網絡安全等級保護評估精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網絡安全等級保護評估主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:網絡安全等級保護評估范文
關鍵詞:等級保護 信息系統 安全策略
中圖分類號:TP391.41 文獻標識碼:A 文章編號:1007-9416(2015)12-0000-00
隨著我國信息化建設的高速發展,信息技術水平的日益提高,眾多單位、組織都建立了自己的信息系統,以充分利用各類網絡信息資源。與此同時,各種非法入侵和盜竊、計算機病毒、拒絕服務攻擊、機密數據被篡改和竊取、網絡癱瘓等安全問題也時刻威脅著我國網絡的安全。因此,維護網絡信息安全的任務異常艱巨、繁重。信息安全等級保護制度的建立,可以有效地解決我國網絡信息安全面臨的威脅及存在的問題。
隨著信息安全等級保護工作的深入開展,不同等級信息系統之間的互聯、互通、互操作是當前研究的熱點和難點,其中,如何制定有效的安全策略,確保信息在多級互聯信息系統間安全流通,是亟待解決的關鍵問題。
1信息安全等級保護
信息安全等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置。
等級保護環境下的信息系統一般由安全計算環境、安全區域邊界、安全通信網絡和安全管理中心構成。其中,安全計算環境是對信息系統的信息進行存儲、處理的相關部件;安全區域邊界是對信息系統的各個區域之間實現連接并實施訪問控制的相關部件;安全通信網絡是保障信息在系統內安全傳輸及安全策略實施的相關部件;安全管理中心是對信息系統的安全策略及安全計算環境、安全區域邊界和安全通信網絡上的安全機制實施統一管理的平臺。
2多級互聯信息系統
我國信息安全等級保護標準將信息系統按照安全保護能力劃分為五個安全等級,一些重要、大型的信息系統中可能存在多個不同等級的子系統,不同等級信息系統之間要實現可信互聯,由于信任體系和運行模式不盡相同,互聯互通會導致安全風險的進一步增加,尤其是低等級信息系統可能通過惡意授權給高等級信息系統帶來權限失控風險。
因此,需要建立一個總體的安全管理中心,將不同安全等級的子系統連接在一起,通過協同合作,實現特定的功能服務,這就是多級互聯信息系統。在多級互聯信息系統中,各個子系統和互聯系統本身,都需要實施信息分級分類保護,從而確保系統間的交互協作及信息流動,保障系統的安全。
本文將在信息安全等級保護的要求下,研究多級互聯信息系統安全策略的制定,從而較好地解決多級互聯系統的安全風險問題,確保系統安全。
3多級互聯信息系統安全策略的制定
安全策略是為規范網絡安全防護工作,保證網絡正常使用、發揮網絡效能所必須強制執行的一系列要求、規范或操作。其主要作用是針對被保護對象面臨的主要威脅,圍繞安全防護目標,提出網絡安全防護具體要求,指導安全管理行動。確定并實施網絡安全策略是對網絡進行有效安全管理的基礎和依據,是網絡信息系統安全保障的核心和起點,是實現網絡安全管理和技術措施的前提。因此,為了確保多級互聯信息系統安全有效地運行,制定明確和合理的安全策略就成為了關鍵。
3.1指導思想
根據不同應用類別和安全等級防護目標的需求,給出安全防護策略的框架,研究制定各類網絡相應的安全防護策略,并保證制定的安全策略具有較高的規范性、完備性和有效性。安全策略的制定與實施應當遵循“局部策略符合全局策略、下級策略符合上級策略”的原則。同時,隨著信息技術的發展以及系統的升級、調整,安全策略也應該隨之進行重新評估和制定,隨時保持策略與安全目標的一致性,確保信息系統安全有效地運行。
3.2基本原則
基于以上思想,制定多級互聯信息系統安全策略時應遵循以下原則:
(1)統一領導,分級負責。針對系統、數據、用戶等保護對象,按照同類、同級集中的原則進行等級保護級別的劃分,確定安全保護等級對應的適用范圍及具體組織實施單位。(2)廣域監察,局域管控。依托總體安全管理中心,建立多級互聯系統廣域安全監察機制,監督、檢查各安全域網絡節點和用戶網絡安全策略的配置執行情況,監測重要骨干網絡流量,預警網絡攻擊和入侵行為,形成網絡安全實時態勢;在各安全域網絡節點和用戶網絡建立局域安全管控機制,依托各級安全管理中心,對網絡節點和用戶網絡的安全設備、主機系統的安全策略和安全事件進行集中統一管理,實現網內各類資源的可控可管,提高系統整體防護能力和維護管理效率。(3)分區分域,適度防護。根據等級保護的思想,在劃分的安全域中,一方面要遵循等級保護要求,加強主動防范措施;另一方面要針對各安全域業務特點的保護強度,在不影響系統整體安全性的前提下,進一步對各域的安全策略進行設置,并確保這些策略的相對性、獨立性及關聯性。(4)區域自治,聯防聯動:各安全域根據總體安全管理中心下發的安全策略,結合自身特定的安全需求,實施本區域內的安全防護和管理。依托總體安全管理中心,建立廣域網上下一體的預警響應和聯防聯動機制;依托各級安全管理中心,建立局域網內各安全設備之間的檢測響應和聯防聯動機制;并在各級安全管理中心、重要骨干節點、用戶網絡之間建立安全事件響應和應急協調機制。
第2篇:網絡安全等級保護評估范文
關鍵詞:信息安全;信息安全等級
中圖分類號:TP393.08文獻標識碼:A文章編號:16727800(2011)012014502
作者簡介:張新豪(1982-),男,河南鄭州人,黃河科技學院現代教育中心助教,研究方向為計算機應用;郭喜建(1978-),男,河南鄭州人,黃河科技學院現代教育中心助教,研究方向為計算機應用;宋朝(1983-),男,河南鄭州人,黃河科技學院現代教育技術中心職員,研究方向為信息服務質量管理。1網絡信息安全
信息安全是指信息網絡的硬件、軟件及其系統中數據受到保護,不因偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續、可靠、正常地運行,信息服務不中斷。信息安全是一門設計計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。從廣義上說,設計信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是信息安全的研究領域。
信息安全要實現的目標主要有:①真實性:對信息的來源進行判斷,能對偽造來源的信息予以鑒別;②保密性:保證機密信息不被竊聽,或竊聽者不能了解信息的真實含義;③完整性:保證數據的一致性,防止數據被非法用戶篡改;④可用性:保證合法用戶對信息和資源的使用不會被不正當的拒絕;⑤不可抵賴性:建立有效的責任機制,防止用戶否認其行為;⑥可控制性:對信息的傳播及內容具有控制能力;⑦可審查性:對出現的網絡安全故障為您能夠提供調查的依據和手段。
2網絡信息安全性等級
2.1信息安全等級保護
信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置。
信息安全等級保護制度是國家信息安全保障工作的基本制度、基本策略和基本方法,是促進信息化健康發展,維護國家安全、社會秩序和公共利益的根本保障。國務院法規和中央文件明確規定,要實行信息安全等級保護,重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統,抓緊建立信息安全等級保護制度。信息安全等級保護是當今發達國家保護關鍵信息基礎設施、保障信息安全的通行做法,也是我國多年來信息安全工作經驗的總結。開展信息安全等級保護工作不僅是保障重要信息系統安全的重大措施,也是一項事關國家安全、社會穩定、國家利益的重要任務。
2.2DoD可信計算機系統評估準則
