前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的安全等級(jí)保護(hù)管理辦法主題范文,僅供參考,歡迎閱讀并收藏。
根據(jù)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[200]27號(hào))、《北京市政務(wù)與公共服務(wù)信息化工程建設(shè)管理辦法》(市政府第67號(hào)令)、《北京市信息化工作領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的實(shí)施意見》(京辦發(fā)[200]3號(hào))以及其他有關(guān)法律、法規(guī)的規(guī)定,結(jié)合本市實(shí)際情況,現(xiàn)就本市黨政機(jī)關(guān)開展網(wǎng)絡(luò)與信息系統(tǒng)安全等級(jí)保護(hù)工作的有關(guān)要求通知如下:
一、充分認(rèn)識(shí)開展安全等級(jí)保護(hù)工作的重要意義
為進(jìn)一步提高信息安全保障能力和防護(hù)水平,維護(hù)國家安全、社會(huì)穩(wěn)定,保障和促進(jìn)信息化建設(shè)的健康發(fā)展,國務(wù)院在全面分析全國信息安全保障工作形勢(shì)的基礎(chǔ)上,針對(duì)存在問題,明確指示要抓緊建立信息安全等級(jí)保護(hù)制度,制定信息安全等級(jí)保護(hù)管理辦法和技術(shù)指南,突出重點(diǎn),切實(shí)保護(hù)好基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)。國務(wù)院的指示對(duì)于加強(qiáng)信息安全保障工作十分重要,我市要認(rèn)真貫徹執(zhí)行。
開展安全等級(jí)保護(hù)工作就是依據(jù)網(wǎng)絡(luò)與信息系統(tǒng)的重要程度和面臨的安全風(fēng)險(xiǎn)等因素,綜合平衡安全成本和風(fēng)險(xiǎn),劃分系統(tǒng)的安全等級(jí),優(yōu)化資源配置,進(jìn)行建設(shè)和管理。
開展安全等級(jí)保護(hù)工作是關(guān)系到信息化建設(shè)全局的重要舉措,是做好信息安全保障工作基本思路,是網(wǎng)絡(luò)與信息系統(tǒng)基礎(chǔ)設(shè)施建設(shè)的重要內(nèi)容,是一個(gè)非靜止、非僵化的系統(tǒng)工程。切實(shí)做好安全等級(jí)保護(hù)工作,建立安全等級(jí)保護(hù)制度,能夠使我市的網(wǎng)絡(luò)與信息系統(tǒng)防護(hù)水平從“獨(dú)立運(yùn)行、自主保護(hù)”的狀況盡快過渡到“統(tǒng)一管理平臺(tái)、統(tǒng)一安全標(biāo)準(zhǔn)”的階段;能夠有效地提高網(wǎng)絡(luò)與信息系統(tǒng)安全建設(shè)的整體水平,增強(qiáng)使用效益;能夠使信息安全與信息化建設(shè)協(xié)調(diào)發(fā)展,減少建設(shè)成本;重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)的安全;能夠明確國家、法人和其他組織、公民的信息安全責(zé)任;能夠有力推動(dòng)信息安全產(chǎn)業(yè)發(fā)展,探索一套適應(yīng)社會(huì)主義市場(chǎng)經(jīng)濟(jì)發(fā)展的信息安全發(fā)展模式。同時(shí),開展安全等級(jí)保護(hù)工作也是加速首都現(xiàn)代化建設(shè)和成功舉辦2008年奧運(yùn)會(huì)的迫切需要。
二、加強(qiáng)對(duì)安全等級(jí)保護(hù)工作的指導(dǎo)和管理
在北京市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組的統(tǒng)一領(lǐng)導(dǎo)下,市信息辦會(huì)同有關(guān)部門負(fù)責(zé)本市黨政機(jī)關(guān)網(wǎng)絡(luò)與信息系統(tǒng)安全等級(jí)保護(hù)的統(tǒng)籌規(guī)劃、綜合協(xié)調(diào)和監(jiān)督檢查,并對(duì)重要網(wǎng)絡(luò)與信息系統(tǒng)的安全等級(jí)保護(hù)定期進(jìn)行檢查指導(dǎo),并定期通報(bào)。
各區(qū)縣信息化主管部門會(huì)同有關(guān)部門負(fù)責(zé)本區(qū)縣黨政機(jī)關(guān)網(wǎng)絡(luò)與信息系統(tǒng)安全等級(jí)保護(hù)的統(tǒng)籌規(guī)劃、綜合協(xié)調(diào)和監(jiān)督檢查。
本市各級(jí)黨政機(jī)關(guān)負(fù)責(zé)本單位網(wǎng)絡(luò)與信息系統(tǒng)安全等級(jí)保護(hù)的組織實(shí)施。
涉及到國家秘密的網(wǎng)絡(luò)與信息系統(tǒng)按照國家和本市有關(guān)保密規(guī)定執(zhí)行。
北京市信息安全測(cè)評(píng)中心負(fù)責(zé)本市各級(jí)黨政機(jī)關(guān)重要網(wǎng)絡(luò)與信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)過程中的檢查評(píng)估和驗(yàn)收的安全測(cè)評(píng)。
各單位在自定級(jí)過程中,可以委托專業(yè)信息安全服務(wù)機(jī)構(gòu)協(xié)助完成,市信息辦將定期公布通過信息安全服務(wù)能力評(píng)估的機(jī)構(gòu)目錄。
三、開展安全等級(jí)保護(hù)工作的實(shí)施計(jì)劃
本市各級(jí)黨政機(jī)關(guān)網(wǎng)絡(luò)與信息系統(tǒng)均要開展安全等級(jí)保護(hù)工作。新建和已建成但未正式運(yùn)行的網(wǎng)絡(luò)與信息系統(tǒng)要按照安全等級(jí)保護(hù)制度的有關(guān)要求進(jìn)行建設(shè);已經(jīng)正式運(yùn)行的網(wǎng)絡(luò)與信息系統(tǒng)要按計(jì)劃逐步納入安全等級(jí)保護(hù)制度;網(wǎng)絡(luò)與信息系統(tǒng)結(jié)構(gòu)和功能等要素發(fā)生變化,要及時(shí)重新進(jìn)行風(fēng)險(xiǎn)評(píng)估、安全定級(jí)和檢測(cè)評(píng)估。各單位均應(yīng)根據(jù)所核定的安全等級(jí)進(jìn)行使用和管理。主要職責(zé)是:落實(shí)相應(yīng)的管理制度和技術(shù)保護(hù)要求,組織管理人員和技術(shù)人員進(jìn)行安全教育培訓(xùn);適時(shí)進(jìn)行安全應(yīng)急預(yù)案的演練;定期組織自評(píng)估,保持系統(tǒng)良好的安全狀態(tài);認(rèn)真履行信息安全等級(jí)管理職責(zé),協(xié)助主管部門做好網(wǎng)絡(luò)與信息系統(tǒng)的安全等級(jí)保護(hù)檢查工作。
安全等級(jí)保護(hù)是一項(xiàng)基礎(chǔ)性、長(zhǎng)期性的工作,各單位均要將其作為一項(xiàng)重要內(nèi)容納入整個(gè)信息化建設(shè)過程的始終,切實(shí)抓好落實(shí)工作。在全市黨政機(jī)關(guān)建立網(wǎng)絡(luò)與信息系統(tǒng)的安全等級(jí)保護(hù)制度,計(jì)劃用三年時(shí)間,分為四個(gè)步驟。
準(zhǔn)備階段:200年6月底完成。主要做好以下工作:明確主管部門、專業(yè)技術(shù)支撐單位和使用單位的職責(zé)、權(quán)利和義務(wù),理順關(guān)系,建立協(xié)調(diào)配合和管理的運(yùn)行機(jī)制;依照國家有關(guān)法規(guī),制定、完善安全等級(jí)保護(hù)工作的相關(guān)的配套文件;廣泛開展宣傳教育工作,組織培訓(xùn),特別是對(duì)監(jiān)管隊(duì)伍和專業(yè)技術(shù)支撐單位人員的培訓(xùn),在思想認(rèn)識(shí)、政策理論、管理和技術(shù)等方面作好充足準(zhǔn)備。
試行階段:200年底前完成。在前期準(zhǔn)備的基礎(chǔ)上,全面展開建立安全等級(jí)保護(hù)制度的工作。工作內(nèi)容包括:自定級(jí)、備案、建設(shè)整改、檢查評(píng)估。其中,200年9月底前,各單位要完成自身網(wǎng)絡(luò)與信息系統(tǒng)的自定級(jí)工作;200年10月底前,各單位要完成3級(jí)以上的網(wǎng)絡(luò)與信息系統(tǒng)向市信息辦備案工作;200年6月底前,各單位要完成對(duì)正在運(yùn)行的3級(jí)以上的網(wǎng)絡(luò)與信息系統(tǒng)的整改工作;200年12月底前,完成對(duì)本市部分重要網(wǎng)絡(luò)與信息系統(tǒng)的檢查評(píng)估工作。
完善階段:200年12月底前完成。其中,200年6月底前完成本市黨政機(jī)關(guān)開展安全等級(jí)保護(hù)的總結(jié)工作、相關(guān)配套文件的修訂工作和信息安全測(cè)評(píng)基礎(chǔ)設(shè)施能力建設(shè)工作;200年12月底前,完成本市重要網(wǎng)絡(luò)與信息系統(tǒng)的檢查評(píng)估工作。
正常階段:200年開始,全市各級(jí)黨政機(jī)關(guān)全面推行網(wǎng)絡(luò)與信息系統(tǒng)安全等級(jí)保護(hù)制度,轉(zhuǎn)入經(jīng)常性工作。各單位每年應(yīng)對(duì)其自身的網(wǎng)絡(luò)與信息系統(tǒng)進(jìn)行一次自評(píng)估;市信息辦每?jī)赡陮?duì)本市各級(jí)黨政機(jī)關(guān)重要網(wǎng)絡(luò)與信息系統(tǒng)進(jìn)行一次檢查評(píng)估。
各單位要認(rèn)真執(zhí)行安全等級(jí)保護(hù)的有關(guān)規(guī)定,認(rèn)真落實(shí)安全等級(jí)保護(hù)制度,自覺接受主管部門的檢查指導(dǎo),切實(shí)做好信息安全保障工作。
四、堅(jiān)決落實(shí)安全等級(jí)保護(hù)工作的各項(xiàng)措施
各單位要認(rèn)真貫徹執(zhí)行國家和本市關(guān)于信息化建設(shè)和信息安全保障工作的一系列指示、要求和規(guī)定,切實(shí)保證信息安全等級(jí)保護(hù)工作的順利開展。
(一)各單位在立項(xiàng)前對(duì)其網(wǎng)絡(luò)與信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估,依據(jù)《北京市黨政機(jī)關(guān)網(wǎng)絡(luò)與信息系統(tǒng)安全定級(jí)指南》(見附件)自行確定安全等級(jí)。3級(jí)以上網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)填寫《北京市黨政機(jī)關(guān)網(wǎng)絡(luò)與信息信息安全定級(jí)備案(審查)表》,報(bào)市信息化主管部門審查。未經(jīng)審查的,依據(jù)北京市人民政府第67號(hào)令《北京市政務(wù)與公共服務(wù)信息化工程建設(shè)管理辦法》第八條規(guī)定,主管部門不予批準(zhǔn)立項(xiàng),財(cái)政部門不予撥款。
(二)在信息化項(xiàng)目預(yù)算時(shí),各單位要按照等級(jí)保護(hù)的要求將安全等級(jí)保護(hù)的各項(xiàng)費(fèi)用(風(fēng)險(xiǎn)評(píng)估、方案設(shè)計(jì)、工程實(shí)施、測(cè)評(píng)驗(yàn)收、工程監(jiān)理等)列入項(xiàng)目預(yù)算;在網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行后,也要按照安全等級(jí)保護(hù)的要求將相關(guān)費(fèi)用列入系統(tǒng)運(yùn)行維護(hù)費(fèi)。
(三)各單位的重要網(wǎng)絡(luò)與信息系統(tǒng)在正式投入運(yùn)行前應(yīng)依據(jù)北京市人民政府第67號(hào)令《北京市政務(wù)與公共服務(wù)信息化工程建設(shè)管理辦法》第十三條規(guī)定,經(jīng)過安全測(cè)評(píng)認(rèn)證,未經(jīng)測(cè)評(píng)認(rèn)證的,不得投入運(yùn)行。
(四)北京信息安全測(cè)評(píng)中心在測(cè)評(píng)過程中必須堅(jiān)持客觀公正、實(shí)事求是的原則,出具真實(shí)的測(cè)評(píng)報(bào)告,市信息辦對(duì)安全等級(jí)保護(hù)測(cè)評(píng)活動(dòng)進(jìn)行監(jiān)督管理,對(duì)違反上述原則,出具虛假報(bào)告等行為的將追究有關(guān)領(lǐng)導(dǎo)和責(zé)任人的責(zé)任;情節(jié)嚴(yán)重構(gòu)成犯罪的,由有關(guān)部門追究其法律責(zé)任。
(五)專業(yè)信息安全服務(wù)機(jī)構(gòu)為本市各級(jí)黨政機(jī)關(guān)提供信息安全服務(wù)應(yīng)符合國家和本市的有關(guān)規(guī)定,北京信息安全測(cè)評(píng)中心應(yīng)定期了解為本市各級(jí)黨政機(jī)關(guān)提供信息安全服務(wù)機(jī)構(gòu)的有關(guān)情況、征求用戶意見,對(duì)有問題的單位提出建議和警告,問題嚴(yán)重的應(yīng)取消其信息安全服務(wù)能力等級(jí)證書并予以公布。
(六)市信息辦加強(qiáng)對(duì)安全等級(jí)保護(hù)工作的指導(dǎo)和監(jiān)督檢查。對(duì)違反有關(guān)規(guī)定的,要及時(shí)進(jìn)行糾正;情節(jié)嚴(yán)重并造成重大損失的,由其上級(jí)主管部門依照有關(guān)規(guī)定追究單位負(fù)責(zé)人和有關(guān)人員的行政責(zé)任。構(gòu)成犯罪的,由有關(guān)部門追究其法律責(zé)任。
五、切實(shí)加強(qiáng)對(duì)安全等級(jí)保護(hù)工作的組織領(lǐng)導(dǎo)
【 關(guān)鍵詞 】 等級(jí)保護(hù);等級(jí)測(cè)評(píng);質(zhì)量控制
1 引言
近年來,隨著等級(jí)保護(hù)工作的深入開展,我國相繼出臺(tái)了一系列等級(jí)保護(hù)法律法規(guī)體系和標(biāo)準(zhǔn)規(guī)范體系,中國石化根據(jù)國家等級(jí)保護(hù)政策和技術(shù)標(biāo)準(zhǔn),結(jié)合企業(yè)特點(diǎn),在不低于國家標(biāo)準(zhǔn)的基礎(chǔ)上,編寫了企業(yè)行業(yè)標(biāo)準(zhǔn),形成了企業(yè)等級(jí)保護(hù)標(biāo)準(zhǔn)體系。對(duì)等級(jí)保護(hù)五個(gè)基本動(dòng)作(信息系統(tǒng)定級(jí)、備案、安全建設(shè)整改、等級(jí)測(cè)評(píng)、安全檢查環(huán)節(jié))進(jìn)行了針對(duì)性指導(dǎo)。其中《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》、《 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南》、《信息系統(tǒng)安全管理測(cè)評(píng)》 、《中國石化集團(tuán)信息系統(tǒng)安全等級(jí)保護(hù)管理辦法》等技術(shù)標(biāo)準(zhǔn),對(duì)等級(jí)測(cè)評(píng)的主要原則和主要內(nèi)容,測(cè)評(píng)基本流程、過程分類、記錄文檔、測(cè)評(píng)報(bào)告等進(jìn)行了具體規(guī)范。就目前研究成果來看,我國還沒有形成以等級(jí)測(cè)評(píng)為主體的質(zhì)量管理體系與技術(shù)標(biāo)準(zhǔn),缺乏針對(duì)等級(jí)測(cè)評(píng)活動(dòng)質(zhì)量控制的方法研究。本文從研究《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《中國石化集團(tuán)信息安全等級(jí)保護(hù)基本要求》、《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》、《 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南》等管理規(guī)范和技術(shù)標(biāo)準(zhǔn)入手,對(duì)等級(jí)測(cè)評(píng)活動(dòng)的質(zhì)量控制進(jìn)行分析,提出了相應(yīng)的工作方法和控制措施,基本滿足了等級(jí)測(cè)評(píng)活動(dòng)公正性、客觀性和保密性對(duì)質(zhì)量控制的需求。
2 等級(jí)測(cè)評(píng)活動(dòng)的質(zhì)量控制需求
