第一篇:蘭州互聯網等級保護工作總結
蘭州互聯網新聞中心2011年等保工作總結
根據信息安全等級保護工作要求,結合我單位工作實際需要,我們認真開展了信息安全自查工作,加強了信息系統的管理和維護,完善了系統軟硬件設施,實現了網站信息系統的安全運行。現將2011年信息安全自查工作開展情況總結如下:
一、信息安全保護工作現狀
1、制定信息安全保護規章制度,加強日常管理。在硬件安全方面,及時檢查防雷、防火、防盜和電源連接等情況;在網絡安全方面,加強網絡結構、安全日志、密碼和IP地址的管理;在應用安全方面,提高人員安全意識,增強系統操作的規范性。
2、平臺及網絡管理方面,購置了新式服務器,提高平臺性能,增強穩定性;采用linux操作系統,更換原03操作系統,提升系統的安全性。更新數據庫,采用了功能更強大,性能更優異,安全性更強的oracle數據庫。對平臺關鍵部位進行了雙機熱備份,加強了主站的可靠性。安裝硬件防火墻,隔離內外網,進一步提高網絡安全。
3、系統操作權限方面,嚴格按系統使用所需,針對不同系統操作用戶的需求,劃分使用權限。制定了密碼定期更新機制,對用戶密碼按月更新,并采取9位數字加字符的設置方式提高密碼的健壯性。
二、自查中存在的問題
1、初步建立了信息安全規章制度,但還不完善,未能覆蓋到信息系統安全的所有方面。
2、專業技術人員較少,信息系統安全方面可投入的力量有限。
3、由于我單位處在創業起步階段,經費相對緊張,信息系統建設和信息安全保護工作可投入的經費不足。
三、整改方向
1、在今后的工作中,我們將進一步完善信息安全相關規章制度,實現信息安全的規范管理。
2、加強對計算機安全知識的培訓,定期開展信息安全檢查工作,提高人員安全防護意識。
3、積極爭取財政支持,購買相關設備,進一步擴大對信息安全工作的投入。
蘭州互聯網新聞中心 二〇一一年11月8日
第二篇:基于互聯網的電子政務等級保護研究
密級:
頁數:
畢 業 實習(論文)
信息工程大學
題目:基于互聯網的電子政務等級保護研究
學員姓名
*** 學
號
所在單位
指導教師
郭義喜 技術職務
副教授 完成日期
2010年5月
摘 要
隨著這幾年計算機網絡技術的發展,網絡信息安全成為了人們越來越關注的問題,也同時成為了威脅計算機網絡之間信息傳播的最大障礙。為此,國家已經在2007年7月26日發出了《關于開展全國重要信息系統安全等級保護定級工作的通知》,電子政務工程建設辦公室在2007年11月啟動了中央級 政務外網定級專項工作,成立了等級保護定級工作組,根據政務外網實際情況和特點,經過多倫內部討論和專家征求意見后,基本完成了政務外網安全等級保護定級工作,為后續備案和全面開展、實施等級保護整改和測評工作奠定了堅實基礎。
由此可見,當今社會中,電子政務等級的保護研究已經是一個非常重要的課題。本文從電子政務等級保護的研究方法、電子政務等級保護出現問題時的解決辦法、電子政務等級保護的整體安全解決方案、基于互聯網的電子政務的優點以及如何有效的保護電子政務的安全等方面來闡述電子政務等級保護問題。
目 錄
第一章 概述.................................................................1
1.1 選題背景與研究現狀................................................1 1.2 研究內容與論文組織結構............................................1 1.4 論文組織結構......................................................2
第二章 信息化與電子政務.....................................................3
2.1 我國信息化進程的回顧..............................................3 2.2 我國電子政務發展計劃..............................................4 2.3 我國電子政務的保障措施............................................5 2.4 電子政務的優勢....................................................6
第三章 電子政務信息安全與等級保護...........................................8
3.1 電子政務信息安全內涵..............................................8 3.2 等級保護在電子政務中的應用........................................8 3.3 電子政務安全管理和技術層面........................................9
第四章 基于互聯網的電子政務等級保護的建設..................................12
4.1 信息安全等級保護實施過程.........................................12 4.2 電子政務等級保護實施措施.........................................15
第五章 基于等級保護的電子政務安全度量......................................17
5.1 信息安全度量現狀.................................................17 5.2 基于等級保護的安全管理度量方法的設計.............................18
第六章 總結................................................................21 參考文獻...................................................................22
第一章 概述
1.1 選題背景與研究現狀
以Internet為代表的全球性信息化浪潮日益涌起,網絡技術的應用層次不斷深入、應用領域日益廣泛,逐步由傳統的、小型業務系統向大型的、關鍵性的業務系統擴展,目前基于互聯網技術的網絡平臺已經在電子政務中得到了廣泛的應用,使政府以最快的方式與市民進行溝通,市民也能方便快捷地參與政府工作。但是,由于電子政務同時涉及到對國家秘密信息和高敏感度核心政務的保護,涉及到維護公共秩序和行政監管,從而使這種快捷和方便給政府網絡的安全造成了一定的威脅,使基于互聯網技術的電子政務面臨著嚴峻的挑戰。因此,運用網絡安全技術,建立實用可靠的安全策略體系,實施等級保護,已經成為電子政務能否得到真正應用的關鍵。
目前,我國建立了與電子政務發展水平相適應的安全保障措施,并且結合實際需要,制定了一批具有實際指導意義的信息安全法規制度和工作機制。
我國開始從整體安全體系出發來進行信息安全建設。分級分域防護的基本思路正在逐步得到貫徹。
1.2 研究內容與論文組織結構
本課題選擇了基于互聯網的電子政務等級保護作為研究重點,討論了基于互聯網的電子政務等級保護的安全目標以及為實現上述目標應采取積極的安全策略,尤其對電子政務安全保障體系框架做了進一步分析,對基于互聯網的電子政務等級保護提出了自己的觀點。
主要內容包括:(l)電子政務的安全目標及其應對策略;(2)電子政務安全保障體系框架;(3)電子政務等級保護當前的主要問題;
(4)對于基于互聯網的電子政務等級保護建設的自我觀點。
由于國內的基于互聯網的電子政務等級保護的標準和規范不太明確,所以本課題將對電子政務做進一步的分析,提出自己的一些觀點和看法,希望通過自己的努力對電子政務等級保護問題有著推進意義。
1.4 論文組織結構
共分五章,第一章對我國基于互聯網的電子政務等級保護的現狀以及研究內容做一簡要介紹,第二章主要概述了信息化與電子政務的發展史,第三章重點討論了電子政務信息安全與等級保護的關系問題,第四章主要介紹了基于互聯網的電子政務等級保護建設問題,第五章討論了電子政務等級保護安全度量方法,第六章是總結及展望。
第二章 信息化與電子政務
中國的信息化建設起步于20世紀80年代初期,從國家大力推動電子信息技術應用開始,大致經歷了四個階段,而我國的電子政務建設是中國信息化建設發展的一個新階段,它以我國前期信息化建設的成果為基礎。
2.1 我國信息化進程的回顧
(1)準備階段(1993年以前)
20世紀80年代初期,在我國國民經濟進行調整的情況下,計算機工業界認識到發展我國計算機工業,應該從過去的一研究制造計算機硬件設備為中心,迅速的轉向以普及應用為重點,以此帶動研究開發、生產制造、外圍配套、應用開發、技術服務和產品銷售等工作。1982年10月4日,國務院成立了計算機與超大規模集成電路領導小組。下設計算機和集成電路兩個顧問小組,聘請有理論水平、有實踐經驗的科學家、經濟學家和工程技術人員參加,負責規劃、決策和技術經濟咨詢。
1984年,為了研究我國新技術革命的對策,國務院成立了新技術革命對策小組,組織了計算集專項和光纖通信專項研究。1984年9月15日,計算機與大型集成電路領導小組改為電子振興領導小組。1986年3月,“863”計劃啟動。該計劃投資100億元,其中,信息技術相關項目的投資約占投資總額的三分之二。
1988年5月,根據國務院機構改革方案,成立機械電子工業部,并將振興電子產業的任務交機械電子工業部承擔。隨后,國務院常務會議決定,國務院電子振興領導小組辦公室更名為國務院電子信息系統推廣應用辦公室,繼續支持各行各業應用電子信息技術。從1988年至1992年,國家發展計劃委員會、機械電子工業部、國家科學技術委員會和電子信息技術推廣應用辦公室,在傳統產業技術改造、EDI技術、CAD/CAM以及MIS等領域,做了大量工作,不斷推動電子信息技術應用向縱深發展。
(2)啟動階段(1993年3月至1997年4月)
1993年,成立國家經濟信息化聯席會議。我國信息化基本上正式起步于1993年,黨和國家領導人江澤民、李鵬、朱镕基、李嵐清等相繼提出了信息化建設的任務,啟動了“金卡”、“金橋”、“金關”等重大信息化工程,拉開了國民經濟信息化的序幕。同年12月,成立了以國務院副總理鄒家華為主席的國家經濟信息化聯席會議,確立了“推進信息化工程實施、以信息化帶動產業發展”的指導思想。1996年1月,國務院信息化工作領導小組成立。國務院信息化工作領導小組由國務院副總理鄒家華任組長,由20多個部委領 導組成的國務院信息化工作領導小組,統一領導和組織協調全國地信息化工作。1996年以后,中央和地方都確立了信息化在國民經濟和社會發展中的重要地位,信息化在各領域、各地區形成了強勁的發展潮流。
