第一篇:基于互聯(lián)網(wǎng)的電子政務(wù)等級(jí)保護(hù)研究
密級(jí):
頁數(shù):
畢 業(yè) 實(shí)習(xí)(論文)
信息工程大學(xué)
題目:基于互聯(lián)網(wǎng)的電子政務(wù)等級(jí)保護(hù)研究
學(xué)員姓名
*** 學(xué)
號(hào)
所在單位
指導(dǎo)教師
郭義喜 技術(shù)職務(wù)
副教授 完成日期
2010年5月
摘 要
隨著這幾年計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)信息安全成為了人們?cè)絹碓疥P(guān)注的問題,也同時(shí)成為了威脅計(jì)算機(jī)網(wǎng)絡(luò)之間信息傳播的最大障礙。為此,國家已經(jīng)在2007年7月26日發(fā)出了《關(guān)于開展全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》,電子政務(wù)工程建設(shè)辦公室在2007年11月啟動(dòng)了中央級(jí) 政務(wù)外網(wǎng)定級(jí)專項(xiàng)工作,成立了等級(jí)保護(hù)定級(jí)工作組,根據(jù)政務(wù)外網(wǎng)實(shí)際情況和特點(diǎn),經(jīng)過多倫內(nèi)部討論和專家征求意見后,基本完成了政務(wù)外網(wǎng)安全等級(jí)保護(hù)定級(jí)工作,為后續(xù)備案和全面開展、實(shí)施等級(jí)保護(hù)整改和測(cè)評(píng)工作奠定了堅(jiān)實(shí)基礎(chǔ)。
由此可見,當(dāng)今社會(huì)中,電子政務(wù)等級(jí)的保護(hù)研究已經(jīng)是一個(gè)非常重要的課題。本文從電子政務(wù)等級(jí)保護(hù)的研究方法、電子政務(wù)等級(jí)保護(hù)出現(xiàn)問題時(shí)的解決辦法、電子政務(wù)等級(jí)保護(hù)的整體安全解決方案、基于互聯(lián)網(wǎng)的電子政務(wù)的優(yōu)點(diǎn)以及如何有效的保護(hù)電子政務(wù)的安全等方面來闡述電子政務(wù)等級(jí)保護(hù)問題。
目 錄
第一章 概述.................................................................1
1.1 選題背景與研究現(xiàn)狀................................................1 1.2 研究?jī)?nèi)容與論文組織結(jié)構(gòu)............................................1 1.4 論文組織結(jié)構(gòu)......................................................2
第二章 信息化與電子政務(wù).....................................................3
2.1 我國信息化進(jìn)程的回顧..............................................3 2.2 我國電子政務(wù)發(fā)展計(jì)劃..............................................4 2.3 我國電子政務(wù)的保障措施............................................5 2.4 電子政務(wù)的優(yōu)勢(shì)....................................................6
第三章 電子政務(wù)信息安全與等級(jí)保護(hù)...........................................8
3.1 電子政務(wù)信息安全內(nèi)涵..............................................8 3.2 等級(jí)保護(hù)在電子政務(wù)中的應(yīng)用........................................8 3.3 電子政務(wù)安全管理和技術(shù)層面........................................9
第四章 基于互聯(lián)網(wǎng)的電子政務(wù)等級(jí)保護(hù)的建設(shè)..................................12
4.1 信息安全等級(jí)保護(hù)實(shí)施過程.........................................12 4.2 電子政務(wù)等級(jí)保護(hù)實(shí)施措施.........................................15
第五章 基于等級(jí)保護(hù)的電子政務(wù)安全度量......................................17
5.1 信息安全度量現(xiàn)狀.................................................17 5.2 基于等級(jí)保護(hù)的安全管理度量方法的設(shè)計(jì).............................18
第六章 總結(jié)................................................................21 參考文獻(xiàn)...................................................................22
第一章 概述
1.1 選題背景與研究現(xiàn)狀
以Internet為代表的全球性信息化浪潮日益涌起,網(wǎng)絡(luò)技術(shù)的應(yīng)用層次不斷深入、應(yīng)用領(lǐng)域日益廣泛,逐步由傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)向大型的、關(guān)鍵性的業(yè)務(wù)系統(tǒng)擴(kuò)展,目前基于互聯(lián)網(wǎng)技術(shù)的網(wǎng)絡(luò)平臺(tái)已經(jīng)在電子政務(wù)中得到了廣泛的應(yīng)用,使政府以最快的方式與市民進(jìn)行溝通,市民也能方便快捷地參與政府工作。但是,由于電子政務(wù)同時(shí)涉及到對(duì)國家秘密信息和高敏感度核心政務(wù)的保護(hù),涉及到維護(hù)公共秩序和行政監(jiān)管,從而使這種快捷和方便給政府網(wǎng)絡(luò)的安全造成了一定的威脅,使基于互聯(lián)網(wǎng)技術(shù)的電子政務(wù)面臨著嚴(yán)峻的挑戰(zhàn)。因此,運(yùn)用網(wǎng)絡(luò)安全技術(shù),建立實(shí)用可靠的安全策略體系,實(shí)施等級(jí)保護(hù),已經(jīng)成為電子政務(wù)能否得到真正應(yīng)用的關(guān)鍵。
目前,我國建立了與電子政務(wù)發(fā)展水平相適應(yīng)的安全保障措施,并且結(jié)合實(shí)際需要,制定了一批具有實(shí)際指導(dǎo)意義的信息安全法規(guī)制度和工作機(jī)制。
我國開始從整體安全體系出發(fā)來進(jìn)行信息安全建設(shè)。分級(jí)分域防護(hù)的基本思路正在逐步得到貫徹。
1.2 研究?jī)?nèi)容與論文組織結(jié)構(gòu)
本課題選擇了基于互聯(lián)網(wǎng)的電子政務(wù)等級(jí)保護(hù)作為研究重點(diǎn),討論了基于互聯(lián)網(wǎng)的電子政務(wù)等級(jí)保護(hù)的安全目標(biāo)以及為實(shí)現(xiàn)上述目標(biāo)應(yīng)采取積極的安全策略,尤其對(duì)電子政務(wù)安全保障體系框架做了進(jìn)一步分析,對(duì)基于互聯(lián)網(wǎng)的電子政務(wù)等級(jí)保護(hù)提出了自己的觀點(diǎn)。
主要內(nèi)容包括:(l)電子政務(wù)的安全目標(biāo)及其應(yīng)對(duì)策略;(2)電子政務(wù)安全保障體系框架;(3)電子政務(wù)等級(jí)保護(hù)當(dāng)前的主要問題;
(4)對(duì)于基于互聯(lián)網(wǎng)的電子政務(wù)等級(jí)保護(hù)建設(shè)的自我觀點(diǎn)。
由于國內(nèi)的基于互聯(lián)網(wǎng)的電子政務(wù)等級(jí)保護(hù)的標(biāo)準(zhǔn)和規(guī)范不太明確,所以本課題將對(duì)電子政務(wù)做進(jìn)一步的分析,提出自己的一些觀點(diǎn)和看法,希望通過自己的努力對(duì)電子政務(wù)等級(jí)保護(hù)問題有著推進(jìn)意義。
1.4 論文組織結(jié)構(gòu)
共分五章,第一章對(duì)我國基于互聯(lián)網(wǎng)的電子政務(wù)等級(jí)保護(hù)的現(xiàn)狀以及研究?jī)?nèi)容做一簡(jiǎn)要介紹,第二章主要概述了信息化與電子政務(wù)的發(fā)展史,第三章重點(diǎn)討論了電子政務(wù)信息安全與等級(jí)保護(hù)的關(guān)系問題,第四章主要介紹了基于互聯(lián)網(wǎng)的電子政務(wù)等級(jí)保護(hù)建設(shè)問題,第五章討論了電子政務(wù)等級(jí)保護(hù)安全度量方法,第六章是總結(jié)及展望。
第二章 信息化與電子政務(wù)
中國的信息化建設(shè)起步于20世紀(jì)80年代初期,從國家大力推動(dòng)電子信息技術(shù)應(yīng)用開始,大致經(jīng)歷了四個(gè)階段,而我國的電子政務(wù)建設(shè)是中國信息化建設(shè)發(fā)展的一個(gè)新階段,它以我國前期信息化建設(shè)的成果為基礎(chǔ)。
2.1 我國信息化進(jìn)程的回顧
(1)準(zhǔn)備階段(1993年以前)
20世紀(jì)80年代初期,在我國國民經(jīng)濟(jì)進(jìn)行調(diào)整的情況下,計(jì)算機(jī)工業(yè)界認(rèn)識(shí)到發(fā)展我國計(jì)算機(jī)工業(yè),應(yīng)該從過去的一研究制造計(jì)算機(jī)硬件設(shè)備為中心,迅速的轉(zhuǎn)向以普及應(yīng)用為重點(diǎn),以此帶動(dòng)研究開發(fā)、生產(chǎn)制造、外圍配套、應(yīng)用開發(fā)、技術(shù)服務(wù)和產(chǎn)品銷售等工作。1982年10月4日,國務(wù)院成立了計(jì)算機(jī)與超大規(guī)模集成電路領(lǐng)導(dǎo)小組。下設(shè)計(jì)算機(jī)和集成電路兩個(gè)顧問小組,聘請(qǐng)有理論水平、有實(shí)踐經(jīng)驗(yàn)的科學(xué)家、經(jīng)濟(jì)學(xué)家和工程技術(shù)人員參加,負(fù)責(zé)規(guī)劃、決策和技術(shù)經(jīng)濟(jì)咨詢。
1984年,為了研究我國新技術(shù)革命的對(duì)策,國務(wù)院成立了新技術(shù)革命對(duì)策小組,組織了計(jì)算集專項(xiàng)和光纖通信專項(xiàng)研究。1984年9月15日,計(jì)算機(jī)與大型集成電路領(lǐng)導(dǎo)小組改為電子振興領(lǐng)導(dǎo)小組。1986年3月,“863”計(jì)劃啟動(dòng)。該計(jì)劃投資100億元,其中,信息技術(shù)相關(guān)項(xiàng)目的投資約占投資總額的三分之二。
1988年5月,根據(jù)國務(wù)院機(jī)構(gòu)改革方案,成立機(jī)械電子工業(yè)部,并將振興電子產(chǎn)業(yè)的任務(wù)交機(jī)械電子工業(yè)部承擔(dān)。隨后,國務(wù)院常務(wù)會(huì)議決定,國務(wù)院電子振興領(lǐng)導(dǎo)小組辦公室更名為國務(wù)院電子信息系統(tǒng)推廣應(yīng)用辦公室,繼續(xù)支持各行各業(yè)應(yīng)用電子信息技術(shù)。從1988年至1992年,國家發(fā)展計(jì)劃委員會(huì)、機(jī)械電子工業(yè)部、國家科學(xué)技術(shù)委員會(huì)和電子信息技術(shù)推廣應(yīng)用辦公室,在傳統(tǒng)產(chǎn)業(yè)技術(shù)改造、EDI技術(shù)、CAD/CAM以及MIS等領(lǐng)域,做了大量工作,不斷推動(dòng)電子信息技術(shù)應(yīng)用向縱深發(fā)展。
(2)啟動(dòng)階段(1993年3月至1997年4月)
1993年,成立國家經(jīng)濟(jì)信息化聯(lián)席會(huì)議。我國信息化基本上正式起步于1993年,黨和國家領(lǐng)導(dǎo)人江澤民、李鵬、朱镕基、李嵐清等相繼提出了信息化建設(shè)的任務(wù),啟動(dòng)了“金卡”、“金橋”、“金關(guān)”等重大信息化工程,拉開了國民經(jīng)濟(jì)信息化的序幕。同年12月,成立了以國務(wù)院副總理鄒家華為主席的國家經(jīng)濟(jì)信息化聯(lián)席會(huì)議,確立了“推進(jìn)信息化工程實(shí)施、以信息化帶動(dòng)產(chǎn)業(yè)發(fā)展”的指導(dǎo)思想。1996年1月,國務(wù)院信息化工作領(lǐng)導(dǎo)小組成立。國務(wù)院信息化工作領(lǐng)導(dǎo)小組由國務(wù)院副總理鄒家華任組長,由20多個(gè)部委領(lǐng) 導(dǎo)組成的國務(wù)院信息化工作領(lǐng)導(dǎo)小組,統(tǒng)一領(lǐng)導(dǎo)和組織協(xié)調(diào)全國地信息化工作。1996年以后,中央和地方都確立了信息化在國民經(jīng)濟(jì)和社會(huì)發(fā)展中的重要地位,信息化在各領(lǐng)域、各地區(qū)形成了強(qiáng)勁的發(fā)展潮流。
(3)展開階段(1997年4月至2000年10月)
經(jīng)過1993—1997年的建設(shè)和發(fā)展,符合我國國情的信息化發(fā)展思路初步形成。國務(wù)院信息化工作領(lǐng)導(dǎo)小組確立了國家信息化的定義和國家信息化體系六要素,進(jìn)一步充實(shí)和豐富了我國信息化建設(shè)的內(nèi)涵;提出了信息化建設(shè)“統(tǒng)籌計(jì)劃,國家主導(dǎo);統(tǒng)一標(biāo)準(zhǔn),聯(lián)合建設(shè);互聯(lián)互通,資源共享”的二十四字指導(dǎo)方針。
1997年4月18—21日,經(jīng)國務(wù)院批準(zhǔn),國務(wù)院信息化工作領(lǐng)導(dǎo)小組在深圳召開了首次全國信息化工作會(huì)議,會(huì)議全面部署了國家信息化工作,通過了《國家信息化“九五”規(guī)劃和2010年遠(yuǎn)景目標(biāo)》,成為我國信息化建設(shè)的里程碑。此后,全國地信息化工作從解決應(yīng)急性的熱點(diǎn)問題,步入了為經(jīng)濟(jì)發(fā)展和社會(huì)全面進(jìn)步服務(wù),有組織、有計(jì)劃的發(fā)展軌道。
1998年3月,組建信息產(chǎn)業(yè)部。隨著國務(wù)院機(jī)構(gòu)的新一輪改革,將原國務(wù)院信息化工作領(lǐng)導(dǎo)小組辦公室整建制并入新組建的信息產(chǎn)業(yè)部,負(fù)責(zé)推進(jìn)國民經(jīng)濟(jì)和社會(huì)服務(wù)信息化的工作。在信息產(chǎn)業(yè)部?jī)?nèi)部機(jī)構(gòu)設(shè)置上,設(shè)立了信息化推進(jìn)司(國家信息化辦公室)。
1999年12月,恢復(fù)國務(wù)院信息化工作領(lǐng)導(dǎo)小組。根據(jù)國務(wù)院關(guān)于恢復(fù)國務(wù)院信息化工作領(lǐng)導(dǎo)小組的批示,為了加強(qiáng)國家信息化工作的領(lǐng)導(dǎo),決定成立由國務(wù)院副總理吳邦國任組長的國家信息化工作領(lǐng)導(dǎo)小組,并將國家信息化辦公室改名為國家信息化推進(jìn)工作辦公室。
(4)發(fā)展階段(2000年10月至今)
2001年8月,國家信息化工作辦公室成立。黨中央、國務(wù)院在原有基礎(chǔ)上成立了由朱镕基任組長,胡錦濤、李嵐清、丁關(guān)根、吳邦國、曾培炎為成員的國家信息化領(lǐng)導(dǎo)小組,這樣高規(guī)格的領(lǐng)導(dǎo)機(jī)構(gòu),充分反映出黨中央、國務(wù)院加強(qiáng)中國信息化建設(shè)的決心和力度。同時(shí)它的辦事機(jī)構(gòu)——國務(wù)院信息化工作辦公室也正式成立,由國家發(fā)展計(jì)劃委員會(huì)主任、國家信息化領(lǐng)導(dǎo)小組副組長曾培炎兼任國務(wù)院信息化工作辦公室主任。
2.2 我國電子政務(wù)發(fā)展計(jì)劃
國務(wù)院信息化辦公室組織了上百位專家對(duì)國家電子政務(wù)進(jìn)行研究,形成一套電子政務(wù)發(fā)展戰(zhàn)略框架,電子政務(wù)已經(jīng)被列為中國信息化建設(shè)的重點(diǎn)任務(wù)。
