第一篇:電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護(hù)要求
電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護(hù)要求 范圍
本標(biāo)準(zhǔn)規(guī)定了公眾電信網(wǎng)和互聯(lián)網(wǎng)的管理安全等級保護(hù)要求。
本標(biāo)準(zhǔn)適用于電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系中的各種網(wǎng)絡(luò)和系統(tǒng)。2 規(guī)范性引用文件
下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本標(biāo)準(zhǔn)。然而,鼓勵根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本.凡是不注日期的引用文件,其最新版本適用于本標(biāo)準(zhǔn)。3 術(shù)語和定義
下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。3.1
電信網(wǎng) Telecom Network
利用有線和,或無線的電磁、光電網(wǎng)絡(luò),進(jìn)行文字、聲音、數(shù)據(jù)、圖像或其他任何媒體的信息傳遞的網(wǎng)絡(luò),包括固定通信網(wǎng)、移動通信網(wǎng)等。3.2
互聯(lián)網(wǎng) Internet
泛指由多個計算機(jī)網(wǎng)絡(luò)相互連接而形成的網(wǎng)絡(luò),它是在功能和邏輯上組成的大型計算機(jī)網(wǎng)絡(luò)。3.3
安全等級 Security Classification
安全重要程度的表征.重要程度可從網(wǎng)絡(luò)受到破壞后,對國家安全、社會秩序、經(jīng)濟(jì)運行、公共利益、網(wǎng)絡(luò)和業(yè)務(wù)運營商造成的損害來衡量。4 管理安全等級保護(hù)要求 4.1 第1級要求
不作要求。4.2 第2級要求 4.2.1 安全管理制度 4.2.1.1 管理制度
a)應(yīng)制定安全工作的總體方針和安全策略,說明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等;
b)應(yīng)對安全管理活動中重要的管理內(nèi)容建立安全管理制度; c)應(yīng)對安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程。4.2.1.2 制定和發(fā)布
a)應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)安全管理制度的制定;
b)應(yīng)組織相關(guān)人員對制定的安全管理制度進(jìn)行論證和審定; c)應(yīng)將安全管理制度以某種方式發(fā)布到相關(guān)人員手中。4.2.1.3 評審和修訂
應(yīng)定期對安全管理制度進(jìn)行評審,對存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。4.2.2 安全管理機(jī)構(gòu) 4.2.2.1 崗位設(shè)置
a)應(yīng)設(shè)立安全主管、安全管理各個方面的負(fù)責(zé)人崗位,定義各負(fù)責(zé)人的職責(zé); b)應(yīng)設(shè)立系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、安全管理員崗位,定義各個工作崗位的職責(zé)。4.2.2.2 人員配備
應(yīng)配備一定數(shù)量的系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、安全管理員等。4.2.2.3 授權(quán)和審批
a)應(yīng)根據(jù)各個部門和崗位的職責(zé)明確授權(quán)審批部門及批準(zhǔn)人,對系統(tǒng)投入運行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問等關(guān)鍵活動進(jìn)行審批;
b)應(yīng)針對關(guān)鍵活動建立審批流程,并由批準(zhǔn)人簽字確認(rèn)。4.2.2.4 溝通和合作
a)應(yīng)加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及網(wǎng)絡(luò)安全職熊部門內(nèi)部的合作與溝通;
b)應(yīng)加強(qiáng)與相關(guān)外部單位的合作與溝通。4.2.2.5 審核和檢查
應(yīng)由安全管理人員定期進(jìn)行安全檢查,檢查內(nèi)容包括用戶賬號情況、系統(tǒng)漏洞情況、數(shù)據(jù)備份等情況。4.2.3 人員安全管理 4.2.3.1 人員錄用
a)應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)人員錄用;
b)應(yīng)規(guī)范人員錄用過程,對被錄用人員的身份、背景和專業(yè)資格等進(jìn)行審查,對其所具有的技術(shù)技能進(jìn)行考核;
c)應(yīng)與從事關(guān)鍵崗位的人員簽署保密協(xié)議。4.2.3.2 人員離崗
a)應(yīng)規(guī)范人員離崗過程,及時終止離崗員工的所有訪問權(quán)限;
b)對于離崗人員,應(yīng)取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備; c)對于離崗人員,應(yīng)辦理嚴(yán)格的調(diào)離手續(xù)。4.2.3.3 人員考核
應(yīng)定期對各個崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核。4.2.3.4 安全意識教育和培訓(xùn)
a)應(yīng)對各類人員進(jìn)行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn);
b)應(yīng)告知人員相關(guān)的安全責(zé)任和懲戒措施,并對違反違背安全策略和規(guī)定的人員進(jìn)行懲戒;
c)應(yīng)制定安全教育和培訓(xùn)計劃,對網(wǎng)絡(luò)安全基礎(chǔ)知識、崗位操作規(guī)程等進(jìn)行培訓(xùn). 4.2.3.5 外部人員訪問管理
應(yīng)確保在外部人員訪問受控區(qū)域前得到授權(quán)或?qū)徟鷾?zhǔn)后由專人全程陪同或監(jiān)督,并登記備案。
4.2.4 安全建設(shè)管理 4.2.4.1 定級
a)應(yīng)明確網(wǎng)絡(luò)的邊界和安全保護(hù)等級
b)應(yīng)以書面的形式說明網(wǎng)絡(luò)確定為某個安全等級的方法和理由; c)應(yīng)確保網(wǎng)絡(luò)的定級結(jié)果經(jīng)過相關(guān)部門的批準(zhǔn)。4.2.4.2 安全方案設(shè)計
a)應(yīng)根據(jù)網(wǎng)絡(luò)的安全保護(hù)等級選擇基本安全措施,依據(jù)風(fēng)險分析的結(jié)果補充和調(diào)整安全措施; b)應(yīng)以書面形式描述對網(wǎng)絡(luò)的安全保護(hù)要求、策略和措施等內(nèi)容,形成網(wǎng)絡(luò)的安全方案;
c)應(yīng)對安全方案進(jìn)行細(xì)化,形成能指導(dǎo)安全系統(tǒng)建設(shè)、安全產(chǎn)品采購和使用的詳細(xì)設(shè)計方案;
d)應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對安全設(shè)計方案的合理性和正確性進(jìn)行論證和審定,并且經(jīng)過批準(zhǔn)后,才能正式實施。4.2.4.3 產(chǎn)品采購和使用
a)應(yīng)確保安全產(chǎn)品采購和使用符合固家的有關(guān)規(guī)定; b)應(yīng)確保密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求; c)應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購。4.2.4.4 自行軟件開發(fā)
a)應(yīng)確保開發(fā)環(huán)境與實際運行環(huán)境物理分開;
b)應(yīng)制定軟件開發(fā)管理制度,明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則; c)應(yīng)確保提供軟件設(shè)計的相關(guān)文檔和使用指南,并由專人負(fù)責(zé)保管。4.2.4.5 外包軟件開發(fā)
a)應(yīng)根據(jù)開發(fā)需求檢測軟件質(zhì)量;
b)應(yīng)要求開發(fā)單位提供軟件設(shè)計的相關(guān)文檔和使用指南; c)應(yīng)在軟件安裝之前檢測軟件包中可能存在的惡意代碼。4.2.4.6工程實施
a)應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實施過程的管理; b)應(yīng)制定詳細(xì)的工程實施方案,控制工程實施過程。4.2.4.7 測試驗收
a)應(yīng)對系統(tǒng)進(jìn)行安全性測試驗收:
b)在測試驗收前應(yīng)根據(jù)設(shè)計方案或合同要求等制訂測試驗收方案,在測試驗收過程中應(yīng)詳細(xì)記錄測試驗收結(jié)果,并形成測試驗收報告;
c)應(yīng)組織相關(guān)部門和相關(guān)人員對網(wǎng)絡(luò)測試驗收報告進(jìn)行審定,并簽字確認(rèn)。4.2.4.8 交付
a)應(yīng)制定網(wǎng)絡(luò)交付清單,并根據(jù)交付清單對所交接的設(shè)備、軟件和文檔等進(jìn)行清點; b)應(yīng)對負(fù)責(zé)網(wǎng)絡(luò)運行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn);
c)應(yīng)確保提供網(wǎng)絡(luò)建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)行網(wǎng)絡(luò)運行維護(hù)的文檔。4.2.4.9 安全服務(wù)商的選擇
a)應(yīng)確保安全服務(wù)商的選擇符合國家的有關(guān)規(guī)定;
b)應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議,明確約定相關(guān)責(zé)任;
c)應(yīng)確保選定的安全服務(wù)商提供技術(shù)支持和服務(wù)承諾,必要時與其簽訂服務(wù)合同。4.2.4.10 備案
應(yīng)將網(wǎng)絡(luò)的定級、屬性等資料指定專門的人員或部門負(fù)責(zé)管理,并控制這些材料的使用。4.2.5 安全運維管理 4.2.5.1 環(huán)境管理
a)應(yīng)指定專門的部門或人員定期對機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理;
b)應(yīng)配備機(jī)房安全管理人員,對機(jī)房的出入、服務(wù)器的開機(jī)或關(guān)機(jī)等工作進(jìn)行管理;
c)應(yīng)建立機(jī)房安全管理制度,對有關(guān)機(jī)房物理訪問,物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的管理作出規(guī)定;
d)應(yīng)加強(qiáng)對辦公環(huán)境的保密性管理,包括工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙和不在辦公區(qū)接待來訪人員等。4.2.5.2 資產(chǎn)管理
a)應(yīng)編制與網(wǎng)絡(luò)相關(guān)的資產(chǎn)清單,包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容; b)應(yīng)建立資產(chǎn)安全管理制度-規(guī)定資產(chǎn)管理的責(zé)任人員或責(zé)任部門,并規(guī)范資產(chǎn)管理和使用的行為。4.2.5.3 介質(zhì)管理
a)應(yīng)確保介質(zhì)存放在安全的環(huán)境中,對各類介質(zhì)進(jìn)行控制和保護(hù),并實行存儲環(huán)境專人管理;
b)應(yīng)對介質(zhì)歸檔和查詢等過程進(jìn)行記錄,并根據(jù)存檔介質(zhì)的目錄清單定期盤點; c)應(yīng)對需要送出維修或銷毀的介質(zhì),首先清除其中的敏感數(shù)據(jù),防止信息的非法泄漏; d)應(yīng)根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進(jìn)行分類和標(biāo)識管理。4.2.5.4 設(shè)備管理
a)應(yīng)對網(wǎng)絡(luò)相關(guān)的各種設(shè)備(包括備份和冗余設(shè)備)、線路等指定專門的部門或人員定期進(jìn)行維護(hù)管理;
b)應(yīng)建立基于申報、審批和專人負(fù)責(zé)的設(shè)備安全管理制度,對各種軟硬件設(shè)備的選型、采購、發(fā)放和領(lǐng)用等過程進(jìn)行規(guī)范化管理;
c)應(yīng)對終端計算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進(jìn)行規(guī)范化管理,按操作規(guī)程實現(xiàn)關(guān)鍵設(shè)備(包括備份和冗余設(shè)備)的啟動,停止、加電,斷電等操作; d)應(yīng)確保信息處理設(shè)備必須經(jīng)過審批才能帶離機(jī)房或辦公地點。4.2.5.5 網(wǎng)絡(luò)安全管理
a)應(yīng)指定人員對網(wǎng)絡(luò)進(jìn)行管理,負(fù)責(zé)運行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報警信息分析和處理工作;
b)應(yīng)建立網(wǎng)絡(luò)安全管理制度,對網(wǎng)絡(luò)安全配置、日志保存時間、安全策略、升級與打補丁、口令更新周期等方面作出規(guī)定;
c)應(yīng)根據(jù)廠家提供的軟件升級版本對網(wǎng)絡(luò)設(shè)備進(jìn)行更新,并在更新前對現(xiàn)有的重要文件進(jìn)行備份;
d)應(yīng)定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描,對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時的修補; e)應(yīng)對網(wǎng)絡(luò)設(shè)備的配置文件進(jìn)行定期備份; f)應(yīng)保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)。4.2.5.6 系統(tǒng)安全管理
a)應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略; b)應(yīng)定期進(jìn)行漏洞掃描,對發(fā)現(xiàn)的系統(tǒng)安全漏洞及時進(jìn)行修補;
c)應(yīng)安裝系統(tǒng)的最新補丁程序,在安裝系統(tǒng)補丁前,應(yīng)首先在測試環(huán)境中測試通過,并對重要文件進(jìn)行備份后,方可實施系統(tǒng)補丁程序的安裝;
d)應(yīng)建立系統(tǒng)安全管理制度,對系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出規(guī)定;
e)應(yīng)依據(jù)操作手冊對系統(tǒng)進(jìn)行維護(hù),詳細(xì)記錄操作日志,包括重要的日常操作、運行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容,嚴(yán)禁進(jìn)行未經(jīng)授權(quán)的操作; f)應(yīng)定期對運行日志和審計數(shù)據(jù)進(jìn)行分析,以便及時發(fā)現(xiàn)異常行為。4.2.5.7 惡意代碼防范管理 a)應(yīng)提高所有用戶的防病毒意識,告知及時升級防病毒軟件,在讀取移動存儲設(shè)備上的數(shù)據(jù)以及從網(wǎng)絡(luò)上接收文件或郵件之前,先進(jìn)行病毒檢查,對外來計算機(jī)或存儲設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也,直進(jìn)行病毒檢查;
b)應(yīng)指定專人對網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測并保存檢測記錄;
c)應(yīng)對防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、定期匯報等作出明確規(guī)定。4.2.5.8 密碼管理
應(yīng)使用符合國家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。4.2.5.9 變更管理
a)應(yīng)確認(rèn)網(wǎng)絡(luò)中要發(fā)生的重要變更,并制定相應(yīng)的變更方案;
b)網(wǎng)絡(luò)發(fā)生重要變更前,應(yīng)向主管領(lǐng)導(dǎo)申請,審批后方可實施變更,并在實施后向相關(guān)人員通告。
4.2.5.10 備份與恢復(fù)管理
a)應(yīng)識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等;
b)應(yīng)規(guī)定備份信息的備份方式(如增量備份或全備份等)、備份頻度(如每日或每周等)、存儲介質(zhì)、保存期等;
c)應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運行的影響,制定數(shù)據(jù)的備份策略和恢復(fù)策略,備份策略應(yīng)指明各份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質(zhì)替換頻率和將數(shù)據(jù)離站運輸?shù)姆椒ā?/p>
4.2.5.11 安全事件處置
a)應(yīng)報告所發(fā)現(xiàn)的安全弱點和可疑事件,但任何情況下用戶均不應(yīng)嘗試驗證弱點; b)應(yīng)制定安全事件報告和處置管理制度,明確安全事件類型,規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復(fù)的管理職責(zé);
c)應(yīng)根據(jù)安全事件對本網(wǎng)絡(luò)產(chǎn)生的影響,對本網(wǎng)絡(luò)安全事件進(jìn)行等級劃分; d)應(yīng)記錄并保存所有報告的安全弱點和可疑事件,分析事件原因,監(jiān)督事態(tài)發(fā)展,采取措施避免安全事件發(fā)生。4.2.5.12 應(yīng)急預(yù)察管理
a)應(yīng)在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案,應(yīng)急預(yù)案框架應(yīng)包括啟動應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容;
b)應(yīng)對相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn),應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次。4.3 第3.1級要求 4.3.1 安全管理制度 4.3.1.1 管理制度
除滿足4.2.1.1的要求之外,還應(yīng)滿足:
a)應(yīng)對安全管理活動中的各類管理內(nèi)窖建立安全管理制度,以規(guī)范安全管理活動; b)應(yīng)形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的安全管理制度體系。4.3.1.2 制定和發(fā)布
除滿足4.2.1.2的要求之外,還應(yīng)滿足:
a)安全管理制度應(yīng)有統(tǒng)一的格式,并進(jìn)行版本控制; b)安全管理制度應(yīng)通過正式、有效的方式發(fā)布; c)安全管理制度應(yīng)注明發(fā)布范圍,并對收發(fā)文進(jìn)行登記. 4.3.1.3 評審和修訂