1983年,美國國家計算機中心發表了著名的“可信任計算機標準評價準則”(Trusted Computer Standards Evaluation Criteria,簡稱TCSEC,俗稱橘皮書)。TCSEC是在20世紀70年代的基礎理論研究成果Bell & La Padula模型基礎上提出的,其初衷是針對操作系統的安全性進行評估。1985年,美國國防部計算機安全中心(簡稱DoDCSC)對TCSEC文本進行了修訂,推出了“DoD可信計算機系統評估準則,DoD5200.28-STD”。
美國國防部計算機安全中心(DoDCSC)提出的安全性評估要求有:①安全策略:必須有一個明確的、確定的由系統實施的安全策略;②識別:必須唯一而可靠地識別每個主體,以便檢查主體/客體的訪問請求;③標記:必須給每個客體(目標)作一個“標號”,指明該客體的安全級別。這種結合必須做到對該目標進行訪問請求時都能得到該標號以便進行對比;④可檢查性:系統對影響安全的活動必須維持完全而安全的記錄。這些活動包括系統新用戶的引入、主體或客體的安全級別的分配和變化以及拒絕訪問的企圖;⑤保障措施:系統必須含實施安全性的機制并能評價其有效性;⑥連續的保護:實現安全性的機制必須受到保護以防止未經批準的改變。
根據以上6條要求,“可信計算機系統評估準則”將計算機系統的安全性分為A、B、C、D 4個等級,A、B3、B2、B1、C2、C1、D 7個級別,如表1所示。
表1網絡安全性標準(DoD5200.28――STD)
等級名稱主要特征A可驗證的安全設計形式化的最高級描述和驗證,形式化的隱密通道分析,非形式化的代碼一致性證明B3安全域機制安全內核,高抗滲透能力B2結構化安全保護設計系統時必須有一個合理的總體設計方案,面向安全的體系結構,遵循最小授權原則,較好的抗滲透能力,訪問控制應對所有的主體和客體提供保護,對系統進行隱蔽通道分析B1標號安全保護除了C2級別的安全需求外,增加安全策略模型,數據標號(安全和屬性),托管訪問控制C2受控的訪問環境存取控制以用戶為單位廣泛的審計C1選擇的安全保護有選擇的存取控制,用戶與數據分離,數據的保護以用戶組為單位D最小保護保護措施很少,沒有安全功能2.3計算機信息系統安全保護等級劃分準則
在我國,以《計算機信息系統安全保護等級劃分準則》為指導,根據信息和信息系統在國家安全、經濟建設、社會生活中的重要程度,針對信息的保密性、完整性和可用性要求及信息系統必須達到的基本的安全保護水平等因素,將信息和信息系統的安全保護分為5個等級。
第一級:用戶自主保護級。本級的計算機信息系統可信計算基通過隔離用戶與數據,使用戶具備自主安全保護的能力。它為用戶提供可行的手段,保護用戶和用戶組信息,避免其他用戶對數據的非法讀寫與破壞。
第二級:系統審計保護級。與用戶自主保護級相比,本級的計算機信息系統可信計算基實施了粒度更細的自主訪問控制,它通過登錄規程、審計安全性相關事件和隔離資源,使用戶對自己的行為負責。
第三級:安全標記保護級。本級的計算機信息系統可信計算基具有系統審計保護級所有功能。具有準確地標記輸出信息的能力,消除通過測試發現的任何錯誤。
第四級:結構化保護級。本級的計算機信息系統可信計算基建立于一個明確定義的形式化安全策略模型之上,將第三級系統中的自主和強制訪問控制擴展到所有主體與客體,同時考慮隱蔽通道。關于可信計算基則結構化為關鍵保護元素和非關鍵保護元素,必須明確定義可信計算基的接口。加強了鑒別機制,增強了配置管理控制,具有相當的抗滲透能力。
第五級:訪問驗證保護級。本級的計算機信息系統可信計算基滿足訪問監控器需求。訪問監控器仲裁主體對客體的全部訪問。訪問監控器本身是抗篡改的,信息系統支持安全管理員職能,具有擴充審計機制,提供系統恢復機制。系統具有很高的抗滲透能力。
3結束語
信息安全等級保護是國家信息安全保障的基本制度、基本策略、基本方法,是維護國家信息安全的根本保障。通過開展信息安全等級保護工作,可以有效地解決我國信息安全面臨的主要問題,將有限的財力、人力、物力投入到重要信息系統的安全保護中去。參考文獻:
[1]趙鵬,李劍.國內外信息安全發展新趨勢[J].信息網絡安全,2011(7).