一是建立兩個(gè)統(tǒng)一的電子政務(wù)平臺(tái),即連接副省級(jí)以上部門辦公業(yè)務(wù)的“政務(wù)內(nèi)網(wǎng)”和面向公眾、企業(yè)以及連接政府間業(yè)務(wù)的“政務(wù)外網(wǎng)”;其中,外網(wǎng)將與互聯(lián)網(wǎng)相連接。
二是建設(shè)和推進(jìn)十二項(xiàng)重點(diǎn)工程,包括為各級(jí)領(lǐng)導(dǎo)決策服務(wù)的“辦公業(yè)務(wù)資源系統(tǒng)” 和“宏觀政策管理系統(tǒng)”,目標(biāo)將所有稅務(wù)機(jī)關(guān)和稅種擴(kuò)展成為全方位的稅收電子化系統(tǒng)的“金稅工程”,將完整的通關(guān)業(yè)務(wù)電子化的“金關(guān)工程”,為國家預(yù)算編制和預(yù)算執(zhí)行提供網(wǎng)絡(luò)化、數(shù)字化服務(wù)的“金財(cái)工程”,對(duì)銀行、信托、證券、保險(xiǎn)進(jìn)行有效監(jiān)管“金融監(jiān)管工程”、實(shí)現(xiàn)審計(jì)工作數(shù)字化的“金審工程”。另外,還有包括保障社會(huì)穩(wěn)定、安全的“金盾工程”和“社會(huì)保障工程”、防偽打假的“金質(zhì)工程”、應(yīng)對(duì)水旱災(zāi)情的“金水工程”和為農(nóng)業(yè)現(xiàn)代化服務(wù)的“金農(nóng)工程”。
三是信息資源建設(shè),包括兩個(gè)信息體系和人口庫、法人庫、信息資源和空間地域庫、宏觀經(jīng)濟(jì)庫等四個(gè)數(shù)據(jù)庫,為政府部門提供最基礎(chǔ)的數(shù)據(jù)資源。
2.3 我國電子政務(wù)的保障措施
1、標(biāo)準(zhǔn)先行
為貫徹落實(shí)國家信息化領(lǐng)導(dǎo)小組推進(jìn)國家信息化工作的五項(xiàng)方針和統(tǒng)一標(biāo)準(zhǔn)的具體要求,進(jìn)一步推動(dòng)我國電子政務(wù)順利發(fā)展,國家標(biāo)準(zhǔn)化管理委員會(huì)和國務(wù)院信息化工作辦公室批準(zhǔn)成立了“國家電子政務(wù)標(biāo)準(zhǔn)化總體組”。
我國電子政務(wù)標(biāo)準(zhǔn)化工作的開展是在國家標(biāo)準(zhǔn)化管理委員會(huì)和國務(wù)院信息化辦公室的統(tǒng)一領(lǐng)導(dǎo)下,由國家電子政務(wù)標(biāo)準(zhǔn)化總體組組織實(shí)施。
總體組的主要工作是積極研究跟進(jìn)國內(nèi)外與電子政務(wù)有關(guān)的標(biāo)準(zhǔn)的發(fā)展動(dòng)態(tài),及時(shí)調(diào)整工作思路及方向,與國內(nèi)各政府部門、技術(shù)專家及開發(fā)商一起研究制定中國電子政務(wù)標(biāo)準(zhǔn),推動(dòng)我國電子政務(wù)健康、有序的建設(shè)。
總體組花費(fèi)近半年的時(shí)間完成了《電子政務(wù)標(biāo)準(zhǔn)化指南》(第一版)。《電子政務(wù)標(biāo)準(zhǔn)化指南》(第一版)在電子政務(wù)標(biāo)準(zhǔn)化工作的指導(dǎo)思想、工作原則的基礎(chǔ)上,確定了電子政務(wù)標(biāo)準(zhǔn)化的總體目標(biāo)和工作任務(wù)并對(duì)電子政務(wù)標(biāo)準(zhǔn)體系和電子政務(wù)標(biāo)準(zhǔn)化管理機(jī)制等多方面的內(nèi)容進(jìn)行了闡述。
《電子政務(wù)標(biāo)準(zhǔn)化指南》共分為以下六個(gè)部分: 第一部分:總則。第二部分:工程管理。第三部分:網(wǎng)絡(luò)建設(shè)。第四部分:信息共享。第五部分:支撐技術(shù)。第六部分:信息安全。
《電子政務(wù)標(biāo)準(zhǔn)化指南第一部分:總則》(第一版)已于2002年正式發(fā)布。
2、實(shí)施監(jiān)理制度
信息產(chǎn)業(yè)部為了規(guī)范信息系統(tǒng)工程建設(shè)市場(chǎng),保證國家電子政務(wù)工程的質(zhì)量,2002年 11月28日發(fā)布了《信息系統(tǒng)工程監(jiān)理暫行規(guī)定》,明確指出下列信息工程應(yīng)當(dāng)實(shí)施監(jiān)理:
● 國家級(jí)、省部級(jí)、地市級(jí)的大中型信息系統(tǒng)工程項(xiàng)目;
● 國家政策性銀行或者國有商業(yè)銀行規(guī)定使用貸款需要實(shí)施監(jiān)理的項(xiàng)目; ● 涉及國家安全、生產(chǎn)安全的信息系統(tǒng)工程項(xiàng)目;
● 國家法律、行政法規(guī)及行政規(guī)章規(guī)定應(yīng)當(dāng)實(shí)施監(jiān)理的其他信息系統(tǒng)工程項(xiàng)目。監(jiān)理的主要內(nèi)容是對(duì)信息系統(tǒng)工程項(xiàng)目的質(zhì)量、進(jìn)度和投資進(jìn)行監(jiān)督,對(duì)項(xiàng)目合同和文檔資料進(jìn)行管理,協(xié)調(diào)有關(guān)單位間的工作關(guān)系。監(jiān)理制度的引入從組織結(jié)構(gòu)上和管理上,保證了電子政務(wù)工程的質(zhì)量。
2.4 電子政務(wù)的優(yōu)勢(shì)
(1)辦公透明,利于監(jiān)督
政府上網(wǎng)以后,可以在網(wǎng)上向所有公眾公開政府本門的名稱、職能、機(jī)構(gòu)組織、辦事章程及各項(xiàng)公開文件等,可以讓公眾迅速了解政府機(jī)構(gòu)的組成、只能和辦事章程、各項(xiàng)證詞法規(guī),增加辦事的透明度,并自覺接受公眾的監(jiān)督。除政府行政部門之外,人大、政協(xié)上網(wǎng)可以讓公眾了解到人大立法和提出議案的過程,促進(jìn)人格各項(xiàng)立法更完善合理,通過網(wǎng)絡(luò)使個(gè)向法律更加迅速的傳遞到民眾手上。事實(shí)上,在歐洲,已經(jīng)有虛擬議會(huì),人們足不出戶就可以積極參與國家事物核對(duì)法律的考核,促進(jìn)社會(huì)民主的進(jìn)步與發(fā)展,市政府管理更加直接、有效。
(2)提高工作效率
“電子政府”建設(shè)完成并全達(dá)到普及后,公眾可以通過網(wǎng)絡(luò)與政府機(jī)關(guān)打交道。配合數(shù)字簽名和網(wǎng)絡(luò)身份認(rèn)證的的建立,公眾可以直接通過網(wǎng)絡(luò)向政府機(jī)關(guān)申請(qǐng)服務(wù),政府可以通過網(wǎng)絡(luò)提供服務(wù),例如,工商管理、繳納稅金、海關(guān)報(bào)關(guān)驗(yàn)關(guān)等,可以大大提高政府的工作效率。
(3)增加跨時(shí)間、快地域服務(wù)
“電子政府”可以為群眾提供全天候的服務(wù),網(wǎng)絡(luò)上的政府是“數(shù)字化”的政府,政府可以無所不在,群眾可以在任何地點(diǎn),只要是因特網(wǎng)可以觸及的地方,都可以與政府服務(wù)網(wǎng)建立連接,隨時(shí)隨地獲得服務(wù)。
(4)文檔管理負(fù)擔(dān)大幅度減輕
政府各部門每年要向群眾和企事業(yè)單位發(fā)送各種待填寫的單據(jù),數(shù)量相當(dāng)龐大。設(shè)立了“電子政府”后,用戶可以在政府的網(wǎng)頁上找到相應(yīng)的填寫表單、申報(bào)的應(yīng)用程序,通過這一服務(wù)可以實(shí)現(xiàn)整個(gè)表單處理過程的自動(dòng)化。
(5)資料上網(wǎng),社會(huì)共享
政府部門的許多資料檔案對(duì)公眾是很有用處的,要充分挖掘其內(nèi)在的潛力,為社會(huì)服 務(wù)。例如,如果把個(gè)城市所有注冊(cè)公司單位的情況在網(wǎng)上公布,供公眾查詢,這樣公司在進(jìn)行商業(yè)交往的時(shí)候,通過Internet查詢,就可以方便迅速的了解到對(duì)方的資信情況。可以有效的避免商業(yè)詐騙活動(dòng),保護(hù)商業(yè)者的利益。教育部門可以把全國各大專院校的情況上網(wǎng),工考上在報(bào)考時(shí)查詢選擇等等,這些都是政府對(duì)公眾服務(wù)的一個(gè)重要內(nèi)容。政府部門的日常活動(dòng)也可以上網(wǎng),公開政府部門的各項(xiàng)活動(dòng),可以使政府部門受到的公眾監(jiān)督,這對(duì)于發(fā)揚(yáng)民主,搞好政府部門的廉政建設(shè)有很大意義。
(6)加強(qiáng)政府與群眾間的雙向溝通
利用網(wǎng)絡(luò)可以建立起更加有效的、快捷的政府與公眾之間的相互交流的渠道,為公眾與政府部門實(shí)時(shí)、雙向地溝通提供方便。為了更好的利用網(wǎng)絡(luò)與民眾進(jìn)行溝通交流,并對(duì)民眾建設(shè)和意見作出及時(shí)有效的處理,政府部門應(yīng)設(shè)有一個(gè)電子信息處理中心,處理群眾意見,并及時(shí)轉(zhuǎn)發(fā)到相關(guān)部門,督促和監(jiān)督問題的解決,這比過去的上訪、市長信箱、市長熱線等等更加方便、有效、及時(shí)。總之,加強(qiáng)政府與公眾之間的雙向溝通對(duì)于政府更及時(shí)、更有效地接納公眾意見,更有效地為人民服務(wù),樹立政府形象十分重要。
第三章 電子政務(wù)信息安全與等級(jí)保護(hù)
3.1 電子政務(wù)信息安全內(nèi)涵
電子政務(wù)作為國家信息化戰(zhàn)略重要組成部分,具有先導(dǎo)和示范作用,其信息安全保障事關(guān)經(jīng)濟(jì)發(fā)展、國家安全、社會(huì)穩(wěn)定、公眾利益和社會(huì)主義精神文明建設(shè)。實(shí)行電子政務(wù)信息安全等級(jí)保護(hù)是我國信息安全保護(hù)的基本制度和重點(diǎn)任務(wù)之一,本章制著重討論等級(jí)保護(hù)制度如何保護(hù)電子政務(wù)的信息安全。
電子政務(wù)市政府管理方式的革命,它是運(yùn)用信息以及通信技術(shù)打破行政機(jī)關(guān)的組織界限,構(gòu)建一個(gè)電子化的虛擬機(jī)關(guān),使公眾擺脫傳統(tǒng)的層層關(guān)卡以及書面審核的作業(yè)方式,并依據(jù)人們的需求、人們可以獲取的方式、人們要求的時(shí)間及地點(diǎn),高效快捷的向人們提供了各種不同的服務(wù)選擇。政府機(jī)關(guān)之間以及政府與社會(huì)各界之間也經(jīng)由各種電子化渠道進(jìn)行相互溝通,電子政務(wù)的建立將使政府成為一個(gè)更符合環(huán)保精神的政府,一個(gè)更開放透明的政府,一個(gè)更有效率的政府,一個(gè)更廉潔勤政的政府。然而,電子政務(wù)的只能與優(yōu)勢(shì)得以實(shí)現(xiàn)的一個(gè)根本前提是信息安全的有效保障。因?yàn)殡娮诱?wù)信息網(wǎng)絡(luò)上有相當(dāng)多的政府公文在流轉(zhuǎn),其中不乏重要信息,內(nèi)部網(wǎng)絡(luò)上有著大量高度機(jī)密的數(shù)據(jù)和信息,直接涉及政府的核心政務(wù),它關(guān)系到政府部門、各大系統(tǒng)乃至整個(gè)國家的利益,有的甚至涉及國家安全。如果電子政務(wù)信息安全得不到保障,電子政務(wù)的便利與效率便無從保證,對(duì)國家利益將帶來嚴(yán)重威脅。電子政務(wù)信息安全是制約電子政務(wù)建設(shè)與發(fā)展的首要問題和核心問題。
電子政務(wù)的信息安全可以理解為:
1、從新的層次看,包括信息的完整性(保證新的來源,去向、內(nèi)容真實(shí)無誤)、保密性(保證信息不會(huì)被非法泄露擴(kuò)散)、不可否認(rèn)性(保證信息的發(fā)送和接受著無法否認(rèn)自己所做過的操作行為)等。
2、從網(wǎng)絡(luò)層次看,包括可靠性(保證網(wǎng)絡(luò)和信息系統(tǒng)隨時(shí)可用,運(yùn)行過程中不出現(xiàn)故障,與意外事故能夠盡量減少損失并盡早 恢復(fù)正常)、可控性(保證營運(yùn)者對(duì)網(wǎng)絡(luò)和信息系統(tǒng)有足夠的控制額管理能力)、互操作性(保證協(xié)議和系統(tǒng)那個(gè)能互相連接)、可計(jì)算性(保證準(zhǔn)確跟蹤實(shí)體運(yùn)行達(dá)到審計(jì)知識(shí)的目的)等。
3、從設(shè)備層次看,包括質(zhì)量保證、設(shè)備備份、物理安全等。
4、從管理層次看,包括人員可靠、規(guī)章制度完整等。
3.2 等級(jí)保護(hù)在電子政務(wù)中的應(yīng)用
1、電子政務(wù)等級(jí)保護(hù)的基本原則(1)重點(diǎn)保護(hù)原則
電子政務(wù)等級(jí)保護(hù)應(yīng)突出重點(diǎn),重點(diǎn)保護(hù)關(guān)系國家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要電子政務(wù)系統(tǒng),集中資源首先確保重點(diǎn)系統(tǒng)那個(gè)安全。
(2)自主保護(hù)原則
電子政務(wù)等級(jí)保護(hù)藥貫徹“誰主管誰負(fù)責(zé),誰運(yùn)營誰負(fù)責(zé)”的原則,由個(gè)主管部門能和運(yùn)營單位依照國家相關(guān)法規(guī)和標(biāo)準(zhǔn),自主確定電子政務(wù)系統(tǒng)的安全等級(jí)并組織實(shí)施安全防護(hù)。
(3)分區(qū)域保護(hù)原則
電子政務(wù)等級(jí)保護(hù)要根據(jù)各地區(qū)、各行業(yè)電子政務(wù)系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)政務(wù)系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)和不同發(fā)展水平,分類、分級(jí)、分階段進(jìn)行實(shí)施,銅鼓劃分不同安全保護(hù)等級(jí)的區(qū)域,實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)。
(4)同步建設(shè)、動(dòng)態(tài)調(diào)整原則
電子政務(wù)系統(tǒng)在新建、改建、擴(kuò)建時(shí)應(yīng)當(dāng)同步建設(shè)信息安全設(shè)施,保障信息安全與信息化建設(shè)相適應(yīng)。因信息和信息系統(tǒng)的應(yīng)用類型、范圍等條件的變化及其他原因,安全保護(hù)等級(jí)需要變更的,應(yīng)當(dāng)重新確定系統(tǒng)的安全保護(hù)等級(jí)。
3.3 電子政務(wù)安全管理和技術(shù)層面
政府部門通過全面推行信息安全等級(jí)保護(hù)制度,逐步將信息安全等級(jí)保護(hù)制度,逐步將信息安全等級(jí)保護(hù)制度落實(shí)到信息系統(tǒng)安全規(guī)劃、建設(shè)、測(cè)評(píng)、運(yùn)行維護(hù)和使用等各個(gè)環(huán)節(jié),根據(jù)電子政務(wù)信息系統(tǒng)的實(shí)際情況,應(yīng)從技術(shù)體系和管理體系兩方面來找開說明,結(jié)合等級(jí)保護(hù)的制度來構(gòu)建電子政務(wù)系統(tǒng)的信息安全體系。根據(jù)等級(jí)保護(hù)的思想并結(jié)合安全域的原則,根據(jù)電子政務(wù)系統(tǒng)的實(shí)際情況,電子政務(wù)系統(tǒng)安全體系建設(shè)流程如下圖所示:
1、安全管理體系
安全管理貫穿整個(gè)電子政務(wù)安全防護(hù)體系,對(duì)電子政務(wù)安全實(shí)施起指導(dǎo)作用。安全管理體系包括:法律政策、規(guī)章制度和標(biāo)準(zhǔn)規(guī)范。安全管理體系的建立應(yīng)符合組織使命,符合組織利益。電子政務(wù)的工作內(nèi)容和工作流程涉及到國家秘密與核心政務(wù)它的安全關(guān)系到國家的主權(quán)、國家的安全和公眾利益,所以電子政務(wù)的安全實(shí)施和保障,必須以國家法規(guī)形式將其固化,形成全國共同遵守的規(guī)約。目前,世界上很多國家制訂了與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī),如英國的《官方信息保護(hù)法》等。我國雖然頒發(fā)了一些與網(wǎng)絡(luò)安全有關(guān)的法律法規(guī),如《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》等等,但顯得很零散,在完善法律法規(guī)的同時(shí),還應(yīng)該加大執(zhí)法力度,嚴(yán)格執(zhí)法,這一目標(biāo)的實(shí)現(xiàn)不僅需要政府的努力,更要國家立法機(jī)構(gòu)的參與和支持。
