第一篇:信息安全等級保護提升信息系統(tǒng)管理
信息安全等級保護提升信息系統(tǒng)管理
摘要:隨著科技的進步,企業(yè)辦公信息化、智能化程度顯著提升,隨之而來的信息安全問題日益突出。企業(yè)經(jīng)營考慮信息化設備創(chuàng)造的利益時,需兼顧互聯(lián)網(wǎng)開放性造成的風險。針對以上問題,國家嚴格規(guī)范信息系統(tǒng)等級保護工作流程,根據(jù)系統(tǒng)的重要性和影響范圍劃分定級,按照系統(tǒng)級別的不同實施區(qū)別化管理。此外,依照信息系統(tǒng)等級保護工作的“三同步”原則(同步規(guī)劃、同步設計、同步投入運行),在信息系統(tǒng)應用建設的各環(huán)節(jié)進行標準化管理,規(guī)范了信息系統(tǒng)事件的定級、測評、備案、安全整改以及職責等工作標準,同時,明確了檢查考核、管理與技術措施,促進供電企業(yè)信息專業(yè)能力不斷提升,充分調(diào)動公司各專業(yè)的積極性和協(xié)調(diào)性,有效提高公司信息系統(tǒng)安全管理水平和保護能力。
關鍵詞:信息安全;等級保護;信息系統(tǒng)管理背景簡介
通常情況下,企業(yè)信息系統(tǒng)管理普遍存在以下問題:(1)信息系統(tǒng)規(guī)劃階段側(cè)重于系統(tǒng)功能應用,未提出信息系統(tǒng)安全保護;(2)信息系統(tǒng)設計階段缺少安全方案的同步設計;(3)信息系統(tǒng)上線運行階段,未建立安全性測試機制,投運前缺少系統(tǒng)軟件惡意代碼檢測、源代碼后門審查、漏洞查找、滲透測試、運行環(huán)境測試和等級測評等安全性測評環(huán)節(jié)。針對以上問題,信息安全等級保護在企業(yè)信息系統(tǒng)管理工作中發(fā)揮至關重要的作用。信息安全等級保護工作包括定級、備案、安全建設與整改、信息安全等級測評以及信息安全檢查五個階段,覆蓋信息系統(tǒng)規(guī)劃—設計—開發(fā)—測試—實施—應用上線與上架—運維的整個生命周期[1]。信息安全等級保護工作的管理思路
根據(jù)目前信息系統(tǒng)管理的暴露的缺點,公司將信息系統(tǒng)安全建設作為安全等級保護工作的重點,圍繞信息系統(tǒng)應用建設的各個階段,結(jié)合等級保護要求,實現(xiàn)信息系統(tǒng)建設過程的安全管理,有效降低了信息系統(tǒng)上線后的安全隱患,保障了信息系統(tǒng)的安全穩(wěn)定運行。
2.1 規(guī)劃階段
信息系統(tǒng)規(guī)劃初期,通過建立合理的信息系統(tǒng)安全管理體系、工作要求和工作流程,結(jié)合公司實際情況,將系統(tǒng)測評費用納入其中。
2.2 設計階段
系統(tǒng)設計階段,公司要求系統(tǒng)建設部門提交信息系統(tǒng)的安全防護總體方案。對于需要開展安全方案設計的信息系統(tǒng),在系統(tǒng)定級后,系統(tǒng)建設項目負責部門應組織系統(tǒng)運維單位和系統(tǒng)開發(fā)實施單位,根據(jù)系統(tǒng)安全防護等級,遵照相關行業(yè)信息安全等級保護基本要求和公司信息安全防護總體方案等,制定系統(tǒng)安全防護方案。
2.3 開發(fā)階段
各系統(tǒng)建設部門是信息系統(tǒng)的用戶方,必須嚴格要求系統(tǒng)開發(fā)部門遵守相應原則,如使用正版的操作系統(tǒng)、配置強口令、信息系統(tǒng)測試合格正式書等,從而保證系統(tǒng)投運時的實用性和效率。
2.4 測試階段
系統(tǒng)建設部門組織定級系統(tǒng),通過具有國家資質(zhì)的測評機構對系
統(tǒng)進行安全測評,并在當?shù)毓矙C關網(wǎng)監(jiān)部門進行定級和備案工作。
2.5 實施階段和應用上線
各級信息通信職能管理部門,督促檢查本單位及下屬單位等級保護工作,同時,要求各系統(tǒng)建設部門在信息系統(tǒng)實施階段,確保系統(tǒng)完成測評整改工作。
2.6 運維階段
根據(jù)“誰主管誰負責,誰運行誰負責”的工作原則,各系統(tǒng)主管部門合理分配部門人員的管理和運維工作,制定所管轄區(qū)域的系統(tǒng)安全隱患整改、數(shù)據(jù)備份以及其他相關安全加固措施。信息系統(tǒng)管理的工作機制
通過信息系統(tǒng)等級保護方案,公司要在系統(tǒng)應用建設全過程中加入安全防護機制,規(guī)范信息系統(tǒng)事件的定級、測評、備案、安全整改以及職責等工作標準。此外,為進一步促進等級保護工作的有效執(zhí)行,公司明確了相應的檢查考核管理措施,完善信息系統(tǒng)安全工作的全面管理。
3.1 考評機制
建立相關考評機制。由信息化職能管理部門負責對公司信息專業(yè)工作進行標準化管理考評、考核工作,即檢查各相關單位網(wǎng)絡與信息安全工作的開展情況,并根據(jù)上級部門的實時反饋進行整改,從公司信息系統(tǒng)正常運行到信息內(nèi)外網(wǎng)安全,實施監(jiān)督和管控,納入各單位年度績效指標考核。
3.2 協(xié)同機制
成立信息化領導小組及辦公室,開展協(xié)同控制工作。建立關于信息安全工作的協(xié)調(diào)機制,明確公司各部門網(wǎng)絡與信息安全工作職責,具體負責組織開展信息系統(tǒng)安全等級保護工作,協(xié)調(diào)、督導信息系統(tǒng)建設部門進行定級、備案、等級測評和安全整改等工作。另外,針對信息系統(tǒng)測評和評估所發(fā)現(xiàn)的問題,責任單位制定完善的安全整改方案并認真落實。
3.3 例會機制
例會機制主要通過信息系統(tǒng)等級保護集中工作實現(xiàn),定期召開信息專業(yè)網(wǎng)絡安全會議,通過會議通報各單位存在的問題和下一步改進措施。結(jié)語
本文提出了一種基于等級保護的信息系統(tǒng)管理工作思路。一方面,從信息系統(tǒng)全生命周期著手,在系統(tǒng)應用建設的各環(huán)節(jié)加入安全管理工作;另一方面,完善信息系統(tǒng)管理工作機制,通過建立合理的考評機制、協(xié)同機制和例會機制,優(yōu)化系統(tǒng)管理手段。根據(jù)以上管理思路,不僅在工作流程上對信息系統(tǒng)進行了安全防護加固,而且制定了相應的管理手段,促進企業(yè)信息系統(tǒng)管理工作水平的提升。
參考文獻
[1]高磊,李晨旸,趙章界.基于等級保護的信息安全管理體系研究[J].信息安全與通信保密,2015(5):95-98,101.作者:余入麗 馬先平楊雅 單位:國網(wǎng)黃石供電公司信息通信分公司
第二篇:信息安全等級保護
信息安全等級保護(二級)信息安全等級保護(二級)備注:其中黑色字體為信息安全等級保護第二級系統(tǒng)要求,藍色字體為第三級系統(tǒng)等保要求。
一、物理安全
1、應具有機房和辦公場地的設計/驗收文檔(機房場地的選址說明、地線連接要求的描述、建筑材料具有相應的耐火等級說明、接地防靜電措施)
2、應具有有來訪人員進入機房的申請、審批記錄;來訪人員進入機房的登記記錄
3、應配置電子門禁系統(tǒng)(三級明確要求);電子門禁系統(tǒng)有驗收文檔或產(chǎn)品安全認證資質(zhì),電子門禁系統(tǒng)運行和維護記錄
4、主要設備或設備的主要部件上應設置明顯的不易除去的標記
5、介質(zhì)有分類標識;介質(zhì)分類存放在介質(zhì)庫或檔案室內(nèi),磁介質(zhì)、紙介質(zhì)等分類存放
6、應具有攝像、傳感等監(jiān)控報警系統(tǒng);機房防盜報警設施的安全資質(zhì)材料、安裝測試和驗收報告;機房防盜報警系統(tǒng)的運行記錄、定期檢查和維護記錄;
7、應具有機房監(jiān)控報警設施的安全資質(zhì)材料、安裝測試和驗收報告;機房監(jiān)控報警系統(tǒng)的運行記錄、定期檢查和維護記錄
8、應具有機房建筑的避雷裝置;通過驗收或國家有關部門的技術檢測;
9、應在電源和信號線上增加有資質(zhì)的防雷保安器;具有防雷檢測資質(zhì)的檢測部門對防雷裝置的檢測報告
10、應具有自動檢測火情、自動報警、自動滅火的自動消防系統(tǒng);自動消防系統(tǒng)的運行記錄、檢查和定期維護記錄;消防產(chǎn)品有效期合格;自動消防系統(tǒng)是經(jīng)消防檢測部門檢測合格的產(chǎn)品
11、應具有除濕裝置;空調(diào)機和加濕器;溫濕度定期檢查和維護記錄
12、應具有水敏感的檢測儀表或元件;對機房進行防水檢測和報警;防水檢測裝置的運行記錄、定期檢查和維護記錄
13、應具有溫濕度自動調(diào)節(jié)設施;溫濕度自動調(diào)節(jié)設施的運行記錄、定期檢查和維護記錄
14、應具有短期備用電力供應設備(如UPS);短期備用電力供應設備的運行記錄、定期檢查和維護記錄
15、應具有冗余或并行的電力電纜線路(如雙路供電方式)
16、應具有備用供電系統(tǒng)(如備用發(fā)電機);備用供電系統(tǒng)運行記錄、定期檢查和維護記錄
二、安全管理制度
1、應具有對重要管理操作的操作規(guī)程,如系統(tǒng)維護手冊和用戶操作規(guī)程
2、應具有安全管理制度的制定程序:
3、應具有專門的部門或人員負責安全管理制度的制定(發(fā)布制度具有統(tǒng)一的格式,并進行版本控制)
4、應對制定的安全管理制度進行論證和審定,論證和審定方式如何(如召開評審會、函審、內(nèi)部審核等),應具有管理制度評審記錄
5、應具有安全管理制度的收發(fā)登記記錄,收發(fā)應通過正式、有效的方式(如正式發(fā)文、領導簽署和單位蓋章等)----安全管理制度應注明發(fā)布范圍,并對收發(fā)文進行登記。
6、信息安全領導小組定期對安全管理制度體系的合理性和適用性進行審定,審定周期多長。(安全管理制度體系的評審記錄)
7、系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術基礎結(jié)構和組織結(jié)構等發(fā)生變更時應對安全管理制度進行檢查,對需要改進的制度進行修訂。(應具有安全管理制度修訂記錄)
三、安全管理機構
1、應設立信息安全管理工作的職能部門
2、應設立安全主管、安全管理各個方面的負責人
3、應設立機房管理員、系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等重要崗位(分工明確,各司其職),數(shù)量情況(管理人員名單、崗位與人員對應關系表)
4、安全管理員應是專職人員
5、關鍵事物需要配備2人或2人以上共同管理,人員具體配備情況如何。
6、應設立指導和管理信息安全工作的委員會或領導小組(最高領導是否由單位主管領導委任或授權的人員擔任)
7、應對重要信息系統(tǒng)活動進行審批(如系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓、產(chǎn)品的采購、外部人員的訪問等),審批部門是何部門,審批人是何人。審批程序:
8、應與其它部門之間及內(nèi)部各部門管理人員定期進行溝通(信息安全領導小組或者安全管理委員會應定期召開會議)
9、應組織內(nèi)部機構之間以及信息安全職能部門內(nèi)部的安全工作會議文件或會議記錄,定期:
10、信息安全管理委員會或領導小組安全管理工作執(zhí)行情況的文件或工作記錄(如會議記錄/紀要,信息安全工作決策文檔等)
11、應與公安機關、電信公司和兄弟單位等的溝通合作(外聯(lián)單位聯(lián)系列表)
12、應與供應商、業(yè)界專家、專業(yè)的安全公司、安全組織等建立溝通、合作機制。
13、聘請信息安全專家作為常年的安全顧問(具有安全顧問名單或者聘請安全顧問的證明文件、具有安全顧問參與評審的文檔或記錄)
14、應組織人員定期對信息系統(tǒng)進行安全檢查(查看檢查內(nèi)容是否包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況)
15、應定期進行全面安全檢查(安全檢查是否包含現(xiàn)行技術措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格,安全檢查報告,檢查結(jié)果通告記錄)
四、人員安全管理
1、何部門/何人負責安全管理和技術人員的錄用工作(錄用過程)
2、應對被錄用人的身份、背景、專業(yè)資格和資質(zhì)進行審查,對技術人員的技術技能進行考核,技能考核文檔或記錄
3、應與錄用后的技術人員簽署保密協(xié)議(協(xié)議中有保密范圍、保密責任、違約責任、協(xié)議的有效期限和責任人的簽字等內(nèi)容)
4、應設定關鍵崗位,對從事關鍵崗位的人員是否從內(nèi)部人員中選拔,是否要求其簽署崗位安全協(xié)議。
5、應及時終止離崗人員的所有訪問權限(離崗人員所有訪問權限終止的記錄)
6、應及時取回離崗人員的各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備等(交還身份證件和設備等的登記記錄)
7、人員離崗應辦理調(diào)離手續(xù),是否要求關鍵崗位調(diào)離人員承諾相關保密義務后方可離開(具有按照離崗程序辦理調(diào)離手續(xù)的記錄,調(diào)離人員的簽字)
8、對各個崗位人員應定期進行安全技能考核;具有安全技能考核記錄,考核內(nèi)容要求包含安全知識、安全技能等。
9、對關鍵崗位人員的安全審查和考核與一般崗位人員有何不同,審查內(nèi)容是否包括操作行為和社會關系等。
10、應對各類人員(普通用戶、運維人員、單位領導等)進行安全教育、崗位技能和安全技術培訓。
11、應針對不同崗位制定不同的培訓計劃,并按照計劃對各個崗位人員進行安全教育和培訓(安全教育和培訓的結(jié)果記錄,記錄應與培訓計劃一致)
12、外部人員進入條件(對哪些重要區(qū)域的訪問須提出書面申請批準后方可進入),外部人員進入的訪問控制(由專人全程陪同或監(jiān)督等)
13、應具有外部人員訪問重要區(qū)域的書面申請
14、應具有外部人員訪問重要區(qū)域的登記記錄(記錄描述了外部人員訪問重要區(qū)域的進入時間、離開時間、訪問區(qū)域、訪問設備或信息及陪同人等)
五、系統(tǒng)建設管理
1、應明確信息系統(tǒng)的邊界和安全保護等級(具有定級文檔,明確信息系統(tǒng)安全保護等級)
2、應具有系統(tǒng)建設/整改方案
3、應授權專門的部門對信息系統(tǒng)的安全建設進行總體規(guī)劃,由何部門/何人負責
4、應具有系統(tǒng)的安全建設工作計劃(系統(tǒng)安全建設工作計劃中明確了近期和遠期的安全建設計劃)
5、應組織相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理策略等相關配套文件進行論證和審定(配套文件的論證評審記錄或文檔)
6、應對總體安全策略、安全技術框架、安全管理策略等相關配套文件應定期進行調(diào)整和修訂
7、應具有總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃、詳細設計方案等相關配套文件的維護記錄或修訂版本
8、應按照國家的相關規(guī)定進行采購和使用系統(tǒng)信息安全產(chǎn)品
9、安全產(chǎn)品的相關憑證,如銷售許可等,應使用符合國家有關規(guī)定產(chǎn)品
10、應具有專門的部門負責產(chǎn)品的采購
11、采購產(chǎn)品前應預先對產(chǎn)品進行選型測試確定產(chǎn)品的候選范圍,形成候選產(chǎn)品清單,是否定期審定和更新候選產(chǎn)品名單
12、應具有產(chǎn)品選型測試結(jié)果記錄和候選產(chǎn)品名單及更新記錄(產(chǎn)品選型測試結(jié)果文檔)
13、應具有軟件設計相關文檔,專人保管軟件設計的相關文檔,應具有軟件使用指南或操作手冊
14、對程序資源庫的修改、更新、發(fā)布應進行授權和批準
15、應具有程序資源庫的修改、更新、發(fā)布文檔或記錄
16、軟件交付前應依據(jù)開發(fā)協(xié)議的技術指標對軟件功能和性能等進行驗收檢測
17、軟件安裝之前應檢測軟件中的惡意代碼(該軟件包的惡意代碼檢測報告),檢測工具是否是第三方的商業(yè)產(chǎn)品
18、應具有軟件設計的相關文檔和使用指南
19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發(fā)文檔
20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質(zhì)量控制
21、應具有工程實施過程應按照實施方案形成各種文檔,如階段性工程進程匯報報告,工程實施方案
22、在信息系統(tǒng)正式運行前,應委托第三方測試機構根據(jù)設計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試(第三方測試機構出示的系統(tǒng)安全性測試驗收報告)
23、應具有工程測試驗收方案(測試驗收方案與設計方案或合同要求內(nèi)容一致)
24、應具有測試驗收報告
25、應指定專門部門負責測試驗收工作(具有對系統(tǒng)測試驗收報告進行審定的意見)
26、根據(jù)交付清單對所交接的設備、文檔、軟件等進行清點(系統(tǒng)交付清單)
27、應具有系統(tǒng)交付時的技術培訓記錄
28、應具有系統(tǒng)建設文檔(如系統(tǒng)建設方案)、指導用戶進行系統(tǒng)運維的文檔(如服務器操作規(guī)程書)以及系統(tǒng)培訓手冊等文檔。
29、應指定部門負責系統(tǒng)交付工作
30、應具有與產(chǎn)品供應商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運維商和等級測評機構等相關安全服務商簽訂的協(xié)議(文檔中有保密范圍、安全責任、違約責任、協(xié)議的有效期限和責任人的簽字等內(nèi)容
31、選定的安全服務商應提供一定的技術培訓和服務
32、應與安全服務商簽訂的服務合同或安全責任合同書
11、采購產(chǎn)品前應預先對產(chǎn)品進行選型測試確定產(chǎn)品的候選范圍,形成候選產(chǎn)品清單,是否定期審定和更新候選產(chǎn)品名單
12、應具有產(chǎn)品選型測試結(jié)果記錄和候選產(chǎn)品名單及更新記錄(產(chǎn)品選型測試結(jié)果文檔)
13、應具有軟件設計相關文檔,專人保管軟件設計的相關文檔,應具有軟件使用指南或操作手冊
14、對程序資源庫的修改、更新、發(fā)布應進行授權和批準
15、應具有程序資源庫的修改、更新、發(fā)布文檔或記錄
16、軟件交付前應依據(jù)開發(fā)協(xié)議的技術指標對軟件功能和性能等進行驗收檢測
17、軟件安裝之前應檢測軟件中的惡意代碼(該軟件包的惡意代碼檢測報告),檢測工具是否是第三方的商業(yè)產(chǎn)品
18、應具有軟件設計的相關文檔和使用指南
19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發(fā)文檔
20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質(zhì)量控制
21、應具有工程實施過程應按照實施方案形成各種文檔,如階段性工程進程匯報報告,工程實施方案
22、在信息系統(tǒng)正式運行前,應委托第三方測試機構根據(jù)設計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試(第三方測試機構出示的系統(tǒng)安全性測試驗收報告)
23、應具有工程測試驗收方案(測試驗收方案與設計方案或合同要求內(nèi)容一致)
24、應具有測試驗收報告
25、應指定專門部門負責測試驗收工作(具有對系統(tǒng)測試驗收報告進行審定的意見)
26、根據(jù)交付清單對所交接的設備、文檔、軟件等進行清點(系統(tǒng)交付清單)
27、應具有系統(tǒng)交付時的技術培訓記錄
28、應具有系統(tǒng)建設文檔(如系統(tǒng)建設方案)、指導用戶進行系統(tǒng)運維的文檔(如服務器操作規(guī)程書)以及系統(tǒng)培訓手冊等文檔。
29、應指定部門負責系統(tǒng)交付工作
30、應具有與產(chǎn)品供應商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運維商和等級測評機構等相關安全服務商簽訂的協(xié)議(文檔中有保密范圍、安全責任、違約責任、協(xié)議的有效期限和責任人的簽字等內(nèi)容
31、選定的安全服務商應提供一定的技術培訓和服務
32、應與安全服務商簽訂的服務合同或安全責任合同書
六、系統(tǒng)運維管理
1、應指定專人或部門對機房的基本設施(如空調(diào)、供配電設備等)進行定期維護,由何部門/何人負責。
2、應具有機房基礎設施的維護記錄,空調(diào)、溫濕度控制等機房設施定期維護保養(yǎng)的記錄
3、應指定部門和人員負責機房安全管理工作
4、應對辦公環(huán)境保密性進行管理(工作人員離開座位確保終端計算機退出登錄狀態(tài)、桌面上沒有包含敏感信息的紙檔文件)
5、應具有資產(chǎn)清單(覆蓋資產(chǎn)責任人、所屬級別、所處位置、所處部門等方面)
6、應指定資產(chǎn)管理的責任部門或人員
7、應依據(jù)資產(chǎn)的重要程度對資產(chǎn)進行標識
8、介質(zhì)存放于何種環(huán)境中,應對存放環(huán)境實施專人管理(介質(zhì)存放在安全的環(huán)境(防潮、防盜、防火、防磁,專用存儲空間))
9、應具有介質(zhì)使用管理記錄,應記錄介質(zhì)歸檔和使用等情況(介質(zhì)存放、使用管理記錄)
10、對介質(zhì)的物理傳輸過程應要求選擇可靠傳輸人員、嚴格介質(zhì)的打包(如采用防拆包裝置)、選擇安全的物理傳輸途徑、雙方在場交付等環(huán)節(jié)的控制
11、應對介質(zhì)的使用情況進行登記管理,并定期盤點(介質(zhì)歸檔和查詢的記錄、存檔介質(zhì)定期盤點的記錄)
12、對送出維修或銷毀的介質(zhì)如何管理,銷毀前應對數(shù)據(jù)進行凈化處理。(對帶出工作環(huán)境的存儲介質(zhì)是否進行內(nèi)容加密并有領導批準。對保密性較高的介質(zhì)銷毀前是否有領導批準)(送修記錄、帶出記錄、銷毀記錄)
13、應對某些重要介質(zhì)實行異地存儲,異地存儲環(huán)境是否與本地環(huán)境相同(防潮、防盜、防火、防磁,專用存儲空間)
14、介質(zhì)上應具有分類的標識或標簽
15、應對各類設施、設備指定專人或?qū)iT部門進行定期維護。
16、應具有設備操作手冊
17、應對帶離機房的信息處理設備經(jīng)過審批流程,由何人審批(審批記錄)
18、應監(jiān)控主機、網(wǎng)絡設備和應用系統(tǒng)的運行狀況等
19、應有相關網(wǎng)絡監(jiān)控系統(tǒng)或技術措施能夠?qū)νㄐ啪€路、主機、網(wǎng)絡設備和應用軟件的運行狀況、網(wǎng)絡流量、用戶行為等進行監(jiān)測和報警
20、應具有日常運維的監(jiān)控日志記錄和運維交接日志記錄
21、應定期對監(jiān)控記錄進行分析、評審
22、應具有異?,F(xiàn)象的現(xiàn)場處理記錄和事后相關的分析報告
23、應建立安全管理中心,對設備狀態(tài)、惡意代碼、補丁升級、安全審計等相關事項進行集中管理
24、應指定專人負責維護網(wǎng)絡安全管理工作
25、應對網(wǎng)絡設備進行過升級,更新前應對現(xiàn)有的重要文件是否進行備份(網(wǎng)絡設備運維維護工作記錄)
26、應對網(wǎng)絡進行過漏洞掃描,并對發(fā)現(xiàn)的漏洞進行及時修補。
27、對設備的安全配置應遵循最小服務原則,應對配置文件進行備份(具有網(wǎng)絡設備配置數(shù)據(jù)的離線備份)
28、系統(tǒng)網(wǎng)絡的外聯(lián)種類(互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級部門網(wǎng)絡等)應都得到授權與批準,由何人/何部門批準。應定期檢查違規(guī)聯(lián)網(wǎng)的行為。
29、對便攜式和移動式設備的網(wǎng)絡接入應進行限制管理
30、應具有內(nèi)部網(wǎng)絡外聯(lián)的授權批準書,應具有網(wǎng)絡違規(guī)行為(如撥號上網(wǎng)等)的檢查手段和工具。
31、在安裝系統(tǒng)補丁程序前應經(jīng)過測試,并對重要文件進行備份。
32、應有補丁測試記錄和系統(tǒng)補丁安裝操作記錄
33、應對系統(tǒng)管理員用戶進行分類(比如:劃分不同的管理角色,系統(tǒng)管理權限與安全審計權限分離等)
34、審計員應定期對系統(tǒng)審計日志進行分析(有定期對系統(tǒng)運行日志和審計數(shù)據(jù)的分析報告)
35、應對員工進行基本惡意代碼防范意識的教育,如告知應及時升級軟件版本(對員工的惡意代碼防范教育的相關培訓文檔)
36、應指定專人對惡意代碼進行檢測,并保存記錄。
37、應具有對網(wǎng)絡和主機進行惡意代碼檢測的記錄
38、應對惡意代碼庫的升級情況進行記錄(代碼庫的升級記錄),對各類防病毒產(chǎn)品上截獲的惡意代碼是否進行分析并匯總上報。是否出現(xiàn)過大規(guī)模的病毒事件,如何處理
39、應具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告 40、應具有變更方案評審記錄和變更過程記錄文檔。
41、重要系統(tǒng)的變更申請書,應具有主管領導的批準
42、系統(tǒng)管理員、數(shù)據(jù)庫管理員和網(wǎng)絡管理員應識別需定期備份的業(yè)務信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)(備份文件記錄)
43、應定期執(zhí)行恢復程序,檢查和測試備份介質(zhì)的有效性
44、應有系統(tǒng)運維過程中發(fā)現(xiàn)的安全弱點和可疑事件對應的報告或相關文檔
45、應對安全事件記錄分析文檔
46、應具有不同事件的應急預案
47、應具有應急響應小組,應具備應急設備并能正常工作,應急預案執(zhí)行所需資金應做過預算并能夠落實。
48、應對系統(tǒng)相關人員進行應急預案培訓(應急預案培訓記錄)
49、應定期對應急預案進行演練(應急預案演練記錄)50、應對應急預案定期進行審查并更新
51、應具有更新的應急預案記錄、應急預案審查記錄。
第三篇:信息安全等級保護測評
TopSec可信等級體系 天融信等級保護方案
Hacker.cn 更新時間:08-03-27 09:37 來源:硅谷動力 作者:中安網(wǎng)
1.等級保護概述
1.1為什么要實行等級保護?
信息系統(tǒng)與社會組織體系是具有對應關系的,而這些組織體系是分層次和級別的,因此各種信息系統(tǒng)是具有不同等級的重要性和社會、經(jīng)濟價值的。對信息系統(tǒng)的基礎資源和信息資源的價值大小、用戶訪問權限的大小、大系統(tǒng)中各子系統(tǒng)的重要程度進行區(qū)別對待就是級別的客觀要求。信息安全必須符合這些客觀要求,這就需要對信息系統(tǒng)進行分級、分區(qū)域、分階段進行保護,這是做好國家信息安全的必要條件。
1.2等級保護的政策文件
信息安全等級保護工作非常重要,為此從2003年開始國家發(fā)布了一系列政策文件,具體如下:
2003年9月,中辦國辦頒發(fā)《關于加強信息安全保障工作的意見》(中辦發(fā)[2003]27號),這是我國第一個信息安全保障工作的綱領性文件,戰(zhàn)略目標為經(jīng)過五年努力,基本形成國家信息安全保障體系,實行等級保護制度。
2004年11月,四部委會簽《關于信息安全等級保護工作的實施意見》(公通字[2004]66號):等級保護是今后國家信息安全的基本制度也是根本方法、等級保護制度的重要意義、原則、基本內(nèi)容、工作職責分工、工作要求和實施計劃。2005年9月,國信辦文件,《關于轉(zhuǎn)發(fā)《電子政務信息安全等級保護實施指南》的通知》(國信辦[2004]25號):基本原理、定級方法、安全規(guī)劃與設計、實施與運營、大型復雜電子政務系統(tǒng)等級保護過程。
2005年,公安部標準:《等級保護安全要求》、《等級保護定級指南》、《等級保護實施指南》、《等級保護測評準則》。
2006年1月,四部委會簽《關于印發(fā)《信息安全等級保護管理辦法的通知》(公通字[2006]7號)。
1.3 等級保護的管理結(jié)構-北京為例
等級保護的實施和落實離不開各級管理機構的指導和監(jiān)督,這在等級保護的相關文件中已經(jīng)得到了規(guī)定,下面以北京市為例來說明管理機構的組成和職責,具體如下圖所示:
1.4等級保護理論的技術演進
在等級保護理論被提出以后,經(jīng)過相關部門的努力工作,逐漸提出了一系列原則、技術和框架,已經(jīng)具備實施等級保護工作的基礎條件了,其具體演進過程如下圖所示:
1.5等級保護的基本需求
一個機構要實施等級保護,需要基本需求。由于等級保護是國家推動的旨在規(guī)范安全工作的基本工作制度,因此各級組織在這方面就存在如下需求:
(1)政策要求-符合等級保護的要求。系統(tǒng)符合《基本要求》中相應級別的指標,符合《測評準則》中的要求。
(2)實際需求-適應客戶實際情況。適應業(yè)務特性與安全要求的差異性,可工程化實施。
1.6基本安全要求的結(jié)構
對系統(tǒng)進行定級后,需要通過努力達到相應等級的基本安全要求,在總體上分為技術要求和管理要求,技術上又分為物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全,在管理要求中又分為安全管理機構、安全管理制度等5項,具體如下圖所示:
2.等級保護實施中的困難與出路
由于等級保護制度還處于探討階段,目前來看,尚存在如下困難:
1.標準中從“單個系統(tǒng)”出發(fā),但實際工作是從組織整體出發(fā),整體考慮所有系統(tǒng),否則:
a)各系統(tǒng)單獨保護,將沖突和割裂,形成信息孤島
b)復雜大系統(tǒng)的分解和差異性安全要求描述很困難
c)各系統(tǒng)安全單獨建設,將造成分散、重復和低水平
2.在建立長效機制方面考慮較少,難以做到可持續(xù)運行、發(fā)展和完善
3.管理難度太大,管理成本高
4.大型客戶最關注的關鍵要求指標超出《基本要求》規(guī)定
針對上述問題,在下面幾小節(jié)分別給出了堅決辦法。
2.1安全體系設計方法
需求分析-1
問題1:標準中從“單個系統(tǒng)”出發(fā),但實際工作是從組織整體出發(fā),整體考慮所有系統(tǒng)
a)各系統(tǒng)單獨保護,將沖突和割裂,形成信息孤島
需求:從組織整體出發(fā),綜合考核所有系統(tǒng)
方法:引入體系設計方法
2.2保護對象框架設計方法
需求分析-2
1.標準中從“單個系統(tǒng)”出發(fā),但實際工作是從組織整體出發(fā),整體考慮所有系統(tǒng)
a)各系統(tǒng)單獨保護,將沖突和割裂,形成信息孤島
b)復雜大系統(tǒng)的分解和差異性安全要求描述很困難
需求:準確地進行大系統(tǒng)的分解和描述,反映實際特性和差異性安全要求
方法:引入保護對象框架設計方法
保護對象框架-政府行業(yè)
保護對象框架-電信行業(yè)
保護對象框架-銀行業(yè)
2.3安全平臺的設計與建設方法
需求分析-3
1.標準中從“單個系統(tǒng)”出發(fā),但實際工作是從組織整體出發(fā),整體考慮所有系統(tǒng)
a)各系統(tǒng)單獨保護,將沖突和割裂,形成信息孤島
b)復雜大系統(tǒng)的分解和差異性安全要求描述很困難
c)各系統(tǒng)安全單獨建設,將造成分散、重復和低水平
需求:統(tǒng)一規(guī)劃,集中建設,避免重復和分散,降低成本,提高建設水平
方法:引入安全平臺的設計與建設方法
平臺定義:為系統(tǒng)提供互操作性及其服務的環(huán)境
2.4建立安全運行體系
需求分析-4
1.標準中從“單個系統(tǒng)”出發(fā),但實際工作是從組織整體出發(fā),整體考慮所有系統(tǒng)
a)各系統(tǒng)單獨保護,將沖突和割裂,形成信息孤島
b)復雜大系統(tǒng)的分解和差異性安全要求描述很困難
c)各系統(tǒng)安全單獨建設,將造成分散、重復和低水平
2.在建立長效機制方面考慮較少,難以做到可持續(xù)運行、發(fā)展和完善
需求:建立長效機制,建立可持續(xù)運行、發(fā)展和完善的體系
方法:建立安全運行體系
2.5安全運維工作過程
需求分析-5
1.標準中從“單個系統(tǒng)”出發(fā),但實際工作是從組織整體出發(fā),整體考慮所有系統(tǒng)
a)各系統(tǒng)單獨保護,將沖突和割裂,形成信息孤島
b)復雜大系統(tǒng)的分解和差異性安全要求描述很困難
c)各系統(tǒng)安全單獨建設,將造成分散、重復和低水平
2.在建立長效機制方面考慮較少,難以做到可持續(xù)運行、發(fā)展和完善
3.管理難度太大,管理成本高
需求:需要高水平、自動化的安全管理工具
方法:TSM安全管理平臺
2.6 TNA可信網(wǎng)絡架構模型
需求分析-6
1.標準中從“單個系統(tǒng)”出發(fā),但實際工作是從組織整體出發(fā),整體考慮所有系統(tǒng)
a)各系統(tǒng)單獨保護,將沖突和割裂,形成信息孤島
b)復雜大系統(tǒng)的分解和差異性安全要求描述很困難
c)各系統(tǒng)安全單獨建設,將造成分散、重復和低水平
2.在建立長效機制方面考慮較少,難以做到可持續(xù)運行、發(fā)展和完善
3.管理難度太大,管理成本高
4.大型客戶最關注的關鍵指標超出《基本要求》規(guī)定
需求:在《基本要求》基礎上提出更強的措施,滿足客戶最關注的指標
方法:引入可信計算的理念,提供可信網(wǎng)絡架構
3.總體解決方案-TopSec可信等級體系
按照上面解決等級保護目前困難的方法,總體解決方案就是建立TopSec可信等級體系:
遵照國家等級保護制度、滿足客戶實際需求,采用等級化、體系化和可信保障相結(jié)合的方法,為客戶建設一套覆蓋全面、重點突出、節(jié)約成本、持續(xù)運行的安全保障體系。
實施后狀態(tài):一套持續(xù)運行、涵蓋所有安全內(nèi)容的安全保障體系,是企業(yè)或組織安全工作所追求的最終目標
特質(zhì):
等級化:突出重點,節(jié)省成本,滿足不同行業(yè)、不同發(fā)展階段、不同層次的要求
整體性:結(jié)構化,內(nèi)容全面,可持續(xù)發(fā)展和完善,持續(xù)運行
針對性:針對實際情況,符合業(yè)務特性和發(fā)展戰(zhàn)略
3.1可信等級體系設計方法
3.2信息安全保障體系總體框架
3.3體系設計的成果
安全組織體系
安全策略體系
安全技術體系
安全運行體系
3.4安全體系的實現(xiàn)
4.成功案例
某國有大型企業(yè)已經(jīng)采用了我們的可信等級體系,取得了良好的效果。
第四篇:信息安全等級保護工作計劃
篇一:信息安全等級保護工作實施方案 白魯?shù)A九年制學校
信息安全等級保護工作實施方案
為加強信息安全等級保護,規(guī)范信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩(wěn)定和公共利益,保障和促進我校信息化建設。根據(jù)商教發(fā)【2011】321號文件精神,結(jié)合我校實際,制訂本實施方案。
一、指導思想
以科學發(fā)展觀為指導,以黨的十七大、十七屆五中全會精神為指針,深入貫徹執(zhí)行《信息安全等級保護管理辦法》等文件精神,全面推進信息安全等級保護工作,維護我?;A信息網(wǎng)絡和重要信息系統(tǒng)安全穩(wěn)定運行。
二、定級范圍
學校管理、辦公系統(tǒng)、教育教學系統(tǒng)、財務管理等重要信息系統(tǒng)以及其他重要信息系統(tǒng)。
三、組織領導
(一)工作分工。定級工作由電教組牽頭,會同學校辦公室、安全保衛(wèi)處等共同組織實施。學校辦公室負責定級工作的部門間協(xié)調(diào)。安全保衛(wèi)處負責定級工作的監(jiān)督。
電教組負責定級工作的檢查、指導、評審。
各部門依據(jù)《信息安全等級保護管理辦法》和本方案要求,開展信息系統(tǒng)自評工作。
(二)協(xié)調(diào)領導機制。
1、成立領導小組,校長任組長,副校長任副組長、各部門負責人為成員,負責我校信息安全等級保護工作的領導、協(xié)調(diào)工作。督促各部門按照總體方案落實工作任務和責任,對等級保護工作整體推進情況進行檢查監(jiān)督,指導安全保密方案制定。
2、成立由電教組牽頭的工作機構,主要職責:在領導小組的領導下,切實抓好我校定級保護工作的日常工作。做好組織各信息系統(tǒng)運營使用部門參加信息系統(tǒng)安全等級保護定級相關會議;組織開展政策和技術培訓,掌握定級工作規(guī)范和技術要求,為定級工作打好基礎;全面掌握學校各部門定級保護工作的進展情況和存在的問題,對存在的問題及時協(xié)調(diào)解決,形成定級工作總結(jié)并按時上報領導小組。
3、成立由赴省參加過計算機培訓的教師組成的評審組,主要負責:一是為我校信息與網(wǎng)絡安全提供技術支持與服務咨詢;二是參與信息安全等級保護定級評審工作;三是參與重要信息與網(wǎng)絡安全突發(fā)公共事件的分析研判和為領導決策提供依據(jù)。
四、主要內(nèi)容、工作步驟
(一)開展信息系統(tǒng)基本情況的摸底調(diào)查。各部門要組織開展對所屬信息系統(tǒng)的摸底調(diào)查,全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務類型、應用或服務范圍、系統(tǒng)結(jié)構等基本情況,按照《信息安全等級保護管理辦法》和《信息系統(tǒng)安全等級保護定級指南》的要求,確定定級對象。
(二)初步確定安全保護等級。各使用部門要按照《信息安全等級保護管理辦法》和《信息系統(tǒng)安全等級保護定級指南》,初步確定定級對象的安全保護等級,起草定級報告。涉密信息系統(tǒng)的等級確定按照國家保密局的有關規(guī)定和標準執(zhí)行。
(三)評審。初步確定信息系統(tǒng)安全保護等級后,上報學校信息系統(tǒng)安全等級保護評審組進行評審。
(四)備案。根據(jù)《信息安全等級保護管理辦法》,信息系統(tǒng)安全保護等級為第二級以上的信息系統(tǒng)統(tǒng)一由電教組負責備案工作。
五、定級工作要求
(一)加強領導,落實保障。各部門要落實責任,并于12月15日前將《信息系統(tǒng)安全等級保護備案表》、《信息系統(tǒng)安全等級保護定級報告》上報九年制學校。
(二)加強培訓,嚴格定級。為切實落實評審工作,保證定級準確,備案及時,全面提高我校基礎信息網(wǎng)絡和重要信息系統(tǒng)的信息安全保護能力和水平,保證定級工作順利進行,各部門要認真學習《信息安全等級保護管理辦法》、《文保處教育系統(tǒng)單位信息分級培訓材料》、《信息系統(tǒng)安全保護等級定級指南(國標)》、《信息系統(tǒng)安全等級保護基本要求(報批)》、《信息系統(tǒng)安全等級保護實施指南(報批)》等材料。
(三)積極配合、認真整改。各部門要認真按照評級要求,組織開展等級保護工作,切實做好重要信息系統(tǒng)的安全等級保護。
(四)自查自糾、完善制度。此次定級工作完成后,請各部門按照《信息安全等級保護管理辦法》和有關技術標準,依據(jù)系統(tǒng)所定保護等級的要求,定期對信息系統(tǒng)安全狀況、安全保護制度及措施的落實情況進行自查,并不斷完善安全管理制度,今后,若信息系統(tǒng)備案資料發(fā)生變化,應及時進行變更備案篇二:醫(yī)院信息系統(tǒng)安全等級保護工作實施方案 醫(yī)院信息系統(tǒng)安全等級 保護工作實施方案
醫(yī)院信息系統(tǒng)是醫(yī)療服務的重要支撐體系。為確保我院信息系統(tǒng)安全可靠運行,根據(jù)公安部等四部、局、辦印發(fā)的《關于信息安全等級保護工作的實施意見》公通字【2004】66號、《衛(wèi)生部辦公廳關于全面開展衛(wèi)生行業(yè)信息安全等級保護工作的通知》衛(wèi)辦綜函【2011】1126號、衛(wèi)生部關于印發(fā)《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》的通知 衛(wèi)辦發(fā)【2011】85號和省市有關文件精神,并結(jié)合我院信息化建設的工作實際,特制定《德江縣民族中醫(yī)院信息系統(tǒng)安全等級保護工作實施方案》確保我院信息系統(tǒng)安全。
一、組織領導 組 長: 副組長: 組 員:
領導小組辦公室設在xx科,由xx同志兼任主任,xx等同志負責具體工作。
二、工作任務
1、做好系統(tǒng)定級工作。定級系統(tǒng)包括基礎支撐系統(tǒng),面向患者服務信息系統(tǒng),內(nèi)部行政管理信息系統(tǒng)、網(wǎng)絡直報系統(tǒng)及門戶網(wǎng)站,定級方法由市衛(wèi)生局統(tǒng)一與市公安局等信息安全相關部門協(xié)商。
2、做好系統(tǒng)備案工作。按照市衛(wèi)生系統(tǒng)信息安全等級保護劃分定級要求,對信息系統(tǒng)進行定級后,將本單位《信息系統(tǒng)安全等級保護備案表》《信息系統(tǒng)定級報告》和備案電子數(shù)據(jù)報衛(wèi)生局,由衛(wèi)生局報屬地公安機關辦理備案手續(xù)。
3、做好系統(tǒng)等級測評工作。完成定級備案后,選擇市衛(wèi)生局推薦的等級測評機構,對已確定安全保護等級信息系統(tǒng),按照國家信息安全等級保護工作規(guī)范和《信息安全技術信息系統(tǒng)安全等級保護基本要求》等國家標準開展等級測評,信息系統(tǒng)測評后,及時將測評機構出具的《信息系統(tǒng)等級測評報告》向?qū)俚毓矙C關報備。