等級(jí)測(cè)評(píng)活動(dòng)是測(cè)評(píng)機(jī)構(gòu)依據(jù)等級(jí)保護(hù)相關(guān)的政策法規(guī)、管理規(guī)范和技術(shù)標(biāo)準(zhǔn),檢測(cè)評(píng)估信息系統(tǒng)安全等級(jí)保護(hù)狀況是否達(dá)到相應(yīng)等級(jí)基本要求的過程,為石化行業(yè)等單位進(jìn)行信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)整改和國家監(jiān)管部門依法行政管理提供決策依據(jù),是落實(shí)信息安全等級(jí)保護(hù)制度的重要環(huán)節(jié)。等級(jí)測(cè)評(píng)活動(dòng)不同于一般的風(fēng)險(xiǎn)評(píng)估和安全評(píng)價(jià),是政策性、專業(yè)性很強(qiáng)的技術(shù)活動(dòng)。對(duì)等級(jí)測(cè)評(píng)活動(dòng)實(shí)施質(zhì)量控制的目的,就是建立和完善等級(jí)測(cè)評(píng)質(zhì)量管理體系,通過質(zhì)量方針目標(biāo)、管理制度、控制程序等系列管理措施,對(duì)等級(jí)測(cè)評(píng)活動(dòng)實(shí)施全過程實(shí)施質(zhì)量控制,保證測(cè)評(píng)活動(dòng)中引用的政策法規(guī)、技術(shù)標(biāo)準(zhǔn)正確,測(cè)評(píng)方法科學(xué),測(cè)評(píng)過程可控,測(cè)評(píng)行為規(guī)范,測(cè)評(píng)結(jié)論客觀真實(shí)。要求等級(jí)測(cè)評(píng)人員在測(cè)評(píng)活動(dòng)中,不但要正確理解和把握等級(jí)保護(hù)相關(guān)的政策法規(guī)、管理規(guī)范和技術(shù)標(biāo)準(zhǔn),保證等級(jí)測(cè)評(píng)過程的合規(guī)性,還要通過職業(yè)道德規(guī)范教育和測(cè)評(píng)行為約束,保證等級(jí)測(cè)評(píng)結(jié)論的公正性、客觀性。
3 等級(jí)測(cè)評(píng)機(jī)構(gòu)的質(zhì)量管理體系結(jié)構(gòu)
等級(jí)保護(hù)政策法規(guī)、管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對(duì)等級(jí)測(cè)評(píng)的原則、內(nèi)容、過程、方法以及測(cè)評(píng)強(qiáng)度的要求,體現(xiàn)了對(duì)等級(jí)測(cè)評(píng)活動(dòng)實(shí)施質(zhì)量控制的思想?!缎畔踩燃?jí)測(cè)評(píng)機(jī)構(gòu)能力要求》要求等級(jí)測(cè)評(píng)機(jī)構(gòu)建立、實(shí)施和維護(hù)符合等級(jí)測(cè)評(píng)工作需要的文件化的質(zhì)量管理體系。要求體系文件以制度、手冊(cè)、程序等形式執(zhí)行,并應(yīng)建立執(zhí)行記錄,為等級(jí)測(cè)評(píng)活動(dòng)質(zhì)量控制提出了基礎(chǔ)框架結(jié)構(gòu)。
等級(jí)測(cè)評(píng)機(jī)構(gòu)的質(zhì)量管理體系結(jié)構(gòu)和控制措施主要包括四個(gè)層次的內(nèi)容。
第一層指導(dǎo)性文件:依據(jù)等級(jí)保護(hù)政策法規(guī)體系、技術(shù)標(biāo)準(zhǔn)體系和等級(jí)測(cè)評(píng)機(jī)構(gòu)能力要求,制定等級(jí)測(cè)評(píng)機(jī)構(gòu)質(zhì)量管理體系,確立質(zhì)量方針和工作目標(biāo),指導(dǎo)測(cè)評(píng)活動(dòng)。
第二層控制性文件:根據(jù)測(cè)評(píng)活動(dòng)要求,建立保密管理制度、項(xiàng)目管理制度、質(zhì)量管理制度、人員管理制度、教育培訓(xùn)制度、設(shè)備管理制度、申訴、投訴和爭(zhēng)議管理制度等,對(duì)等級(jí)測(cè)評(píng)活動(dòng)管理目標(biāo)進(jìn)行控制。
第三層操作性文件:依據(jù)等級(jí)測(cè)評(píng)管理目標(biāo),建立和完善相應(yīng)的《合同評(píng)審控制程序》、《文件記錄控制程序》 、《管理評(píng)審控制程序》、《技術(shù)評(píng)審控制程序》、《測(cè)評(píng)設(shè)備控制程序》、《測(cè)評(píng)過程控制程序》、《風(fēng)險(xiǎn)控制程序》、《保密控制程序》、《人力資源管理與教育培訓(xùn)程序》、《糾正和預(yù)防措施控制程序》、《申訴、投訴及爭(zhēng)議處理控制程序》、《客戶滿意度管理程序》等操作性文件,對(duì)等級(jí)測(cè)評(píng)活動(dòng)過程和環(huán)節(jié)進(jìn)行控制。
第四層保證性文件:建立健全各項(xiàng)質(zhì)量記錄表單,制定測(cè)評(píng)機(jī)構(gòu)禁止行為和測(cè)評(píng)人員職業(yè)道德規(guī)范,對(duì)等級(jí)測(cè)評(píng)結(jié)論的公正性、客觀性、保密性進(jìn)行控制。
4 等保測(cè)評(píng)過程中的質(zhì)量控制
《 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南》將等級(jí)測(cè)評(píng)過程劃分為測(cè)評(píng)準(zhǔn)備、方案編制、現(xiàn)場(chǎng)測(cè)評(píng)、分析與報(bào)告編制四個(gè)活動(dòng)階段。測(cè)評(píng)過程質(zhì)量控制強(qiáng)度與質(zhì)量管理體系各要素之間的關(guān)系如表1所示。
4.1 測(cè)評(píng)準(zhǔn)備活動(dòng)的質(zhì)量控制
4.1.1 項(xiàng)目啟動(dòng)活動(dòng)的質(zhì)量控制
依據(jù)《合同評(píng)審控制程序》組織有關(guān)管理、技術(shù)人員和法律顧問召開合同評(píng)審會(huì)議,對(duì)測(cè)評(píng)雙方需要簽訂的委托協(xié)議或合同書進(jìn)行評(píng)審。根據(jù)雙方簽訂的委托協(xié)議或合同書,組建等級(jí)測(cè)評(píng)項(xiàng)目組,按照測(cè)評(píng)活動(dòng)實(shí)際要求進(jìn)行人員、設(shè)備、資金等資源配置。項(xiàng)目組設(shè)置質(zhì)量管理和技術(shù)管理部門,明確責(zé)任權(quán)限,以滿足測(cè)評(píng)活動(dòng)的技術(shù)和質(zhì)量管理要求。
依據(jù)《 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南》和《測(cè)評(píng)過程控制程序》編制《項(xiàng)目計(jì)劃書》。
4.1.2 信息收集和分析活動(dòng)的質(zhì)量控制
依據(jù)《測(cè)評(píng)過程控制程序》編制《基本情況調(diào)查表》,收集和分析被測(cè)信息系統(tǒng)等級(jí)測(cè)評(píng)需要的各種資料,包括各種方針文件、規(guī)章制度及相關(guān)過程管理記錄、被測(cè)系統(tǒng)總體描述文件、詳細(xì)描述文件、安全保護(hù)等級(jí)定級(jí)報(bào)告、安全需求分析報(bào)告、安全總體方案、安全現(xiàn)狀評(píng)價(jià)報(bào)告、安全詳細(xì)設(shè)計(jì)方案、用戶指南、運(yùn)行步驟、網(wǎng)絡(luò)圖表、配置管理文檔等。通過現(xiàn)場(chǎng)調(diào)查和工作交流等方式詳細(xì)了解被測(cè)系統(tǒng)狀況,明確等級(jí)測(cè)評(píng)的工作流程及可能帶來的風(fēng)險(xiǎn)和規(guī)避方法,為編制等級(jí)測(cè)評(píng)實(shí)施方案做好準(zhǔn)備。
4.1.3 工具和表單準(zhǔn)備活動(dòng)的質(zhì)量控制
測(cè)評(píng)人員依據(jù)《測(cè)評(píng)過程控制程序》要求,搭建模擬系統(tǒng)測(cè)試環(huán)境,按照測(cè)評(píng)機(jī)構(gòu)《測(cè)評(píng)設(shè)備控制程序》調(diào)試各種必備的測(cè)試工具,并按照《文件記錄控制程序》準(zhǔn)備現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書、文檔交接單、會(huì)議記錄表單、會(huì)議簽到表等表單。
4.2 方案編制活動(dòng)的質(zhì)量控制
4.2.1 測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)、測(cè)試工具接入點(diǎn)、測(cè)評(píng)內(nèi)容的質(zhì)量控制
測(cè)評(píng)人員根據(jù)已經(jīng)了解到的被測(cè)系統(tǒng)信息,按照《測(cè)評(píng)過程控制程序》規(guī)定的方法和步驟,分析整個(gè)被測(cè)系統(tǒng)及其涉及的業(yè)務(wù)應(yīng)用系統(tǒng),確定出本次測(cè)評(píng)活動(dòng)的測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)、測(cè)試工具接入點(diǎn)、測(cè)評(píng)內(nèi)容等,并以表單的形式進(jìn)行具體描述。
4.2.2 測(cè)評(píng)指導(dǎo)書開發(fā)、測(cè)評(píng)方案編制的質(zhì)量控制
測(cè)評(píng)人員按照《測(cè)評(píng)過程控制程序》要求和測(cè)評(píng)活動(dòng)內(nèi)容開發(fā)測(cè)評(píng)指導(dǎo)書、編制等級(jí)測(cè)評(píng)實(shí)施方案。
測(cè)評(píng)指導(dǎo)書由測(cè)評(píng)機(jī)構(gòu)按照《技術(shù)評(píng)審程序》進(jìn)行技術(shù)評(píng)審,評(píng)審合格后項(xiàng)目技術(shù)主管簽字,并按照控制范圍分發(fā)、管理。
等級(jí)測(cè)評(píng)實(shí)施方案由項(xiàng)目經(jīng)理按照《技術(shù)評(píng)審程序》組織雙方測(cè)評(píng)人員和專家小組成員進(jìn)行技術(shù)評(píng)審,評(píng)審合格的等級(jí)測(cè)評(píng)實(shí)施方案,提交石化單位代表簽字確認(rèn),按照《文件記錄控制程序》、《保密控制程序》進(jìn)行和管理。
4.3 現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)的質(zhì)量控制
4.3.1 進(jìn)場(chǎng)前的準(zhǔn)備活動(dòng)的質(zhì)量控制
按照《測(cè)評(píng)過程控制程序》要求組織召開首次測(cè)評(píng)會(huì)議,測(cè)評(píng)雙方人員溝通等級(jí)測(cè)評(píng)實(shí)施方案,簽署現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書,做好現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備。
4.3.2 現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄、結(jié)果確認(rèn)活動(dòng)的質(zhì)量控制
測(cè)評(píng)人員進(jìn)入測(cè)評(píng)現(xiàn)場(chǎng)測(cè)評(píng)時(shí),按照《測(cè)評(píng)過程控制程序》填寫《現(xiàn)場(chǎng)測(cè)評(píng)登記表》,詳細(xì)填寫出入現(xiàn)場(chǎng)時(shí)間、測(cè)評(píng)工作內(nèi)容、測(cè)評(píng)前后的信息系統(tǒng)安全狀況,并由石化單位配合人員現(xiàn)場(chǎng)簽字確認(rèn)。
嚴(yán)格按照測(cè)評(píng)指導(dǎo)書和等級(jí)測(cè)評(píng)實(shí)施方案確定的過程和方法進(jìn)行現(xiàn)場(chǎng)測(cè)評(píng),通過人員訪談、文檔審查、配置檢查、工具測(cè)試和實(shí)地察看等方法,測(cè)評(píng)被測(cè)系統(tǒng)的保護(hù)措施情況,獲取現(xiàn)場(chǎng)測(cè)評(píng)證據(jù),并按照《文件記錄控制程序》要求填寫《現(xiàn)場(chǎng)測(cè)評(píng)記錄表》。
現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)中,及時(shí)匯總現(xiàn)場(chǎng)測(cè)評(píng)記錄和發(fā)現(xiàn)的問題,對(duì)遺漏和需要進(jìn)一步驗(yàn)證的內(nèi)容實(shí)施補(bǔ)充測(cè)評(píng),測(cè)評(píng)記錄由測(cè)評(píng)雙方測(cè)評(píng)人員現(xiàn)場(chǎng)簽字確認(rèn)。
現(xiàn)場(chǎng)測(cè)評(píng)完成后,測(cè)評(píng)雙方人員召開現(xiàn)場(chǎng)測(cè)評(píng)結(jié)束會(huì),對(duì)現(xiàn)場(chǎng)測(cè)評(píng)工作進(jìn)行小結(jié),將現(xiàn)場(chǎng)測(cè)評(píng)中發(fā)現(xiàn)的問題形成書面報(bào)告,并由雙方代表簽字確認(rèn)。
現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)中產(chǎn)生的所有現(xiàn)場(chǎng)測(cè)評(píng)結(jié)果記錄以及石化單位提供的信息資料,均按照《文件記錄控制程序》、《保密控制程序》進(jìn)行管理,嚴(yán)格限制他們的知曉和使用范圍。
4.4 分析與報(bào)告編制活動(dòng)的質(zhì)量控制
4.4.1 測(cè)評(píng)結(jié)果判定、整體測(cè)評(píng)、風(fēng)險(xiǎn)分析、等級(jí)測(cè)評(píng)結(jié)論形成的的質(zhì)量控制
測(cè)評(píng)人員依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《中國石化集團(tuán)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《信息系統(tǒng)安全管理要求》、《信息系統(tǒng)通用安全技術(shù)要求》等相關(guān)技術(shù)標(biāo)準(zhǔn),按照《測(cè)評(píng)過程控制程序》規(guī)定的方法、步驟,對(duì)測(cè)評(píng)指標(biāo)中的每個(gè)測(cè)評(píng)項(xiàng)測(cè)評(píng)記錄,進(jìn)行客觀、準(zhǔn)確地分析,形成初步單項(xiàng)測(cè)評(píng)結(jié)果,并以表單形式給出。按照《測(cè)評(píng)過程控制程序》要求匯總單項(xiàng)測(cè)評(píng)結(jié)果,分別統(tǒng)計(jì)不同測(cè)評(píng)對(duì)象的單項(xiàng)測(cè)評(píng)結(jié)果,從而判定單元測(cè)評(píng)結(jié)果,并以表格的形式逐一列出。測(cè)評(píng)人員針對(duì)單項(xiàng)測(cè)評(píng)結(jié)果的不符合項(xiàng),采取逐條判定和優(yōu)勢(shì)證據(jù)的方法,從安全控制間、層面間和區(qū)域間出發(fā),對(duì)系統(tǒng)結(jié)構(gòu)進(jìn)行整體安全測(cè)評(píng),給出整體測(cè)評(píng)的具體結(jié)果。采用風(fēng)險(xiǎn)分析的方法分析等級(jí)測(cè)評(píng)結(jié)果中存在的安全問題及可能對(duì)被測(cè)系統(tǒng)安全造成的影響。在此基礎(chǔ)上,找出系統(tǒng)保護(hù)現(xiàn)狀與等級(jí)保護(hù)基本要求之間的差距,形成等級(jí)測(cè)評(píng)結(jié)論。
結(jié)論形成后,測(cè)評(píng)雙方有關(guān)人員和技術(shù)專家按照《技術(shù)評(píng)審控制程序》對(duì)形成等級(jí)測(cè)評(píng)結(jié)論進(jìn)行評(píng)審,評(píng)審?fù)ㄟ^的結(jié)果判定由測(cè)評(píng)雙方授權(quán)代表簽字確認(rèn)。
本過程產(chǎn)生的文檔資料,按照《文件記錄控制程序》、《保密控制程序》進(jìn)行分類授權(quán)使用和管理。
4.4.2 測(cè)評(píng)報(bào)告的編制和分發(fā)的質(zhì)量控制
測(cè)評(píng)機(jī)構(gòu)按照《信息安全等級(jí)測(cè)評(píng)報(bào)告模板(試行)》格式編寫報(bào)告文檔。
測(cè)評(píng)雙方有關(guān)人員和專家召開等級(jí)測(cè)評(píng)末次會(huì)議,按照《管理評(píng)審控制程序》、《技術(shù)評(píng)審控制程序》對(duì)等級(jí)報(bào)告格式、內(nèi)容和結(jié)論進(jìn)行評(píng)審,評(píng)審?fù)ㄟ^的測(cè)評(píng)報(bào)告文檔,按照《文件記錄控制程序》蓋章、編號(hào),并由測(cè)評(píng)機(jī)構(gòu)項(xiàng)目經(jīng)理、質(zhì)量主管、技術(shù)主管聯(lián)合簽發(fā)。
測(cè)評(píng)人員按照《文件記錄控制程序》和《保密控制程序》和合同約定的控制范圍分發(fā)等級(jí)測(cè)評(píng)報(bào)告,交接有關(guān)資料文檔,刪除測(cè)評(píng)設(shè)備產(chǎn)生的電子數(shù)據(jù)。
5 結(jié)束語
本文依據(jù)等級(jí)保護(hù)相關(guān)的政策法規(guī)、管理規(guī)范和技術(shù)標(biāo)準(zhǔn),結(jié)合等級(jí)測(cè)評(píng)活動(dòng)的公正性、客觀性、保密性的要求,對(duì)等級(jí)測(cè)評(píng)活動(dòng)的質(zhì)量控制進(jìn)行了分析,為等級(jí)測(cè)評(píng)機(jī)構(gòu)建立質(zhì)量管理體系和等級(jí)測(cè)評(píng)質(zhì)量控制提供了借鑒和參考。隨著等級(jí)保護(hù)政策法規(guī)和標(biāo)準(zhǔn)規(guī)范的不斷更新和完善,等級(jí)測(cè)評(píng)活動(dòng)的質(zhì)量控制還有待更深入全面的探討和研究。
參考文獻(xiàn)
[1] GB/T 28448-2012 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求.
