安全等級保護管理辦法范文

時間:2024-03-01 17:55:10

導語:如何才能寫好一篇安全等級保護管理辦法,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

安全等級保護管理辦法

篇1

關鍵詞:信息系統安全 等級保護 福建

一、引言

信息安全等級保護制度是國家在國民經濟和社會信息化的發展過程中,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化建設健康發展的一項基本制度。我國實施的信息系統安全等級保護制度,根據信息系統在國家安全、經濟建設、社會生活中的重要程度,信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素,將信息系統的安全保護等級劃分為5個級別,從第一級到第五級逐級增高,對不同安全級別的信息系統實施不同的安全管理。

二、我國信息系統安全等級保護思想的形成

1994年,《中華人民共和國計算機信息系統安全保護條例 》(國務院147號令)規定,“計算機信息系統實行安全等級保護,安全等級的劃分標準和安全等級保護的具體辦法,由公安部會同有關部門制定”。

20世紀80年代初,美國國防部制定了“國家計算機安全標準”等系列標準,包括《可信計算機系統評估準則》(TCSEC,即俗稱的“桔皮書”)及其他近40個相關標準,合稱“彩虹系列”。 TCSEC標準是國際上計算機系統安全評估的第一套大規模系統標準,具有劃時代的意義。TCSEC將安全產品的安全功能和可信度綜合在一起,設立了4類7級。

1999年,我國公安部組織制定了強制性國家標準――《計算機信息系統安全保護等級劃分準則》。

2000年11月10日,國家計委批準公安部開展“計算機信息系統安全保護等級評估體系及互聯網絡電子身份管理與安全保護平臺項目”建設。

2003年,《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)明確指出“實行信息安全等級保護”,“要重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統,抓緊建立信息安全等級保護制度,制定信息安全等級保護的管理辦法和技術指南”。這標志著等級保護從計算機信息系統安全保護的一項制度提升到國家信息安全保障一項基本制度。同時中央27號文明確了各級黨委和政府在信息安全保障工作中的領導地位,以及“誰主管誰負責,誰運營誰負責”的信息安全保障責任制。

2004年9月,公安部會同國家保密局、國家密碼管理局和國務院信息辦聯合出臺了《關于信息安全等級保護工作的實施意見》(公通字[2004]66號),明確了信息安全等級保護制度的原則和基本內容,以及信息安全等級保護工作的職責分工、工作實施的要求等。

2006年1月,公安部、國家保密局、國家密碼管理局、國信辦聯合制定了《信息安全等級保護管理辦法(試行)》,并于2007年6月修訂。

2007年6月,公安部會同國家保密局、國家密碼管理局和國務院信息辦聯合頒布《信息安全等級保護管理辦法》(公通字[2007]43號,以下簡稱《管理辦法》),明確了信息安全等級保護制度的基本內容、流程及工作要求,進一步明確了信息系統運營使用單位和主管部門、監管部門在信息安全等級保護工作中的職責、任務,為開展信息安全等級保護工作提供了規范保障。

三、開展信息系統安全等級保護工作的必要性和重要性

⒈開展信息系統安全等級保護工作的必要性

隨著網絡新技術的飛速發展和各類信息系統的廣泛應用,網絡與信息安全也相應出現了許多新情況、新問題,福建省網絡與信息安全防護工作面臨的形勢十分嚴峻。這就使得開展信息系統安全等級保護工作成為必然。

一是網上斗爭日趨復雜,不確定性增強。由于在互聯網上傳播信息具備快速便捷、低成本、無國界、易消除痕跡、技術變化快等特點,使互聯網成為境內外敵對勢力、敵對分子從事各種破壞活動的重要工具。我國將長期面臨敵對勢力的信息優勢、技術優勢所帶來的信息安全威脅。

二是網絡違法犯罪活動迅速增多,造成的后果越來越嚴重。隨著新技術、新應用的發展,暴露出來的網絡與信息安全問題也日益增多。

三是漏洞數量居高不下,利用漏洞發起攻擊仍是互聯網最大的安全隱患。安全漏洞是指在網絡系統中硬件、軟件、協議和系統安全策略等存在的缺陷和錯誤,攻擊者利用這些缺陷和錯誤可以對網絡系統進行非授權的訪問或破壞。

四是計算機病毒傳播和對網絡非法入侵十分嚴重。據公安機關調查,2007年1-6月,我國平均每月截獲計算機病毒6.6萬個,累計感染計算機達1.18億臺次。2007年初在我國發生的“熊貓燒香”病毒案,短時間內就出現病毒變種700余個,感染了445萬臺計算機,大批網民的網上帳號、口令被竊取。

⒉開展信息系統安全等級保護工作的重要性

開展信息安全等級保護工作,就是要解決我國信息安全面臨的威脅和存在的主要問題,按標準建設安全保護措施,建立安全保護制度,落實安全責任,加強監督檢查,有效保護重要信息系統安全,有效提高我國信息和信息系統安全建設的整體水平。

建立信息安全等級保護制度,開展信息安全等級保護工作,有利于在信息化建設過程中同步建設信息安全設施,保障信息安全與信息化建設相協調;有利于為信息系統安全建設和管理提供系統性、針對性、可行性的指導和服務;有利于優化信息安全資源的配置,重點保障基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統的安全;有利于明確國家、法人和其他組織、公民的信息安全責任,加強信息安全管理;有利于推動信息安全產業的發展,逐步探索出一條適應社會主義市場經濟發展的信息安全模式。

四、加快推進福建省重要信息系統安全等級保護工作

2007年7月20日,公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室在北京聯合召開“全國重要信息系統安全等級保護定級工作電視電話會議”,部署在全國范圍內開展重要信息系統安全等級保護定級工作。8月13日,福建省公安廳、省保密局、省委機要局、數字福建建設領導小組辦公室等四家單位也聯合召開“福建省重要信息系統安全等級保護定級工作電視電話會議”。這標志著福建省重要信息系統安全等級保護工作正式啟動。

信息系統安全保護工作的首要環節是定級,定級工作是開展信息系統建設、整改、測評、備案、監督檢查等后續工作的重要基礎。信息系統安全級別定不準,系統建設、整改、備案、等級測評等后續工作都將失去針對性。此次福建省重要信息系統安全等級保護工作將分四個階段進行。

1.突出重點,全面準確劃定定級范圍和定級對象

此次重要信息系統定級的范圍是國家基礎信息網絡和重要信息系統,這些網絡和系統廣泛分布在各級黨政機關和電信、廣電、鐵路、銀行、民航、海關、稅務、電力、證券、保險等數十個行業。將這些基礎信息網絡和重要信息系統納入此次定級的重點范圍,體現了統籌規劃、突出重點、重點保障基礎信息網絡和重要信息系統安全的總體要求和原則。

2.依據《管理辦法》,準確確定信息系統安全保護等級

福建省各運營使用單位和主管部門在全面分析各自信息網絡和信息系統在國家安全、社會秩序、公共利益等方面的作用和影響的基礎上,根據信息網絡和信息系統被攻擊破壞后對國家安全、社會秩序和公共利益等方面可能造成的危害程度等因素,依據《管理辦法》,參照《定級指南》所提供的定級方法,綜合確定信息系統的安全保護等級。在確定等級的過程中,要最大限度地避免定級的盲目性、隨意性,力爭做到定級準確、科學、合理。

3.及時備案,加強對定級工作的監督、檢查和指導

為全面掌握基礎信息網絡和重要信息系統的單位和系統的基本情況,保護重點領域的重要信息網絡和信息系統,凡是安全保護等級為第二級以上的信息系統運營使用單位或主管部門要按照《管理辦法》的要求,到公安機關進行備案。公安機關受理備案后要對備案材料進行審核,加強對重要信息系統安全等級保護定級工作的監督、檢查和指導;對定級不準的,要及時通知備案單位重新定級。

4.依據《管理辦法》和技術標準,開展整改、測評等工作

信息系統的安全保護等級確定后,運營使用單位要按照信息安全等級保護管理規范和技術標準,使用符合國家有關規定、滿足信息系統安全保護等級需求的信息技術產品,開展信息系統安全建設或者改建工作,建設符合等級要求的信息安全設施;參照信息安全等級保護管理規范,制定并落實安全管理制度;選擇符合《管理辦法》規定條件的測評機構,依據技術標準對信息系統安全等級狀況開展等級測評,使其盡快達到等級要求的安全保護能力和水平。

五、加大力度,確保福省重要信息系統安全等級保護工作任務落到實處

隨著北京奧運會的日益臨近,特別是“科技奧運”和“數字奧運”是2008年北京奧運會的一大亮點,信息安全等級保護的工作任務艱巨,責任重大。福建省公安、保密、密碼工作和信息化等部門要密切配合,及時開展監督、檢查,嚴格審查信息系統所定級別,積極開展備案、整改、測評等工作。同時,充分利用廣播電視、報刊雜志、互聯網等媒體,加大對國家信息安全等級保護制度的宣傳力度,積極開展面向不同層次、不同對象的宣傳、培訓,以確保福建省重要信息系統安全等級保護工作落到實處。

1.明確職責,落實責任

各級公安機關要積極向當地黨委、政府專門匯報,主動爭取黨委、政府對信息安全等級保護工作的重視和支持;或者成立專門的等級保護工作直轄市領導小組,加強對定級工作的領導,研究制定定級工作實施方案。各運營使用單位及其主管部門要按照“誰主管誰負責、誰運營誰負責”的要求,明確主管領導和責任部門。各信息系統主管部門要切實加強對定級工作的組織、領導,落實等級保護各項責任,督促、指導本行業、本系統開展定級、備案、建設整改等工作。

