信息系统安全等级保护措施是否完善和有效,其主要方法有功能测试、渗透测试和系统漏洞扫描等。

3 系统整体测评

系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关,内容复杂且充满系统个性。因此,测评人员应根据特定信息系统的具体情况,结合标准要求,确定系统整体测评的具体内容,在安全控制测评的基础上,重点考虑安全控制间、层面间以及区域间的相互关联关系,测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。

4 结语

近几年,国家针对信息系统安全等级保护先后颁布了多条法律法规,并明确提出了2012年底前完成所有第三级信息系统的测评工作,强制推动整个国家信息安全保障体系的发展,推动了等级保护测评工作的开展进程,为全面推动我国的国民经济和信息化进程提供了重要保障。

参考文献

[1]GB/T22239-2008.信息系统安全等级保护基本要求[S].

[2]GB17859-1999.计算机信息系统安全保护等级划分准则[S].

[3]GB/T22239-2008.信息系统安全等级保护测评过程指南[S].

[4]公安部信息安全等级保护评估中心.信息安全等级保护政策培训教程[M].北京:电子工业出版社,2010.

[5]崔玉华.对“信息安全等级保护”的探讨[J].信息安全网络,2005,(2).

[6]杨磊,郭志博.信息安全等级保护的等级测评[J].中国人民公安大学学报(自然科学版),2007,(1):50-53.

信息系统等级保护测评 篇2

集中竞价采购须知

为了公开、公平、公正地集中竞价采购，本着合理、竞争、经济的原则，我院拟对本次采购活动参照招标形式进行集中竞价，相关事项如下：

第一部分

项目要求

一、项目背景

为了提高信息系统的安全保护水平，按照国家法律法规和有关部门相关要求，聘请第三方专业机构，在全面了解临沂市中医院现有信息化现况的基础上，开展信息系统安全等级保护测评工作。通过本次工作，发现信息系统中存在的安全风险，分析信息系统安全现状与相关政策文件、技术标准内容要求的符合性情况，完善工作制度，提出安全建设加固建议。切实加强信息安全防范水平，提高系统抵御风险的能力。

二、项目目标、内容

按照国家等级保护相关标准和要求，对其HIS、电子病历系统（三级）、PACS和网站（二级）安全等级保护测评工作，找出系统现状与相关标准要求之间的差距，遵循适度原则，提出切实可行的整改建议，完成等级保护测评报告，并提供后续检测服务。

三、项目实施参照法律法规及标准  《网络安全法》

 公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）；  公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》（公通字 [2007]43号）。

 《信息安全技术 信息系统安全等级保护基本要求》（GB/T22239-2008）

 《信息安全技术 信息系统安全等级保护定级指南》（GB/T 22240-2008） 《信息安全技术

信息系统安全等级保护实施指南》  《信息安全技术

信息系统安全等级保护测评要求》  《信息安全技术

信息系统安全等级保护测评过程指南》  《计算机信息系统安全保护等级划分准则》（GB 17859-1999） 《信息安全技术 信息系统通用安全技术要求》（GB/T20271-2006） 《信息安全技术 网络基础安全技术要求》（GB/T 20270-2006）

 《信息安全技术 操作系统安全技术要求》（GB/T 20272-2006） 《信息安全技术 数据库管理系统安全技术要求》（GB/T20273-2006） 《信息安全技术 服务器技术要求》（GB/T 21028-2007）

 《信息安全技术 终端计算机系统安全等级技术要求》（GA/T 671-2006） 《信息安全技术 信息系统安全管理要求》（GB/T20269-2006） 《信息安全技术 信息系统安全工程管理要求》（GB/T20282-2006） GB/T 18336-2001 信息技术 安全技术 信息技术 安全性评估准则

四、项目内容

1.等级测评

通过详细的系统调研，开展对其HIS、LIS系统（三级）、PACS和网站（二级）的等级保护测评工作，找出安全现状与标准要求之间的差距，并遵循适度安全的原则，协助制定安全整改建设方案，指导整改工作。最终完成等级保护测评报告。

测评的内容包括但不限于以下内容：

 安全技术测评：包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评；

 安全管理测评：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。

（1）、物理安全

根据临沂市中医院信息系统机房和现场安全测评记录，针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行，判断出与其相对应的各测评项的测评结果。中标人出具加盖CNAS章的机房检测报告。（2）、网络安全

根据临沂市中医院信息系统网络安全测评记录，针对网络方面在“结构安全”、“访问控制”、“安全审计”、“边界完整性检查”、“入侵防范”、“恶意代码防范”、“网络设备防护”等网络安全方面所采取的措施进行检查，判断出与其相对应的各测评项的测评结果。

（3）、主机安全

主机安全现场测评包括对临沂市中医院信息系统服务器的测评，测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“剩余信息保护”、“入侵防护”、“恶意代码防护”、“资源控制”。（4）、应用安全

应用安全现场测评包括对临沂市中医院信息系统的测评，测评内容包括“身份鉴

别”、“访问控制”、“安全审计”、“剩余信息保护”、“通信完整性”、“通信保密性”、“抗抵赖”、“软件容错”、“资源控制”方面。（5）、数据安全及备份恢复

临沂市中医院信息系统数据安全及备份恢复现场测评包括“数据完整性”、“数据保密性”、“备份和恢复”几个方面的测评。（6）、安全管理制度

根据现场安全测评记录，针对临沂市中医院信息系统在安全管理制度方面的“管理制度”、“制定和发布”以及“评审和修订”等测评指标，判断出与其相对应的各测评项的测评结果。（7）、安全管理机构

根据现场安全测评记录，针对临沂市中医院信息系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标，判断出与其相对应的各测评项的测评结果。（8）、人员安全管理

根据现场安全测评记录，针对临沂市中医院信息系统在人员安全管理方面的“人员录用”、“人员离岗”、“人员考核”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标，判断出与其相对应的各测评项的测评结果。（9）、系统建设管理

根据现场安全测评记录，针对临沂市中医院信息系统在系统建设管理方面的“系统定级”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“系统备案”、“等级测评”以及“安全服务商选择”等测评指标，判断出与其相对应的各测评项的测评结果。（10）、系统运维管理

根据现场安全测评记录，针对临沂市中医院信息系统在系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备管理”、“网络安全管理”、“系统安全管理”、“恶意代码防范管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”以及“应急预案管理”等测评指标，判断出与其相对应的各测评项的测评结果。

通过现场测评，逐项找出系统现状与国家相关标准要求之间的差距，进行逐项待整改完毕后，进行结果确认，完成信息安全等级保护测评，出具测评报告，2.安全管理体系咨询

协助建立符合等级保护要求的信息安全管理体系，包含信息安全方针、信息安全策略、运行管理制度和运维管理制度。并参照国际标准体系ISO 27001和ISO 分析、整体分析，给出差距分析报告，并给出整改建议方案。并将测评报告报当地公安机关备案。