[2] GB/T 28449-2012 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南.
[3] 中華人民共和國公共安全行業(yè)標(biāo)準(zhǔn)(GA/T713-2007).信息系統(tǒng)安全管理測(cè)評(píng).
[4] 中國石化集團(tuán)信息系統(tǒng)安全等級(jí)保護(hù)管理辦法.
[5] GB/T 22239-2008 信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S].
[6] 中國石化集團(tuán)信息系統(tǒng)安全等級(jí)保護(hù)基本要求.
[7] 信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)能力要求(試行).
[8] GB/T20271-2006 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求[S].
[9] 公信安[2009]1487號(hào).關(guān)于印發(fā)《信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模板(試行)》的通知.
[10] 郝文江,武捷.三網(wǎng)融合中的安全風(fēng)險(xiǎn)及防范技術(shù)研究[J].信息網(wǎng)絡(luò)安全,2012,(01):5-9.
[11] 韓水玲,馬敏,王濤等.數(shù)字證書應(yīng)用系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].信息網(wǎng)絡(luò)安全,2012,(09):43-45.
[12] 常艷,王冠.網(wǎng)絡(luò)安全滲透測(cè)試研究[J].信息網(wǎng)絡(luò)安全,2012,(11):3-4.
信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則最新全文第一條 為加強(qiáng)和指導(dǎo)信息安全等級(jí)保護(hù)備案工作,規(guī)范備 案受理、審核和管理等工作,根據(jù)《信息安全等級(jí)保護(hù)管理辦法》 制定本實(shí)施細(xì)則。
第二條 本細(xì)則適用于非涉及國家秘密的第二級(jí)以上信息系 統(tǒng)的備案。
第三條 地市級(jí)以上公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門受 理本轄區(qū)內(nèi)備案單位的備案。 隸屬于省級(jí)的備案單位, 其跨地 (市) 聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng),由省級(jí)公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部 門受理備案。
第四條 隸屬于中央的在京單位,其跨省或者全國統(tǒng)一聯(lián)網(wǎng) 運(yùn)行并由主管部門統(tǒng)一定級(jí)的信息系統(tǒng),由公安部公共信息網(wǎng)絡(luò) 安全監(jiān)察局受理備案,其他信息系統(tǒng)由北京市公安局公共信息網(wǎng) 絡(luò)安全監(jiān)察部門受理備案。 隸屬于中央的非在京單位的信息系統(tǒng),由當(dāng)?shù)厥〖?jí)公安機(jī)關(guān) 公共信息網(wǎng)絡(luò)安全監(jiān)察部門(或其指定的地市級(jí)公安機(jī)關(guān)公共信 息網(wǎng)絡(luò)安全監(jiān)察部門)受理備案。 跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級(jí)的信息系 統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)(包括由上級(jí)主管部門定級(jí),在 當(dāng)?shù)赜袘?yīng)用的信息系統(tǒng)) 由所在地地市級(jí)以上公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門受理備案。
第五條 受理備案的公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng) 該設(shè)立專門的備案窗口,配備必要的設(shè)備和警力,專門負(fù)責(zé)受理 備案工作,受理備案地點(diǎn)、時(shí)間、聯(lián)系人和聯(lián)系方式等應(yīng)向社會(huì) 公布。
第六條 信息系統(tǒng)運(yùn)營、使用單位或者其主管部門(以下簡(jiǎn) 稱備案單位 ) 應(yīng)當(dāng)在信息系統(tǒng)安全保護(hù)等級(jí)確定后30日內(nèi),到公 安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門辦理備案手續(xù)。辦理備案手續(xù) 時(shí),應(yīng)當(dāng)首先到公安機(jī)關(guān)指定的網(wǎng)址下載并填寫備案表,準(zhǔn)備好 備案文件,然后到指定的地點(diǎn)備案。
第七條 備案時(shí)應(yīng)當(dāng)提交《信息系統(tǒng)安全等級(jí)保護(hù)備案表》 (以下簡(jiǎn)稱《備案表》 (一式兩份)及其電子文檔。第二級(jí)以上 信息系統(tǒng)備案時(shí)需提交《備案表》中的表一、二、三;第三級(jí)以 上信息系統(tǒng)還應(yīng)當(dāng)在系統(tǒng)整改、 測(cè)評(píng)完成后30日內(nèi)提交 《備案表》 表四及其有關(guān)材料。
第八條 公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門收到備案單位 提交的備案材料后,對(duì)屬于本級(jí)公安機(jī)關(guān)受理范圍且備案材料齊 全的,應(yīng)當(dāng)向備案單位出具《信息系統(tǒng)安全等級(jí)保護(hù)備案材料接 收回執(zhí)》 備案材料不齊全的, 應(yīng)當(dāng)當(dāng)場(chǎng)或者在五日內(nèi)一次性告知 其補(bǔ)正內(nèi)容;對(duì)不屬于本級(jí)公安機(jī)關(guān)受理范圍的,應(yīng)當(dāng)書面告知 備案單位到有管轄權(quán)的公安機(jī)關(guān)辦理。
第九條 接收備案材料后,公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)對(duì)下列內(nèi)容進(jìn)行審核: (一)備案材料填寫是否完整,是否符合要求,其紙質(zhì)材料 和電子文檔是否一致; (二)信息系統(tǒng)所定安全保護(hù)等級(jí)是否準(zhǔn)確。
第十條 經(jīng)審核,對(duì)符合等級(jí)保護(hù)要求的,公安機(jī)關(guān)公共信 息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)自收到備案材料之日起的十個(gè)工作日 內(nèi),將加蓋本級(jí)公安機(jī)關(guān)印章(或等級(jí)保護(hù)專用章)的《備案表》 一份反饋備案單位,一份存檔;對(duì)不符合等級(jí)保護(hù)要求的,公安 機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)在十個(gè)工作日內(nèi)通知備案單 位進(jìn)行整改, 并出具 《信息系統(tǒng)安全等級(jí)保護(hù)備案審核結(jié)果通知》
第十一條 《備案表》中表一、表二、表三內(nèi)容經(jīng)審核合格 的,公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)出具《信息系統(tǒng)安 全等級(jí)保護(hù)備案證明》 (以下簡(jiǎn)稱《備案證明》 《備案證明》由 公安部統(tǒng)一監(jiān)制。
第十二條 公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門對(duì)定級(jí)不 準(zhǔn)的備案單位,在通知整改的同時(shí),應(yīng)當(dāng)建議備案單位組織專家 進(jìn)行重新定級(jí)評(píng)審,并報(bào)上級(jí)主管部門審批。 備案單位仍然堅(jiān)持原定等級(jí)的,公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全 監(jiān)察部門可以受理其備案,但應(yīng)當(dāng)書面告知其承擔(dān)由此引發(fā)的責(zé) 任和后果,經(jīng)上級(jí)公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門同意后, 同時(shí)通報(bào)備案單位上級(jí)主管部門。
第十三條 4 對(duì)拒不備案的,公安機(jī)關(guān)應(yīng)當(dāng)依據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》 等其他有關(guān)法律、 法規(guī)規(guī)定, 責(zé)令限期整改。逾期仍不備案的,予以警告,并向其上級(jí)主管部 門通報(bào)。 依照前款規(guī)定向中央和國家機(jī)關(guān)通報(bào)的,應(yīng)當(dāng)報(bào)經(jīng)公安部公 共信息網(wǎng)絡(luò)安全監(jiān)察局同意。
第十四條 受理備案的公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部 門應(yīng)當(dāng)及時(shí)將備案文件錄入到數(shù)據(jù)庫管理系統(tǒng),并定期逐級(jí)上傳 《備案表》中表一、表二、表三內(nèi)容的電子數(shù)據(jù)。上傳時(shí)間為每 季度的第一天。 受理備案的公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)建立管 理制度, 對(duì)備案材料按照等級(jí)進(jìn)行嚴(yán)格管理, 嚴(yán)格遵守保密制度, 未經(jīng)批準(zhǔn)不得對(duì)外提供查詢。 第十五條 公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門受理備案 時(shí)不得收取任何費(fèi)用。
第十六條 本細(xì)則所稱以上包含本數(shù)(級(jí))
第十七條 各省(區(qū)、市)公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察 部門可以依據(jù)本細(xì)則制定具體的備案工作規(guī)范,并報(bào)公安部公共 信息網(wǎng)絡(luò)安全監(jiān)察局備案。
關(guān)鍵詞:信息安全;等級(jí)保護(hù);技術(shù)方案
中圖分類號(hào):TP393.092
隨著采供血業(yè)務(wù)對(duì)信息系統(tǒng)的依賴程度越來越高,信息安全問題日益突現(xiàn),各采供血機(jī)構(gòu)對(duì)信息安全保障工作給予了高度重視,各方面的信息安全保障工作都在逐步推進(jìn)?!缎l(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》(衛(wèi)辦發(fā)[2011]85號(hào))指出[1],依據(jù)國家信息安全等級(jí)保護(hù)制度,遵循相關(guān)標(biāo)準(zhǔn)規(guī)范,全面開展信息安全等級(jí)保護(hù)定級(jí)備案、建設(shè)整改和等級(jí)測(cè)評(píng)等工作,明確信息安全保障重點(diǎn),落實(shí)信息安全責(zé)任,建立信息安全等級(jí)保護(hù)工作長(zhǎng)效機(jī)制,切實(shí)提高衛(wèi)生行業(yè)信息安全防護(hù)能力、隱患發(fā)現(xiàn)能力、應(yīng)急能力,做好信息安全等級(jí)保護(hù)工作,對(duì)于促進(jìn)采供血機(jī)構(gòu)信息化發(fā)展,維護(hù)公共利益、社會(huì)秩序和國家安全具有重要意義。
1 信息安全等級(jí)保護(hù)概述
1994年國務(wù)院147號(hào)令《中華人民共和國計(jì)算機(jī)信息系統(tǒng)保護(hù)條例》,規(guī)定我國實(shí)行“計(jì)算機(jī)信息安全等級(jí)保護(hù)制度”[2]。根據(jù)147號(hào)令的要求,公安部制定了《計(jì)算機(jī)信息等級(jí)劃分標(biāo)準(zhǔn)》(GB17859-1999以下簡(jiǎn)稱GB17859),該標(biāo)準(zhǔn)是我國最早的信息安全等級(jí)標(biāo)準(zhǔn)。
當(dāng)前實(shí)施的信息安全等級(jí)保護(hù)制度是由公安部等四部委聯(lián)合發(fā)文《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》(公通字[2004]66號(hào))及《信息安全等級(jí)保護(hù)管理辦法》(公通字[2007]43號(hào)),文件明確了信息安全等級(jí)保護(hù)制度的原則、內(nèi)容、工作要求、部門分工和實(shí)施計(jì)劃,為信息安全工作提供了規(guī)范保障。這些信息安全的有關(guān)政策法規(guī)主要是從管理角度劃分安全等級(jí)的要求。
2006年,國家信息安全技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)以GB17859為基本依據(jù),提出并制定了一系列信息安全國家標(biāo)準(zhǔn)(GB/T20269-2006《信息安全技術(shù) 信息系統(tǒng)安全管理要求》等)。這一系列規(guī)范性文件體現(xiàn)了從技術(shù)角度劃分信息安全等級(jí)的要求,主要以信息安全的基本要素為單位,對(duì)實(shí)現(xiàn)不同安全要求的安全技術(shù)和機(jī)制提出不同的要求。本文主要討論以GB17859為依據(jù)從技術(shù)角度探討信息安全等級(jí)保護(hù)技術(shù)在采供血機(jī)構(gòu)中的實(shí)踐。
2 等級(jí)保護(hù)技術(shù)方案
信息安全等級(jí)保護(hù)制度明確了信息安全防護(hù)方案,要求確保信息系統(tǒng)安全穩(wěn)定運(yùn)行,確保信息內(nèi)容安全。保證業(yè)務(wù)數(shù)據(jù)在生成、存儲(chǔ)、傳輸和使用過程中的安全,重要業(yè)務(wù)操作行為可審計(jì),保證應(yīng)用系統(tǒng)可抵御黑客、惡意代碼、病毒等造成的攻擊與破壞,防范惡意人員對(duì)信息系統(tǒng)資源的非法、非授權(quán)訪問。
2.1 實(shí)現(xiàn)要求。三級(jí)安全應(yīng)用平臺(tái)安全計(jì)算環(huán)境的安全目標(biāo)是保護(hù)計(jì)算環(huán)境的終端、重要服務(wù)器、乃至上層的應(yīng)用安全和數(shù)據(jù)安全,并對(duì)入侵事件進(jìn)行檢測(cè)/發(fā)現(xiàn)、防范/阻止和審計(jì)/追查。依據(jù)GB17859-1999等系列標(biāo)準(zhǔn)把相關(guān)技術(shù)要求落實(shí)到安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)、安全管理中心及四個(gè)部分,形成“一個(gè)中心”三重保障體系[3]。
圖1 三級(jí)安全應(yīng)用平臺(tái)TCB模型
2.2 安全計(jì)算機(jī)環(huán)境。安全計(jì)算機(jī)環(huán)境是由安全局域通信網(wǎng)絡(luò)連接的各個(gè)安全的計(jì)算資源所組成的計(jì)算環(huán)境,其工作方式包括客戶/服務(wù)器模式;主機(jī)/終端模式;服務(wù)器/工作站模式。
2.3 安全區(qū)域邊界。是安全計(jì)算環(huán)境通過安全通信網(wǎng)絡(luò)與外部連接的所有接口的總和,包括防火墻、防病毒網(wǎng)關(guān)及入侵檢測(cè)等共同實(shí)現(xiàn)。
2.4 安全通信網(wǎng)絡(luò)。實(shí)現(xiàn)信息系統(tǒng)中各個(gè)安全計(jì)算機(jī)環(huán)境之間互相連接的重要設(shè)施。包括安全性檢測(cè)、安全審計(jì)病毒防殺、備份與故障恢復(fù)以及應(yīng)急計(jì)劃與應(yīng)急反應(yīng)。
2.5 安全管理中心。針對(duì)安全計(jì)算機(jī)環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)三個(gè)部分的安全機(jī)制的集中管理設(shè)施。針對(duì)安全審計(jì)網(wǎng)絡(luò)管理、防病毒等技術(shù)的安全集中管理。
3 采供血機(jī)構(gòu)信息系統(tǒng)等級(jí)保護(hù)建設(shè)
3.1 定級(jí)。采供血機(jī)構(gòu)為地市級(jí)公益衛(wèi)生事業(yè)單位,信息管理系統(tǒng)受到破壞會(huì)嚴(yán)重?fù)p害社會(huì)秩序,采供血業(yè)務(wù)停滯會(huì)嚴(yán)重?fù)p害公共利益,信息泄露則會(huì)嚴(yán)重影響公眾利益,按信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南,確定采供血信息系統(tǒng)安全保護(hù)等級(jí)為第三級(jí)。
3.2 系統(tǒng)分析。采供血信息系統(tǒng)覆蓋采供血業(yè)務(wù)和相關(guān)服務(wù)過程,包括獻(xiàn)血者檔案、血液采集、制備、檢驗(yàn)和發(fā)放等信息記錄必須妥善保存并保持可溯性。艾滋病疫情信息根據(jù)國家相關(guān)法律法規(guī)的要求,必須防止泄露,以免產(chǎn)生對(duì)國家安全及社會(huì)穩(wěn)定的負(fù)面影響。
信息系統(tǒng)核心由兩臺(tái)雙機(jī)熱備服務(wù)器、磁盤陣列柜組成,采用硬件VPN、硬件防火墻作為網(wǎng)絡(luò)安全設(shè)備。應(yīng)用VPN技術(shù)將遠(yuǎn)離采供血機(jī)構(gòu)本部的獻(xiàn)血屋、移動(dòng)采血車及醫(yī)院輸血科使用的業(yè)務(wù)計(jì)算機(jī)與站內(nèi)的服務(wù)器聯(lián)網(wǎng)。