(3)展開階段(1997年4月至2000年10月)
經過1993—1997年的建設和發展,符合我國國情的信息化發展思路初步形成。國務院信息化工作領導小組確立了國家信息化的定義和國家信息化體系六要素,進一步充實和豐富了我國信息化建設的內涵;提出了信息化建設“統籌計劃,國家主導;統一標準,聯合建設;互聯互通,資源共享”的二十四字指導方針。
1997年4月18—21日,經國務院批準,國務院信息化工作領導小組在深圳召開了首次全國信息化工作會議,會議全面部署了國家信息化工作,通過了《國家信息化“九五”規劃和2010年遠景目標》,成為我國信息化建設的里程碑。此后,全國地信息化工作從解決應急性的熱點問題,步入了為經濟發展和社會全面進步服務,有組織、有計劃的發展軌道。
1998年3月,組建信息產業部。隨著國務院機構的新一輪改革,將原國務院信息化工作領導小組辦公室整建制并入新組建的信息產業部,負責推進國民經濟和社會服務信息化的工作。在信息產業部內部機構設置上,設立了信息化推進司(國家信息化辦公室)。
1999年12月,恢復國務院信息化工作領導小組。根據國務院關于恢復國務院信息化工作領導小組的批示,為了加強國家信息化工作的領導,決定成立由國務院副總理吳邦國任組長的國家信息化工作領導小組,并將國家信息化辦公室改名為國家信息化推進工作辦公室。
(4)發展階段(2000年10月至今)
2001年8月,國家信息化工作辦公室成立。黨中央、國務院在原有基礎上成立了由朱镕基任組長,胡錦濤、李嵐清、丁關根、吳邦國、曾培炎為成員的國家信息化領導小組,這樣高規格的領導機構,充分反映出黨中央、國務院加強中國信息化建設的決心和力度。同時它的辦事機構——國務院信息化工作辦公室也正式成立,由國家發展計劃委員會主任、國家信息化領導小組副組長曾培炎兼任國務院信息化工作辦公室主任。
2.2 我國電子政務發展計劃
國務院信息化辦公室組織了上百位專家對國家電子政務進行研究,形成一套電子政務發展戰略框架,電子政務已經被列為中國信息化建設的重點任務。
一是建立兩個統一的電子政務平臺,即連接副省級以上部門辦公業務的“政務內網”和面向公眾、企業以及連接政府間業務的“政務外網”;其中,外網將與互聯網相連接。
二是建設和推進十二項重點工程,包括為各級領導決策服務的“辦公業務資源系統” 和“宏觀政策管理系統”,目標將所有稅務機關和稅種擴展成為全方位的稅收電子化系統的“金稅工程”,將完整的通關業務電子化的“金關工程”,為國家預算編制和預算執行提供網絡化、數字化服務的“金財工程”,對銀行、信托、證券、保險進行有效監管“金融監管工程”、實現審計工作數字化的“金審工程”。另外,還有包括保障社會穩定、安全的“金盾工程”和“社會保障工程”、防偽打假的“金質工程”、應對水旱災情的“金水工程”和為農業現代化服務的“金農工程”。
三是信息資源建設,包括兩個信息體系和人口庫、法人庫、信息資源和空間地域庫、宏觀經濟庫等四個數據庫,為政府部門提供最基礎的數據資源。
2.3 我國電子政務的保障措施
1、標準先行
為貫徹落實國家信息化領導小組推進國家信息化工作的五項方針和統一標準的具體要求,進一步推動我國電子政務順利發展,國家標準化管理委員會和國務院信息化工作辦公室批準成立了“國家電子政務標準化總體組”。
我國電子政務標準化工作的開展是在國家標準化管理委員會和國務院信息化辦公室的統一領導下,由國家電子政務標準化總體組組織實施。
總體組的主要工作是積極研究跟進國內外與電子政務有關的標準的發展動態,及時調整工作思路及方向,與國內各政府部門、技術專家及開發商一起研究制定中國電子政務標準,推動我國電子政務健康、有序的建設。
總體組花費近半年的時間完成了《電子政務標準化指南》(第一版)。《電子政務標準化指南》(第一版)在電子政務標準化工作的指導思想、工作原則的基礎上,確定了電子政務標準化的總體目標和工作任務并對電子政務標準體系和電子政務標準化管理機制等多方面的內容進行了闡述。
《電子政務標準化指南》共分為以下六個部分: 第一部分:總則。第二部分:工程管理。第三部分:網絡建設。第四部分:信息共享。第五部分:支撐技術。第六部分:信息安全。
《電子政務標準化指南第一部分:總則》(第一版)已于2002年正式發布。
2、實施監理制度
信息產業部為了規范信息系統工程建設市場,保證國家電子政務工程的質量,2002年 11月28日發布了《信息系統工程監理暫行規定》,明確指出下列信息工程應當實施監理:
● 國家級、省部級、地市級的大中型信息系統工程項目;
● 國家政策性銀行或者國有商業銀行規定使用貸款需要實施監理的項目; ● 涉及國家安全、生產安全的信息系統工程項目;
● 國家法律、行政法規及行政規章規定應當實施監理的其他信息系統工程項目。監理的主要內容是對信息系統工程項目的質量、進度和投資進行監督,對項目合同和文檔資料進行管理,協調有關單位間的工作關系。監理制度的引入從組織結構上和管理上,保證了電子政務工程的質量。
2.4 電子政務的優勢
(1)辦公透明,利于監督
政府上網以后,可以在網上向所有公眾公開政府本門的名稱、職能、機構組織、辦事章程及各項公開文件等,可以讓公眾迅速了解政府機構的組成、只能和辦事章程、各項證詞法規,增加辦事的透明度,并自覺接受公眾的監督。除政府行政部門之外,人大、政協上網可以讓公眾了解到人大立法和提出議案的過程,促進人格各項立法更完善合理,通過網絡使個向法律更加迅速的傳遞到民眾手上。事實上,在歐洲,已經有虛擬議會,人們足不出戶就可以積極參與國家事物核對法律的考核,促進社會民主的進步與發展,市政府管理更加直接、有效。
(2)提高工作效率
“電子政府”建設完成并全達到普及后,公眾可以通過網絡與政府機關打交道。配合數字簽名和網絡身份認證的的建立,公眾可以直接通過網絡向政府機關申請服務,政府可以通過網絡提供服務,例如,工商管理、繳納稅金、海關報關驗關等,可以大大提高政府的工作效率。
(3)增加跨時間、快地域服務
“電子政府”可以為群眾提供全天候的服務,網絡上的政府是“數字化”的政府,政府可以無所不在,群眾可以在任何地點,只要是因特網可以觸及的地方,都可以與政府服務網建立連接,隨時隨地獲得服務。
(4)文檔管理負擔大幅度減輕
政府各部門每年要向群眾和企事業單位發送各種待填寫的單據,數量相當龐大。設立了“電子政府”后,用戶可以在政府的網頁上找到相應的填寫表單、申報的應用程序,通過這一服務可以實現整個表單處理過程的自動化。
(5)資料上網,社會共享
政府部門的許多資料檔案對公眾是很有用處的,要充分挖掘其內在的潛力,為社會服 務。例如,如果把個城市所有注冊公司單位的情況在網上公布,供公眾查詢,這樣公司在進行商業交往的時候,通過Internet查詢,就可以方便迅速的了解到對方的資信情況。可以有效的避免商業詐騙活動,保護商業者的利益。教育部門可以把全國各大專院校的情況上網,工考上在報考時查詢選擇等等,這些都是政府對公眾服務的一個重要內容。政府部門的日常活動也可以上網,公開政府部門的各項活動,可以使政府部門受到的公眾監督,這對于發揚民主,搞好政府部門的廉政建設有很大意義。
(6)加強政府與群眾間的雙向溝通
利用網絡可以建立起更加有效的、快捷的政府與公眾之間的相互交流的渠道,為公眾與政府部門實時、雙向地溝通提供方便。為了更好的利用網絡與民眾進行溝通交流,并對民眾建設和意見作出及時有效的處理,政府部門應設有一個電子信息處理中心,處理群眾意見,并及時轉發到相關部門,督促和監督問題的解決,這比過去的上訪、市長信箱、市長熱線等等更加方便、有效、及時。總之,加強政府與公眾之間的雙向溝通對于政府更及時、更有效地接納公眾意見,更有效地為人民服務,樹立政府形象十分重要。
第三章 電子政務信息安全與等級保護
3.1 電子政務信息安全內涵
電子政務作為國家信息化戰略重要組成部分,具有先導和示范作用,其信息安全保障事關經濟發展、國家安全、社會穩定、公眾利益和社會主義精神文明建設。實行電子政務信息安全等級保護是我國信息安全保護的基本制度和重點任務之一,本章制著重討論等級保護制度如何保護電子政務的信息安全。
電子政務市政府管理方式的革命,它是運用信息以及通信技術打破行政機關的組織界限,構建一個電子化的虛擬機關,使公眾擺脫傳統的層層關卡以及書面審核的作業方式,并依據人們的需求、人們可以獲取的方式、人們要求的時間及地點,高效快捷的向人們提供了各種不同的服務選擇。政府機關之間以及政府與社會各界之間也經由各種電子化渠道進行相互溝通,電子政務的建立將使政府成為一個更符合環保精神的政府,一個更開放透明的政府,一個更有效率的政府,一個更廉潔勤政的政府。然而,電子政務的只能與優勢得以實現的一個根本前提是信息安全的有效保障。因為電子政務信息網絡上有相當多的政府公文在流轉,其中不乏重要信息,內部網絡上有著大量高度機密的數據和信息,直接涉及政府的核心政務,它關系到政府部門、各大系統乃至整個國家的利益,有的甚至涉及國家安全。如果電子政務信息安全得不到保障,電子政務的便利與效率便無從保證,對國家利益將帶來嚴重威脅。電子政務信息安全是制約電子政務建設與發展的首要問題和核心問題。
電子政務的信息安全可以理解為:
1、從新的層次看,包括信息的完整性(保證新的來源,去向、內容真實無誤)、保密性(保證信息不會被非法泄露擴散)、不可否認性(保證信息的發送和接受著無法否認自己所做過的操作行為)等。
2、從網絡層次看,包括可靠性(保證網絡和信息系統隨時可用,運行過程中不出現故障,與意外事故能夠盡量減少損失并盡早 恢復正常)、可控性(保證營運者對網絡和信息系統有足夠的控制額管理能力)、互操作性(保證協議和系統那個能互相連接)、可計算性(保證準確跟蹤實體運行達到審計知識的目的)等。
3、從設備層次看,包括質量保證、設備備份、物理安全等。
4、從管理層次看,包括人員可靠、規章制度完整等。
3.2 等級保護在電子政務中的應用
1、電子政務等級保護的基本原則(1)重點保護原則
電子政務等級保護應突出重點,重點保護關系國家安全、經濟命脈、社會穩定等方面的重要電子政務系統,集中資源首先確保重點系統那個安全。
(2)自主保護原則
電子政務等級保護藥貫徹“誰主管誰負責,誰運營誰負責”的原則,由個主管部門能和運營單位依照國家相關法規和標準,自主確定電子政務系統的安全等級并組織實施安全防護。
(3)分區域保護原則
電子政務等級保護要根據各地區、各行業電子政務系統的重要程度、業務特點政務系統的重要程度、業務特點和不同發展水平,分類、分級、分階段進行實施,銅鼓劃分不同安全保護等級的區域,實現不同強度的安全保護。