20000制定相应流程，促进临沂市中医院信息安全管理工作。

3.安全监测

提供门户网站7*24小时网站安全监测，对网站页面挂马、篡改等事件实时监测，发现问题及时通报相关人员，并安排人员及时处理。

4.应急支援

服务期内提供不限次数的应急支援服务，针对发生的事件协助分析事件原因，查找问题，并提供安全加固建议。

5.安全培训

组织技术培训，对临沂市中医院的技术人员进行等级保护、安全技术和项目部署要求等内容培训。技术培训应从实际应用出发，涵盖网络安全的如下方面： 基础设施运行安全培训、网络安全纵深防御体系培训、操作系统安全加固技术培训、应用系统渗透测试检测与加固培训、数据库安全管理培训、27001安全管理体系培训等。

6.信息安全风险评估

按照GB-T20984-2007信息安全风险评估规范标准和要求，对信息系统进行风险评估，明确信息系统安全风险，提出合理的、满足等级保护要求的总体建设和管理规划，并制定安全实施计划，以指导后续的信息系统安全建设工程实施。

五、成果交付

该项目提交的文档至少包括如下文件：

1、《临沂市中医院XX信息系统安全等级保护测评方案》

2、《临沂市中医院XX系统信息安全等级保护测评报告》

3、《临沂市中医院XX信息安全管理制度汇编》

4、《信息安全风险评估报告》

5、《信息安全整改方案》

第二部分

投标方资质要求

1、《企业法人营业执照》副本复印件（盖章）。

2、法定代表人身份证明书或法人授权委托书、身份证复印件。

3、投标公司具有信息系统安全等级保护测评的国家相关资质，有专业技术检测项目组，其中有高级测评师及中级测评师，参与技术检测的人员均为中国公民，无违法犯罪记录并签订安全保密协议。

4、同类项目近几年的业绩情况及客户名单。

第三部分标书、报价方式

1、标书分正本1份，副本2份，并在标书标书袋上标明“正本”、“副本”字样。均固定装订成一册，不能活页装订或散装，盖单位公章和法定代表人印签后递交医院招标办。

第四部分报送时间、地点

标书报送时间截止2018年1月30日16时。（每日8：00～17：00，周六、周日除外）

信息系统安全等级保护研究与实践 篇3

安全防护需求

《信息安全技术一信息系统安全等级保护基本要求》(GB／T22239-2008)明确了基本要求，电网作为重点行业信息安全领域，充分结合自身安全的特殊要求，在对国家标准消化基础上进行深化、扩充，将二级系统技术要求项由79个扩充至134个，三级系统技术要求项由136个扩充至184个，形成了企业信息系统安全等级保护要求，见表1。

安全防护架构与策略

按照纵深防御的思想设计安全防护总体架构，核心内容是“分区、分级、分域”，如图1所示。分区就是按照《电力二次系统安全防护规定》(电监会5号令)将信息系统划分为生产控制大区和管理信息大区两个相对独立区域进行安全防护。分级就是将部署于大区的各系统分别确定安全保护级别实现等级化防护。分域就是将部署于大区的各系统，依据系统级别及业务系统类型划分不同的安全域，实现不同安全域的独立化、差异化防护。总体上形成了“区、级、域”多梯次大纵深的安全防护构架。

生产控制大区和管理信息大区的系统特性不同，安全防护策略也不尽不同。本文仅描述管理信息大区的安全防护策略。管理信息大区部署管理类业务的系统，安全防护遵循以下策略：

(1)双网双机。将管理信息大区网络划分为信息内网和信息外网，内外网间采用逻辑强隔离装置进行隔离，内外网分别采用独立的服务器及桌面主机；

(2)分区分域。将管理信息大区的系统，依据定级情况及业务系统类型，进行安全域划分，以实现不同安全域的独立化、差异化防护；

(3)等级防护。管理信息系统以实现等级保护为基本出发点进行安全防护体系建设，并参照国家等级保护基本要求进行安全防护措施设计；

(4)多层防御。在分域防护的基础上，将各安全域的信息系统划分为边界、网络、主机、应用四个层次进行安全防护设计，以实现层层递进，纵深防御。

安全防护设计

信息系统安全防护按照边界安全防护、网络环境安全防护、主机系统安全防护、应用安全防护四个层次进行防护措施设计。

(一)边界安全防护

边界安全防护目标是使边界的内部不受来自外部的攻击，同时也用于防止恶意的内部人员跨越边界对外实施攻击，或外部人员通过开放接口、隐通道进入内部网络；在发生安全事件前期能够通过对安全日志及入侵检测时间的分析发现攻击企图，安全事件发生后可以提供入侵事件记录以进行审计追踪。

边界安全防护关注对进出该边界的数据流进行有效的检测和控制，有效的检测机制包括基于网络的入侵检测(IDs)、对流经边界的信息进行内容过滤，有效的控制措施包括网络访问控制、入侵防护、虚拟专用网(VPN)以及对于远程用户的标识与认证／访问权限控制。上述边界安全防护机制与其它层面安全措施可协同使用以提供对系统的防护。

信息系统边界归为信息外网第三方边界、信息内网第三方边界、信息内外网边界、信息内网纵向上下级单位边界及横向域间边界五类，安全防护设计见表2

(二)网络安全防护

网络环境安全防护的目标是防范恶意人员通过网络对应用系统进行攻击，同时阻止恶意人员对网络设备发动的攻击，在安全事件发生前可以通过集中的日志审计、入侵检测事件分析等手段发现攻击意图，在安全事件发生后可以通过集中的事件审计系统及入侵检测系统进行事件跟踪、事件源定位以发现恶意人员位置或及时制定相应的安全策略防止事件再次发生。

网络安全防护面向企业整体支撑性网络，以及为各安全域提供网络支撑平台的网络环境设施，网络环境具体包括网络中提供连接的路由器、交换设备及安全防护体系建设所引入的安全设备。安全防护设计见表3。

(三)主机安全防护

主机系统安全的目标是确保业务数据在进入、离开或驻留服务器时保持可用性、完整性和保密性，采用相应的身份认证、访问控制等手段阻止未授权访问，采用主机防火墙、入侵检测等技术确保主机系统的安全，进行事件日志审核以发现入侵企图，在安全事件发生后通过对事件日志的分析进行审计追踪，确认事件对主机的影响以进行后续处理。

主机系统安全防护包括对服务器及桌面终端的安全防护。服务器包括业务应用服务器、网络服务器、WEB服务器、文件与通信等；桌面终端是作为终端用户工作站的台式机与笔记本计算机。安全防护设计见表4。

(四)应用防护

应用安全防护的目标是保证应用系统自身的安全性，以及与其他系统进行数据交互时所传输数据的安全性；在安全事件发生前发现入侵企图或在安全事件发生后进行审计追踪。

应用安全防护包括对于应用系统本身的防护、用户接口安全防护和对于系统间数据接口的安全防护。安全防护设计见表5。

安全防护实施

信息系统安全等级保护实施涉及到系统定级、现状测评、安全建设改造方案编写及实施、等保符合度测评、备案等工作。依据《信息安全技术一信息系统安全等级保护定级指南》(GB／T22240-2008)开展定级工作，定级结果报政府主管部门审批确认。现状测评委托专业机构进行，测评结果作为安全建设方案编写的主要依据。安全域是安全防护总体架构的关键环节，是方案制定的关键内容之一。