2.密切配合,通力協作

各級公安機關作為開展等級保護工作的牽頭部門,要加強同保密、密碼工作、信息辦等其他信息安全職能部門的協調、配合,盡快建立健全信息安全等級保護監管工作的協調配合機制;要主動與信息系統主管部門交流溝通,督促配合其組織下屬信息系統運營、使用單位建立信息安全責任制,建立并落實等級保護制度,從而確保等級保護工作的順利、有效實施。

3.加強宣傳,強化培訓

篇2

關鍵詞:政務外網 等級保護 定級 網絡安全

為貫徹落實公安部、國家保密局、國家密碼管理局、原國務院信息化工作辦公室于2007年7月26日聯合下發《關于開展全國重要信息系統安全等級保護定級工作的通知》(公信安[2007]861號),國家電子政務外網工程建設辦公室(以下簡稱“外網工程辦”)在2007年11月啟動了中央級政務外網定級專項工作,成立了等級保護定級工作組,根據政務外網的實際情況和特點,經過多輪內部討論和征求專家意見后,基本完成了政務外網安全等級保護定級工作,為后續備案和全面開展、實施等級保護整改和測評工作奠定了堅實基礎。

一、周密部署,精心組織

為有效貫徹落實國家信息安全等級保護制度,在總結基礎調查和試點工作的基礎上,根據《關于開展全國重要信息系統安全等級保護定級工作的通知》等相關規定,2007年11月13日,電子政務外網工程辦召開等級保護工作啟動會,正式啟動國家電子政務外網安全等級保護定級工作。

為確保信息系統等級保護工作順利進行,外網工程辦領導高度重視,專門成立了由各主要業務部門負責人為成員的等級保護工作小組,全面負責工作的規劃、協調和指導,確定了外網工程辦安全組為等級保護工作的牽頭部門,各部門分工協作。同時,為確保系統劃分和定級工作的準確性和合理性,2007年11月22日外網工程辦專門邀請專家,對定級工作進行專項指導。

為統一思想,提高認識,通過召開等級保護專題會議等形式,深入學習《信息安全等級保護管理辦法》和《關于開展全國重要信息系統安全等級保護定級工作的通知》等文件精神,使相關人員充分認識和領會了開展信息安全等級保護工作的重要性,進一步認識到實施信息安全等級保護不僅是信息安全管理規范化、標準化、科學化的需要,也是提高政務外網安全保障能力與服務水平的重要途徑,是追求自身發展與落實社會責任相一致的現實需要與客觀要求,從而增強了開展此項工作的主動性和自覺性。

二、積極做好定級各項工作

信息安全等級保護工作政策性強、技術要求高,時間又非常緊迫,為此,政務外網工程辦從三方面抓好定級報備前期準備工作:一是積極參加公安部組織的等級保護培訓,領會與理解開展信息安全等級保護工作的目的、意義與技術要求,系統地掌握信息安全等級保護的基礎知識、實施過程、定級方法步驟和備案流程等。二是多次組織人員開展內部討論和交流,使人員較全面地了解等級保護的意義、基礎知識和定級方法。三是開展工程辦各組的業務應用摸底調查,摸清系統的系統結構、業務類型和應用范圍,并匯總整理了政務外網各組成域的相關概況。

三、科學準確定級

在開展政務外網定級工作的過程中突出重點,全面分析政務外網網絡基礎平臺的特點,力求準確劃定定級范圍和定級對象。在此基礎上,依據《信息安全等級保護管理辦法》,確定政務外網各組成子系統(網絡域)的安全保護等級。

劃定定級對象。根據《信息系統安全等級保護定級指南》,外網工程辦多次組織技術和業務骨干召開專題會議討論信息系統劃分問題,提出了較為科學合理的信息系統劃分方案。

初步確定了信息系統等級。根據系統劃分結果,組織各業務部門參與并初步確定了各系統等級,完成了自定級報告的起草。

組織專家自評把關。根據等級保護評審的標準與要求,專家們對信息系統劃分和定級報告進行內部評審,并給出了內部評審意見。根據專家意見重新修改并整理了等級保護定級報告及其相關材料。

此外,在定級過程中,外網工程辦積極與公安部等級保護主管部門進行溝通,并經由相關專家確認定級對象與等級保護方案后,整理好了所有定級材料,準備下一步的正式評審。

四、定級對象和結果

根據政務外網作為基礎網絡平臺的特性,以及其接入系統的不同業務類型,政務外網按管理邊界劃分為中央政務外網、地方政務外網兩類管理域。中央政務外網按業務邊界劃分功能區,即公用網絡平臺區、專用VPN網絡區以及互聯網接入區,在各功能區內又根據業務類型和系統服務的不同,確定了多個業務系統,主要有安全管理系統、應用平臺系統、網絡管理系統、郵件系統、VPN業務、互聯網數據中心等六個系統作為本次等級保護定級工作的定

級對象,分別予以定級(確定等級結果如表1所示)。

作者簡介:

羅海寧,1980年生,男,漢族,工程師,在職碩士,專業方向:網絡與信息安全。

郭紅,1966年生,女,漢族,高級工程師,在職碩士,專業方向:網絡安全。

篇3

安全風險

2008年6月,深圳市忽然出現了12萬一張的光盤,而且是一口價銷售,拒絕還價。光盤之所以賣得如此之貴,是因為光盤里存有當年深圳市預產期在3月~8月、共4萬多條孕產婦的信息。其時,已有多名孕產婦受到商家“階段性”推銷的騷擾:懷孕3個月后孕婦學校會來聯系,接著是家政服務商,而寶寶快到百日時,兒童攝影的推銷電話又……讓孕產婦不勝其煩。事后的調查發現,是深圳市一家保健醫院的內部人員利用職務之便,將該院信息系統中所有孕婦和嬰兒的信息盜取一空,整個過程只用了5分鐘。然后,便有了市場上天價光盤的出現。

信息化在給醫療機構帶來便利的同時,也存在著數據安全隱患,上述嚴重的信息泄露事件給醫院的信息安全敲響了警鐘。

除了信息泄露,威脅醫院信息安全的問題還有網絡病毒。隨著網絡的迅速發展,蠕蟲病毒引發的安全事件此起彼伏,且有愈演愈烈之勢。某醫院由于內網病毒泛濫,帶寬被病毒數據包占用,不僅上網速度慢,更影響到了服務器的正常工作。

醫院內部人員統方是另一個威脅。2010年5月23日,一張神秘的清單在網上曝光,其中列出了寧波市某醫院45名醫生的工號、名字和所屬科室,后面還注明了他們使用藥品氨曲南的數量和總價。6月3日,寧波市衛生局向媒體公布了處罰決定:19名收受藥品回扣的醫生中,兩名醫生停止執業活動6個月,6名醫生受到警告處分。雖然腐敗得到懲戒,大快人心,但所暴露的潛在統方威脅值得警惕。

加強信息安全、消除安全隱患,已經成為醫院必須要面對的課題。

政策安排

在信息化建設過程中,與業務性系統相比,信息安全并沒有得到足夠的重視。在2012年8月舉辦的中國醫院論壇“數字化建設”分論壇上,著名醫療IT專家李包羅說:“這段時間,我參加了7個信息系統的技術規范的制訂會,我發現,有的系統跟安全性毫不搭界,技術規范里面沒有跟技術、安全有關系的話語,哪怕有,也只是一兩句話帶過。制訂技術規范的人,應該說已經是業界比較有經驗、比較有水平的專家,如果他們都不對安全問題給予足夠的重視,那將是非常可怕的。”

在同一個會議上,國家衛計委統計信息中心主任孟群直言:“我國衛生信息化建設還存在信息安全保障建設的滯后。”

在政府層面,2007年公安部印發《信息安全等級保護管理辦法》,決定“在全社會范圍推行‘信息安全等級保護’政策”,2009年公安部印發《關于開展信息安全等級保護安全建設整改工作的指導意見》,對信息安全等級保護工作提出了要求。

在醫療領域,2010年原衛生部制定的《衛生信息化建設指導意見與發展規劃(2011-2015)》(“十二五”規劃)明確提出了我國醫療信息化發展的藍圖和發展方向“35212工程”,建設信息安全體系即是最后一個“2”中的一項。

醫療衛生系統的相關政策相繼出臺。2011年12月,“為貫徹落實國家信息安全等級保護制度,規范和指導全國衛生行業信息安全等級保護工作”,原衛生部相繼了《衛生行業信息安全等級保護工作的指導意見》和《關于全面開展衛生行業信息安全等級保護工作的通知》,明確指出,“三級甲等醫院的核心業務信息系統”等五類衛生信息系統等保原則上不低于三級,要求“衛生行業各單位……要于2015年12月30日前完成信息安全等級保護建設整改工作,并通過等級測評。”

原衛生部、國家中醫藥管理局在2012年6月15日的《關于加強衛生信息化建設的指導意見》指出,要加強衛生信息安全保障體系建設,落實國家信息安全等級保護制度。加強衛生信息系統安全風險評估工作,確保信息安全和系統運行安全。繼續完善居民電子健康檔案、電子病歷等涉及居民隱私的信息安全體系建設,建設以密碼技術為基礎的信息安全保障和網絡信任體系,推廣數字證書和電子簽名應用,實現信息共享與隱私保護同步發展。

據悉,國際衛計委一直在推進這方面的工作,包括制度設計、級別保護等相關的概念和邊界已經逐步建立起來。

國家衛計委統計信息中心副主任王才有表示,首先,政府層面制定了統一信息安全等級保護管理規范和技術標準,組織公民、法人和其他組織對信息系統分等級實行安全保護,對信息安全產品的使用分等級實行管理,對等級保護工作的實施進行監督和指導。

