第一篇：市中醫(yī)醫(yī)院開展信息系統(tǒng)等級保護(hù)檢查工作自查報告

市中醫(yī)醫(yī)院開展信息系統(tǒng)等級保護(hù)檢查工作自查報告 為進(jìn)一步推進(jìn)信息安全等級保護(hù)工作，提高基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全保障能力，保障黨的十八大勝利召開，根據(jù)市衛(wèi)生局《關(guān)于開展信息系統(tǒng)等級保護(hù)檢查工作的通知》文件精神和要求，醫(yī)院高度重視，及時召開院信息系統(tǒng)安全等級保護(hù)工作領(lǐng)導(dǎo)小組會議，積極部署工作、明確責(zé)任、具體落實，按照“誰主管誰負(fù)責(zé)、誰運行誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則，認(rèn)真對照信息安全等級保護(hù)自查項目表，對我院信息安全等級保護(hù)工作進(jìn)行了一次摸底調(diào)查，現(xiàn)將此項工作自查情況匯報如下：

一、等級防護(hù)工作的組織部署和實施情況

成立了xx市中醫(yī)醫(yī)院信息系統(tǒng)安全等級保護(hù)工作領(lǐng)導(dǎo)小組，落實了信息安全責(zé)任制；對等級保護(hù)責(zé)任部門和崗位人員進(jìn)行了確定，確保專人落實；制定了等級保護(hù)工作的文件及相關(guān)工作方案；嚴(yán)格按照國家等級保護(hù)政策、標(biāo)準(zhǔn)規(guī)范和行業(yè)主管部門的要求，組織開展各項工作；及時召開了信息系統(tǒng)安全等級保護(hù)工作領(lǐng)導(dǎo)小組工作會議；醫(yī)院主要領(lǐng)導(dǎo)對等級保護(hù)工作作出了重要批示，并在工作會議上提出了四點要求。

二、信息安全管理制度的建立和落實情況

院信息中心制定了《xx市中醫(yī)醫(yī)院信息化建設(shè)總體規(guī)劃》、《xx市中醫(yī)醫(yī)院信息系統(tǒng)工作制度與人員崗位職責(zé)目錄》、《xx市中醫(yī)醫(yī)院計算機(jī)管理系統(tǒng)應(yīng)急預(yù)案》、《xx市中醫(yī)醫(yī)院HIS信息系統(tǒng)工作制度》等相關(guān)制度，并在實際工作中對照制度嚴(yán)格執(zhí)行各項操作流程。

三、信息系統(tǒng)安全等級保護(hù)定級備案情況

我院目前的信息系統(tǒng)所承載的業(yè)務(wù)、服務(wù)范圍、安全需求暫時未發(fā)生變化；對本單位重要信息系統(tǒng)的重要性均有清楚的認(rèn)識。

四、信息技術(shù)產(chǎn)品和信息系統(tǒng)安全產(chǎn)品使用情況

我院計算機(jī)、公文處理軟件和信息系統(tǒng)安全產(chǎn)品均為國產(chǎn)產(chǎn)品，包括使用360、金山安全衛(wèi)士、金山毒霸、卡巴斯基等安全軟件。公文處理軟件使用了MicrosoftOffice系統(tǒng)。單位使用的工資系統(tǒng)、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)傳輸平臺系統(tǒng)、數(shù)據(jù)庫等應(yīng)用軟件均為市委、市政府政府相關(guān)部門、市財政局和市衛(wèi)生局統(tǒng)一指定的產(chǎn)品系統(tǒng)。重點信息系統(tǒng)使用的服務(wù)器、路由器、交換機(jī)等均為國產(chǎn)產(chǎn)品。

五、信息系統(tǒng)安全檢查存在的主要問題及整改情況

1、信息系統(tǒng)安全工作的水平還有待提高。醫(yī)院的信息系統(tǒng)工作人員均為兼職人員，非專業(yè)人員，對信息系統(tǒng)安全的管護(hù)水平低，還需要加強專業(yè)學(xué)習(xí)培訓(xùn)，提高信息系統(tǒng)安全管理和管護(hù)工作的水平。

2、設(shè)備維護(hù)、更新有待加強。部分科室計算機(jī)的殺毒軟件、防護(hù)軟件沒有及時進(jìn)行更新升級，存在系統(tǒng)漏洞。針對這些問題，信息中心已及時對各終端計算機(jī)的殺毒軟件、防火墻等進(jìn)行了更新升級，對存在的漏洞進(jìn)行了修復(fù)。今后將對線路、系統(tǒng)等的及時維護(hù)和保養(yǎng)，及時更新升級防護(hù)軟件。

3、信息系統(tǒng)安全工作機(jī)制還有待完善。部門信息系統(tǒng)安全相關(guān)工作機(jī)制制度、應(yīng)急預(yù)案等還不健全，還要完善信息系統(tǒng)安全工作機(jī)制，建立完善信息系統(tǒng)安全應(yīng)急響應(yīng)機(jī)制，以提高醫(yī)院網(wǎng)絡(luò)信息工作的運行效率，促進(jìn)醫(yī)療、辦公秩序的進(jìn)一步規(guī)范，防范風(fēng)險。

六、對信息系統(tǒng)安全檢查工作的意見和建議

1、進(jìn)一步加大對信息系統(tǒng)安全工作人員的業(yè)務(wù)培訓(xùn)。由于很多部門的信息系統(tǒng)安全工作人員均為兼職，均是“半路出家”，非專業(yè)人員，沒有專業(yè)的技能和知識，希望上級相關(guān)部門組織培訓(xùn)班進(jìn)一步加強對計算機(jī)信息系統(tǒng)安全管理工作的業(yè)務(wù)操作培訓(xùn)，發(fā)放一些信息網(wǎng)絡(luò)安全管理方面的業(yè)務(wù)知識材料。

2、加強對全院職工的信息系統(tǒng)安全教育。通過開展專題警示教

育培訓(xùn)，增強信息系統(tǒng)安全意識，提高做好信息系統(tǒng)安全工作的主動性和自覺性。

3、加強分類指導(dǎo)。由于各科的工作性質(zhì)不同，信息系統(tǒng)安全的防護(hù)級別也不同。希望結(jié)合各科室工作實際，對重點信息系統(tǒng)安全部門和非重點信息系統(tǒng)安全部門進(jìn)行分類指導(dǎo)。

二〇一二年六月二十六日

第二篇：某區(qū)關(guān)于開展信息系統(tǒng)等級保護(hù)檢查工作自查報告

***區(qū)關(guān)于開展信息系統(tǒng)等級保護(hù)檢查工作自

查報告

為進(jìn)一步推進(jìn)信息安全等級保護(hù)工作，提高基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全保障能力，保障黨的十八大勝利召開，根據(jù)市衛(wèi)生局《關(guān)于開展信息系統(tǒng)等級保護(hù)檢查工作的通知》文件精神和要求，我區(qū)高度重視，及時召開信息系統(tǒng)安全等級保護(hù)工作領(lǐng)導(dǎo)小組會議，積極部署工作、明確責(zé)任、具體落實，按照“誰主管誰負(fù)責(zé)、誰運行誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則，認(rèn)真對照信息安全等級保護(hù)自查項目表，對我區(qū)醫(yī)療單位信息安全等級保護(hù)工作進(jìn)行了一次摸底調(diào)查，現(xiàn)將此項工作自查情況匯報如下：

一、等級防護(hù)工作的組織部署和實施情況

成立了區(qū)衛(wèi)生系統(tǒng)信息系統(tǒng)安全等級保護(hù)工作領(lǐng)導(dǎo)小組，落實了信息安全責(zé)任制；對等級保護(hù)責(zé)任部門和崗位人員進(jìn)行了確定，確保專人落實；制定了等級保護(hù)工作的文件及相關(guān)工作方案；嚴(yán)格按照國家等級保護(hù)政策、標(biāo)準(zhǔn)規(guī)范和行業(yè)主管部門的要求，組織開展各項工作；及時召開了信息系統(tǒng)安全等級保護(hù)工作領(lǐng)導(dǎo)小組工作會議；區(qū)主管衛(wèi)生的副區(qū)（局）長對等級保護(hù)工作作出了重要批示，并在工作會議上提出了工作點要求。

