时间:2023-09-20 16:57:18
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全等级测评,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
【关键词】 云安全模型 信息系统 安全等级保护 测评 研究
实践中可以看到,云安全技术具有较强的技术要求,尤其是物理资源、网络、主机以及应用和数据信息安全。云计算中心以虚拟技术居多,基于等级保护之要求,对云计算信息系统难以开展安全等级保护测评,具有非常重要的作用。
一、云安全服务模型
云产品在部署模型、服务模型以及资源物理位置和管理属性方面,呈现出较大区别的形态模式,安全风险特征、控制职责范围也存在着较大的差异性。基于此,需基于安全控制角度健全和完善云计算模型, 实现云服务架构到安全架构的有效映射,从而为风险识别、决策以及安全控制提供重要参考。
基础设施即服务,其主要有计算机网络设施、网络设备、主机以及服务器等硬件平台;在基础设施建设过程中,首先是将硬件资源抽象起来,并且将这些资源有效的纳入到基础设施逻辑节点之中,向用户提供可统一编程应用程序接口,然后让用户通过应用程序对应用程序编程接口调用,从而实现物理设备的相互应用。对于IaaS层而言,其关注的主要安全问题是网络基础设施环境、物理、环境、主机以及网络连接设备和系统虚拟化等方面的安全。
对于云安全管理中心而言,基于云安全服务所提出的云安全管理概念,对用户、安全事件以及资产等进行统一监管,集中审计分析研究;同时,通过高效化、专业化支撑平台,以及先进的监测工具,预警安全事件,并且及时对安全状态进行掌控,从而发现基于云计算环境的病毒传播、网络攻击以及异常行为等事件,为应急响应、预警和事件调查提供技术方面的支撑;同时,还要采取有效的主动防护措施保护用户数据信息,并且对云计算中心进行全面安保。
二、基于云安全模型的信息安全等级测评
所谓云安全模式下的信息安全等级测评,主要是基于云安全中心模型、云安全服务模型以及云安全领域的不同要求,得出一个安全模型,并且在信息安全等级保护基础上确定其所处位置。云安全模型的一端与等级保护技术要求相连接,另一端则与等级保护管理要求相连接。实践中,通过云安全信息中心建模操作,全面分析安全模型下的云安全核心基础,并且得出安全等级测评模型,以此来开展相关测评工作。基于以上分析,笔者认为将在云安全模型中有效的嵌套云安全等级保护建模,即可实现与云信息安全等级相关的测评操作,对安全模型下的控制项实施细粒度分析。
云认证及其授权:对于云认证、授权而言,其重点在于全面查看登录认证、程序运行授权、服务认证以及敏感文件授权等事项。云访问控制过程中,基于访问控制模型对是否为强制访问、自主访问以及角色型访问控制进行确定,以便于能够采用不同的方式和方法对其进行有效的分析。对于云安全边界与隔离而言,主要是全面了解安全隔离机制、安全区域划分以及硬件安全技术支撑等问题。对于云安全存储而言,可将数据信息存储成加密格式,而且用户需将数据信息独立出来,区分开来。在恶意代码防范过程中,可了解是否有恶意代码检测、攻击抵御策略。同时,还要具备安全管理功能,对所有物理/虚拟硬件、软件以及网络资源等加强管理,管理测评要求与等级保护管理要求应当保持一致。对于网络安全传输而言,主要了解计算机网络安全传输采用加密的方式与否。对于网络配置及其安全策略而言,应当使访问控制、资源分配确实有效,而且还要以统一、安全可靠的方式进行定义,并且有效解 决、执行实践中的相应安全策略。
结语:总而言之,云安全快速发展的条件下,基于云安全模型的信息系统安全等级保护方法也在不断的完善,如何应当云计算虚拟化技术的漏洞以及数据泄露和共享访问模式问题,成为需要深化研究的要点。
参 考 文 献
[1] 邱建勋. 信息系统安全等级保护定级方法的思考[J]. 数字与缩微影像,2012(04)
【 关键词 】 等级保护;等级测评;质量控制
1 引言
近年来,随着等级保护工作的深入开展,我国相继出台了一系列等级保护法律法规体系和标准规范体系,中国石化根据国家等级保护政策和技术标准,结合企业特点,在不低于国家标准的基础上,编写了企业行业标准,形成了企业等级保护标准体系。对等级保护五个基本动作(信息系统定级、备案、安全建设整改、等级测评、安全检查环节)进行了针对性指导。其中《信息系统安全等级保护测评要求》、《 信息系统安全等级保护测评过程指南》、《信息系统安全管理测评》 、《中国石化集团信息系统安全等级保护管理办法》等技术标准,对等级测评的主要原则和主要内容,测评基本流程、过程分类、记录文档、测评报告等进行了具体规范。就目前研究成果来看,我国还没有形成以等级测评为主体的质量管理体系与技术标准,缺乏针对等级测评活动质量控制的方法研究。本文从研究《信息系统安全等级保护基本要求》、《中国石化集团信息安全等级保护基本要求》、《信息系统安全等级保护测评要求》、《 信息系统安全等级保护测评过程指南》等管理规范和技术标准入手,对等级测评活动的质量控制进行分析,提出了相应的工作方法和控制措施,基本满足了等级测评活动公正性、客观性和保密性对质量控制的需求。
2 等级测评活动的质量控制需求
等级测评活动是测评机构依据等级保护相关的政策法规、管理规范和技术标准,检测评估信息系统安全等级保护状况是否达到相应等级基本要求的过程,为石化行业等单位进行信息系统等级保护安全建设整改和国家监管部门依法行政管理提供决策依据,是落实信息安全等级保护制度的重要环节。等级测评活动不同于一般的风险评估和安全评价,是政策性、专业性很强的技术活动。对等级测评活动实施质量控制的目的,就是建立和完善等级测评质量管理体系,通过质量方针目标、管理制度、控制程序等系列管理措施,对等级测评活动实施全过程实施质量控制,保证测评活动中引用的政策法规、技术标准正确,测评方法科学,测评过程可控,测评行为规范,测评结论客观真实。要求等级测评人员在测评活动中,不但要正确理解和把握等级保护相关的政策法规、管理规范和技术标准,保证等级测评过程的合规性,还要通过职业道德规范教育和测评行为约束,保证等级测评结论的公正性、客观性。
3 等级测评机构的质量管理体系结构
等级保护政策法规、管理规范和技术标准,对等级测评的原则、内容、过程、方法以及测评强度的要求,体现了对等级测评活动实施质量控制的思想。《信息安全等级测评机构能力要求》要求等级测评机构建立、实施和维护符合等级测评工作需要的文件化的质量管理体系。要求体系文件以制度、手册、程序等形式执行,并应建立执行记录,为等级测评活动质量控制提出了基础框架结构。
等级测评机构的质量管理体系结构和控制措施主要包括四个层次的内容。
第一层指导性文件:依据等级保护政策法规体系、技术标准体系和等级测评机构能力要求,制定等级测评机构质量管理体系,确立质量方针和工作目标,指导测评活动。
第二层控制性文件:根据测评活动要求,建立保密管理制度、项目管理制度、质量管理制度、人员管理制度、教育培训制度、设备管理制度、申诉、投诉和争议管理制度等,对等级测评活动管理目标进行控制。
第三层操作性文件:依据等级测评管理目标,建立和完善相应的《合同评审控制程序》、《文件记录控制程序》 、《管理评审控制程序》、《技术评审控制程序》、《测评设备控制程序》、《测评过程控制程序》、《风险控制程序》、《保密控制程序》、《人力资源管理与教育培训程序》、《纠正和预防措施控制程序》、《申诉、投诉及争议处理控制程序》、《客户满意度管理程序》等操作性文件,对等级测评活动过程和环节进行控制。
第四层保证性文件:建立健全各项质量记录表单,制定测评机构禁止行为和测评人员职业道德规范,对等级测评结论的公正性、客观性、保密性进行控制。
4 等保测评过程中的质量控制
《 信息系统安全等级保护测评过程指南》将等级测评过程划分为测评准备、方案编制、现场测评、分析与报告编制四个活动阶段。测评过程质量控制强度与质量管理体系各要素之间的关系如表1所示。
4.1 测评准备活动的质量控制
4.1.1 项目启动活动的质量控制
依据《合同评审控制程序》组织有关管理、技术人员和法律顾问召开合同评审会议,对测评双方需要签订的委托协议或合同书进行评审。根据双方签订的委托协议或合同书,组建等级测评项目组,按照测评活动实际要求进行人员、设备、资金等资源配置。项目组设置质量管理和技术管理部门,明确责任权限,以满足测评活动的技术和质量管理要求。
依据《 信息系统安全等级保护测评过程指南》和《测评过程控制程序》编制《项目计划书》。
4.1.2 信息收集和分析活动的质量控制
依据《测评过程控制程序》编制《基本情况调查表》,收集和分析被测信息系统等级测评需要的各种资料,包括各种方针文件、规章制度及相关过程管理记录、被测系统总体描述文件、详细描述文件、安全保护等级定级报告、安全需求分析报告、安全总体方案、安全现状评价报告、安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档等。通过现场调查和工作交流等方式详细了解被测系统状况,明确等级测评的工作流程及可能带来的风险和规避方法,为编制等级测评实施方案做好准备。
4.1.3 工具和表单准备活动的质量控制
测评人员依据《测评过程控制程序》要求,搭建模拟系统测试环境,按照测评机构《测评设备控制程序》调试各种必备的测试工具,并按照《文件记录控制程序》准备现场测评授权书、文档交接单、会议记录表单、会议签到表等表单。
4.2 方案编制活动的质量控制
4.2.1 测评对象、测评指标、测试工具接入点、测评内容的质量控制
测评人员根据已经了解到的被测系统信息,按照《测评过程控制程序》规定的方法和步骤,分析整个被测系统及其涉及的业务应用系统,确定出本次测评活动的测评对象、测评指标、测试工具接入点、测评内容等,并以表单的形式进行具体描述。
4.2.2 测评指导书开发、测评方案编制的质量控制
测评人员按照《测评过程控制程序》要求和测评活动内容开发测评指导书、编制等级测评实施方案。
测评指导书由测评机构按照《技术评审程序》进行技术评审,评审合格后项目技术主管签字,并按照控制范围分发、管理。
等级测评实施方案由项目经理按照《技术评审程序》组织双方测评人员和专家小组成员进行技术评审,评审合格的等级测评实施方案,提交石化单位代表签字确认,按照《文件记录控制程序》、《保密控制程序》进行和管理。
4.3 现场测评活动的质量控制
4.3.1 进场前的准备活动的质量控制
按照《测评过程控制程序》要求组织召开首次测评会议,测评双方人员沟通等级测评实施方案,签署现场测评授权书,做好现场测评准备。
4.3.2 现场测评和结果记录、结果确认活动的质量控制
测评人员进入测评现场测评时,按照《测评过程控制程序》填写《现场测评登记表》,详细填写出入现场时间、测评工作内容、测评前后的信息系统安全状况,并由石化单位配合人员现场签字确认。
严格按照测评指导书和等级测评实施方案确定的过程和方法进行现场测评,通过人员访谈、文档审查、配置检查、工具测试和实地察看等方法,测评被测系统的保护措施情况,获取现场测评证据,并按照《文件记录控制程序》要求填写《现场测评记录表》。
现场测评活动中,及时汇总现场测评记录和发现的问题,对遗漏和需要进一步验证的内容实施补充测评,测评记录由测评双方测评人员现场签字确认。
现场测评完成后,测评双方人员召开现场测评结束会,对现场测评工作进行小结,将现场测评中发现的问题形成书面报告,并由双方代表签字确认。
现场测评活动中产生的所有现场测评结果记录以及石化单位提供的信息资料,均按照《文件记录控制程序》、《保密控制程序》进行管理,严格限制他们的知晓和使用范围。
4.4 分析与报告编制活动的质量控制
4.4.1 测评结果判定、整体测评、风险分析、等级测评结论形成的的质量控制
测评人员依据《信息系统安全等级保护基本要求》、《中国石化集团信息系统安全等级保护基本要求》、《信息系统安全管理要求》、《信息系统通用安全技术要求》等相关技术标准,按照《测评过程控制程序》规定的方法、步骤,对测评指标中的每个测评项测评记录,进行客观、准确地分析,形成初步单项测评结果,并以表单形式给出。按照《测评过程控制程序》要求汇总单项测评结果,分别统计不同测评对象的单项测评结果,从而判定单元测评结果,并以表格的形式逐一列出。测评人员针对单项测评结果的不符合项,采取逐条判定和优势证据的方法,从安全控制间、层面间和区域间出发,对系统结构进行整体安全测评,给出整体测评的具体结果。采用风险分析的方法分析等级测评结果中存在的安全问题及可能对被测系统安全造成的影响。在此基础上,找出系统保护现状与等级保护基本要求之间的差距,形成等级测评结论。
结论形成后,测评双方有关人员和技术专家按照《技术评审控制程序》对形成等级测评结论进行评审,评审通过的结果判定由测评双方授权代表签字确认。
本过程产生的文档资料,按照《文件记录控制程序》、《保密控制程序》进行分类授权使用和管理。
4.4.2 测评报告的编制和分发的质量控制
测评机构按照《信息安全等级测评报告模板(试行)》格式编写报告文档。
测评双方有关人员和专家召开等级测评末次会议,按照《管理评审控制程序》、《技术评审控制程序》对等级报告格式、内容和结论进行评审,评审通过的测评报告文档,按照《文件记录控制程序》盖章、编号,并由测评机构项目经理、质量主管、技术主管联合签发。
测评人员按照《文件记录控制程序》和《保密控制程序》和合同约定的控制范围分发等级测评报告,交接有关资料文档,删除测评设备产生的电子数据。
5 结束语
本文依据等级保护相关的政策法规、管理规范和技术标准,结合等级测评活动的公正性、客观性、保密性的要求,对等级测评活动的质量控制进行了分析,为等级测评机构建立质量管理体系和等级测评质量控制提供了借鉴和参考。随着等级保护政策法规和标准规范的不断更新和完善,等级测评活动的质量控制还有待更深入全面的探讨和研究。
参考文献
[1] GB/T 28448-2012 信息安全技术 信息系统安全等级保护测评要求.