除滿足4.2.1.3的要求之外,還應(yīng)滿足:
a)安全領(lǐng)導(dǎo)小組應(yīng)負(fù)責(zé)定期組織相關(guān)部門和相關(guān)人員對安全管理制度體系的合理性和適用性進(jìn)行審定;
b)應(yīng)定期或不定期對安全管理制度進(jìn)行檢查和審定。4.3.2 安全管理機(jī)構(gòu) 4.3.2.1 崗位設(shè)置
除滿足4.2.2.1的要求之外,還應(yīng)滿足。a)應(yīng)設(shè)立安全管理工作的職能部門;
b)應(yīng)成立指導(dǎo)和管理安全工作的委員會或領(lǐng)導(dǎo)小組,其最高領(lǐng)導(dǎo)應(yīng)由單位主管領(lǐng)導(dǎo)委任或授權(quán);
c)應(yīng)制定文件明確安全管理機(jī)構(gòu)各個部門和崗位的職責(zé)、分工和技能要求. 4.3.2.2 人員配備
除滿足4.2.2.2的要求之外,還應(yīng)滿足: a)應(yīng)配備專職安全管理員,不可兼任; b)關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理。4.3.2.3 授權(quán)和審批
除滿足4.2.2.3的要求之外,還應(yīng)滿足:
a)應(yīng)根據(jù)各個部門和崗位的職責(zé)明確授權(quán)審批事項;
b)應(yīng)針對系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項建立審批程序,按照審批程序執(zhí)行審批過程,對重要活動建立逐級審批制度;
c)應(yīng)定期審查審批事項,及時更新需授權(quán)和審批的項目、審批部門和審批人等信息; d)應(yīng)記錄審批過程并保存審批文檔。4.3.2.4 溝通相合作
除滿足4.2.2.4的要求之外,還應(yīng)滿足。
a)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及網(wǎng)絡(luò)安全職能部門內(nèi)部定期或不定期召開協(xié)調(diào)會議,共同協(xié)作處理網(wǎng)絡(luò)安全問題;
b)應(yīng)建立外聯(lián)單位聯(lián)系列表,包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息;
c)應(yīng)聘請網(wǎng)絡(luò)安全專家作為常年的安全顧問,指導(dǎo)網(wǎng)絡(luò)安全建設(shè),參與安全規(guī)劃和安全評審等。
4.3.2.5 審核和檢查
除滿足4.2.2.5的要求之外,還應(yīng)滿足:
a)應(yīng)由內(nèi)部人員或上級單位定期進(jìn)行全面安全檢查,檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等;
b)應(yīng)制定安全檢查表格實施安全檢查,匯總安全檢查數(shù)據(jù),形成安全檢查報告,并對安全檢查結(jié)果進(jìn)行通報;
c)應(yīng)制定安全審核和安全檢查制度規(guī)范安全審核和安全檢查工作,定期按照程序進(jìn)行安全審核和安全檢查活動。4.3.3 人員安全管理 4.3.3.1 人員錄用
除滿足4.2.3.1的要求之外,還應(yīng)滿足。
a)應(yīng)嚴(yán)格規(guī)范人員錄用過程,對被錄用人的資質(zhì)等進(jìn)行審查; b)應(yīng)簽署保密協(xié)議; c)應(yīng)從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員,并簽署崗位安全協(xié)議。4.3.3.2 人員離崗
除滿足4.2.3.2的要求之外,還應(yīng)滿足。
關(guān)鍵崗位人員離崗須承諾調(diào)離后的保密義務(wù)后方可離開。4.3.3.3 人員考核
除滿足4.2.3.3的要求之外,還應(yīng)滿足:
a)應(yīng)對關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核; b)應(yīng)對考核結(jié)果進(jìn)行記錄并保存。4.3.3.4 安全意識教育和培訓(xùn)
除滿足4.2.3.4的要求之外,還應(yīng)滿足: a)應(yīng)對安全責(zé)任和懲戒措施進(jìn)行書面規(guī)定;
b)應(yīng)對定期安全教育和培訓(xùn)進(jìn)行書面規(guī)定,針對不同崗位制定不同的培訓(xùn)計劃; c)應(yīng)對安全教育和培訓(xùn)的情況和結(jié)果進(jìn)行記錄并歸檔保存。4.3.3.5 外部人員訪問管理
除滿足4.2.3.5的要求之外,還應(yīng)滿足;
a)應(yīng)確保在外部人員訪問受控區(qū)域前先提出書面申請;
b)對外部人員允許訪問的區(qū)域、網(wǎng)絡(luò)、設(shè)備、信息等內(nèi)容應(yīng)進(jìn)行書面的規(guī)定,并按照規(guī)定執(zhí)行。
4.3.4 安全建設(shè)管理 4.3.4.1 定級
除滿足4.2.4,1的要求之外,還應(yīng)滿足:
a)應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對網(wǎng)絡(luò)定級結(jié)果的合理性和正確性進(jìn)行論證和審定;
b)應(yīng)將網(wǎng)絡(luò)的定級結(jié)果分級上報至全國或地區(qū)的主管部門,主管部門對定級結(jié)果審批。
4.3.4.2 安全方案設(shè)計
除滿足4.2.4.2的要求之外,還應(yīng)滿足: a)應(yīng)指定和授權(quán)專門的部門對網(wǎng)絡(luò)的安全建設(shè)進(jìn)行總體規(guī)劃,制定近期和遠(yuǎn)期的安全建設(shè)工作計劃;
b)應(yīng)根據(jù)網(wǎng)絡(luò)的等級劃分情況,統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計方案,并形成配套文件;
c)應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理鑲略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計方案等相關(guān)配套文件的合理性和正確性進(jìn)行論證和審定,并且經(jīng)過批準(zhǔn)后,才能正式實施;
d)應(yīng)根據(jù)等級測評、安全評估的結(jié)果定期調(diào)整和慘訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計方案等相關(guān)配套文件。4.3.4.3 產(chǎn)品采購和使用
除滿足4.2.4.3的要求之外,還應(yīng)滿足:
應(yīng)預(yù)先對產(chǎn)品進(jìn)行選型測試,確定產(chǎn)品的候選范圍,并定期審定和更新候選產(chǎn)品名單。4.3.4.4 自行軟件開發(fā)
除滿足4.2.4.4的要求之外,還應(yīng)滿足:
a)應(yīng)確保開發(fā)人員和測試人員分離,測試數(shù)據(jù)和測試結(jié)果受到控制; b)應(yīng)制定代碼編寫安全規(guī)范,要求開發(fā)人員參照規(guī)范編寫代碼; c)應(yīng)確保對程序資源庫的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)。4.3.4.5 外包軟件開發(fā)
與4.2.4.5的要求相同。4.3.4.6 工程實施
除滿足4.2.4.6的要求之外,還應(yīng)滿足: a)要求工程實施單位能正確地執(zhí)行安全工程過程;
b)應(yīng)制定工程實施方面的管理制度,明確說明實施過程的控制方法和人員行為準(zhǔn)則。4.3.4.7 測試驗收
除滿足4.2.4.7的要求之外,還應(yīng)滿足:
a)應(yīng)委托公正的第三方測試單位對網(wǎng)絡(luò)進(jìn)行安全性測試,并出具安全性測試報告; b)應(yīng)對系統(tǒng)測試驗收的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定; c)應(yīng)指定或授權(quán)專門韻部門負(fù)責(zé)系統(tǒng)測試驗收的管理,并按照管理規(guī)定的要求完成系統(tǒng)測試驗收工作。4.3.4.8 交付
除滿足4.2.4.8的要求之外,還應(yīng)滿足;
a)應(yīng)對網(wǎng)絡(luò)交付的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定;
b)應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)網(wǎng)絡(luò)交付的管理工作,并按照管理規(guī)定的要求完成交付工作;
c)在網(wǎng)絡(luò)正式投入使用前,應(yīng)根據(jù)實際情況進(jìn)行試運行,試運行期間應(yīng)提供相關(guān)應(yīng)急預(yù)防措施;
d)在網(wǎng)絡(luò)正式投入使用后,應(yīng)對開發(fā)、建設(shè)過程中涉及安全要求的配置、口令等內(nèi)容重新修改、設(shè)定。
4.3.4.9 安全服務(wù)商的選擇
與4.2.4.9的要求相同。4.3.4.10 備案
除滿足4.2.4.10的要求之外,還應(yīng)滿足:
應(yīng)將網(wǎng)絡(luò)的安全等級、屬性、定級的理由等資料分級上報至全國或地區(qū)的主管部門備案。4.3.4.11 等級測評
a)在網(wǎng)絡(luò)運行過程中,應(yīng)至少每年對網(wǎng)絡(luò)進(jìn)行一次等級測評,發(fā)現(xiàn)不符合相應(yīng)等級保護(hù)標(biāo)準(zhǔn)要求的及時整改;
b)應(yīng)在網(wǎng)絡(luò)發(fā)生變更時及時對網(wǎng)絡(luò)進(jìn)行等級測評,發(fā)現(xiàn)級別發(fā)生變化的及時調(diào)整級別并進(jìn)行安全改造,發(fā)現(xiàn)不符合相應(yīng)等級保護(hù)標(biāo)準(zhǔn)要求的及時整改;
c)應(yīng)選擇具有國家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測評單位進(jìn)行等級測評; d)應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)等級測評的管理。4.3.5 安全運維管理 4.3.5.1 環(huán)境管理
除滿足4.2.5.1的要求之外,還應(yīng)滿足:
a)應(yīng)有指定的部門負(fù)責(zé)機(jī)房安全,并配置電子門禁系統(tǒng),對機(jī)房來訪人員實行登記記錄和電子記錄雙重備案管理。b)工作人員離開座位應(yīng)確保終端計算機(jī)退出登錄狀態(tài)和桌面上沒有包含敏感信息的紙檔文件。
4.3.5.2 資產(chǎn)管理
除滿足4.2.5.2的要求之外,還應(yīng)滿足:
a)應(yīng)根據(jù)資產(chǎn)的重要程度對資產(chǎn)進(jìn)行標(biāo)識管理,根據(jù)資產(chǎn)的價值選擇相應(yīng)的管理措施;
b)應(yīng)對信息分類與標(biāo)識方法作出規(guī)定,并對信息的使用、傳輸和存儲等進(jìn)行規(guī)范化管理。
4.3.5.3 介質(zhì)管理
除滿足4.2,5.3的要求之外,還應(yīng)滿足:
a)應(yīng)建立介質(zhì)安全管理制度,對介質(zhì)的存放環(huán)境、使用、維護(hù)和銷毀等方面作出規(guī)定: b)應(yīng)對介質(zhì)的物理傳輸過程中人員選擇、打包、交付等情況進(jìn)行控制;
c)應(yīng)對存儲介質(zhì)的使用過程進(jìn)行嚴(yán)格的管理,對帶出工作環(huán)境的存儲介質(zhì)進(jìn)行內(nèi)容加密和監(jiān)控管理,對保密性較高的存儲介質(zhì)未經(jīng)批準(zhǔn)不得自行銷毀;
d)應(yīng)根據(jù)數(shù)據(jù)備份的需要對某些介質(zhì)實行異地存儲,存儲地的環(huán)境要求和管理方法應(yīng)與本地相同;
c)應(yīng)對重要介質(zhì)中的數(shù)據(jù)和軟件采取加密存儲。4.3.5.4 設(shè)備管理
除滿足4.2.5.4的要求之外,還應(yīng)滿足:
應(yīng)建立配套設(shè)施、軟硬件維護(hù)方面的管理制度,對其維護(hù)進(jìn)行有效的管理,包括明確維護(hù)人員的責(zé)任、涉外維修和服務(wù)的審批、維修過程的監(jiān)督控制等。4.3.5.5 監(jiān)控管理
a)應(yīng)對通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行監(jiān)測和報警,形成記錄并妥善保存;
b)應(yīng)組織相關(guān)人員定期對監(jiān)測和報警記錄進(jìn)行分析、評審,發(fā)現(xiàn)可疑行為,形成分析報告,并采取必要的應(yīng)對措施;
c)應(yīng)建立安全管理中心,對設(shè)備狀態(tài)、惡意代碼、補丁升級、安全審計等安全相關(guān)事項進(jìn)行集中管理。4.3.5.6 網(wǎng)絡(luò)安全管理 除滿足4.2.5.5的要求之外,還應(yīng)滿足:
a)應(yīng)實現(xiàn)設(shè)備的最小服務(wù)配置,并對配置文件進(jìn)行定期離線備份; b)應(yīng)依據(jù)安全策略允許或者拒絕便攜式和移動式設(shè)備的網(wǎng)絡(luò)接入: c)應(yīng)定期檢查違反規(guī)定撥號上闞或其他違反網(wǎng)絡(luò)安全策略的行為。4.3.5.7 系統(tǒng)安全管理
除滿足4.2.5.6的要求之外,還應(yīng)滿足:
應(yīng)指定專人對系統(tǒng)進(jìn)行管理,劃分系統(tǒng)管理員角色,明確各個角色的權(quán)限、責(zé)任和風(fēng)險,權(quán)限設(shè)定應(yīng)當(dāng)遵循最小授權(quán)原則。4.3.5.8 惡意代碼防范管理
除滿足4.2.5.7的要求之外,還應(yīng)滿足:
應(yīng)定期檢查網(wǎng)絡(luò)內(nèi)各種產(chǎn)品的惡意代碼庫的升級情況并進(jìn)行記錄,對主機(jī)防病毒產(chǎn)品、防病毒網(wǎng)關(guān)和郵件防病毒網(wǎng)關(guān)上截獲的危險病毒或惡意代碼進(jìn)行及時分析處理,并形成書面的報表和總結(jié)匯報。4.3.5.9 密碼管理
除滿足4.2.5.8的要求之外,還應(yīng)滿足:
應(yīng)建立密碼使用管理制度。4.3.5.10 變更管理
除滿足4.2.5.9的要求之外,還應(yīng)滿足:
a)應(yīng)建立變更管理制度,變更和變更方案需有評審過程;
b)應(yīng)建立變更控制的申報和審批文件化程序,對變更影響進(jìn)行分析并文檔化,記錄變更實施過程,并妥善保存所有文檔和記錄;
c)應(yīng)建立中止變更并從失敗變更中恢復(fù)的文件化程序,明確過程控制方法和人員職責(zé),必要時對恢復(fù)過程進(jìn)行演練。4.3.5.11 備份與恢復(fù)管理
除滿足4.2.5.10的要求之外,還應(yīng)滿足: a)應(yīng)建立備份與恢復(fù)管理相關(guān)的安全管理制度;
b)應(yīng)建立控制數(shù)據(jù)備份和恢復(fù)過程的程序,對備份過程進(jìn)行記錄,所有文件和記錄應(yīng)妥善保存; c)應(yīng)定期執(zhí)行恢復(fù)程序,檢查和測試備份介質(zhì)的有效性,確保可以在恢復(fù)程序規(guī)定的時間內(nèi)完成備份的恢復(fù)。4.3.5.12 安全事件處置
除滿足4.2.5.11的要求之外,還應(yīng)滿足:
a)應(yīng)制定安全事件報告和響應(yīng)處理程序,確定事件的報告流程,響應(yīng)和處置的范圍、程度,以及處理方法等;
b)應(yīng)在安全事件報告和響應(yīng)處理過程中,分析和鑒定事件產(chǎn)生的原因,收集證據(jù),記錄處理過程,總結(jié)經(jīng)驗教訓(xùn),制定防止再次發(fā)生的補救措施,過程形成的所有文件和記錄均應(yīng)妥善保存;
c)對造成系統(tǒng)中斷和造成信息泄密的安全事件應(yīng)采用不同的處理程序和報告程序。4.3.5.13 應(yīng)急預(yù)案管理
除滿足4.2.5.12的要求之外,還應(yīng)滿足:
a)應(yīng)從人力、設(shè)備、技術(shù)和財務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障; b)應(yīng)定期對應(yīng)急預(yù)案進(jìn)行演練,根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容,確定演練的周期; c)應(yīng)規(guī)定應(yīng)急預(yù)案需要定期審查和根據(jù)實際情況更新的內(nèi)容,并按照執(zhí)行。4.4 第3.2級要求
與第3.1級要求相同。
4.5 第4圾要求
同第3.2級要求。4.6 第5級要求
待補充。
第二篇:電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)管理指南
電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)管理指南 范圍
本標(biāo)準(zhǔn)對電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)的定義、目標(biāo)、原則進(jìn)行了描述和規(guī)范。同時,對電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系、安全防護(hù)體系三部分工作及其關(guān)系進(jìn)行了說明。
本標(biāo)準(zhǔn)適用于電信網(wǎng)和互聯(lián)網(wǎng)的安全防護(hù)工作。
本標(biāo)準(zhǔn)涉及的電信網(wǎng)和互聯(lián)網(wǎng)不包括專用網(wǎng),僅指公眾電信網(wǎng)和公眾互聯(lián)網(wǎng)。2 規(guī)范性引用文件
下列文件中的條款通過本標(biāo)準(zhǔn)的引用麗成為指導(dǎo)性技術(shù)文件的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本標(biāo)準(zhǔn)。然而,鼓勵根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件,其最新版本適用于本標(biāo)準(zhǔn)。
GB/T 5271.8-2001信息技術(shù)詞匯第8部分:安全 3 術(shù)語和定義
GB/T 5271.8-2001確立的術(shù)語和定義以及下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。3.1
電信網(wǎng)Telecom Network
利用有線和,或無線的電磁、光電系統(tǒng),進(jìn)行文字、聲音、數(shù)據(jù)、圖像或其他任何媒體的信息傳遞的網(wǎng)絡(luò),包括固定通信網(wǎng)、移動通信網(wǎng)等. 3.2
互聯(lián)網(wǎng)Internet
泛報廣域網(wǎng)、局域網(wǎng)及終端(包括計算機(jī)、手機(jī)等)通過交換機(jī)、路由器、網(wǎng)絡(luò)接入設(shè)備等基于一定的通信協(xié)議連接形成的,功能和邏輯上的大型網(wǎng)絡(luò). 3.3
電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系 Security Protection Architecture of Telecom Network and Intemet
電信網(wǎng)和互聯(lián)網(wǎng)的安全等級保護(hù)、安全風(fēng)險評估、災(zāi)難備份及恢復(fù)三項工作互為依托、互為補充、相互配合.共同構(gòu)成了電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系。3.4
刮言網(wǎng)和互聯(lián)網(wǎng)安全等級Security Classification of Telecom Network and Internet 電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)重要程度的表征。重要程度從電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)受到破壞后,對國家安全、社會秩序、。經(jīng)濟(jì)運行、公共利益、網(wǎng)絡(luò)和業(yè)務(wù)運營商造成的損害來衡量。3.5