信息安全標(biāo)準(zhǔn)有利于安全產(chǎn)品規(guī)范化,有利于保證產(chǎn)品安全可信性、實(shí)現(xiàn)產(chǎn)品的互聯(lián)和互操作性、更新和可擴(kuò)展性,支持系統(tǒng)安全的測(cè)評(píng)預(yù)評(píng)估,保障電子政務(wù)系統(tǒng)的安全可靠。電子政務(wù)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)規(guī)范包括電子文檔秘密劃分和標(biāo)記格式、內(nèi)容健康性等級(jí)劃分與標(biāo)記、內(nèi)容敏感性等級(jí)劃分與標(biāo)記、密碼算法標(biāo)準(zhǔn)、密碼模塊標(biāo)準(zhǔn)、密鑰管理標(biāo)準(zhǔn)、PKI/CA標(biāo)準(zhǔn)、PMI標(biāo)準(zhǔn)、信息系統(tǒng)安全評(píng)估和網(wǎng)絡(luò)安全產(chǎn)品測(cè)評(píng)標(biāo)準(zhǔn)等方面的內(nèi)容。
電子政務(wù)信息系統(tǒng)存在著來自社會(huì)環(huán)境、技術(shù)環(huán)境和物理自然環(huán)境的安全風(fēng)險(xiǎn),其安全為威脅無時(shí)無處不再。對(duì)于電子政務(wù)信息系統(tǒng)的安全問題,不能企圖單憑利用一些集成了信息安全技術(shù)的安全產(chǎn)品來解決,而必須建立電子政務(wù)信息系統(tǒng)安全管理體系,全方位地,綜合解決系統(tǒng)安全問題。
2、安全技術(shù)體系
安全技術(shù)體系包括網(wǎng)絡(luò)安全體系和數(shù)據(jù)安全傳輸與存儲(chǔ)體系,功能主要是通過各種技術(shù)手段實(shí)現(xiàn)技術(shù)層次的安全保護(hù)。
網(wǎng)絡(luò)安全體系包括網(wǎng)閘、日勤檢測(cè)、漏洞檢測(cè)、外聯(lián)和接入檢測(cè)、補(bǔ)丁管理、防火墻、身份鑒別和認(rèn)證、系統(tǒng)訪問控制、網(wǎng)絡(luò)審計(jì)等;數(shù)據(jù)安全與傳輸與存儲(chǔ)體系包括數(shù)據(jù)備份恢復(fù)、PKI/CA、PMI等,拓?fù)鋱D如下圖所示。
根據(jù)電子政務(wù)系統(tǒng)的情況,我們應(yīng)以等級(jí)保護(hù)為基本的指導(dǎo)原則,并結(jié)合安全域的理念來進(jìn)行,首先我們應(yīng)對(duì)電子政務(wù)的信息系統(tǒng)進(jìn)行系統(tǒng)等級(jí)的劃分,在我們得到了相應(yīng)的系統(tǒng)等級(jí)之后,再根據(jù)各應(yīng)用系統(tǒng)的等級(jí)情況來涉及安全規(guī)劃和建設(shè)方案,真正的將等級(jí)保護(hù)制度落實(shí)到實(shí)處,如下圖所示。
根據(jù)上述的相應(yīng)流程,最后我們的到得電子政務(wù)系統(tǒng)可操作的解決方案。
電子政務(wù)系統(tǒng)應(yīng)根據(jù)自己的安全等級(jí)來制定相應(yīng)的安全措施和安全規(guī)則,具體過程如下圖。
第四章 基于互聯(lián)網(wǎng)的電子政務(wù)等級(jí)保護(hù)的建設(shè)
電子政務(wù)外網(wǎng)是政府部門之間由于協(xié)同辦公的需要而建立的專用網(wǎng)絡(luò)。它同政府內(nèi)網(wǎng)物理隔離,同Internet網(wǎng)邏輯隔離,它同其他網(wǎng)絡(luò)邏輯隔離。電子政務(wù)外網(wǎng)系統(tǒng)是由相關(guān)的和配套的設(shè)備、設(shè)施按照電子政務(wù)平臺(tái)信息系統(tǒng)的一個(gè)應(yīng)用目標(biāo)和規(guī)則組合而成的有形實(shí)體。它是各級(jí)政府對(duì)外溝通的門戶系統(tǒng),為用戶提供查閱信息,辦理相關(guān)業(yè)務(wù)(公民、企業(yè)可以通過政府外網(wǎng)辦理各種手需、證書、執(zhí)照等,享受到政府所提供的各種服務(wù))、溝通交流的網(wǎng)絡(luò)平臺(tái)。它的內(nèi)部人物是OA、郵件、簡(jiǎn)報(bào)、公文交換、會(huì)議管理,還包含通過互聯(lián)網(wǎng)的辦公數(shù)據(jù)交互等。各級(jí)政府的信息委的信息委是各級(jí)政府外網(wǎng)系統(tǒng)的唯一安全責(zé)任單位、安全建設(shè)、運(yùn)行維護(hù)、物理環(huán)境安全等,系統(tǒng)承擔(dān)全部安全保護(hù)責(zé)任。
4.1 信息安全等級(jí)保護(hù)實(shí)施過程
各級(jí)政府的電子政務(wù)外網(wǎng)具有較高的相似性,機(jī)構(gòu)、規(guī)模、功能已經(jīng)承載業(yè)務(wù)等都有很多相似性。根據(jù)這寫相似性,上海三零為是信息安全有限公司從所有參與建設(shè)的電子政務(wù)外網(wǎng)項(xiàng)目中進(jìn)行抽象、總結(jié),基于《信息安全等級(jí)保護(hù)管理辦法》、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》和《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》設(shè)計(jì)了完整的電子政務(wù)外網(wǎng)整體安全解決方案。
該解決方案按照實(shí)施過程分為三個(gè)階段五個(gè)模塊。如下圖所示:
在系統(tǒng)出示化階段中,按照《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》制定如下流程:
信息定級(jí)模塊的最終交付成果為《某政務(wù)外網(wǎng)信息系統(tǒng)等級(jí)保護(hù)定級(jí)報(bào)告》,共分3個(gè)章節(jié),兩份附件表進(jìn)行編寫:第一章,信息系統(tǒng)描述:第二章,信息系統(tǒng)安全保護(hù)等級(jí) 確定;第三章,安全保護(hù)等級(jí)的確定;附件表一,政務(wù)外網(wǎng)系統(tǒng)業(yè)務(wù)信息安全等級(jí)確定工作表;附件表二,政務(wù)外網(wǎng)系統(tǒng)服務(wù)安全等級(jí)確定工作表。
在信息系統(tǒng)描述中,需要確認(rèn)政務(wù)外網(wǎng)系統(tǒng)具有唯一確定的安全責(zé)任單位,詳細(xì)說明該單位的名稱與職責(zé);需要明確政務(wù)外網(wǎng)系統(tǒng)具備的信息系統(tǒng)基本要素,詳細(xì)描述系統(tǒng)拓?fù)鋱D和系統(tǒng)硬件設(shè)備配置;需要描述政務(wù)外網(wǎng)系統(tǒng)承載的單一或相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用,相信分析應(yīng)用專業(yè)數(shù)據(jù)應(yīng)用流程。
在信息系統(tǒng)安全保護(hù)等級(jí)確定中需要完成對(duì)業(yè)務(wù)信息安全保護(hù)等級(jí)的確定和系統(tǒng)服務(wù)安全保護(hù)等級(jí)的確定。包括:業(yè)務(wù)信息/系統(tǒng)服務(wù)描述、業(yè)務(wù)信息/系統(tǒng)服務(wù)受到破壞時(shí)所侵害客體的侵害程度的確定。
根據(jù)等級(jí)保護(hù)的標(biāo)準(zhǔn)《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》的要求,政務(wù)外網(wǎng)系統(tǒng)的安全保護(hù)等級(jí)由業(yè)務(wù)信息安全等級(jí)和系統(tǒng)服務(wù)安全等級(jí)較高者決定,并最終決定該政務(wù)外網(wǎng)系統(tǒng)的安全保護(hù)等級(jí)。
在系統(tǒng)建設(shè)試用階段包括:基于等級(jí)保護(hù)的安全保護(hù)題寫的整體設(shè)計(jì)、建設(shè)、運(yùn)行、維護(hù)分階段,是整個(gè)體系的主體部分。下面的方案以最常見的定級(jí)為二級(jí)的系統(tǒng)進(jìn)行詳細(xì)敘述。基于等級(jí)保護(hù)的安全防護(hù)體系方案一般可分為9個(gè)章節(jié),其中包括:前沿、方案概況、安全需求分析、總體安全設(shè)計(jì)、安全建設(shè)項(xiàng)目規(guī)劃、安全方案詳細(xì)設(shè)計(jì)、系統(tǒng)產(chǎn)品性能要求及選型、項(xiàng)目實(shí)施與工程管理、安全運(yùn)行維護(hù)與服務(wù)。
第一章,前言。在本章中主要介紹用戶電子政務(wù)外網(wǎng)的業(yè)務(wù)情況,其中包括系統(tǒng)的背景敘述。
第二章,方案概述。在本章中主要闡述方案的背景、設(shè)計(jì)目標(biāo)、設(shè)計(jì)原則和設(shè)計(jì)思想、說明對(duì)等級(jí)保護(hù)的需求,安全保護(hù)體系的主要建設(shè)內(nèi)容等。
第三章,安全需求分析。本章包括技術(shù)層次面安全需求分析和管理層面安全需求分析。根據(jù)等級(jí)保護(hù)的基本要求,技術(shù)層面安全需求分析。根據(jù)等級(jí)保護(hù)基本要求,技術(shù)層面安全需求分析按照五個(gè)方面:物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全和數(shù)據(jù)恢復(fù)。管理層面的安全需求分析按照安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理方面進(jìn)行分析。
第四章,總體安全設(shè)計(jì)。對(duì)一個(gè)組織的任務(wù)、業(yè)務(wù)運(yùn)作異常關(guān)鍵的信息都是由信息基礎(chǔ)設(shè)施負(fù)責(zé)處理、存儲(chǔ)和傳輸。信息基礎(chǔ)設(shè)施對(duì)這些信息的保護(hù)需要通過“信息保障”完成。信息保障提出了目前信息基礎(chǔ)設(shè)施的整套安全要求。信息保障依賴人、操作和技術(shù)來實(shí)現(xiàn)組織任務(wù)、業(yè)務(wù)運(yùn)作。穩(wěn)定的信息保證體系意味著信息保證的政策、步驟、技術(shù)與機(jī)制在整個(gè)組織的信息基礎(chǔ)設(shè)施的所有層面上均得以實(shí)施。在制定安全策略中,依據(jù)的IATF信息保障技術(shù)框架定義了對(duì)該電子政務(wù)外網(wǎng)系統(tǒng)進(jìn)行信息保障的過程,以及該系統(tǒng)中硬件和軟件部件的安全要求。遵循這些原則就可以對(duì)信息基礎(chǔ)設(shè)施進(jìn)行名為“深度防御戰(zhàn)略” 的多層防護(hù)。信息安全可用性策略是用戶電子政務(wù)外網(wǎng)信息系統(tǒng)安全保護(hù)體系的核心。根據(jù)實(shí)際情況提出恰當(dāng)?shù)冒踩呗浴R粋€(gè)全面的安全策略將有助于方案的設(shè)計(jì),實(shí)施和執(zhí)行。在本章節(jié)中首先完成等級(jí)化安全模型、總體安全策略,進(jìn)而完成核心的安全技術(shù)策略設(shè)計(jì)、安全管理策略設(shè)計(jì)。
第五章,安全建設(shè)項(xiàng)目規(guī)劃。在本章主要完成整個(gè)用戶電子政務(wù)外網(wǎng)安全保護(hù)體系建設(shè)項(xiàng)目的整體進(jìn)度計(jì)劃以及各自項(xiàng)目的時(shí)間安排。
第六章,安全方案詳細(xì)設(shè)計(jì)。本章為安全技術(shù)措施設(shè)計(jì)和安全管理措施設(shè)計(jì)兩部分,并最終形成安全保護(hù)體系實(shí)施的預(yù)期效果(蜘蛛圖)。在安全技術(shù)措施設(shè)計(jì)中包括:物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)。
第七章,系統(tǒng)產(chǎn)品性能要求及選型。在本章中對(duì)用戶電子政務(wù)外網(wǎng)安全保護(hù)體系中選用的產(chǎn)品按照實(shí)際需要完成對(duì)性能指標(biāo)的定量要求以及選型定型。
第八章,項(xiàng)目實(shí)施與工程管理。采取工程化的項(xiàng)目管理方法進(jìn)行嚴(yán)格、科學(xué)和有效的項(xiàng)目控制和管理。從組織管理和技術(shù)管理兩個(gè)方面對(duì)項(xiàng)目實(shí)施嚴(yán)格規(guī)范和有效管理。在項(xiàng)目實(shí)施中按照SSE-CMM的要求,即系統(tǒng)按安全工程能力成熟模型,精心工程實(shí)施。不斷提高工程的質(zhì)量與可用性,降低工程的實(shí)施成本。SSE-CMM給出了信息系統(tǒng)工程建設(shè)需要考慮的關(guān)鍵過程保障域,可能知道工程從單一的安全設(shè)備設(shè)置轉(zhuǎn)向系統(tǒng)的剞劂整個(gè)工程的分先評(píng)估、安全策略形成、安全方案提出、實(shí)施和生命期控制等問題。根據(jù)SSE-CMM,將整個(gè)項(xiàng)目所做的工作分為項(xiàng)目啟動(dòng)準(zhǔn)備、項(xiàng)目實(shí)施改進(jìn)、項(xiàng)目完成跟蹤,時(shí)需審核和改進(jìn)以確保建設(shè)的項(xiàng)目能符合設(shè)計(jì)的方案。
第九章,安全運(yùn)行維護(hù)與服務(wù)。主張為用戶電子政務(wù)外網(wǎng)系統(tǒng)提供生名周期的服務(wù)。電子政務(wù)外網(wǎng)信息系統(tǒng)的整體性進(jìn)行考慮,以營運(yùn)的業(yè)務(wù)流程為眼點(diǎn),運(yùn)用信息系統(tǒng)安全工程技術(shù)理論、工具和方法,通過專業(yè),客觀的風(fēng)險(xiǎn)分析,在保證電子政務(wù)外網(wǎng)信息系統(tǒng)應(yīng)用效率和投資收益比例恰當(dāng)?shù)那疤嵯拢档涂蛻舻男畔⑾到y(tǒng)運(yùn)行風(fēng)險(xiǎn),確保客戶信息系統(tǒng)發(fā)揮其價(jià)值。嚴(yán)格遵循國家網(wǎng)絡(luò)安全主管部門有關(guān)規(guī)定以及國際安全服務(wù)標(biāo)準(zhǔn),以ITSM 為目標(biāo)、ITIL為指導(dǎo),由專業(yè)從事網(wǎng)絡(luò)服務(wù)和安全服務(wù)的專家小組提供服務(wù),同時(shí)對(duì)安全管理員進(jìn)行安全培訓(xùn)。在系統(tǒng)種植階段遵照以下流程:
“信息轉(zhuǎn)移、暫存和清除過程”是在信息系統(tǒng)中止處理過程中,對(duì)于可能會(huì)在另外的信息系統(tǒng)中使用的信息采取適當(dāng)?shù)姆椒▽⑵浒踩霓D(zhuǎn)移或暫存到可以恢復(fù)的介質(zhì)中,確保將來可繼續(xù)使用,同時(shí)采用安全的方法清除要終止的信息系統(tǒng)的信息。“設(shè)備遷移或廢棄過程”是確保信息系統(tǒng)中之后,遷移或廢棄的設(shè)備內(nèi)不包括敏感信息,對(duì)設(shè)備的處理方式應(yīng)符合國家相關(guān)部門的要求。“存儲(chǔ)介質(zhì)的清除或銷毀過程”是通過采用合理的方式計(jì)算機(jī)介質(zhì)(包括磁帶、磁盤、打印結(jié)果和文檔)進(jìn)行信息清除或銷毀處理,防止介質(zhì)內(nèi)的敏感信息泄露。通過講不同的電子政務(wù)外網(wǎng)系統(tǒng)進(jìn)行的個(gè)性處理,導(dǎo)入上述三個(gè)基本等級(jí)保護(hù)的安全保護(hù)體系建設(shè)過程,將可以得到完整的安全基于等級(jí)保護(hù)的安全體系建設(shè)方案,并指導(dǎo)基于等級(jí)保護(hù)的安全的電子政務(wù)外網(wǎng)系統(tǒng)。
4.2 電子政務(wù)等級(jí)保護(hù)實(shí)施措施
1、周密部署,精心組織
為有效貫徹落實(shí)國家信息安全等級(jí)保護(hù)制度,在總基礎(chǔ)調(diào)查和試點(diǎn)工作基礎(chǔ)上,根據(jù)《關(guān)于開展全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》等相關(guān)規(guī)定,2007年11月13日,電子政務(wù)外網(wǎng)工程辦召開等級(jí)工作啟動(dòng)會(huì),正式啟動(dòng)國家電子政務(wù)外網(wǎng)安全等級(jí)的定級(jí)保護(hù)工作。
為確保信息系統(tǒng)等級(jí)保護(hù)工作順利進(jìn)行,外網(wǎng)工程辦領(lǐng)導(dǎo)高度重視,專門成立了有個(gè)主要業(yè)務(wù)部門負(fù)責(zé)人為成員的等級(jí)保護(hù)工作小組,全面負(fù)責(zé)工作的規(guī)劃、協(xié)調(diào)和指導(dǎo),確定了外網(wǎng)工程版安全組為等級(jí)保護(hù)工作的牽頭部門,各部門分工協(xié)作。同時(shí),為確保系統(tǒng)劃分和定級(jí)工作的準(zhǔn)確性,2007年11月22日外網(wǎng)工程辦專門邀請(qǐng)專家,對(duì)定級(jí)工作進(jìn)行專項(xiàng)指導(dǎo)。
2、積極做好定級(jí)各項(xiàng)工作