3.3 等級(jí)保護(hù)建設(shè)。依據(jù)GB17859-1999等系列標(biāo)準(zhǔn)把相關(guān)技術(shù)要求落實(shí)到安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)和安全管理中心四部分。構(gòu)建“一個(gè)中心”管理下的“三重保障體系”,實(shí)現(xiàn)拓樸圖如下:
圖2 采供血機(jī)構(gòu)拓?fù)鋱D
3.3.1 安全計(jì)算環(huán)境。系統(tǒng)層主要進(jìn)行身份認(rèn)證及用戶管理、訪問控制、安全審計(jì)、審惡意代碼防范,補(bǔ)丁升級(jí)及系統(tǒng)安全性檢測(cè)分析。安全計(jì)算環(huán)境主要依靠在用戶終端或是服務(wù)器中充分挖掘完善現(xiàn)有windows/Linux操作系統(tǒng)本身固有的安全特性來保證其安全性。在應(yīng)用系統(tǒng)實(shí)現(xiàn)身份鑒別、訪問控制、安全審計(jì)等安全機(jī)制。
3.3.2 安全區(qū)域邊界。在網(wǎng)絡(luò)邊界處以網(wǎng)關(guān)模式部署深信服下一代防火墻AF-1320,電信及聯(lián)通兩條線路都接入其中,達(dá)到以下防護(hù)目的:(1)區(qū)域邊界訪問控制:邏輯隔離數(shù)據(jù)、透明并嚴(yán)格進(jìn)行服務(wù)控制,隔離本單位網(wǎng)絡(luò)和互聯(lián)網(wǎng),成為網(wǎng)絡(luò)之間的邊界屏障,單位內(nèi)部電腦上網(wǎng),實(shí)施相應(yīng)訪問控制策略,設(shè)置自主和強(qiáng)制訪問控制機(jī)制;(2)區(qū)域邊界包過濾:通過檢查數(shù)據(jù)包源地址、過濾與狀態(tài)檢測(cè)提供靜態(tài)的包過濾和動(dòng)態(tài)包過濾功能;(3)區(qū)域邊界安全審計(jì):由內(nèi)置數(shù)據(jù)中心和獨(dú)立數(shù)據(jù)中心記錄各類詳細(xì)事件,并產(chǎn)生統(tǒng)計(jì)報(bào)表。還可根據(jù)管理者定義的風(fēng)險(xiǎn)行為特征自動(dòng)挖掘并輸出風(fēng)險(xiǎn)行為智能報(bào)表;(4)完整性保護(hù):保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)免受非授權(quán)人員的騷擾與黑客的入侵,過濾所有內(nèi)部網(wǎng)和外部網(wǎng)之間的信息交換。該防火墻具有IPS入侵防護(hù),防護(hù)類型包括蠕蟲/木馬/后門/DoS/DDoS攻擊探測(cè)/掃描/間諜軟件/利用漏洞的攻擊/緩沖區(qū)溢出攻擊/協(xié)議異常/ IPS逃逸攻擊等;具有網(wǎng)絡(luò)應(yīng)用層防護(hù),識(shí)別及清殺惡意代碼功能。
3.3.3 安全通信網(wǎng)絡(luò)。當(dāng)用戶跨區(qū)域訪問時(shí),根據(jù)三級(jí)標(biāo)準(zhǔn)要求,需要進(jìn)行數(shù)據(jù)傳輸保護(hù)。通過部署VPN安全設(shè)備構(gòu)建安全隧道,實(shí)施機(jī)密性和完整性保護(hù),實(shí)現(xiàn)對(duì)應(yīng)用數(shù)據(jù)的網(wǎng)絡(luò)傳輸保護(hù)。(1)本單位用采兩臺(tái)深信服VPN網(wǎng)關(guān)為跨區(qū)域邊界的通信雙方建立安全的通道。一臺(tái)為IPsec VPN用于連接采供血機(jī)構(gòu)的分支機(jī)構(gòu)如大型獻(xiàn)血屋,另一臺(tái)為SSL VPN用于小型捐血屋、流動(dòng)采血車、各醫(yī)院與采供血機(jī)構(gòu)的數(shù)據(jù)通信。VPN設(shè)備可為采供血機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)間信息的安全傳輸提供加密、身份鑒別、完整性保護(hù)及控制等安全機(jī)制。另外,VPN安全網(wǎng)關(guān)中設(shè)計(jì)了審計(jì)功能來記錄、存儲(chǔ)和分析安全事件,可為安全管理員提供有關(guān)追蹤安全事件和入侵行為的有效證據(jù);(2)在防火墻下端部署華為S5700系列三層核心交換機(jī),并在網(wǎng)絡(luò)中劃分VLAN,設(shè)置部門應(yīng)用終端的訪問權(quán)限,規(guī)定哪些部門可以訪問哪些服務(wù)器等以減少網(wǎng)絡(luò)中的廣播風(fēng)暴,提高網(wǎng)絡(luò)效率;(3)在行政辦公區(qū)域利用深信服上網(wǎng)行為管理(Sinfor-M5000-AC)有效管理與利用互聯(lián)網(wǎng)資源,合理封堵非業(yè)務(wù)網(wǎng)絡(luò)應(yīng)用。
3.3.4 安全管理中心。信息安全等級(jí)保護(hù)三級(jí)的信息系統(tǒng),應(yīng)建立安全管理中心,主要用于監(jiān)視和記錄信息系統(tǒng)中比較重要的服務(wù)器、網(wǎng)絡(luò)設(shè)備等環(huán)節(jié),以及所有應(yīng)用系統(tǒng)和主要用戶的安全狀況。本單位目前安全管理中心由兩部分組成,配置賽門鐵克賽門鐵克SEP12.1,采用分布式的體系結(jié)構(gòu)部署了防病毒系統(tǒng)中心、防病毒服務(wù)器端、防病毒客戶端、防病毒管理員控制臺(tái)。防病毒軟件與防火墻、VPN及上網(wǎng)行為管理協(xié)同完成通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備、應(yīng)用軟件的運(yùn)行等監(jiān)測(cè)和報(bào)警,并形成相關(guān)報(bào)表。對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)及安全審計(jì)等相關(guān)事項(xiàng)進(jìn)行集中管理。
4 結(jié)束語
按照等級(jí)保護(hù)的相關(guān)規(guī)范和技術(shù)要求,結(jié)合采供血機(jī)構(gòu)具體網(wǎng)絡(luò)和系統(tǒng)應(yīng)用,設(shè)計(jì)三級(jí)信息安全等級(jí)保護(hù)方案并建設(shè),保證采供血機(jī)構(gòu)網(wǎng)絡(luò)的安全、穩(wěn)定、通暢,保障了整個(gè)采供血業(yè)務(wù)的正常運(yùn)轉(zhuǎn),更好地服務(wù)于廣大患者。
參考文獻(xiàn):
[1]網(wǎng)神信息技術(shù)(北京)股份有限公司[J].信息網(wǎng)絡(luò)安全,2012(10):28.
[2]郎漫芝,王暉,鄧小虹.醫(yī)院信息系統(tǒng)信息安全等級(jí)保護(hù)的實(shí)施探討[J].計(jì)算機(jī)應(yīng)用與軟件,2013(01):206.
[3]胡志昂,范紅.信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)技術(shù)方案設(shè)計(jì)實(shí)現(xiàn)與應(yīng)用[M].北京:電子工業(yè)出版社,2011:98-104.
該文對(duì)供水企業(yè)信息集成系統(tǒng)安全進(jìn)行分析,并探討了可以針對(duì)性改進(jìn)的安全防護(hù)措施。首先對(duì)當(dāng)前供水信息系統(tǒng)安全現(xiàn)狀做具體分析,然后研究了在“自主定級(jí),自主保護(hù)”的原則下改進(jìn)和提高供水企業(yè)集成信息系統(tǒng)安全具體的執(zhí)行方案,最終實(shí)現(xiàn)供水企業(yè)信息集成系統(tǒng)的信息安全防護(hù)。
關(guān)鍵詞:
供水企業(yè)信息集成系統(tǒng);等級(jí)保護(hù);信息安全
供水行業(yè)對(duì)國計(jì)民生很重要的一個(gè)行業(yè),供水企業(yè)的業(yè)務(wù)性質(zhì)要求以信息的整體化為基本立足點(diǎn),集中管理所有涉及運(yùn)營的相關(guān)數(shù)據(jù),針對(duì)供水企業(yè)運(yùn)行的特殊要求,進(jìn)行集中的規(guī)劃和架構(gòu),將不同專業(yè)的應(yīng)用系統(tǒng)進(jìn)行整合,最終形成完整的供水企業(yè)綜合信息平臺(tái)。[1]而集成系統(tǒng)中最重要的一個(gè)要求就是信息安全。
隨著大數(shù)據(jù)時(shí)代的到來,網(wǎng)格、分布式計(jì)算、云計(jì)算、物聯(lián)網(wǎng)等新技術(shù)相繼推出,對(duì)供水企業(yè)信息集成與應(yīng)用也提出了更高的要求。而隨著應(yīng)用的擴(kuò)展,應(yīng)用中存在著大量的安全隱患,網(wǎng)絡(luò)黑客、木馬、病毒和人為的破壞等將大量的安全威脅帶給信息系統(tǒng)。根據(jù)美國Radicati公司于2015年3月的調(diào)查報(bào)告,截至2014年12月,網(wǎng)絡(luò)攻擊已經(jīng)為全球計(jì)算機(jī)網(wǎng)絡(luò)安全造成高達(dá)上萬億美元的損失。而且隨著網(wǎng)絡(luò)應(yīng)用的規(guī)模進(jìn)一步上升,計(jì)算機(jī)網(wǎng)絡(luò)信息安全威脅造成的損失正在呈幾何級(jí)數(shù)增長(zhǎng)。根據(jù)2015年的中國網(wǎng)絡(luò)安全分析報(bào)告,2014年報(bào)告的網(wǎng)絡(luò)安全攻擊事件比2013年增加了100多倍。2014年,搜狗由于網(wǎng)絡(luò)黑客攻擊導(dǎo)致搜索服務(wù)在全國各地都出現(xiàn)了長(zhǎng)達(dá)25分鐘無法使用。2014年7月,某域名服務(wù)商的域名解析服務(wù)器發(fā)生了網(wǎng)絡(luò)黑客的集中式攻擊,造成在其公司注冊(cè)的13%的網(wǎng)站無法訪問,時(shí)間長(zhǎng)達(dá)17個(gè)小時(shí),經(jīng)濟(jì)損失不可估量。因此,從信息安全的角度,要對(duì)供水企業(yè)信息集成系統(tǒng)進(jìn)行防護(hù),降低信息安全事故的發(fā)生的概率,降低其危害,是本文需要研究的內(nèi)容。
1當(dāng)前供水企業(yè)信息集成系統(tǒng)安全防護(hù)的現(xiàn)狀和存在的問題
伴隨著科技的不斷發(fā)展,供水企業(yè)的信息化建設(shè)也得到了很大的發(fā)展,主要是從深度和廣度兩個(gè)層面做進(jìn)一步拓展。典型的供水企業(yè)信息集成系統(tǒng)涵蓋了生產(chǎn)調(diào)度系統(tǒng)、銷售系統(tǒng)、管網(wǎng)信息系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、人事管理系統(tǒng)、辦公自動(dòng)化系統(tǒng)等子系統(tǒng)。其中多個(gè)系統(tǒng)數(shù)據(jù)需要接受外部訪問,存在大量的安全隱患。目前,威脅到供水企業(yè)信息安全的風(fēng)險(xiǎn)因素主要分為三個(gè)大類:1)人為原因,如惡意的黑客攻擊、不懷好意的內(nèi)部人員造成的信息外泄、操作中出現(xiàn)低級(jí)錯(cuò)誤等。2)數(shù)據(jù)存儲(chǔ)位置位置的風(fēng)險(xiǎn)。可能由自然災(zāi)害引發(fā)的問題,缺乏數(shù)據(jù)備份和恢復(fù)能力。3)不斷增長(zhǎng)的數(shù)據(jù)交互放大了數(shù)據(jù)丟失或泄漏的風(fēng)險(xiǎn)。包括未知的安全漏洞、軟件版本、安全實(shí)踐和代碼更改等。
2有關(guān)分級(jí)防護(hù)的要求
尤其是供水企業(yè)信息集成系統(tǒng)中,存在大量涉及公民個(gè)人隱私的信息,也存在像生產(chǎn)調(diào)度這樣涉及國計(jì)民生的信息。因此,需要按照國家有關(guān)信息安全的法律法規(guī),明確企業(yè)的信息安全責(zé)任。提升供水企業(yè)信息管理區(qū)內(nèi)的業(yè)務(wù)系統(tǒng)信息安全防護(hù)。依據(jù)《信息安全等級(jí)保護(hù)管理辦法》(公通字[2007]43號(hào))第十四條,信息系統(tǒng)建設(shè)完成后,運(yùn)營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測(cè)評(píng)機(jī)構(gòu),依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》等技術(shù)標(biāo)準(zhǔn),定期對(duì)信息系統(tǒng)安全等級(jí)狀況開展等級(jí)測(cè)評(píng)。定級(jí)標(biāo)準(zhǔn)按照國家標(biāo)準(zhǔn)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》(GB/T22240—2008)實(shí)施,根據(jù)等級(jí)保護(hù)相關(guān)管理文件,信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí):第一級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會(huì)秩序和公共利益。
第二級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對(duì)社會(huì)秩序和公共利益造成損害,但不損害國家安全。第三級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害,或者對(duì)國家安全造成損害。第四級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對(duì)國家安全造成嚴(yán)重?fù)p害。第五級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)國家安全造成特別嚴(yán)重?fù)p害。等級(jí)保護(hù)對(duì)象受到破壞后對(duì)客體造成侵害的程度歸結(jié)為以下三種:1)造成一般損害;2)造成嚴(yán)重?fù)p害;3)造成特別嚴(yán)重?fù)p害。
3分別防護(hù)實(shí)施步驟
根據(jù)有關(guān)法律法規(guī),建設(shè)完成并投入使用的信息系統(tǒng),其有關(guān)使用此系統(tǒng)的單位需要對(duì)其系統(tǒng)的等級(jí)狀況做定期的測(cè)評(píng)。供水企業(yè)要遵照要求選擇具有資質(zhì)的測(cè)評(píng)機(jī)構(gòu)來對(duì)管理信息區(qū)的業(yè)務(wù)系統(tǒng)做等級(jí)保護(hù)的測(cè)評(píng)工作。其所得到的結(jié)果如下表1所示:通常情況下,供水企業(yè)信息系統(tǒng)中不會(huì)出現(xiàn)第四級(jí)和第五級(jí)的系統(tǒng)。根據(jù)測(cè)評(píng)結(jié)果,有必要對(duì)供水企業(yè)內(nèi)部的局域網(wǎng)進(jìn)行系統(tǒng)化整改。具體的整改內(nèi)容包括兩項(xiàng)主要內(nèi)容:細(xì)化各業(yè)務(wù)系統(tǒng)服務(wù)器的物理位置;按照需求設(shè)置信息安全區(qū)域。根據(jù)供水企業(yè)信息集成系統(tǒng)的具體實(shí)際,主要有等級(jí)包括三個(gè)業(yè)務(wù)區(qū)域,以及一個(gè)公共業(yè)務(wù)區(qū)和測(cè)評(píng)業(yè)務(wù)區(qū)。按照上述原則對(duì)供水企業(yè)信息集成系統(tǒng)服務(wù)器做物理劃分如圖1所示。不同等級(jí)的系統(tǒng)服務(wù)器針對(duì)不同級(jí)別的信息安全區(qū)進(jìn)行設(shè)置。等級(jí)為一、二、三的業(yè)務(wù)區(qū)分別安裝著對(duì)應(yīng)的服務(wù)器,而公共業(yè)務(wù)區(qū)域的服務(wù)器主要是DNS服務(wù)器或者是域服務(wù)器。公共業(yè)務(wù)區(qū)服務(wù)器主要為基礎(chǔ)服務(wù)提供非業(yè)務(wù)系統(tǒng)服務(wù),不需要進(jìn)行保護(hù)分級(jí)。測(cè)評(píng)業(yè)務(wù)區(qū)提供是投入正式使用前的測(cè)試服務(wù)器。
依據(jù)表1的測(cè)評(píng)結(jié)果,將安全區(qū)域進(jìn)行細(xì)化表2所示的就是企業(yè)管理信息區(qū),其主要業(yè)務(wù)系統(tǒng)對(duì)安全區(qū)域存放問題的展示。根據(jù)表2得到的結(jié)果,可以將信息安全設(shè)備存放在不同信息區(qū)域邊界內(nèi),以此達(dá)到服務(wù)器分級(jí)防護(hù)目的。信息安全設(shè)備設(shè)置在信息安全區(qū)域邊界,也就是局域網(wǎng)與信息安全區(qū)域之間的連接部。信息安全設(shè)備主要是防火墻、查殺病毒、攻擊防護(hù)、服務(wù)防護(hù)禁止、授權(quán)等。對(duì)于不同區(qū)域邊界的信息安全的部署建議,供水企業(yè)要遵照各自的實(shí)際情況做周密的設(shè)置。供水企業(yè)管理信息安全區(qū)域邊界防護(hù)表見表3。將信息安全防護(hù)設(shè)備部署在所在的區(qū)域邊界內(nèi),如此可以初步實(shí)現(xiàn)對(duì)供水企業(yè)管理信息區(qū)的信息安全防護(hù)。
4結(jié)束語
隨著大數(shù)據(jù)的發(fā)展,對(duì)供水企業(yè)信息集成系統(tǒng)在數(shù)據(jù)的交互和應(yīng)用方面會(huì)提出更高的要求,也大大加強(qiáng)了安全防護(hù)措施的重要性和迫切性。在安全防護(hù)措施基本到位的前提下,還需要加強(qiáng)信息審計(jì),及時(shí)發(fā)現(xiàn)和補(bǔ)救系統(tǒng)缺陷,加強(qiáng)數(shù)據(jù)庫安全防護(hù),維護(hù)管理系統(tǒng)的隱患。
參考文獻(xiàn):
[1]孫鋒.基于多agent技術(shù)的供水企業(yè)信息集成系統(tǒng)研究[J].供水技術(shù),2015(10).