電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù) Classified Security Protection of Telecom Network and Internet指對電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)分等級實施安全保護(hù)。3.6
電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險Security risk of Telecom Network and Internet
人為或自然的威脅可能利用電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對組織造成的影響。3.7
電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險評估 Security Risk Assessment of Telecom Network and Internet
指運用科學(xué)的方法和手段,系統(tǒng)地分析電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所面臨的威脅及其存在的脆弱性,評估安全事件一旦發(fā)生,可能造成的危害程度,提出有針對性的抵御威脅的防護(hù)對策和安全措施,防范和化解電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全風(fēng)險,將風(fēng)險控制在可接受的水平,為最大限度地保障電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全提供科學(xué)依據(jù)。3.8
電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難 Disaster of Telecom Network and Internet
由于各種原因,造成電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)故障或癱瘓,使電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)支持的業(yè)務(wù)功能停頓或服務(wù)水平不可接受、達(dá)到特定的時間的突發(fā)性事件。3.9
電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難備份Backup for Disaster Recovery of Telecom Network and Intemet
為了電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)災(zāi)難恢復(fù)而對相關(guān)網(wǎng)絡(luò)要素進(jìn)行備份的過程。3,10
電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難恢復(fù) Disaster Recovery of Telecom Network and Internet
為了將電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)從災(zāi)難造成的故障或癱瘓狀態(tài)恢復(fù)到正常運行狀態(tài)或部分正常運行狀態(tài)并將其支持的業(yè)務(wù)功能從災(zāi)難造成的不正常狀態(tài)恢復(fù)到可接受狀態(tài),而設(shè)計的活動和流程。4 目標(biāo)和原則
電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)工作的目標(biāo)就是要加強(qiáng)電信網(wǎng)和互聯(lián)網(wǎng)的安全防護(hù)能力,確保網(wǎng)絡(luò)的安全性和可靠性,盡可能實現(xiàn)對電信網(wǎng)和互聯(lián)網(wǎng)安全狀況的實時掌控,保證電信網(wǎng)和互聯(lián)網(wǎng)能夠完成其使命。
為了實現(xiàn)該目標(biāo)網(wǎng)絡(luò)和業(yè)務(wù)運營商、設(shè)備制造商要充分考慮電信網(wǎng)和互聯(lián)網(wǎng)不同等級的安全要求,從環(huán)境因素以及人為因素分析電信網(wǎng)和互聯(lián)網(wǎng)面臨的威脅,從技術(shù)和管理兩個方面分析電信網(wǎng)和互聯(lián)網(wǎng)存在的脆弱性.充分考慮現(xiàn)有安全措施,分析電信網(wǎng)和互聯(lián)網(wǎng)現(xiàn)存風(fēng)險,平衡效益與成本,制定災(zāi)難備份及恢復(fù)計劃,將電信網(wǎng)和互聯(lián)網(wǎng)的安全控制在可接受的水平。
電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)工作要在適度安全原則的指導(dǎo)下,采用自主保護(hù)和重點保護(hù)方法,在安全防護(hù)工作安排部署過程中遵循標(biāo)準(zhǔn)性、可控性、完備性、最小影響和保密原則,實現(xiàn)同步建設(shè)、統(tǒng)籌兼顧、經(jīng)濟(jì)實用和循序漸進(jìn)地進(jìn)行安全防護(hù)工作.
——適度安全原則:安全防護(hù)工作的根本性原則。安全防護(hù)工作應(yīng)根據(jù)電信網(wǎng)和互聯(lián)網(wǎng)的安全等級,平衡效益與成本-采取適度的安全技術(shù)和管理措施。
——標(biāo)準(zhǔn)性原則:安全防護(hù)工作開展的指導(dǎo)性原則.指電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)工作的開展應(yīng)遵循相關(guān)的國家或行業(yè)標(biāo)準(zhǔn)。
——可控性原則:指電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)工作的可控性,包括以下三個方面,●人員可控性:相關(guān)的安全防護(hù)工作人員應(yīng)具備可靠的政治素質(zhì)、職業(yè)素質(zhì)和專業(yè)素質(zhì)。相關(guān)安全防護(hù)工作的檢測機(jī)構(gòu)應(yīng)具有主管部門授權(quán)的電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)檢測服務(wù)資質(zhì)。
●工具可控性:要充分了解安全防護(hù)工作中所使用的技術(shù)工具,并進(jìn)行一些實驗,確保這些技術(shù)工具能被正確地使用。
●項目過程可控性:要對整個安全防護(hù)項目進(jìn)行科學(xué)的項目管理,實現(xiàn)項目過程的可控性。
——完備性原則:安全防護(hù)工作要覆蓋電信網(wǎng)和互聯(lián)網(wǎng)的安全范圍。
——最小影響原則:從項目管理層面和技術(shù)管理層面,將安全防護(hù)工作對電信網(wǎng)和互聯(lián)網(wǎng)正常運行的可能影響降低到最低限度。
——保密性原則:相關(guān)安全防護(hù)工作人員應(yīng)簽署協(xié)議,承諾對所進(jìn)行的安全防護(hù)工作保密,確保不泄露電信網(wǎng)和互聯(lián)網(wǎng)及安全防護(hù)工作的重要和敏感信息。5 安全防護(hù)體系
電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)范疇包括基礎(chǔ)電信運營企業(yè)運營的傳輸、承載各類電信業(yè)務(wù)的公共電信網(wǎng)(含公共互聯(lián)網(wǎng))及其組成部分,支撐和管理公共龜信網(wǎng)及電信業(yè)務(wù)的業(yè)務(wù)單元和控制單元以及企業(yè)辦公系統(tǒng)(含文件管理系統(tǒng)、員工郵件系統(tǒng)、決策支持系統(tǒng)、人事管理系統(tǒng)等)、客服呼叫中心、企業(yè)門戶網(wǎng)站等非核心生產(chǎn)單元。此外,電信網(wǎng)絡(luò)安全防護(hù)工作的范圍還包括經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)單位、移動信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、互聯(lián)網(wǎng)數(shù)據(jù)中心、互聯(lián)網(wǎng)域名服務(wù)機(jī)構(gòu)等單位運營的網(wǎng)絡(luò)或信息系統(tǒng)。
根據(jù)電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)范疇,建立的電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系如圖l所示.整個體系分為三層,第一層為整個安全防護(hù)體系的總體指導(dǎo)性規(guī)范,明確了對電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)的定義、目標(biāo)、原則,并說明了安全防護(hù)體系的組成。
第二層從宏觀的角度明確了如何進(jìn)行安全防護(hù)工作,規(guī)范了安全防護(hù)體系中安全等級保護(hù)、安全風(fēng)險評估、災(zāi)難備份及恢復(fù)三部分工作的原則、流程、方法、步驟等。
第三層具體規(guī)定了電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)工作的要求,即安全防護(hù)要求和安全防護(hù)檢測要求。
根據(jù)電信網(wǎng)和互聯(lián)網(wǎng)全程全網(wǎng)的特點,電信網(wǎng)和互聯(lián)網(wǎng)的安全防護(hù)工作可從固定通信網(wǎng)、移動通信網(wǎng)、互聯(lián)網(wǎng)、增值業(yè)務(wù)網(wǎng)、非核心生產(chǎn)單元來開展一其中,互聯(lián)網(wǎng)包括經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、互聯(lián)網(wǎng)數(shù)據(jù)中心、互聯(lián)網(wǎng)域名服務(wù)機(jī)構(gòu)等單位運營的網(wǎng)絡(luò)或信息系統(tǒng)。增值業(yè)務(wù)網(wǎng)包括消息網(wǎng)、智能網(wǎng)等業(yè)務(wù)平臺以及業(yè)務(wù)管理平臺。
對固定通信網(wǎng)、移動通信網(wǎng)、互聯(lián)網(wǎng)實施安全防護(hù),應(yīng)分別從構(gòu)成上述網(wǎng)絡(luò)的不同電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)入手,電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)包括接入網(wǎng)、傳送網(wǎng)、IP承載網(wǎng)、信令網(wǎng)、同步網(wǎng)、支撐網(wǎng)等.其中,接入網(wǎng)包括各種有線、無線和衛(wèi)星接入網(wǎng)等,傳送網(wǎng)包括光纜、波分、SDH、衛(wèi)星等,而支撐網(wǎng)則包括業(yè)務(wù)支撐和網(wǎng)管系統(tǒng).
安全防護(hù)要求明確了電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)需要落實的安全管理和技術(shù)措施,涵蓋了安全等級保護(hù)、安全風(fēng)險評估、災(zāi)難備份及恢復(fù)等三部分內(nèi)容,其中安全等級保護(hù)工作需要落實的物理環(huán)境和管理的安全等級保護(hù)要求被單獨提出作為電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的通用安全等級保護(hù)要求.
安全防護(hù)檢測要求與安全防護(hù)要求相對應(yīng),提供了對電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)工作進(jìn)行檢測的方法,從而確認(rèn)網(wǎng)絡(luò)和業(yè)務(wù)運營商、設(shè)備制造商在安全防護(hù)工作實旆過程中是否滿足了相關(guān)安全防護(hù)要求。隨著電信網(wǎng)和互聯(lián)網(wǎng)的發(fā)展,隨著安全防護(hù)體系的進(jìn)一步完善,第三層的內(nèi)容將進(jìn)一步補充完善.
圖1 電信用和互聯(lián)網(wǎng)安全防護(hù)體系 6 安全等級保護(hù)
電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)工作貫穿于電信網(wǎng)和互聯(lián)網(wǎng)生命周期的各個階段,是一個不斷循環(huán)和不斷提高的過程.首先-根據(jù)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)受到破壞后,對國家安全、社會秩序、經(jīng)濟(jì)運行、公共利益、網(wǎng)絡(luò)和業(yè)務(wù)運營商造成的損害程度來確定安全等級。通過進(jìn)一步分析電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全保護(hù)現(xiàn)狀與安全等級保護(hù)要求之間的差距,確定安全需求,設(shè)計合理的、滿足安全等級保護(hù)要求的總體安全方案,制定出安全建設(shè)規(guī)劃。并進(jìn)一步將其落實到電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)中,形成安全技術(shù)和管理體系.在電信網(wǎng)和互聯(lián)網(wǎng)安全運維階段,根據(jù)安全等級保護(hù)的需要對安全技術(shù)和管理體系不斷調(diào)整和持續(xù)改進(jìn),確保電信網(wǎng)和互聯(lián)兩及相關(guān)系統(tǒng)滿足相應(yīng)等級的安全要求;在安全資產(chǎn)終止階段對信息、設(shè)備、介質(zhì)進(jìn)行終止處理時,防止敏感信息的泄露,保障電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全。安全等級保護(hù)工作的實施過程如圖2所示。
圖2安全等級保護(hù)實施的基本過程 安全風(fēng)險評估
電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險評估應(yīng)貫穿于電信網(wǎng)和互聯(lián)網(wǎng)生命周期的各階段中,在生命周期不同階段的風(fēng)險評估原則和方法是一致的。在電信網(wǎng)和互聯(lián)網(wǎng)的安全風(fēng)險評估工作中,應(yīng)首先進(jìn)行相關(guān)工作的準(zhǔn)備-通過安全風(fēng)險分析計算電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的風(fēng)險值,進(jìn)而確定其風(fēng)險等級和風(fēng)險防范措旋。安全風(fēng)險分析中要涉及資產(chǎn)、威脅、脆弱性等基本要素,每個要素有各自的屬性。資產(chǎn)的屬性是資產(chǎn)價值;威脅的屬性可以是威脅主體、影響對象、出現(xiàn)頻率、動機(jī)等;脆弱性的屬性是資產(chǎn)弱點的嚴(yán)重程度等。安全風(fēng)險評估的實施流程如圖3所示。
圖3安全風(fēng)險評估實施的基本過程 災(zāi)難備份及恢復(fù)
電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難備份及恢復(fù)工作利用技術(shù)、管理手段以及相關(guān)資源,確保已有的電信網(wǎng)和互聯(lián)網(wǎng)在災(zāi)難發(fā)生后.在確定的時間內(nèi)可以恢復(fù)和繼續(xù)運行。災(zāi)難備份及恢復(fù)工作需要防范包括地震、水災(zāi)等自然災(zāi)難以及火災(zāi)、戰(zhàn)爭、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無法預(yù)料的突發(fā)事件。如圖4所示,災(zāi)難備份及恢復(fù)工作應(yīng)根據(jù)安全等級保護(hù)確定的安全等級以及安全風(fēng)險分析的相關(guān)結(jié)果進(jìn)行需求分析-制定、實現(xiàn)相應(yīng)的災(zāi)難備份及恢復(fù)策略,并構(gòu)建災(zāi)難恢復(fù)預(yù)案,這是一個循環(huán)改進(jìn)的過程。
針對電信網(wǎng)和互聯(lián)網(wǎng)的不周網(wǎng)絡(luò)、不同重要級別的業(yè)務(wù),災(zāi)難備份及恢復(fù)所要達(dá)到的目標(biāo)是不同的.例如,在電信網(wǎng)和互聯(lián)網(wǎng)中,對于普通語音業(yè)務(wù),可以要求網(wǎng)絡(luò)和業(yè)務(wù)運營商通過災(zāi)難備份及恢復(fù)工作,保證在災(zāi)難發(fā)生后單一地區(qū)的災(zāi)難不影響災(zāi)難發(fā)生地理范圍以外地區(qū)的語音業(yè)務(wù),并且發(fā)生災(zāi)難的地區(qū)的語音業(yè)務(wù)能夠通過有效災(zāi)難恢復(fù)計劃的實施,在一定時間范圍(指標(biāo)應(yīng)與災(zāi)難級別對應(yīng))內(nèi)恢復(fù)通信。
圖4災(zāi)難備份及恢復(fù)實施的基本過程 安全等級保護(hù)、安全風(fēng)險評估、災(zāi)難備份及恢復(fù)三者之間的關(guān)系
電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系中的安全等級保護(hù)、安全風(fēng)險評估、災(zāi)難備份及恢復(fù)蘭者之間密切相關(guān)、互相滲透、互為補充。電信兩和互聯(lián)網(wǎng)安全防護(hù)應(yīng)將安全等級保護(hù)、安全風(fēng)險評估、災(zāi)難備份及恢復(fù)工作有機(jī)結(jié)合,加強(qiáng)相關(guān)工作之間的整合和銜接,保證電信網(wǎng)絡(luò)安全防護(hù)工作的整體性、統(tǒng)一性和協(xié)調(diào)性。電信網(wǎng)絡(luò)安全防護(hù)工作應(yīng)按照根據(jù)被保護(hù)對象的重要性進(jìn)行分等級保護(hù)的思想,通過安全風(fēng)險評估的方法正確認(rèn)識被保護(hù)對象存在的脆弱性和面臨的威脅,進(jìn)而制定、落實和改進(jìn)與安全保護(hù)等級和風(fēng)險大小相適應(yīng)的一系列管理、技術(shù)、災(zāi)難備份等安全等級保護(hù)措施,最終達(dá)到提高電信網(wǎng)絡(luò)安全保護(hù)能力和水平的目的。
在開展安全等級保護(hù)工作時,耍充分應(yīng)用安全風(fēng)險評估的方法,認(rèn)識、分析不同類型的網(wǎng)絡(luò)和業(yè)務(wù)存在的脆弱性和面臨的威脅,進(jìn)而制定和落實與被保護(hù)對象的類型、脆弱性和威脅相適應(yīng)的基本安全保護(hù)措施要求.提高安全等級保護(hù)工作的針對性和適用性。在開展安全風(fēng)險評估工作時,在分析被保護(hù)對象綜合風(fēng)險和制定改進(jìn)方案的過程中,要始終與被保護(hù)對象的安全保護(hù)等級相結(jié)合,合理確定被評估對象的可接受風(fēng)險和制定確實必要的整改措施,避免無限度地改進(jìn)提高。在開展災(zāi)難備份及恢復(fù)工作時,要結(jié)合被備份對象的安全保護(hù)等級和面臨的威脅,制定相適應(yīng)的備份措旌,并將有關(guān)備份的要求體現(xiàn)在安全等級保護(hù)的要求中進(jìn)行落實。
電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)、安全風(fēng)險評估和災(zāi)難備份及恢復(fù)工作應(yīng)隨著電信網(wǎng)和互聯(lián)網(wǎng)的發(fā)展變化而動態(tài)調(diào)整,適應(yīng)國家對電信網(wǎng)和互聯(lián)網(wǎng)的安全要求.