(4)同步建設、動態調整原則
電子政務系統在新建、改建、擴建時應當同步建設信息安全設施,保障信息安全與信息化建設相適應。因信息和信息系統的應用類型、范圍等條件的變化及其他原因,安全保護等級需要變更的,應當重新確定系統的安全保護等級。
3.3 電子政務安全管理和技術層面
政府部門通過全面推行信息安全等級保護制度,逐步將信息安全等級保護制度,逐步將信息安全等級保護制度落實到信息系統安全規劃、建設、測評、運行維護和使用等各個環節,根據電子政務信息系統的實際情況,應從技術體系和管理體系兩方面來找開說明,結合等級保護的制度來構建電子政務系統的信息安全體系。根據等級保護的思想并結合安全域的原則,根據電子政務系統的實際情況,電子政務系統安全體系建設流程如下圖所示:
1、安全管理體系
安全管理貫穿整個電子政務安全防護體系,對電子政務安全實施起指導作用。安全管理體系包括:法律政策、規章制度和標準規范。安全管理體系的建立應符合組織使命,符合組織利益。電子政務的工作內容和工作流程涉及到國家秘密與核心政務它的安全關系到國家的主權、國家的安全和公眾利益,所以電子政務的安全實施和保障,必須以國家法規形式將其固化,形成全國共同遵守的規約。目前,世界上很多國家制訂了與網絡安全相關的法律法規,如英國的《官方信息保護法》等。我國雖然頒發了一些與網絡安全有關的法律法規,如《計算機信息系統安全保護條例》、《計算機信息系統保密管理暫行規定》等等,但顯得很零散,在完善法律法規的同時,還應該加大執法力度,嚴格執法,這一目標的實現不僅需要政府的努力,更要國家立法機構的參與和支持。
信息安全標準有利于安全產品規范化,有利于保證產品安全可信性、實現產品的互聯和互操作性、更新和可擴展性,支持系統安全的測評預評估,保障電子政務系統的安全可靠。電子政務網絡安全標準規范包括電子文檔秘密劃分和標記格式、內容健康性等級劃分與標記、內容敏感性等級劃分與標記、密碼算法標準、密碼模塊標準、密鑰管理標準、PKI/CA標準、PMI標準、信息系統安全評估和網絡安全產品測評標準等方面的內容。
電子政務信息系統存在著來自社會環境、技術環境和物理自然環境的安全風險,其安全為威脅無時無處不再。對于電子政務信息系統的安全問題,不能企圖單憑利用一些集成了信息安全技術的安全產品來解決,而必須建立電子政務信息系統安全管理體系,全方位地,綜合解決系統安全問題。
2、安全技術體系
安全技術體系包括網絡安全體系和數據安全傳輸與存儲體系,功能主要是通過各種技術手段實現技術層次的安全保護。
網絡安全體系包括網閘、日勤檢測、漏洞檢測、外聯和接入檢測、補丁管理、防火墻、身份鑒別和認證、系統訪問控制、網絡審計等;數據安全與傳輸與存儲體系包括數據備份恢復、PKI/CA、PMI等,拓撲圖如下圖所示。
根據電子政務系統的情況,我們應以等級保護為基本的指導原則,并結合安全域的理念來進行,首先我們應對電子政務的信息系統進行系統等級的劃分,在我們得到了相應的系統等級之后,再根據各應用系統的等級情況來涉及安全規劃和建設方案,真正的將等級保護制度落實到實處,如下圖所示。
根據上述的相應流程,最后我們的到得電子政務系統可操作的解決方案。
電子政務系統應根據自己的安全等級來制定相應的安全措施和安全規則,具體過程如下圖。
第四章 基于互聯網的電子政務等級保護的建設
電子政務外網是政府部門之間由于協同辦公的需要而建立的專用網絡。它同政府內網物理隔離,同Internet網邏輯隔離,它同其他網絡邏輯隔離。電子政務外網系統是由相關的和配套的設備、設施按照電子政務平臺信息系統的一個應用目標和規則組合而成的有形實體。它是各級政府對外溝通的門戶系統,為用戶提供查閱信息,辦理相關業務(公民、企業可以通過政府外網辦理各種手需、證書、執照等,享受到政府所提供的各種服務)、溝通交流的網絡平臺。它的內部人物是OA、郵件、簡報、公文交換、會議管理,還包含通過互聯網的辦公數據交互等。各級政府的信息委的信息委是各級政府外網系統的唯一安全責任單位、安全建設、運行維護、物理環境安全等,系統承擔全部安全保護責任。
4.1 信息安全等級保護實施過程
各級政府的電子政務外網具有較高的相似性,機構、規模、功能已經承載業務等都有很多相似性。根據這寫相似性,上海三零為是信息安全有限公司從所有參與建設的電子政務外網項目中進行抽象、總結,基于《信息安全等級保護管理辦法》、《信息系統安全等級保護基本要求》、《信息安全技術 信息系統安全等級保護定級指南》和《信息系統安全等級保護實施指南》設計了完整的電子政務外網整體安全解決方案。
該解決方案按照實施過程分為三個階段五個模塊。如下圖所示:
在系統出示化階段中,按照《信息系統安全等級保護定級指南》制定如下流程:
信息定級模塊的最終交付成果為《某政務外網信息系統等級保護定級報告》,共分3個章節,兩份附件表進行編寫:第一章,信息系統描述:第二章,信息系統安全保護等級 確定;第三章,安全保護等級的確定;附件表一,政務外網系統業務信息安全等級確定工作表;附件表二,政務外網系統服務安全等級確定工作表。
在信息系統描述中,需要確認政務外網系統具有唯一確定的安全責任單位,詳細說明該單位的名稱與職責;需要明確政務外網系統具備的信息系統基本要素,詳細描述系統拓撲圖和系統硬件設備配置;需要描述政務外網系統承載的單一或相對獨立的業務應用,相信分析應用專業數據應用流程。
在信息系統安全保護等級確定中需要完成對業務信息安全保護等級的確定和系統服務安全保護等級的確定。包括:業務信息/系統服務描述、業務信息/系統服務受到破壞時所侵害客體的侵害程度的確定。
根據等級保護的標準《信息安全技術 信息系統安全等級保護定級指南》的要求,政務外網系統的安全保護等級由業務信息安全等級和系統服務安全等級較高者決定,并最終決定該政務外網系統的安全保護等級。
在系統建設試用階段包括:基于等級保護的安全保護題寫的整體設計、建設、運行、維護分階段,是整個體系的主體部分。下面的方案以最常見的定級為二級的系統進行詳細敘述。基于等級保護的安全防護體系方案一般可分為9個章節,其中包括:前沿、方案概況、安全需求分析、總體安全設計、安全建設項目規劃、安全方案詳細設計、系統產品性能要求及選型、項目實施與工程管理、安全運行維護與服務。
第一章,前言。在本章中主要介紹用戶電子政務外網的業務情況,其中包括系統的背景敘述。
第二章,方案概述。在本章中主要闡述方案的背景、設計目標、設計原則和設計思想、說明對等級保護的需求,安全保護體系的主要建設內容等。
第三章,安全需求分析。本章包括技術層次面安全需求分析和管理層面安全需求分析。根據等級保護的基本要求,技術層面安全需求分析。根據等級保護基本要求,技術層面安全需求分析按照五個方面:物理安全、網絡安全、主機安全、應用安全、數據安全和數據恢復。管理層面的安全需求分析按照安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理方面進行分析。
第四章,總體安全設計。對一個組織的任務、業務運作異常關鍵的信息都是由信息基礎設施負責處理、存儲和傳輸。信息基礎設施對這些信息的保護需要通過“信息保障”完成。信息保障提出了目前信息基礎設施的整套安全要求。信息保障依賴人、操作和技術來實現組織任務、業務運作。穩定的信息保證體系意味著信息保證的政策、步驟、技術與機制在整個組織的信息基礎設施的所有層面上均得以實施。在制定安全策略中,依據的IATF信息保障技術框架定義了對該電子政務外網系統進行信息保障的過程,以及該系統中硬件和軟件部件的安全要求。遵循這些原則就可以對信息基礎設施進行名為“深度防御戰略” 的多層防護。信息安全可用性策略是用戶電子政務外網信息系統安全保護體系的核心。根據實際情況提出恰當得安全策略。一個全面的安全策略將有助于方案的設計,實施和執行。在本章節中首先完成等級化安全模型、總體安全策略,進而完成核心的安全技術策略設計、安全管理策略設計。
第五章,安全建設項目規劃。在本章主要完成整個用戶電子政務外網安全保護體系建設項目的整體進度計劃以及各自項目的時間安排。
第六章,安全方案詳細設計。本章為安全技術措施設計和安全管理措施設計兩部分,并最終形成安全保護體系實施的預期效果(蜘蛛圖)。在安全技術措施設計中包括:物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復。
第七章,系統產品性能要求及選型。在本章中對用戶電子政務外網安全保護體系中選用的產品按照實際需要完成對性能指標的定量要求以及選型定型。
第八章,項目實施與工程管理。采取工程化的項目管理方法進行嚴格、科學和有效的項目控制和管理。從組織管理和技術管理兩個方面對項目實施嚴格規范和有效管理。在項目實施中按照SSE-CMM的要求,即系統按安全工程能力成熟模型,精心工程實施。不斷提高工程的質量與可用性,降低工程的實施成本。SSE-CMM給出了信息系統工程建設需要考慮的關鍵過程保障域,可能知道工程從單一的安全設備設置轉向系統的剞劂整個工程的分先評估、安全策略形成、安全方案提出、實施和生命期控制等問題。根據SSE-CMM,將整個項目所做的工作分為項目啟動準備、項目實施改進、項目完成跟蹤,時需審核和改進以確保建設的項目能符合設計的方案。
第九章,安全運行維護與服務。主張為用戶電子政務外網系統提供生名周期的服務。電子政務外網信息系統的整體性進行考慮,以營運的業務流程為眼點,運用信息系統安全工程技術理論、工具和方法,通過專業,客觀的風險分析,在保證電子政務外網信息系統應用效率和投資收益比例恰當的前提下,降低客戶的信息系統運行風險,確保客戶信息系統發揮其價值。嚴格遵循國家網絡安全主管部門有關規定以及國際安全服務標準,以ITSM 為目標、ITIL為指導,由專業從事網絡服務和安全服務的專家小組提供服務,同時對安全管理員進行安全培訓。在系統種植階段遵照以下流程:
“信息轉移、暫存和清除過程”是在信息系統中止處理過程中,對于可能會在另外的信息系統中使用的信息采取適當的方法將其安全的轉移或暫存到可以恢復的介質中,確保將來可繼續使用,同時采用安全的方法清除要終止的信息系統的信息。“設備遷移或廢棄過程”是確保信息系統中之后,遷移或廢棄的設備內不包括敏感信息,對設備的處理方式應符合國家相關部門的要求。“存儲介質的清除或銷毀過程”是通過采用合理的方式計算機介質(包括磁帶、磁盤、打印結果和文檔)進行信息清除或銷毀處理,防止介質內的敏感信息泄露。通過講不同的電子政務外網系統進行的個性處理,導入上述三個基本等級保護的安全保護體系建設過程,將可以得到完整的安全基于等級保護的安全體系建設方案,并指導基于等級保護的安全的電子政務外網系統。