【關(guān)鍵詞】信息系統(tǒng) 身份鑒別 漏洞掃描 信息安全管理體系(ISMS)
近年來,“Locky勒索軟件變種”、““水牢漏洞””、“支付寶實(shí)名認(rèn)證信息漏洞”、“京東12G用戶數(shù)據(jù)泄露”、“700元買他人隱私信息”等信息安全事件層出不窮,引起各國領(lǐng)導(dǎo)的重視和社會(huì)關(guān)注。為提高網(wǎng)絡(luò)安全和互聯(lián)網(wǎng)治理,2014年,我國成立了以主席為最高領(lǐng)導(dǎo)的信息安全管理機(jī)構(gòu)-中央網(wǎng)信辦;2016年11月,在中國烏鎮(zhèn)舉行了《第三屆世界互聯(lián)網(wǎng)大會(huì)》。通過一系列的行為,為求現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)能夠提高安全能力,為廣大社會(huì)群眾提供服務(wù)的同時(shí),能夠保證人民的利益。
信息系統(tǒng)是由硬件、軟件、信息、規(guī)章制度等組成,主要以處理信息流為主,信息系統(tǒng)的網(wǎng)絡(luò)安全備受關(guān)注。企業(yè)在應(yīng)對(duì)外部攻擊,安全風(fēng)險(xiǎn)的同時(shí),當(dāng)務(wù)之急是建立一套完整的信息安全管理體系。在統(tǒng)一的體系管控下,分布實(shí)施,開展各項(xiàng)安全工作。
目前,大多數(shù)企業(yè)的信息安全工作比較單一,主要是部署安全防護(hù)設(shè)備,進(jìn)行簡(jiǎn)單的配置。信息安全工作不全面,安全管理相對(duì)薄弱,不足以抵抗來自外部的威脅。
1 信息安全問題
1.1 身份鑒別不嚴(yán)格
考慮到方便記憶和頻繁的登錄操作,企業(yè)普遍存在管理員賬號(hào)簡(jiǎn)單或者直接采用系統(tǒng)的默認(rèn)賬號(hào)現(xiàn)象,并且基本不設(shè)定管理員的權(quán)限,默認(rèn)使用最大權(quán)限。一旦攻擊者通過猜測(cè)或其他手段獲得管理員賬號(hào),攻擊者如入無人之境,可以任意妄為。最終可造成數(shù)據(jù)泄露,系統(tǒng)癱瘓等不可估量的嚴(yán)重后果。注重信息安全的企業(yè)會(huì)修改默認(rèn)管理員賬號(hào),設(shè)定較為復(fù)雜的口令,并定期進(jìn)行口令更換。但是也僅僅使用一種身份鑒別技術(shù),不足以抵抗外部攻擊。
1.2 外部攻擊,層出不窮
隨著計(jì)算機(jī)技術(shù)的發(fā)展,信息系統(tǒng)的外部攻簦層出不窮。攻擊者利用網(wǎng)絡(luò)系統(tǒng)的漏洞和缺陷,攻擊系統(tǒng)軟件、硬件和數(shù)據(jù),進(jìn)行非法操作,造成系統(tǒng)癱瘓或者數(shù)據(jù)丟失。 目前主要存在的攻擊手段包括掃描技術(shù)、郵件
攻擊、拒絕服務(wù)攻擊、口令攻擊、惡意程序等等;入侵常用的步驟包括采用漏洞掃描工具進(jìn)行掃描、選擇合適的方式入侵、獲取系統(tǒng)的一定權(quán)限、提升為系統(tǒng)最高權(quán)限、安裝系統(tǒng)后門、獲取敏感信息或者其他攻擊目的。攻擊者會(huì)根據(jù)系統(tǒng)特性和網(wǎng)絡(luò)結(jié)構(gòu)采取不同的手段對(duì)網(wǎng)絡(luò)進(jìn)行攻擊,如果不采取相應(yīng)的防御手段,很容易被黑客攻擊,造成損失。
1.3 員工安全意識(shí)薄弱
很多互聯(lián)網(wǎng)企業(yè)的員工缺乏信息安全意識(shí),存在離開辦公電腦時(shí)不鎖屏現(xiàn)象;將重要客戶信息、合同等敏感材料放在辦公桌上或者不及時(shí)取走打印機(jī)房?jī)?nèi)的材料;優(yōu)盤未經(jīng)殺毒直接連接公司電腦;隨意點(diǎn)擊不明郵件的鏈接;更有員工將系統(tǒng)賬號(hào)、密碼粘貼在辦公桌上;在系統(tǒng)建設(shè)階段,大到管理者,小到開發(fā)人員、測(cè)試人員,均注重技術(shù)實(shí)現(xiàn)和業(yè)務(wù)要求,而忽略了系統(tǒng)的安全和管理。由于員工的信息安全意識(shí)較為薄弱,很容易造成公司信息泄露,進(jìn)而導(dǎo)致公司的損失。
1.4 內(nèi)部管理制度不完善
俗話說,“不以規(guī)矩,不能成方圓”。未形成全面的信息安全管理制度體系,缺失部分安全策略、管理制度、操作規(guī)程,可能導(dǎo)致信息安全管理制度體系存在疏漏,部分管理內(nèi)容無法有效實(shí)施。使相關(guān)工作過程缺乏規(guī)范依據(jù)和質(zhì)量保障,進(jìn)而影響到信息系統(tǒng)的安全建設(shè)和安全運(yùn)維。比如在軟件開發(fā)過程中,開發(fā)人員會(huì)因?yàn)楦鞣N原因而忽略安全開發(fā)(存在開發(fā)人員沒有意識(shí)到代碼安全開發(fā)的問題;有些開發(fā)人員不愿意使用邊界檢查,怕影響系統(tǒng)的效率和性能;當(dāng)然也存在許多遺留代碼存在問題的現(xiàn)象,從而導(dǎo)致二次開發(fā)同樣產(chǎn)生問題),可能導(dǎo)致系統(tǒng)存在后門,被黑客攻擊。
2 防范措施
企業(yè)需依據(jù)《信息安全等級(jí)保護(hù)管理辦法(公通字[2007]43號(hào))》、《中華人民共和國網(wǎng)絡(luò)安全法》》、《ISO/IEC 27001》等標(biāo)準(zhǔn)和法律法規(guī)進(jìn)行信息系統(tǒng)安全建設(shè)工作。測(cè)評(píng)機(jī)構(gòu)在網(wǎng)安的要求下,對(duì)企業(yè)信息系統(tǒng)的安全進(jìn)行測(cè)評(píng),并出具相應(yīng)測(cè)評(píng)結(jié)果。根據(jù)測(cè)評(píng)結(jié)果和整改建議,采用相應(yīng)的技術(shù)手段(安全認(rèn)證、入侵檢測(cè)、漏洞掃描、監(jiān)控管理、數(shù)據(jù)備份與加密等)和管理措施(安全團(tuán)隊(duì)、教育與培訓(xùn)、管理體系等)對(duì)信息系統(tǒng)進(jìn)行整改。如圖1所示。
2.1 技術(shù)手段
2.1.1 安全認(rèn)證
身份鑒別是指在計(jì)算機(jī)系統(tǒng)中確認(rèn)執(zhí)行者身份的過程,以確定該用戶是否具有訪問某種資源的權(quán)限,防止非法用戶訪問系統(tǒng)資源,保障合法用戶訪問授權(quán)的信息系統(tǒng)。凡登錄系統(tǒng)的用戶,均需進(jìn)行身份鑒別和標(biāo)識(shí),且標(biāo)識(shí)需具有唯一性。用戶身份鑒別機(jī)制一般分為用戶知道的信息、用戶持有的信息、用戶生物特征信息三種。針對(duì)不同鑒別機(jī)制,常用的鑒別技術(shù)(認(rèn)證技術(shù))如表1所示。
不同的認(rèn)證技術(shù),在安全性、便捷性方面存在不同的特性。比如USB-Key的安全等級(jí)較高,但會(huì)遇到各種問題,導(dǎo)致便捷性較差(比如存在軟硬件適配性問題,移動(dòng)終端無USB口等)。一般認(rèn)為在相同的便捷性前提下,選擇安全等級(jí)較高的認(rèn)證技術(shù)。針對(duì)重要系統(tǒng)應(yīng)采用雙因子認(rèn)證技術(shù)。
2.1.2 入侵檢測(cè)
入侵檢測(cè)能夠依據(jù)安全策略,對(duì)網(wǎng)絡(luò)和系統(tǒng)進(jìn)行監(jiān)視,發(fā)現(xiàn)各種攻擊行為,能夠?qū)崟r(shí)保護(hù)內(nèi)部攻擊、外部攻擊和誤操作的情況,保證信息系統(tǒng)網(wǎng)絡(luò)資源的安全。入侵檢測(cè)系統(tǒng)(IDS)是一個(gè)旁路監(jiān)聽設(shè)備,需要部署在網(wǎng)絡(luò)內(nèi)部。如果信息系統(tǒng)中包含了多個(gè)邏輯隔離的子網(wǎng),則需要在整個(gè)信息系統(tǒng)中實(shí)施分布部署,從而掌控整個(gè)信息系統(tǒng)安全狀況。
2.1.3 漏洞掃描
漏洞掃描是指基于漏洞數(shù)據(jù)庫,通過掃描等手段對(duì)目標(biāo)系統(tǒng)的安全脆弱性進(jìn)行檢測(cè),發(fā)現(xiàn)可利用的漏洞的一種安全檢測(cè)行為。常見的漏洞掃描類型主要包括系統(tǒng)安全隱患掃描、應(yīng)用安全隱患掃描、數(shù)據(jù)庫安全配置隱患掃描等。系統(tǒng)安全隱患掃描根據(jù)掃描方式的不同,分為基于網(wǎng)絡(luò)的和基于主機(jī)的系統(tǒng)安全掃描,可以發(fā)現(xiàn)系統(tǒng)存在的安全漏洞、安全配置隱患、弱口令、服務(wù)和端口等。應(yīng)用安全隱患掃描可以掃描出Web應(yīng)用中的SQL注入、Cookie注入、XPath注入、LDAP注入、跨站腳本、第三方軟件等大部分漏洞。數(shù)據(jù)庫安全配置隱患掃描可以檢測(cè)出數(shù)據(jù)庫的DBMS漏洞、缺省配置、權(quán)限提升漏洞、緩沖區(qū)溢出、補(bǔ)丁未升級(jí)等自身漏洞。
漏洞掃描主要用于評(píng)估主機(jī)操作系統(tǒng)、網(wǎng)絡(luò)和安全設(shè)備操作系統(tǒng)、數(shù)據(jù)庫以及應(yīng)用平臺(tái)軟件的安全情況,它能有效避免黑客攻擊行為,做到防患于未然。
2.1.4 監(jiān)控管理
網(wǎng)絡(luò)監(jiān)控主要包括上網(wǎng)監(jiān)控和內(nèi)網(wǎng)監(jiān)控兩部分。目前市場(chǎng)上已做的完整監(jiān)控軟件已包含上述功能。網(wǎng)絡(luò)監(jiān)控需結(jié)合網(wǎng)絡(luò)拓?fù)?,在網(wǎng)絡(luò)關(guān)鍵點(diǎn)接入監(jiān)控工具監(jiān)測(cè)當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)流量,分析可疑信息流,通過截包解碼分析的方式驗(yàn)證系統(tǒng)數(shù)據(jù)傳輸?shù)陌踩?。例如Solarwinds網(wǎng)絡(luò)監(jiān)控平臺(tái),它包括Network Performance Monitoring、Network Traffic Analysis、WAN Performance (IP SLA) 、IP Address Management、Network Configuration Management、Application Performance Monitoring等??梢詧?zhí)行全面的帶寬性能監(jiān)控和故障管理;可以分析網(wǎng)絡(luò)流量;可以對(duì)服務(wù)器上運(yùn)行的服務(wù)和進(jìn)程進(jìn)行自動(dòng)監(jiān)控,并在故障發(fā)生時(shí)及時(shí)告警;可對(duì)VOIP的相關(guān)參數(shù)進(jìn)行監(jiān)控;可以通過直觀的網(wǎng)絡(luò)控制臺(tái)管理整個(gè)IP架構(gòu);可快速檢測(cè)、診斷及解決虛擬化環(huán)境的網(wǎng)絡(luò)性能;強(qiáng)大的應(yīng)用程序監(jiān)視、告警、報(bào)告功能等。
2.1.5 數(shù)據(jù)備份與加密
企業(yè)高度重視業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)和軟件系統(tǒng)。數(shù)據(jù)在存儲(chǔ)時(shí)應(yīng)加密存儲(chǔ),防止黑客攻擊系統(tǒng),輕易獲得敏感數(shù)據(jù),造成公司的重大經(jīng)濟(jì)損失。常用的加密算法包括對(duì)稱加密(DES、AES)和不對(duì)稱加密算法(RSA)。密碼技術(shù)不僅可以防止信息泄露,同時(shí)可以保證信息的完整性和不可抵賴性。例如現(xiàn)在比較成熟的哈希算法、數(shù)字簽名、數(shù)字證書等。
除了對(duì)數(shù)據(jù)進(jìn)行加密存儲(chǔ)外,由于存在數(shù)據(jù)丟失、系統(tǒng)斷電、機(jī)房著火等意外,需對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行備份。按照備份環(huán)境,備份分為本地備份和異地備份;按照備份數(shù)據(jù)量的多少,備份分為全備、增備、差分備份和按需備份。各企業(yè)需根據(jù)自己的業(yè)務(wù)要求和實(shí)際情況,選取合適的備份方式進(jìn)行備份。理想的備份是綜合了軟件數(shù)據(jù)備份和硬件冗余設(shè)計(jì)。
2.2 管理措施
2.2.1 安全團(tuán)隊(duì)
企業(yè)應(yīng)設(shè)立能夠統(tǒng)一指揮、協(xié)調(diào)有序、組織有力的專業(yè)的安全管理團(tuán)隊(duì)負(fù)責(zé)信息安全工作,該團(tuán)隊(duì)包括信息安全委員會(huì),信息安全部門及其成員。安全部門負(fù)責(zé)人除了具備極強(qiáng)的業(yè)務(wù)處理能力,還需要有管理能力、溝通能力、應(yīng)變能力。目前安全團(tuán)隊(duì)的從業(yè)人員數(shù)量在逐漸增加,話語權(quán)在增多,肩上的擔(dān)子也越來越大。安全團(tuán)隊(duì)需要定好自己的位,多檢查少運(yùn)維,多幫企業(yè)解決問題。即安全團(tuán)隊(duì)修路,各部門在上面跑自己的需求。
2.2.2 教育c培訓(xùn)
保護(hù)企業(yè)信息安全,未雨綢繆比亡羊補(bǔ)牢要強(qiáng)。培養(yǎng)企業(yè)信息安全意識(shí)文化,樹立員工信息安全責(zé)任心,是解決企業(yè)信息安全的關(guān)鍵手段之一。企業(yè)的競(jìng)爭(zhēng)實(shí)際上是人才的競(jìng)爭(zhēng),除了定期進(jìn)行技能培訓(xùn)外,還需對(duì)員工的安全意識(shí)進(jìn)行教育和培訓(xùn)。信息安全團(tuán)隊(duì)?wèi)?yīng)制定信息安全意識(shí)教育和培訓(xùn)計(jì)劃,包括但不限于在線、郵件、海報(bào)(標(biāo)語)、視頻、專場(chǎng)、外培等形式。通過對(duì)員工的安全意識(shí)教育,能從內(nèi)部預(yù)防企業(yè)安全事件的發(fā)生,提高企業(yè)的安全保障能力。