第三篇:蘭州互聯(lián)網(wǎng)等級保護(hù)工作總結(jié)
蘭州互聯(lián)網(wǎng)新聞中心2011年等保工作總結(jié)
根據(jù)信息安全等級保護(hù)工作要求,結(jié)合我單位工作實際需要,我們認(rèn)真開展了信息安全自查工作,加強(qiáng)了信息系統(tǒng)的管理和維護(hù),完善了系統(tǒng)軟硬件設(shè)施,實現(xiàn)了網(wǎng)站信息系統(tǒng)的安全運行。現(xiàn)將2011年信息安全自查工作開展情況總結(jié)如下:
一、信息安全保護(hù)工作現(xiàn)狀
1、制定信息安全保護(hù)規(guī)章制度,加強(qiáng)日常管理。在硬件安全方面,及時檢查防雷、防火、防盜和電源連接等情況;在網(wǎng)絡(luò)安全方面,加強(qiáng)網(wǎng)絡(luò)結(jié)構(gòu)、安全日志、密碼和IP地址的管理;在應(yīng)用安全方面,提高人員安全意識,增強(qiáng)系統(tǒng)操作的規(guī)范性。
2、平臺及網(wǎng)絡(luò)管理方面,購置了新式服務(wù)器,提高平臺性能,增強(qiáng)穩(wěn)定性;采用linux操作系統(tǒng),更換原03操作系統(tǒng),提升系統(tǒng)的安全性。更新數(shù)據(jù)庫,采用了功能更強(qiáng)大,性能更優(yōu)異,安全性更強(qiáng)的oracle數(shù)據(jù)庫。對平臺關(guān)鍵部位進(jìn)行了雙機(jī)熱備份,加強(qiáng)了主站的可靠性。安裝硬件防火墻,隔離內(nèi)外網(wǎng),進(jìn)一步提高網(wǎng)絡(luò)安全。
3、系統(tǒng)操作權(quán)限方面,嚴(yán)格按系統(tǒng)使用所需,針對不同系統(tǒng)操作用戶的需求,劃分使用權(quán)限。制定了密碼定期更新機(jī)制,對用戶密碼按月更新,并采取9位數(shù)字加字符的設(shè)置方式提高密碼的健壯性。
二、自查中存在的問題
1、初步建立了信息安全規(guī)章制度,但還不完善,未能覆蓋到信息系統(tǒng)安全的所有方面。
2、專業(yè)技術(shù)人員較少,信息系統(tǒng)安全方面可投入的力量有限。
3、由于我單位處在創(chuàng)業(yè)起步階段,經(jīng)費相對緊張,信息系統(tǒng)建設(shè)和信息安全保護(hù)工作可投入的經(jīng)費不足。
三、整改方向
1、在今后的工作中,我們將進(jìn)一步完善信息安全相關(guān)規(guī)章制度,實現(xiàn)信息安全的規(guī)范管理。
2、加強(qiáng)對計算機(jī)安全知識的培訓(xùn),定期開展信息安全檢查工作,提高人員安全防護(hù)意識。
3、積極爭取財政支持,購買相關(guān)設(shè)備,進(jìn)一步擴(kuò)大對信息安全工作的投入。
蘭州互聯(lián)網(wǎng)新聞中心 二〇一一年11月8日
第四篇:信息安全等級保護(hù)的各個環(huán)節(jié)以及相關(guān)要求
一、信息安全等級保護(hù)的各個環(huán)節(jié)
一、基本環(huán)節(jié)
(一)組織開展調(diào)查摸底
(二)合理確定保護(hù)等級
(三)開展安全建設(shè)整改
(四)組織系統(tǒng)安全測評
(五)依法履行備案手續(xù)
(六)加強(qiáng)日常測評自查
(七)加強(qiáng)安全監(jiān)督檢查
二、主要環(huán)節(jié)
定級-安全建設(shè)-安全測評-備案
二、定級
一、等級劃分
計算機(jī)信息系統(tǒng)安全保護(hù)等級根據(jù)計算機(jī)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度,計算機(jī)信息系統(tǒng)受到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定,分為五級:
第一級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對社會秩序和公共利益造成損害,但不損害國家安全。第三級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴(yán)重?fù)p害,或者對國家安全造成損害。
第四級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對國家安全造成嚴(yán)重?fù)p害。
第五級,信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴(yán)重?fù)p害。
二、定級程序
信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)《信息系統(tǒng)安全等級保護(hù)定級指南》確定信息系統(tǒng)的安全保護(hù)等級。有主管部門的,應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)。
跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護(hù)等級。
對擬確定為第四級以上信息系統(tǒng)的,運營、使用單位或者主管部門應(yīng)當(dāng)請國家信息安全保護(hù)等級專家評審委員會評審。
三、定級注意事項
一級信息系統(tǒng):適用于鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級某些單位中不重要的信息系統(tǒng)。小型個體、私營企業(yè)中的信息系統(tǒng)。中小學(xué)中的信息系統(tǒng)。
二級信息系統(tǒng):適用于地市級以上國家機(jī)關(guān)、企業(yè)、事業(yè)單位內(nèi)部一般的信息系統(tǒng)。例如小的局域網(wǎng),非涉及秘密、敏感信息的辦公系統(tǒng)等。
三級信息系統(tǒng):適用于地市級以上國家機(jī)關(guān)、企業(yè)、事業(yè)單位內(nèi)部重要的信息系統(tǒng);重要領(lǐng)域、重要部門跨省、跨市或全國(省)聯(lián)網(wǎng)運行的信息系統(tǒng);跨省或全國聯(lián)網(wǎng)運行重要信息系統(tǒng)在省、地市的分支系統(tǒng);各部委官方網(wǎng)站;跨省(市)聯(lián)接的信息網(wǎng)絡(luò)等。四級信息系統(tǒng):適用于重要領(lǐng)域、重要部門三級信息系統(tǒng)中的部分重要系統(tǒng)。例如全國鐵路、民航、電力等調(diào)度系統(tǒng),銀行、證券、保險、稅務(wù)、海關(guān)等部門中的核心系統(tǒng)。
三、備案
一、總體要求
新建第二級以上信息系統(tǒng),應(yīng)當(dāng)在投入運行后30日內(nèi),由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機(jī)關(guān)辦理備案手續(xù)。
二、備案管轄
(一)管轄原則。
備案管轄分工采取級別管轄和屬地管轄相結(jié)合。
(二)中央在京單位。
隸屬于中央的在京單位,其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng),由公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局受理備案,其他信息系統(tǒng)由北京市公安局公共信息網(wǎng)絡(luò)安全監(jiān)察部門(簡稱網(wǎng)監(jiān)部門,下同)受理備案。
(三)中央駐粵及省直國有單位。
隸屬中央或省的駐穗國有單位的信息系統(tǒng),由省公安廳網(wǎng)警總隊受理備案。上述單位在各地運行、維護(hù)的分支系統(tǒng)由其在各地的分支機(jī)構(gòu)報所在地地級以上市公安機(jī)關(guān)網(wǎng)監(jiān)部門備案。
(四)其他單位。
其他單位的信息系統(tǒng)由所在地地級以上市公安機(jī)關(guān)網(wǎng)監(jiān)部門備案。
三、備案流程
(一)備案時限。
信息系統(tǒng)運營、使用單位或者其主管部門(以下簡稱“備案單位”)應(yīng)當(dāng)在信息系統(tǒng)設(shè)計階段確定信息系統(tǒng)安全保護(hù)等級,并在安全保護(hù)等級確定后30日內(nèi),到公安機(jī)關(guān)網(wǎng)監(jiān)部門辦理備案手續(xù)。
(二)備案申請。
辦理備案手續(xù),應(yīng)當(dāng)?shù)焦矙C(jī)關(guān)指定網(wǎng)址下載信息安全等級保護(hù)備案軟件,利用該軟件填寫生成《信息系統(tǒng)安全等級保護(hù)備案表》(簡稱《備案表》,下同)表
一、表
二、表三紙質(zhì)WORD格式文檔一式兩份和電子數(shù)據(jù)(RAR格式),并準(zhǔn)備好相關(guān)附件(一式兩份),向公安機(jī)關(guān)網(wǎng)監(jiān)部門提出備案申請。第三級以上信息系統(tǒng)應(yīng)當(dāng)同時提供以下材料:
1.系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明; 2.系統(tǒng)安全組織機(jī)構(gòu)和管理制度;
3.系統(tǒng)安全保護(hù)設(shè)施設(shè)計實施方案或者改建實施方案; 4.系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明; 5.測評后符合系統(tǒng)安全保護(hù)等級的技術(shù)檢測評估報告; 6.信息系統(tǒng)安全保護(hù)等級專家評審意見;
7.主管部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級的意見。
四、備案審核
公安機(jī)關(guān)網(wǎng)監(jiān)部門收到申請材料后,應(yīng)當(dāng)在10個工作日內(nèi)進(jìn)行審查。對符合要求的,公安機(jī)關(guān)網(wǎng)監(jiān)部門應(yīng)當(dāng)在《備案表》加蓋公共信息網(wǎng)絡(luò)安全監(jiān)察專用章并將其中一份反饋備案單位,并出具《信息系統(tǒng)安全等級保護(hù)備案證明》(以下簡稱《備案證明》)。《備案證明》由公安部統(tǒng)一監(jiān)制。對不符合要求的,公安網(wǎng)監(jiān)部門應(yīng)當(dāng)出具《信息系統(tǒng)安全等級保護(hù)備案審核結(jié)果通知》,通知備案單位進(jìn)行整改。其中,對定級不準(zhǔn)的備案單位,在通知整改的同時,應(yīng)當(dāng)建議備案單位重新定級。
五、變更備案
《備案表》所載事項發(fā)生變更,備案單位應(yīng)當(dāng)自變更之日起30日內(nèi)重新填寫《備案表》報公安機(jī)關(guān)網(wǎng)監(jiān)部門備案。其中,變更事項涉及《備案證明》的,公機(jī)關(guān)網(wǎng)監(jiān)部門應(yīng)當(dāng)重新頒布《備案證明》。
六、重新備案
運營、使用單位或者主管部門重新確定信息系統(tǒng)等級后,應(yīng)當(dāng)按照本辦法向公安機(jī)關(guān)重新備案。
四、安全建設(shè)和整改
計算機(jī)信息系統(tǒng)規(guī)劃、設(shè)計、建設(shè)和維護(hù)應(yīng)當(dāng)同步落實相應(yīng)的安全措施。運營、使用單位應(yīng)當(dāng)按照國家信息安全等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),使用符合國家有關(guān)規(guī)定,滿足信息系統(tǒng)安全保護(hù)等級需求的信息技術(shù)產(chǎn)品,開展信息系統(tǒng)安全建設(shè)或者改建工作。
在信息系統(tǒng)建設(shè)過程中,運營、使用單位應(yīng)當(dāng)按照《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》(GB17859-1999)、《信息系統(tǒng)安全等級保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn),參照《信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-2006)、《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(GB/T20270-2006)、《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》(GB/T20272-2006)、《信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》(GB/T20273-2006)、《信息安全技術(shù) 服務(wù)器技術(shù)要求》、《信息安全技術(shù) 終端計算機(jī)系統(tǒng)安全等級技術(shù)要求》(GA/T671-2006)等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級要求的信息安全設(shè)施。
運營、使用單位應(yīng)當(dāng)參照《信息安全技術(shù) 信息系統(tǒng)安全管理要求》(GB/T20269-2006)、《信息安全技術(shù) 信息系統(tǒng)安全工程管理要求》(GB/T20282-2006)、《信息系統(tǒng)安全等級保護(hù)基本要求》等管理規(guī)范,制定并落實符合本系統(tǒng)安全保護(hù)等級要求的安全管理制度。
五、信息安全等級測評
信息系統(tǒng)建設(shè)完成后,二級以上的信息系統(tǒng)的運營使用單位應(yīng)當(dāng)選擇符合國家規(guī)定的測評機(jī)構(gòu)進(jìn)行測評合格方可投入使用。已投入運行信息系統(tǒng)在完成系統(tǒng)整改后也應(yīng)當(dāng)進(jìn)行測評。經(jīng)測評,信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級要求的,運營使用單位應(yīng)當(dāng)制定方案進(jìn)行整改。
一、測評程序
計算機(jī)信息系統(tǒng)運營、使用單位委托安全測評機(jī)構(gòu)測評,應(yīng)當(dāng)提交下列資料:
(一)安全測評委托書;
(二)計算機(jī)信息系統(tǒng)應(yīng)用需求、系統(tǒng)結(jié)構(gòu)拓?fù)浼罢f明、系統(tǒng)安全組織結(jié)構(gòu)和管理制度、安全保護(hù)設(shè)施設(shè)計實施方案或者改建實施方案、系統(tǒng)軟件硬件和信息安全產(chǎn)品清單。安全測評機(jī)構(gòu)在收到委托材料后,應(yīng)當(dāng)與委托方協(xié)商制訂安全測評計劃,開展安全測評工作,并出具安全測評報告。
經(jīng)測評,計算機(jī)信息系統(tǒng)安全狀況未達(dá)到國家有關(guān)規(guī)定和標(biāo)準(zhǔn)的要求的,委托單位應(yīng)當(dāng)根據(jù)測評報告的建議,完善計算機(jī)信息系統(tǒng)安全建設(shè),并重新提出安全測評委托。
二、測評監(jiān)督
測評機(jī)構(gòu)對計算機(jī)信息系統(tǒng)進(jìn)行使用前安全測評,應(yīng)當(dāng)預(yù)先報告地級以上市公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門。安全測評報告由計算機(jī)信息系統(tǒng)運營、使用單位報地級以上市公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門。
三、日常測評
計算機(jī)信息系統(tǒng)投入使用后,存在下列情形之一的,應(yīng)當(dāng)進(jìn)行安全自查,同時委托安全測評機(jī)構(gòu)進(jìn)行安全測評:
(一)變更關(guān)鍵部件;
(二)安全測評時間滿一年;
(三)發(fā)生危害計算機(jī)信系統(tǒng)安全的案件或安全事故;
(四)公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門根據(jù)應(yīng)急處置工作的需要認(rèn)為應(yīng)當(dāng)進(jìn)行安全測評;
(五)其他應(yīng)當(dāng)進(jìn)行安全自查和安全測評的情形。
第三級計算機(jī)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次安全自查和安全測評,第四級計算機(jī)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次安全自查和安全測評,第五級計算機(jī)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全要求進(jìn)行安全自查和安全測評。自查報告連同測評報告應(yīng)當(dāng)由計算機(jī)信息系統(tǒng)運營、使用單位報地級以上市公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門。
四、測評爭議解決
申請單位認(rèn)為安全測評報告的合法性和真實性存在重大問題的,可以向本單位所在地公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門提出申訴,提交異議申訴書及有關(guān)證明材料。公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)在收到申訴材料后30個工作日內(nèi)進(jìn)行核查,作出異議處理決定。
第五篇:基于互聯(lián)網(wǎng)的電子政務(wù)等級保護(hù)研究
密級:
頁數(shù):
畢 業(yè) 實習(xí)(論文)
信息工程大學(xué)
題目:基于互聯(lián)網(wǎng)的電子政務(wù)等級保護(hù)研究
學(xué)員姓名
*** 學(xué)
號
所在單位
指導(dǎo)教師
郭義喜 技術(shù)職務(wù)
副教授 完成日期
2010年5月
摘 要
隨著這幾年計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)信息安全成為了人們越來越關(guān)注的問題,也同時成為了威脅計算機(jī)網(wǎng)絡(luò)之間信息傳播的最大障礙。為此,國家已經(jīng)在2007年7月26日發(fā)出了《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》,電子政務(wù)工程建設(shè)辦公室在2007年11月啟動了中央級 政務(wù)外網(wǎng)定級專項工作,成立了等級保護(hù)定級工作組,根據(jù)政務(wù)外網(wǎng)實際情況和特點,經(jīng)過多倫內(nèi)部討論和專家征求意見后,基本完成了政務(wù)外網(wǎng)安全等級保護(hù)定級工作,為后續(xù)備案和全面開展、實施等級保護(hù)整改和測評工作奠定了堅實基礎(chǔ)。
由此可見,當(dāng)今社會中,電子政務(wù)等級的保護(hù)研究已經(jīng)是一個非常重要的課題。本文從電子政務(wù)等級保護(hù)的研究方法、電子政務(wù)等級保護(hù)出現(xiàn)問題時的解決辦法、電子政務(wù)等級保護(hù)的整體安全解決方案、基于互聯(lián)網(wǎng)的電子政務(wù)的優(yōu)點以及如何有效的保護(hù)電子政務(wù)的安全等方面來闡述電子政務(wù)等級保護(hù)問題。
目 錄
第一章 概述.................................................................1
1.1 選題背景與研究現(xiàn)狀................................................1 1.2 研究內(nèi)容與論文組織結(jié)構(gòu)............................................1 1.4 論文組織結(jié)構(gòu)......................................................2
第二章 信息化與電子政務(wù).....................................................3
2.1 我國信息化進(jìn)程的回顧..............................................3 2.2 我國電子政務(wù)發(fā)展計劃..............................................4 2.3 我國電子政務(wù)的保障措施............................................5 2.4 電子政務(wù)的優(yōu)勢....................................................6
第三章 電子政務(wù)信息安全與等級保護(hù)...........................................8
3.1 電子政務(wù)信息安全內(nèi)涵..............................................8 3.2 等級保護(hù)在電子政務(wù)中的應(yīng)用........................................8 3.3 電子政務(wù)安全管理和技術(shù)層面........................................9
第四章 基于互聯(lián)網(wǎng)的電子政務(wù)等級保護(hù)的建設(shè)..................................12
4.1 信息安全等級保護(hù)實施過程.........................................12 4.2 電子政務(wù)等級保護(hù)實施措施.........................................15
第五章 基于等級保護(hù)的電子政務(wù)安全度量......................................17
5.1 信息安全度量現(xiàn)狀.................................................17 5.2 基于等級保護(hù)的安全管理度量方法的設(shè)計.............................18
第六章 總結(jié)................................................................21 參考文獻(xiàn)...................................................................22
第一章 概述
1.1 選題背景與研究現(xiàn)狀
以Internet為代表的全球性信息化浪潮日益涌起,網(wǎng)絡(luò)技術(shù)的應(yīng)用層次不斷深入、應(yīng)用領(lǐng)域日益廣泛,逐步由傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)向大型的、關(guān)鍵性的業(yè)務(wù)系統(tǒng)擴(kuò)展,目前基于互聯(lián)網(wǎng)技術(shù)的網(wǎng)絡(luò)平臺已經(jīng)在電子政務(wù)中得到了廣泛的應(yīng)用,使政府以最快的方式與市民進(jìn)行溝通,市民也能方便快捷地參與政府工作。但是,由于電子政務(wù)同時涉及到對國家秘密信息和高敏感度核心政務(wù)的保護(hù),涉及到維護(hù)公共秩序和行政監(jiān)管,從而使這種快捷和方便給政府網(wǎng)絡(luò)的安全造成了一定的威脅,使基于互聯(lián)網(wǎng)技術(shù)的電子政務(wù)面臨著嚴(yán)峻的挑戰(zhàn)。因此,運用網(wǎng)絡(luò)安全技術(shù),建立實用可靠的安全策略體系,實施等級保護(hù),已經(jīng)成為電子政務(wù)能否得到真正應(yīng)用的關(guān)鍵。
目前,我國建立了與電子政務(wù)發(fā)展水平相適應(yīng)的安全保障措施,并且結(jié)合實際需要,制定了一批具有實際指導(dǎo)意義的信息安全法規(guī)制度和工作機(jī)制。
我國開始從整體安全體系出發(fā)來進(jìn)行信息安全建設(shè)。分級分域防護(hù)的基本思路正在逐步得到貫徹。
1.2 研究內(nèi)容與論文組織結(jié)構(gòu)
本課題選擇了基于互聯(lián)網(wǎng)的電子政務(wù)等級保護(hù)作為研究重點,討論了基于互聯(lián)網(wǎng)的電子政務(wù)等級保護(hù)的安全目標(biāo)以及為實現(xiàn)上述目標(biāo)應(yīng)采取積極的安全策略,尤其對電子政務(wù)安全保障體系框架做了進(jìn)一步分析,對基于互聯(lián)網(wǎng)的電子政務(wù)等級保護(hù)提出了自己的觀點。
主要內(nèi)容包括:(l)電子政務(wù)的安全目標(biāo)及其應(yīng)對策略;(2)電子政務(wù)安全保障體系框架;(3)電子政務(wù)等級保護(hù)當(dāng)前的主要問題;
(4)對于基于互聯(lián)網(wǎng)的電子政務(wù)等級保護(hù)建設(shè)的自我觀點。
由于國內(nèi)的基于互聯(lián)網(wǎng)的電子政務(wù)等級保護(hù)的標(biāo)準(zhǔn)和規(guī)范不太明確,所以本課題將對電子政務(wù)做進(jìn)一步的分析,提出自己的一些觀點和看法,希望通過自己的努力對電子政務(wù)等級保護(hù)問題有著推進(jìn)意義。
1.4 論文組織結(jié)構(gòu)
共分五章,第一章對我國基于互聯(lián)網(wǎng)的電子政務(wù)等級保護(hù)的現(xiàn)狀以及研究內(nèi)容做一簡要介紹,第二章主要概述了信息化與電子政務(wù)的發(fā)展史,第三章重點討論了電子政務(wù)信息安全與等級保護(hù)的關(guān)系問題,第四章主要介紹了基于互聯(lián)網(wǎng)的電子政務(wù)等級保護(hù)建設(shè)問題,第五章討論了電子政務(wù)等級保護(hù)安全度量方法,第六章是總結(jié)及展望。
第二章 信息化與電子政務(wù)
中國的信息化建設(shè)起步于20世紀(jì)80年代初期,從國家大力推動電子信息技術(shù)應(yīng)用開始,大致經(jīng)歷了四個階段,而我國的電子政務(wù)建設(shè)是中國信息化建設(shè)發(fā)展的一個新階段,它以我國前期信息化建設(shè)的成果為基礎(chǔ)。
2.1 我國信息化進(jìn)程的回顧
(1)準(zhǔn)備階段(1993年以前)
20世紀(jì)80年代初期,在我國國民經(jīng)濟(jì)進(jìn)行調(diào)整的情況下,計算機(jī)工業(yè)界認(rèn)識到發(fā)展我國計算機(jī)工業(yè),應(yīng)該從過去的一研究制造計算機(jī)硬件設(shè)備為中心,迅速的轉(zhuǎn)向以普及應(yīng)用為重點,以此帶動研究開發(fā)、生產(chǎn)制造、外圍配套、應(yīng)用開發(fā)、技術(shù)服務(wù)和產(chǎn)品銷售等工作。1982年10月4日,國務(wù)院成立了計算機(jī)與超大規(guī)模集成電路領(lǐng)導(dǎo)小組。下設(shè)計算機(jī)和集成電路兩個顧問小組,聘請有理論水平、有實踐經(jīng)驗的科學(xué)家、經(jīng)濟(jì)學(xué)家和工程技術(shù)人員參加,負(fù)責(zé)規(guī)劃、決策和技術(shù)經(jīng)濟(jì)咨詢。
1984年,為了研究我國新技術(shù)革命的對策,國務(wù)院成立了新技術(shù)革命對策小組,組織了計算集專項和光纖通信專項研究。1984年9月15日,計算機(jī)與大型集成電路領(lǐng)導(dǎo)小組改為電子振興領(lǐng)導(dǎo)小組。1986年3月,“863”計劃啟動。該計劃投資100億元,其中,信息技術(shù)相關(guān)項目的投資約占投資總額的三分之二。
1988年5月,根據(jù)國務(wù)院機(jī)構(gòu)改革方案,成立機(jī)械電子工業(yè)部,并將振興電子產(chǎn)業(yè)的任務(wù)交機(jī)械電子工業(yè)部承擔(dān)。隨后,國務(wù)院常務(wù)會議決定,國務(wù)院電子振興領(lǐng)導(dǎo)小組辦公室更名為國務(wù)院電子信息系統(tǒng)推廣應(yīng)用辦公室,繼續(xù)支持各行各業(yè)應(yīng)用電子信息技術(shù)。從1988年至1992年,國家發(fā)展計劃委員會、機(jī)械電子工業(yè)部、國家科學(xué)技術(shù)委員會和電子信息技術(shù)推廣應(yīng)用辦公室,在傳統(tǒng)產(chǎn)業(yè)技術(shù)改造、EDI技術(shù)、CAD/CAM以及MIS等領(lǐng)域,做了大量工作,不斷推動電子信息技術(shù)應(yīng)用向縱深發(fā)展。
(2)啟動階段(1993年3月至1997年4月)
1993年,成立國家經(jīng)濟(jì)信息化聯(lián)席會議。我國信息化基本上正式起步于1993年,黨和國家領(lǐng)導(dǎo)人江澤民、李鵬、朱镕基、李嵐清等相繼提出了信息化建設(shè)的任務(wù),啟動了“金卡”、“金橋”、“金關(guān)”等重大信息化工程,拉開了國民經(jīng)濟(jì)信息化的序幕。同年12月,成立了以國務(wù)院副總理鄒家華為主席的國家經(jīng)濟(jì)信息化聯(lián)席會議,確立了“推進(jìn)信息化工程實施、以信息化帶動產(chǎn)業(yè)發(fā)展”的指導(dǎo)思想。1996年1月,國務(wù)院信息化工作領(lǐng)導(dǎo)小組成立。國務(wù)院信息化工作領(lǐng)導(dǎo)小組由國務(wù)院副總理鄒家華任組長,由20多個部委領(lǐng) 導(dǎo)組成的國務(wù)院信息化工作領(lǐng)導(dǎo)小組,統(tǒng)一領(lǐng)導(dǎo)和組織協(xié)調(diào)全國地信息化工作。1996年以后,中央和地方都確立了信息化在國民經(jīng)濟(jì)和社會發(fā)展中的重要地位,信息化在各領(lǐng)域、各地區(qū)形成了強(qiáng)勁的發(fā)展潮流。
(3)展開階段(1997年4月至2000年10月)
經(jīng)過1993—1997年的建設(shè)和發(fā)展,符合我國國情的信息化發(fā)展思路初步形成。國務(wù)院信息化工作領(lǐng)導(dǎo)小組確立了國家信息化的定義和國家信息化體系六要素,進(jìn)一步充實和豐富了我國信息化建設(shè)的內(nèi)涵;提出了信息化建設(shè)“統(tǒng)籌計劃,國家主導(dǎo);統(tǒng)一標(biāo)準(zhǔn),聯(lián)合建設(shè);互聯(lián)互通,資源共享”的二十四字指導(dǎo)方針。
1997年4月18—21日,經(jīng)國務(wù)院批準(zhǔn),國務(wù)院信息化工作領(lǐng)導(dǎo)小組在深圳召開了首次全國信息化工作會議,會議全面部署了國家信息化工作,通過了《國家信息化“九五”規(guī)劃和2010年遠(yuǎn)景目標(biāo)》,成為我國信息化建設(shè)的里程碑。此后,全國地信息化工作從解決應(yīng)急性的熱點問題,步入了為經(jīng)濟(jì)發(fā)展和社會全面進(jìn)步服務(wù),有組織、有計劃的發(fā)展軌道。
1998年3月,組建信息產(chǎn)業(yè)部。隨著國務(wù)院機(jī)構(gòu)的新一輪改革,將原國務(wù)院信息化工作領(lǐng)導(dǎo)小組辦公室整建制并入新組建的信息產(chǎn)業(yè)部,負(fù)責(zé)推進(jìn)國民經(jīng)濟(jì)和社會服務(wù)信息化的工作。在信息產(chǎn)業(yè)部內(nèi)部機(jī)構(gòu)設(shè)置上,設(shè)立了信息化推進(jìn)司(國家信息化辦公室)。