4、完善等級保護體系建設做好整改工作。按照測評報告評測結(jié)果,對照《信息系統(tǒng)安全等級保護基本要求》(gb/t22239-2008)等有關標準,結(jié)合醫(yī)院工作實際,組織開展等級保護安全建設整改工作,具體要求如下:
三、工作要求
1、建立安全管理組織機構。成立信息安全工作組,網(wǎng)絡辦負責人為安全責任人,擬定實施醫(yī)院信息系統(tǒng)安全等級保護的具體方案,并制定相應的崗位責任制,確保信息安全等級保護工作順利實施。
2、建立健全信息系統(tǒng)安全管理制度。根據(jù)信息安全等級保護的要求,制定各項信息系統(tǒng)安全管理制度,對安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程和執(zhí)行記錄文檔。
3、制定保障醫(yī)療活動不中斷的應急預案。應急預案是安全等級保護的重要組成部分,按可能出現(xiàn)問題的不同情形制定相應的應急措施,在系統(tǒng)出現(xiàn)故障和意外且無法短時間恢復的情況下能確保醫(yī)療活動持續(xù)進行。
4、嚴格執(zhí)行安全事故報告和處置管理制度。醫(yī)院信息系統(tǒng)所有使用或管理人員均有責任發(fā)現(xiàn)和報告信息安全可疑事件,應視情況及時以口頭或書面的形式報告院網(wǎng)絡辦。對重大信息網(wǎng)絡安全事件、安全事故和計算機違法犯罪案件,應在24小時內(nèi)向公安機關報告,并保護好現(xiàn)場。篇三:2013年信息安全等級保護工作匯報 2013年信息安全等級保護工作匯報
一、加強領導
二、完善制度
為貫徹落實全市加強和改進互聯(lián)網(wǎng)建設與管理工作會議和市委辦公室、市政府辦公室《揚州市深入推進信息安全等級保護工作的實施意見》(揚辦發(fā)[2012]57號)文件精神,對集團信息系統(tǒng)安全等級保護工作做出了具體的要求,根據(jù)等級保護要求,開展了信息安全制度的前期完善工作。陸續(xù)制定了“增加揚州網(wǎng)一些網(wǎng)站新聞發(fā)布審核的制度”、《外部人員訪問機房審批管理制度》、《中心機房管理辦法》、《機房消防安全管理制度》等制度。
三、信息等級安全保護基本情況
目前,集團已有揚州網(wǎng)、揚州晚報網(wǎng)、揚州汽車網(wǎng)、藝術在線網(wǎng)和多個內(nèi)部信息系統(tǒng)根據(jù)等級保護的要求進行了整改優(yōu)化,積極加強信息系統(tǒng)安全環(huán)境建設,消除安全管理中的薄弱環(huán)節(jié)。在物理安全方面,機房安裝門禁系統(tǒng),嚴格管理機房人員進出,消防設施完善,所有設備通過ups供電。關鍵網(wǎng)絡設備和服務器做到有主有備,確保在發(fā)生物理故障時可以及時更換。
在網(wǎng)絡安全方面,我們嚴格按照內(nèi)、外網(wǎng)物理隔離的標準建設網(wǎng)絡系統(tǒng),并采用虛擬局域網(wǎng)技術,通過交換機端口的ip綁定,防止非法網(wǎng)絡接入;在網(wǎng)絡出口以及不同網(wǎng)絡互聯(lián)邊界全面部署硬件防火墻,部署日志服務器,記錄并留存使用互聯(lián)網(wǎng)和內(nèi)部網(wǎng)絡地址對應關系; 在集團互聯(lián)網(wǎng)出口部署網(wǎng)絡行為管理系統(tǒng),規(guī)范和記錄上網(wǎng)行為,合理控制不同應用的網(wǎng)絡流量,實現(xiàn)網(wǎng)絡帶寬動態(tài)分配,保障了信息系統(tǒng)正常應用的網(wǎng)絡環(huán)境。
在主機安全方面,終端計算機采用雙硬盤及物理隔離互聯(lián)網(wǎng)及內(nèi)網(wǎng)應用,通過部署趨勢網(wǎng)絡防毒墻網(wǎng)絡版,安裝聯(lián)軟安全管理軟件保障客戶機系統(tǒng)安全,并且做到漏洞補丁及時更新,重要的應用系統(tǒng)安裝了計算機監(jiān)控與審計系統(tǒng),實現(xiàn)對主機的usb等外設接口的控制管理,采用key用戶名密碼等方式控制用戶登陸行為。
對于應用安全,嚴格做好系統(tǒng)安全測試,配備了專門的漏洞 掃描儀定期掃描應用系統(tǒng)漏洞,并按測試結(jié)果做好安全修復和加固工作;在網(wǎng)站區(qū),部屬入侵防御系統(tǒng),監(jiān)測、記錄安全事件,及時阻斷入侵行為,自部署起已多次成功檢測出sql注入,ftp匿名登錄,網(wǎng)站目錄遍歷,探測主機地址漏洞等。
在數(shù)據(jù)安全方面,數(shù)據(jù)庫通過備份系統(tǒng)定期備份,關鍵數(shù)據(jù)庫服務器采用雙機熱備份,保證數(shù)據(jù)庫服務器的可用性和高效性,在出現(xiàn)故障時可以快速恢復;數(shù)據(jù)庫的訪問按不同用戶身份進行嚴格的權限控制。
四、建議
信息系統(tǒng)安全等級保護工作責任重大,技術性強,工作量巨大,集團在該項工作上雖然取得一些進展,但是與市里要求還有相當?shù)牟罹?,在等級保護意識、宣傳力度、技術人才的培養(yǎng)和制度的建立上仍然存在問題。
建議市里加強工作指導,通過多種方式的等級保護技術交流和培訓,提高單位領導及員工的等級保護意識,進一步推進集團的信息系統(tǒng)等級保護工作。
第五篇:信息安全等級保護(二級)
信息安全等級保護(二級)
備注:其中黑色字體為信息安全等級保護第二級系統(tǒng)要求,藍色字體為第三級系統(tǒng)等保要求。
一、物理安全
1、應具有機房和辦公場地的設計/驗收文檔(機房場地的選址說明、地線連接要求的描述、建筑材料具有相應的耐火等級說明、接地防靜電措施)
2、應具有有來訪人員進入機房的申請、審批記錄;來訪人員進入機房的登記記錄
3、應配置電子門禁系統(tǒng)(三級明確要求);電子門禁系統(tǒng)有驗收文檔或產(chǎn)品安全認證資質(zhì),電子門禁系統(tǒng)運行和維護記錄
4、主要設備或設備的主要部件上應設置明顯的不易除去的標記
5、介質(zhì)有分類標識;介質(zhì)分類存放在介質(zhì)庫或檔案室內(nèi),磁介質(zhì)、紙介質(zhì)等分類存放
6、應具有攝像、傳感等監(jiān)控報警系統(tǒng);機房防盜報警設施的安全資質(zhì)材料、安裝測試和驗收報告;機房防盜報警系統(tǒng)的運行記錄、定期檢查和維護記錄;
7、應具有機房監(jiān)控報警設施的安全資質(zhì)材料、安裝測試和驗收報告;機房監(jiān)控報警系統(tǒng)的運行記錄、定期檢查和維護記錄
8、應具有機房建筑的避雷裝置;通過驗收或國家有關部門的技術檢測;
9、應在電源和信號線上增加有資質(zhì)的防雷保安器;具有防雷檢測資質(zhì)的檢測部門對防雷裝置的檢測報告
10、應具有自動檢測火情、自動報警、自動滅火的自動消防系統(tǒng);自動消防系統(tǒng)的運行記錄、檢查和定期維護記錄;消防產(chǎn)品有效期合格;自動消防系統(tǒng)是經(jīng)消防檢測部門檢測合格的產(chǎn)品
11、應具有除濕裝置;空調(diào)機和加濕器;溫濕度定期檢查和維護記錄
12、應具有水敏感的檢測儀表或元件;對機房進行防水檢測和報警;防水檢測裝置的運行記錄、定期檢查和維護記錄
13、應具有溫濕度自動調(diào)節(jié)設施;溫濕度自動調(diào)節(jié)設施的運行記錄、定期檢查和維護記錄
14、應具有短期備用電力供應設備(如UPS);短期備用電力供應設備的運行記錄、定期檢查和維護記錄
15、應具有冗余或并行的電力電纜線路(如雙路供電方式)
16、應具有備用供電系統(tǒng)(如備用發(fā)電機);備用供電系統(tǒng)運行記錄、定期檢查和維護記錄
二、安全管理制度
1、應具有對重要管理操作的操作規(guī)程,如系統(tǒng)維護手冊和用戶操作規(guī)程
2、應具有安全管理制度的制定程序:
3、應具有專門的部門或人員負責安全管理制度的制定(發(fā)布制度具有統(tǒng)一的格式,并進行版本控制)
4、應對制定的安全管理制度進行論證和審定,論證和審定方式如何(如召開評審會、函審、內(nèi)部審核等),應具有管理制度評審記錄
5、應具有安全管理制度的收發(fā)登記記錄,收發(fā)應通過正式、有效的方式(如正式發(fā)文、領導簽署和單位蓋章等)----安全管理制度應注明發(fā)布范圍,并對收發(fā)文進行登記。
6、信息安全領導小組定期對安全管理制度體系的合理性和適用性進行審定,審定周期多長。(安全管理制度體系的評審記錄)
7、系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術基礎結(jié)構和組織結(jié)構等發(fā)生變更時應對安全管理制度進行檢查,對需要改進的制度進行修訂。(應具有安全管理制度修訂記錄)
三、安全管理機構
1、應設立信息安全管理工作的職能部門
2、應設立安全主管、安全管理各個方面的負責人
3、應設立機房管理員、系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等重要崗位(分工明確,各司其職),數(shù)量情況(管理人員名單、崗位與人員對應關系表)
4、安全管理員應是專職人員
5、關鍵事物需要配備2人或2人以上共同管理,人員具體配備情況如何。
6、應設立指導和管理信息安全工作的委員會或領導小組(最高領導是否由單位主管領導委任或授權的人員擔任)
7、應對重要信息系統(tǒng)活動進行審批(如系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓、產(chǎn)品的采購、外部人員的訪問等),審批部門是何部門,審批人是何人。審批程序:
8、應與其它部門之間及內(nèi)部各部門管理人員定期進行溝通(信息安全領導小組或者安全管理委員會應定期召開會議)
9、應組織內(nèi)部機構之間以及信息安全職能部門內(nèi)部的安全工作會議文件或會議記錄,定期:
10、信息安全管理委員會或領導小組安全管理工作執(zhí)行情況的文件或工作記錄(如會議記錄/紀要,信息安全工作決策文檔等)
11、應與公安機關、電信公司和兄弟單位等的溝通合作(外聯(lián)單位聯(lián)系列表)
12、應與供應商、業(yè)界專家、專業(yè)的安全公司、安全組織等建立溝通、合作機制。
13、聘請信息安全專家作為常年的安全顧問(具有安全顧問名單或者聘請安全顧問的證明文件、具有安全顧問參與評審的文檔或記錄)
14、應組織人員定期對信息系統(tǒng)進行安全檢查(查看檢查內(nèi)容是否包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況)
15、應定期進行全面安全檢查(安全檢查是否包含現(xiàn)行技術措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格,安全檢查報告,檢查結(jié)果通告記錄)
四、人員安全管理
1、何部門/何人負責安全管理和技術人員的錄用工作(錄用過程)
2、應對被錄用人的身份、背景、專業(yè)資格和資質(zhì)進行審查,對技術人員的技術技能進行考核,技能考核文檔或記錄
3、應與錄用后的技術人員簽署保密協(xié)議(協(xié)議中有保密范圍、保密責任、違約責任、協(xié)議的有效期限和責任人的簽字等內(nèi)容)
4、應設定關鍵崗位,對從事關鍵崗位的人員是否從內(nèi)部人員中選拔,是否要求其簽署崗位安全協(xié)議。
5、應及時終止離崗人員的所有訪問權限(離崗人員所有訪問權限終止的記錄)
6、應及時取回離崗人員的各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備等(交還身份證件和設備等的登記記錄)
7、人員離崗應辦理調(diào)離手續(xù),是否要求關鍵崗位調(diào)離人員承諾相關保密義務后方可離開(具有按照離崗程序辦理調(diào)離手續(xù)的記錄,調(diào)離人員的簽字)
8、對各個崗位人員應定期進行安全技能考核;具有安全技能考核記錄,考核內(nèi)容要求包含安全知識、安全技能等。
9、對關鍵崗位人員的安全審查和考核與一般崗位人員有何不同,審查內(nèi)容是否包括操作行為和社會關系等。
10、應對各類人員(普通用戶、運維人員、單位領導等)進行安全教育、崗位技能和安全技術培訓。
11、應針對不同崗位制定不同的培訓計劃,并按照計劃對各個崗位人員進行安全教育和培訓(安全教育和培訓的結(jié)果記錄,記錄應與培訓計劃一致)
12、外部人員進入條件(對哪些重要區(qū)域的訪問須提出書面申請批準后方可進入),外部人員進入的訪問控制(由專人全程陪同或監(jiān)督等)
13、應具有外部人員訪問重要區(qū)域的書面申請
14、應具有外部人員訪問重要區(qū)域的登記記錄(記錄描述了外部人員訪問重要區(qū)域的進入時間、離開時間、訪問區(qū)域、訪問設備或信息及陪同人等)
五、系統(tǒng)建設管理
1、應明確信息系統(tǒng)的邊界和安全保護等級(具有定級文檔,明確信息系統(tǒng)安全保護等級)
2、應具有系統(tǒng)建設/整改方案
3、應授權專門的部門對信息系統(tǒng)的安全建設進行總體規(guī)劃,由何部門/何人負責
4、應具有系統(tǒng)的安全建設工作計劃(系統(tǒng)安全建設工作計劃中明確了近期和遠期的安全建設計劃)
5、應組織相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理策略等相關配套文件進行論證和審定(配套文件的論證評審記錄或文檔)
6、應對總體安全策略、安全技術框架、安全管理策略等相關配套文件應定期進行調(diào)整和修訂
7、應具有總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃、詳細設計方案等相關配套文件的維護記錄或修訂版本
8、應按照國家的相關規(guī)定進行采購和使用系統(tǒng)信息安全產(chǎn)品
9、安全產(chǎn)品的相關憑證,如銷售許可等,應使用符合國家有關規(guī)定產(chǎn)品
10、應具有專門的部門負責產(chǎn)品的采購
11、采購產(chǎn)品前應預先對產(chǎn)品進行選型測試確定產(chǎn)品的候選范圍,形成候選產(chǎn)品清單,是否定期審定和更新候選產(chǎn)品名單
12、應具有產(chǎn)品選型測試結(jié)果記錄和候選產(chǎn)品名單及更新記錄(產(chǎn)品選型測試結(jié)果文檔)
13、應具有軟件設計相關文檔,專人保管軟件設計的相關文檔,應具有軟件使用指南或操作手冊
14、對程序資源庫的修改、更新、發(fā)布應進行授權和批準
15、應具有程序資源庫的修改、更新、發(fā)布文檔或記錄
16、軟件交付前應依據(jù)開發(fā)協(xié)議的技術指標對軟件功能和性能等進行驗收檢測
17、軟件安裝之前應檢測軟件中的惡意代碼(該軟件包的惡意代碼檢測報告),檢測工具是否是第三方的商業(yè)產(chǎn)品
18、應具有軟件設計的相關文檔和使用指南
19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發(fā)文檔