4.2 電子政務等級保護實施措施
1、周密部署,精心組織
為有效貫徹落實國家信息安全等級保護制度,在總基礎調查和試點工作基礎上,根據《關于開展全國重要信息系統安全等級保護定級工作的通知》等相關規定,2007年11月13日,電子政務外網工程辦召開等級工作啟動會,正式啟動國家電子政務外網安全等級的定級保護工作。
為確保信息系統等級保護工作順利進行,外網工程辦領導高度重視,專門成立了有個主要業務部門負責人為成員的等級保護工作小組,全面負責工作的規劃、協調和指導,確定了外網工程版安全組為等級保護工作的牽頭部門,各部門分工協作。同時,為確保系統劃分和定級工作的準確性,2007年11月22日外網工程辦專門邀請專家,對定級工作進行專項指導。
2、積極做好定級各項工作
信息安全等級保護工作政策性強、技術要求高,時間有非常緊迫,為此,政務外網工程辦從3個方面抓好等級保護前期準備工作:一是積極參加公安部組織的等級保護培訓,領會與理解開展信息等級保護目的、意義與技術要求,系統的掌握信息安全等級保護的基礎知識、實施過程、頂級方法步驟和備案流程。二是多次組織人員開展內部討論和交流,使人員較全面的了解等級保護的意義、基礎知識核定級方法。三是開展工程辦各組的業務應用摸底調查,摸清系統的系統機構、業務類型和應用范圍,并匯總整理政務外網各組成域的相關概況。
3、科學準確定級
在開展政務外網定級工作的過程中突出重點,全面分析政務外網網絡基礎平臺的特 點,力求準確劃定定級范圍和定級對象。在此基礎上,依據《信息安全等級保護管理辦法》,確定政務外網各組成組子系統(網絡域)的安全保護等級。
劃定定級對象。根據《信息系統安全等級保護定級指南》,外網工程辦多次組織技術和業務骨干召開專題會議討論信息系統劃分問題,提出了較為科學合理的信息系統劃分方案。
組織專家自評把關。根據等級保護評審的標準與要求,專家們對信息系統劃分和定級報告進行內部評審,并給出了內部評審意見。根據專家意見重新修訂并整理了等級保護定級報告及其相關材料。
此外,在頂級過程中,外網工程辦積極與公安部門等級保護主管部門進行溝通,并竟由相關專家確定定級對象與等級保護方案后,整理好了所有定級材料,準備下一步的正式評審。
4、定級對象和結果
根據政務外網作為基礎網絡平臺的特性,以及其接入系統的不同業務類型,政務外網按管理邊界劃分為中央政務外網、地方政務外網兩類管理域。中央政務外網按業務邊界劃分功能區,即公用網絡平臺區、專用VPN網絡區以及互聯網接入區,在各功能區內又根據業務類型和系統服務的不同,確定了多個業務系統,主要有安全管理系統、應用平臺系統、網絡管理系統、郵件系統、VPN業務、互聯網數據中心等六個系統作為本次等級保護定級工作的定級對象,分別予以定級(確定等級結果如下表所示)。
表 國家電子政務外網業務信息系統定級對象和結果
第五章 基于等級保護的電子政務安全度量
本章針對安全管理的量化問題,建立了信息安全管理度量的層次結構模型,確定了信息安全管理度量要素及度量指標,設計了相應的度量方法及輔助調查工具——度量核查表。
5.1 信息安全度量現狀
信息安全“三分技術,七分管理”的思想目前已經被廣泛接受,然而,在實際的安全實踐中,安全管理依然被人們忽視。導致這種局面的一個重要原因是安全管理的有效型難以度量。相對于安全技術,安全管理涉及到更多的領域,包含眾多的非量化的難以測量的因素,如規章制度度的制定和培訓、管理措施的落實、財政預算的支持等。因此,信息安全管理有效的度量繁雜乃至瑣碎,難度很大。具體實施過程中,對安全管理的度量主要依靠操作人員進行,度量的準確性往往依賴于操作人員的實踐經驗、對相關標準的理解程度等。這些主觀因素往往導致度量結果不夠準確,不能真實反映安全管理上的弱點,也就不能有針對性的進行改進,從而降低了度量結果的可信度,進而影響甚至誤導信息安全的改進過程。
管理學上有如下原則:不能被測量的行為是不能被管理的。如何對安全管理進行有效的量化度量,根據量化的度量結果進一步指導安全管理,提高信息安全能力和水平,目前已經成為信息安全領域的一個研究熱點。
2003年7月,NIST發布了SP800-55《信息技術系統安全度量指南》。該標準對安全管理度量定義如下:一種工具,被設計用來通過收集、分析和報告與性能相關的數據,以輔助決策、改善性能和可審計性。《信息技術系統安全度量指南》中結合NIST SP800-26《信息技術系統安全自我評估導則》中的安全控制目標和技術方法,對角色責任、度量定義、度量類型、度量開發和實施方法、度量項目的實施過程都做了描述,同時以附件形式給出了17種度量的模板。
SC27N4474:WD 27004(ISO/IEC27004草案)《信息安全管理度量機制和測量措施》中規定了測量項以及組織可能用于促進對ISMS管理的測量技術,該模型使用客觀信息來監督和評審ISMS以及孔子措施的性能。
我國信息安全管理標準的研究比較落后。不僅已經制定的少量標準大多沿用國際標準,而且很少直接參與到國際信息安全標準的制定當中,致使無法在國際標準的制定中體現我國國家利益,也只能加了參照國際標準制定相應國內標準是的困難。目前在信息安全 管理度量標準方面的主要工作向是積極跟蹤國際信息安全管理度量方法和技術標準化的動態,系統研究信息安全度量方法和測量技術,抓緊制定相應的國內安全管理度量標準,為我國信息安全管理體系建設提供基礎技術保障。
5.2 基于等級保護的安全管理度量方法的設計
安全管理度量的成功實施需要解決若干個關鍵問題。(1)度量要素、度量指標的選取(2)度量結果的量化
度量要素是評判信息安全管理是否有效的組成因素,所有度量要素的合理表現,就能構呈現出信息安全管理的效果。
度量指標是為考察各個度量要素而設計的核查項,單個的度量指標是安全管理的最小度量單位。通過對某度量要素所包含的若干指標的核查結果,能夠對該度量要素進行評估。
度量要素、度量指標的選取時前提條件,它為安全管理度量的實施準備工具。如果度量要素、度量指標集合不完備、不合理,將導致度量結果出現較大的偏差,進而影響信息安全管理目標的實現;而量化則是對安全管理度量的進一步加工處理,以便從中發現問題,總計規律。
1、國家計算機等級保護標準GB17859 根據《計算機信息系統安全保護等級劃分準則》(GB17859),我國的信息安全劃分為五個級別,即用戶自主保護級、系統審計保護級、安全標記保護級、結構化保護級、訪問驗證保護級。五個級別以第一級用戶自主保護級為基礎,每級對信息安全的保護方法一步增強,保護范圍進一步擴大。
GB17859給出了對計算機信息系統實施五級保護的原則,并對各個級別的具體實施要求進行了目標上的闡述,但其本身并沒有提供如何評估某級別安全保護目標是否現得定量化指標。所以根據GB17859的實施要求有針對性的提出一個安全管理度量方法十分必要。
2、度量要素的選取
ISO/IEC17799確立的信息安全管理體系目前在國際上已經成為通行的信息安全管理體系,它包含了安全方針的擬定、安全責任的歸屬、風險的評估與確定、強化安全參數及存取的控制,提供了10大管理方面,36個管理目標,127重安全控制供用戶選擇和使用。標準自公布以來,被多個國家政府機構及其他單位組織采用,受到良好的效果。
為保證度量的全面性與合理性,以ISO/IEC17799中的安全控制措施作為安全管理的度量要素,以保證能夠完成整覆蓋信息安全管理的各個環節。同時為每個度量要素設計了相應的度量指標(核查問題)集合,這樣就首先構造了一個安全管理度量要素的全集,以及一個度量指標的全集,其中,單個的度量指標是安全管理的最小度量單位。但在實際操 作中,由于各個信息系統對于安全的要求不同,需要對個度量要素全集和度量指標全集進一步裁剪以符合實際情況。以國家計算機等級保護標準G17859為依據,根據組織的信息系統所劃分的安全等級,從度量要素全集合度量指標全集中提取相應的度量要素子集、度量指標子集。安全管理度量的層次結構如下圖所示:
如上圖所示,度量要素包含若干個度量指標,即度量該要素的核查問題。度量指標是最小的測量單位,可以分別從規章制度、落實證據兩個方面進行設計。
(1)管理制度包括技術開發文檔、管理制度、操作規程以及其他與系統運行、維護、安全相關的所有文檔。
(2)落實證據包括會議紀要、各種登記表、值班日志、故障記錄、出入登記表等紙當文件,也包括對安全管理負責人、系統維護者、企業關公等的調查詢問結果。
對照ISO/IEC17799的章節結構設計安全管理度量核查表,如下表所示:
表 安全管理度量核查表
表中控制措施即為度量要素,核查問題即為度量標準。度量指標的安全類別劃分為與GB17859相對應的5級,如果待度量的信息系統的安全等級被劃分為二級,則表1中于每個度量要素對應的所有安全類別為二級以及以下的度量指標都應被提取出來,構成給度量要素的度量指標集合,進而構成此次度量的度量指標集合。
3、度量結果的量化與分析
顯然,定量化的數據及圖表在描述安全控制目標實現程度的變化趨勢,證明安全投資合理性方面比非量化的描述更具有優勢。因此,試圖從度量要素和度量指標的量化工作出發,最后給出定量化的安全管理度量結果。在度量要素集合中,各個度量要素對于信息系 統安全的影響是不同。為是度量結果更真的反應安全管理的各個環節,需要為各個度量要素賦予不同的權重。類似的,每個度量要素的各指標也應該賦予不同的權重。
在統計信息系統安全管理度量的得分時,首先根據各個度量指標的得分統計加權得出每個度量要素的得分,然后再由各個度量要素得分的統計加權得出該組織的安全管理度量最后得分。
如上表所示,度量要素的各個度量指標(核查問題)的設計應該標準化,如均為單選選擇題,并知道那個簡單明確、無歧義的評分規則,如選答案“是”應得滿分M,選答案“否”為0分,選答案“一部分”得5分等。度量指標誰的標準優化可保證度量結構不受度量實施人員主觀因素的干擾,維持客觀性。
安全管理度量應該定期進行。一段時間(如一年或一季度)內的幾次安全管理度量的量化結果能夠表現安全控制目標實現程度隨時時間的變化趨勢(如下圖所示),幫助管理者識別抵消的安全控制,引導安全投資,提高安全管理水平,實現組織的信息安全目標。
第六章 總結
本論文主要研究的是基于互聯網的電子政務等級保護,首先討論了電子政務的現狀和主要問題,敘述了基于互聯網的電子政務等級保護的建設和研究。主旨是通過對此項問題的研究,對基于互聯網的電子政務等級保護有更深刻的了解,并且加深印象,對此項問題的研究起到推動作用。
隨著社會的發展,政府的網絡化越來越重要,使人民的政府成為一個民主的政府,透明的政府,是越來越需要的。
總結近年來的電子政務的發展,總體來說是相當不錯的,國家對此也十分注重,多次制定法律法規規范電子政務的發展以及應用,為電子政務在我國普及、發展提供了必要的條件,同時,也是人們對電子政務的重要性有了新的認識。