二、信息系統(tǒng)安全等級保護(hù)定級備案情況

我區(qū)衛(wèi)生系統(tǒng)目前的信息系統(tǒng)所承載的業(yè)務(wù)、服務(wù)范圍、安全需求暫時未發(fā)生變化；各單位重要信息系統(tǒng)的重要性均有清楚的認(rèn)識。

三、信息技術(shù)產(chǎn)品和信息系統(tǒng)安全產(chǎn)品使用情況

我區(qū)各衛(wèi)生系統(tǒng)計算機(jī)、公文處理軟件和信息系統(tǒng)安全產(chǎn)品均為國產(chǎn)產(chǎn)品，包括使用360、金山安全衛(wèi)士、金山毒霸、卡巴

斯基等安全軟件。公文處理軟件使用了MicrosoftOffice系統(tǒng)。各單位使用的業(yè)務(wù)系統(tǒng)、數(shù)據(jù)傳輸平臺系統(tǒng)、數(shù)據(jù)庫等應(yīng)用軟件均為省衛(wèi)生廳，統(tǒng)一指定的產(chǎn)品系統(tǒng)。重點信息系統(tǒng)使用的服務(wù)器、路由器、交換機(jī)等均為國產(chǎn)產(chǎn)品。

四、信息系統(tǒng)安全檢查存在的主要問題及整改情況

1、信息系統(tǒng)安全工作的水平還有待提高。各單位的信息系統(tǒng)工作人員均為兼職人員，非專業(yè)人員，對信息系統(tǒng)安全的管護(hù)水平低，還需要加強專業(yè)學(xué)習(xí)培訓(xùn)，提高信息系統(tǒng)安全管理和管護(hù)工作的水平。

2、信息系統(tǒng)安全工作機(jī)制還有待完善。信息系統(tǒng)安全相關(guān)工作機(jī)制制度、應(yīng)急預(yù)案等還不健全，還要完善信息系統(tǒng)安全工作機(jī)制，建立完善信息系統(tǒng)安全應(yīng)急響應(yīng)機(jī)制，以提高網(wǎng)絡(luò)信息工作的運行效率，促進(jìn)醫(yī)療、辦公秩序的進(jìn)一步規(guī)范，防范風(fēng)險。

五、對信息系統(tǒng)安全檢查工作的意見和建議

1、進(jìn)一步加大對信息系統(tǒng)安全工作人員的業(yè)務(wù)培訓(xùn)。由于很多部門的信息系統(tǒng)安全工作人員均為兼職，均是“半路出家”，非專業(yè)人員，沒有專業(yè)的技能和知識，希望上級相關(guān)部門組織培訓(xùn)班進(jìn)一步加強對計算機(jī)信息系統(tǒng)安全管理工作的業(yè)務(wù)操作培訓(xùn)，發(fā)放一些信息網(wǎng)絡(luò)安全管理方面的業(yè)務(wù)知識材料。

2、加強分類指導(dǎo)。由于各單位、部門的工作性質(zhì)不同，信息系統(tǒng)安全的防護(hù)級別也不同。希望結(jié)合各單位、部門工作實際，對重點信息系統(tǒng)安全單位、部門和非重點信息系統(tǒng)安全單位、部門進(jìn)行分類指導(dǎo)。

*****衛(wèi)生局

二〇一二年九月五日

第三篇：信息系統(tǒng)等級保護(hù)建設(shè)思路（xiexiebang推薦）

信息系統(tǒng)等級保護(hù)建設(shè)思路

實施信息安全等級保護(hù)，能夠有效地提高我國信息和信息系統(tǒng)安全建設(shè)的整體水平，有利于在信息化建設(shè)過程中同步建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相協(xié)調(diào);有利于為信息系統(tǒng)安全建設(shè)和管理提供系統(tǒng)性、針對性、可行性的指導(dǎo)和服務(wù)，有效控制信息安全建設(shè)成本;有利于優(yōu)化信息安全資源的配置，重點保障基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)的安全;有利于明確國家、法人和其他組織、公民的信息安全責(zé)任，加強信息安全管理;有利于推動信息安全產(chǎn)業(yè)的發(fā)展。

《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)[2003]27號)，明確指出將等級保護(hù)制度作為我國信息安全領(lǐng)域的一項基本制度。2010年發(fā)布的《關(guān)于推動信息安全等級保護(hù)測評體系建設(shè)和開展等級測評工作的通知》(公信安[2010] 303號)明確指出，“2011年底前完成第三級(含)以上信息系統(tǒng)的測評工作，2012年底之前完成第三級(含)以上信息系統(tǒng)的安全建設(shè)整改工作。”在制度保證的前提下，各企業(yè)和組織要明確信息系統(tǒng)等級保護(hù)建設(shè)思路，才能事半功倍，確實提升信息系統(tǒng)安全保障能力。

一、信息安全等級保護(hù)的情況介紹

實施信息安全等級保護(hù)，能夠有效地提高我國信息和信息系統(tǒng)安全建設(shè)的整體水平，有利于在信息化建設(shè)過程中同步建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相協(xié)調(diào);有利于為信息系統(tǒng)安全建設(shè)和管理提供系統(tǒng)性、針對性、可行性的指導(dǎo)和服務(wù)，有效控制信息安全建設(shè)成本;有利于優(yōu)化信息安全資源的配置，重點保障基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)的安全;有利于明確國家、法人和其他組織、公民的信息安全責(zé)任，加強信息安全管理;有利于推動信息安全產(chǎn)業(yè)的發(fā)展。

國內(nèi)信息安全等級保護(hù)工作的開展是一個隨著計算機(jī)技術(shù)的發(fā)展和業(yè)務(wù)對計算機(jī)系統(tǒng)依賴性逐漸增加，不斷發(fā)展和完善起來的?！秶倚畔⒒I(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》正式出臺，明確提出非涉密信息系統(tǒng)遵循等級保護(hù)思想進(jìn)行信息安全建設(shè)。公安部網(wǎng)絡(luò)安全保衛(wèi)局在全國開展等級保護(hù)工作試點，先后發(fā)布了信息系統(tǒng)定級、備案、整改建設(shè)、等級測評等各重要環(huán)節(jié)的有關(guān)文件，指導(dǎo)等級保護(hù)工作開展。其中2009年的公信安1429號文《關(guān)于開展信息安全等級保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》明確提出2012年年底前完成已定級信息系統(tǒng)的整改工作。

等級保護(hù)的技術(shù)體系也基本成型，目前涉及到等級保護(hù)建設(shè)的技術(shù)標(biāo)準(zhǔn)和規(guī)范大約有30多個，主要包括了技術(shù)、管理、產(chǎn)品、建設(shè)流程等各方面的內(nèi)容，如:定級指南、備案細(xì)則、實施指南、安全設(shè)計、基本要求、測評過程要求、測評指南，使得等級保護(hù)工作在各個環(huán)節(jié)都有具體的技術(shù)標(biāo)準(zhǔn)可以參考。

二、工作思路與建設(shè)原則

對于具有分支機(jī)構(gòu)的大型企業(yè)組織來說，信息安全工作已經(jīng)有等級保護(hù)的制度和技術(shù)體系做依托，更多的是在實踐中摸索出適合本企業(yè)組織信息系統(tǒng)安全建設(shè)的工作思路與建設(shè)原則。

統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)籌協(xié)調(diào)

統(tǒng)一規(guī)劃:統(tǒng)一制訂規(guī)劃建設(shè)推進(jìn)方案、等級保護(hù)工程建設(shè)方法，各信息系統(tǒng)均需要參照規(guī)劃方案實施，不能自行規(guī)劃。

統(tǒng)一標(biāo)準(zhǔn):統(tǒng)一組織制訂等級保護(hù)建設(shè)的流程、步驟、技術(shù)和管理規(guī)范，確保上下銜接、互聯(lián)互通。

統(tǒng)籌協(xié)調(diào):統(tǒng)籌全局，協(xié)調(diào)各分支機(jī)構(gòu)或各業(yè)務(wù)系統(tǒng)之間的資源共享、業(yè)務(wù)協(xié)同，聯(lián)合推進(jìn)等級保護(hù)建設(shè)。

分級建設(shè)、分步實施、分類指導(dǎo)

分級建設(shè);統(tǒng)一組織等級保護(hù)項目建設(shè);各分支機(jī)構(gòu)在總體方案的指導(dǎo)下，負(fù)責(zé)信息系統(tǒng)在本區(qū)域范圍內(nèi)的建設(shè)和安全運營維護(hù)。