其次,在用戶層面,公民、法人和其他組織應當按照國家有關等級保護的管理規范和技術標準開展等級保護工作,服從國家對信息安全等級保護的監督、指導,保障信息系統安全。

最后,在社會層面,關于信息安全產品的研制、生產單位,信息系統的集成、等級測評、風險評估等安全服務機構,應依據國家有關管理規定和技術標準開展相應工作,并接受國家信息安全職能部門的監管。

在政策逐步建立的過程中,醫療機構自身建設亦十分重要。王才有說:“信息安全是專門的技術,但醫院應該培養自己的安全人才,我看到許多醫院還沒有這樣做,存在很大的風險。”

先進經驗

目前,信息安全已經引起了醫療機構的高度重視,也有醫院早早成為信息安全建設方面的先行者。

2012年11月初,中國醫學科學院阜外心血管病醫院信息中心主任趙接到通知,其醫院信息系統的安全保護能力“基本符合等級保護三級要求,符合項為87.8%”。按照規定,符合項超過80%即為通過了等級保護三級。也就是說,阜外醫院完成了國家衛生行政部門要求2015年底完成的工作。趙介紹,據他了解,目前除了阜外醫院外,國內還沒有其他醫院通過等保三級。

篇4

關鍵詞:信息安全;等級保護;定級制度

中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2017)03-0045-02

信息安全等級保護制度的建設,是隨著經濟建設和信息化建設的全面展開而進行的。對國家重要的信息系統等進行定級保護,可以提高信息系統的工作效率,在大數據、云計算的技術支持下,實現全系統的信息安全。為此國家多部門早已出臺多項關于信息安全的制度和規定,明確說明國家信息安全保障工作的基本制度之一就是信息安全等級保護制度。其工作流程包含定級、對級別的建設和整改、測評建設整改工作、向主管公安部門備案;監管信息系統。其中首要階段的定級工作,是作為等級保護的起始,為后面四個階段的工作奠定基礎。

1 信息系統安全等級保護政策概述

我國在信息技術的浪潮退推動下,各行各業都在面臨信息化、智能化的轉型升級帶來的沖擊和挑戰。需要建設的信息化項目不斷增多,很多領域的業務都要采用網絡信息系統作為載體,因此,信息系統的數量和結構都在增加和復雜化,對信息進行等級保護就被提上了日程。

2008年,我國首部信息安全等級保護管理辦法由公安部下發,信息系統有了等級的劃分,并且對信息系統的保護也有了明確的管理規定。2008年,信息系統安全等級保護定級上升到了國家級別的標準,擁有了定級指南,對于信息系統安全等級定級工作來說,意味著擁有了定級的方法和準則。2009年,關于整改信息安全等級保護工作的指導意見證實下發,要求對信息安全等級保護的整改要按照測評工作的標準展開。這是第一次對信息安全等級保護測評體系的建設進行的規定。

2 信息系統的安全定級

在信息安全技術等級定級指南中,對于信息技術的重要性以及遭到破壞的危害性進行了詳細的闡述,從公共安全、社會利益、公民權益等幾個方面,將信息系統的安全等級劃分為五個等級:

第一級為當信息安全被侵犯,國家利益、公共安全等合法權益就會被損壞,但是國家安全、社會利益和公共秩序不會受到損害。

第二級為當信息安全被侵犯,公民的合法權益就會被侵害,但是國家安全不會受到破壞。

第三級為當信息系統受到侵犯后,社會秩序和公共利益被損壞,進而產生對國家安全的損害。

第四級是信息系統受到破壞,社會秩序、公共利益、國家安全都會受到特別嚴重的損傷。

第五級是信息系統受到侵犯,國家安全被特別嚴重地損壞。

3 當前信息系統安全定級中存在的問題

1)定級對象不明確是信息系統安全定級中的常見問題。當信息系統在相同的網絡環境中被按照獨立的系統進行定級時,多個定級對象會重復出現環境和設備。以機房的EPR系統和OA系統以及配套為例,系統中如果使用到網絡資源,就有可能產生相同的定級對象同時出現不同的網絡設備的情況。

2)根據安全信息國家定級指南中對安全保護等級的定級要求。當受侵害客體為國家、社會、公民安全以及組織法人的合法權益時,客體的侵害程度可以分為一般、嚴重、特別嚴重。這種分類是比較抽象的。需要進行具體的描述,但是從目前的發函情況看,對于危害程度的描述還是過于傾向于主觀判斷,因此對客觀情況的定級準確率不足,依據不足。

3)現有的定級報告皆是從模板中引用格式,參考定價指南,提供定級流程,引導結論的驗證。從下表我們可以大概地看到定級要素和安全保護等級的關系:

表1

[受侵害的客體\&一般損害\&嚴重損害\&特別嚴重的損害\&公民、法人和組織的合法權益\&第一級\&第二級\&第二級\&社會利益、公共秩序\&第二級\&第三級\&第四級\&國家安全\&第三級\&第四級\&第五級\&]

對于基礎數據的描述雖然也能顯示出關于信息安全系統定級的重要意義,但是從系統的客觀問題以及隨時可能出現威脅和侵害的現象角度觀察,很多關于信息安全等級定級的新方法還不能保證定級結果的準確性,很多定級報告不完善,缺乏依據,主觀判斷成分多,無法將信息安全系統的真實情況反映給決策層,對于工作的開展沒有好處。

4 等級保護流程

等級保護的工作是循環的、動態發展的。將等級保護工作視為循環性強的工作對于工作流程加以分析,最終得到的是等級保護工作的流程圖:

定級階段:系統劃分、等級確定;填寫表格;

初步備案階段:上報材料、專家評審,不符合安全等級規定的重新定級,最終進入初備案。

測評階段:選定機構、測評、出具報告;

整改階段:制訂方案、專家論證、提出整改措施并實施;

復評階段:對定級方案進行復評,得到最終的備案;

根據等級保護制度接受監管的階段。

需要說明的是,等級保護工作的初始階段:定級工作可以采用自行定級的方法,也可以委托第三方機構進行監管和測評。定級工作是所有階段工作的基礎。初備案階段有一個重新定級的環節,主要是如果出現不公平、不公正或者定級不合格的情況,要對信息系統的等級評定工作進行復評選,并達到等級保護的要求,才能進行最終的備案。

5 信息安全定級方法

1)定流程是參照定級指南進行的,包括了業務信息和系統服務等內容。首先是確定定級對象,然后確定業務信息安全受到破壞和侵害的客體,以及系統服務安全受到破壞和侵害的客體。兩方面都要進行客體的侵害程度的評定,前者得出業務信息安全等級,后者得出系統服務安全等級,最后形成了定級對象的安全保護等級。

定級對象的選取根據定級指南的規定,具有一些特征,首先是擁有安全責任單位,第二是信息系統要素,第三是承載單一和獨立的業務。在定級對象的業務應用上應該擁有共享的機房基礎環境和網絡設備等,這樣就不會產生重復出現的定級對象。而且將物理環境、網絡資源等納入到信息系統中,形成具有單獨優先定級權限的定級對象[1]。

對于受侵害的客體的損害程度的評分,要對危害后果等進行權重分析。參照的依據包括國家安全、社會利益、公眾秩序、公民法人和組織的權益。客體的侵害程度在定x和解釋上是簡單而抽象的,要對危害程度進行具體的描述,就要規避主觀判斷、依據不足的問題。對客體的侵害程度進行確定,是需要參考很多元素的,要得到一個準確的定量,可以采用評分表的方法對危害后果予以打分。

表2

[危害后果\&得分\&權重\&影響工作職能形式\&\&\&降低業務能力\&\&\&引起糾紛需要法律介入\&\&\&財產損失\&\&\&社會不良影響\&\&\&損害到組織和個人\&\&\&其他影響\&\&\&]

根據對表格中的打分得到的數值和權重的分析,可以得出定級對象被破壞后可能產生的危害以及后果。不存在危害的數值為0,有危害程度較輕的數值為1,有危害程度較高的為2,后果嚴重的為3。不同的信息系統在服務內容、范圍、對象上都不同,因此不同的得分和權重最能反映信息安全系統的實際情況。

確定安全保護等級是在所有流程結束后,得到的結論。這個結論包括客體對等級對象的侵害造成的危害,信息安全的保密性、可用性的情況,系統服務安全的及時性、有效性的問題等等。當業務信息安全和服務系統的客體侵害程度不同時,就要在定級過程中處理不同的危害后果。

2)定級表格的細化是為定級報告模板提供基礎數據,并保證信息安全系統穩定可靠的重要保障。當系統內部問題導致其難以支撐定級結果后,采用系統定級的方法,就能夠將信息系統的情況記載道定級表中。定級表包括了定級系統的用戶情況以及定級系統的業務職能等情況,例如在行業和部門內的地位和作用。定級系統需要有備份系統作為應急措施,保證定級系統在關聯系統受到破壞后不會受到數據傳遞等的影響。

6 案例分析

按照等級保護工作測評和定級的規定,確定信息系統的等級。某政府網站信息系統包括的板塊為:政務公開、地方行政、法制建設、管理措施、領導講話、網上辦事大廳、新聞動態、政府公告、舉報建議等,還專門開辟了一個下載板塊,方便下載有用的電子表單加以填報。