信息安全等級(jí)保護(hù)工作政策性強(qiáng)、技術(shù)要求高,時(shí)間有非常緊迫,為此,政務(wù)外網(wǎng)工程辦從3個(gè)方面抓好等級(jí)保護(hù)前期準(zhǔn)備工作:一是積極參加公安部組織的等級(jí)保護(hù)培訓(xùn),領(lǐng)會(huì)與理解開展信息等級(jí)保護(hù)目的、意義與技術(shù)要求,系統(tǒng)的掌握信息安全等級(jí)保護(hù)的基礎(chǔ)知識(shí)、實(shí)施過程、頂級(jí)方法步驟和備案流程。二是多次組織人員開展內(nèi)部討論和交流,使人員較全面的了解等級(jí)保護(hù)的意義、基礎(chǔ)知識(shí)核定級(jí)方法。三是開展工程辦各組的業(yè)務(wù)應(yīng)用摸底調(diào)查,摸清系統(tǒng)的系統(tǒng)機(jī)構(gòu)、業(yè)務(wù)類型和應(yīng)用范圍,并匯總整理政務(wù)外網(wǎng)各組成域的相關(guān)概況。
3、科學(xué)準(zhǔn)確定級(jí)
在開展政務(wù)外網(wǎng)定級(jí)工作的過程中突出重點(diǎn),全面分析政務(wù)外網(wǎng)網(wǎng)絡(luò)基礎(chǔ)平臺(tái)的特 點(diǎn),力求準(zhǔn)確劃定定級(jí)范圍和定級(jí)對(duì)象。在此基礎(chǔ)上,依據(jù)《信息安全等級(jí)保護(hù)管理辦法》,確定政務(wù)外網(wǎng)各組成組子系統(tǒng)(網(wǎng)絡(luò)域)的安全保護(hù)等級(jí)。
劃定定級(jí)對(duì)象。根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》,外網(wǎng)工程辦多次組織技術(shù)和業(yè)務(wù)骨干召開專題會(huì)議討論信息系統(tǒng)劃分問題,提出了較為科學(xué)合理的信息系統(tǒng)劃分方案。
組織專家自評(píng)把關(guān)。根據(jù)等級(jí)保護(hù)評(píng)審的標(biāo)準(zhǔn)與要求,專家們對(duì)信息系統(tǒng)劃分和定級(jí)報(bào)告進(jìn)行內(nèi)部評(píng)審,并給出了內(nèi)部評(píng)審意見。根據(jù)專家意見重新修訂并整理了等級(jí)保護(hù)定級(jí)報(bào)告及其相關(guān)材料。
此外,在頂級(jí)過程中,外網(wǎng)工程辦積極與公安部門等級(jí)保護(hù)主管部門進(jìn)行溝通,并竟由相關(guān)專家確定定級(jí)對(duì)象與等級(jí)保護(hù)方案后,整理好了所有定級(jí)材料,準(zhǔn)備下一步的正式評(píng)審。
4、定級(jí)對(duì)象和結(jié)果
根據(jù)政務(wù)外網(wǎng)作為基礎(chǔ)網(wǎng)絡(luò)平臺(tái)的特性,以及其接入系統(tǒng)的不同業(yè)務(wù)類型,政務(wù)外網(wǎng)按管理邊界劃分為中央政務(wù)外網(wǎng)、地方政務(wù)外網(wǎng)兩類管理域。中央政務(wù)外網(wǎng)按業(yè)務(wù)邊界劃分功能區(qū),即公用網(wǎng)絡(luò)平臺(tái)區(qū)、專用VPN網(wǎng)絡(luò)區(qū)以及互聯(lián)網(wǎng)接入?yún)^(qū),在各功能區(qū)內(nèi)又根據(jù)業(yè)務(wù)類型和系統(tǒng)服務(wù)的不同,確定了多個(gè)業(yè)務(wù)系統(tǒng),主要有安全管理系統(tǒng)、應(yīng)用平臺(tái)系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)、郵件系統(tǒng)、VPN業(yè)務(wù)、互聯(lián)網(wǎng)數(shù)據(jù)中心等六個(gè)系統(tǒng)作為本次等級(jí)保護(hù)定級(jí)工作的定級(jí)對(duì)象,分別予以定級(jí)(確定等級(jí)結(jié)果如下表所示)。
表 國家電子政務(wù)外網(wǎng)業(yè)務(wù)信息系統(tǒng)定級(jí)對(duì)象和結(jié)果
第五章 基于等級(jí)保護(hù)的電子政務(wù)安全度量
本章針對(duì)安全管理的量化問題,建立了信息安全管理度量的層次結(jié)構(gòu)模型,確定了信息安全管理度量要素及度量指標(biāo),設(shè)計(jì)了相應(yīng)的度量方法及輔助調(diào)查工具——度量核查表。
5.1 信息安全度量現(xiàn)狀
信息安全“三分技術(shù),七分管理”的思想目前已經(jīng)被廣泛接受,然而,在實(shí)際的安全實(shí)踐中,安全管理依然被人們忽視。導(dǎo)致這種局面的一個(gè)重要原因是安全管理的有效型難以度量。相對(duì)于安全技術(shù),安全管理涉及到更多的領(lǐng)域,包含眾多的非量化的難以測(cè)量的因素,如規(guī)章制度度的制定和培訓(xùn)、管理措施的落實(shí)、財(cái)政預(yù)算的支持等。因此,信息安全管理有效的度量繁雜乃至瑣碎,難度很大。具體實(shí)施過程中,對(duì)安全管理的度量主要依靠操作人員進(jìn)行,度量的準(zhǔn)確性往往依賴于操作人員的實(shí)踐經(jīng)驗(yàn)、對(duì)相關(guān)標(biāo)準(zhǔn)的理解程度等。這些主觀因素往往導(dǎo)致度量結(jié)果不夠準(zhǔn)確,不能真實(shí)反映安全管理上的弱點(diǎn),也就不能有針對(duì)性的進(jìn)行改進(jìn),從而降低了度量結(jié)果的可信度,進(jìn)而影響甚至誤導(dǎo)信息安全的改進(jìn)過程。
管理學(xué)上有如下原則:不能被測(cè)量的行為是不能被管理的。如何對(duì)安全管理進(jìn)行有效的量化度量,根據(jù)量化的度量結(jié)果進(jìn)一步指導(dǎo)安全管理,提高信息安全能力和水平,目前已經(jīng)成為信息安全領(lǐng)域的一個(gè)研究熱點(diǎn)。
2003年7月,NIST發(fā)布了SP800-55《信息技術(shù)系統(tǒng)安全度量指南》。該標(biāo)準(zhǔn)對(duì)安全管理度量定義如下:一種工具,被設(shè)計(jì)用來通過收集、分析和報(bào)告與性能相關(guān)的數(shù)據(jù),以輔助決策、改善性能和可審計(jì)性。《信息技術(shù)系統(tǒng)安全度量指南》中結(jié)合NIST SP800-26《信息技術(shù)系統(tǒng)安全自我評(píng)估導(dǎo)則》中的安全控制目標(biāo)和技術(shù)方法,對(duì)角色責(zé)任、度量定義、度量類型、度量開發(fā)和實(shí)施方法、度量項(xiàng)目的實(shí)施過程都做了描述,同時(shí)以附件形式給出了17種度量的模板。
SC27N4474:WD 27004(ISO/IEC27004草案)《信息安全管理度量機(jī)制和測(cè)量措施》中規(guī)定了測(cè)量項(xiàng)以及組織可能用于促進(jìn)對(duì)ISMS管理的測(cè)量技術(shù),該模型使用客觀信息來監(jiān)督和評(píng)審ISMS以及孔子措施的性能。
我國信息安全管理標(biāo)準(zhǔn)的研究比較落后。不僅已經(jīng)制定的少量標(biāo)準(zhǔn)大多沿用國際標(biāo)準(zhǔn),而且很少直接參與到國際信息安全標(biāo)準(zhǔn)的制定當(dāng)中,致使無法在國際標(biāo)準(zhǔn)的制定中體現(xiàn)我國國家利益,也只能加了參照國際標(biāo)準(zhǔn)制定相應(yīng)國內(nèi)標(biāo)準(zhǔn)是的困難。目前在信息安全 管理度量標(biāo)準(zhǔn)方面的主要工作向是積極跟蹤國際信息安全管理度量方法和技術(shù)標(biāo)準(zhǔn)化的動(dòng)態(tài),系統(tǒng)研究信息安全度量方法和測(cè)量技術(shù),抓緊制定相應(yīng)的國內(nèi)安全管理度量標(biāo)準(zhǔn),為我國信息安全管理體系建設(shè)提供基礎(chǔ)技術(shù)保障。
5.2 基于等級(jí)保護(hù)的安全管理度量方法的設(shè)計(jì)
安全管理度量的成功實(shí)施需要解決若干個(gè)關(guān)鍵問題。(1)度量要素、度量指標(biāo)的選取(2)度量結(jié)果的量化
度量要素是評(píng)判信息安全管理是否有效的組成因素,所有度量要素的合理表現(xiàn),就能構(gòu)呈現(xiàn)出信息安全管理的效果。
度量指標(biāo)是為考察各個(gè)度量要素而設(shè)計(jì)的核查項(xiàng),單個(gè)的度量指標(biāo)是安全管理的最小度量單位。通過對(duì)某度量要素所包含的若干指標(biāo)的核查結(jié)果,能夠?qū)υ摱攘恳剡M(jìn)行評(píng)估。
度量要素、度量指標(biāo)的選取時(shí)前提條件,它為安全管理度量的實(shí)施準(zhǔn)備工具。如果度量要素、度量指標(biāo)集合不完備、不合理,將導(dǎo)致度量結(jié)果出現(xiàn)較大的偏差,進(jìn)而影響信息安全管理目標(biāo)的實(shí)現(xiàn);而量化則是對(duì)安全管理度量的進(jìn)一步加工處理,以便從中發(fā)現(xiàn)問題,總計(jì)規(guī)律。
1、國家計(jì)算機(jī)等級(jí)保護(hù)標(biāo)準(zhǔn)GB17859 根據(jù)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB17859),我國的信息安全劃分為五個(gè)級(jí)別,即用戶自主保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)、訪問驗(yàn)證保護(hù)級(jí)。五個(gè)級(jí)別以第一級(jí)用戶自主保護(hù)級(jí)為基礎(chǔ),每級(jí)對(duì)信息安全的保護(hù)方法一步增強(qiáng),保護(hù)范圍進(jìn)一步擴(kuò)大。
GB17859給出了對(duì)計(jì)算機(jī)信息系統(tǒng)實(shí)施五級(jí)保護(hù)的原則,并對(duì)各個(gè)級(jí)別的具體實(shí)施要求進(jìn)行了目標(biāo)上的闡述,但其本身并沒有提供如何評(píng)估某級(jí)別安全保護(hù)目標(biāo)是否現(xiàn)得定量化指標(biāo)。所以根據(jù)GB17859的實(shí)施要求有針對(duì)性的提出一個(gè)安全管理度量方法十分必要。
2、度量要素的選取
ISO/IEC17799確立的信息安全管理體系目前在國際上已經(jīng)成為通行的信息安全管理體系,它包含了安全方針的擬定、安全責(zé)任的歸屬、風(fēng)險(xiǎn)的評(píng)估與確定、強(qiáng)化安全參數(shù)及存取的控制,提供了10大管理方面,36個(gè)管理目標(biāo),127重安全控制供用戶選擇和使用。標(biāo)準(zhǔn)自公布以來,被多個(gè)國家政府機(jī)構(gòu)及其他單位組織采用,受到良好的效果。
為保證度量的全面性與合理性,以ISO/IEC17799中的安全控制措施作為安全管理的度量要素,以保證能夠完成整覆蓋信息安全管理的各個(gè)環(huán)節(jié)。同時(shí)為每個(gè)度量要素設(shè)計(jì)了相應(yīng)的度量指標(biāo)(核查問題)集合,這樣就首先構(gòu)造了一個(gè)安全管理度量要素的全集,以及一個(gè)度量指標(biāo)的全集,其中,單個(gè)的度量指標(biāo)是安全管理的最小度量單位。但在實(shí)際操 作中,由于各個(gè)信息系統(tǒng)對(duì)于安全的要求不同,需要對(duì)個(gè)度量要素全集和度量指標(biāo)全集進(jìn)一步裁剪以符合實(shí)際情況。以國家計(jì)算機(jī)等級(jí)保護(hù)標(biāo)準(zhǔn)G17859為依據(jù),根據(jù)組織的信息系統(tǒng)所劃分的安全等級(jí),從度量要素全集合度量指標(biāo)全集中提取相應(yīng)的度量要素子集、度量指標(biāo)子集。安全管理度量的層次結(jié)構(gòu)如下圖所示:
如上圖所示,度量要素包含若干個(gè)度量指標(biāo),即度量該要素的核查問題。度量指標(biāo)是最小的測(cè)量單位,可以分別從規(guī)章制度、落實(shí)證據(jù)兩個(gè)方面進(jìn)行設(shè)計(jì)。
(1)管理制度包括技術(shù)開發(fā)文檔、管理制度、操作規(guī)程以及其他與系統(tǒng)運(yùn)行、維護(hù)、安全相關(guān)的所有文檔。
(2)落實(shí)證據(jù)包括會(huì)議紀(jì)要、各種登記表、值班日志、故障記錄、出入登記表等紙當(dāng)文件,也包括對(duì)安全管理負(fù)責(zé)人、系統(tǒng)維護(hù)者、企業(yè)關(guān)公等的調(diào)查詢問結(jié)果。
對(duì)照ISO/IEC17799的章節(jié)結(jié)構(gòu)設(shè)計(jì)安全管理度量核查表,如下表所示:
表 安全管理度量核查表
表中控制措施即為度量要素,核查問題即為度量標(biāo)準(zhǔn)。度量指標(biāo)的安全類別劃分為與GB17859相對(duì)應(yīng)的5級(jí),如果待度量的信息系統(tǒng)的安全等級(jí)被劃分為二級(jí),則表1中于每個(gè)度量要素對(duì)應(yīng)的所有安全類別為二級(jí)以及以下的度量指標(biāo)都應(yīng)被提取出來,構(gòu)成給度量要素的度量指標(biāo)集合,進(jìn)而構(gòu)成此次度量的度量指標(biāo)集合。
3、度量結(jié)果的量化與分析
顯然,定量化的數(shù)據(jù)及圖表在描述安全控制目標(biāo)實(shí)現(xiàn)程度的變化趨勢(shì),證明安全投資合理性方面比非量化的描述更具有優(yōu)勢(shì)。因此,試圖從度量要素和度量指標(biāo)的量化工作出發(fā),最后給出定量化的安全管理度量結(jié)果。在度量要素集合中,各個(gè)度量要素對(duì)于信息系 統(tǒng)安全的影響是不同。為是度量結(jié)果更真的反應(yīng)安全管理的各個(gè)環(huán)節(jié),需要為各個(gè)度量要素賦予不同的權(quán)重。類似的,每個(gè)度量要素的各指標(biāo)也應(yīng)該賦予不同的權(quán)重。
在統(tǒng)計(jì)信息系統(tǒng)安全管理度量的得分時(shí),首先根據(jù)各個(gè)度量指標(biāo)的得分統(tǒng)計(jì)加權(quán)得出每個(gè)度量要素的得分,然后再由各個(gè)度量要素得分的統(tǒng)計(jì)加權(quán)得出該組織的安全管理度量最后得分。
如上表所示,度量要素的各個(gè)度量指標(biāo)(核查問題)的設(shè)計(jì)應(yīng)該標(biāo)準(zhǔn)化,如均為單選選擇題,并知道那個(gè)簡(jiǎn)單明確、無歧義的評(píng)分規(guī)則,如選答案“是”應(yīng)得滿分M,選答案“否”為0分,選答案“一部分”得5分等。度量指標(biāo)誰的標(biāo)準(zhǔn)優(yōu)化可保證度量結(jié)構(gòu)不受度量實(shí)施人員主觀因素的干擾,維持客觀性。
安全管理度量應(yīng)該定期進(jìn)行。一段時(shí)間(如一年或一季度)內(nèi)的幾次安全管理度量的量化結(jié)果能夠表現(xiàn)安全控制目標(biāo)實(shí)現(xiàn)程度隨時(shí)時(shí)間的變化趨勢(shì)(如下圖所示),幫助管理者識(shí)別抵消的安全控制,引導(dǎo)安全投資,提高安全管理水平,實(shí)現(xiàn)組織的信息安全目標(biāo)。
第六章 總結(jié)
本論文主要研究的是基于互聯(lián)網(wǎng)的電子政務(wù)等級(jí)保護(hù),首先討論了電子政務(wù)的現(xiàn)狀和主要問題,敘述了基于互聯(lián)網(wǎng)的電子政務(wù)等級(jí)保護(hù)的建設(shè)和研究。主旨是通過對(duì)此項(xiàng)問題的研究,對(duì)基于互聯(lián)網(wǎng)的電子政務(wù)等級(jí)保護(hù)有更深刻的了解,并且加深印象,對(duì)此項(xiàng)問題的研究起到推動(dòng)作用。
隨著社會(huì)的發(fā)展,政府的網(wǎng)絡(luò)化越來越重要,使人民的政府成為一個(gè)民主的政府,透明的政府,是越來越需要的。
總結(jié)近年來的電子政務(wù)的發(fā)展,總體來說是相當(dāng)不錯(cuò)的,國家對(duì)此也十分注重,多次制定法律法規(guī)規(guī)范電子政務(wù)的發(fā)展以及應(yīng)用,為電子政務(wù)在我國普及、發(fā)展提供了必要的條件,同時(shí),也是人們對(duì)電子政務(wù)的重要性有了新的認(rèn)識(shí)。
在未來的時(shí)間里,電子政務(wù)無疑會(huì)成為社會(huì)的主流,無論是政府還是企業(yè),都會(huì)把發(fā)展電子政務(wù)作為首要問題。電子政務(wù)無疑已經(jīng)成為了一個(gè)成熟的企業(yè)、一個(gè)發(fā)達(dá)的國家的象征。
參考文獻(xiàn)
[1] 馬作者:燕曹,周湛.信息安全法規(guī)與標(biāo)準(zhǔn)[M].北京:機(jī)械工業(yè)出版社,2004. [2] 羅海寧 郭紅 吳亞飛
國家電子政務(wù)外網(wǎng)安全等級(jí)保護(hù)定級(jí)工作基本完成 [3] 劉學(xué)忠 劉增良 余達(dá)太