在未來的時間里,電子政務無疑會成為社會的主流,無論是政府還是企業,都會把發展電子政務作為首要問題。電子政務無疑已經成為了一個成熟的企業、一個發達的國家的象征。
參考文獻
[1] 馬作者:燕曹,周湛.信息安全法規與標準[M].北京:機械工業出版社,2004. [2] 羅海寧 郭紅 吳亞飛
國家電子政務外網安全等級保護定級工作基本完成 [3] 劉學忠 劉增良 余達太
基于等級保護的安全管理度量方法研究 [4] 孟源 楊宏
基于等級保護的電子政務外網整體安全解決方案 [5] 吳海波 有效保障電子政務安全
第三篇:電信網和互聯網管理安全等級保護要求
電信網和互聯網管理安全等級保護要求 范圍
本標準規定了公眾電信網和互聯網的管理安全等級保護要求。
本標準適用于電信網和互聯網安全防護體系中的各種網絡和系統。2 規范性引用文件
下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勘誤的內容)或修訂版均不適用于本標準。然而,鼓勵根據本標準達成協議的各方研究是否可使用這些文件的最新版本.凡是不注日期的引用文件,其最新版本適用于本標準。3 術語和定義
下列術語和定義適用于本標準。3.1
電信網 Telecom Network
利用有線和,或無線的電磁、光電網絡,進行文字、聲音、數據、圖像或其他任何媒體的信息傳遞的網絡,包括固定通信網、移動通信網等。3.2
互聯網 Internet
泛指由多個計算機網絡相互連接而形成的網絡,它是在功能和邏輯上組成的大型計算機網絡。3.3
安全等級 Security Classification
安全重要程度的表征.重要程度可從網絡受到破壞后,對國家安全、社會秩序、經濟運行、公共利益、網絡和業務運營商造成的損害來衡量。4 管理安全等級保護要求 4.1 第1級要求
不作要求。4.2 第2級要求 4.2.1 安全管理制度 4.2.1.1 管理制度
a)應制定安全工作的總體方針和安全策略,說明機構安全工作的總體目標、范圍、原則和安全框架等;
b)應對安全管理活動中重要的管理內容建立安全管理制度; c)應對安全管理人員或操作人員執行的重要管理操作建立操作規程。4.2.1.2 制定和發布
a)應指定或授權專門的部門或人員負責安全管理制度的制定;
b)應組織相關人員對制定的安全管理制度進行論證和審定; c)應將安全管理制度以某種方式發布到相關人員手中。4.2.1.3 評審和修訂
應定期對安全管理制度進行評審,對存在不足或需要改進的安全管理制度進行修訂。4.2.2 安全管理機構 4.2.2.1 崗位設置
a)應設立安全主管、安全管理各個方面的負責人崗位,定義各負責人的職責; b)應設立系統管理人員、網絡管理人員、安全管理員崗位,定義各個工作崗位的職責。4.2.2.2 人員配備
應配備一定數量的系統管理人員、網絡管理人員、安全管理員等。4.2.2.3 授權和審批
a)應根據各個部門和崗位的職責明確授權審批部門及批準人,對系統投入運行、網絡系統接入和重要資源的訪問等關鍵活動進行審批;
b)應針對關鍵活動建立審批流程,并由批準人簽字確認。4.2.2.4 溝通和合作
a)應加強各類管理人員之間、組織內部機構之間以及網絡安全職熊部門內部的合作與溝通;
b)應加強與相關外部單位的合作與溝通。4.2.2.5 審核和檢查
應由安全管理人員定期進行安全檢查,檢查內容包括用戶賬號情況、系統漏洞情況、數據備份等情況。4.2.3 人員安全管理 4.2.3.1 人員錄用
a)應指定或授權專門的部門或人員負責人員錄用;
b)應規范人員錄用過程,對被錄用人員的身份、背景和專業資格等進行審查,對其所具有的技術技能進行考核;
c)應與從事關鍵崗位的人員簽署保密協議。4.2.3.2 人員離崗
a)應規范人員離崗過程,及時終止離崗員工的所有訪問權限;
b)對于離崗人員,應取回各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備; c)對于離崗人員,應辦理嚴格的調離手續。4.2.3.3 人員考核
應定期對各個崗位的人員進行安全技能及安全認知的考核。4.2.3.4 安全意識教育和培訓
a)應對各類人員進行安全意識教育、崗位技能培訓和相關安全技術培訓;
b)應告知人員相關的安全責任和懲戒措施,并對違反違背安全策略和規定的人員進行懲戒;
c)應制定安全教育和培訓計劃,對網絡安全基礎知識、崗位操作規程等進行培訓. 4.2.3.5 外部人員訪問管理
應確保在外部人員訪問受控區域前得到授權或審批,批準后由專人全程陪同或監督,并登記備案。
4.2.4 安全建設管理 4.2.4.1 定級
a)應明確網絡的邊界和安全保護等級
b)應以書面的形式說明網絡確定為某個安全等級的方法和理由; c)應確保網絡的定級結果經過相關部門的批準。4.2.4.2 安全方案設計
a)應根據網絡的安全保護等級選擇基本安全措施,依據風險分析的結果補充和調整安全措施; b)應以書面形式描述對網絡的安全保護要求、策略和措施等內容,形成網絡的安全方案;
c)應對安全方案進行細化,形成能指導安全系統建設、安全產品采購和使用的詳細設計方案;
d)應組織相關部門和有關安全技術專家對安全設計方案的合理性和正確性進行論證和審定,并且經過批準后,才能正式實施。4.2.4.3 產品采購和使用
a)應確保安全產品采購和使用符合固家的有關規定; b)應確保密碼產品采購和使用符合國家密碼主管部門的要求; c)應指定或授權專門的部門負責產品的采購。4.2.4.4 自行軟件開發
a)應確保開發環境與實際運行環境物理分開;
b)應制定軟件開發管理制度,明確說明開發過程的控制方法和人員行為準則; c)應確保提供軟件設計的相關文檔和使用指南,并由專人負責保管。4.2.4.5 外包軟件開發
a)應根據開發需求檢測軟件質量;
b)應要求開發單位提供軟件設計的相關文檔和使用指南; c)應在軟件安裝之前檢測軟件包中可能存在的惡意代碼。4.2.4.6工程實施
a)應指定或授權專門的部門或人員負責工程實施過程的管理; b)應制定詳細的工程實施方案,控制工程實施過程。4.2.4.7 測試驗收
a)應對系統進行安全性測試驗收:
b)在測試驗收前應根據設計方案或合同要求等制訂測試驗收方案,在測試驗收過程中應詳細記錄測試驗收結果,并形成測試驗收報告;
c)應組織相關部門和相關人員對網絡測試驗收報告進行審定,并簽字確認。4.2.4.8 交付
a)應制定網絡交付清單,并根據交付清單對所交接的設備、軟件和文檔等進行清點; b)應對負責網絡運行維護的技術人員進行相應的技能培訓;
c)應確保提供網絡建設過程中的文檔和指導用戶進行網絡運行維護的文檔。4.2.4.9 安全服務商的選擇
a)應確保安全服務商的選擇符合國家的有關規定;
b)應與選定的安全服務商簽訂與安全相關的協議,明確約定相關責任;
c)應確保選定的安全服務商提供技術支持和服務承諾,必要時與其簽訂服務合同。4.2.4.10 備案
應將網絡的定級、屬性等資料指定專門的人員或部門負責管理,并控制這些材料的使用。4.2.5 安全運維管理 4.2.5.1 環境管理
a)應指定專門的部門或人員定期對機房供配電、空調、溫濕度控制等設施進行維護管理;
b)應配備機房安全管理人員,對機房的出入、服務器的開機或關機等工作進行管理;
c)應建立機房安全管理制度,對有關機房物理訪問,物品帶進、帶出機房和機房環境安全等方面的管理作出規定;
d)應加強對辦公環境的保密性管理,包括工作人員調離辦公室應立即交還該辦公室鑰匙和不在辦公區接待來訪人員等。4.2.5.2 資產管理
a)應編制與網絡相關的資產清單,包括資產責任部門、重要程度和所處位置等內容; b)應建立資產安全管理制度-規定資產管理的責任人員或責任部門,并規范資產管理和使用的行為。4.2.5.3 介質管理
a)應確保介質存放在安全的環境中,對各類介質進行控制和保護,并實行存儲環境專人管理;
b)應對介質歸檔和查詢等過程進行記錄,并根據存檔介質的目錄清單定期盤點; c)應對需要送出維修或銷毀的介質,首先清除其中的敏感數據,防止信息的非法泄漏; d)應根據所承載數據和軟件的重要程度對介質進行分類和標識管理。4.2.5.4 設備管理
a)應對網絡相關的各種設備(包括備份和冗余設備)、線路等指定專門的部門或人員定期進行維護管理;
b)應建立基于申報、審批和專人負責的設備安全管理制度,對各種軟硬件設備的選型、采購、發放和領用等過程進行規范化管理;
c)應對終端計算機、工作站、便攜機、系統和網絡等設備的操作和使用進行規范化管理,按操作規程實現關鍵設備(包括備份和冗余設備)的啟動,停止、加電,斷電等操作; d)應確保信息處理設備必須經過審批才能帶離機房或辦公地點。4.2.5.5 網絡安全管理
a)應指定人員對網絡進行管理,負責運行日志、網絡監控記錄的日常維護和報警信息分析和處理工作;
b)應建立網絡安全管理制度,對網絡安全配置、日志保存時間、安全策略、升級與打補丁、口令更新周期等方面作出規定;
c)應根據廠家提供的軟件升級版本對網絡設備進行更新,并在更新前對現有的重要文件進行備份;
d)應定期對網絡系統進行漏洞掃描,對發現的網絡系統安全漏洞進行及時的修補; e)應對網絡設備的配置文件進行定期備份; f)應保證所有與外部系統的連接均得到授權和批準。4.2.5.6 系統安全管理
a)應根據業務需求和系統安全分析確定系統的訪問控制策略; b)應定期進行漏洞掃描,對發現的系統安全漏洞及時進行修補;
c)應安裝系統的最新補丁程序,在安裝系統補丁前,應首先在測試環境中測試通過,并對重要文件進行備份后,方可實施系統補丁程序的安裝;
d)應建立系統安全管理制度,對系統安全策略、安全配置、日志管理和日常操作流程等方面作出規定;
e)應依據操作手冊對系統進行維護,詳細記錄操作日志,包括重要的日常操作、運行維護記錄、參數的設置和修改等內容,嚴禁進行未經授權的操作; f)應定期對運行日志和審計數據進行分析,以便及時發現異常行為。4.2.5.7 惡意代碼防范管理 a)應提高所有用戶的防病毒意識,告知及時升級防病毒軟件,在讀取移動存儲設備上的數據以及從網絡上接收文件或郵件之前,先進行病毒檢查,對外來計算機或存儲設備接入網絡系統之前也,直進行病毒檢查;
b)應指定專人對網絡和主機進行惡意代碼檢測并保存檢測記錄;
c)應對防惡意代碼軟件的授權使用、惡意代碼庫升級、定期匯報等作出明確規定。4.2.5.8 密碼管理
應使用符合國家密碼管理規定的密碼技術和產品。4.2.5.9 變更管理
a)應確認網絡中要發生的重要變更,并制定相應的變更方案;
