信息系统等级保护报告(通用8篇)
(起草参考实例)
一、支付通网上支付服务系统描述
(一)该中间业务于*年*月*日由*省邮政局科技立项,省邮政信息技术局自主研发。目前该系统由技术局运行维护部负责运行维护。省邮政局是该信息系统业务的主管部门,省邮政局委托技术局为该信息系统定级的责任单位。
(二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对邮储金融中间业务信息进行采集、加工、存储、传输、检索等处理的人机系统。整个网络分为两部分,(图略),第一部分为省数据中心,第二部分为市局局域网。
在省数据中心的核心设备部署了华为的S**三层交换机,……
在省数据中心的网络中配置了两台与外部网络互联的边界设备:天融信 NGFW 4**防火墙和Cisco 2**路由器……
省数据中心网络中剩下的一部分就是与下面各个地市的互联。其中主要设备部署的是……整个省数据中心网络中的所有设备系统都按照统一的设备管理策略,只能现场配置,不可远程拨号登录。
整个信息系统的网络系统边界设备可定为NGFW 4** 与 Cisco 2**。Cisco 2** 外联的其它系统都划分为外部网络部分,而
NGFW 4** 以内的部分包括与各地市互联的部分都可归为中心的内部网络,与中间业务系统相关的省数据中心网络边界部分和内部网络部分都是等级保护定级的范围和对象。在此次定级过程中,将各市的网络和数据中心连同省中心统一作为一个定级对象加以考虑,统一进行定级、备案。各市的网络和数据中心还要作为整个系统的分系统分别进行定级、备案。
(三)该支付服务系统业务主要包含:网络表够电、IC卡购电、抄表购电等便民缴费服务。用户不必受网点营业时间限制,足不出户在线完成各类行业IC卡的充值及信用卡还款、手机充值、游戏点卡、航空客票购买等增值服务。支付宝账号充值和订单支付服务。为银行和银行卡用户提供服务通道,借助支付通平台和支付通终端提供的通路,银行卡用户可在线办理银行卡余额查询、转账等银行卡业务。信息订阅:针对支付通平台用户提供各类信息订阅,为用户提供合作商户及支付通的各类优惠打折信息订阅,主要是通过手机短信或彩信、网页显示方式推送给用户。支付宝账号充值和订单支付服务。后续还会有诸如歌华宽带、速通卡业务、各类手机账单缴费业务、账单支付业务等。
涵盖了网上购物、保险、教育、旅游、交通等行业的电子商务业务的网络支付服务。系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。其中:通过网络与第三方机构的连接,均采用约定好的报文格式进行通讯,业务处理流程实时完
成。
业务处理系统以省集中结构模式,负责各类中间业务的业务处理,包括与第三方实时连接、接口协议转换、非实时批量数据的采集、业务处理逻辑的实现、与会计核算系统的连接等。
二、X省邮政金融网中间业务系统安全保护等级的确定
(一)业务信息安全保护等级的确定
1、业务信息描述
金融网中间业务信息包括:代收费情况信息,缴费公民、法人和其他组织的的个人(单位)信息,欠费情况,以及代收费的银行、电信、燃气、税务、保险等部门的信息等。属于公民、法人和其他组织的专有信息。
2、业务信息受到破坏时所侵害客体的确定(侵害的客体包括:1国家安全,2社会秩序和公共利益,3公民、法人和其他组织的合法权益等共三个客体)
该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益。
侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对公民、法人和其他组织的合法权益造成影响和损害,可以表现为:影响正常工作的开展,导致业务能力下降,造成不良影响,引起法律纠纷等。
3、信息受到破坏后对侵害客体的侵害程度(即上述分析的结果的表现程度)
上述结果的程度表现为严重损害,即工作职能收到严重影响,业务能力显著先将,出现较严重的法律问题,较大范围的不良影响等。
4、确定业务信息安全等级
查《定级指南》表2知,业务信息安全保护等级为第二级。
(二)系统服务安全保护等级的确定
1、系统服务描述
该系统属于提供第三方支付服务的系统,其服务范围为全省范围内的普通公民、法人等。
2、系统服务受到破坏时所侵害客体的确定
该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益,同时也侵害社会秩序和公共利益但不损害国家安全。客观方面表现得侵害结果为:1可以对公民、法人和其他组织的合法权益造成侵害(影响正常工作的开展,导致业务能力下降,造成不良影响,引起法律纠纷等);2可以对社会秩序公共利益造成侵害(造成社会不良影响,引起公共利益的损害等)。根据《定级指南》的要求,出现上述两个侵害客体时,优先考虑社会秩序和公共利益,另外一个不做考虑。
3、信息受到破坏后对侵害客体的侵害程度(即上述分析的结
果的表现程度)
上述结果的程度表现为:对社会秩序和公共利益造成严重损害,即会出现较大范围的社会不良影响和较大程度的公共利益的损害等。
4、确定系统服务安全等级
查《定级指南》表3知,由于侵害的客体有两个,侵害的程度也有两个,则业务信息安全保护等级为第二级。
(三)安全保护等级的确定
信息安全等级保护的情况介绍
实施信息安全等级保护, 能够有效地提高我国信息和信息系统安全建设的整体水平, 有利于在信息化建设过程中同步建设信息安全设施, 保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务, 有效控制信息安全建设成本;有利于优化信息安全资源的配置, 重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任, 加强信息安全管理;有利于推动信息安全产业的发展。
国内信息安全等级保护工作的开展是一个随着计算机技术的发展和业务对计算机系统依赖性逐渐增加, 不断发展和完善起来的。《国家信息化领导小组关于加强信息安全保障工作的意见》正式出台, 明确提出非涉密信息系统遵循等级保护思想进行信息安全建设。公安部网络安全保卫局在全国开展等级保护工作试点, 先后发布了信息系统定级、备案、整改建设、等级测评等各重要环节的有关文件, 指导等级保护工作开展。其中2009年的公信安1429号文《关于开展信息安全等级保护安全建设整改工作的指导意见》明确提出2012年年底前完成已定级信息系统的整改工作。
等级保护的技术体系也基本成型, 目前涉及到等级保护建设的技术标准和规范大约有30多个, 主要包括了技术、管理、产品、建设流程等各方面的内容, 如:定级指南、备案细则、实施指南、安全设计、基本要求、测评过程要求、测评指南, 使得等级保护工作在各个环节都有具体的技术标准可以参考。
工作思路与建设原则
对于具有分支机构的大型企业组织来说, 信息安全工作已经有等级保护的制度和技术体系做依托, 更多的是在实践中摸索出适合本企业组织信息系统安全建设的工作思路与建设原则。
统一规划、统一标准、统筹协调
统一规划:统一制订规划建设推进方案、等级保护工程建设方法, 各信息系统均需要参照规划方案实施, 不能自行规划。
统一标准:统一组织制订等级保护建设的流程、步骤、技术和管理规范, 确保上下衔接、互联互通。
统筹协调:统筹全局, 协调各分支机构或各业务系统之间的资源共享、业务协同, 联合推进等级保护建设。
分级建设、分步实施、分类指导
分级建设:统一组织等级保护项目建设;各分支机构在总体方案的指导下, 负责信息系统在本区域范围内的建设和安全运营维护。
分步实施:根据目前等级保护项目建设基础条件和特点, 采用分批分期建设方式开展项目建设。
分类指导:对于不同的信息系统, 采用不同的组织管理模式、工作机制和推进方式。
加强管理
加强管理:落实等级保护项目建设组织机构、责任部门, 科学调度, 加强项目过程管理, 确保项目取得成功。
建设原则
法规遵循:应严格执行国家法律法规、相关主管部门的要求。
科学管理:严谨、先进的技术项目实施与科学、规范的项目实施管理手段相结合, 以提高整体项目实施的效率, 保证项目质量, 缩短项目工期, 降低项目成本。
平稳过渡:项目包含子系统较多, 且项目需要进行网络改造, 在项目实施时, 采用分项, 循序渐进的方式, 保证系统改造不影响日常办公的使用, 平稳过渡。
适当先进:综合考虑本单位实际情况, 在结合实际的基础上, 确保建成的信息系统能够符合当前网络技术、信息技术发展的趋势, 具有一定的先进性, 在未来5年内能满足科研生产任务和国家法律法规相关要求的实际需要。
便于维护:系统应具有良好的可扩展性和可维护性, 部署便利、使用简便、维护集中, 并可以实现服务和应用的灵活扩展。
重视培训:系统是按计划分步实施的, 培训也将随着项目的各个阶段分期进行, 并根据培训的效果做出相应的调整, 以达到更好的培训的效果。
信息安全保障体系总体框架
信息安全保障体系总体框架
在进行信息安全等级保护安全建设工作中, 严格遵循国家等级保护有关规定和标准规范要求, 坚持管理和技术并重的原则, 将技术措施和管理措施有机结合, 建立信息系统综合防护体系, 提高信息系统整体安全保护能力。非涉密信息系统总体安全框架如图1所示。
总体安全框架是将等级保护基本要求、技术设计要求与安全防护需求充分融合, 采用“一个中心、两大体系、三重防护”为企业组织提供体系化的防护能力, 确保系统安全运行。
信息安全管理体系的建设
信息安全管理制度是信息安全领域各种规则的制度化的体现, 在信息化相关活动中起着统一目标、规范流程、保障信息安全实施效果的重要作用。通过对信息安全制度规范的决策, 首先从高层确保企业组织的信息安全工作“有法可依”, 推动信息安全制度建设工作, 营造一个积极的信息安全控制环境。
信息安全管理体系的建设, 我们要考虑以下几个方面:一、安全管理制度框架、安全管理制度、规范、流程及表单;二、信息安全管理机构、岗位;三、人员安全管理;四、系统建设管理;五、系统运维管理;六、合规性的电子化管理。
企业组织的等级保护工作也需要信息化的手段来进行约束。信息系统合规性监管系统就是将等级保护相关基本要求以及风险管理与控制体系建设方法及过程, 按照以重要信息系统为基础、以等级保护建设工作流为核心、以等级保护基本要求进行建模、加以等级保护控制措施进行分析, 通过风险评估看清风险, 通过体系建设制定任务, 通过体系保障完整建设。从而规范等级保护建设管理与控制体系的建设过程, 提升组织信息安全风险管理与控制体系的完备性及有效性。
信息安全技术体系的建设
信息安全技术体系规划设计流程
信息安全技术体系规划设计流程包括五个阶段:系统调研阶段、安全域规划、系统定级、技术体系设计、技术手段落实。对应的输出是:业务系统调研文档、安全域规划方案、业务系统定级方案、业务系统安全防护方案、初步设计文档技术体系部分。
信息安全技术体系设计原则
设计信息系统技术安全解决方案时, 应遵循以下原则:
风险 (需求) 、成本 (投入) 及效果 (收益) 相平衡的原则
对任何一个信息系统来说, 绝对安全是难以达到的。信息安全技术体系建设的最高原则是风险、成本及效果三原则相结合的结果。
综合性、整体性、一致性原则
一个组织的信息系统安全防护是系统工程, 必须建立信息安全的完整体系。任何一个新建项目的设计都要遵循该组织有关信息化建设或信息安全建设总体规划的要求。
可扩展、可发展性原则
信息安全工作是一个螺旋上升的过程。在信息安全技术体系设计时要充分继承该组织现有的信息安全基础设施, 避免重复投资。同时平衡考虑满足当前正在建设的业务应用及未来的业务发展要求。
信息安全技术建设工作步骤
信息安全技术体系建设涉及业务领域的各个环节, 在风险评估的基础上, 结合实际业务应用, 根据各系统访问控制需求, 科学、合理的划分“安全域”, 是整个信息安全技术体系建设的首要工作。
安全域划分
通过划分安全域, 明确网络边界, 才能便于实现网络区域、物理区域之间的有效隔离和访问控制。安全域划分的目的是把一个大规模复杂系统的安全问题, 化解为更小区域的安全保护问题, 是实现大规模复杂信息系统安全等级保护的有效方法。
在企业或组织中, 我们通常会看到这样的区域互联网业务发布区、企业内网工作区和数据交换区。具体到一个重要的信息系统, 比如视频业务系统就可以细化为生产制作区域、共享区域、播出区域、安全管理区域。
明确安全域的防护手段
信息安全技术体系是利用各种安全技术、产品以及工具作为安全管理和运行落实的重要手段、最终支撑信息安全体系的建设。防护手段分了五个方面:身份认证、访问控制、内容安全、监控审计与备份恢复。这里我们要重点强调身份认证, 统一的身份管理和统一的认证管理是技术体系的前提保障, 有了完善的身份认证的基础架构, 我们的业务才能够顺畅开展, 才有可能回答这样一个安全问题“什么人、什么时间、做了什么事情?”
确保防护手段的合规性
在选择安全防护技术时, 我们应充分考虑遵循国家等级保护的相关技术标准, 以确保合规性。图2为信息系统等级保护二、三、四级技术要求。
确保防护手段的适应性
结合企业或组织的现状、经费预算、建设阶段和实际需求, 在各安全域的防护设计过程中充分考虑适应性。
计算环境的安全防护设计
计算环境包含了重要应用系统的核心主机或服务器、数据库服务器、存储系统等。我们重点考虑的是身份鉴别、访问控制、资源控制数据完整性、数据保密性与备份恢复。在这里我们要强调应用开发环节在安全防护设计中的重要性, 如编码安全、基于用户身份的资源访问控制和行为审计、基于应用设计的流量控制方法, 这些都可以有效减少硬件安全产品的部署, 提升业务连续性能力。
边界接入与网络设施安全防护设计
网络设施主要包括了网络骨干区域、网络接入区域。我们可以把它看成公共的基础性区域, 是企业各个应用系统出口的高速公路, 是企业连续性要求的重要依托。我们强调的是结构化的安全、安全审计与网络设备自身的防护。
终端接入安全防护设计
随着企业和组织的业务发展, 组网技术的发展, 终端的定义越来越宽泛, 接入的形式也越来越多样化。信息安全问题直接延伸到企业人员使用的端点设备上。我们应重点强调身份鉴别、恶意代码防范和用户行为控制, 同时也要意识到易用性与安全的平衡。
信息安全运维体系的建设
企业和组织的信息化过程已经从大规模建设阶段逐步转型为“建设和运维”并举的阶段。我们可以看到大多数的信息安全运维体系的服务水平处在一个被动的阶段。主要表现在信息技术和设备的应用越来越多, 但运维人员在信息系统出现安全事件的时候却茫然不知所措。因此, 行之有效的信息安全运维体系, 是信息安全管理体系与信息安全技术体系落地的根本之道。
运维服务的发展趋势与阶段划分
安全运维服务通常可以分为五个阶段:混乱、被动、主动、服务和价值阶段。“NSM→ITSM→BSM”将是IT管理逐步提升的经典路线模型, 反映了IT的运营作为一个新兴的企业活动逐步成熟, 持续提升。NSM (针对IT技术设施的网络系统管理) 、ITSM (针对流程、人员管理的IT服务管理) , BSM (业务服务管理) 这些目前已经被广泛应用的理念, 在IT管理的发展过程中, 发挥了巨大的作用。
安全运维体系的构建
目前条件下的安全运维体系可以分三个阶段构建:
第一阶段:从“被动响应”到“主动管理”, 是采用NSM实现管理提升的阶段。通过实现对技术元素的数据收集和分析, 获得从整个IT信息环境到每个计算实体元素的运行状态信息, 因此也能够在故障发生时或者发生之前采取主动的管理操作, 实现对IT技术设施的有效掌控和管理, 有效提高IT环境的运行质量。建立安全运维监控中心实现第一阶段目标
第二阶段:从“主动管理”到“服务导向”, 采用ITSM实现管理提升。在实现了对所有IT技术元素的全面监控以后, IT技术设施的运行质量有了明显改善, 但仍未从根本上解决“意外问题”的发生。全球范围内的调查表明, IT问题的出现, 除了和设备元素本身的可靠性、性能等密切相关以外, 更多的问题 (超过80%) 是由于IT运维人员没有按照规范的操作流程来进行日常的维护管理, 缺乏有效的协同机制等造成的。也就是说, 管理的缺位, 而不是技术设施本身的问题阻碍了企业IT部门工作效率的提高。借鉴并融合ITIL (信息系统基础设施库) /ITSM (IT服务管理) 建立安全运维事件响应中心, 借助图形化、可配置的工作流程管理系统, 将运维管理工作以任务和工作单传递的方式, 通过科学的、符合用户运维管理规范的工作流程进行处置, 处理过程电子化流转、减少人工错误, 实现对事件、问题处理过程中的各个环节的追踪、监督和审计。
第三阶段:从“服务管理”到“业务价值”, 采用BSM实现管理提升。在信息时代, 企业的发展和IT环境的成熟是一个互相驱动、交替上升的过程。商业社会中, 企业作为一个经济运行实体, 其所有的活动和投入都是围绕利益产出的目标进行的。在当前激烈的商业竞争环境中, 企业正不断地进行变革, 以适应市场和用户的需求。作为业务重要支撑元素的IT正面临着越来越大的挑战。如何充分利用已有的IT资源并持续优化资源配置, 如何实现IT和业务目标相统一、持续推动业务发展、创造商业价值, 已经成为众多企业信息部门主管、CIO、甚至更高层管理人员的重要难题。建立以信息资产管理为核心的安全运维审核评估中心是这一阶段的工作目标。能够实现信息系统运行质量、服务水平、运维管理工作绩效的综合评估、考核、审计;能够实现关键业务的配置管理、关键业务与基础设施的关联、关键业务的综合运行态势的把握。
结束语
关键词 云安全模型 信息系统 保护测评
中图分类号:TP3 文献标识码:A
文中以云安全服务模型为研究依据,从云计算信息系统的安全特性入手,提出建立云安全服务模型及管理中心,介绍了云安全等级保护模型的建立情况。
1简述云计算信息系统安全特性
以传统的互联网信息系统相比较,云计算信息系统把全部数据的处理与存储都放在服务端,终端用户根据网络可以及时获取需要的信息和服务,没有必须在本地配置的情况下进行数据的处理和存储。根据网络中所设置的网络安全防护设施,可以在服务端设置统一的身份兼备与安全审计系统,确保多数系统出现的安全问题得到有效解决,但此时新的设计服务模式又会带来新的安全问题,例如:滥用云计算、不安全的服务接口、数据泄露、安全管理等多个方面的问题。
2建立云安全服务模型及管理中心
现实中的不同云产品,在部署模型、资源位置、服务模型等各个方面都展现出不一样的形态和模式,进而形成各不相同的安全风险特征及安全控制范围。所以,必须从安全控制的角度创建云计算的模型,对各个属性组合的云服务架构进行描述,从而确保云服务架构到安全架构的合理映射,为设备的安全控制和风险识别提供有效依据。建立的云安全服务模型如图1所示。
3云安全模型的信息安全等级测评办法
云安全信息安全保护测评的办法就是根据云安全服务模型与云安全中心模型,考察用户在云安全方面的不同需求,安全模型处在安全等级保护体系下的不同位置。安全模型一端连接着等级保护技术,另一端连接着等级保护管理的要求。根据云安全信息中心的建模情况,对云安全模型下的核心基础、支撑安全展开分析,获取企业在云安全领域的信息安全等级测评模型,依照模型开展下一步的测评工作。
3.1分析等级测评云安全模型下的控制项
根据上述分析情况,可以把云安全模型嵌套在云安全等级保护模式中,从而展开与云安全有关的信息安全等级评价,并对安全模型下的有关控制项展开分析。首先察看云认证及授权情况,对是否存在登陆认证、程序授权、敏感文件授权等进行测评。依照不同的访问控制模型,选择访问控制的目标是强制性访问、自主性访问、角色型访问,进而采取与之相对应的方法。为了确保网络访问资源可以有效的控制和分配,需要创建统一、可靠的执行办法和解决策略。自由具备统一、可靠地方式才可以保障安全策略达到自动执行的目的。测试网络数据的加密情况,要对标准的加密功能及服务类型,做到静态和动态的安全保护。探测数据的备份与恢复情况,就必须查看云备份是否安全、数据销毁情况、磁带是否加密及密码钥匙的管理,检查的重点是供应商的数据备份情况。查看对管理用户的身份是否可以控制管理,是否可以管理用户角色的访问内容。查看用户的安全服务及审计日志,其中包括网络设备的监控管理、主机的维护、告警管理与维护等。
3.2分析等级测评云安全模型的风险性
依照等级保护的有关要求,运用风险分析的办法,对信息系统展开分析时必须重视下面的内容。
(1)云身份认证、授权及访问控制
云安全对于选择用户身份的认证、授权和访问控制尤为重要,但它所发挥的实际效果必须依赖具体的实施情况。
(2)设置云安全边界
云安全内部的网络设备运用防火墙这系列的措施展开安全防护。但外部的云用户只能运用虚拟技术,该技术自身携带安全风险,所以必须对其设置高效的安全隔离。
(3)云安全储存及数据信息备份
一般情况下,云供应商采用数据备份的方式是最为安全的保护模式,即使供应商进行数据备份更加安全,仍然会发生数据丢失的情况。所以,如果有条件的,公司应该采用云技术共享的所有数据进行备份,或在保留数据发生彻底丢失事件时提出诉讼,从而获取有效的赔偿。云计算中一直存在因数据的交互放大而导致数据丢失或泄露的情况。如果出现安全时间,导致用户数据丢失,系统应该快速把发生的安全时间通报给用户,防止出现大的损失。
4结束语
综上所述,随着云计算技术的发展,云计算信息系统会成为日后信息化建设的重要组成部分。文中从云安全等级保护测试为研究依据,简述了云计算信息系统安全特性,对云安全服务模型及管理中心的建立情况进行分析,提出云安全模型的信息安全等级测评办法。
参考文献
[1] 赵继军,陈伟.一种基于云安全模型的信息系统安全等级保护测评方法[J].信息网络安全,2013,(z1):43-45.
[2] 潘一飞.基于云安全模型的信息系统安全等级保护测评策略[J].中国新通信,2014,(3):7-7.
自检自查报告
XX县烟草专卖局(分公司)的信息网络安全建设在上级部门的关心指导下,近年取得了快速的进步和发展,实效性强,网络安全防控能力大大增强。为进一步贯彻落实行业网络与信息安全各项管理规定,严格规范信息安全等级保护,提高企业对信息网络安全的防控能力,保障企业信息网络安全,保证公司各项办公自动化工作的正常进行,促进企业效益的稳步提升,按照《XX县人民政府办公室关于开展信息网络信息安全等级保护安全检查工作的通知》要求,我司组织相关人员对系统内信息网络安全等级保护工作认真细致的自检自查,现将自查情况报告如下。
一、等级保护工作部署和组织实施情况
XX县烟草公司企业信息化建设在市局(公司)的统一领导下,按照“统一网络、统一平台、统一数据库”的要求,以打造“数字烟草”为战略目标,以“系统集成、资源整合、信息共享”为工作方针,取得了快速的发展,在积极推进企业信息化建设的过程中,更加重视网络信息的安全建设工作。从省公司到市公司、县公司,领导高度重视,统一规划,统一标准,同步实施。首先是逐级成立了领导小组和职能部门,XX分公司按照上级部门要求,2000年11月成立了信息化领导小组,下设信息办在公司办公室,并设置了计算机系统管理员岗位,明确了各自的职责。由于网络推广应用迅速,2005年重新更设了计算机网络信息中心,旨在强化对企业的网络建设和网络安全管理。在历次的机构设置中,都明确了分公司主要领导分管信息工作,把网络信息安全的建设与管理摆到了企业各项工作的重要位置中来,表明了企业对信息化建设、网络安全管理的高度重视和决心。其次是对行业的网络安全建设高瞻远瞩、统一标准、规范运作、务求实效。先后省公司下发了《云南省烟草专卖局关于建设云南省行业计算机网络与信息安全系统的通知》,对全行业的网络信息安全建设作了明确、细致的规定,制定了高效规范的《云南省烟草行业计算机网络与信息安全系统建设方案》,统一在全系统范围内实施。随后市局公司又下发了《曲靖市烟草专卖局(公司)关于建设网络安全系统的通知》,对各分公司的网络安全建设作了具体的安排部署。XX县烟草公司严格按照上级部门要求,主动推进网络安全建设,严律遵循行业标准规范,组织实施信息项目,积极配合上级部门在全行业开展网络安全建设工作。
二、信息系统安全保护等级备案情况
XX县烟草专卖局(分公司)隶属曲靖市烟草专卖局(公司)子公司,无法人资格。网络信息安全建设也是依照市公司统一要求进行,信息安全保护等级为二级。按照本次检查要求,备案材料主要包括三类。一是各级各部门的文件,包括有:罗烟司字[2000]48号《关于成立云南省烟草XX县公司信息化领导小组的通知》,省公司云烟科[2000]209号《关于决举办云南省烟草行业计算机系统管理员培训班的通知》,省公司云烟信[2003]552号《云南省烟草专卖局关于建设云南省烟草行业计算机网络与信息安全系统的通知》,市公司云曲烟专司字[2004]35号《曲靖市烟草专卖局(公司)关于建设网络安全系统的通知》、《曲靖烟草专卖局(公司)党政工作部关于举办网络信息安全培训的通知》,市公司云曲烟办字[2004]98号《曲靖市烟草专卖局(公司)关于建设地面专网的通知》等。第二类是各项网络信息安全建设规范、技术标准及方案等,主要包括有:《云南省烟草行业信息网络信息系统技术规范》两部分,《云南省烟草行业信息网络系统计算机网络系统建设技术规范》、《云南省烟草行业计算机网络与信息安全系统建设方案》。第三类是各类管理制度或规定,主要包括有:《云南省烟草行业信息网络管理规范》、《云南省烟草行业计算机网络与信息安全管理制度》、《信息化工作管理规定》的网络与信息安全管理,《网络建设及信息维护按理规定》、《计算机设备管理规定》、《计算机机房管理规定》及《突发信息网络事件应急预案》等。
三、信息安全设施建设情况。
根据上级部门的统一规划、建设要求,XX县烟草公司积极推进各项网络安全建设工作。首先,为考虑网络安全,结合业务实际,在网络规划时以建设专线为重点,在全省烟草系统内全部采用专线连接,实现互联互通。在系统主干网络建设上,先是采用卫星专用通道联网,后改用DDN专线,随着网络技术的发展和普及,从2006年开始,全省烟草系统,从省公司至市公司,从市公司至分公司,从分公司至烟叶站、烟叶收购点,采用带宽不同的SDH专线连接。公司绝大部分业务均在内网里运行,各类数据信息通过内网服务器和网络流转、共享,无外网托管现象,只有极少部分业务需挂外网。其次是不断采用新技术、新手段做好网络信息安全防范工作,严格划分企业内网与外网,通过硬件防火墙设置,保证内外信息交互有效进行,实现对垃圾信息、非法访问的有效过滤。同时,通过网络版杀毒软件的安装使用,对计算机病毒进行整体防治,另一方面,对操作终端还配置防木马程序的软件,以及软件防火墙等软件的使用,配合杀毒软件对计算机病毒、黑客攻击、木马程序等进行了有效的防范。总之,通过软硬件技术手段的有效结合,使系统内网及每个终端计算机、系统内的信息、数据安全得到了有效保障,有效保证了企业各业务工作的顺利开展。
四、管理制度建设情况。
烟草企业自2004年工商分制以来,作为一分公司,在曲靖市烟草公司的直接领导下,各项工作稳步推进,伴随着社会效益、企业效益的逐年攀升,曲靖烟草企业更加注重管理模式的总结与创新,强调管理的精细化和规范化,通过长时间的积累、总结和创新,对各行各业各个环节都制定了规范、有效的管理制度。形成了具有行业标准的相关制度-《曲靖烟草商业管理(QTCM)-管理制度》,在网络信息安全方面涉及很多内容。制定了《计算机设备管理规定》,旨在规范烟草系统计算机及相关设备的管理工作,促进设备的有效管理,提高设备的综合效率,满足工作需求;制定了《计算机机房管理理规定》,旨在加强计算机机房的运行、使用和管理,保证各信息系统的稳定可靠运行,促进公司网络的健康发展;制定了《信息化工作管理规定》、以及《网站建设及信息维护管理规定》,包括网络和信息安全管理规定,旨在保证企业网络信息系统运行安全、可靠,做到实体安全、运行安全、数据安全和管理安全。2008年4月份,根据企业《职业健康安全管理体系》运行的整改要求,制定了《突发信息网络事件应急预案》,包括机房渗漏水应急预案、机房盗窃应急预案、机房火灾应急预案、机房长时间停电应急预案、通信网络故障应急预案、网络病毒爆发应急预案、服务器软件系统故障应急预案、核心设备硬件故障应急预案、业务数据损坏应急预案等九部分内容,旨在加强对系统内突发信息网络事件的控制,迅速有效开展应急救援行动,降低危害程度。总之,企业对网络安全高度重视,制定了众多管理制度,并积极层层落实,责任分明,有效地保证了了企业长期以来的网络信息系统的稳定运行。
五、信息安全产品选择和使用情况。
我司的网络信息安全产品,2004年开始根据市公司的要求,进行统一配置。其中,硬件防火墙采用中端型产品,品牌型号为天融信NGFWARES-VPN(S),版本TOPSEC集中管理器V2.2.17,基本满足管理要求。防病毒软件曾采用趋势Trend网络版,2007年以后统一改用瑞星企业专用版,与全国大多企业一致选用国产软件。网络管理平台软件曾使用复旦光华T_Manager网络综合管理系统,预计未来将采用其它新系统实现网络综合管理。此外,针对各终端设备的安全防范,我司还使用了正版的瑞星个人防火墙软件和免费版的奇虎360安全卫土等安全软件,实现防病毒、木马程序、黑客、非法程序等的辅助管理,进一步提高了整个系统的安全防范能力和管理水平。
六、聘请测评机构开展技术测评情况
我司的网络安全检测及风险评估工作也是依照市局(公司)的统一要求组织实施,按照市公司的统一安排,聘请测评机构为曲靖市麒麟区联创信息网络有限公司,检测时间一般为每年6至7月份,检测内容为:机房物理环境、服务器、网络设备(交换机、路由器、防火墙),桌面终端等,其中,桌面终端采用抽查方式进行检测,抽查率不少于总数的30%,检测工作中,工程师需签订《云南省网络与信息系统安全检测单位保密承诺》和安全检测保密协议,检测结果及报告由市公司保存。
七、定期自查情况
XX县烟草公司高度重视网络安全建设工作,强调日常维护、安全防范和定期自查工作。对管理制度不断完善更新,新技术新手段积极采用,借助于企业职业健康安全管理体系的贯标、运行和提升工作,不断开展网络信息安全的检查工作,对一经查出的问题及时整改,自己不能解决的及时上报上级部门,给予帮助解决,有效地促进了整个安全防控体系的完善和管理水平的提高。
曲靖市烟草公司XX分公司
二OO八年十月三十日 关于上报宣州区地税局信息系统安全自查的报告
宣州区地方税务局文件
宣区地税〔2010〕77号
签发人: 殷本辉
关于上报宣州区地税局信息系统安全自查的报告
宣城市地方税务局
根据宣城市地税局对我局网络与终端物理隔离和安全使用检查情况反馈意见,参照安徽地税信息系统安全自查方案,我局对全区网络与信息安全现状进行了自查,查找薄弱环节和安全隐患,进一步强化信息安全意识、规范信息安全管理,以提高网络与信息系统的安全保障能力,现将自查情况上报给你们。
(本文只发电子文件)
二〇一〇年六月二十四日
宣州区地税局信息系统安全自查报告
根据宣城市地税局对我局网络与终端物理隔离和安全使用检查情况反馈意见,参照《安徽省地税局2010年税务信息系统安全检查方案》,从“安全管理检查”、“安全技术检查”、“终端和移动存储介质检查和加固”等三大方面对宣州区地税局信息安全系统进行了认真地自查与整改,现将自查情况报告如下:
一、领导高度重视,组织、部门健全
宣州区地税局领导班子高度重视信息系统安全工作,本着“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,成立了宣州区地税局信息系统安全领导小组,区局一把手担任领导小组组长,分管领导为副组长,下属各单位负责人为成员。
各基层分局设立计算机管理员岗位,分别 有责任心、取得全国计算机等级二级以上(含二级)证书、熟悉业务操作的人员担任,负责本单位计算机软、硬件及网络安全管理。对本单位计算机出现的软、硬件问题及时上报区局信息中心。区局结合本部门的信息系统安全管理需求,不定期地对计算机管理员开展相关业务培训。
二、结合安徽地税系统安全自查方案,认真开展自查工作
(一)安全管理方面:区局制定了《宣州区地税局公文处理应急预案》、《宣州区地税局内部网站应急预案》、《宣州区地税局网络故障应急预案》、《宣州区地税局计算机机房运行维护管理办法》,并着重落实上级部门下发的信息安全政策、法规和规章制度。确定信息中心一名工作人员担任信息系统安全管理员,具体处理信息系统安全的相关工作。区局中心机房于2008年建成,面积约90平方米,安装了接地保护装置,配备了手持式灭火器,配有两台柜式空调,并确保空调24小时正常运转。加强中心机房的供电管理,配备一台专用的10KV UPS电源专供中心机房设备使用,配备一台专用的6KV UPS电源专供征收大厅设备使用,并定期对UPS电池性能进行相应测试。
宣州区地税局办公网络已于2009年元月实行内、外网物理隔离,内外网均通过2套线路和隔离卡实现内外网切换。内网分为应用服务区与办公区,通过一台硬件防火墙进行对外与对外的访问控制,所有内网服务器与终端均安装网络版病毒防火墙。外网通过硬件防火墙、上网行为管理工和防病毒网关实行访问控制。局机关所有计算机安装隔离卡进行内外网物理隔离,基层分局只在分局负责人计算机上安装隔离卡实行内外网物理隔离,其他计算机只允许上内网。
征管数据市局集中后,区局目前的重要数据库有区局内网数据库、公文处理数据库、车辆税及触摸查询系统数据库,定期对上述数据库进行备份,并将备份数据复制到文件服务器上。
(二)安全技术方面:区局的网络通过租用联通的专线,实现市局、区局及分局三级网络互联,各基层分局通过路由交换和以太网两种方式按入区局,区局机关按股室按分VLAN。区局中心机房内网设备目前有1台华为2631路由器、1台华为3680路由器和2台华为3552交换机为核心层,3台华为3026交换机作为接入层。除华为3552交换机有热备份,其他网络设备没有冷、热备份,通过1台东软硬件防火墙进一步加强网络安全管理。
区局中心机房外网设备目前有5台华为3928交换机,1台防病毒网关,1台上网行为管理,1台防火墙,另外租用网通地址,各基层分局以以太网方式接入互联网。
宣州区地税局共有服务器6台,5台服务器的操作系统为Windows 2000 Server SP4,1台服务器的操作系统为Windows 2003 Server,所有服务器根据账号策略设置用户密码,强化安全管理。
宣州区地税局所有内外网中的路由器和交换机均按照省局网络运行管理规范进行命名管理,并对其用户口令进行加密。内外网中的防火墙均设置访问控制策略,提高系统的网络安全系数。
(三)工作用台式机、笔计本电脑和移动存储介质检查和加固: 及时更新台式机和笔计本电脑的操作系统和应用程序补丁,禁用GUEST用户组,统一安装网络版瑞星防病毒软件,并通过设置自动升级和定时对计算机进行扫描,对外接的USB设备,必须进行病毒扫描。
三、存在的主要问题
通过本次自查发现,我局信息系统存在不少安全隐患问题,主要有以下几方面:
(一)安全保护意识有待增强,各种安全保护措施有待加强,部分管理人员的安全保护意识薄弱。
(二)数据的存储及备份机制还不够完善,存在信息丢失的隐患,存在移动存储介质内外网混用,个别笔记本电脑存在内外网混用。
(三)因区局搬迁新办公楼后,对区局的内网进行了重新规划,路由策略进行了了修改,核心网络设备失效的路由策略未即时清理。
(四)重技术建设、轻安全保护。进行计算机信息系统建设规划时,主要考虑了业务需求和系统技术性能要求,没有很好地将系统的安全保护措施一并考虑,造成安全保护工作相对滞后。
四、加强安全保护工作的意见和建议
根据信息安全自查的情况,结合区局实际情况,现就加强区局信息系统安全工作,提出以下意见和建议:
(一)加强领导,提高对信息系统安全重要性和紧迫性的认识。组织相关人员认真学习与信息系统安全有关的管理规定,不断增强信息系统安全保护意识,做到认识到位、措施到位、管理到位。
(二)认真落实技术防范措施,着重落实以下等安全保护技术措施:
1、系统重要数据的冗余或备份措施;
2、计算机病毒防治措施;
3、网络攻击防范、追踪措施;
4、研究有关内网补丁升级的措施。
(三)严格防范内外网移动存储混用,加强对移动存储的分类管理,严禁在外网机器处理或保存涉税文件,严格执行内、外网物理隔离制度。
(四)停用内外到外网出口,瑞星防病毒托管服务器升级下挂到市局。
(五)加强网络和安全设备管理,调整网络和安全设备配置,严格网络访问控制策略,保护网络安全。
(六)加强中心机房的管理工作,提高机房运行环境,保障设备安全。
黄河科技学院网络信息安全防范系统
情况自查报告
随着网络在我校教学与管理环节中的普及,我校领导已充分认识到开展高校校园和网络信息安全防范工作,是加强维护高校稳定工作,为高校创造良好的教学科研环境,推进高校校园安全防范系统和网络信息安全系统建设的重要措施。自一九九九年我校初建校园网,一直到现在,上至领导下到我们中心的工作人员一直比较注重网络的安全性。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,各单位、部门层层落实责任制,明确责任人和职责,细化工作措施和流程,建立完善了一系列的管理制度和实施办法,确保使用的网络和提供服务信息的安全。现根据省教育厅的《关于在开展高校校园和网络信息安全防范系统情况调查工作的通知》的文件精神,对我校的网络与信息安全与网络与信息服务等内容做了详细的自查,自查情况如下:
(一)我校于一九九九年十月,成立了以常务副校长为组长,以网络中心主任董峰及保卫处处长宋同先为副组长的黄河科技学院网络中心安全组织。
(二)根据我校的网络发展情况以及国家、省、市等有关的文件精神,我们相继建立了一系列的安全管理制度,并落实到各部门。如:信息的发布审核由新闻办指办专人负责;信息的监视、保存、备份、清除由网络中心负责;校内所有上网的帐号、邮件帐号、网站帐号等我们都做有实名备案;对于较为知名的公众网络媒体,如我校相关的百度贴吧,我校新闻办公室也安排专人负责信息的监管工作,以实现正面的引导,并及时发现和删除各类有害信息,维护学校和社会的稳定。
(三)我们加强了安全保护技术措施,切实抓紧、抓实、抓好,保障了学校网络和信息安全,网络运行正常、使用规范,网站没有发现有害信息和不良连接,网络节点安全设施基本符合要求。我们使用了天融信防火墙与天阗入侵监测系统相结合,使日志留存具有保存60日以上系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,交互式栏目发布者和上、下网时间及信息、主页维护者、邮箱使用者和对应的IP地址情况等;对于邮件服务器,我们使用的是亿邮,并配套使用了亿邮网关,并与公安部门实行了数据对接,有效的隔离了垃圾邮件,防止有害信息的干扰和破坏。对于我们的网站信息服务系统建立了备份,一旦受到破坏能及时恢复正常。
(四)针对网上突发事件,我们制定了应急处置方案,细化流程,责任到人。做到及时预警、快速反应、果断处置网上突发事件。
(五)我校网络中心经过仔细排查,已经关闭所有校园网内开通的交互式栏目(BBS,留言板);对于必须使用留言服务的招生咨询网站,我们采取了用户发布信息必须审核和记录用户IP地址的机制。同时由新闻办公室安排专人负责信息审核工作,并在技术上采用了关键字过滤来防止有害信息。由于我们的高度重视,认真组织,确保了网络正常运行和信息安全,至今为止没有发生任何事故,受到了我校有关领导的肯定和好评。当然,随着科技的发展,社会信息的不断扩大,新时代,新情况对网络安全技术的要求也越来越高,新的问题也会不断出现,我们真正希望通过省厅的此次网络信息安全防范系统情况的调查使我校的网络运行得更安全,有利于社会的安定及国家的繁荣昌盛。
永胜县供销合作社联合社
2010年上半年政府信息系统安全检查自查报告
根据《永胜县人民政府办公室关于开展政府信息系统安全检查的通知》(永政办发〔2010〕56号)文件精神,结合我社实际,认真组织开展了信息系统的安全自查工作。现将相关情况报告如下:
一、信息系统安全检查基本情况
㈠信息安全组织机构落实情况
为规范信息公开工作,落实好信息安全的相关规定,我社成立了信息安全工作领导小组,落实了管理机构,由联社办公室负责信息安全的日常管理工作,明确了信息安全的主管领导、分管领导和具体管理人员。
㈡日常信息安全管理落实情况
根据供销合作社的工作实际,供销社日常信息安全工作主要涉及上级下发的涉密文件管理、政府信息公开工作信息管理、业务工作相关数据信息管理、组织人事信息管理。根据这些实际,县联社已从落实管理机构和人员、加强教育培训、更新设备、健全完善相关制度等方面对信息安全的人员、资产、运行和维护管理进行了落实。
一是,落实具体负责信息安全工作的人员,对涉密信息文件、材料实行专人管理;对重要办公区、办公计算机等进行严格管理,确保信息保密工作。
二是,结合供销社工作实际,对涉密文件材料管理和计算机、移动存储设备等的维修、报废、销毁管理进行了规定。对日常信息办公软件、应用软件等的安装使用,主要是由上级组织人事部门、业务主管部门下发的业务工作应用软件,均按照上级部门的要求和规定,严格进行操作管理。
三是,结合供销社政府信息公开工作,按照信息公开的相关保密规定和程序,初步建立了《永胜县供销合作社政府信息公开保密审查制度(试行)》,对信息公开、阳光政府四项制度等公开发布信息保密审查机制、程序进行了规范,完善相关信息审批备案和日常记录。
㈢等级保护与风险评估
永胜县供销合作社的相关信息系统主要是业务工作,不是重要涉密部门,还达不到涉密信息系统等级,所以,没有对信息系统定级、测评和评估。
㈣技术安全防范措施和手段落实情况
1、计算机及网络经过检查,已安装了防火墙,同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。并按县委保密局的要求,在主要的计算机上统一粘贴了“非涉密计算机严禁处理涉密信息”的标识,杜绝涉密和非涉密计算机之间的混用。
2、网络终端没有违规上国际互联网及其他的信息网的现象,没有安装无线网络等。对信息公开发布门户网站及相关应用系统帐户、口令等进行检查,对服务器上的应用、服务、端口和链接进行了检查,没有网站信息被非法篡改,也没有非法链接。同时,日常工作中,及时对计算机进行漏洞扫描、木马检测等,加强安全监管。我单位使用的计算机都为非涉密计算机,主要是用于业务工作,没有用于处理涉密信息的情况。目前,网络运行良好,安全防范措施和设备运行良好,没有涉及国家秘密的相关信息,未在网上存储、传输国家秘密信息,未发生过失密、泄密现象。
3、密码技术防范方面。我单位的相关信息还达不到涉密信息系统等级,目前还没有使用密码技术防护措施。
㈤应急工作机制建设情况
1、应急响应机制建设上,根据相关要求,建立了信息安全的相关规章制度,要求县社信息安全管理办公室根据信息安全工作情况及时向工作领导小组报告相关情况,并及时上报县信息化办公室,及时采取有效措施,处理相关问题。目前,还没有应急响应方案。
2、对非涉密的相关重要工作信息实行光盘备份,以防范计算机系统故障带来的损失和影响。
3、目前,我社的信息安全管理工作还没有明确应急技术支援队伍,主要由县社办公室根据工作中的问题向县信息办及时报告咨询解决。目前,没有发生信息安全事件。
㈥信息技术产品和信息安全产品使用情况
我单位终端计算机安装的防火墙、入侵检测设备、杀毒软件等信息安全产品,使用360安全卫士等软件,皆为国产产品。公文处理软件具体使用金山软件的WPS office系统和Microsoft Office系统。单位使用的工资系统、业务统计报表系统、组织人事统计系统等应用软件均为县委、县政府相关部门和市供销社统一指定的产品系统。
㈦安全教育培训情况
1、县供销社积极参加全县保密工作会议和县委政府相关部门组织的信息系统安全知识培训,并专门负责机关的网络安全管理和信息安全工作。
2、结合集中学习,县供销社对全县保密工作会议精神进行了传达学习。同时,在日常工作中相关保密、信息安全工作人员也结合《保密工作》杂志及相关文件精神,开展自学,提高信息安全意识、保密意识。
㈧信息安全经费保障。
县供销合作社信息安全工作得到县社领导高度重视,信息安全相关学习培训材料的征订购买和相关防护设施建设、运行、维护和管理经费均纳入预算,实报实销,为信息安全提供了经费保障。
二、信息安全检查存在的主要问题及整改情况
经过安全检查,我单位信息安全总体情况良好,但也存在了一些不足,同时结合单位工作实际,进行了整改同时提出了进一步整改的措施。
1、部分干部职工对信息安全工作的认识不到位。由于本部门工作涉密很少,机关干部对信息安全防范的意识还不高,对信息系统安全工作重要性的认识还不足。针对这些情况,县社领导已结合传达全县保密工作会议精神,进一步作了强调和要求。结合工作开展,今后将继续加强对机关干部的信息系统安全意识教育,提高干部职工对信息安全工作重要性的认识。
2、设备维护、更新不及时。部分股室计算机的杀毒软件、防护软件没有及时进行更新升级,存在部分漏洞。针对这些问题,办公室已及时对各终端计算机的杀毒软件、防火墙等进行了更新升级,对存在的漏洞进行了修复。今后将对线路、系统等的及时维护和保养,及时更新升级防护软件。
3、信息系统安全工作的水平还有待加强。供销社的信息系统工作人员均为兼职人员,非专业人员,对信息安全的管护水平低,还需要加强专业学习培训,提高信息安全管理和管护工作的水平。
4、信息安全工作机制还有待完善。部门信息安全相关工作机制制度、应急预案等还不健全,还要完善信息安全工作机制,建立完善信息安全应急响应机制,以提高机关网络信息工作的运行效率,促进办公秩序的进一步规范,防范风险。
三、对信息安全检查工作的意见和建议
一是,进一步加大对信息安全工作人员的业务培训。由于很多部门的信息安全工作人员均为兼职,均是“半路出家”,非专业人员,没有专业的技能和知识,希望进一步加强对计算机信息系统安全管理工作的业务操作培训,发放一些信息网络安全管理方面的业务知识材料。
二是,加强对各级各部门干部职工的信息系统安全教育。通过开展专题警示教育培训,增强信息系统安全意识,提高做好信息安全工作的主动性和自觉性。
三是,加强分类指导。由于各部门工作性质不同,信息安全的级别也不同。希望结合各部门工作实际,对重点信息安全部门和非重点信息安全部门进行分类指导。
二○一○年六月二十二日
泸州市人民政府信息化管理办公室:
根据你办《关于印发<2009泸州市政府信息系统安全检查指南>的通知》(市府信管办〔2009〕33号)文件要求和市府办召开的网络与信息安全事件应急预案暨信息系统安全检查工作会的要求,现就我区政府信息系统安全检查自查情况汇报如下:
一、信息安全总体情况
10月15日、16日参加完市上会议之后,我区及时开展了信息系统安全情况的调查摸底工作,制定了工作方案,并获得领导的大力支持。于10月23日印发了《2009泸州市纳溪区政府信息系统安全检查指南》的通知。在10月27日,我区召开了全区网络与信息安全事件应急预案暨政府信息系统安全检查工作会,安排布置了全区的工作。
1、安全制度落实情况
经自查发现,我区各级各单位的网络与信息系统管理机构比较完善,有主管领导和具体检查人员,信息安全责任制和各项安全保密制度较完善,重要部门人员管理制度落实,每个部门都落实了一名人员,负责信息日常安全。严格实行了“谁上网,谁使用,谁负责”的原则。重要信息上网必须经过单位分管领导批准,一般信息上网必须经过部门负责人审核。我区针对新中国成立60周年国庆制定了完善的应急工作方案,坚持了网络值班。同时将信息安全经费列入财政预算,今年全区已落实近15万元用于网络与信息安全建设。
近年来,通过中心机房建设和对网络配套改造,建成了覆盖全区的高速信息网络系统。我区部署了网络硬件路由、防火墙,党政网上应用了金山毒霸网络版杀毒软件,政务外网上应用了卡巴斯基网络版杀毒软件。机房实施了UPS供电,建立了中心机房网络雷电防护
体系。我区建立健全了网络值班制度,加强了网络值班工作,区信息化办工作人员每天对设备运行情况、网站信息发布情况进行监控,并填写值班日志。
2、安全防范措施落实情况
我区要求各级各单位严格按保密管理、密码管理、等级保护要求,对上党政网的计算机进行了加密保护。涉密计算机实行专人管理,责任到人。对涉密介质,如光盘、磁盘、优盘等由专人管理。做到了涉密计算机定点维修,保证了涉密计算机的安全和保密;同时加强对涉密文件资料的管理,所有印发的涉及单位秘密的文件资料者是在单位文印部门(打印中心)制作,并编排序号;上级发来的涉密文件资料都是作好严格登记,并根据工作需要,严格控制范围,认真履行了传借阅国家秘密文件登记、签收手续,未有丢失现象;对秘密文件都是实行专门文件夹传阅,并将领导阅后的秘密文件收回并专门保管,防止秘
密文件的流失。
自查发现,我区计算机使用国产化率较高,主要的品牌有联想、清华同方等,使用较多的非国产品牌有HP、DELL等。字处理软件95%以上都使用微软Office,只有少数使用国产WPS。互联网终端计算机上85%使用的瑞星和金山毒霸等杀毒软件,少数使用360安全卫士和卡巴斯基等。党政网的计算机90%以上都使用了网络版金山毒霸,电子政务外网
85%以上都使用了网络版的卡巴斯基。
我区各级各单位都高度重视政府信息系统安全检查工作,为了搞好这次检查,都成立了领导小组,主要领导亲自抓,分管领导具体抓。对这次检查进行了统筹安排,严密组织,明确了职责,强化了责任,以确保检查不走过场,注重实效,确保检查质量,以切实提高政府信息系统安全保障能力,确保我区政府信息系统安全运行。
二、信息安全检查发现的主要问题及整改情况
根据《通知》中的具体要求,在自查过程中我们也发现了一些不足,同时结合我区实际,今后要在以下几个方面进行整改。
1、部分单位安全意识不够。部分单位工作人员信息安全意识不够,未引起高度重视。检查要求其要高度保持信息安全工作的警惕性,从政治和大局出发,继续加强对机关干部的安全意识教育,提高做好安全工作的主动性和自觉性。
2、部分单位缺乏相关专业人员。由于部分单位缺乏相关专业技术人员,信息系统安全方面可投入的力量非常有限,下一步要加强相关技术人员的培训工作。
3、部分单位安全制度落实不力。要求各单位要加强制度建设,加大安全制度的执行力度,责任追究力度。要强化问责制度,对于行动缓慢、执行不力、导致不良后果的单位和个人,要严肃追究相关责任人责任,从而提高人员安全防护意识。
4、部分单位工作机制有待完善。部分单位网络与信息安全管理混乱,要进一步创新安全工作机制,提高机关网络信息工作的运行效率,进一步规范办公秩序。
5、计算机病毒问题较为严重。由于单位经费紧张,部分单位使用的是盗版杀毒软件,有的是网上下载的,有的是已过期不能升级的,更有不装杀毒软件的。要求各单位加大投
入,确保用上正版杀毒软件。
6、计算机密码管理重视不够。相当部分计算机未设置密码,有的密码设置也过于简单。要求各台计算机至少要设置8-10个字符的开机密码。
三、对信息安全检查工作的建议和意见
信息和信息网络安全的防范和监管是信息主管部门的一个重要职责。明确信息安全检查工作是为了加强安全防范,在此,对于做好安全防范工作建议如下:
1、明确各层组织机构和人员的网络和信息安全责任,实现组织和人力上的安全保证;
2、组织建立和健全各项信息和信息网络安全制度,实现制度和管理上的安全保证;规范日常信息化管理和检查制度。包括:软件管理、硬件管理、机房管理、系统运行和维护管理、网络管理等,提出并实施各系统配置和标准化设置,便于安全的维护和加固,实
现基础管理上的安全保证;
3、组织好单位内的项目协调、实施、推广应用与培训等工作,确保信息化项目的实施成效,实现规划和应用上的安全保证;
4、我区对网络与信息安全检查工作进行了部署,建议市上指导我区开展网络和信息
系统安全应急演练。
泸州市纳溪区人民政府信息化管理办公室
1.总体准备:
系统网络拓扑图,要求与实际系统一致,及时更新
上机检查(抽查):核心网络设备(交换机、路由、防火墙)、服务器主机
2.检查重点:
身份鉴别:复杂度,唯一性,非法登录次数,超时处理措施
访问控制:网络边界部署访问控制设备,控制粒度:网段级、单个用户,修
改默认账户,删除多余过期账户,权限分离,最小权限原则,尽量避免Telnet,限制登录网络设备网段
入侵防范:网络层:网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
主机:最小安装(包括系统服务)的原则,及时更新。
安全审计:网络设备运行状况、网络流量、用户行为等进行日志记录;内容:
事件日期、时间、发起者信息、类型、描述和结果等,审计记录无法删除、修改或覆盖。
恶意代码防范:及时更新,统一管理(规定和记录)
备份和恢复:对重要信息进行备份,关键网络设备、通信线路和数据处理系
统硬件冗余
应用系统容错性:输入有效性检查:数据格式或长度,故障和恢复
3.相关记录*
设备运行情况记录,定期维护核查记录、更新升级记录、备份和介质管理记录、安全事件记录等。
文档准备清单(G2管理)
1. 总体性工作文件:信息安全等级保护工作的文件、信息安全工作规划或实施方案 书面明确安全管理机构(信息安全领导小组,责任部门,人员),落实信息安全责任 信息安全建设规划(按照国家标准或行业标准建设安全设施,落实安全措施,行业、部门信息安全等级保护行业标准规范)
2. 定级、备案材料(新建信息系统是否在规划、设计阶段确定安全保护等级并备案)
3. 基本安全管理制度
□机房安全管理制度
□网络安全管理制度
□系统运行维护管理制度
□系统安全风险管理制度
□资产和设备管理制度
□数据及信息安全管理制度
□用户管理制度
□备份与恢复管理制度
□密码管理制度
□安全审计管理制度
□岗位和人员管理制度
□技术测评管理制度(包括监督措施)
□信息安全产品采购、使用管理制度
□安全事件报告和处置管理制度,信息系统安全应急处置预案
□教育培训制度
□自查和整改的规定
4. 岗位职责说明书、责任承诺书
□系统管理员□网络管理员□安全管理员□安全审计员
5. 记录文件:
□定期组织开展应急处置演练
□定期开展信息安全知识和技能培训
□自查和整改的方案和记录
(□等级测评监督记录)
6. 资质证明:
信息安全产品、生产单位相关证明:
□产品生产单位营业执照
□产品版权或专利证书
□产品或生产单位的相关声明或证明材料
□计算机信息系统安全专用产品销售许可证
(国外信息安全产品的,是否经主管部门批准,并请有关单位对产品进行专门技术检测)测评机构相关证明:
□营业执照、声明、证明及资质材料等
□保密协议
□技术检测方案
□检测报告
□安全整改
物理准备清单(2级)
1.文档准备:
机房工程验收文件
机房出入记录表
巡检记录、温湿度记录表
来访人员进入机房的规定、审批流程和记录
防盗报警系统验收报告
避雷装置验收报告
(火灾自动报警系统等其他防护系统的验收报告、停电等事件记录、定期核查维护记录等)
2.硬件及人员:
专人值守
主要设备放置在机房内,并固定,有标识
通信线缆铺设在隐蔽处,地板下,管道内
介质分类标识,单独存储
防盗报警系统
避雷装置,地线
灭火设备和火灾自动报警系统
接地防静电措施
温、湿度自动调节设施,温湿度可监控
稳压器和过电压防护设备
布置会情况总结
为贯彻落实省教育厅、公安厅《关于印发<湖南省教育信息系统安全等级保护工作实施方案>的通知》(湘教发
[2011]33号)要求,我厅于2011年9月25日-27日在长沙市留芳宾馆组织召开了全省教育信息系统安全等级保护工作布置会暨工作培训。
出席会议的领导有:教育部信息中心曾德华总工程师;省教育厅王键副厅长;省公安厅网技总队刘新平副总队长;省教育厅办公室、信息化办幸勇副主任;湖南省教育管理信息中心唐东斌主任;湖南省教育管理信息中心杨晓北书记;省教育厅维稳办周韶峰同志;省教育管理信息中心黄国圣总工程师;省公安厅网技总队姜颖军支队长等。
出席会议代表有:全省14个市州教育局、105所高等学校、16个教育厅委直属单位共222位单位等保工作负责人和技术员参加会议及培训。
“教育信息化作为国家信息化建设的重要组成部分,在教育改革和发展中的战略地位日益凸显,湖南省„四化两型‟战略中信息化更是发展重点之一。”会上,王键副厅长就如何加
强网络与信息安全工作提出3点意见,他要求各级教育行政部门和学校要高度重视网络信息安全建设,进一步增强做好网络与信息安全工作的责任感和使命感;要做好组织保障、人员保障、经费保障,切实做好信息系统安全定级与备案工作,认真落实信息系统安全建设整改,开展等级测评工作,做好组织管理和技术支撑服务工作,以信息安全等级保护工作为抓手,扎实推进网络与信息安全工作;要端正态度,增强自觉性,强化培训学习并学以致用,努力提高网络与信息安全理论技术水平。
建立完善的教育网络信息安全管理体系,建立教育网络信息安全技术保障体系,这是湖南省开展教育信息系统等级保护工作的两条主要思路,届时省教育厅将围绕这两个方面全面提升教育公共服务能力和教育管理水平。这项工作由省维稳办负责统筹管理、协调、指导,省教育管理信息中心负责组织、指导、监管与应急处置全省教育系统网络信息安全工作。
在《湖南省教育信息化发展规划(2011-2015)》中对教育网络信息安全提出了明确任务目标,核心是围绕国家信息安全等级保护制度的建设要求,完善网络信息安全基础制度,建立以教育电子身份认证为核心的网络信任体系,基本建成省、市州、县市区三级教育网络信息安全监控体系。
会上播放了国家信息系统安全等级保护工作宣传片。教
育部信息中心总工程师、教育部信息化推进办副主任曾德华回顾了教育信息安全等级保护工作开展情况以及所取得的成果。省公安厅网技总队副总队长刘新平介绍信息安全等级保护工作的发展历程,要求各地各校高度重视,切实将信息安全等级保护工作落到实处。省教育厅维稳办周韶峰同志透过7个案例分析了全省教育系统安全形势,并总结教训,提出个人建议。省教育管理信息中心总工程师黄国圣则结合当前我国信息安全等级保护制度建设相关政策提出下一步工作方向和重点。会议由省教育管理信息中心主任唐东斌主持。
关键词:定级,等级保护,等级测评,系统测评,系统运维,系统漏洞
1 引言
信息系统安全实行等级保护是在吸纳国外先进经验之上,结合我国信息化建设实际情况,创立的适合我国信息安全保障基本制度。多年来,在我国信息安全专家的努力下,以引进、消化、吸收、创新为手段,建立了我国信息安全等级保护技术和管理体系。国务院第147号令明确要求党政机关信息系统必须实行定级备案、等级划分及等级保护的安全制度。随后国家有关部门先后出台了几十个有关等级保护的国家和行业规范化文件,这些技术规范在我国信息安全等级保护工作中发挥了极其重要的作用,是我们开展党政机关信息系统安全等级保护工作的依据。
2 党政机关信息系统等级保护
2.1 等级保护三要素
对具有存储、传输、处理信息功能的信息系统实行安全等级保护;对信息和信息系统使用分等级进行管理;对信息安全事件分等级响应和处置。确定安全等级即定级是进行等级保护的首要要求。
2.2 等级保护责任
定级是信息系统实行等级保护的重中之重。如果定级不准,那么后续的等保备案和测评等都将失去作用,无法保证信息及系统的安全。确定为三级以上的信息系统,均属于国家重要信息系统,是国家相关部门进行信息系统保护工作的重点,需要运维和主管部门共同承担起信息安全责任,信息安全监管部门要经常性进行监督、检查和指导。在重要信息系统安全方面,运维单位和主管部门是第一责任人,信息安全监管部门是第二责任人。无论是哪个等级的信息系统,第一责任人和第二责任人要密切配合,共同承担责任,才能做好信息系统等级保护工作。
2.3 信息系统安全定级
根据公安部66号文,将信息系统从低到高定为五个安全等级。单位领导应根据本部门信息系统重要程度合理定级。
2.3.1定级原则
⑴坚持重点保护原则。对事关社会安定团结、人民正常生活等重要政务信息系统要重点保护,要确定为三级以上的重要信息系统,必须集中力量优先进行安全建设。
⑵坚持主管和运维共同负责原则。要贯彻主管和运行维护共同负责的原则。按国家标准确定合适的安全等级实施安全保障。
⑶坚持建设和安全并举的原则。系统在升级、扩容等应当同步考虑安全设施建设,保持系统安全与信息化水平一致。
⑷坚持等保变更原则。由于信息技术的不断进步,党政机关信息化社会服务类型的丰富和服务水平的不断提升,信息技术处于不断发展之中,因此安全保护等级应该适时变更定级,以适应新的系统安全要求。
3 党政机关信息系统安全定级准则
党政机关信息系统安全定级时,要坚持实事求是的原则,不可过高,也不要过低,要合理安全等级。结合自己等保工作的体会,建议按以下原则定级。
第一级信息系统:一般适用于乡镇和县级机关内部单位一般的政务信息系统。
第二级信息系统:一般适用于县级重要系统,地市级机关单位内部一般的信息系统。
第三级信息系统:一般适用于地市级以上机关单位内部重要的信息系统。如电子政务网、门户网站等。
第四级和第五级信息系统,一般适用于国家重要部门和中极端重要系统。
4 等级保护实施过程
党政机关信息系统确定等级保护后,需报请公安机关申请定级审批备案。本单位要组织具有测评资质的信息系统等级保护测评单位进行等级测评。完成信息系统测评和整改后,三十日内向公安机提交等级保护备案、系统定级情况、等级保护测评等表格,公安机关验收后发给等级保护备案证明书。
5 结语
党政机关信息系统是国家安全设施的的重要组成部分,必须按照国家法规和行业标准搞好信息安全保障工作,保障和促进信息化健康发展的基本策略。同时信息安全等级保护是一项经常性的工作,必须根据信息化发展水平的不同和人们对信息系统的安全需求的高低,建设具有相应保护能力的党政机关信息等级保护系统。
参考文献
[1]《中华人民共和国计算机信息系统安全条例》(国务院147号令),1994.
[2]《关于信息安全等级保护工作的实施意见》(公通字66号),2004.
[3]《信息安全等级保护管理办法》(公通字43号),2007.
[4]《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安861号),2007.
[5]《计算机信息安全保护等级划分准则》(GB17859),1999.
[6]《信息系统安全保护等级定级指南》(GB/T2240),2008.
关键词:信息安全;等级保护;定级;备案
中图分类号:G203 文献标志码:A 文章编号:1673-8454(2015)21-0012-05
一、背景
近些年来,随着互联网和信息通信技术的发展,信息系统在各行业、各领域快速拓展。随着大数据时代的到来,伪造基站、BIOS后门、高斯病毒、短信僵尸等各类网络攻击层出不穷、日新月异,保障网络与信息系统安全,已经成为信息化发展中迫切需要解决的重大问题。教育部、北京市教委等部门为保障教育信息系统的安全,逐步推出了相关政策和工作办法。
二、信息安全等级保护概述
信息安全等级保护(以下简称等保)是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实施安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。[1]
系统定级备案的实施是信息安全监督、检查和问责的需要。通过备案可以使信息化主管部门知道在哪里、由什么人运行着何等重要程度的信息系统,为信息安全管理提供基础数据。本文着重论述高等院校信息系统信息安全等级保护定级备案工作的实施,所指信息系统是指由计算机及其相关和配套的设备、网络构成的对教育行业相关业务信息进行采集、加工、存储、传输、检索和处理,不涉及国家秘密的系统。[2]
1.信息系统定级备案基本分类
信息系统定级是等级保护的第一步,需分析系统的业务信息类型和系统服务类型,确定信息安全受到破坏时所侵害的客体,确定对客体的侵害程度。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,以及系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。[3]高等院校信息系统中,招生管理类、数据集成类、校务管理类、基础网络服务类等信息系统的业务信息安全或系统服务安全受到破坏,可能影响学校正常秩序,影响高校正常行使工作职能,侵害学校、教师、学生及部分社会公众合法权益,可能在一定范围内对社会秩序造成影响,可能侵害公共利益,引起法律纠纷等;教学支持类、科研管理类、公共服务类、信息发布类等信息系统业务信息安全或系统服务安全受到破坏,可能影响学校正常秩序,影响高校正常行使工作职能,侵害学校、教师、学生合法权益,引起法律纠纷等。[4]
2.高等院校信息系统定级备案的基本原则
为了保护信息安全等级保护工作的科学性、合理性,高等院校的信息系统在实施过程中应遵循以下原则:
(1)自主保护原则。在高等院校的信息安全等级保护工作中,学校各二级单位按照相关标准对管辖范围内的信息系统进行自主定级、自主保护,并接受信息化主管部门的监督、管理。
(2)重点保护原则。将学校有限的财力、物力、人力投入到招生、教务、科研等重要信息系统安全保护中,依据相关标准建设安全保护体系,建立安全保护制度,落实安全责任,优化信息安全资源配置。
(3)同步建设原则。按照等保要求,在学校新建和改建的信息化项目中,将信息安全建设与系统建设同步规划、实施。
(4)动态调整原则。高等院校信息系统的应用功能、服务对象、范围等会根据政策、管理办法、新业务需求而发生变更、扩展。当发生较大变化时,应根据等级保护管理规范和技术标准的要求重新定级、备案,实施安全保护。
三、高等院校等保定级备案管理办法的研究
1.高校信息安全管理存在的主要问题
目前高等院校在信息安全等级保护备案方面存在着以下问题:
(1)二级单位难以按照信息安全等级保护基本要求结合自身情况制定切实可行的信息安全管理制度和技术标准规范。
(2)系统、网站的建设注重业务应用的实现,缺少安全设计和部署,开发环境与生产环境混淆,没有足够的测试急于上线,缺少安全防护意识。
(3)系统的不断改造升级,增加了网络安全的脆弱性,降低了系统的安全状态。
(4)部分二级单位对本单位的信息系统及网站底数不清,依然存在各自为政开设网站的情况,安全防护不统一。且存在科研教学机构替其他用户单位在校内开发、运营系统的情况。
(5)由于学校人员组织、编制等限制,无法严格按照等保要求组建专门的、专业的安全运维管理组织,配备岗责明确的职能人员。二级单位的系统管理员、网站管理员计算机知识与技能相对欠缺、安全意识相对薄弱,不足以开展安全自查、安全防范和风险分析排查。
针对上述问题,本文研究信息安全保障机构的建立、校内定级备案工作流程、自查监察管理办法等,以改进高校等保定级备案工作。
2.高校信息安全保障机构的建立
以高校现有校院两级管理实体为基础,确定信息安全领导小组、专家组以及信息安全主管部门和责任人,统一管理与协调。按照“谁主管、谁负责”的原则实行信息工作责任制和责任追究制,保证全校的信息安全建设与运维的管理职责得到落实。
本文建立的信息安全保障机构实质上是一个三级机构,如图1所示:
(1)信息化主管部门
信息安全领导小组领导下的信息化主管部门通常包括两类:
一类是宣传部、信息办等内容主管部门。负责学校各级网站的内容管理,包括网站审批、舆情监控;负责信息安全组织机构的人员信息登记等工作。
另一类是信息中心、网络中心等技术主管部门。负责全校信息安全等级保护的管理工作;负责校级系统的物理安全、网络安全、主机安全以及应用和数据安全;根据等级保护相应等级的技术要求对二级单位的系统网站进行安全监测、整改等工作。
(2)信息安全第一责任人
二级单位信息安全第一责任人原则上为本部门一把手,对本部门各业务系统及管辖下的网站在形式、内容、运行方面承担监督和管理的责任,负责建立和完善本部门网络安全和信息安全组织,统筹本单位的信息系统建设,建立健全本部门信息化管理制度,审批确定本部门信息系统的安全运维方案和应急预案。
信息系统和网站的申请建设、改造升级以及撤销,信息安全第一责任人负责依法进行信息安全等级保护备案和定级工作,报信息化主管部门备案。
(3)二级单位信息安全工作实施小组
二级单位信息安全工作实施小组主要包括四类人员。
①信息安全员
各二级单位须指定信息安全管理员,负责本单位网络与信息系统的管理和运维工作。接受本部门第一责任人、信息化主管部门的领导,协调本部门的系统管理员、网站管理员以及信息发布员实现信息系统等级保护的管理要求、技术要求。主要有以下工作:
协助信息安全第一责任人统筹本单位的网络建设和信息系统建设,管理本单位的二级网站和三级网站,包括信息系统安全等级保护定级备案以及自查等实施工作。
负责本单位局域网管理,学校固定IP、域名等网络资源的申请、配置、管理工作。
负责本单位的信息收集与维护工作,保证数据的准确性、及时性,支持校内外信息交流和交换、数据上报。
负责本单位网络安全、信息安全与保密工作,对系统安全策略、系统备份、日志管理和操作流程等方面制订管理办法。
②系统管理员和网站管理员
系统管理员和网站管理员应是在职教职工,根据所负责的计算机信息系统对应的信息安全等保等级进行相应技术和管理工作,从服务器、数据库、应用服务等多层面进行系统的补丁升级、定期备份、巡检、应急响应、故障解决等工作,保障系统正常、稳定运行。
③信息发布员
信息发布员是网页具体内容的审核发布人员,应保证信息的及时有效性,能根据上级领导或主管部门的要求更新、撤销、归档网页信息。
④资产管理员
通常高等院校各二级单位都有固定资产管理员,虽然这些管理者不是信息化专业人员,但是负责软硬件各类设备的管理,因此也应纳入等保安全保障体系范畴。
3.校内定级备案工作
高等院校,特别是理工类高等院校内的系统/网站繁多,且教学、科研、服务等应用目标不同,管辖等级不同(校级、院部处级、实验室以及群团组织等),但无论系统大小都应按照有关法律法规进行等级保护定级备案。
各系统主管单位根据信息系统分类、系统重要程度及实际的安全需求,参照《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》和《教育行政部门及高等院校信息系统安全等级保护定级指南》进行定级(高校一般不涉及四、五级系统),实施安全保护。原则上安全等级应不低于建议级别;对于承载复杂功能的信息系统,安全等级可高于建议级别;对于承载多个业务功能的信息系统,应以建议的最高安全等级进行定级。其中电子公文与信息交换、信息门户系统、招生管理系统等为重要保护对象。[4]
本文设计的高等院校内部定级备案工作流程如图2所示。
本工作流程中,等级保护定级备案的关键节点在于二级单位在新建系统或网站时,需要申请服务器、固定IP以及二级域名等网络资源。信息化工作主管部门通常可以在此节点要求二级单位完成系统的定级备案工作,以防疏漏。
如果是校级系统、二级单位重要业务管理系统,通常需要经过经信委等上级主管部门的审批,因此可以在立项之时就进行相应的定级备案、安全规划,落实信息安全等级保护相关控制,以确保在系统的规划设计、建设实施、运行维护整个安全生命周期中贯彻信息安全等级保护要求。
4.自查监察管理办法
(1)等保自查
学校信息化工作主管部门以及各二级单位每年都应参照等保的要求项和控制点,对管辖范围内的信息系统依据保护级别制定安全策略,规范管理和技术实施,并定期检查。包括网络与信息系统安全基本情况、技术防护情况、信息安全产品使用和信息技术服务外包安全管理情况、应急处置及容灾备份情况以及等级保护工作落实情况等。并填报自查结果,上报主管部门备案。
(2)安全监控
信息化工作技术主管部门负责利用可利用的安全技术、产品以及工具了解和评估系统的安全状态;从物理环境、网络、系统、应用、数据,到最终的用户终端汇集安全监控审计信息(详见图3),并进行分析及时发现安全隐患,提供可能的解决方案和技术支持。
信息化工作技术主管部门还应配合教委、公安局等上级部门进行信息安全的抽查、整改工作,完成每年度的信息安全等级保护工作汇报,保障敏感时期的信息安全保障工作。
(3)整改管理办法
对于自行发现的安全隐患以及上级下达的整改通知,信息化主管部门通知二级单位,落实人员限期实施整改,并配合系统主管单位将系统调整到“最安全”和“风险最低”状态。整改完成后,二级单位以书面形式上交整改报告,说明安全问题描述、原因、整改措施等。对于影响严重的系统或不能按期整改完成的系统,信息化技术主管部门有权停止网络服务,经核准整改效果后方可销案,同时加入重点安全监控名单。对于不能解决的安全问题和重大安全问题应及时告知信息安全领导小组和专家组,寻求领导层和校外专业团队的指导。
四、高等院校等保定级备案管理系统探究
信息安全等级保护定级备案以及自查整改的实施,大多是信息采集、录入和管理工作。然而又不同于一般的行政管理,需要结合技术的和非技术的手段保证全校等级保护工作的系统性、可行性、有效性和可扩展性。
目前已经有公司推出了信息安全等级保护综合管理系统,通过应用软件实现各种备案信息的录入、批量导入/导出、审核,从而进行备案信息的查询、检索和统计,以及为上级主管部门提供本单位的信息系统备案状况。但是,这些系统大都缺乏分层管理、数据关联、约束检查,使等保信息还是处于分散的状态中,也不便于校内日常信息安全工作管理。本文从信息化人员管理、资产管理以及制度管理的角度出发,讨论此类系统的设计思想,以实现定级备案工作在高校实施中的有效落地。
1.数据关联与约束(见图4)
建立信息安全保障体系对照表,通过Dept_code、Administrator、Assets_Manager、Assets_code、Rules_code关键字实现系统与部门、系统与管理员、系统与资产、系统与制度的关系。可以知道一个二级单位有哪些系统,分别是几级系统;可以知道每个系统使用了哪些固定资产,管理员是谁;可以知道每个系统建立或使用了哪些制度,是校级的还是二级单位内部的,等等。例如,通过上述关联可以很容易得到如表1所示的查询统计表。
而从表2不仅可以获得二级单位各系统的资产信息(软硬件),而且可按系统、部门进行汇总计算,获得国外产品百分比统计等信息。
通过资产编码Assets_code关联资产信息和资产检查表,按照资产类型编码对应的技术要求-Technology_checkcode、Technology_Description检查项填写资产检查表的检查结果,并记录日期,可以用作后续的变更记录和跟踪。
通过系统编码System_code从系统定级信息获取系统安全等级G_level,对应到管理要求表得到相应的检查项信息,再根据“制度-管理检查项对照”自动获取校级制度,便于二级单位的管理制度检查信息的填报。
这些关系的建立,不但可以获得更多的级联信息,而且可以进行约束。例如,通过制度的“共享标志”约束其他部门是否能使用二级单位自定义的制度;通过在系统备案基本备案信息中录入的资产数量Assets_number来验证资产信息是否填报完备,等等。
2.数图关联
资产管理涉及机器设备、软件系统等方面。梳理资产是实施等级保护的过程中重要的一步,以确定学校各系统的资产,明确责任人、物理位置、使用情况以及数据信息交互情况。
高校信息系统的资产管理大多还处于手工管理的离散状态,即便有固定资产管理系统,也只是从财产角度对各类资产进行注册在案(其分类与信息化角度不同),没有按照信息安全等级保护的管理要求、技术要求记录更为详尽的管理信息、运维信息。
本文建议建立基于拓扑结构图的信息系统资产管理,便于基础信息的录入、等保检查项检查和直观展示。因为,如果只是通过二维表或者树状结构图的形式输入资产信息,难以直观地了解到哪些网络设备、哪些服务器、哪个数据库以及哪个Web应用是一个系统的。但是基于拓扑图资产信息管理,可以通过图形符号的方式建立资产之间的关联,便于掌握一个系统的整体资产情况。例如,一台服务器的符号可以连接服务器、中间件、数据库、应用等多层资产,逐一录入(包括没有固定资产的免费资源)。如果少了哪一层资产没有填报(没有需说明理由),即当前备案信息尚不完备,则该系统应该是不允许访问的状态。从等保管理要求,信息化主管部门就可以停止其运行服务。
五、结束语
每个高等院校都会有自己的信息化组织机构、管理制度和办法,信息化建设进程也不尽相同,在具体应用《信息安全等级保护基本要求》时,不应一味追求所有的安全项,而是要根据学校自身信息化建设情况、特点,兼顾可操作性设计和实施信息安全体系建设,稳步渐进地落实等级保护工作。
参考文献:
[1]中华人民共和国国家质量监督检验检疫总局,中国国家标准化管理委员会.GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求[S].中国标准出版社,2008.
[2]中国教育信息化网.北京市市属教育行业信息安全等级保护定级评审工作办法[EB/OL]. http://www.ict.edu.cn/laws/difang/n20140623_14386.shtml,2014-06-23.
[3]沈昌祥,信息安全保障建设中的等级保护[J].信息技术与标准化,2007(11).
[4]教育部办公厅.教育行业信息系统安全等级保护定级工作指南(试行)[Z].2014.10.
【信息系统等级保护报告】推荐阅读:
信息系统可研报告05-29
信息安全等级保护规范06-28
信息安全等级保护实务07-27
信息系统项目验收报告05-24
会计信息系统上机报告07-25
如何理解信息安全等级保护与分级保护07-03
信息系统初步调查报告07-01
财务信息系统实习报告07-10
信息安全等级保护管理办法(试行)10-17
大学生兼职介绍管理信息系统可行性分析报告10-30