管理信息大区划分为内网和外网，内网部署为公司内部员工服务的系统，外网部署对外服务的系统。安全域是由一组具有相同安全保障要求、并相互信任的系统组成的逻辑区域，同一安全域的系统共享相同的安全保障策略。按照等级保护的思想，安全域按照“二级系统统一成域，三级系统独立分域”原则划分。将等级保护较高的三级系统按独立的安全域进行安全防护，以实现三级系统的独立安全防护，将所有二级系统作为一个安全域进行安全防护可降低成本。定级和安全域划分见表6。

限于篇幅，系统建设改造方案细节、等保符合度测评等内容不在此赘述。

信息系统等级保护测评 篇4

关键词：信息安全等级保护,测评实施

1 引言

医院信息化建设快速发展, 信息系统应用深入到各个环节, 信息业务系统承载了门诊收费、门诊药房、住院收费、住院药房、医保、财务、门急诊医生护士站、住院医生护士站、电子病历、病案首页、检验LIS系统、检查PACS系统、体检系统等。保障重点信息系统的安全, 规范信息安全等级保护, 完善信息保护机制, 提高信息系统的防护能力和应急水平, 有效遏制重大网络与信息安全事件的发生, 创造良好的信息系统安全运营环境势在必要。根据卫生部印发的《卫生行业信息安全等级保护工作的指导意见》, 卫生信息安全工作是我国卫生事业发展的重要组成部分。做好信息安全等级保护工作, 对于促进卫生信息化健康发展, 保障医药卫生体制改革, 维护公共利益、社会秩序和国家安全具有重要意义。

2 确定测评对象与等级

我院是一所二级甲等综合医院, 日门诊人次1000人左右, 住院日人次400余人。医院信息系统HIS、LIS、PACS、电子病历、体检等50余个系统无缝结合, 信息双向交流。按照《信息系统安全等级保护定级指南》定级原理, 确定医院信息业务系统的安全保护等级为第2级, 其中业务信息安全保护等级为2级, 系统服务安全保护等级为2级。

2.1 招标比选测评公司

医院通过四川警察网了解到四川省获得信息安全等级保护测评有资质的5家公司。医院电话通知该5家公司, 简单介绍医院信息化情况, 其中有3家公司到现场进行调查, 掌握了信息系统情况。然后通过招标比选确定一家公司为我院测评安全等级保护。

2.2 测评实施

2.2.1 准备阶段

医院填报《安全等级保护备案申报表》、《安全等级保护定级报告》, 确定安全主管人员、系统管理员、数据库管理员、审计管理员、安全管理员。医院组织相关人员到市级计算机安全学会进行安全培训学习。确定医院信息安全主管人员协助测评公司人员就医院信息业务系统做调研, 提交准备资料。调研内容涉及网络拓扑结构图、线路链接情况、中心机房位置分布情况、应用系统组成情况、服务器操作系统、数据库系统以及相应的IP地址、网络互连设备的配置、网络安全设备的配置、安全文档等。

2.2.2 测评主要内容

主要针对医院信息系统技术安全和安全管理两方面实施测评, 其中技术安全包括物理安全、网络安全、主机安全、应用系统安全、数据安全及备份恢复进行5;安全管理包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。

2.2.3 测评方式与测评范围

测评公司综合采用了现场测评与风险分析方法测评、单元测评与整体测评。单元测评实施过程中采用现场访谈、检查和测试等测评方法。就各类岗位人员进行访谈, 了解医院业务运作以及网络运行状况;查看主机房、应用系统软件、主机操作系统及安全相关软件、数据库管理系统、安全设备管理系统、安全文档、网络分布链接情况。检查物理安全、主机安全、网络安全、应用安全和数据安全及备份恢复等技术类测评任务, 以及安全管理类测评任务;查阅分析文档、核查安全配置、监听与分析网络等检查方法查证防火墙、路由器、交换机部署及其配置情况、端口开放情况等;测评人员采用手工验证和工具测试进行漏洞扫描、系统渗透测试, 检查系统的安全有效性。

整体测评主要应用于安全控制间、层面间和区域间等三个方面。主要就是针对同一区域内、同一层面上或不同层面上的不同安全控制间存在的安全问题以及不同区域间的互连互通时的安全性。

医院信息系统运用了身份鉴别措施、软件容错机制、用户权限分组管理、密码账户登录、数据库表中记录用户操作、对重要事件进行审计并留存记录。网络边界处部署防火墙防御入侵, 终端使用了趋势网络版本防病毒产品, 抵御恶意代码。开启系统审计日志, 制定和实施有效安全管理制度, 加强安全管理, 降低系统安全风险。网络进行了有效的区域划分, 区域之间通过访问控制列表实现安全控制, 与社保局、医管办等第三方外联区之间通过防火墙严格限制访问端口。

2.2.4 差距分析与测评整改

通过测评, 测评公司写出测评报告, 提出整改建议。按照《信息系统安全等级保护基本要求》要求6, 测评公司人员根据医院当前安全管理需要和管理特点, 针对等级保护所要求的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理, 从人员、制度、运作、规范等角度, 进行全面的建设7, 提供技术建设措施, 落实等级保护制度的各项要求, 就各类人员进行安全培训, 提升医院信息系统管理的能力。医院分期逐步投入防网络入侵系统、数据库审计系统等。

2.2.5 编制报告, 成功备案

测评公司编制报告, 上报市公安局备案成功, 获得二级信息系统备案证书。二级信息系统, 每两年进行一次信息安全等级测评。实施安全等级保护测评备案使医院信息系统安全管理水平提高, 安全保护能力增强, 有效保障信息化健康发展。

3 结语

网络安全问题是一个集技术、管理和法规于一体的长期系统工程, 始终有其动态性, 医院需要不断进行完善, 加强管理, 持续增加安全设备以保障医院数据安全有效, 保障信息系统安全稳定运行。医院信息安全建设要切合自身条件特点, 分期分批循序建设, 保证医院各系统长期稳定安全运行, 以适应医院不断扩展的业务应用和管理需求8。

参考文献

[1]卫办发.[2011]85号, 卫生部关于印发“卫生行业信息安全等级保护工作的指导意见”的通知, 2011.

[2]尚邦治.做好信息安全等级保护工作[J].中国卫生信息管理杂志, 2005.

[3]王建英, 陈文霞, 胡雯, 张鹏.医院信息安全分析及措施[J].中国病案, 2013.

[4]王俊.医院信息安全等级保护管理体系的构建[J].医学信息, 2013.