b)網絡發生重要變更前,應向主管領導申請,審批后方可實施變更,并在實施后向相關人員通告。
4.2.5.10 備份與恢復管理
a)應識別需要定期備份的重要業務信息、系統數據及軟件系統等;
b)應規定備份信息的備份方式(如增量備份或全備份等)、備份頻度(如每日或每周等)、存儲介質、保存期等;
c)應根據數據的重要性和數據對系統運行的影響,制定數據的備份策略和恢復策略,備份策略應指明各份數據的放置場所、文件命名規則、介質替換頻率和將數據離站運輸的方法。
4.2.5.11 安全事件處置
a)應報告所發現的安全弱點和可疑事件,但任何情況下用戶均不應嘗試驗證弱點; b)應制定安全事件報告和處置管理制度,明確安全事件類型,規定安全事件的現場處理、事件報告和后期恢復的管理職責;
c)應根據安全事件對本網絡產生的影響,對本網絡安全事件進行等級劃分; d)應記錄并保存所有報告的安全弱點和可疑事件,分析事件原因,監督事態發展,采取措施避免安全事件發生。4.2.5.12 應急預察管理
a)應在統一的應急預案框架下制定不同事件的應急預案,應急預案框架應包括啟動應急預案的條件、應急處理流程、系統恢復流程、事后教育和培訓等內容;
b)應對相關的人員進行應急預案培訓,應急預案的培訓應至少每年舉辦一次。4.3 第3.1級要求 4.3.1 安全管理制度 4.3.1.1 管理制度
除滿足4.2.1.1的要求之外,還應滿足:
a)應對安全管理活動中的各類管理內窖建立安全管理制度,以規范安全管理活動; b)應形成由安全策略、管理制度、操作規程等構成的全面的安全管理制度體系。4.3.1.2 制定和發布
除滿足4.2.1.2的要求之外,還應滿足:
a)安全管理制度應有統一的格式,并進行版本控制; b)安全管理制度應通過正式、有效的方式發布; c)安全管理制度應注明發布范圍,并對收發文進行登記. 4.3.1.3 評審和修訂
除滿足4.2.1.3的要求之外,還應滿足:
a)安全領導小組應負責定期組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定;
b)應定期或不定期對安全管理制度進行檢查和審定。4.3.2 安全管理機構 4.3.2.1 崗位設置
除滿足4.2.2.1的要求之外,還應滿足。a)應設立安全管理工作的職能部門;
b)應成立指導和管理安全工作的委員會或領導小組,其最高領導應由單位主管領導委任或授權;
c)應制定文件明確安全管理機構各個部門和崗位的職責、分工和技能要求. 4.3.2.2 人員配備
除滿足4.2.2.2的要求之外,還應滿足: a)應配備專職安全管理員,不可兼任; b)關鍵事務崗位應配備多人共同管理。4.3.2.3 授權和審批
除滿足4.2.2.3的要求之外,還應滿足:
a)應根據各個部門和崗位的職責明確授權審批事項;
b)應針對系統變更、重要操作、物理訪問和系統接入等事項建立審批程序,按照審批程序執行審批過程,對重要活動建立逐級審批制度;
c)應定期審查審批事項,及時更新需授權和審批的項目、審批部門和審批人等信息; d)應記錄審批過程并保存審批文檔。4.3.2.4 溝通相合作
除滿足4.2.2.4的要求之外,還應滿足。
a)各類管理人員之間、組織內部機構之間以及網絡安全職能部門內部定期或不定期召開協調會議,共同協作處理網絡安全問題;
b)應建立外聯單位聯系列表,包括外聯單位名稱、合作內容、聯系人和聯系方式等信息;
c)應聘請網絡安全專家作為常年的安全顧問,指導網絡安全建設,參與安全規劃和安全評審等。
4.3.2.5 審核和檢查
除滿足4.2.2.5的要求之外,還應滿足:
a)應由內部人員或上級單位定期進行全面安全檢查,檢查內容包括現有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執行情況等;
b)應制定安全檢查表格實施安全檢查,匯總安全檢查數據,形成安全檢查報告,并對安全檢查結果進行通報;
c)應制定安全審核和安全檢查制度規范安全審核和安全檢查工作,定期按照程序進行安全審核和安全檢查活動。4.3.3 人員安全管理 4.3.3.1 人員錄用
除滿足4.2.3.1的要求之外,還應滿足。
a)應嚴格規范人員錄用過程,對被錄用人的資質等進行審查; b)應簽署保密協議; c)應從內部人員中選拔從事關鍵崗位的人員,并簽署崗位安全協議。4.3.3.2 人員離崗
除滿足4.2.3.2的要求之外,還應滿足。
關鍵崗位人員離崗須承諾調離后的保密義務后方可離開。4.3.3.3 人員考核
除滿足4.2.3.3的要求之外,還應滿足:
a)應對關鍵崗位的人員進行全面、嚴格的安全審查和技能考核; b)應對考核結果進行記錄并保存。4.3.3.4 安全意識教育和培訓
除滿足4.2.3.4的要求之外,還應滿足: a)應對安全責任和懲戒措施進行書面規定;
b)應對定期安全教育和培訓進行書面規定,針對不同崗位制定不同的培訓計劃; c)應對安全教育和培訓的情況和結果進行記錄并歸檔保存。4.3.3.5 外部人員訪問管理
除滿足4.2.3.5的要求之外,還應滿足;
a)應確保在外部人員訪問受控區域前先提出書面申請;
b)對外部人員允許訪問的區域、網絡、設備、信息等內容應進行書面的規定,并按照規定執行。
4.3.4 安全建設管理 4.3.4.1 定級
除滿足4.2.4,1的要求之外,還應滿足:
a)應組織相關部門和有關安全技術專家對網絡定級結果的合理性和正確性進行論證和審定;
b)應將網絡的定級結果分級上報至全國或地區的主管部門,主管部門對定級結果審批。
4.3.4.2 安全方案設計
除滿足4.2.4.2的要求之外,還應滿足: a)應指定和授權專門的部門對網絡的安全建設進行總體規劃,制定近期和遠期的安全建設工作計劃;
b)應根據網絡的等級劃分情況,統一考慮安全保障體系的總體安全策略、安全技術框架、安全管理策略、總體建設規劃和詳細設計方案,并形成配套文件;
c)應組織相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理鑲略、總體建設規劃、詳細設計方案等相關配套文件的合理性和正確性進行論證和審定,并且經過批準后,才能正式實施;
d)應根據等級測評、安全評估的結果定期調整和慘訂總體安全策略、安全技術框架、安全管理策略、總體建設規劃、詳細設計方案等相關配套文件。4.3.4.3 產品采購和使用
除滿足4.2.4.3的要求之外,還應滿足:
應預先對產品進行選型測試,確定產品的候選范圍,并定期審定和更新候選產品名單。4.3.4.4 自行軟件開發
除滿足4.2.4.4的要求之外,還應滿足:
a)應確保開發人員和測試人員分離,測試數據和測試結果受到控制; b)應制定代碼編寫安全規范,要求開發人員參照規范編寫代碼; c)應確保對程序資源庫的修改、更新、發布進行授權和批準。4.3.4.5 外包軟件開發
與4.2.4.5的要求相同。4.3.4.6 工程實施
除滿足4.2.4.6的要求之外,還應滿足: a)要求工程實施單位能正確地執行安全工程過程;
b)應制定工程實施方面的管理制度,明確說明實施過程的控制方法和人員行為準則。4.3.4.7 測試驗收
除滿足4.2.4.7的要求之外,還應滿足:
a)應委托公正的第三方測試單位對網絡進行安全性測試,并出具安全性測試報告; b)應對系統測試驗收的控制方法和人員行為準則進行書面規定; c)應指定或授權專門韻部門負責系統測試驗收的管理,并按照管理規定的要求完成系統測試驗收工作。4.3.4.8 交付
除滿足4.2.4.8的要求之外,還應滿足;
a)應對網絡交付的控制方法和人員行為準則進行書面規定;
b)應指定或授權專門的部門負責網絡交付的管理工作,并按照管理規定的要求完成交付工作;
c)在網絡正式投入使用前,應根據實際情況進行試運行,試運行期間應提供相關應急預防措施;
d)在網絡正式投入使用后,應對開發、建設過程中涉及安全要求的配置、口令等內容重新修改、設定。
4.3.4.9 安全服務商的選擇
與4.2.4.9的要求相同。4.3.4.10 備案
除滿足4.2.4.10的要求之外,還應滿足:
應將網絡的安全等級、屬性、定級的理由等資料分級上報至全國或地區的主管部門備案。4.3.4.11 等級測評
a)在網絡運行過程中,應至少每年對網絡進行一次等級測評,發現不符合相應等級保護標準要求的及時整改;
b)應在網絡發生變更時及時對網絡進行等級測評,發現級別發生變化的及時調整級別并進行安全改造,發現不符合相應等級保護標準要求的及時整改;
c)應選擇具有國家相關技術資質和安全資質的測評單位進行等級測評; d)應指定或授權專門的部門或人員負責等級測評的管理。4.3.5 安全運維管理 4.3.5.1 環境管理
除滿足4.2.5.1的要求之外,還應滿足:
a)應有指定的部門負責機房安全,并配置電子門禁系統,對機房來訪人員實行登記記錄和電子記錄雙重備案管理。b)工作人員離開座位應確保終端計算機退出登錄狀態和桌面上沒有包含敏感信息的紙檔文件。
4.3.5.2 資產管理
除滿足4.2.5.2的要求之外,還應滿足:
a)應根據資產的重要程度對資產進行標識管理,根據資產的價值選擇相應的管理措施;
b)應對信息分類與標識方法作出規定,并對信息的使用、傳輸和存儲等進行規范化管理。
4.3.5.3 介質管理
除滿足4.2,5.3的要求之外,還應滿足:
a)應建立介質安全管理制度,對介質的存放環境、使用、維護和銷毀等方面作出規定: b)應對介質的物理傳輸過程中人員選擇、打包、交付等情況進行控制;
c)應對存儲介質的使用過程進行嚴格的管理,對帶出工作環境的存儲介質進行內容加密和監控管理,對保密性較高的存儲介質未經批準不得自行銷毀;
d)應根據數據備份的需要對某些介質實行異地存儲,存儲地的環境要求和管理方法應與本地相同;
c)應對重要介質中的數據和軟件采取加密存儲。4.3.5.4 設備管理
除滿足4.2.5.4的要求之外,還應滿足:
應建立配套設施、軟硬件維護方面的管理制度,對其維護進行有效的管理,包括明確維護人員的責任、涉外維修和服務的審批、維修過程的監督控制等。4.3.5.5 監控管理
a)應對通信線路、主機、網絡設備和應用軟件的運行狀況、網絡流量、用戶行為等進行監測和報警,形成記錄并妥善保存;
b)應組織相關人員定期對監測和報警記錄進行分析、評審,發現可疑行為,形成分析報告,并采取必要的應對措施;
c)應建立安全管理中心,對設備狀態、惡意代碼、補丁升級、安全審計等安全相關事項進行集中管理。4.3.5.6 網絡安全管理 除滿足4.2.5.5的要求之外,還應滿足:
a)應實現設備的最小服務配置,并對配置文件進行定期離線備份; b)應依據安全策略允許或者拒絕便攜式和移動式設備的網絡接入: c)應定期檢查違反規定撥號上闞或其他違反網絡安全策略的行為。4.3.5.7 系統安全管理