2.2.3 管理體系
隨著計(jì)算機(jī)攻擊技術(shù)的不斷提高,攻擊事件越來越多,且存在部分攻擊來自公司組織內(nèi)部。單靠個(gè)人的力量已無法保障信息系統(tǒng)的安全。因此,企業(yè)需建立自上而下的信息安全管理體系(ISMS, Information Security Management System),以達(dá)到分工明確,職責(zé)清晰,安全開發(fā),可靠運(yùn)維。安全管理制度作為安全管理體系的綱領(lǐng)性文件,在信息系統(tǒng)的整個(gè)生命周期中起著至關(guān)重要的作用。不同機(jī)構(gòu)在建立與完善信息安全管理體系時(shí),可根據(jù)自身情況,采取不同的方法,一般經(jīng)過PDCA四個(gè)基本階段(Plan:策劃與準(zhǔn)備;Do文件的編制;Check運(yùn)行;Action審核、評(píng)審和持續(xù)改進(jìn))。可依據(jù)ISO27000,信息安全等級(jí)保護(hù)等,從制度、安全機(jī)構(gòu)、人員、系統(tǒng)建設(shè)和系統(tǒng)運(yùn)維5個(gè)方面去制定信息安全管理體系。通常,信息安全管理體系主要由總體方針和政策、安全管理制度、日常操作規(guī)程和記錄文檔組成,如圖2所示。
3 結(jié)語
國家不斷加強(qiáng)對(duì)各個(gè)互聯(lián)網(wǎng)企業(yè)、金融、銀行等的信息安全工作監(jiān)督,通過ISO27000、信息安全等級(jí)保護(hù)測(cè)評(píng)、電子銀行評(píng)估、互聯(lián)網(wǎng)網(wǎng)站專項(xiàng)安全測(cè)評(píng)等方式,規(guī)范企業(yè)的信息安全建設(shè)工作。同樣,信息安全工作長(zhǎng)期面臨挑戰(zhàn),不能一蹴而就,需要相關(guān)安全工作人員戮力同心、同舟共濟(jì)、相互扶持、攜手共建信息安全的共同體。
參考文獻(xiàn)
[1]沈昌祥,張煥國,馮登國等.信息安全綜述[J].中國科學(xué)雜志社,2007(37):129-150.
[2]李嘉,蔡立志,張春柳等.信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)實(shí)踐[M].哈爾濱工程大學(xué)出版社,2016(01).
[3]蔣欣.計(jì)算機(jī)網(wǎng)絡(luò)戰(zhàn)防御技術(shù)分析[J].指揮控制與仿真,2006(08),28-4.
作者簡(jiǎn)介
康玉婷(1988-),女,上海市人。碩士學(xué)位?,F(xiàn)為信息安全等級(jí)測(cè)評(píng)師、初級(jí)工程師。主要研究方向?yàn)樾畔踩?/p>
作者單位
(一)信息科技支撐不足,信息化戰(zhàn)略風(fēng)險(xiǎn)凸顯目前村鎮(zhèn)銀行支撐業(yè)務(wù)運(yùn)轉(zhuǎn)的信息科技建設(shè)與傳統(tǒng)銀行相比嚴(yán)重落后,難以保證其健康運(yùn)行和快速發(fā)展,形成了村鎮(zhèn)銀行發(fā)展的戰(zhàn)略風(fēng)險(xiǎn)。一是系統(tǒng)支撐能力不足。如漳平民泰村鎮(zhèn)銀行未加入當(dāng)?shù)厝嗣胥y行大小額支付系統(tǒng)和財(cái)稅庫行橫向聯(lián)網(wǎng)系統(tǒng),大量小微企業(yè)因無法進(jìn)行開戶代扣稅等原因只能對(duì)其“望而卻步”,目前該行某些業(yè)務(wù)須借助當(dāng)?shù)嘏d業(yè)銀行的平臺(tái)。二是漳平民泰村鎮(zhèn)銀行無法并入銀聯(lián)銀行卡網(wǎng)絡(luò),無法提供網(wǎng)上銀行服務(wù)等電子化服務(wù)渠道,因此直接“屏蔽”了許多客戶的需求,難以適應(yīng)農(nóng)村信息化建設(shè),滿足深入推進(jìn)和滿足農(nóng)民日益迫切的新興電子化金融服務(wù)和產(chǎn)品的強(qiáng)烈需求。三是信息科技投入不足,一方面部分設(shè)備老化、性能較差,未達(dá)到重要設(shè)備及系統(tǒng)的雙機(jī)備份要求;另一面專業(yè)科技人才稀缺,且技術(shù)水平和實(shí)踐經(jīng)驗(yàn)相對(duì)不足,難以勝任地方特色中間業(yè)務(wù)的開發(fā)運(yùn)維任務(wù)。
(二)信息科技發(fā)展意識(shí)淡薄,治理架構(gòu)不到位一是中小金融機(jī)構(gòu)管理層目前關(guān)注點(diǎn)仍立足利潤、收息、不良貸款等傳統(tǒng)經(jīng)濟(jì)效益指標(biāo),對(duì)信息化建設(shè)的潛在效益重視不足,未形成有效的信息科技治理架構(gòu),科學(xué)性、規(guī)范性決策欠缺。二是系統(tǒng)運(yùn)行穩(wěn)定性、安全性較差,部分核心系統(tǒng)剛開發(fā)投入使用不久,需要經(jīng)常進(jìn)行補(bǔ)丁更新和升級(jí),核心數(shù)據(jù)安全無法保障。數(shù)據(jù)備份周期過長(zhǎng)、備份方式落后,備份介質(zhì)存放環(huán)境差且未進(jìn)行異地存放,有些核心數(shù)據(jù)完全依托發(fā)起行備份管理,如個(gè)人和企業(yè)征信業(yè)務(wù)存在數(shù)據(jù)泄密隱患。三是業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)隱患大。中小金融機(jī)構(gòu)未建立專業(yè)的機(jī)房,科技設(shè)備及系統(tǒng)運(yùn)行整體環(huán)境較差,管理人員為單人,業(yè)務(wù)中斷風(fēng)險(xiǎn)嚴(yán)重。
(三)信息科技對(duì)外依賴性強(qiáng),外包風(fēng)險(xiǎn)突出中小金融機(jī)構(gòu)由于自身科技力量不足,信息化建設(shè)嚴(yán)重依賴外部,從系統(tǒng)開發(fā)上線到運(yùn)行管理維護(hù)等各個(gè)環(huán)節(jié)都依賴發(fā)起行或外包公司的支持。在未與發(fā)起行或外包公司簽訂明確的服務(wù)水平協(xié)議的情況下,普遍缺乏對(duì)發(fā)起行或外包公司科技管理維護(hù)人員的有效制約機(jī)制。外包公司倒閉、服務(wù)響應(yīng)時(shí)間長(zhǎng)等外包風(fēng)險(xiǎn)都對(duì)銀行信息化建設(shè)發(fā)展提出挑戰(zhàn)。
(四)約束機(jī)制不到位,存在操作風(fēng)險(xiǎn)及案件隱患中小金融機(jī)構(gòu)整體科技人員不足,各類約束制約機(jī)制不到位,在信息安全方面普遍存在操作風(fēng)險(xiǎn)及案件隱患。在銀行只有1名兼職科技人員的情況下,信息科技運(yùn)行中存在單人操作現(xiàn)象;同時(shí),科技人員權(quán)限過大,數(shù)據(jù)備份、系統(tǒng)管理、安全管理等職責(zé)集于一身。如漳平民泰村鎮(zhèn)銀行的保衛(wèi)監(jiān)控室與計(jì)算機(jī)房合為一體,這都為操作風(fēng)險(xiǎn)及案件發(fā)生創(chuàng)造了可能性。
(五)信息安全指導(dǎo)和監(jiān)管明顯滯后與中小金融機(jī)構(gòu)信息化高速發(fā)展相比,中小金融機(jī)構(gòu)的信息安全指導(dǎo)和監(jiān)管工作還需要進(jìn)一步加強(qiáng)。首先,人民銀行對(duì)中小金融機(jī)構(gòu)信息安全工作的指導(dǎo)和協(xié)調(diào)職責(zé),與銀監(jiān)部門監(jiān)督檢查內(nèi)容重疊且標(biāo)準(zhǔn)不一,極易造成多頭管理且口徑要求不統(tǒng)一的問題,導(dǎo)致監(jiān)管部門之間分工不明確,在缺乏有效的溝通和協(xié)調(diào)下,易造成中小金融機(jī)構(gòu)間的誤解。其次,中小金融機(jī)構(gòu)與人民銀行之間在信息安全方面缺乏交流機(jī)制,人民銀行對(duì)中小金融機(jī)構(gòu)信息安全措施是否符合規(guī)范缺乏了解,對(duì)中小金融機(jī)構(gòu)信息安全工作缺乏指導(dǎo),造成人民銀行與中小金融機(jī)構(gòu)在信息安全保障方面安全標(biāo)準(zhǔn)不對(duì)稱的局面。
二、政策建議
中小金融機(jī)構(gòu)的設(shè)立和發(fā)展,是推進(jìn)金融深化改革,完善金融組織體系的必由之路。在此過程中,能否處理好信息科技與業(yè)務(wù)發(fā)展的關(guān)系至關(guān)重要,對(duì)此我們提出以下建議。
(一)立足長(zhǎng)遠(yuǎn),以科技驅(qū)動(dòng)業(yè)務(wù)發(fā)展并提升管理水平中小金融機(jī)構(gòu)應(yīng)立足長(zhǎng)遠(yuǎn),在發(fā)展中樹立科技先行的理念,不僅將信息科技作為支撐,而且把它作為引領(lǐng)業(yè)務(wù)實(shí)現(xiàn)跨越式發(fā)展并最終走向成熟的引擎,切實(shí)以科技驅(qū)動(dòng)業(yè)務(wù)發(fā)展并提升管理水平。一是高管層應(yīng)提高對(duì)信息科技的認(rèn)識(shí),理順信息科技與業(yè)務(wù)發(fā)展的關(guān)系。二是加大人財(cái)物投人,長(zhǎng)遠(yuǎn)、科學(xué)合理規(guī)劃信息科技發(fā)展。三是在信息科技方面建章立制,加強(qiáng)執(zhí)行力建設(shè),以規(guī)矩成方圓。
(二)完善中小金融機(jī)構(gòu)信息安全管理機(jī)制中小金融機(jī)構(gòu)應(yīng)建立和完善信息安全管理的組織架構(gòu),明確部門和崗位職責(zé),形成分工合理、職責(zé)明確、相互制衡的信息安全組織架構(gòu);應(yīng)制訂符合總體業(yè)務(wù)發(fā)展的信息安全運(yùn)行規(guī)劃,確保配置足夠的人力、物力、財(cái)力,維持穩(wěn)定、安全的信息安全環(huán)境;應(yīng)制訂全面的信息安全管理策略,包括信息分級(jí)與保護(hù)、運(yùn)行和維護(hù)、訪問控制、物理安全、人員安全以及外包管理機(jī)制等;應(yīng)強(qiáng)化運(yùn)維體系建設(shè),完善運(yùn)維管理流程,明確運(yùn)維管理標(biāo)準(zhǔn),并且針對(duì)目前中小金融機(jī)構(gòu)信息系統(tǒng)的開發(fā)、建設(shè)和運(yùn)維依靠外包服務(wù)的趨勢(shì),應(yīng)建立健全科技外包管理制度,積極防范外包服務(wù)風(fēng)險(xiǎn),規(guī)范服務(wù)商的服務(wù)標(biāo)準(zhǔn)和流程;應(yīng)建立持證上崗制度,加強(qiáng)中小金融機(jī)構(gòu)信息安全工作人員培訓(xùn),在信息安全崗位設(shè)置上要滿足信息安全工作的需要,信息安全工作人員應(yīng)考取相關(guān)上崗資格證后方能上崗;應(yīng)建立信息安全考核評(píng)價(jià)機(jī)制和獎(jiǎng)懲制度,出臺(tái)考核辦法,并對(duì)信息安全工作進(jìn)行評(píng)價(jià),有效落實(shí)信息安全責(zé)任制和問責(zé)制。
(三)引導(dǎo)中小金融機(jī)構(gòu)加強(qiáng)等級(jí)保護(hù)工作金融信息安全體系的構(gòu)建必須建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上。信息安全等級(jí)保護(hù)能夠有效提高信息以及金融信息安全體系建設(shè)的整體水平,為金融信息安全體系的構(gòu)建提供系統(tǒng)性、針對(duì)性、可行性的指導(dǎo)和服務(wù),有效控制信息安全建設(shè)成本,優(yōu)化信息安全資源的配置。一是根據(jù)《信息安全等級(jí)保護(hù)管理辦法》和《金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施指引》,加大中小金融機(jī)構(gòu)等級(jí)保護(hù)工作的開展力度,做好等級(jí)保護(hù)評(píng)估工作。二是當(dāng)?shù)厝嗣胥y行應(yīng)根據(jù)中小金融機(jī)構(gòu)的特點(diǎn),建立切實(shí)可行的中小金融機(jī)構(gòu)信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)和監(jiān)管措施,對(duì)中小金融機(jī)構(gòu)的系統(tǒng)風(fēng)險(xiǎn)和操作風(fēng)險(xiǎn)進(jìn)行分類,對(duì)其信息系統(tǒng)安全定級(jí)過程與結(jié)果進(jìn)行審核監(jiān)督。三是人民銀行應(yīng)與公安部門、金融監(jiān)管部門建立協(xié)調(diào)檢查機(jī)制,適時(shí)組織對(duì)中小金融機(jī)構(gòu)等級(jí)保護(hù)工作開展情況進(jìn)行檢查,加強(qiáng)信息安全等級(jí)保護(hù)制度在中小金融機(jī)構(gòu)中的有效落實(shí)。
關(guān)鍵詞:證券行業(yè)信息安全網(wǎng)絡(luò)安全體系
近年來,我國資本市場(chǎng)發(fā)展迅速,市場(chǎng)規(guī)模不斷擴(kuò)大,社會(huì)影響力不斷增強(qiáng).成為國民經(jīng)濟(jì)巾的重要組成部分,也成為老百姓重要的投資理財(cái)渠道。資本市場(chǎng)的穩(wěn)定健康發(fā)展,關(guān)系著億萬投資者的切身利益,關(guān)系著社會(huì)穩(wěn)定和國家金融安全的大局。證券行業(yè)作為金融服務(wù)業(yè),高度依賴信息技術(shù),而信息安全是維護(hù)資本市場(chǎng)穩(wěn)定的前提和基礎(chǔ)。沒有信息安全就沒有資本市場(chǎng)的穩(wěn)定。