基于等級(jí)保護(hù)的安全管理度量方法研究 [4] 孟源 楊宏
基于等級(jí)保護(hù)的電子政務(wù)外網(wǎng)整體安全解決方案 [5] 吳海波 有效保障電子政務(wù)安全
第二篇:蘭州互聯(lián)網(wǎng)等級(jí)保護(hù)工作總結(jié)
蘭州互聯(lián)網(wǎng)新聞中心2011年等保工作總結(jié)
根據(jù)信息安全等級(jí)保護(hù)工作要求,結(jié)合我單位工作實(shí)際需要,我們認(rèn)真開展了信息安全自查工作,加強(qiáng)了信息系統(tǒng)的管理和維護(hù),完善了系統(tǒng)軟硬件設(shè)施,實(shí)現(xiàn)了網(wǎng)站信息系統(tǒng)的安全運(yùn)行。現(xiàn)將2011年信息安全自查工作開展情況總結(jié)如下:
一、信息安全保護(hù)工作現(xiàn)狀
1、制定信息安全保護(hù)規(guī)章制度,加強(qiáng)日常管理。在硬件安全方面,及時(shí)檢查防雷、防火、防盜和電源連接等情況;在網(wǎng)絡(luò)安全方面,加強(qiáng)網(wǎng)絡(luò)結(jié)構(gòu)、安全日志、密碼和IP地址的管理;在應(yīng)用安全方面,提高人員安全意識(shí),增強(qiáng)系統(tǒng)操作的規(guī)范性。
2、平臺(tái)及網(wǎng)絡(luò)管理方面,購置了新式服務(wù)器,提高平臺(tái)性能,增強(qiáng)穩(wěn)定性;采用linux操作系統(tǒng),更換原03操作系統(tǒng),提升系統(tǒng)的安全性。更新數(shù)據(jù)庫,采用了功能更強(qiáng)大,性能更優(yōu)異,安全性更強(qiáng)的oracle數(shù)據(jù)庫。對(duì)平臺(tái)關(guān)鍵部位進(jìn)行了雙機(jī)熱備份,加強(qiáng)了主站的可靠性。安裝硬件防火墻,隔離內(nèi)外網(wǎng),進(jìn)一步提高網(wǎng)絡(luò)安全。
3、系統(tǒng)操作權(quán)限方面,嚴(yán)格按系統(tǒng)使用所需,針對(duì)不同系統(tǒng)操作用戶的需求,劃分使用權(quán)限。制定了密碼定期更新機(jī)制,對(duì)用戶密碼按月更新,并采取9位數(shù)字加字符的設(shè)置方式提高密碼的健壯性。
二、自查中存在的問題
1、初步建立了信息安全規(guī)章制度,但還不完善,未能覆蓋到信息系統(tǒng)安全的所有方面。
2、專業(yè)技術(shù)人員較少,信息系統(tǒng)安全方面可投入的力量有限。
3、由于我單位處在創(chuàng)業(yè)起步階段,經(jīng)費(fèi)相對(duì)緊張,信息系統(tǒng)建設(shè)和信息安全保護(hù)工作可投入的經(jīng)費(fèi)不足。
三、整改方向
1、在今后的工作中,我們將進(jìn)一步完善信息安全相關(guān)規(guī)章制度,實(shí)現(xiàn)信息安全的規(guī)范管理。
2、加強(qiáng)對(duì)計(jì)算機(jī)安全知識(shí)的培訓(xùn),定期開展信息安全檢查工作,提高人員安全防護(hù)意識(shí)。
3、積極爭(zhēng)取財(cái)政支持,購買相關(guān)設(shè)備,進(jìn)一步擴(kuò)大對(duì)信息安全工作的投入。
蘭州互聯(lián)網(wǎng)新聞中心 二〇一一年11月8日
第三篇:電子政務(wù)發(fā)展研究
電子政務(wù)發(fā)展研究
09信管2班03成雅婷
信息時(shí)代的國家競(jìng)爭(zhēng)力最高評(píng)價(jià)標(biāo)準(zhǔn)已從過去的土地、原材料、技術(shù)、人才等變?yōu)橐孕畔⒛芰樽罡邊?shù)的評(píng)價(jià)標(biāo)準(zhǔn)系統(tǒng)。對(duì)信息的把握和支配能力,是影響國家競(jìng)爭(zhēng)力的重大要素之一。利用信息網(wǎng)絡(luò)技術(shù)和其他相關(guān)技術(shù)構(gòu)造更加適合時(shí)代要求的政府結(jié)構(gòu)和運(yùn)行方式,推行電子政務(wù),深化行政體制改革顯得尤為重要。十六大報(bào)告指出了我國政府下一步改革的方向:“深化行政管理體制改革。進(jìn)一步轉(zhuǎn)變政府職能,改進(jìn)管理方式,推行電子政務(wù),提高行政效率,降低行政成本,形成行為規(guī)范、運(yùn)轉(zhuǎn)協(xié)調(diào)、公正透明、廉潔高效的行政管理體制。”當(dāng)前我國政府面臨著重大的變革和挑戰(zhàn),但同時(shí)也更具備了進(jìn)一步改革的思想基礎(chǔ)、方向指南與技術(shù)準(zhǔn)備。作為技術(shù)創(chuàng)新與體制創(chuàng)新相結(jié)合的典范,電子政務(wù)在推動(dòng)我國行政體制改革方面將發(fā)揮巨大的作用,具有深遠(yuǎn)的歷史意義和重要的現(xiàn)實(shí)意義。
電子政務(wù)是政府管理方式的革命,它是運(yùn)用信息以及通信技術(shù)打破行政機(jī)關(guān)的組織界限,構(gòu)建一個(gè)電子化的虛擬機(jī)關(guān),使公眾擺脫傳統(tǒng)的層層關(guān)卡以及書面審核的作業(yè)方式,并依據(jù)人們的需求、人們可以獲取的方式、人們要求的時(shí)間及地點(diǎn)等,高效快捷地向人們提供各種不同的服務(wù)選擇。政府機(jī)關(guān)之間以及政府與社會(huì)各界之間也經(jīng)由各種電子化渠道進(jìn)行相互溝通。
電子政務(wù)的建立將使政府社會(huì)服務(wù)職能得到最大程度的發(fā)揮,但也使政府敏感信息暴露在無孔不入的網(wǎng)絡(luò)威脅面前。由于電子政務(wù)信息網(wǎng)絡(luò)上有相當(dāng)多的政府公文在流轉(zhuǎn),其中不乏重要信息,內(nèi)部網(wǎng)絡(luò)上有著大量高度機(jī)密的數(shù)據(jù)和信息,直接涉及政府的核心政務(wù),它關(guān)系到政府部門、各大系統(tǒng)乃至整個(gè)國家的利益,有的甚至涉及國家安全。因此,電子政務(wù)信息安全是制約電子政務(wù)建設(shè)與發(fā)展的首要問題和核心問題,是電子政務(wù)的職能與優(yōu)勢(shì)得以實(shí)現(xiàn)的根本前提。如果電子政務(wù)信息安全得不到保障,不僅電子政務(wù)的便利與效率無從保證,更會(huì)給國家利益帶來嚴(yán)重威脅。
一、我國電子政務(wù)建設(shè)的現(xiàn)狀
目前,我國電子政務(wù)建設(shè)的現(xiàn)狀大致表現(xiàn)在以下五個(gè)方面;
(1)縱橫成網(wǎng)、架構(gòu)合理
電子政務(wù)的應(yīng)用主體是各級(jí)政府及其職能部門,建設(shè)之初,我們都在遵循國務(wù)院辦公廳制定的“以需求為導(dǎo)向,以應(yīng)用促發(fā)展,統(tǒng)一規(guī)劃,協(xié)同建設(shè),資源共享,安全保密”的原則,結(jié)合省、市、區(qū)情況,按照國辦提出的規(guī)劃和技術(shù)指導(dǎo)書,緊緊貼近需求,由小到大,由淺人深,由單機(jī)到網(wǎng)絡(luò),遞進(jìn)發(fā)展,并已形成了一個(gè)“三網(wǎng)一庫”的科學(xué)架構(gòu)。
(2)電子政府、雛形已具
電子政務(wù)建設(shè)中組建的“三網(wǎng)一庫,是一個(gè)有機(jī)結(jié)合的整體,各級(jí)政府機(jī)關(guān)與各級(jí)政府部門之間,通過“三網(wǎng)一庫”,使物理的政府“升華”成了一個(gè)虛擬的電子政府體系,使辦公效率提高、交換加快、決策走向科學(xué)、政令更加暢通。
(3)育有隊(duì)伍、擁有數(shù)據(jù)
經(jīng)過近十年的耕耘,政府機(jī)關(guān)的信息化建設(shè)已經(jīng)引起政府部門各級(jí)領(lǐng)導(dǎo)的關(guān)注,井且人員的結(jié)構(gòu)也日趨合理,突出的特點(diǎn)是,人員知識(shí)結(jié)構(gòu)的“兩棲化”,即這些同志既懂得機(jī)關(guān)行政管理業(yè)務(wù),又熟悉計(jì)算機(jī)網(wǎng)絡(luò)知識(shí)和操作技能,現(xiàn)已成為政府機(jī)關(guān)辦公不可或缺的部門和力量。
(4)業(yè)內(nèi)認(rèn)可、應(yīng)用有序
由于中國政務(wù)信息化建設(shè)走了一條貼近需求、便捷實(shí)用的務(wù)實(shí)之路,使廣大公務(wù)員嘗到甜頭,既解放了生產(chǎn)力,又大大提高了辦公效率和輔助領(lǐng)導(dǎo)決策的水平,同時(shí)還使個(gè)人素質(zhì)一了一個(gè)檔次,從而調(diào)動(dòng)了機(jī)關(guān)干部參與信息化建設(shè)的積極性。
(5)先行一步、優(yōu)勢(shì)無比
中國政務(wù)信息化系統(tǒng),相對(duì)于其它領(lǐng)域的信息化系統(tǒng)而言,啟動(dòng)較早,有連續(xù)性,應(yīng)用扎實(shí),系統(tǒng)可靠,安全性高,已成氣候,起到了帶頭示范作用。由于政府部門上下左右間的可干預(yù)性、協(xié)調(diào)性互動(dòng)性以及對(duì)于其他信息系統(tǒng)數(shù)據(jù)索取的高權(quán)限性,使得他的發(fā)展壯大具有很強(qiáng)的優(yōu)勢(shì)。
二、我國電子政務(wù)存在的問題
從目前的發(fā)展情況看,國內(nèi)各政府職能部門的網(wǎng)絡(luò)基礎(chǔ)建設(shè)已經(jīng)初具規(guī)模,不同部門的局域網(wǎng)已經(jīng)基本搭建完成,有些地區(qū)已經(jīng)形成了城域網(wǎng)的基本雛形。從具體應(yīng)用效果看,政府內(nèi)部通過網(wǎng)絡(luò)化溝通和信息共享,辦公效率大為提高。雖然近幾年我國電子政務(wù)取得了長足的進(jìn)展,但還存在著不少問題,制約著我國
電子政務(wù)的進(jìn)一步發(fā)展。
(一)對(duì)電子政務(wù)的性質(zhì)和地位認(rèn)識(shí)不足在一些綱領(lǐng)性文件中,雖然也提出要加快政府行政管理信息化步伐,但是并沒有明確提出“電子政務(wù)”或“電子政府”的概念,而且還將“政府行政管理信息化”與“金融、財(cái)稅、貿(mào)易等領(lǐng)域的信息化”相區(qū)別。這表明,我們對(duì)電子政務(wù)的系統(tǒng)性及其在信息化建設(shè)當(dāng)中的地位還缺乏足夠的認(rèn)識(shí)。
實(shí)際上,電子政務(wù)是經(jīng)濟(jì)與社會(huì)信息化的先決條件。一個(gè)國家的信息化需要來自多方面力量的推進(jìn)。政府作為國家組成及信息流的“中心節(jié)點(diǎn)”,在社會(huì)信息化的進(jìn)程中起著責(zé)無旁貸而又無可替代的作用。
首先,政府是信息資源的最大擁有者,從我國現(xiàn)階段來看,政府的信息資源最多,占總信息資源的80%;同時(shí)政府也是信息通信技術(shù)的最大使用者。因此,信息化應(yīng)該首先從政府開始,政府先要解決好自身的信息化問題。
其次,電子政務(wù)將帶動(dòng)企業(yè)、社會(huì)信息化。一方面,在政府實(shí)現(xiàn)信息化之后,企業(yè)如果不及時(shí)轉(zhuǎn)變,便享受不到政府所提供的快捷、透明的信息化服務(wù);而如果放棄政府所提供的各種信息資源,或者缺乏與信息化政府交往的有利手段和渠道,企業(yè)在市場(chǎng)中的競(jìng)爭(zhēng)力自然就會(huì)受損。這就迫使企業(yè)也不得不信息化,與政府保持同步。另一方面,電子政務(wù)建設(shè)需要相應(yīng)的網(wǎng)絡(luò)商、技術(shù)開發(fā)商的支持,這就為信息產(chǎn)業(yè)開辟了極大的商業(yè)市場(chǎng),使得電子商務(wù)和電子政務(wù)找到了結(jié)合點(diǎn),而電子商務(wù)的發(fā)展也將促進(jìn)全社會(huì)的信息化。
第三,由于自身的特殊地位,電子政務(wù)能夠?qū)崿F(xiàn)更大范圍的示范效應(yīng),特別是在信息化意識(shí)不夠主動(dòng)的地方,政府更可以用相關(guān)的優(yōu)惠政策刺激民間信息化的發(fā)展;或者藉由自身的特殊權(quán)力,強(qiáng)制推動(dòng)信息化的進(jìn)程。
(二)缺乏統(tǒng)一規(guī)劃目前,電子政務(wù)的發(fā)展缺乏宏觀規(guī)劃,沒有提出明確的電子政務(wù)發(fā)展目標(biāo),也沒有制定相應(yīng)的發(fā)展規(guī)劃。同時(shí),“條塊分割”的管理體制與電子政務(wù)的統(tǒng)一性、開放性、交互性和規(guī)模經(jīng)濟(jì)等自然特性產(chǎn)生嚴(yán)重沖突,各級(jí)地方政府和部門在開展電子政務(wù)時(shí)往往各自為政,采用的標(biāo)準(zhǔn)也各不相同,業(yè)務(wù)內(nèi)容單調(diào)重復(fù),造成新的重復(fù)建設(shè)。例如,在某些省會(huì)城市,省工商局、市工商局甚至區(qū)工商局同時(shí)建立各自的網(wǎng)站,給工商行政管理帶來混亂。即使是前面介紹的辦得比較成功的“海淀園數(shù)字園區(qū)”,其職能范圍也只僅限于中關(guān)村海
淀園區(qū)區(qū)內(nèi)的企業(yè),出了這個(gè)地域范圍就不靈了。電子政務(wù)是一種新事物,涉及技術(shù)、產(chǎn)品、標(biāo)準(zhǔn)、管理等眾多領(lǐng)域。由于缺乏整體規(guī)劃,在宏觀層面上對(duì)各級(jí)政府及部門電子政務(wù)的建設(shè)也就不能進(jìn)行很好的協(xié)調(diào)。
(三)基礎(chǔ)條件比較落后由于當(dāng)前電信領(lǐng)域的改革尚未到位,計(jì)算機(jī)、有線電視和電信的“三網(wǎng)融合”遲遲實(shí)現(xiàn)不了,影響了我國電信基礎(chǔ)設(shè)施的建設(shè)步伐。各地政府的計(jì)算機(jī)、電信網(wǎng)絡(luò)設(shè)施的建設(shè)普及率不高,無線互聯(lián)網(wǎng)、數(shù)字電視和呼叫中心等數(shù)據(jù)通信設(shè)施基本上還處于起步階段,因此整體的物質(zhì)和技術(shù)條件還遠(yuǎn)遠(yuǎn)不能適應(yīng)建設(shè)電子政務(wù)的需要。
我國在電子政務(wù)的立法方面也嚴(yán)重滯后,目前只是由行政機(jī)關(guān)對(duì)互聯(lián)網(wǎng)管理出臺(tái)了一些限制性的行政法規(guī),而對(duì)于如何促進(jìn)電子交易、使用電子簽名和電子支付還沒有制定相關(guān)的法律,在一定程度上也制約了電子政務(wù)的發(fā)展。“政府上網(wǎng)工程”有待深入1999年開始的“政府上網(wǎng)工程”()取得了很大的成績(jī),政府網(wǎng)站數(shù)量在短時(shí)間里成倍增長,對(duì)電子政務(wù)的發(fā)展起了很大的推動(dòng)作用。但是,在這過程當(dāng)中也存在著許多問題(政府上網(wǎng)工程秘書處,2000年1月,《政府上網(wǎng)工程白皮書》。),從內(nèi)容的組織、網(wǎng)頁制作到服務(wù)應(yīng)用等方面都有待改進(jìn)和完善。由于缺乏預(yù)算來源和合理的經(jīng)營機(jī)制,相當(dāng)多的政府網(wǎng)站僅僅局限于把一些法律、法規(guī)、政策、條文從紙上搬到網(wǎng)上,公開的信息數(shù)量少,質(zhì)量也不高,網(wǎng)上信息更新很不及時(shí),網(wǎng)頁與網(wǎng)頁之間的連接渠道少,各級(jí)政府的電子政務(wù)還沒有形成網(wǎng)絡(luò)。有些政府網(wǎng)站只重視了網(wǎng)頁介紹宣傳的靜態(tài)功能,而對(duì)于政府部門的信息未有動(dòng)態(tài)的反映,也缺乏和用戶的交流溝通手段。群眾雖然從網(wǎng)上可以了解一些政務(wù)信息,但要辦理一些事務(wù)卻缺乏必要的渠道,政府與上網(wǎng)公民之間缺乏互動(dòng)性、回應(yīng)性
三、中國電子政務(wù)發(fā)展趨勢(shì)
這兩年來,盡管從市場(chǎng)發(fā)展速度來看,我國的電子政務(wù)發(fā)展較快,但是這并不表明我國的電子政務(wù)已經(jīng)發(fā)展到了一個(gè)較高的水平了。恰恰相反,由于“數(shù)字鴻溝”以及各種體制的障礙,我國電子政務(wù)的發(fā)展水平仍然較低。根據(jù)聯(lián)合國“2003年電子化政府完備程度”的調(diào)查,在173個(gè)成員國當(dāng)中,我國排在第74位,只在中等水平。因此,我國的電子政務(wù)還面臨著一個(gè)大發(fā)展的問題。
四、近期內(nèi)應(yīng)該采取的措施
為推動(dòng)電子政務(wù)的發(fā)展,近期內(nèi)應(yīng)該采取下列措施:
(一)加強(qiáng)宣傳,突破誤區(qū)。電子政務(wù)是近些年來隨著電子信息技術(shù)的發(fā)展和互聯(lián)網(wǎng)的出現(xiàn)才興起的一種新的政府管理方式,其概念、內(nèi)涵和特點(diǎn)尚不為大多數(shù)公務(wù)員所理解。實(shí)際上,從我國的現(xiàn)實(shí)情況來看,許多人對(duì)電子商務(wù)還是一知半解,對(duì)電子政務(wù)就更是一無所知了。因此,當(dāng)前必須就電子政務(wù)與傳統(tǒng)的政府管理的差異、電子政務(wù)與辦公自動(dòng)化的區(qū)別、電子政務(wù)對(duì)信息產(chǎn)業(yè)的引導(dǎo)作用等加強(qiáng)宣傳工作,破除各種錯(cuò)誤認(rèn)識(shí),使各級(jí)領(lǐng)導(dǎo)樹立正確觀念。
(二)統(tǒng)一規(guī)劃,加強(qiáng)領(lǐng)導(dǎo)。可以借鑒國外先進(jìn)國家的經(jīng)驗(yàn),在國務(wù)院建立電子政務(wù)的領(lǐng)導(dǎo)機(jī)構(gòu),統(tǒng)一領(lǐng)導(dǎo)、組織中央政府和地方政府的電子政務(wù)建設(shè)。為此,可以推行“總體統(tǒng)籌、分工負(fù)責(zé)”制。“總體統(tǒng)籌”就是:國務(wù)院領(lǐng)導(dǎo)機(jī)構(gòu)對(duì)全國政府信息化建設(shè)進(jìn)行統(tǒng)一規(guī)劃,制定統(tǒng)一標(biāo)準(zhǔn)、相關(guān)政策法規(guī)及管理辦法,對(duì)重大工程的資金進(jìn)行統(tǒng)籌安排。“分工負(fù)責(zé)”就是:各部委、各地方按照統(tǒng)一的規(guī)劃、標(biāo)準(zhǔn),負(fù)責(zé)具體項(xiàng)目的實(shí)施。
(三)以發(fā)展電子政務(wù)、實(shí)現(xiàn)“電子政府”為目標(biāo),以政府機(jī)構(gòu)改革為契機(jī),改革政府管理模式,優(yōu)化業(yè)務(wù)工作流程。這是實(shí)現(xiàn)政務(wù)信息化的前提和基礎(chǔ)。實(shí)施電子政務(wù)工程不能簡(jiǎn)單地將現(xiàn)有業(yè)務(wù)、辦公、辦事程序原封不動(dòng)地搬上計(jì)算機(jī),而是要對(duì)傳統(tǒng)的工作模式、工作方法、工作手段進(jìn)行革新。
(四)整合政務(wù)信息資源,建設(shè)和改造政務(wù)數(shù)據(jù)庫。這是電子政務(wù)工程的關(guān)鍵和難點(diǎn),必須打破各級(jí)政府和部門對(duì)信息的壟斷和封閉,整合政務(wù)信息資源,重視對(duì)信息資源的不斷開發(fā)、更新和維護(hù);推動(dòng)政府信息資源對(duì)社會(huì)的開放,使之發(fā)揮巨大的社會(huì)效益和經(jīng)濟(jì)效益。
(五)健全和完善政府專網(wǎng),加快建設(shè)寬帶高速政務(wù)網(wǎng)絡(luò)系統(tǒng)。規(guī)劃、引導(dǎo)國家骨干通信網(wǎng)絡(luò)和社區(qū)寬帶網(wǎng)建設(shè),促進(jìn)無線上網(wǎng)、數(shù)字電視與呼叫中心等技術(shù)與市場(chǎng)的發(fā)展,加快各地“數(shù)字城市”和政務(wù)網(wǎng)絡(luò)系統(tǒng)建設(shè),進(jìn)一步改造各級(jí)政府與上級(jí)機(jī)關(guān)聯(lián)通的專用通訊網(wǎng)絡(luò)(政府專網(wǎng))。
(六)吸引私人部門與非政府機(jī)構(gòu)參與電子政務(wù)的建設(shè),確保電子政務(wù)順利發(fā)展。在確保政務(wù)安全的前提下,可以考慮通過合理方式授權(quán)企業(yè)參與籌資、建設(shè)、運(yùn)營和管理。這樣既可減輕政府部門的預(yù)算壓力,確保維持政府網(wǎng)站運(yùn)行的資金來源,企業(yè)也可通過產(chǎn)品開發(fā)、技術(shù)咨詢與服務(wù)、數(shù)據(jù)的商業(yè)再開發(fā)而獲得
利潤。實(shí)際上,有些地方已經(jīng)嘗試過這種方式并獲得成功。建立電子政務(wù)研究、咨詢、統(tǒng)計(jì)和評(píng)估等方面的非政府機(jī)構(gòu),促進(jìn)電子政務(wù)的改進(jìn)與提高。
(七)加強(qiáng)電子政務(wù)的軟環(huán)境建設(shè),制定相應(yīng)的政策法規(guī),保護(hù)網(wǎng)絡(luò)安全。發(fā)展電子政務(wù),立法要先行。立法要從有利于信息技術(shù)發(fā)展、有利于電子政務(wù)開展的角度,解決電子政務(wù)發(fā)展中亟待解決的問題,如政務(wù)信息的公開、電子簽名、電子支付的合法性等,制定電子政務(wù)信息技術(shù)規(guī)范,并及時(shí)修改現(xiàn)有政策法規(guī)中與信息技術(shù)發(fā)展不相適應(yīng)的成份。
第四篇:電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級(jí)保護(hù)要求
電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級(jí)保護(hù)要求 范圍
本標(biāo)準(zhǔn)規(guī)定了公眾電信網(wǎng)和互聯(lián)網(wǎng)的管理安全等級(jí)保護(hù)要求。
本標(biāo)準(zhǔn)適用于電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系中的各種網(wǎng)絡(luò)和系統(tǒng)。2 規(guī)范性引用文件
下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本標(biāo)準(zhǔn)。然而,鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本.凡是不注日期的引用文件,其最新版本適用于本標(biāo)準(zhǔn)。3 術(shù)語和定義
下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。3.1
電信網(wǎng) Telecom Network
利用有線和,或無線的電磁、光電網(wǎng)絡(luò),進(jìn)行文字、聲音、數(shù)據(jù)、圖像或其他任何媒體的信息傳遞的網(wǎng)絡(luò),包括固定通信網(wǎng)、移動(dòng)通信網(wǎng)等。3.2
互聯(lián)網(wǎng) Internet
泛指由多個(gè)計(jì)算機(jī)網(wǎng)絡(luò)相互連接而形成的網(wǎng)絡(luò),它是在功能和邏輯上組成的大型計(jì)算機(jī)網(wǎng)絡(luò)。3.3
安全等級(jí) Security Classification
安全重要程度的表征.重要程度可從網(wǎng)絡(luò)受到破壞后,對(duì)國家安全、社會(huì)秩序、經(jīng)濟(jì)運(yùn)行、公共利益、網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商造成的損害來衡量。4 管理安全等級(jí)保護(hù)要求 4.1 第1級(jí)要求
不作要求。4.2 第2級(jí)要求 4.2.1 安全管理制度 4.2.1.1 管理制度
a)應(yīng)制定安全工作的總體方針和安全策略,說明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等;
b)應(yīng)對(duì)安全管理活動(dòng)中重要的管理內(nèi)容建立安全管理制度; c)應(yīng)對(duì)安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程。4.2.1.2 制定和發(fā)布
a)應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)安全管理制度的制定;
b)應(yīng)組織相關(guān)人員對(duì)制定的安全管理制度進(jìn)行論證和審定; c)應(yīng)將安全管理制度以某種方式發(fā)布到相關(guān)人員手中。4.2.1.3 評(píng)審和修訂
應(yīng)定期對(duì)安全管理制度進(jìn)行評(píng)審,對(duì)存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。4.2.2 安全管理機(jī)構(gòu) 4.2.2.1 崗位設(shè)置
a)應(yīng)設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位,定義各負(fù)責(zé)人的職責(zé); b)應(yīng)設(shè)立系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、安全管理員崗位,定義各個(gè)工作崗位的職責(zé)。4.2.2.2 人員配備
應(yīng)配備一定數(shù)量的系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、安全管理員等。4.2.2.3 授權(quán)和審批
a)應(yīng)根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批部門及批準(zhǔn)人,對(duì)系統(tǒng)投入運(yùn)行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問等關(guān)鍵活動(dòng)進(jìn)行審批;
b)應(yīng)針對(duì)關(guān)鍵活動(dòng)建立審批流程,并由批準(zhǔn)人簽字確認(rèn)。4.2.2.4 溝通和合作
a)應(yīng)加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及網(wǎng)絡(luò)安全職熊部門內(nèi)部的合作與溝通;
b)應(yīng)加強(qiáng)與相關(guān)外部單位的合作與溝通。4.2.2.5 審核和檢查
應(yīng)由安全管理人員定期進(jìn)行安全檢查,檢查內(nèi)容包括用戶賬號(hào)情況、系統(tǒng)漏洞情況、數(shù)據(jù)備份等情況。4.2.3 人員安全管理 4.2.3.1 人員錄用
a)應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)人員錄用;
b)應(yīng)規(guī)范人員錄用過程,對(duì)被錄用人員的身份、背景和專業(yè)資格等進(jìn)行審查,對(duì)其所具有的技術(shù)技能進(jìn)行考核;
c)應(yīng)與從事關(guān)鍵崗位的人員簽署保密協(xié)議。4.2.3.2 人員離崗
a)應(yīng)規(guī)范人員離崗過程,及時(shí)終止離崗員工的所有訪問權(quán)限;
b)對(duì)于離崗人員,應(yīng)取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備; c)對(duì)于離崗人員,應(yīng)辦理嚴(yán)格的調(diào)離手續(xù)。4.2.3.3 人員考核
應(yīng)定期對(duì)各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核。4.2.3.4 安全意識(shí)教育和培訓(xùn)
a)應(yīng)對(duì)各類人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn);
b)應(yīng)告知人員相關(guān)的安全責(zé)任和懲戒措施,并對(duì)違反違背安全策略和規(guī)定的人員進(jìn)行懲戒;
c)應(yīng)制定安全教育和培訓(xùn)計(jì)劃,對(duì)網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)行培訓(xùn). 4.2.3.5 外部人員訪問管理
應(yīng)確保在外部人員訪問受控區(qū)域前得到授權(quán)或?qū)徟鷾?zhǔn)后由專人全程陪同或監(jiān)督,并登記備案。
4.2.4 安全建設(shè)管理 4.2.4.1 定級(jí)
a)應(yīng)明確網(wǎng)絡(luò)的邊界和安全保護(hù)等級(jí)
b)應(yīng)以書面的形式說明網(wǎng)絡(luò)確定為某個(gè)安全等級(jí)的方法和理由; c)應(yīng)確保網(wǎng)絡(luò)的定級(jí)結(jié)果經(jīng)過相關(guān)部門的批準(zhǔn)。4.2.4.2 安全方案設(shè)計(jì)
a)應(yīng)根據(jù)網(wǎng)絡(luò)的安全保護(hù)等級(jí)選擇基本安全措施,依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施; b)應(yīng)以書面形式描述對(duì)網(wǎng)絡(luò)的安全保護(hù)要求、策略和措施等內(nèi)容,形成網(wǎng)絡(luò)的安全方案;
c)應(yīng)對(duì)安全方案進(jìn)行細(xì)化,形成能指導(dǎo)安全系統(tǒng)建設(shè)、安全產(chǎn)品采購和使用的詳細(xì)設(shè)計(jì)方案;
d)應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)安全設(shè)計(jì)方案的合理性和正確性進(jìn)行論證和審定,并且經(jīng)過批準(zhǔn)后,才能正式實(shí)施。4.2.4.3 產(chǎn)品采購和使用
a)應(yīng)確保安全產(chǎn)品采購和使用符合固家的有關(guān)規(guī)定; b)應(yīng)確保密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求; c)應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購。4.2.4.4 自行軟件開發(fā)
a)應(yīng)確保開發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開;
b)應(yīng)制定軟件開發(fā)管理制度,明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則; c)應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南,并由專人負(fù)責(zé)保管。4.2.4.5 外包軟件開發(fā)
a)應(yīng)根據(jù)開發(fā)需求檢測(cè)軟件質(zhì)量;
b)應(yīng)要求開發(fā)單位提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南; c)應(yīng)在軟件安裝之前檢測(cè)軟件包中可能存在的惡意代碼。4.2.4.6工程實(shí)施
a)應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實(shí)施過程的管理; b)應(yīng)制定詳細(xì)的工程實(shí)施方案,控制工程實(shí)施過程。4.2.4.7 測(cè)試驗(yàn)收
a)應(yīng)對(duì)系統(tǒng)進(jìn)行安全性測(cè)試驗(yàn)收:
b)在測(cè)試驗(yàn)收前應(yīng)根據(jù)設(shè)計(jì)方案或合同要求等制訂測(cè)試驗(yàn)收方案,在測(cè)試驗(yàn)收過程中應(yīng)詳細(xì)記錄測(cè)試驗(yàn)收結(jié)果,并形成測(cè)試驗(yàn)收?qǐng)?bào)告;
c)應(yīng)組織相關(guān)部門和相關(guān)人員對(duì)網(wǎng)絡(luò)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定,并簽字確認(rèn)。4.2.4.8 交付
a)應(yīng)制定網(wǎng)絡(luò)交付清單,并根據(jù)交付清單對(duì)所交接的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn); b)應(yīng)對(duì)負(fù)責(zé)網(wǎng)絡(luò)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn);
c)應(yīng)確保提供網(wǎng)絡(luò)建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)行網(wǎng)絡(luò)運(yùn)行維護(hù)的文檔。4.2.4.9 安全服務(wù)商的選擇
a)應(yīng)確保安全服務(wù)商的選擇符合國家的有關(guān)規(guī)定;
b)應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議,明確約定相關(guān)責(zé)任;
c)應(yīng)確保選定的安全服務(wù)商提供技術(shù)支持和服務(wù)承諾,必要時(shí)與其簽訂服務(wù)合同。4.2.4.10 備案
應(yīng)將網(wǎng)絡(luò)的定級(jí)、屬性等資料指定專門的人員或部門負(fù)責(zé)管理,并控制這些材料的使用。4.2.5 安全運(yùn)維管理 4.2.5.1 環(huán)境管理
a)應(yīng)指定專門的部門或人員定期對(duì)機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理;
