第一篇:蘭州互聯(lián)網(wǎng)等級保護工作總結(jié)
蘭州互聯(lián)網(wǎng)新聞中心2011年等保工作總結(jié)
根據(jù)信息安全等級保護工作要求,結(jié)合我單位工作實際需要,我們認真開展了信息安全自查工作,加強了信息系統(tǒng)的管理和維護,完善了系統(tǒng)軟硬件設(shè)施,實現(xiàn)了網(wǎng)站信息系統(tǒng)的安全運行。現(xiàn)將2011年信息安全自查工作開展情況總結(jié)如下:
一、信息安全保護工作現(xiàn)狀
1、制定信息安全保護規(guī)章制度,加強日常管理。在硬件安全方面,及時檢查防雷、防火、防盜和電源連接等情況;在網(wǎng)絡(luò)安全方面,加強網(wǎng)絡(luò)結(jié)構(gòu)、安全日志、密碼和IP地址的管理;在應用安全方面,提高人員安全意識,增強系統(tǒng)操作的規(guī)范性。
2、平臺及網(wǎng)絡(luò)管理方面,購置了新式服務(wù)器,提高平臺性能,增強穩(wěn)定性;采用linux操作系統(tǒng),更換原03操作系統(tǒng),提升系統(tǒng)的安全性。更新數(shù)據(jù)庫,采用了功能更強大,性能更優(yōu)異,安全性更強的oracle數(shù)據(jù)庫。對平臺關(guān)鍵部位進行了雙機熱備份,加強了主站的可靠性。安裝硬件防火墻,隔離內(nèi)外網(wǎng),進一步提高網(wǎng)絡(luò)安全。
3、系統(tǒng)操作權(quán)限方面,嚴格按系統(tǒng)使用所需,針對不同系統(tǒng)操作用戶的需求,劃分使用權(quán)限。制定了密碼定期更新機制,對用戶密碼按月更新,并采取9位數(shù)字加字符的設(shè)置方式提高密碼的健壯性。
二、自查中存在的問題
1、初步建立了信息安全規(guī)章制度,但還不完善,未能覆蓋到信息系統(tǒng)安全的所有方面。
2、專業(yè)技術(shù)人員較少,信息系統(tǒng)安全方面可投入的力量有限。
3、由于我單位處在創(chuàng)業(yè)起步階段,經(jīng)費相對緊張,信息系統(tǒng)建設(shè)和信息安全保護工作可投入的經(jīng)費不足。
三、整改方向
1、在今后的工作中,我們將進一步完善信息安全相關(guān)規(guī)章制度,實現(xiàn)信息安全的規(guī)范管理。
2、加強對計算機安全知識的培訓,定期開展信息安全檢查工作,提高人員安全防護意識。
3、積極爭取財政支持,購買相關(guān)設(shè)備,進一步擴大對信息安全工作的投入。
蘭州互聯(lián)網(wǎng)新聞中心 二〇一一年11月8日
第二篇:基于互聯(lián)網(wǎng)的電子政務(wù)等級保護研究
密級:
頁數(shù):
畢 業(yè) 實習(論文)
信息工程大學
題目:基于互聯(lián)網(wǎng)的電子政務(wù)等級保護研究
學員姓名
*** 學
號
所在單位
指導教師
郭義喜 技術(shù)職務(wù)
副教授 完成日期
2010年5月
摘 要
隨著這幾年計算機網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)信息安全成為了人們越來越關(guān)注的問題,也同時成為了威脅計算機網(wǎng)絡(luò)之間信息傳播的最大障礙。為此,國家已經(jīng)在2007年7月26日發(fā)出了《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》,電子政務(wù)工程建設(shè)辦公室在2007年11月啟動了中央級 政務(wù)外網(wǎng)定級專項工作,成立了等級保護定級工作組,根據(jù)政務(wù)外網(wǎng)實際情況和特點,經(jīng)過多倫內(nèi)部討論和專家征求意見后,基本完成了政務(wù)外網(wǎng)安全等級保護定級工作,為后續(xù)備案和全面開展、實施等級保護整改和測評工作奠定了堅實基礎(chǔ)。
由此可見,當今社會中,電子政務(wù)等級的保護研究已經(jīng)是一個非常重要的課題。本文從電子政務(wù)等級保護的研究方法、電子政務(wù)等級保護出現(xiàn)問題時的解決辦法、電子政務(wù)等級保護的整體安全解決方案、基于互聯(lián)網(wǎng)的電子政務(wù)的優(yōu)點以及如何有效的保護電子政務(wù)的安全等方面來闡述電子政務(wù)等級保護問題。
目 錄
第一章 概述.................................................................1
1.1 選題背景與研究現(xiàn)狀................................................1 1.2 研究內(nèi)容與論文組織結(jié)構(gòu)............................................1 1.4 論文組織結(jié)構(gòu)......................................................2
第二章 信息化與電子政務(wù).....................................................3
2.1 我國信息化進程的回顧..............................................3 2.2 我國電子政務(wù)發(fā)展計劃..............................................4 2.3 我國電子政務(wù)的保障措施............................................5 2.4 電子政務(wù)的優(yōu)勢....................................................6
第三章 電子政務(wù)信息安全與等級保護...........................................8
3.1 電子政務(wù)信息安全內(nèi)涵..............................................8 3.2 等級保護在電子政務(wù)中的應用........................................8 3.3 電子政務(wù)安全管理和技術(shù)層面........................................9
第四章 基于互聯(lián)網(wǎng)的電子政務(wù)等級保護的建設(shè)..................................12
4.1 信息安全等級保護實施過程.........................................12 4.2 電子政務(wù)等級保護實施措施.........................................15
第五章 基于等級保護的電子政務(wù)安全度量......................................17
5.1 信息安全度量現(xiàn)狀.................................................17 5.2 基于等級保護的安全管理度量方法的設(shè)計.............................18
第六章 總結(jié)................................................................21 參考文獻...................................................................22
第一章 概述
1.1 選題背景與研究現(xiàn)狀
以Internet為代表的全球性信息化浪潮日益涌起,網(wǎng)絡(luò)技術(shù)的應用層次不斷深入、應用領(lǐng)域日益廣泛,逐步由傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)向大型的、關(guān)鍵性的業(yè)務(wù)系統(tǒng)擴展,目前基于互聯(lián)網(wǎng)技術(shù)的網(wǎng)絡(luò)平臺已經(jīng)在電子政務(wù)中得到了廣泛的應用,使政府以最快的方式與市民進行溝通,市民也能方便快捷地參與政府工作。但是,由于電子政務(wù)同時涉及到對國家秘密信息和高敏感度核心政務(wù)的保護,涉及到維護公共秩序和行政監(jiān)管,從而使這種快捷和方便給政府網(wǎng)絡(luò)的安全造成了一定的威脅,使基于互聯(lián)網(wǎng)技術(shù)的電子政務(wù)面臨著嚴峻的挑戰(zhàn)。因此,運用網(wǎng)絡(luò)安全技術(shù),建立實用可靠的安全策略體系,實施等級保護,已經(jīng)成為電子政務(wù)能否得到真正應用的關(guān)鍵。
目前,我國建立了與電子政務(wù)發(fā)展水平相適應的安全保障措施,并且結(jié)合實際需要,制定了一批具有實際指導意義的信息安全法規(guī)制度和工作機制。
我國開始從整體安全體系出發(fā)來進行信息安全建設(shè)。分級分域防護的基本思路正在逐步得到貫徹。
1.2 研究內(nèi)容與論文組織結(jié)構(gòu)
本課題選擇了基于互聯(lián)網(wǎng)的電子政務(wù)等級保護作為研究重點,討論了基于互聯(lián)網(wǎng)的電子政務(wù)等級保護的安全目標以及為實現(xiàn)上述目標應采取積極的安全策略,尤其對電子政務(wù)安全保障體系框架做了進一步分析,對基于互聯(lián)網(wǎng)的電子政務(wù)等級保護提出了自己的觀點。
主要內(nèi)容包括:(l)電子政務(wù)的安全目標及其應對策略;(2)電子政務(wù)安全保障體系框架;(3)電子政務(wù)等級保護當前的主要問題;
(4)對于基于互聯(lián)網(wǎng)的電子政務(wù)等級保護建設(shè)的自我觀點。
由于國內(nèi)的基于互聯(lián)網(wǎng)的電子政務(wù)等級保護的標準和規(guī)范不太明確,所以本課題將對電子政務(wù)做進一步的分析,提出自己的一些觀點和看法,希望通過自己的努力對電子政務(wù)等級保護問題有著推進意義。
1.4 論文組織結(jié)構(gòu)
共分五章,第一章對我國基于互聯(lián)網(wǎng)的電子政務(wù)等級保護的現(xiàn)狀以及研究內(nèi)容做一簡要介紹,第二章主要概述了信息化與電子政務(wù)的發(fā)展史,第三章重點討論了電子政務(wù)信息安全與等級保護的關(guān)系問題,第四章主要介紹了基于互聯(lián)網(wǎng)的電子政務(wù)等級保護建設(shè)問題,第五章討論了電子政務(wù)等級保護安全度量方法,第六章是總結(jié)及展望。
第二章 信息化與電子政務(wù)
中國的信息化建設(shè)起步于20世紀80年代初期,從國家大力推動電子信息技術(shù)應用開始,大致經(jīng)歷了四個階段,而我國的電子政務(wù)建設(shè)是中國信息化建設(shè)發(fā)展的一個新階段,它以我國前期信息化建設(shè)的成果為基礎(chǔ)。
2.1 我國信息化進程的回顧
(1)準備階段(1993年以前)
20世紀80年代初期,在我國國民經(jīng)濟進行調(diào)整的情況下,計算機工業(yè)界認識到發(fā)展我國計算機工業(yè),應該從過去的一研究制造計算機硬件設(shè)備為中心,迅速的轉(zhuǎn)向以普及應用為重點,以此帶動研究開發(fā)、生產(chǎn)制造、外圍配套、應用開發(fā)、技術(shù)服務(wù)和產(chǎn)品銷售等工作。1982年10月4日,國務(wù)院成立了計算機與超大規(guī)模集成電路領(lǐng)導小組。下設(shè)計算機和集成電路兩個顧問小組,聘請有理論水平、有實踐經(jīng)驗的科學家、經(jīng)濟學家和工程技術(shù)人員參加,負責規(guī)劃、決策和技術(shù)經(jīng)濟咨詢。
1984年,為了研究我國新技術(shù)革命的對策,國務(wù)院成立了新技術(shù)革命對策小組,組織了計算集專項和光纖通信專項研究。1984年9月15日,計算機與大型集成電路領(lǐng)導小組改為電子振興領(lǐng)導小組。1986年3月,“863”計劃啟動。該計劃投資100億元,其中,信息技術(shù)相關(guān)項目的投資約占投資總額的三分之二。
1988年5月,根據(jù)國務(wù)院機構(gòu)改革方案,成立機械電子工業(yè)部,并將振興電子產(chǎn)業(yè)的任務(wù)交機械電子工業(yè)部承擔。隨后,國務(wù)院常務(wù)會議決定,國務(wù)院電子振興領(lǐng)導小組辦公室更名為國務(wù)院電子信息系統(tǒng)推廣應用辦公室,繼續(xù)支持各行各業(yè)應用電子信息技術(shù)。從1988年至1992年,國家發(fā)展計劃委員會、機械電子工業(yè)部、國家科學技術(shù)委員會和電子信息技術(shù)推廣應用辦公室,在傳統(tǒng)產(chǎn)業(yè)技術(shù)改造、EDI技術(shù)、CAD/CAM以及MIS等領(lǐng)域,做了大量工作,不斷推動電子信息技術(shù)應用向縱深發(fā)展。
(2)啟動階段(1993年3月至1997年4月)
1993年,成立國家經(jīng)濟信息化聯(lián)席會議。我國信息化基本上正式起步于1993年,黨和國家領(lǐng)導人江澤民、李鵬、朱镕基、李嵐清等相繼提出了信息化建設(shè)的任務(wù),啟動了“金卡”、“金橋”、“金關(guān)”等重大信息化工程,拉開了國民經(jīng)濟信息化的序幕。同年12月,成立了以國務(wù)院副總理鄒家華為主席的國家經(jīng)濟信息化聯(lián)席會議,確立了“推進信息化工程實施、以信息化帶動產(chǎn)業(yè)發(fā)展”的指導思想。1996年1月,國務(wù)院信息化工作領(lǐng)導小組成立。國務(wù)院信息化工作領(lǐng)導小組由國務(wù)院副總理鄒家華任組長,由20多個部委領(lǐng) 導組成的國務(wù)院信息化工作領(lǐng)導小組,統(tǒng)一領(lǐng)導和組織協(xié)調(diào)全國地信息化工作。1996年以后,中央和地方都確立了信息化在國民經(jīng)濟和社會發(fā)展中的重要地位,信息化在各領(lǐng)域、各地區(qū)形成了強勁的發(fā)展潮流。
(3)展開階段(1997年4月至2000年10月)
