信息系统等级保护汇报(精选8篇)
篇1:信息系统等级保护汇报
2009年信息安全等级保护工作汇报
2010年1月20日
一、加强领导 2009年,根据部里的总体部署,我厅高度重视非涉密重要信息系统的信息安全保护工作。我厅交通信息安全等级保护工作由厅信息安全领导小组负总责,具体工作由厅信息安全领导小组办公室承担,负责厅机关信息系统等级保护工作,并开展对厅直单位的监督指导。根据安排,我厅自2007年以来就开展了信息系统安全等级保护基础调查工作等相关工作,全面开展信息系统安全等级保护,同时通过组织培训等方式,不断提高技术人员的培养,强化信息安全保护能力。
二、完善制度 为了做好信息系统等级保护工作,根据《信息安全等级保护管理办法》(公通字200743号)的要求,结合我省实际,我厅制定并印发了《福建省交通运输厅信息系统等级保护管理制度》,对交通信息系统安全等级保护工作做出了具体的要求,同时在我厅开展的资源整合和服务工程建设中,根据等级保护要求,编制《厅网络安全系统建设方案》,制订了分步实施计划,并开展了数据库审计测试等前期工作。2
三、信息等级安全保护基本情况 目前,厅机关已有办公自动化、门户网站及交通地理信息系统等3个系统完成了等级保护备案和测评工作,并根据测评中心的评估报告进行了整改优化,积极加强信息系统安全环境建设,消除安全管理中的薄弱环节。在物理安全方面,机房安装门禁系统,严格管理机房人员进出,消防设施完善,所有设备通过UPS供电。关键网络设备和服务器做到有主有备,确保在发生物理故障时可以及时更换。
在网络安全方面,我们严格按照内、外网物理隔离的标准建设网络系统,并采用虚拟局域网技术,通过交换机端口的IP绑定,防止非法网络接入;在网络出口以及不同网络互联边界全面部署硬件防火墙,部署日志服务器,记录并留存使用互联网和内部网络地址对应关系;在厅互联网出口部署网络行为管理(智能网关)系统,规范和记录上网行为,合理控制不同应用的网络流量,实现网络带宽动态分配,保障了信息系统正常应用的网络环境。部署入侵防御系统监测、记录网络安全事件。在主机安全方面,终端计算机采用双硬盘及物理隔离卡隔离互联网及政务内网应用,通过部署趋势网络防毒墙网络版,安装360安全卫士等安全软件保障主机系统安全,并且做到系统漏洞补丁及时更新,内网终端全部在政务网注册,重要的应用系统安装了计算机监控与审计系统,实现对主机的USB等外设接口的控制管理,采用KEY用户名密码等方式控制用户登陆行为。对于应用安全,严格做好系统安全测试,配备了专门的漏洞 3 扫描仪定期扫描应用系统漏洞,并按测试结果做好安全修复和加固工作;在网站区,部属入侵防御系统,监测、记录安全事件,及时阻断入侵行为,自部署起已多次成功检测出SQL注入,FTP匿名登录,网站目录遍历,探测主机地址漏洞等。同时还安装网页防篡改系统,保障网站正常运行。在数据安全方面,数据库通过备份系统定期备份,关键数据库服务器采用双机热备份,保证数据库服务器的可用性和高效性,在出现故障时可以快速恢复;数据库的访问按不同用户身份进行严格的权限控制。此外,2009年我厅新建成的福建省卫星定位安全服务等4个系统也
及时向省网安办履行了申请备案和测评手续,具体测评正在实施中。
四、建议 信息系统安全等级保护工作责任重大,技术性强,工作量巨大,我省在该项工作上虽然取得一些进展,但是与部、省要求还有相当的差距,在等级保护意识、宣传力度、技术人才的培养和制度的建立上仍然存在问题。建议部里加强工作指导,通过多种方式的等级保护技术交流和培训,提高交通系统各级单位领导及职工的等级保护意识,进一步推进交通系统的信息系统等级保护工作。
篇2:信息系统等级保护汇报
一、加强领导
2013年,根据扬州市信息安全等级保护办公室的的通知,集团高度重视非涉密重要信息系统的信息安全保护工作。集团安全等级保护工作由集团信息安全领导小组负责,具体工作由网络技术部和扬州网等部门承担,负责集团信息系统等级保护工作,并开展对集团所属单位的监督指导。根据安排,集团自2011年以来就开展了信息系统安全等级保护基础调查工作等相关工作,全面开展信息系统安全等级保护,同时通过组织培训等方式,不断加强技术人员的培养,强化信息安全保护能力。
二、完善制度
为贯彻落实全市加强和改进互联网建设与管理工作会议和市委办公室、市政府办公室《扬州市深入推进信息安全等级保护工作的实施意见》(扬办发[2012]57号)文件精神,对集团信息系统安全等级保护工作做出了具体的要求,根据等级保护要求,开展了信息安全制度的前期完善工作。陆续制定了“增加扬州网一些网站新闻发布审核的制度”、《外部人员访问机房审批管理制度》、《中心机房管理办法》、《机房消防安全管理制度》等制度。
三、信息等级安全保护基本情况
目前,集团已有扬州网、扬州晚报网、扬州汽车网、艺术在线网和多个内部信息系统根据等级保护的要求进行了整改优化,积极加强信息系统安全环境建设,消除安全管理中的薄弱环节。在物理安全方面,机房安装门禁系统,严格管理机房人员进出,消防设施完善,所有设备通过UPS供电。关键网络设备和服务器做到有主有备,确保在发生物理故障时可以及时更换。
在网络安全方面,我们严格按照内、外网物理隔离的标准建设网络系统,并采用虚拟局域网技术,通过交换机端口的IP绑定,防止非法网络接入;在网络出口以及不同网络互联边界全面部署硬件防火墙,部署日志服务器,记录并留存使用互联网和内部网络地址对应关系;
在集团互联网出口部署网络行为管理系统,规范和记录上网行为,合理控制不同应用的网络流量,实现网络带宽动态分配,保障了信息系统正常应用的网络环境。
在主机安全方面,终端计算机采用双硬盘及物理隔离互联网及内网应用,通过部署趋势网络防毒墙网络版,安装联软安全管理软件保障客户机系统安全,并且做到漏洞补丁及时更新,重要的应用系统安装了计算机监控与审计系统,实现对主机的USB等外设接口的控制管理,采用KEY用户名密码等方式控制用户登陆行为。