b)應(yīng)配備機(jī)房安全管理人員,對(duì)機(jī)房的出入、服務(wù)器的開機(jī)或關(guān)機(jī)等工作進(jìn)行管理;
c)應(yīng)建立機(jī)房安全管理制度,對(duì)有關(guān)機(jī)房物理訪問,物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的管理作出規(guī)定;
d)應(yīng)加強(qiáng)對(duì)辦公環(huán)境的保密性管理,包括工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙和不在辦公區(qū)接待來訪人員等。4.2.5.2 資產(chǎn)管理
a)應(yīng)編制與網(wǎng)絡(luò)相關(guān)的資產(chǎn)清單,包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容; b)應(yīng)建立資產(chǎn)安全管理制度-規(guī)定資產(chǎn)管理的責(zé)任人員或責(zé)任部門,并規(guī)范資產(chǎn)管理和使用的行為。4.2.5.3 介質(zhì)管理
a)應(yīng)確保介質(zhì)存放在安全的環(huán)境中,對(duì)各類介質(zhì)進(jìn)行控制和保護(hù),并實(shí)行存儲(chǔ)環(huán)境專人管理;
b)應(yīng)對(duì)介質(zhì)歸檔和查詢等過程進(jìn)行記錄,并根據(jù)存檔介質(zhì)的目錄清單定期盤點(diǎn); c)應(yīng)對(duì)需要送出維修或銷毀的介質(zhì),首先清除其中的敏感數(shù)據(jù),防止信息的非法泄漏; d)應(yīng)根據(jù)所承載數(shù)據(jù)和軟件的重要程度對(duì)介質(zhì)進(jìn)行分類和標(biāo)識(shí)管理。4.2.5.4 設(shè)備管理
a)應(yīng)對(duì)網(wǎng)絡(luò)相關(guān)的各種設(shè)備(包括備份和冗余設(shè)備)、線路等指定專門的部門或人員定期進(jìn)行維護(hù)管理;
b)應(yīng)建立基于申報(bào)、審批和專人負(fù)責(zé)的設(shè)備安全管理制度,對(duì)各種軟硬件設(shè)備的選型、采購、發(fā)放和領(lǐng)用等過程進(jìn)行規(guī)范化管理;
c)應(yīng)對(duì)終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進(jìn)行規(guī)范化管理,按操作規(guī)程實(shí)現(xiàn)關(guān)鍵設(shè)備(包括備份和冗余設(shè)備)的啟動(dòng),停止、加電,斷電等操作; d)應(yīng)確保信息處理設(shè)備必須經(jīng)過審批才能帶離機(jī)房或辦公地點(diǎn)。4.2.5.5 網(wǎng)絡(luò)安全管理
a)應(yīng)指定人員對(duì)網(wǎng)絡(luò)進(jìn)行管理,負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作;
b)應(yīng)建立網(wǎng)絡(luò)安全管理制度,對(duì)網(wǎng)絡(luò)安全配置、日志保存時(shí)間、安全策略、升級(jí)與打補(bǔ)丁、口令更新周期等方面作出規(guī)定;
c)應(yīng)根據(jù)廠家提供的軟件升級(jí)版本對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行更新,并在更新前對(duì)現(xiàn)有的重要文件進(jìn)行備份;
d)應(yīng)定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描,對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時(shí)的修補(bǔ); e)應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的配置文件進(jìn)行定期備份; f)應(yīng)保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)。4.2.5.6 系統(tǒng)安全管理
a)應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略; b)應(yīng)定期進(jìn)行漏洞掃描,對(duì)發(fā)現(xiàn)的系統(tǒng)安全漏洞及時(shí)進(jìn)行修補(bǔ);
c)應(yīng)安裝系統(tǒng)的最新補(bǔ)丁程序,在安裝系統(tǒng)補(bǔ)丁前,應(yīng)首先在測(cè)試環(huán)境中測(cè)試通過,并對(duì)重要文件進(jìn)行備份后,方可實(shí)施系統(tǒng)補(bǔ)丁程序的安裝;
d)應(yīng)建立系統(tǒng)安全管理制度,對(duì)系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出規(guī)定;
e)應(yīng)依據(jù)操作手冊(cè)對(duì)系統(tǒng)進(jìn)行維護(hù),詳細(xì)記錄操作日志,包括重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容,嚴(yán)禁進(jìn)行未經(jīng)授權(quán)的操作; f)應(yīng)定期對(duì)運(yùn)行日志和審計(jì)數(shù)據(jù)進(jìn)行分析,以便及時(shí)發(fā)現(xiàn)異常行為。4.2.5.7 惡意代碼防范管理 a)應(yīng)提高所有用戶的防病毒意識(shí),告知及時(shí)升級(jí)防病毒軟件,在讀取移動(dòng)存儲(chǔ)設(shè)備上的數(shù)據(jù)以及從網(wǎng)絡(luò)上接收文件或郵件之前,先進(jìn)行病毒檢查,對(duì)外來計(jì)算機(jī)或存儲(chǔ)設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也,直進(jìn)行病毒檢查;
b)應(yīng)指定專人對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測(cè)并保存檢測(cè)記錄;
c)應(yīng)對(duì)防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級(jí)、定期匯報(bào)等作出明確規(guī)定。4.2.5.8 密碼管理
應(yīng)使用符合國家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。4.2.5.9 變更管理
a)應(yīng)確認(rèn)網(wǎng)絡(luò)中要發(fā)生的重要變更,并制定相應(yīng)的變更方案;
b)網(wǎng)絡(luò)發(fā)生重要變更前,應(yīng)向主管領(lǐng)導(dǎo)申請(qǐng),審批后方可實(shí)施變更,并在實(shí)施后向相關(guān)人員通告。
4.2.5.10 備份與恢復(fù)管理
a)應(yīng)識(shí)別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等;
b)應(yīng)規(guī)定備份信息的備份方式(如增量備份或全備份等)、備份頻度(如每日或每周等)、存儲(chǔ)介質(zhì)、保存期等;
c)應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對(duì)系統(tǒng)運(yùn)行的影響,制定數(shù)據(jù)的備份策略和恢復(fù)策略,備份策略應(yīng)指明各份數(shù)據(jù)的放置場(chǎng)所、文件命名規(guī)則、介質(zhì)替換頻率和將數(shù)據(jù)離站運(yùn)輸?shù)姆椒ā?/p>
4.2.5.11 安全事件處置
a)應(yīng)報(bào)告所發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件,但任何情況下用戶均不應(yīng)嘗試驗(yàn)證弱點(diǎn); b)應(yīng)制定安全事件報(bào)告和處置管理制度,明確安全事件類型,規(guī)定安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)的管理職責(zé);
c)應(yīng)根據(jù)安全事件對(duì)本網(wǎng)絡(luò)產(chǎn)生的影響,對(duì)本網(wǎng)絡(luò)安全事件進(jìn)行等級(jí)劃分; d)應(yīng)記錄并保存所有報(bào)告的安全弱點(diǎn)和可疑事件,分析事件原因,監(jiān)督事態(tài)發(fā)展,采取措施避免安全事件發(fā)生。4.2.5.12 應(yīng)急預(yù)察管理
a)應(yīng)在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案,應(yīng)急預(yù)案框架應(yīng)包括啟動(dòng)應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容;
b)應(yīng)對(duì)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn),應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次。4.3 第3.1級(jí)要求 4.3.1 安全管理制度 4.3.1.1 管理制度
除滿足4.2.1.1的要求之外,還應(yīng)滿足:
a)應(yīng)對(duì)安全管理活動(dòng)中的各類管理內(nèi)窖建立安全管理制度,以規(guī)范安全管理活動(dòng); b)應(yīng)形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的安全管理制度體系。4.3.1.2 制定和發(fā)布
除滿足4.2.1.2的要求之外,還應(yīng)滿足:
a)安全管理制度應(yīng)有統(tǒng)一的格式,并進(jìn)行版本控制; b)安全管理制度應(yīng)通過正式、有效的方式發(fā)布; c)安全管理制度應(yīng)注明發(fā)布范圍,并對(duì)收發(fā)文進(jìn)行登記. 4.3.1.3 評(píng)審和修訂
除滿足4.2.1.3的要求之外,還應(yīng)滿足:
a)安全領(lǐng)導(dǎo)小組應(yīng)負(fù)責(zé)定期組織相關(guān)部門和相關(guān)人員對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定;
b)應(yīng)定期或不定期對(duì)安全管理制度進(jìn)行檢查和審定。4.3.2 安全管理機(jī)構(gòu) 4.3.2.1 崗位設(shè)置
除滿足4.2.2.1的要求之外,還應(yīng)滿足。a)應(yīng)設(shè)立安全管理工作的職能部門;
b)應(yīng)成立指導(dǎo)和管理安全工作的委員會(huì)或領(lǐng)導(dǎo)小組,其最高領(lǐng)導(dǎo)應(yīng)由單位主管領(lǐng)導(dǎo)委任或授權(quán);
c)應(yīng)制定文件明確安全管理機(jī)構(gòu)各個(gè)部門和崗位的職責(zé)、分工和技能要求. 4.3.2.2 人員配備
除滿足4.2.2.2的要求之外,還應(yīng)滿足: a)應(yīng)配備專職安全管理員,不可兼任; b)關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理。4.3.2.3 授權(quán)和審批
除滿足4.2.2.3的要求之外,還應(yīng)滿足:
a)應(yīng)根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批事項(xiàng);
b)應(yīng)針對(duì)系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項(xiàng)建立審批程序,按照審批程序執(zhí)行審批過程,對(duì)重要活動(dòng)建立逐級(jí)審批制度;
c)應(yīng)定期審查審批事項(xiàng),及時(shí)更新需授權(quán)和審批的項(xiàng)目、審批部門和審批人等信息; d)應(yīng)記錄審批過程并保存審批文檔。4.3.2.4 溝通相合作
除滿足4.2.2.4的要求之外,還應(yīng)滿足。
a)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及網(wǎng)絡(luò)安全職能部門內(nèi)部定期或不定期召開協(xié)調(diào)會(huì)議,共同協(xié)作處理網(wǎng)絡(luò)安全問題;
b)應(yīng)建立外聯(lián)單位聯(lián)系列表,包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息;
c)應(yīng)聘請(qǐng)網(wǎng)絡(luò)安全專家作為常年的安全顧問,指導(dǎo)網(wǎng)絡(luò)安全建設(shè),參與安全規(guī)劃和安全評(píng)審等。
4.3.2.5 審核和檢查
除滿足4.2.2.5的要求之外,還應(yīng)滿足:
a)應(yīng)由內(nèi)部人員或上級(jí)單位定期進(jìn)行全面安全檢查,檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等;
b)應(yīng)制定安全檢查表格實(shí)施安全檢查,匯總安全檢查數(shù)據(jù),形成安全檢查報(bào)告,并對(duì)安全檢查結(jié)果進(jìn)行通報(bào);
c)應(yīng)制定安全審核和安全檢查制度規(guī)范安全審核和安全檢查工作,定期按照程序進(jìn)行安全審核和安全檢查活動(dòng)。4.3.3 人員安全管理 4.3.3.1 人員錄用
除滿足4.2.3.1的要求之外,還應(yīng)滿足。
a)應(yīng)嚴(yán)格規(guī)范人員錄用過程,對(duì)被錄用人的資質(zhì)等進(jìn)行審查; b)應(yīng)簽署保密協(xié)議; c)應(yīng)從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員,并簽署崗位安全協(xié)議。4.3.3.2 人員離崗
除滿足4.2.3.2的要求之外,還應(yīng)滿足。
關(guān)鍵崗位人員離崗須承諾調(diào)離后的保密義務(wù)后方可離開。4.3.3.3 人員考核
除滿足4.2.3.3的要求之外,還應(yīng)滿足:
a)應(yīng)對(duì)關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核; b)應(yīng)對(duì)考核結(jié)果進(jìn)行記錄并保存。4.3.3.4 安全意識(shí)教育和培訓(xùn)
除滿足4.2.3.4的要求之外,還應(yīng)滿足: a)應(yīng)對(duì)安全責(zé)任和懲戒措施進(jìn)行書面規(guī)定;
b)應(yīng)對(duì)定期安全教育和培訓(xùn)進(jìn)行書面規(guī)定,針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃; c)應(yīng)對(duì)安全教育和培訓(xùn)的情況和結(jié)果進(jìn)行記錄并歸檔保存。4.3.3.5 外部人員訪問管理
除滿足4.2.3.5的要求之外,還應(yīng)滿足;
a)應(yīng)確保在外部人員訪問受控區(qū)域前先提出書面申請(qǐng);
b)對(duì)外部人員允許訪問的區(qū)域、網(wǎng)絡(luò)、設(shè)備、信息等內(nèi)容應(yīng)進(jìn)行書面的規(guī)定,并按照規(guī)定執(zhí)行。
4.3.4 安全建設(shè)管理 4.3.4.1 定級(jí)
除滿足4.2.4,1的要求之外,還應(yīng)滿足:
a)應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)網(wǎng)絡(luò)定級(jí)結(jié)果的合理性和正確性進(jìn)行論證和審定;
b)應(yīng)將網(wǎng)絡(luò)的定級(jí)結(jié)果分級(jí)上報(bào)至全國或地區(qū)的主管部門,主管部門對(duì)定級(jí)結(jié)果審批。
4.3.4.2 安全方案設(shè)計(jì)
除滿足4.2.4.2的要求之外,還應(yīng)滿足: a)應(yīng)指定和授權(quán)專門的部門對(duì)網(wǎng)絡(luò)的安全建設(shè)進(jìn)行總體規(guī)劃,制定近期和遠(yuǎn)期的安全建設(shè)工作計(jì)劃;
b)應(yīng)根據(jù)網(wǎng)絡(luò)的等級(jí)劃分情況,統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案,并形成配套文件;
c)應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)總體安全策略、安全技術(shù)框架、安全管理鑲略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的合理性和正確性進(jìn)行論證和審定,并且經(jīng)過批準(zhǔn)后,才能正式實(shí)施;