經(jīng)過1993—1997年的建設(shè)和發(fā)展,符合我國國情的信息化發(fā)展思路初步形成。國務(wù)院信息化工作領(lǐng)導小組確立了國家信息化的定義和國家信息化體系六要素,進一步充實和豐富了我國信息化建設(shè)的內(nèi)涵;提出了信息化建設(shè)“統(tǒng)籌計劃,國家主導;統(tǒng)一標準,聯(lián)合建設(shè);互聯(lián)互通,資源共享”的二十四字指導方針。
1997年4月18—21日,經(jīng)國務(wù)院批準,國務(wù)院信息化工作領(lǐng)導小組在深圳召開了首次全國信息化工作會議,會議全面部署了國家信息化工作,通過了《國家信息化“九五”規(guī)劃和2010年遠景目標》,成為我國信息化建設(shè)的里程碑。此后,全國地信息化工作從解決應急性的熱點問題,步入了為經(jīng)濟發(fā)展和社會全面進步服務(wù),有組織、有計劃的發(fā)展軌道。
1998年3月,組建信息產(chǎn)業(yè)部。隨著國務(wù)院機構(gòu)的新一輪改革,將原國務(wù)院信息化工作領(lǐng)導小組辦公室整建制并入新組建的信息產(chǎn)業(yè)部,負責推進國民經(jīng)濟和社會服務(wù)信息化的工作。在信息產(chǎn)業(yè)部內(nèi)部機構(gòu)設(shè)置上,設(shè)立了信息化推進司(國家信息化辦公室)。
1999年12月,恢復國務(wù)院信息化工作領(lǐng)導小組。根據(jù)國務(wù)院關(guān)于恢復國務(wù)院信息化工作領(lǐng)導小組的批示,為了加強國家信息化工作的領(lǐng)導,決定成立由國務(wù)院副總理吳邦國任組長的國家信息化工作領(lǐng)導小組,并將國家信息化辦公室改名為國家信息化推進工作辦公室。
(4)發(fā)展階段(2000年10月至今)
2001年8月,國家信息化工作辦公室成立。黨中央、國務(wù)院在原有基礎(chǔ)上成立了由朱镕基任組長,胡錦濤、李嵐清、丁關(guān)根、吳邦國、曾培炎為成員的國家信息化領(lǐng)導小組,這樣高規(guī)格的領(lǐng)導機構(gòu),充分反映出黨中央、國務(wù)院加強中國信息化建設(shè)的決心和力度。同時它的辦事機構(gòu)——國務(wù)院信息化工作辦公室也正式成立,由國家發(fā)展計劃委員會主任、國家信息化領(lǐng)導小組副組長曾培炎兼任國務(wù)院信息化工作辦公室主任。
2.2 我國電子政務(wù)發(fā)展計劃
國務(wù)院信息化辦公室組織了上百位專家對國家電子政務(wù)進行研究,形成一套電子政務(wù)發(fā)展戰(zhàn)略框架,電子政務(wù)已經(jīng)被列為中國信息化建設(shè)的重點任務(wù)。
一是建立兩個統(tǒng)一的電子政務(wù)平臺,即連接副省級以上部門辦公業(yè)務(wù)的“政務(wù)內(nèi)網(wǎng)”和面向公眾、企業(yè)以及連接政府間業(yè)務(wù)的“政務(wù)外網(wǎng)”;其中,外網(wǎng)將與互聯(lián)網(wǎng)相連接。
二是建設(shè)和推進十二項重點工程,包括為各級領(lǐng)導決策服務(wù)的“辦公業(yè)務(wù)資源系統(tǒng)” 和“宏觀政策管理系統(tǒng)”,目標將所有稅務(wù)機關(guān)和稅種擴展成為全方位的稅收電子化系統(tǒng)的“金稅工程”,將完整的通關(guān)業(yè)務(wù)電子化的“金關(guān)工程”,為國家預算編制和預算執(zhí)行提供網(wǎng)絡(luò)化、數(shù)字化服務(wù)的“金財工程”,對銀行、信托、證券、保險進行有效監(jiān)管“金融監(jiān)管工程”、實現(xiàn)審計工作數(shù)字化的“金審工程”。另外,還有包括保障社會穩(wěn)定、安全的“金盾工程”和“社會保障工程”、防偽打假的“金質(zhì)工程”、應對水旱災情的“金水工程”和為農(nóng)業(yè)現(xiàn)代化服務(wù)的“金農(nóng)工程”。
三是信息資源建設(shè),包括兩個信息體系和人口庫、法人庫、信息資源和空間地域庫、宏觀經(jīng)濟庫等四個數(shù)據(jù)庫,為政府部門提供最基礎(chǔ)的數(shù)據(jù)資源。
2.3 我國電子政務(wù)的保障措施
1、標準先行
為貫徹落實國家信息化領(lǐng)導小組推進國家信息化工作的五項方針和統(tǒng)一標準的具體要求,進一步推動我國電子政務(wù)順利發(fā)展,國家標準化管理委員會和國務(wù)院信息化工作辦公室批準成立了“國家電子政務(wù)標準化總體組”。
我國電子政務(wù)標準化工作的開展是在國家標準化管理委員會和國務(wù)院信息化辦公室的統(tǒng)一領(lǐng)導下,由國家電子政務(wù)標準化總體組組織實施。
總體組的主要工作是積極研究跟進國內(nèi)外與電子政務(wù)有關(guān)的標準的發(fā)展動態(tài),及時調(diào)整工作思路及方向,與國內(nèi)各政府部門、技術(shù)專家及開發(fā)商一起研究制定中國電子政務(wù)標準,推動我國電子政務(wù)健康、有序的建設(shè)。
總體組花費近半年的時間完成了《電子政務(wù)標準化指南》(第一版)。《電子政務(wù)標準化指南》(第一版)在電子政務(wù)標準化工作的指導思想、工作原則的基礎(chǔ)上,確定了電子政務(wù)標準化的總體目標和工作任務(wù)并對電子政務(wù)標準體系和電子政務(wù)標準化管理機制等多方面的內(nèi)容進行了闡述。
《電子政務(wù)標準化指南》共分為以下六個部分: 第一部分:總則。第二部分:工程管理。第三部分:網(wǎng)絡(luò)建設(shè)。第四部分:信息共享。第五部分:支撐技術(shù)。第六部分:信息安全。
《電子政務(wù)標準化指南第一部分:總則》(第一版)已于2002年正式發(fā)布。
2、實施監(jiān)理制度
信息產(chǎn)業(yè)部為了規(guī)范信息系統(tǒng)工程建設(shè)市場,保證國家電子政務(wù)工程的質(zhì)量,2002年 11月28日發(fā)布了《信息系統(tǒng)工程監(jiān)理暫行規(guī)定》,明確指出下列信息工程應當實施監(jiān)理:
● 國家級、省部級、地市級的大中型信息系統(tǒng)工程項目;
● 國家政策性銀行或者國有商業(yè)銀行規(guī)定使用貸款需要實施監(jiān)理的項目; ● 涉及國家安全、生產(chǎn)安全的信息系統(tǒng)工程項目;
● 國家法律、行政法規(guī)及行政規(guī)章規(guī)定應當實施監(jiān)理的其他信息系統(tǒng)工程項目。監(jiān)理的主要內(nèi)容是對信息系統(tǒng)工程項目的質(zhì)量、進度和投資進行監(jiān)督,對項目合同和文檔資料進行管理,協(xié)調(diào)有關(guān)單位間的工作關(guān)系。監(jiān)理制度的引入從組織結(jié)構(gòu)上和管理上,保證了電子政務(wù)工程的質(zhì)量。
2.4 電子政務(wù)的優(yōu)勢
(1)辦公透明,利于監(jiān)督
政府上網(wǎng)以后,可以在網(wǎng)上向所有公眾公開政府本門的名稱、職能、機構(gòu)組織、辦事章程及各項公開文件等,可以讓公眾迅速了解政府機構(gòu)的組成、只能和辦事章程、各項證詞法規(guī),增加辦事的透明度,并自覺接受公眾的監(jiān)督。除政府行政部門之外,人大、政協(xié)上網(wǎng)可以讓公眾了解到人大立法和提出議案的過程,促進人格各項立法更完善合理,通過網(wǎng)絡(luò)使個向法律更加迅速的傳遞到民眾手上。事實上,在歐洲,已經(jīng)有虛擬議會,人們足不出戶就可以積極參與國家事物核對法律的考核,促進社會民主的進步與發(fā)展,市政府管理更加直接、有效。
(2)提高工作效率
“電子政府”建設(shè)完成并全達到普及后,公眾可以通過網(wǎng)絡(luò)與政府機關(guān)打交道。配合數(shù)字簽名和網(wǎng)絡(luò)身份認證的的建立,公眾可以直接通過網(wǎng)絡(luò)向政府機關(guān)申請服務(wù),政府可以通過網(wǎng)絡(luò)提供服務(wù),例如,工商管理、繳納稅金、海關(guān)報關(guān)驗關(guān)等,可以大大提高政府的工作效率。
(3)增加跨時間、快地域服務(wù)
“電子政府”可以為群眾提供全天候的服務(wù),網(wǎng)絡(luò)上的政府是“數(shù)字化”的政府,政府可以無所不在,群眾可以在任何地點,只要是因特網(wǎng)可以觸及的地方,都可以與政府服務(wù)網(wǎng)建立連接,隨時隨地獲得服務(wù)。
(4)文檔管理負擔大幅度減輕
政府各部門每年要向群眾和企事業(yè)單位發(fā)送各種待填寫的單據(jù),數(shù)量相當龐大。設(shè)立了“電子政府”后,用戶可以在政府的網(wǎng)頁上找到相應的填寫表單、申報的應用程序,通過這一服務(wù)可以實現(xiàn)整個表單處理過程的自動化。
(5)資料上網(wǎng),社會共享
政府部門的許多資料檔案對公眾是很有用處的,要充分挖掘其內(nèi)在的潛力,為社會服 務(wù)。例如,如果把個城市所有注冊公司單位的情況在網(wǎng)上公布,供公眾查詢,這樣公司在進行商業(yè)交往的時候,通過Internet查詢,就可以方便迅速的了解到對方的資信情況。可以有效的避免商業(yè)詐騙活動,保護商業(yè)者的利益。教育部門可以把全國各大專院校的情況上網(wǎng),工考上在報考時查詢選擇等等,這些都是政府對公眾服務(wù)的一個重要內(nèi)容。政府部門的日常活動也可以上網(wǎng),公開政府部門的各項活動,可以使政府部門受到的公眾監(jiān)督,這對于發(fā)揚民主,搞好政府部門的廉政建設(shè)有很大意義。
(6)加強政府與群眾間的雙向溝通
利用網(wǎng)絡(luò)可以建立起更加有效的、快捷的政府與公眾之間的相互交流的渠道,為公眾與政府部門實時、雙向地溝通提供方便。為了更好的利用網(wǎng)絡(luò)與民眾進行溝通交流,并對民眾建設(shè)和意見作出及時有效的處理,政府部門應設(shè)有一個電子信息處理中心,處理群眾意見,并及時轉(zhuǎn)發(fā)到相關(guān)部門,督促和監(jiān)督問題的解決,這比過去的上訪、市長信箱、市長熱線等等更加方便、有效、及時。總之,加強政府與公眾之間的雙向溝通對于政府更及時、更有效地接納公眾意見,更有效地為人民服務(wù),樹立政府形象十分重要。
第三章 電子政務(wù)信息安全與等級保護
3.1 電子政務(wù)信息安全內(nèi)涵
電子政務(wù)作為國家信息化戰(zhàn)略重要組成部分,具有先導和示范作用,其信息安全保障事關(guān)經(jīng)濟發(fā)展、國家安全、社會穩(wěn)定、公眾利益和社會主義精神文明建設(shè)。實行電子政務(wù)信息安全等級保護是我國信息安全保護的基本制度和重點任務(wù)之一,本章制著重討論等級保護制度如何保護電子政務(wù)的信息安全。
電子政務(wù)市政府管理方式的革命,它是運用信息以及通信技術(shù)打破行政機關(guān)的組織界限,構(gòu)建一個電子化的虛擬機關(guān),使公眾擺脫傳統(tǒng)的層層關(guān)卡以及書面審核的作業(yè)方式,并依據(jù)人們的需求、人們可以獲取的方式、人們要求的時間及地點,高效快捷的向人們提供了各種不同的服務(wù)選擇。政府機關(guān)之間以及政府與社會各界之間也經(jīng)由各種電子化渠道進行相互溝通,電子政務(wù)的建立將使政府成為一個更符合環(huán)保精神的政府,一個更開放透明的政府,一個更有效率的政府,一個更廉潔勤政的政府。然而,電子政務(wù)的只能與優(yōu)勢得以實現(xiàn)的一個根本前提是信息安全的有效保障。因為電子政務(wù)信息網(wǎng)絡(luò)上有相當多的政府公文在流轉(zhuǎn),其中不乏重要信息,內(nèi)部網(wǎng)絡(luò)上有著大量高度機密的數(shù)據(jù)和信息,直接涉及政府的核心政務(wù),它關(guān)系到政府部門、各大系統(tǒng)乃至整個國家的利益,有的甚至涉及國家安全。如果電子政務(wù)信息安全得不到保障,電子政務(wù)的便利與效率便無從保證,對國家利益將帶來嚴重威脅。電子政務(wù)信息安全是制約電子政務(wù)建設(shè)與發(fā)展的首要問題和核心問題。
電子政務(wù)的信息安全可以理解為:
1、從新的層次看,包括信息的完整性(保證新的來源,去向、內(nèi)容真實無誤)、保密性(保證信息不會被非法泄露擴散)、不可否認性(保證信息的發(fā)送和接受著無法否認自己所做過的操作行為)等。
2、從網(wǎng)絡(luò)層次看,包括可靠性(保證網(wǎng)絡(luò)和信息系統(tǒng)隨時可用,運行過程中不出現(xiàn)故障,與意外事故能夠盡量減少損失并盡早 恢復正常)、可控性(保證營運者對網(wǎng)絡(luò)和信息系統(tǒng)有足夠的控制額管理能力)、互操作性(保證協(xié)議和系統(tǒng)那個能互相連接)、可計算性(保證準確跟蹤實體運行達到審計知識的目的)等。
3、從設(shè)備層次看,包括質(zhì)量保證、設(shè)備備份、物理安全等。
4、從管理層次看,包括人員可靠、規(guī)章制度完整等。
3.2 等級保護在電子政務(wù)中的應用
1、電子政務(wù)等級保護的基本原則(1)重點保護原則
電子政務(wù)等級保護應突出重點,重點保護關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要電子政務(wù)系統(tǒng),集中資源首先確保重點系統(tǒng)那個安全。
(2)自主保護原則
電子政務(wù)等級保護藥貫徹“誰主管誰負責,誰運營誰負責”的原則,由個主管部門能和運營單位依照國家相關(guān)法規(guī)和標準,自主確定電子政務(wù)系統(tǒng)的安全等級并組織實施安全防護。
(3)分區(qū)域保護原則
電子政務(wù)等級保護要根據(jù)各地區(qū)、各行業(yè)電子政務(wù)系統(tǒng)的重要程度、業(yè)務(wù)特點政務(wù)系統(tǒng)的重要程度、業(yè)務(wù)特點和不同發(fā)展水平,分類、分級、分階段進行實施,銅鼓劃分不同安全保護等級的區(qū)域,實現(xiàn)不同強度的安全保護。
(4)同步建設(shè)、動態(tài)調(diào)整原則