除滿足4.2.5.6的要求之外,還應滿足:
應指定專人對系統進行管理,劃分系統管理員角色,明確各個角色的權限、責任和風險,權限設定應當遵循最小授權原則。4.3.5.8 惡意代碼防范管理
除滿足4.2.5.7的要求之外,還應滿足:
應定期檢查網絡內各種產品的惡意代碼庫的升級情況并進行記錄,對主機防病毒產品、防病毒網關和郵件防病毒網關上截獲的危險病毒或惡意代碼進行及時分析處理,并形成書面的報表和總結匯報。4.3.5.9 密碼管理
除滿足4.2.5.8的要求之外,還應滿足:
應建立密碼使用管理制度。4.3.5.10 變更管理
除滿足4.2.5.9的要求之外,還應滿足:
a)應建立變更管理制度,變更和變更方案需有評審過程;
b)應建立變更控制的申報和審批文件化程序,對變更影響進行分析并文檔化,記錄變更實施過程,并妥善保存所有文檔和記錄;
c)應建立中止變更并從失敗變更中恢復的文件化程序,明確過程控制方法和人員職責,必要時對恢復過程進行演練。4.3.5.11 備份與恢復管理
除滿足4.2.5.10的要求之外,還應滿足: a)應建立備份與恢復管理相關的安全管理制度;
b)應建立控制數據備份和恢復過程的程序,對備份過程進行記錄,所有文件和記錄應妥善保存; c)應定期執行恢復程序,檢查和測試備份介質的有效性,確保可以在恢復程序規定的時間內完成備份的恢復。4.3.5.12 安全事件處置
除滿足4.2.5.11的要求之外,還應滿足:
a)應制定安全事件報告和響應處理程序,確定事件的報告流程,響應和處置的范圍、程度,以及處理方法等;
b)應在安全事件報告和響應處理過程中,分析和鑒定事件產生的原因,收集證據,記錄處理過程,總結經驗教訓,制定防止再次發生的補救措施,過程形成的所有文件和記錄均應妥善保存;
c)對造成系統中斷和造成信息泄密的安全事件應采用不同的處理程序和報告程序。4.3.5.13 應急預案管理
除滿足4.2.5.12的要求之外,還應滿足:
a)應從人力、設備、技術和財務等方面確保應急預案的執行有足夠的資源保障; b)應定期對應急預案進行演練,根據不同的應急恢復內容,確定演練的周期; c)應規定應急預案需要定期審查和根據實際情況更新的內容,并按照執行。4.4 第3.2級要求
與第3.1級要求相同。
4.5 第4圾要求
同第3.2級要求。4.6 第5級要求
待補充。
第四篇:安全等級保護管理辦法
安全等級保護管理辦法
為規范信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化建設,根據《中華人民共和國計算機信息系統安全保護條例》等有關法律法規制定以下辦法:
第1條 網絡安全策略管理由安全保密管理員專職負責,未經允許任何人不得進行此項操作。
第2條 根據網絡信息系統的安全設計要求及主機審計系統數據的分析結果,制定、配置、修改、刪除主機審計系統的各項管理策略,并做記錄。
第3條 根據網絡信息系統的安全設計要求制定、配置、修改、刪除網絡安全評估分析系統的各項管理策略,并做記錄。
第4條 根據網絡信息系統的安全設計要求制定、配置、修改、刪除入侵檢測系統的各項管理策略,并做記錄。
第5條 根據網絡信息系統的安全設計要求制定、配置、修改、刪除、內網主機安全監控與審計系統的各項管理策略,并做記錄。
第6條 每周對網絡信息系統安全管理策略進行數據備份,并作詳細記錄。第7條 網絡信息安全技術防護系統(主機審計系統、漏洞掃描系統、防病毒系統、內網主機安全監控與審計系統)由網絡安全保密管理員統一負責安裝和卸載。
第8條 網絡信息系統安全檢查由安全保密管理員專職負責執行,未經允許任何人不得進行此項操作。
第9條 每天根據入侵檢測系統的系統策略檢測、審計系統日志,檢查是否有網絡攻擊、異常操作、不正常數據流量等,對異常情況做及時處理,遇有重大安全問題上報保密局,并做詳細記錄。
第10條 每周登陸入侵檢測系統產品網站,下載最新升級文件包,對系統進行更新,并做詳細記錄。
第11條 每月通過漏洞掃描系統對網絡系統終端進行安全評估分析,并對掃描結果進行分析,及時對終端系統漏洞及安全隱患進行處理,作詳細記錄,并將安全評估分析報告上報保密辦。
第12條 每周登錄全評估產品網站,下載最新升級文件包,對系統進行更新,并作詳細記錄。
第13條 每周備份入侵檢測系統和漏洞掃描系統的審計信息,并作詳細記錄。第14條 涉密計算機安全管理由安全保密管理員專人負責,未經允許任何人不得進行此項操作。
第15條 根據網絡系統安全設計要求制定、修改、刪除涉密計算機安全審計策略,包括打印控制策略、外設輸入輸出控制策略、應用程序控制策略,并做記錄。
第16條 每日對涉密計算機進行安全審計,及時處理安全問題,并做詳細記錄,遇有重大問題上報保密部門。
第17條 涉密計算機的新增、變更、淘汰需經保密部門審批,審批通過后由安全保密管理員統一進行操作,并做詳細記錄。
第18條 新增涉密計算機聯入涉密網絡,需經保密局審批,由安全保密管理員統一進行操作,并做詳細記錄。
第五篇:信息安全等級保護
信息安全等級保護(二級)信息安全等級保護(二級)備注:其中黑色字體為信息安全等級保護第二級系統要求,藍色字體為第三級系統等保要求。
一、物理安全
1、應具有機房和辦公場地的設計/驗收文檔(機房場地的選址說明、地線連接要求的描述、建筑材料具有相應的耐火等級說明、接地防靜電措施)
2、應具有有來訪人員進入機房的申請、審批記錄;來訪人員進入機房的登記記錄
3、應配置電子門禁系統(三級明確要求);電子門禁系統有驗收文檔或產品安全認證資質,電子門禁系統運行和維護記錄
4、主要設備或設備的主要部件上應設置明顯的不易除去的標記
5、介質有分類標識;介質分類存放在介質庫或檔案室內,磁介質、紙介質等分類存放
6、應具有攝像、傳感等監控報警系統;機房防盜報警設施的安全資質材料、安裝測試和驗收報告;機房防盜報警系統的運行記錄、定期檢查和維護記錄;
7、應具有機房監控報警設施的安全資質材料、安裝測試和驗收報告;機房監控報警系統的運行記錄、定期檢查和維護記錄
8、應具有機房建筑的避雷裝置;通過驗收或國家有關部門的技術檢測;
9、應在電源和信號線上增加有資質的防雷保安器;具有防雷檢測資質的檢測部門對防雷裝置的檢測報告
10、應具有自動檢測火情、自動報警、自動滅火的自動消防系統;自動消防系統的運行記錄、檢查和定期維護記錄;消防產品有效期合格;自動消防系統是經消防檢測部門檢測合格的產品
11、應具有除濕裝置;空調機和加濕器;溫濕度定期檢查和維護記錄
12、應具有水敏感的檢測儀表或元件;對機房進行防水檢測和報警;防水檢測裝置的運行記錄、定期檢查和維護記錄
13、應具有溫濕度自動調節設施;溫濕度自動調節設施的運行記錄、定期檢查和維護記錄
14、應具有短期備用電力供應設備(如UPS);短期備用電力供應設備的運行記錄、定期檢查和維護記錄
15、應具有冗余或并行的電力電纜線路(如雙路供電方式)
16、應具有備用供電系統(如備用發電機);備用供電系統運行記錄、定期檢查和維護記錄
二、安全管理制度
1、應具有對重要管理操作的操作規程,如系統維護手冊和用戶操作規程
2、應具有安全管理制度的制定程序:
3、應具有專門的部門或人員負責安全管理制度的制定(發布制度具有統一的格式,并進行版本控制)
4、應對制定的安全管理制度進行論證和審定,論證和審定方式如何(如召開評審會、函審、內部審核等),應具有管理制度評審記錄
5、應具有安全管理制度的收發登記記錄,收發應通過正式、有效的方式(如正式發文、領導簽署和單位蓋章等)----安全管理制度應注明發布范圍,并對收發文進行登記。
6、信息安全領導小組定期對安全管理制度體系的合理性和適用性進行審定,審定周期多長。(安全管理制度體系的評審記錄)
7、系統發生重大安全事故、出現新的安全漏洞以及技術基礎結構和組織結構等發生變更時應對安全管理制度進行檢查,對需要改進的制度進行修訂。(應具有安全管理制度修訂記錄)
三、安全管理機構
1、應設立信息安全管理工作的職能部門
2、應設立安全主管、安全管理各個方面的負責人
3、應設立機房管理員、系統管理員、網絡管理員、安全管理員等重要崗位(分工明確,各司其職),數量情況(管理人員名單、崗位與人員對應關系表)
4、安全管理員應是專職人員
5、關鍵事物需要配備2人或2人以上共同管理,人員具體配備情況如何。
6、應設立指導和管理信息安全工作的委員會或領導小組(最高領導是否由單位主管領導委任或授權的人員擔任)
7、應對重要信息系統活動進行審批(如系統變更、重要操作、物理訪問和系統接入、重要管理制度的制定和發布、人員的配備和培訓、產品的采購、外部人員的訪問等),審批部門是何部門,審批人是何人。審批程序:
8、應與其它部門之間及內部各部門管理人員定期進行溝通(信息安全領導小組或者安全管理委員會應定期召開會議)
9、應組織內部機構之間以及信息安全職能部門內部的安全工作會議文件或會議記錄,定期:
10、信息安全管理委員會或領導小組安全管理工作執行情況的文件或工作記錄(如會議記錄/紀要,信息安全工作決策文檔等)
11、應與公安機關、電信公司和兄弟單位等的溝通合作(外聯單位聯系列表)
12、應與供應商、業界專家、專業的安全公司、安全組織等建立溝通、合作機制。
13、聘請信息安全專家作為常年的安全顧問(具有安全顧問名單或者聘請安全顧問的證明文件、具有安全顧問參與評審的文檔或記錄)
14、應組織人員定期對信息系統進行安全檢查(查看檢查內容是否包括系統日常運行、系統漏洞和數據備份等情況)
15、應定期進行全面安全檢查(安全檢查是否包含現行技術措施有效性和管理制度執行情況等方面、具有安全檢查表格,安全檢查報告,檢查結果通告記錄)
四、人員安全管理
1、何部門/何人負責安全管理和技術人員的錄用工作(錄用過程)
2、應對被錄用人的身份、背景、專業資格和資質進行審查,對技術人員的技術技能進行考核,技能考核文檔或記錄
3、應與錄用后的技術人員簽署保密協議(協議中有保密范圍、保密責任、違約責任、協議的有效期限和責任人的簽字等內容)
4、應設定關鍵崗位,對從事關鍵崗位的人員是否從內部人員中選拔,是否要求其簽署崗位安全協議。
5、應及時終止離崗人員的所有訪問權限(離崗人員所有訪問權限終止的記錄)
6、應及時取回離崗人員的各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備等(交還身份證件和設備等的登記記錄)
7、人員離崗應辦理調離手續,是否要求關鍵崗位調離人員承諾相關保密義務后方可離開(具有按照離崗程序辦理調離手續的記錄,調離人員的簽字)