20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質(zhì)量控制
21、應具有工程實施過程應按照實施方案形成各種文檔,如階段性工程進程匯報報告,工程實施方案
22、在信息系統(tǒng)正式運行前,應委托第三方測試機構根據(jù)設計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試(第三方測試機構出示的系統(tǒng)安全性測試驗收報告)
23、應具有工程測試驗收方案(測試驗收方案與設計方案或合同要求內(nèi)容一致)
24、應具有測試驗收報告
25、應指定專門部門負責測試驗收工作(具有對系統(tǒng)測試驗收報告進行審定的意見)
26、根據(jù)交付清單對所交接的設備、文檔、軟件等進行清點(系統(tǒng)交付清單)
27、應具有系統(tǒng)交付時的技術培訓記錄
28、應具有系統(tǒng)建設文檔(如系統(tǒng)建設方案)、指導用戶進行系統(tǒng)運維的文檔(如服務器操作規(guī)程書)以及系統(tǒng)培訓手冊等文檔。
29、應指定部門負責系統(tǒng)交付工作
30、應具有與產(chǎn)品供應商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運維商和等級測評機構等相關安全服務商簽訂的協(xié)議(文檔中有保密范圍、安全責任、違約責任、協(xié)議的有效期限和責任人的簽字等內(nèi)容
31、選定的安全服務商應提供一定的技術培訓和服務
32、應與安全服務商簽訂的服務合同或安全責任合同書
六、系統(tǒng)運維管理
1、應指定專人或部門對機房的基本設施(如空調(diào)、供配電設備等)進行定期維護,由何部門/何人負責。
2、應具有機房基礎設施的維護記錄,空調(diào)、溫濕度控制等機房設施定期維護保養(yǎng)的記錄
3、應指定部門和人員負責機房安全管理工作
4、應對辦公環(huán)境保密性進行管理(工作人員離開座位確保終端計算機退出登錄狀態(tài)、桌面上沒有包含敏感信息的紙檔文件)
5、應具有資產(chǎn)清單(覆蓋資產(chǎn)責任人、所屬級別、所處位置、所處部門等方面)
6、應指定資產(chǎn)管理的責任部門或人員
7、應依據(jù)資產(chǎn)的重要程度對資產(chǎn)進行標識
8、介質(zhì)存放于何種環(huán)境中,應對存放環(huán)境實施專人管理(介質(zhì)存放在安全的環(huán)境(防潮、防盜、防火、防磁,專用存儲空間))
9、應具有介質(zhì)使用管理記錄,應記錄介質(zhì)歸檔和使用等情況(介質(zhì)存放、使用管理記錄)
10、對介質(zhì)的物理傳輸過程應要求選擇可靠傳輸人員、嚴格介質(zhì)的打包(如采用防拆包裝置)、選擇安全的物理傳輸途徑、雙方在場交付等環(huán)節(jié)的控制
11、應對介質(zhì)的使用情況進行登記管理,并定期盤點(介質(zhì)歸檔和查詢的記錄、存檔介質(zhì)定期盤點的記錄)
12、對送出維修或銷毀的介質(zhì)如何管理,銷毀前應對數(shù)據(jù)進行凈化處理。(對帶出工作環(huán)境的存儲介質(zhì)是否進行內(nèi)容加密并有領導批準。對保密性較高的介質(zhì)銷毀前是否有領導批準)(送修記錄、帶出記錄、銷毀記錄)
13、應對某些重要介質(zhì)實行異地存儲,異地存儲環(huán)境是否與本地環(huán)境相同(防潮、防盜、防火、防磁,專用存儲空間)
14、介質(zhì)上應具有分類的標識或標簽
15、應對各類設施、設備指定專人或?qū)iT部門進行定期維護。
16、應具有設備操作手冊
17、應對帶離機房的信息處理設備經(jīng)過審批流程,由何人審批(審批記錄)
18、應監(jiān)控主機、網(wǎng)絡設備和應用系統(tǒng)的運行狀況等
19、應有相關網(wǎng)絡監(jiān)控系統(tǒng)或技術措施能夠?qū)νㄐ啪€路、主機、網(wǎng)絡設備和應用軟件的運行狀況、網(wǎng)絡流量、用戶行為等進行監(jiān)測和報警 20、應具有日常運維的監(jiān)控日志記錄和運維交接日志記錄
21、應定期對監(jiān)控記錄進行分析、評審
22、應具有異?,F(xiàn)象的現(xiàn)場處理記錄和事后相關的分析報告
23、應建立安全管理中心,對設備狀態(tài)、惡意代碼、補丁升級、安全審計等相關事項進行集中管理
24、應指定專人負責維護網(wǎng)絡安全管理工作
25、應對網(wǎng)絡設備進行過升級,更新前應對現(xiàn)有的重要文件是否進行備份(網(wǎng)絡設備運維維護工作記錄)
26、應對網(wǎng)絡進行過漏洞掃描,并對發(fā)現(xiàn)的漏洞進行及時修補。
27、對設備的安全配置應遵循最小服務原則,應對配置文件進行備份(具有網(wǎng)絡設備配置數(shù)據(jù)的離線備份)
28、系統(tǒng)網(wǎng)絡的外聯(lián)種類(互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級部門網(wǎng)絡等)應都得到授權與批準,由何人/何部門批準。應定期檢查違規(guī)聯(lián)網(wǎng)的行為。
29、對便攜式和移動式設備的網(wǎng)絡接入應進行限制管理
30、應具有內(nèi)部網(wǎng)絡外聯(lián)的授權批準書,應具有網(wǎng)絡違規(guī)行為(如撥號上網(wǎng)等)的檢查手段和工具。
31、在安裝系統(tǒng)補丁程序前應經(jīng)過測試,并對重要文件進行備份。
32、應有補丁測試記錄和系統(tǒng)補丁安裝操作記錄
33、應對系統(tǒng)管理員用戶進行分類(比如:劃分不同的管理角色,系統(tǒng)管理權限與安全審計權限分離等)
34、審計員應定期對系統(tǒng)審計日志進行分析(有定期對系統(tǒng)運行日志和審計數(shù)據(jù)的分析報告)
35、應對員工進行基本惡意代碼防范意識的教育,如告知應及時升級軟件版本(對員工的惡意代碼防范教育的相關培訓文檔)
36、應指定專人對惡意代碼進行檢測,并保存記錄。
37、應具有對網(wǎng)絡和主機進行惡意代碼檢測的記錄
38、應對惡意代碼庫的升級情況進行記錄(代碼庫的升級記錄),對各類防病毒產(chǎn)品上截獲的惡意代碼是否進行分析并匯總上報。是否出現(xiàn)過大規(guī)模的病毒事件,如何處理
39、應具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告 40、應具有變更方案評審記錄和變更過程記錄文檔。
41、重要系統(tǒng)的變更申請書,應具有主管領導的批準
42、系統(tǒng)管理員、數(shù)據(jù)庫管理員和網(wǎng)絡管理員應識別需定期備份的業(yè)務信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)(備份文件記錄)
43、應定期執(zhí)行恢復程序,檢查和測試備份介質(zhì)的有效性
44、應有系統(tǒng)運維過程中發(fā)現(xiàn)的安全弱點和可疑事件對應的報告或相關文檔
45、應對安全事件記錄分析文檔
46、應具有不同事件的應急預案
47、應具有應急響應小組,應具備應急設備并能正常工作,應急預案執(zhí)行所需資金應做過預算并能夠落實。
48、應對系統(tǒng)相關人員進行應急預案培訓(應急預案培訓記錄)
49、應定期對應急預案進行演練(應急預案演練記錄)50、應對應急預案定期進行審查并更新
51、應具有更新的應急預案記錄、應急預案審查記錄。