電子政務(wù)系統(tǒng)在新建、改建、擴建時應當同步建設(shè)信息安全設(shè)施,保障信息安全與信息化建設(shè)相適應。因信息和信息系統(tǒng)的應用類型、范圍等條件的變化及其他原因,安全保護等級需要變更的,應當重新確定系統(tǒng)的安全保護等級。
3.3 電子政務(wù)安全管理和技術(shù)層面
政府部門通過全面推行信息安全等級保護制度,逐步將信息安全等級保護制度,逐步將信息安全等級保護制度落實到信息系統(tǒng)安全規(guī)劃、建設(shè)、測評、運行維護和使用等各個環(huán)節(jié),根據(jù)電子政務(wù)信息系統(tǒng)的實際情況,應從技術(shù)體系和管理體系兩方面來找開說明,結(jié)合等級保護的制度來構(gòu)建電子政務(wù)系統(tǒng)的信息安全體系。根據(jù)等級保護的思想并結(jié)合安全域的原則,根據(jù)電子政務(wù)系統(tǒng)的實際情況,電子政務(wù)系統(tǒng)安全體系建設(shè)流程如下圖所示:
1、安全管理體系
安全管理貫穿整個電子政務(wù)安全防護體系,對電子政務(wù)安全實施起指導作用。安全管理體系包括:法律政策、規(guī)章制度和標準規(guī)范。安全管理體系的建立應符合組織使命,符合組織利益。電子政務(wù)的工作內(nèi)容和工作流程涉及到國家秘密與核心政務(wù)它的安全關(guān)系到國家的主權(quán)、國家的安全和公眾利益,所以電子政務(wù)的安全實施和保障,必須以國家法規(guī)形式將其固化,形成全國共同遵守的規(guī)約。目前,世界上很多國家制訂了與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī),如英國的《官方信息保護法》等。我國雖然頒發(fā)了一些與網(wǎng)絡(luò)安全有關(guān)的法律法規(guī),如《計算機信息系統(tǒng)安全保護條例》、《計算機信息系統(tǒng)保密管理暫行規(guī)定》等等,但顯得很零散,在完善法律法規(guī)的同時,還應該加大執(zhí)法力度,嚴格執(zhí)法,這一目標的實現(xiàn)不僅需要政府的努力,更要國家立法機構(gòu)的參與和支持。
信息安全標準有利于安全產(chǎn)品規(guī)范化,有利于保證產(chǎn)品安全可信性、實現(xiàn)產(chǎn)品的互聯(lián)和互操作性、更新和可擴展性,支持系統(tǒng)安全的測評預評估,保障電子政務(wù)系統(tǒng)的安全可靠。電子政務(wù)網(wǎng)絡(luò)安全標準規(guī)范包括電子文檔秘密劃分和標記格式、內(nèi)容健康性等級劃分與標記、內(nèi)容敏感性等級劃分與標記、密碼算法標準、密碼模塊標準、密鑰管理標準、PKI/CA標準、PMI標準、信息系統(tǒng)安全評估和網(wǎng)絡(luò)安全產(chǎn)品測評標準等方面的內(nèi)容。
電子政務(wù)信息系統(tǒng)存在著來自社會環(huán)境、技術(shù)環(huán)境和物理自然環(huán)境的安全風險,其安全為威脅無時無處不再。對于電子政務(wù)信息系統(tǒng)的安全問題,不能企圖單憑利用一些集成了信息安全技術(shù)的安全產(chǎn)品來解決,而必須建立電子政務(wù)信息系統(tǒng)安全管理體系,全方位地,綜合解決系統(tǒng)安全問題。
2、安全技術(shù)體系
安全技術(shù)體系包括網(wǎng)絡(luò)安全體系和數(shù)據(jù)安全傳輸與存儲體系,功能主要是通過各種技術(shù)手段實現(xiàn)技術(shù)層次的安全保護。
網(wǎng)絡(luò)安全體系包括網(wǎng)閘、日勤檢測、漏洞檢測、外聯(lián)和接入檢測、補丁管理、防火墻、身份鑒別和認證、系統(tǒng)訪問控制、網(wǎng)絡(luò)審計等;數(shù)據(jù)安全與傳輸與存儲體系包括數(shù)據(jù)備份恢復、PKI/CA、PMI等,拓撲圖如下圖所示。
根據(jù)電子政務(wù)系統(tǒng)的情況,我們應以等級保護為基本的指導原則,并結(jié)合安全域的理念來進行,首先我們應對電子政務(wù)的信息系統(tǒng)進行系統(tǒng)等級的劃分,在我們得到了相應的系統(tǒng)等級之后,再根據(jù)各應用系統(tǒng)的等級情況來涉及安全規(guī)劃和建設(shè)方案,真正的將等級保護制度落實到實處,如下圖所示。
根據(jù)上述的相應流程,最后我們的到得電子政務(wù)系統(tǒng)可操作的解決方案。
電子政務(wù)系統(tǒng)應根據(jù)自己的安全等級來制定相應的安全措施和安全規(guī)則,具體過程如下圖。
第四章 基于互聯(lián)網(wǎng)的電子政務(wù)等級保護的建設(shè)
電子政務(wù)外網(wǎng)是政府部門之間由于協(xié)同辦公的需要而建立的專用網(wǎng)絡(luò)。它同政府內(nèi)網(wǎng)物理隔離,同Internet網(wǎng)邏輯隔離,它同其他網(wǎng)絡(luò)邏輯隔離。電子政務(wù)外網(wǎng)系統(tǒng)是由相關(guān)的和配套的設(shè)備、設(shè)施按照電子政務(wù)平臺信息系統(tǒng)的一個應用目標和規(guī)則組合而成的有形實體。它是各級政府對外溝通的門戶系統(tǒng),為用戶提供查閱信息,辦理相關(guān)業(yè)務(wù)(公民、企業(yè)可以通過政府外網(wǎng)辦理各種手需、證書、執(zhí)照等,享受到政府所提供的各種服務(wù))、溝通交流的網(wǎng)絡(luò)平臺。它的內(nèi)部人物是OA、郵件、簡報、公文交換、會議管理,還包含通過互聯(lián)網(wǎng)的辦公數(shù)據(jù)交互等。各級政府的信息委的信息委是各級政府外網(wǎng)系統(tǒng)的唯一安全責任單位、安全建設(shè)、運行維護、物理環(huán)境安全等,系統(tǒng)承擔全部安全保護責任。
4.1 信息安全等級保護實施過程
各級政府的電子政務(wù)外網(wǎng)具有較高的相似性,機構(gòu)、規(guī)模、功能已經(jīng)承載業(yè)務(wù)等都有很多相似性。根據(jù)這寫相似性,上海三零為是信息安全有限公司從所有參與建設(shè)的電子政務(wù)外網(wǎng)項目中進行抽象、總結(jié),基于《信息安全等級保護管理辦法》、《信息系統(tǒng)安全等級保護基本要求》、《信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南》和《信息系統(tǒng)安全等級保護實施指南》設(shè)計了完整的電子政務(wù)外網(wǎng)整體安全解決方案。
該解決方案按照實施過程分為三個階段五個模塊。如下圖所示:
在系統(tǒng)出示化階段中,按照《信息系統(tǒng)安全等級保護定級指南》制定如下流程:
信息定級模塊的最終交付成果為《某政務(wù)外網(wǎng)信息系統(tǒng)等級保護定級報告》,共分3個章節(jié),兩份附件表進行編寫:第一章,信息系統(tǒng)描述:第二章,信息系統(tǒng)安全保護等級 確定;第三章,安全保護等級的確定;附件表一,政務(wù)外網(wǎng)系統(tǒng)業(yè)務(wù)信息安全等級確定工作表;附件表二,政務(wù)外網(wǎng)系統(tǒng)服務(wù)安全等級確定工作表。
在信息系統(tǒng)描述中,需要確認政務(wù)外網(wǎng)系統(tǒng)具有唯一確定的安全責任單位,詳細說明該單位的名稱與職責;需要明確政務(wù)外網(wǎng)系統(tǒng)具備的信息系統(tǒng)基本要素,詳細描述系統(tǒng)拓撲圖和系統(tǒng)硬件設(shè)備配置;需要描述政務(wù)外網(wǎng)系統(tǒng)承載的單一或相對獨立的業(yè)務(wù)應用,相信分析應用專業(yè)數(shù)據(jù)應用流程。
在信息系統(tǒng)安全保護等級確定中需要完成對業(yè)務(wù)信息安全保護等級的確定和系統(tǒng)服務(wù)安全保護等級的確定。包括:業(yè)務(wù)信息/系統(tǒng)服務(wù)描述、業(yè)務(wù)信息/系統(tǒng)服務(wù)受到破壞時所侵害客體的侵害程度的確定。
根據(jù)等級保護的標準《信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南》的要求,政務(wù)外網(wǎng)系統(tǒng)的安全保護等級由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級較高者決定,并最終決定該政務(wù)外網(wǎng)系統(tǒng)的安全保護等級。
在系統(tǒng)建設(shè)試用階段包括:基于等級保護的安全保護題寫的整體設(shè)計、建設(shè)、運行、維護分階段,是整個體系的主體部分。下面的方案以最常見的定級為二級的系統(tǒng)進行詳細敘述。基于等級保護的安全防護體系方案一般可分為9個章節(jié),其中包括:前沿、方案概況、安全需求分析、總體安全設(shè)計、安全建設(shè)項目規(guī)劃、安全方案詳細設(shè)計、系統(tǒng)產(chǎn)品性能要求及選型、項目實施與工程管理、安全運行維護與服務(wù)。
第一章,前言。在本章中主要介紹用戶電子政務(wù)外網(wǎng)的業(yè)務(wù)情況,其中包括系統(tǒng)的背景敘述。
第二章,方案概述。在本章中主要闡述方案的背景、設(shè)計目標、設(shè)計原則和設(shè)計思想、說明對等級保護的需求,安全保護體系的主要建設(shè)內(nèi)容等。
第三章,安全需求分析。本章包括技術(shù)層次面安全需求分析和管理層面安全需求分析。根據(jù)等級保護的基本要求,技術(shù)層面安全需求分析。根據(jù)等級保護基本要求,技術(shù)層面安全需求分析按照五個方面:物理安全、網(wǎng)絡(luò)安全、主機安全、應用安全、數(shù)據(jù)安全和數(shù)據(jù)恢復。管理層面的安全需求分析按照安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理方面進行分析。
第四章,總體安全設(shè)計。對一個組織的任務(wù)、業(yè)務(wù)運作異常關(guān)鍵的信息都是由信息基礎(chǔ)設(shè)施負責處理、存儲和傳輸。信息基礎(chǔ)設(shè)施對這些信息的保護需要通過“信息保障”完成。信息保障提出了目前信息基礎(chǔ)設(shè)施的整套安全要求。信息保障依賴人、操作和技術(shù)來實現(xiàn)組織任務(wù)、業(yè)務(wù)運作。穩(wěn)定的信息保證體系意味著信息保證的政策、步驟、技術(shù)與機制在整個組織的信息基礎(chǔ)設(shè)施的所有層面上均得以實施。在制定安全策略中,依據(jù)的IATF信息保障技術(shù)框架定義了對該電子政務(wù)外網(wǎng)系統(tǒng)進行信息保障的過程,以及該系統(tǒng)中硬件和軟件部件的安全要求。遵循這些原則就可以對信息基礎(chǔ)設(shè)施進行名為“深度防御戰(zhàn)略” 的多層防護。信息安全可用性策略是用戶電子政務(wù)外網(wǎng)信息系統(tǒng)安全保護體系的核心。根據(jù)實際情況提出恰當?shù)冒踩呗浴R粋€全面的安全策略將有助于方案的設(shè)計,實施和執(zhí)行。在本章節(jié)中首先完成等級化安全模型、總體安全策略,進而完成核心的安全技術(shù)策略設(shè)計、安全管理策略設(shè)計。
第五章,安全建設(shè)項目規(guī)劃。在本章主要完成整個用戶電子政務(wù)外網(wǎng)安全保護體系建設(shè)項目的整體進度計劃以及各自項目的時間安排。
第六章,安全方案詳細設(shè)計。本章為安全技術(shù)措施設(shè)計和安全管理措施設(shè)計兩部分,并最終形成安全保護體系實施的預期效果(蜘蛛圖)。在安全技術(shù)措施設(shè)計中包括:物理安全、網(wǎng)絡(luò)安全、主機安全、應用安全、數(shù)據(jù)安全及備份恢復。
第七章,系統(tǒng)產(chǎn)品性能要求及選型。在本章中對用戶電子政務(wù)外網(wǎng)安全保護體系中選用的產(chǎn)品按照實際需要完成對性能指標的定量要求以及選型定型。
第八章,項目實施與工程管理。采取工程化的項目管理方法進行嚴格、科學和有效的項目控制和管理。從組織管理和技術(shù)管理兩個方面對項目實施嚴格規(guī)范和有效管理。在項目實施中按照SSE-CMM的要求,即系統(tǒng)按安全工程能力成熟模型,精心工程實施。不斷提高工程的質(zhì)量與可用性,降低工程的實施成本。SSE-CMM給出了信息系統(tǒng)工程建設(shè)需要考慮的關(guān)鍵過程保障域,可能知道工程從單一的安全設(shè)備設(shè)置轉(zhuǎn)向系統(tǒng)的剞劂整個工程的分先評估、安全策略形成、安全方案提出、實施和生命期控制等問題。根據(jù)SSE-CMM,將整個項目所做的工作分為項目啟動準備、項目實施改進、項目完成跟蹤,時需審核和改進以確保建設(shè)的項目能符合設(shè)計的方案。
第九章,安全運行維護與服務(wù)。主張為用戶電子政務(wù)外網(wǎng)系統(tǒng)提供生名周期的服務(wù)。電子政務(wù)外網(wǎng)信息系統(tǒng)的整體性進行考慮,以營運的業(yè)務(wù)流程為眼點,運用信息系統(tǒng)安全工程技術(shù)理論、工具和方法,通過專業(yè),客觀的風險分析,在保證電子政務(wù)外網(wǎng)信息系統(tǒng)應用效率和投資收益比例恰當?shù)那疤嵯拢档涂蛻舻男畔⑾到y(tǒng)運行風險,確保客戶信息系統(tǒng)發(fā)揮其價值。嚴格遵循國家網(wǎng)絡(luò)安全主管部門有關(guān)規(guī)定以及國際安全服務(wù)標準,以ITSM 為目標、ITIL為指導,由專業(yè)從事網(wǎng)絡(luò)服務(wù)和安全服務(wù)的專家小組提供服務(wù),同時對安全管理員進行安全培訓。在系統(tǒng)種植階段遵照以下流程:
“信息轉(zhuǎn)移、暫存和清除過程”是在信息系統(tǒng)中止處理過程中,對于可能會在另外的信息系統(tǒng)中使用的信息采取適當?shù)姆椒▽⑵浒踩霓D(zhuǎn)移或暫存到可以恢復的介質(zhì)中,確保將來可繼續(xù)使用,同時采用安全的方法清除要終止的信息系統(tǒng)的信息。“設(shè)備遷移或廢棄過程”是確保信息系統(tǒng)中之后,遷移或廢棄的設(shè)備內(nèi)不包括敏感信息,對設(shè)備的處理方式應符合國家相關(guān)部門的要求。“存儲介質(zhì)的清除或銷毀過程”是通過采用合理的方式計算機介質(zhì)(包括磁帶、磁盤、打印結(jié)果和文檔)進行信息清除或銷毀處理,防止介質(zhì)內(nèi)的敏感信息泄露。通過講不同的電子政務(wù)外網(wǎng)系統(tǒng)進行的個性處理,導入上述三個基本等級保護的安全保護體系建設(shè)過程,將可以得到完整的安全基于等級保護的安全體系建設(shè)方案,并指導基于等級保護的安全的電子政務(wù)外網(wǎng)系統(tǒng)。
4.2 電子政務(wù)等級保護實施措施
1、周密部署,精心組織
為有效貫徹落實國家信息安全等級保護制度,在總基礎(chǔ)調(diào)查和試點工作基礎(chǔ)上,根據(jù)《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》等相關(guān)規(guī)定,2007年11月13日,電子政務(wù)外網(wǎng)工程辦召開等級工作啟動會,正式啟動國家電子政務(wù)外網(wǎng)安全等級的定級保護工作。
為確保信息系統(tǒng)等級保護工作順利進行,外網(wǎng)工程辦領(lǐng)導高度重視,專門成立了有個主要業(yè)務(wù)部門負責人為成員的等級保護工作小組,全面負責工作的規(guī)劃、協(xié)調(diào)和指導,確定了外網(wǎng)工程版安全組為等級保護工作的牽頭部門,各部門分工協(xié)作。同時,為確保系統(tǒng)劃分和定級工作的準確性,2007年11月22日外網(wǎng)工程辦專門邀請專家,對定級工作進行專項指導。
2、積極做好定級各項工作
信息安全等級保護工作政策性強、技術(shù)要求高,時間有非常緊迫,為此,政務(wù)外網(wǎng)工程辦從3個方面抓好等級保護前期準備工作:一是積極參加公安部組織的等級保護培訓,領(lǐng)會與理解開展信息等級保護目的、意義與技術(shù)要求,系統(tǒng)的掌握信息安全等級保護的基礎(chǔ)知識、實施過程、頂級方法步驟和備案流程。二是多次組織人員開展內(nèi)部討論和交流,使人員較全面的了解等級保護的意義、基礎(chǔ)知識核定級方法。三是開展工程辦各組的業(yè)務(wù)應用摸底調(diào)查,摸清系統(tǒng)的系統(tǒng)機構(gòu)、業(yè)務(wù)類型和應用范圍,并匯總整理政務(wù)外網(wǎng)各組成域的相關(guān)概況。
3、科學準確定級
在開展政務(wù)外網(wǎng)定級工作的過程中突出重點,全面分析政務(wù)外網(wǎng)網(wǎng)絡(luò)基礎(chǔ)平臺的特 點,力求準確劃定定級范圍和定級對象。在此基礎(chǔ)上,依據(jù)《信息安全等級保護管理辦法》,確定政務(wù)外網(wǎng)各組成組子系統(tǒng)(網(wǎng)絡(luò)域)的安全保護等級。
劃定定級對象。根據(jù)《信息系統(tǒng)安全等級保護定級指南》,外網(wǎng)工程辦多次組織技術(shù)和業(yè)務(wù)骨干召開專題會議討論信息系統(tǒng)劃分問題,提出了較為科學合理的信息系統(tǒng)劃分方案。
組織專家自評把關(guān)。根據(jù)等級保護評審的標準與要求,專家們對信息系統(tǒng)劃分和定級報告進行內(nèi)部評審,并給出了內(nèi)部評審意見。根據(jù)專家意見重新修訂并整理了等級保護定級報告及其相關(guān)材料。
此外,在頂級過程中,外網(wǎng)工程辦積極與公安部門等級保護主管部門進行溝通,并竟由相關(guān)專家確定定級對象與等級保護方案后,整理好了所有定級材料,準備下一步的正式評審。
4、定級對象和結(jié)果
根據(jù)政務(wù)外網(wǎng)作為基礎(chǔ)網(wǎng)絡(luò)平臺的特性,以及其接入系統(tǒng)的不同業(yè)務(wù)類型,政務(wù)外網(wǎng)按管理邊界劃分為中央政務(wù)外網(wǎng)、地方政務(wù)外網(wǎng)兩類管理域。中央政務(wù)外網(wǎng)按業(yè)務(wù)邊界劃分功能區(qū),即公用網(wǎng)絡(luò)平臺區(qū)、專用VPN網(wǎng)絡(luò)區(qū)以及互聯(lián)網(wǎng)接入?yún)^(qū),在各功能區(qū)內(nèi)又根據(jù)業(yè)務(wù)類型和系統(tǒng)服務(wù)的不同,確定了多個業(yè)務(wù)系統(tǒng),主要有安全管理系統(tǒng)、應用平臺系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)、郵件系統(tǒng)、VPN業(yè)務(wù)、互聯(lián)網(wǎng)數(shù)據(jù)中心等六個系統(tǒng)作為本次等級保護定級工作的定級對象,分別予以定級(確定等級結(jié)果如下表所示)。
表 國家電子政務(wù)外網(wǎng)業(yè)務(wù)信息系統(tǒng)定級對象和結(jié)果
第五章 基于等級保護的電子政務(wù)安全度量
本章針對安全管理的量化問題,建立了信息安全管理度量的層次結(jié)構(gòu)模型,確定了信息安全管理度量要素及度量指標,設(shè)計了相應的度量方法及輔助調(diào)查工具——度量核查表。
5.1 信息安全度量現(xiàn)狀
信息安全“三分技術(shù),七分管理”的思想目前已經(jīng)被廣泛接受,然而,在實際的安全實踐中,安全管理依然被人們忽視。導致這種局面的一個重要原因是安全管理的有效型難以度量。相對于安全技術(shù),安全管理涉及到更多的領(lǐng)域,包含眾多的非量化的難以測量的因素,如規(guī)章制度度的制定和培訓、管理措施的落實、財政預算的支持等。因此,信息安全管理有效的度量繁雜乃至瑣碎,難度很大。具體實施過程中,對安全管理的度量主要依靠操作人員進行,度量的準確性往往依賴于操作人員的實踐經(jīng)驗、對相關(guān)標準的理解程度等。這些主觀因素往往導致度量結(jié)果不夠準確,不能真實反映安全管理上的弱點,也就不能有針對性的進行改進,從而降低了度量結(jié)果的可信度,進而影響甚至誤導信息安全的改進過程。
管理學上有如下原則:不能被測量的行為是不能被管理的。如何對安全管理進行有效的量化度量,根據(jù)量化的度量結(jié)果進一步指導安全管理,提高信息安全能力和水平,目前已經(jīng)成為信息安全領(lǐng)域的一個研究熱點。
2003年7月,NIST發(fā)布了SP800-55《信息技術(shù)系統(tǒng)安全度量指南》。該標準對安全管理度量定義如下:一種工具,被設(shè)計用來通過收集、分析和報告與性能相關(guān)的數(shù)據(jù),以輔助決策、改善性能和可審計性。《信息技術(shù)系統(tǒng)安全度量指南》中結(jié)合NIST SP800-26《信息技術(shù)系統(tǒng)安全自我評估導則》中的安全控制目標和技術(shù)方法,對角色責任、度量定義、度量類型、度量開發(fā)和實施方法、度量項目的實施過程都做了描述,同時以附件形式給出了17種度量的模板。
SC27N4474:WD 27004(ISO/IEC27004草案)《信息安全管理度量機制和測量措施》中規(guī)定了測量項以及組織可能用于促進對ISMS管理的測量技術(shù),該模型使用客觀信息來監(jiān)督和評審ISMS以及孔子措施的性能。
我國信息安全管理標準的研究比較落后。不僅已經(jīng)制定的少量標準大多沿用國際標準,而且很少直接參與到國際信息安全標準的制定當中,致使無法在國際標準的制定中體現(xiàn)我國國家利益,也只能加了參照國際標準制定相應國內(nèi)標準是的困難。目前在信息安全 管理度量標準方面的主要工作向是積極跟蹤國際信息安全管理度量方法和技術(shù)標準化的動態(tài),系統(tǒng)研究信息安全度量方法和測量技術(shù),抓緊制定相應的國內(nèi)安全管理度量標準,為我國信息安全管理體系建設(shè)提供基礎(chǔ)技術(shù)保障。
5.2 基于等級保護的安全管理度量方法的設(shè)計
安全管理度量的成功實施需要解決若干個關(guān)鍵問題。(1)度量要素、度量指標的選取(2)度量結(jié)果的量化
度量要素是評判信息安全管理是否有效的組成因素,所有度量要素的合理表現(xiàn),就能構(gòu)呈現(xiàn)出信息安全管理的效果。
度量指標是為考察各個度量要素而設(shè)計的核查項,單個的度量指標是安全管理的最小度量單位。通過對某度量要素所包含的若干指標的核查結(jié)果,能夠?qū)υ摱攘恳剡M行評估。
度量要素、度量指標的選取時前提條件,它為安全管理度量的實施準備工具。如果度量要素、度量指標集合不完備、不合理,將導致度量結(jié)果出現(xiàn)較大的偏差,進而影響信息安全管理目標的實現(xiàn);而量化則是對安全管理度量的進一步加工處理,以便從中發(fā)現(xiàn)問題,總計規(guī)律。
1、國家計算機等級保護標準GB17859 根據(jù)《計算機信息系統(tǒng)安全保護等級劃分準則》(GB17859),我國的信息安全劃分為五個級別,即用戶自主保護級、系統(tǒng)審計保護級、安全標記保護級、結(jié)構(gòu)化保護級、訪問驗證保護級。五個級別以第一級用戶自主保護級為基礎(chǔ),每級對信息安全的保護方法一步增強,保護范圍進一步擴大。
GB17859給出了對計算機信息系統(tǒng)實施五級保護的原則,并對各個級別的具體實施要求進行了目標上的闡述,但其本身并沒有提供如何評估某級別安全保護目標是否現(xiàn)得定量化指標。所以根據(jù)GB17859的實施要求有針對性的提出一個安全管理度量方法十分必要。
2、度量要素的選取
ISO/IEC17799確立的信息安全管理體系目前在國際上已經(jīng)成為通行的信息安全管理體系,它包含了安全方針的擬定、安全責任的歸屬、風險的評估與確定、強化安全參數(shù)及存取的控制,提供了10大管理方面,36個管理目標,127重安全控制供用戶選擇和使用。標準自公布以來,被多個國家政府機構(gòu)及其他單位組織采用,受到良好的效果。
為保證度量的全面性與合理性,以ISO/IEC17799中的安全控制措施作為安全管理的度量要素,以保證能夠完成整覆蓋信息安全管理的各個環(huán)節(jié)。同時為每個度量要素設(shè)計了相應的度量指標(核查問題)集合,這樣就首先構(gòu)造了一個安全管理度量要素的全集,以及一個度量指標的全集,其中,單個的度量指標是安全管理的最小度量單位。但在實際操 作中,由于各個信息系統(tǒng)對于安全的要求不同,需要對個度量要素全集和度量指標全集進一步裁剪以符合實際情況。以國家計算機等級保護標準G17859為依據(jù),根據(jù)組織的信息系統(tǒng)所劃分的安全等級,從度量要素全集合度量指標全集中提取相應的度量要素子集、度量指標子集。安全管理度量的層次結(jié)構(gòu)如下圖所示:
如上圖所示,度量要素包含若干個度量指標,即度量該要素的核查問題。度量指標是最小的測量單位,可以分別從規(guī)章制度、落實證據(jù)兩個方面進行設(shè)計。
(1)管理制度包括技術(shù)開發(fā)文檔、管理制度、操作規(guī)程以及其他與系統(tǒng)運行、維護、安全相關(guān)的所有文檔。
(2)落實證據(jù)包括會議紀要、各種登記表、值班日志、故障記錄、出入登記表等紙當文件,也包括對安全管理負責人、系統(tǒng)維護者、企業(yè)關(guān)公等的調(diào)查詢問結(jié)果。
對照ISO/IEC17799的章節(jié)結(jié)構(gòu)設(shè)計安全管理度量核查表,如下表所示:
表 安全管理度量核查表
表中控制措施即為度量要素,核查問題即為度量標準。度量指標的安全類別劃分為與GB17859相對應的5級,如果待度量的信息系統(tǒng)的安全等級被劃分為二級,則表1中于每個度量要素對應的所有安全類別為二級以及以下的度量指標都應被提取出來,構(gòu)成給度量要素的度量指標集合,進而構(gòu)成此次度量的度量指標集合。
3、度量結(jié)果的量化與分析
顯然,定量化的數(shù)據(jù)及圖表在描述安全控制目標實現(xiàn)程度的變化趨勢,證明安全投資合理性方面比非量化的描述更具有優(yōu)勢。因此,試圖從度量要素和度量指標的量化工作出發(fā),最后給出定量化的安全管理度量結(jié)果。在度量要素集合中,各個度量要素對于信息系 統(tǒng)安全的影響是不同。為是度量結(jié)果更真的反應安全管理的各個環(huán)節(jié),需要為各個度量要素賦予不同的權(quán)重。類似的,每個度量要素的各指標也應該賦予不同的權(quán)重。
在統(tǒng)計信息系統(tǒng)安全管理度量的得分時,首先根據(jù)各個度量指標的得分統(tǒng)計加權(quán)得出每個度量要素的得分,然后再由各個度量要素得分的統(tǒng)計加權(quán)得出該組織的安全管理度量最后得分。
如上表所示,度量要素的各個度量指標(核查問題)的設(shè)計應該標準化,如均為單選選擇題,并知道那個簡單明確、無歧義的評分規(guī)則,如選答案“是”應得滿分M,選答案“否”為0分,選答案“一部分”得5分等。度量指標誰的標準優(yōu)化可保證度量結(jié)構(gòu)不受度量實施人員主觀因素的干擾,維持客觀性。
安全管理度量應該定期進行。一段時間(如一年或一季度)內(nèi)的幾次安全管理度量的量化結(jié)果能夠表現(xiàn)安全控制目標實現(xiàn)程度隨時時間的變化趨勢(如下圖所示),幫助管理者識別抵消的安全控制,引導安全投資,提高安全管理水平,實現(xiàn)組織的信息安全目標。
第六章 總結(jié)
本論文主要研究的是基于互聯(lián)網(wǎng)的電子政務(wù)等級保護,首先討論了電子政務(wù)的現(xiàn)狀和主要問題,敘述了基于互聯(lián)網(wǎng)的電子政務(wù)等級保護的建設(shè)和研究。主旨是通過對此項問題的研究,對基于互聯(lián)網(wǎng)的電子政務(wù)等級保護有更深刻的了解,并且加深印象,對此項問題的研究起到推動作用。
隨著社會的發(fā)展,政府的網(wǎng)絡(luò)化越來越重要,使人民的政府成為一個民主的政府,透明的政府,是越來越需要的。
總結(jié)近年來的電子政務(wù)的發(fā)展,總體來說是相當不錯的,國家對此也十分注重,多次制定法律法規(guī)規(guī)范電子政務(wù)的發(fā)展以及應用,為電子政務(wù)在我國普及、發(fā)展提供了必要的條件,同時,也是人們對電子政務(wù)的重要性有了新的認識。