8、對各個崗位人員應定期進行安全技能考核;具有安全技能考核記錄,考核內容要求包含安全知識、安全技能等。
9、對關鍵崗位人員的安全審查和考核與一般崗位人員有何不同,審查內容是否包括操作行為和社會關系等。
10、應對各類人員(普通用戶、運維人員、單位領導等)進行安全教育、崗位技能和安全技術培訓。
11、應針對不同崗位制定不同的培訓計劃,并按照計劃對各個崗位人員進行安全教育和培訓(安全教育和培訓的結果記錄,記錄應與培訓計劃一致)
12、外部人員進入條件(對哪些重要區域的訪問須提出書面申請批準后方可進入),外部人員進入的訪問控制(由專人全程陪同或監督等)
13、應具有外部人員訪問重要區域的書面申請
14、應具有外部人員訪問重要區域的登記記錄(記錄描述了外部人員訪問重要區域的進入時間、離開時間、訪問區域、訪問設備或信息及陪同人等)
五、系統建設管理
1、應明確信息系統的邊界和安全保護等級(具有定級文檔,明確信息系統安全保護等級)
2、應具有系統建設/整改方案
3、應授權專門的部門對信息系統的安全建設進行總體規劃,由何部門/何人負責
4、應具有系統的安全建設工作計劃(系統安全建設工作計劃中明確了近期和遠期的安全建設計劃)
5、應組織相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理策略等相關配套文件進行論證和審定(配套文件的論證評審記錄或文檔)
6、應對總體安全策略、安全技術框架、安全管理策略等相關配套文件應定期進行調整和修訂
7、應具有總體安全策略、安全技術框架、安全管理策略、總體建設規劃、詳細設計方案等相關配套文件的維護記錄或修訂版本
8、應按照國家的相關規定進行采購和使用系統信息安全產品
9、安全產品的相關憑證,如銷售許可等,應使用符合國家有關規定產品
10、應具有專門的部門負責產品的采購
11、采購產品前應預先對產品進行選型測試確定產品的候選范圍,形成候選產品清單,是否定期審定和更新候選產品名單
12、應具有產品選型測試結果記錄和候選產品名單及更新記錄(產品選型測試結果文檔)
13、應具有軟件設計相關文檔,專人保管軟件設計的相關文檔,應具有軟件使用指南或操作手冊
14、對程序資源庫的修改、更新、發布應進行授權和批準
15、應具有程序資源庫的修改、更新、發布文檔或記錄
16、軟件交付前應依據開發協議的技術指標對軟件功能和性能等進行驗收檢測
17、軟件安裝之前應檢測軟件中的惡意代碼(該軟件包的惡意代碼檢測報告),檢測工具是否是第三方的商業產品
18、應具有軟件設計的相關文檔和使用指南
19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發文檔
20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質量控制
21、應具有工程實施過程應按照實施方案形成各種文檔,如階段性工程進程匯報報告,工程實施方案
22、在信息系統正式運行前,應委托第三方測試機構根據設計方案或合同要求對信息系統進行獨立的安全性測試(第三方測試機構出示的系統安全性測試驗收報告)
23、應具有工程測試驗收方案(測試驗收方案與設計方案或合同要求內容一致)
24、應具有測試驗收報告
25、應指定專門部門負責測試驗收工作(具有對系統測試驗收報告進行審定的意見)
26、根據交付清單對所交接的設備、文檔、軟件等進行清點(系統交付清單)
27、應具有系統交付時的技術培訓記錄
28、應具有系統建設文檔(如系統建設方案)、指導用戶進行系統運維的文檔(如服務器操作規程書)以及系統培訓手冊等文檔。
29、應指定部門負責系統交付工作
30、應具有與產品供應商、軟件開發商、系統集成商、系統運維商和等級測評機構等相關安全服務商簽訂的協議(文檔中有保密范圍、安全責任、違約責任、協議的有效期限和責任人的簽字等內容
31、選定的安全服務商應提供一定的技術培訓和服務
32、應與安全服務商簽訂的服務合同或安全責任合同書
11、采購產品前應預先對產品進行選型測試確定產品的候選范圍,形成候選產品清單,是否定期審定和更新候選產品名單
12、應具有產品選型測試結果記錄和候選產品名單及更新記錄(產品選型測試結果文檔)
13、應具有軟件設計相關文檔,專人保管軟件設計的相關文檔,應具有軟件使用指南或操作手冊
14、對程序資源庫的修改、更新、發布應進行授權和批準
15、應具有程序資源庫的修改、更新、發布文檔或記錄
16、軟件交付前應依據開發協議的技術指標對軟件功能和性能等進行驗收檢測
17、軟件安裝之前應檢測軟件中的惡意代碼(該軟件包的惡意代碼檢測報告),檢測工具是否是第三方的商業產品
18、應具有軟件設計的相關文檔和使用指南
19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發文檔
20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質量控制
21、應具有工程實施過程應按照實施方案形成各種文檔,如階段性工程進程匯報報告,工程實施方案
22、在信息系統正式運行前,應委托第三方測試機構根據設計方案或合同要求對信息系統進行獨立的安全性測試(第三方測試機構出示的系統安全性測試驗收報告)
23、應具有工程測試驗收方案(測試驗收方案與設計方案或合同要求內容一致)
24、應具有測試驗收報告
25、應指定專門部門負責測試驗收工作(具有對系統測試驗收報告進行審定的意見)
26、根據交付清單對所交接的設備、文檔、軟件等進行清點(系統交付清單)
27、應具有系統交付時的技術培訓記錄
28、應具有系統建設文檔(如系統建設方案)、指導用戶進行系統運維的文檔(如服務器操作規程書)以及系統培訓手冊等文檔。
29、應指定部門負責系統交付工作
30、應具有與產品供應商、軟件開發商、系統集成商、系統運維商和等級測評機構等相關安全服務商簽訂的協議(文檔中有保密范圍、安全責任、違約責任、協議的有效期限和責任人的簽字等內容
31、選定的安全服務商應提供一定的技術培訓和服務
32、應與安全服務商簽訂的服務合同或安全責任合同書
六、系統運維管理
1、應指定專人或部門對機房的基本設施(如空調、供配電設備等)進行定期維護,由何部門/何人負責。
2、應具有機房基礎設施的維護記錄,空調、溫濕度控制等機房設施定期維護保養的記錄
3、應指定部門和人員負責機房安全管理工作
4、應對辦公環境保密性進行管理(工作人員離開座位確保終端計算機退出登錄狀態、桌面上沒有包含敏感信息的紙檔文件)
5、應具有資產清單(覆蓋資產責任人、所屬級別、所處位置、所處部門等方面)
6、應指定資產管理的責任部門或人員
7、應依據資產的重要程度對資產進行標識
8、介質存放于何種環境中,應對存放環境實施專人管理(介質存放在安全的環境(防潮、防盜、防火、防磁,專用存儲空間))
9、應具有介質使用管理記錄,應記錄介質歸檔和使用等情況(介質存放、使用管理記錄)
10、對介質的物理傳輸過程應要求選擇可靠傳輸人員、嚴格介質的打包(如采用防拆包裝置)、選擇安全的物理傳輸途徑、雙方在場交付等環節的控制
11、應對介質的使用情況進行登記管理,并定期盤點(介質歸檔和查詢的記錄、存檔介質定期盤點的記錄)
12、對送出維修或銷毀的介質如何管理,銷毀前應對數據進行凈化處理。(對帶出工作環境的存儲介質是否進行內容加密并有領導批準。對保密性較高的介質銷毀前是否有領導批準)(送修記錄、帶出記錄、銷毀記錄)
13、應對某些重要介質實行異地存儲,異地存儲環境是否與本地環境相同(防潮、防盜、防火、防磁,專用存儲空間)
14、介質上應具有分類的標識或標簽
15、應對各類設施、設備指定專人或專門部門進行定期維護。
16、應具有設備操作手冊
17、應對帶離機房的信息處理設備經過審批流程,由何人審批(審批記錄)
18、應監控主機、網絡設備和應用系統的運行狀況等
19、應有相關網絡監控系統或技術措施能夠對通信線路、主機、網絡設備和應用軟件的運行狀況、網絡流量、用戶行為等進行監測和報警
20、應具有日常運維的監控日志記錄和運維交接日志記錄
21、應定期對監控記錄進行分析、評審
22、應具有異常現象的現場處理記錄和事后相關的分析報告
23、應建立安全管理中心,對設備狀態、惡意代碼、補丁升級、安全審計等相關事項進行集中管理
24、應指定專人負責維護網絡安全管理工作
25、應對網絡設備進行過升級,更新前應對現有的重要文件是否進行備份(網絡設備運維維護工作記錄)
26、應對網絡進行過漏洞掃描,并對發現的漏洞進行及時修補。
27、對設備的安全配置應遵循最小服務原則,應對配置文件進行備份(具有網絡設備配置數據的離線備份)
28、系統網絡的外聯種類(互聯網、合作伙伴企業網、上級部門網絡等)應都得到授權與批準,由何人/何部門批準。應定期檢查違規聯網的行為。
29、對便攜式和移動式設備的網絡接入應進行限制管理
30、應具有內部網絡外聯的授權批準書,應具有網絡違規行為(如撥號上網等)的檢查手段和工具。
31、在安裝系統補丁程序前應經過測試,并對重要文件進行備份。
32、應有補丁測試記錄和系統補丁安裝操作記錄
33、應對系統管理員用戶進行分類(比如:劃分不同的管理角色,系統管理權限與安全審計權限分離等)
34、審計員應定期對系統審計日志進行分析(有定期對系統運行日志和審計數據的分析報告)
35、應對員工進行基本惡意代碼防范意識的教育,如告知應及時升級軟件版本(對員工的惡意代碼防范教育的相關培訓文檔)
36、應指定專人對惡意代碼進行檢測,并保存記錄。
37、應具有對網絡和主機進行惡意代碼檢測的記錄
38、應對惡意代碼庫的升級情況進行記錄(代碼庫的升級記錄),對各類防病毒產品上截獲的惡意代碼是否進行分析并匯總上報。是否出現過大規模的病毒事件,如何處理
39、應具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告 40、應具有變更方案評審記錄和變更過程記錄文檔。
41、重要系統的變更申請書,應具有主管領導的批準
42、系統管理員、數據庫管理員和網絡管理員應識別需定期備份的業務信息、系統數據及軟件系統(備份文件記錄)
43、應定期執行恢復程序,檢查和測試備份介質的有效性
44、應有系統運維過程中發現的安全弱點和可疑事件對應的報告或相關文檔
45、應對安全事件記錄分析文檔
46、應具有不同事件的應急預案
47、應具有應急響應小組,應具備應急設備并能正常工作,應急預案執行所需資金應做過預算并能夠落實。
48、應對系統相關人員進行應急預案培訓(應急預案培訓記錄)
49、應定期對應急預案進行演練(應急預案演練記錄)50、應對應急預案定期進行審查并更新
51、應具有更新的應急預案記錄、應急預案審查記錄。
點擊咨詢 