網絡安全等級保護管理辦法精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網絡安全等級保護管理辦法主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:網絡安全等級保護管理辦法范文
本文重點在結合信息安全等級的要求與IDS本身結構的優缺點,對信息安全策略進行分析,構建滿足五級信息安全保護能力的入侵檢測系統。
關鍵詞:入侵檢測,信息安全
1.信息安全等級
信息安全等級保護是我國信息安全保障工作的綱領性文件(《國家信息化領導小組關于加強信息安全保障工作的意見》)(中辦發[2003]27號)提出的重要工作任務[1],其基本原理是,不同的信息系統有不同的重要性,在決定信息安全保護措施時,必須綜合平衡安全成本和風險。
2007年6月,公安部的《信息安全等級保護管理辦法》規定,根據信息系統在國家安全、經濟建設、社會生活中的重要程度,其遭受破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等,其安全等級由低到高劃分為五級,其等級劃分原則如表1.1所示:
表1.1 安全等級劃分原則
不同安全等級的信息系統應該具備相應的基本安全保護能力,其中第四級安全保護能力是應能夠在統一安全策略下防護系統免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發起的惡意攻擊,嚴重的自然災害,以及其他相當維護程度的威脅所造成的資源損害,能夠發現安全漏洞和安全相關事件,在系統遭到損害后,能夠迅速恢復所有功能;第五級安全保護能力是在第四級安全的安全保護能力的基礎上,由訪問控制監視器實行訪問驗證,采用形式化技術驗證相應的安全保護能力確實得到實現。
2.IDS主要功能
入侵檢測:通過對行為、安全日志、審計數據或其他網絡上可以獲得的信息進行操作,檢測到對系統的闖入或者闖入的企圖[2]。(國標GB/T 18336)
入侵檢測系統的主要功能:
檢測并分析用戶和系統的活動,查找非法用戶和合法用戶的越權操作;檢查系統配置和漏洞,并提示管理員修補漏洞。(由安全掃描系統完成)、評估系統關鍵資源和數據文件的完整性;識別已知的攻擊行為;統計分析異常行為;操作系統日志管理,并識別違反安全策略的用戶活動等;
成功的入侵檢測系統,應該達到的效果:可以使系統管理員時刻了解網絡系統(軟件和硬件)的任何變更,能給網絡安全策略的制定提供依據;管理配置簡單,使非專業人員非常容易地獲得網絡安全。入侵檢測的規模還應根據網絡規模、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵后,能及時作出響應,包括切斷網絡連接、記錄事件和報警等。
圖2.1入侵檢測系統結構圖
3.IDS類別
由于IDS的模型多樣化,IDS的類別也表現出較為復雜的情況,但是當前通常將入侵檢測按照分析方法和數據來源來進行分類[3]。
3.1按照分析方法(檢測方法)
異常檢測模型(Anomaly Detection):首先總結正常操作應該具有的特征(用戶輪廓),當用戶活動與正常行為有重大偏離時即被認為是入侵。
誤用檢測模型(MisuseDetection):收集非正常操作的行為特征,建立相關的特征庫,當監測的用戶或系統行為與庫中的記錄相匹配時,系統就認為這種行為是入侵。
3.2按照數據來源
基于主機的IDS:系統獲取數據的依據是系統運行所在的主機,保護的目標也是系統運行所在的主機;檢測的目標主要是主機系統和系統本地用戶。檢測原理是根據主機的審計數據和系統的日志發現可疑事件,檢測系統可以運行在被檢測的主機或單獨的主機上。
圖3.1基于主機的IDS結構圖
基于網絡的IDS:系統獲取的數據是網絡傳輸的數據包,保護的是網絡的運行;根據網絡流量、協議分析、單臺或多臺主機的審計數據檢測入侵。
圖3.2 基于網絡的IDS結構圖
探測器由過濾器、網絡接口引擎器以及過濾規則決策器構成,探測器的功能是按一定的規則從網絡上獲取與安全事件相關的數據包,傳遞給分析引擎器進行安全分析判斷[4]。
分析引擎器將從探測器上接收到的包并結合網絡安全數據庫進行分析,把分析的結果傳遞給配置構造器。
配置構造器按分析引擎器的結果構造出探測器所需要的配置規則。
分布式IDS:
傳統的集中式IDS的基本模型是在網絡的不同網段放置多個探測器收集當前網絡狀態的信息,然后將這些信息傳送到中央控制臺進行處理分析。
分布式結構采用了本地主體處理本地事件,中央主體負責整體分析的模式。
3.3 IDS的局限性
對于大規模的分布式攻擊,中央控制臺的負荷將會超過其處理極限,這種情況會造成大量信息處理的遺漏,導致漏警率的增高[5]。
多個探測器收集到的數據在網絡上的傳輸會在一定程度上增加網絡負擔,導致網絡系統性能的降低[6]。
由于網絡傳輸的時延問題,中央控制臺處理的網絡數據包中所包含的信息只反映了探測器接收到它時網絡的狀態,不能實時反映當前網絡狀態[7]。
4.五級安全防護能力IDS構建
根據公安部《信息安全等級保護管理辦法》,五級安全防護能力需要具備四級安全防護的漏洞發現和入侵檢測能力,同時需要由訪問控制監視器實現對訪問的及時驗證,保證杜絕未授權用戶的非法訪問。
與此同時,如何解決因為網絡時延而導致的數據分析的延后,以及解決探測器在網絡傳輸中造成的網絡負擔,提高網絡系統性能的同時保證中央控制臺的高效運轉,是當前IDS需要重點研究的問題。
當前IDS的結構中入侵檢測和數據安全審計是兩個不同的模塊,入侵檢測系統將檢測數據提交給安全審計模塊,對入侵行為的確認是由安全審計模塊進行的[8]。因此在成本可接受的范圍內,如果將審計模塊和檢測模塊結合,并且將分布式IDS的每一個檢測終端都由一個獨立處理單元來進行基本的檢測,只將較為復雜的數據提交給中央控制臺,這樣即減輕了網絡傳輸的壓力,也有利于中央控制臺更加高效運轉。將每一個獨立處理單元命名為一個agent,每個agent的結構如下圖所示:
5.結束語
本文介紹了信息安全等級的分類依據,在對IDS系統的類別和局限性進行分析的基礎上,對滿足五級信息安全防護能力的入侵檢測系統進行了基本構建,探討通過對分布式IDS終端處理單元的結構和防范策略進行調整,研究對IDS存在主要問題的處理策略。
參考文獻
[1] 高永強,羅世澤.網絡安全技術與應用大典[M].北京:人民郵電出版社,2003:15-16.
[2] 盛思源,戰守義,石耀斌.基于數據挖掘的入侵檢測系統[J].計算機工程,2003,28(3).
[3] 胡振昌.網絡入侵檢測原理與技術[M].北京:北京理工大學出版社,2006
[4] 唐正軍,李建華.入侵檢測技術[M].北京:清華大學出版,2004.
[5] 程伯良,周洪波,鐘林輝.基于異常與誤用的入侵檢測系統[J].計算機工程與設計.2007,28(14)
[6] 胥小波,蔣琴琴.基于混沌粒子群的IDS告警聚類算法[J].通信學報.2013,34(3)
第2篇:網絡安全等級保護管理辦法范文
信息安全防護要考慮不同層次的問題。例如網絡平臺就需要擁有網絡節點之間的相互認證以及訪問控制;應用平臺則需要有針對各個用戶的認證以及訪問控制,這就需要保證每一個數據的傳輸的完整性和保密性,當然也需要保證應用系統的可靠性和可用性。一般電力企業主要采用的措施有:
1.1信息安全等級保護
信息安全等級保護是對信息和信息載體按照重要性等級分級別進行保護的一種工作,工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段。要積極參與信息安全等級定級評定,及時在當地公安機關進行備案,然后根據對應等級要求,組織好評測,然后開展針對性的防護,從而提供全面的保障。
1.2網絡分區和隔離
運用網絡設備和網絡安全設備將企業網絡劃分為若干個區域,通過在不同區域實施特定的安全策略實現對區域的防護,保證網絡及基礎設置穩定正常,保障業務信息安全。
1.3終端安全防護
需要部署(實施)防病毒系統、上網行為管理、主機補丁管理等終端安全防護措施。通過這些安全措施使網絡內的終端可以防御各種惡意代碼和病毒;可以對互聯網訪問行為監管,為網絡的安全防護管理提供安全保障;可以自動下發操作系統補丁,提高終端的安全性。
2.構建信息安全防護體系
電力企業應充分利用已經成熟的信息安全理論成果,在此基礎上在設計出具有可操作性,能兼顧整體性,并且能融合策略、組織、技術以及運行為一體化的信息安全保障體系,從而保障信息安全。
2.1建立科學合理的信息安全策略體系
信息安全策略體系包括信息安全策略、信息安全操作流程、信息安全標準以及規范和多方面的細則,所涉及的基本要素包括信息管理和信息技術這兩方面,其覆蓋了信息系統的網絡層面、物理層面、系統層面以及應用層面這四大層面。
2.2建設先進可靠的信息安全技術防護體系
結合電力企業的特點,在企業內部形成分區、分域、分級、分層的網絡環境,然后充分運用防火墻、病毒過濾、入侵防護、單向物理隔離、拒絕服務防護和認證授權等技術進行區域邊界防護。通過統一規劃,解決系統之間、系統內部網段間邊界不清晰,訪問控制措施薄弱的問題,對不同等級保護的業務系統分級防護,避免安全要求低的業務系統的威脅影響到安全要求高的業務系統,實現全方位的技術安全防護。同時,還要結合信息機房物流防護、網絡準入控制、補丁管理、PKI基礎設施、病毒防護、數據庫安全防護、終端安全管理和電子文檔安全防護等細化的措施,形成覆蓋企業全領域的技術防護體系。
2.3設置責權統一的信息安全組織體系
在企業內部設置網絡與信息安全領導機構和工作機構,按照“誰主管誰負責,誰運營誰負責”原則,實行統一領導、分級管理。信息安全領導機構由決策層組成,工作機構由各部門管理成員組成。工作機構一般設置在信息管理部門,包含安全管理員、系統管理員、網絡管理員和應用管理員,并分配相關安全責任,使信息安全在組織內得以有效管理。
2.4構建全面完善的信息安全管理體系
對于電力企業的信息安全防范來說,單純的使用技術手段是遠遠不夠的,只有配合管理才能提供有效運營的保障。
2.4.1用制度保證信息安全
企業要建立從指導性到具體性的安全管理框架體系。安全方針是信息安全指導性文件,指明信息安全的發展方向,為信息安全提供管理指導和支持;安全管理辦法是對信息安全各方面內容進行管理的方法總述;安全管理流程是在信息安全管理辦法的基礎上描述各控制流程;安全規范和操作手冊則是為用戶提供詳細使用文檔。人是信息安全最活躍的因素,人的行為會直接影響到信息安全保障。所以需要通過加強人員信息安全培訓、建立懲罰機制、加大關鍵崗位員工安全防范力度、加強離崗或調動人員的信息安全審查等措施實現企業工作人員的規范管理,明確員工信息安全責任和義務,避免人為風險。
2.4.3建設時就考慮信息安全
在網絡和應用系統建設時,就從生命周期的各階段統籌考慮信息安全,遵照信息安全和信息化建設“三同步”原則,即“同步規劃、同步建設、同步投入運行”。
2.4.4實施信息安全運行保障
主要是以資產管理為基礎,風險管理為核心,事件管理為主線,輔以有效的管理、監視與響應功能,構建動態的可信安全運行保障。同時,還需要不斷完善應急預案,做好預案演練,可以對信息安全事件進行及時的應急響應和處置。
3.總結
第3篇:網絡安全等級保護管理辦法范文
1.1國家衛生部文件
文件明確規定了信息安全等級保護工作的工作目標、工作原則、工作機制、工作任務、工作要求,工作任務別強調了“三級甲等醫院的核心業務信息系統”應進行定級備案。
1.2浙江省衛生廳文件
為加強醫療衛生行業信息安全管理,提高信息安全意識,以信息安全等級保護標準促進全行業的信息安全工作,提高全省衛生系統信息安全保護與信息安全技術水平,強化信息安全的重要性。2011年6月7日,浙江省衛生廳和浙江省公安廳聯合下發《關于做好全省醫療衛生行業重要信息系統信息安全等級保護工作的通知》(浙衛發〔2011〕131號),并一同下發了《浙江省醫療衛生行業信息安全等級保護工作實施方案》和《浙江省衛生行業信息系統安全等級保護定級工作指導意見》。為進一步指導我省衛生行業單位開展信息安全等級保持工作,浙江省衛生信息中心于2012年4月6日下發了《關于印發<浙江省衛生行業信息安全等級保護工作指導意見細則>的函》。上述文件詳細規定了工作目標、工作流程和工作進度,并明確了醫療衛生單位重要信息系統的劃分和定級,具有很強的指導性和操作性。
2醫院信息安全等級保護
依據上述行業文件要求,全省醫院重要信息系統信息安全等級保護工作由省衛生廳和各級衛生局、公安局分級負責,按照系統定級、系統備案、等級測評、安全整改[1]四個工作步驟實施。
2.1系統定級
2.1.1確定對象
我省醫院信息化發展較早,各類系統比較完善,但數量繁多。將出現多達幾十甚至上百個定級對象的狀況,這與要求重點保護、控制建設成本、優化資源配置[2]的原則相違背,不利于醫院重要信息系統開展信息安全等級保護工作。依據《計算機信息系統安全保護等級劃分準則(GB17859-1999)》等標準,結合我省醫院信息化現狀及發展需要,經衛生信息化專家和信息安全專家多次論證,本著突出重點、按類歸并、相對獨立、節約費用的原則,從系統管理、業務使用者、系統服務對象和運行環境等多方面綜合考慮,把醫院信息系統劃分為以下幾類,如表1所示。
2.1.2等級評定
醫院重要信息系統的信息安全和系統服務應用被破壞時,產生的危害主要涉及公民的個人隱私、就醫權利及合法權益,對社會秩序和公共利益的損害屬于“損害”或“嚴重損害”程度。參考《信息安全等級保護管理辦法》及省衛生信息中心指導意見細則要求[3],即屬于“第二級”或“第三級”范疇。因此醫院信息系統對信息安全防護和服務能力保護的要求較高,結合業務服務及系統應用范疇,實行保護重點、以點帶面原則,參考定級如表2所示。
2.2系統定級備案
省衛生廳及省級醫療衛生單位信息系統、全省統一聯網或跨市聯網運行的信息系統由省公安廳受理備案;各市衛生局及其下屬單位、轄區內醫院信息系統由屬地公安機關受理備案。各市衛生局應將轄區內醫療衛生單位備案匯總情況和《信息系統安全等級保護備案表》等材料以電子文件形式向省衛生廳報備。定級備案流程示意圖如圖1所示。
2.3等級保護測評
醫院重要信息系統完成定級備案后,應依據《浙江省信息安全等級保護工作協調小組關于公布信息安全等級報測評機構的通知》(浙等保〔2010〕9號)選擇浙江省信息安全等級保護工作協調小組辦公室推薦的等級測評機構,啟動等級測評工作,結合所屬等級要求對系統進行逐項測評。通過對醫院系統進行查驗、訪談、現場測試等方式收集相關信息,詳細了解信息安全保護現狀,分析所收集的資料和數據,查找發現醫院重要信息系統漏洞和安全隱患,針對測評報告結果進行分析反饋、溝通協商,明確等級保護整改工作目標、整改流程及注意事項,共同制定等級保護整改建議方案用于指導后續整改工作。對第二級以上的信息系統要定期開展等級測評。信息系統測評后,醫院應及時將測評機構出具的《信息系統等級測評報告》向所屬地公安機關報備。
2.4等級保護規劃建設整改
根據《信息系統安全等級保護實施指南》及省實施方案,結合醫院信息系統的安全需求分析,判斷安全保護現狀,設計合理的、滿足等級保護要求的總體安全方案,并制定出安全實施規劃[4]等,用以指導信息系統安全建設工程實施。引進第三方安全技術服務商,協助完成系統安全規劃、建設及整改工作。建設,整改實施過程中按照詳細設計方案,設置安全產品采購、安全控制開發與集成、機構和人員配置、安全管理制度建設、人員安全技能培訓等環節[5],將規劃設計階段的安全方針和策略,切實落實到醫院系統的信息安全規劃、建設、評估、運行和維護等各個環節。其核心是根據系統的實際信息安全需求、業務特點及應用重點,并結合醫院自身信息安全建設的實際需求,建設一套全面保護、重點突出、持續運行的安全保障體系,確保醫院系統的信息安全。等級保護工程及管理體系建設整改流程如圖2所示。
3醫院重要信息系統安全等級保護成效
各級醫院按照國家有關信息安全等級保護政策、標準,結合衛生行業政策和要求,全面落實信息系統信息安全等級保護工作,保障信息系統安全可靠運行,提高安全管理運維水平。
3.1明確系統安全保護目標
通過推行各級醫院信息安全等級保護工作,梳理衛生信息系統資產、網絡邊界、網絡安全設備部署及運行狀況。根據系統風險評估、危害的覆蓋范圍及影響性判定安全等級,從而根據標準全面、系統、深入地掌握系統潛在的風險隱患,安全漏洞。明確需要重點保護的應用系統及信息資產,提出行之有效的保護措施,有針對性地提高保護等級,實現重點目標重點保護。
3.2建立安全管理保障體系
安全管理保障體系是開展信息安全工作的保障,指導落實各項安全指標要求。信息安全等級保護基本要求中明確要求加強主管及安全責任部門領導,配備信息安全專員督導安全檢查、維護、培訓工作。建立健全信息安全管理保障制度體系,包括機房安全管理制度、人員安全管理制度、運維安全管理規范。建立行之有效的安全應急響應預案及常規化的信息安全培訓及預防演練,形成長期的安全風險管控機制。
3.3加強安全意識和管理能力
通過落實等級保護制度的各項要求,認識安全意識在信息安全工作中的重要性和必要性,調動安全保護的自覺主動性,加大安全保護的資金投入力度,優化安全管理資源及策略,主動提升安全保護能力。同時重視常規化的信息安全管理教育和培訓,強化安全管理員和責任人的安全意識,提高風險分析和安全性評估等能力,信息系統安全整體管理水平將得到提高。
3.4強化安全保護技術實施
醫院開展信息安全等級保護工作可加深分級、分域的縱深防御理念,進一步結合終端安全、身份認證、網絡安全、容災技術,建立統一的安全監控平臺和安全運行中心。根據測評報告及建設整改建議,增強對應用系統的授權訪問,終端計算機的安全控制,網絡流量的異常監控,業務與數據安全保障,惡意軟件和攻擊行為的防御、發現及阻擊等功能,深層次提高抵御外部和內部信息安全威脅的能力。
3.5優化第三方技術服務
與安全技術服務機構建立長期穩定的合作關系,引進并優化第三方技術資源,搭建安全保護技術的學習橋梁與交流平臺。在安全技術與管理方面加固信息安全防護措施,完善信息安全管理制度,同時通過安全技術管理培訓強化醫院工作人員信息安全保護意識,提高信息安全隊伍的技術與管理水平,共同為醫院系統信息化建設的快速發展保駕護航。總之,醫院開展信息安全等級保護工作將有效提高醫院信息化建設的整體水平,有利于醫院信息化建設過程中同步建設信息安全設施,保障信息安全與信息化建設相協調;有利于為信息系統安全建設和管理提供系統性、針對性、可行性的指導和服務;有利于優化信息安全資源的配置,重點保障基礎信息網絡、個人隱私、醫療資源和社會公共衛生等方面的重要信息系統的安全[6]。
4結束語
第4篇:網絡安全等級保護管理辦法范文
[關鍵詞] 網絡 信息安全 法律保障
美國2002年《聯邦信息安全管理法》規定,信息安全指確保信息和信息系統免受非授權訪問、使用、披露、中斷、修改或破壞,以實現完整性、機密性、可用性。那么,網絡信息安全就是指在網絡環境下確保網絡基礎設施免遭干擾、破壞,從而實現網絡信息的完整性、保密性、可用性和真實性。
互聯網是一個開放的網絡,任何團體或個人都可以在網上方便地傳送和獲取各種各樣的信息。由于網絡的迅速發展而自身的安全防護能力很弱,許多應用系統處于不設防狀態,存在著極大的安全風險和隱患。網絡在為人們提供便利、帶來效益的同時,也使人類面臨著信息安全方面的巨大挑戰。近年來,因網絡信息安全而造成的突出事件,如“艷照門事件”、“熊貓燒香事件”等引起了人們的廣泛關注,也使我們認識到建立網絡信息安全的緊迫性與必要性。網絡信息不安全可以毀人一輩子,會帶來嚴重的、惡劣的社會影響和巨大的經濟損失。有人言:電腦不可靠!網絡更不可靠!在互聯網時代是否真的無安全可言?除了本身技術手段之外,我們的法律體系對網絡信息安全還要去如何加強?這都是我們需要繼續努力的方向和思考的問題。從法律的角度來探求網絡信息安全的保障,到底有什么樣的規范和措施呢?
首先,要明確法律責任的責任主體。法律責任就是由特定法律事實所引起的對損害予以賠償、補償或接受懲罰的特殊義務。責任主體是指因違反法律、違約或法律規定的事由而承擔法律責任的人,包括自然人、法人和其他社會組織。責任主體對于法律責任的有無、種類、大小有著密切的關系。
目前,我國法制體系中就網絡信息安全問責中主要是針對違法犯罪的自然人,而忽略了網站的法律責任。本文認為要建立網絡信息安全的保障,需要強化個人與網站雙方的法律責任。在網絡違法犯罪過程中,人是主謀,網站則是主要幫兇。日前,鬧得沸沸揚揚的“艷照門事件”中,我們追究了原始投放者的法律責任和傳播者的法律責任。而且在我國《刑法》中第三百六十四條明確規定:傳播的書刊、影片、音像、圖片或者其他物品,情節嚴重的,處二年以下有期徒刑、拘役或者管制。其別強調了非牟利的傳播也可以構罪。但對于網站傳媒僅僅從道德上予以回擊,而缺乏法律約束及相關法律責任的追究。
按照引起責任的法律事實與責任人的關系的不同,法律責任可以分為直接責任、連帶責任和替代責任。根據法律責任的類型可把法律責任分為民事法律責任、行政法律責任、刑事法律責任和違憲責任。在危害網絡信息安全的法律問責中,原始違法犯罪人所造成的不利后果是直接的、明顯的、嚴重的,應承擔直接法律責任與刑事法律責任。后承違法犯罪人(傳播者等)所造成的不利后果是直接的、有一定危害性的,應承擔直接法律責任與民事法律責任,情節特別嚴重的也應追究其刑事責任,這在我國現有法律體系中已有明確規定。網站傳媒作為社會組織,理應具有職業操守與社會責任感,是公民權利的代言人,是網絡信息安全的管理者與執行者,如在維護網絡信息安全的過程中成為了公民私權的侵犯者,除了予以道德譴責之外,還要承擔一定的法律責任,即相應的連帶法律責任與民事法律責任。
其次,要以法律手段強化網絡監管。俗話說:三分技術,七分管理。這在網絡信息安全領域也同樣適用。據有關部門統計,在所有的網絡安全事件中,約有52%是人為因素造成的,25%由火災、水災等自然災害引起,技術錯誤占10%,組織內部人員作案占10%,僅有3%左右是由外部不法人員的攻擊造成。屬于管理方面的原因比重高達70%以上,而這些安全問題中的95%是可以通過科學的信息安全管理來避免。因此,在維護網絡信息安全過程中,網絡監管是關鍵,并且應由一定的法律來強制保障實行。
以法律強制手段推行網絡實名制。網絡實名制指在網絡環境中傳遞信息時應使用真實身份資料認證的制度。網絡以計算機為依托,借助一定的計算機符號來承載信息,帶有很強的虛擬性。在這個虛擬性高的空間來實現非虛擬的信息安全管理具有一定的難度,因此就需要用法律的強制手段來推行。比如:上傳網絡信息的法律約束與管理。無論是個人還是集體要在網絡中上傳信息應受到一定的法律約束。不能是任何人任何時候都可以在任何網站上傳任何信息,如要上傳,應有特定的監管程序通過網絡實名制的信息庫檢驗其身份資格的合法性才能進行。當然這其中涉及到一個公民私權(個人隱私權等)的規避問題,但是我們的法律可以先在部分網站、部分領域實行網絡實名制,等到條件成熟之后再全面推行。
進一步推廣與完善電子簽名及相關法律。電子簽名也稱作“數字簽名”,是指用符號及代碼組成電子密碼進行“簽名”來代替書寫簽名或印章,它采用規范化的程序和科學化的方法,用于鑒定簽名人的身份以及對一項數據電文內容信息的認可。2004年8月,我國正式頒布了《中華人民共和國電子簽名法》,并于2005年4月1日起正式施行。這是我國首部真正意義上的信息法律化,它明確了可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。通過應用電子簽名認證證書實現網上身份識別認證,并確保信息在網絡中傳輸的保密性、完整性、以及行為的不可否認性。針對目前“電子認證”等實踐中的具體問題,應加快相關法律的建設與完善。
落實網絡信息安全等級評價。網絡信息系統的安全等級是指國家信息安全監督管理部門根據計算機網絡處理信息的敏感程度、業務應用性質和部門重要程度所確認的信息網絡安全保護能力的級別。信息系統安全等級評價是指評價機構根據國家信息安全等級技術標準和管理標準,對使用單位的信息網絡進行安全等級檢測、評價和監督的活動。對于網絡信息安全等級評價不合格的單位部門應由法律強制撤消其處理網絡信息等相關職能或給予一定期限進行整改。
加強網絡實名制、電子簽名、網絡信息安全等級評價等一系列法律的建立與完善,是強化網絡信息安全監管的保障。
最后,要進一步制定完善信息安全法律法規,加強網絡信息安全的法律宣傳與教育。國外的信息安全立法活動進行較早,尤其是美國的信息安全法律體系較完備。我國的信息安全立法仍處在起步階段,還沒有形成一個具有完整性、適用性、針對性的法律體系。這個法律體系的形成一方面要依賴我國信息化進程的深化,另一方面要依賴對信息化和信息安全的深刻認識和技術、法學意義上的超前研究。我國已有的法律法規從不同的層次對信息安全問題做出了規范,如《國家安全法》、《中華人民共和國電子簽名法》、《中華人民共和國計算機信息網絡國際互聯網絡安全保護管理辦法》等使我們初步有了處罰網絡信息安全違法犯罪的法律依據,但還有很多領域缺乏對信息犯罪進行定罪處罰的法律依據,有待進一步完善。
安全意味著受到保護,免受那些有意或以其他方式產生危害的人的攻擊。網絡安全是對網絡組件、連接和內容的保護。信息安全是對信息、系統以及使用、存儲和傳輸信息的硬件的保護。網絡信息安全的法律法規教育是計算機信息系統安全教育的重要內容。不管是作為一名計算機工作人員,還是普通計算機用戶,都應該接受相關法律法規的教育。尤其是那些使用網絡機會多而且很活躍的群體,更應該熟悉和掌握我國的信息安全方面的法律法規。法律法規是保證計算機信息系統安全準則,法律法規教育是遵守法律法規的必由之路。
總之,建立網絡信息安全問題日益緊迫,為保障公民的合法權益,健全我國的法制建設,在提高網絡技術的同時,我們也要重視相關法律的完善,使網絡信息安全切實得到法律的保障。
參考文獻:
[1]郭明瑞:民法[M].高等教育出版社,2005.6
[2]張文顯:法理學[M].高等教育出版社,2004.5
[3]田文英符秋艷:論網絡信息安全法的調整對象[J].情報雜志,2005;(4)
[4]周磊劉可靜:我國網絡信息安全問題及其立法探討[J]. 圖書情報工作,2006;(5)
第5篇:網絡安全等級保護管理辦法范文
為了貫徹國家對信息系統安全保障工作的要求以及等級化保護堅持“積極防御、綜合防范”的方針,需要全面提高信息安全防護能力。貴州廣電網絡信息系統建設需要進行整體安全體系規劃設計,全面提高信息安全防護能力,創建安全健康的網絡環境,保護國家利益,促進貴州廣電網絡信息化的深入發展。
1安全規劃的目標和思路
貴州廣電網絡目前運營并管理著兩張網絡:辦公網與業務網;其中辦公網主要用于貴州廣電網絡各部門在線辦公,重要的辦公系統為OA系統、郵件系統等;業務網主要提供貴州廣電網絡各業務部門業務平臺,其中核心業務系統為BOSS系統、互動點播系統、安全播出系統、內容集成平臺以及寬帶系統等。
基于對貴州廣電網絡信息系統的理解和國家信息安全等級保護制度的認識,我們認為,信息安全體系是貴州廣電網絡信息系統建設的重要組成部分,是貴州廣電網絡業務開展的重要安全屏障,它是一個包含貴州廣電網絡實體、網絡、系統、應用和管理等五個層面,包括保護、檢測、響應、恢復四個方面,通過技術保障和管理制度建立起來的可靠有效的安全體系。
1.1設計目標
貴州廣電網絡就安全域劃分已經進行的初步規劃,在安全域整改中初見成效,然而,安全系統建設不僅需要建立重要資源的安全邊界,而且需要明確邊界上的安全策略,提高對核心信息資源的保護意識。貴州廣電網絡相關安全管理體系的建設還略顯薄弱,管理細則文件亟需補充,安全管理人員亟需培訓。因此,本次規劃重點在于對安全管理體系以及目前的各個業務系統進行了全面梳理,針對業務系統中安全措施進行了重點分析,綜合貴州廣電網絡未來業務發展的方向,進行未來五年的信息安全建設規劃。
1.2設計原則
1.2.1合規性原則
安全設計要符合國家有關標準、法規要求,符合廣電總局對信息安全系統的等級保護技術與管理要求。良好的信息安全保障體系必然是分為不同等級的,包括對信息數據保密程度分級,對用戶操作權限分級,對網絡安全程度分級(安全子網和安全區域),對系統實現結構的分級(應用層、網絡層、鏈路層等),從而針對不同級別的安全對象,提供全面、可選的安全技術和安全體制,以滿足貴州廣電網絡業務網、辦公網系統中不同層次的各種實際安全需求。
1.2.2技管結合原則
信息安全保障體系是一個復雜的系統工程,涉及人、技術、操作等要素,單靠技術或單靠管理都不可能實現。因此,必須將各種安全技術與運行管理機制、人員思想教育與技術培訓、安全規章制度建設相結合。
1.2.3實用原則
安全是為了保障業務的正常運行,不能為了安全而妨礙業務,同時設計的安全措施要可以落地實現。
1.3設計依據
1.3.1“原則”符合法規要求
依據《中華人民共和國計算機信息系統安全保護條例K國務院147號令)、《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[20〇3]27號)、《關于信息安全等級保護工作的實施意見》(公通字[2004]66號)、《信息安全等級保護管理辦法》(公通字[2007]43號)和GB/T22240-2009《信息安全技術信息系統安全等級保護定級指南》、GB/T22239-2008《信息安全技術信息系統安全等級保護基本要求》、《廣播電視安全播出管理規定》(廣電總局62號令)、GDJ038-CATV|有線網絡。
2011《廣播電視播出相關信息系統等級保護基本要求》,對貴州省廣播電視相關信息系統安全建設進行規劃。
1.3.2“策略”符合風險管理
風險管理是基于“資產-價值-漏洞-風險-保障措施”的思想進行保障的。風險評估與管理的理論與方法已經成為國際信息安全的標準。
風險管理是靜態的防護策略,是在對方攻擊之前的自我鞏固的過程。風險分析的核心是發現信息系統的漏洞,包括技術上的、管理上的,分析面臨的威脅,從而確定防護需求,設計防護的措施,具體的措施是打補丁,還是調整管理流程,或者是增加、增強某種安全措施,要根據用戶對風險的可接受程度,這樣就可以與安全建設的成本之間做一個平衡。
1.3.3“措施”符合P2DR模型
美國ISS公司(IntemetSecuritySystem,INC)設計開發的P2DR模型包括安全策略(Policy)、檢測(Detection)、防護(Protection)和響應(Response)四個主要部分,是一個可以隨著網絡安全環境的變化而變化的、動態的安全防御系統。安全策略是整個P2DR模型的中樞,根據風險分析產生的安全策略描述了系統中哪些資源要得到保護,以及如何實現對它們的保護等,策略是模型的核心,所有的防護、檢測和響應都是依據安全策略實施的。
檢測(Detection)、防護(Protection)和響應(Response)三個部分又構成一個變化的、動態的安全防御體系。P2DR模型是在整體的安全策略的控制和指導下,在綜合運用防護工具(如防火墻、身份認證、加密等)的同時,利用檢測工具(如漏洞評估、入侵檢測等)了解和評估系統的安全狀態,通過適當的反應將系統調整至“最安全”和“風險最低”的狀態,在安全策略的指導下保證信息系統的安全[3]。
1.4安全規劃體系架構
在進行了規劃“原則”、“策略”、“措施”探討的基礎上,我們設計貴州廣電網絡的安全保障體系架構為“一個中心、兩種手段”。
“一個中心”,以安全管理中心為核心,構建安全計算環境、安全區域邊界和安全通信網絡,確保業務系統能夠在安全管理中心的統一管控下運行,不會進入任何非預期狀態,從而防止用戶的非授權訪問和越權訪問,確保業務系統的安全。
“兩種手段”,是安全技術與安全管理兩種手段,其中安全技術手段是安全保障的基礎,安全管理手段是安全技術手段真正發揮效益的關鍵,管理措施的正確實施同時需要有技術手段來監管和驗證,兩者相輔相成,缺一不可。
2安全保陳方案規劃
2.1總體設計
貴州廣電網絡的安全體系作為信息安全的技術支撐措施,分為五個方面:
邊界防護體系:安全域劃分,邊界訪問控制策略的部署,主要是業務核心資源的邊界,運維人員的訪問通道。
行為審計體系:通過身份鑒別、授權管理、訪問控制、行為曰志等手段,保證用戶行為的合規性。
安全監控體系:監控網絡中的異常,維護業務運行的安全基線,包括安全事件與設備故障,也包括系統漏洞與升級管理。
公共安全輔助:作為整個網絡信息安全的基礎服務系統,包括身份認證系統、補丁管理系統以及漏洞掃描系統等。
IT基礎設施:提供智能化、彈能力的基礎設施,主要的機房的智能化、服務器的虛擬化、存儲的虛擬化等。
2.2安全域劃分
劃分安全域的方法是首先區分網絡功能區域,服務器資源區、網絡連接區、用戶接入區、運維管理區、對外公共服務區;其次是在每個區域中,按照不同的安全需求區分不同的業務與用戶,進一步劃分子區域;最后,根據每個業務應用系統,梳理其用戶到服務器與數據庫的網絡訪問路徑,通過的域邊界或網絡邊界越少越好。
Z3邊界防護體系規劃
邊界包括網絡邊界、安全域邊界、用戶接口邊界(終端與服務器)、業務流邊界,邊界上部署訪問控制措施,是防止非授權的“外部”用戶訪問“里面”的資源,因此分析業務的訪問流向,是訪問控制策略設計的依據。
2.3.1邊界措施選擇
在邊界上我們建議四種安全措施:
1.網絡邊界:與外部網絡的邊界是安全防護的重點,我們建議采用統一安全網關(UTM),從網絡層到應用層的安全檢測,采用防火墻(FW)部署訪問控制策略,采用入侵防御系統(IPS)部署對黑客入侵的檢測,采用病毒網關(AV)部署對病毒、木馬的防范;為了方便遠程運維工作,與遠程辦公實施,在網絡邊界上部署VPN網關,對遠程訪問用戶身份鑒別后,分配內網地址,給予限制性的訪問授權。Web服務的SQL注入、XSS攻擊等。
3.業務流邊界:安全需求等級相同的業務應用采用VLAN隔離,采用路由訪問限制策略;不同部門的接入域也采用VLAN隔離,防止二層廣播,通知可以在發現安全事件時,開啟不同子域的安全隔離。
4.終端邊界:重點業務系統的終端,如運維終端,采用終端安全系統,保證終端上系統的安全,如補丁的管理、黑名單軟件管理、非法外聯管理、移動介質管理等等。
2.3.2策略更新管理
邊界是提高入侵者的攻擊“門檻”的,部署安全策略重點有兩個方面:一是有針對性。允許什么,不允許什么,是明確的;二是動態性。就是策略的定期變化,如訪問者的口令、允許遠程訪問的端口等,變化的周期越短,給入侵者留下的攻擊窗口越小。
2.4行為審計體系規劃
行為審計是指對網絡用戶行為進行詳細記錄,直接的好處是可以為事后安全事件取證提供直接證據,間接的好處乇兩方面:對業務操作的日志記錄,可以在曰后發現操作錯誤、確定破壞行為恢復時提供操作過程的反向操作,最大程度地減小損失;對系統操作的日志記錄,可以分析攻擊者的行為軌跡,從而判斷安全防御系統的漏洞所在,亡羊補牢,可以彌補入侵者下次入侵的危害。
行為審計主要措施包括:一次性口令、運維審計(堡壘機)、曰志審計以及網絡行為審計。
2.5安全監控體系規劃
監控體系不僅是網絡安全態勢展示平臺,也是安全事件應急處理的指揮平臺。為了管理工作上的方便,在安全監控體系上做到幾方面的統一:
1.運維與安全管理的統一:業務運維與安全同平臺管理,提高安全事件的應急處理速度。
2.曰常安全運維與應急指揮統一:隨時了解網絡上的設備、系統、流量、業務等狀態變化,不僅是日常運維發現異常的平臺,而且作為安全事件應急指揮的調度平臺,隨時了解安全事件波及的范圍、影響的業務,同時確定安全措施執行的效果。
3.管理與考核的統一:安全運維人員的工作考核就是網絡安全管理的曰常工作與緊急事件的處理到位,在安全事件的定位、跟蹤、處理過程中,就體現了安全運維人員服務的質量。因此對安全運維平臺的行為記錄就可以為運維人員的考核提供一線的數據。
安全監控措施主要包括安全態勢監控以及安全管理平臺,2.6公共安全輔助系統
作為整個網絡信息安全的基礎服務系統,需要建設公共安全輔助系統:
1.身份認證系統:獨立于所有業務系統之外,為業務、運維提供身份認證服務。
2.補丁管理系統:對所有系統、應用的補丁進行管理,對于通過測試的補丁、重要的補丁,提供主動推送,或強制執行的技術手段,保證網絡安全基線。
3.漏洞掃描系統:對于網絡上設備、主機系統、數據庫、業務系統等的漏洞要及時了解,對于不能打補丁的系統,要確認有其他安全策略進行防護。漏洞掃描分為兩個方面,一是系統本身的漏洞,二是安全域邊界部署了安全措施之后,實際用戶所能訪問到的漏洞(滲透性測試服務)。
2.7IT基礎設施規劃
IT基礎設施是所有網絡業務系統服務的基礎,具備一個優秀的基礎架構,不僅可以快速、靈活地支撐各種業務系統的有效運行,而且可以極大地提高基礎IT資源的利用率,節省資金投入,達到環保的要求。
IT基礎設施的優化主要體現在三個方面:智能機房、服務器虛擬化、存儲虛擬化。
3安全筐理體系規劃
在系統安全的各項建設內容中,安全管理體系的建設是關鍵和基礎,建立一套科學的、可靠的、全面而有層次的安全管理體系是貴州省廣播電視信息網絡股份有限公司安全建設的必要條件和基本保證。
3_1安全管理標準依據
以GBAT22239-2008《信息安全技術信息系統安全等級保護基本要求》中二級、三級安全防護能力為標準,對貴州廣電網絡安全管理體系的建設進行設計。
3.2安全管理體系的建設目標
通過有效的進行貴州廣電網絡的安全管理體系建設,最終要實現的目標是:采取集中控制模式,建立起貴州廣電網絡完整的安全管理體系并加以實施與保持,實現動態的、系統的、全員參與的、制度化的、以預防為主的安全管理模式,從而在管理上確保全方位、多層次、快速有效的網絡安全防護。
3.3安全管理建設指導思想
各種標準體系文件為信息安全管理建設僅僅提供一些原則性的建議,要真正構建符合貴州廣電網絡自身狀況的信息安全管理體系,在建設過程中應當以以下思想作為指導:“信CATV丨有線網絡息安全技術、信息安全產品是信息安全管理的基礎,信息安全管理是信息安全的關鍵,人員管理是信息安全管理的核心,信息安全政策是進行信息安全管理的指導原則,信息安全管理體系是實現信息安全管理最為有效的手段。”
3.4安全管理體系的建設具體內容
GB/T22239-2008《信息安全技術信息系統安全等級保護基本要求》(以下簡稱《基本要求》)對信息系統的安全管理體系提出了明確的指導和要求。我們應以《基本要求》為標準,結合目前貴州廣電網絡安全管理體系的現狀,對廣電系統的管理機構、管理制度、人員管理、技術手段四個方面進行建設和加強。同時,由于信息安全是一個動態的系統工程,所以,貴州廣電網絡還必須對信息安全管理措施不斷的加以校驗和調整,以使管理體系始終適應和滿足實際情況的需要,使貴州廣電網絡的信息資產得到有效、經濟、合理的保護。
貴州廣電網絡的安全管理體系主要包括安全管理機構、安全管理制度、安全標準規范和安全教育培訓等方面。
通過組建完整的信息網絡安全管理機構,設置安全管理人員,規劃安全策略、確定安全管理機制、明確安全管理原則和完善安全管理措施,制定嚴格的安全管理制度,合理地協調法律、技術和管理三種因素,實現對系統安全管理的科學化、系統化、法制化和規范化,達到保障貴州廣電網絡信息系統安全的目的。
3.5曰常安全運維3.5.1安全風險評估
安全風險評估是建立主動防御安全體系的重要和關鍵環節,這環的工作做好了可以減少大量的安全威脅,提升整個信息系統的對網絡災難的免疫能力;風險評估是信息安全管理體系建立的基礎,是組織平衡安全風險和安全投入的依據,也是信息安全管理體系測量業績、發現改進機會的最重要途徑。
3.5.2網絡管理與安全管理
網絡管理與安全管理的主要措施包括:出入控制、場地與設施安全管理、網絡運行狀態監控、安全設備監控、安全事件監控與分析、提出預防措施。
3.5.3備份與容災管理
貴州廣電網絡主要關鍵業務系統需要雙機本地熱備、數據離線備份措施;其他相關業務應用系統需要數據離線備份措施。
3.5.4應急響應計劃
通過建立應急相應機構,制定應急響應預案,通過建立專家資源庫、廠商資源庫等人力資源措施,通過對應急響應有線網絡ICATV預案不低于一年兩次的演練,可以在發生緊急事件時,做到規范化操作,更快的恢復應用和數據,并最大可能的減少損失
3.6安全人員管理
信息系統的運行是依靠在各級黨政機構工作的人員來具體實施的,他們既是信息系統安全的主體,也是系統安全管理的對象。所以,要確保信息系統的安全,首先應加強人事安全管理。
安全人員應包括:系統安全管理員、系統管理員、辦公自動化操作人員、安全設備操作員、軟硬件維修人員和警衛人員。
其中系統管理員、系統安全管理員必須由不同人員擔當。3.7技術安全管理
主要措施包括:軟件管理、設備管理、備份管理以及技術文檔管理。
4安全規劃分期建設路線
信息安全保障重要的是過程,而不一定是結果,重要的是安全意識的提高,而不一定是安全措施的多少。因此,信息安全建設也應該從保障業務運營為目標,提高用戶自身的安全意識為思路,根據業務應用的模式與規模逐步、分階段建設,同時還要符合國家與廣電總局關于等級保護的技術與管理要求。
4.1主要的工作內容
根據安全保障方案規劃的設計,貴州廣電網絡的信息安全建設分為如下幾個方面的內容:
1.網絡優化改造:主要是安全域的劃分,網絡結構的改造。
2.安全措施部署:邊界隔離措施部署,行為審計系統部署、安全監控體系部署。
3.基礎設施改造:主要是數據大集中、服務器虛擬化、存儲虛擬化。
4.安全運維管理:信息安全管理規范、日常安全運維考核、安全檢查與審計流程、安全應急演練、曰常安全服務等。
4.2分期建設規劃
4_2.1達標階段(2015-2017)
1.等保建設
2.信任體系:網絡審計、運維審計、日志審計
3.身份鑒別(一次口令)
4.監控平臺:入侵檢測、流量監測、木馬監測
5.安全管理平臺建設
6.等保測評通過(2級3級系統)
7.安全服務:建立定期模式
8.滲透性測試服務(外部+內部)
9.安全加固服務,建立服務器安全底線
10.信息安全管理
11.落實安全管理細則文件制定
12.落實安全運維與應急處理流程
13.完善IT服務流程,建設安全運維管理平臺
14.定期安全演練與培訓
4.2.2持續改進階段(2018?2019)
1.等保建設
2.完善信息安全防護體系
3.提升整體防護能力
4.深度安全服務
5.有針對性安全演練,協調改進管理與技術措施
6.源代碼安全審計服務(新上線業務)
7.信息安全管理
8.持續改進運維與應急流程與制度,提高應急反應能力
9.提高運維效率,開拓運維增值模式
5結東語
第6篇:網絡安全等級保護管理辦法范文
近年來,國信辦組織了幾項信息安全試點,遍及全國的近三十余家試點單位成為安全探索先行者。當通過一年多的努力,為中國信息安全前行之路成功點燃一簇簇“星火”的時候,
他們坦然面對記者說出了這背后的故事。
國稅總局在風險評估實踐中總結出的差距分析法
有句話是這么說的:道路是什么,道路是人在沒有路的地方用腳踩出來的。
人生的道路是這樣,信息安全之路也是這樣。當安全威脅成為信息化進程最大阻礙的時候,如何踩出一條網絡信息安全之路,就成為政府主管部門思考的問題。
2006年,為貫徹落實《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號文件),形成與國際標準相銜接的中國特色的信息安全標準體系,以更好應對未來日益嚴峻的信息安全威脅,國務院信息化工作辦公室會同相關部門,組織了三項信息安全試點,包括:電子政務信息安全試點、信息安全風險評估試點、信息安全管理標準應用試點。總共有三十余家試點單位參加了相關試點工作。
因為涉及國家信息安全未來標準和技術道路的探索,所有的試點單位一直都仿佛蒙上一層神秘的面紗。這些探索者究竟做了一些什么工作?它們的先行又為我國信息安全事業踏出什么樣的實踐之路?近日,在國信辦召開的全國地方信息安全處長會議間歇,記者走近本次試點工作六個優秀試點單位代表,揭開了一直罩在這些試點單位頭上那層神秘的面紗,看到了他們的努力和汗水,以及試點工作探*索出來的寶貴經驗。政務馳入安全互聯網模式
試點方向:電子政務信息安全
訪談人物:河南省濟源市信息辦副主任焦依平
電子政務是國家信息化的重中之重,而信息安全又是電子政務順利完成的重中之重。
為貫徹落實中辦發27號文件精神,研究解決電子政務信息安全建設和管理中的一些共性問題,探索電子政務信息安全保障方法,國信辦會同國家保密局、國家密碼管理局、公安部十一局,從2005年10月開始,在廣東、河南、天津、重慶4個省市開展了電子政務信息安全試點。
這4個試點具體方向各有不同,其中河南濟源市探索的方向是如何基于互聯網開展電子政務建設、保障信息安全問題。“我們按照‘保安全,促應用’的思路,構建了基于互聯網的電子政務信息安全保障體系,探索出了一條低成本建設電子政務的新路子。”焦依平現在談起試點,依然抑制不住激動的心情。
焦依平介紹說,濟源市通信光纖現已覆蓋到村,政務部門全部接入了互聯網,但是統計下來,濟源市政務信息中部分總量不超過3%。如果僅為了3%的信息傳遞投入巨資建專網,顯然投入和效益不能平衡,這也與電子政務建設的初衷相違背。為此,濟源市按照國信辦和河南省信息辦的要求,不拉專線,完全基于互聯網,開展電子政務建設。
濟源市試點系統建設內容包括以下幾項:一是基于互聯網建設連接全市所有黨政部門和鄉鎮的電子政務網絡;二是在互聯網上建設政務辦公、項目審批管理、12345便民熱線、新農村信息服務等4個應用系統;三是在進行網絡和應用系統建設的同時開展信息安全試點,建設基于互聯網電子政務信息安全支撐平臺。
那么,如何真正用技術實現政務網絡互聯網辦公的安全需求呢?焦依平介紹說,試點工程遵循信息安全系統工程思想,按照“適度安全,促進應用,綜合防范”的原則和等級保護的要求,采用集成創新的技術路線,綜合運用以密碼為核心的信息安全技術,合理配置信息安全保密設備和安全策略,建設一個技術先進、安全可靠的基于互聯網的電子政務信息安全支撐平臺,形成一體化的分級防護安全保障體系,為電子政務提供可靠、有效的安全保障。
從安全技術實現上,據焦依平介紹,濟源市試點工程的安全支撐平臺涉及網絡安全和應用安全兩部分,本次試點網絡安全系統共建設7個安全子系統:一是VPN系統,由VPN密碼機、VPN客戶端和VPN管理系統組成,共同完成域間安全互聯、移動安全接入、用戶接入控制與網絡邊界安全等功能,其中中心機房的VPN密碼機帶有防火墻功能;二是統一身份認證與授權管理系統,完成用戶統一身份認證、授權管理等功能;三是網絡防病毒系統,部署于安全服務區,完成網絡防病毒功能;四是網頁防篡改系統,部署于政府網站,提供網站立即恢復的手段和功能;五是入侵檢測系統,部署于中心交換機,對網絡入侵事件進行主動防御;六是網絡審計系統部署于中心交換機,對網絡事件進行記錄,方便事后追蹤;七是桌面安全防護系統,部署在用戶終端,提供網絡防護、病毒防護、存儲安全、郵件安全等一體化的終端安全保護。
對于目前試點效果,焦依平認為,從實際效果來說,一是低成本建設了安全的政務網絡,實際投入620萬元,比原計劃專網方式預算總投資節約48.3%;二是實現了安全政務辦公和可信政務服務,全市各部門已100%實現了安全互聯,網絡可達鄉鎮,試點村;三是實現了安全的移動辦公,打破了電子政務應用只能在本地訪問的局限。而從長遠來講,濟源市已經初步建成安全、開放、實用的全面基于互聯網的電子政務系統。
電子政務內外互通
試點方向:電子政務信息安全
訪談人物:廣東省信息中心副主任曾強
目前,妨礙電子政務系統互聯互通的主要原因就是由此帶來的信息安全問題。跟濟源市試點方向不同,廣東省的試點方向主要是通過等級保護,探索解決省、市、縣(區)電子政務系統的信息共享與互聯互通問題。曾強介紹說,面對國信辦試點布置的這個大命題,廣東省將試點命題細化成以下幾個方面:由廣東省民政廳及東莞、深圳兩市民政局以及地下救助站完成民政4個業務系統縱向互聯互通試點;由省政府辦公廳完成視頻會議系統省府門戶網站試點;由佛山市政府完成財稅庫銀互聯互通系統試點;由江門市政府完成開放互聯環境下的信息安全解決方案試點;由佛山市南海區政府完成大社保6個分系統橫向互聯互通試點。
關于如何解決在不同的電子政務系統之間,安全實現互聯互通以及資源共享問題,曾強介紹說,試點工作中,廣東省綜合運用等級保護和風險評估相結合的方法,確定了解決互聯互通問題的基本思路:一是明確系統的重要程度,確定系統安全等級,采取與系統安全等級相適應的安全保護措施;二是按照有條件互聯、共享可控制的原則,確定需要共享的系統和應用以及需要共享的數據,保證只共享那些確實需要共享的數據,以保護系統中原有信息的安全;三是在進行系統互聯的部門之間建立共同的安全管理機制,明確系統互聯后的安全管理責任、管理邊界、安全事件協同處理等機制;四是對系統互聯的安全風險進行評估,全面分析低安全等級的系統給高安全等級的系統帶來的安全風險;五是針對系統互聯的安全風險,確定關鍵的安全控制要素,如互聯邊界的訪問控制、系統互聯的安全傳輸等,并落實具體的安全措施,保障系統互聯、數據共享的安全。
在以上措施的執行下,廣東省取得了初步成功,形成了《廣東省電子政務系統定級規范》、《廣東省電子政務系統互聯互通安全規范》等地方指導性文件。
風險規避預先保障
試點方向:信息安全風險評估
訪談人物:國家稅務總局處長李建彬
上海市信息化委員會信息安全測評中心
總工程師應力
信息網絡,風險無處不在,防患于未然是上上之策。這也是風險評估安全保障的內涵所在。國信辦于2005年2月組織北京市、上海市、黑龍江省、云南省、中國人民銀行、國家稅務總局、國家電網公司、國家信息中心等地方和部門開展信息安全風險評估試點工作。
國家稅務總局在廣東地稅南海數據中心所進行的風險評估試點,最大的亮點就是具有創新精神的“差距分析法”。
李建彬在介紹廣東南海試點經驗時,將差距分析法用一句話概括,就是“通過找出安全目標與現實系統差距,從而得出風險分析報告”。在試點工作中,李建彬感觸最深的就是,要對系統生命周期的整個過程都持續不斷地引入風險評估,盡量避免“先運行,后評估”的亡羊補牢式工作流程,以降低信息系統整體的信息安全風險等級。此外,李建彬還提出在風險評估工作具體實施過程中必須重點考慮以下幾點:
首先是風險評估與等級保護有密切的關系。類別和級別都是信息系統的固有屬性,通過風險評估可以識別系統的類別和安全級別,從而落實“等級保護”這一國家政策。但是系統的安全級別不應該一刀切,可考慮將系統最高安全級別部分的安全等級作為系統的安全等級。其次是系統分析是系統安全評估的基礎工作。再次是行業性系統安全要求在風險評估中起決定作用,不同行業的系統有著不同的安全要求,必須為不同行業、不同類型的系統制定適應其特點的系統安全要求。最后,通過安全風險評估工作進一步完善系統安全總體設計。
上海市在很早的時候就開始對風險評估進行探索。2002年上海市就確立180家重點信息安全責任單位(2004年調整為163家),涉及重要政府部門、公共事業單位、基礎網絡和涉及國計民生的重要信息系統。2006年,上海市了《上海市公共信息系統安全測評管理辦法》,又于2007年1月出臺了《上海市市級機關信息系統建設與管理指南》。之后,上海市信息委又出臺了關于風險評估工作的實施意見,明確建立自評估與檢查評估制度的原則、工作安排。
上海市信息安全測評中心總工程師應力博士在介紹上海市的風險評估實踐經驗時,多次強調要引導各單位進行自評估建設,讓信息安全風險評估成為政府及企事業信息安全建設的常態,在系統的設計階段、驗收階段、運行階段,都需要進行風險評估工作,形成“預防為主,持續改進”的風險評估機制。應力認為,對信息安全主管機關來說,風險評估是一種管理措施,通過風險評估,領導者可以了解信息系統的安全現狀,從而為管理決策提供依據。
信息安全重在管理
試點方向:信息安全管理標準應用
訪談人物:北京市海淀區信息辦主任張澤根
深交所ISMS項目組張興東
有專家提出:“信息安全系統是三分技術,七分管理。”可見信息安全管理在整個信息安全保障體系中的重要性。
國信辦網絡與信息安全組與全國信息安全標準化技術委員會共同于2006年3月開始,在北京市、上海市、國家稅務總局、中國證監會和武漢鋼鐵(集團)公司選取了相關單位,對國際上通用的,也是已經列入國家標準制、修訂計劃的兩個信息安全管理標準,即ISO/IEC 27001:2005《信息安全管理體系要求》和ISO/IEC 17799:2005《信息安全管理使用規則》,組織了應用試點。
北京市海淀區信息辦張澤根主任在具體介紹北京市海淀區信息安全管理體系實踐經驗時,感觸最深的就是在參考國際標準ISO/IEC27001和ISO/IEC17799的基礎上,結合海淀區原有ISO9001管理體系,取得了事半功倍的實際效果。通過ISMS的運行實踐,海淀區信息辦建立了信息安全管理體系,為進一步通過ISO/IEC27001認證做了很好的準備,同時還對ISMS與風險評估和等級保護的關系進行了有益的探索。ISMS為解決海淀區信息安全問題,提供了良好的方法和管理機制,并且為政府的信息化建設通過避免安全事故和合理分配經費兩種方式很好地節約了建設經費。
在ISMS項目試點實施前,深交所ISMS項目組就確定了項目實施不能流于形式的總體工作思路。深交所ISMS項目組張興東介紹經驗時,認為除了利用技術調查手段之外,還需要深入各個層面調研,充分了解深交所的信息安全現狀,利用多種方法相互補充、相互印證,以提高調查質量,為項目后期的實施打下良好的基礎。
第7篇:網絡安全等級保護管理辦法范文
關鍵詞:網絡信息安全;等級保護
中圖分類號:TP311 文獻標識碼:A文章編號:1007-9599 (2011) 14-0000-02
The Public Security Frontier Forces Information Security Construction Discussion
Jiang Haijun
(Liaoning Province Public Security Border Defense Corps Logistics Base,Shenyang110136,China)
Abstract:This article according to the public security Frontier forces network and the information security present situation,had determined by the internal core data protection network and the information security system construction goal primarily,through the pass word method safeguard internal data security,achieves the data security rank protection the request.
Keywords:Network information security;Level protection
隨著科學技術和邊防部隊勤務工作的深入發展,信息化建設已成為提高邊防執法水平的有力途徑,全國邊防部隊近年來已基本實現信息資源網絡化。但是,緊隨信息化發展而來的網絡安全問題日漸凸出,給邊防部隊管理工作帶來了新的挑戰,筆者結合邊防部隊當前網絡安全工作實際,就如何構建全方位的網絡安全管理體系略陳管見。
一、影響邊防部隊信息網絡安全的主要因素分析
(一)物理層的安全問題。構成網絡的一些計算機設備主要包括各種服務器、計算機、路由器、交換機、集線器等硬件實體和通信鏈路,這些設備分向在各種不同的地方,管理困難。其中任何環節上的失誤都有可能引起網絡的癱瘓。物理安全是制定區域網安全解決方案時首先應考慮的問題。
(二)計算機病毒或木馬的危害。計算機病毒影響計算機系統的正常運行、破壞系統軟件和文件系統、破壞網絡資源、使網絡效率急劇下降、甚至造成計算機和網絡系統的癱瘓,是影響網絡安全的豐要因素。新型的木馬和病毒的界限越來越模糊,木馬往往借助病毒強大的繁殖功能使其傳播更加廣泛。
(三)黑客的威脅和攻擊。現在各類打著安全培訓旗號的黑客網站不勝枚舉,大量的由淺到深的視頻教程,豐富的黑客軟件使得攻擊變得越來越容易,攻擊者的年齡也呈現低齡化,攻擊越演越烈。黑客入侵的常用手法有:系統溢出、端口監聽、端口掃描、密碼破解、腳本滲透等。
二、邊防部隊信息網絡安全的特征分析
(一)網絡安全管理范圍不斷擴大。從工作點來看,網絡覆蓋范圍已從機關直接深入到基層一線,從機關辦公大樓到沿邊沿海的邊檢站、派出所。凡是有網絡接入點的地方,無論是物理線路還是無線上網點都必須進行網絡安全管理,點多線長,情況復雜;從工作環節來看,從設備的選購、網絡的組建、專線的租用到日常網絡應用,從設備維護保養、設備出入庫到送修和報廢,無一不涉及到網絡信息安全,網絡安全已滲透到工作的每一個環節。如:某單位被通報發現違規事件,經調查,結果是有人將手機接上公安網計算機充電,而該手機正在無線上網。
(二)安全管理對象類型復雜多樣。目前,公安信息網、互聯網、業務專網、機要專網在日常工作中頻繁使用,成為管理的難點。同時,公安網上各類使用中的網絡安全管理軟件系統應用有待深化,一些網絡管理軟件使用功能僅停留在表層,未能成為得力工具。
(三)網絡安全問題不斷翻新。目前互聯網、公安網、業務網、網四種網絡必須物理隔離,禁止交叉使用移動存儲介質,但四種網絡的信息資源在一定范圍內卻必須共享交流。曾經出現過這種情況,某單位人員在互聯網上建立論壇,發表不健康言論,觸犯邊防部隊管理條例。究其原因,是因為我們的網絡安全工作一直以來是局限在公安網內部,尚未隨著網絡應用發展趨勢擴展到互聯網的管理上。
三、邊防部隊信息網絡安全的技術分析
網絡安全產品的自身安全的防護技術網絡安全設備安全防護的關鍵,一個自身不安全的設備不僅不能保護被保護的網絡而且一旦被入侵,反而會變為入侵者進一步入侵的平臺。
(一)虛擬網技術。虛擬網技術主要基于近年發展的局域網交換技術(ATM和以太網交換)。交換技術將傳統的基于廣播的局域網技術發展為面向連接的技術。因此,網管系統有能力限制局域網通訊的范圍而無需通過開銷很大的路由器。
(二)防火墻技術。網絡防火墻技術是一種用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監視網絡運行狀態。雖然防火墻是保護網絡免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數據驅動型的攻擊。
(三)病毒防護技術。病毒歷來是信息系統安全的主要問題之一。由于網絡的廣泛互聯,病毒的傳播途徑和速度大大加快。在防火墻、服務器、SMTP服務器、網絡服務器、群件服務器上安裝病毒過濾軟件。在桌面PC安裝病毒監控軟件。
(四)入侵檢測技術。利用防火墻技術,經過仔細的配置,通常能夠在內外網之間提供安全的網絡保護,降低了網絡安全風險。但是,僅僅使用防火墻、網絡安全還遠遠不夠。需要監視的服務器上安裝監視模塊(agent),分別向管理服務器報告及上傳證據,提供跨平臺的入侵監視解決方案;在需要監視的網絡路徑上,放置監視模塊(sensor),分別向管理服務器報告及上傳證據,提供跨網絡的入侵監視解決方案。
四、邊防部隊信息網絡安全管理體系的對策
網絡安全是一個范圍相對較大的概念,根據具體的實際情況組成不同安全管控層次或等級的網絡系統,既是網絡實際發展應用的趨勢,更是網絡現實應用的一種必然。
(一)提高多層次的技術防范措施。按照網絡實際應用中出現故障的原因和現象,參考網絡的結構層次,我們可以把網絡安全工作的對象分為物理層安全、系統層安全、網絡層安全和應用層安全,不同層次反映不同的安全問題,采取不同的防范重點:一是確保物理環境的安全性。包括通信線路的安全、物理設備的安全、機房的安全等。在內網、外網共存的環境中,可以使用不同顏色的網線、網口標記、網口吊牌來標記區分不同的網絡,如灰色的公安網專用,紅色的互聯網專用,黃色的網專用。二是確保軟硬件設備安全性。必須預備一定的備用設備,并定期備份重要網絡設備設置。對待報廢的各類存儲類配件,一定要進行消磁處理,確保信息安全。三是提供良好的設備運行環境機房要有嚴格的防盜、防火、防潮、防靜電、防塵、防高溫、防泄密等措施,并且有單獨的電源供電系統;安裝有計算機的辦公室要有防塵、防火、防潮、防泄密等措施,電源要符合計算機工作要求。四是完善操作系統的安全性必須設置系統自動升級系統補丁。五是加強密碼的管理。存取網絡上的任何數據皆須通過密碼登錄。同時設制復雜的計算機開機密碼、系統密碼和屏保密碼。
(二)建立嚴格的網絡安全管理制度。嚴格的安全管理制度、明確的部門安全職責劃分、合理的人員角色配置都可以在很大程度上降低安全漏洞。我們應通過制度規范協調網絡安全的組織、制度建設、安全規劃、應急計劃,筑起網絡安全的第一道防線。
(三)合理開放其它類型的網絡應用。目前,很多單位都建立了警營網吧,給官兵提供良好的學習娛樂平臺,這種情況下就必須把互聯網的網絡安全工作納入安全工作范圍,采取多種方法,規范和引導官兵進行互聯網的應用,合理開放所需的應用功能,有效控制不合理的功能應用。目前,邊防部隊的信息網絡安全技術的研究仍處于起步階段,有大量的工作需要我們去探索和開發。公安部已在全國范圍內大力推進信息網絡安全工作,相信在大家的共同努力下,邊防部隊將建立起一套完整的網絡安全體系,確保信息網絡的安全,推動邊防部隊信息化高度發展。
五、結論
網絡信息安全系統建設完成后,將實現信息系統等級保護中有關數據安全保護的基本要求和目標,尤其是應用密碼技術和手段對信息系統內部的數據進行透明加密保護。網絡信息安全系統還為單位內部機密電子文檔的管理提供了一套有效的管理辦法,為電子文檔的泄密提供了追查依據,解決了信息系統使用方便性和安全共享可控制的難點,為部隊深化信息化建設提供技術保障。網絡信息安全系統能夠有效提高單位的數據安全保護等級,與其他信息系統模塊協調工作,實現了資源的整合和系統的融合,形成一個更加安全、高效、可控、完善的信息系統風險監控與等級保護平臺,提高了部隊內部核心數據,特別是對內部敏感電子文檔的安全管理,隨著系統的不斷完善和擴大,將對部隊內部網絡和信息系統的安全保護發揮更大作用。
參考文獻:
第8篇:網絡安全等級保護管理辦法范文
關鍵詞:信息安全;技術創新;分級管理
21世紀以來,隨著我國網絡信息化的高速發展和“三網融合”的積極推進,廣電行業的網絡化、數字化和智能化的趨勢與日俱增。人們在享受便利的同時,也面臨著信息安全的嚴峻挑戰。
一、信息安全的概念和要求
網絡的開放性和共享性,使其更容易受到病毒、黑客的侵襲,從而導致信息外泄、惡意篡改、密碼被盜、網絡竊聽等問題。因此,網絡的信息安全,從根本上說是指網絡系統本身運行穩定,以及系統中的相關數據信息在任何情況下,不會被泄漏、更改或干擾。其內涵主要包括系統安全、內容安全、傳輸安全等。信息安全防護工作應該滿足以下要求:一是保密性,要求在保證為授權使用者正常使用的同時,能保護數據不被非法截獲;二是完整性,能確保數據信息在運行過程中是未被篡改或破壞的原始信息;三是可用性,要保證系統時刻正常運行,用戶在任何情況下都能及時得到或使用數據;四是可控性,確保用戶身份的真實性,保證信息和信息系統的授權認證和監控管理,同時能有效防范黑客、病毒等。
二、廣電行業信息安全存在的問題
廣電行業的網絡化、信息化和智能化的趨勢,對信息安全工作提出了嚴峻的挑戰。一方面,由于信息安全管理和技術的專業性,目前無論是人員數量上還是技能上,都存在不足;另一方面,互聯網的開放性和共享性使黑客攻擊更方便、破壞更廣,會給單位和個人信息造成很大的安全隱患。因此,提高信息安全集中監管的能力和技術水平,成為廣電行業發展的中心課題。雖然我國信息安全工作也在穩步開展,但還是存在一些不容忽視的共性問題。1.管理制度不完善,執行不到位安全保護工作日益受到各級領導的重視,各相關單位對網絡和信息系統的安全保護日常管理工作基本規范,但未能嚴格按照等級保護管理要求,建立完整的安全管理制度;沒有制定具體崗位工作職責,如系統管理員、網絡管理員、安全管理員崗位不明確;安全管理制度執行過程中的記錄存在缺失現象;缺乏整體的信息安全應急預案和演練記錄;在信息系統建設時有規劃,但缺少相關安全技術專家對安全設計方案進行論證和審定,決策的民主性、科學性不足;專門針對安全技能方面的培訓和考核需要加強。2.信息安全技術滯后,創新性不足在安全技術方面各單位雖然也采取了隔離技術、防火墻技術等,但仍存在明顯不足:沒有從物理安全、主機安全、網絡安全、應用安全、數據安全幾個方面建立完整的技術防范體系;目前依賴于外網隔離、延播和備播等傳統安全播出手段,很難適應日益發展的新媒體平臺建設,在互聯網上提供點播和直播內容服務;管理用戶的身份鑒定大多數采取用戶名/口令的方式,而且缺乏有效的口令更新周期機制,存在被暴力破解和竊聽的風險;平臺未能按照三權分立的原則設定系統管理員、安全管理員和安全審計員,造成系統存在超級用戶,權力過大;目前廠家可通過第三方軟件或者遠程桌面直接登錄到應用服務器,且操作沒有行為記錄,存在安全風險,需要加強對廠家進行系統運維的監管。3.管理隊伍素質參差不齊,安全意識淡薄由于編制和經費等因素的制約,很多管理人員身兼多職,一人多崗。一方面,專業技術人員明顯存在不足;另一方面,有的技術人員年齡偏大、專業知識老化,對一些新技術、新病毒缺乏職業敏感性,更缺乏預見性。此外,安全教育工作也沒有跟上,部分人員安全意識淡薄。
三、廣電行業信息安全管理的對策
信息安全問題,不僅是一個技術問題,更是一個管理方面的問題。加強信息安全管理,必須從以下幾個方面入手。1.增強信息安全意識,樹立整體信息安全觀信息安全的保障能力是21世紀國家核心競爭力的重要組成部分,必須從國家戰略層面加以重視,人人都要樹立信息安全觀。同時,信息安全防護也是一個比技術防護層面和一般社會管理層面更高層次的問題,它應該是基于安全技術為基礎的集法律、道德、管理、技術和人才于一體的綜合保障體系,因此,必須樹立整體信息安全觀。2.加強信息安全立法,構筑信息安全法律之網有效解決網絡信息安全問題不僅要依靠技術手段,還必須將技術性規范法律化。雖然我國的《計算機信息系統安全保護條例》《計算機病毒防治管理辦法》《互聯網安全保護技術措施規定》等相繼出臺,在保障網絡信息安全方面發揮了重要作用,但是現行的法律制度仍然難以適應日益發展的網絡信息化的新形勢,因此,加快相關立法、構建更加完善的信息安全法律保障體系,成為廣電網快速發展的必然要求。3.健全信息安全管理體系,加強信息安全頂層設計隨著網絡的普及和深入,信息安全已不是一個孤立的問題,依靠任何單一的安全技術或產品,都不能保證網絡信息的安全。這就需要構建一個以安全技術措施為基礎,科學決策、規范管理、安全運行的有機統一的安全管理體系。其中,最關鍵是要建立和落實信息安全分級保護制度,根據不同單元的重要程度或風險程度劃分為不同的保護等級,分別采取必要的保護技術和措施,以達到安全有效保護的目的。4.建立完整高效的技術防范體系,為信息安全提供技術支撐不斷加強網絡技術的研究與開發,從物理安全、主機安全、網絡安全、應用安全、數據安全與備份恢復幾個方面建立完整高效的技術防范體系。加大對內容過濾和檢測技術、加密技術等關鍵信息技術的研發力度;同時,推行信息安全技術設備的國產化,進一步提升廣電網信息安全的管控水平。合理劃分安全域是建立信息安全防范技術體系的前提。通過合理劃分安全域,網絡邊界更加明確,這樣既有利于實現對物理區域和網絡區域之間的有效隔離和訪問控制,也增強了安全域的邊界安全及內部進行重點安全防護的針對性。另外,要不斷優化終端設備、IP協議以及網絡上下行頻率分配等,改善用戶體驗,提升信息服務水平。5.提高管理人員素質,為信息安全提供人才保障要制定科學合理的人才發展規劃,充分發揮技術人才的作用。一方面,加大專業技術人才的引進力度,落實人才優惠政策,既要吸引人才,更要留住人才。另一方面,重視對員工的業務技能培訓和職業道德教育,使其增強保密意識,遵守工作規范,履行崗位職責,讓每一名信息管理人員成為守護信息安全的忠誠衛士。
四、結語
推進三網融合是促進我國信息化建設的必由之路。廣電網是三網融合中很重要的一個環節,確保網絡信息安全舉足輕重。然而,開放共享的網絡也是一把“雙刃劍”,使用網絡就必然存在網絡信息安全問題。因此,在融合過程中,必須緊緊抓住信息安全這條主線,加強信息基礎設施建設,健全法律體系,加強技術創新,落實信息安全分級保護制度,不斷提升廣電網的安全性,切實保障黨和國家的財產安全以及人民群眾的切身利益。人力資源是企業最根本、最核心的資源之一。企業以實現利益最大化為目標,而企業利益必須依靠人來創造和獲取。因此,優化人力資源管理,已經成為國有煤炭企業可持續發展的重中之重。一、國有煤炭企業人力資源管理存在的問題1.“以人為本”的觀念在實際工作中體現不夠國有煤炭企業體制機制上的弊端反映在人力資源管理上,即強調“聽從安排”,否定個性發展,重擁有不重使用,造成部分員工工作主動性和創造性不足。雖然企業也積極探索“以人為本”的人力資源管理新模式,但口頭上、形式上、表面上的“以人為本”,覆蓋了實質上、實際上、實效上的“以人為本”。2.沒有正確認識“人力資本”的意義國有煤炭企業對人力資源的管理基本上還停留在經驗管理為主的傳統模式,缺乏對“人力資本”的認識,“人力資本”的概念更是模糊不清,仍然習慣于人多好干活、人海戰術的勞動密集型人力資源管理方式。這造成很多部門和崗位人員偏多,工作效率較低。同時,計劃經濟的“大鍋飯”思想束縛了員工工作的主動性和自覺性,人力資本的潛能無法發揮作用。3.員工整體素質有待提高國有煤炭企業員工整體素質較低,參加工作之前接受學校的教育程度和知識水平不高,缺乏煤礦專業系統性理論知識,根基打得不牢、不實,造成工作中業務技能難以提升。
作者:錢英 單位:安徽智圣通信技術股份有限公司
參考文獻
[1]張愛華.試論我國網絡信息安全的現狀與對策[J].江西社會科學,2006(09):252-255.
[2]毋晶晶,肖晏夏.關于對企業信息安全等級保護的思考[J].科技創新與生產力,2011(08):60-61.
[3]張瑞芝.廣電行業信息安全等級保護工作探究[J].信息網絡安全,2010(9):72-73.
第9篇:網絡安全等級保護管理辦法范文
【 關鍵詞 】 內蒙古電力公司信息系統;信息安全;風險評估;探索與思考
The Exploration and Inspiration of Risk Assessment on Information Systems
in Inner Mongolia Power (Group) Co., Ltd.
Ao Wei 1 Zhuang Su-shuai 2
(1.Information Communication Branch of the Inner Mongolia Power (Group)Co., Ltd Inner MongoliaHohhot 010020;
2.Beijing Certificate Authority Co., Ltd Beijing 100080)
【 Abstract 】 Based on the conduct of information security risk assessment in Inner Mongolia Power (Group) Co. Ltd., we analyzed the general methods of risk assessment on power information systems. Besides, we studied the techniques and overall process of risk assessment on power information systems in Inner Mongolia Power (Group) Co. Ltd., whose exploration provides valuable inspiration to information security in electric power industry.
【 Keywords 】 information systems of Inner Mongolia Power (Group) Co., Ltd.; information security; risk assessment; exploration and inspiration
1 引言
目前,電力行業信息安全的研究只停留于網絡安全防御框架與防御技術的應用層面,缺少安全評估方法與模型研究。文獻[1]-[3]只初步分析了信息安全防護體系的構架與策略,文獻[4]、[5]研究了由防火墻、VPN、PKI和防病毒等多種技術構建的層次式信息安全防護體系。這些成果都局限于單純的信息安全保障技術的改進與應用。少數文獻對電力信息安全評估模型進行了討論,但對于安全風險評估模型的研究都不夠深入。文獻[6]、文獻[7]只定性指出了安全風險分析需要考慮的內容;文獻[8]討論了一種基于模糊數學的電力信息安全評估模型,這種模型本質上依賴于專家的經驗,帶有主觀性;文獻[9]只提出了一種電力信息系統安全設計的建模語言和定量化評估方法,但是并未對安全風險的評估模型進行具體分析。
本文介紹了內蒙古電力信息系統風險評估的相關工作,并探討了內蒙古電力信息系統風險評估工作在推動行業信息安全保護方面帶給我們的啟示。
2 內蒙古電力信息安全風險評估工作
隨著電網規模的日益擴大,內蒙古電力信息系統日益復雜,電網運行對信息系統的依賴性不斷增加,對電力系統信息安全的要求也越來越高。因此,在電力行業開展信息安全風險評估工作,研究電力信息安全問題,顯得尤為必要。
根據國家關于信息安全的相關標準與政策,并根據實際業務情況,內蒙古電力公司委托北京數字認證股份有限公司(BJCA)對信息系統進行了有效的信息安全風險評估工作。評估的內容主要包括系統面臨的安全威脅與系統脆弱性兩個方面,以解決電力信息系統面臨的的安全風險。
3 電力系統信息安全風險評估的解決方案
通過對內蒙古電力信息系統的風險評估工作,我們可以總結出電力信息系統風險評估的解決方案。
4 電力信息系統風險評估的流程
電力信息系統風險評估的一般流程。
(1) 前期準備階段。本階段為風險評估實施之前的必需準備工作,包括對風險評估進行規劃、確定評估團隊組成、明確風險評估范圍、準備調查資料等。
(2) 現場調查階段:實施人員對評估信息系統進行詳細調查,收集數據信息,包括信息系統資產組成、系統資產脆弱點、組織管理脆弱點、威脅因素等。
(3) 風險分析階段:根據現場調查階段獲得的相關數據,選擇適當的分析方法對目標信息系統的風險狀況進行綜合分析。
(4) 策略制定階段:根據風險分析結果,結合目標信息系統的安全需求制定相應的安全策略,包括安全管理策略、安全運行策略和安全體系規劃。
5 數據采集
在風險評估實踐中經常使用的數據采集方式主要有三類。
(1) 調查表格。根據一定的采集目的而專門設計的表格,根據調查內容、調查對象、調查方式、工作計劃的安排而設計。常用的調查表有資產調查表、安全威脅調查表、安全需求調查表、安全策略調查表等。
(2) 技術分析工具。常用的是一些系統脆弱性分析工具。通過技術分析工具可以直接了解信息系統目前存在的安全隱患的脆弱性,并確認已有安全技術措施是否發揮作用。
(3) 信息系統資料。風險評估還需要通過查閱、分析、整理信息系統相關資料來收集相關資料。如:系統規劃資料、建設資料、運行記錄、事故處理記錄、升級記錄、管理制度等。
a) 分析方法
風險評估的關鍵在于根據所收集的資料,采取一定的分析方法,得出信息系統安全風險的結論,因此,分析方法的正確選擇是風險評估的核心。
結合內蒙電力信息系統風險評估工作的實踐,我們認為電力行業信息安全風險分析的方法可以分為三類。
定量分析方法是指運用數量指標來對風險進行評估,在風險評估與成本效益分析期間收集的各個組成部分計算客觀風險值,典型的定量分析方法有因子分析法、聚類分析法、時序模型、回歸模型、等風險圖法等。
定性分析方法主要依據評估者的知識、經驗、歷史教訓、政策走向及特殊案例等非量化資料對系統風險狀況做出判斷的過程。在實踐中,可以通過調查表和合作討論會的形式進行風險分析,分析活動會涉及來自信息系統運行和使用相關的各個部門的人員。
綜合分析方法中的安全風險管理的定性方法和定量方法都具有各自的優點與缺點。在某些情況下會要求采用定量方法,而在其他情況下定性的評估方法更能滿足組織需求。
表1概括介紹了定量和定性方法的優點與缺點。
b) 質量保證
鑒于風險評估項目具有一定的復雜性和主觀性,只有進行完善的質量控制和嚴格的流程管理,才能保證風險評估項目的最終質量。風險評估項目的質量保障主要體現在實施流程的透明性以及對整體項目的可控性,質量保障活動需要在評估項目實施中提供足夠的可見性,確保項目實施按照規定的標準流程進行。在內蒙古電力風險評估的實踐中,設立質量監督員(或聘請獨立的項目監理擔任)是一個有效的方法。質量監督員依照相應各階段的實施標準,通過記錄審核、流程監理、組織評審、異常報告等方式對項目的進度、質量進行控制。
6 內蒙古電力信息安全風險評估的啟示
為了更好地開展風險評估工作,可以采取以下安全措施及管理辦法。
6.1 建立定期風險評估制度
信息安全風險管理是發達國家信息安全保障工作的通行做法。按照風險管理制度,適時開展風險評估工作,或建立風險評估的長效機制,將風險評估工作與信息系統的生命周期和安全建設聯系起來,讓風險評估成為信息安全保障工作運行機制的基石。
6.2 編制電力信息系統風險評估實施細則
由于所有的信息安全風險評估標準給出的都是指導性文件,并沒有給出具體實施過程、風險要素識別方法、風險分析方法、風險計算方法、風險定級方法等,因此建議在國標《信息安全風險評估指南》的框架下,編制適合電力公司業務特色的實施細則,根據選用的或自定義的風險計算方法,,制各種模板,以在電力信息系統實現評估過程和方法的統一。
6.3 加強風險評估基礎設施建設,統一選配風險評估工具
風險評估工具是保障風險評估結果可信度的重要因素。應根據選用的評估標準和評估方法,選擇配套的專業風險評估工具,向分支機構配發或推薦。如漏洞掃描、滲透測試等評估輔助工具,及向評估人員提供幫助的資產分類庫、威脅參考庫、脆弱性參考庫、可能性定義庫、算法庫等評估輔助專家系統。
6.4 統一組織實施核心業務系統的評估
由于評估過程本身的風險性,對于重要的實時性強、社會影響大的核心業務系統的評估,由電力公司統一制定評估方案、組織實施、指導加固整改工作。
6.5 以自評估為主,自評估和檢查評估相結合
自評估和檢查評估各有優缺點,要發揮各自優勢,配合實施,使評估的過程、方法和風險控制措施更科學合理。自評估時,通過對實施過程、風險要素識別、風險分析、風險計算方法、評估結果、風險控制措施等重要環節的科學性、合理性進行分析,得出風險判斷。
6.6 風險評估與信息系統等級保護應結合起來
信息系統等級保護若與風險評估結合起來,則可相互促進,相互依托。等級保護的級別是依據系統的重要程度和安全三性來定義,而風險評估中的風險等級則是綜合考慮了信息的重要性、安全三性、現有安全控制措施的有效性及運行現狀后的綜合結果。通過風險評估為信息系統確定安全等級提供依據。確定安全等級后,根據風險評估的結果作為實施等級保護、安全等級建設的出發點和參考,檢驗網絡與信息系統的防護水平是否符合等級保護的要求。
參考文獻
[1] 魏曉菁, 柳英楠, 來風剛. 國家電力信息網信息安全防護體系框架與策略. 計算機安全,2004,6.
[2] 魏曉菁,柳英楠,來風剛. 國家電力信息網信息安全防護體系框架與策略研究. 電力信息化,2004,2(1).
[3] 沈亮. 構建電力信息網安全防護框架. 電力信息化,2004,2(7).
[4] 梁運華,李明,談順濤. 電力企業信息網網絡安全層次式防護體系探究. 電力信息化,2003,2(1).
[5] 周亮,劉開培,李俊娥. 一種安全的電力系統計算機網絡構建方案. 電網技術,2004,28(23).
[6] 陳其,陳鐵,姚林等. 電力系統信息安全風險評估策略研究. 計算機安全,2007,6.
[7] 阮文峰. 電力企業網絡系統的安全風險分析和評估. 計算機安全,2003(4).
[8] 叢林,李志民,潘明惠等. 基于模糊綜合評判法的電力系統信息安全評估. 電力系統自動化,2004,28(12).
[9] 胡炎,謝小榮,辛耀中. 電力信息系統建模和定量安全評估. 電力系統自動化,2005,29(10).
作者簡介:
