时间:2023-06-07 09:11:35
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络信息安全等级保护,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
随着信息化快速发展,网络和信息化应用涉及的领域越来越多,由于系统自身的脆弱性以及外部环境和人为因素综合造成了信息安全事件频发,信息安全成了国家发展的一项重要工作。信息安全等级保护是针对信息及其载体按照重要性进行分级保护的一项工作,等级保护标准是等级保护工作中信息系统分级的主要依据。金融行业作为信息化行业的重要组成部分,其信息系统的安全保障能力和水平关系到国家安全、社会稳定和公共利益。金融行业等级保护标准是由中国人民银行根据国家标准结合金融行业现状而制定。2017年6月1日,《中华人民共和国网络安全法》(以下简称“网络安全法”)开始实施,这是我国第一部全面规范网络空间安全管理方面问题的基础性法律,为信息安全领域工作的开展提供了法律保障。在网络安全法实施的新形势下,为了配合网络安全法的实施,提高等级保护标准的时效性,等级保护标准也在不断地发展和完善。
一、国家等级保护标准
我国的信息安全等级保护工作起步于20世纪90年代,随后相继颁布了多个等级保护标准,具体可分为基础性标准、定级标准、建设标准、测评类标准和管理类标准。基础性标准包括《计算机信息系统安全等级保护划分准则》(GB17859-1999)、《信息系统安全等级保护实施指南》(GB25058-2010)以及《信息安全等级保护管理办法》(公通字[2007]43号)等;定级标准有《信息系统安全等级保护定级指南》(GB/T22240-2008)等;建设标准包括《信息系统安全等级保护基本要求》(GB/T22239-2008)、《信息系统通用安全技术要求》(GB/T20271-2006)以及《信息系统等级保护安全设计技术要求》(GB/T25070-2010)等;测评类标准主要有《信息系统安全等级保护测评要求》(GB/T28448-2012)和《信息系统安全等级保护测评过程指南》(GB/T28449-2012)等;管理类标准主要有《信息系统安全管理要求》(GB/T20269-2006)以及《信息系统安全工程管理要求》(GB/T20282-2006)等。针对单位的普通信息安全工作人员而言,涉及较多的标准主要有定级标准《信息系统安全等级保护定级指南》(GB/T22240-2008)与建设标准《信息系统安全等级保护基本要求》(GB/T22239-2008)等。《信息系统安全等级保护定级指南》主要用于指导信息系统的等级划分和评定,将信息系统安全保护等级划分为5级,定级要素有两个:等级保护对象受到破坏时所侵害的客体以及客体受到侵害程度。定级要素与信息系统安全保护等级的关系见表1。由表1可知,三级及以上系统受到侵害时可能会影响国家安全,而一级、二级系统受到侵害时只会对社会秩序或者个人权益产生影响。在实际系统定级过程中,要从系统的信息安全和服务连续性两个维度分别定级,最后按就高原则给系统进行定级。《信息系统安全等级保护基本要求》是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求,根据实现方式的不同,基本安全要求分为基本技术要求和基本管理要求两大类等级保护基本要求共有10个部分,技术要求和管理要求各占5个部分。其中,技术类安全要求又细分三个类型。信息安全类(S类):为保护数据在存储、传输、处理过程中不被泄露、破坏和免受未授权的修改的信息安全类要求。服务保证类(A类):保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求。通用安全保护类要求(G类):既考虑信息安全类,又考虑服务保障类,最后选择就高原则。
二、金融行业信息安全等级保护标准及必要性分析
1.行业标准金融行业作为信息化行业的一个重要组成部分,金融行业信息系统安全直接关系到国家安全、社会稳定以及公民的利益等。为落实国家对金融行业信息系统信息安全等级保护相关工作要求,加强金融行业信息安全管理和技术风险防范,保障金融行业信息系统信息安全等级保护建设、测评、整改工作顺利开展,中国人民银行针对金融行业的信息安全问题,在2012年了三项行业标准:《金融行业信息系统信息安全等级保护实施指引》、《金融行业信息系统信息安全等级保护测评指南》和《金融行业信息安全等级保护测评服务安全指引》。2.必要性分析网络安全法明确规定国家实行网络安全等级保护制度,开展等级保护工作是满足国家法律法规的合规需求。金融行业开展信息安全等级保护工作的必要性有以下3点。(1)理清安全等级,实现分级保护金融行业各类业务系统众多,系统用途和服务对象差异性大,依据等级保护根据系统可用性和数据重要性开展分级的定级要求,可以有效梳理和分析现有的信息系统,识别出重要的信息系统,将不同系统按照不同重要等级进行分级,按照等级开展适当的安全防护,有效保证了有限资源充分发挥作用。(2)明确保护标准,实现规范保护金融行业信息系统等级保护标准有效解决了金融行业信息系统保护无标准可依的问题。在信息系统全生命周期中注重落实等级保护相关标准和规范要求,在信息系统需求、信息系统建设和信息系统维护阶段参照、依据等级保护的标准和要求,基本实现信息系统安全技术措施的同步规划、同步建设、同步使用,从而保证重要的信息系统能够抵御网络攻击而不造成重大损失或影响。(3)定期开展测评,实现有效保护按照等级保护要求,每年对三级以上信息系统开展测评工作,使得重要信息系统能够对系统的安全性实现定期回顾、有效评估,从整体上有效发现信息系统存在的安全问题。通过每年开展等级保护测评工作,持续优化金融行业重要信息系统安全防护措施,有效提高了重要信息系统的安全保障能力,加强了信息系统的安全管理水平,保障信息系统的安全稳定运行以及对外业务服务的正常开展。
三、网络安全法作用下标准的发展
随着等保制度上升为法律层面、等保的重要性不断增加、等保对象也在扩展以及等保的体系也在不断升级,等级保护的发展已经进入到了2.0时代。为了配合网络安全法的出台和实施,满足行业部门、企事业单位、安全厂商开展云计算、大数据、物联网、移动互联等新技术、新应用环境下等级保护工作需求,公安部网络安全保卫局组织对原有的等保系列标准进行修订,主要从三个方面进行了修订:标准的名称、标准的结构以及标准的内容。1.标准名称的变化为了与网络安全法提出的“网络安全等级保护制度”保持一致性,等级保护标准由原来的“信息系统安全等级”修改为“网络安全等级”。例如:《信息系统安全等级保护基本要求》修改为《网络安全等级保护基本要求》,《信息系统安全等级保护定级指南》修改为《网络安全等级保护定级指南》等。2.标准结构的变化为了适应云计算、物联网、大数据等新技术、新应用情况下网络安全等级保护工作的开展,等级保护基本要求标准、等级保护测评要求标准的结构均由原来的一部分变为六部分组成,分别为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求与大数据安全扩展要求。3.标准内容的变化各级技术要求分类和管理要求的分类都发生了变化。其中,技术要求“从面到点”提出安全要求,对机房设施、通信网络、业务应用等提出了要求;管理要求“从元素到活动”,提出了管理必不可少的制度、机构和人员三要素,同时也提出了建设过程和运维过程中的安全活动要求。
四、展望
随着信息化的快速发展,信息系统安全直接关系到个人权益、社会秩序以及国家安全。纵深防御原则、态势感知平台以及等级保护是有效地保障信息系统安全的三大重要手段,等级保护作为信息系统安全保护工作的重要手段之一,对保护信息系统安全起到了至关重要的作用。在网络安全法正式实施的新形势下,等级保护工作也将出现如下发展趋势。1.保证合法合规以网络安全法为依据,等级保护标准也会及时更新,变得更为合理,等级保护工作将有法可依、有规可循,从而保证等级保护工作合法合规。2.更加全面高效随着网络安全法的实施,等级保护标准也会发展得更加全面,涉及面也会更广(包括云计算、物联网、大数据等),这将大大减少等级保护工作中的知识盲区和领域盲区,使等保工作开展得更加全面高效。3.规模越来越大随着大数据技术的发展,重要信息系统的数量也会增加,在信息安全意识逐渐增强的大背景下,等级保护工作的规模会越来越大,涉及的系统也会大幅度增加。4.更加智能化人工智能技术的发展会大大推动等级保护工作向智能化方向发展,同时,安全威胁态势感知平台的发展也会与等级保护相互促进,使得等级保护工作更加智能化。
会议拟请公安、工业和信息化、国家保密、国家密码管理主管部门、中国科学院、国家网络与信息安全信息通报中心等部门担任指导单位,同时将出版论文集,经专家评选的部分优秀论文,将推荐至国家核心期刊发表。现就会议征文的有关情况通知如下:
一、征文范围
1. 新技术应用环境下信息安全等级保护技术:物联网、云计算、大数据、工控系统、移动接入网、下一代互联网(IPv6)等新技术、环境下的等级保护支撑技术,等级保护技术体系在新环境下的应用方法;
2. 关键基础设施信息安全保护技术:政府部门及金融、交通、电力、能源、通信、制造等重要行业网站、核心业务信息系统等安全威胁、隐患分析及防范措施;
3. 国内外信息安全管理政策与策略:信息安全管理政策和策略研究,信息安全管理体制和机制特点,信息安全管理标准发展对策,网络恐怖的特点、趋势、危害研究;
4. 信息安全预警与突发事件应急处置技术:攻击监测技术,态势感知预警技术,安全监测技术,安全事件响应技术,应急处置技术,灾难备份技术,恢复和跟踪技术,风险评估技术;
5. 信息安全等级保护建设技术:密码技术,可信计算技术,网络实名制等体系模型与构建技术,漏洞检测技术,网络监测与监管技术,网络身份认证技术,网络攻防技术,软件安全技术,信任体系研究;
6. 信息安全等级保护监管技术:用于支撑安全监测的数据采集、挖掘与分析技术,用于支撑安全监管的敏感数据发现与保护技术,安全态势评估技术,安全事件关联分析技术、安全绩效评估技术,电子数据取证和鉴定技术;
7. 信息安全等级保护测评技术:标准符合性检验技术,安全基准验证技术,源代码安全分析技术,逆向工程剖析技术,渗透测试技术,测评工具和测评方法;
8. 信息安全等级保护策略与机制:网络安全综合防控体系建设,重要信息系统的安全威胁与脆弱性分析,纵深防御策略,大数据安全保护策略,信息安全保障工作评价机制、应急响应机制、安全监测预警机制。
二、投稿要求
1. 来稿内容应属于作者的科研成果,数据真实、可靠,未公开发表过,引用他人成果已注明出处,署名无争议,论文摘要及全文不涉及保密内容;
2. 会议只接受以Word排版的电子稿件,稿件一般不超过5000字;
3. 稿件以Email方式发送到征稿邮箱;
4. 凡投稿文章被录用且未作特殊声明者,视为已同意授权出版;
5. 提交截止日期: 2014年5月25日。
三、联系方式
通信地址:北京市海淀区首都体育馆南路1号
邮编:100048
Email:.cn
联系人: 范博、王晨
联系电话:010-68773930,
13717905088,13581879819
1.1信息安全保护等级的划分
此级别功能最全,除具备上述所有级别功能外,对系统加设了访问验证保护,以此不但记录访问者对系统的访问历史,还对访问者的访问权限进行设置,确保信息被安全使用,保障信息不外泄。
1.2信息安全等级的划分
对于一些需要特殊保护和隔离的信息系统,如我国的国防部、国家机关以及重点科研机构等特殊机构的信息系统,在进行信息安全保护时,要严格按照国家颁布的关于信息安全等级保护的相关政策制度以及法律法规的规定要求对信息系统进行等级保护。根据需被保护的信息的类别和价值的不同,通常其受到保护的安全等级也不同。此举目的为在保护信息安全的同时降低运作成本。
2信息安全等级保护的基本要求
信息安全等级保护的基本要求分为技术和管理两大类。技术部分是要求在信息安全保护过程中采取安全技术措施,使系统具备对抗外来威胁和受到破坏后自我修复的能力,主要涉及到物理、网络、主机、应用安全和数据恢复功能等技术的应用。管理部分是要求在信息系统的全部运行环节中对各运行环节采取控制措施。管理过程要求对制度、政策、人员和机构都提出要求,涉及到安全保护等级管理、工程建设管理、系统的运行与维护管理以及应急预案管理等管理环节。
3信息安全等级保护的方法
3.1信息安全等级保护流程
信息安全等级保护涉及到多个环节,需要各相关部门共同参与,合力完成。安全等级保护的环节大体上分为以下九步:(1)确定系统等级作为实现信息等级保护的前提,确定信息系统的安全保护等级是必不可缺的步骤。用户要严格按照国家规范标准给所使用的信息系统科学确定等级。(2)等级审批信息系统主管部门对信息系统的安全等级进行审批调整,但调整时要按照规定,只能将等级调高。(3)确定安全需求信息系统的安全需求可反映出该等级的信息系统普遍存在的安全需求。信息系统在确定安全需求时要依赖该系统的安全等级,但因为信息系统普遍存在可变性,因此用户在确定安全需求时还要根据自身实际情况确定自己系统的安全需求。(4)制定安保方案当信息系统的等级和安全需求确定后,针对已掌握情况制定出包括技术安全和管理安全在内的最佳安全保护方案。(5)安全产品选型安全产品的选择直接决定了安全保护工作是否能够成功实现。因此在安全产品的选择过程中,不仅要对产品的可信度和功能进行认真审查,还要求国家相关部门监管产品的使用情况。(6)安全测评测评的目的在于确定系统安全保护的实现,以保证信息安全。若测评不能达到预期目标,要及时进行重新调整。(7)等级备案安全保护等级在三级以上的信息系统,其用户和运营商需要向地市级以上公安机关备案。跨地域的信息系统的备案由其主管部门在当地同级公安机关完成,分系统的备案由其用户和运营商完成。(8)监督管理信息系统的监管工作主要是监督安全产品的使用情况,并对测评机构和信息系统的登记备案进行监管。(9)运行维护该环节主要目的在于通过运行确定系统的信息安全,还可以重新确定对产生变化的信息系统的安全保护等级。以上环节在实现信息系统的安全等级保护过程中极其重要,不可跨环节、漏环节操作。
3.2信息安全等级保护的方法
信息安全等级保护分为物理安全保护和网络系统安全保护两类。对于物理安全保护,又分为必要考虑和需要考虑两个安全层面。对于必要考虑的物理安全方面:对于主机房等场所设施来说,要做好安全防范工作。采用先进的技术设备做到室内监控、使用用户信息登记、以及自动报警系统等。记录用户及其访问情况,方便随时查看。对于需要考虑的物理安全方面:对于主机房以及重要信息存储设备来说,要通过采用多路电源同时接入的方式保障电源的可持续供给,谨防因断电给入侵者制造入侵的机会。根据安全保护对象的不同,有不同的保护方法。具体方法如下:(1)已确定安全等级系统的安全保护对于全系统中同一安全等级的信息系统,对于任何部分、任何信息都要按照国家标准采取统一安全保护方法给其设计完整的安全机制。对于不同安全等级的分系统,对其上不同的部分及信息按照不同的安全要求设计安全保护。(2)网络病毒的防范方法计算机病毒严重威胁到计算机网络安全,所以防范病毒的入侵在信息系统安全保护过程中是非常重要的步骤。运用防火墙机制阻挡病毒入侵,或者给程序加密、监控系统运行情况、设置访问权限,判断是否存在病毒入侵,及时发现入侵的病毒并予以清除,保障计算机信息系统的安全。(3)漏洞扫描与修复方法系统存在漏洞是系统的安全隐患,不法分子常会利用系统中的漏洞对系统进行攻击破坏。因此要经常对计算机进行全面的漏洞扫描,找出系统中存在的漏洞并及时修复漏洞,避免给不法分子留下入侵机会。漏洞的修复分为系统自动修复和人工手动修复两种,由于多种原因,绝对完善的系统几乎不存在,因此要定期对系统进行漏洞扫描修复,确保系统的安全。
4结束语
安全风险
2008年6月,深圳市忽然出现了12万一张的光盘,而且是一口价销售,拒绝还价。光盘之所以卖得如此之贵,是因为光盘里存有当年深圳市预产期在3月~8月、共4万多条孕产妇的信息。其时,已有多名孕产妇受到商家“阶段性”推销的骚扰:怀孕3个月后孕妇学校会来联系,接着是家政服务商,而宝宝快到百日时,儿童摄影的推销电话又……让孕产妇不胜其烦。事后的调查发现,是深圳市一家保健医院的内部人员利用职务之便,将该院信息系统中所有孕妇和婴儿的信息盗取一空,整个过程只用了5分钟。然后,便有了市场上天价光盘的出现。
信息化在给医疗机构带来便利的同时,也存在着数据安全隐患,上述严重的信息泄露事件给医院的信息安全敲响了警钟。
除了信息泄露,威胁医院信息安全的问题还有网络病毒。随着网络的迅速发展,蠕虫病毒引发的安全事件此起彼伏,且有愈演愈烈之势。某医院由于内网病毒泛滥,带宽被病毒数据包占用,不仅上网速度慢,更影响到了服务器的正常工作。
医院内部人员统方是另一个威胁。2010年5月23日,一张神秘的清单在网上曝光,其中列出了宁波市某医院45名医生的工号、名字和所属科室,后面还注明了他们使用药品氨曲南的数量和总价。6月3日,宁波市卫生局向媒体公布了处罚决定:19名收受药品回扣的医生中,两名医生停止执业活动6个月,6名医生受到警告处分。虽然腐败得到惩戒,大快人心,但所暴露的潜在统方威胁值得警惕。
加强信息安全、消除安全隐患,已经成为医院必须要面对的课题。
政策安排
在信息化建设过程中,与业务性系统相比,信息安全并没有得到足够的重视。在2012年8月举办的中国医院论坛“数字化建设”分论坛上,著名医疗IT专家李包罗说:“这段时间,我参加了7个信息系统的技术规范的制订会,我发现,有的系统跟安全性毫不搭界,技术规范里面没有跟技术、安全有关系的话语,哪怕有,也只是一两句话带过。制订技术规范的人,应该说已经是业界比较有经验、比较有水平的专家,如果他们都不对安全问题给予足够的重视,那将是非常可怕的。”
在同一个会议上,国家卫计委统计信息中心主任孟群直言:“我国卫生信息化建设还存在信息安全保障建设的滞后。”
在政府层面,2007年公安部印发《信息安全等级保护管理办法》,决定“在全社会范围推行‘信息安全等级保护’政策”,2009年公安部印发《关于开展信息安全等级保护安全建设整改工作的指导意见》,对信息安全等级保护工作提出了要求。
在医疗领域,2010年原卫生部制定的《卫生信息化建设指导意见与发展规划(2011-2015)》(“十二五”规划)明确提出了我国医疗信息化发展的蓝图和发展方向“35212工程”,建设信息安全体系即是最后一个“2”中的一项。
医疗卫生系统的相关政策相继出台。2011年12月,“为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作”,原卫生部相继了《卫生行业信息安全等级保护工作的指导意见》和《关于全面开展卫生行业信息安全等级保护工作的通知》,明确指出,“三级甲等医院的核心业务信息系统”等五类卫生信息系统等保原则上不低于三级,要求“卫生行业各单位……要于2015年12月30日前完成信息安全等级保护建设整改工作,并通过等级测评。”
原卫生部、国家中医药管理局在2012年6月15日的《关于加强卫生信息化建设的指导意见》指出,要加强卫生信息安全保障体系建设,落实国家信息安全等级保护制度。加强卫生信息系统安全风险评估工作,确保信息安全和系统运行安全。继续完善居民电子健康档案、电子病历等涉及居民隐私的信息安全体系建设,建设以密码技术为基础的信息安全保障和网络信任体系,推广数字证书和电子签名应用,实现信息共享与隐私保护同步发展。
据悉,国际卫计委一直在推进这方面的工作,包括制度设计、级别保护等相关的概念和边界已经逐步建立起来。
国家卫计委统计信息中心副主任王才有表示,首先,政府层面制定了统一信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对信息安全产品的使用分等级实行管理,对等级保护工作的实施进行监督和指导。
其次,在用户层面,公民、法人和其他组织应当按照国家有关等级保护的管理规范和技术标准开展等级保护工作,服从国家对信息安全等级保护的监督、指导,保障信息系统安全。
最后,在社会层面,关于信息安全产品的研制、生产单位,信息系统的集成、等级测评、风险评估等安全服务机构,应依据国家有关管理规定和技术标准开展相应工作,并接受国家信息安全职能部门的监管。
在政策逐步建立的过程中,医疗机构自身建设亦十分重要。王才有说:“信息安全是专门的技术,但医院应该培养自己的安全人才,我看到许多医院还没有这样做,存在很大的风险。”
先进经验
目前,信息安全已经引起了医疗机构的高度重视,也有医院早早成为信息安全建设方面的先行者。
2012年11月初,中国医学科学院阜外心血管病医院信息中心主任赵接到通知,其医院信息系统的安全保护能力“基本符合等级保护三级要求,符合项为87.8%”。按照规定,符合项超过80%即为通过了等级保护三级。也就是说,阜外医院完成了国家卫生行政部门要求2015年底完成的工作。赵介绍,据他了解,目前除了阜外医院外,国内还没有其他医院通过等保三级。
建设财政信息的安全系统是财政管理改革发展中的要求。当下财政信息化的应用在全国各地的财政系统中正逐渐深入,覆盖了各级财政部门和面向社会公众的财政信息系统。可以说财政信息系统是各级财政系统进行信息共享的平台,目前由于大量需要保护的数据和信息存储在财政信息系统中,所以对系统中运行的安全保障提出了更高的要求。
【关键词】等级保护 财政信息系统 信息安全
在财政信息系统安全建设的过程中,由于系统复杂、数据安全的属性要求存在着差异,导致系统在不同程度上存在一定的脆弱性;在系统安全的规划和设计中由于对策略认识不够,以致风险延续到信息系统的运行和维护管理阶段。文章从我国信息安全等级体系的规范和标准着眼,对财政信息系统的安全保护等级模型进行了分析,并提出了进一步完善财政信息系统安全的措施。
1 信息安全的保护等级及其基本流程
目前信息安全技术和管理水平在不断地提升和发展,人们逐渐意识到要想保障信息系统的安全,就要不断完善信息安全管理和技术体系,构建完整的信息系统,并且为了把信息和信息系统的残留风险降低到最小级别,就要提高信息安全应急处置的能力。由于当前不同的信息和信息系统,对其安全级别的要求也不尽相同,应将管理策略、技术、工程过程等多个方面相结合,同时进行客观的综合考虑,对信息系统的安全分类需要充分运用信息安全等级保护的思想和方式。
1.1 信息系统安全保护等级
信息系统安全保护等级在《信息安全技术――信息系统安全等级保护基本要求》中划分为五个等级,信息系统安全保护等级的第一级是用户自主保护等级,用户可根据自主访问控制、身份鉴别和数据的完整性这三个条款进行判断;第二级是系统审计保护级,在第一级的基础上增加了两个条款,分别是客体重用和审计;第三级是安全标记保护级,在第二级的基础上增加了强制访问控制、标记等条款;第四级是结构化保护级,在第三级的基础上增加了可信路径和隐蔽信道分析;第五级是访问验证保护级,在第四级的基础上增加了可信恢复条款。这五个等级的基本内容以信息安全的属性为主,即网络安全、系统安全、应用安全、物理安全以及管理安全等五个方面,根据其不同要求,对安全信息系统的构建、测评和运行过程进行管理和掌控,进而实现对不同信息的类别按照不同的要求进行等级安全保护的目标,尽管不同等级的条款中有些内容是相似的,但在一定程度上仍然存在着差异,安全保护能力的要求会随着保护等级的提升而逐渐增强。
1.2 信息系统安全等级保护实施的流程
信息系统安全等级保护实施的基本流程包括五个阶段,分别是定级阶段、备案阶段、测评阶段、整改阶段、运行和维护阶段。其中等级保护工作的基本前提是系统划分和定级工作,定级工作必须要首先确定,否则后面的工作将会无从做起;备案阶段中,当专家评审与自定级不同时,要重新定级,才能够进行备案工作;测评阶段中指定的第三方测评机构必须是权威机构,需要公正公平地对系统进行测评;整改和复测阶段中对于整改的项目要通过等级保护测评和风险评估的方法进行分析。等级保护工作要随着信息系统建设的变化和发展而做出不断循环的工作。
2 财政信息系统的等级保护
2.1 财政信息系统安全的架构
在财政信息系统安全的架构模式中,既包含计算机网络通信和环境平台、又有多种相关的业务平台,并且这些应用的安全等级各不相同,所以采取的安全保护策略也有所不同。财政信息系统规模大、系统复杂,按照系统的功能可以分为核心数据中心、采购管理、预算管理、业务门户网站等多个子系统,要按照业务应用数据的不同性质进行不同安全等级的保护。总之要根据财政信息系统的实际情况,构建一个相对完善的财政信息系统模型。
2.2 财政信息系统安全的等级区域的划分
财政信息系统安全等级保护要根据系统的特点和性质进行不同区域的安全划分,以实现不同强度下的安全保护。针对财政信息系统中不同子系统的实际情况,可以将财政信息网络划分为不同的安全保密等级区域,分别为业务核心区,办公用户区域、专线用户区域、内部网与互联网信息交换的区域等。
3 财政信息系统的等级的保护措施
在财政信息系统安全等级保护的建设工作中,目前采取内网与外网物理隔离的方式,从物理上把财政业务中各个子系统与对外服务区进行划分,分别划分到不同的子网,在财政业务的防火墙上可以设置权限为允许的策略,源地址是内部桌面,目的地址是业务服务器,对于其他服务的子系统,同样需要防火墙进行隔离,使各子系统都有充分的隔离和清晰的界限,同时可以配置漏洞扫描设备的检测设备,不定期对各个服务器进行扫描。
数据备份能够进一步保障财政信息系统的安全,在财政信息系统应用中需要配备存储备份设备以实现数据自动备份,一旦系统出现故障,通过数据备份即可恢复。为了进一步支持财政信息系统的稳步运行,可建立一个异地财政信息数据备份中心,以防财政信息系统发生灾难性故障时实现异地远程恢复的功能。
在财政信息系统安全保障体系建立的过程中,要严格依照等级保护下的安全管理制度、系统建设制度和相关财政系信息管理的法律及标准,在建立完善的网络安全管理机制的同时明确管理人员的职责。
4 结论
综上所述,文章从我国信息安全等级体系的规范和标准着眼,对财政信息系统的安全保护等级模型进行了分析,并提出了进一步完善财政信息系统安全的有效措施。在财政信息建设的过程中,设计出一个科学合理、全面的信息安全解决方案是一个关键的任务,要从我国信息安全等级体系的规范和标准着眼,对财政信息系统安全保障的体系进行深入的探讨,以达到切实保护财政信息系统安全的目的。
参考文献
[1]龚雷.应用安全透明支撑平台体系结构与模型研究[D].郑州:信息工程大学,2013.
[2]王会.基于等级保护的党校网络安全体系的研究与应用[D].广州:中山大学,2012.
[3]刘莎莎.NN市委办政务信息系统安全等级保护策略研究[D].南宁:广西大学,2012.
[4]高朝勤.信息系统等级保护中的多级安全技术研究[D].北京:北京工业大学,2012.
[关键词]信息安全等级保护分级分域网络隔离安全防护
1网络现状及防护需求
福建省莆田电业局已构建了信息网络,已经稳定运行有财务管理、安全生产管理、协同办公、电力营销、ERP等应用系统。随着国家电网公司“SG186”工程的信息化建设的推进工作,网络和信息系统情况复杂,迫切需要进行信息安全全面建设。
根据国家《信息安全技术信息系统安全等级保护实施指南》(GB/T22240-2008)、国家《信息安全技术信息系统安全等级保护基本要求》(GB/T-22239-2008)、《国家电网公司“SG186”工程安全防护总体方案》、《国家电网公司“SG186”工程信息系统安全等级保护基本要求》、《国家电网公司“SG186”工程信息系统安全等级保护验收测评要求(试行)》等文件要求,按照统筹资源,重点保护,适度安全的原则,依据等级保护定级结果,采用“二级系统统一成域,三级系统独立分域”的方法,对信息网络系统进行分级分域。
2安全防护建设目标
通过项目的实施,按照“层层递进,纵深防御”的思想,从边界、网络、主机、应用四个层次进行安全防护等级保护设计和施工,使莆田电业局信息系统符合国家和国家电网公司的网络与信息系统等级保护建设要求。
3实施方法
信息系统分级分域安全防护建设一般分三个阶段:
第一阶段:合理进行安全域划分和初步规划,针对重要信息进行防护。主要表现在针对业务安全要求比较高的信息系统如ERP、财务系统域进行防护,以及针对互联网出口的应用层防护。
第二阶段:针对当前信息网络状态,按照等级保护要求进行等级化评估、安全评估和合理定级,全面获取当前安全现状以及企业信息化建设的特殊需求。在评估基础上,全面从等级保护要求及企业信息化建设的安全需求出发,合理进行安全方案设计。
第三阶段:根据设计方案,全面开展等级化改造,包括技术措施和管理措施的完善,建立完整的信息安全体系,并且根据相关要求进行运行维护。
4分级分域安全防护方解决方案
信息网络系统分级分域安全防护建设应当按照国家标准和国家电网公司“SG186”工程相关规定的要求完成,通过项目建设实施保障莆田电业局信息化管理系统的安全运营。
4.1 分级分域设计方案及安全等级建设要求
莆田电业局信息网络主要分为两个部分:信息内网和信息外网,两个网络之间通过强制隔离设备进行隔离。
信息内网分级分域及安全等级建设要求:
4.1.1二级系统域
二级系统域是指协同办公系统、财务管理系统、安全生产管理系统、人力资源管理系统、企业门户、ERP等信息系统
安全建设等级:基于信息系统的整合,所有二级系统统一部署于二级系统域,并根据国家安全等级保护标准和国家电网公司“SG186”工程信息系统安全等级保护基本要求等规范要求,按照安全防护等级二级进行建设。
4.1.2内网桌面终端域
信息内网桌面终端是用于内网业务操作及内网业务办公处理,通过对桌面办公终端按业务部门或访问类型进一步进行VLAN区域细分,实现不同的业务访问需求指定访问控制及其他防护措施,由于桌面终端的安全防护与应用系统不同,将其划分为独立区域进行安全防护。
安全建设等级:按照安全等级二级进行安全建设;
信息外网分级分域及安全等级建设要求:
4.1.3外网应用系统域
需与互联网进行数据交换的系统统一部署为外网系统域。
安全建设等级:按照安全等级二级进行安全建设;
4.1.4外网桌面终端域
外网桌面终端用于外网业务办公及互联网访问,对外网桌面办公终端按业务部门或访问类型进行区域细分,针对不同业务访问需求进行访问控制及其他防护措施。
安全建设等级:按照安全等级二级进行安全建设;
图1改造后的网络拓扑图
4.2 安全防护部署方案
4.2.1防火墙等级保护部署方案
目前网络中主要使用防火墙来保证基础安全。它监控可信任网络和不可信任网络之间的访问通道,以防止外部网络的危险蔓延到内部网络上。
项目在四个域与核心交换机的连接点分别部署了启明星辰天清汉马USG-FW-4000D防火墙(见图1),并进行了相应的配置。
防火墙典型的网络部署模式包括路由模式和透明模式,本项目中,考虑到防火墙负责转发各个区域的用户访问,采取透明模式部署。
根据企业安全区域的划分,部署防火墙对不同区域之间的网络流量进行控制,基本原则为:高安全级别区域可以访问低安全级别区域,低安全级别严格受控访问高安全级别区域,进行如下基本配置策略:
防火墙设置为默认拒绝工作方式,保证所有的数据包,如果没有明确的规则允许通过,全部拒绝以保证安全;
配置防火墙防DOS/DDOS功能,对Land、Smurf、Fraggle、Ping of death、udp flood等拒绝服务攻击进行防范;
配置防火墙全面安全防范能力,包括arp欺骗攻击的防范,提供arp主动反向查询、tcp报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等。
4.2.2入侵防护系统等级保护部署方案
在传统的安全解决方案中,防火墙和入侵检测系统已经无法满足高危网络的安全需求,互联网上流行的蠕虫、P2P、木马等安全威胁日益滋长,必须有相应的技术手段和解决方案来解决对应用层的安全威胁。以入侵防御系统为代表的应用层安全设备作为防火墙的重要补充,很好地解决了应用层防御的问题,并且变革了管理员构建网络防御的方式。通过部署IPS,可以在线检测并直接阻断恶意流量。
项目在外网系统部署1台启明星辰天清NIPS3060入侵防护系统。
4.2.3服务器换机等级保护部署方案
服务器交换机采用华为QuidwayS9306高端多业务路由交换机,该产品基于华为公司自主知识产权的Comware V5操作系统,融合了MPLS、IPv6、网络安全等多种业务,提供不间断转发、优雅重启、环网保护等多种可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低企业的总拥有成本。
项目配置两台华为QuidwayS9306交换机分别用作内网二级系统域和外网应用系统域,配置冗余电源、双引擎、2块48端口千兆电口板、1块48端口SFP千兆光口板卡,保证了服务器换机的安全可靠。
4.2.4终端汇聚交换机等级保护部署方案
终端汇聚交换机采用华为Quidway LS-S5328C交换机,实现信息内外网桌面终端域的安全接入。
华为QuidwayLS-S5300系列交换机是华为公司最新开发的增强型IPv6万兆以太网交换机,具备业界盒式交换机最先进的硬件处理能力和丰富的业务特性。支持最多4个万兆扩展接口;支持IPv4/IPv6硬件双栈及线速转发;出色的安全性、可靠性和多业务支持能力使其成为网络汇聚和城域网边缘设备的第一选择。
配置2台桌面终端汇聚交换机分别部署在信息内网和信息外网的桌面终端域接口上。
5网络安全成果分析
福建省莆田电业局信息网络系统分级分域安全防护建设项目从边界、网络、主机、应用四个层次进行了安全防护等级保护设计及工程实施,对原有网络、安全设备进行了调整,实现了安全域的划分,实现了对关键业务的安全防护,达到了国家和国家电网公司的网络与信息系统等级保护建设要求,并通过了国家电网公司等级测评验收。
参考文献:
[1] 信息安全技术信息系统安全等级保护实施指南(GB/T22240-2008)
[2] 信息安全技术信息系统安全等级保护基本要求(GB/T-22239-2008)
【 关键词 】 中小商业银行;等级保护;信息科技风险管理;信息安全体系框架
1 中小银行等级保护咨询服务的背景
随着信息技术的不断进步与发展,信息系统的安全建设显得尤为重要。2012年6月29日人民银行下发了“银发【2012】163号”文件,为进一步落实《信息安全等级保护管理办法》(公通字〔2007〕 43号文印发),加强对银行业信息安全等级保护工作的指导,结合近年来银行业信息安全等级保护工作开展情况,人民银行给出了银行业金融机构信息系统安全等级保护定级的指导意见,至此,正式的拉开了中小商业银行等级保护建设和整改工作的序幕。
2 等级保护咨询服务的项目目标
国内中小银行在信息安全的发展程度,大部分处于自我认知的阶段,一边忙于业务发展的保障需要,一边又要应对上级监管部门的监督检查,对于安全建设来说,大部分没有纳入到战略的层面来考虑。因此,借助于等级保护咨询服务来建立的这样一套信息安全体系,必须同时满足公安部等级保护基本要求、人民银行等级保护的测评要求和银监会关于IT风险管理的要求。这些目标相辅相承,互为补充。只有将通用的要求、标准、规范落实到自己IT风险管理体系的各方面,建立适合自己业务特点与发展需求的信息安全体系,才能达到有效管理风险、进行IT治理的目的,并最终通过等级测评。
3 等级保护咨询服务的总体思路
中小银行在咨询服务项目需要主动地全面的考量自身情况,综合分析人民银行、银监会和等级保护的要求,在现有的安全工作基础之上,建立统一的信息安全体系,同时满足这些主要的监管要求。这样面临检查时,只要客观反映出当前状态就可以,有效降低临时的材料组织工作。
同时满足三方面监管要求的信息安全体系,这个信息安全体系将以公安部的等级保护《基本要求》、人民银行的《等保测评指南》和银监会《管理指引》为主要依据来搭建起框架,以各专项监管指引为各个领域的具体工作指导,以ISO27000为代表的国内外信息安全标准为补充。
4 等级保护咨询服务的内容
等级保护的咨询服务具体实施过程可参考公安部下发的《信息系统安全等级保护实施指南》,“指南”中将等级保护工作分为了定级备案、规划设计、建设整改和等级测评四大过程。
4.1 系统定级
系统定级阶段需要完成的工作。
1) 等级保护的导入培训:在进行咨询服务之前,需要对银行相关科室信息人员进行等级保护的内容培训。只要讲清楚等保是什么,需要各级人员配合的工作点是什么就可以了。
2) 系统业务安全域划分:这个阶段需要进行信息搜集和资产调研。明确业务系统的范围、边界、功能、以及重要性等。
3) 编写系统定级报告和备案表:定级报告和备案表都是按照公安部等保办公室的通用模版来编写的,内容包含了系统功能描述、网络拓扑、定级的理由和依据等。
4) 召开专家评审会、获得备案证明:召开专家评审会并获得备案证明可视为一个里程碑式的阶段性成果,因为定级和备案是等级保护工作开展的前提,如果级别定错了,或者专家有不同的评审意见,则后续的设计方案、整改方案均无法执行。同时,对于银行信息科技部门的领导而言,服务工作做的怎么样无法量化,但是备案证书是看的见,摸的着的,如果能在评审会现场当场颁发,则意义更加重大。
4.2 规划与设计
规划与设计阶段的主要工作就是进行等级差距分析和风险评估。
1) 技术层面可直接参考人民银行关于金融行业的“测评指南”来完成,可操作性较强。可分物理、网络、主机、应用、数据五个层面进行差距评估,同时对网络流量和网络协议进行简单的分析,通过漏洞扫描设备、配置核查设备、渗透工具等进行风险分析,输出风险评估报告和技术层面的差距评估报告。
2) 管理层面上,等保的管理要求相对薄弱,集中体现在运维管理等方面,如果要达到人民银行和银监会的标准,还有很多需要加强和补充的地方,可以对现有的制度文档进行一个简单的梳理,用最短的时间完成等保的管理制度调研。
4.3 实施与整改
实施与整改阶段需要按照规划阶段的设计方案进行实施,以满足等级保护安全体系的建设要求。
1) 组织体系整改:安全管理组织应形成由主管领导牵头的信息安全领导小组、具体信息安全职能部门负责日常工作的组织模式。可参考已成立的《等保领导小组》设立模式,但应具体到管理员岗位。
2) 管理体系整改:按照等级保护的要求补充或重新制定管理制度,根据咨询方提供的制度模版,银行可根据自身的实际业务需求进行修改,并经内部讨论修订后,下文试运行。
3) 技术体系整改:技术体系整改应从三个层面进行考虑。
制定技术规范:包括windows、AIX、Informix、tuxedo、cisco等主流设备的安全配置规范;可考虑聘请专业安全公司进行咨询服务,制定适合银行长期发展的安全策略和技术安全规范。
安全配置加固:根据已制定的技术规范进行主机、服务器、网络设备、安全设备的全面的安全加固。
安全设备采购:在安全技术体系的具体实现过程中,需要落实安全技术详细设计方案中的具体技术要求,将先进的信息安全技术落实到具体安全产品中,形成合理、有效、可靠的安全防护体系。
4.4 等级测评
根据人民银行的《金融行业信息安全等级保护测评服务安全指引》选择具有资质的第三方测评机构进行等级测评,一般当地公安机关会指定2-3家评估中心进行等级测评,如果银行自行联系省外的测评机构,可能需要事先跟当地省公安厅取得联系,确保该测评机构的测评报告在本省是受到认可的。
实际上做了咨询服务之后,等级测评的工作就变的非常简单,因为咨询方会在规划与设计阶段就会与测评中心取得联系,确保其设计方案和整改实施方案得到专家和测评中心的认可,保障其顺利实施。所以在等级测评的时候,测评师从进场到出具评测报告大概只需一周左右的时间。
5 结束语
关于金融业等级保护的建设工作,是今后两年的一个重点工作,尤其是中小银行可借助合规要求,由信息科技部门立项,向行内申请更多的资源来完善自身的安全体系建设工作。
参考文献
[1] 武冬立.银行业安全防范建设指南.长安出版社,2008-11-1.
[2]李宗怡. 中国银行安全网构建基础研究.经济管理出版社,2006-6-1.
[3] 刘志友.商业银行安全问题研究.中国金融出版社, 2010-3-1.
[4] 曹子建,赵宇峰,容晓峰.网络入侵检测与防火墙联动平台设计[J].信息网络安全,2012,(09):12-14.
[5] 傅慧.动态包过滤防火墙规则优化研究[J].信息网络安全,2012,(12):12-14.
在对当前信息安全工作开展情况进行调研的基础上,与信息系统的信息安全等级保护工作相结合,阐述了在实施信息安全工作中管理措施的重要性和紧迫性。
【关键词】风险 管理 等级保护
在现实的工作生活中,大家对计算机病毒、黑客攻击这些词汇都很熟悉,因为这些安全事件是我们经常听说,也经常遇到的。但是安全事件的范围其实远远不止上述两个词汇。
1 前言
随着我国经济的快速发展和社会信息化进程的全面加快,网络和信息系统的基础性、全局性作用日益增强,各行各业都在充分享受着信息系统带来的方便和快捷。随之而来的安全事件也因为各行各业的不同存在着千变万化。例如经常在网上冲浪的朋友都知道,维护不善的网站经常会被挂马;还有就是在网购风靡的今天,网上交易经常因为域名劫持,而将个人的金融信息暴露。为了防止这些层出不穷的安全事件,信息系统的管理者们是绞尽脑汁,不惜花费重金聘请安全服务机构制定详细的安全建设方案,并且采购了大量含有最新技术的安全产品。很多人都认为,在这样的努力下,安全事件应该就此杜绝了吧。但现实却给了我们一个很遗憾的答案。为什么会这样呢?是安全服务机构技术力量不足,还是安全产品功能不够强大?从我们对多个信息系统的调查上来看,两者都没有明显的不足,而是很多信息系统的管理者忽视了信息安全中的管理措施。
在科技高速发展的如今,追求技术已成为一种时髦,无论是作为卖家的产品制造商还是作为买家的信息系统管理者,大家谈的最多的是新技术的新优势、新特点等等。当然注重技术的更新是无可指责的,也是很有必要的。但是无论是何种新技术,最后落实到的使用者还是我们一线的技术人员和管理人员。对这些人员的有效管理往往决定了是否能最大化实现既定安全方案的预期成果。
2 信息泄露实例分析
举一个简单的例子,现在大部分的信息系统在网络边界上均部署有防火墙、IDS或IPS设备,以阻止外部的非授权访问,来达到保护内部资源的目的。凡是对防火墙和入侵检测设备有一定了解的朋友都知道,只要对防火墙和入侵检测设备进行合理的配置,从外部获取内部资源的可能性是很低的。但是为什么现在还有很多敏感信息泄露的现象存在呢?其实很多的信息系统管理者都有一个错误的判定,就是“风险都来自于系统外部,内部是绝对安全的。”据公安机关和安全机构的多年调查发现,其实很多安全事件的真正发生原因来自于内部,由于对内部资源访问控制不够严密,导致一些并无访问权限的内部人员获取到了部分资源,同时对移动介质管理的空白,最终导致内部资源外流。
还有一个典型的案例就是网络设备的防护,很多信息系统的管理部门在对网络设备的防护方面采取了很多的技术手段,比如将登陆网络设备的管理终端设置在中心机房内,并和其他网络进行完全的物理隔离来避免网络上的黑客行为和恶意代码。但在机房出入的地方却没有进行严格的控制,虽然设置了门禁,但是常年开放,对出入机房的人员也没有进行记录。管理上的疏忽对网络设备的防护带来了很大的风险。
另一个证明管理措施重要性的例子就是我国目前在实施的信息安全等级保护制度。
我国政府针对信息安全这个大课题,早在1994年就由国务院颁布了《中华人民共和国计算机信息系统安全保护条例》。2003年又出台了《国家信息化领导小组关于加强信息安全保障工作的意见》。最近又于2004年由公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合转发了《关于信息安全等级保护工作的实施意见》,这一系列的国家层面的文件的制定,逐步明确了信息系统安全等级保护将作为我国信息系统安全建设的基本要求。
那到底什么是信息系统安全等级保护呢?通俗的讲,就是信息系统根据其重要性进行分级,并且根据其安全级别进行相应的安全建设。我们知道,一个完整的信息系统涵盖了网络、主机、应用、数据等多种技术层面,事实上等级保护也是根据了信息系统组成的特点,分别在物理安全、网络安全、主机安全、应用安全、数据安全以及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理十个层面对信息系统的安全建设提出了要求。等级保护的相关要求是在听取众多信息安全专家的意见和建议,并结合大量安全事件的经验教训的基础上制定的,具有广泛的代表性和严密的科学性。从安全等级保护要求的内容上我们可以看出,管理措施竟然占到了总体内容50%的比例,足以说明管理措施在信息安全建设中的重要性。
3 小结
依照国家目前对信息系统建设的要求,每个信息系统都要按照等级保护的要求建设,还要按照等级保护的要求进行测评。笔者作为全国众多测评人员中的一员,参加了很多个大型信息系统的安全等级保护测评工作。在多个测评项目中,发现被测评的很多信息系统在管理方面的措施与等级保护的相关要求有着一定的差距。在与信息系统的管理者们访谈时,很多管理人员对管理措施重要性的认识还停留在满足当前情况的基础上,缺乏风险的预见性。对于这个被忽视的另一半,笔者深深地体会到了信息安全建设任务的任重而道远。也在此呼吁信息系统的管理者们在重视技术更新的同时,能将更多的目光能够投到管理措施的建设上来,并严格按照管理制度执行。当技术和管理两者相辅相成的时候,相信我们今后的工作生活中将越来越少碰到因为安全事件而带来的不愉快,信息安全建设工作也将跃上一个新的台阶。
关键词:信息网络;信息系统;安全保障
20世纪90年代,高新技术呈现出快速发展的趋势,使全球实现了信息化,人们的生产和生活都发生了天翻地覆的变化。如今比较热门的话题就是怎样将信息技术使用好、管理好,让信息技术给人们提供更多的便利。传统的信息安全管理主要是借助信息系统的安全设备实现的,比如认证系统、防病毒系统、入侵检测系统、VPN和防火墙等。现实生活中信息安全借助技术保障是无法取得最佳效果的,要想使信息安全得到高效的保障,就要从法制、管理和技术三个方面进行着手。如今铁路已经逐渐的实现了信息化和现代化,这就使得信息安全越来越被人们所关注,当务之急就是建立完善的信息安全管理系统。
1铁路信息安全管理面临的挑战
1.1缺少完善的行业信息安全等级保护标准体系
我国信息安全保障工作的最基本机制就是信息安全等级保护机制,只有将信息安全等级保护工作落实好,才能确保信息化朝着更加健康、安全的方向发展。如今,铁路信息系统没有创建明确的管理目标、没有突出的工作重点、信息安全监管缺少必要的根据,信息监管体系还在初步建设中。铁路行业安全管理工作急需解决的问题就是怎样在国家有关信息安全等级保护的基础上,探究铁路信息体系安全等级保障的准则,从而得出完善的铁路行业信息安全等级保护标准。
1.2缺少健全的信息安全运行维护管理体系
由于管理手段不到位、执行力比较差,导致铁路信息安全事故时有发生,所以铁路安全生产的核心内容就是信息系统的安全运行维护和管理。铁路行业体系的安全生产理念和运营形式比较陈旧,使其无法与信息化建设相协调,依靠手工式作业和人员意识来对铁路信息进行管理,这就急需建立健全高效、安全的运行维护管理体系。
2创建完善的铁路信息安全管理系统
铁路信息安全管理系统的建设需要投入大量的资金,其规模比较庞大,内容非常多,涉及到的范围比较广泛。各个业务单位和部门需要依据自身的实际情况来创建符合自身发展的信息安全管理系统。铁路信息安全管理系统在建设的时候,可以按照以下标准执行:(1)对信息安全管理系统的范围进行确定,对整个系统、单位和部门都要进行全部覆盖,从而实现对重点部位的监管。要将人员、财务管理与配置工作做好,认真分析目前信息安全管理的实际情况,定期开展教育培训活动。(2)对信息安全管理的现实情况和风险进行预测,以信息安全技术管理标准为基础,对信息存储、传输和处理进行可用性、完整性和保密性的评价和调研,对发生安全事故导致的严重后果、安全事故发生的可能性等进行认真分析。(3)将信息安全管理的框架建设好,从全局和整体的角度出发,对信息系统进行完整的规划和设计。以技术条件、信息资产现实情况、组织特点和业务性质为基础,创建详细的信息资产清单。在确定安全解决策略和安全系统的时候,一定要以安全控制技术、需求分析和风险分析为依据。(4)系统建设的总体要求要以ISO/IEC27001:2005标准为基础,信息安全管理系统文件编写的时候,一定要将文档资料进行全面的包含,比如适用性声明、实施与控制、风险评估、适用范围以及安全方针等。(5)对信息安全管理系统进行不断的改进,以系统文件的控制标准为依据开展审批、和组织实施等活动。在系统运行的时候,一定要将系统的性能进行较好的发挥,一旦发现问题,立即解决,系统完善时要以PDCA模型为基础。(5)在审核信息安全管理系统的时候,要以审核证据为基础,从而实现对信息安全系统有效性的判断,审核有两种形式,即外部审核和内部审核,具有完整的认证资质的独立机构,才能进行外部审核。
3结束语
铁路信息化越来越受到人们的重视,铁路要想实现现代化,就要先实现信息化,铁路的快速发展与铁路现代化有着紧密的联系。要想使信息化资源得到充分的发挥,就要将安全问题放在首要位置。铁路系统信息安全问题主要是受内部因素所制约,从某种意义上说,这也是一个可靠性的问题,需要从安全性技术和管理上下功夫,创建完善的铁路信息安全管理标准系统,使信息系统的运行更加的安全、规范。
作者:张蕾 单位:北京铁路局石家庄电务段
参考文献:
一、工作目标
通过深入开展此次专项活动,确保全市重要信息系统能够全面进行准确定级和审核备案;全面组织等级测评和风险评估;全面开展监督检查和建设整改;全面落实管理制度和安全责任,努力实现我市信息安全等级保护工作规范化、制度化、常态化的管理目标,不断提高重要信息系统安全防范能力和应急处置能力,为建国周年庆典活动创造一个良好的网络环境。
二、工作任务
(一)全面进行准确定级和审核备案。各部门、各单位要参照国家机关、中央企事业单位及省直机关、省属企事业单位已审核的信息系统安全保护等级,对本单位信息系统全面进行定级和审核备案。对于已经定级、备案的系统,凡符合上级国家机关、企事业单位安全保护等级的,可不再重新定级和审核备案,否则均要重新定级和审核备案;对于尚未定级和审核备案的系统,都要比照上级部门信息系统安全保护等级逐一进行定级备案。其中,安全保护等级确定为一级的信息系统,公安机关应做好登记工作。安全保护等级确定为二级以上的信息系统,各信息系统运营使用单位要在公安机关办理审核备案手续,填写《信息安全等级保护备案表》,实行审核备案管理。全市重要信息系统定级和审核备案率要达到100%。
(二)全面组织等级测评和风险评估。关系到我市国计民生或影响面较大的二级信息系统和三级以上(含三级)的重要信息系统都要按照《信息安全等级保护管理办法》及省发改委、省公安厅、省国家保密局《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》要求,全面开展等级测评及风险评估工作。其初次测评及风险评估率应达到61%以上(其他尚未开展初次测评的系统应于年上半年完成)。
(三)全面开展监督检查和建设整改。关系到我市国计民生或影响面较大的二级信息系统和三级以上(含三级)的重要信息系统都要按照《公安机关信息安全等级保护检查工作规范》规定的检查内容、检查项目、检查要求等,全面组织开展安全等级保护监督检查和限期整改工作,其监督检查率应达到100%,限期整改率应达到80%以上。其他被定为二级(含二级)以下的信息系统,可由信息系统运营使用单位进行自查和整改。
三、工作步骤
(一)定级与备案阶段(8月18日至9月15日)。市专项活动领导小组在8月31日前进行组织动员和工作部署,开展信息系统普查,全面摸清底数,掌握基本情况,确定定级对象。9月15日前,各重要信息系统运营使用单位要对照上级国家机关、企事业单位已审核备案的信息系统安全保护等级,对应确定本单位信息系统安全保护等级,并做好申报备案。对审核符合安全保护等级要求的,由市专项活动领导小组颁发信息安全等级保护备案证明。凡审核定级不准的,应重新评审确定,为等级测评和检查整改奠定基础。
(二)测评与检查阶段(9月15日至11月30日)。市专项活动领导小组将对关系我市国计民生的二级信息系统及三级以上(含三级)信息系统开展安全等级测评和风险评估。市专项活动领导小组督促、指导各单位积极做好信息安全等级保护和监督检查工作。各重要信息系统运营使用单位要按照国家《信息安全等级保护管理办法》和省发改委、省公安厅、省国家保密局《转发国家有关部门关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》精神,提前做好人员、技术、经费等各项准备工作,按时完成信息系统等级测评和风险评估。
(三)总结与整改阶段(12月1日至12月31日)。市专项活动领导小组根据信息系统安全等级测评和风险评估中发现的安全隐患和问题,向运营使用单位下发《整改通知书》,要求该单位限期对安全设施、技术措施、管理制度、安全产品、管理人员等方面存在的问题进行全面整改。各单位要制定相应的建设整改方案,认真搞好安全隐患的整改工作。
四、工作要求
(一)统一思想认识,切实加强领导。各地各有关部门要充分认识当前重要信息系统安全面临的严峻形势,进一步增强做好信息安全等级保护工作的责任感和紧迫感,务必把此项工作作为事关国家安全和社会稳定,特别是国庆61周年安全保卫的一项重要政治任务,纳入议事日程,摆在应有位置。为切实加强领导,成立荆州市深入开展全市重要信息系统安全等级保护管理专项活动领导小组(名单附后),领导小组在本次专项活动完成后,继续担负我市重要信息等级保护工作的组织领导职责。要建立健全信息安全等级保护协调领导体制和工作机制,精心组织实施信息安全等级保护管理工作。各地各有关部门分管领导要亲自挂帅指挥,按照“谁主管,谁负责,谁使用,谁负责”的原则,成立领导小组,建立工作专班,确立联络人员,迅速行动、全力以赴,大张旗鼓地组织开展等级保护工作。
(二)深入动员部署,精心组织实施。各重要信息系统运营使用单位要制定好本单位信息系统安全等级保护工作实施方案,准确定级,并将相关资料上报市专项活动领导小组办公室。在定级完成后,要积极做好测评准备工作,在人力、财力上给予充分保障。对检测出来的问题要及时向主管领导和上级部门报告,立即整改,把专项活动的各项要求落到实处。
关键词:财税部门 网络 信息安全 调查研究
中图分类号:TP3 文献标识码:A 文章编号:1672-3791(2014)02(a)-0035-02
随着财政、地税和国资业务的不断应用和发展,我局的财税网络已从最初的纯内部系统的局域网,逐步扩大到上联省财政厅、省地税局,下联各税务分局、各乡镇财政所的三级纵向网络;从财税系统内部网络,逐步扩大到各预算单位、非税执收单位、各银行和工商国税社保等数据共享交换部门的横向互联互通的开放型网络。开放型的网络,对于我们的财税工作带来便捷的同时,也使我们的信息安全面临严峻的考验。如何有效的建设和管理我局的财税网络,提高系统的可靠性、安全性和完整性,确保网络与信息安全,是我们要考虑的首要问题。
1 我局网络与信息安全建设现状
在网络设备和架构方面:我局的财税内部网络以一台思科4006三层交换机为核心(如图1所示),通过三台防火墙将整个网络划分为服务器区、内联区、办公区和外联区。服务器区主要为各类财政、地税和国资信息系统服务器,通过一台防火墙进行安全防护;内联区为连接省财政厅、省地税局、各基层分局、便民中心和部分银行区域;外联区通过百兆防火墙连接财务专网、政务网等,并增设一道防火墙,用以通过VPN设备接入我局内部网络的二级行政事业单位(如图1)。
在信息安全制度和管理方面:一是信息安全组织机构健全,成立以局长为组长的网络与信息安全领导小组,设立单位专职信息安全员且设置AB岗。二是制度建设较为完备,制定出台了《计算机机房管理制度》等制度,并实现《计算机网络与信息安全管理责任状》的全覆盖签订。三是信息安全防护管理较为规范。通过双主机方式实现因特网和内网的物理隔离,部署防火墙、入侵检测系统和漏洞扫描等系统,定期对安全产品进行巡检和开展应急演练等工作。
2 网络与信息安全风险分析
尽管我局的网络与信息安全建设在近几年扎实有效推进,但由于财政、地税和国资业务的迅速发展,对网络的性能和扩展性要求越来越高,再加上核心设备比较陈旧,现有资源濒于耗尽,来自各方面的网络与信息安全风险形势严峻。
2.1 来自设备环境方面的风险
一是核心设备存在单点故障且使用年限已久。核心交换机、内网防火墙和服务器防火墙都是单机单链路配置,任何上述设备的故障都会导致整个网络崩溃。部分核心设备使用年限已久,远远超出维保期限,出现故障概率较大。二是核心设备性能和扩展性存在严重瓶颈。核心交换机思科 4006购置于2003年,整体性能已无法承受我局系统业务处理的需求。三是网络机房UPS供电和温湿度环境方面的风险。我局网络机房均为单路UPS供电和单台空调控温,未配备环境监控系统,一旦出现故障,将会延误处理。
2.2 来自网络结构方面的风险
目前内联和外联单位均接在同一个防火墙下,与内网未严格隔离,不少银行单位更是直接与核心交换机直连,给我局内网安全构成严重的安全威胁。
一是来自政务网等外联单位的风险。目前我局网络与政务网、国税、社保、便民中心和市内11家银行均有专网互联,由于网络设备资源问题,甚至有部分银行临时接在了核心交换机上,这些外联单位对我局的网络安全带来较大的风险。二是来自财务专网接入单位的风险。因国库集中支付和乡镇财务管理的需要,我局财务专网延伸到了各行政事业单位和乡镇财办,专网点数达100多个,这些专网接入单位的终端计算机等同于我局内网终端计算机,可通过核心交换机访问我局服务器资源,但由于其分散在各个部门和乡镇,给我们的管理带来较大的困难。三是来自VPN拨号接入单位的风险。为解决专网建设成本高的问题,我局于2009年购置天融信SSL VPN设备,作为部分二级行政事业单位的财务专网接入,该设备一旦出现故障,将直接影响通过该设备接入单位的系统应用,存在较大的单点风险。
2.3 来自网络管理方面的风险
一是操作人员安全意识和技术缺乏带来的风险。操作人员对于信息安全没有太多的认识和技能,有的甚至认为网络与信息安全仅仅是技术部门的事,于己无关。二是制度不完善和执行不到位带来的风险。由于信息技术的不断发展,出现了很多新技术和新产品,容易出现制度文件的漏洞和执行不到位情况。三是技术防护策略不严密带来的风险。我局在网络安全方面投入了较多的设备,如防火墙、VPN、防病毒软件,IDS等,但这些产品的功能比较分散,形成了相互没有关联的、隔离的安全孤岛,相互之间没有有效统一的管理调度机制,从而使其应用效能无法得到充分的发挥。
3 网络与信息安全建设的对策与措施
针对我局的网络现状和存在的上述网络与信息安全风险,提出如下对策和措施,以全面提升我局的网络与信息安全整体保障水平。
3.1 加强安全宣传和培训,提升防范意识和技术能力
(1)加强全员宣传培训,增强防范意识和责任意识。进一步加强网络与信息安全知识的宣传和培训,完善培训机制、拓展培训内容、丰富培训和宣传的方式,使系统广大干部掌握常见的网络与信息安全知识和防范技能,提高信息安全问题的处置能力。
(2)加强网络技术人员培养和激励,提升专业技术能力和工作积极性。如果没有专业技术人员进行安全策略配置、日常监控管理,安全产品即使再多再先进,也只能是一种摆设,技术人员的水平高低将直接影响一个单位的网络防护能力,因此,需要进一步加强专业技术人员的引进和培养,使其掌握较强的专业技能。同时,由于专业技术人员工作的特殊性,需要其经常牺牲休息时间加班加点进行系统调试和配置优化等工作,有必要进一步完善针对技术人员的激励制度,以增加其工作的积极性。
3.2 加强网络规划和投入,提升系统自身免疫能力
针对我局网络设备和架构现状,我们提出如下改造目标:消除核心设备单点故障,实现核心交换设备的虚拟化,架设千兆基础的主干网络,合理划分安全等级区域,满足可预期内视频等各种高数据流量信号的网络运行要求,提高网络总体运行水平和故障应对能力(见图2)。
通过加大硬件设备的投入,并整合利用现有资源,对整个内网网络作如下改造(改造后的网络拓扑如图2所示):根据各区域安全防护级别不同,分别设置核心区、外联区、内联区、服务器区和办公区等区域。一是在核心区新购置2台核心交换机(含防火墙模块)做虚拟化方案,替代原有的思科4006交换机,消除核心设备单点故障;同时在该区域部署IDS、IPS、漏洞扫描和桌面终端管理平台等安全产品。二是在外联区新购置2台千兆防火墙通过双机热备作为外联区防火墙,并在网闸的配合下,隔离外联单位,新增一台VPN设备做双机热备。三是在办公区新购置4台二层交换机作为机关大院各楼宇的汇聚层交换机,实现主干网络的千兆架构。通过合理的规划、设备的投入和安全产品的整合,建立一个完整的、立体的、多层次的网络安全防御体系,进一步提升网络系统自身的免疫能力。
3.3 加强制度建设和执行,建立信息安全运维体系
信息安全防护“三分靠技术,七分靠管理”,再好的信息安全防护系统,如果没有好的管理制度、管理策略和运维体系相配套,也是形同虚设。
一是建立健全网络安全制度体系。要针对网络与信息安全的薄弱环节、关键环节和容易忽视的环节,制定、修改和完善具有较强操作性的制度,通过制度来强化信息安全。建立健全机房安全、系统运行、人员管理、密码口令、网络通信、数据管理等网络与信息安全管理制度,提高安全防范水平。
二是建立网络安全管理联动机制。实行网络安全管理的“三级联动模式”,即计算机使用人员、分局计算机管理员和市局专业技术人员三者联动,充分发挥分局计算机管理员作用,使其做好所在单位的网络与信息安全日常维护工作,缩短计算机和网络故障的处理时间。
三是强化日常维护和监督管理。加强网络设备的日常运行维护,定期开展设备保养,对设备运行中存在的隐患及时了解和掌握,排除存在的不安全因素和故障,变运行维护工作由“事后救火”为“日常保健”。加强网络与信息安全的日常监督管理,定期或不定期的开展网络巡查,及时发现干部职工在网络与信息安全方面的违规行为,防微杜渐,变“事后处理”为“事先预防”。
3.4 加强等级保护定级和整改,全面提升系统安全等级
开展等级保护工作,对于进一步完善我局信息安全制度体系,规范信息安全管理,增强信息系统安全保护的整体性、针对性具有非常重要的意义。
一是合理划分信息系统等级。针对我局各类信息系统种类多的特点,根据不同信息系统的业务类型、应用或服务范围和系统结构等基本情况,合理确定信息系统的安全等级并向公安机关备案。
二是认真做好等级保护测评和整改工作。根据公安部门备案审核结果,选择具有国家相关资质的测评机构,对我局的信息系统进行等保测评,并根据测评结果进行整改落实。
三是定期开展自查和接受公安部门检查。定期对信息系统安全状况、安全保护制度及措施落实情况开展自查和接受检查,对未达到相应等级保护要求的,及时进行整改。通过信息安全等级保护工作,全面提升我局的信息安全保障能力和整体水平。
参考文献
[1] 高长永.计算机网络安全问题及其防范措施[J].网络安全技术与应用,2013(11).
[关键词] 网络 信息安全 法律保障
美国2002年《联邦信息安全管理法》规定,信息安全指确保信息和信息系统免受非授权访问、使用、披露、中断、修改或破坏,以实现完整性、机密性、可用性。那么,网络信息安全就是指在网络环境下确保网络基础设施免遭干扰、破坏,从而实现网络信息的完整性、保密性、可用性和真实性。
互联网是一个开放的网络,任何团体或个人都可以在网上方便地传送和获取各种各样的信息。由于网络的迅速发展而自身的安全防护能力很弱,许多应用系统处于不设防状态,存在着极大的安全风险和隐患。网络在为人们提供便利、带来效益的同时,也使人类面临着信息安全方面的巨大挑战。近年来,因网络信息安全而造成的突出事件,如“艳照门事件”、“熊猫烧香事件”等引起了人们的广泛关注,也使我们认识到建立网络信息安全的紧迫性与必要性。网络信息不安全可以毁人一辈子,会带来严重的、恶劣的社会影响和巨大的经济损失。有人言:电脑不可靠!网络更不可靠!在互联网时代是否真的无安全可言?除了本身技术手段之外,我们的法律体系对网络信息安全还要去如何加强?这都是我们需要继续努力的方向和思考的问题。从法律的角度来探求网络信息安全的保障,到底有什么样的规范和措施呢?
首先,要明确法律责任的责任主体。法律责任就是由特定法律事实所引起的对损害予以赔偿、补偿或接受惩罚的特殊义务。责任主体是指因违反法律、违约或法律规定的事由而承担法律责任的人,包括自然人、法人和其他社会组织。责任主体对于法律责任的有无、种类、大小有着密切的关系。
目前,我国法制体系中就网络信息安全问责中主要是针对违法犯罪的自然人,而忽略了网站的法律责任。本文认为要建立网络信息安全的保障,需要强化个人与网站双方的法律责任。在网络违法犯罪过程中,人是主谋,网站则是主要帮凶。日前,闹得沸沸扬扬的“艳照门事件”中,我们追究了原始投放者的法律责任和传播者的法律责任。而且在我国《刑法》中第三百六十四条明确规定:传播的书刊、影片、音像、图片或者其他物品,情节严重的,处二年以下有期徒刑、拘役或者管制。其别强调了非牟利的传播也可以构罪。但对于网站传媒仅仅从道德上予以回击,而缺乏法律约束及相关法律责任的追究。
按照引起责任的法律事实与责任人的关系的不同,法律责任可以分为直接责任、连带责任和替代责任。根据法律责任的类型可把法律责任分为民事法律责任、行政法律责任、刑事法律责任和违宪责任。在危害网络信息安全的法律问责中,原始违法犯罪人所造成的不利后果是直接的、明显的、严重的,应承担直接法律责任与刑事法律责任。后承违法犯罪人(传播者等)所造成的不利后果是直接的、有一定危害性的,应承担直接法律责任与民事法律责任,情节特别严重的也应追究其刑事责任,这在我国现有法律体系中已有明确规定。网站传媒作为社会组织,理应具有职业操守与社会责任感,是公民权利的代言人,是网络信息安全的管理者与执行者,如在维护网络信息安全的过程中成为了公民私权的侵犯者,除了予以道德谴责之外,还要承担一定的法律责任,即相应的连带法律责任与民事法律责任。
其次,要以法律手段强化网络监管。俗话说:三分技术,七分管理。这在网络信息安全领域也同样适用。据有关部门统计,在所有的网络安全事件中,约有52%是人为因素造成的,25%由火灾、水灾等自然灾害引起,技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成。属于管理方面的原因比重高达70%以上,而这些安全问题中的95%是可以通过科学的信息安全管理来避免。因此,在维护网络信息安全过程中,网络监管是关键,并且应由一定的法律来强制保障实行。
以法律强制手段推行网络实名制。网络实名制指在网络环境中传递信息时应使用真实身份资料认证的制度。网络以计算机为依托,借助一定的计算机符号来承载信息,带有很强的虚拟性。在这个虚拟性高的空间来实现非虚拟的信息安全管理具有一定的难度,因此就需要用法律的强制手段来推行。比如:上传网络信息的法律约束与管理。无论是个人还是集体要在网络中上传信息应受到一定的法律约束。不能是任何人任何时候都可以在任何网站上传任何信息,如要上传,应有特定的监管程序通过网络实名制的信息库检验其身份资格的合法性才能进行。当然这其中涉及到一个公民私权(个人隐私权等)的规避问题,但是我们的法律可以先在部分网站、部分领域实行网络实名制,等到条件成熟之后再全面推行。
进一步推广与完善电子签名及相关法律。电子签名也称作“数字签名”,是指用符号及代码组成电子密码进行“签名”来代替书写签名或印章,它采用规范化的程序和科学化的方法,用于鉴定签名人的身份以及对一项数据电文内容信息的认可。2004年8月,我国正式颁布了《中华人民共和国电子签名法》,并于2005年4月1日起正式施行。这是我国首部真正意义上的信息法律化,它明确了可靠的电子签名与手写签名或者盖章具有同等的法律效力。通过应用电子签名认证证书实现网上身份识别认证,并确保信息在网络中传输的保密性、完整性、以及行为的不可否认性。针对目前“电子认证”等实践中的具体问题,应加快相关法律的建设与完善。
落实网络信息安全等级评价。网络信息系统的安全等级是指国家信息安全监督管理部门根据计算机网络处理信息的敏感程度、业务应用性质和部门重要程度所确认的信息网络安全保护能力的级别。信息系统安全等级评价是指评价机构根据国家信息安全等级技术标准和管理标准,对使用单位的信息网络进行安全等级检测、评价和监督的活动。对于网络信息安全等级评价不合格的单位部门应由法律强制撤消其处理网络信息等相关职能或给予一定期限进行整改。
加强网络实名制、电子签名、网络信息安全等级评价等一系列法律的建立与完善,是强化网络信息安全监管的保障。
最后,要进一步制定完善信息安全法律法规,加强网络信息安全的法律宣传与教育。国外的信息安全立法活动进行较早,尤其是美国的信息安全法律体系较完备。我国的信息安全立法仍处在起步阶段,还没有形成一个具有完整性、适用性、针对性的法律体系。这个法律体系的形成一方面要依赖我国信息化进程的深化,另一方面要依赖对信息化和信息安全的深刻认识和技术、法学意义上的超前研究。我国已有的法律法规从不同的层次对信息安全问题做出了规范,如《国家安全法》、《中华人民共和国电子签名法》、《中华人民共和国计算机信息网络国际互联网络安全保护管理办法》等使我们初步有了处罚网络信息安全违法犯罪的法律依据,但还有很多领域缺乏对信息犯罪进行定罪处罚的法律依据,有待进一步完善。
安全意味着受到保护,免受那些有意或以其他方式产生危害的人的攻击。网络安全是对网络组件、连接和内容的保护。信息安全是对信息、系统以及使用、存储和传输信息的硬件的保护。网络信息安全的法律法规教育是计算机信息系统安全教育的重要内容。不管是作为一名计算机工作人员,还是普通计算机用户,都应该接受相关法律法规的教育。尤其是那些使用网络机会多而且很活跃的群体,更应该熟悉和掌握我国的信息安全方面的法律法规。法律法规是保证计算机信息系统安全准则,法律法规教育是遵守法律法规的必由之路。
总之,建立网络信息安全问题日益紧迫,为保障公民的合法权益,健全我国的法制建设,在提高网络技术的同时,我们也要重视相关法律的完善,使网络信息安全切实得到法律的保障。
参考文献:
[1]郭明瑞:民法[M].高等教育出版社,2005.6
[2]张文显:法理学[M].高等教育出版社,2004.5
[3]田文英符秋艳:论网络信息安全法的调整对象[J].情报杂志,2005;(4)
[4]周磊刘可静:我国网络信息安全问题及其立法探讨[J]. 图书情报工作,2006;(5)