1999年12月,恢復(fù)國務(wù)院信息化工作領(lǐng)導(dǎo)小組。根據(jù)國務(wù)院關(guān)于恢復(fù)國務(wù)院信息化工作領(lǐng)導(dǎo)小組的批示,為了加強(qiáng)國家信息化工作的領(lǐng)導(dǎo),決定成立由國務(wù)院副總理吳邦國任組長的國家信息化工作領(lǐng)導(dǎo)小組,并將國家信息化辦公室改名為國家信息化推進(jìn)工作辦公室。
(4)發(fā)展階段(2000年10月至今)
2001年8月,國家信息化工作辦公室成立。黨中央、國務(wù)院在原有基礎(chǔ)上成立了由朱镕基任組長,胡錦濤、李嵐清、丁關(guān)根、吳邦國、曾培炎為成員的國家信息化領(lǐng)導(dǎo)小組,這樣高規(guī)格的領(lǐng)導(dǎo)機(jī)構(gòu),充分反映出黨中央、國務(wù)院加強(qiáng)中國信息化建設(shè)的決心和力度。同時它的辦事機(jī)構(gòu)——國務(wù)院信息化工作辦公室也正式成立,由國家發(fā)展計劃委員會主任、國家信息化領(lǐng)導(dǎo)小組副組長曾培炎兼任國務(wù)院信息化工作辦公室主任。
2.2 我國電子政務(wù)發(fā)展計劃
國務(wù)院信息化辦公室組織了上百位專家對國家電子政務(wù)進(jìn)行研究,形成一套電子政務(wù)發(fā)展戰(zhàn)略框架,電子政務(wù)已經(jīng)被列為中國信息化建設(shè)的重點任務(wù)。
一是建立兩個統(tǒng)一的電子政務(wù)平臺,即連接副省級以上部門辦公業(yè)務(wù)的“政務(wù)內(nèi)網(wǎng)”和面向公眾、企業(yè)以及連接政府間業(yè)務(wù)的“政務(wù)外網(wǎng)”;其中,外網(wǎng)將與互聯(lián)網(wǎng)相連接。
二是建設(shè)和推進(jìn)十二項重點工程,包括為各級領(lǐng)導(dǎo)決策服務(wù)的“辦公業(yè)務(wù)資源系統(tǒng)” 和“宏觀政策管理系統(tǒng)”,目標(biāo)將所有稅務(wù)機(jī)關(guān)和稅種擴(kuò)展成為全方位的稅收電子化系統(tǒng)的“金稅工程”,將完整的通關(guān)業(yè)務(wù)電子化的“金關(guān)工程”,為國家預(yù)算編制和預(yù)算執(zhí)行提供網(wǎng)絡(luò)化、數(shù)字化服務(wù)的“金財工程”,對銀行、信托、證券、保險進(jìn)行有效監(jiān)管“金融監(jiān)管工程”、實現(xiàn)審計工作數(shù)字化的“金審工程”。另外,還有包括保障社會穩(wěn)定、安全的“金盾工程”和“社會保障工程”、防偽打假的“金質(zhì)工程”、應(yīng)對水旱災(zāi)情的“金水工程”和為農(nóng)業(yè)現(xiàn)代化服務(wù)的“金農(nóng)工程”。
三是信息資源建設(shè),包括兩個信息體系和人口庫、法人庫、信息資源和空間地域庫、宏觀經(jīng)濟(jì)庫等四個數(shù)據(jù)庫,為政府部門提供最基礎(chǔ)的數(shù)據(jù)資源。
2.3 我國電子政務(wù)的保障措施
1、標(biāo)準(zhǔn)先行
為貫徹落實國家信息化領(lǐng)導(dǎo)小組推進(jìn)國家信息化工作的五項方針和統(tǒng)一標(biāo)準(zhǔn)的具體要求,進(jìn)一步推動我國電子政務(wù)順利發(fā)展,國家標(biāo)準(zhǔn)化管理委員會和國務(wù)院信息化工作辦公室批準(zhǔn)成立了“國家電子政務(wù)標(biāo)準(zhǔn)化總體組”。
我國電子政務(wù)標(biāo)準(zhǔn)化工作的開展是在國家標(biāo)準(zhǔn)化管理委員會和國務(wù)院信息化辦公室的統(tǒng)一領(lǐng)導(dǎo)下,由國家電子政務(wù)標(biāo)準(zhǔn)化總體組組織實施。
總體組的主要工作是積極研究跟進(jìn)國內(nèi)外與電子政務(wù)有關(guān)的標(biāo)準(zhǔn)的發(fā)展動態(tài),及時調(diào)整工作思路及方向,與國內(nèi)各政府部門、技術(shù)專家及開發(fā)商一起研究制定中國電子政務(wù)標(biāo)準(zhǔn),推動我國電子政務(wù)健康、有序的建設(shè)。
總體組花費近半年的時間完成了《電子政務(wù)標(biāo)準(zhǔn)化指南》(第一版)。《電子政務(wù)標(biāo)準(zhǔn)化指南》(第一版)在電子政務(wù)標(biāo)準(zhǔn)化工作的指導(dǎo)思想、工作原則的基礎(chǔ)上,確定了電子政務(wù)標(biāo)準(zhǔn)化的總體目標(biāo)和工作任務(wù)并對電子政務(wù)標(biāo)準(zhǔn)體系和電子政務(wù)標(biāo)準(zhǔn)化管理機(jī)制等多方面的內(nèi)容進(jìn)行了闡述。
《電子政務(wù)標(biāo)準(zhǔn)化指南》共分為以下六個部分: 第一部分:總則。第二部分:工程管理。第三部分:網(wǎng)絡(luò)建設(shè)。第四部分:信息共享。第五部分:支撐技術(shù)。第六部分:信息安全。
《電子政務(wù)標(biāo)準(zhǔn)化指南第一部分:總則》(第一版)已于2002年正式發(fā)布。
2、實施監(jiān)理制度
信息產(chǎn)業(yè)部為了規(guī)范信息系統(tǒng)工程建設(shè)市場,保證國家電子政務(wù)工程的質(zhì)量,2002年 11月28日發(fā)布了《信息系統(tǒng)工程監(jiān)理暫行規(guī)定》,明確指出下列信息工程應(yīng)當(dāng)實施監(jiān)理:
● 國家級、省部級、地市級的大中型信息系統(tǒng)工程項目;
● 國家政策性銀行或者國有商業(yè)銀行規(guī)定使用貸款需要實施監(jiān)理的項目; ● 涉及國家安全、生產(chǎn)安全的信息系統(tǒng)工程項目;
● 國家法律、行政法規(guī)及行政規(guī)章規(guī)定應(yīng)當(dāng)實施監(jiān)理的其他信息系統(tǒng)工程項目。監(jiān)理的主要內(nèi)容是對信息系統(tǒng)工程項目的質(zhì)量、進(jìn)度和投資進(jìn)行監(jiān)督,對項目合同和文檔資料進(jìn)行管理,協(xié)調(diào)有關(guān)單位間的工作關(guān)系。監(jiān)理制度的引入從組織結(jié)構(gòu)上和管理上,保證了電子政務(wù)工程的質(zhì)量。
2.4 電子政務(wù)的優(yōu)勢
(1)辦公透明,利于監(jiān)督
政府上網(wǎng)以后,可以在網(wǎng)上向所有公眾公開政府本門的名稱、職能、機(jī)構(gòu)組織、辦事章程及各項公開文件等,可以讓公眾迅速了解政府機(jī)構(gòu)的組成、只能和辦事章程、各項證詞法規(guī),增加辦事的透明度,并自覺接受公眾的監(jiān)督。除政府行政部門之外,人大、政協(xié)上網(wǎng)可以讓公眾了解到人大立法和提出議案的過程,促進(jìn)人格各項立法更完善合理,通過網(wǎng)絡(luò)使個向法律更加迅速的傳遞到民眾手上。事實上,在歐洲,已經(jīng)有虛擬議會,人們足不出戶就可以積極參與國家事物核對法律的考核,促進(jìn)社會民主的進(jìn)步與發(fā)展,市政府管理更加直接、有效。
(2)提高工作效率
“電子政府”建設(shè)完成并全達(dá)到普及后,公眾可以通過網(wǎng)絡(luò)與政府機(jī)關(guān)打交道。配合數(shù)字簽名和網(wǎng)絡(luò)身份認(rèn)證的的建立,公眾可以直接通過網(wǎng)絡(luò)向政府機(jī)關(guān)申請服務(wù),政府可以通過網(wǎng)絡(luò)提供服務(wù),例如,工商管理、繳納稅金、海關(guān)報關(guān)驗關(guān)等,可以大大提高政府的工作效率。
(3)增加跨時間、快地域服務(wù)
“電子政府”可以為群眾提供全天候的服務(wù),網(wǎng)絡(luò)上的政府是“數(shù)字化”的政府,政府可以無所不在,群眾可以在任何地點,只要是因特網(wǎng)可以觸及的地方,都可以與政府服務(wù)網(wǎng)建立連接,隨時隨地獲得服務(wù)。
(4)文檔管理負(fù)擔(dān)大幅度減輕
政府各部門每年要向群眾和企事業(yè)單位發(fā)送各種待填寫的單據(jù),數(shù)量相當(dāng)龐大。設(shè)立了“電子政府”后,用戶可以在政府的網(wǎng)頁上找到相應(yīng)的填寫表單、申報的應(yīng)用程序,通過這一服務(wù)可以實現(xiàn)整個表單處理過程的自動化。
(5)資料上網(wǎng),社會共享
政府部門的許多資料檔案對公眾是很有用處的,要充分挖掘其內(nèi)在的潛力,為社會服 務(wù)。例如,如果把個城市所有注冊公司單位的情況在網(wǎng)上公布,供公眾查詢,這樣公司在進(jìn)行商業(yè)交往的時候,通過Internet查詢,就可以方便迅速的了解到對方的資信情況。可以有效的避免商業(yè)詐騙活動,保護(hù)商業(yè)者的利益。教育部門可以把全國各大專院校的情況上網(wǎng),工考上在報考時查詢選擇等等,這些都是政府對公眾服務(wù)的一個重要內(nèi)容。政府部門的日常活動也可以上網(wǎng),公開政府部門的各項活動,可以使政府部門受到的公眾監(jiān)督,這對于發(fā)揚民主,搞好政府部門的廉政建設(shè)有很大意義。
(6)加強(qiáng)政府與群眾間的雙向溝通
利用網(wǎng)絡(luò)可以建立起更加有效的、快捷的政府與公眾之間的相互交流的渠道,為公眾與政府部門實時、雙向地溝通提供方便。為了更好的利用網(wǎng)絡(luò)與民眾進(jìn)行溝通交流,并對民眾建設(shè)和意見作出及時有效的處理,政府部門應(yīng)設(shè)有一個電子信息處理中心,處理群眾意見,并及時轉(zhuǎn)發(fā)到相關(guān)部門,督促和監(jiān)督問題的解決,這比過去的上訪、市長信箱、市長熱線等等更加方便、有效、及時。總之,加強(qiáng)政府與公眾之間的雙向溝通對于政府更及時、更有效地接納公眾意見,更有效地為人民服務(wù),樹立政府形象十分重要。
第三章 電子政務(wù)信息安全與等級保護(hù)
3.1 電子政務(wù)信息安全內(nèi)涵
電子政務(wù)作為國家信息化戰(zhàn)略重要組成部分,具有先導(dǎo)和示范作用,其信息安全保障事關(guān)經(jīng)濟(jì)發(fā)展、國家安全、社會穩(wěn)定、公眾利益和社會主義精神文明建設(shè)。實行電子政務(wù)信息安全等級保護(hù)是我國信息安全保護(hù)的基本制度和重點任務(wù)之一,本章制著重討論等級保護(hù)制度如何保護(hù)電子政務(wù)的信息安全。
電子政務(wù)市政府管理方式的革命,它是運用信息以及通信技術(shù)打破行政機(jī)關(guān)的組織界限,構(gòu)建一個電子化的虛擬機(jī)關(guān),使公眾擺脫傳統(tǒng)的層層關(guān)卡以及書面審核的作業(yè)方式,并依據(jù)人們的需求、人們可以獲取的方式、人們要求的時間及地點,高效快捷的向人們提供了各種不同的服務(wù)選擇。政府機(jī)關(guān)之間以及政府與社會各界之間也經(jīng)由各種電子化渠道進(jìn)行相互溝通,電子政務(wù)的建立將使政府成為一個更符合環(huán)保精神的政府,一個更開放透明的政府,一個更有效率的政府,一個更廉潔勤政的政府。然而,電子政務(wù)的只能與優(yōu)勢得以實現(xiàn)的一個根本前提是信息安全的有效保障。因為電子政務(wù)信息網(wǎng)絡(luò)上有相當(dāng)多的政府公文在流轉(zhuǎn),其中不乏重要信息,內(nèi)部網(wǎng)絡(luò)上有著大量高度機(jī)密的數(shù)據(jù)和信息,直接涉及政府的核心政務(wù),它關(guān)系到政府部門、各大系統(tǒng)乃至整個國家的利益,有的甚至涉及國家安全。如果電子政務(wù)信息安全得不到保障,電子政務(wù)的便利與效率便無從保證,對國家利益將帶來嚴(yán)重威脅。電子政務(wù)信息安全是制約電子政務(wù)建設(shè)與發(fā)展的首要問題和核心問題。
電子政務(wù)的信息安全可以理解為:
1、從新的層次看,包括信息的完整性(保證新的來源,去向、內(nèi)容真實無誤)、保密性(保證信息不會被非法泄露擴(kuò)散)、不可否認(rèn)性(保證信息的發(fā)送和接受著無法否認(rèn)自己所做過的操作行為)等。
2、從網(wǎng)絡(luò)層次看,包括可靠性(保證網(wǎng)絡(luò)和信息系統(tǒng)隨時可用,運行過程中不出現(xiàn)故障,與意外事故能夠盡量減少損失并盡早 恢復(fù)正常)、可控性(保證營運者對網(wǎng)絡(luò)和信息系統(tǒng)有足夠的控制額管理能力)、互操作性(保證協(xié)議和系統(tǒng)那個能互相連接)、可計算性(保證準(zhǔn)確跟蹤實體運行達(dá)到審計知識的目的)等。
3、從設(shè)備層次看,包括質(zhì)量保證、設(shè)備備份、物理安全等。
4、從管理層次看,包括人員可靠、規(guī)章制度完整等。
3.2 等級保護(hù)在電子政務(wù)中的應(yīng)用
1、電子政務(wù)等級保護(hù)的基本原則(1)重點保護(hù)原則
電子政務(wù)等級保護(hù)應(yīng)突出重點,重點保護(hù)關(guān)系國家安全、經(jīng)濟(jì)命脈、社會穩(wěn)定等方面的重要電子政務(wù)系統(tǒng),集中資源首先確保重點系統(tǒng)那個安全。
(2)自主保護(hù)原則
電子政務(wù)等級保護(hù)藥貫徹“誰主管誰負(fù)責(zé),誰運營誰負(fù)責(zé)”的原則,由個主管部門能和運營單位依照國家相關(guān)法規(guī)和標(biāo)準(zhǔn),自主確定電子政務(wù)系統(tǒng)的安全等級并組織實施安全防護(hù)。
(3)分區(qū)域保護(hù)原則
電子政務(wù)等級保護(hù)要根據(jù)各地區(qū)、各行業(yè)電子政務(wù)系統(tǒng)的重要程度、業(yè)務(wù)特點政務(wù)系統(tǒng)的重要程度、業(yè)務(wù)特點和不同發(fā)展水平,分類、分級、分階段進(jìn)行實施,銅鼓劃分不同安全保護(hù)等級的區(qū)域,實現(xiàn)不同強(qiáng)度的安全保護(hù)。
(4)同步建設(shè)、動態(tài)調(diào)整原則
電子政務(wù)系統(tǒng)在新建、改建、擴(kuò)建時應(yīng)當(dāng)同步建設(shè)信息安全設(shè)施,保障信息安全與信息化建設(shè)相適應(yīng)。因信息和信息系統(tǒng)的應(yīng)用類型、范圍等條件的變化及其他原因,安全保護(hù)等級需要變更的,應(yīng)當(dāng)重新確定系統(tǒng)的安全保護(hù)等級。
3.3 電子政務(wù)安全管理和技術(shù)層面
政府部門通過全面推行信息安全等級保護(hù)制度,逐步將信息安全等級保護(hù)制度,逐步將信息安全等級保護(hù)制度落實到信息系統(tǒng)安全規(guī)劃、建設(shè)、測評、運行維護(hù)和使用等各個環(huán)節(jié),根據(jù)電子政務(wù)信息系統(tǒng)的實際情況,應(yīng)從技術(shù)體系和管理體系兩方面來找開說明,結(jié)合等級保護(hù)的制度來構(gòu)建電子政務(wù)系統(tǒng)的信息安全體系。根據(jù)等級保護(hù)的思想并結(jié)合安全域的原則,根據(jù)電子政務(wù)系統(tǒng)的實際情況,電子政務(wù)系統(tǒng)安全體系建設(shè)流程如下圖所示:
1、安全管理體系