[2]肖國煜.信息系統等級保護測評實踐[J].信息網絡安全,2011(7).
[3]馬力,畢馬寧.安全保護模型與等級保護安全要求關系的研究[J].信息網絡安全,2011(6).
Research on Network Information Security
and Information Security Level
第3篇:網絡安全等級保護評估范文
[關鍵詞]信息安全等級保護分級分域網絡隔離安全防護
1網絡現狀及防護需求
福建省莆田電業局已構建了信息網絡,已經穩定運行有財務管理、安全生產管理、協同辦公、電力營銷、ERP等應用系統。隨著國家電網公司“SG186”工程的信息化建設的推進工作,網絡和信息系統情況復雜,迫切需要進行信息安全全面建設。
根據國家《信息安全技術信息系統安全等級保護實施指南》(GB/T22240-2008)、國家《信息安全技術信息系統安全等級保護基本要求》(GB/T-22239-2008)、《國家電網公司“SG186”工程安全防護總體方案》、《國家電網公司“SG186”工程信息系統安全等級保護基本要求》、《國家電網公司“SG186”工程信息系統安全等級保護驗收測評要求(試行)》等文件要求,按照統籌資源,重點保護,適度安全的原則,依據等級保護定級結果,采用“二級系統統一成域,三級系統獨立分域”的方法,對信息網絡系統進行分級分域。
2安全防護建設目標
通過項目的實施,按照“層層遞進,縱深防御”的思想,從邊界、網絡、主機、應用四個層次進行安全防護等級保護設計和施工,使莆田電業局信息系統符合國家和國家電網公司的網絡與信息系統等級保護建設要求。
3實施方法
信息系統分級分域安全防護建設一般分三個階段:
第一階段:合理進行安全域劃分和初步規劃,針對重要信息進行防護。主要表現在針對業務安全要求比較高的信息系統如ERP、財務系統域進行防護,以及針對互聯網出口的應用層防護。
第二階段:針對當前信息網絡狀態,按照等級保護要求進行等級化評估、安全評估和合理定級,全面獲取當前安全現狀以及企業信息化建設的特殊需求。在評估基礎上,全面從等級保護要求及企業信息化建設的安全需求出發,合理進行安全方案設計。
第三階段:根據設計方案,全面開展等級化改造,包括技術措施和管理措施的完善,建立完整的信息安全體系,并且根據相關要求進行運行維護。
4分級分域安全防護方解決方案
信息網絡系統分級分域安全防護建設應當按照國家標準和國家電網公司“SG186”工程相關規定的要求完成,通過項目建設實施保障莆田電業局信息化管理系統的安全運營。
4.1 分級分域設計方案及安全等級建設要求
莆田電業局信息網絡主要分為兩個部分:信息內網和信息外網,兩個網絡之間通過強制隔離設備進行隔離。
信息內網分級分域及安全等級建設要求:
4.1.1二級系統域
二級系統域是指協同辦公系統、財務管理系統、安全生產管理系統、人力資源管理系統、企業門戶、ERP等信息系統
安全建設等級:基于信息系統的整合,所有二級系統統一部署于二級系統域,并根據國家安全等級保護標準和國家電網公司“SG186”工程信息系統安全等級保護基本要求等規范要求,按照安全防護等級二級進行建設。
4.1.2內網桌面終端域
信息內網桌面終端是用于內網業務操作及內網業務辦公處理,通過對桌面辦公終端按業務部門或訪問類型進一步進行VLAN區域細分,實現不同的業務訪問需求指定訪問控制及其他防護措施,由于桌面終端的安全防護與應用系統不同,將其劃分為獨立區域進行安全防護。
安全建設等級:按照安全等級二級進行安全建設;
信息外網分級分域及安全等級建設要求:
4.1.3外網應用系統域
需與互聯網進行數據交換的系統統一部署為外網系統域。
安全建設等級:按照安全等級二級進行安全建設;