在未來的時間里,電子政務(wù)無疑會成為社會的主流,無論是政府還是企業(yè),都會把發(fā)展電子政務(wù)作為首要問題。電子政務(wù)無疑已經(jīng)成為了一個成熟的企業(yè)、一個發(fā)達的國家的象征。
參考文獻
[1] 馬作者:燕曹,周湛.信息安全法規(guī)與標準[M].北京:機械工業(yè)出版社,2004. [2] 羅海寧 郭紅 吳亞飛
國家電子政務(wù)外網(wǎng)安全等級保護定級工作基本完成 [3] 劉學忠 劉增良 余達太
基于等級保護的安全管理度量方法研究 [4] 孟源 楊宏
基于等級保護的電子政務(wù)外網(wǎng)整體安全解決方案 [5] 吳海波 有效保障電子政務(wù)安全
第三篇:電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護要求
電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護要求 范圍
本標準規(guī)定了公眾電信網(wǎng)和互聯(lián)網(wǎng)的管理安全等級保護要求。
本標準適用于電信網(wǎng)和互聯(lián)網(wǎng)安全防護體系中的各種網(wǎng)絡(luò)和系統(tǒng)。2 規(guī)范性引用文件
下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本標準。然而,鼓勵根據(jù)本標準達成協(xié)議的各方研究是否可使用這些文件的最新版本.凡是不注日期的引用文件,其最新版本適用于本標準。3 術(shù)語和定義
下列術(shù)語和定義適用于本標準。3.1
電信網(wǎng) Telecom Network
利用有線和,或無線的電磁、光電網(wǎng)絡(luò),進行文字、聲音、數(shù)據(jù)、圖像或其他任何媒體的信息傳遞的網(wǎng)絡(luò),包括固定通信網(wǎng)、移動通信網(wǎng)等。3.2
互聯(lián)網(wǎng) Internet
泛指由多個計算機網(wǎng)絡(luò)相互連接而形成的網(wǎng)絡(luò),它是在功能和邏輯上組成的大型計算機網(wǎng)絡(luò)。3.3
安全等級 Security Classification
安全重要程度的表征.重要程度可從網(wǎng)絡(luò)受到破壞后,對國家安全、社會秩序、經(jīng)濟運行、公共利益、網(wǎng)絡(luò)和業(yè)務(wù)運營商造成的損害來衡量。4 管理安全等級保護要求 4.1 第1級要求
不作要求。4.2 第2級要求 4.2.1 安全管理制度 4.2.1.1 管理制度
a)應制定安全工作的總體方針和安全策略,說明機構(gòu)安全工作的總體目標、范圍、原則和安全框架等;
b)應對安全管理活動中重要的管理內(nèi)容建立安全管理制度; c)應對安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程。4.2.1.2 制定和發(fā)布
a)應指定或授權(quán)專門的部門或人員負責安全管理制度的制定;
b)應組織相關(guān)人員對制定的安全管理制度進行論證和審定; c)應將安全管理制度以某種方式發(fā)布到相關(guān)人員手中。4.2.1.3 評審和修訂
應定期對安全管理制度進行評審,對存在不足或需要改進的安全管理制度進行修訂。4.2.2 安全管理機構(gòu) 4.2.2.1 崗位設(shè)置
a)應設(shè)立安全主管、安全管理各個方面的負責人崗位,定義各負責人的職責; b)應設(shè)立系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、安全管理員崗位,定義各個工作崗位的職責。4.2.2.2 人員配備
應配備一定數(shù)量的系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、安全管理員等。4.2.2.3 授權(quán)和審批
a)應根據(jù)各個部門和崗位的職責明確授權(quán)審批部門及批準人,對系統(tǒng)投入運行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問等關(guān)鍵活動進行審批;
b)應針對關(guān)鍵活動建立審批流程,并由批準人簽字確認。4.2.2.4 溝通和合作
a)應加強各類管理人員之間、組織內(nèi)部機構(gòu)之間以及網(wǎng)絡(luò)安全職熊部門內(nèi)部的合作與溝通;
b)應加強與相關(guān)外部單位的合作與溝通。4.2.2.5 審核和檢查
應由安全管理人員定期進行安全檢查,檢查內(nèi)容包括用戶賬號情況、系統(tǒng)漏洞情況、數(shù)據(jù)備份等情況。4.2.3 人員安全管理 4.2.3.1 人員錄用
a)應指定或授權(quán)專門的部門或人員負責人員錄用;
b)應規(guī)范人員錄用過程,對被錄用人員的身份、背景和專業(yè)資格等進行審查,對其所具有的技術(shù)技能進行考核;
c)應與從事關(guān)鍵崗位的人員簽署保密協(xié)議。4.2.3.2 人員離崗
a)應規(guī)范人員離崗過程,及時終止離崗員工的所有訪問權(quán)限;
b)對于離崗人員,應取回各種身份證件、鑰匙、徽章等以及機構(gòu)提供的軟硬件設(shè)備; c)對于離崗人員,應辦理嚴格的調(diào)離手續(xù)。4.2.3.3 人員考核
應定期對各個崗位的人員進行安全技能及安全認知的考核。4.2.3.4 安全意識教育和培訓
a)應對各類人員進行安全意識教育、崗位技能培訓和相關(guān)安全技術(shù)培訓;
b)應告知人員相關(guān)的安全責任和懲戒措施,并對違反違背安全策略和規(guī)定的人員進行懲戒;
c)應制定安全教育和培訓計劃,對網(wǎng)絡(luò)安全基礎(chǔ)知識、崗位操作規(guī)程等進行培訓. 4.2.3.5 外部人員訪問管理
應確保在外部人員訪問受控區(qū)域前得到授權(quán)或?qū)徟鷾屎笥蓪H巳膛阃虮O(jiān)督,并登記備案。
4.2.4 安全建設(shè)管理 4.2.4.1 定級
a)應明確網(wǎng)絡(luò)的邊界和安全保護等級
b)應以書面的形式說明網(wǎng)絡(luò)確定為某個安全等級的方法和理由; c)應確保網(wǎng)絡(luò)的定級結(jié)果經(jīng)過相關(guān)部門的批準。4.2.4.2 安全方案設(shè)計
a)應根據(jù)網(wǎng)絡(luò)的安全保護等級選擇基本安全措施,依據(jù)風險分析的結(jié)果補充和調(diào)整安全措施; b)應以書面形式描述對網(wǎng)絡(luò)的安全保護要求、策略和措施等內(nèi)容,形成網(wǎng)絡(luò)的安全方案;
c)應對安全方案進行細化,形成能指導安全系統(tǒng)建設(shè)、安全產(chǎn)品采購和使用的詳細設(shè)計方案;
d)應組織相關(guān)部門和有關(guān)安全技術(shù)專家對安全設(shè)計方案的合理性和正確性進行論證和審定,并且經(jīng)過批準后,才能正式實施。4.2.4.3 產(chǎn)品采購和使用
a)應確保安全產(chǎn)品采購和使用符合固家的有關(guān)規(guī)定; b)應確保密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求; c)應指定或授權(quán)專門的部門負責產(chǎn)品的采購。4.2.4.4 自行軟件開發(fā)
a)應確保開發(fā)環(huán)境與實際運行環(huán)境物理分開;
b)應制定軟件開發(fā)管理制度,明確說明開發(fā)過程的控制方法和人員行為準則; c)應確保提供軟件設(shè)計的相關(guān)文檔和使用指南,并由專人負責保管。4.2.4.5 外包軟件開發(fā)
a)應根據(jù)開發(fā)需求檢測軟件質(zhì)量;
b)應要求開發(fā)單位提供軟件設(shè)計的相關(guān)文檔和使用指南; c)應在軟件安裝之前檢測軟件包中可能存在的惡意代碼。4.2.4.6工程實施
a)應指定或授權(quán)專門的部門或人員負責工程實施過程的管理; b)應制定詳細的工程實施方案,控制工程實施過程。4.2.4.7 測試驗收
a)應對系統(tǒng)進行安全性測試驗收:
b)在測試驗收前應根據(jù)設(shè)計方案或合同要求等制訂測試驗收方案,在測試驗收過程中應詳細記錄測試驗收結(jié)果,并形成測試驗收報告;
c)應組織相關(guān)部門和相關(guān)人員對網(wǎng)絡(luò)測試驗收報告進行審定,并簽字確認。4.2.4.8 交付
a)應制定網(wǎng)絡(luò)交付清單,并根據(jù)交付清單對所交接的設(shè)備、軟件和文檔等進行清點; b)應對負責網(wǎng)絡(luò)運行維護的技術(shù)人員進行相應的技能培訓;
c)應確保提供網(wǎng)絡(luò)建設(shè)過程中的文檔和指導用戶進行網(wǎng)絡(luò)運行維護的文檔。4.2.4.9 安全服務(wù)商的選擇
a)應確保安全服務(wù)商的選擇符合國家的有關(guān)規(guī)定;
b)應與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議,明確約定相關(guān)責任;
c)應確保選定的安全服務(wù)商提供技術(shù)支持和服務(wù)承諾,必要時與其簽訂服務(wù)合同。4.2.4.10 備案
應將網(wǎng)絡(luò)的定級、屬性等資料指定專門的人員或部門負責管理,并控制這些材料的使用。4.2.5 安全運維管理 4.2.5.1 環(huán)境管理
a)應指定專門的部門或人員定期對機房供配電、空調(diào)、溫濕度控制等設(shè)施進行維護管理;
b)應配備機房安全管理人員,對機房的出入、服務(wù)器的開機或關(guān)機等工作進行管理;
c)應建立機房安全管理制度,對有關(guān)機房物理訪問,物品帶進、帶出機房和機房環(huán)境安全等方面的管理作出規(guī)定;
d)應加強對辦公環(huán)境的保密性管理,包括工作人員調(diào)離辦公室應立即交還該辦公室鑰匙和不在辦公區(qū)接待來訪人員等。4.2.5.2 資產(chǎn)管理
a)應編制與網(wǎng)絡(luò)相關(guān)的資產(chǎn)清單,包括資產(chǎn)責任部門、重要程度和所處位置等內(nèi)容; b)應建立資產(chǎn)安全管理制度-規(guī)定資產(chǎn)管理的責任人員或責任部門,并規(guī)范資產(chǎn)管理和使用的行為。4.2.5.3 介質(zhì)管理
a)應確保介質(zhì)存放在安全的環(huán)境中,對各類介質(zhì)進行控制和保護,并實行存儲環(huán)境專人管理;
b)應對介質(zhì)歸檔和查詢等過程進行記錄,并根據(jù)存檔介質(zhì)的目錄清單定期盤點; c)應對需要送出維修或銷毀的介質(zhì),首先清除其中的敏感數(shù)據(jù),防止信息的非法泄漏; d)應根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進行分類和標識管理。4.2.5.4 設(shè)備管理
a)應對網(wǎng)絡(luò)相關(guān)的各種設(shè)備(包括備份和冗余設(shè)備)、線路等指定專門的部門或人員定期進行維護管理;
b)應建立基于申報、審批和專人負責的設(shè)備安全管理制度,對各種軟硬件設(shè)備的選型、采購、發(fā)放和領(lǐng)用等過程進行規(guī)范化管理;
c)應對終端計算機、工作站、便攜機、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進行規(guī)范化管理,按操作規(guī)程實現(xiàn)關(guān)鍵設(shè)備(包括備份和冗余設(shè)備)的啟動,停止、加電,斷電等操作; d)應確保信息處理設(shè)備必須經(jīng)過審批才能帶離機房或辦公地點。4.2.5.5 網(wǎng)絡(luò)安全管理
a)應指定人員對網(wǎng)絡(luò)進行管理,負責運行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護和報警信息分析和處理工作;
b)應建立網(wǎng)絡(luò)安全管理制度,對網(wǎng)絡(luò)安全配置、日志保存時間、安全策略、升級與打補丁、口令更新周期等方面作出規(guī)定;
c)應根據(jù)廠家提供的軟件升級版本對網(wǎng)絡(luò)設(shè)備進行更新,并在更新前對現(xiàn)有的重要文件進行備份;
d)應定期對網(wǎng)絡(luò)系統(tǒng)進行漏洞掃描,對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進行及時的修補; e)應對網(wǎng)絡(luò)設(shè)備的配置文件進行定期備份; f)應保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準。4.2.5.6 系統(tǒng)安全管理
a)應根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略; b)應定期進行漏洞掃描,對發(fā)現(xiàn)的系統(tǒng)安全漏洞及時進行修補;
c)應安裝系統(tǒng)的最新補丁程序,在安裝系統(tǒng)補丁前,應首先在測試環(huán)境中測試通過,并對重要文件進行備份后,方可實施系統(tǒng)補丁程序的安裝;
d)應建立系統(tǒng)安全管理制度,對系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出規(guī)定;
e)應依據(jù)操作手冊對系統(tǒng)進行維護,詳細記錄操作日志,包括重要的日常操作、運行維護記錄、參數(shù)的設(shè)置和修改等內(nèi)容,嚴禁進行未經(jīng)授權(quán)的操作; f)應定期對運行日志和審計數(shù)據(jù)進行分析,以便及時發(fā)現(xiàn)異常行為。4.2.5.7 惡意代碼防范管理 a)應提高所有用戶的防病毒意識,告知及時升級防病毒軟件,在讀取移動存儲設(shè)備上的數(shù)據(jù)以及從網(wǎng)絡(luò)上接收文件或郵件之前,先進行病毒檢查,對外來計算機或存儲設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也,直進行病毒檢查;