信息系统等级保护测评 篇5

一、项目名称、性质

（一）名称：信息系统安全等级保护备案

（二）性质：非行政许可

二、设定依据

二ＯＯ七年六月二十二日公安部、国家保密局、国家密码管理局、国务院信息化工作办公室公通字[2007]43号印发《信息安全等级保护管理办法》第十五条规定：

已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。

三、实施权限和实施主体

根据《信息安全等级保护管理办法》第十五条规定，实施主体和权限为： 隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续；

跨省或者全国统一联网运行的信息系统在自治区一级运行、应用的分支系统及各区直单位运营、使用的信息系统，应当向自治区公安厅网络警察总队备案。

跨省或者全国统一联网运行的信息系统在各市运行、应用的分支系统及各市直单位运营、使用的信息系统，应当向市级公安机关网络警察支队备案。

四、行政审批条件

无。

五、实施对象和范围

根据《信息安全等级保护管理办法》第十五条的规定，实施对象和范围是：不涉及国家涉密信息系统的运营使用单位、信息系统主管部门。

六、申请材料

（一）、《信息系统安全等级保护备案表》；

（二）、《信息系统安全等级保护定级报告》；

（三）根据《信息安全等级保护管理办法》第十六条的规定，第三级以上信息系统应当同时提供以下材料：（1）系统拓扑结构及说明；

（2）系统安全组织机构和管理制度；（3）系统安全保护设施设计实施方案或者改建实施方案；（4）系统使用的信息安全产品清单及其认证、销售许可证明；

（5）测评后符合系统安全保护等级的技术检测评估报告；（6）信息系统安全保护等级专家评审意见；

（七）主管部门审核批准信息系统安全保护等级的意见。(提交复印件的应交验原件，复印件规格统一采用A4纸,以上提交材料均为一份)。

七、办结时限

（一）法定办结时限：10个工作日。

（二）承诺办结时限：10个工作日。

八、行政审批数量 无数量限制。

九、收费项目、标准及其依据

不收费。

十、办理时间

夏令时：早上8：30-12：00，下午15：00-18：00

冬令时：早上8：30-12：00，下午14：30-17：30

信息系统安全等级保护备案流程图.doc 附件1.行政审批流程图

2.申请书示范文本

信息系统等级保护测评 篇6

随着我国信息化改革的不断深入, 信息系统也逐渐成为医疗行业中不可或缺的一部分, 但随着信息系统的日益发达, 病毒破坏、黑客攻击、管理缺失等不良因素引发的信息系统安全问题也越来越多。 我国信息安全领域有关部门和专家学者通过多年研究, 在借鉴国外先进经验和结合我国现阶段情况的基础上, 提出分级保护的策略来解决我国信息安全问题。信息安全等级保护制度不仅是我国信息安全保障工作的一项基本制度, 更是一项事关国家安全及稳定的政治任务。 医院数据信息的安全性[1]也同样至关重要, 通过安全等级保护的建设与测评, 有效的改进了医院信息安全方面的一些不足, 优化了信息安全资源。

1信息安全等级保护概述

信息安全等级保护[2]是维护我国信息安全的重要保障, 通过对信息安全等级保护工作的开展, 可以有效解决信息系统所面临的诸多不安全问题, 有利于改善国家信息安全的现状。

信息安全等级保护是指对国家、法人和其他组织及公民的专有信息及公开信息以及存储、传输、处理这些信息的信息系统实行分等级的安全保护工作, 对信息系统中使用到的信息安全产品进行登记管理, 对信息安全系统中的安全事件实行与其对应的处理。《信息安全等级保护信息安全等级保护管理办法》规定, 国家信息安全等级保护坚持自主定级、自主保护的原则。 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度, 信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。根据信息系统的保密性以及完整性要求及信息系统所要达到的相应保护等级要求, 将信息系统安全保护等级划分为五级[3]。 第一级为自主保护级, 第二级为指导保护级, 第三级为监督保护级, 第四级为强制保护级, 第五级为专控保护级。不同级别的安全保护工作有着不同的监督管理政策。信息系统安全等级保护是根据信息系统应用业务的重要程度及实际安全需求, 实行分级、分类的保护, 达到保障信息安全的目的。 将信息安全等级保护的工作划为:等级保护定级与备案;系统安全建设与整改;等级测评。

2医院信息系统安全等级保护建设与测评

信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督[4]。对于医院信息系统的定级, 卫生部《卫生行业信息安全等级保护工作的指导意见》 (卫办发[2011]85号) 中指出“三级甲等医院的核心业务信息系统”的“安全保护等级原则上不低于第三级”。 结合医院业务及信息系统实际情况, 确定医院核心业务系统:医院平均日门诊量;医院住院床位数;业务系统承载病患个人隐私信息, 一旦泄露对社会秩序构成重大影响的;业务中断使医院正常运营蒙受重大经济损失;其他会对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成重大影响的系统。 例如医院的门急诊系统, 一旦业务系统中断, 一方面会使医院蒙受经济损失, 另一方面会造成大量患者滞留, 延误治疗时机, 给患者带来重大安全隐患。又如电子病历系统, 系统中存储着大量病人的个人隐私, 一旦泄露会对患者和社会秩序带来重大影响, 因此这种安全保护等级应不低于三级。 医院信息系统在建设阶段, 应该按照《计算机信息系统安全等级保护划分准则》 以及《信息系统安全等级保护基本要求》等技术标准进行搭建、建设符合申请级别的信息安全措施, 并制定符合该级别要求的安全管理制度。 总体安全设计是提取共性形成模型, 针对模型中的共性要素并结合相应等级要求提出安全策略和安全措施要求。

等级测评是测评机构依据国家信息安全等级保护制度规定, 受有关单位委托, 从安全技术与安全管理两大项, 对信息系统安全等级保护状况进行全面测试与综合评估的活动。 测评活动主要以沟通、洽谈和技术手段为主, 并贯穿了整个测评过程。 测评准备活动主要分为项目启动、信息收集与分析、工具和表单准备。方案编制工作主要分为测评对象和测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发。现场测评工作主要分为测评实施准备、现场测评和结果记录、 结果确认和资料归还。 报告编制工作主要分为单元测评结果判定、整体测评、风险分析、等级测评结论和测评报告编制。

3信息系统安全等级保护的问题

通过信息安全等级保护测评, 会发现关于物理安全、操作系统、数据库系统、网络设备、应用系统等等方面的漏洞[5], 并且由于医院信息安全管理中缺少部分安全管理制度, 缺少制度的落实实施, 也是出现操作系统、数据库系统、网络设备、应用系统等漏洞的原因之一。 发现这些问题之后, 医院组织相关部门管理人员一起制定了一系列的安全管理制度, 来保障对信息安全的有效管理。 信息安全是一个动态的系统工程, 安全管理制度也有一个不断完善的过程。 经过安全事件的处理和等级保护测评, 对信息安全管理策略进行修改, 对信息安全管理范围进行调整, 减少对医院信息系统安全的影响。

4结束语

在信息快速发展的今天, 通过信息安全等级保护评估, 优化了信息安全资源, 并为医院信息化建设提供了系统的、可行性的指导和意见, 保障了信息在传输、管理、控制中的安全, 减少了因信息泄露、信息破坏等对国家、经济、社会等方面造成的影响, 促使医院管理向规范化、 科学化方向发展, 从而为医院、社会、国家创造更高的经济效益。

参考文献

[1]王晖.医疗卫生行业信息安全等级保护实施指南[M].北京:国防工业出版社, 2010.

[2]GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求[S].

[3]GB 17859-1999计算机信息系统安全保护等级划分标准[S].

[4]范红, 胡志昂, 金丽娜, 等.信息系统等级保护安全设计技术实现与使用[M].北京:清华大学出版社, 2010.

信息系统等级保护测评 篇7

2014年6月24日, 公安部十一局组织专家开展电力行业信息安全等级保护测评中心的资质复审工作。中国电科院信息安全实验室作为电力行业等级保护测评机构进行迎检工作。

迎检中, 公安部等专家对中国电科院信息安全实验室的等级保护测评工作进行了现场审核, 听取相关人员的工作汇报, 参观了实验室信息安全攻防演示环境, 及电力系统信息安全仿真测试环境。现场审查结束后, 专家对实验室在电力行业中开展的信息安全测试和研究工作高度认可, 希望实验室进一步加强在工控安全测评领域的研究与探索, 努力成为国家在工控领域信息安全研发和测试的核心队伍。

信息安全实验室作为电力行业等级保护测评中心第二测评实验室, 根据原国家电监会的要求, 在2010年开始电力行业等级保护测评工作, 2010年9月为迎接亚运会进行了电力行业第一次等级保护测评工作, 对电力行业试行标准进行实践。2011~2013年全面开展电力行业等级保护测评工作, 主要针对国家电网公司、南方电网公司、大唐发电集团、中电投、中广核等公司的重要信息系统和电力二次系统进行等级保护测评工作。

信息系统等级保护建设思路 篇8

信息安全等级保护的情况介绍

实施信息安全等级保护, 能够有效地提高我国信息和信息系统安全建设的整体水平, 有利于在信息化建设过程中同步建设信息安全设施, 保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务, 有效控制信息安全建设成本;有利于优化信息安全资源的配置, 重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任, 加强信息安全管理;有利于推动信息安全产业的发展。

国内信息安全等级保护工作的开展是一个随着计算机技术的发展和业务对计算机系统依赖性逐渐增加, 不断发展和完善起来的。《国家信息化领导小组关于加强信息安全保障工作的意见》正式出台, 明确提出非涉密信息系统遵循等级保护思想进行信息安全建设。公安部网络安全保卫局在全国开展等级保护工作试点, 先后发布了信息系统定级、备案、整改建设、等级测评等各重要环节的有关文件, 指导等级保护工作开展。其中2009年的公信安1429号文《关于开展信息安全等级保护安全建设整改工作的指导意见》明确提出2012年年底前完成已定级信息系统的整改工作。

等级保护的技术体系也基本成型, 目前涉及到等级保护建设的技术标准和规范大约有30多个, 主要包括了技术、管理、产品、建设流程等各方面的内容, 如:定级指南、备案细则、实施指南、安全设计、基本要求、测评过程要求、测评指南, 使得等级保护工作在各个环节都有具体的技术标准可以参考。

工作思路与建设原则

对于具有分支机构的大型企业组织来说, 信息安全工作已经有等级保护的制度和技术体系做依托, 更多的是在实践中摸索出适合本企业组织信息系统安全建设的工作思路与建设原则。

统一规划、统一标准、统筹协调

统一规划:统一制订规划建设推进方案、等级保护工程建设方法, 各信息系统均需要参照规划方案实施, 不能自行规划。

统一标准:统一组织制订等级保护建设的流程、步骤、技术和管理规范, 确保上下衔接、互联互通。

统筹协调:统筹全局, 协调各分支机构或各业务系统之间的资源共享、业务协同, 联合推进等级保护建设。

分级建设、分步实施、分类指导

分级建设:统一组织等级保护项目建设;各分支机构在总体方案的指导下, 负责信息系统在本区域范围内的建设和安全运营维护。

分步实施:根据目前等级保护项目建设基础条件和特点, 采用分批分期建设方式开展项目建设。

分类指导:对于不同的信息系统, 采用不同的组织管理模式、工作机制和推进方式。

加强管理

加强管理:落实等级保护项目建设组织机构、责任部门, 科学调度, 加强项目过程管理, 确保项目取得成功。

建设原则

法规遵循:应严格执行国家法律法规、相关主管部门的要求。

科学管理:严谨、先进的技术项目实施与科学、规范的项目实施管理手段相结合, 以提高整体项目实施的效率, 保证项目质量, 缩短项目工期, 降低项目成本。

平稳过渡:项目包含子系统较多, 且项目需要进行网络改造, 在项目实施时, 采用分项, 循序渐进的方式, 保证系统改造不影响日常办公的使用, 平稳过渡。

适当先进:综合考虑本单位实际情况, 在结合实际的基础上, 确保建成的信息系统能够符合当前网络技术、信息技术发展的趋势, 具有一定的先进性, 在未来5年内能满足科研生产任务和国家法律法规相关要求的实际需要。

便于维护:系统应具有良好的可扩展性和可维护性, 部署便利、使用简便、维护集中, 并可以实现服务和应用的灵活扩展。

重视培训:系统是按计划分步实施的, 培训也将随着项目的各个阶段分期进行, 并根据培训的效果做出相应的调整, 以达到更好的培训的效果。

信息安全保障体系总体框架

信息安全保障体系总体框架

在进行信息安全等级保护安全建设工作中, 严格遵循国家等级保护有关规定和标准规范要求, 坚持管理和技术并重的原则, 将技术措施和管理措施有机结合, 建立信息系统综合防护体系, 提高信息系统整体安全保护能力。非涉密信息系统总体安全框架如图1所示。

总体安全框架是将等级保护基本要求、技术设计要求与安全防护需求充分融合, 采用“一个中心、两大体系、三重防护”为企业组织提供体系化的防护能力, 确保系统安全运行。

信息安全管理体系的建设

信息安全管理制度是信息安全领域各种规则的制度化的体现, 在信息化相关活动中起着统一目标、规范流程、保障信息安全实施效果的重要作用。通过对信息安全制度规范的决策, 首先从高层确保企业组织的信息安全工作“有法可依”, 推动信息安全制度建设工作, 营造一个积极的信息安全控制环境。

信息安全管理体系的建设, 我们要考虑以下几个方面:一、安全管理制度框架、安全管理制度、规范、流程及表单;二、信息安全管理机构、岗位;三、人员安全管理;四、系统建设管理;五、系统运维管理;六、合规性的电子化管理。

企业组织的等级保护工作也需要信息化的手段来进行约束。信息系统合规性监管系统就是将等级保护相关基本要求以及风险管理与控制体系建设方法及过程, 按照以重要信息系统为基础、以等级保护建设工作流为核心、以等级保护基本要求进行建模、加以等级保护控制措施进行分析, 通过风险评估看清风险, 通过体系建设制定任务, 通过体系保障完整建设。从而规范等级保护建设管理与控制体系的建设过程, 提升组织信息安全风险管理与控制体系的完备性及有效性。

信息安全技术体系的建设

信息安全技术体系规划设计流程

信息安全技术体系规划设计流程包括五个阶段:系统调研阶段、安全域规划、系统定级、技术体系设计、技术手段落实。对应的输出是:业务系统调研文档、安全域规划方案、业务系统定级方案、业务系统安全防护方案、初步设计文档技术体系部分。

信息安全技术体系设计原则

设计信息系统技术安全解决方案时, 应遵循以下原则:

风险 (需求) 、成本 (投入) 及效果 (收益) 相平衡的原则

对任何一个信息系统来说, 绝对安全是难以达到的。信息安全技术体系建设的最高原则是风险、成本及效果三原则相结合的结果。

综合性、整体性、一致性原则

一个组织的信息系统安全防护是系统工程, 必须建立信息安全的完整体系。任何一个新建项目的设计都要遵循该组织有关信息化建设或信息安全建设总体规划的要求。

可扩展、可发展性原则

信息安全工作是一个螺旋上升的过程。在信息安全技术体系设计时要充分继承该组织现有的信息安全基础设施, 避免重复投资。同时平衡考虑满足当前正在建设的业务应用及未来的业务发展要求。

信息安全技术建设工作步骤

信息安全技术体系建设涉及业务领域的各个环节, 在风险评估的基础上, 结合实际业务应用, 根据各系统访问控制需求, 科学、合理的划分“安全域”, 是整个信息安全技术体系建设的首要工作。

安全域划分

通过划分安全域, 明确网络边界, 才能便于实现网络区域、物理区域之间的有效隔离和访问控制。安全域划分的目的是把一个大规模复杂系统的安全问题, 化解为更小区域的安全保护问题, 是实现大规模复杂信息系统安全等级保护的有效方法。

在企业或组织中, 我们通常会看到这样的区域互联网业务发布区、企业内网工作区和数据交换区。具体到一个重要的信息系统, 比如视频业务系统就可以细化为生产制作区域、共享区域、播出区域、安全管理区域。

明确安全域的防护手段

信息安全技术体系是利用各种安全技术、产品以及工具作为安全管理和运行落实的重要手段、最终支撑信息安全体系的建设。防护手段分了五个方面:身份认证、访问控制、内容安全、监控审计与备份恢复。这里我们要重点强调身份认证, 统一的身份管理和统一的认证管理是技术体系的前提保障, 有了完善的身份认证的基础架构, 我们的业务才能够顺畅开展, 才有可能回答这样一个安全问题“什么人、什么时间、做了什么事情?”

确保防护手段的合规性

在选择安全防护技术时, 我们应充分考虑遵循国家等级保护的相关技术标准, 以确保合规性。图2为信息系统等级保护二、三、四级技术要求。

确保防护手段的适应性

结合企业或组织的现状、经费预算、建设阶段和实际需求, 在各安全域的防护设计过程中充分考虑适应性。

计算环境的安全防护设计

计算环境包含了重要应用系统的核心主机或服务器、数据库服务器、存储系统等。我们重点考虑的是身份鉴别、访问控制、资源控制数据完整性、数据保密性与备份恢复。在这里我们要强调应用开发环节在安全防护设计中的重要性, 如编码安全、基于用户身份的资源访问控制和行为审计、基于应用设计的流量控制方法, 这些都可以有效减少硬件安全产品的部署, 提升业务连续性能力。

边界接入与网络设施安全防护设计

网络设施主要包括了网络骨干区域、网络接入区域。我们可以把它看成公共的基础性区域, 是企业各个应用系统出口的高速公路, 是企业连续性要求的重要依托。我们强调的是结构化的安全、安全审计与网络设备自身的防护。

终端接入安全防护设计

随着企业和组织的业务发展, 组网技术的发展, 终端的定义越来越宽泛, 接入的形式也越来越多样化。信息安全问题直接延伸到企业人员使用的端点设备上。我们应重点强调身份鉴别、恶意代码防范和用户行为控制, 同时也要意识到易用性与安全的平衡。

信息安全运维体系的建设

企业和组织的信息化过程已经从大规模建设阶段逐步转型为“建设和运维”并举的阶段。我们可以看到大多数的信息安全运维体系的服务水平处在一个被动的阶段。主要表现在信息技术和设备的应用越来越多, 但运维人员在信息系统出现安全事件的时候却茫然不知所措。因此, 行之有效的信息安全运维体系, 是信息安全管理体系与信息安全技术体系落地的根本之道。

运维服务的发展趋势与阶段划分

安全运维服务通常可以分为五个阶段:混乱、被动、主动、服务和价值阶段。“NSM→ITSM→BSM”将是IT管理逐步提升的经典路线模型, 反映了IT的运营作为一个新兴的企业活动逐步成熟, 持续提升。NSM (针对IT技术设施的网络系统管理) 、ITSM (针对流程、人员管理的IT服务管理) , BSM (业务服务管理) 这些目前已经被广泛应用的理念, 在IT管理的发展过程中, 发挥了巨大的作用。

安全运维体系的构建

目前条件下的安全运维体系可以分三个阶段构建:

第一阶段:从“被动响应”到“主动管理”, 是采用NSM实现管理提升的阶段。通过实现对技术元素的数据收集和分析, 获得从整个IT信息环境到每个计算实体元素的运行状态信息, 因此也能够在故障发生时或者发生之前采取主动的管理操作, 实现对IT技术设施的有效掌控和管理, 有效提高IT环境的运行质量。建立安全运维监控中心实现第一阶段目标

第二阶段:从“主动管理”到“服务导向”, 采用ITSM实现管理提升。在实现了对所有IT技术元素的全面监控以后, IT技术设施的运行质量有了明显改善, 但仍未从根本上解决“意外问题”的发生。全球范围内的调查表明, IT问题的出现, 除了和设备元素本身的可靠性、性能等密切相关以外, 更多的问题 (超过80%) 是由于IT运维人员没有按照规范的操作流程来进行日常的维护管理, 缺乏有效的协同机制等造成的。也就是说, 管理的缺位, 而不是技术设施本身的问题阻碍了企业IT部门工作效率的提高。借鉴并融合ITIL (信息系统基础设施库) /ITSM (IT服务管理) 建立安全运维事件响应中心, 借助图形化、可配置的工作流程管理系统, 将运维管理工作以任务和工作单传递的方式, 通过科学的、符合用户运维管理规范的工作流程进行处置, 处理过程电子化流转、减少人工错误, 实现对事件、问题处理过程中的各个环节的追踪、监督和审计。

第三阶段:从“服务管理”到“业务价值”, 采用BSM实现管理提升。在信息时代, 企业的发展和IT环境的成熟是一个互相驱动、交替上升的过程。商业社会中, 企业作为一个经济运行实体, 其所有的活动和投入都是围绕利益产出的目标进行的。在当前激烈的商业竞争环境中, 企业正不断地进行变革, 以适应市场和用户的需求。作为业务重要支撑元素的IT正面临着越来越大的挑战。如何充分利用已有的IT资源并持续优化资源配置, 如何实现IT和业务目标相统一、持续推动业务发展、创造商业价值, 已经成为众多企业信息部门主管、CIO、甚至更高层管理人员的重要难题。建立以信息资产管理为核心的安全运维审核评估中心是这一阶段的工作目标。能够实现信息系统运行质量、服务水平、运维管理工作绩效的综合评估、考核、审计;能够实现关键业务的配置管理、关键业务与基础设施的关联、关键业务的综合运行态势的把握。