目前.國內(nèi)外網(wǎng)絡(luò)信息安全問題日益突出。從資本市場(chǎng)看,近年來,隨著市場(chǎng)快速發(fā)展,改革創(chuàng)新深入推進(jìn),市場(chǎng)交易模式日趨集巾化,業(yè)務(wù)處理邏輯日益復(fù)雜化,網(wǎng)絡(luò)安全事件、公共安全事件以及水災(zāi)冰災(zāi)、震災(zāi)等自然災(zāi)害都對(duì)行業(yè)信息系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行帶來新的挑戰(zhàn)。資本市場(chǎng)交易實(shí)時(shí)性和整體性強(qiáng),交易時(shí)問內(nèi)一刻也不能中斷。加強(qiáng)信息安全應(yīng)急丁作,積極采取預(yù)防、預(yù)警措施,快速、穩(wěn)妥地處置信息安全事件,盡力減少事故損失,全力維護(hù)交易正常,對(duì)于資本市場(chǎng)來說至關(guān)重要。
1證券行業(yè)倍息安全現(xiàn)狀和存在的問題
1.1行業(yè)信息安全法規(guī)和標(biāo)準(zhǔn)體系方面
健全的信息安全法律法規(guī)和標(biāo)準(zhǔn)體系是確保證券行業(yè)信息安全的基礎(chǔ)。是信息安全的第一道防線。為促進(jìn)證券市場(chǎng)的平穩(wěn)運(yùn)行,中國證監(jiān)會(huì)自1998年先后了一系列信息安全法規(guī)和技術(shù)標(biāo)準(zhǔn)。其中包括2個(gè)信息技術(shù)管理規(guī)范、2個(gè)信息安全等級(jí)保護(hù)通知、1個(gè)信息安全保障辦法、1個(gè)信息通報(bào)方法和10個(gè)行業(yè)技術(shù)標(biāo)準(zhǔn)。行業(yè)信息安全法規(guī)和標(biāo)準(zhǔn)體系的初步形成,推動(dòng)了行業(yè)信息化建設(shè)和信息安全工作向規(guī)范化、標(biāo)準(zhǔn)化邁進(jìn)。
雖然我國涉及信息安全的規(guī)范性文件眾多,但在現(xiàn)行的法律法規(guī)中。立法主體較多,法律法規(guī)體系龐雜而缺乏統(tǒng)籌規(guī)劃。面對(duì)新形勢(shì)下信息安全保障工作的發(fā)展需要,行業(yè)信息安全工作在政策法規(guī)和標(biāo)準(zhǔn)體系方面的問題也逐漸顯現(xiàn)。一是法規(guī)和標(biāo)準(zhǔn)建設(shè)滯后,缺乏總體規(guī)劃;二是規(guī)范和標(biāo)準(zhǔn)互通性和協(xié)調(diào)性不強(qiáng),部分規(guī)范和標(biāo)準(zhǔn)的可執(zhí)行性差;三是部分規(guī)范和標(biāo)準(zhǔn)已不適應(yīng),無法應(yīng)對(duì)某些新型信息安全的威脅;四是部分信息安全規(guī)范和標(biāo)準(zhǔn)在行業(yè)內(nèi)難以得到落實(shí)。
1.2組織體系與信息安全保障管理模型方面
任何安全管理措施或技術(shù)手段都離不開人員的組織和實(shí)施,組織體系是信息安全保障工作的核心。目前,證券行業(yè)采用“統(tǒng)一組織、分工有序”的信息安全工作體系,分為決策層、管理層、執(zhí)行層。
為加強(qiáng)證券期貨業(yè)信息安全保障工作的組織協(xié)調(diào),建立健全信息安全管理制度和運(yùn)行機(jī)制,切實(shí)提高行業(yè)信息安全保障工作水平,根據(jù)證監(jiān)會(huì)頒布的《證券期貨業(yè)信息安全保障管理暫行辦法》,參照ISO/IEC27001:2005,提出證券期貨業(yè)信息安全保障管理體系框架。該體系框架采用立方體架構(gòu).頂面是信息安全保障的7個(gè)目標(biāo)(機(jī)密性、完整性、可用性、真實(shí)性、可審計(jì)性、抗抵賴性、可靠性),正面是行業(yè)組織結(jié)構(gòu).側(cè)面是各個(gè)機(jī)構(gòu)為實(shí)現(xiàn)信息安全保障目標(biāo)所采取的措施和方式。
1.3IT治理方面
整個(gè)證券業(yè)處于高度信息化的背景下,IT治理已直接影響到行業(yè)各公司實(shí)現(xiàn)戰(zhàn)略目標(biāo)的可能性,良好的IT治理有助于增強(qiáng)公司靈活性和創(chuàng)新能力,規(guī)避IT風(fēng)險(xiǎn)。通過建立IT治理機(jī)制,可以幫助最高管理層發(fā)現(xiàn)信息技術(shù)本身的問題。幫助管理者處理IT問題,自我評(píng)估IT管理效果.可以加強(qiáng)對(duì)信息化項(xiàng)目的有效管理,保證信息化項(xiàng)目建設(shè)的質(zhì)量和應(yīng)用效果,使有限的投入取得更大的績(jī)效。
2003年lT治理理念引入到我國證券行業(yè),當(dāng)前我國證券業(yè)企業(yè)的IT治理存在的問題:一是IT資源在公司的戰(zhàn)略資產(chǎn)中的地位受到高層重視,但具體情況不清楚;二是IT治理缺乏明確的概念描述和參數(shù)指標(biāo);是lT治理的責(zé)任與職能不清晰。
1.4網(wǎng)絡(luò)安全和數(shù)據(jù)安全方面
隨著互聯(lián)網(wǎng)的普及以及網(wǎng)上交易系統(tǒng)功能的不斷豐富、完善和使用的便利性,網(wǎng)上交易正逐漸成為證券投資者交易的主流模式。據(jù)統(tǒng)計(jì),2008年我同證券網(wǎng)上交易量比重已超過總交易量的80%。雖然交易系統(tǒng)與互聯(lián)網(wǎng)的連接,方便了投資者。但由于互聯(lián)網(wǎng)的開放性,來自互聯(lián)網(wǎng)上的病毒、小馬、黑客攻擊以及計(jì)算機(jī)威脅事件,都時(shí)刻威脅著行業(yè)的信息系統(tǒng)安全,成為制約行業(yè)平穩(wěn)、安全發(fā)展的障礙。此,維護(hù)網(wǎng)絡(luò)和數(shù)據(jù)安全成為行業(yè)信息安全保障工作的重要組成部分。近年來,證券行業(yè)各機(jī)構(gòu)采取了一系列措施,建立了相對(duì)安全的網(wǎng)絡(luò)安全防護(hù)體系和災(zāi)舴備份系統(tǒng),基木保障了信息系統(tǒng)的安全運(yùn)行。但細(xì)追究起來,我國證券行業(yè)的網(wǎng)絡(luò)安全防護(hù)體系及災(zāi)備系統(tǒng)建設(shè)還不夠完善,還存存以下幾方面的問題:一是網(wǎng)絡(luò)安全防護(hù)體系缺乏統(tǒng)一的規(guī)劃;二是網(wǎng)絡(luò)訪問控制措施有待完善;三是網(wǎng)上交易防護(hù)能力有待加強(qiáng);四是對(duì)數(shù)據(jù)安全重視不夠,數(shù)據(jù)備份措施有待改進(jìn);五是技術(shù)人員的專業(yè)能力和信息安全意識(shí)有待提高。
1.5IT人才資源建設(shè)方面
近20年的發(fā)展歷程巾,證券行業(yè)對(duì)信息系統(tǒng)日益依賴,行業(yè)IT隊(duì)伍此不斷發(fā)展壯大。據(jù)統(tǒng)計(jì),2008年初,在整個(gè)證券行業(yè)中,103家證券公司共有IT人員7325人,占證券行業(yè)從業(yè)總?cè)藬?shù)73990人的9.90%,總體上達(dá)到了行業(yè)協(xié)會(huì)的IT治理工作指引中“IT工作人員總數(shù)原則上應(yīng)不少于公司員工總?cè)藬?shù)的6%”的最低要求。目前,證券行業(yè)的IT隊(duì)伍肩負(fù)著信息系統(tǒng)安全、平穩(wěn)、高效運(yùn)行的重任,IT隊(duì)伍建設(shè)是行業(yè)信息安全I(xiàn)T作的根本保障。但是,IT人才隊(duì)伍依然存在著結(jié)構(gòu)不合理、后續(xù)教育不足等問題,此行業(yè)的人才培養(yǎng)有待加強(qiáng)。
2采取的對(duì)策和措施
2.1進(jìn)一步完善法規(guī)和標(biāo)準(zhǔn)體系
首先,在法規(guī)規(guī)劃上,要統(tǒng)籌兼顧,制定科學(xué)的信息技術(shù)規(guī)范和標(biāo)準(zhǔn)體系框架。一是全面做好立法規(guī)劃;二是建立科學(xué)的行業(yè)信息安全標(biāo)準(zhǔn)和法規(guī)體系層次。行業(yè)信息安全標(biāo)準(zhǔn)和法規(guī)體系初步劃分為3層:第一層是管理辦法等巾同證監(jiān)會(huì)部門規(guī)章;第二層是證監(jiān)會(huì)相關(guān)部門制定的管理規(guī)范等規(guī)范性文件;第三層是技術(shù)指引等自律規(guī)則,一般由交易所、行業(yè)協(xié)會(huì)在證監(jiān)會(huì)總體協(xié)調(diào)下組織制定。其次,在法規(guī)制定上.要兼顧規(guī)范和發(fā)展,重視法規(guī)的可行性。最后,在法規(guī)實(shí)施上.要堅(jiān)持規(guī)范和指引相結(jié)合,重視監(jiān)督檢查和責(zé)任落實(shí)。
2.2深入開展證券行業(yè)IT治理工作
2.2.1提高IT治理意識(shí)
中國證券業(yè)協(xié)會(huì)要進(jìn)一步加強(qiáng)IT治理理念的教育宣傳工作,特別是對(duì)會(huì)員單位高層領(lǐng)導(dǎo)的IT治理培訓(xùn),將IT治理的定義、工具、模型等理論知識(shí)納入到高管任職資格考試的內(nèi)容之中。通過舉辦論壇、交流會(huì)等形式強(qiáng)化證券經(jīng)營機(jī)構(gòu)的IT治理意識(shí),提高他們IT治理的積極性。
2.2.2通過設(shè)立IT治理試點(diǎn)形成以點(diǎn)帶面的示范效應(yīng)
根據(jù)IT治理模型的不同特點(diǎn),建議證券公司在決策層使用CISR模型,通過成立lT治理委員會(huì),建立各部門之間的協(xié)調(diào)配合、監(jiān)督制衡的責(zé)權(quán)體系;在執(zhí)行層以COBIT模型、ITFL模型等其他模型為補(bǔ)充,規(guī)范信息技術(shù)部門的各項(xiàng)控制和管理流程。同時(shí),證監(jiān)會(huì)指定一批證券公司和基金公司作為lT試點(diǎn)單位,進(jìn)行IT治理模型選擇、剪裁以及組合的實(shí)踐探索,形成一批成功實(shí)施IT治理的優(yōu)秀范例,以點(diǎn)帶面地提升全行業(yè)的治理水平。
2.3通過制定行業(yè)標(biāo)準(zhǔn)積極落實(shí)信息安全等級(jí)保護(hù)
行業(yè)監(jiān)管部門在推動(dòng)行業(yè)信息安全等級(jí)保護(hù)工作中的作用非常關(guān)鍵.應(yīng)進(jìn)一步明確監(jiān)管部門推動(dòng)行業(yè)信息安全等級(jí)保護(hù)工作的任務(wù)和工作機(jī)制,統(tǒng)一部署、組織行業(yè)的等級(jí)保護(hù)丁作,為該項(xiàng)丁作的順利開展提供組織保證。行業(yè)各機(jī)構(gòu)應(yīng)采取自主貫徹信息系統(tǒng)等級(jí)保護(hù)的行業(yè)要求,對(duì)照標(biāo)準(zhǔn)逐條落實(shí)。同時(shí),應(yīng)對(duì)各單位實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)情況進(jìn)行測(cè)評(píng),在測(cè)評(píng)環(huán)節(jié)一旦發(fā)現(xiàn)信息系統(tǒng)的不足,被測(cè)評(píng)單位應(yīng)立即制定相應(yīng)的整改方案并實(shí)施.且南相芙的監(jiān)督機(jī)構(gòu)進(jìn)行督促。
2.4加強(qiáng)網(wǎng)絡(luò)安全體系規(guī)劃以提升網(wǎng)絡(luò)安全防護(hù)水平
2.4.1以等級(jí)保護(hù)為依據(jù)進(jìn)行統(tǒng)籌規(guī)劃
等級(jí)保護(hù)是圍繞信息安全保障全過程的一項(xiàng)基礎(chǔ)性的管理制度,通過將等級(jí)化的方法和安全體系規(guī)劃有效結(jié)合,統(tǒng)籌規(guī)劃證券網(wǎng)絡(luò)安全體系的建設(shè),建立一套信息安全保障體系,將是系統(tǒng)化地解決證券行業(yè)網(wǎng)絡(luò)安全問題的一個(gè)非常有效的方法。
2.4.2通過加強(qiáng)網(wǎng)絡(luò)訪問控制提高網(wǎng)絡(luò)防護(hù)能力
對(duì)向證券行業(yè)提供設(shè)備、技術(shù)和服務(wù)的IT公司的資質(zhì)和誠信加強(qiáng)管理,確保其符合國家、行業(yè)技術(shù)標(biāo)準(zhǔn)。根據(jù)網(wǎng)絡(luò)隔離要求,要逐步建立業(yè)務(wù)網(wǎng)與辦公網(wǎng)、業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)、網(wǎng)上交易各子系統(tǒng)間有效的網(wǎng)絡(luò)隔離。技術(shù)上可以對(duì)不同的業(yè)務(wù)安全區(qū)域劃分Vlan或者采用網(wǎng)閘設(shè)備進(jìn)行隔離;對(duì)主要的網(wǎng)絡(luò)邊界和各外部進(jìn)口進(jìn)行滲透測(cè)試,進(jìn)行系統(tǒng)和設(shè)備的安全加固.降低系統(tǒng)漏洞帶來的安全風(fēng)險(xiǎn);在網(wǎng)上交易方面,采取電子簽名或數(shù)字認(rèn)證等高強(qiáng)度認(rèn)證方式,加強(qiáng)訪問控制;針對(duì)現(xiàn)存惡意攻擊網(wǎng)站的事件越來越多的情況,要采取措施加強(qiáng)網(wǎng)站保護(hù),提高對(duì)惡意代碼的防護(hù)能力,同時(shí)采用技術(shù)手段,提高網(wǎng)上交易客戶端軟件使朋的安全性。
2.4.3提高從業(yè)人員安全意識(shí)和專業(yè)水平
目前在證券行業(yè)內(nèi),從業(yè)人員的網(wǎng)絡(luò)安全意識(shí)比較薄弱.必要時(shí)可定期對(duì)從業(yè)人員進(jìn)行安全意識(shí)考核,從行業(yè)內(nèi)部強(qiáng)化網(wǎng)絡(luò)安全工作。要加強(qiáng)網(wǎng)絡(luò)安全技術(shù)人員的管理能力和專業(yè)技能培訓(xùn),提高行業(yè)網(wǎng)絡(luò)安全的管理水平和專業(yè)技術(shù)水平。
2.5扎實(shí)推進(jìn)行業(yè)災(zāi)難備份建設(shè)