b)應指定專人對網(wǎng)絡(luò)和主機進行惡意代碼檢測并保存檢測記錄;
c)應對防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、定期匯報等作出明確規(guī)定。4.2.5.8 密碼管理
應使用符合國家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。4.2.5.9 變更管理
a)應確認網(wǎng)絡(luò)中要發(fā)生的重要變更,并制定相應的變更方案;
b)網(wǎng)絡(luò)發(fā)生重要變更前,應向主管領(lǐng)導申請,審批后方可實施變更,并在實施后向相關(guān)人員通告。
4.2.5.10 備份與恢復管理
a)應識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等;
b)應規(guī)定備份信息的備份方式(如增量備份或全備份等)、備份頻度(如每日或每周等)、存儲介質(zhì)、保存期等;
c)應根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運行的影響,制定數(shù)據(jù)的備份策略和恢復策略,備份策略應指明各份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質(zhì)替換頻率和將數(shù)據(jù)離站運輸?shù)姆椒ā?/p>
4.2.5.11 安全事件處置
a)應報告所發(fā)現(xiàn)的安全弱點和可疑事件,但任何情況下用戶均不應嘗試驗證弱點; b)應制定安全事件報告和處置管理制度,明確安全事件類型,規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復的管理職責;
c)應根據(jù)安全事件對本網(wǎng)絡(luò)產(chǎn)生的影響,對本網(wǎng)絡(luò)安全事件進行等級劃分; d)應記錄并保存所有報告的安全弱點和可疑事件,分析事件原因,監(jiān)督事態(tài)發(fā)展,采取措施避免安全事件發(fā)生。4.2.5.12 應急預察管理
a)應在統(tǒng)一的應急預案框架下制定不同事件的應急預案,應急預案框架應包括啟動應急預案的條件、應急處理流程、系統(tǒng)恢復流程、事后教育和培訓等內(nèi)容;
b)應對相關(guān)的人員進行應急預案培訓,應急預案的培訓應至少每年舉辦一次。4.3 第3.1級要求 4.3.1 安全管理制度 4.3.1.1 管理制度
除滿足4.2.1.1的要求之外,還應滿足:
a)應對安全管理活動中的各類管理內(nèi)窖建立安全管理制度,以規(guī)范安全管理活動; b)應形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的安全管理制度體系。4.3.1.2 制定和發(fā)布
除滿足4.2.1.2的要求之外,還應滿足:
a)安全管理制度應有統(tǒng)一的格式,并進行版本控制; b)安全管理制度應通過正式、有效的方式發(fā)布; c)安全管理制度應注明發(fā)布范圍,并對收發(fā)文進行登記. 4.3.1.3 評審和修訂
除滿足4.2.1.3的要求之外,還應滿足:
a)安全領(lǐng)導小組應負責定期組織相關(guān)部門和相關(guān)人員對安全管理制度體系的合理性和適用性進行審定;
b)應定期或不定期對安全管理制度進行檢查和審定。4.3.2 安全管理機構(gòu) 4.3.2.1 崗位設(shè)置
除滿足4.2.2.1的要求之外,還應滿足。a)應設(shè)立安全管理工作的職能部門;
b)應成立指導和管理安全工作的委員會或領(lǐng)導小組,其最高領(lǐng)導應由單位主管領(lǐng)導委任或授權(quán);
c)應制定文件明確安全管理機構(gòu)各個部門和崗位的職責、分工和技能要求. 4.3.2.2 人員配備
除滿足4.2.2.2的要求之外,還應滿足: a)應配備專職安全管理員,不可兼任; b)關(guān)鍵事務(wù)崗位應配備多人共同管理。4.3.2.3 授權(quán)和審批
除滿足4.2.2.3的要求之外,還應滿足:
a)應根據(jù)各個部門和崗位的職責明確授權(quán)審批事項;
b)應針對系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項建立審批程序,按照審批程序執(zhí)行審批過程,對重要活動建立逐級審批制度;
c)應定期審查審批事項,及時更新需授權(quán)和審批的項目、審批部門和審批人等信息; d)應記錄審批過程并保存審批文檔。4.3.2.4 溝通相合作
除滿足4.2.2.4的要求之外,還應滿足。
a)各類管理人員之間、組織內(nèi)部機構(gòu)之間以及網(wǎng)絡(luò)安全職能部門內(nèi)部定期或不定期召開協(xié)調(diào)會議,共同協(xié)作處理網(wǎng)絡(luò)安全問題;
b)應建立外聯(lián)單位聯(lián)系列表,包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息;
c)應聘請網(wǎng)絡(luò)安全專家作為常年的安全顧問,指導網(wǎng)絡(luò)安全建設(shè),參與安全規(guī)劃和安全評審等。
4.3.2.5 審核和檢查
除滿足4.2.2.5的要求之外,還應滿足:
a)應由內(nèi)部人員或上級單位定期進行全面安全檢查,檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等;
b)應制定安全檢查表格實施安全檢查,匯總安全檢查數(shù)據(jù),形成安全檢查報告,并對安全檢查結(jié)果進行通報;
c)應制定安全審核和安全檢查制度規(guī)范安全審核和安全檢查工作,定期按照程序進行安全審核和安全檢查活動。4.3.3 人員安全管理 4.3.3.1 人員錄用
除滿足4.2.3.1的要求之外,還應滿足。
a)應嚴格規(guī)范人員錄用過程,對被錄用人的資質(zhì)等進行審查; b)應簽署保密協(xié)議; c)應從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員,并簽署崗位安全協(xié)議。4.3.3.2 人員離崗
除滿足4.2.3.2的要求之外,還應滿足。
關(guān)鍵崗位人員離崗須承諾調(diào)離后的保密義務(wù)后方可離開。4.3.3.3 人員考核
除滿足4.2.3.3的要求之外,還應滿足:
a)應對關(guān)鍵崗位的人員進行全面、嚴格的安全審查和技能考核; b)應對考核結(jié)果進行記錄并保存。4.3.3.4 安全意識教育和培訓
除滿足4.2.3.4的要求之外,還應滿足: a)應對安全責任和懲戒措施進行書面規(guī)定;
b)應對定期安全教育和培訓進行書面規(guī)定,針對不同崗位制定不同的培訓計劃; c)應對安全教育和培訓的情況和結(jié)果進行記錄并歸檔保存。4.3.3.5 外部人員訪問管理
除滿足4.2.3.5的要求之外,還應滿足;
a)應確保在外部人員訪問受控區(qū)域前先提出書面申請;
b)對外部人員允許訪問的區(qū)域、網(wǎng)絡(luò)、設(shè)備、信息等內(nèi)容應進行書面的規(guī)定,并按照規(guī)定執(zhí)行。
4.3.4 安全建設(shè)管理 4.3.4.1 定級
除滿足4.2.4,1的要求之外,還應滿足:
a)應組織相關(guān)部門和有關(guān)安全技術(shù)專家對網(wǎng)絡(luò)定級結(jié)果的合理性和正確性進行論證和審定;
b)應將網(wǎng)絡(luò)的定級結(jié)果分級上報至全國或地區(qū)的主管部門,主管部門對定級結(jié)果審批。
4.3.4.2 安全方案設(shè)計
除滿足4.2.4.2的要求之外,還應滿足: a)應指定和授權(quán)專門的部門對網(wǎng)絡(luò)的安全建設(shè)進行總體規(guī)劃,制定近期和遠期的安全建設(shè)工作計劃;
b)應根據(jù)網(wǎng)絡(luò)的等級劃分情況,統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細設(shè)計方案,并形成配套文件;
c)應組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理鑲略、總體建設(shè)規(guī)劃、詳細設(shè)計方案等相關(guān)配套文件的合理性和正確性進行論證和審定,并且經(jīng)過批準后,才能正式實施;
d)應根據(jù)等級測評、安全評估的結(jié)果定期調(diào)整和慘訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細設(shè)計方案等相關(guān)配套文件。4.3.4.3 產(chǎn)品采購和使用
除滿足4.2.4.3的要求之外,還應滿足:
應預先對產(chǎn)品進行選型測試,確定產(chǎn)品的候選范圍,并定期審定和更新候選產(chǎn)品名單。4.3.4.4 自行軟件開發(fā)
除滿足4.2.4.4的要求之外,還應滿足:
a)應確保開發(fā)人員和測試人員分離,測試數(shù)據(jù)和測試結(jié)果受到控制; b)應制定代碼編寫安全規(guī)范,要求開發(fā)人員參照規(guī)范編寫代碼; c)應確保對程序資源庫的修改、更新、發(fā)布進行授權(quán)和批準。4.3.4.5 外包軟件開發(fā)
與4.2.4.5的要求相同。4.3.4.6 工程實施
除滿足4.2.4.6的要求之外,還應滿足: a)要求工程實施單位能正確地執(zhí)行安全工程過程;
b)應制定工程實施方面的管理制度,明確說明實施過程的控制方法和人員行為準則。4.3.4.7 測試驗收
除滿足4.2.4.7的要求之外,還應滿足:
a)應委托公正的第三方測試單位對網(wǎng)絡(luò)進行安全性測試,并出具安全性測試報告; b)應對系統(tǒng)測試驗收的控制方法和人員行為準則進行書面規(guī)定; c)應指定或授權(quán)專門韻部門負責系統(tǒng)測試驗收的管理,并按照管理規(guī)定的要求完成系統(tǒng)測試驗收工作。4.3.4.8 交付
除滿足4.2.4.8的要求之外,還應滿足;
a)應對網(wǎng)絡(luò)交付的控制方法和人員行為準則進行書面規(guī)定;
b)應指定或授權(quán)專門的部門負責網(wǎng)絡(luò)交付的管理工作,并按照管理規(guī)定的要求完成交付工作;
c)在網(wǎng)絡(luò)正式投入使用前,應根據(jù)實際情況進行試運行,試運行期間應提供相關(guān)應急預防措施;
d)在網(wǎng)絡(luò)正式投入使用后,應對開發(fā)、建設(shè)過程中涉及安全要求的配置、口令等內(nèi)容重新修改、設(shè)定。
4.3.4.9 安全服務(wù)商的選擇
與4.2.4.9的要求相同。4.3.4.10 備案
除滿足4.2.4.10的要求之外,還應滿足:
應將網(wǎng)絡(luò)的安全等級、屬性、定級的理由等資料分級上報至全國或地區(qū)的主管部門備案。4.3.4.11 等級測評
a)在網(wǎng)絡(luò)運行過程中,應至少每年對網(wǎng)絡(luò)進行一次等級測評,發(fā)現(xiàn)不符合相應等級保護標準要求的及時整改;
b)應在網(wǎng)絡(luò)發(fā)生變更時及時對網(wǎng)絡(luò)進行等級測評,發(fā)現(xiàn)級別發(fā)生變化的及時調(diào)整級別并進行安全改造,發(fā)現(xiàn)不符合相應等級保護標準要求的及時整改;
c)應選擇具有國家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測評單位進行等級測評; d)應指定或授權(quán)專門的部門或人員負責等級測評的管理。4.3.5 安全運維管理 4.3.5.1 環(huán)境管理
除滿足4.2.5.1的要求之外,還應滿足:
a)應有指定的部門負責機房安全,并配置電子門禁系統(tǒng),對機房來訪人員實行登記記錄和電子記錄雙重備案管理。b)工作人員離開座位應確保終端計算機退出登錄狀態(tài)和桌面上沒有包含敏感信息的紙檔文件。
4.3.5.2 資產(chǎn)管理
除滿足4.2.5.2的要求之外,還應滿足:
a)應根據(jù)資產(chǎn)的重要程度對資產(chǎn)進行標識管理,根據(jù)資產(chǎn)的價值選擇相應的管理措施;
b)應對信息分類與標識方法作出規(guī)定,并對信息的使用、傳輸和存儲等進行規(guī)范化管理。
4.3.5.3 介質(zhì)管理
除滿足4.2,5.3的要求之外,還應滿足:
a)應建立介質(zhì)安全管理制度,對介質(zhì)的存放環(huán)境、使用、維護和銷毀等方面作出規(guī)定: b)應對介質(zhì)的物理傳輸過程中人員選擇、打包、交付等情況進行控制;
c)應對存儲介質(zhì)的使用過程進行嚴格的管理,對帶出工作環(huán)境的存儲介質(zhì)進行內(nèi)容加密和監(jiān)控管理,對保密性較高的存儲介質(zhì)未經(jīng)批準不得自行銷毀;
d)應根據(jù)數(shù)據(jù)備份的需要對某些介質(zhì)實行異地存儲,存儲地的環(huán)境要求和管理方法應與本地相同;
c)應對重要介質(zhì)中的數(shù)據(jù)和軟件采取加密存儲。4.3.5.4 設(shè)備管理
除滿足4.2.5.4的要求之外,還應滿足:
應建立配套設(shè)施、軟硬件維護方面的管理制度,對其維護進行有效的管理,包括明確維護人員的責任、涉外維修和服務(wù)的審批、維修過程的監(jiān)督控制等。4.3.5.5 監(jiān)控管理
a)應對通信線路、主機、網(wǎng)絡(luò)設(shè)備和應用軟件的運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行監(jiān)測和報警,形成記錄并妥善保存;
b)應組織相關(guān)人員定期對監(jiān)測和報警記錄進行分析、評審,發(fā)現(xiàn)可疑行為,形成分析報告,并采取必要的應對措施;
c)應建立安全管理中心,對設(shè)備狀態(tài)、惡意代碼、補丁升級、安全審計等安全相關(guān)事項進行集中管理。4.3.5.6 網(wǎng)絡(luò)安全管理 除滿足4.2.5.5的要求之外,還應滿足:
a)應實現(xiàn)設(shè)備的最小服務(wù)配置,并對配置文件進行定期離線備份; b)應依據(jù)安全策略允許或者拒絕便攜式和移動式設(shè)備的網(wǎng)絡(luò)接入: c)應定期檢查違反規(guī)定撥號上闞或其他違反網(wǎng)絡(luò)安全策略的行為。4.3.5.7 系統(tǒng)安全管理
除滿足4.2.5.6的要求之外,還應滿足:
應指定專人對系統(tǒng)進行管理,劃分系統(tǒng)管理員角色,明確各個角色的權(quán)限、責任和風險,權(quán)限設(shè)定應當遵循最小授權(quán)原則。4.3.5.8 惡意代碼防范管理
除滿足4.2.5.7的要求之外,還應滿足:
應定期檢查網(wǎng)絡(luò)內(nèi)各種產(chǎn)品的惡意代碼庫的升級情況并進行記錄,對主機防病毒產(chǎn)品、防病毒網(wǎng)關(guān)和郵件防病毒網(wǎng)關(guān)上截獲的危險病毒或惡意代碼進行及時分析處理,并形成書面的報表和總結(jié)匯報。4.3.5.9 密碼管理
除滿足4.2.5.8的要求之外,還應滿足:
應建立密碼使用管理制度。4.3.5.10 變更管理
除滿足4.2.5.9的要求之外,還應滿足:
a)應建立變更管理制度,變更和變更方案需有評審過程;
b)應建立變更控制的申報和審批文件化程序,對變更影響進行分析并文檔化,記錄變更實施過程,并妥善保存所有文檔和記錄;
c)應建立中止變更并從失敗變更中恢復的文件化程序,明確過程控制方法和人員職責,必要時對恢復過程進行演練。4.3.5.11 備份與恢復管理
除滿足4.2.5.10的要求之外,還應滿足: a)應建立備份與恢復管理相關(guān)的安全管理制度;
b)應建立控制數(shù)據(jù)備份和恢復過程的程序,對備份過程進行記錄,所有文件和記錄應妥善保存; c)應定期執(zhí)行恢復程序,檢查和測試備份介質(zhì)的有效性,確保可以在恢復程序規(guī)定的時間內(nèi)完成備份的恢復。4.3.5.12 安全事件處置
除滿足4.2.5.11的要求之外,還應滿足:
a)應制定安全事件報告和響應處理程序,確定事件的報告流程,響應和處置的范圍、程度,以及處理方法等;
b)應在安全事件報告和響應處理過程中,分析和鑒定事件產(chǎn)生的原因,收集證據(jù),記錄處理過程,總結(jié)經(jīng)驗教訓,制定防止再次發(fā)生的補救措施,過程形成的所有文件和記錄均應妥善保存;
c)對造成系統(tǒng)中斷和造成信息泄密的安全事件應采用不同的處理程序和報告程序。4.3.5.13 應急預案管理
除滿足4.2.5.12的要求之外,還應滿足:
a)應從人力、設(shè)備、技術(shù)和財務(wù)等方面確保應急預案的執(zhí)行有足夠的資源保障; b)應定期對應急預案進行演練,根據(jù)不同的應急恢復內(nèi)容,確定演練的周期; c)應規(guī)定應急預案需要定期審查和根據(jù)實際情況更新的內(nèi)容,并按照執(zhí)行。4.4 第3.2級要求
與第3.1級要求相同。
4.5 第4圾要求
同第3.2級要求。4.6 第5級要求
待補充。
第四篇:安全等級保護管理辦法
安全等級保護管理辦法
為規(guī)范信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩(wěn)定和公共利益,保障和促進信息化建設(shè),根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等有關(guān)法律法規(guī)制定以下辦法:
第1條 網(wǎng)絡(luò)安全策略管理由安全保密管理員專職負責,未經(jīng)允許任何人不得進行此項操作。
第2條 根據(jù)網(wǎng)絡(luò)信息系統(tǒng)的安全設(shè)計要求及主機審計系統(tǒng)數(shù)據(jù)的分析結(jié)果,制定、配置、修改、刪除主機審計系統(tǒng)的各項管理策略,并做記錄。
第3條 根據(jù)網(wǎng)絡(luò)信息系統(tǒng)的安全設(shè)計要求制定、配置、修改、刪除網(wǎng)絡(luò)安全評估分析系統(tǒng)的各項管理策略,并做記錄。
第4條 根據(jù)網(wǎng)絡(luò)信息系統(tǒng)的安全設(shè)計要求制定、配置、修改、刪除入侵檢測系統(tǒng)的各項管理策略,并做記錄。
第5條 根據(jù)網(wǎng)絡(luò)信息系統(tǒng)的安全設(shè)計要求制定、配置、修改、刪除、內(nèi)網(wǎng)主機安全監(jiān)控與審計系統(tǒng)的各項管理策略,并做記錄。
第6條 每周對網(wǎng)絡(luò)信息系統(tǒng)安全管理策略進行數(shù)據(jù)備份,并作詳細記錄。第7條 網(wǎng)絡(luò)信息安全技術(shù)防護系統(tǒng)(主機審計系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、內(nèi)網(wǎng)主機安全監(jiān)控與審計系統(tǒng))由網(wǎng)絡(luò)安全保密管理員統(tǒng)一負責安裝和卸載。
第8條 網(wǎng)絡(luò)信息系統(tǒng)安全檢查由安全保密管理員專職負責執(zhí)行,未經(jīng)允許任何人不得進行此項操作。
第9條 每天根據(jù)入侵檢測系統(tǒng)的系統(tǒng)策略檢測、審計系統(tǒng)日志,檢查是否有網(wǎng)絡(luò)攻擊、異常操作、不正常數(shù)據(jù)流量等,對異常情況做及時處理,遇有重大安全問題上報保密局,并做詳細記錄。
第10條 每周登陸入侵檢測系統(tǒng)產(chǎn)品網(wǎng)站,下載最新升級文件包,對系統(tǒng)進行更新,并做詳細記錄。
第11條 每月通過漏洞掃描系統(tǒng)對網(wǎng)絡(luò)系統(tǒng)終端進行安全評估分析,并對掃描結(jié)果進行分析,及時對終端系統(tǒng)漏洞及安全隱患進行處理,作詳細記錄,并將安全評估分析報告上報保密辦。
第12條 每周登錄全評估產(chǎn)品網(wǎng)站,下載最新升級文件包,對系統(tǒng)進行更新,并作詳細記錄。
第13條 每周備份入侵檢測系統(tǒng)和漏洞掃描系統(tǒng)的審計信息,并作詳細記錄。第14條 涉密計算機安全管理由安全保密管理員專人負責,未經(jīng)允許任何人不得進行此項操作。
第15條 根據(jù)網(wǎng)絡(luò)系統(tǒng)安全設(shè)計要求制定、修改、刪除涉密計算機安全審計策略,包括打印控制策略、外設(shè)輸入輸出控制策略、應用程序控制策略,并做記錄。
第16條 每日對涉密計算機進行安全審計,及時處理安全問題,并做詳細記錄,遇有重大問題上報保密部門。
第17條 涉密計算機的新增、變更、淘汰需經(jīng)保密部門審批,審批通過后由安全保密管理員統(tǒng)一進行操作,并做詳細記錄。
第18條 新增涉密計算機聯(lián)入涉密網(wǎng)絡(luò),需經(jīng)保密局審批,由安全保密管理員統(tǒng)一進行操作,并做詳細記錄。
第五篇:信息安全等級保護
信息安全等級保護(二級)信息安全等級保護(二級)備注:其中黑色字體為信息安全等級保護第二級系統(tǒng)要求,藍色字體為第三級系統(tǒng)等保要求。
一、物理安全
1、應具有機房和辦公場地的設(shè)計/驗收文檔(機房場地的選址說明、地線連接要求的描述、建筑材料具有相應的耐火等級說明、接地防靜電措施)
2、應具有有來訪人員進入機房的申請、審批記錄;來訪人員進入機房的登記記錄
3、應配置電子門禁系統(tǒng)(三級明確要求);電子門禁系統(tǒng)有驗收文檔或產(chǎn)品安全認證資質(zhì),電子門禁系統(tǒng)運行和維護記錄
4、主要設(shè)備或設(shè)備的主要部件上應設(shè)置明顯的不易除去的標記
5、介質(zhì)有分類標識;介質(zhì)分類存放在介質(zhì)庫或檔案室內(nèi),磁介質(zhì)、紙介質(zhì)等分類存放
6、應具有攝像、傳感等監(jiān)控報警系統(tǒng);機房防盜報警設(shè)施的安全資質(zhì)材料、安裝測試和驗收報告;機房防盜報警系統(tǒng)的運行記錄、定期檢查和維護記錄;
7、應具有機房監(jiān)控報警設(shè)施的安全資質(zhì)材料、安裝測試和驗收報告;機房監(jiān)控報警系統(tǒng)的運行記錄、定期檢查和維護記錄
8、應具有機房建筑的避雷裝置;通過驗收或國家有關(guān)部門的技術(shù)檢測;
9、應在電源和信號線上增加有資質(zhì)的防雷保安器;具有防雷檢測資質(zhì)的檢測部門對防雷裝置的檢測報告
10、應具有自動檢測火情、自動報警、自動滅火的自動消防系統(tǒng);自動消防系統(tǒng)的運行記錄、檢查和定期維護記錄;消防產(chǎn)品有效期合格;自動消防系統(tǒng)是經(jīng)消防檢測部門檢測合格的產(chǎn)品
11、應具有除濕裝置;空調(diào)機和加濕器;溫濕度定期檢查和維護記錄
12、應具有水敏感的檢測儀表或元件;對機房進行防水檢測和報警;防水檢測裝置的運行記錄、定期檢查和維護記錄
13、應具有溫濕度自動調(diào)節(jié)設(shè)施;溫濕度自動調(diào)節(jié)設(shè)施的運行記錄、定期檢查和維護記錄
14、應具有短期備用電力供應設(shè)備(如UPS);短期備用電力供應設(shè)備的運行記錄、定期檢查和維護記錄
15、應具有冗余或并行的電力電纜線路(如雙路供電方式)
16、應具有備用供電系統(tǒng)(如備用發(fā)電機);備用供電系統(tǒng)運行記錄、定期檢查和維護記錄
二、安全管理制度
1、應具有對重要管理操作的操作規(guī)程,如系統(tǒng)維護手冊和用戶操作規(guī)程
2、應具有安全管理制度的制定程序:
3、應具有專門的部門或人員負責安全管理制度的制定(發(fā)布制度具有統(tǒng)一的格式,并進行版本控制)
4、應對制定的安全管理制度進行論證和審定,論證和審定方式如何(如召開評審會、函審、內(nèi)部審核等),應具有管理制度評審記錄
5、應具有安全管理制度的收發(fā)登記記錄,收發(fā)應通過正式、有效的方式(如正式發(fā)文、領(lǐng)導簽署和單位蓋章等)----安全管理制度應注明發(fā)布范圍,并對收發(fā)文進行登記。
6、信息安全領(lǐng)導小組定期對安全管理制度體系的合理性和適用性進行審定,審定周期多長。(安全管理制度體系的評審記錄)
7、系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時應對安全管理制度進行檢查,對需要改進的制度進行修訂。(應具有安全管理制度修訂記錄)
三、安全管理機構(gòu)
1、應設(shè)立信息安全管理工作的職能部門
2、應設(shè)立安全主管、安全管理各個方面的負責人
3、應設(shè)立機房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位(分工明確,各司其職),數(shù)量情況(管理人員名單、崗位與人員對應關(guān)系表)
4、安全管理員應是專職人員
5、關(guān)鍵事物需要配備2人或2人以上共同管理,人員具體配備情況如何。
6、應設(shè)立指導和管理信息安全工作的委員會或領(lǐng)導小組(最高領(lǐng)導是否由單位主管領(lǐng)導委任或授權(quán)的人員擔任)
7、應對重要信息系統(tǒng)活動進行審批(如系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓、產(chǎn)品的采購、外部人員的訪問等),審批部門是何部門,審批人是何人。審批程序:
8、應與其它部門之間及內(nèi)部各部門管理人員定期進行溝通(信息安全領(lǐng)導小組或者安全管理委員會應定期召開會議)
9、應組織內(nèi)部機構(gòu)之間以及信息安全職能部門內(nèi)部的安全工作會議文件或會議記錄,定期:
10、信息安全管理委員會或領(lǐng)導小組安全管理工作執(zhí)行情況的文件或工作記錄(如會議記錄/紀要,信息安全工作決策文檔等)
11、應與公安機關(guān)、電信公司和兄弟單位等的溝通合作(外聯(lián)單位聯(lián)系列表)
12、應與供應商、業(yè)界專家、專業(yè)的安全公司、安全組織等建立溝通、合作機制。
13、聘請信息安全專家作為常年的安全顧問(具有安全顧問名單或者聘請安全顧問的證明文件、具有安全顧問參與評審的文檔或記錄)
14、應組織人員定期對信息系統(tǒng)進行安全檢查(查看檢查內(nèi)容是否包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況)
15、應定期進行全面安全檢查(安全檢查是否包含現(xiàn)行技術(shù)措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格,安全檢查報告,檢查結(jié)果通告記錄)
四、人員安全管理
1、何部門/何人負責安全管理和技術(shù)人員的錄用工作(錄用過程)
2、應對被錄用人的身份、背景、專業(yè)資格和資質(zhì)進行審查,對技術(shù)人員的技術(shù)技能進行考核,技能考核文檔或記錄
3、應與錄用后的技術(shù)人員簽署保密協(xié)議(協(xié)議中有保密范圍、保密責任、違約責任、協(xié)議的有效期限和責任人的簽字等內(nèi)容)
4、應設(shè)定關(guān)鍵崗位,對從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔,是否要求其簽署崗位安全協(xié)議。
5、應及時終止離崗人員的所有訪問權(quán)限(離崗人員所有訪問權(quán)限終止的記錄)
6、應及時取回離崗人員的各種身份證件、鑰匙、徽章等以及機構(gòu)提供的軟硬件設(shè)備等(交還身份證件和設(shè)備等的登記記錄)
7、人員離崗應辦理調(diào)離手續(xù),是否要求關(guān)鍵崗位調(diào)離人員承諾相關(guān)保密義務(wù)后方可離開(具有按照離崗程序辦理調(diào)離手續(xù)的記錄,調(diào)離人員的簽字)
8、對各個崗位人員應定期進行安全技能考核;具有安全技能考核記錄,考核內(nèi)容要求包含安全知識、安全技能等。
9、對關(guān)鍵崗位人員的安全審查和考核與一般崗位人員有何不同,審查內(nèi)容是否包括操作行為和社會關(guān)系等。
10、應對各類人員(普通用戶、運維人員、單位領(lǐng)導等)進行安全教育、崗位技能和安全技術(shù)培訓。