在這個政府網站的信息系統中,制訂了符合信息安全等級保護定級指南的流程和標準,通過分析,判斷,研究等流程確定定級的系統。該網站的擁有者設立的專門的政府網站平臺,由指定部門確定相關資料的搜集、采集、整理的過程方案。在這套流程中,信息生產者為企業,產生的資料是信息,管理信息的手段是利用科學技術,對外承擔政務信息,擁有獨立的業務,如辦事流程、新聞會等。將各類任務的環境加以構建,就形成了政府網站中具有基本特征和要素的定級對象。對定級客體的邀請,要采取分析的方法,確保信息系統內的保密性和可用性。實際操作中只要能夠保證信息的完整性和通用性,又增強了制作、、管理的職能建設,激發出參與者的完整性和保密性。提高可用概率。而系統服務安全有力地支撐著系統安全運行,并為信息安全系統提供有效的服務,達到地方網站發揮在定級中的作用,幫助提供服務,滿足消費者的需求。采用了這種方法,網站信息系統的業務信息安全和系統服務安全都將是今后在企業運用中需要特別加以注意的。

例如:對于受侵害的客體,必須說明客體的情況,是否受到法律保護,等級保護中牽扯到的社會關系和合法權益。尤其是針對信息系統的客體的先后順序進行判斷,結合政府平臺,實施政務信息公開。如果做不到政務信息公開,政府就要設置管理界限,發揮人的主觀能動性,在知情權、業務能力、投訴與批評等階段加大業務辦理力度,最大可能地維護法人和代表組織的知情權,排棄受到破壞的客體,法人由于難以摻入個人組織中,直接投訴合法的法律法規,由于業務施工的進度過快,環節紛繁眾多[2]。再由于受損教育可以對客體的積極主動性。方便法人和組織知情、辦理業務、舉報、投訴等。

對于客體造成的侵害進行后果的分析,無論是大型門戶網站,還是在金融政策引領下,親自感受到客體檢查結果的影響,如信息安全管理等,都要注重網絡平臺的臨時性。

7 結束語

要做好信息系統的安全保護等級的確定,就要采取正確的 (下轉第51頁)

(上接第46頁)

策略以及方法,對信息安全管控產生依賴,保護過程中采取正確的策略和方法,等等。信息系統、安全等級保護不足的問題,都要求管理覺決策層加熬煮。在實際運行中,還要以定級指南為指導,綜合信息系統的業務特征,切實推動信息技術等級保護工作的大力發展。

參考文獻:

篇5

關鍵詞:信息安全;醫院信息系統;安全措施

隨著信息與網絡技術的不斷發展,我們進入了一個信息爆炸的時代,人們可以輕松便捷的通過網絡技術來進行各種活動。伴隨而來的信息安全問題也越發嚴重,也受到越來越多行業的關注,在網絡技術發展普及的同時,信息技術業在醫學領域得到廣泛的應用,同右攪蘋構信息系統的信息安全性在當今也同樣得到極大的重視。

1 信息系統安全管理的原則

信息系統安全的核心目標是為關鍵資產提供可用性、完整性和機密性[1],所有安全控制、機制和防護措施的實現都是為了提供這些原則中的一個或多個。基于安全需求原則,醫療機構應根據其信息系統擔負的使命,積累的信息資產的重要性,可能受到的威脅及面臨的風險分析安全需求,按照信息系統等級保護要求確定相應的信息系統安全保護等級,遵從相應等級的規范要求,從全局上恰當地平衡安全投入與效果,做到技術和管理并重。

2 國內醫療信息安全體系

在醫療活動中,醫療機構為了診斷及科研等其他需要,經常使用醫療信息系統采集、大量的醫療相關數據,其中包含著患者的基本信息和敏感信息。如何有效的避免隱私信息的泄露也是越來越多醫療機構普遍遇到的問題。與此同時,衛生行政主管部門認識到了醫療機構信息系統安全的重要性,也逐年醫療信息保障管理辦法。2004年9月的《關于信息安全等級保護工作的實施意見》(公通字[2004]66號)進一步強調了開展信息安全等級保護工作的重要意義,規定了實施信息安全等級保護制度的原則、內容、職責分工、基本要求和實施計劃,部署了實施信息安全等級保護工作的操作辦法。2011年,信息安全等級保護已列入《三級綜合醫院評審標準》中信息化規范建設的重要考核依據與指標。2011年衛生部《衛生部辦公廳關于全面開展衛生行業信息安全等級保護工作的通知》,要求衛生行業“全面開展信息安全等級保護工作”。

3 醫院信息安全治理與風險管理

醫院系統信息安全風險管理的傳統措施是以邊界、安全域為主的思路和模式,采用被動的、防御型的技術手段,屬于應對型的安全建設模式[2]。近些年來,隨著安全技術的快速發展,醫院信息安全規劃與建設思路也在發生轉變,其防護重點逐漸轉向醫院信息系統數據內容、應用、用戶身份和行為等全方位的安全防護;安全治理觀念也逐漸轉變為主動防御的合規管理工作,同時加強醫院信息安全監控綜合分析。通過信息系統安全指標作為衡量依據,衡量安全建設績效推進醫院信息系統安全治理,從而以工具化、自動化的安全手段,應對不斷擴張的IT資產管理,有效落實安全管理要求。

醫院信息安全責任部門正確運用控制措施能降低醫院信息系統安全面臨的風險,控制主要分為三種類型:管理控制、技術控制和物理控制[3]。管理控制因為通常是面向管理的,所以經常被稱為“軟控制”,如安全文檔、風險管理、人員安全和培訓都屬于管理控制;技術控制也稱為邏輯控制由軟件或硬件組成,如防火墻、入侵檢測系統、加密、身份識別和認證機制;物理控制用來保護設備、人員和資源,保安、鎖、圍墻等都屬于物理控制。在實際建設和規劃中,醫院信息安全責任部門應正確以分層的方法綜合使用多個安全控制類型,為醫院信息平臺提供安全深度防御。由于入侵者在獲得訪問關鍵資產前將不得不穿越多個不同的保護機制,因此多層防御能夠將滲透成功率和威脅降低到最小,從而保障醫療機構信息系統安全。

4 醫院系統的安全風險分析及對策

4.1訪問控制安全 安全的根本所在是通過控制如何訪問信息資源來防范資源泄露或未經授權的修改。訪問控制是一種安全手段,控制用戶和系統如何與其他系統和資源進行通信和交互。訪問控制能夠保護系統和資源免受未經授權的訪問,并且在身份驗證過程成功結束之后確定授權訪問的等級。信息訪問控制的實現手段在本質上都處于技術性、物理性或行政管理性層面。同時需要注意,任何接口處是最應該實施安全控制的一個地方,需要層層縱深防御來實施訪問控制。訪問控制是防范醫療機構信息系統和資源被未授權訪問的第一道防線,系統使用用戶的訪問權限主要基于其身份、許可等級和/或組成員資格。訪問控制給予組織機構控制、限制、監控以及保護資源可用性、完整性和機密性的能力[4]。

4.2計算機及操作系統安全 計算機是系統內提供某類安全并實施系統安全策略的所有硬件、軟件和固件的組合,然而其并不僅限于操作系統,操作系統的主要風險包括系統漏洞和文件病毒等。醫療機構的信息安全責任部門需對帳戶、訪問、用戶權限等進行管理與控制,做好定期監視、審計和時間日志記錄和分析。可以采用通過修改注冊表,屏蔽客戶端操作系統無關的內容,限制訪問相關資源;還應及時下載系統補丁,盡可能關閉不需要的端口,以彌補系統漏洞而給醫院信息系統安全性帶來的各類隱患。醫療機構辦公計算機中的很多安全管理軟件會產生安全日志,應由信息安全主管部門對這些安全日志進行管理分析以不斷強化整體安全解決方案,例如針對于醫院可能發生的“統方”時間以及其他對醫院影響較大的安全事件,醫療機構主管部門應能夠及時發現、定位、報警以及事后審計。

篇6

【 關鍵詞 】 信息安全;企業管理;績效考核

1 引言

經過近幾年的發展,中國鐵建股份有限公司(以下簡稱中國鐵建)的信息化工作全面展開,眾多信息化項目的實施,大量信息系統的上線應用,有力地促進了企業核心競爭力的提升。

隨著信息系統不斷建成與投入應用,信息資源擁有量快速增長,對信息安全的保障需求日顯強烈,信息安全管控建設的滯后與日益增長的信息安全需求的矛盾日益突出。中國鐵建根據國內外成熟的信息安全標準和方法,結合企業業務發展戰略和企業特點,構建符合本公司業務實際和安全需要的信息安全管控體系,全面提升信息安全保障能力,并取得了初步效果。另外,信息安全等級保護制度作為國家在信息安全保障管理上的根本制度,具有強制性的特征,也要求企業認真加以貫徹落實。

在實際工作中利用怎樣的手段來保障信息安全管控體系、信息安全等級保護制度得到切實執行,成為亟待需要解決的問題。

為此,結合中國鐵建所屬各單位地域分布廣、信息化水平差距大的特點,經過初步探索,將信息安全指標納入了中國鐵建信息化績效評價體系,與各子分公司領導考核掛鉤,從“信息安全事故”和“等級保護”兩個維度、四項指標,通過定量對比分析,對各單位的信息安全工作進行評價,以推進信息安全持續改進。

2 考核原則

(1)公開、公平、公正。嚴格按照考核細則對被考核單位,在公開、公平、公正的環境中,進行客觀的評價。

(2)實事求是。被考核單位應如實反映信息安全工作情況,提供的相關資料和數據真實可信。

(3)遵循規劃、貫徹制度、檢查效果、保障安全。考核指標的提出以信息安全規劃、制度為依據,重點在信息化建設效果并保障信息安全。

(4)區別對待,逐步演進。根據子公司規模、成長階段、業務特點的不同,區別對待;根據信息安全建設重點,不同年度有不同的考核重點,逐步演進。

3 考核指標

中國鐵建大量的信息系統處于建設時期,因此每年對指標進行調整。目前,根據信息系統等級保護評價指標體系的原則要求, 選擇具有可操作性、可以量化的指標,從信息安全事故和信息系統安全等級保護兩個維度,信息安全事件、等級保護定級率、等級保護備案率、等級保護測評通過率四項指標進行了考核。

3.1 信息安全事件

信息安全事件及分級以中國鐵建《信息安全事件管理規定》定義為準。信息安全事件分為特別重大事件(I級)、重大事件(Ⅱ級)和一般事件(Ⅲ級)三個級別。

指標要點

(1)信息系統安全事件級別的確定。從類別劃分,信息安全事件分為有害程序事件、網絡攻擊事件、信息破壞事件、設備設施安全功能故障、災害性事件等五種;從級別劃分,信息安全事件分為特別重大事件(I級)、重大事件(Ⅱ級)和一般事件(Ⅲ級)三個級別。

(2)信息安全事件的瞞報。對于發生信息安全事件后,隱瞞事故,在規定時限內不主動向上級部門如實報告的情況,除扣除其該項考核成績外,按照股份公司有關規定進行通報并嚴肅處理;對多次發生信息安全事件的單位,將加強監督檢查,并責令其徹底整改。

3.2 等保定級率

考核年度在建至驗收投入應用各階段的信息系統與歷年上報的定級報告不重復累計數之比。

指標要點

(1)信息系統定級準確性。部分單位認為信息系統定級級別越高,就要花費更多的資金、精力,加重單位負擔,因此將基礎信息網絡、門戶網站、郵件、財務等重要信息系統定為一級,以逃避備案、測評。

針對這種情況,股份公司按照《信息系統安全等級保護區域劃分原則與定級指南》,對信息系統定級進行規范,并對定為一級、二級的信息系統進行重點檢查,避免定級不準確。

(2)信息系統數量準確性。部分單位在實施等保工作時,上報的信息系統數量小于實際建設數量。因此,在實際操作中,本考核項的分母“信息系統數”以該單位編制信息化項目預算時上報的信息系統數量為準。

(3)需提供加蓋本單位公章的《定級報告》掃描件。

3.3 等保備案率

考核年度在建至驗收投入應用各階段的信息系統數與歷年上報的備案證書不重復累計數之比。

指標要點

(1)備案公安機關的選擇。針對部分單位未根據國家法律法規選擇合適公安機關備案的情況,股份公司在的《信息系統安全等級保護管理辦法》中規定:股份公司統建系統,三級及以上系統向公安部網絡安全保衛局備案、二級系統向北京市公安局鐵道建筑公安局備案;駐京單位自建信息系統向北京市公安局鐵道建筑公安局備案;京外單位自建信息系統向當地市級及以上公安機關備案。

(2)等保備案率的確定。等保備案率中的分母“信息系統數”,指的是該單位編制信息化項目預算時上報的信息系統數量,并非已定級的信息系統數量。

(3)需提供公安機關出具的《備案證明》掃描件。

3.4 等保測評通過率

歷年上報的定級備案證書不重復累計數與歷年測評通過的信息系統不重復累計數之比。

指標要點

(1)測評報告符合率。為防止部分單位將工作精力側重于取得測評報告,而忽視了對測評中反映出的安全問題的整改,在實際工作中,重點對測評不符合率較高的信息系統進行抽查,責令單位定期進行整改。

(2)需提供合格測評機構出具的加蓋測評機構公章的《安全等級測評報告》掃描件。

4 考核權重

4.1 信息安全事件

附加分項,最高減K分。出現一次I級信息安全事件、減K分;出現一次級信息安全事件、減K/2分,最多減K分。

4.2 等保定級率

基本分項,滿分K分。考核年度在建至驗收投入應用各階段的信息系統數為A,歷年上報的定級報告不重復累計數為B,定級率M=B/A,平均定級率∑M=∑B/∑A。定級率得分S=min{(M/∑M)×K,K}。

4.3 等保備案率

基本分項,滿分K分。考核年度在建至驗收投入應用各階段的信息系統數為A,歷年上報的備案證書不重復累計數為C,備案率M=C/A,平均備案率∑M=∑C/∑A。備案率得分S=min{(M/∑M)×K,K}。

4.4 等保通過率

基本分項,滿分K分。歷年上報的定級備案證書不重復累計數為C,歷年測評通過的信息系統不重復累計數為D,測評通過率M=D/C,平均測評通過率∑M=∑D/∑C。測評通過率得分S=min{(M/∑M)×K,K}。

5 指標計算

考核指標項分基本分項、附加分項兩類。以本單位基本分項滿分(Ai)為基數,用實際得分(Bi)計算其得分率(Mi=Bi/Ai),除以最高得分率(Mmax),再乘以信息安全工作績效指標分(C),即為信息安全工作考核實際得分(Si=C×Mi/Mmax)。

6 結束語

本文對中國鐵建將信息安全指標納入信息化績效評價體系進行了概述, 提出了綜合評價的方法,希望能借以推進本企業信息安全工作的開展,提高信息系統的安全性,并切實將國家法律法規落到實處。從實際執行效果看,已經取得了一定的成效。

參考文獻

[1] GB/T 22239―2008,信息系統安全等級保護基本要求.

[2] GB 17859-1999,安全等級保護劃分準則.

[3] GB/T 22240―2008,信息系統安全保護等級定級指南.

篇7

關鍵詞:信息安全;風險評估;教學

信息安全風險評估是進行信息安全管理的重要依據,通過對信息系統進行系統的風險分析和評估,發現存在的安全問題并提出相應的措施,這對于保護和管理信息系統至關重要。目前國內外都高度重視信息安全風險評估工作。美國政府2002年頒布《聯邦信息安全管理法》,對信息安全風險評估提出了具體的要求;歐盟國家也把開展信息安全風險評估作為提高信息安全保障水平的重要手段;2003年7月23日,國家信息中心組建成立“信息安全風險評估課題組”,提出了我國開展信息安全風險評估的對策和辦法。2004年,國務院信息辦研究制訂了《信息安全風險評估指南》和《信息安全風險管理指南》兩個風險評估的標準;2006年又起草了《關于開展信息安全風險評估工作的意見》[1]。這些工作都對信息安全人才的培養提出了更高的要求,同時也為《信息安全風險評估》課程的開設和講授提供了必要的基礎和條件。《信息安全風險評估》課程教學,是信息安全專業一門重要的專業課程,能全面培養學生綜合運用專業知識,評估并解決信息系統安全問題的能力,是培養符合國家和社會需要的信息安全專業人才的重要課程之一。《信息安全風險評估》課程本身的理論性與實踐性都很強,課程發展十分迅速,涉及的學科范圍也較廣,傳統的教學的模式不能使該課程的特點很好地展示出來,無法適應社會經濟發展對信息安全從業人員的新要求,教學改革勢在必行。

一、現狀與存在的問題

信息安全風險評估是從風險管理角度,運用科學的方法和手段,系統地分析信息系統所面臨的安全威脅及其存在的脆弱性,評估安全事件一旦發生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和整改措施。它涉及信息系統的社會行為、管理行為、物理行為、邏輯行為等的保密性、完整性和可用性檢測。風險評估的結果可以作為信息安全風險管理的指南,用來確定合適的管理方針和選擇相應的控制措施來保護信息資產,全面提高信息安全保障能力[2]。自2001年信息安全專業建立以來,高校在制訂本科專業教學培養目標和教學計劃時,側重于具體安全理論和技術的教學和講授,特別是重點強調了密碼學、防火墻、入侵檢測、網絡安全等安全理論與技術的傳授。從目前高校的教學內容看,多數側重于對“信息風險管理”、“風險識別”、“風險評估”和“風險控制”等基本內容的介紹上,而且教學課時數也較少,只有十個學時。當前從《信息安全風險評估》課程的教學情況來看,該課程在信息安全教育教學過程中地位有待提高,實踐教學的建設與研究迫切需要深化。

當前該課程的教學實踐中普遍存在以下幾個方面的問題,嚴重制約了《信息安全風險評估》課程教學質量的提高:

1.本科教學大都以理論內容為主體,實驗和課程設計的學時安排較少。一般高校的《信息安全風險評估》課程主要以理論內容的講授為主,實驗和課程設計的學時較少,實驗內容也大多屬于驗證性質,缺少具有研究和探索性質的信息安全風險評估實踐內容和課程設計;

2.教學方法單一,缺乏激勵學生求知欲的教學方法和手段。當前開設《信息安全風險評估》課程的高校還較少,師資力量相對薄弱,教學經驗也比較缺乏,仍以主要由教師講述的傳統教學方式為主,學生進行具體實踐和操作的課時較少,缺乏創新性的教學和研究,基本沒有具有探索性和創新性特點的教學內容,不利于發揮學生主觀能動性,提高其創新能力;

3.實驗環境無法滿足教學需求,缺乏專業的信息安全風險評估師資。我國信息安全風險評估的研究和教學工作起步晚,缺乏相關的實驗設備;而且受到資金和專業發展等多方面因素的制約,難以設立專門的信息安全風險評估實驗室。此外,信息安全風險評估是以計算機技術為核心,涉及管理科學、安全技術、通信和信息工程等多個學科,對于理論和實踐要求都很高。這就要求教師既要學習好各學科的基本知識,又要加強實踐訓練。

二、教學改革與探索

高校計算機相關專業開設《信息安全風險評估》課程,不是培養網絡信息安全方面的全才或戰略人才,而是培養在實際生活和工作中確實能解決某些具體安全問題的實用型人才。針對《信息安全風險評估》課程的特點和教學中存在的不足,我們從以下幾個方面對該課程的教學改革進行了探索:

1.重新確立課程培養目標。①重點培養學生分析和評估信息安全問題的能力:《信息安全風險評估》課程是一門理論性和實踐性緊密結合的課程,目前開設該課程的高校較少,各學校的教學內容也多種多樣。該課程的教學目標即要培養學生發現信息系統存在的安全風險,同時也需要培養他們科學地提出解決安全隱患的方案及能力。如何提高學生分析和評估信息安全問題的能力是該課程教學的首要目標。②培養學生實際操作的能力:信息安全風險評估的關鍵是對信息系統的資產進行分類,對其風險的識別、估計和評價做出全面的、綜合的分析。這就要求學生熟練地掌握目標對象的檢測和評估方法,包括使用各種自動化和半自動化的工具,可在模擬實驗里,通過不斷地訓練實現。③培養學生繼續學習、勇于探索創新的能力:隨著信息化的不斷發展,信息系統所面臨的安全威脅急劇增加,為此各國政府都不斷提出和完善了各類信息安全測評標準。這就要求我們在教學中不斷地學習、理解和解釋最新的國際、國內以及相關的行業標準,培養和提高學生繼續學習的能力。另外,《信息安全風險評估》課程也要求通過課堂教學、課后練習、實驗驗證和考試、考查等教學環節培養學生獨力分析信息系統安全的能力,培養學生對信息安全風險評估領域進行探索和研究的興趣,最終使學生掌握信息安全風險評估的知識和技能,能夠解決具體信息系統的安全問題。

2.增加信息安全風險評估理論和相關標準的教學。信息安全測評標準和相關法律法規是進行信息系統安全風險評估的依據和保障。2006年由原國信辦《關于開展信息安全風險評估工作的意見》(國信辦2006年5號文);同時,隨著信息安全等級保護制度的推行,公安部會同有關部門出臺了一系列政策文件,主要包括:《關于信息安全等級保護工作的實施意見》、《信息安全等級保護管理辦法》等;國家信息安全標準化委員會頒發了《信息安全風險評估規范》(GB/T 20984~2007)、《信息系統安全等級保護基本要求》(GB/T 22239-2008)等多個國家標準[3]。為了保證《信息安全風險評估》課程目標的實現,我們在教學過程中,增加了《GB/T20984-2007信息安全技術信息安全風險評估規范》、《GB/Z24364-2009信息安全風險管理指南》、《GB/T

22080-2008信息安全管理體系要求》、《GB/T22081-

2008信息安全管理實用規則》、《GB/T20269-2006信息系統安全管理要求》、《GB/T25063-2010?搖信息安全技術服務器安全測評要求》、《GB/T 20010-2005信息安全技術包過濾防火墻評估準則》、《GB/T20011-2005信息安全技術路由器安全評估準則》、《GA/T 672-2006信息安全技術終端計算機系統安全等級評估準則》、《GA/T 712-2007信息安全技術應用軟件系統安全等級保護通用測試指南》等相關評估標準和指南的學習,并編制相關的調查、檢查、測試表,重點強調對脆弱性檢測的理論依據的描述,檢測方法及其步驟的詳細記錄。

3.利用各種測評工具,提高學生實踐能力。在信息安全風險評估過程中,資產賦值、威脅量化分析、安全模型的建立等環節的教學和實踐對教師和學生都提出了較高的專業課程要求。我們在《信息安全風險評估》課程實踐中通過使用風險評估工具,并對具體的信息系統進行自動化或半自動化的分析,加深了學生信息安全風險評估的理論知識理解,同時注重培養學生動手實踐能力和探索新知識的能力。我們增加了主動型風險評估工具Tenable掃描門戶網站系統的實踐性教學內容。通過評估,該系統的服務器存在感染病毒的癥狀,其原因是服務器存在特定漏洞。為此我們使用漏洞掃描器對該服務器進行掃描,發現了“遠程代碼被執行”漏洞,而且該漏洞能被蠕蟲病毒利用,形成針對系統的攻擊。通過案例特征提供了的信息,培養學生使用測評工具對具體信息系統進行安全風險評估的能力,并進一步使其認識到主動型評估工具是信息安全風險評估中快速了解目標系統安全狀況不可或缺的重要手段。

筆者結合自己的教學實踐體會,論述了當前《信息安全風險評估》課程中存在的問題以及解決對策。《信息安全風險評估》課程教學改革和建設是一個長期的、系統化的工程,需要不斷地根據信息系統在新環境下面臨的各種威脅,制定新的評估標準和評估方案,并使得學生在有限的時間和環境下掌握相應的知識和技能,以滿足社會對信息安全人才的需求。

參考文獻:

[1]付沙.加強信息安全風險評估工作的研究[J].微型電腦應用,2010,26(8):6-8.

[2]楊春暉,張昊,王勇.信息安全風險評估及輔助工具應用[J].信息安全與通信保密,2007,(12):75-77.

[3]潘平,楊平,羅東梅,何朝霞.信息系統安全風險檢查評估實踐教學探討[C]// Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security(NTS-CIS 2011),2011,(8).

篇8

關鍵詞:等級保護;三級信息系統;系統設計

現如今各方面競爭都尤為激烈,信息資源已然成為戰略資源中最關鍵的構成部分,此時以等級保護三級信息系統設計與實現為例的技術研究,就必須要盡快提上日程,這也是信息安全管理與保護水平獲得提升的必要途徑。

1信息系統安全等級保護的概念

信息系統安全等級保護是我國信息安全保障工作的基本制度和方法,是我國多年來信息安全工作經驗的總結。根據相關法律政策規定,我國制定了一系列信息安全管理辦法,為信息安全保護工作的開展提供了法律、政策、標準依據。作為國家統一制定并的標準,《信息系統安全等級保護基本要求》中明確指出,應將信息系統的重要程度作為根據,將保護工作有針對性的合理安排下去,并且應對信息系統展開相應的保護,國家也需對各等級的信息系統,制定強度適中的監督管理計劃[1]。

2等保三級的設計要求

2.1安全計算環境設計

本文主要從以下幾方面來論述安全計算環境設計。首先是身份鑒別,這是達到三級安全要求的首要前提,需從用戶標識與用戶鑒別這兩方面來明確安全機制。用戶標識安全機制簡單來講,就是用系統中每位用戶注冊時填寫的用戶標識,來對用戶身份進行標注,同時需保證生存周期內用戶標識不能出現重復;而后者則指用戶在每次登錄系統的時候,通過安全管理中心控制下的口令、生物特征以及安全強度達標的組合機制,展開的對用戶身份的鑒別,且鑒22別后會保護好生成數據的私密性與完整性。其次是標記和強制訪問控制。系統需針對安全管理員,展開嚴格的身份鑒別與權限控制,并且賦予其主體與客體安全標記的權利。在強制訪問控制之下,技術人員應將重點放在全部主體與客體標機信息的一致性上,且強制訪問控制規則也應該同樣落實。最后是安全計算環境的嚴格審計。系統應對安全事件有明確且完整的記錄,且一般來講,安全事件的主體、客體、類型、出現節點、后果等,都應納入安全事件記錄的總體范疇。與此同時,審計記錄還應通過分析、分類等環節,向系統中存儲保護。技術人員還應為安全管理中心提供接口,如果某些安全事件系統無法自行解決,則應基于授權主體調用要求創設接口。

2.2安全通信網絡設計

安全通信網絡設計工作,基本上都是以通信網絡的保密要求為基點展開的,通常情況下,網絡加密技術能滿足等保三級中涉及的全部要求,技術人員可通過對VPN技術的合理運用,達成保護通信網絡與數據的目的[2-3]。

2.3安全管理中心設計

(1)系統管理等級保護三級對系統的要求,主要體現在系統管理員的身份鑒別與授權上,管理員一般情況下只有特定界面與系統訪問的權利。系統管理員大致可以劃分成網絡、主機以及存儲管理這幾種,網絡管理員的主要職責在于配置網絡設備;主機管理的配置服務則主要針對服務器展開;存儲管理員需做好存儲設備的維護與管理工作[4]。(2)安全管理等保三級在管理員身份鑒別與授權方面的要求也格外嚴格。雖說安全管理員的工作并不復雜,通常只涉及安全設備管理,但因為安全設備是覆蓋到計算系統各方面的,所以安全管理員的專業水平、工作狀態以及綜合素質等,都需要得到足夠的重視。現階段,安全設備基本上都有log記錄功能,可用于授權管理的接口使用也很方便。(3)審計管理安全審計員也應接受嚴格的身份鑒別和管理,由于其在工作中會接觸多種設備,所以對其行為的控制也要得到充分保證。