數(shù)據(jù)的安全對(duì)證券行業(yè)是至關(guān)重要的,數(shù)據(jù)一旦丟失對(duì)市場(chǎng)各方的損失是難以估量的。無論是美國的“9·11”事件,還是我國2008年南方冰雪災(zāi)害和四川汶川大地震,都敲響了災(zāi)難備份的警鐘。證券業(yè)要在學(xué)習(xí)借鑒國際經(jīng)驗(yàn)的基礎(chǔ)上,針對(duì)自身需要,對(duì)重要系統(tǒng)開展災(zāi)難備份建設(shè)。要繼續(xù)推進(jìn)證券、基金公司同城災(zāi)難備份建設(shè),以及證券交易所、結(jié)算公司等市場(chǎng)核心機(jī)構(gòu)的異地災(zāi)難備份系統(tǒng)的規(guī)劃和建設(shè)。制定各類相關(guān)的災(zāi)難應(yīng)急預(yù)案,并加強(qiáng)應(yīng)急預(yù)案的演練,確保災(zāi)難備份系統(tǒng)應(yīng)急有效.使應(yīng)急工作與日常工作有機(jī)結(jié)合。
2.6抓好人才隊(duì)伍建設(shè)
證券行業(yè)要采取切實(shí)可行的措施,建立吸引人才、留住人才、培養(yǎng)人才、發(fā)展人才的用人制度和機(jī)制。積極吸引有技術(shù)專長(zhǎng)的人才到行業(yè)巾來,加強(qiáng)lT人員的崗位技能培訓(xùn)和業(yè)務(wù)培訓(xùn),注重培養(yǎng)既懂得技術(shù)義懂業(yè)務(wù)和管理的復(fù)合型人才。要促進(jìn)從業(yè)人員提高水平、轉(zhuǎn)變觀念,行業(yè)各機(jī)構(gòu)應(yīng)采取采取請(qǐng)進(jìn)來、派出去以及內(nèi)部講座等多種培訓(xùn)方式。通過建立規(guī)范有效的人才評(píng)價(jià)體系,對(duì)信息技術(shù)人員進(jìn)行科學(xué)有效的考評(píng),提升行業(yè)人才資源的優(yōu)化配置和使用效率,促進(jìn)技術(shù)人才結(jié)構(gòu)的涮整和完善。
在國際信息安全環(huán)境日趨惡劣,國家全面倡導(dǎo)信息安全的大環(huán)境下,為了確保信息安全工作的可持續(xù)性開展及業(yè)務(wù)信息系統(tǒng)的穩(wěn)定運(yùn)行,依據(jù)集團(tuán)總部《關(guān)于建立集團(tuán)公司網(wǎng)絡(luò)與信息安全組織保障體系的通知》、鄂通信局發(fā)[2013]127號(hào)《關(guān)于進(jìn)一步落實(shí)基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全責(zé)任考核及有關(guān)工作的意見》等相關(guān)文件精神,同時(shí)參考《GA/T708-2007信息安全技術(shù)-信息系統(tǒng)安全等級(jí)保護(hù)體系框架》、《GB/T22239-2008信息安全技術(shù)-信息系統(tǒng)安全等級(jí)保護(hù)基本要求》《GB/T20269-2006信息安全技術(shù)-信息系統(tǒng)安全管理要求》、《GB/T0984-2007信息安全技術(shù)-信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》等國家標(biāo)準(zhǔn),制定了《信息安全管理辦法》、《信息安全策略》、《安全保障框架》及《安全保障基線規(guī)范》規(guī)范等,率先在企業(yè)內(nèi)建立并實(shí)施該體系,全面倡導(dǎo)企業(yè)向信息安全生產(chǎn)經(jīng)營轉(zhuǎn)型,同時(shí)積極引導(dǎo)合作伙伴樹立信息安全意識(shí),規(guī)范自身的生產(chǎn)及合作行為,明確安全風(fēng)險(xiǎn)責(zé)任、細(xì)化管理要求,立足自身,兼顧第三方,共同打造信息安全的綠色長(zhǎng)城,確保企業(yè)長(zhǎng)足健康發(fā)展。通過該安全管理體系的實(shí)施,從中全面深入地挖掘現(xiàn)有安全體系的不足之處,并針對(duì)現(xiàn)有業(yè)務(wù)系統(tǒng)中的各類安全隱患制定了有效的整改方案并予以實(shí)施、預(yù)警,確保了移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)的可持續(xù)性發(fā)展及業(yè)務(wù)信息系統(tǒng)的穩(wěn)定運(yùn)行。首先,組織完成企業(yè)的自有業(yè)務(wù)信息系統(tǒng)和合作業(yè)務(wù)信息系統(tǒng)的安全等級(jí)劃分工作,將平臺(tái)安全管理工作落實(shí)到具體的責(zé)任人,并簽署責(zé)任狀,從而樹立全員安全責(zé)任意識(shí),實(shí)現(xiàn)人人參與安全管理。定期采用SysInternalsSuite、Nmap、Nes-sus、Openvas、Metasploit等技術(shù)對(duì)業(yè)務(wù)信息系統(tǒng)進(jìn)行安全掃描、安全審計(jì),并應(yīng)用HIVE、Waka、PIG、Mahout等工具對(duì)海量日志、數(shù)據(jù)進(jìn)行分析和審核,發(fā)現(xiàn)相關(guān)漏洞與脆弱點(diǎn),并針對(duì)自有及合作業(yè)務(wù)信息系統(tǒng)編寫了整改建議和系統(tǒng)層面的加固方案。通過持續(xù)對(duì)自有及合作信息系統(tǒng)的檢查,共發(fā)現(xiàn)自有業(yè)務(wù)信息系統(tǒng)存在各類安全漏洞攻擊39處,合作業(yè)務(wù)信息系統(tǒng)存在各類安全漏洞14處,目前這些漏洞已經(jīng)全部整改與加固完畢,消除了安全隱患。其次,以信息安全管理為導(dǎo)向,組建了由電信營運(yùn)商、合作伙伴、專業(yè)公司三方共同構(gòu)成的一支業(yè)務(wù)信息系統(tǒng)安全管理團(tuán)隊(duì),通過從合作業(yè)務(wù)管理規(guī)范的建立到合作伙伴安全技能培訓(xùn),從信息安全制度宣貫到系統(tǒng)安全處罰辦法的落實(shí)執(zhí)行,從系統(tǒng)安全的定期評(píng)估到系統(tǒng)漏洞的及時(shí)加固等一系列舉措,最終創(chuàng)建一套業(yè)務(wù)信息系統(tǒng)全新的安全管理模型,提高業(yè)務(wù)信息系統(tǒng)運(yùn)行質(zhì)量和服務(wù)能力,提升創(chuàng)新業(yè)務(wù)品牌形象。從安全管理模型啟用至今,未發(fā)生一起信息安全事故,這樣強(qiáng)化了合作伙伴的信息安全概念,督促合作伙伴在發(fā)展業(yè)務(wù)的同時(shí)也重點(diǎn)關(guān)注信息安全問題,極大地降低了由于合作系統(tǒng)的信息安全漏洞導(dǎo)致的中病毒或木馬、假冒網(wǎng)站、賬號(hào)或密碼被盜、個(gè)人信息泄露等客戶信息安全事件的發(fā)生概率,此類原因造成創(chuàng)新業(yè)務(wù)投訴比率和往年相比降低了15%,改變了用戶對(duì)創(chuàng)新業(yè)務(wù)的固有印象,建立了良好的創(chuàng)新業(yè)務(wù)服務(wù)品牌形象。此模型具備良好的可復(fù)制性,可指導(dǎo)通信領(lǐng)域運(yùn)營企業(yè)開展信息安全工作。在全國率先打造這套移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)安全管理體系,包含一系列業(yè)務(wù)系統(tǒng)信息安全管理辦法、信息安全策略、安全保障框架、安全保障基線規(guī)范等相關(guān)業(yè)務(wù)系統(tǒng)管理制度及規(guī)范,業(yè)務(wù)系統(tǒng)安全管理體系的先進(jìn)性和時(shí)效性在通信行業(yè)內(nèi)名列前茅,同時(shí)通過近兩年的安全理論研究和安全評(píng)估加固實(shí)踐,針對(duì)當(dāng)前企業(yè)業(yè)務(wù)平臺(tái)系統(tǒng)在信息安全監(jiān)管中面臨的一些問題,對(duì)當(dāng)前主流關(guān)聯(lián)分析技術(shù)進(jìn)行研究的基礎(chǔ)上,提出了一種新的安全事件關(guān)聯(lián)分析技術(shù)。該技術(shù)涉及到多源數(shù)據(jù)預(yù)處理、報(bào)警聚合、關(guān)聯(lián)分析、大數(shù)據(jù)分析和安全狀況態(tài)勢(shì)評(píng)估等相關(guān)技術(shù)。此技術(shù)運(yùn)用到電信行業(yè)的信息安全監(jiān)管上,就能夠?qū)ΡO(jiān)控設(shè)備收集的日志及安全設(shè)備產(chǎn)生的告警進(jìn)行關(guān)聯(lián)分析和挖掘,從包含大量冗余信息的數(shù)據(jù)中提取出盡可能多的隱藏的安全信息,通過對(duì)此類信息的統(tǒng)計(jì)、濃縮、總結(jié)、關(guān)聯(lián)和分類,抽象出利于進(jìn)行判斷和比較的特征庫,并智能地學(xué)習(xí)和維護(hù)其特征庫,從而在提高安全事件報(bào)警準(zhǔn)確率的情況下保證極高的識(shí)別效率。同時(shí)該安全管理體系成功應(yīng)用到與百度公司合作開發(fā)的愛奇藝視頻業(yè)務(wù)系統(tǒng)、與騰訊科技公司聯(lián)合開發(fā)的微信平臺(tái)、與奇虎科技公司共同開發(fā)的安全衛(wèi)士手機(jī)應(yīng)用系統(tǒng),得到部分在美國納斯達(dá)克上市的中國互聯(lián)網(wǎng)精英公司的高度認(rèn)可和贊許,并表示今后與電信運(yùn)營商共同開發(fā)產(chǎn)品都依照此安全管理規(guī)范和體系,確保產(chǎn)品的各項(xiàng)安全性能指標(biāo)。
2創(chuàng)新點(diǎn)
為順應(yīng)移動(dòng)互聯(lián)網(wǎng)時(shí)代,運(yùn)營商從基礎(chǔ)通信運(yùn)營向流量運(yùn)營轉(zhuǎn)型的新趨勢(shì),湖北移動(dòng)確定了“業(yè)務(wù)轉(zhuǎn)型,安全先行”的發(fā)展思路,堅(jiān)持“以安全保發(fā)展、以發(fā)展促安全”。在已有的網(wǎng)絡(luò)與信息安全管理辦法的基礎(chǔ)上,積極開展適應(yīng)移動(dòng)互聯(lián)網(wǎng)時(shí)代安全管理體系建設(shè),不斷推進(jìn)科學(xué)的安全管理方法,做到六“注重”六“突出”,即:(1)注重整體規(guī)劃,突出體系建設(shè),促進(jìn)職責(zé)高效履行。制定下發(fā)安全標(biāo)準(zhǔn)化管理與評(píng)價(jià)體系建設(shè)計(jì)劃,內(nèi)容涵蓋安全工作方針目標(biāo)、安全目標(biāo)、各方職責(zé)、安全管理體系和模式、安全設(shè)施和機(jī)房環(huán)境保護(hù)設(shè)施標(biāo)準(zhǔn)、安全文明操作保證金、安全考核與獎(jiǎng)懲、過程的主要控制措施、應(yīng)急準(zhǔn)備和響應(yīng)等方面。嚴(yán)格按計(jì)劃有序開展體系建設(shè)工作;嚴(yán)格按體系文件要求開展業(yè)務(wù)或系統(tǒng)試運(yùn)行工作;加強(qiáng)保證與監(jiān)督體系的建設(shè)。(2)注重文化建設(shè),突出信息安全特色,促進(jìn)習(xí)慣養(yǎng)成。以人為本,加強(qiáng)企業(yè)安全文化建設(shè),促使安全文化落地,提高員工安全與風(fēng)險(xiǎn)防范意識(shí)。(3)注重教育培訓(xùn),突出行業(yè)特色,達(dá)到安全管理效果。通過多種渠道、形式多樣的安全教育和培訓(xùn)方式,組織各單位安全管理人員開展安全教育和培訓(xùn)工作:一是安排專家和行業(yè)資深人士進(jìn)行專題講座;二是在專題培訓(xùn)的基礎(chǔ)上,做好網(wǎng)絡(luò)與信息安全專項(xiàng)工作如何開展的培訓(xùn)。(4)注重設(shè)備管理,突出針對(duì)特色,實(shí)現(xiàn)安全管理精細(xì)化。首先,網(wǎng)絡(luò)設(shè)備較多,加強(qiáng)網(wǎng)絡(luò)安全管理提高設(shè)備安全可靠性是首要任務(wù),為此各維護(hù)單位對(duì)每臺(tái)設(shè)備均建立了安全技術(shù)臺(tái)帳,臺(tái)帳包括運(yùn)行記錄、檢查保養(yǎng)記錄和定期檢驗(yàn)記錄。其次,組織精干力量先后兩次對(duì)所有設(shè)備、流程、機(jī)房進(jìn)行全面的安全評(píng)估工作。第三,使隱患排查整改形成機(jī)制。(5)注重安全投入,突出專用特色,合理使用安全生產(chǎn)費(fèi)用。認(rèn)真落實(shí)安全管理費(fèi)用投入長(zhǎng)效機(jī)制,加大安全費(fèi)用的管理,做到??顚S?,確保安全生產(chǎn)費(fèi)用規(guī)范化、合理化和足額投入。并加強(qiáng)安全生產(chǎn)保證金的管理,建立安全生產(chǎn)保證金并實(shí)行年底考核的機(jī)制,有效促進(jìn)了安全管理工作。(6)注重應(yīng)急預(yù)案,突出超前特色,安全管理贏在主動(dòng)。在安全管理中,把預(yù)防工作落到實(shí)處,建立健全了應(yīng)急處置機(jī)構(gòu),將應(yīng)急處置工作進(jìn)一步制度化,規(guī)范化,形成了完整的安全事故預(yù)防體系。同時(shí),開展形式多樣、符合實(shí)際的應(yīng)急演練。
3結(jié)語
級(jí)別:部級(jí)期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫
級(jí)別:部級(jí)期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫
級(jí)別:部級(jí)期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫
級(jí)別:部級(jí)期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫
級(jí)別:省級(jí)期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