等级保护安全检查汇报(精选8篇)
按照芜公发[2015]146号和芜公信安检字[2015]028号文件精神,我院信息科对医院内各硬件系统和软件系统进行自查,并结合自身具体实际,认真贯彻落实相关工作机制,逐步完善各项制度,积极参加信息公开相关培训,稳步有序地推进我院信息安全等级建设等各项工作。现汇报总报告如下所示。
目前,我院为建立相对完善的信息安全责任制体系,提高我院信息化安全管理工作,完善医院信息化安全等级保护工作,于2012年3月5日成立信息等级保护安全协调小组,由院长担任信息协调小组组长,三位副院长和纪委书记担任副组长的。主要负责全院信息安全,提高我院信息系统安全发展。下设办公室,由信息科负责人担任办公室主任。成员分别由各职能科室科长、主任、负责人组成。小组成立以来通过自查等方式来加强院内的信息系统安全。目前我院正在准备按照三级等保的要求来升级我院的安全防护体系。
我院已把单位信息安全保护工作纳入科室年度考核,每月对网络安全设备、硬件设备、系统等进行安全检查,实时监控网络安全设备运行情况,同时针对医疗行业的特点,安装了反统方系统。单位按照国家相关要求部署和开展等级保护有关要求,对需要进行二级等保备案的系统已经进行了相关的定级与备案、业务变更报备工作。2012年7月和2014年9月对院内的信息系统进行了全面的自查工作,对问题与风险进行了分析,并提交了自查报告。目前我院部分重要信息系统已参照三级等级保护要求进行了安全建设,增加了防火墙,IPS,EMC存储,防毒墙,双核心交换机等设备。
我院已建立信息安全责任制度,成立由院领导担任组长的信息安全领导小组,对本单位信息安全负责领导工作。由信息科具体承担信息安全工作。科室配备网络管理员,系统管理员,安全审计员,硬件维护员各一名,并严格按照信息安全政策与业务培训制度对信息科人员录用、培训,时时强调安全保密的重要性。强调信息安全对医院的影响,对科室、个人的影响。加强科内人员的安全责任心。对机房出入人员进行视频监控记录,对所有信息设备进行台账化管理。网络系统配备防火墙、IPS、防毒墙等设备进行日常检测,每日对网络安全日志,服务器系统进行检查工作。已建立信息系统应急预案,并根据应急演练中发生的问题进行总结,改进,不断进行完善,提高应急处理能力。
数据方面,根据单位实际情况对重要数据库进行每天一次的增量备份,每星期一次的完全备份。单位主要包括His、EMR、Pacs等11个系统。本单位服务器个数为20台,使用的系统为windows2003,windows 2008,redhat 5.5,全部为国外操作系统,使用的数据库为Microsoft sql server 2005,Microsoft sql server 2008,ORACLE 10g等。终端个数为390台全部使用windows操作系统。
我院目前为止未发生安全事件或安全事故。我单位在工作中,经常与上级信息主管部门联系,同时就网络安全问题与市网监处保持在线联系。
信息安全等级保护工作的核心内容就是通过制定统一的政策标准, 依照现行的相关规定, 由各单位开展信息安全等级保护工作, 同时由各相关管理部门对进行的信息安全等级保护工作进行检查监督, 进而实现国家对于重要信息系统的保护, 提升重要系统的安全性。
1 信息安全等级保护发展历程
近年来信息化建设不断发展, 我国的信息安全等级保护工作发展也在随着信息化的飞速发展发生着变化, 其发展主要经历了以下四个阶段。
1.1 政策阶段 (1994—2003年)
国务院于1994年颁布《中华人民共和国计算机信息系统安全保护条例》, 条例中首次提出计算机信息系统要实行安全等级保护。中央办公厅、国务院办公厅于2003年颁发《国家信息化领导小组关于加强信息安全保障工作的意见》, 再一次明确地指出要实行信息安全等级保护, 这两项政策的提出, 标志着等级保护政策性地位的一次提升。
1.2 基础阶段 (2004—2006年)
2004年到2006年期间, 公安部联合四部委持续开展了等级保护基础调查和等级保护试点工作, 其中涉及65117家单位, 共115319个信息系统。在本次等级保护基础调查和等级保护试点工作中, 初步研究出一套如何开展等级保护工作的方式方法, 为接下来在全国全面推行等级保护工作打下了良好的基础。
1.3 推行阶段 (2007—2010年)
四部委于2007年6月联合出台《信息安全等级保护管理办法》。同年7月, 四部委联合颁布《关于开展全国重要信息系统安全等级保护定级工作的通知》, 同月又继续召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议, 至此我国的信息安全等级保护制度, 在历经十多年的探索后, 已经逐步成熟, 正式进行推行启动。
1.4 全面阶段 (2010年至今)
公安部于2010年4月出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》, 《通知》中提出了等级保护工作的阶段性目标。公安部和国务院国有资产监督管理委员会联合于2010年12月出台《关于进一步推进中央企业信息安全等级保护工作的通知》, 该《通知》上要求中央企业要坚决贯彻执行等级保护工作。由此可见, 我国信息安全等级保护工作已经顺利展开, 并进入全面推进阶段。
2 信息安全等级保护内容
信息安全等级保护内容具体可分为系统定级、系统备案、建设整改、等级测评、监督检查五个方面。
2.1 系统定级
按照《信息安全等级保护管理办法》中的相关规定, 信息系统的安全保护等级可以分为以下五个等级。
第一级是信息系统受到破坏后, 会对公民、法人和其他组织的合法权益造成损害, 但不损害国家安全、社会秩序和公共利益。
第二级是信息系统受到破坏后, 会对公民、法人和其他组织的合法权益产生严重损害, 或者对社会秩序和公共利益造成损害, 但不损害国家安全。
第三级是信息系统受到破坏后, 会对社会秩序和公共利益造成严重损害, 或者对国家安全造成损害。
第四级是信息系统受到破坏后, 会对社会秩序和公共利益造成特别严重损害, 或者对国家安全造成严重损害。
第五级是信息系统受到破坏后, 会对国家安全造成特别严重损害。
2.2 系统备案
信息系统由各单位按照《信息安全等级保护管理办法》中的相关规定确定安全等级后, 信息系统定级在二级以上的, 信息系统使用单位按照《信息安全等级保护备案实施细则》的相关要求办理信息系统备案工作。对于不符合信息安全等级保护要求的, 公安机关会通知备案单位进行相关整改;而对于符合信息安全等级保护要求的, 经过审核合格的单位, 公安机关会对该信息系统予以备案, 并向使用部门发放由公安部统一监制的《信息系统安全等级保护备案证明》。
2.3 建设整改
为有效保障信息化的健康发展, 减少信息安全隐患和信息安全事故, 信息系统使用单位应采取分区分域的方法开展信息系统安全建设整改, 对信息系统进行全面加固改造升级, 按照信息系统保护等级, 对信息系统实施安全保护。
信息系统使用单位应对照《信息系统安全等级保护基本要求》中的内容, 开展信息系统的信息安全等级保护安全建设整改, 双路并行, 坚持管理与技术并重, 从物理安全、主机安全、应用安全、网络安全及数据备份与恢复五个安全技术相关方面进行建设整改。同时也要从安全管理人员、安全管理机构、安全管理制度、系统建设管理及系统运维管理五个安全管理相关方面开展进行。两手抓两手都要硬, 技术与管理要进行协调融合发展, 从而建立起一套完整的信息系统安全防护体系。
2.4 等级测评
测评机构按照规定程序对信息系统进行等级测评, 测评后会按照公安部制定的《信息系统安全等级测评报告模板》出具定级测评报告, 包括报告摘要、测评项目概述、被测信息系统情况、等级测评范围与方法、单元测评、整体测评、测评结果汇总、风险分析和评价、等级测评结论、安全建设整改意见等内容。
信息安全等级保护测评工作结束后, 信息系统管理人员可以完整地了解信息系统的相关安全信息, 深层次发现信息系统的漏洞, 彻底排查信息系统中的安全隐患, 并且可以明确信息系统是否符合等级保护的相关要求, 是否具备相应的安全防护能力。
2.5 监督检查
备案单位按照相关要求, 需定期对信息安全等级保护工作的落实情况进行自查, 掌握信息系统安全管理和相关技术指标等, 及时发现信息系统存在的安全隐患, 并有针对性地采取正确的技术方法和管理措施。
公安机关依据有关规定, 以询问情况、查阅核对资料、调看记录资料、现场查验等方式对使用单位的等级保护工作进行检查, 对其等级保护建设的信息安全措施、相应信息安全管理制度的建立和落实、信息安全责任落实责任等方面进行督促检查。
3 信息安全等级保护意义
在信息环境日趋复杂的如今, 信息安全等级保护工作的开展对我国信息系统安全建设的整体水平有非常大的帮助, 信息安全设备的投入在信息化系统的建设过程中必不可少, 信息安全与信息化建设在信息安全等级保护工作中有机配合。信息安全等级保护为信息系统的安全建设和管理提供了系统性地指引, 进而控制了信息安全建设的成本。同时还对优化信息安全资源具有促进意义, 信息系统的分级保护, 可以重点保障基础信息网络和国家重要信息系统的安全, 有利于加强信息安全管理, 推动信息安全产业的发展, 进而逐步探索出适合我国国情发展的信息安全模式。
4 结语
信息技术高速发展在带来无限便利的同时, 也在信息安全方面带来日益严峻的挑战, 作为信息系统的重要支撑, 信息安全等级保护在未来的发展中举足轻重, 接下来应当继续不断地完善其相关的法律法规及技术标准, 在更大的范围内全面推行, 以满足新形势下的信息安全发展需求。
摘要:信息安全等级保护是国家信息安全保障领域的基本要求, 能够有效保障信息化工作的健康发展。笔者介绍了我国信息安全等级保护的发展历程及信息安全等级保护的具体内容, 并在此基础上, 分析了信息安全等级保护工作开展的重要意义。
安全防护需求
《信息安全技术一信息系统安全等级保护基本要求》(GB/T22239-2008)明确了基本要求,电网作为重点行业信息安全领域,充分结合自身安全的特殊要求,在对国家标准消化基础上进行深化、扩充,将二级系统技术要求项由79个扩充至134个,三级系统技术要求项由136个扩充至184个,形成了企业信息系统安全等级保护要求,见表1。
安全防护架构与策略
按照纵深防御的思想设计安全防护总体架构,核心内容是“分区、分级、分域”,如图1所示。分区就是按照《电力二次系统安全防护规定》(电监会5号令)将信息系统划分为生产控制大区和管理信息大区两个相对独立区域进行安全防护。分级就是将部署于大区的各系统分别确定安全保护级别实现等级化防护。分域就是将部署于大区的各系统,依据系统级别及业务系统类型划分不同的安全域,实现不同安全域的独立化、差异化防护。总体上形成了“区、级、域”多梯次大纵深的安全防护构架。
生产控制大区和管理信息大区的系统特性不同,安全防护策略也不尽不同。本文仅描述管理信息大区的安全防护策略。管理信息大区部署管理类业务的系统,安全防护遵循以下策略:
(1)双网双机。将管理信息大区网络划分为信息内网和信息外网,内外网间采用逻辑强隔离装置进行隔离,内外网分别采用独立的服务器及桌面主机;
(2)分区分域。将管理信息大区的系统,依据定级情况及业务系统类型,进行安全域划分,以实现不同安全域的独立化、差异化防护;
(3)等级防护。管理信息系统以实现等级保护为基本出发点进行安全防护体系建设,并参照国家等级保护基本要求进行安全防护措施设计;
(4)多层防御。在分域防护的基础上,将各安全域的信息系统划分为边界、网络、主机、应用四个层次进行安全防护设计,以实现层层递进,纵深防御。
安全防护设计
信息系统安全防护按照边界安全防护、网络环境安全防护、主机系统安全防护、应用安全防护四个层次进行防护措施设计。
(一)边界安全防护
边界安全防护目标是使边界的内部不受来自外部的攻击,同时也用于防止恶意的内部人员跨越边界对外实施攻击,或外部人员通过开放接口、隐通道进入内部网络;在发生安全事件前期能够通过对安全日志及入侵检测时间的分析发现攻击企图,安全事件发生后可以提供入侵事件记录以进行审计追踪。
边界安全防护关注对进出该边界的数据流进行有效的检测和控制,有效的检测机制包括基于网络的入侵检测(IDs)、对流经边界的信息进行内容过滤,有效的控制措施包括网络访问控制、入侵防护、虚拟专用网(VPN)以及对于远程用户的标识与认证/访问权限控制。上述边界安全防护机制与其它层面安全措施可协同使用以提供对系统的防护。
信息系统边界归为信息外网第三方边界、信息内网第三方边界、信息内外网边界、信息内网纵向上下级单位边界及横向域间边界五类,安全防护设计见表2
(二)网络安全防护
网络环境安全防护的目标是防范恶意人员通过网络对应用系统进行攻击,同时阻止恶意人员对网络设备发动的攻击,在安全事件发生前可以通过集中的日志审计、入侵检测事件分析等手段发现攻击意图,在安全事件发生后可以通过集中的事件审计系统及入侵检测系统进行事件跟踪、事件源定位以发现恶意人员位置或及时制定相应的安全策略防止事件再次发生。
网络安全防护面向企业整体支撑性网络,以及为各安全域提供网络支撑平台的网络环境设施,网络环境具体包括网络中提供连接的路由器、交换设备及安全防护体系建设所引入的安全设备。安全防护设计见表3。
(三)主机安全防护
主机系统安全的目标是确保业务数据在进入、离开或驻留服务器时保持可用性、完整性和保密性,采用相应的身份认证、访问控制等手段阻止未授权访问,采用主机防火墙、入侵检测等技术确保主机系统的安全,进行事件日志审核以发现入侵企图,在安全事件发生后通过对事件日志的分析进行审计追踪,确认事件对主机的影响以进行后续处理。
主机系统安全防护包括对服务器及桌面终端的安全防护。服务器包括业务应用服务器、网络服务器、WEB服务器、文件与通信等;桌面终端是作为终端用户工作站的台式机与笔记本计算机。安全防护设计见表4。
(四)应用防护
应用安全防护的目标是保证应用系统自身的安全性,以及与其他系统进行数据交互时所传输数据的安全性;在安全事件发生前发现入侵企图或在安全事件发生后进行审计追踪。
应用安全防护包括对于应用系统本身的防护、用户接口安全防护和对于系统间数据接口的安全防护。安全防护设计见表5。
安全防护实施
信息系统安全等级保护实施涉及到系统定级、现状测评、安全建设改造方案编写及实施、等保符合度测评、备案等工作。依据《信息安全技术一信息系统安全等级保护定级指南》(GB/T22240-2008)开展定级工作,定级结果报政府主管部门审批确认。现状测评委托专业机构进行,测评结果作为安全建设方案编写的主要依据。安全域是安全防护总体架构的关键环节,是方案制定的关键内容之一。
管理信息大区划分为内网和外网,内网部署为公司内部员工服务的系统,外网部署对外服务的系统。安全域是由一组具有相同安全保障要求、并相互信任的系统组成的逻辑区域,同一安全域的系统共享相同的安全保障策略。按照等级保护的思想,安全域按照“二级系统统一成域,三级系统独立分域”原则划分。将等级保护较高的三级系统按独立的安全域进行安全防护,以实现三级系统的独立安全防护,将所有二级系统作为一个安全域进行安全防护可降低成本。定级和安全域划分见表6。
限于篇幅,系统建设改造方案细节、等保符合度测评等内容不在此赘述。
信息系统安全监督和检查管理规定
第一章 总则
第一条 为了进一步规范我单位信息系统安全监督和检查管理工作,根据《信息安全等级保护管理办法》、《信息系统安全管理要求》(GBT 20269-2006)和其他有关法律法规的规定,结合本单位实际,特制定本规定。
第二条 本规定适用于我单位信息系统安全管理人员和技术人员进行政务信息系统安全监督和检查管理工作,包括合法性检查、依从性检查、审计及监管控制、责任认定等工作。
第三条 信息系统安全监督和检查管理工作的责任部门为单位信息中心。
第二章 合法性检查
第四条 合法性检查的内容包括三个方面:知晓适用的法律、知识产权管理、保护证据记录。
第五条 应了解信息系统应用范畴适用的所有法律法规;对信息系统的设计、操作、使用和管理,以及信息管理方面应规避法律法规禁区,防止出现违法行为;应保护组织机构的数据信息和个人信息隐私;对于详细而准确的法律要求如有需要,应从专业法律人员处获得帮助;
第六条 应尊重知识产权,涉及软件开发的工作人员和承包商应做到符合和遵守相关的法律、法规,应防止发生侵犯版权的行为;如果重要应用系统软件是外包开发的,应注意明确软件版权有关问题,应防止发生因软件升级或改造引起侵犯软件版权的行为;
第七条 数据库记录、审计日志、变更记录、技术维护记录、机房进出记录、关键设备访问记录等为重要记录,应按照法律法规的要求进行保护,防止丢失、毁坏和被篡改;被作为证据的记录,信息的内容和保留的时间应遵守国家法律法规的规定。
第三章 依从性检查
第八条 依从性检查的内容包括三个方面:检查和改进、安全策略依从性检 1
查、技术依从性检查。
第九条 每半年定期进行一次对安全管理活动的各个方面进行检查和评估工作;对照安全策略和管理制度做到自管、自查、自评,并应落实责任制;
第十条 每月定期进行一次检查安全策略的遵守情况,重点检查信息系统的网络、操作系统、数据库系统等系统管理员,保证其在应有责任范围内能够正确地执行所有安全程序,能够正确遵从组织机构制定的安全策略;
第十一条 每年定期进行一次技术依从性检查。对硬件和软件的检验,以及技术依从检查应由有能力的、经过授权的人员来进行;对于技术测试应由有经验的系统工程师手工或使用软件包进行并生成检测结果,经技术专家解释并产生技术报告;根据检查结果,对存在的缺陷进行不断改进;
第四章 审计及监管控制
第十二条 审计及监管控制的内容包括二个方面:审计控制、监管控制。第十三条 审计活动应每年进行一次,由独立的审计机构或人员对安全管理体系、信息系统的安全风险控制、管理过程的有效性和正确性进行审计;对系统的审计活动进行规划,应制定审计的工作程序和流程、需求和责任,对审计过程进行控制,尽量减小中断业务流程的风险;应加强安全事件发生后的审计;
第十四条 积极配合上级信息安全监管职能部门进行的监督、检查。
第五章 责任认定
第十五条 责任认定的内容包括二个方面:审计结果的责任认定、审计及监管者责任的认定。
第十六条 对于审计及监管过程发现的问题应限期解决,同时要认定技术责任和管理责任,明确责任当事人,认定相关领导者的责任,领导层应就此提出问题解决办法和责任处理意见,以及监督问题解决情况;
第十七条 审计及监管者应按有关监督和检查的规定定期进行审计,逾期未进行审计及监管,使本应审计的问题因未审计而造成信息系统损失,应承担相应的责任;
第六章 附则
第十八条 本规定由单位信息安全领导小组负责解释。
第十九条 违反本规定,发生信息安全事件的,按照事件造成的损失和后果,依据国家有关法律法规进行处罚。
自检自查报告
临河人民医院的的信息网络安全建设在上级部门的 关心指导下,近年取得了快速的进步和发展,根据市卫生局《关于开展信息系统等级保护检查工作的通知》文件精神和要求及接到公安局文件后,医院高度重视,及时召开院信息系统安全等级保护工作领导小组会议,积极部署工作、明确责任、具体落实,按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,认真对照信息安全等级保护自查项目表,对我院信息安全等级保护工作进行了一次摸底调查,现将此项工作自查情况汇报如下:
一、等级保护工作组织开展、实施情况:
成立了临河区人民医院信息系统安全等级保护工作领导小组,落实了信息安全责任制;对等级保护责任部门和岗位人员进行了确定,确保专人落实;制定了等级保护工作的文件及相关工作方案;严格按照国家等级保护政策、标准规范和行业主管部门的要求,组织开展各项工作;及时召开了信息系统安全等级保护工作领导小组工作会议;医院主要领导对等级保护工作作出了重要批示,并在工作会议上提出了四点要求。
2信息安全管理制度的建立和落实情况 院信息中心制定了《临河区人民医院信息化建设总体规划》、《临河区人民医院信息系统工作制度与人员岗位职责目录》、《临河区人民医院计算机管理系统应急预案》、《临河区人民医院HIS信息系统工作制度》等相关制度,并在实际工作中对照制度严格执行各项操作流程。
3按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况
遵照有关法律法规,对医院信息服务网遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,对医院信息服务网信息安全保护等级进行了自主定级。
二、信息系统定级备案情况,信息系统变化及定级备案变动情况:
按照《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字,2007‟861号),对本单位维护的医院内网站(医院信息和服务网)安全保护等级级别定位第二级。
三、信息安全设施建设情况和信息安全整改情况:
1安全设施建设情况:我院计算机、公文处理软件和信息系统安全产品均为国产产品,包括使用360、金山安全卫士、金山毒霸、诺顿nod正版软件等安全软件。公文处理软件使用了Microsoft Office系统。单位使用的工资系统、业务系统、数据传输平台系统、数据库等应用软件均为市委、市政府政府相关部门、市财政局和市卫生局统一指定的产品系统。重点信息系统使用的服务器、路由器、交换机等均为国产产品。2信息安全整改情况:
一信息系统安全工作还需要继续完善和提高相应的维护能力。随着移动护理查房的展开,信息工作人员还需要继续提高信息系统安全管理和管护工作的水平。二设备维护、更新有待加强。科室的正版nod杀毒软件维护能够自动更新升级,并进行了定时扫描,确保不存在系统漏洞,偶尔更换新主机ip地址会有冲突,IP网络地址也进行了统一管理。今后将对线路、系统等的及时维护和保养,及时更新升级软件和管理网络地址。
三信息系统安全工作机制还有待完善。部门信息系统安全相关工作机制制度、应急预案等还不健全,还要完善信息系统安全工作机制,建立完善信息系统安全应急响应机制,以提高医院网络信息工作的运行效率,促进医疗、办公秩序的进一步规范,防范风险。
四、信息安全管理制度建设和落实情况:
1制定了医院信息服务网信息安全管理制度,按照“谁主管谁负责”的原则开展工作,我单位负责人为第一责任人,对医院信息服务网信息安全管理负直接责任,并接受上级单位的监管。
2对医院信息服务网机房实施了24小时值班,操作系统、数据库系统、防病毒系统、网站软件系统实时升级,3发现安全隐患,第一时间由技术人员解决。
五、信息安全产品选择和使用情况:
医院内部服务器使用了IBM和戴尔的服务器,交换机使用了H3C.六、聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况:暂无聘请测评机构开展技术测评工作。
七、自行定期开展自查情况:
各省、自治区、直辖市公安厅(局)、保密局、国家密码管理局(国家密码管理委员会办公室)、信息化领导小组办公室,新疆生产建设兵团公安局、保密局、国家密码管理局、信息化领导小组办公室,中央和国家机关各部委保密委员会办公室、密码工作领导小组办公室、信息化领导小组办公室,各人民团体保密委员会办公室:
为加快推进信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》。现印发给你们,请认真贯彻执行。
公
安
部
国 家 保 密 局 国家密码管理局
国务院信息工作办公室
二〇〇七年六月二十二日
信息安全等级保护管理办法
第一章 总则
第一条 为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
第二条 国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条 信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
第二章 等级划分与保护 第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条 信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。
第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
第三章 等级保护的实施与管理
第九条 信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》 具体实施等级保护工作。
第十条 信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。
跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。
第十一条 信息系统的安全保护等级确定后,运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。
第十二条 在信息系统建设过程中,运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护基本要求》等技术标准,参照《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术 网络基础安全技术要求》(GB/T20270-2006)、《信息安全技术 操作系统安全技术要求》(GB/T20272-2006)、《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006)、《信息安全技术 服务器技术要求》、《信息安全技术 终端计算机系统安全等级技术要求》(GA/T671-2006)等技术标准同步建设符合该等级要求的信息安全设施。
第十三条 运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》(GB/T20269-2006)、《信息安全技术 信息系统安全工程管理要求》(GB/T20282-2006)、《信息系统安全等级保护基本要求》等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。
第十四条 信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改。
第十五条 已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
第十六条 办理信息系统安全保护等级备案手续时,应当填写《信息系统安全等级保护备案表》,第三级以上信息系统应当同时提供以下材料:
(一)系统拓扑结构及说明;
(二)系统安全组织机构和管理制度;
(三)系统安全保护设施设计实施方案或者改建实施方案;
(四)系统使用的信息安全产品清单及其认证、销售许可证明;
(五)测评后符合系统安全保护等级的技术检测评估报告;
(六)信息系统安全保护等级专家评审意见;
(七)主管部门审核批准信息系统安全保护等级的意见。
第十七条 信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明;发现不符合本办法及有关标准的,应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正;发现定级不准的,应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。
运营、使用单位或者主管部门重新确定信息系统等级后,应当按照本办法向公安机关重新备案。
第十八条 受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次,对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查,应当会同其主管部门进行。
对第五级信息系统,应当由国家指定的专门部门进行检查。公安机关、国家指定的专门部门应当对下列事项进行检查:
(一)信息系统安全需求是否发生变化,原定保护等级是否准确;
(二)运营、使用单位安全管理制度、措施的落实情况;
(三)运营、使用单位及其主管部门对信息系统安全状况的检查情况;
(四)系统安全等级测评是否符合要求;
(五)信息安全产品使用是否符合要求;
(六)信息系统安全整改情况;
(七)备案材料与运营、使用单位、信息系统的符合情况;
(八)其他应当进行监督检查的事项。
第十九条 信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,如实向公安机关、国家指定的专门部门提供下列有关信息安全保护的信息资料及数据文件:
(一)信息系统备案事项变更情况;
(二)安全组织、人员的变动情况;
(三)信息安全管理制度、措施变更情况;
(四)信息系统运行状况记录;
(五)运营、使用单位及主管部门定期对信息系统安全状况的检查记录;
(六)对信息系统开展等级测评的技术测评报告;
(七)信息安全产品使用的变更情况;
(八)信息安全事件应急预案,信息安全事件应急处置结果报告;
(九)信息系统安全建设、整改结果报告。
第二十条 公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的,应当向运营、使用单位发出整改通知。运营、使用单位应当根据整改通知要求,按照管理规范和技术标准进行整改。整改完成后,应当将整改报告向公安机关备案。必要时,公安机关可以对整改情况组织检查。
第二十一条 第三级以上信息系统应当选择使用符合以下条件的信息安全产品:
(一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;
(二)产品的核心技术、关键部件具有我国自主知识产权;
(三)产品研制、生产单位及其主要业务、技术人员无犯罪记录;
(四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;
(五)对国家安全、社会秩序、公共利益不构成危害;
(六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。
第二十二条 第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评:
(一)在中华人民共和国境内注册成立(港澳台地区除外);
(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);
(三)(四)
(五)从事相关检测评估工作两年以上,无违法记录; 工作人员仅限于中国公民;
法人及主要业务、技术人员无犯罪记录;
(六)使用的技术装备、设施应当符合本办法对信息安全产品的要求;
(七)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;
(八)对国家安全、社会秩序、公共利益不构成威胁。
第二十三条 从事信息系统安全等级测评的机构,应当履行下列义务:
(一)遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果;
(二)保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险;
(三)对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。
第四章 涉及国家秘密信息系统的分级保护管理
第二十四条 涉密信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。
非涉密信息系统不得处理国家秘密信息。
第二十五条 涉密信息系统按照所处理信息的最高密级,由低到高分为秘密、机 密、绝密三个等级。
涉密信息系统建设使用单位应当在信息规范定密的基础上,依据涉密信息系统分级保护管理办法和国家保密标准BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确定系统等级。对于包含多个安全域的涉密信息系统,各安全域可以分别确定保护等级。
保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。
第二十六条 涉密信息系统建设使用单位应当将涉密信息系统定级和建设使用情况,及时上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案,并接受保密部门的监督、检查、指导。
第二十七条 涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。
涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准,按照秘密、机密、绝密三级的不同要求,结合系统实际进行方案设计,实施分级保护,其保护水平总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。
第二十八条 涉密信息系统使用的信息安全保密产品原则上应当选用国产品,并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测,通过检测的产品由国家保密局审核发布目录。
第二十九条 涉密信息系统建设使用单位在系统工程实施结束后,应当向保密工作部门提出申请,由国家保密局授权的系统测评机构依据国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》,对涉密信息系统进行安全保密测评。
涉密信息系统建设使用单位在系统投入使用前,应当按照《涉及国家秘密的信息系统审批管理规定》,向设区的市级以上保密工作部门申请进行系统审批,涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统,其建设使用单位在按照分级保护要求完成系统整改后,应当向保密工作部门备案。
第三十条 涉密信息系统建设使用单位在申请系统审批或者备案时,应当提交以下材料:
(一)系统设计、实施方案及审查论证意见;
(二)系统承建单位资质证明材料;
(三)系统建设和工程监理情况报告;
(四)系统安全保密检测评估报告;
(五)系统安全保密组织机构和管理制度情况;
(六)其他有关材料。
第三十一条 涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、安全保密管理责任单位变更时,其建设使用单位应当及时向负责审批的保密工作部门报告。保密工作部门应当根据实际情况,决定是否对其重新进行测评和审批。
第三十二条 涉密信息系统建设使用单位应当依据国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》,加强涉密信息系统运行中的保密管理,定期进行风险评估,消除泄密隐患和漏洞。
第三十三条 国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理,并做好以下工作:
(一)指导、监督和检查分级保护工作的开展;
(二)指导涉密信息系统建设使用单位规范信息定密,合理确定系统保护等级;
(三)参与涉密信息系统分级保护方案论证,指导建设使用单位做好保密设施的同步规划设计;
(四)依法对涉密信息系统集成资质单位进行监督管理;
(五)严格进行系统测评和审批工作,监督检查涉密信息系统建设使用单位分级保护管理制度和技术措施的落实情况;
(六)加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评,对绝密级信息系统每年至少进行一次保密检查或者系统测评;
(七)了解掌握各级各类涉密信息系统的管理使用情况,及时发现和查处各种违规违法行为和泄密事件。
第五章 信息安全等级保护的密码管理
第三十四条 国家密码管理部门对信息安全等级保护的密码实行分类分级管理。根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度,被保护对象的安全防护要求和涉密程度,被保护对象被破坏后的危害程度以及密码使用部门的性 质等,确定密码的等级保护准则。
信息系统运营、使用单位采用密码进行等级保护的,应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。
第三十五条 信息系统安全等级保护中密码的配备、使用和管理等,应当严格执行国家密码管理的有关规定。
第三十六条 信息系统运营、使用单位应当充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的,应报经国家密码管理局审批,密码的设计、实施、使用、运行维护和日常管理等,应当按照国家密码管理有关规定和相关标准执行;采用密码对不涉及国家秘密的信息和信息系统进行保护的,须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准,其密码的配备使用情况应当向国家密码管理机构备案。
第三十七条
运用密码技术对信息系统进行系统等级保护建设和整改的,必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护,不得采用国外引进或者擅自研制的密码产品;未经批准不得采用含有加密功能的进口信息技术产品。
第三十八条
信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担,其他任何部门、单位和个人不得对密码进行评测和监控。
第三十九条 各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评,对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中,发现存在安全隐患或者违反密码管理相关规定或者未达到密码相关标准要求的,应当按照国家密码管理的相关规定进行处置。
第六章 法律责任
第四十条 第三级以上信息系统运营、使用单位违反本办法规定,有下列行为之一的,由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正;逾期不改正的,给予警告,并向其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,并及时反馈处理结果:
(一)未按本办法规定备案、审批的;
(二)未按本办法规定落实安全管理制度、措施的;
(三)未按本办法规定开展系统安全状况检查的;
(四)未按本办法规定开展系统安全技术测评的;
(五)接到整改通知后,拒不整改的;
(六)未按本办法规定选择使用信息安全产品和测评机构的;
(七)未按本办法规定如实提供有关文件和证明材料的;
(八)违反保密管理规定的;
(九)违反密码管理规定的;
(十)违反本办法其他规定的。
违反前款规定,造成严重损害的,由相关部门依照有关法律、法规予以处理。
第四十一条 信息安全监管部门及其工作人员在履行监督管理职责中,玩忽职守、滥用职权、徇私舞弊的,依法给予行政处分;构成犯罪的,依法追究刑事责任。
第七章 附则
第四十二条 已运行信息系统的运营、使用单位自本办法施行之日起180日内确定信息系统的安全保护等级;新建信息系统在设计、规划阶段确定安全保护等级。
第四十三条 本办法所称“以上”包含本数(级)。
随着现在高科技的快速发展以及当前社会对信息系统需求的不断增加,信息系统的规模也在日益扩大,它的诸多应用都给社会创造了巨大的财富,与此同时,信息系统也成为了威胁、攻击以及破坏的对象。由于信息在网络上的存储、传输和共享等过程的非法利用,导致目前如何确保信息系统的安全性就成为了我们现阶段亟待解决的重点问题。当前,我们正在有计划的开展信息安全等级保护制度实施工作。为了确保计算机信息系统的安全,一定要系统地、深入地研究和学习信息系统安全技术和等级保护方法。
1. 信息安全基本概念
信息系统的基础是计算机和其外部设备,任务是进行信息的处理、存储和传输和加工处理。信息安全的主要任务是对信息系统等一系列功能进行保护。因此,一个信息系统如若没有安全保障措施,就无从谈及提供可信的功能。
信息系统的风险分析和评估,需要利用定性和定量的分析方法,进而分析确定其风险等级和安全需求,按照关于安全技术等级划分的相关规定,选择相应的安全技术,结合系统化方法,建立一个完整的安全子系统,此系统具有相应的安全等级。在此过程中,应该依照等级保护的相应的规定,考虑到信息系统的安全等级的一致性和信息安全技术等级的一致性,对这些安全机制有机地集成,设计出的信息安全系统具有一定的安全保护等级。
2. 信息安全等级划分
(1)按相关政策规定划分安全保护等级
对于我国中央和国家各级机关、国家重点科研部门机构、国防建设部门等需要对信息系统施行特殊隔离和保护的单位机关,均应按照相关政策、相关法律法规,实施安全等级保护。
(2)按照保护数据的价值划分保护等级
不同类别的数据信息需要实施不同安全等级的保护,这样不仅能使信息系统中的数据信息的安全得到应有的保证,而且又能缩减一部分不必要的开销。
3. 信息安全等级保护具体方法
信息系统安全等级划分的最优的选择是全方位划分等级,其最基本的思想为重点保护和适度保护。在此基础上,投入合理的安全投入,运用以下两点信息安全等级保护方法,努力使信息系统得到应有的安全保护。
3.1 全系统的同一安全等级的安全保护
全系统同一安全等级安全保护:在一个需要进行安全等级保护的信息系统中,在组成系统的任何部分,所存储、传输和处理的全部数据信息,都需进行相同的安全保护等级的保护措施。
当有这样要求,规定所要保护的数据信息,不管处于系统中任何位置,进行任何形式的数据处理都需采取相同安全保护等级是,都应严格按照全系统同一安全等级安全保护方法开展系统安全性设计,设计出要求所需的安全机制。
这里特殊说明的是,此处的相同安全保护等级的安全保护,意指的是根据规定的安全保护等级,对其中某一等级进行全系统的安全设计,它的安全等级不同于多级安全模型中所实现的强制访问中的主体、客体标记所设置的安全等级。这是因为实施强制访问控制的客体可能会出现下面的情况,在计算机信息系统的不同部位,作为强制访问控制基础的安全等级的多级安全模型,需求不同其安全等级会有所区别。这就是为什么常常要规定当保密文件被带出原单位或者被带到异地是要对其升高保密的等级。
3.2 分系统不同安全等级安全保护
所谓分系统不同安全等级安全保护:在一个需要进行安全等级保护的计算机信息系统中,其中所存储、传输和处理的全部数据信息,应该按照信息在组成计算机信息系统的每个分系统中的不同保护要求的原则,对其实施不同安全保护等级的安全保护。
这种安全保护措施应用在当处于信息系统的各个不同分系统中的数据信息需要区别地进行
不同安全等级的安全保护的情况下,此时应该按照这种分系统不同地安全保护方法实施系统的安全性设计工作。此安全设计保护可按数据服务器进行实施,或者也可按照网段和子网段实施。这种情况下,多个数据服务器系统中的各个不同的服务器,就根据它们不同的的存储和处理数据信息的类型,实施不同安全保护等级的安全保护。
如果一个计算机信息系统中存在各种不同类型的数据信息,想要对这个信息系统进行其安全保护设计,就可以按照把数据分类别地存放在不同的数据服务器中的这种方法来进行安全保护设计。此外有一种使网段或者子网具有较高安全保护等级的安全保护方法,即分别按网段或者按照子网实施保护。这时,我们需要将过滤器设计在网段和子网的前端,以防数据在内、外的随意地流动。前端的过滤器起到两点功能: (1) 严格地检查、控制和认证了进入此网段和子网的用户,对用户进行审核。 (2) 严格控制过滤器两端的进、出数据信息。
分系统不同安全等级安全保护是实现信息系统安全的一种有效方法:在一个庞大的信息系统中,其多种多样的数据信息,安全保护要求也必定各不相同,某一个单一的安全等级保护措施不可能适用于所有的安全保护要求。分系统地实施安全保护进而成为了实现信息系统的安全保护的有效而切实可行的方法措施。
3.3 虚拟系统不同安全等级安全保护
依据虚拟系统的概念,建立起类似分层的虚拟安全系统以便实现对不同类型信息不同安全保护等级的保护措施。这样针对其中每类数据信息,就需要建立一个相应地、适当地安全保护等级的虚拟的安全保护系统。实际应用中,这种针对不同类型数据采取不同安全保护的虚拟分层的这种思想也是非常常见的。例如,在一个计算机信息系统中,对其中一些数据的传输进行加密保护处理,而同时对另外某些数据的传输不施行加密,这就是对不同类型数据的虚拟分层安全保护。此外,还可以对某类数据设定自主访问控制或者强制访问控制,对另外某类信息仅仅设定自主访问控制等。
摘要:当今, 我国关于实现信息安全的一项重要的举措就是信息系统安全等级保护。严格按照等级保护的规定, 建设安全的信息系统成为了目前面临的主要问题。本文主要介绍了信息安全等级的划分以及如何对具体的信息系统实施安全等级保护措施的方法。
关键词:信息安全,等级划分,等级保护
参考文献
[1]吉增瑞.如何理解和确定信息系统的安全等级[J].信息网络安全, 2005, (5) :39-40
[2]吉增瑞.等级保护的具体应用[J].网络安全技术与应用, 2003:61-63
【关键词】 等级保护 电子政务 应用
近几年我国电子政务高速发展,同时安全防护问题日益凸显,黑客入侵、信息泄露等危害信息安全事件频发,这严重影响到国民经济和社会信息化的健康发展,应依据电子政务等级保护这一信息安全系统规范对这些安全问题进行认真分析和研究,探讨应对策略和实施等级保护的方式。综合平衡成本和风险,优化信息安全资源的配置,从而对高效、安全防护的方法进行应用和部署,最终实现提高电子政务信息安全保障能力和水平,维护国家安全、社会稳定和公共利益的目标。
一、电子政务等级保护
1、电子政务。电子政务实际上就是政务信息化,运用先进的信息技术打破原来政府各个部门之间的界限,将电子政务网络延伸到省、市、县以及乡镇之中,建设一个电子化的虚拟政府,这可以方便政府办公,提高政府公信力,让公众一起来监督政府的工作;还可以进行网络服务,建设服务型政府,利用电子政务改变行政的管理方式,达到优化政府业务处理流程的目的,从而提高政府的办事效率,保证民情、社会热点信息、经济运行信息以及城市运行管理信息能够及时的上传到信息系统中。
2、等级保护。等级保护是电子政务中至关重要的一种保障方式,在国家经济和社会信息化的发展道路上,提高了信息的安全保障能力和水平,能够在最大限度上维护国家的信息安全。等级保护的核心思路就是等级化,根据电子政务在国家安全、社会稳定、经济安全以及公共利益等方面的重要程度进行划分,同时,结合网络系统面临的安全问题、系统要求和成本开销等因素,划分成不一样的安全保护等级,从而采用相应的安全保护方法,来保证信息或信息系统的保密性和完整性。其主要分为管理层面和技术层面。前者的主要工作是制定电子政务信息安全等级保护的管理方法、基本安全要求以及对电子政务等级保护工作的管理等方面,还可分为安全管理机构、人员安全管理、系统建设管理和系统运维管理。后者的工作主要就是依照管理层的要求对电子政务系统进行网络安全、应用安全、主机安全以及数据安全的确认,然后,确定系统要采取的保障措施,接着就是进行系统的安全设计和建设,最后进行监控和改进。
二、等级保护的技术应用
等级保护的基本原理是按照电子政务系统的使命、目标和重要程度,对系统的保护程度进行划分,设计合理的安全保护措施。
1、基础设施安全。基础设施指为电子政务业务应用提供可靠安全系统服务的一组工程设施,其中有物理机房、设备设施和场地环境等等。可以分为两类:数据中心机房、机房环境;其中要保障数据中心机房的安全,首先要做到机房访问控制,也就是进入机房的人员一定要经过申请或审批,监督访问者,记录进出时间,并且仅允许他们访问已授权的目标;其次在机房重要的区域需要配置电子门禁系统,用来控制、鉴别和记录进入的人员。然后机房环境的安全问题要注意机房的门、墙壁和天花板,以及装修应当参照电子信息系统机房设计的相关标准进行实施;并且要安装防雷系统和防雷的保安器;安装精密空调;电源线路和通信线路隔离铺设,避免发生故障,最后一定要安装机房环境监护系统。
2、通信网络安全。首先要保证网络结构的安全,依照业务系统服务的重要次序来分配带宽的优先级,比如网络拥塞的时候要优先保障重要业务数据流。所以,应当根据各部门的工作职能、重要性和业务流程等重要的因素进行划分。若是重要的业务系统及数据,其网段就不能直接与外部进行连接,要单独划分区域,注意要与其他网段隔离开。其次,网络安全审计主要是用来监控和记录网络中的各类操作的,并检测网络中是否存在现有的或潜在的威胁。这时要安装网络入侵检测系统和网络审计系统,从而保障通信网络的安全。最后要想保证通信的完整性和保密性,一定要利用安全隧道,然后进行认证以及访问权限的控制,从而保障政务网络互联安全、移动办公安全、重点区域的边界防护安全。
3、计算机环境安全。第一,要统一身份管理和授予管理系统。第二,对主机入侵防范要布置漏洞扫描系统,进行系统安全的监测。第三,要防范主机的恶意代码。终端主机和服务器上都要部署防病毒系统,将系统扼杀在源头上。同时,不但要制定防病毒策略,还要及时的更新升级病毒库。第四,一定要保证数据的完整性和保密性。要想检验存储的信息是否具有完整性和保密性,可以采用校验码技术、密码检验函数、消息鉴别码等相关技术。
【等级保护安全检查汇报】推荐阅读:
信息安全等级保护规范06-28
信息安全等级保护实务07-27
如何理解信息安全等级保护与分级保护07-03
网络安全法与等级保护03-03
信息安全等级保护管理办法(试行)10-17
等级保护自查10-11
信息系统等级保护报告05-29
信息系统等级保护建设思路12-10
二级医院等级评审汇报11-06
医院等级创建工作汇报02-25