[2] GB/T 28449-2012 信息安全技术 信息系统安全等级保护测评过程指南.
[3] 中华人民共和国公共安全行业标准(GA/T713-2007).信息系统安全管理测评.
[4] 中国石化集团信息系统安全等级保护管理办法.
[5] GB/T 22239-2008 信息系统安全等级保护基本要求[S].
[6] 中国石化集团信息系统安全等级保护基本要求.
[7] 信息安全等级测评机构能力要求(试行).
[8] GB/T20271-2006 信息安全技术 信息系统通用安全技术要求[S].
[9] 公信安[2009]1487号.关于印发《信息系统安全等级测评报告模板(试行)》的通知.
[10] 郝文江,武捷.三网融合中的安全风险及防范技术研究[J].信息网络安全,2012,(01):5-9.
[11] 韩水玲,马敏,王涛等.数字证书应用系统的设计与实现[J].信息网络安全,2012,(09):43-45.
[12] 常艳,王冠.网络安全渗透测试研究[J].信息网络安全,2012,(11):3-4.
1.1物理环境安全分析
信息中心机房安全对医院信息系统异常重要,它是承载整个信息系统的基础条件,直接影响信息系统能否正常工作。同时,中心机房工作环境影响设备能否长期正常工作。根据调查,机房环境温度每上升1度,计算机系统寿命减少一半;机房湿度低容易产生静电,大量静电容易损坏电路芯片,湿度太高容易腐蚀元器件等。从信息系统安全等级保护要求来看,物理环境安全分为设备物理安全、环境物理安全、系统物理安全三大方面。其中,设备物理安全主要包括静电放电、电磁辐射骚扰、电源适应能力等21项具体要求;物理环境安全主要包括场地选择、机房防火、机房屏蔽、供电系统、温湿度控制等19项具体要求;系统物理安全主要包括:灾难备份与恢复、防止非法设备接入、防止设备非法外联等6项具体要求。
1.2网络安全分析
在医疗行业中大家对网络安全普遍的认识是以防火墙加防病毒来进行网络安全防护,但事实上网络安全问题涉及的内容很多。随着医院网络整体应用规模的不断扩大,大规模DOS侵入、黑客攻击、蠕虫病毒、外来工作人员等因素导致网络安全环境日益恶化,现有安全技术手段逐渐暴露出安全防护力度不够,强度不高等问题,由于网络安全引发重要数据的丢失、破坏,将造成难以弥补的损失,严重影响到医院网络的正常运行。从等级保护要求方面,网络安全应该从身份鉴别、自主访问控制、强制访问控制、安全审计、可行路径、防抵赖等11个方面的进行安全防护建设和防护。
1.3主机安全分析
主机是医院信息系统的主要承载硬件设备,其安全性不言而喻,主机安全主要涉及:身份鉴别、访问控制、审计安全、入侵防范、资源控制等。影响主机安全的主要因素来源于两方面:一方面是针对操作系统的后门、木马与病毒攻击、黑客攻击、信息篡改、信息泄露、拒绝服务攻击等方面;另一方面是针对数据库的审计记录不足、拒绝服务、数据库通讯协议泄露、身份验证问题等方面。
1.4数据安全分析
数据库是医院信息系统数据存储的核心,从某种意义上说,医疗数据安全是医院信息安全的最主要防护重点,是整个安全防护的最重要核心。数据涉及到信息覆盖面广,数据量大,信息种类繁多,要保持每天24小时不间断运行[2],一旦数据破坏或丢失,都会给医院造成不可估量的损失。
1.5应用安全分析
众所周知,我国信息安全采用信息安全等级保护制度,按照应用系统的安全等级进行划分,应用系统是等级保护的核心,所处的IT环境包括主机、数据库、网络传输、物理等,这些因素从客观上增加了应用系统的安全风险,这些风险是必然存在的。应用系统从自身架构上基本包含数据采集、数据处理与汇总分析、人机界面以及各层之间的API接口,这些组成部分从主观上增加了应用系统本身的安全风险,而应用系统本身安全又包括应用系统架构设计安全、模块间数据通讯安全、数据存储安全设计、访问控制、身份认证等主要方面,因此每个层面都需要在系统设计时进行安全考虑和设计。
2医院信息安全防护措施
2.1加强安全意识教育
人是信息安全环节中最重要的因素[3],既是信息安全最大的防护者,也是信息安全问题的制造者。不仅要加强医务人员和信息管理人员自身的信息安全教育,同时也要提高信息安全意识。要做到思想上认识到信息安全工作的重要性,进一步确立信息化条件下医院信息安全防护的指导思想。通过开展信息安全教育,把人员思想与单位制定的信息安全标准、规范、制度等紧密结合,高度统一。建立健全信息安全教育相关培训制度和机制。
2.2建立完善的安全管理体系
加强医院信息系统安全防护制度建设、加强和建立技术防护规划和体系建设、建立人员安全防护体系、建立资产管理体系。形成制度、技术、人员管理和资产管理相结合的立体安全防护体系。信息安全工作要根据医疗行业、军队、国家的相关信息安全要求,从信息安全工作的宏观出发,着手微观。宏观上要制定总体方针和安全策略,建立起整套的信息安全管理机构。微观上要制定信息安全管理机构的工作目标、工作的边界、工作的原则、建立信息系统安全域以及信息系统的安全框架。完善安全管理活动中的各类安全防护标准、制度、规范以及工作流程。应设立专门的安全岗位并确定职责,应成立指导和管理信息安全工作的领导小组,其最高领导由单位主管领导委任或者授权。同时,应根据国家和行业的信息安全要求,例如:信息安全等级保护、风险评估等建立起适合本医院的信息安全等级保护制度基线。从应用系统定级到测评和改造建立起一套行之有效、适合自身的等级保护测评制度和流程,形成完善的信息安全生命周期环,使医院信息安全建设能够伴随着应用系统建设不断滚动健全。
2.3建立完善的安全技术体系
我国信息安全等级保护要求,以信息系统作为定级和保护对象,从物理安全、网络安全等5个层面进行了不同等级间、细颗粒度的具体要求。医院信息系统按照信息安全等级保护标准进行安全防护建设,从机房和网络的公共基础安全防护到数据和应用的系统化安全防护,医院信息系统安全防护主要分为以下几个环节进行防护:
2.3.1物理防护层面
机房属于信息安全等级保护中规定的物理部分,它承载着应用系统所依赖的IT硬件环境,因此机房位置的选择至关重要,从等级保护测评细项上要求机房所在楼宇需要对防震、防雨、防风等进行强度要求。同时为避免内涝和雷击的危险,机房要求避免设置在地下或者顶层。同时,机房是IT资产的重要区域,要求相关人员进出要有门禁控制和相应的音视频监控,对出入人员进行鉴别、控制、记录。在物理机房防护上还应注意防火、防盗窃和防破坏等。具体措施可根据医院实际情况进行整改建设。
2.3.2网络防护层面
网络是整个信息化工作的高速公路,承载着各种业务。目前各医院医疗工作基本实现无纸化,医疗数据传递依靠网络系统,一套业务处理能力强、带宽高且有冗余的网络系统才能够满足医疗业务高峰需求。应根据应用需求建立网络安全访问路径,对客户端和核心服务器间进行路由控制,对不同医疗部门根据工作职能、重要程度和信息敏感性等要素划分不同的网段,并对不同网段按照重要程度划分安全域。根据医疗业务、管理业务等系统进行数据流向的访问控制,建立端口级的细粒度控制。应能够对网络系统中的流量、设备状态,用户访问行为进行控制和记录,并能够根据记录数据进行分析,生成审计报表。对非授权设备私自连到内部网络的行为进行检查,并确定位置,进行有效阻断。应能够在检测到攻击行为时,记录攻击源IP、攻击类型、目的、时间等,在发生严重入侵事件时进行入侵报警进行防范。同时,还要在网络边界处对恶意代码进行检测和清除,做到边界层的恶意代码防范。
2.3.3主机安全防护层面
应对登录操作系统和数据库系统的用户进行身份标识和鉴别,要有防假冒和伪装的功能,针对登录失败要具有结束会话、限制非法登陆次数和自动退出等措施。应对管理用户进行三权分立设置,根据管理用户的角色分派权限,实现管理用户的权限分离。应能够对服务器和重要客户端上的每个操作系统用户和数据库用户进行审计,进行防抵赖等功能设计,杜绝管理人员带来的安全风险,应能对主机进行入侵防范,在遭到攻击时能够记录入侵源IP、攻击类型等。应对主机进行恶意代码防护,并与网络恶意代码防护采用不同的恶意代码库。应对服务器主机资源包括CPU、硬盘、内存、网络等资源使用情况进行监视。
2.3.4数据安全层面
应能够保证数据的完整性、保密性、可用性。对医疗数据在传输和存储过程中能够检测到数据完整性是否受到破坏。应对重要业务数据进行时间小颗粒度的数据备份,同时要做到异地数据备份和备份介质场外存放。要采用冗余技术设计网络拓扑,避免关键节点、数据节点存在单点故障[4]。同时应对数据所承载网络设备、通信线路和数据处理系统进行硬件冗余,保证系统的高可用性。
2.3.5应用安全层面
1.1信息安全保护等级的划分
影响信息系统安全保护等级的确定因素主要取决于信息系统在经济社会和国家安全中的重要程度以及被破坏后对经济社会、组织群众利益的危害程度。信息系统安全保护等级一共被划分为以下五个等级:第一级:用户自主保护级信息系统受到攻击破坏,由此导致相关组织机构以及人民群众利益受损,但是对社会的稳定、集体的利益以及国家的安全没有危害。此类信息的重要性以及保护方式全部取决于用户自己的选择。第二级:系统审计保护级信息系统受到攻击破坏,由此不仅导致相关组织机构以及人民群众利益受到很大的损伤,同时还危及到社会的稳定和集体的利益,但是不危及到国家安全。第三级:安全标记保护级信息系统受到攻击破坏后,对社会的稳定和集体的利益产生了非常大的危害或者对国家安全产生严重威胁。此等级不仅具备系统审计保护级的全部信息保护功能,同时还会强制对系统的访问者及其访问对象进行控制和记录,对其行为进行监督与审计。第四级:结构化保护级由此导致相关组织机构以及人民群众利益受到极大的损伤或者对社会的稳定和集体的利益以及国家安全产生了极大的危害。第五级:访问验证保护级信息系统受到攻击破坏,由此导致国家安全受到极其严重的危害。此级别功能最全,除具备上述所有级别功能外,对系统加设了访问验证保护,以此不但记录访问者对系统的访问历史,还对访问者的访问权限进行设置,确保信息被安全使用,保障信息不外泄。
1.2信息安全等级的划分
对于一些需要特殊保护和隔离的信息系统,如我国的国防部、国家机关以及重点科研机构等特殊机构的信息系统,在进行信息安全保护时,要严格按照国家颁布的关于信息安全等级保护的相关政策制度以及法律法规的规定要求对信息系统进行等级保护。根据需被保护的信息的类别和价值的不同,通常其受到保护的安全等级也不同。此举目的为在保护信息安全的同时降低运作成本。