分步實施根據(jù)目前等級保護(hù)項目建設(shè)基礎(chǔ)條件和特點，采用分批分期建設(shè)方式開展項目建設(shè)。

分類指導(dǎo):對干不同的信息系統(tǒng)，采用不同的組織管理模式、工作機(jī)制和推進(jìn)方式。

加強管理

加強管理:落實等級保護(hù)項目建設(shè)組織機(jī)構(gòu)、責(zé)任部門，科學(xué)調(diào)度，加強項目過程管理，確保項目取得成功。

建設(shè)原則

法規(guī)遵循:應(yīng)嚴(yán)格執(zhí)行國家法律法規(guī)、相關(guān)主管部門的要求。

科學(xué)管理:嚴(yán)謹(jǐn)、先進(jìn)的技術(shù)項目實施與科學(xué)、規(guī)范的項目實施管理手段相結(jié)合，以提高整體項目實施的效率，保證項目質(zhì)量，縮短項目工期，降低項目成本。

平穩(wěn)過渡項目包含子系統(tǒng)較多，且項目需要進(jìn)行網(wǎng)絡(luò)改造，在項目實施時，采用分項，循序漸進(jìn)的方式，保證系統(tǒng)改造不影響日常辦公的使用，平穩(wěn)過渡。

適當(dāng)先進(jìn):綜合考慮本單位實際情況，在結(jié)合實際的基礎(chǔ)上，確保建成的信息系統(tǒng)能夠符合當(dāng)前網(wǎng)絡(luò)技術(shù)、信息技術(shù)發(fā)展的趨勢，具有一定的先進(jìn)性，在未來5年內(nèi)能滿足科研生產(chǎn)任務(wù)和國家法律法規(guī)相關(guān)要求的實際需要。

便于維護(hù):系統(tǒng)應(yīng)具有良好的可擴(kuò)展性和可維護(hù)性，部署便利、使用簡便、維護(hù)集中，并可以實現(xiàn)服務(wù)和應(yīng)用的靈活擴(kuò)展。

重視培訓(xùn):系統(tǒng)是按計劃分步實施的，培訓(xùn)也將隨著項目的各個階段分期進(jìn)行，并根據(jù)培訓(xùn)的效果做出相應(yīng)的調(diào)整，以達(dá)到更好的培訓(xùn)的效果。

三、信息安全保障體系總體框架

信息安全保障體系總體框架

在進(jìn)行信息安全等級保護(hù)安全建設(shè)工作中，嚴(yán)格遵循國家等級保護(hù)有關(guān)規(guī)定和標(biāo)準(zhǔn)規(guī)范要求，堅持管理和技術(shù)并重的原則，將技術(shù)措施和管理措施有機(jī)結(jié)合，建立信息系統(tǒng)綜合防護(hù)體系，提高信息系統(tǒng)整體安全保護(hù)能力。非涉密信息系統(tǒng)總體安全框架如圖1所示。

點擊圖片查看大圖

圖1 信息安全保障體系總體框架

總體安全框架是將等級保護(hù)基本要求、技術(shù)設(shè)計要求與安全防護(hù)需求充分融合，采用“一個中心、兩大體系、三重防護(hù)”為企業(yè)組織提供體系化的防護(hù)能力，確保系統(tǒng)安全運行。

四、信息安全管理體系的建設(shè)

信息安全管理制度是信息安全領(lǐng)域各種規(guī)則的制度化的體現(xiàn)，在信息化相關(guān)活動中起著統(tǒng)一目標(biāo)、規(guī)范流程、保障信息安全實施效果的重要作用。通過對信息安全制度規(guī)范的決策，首先從高層確保企業(yè)組織的信息安全工作“有法可依”，推動信息安全制度建設(shè)工作，營造一個積極的信息安全控制環(huán)境。

信息安全管理體系的建設(shè)，我們要考慮以下幾個方面:

一、安全管理制度框架、安全管理制度、規(guī)范、流程及表單;

二、信息安全管理機(jī)構(gòu)、崗位;

三、人員安全管理;

四、系統(tǒng)建設(shè)管理;

五、系統(tǒng)運維管理。

六、合規(guī)性的電子化管理。

企業(yè)組織的等級保護(hù)工作也需要信息化的手段來進(jìn)行約束。信息系統(tǒng)合規(guī)性監(jiān)管系統(tǒng)就是將等級保護(hù)相關(guān)基本要求以及風(fēng)險管理與控制體系建設(shè)方法及過程，按照以重要信息系統(tǒng)為基礎(chǔ)、以等級保護(hù)建設(shè)工作流為核心、以等級保護(hù)基本要求進(jìn)行建模、加以等級保護(hù)控制措施進(jìn)行分析，通過風(fēng)險評估看清風(fēng)險，通過體系建設(shè)制定任務(wù)，通過體系保障完整建設(shè)。從而規(guī)范等級保護(hù)建設(shè)管理與控制體系的建設(shè)過程，提升組織信息安全風(fēng)險管理與控制體系的完備性及有效性。

五、信息安全技術(shù)體系的建設(shè)

信息安全技術(shù)體系規(guī)劃設(shè)計流程

信息安全技術(shù)體系規(guī)劃設(shè)計流程包括五個階段:系統(tǒng)調(diào)研階段、安全域規(guī)劃、系統(tǒng)定級、技術(shù)體系設(shè)計、技術(shù)手段落實。對應(yīng)的輸出是:業(yè)務(wù)系統(tǒng)調(diào)研文檔、安全域規(guī)劃方案、業(yè)務(wù)系統(tǒng)定級方案、業(yè)務(wù)系統(tǒng)安全防護(hù)方案、初步設(shè)計文檔技術(shù)體系部分。

信息安全技術(shù)體系設(shè)計原則

設(shè)計信息系統(tǒng)技術(shù)安全解決方案時，應(yīng)遵循以下原則:

風(fēng)險(需求)、成本〔投入)及效果(收益)相平衡的原則

對任何一個信息系統(tǒng)來說，絕對安全是難以達(dá)到的。信息安全技術(shù)體系建設(shè)的最高原則是風(fēng)險、成本及效果三原則相結(jié)合的結(jié)果。

綜合性、整體性、一致性原則

一個組織的http://004km.cn網(wǎng)絡(luò)骨干區(qū)域、網(wǎng)絡(luò)接人區(qū)域。我們可以把它看成公共的基礎(chǔ)性區(qū)域，是企業(yè)各個應(yīng)用系統(tǒng)出口的高速公路，是企業(yè)連續(xù)性要求的重要依托。我們強調(diào)的是結(jié)構(gòu)化的安全、安全審計與網(wǎng)絡(luò)設(shè)備自身的防護(hù)。

終端接入安全防護(hù)設(shè)計

隨著企業(yè)和組織的業(yè)務(wù)發(fā)展，組網(wǎng)技術(shù)的發(fā)展，終端的定義越來越寬泛，接人的形式也越來越多樣化。信息安全問題直接延伸到企業(yè)人員使用的端點設(shè)備上。我們應(yīng)重點強調(diào)身份鑒別、惡意代碼防范和用戶行為控制，同時也要意識到易用性與安全的平衡。

六、信息安全運維體系的建設(shè)

企業(yè)和組織的信息化過程已經(jīng)從大規(guī)模建設(shè)階段逐步轉(zhuǎn)型為“建設(shè)和運維”并舉的階段。我們可以看到大多數(shù)的信息安全運維體系的服務(wù)水平處在一個被動的階段。主要表現(xiàn)在信息技術(shù)和設(shè)備的應(yīng)用越來越多，但運維人員在信息系統(tǒng)出現(xiàn)安全事件的時候卻茫然不知所措。因此，行之有效的信息安全運維體系，是信息安全管理體系與信息安全技術(shù)體系落地的根本之道。

運維服務(wù)的發(fā)展趨勢與階段劃分

安全運維服務(wù)通常可以分為五個階段:混亂、被動、主動、服務(wù)和價值階段。”NSM一ITSM-}BSM”將是IT管理逐步提升的經(jīng)典路線模型，反映了IT的運營作為一個新興的企業(yè)活動逐步成熟，持續(xù)提升。NSM(針對IT技術(shù)設(shè)施的網(wǎng)絡(luò)系統(tǒng)管理)、ITSM(針對流程、人員管理的IT服務(wù)管理)，BSM(業(yè)務(wù)服務(wù)管理)這些目前己經(jīng)被廣泛應(yīng)用的理念，在IT管理的發(fā)展過程中，發(fā)揮了巨大的作用。