对于应用安全,严格做好系统安全测试,配备了专门的漏洞 扫描仪定期扫描应用系统漏洞,并按测试结果做好安全修复和加固工
作;在网站区,部属入侵防御系统,监测、记录安全事件,及时阻断入侵行为,自部署起已多次成功检测出SQL注入,FTP匿名登录,网站目录遍历,探测主机地址漏洞等。
在数据安全方面,数据库通过备份系统定期备份,关键数据库服务器采用双机热备份,保证数据库服务器的可用性和高效性,在出现故障时可以快速恢复;数据库的访问按不同用户身份进行严格的权限控制。
四、建议
信息系统安全等级保护工作责任重大,技术性强,工作量巨大,集团在该项工作上虽然取得一些进展,但是与市里要求还有相当的差距,在等级保护意识、宣传力度、技术人才的培养和制度的建立上仍然存在问题。
篇3:信息系统等级保护汇报
信息安全等级保护制度不仅是我国信息安全保障工作的一项基本制度,更是一项事关国家安全及社会稳定的政治任务。2011年12月,卫生部发布《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函[2011]1126号),要求卫生行业“全面开展信息安全等级保护工作”,同时发布《卫生行业信息安全等级保护工作的指导意见》(卫办发[2011]85号),结合卫生行业实际,为规范和指导全国卫生行业信息安全等级保护工作,提供了指导意见。卫生行业实施信息安全等级保护制度工作全面开启。
医院信息系统(HIS)是卫生行业信息系统的重要组成部分。医院医疗工作的正常进行和病人个人隐私信息都与医院信息系统的安全紧密相关,一旦网络瘫痪或数据丢失,将会给医院和病人带来巨大的灾难和难以弥补的损失[1]。医院信息系统必须按照要求,全面实施信息安全等级保护制度,以确保医院信息系统的安全、稳定运行,维护医院和广大患者的切身利益。
1 信息安全等级保护概述
1994年,国务院发布了《中华人民共和国计算机信息系统安全保护条例》(国务院147号令),规定“计算机信息系统实行安全等级保护”。2004年9月,公安部等四部委联合发布《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),明确了信息安全等级保护制度的原则、内容、工作要求、部门分工和实施计划等。2007年6月,《信息安全等级保护管理办法》(公通字[2007]43号)正式出台,为开展信息安全等级保护工作提供了规范保障。
随后,国家相继出台了《计算机信息系统安全保护等级划分准则》、《信息系统安全保护等级定级指南》、《信息系统安全保护等级基本要求》、《信息系统安全等级保护测评要求》等多个国家标准,初步形成了信息安全等级保护标准体系,进一步推进了等级保护工作的开展。
2 医院信息系统概述
按照当前大部分医院的信息系统使用情况,当前的医院信息系统大致可分为以下三类:
(1) 临床服务系统
临床服务系统主要包括门急诊挂号系统、门诊医生工作站、住院病人入出转系统、住院医生工作站、 住院护士工作站、 电子化病历系统、临床检验系统、医学影像系统、手术麻醉管理系统、临床路径管理系统、重症监护系统、体检管理系统等。
(2) 医疗管理系统
医疗管理系统主要包括门急诊收费系统、住院收费系统、护理管理系统、医务管理系统、院感/传染病管理系统、科研教学管理系统、病案管理系统、医疗保险/新农合接口、职业病管理系统接口、食源性疾病上报系统接口等。
(3) 运营管理系统
运营管理系统主要包括人力资源管理系统、财务管理系统、药品管理系统、设备材料管理系统、物资供应管理系统、预算管理系统等。
3 医院信息系统安全等级保护的实施
信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。以国家相关标准为依据,医院信息系统安全等级保护实施过程中要重点遵循以下4个基本原则:
(1) 重点保护原则。根据信息系统的重要程度、业务特点,通过划分不同安全保护等级,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。
(2) 全面防护原则。技术措施与安全产品必要且重要,但管理更重要,信息安全三分在于技术,七分在于管理。在系统安全防护措施设计中,应从技术措施与管理措施两方面全面设计,双管齐下。
(3) 分域防护原则。在对单一系统进行安全防护设计时,应充分考虑其在整个信息系统中的位置,为系统划分单独的安全域或者和其他系统共同划分到一个安全域中[2]。
(4) 动态调整原则。要跟踪信息系统的变化情况,调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应根据信息系统安全保护等级的调整情况,重新实施安全保护[3]。
3.1 定级与备案
信息系统的准确定级十分关键,如果信息系统的定级不科学,那么依据定级结果建设的信息安全体系将事与愿违,甚至可能面临严重安全隐患。信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。信息系统安全保护等级从低到高依次划分为自主保护级、指导保护级、监督保护级、强制保护级、专控保护级5个安全等级。确定信息系统安全保护等级的一般流程如图1所示。
对于医院信息系统的定级,卫生部《卫生行业信息安全等级保护工作的指导意见》(卫办发[2011]85号)中指出“三级甲等医院的核心业务信息系统”的“安全保护等级原则上不低于第三级”。