安全管理貫穿整個電子政務(wù)安全防護(hù)體系,對電子政務(wù)安全實施起指導(dǎo)作用。安全管理體系包括:法律政策、規(guī)章制度和標(biāo)準(zhǔn)規(guī)范。安全管理體系的建立應(yīng)符合組織使命,符合組織利益。電子政務(wù)的工作內(nèi)容和工作流程涉及到國家秘密與核心政務(wù)它的安全關(guān)系到國家的主權(quán)、國家的安全和公眾利益,所以電子政務(wù)的安全實施和保障,必須以國家法規(guī)形式將其固化,形成全國共同遵守的規(guī)約。目前,世界上很多國家制訂了與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī),如英國的《官方信息保護(hù)法》等。我國雖然頒發(fā)了一些與網(wǎng)絡(luò)安全有關(guān)的法律法規(guī),如《計算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》等等,但顯得很零散,在完善法律法規(guī)的同時,還應(yīng)該加大執(zhí)法力度,嚴(yán)格執(zhí)法,這一目標(biāo)的實現(xiàn)不僅需要政府的努力,更要國家立法機(jī)構(gòu)的參與和支持。
信息安全標(biāo)準(zhǔn)有利于安全產(chǎn)品規(guī)范化,有利于保證產(chǎn)品安全可信性、實現(xiàn)產(chǎn)品的互聯(lián)和互操作性、更新和可擴(kuò)展性,支持系統(tǒng)安全的測評預(yù)評估,保障電子政務(wù)系統(tǒng)的安全可靠。電子政務(wù)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)規(guī)范包括電子文檔秘密劃分和標(biāo)記格式、內(nèi)容健康性等級劃分與標(biāo)記、內(nèi)容敏感性等級劃分與標(biāo)記、密碼算法標(biāo)準(zhǔn)、密碼模塊標(biāo)準(zhǔn)、密鑰管理標(biāo)準(zhǔn)、PKI/CA標(biāo)準(zhǔn)、PMI標(biāo)準(zhǔn)、信息系統(tǒng)安全評估和網(wǎng)絡(luò)安全產(chǎn)品測評標(biāo)準(zhǔn)等方面的內(nèi)容。
電子政務(wù)信息系統(tǒng)存在著來自社會環(huán)境、技術(shù)環(huán)境和物理自然環(huán)境的安全風(fēng)險,其安全為威脅無時無處不再。對于電子政務(wù)信息系統(tǒng)的安全問題,不能企圖單憑利用一些集成了信息安全技術(shù)的安全產(chǎn)品來解決,而必須建立電子政務(wù)信息系統(tǒng)安全管理體系,全方位地,綜合解決系統(tǒng)安全問題。
2、安全技術(shù)體系
安全技術(shù)體系包括網(wǎng)絡(luò)安全體系和數(shù)據(jù)安全傳輸與存儲體系,功能主要是通過各種技術(shù)手段實現(xiàn)技術(shù)層次的安全保護(hù)。
網(wǎng)絡(luò)安全體系包括網(wǎng)閘、日勤檢測、漏洞檢測、外聯(lián)和接入檢測、補丁管理、防火墻、身份鑒別和認(rèn)證、系統(tǒng)訪問控制、網(wǎng)絡(luò)審計等;數(shù)據(jù)安全與傳輸與存儲體系包括數(shù)據(jù)備份恢復(fù)、PKI/CA、PMI等,拓?fù)鋱D如下圖所示。
根據(jù)電子政務(wù)系統(tǒng)的情況,我們應(yīng)以等級保護(hù)為基本的指導(dǎo)原則,并結(jié)合安全域的理念來進(jìn)行,首先我們應(yīng)對電子政務(wù)的信息系統(tǒng)進(jìn)行系統(tǒng)等級的劃分,在我們得到了相應(yīng)的系統(tǒng)等級之后,再根據(jù)各應(yīng)用系統(tǒng)的等級情況來涉及安全規(guī)劃和建設(shè)方案,真正的將等級保護(hù)制度落實到實處,如下圖所示。
根據(jù)上述的相應(yīng)流程,最后我們的到得電子政務(wù)系統(tǒng)可操作的解決方案。
電子政務(wù)系統(tǒng)應(yīng)根據(jù)自己的安全等級來制定相應(yīng)的安全措施和安全規(guī)則,具體過程如下圖。
第四章 基于互聯(lián)網(wǎng)的電子政務(wù)等級保護(hù)的建設(shè)
電子政務(wù)外網(wǎng)是政府部門之間由于協(xié)同辦公的需要而建立的專用網(wǎng)絡(luò)。它同政府內(nèi)網(wǎng)物理隔離,同Internet網(wǎng)邏輯隔離,它同其他網(wǎng)絡(luò)邏輯隔離。電子政務(wù)外網(wǎng)系統(tǒng)是由相關(guān)的和配套的設(shè)備、設(shè)施按照電子政務(wù)平臺信息系統(tǒng)的一個應(yīng)用目標(biāo)和規(guī)則組合而成的有形實體。它是各級政府對外溝通的門戶系統(tǒng),為用戶提供查閱信息,辦理相關(guān)業(yè)務(wù)(公民、企業(yè)可以通過政府外網(wǎng)辦理各種手需、證書、執(zhí)照等,享受到政府所提供的各種服務(wù))、溝通交流的網(wǎng)絡(luò)平臺。它的內(nèi)部人物是OA、郵件、簡報、公文交換、會議管理,還包含通過互聯(lián)網(wǎng)的辦公數(shù)據(jù)交互等。各級政府的信息委的信息委是各級政府外網(wǎng)系統(tǒng)的唯一安全責(zé)任單位、安全建設(shè)、運行維護(hù)、物理環(huán)境安全等,系統(tǒng)承擔(dān)全部安全保護(hù)責(zé)任。
4.1 信息安全等級保護(hù)實施過程
各級政府的電子政務(wù)外網(wǎng)具有較高的相似性,機(jī)構(gòu)、規(guī)模、功能已經(jīng)承載業(yè)務(wù)等都有很多相似性。根據(jù)這寫相似性,上海三零為是信息安全有限公司從所有參與建設(shè)的電子政務(wù)外網(wǎng)項目中進(jìn)行抽象、總結(jié),基于《信息安全等級保護(hù)管理辦法》、《信息系統(tǒng)安全等級保護(hù)基本要求》、《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)定級指南》和《信息系統(tǒng)安全等級保護(hù)實施指南》設(shè)計了完整的電子政務(wù)外網(wǎng)整體安全解決方案。
該解決方案按照實施過程分為三個階段五個模塊。如下圖所示:
在系統(tǒng)出示化階段中,按照《信息系統(tǒng)安全等級保護(hù)定級指南》制定如下流程:
信息定級模塊的最終交付成果為《某政務(wù)外網(wǎng)信息系統(tǒng)等級保護(hù)定級報告》,共分3個章節(jié),兩份附件表進(jìn)行編寫:第一章,信息系統(tǒng)描述:第二章,信息系統(tǒng)安全保護(hù)等級 確定;第三章,安全保護(hù)等級的確定;附件表一,政務(wù)外網(wǎng)系統(tǒng)業(yè)務(wù)信息安全等級確定工作表;附件表二,政務(wù)外網(wǎng)系統(tǒng)服務(wù)安全等級確定工作表。
在信息系統(tǒng)描述中,需要確認(rèn)政務(wù)外網(wǎng)系統(tǒng)具有唯一確定的安全責(zé)任單位,詳細(xì)說明該單位的名稱與職責(zé);需要明確政務(wù)外網(wǎng)系統(tǒng)具備的信息系統(tǒng)基本要素,詳細(xì)描述系統(tǒng)拓?fù)鋱D和系統(tǒng)硬件設(shè)備配置;需要描述政務(wù)外網(wǎng)系統(tǒng)承載的單一或相對獨立的業(yè)務(wù)應(yīng)用,相信分析應(yīng)用專業(yè)數(shù)據(jù)應(yīng)用流程。
在信息系統(tǒng)安全保護(hù)等級確定中需要完成對業(yè)務(wù)信息安全保護(hù)等級的確定和系統(tǒng)服務(wù)安全保護(hù)等級的確定。包括:業(yè)務(wù)信息/系統(tǒng)服務(wù)描述、業(yè)務(wù)信息/系統(tǒng)服務(wù)受到破壞時所侵害客體的侵害程度的確定。
根據(jù)等級保護(hù)的標(biāo)準(zhǔn)《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)定級指南》的要求,政務(wù)外網(wǎng)系統(tǒng)的安全保護(hù)等級由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級較高者決定,并最終決定該政務(wù)外網(wǎng)系統(tǒng)的安全保護(hù)等級。
在系統(tǒng)建設(shè)試用階段包括:基于等級保護(hù)的安全保護(hù)題寫的整體設(shè)計、建設(shè)、運行、維護(hù)分階段,是整個體系的主體部分。下面的方案以最常見的定級為二級的系統(tǒng)進(jìn)行詳細(xì)敘述。基于等級保護(hù)的安全防護(hù)體系方案一般可分為9個章節(jié),其中包括:前沿、方案概況、安全需求分析、總體安全設(shè)計、安全建設(shè)項目規(guī)劃、安全方案詳細(xì)設(shè)計、系統(tǒng)產(chǎn)品性能要求及選型、項目實施與工程管理、安全運行維護(hù)與服務(wù)。
第一章,前言。在本章中主要介紹用戶電子政務(wù)外網(wǎng)的業(yè)務(wù)情況,其中包括系統(tǒng)的背景敘述。
第二章,方案概述。在本章中主要闡述方案的背景、設(shè)計目標(biāo)、設(shè)計原則和設(shè)計思想、說明對等級保護(hù)的需求,安全保護(hù)體系的主要建設(shè)內(nèi)容等。
第三章,安全需求分析。本章包括技術(shù)層次面安全需求分析和管理層面安全需求分析。根據(jù)等級保護(hù)的基本要求,技術(shù)層面安全需求分析。根據(jù)等級保護(hù)基本要求,技術(shù)層面安全需求分析按照五個方面:物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全和數(shù)據(jù)恢復(fù)。管理層面的安全需求分析按照安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理方面進(jìn)行分析。
第四章,總體安全設(shè)計。對一個組織的任務(wù)、業(yè)務(wù)運作異常關(guān)鍵的信息都是由信息基礎(chǔ)設(shè)施負(fù)責(zé)處理、存儲和傳輸。信息基礎(chǔ)設(shè)施對這些信息的保護(hù)需要通過“信息保障”完成。信息保障提出了目前信息基礎(chǔ)設(shè)施的整套安全要求。信息保障依賴人、操作和技術(shù)來實現(xiàn)組織任務(wù)、業(yè)務(wù)運作。穩(wěn)定的信息保證體系意味著信息保證的政策、步驟、技術(shù)與機(jī)制在整個組織的信息基礎(chǔ)設(shè)施的所有層面上均得以實施。在制定安全策略中,依據(jù)的IATF信息保障技術(shù)框架定義了對該電子政務(wù)外網(wǎng)系統(tǒng)進(jìn)行信息保障的過程,以及該系統(tǒng)中硬件和軟件部件的安全要求。遵循這些原則就可以對信息基礎(chǔ)設(shè)施進(jìn)行名為“深度防御戰(zhàn)略” 的多層防護(hù)。信息安全可用性策略是用戶電子政務(wù)外網(wǎng)信息系統(tǒng)安全保護(hù)體系的核心。根據(jù)實際情況提出恰當(dāng)?shù)冒踩呗浴R粋€全面的安全策略將有助于方案的設(shè)計,實施和執(zhí)行。在本章節(jié)中首先完成等級化安全模型、總體安全策略,進(jìn)而完成核心的安全技術(shù)策略設(shè)計、安全管理策略設(shè)計。
第五章,安全建設(shè)項目規(guī)劃。在本章主要完成整個用戶電子政務(wù)外網(wǎng)安全保護(hù)體系建設(shè)項目的整體進(jìn)度計劃以及各自項目的時間安排。
第六章,安全方案詳細(xì)設(shè)計。本章為安全技術(shù)措施設(shè)計和安全管理措施設(shè)計兩部分,并最終形成安全保護(hù)體系實施的預(yù)期效果(蜘蛛圖)。在安全技術(shù)措施設(shè)計中包括:物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)。
第七章,系統(tǒng)產(chǎn)品性能要求及選型。在本章中對用戶電子政務(wù)外網(wǎng)安全保護(hù)體系中選用的產(chǎn)品按照實際需要完成對性能指標(biāo)的定量要求以及選型定型。
第八章,項目實施與工程管理。采取工程化的項目管理方法進(jìn)行嚴(yán)格、科學(xué)和有效的項目控制和管理。從組織管理和技術(shù)管理兩個方面對項目實施嚴(yán)格規(guī)范和有效管理。在項目實施中按照SSE-CMM的要求,即系統(tǒng)按安全工程能力成熟模型,精心工程實施。不斷提高工程的質(zhì)量與可用性,降低工程的實施成本。SSE-CMM給出了信息系統(tǒng)工程建設(shè)需要考慮的關(guān)鍵過程保障域,可能知道工程從單一的安全設(shè)備設(shè)置轉(zhuǎn)向系統(tǒng)的剞劂整個工程的分先評估、安全策略形成、安全方案提出、實施和生命期控制等問題。根據(jù)SSE-CMM,將整個項目所做的工作分為項目啟動準(zhǔn)備、項目實施改進(jìn)、項目完成跟蹤,時需審核和改進(jìn)以確保建設(shè)的項目能符合設(shè)計的方案。
第九章,安全運行維護(hù)與服務(wù)。主張為用戶電子政務(wù)外網(wǎng)系統(tǒng)提供生名周期的服務(wù)。電子政務(wù)外網(wǎng)信息系統(tǒng)的整體性進(jìn)行考慮,以營運的業(yè)務(wù)流程為眼點,運用信息系統(tǒng)安全工程技術(shù)理論、工具和方法,通過專業(yè),客觀的風(fēng)險分析,在保證電子政務(wù)外網(wǎng)信息系統(tǒng)應(yīng)用效率和投資收益比例恰當(dāng)?shù)那疤嵯拢档涂蛻舻男畔⑾到y(tǒng)運行風(fēng)險,確保客戶信息系統(tǒng)發(fā)揮其價值。嚴(yán)格遵循國家網(wǎng)絡(luò)安全主管部門有關(guān)規(guī)定以及國際安全服務(wù)標(biāo)準(zhǔn),以ITSM 為目標(biāo)、ITIL為指導(dǎo),由專業(yè)從事網(wǎng)絡(luò)服務(wù)和安全服務(wù)的專家小組提供服務(wù),同時對安全管理員進(jìn)行安全培訓(xùn)。在系統(tǒng)種植階段遵照以下流程:
“信息轉(zhuǎn)移、暫存和清除過程”是在信息系統(tǒng)中止處理過程中,對于可能會在另外的信息系統(tǒng)中使用的信息采取適當(dāng)?shù)姆椒▽⑵浒踩霓D(zhuǎn)移或暫存到可以恢復(fù)的介質(zhì)中,確保將來可繼續(xù)使用,同時采用安全的方法清除要終止的信息系統(tǒng)的信息。“設(shè)備遷移或廢棄過程”是確保信息系統(tǒng)中之后,遷移或廢棄的設(shè)備內(nèi)不包括敏感信息,對設(shè)備的處理方式應(yīng)符合國家相關(guān)部門的要求。“存儲介質(zhì)的清除或銷毀過程”是通過采用合理的方式計算機(jī)介質(zhì)(包括磁帶、磁盤、打印結(jié)果和文檔)進(jìn)行信息清除或銷毀處理,防止介質(zhì)內(nèi)的敏感信息泄露。通過講不同的電子政務(wù)外網(wǎng)系統(tǒng)進(jìn)行的個性處理,導(dǎo)入上述三個基本等級保護(hù)的安全保護(hù)體系建設(shè)過程,將可以得到完整的安全基于等級保護(hù)的安全體系建設(shè)方案,并指導(dǎo)基于等級保護(hù)的安全的電子政務(wù)外網(wǎng)系統(tǒng)。
4.2 電子政務(wù)等級保護(hù)實施措施
1、周密部署,精心組織
為有效貫徹落實國家信息安全等級保護(hù)制度,在總基礎(chǔ)調(diào)查和試點工作基礎(chǔ)上,根據(jù)《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》等相關(guān)規(guī)定,2007年11月13日,電子政務(wù)外網(wǎng)工程辦召開等級工作啟動會,正式啟動國家電子政務(wù)外網(wǎng)安全等級的定級保護(hù)工作。