安全運維體系的構(gòu)建

目前條件下的安全運維體系可以分三個階段構(gòu)建:

第一階段從“被動響應(yīng)”到“主動管理”，是采用NSM實現(xiàn)管理提升的階段。通過實現(xiàn)對技術(shù)元素的數(shù)據(jù)收集和分析，獲得從整個IT信息環(huán)境到每個計算實體元素的運行狀態(tài)信息，因此也能夠在故障發(fā)生時或者發(fā)生之前采取主動的管理操作，實現(xiàn)對工T技術(shù)設(shè)施的有效掌控和管理，有效提高IT環(huán)境的運行質(zhì)量。建立安全運維監(jiān)控中心實現(xiàn)第一階段目標(biāo)

第二階段:從“主動管理”到“服務(wù)導(dǎo)向”，采用ITSM實現(xiàn)管理提升。在實現(xiàn)了對所有IT技術(shù)元素的全面監(jiān)控以后，IT技術(shù)設(shè)施的運行質(zhì)量有了明顯改善，但仍未從根本上解決“意外問題”的發(fā)生。全球范圍內(nèi)的調(diào)查表明，IT問題的出現(xiàn)，除了和設(shè)備元素本身的可靠性、性能等密切相關(guān)以外，更多的問題(超過80%)是由于IT運維人員沒有按照規(guī)范的操作流程來進(jìn)行日常的維護(hù)管理，缺乏有效的協(xié)同機(jī)制等造成的。也就是說，管理的缺位，而不是技術(shù)設(shè)施本身的問題阻礙了企業(yè)IT部門工作效率的提高。借鑒并融合ITIL(信息系統(tǒng)基礎(chǔ)設(shè)施庫)/ITSM(IT服務(wù)管理)建立安全運維事件響應(yīng)中心，借助圖形化、可配置的工作流程管理系統(tǒng)，將運維管理工作以任務(wù)和工作單傳遞的方式，通過科學(xué)的、符合用戶運維管理規(guī)范的工作流程進(jìn)行處置，處理過程電子化流轉(zhuǎn)、減少人工錯誤，實現(xiàn)對事件、問題處理過程中的各個環(huán)節(jié)的追蹤、監(jiān)督和審計。

第三階段:從“服務(wù)管理”到“業(yè)務(wù)價值”，采用BSM實現(xiàn)管理提升。在信息時代，企業(yè)的發(fā)展和IT環(huán)境的成熟是一個互相驅(qū)動、交替上升的過程。商業(yè)社會中，企業(yè)作為一個經(jīng)濟(jì)運行實體，其所有的活動和投人都是圍繞利益產(chǎn)出的目標(biāo)進(jìn)行的。在當(dāng)前激烈的商業(yè)競爭環(huán)境中，企業(yè)正不斷地進(jìn)行變革，以適應(yīng)市場和用戶的需求。作為業(yè)務(wù)重要支撐元素的IT正面臨著越來越大的挑戰(zhàn)。如何充分利用已有的IT資源并持續(xù)優(yōu)化資源配置，如何實現(xiàn)IT和業(yè)務(wù)目標(biāo)相統(tǒng)一、持續(xù)推動業(yè)務(wù)發(fā)展、創(chuàng)造商業(yè)價值，己經(jīng)成為眾多企業(yè)信息部門主管、CIO、甚至更高層管理人員的重要難題。建立以信息資產(chǎn)管理為核心的安全運維審核評估中心是這一階段的工作目標(biāo)。能夠?qū)崿F(xiàn)信息系統(tǒng)運行質(zhì)量、服務(wù)水平、運維管理工作績效的綜合評估、考核、審計:能夠?qū)崿F(xiàn)關(guān)鍵業(yè)務(wù)的配置管理、關(guān)鍵業(yè)務(wù)與基礎(chǔ)設(shè)施的關(guān)聯(lián)、關(guān)鍵業(yè)務(wù)的綜合運行態(tài)勢的把握。

七、結(jié)束語

在信息安全保障體系總體框架的指導(dǎo)下，注重信息安全管理體系、技術(shù)體系和運維體系的建設(shè)。充分意識到等級保護(hù)建設(shè)整改過程中的政策和技術(shù)發(fā)展的風(fēng)險，注重安全技術(shù)手段的適用性，就可以有效地解決企業(yè)和組織面臨的安全問題，按照“明確重點、突出重點、保護(hù)重點”的原則，將有限的財力、物力、人力投人到重要信息系統(tǒng)的安全保護(hù)中，逐步推進(jìn)企業(yè)信息系統(tǒng)安全保障水平。

第四篇：計算機(jī)信息系統(tǒng)等級保護(hù)二級基本要求

第二級基本要求 1.1 技術(shù)要求 1.1.1 物理安全

1.1.1.1 物理位置的選擇（G2）

機(jī)房和辦公場地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)。1.1.1.2 物理訪問控制（G2）

本項要求包括：

a)機(jī)房出入口應(yīng)安排專人值守，控制、鑒別和記錄進(jìn)入的人員；

b)需進(jìn)入機(jī)房的來訪人員應(yīng)經(jīng)過申請和審批流程，并限制和監(jiān)控其活動范圍。1.1.1.3 防盜竊和防破壞（G2）

本項要求包括：

a)應(yīng)將主要設(shè)備放置在機(jī)房內(nèi)；

b)應(yīng)將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記； c)應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中； d)應(yīng)對介質(zhì)分類標(biāo)識，存儲在介質(zhì)庫或檔案室中； e)主機(jī)房應(yīng)安裝必要的防盜報警設(shè)施。1.1.1.4 防雷擊（G2）

本項要求包括：

a)機(jī)房建筑應(yīng)設(shè)置避雷裝置； b)機(jī)房應(yīng)設(shè)置交流電源地線。1.1.1.5 防火（G2）

機(jī)房應(yīng)設(shè)置滅火設(shè)備和火災(zāi)自動報警系統(tǒng)。1.1.1.6 防水和防潮（G2）

本項要求包括：

a)水管安裝，不得穿過機(jī)房屋頂和活動地板下； b)應(yīng)采取措施防止雨水通過機(jī)房窗戶、屋頂和墻壁滲透； c)應(yīng)采取措施防止機(jī)房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透。1.1.1.7 防靜電（G2）

關(guān)鍵設(shè)備應(yīng)采用必要的接地防靜電措施。1.1.1.8 溫濕度控制（G2）

機(jī)房應(yīng)設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施，使機(jī)房溫、濕度的變化在設(shè)備運行所允許的范圍之內(nèi)。

1.1.1.9 電力供應(yīng)（A2）

本項要求包括：

a)應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)備；

b)應(yīng)提供短期的備用電力供應(yīng)，至少滿足關(guān)鍵設(shè)備在斷電情況下的正常運行要求。1.1.1.10 電磁防護(hù)（S2）電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾。1.1.2 網(wǎng)絡(luò)安全

1.1.2.1 結(jié)構(gòu)安全（G2）

本項要求包括：

a)應(yīng)保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要； b)應(yīng)保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的帶寬滿足業(yè)務(wù)高峰期需要； c)應(yīng)繪制與當(dāng)前運行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；

d)應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段。

1.1.2.2 訪問控制（G2）

本項要求包括：

a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；

b)應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為網(wǎng)段級。

c)應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進(jìn)行資源訪問，控制粒度為單個用戶；

d)應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量。1.1.2.3 安全審計（G2）

本項要求包括：

a)應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄； b)審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息。

1.1.2.4 邊界完整性檢查（S2）

應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查。1.1.2.5 入侵防范（G2）

應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。1.1.2.6 網(wǎng)絡(luò)設(shè)備防護(hù)（G2）

本項要求包括：

a)應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別； b)應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制； c)網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識應(yīng)唯一；

d)身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換； e)應(yīng)具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時自動退出等措施；

f)當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。

1.1.3 主機(jī)安全 1.1.3.1 身份鑒別（S2）

本項要求包括：

a)應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒別；

b)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換；

c)應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；

d)當(dāng)對服務(wù)器進(jìn)行遠(yuǎn)程管理時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；

e)應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。

1.1.3.2 訪問控制（S2）

本項要求包括：

a)應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問； b)應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；

c)應(yīng)限制默認(rèn)帳戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令； d)應(yīng)及時刪除多余的、過期的帳戶，避免共享帳戶的存在。1.1.3.3 安全審計（G2）