2信息安全等级保护的基本要求
信息安全等级保护的基本要求分为技术和管理两大类。技术部分是要求在信息安全保护过程中采取安全技术措施,使系统具备对抗外来威胁和受到破坏后自我修复的能力,主要涉及到物理、网络、主机、应用安全和数据恢复功能等技术的应用。管理部分是要求在信息系统的全部运行环节中对各运行环节采取控制措施。管理过程要求对制度、政策、人员和机构都提出要求,涉及到安全保护等级管理、工程建设管理、系统的运行与维护管理以及应急预案管理等管理环节。
3信息安全等级保护的方法
3.1信息安全等级保护流程
信息安全等级保护涉及到多个环节,需要各相关部门共同参与,合力完成。安全等级保护的环节大体上分为以下九步:(1)确定系统等级作为实现信息等级保护的前提,确定信息系统的安全保护等级是必不可缺的步骤。用户要严格按照国家规范标准给所使用的信息系统科学确定等级。(2)等级审批信息系统主管部门对信息系统的安全等级进行审批调整,但调整时要按照规定,只能将等级调高。(3)确定安全需求信息系统的安全需求可反映出该等级的信息系统普遍存在的安全需求。信息系统在确定安全需求时要依赖该系统的安全等级,但因为信息系统普遍存在可变性,因此用户在确定安全需求时还要根据自身实际情况确定自己系统的安全需求。(4)制定安保方案当信息系统的等级和安全需求确定后,针对已掌握情况制定出包括技术安全和管理安全在内的最佳安全保护方案。(5)安全产品选型安全产品的选择直接决定了安全保护工作是否能够成功实现。因此在安全产品的选择过程中,不仅要对产品的可信度和功能进行认真审查,还要求国家相关部门监管产品的使用情况。(6)安全测评测评的目的在于确定系统安全保护的实现,以保证信息安全。若测评不能达到预期目标,要及时进行重新调整。(7)等级备案安全保护等级在三级以上的信息系统,其用户和运营商需要向地市级以上公安机关备案。跨地域的信息系统的备案由其主管部门在当地同级公安机关完成,分系统的备案由其用户和运营商完成。(8)监督管理信息系统的监管工作主要是监督安全产品的使用情况,并对测评机构和信息系统的登记备案进行监管。(9)运行维护该环节主要目的在于通过运行确定系统的信息安全,还可以重新确定对产生变化的信息系统的安全保护等级。以上环节在实现信息系统的安全等级保护过程中极其重要,不可跨环节、漏环节操作。
3.2信息安全等级保护的方法
信息安全等级保护分为物理安全保护和网络系统安全保护两类。对于物理安全保护,又分为必要考虑和需要考虑两个安全层面。对于必要考虑的物理安全方面:对于主机房等场所设施来说,要做好安全防范工作。采用先进的技术设备做到室内监控、使用用户信息登记、以及自动报警系统等。记录用户及其访问情况,方便随时查看。对于需要考虑的物理安全方面:对于主机房以及重要信息存储设备来说,要通过采用多路电源同时接入的方式保障电源的可持续供给,谨防因断电给入侵者制造入侵的机会。根据安全保护对象的不同,有不同的保护方法。具体方法如下:(1)已确定安全等级系统的安全保护对于全系统中同一安全等级的信息系统,对于任何部分、任何信息都要按照国家标准采取统一安全保护方法给其设计完整的安全机制。对于不同安全等级的分系统,对其上不同的部分及信息按照不同的安全要求设计安全保护。(2)网络病毒的防范方法计算机病毒严重威胁到计算机网络安全,所以防范病毒的入侵在信息系统安全保护过程中是非常重要的步骤。运用防火墙机制阻挡病毒入侵,或者给程序加密、监控系统运行情况、设置访问权限,判断是否存在病毒入侵,及时发现入侵的病毒并予以清除,保障计算机信息系统的安全。(3)漏洞扫描与修复方法系统存在漏洞是系统的安全隐患,不法分子常会利用系统中的漏洞对系统进行攻击破坏。因此要经常对计算机进行全面的漏洞扫描,找出系统中存在的漏洞并及时修复漏洞,避免给不法分子留下入侵机会。漏洞的修复分为系统自动修复和人工手动修复两种,由于多种原因,绝对完善的系统几乎不存在,因此要定期对系统进行漏洞扫描修复,确保系统的安全。
4结束语
【关键词】信息系统 身份鉴别 漏洞扫描 信息安全管理体系(ISMS)
近年来,“Locky勒索软件变种”、““水牢漏洞””、“支付宝实名认证信息漏洞”、“京东12G用户数据泄露”、“700元买他人隐私信息”等信息安全事件层出不穷,引起各国领导的重视和社会关注。为提高网络安全和互联网治理,2014年,我国成立了以主席为最高领导的信息安全管理机构-中央网信办;2016年11月,在中国乌镇举行了《第三届世界互联网大会》。通过一系列的行为,为求现有的网络系统能够提高安全能力,为广大社会群众提供服务的同时,能够保证人民的利益。
信息系统是由硬件、软件、信息、规章制度等组成,主要以处理信息流为主,信息系统的网络安全备受关注。企业在应对外部攻击,安全风险的同时,当务之急是建立一套完整的信息安全管理体系。在统一的体系管控下,分布实施,开展各项安全工作。
目前,大多数企业的信息安全工作比较单一,主要是部署安全防护设备,进行简单的配置。信息安全工作不全面,安全管理相对薄弱,不足以抵抗来自外部的威胁。
1 信息安全问题
1.1 身份鉴别不严格
考虑到方便记忆和频繁的登录操作,企业普遍存在管理员账号简单或者直接采用系统的默认账号现象,并且基本不设定管理员的权限,默认使用最大权限。一旦攻击者通过猜测或其他手段获得管理员账号,攻击者如入无人之境,可以任意妄为。最终可造成数据泄露,系统瘫痪等不可估量的严重后果。注重信息安全的企业会修改默认管理员账号,设定较为复杂的口令,并定期进行口令更换。但是也仅仅使用一种身份鉴别技术,不足以抵抗外部攻击。
1.2 外部攻击,层出不穷
随着计算机技术的发展,信息系统的外部攻簦层出不穷。攻击者利用网络系统的漏洞和缺陷,攻击系统软件、硬件和数据,进行非法操作,造成系统瘫痪或者数据丢失。 目前主要存在的攻击手段包括扫描技术、邮件
攻击、拒绝服务攻击、口令攻击、恶意程序等等;入侵常用的步骤包括采用漏洞扫描工具进行扫描、选择合适的方式入侵、获取系统的一定权限、提升为系统最高权限、安装系统后门、获取敏感信息或者其他攻击目的。攻击者会根据系统特性和网络结构采取不同的手段对网络进行攻击,如果不采取相应的防御手段,很容易被黑客攻击,造成损失。
1.3 员工安全意识薄弱
很多互联网企业的员工缺乏信息安全意识,存在离开办公电脑时不锁屏现象;将重要客户信息、合同等敏感材料放在办公桌上或者不及时取走打印机房内的材料;优盘未经杀毒直接连接公司电脑;随意点击不明邮件的链接;更有员工将系统账号、密码粘贴在办公桌上;在系统建设阶段,大到管理者,小到开发人员、测试人员,均注重技术实现和业务要求,而忽略了系统的安全和管理。由于员工的信息安全意识较为薄弱,很容易造成公司信息泄露,进而导致公司的损失。
1.4 内部管理制度不完善
俗话说,“不以规矩,不能成方圆”。未形成全面的信息安全管理制度体系,缺失部分安全策略、管理制度、操作规程,可能导致信息安全管理制度体系存在疏漏,部分管理内容无法有效实施。使相关工作过程缺乏规范依据和质量保障,进而影响到信息系统的安全建设和安全运维。比如在软件开发过程中,开发人员会因为各种原因而忽略安全开发(存在开发人员没有意识到代码安全开发的问题;有些开发人员不愿意使用边界检查,怕影响系统的效率和性能;当然也存在许多遗留代码存在问题的现象,从而导致二次开发同样产生问题),可能导致系统存在后门,被黑客攻击。
2 防范措施
企业需依据《信息安全等级保护管理办法(公通字[2007]43号)》、《中华人民共和国网络安全法》》、《ISO/IEC 27001》等标准和法律法规进行信息系统安全建设工作。测评机构在网安的要求下,对企业信息系统的安全进行测评,并出具相应测评结果。根据测评结果和整改建议,采用相应的技术手段(安全认证、入侵检测、漏洞扫描、监控管理、数据备份与加密等)和管理措施(安全团队、教育与培训、管理体系等)对信息系统进行整改。如图1所示。
2.1 技术手段
2.1.1 安全认证
身份鉴别是指在计算机系统中确认执行者身份的过程,以确定该用户是否具有访问某种资源的权限,防止非法用户访问系统资源,保障合法用户访问授权的信息系统。凡登录系统的用户,均需进行身份鉴别和标识,且标识需具有唯一性。用户身份鉴别机制一般分为用户知道的信息、用户持有的信息、用户生物特征信息三种。针对不同鉴别机制,常用的鉴别技术(认证技术)如表1所示。
不同的认证技术,在安全性、便捷性方面存在不同的特性。比如USB-Key的安全等级较高,但会遇到各种问题,导致便捷性较差(比如存在软硬件适配性问题,移动终端无USB口等)。一般认为在相同的便捷性前提下,选择安全等级较高的认证技术。针对重要系统应采用双因子认证技术。
2.1.2 入侵检测
入侵检测能够依据安全策略,对网络和系统进行监视,发现各种攻击行为,能够实时保护内部攻击、外部攻击和误操作的情况,保证信息系统网络资源的安全。入侵检测系统(IDS)是一个旁路监听设备,需要部署在网络内部。如果信息系统中包含了多个逻辑隔离的子网,则需要在整个信息系统中实施分布部署,从而掌控整个信息系统安全状况。
2.1.3 漏洞扫描
漏洞扫描是指基于漏洞数据库,通过扫描等手段对目标系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测行为。常见的漏洞扫描类型主要包括系统安全隐患扫描、应用安全隐患扫描、数据库安全配置隐患扫描等。系统安全隐患扫描根据扫描方式的不同,分为基于网络的和基于主机的系统安全扫描,可以发现系统存在的安全漏洞、安全配置隐患、弱口令、服务和端口等。应用安全隐患扫描可以扫描出Web应用中的SQL注入、Cookie注入、XPath注入、LDAP注入、跨站脚本、第三方软件等大部分漏洞。数据库安全配置隐患扫描可以检测出数据库的DBMS漏洞、缺省配置、权限提升漏洞、缓冲区溢出、补丁未升级等自身漏洞。
漏洞扫描主要用于评估主机操作系统、网络和安全设备操作系统、数据库以及应用平台软件的安全情况,它能有效避免黑客攻击行为,做到防患于未然。
2.1.4 监控管理