那么该如何来定义三级甲等医院的“核心业务信息系统”呢?笔者认为,应结合医院业务及信息系统实际情况,从以下指标综合考虑,确定医院核心业务系统:医院平均日门诊量;医院住院床位数;业务系统承载病患个人隐私信息,一旦泄露对社会秩序构成重大影响的;业务中断使医院正常运营蒙受重大经济损失的;其他会对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成重大影响的系统。
例如三级甲等医院的门急诊系统,一旦系统中断将会造成医院业务的中断,使医院蒙受重大经济损失,更重要的是,将会造成大量患者滞留,甚至延误最佳治疗时机,给患者带来重大安全隐患。因此,此系统的安全保护等级原则上应不低于三级。
又如三级甲等医院的电子病历系统,系统承载着大量病人的个人隐私信息,一旦泄露将会对患者本人及社会秩序带来重大影响,因此,其安全保护等级原则上也应不低于三级。
根据规定,医院在确定信息系统安全保护等级后,对定级为二级以上(含二级)的信息系统,应当报管辖范围内公安机关备案。
3.2 安全建设整改
3.2.1 风险评估与差距分析
风险评估是实施等级保护的首要工作,信息系统风险评估的结果将直接决定信息系统安全保护措施的选择。
在实施等级保护时,可综合考虑信息系统的复杂性及成本要求等因素,采取较为灵活的风险评估方式。信息安全风险评估的典型过程主要分为风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认和风险分析六个阶段。通过资产评估、漏洞扫描、审计、网络架构分析、数据流分析等方式,全面分析信息系统的资产现状、主机、数据库、安全设备、网络的弱点、威胁和风险,形成《风险评估报告》。
按照等级保护相应级别的技术和管理安全要求,对信息系统进行安全体系等方面的差距分析,完成《等级保护差距分析报告》。
3.2.2 建设整改方案设计
根据风险评估及差距分析情况,结合医院信息系统安全实际需求和建设目标,通过分级、分域保护的方法,制定完整的安全整改建设方案,在保障核心信息系统业务连续性、医疗病患信息的保密等方面进行重点防护。三级以上(含三级)信息系统的安全整改建设方案,应经过信息安全技术专家委员会论证、评审。
(1) 安全域划分
对大型信息系统进行等级保护,不是对整个系统进行同一等级的保护,而是针对系统内部的不同业务区域进行不同等级的保护。
安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或系统[2]。划分安全域可通过将复杂安全防护问题进行分解的方法来实现不同安全需求系统的差异防护,并能有效防止安全问题扩散。
需要注意的是,安全域的划分不能单纯从安全角度考虑,而是应该以业务角度为主,辅以安全角度,并充分参照现有网络结构和管理现状,才能以较小的代价完成安全域划分和网络梳理,而又能保障其安全性。
(2) 边界安全防护
网络划分安全区域后,在不同信任级别的安全区域之间就形成了网络边界。实施边界安全防护措施,既可以使边界内部免遭外部攻击,也可以遏制内部不法人员跨越边界而向外部实施攻击。一方面,在安全事件发生前,通过收集并分析安全日志以及各种入侵检测事件,能够及早发现攻击企图;另一方面,在安全事件发生后,又可以通过所记录的入侵事件来进行审计追踪。
(3) 备份与恢复
备份与恢复主要包含两方面内容,首先是指数据备份与恢复,另外一方面是关键网络设备、线路以及服务器等硬件设备的冗余。
数据是最重要的系统资源。数据丢失将会使系统无法连续正常工作。数据备份系统应该遵循稳定性、全面性、自动化、高性能、操作简单、实时性等原则。对于核心交换设备、外部接入链路以及系统服务器进行双机、双线的冗余设计,保障从网络结构、硬件配置上满足系统不间断运行的需要[3]。
(4) 身份鉴别
对于三级信息系统应当按照国家法律法规、信息安全等级保护制度等要求,采用电子认证服务,并应当遵循《卫生系统数字证书应用集成规范》进行建设,根据实际需求实现基于数字证书的身份认证、数字签名和验证、数据加密和解密、时间戳应用等各项安全功能。医院应当加强证书管理,应指定专人负责数字证书的管理工作,证书持有人应妥善保管数字证书介质,并对数字证书的行为负责。
在安全方案实施过程中,需根据实际情况适当调整安全措施。
3.3 安全等级测评
等级测评是测评机构依据国家信息安全等级保护制度规定,受有关单位委托,根据《信息安全等级保护测评要求》等标准,从安全技术与安全管理两大项10个方面,对信息系统安全等级保护状况进行全面测试与综合评估的活动。等级测评的实施过程如图2所示。
对于三级信息系统,每年要至少进行一次信息安全等级测评。为提升通过率,可首先选择专业安全公司(如具有国家级、部委级、省市级、区县级多层次的等级保护工作案例的专业安全公司)进行辅助测评,但正式测评必须选择具有等级保护测评资质的合法测评机构进行测评,并出具《测评报告》。
4 安全运维阶段
我们必须认识到的是,实施信息安全等级保护不是一个项目,而应该是一个不断循环的过程。医院应该按照PDCA持续改进的工作机制,在安全预警、安全监控、安全加固、安全审计、应急响应等方面进行持续化保障,更好地确保系统稳定、安全的运行。力求通过整个安全工作的实施,来保证医院信息系统等级保护的建设能够持续的运行,能够使整个系统随着环境的变化达到持续的安全。
5 结 语
医院信息系统承担着医院内各项业务,其安全状况对于人民的身体健康及生命安全、社会秩序及稳定均具有重要意义。本文通过对信息安全等级保护制度的阐述及分析,初步探讨了医院信息系统中信息安全等级保护的实施策略。通过对医院信息系统进行安全等级划分,并按照安全等级保护的要求进行规划、建设、运维、管理和监督,可以有效增强医院信息系统的整体安全性。因此开展安全等级保护建设对医院信息系统具有重要意义。
参考文献
[1]康巨瀛,张文丽.医院信息系统安全的重要性[J].中华现代医院管理杂志,2010,8(1).