结束语

高校信息系统安全等级保护研究 篇9

关键词：高校,信息系统,安全等级,保护

随着信息技术的迅猛发展和计算机网络的快速普及,信息系统在各行业、各领域得到广泛应用。高校作为学术研究的重要阵地,信息化建设高速开展。校园网、信息系统的建立,为学校教学、科研和管理提供资源共享、信息交流和协同工作的网络平台,并且已成为高校信息化建设的重要组成部分,同时也是衡量一个高校教育信息化、现代化的重要标志。大数据、云计算、“互联网+”等新技术出现的同时,伪基站、BIOS(基本输入输出系统)后门、木马僵尸、SQL(结构化查询语言)注入、DDOS(分布式拒绝服务)攻击等各类网络攻击层出不穷、攻击方式变异频繁,因此,保障网络与信息系统安全,已成为高校信息化发展中迫切需要解决的重大问题。

1 信息系统等级保护

信息网络的全球化使信息网络的安全问题日益严峻,任何与互联网相连接的信息系统都必须面对世界范围内的网络攻击、数据窃取、身份假冒等安全问题。信息系统安全最重要的3 个属性是机密性、完整性与可用性。

信息系统等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。根据信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织合法权益的危害程度,针对信息的机密性、完整性和可用性要求及信息系统必须要达到的基本安全保护水平等因素,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。

2 高校信息系统安全现状

为保证高校信息系统安全性,对信息系统按重要程度、数据的机密性等进行不同等级的划分并按级别进行保护是必要的。目前,高校信息系统的安全等级保护主要存在以下几个问题。

第一,思想认识不到位。部分高校对信息系统安全等级保护工作认识不足,认为信息系统定级过高会提高管理成本,造成不必要的麻烦。

第二,在信息安全方面的资金投入不足,等级保护工作整改不到位。部分高校学校经费紧张,信息化建设主要投资在校园网络的基础设施,针对网络安全方面的专项投入不足。

第三,未建立相应的安全管理机构和安全管理制度,一些必要的管理制度没有制定。此外一些管理制度修订不及时,已经不能满足当前系统安全管理的需求。

第四,专业技术力量较弱,技术防护与制度落实不彻底。部分高校网管人员专业技术力量较弱,一些不属于网络中心的网络处于无人监管的状态。

第五,部分二级单位对本单位的信息系统及网站底数不清,依然存在各自为政开设网站的情况,安全防护也不统一。此外,还存在科研教学机构替其他用户单位在校内开发、运营系统的情况。

第六,在建设网络安全体系时,存在重技术、轻管理的现象。许多安全设备处于系统默认配置,安全设备不能起到应有的作用,部分系统没有配备安全管理员。

3 高校信息系统等级保护

3.1 实施流程

高校信息系统安全等级保护的实施应按照公安部门及教育主管部门的相关文件要求严格执行,其主要包含明确责任主体、自主定级、专家评审、主管部门审核批准、公安机关备案、差距测评、安全整改建设、验收测评等流程。

第一,明确责任主体。按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,信息系统的主管单位为定级工作的责任主体,负责组织运维单位、使用单位开展信息系统定级工作。

第二,自主定级。首先要确定本单位有哪些符合定义的信息系统需要做等级保护工作。在定级时要坚持自主定级、自主保护的原则。参照《信息系统安全等级保护定级指南》,根据本单位实际情况,对本单位的信息系统作自我评估,完成自主定级。

第三,专家评审。主管单位完成信息系统自主定级后,聘请有关信息安全等级保护专家对信息系统自主定级情况进行评审,形成评审意见,以求准确对信息系统进行定级。

第四,主管部门审核批准。主管单位完成信息系统专家评审后,填写《信息系统安全等级保护定级报告》《信息系统安全等级保护备案表》和信息系统安全等级保护专家评审意见等材料报送至所属教育主管部部门进行审批,并出具行业定级意见。

第五,公安机关备案。高校定级为二级及以上的信息系统需要到当地公安局网监部门备案审核。

第六,差距测评。完成定级、备案后,高校应委托具备信息安全等级保护测评资质的且熟悉教育行业的第三方测评机构,按照相关要求和标准,对信息系统安全保护状况开展差距测评,并编写差距测评报告及整改建议。

第七,安全整改建设。高校根据差距测评报告和整改建议,针对存在安全问题的信息系统,有针对性地进行整改建设,提高信息系统的安全性。

第八,验收测评。完成安全整改建设后,高校应委托具备信息安全等级保护测评资质的且熟悉教育行业的第三方测评机构,按照相关要求和标准,对信息系统开展验收测评,编写验收测评报告,并送至公安机关备案,以完成安全等级保护工作。

3.2 保障策略

高校信息系统的等级保护存在各种各样的问题,以至于等级保护工作落实不到位,为保证安全等级保护工作顺利进行,应采取如下保障策略。

第一,提高安全意识。信息安全等级保护管理部门应加大信息系统安全等级保护工作的宣传力度,定期召开由各高校有关信息系统部门负责人参加的信息安全等级保护相关会议,宣传信息安全等级保护工作的重要性和意义,促使高校加强对信息系统的安全意识。

第二,增强技术能力。高校信息系统安全,需要强大的技术团队作支撑。在开展安全等级保护工作中,专业的技术能力是保证测评工作和整改工作顺利高效进行的基础。因而,应注重技术能力的培养和提高。

第三,建立安全管理机构、健全安全管理制度,保证信息系统安全的专项预算。针对高校信息系统,应及时建立及更新各项管理制度,以达到安全等级保护的要求,并满足系统安全管理的需求,同时在制度中规划高校信息系统安全建设的整体方针,并保证网络安全方面的专项投入。

4 结语

高校信息系统的安全至关重要,信息系统安全等级保护是保障信息安全的重要屏障。充分了解高校信息系统安全的现状和存在的问题,并严格按照等级保护的要求、实施流程对高校信息系统进行等级保护,建立高校信息系统安全等级保护完整体系,有利于高校信息系统的安全保护。

参考文献

[1]冼伟铨,王厚奎.等级保护要求下的高校Web安全[J].信息安全与技术,2012(2).

[2]高朝勤.信息系统等级保护中的多级安全技术研究[D].北京:北京工业大学,2012.

[3]路萍,翟跃.信息安全等级保护备案在高等院校中的研究与实践[J].中国教育信息化:高教职教,2015(21).

[4]刘玉燕.高校信息安全等级保护评测[J].信息技术,2011(2).

发电集团等级保护自测评实践分析 篇10

信息安全等级保护是国家信息安全保障的基本方法,是维护国家信息安全的根本保障。目前,各大发电集团已根据公安部及国家电力监管委员会(以下简称电监会)的要求,如期开展了信息系统等级保护工作,旨在通过合理分配资源,规范信息系统安全建设与防护。

在发电集团等级保护的不断建设及测评试点工作中,信息安全的趋势是建立长效安全机制。等级保护专业测评工作,只是推动各单位信息安全工作PDCA(P-计划,D-执行,C-检查,A-行动)模式的政策依据。而信息安全整改工作常态化的根本,一方面要不断加强运维人员的专业水平,不断增强信息安全意识;另一方面,要规范化地推进自测评,并结合自测评的结果统一规划,客观对待已有的脆弱性并进行持续的改善建设。

1 自测评和专业测评相结合的必要性

目前国内五大发电集团企业内的信息系统已逐渐由零散化向集中化发展,部分信息化水平较高的电厂已完成了DCS系统一体化整合工作。根据公安部2010年印发的《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》的要求,2012年底需要完成已定级信息系统安全建设与整改工作,并完成专业测评工作。以中国华能集团公司为例,所辖电厂的三级系统已超过90个,目前下属各单位均已完成了系统定级备案工作,并着手落实了整改和建设计划,力争通过积极的安全整改建设工作落实等级保护制度的各项要求。然而,大部分下属单位安全基础相对薄弱,未曾开展过针对系统安全性的测试,忽略了在定级与整改之间的关键环节,即对照等级保护的基本要求完成定级系统的自测评与差距分析的工作,使得整改建设面临较大困难。由此可见自测评的重要性,而行之有效的差距分析,是各单位制定整改方案的基础依据。

2010年公安部和国资委联合印发《关于进一步推进中央企业信息安全等级保护工作的通知》(公通字[2010]70号)规定,由电监会负责指导电力行业的信息系统安全等级保护工作。就专业测评而言,电力行业现存3家测评机构,各测评机构专业测评工程师人数均为40人左右。若严格按照专业测评周期,逐家单位三级系统进行地毯式的细致摸排,则每个三级系统现场测评周期为15～20个人天。若扩展至整个专业测评过程,包含前期方案编制、分析与编制报告等工作,则单个三级系统测评周期为40个人天。以中国华能集团公司下属单位为例,专业测评人力资源投入将大于3 000个人天。因此在专业测评人才相对缺乏、IT人力资源成本不断走高的电力行业等级保护建设工作中,自测评与专业测评相结合的方式共同校验等级保护合规性,也是势在必行。

随着电力行业信息化建设的大规模推进,目前各单位基本已设置了信息化专责,如网管专责、系统运维专责等。他们对自身单位的网络架构、业务系统应用等有着较为深刻的认识,因此需要在发电集团各下属单位中抽调2～3名专责工作人员开展等级保护专项培训,使运维人员在了解等级保护工作重要性的同时,熟悉与掌握自测评的基本流程与方法,使自查工作与等级测评工作有机结合,这样各单位的信息安全等级保护工作才能进入螺旋状上升的良性循环。

2 合理高效地开展自测评工作

发电集团总部信息中心在对运维人员开展信息安全培训的同时,会引入相关的等级保护测评方法,考虑到集团各下属单位人员在应对突发故障时的自主恢复能力及专业安全检查工具使用合理性,自测评主要以访谈、检查为主,初级阶段暂不考虑开展推广专业测试工具。以中国华能集团公司下属各单位的DCS系统为例,结合发电行业信息系统的特性,就技术层面的物理安全、网络安全、主机安全、应用安全、数据安全展开讨论。下属各单位DCS系统应用厂商较为统一,系统主要为国内外几个知名厂商设计,服务器为集中采购,无过多定制开发内容,因此应用层面共性问题相当一致。若系统所涉及服务器未开展过加固工作,则均为默认配置,基本不存在个性安全性问题。故就合理高效的开展自测评工作而言,设计精细化、格式化的调研表格不可或缺,而各下属单位物理环境、网络环境的差异化建设,将会成为技术自查部分考察的重点。

根据《电力行业信息系统安全等级保护基本要求》,按照通用管理要求计算,共有158个测评项。针对三级系统的管理自测评,更应做到有的放矢。例如,应配备一定数量的系统管理员、网络管理员、安全管理员等;应指定或授权专门的部门或人员负责人员录用等测评指标项。人员虽是安全管理的基础,但在发电集团完善的体系架构下,基本不会出现不符合或部分符合的情况,建议纳入专业测评的合规检查中。但就自测评而言,旨在精益求精,一针见血,因此自测评表格的设计,在指标量化方面,可以适当孤立对待。在运维人员填写自测评表格的过程中,信息系统与安全基线偏离程度最高比例在自测评报告中体现,则是自测评的精髓之所在。

3 自测评调研表单的设计

设计自测评调研表单的目的是为了利用标准化、格式化的调研表格,在快速、实用地了解各单位信息系统建设情况的同时,针对共性安全问题进行确认,也为在等级保护专业测评时所要面对的个性问题提供实用性较强的现实依据。发电集团总部信息中心还可以将调研表单进行技术衍生,形成督察版调研表,引入定期安全督导机制,远程对各单位等级保护整改情况进行及时的评价。

以某电厂DCS系统的网络安全为例,简单设计了自测评调研表格样例(见表1)。通过专业信息安全人员对3～5个代表性电厂的DCS系统调研,可将应用安全、主机安全、数据备份及存储的大部分共性问题进行整合;针对安全管理,可将原有158个检查项缩减至50个关键点之内。若原有单位DCS系统定级为S3A3G3,则专业测评项共为327个,而自测评工作仅需勾选不超过100个调研项,或将稍做补充,即可达到预期效果。同时,自测评调研表设计言简意赅,也降低了等级保护测评工作的门槛。

补充填写:1.请继续填写调研表中未提及的网络架构或网络设备安全、可用性增强措施;2.若调研表格中的选项不适用,请在补充说明栏填写并单独说明。

4 结语

结合发电集团信息化建设的实际情况,等级保护自测评工作必然会是伴随着信息系统生命周期的一个不断循序渐进的过程。通过组织内部人员进行精细化自测评工作,就眼前利益而言,大大提高了专业测评效率,节约了各类资源;从长远角度来看,运维人员通过自测评工作,将安全建设整改工作常态化稳步推进的同时,必将使决策者逐渐深刻理解信息安全防护的实际意义,更是从实际出发推动等级保护制度尽快建立和实施的有效手段。

摘要：针对发电集团等级保护建设与测评工作中信息安全专业人才相对缺乏、IT人力资源成本不断走高等实际情况,对发电集团信息系统等级保护建设的自测评与差距分析阶段的实践情况进行论述并设计调研表,提出通过组织内部人员进行精细化自测评工作,将大大提高工作效率并节约各类资源,验证了合理高效的开展自测评工作将是奠定“安全服务自主化”基石的必要因素,并将切实有效推进等级保护工作的开展,促使信息安全整改工作常态化。

关键词：等级保护,自测评,专业测评,常态化,自主化

参考文献

[1]公安部.信息安全等级保护管理办法[S].2007.

[2]GBT22239-2008,信息安全技术信息系统安全等级保护基本要求[S].2008.

[3]国家电力监管委员会.电力行业信息系统安全等级保护基本要求(试行)[S].2011.

[4]肖国煜.信息系统等级保护测评实践[J].信息网络安全,2011(7):31-34.XIAO Guo-yu.Practice in classified security protection of information system[J].Netinfo Security,2011(7):31-34.

[5]刘彬.浅谈信息系统安全等级保护[J].科技广场,2007(12):45-47.LIU Bin.A preliminary discussion about classified security protection of information system[J].Science Square,2007(12):45-47.

[6]陈雪秀,任卫红,谢朝海.信息系统安全等级保护能力构成框架研究[J].信息网络安全,2008(9):12-14.CHEN Xue-xiu,REN Wei-hong,XIE Zhao-hai.Research on framework of informationclassified security protection capability[J].Netinfo Security,2008(9):12-14.