网络监控主要包括上网监控和内网监控两部分。目前市场上已做的完整监控软件已包含上述功能。网络监控需结合网络拓扑,在网络关键点接入监控工具监测当前网络数据流量,分析可疑信息流,通过截包解码分析的方式验证系统数据传输的安全。例如Solarwinds网络监控平台,它包括Network Performance Monitoring、Network Traffic Analysis、WAN Performance (IP SLA) 、IP Address Management、Network Configuration Management、Application Performance Monitoring等。可以执行全面的带宽性能监控和故障管理;可以分析网络流量;可以对服务器上运行的服务和进程进行自动监控,并在故障发生时及时告警;可对VOIP的相关参数进行监控;可以通过直观的网络控制台管理整个IP架构;可快速检测、诊断及解决虚拟化环境的网络性能;强大的应用程序监视、告警、报告功能等。
2.1.5 数据备份与加密
企业高度重视业务信息、系统数据和软件系统。数据在存储时应加密存储,防止黑客攻击系统,轻易获得敏感数据,造成公司的重大经济损失。常用的加密算法包括对称加密(DES、AES)和不对称加密算法(RSA)。密码技术不仅可以防止信息泄露,同时可以保证信息的完整性和不可抵赖性。例如现在比较成熟的哈希算法、数字签名、数字证书等。
除了对数据进行加密存储外,由于存在数据丢失、系统断电、机房着火等意外,需对系统数据进行备份。按照备份环境,备份分为本地备份和异地备份;按照备份数据量的多少,备份分为全备、增备、差分备份和按需备份。各企业需根据自己的业务要求和实际情况,选取合适的备份方式进行备份。理想的备份是综合了软件数据备份和硬件冗余设计。
2.2 管理措施
2.2.1 安全团队
企业应设立能够统一指挥、协调有序、组织有力的专业的安全管理团队负责信息安全工作,该团队包括信息安全委员会,信息安全部门及其成员。安全部门负责人除了具备极强的业务处理能力,还需要有管理能力、沟通能力、应变能力。目前安全团队的从业人员数量在逐渐增加,话语权在增多,肩上的担子也越来越大。安全团队需要定好自己的位,多检查少运维,多帮企业解决问题。即安全团队修路,各部门在上面跑自己的需求。
2.2.2 教育c培训
保护企业信息安全,未雨绸缪比亡羊补牢要强。培养企业信息安全意识文化,树立员工信息安全责任心,是解决企业信息安全的关键手段之一。企业的竞争实际上是人才的竞争,除了定期进行技能培训外,还需对员工的安全意识进行教育和培训。信息安全团队应制定信息安全意识教育和培训计划,包括但不限于在线、邮件、海报(标语)、视频、专场、外培等形式。通过对员工的安全意识教育,能从内部预防企业安全事件的发生,提高企业的安全保障能力。
2.2.3 管理体系
随着计算机攻击技术的不断提高,攻击事件越来越多,且存在部分攻击来自公司组织内部。单靠个人的力量已无法保障信息系统的安全。因此,企业需建立自上而下的信息安全管理体系(ISMS, Information Security Management System),以达到分工明确,职责清晰,安全开发,可靠运维。安全管理制度作为安全管理体系的纲领性文件,在信息系统的整个生命周期中起着至关重要的作用。不同机构在建立与完善信息安全管理体系时,可根据自身情况,采取不同的方法,一般经过PDCA四个基本阶段(Plan:策划与准备;Do文件的编制;Check运行;Action审核、评审和持续改进)。可依据ISO27000,信息安全等级保护等,从制度、安全机构、人员、系统建设和系统运维5个方面去制定信息安全管理体系。通常,信息安全管理体系主要由总体方针和政策、安全管理制度、日常操作规程和记录文档组成,如图2所示。
3 结语
国家不断加强对各个互联网企业、金融、银行等的信息安全工作监督,通过ISO27000、信息安全等级保护测评、电子银行评估、互联网网站专项安全测评等方式,规范企业的信息安全建设工作。同样,信息安全工作长期面临挑战,不能一蹴而就,需要相关安全工作人员戮力同心、同舟共济、相互扶持、携手共建信息安全的共同体。
参考文献
[1]沈昌祥,张焕国,冯登国等.信息安全综述[J].中国科学杂志社,2007(37):129-150.
[2]李嘉,蔡立志,张春柳等.信息系统安全等级保护测评实践[M].哈尔滨工程大学出版社,2016(01).
[3]蒋欣.计算机网络战防御技术分析[J].指挥控制与仿真,2006(08),28-4.
作者简介
康玉婷(1988-),女,上海市人。硕士学位。现为信息安全等级测评师、初级工程师。主要研究方向为信息安全。
作者单位
对系统自我定级
长城资产管理公司是国有独资的金融企业,在业务高速发展的同时,一直非常重视信息安全体系的建设,早期已经部署了 “老三样”信息安全产品,即网络防病毒、防火墙和网络入侵检测产品,对保障业务系统的安全正常运转起到了重要作用。
公司综合经营管理系统经过四期建设,实现了数据集中和管理集中,为公司收购、管理与处置政策性不良资产以及商业化经营等业务的顺利开展提供了完整的业务操作平台。
根据《信息系统安全等级保护定级指南》中对信息系统的要求,长城资产管理公司考虑到综合经营管理系统是公司的核心业务系统,一旦受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害,因此,公司确定首要的工作是设定系统的保护级别。经过综合审核,最终将系统保护级别定为3级,并形成了等级保护定级报告,这在资产管理公司里属于首家。
对定级进行测评
系统定级之后,公司做了备案,同时申请等级保护的主管单位进行现场测评。北京等级保护办公室作为这次测评的主管和实施单位,根据等级保护3级基本要求对综合经营管理系统进行测评。现场测评工作主要包括跟综合经营管理系统相关的各个层面,在网络层面进行网络设备安全配置检查和安全系统部署;在主机层面进行主机系统的安全配置检查和数据库系统安全检查;在数据安全方面进行了数据完整性、机密性和可用性的检查;在管理方面进行安全策略、安全组织以及人员的检查,同时对信息部门领导和相关人员以及公司的人力资源部门相关人员做了详细的访谈。涉及方面之广,检查粒度之细都是其他专门的安全项目所无法比拟的,对公司整个信息安全建设指明了方向,细化了要求,加强了安全体系建设,提升了人员的信息安全意识,规范了信息安全工作流程。
但是,在现场的测评工作当中也出现了一些问题,主要来自两方面:一是发现了公司在信息安全建设中的“短板”,明确了工作重点和方向;二是发现基本要求中的个别条款的要求过于“苛刻”――单纯从技术上来看是可行的,但是如果结合公司的业务,就不是特别合理,因为需要对现有运行的业务进行很大的改造,甚至涉及到对底层操作系统的改造。
最后,在北京等级保护办公室的监督、指导下,公司加强了安全管理,调整个别不符合项目,最终通过了等级保护3级测评。
建设等级保护平台
信息安全等级保护建设背景
信息安全等级保护制度是我们国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。
2011年,原卫生部了《关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函〔2011〕1126号)。针对医疗卫生行业的信息系统,原卫生部办公厅于2011年下发了《卫生行业信息安全等级保护工作的指导意见》(卫发办〔2011〕85号)要求三级甲等医院的核心业务信息系统信息安全等级保护定级不低于第三级,并且要求2015年12月30日前完成信息安全等级保护建设整改工作,并通过等级测评。
医疗行业面临的主要风险
1.医疗行业特点
随着我国医疗卫生事业的迅速发展,医学科学的不断进步,医药卫生事业体制改革的逐步深入,医院生存和发展的外部环境和内部机制都发生了很大的变化。当今计算机信息和网络通信技术的深入发展为提高医院管理水平创造了良好的条件,医院信息化建设也因此逐渐在我国各级医院中迅猛发展。目前医疗行业信息化有如下特点:系统运行连续性要求高,要求7×24小时不间断服务;网络间断时间不允许超过2小时;信息高度集成,所有信息需要集中使用;异构系统多,系统复杂度高;系统间接口复杂,涉及厂家多;系统内存储资料价值较高,存储着医院大量运用数据,其中包含大量患者隐私;存储的数据内容本身具备法律效力;核心网络采用网络物理隔离。
2.信息系统的威胁来源
信息系统的威胁来源主要可以分为两个方面,一个是环境因素造成的威胁,另一个方面是人为因素造成的威胁,而人为因素所带来的损失往往是不可估量的。
在环境因素方面,威胁主要来自于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外事故等环境危害或自然灾害,以及软件、硬件、数据、通讯线路等方面的故障。
在人员因素方面又可以分为有意和无意两种情况,对于有意而为之的人,通常指恶意造成破坏的人,怀不满情绪的或有预谋的内部人员对信息系统进行恶意破坏,采用自主或内外勾结的方式盗窃机密信息或进行篡改,获取利益。而外部人员也可以利用信息系统的脆弱性,对网络或系统的保密性、完整性和可用性进行破坏,以获取利益或炫耀能力。对于无意的情况来说,通常指管理人员没有意识到问题或者没有尽心尽责的工作。例如,内部人员由于缺乏责任心,或者由于不关心或不专注,或者没有遵循规章制度和操作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击。
3.信息系统负面影响
医院内部的信息系统如果受到威胁、入侵或被破坏等,会给国家、医院以及人民的利益带来严重的影响。
系统如果出现宕机的现象,首先会造成患者情绪激动,耽误治疗流程,甚至会威胁到患者生命的安危。其次会造成门诊业务人员、主治医生、护士等工作人员的工作慌乱,甚至成为情绪激动患者的放矢对象。门诊办主任、主管院领导、医院院长电话问询,信息中心则会电话不断、手忙脚乱。医院业务停顿,从经济上受损失,而媒体也会曝光医院,使得医院信誉受损。
如果医院信息系统的内部信息丢失,则会造成员工信息被公开、患者信息泄露等风险。例如,据《劳动报》报道,一名负责开发、维护市卫生局出生系统数据库的技术部经理利用工作之便,在2011年至2012年4月期间,每月两次非法进入该院数据库,偷偷下载新生儿出生信息并进行贩卖,累计达到了10万条,给医疗卫生行业带来了严重的负面影响。
信息安全等级保护建设体系
由于医院信息系统复杂的特点、面临的威胁及产生负面影响的严重性,医院开展信息安全等级保护建设工作就尤为重要,急需一套适合医院的等级保护安全防御体系。
信息安全等级保护体系主要包括技术与管理两方面,在安全技术方面包括:物理安全、网络安全、主机安全、应用安全、数据安全;在安全管理方面包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理。这10个方面里每一项都有若干控制项,顺利通过测评至少要达到控制项的80%以上(表1)。
如表1所示,控制项中G表示基本要求类,三级必须达到G3标准;S表示业务信息安全类,A表示系统服务保证类,三级标准中S与A任选一项达到三级即可。
根据信息安全等级保护标准,我院主要建设经验如下:
1.信息安全技术
(1)物理安全:数据中心机房是物理安全的核心,机房的装修工程、动力配电系统、空调新风系统、消防系统、综合布线系统等均需按照A级机房标准进行建设。此外,日常的管理工作也尤为重要,在物理权限控制方面应配备门禁系统,并且应做到两种或两种以上的身份识别机制,如指纹加密码或IC卡加密码等。环境监控方面除了每天定时的人员巡检还应在机房及各设备间部署监控系统,利用传感器监控温湿度、漏水、电压、设备状态等信息,一旦发生异常通过短信及时告知机房管理人员。
(2)网络安全:按照等级保护思路进行安全域的划分,将不同级别的信息系统通过防火墙和网闸进行隔离,根据每个安全域的特点设定不同的安全策略。服务器安全域制定细粒度访问控制列表,仅开放必要的端口,并在旁路架设网络流量审计设备和入侵检测系统,对所有流量进行记录及审计,能够及时发现攻击行为;客户端安全域制定网络准入和非法外联策略,禁止未经授权的计算机随意接入医院网络,并且通过管理软件和网闸控制内网的计算机随意访问外网或互联网;架设安全管理域,该区域主要用于对网络设备、服务器、安全设备的管理,并集中收集设备的日志,及时通过分析日志发现安全隐患。
(3)安全:服务器进行统一安全策略的制定,部署网络版杀毒系统、补丁分发系统、入侵防范系统等,并结合服务器承载的业务特点制定详细的资源控制列表,按照最小授权原则,授予最低资源访问权限。
(4)应用安全:部署数据库审计系统,对所有流经数据库的网络流量进行数据分析,制定审计策略,发生违规数据操作及时通过短信报给安全审计人员;同时部署CA数字签名系统,医生通过USBKEY进行系统登录,并对其所有操作进行数字签名,有效保证了应用系统的安全性及数据的不可抵赖性。
(5)数据安全:利用专业的数据备份软件在异地部署数据备份中心,对各系统数据库和文件继续高频率集中加密备份,并且应至少六个月进行一次数据还原演练,保证在出现问题是可以有效进行恢复。
2.信息安全管理
(1)安全管理制度:从医院层面制定信息安全管理制度,对信息安全制度进行重新整理修改,规定信息安全的各方面应遵守的原则、方法和指导策略,指定具体管理规定、处罚措施。制度应具备可操作性,同时应由专人负责随时进行修正,并由信息安全领导小组进行评审,最终进行。
(2)安全管理机构:组织建立信息安全工作领导小组,设置信息安全管理岗位,设立独立的系统管理员、网络管理员、安全管理员、安全审计员等岗位,制定各岗位的工作职责,与各岗位相关人员签署保密协议。同时制定沟通协作机制,内部定期组织会议进行信息安全工作部署,外部每日向公安局上报备案信息系统的安全情况,与数据库、存储、网络设备、安全设备等厂商签署协议,提供所有设备的备机备件,每月进行设备巡检,并要求在发生紧急事件时及时到场提供技术支持。
(3)人员安全管理:在人员录用方面,严格审查人员的背景、身份,并签署保密协议,人员离岗时执行离岗流程,各部门主管负责回收本部门负责的相关权限,所有权限回收后方可办理离职手续。同时定期对人员进行相关培训,每周进行一次内部培训,每年进行两次外部培训。对于外部厂商人员,其对设备的相关操作均需进行审批流程,并通过技术手段记录所有操作行为,做好操作记录,并不定期进行行为审计。
关键词:证券行业信息安全网络安全体系
近年来,我国资本市场发展迅速,市场规模不断扩大,社会影响力不断增强.成为国民经济巾的重要组成部分,也成为老百姓重要的投资理财渠道。资本市场的稳定健康发展,关系着亿万投资者的切身利益,关系着社会稳定和国家金融安全的大局。证券行业作为金融服务业,高度依赖信息技术,而信息安全是维护资本市场稳定的前提和基础。没有信息安全就没有资本市场的稳定。
目前.国内外网络信息安全问题日益突出。从资本市场看,近年来,随着市场快速发展,改革创新深入推进,市场交易模式日趋集巾化,业务处理逻辑日益复杂化,网络安全事件、公共安全事件以及水灾冰灾、震灾等自然灾害都对行业信息系统的连续、稳定运行带来新的挑战。资本市场交易实时性和整体性强,交易时问内一刻也不能中断。加强信息安全应急丁作,积极采取预防、预警措施,快速、稳妥地处置信息安全事件,尽力减少事故损失,全力维护交易正常,对于资本市场来说至关重要。
1证券行业倍息安全现状和存在的问题
1.1行业信息安全法规和标准体系方面
健全的信息安全法律法规和标准体系是确保证券行业信息安全的基础。是信息安全的第一道防线。为促进证券市场的平稳运行,中国证监会自1998年先后了一系列信息安全法规和技术标准。其中包括2个信息技术管理规范、2个信息安全等级保护通知、1个信息安全保障办法、1个信息通报方法和10个行业技术标准。行业信息安全法规和标准体系的初步形成,推动了行业信息化建设和信息安全工作向规范化、标准化迈进。
虽然我国涉及信息安全的规范性文件众多,但在现行的法律法规中。立法主体较多,法律法规体系庞杂而缺乏统筹规划。面对新形势下信息安全保障工作的发展需要,行业信息安全工作在政策法规和标准体系方面的问题也逐渐显现。一是法规和标准建设滞后,缺乏总体规划;二是规范和标准互通性和协调性不强,部分规范和标准的可执行性差;三是部分规范和标准已不适应,无法应对某些新型信息安全的威胁;四是部分信息安全规范和标准在行业内难以得到落实。
1.2组织体系与信息安全保障管理模型方面
任何安全管理措施或技术手段都离不开人员的组织和实施,组织体系是信息安全保障工作的核心。目前,证券行业采用“统一组织、分工有序”的信息安全工作体系,分为决策层、管理层、执行层。
为加强证券期货业信息安全保障工作的组织协调,建立健全信息安全管理制度和运行机制,切实提高行业信息安全保障工作水平,根据证监会颁布的《证券期货业信息安全保障管理暂行办法》,参照ISO/IEC27001:2005,提出证券期货业信息安全保障管理体系框架。该体系框架采用立方体架构.顶面是信息安全保障的7个目标(机密性、完整性、可用性、真实性、可审计性、抗抵赖性、可靠性),正面是行业组织结构.侧面是各个机构为实现信息安全保障目标所采取的措施和方式。
1.3IT治理方面
整个证券业处于高度信息化的背景下,IT治理已直接影响到行业各公司实现战略目标的可能性,良好的IT治理有助于增强公司灵活性和创新能力,规避IT风险。通过建立IT治理机制,可以帮助最高管理层发现信息技术本身的问题。帮助管理者处理IT问题,自我评估IT管理效果.可以加强对信息化项目的有效管理,保证信息化项目建设的质量和应用效果,使有限的投入取得更大的绩效。
2003年lT治理理念引入到我国证券行业,当前我国证券业企业的IT治理存在的问题:一是IT资源在公司的战略资产中的地位受到高层重视,但具体情况不清楚;二是IT治理缺乏明确的概念描述和参数指标;是lT治理的责任与职能不清晰。
1.4网络安全和数据安全方面
随着互联网的普及以及网上交易系统功能的不断丰富、完善和使用的便利性,网上交易正逐渐成为证券投资者交易的主流模式。据统计,2008年我同证券网上交易量比重已超过总交易量的80%。虽然交易系统与互联网的连接,方便了投资者。但由于互联网的开放性,来自互联网上的病毒、小马、黑客攻击以及计算机威胁事件,都时刻威胁着行业的信息系统安全,成为制约行业平稳、安全发展的障碍。此,维护网络和数据安全成为行业信息安全保障工作的重要组成部分。近年来,证券行业各机构采取了一系列措施,建立了相对安全的网络安全防护体系和灾舴备份系统,基木保障了信息系统的安全运行。但细追究起来,我国证券行业的网络安全防护体系及灾备系统建设还不够完善,还存存以下几方面的问题:一是网络安全防护体系缺乏统一的规划;二是网络访问控制措施有待完善;三是网上交易防护能力有待加强;四是对数据安全重视不够,数据备份措施有待改进;五是技术人员的专业能力和信息安全意识有待提高。
1.5IT人才资源建设方面
近20年的发展历程巾,证券行业对信息系统日益依赖,行业IT队伍此不断发展壮大。据统计,2008年初,在整个证券行业中,103家证券公司共有IT人员7325人,占证券行业从业总人数73990人的9.90%,总体上达到了行业协会的IT治理工作指引中“IT工作人员总数原则上应不少于公司员工总人数的6%”的最低要求。目前,证券行业的IT队伍肩负着信息系统安全、平稳、高效运行的重任,IT队伍建设是行业信息安全IT作的根本保障。但是,IT人才队伍依然存在着结构不合理、后续教育不足等问题,此行业的人才培养有待加强。
2采取的对策和措施
2.1进一步完善法规和标准体系
首先,在法规规划上,要统筹兼顾,制定科学的信息技术规范和标准体系框架。一是全面做好立法规划;二是建立科学的行业信息安全标准和法规体系层次。行业信息安全标准和法规体系初步划分为3层:第一层是管理办法等巾同证监会部门规章;第二层是证监会相关部门制定的管理规范等规范性文件;第三层是技术指引等自律规则,一般由交易所、行业协会在证监会总体协调下组织制定。其次,在法规制定上.要兼顾规范和发展,重视法规的可行性。最后,在法规实施上.要坚持规范和指引相结合,重视监督检查和责任落实。
2.2深入开展证券行业IT治理工作
2.2.1提高IT治理意识
中国证券业协会要进一步加强IT治理理念的教育宣传工作,特别是对会员单位高层领导的IT治理培训,将IT治理的定义、工具、模型等理论知识纳入到高管任职资格考试的内容之中。通过举办论坛、交流会等形式强化证券经营机构的IT治理意识,提高他们IT治理的积极性。
2.2.2通过设立IT治理试点形成以点带面的示范效应
根据IT治理模型的不同特点,建议证券公司在决策层使用CISR模型,通过成立lT治理委员会,建立各部门之间的协调配合、监督制衡的责权体系;在执行层以COBIT模型、ITFL模型等其他模型为补充,规范信息技术部门的各项控制和管理流程。同时,证监会指定一批证券公司和基金公司作为lT试点单位,进行IT治理模型选择、剪裁以及组合的实践探索,形成一批成功实施IT治理的优秀范例,以点带面地提升全行业的治理水平。
2.3通过制定行业标准积极落实信息安全等级保护
行业监管部门在推动行业信息安全等级保护工作中的作用非常关键.应进一步明确监管部门推动行业信息安全等级保护工作的任务和工作机制,统一部署、组织行业的等级保护丁作,为该项丁作的顺利开展提供组织保证。行业各机构应采取自主贯彻信息系统等级保护的行业要求,对照标准逐条落实。同时,应对各单位实施信息系统安全等级保护情况进行测评,在测评环节一旦发现信息系统的不足,被测评单位应立即制定相应的整改方案并实施.且南相芙的监督机构进行督促。
2.4加强网络安全体系规划以提升网络安全防护水平
2.4.1以等级保护为依据进行统筹规划
等级保护是围绕信息安全保障全过程的一项基础性的管理制度,通过将等级化的方法和安全体系规划有效结合,统筹规划证券网络安全体系的建设,建立一套信息安全保障体系,将是系统化地解决证券行业网络安全问题的一个非常有效的方法。
2.4.2通过加强网络访问控制提高网络防护能力
对向证券行业提供设备、技术和服务的IT公司的资质和诚信加强管理,确保其符合国家、行业技术标准。根据网络隔离要求,要逐步建立业务网与办公网、业务网与互联网、网上交易各子系统间有效的网络隔离。技术上可以对不同的业务安全区域划分Vlan或者采用网闸设备进行隔离;对主要的网络边界和各外部进口进行渗透测试,进行系统和设备的安全加固.降低系统漏洞带来的安全风险;在网上交易方面,采取电子签名或数字认证等高强度认证方式,加强访问控制;针对现存恶意攻击网站的事件越来越多的情况,要采取措施加强网站保护,提高对恶意代码的防护能力,同时采用技术手段,提高网上交易客户端软件使朋的安全性。
2.4.3提高从业人员安全意识和专业水平
目前在证券行业内,从业人员的网络安全意识比较薄弱.必要时可定期对从业人员进行安全意识考核,从行业内部强化网络安全工作。要加强网络安全技术人员的管理能力和专业技能培训,提高行业网络安全的管理水平和专业技术水平。
2.5扎实推进行业灾难备份建设
数据的安全对证券行业是至关重要的,数据一旦丢失对市场各方的损失是难以估量的。无论是美国的“9·11”事件,还是我国2008年南方冰雪灾害和四川汶川大地震,都敲响了灾难备份的警钟。证券业要在学习借鉴国际经验的基础上,针对自身需要,对重要系统开展灾难备份建设。要继续推进证券、基金公司同城灾难备份建设,以及证券交易所、结算公司等市场核心机构的异地灾难备份系统的规划和建设。制定各类相关的灾难应急预案,并加强应急预案的演练,确保灾难备份系统应急有效.使应急工作与日常工作有机结合。
2.6抓好人才队伍建设
证券行业要采取切实可行的措施,建立吸引人才、留住人才、培养人才、发展人才的用人制度和机制。积极吸引有技术专长的人才到行业巾来,加强lT人员的岗位技能培训和业务培训,注重培养既懂得技术义懂业务和管理的复合型人才。要促进从业人员提高水平、转变观念,行业各机构应采取采取请进来、派出去以及内部讲座等多种培训方式。通过建立规范有效的人才评价体系,对信息技术人员进行科学有效的考评,提升行业人才资源的优化配置和使用效率,促进技术人才结构的涮整和完善。
【 关键词 】 信息安全;企业管理;绩效考核
1 引言
经过近几年的发展,中国铁建股份有限公司(以下简称中国铁建)的信息化工作全面展开,众多信息化项目的实施,大量信息系统的上线应用,有力地促进了企业核心竞争力的提升。
随着信息系统不断建成与投入应用,信息资源拥有量快速增长,对信息安全的保障需求日显强烈,信息安全管控建设的滞后与日益增长的信息安全需求的矛盾日益突出。中国铁建根据国内外成熟的信息安全标准和方法,结合企业业务发展战略和企业特点,构建符合本公司业务实际和安全需要的信息安全管控体系,全面提升信息安全保障能力,并取得了初步效果。另外,信息安全等级保护制度作为国家在信息安全保障管理上的根本制度,具有强制性的特征,也要求企业认真加以贯彻落实。
在实际工作中利用怎样的手段来保障信息安全管控体系、信息安全等级保护制度得到切实执行,成为亟待需要解决的问题。
为此,结合中国铁建所属各单位地域分布广、信息化水平差距大的特点,经过初步探索,将信息安全指标纳入了中国铁建信息化绩效评价体系,与各子分公司领导考核挂钩,从“信息安全事故”和“等级保护”两个维度、四项指标,通过定量对比分析,对各单位的信息安全工作进行评价,以推进信息安全持续改进。
2 考核原则
(1)公开、公平、公正。严格按照考核细则对被考核单位,在公开、公平、公正的环境中,进行客观的评价。
(2)实事求是。被考核单位应如实反映信息安全工作情况,提供的相关资料和数据真实可信。
(3)遵循规划、贯彻制度、检查效果、保障安全。考核指标的提出以信息安全规划、制度为依据,重点在信息化建设效果并保障信息安全。
(4)区别对待,逐步演进。根据子公司规模、成长阶段、业务特点的不同,区别对待;根据信息安全建设重点,不同年度有不同的考核重点,逐步演进。
3 考核指标
中国铁建大量的信息系统处于建设时期,因此每年对指标进行调整。目前,根据信息系统等级保护评价指标体系的原则要求, 选择具有可操作性、可以量化的指标,从信息安全事故和信息系统安全等级保护两个维度,信息安全事件、等级保护定级率、等级保护备案率、等级保护测评通过率四项指标进行了考核。
3.1 信息安全事件
信息安全事件及分级以中国铁建《信息安全事件管理规定》定义为准。信息安全事件分为特别重大事件(I级)、重大事件(Ⅱ级)和一般事件(Ⅲ级)三个级别。
指标要点
(1)信息系统安全事件级别的确定。从类别划分,信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、设备设施安全功能故障、灾害性事件等五种;从级别划分,信息安全事件分为特别重大事件(I级)、重大事件(Ⅱ级)和一般事件(Ⅲ级)三个级别。
(2)信息安全事件的瞒报。对于发生信息安全事件后,隐瞒事故,在规定时限内不主动向上级部门如实报告的情况,除扣除其该项考核成绩外,按照股份公司有关规定进行通报并严肃处理;对多次发生信息安全事件的单位,将加强监督检查,并责令其彻底整改。
3.2 等保定级率
考核年度在建至验收投入应用各阶段的信息系统与历年上报的定级报告不重复累计数之比。
指标要点
(1)信息系统定级准确性。部分单位认为信息系统定级级别越高,就要花费更多的资金、精力,加重单位负担,因此将基础信息网络、门户网站、邮件、财务等重要信息系统定为一级,以逃避备案、测评。
针对这种情况,股份公司按照《信息系统安全等级保护区域划分原则与定级指南》,对信息系统定级进行规范,并对定为一级、二级的信息系统进行重点检查,避免定级不准确。
(2)信息系统数量准确性。部分单位在实施等保工作时,上报的信息系统数量小于实际建设数量。因此,在实际操作中,本考核项的分母“信息系统数”以该单位编制信息化项目预算时上报的信息系统数量为准。
(3)需提供加盖本单位公章的《定级报告》扫描件。
3.3 等保备案率
考核年度在建至验收投入应用各阶段的信息系统数与历年上报的备案证书不重复累计数之比。
指标要点
(1)备案公安机关的选择。针对部分单位未根据国家法律法规选择合适公安机关备案的情况,股份公司在的《信息系统安全等级保护管理办法》中规定:股份公司统建系统,三级及以上系统向公安部网络安全保卫局备案、二级系统向北京市公安局铁道建筑公安局备案;驻京单位自建信息系统向北京市公安局铁道建筑公安局备案;京外单位自建信息系统向当地市级及以上公安机关备案。
(2)等保备案率的确定。等保备案率中的分母“信息系统数”,指的是该单位编制信息化项目预算时上报的信息系统数量,并非已定级的信息系统数量。
(3)需提供公安机关出具的《备案证明》扫描件。
3.4 等保测评通过率
历年上报的定级备案证书不重复累计数与历年测评通过的信息系统不重复累计数之比。
指标要点
(1)测评报告符合率。为防止部分单位将工作精力侧重于取得测评报告,而忽视了对测评中反映出的安全问题的整改,在实际工作中,重点对测评不符合率较高的信息系统进行抽查,责令单位定期进行整改。
(2)需提供合格测评机构出具的加盖测评机构公章的《安全等级测评报告》扫描件。
4 考核权重
4.1 信息安全事件
附加分项,最高减K分。出现一次I级信息安全事件、减K分;出现一次级信息安全事件、减K/2分,最多减K分。
4.2 等保定级率
基本分项,满分K分。考核年度在建至验收投入应用各阶段的信息系统数为A,历年上报的定级报告不重复累计数为B,定级率M=B/A,平均定级率∑M=∑B/∑A。定级率得分S=min{(M/∑M)×K,K}。
4.3 等保备案率
基本分项,满分K分。考核年度在建至验收投入应用各阶段的信息系统数为A,历年上报的备案证书不重复累计数为C,备案率M=C/A,平均备案率∑M=∑C/∑A。备案率得分S=min{(M/∑M)×K,K}。
4.4 等保通过率
基本分项,满分K分。历年上报的定级备案证书不重复累计数为C,历年测评通过的信息系统不重复累计数为D,测评通过率M=D/C,平均测评通过率∑M=∑D/∑C。测评通过率得分S=min{(M/∑M)×K,K}。
5 指标计算
考核指标项分基本分项、附加分项两类。以本单位基本分项满分(Ai)为基数,用实际得分(Bi)计算其得分率(Mi=Bi/Ai),除以最高得分率(Mmax),再乘以信息安全工作绩效指标分(C),即为信息安全工作考核实际得分(Si=C×Mi/Mmax)。
6 结束语
本文对中国铁建将信息安全指标纳入信息化绩效评价体系进行了概述, 提出了综合评价的方法,希望能借以推进本企业信息安全工作的开展,提高信息系统的安全性,并切实将国家法律法规落到实处。从实际执行效果看,已经取得了一定的成效。
参考文献
[1] GB/T 22239―2008,信息系统安全等级保护基本要求.