11、應針對不同崗位制定不同的培訓計劃,并按照計劃對各個崗位人員進行安全教育和培訓(安全教育和培訓的結(jié)果記錄,記錄應與培訓計劃一致)
12、外部人員進入條件(對哪些重要區(qū)域的訪問須提出書面申請批準后方可進入),外部人員進入的訪問控制(由專人全程陪同或監(jiān)督等)
13、應具有外部人員訪問重要區(qū)域的書面申請
14、應具有外部人員訪問重要區(qū)域的登記記錄(記錄描述了外部人員訪問重要區(qū)域的進入時間、離開時間、訪問區(qū)域、訪問設(shè)備或信息及陪同人等)
五、系統(tǒng)建設(shè)管理
1、應明確信息系統(tǒng)的邊界和安全保護等級(具有定級文檔,明確信息系統(tǒng)安全保護等級)
2、應具有系統(tǒng)建設(shè)/整改方案
3、應授權(quán)專門的部門對信息系統(tǒng)的安全建設(shè)進行總體規(guī)劃,由何部門/何人負責
4、應具有系統(tǒng)的安全建設(shè)工作計劃(系統(tǒng)安全建設(shè)工作計劃中明確了近期和遠期的安全建設(shè)計劃)
5、應組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件進行論證和審定(配套文件的論證評審記錄或文檔)
6、應對總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件應定期進行調(diào)整和修訂
7、應具有總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細設(shè)計方案等相關(guān)配套文件的維護記錄或修訂版本
8、應按照國家的相關(guān)規(guī)定進行采購和使用系統(tǒng)信息安全產(chǎn)品
9、安全產(chǎn)品的相關(guān)憑證,如銷售許可等,應使用符合國家有關(guān)規(guī)定產(chǎn)品
10、應具有專門的部門負責產(chǎn)品的采購
11、采購產(chǎn)品前應預先對產(chǎn)品進行選型測試確定產(chǎn)品的候選范圍,形成候選產(chǎn)品清單,是否定期審定和更新候選產(chǎn)品名單
12、應具有產(chǎn)品選型測試結(jié)果記錄和候選產(chǎn)品名單及更新記錄(產(chǎn)品選型測試結(jié)果文檔)
13、應具有軟件設(shè)計相關(guān)文檔,專人保管軟件設(shè)計的相關(guān)文檔,應具有軟件使用指南或操作手冊
14、對程序資源庫的修改、更新、發(fā)布應進行授權(quán)和批準
15、應具有程序資源庫的修改、更新、發(fā)布文檔或記錄
16、軟件交付前應依據(jù)開發(fā)協(xié)議的技術(shù)指標對軟件功能和性能等進行驗收檢測
17、軟件安裝之前應檢測軟件中的惡意代碼(該軟件包的惡意代碼檢測報告),檢測工具是否是第三方的商業(yè)產(chǎn)品
18、應具有軟件設(shè)計的相關(guān)文檔和使用指南
19、應具有需求分析說明書、軟件設(shè)計說明書、軟件操作手冊等開發(fā)文檔
20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質(zhì)量控制
21、應具有工程實施過程應按照實施方案形成各種文檔,如階段性工程進程匯報報告,工程實施方案
22、在信息系統(tǒng)正式運行前,應委托第三方測試機構(gòu)根據(jù)設(shè)計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試(第三方測試機構(gòu)出示的系統(tǒng)安全性測試驗收報告)
23、應具有工程測試驗收方案(測試驗收方案與設(shè)計方案或合同要求內(nèi)容一致)
24、應具有測試驗收報告
25、應指定專門部門負責測試驗收工作(具有對系統(tǒng)測試驗收報告進行審定的意見)
26、根據(jù)交付清單對所交接的設(shè)備、文檔、軟件等進行清點(系統(tǒng)交付清單)
27、應具有系統(tǒng)交付時的技術(shù)培訓記錄
28、應具有系統(tǒng)建設(shè)文檔(如系統(tǒng)建設(shè)方案)、指導用戶進行系統(tǒng)運維的文檔(如服務(wù)器操作規(guī)程書)以及系統(tǒng)培訓手冊等文檔。
29、應指定部門負責系統(tǒng)交付工作
30、應具有與產(chǎn)品供應商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運維商和等級測評機構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議(文檔中有保密范圍、安全責任、違約責任、協(xié)議的有效期限和責任人的簽字等內(nèi)容
31、選定的安全服務(wù)商應提供一定的技術(shù)培訓和服務(wù)
32、應與安全服務(wù)商簽訂的服務(wù)合同或安全責任合同書
11、采購產(chǎn)品前應預先對產(chǎn)品進行選型測試確定產(chǎn)品的候選范圍,形成候選產(chǎn)品清單,是否定期審定和更新候選產(chǎn)品名單
12、應具有產(chǎn)品選型測試結(jié)果記錄和候選產(chǎn)品名單及更新記錄(產(chǎn)品選型測試結(jié)果文檔)
13、應具有軟件設(shè)計相關(guān)文檔,專人保管軟件設(shè)計的相關(guān)文檔,應具有軟件使用指南或操作手冊
14、對程序資源庫的修改、更新、發(fā)布應進行授權(quán)和批準
15、應具有程序資源庫的修改、更新、發(fā)布文檔或記錄
16、軟件交付前應依據(jù)開發(fā)協(xié)議的技術(shù)指標對軟件功能和性能等進行驗收檢測
17、軟件安裝之前應檢測軟件中的惡意代碼(該軟件包的惡意代碼檢測報告),檢測工具是否是第三方的商業(yè)產(chǎn)品
18、應具有軟件設(shè)計的相關(guān)文檔和使用指南
19、應具有需求分析說明書、軟件設(shè)計說明書、軟件操作手冊等開發(fā)文檔
20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質(zhì)量控制
21、應具有工程實施過程應按照實施方案形成各種文檔,如階段性工程進程匯報報告,工程實施方案
22、在信息系統(tǒng)正式運行前,應委托第三方測試機構(gòu)根據(jù)設(shè)計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試(第三方測試機構(gòu)出示的系統(tǒng)安全性測試驗收報告)
23、應具有工程測試驗收方案(測試驗收方案與設(shè)計方案或合同要求內(nèi)容一致)
24、應具有測試驗收報告
25、應指定專門部門負責測試驗收工作(具有對系統(tǒng)測試驗收報告進行審定的意見)
26、根據(jù)交付清單對所交接的設(shè)備、文檔、軟件等進行清點(系統(tǒng)交付清單)
27、應具有系統(tǒng)交付時的技術(shù)培訓記錄
28、應具有系統(tǒng)建設(shè)文檔(如系統(tǒng)建設(shè)方案)、指導用戶進行系統(tǒng)運維的文檔(如服務(wù)器操作規(guī)程書)以及系統(tǒng)培訓手冊等文檔。
29、應指定部門負責系統(tǒng)交付工作
30、應具有與產(chǎn)品供應商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運維商和等級測評機構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議(文檔中有保密范圍、安全責任、違約責任、協(xié)議的有效期限和責任人的簽字等內(nèi)容
31、選定的安全服務(wù)商應提供一定的技術(shù)培訓和服務(wù)
32、應與安全服務(wù)商簽訂的服務(wù)合同或安全責任合同書
六、系統(tǒng)運維管理
1、應指定專人或部門對機房的基本設(shè)施(如空調(diào)、供配電設(shè)備等)進行定期維護,由何部門/何人負責。
2、應具有機房基礎(chǔ)設(shè)施的維護記錄,空調(diào)、溫濕度控制等機房設(shè)施定期維護保養(yǎng)的記錄
3、應指定部門和人員負責機房安全管理工作
4、應對辦公環(huán)境保密性進行管理(工作人員離開座位確保終端計算機退出登錄狀態(tài)、桌面上沒有包含敏感信息的紙檔文件)
5、應具有資產(chǎn)清單(覆蓋資產(chǎn)責任人、所屬級別、所處位置、所處部門等方面)
6、應指定資產(chǎn)管理的責任部門或人員
7、應依據(jù)資產(chǎn)的重要程度對資產(chǎn)進行標識
8、介質(zhì)存放于何種環(huán)境中,應對存放環(huán)境實施專人管理(介質(zhì)存放在安全的環(huán)境(防潮、防盜、防火、防磁,專用存儲空間))
9、應具有介質(zhì)使用管理記錄,應記錄介質(zhì)歸檔和使用等情況(介質(zhì)存放、使用管理記錄)
10、對介質(zhì)的物理傳輸過程應要求選擇可靠傳輸人員、嚴格介質(zhì)的打包(如采用防拆包裝置)、選擇安全的物理傳輸途徑、雙方在場交付等環(huán)節(jié)的控制
11、應對介質(zhì)的使用情況進行登記管理,并定期盤點(介質(zhì)歸檔和查詢的記錄、存檔介質(zhì)定期盤點的記錄)
12、對送出維修或銷毀的介質(zhì)如何管理,銷毀前應對數(shù)據(jù)進行凈化處理。(對帶出工作環(huán)境的存儲介質(zhì)是否進行內(nèi)容加密并有領(lǐng)導批準。對保密性較高的介質(zhì)銷毀前是否有領(lǐng)導批準)(送修記錄、帶出記錄、銷毀記錄)
13、應對某些重要介質(zhì)實行異地存儲,異地存儲環(huán)境是否與本地環(huán)境相同(防潮、防盜、防火、防磁,專用存儲空間)
14、介質(zhì)上應具有分類的標識或標簽
15、應對各類設(shè)施、設(shè)備指定專人或?qū)iT部門進行定期維護。
16、應具有設(shè)備操作手冊
17、應對帶離機房的信息處理設(shè)備經(jīng)過審批流程,由何人審批(審批記錄)
18、應監(jiān)控主機、網(wǎng)絡(luò)設(shè)備和應用系統(tǒng)的運行狀況等
19、應有相關(guān)網(wǎng)絡(luò)監(jiān)控系統(tǒng)或技術(shù)措施能夠?qū)νㄐ啪€路、主機、網(wǎng)絡(luò)設(shè)備和應用軟件的運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行監(jiān)測和報警
20、應具有日常運維的監(jiān)控日志記錄和運維交接日志記錄
21、應定期對監(jiān)控記錄進行分析、評審
22、應具有異常現(xiàn)象的現(xiàn)場處理記錄和事后相關(guān)的分析報告
23、應建立安全管理中心,對設(shè)備狀態(tài)、惡意代碼、補丁升級、安全審計等相關(guān)事項進行集中管理
24、應指定專人負責維護網(wǎng)絡(luò)安全管理工作
25、應對網(wǎng)絡(luò)設(shè)備進行過升級,更新前應對現(xiàn)有的重要文件是否進行備份(網(wǎng)絡(luò)設(shè)備運維維護工作記錄)
26、應對網(wǎng)絡(luò)進行過漏洞掃描,并對發(fā)現(xiàn)的漏洞進行及時修補。
27、對設(shè)備的安全配置應遵循最小服務(wù)原則,應對配置文件進行備份(具有網(wǎng)絡(luò)設(shè)備配置數(shù)據(jù)的離線備份)
28、系統(tǒng)網(wǎng)絡(luò)的外聯(lián)種類(互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級部門網(wǎng)絡(luò)等)應都得到授權(quán)與批準,由何人/何部門批準。應定期檢查違規(guī)聯(lián)網(wǎng)的行為。
29、對便攜式和移動式設(shè)備的網(wǎng)絡(luò)接入應進行限制管理
30、應具有內(nèi)部網(wǎng)絡(luò)外聯(lián)的授權(quán)批準書,應具有網(wǎng)絡(luò)違規(guī)行為(如撥號上網(wǎng)等)的檢查手段和工具。
31、在安裝系統(tǒng)補丁程序前應經(jīng)過測試,并對重要文件進行備份。
32、應有補丁測試記錄和系統(tǒng)補丁安裝操作記錄
33、應對系統(tǒng)管理員用戶進行分類(比如:劃分不同的管理角色,系統(tǒng)管理權(quán)限與安全審計權(quán)限分離等)
34、審計員應定期對系統(tǒng)審計日志進行分析(有定期對系統(tǒng)運行日志和審計數(shù)據(jù)的分析報告)
35、應對員工進行基本惡意代碼防范意識的教育,如告知應及時升級軟件版本(對員工的惡意代碼防范教育的相關(guān)培訓文檔)
36、應指定專人對惡意代碼進行檢測,并保存記錄。
37、應具有對網(wǎng)絡(luò)和主機進行惡意代碼檢測的記錄
38、應對惡意代碼庫的升級情況進行記錄(代碼庫的升級記錄),對各類防病毒產(chǎn)品上截獲的惡意代碼是否進行分析并匯總上報。是否出現(xiàn)過大規(guī)模的病毒事件,如何處理
39、應具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告 40、應具有變更方案評審記錄和變更過程記錄文檔。
41、重要系統(tǒng)的變更申請書,應具有主管領(lǐng)導的批準
42、系統(tǒng)管理員、數(shù)據(jù)庫管理員和網(wǎng)絡(luò)管理員應識別需定期備份的業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)(備份文件記錄)
43、應定期執(zhí)行恢復程序,檢查和測試備份介質(zhì)的有效性
44、應有系統(tǒng)運維過程中發(fā)現(xiàn)的安全弱點和可疑事件對應的報告或相關(guān)文檔
45、應對安全事件記錄分析文檔
46、應具有不同事件的應急預案
47、應具有應急響應小組,應具備應急設(shè)備并能正常工作,應急預案執(zhí)行所需資金應做過預算并能夠落實。
48、應對系統(tǒng)相關(guān)人員進行應急預案培訓(應急預案培訓記錄)
49、應定期對應急預案進行演練(應急預案演練記錄)50、應對應急預案定期進行審查并更新
51、應具有更新的應急預案記錄、應急預案審查記錄。