本項要求包括：

a)審計范圍應(yīng)覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；

b)審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；

c)審計記錄應(yīng)包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等； d)應(yīng)保護(hù)審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。1.1.3.4 入侵防范（G2）

操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補丁及時得到更新。1.1.3.5 惡意代碼防范（G2）

本項要求包括：

a)應(yīng)安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫； b)應(yīng)支持防惡意代碼軟件的統(tǒng)一管理。1.1.3.6 資源控制（A2）

本項要求包括：

a)應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄； b)應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定； c)應(yīng)限制單個用戶對系統(tǒng)資源的最大或最小使用限度。1.1.4 應(yīng)用安全

1.1.4.1 身份鑒別（S2）本項要求包括：

a)應(yīng)提供專用的登錄控制模塊對登錄用戶進(jìn)行身份標(biāo)識和鑒別；

b)應(yīng)提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識，身份鑒別信息不易被冒用；

c)應(yīng)提供登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施； d)應(yīng)啟用身份鑒別、用戶身份標(biāo)識唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。

1.1.4.2 訪問控制（S2）

本項要求包括：

a)應(yīng)提供訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問； b)訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它們之間的操作； c)應(yīng)由授權(quán)主體配置訪問控制策略，并嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限；

d)應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系。

1.1.4.3 安全審計（G2）

本項要求包括：

a)應(yīng)提供覆蓋到每個用戶的安全審計功能，對應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計； b)應(yīng)保證無法刪除、修改或覆蓋審計記錄；

c)審計記錄的內(nèi)容至少應(yīng)包括事件日期、時間、發(fā)起者信息、類型、描述和結(jié)果等。1.1.4.4 通信完整性（S2）

應(yīng)采用校驗碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。1.1.4.5 通信保密性（S2）

本項要求包括：

a)在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會話初始化驗證； b)應(yīng)對通信過程中的敏感信息字段進(jìn)行加密。1.1.4.6 軟件容錯（A2）

本項要求包括：

a)應(yīng)提供數(shù)據(jù)有效性檢驗功能，保證通過人機(jī)接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求；

b)在故障發(fā)生時，應(yīng)用系統(tǒng)應(yīng)能夠繼續(xù)提供一部分功能，確保能夠?qū)嵤┍匾拇胧?.1.4.7 資源控制（A2）

本項要求包括：

a)當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動結(jié)束會話；

b)應(yīng)能夠?qū)?yīng)用系統(tǒng)的最大并發(fā)會話連接數(shù)進(jìn)行限制； c)應(yīng)能夠?qū)蝹€帳戶的多重并發(fā)會話進(jìn)行限制。1.1.5 數(shù)據(jù)安全及備份恢復(fù) 1.1.5.1 數(shù)據(jù)完整性（S2）應(yīng)能夠檢測到鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞。1.1.5.2 數(shù)據(jù)保密性（S2）

應(yīng)采用加密或其他保護(hù)措施實現(xiàn)鑒別信息的存儲保密性。1.1.5.3 備份和恢復(fù)（A2）

本項要求包括：

a)應(yīng)能夠?qū)χ匾畔⑦M(jìn)行備份和恢復(fù)；

b)應(yīng)提供關(guān)鍵網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的可用性。1.2 管理要求 1.2.1 安全管理制度 1.2.1.1 管理制度（G2）

本項要求包括：

a)應(yīng)制定信息安全工作的總體方針和安全策略，說明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等；

b)應(yīng)對安全管理活動中重要的管理內(nèi)容建立安全管理制度；

c)應(yīng)對安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程。1.2.1.2 制定和發(fā)布（G2）

本項要求包括：

a)應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)安全管理制度的制定； b)應(yīng)組織相關(guān)人員對制定的安全管理制度進(jìn)行論證和審定； c)應(yīng)將安全管理制度以某種方式發(fā)布到相關(guān)人員手中。1.2.1.3 評審和修訂（G2）

應(yīng)定期對安全管理制度進(jìn)行評審，對存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。1.2.2 安全管理機(jī)構(gòu) 1.2.2.1 崗位設(shè)置（G2）

本項要求包括：

a)應(yīng)設(shè)立安全主管、安全管理各個方面的負(fù)責(zé)人崗位，并定義各負(fù)責(zé)人的職責(zé)； b)應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義各個工作崗位的職責(zé)。1.2.2.2 人員配備（G2）

本項要求包括：

a)應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等； b)安全管理員不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等。1.2.2.3 授權(quán)和審批（G2）

本項要求包括：

a)應(yīng)根據(jù)各個部門和崗位的職責(zé)明確授權(quán)審批部門及批準(zhǔn)人，對系統(tǒng)投入運行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問等關(guān)鍵活動進(jìn)行審批； b)應(yīng)針對關(guān)鍵活動建立審批流程，并由批準(zhǔn)人簽字確認(rèn)。1.2.2.4 溝通和合作（G2）

本項要求包括： a)應(yīng)加強各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的合作與溝通；

b)應(yīng)加強與兄弟單位、公安機(jī)關(guān)、電信公司的合作與溝通。1.2.2.5 審核和檢查（G2）

安全管理員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。1.2.3 人員安全管理 1.2.3.1 人員錄用（G2）

本項要求包括：

a)應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)人員錄用；

b)應(yīng)規(guī)范人員錄用過程，對被錄用人員的身份、背景和專業(yè)資格等進(jìn)行審查，對其所具有的技術(shù)技能進(jìn)行考核；

c)應(yīng)與從事關(guān)鍵崗位的人員簽署保密協(xié)議。1.2.3.2 人員離崗（G2）

本項要求包括：

a)應(yīng)規(guī)范人員離崗過程，及時終止離崗員工的所有訪問權(quán)限； b)應(yīng)取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備； c)應(yīng)辦理嚴(yán)格的調(diào)離手續(xù)。1.2.3.3 人員考核（G2）

應(yīng)定期對各個崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核。1.2.3.4 安全意識教育和培訓(xùn)（G2）

本項要求包括：

a)應(yīng)對各類人員進(jìn)行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)； b)應(yīng)告知人員相關(guān)的安全責(zé)任和懲戒措施，并對違反違背安全策略和規(guī)定的人員進(jìn)行懲戒；

c)應(yīng)制定安全教育和培訓(xùn)計劃，對信息安全基礎(chǔ)知識、崗位操作規(guī)程等進(jìn)行培訓(xùn)。1.2.3.5 外部人員訪問管理（G2）

應(yīng)確保在外部人員訪問受控區(qū)域前得到授權(quán)或?qū)徟鷾?zhǔn)后由專人全程陪同或監(jiān)督，并登記備案。1.2.4 系統(tǒng)建設(shè)管理 1.2.4.1 系統(tǒng)定級（G2）

本項要求包括：

a)應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級；

b)應(yīng)以書面的形式說明信息系統(tǒng)確定為某個安全保護(hù)等級的方法和理由； c)應(yīng)確保信息系統(tǒng)的定級結(jié)果經(jīng)過相關(guān)部門的批準(zhǔn)。1.2.4.2 安全方案設(shè)計（G2）

本項要求包括： a)應(yīng)根據(jù)系統(tǒng)的安全保護(hù)等級選擇基本安全措施，依據(jù)風(fēng)險分析的結(jié)果補充和調(diào)整安全措施；

b)應(yīng)以書面形式描述對系統(tǒng)的安全保護(hù)要求、策略和措施等內(nèi)容，形成系統(tǒng)的安全方案；

c)應(yīng)對安全方案進(jìn)行細(xì)化，形成能指導(dǎo)安全系統(tǒng)建設(shè)、安全產(chǎn)品采購和使用的詳細(xì)設(shè)計方案；

d)應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對安全設(shè)計方案的合理性和正確性進(jìn)行論證和審定，并且經(jīng)過批準(zhǔn)后，才能正式實施。

1.2.4.3 產(chǎn)品采購和使用（G2）

本項要求包括：

a)應(yīng)確保安全產(chǎn)品采購和使用符合國家的有關(guān)規(guī)定；

b)應(yīng)確保密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求； c)應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購。1.2.4.4 自行軟件開發(fā)（G2）

本項要求包括：

a)應(yīng)確保開發(fā)環(huán)境與實際運行環(huán)境物理分開；

b)應(yīng)制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則； c)應(yīng)確保提供軟件設(shè)計的相關(guān)文檔和使用指南，并由專人負(fù)責(zé)保管。1.2.4.5 外包軟件開發(fā)（G2）

本項要求包括：

a)應(yīng)根據(jù)開發(fā)要求檢測軟件質(zhì)量；

b)應(yīng)確保提供軟件設(shè)計的相關(guān)文檔和使用指南； c)應(yīng)在軟件安裝之前檢測軟件包中可能存在的惡意代碼；

d)應(yīng)要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門。1.2.4.6 工程實施（G2）

本項要求包括：

a)應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實施過程的管理； b)應(yīng)制定詳細(xì)的工程實施方案，控制工程實施過程。1.2.4.7 測試驗收（G2）

本項要求包括：

a)應(yīng)對系統(tǒng)進(jìn)行安全性測試驗收；

b)在測試驗收前應(yīng)根據(jù)設(shè)計方案或合同要求等制訂測試驗收方案，在測試驗收過程中應(yīng)詳細(xì)記錄測試驗收結(jié)果，并形成測試驗收報告；

c)應(yīng)組織相關(guān)部門和相關(guān)人員對系統(tǒng)測試驗收報告進(jìn)行審定，并簽字確認(rèn)。1.2.4.8 系統(tǒng)交付（G2）

本項要求包括：

a)應(yīng)制定系統(tǒng)交付清單，并根據(jù)交付清單對所交接的設(shè)備、軟件和文檔等進(jìn)行清點； b)應(yīng)對負(fù)責(zé)系統(tǒng)運行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)； c)應(yīng)確保提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運行維護(hù)的文檔。1.2.4.9 安全服務(wù)商選擇（G2）

本項要求包括：

a)應(yīng)確保安全服務(wù)商的選擇符合國家的有關(guān)規(guī)定；

b)應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責(zé)任；

c)應(yīng)確保選定的安全服務(wù)商提供技術(shù)支持和服務(wù)承諾，必要的與其簽訂服務(wù)合同。1.2.5 系統(tǒng)運維管理 1.2.5.1 環(huán)境管理（G2）

本項要求包括：

a)應(yīng)指定專門的部門或人員定期對機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理；

b)應(yīng)配備機(jī)房安全管理人員，對機(jī)房的出入、服務(wù)器的開機(jī)或關(guān)機(jī)等工作進(jìn)行管理； c)應(yīng)建立機(jī)房安全管理制度，對有關(guān)機(jī)房物理訪問，物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的管理作出規(guī)定；

d)應(yīng)加強對辦公環(huán)境的保密性管理，包括工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙和不在辦公區(qū)接待來訪人員等。

1.2.5.2 資產(chǎn)管理（G2）

本項要求包括：

a)應(yīng)編制與信息系統(tǒng)相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容；

b)應(yīng)建立資產(chǎn)安全管理制度，規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門，并規(guī)范資產(chǎn)管理和使用的行為。

1.2.5.3 介質(zhì)管理（G2）

本項要求包括：

a)應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對各類介質(zhì)進(jìn)行控制和保護(hù)，并實行存儲環(huán)境專人管理；

b)應(yīng)對介質(zhì)歸檔和查詢等過程進(jìn)行記錄，并根據(jù)存檔介質(zhì)的目錄清單定期盤點； c)應(yīng)對需要送出維修或銷毀的介質(zhì)，首先清除其中的敏感數(shù)據(jù)，防止信息的非法泄漏；

d)應(yīng)根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進(jìn)行分類和標(biāo)識管理。1.2.5.4 設(shè)備管理（G2）

本項要求包括：

a)應(yīng)對信息系統(tǒng)相關(guān)的各種設(shè)備（包括備份和冗余設(shè)備）、線路等指定專門的部門或人員定期進(jìn)行維護(hù)管理；

b)應(yīng)建立基于申報、審批和專人負(fù)責(zé)的設(shè)備安全管理制度，對信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購、發(fā)放和領(lǐng)用等過程進(jìn)行規(guī)范化管理； c)應(yīng)對終端計算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進(jìn)行規(guī)范化管理，按操作規(guī)程實現(xiàn)關(guān)鍵設(shè)備（包括備份和冗余設(shè)備）的啟動/停止、加電/斷電等操作；

d)應(yīng)確保信息處理設(shè)備必須經(jīng)過審批才能帶離機(jī)房或辦公地點。1.2.5.5 網(wǎng)絡(luò)安全管理（G2）

本項要求包括：

a)應(yīng)指定人員對網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報警信息分析和處理工作；

b)應(yīng)建立網(wǎng)絡(luò)安全管理制度，對網(wǎng)絡(luò)安全配置、日志保存時間、安全策略、升級與打補丁、口令更新周期等方面作出規(guī)定；

c)應(yīng)根據(jù)廠家提供的軟件升級版本對網(wǎng)絡(luò)設(shè)備進(jìn)行更新，并在更新前對現(xiàn)有的重要文件進(jìn)行備份；

d)應(yīng)定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時的修補； e)應(yīng)對網(wǎng)絡(luò)設(shè)備的配置文件進(jìn)行定期備份； f)應(yīng)保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)。1.2.5.6 系統(tǒng)安全管理（G2）

本項要求包括：

a)應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略； b)應(yīng)定期進(jìn)行漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞及時進(jìn)行修補；

c)應(yīng)安裝系統(tǒng)的最新補丁程序，在安裝系統(tǒng)補丁前，應(yīng)首先在測試環(huán)境中測試通過，并對重要文件進(jìn)行備份后，方可實施系統(tǒng)補丁程序的安裝；

d)應(yīng)建立系統(tǒng)安全管理制度，對系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出規(guī)定；

e)應(yīng)依據(jù)操作手冊對系統(tǒng)進(jìn)行維護(hù)，詳細(xì)記錄操作日志，包括重要的日常操作、運行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容，嚴(yán)禁進(jìn)行未經(jīng)授權(quán)的操作； f)應(yīng)定期對運行日志和審計數(shù)據(jù)進(jìn)行分析，以便及時發(fā)現(xiàn)異常行為。1.2.5.7 惡意代碼防范管理（G2）

本項要求包括：

a)應(yīng)提高所有用戶的防病毒意識，告知及時升級防病毒軟件，在讀取移動存儲設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前，先進(jìn)行病毒檢查，對外來計算機(jī)或存儲設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進(jìn)行病毒檢查；

b)應(yīng)指定專人對網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測并保存檢測記錄；

c)應(yīng)對防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、定期匯報等作出明確規(guī)定。1.2.5.8 密碼管理（G2）

應(yīng)使用符合國家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。1.2.5.9 變更管理（G2）

本項要求包括：

a)應(yīng)確認(rèn)系統(tǒng)中要發(fā)生的重要變更，并制定相應(yīng)的變更方案； b)系統(tǒng)發(fā)生重要變更前，應(yīng)向主管領(lǐng)導(dǎo)申請，審批后方可實施變更，并在實施后向相關(guān)人員通告。

1.2.5.10 備份與恢復(fù)管理（G2）

本項要求包括：

a)應(yīng)識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等； b)應(yīng)規(guī)定備份信息的備份方式、備份頻度、存儲介質(zhì)、保存期等；

c)應(yīng)根據(jù)數(shù)據(jù)的重要性及其對系統(tǒng)運行的影響，制定數(shù)據(jù)的備份策略和恢復(fù)策略，備份策略指明備份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質(zhì)替換頻率和數(shù)據(jù)離站運輸方法。

1.2.5.11 安全事件處置（G2）

本項要求包括：

a)應(yīng)報告所發(fā)現(xiàn)的安全弱點和可疑事件，但任何情況下用戶均不應(yīng)嘗試驗證弱點； b)應(yīng)制定安全事件報告和處置管理制度，明確安全事件類型，規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復(fù)的管理職責(zé)；

c)應(yīng)根據(jù)國家相關(guān)管理部門對計算機(jī)安全事件等級劃分方法和安全事件對本系統(tǒng)產(chǎn)生的影響，對本系統(tǒng)計算機(jī)安全事件進(jìn)行等級劃分；

d)應(yīng)記錄并保存所有報告的安全弱點和可疑事件，分析事件原因，監(jiān)督事態(tài)發(fā)展，采取措施避免安全事件發(fā)生。

1.2.5.12 應(yīng)急預(yù)案管理（G2）

本項要求包括：

a)應(yīng)在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括啟動應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容； b)應(yīng)對系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次。

第五篇：武漢國土局信息系統(tǒng)等級保護(hù)應(yīng)用實踐

武漢國土局信息系統(tǒng)等級保護(hù)應(yīng)用實踐

來源：公安部信息安全等級保護(hù)評估中心 作者：admin 日期：2011年2月17日

為了推動等級標(biāo)準(zhǔn)的實際執(zhí)行與實施，對計算機(jī)信息系統(tǒng)安全等級保護(hù)評估工具進(jìn)行實際使用與測試，驗證安全等級保護(hù)評估方法與思路，公安部啟動了計算機(jī)系統(tǒng)安全保護(hù)等級評估試點。選擇了四個省和兩個部委的6個單位和行業(yè)進(jìn)行試點。武漢市規(guī)劃國土資源管理局（以下簡稱武漢市規(guī)劃國土局）被確定為湖北省的試點單位。武漢市土地管理信息中心與公安部計算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心一起對武漢市規(guī)劃國土局內(nèi)部網(wǎng)進(jìn)行了全面的安全評估。依據(jù)《計算機(jī)信息系統(tǒng)安全等級保護(hù)評估準(zhǔn)則》及相關(guān)等級標(biāo)準(zhǔn)，就評估結(jié)果對內(nèi)部網(wǎng)的安全狀況進(jìn)行了分析和總結(jié)。

工作思路與評估方法

《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》將我國的計算機(jī)信息系統(tǒng)安全確定為5個等級，由低到高依次是“用戶自主保護(hù)級、系統(tǒng)審計保護(hù)級、安全標(biāo)記保護(hù)級、結(jié)構(gòu)化保護(hù)級、訪問驗證保護(hù)級”，對每一等級的計算機(jī)信息系統(tǒng)在物理安全、運行安全、信息安全等安全功能要素和安全保證等方面提出了具體技術(shù)要求。信息系統(tǒng)安全等級保護(hù)就是采用“調(diào)查—測試—評估—分析—改進(jìn)”的工作步驟，對信息系統(tǒng)依照安全保護(hù)等級進(jìn)行評估，確定信息系統(tǒng)的重點保護(hù)對象和保護(hù)等級，找出安全隱患，提出改進(jìn)方案，提升系統(tǒng)安全保護(hù)措施，保障系統(tǒng)安全。

因為信息系統(tǒng)用戶主要通過應(yīng)用服務(wù)的方式訪問被保護(hù)的重點對象，所以在評估過程中，以應(yīng)用服務(wù)的訪問途徑為切入點，選取相應(yīng)的路徑進(jìn)行安全要素的評測與分析。信息系統(tǒng)安全等級評估的技術(shù)部分主要包括以下兩個方面：

安全要素評估：需要評估的安全要素包括：身份鑒別、自主訪問控制、客體重用、完整性、審計。通過如下幾種方式評估安全要素的實現(xiàn)狀況：

對應(yīng)用服務(wù)的工作流程、流程中所傳輸?shù)臄?shù)據(jù)內(nèi)容、所經(jīng)過的傳輸環(huán)節(jié)（客戶終端、路由器、交換機(jī)、中心服務(wù)器節(jié)點）對數(shù)據(jù)采取的保護(hù)措施、應(yīng)用服務(wù)支撐平臺（如SQL Server 2000等）的安全狀況、應(yīng)用服務(wù)流程中各組件自身的安全狀況進(jìn)行調(diào)查。

根據(jù)驗證方案，現(xiàn)場操作人員協(xié)助評估工程師完成一次全過程的應(yīng)用服務(wù)。評估工程師根據(jù)此過程中所采取或所能采取的安全保護(hù)措施，確定安全要素在訪問路徑上的實現(xiàn)狀況實施現(xiàn)場驗證。

根據(jù)評估的結(jié)果，總結(jié)系統(tǒng)安全要素的實現(xiàn)狀況，確定信息系統(tǒng)所達(dá)到的安全等級，提出可行的安全建議，并撰寫完善的安全評估報告。

安全保證要求評估：安全保證要求評估主要以與協(xié)助人員交流，查閱并分析系統(tǒng)開發(fā)過程中相關(guān)的文檔資料為主?？疾斓膬?nèi)容包括信息系統(tǒng)安全功能自身安全保護(hù)、密碼支持、生命周期支持、配置管理、開發(fā)、測試、指導(dǎo)性文檔、脆弱性分析、交付與運行等。

武漢市規(guī)劃國土局信息系統(tǒng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)一共劃分為四個VLAN區(qū)域。其中VLAN14區(qū)域為武漢市規(guī)劃國土資源管理局的各個分局和局屬院所，VLAN10、VLAN11、VLAN12屬于市局內(nèi)網(wǎng)部分。根據(jù)對信息系統(tǒng)的調(diào)查分析，確定將NAS服務(wù)和辦公自動化應(yīng)用服務(wù)作為評估的切入點，將信息系統(tǒng)劃分為四個實體層面進(jìn)行評價，即物理層面、計算機(jī)網(wǎng)絡(luò)層面、系統(tǒng)層面、應(yīng)用層面。物理安全體現(xiàn)為環(huán)境安全、設(shè)備安全、媒體安全。計算機(jī)網(wǎng)絡(luò)層面主要包括交換機(jī)（cisco3500、cisco9300、cisco2950）和路由器。系統(tǒng)層面主要指服務(wù)器上的操作系統(tǒng)（Windows 2000 Server）與數(shù)據(jù)庫系統(tǒng)（SQL2000 Server）。應(yīng)用層面指實現(xiàn)應(yīng)用服務(wù)的應(yīng)用軟件，包括NAS應(yīng)用軟件、辦公自動化應(yīng)用軟件。

評估結(jié)果統(tǒng)計分析與評價

依據(jù)相關(guān)標(biāo)準(zhǔn)《GB17859-1999計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》和《GA/T391-2002計算機(jī)信息系統(tǒng)安全等級保護(hù)管理要求》，按照管理要求第一級和第二級的評估標(biāo)準(zhǔn)的80項管理要求，武漢市規(guī)劃國土局信息系統(tǒng)的安全管理評估結(jié)果中，滿足要求的共計30項，部分滿足要求的共計30項，沒有滿足要求的共計20項，對沒有滿足的管理要求，按照不適用、技術(shù)、預(yù)算、時間、文化、環(huán)境、其它等7個方面的原因進(jìn)行了分析歸類，其中不適用指評估原則不適用本系統(tǒng)；技術(shù)指由于安全管理技術(shù)不全面而沒有考慮到的原因；預(yù)算指出于經(jīng)費考慮沒有實施的原因；時間指項目已列入計劃，實施只是時間問題。

根據(jù)計算機(jī)信息系統(tǒng)安全等級保護(hù)管理的第一和第二級要求，武漢市規(guī)劃國土局較好地實施了對其信息系統(tǒng)的基本管理，也基本實現(xiàn)了操作規(guī)程管理（分別對應(yīng)于安全保護(hù)等級中的用戶自主保護(hù)級和系統(tǒng)審計保護(hù)級）。評價具體如下：

管理目標(biāo)和范圍方面：有統(tǒng)一的安全管理機(jī)構(gòu)以及較完整的安全管理計劃，但計劃還不全面，如安全管理計劃并沒有涉及風(fēng)險管理的內(nèi)容。安全目標(biāo)和安全范圍具體，有詳細(xì)的安全管理文檔描述和說明，對信息系統(tǒng)的網(wǎng)絡(luò)、物理設(shè)備以及自主開發(fā)應(yīng)用系統(tǒng)實施了生命周期的全程管理，制定了設(shè)備購買及其安全操作方面的操作規(guī)程，但安全操作規(guī)程尚不完善。

人員與職責(zé)要求方面：安全管理機(jī)構(gòu)符合要求，任命了安全管理員，并賦予其相應(yīng)的安全管理權(quán)限。安全管理員都有一定的專業(yè)技術(shù)水平，安全負(fù)責(zé)人在安全工作方面具有相應(yīng)的經(jīng)驗和技能，并且都基本履行了相應(yīng)的職責(zé)，但在風(fēng)險分析和安全性評估方面的工作有所欠缺。

物理安全管理要求方面：信息中心建立了物理安全區(qū)，機(jī)房是專用機(jī)房，還為服務(wù)器建立一個單獨的隔離機(jī)房。而且此機(jī)房的物理安全防護(hù)措施在防火、溫度控制、防盜、出入監(jiān)控方面較完備，但對一些必備的物理安全措施沒有很好實現(xiàn)，如濕度控制，物理安全管理工作由幾個相關(guān)部門協(xié)同負(fù)責(zé)完成，而且也具有物理安全管理規(guī)章制度，并據(jù)此制定了相應(yīng)的物理設(shè)施的操作流程。對所有設(shè)備建檔立卷，實現(xiàn)了對物理設(shè)施的分類編目以及嚴(yán)格的登記制度。

系統(tǒng)安全管理要求方面：系統(tǒng)安全管理方面的工作主要由信息中心網(wǎng)絡(luò)室工作人員負(fù)責(zé)，其對操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)進(jìn)行了日常的安全管理。具有對操作系統(tǒng)和數(shù)據(jù)庫的安全配置和備份方面的安全管理規(guī)章制度，操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)及其信息資源實際也得到了安全的備份，但沒有針對操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的配置和備份等方面的操作規(guī)程，且經(jīng)實地驗證，操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)均為默認(rèn)安裝配置，存在安全隱患。系統(tǒng)授權(quán)用戶使用唯一的用戶名和口令訪問系統(tǒng)資源，但沒有對用戶口令復(fù)雜度的規(guī)定，實際存在較多弱口令。采取一定的措施，如統(tǒng)一分發(fā)系統(tǒng)工具和拆卸光驅(qū)，對系統(tǒng)進(jìn)行授權(quán)管理和變更控制。系統(tǒng)管理員開展了一定的系統(tǒng)安全性維護(hù)工作，但經(jīng)漏洞掃描驗證有服務(wù)器存在安全配置方面的漏洞。

網(wǎng)絡(luò)安全管理要求方面：由網(wǎng)絡(luò)管理室工作人員負(fù)責(zé)網(wǎng)絡(luò)環(huán)境安全管理工作，網(wǎng)絡(luò)管理員具體履行對網(wǎng)絡(luò)安全措施的日常管理，對網(wǎng)絡(luò)連接和網(wǎng)絡(luò)安全措施等方面實施安全性檢查。具有關(guān)于網(wǎng)絡(luò)配置和網(wǎng)絡(luò)接入方面的安全管理規(guī)定，但沒有制定網(wǎng)絡(luò)使用和網(wǎng)絡(luò)服務(wù)方面的策略。利用授權(quán)制度和機(jī)制實現(xiàn)用戶對網(wǎng)絡(luò)的安全訪問控制，實現(xiàn)對網(wǎng)絡(luò)配置的變更控制，但經(jīng)實地驗證，網(wǎng)絡(luò)交換機(jī)和路由器的口令為空口令，存在嚴(yán)重的安全隱患，同時也沒有對網(wǎng)絡(luò)訪問和網(wǎng)絡(luò)安全事件等進(jìn)行安全審計，也缺乏網(wǎng)絡(luò)安全事件報告流程，以及相應(yīng)的應(yīng)急計劃。網(wǎng)絡(luò)設(shè)施實施了必要的備份。每年對網(wǎng)絡(luò)用戶實施安全教育和培訓(xùn)。

應(yīng)用安全管理要求方面：網(wǎng)絡(luò)管理室工作人員負(fù)責(zé)應(yīng)用系統(tǒng)的安全管理，對應(yīng)用系統(tǒng)進(jìn)行安全配置和備份，維護(hù)工作由系統(tǒng)開發(fā)室負(fù)責(zé)完成，但都沒有制定相關(guān)的規(guī)章制度。數(shù)據(jù)庫應(yīng)用軟件自主開發(fā)，有配套的技術(shù)和操作文檔，經(jīng)驗證管理人員基本據(jù)此實施對應(yīng)用系統(tǒng)的管理。依據(jù)部門劃分對應(yīng)用系統(tǒng)數(shù)據(jù)和信息進(jìn)行分類管理，并利用授權(quán)和訪問控制機(jī)制保證信息的安全共享和發(fā)布，但沒有與授權(quán)用戶簽署授權(quán)許可以及安全協(xié)議。經(jīng)驗證對應(yīng)用系統(tǒng)及數(shù)據(jù)實施了有效地備份，但缺乏明確的備份計劃和應(yīng)急計劃。

運行安全管理要求方面：制定了信息中心安全生產(chǎn)管理規(guī)定，并制定了部分管理制度，但沒有對這些規(guī)定和制度進(jìn)行完善。確保運行安全而采取的方法和措施有物理監(jiān)控、備份、容錯以及病毒檢測和防護(hù)，經(jīng)驗證均運轉(zhuǎn)正常，但信息系統(tǒng)感染病毒情況較多。信息中心實行網(wǎng)絡(luò)值班制，負(fù)責(zé)對信息中心運行安全的監(jiān)督和檢查。經(jīng)驗證每年舉辦安全方面的培訓(xùn)，但沒有制定特別明確的計劃。經(jīng)驗證明確了系統(tǒng)安全管理員和普通用戶的訪問權(quán)限以及其對各類資源的責(zé)任，并有相應(yīng)的管理。對應(yīng)用軟件的采購、安裝和使用等方面實施批準(zhǔn)和授權(quán)制度。對外部服務(wù)方訪問信息系統(tǒng)實施人員監(jiān)督，但沒有簽署安全保密合同，也沒有對其可能帶來的安全性問題進(jìn)行安全性評估。實現(xiàn)了良好的自動化備份，且有專人負(fù)責(zé)，但備份制度還有待于完善。

系統(tǒng)安全建議

對照計算機(jī)信息系統(tǒng)安全等級保護(hù)的要求，要滿足第一級要求，必須在一些方面進(jìn)行改進(jìn)，如：制定整體全面的安全管理計劃，以進(jìn)一步明確安全目標(biāo)和范圍；建立和健全對物理、系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用和運行制定安全規(guī)章制度，并不斷修訂和完善；充分考慮到對安全管理員作安全管理的職責(zé)規(guī)定和實際履行要求；根據(jù)分類編號對物理設(shè)備加上識別標(biāo)簽；加強出入管理保證運行安全，建議被測單位信息中心工作人員佩戴識別標(biāo)志（比如胸牌等標(biāo)志）等。

要達(dá)到計算機(jī)信息系統(tǒng)安全等級保護(hù)管理第二級安全要求，還應(yīng)該進(jìn)行這樣一些改進(jìn)：制定針對物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用系統(tǒng)安全和運行安全幾方面的具體安全操作規(guī)程，內(nèi)容可涉及安全使用、安全配置、變更控制、安全分析、安全事件處理、以及安全培訓(xùn)等；制定安全策略，特別在網(wǎng)絡(luò)安全管理方面要制定網(wǎng)絡(luò)使用和網(wǎng)絡(luò)服務(wù)的策略要求。網(wǎng)絡(luò)安全管理要求、應(yīng)用系統(tǒng)安全管理要求以及運行安全管理要求方面開展相應(yīng)的風(fēng)險分析和安全性評估等風(fēng)險管理；建立網(wǎng)絡(luò)安全事件報告流程及相應(yīng)應(yīng)急計劃，實施對信息系統(tǒng)的應(yīng)急響應(yīng)，不斷對其可行性進(jìn)行驗證；更換服務(wù)器和網(wǎng)絡(luò)設(shè)備的弱口令及其默認(rèn)配置。操作系統(tǒng)自身默認(rèn)的簡單審計功能不能滿足多方面的審計要求，要對操作系統(tǒng)、數(shù)據(jù)庫應(yīng)用系統(tǒng)以及網(wǎng)絡(luò)的使用、訪問、配置和變更作安全方面的審計，并指定專人負(fù)責(zé)此方面的工作；嚴(yán)格取消內(nèi)網(wǎng)Modem與外網(wǎng)的連接，并進(jìn)一步嚴(yán)格控制光驅(qū)的安裝，以防病毒侵入以及黑客攻擊；豐富和完善病毒防護(hù)體系的使用管理規(guī)定。對應(yīng)用系統(tǒng)關(guān)鍵崗位的工作人員實施資質(zhì)管理；與應(yīng)用系統(tǒng)的授權(quán)用戶簽署授權(quán)許可書和安全協(xié)議，并且在制定外部服務(wù)方訪問被測單位信息系統(tǒng)的安全制度時，包括并實施與外部服務(wù)方簽署安全保密協(xié)議或合同這一項的內(nèi)容；建立嚴(yán)格的運行過程管理文檔，并保證所有文檔的一致性。