3等保三級的實現設計策略

(1)安全計算環境建設首先,在安全計算環境設計的過程中,多因子身份認證系統的應用絕對是重中之重,經實踐證明,如果能確保此身份認證系統的合理應用,則等保三級中要求的用戶身份鑒別、強制訪問以及自主訪問控制等要求均能得到滿足。除此之外,此系統還能有效控制訪問的過程,從而在最大程度上確保訪問的有效性。其次,敏感數據保護系統在我國出現與應用的時間雖然并不長,但在文件驅動管理方面的優勢卻非常顯著,例如穩定性與可靠性強等,但同時此系統的缺陷與弊端也不能忽視,因為其對操作系統平臺的依賴度過強,導致操作系統中的數據私密性與完整性很難被保護。現階段,也有很多國內企業通過國際先進技術,來保護存于操作系統內部的數據,但其穩定性與實際效果仍有待觀察,所以就目前的要求來看,敏感數據保護系統已然可以達到等保三級對用戶數據及客體安全保護的標準和要求[5]。(2)安全區域邊界建設防火墻、入侵檢測設備以及防病毒網關,即為現如今等保三級系統中內外部網絡保護系統的主要構成部分。第一,防火墻中只有必要的服務端才會開放,如果有相應的IDS在配置中,則技術人員必須將二者間的聯動充分考慮在內,從而在系統受到攻擊時能及時檢測并且報警。第二,對于外部網絡層的保護而言,入侵檢測設備對攻擊能發揮良好、穩定的分布式拒絕功能。第三,防病毒網關主要針對進入系統的數據信息,展開全面的防毒檢測,它是預防病毒進入的最前線,對于安全區域邊界建設而言,有著不能忽視的重要作用。但經實踐證明,僅用防病毒網關來保護系統是遠遠不夠的,還應將網絡防病毒軟件安裝于終端,以確保對入侵病毒的實時查殺。此時相關人員還需明確意識到,部分國外的防毒軟件在染毒文件無法有效殺毒時,通常會選擇采取保守策略,即只對病毒給出警告或把染毒文件移動到保護區;而國內大多數的防毒軟件則基本上會直接將文件刪除。在染毒文件尤為重要的情況下,這兩種方法都可能會為用戶帶來不可逆轉的損失,因此,我們可以采取結合殺毒軟件與終端管理軟件的方法,確保染毒文件能向相應病毒服務器的制定目錄中移動,從而由安全管理員展開接下來的人工處理[6]。作為不同網絡安全域間的訪問控制設備,安全區域邊界防護系統通常都以安全計算環境邊界為主要設置點,其會以安全標記過濾與管理標準為根據,實現對數據包與訪問的有效過濾、檢測并對網絡攻擊發出警報等功能。(3)安全通信網絡建設實際上,一臺可正常運行的VP設備,就能滿足安全通信網絡的基本要求。具體來講,在外部終端需訪問內部網絡資源的時候,SSLVPN的效果更加顯著;若出現分支機構的現象,則利用VPN設備的加速功能,也能促進網絡傳輸效率的大幅度提升;從技術成熟度的角度上來看,IPSecVPN略勝一籌,但其配置的復雜性較強,實際使用也遠比不過SSLVPN的便捷性[6]。除此之外,在等級保護三級的要求下,技術人員必須開放VPN數據校驗與系統審計的功能。(4)安全管理中心建設就等級保護三級系統中安全管理中心的建設而言,很多廠家的SOC產品安全管理平臺產品,設計與配置都是以ITIL規范為根據展開的,但目前能將規范中全部要求一一滿足的廠家幾乎沒有。與此同時,只有少部分的合作伙伴才能接觸到安全產品,產品大量生產及統一管理的目的很難達成,經過相應的分析與研究可知,此問題主要是安全產品并未嚴格遵循規范導致的。因此,為同時滿足等保三級的要求與實際使用需求,我們應基于多個產品來建設安全管理中心,確保其各項功能均能發揮應有的重要作用,也為各被管理系統中管理工具與數據的高效融合提供更高程度的保證。具體來講,技術人員可按照要求選擇多個產品,這樣即使在權限不同的情況下,系統級別劃分工作也不會受到影響;同時各部分的管理人員也應分別配置,從而使管理規范能充分發揮其約束作用。在各項管理工具獲取到相應信息之后,技術人員即可進行最終的數據整合工作,一般情況下,需要進行數據整合的產品數量很多,尤其被廣泛應用于ERP系統里,并且最終用于企業領導層的重大決策。實際上,一般企業都能接受此價位,價格也能夠為一般企業所接受,只是傳統方案設計中并未考慮過產品在安全管理中心建設中的使用,現如今只通過對數據整合工具的利用,即能實現對多個管理工具間的信息互通[7]。

篇9

隨著軍隊物資采購機構信息化建設的不斷推進,信息系統已經成為當前采辦系統的核心組成部分。信息安全風險直接影響到軍隊物資采購系統為軍隊用戶提供服務和對各類供應商等采購實體進行管理的能力。在關鍵時刻,個別重大的信息系統發生故障或癱瘓,往往會給整個軍隊后勤保障帶來不可挽回的損失和影響,從而給整個軍隊建設和國防事業帶來損失。

當前,軍隊物資采購系統根據總后關于信息化建設的精神,建立了依托干軍隊內部的指揮自動化網、軍隊綜合信息網等內部指揮控制網絡、辦公網絡、業務管理網絡等信息服務和指揮網絡,為軍隊采購管理單位、采購業務單位、科研和教學單位、軍內終端客戶提供廣泛的信息服務。

實施信息安全管理,不僅能夠有效地提高信息系統的安全性、完整性、可用性以及對相關應急采購任務的快速反應能力,同時也是保障軍隊物資采購系統科學發展,為軍隊提供最優保障力的重要手段。

一、軍隊物資采購信息安全風險

在軍隊物資采購活動中,存在各種各樣的風險,都對采辦的結果產生不同程度的影響。根據風險產生對象的不同,將風險分為人為風險、系統風險、數據風險等三個方面。

(一)人為風險。

人是信息安全最主要的風險因素,不適當的信息系統授權,會導致未經授權的人獲取不適當的信息。采購人員的操作失誤或疏忽會導致信息系統的錯誤動作或產生垃圾信息;違規篡改數據、修改系統時間、修改系統配置、違規導入或刪除信息系統的數據,可能導致各種重大采購事故的發生。有令不行、有禁不止等人為因素形成的風險,是軍隊物資采購信息安全的最大風險。

(二)系統風險。

系統風險包括系統開發風險和系統運行風險。在采購項目開發過程中沒有考慮到必要的信息系統安全設計,或安全設計存在缺陷,都會導致采辦信息系統安全免疫能力不足。沒有完善、嚴格的生產系統運行管理體制,會導致機房管理、口令管理、授權管理、用戶管理、服務器管理、網絡管理、備份管理、病毒管理等方面出現問題,輕則產生垃圾信息,重則發生系統中斷、信息被非法獲取。

當前的采購信息系統已是一個龐大的網絡化系統,在網絡內存在眾多的中小型機、服務器、前置機、路由器、終端設備,也包括數據庫、操作系統、中間件、應用系統等軟件系統。網絡系統中的任何一個環節都有可能出現故障,一旦出現故障便有可能造成系統中斷,影響業務正常運作。同時,由于自然災害、戰爭等突發事件造成的系統崩潰、數據載體不可修復性損失等等,都能夠給采購信息系統帶來很大的影響。

(三)數據風險。

數據是信息的載體,也是軍隊物資采購系統最重要的資產。對數據的存儲、處理、獲取、和共享均需要有一套完整的流程和審批制度,沒有健全的數據管理制度,便存在導致數據信息泄露的風險。

二、軍隊物資采購信息安全的內容

通過對信息安全定義的查詢,可以看到其是根據不同的環境情況各自不同的。在相對受到專業影響較小的國際標準ISOl7799信息安全標準中,信息安全是指:使信息避免一系列威脅,保障商務的連續性,盡量減少業務損失,從而最大限度地獲取投資和商務的回報。

對于軍隊物資采購系統,信息安全管理則應該堅持系統和全局的觀念,基于平戰結合、立足應急保障的思想,指導組織建立安全管理體系。通過系統、全面、科學的安全風險評估,體現“積極預防、綜合防范”的方針,強調遵守國家有關信息安全的法律法規及其他合同方要求,透過全過程和動態控制,本著控制費用與風險平衡的原則,合理選擇安全控制方式,保護組織所擁有的關鍵信息資產,使信息風險的發生概率降低到可接受的水平,確保信息的保密性、完整性和可用性,保持組織業務運作的持續性。

(一)保密性。

信息安全的保密性,在確保遵守軍隊保密守則規定的前提下,確保信息僅可讓授權獲取的相關人員訪問。結合當前的狀況,軍隊物資采購系統的信息安全保密應當做熟嚴格分崗授權制衡機制,杜絕不相容崗位兼崗現象;嚴格用戶管理和授權管理,防止非法用戶,用戶冗余和用戶授權不當;加強密碼管理,防止不設口令或者口令過于簡熟加強病毒防范管理,防范病毒損氰控制訪問信息,組織非法訪問信息系統確保對外網絡服務得到保護,陰止非法訪問網絡;檢測非法行為,防范道德風險;保證在使用移動電腦和遠程網絡設備時的信息安全,防止非法攻擊。

(二)完備性。

信息安全的完備性,是指信息準確和具備完善的處理方法。具體要求是:嚴格采購業務流程管理,確保采購業務流程與采購信息系統操作流程完備一熟嚴格控制生產系統數據修改,防止數據丟失。防止不正確修改,減少誤操作;嚴格數據管理,確保數據得到完整積累與保全,使系統數據能夠真實、完整地反映采購業務信息;嚴格按照軍隊關于物資采購規定和要求操作,減少或杜絕非標業務。避免任何違反法令、法規、合同約定及易導致業務信息與數據信息不一致、不完整的行為。

(三)可用性。

信息安全的可用性,要求確保被授權人可以獲取所需信息。具體要求是:加強生產系統運行管理,確保生產系統安全、穩定、可靠運行;加強生產機房建設與管理,保障機房工作環境所必需的濕度、溫度、電源、防火、防水、防靜電、防雷、限制進人等要求,減少安全隱患;加強生產系統日常檢查管理,及早發現故障苗頭;加強系統備份,防止數據損失;嚴格生產系統時間管理,禁止隨意修改生產系統時間;保障系統持續運標實施災難備份,防止關鍵業務處理在災難發生時受到影響。

三、軍隊物資采購信息安全管理

(一)信息安全機構。

軍隊物資采購系統應分出專人專職來負責信息安全管理工作,并協同上級業務管理單位制定信息安全管理制度和工作程序,設定安全等級,評估安全風險程度,落實防范措施方案,提出內控體系整改方案與措施,監督和評估信息安全管理成效。在與上級總部和軍區、軍兵種物油部管理機構之間還要有一個快速響應的信息安全事故收集、匯總、處理及反饋體系。

(二)信息安全管理制度與策略。

信息安全管理制度應針對軍隊物資采購系統現狀與發展方向來制定,要充分考慮可操作性。現階段可根據“積極防御、綜合防范”的方針,制定內部網、OA網、外部網的管理辦法,明確用戶的訪問權限。制定生產系統運行管理辦法。嚴格實行分崗制衡、分級授權,嚴格執行生產系統時間管理、備份管理、數據管理和口令管理。

(三)信息安全分級管理。

信息安全分級管理,是將信息資源根據重要性進行分級,對不同級別的信息資產采用不同級別信息安全保護措施,國家已將信息安全等級保護監督劃分為五個級別,分別為自主性保護、指導性保護、專控性保護。

軍隊物資采購系統可以結合實際情況,將信息資產分為“三級”或“五級”保護,目的在于突出重點,抓住關鍵,兼顧一般,合理保護。分級管理的方法是分析危險源或危險點,評估其重要性,再分設等級,從而采取不同的保護措施。比如,對于采購機構業務機房,可采取門禁與限制進入等方式進行保護;針對采購中相關數據的提供,可設計一定的審判流程,根據數據的重要程度,分為公開信息、優先共享信息、內部一般信息、內部控制信息、內部關鍵信息和內部核心信息,實施嚴格的授權控制;對于信息安全事故,可分為重大事故、一般事故、輕微事故等,采取不同的處置方案。

(四)信息安全集中監控與處置。

設立集中運行的信息安全監控處置中心,及時監控、發現安全事故,做到響應快速、處置果斷,并實施應急恢復。結合軍隊物資采購系統當前實際情況,可對網絡、服務器等運行設備進行集中監控,開展服務器容量管理、網絡流量監控;對應用系統采取防范與監控相結合的方式,對信息系統的數據設置校驗碼,防止非法修改;在開發應用系統的同時,還應開發相應的審計檢查監控程序,由各單位分別運行和維護,由上級采購管理機構定期查驗和監督,及時發現數據信息存在的風險。

四、信息安全管理系統

實現信息安全管理的集中運行,需借助信息安全管理系統。各軍隊采購機構和部門可以按照上級下達的統一標準,構建基于同一操作平臺的信息安全管理系統,幫助安全管理中心實現系統的監控、分析、預警等功能,實現信息安全事故處理的收集、存儲、分析等功能,及時對信息風險作出反饋。

(一)監控功能。

為采辦機構和部門的相關信息處理和傳輸設備配置專人管理,并設置機房日志管理、服務器性能日志管理、服務器容量日志管理、數據修改日志管理、流量監控日志等功能,酌情設置數據檢測結果日志管理功能。通過對存儲、傳輸和刪改的操作進行管理,達到監督控制的目的。

(二)處理功能.

根據采辦單位所在環境和情況,自主設置安全事故報告、響應、處置等采辦信息管理功能,對于高級別信息,也可以采用每天零報告措施。通過信息處理的簡化、優化和快速反應,提高信息安全保障能力,從而保證軍隊采購的正常進行。

(三)安全等級管理功能。

針對采辦單位自身特點,設置信息資產、危險源、危險點定義與分級功能,對于不同級別的信息安全危機設定不同的保護等級,并采取不同的保護措施、監控措施、事故響應與處置措施,保證系統的穩定性和完好性。

篇10

關鍵詞:等級保護分級管理;中小型網絡;安全建設

中圖分類號:TP309文獻標識碼:A文章編號:1007-9599 (2011) 24-0000-01

SMs Network Security Building Analysis in Level Protection Hierarchical Management

Xu Aihua,Lv Yun

(Nanjing Institute of Science& Technology Information,Nanjing 210018)

Abstract:This article based on "communications network security management approach"in the basic situation of small and medium sized networks and applications based on the analysis of the characteristics on small and medium sized network construction and management of network security solutions.

Keywords:Level protection classification management;Small network;

Security building

一、工信部關于等級保護分級管理的要求

如何利用等級保護中分級管理制度,確定不同的系統不同的安全策略,消除內部網向公網傳送的信息可能被他人竊聽或篡改等等安全隱患,對中小網絡而言至關重要。為此,自2010年3月1日起,工業和信息化部了《通信網絡安全防護管理辦法》(以下簡稱《辦法》)開始施行。《辦法》要求通信網絡運行單位應按照各通信網絡單元遭到破壞后可能造成的危害程度,將本單位已正式投入運行的通信網絡單元由低到高分別劃分為一級、二級、三級、四級、五級。《辦法》要求,通信網絡運行單位應當在通信網絡定級評審通過后三十日內,將通信網絡單元的劃分和定級情況按照有關規定向電信管理機構備案。電信管理機構對通信網絡運行單位開展通信網絡安全防護工作的情況進行檢查。

二、中小型網絡基本情況與應用特點

中小型計算機網絡主要應用于辦公自動化系統、信息查詢系統、郵件服務、財務、人事、計劃系統等實際工作和WWW應用中。根據中小型計算機網絡的應用特點,需要保證網絡中的數據具有可用性、可靠性、保密性、完整性、安全性等。又由于計算機網絡跨越公共網絡及與Internet網互聯,這就給計算機網絡帶來嚴峻的安全問題,如敏感信息的泄露、黑客的侵擾、網絡資源的非法使用以及計算機病毒等。這些安全問題如果得不到解決,那將會給計算機網絡帶來嚴重的安全隱患。所謂可用性是指網絡信息可被授權用戶訪問的特性,即網絡信息服務在需要時,能夠保證授權用戶使用。可靠性是指網絡系統硬件和軟件無故障運行的性能,是網絡系統安全最基本的要求;保密性是指網絡信息不被泄露的特性,保密性是保證信息即使泄露,非授權用戶在有限的時間內也不能識別真正的信息內容;完整性即網絡信息在存儲和傳輸過程中不被刪除、修改、偽造、亂序、重放和插入等操作,是指網絡信息未經授權不能進行改變的特性,也稱作不可否認性。從技術角度看,網絡安全的內容大體包括四個方面,即:網絡實體安全、軟件安全網絡數據安全和網絡安全管理。由此可見,計算機網絡安全不僅要保護計算機網絡設備安全,還要保護數據安全。因此實施網絡安全保護方案,目的是以保證算機網絡自身的安全。

三、中小型網絡安全解決方案

隨著網絡威脅越來越普遍、破壞性越來越嚴重,網絡入侵者攻擊來源廣泛,形式多樣。通常采用信息收集、探測分析系統的安全弱點和實施攻擊有步驟地進行入侵。如在目標系統安裝木馬程序用來窺探目標,網絡所熟悉的病毒,如紅色代碼、沖擊波,口令蠕蟲等對網絡造成了巨大損失。本文按照安全風險、需求分析結果、安全目標及安全設計原則,為中小型計算機網絡解決網絡安全問題,力求構建一個適合于中小型計算機網絡的安全體系。

(一)外網安全設計

1.防火墻系統:采用防火墻系統實現對內部網和廣域網進行隔離保護。對內部網絡中服務器子網通過單獨的防火墻設備進行保護。

2.入侵檢測系統:采用入侵檢測設備,作為防火墻的功能互補,提供對監控網段的攻擊的實時報警和積極響應。

3.病毒防護系統:強化病毒防護系統的應用策略和管理策略,增強病毒防護有效性。

4.垃圾郵件過濾系統:過濾郵件,阻止垃圾郵件及病毒郵件的入侵。

(二)內網安全設計

采用訪問控制策略,通過密碼、口令(不定期修改、定期保存密碼與口令)等禁止非授權用戶對服務器的訪問,以及對辦公自動化平臺、的訪問和管理、用戶身份真實性的驗證、內部用戶訪問權限設置、ARP病毒的防御、數據完整、審計記錄、防病毒入侵。對內部采用:網絡管理軟件系統:使網管人員對網絡中的實時數據流量情況能夠清晰了解。掌握整個網絡使用流量的平均標準,定位網絡流量的基線,及時發現網絡是否出現異常流量并控制帶寬。

具體可采用Juniper的整合式安全設備+三層交換機的配置方案。Juniper的整合式安全設備專為互聯網網絡安全而設,將硬件狀態防火墻、虛擬專用網(IP sec VPN)、入侵防護(IPS)和流量管理等多種安全功能集于一體,可以通過內置的Web UI、命令行界面或中央管理方案進行統一管理。

三層交換機具用于日志審計及監控。根據不同用戶安全級別或者根據不同部門的安全訪問需求,網絡利用三層交換機來劃分虛擬子網(VLAN)。因為三層交換機具有路由功能,在沒有配置路由的情況下,不同虛擬子網間是不能夠互相訪問,同時通過在不同VLAN間做限制來實現不同資源的訪問控制。通過虛擬子網的劃分,既方便局域網絡的互聯,又能夠實現訪問控制。

四、結束語

總之,我們必須不斷強化信息安全觀念,加強網絡與信息系統安全保障工作的檢查和監督,充分利用《通信網絡安全防護管理辦法》關于安全等級劃分的要求制定具體的信息安全防護策略,全面落實各項制度、預案,加強技術積累,定期進行網絡漏洞掃描等安全有效措施,切實加強網絡與信息系統安全保障工作,確保中小型網絡信息系統的安全穩定運行。

參考文獻: