信息安全等级管理制度(共8篇)
摘要:随着科技的进步,企业办公信息化、智能化程度显著提升,随之而来的信息安全问题日益突出。企业经营考虑信息化设备创造的利益时,需兼顾互联网开放性造成的风险。针对以上问题,国家严格规范信息系统等级保护工作流程,根据系统的重要性和影响范围划分定级,按照系统级别的不同实施区别化管理。此外,依照信息系统等级保护工作的“三同步”原则(同步规划、同步设计、同步投入运行),在信息系统应用建设的各环节进行标准化管理,规范了信息系统事件的定级、测评、备案、安全整改以及职责等工作标准,同时,明确了检查考核、管理与技术措施,促进供电企业信息专业能力不断提升,充分调动公司各专业的积极性和协调性,有效提高公司信息系统安全管理水平和保护能力。
关键词:信息安全;等级保护;信息系统管理背景简介
通常情况下,企业信息系统管理普遍存在以下问题:(1)信息系统规划阶段侧重于系统功能应用,未提出信息系统安全保护;(2)信息系统设计阶段缺少安全方案的同步设计;(3)信息系统上线运行阶段,未建立安全性测试机制,投运前缺少系统软件恶意代码检测、源代码后门审查、漏洞查找、渗透测试、运行环境测试和等级测评等安全性测评环节。针对以上问题,信息安全等级保护在企业信息系统管理工作中发挥至关重要的作用。信息安全等级保护工作包括定级、备案、安全建设与整改、信息安全等级测评以及信息安全检查五个阶段,覆盖信息系统规划—设计—开发—测试—实施—应用上线与上架—运维的整个生命周期[1]。信息安全等级保护工作的管理思路
根据目前信息系统管理的暴露的缺点,公司将信息系统安全建设作为安全等级保护工作的重点,围绕信息系统应用建设的各个阶段,结合等级保护要求,实现信息系统建设过程的安全管理,有效降低了信息系统上线后的安全隐患,保障了信息系统的安全稳定运行。
2.1 规划阶段
信息系统规划初期,通过建立合理的信息系统安全管理体系、工作要求和工作流程,结合公司实际情况,将系统测评费用纳入其中。
2.2 设计阶段
系统设计阶段,公司要求系统建设部门提交信息系统的安全防护总体方案。对于需要开展安全方案设计的信息系统,在系统定级后,系统建设项目负责部门应组织系统运维单位和系统开发实施单位,根据系统安全防护等级,遵照相关行业信息安全等级保护基本要求和公司信息安全防护总体方案等,制定系统安全防护方案。
2.3 开发阶段
各系统建设部门是信息系统的用户方,必须严格要求系统开发部门遵守相应原则,如使用正版的操作系统、配置强口令、信息系统测试合格正式书等,从而保证系统投运时的实用性和效率。
2.4 测试阶段
系统建设部门组织定级系统,通过具有国家资质的测评机构对系
统进行安全测评,并在当地公安机关网监部门进行定级和备案工作。
2.5 实施阶段和应用上线
各级信息通信职能管理部门,督促检查本单位及下属单位等级保护工作,同时,要求各系统建设部门在信息系统实施阶段,确保系统完成测评整改工作。
2.6 运维阶段
根据“谁主管谁负责,谁运行谁负责”的工作原则,各系统主管部门合理分配部门人员的管理和运维工作,制定所管辖区域的系统安全隐患整改、数据备份以及其他相关安全加固措施。信息系统管理的工作机制
通过信息系统等级保护方案,公司要在系统应用建设全过程中加入安全防护机制,规范信息系统事件的定级、测评、备案、安全整改以及职责等工作标准。此外,为进一步促进等级保护工作的有效执行,公司明确了相应的检查考核管理措施,完善信息系统安全工作的全面管理。
3.1 考评机制
建立相关考评机制。由信息化职能管理部门负责对公司信息专业工作进行标准化管理考评、考核工作,即检查各相关单位网络与信息安全工作的开展情况,并根据上级部门的实时反馈进行整改,从公司信息系统正常运行到信息内外网安全,实施监督和管控,纳入各单位年度绩效指标考核。
3.2 协同机制
成立信息化领导小组及办公室,开展协同控制工作。建立关于信息安全工作的协调机制,明确公司各部门网络与信息安全工作职责,具体负责组织开展信息系统安全等级保护工作,协调、督导信息系统建设部门进行定级、备案、等级测评和安全整改等工作。另外,针对信息系统测评和评估所发现的问题,责任单位制定完善的安全整改方案并认真落实。
3.3 例会机制
例会机制主要通过信息系统等级保护集中工作实现,定期召开信息专业网络安全会议,通过会议通报各单位存在的问题和下一步改进措施。结语
本文提出了一种基于等级保护的信息系统管理工作思路。一方面,从信息系统全生命周期着手,在系统应用建设的各环节加入安全管理工作;另一方面,完善信息系统管理工作机制,通过建立合理的考评机制、协同机制和例会机制,优化系统管理手段。根据以上管理思路,不仅在工作流程上对信息系统进行了安全防护加固,而且制定了相应的管理手段,促进企业信息系统管理工作水平的提升。
参考文献
信息安全管理是任何组织的信息安全活动中的必不可少的内容,目前信息安全管理领域中,国际上比较流行的管理体系是信息安全管理体系(ISMS),国际标准化组织也加快了信息安全管理体系标准的研究和制定的步伐,目前已经形成了14个国际标准研究编制内容。
我国已经形成的信息安全管理标准主要包括GB/T 22080-2008《信息技术 安全技术 信息安全管理体系 要求》和GB/T 22081-2008《信息技术安全技术 安全管理实用规则》。
随着我国信息安全工作的发展,公安部制定了一系列标准,进行信息系统分等级保护,将信息系统划分为五个安全等级,安全要求从第一级到第五级逐级递增。主要标准包括《计算机信息系统 安全等级保护划分准则》、《信息安全技术 信息系统安全保护等级定级指南》、《信息安全技术 信息系统安全等级保护基本要求》等。其等级保护制度的推行,是为了进一步落实《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)的要求“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。因此推行等级保护制度,与建立信息安全管理体系之间有着紧密的关联。
1 信息安全管理体系
1.1 信息安全管理体系的结构
信息安全管理体系,即Information security management system(ISMS),是由信息安全最佳惯例组成的实施规则,主要内容包括11个安全类别,39个控制目标,133项控制措施。信息安全管理体系中提倡对信息系统进行风险评估,其最终目的是通过风险控制,达到信息安全管理的目的。信息安全管理体系的安全类别包括以下几个方面。
(1)安全方针
确定信息安全管理的方针、目标。
(2)信息安全组织
对组织内部和外部各方的信息安全进行管理。
(3)资产管理
对组织的所有信息资产进行分类,并实施有效管理。
(4)人力资源安全
对员工的所有可能影响信息安全的行为和过程列入信息安全管理范围。
(5)物理和环境安全
对组织的办公环境、设备所处环境等的安全管理。
(6)通信和操作管理
对所有涉及到通信和操作的所有内容加以控制。
(7)访问控制
对信息、信息系统、网络服务等方面的访问进行控制。
(8)信息系统获取、开发和维护
对信息系统的设计、开发、验收、维护等方面进行管理。
(9)信息安全事件管理
对信息安全事件的划分、发现、报告、处理程序进行规范。
(10)业务连续性
为防止业务中断,保护关键业务过程而进行的管理。
(11)符合性
保证符合法律、法规要求及符合组织安全策略的管理。
信息安全管理体系中针对所有管理范围都提出了管理要求,其管理体系虽然是针对“管理”建立的,但是其中亦涵盖了所有针对技术方面所应实施的内容。
1.2 信息安全管理体系的特点
信息安全管理体系ISMS具有如下特点:(1)基于一个组织;(2)目标是体系化建设;(3)立足于风险管理思想;(4)贯穿了“规划-实施-检查-处置”(PDCA)持续改进的过程和活动;(5)根据组织自身的任务和应对安全风险需求来选择安全控制措施;(6)通过安全控制的测度和审核来检查信息安全技术和管理运用的合规性[4]。
2 等级保护中的安全管理
2.1 安全管理基本要求
等级保护制度是根据国家等级保护管理规定,等级保护包含技术和管理两个方面。其中安全管理要求分为五个方面:安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。这五个方面贯穿了信息系统的全生命周期。其具体要求内容随着安全级别越高,要求的强度越高。
(1)安全管理制度
从建立安全管理制度的角度,要求对日常管理形成管理制度,并进行适当的维护。
(2)安全管理机构
要求建立具有明确职责的信息安全管理机构,并做好具体分工。
(3)人员安全管理
对人员的录用、离岗、考核、教育及外部人员的安全进行规范。
(4)系统建设管理
从系统生命周期角度,对系统的设计、采购、实施等角度对信息系统进行安全管理。
(5)系统运维管理
在系统运维过程中,对系统运行过程中的全部安全问题进行管理。
2.2 等级保护基本要求
等级保护的基本要求分为技术和管理两个方面,在实际的技术要求中,亦涉及到了管理的内容,比如在物理安全层面中对机房的管理、主机安全等层面中对安全审计的要求等,因此,等级保护中的管理与技术两大类是密不可分的,其具有相互关联性,能够在某些方面互相弥补,是一个统一的整体。
3 信息安全管理体系与等级保护管理要求的关系
信息安全管理的目标是保证信息系统资产的安全,不论是何种管理制度,其保护的对象都是信息和信息系统。因此,信息安全管理体系与等级保护的管理其最终目的都是一样的,但是等级保护要求中将管理要求与技术要求进行了区分,因此信息安全管理体系中所包含的管理内容更加全面。本文就具体内容进行分析。
信息安全管理体系中,信息安全方针的管理与等保管理要求中的“安全管理制度:管理制度”的要求相同。
在信息安全组织类中,信息安全管理的承诺对应“安全管理机构:岗位设置”、“安全管理制度:制定和发布”;信息安全协调对应“安全管理机构:沟通和合作”;信息安全职责的分配对应“安全管理机构:岗位设置”;信息处理设施的授权过程对应“系统建设管理:产品采购和使用”,保密性协议对应“人员安全管理:人员录用”,与政府部门的联系对应“安全管理机构:沟通和合作”,与特定利益集团的联系对应“安全管理机构:沟通和合作”,信息安全的独立评审对应“安全管理制度:制定和发布”,与外部各方相关风险的识别、处理与顾客有关的安全问题对应“人员安全管理:外部人员访问管理”,处理第三方协议中的安全问题对应“系统建设管理:安全服务商选择”。
在资产管理安全类中,资产清单、资产责任人、资产的合格使用、信息分类指南、信息的标记和处理对应“系统运维管理:资产管理”。
人力资源安全类中,任用前的角色和职责对应“安全管理机构:人员配置”、“安全管理机构:岗位设置”,任用前的审查、任用条款和条件、人员任用中的管理职责对应“人员安全:人员录用”,信息安全意识、教育和培训对应“人员安全管理:安全意识教育和培训”,纪律处理过程对应“人员安全管理:人员考核”,任用终止职责、资产的归还、撤销访问权对应“人员安全管理:人员离岗”。
物理安全管理类中,大部分内容对应等级保护要求中的“物理安全”层面,其中物理安全边界、物理入口控制、办公室、房间和设施的安全保护、在安全区域工作、支持性设施、资产的移动对应“系统运维管理:环境管理”,设备维护、组织场所外的设备安全对应“系统运维管理:设备管理”,设备的安全处置和再利用对应“系统运维管理:介质管理”。
在通信和操作管理安全类中,文件化的操作程序对应“安全管理制度:管理制度”中日常操作规程的要求,变更管理对应“系统运维管理:变更管理”,系统操作的责任分割对应“安全管理机构:人员配置”,开发、测试和运行设施分离对应“系统建设管理:自行软件开发”,第三方服务交付对应“系统建设管理:系统交付”,第三方服务的监视和评审对应“系统建设管理:工程实施”中关于实施过程管理、建立等方面的要求,第三方服务的变更管理对应“系统运维管理:变更管理”中关于系统变更的控制,系统容量管理对应“系统运维管理:系统安全管理”中关于系统容量的要求,系统验收对应“系统建设管理:测试验收”和“系统建设管理:系统交付”,控制恶意代码、控制移动代码对应“系统运维管理:恶意代码防范”,信息备份对应“系统运维管理:备份与恢复管理”,网络控制对应“系统运维管理:网络安全管理”,网络服务安全对应的是等级保护技术要求中的网络安全层面,可移动介质的管理、介质的处置对应“系统运维管理:介质管理”,系统文件安全对应“系统运维管理:系统安全管理”,审计日志对应“系统运维管理:系统安全管理”,监视系统的使用对应“系统运维管理:监控管理和安全管理中心”,另外一些如日志信息的保护、管理员和操作员日志、故障日志、时钟同步、电子消息发送、业务信息系统、电子商务、在线交易等对应到等级保护要求中的“主机安全”、“应用安全”、“数据安全”等多个层面。
在访问控制安全类里面,大部分都对应着等级保护要求的“主机安全”、“应用安全”、“网络安全”中的“访问控制”控制点,另外,访问控制策略对应“系统运维管理:系统安全管理”,网络连接控制对应“系统运维管理:网络安全管理”。
系统安全要求分析和说明对应“系统建设管理:安全方案设计”,密钥管理对应“系统运维管理:密码管理”,变更控制程序、操作系统变更后应用的技术评审对应“系统运维管理:变更管理”,外包软件开发对应“系统建设管理:外包软件开发”,技术脆弱性的控制对应“系统运维管理:网络安全管理”和“系统运维管理:系统安全管理”中关于系统漏洞及补丁的要求。
在信息安全事件管理的安全类里面,报告信息安全事态、报告安全弱点、职责和程序、对信息安全事件的总结、证据的收集都对应着“系统运维管理:安全事件处置”。
在业务连续性管理安全类中,主要对应等级保护要求中的“系统运维管理:应急预案管理”,但是业务连续性管理中提到了要进行风险评估,并根据评估结果开发连续性计划,这与等级保护政策中开展等级测评,并根据测评结果进行信息系统改建的要求是相一致的。
在符合性要求类中,主要涉及等级保护要求中的“安全管理机构:审核和检查”及一些技术要求。
4 结束语
信息安全管理体系的建立是为了保障组织的信息和信息系统的安全,与等级保护的最终目标是一致的,虽然信息安全管理体系的名为管理,实际上涵盖了所有对技术实施方面的要求,是一个综合的管理体系。等级保护基本要求中的管理要求是按照组织实施管理过程的五个基本方面来进行约束的,对组织的信息安全、提供服务进行保障。两者之间既有区别又有联系,但是其最终目的都是为了保障组织的信息安全。
参考文献
[1]GB/T22080-2008,信息技术安全技术信息安全管理体系要求[S].
[2]GB/T22081-2008,信息技术安全技术安全管理实用规则[S].
[3]GBT22239-2008,信息安全技术信息系统安全等级保护基本要求[S].
[4]赵战生.信息安全管理标准发展研究[J].信息网络安全,2011,1:1-4.
会上,国家信息安全等级保护协调小组组长、公安部副部长张新枫强调,信息安全等级保护制度是国家信息安全保障工作的基本制度。此次定级工作包括三方面的主要内容:一是开展信息系统基本情况的摸底调查,确定定级对象。二是信息系统主管部门和运营使用单位按照等级保护管理办法和定级指南,初步确定定级对象的安全保护等级,请专家进行评审,并报经上级行业主管部门审批同意。三是信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门到公安机关备案。公安机关和国家有关部门受理备案后,要对信息系统的安全保护等级和备案情况进行审核、管理。
同时,张新枫要求,各基础信息网络和重要信息系统在9月底前,按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。各部门、各单位要加强对定级工作的监督、检查和指导。
(试行)
第一条 为加强信息安全等级保护测评机构建设和管理,规范等级测评活动,保障信息安全等级保护测评工作(以下简称“等级测评工作”)的顺利开展,根据《信息安全等级保护管理办法》等有关规定,制订本规范。
第二条 本规范适用于等级测评机构和人员及其测评活动的管理。
第三条 等级测评工作,是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
等级测评机构,是指具备本规范的基本条件,经能力评估和审核,由省级以上信息安全等级保护工作协调(领导)小组办公室(以下简称为“等保办”)推荐,从事等级测评工作的机构。
第四条 省级以上等保办负责等级测评机构的审核和推荐工作。
公安部信息安全等级保护评估中心(以下简称“评估中心”)负责测评机构的能力评估和培训工作。
第五条 等级测评机构应当具备以下基本条件:
(一)在中华人民共和国境内注册成立(港澳台地区除
外);
(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);
(三)产权关系明晰,注册资金100万元以上;
(四)从事信息系统检测评估相关工作两年以上,无违法记录;
(五)工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;
(六)具有满足等级测评工作的专业技术人员和管理人员,测评技术人员不少于10人;
(七)具备必要的办公环境、设备、设施,使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求;
(八)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;
(九)对国家安全、社会秩序、公共利益不构成威胁;
(十)应当具备的其他条件。
第六条 测评机构及其测评人员应当严格执行有关管理规范和技术标准,开展客观、公正、安全的测评服务。
测评机构可以从事等级测评活动以及信息系统安全等级保护定级、安全建设整改、信息安全等级保护宣传教育等工作的技术支持。不得从事下列活动:
(一)影响被测评信息系统正常运行,危害被测评信息系统安全;
(二)泄露知悉的被测评单位及被测评信息系统的国家秘密和工作秘密;
(三)故意隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假,未如实出具等级测评报告;
(四)未按规定格式出具等级测评报告;
(五)非授权占有、使用等级测评相关资料及数据文件;
(六)分包或转包等级测评项目;
(七)信息安全产品开发、销售和信息系统安全集成;
(八)限定被测评单位购买、使用其指定的信息安全产品;
(九)其他危害国家安全、社会秩序、公共利益以及被测单位利益的活动。
第七条 申请成为等级测评机构的单位(以下简称“申请单位”)应当向省级以上等保办申请。
国家信息安全等级保护工作协调小组办公室负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请。省级等保办负责受理本省(区、直辖市)申请单位提出的申请。
申请单位申请时,等保办应当告知测评机构的条件、从事的业务范围以及禁止行为等内容,使申请单位清楚了解测评机构的责任和义务。
第八条 知悉有关规定并愿意成为测评机构的申请单位,可以向省级以上等保办提出书面申请,如实填写《信息安全等级保护测评机构申请表》。
申请单位的人员应当如实填写人员基本情况表,并承诺对信息的真实性和有效性负责。
省级以上等保办对申请单位进行初审,初审通过的,应当告知申请单位到评估中心进行测评能力评估。
第九条 评估中心按照有关标准规范,在30个工作日内完成对申请单位的材料审查和现场核查工作。
测评人员参加由评估中心举办的专门培训、考试并取得评估中心颁发的《等级测评师证书》(等级测评师分为初级、中级和高级)。等级测评人员需持等级测评师证上岗。
评估中心综合评估申请单位的测评能力,测评能力评估合格的,出具评估报告。
第十条 省级以上等保办组织专家对测评能力评估合格的申请单位及其测评人员进行审核。
第十一条 通过审核的,由省级以上等保办向申请单位颁发信息安全等级保护测评机构推荐证书,并向社会公布测评机构推荐目录。
省级等保办将测评机构推荐目录报国家信息安全等级保护工作协调小组办公室,国家信息安全等级保护工作协调小组办公室汇总公布《全国信息安全等级保护测评机构推荐目录》。
第十二条 测评机构应按照公安部统一制订的《信息系统安全等级测评报告模版(试行)》格式出具测评报告,根据信息系统规模和所投入的成本,合理收取测评服务费用。
第十三条 省级以上等保办每年对所推荐的测评机构进行检查。检查时,测评机构应提交《信息安全等级保护测评机构检查表》。
第十四条 测评机构名称、法人等事项发生变化的,或者其等级测评师变动的,测评机构应在30日内到受理申请的省级以上等保办办理变更手续。
第十五条 测评机构应当严格遵循申诉、投诉及争议处理制度,妥善处理争议事件,及时采取纠正和改进措施。
第十六条 测评机构或者其测评人员违反本规范第六条规定之一或年度检查未通过的,由省级以上等保办责令其限期改正;逾期不改正的,给予警告,直至取消测评机构的推荐证书或等级测评师证书,并向社会公告;造成严重损害的,由相关部门依照有关法律、法规予以处理。
第十七条 测评机构或者测评人员违反本规范的规定,给被测评单位造成损失的,应当依法承担法律责任。
第十八条 本规范由国家信息安全等级保护工作协调小组办公室负责解释。
第十九条 本规范中省级以上含省级。
自检自查报告
临河人民医院的的信息网络安全建设在上级部门的 关心指导下,近年取得了快速的进步和发展,根据市卫生局《关于开展信息系统等级保护检查工作的通知》文件精神和要求及接到公安局文件后,医院高度重视,及时召开院信息系统安全等级保护工作领导小组会议,积极部署工作、明确责任、具体落实,按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,认真对照信息安全等级保护自查项目表,对我院信息安全等级保护工作进行了一次摸底调查,现将此项工作自查情况汇报如下:
一、等级保护工作组织开展、实施情况:
成立了临河区人民医院信息系统安全等级保护工作领导小组,落实了信息安全责任制;对等级保护责任部门和岗位人员进行了确定,确保专人落实;制定了等级保护工作的文件及相关工作方案;严格按照国家等级保护政策、标准规范和行业主管部门的要求,组织开展各项工作;及时召开了信息系统安全等级保护工作领导小组工作会议;医院主要领导对等级保护工作作出了重要批示,并在工作会议上提出了四点要求。
2信息安全管理制度的建立和落实情况 院信息中心制定了《临河区人民医院信息化建设总体规划》、《临河区人民医院信息系统工作制度与人员岗位职责目录》、《临河区人民医院计算机管理系统应急预案》、《临河区人民医院HIS信息系统工作制度》等相关制度,并在实际工作中对照制度严格执行各项操作流程。
3按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况
遵照有关法律法规,对医院信息服务网遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,对医院信息服务网信息安全保护等级进行了自主定级。
二、信息系统定级备案情况,信息系统变化及定级备案变动情况:
按照《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字,2007‟861号),对本单位维护的医院内网站(医院信息和服务网)安全保护等级级别定位第二级。
三、信息安全设施建设情况和信息安全整改情况:
1安全设施建设情况:我院计算机、公文处理软件和信息系统安全产品均为国产产品,包括使用360、金山安全卫士、金山毒霸、诺顿nod正版软件等安全软件。公文处理软件使用了Microsoft Office系统。单位使用的工资系统、业务系统、数据传输平台系统、数据库等应用软件均为市委、市政府政府相关部门、市财政局和市卫生局统一指定的产品系统。重点信息系统使用的服务器、路由器、交换机等均为国产产品。2信息安全整改情况:
一信息系统安全工作还需要继续完善和提高相应的维护能力。随着移动护理查房的展开,信息工作人员还需要继续提高信息系统安全管理和管护工作的水平。二设备维护、更新有待加强。科室的正版nod杀毒软件维护能够自动更新升级,并进行了定时扫描,确保不存在系统漏洞,偶尔更换新主机ip地址会有冲突,IP网络地址也进行了统一管理。今后将对线路、系统等的及时维护和保养,及时更新升级软件和管理网络地址。
三信息系统安全工作机制还有待完善。部门信息系统安全相关工作机制制度、应急预案等还不健全,还要完善信息系统安全工作机制,建立完善信息系统安全应急响应机制,以提高医院网络信息工作的运行效率,促进医疗、办公秩序的进一步规范,防范风险。
四、信息安全管理制度建设和落实情况:
1制定了医院信息服务网信息安全管理制度,按照“谁主管谁负责”的原则开展工作,我单位负责人为第一责任人,对医院信息服务网信息安全管理负直接责任,并接受上级单位的监管。
2对医院信息服务网机房实施了24小时值班,操作系统、数据库系统、防病毒系统、网站软件系统实时升级,3发现安全隐患,第一时间由技术人员解决。
五、信息安全产品选择和使用情况:
医院内部服务器使用了IBM和戴尔的服务器,交换机使用了H3C.六、聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况:暂无聘请测评机构开展技术测评工作。
七、自行定期开展自查情况:
一、判断(10×1=10)
1、三级信息系统应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时时自动退出等措施。()
2、口令认证机制的安全性弱点,可以使得攻击者破解合法用户帐户信息,进而非法获得系统和资源访问权限。()
3、只要投资充足,技术措施完备,就能够保证百分之百的信息安全。()
4、特权用户设置口令时,应当使用enable password命令设定具有管理员权限的口令。()enable secrit
5、Windows2000/xp系统提供了口令安全策略,以对帐户口令安全进行保护。()
6、脆弱性分析技术,也被通俗地称为漏洞扫描技术。该技术是检测远程或本地系统安全脆弱性的一种安全技术。()
7、结构安全是网络安全检查的重点,网络结构的安全关系到整体的安全。()
8、一旦发现计算机违法犯罪案件,信息系统所有者应当在2天内迅速向当地公安机关报案,并配合公安机关的取证和调查。()
9、不同vlan内的用户可以直接进行通信。()
10、三级系统应能够对非授权设备私自连到内部网络的行为进行检查并准确定位.()---检查,定位,阻断
二、单项选择题(15×2=30)
1、我国在1999年发布的国家标准()为信息安全等级保护奠定了基础。
A.GB 17799 B.GB 15408 C.GB 17859 D.GB 14430
2、安全保障阶段中将信息安全体系归结为四个主要环节,下列______是正确的。
A.策略、保护、响应、恢复 B.加密、认证、保护、检测 C.策略、网络攻防、备份 D保护、检测、响应、恢复
3、为了数据传输时不发生数据截获和信息泄密,采取了加密机制。这种做法体现了信息安全的 ______属性。保密性 B.完整性 C.可靠性 D.可用性 信
4、在使用复杂度不高的口令时,容易产生弱口令的安全脆弱性,被攻击者利用,从而破解用户帐户,下列()具有最好的口令复杂度。A.Morrison B.Wm.$*F2m5@ C.27776394 D.wangjing1977
5、息安全领域内最关键和最薄弱的环节是______。技术 B.策略 C.管理制度 D.人
6、对于提高人员安全意识和安全操作技能来说,以下所列的安全管理最有效的是______。
安全检查 B教育和培训 C.责任追究 D.制度约束
7、公安部网络违法案件举报网站的网址是______。A. B. C.http:// D.
8、《计算机信息网络国际联网安全保护管理办法》规定,互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织(包括跨省、自治区、直辖市联网的单位和所属的分支机构),应当自网络正式联通之日起______日内,到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。A.7 B.10 C.15 D.30
9、等级保护标准GB l7859主要是参考了______而提出。欧洲ITSEC B.美国tcsec C.CC D.BS 7799
10、保证用户和进程完成自己的工作而又没有从事其他操作可能,这样能够使失误出错或蓄意袭击造成的危害降低,这通常被称为______。适度安全原则 B授权最小化原则 C.分权原则 D.木桶原则
12、对于人员管理的描述错误的是()A.人员管理是安全管理的重要环节 B.安全授权不是人员管理的手段
C.安全教育是人员管理的有力手段 D.人员管理时,安全审查是必须的
13、根据《广东省计算机信息系统安全保护条例》,计算机信息系统的运营、使用单位接到
13、公安机关要求整改的通知后拒不按要求整改的,由公安机关处以()。
罚款5000元 B.拘留15日 C.警告 D.停机整顿
14、向有限的空间输入超长的字符串是哪一种攻击手段?(A)A、缓冲区溢出 B、网络监听 C、拒绝服务 D、IP欺骗
15、根据BS 7799的规定,访问控制机制在信息安全保障体系中属于______环节。
A保护 B.检测 C.响应 D.恢复
三、多项选择题(10×2)
1、我国信息安全等级保护的内容包括。
A.对国家秘密信息、法人和其他组织及公民的专有信息以及公 开信息和存储、传输和处理这些信息的信息系统分等级实行安全保护 B.对信息系统中使用的信息安全产品实行按等级管理 C.对信息安全从业人员实行按等级管理
D.对信息系统中发生的信息安全事件按照等级进行响应和处置 E.对信息安全违反行为实行按等级惩处
2、信息系统常见的危险有。A.软硬件设计故障导致网络瘫痪 C.敏感信息泄露 D.信息删除
B.黑客入侵 E.电子邮件发送
3、损害到国家安全的信息系统可能定级为
A.一级系统 B.二级系统 C.三级系统 D.四级系统 E.五级系统
4、在互联网上的计算机病毒呈现出的特点是。
A.与互联网更加紧密地结合,利用一切可以利用的方式进行传播 B.有的计算机病毒不具有破坏性。C.扩散性极强,也更注重隐蔽性和欺骗性 D.针对系统漏洞进行传播和破坏
5、是建立有效的计算机病毒防御体系所需要的技术措施。A.杀毒软件
B.补丁管理系统 C.防火墙
E.漏洞扫描 D.网络入侵检测
6、网络安全主要关注的方面包括:访问控制、安全审计、边界完整
性检查、入侵防范、等七个控制点。
A、恶意代码防范 B、网络设备防护C、网络边界D、结构安全
7、根据ISO定义,信息安全的目标就是保证信息资产的三个基本安
全属性,包括__。
A.不可否认性 B.保密性 D.可用性
C.完整性 E.可靠性
8、下列三级系统物理安全的说法中正确的是
A.机房应避免在建筑物的顶层或地下室、或用水设备的下层或隔壁 B.为了电线的整齐,通信线缆和照明电线同槽铺设 C.应安装过电压保护装置或稳压器并且要配备ups D.为了防止电磁辐射被非法人员利用,获取有效信息可用干扰器。
9、网络蠕虫病毒越来越多地借助网络作为传播途径,包括。
A.互联网浏览
B.文件下载
C.电子邮件 E.局域网文件共享 D.实时聊天工具
10、三级系统中要实现设备特权用户的权限分离,特权用户可分为 A.普通账户 B.审计账户 C.配置更改账户 D.gust账户
四、简答题
1、简述单位、组织的信息安全管理工作如何与公安机关公共信息网络安全检查部门(公安网监部门)相配合。(10)
2、国家为什么要实施信息安全等级保护制度
一、判断(10×1=10)√√××√√√×××
二、选择题
单项选择题 1-10 c d a bdb cdbb 12-15 bdaa 三多选题
1-10(ABD)(ABCD)(CDE)(ACD)(ABCDE)(ABD)(BCD)(ACD)。(ABCDE)(ABC)四简答题
答: 单位、组织的信息安全管理工作与公安机关公共信息网络安全监察部门之间的配合主要体现在以下方面:
(1)单位、组织的信息安全管理,必须遵循信息安全法律、法规对于安全管理职责、备案、禁止行为、安全管理制度和安全技术机制要求等方面的内容规定。
(2)法律、法规赋予公安机关公共信息网络安全监察部门对信息安全的监管职责,各单位、组织必须接受和配合公安机关公共信息网络安全监察部门的监督和检查。
(3)在发生信息安全案件后,单位、组织应当及时向公安机关公共信息网络安全监察部门报案,并在取证和调查等环节给予密切配合。2 答:
1、信息安全形势严峻 1)来自境内外敌对势力的入侵、攻击、破坏越来越严重。2)针对基础信息网络和重要信息系统的违法犯罪持续上升。3)基础信息网络和重要信息系统安全隐患严重。
2、维护国家安全的需要
1)基础信息网络与重要信息系统已成为国家关键基础设施。2)信息安全是国家安全的重要组成部分。
3)信息安全是非传统安全,信息安全本质是信息对抗、技术对抗。我国的信息安全保障工作基础还很薄弱。
3、主机常见测评的问题
检测用户的安全防范意识,检查主机的管理文档(弱口令、安全配置文档)
网络服务的配置(不能有过多的网络服务,防ping)安装有漏洞的软件包(安装过时的软件包)缺省配置(口令缺省配置,可能被人录用)不打补丁或补丁不全(以没有通过测试等为由拒绝补丁的安装)网络安全敏感信息的泄露(.net服务、database命令,最小原则下,这
些命令是禁用的)
缺乏安全防范体系(防病毒体系不健全、linux没有成熟的软件,按要求
也是要有的记录)
信息资产的不明,缺乏分类的处理(如一台服务器不知道干什么用的,上
面有很多服务)
安全管理信息单
一、缺乏统一的分析和管理平台(安全管理平台,补丁
信息安全等级保护是[1,2,3]指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素,信息和信息系统的安全保护等级共分五级,第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。
根据信息安全等级保护制度,等级保护工作主要分定级、备案、建设整改、等级测评和监督检查五个环节。
2 等级测评
等级测评是[4,5]指具有相关资质的、独立的第三方评测服务机构,受相关单位委托,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动,等级测评是信息安全等级保护实施中的一个重要环节。
2.1 等级测评内容
对信息系统安全等级保护状况进行测试评估,应包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。对安全控制测评的描述,使用工作单元方式组织。工作单元分为安全技术测评和安全管理测评两大类。安全技术测评包括:物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评。
系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关,内容复杂且充满系统个性。
2.2 工作单元
工作单元是安全测评的基本工作单位,对应一组相对独立和完整的测评内容。工作单元由测评项、测评对象、测评方式、测评实施和结果判定组成,如图1所示。
测评项描述测评目的和测评内容,与信息安全等级保护要求的基本安全控制要求相一致。
测评方式是指测评人员依据测评目的和测评内容应选取的实施特定测评操作的方式方法,包括三种基本测评方式:访谈、检查和测试。
测评对象是测评实施过程中涉及到的信息系统的构成成分,是客观存在的人员、文档、机制或者设备等。测评实施是工作单元的主要组成部分,它是依据测评目的,针对具体测评内容开发出来的具体测评执行实施过程要求。
结果判定描述测评人员执行完测评实施过程,产生各种测评证据后,如何依据这些测评证据来判定被测系统是否满足测评项要求的方法和原则。
2.3 等级测评过程
等级测评过程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。
2.4 等级测评结果的重要性和复杂性
等级测评是判定信息系统是否满足基本要求的方法。对于已经确定安全保护等级的系统是否满足对应等级的基本要求,是需要通过信息系统安全等级测评来进行判断的。另外,等级测评的结果也是国家信息安全监管部门依法行政管理的技术依据。
对于不同安全等级、不同类型的信息系统,在进行等级测评时基本要求中安全措施的选择是不同的,这就要求不同的等级测评过程和不同的测评结果判定方法,增加了评估的复杂性;即使对于一个信息系统,也需要在基本要求中从不同的技术类或管理类中选择非常多的安全措施,每一项安全措施都对应一个测评结果,最终的测评结果应由众多的单项测评结果综合而得,这个过程也是相当复杂的。
3 CAE模型中的等级测评
在信息系统的安全测评中,为了获得测评对象的评估结果,首先要开展测试,其方法是先对测评对象的安全空间域进行划分,形成安全子空间域;然后定义支撑形成安全子空间域安全子声明的安全因素;最后针对各安全因素收集安全证据。这个过程跟CAE模型中自上而下的分解过程是一致的。
而在进行评估时,依据自下向上的方式进行逐层评估,这个过程跟CAE模型的推理过程是一致的。
并且,CAE模型自身具有很强的层次性和结构性,采用该模型能够在一定程度上简化复杂的信息安全测评过程。
因此,CAE模型作为一种基于证据链的推理模型,描述了一个合理而有效的测评框架,且能够一定程度的简化信息安全测评过程。目前CAE模型已被广泛应用于信息安全及其测评过程中。文献[6]和文献[7]介绍了在信息安全保障中的CAE模型,并指出信息安全保障过程是符合CAE模型的证据推理结构的;文献[8]将CAE模型运用到信息安全风险评估中,得到一种有效的定量化的信息安全风险评估方法;文献[9,10]根据评估过程的实际需要在《信息系统安全保障评估框架》标准基础上建立了CAE模型证据推理链。
为了解决等级测评结果判决的复杂性,能够在众多的单项测评结果中条理清楚的得到最终的测评结果。我们将CAE模型引入到等级测评中,对等级测评的过程按照证据-论证-声明的结构进行体系化。
3.1 CAE模型
Claim Arguments and Evidence是表示联系安全论据组件的简单有效的标记法。
1) 安全证据(Evidence)
Evidence作为评估证据,是系统中可直接得到的,支持Claim或Subclaim的一致同意的既定事实,一般是可以从实际测评结果中得出的数据信息。在CAE模型中,Evidence位于模型底层,支撑着上层的Argument和Claim。
2) 安全论据(Argument)
多个Evidence经过某种测量和推理后能够形成某一类的Argument。Argument为连接Claim和Evidence的桥梁,Argument的作用是简明地解释Claim和Evidence之间关系,清晰地描述Claim是如何被证明的:
(1) 证据是如何被收集和解读的?
(2) 什么证据支持这个Claim?
Argument支持Claim结构的建立,将高层次和较大的目标分解为一系列的小的Subclaim。
3) 安全声明/子声明(Claim/Subclaim)
多类Argument经过融合形成Subclaim或者最终的Claim,在安全测评中即评估结果。
每个Claim可以看作是一个命题,是一个对预期结果、度量目标的描述。一个典型的Claim具有如下特点:
(1) Claim应是有界限的;
(2) Claim不应是开放的;
(3) Claim应是可证明的。
在定义了CAE模型的三个要素后,就可以进行CAE模型的分解过程。CAE的分解过程就是从最顶层的Claim一直分解到由Evidence具体支持的Subclaim。简单的CAE模型结构如图2所示。
由图2可以得出,在分析系统的CAE结构时,采用由上而下的分析顺序,从顶层的最终结果开始,逐层进行C-A分解,根据不同的Subclaim分支,继续向下分解为一系列的Evidence。
而进行实际测评的时候,通常是由下而上的分析顺序,因为Evidence是可以直接测评得到的,有了Evidence的底层支持,我们才可以继续向上逐层进行评估分析,最终得到评估结果Claim。
3.2 等级测评的CAE建模
根据CAE的分解原则,在等级测评中,可以认为最终定级得到的等级为Claim,其对应的Argument即为安全技术测评和安全管理测评两个测评类的测评结果组合。依次往下,安全技术测评可以作为一个Subclaim,对应的Argument为物理安全、网络安全、主机安全、应用安全和数据安全五个测评层面的测评结果的组合;安全管理测评可以作为另外一个Subclaim,对应的Argument为安全管理机构和安全管理制度两个测评层面的测评结果的组合。每个测评层面都由众多的测评单元支持,而测评单元由测评项支持,按照分解原则,可将测评单元作为测评层面的Subclaim,测评项作为测评单元的Subclaim。在最低层次上,测评项作为最后一级的Subclaim由Evidence(优势证据)来直接支持。优势证据是多种不同测评方式的测评结果按照一定的推理方法得到的最终证据。图3给出了CAE下等级测评的一般模型。
下面通过对安全技术测评中物理安全的物理位置选择的三个测评项和物理访问控制的四个测评项进行CAE建模,验证该一般模型的有效性,假设通过各种测评方式得到的测评结果有3个,如图4所示。
对安全管理测评可以进行同样的操作,例如对安全管理机构的岗位设置的四个测评项进行CAE建模,假设通过各种测评方式得到的测评结果有3个,如图5所示。
由图4和图5可见,将等级测评代入CAE模型中后,能够清晰辨识实际系统的组合和传递的逻辑关系,按照一定的推理方法从3种不同测评方式得到的测评结果,我们就可以得到各项的测评结果。然后,根据CAE的层次结构,可以由各测评项的测评结果最终得到整体的测评结果。
一般认为等级测评的复杂性和困难度主要存在于测评指标的选择和测评结果的融合两个方面:
1) CAE建模后的测评指标选择
根据Claim的等级要求,可以得到其对应的Argument,即安全技术测评和安全管理测评的要求,基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全5个层面提出;基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理5个层面提出,每个层面都可以看作为一个Subclaim。根据信息系统的定级结果,对应指标层面级的每个Subclaim,都可以得到对应等级的S类、A类和G类的安全指标子项。将安全指标子项作为Subclaim,其对应的Argument即为具体测评项的组合。具体的测评项是最低一层的Subclaim,由优势证据来直接支持。
可以看出,使用CAE模型后,将等级—准则层—指标层—指标项—指标子项的5层测评指标选择体系简化为Claim—Argument两个层次。测评指标的选择即为确定一系列的Argument,当得到指标项的Argument后,即可得到其Subclaim(指标子项),测评指标的选择工作结束。
2) CAE建模后的测评结果融合
等级测评复杂性的另外一方面是等级测评结果的融合。首先,要将各种不同测评方式得到的不同测评结果进行融合,即由很多证据得到优势证据。优势证据即为指标子项的测评结果,指标子项的结果合成为指标项的结果,指标项的结果合成为指标层的结果,指标层的结果合成为准则层的结果,最后,准则层的结果合成为最终的测评结果。
使用CAE模型后,因为Argument包含了其下一层的Subclaim的所有指标及这些指标之间的关系,对于这一层的融合过程就可以直接在该Argument中进行。如图6所示的简单CAE模型。
假设Subclaim1到Subclaim5的结果已知,为了简单起见,我们分别设为1、0、1、1、1,由Argument里面包含的内容和逻辑关系可得Claim的结果应为1+0+1+1+1=4。
4 结 语
信息安全等级保护是国家提高信息安全保障能力和水平、保障和促进信息化建设健康发展的一项重要措施。而等级测评是信息安全等级保护实施中的一个重要环节。CAE模型中的分解和推理过程分别与信息安全测评中的安全因素收集和逐层评估过程是一致的,由于CAE模型具有很强的层次性和结构性,所以被广泛应用于复杂的信息安全测评过程中。本文将CAE模型应用到等级测评中,将复杂的测评过程分为Claim、Argument和Evidence三个环节,实际结果表明:等级测评的过程完全可以归纳入CAE模型中,其测评过程与CAE模型的推理过程是一致的;使用CAE模型可以结构化等级测评的过程,简化了测评指标的选择和测评结果的融合。本文结论进一步验证了等级测评的有效性和合理性。
摘要:CAE模型具有很强的层次性与结构性,被广泛用于复杂的信息安全测评过程中。采用CAE模型对等级测评的过程进行建模,将测评过程的多个层面简化为声明-论据-证据三种层次,并从测评指标的选择和测评结果的融合两个方面具体说明了CAE模型的作用。结果表明等级测评的过程完全可以归纳入CAE模型中,等级测评的过程与CAE模型的分解和推理过程是一致的,进一步验证了信息安全等级保护标准支持下的等级测评的有效性和合理性。
关键词:等级保护,等级测评,CAE
参考文献
[1]GB/T22239-2008信息系统安全等级保护基本要求[S].
[2]GB/T22240-2008信息系统安全等级保护定级指南[S].
[3]GB/T25058-2010信息系统安全等级保护实施指南[S].
[4]信息系统安全等级保护测评过程指南报批.
[5]信息系统安全等级保护测评准则报批.
[6]Nikolai Mansourov,Djenana Campara.System Assurance[M].Burl-ington,USA:Morgan Kaufmann Publishers,2011.
[7]Robin E Bloomfield,Sofia Guerra,Marcelo Masera,et al.AssuranceCases for Security[R].Washington DC,USA:Assurance Case Work-shop,2005.
[8]张雪芹,江常青,林家骏,等.基于符合性判定的CME信息系统安全风险评估模型[J].清华大学学报,2010,50(S1):66-71.
[9]徐萃华,林家骏,张雪芹.基于证据推理及评估用例的信息系统安全评估模型[J].华东理工大学学报,2010,36(6):818-824.
关键词:信息安全;等级保护;定级;备案
中图分类号:G203 文献标志码:A 文章编号:1673-8454(2015)21-0012-05
一、背景
近些年来,随着互联网和信息通信技术的发展,信息系统在各行业、各领域快速拓展。随着大数据时代的到来,伪造基站、BIOS后门、高斯病毒、短信僵尸等各类网络攻击层出不穷、日新月异,保障网络与信息系统安全,已经成为信息化发展中迫切需要解决的重大问题。教育部、北京市教委等部门为保障教育信息系统的安全,逐步推出了相关政策和工作办法。
二、信息安全等级保护概述
信息安全等级保护(以下简称等保)是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实施安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。[1]
系统定级备案的实施是信息安全监督、检查和问责的需要。通过备案可以使信息化主管部门知道在哪里、由什么人运行着何等重要程度的信息系统,为信息安全管理提供基础数据。本文着重论述高等院校信息系统信息安全等级保护定级备案工作的实施,所指信息系统是指由计算机及其相关和配套的设备、网络构成的对教育行业相关业务信息进行采集、加工、存储、传输、检索和处理,不涉及国家秘密的系统。[2]
1.信息系统定级备案基本分类
信息系统定级是等级保护的第一步,需分析系统的业务信息类型和系统服务类型,确定信息安全受到破坏时所侵害的客体,确定对客体的侵害程度。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,以及系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。[3]高等院校信息系统中,招生管理类、数据集成类、校务管理类、基础网络服务类等信息系统的业务信息安全或系统服务安全受到破坏,可能影响学校正常秩序,影响高校正常行使工作职能,侵害学校、教师、学生及部分社会公众合法权益,可能在一定范围内对社会秩序造成影响,可能侵害公共利益,引起法律纠纷等;教学支持类、科研管理类、公共服务类、信息发布类等信息系统业务信息安全或系统服务安全受到破坏,可能影响学校正常秩序,影响高校正常行使工作职能,侵害学校、教师、学生合法权益,引起法律纠纷等。[4]
2.高等院校信息系统定级备案的基本原则
为了保护信息安全等级保护工作的科学性、合理性,高等院校的信息系统在实施过程中应遵循以下原则:
(1)自主保护原则。在高等院校的信息安全等级保护工作中,学校各二级单位按照相关标准对管辖范围内的信息系统进行自主定级、自主保护,并接受信息化主管部门的监督、管理。
(2)重点保护原则。将学校有限的财力、物力、人力投入到招生、教务、科研等重要信息系统安全保护中,依据相关标准建设安全保护体系,建立安全保护制度,落实安全责任,优化信息安全资源配置。
(3)同步建设原则。按照等保要求,在学校新建和改建的信息化项目中,将信息安全建设与系统建设同步规划、实施。
(4)动态调整原则。高等院校信息系统的应用功能、服务对象、范围等会根据政策、管理办法、新业务需求而发生变更、扩展。当发生较大变化时,应根据等级保护管理规范和技术标准的要求重新定级、备案,实施安全保护。
三、高等院校等保定级备案管理办法的研究
1.高校信息安全管理存在的主要问题
目前高等院校在信息安全等级保护备案方面存在着以下问题:
(1)二级单位难以按照信息安全等级保护基本要求结合自身情况制定切实可行的信息安全管理制度和技术标准规范。
(2)系统、网站的建设注重业务应用的实现,缺少安全设计和部署,开发环境与生产环境混淆,没有足够的测试急于上线,缺少安全防护意识。
(3)系统的不断改造升级,增加了网络安全的脆弱性,降低了系统的安全状态。
(4)部分二级单位对本单位的信息系统及网站底数不清,依然存在各自为政开设网站的情况,安全防护不统一。且存在科研教学机构替其他用户单位在校内开发、运营系统的情况。
(5)由于学校人员组织、编制等限制,无法严格按照等保要求组建专门的、专业的安全运维管理组织,配备岗责明确的职能人员。二级单位的系统管理员、网站管理员计算机知识与技能相对欠缺、安全意识相对薄弱,不足以开展安全自查、安全防范和风险分析排查。
针对上述问题,本文研究信息安全保障机构的建立、校内定级备案工作流程、自查监察管理办法等,以改进高校等保定级备案工作。
2.高校信息安全保障机构的建立
以高校现有校院两级管理实体为基础,确定信息安全领导小组、专家组以及信息安全主管部门和责任人,统一管理与协调。按照“谁主管、谁负责”的原则实行信息工作责任制和责任追究制,保证全校的信息安全建设与运维的管理职责得到落实。
本文建立的信息安全保障机构实质上是一个三级机构,如图1所示:
(1)信息化主管部门
信息安全领导小组领导下的信息化主管部门通常包括两类:
一类是宣传部、信息办等内容主管部门。负责学校各级网站的内容管理,包括网站审批、舆情监控;负责信息安全组织机构的人员信息登记等工作。
另一类是信息中心、网络中心等技术主管部门。负责全校信息安全等级保护的管理工作;负责校级系统的物理安全、网络安全、主机安全以及应用和数据安全;根据等级保护相应等级的技术要求对二级单位的系统网站进行安全监测、整改等工作。
(2)信息安全第一责任人
二级单位信息安全第一责任人原则上为本部门一把手,对本部门各业务系统及管辖下的网站在形式、内容、运行方面承担监督和管理的责任,负责建立和完善本部门网络安全和信息安全组织,统筹本单位的信息系统建设,建立健全本部门信息化管理制度,审批确定本部门信息系统的安全运维方案和应急预案。
信息系统和网站的申请建设、改造升级以及撤销,信息安全第一责任人负责依法进行信息安全等级保护备案和定级工作,报信息化主管部门备案。
(3)二级单位信息安全工作实施小组
二级单位信息安全工作实施小组主要包括四类人员。
①信息安全员
各二级单位须指定信息安全管理员,负责本单位网络与信息系统的管理和运维工作。接受本部门第一责任人、信息化主管部门的领导,协调本部门的系统管理员、网站管理员以及信息发布员实现信息系统等级保护的管理要求、技术要求。主要有以下工作:
协助信息安全第一责任人统筹本单位的网络建设和信息系统建设,管理本单位的二级网站和三级网站,包括信息系统安全等级保护定级备案以及自查等实施工作。
负责本单位局域网管理,学校固定IP、域名等网络资源的申请、配置、管理工作。
负责本单位的信息收集与维护工作,保证数据的准确性、及时性,支持校内外信息交流和交换、数据上报。
负责本单位网络安全、信息安全与保密工作,对系统安全策略、系统备份、日志管理和操作流程等方面制订管理办法。
②系统管理员和网站管理员
系统管理员和网站管理员应是在职教职工,根据所负责的计算机信息系统对应的信息安全等保等级进行相应技术和管理工作,从服务器、数据库、应用服务等多层面进行系统的补丁升级、定期备份、巡检、应急响应、故障解决等工作,保障系统正常、稳定运行。
③信息发布员
信息发布员是网页具体内容的审核发布人员,应保证信息的及时有效性,能根据上级领导或主管部门的要求更新、撤销、归档网页信息。
④资产管理员
通常高等院校各二级单位都有固定资产管理员,虽然这些管理者不是信息化专业人员,但是负责软硬件各类设备的管理,因此也应纳入等保安全保障体系范畴。
3.校内定级备案工作
高等院校,特别是理工类高等院校内的系统/网站繁多,且教学、科研、服务等应用目标不同,管辖等级不同(校级、院部处级、实验室以及群团组织等),但无论系统大小都应按照有关法律法规进行等级保护定级备案。
各系统主管单位根据信息系统分类、系统重要程度及实际的安全需求,参照《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》和《教育行政部门及高等院校信息系统安全等级保护定级指南》进行定级(高校一般不涉及四、五级系统),实施安全保护。原则上安全等级应不低于建议级别;对于承载复杂功能的信息系统,安全等级可高于建议级别;对于承载多个业务功能的信息系统,应以建议的最高安全等级进行定级。其中电子公文与信息交换、信息门户系统、招生管理系统等为重要保护对象。[4]
本文设计的高等院校内部定级备案工作流程如图2所示。
本工作流程中,等级保护定级备案的关键节点在于二级单位在新建系统或网站时,需要申请服务器、固定IP以及二级域名等网络资源。信息化工作主管部门通常可以在此节点要求二级单位完成系统的定级备案工作,以防疏漏。
如果是校级系统、二级单位重要业务管理系统,通常需要经过经信委等上级主管部门的审批,因此可以在立项之时就进行相应的定级备案、安全规划,落实信息安全等级保护相关控制,以确保在系统的规划设计、建设实施、运行维护整个安全生命周期中贯彻信息安全等级保护要求。
4.自查监察管理办法
(1)等保自查
学校信息化工作主管部门以及各二级单位每年都应参照等保的要求项和控制点,对管辖范围内的信息系统依据保护级别制定安全策略,规范管理和技术实施,并定期检查。包括网络与信息系统安全基本情况、技术防护情况、信息安全产品使用和信息技术服务外包安全管理情况、应急处置及容灾备份情况以及等级保护工作落实情况等。并填报自查结果,上报主管部门备案。
(2)安全监控
信息化工作技术主管部门负责利用可利用的安全技术、产品以及工具了解和评估系统的安全状态;从物理环境、网络、系统、应用、数据,到最终的用户终端汇集安全监控审计信息(详见图3),并进行分析及时发现安全隐患,提供可能的解决方案和技术支持。
信息化工作技术主管部门还应配合教委、公安局等上级部门进行信息安全的抽查、整改工作,完成每年度的信息安全等级保护工作汇报,保障敏感时期的信息安全保障工作。
(3)整改管理办法
对于自行发现的安全隐患以及上级下达的整改通知,信息化主管部门通知二级单位,落实人员限期实施整改,并配合系统主管单位将系统调整到“最安全”和“风险最低”状态。整改完成后,二级单位以书面形式上交整改报告,说明安全问题描述、原因、整改措施等。对于影响严重的系统或不能按期整改完成的系统,信息化技术主管部门有权停止网络服务,经核准整改效果后方可销案,同时加入重点安全监控名单。对于不能解决的安全问题和重大安全问题应及时告知信息安全领导小组和专家组,寻求领导层和校外专业团队的指导。
四、高等院校等保定级备案管理系统探究
信息安全等级保护定级备案以及自查整改的实施,大多是信息采集、录入和管理工作。然而又不同于一般的行政管理,需要结合技术的和非技术的手段保证全校等级保护工作的系统性、可行性、有效性和可扩展性。
目前已经有公司推出了信息安全等级保护综合管理系统,通过应用软件实现各种备案信息的录入、批量导入/导出、审核,从而进行备案信息的查询、检索和统计,以及为上级主管部门提供本单位的信息系统备案状况。但是,这些系统大都缺乏分层管理、数据关联、约束检查,使等保信息还是处于分散的状态中,也不便于校内日常信息安全工作管理。本文从信息化人员管理、资产管理以及制度管理的角度出发,讨论此类系统的设计思想,以实现定级备案工作在高校实施中的有效落地。
1.数据关联与约束(见图4)
建立信息安全保障体系对照表,通过Dept_code、Administrator、Assets_Manager、Assets_code、Rules_code关键字实现系统与部门、系统与管理员、系统与资产、系统与制度的关系。可以知道一个二级单位有哪些系统,分别是几级系统;可以知道每个系统使用了哪些固定资产,管理员是谁;可以知道每个系统建立或使用了哪些制度,是校级的还是二级单位内部的,等等。例如,通过上述关联可以很容易得到如表1所示的查询统计表。
而从表2不仅可以获得二级单位各系统的资产信息(软硬件),而且可按系统、部门进行汇总计算,获得国外产品百分比统计等信息。
通过资产编码Assets_code关联资产信息和资产检查表,按照资产类型编码对应的技术要求-Technology_checkcode、Technology_Description检查项填写资产检查表的检查结果,并记录日期,可以用作后续的变更记录和跟踪。
通过系统编码System_code从系统定级信息获取系统安全等级G_level,对应到管理要求表得到相应的检查项信息,再根据“制度-管理检查项对照”自动获取校级制度,便于二级单位的管理制度检查信息的填报。
这些关系的建立,不但可以获得更多的级联信息,而且可以进行约束。例如,通过制度的“共享标志”约束其他部门是否能使用二级单位自定义的制度;通过在系统备案基本备案信息中录入的资产数量Assets_number来验证资产信息是否填报完备,等等。
2.数图关联
资产管理涉及机器设备、软件系统等方面。梳理资产是实施等级保护的过程中重要的一步,以确定学校各系统的资产,明确责任人、物理位置、使用情况以及数据信息交互情况。
高校信息系统的资产管理大多还处于手工管理的离散状态,即便有固定资产管理系统,也只是从财产角度对各类资产进行注册在案(其分类与信息化角度不同),没有按照信息安全等级保护的管理要求、技术要求记录更为详尽的管理信息、运维信息。
本文建议建立基于拓扑结构图的信息系统资产管理,便于基础信息的录入、等保检查项检查和直观展示。因为,如果只是通过二维表或者树状结构图的形式输入资产信息,难以直观地了解到哪些网络设备、哪些服务器、哪个数据库以及哪个Web应用是一个系统的。但是基于拓扑图资产信息管理,可以通过图形符号的方式建立资产之间的关联,便于掌握一个系统的整体资产情况。例如,一台服务器的符号可以连接服务器、中间件、数据库、应用等多层资产,逐一录入(包括没有固定资产的免费资源)。如果少了哪一层资产没有填报(没有需说明理由),即当前备案信息尚不完备,则该系统应该是不允许访问的状态。从等保管理要求,信息化主管部门就可以停止其运行服务。
五、结束语
每个高等院校都会有自己的信息化组织机构、管理制度和办法,信息化建设进程也不尽相同,在具体应用《信息安全等级保护基本要求》时,不应一味追求所有的安全项,而是要根据学校自身信息化建设情况、特点,兼顾可操作性设计和实施信息安全体系建设,稳步渐进地落实等级保护工作。
参考文献:
[1]中华人民共和国国家质量监督检验检疫总局,中国国家标准化管理委员会.GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求[S].中国标准出版社,2008.
[2]中国教育信息化网.北京市市属教育行业信息安全等级保护定级评审工作办法[EB/OL]. http://www.ict.edu.cn/laws/difang/n20140623_14386.shtml,2014-06-23.
[3]沈昌祥,信息安全保障建设中的等级保护[J].信息技术与标准化,2007(11).
[4]教育部办公厅.教育行业信息系统安全等级保护定级工作指南(试行)[Z].2014.10.
【信息安全等级管理制度】推荐阅读:
信息安全等级保护管理办法(试行)10-17
信息安全等级保护规范06-28
信息安全等级保护实务07-27
如何理解信息安全等级保护与分级保护07-03
信息安全保密管理制度02-18
1.信息安全保密制度05-26
校园安全信息上报制度10-29
定期分析安全信息制度11-09
信息安全管理培训11-16
信息安全技术与管理01-16