為確保信息系統(tǒng)等級保護(hù)工作順利進(jìn)行,外網(wǎng)工程辦領(lǐng)導(dǎo)高度重視,專門成立了有個主要業(yè)務(wù)部門負(fù)責(zé)人為成員的等級保護(hù)工作小組,全面負(fù)責(zé)工作的規(guī)劃、協(xié)調(diào)和指導(dǎo),確定了外網(wǎng)工程版安全組為等級保護(hù)工作的牽頭部門,各部門分工協(xié)作。同時,為確保系統(tǒng)劃分和定級工作的準(zhǔn)確性,2007年11月22日外網(wǎng)工程辦專門邀請專家,對定級工作進(jìn)行專項指導(dǎo)。
2、積極做好定級各項工作
信息安全等級保護(hù)工作政策性強(qiáng)、技術(shù)要求高,時間有非常緊迫,為此,政務(wù)外網(wǎng)工程辦從3個方面抓好等級保護(hù)前期準(zhǔn)備工作:一是積極參加公安部組織的等級保護(hù)培訓(xùn),領(lǐng)會與理解開展信息等級保護(hù)目的、意義與技術(shù)要求,系統(tǒng)的掌握信息安全等級保護(hù)的基礎(chǔ)知識、實施過程、頂級方法步驟和備案流程。二是多次組織人員開展內(nèi)部討論和交流,使人員較全面的了解等級保護(hù)的意義、基礎(chǔ)知識核定級方法。三是開展工程辦各組的業(yè)務(wù)應(yīng)用摸底調(diào)查,摸清系統(tǒng)的系統(tǒng)機(jī)構(gòu)、業(yè)務(wù)類型和應(yīng)用范圍,并匯總整理政務(wù)外網(wǎng)各組成域的相關(guān)概況。
3、科學(xué)準(zhǔn)確定級
在開展政務(wù)外網(wǎng)定級工作的過程中突出重點,全面分析政務(wù)外網(wǎng)網(wǎng)絡(luò)基礎(chǔ)平臺的特 點,力求準(zhǔn)確劃定定級范圍和定級對象。在此基礎(chǔ)上,依據(jù)《信息安全等級保護(hù)管理辦法》,確定政務(wù)外網(wǎng)各組成組子系統(tǒng)(網(wǎng)絡(luò)域)的安全保護(hù)等級。
劃定定級對象。根據(jù)《信息系統(tǒng)安全等級保護(hù)定級指南》,外網(wǎng)工程辦多次組織技術(shù)和業(yè)務(wù)骨干召開專題會議討論信息系統(tǒng)劃分問題,提出了較為科學(xué)合理的信息系統(tǒng)劃分方案。
組織專家自評把關(guān)。根據(jù)等級保護(hù)評審的標(biāo)準(zhǔn)與要求,專家們對信息系統(tǒng)劃分和定級報告進(jìn)行內(nèi)部評審,并給出了內(nèi)部評審意見。根據(jù)專家意見重新修訂并整理了等級保護(hù)定級報告及其相關(guān)材料。
此外,在頂級過程中,外網(wǎng)工程辦積極與公安部門等級保護(hù)主管部門進(jìn)行溝通,并竟由相關(guān)專家確定定級對象與等級保護(hù)方案后,整理好了所有定級材料,準(zhǔn)備下一步的正式評審。
4、定級對象和結(jié)果
根據(jù)政務(wù)外網(wǎng)作為基礎(chǔ)網(wǎng)絡(luò)平臺的特性,以及其接入系統(tǒng)的不同業(yè)務(wù)類型,政務(wù)外網(wǎng)按管理邊界劃分為中央政務(wù)外網(wǎng)、地方政務(wù)外網(wǎng)兩類管理域。中央政務(wù)外網(wǎng)按業(yè)務(wù)邊界劃分功能區(qū),即公用網(wǎng)絡(luò)平臺區(qū)、專用VPN網(wǎng)絡(luò)區(qū)以及互聯(lián)網(wǎng)接入?yún)^(qū),在各功能區(qū)內(nèi)又根據(jù)業(yè)務(wù)類型和系統(tǒng)服務(wù)的不同,確定了多個業(yè)務(wù)系統(tǒng),主要有安全管理系統(tǒng)、應(yīng)用平臺系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)、郵件系統(tǒng)、VPN業(yè)務(wù)、互聯(lián)網(wǎng)數(shù)據(jù)中心等六個系統(tǒng)作為本次等級保護(hù)定級工作的定級對象,分別予以定級(確定等級結(jié)果如下表所示)。
表 國家電子政務(wù)外網(wǎng)業(yè)務(wù)信息系統(tǒng)定級對象和結(jié)果
第五章 基于等級保護(hù)的電子政務(wù)安全度量
本章針對安全管理的量化問題,建立了信息安全管理度量的層次結(jié)構(gòu)模型,確定了信息安全管理度量要素及度量指標(biāo),設(shè)計了相應(yīng)的度量方法及輔助調(diào)查工具——度量核查表。
5.1 信息安全度量現(xiàn)狀
信息安全“三分技術(shù),七分管理”的思想目前已經(jīng)被廣泛接受,然而,在實際的安全實踐中,安全管理依然被人們忽視。導(dǎo)致這種局面的一個重要原因是安全管理的有效型難以度量。相對于安全技術(shù),安全管理涉及到更多的領(lǐng)域,包含眾多的非量化的難以測量的因素,如規(guī)章制度度的制定和培訓(xùn)、管理措施的落實、財政預(yù)算的支持等。因此,信息安全管理有效的度量繁雜乃至瑣碎,難度很大。具體實施過程中,對安全管理的度量主要依靠操作人員進(jìn)行,度量的準(zhǔn)確性往往依賴于操作人員的實踐經(jīng)驗、對相關(guān)標(biāo)準(zhǔn)的理解程度等。這些主觀因素往往導(dǎo)致度量結(jié)果不夠準(zhǔn)確,不能真實反映安全管理上的弱點,也就不能有針對性的進(jìn)行改進(jìn),從而降低了度量結(jié)果的可信度,進(jìn)而影響甚至誤導(dǎo)信息安全的改進(jìn)過程。
管理學(xué)上有如下原則:不能被測量的行為是不能被管理的。如何對安全管理進(jìn)行有效的量化度量,根據(jù)量化的度量結(jié)果進(jìn)一步指導(dǎo)安全管理,提高信息安全能力和水平,目前已經(jīng)成為信息安全領(lǐng)域的一個研究熱點。
2003年7月,NIST發(fā)布了SP800-55《信息技術(shù)系統(tǒng)安全度量指南》。該標(biāo)準(zhǔn)對安全管理度量定義如下:一種工具,被設(shè)計用來通過收集、分析和報告與性能相關(guān)的數(shù)據(jù),以輔助決策、改善性能和可審計性。《信息技術(shù)系統(tǒng)安全度量指南》中結(jié)合NIST SP800-26《信息技術(shù)系統(tǒng)安全自我評估導(dǎo)則》中的安全控制目標(biāo)和技術(shù)方法,對角色責(zé)任、度量定義、度量類型、度量開發(fā)和實施方法、度量項目的實施過程都做了描述,同時以附件形式給出了17種度量的模板。
SC27N4474:WD 27004(ISO/IEC27004草案)《信息安全管理度量機(jī)制和測量措施》中規(guī)定了測量項以及組織可能用于促進(jìn)對ISMS管理的測量技術(shù),該模型使用客觀信息來監(jiān)督和評審ISMS以及孔子措施的性能。
我國信息安全管理標(biāo)準(zhǔn)的研究比較落后。不僅已經(jīng)制定的少量標(biāo)準(zhǔn)大多沿用國際標(biāo)準(zhǔn),而且很少直接參與到國際信息安全標(biāo)準(zhǔn)的制定當(dāng)中,致使無法在國際標(biāo)準(zhǔn)的制定中體現(xiàn)我國國家利益,也只能加了參照國際標(biāo)準(zhǔn)制定相應(yīng)國內(nèi)標(biāo)準(zhǔn)是的困難。目前在信息安全 管理度量標(biāo)準(zhǔn)方面的主要工作向是積極跟蹤國際信息安全管理度量方法和技術(shù)標(biāo)準(zhǔn)化的動態(tài),系統(tǒng)研究信息安全度量方法和測量技術(shù),抓緊制定相應(yīng)的國內(nèi)安全管理度量標(biāo)準(zhǔn),為我國信息安全管理體系建設(shè)提供基礎(chǔ)技術(shù)保障。
5.2 基于等級保護(hù)的安全管理度量方法的設(shè)計
安全管理度量的成功實施需要解決若干個關(guān)鍵問題。(1)度量要素、度量指標(biāo)的選取(2)度量結(jié)果的量化
度量要素是評判信息安全管理是否有效的組成因素,所有度量要素的合理表現(xiàn),就能構(gòu)呈現(xiàn)出信息安全管理的效果。
度量指標(biāo)是為考察各個度量要素而設(shè)計的核查項,單個的度量指標(biāo)是安全管理的最小度量單位。通過對某度量要素所包含的若干指標(biāo)的核查結(jié)果,能夠?qū)υ摱攘恳剡M(jìn)行評估。
度量要素、度量指標(biāo)的選取時前提條件,它為安全管理度量的實施準(zhǔn)備工具。如果度量要素、度量指標(biāo)集合不完備、不合理,將導(dǎo)致度量結(jié)果出現(xiàn)較大的偏差,進(jìn)而影響信息安全管理目標(biāo)的實現(xiàn);而量化則是對安全管理度量的進(jìn)一步加工處理,以便從中發(fā)現(xiàn)問題,總計規(guī)律。
1、國家計算機(jī)等級保護(hù)標(biāo)準(zhǔn)GB17859 根據(jù)《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》(GB17859),我國的信息安全劃分為五個級別,即用戶自主保護(hù)級、系統(tǒng)審計保護(hù)級、安全標(biāo)記保護(hù)級、結(jié)構(gòu)化保護(hù)級、訪問驗證保護(hù)級。五個級別以第一級用戶自主保護(hù)級為基礎(chǔ),每級對信息安全的保護(hù)方法一步增強(qiáng),保護(hù)范圍進(jìn)一步擴(kuò)大。
GB17859給出了對計算機(jī)信息系統(tǒng)實施五級保護(hù)的原則,并對各個級別的具體實施要求進(jìn)行了目標(biāo)上的闡述,但其本身并沒有提供如何評估某級別安全保護(hù)目標(biāo)是否現(xiàn)得定量化指標(biāo)。所以根據(jù)GB17859的實施要求有針對性的提出一個安全管理度量方法十分必要。
2、度量要素的選取
ISO/IEC17799確立的信息安全管理體系目前在國際上已經(jīng)成為通行的信息安全管理體系,它包含了安全方針的擬定、安全責(zé)任的歸屬、風(fēng)險的評估與確定、強(qiáng)化安全參數(shù)及存取的控制,提供了10大管理方面,36個管理目標(biāo),127重安全控制供用戶選擇和使用。標(biāo)準(zhǔn)自公布以來,被多個國家政府機(jī)構(gòu)及其他單位組織采用,受到良好的效果。
為保證度量的全面性與合理性,以ISO/IEC17799中的安全控制措施作為安全管理的度量要素,以保證能夠完成整覆蓋信息安全管理的各個環(huán)節(jié)。同時為每個度量要素設(shè)計了相應(yīng)的度量指標(biāo)(核查問題)集合,這樣就首先構(gòu)造了一個安全管理度量要素的全集,以及一個度量指標(biāo)的全集,其中,單個的度量指標(biāo)是安全管理的最小度量單位。但在實際操 作中,由于各個信息系統(tǒng)對于安全的要求不同,需要對個度量要素全集和度量指標(biāo)全集進(jìn)一步裁剪以符合實際情況。以國家計算機(jī)等級保護(hù)標(biāo)準(zhǔn)G17859為依據(jù),根據(jù)組織的信息系統(tǒng)所劃分的安全等級,從度量要素全集合度量指標(biāo)全集中提取相應(yīng)的度量要素子集、度量指標(biāo)子集。安全管理度量的層次結(jié)構(gòu)如下圖所示:
如上圖所示,度量要素包含若干個度量指標(biāo),即度量該要素的核查問題。度量指標(biāo)是最小的測量單位,可以分別從規(guī)章制度、落實證據(jù)兩個方面進(jìn)行設(shè)計。
(1)管理制度包括技術(shù)開發(fā)文檔、管理制度、操作規(guī)程以及其他與系統(tǒng)運行、維護(hù)、安全相關(guān)的所有文檔。
(2)落實證據(jù)包括會議紀(jì)要、各種登記表、值班日志、故障記錄、出入登記表等紙當(dāng)文件,也包括對安全管理負(fù)責(zé)人、系統(tǒng)維護(hù)者、企業(yè)關(guān)公等的調(diào)查詢問結(jié)果。
對照ISO/IEC17799的章節(jié)結(jié)構(gòu)設(shè)計安全管理度量核查表,如下表所示:
表 安全管理度量核查表
表中控制措施即為度量要素,核查問題即為度量標(biāo)準(zhǔn)。度量指標(biāo)的安全類別劃分為與GB17859相對應(yīng)的5級,如果待度量的信息系統(tǒng)的安全等級被劃分為二級,則表1中于每個度量要素對應(yīng)的所有安全類別為二級以及以下的度量指標(biāo)都應(yīng)被提取出來,構(gòu)成給度量要素的度量指標(biāo)集合,進(jìn)而構(gòu)成此次度量的度量指標(biāo)集合。
3、度量結(jié)果的量化與分析
顯然,定量化的數(shù)據(jù)及圖表在描述安全控制目標(biāo)實現(xiàn)程度的變化趨勢,證明安全投資合理性方面比非量化的描述更具有優(yōu)勢。因此,試圖從度量要素和度量指標(biāo)的量化工作出發(fā),最后給出定量化的安全管理度量結(jié)果。在度量要素集合中,各個度量要素對于信息系 統(tǒng)安全的影響是不同。為是度量結(jié)果更真的反應(yīng)安全管理的各個環(huán)節(jié),需要為各個度量要素賦予不同的權(quán)重。類似的,每個度量要素的各指標(biāo)也應(yīng)該賦予不同的權(quán)重。
在統(tǒng)計信息系統(tǒng)安全管理度量的得分時,首先根據(jù)各個度量指標(biāo)的得分統(tǒng)計加權(quán)得出每個度量要素的得分,然后再由各個度量要素得分的統(tǒng)計加權(quán)得出該組織的安全管理度量最后得分。
如上表所示,度量要素的各個度量指標(biāo)(核查問題)的設(shè)計應(yīng)該標(biāo)準(zhǔn)化,如均為單選選擇題,并知道那個簡單明確、無歧義的評分規(guī)則,如選答案“是”應(yīng)得滿分M,選答案“否”為0分,選答案“一部分”得5分等。度量指標(biāo)誰的標(biāo)準(zhǔn)優(yōu)化可保證度量結(jié)構(gòu)不受度量實施人員主觀因素的干擾,維持客觀性。
安全管理度量應(yīng)該定期進(jìn)行。一段時間(如一年或一季度)內(nèi)的幾次安全管理度量的量化結(jié)果能夠表現(xiàn)安全控制目標(biāo)實現(xiàn)程度隨時時間的變化趨勢(如下圖所示),幫助管理者識別抵消的安全控制,引導(dǎo)安全投資,提高安全管理水平,實現(xiàn)組織的信息安全目標(biāo)。
第六章 總結(jié)
本論文主要研究的是基于互聯(lián)網(wǎng)的電子政務(wù)等級保護(hù),首先討論了電子政務(wù)的現(xiàn)狀和主要問題,敘述了基于互聯(lián)網(wǎng)的電子政務(wù)等級保護(hù)的建設(shè)和研究。主旨是通過對此項問題的研究,對基于互聯(lián)網(wǎng)的電子政務(wù)等級保護(hù)有更深刻的了解,并且加深印象,對此項問題的研究起到推動作用。
隨著社會的發(fā)展,政府的網(wǎng)絡(luò)化越來越重要,使人民的政府成為一個民主的政府,透明的政府,是越來越需要的。
總結(jié)近年來的電子政務(wù)的發(fā)展,總體來說是相當(dāng)不錯的,國家對此也十分注重,多次制定法律法規(guī)規(guī)范電子政務(wù)的發(fā)展以及應(yīng)用,為電子政務(wù)在我國普及、發(fā)展提供了必要的條件,同時,也是人們對電子政務(wù)的重要性有了新的認(rèn)識。
在未來的時間里,電子政務(wù)無疑會成為社會的主流,無論是政府還是企業(yè),都會把發(fā)展電子政務(wù)作為首要問題。電子政務(wù)無疑已經(jīng)成為了一個成熟的企業(yè)、一個發(fā)達(dá)的國家的象征。
參考文獻(xiàn)
[1] 馬作者:燕曹,周湛.信息安全法規(guī)與標(biāo)準(zhǔn)[M].北京:機(jī)械工業(yè)出版社,2004. [2] 羅海寧 郭紅 吳亞飛
國家電子政務(wù)外網(wǎng)安全等級保護(hù)定級工作基本完成 [3] 劉學(xué)忠 劉增良 余達(dá)太
基于等級保護(hù)的安全管理度量方法研究 [4] 孟源 楊宏
基于等級保護(hù)的電子政務(wù)外網(wǎng)整體安全解決方案 [5] 吳海波 有效保障電子政務(wù)安全
點擊咨詢 