d)應(yīng)根據(jù)等級(jí)測(cè)評(píng)、安全評(píng)估的結(jié)果定期調(diào)整和慘訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件。4.3.4.3 產(chǎn)品采購和使用
除滿足4.2.4.3的要求之外,還應(yīng)滿足:
應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試,確定產(chǎn)品的候選范圍,并定期審定和更新候選產(chǎn)品名單。4.3.4.4 自行軟件開發(fā)
除滿足4.2.4.4的要求之外,還應(yīng)滿足:
a)應(yīng)確保開發(fā)人員和測(cè)試人員分離,測(cè)試數(shù)據(jù)和測(cè)試結(jié)果受到控制; b)應(yīng)制定代碼編寫安全規(guī)范,要求開發(fā)人員參照規(guī)范編寫代碼; c)應(yīng)確保對(duì)程序資源庫的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)。4.3.4.5 外包軟件開發(fā)
與4.2.4.5的要求相同。4.3.4.6 工程實(shí)施
除滿足4.2.4.6的要求之外,還應(yīng)滿足: a)要求工程實(shí)施單位能正確地執(zhí)行安全工程過程;
b)應(yīng)制定工程實(shí)施方面的管理制度,明確說明實(shí)施過程的控制方法和人員行為準(zhǔn)則。4.3.4.7 測(cè)試驗(yàn)收
除滿足4.2.4.7的要求之外,還應(yīng)滿足:
a)應(yīng)委托公正的第三方測(cè)試單位對(duì)網(wǎng)絡(luò)進(jìn)行安全性測(cè)試,并出具安全性測(cè)試報(bào)告; b)應(yīng)對(duì)系統(tǒng)測(cè)試驗(yàn)收的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定; c)應(yīng)指定或授權(quán)專門韻部門負(fù)責(zé)系統(tǒng)測(cè)試驗(yàn)收的管理,并按照管理規(guī)定的要求完成系統(tǒng)測(cè)試驗(yàn)收工作。4.3.4.8 交付
除滿足4.2.4.8的要求之外,還應(yīng)滿足;
a)應(yīng)對(duì)網(wǎng)絡(luò)交付的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定;
b)應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)網(wǎng)絡(luò)交付的管理工作,并按照管理規(guī)定的要求完成交付工作;
c)在網(wǎng)絡(luò)正式投入使用前,應(yīng)根據(jù)實(shí)際情況進(jìn)行試運(yùn)行,試運(yùn)行期間應(yīng)提供相關(guān)應(yīng)急預(yù)防措施;
d)在網(wǎng)絡(luò)正式投入使用后,應(yīng)對(duì)開發(fā)、建設(shè)過程中涉及安全要求的配置、口令等內(nèi)容重新修改、設(shè)定。
4.3.4.9 安全服務(wù)商的選擇
與4.2.4.9的要求相同。4.3.4.10 備案
除滿足4.2.4.10的要求之外,還應(yīng)滿足:
應(yīng)將網(wǎng)絡(luò)的安全等級(jí)、屬性、定級(jí)的理由等資料分級(jí)上報(bào)至全國或地區(qū)的主管部門備案。4.3.4.11 等級(jí)測(cè)評(píng)
a)在網(wǎng)絡(luò)運(yùn)行過程中,應(yīng)至少每年對(duì)網(wǎng)絡(luò)進(jìn)行一次等級(jí)測(cè)評(píng),發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改;
b)應(yīng)在網(wǎng)絡(luò)發(fā)生變更時(shí)及時(shí)對(duì)網(wǎng)絡(luò)進(jìn)行等級(jí)測(cè)評(píng),發(fā)現(xiàn)級(jí)別發(fā)生變化的及時(shí)調(diào)整級(jí)別并進(jìn)行安全改造,發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改;
c)應(yīng)選擇具有國家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測(cè)評(píng)單位進(jìn)行等級(jí)測(cè)評(píng); d)應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)等級(jí)測(cè)評(píng)的管理。4.3.5 安全運(yùn)維管理 4.3.5.1 環(huán)境管理
除滿足4.2.5.1的要求之外,還應(yīng)滿足:
a)應(yīng)有指定的部門負(fù)責(zé)機(jī)房安全,并配置電子門禁系統(tǒng),對(duì)機(jī)房來訪人員實(shí)行登記記錄和電子記錄雙重備案管理。b)工作人員離開座位應(yīng)確保終端計(jì)算機(jī)退出登錄狀態(tài)和桌面上沒有包含敏感信息的紙檔文件。
4.3.5.2 資產(chǎn)管理
除滿足4.2.5.2的要求之外,還應(yīng)滿足:
a)應(yīng)根據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)管理,根據(jù)資產(chǎn)的價(jià)值選擇相應(yīng)的管理措施;
b)應(yīng)對(duì)信息分類與標(biāo)識(shí)方法作出規(guī)定,并對(duì)信息的使用、傳輸和存儲(chǔ)等進(jìn)行規(guī)范化管理。
4.3.5.3 介質(zhì)管理
除滿足4.2,5.3的要求之外,還應(yīng)滿足:
a)應(yīng)建立介質(zhì)安全管理制度,對(duì)介質(zhì)的存放環(huán)境、使用、維護(hù)和銷毀等方面作出規(guī)定: b)應(yīng)對(duì)介質(zhì)的物理傳輸過程中人員選擇、打包、交付等情況進(jìn)行控制;
c)應(yīng)對(duì)存儲(chǔ)介質(zhì)的使用過程進(jìn)行嚴(yán)格的管理,對(duì)帶出工作環(huán)境的存儲(chǔ)介質(zhì)進(jìn)行內(nèi)容加密和監(jiān)控管理,對(duì)保密性較高的存儲(chǔ)介質(zhì)未經(jīng)批準(zhǔn)不得自行銷毀;
d)應(yīng)根據(jù)數(shù)據(jù)備份的需要對(duì)某些介質(zhì)實(shí)行異地存儲(chǔ),存儲(chǔ)地的環(huán)境要求和管理方法應(yīng)與本地相同;
c)應(yīng)對(duì)重要介質(zhì)中的數(shù)據(jù)和軟件采取加密存儲(chǔ)。4.3.5.4 設(shè)備管理
除滿足4.2.5.4的要求之外,還應(yīng)滿足:
應(yīng)建立配套設(shè)施、軟硬件維護(hù)方面的管理制度,對(duì)其維護(hù)進(jìn)行有效的管理,包括明確維護(hù)人員的責(zé)任、涉外維修和服務(wù)的審批、維修過程的監(jiān)督控制等。4.3.5.5 監(jiān)控管理
a)應(yīng)對(duì)通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行監(jiān)測(cè)和報(bào)警,形成記錄并妥善保存;
b)應(yīng)組織相關(guān)人員定期對(duì)監(jiān)測(cè)和報(bào)警記錄進(jìn)行分析、評(píng)審,發(fā)現(xiàn)可疑行為,形成分析報(bào)告,并采取必要的應(yīng)對(duì)措施;
c)應(yīng)建立安全管理中心,對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等安全相關(guān)事項(xiàng)進(jìn)行集中管理。4.3.5.6 網(wǎng)絡(luò)安全管理 除滿足4.2.5.5的要求之外,還應(yīng)滿足:
a)應(yīng)實(shí)現(xiàn)設(shè)備的最小服務(wù)配置,并對(duì)配置文件進(jìn)行定期離線備份; b)應(yīng)依據(jù)安全策略允許或者拒絕便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入: c)應(yīng)定期檢查違反規(guī)定撥號(hào)上闞或其他違反網(wǎng)絡(luò)安全策略的行為。4.3.5.7 系統(tǒng)安全管理
除滿足4.2.5.6的要求之外,還應(yīng)滿足:
應(yīng)指定專人對(duì)系統(tǒng)進(jìn)行管理,劃分系統(tǒng)管理員角色,明確各個(gè)角色的權(quán)限、責(zé)任和風(fēng)險(xiǎn),權(quán)限設(shè)定應(yīng)當(dāng)遵循最小授權(quán)原則。4.3.5.8 惡意代碼防范管理
除滿足4.2.5.7的要求之外,還應(yīng)滿足:
應(yīng)定期檢查網(wǎng)絡(luò)內(nèi)各種產(chǎn)品的惡意代碼庫的升級(jí)情況并進(jìn)行記錄,對(duì)主機(jī)防病毒產(chǎn)品、防病毒網(wǎng)關(guān)和郵件防病毒網(wǎng)關(guān)上截獲的危險(xiǎn)病毒或惡意代碼進(jìn)行及時(shí)分析處理,并形成書面的報(bào)表和總結(jié)匯報(bào)。4.3.5.9 密碼管理
除滿足4.2.5.8的要求之外,還應(yīng)滿足:
應(yīng)建立密碼使用管理制度。4.3.5.10 變更管理
除滿足4.2.5.9的要求之外,還應(yīng)滿足:
a)應(yīng)建立變更管理制度,變更和變更方案需有評(píng)審過程;
b)應(yīng)建立變更控制的申報(bào)和審批文件化程序,對(duì)變更影響進(jìn)行分析并文檔化,記錄變更實(shí)施過程,并妥善保存所有文檔和記錄;
c)應(yīng)建立中止變更并從失敗變更中恢復(fù)的文件化程序,明確過程控制方法和人員職責(zé),必要時(shí)對(duì)恢復(fù)過程進(jìn)行演練。4.3.5.11 備份與恢復(fù)管理
除滿足4.2.5.10的要求之外,還應(yīng)滿足: a)應(yīng)建立備份與恢復(fù)管理相關(guān)的安全管理制度;
b)應(yīng)建立控制數(shù)據(jù)備份和恢復(fù)過程的程序,對(duì)備份過程進(jìn)行記錄,所有文件和記錄應(yīng)妥善保存; c)應(yīng)定期執(zhí)行恢復(fù)程序,檢查和測(cè)試備份介質(zhì)的有效性,確保可以在恢復(fù)程序規(guī)定的時(shí)間內(nèi)完成備份的恢復(fù)。4.3.5.12 安全事件處置
除滿足4.2.5.11的要求之外,還應(yīng)滿足:
a)應(yīng)制定安全事件報(bào)告和響應(yīng)處理程序,確定事件的報(bào)告流程,響應(yīng)和處置的范圍、程度,以及處理方法等;
b)應(yīng)在安全事件報(bào)告和響應(yīng)處理過程中,分析和鑒定事件產(chǎn)生的原因,收集證據(jù),記錄處理過程,總結(jié)經(jīng)驗(yàn)教訓(xùn),制定防止再次發(fā)生的補(bǔ)救措施,過程形成的所有文件和記錄均應(yīng)妥善保存;
c)對(duì)造成系統(tǒng)中斷和造成信息泄密的安全事件應(yīng)采用不同的處理程序和報(bào)告程序。4.3.5.13 應(yīng)急預(yù)案管理
除滿足4.2.5.12的要求之外,還應(yīng)滿足:
a)應(yīng)從人力、設(shè)備、技術(shù)和財(cái)務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障; b)應(yīng)定期對(duì)應(yīng)急預(yù)案進(jìn)行演練,根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容,確定演練的周期; c)應(yīng)規(guī)定應(yīng)急預(yù)案需要定期審查和根據(jù)實(shí)際情況更新的內(nèi)容,并按照?qǐng)?zhí)行。4.4 第3.2級(jí)要求
與第3.1級(jí)要求相同。
4.5 第4圾要求
同第3.2級(jí)要求。4.6 第5級(jí)要求
待補(bǔ)充。
第五篇:安全等級(jí)保護(hù)管理辦法
安全等級(jí)保護(hù)管理辦法
為規(guī)范信息安全等級(jí)保護(hù)管理,提高信息安全保障能力和水平,維護(hù)國家安全、社會(huì)穩(wěn)定和公共利益,保障和促進(jìn)信息化建設(shè),根據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等有關(guān)法律法規(guī)制定以下辦法:
第1條 網(wǎng)絡(luò)安全策略管理由安全保密管理員專職負(fù)責(zé),未經(jīng)允許任何人不得進(jìn)行此項(xiàng)操作。
第2條 根據(jù)網(wǎng)絡(luò)信息系統(tǒng)的安全設(shè)計(jì)要求及主機(jī)審計(jì)系統(tǒng)數(shù)據(jù)的分析結(jié)果,制定、配置、修改、刪除主機(jī)審計(jì)系統(tǒng)的各項(xiàng)管理策略,并做記錄。
第3條 根據(jù)網(wǎng)絡(luò)信息系統(tǒng)的安全設(shè)計(jì)要求制定、配置、修改、刪除網(wǎng)絡(luò)安全評(píng)估分析系統(tǒng)的各項(xiàng)管理策略,并做記錄。
第4條 根據(jù)網(wǎng)絡(luò)信息系統(tǒng)的安全設(shè)計(jì)要求制定、配置、修改、刪除入侵檢測(cè)系統(tǒng)的各項(xiàng)管理策略,并做記錄。
第5條 根據(jù)網(wǎng)絡(luò)信息系統(tǒng)的安全設(shè)計(jì)要求制定、配置、修改、刪除、內(nèi)網(wǎng)主機(jī)安全監(jiān)控與審計(jì)系統(tǒng)的各項(xiàng)管理策略,并做記錄。
第6條 每周對(duì)網(wǎng)絡(luò)信息系統(tǒng)安全管理策略進(jìn)行數(shù)據(jù)備份,并作詳細(xì)記錄。第7條 網(wǎng)絡(luò)信息安全技術(shù)防護(hù)系統(tǒng)(主機(jī)審計(jì)系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、內(nèi)網(wǎng)主機(jī)安全監(jiān)控與審計(jì)系統(tǒng))由網(wǎng)絡(luò)安全保密管理員統(tǒng)一負(fù)責(zé)安裝和卸載。
第8條 網(wǎng)絡(luò)信息系統(tǒng)安全檢查由安全保密管理員專職負(fù)責(zé)執(zhí)行,未經(jīng)允許任何人不得進(jìn)行此項(xiàng)操作。
第9條 每天根據(jù)入侵檢測(cè)系統(tǒng)的系統(tǒng)策略檢測(cè)、審計(jì)系統(tǒng)日志,檢查是否有網(wǎng)絡(luò)攻擊、異常操作、不正常數(shù)據(jù)流量等,對(duì)異常情況做及時(shí)處理,遇有重大安全問題上報(bào)保密局,并做詳細(xì)記錄。
第10條 每周登陸入侵檢測(cè)系統(tǒng)產(chǎn)品網(wǎng)站,下載最新升級(jí)文件包,對(duì)系統(tǒng)進(jìn)行更新,并做詳細(xì)記錄。
第11條 每月通過漏洞掃描系統(tǒng)對(duì)網(wǎng)絡(luò)系統(tǒng)終端進(jìn)行安全評(píng)估分析,并對(duì)掃描結(jié)果進(jìn)行分析,及時(shí)對(duì)終端系統(tǒng)漏洞及安全隱患進(jìn)行處理,作詳細(xì)記錄,并將安全評(píng)估分析報(bào)告上報(bào)保密辦。
第12條 每周登錄全評(píng)估產(chǎn)品網(wǎng)站,下載最新升級(jí)文件包,對(duì)系統(tǒng)進(jìn)行更新,并作詳細(xì)記錄。
第13條 每周備份入侵檢測(cè)系統(tǒng)和漏洞掃描系統(tǒng)的審計(jì)信息,并作詳細(xì)記錄。第14條 涉密計(jì)算機(jī)安全管理由安全保密管理員專人負(fù)責(zé),未經(jīng)允許任何人不得進(jìn)行此項(xiàng)操作。
第15條 根據(jù)網(wǎng)絡(luò)系統(tǒng)安全設(shè)計(jì)要求制定、修改、刪除涉密計(jì)算機(jī)安全審計(jì)策略,包括打印控制策略、外設(shè)輸入輸出控制策略、應(yīng)用程序控制策略,并做記錄。
第16條 每日對(duì)涉密計(jì)算機(jī)進(jìn)行安全審計(jì),及時(shí)處理安全問題,并做詳細(xì)記錄,遇有重大問題上報(bào)保密部門。
第17條 涉密計(jì)算機(jī)的新增、變更、淘汰需經(jīng)保密部門審批,審批通過后由安全保密管理員統(tǒng)一進(jìn)行操作,并做詳細(xì)記錄。
第18條 新增涉密計(jì)算機(jī)聯(lián)入涉密網(wǎng)絡(luò),需經(jīng)保密局審批,由安全保密管理員統(tǒng)一進(jìn)行操作,并做詳細(xì)記錄。
點(diǎn)擊咨詢 