信息系统安全保护等级(精选8篇)
篇1:信息系统安全保护等级
信息安全等级保护提升信息系统管理
摘要:随着科技的进步,企业办公信息化、智能化程度显著提升,随之而来的信息安全问题日益突出。企业经营考虑信息化设备创造的利益时,需兼顾互联网开放性造成的风险。针对以上问题,国家严格规范信息系统等级保护工作流程,根据系统的重要性和影响范围划分定级,按照系统级别的不同实施区别化管理。此外,依照信息系统等级保护工作的“三同步”原则(同步规划、同步设计、同步投入运行),在信息系统应用建设的各环节进行标准化管理,规范了信息系统事件的定级、测评、备案、安全整改以及职责等工作标准,同时,明确了检查考核、管理与技术措施,促进供电企业信息专业能力不断提升,充分调动公司各专业的积极性和协调性,有效提高公司信息系统安全管理水平和保护能力。
关键词:信息安全;等级保护;信息系统管理背景简介
通常情况下,企业信息系统管理普遍存在以下问题:(1)信息系统规划阶段侧重于系统功能应用,未提出信息系统安全保护;(2)信息系统设计阶段缺少安全方案的同步设计;(3)信息系统上线运行阶段,未建立安全性测试机制,投运前缺少系统软件恶意代码检测、源代码后门审查、漏洞查找、渗透测试、运行环境测试和等级测评等安全性测评环节。针对以上问题,信息安全等级保护在企业信息系统管理工作中发挥至关重要的作用。信息安全等级保护工作包括定级、备案、安全建设与整改、信息安全等级测评以及信息安全检查五个阶段,覆盖信息系统规划—设计—开发—测试—实施—应用上线与上架—运维的整个生命周期[1]。信息安全等级保护工作的管理思路
根据目前信息系统管理的暴露的缺点,公司将信息系统安全建设作为安全等级保护工作的重点,围绕信息系统应用建设的各个阶段,结合等级保护要求,实现信息系统建设过程的安全管理,有效降低了信息系统上线后的安全隐患,保障了信息系统的安全稳定运行。
2.1 规划阶段
信息系统规划初期,通过建立合理的信息系统安全管理体系、工作要求和工作流程,结合公司实际情况,将系统测评费用纳入其中。
2.2 设计阶段
系统设计阶段,公司要求系统建设部门提交信息系统的安全防护总体方案。对于需要开展安全方案设计的信息系统,在系统定级后,系统建设项目负责部门应组织系统运维单位和系统开发实施单位,根据系统安全防护等级,遵照相关行业信息安全等级保护基本要求和公司信息安全防护总体方案等,制定系统安全防护方案。
2.3 开发阶段
各系统建设部门是信息系统的用户方,必须严格要求系统开发部门遵守相应原则,如使用正版的操作系统、配置强口令、信息系统测试合格正式书等,从而保证系统投运时的实用性和效率。
2.4 测试阶段
系统建设部门组织定级系统,通过具有国家资质的测评机构对系
统进行安全测评,并在当地公安机关网监部门进行定级和备案工作。
2.5 实施阶段和应用上线
各级信息通信职能管理部门,督促检查本单位及下属单位等级保护工作,同时,要求各系统建设部门在信息系统实施阶段,确保系统完成测评整改工作。
2.6 运维阶段
根据“谁主管谁负责,谁运行谁负责”的工作原则,各系统主管部门合理分配部门人员的管理和运维工作,制定所管辖区域的系统安全隐患整改、数据备份以及其他相关安全加固措施。信息系统管理的工作机制
通过信息系统等级保护方案,公司要在系统应用建设全过程中加入安全防护机制,规范信息系统事件的定级、测评、备案、安全整改以及职责等工作标准。此外,为进一步促进等级保护工作的有效执行,公司明确了相应的检查考核管理措施,完善信息系统安全工作的全面管理。
3.1 考评机制
建立相关考评机制。由信息化职能管理部门负责对公司信息专业工作进行标准化管理考评、考核工作,即检查各相关单位网络与信息安全工作的开展情况,并根据上级部门的实时反馈进行整改,从公司信息系统正常运行到信息内外网安全,实施监督和管控,纳入各单位年度绩效指标考核。
3.2 协同机制
成立信息化领导小组及办公室,开展协同控制工作。建立关于信息安全工作的协调机制,明确公司各部门网络与信息安全工作职责,具体负责组织开展信息系统安全等级保护工作,协调、督导信息系统建设部门进行定级、备案、等级测评和安全整改等工作。另外,针对信息系统测评和评估所发现的问题,责任单位制定完善的安全整改方案并认真落实。
3.3 例会机制
例会机制主要通过信息系统等级保护集中工作实现,定期召开信息专业网络安全会议,通过会议通报各单位存在的问题和下一步改进措施。结语
本文提出了一种基于等级保护的信息系统管理工作思路。一方面,从信息系统全生命周期着手,在系统应用建设的各环节加入安全管理工作;另一方面,完善信息系统管理工作机制,通过建立合理的考评机制、协同机制和例会机制,优化系统管理手段。根据以上管理思路,不仅在工作流程上对信息系统进行了安全防护加固,而且制定了相应的管理手段,促进企业信息系统管理工作水平的提升。
参考文献
[1]高磊,李晨旸,赵章界.基于等级保护的信息安全管理体系研究[J].信息安全与通信保密,2015(5):95-98,101.作者:余入丽 马先平杨雅 单位:国网黄石供电公司信息通信分公司
篇2:信息系统安全保护等级
信息系统安全等级保护备案表
单位名称 信息系统名称 信息系统类别 系统域名 系统 IP 地址 系统服务 情 况 系统网络平台 服务器情况 存储设备 情 况 服务范围 服务对象 覆盖范围 网络性质 是否有服务器 服务器位置 服务器操作系统 是否有专用存储 存储设备位置 □MySQL □windows □linux □是 □否 品牌及容量 □Access □SQLServer 年 □Oracle □其它_______ 月 日 □全国 □全(市、区)□全校 □全校师生员工 □三者均包括 □广域网 □互联网 □否 是否在学校机房寄存 □unix □是 □否 □Solaris □其它_______ □本单位 □其它__________ □其它__________ □单位内部人员 □社会公众人员 □局域网 □业务专网 □是 □校园网 □业务管理系统 □网站 □其他
□其它___________
系统数据库情况 系统何时投入运行使用 系统主要承建单位 系统目前维护单位 系统责任人 姓 管理员情况 办公电话 系统是否是分系统 上级系统名称 信息系统安全保护等级 系统密级(涉及保密的信息系统 需要填写本项)系统分级保护实施情况 填表人: 名
联系方式 E-mail 手 □是 机
□否(如选择是请填下两项)所属单位
□第一级 □秘密 □ 已经实施
□第二级 □机密
□第三级 □绝密
□第四级
□第五级
□正在实施 填表日期:
□计划________年实施 年 月 日
填报单位:(盖章)
篇3:电力系统信息安全等级保护研究
关键词:信息安全,等级保护,安全域
1 基本原理
《信息安全等级保护管理办法》对信息安全等级保护做出了系统的描述——“信息化发展的不同阶段和不同的信息系统有着不同的安全需求, 必须从实际出发, 综合平衡安全成本和风险, 优化信息安全资源的配置, 确保重点。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。”
信息安全等级保护是根据信息系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度, 将其划分成不同的安全保护等级, 采取相应的安全保护措施, 以保障信息和信息系统的安全。信息系统与安全保护措施级别划分关系如图1所示。
电力系统属于国家的关键基础设施, 电力信息系统是涉及国家安全和社会稳定的重要信息系统, 需要得到重点保护。
根据《关于信息安全等级保护工作的实施意见》对信息系统安全等级的划分要求, 系统安全等级共分为五级, 从第一级到第五级, 安全等级逐级升高, 五级是系统的最高安全等级。五个等级的基本描述如下:
第一级为自主保护级, 适用于一般的信息系统, 其受到破坏后, 会对公民、法人和其他组织的合法权益产生损害, 但不损害国家安全、社会秩序和公共利益。
第二级为指导保护级, 适用于一般的信息系统, 其受到破坏后, 会对社会秩序和公共利益造成轻微损害, 但不损害国家安全。
第三级为监督保护级, 适用于涉及国家安全、社会秩序和公共利益的重要信息系统, 其受到破坏后, 会对国家安全、社会秩序和公共利益造成损害。
第四级为强制保护级, 适用于涉及国家安全、社会秩序和公共利益的重要信息系统, 其受到破坏后, 会对国家安全、社会秩序和公共利益造成严重损害。
第五级为专控保护级, 适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统, 其受到破坏后, 会对国家安全、社会秩序和公共利益造成特别严重损害。
2 设计方法
等级保护是国家信息安全的一项基本制度, 但如何落实并在电力系统中实现呢?这里提出构建电力等级化安全体系的思路。
等级保护的核心是根据不同用户在不同阶段的需求、业务特性及应用重点, 确定不同系统的重要程度, 并给予重点保护。在电力安全等级保护体系设计中利用等级化与体系化相结合的安全体系设计方法, 在遵循国家等级保护制度的同时, 将安全等级保护思想融汇到产品、方案及应用中 (见图2) , 建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。
“等级化”的特质在于符合国家等级保护制度, 能够真正实现重点保护, 节省投资。“体系化”的特质有3个方面:一是整体性, 采用结构化的设计原理, 系统地实现电力系统总体安全目标, 确保内容全面;二是针对性, 体系是根据电力系统业务发展战略目标确定安全目标, 结合实际情况度身定做;三是可持续发展, 体系中设计的框架是相对稳定, 能够确保在一段时间内持续发展, 逐步完善。
在建立和实施等级化安全体系后, 电力系统会建立一套持续运行、涵盖所有安全内容的信息安全保障体系, 这是安全工作追求的最终目标。
3 实施过程
电力行业涉及业务面广, 企业、单位、人员众多, 信息化建设和安全保护措施建设程度参差不齐。如何在行业发展中, 谋求信息系统的安全生产、安全运营、安全管理、安全壮大, 并把有限的资金、人员落实到关键保护对象, 使电力企业能够以安全保发展, 在发展中促安全, 是摆在电力行业面前的一次技术与管理的挑战。
根据电力系统的安全实际情况, 电力系统建立安全等级保护的主要过程包括 (见图3) :
(1) 系统识别与风险评估;
(2) 系统定级;
(3) 等级指标设计;
(4) 安全解决方案域规划设计。
3.1 系统识别与风险评估
系统识别是对信息系统进行定级和安全保护措施的基础, 正确识别系统、了解系统边界、区分系统信息和服务是系统识别过程的主要工作。
风险评估是等级保护的重要组成部分, 等级的确定和安全措施的选择需要通过风险评估考核其必要性和重要性, 在等级保护工作中风险评估可以采用简化或者齐备的方法, 这根据系统复杂性和成本要求综合考虑。
(1) 系统识别。实施等级保护工作首先要求政务机构对其拥有的或拟建的电子政务系统进行深入的识别和描述, 识别和描述的内容至少包括如下信息:
1) 系统基本信息:系统名称、系统的简要描述、所在地点等。
2) 系统相关单位:负责定级的责任单位、系统所属单位、系统运营单位、主管部门、安全运营单位、安全主管部门等。
3) 系统范围和边界:描述系统所涵盖的信息资产范围、使用者和管理者范围、行政区域范围和网络区域范围等, 并清晰描述出其边界。
4) 系统提供的主要功能或服务:从整体层面描述系统所提供的主要功能或服务, 即对公众、企业、相关政府机关、内部用户等提供的主要服务。
5) 系统所包含的主要信息:描述系统所输入、处理、存储、输出的主要信息和数据。
(2) 风险评估。在等级保护实施工作中风险评估工作的处理方式比较灵活, 风险评估的目的在于识别风险进而管理风险, 风险评估主要包括资产评估、弱点评估、威胁评估等。
3.2 系统定级
信息系统的安全等级主要由4个要素决定:
(1) 信息系统所属类型, 即信息系统资产的安全利益主体;
(2) 信息系统主要处理的业务信息类别;
(3) 信息系统服务范围, 包括服务对象和服务网络覆盖范围;
(4) 业务对信息系统的依赖程度。
其中第1、2个要素决定信息系统内信息资产的重要性, 第3、4个要素决定信息系统所提供服务的重要性, 而信息资产及信息系统服务的重要性决定了信息系统的安全等级。
上述定级要素是适用于各行业的通用定级要素, 对不同行业信息系统定级的主观性较大, 不同人员对定级要素的理解不一致, 定级结果容易出现分歧。因此, 针对电力行业信息系统应对定级要素进行细化, 每个定级要素在电力行业中细化为多个类别的具体情形。
对于电力信息系统, 可以在遵循国家定级指南的基础上, 经过业务分析和风险评估, 细化信息系统的定级规则, 确定符合电力业务特点的定级要素和赋值标准, 简化定级过程, 提高定级精度和科学性, 精细化掌控信息系统的安全要求和保障措施。
3.3 等级指标设计
不同级别的信息系统都对应安全目标和安全措施, 也就是等级化的安全指标体系, 安全指标体系从国家层面有一套推荐指标系统, 由于国家级别的指标体系面向所有信息系统, 不能充分考虑行业特性和业务特点, 电力系统应在充分了解业务应用的基础上, 结合风险评估制定符合电力系统特点和要求的指标体系, 提高系统的可操行性。
电力行业等级安全指标体系是各等级系统要达到的安全要求。安全指标体系主要依据以下方面进行设计:
(1) 依据信息系统安全等级保护基本要求, 提供电力信息安全应达到的基本要求;
(2) 通过电力行业信息系统风险评估, 识别电力信息系统的主要安全风险, 进行根据行业特性补充各等级安全要求
通过上述2部分工作, 设计电力行业的安全指标体系, 作为安全建设的基础依据。
3.4 安全解决方案域规划设计
安全解决方案设计的主要依据所建立的安全指标体系, 评估现有安全措施与相应等级安全指标之间的差距, 设计相应的技术解决方案和安全管理策略并实施, 使系统安全水平达到相应等级的安全要求。
在解决方案设计主要描述每项技术控制方案的技术选型、产品选择原则、产品选型建议、部署方案、配置方案和相关的管理策略。
安全策略设计主要包括安全方针和系列安全制度和规范。安全方针的目标是为信息安全管理提供清晰的策略方向, 阐明信息安全建设和管理的重要原则, 阐明信息安全的所需支持和承诺。各类管理规定、管理办法和暂行规定主要规定的安全各个方面所应遵守的原则方法、具体管理规定、管理办法和实施办法,
根据安全指标体系的要求, 以风险评估为基础, 在安全等级保护体系基础上, 结合信息化规划、预算等实际情况, 对用户信息安全等级保护体系的建设和管理提出规划方案, 实现信息安全总体规划、分步实施、重点落实的建设方法。
4 电力行业实施信息安全等级保护制度的原则
电力行业实施信息安全等级保护制度应该遵循以下基本原则:
(1) 明确责任, 共同保护。通过等级保护, 组织和动员电力行业各企业和单位共同参与信息安全保护工作;各方主体按照等级保护的规范和标准分别承担相应的、明确具体的信息安全保护责任。
(2) 依照标准, 自行保护。电力行业和企业和单位应运用国家强制性的规范及标准, 要求信息和信息系统按照相应的建设和管理要求, 自行定级、自行保护。
(3) 同步建设, 动态调整。信息系统在新建、改建、扩建时应当同步建设信息安全设施, 保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因, 安全保护等级需要变更的, 应当根据等级保护的管理规范和技术标准的要求, 重新确定信息系统的安全保护等级。等级保护的管理规范和技术标准应按照等级保护工作开展的实际情况适时修订。
(4) 指导监督, 重点保护。电力行业和企业和单位应通过国家指定信息安全监管职能部门通过备案、指导、检查、督促整改等方式, 对重要信息和信息系统的信息安全保护工作进行指导监督。
5 结语
篇4:信息系统安全等级保护研究与实践
安全防护需求
《信息安全技术一信息系统安全等级保护基本要求》(GB/T22239-2008)明确了基本要求,电网作为重点行业信息安全领域,充分结合自身安全的特殊要求,在对国家标准消化基础上进行深化、扩充,将二级系统技术要求项由79个扩充至134个,三级系统技术要求项由136个扩充至184个,形成了企业信息系统安全等级保护要求,见表1。
安全防护架构与策略
按照纵深防御的思想设计安全防护总体架构,核心内容是“分区、分级、分域”,如图1所示。分区就是按照《电力二次系统安全防护规定》(电监会5号令)将信息系统划分为生产控制大区和管理信息大区两个相对独立区域进行安全防护。分级就是将部署于大区的各系统分别确定安全保护级别实现等级化防护。分域就是将部署于大区的各系统,依据系统级别及业务系统类型划分不同的安全域,实现不同安全域的独立化、差异化防护。总体上形成了“区、级、域”多梯次大纵深的安全防护构架。
生产控制大区和管理信息大区的系统特性不同,安全防护策略也不尽不同。本文仅描述管理信息大区的安全防护策略。管理信息大区部署管理类业务的系统,安全防护遵循以下策略:
(1)双网双机。将管理信息大区网络划分为信息内网和信息外网,内外网间采用逻辑强隔离装置进行隔离,内外网分别采用独立的服务器及桌面主机;
(2)分区分域。将管理信息大区的系统,依据定级情况及业务系统类型,进行安全域划分,以实现不同安全域的独立化、差异化防护;
(3)等级防护。管理信息系统以实现等级保护为基本出发点进行安全防护体系建设,并参照国家等级保护基本要求进行安全防护措施设计;
(4)多层防御。在分域防护的基础上,将各安全域的信息系统划分为边界、网络、主机、应用四个层次进行安全防护设计,以实现层层递进,纵深防御。
安全防护设计
信息系统安全防护按照边界安全防护、网络环境安全防护、主机系统安全防护、应用安全防护四个层次进行防护措施设计。
(一)边界安全防护
边界安全防护目标是使边界的内部不受来自外部的攻击,同时也用于防止恶意的内部人员跨越边界对外实施攻击,或外部人员通过开放接口、隐通道进入内部网络;在发生安全事件前期能够通过对安全日志及入侵检测时间的分析发现攻击企图,安全事件发生后可以提供入侵事件记录以进行审计追踪。
边界安全防护关注对进出该边界的数据流进行有效的检测和控制,有效的检测机制包括基于网络的入侵检测(IDs)、对流经边界的信息进行内容过滤,有效的控制措施包括网络访问控制、入侵防护、虚拟专用网(VPN)以及对于远程用户的标识与认证/访问权限控制。上述边界安全防护机制与其它层面安全措施可协同使用以提供对系统的防护。
信息系统边界归为信息外网第三方边界、信息内网第三方边界、信息内外网边界、信息内网纵向上下级单位边界及横向域间边界五类,安全防护设计见表2
(二)网络安全防护
网络环境安全防护的目标是防范恶意人员通过网络对应用系统进行攻击,同时阻止恶意人员对网络设备发动的攻击,在安全事件发生前可以通过集中的日志审计、入侵检测事件分析等手段发现攻击意图,在安全事件发生后可以通过集中的事件审计系统及入侵检测系统进行事件跟踪、事件源定位以发现恶意人员位置或及时制定相应的安全策略防止事件再次发生。
网络安全防护面向企业整体支撑性网络,以及为各安全域提供网络支撑平台的网络环境设施,网络环境具体包括网络中提供连接的路由器、交换设备及安全防护体系建设所引入的安全设备。安全防护设计见表3。
(三)主机安全防护
主机系统安全的目标是确保业务数据在进入、离开或驻留服务器时保持可用性、完整性和保密性,采用相应的身份认证、访问控制等手段阻止未授权访问,采用主机防火墙、入侵检测等技术确保主机系统的安全,进行事件日志审核以发现入侵企图,在安全事件发生后通过对事件日志的分析进行审计追踪,确认事件对主机的影响以进行后续处理。
主机系统安全防护包括对服务器及桌面终端的安全防护。服务器包括业务应用服务器、网络服务器、WEB服务器、文件与通信等;桌面终端是作为终端用户工作站的台式机与笔记本计算机。安全防护设计见表4。
(四)应用防护
应用安全防护的目标是保证应用系统自身的安全性,以及与其他系统进行数据交互时所传输数据的安全性;在安全事件发生前发现入侵企图或在安全事件发生后进行审计追踪。
应用安全防护包括对于应用系统本身的防护、用户接口安全防护和对于系统间数据接口的安全防护。安全防护设计见表5。
安全防护实施
信息系统安全等级保护实施涉及到系统定级、现状测评、安全建设改造方案编写及实施、等保符合度测评、备案等工作。依据《信息安全技术一信息系统安全等级保护定级指南》(GB/T22240-2008)开展定级工作,定级结果报政府主管部门审批确认。现状测评委托专业机构进行,测评结果作为安全建设方案编写的主要依据。安全域是安全防护总体架构的关键环节,是方案制定的关键内容之一。
管理信息大区划分为内网和外网,内网部署为公司内部员工服务的系统,外网部署对外服务的系统。安全域是由一组具有相同安全保障要求、并相互信任的系统组成的逻辑区域,同一安全域的系统共享相同的安全保障策略。按照等级保护的思想,安全域按照“二级系统统一成域,三级系统独立分域”原则划分。将等级保护较高的三级系统按独立的安全域进行安全防护,以实现三级系统的独立安全防护,将所有二级系统作为一个安全域进行安全防护可降低成本。定级和安全域划分见表6。
限于篇幅,系统建设改造方案细节、等保符合度测评等内容不在此赘述。
篇5:信息系统安全保护等级
(起草参考实例)
一、支付通网上支付服务系统描述
(一)该中间业务于*年*月*日由*省邮政局科技立项,省邮政信息技术局自主研发。目前该系统由技术局运行维护部负责运行维护。省邮政局是该信息系统业务的主管部门,省邮政局委托技术局为该信息系统定级的责任单位。
(二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对邮储金融中间业务信息进行采集、加工、存储、传输、检索等处理的人机系统。整个网络分为两部分,(图略),第一部分为省数据中心,第二部分为市局局域网。
在省数据中心的核心设备部署了华为的S**三层交换机,……
在省数据中心的网络中配置了两台与外部网络互联的边界设备:天融信 NGFW 4**防火墙和Cisco 2**路由器……
省数据中心网络中剩下的一部分就是与下面各个地市的互联。其中主要设备部署的是……整个省数据中心网络中的所有设备系统都按照统一的设备管理策略,只能现场配置,不可远程拨号登录。
整个信息系统的网络系统边界设备可定为NGFW 4** 与 Cisco 2**。Cisco 2** 外联的其它系统都划分为外部网络部分,而
NGFW 4** 以内的部分包括与各地市互联的部分都可归为中心的内部网络,与中间业务系统相关的省数据中心网络边界部分和内部网络部分都是等级保护定级的范围和对象。在此次定级过程中,将各市的网络和数据中心连同省中心统一作为一个定级对象加以考虑,统一进行定级、备案。各市的网络和数据中心还要作为整个系统的分系统分别进行定级、备案。
(三)该支付服务系统业务主要包含:网络表够电、IC卡购电、抄表购电等便民缴费服务。用户不必受网点营业时间限制,足不出户在线完成各类行业IC卡的充值及信用卡还款、手机充值、游戏点卡、航空客票购买等增值服务。支付宝账号充值和订单支付服务。为银行和银行卡用户提供服务通道,借助支付通平台和支付通终端提供的通路,银行卡用户可在线办理银行卡余额查询、转账等银行卡业务。信息订阅:针对支付通平台用户提供各类信息订阅,为用户提供合作商户及支付通的各类优惠打折信息订阅,主要是通过手机短信或彩信、网页显示方式推送给用户。支付宝账号充值和订单支付服务。后续还会有诸如歌华宽带、速通卡业务、各类手机账单缴费业务、账单支付业务等。
涵盖了网上购物、保险、教育、旅游、交通等行业的电子商务业务的网络支付服务。系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。其中:通过网络与第三方机构的连接,均采用约定好的报文格式进行通讯,业务处理流程实时完
成。
业务处理系统以省集中结构模式,负责各类中间业务的业务处理,包括与第三方实时连接、接口协议转换、非实时批量数据的采集、业务处理逻辑的实现、与会计核算系统的连接等。
二、X省邮政金融网中间业务系统安全保护等级的确定
(一)业务信息安全保护等级的确定
1、业务信息描述
金融网中间业务信息包括:代收费情况信息,缴费公民、法人和其他组织的的个人(单位)信息,欠费情况,以及代收费的银行、电信、燃气、税务、保险等部门的信息等。属于公民、法人和其他组织的专有信息。
2、业务信息受到破坏时所侵害客体的确定(侵害的客体包括:1国家安全,2社会秩序和公共利益,3公民、法人和其他组织的合法权益等共三个客体)
该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益。
侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对公民、法人和其他组织的合法权益造成影响和损害,可以表现为:影响正常工作的开展,导致业务能力下降,造成不良影响,引起法律纠纷等。
3、信息受到破坏后对侵害客体的侵害程度(即上述分析的结果的表现程度)
上述结果的程度表现为严重损害,即工作职能收到严重影响,业务能力显著先将,出现较严重的法律问题,较大范围的不良影响等。
4、确定业务信息安全等级
查《定级指南》表2知,业务信息安全保护等级为第二级。
(二)系统服务安全保护等级的确定
1、系统服务描述
该系统属于提供第三方支付服务的系统,其服务范围为全省范围内的普通公民、法人等。
2、系统服务受到破坏时所侵害客体的确定
该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益,同时也侵害社会秩序和公共利益但不损害国家安全。客观方面表现得侵害结果为:1可以对公民、法人和其他组织的合法权益造成侵害(影响正常工作的开展,导致业务能力下降,造成不良影响,引起法律纠纷等);2可以对社会秩序公共利益造成侵害(造成社会不良影响,引起公共利益的损害等)。根据《定级指南》的要求,出现上述两个侵害客体时,优先考虑社会秩序和公共利益,另外一个不做考虑。
3、信息受到破坏后对侵害客体的侵害程度(即上述分析的结
果的表现程度)
上述结果的程度表现为:对社会秩序和公共利益造成严重损害,即会出现较大范围的社会不良影响和较大程度的公共利益的损害等。
4、确定系统服务安全等级
查《定级指南》表3知,由于侵害的客体有两个,侵害的程度也有两个,则业务信息安全保护等级为第二级。
(三)安全保护等级的确定
篇6:信息系统安全保护等级
医院信息系统是医疗服务的重要支撑体系。为贯彻落实国家信息安全等级保护制度,确保我院信息系统安全可靠运行,根据《湖北省卫生厅湖北省公安厅关于开展全省卫生行业信息安全等级保护工作通知》(鄂卫发〔2012〕14号)精神,并结合我院信息系统应用的特点,就相关事项通知如下。
一、组织领导 组长: 副组长: 组员:
领导小组办公室设在XX科,由XX同志兼任主任,XXX等同志负责具体工作。
二、工作任务
1、做好系统定级工作。定级系统包括基础支撑系统,面向患者服务信息系统,内部行政管理信息系统、网络直报系统及门户网站,定级方法由市卫生局统一与市公安局等信息安全相关部门协商。
2、做好系统备案工作。按照市卫生系统信息安全等级保护划分定级要求,对信息系统进行定级后,将本单位《信息系统安全等级保护备案表》《信息系统定级报告》和备案电子数据报卫生局,由卫生局报属地公安机关办理备案手续。
3、做好系统等级测评工作。完成定级备案后,选择市卫生局推荐的等级测评机构,对已确定安全保护等级信息系统,按照国家信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等国家标准开展等级测评,信息系统测评后,及时将测评机构出具的《信息系统等级测评报告》向属地公安机关报备。
4、完善等级保护体系建设做好整改工作。按照测评报告评测结果,对照《信息系统安全等级保护基本要求》等有关标准,组织开展等级保护安全建设整改工作,具体要求如下: 安全类别
控制项
主要安全措施
二级保护措施
三级保护措施
物理安全
物理访问控制
机房安排专人负责,来访人员须审批和陪同
√
√
重要区域配置门禁系统
√
防盗窃和防破坏
暴露在公共场所的网络设备须具备安全保护措施
√
√
主机房安装监控报警系统
√
防雷击
机房计算机系统接地符合GB 50057-1994《建筑物防雷设计规范》中的计算机机房防雷要求
√
√
机房电源、网络信号线、重要设备安装有资质的防雷装置
√
防火
机房设置灭火设备和火灾自动报警系统
√
√
机房配置自动灭火装置
√
电力供应
机房及关键设备应配置UPS备用电力供应
√
√
医院重要科室应采用双回路电源供电
√
√
环境监控
机房设置温、湿度自动调节设施
√
√
机房设置防水检测和报警设施
√
对机房关键设备和磁介质实施电磁屏蔽
√
网络安全
结构安全
网络应按职能和重要程度不同划分网段
√
√
重要网段之间应采用防火墙进行隔离
√
访问控制
网络边界部署防火墙或网闸
√
√
安全审计
网络日志审计、网络运维管理安全审计
√
√
边界完整性检查
采用准入控制系统,实现准入控制、非法外联检查
√
√
采用准入控制系统,实现准入控制及非法外联可阻断
√
入侵防范
入侵检测系统/入侵防御系统
√
√
恶意代码防范
防病毒网关
√
主机安全
入侵防范
采用服务器安全加固
√
√
安全审计
采用终端管理系统实现安全审计
√
√
恶意代码防范
防病毒软件
√
√
应用安全
身份鉴别
采用电子认证措施
√
√
安全审计
数据库安全审计系统
√
√
数据安全与备份恢复
备份和恢复
本地数据备份与恢复
√
√
硬件冗余
关键网络设备、线路和服务器硬件冗余 √
√
异地备份
异地数据备份
√
三、工作要求
1、切实加强组织领导。拟定实施医院信息系统安全等级保护的具体方案,并制定相应的岗位责任制,召开专题会议,确保信息安全等级保护工作顺利实施。
2、建立健全信息系统安全管理制度。根据信息安全等级保护的要求,制定各项信息系统安全管理制度,对安全管理人员或操作人员执行的重要管理操作建立操作规程和执行记录文档。
篇7:信息系统安全保护等级
1、《信息系统安全保护等级备案等级表》(按照模板填写);
2、信息系统安全保护等级自定级报告(一个系统一份定级报告);
3、本单位信息系统安全组织建立情况:
4、本单位信息系统基本应用情况;
5、本单位信息系统使用的主要设备、操作系统、数据库、防病毒软件以及网络拓扑图;
篇8:信息系统安全等级保护实践与思考
关键词:定级,备案,等级测评,安全整改
1引言
信息安全等级保护制度是我国信息安全保障的一项基本制度, 早在1994年, 国务院就颁布了《中华人民共和国计算机信息系统安全保护条例》 (国务院令第147号) , 明确规定计算机信息系统实行安全等级保护, 之后国家又陆续颁布了《关于信息安全等级保护工作的实施意见》 (公通字[2004]66号) 、《信息安全等级保护管理办法》 (公通字[2007]43号) 、《关于开展全国重要信息系统安全等级保护定级工作的通知》 (公信安[2007]861号) 、《关于开展信息安全等级保护安全建设整改工作的指导意见》 (公信安[2009]1429号) 等政策文件, 为开展信息系统安全等级保护工作提供了标准和规范。
2014年, 湖北省国土资源厅开展了信息系统安全等级保护工作, 对电子政务系统、矿业权交易系统和门户网站系统等三个主要信息系统完成了定级备案和测评整改工作, 三个信息系统均通过三级测评, 获得了公安部门颁发的备案证明。本文将以湖北省国土资源厅电子政务系统实施信息安全等级保护过程为例, 介绍信息系统安全等级保护工作的实施方法和工作流程。
2信息系统安全等级保护实施方法和工作流程
2.1系统定级
2.1.1系统定级方法
定级是信息系统实施信息安全等级保护工作的首要环节, 也是等级测评和安全整改等后续工作的基础。根据国家信息安全等级保护标准, 信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级较高者决定。业务信息安全是指系统内信息的完整性、保密性和可用性;系统服务安全是指系统能不能及时、有效地提供服务, 能不能完成预定的业务目标, 是否会出现系统瘫痪、拒绝服务等现象, 两者安全等级都是由定级对象受到破坏时所侵害客体以及对客体造成的侵害程度这两个要素决定。
定级对象受到破坏时所侵害客体包括国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益。从这个定义中, 我们可以看出侵害客体是有高低之分的, 在实际定级过程中, 我们可以按照从高到低的顺序依次进行判断, 首先判断是否侵害国家安全, 其次判断是否侵害社会秩序和公共利益, 最后判断是否侵害公民、法人和其他组织的合法权益。
在确定所侵害客体后, 就要对可能造成的危害后果进行分析, 确定系统定级的第二个要素侵害程度。一般来说, 系统受到破坏, 可能造成的危害后果主要包括影响行使工作职能、导致业务能力下降、引起法律纠纷、导致财产损失、造成社会不良影响、对其他组织和个人造成损失等。在GB/T22240 2008《信息安全技术信息系统安全等级保护定级指南》中根据这些危害后果的严重性, 将对客体的侵害程度分为一般损害、严重损害和特别严重损害三种类型, 并对每种类型的标准给出了具体描述。在实际定级过程中, 我们可以对实际的危害后果进行分析, 根据定级指南中所给出的标准, 确定侵害程度的类型。
在两个要素都确定后, 就可以根据表1安全保护等级矩阵表, 确定业务信息安全和系统服务安全的等级, 进而确定信息系统的安全等级。
2.1.2系统定级工作建议
系统的安全等级不同, 等级测评的内容也不相同, 因此定级是否准确直接关系到后期能否通过测评, 顺利拿到公安部门颁发的备案证明。结合湖北省国土资源厅的实践经验, 建议在实际定级工作中, 按照“自主定级、专家评审”的原则, 先根据上述系统定级方法, 自主确定系统的安全等级, 然后组织专家进行评审, 从而避免定级不准确, 给后续工作带来不良影响。
2.2系统备案
在系统安全保护等级确定后30日内, 就要到公安机关进行备案, 备案时需要提交《信息系统安全等级保护备案表》及其电子文档。对于二级以上信息系统, 备案时需提交《信息系统安全等级保护备案表》中的表一、二、三, 在系统测评整改工作完成后30日内提交表四及其有关资料。公安机关接收全部备案材料后, 会对其进行审核。对于定级准确、材料齐全的, 公安机关会出具《信息系统安全等级保护备案证明》。
2.3系统等级测评
信息系统等级测评是信息安全等级保护工作的重要环节之一, 它是通过信息安全等级测评机构, 定期对系统进行测评, 以确保信息系统的安全保护措施符合相应等级的安全要求。根据《信息安全等级保护管理办法》规定, 三级及以上信息系统应每年开展一次测评。
2.3.1等级测评内容
信息系统等级测评内容涉及安全技术和安全管理两大类别, 主要包括物理安全、网络安全、主机安全、应用安全、数据安全与备份恢复、安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等10个测评单元。每个测评单元根据系统的安全等级不同, 包含不同的测评功能项。
2.3.2等级测评工作流程
等级测评过程分为测评准备、编制方案、现场测评和测评综合分析等四个阶段。
(1) 测评准备阶段。
本阶段是整个测评工作的基础, 其工作是否充分直接关系到后续工作能否顺利开展, 主要任务是掌握被测系统的详细情况, 准备测评工具, 为编制测评方案做好准备。
(2) 编制方案阶段
本阶段是测评工作的关键环节, 其主要任务是确定与被测系统相适应的测评对象、测评指标和测评内容等, 形成测评方案。
(3) 现场测评阶段
本阶段是测评工作的核心环节, 其主要任务是按照测评方案, 分步实施所有测评项目, 以了解系统的真实安全状况, 发现系统存在的安全隐患。测评方法主要有人员访谈、现场检查、工具测试等。
(4) 测评综合分析阶段
本阶段是测评工作最后一个环节, 其主要任务是根据现场测评结果, 找出系统的安全现状与相应等级保护要求之间的差距, 并分析这些差距可能导致被测系统面临的风险, 从而给出等级测评结论, 形成等级测评报告。测评结论分为不符合、基本符合、符合三种, 其中基本符合与符合表示通过测评。
2.3.3等级测评工作建议
等级测评是后续整改工作的基础, 结合湖北省国土资源厅的实践经验, 建议在实际测评过程中, 将测评工作分为初次测评和二次测评两个阶段, 初次测评, 也叫差距测评, 在整改工作之前完成, 其目的主要在于根据系统确定的安全等级, 查找系统现有安全措施与等级保护基本要求之间的差距, 明确后续安全整改的重点;二次测评在安全整改完成后进行, 其目的主要是检验整改工作的成效。如果经二次测评, 系统安全状况还没有达到等级保护基本要求, 就需要进一步整改, 并进行多次测评, 直至达到等级保护基本要求, 获得系统等级测评报告。
2.4安全整改
在等级测评工作完成后, 就进入安全整改阶段, 根据测评发现的问题逐项整改, 以达到等级保护基本要求。在整改时应该按照管理安全和技术安全两个层面分别进行整改。针对管理安全方面的问题, 应该通过编写和完善管理文档资料进行整改, 以满足基本要求。针对技术安全方面的问题, 应该仔细分析, 区分哪些是可以通过修改配置策略等技术手段进行修复的, 哪些是需要通过部署安全产品才能解决的, 然后有针对性地采取不同方法进行整改, 对于有多种方法可以解决的问题, 应该遵循低成本, 低风险的原则选择最佳解决途径。
信息系统等级测评后需要整改的问题往往会有很多, 对被测单位而言, 可能会面临时间紧、任务重、成本高的问题, 为此建议在实际整改过程中可以按照问题的重要程度, 以及先易后难的原则分步进行, 优先解决可能对系统带来高风险的问题, 以及短期内比较容易解决的问题, 然后再逐步解决其他问题。一般来说, 信息系统安全整改工作分为五个步骤进行。第一步, 根据测评情况, 制定安全整改工作计划, 对整个整改工作进行总体部署;第二步, 结合测评情况, 对信息系统安全保护现状进行分析, 从技术安全和管理安全两个层面确定整改需求;第三步, 制定安全整改方案;第四步, 根据整改方案进行整改;第五步, 开展系统二次测评, 找出系统中仍然存在的安全隐患和威胁, 进一步整改, 以达到安全保护等级的基本要求。
3湖北省国土资源厅电子政务系统信息安全等级保护实践案例
3.1系统概述
湖北省国土资源厅电子政务系统是湖北省国土资源厅的核心信息系统, 部署在国土资源主干网, 实现了与互联网严格物理隔离。该系统是全厅的主要办公平台, 目前全厅日常公文办理, 以及建设用地、矿业权、土地开发整理等主要业务审批均通过该系统完成。
3.2定级备案
湖北省国土资源厅电子政务系统承担了全厅主要业务审批功能, 其业务信息包括全省建设用地、矿业权和土地开发整理等重要业务数据, 显然一旦这些数据被泄露或者被篡改, 将会对全省建设用地、矿业权这些社会公共资源的分配造成严重影响, 进而严重损害社会公共的利益, 因此本案例所侵害客体应该是社会秩序和公共利益这一类, 而侵害程度显然是严重影响, 根据业务信息安全等级确定的原则, 应该确定为第三级。
另一方面, 由于该系统是全厅的主要办公平台, 面向全厅所有工作人员, 一旦系统服务受到破坏, 全厅日常工作必然无法开展。而湖北省国土资源厅作为国家机关, 工作职能就是承担社会管理和公共服务, 从这点上分析, 系统服务受到破坏就会影响国家机关社会管理和公共服务的工作秩序, 因此本案例所侵害客体是社会秩序和公共利益这一类, 侵害程度显然也应该属于严重影响, 根据系统服务安全等级确定的原则, 也应该确定为第三级。
根据信息系统的安全保护等级由业务信息安全保护等级和系统服务安全等级较高者决定的原则, 最终确定湖北省国土资源厅电子政务系统安全保护等级为第三级。
3.3等级测评
在确定系统安全等级后, 湖北省国土资源厅通过政府公开采购, 委托测评机构按照《GB/T 28448-2012信息安全技术信息系统安全等级保护测评要求》标准, 从安全技术和安全管理两大类10个层面, 共计73个测评功能项, 713个基本要求项, 对电子政务系统的安全状况进行了全面测评和综合评估。检查内容涵盖全部安全产品、操作系统、数据库, 对各类网络产品及主机服务器, 采用了抽查的方法, 并兼顾类别与数量, 各类管理文档约10余个, 访谈人员约10余次, 最终形成了《湖北省国土资源厅电子政务系统信息安全等级测评报告及整改建议》。根据测评报告, 湖北省国土资源厅电子政务系统现有安全状况不符合信息系统安全等级保护三级的基本要求, 需要整改。
3.4安全整改及二次测评
根据测评结构的测评报告及整改建议, 湖北省国土资源厅电子政务系统需要整改595项内容, 覆盖安全技术和安全管理共10个方面。鉴于整改任务重, 而经费又有限的实际情况, 湖北省国土资源厅根据专家的建议, 制定了分步整改的计划, 2014年优先整改管理安全方面的问题和技术安全方面可能对系统带来高风险的问题, 其余问题再逐步进行整改。根据这个思路, 湖北省国土资源厅2014年完成了安全管理方面的问题整改, 以及通过配置安全策略、修复系统漏洞、安装安全补丁等技术手段和部署防火墙、入侵防御系统、网络审计系统等安全防护设备, 对技术安全方面可能对系统带来高风险的问题进行了整改。在整改完成后, 湖北省国土资源厅又委托测评机构开展了二次测评, 经过测评, 全部713个基本要求项中260项符合, 222项不适用, 231项不符合, 符合率36%, 不符合率33%。经过分析, 测评项目组认为湖北省国土资源厅电子政务系统经过整改, 安全状况明显改善, 测评结果中尽管还存在一些部分不符合或者不符合项, 但是不会导致信息系统面临高等级的安全风险, 其安全保护能力基本符合等级保护三级的基本要求。
4结束语
信息安全等级保护已成为我国信息安全保障领域的一项基本国策, 实施信息安全等级保护, 能够有效提高信息系统的整体安全水平。本文对信息系统安全等级保护工作的整体过程进行了详细介绍, 并结合实际工作开展给出了具体的建议, 相信对于其他行业开展信息系统安全等级保护工作也具有重要的借鉴意义。
参考文献
[1]信息安全等级保护管理办法[S].公通字[2007]43号, 2007.
相关文章:
信息安全等级保护服务01-11
信息安全岗位要求01-11
信息安全等级保护问题01-11
信息系统安全等级自查01-11
信息安全等级测评报告01-11
信息系统等级保护解读01-11
用告诫造句01-11
电力信息通信工程中网络技术应用01-11
虚拟专用网络技术网络信息论文01-11
工业控制防护网络信息论文01-11