[2] GB 17859-1999,安全等级保护划分准则.
[3] GB/T 22240―2008,信息系统安全保护等级定级指南.
0 引言
2008年中华人民共和国国家质量监督检验检疫总局了GB/T 22239-2008《信息安全技术-信息系统安全等级保护基本要求》后,信息安全等级保护制度已经成为我国信息安全保护工作的基本国策,实行信息安全等级保护具有重大的现实和战略意义。
根据公安部的相关文献,从近些年来年来等级保护安全测评的结果分析中可以看出,信息系统中容易出问题的部分主要是账号管理、权限管理和审计分析等几个方面。例如:多人共用一个账号;用户权限分配没有遵循最小化原则;未限制设备管理方式;未开启审计或未进行审计分析等。
为解决上述问题,可以通过修改服务器配置信息以及网络设备的配置可以进行防范,随着智能终端的出现,网络传播技术的不断提高,交换机、路由器等网络设备的管理将便捷许多,操作人员可以通过网络对网络设备进行远程操作。然而,由于复杂的网络环境存在着大量的潜在攻击行为,在方便快捷的同时,操作人员通过网络与网络设备通信存在着严重的安全隐患。针对这种情况,需要对现有服务器进行改造,涉及到大量信息系统的安全维护操作,其复杂性和环境的不确定性造成这种方式的实施起来极其困难。
1 企业应用中的安全问题
在企业应用中,目标设备之间通过互联网络进行通讯,操作人员也通过互联网远程访问目标设备。目标设备需要对操作人员开放相应的接口,由于互联网的开放性,非法操作人员或潜在非法操作人员很容易通过相应的接口登入系统进行操作,给网络安全带来隐患。
通过对现有系统在应用中出现问题进行分析,目前系统中存在的安全隐患主要有:
(1)存在潜在非法操作人员对网络终端进行非法操作; (2)目标设备与操作人员无法进行统一管理;(3)操作人员的误操作无法有效避免;(4)操作人员的操作记录历史追踪无法实现。
通过对现有信息系统以及网络安全需求分析,结合企业现状,选取部署相关安全产品到网络中,作为安全模块对整个网络进行安全保护,即堡垒主机。
2 堡垒主机
堡垒主机是一种运维管理系统,可以完成账户管理、授权管理和综合审计等功能,完成集中认证和运维审计的作用。该类产品对操作人员提供多种远程管理方式,并能够对操作人员以远程方式对服务器主机、网络设备、数据库的操作行为过程进行监控和审计管理,以及对违规操作行为进行实时报警、阻断。
通过堡垒主机可以有效的提高操作人员与网络设备之间通信的安全性,并且可以对操作人员及远程操作进行集中管理,在确保通信安全的基础上,实现管理的统一。本文所述的堡垒主机产品为软件堡垒主机,没有运输成本,部署简单,升级简便,性能及功能可定制。在部署前,仅需要找到一台信任主机即可。堡垒主机被部署到内网主机上,并且对要访问的目标设备进行绑定,设定仅堡垒主机才可以对目标设备进行访问。所有操作人员都要先登录到堡垒机上,然后才可以访问目标设备。堡垒主机自身具有认证及授权等功能,可以有效的屏蔽非法操作人员的访问。
3 主要功能
本文所述的堡垒主机的主要功能有账户管理、角色管理、设备管理、黑名单管理和操作记录查询等主要功能。
(1)账户管理。对于堡垒主机的账户,采用"一用户一账号"的原则,用户需要通过自己的账户才能登录堡垒主机。不存在用户共享同一个账户,有效避免出现事故时无法追述问题原因和责任人的问题。另外,在用户的身份认证时,对用户的账号及所在IP进行绑定,如果账户与登录的IP不匹配,将无法登录,加强了身份认证机制。实现集中身份认证和访问控制,避免冒名访问,提高访问安全性。
(2)角色管理。针对不同的操作人员进行角色管理。不同类别的角色具有不同的操作权限,操作人员需要根据自身账户的角色等级来访问可操作的目标主机及该目标主机的资源。在便于任务分工及责任划分的同时,有效的降低操作人员错误操作的可能。
(3)设备管理。管理目标设备信息,堡垒主机对管理目标设备的数量无限制,可以任意添加。
(4)黑名单管理。堡垒主机将对操作人员的操作进行实时监测,如果某些操作被管理员禁止,那么该操作将无法完成。如:关机、重启等操作,通过黑名单管理,指定人员将不具备该操作权限,提高操作的安全性。访问记录查询通过该功能可查询目标主机在某个时间段内,有哪人操作人员登录过。当目标主机因操作不当而引发障碍时,结合操作记录查询,可快速排查障碍原因,并找到责任人,解决问题,避免不必要的损失
(5)操作记录查询。对操作人员的所有操作进行记录,当因操作人员的错误操作而引发障碍时,通过该功能可快速找出该操作人员,避免责任划分不清问题。
4 结语
堡垒主机能够解决集中账号管理、细粒度的权限管理和访问审计的问题,有效加强现有系统的网络安全性,具有改造成本小,维护容易等特点。本文所述堡垒主机产品在吉林联通通信网络中成功应用,有效降低了操作人员的误操作和网络信息故障发生的几率,证明了堡垒主机在加强网络安全方面的有效性。
近年来,国信办组织了几项信息安全试点,遍及全国的近三十余家试点单位成为安全探索先行者。当通过一年多的努力,为中国信息安全前行之路成功点燃一簇簇“星火”的时候,
他们坦然面对记者说出了这背后的故事。
国税总局在风险评估实践中总结出的差距分析法
有句话是这么说的:道路是什么,道路是人在没有路的地方用脚踩出来的。
人生的道路是这样,信息安全之路也是这样。当安全威胁成为信息化进程最大阻碍的时候,如何踩出一条网络信息安全之路,就成为政府主管部门思考的问题。
2006年,为贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号文件),形成与国际标准相衔接的中国特色的信息安全标准体系,以更好应对未来日益严峻的信息安全威胁,国务院信息化工作办公室会同相关部门,组织了三项信息安全试点,包括:电子政务信息安全试点、信息安全风险评估试点、信息安全管理标准应用试点。总共有三十余家试点单位参加了相关试点工作。
因为涉及国家信息安全未来标准和技术道路的探索,所有的试点单位一直都仿佛蒙上一层神秘的面纱。这些探索者究竟做了一些什么工作?它们的先行又为我国信息安全事业踏出什么样的实践之路?近日,在国信办召开的全国地方信息安全处长会议间歇,记者走近本次试点工作六个优秀试点单位代表,揭开了一直罩在这些试点单位头上那层神秘的面纱,看到了他们的努力和汗水,以及试点工作探*索出来的宝贵经验。政务驰入安全互联网模式
试点方向:电子政务信息安全
访谈人物:河南省济源市信息办副主任焦依平
电子政务是国家信息化的重中之重,而信息安全又是电子政务顺利完成的重中之重。
为贯彻落实中办发27号文件精神,研究解决电子政务信息安全建设和管理中的一些共性问题,探索电子政务信息安全保障方法,国信办会同国家保密局、国家密码管理局、公安部十一局,从2005年10月开始,在广东、河南、天津、重庆4个省市开展了电子政务信息安全试点。
这4个试点具体方向各有不同,其中河南济源市探索的方向是如何基于互联网开展电子政务建设、保障信息安全问题。“我们按照‘保安全,促应用’的思路,构建了基于互联网的电子政务信息安全保障体系,探索出了一条低成本建设电子政务的新路子。”焦依平现在谈起试点,依然抑制不住激动的心情。
焦依平介绍说,济源市通信光纤现已覆盖到村,政务部门全部接入了互联网,但是统计下来,济源市政务信息中部分总量不超过3%。如果仅为了3%的信息传递投入巨资建专网,显然投入和效益不能平衡,这也与电子政务建设的初衷相违背。为此,济源市按照国信办和河南省信息办的要求,不拉专线,完全基于互联网,开展电子政务建设。
济源市试点系统建设内容包括以下几项:一是基于互联网建设连接全市所有党政部门和乡镇的电子政务网络;二是在互联网上建设政务办公、项目审批管理、12345便民热线、新农村信息服务等4个应用系统;三是在进行网络和应用系统建设的同时开展信息安全试点,建设基于互联网电子政务信息安全支撑平台。
那么,如何真正用技术实现政务网络互联网办公的安全需求呢?焦依平介绍说,试点工程遵循信息安全系统工程思想,按照“适度安全,促进应用,综合防范”的原则和等级保护的要求,采用集成创新的技术路线,综合运用以密码为核心的信息安全技术,合理配置信息安全保密设备和安全策略,建设一个技术先进、安全可靠的基于互联网的电子政务信息安全支撑平台,形成一体化的分级防护安全保障体系,为电子政务提供可靠、有效的安全保障。
从安全技术实现上,据焦依平介绍,济源市试点工程的安全支撑平台涉及网络安全和应用安全两部分,本次试点网络安全系统共建设7个安全子系统:一是VPN系统,由VPN密码机、VPN客户端和VPN管理系统组成,共同完成域间安全互联、移动安全接入、用户接入控制与网络边界安全等功能,其中中心机房的VPN密码机带有防火墙功能;二是统一身份认证与授权管理系统,完成用户统一身份认证、授权管理等功能;三是网络防病毒系统,部署于安全服务区,完成网络防病毒功能;四是网页防篡改系统,部署于政府网站,提供网站立即恢复的手段和功能;五是入侵检测系统,部署于中心交换机,对网络入侵事件进行主动防御;六是网络审计系统部署于中心交换机,对网络事件进行记录,方便事后追踪;七是桌面安全防护系统,部署在用户终端,提供网络防护、病毒防护、存储安全、邮件安全等一体化的终端安全保护。
对于目前试点效果,焦依平认为,从实际效果来说,一是低成本建设了安全的政务网络,实际投入620万元,比原计划专网方式预算总投资节约48.3%;二是实现了安全政务办公和可信政务服务,全市各部门已100%实现了安全互联,网络可达乡镇,试点村;三是实现了安全的移动办公,打破了电子政务应用只能在本地访问的局限。而从长远来讲,济源市已经初步建成安全、开放、实用的全面基于互联网的电子政务系统。
电子政务内外互通
试点方向:电子政务信息安全
访谈人物:广东省信息中心副主任曾强
目前,妨碍电子政务系统互联互通的主要原因就是由此带来的信息安全问题。跟济源市试点方向不同,广东省的试点方向主要是通过等级保护,探索解决省、市、县(区)电子政务系统的信息共享与互联互通问题。曾强介绍说,面对国信办试点布置的这个大命题,广东省将试点命题细化成以下几个方面:由广东省民政厅及东莞、深圳两市民政局以及地下救助站完成民政4个业务系统纵向互联互通试点;由省政府办公厅完成视频会议系统省府门户网站试点;由佛山市政府完成财税库银互联互通系统试点;由江门市政府完成开放互联环境下的信息安全解决方案试点;由佛山市南海区政府完成大社保6个分系统横向互联互通试点。
关于如何解决在不同的电子政务系统之间,安全实现互联互通以及资源共享问题,曾强介绍说,试点工作中,广东省综合运用等级保护和风险评估相结合的方法,确定了解决互联互通问题的基本思路:一是明确系统的重要程度,确定系统安全等级,采取与系统安全等级相适应的安全保护措施;二是按照有条件互联、共享可控制的原则,确定需要共享的系统和应用以及需要共享的数据,保证只共享那些确实需要共享的数据,以保护系统中原有信息的安全;三是在进行系统互联的部门之间建立共同的安全管理机制,明确系统互联后的安全管理责任、管理边界、安全事件协同处理等机制;四是对系统互联的安全风险进行评估,全面分析低安全等级的系统给高安全等级的系统带来的安全风险;五是针对系统互联的安全风险,确定关键的安全控制要素,如互联边界的访问控制、系统互联的安全传输等,并落实具体的安全措施,保障系统互联、数据共享的安全。
在以上措施的执行下,广东省取得了初步成功,形成了《广东省电子政务系统定级规范》、《广东省电子政务系统互联互通安全规范》等地方指导性文件。
风险规避预先保障
试点方向:信息安全风险评估
访谈人物:国家税务总局处长李建彬
上海市信息化委员会信息安全测评中心
总工程师应力
信息网络,风险无处不在,防患于未然是上上之策。这也是风险评估安全保障的内涵所在。国信办于2005年2月组织北京市、上海市、黑龙江省、云南省、中国人民银行、国家税务总局、国家电网公司、国家信息中心等地方和部门开展信息安全风险评估试点工作。
国家税务总局在广东地税南海数据中心所进行的风险评估试点,最大的亮点就是具有创新精神的“差距分析法”。
李建彬在介绍广东南海试点经验时,将差距分析法用一句话概括,就是“通过找出安全目标与现实系统差距,从而得出风险分析报告”。在试点工作中,李建彬感触最深的就是,要对系统生命周期的整个过程都持续不断地引入风险评估,尽量避免“先运行,后评估”的亡羊补牢式工作流程,以降低信息系统整体的信息安全风险等级。此外,李建彬还提出在风险评估工作具体实施过程中必须重点考虑以下几点:
首先是风险评估与等级保护有密切的关系。类别和级别都是信息系统的固有属性,通过风险评估可以识别系统的类别和安全级别,从而落实“等级保护”这一国家政策。但是系统的安全级别不应该一刀切,可考虑将系统最高安全级别部分的安全等级作为系统的安全等级。其次是系统分析是系统安全评估的基础工作。再次是行业性系统安全要求在风险评估中起决定作用,不同行业的系统有着不同的安全要求,必须为不同行业、不同类型的系统制定适应其特点的系统安全要求。最后,通过安全风险评估工作进一步完善系统安全总体设计。
上海市在很早的时候就开始对风险评估进行探索。2002年上海市就确立180家重点信息安全责任单位(2004年调整为163家),涉及重要政府部门、公共事业单位、基础网络和涉及国计民生的重要信息系统。2006年,上海市了《上海市公共信息系统安全测评管理办法》,又于2007年1月出台了《上海市市级机关信息系统建设与管理指南》。之后,上海市信息委又出台了关于风险评估工作的实施意见,明确建立自评估与检查评估制度的原则、工作安排。
上海市信息安全测评中心总工程师应力博士在介绍上海市的风险评估实践经验时,多次强调要引导各单位进行自评估建设,让信息安全风险评估成为政府及企事业信息安全建设的常态,在系统的设计阶段、验收阶段、运行阶段,都需要进行风险评估工作,形成“预防为主,持续改进”的风险评估机制。应力认为,对信息安全主管机关来说,风险评估是一种管理措施,通过风险评估,领导者可以了解信息系统的安全现状,从而为管理决策提供依据。
信息安全重在管理
试点方向:信息安全管理标准应用
访谈人物:北京市海淀区信息办主任张泽根
深交所ISMS项目组张兴东
有专家提出:“信息安全系统是三分技术,七分管理。”可见信息安全管理在整个信息安全保障体系中的重要性。
国信办网络与信息安全组与全国信息安全标准化技术委员会共同于2006年3月开始,在北京市、上海市、国家税务总局、中国证监会和武汉钢铁(集团)公司选取了相关单位,对国际上通用的,也是已经列入国家标准制、修订计划的两个信息安全管理标准,即ISO/IEC 27001:2005《信息安全管理体系要求》和ISO/IEC 17799:2005《信息安全管理使用规则》,组织了应用试点。
北京市海淀区信息办张泽根主任在具体介绍北京市海淀区信息安全管理体系实践经验时,感触最深的就是在参考国际标准ISO/IEC27001和ISO/IEC17799的基础上,结合海淀区原有ISO9001管理体系,取得了事半功倍的实际效果。通过ISMS的运行实践,海淀区信息办建立了信息安全管理体系,为进一步通过ISO/IEC27001认证做了很好的准备,同时还对ISMS与风险评估和等级保护的关系进行了有益的探索。ISMS为解决海淀区信息安全问题,提供了良好的方法和管理机制,并且为政府的信息化建设通过避免安全事故和合理分配经费两种方式很好地节约了建设经费。
在ISMS项目试点实施前,深交所ISMS项目组就确定了项目实施不能流于形式的总体工作思路。深交所ISMS项目组张兴东介绍经验时,认为除了利用技术调查手段之外,还需要深入各个层面调研,充分了解深交所的信息安全现状,利用多种方法相互补充、相互印证,以提高调查质量,为项目后期的实施打下良好的基础。
今天,我们实施一个信息化项目,如果像实施传统项目那样,只重视经济效益,那么有可能事与愿违,造成重大的安全损害。特别是现在新一代信息技术蓬勃兴起,一个信息系统可能会面向广大的用户、处理海量的数据,这类系统一旦出了安全问题,后果就极为严重。所以我们从事网信工作,往往要将网络安全的考量放在优先的地位,而且贯穿在项目的全过程中,包括确定需求、选择方案、采购设备、组织实施、运营维护等等,无论在哪个环节,都要把网络安全保障放在重要位置。正像“绿色发展”要求我们在决定某些工业项目是否上马时,将符合环保要求放在“一票否决”的地位,今天,我们也应将是否符合网络安全的要求放在类似的地位。
只有通过自主创新才能突破关键核心技术
在网信领域,信息化核心技术和信息基础设施具有特别重要的地位,而且有高度的垄断性。一直以来,我国在一些关键核心技术设备上受制于人,也就是说,我们的“命门”掌握在别人手里。正因为如此,尽管我国的网民和移动网民数都居世界第一,但我们还不是网络强国。我国只有尽快突破核心技术,把命运掌握在自己手中,才能成为一个网络强国。
掌握核心技术往往需要付出巨大的、坚持不懈的努力。例如,早期在我国还不能制造高性能计算机时,有些部门(如天气预报、石油勘探)不得不高价去买外国计算机,但那时,外国只卖给我们较低指标的计算机,外国公司还要派人在机房里监视着计算机的运行。后来,每当我国研制出一台较高指标的计算机,他们才会放松一些限制,卖给我们高一档次的计算机。就这样,随着我国自己设计的计算机不断提升,外国才被迫逐渐放宽了对我国的禁运。这两年,我国的“天河”机登上了世界超级计算机的榜首,他们于心不甘,去年就禁运了“天河”机所使用的“至强”CPU芯片,企图进行遏制。但这反而激励了我国科技人员的创新。今年,我国推出了采用国产CPU芯片的“神威・太湖之光”超级计算机,继续高居世界榜首;而且“天河”也将在明年推出采用国产CPU芯片的新型号。上述中国高性能计算机几十年的发展史证明:真正的核心技术是买不来的,是市场换不到的。我们只有通过自主创新,自立自强,才能打破发达国家对我们采取的种种遏制,才能将关键核心技术掌握在我们自己手中。
正确处理开放和自主的关系
我们强调自主创新,不是关起门来搞研发,一定要坚持开放创新。我们不拒绝任何新技术,自主创新中包括引进那些安全可控的新技术,也包括引进消化吸收再创新。应该说,这些年来基于开源软件实施引进消化吸收再创新还是卓有成效的。今后,随着我国软件人员逐步地从开源软件的使用者发展到参与者、贡献者,甚至有的开源软件可能由我国软件人员主导,其中将会具有越来越多的自主创新成分。
近来,我国企业和外国同行之间在一些核心技术方面的合作有增多的迹象。因为随着我国技术水平和创新能力的提高,外国会放宽某些出口限制,这有利于企业间国际合作的扩展。另外,我国广阔的市场也吸引着外国企业扩展与中国企业的合作。这种合作一般是市场行为,企业可以自行决策。当合作涉及到国家安全或者有可能造成市场垄断时,需要通过有关部门的审查,包括进行网络安全审查在内。
一些企业认为,这类国际合作可以达到“合作共赢”或“与狼共舞”。不管怎么说,只要符合法规,都是容许的。不过应当防止出现某些偏差,例如有的“合资”或“合作”采用简单的“贴牌”或“穿马甲”等方式,将外国产品通过“合资”或“合作”变为“国产”或“自主可控”产品。这样做可能会对真正的本国企业造成打压,也可能误将不可控的产品当成“自主可控”的,不利于保障网络安全。
企业间的合作主要取决于经济利益,但在国家层面上,发展信息化核心技术等重要决策,应突出网络安全,强调不能受制于人。即使外国公司的某项技术很先进,性价比很高,似乎也能大量供应市场,这作为企业间的国际合作项目是可以的,但如果它在某个方面(如知识产权、供应链、技术掌握)会受到别人的制约,那么就不能作为国家层面的选择。所以不能将企业间的“合作共赢”或“与狼共舞”,无条件地扩展为国家间的关系。