[2]蒋明,吴斌.电力营销系统信息安全等级保护的研究与实践[J].电力信息化,2009,7(3).
篇4:信息系统安全等级保护研究与实践
安全防护需求
《信息安全技术一信息系统安全等级保护基本要求》(GB/T22239-2008)明确了基本要求,电网作为重点行业信息安全领域,充分结合自身安全的特殊要求,在对国家标准消化基础上进行深化、扩充,将二级系统技术要求项由79个扩充至134个,三级系统技术要求项由136个扩充至184个,形成了企业信息系统安全等级保护要求,见表1。
安全防护架构与策略
按照纵深防御的思想设计安全防护总体架构,核心内容是“分区、分级、分域”,如图1所示。分区就是按照《电力二次系统安全防护规定》(电监会5号令)将信息系统划分为生产控制大区和管理信息大区两个相对独立区域进行安全防护。分级就是将部署于大区的各系统分别确定安全保护级别实现等级化防护。分域就是将部署于大区的各系统,依据系统级别及业务系统类型划分不同的安全域,实现不同安全域的独立化、差异化防护。总体上形成了“区、级、域”多梯次大纵深的安全防护构架。
生产控制大区和管理信息大区的系统特性不同,安全防护策略也不尽不同。本文仅描述管理信息大区的安全防护策略。管理信息大区部署管理类业务的系统,安全防护遵循以下策略:
(1)双网双机。将管理信息大区网络划分为信息内网和信息外网,内外网间采用逻辑强隔离装置进行隔离,内外网分别采用独立的服务器及桌面主机;
(2)分区分域。将管理信息大区的系统,依据定级情况及业务系统类型,进行安全域划分,以实现不同安全域的独立化、差异化防护;
(3)等级防护。管理信息系统以实现等级保护为基本出发点进行安全防护体系建设,并参照国家等级保护基本要求进行安全防护措施设计;
(4)多层防御。在分域防护的基础上,将各安全域的信息系统划分为边界、网络、主机、应用四个层次进行安全防护设计,以实现层层递进,纵深防御。
安全防护设计
信息系统安全防护按照边界安全防护、网络环境安全防护、主机系统安全防护、应用安全防护四个层次进行防护措施设计。
(一)边界安全防护
边界安全防护目标是使边界的内部不受来自外部的攻击,同时也用于防止恶意的内部人员跨越边界对外实施攻击,或外部人员通过开放接口、隐通道进入内部网络;在发生安全事件前期能够通过对安全日志及入侵检测时间的分析发现攻击企图,安全事件发生后可以提供入侵事件记录以进行审计追踪。
边界安全防护关注对进出该边界的数据流进行有效的检测和控制,有效的检测机制包括基于网络的入侵检测(IDs)、对流经边界的信息进行内容过滤,有效的控制措施包括网络访问控制、入侵防护、虚拟专用网(VPN)以及对于远程用户的标识与认证/访问权限控制。上述边界安全防护机制与其它层面安全措施可协同使用以提供对系统的防护。
信息系统边界归为信息外网第三方边界、信息内网第三方边界、信息内外网边界、信息内网纵向上下级单位边界及横向域间边界五类,安全防护设计见表2
(二)网络安全防护
网络环境安全防护的目标是防范恶意人员通过网络对应用系统进行攻击,同时阻止恶意人员对网络设备发动的攻击,在安全事件发生前可以通过集中的日志审计、入侵检测事件分析等手段发现攻击意图,在安全事件发生后可以通过集中的事件审计系统及入侵检测系统进行事件跟踪、事件源定位以发现恶意人员位置或及时制定相应的安全策略防止事件再次发生。
网络安全防护面向企业整体支撑性网络,以及为各安全域提供网络支撑平台的网络环境设施,网络环境具体包括网络中提供连接的路由器、交换设备及安全防护体系建设所引入的安全设备。安全防护设计见表3。
(三)主机安全防护
主机系统安全的目标是确保业务数据在进入、离开或驻留服务器时保持可用性、完整性和保密性,采用相应的身份认证、访问控制等手段阻止未授权访问,采用主机防火墙、入侵检测等技术确保主机系统的安全,进行事件日志审核以发现入侵企图,在安全事件发生后通过对事件日志的分析进行审计追踪,确认事件对主机的影响以进行后续处理。
主机系统安全防护包括对服务器及桌面终端的安全防护。服务器包括业务应用服务器、网络服务器、WEB服务器、文件与通信等;桌面终端是作为终端用户工作站的台式机与笔记本计算机。安全防护设计见表4。
(四)应用防护
应用安全防护的目标是保证应用系统自身的安全性,以及与其他系统进行数据交互时所传输数据的安全性;在安全事件发生前发现入侵企图或在安全事件发生后进行审计追踪。
应用安全防护包括对于应用系统本身的防护、用户接口安全防护和对于系统间数据接口的安全防护。安全防护设计见表5。
安全防护实施
信息系统安全等级保护实施涉及到系统定级、现状测评、安全建设改造方案编写及实施、等保符合度测评、备案等工作。依据《信息安全技术一信息系统安全等级保护定级指南》(GB/T22240-2008)开展定级工作,定级结果报政府主管部门审批确认。现状测评委托专业机构进行,测评结果作为安全建设方案编写的主要依据。安全域是安全防护总体架构的关键环节,是方案制定的关键内容之一。
管理信息大区划分为内网和外网,内网部署为公司内部员工服务的系统,外网部署对外服务的系统。安全域是由一组具有相同安全保障要求、并相互信任的系统组成的逻辑区域,同一安全域的系统共享相同的安全保障策略。按照等级保护的思想,安全域按照“二级系统统一成域,三级系统独立分域”原则划分。将等级保护较高的三级系统按独立的安全域进行安全防护,以实现三级系统的独立安全防护,将所有二级系统作为一个安全域进行安全防护可降低成本。定级和安全域划分见表6。
限于篇幅,系统建设改造方案细节、等保符合度测评等内容不在此赘述。
篇5:信息系统等级保护汇报
一、项目名称、性质
(一)名称:信息系统安全等级保护备案
(二)性质:非行政许可
二、设定依据
二OO七年六月二十二日公安部、国家保密局、国家密码管理局、国务院信息化工作办公室公通字[2007]43号印发《信息安全等级保护管理办法》第十五条规定:
已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
三、实施权限和实施主体
根据《信息安全等级保护管理办法》第十五条规定,实施主体和权限为: 隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续;
跨省或者全国统一联网运行的信息系统在自治区一级运行、应用的分支系统及各区直单位运营、使用的信息系统,应当向自治区公安厅网络警察总队备案。
跨省或者全国统一联网运行的信息系统在各市运行、应用的分支系统及各市直单位运营、使用的信息系统,应当向市级公安机关网络警察支队备案。
四、行政审批条件
无。
五、实施对象和范围
根据《信息安全等级保护管理办法》第十五条的规定,实施对象和范围是:不涉及国家涉密信息系统的运营使用单位、信息系统主管部门。
六、申请材料
(一)、《信息系统安全等级保护备案表》;
(二)、《信息系统安全等级保护定级报告》;
(三)根据《信息安全等级保护管理办法》第十六条的规定,第三级以上信息系统应当同时提供以下材料:(1)系统拓扑结构及说明;
(2)系统安全组织机构和管理制度;(3)系统安全保护设施设计实施方案或者改建实施方案;(4)系统使用的信息安全产品清单及其认证、销售许可证明;
(5)测评后符合系统安全保护等级的技术检测评估报告;(6)信息系统安全保护等级专家评审意见;
(七)主管部门审核批准信息系统安全保护等级的意见。(提交复印件的应交验原件,复印件规格统一采用A4纸,以上提交材料均为一份)。
七、办结时限
(一)法定办结时限:10个工作日。
(二)承诺办结时限:10个工作日。
八、行政审批数量 无数量限制。
九、收费项目、标准及其依据
不收费。
十、办理时间
夏令时:早上8:30-12:00,下午15:00-18:00
冬令时:早上8:30-12:00,下午14:30-17:30
信息系统安全等级保护备案流程图.doc 附件1.行政审批流程图
2.申请书示范文本
篇6:信息系统等级保护汇报
为进一步做好某单位信息安全等级保护工作工作,提高全辖人民银行系统信息安全保障能力和水平,根据《人民银行长沙中心支行2012年信息安全等级保护工作方案》精神,结合我行实际,组织开展了信息安全等级保护自查工作。通过自查,进一步明确了我行信息安全等级保护工作职责,规范了信息安全等级保护工作标准,完善了信息安全等级保护工作制度,提升了信息安全等级保护工作水平。现将自查情况报告如下:
一、等级保护工作部署和组织实施情况
某单位在上级行的统一领导和部署下,按照《信息安全等级保护管理办法》和《人民银行信息系统信息安全等级保护实施指引(试行)》的要求,组织开展辖内人民银行系统信息安全等级保护工作。一是成立了某单位信息安全等级保护工作领导小组,由主管科技的副行长任组长,各科室主要负责人为成员,全面负责全辖人民银行系统信息安全等级保护工作,领导小组下设办公室,安排专人负责计算机信息系统安全管理,明确了各自的职责。二是建立健全了各项信息安全管理制度,做到了有章可循。三是加强相关工作人员的培训学习,增强信息系统安全工作的自觉性,提高信息系统安全工作管理水平。
二、信息系统安全保护等级备案情况
我行根据《人民银行长沙中心支行2012年信息安全等级保护工作方案》精神,将《郴州中支业务网网络系统》和《郴州中支财库行横向联网系统》信息安全保护等级定为第二级,其他系统定为第一级,并将定为第二级的系统向市公安局网监支队报备。
三、下一步工作计划
目前,某单位信息安全等级保护工作正在不断完善中,今后还需要在以下几个方面不断加强:一是进一步加强信息安全管理力度,督促各支行、各科室加强信息安全等级保护工作;二是加强网络信息安全队伍建设,提高网络管理人员和维护人员的技术水平和安全管理意识;三是进一步完善信息安全管理制度,开展信息系统安全评估和自测评;四是规范和完善安全事件处理流程。
人民银行郴州市中心支行 科技科
篇7:信息系统等级保护汇报
根据国家等级保护有关要求,省级政府门户网站系统的信息安全保护等级应定为三级,建立符合三级等级保护相关要求的安全防护措施,能够形成在同一安全策略的指导下,网站系统应建立综合的控制措施,形成防护、检测、响应和恢复的保障体系。通过采用信息安全风险分析和等级保护差距分析,形成网站系统的安全需求,从而建立有针对性的安全保障体系框架和安全防护措施。
网站系统安全需求
根据网站系统的应用情况,针对网站系统的安全需求可以从系统业务流程、软件、数据、网络和物理几个方面进行综合分析,具体需求如下:
1、业务流程安全需求
针对网站类业务重点需要关注发布信息的准确性,采集分析和汇总信息的可控性,以及服务平台的可用性,系统可能面临的威胁包括网络攻击、越权、滥用、篡改、抗抵赖和物理攻击,应加强对于这些威胁的对抗和防护能力,通过严格控制业务流程中的各个环节,包括信息采集、分析、汇总、发布等过程中的人员访问身份、访问控制、审批审核等需求,同时要加强系统自身的完整性保护和抗抵赖机制的实现。
2、软件安全需求
网站系统软件架构一般包括接入层、展现层、应用层、基础应用支撑层、信息资源层和基础支撑运行环境等几个层面,由于几个层面涉及的主要功能和软件实现存在一定的差异性,因此要通过分析不同层次可能面临的威胁。接入层是目标用户和接入媒介共同构建而成,针对业务系统此层面是一个访问入口,从安全需求方面应当减少入口对于系统的攻击可能性,对于指定的接入和入口可以通过建立可信机制进行保护,对于非指定的接口可以通过控制权限进行防护;展现层是系统内容的展示区域,要确保系统展示信息的完整性,降低被篡改的风险;应用层是对数据信息进行处理的核心部分,应加强系统自身的安全性和软件编码的安全性,减少系统自身的脆弱性;基础应用支撑层主要包括通用组件、用户管理、目录服务和交换组件等通用应用服务,该层次重点是确保系统组件自身的安全性,同时要加强与应用之间接口的安全性;信息资源层是由业务数据库和平台数据库共同构成,此层次重点的安全在于数据库安全;基础支撑运行环境层,支撑应用系统运行的操作系统、网络基础设施和安全防护等共同构筑成基础支撑运行环境,该层次面临的主要威胁包括物理攻击、网络攻击、软硬件故障、管理不到位、恶意代码等多类型威胁,应加强资产的综合管理。
3、数据安全需求
网站系统的数据主要包括互联网读取、录入、管理、审核的数据信息,以及前台的交互信息和后台的数据交换信息,针对这些信息各个环节中的访问关系不同,信息的敏感和重要程度不同,可能面临威胁也存在一定的差异性,其中读取过程要结合信息的敏感和重要程度进行访问控制,降低越权、滥用等威胁的发生;录入关注信息自身的完整性和合法性,注意防止恶意代码和木马对系统造成的攻击;管理和审核涉及信息系统的关键性信息,所以基本属于系统中的敏感信息或关键流程管理,加强人员的安全管理;交互和数据交换要通过系统自身的安全防护机制,抵抗网络攻击和加强抗抵赖机制。
4、网络和物理安全需求
网络层面重点在于设计合理的网络架构,部署冗余的网络设备,形成可以建立不同安全策略的安全域,从而确保网站系统能够正常稳定运行。
物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。具体包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面的需求,应确保机房的建设符合国家相关要求。
5、IT资产安全需求
IT资产重点关注资产本身的漏洞风险,同时根据资产类型的不同,可以区分成硬件资产、软件资产,其中硬件资产可能面临的关键威胁是软硬件故障、物理攻击等;软件资产可能面临的威胁包括篡改、泄密、网络攻击、恶意代码和抗抵赖。
6、综合安全需求
通过对各个方面综合的安全风险和需求分析,网站系统相关的业务、软件、数据、网络和相关IT资产,由于其应用类型、环境等因素导致主要威胁分布在网络攻击、篡改、物理攻击、恶意代码、越权、滥用和抗抵赖等几个方面,由于其威胁发生的可能性较高,威胁利用后影响较大,导致其安全风险较高,因此应形成对抗这些威胁的必要的安全措施,加强对系统自身的安全性。同时结合信息安全等级保护基本要求的相关技术和管理控制点,进一步完善物理安全、网络安全、主机安全、应用安全和数据安全的相关控制措施,并要能够落实组织、制度、人员、建设和运维相关的管理要求。
网站系统安全方案设计
根据对网站系统安全需求的分析,对于网站系统的安全防护主要从以下两个方面进行设计,一方面是系统的安全保护对象,合理分析系统的安全计算环境、区域边界和通信网络,形成清晰的保护框架;另一方面还是要建立综合的安全保障体系框架,形成对网站系统综合的控制措施架构,同时加强网站系统可能面临威胁的各项防护机制。
1、安全保护对象
根据网站系统的IT资产和业务功能,网站系统的安全保护对象和防护等级如下表所示:
安全计算环境:重点落实等级保护基本要求的主机、应用、数据部分的安全控制项,结合安全设计技术要求中的主要防护内容包括用户身份鉴别、主机和应用访问控制、系统安全审计、用户数据完整性保护、用户数据保密性保护、主机入侵、防病毒等措施; 安全区域边界:重点落实等级保护基本要求的网络部分的安全控制项,结合安全设计技术要求中的主要防护内容包括边界访问控制、网络安全审计和完整性保护等;
安全通信网络:重点落实等级保护基本要求的网络和数据部分的安全控制项,结合安全设计技术要求中的主要防护内容包括通信网络安全审计、通信网络数据传输保密性保护、数据传输完整性保护和可信接入保护。
2、安全保障框架
结合等级保护基本要求的整体框架以及安全需求分析的成果,设计安全保障框架如下:
图1:安全保护体系框架
结合网站系同自身的安全需求,应加强对于网站系统的安全风险评估,同时建立配套的安全管理体系和安全技术体系,其中安全管理体系包括安全策略、安全组织和安全运作的相关控制管理;安全技术体系结合等级保护的物理、网络、主机、应用和数据安全,进一步加强系统的软件架构安全、业务流程安全和信息访问安全的控制,确保系统自身的防病毒、防篡改、方攻击能力的提升。
结合网站系统的具体实施,具体的措施部署和网络示意图如下所示:
篇8:电力系统信息安全等级保护研究
关键词:信息安全,等级保护,安全域
1 基本原理
《信息安全等级保护管理办法》对信息安全等级保护做出了系统的描述——“信息化发展的不同阶段和不同的信息系统有着不同的安全需求, 必须从实际出发, 综合平衡安全成本和风险, 优化信息安全资源的配置, 确保重点。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。”
信息安全等级保护是根据信息系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度, 将其划分成不同的安全保护等级, 采取相应的安全保护措施, 以保障信息和信息系统的安全。信息系统与安全保护措施级别划分关系如图1所示。
电力系统属于国家的关键基础设施, 电力信息系统是涉及国家安全和社会稳定的重要信息系统, 需要得到重点保护。
根据《关于信息安全等级保护工作的实施意见》对信息系统安全等级的划分要求, 系统安全等级共分为五级, 从第一级到第五级, 安全等级逐级升高, 五级是系统的最高安全等级。五个等级的基本描述如下:
第一级为自主保护级, 适用于一般的信息系统, 其受到破坏后, 会对公民、法人和其他组织的合法权益产生损害, 但不损害国家安全、社会秩序和公共利益。
第二级为指导保护级, 适用于一般的信息系统, 其受到破坏后, 会对社会秩序和公共利益造成轻微损害, 但不损害国家安全。
第三级为监督保护级, 适用于涉及国家安全、社会秩序和公共利益的重要信息系统, 其受到破坏后, 会对国家安全、社会秩序和公共利益造成损害。
第四级为强制保护级, 适用于涉及国家安全、社会秩序和公共利益的重要信息系统, 其受到破坏后, 会对国家安全、社会秩序和公共利益造成严重损害。
第五级为专控保护级, 适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统, 其受到破坏后, 会对国家安全、社会秩序和公共利益造成特别严重损害。
2 设计方法
等级保护是国家信息安全的一项基本制度, 但如何落实并在电力系统中实现呢?这里提出构建电力等级化安全体系的思路。
等级保护的核心是根据不同用户在不同阶段的需求、业务特性及应用重点, 确定不同系统的重要程度, 并给予重点保护。在电力安全等级保护体系设计中利用等级化与体系化相结合的安全体系设计方法, 在遵循国家等级保护制度的同时, 将安全等级保护思想融汇到产品、方案及应用中 (见图2) , 建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。
“等级化”的特质在于符合国家等级保护制度, 能够真正实现重点保护, 节省投资。“体系化”的特质有3个方面:一是整体性, 采用结构化的设计原理, 系统地实现电力系统总体安全目标, 确保内容全面;二是针对性, 体系是根据电力系统业务发展战略目标确定安全目标, 结合实际情况度身定做;三是可持续发展, 体系中设计的框架是相对稳定, 能够确保在一段时间内持续发展, 逐步完善。
在建立和实施等级化安全体系后, 电力系统会建立一套持续运行、涵盖所有安全内容的信息安全保障体系, 这是安全工作追求的最终目标。
3 实施过程
电力行业涉及业务面广, 企业、单位、人员众多, 信息化建设和安全保护措施建设程度参差不齐。如何在行业发展中, 谋求信息系统的安全生产、安全运营、安全管理、安全壮大, 并把有限的资金、人员落实到关键保护对象, 使电力企业能够以安全保发展, 在发展中促安全, 是摆在电力行业面前的一次技术与管理的挑战。
根据电力系统的安全实际情况, 电力系统建立安全等级保护的主要过程包括 (见图3) :
(1) 系统识别与风险评估;
(2) 系统定级;
(3) 等级指标设计;
(4) 安全解决方案域规划设计。
3.1 系统识别与风险评估
系统识别是对信息系统进行定级和安全保护措施的基础, 正确识别系统、了解系统边界、区分系统信息和服务是系统识别过程的主要工作。
风险评估是等级保护的重要组成部分, 等级的确定和安全措施的选择需要通过风险评估考核其必要性和重要性, 在等级保护工作中风险评估可以采用简化或者齐备的方法, 这根据系统复杂性和成本要求综合考虑。
(1) 系统识别。实施等级保护工作首先要求政务机构对其拥有的或拟建的电子政务系统进行深入的识别和描述, 识别和描述的内容至少包括如下信息:
1) 系统基本信息:系统名称、系统的简要描述、所在地点等。
2) 系统相关单位:负责定级的责任单位、系统所属单位、系统运营单位、主管部门、安全运营单位、安全主管部门等。
3) 系统范围和边界:描述系统所涵盖的信息资产范围、使用者和管理者范围、行政区域范围和网络区域范围等, 并清晰描述出其边界。
4) 系统提供的主要功能或服务:从整体层面描述系统所提供的主要功能或服务, 即对公众、企业、相关政府机关、内部用户等提供的主要服务。
5) 系统所包含的主要信息:描述系统所输入、处理、存储、输出的主要信息和数据。
(2) 风险评估。在等级保护实施工作中风险评估工作的处理方式比较灵活, 风险评估的目的在于识别风险进而管理风险, 风险评估主要包括资产评估、弱点评估、威胁评估等。
3.2 系统定级
信息系统的安全等级主要由4个要素决定:
(1) 信息系统所属类型, 即信息系统资产的安全利益主体;
(2) 信息系统主要处理的业务信息类别;
(3) 信息系统服务范围, 包括服务对象和服务网络覆盖范围;
(4) 业务对信息系统的依赖程度。
其中第1、2个要素决定信息系统内信息资产的重要性, 第3、4个要素决定信息系统所提供服务的重要性, 而信息资产及信息系统服务的重要性决定了信息系统的安全等级。
上述定级要素是适用于各行业的通用定级要素, 对不同行业信息系统定级的主观性较大, 不同人员对定级要素的理解不一致, 定级结果容易出现分歧。因此, 针对电力行业信息系统应对定级要素进行细化, 每个定级要素在电力行业中细化为多个类别的具体情形。
对于电力信息系统, 可以在遵循国家定级指南的基础上, 经过业务分析和风险评估, 细化信息系统的定级规则, 确定符合电力业务特点的定级要素和赋值标准, 简化定级过程, 提高定级精度和科学性, 精细化掌控信息系统的安全要求和保障措施。
3.3 等级指标设计
不同级别的信息系统都对应安全目标和安全措施, 也就是等级化的安全指标体系, 安全指标体系从国家层面有一套推荐指标系统, 由于国家级别的指标体系面向所有信息系统, 不能充分考虑行业特性和业务特点, 电力系统应在充分了解业务应用的基础上, 结合风险评估制定符合电力系统特点和要求的指标体系, 提高系统的可操行性。
电力行业等级安全指标体系是各等级系统要达到的安全要求。安全指标体系主要依据以下方面进行设计:
(1) 依据信息系统安全等级保护基本要求, 提供电力信息安全应达到的基本要求;
(2) 通过电力行业信息系统风险评估, 识别电力信息系统的主要安全风险, 进行根据行业特性补充各等级安全要求
通过上述2部分工作, 设计电力行业的安全指标体系, 作为安全建设的基础依据。
3.4 安全解决方案域规划设计
安全解决方案设计的主要依据所建立的安全指标体系, 评估现有安全措施与相应等级安全指标之间的差距, 设计相应的技术解决方案和安全管理策略并实施, 使系统安全水平达到相应等级的安全要求。
在解决方案设计主要描述每项技术控制方案的技术选型、产品选择原则、产品选型建议、部署方案、配置方案和相关的管理策略。
安全策略设计主要包括安全方针和系列安全制度和规范。安全方针的目标是为信息安全管理提供清晰的策略方向, 阐明信息安全建设和管理的重要原则, 阐明信息安全的所需支持和承诺。各类管理规定、管理办法和暂行规定主要规定的安全各个方面所应遵守的原则方法、具体管理规定、管理办法和实施办法,
根据安全指标体系的要求, 以风险评估为基础, 在安全等级保护体系基础上, 结合信息化规划、预算等实际情况, 对用户信息安全等级保护体系的建设和管理提出规划方案, 实现信息安全总体规划、分步实施、重点落实的建设方法。
4 电力行业实施信息安全等级保护制度的原则
电力行业实施信息安全等级保护制度应该遵循以下基本原则:
(1) 明确责任, 共同保护。通过等级保护, 组织和动员电力行业各企业和单位共同参与信息安全保护工作;各方主体按照等级保护的规范和标准分别承担相应的、明确具体的信息安全保护责任。
(2) 依照标准, 自行保护。电力行业和企业和单位应运用国家强制性的规范及标准, 要求信息和信息系统按照相应的建设和管理要求, 自行定级、自行保护。
(3) 同步建设, 动态调整。信息系统在新建、改建、扩建时应当同步建设信息安全设施, 保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因, 安全保护等级需要变更的, 应当根据等级保护的管理规范和技术标准的要求, 重新确定信息系统的安全保护等级。等级保护的管理规范和技术标准应按照等级保护工作开展的实际情况适时修订。
(4) 指导监督, 重点保护。电力行业和企业和单位应通过国家指定信息安全监管职能部门通过备案、指导、检查、督促整改等方式, 对重要信息和信息系统的信息安全保护工作进行指导监督。
5 结语
相关文章:
临沂中医医院信息安全等级保护测评项目01-11
网络信息安全以及后期维护的方法探究——基于大数据时代背景为例01-11
小学生感恩主题班会主持人开场白01-11
电信网和互联网管理安全等级保护要求01-11
信息安全保障等级01-11
物流学院毕业典礼上教师代表发言稿01-11
信息安全等级保护工作01-11
信息安全保护等级认证01-11
信息安全等级保护标准01-11
人民医院信息系统网络安全等级保护整改报告01-11