4.1.4外網桌面終端域
外網桌面終端用于外網業務辦公及互聯網訪問,對外網桌面辦公終端按業務部門或訪問類型進行區域細分,針對不同業務訪問需求進行訪問控制及其他防護措施。
安全建設等級:按照安全等級二級進行安全建設;
圖1改造后的網絡拓撲圖
4.2 安全防護部署方案
4.2.1防火墻等級保護部署方案
目前網絡中主要使用防火墻來保證基礎安全。它監控可信任網絡和不可信任網絡之間的訪問通道,以防止外部網絡的危險蔓延到內部網絡上。
項目在四個域與核心交換機的連接點分別部署了啟明星辰天清漢馬USG-FW-4000D防火墻(見圖1),并進行了相應的配置。
防火墻典型的網絡部署模式包括路由模式和透明模式,本項目中,考慮到防火墻負責轉發各個區域的用戶訪問,采取透明模式部署。
根據企業安全區域的劃分,部署防火墻對不同區域之間的網絡流量進行控制,基本原則為:高安全級別區域可以訪問低安全級別區域,低安全級別嚴格受控訪問高安全級別區域,進行如下基本配置策略:
防火墻設置為默認拒絕工作方式,保證所有的數據包,如果沒有明確的規則允許通過,全部拒絕以保證安全;
配置防火墻防DOS/DDOS功能,對Land、Smurf、Fraggle、Ping of death、udp flood等拒絕服務攻擊進行防范;
配置防火墻全面安全防范能力,包括arp欺騙攻擊的防范,提供arp主動反向查詢、tcp報文標志位不合法攻擊防范、超大ICMP報文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達報文控制功能、Tracert報文控制功能、帶路由記錄選項IP報文控制功能等。
4.2.2入侵防護系統等級保護部署方案
在傳統的安全解決方案中,防火墻和入侵檢測系統已經無法滿足高危網絡的安全需求,互聯網上流行的蠕蟲、P2P、木馬等安全威脅日益滋長,必須有相應的技術手段和解決方案來解決對應用層的安全威脅。以入侵防御系統為代表的應用層安全設備作為防火墻的重要補充,很好地解決了應用層防御的問題,并且變革了管理員構建網絡防御的方式。通過部署IPS,可以在線檢測并直接阻斷惡意流量。
項目在外網系統部署1臺啟明星辰天清NIPS3060入侵防護系統。
4.2.3服務器換機等級保護部署方案
服務器交換機采用華為QuidwayS9306高端多業務路由交換機,該產品基于華為公司自主知識產權的Comware V5操作系統,融合了MPLS、IPv6、網絡安全等多種業務,提供不間斷轉發、優雅重啟、環網保護等多種可靠技術,在提高用戶生產效率的同時,保證了網絡最大正常運行時間,從而降低企業的總擁有成本。
項目配置兩臺華為QuidwayS9306交換機分別用作內網二級系統域和外網應用系統域,配置冗余電源、雙引擎、2塊48端口千兆電口板、1塊48端口SFP千兆光口板卡,保證了服務器換機的安全可靠。
4.2.4終端匯聚交換機等級保護部署方案
終端匯聚交換機采用華為Quidway LS-S5328C交換機,實現信息內外網桌面終端域的安全接入。
華為QuidwayLS-S5300系列交換機是華為公司最新開發的增強型IPv6萬兆以太網交換機,具備業界盒式交換機最先進的硬件處理能力和豐富的業務特性。支持最多4個萬兆擴展接口;支持IPv4/IPv6硬件雙棧及線速轉發;出色的安全性、可靠性和多業務支持能力使其成為網絡匯聚和城域網邊緣設備的第一選擇。
配置2臺桌面終端匯聚交換機分別部署在信息內網和信息外網的桌面終端域接口上。
5網絡安全成果分析
福建省莆田電業局信息網絡系統分級分域安全防護建設項目從邊界、網絡、主機、應用四個層次進行了安全防護等級保護設計及工程實施,對原有網絡、安全設備進行了調整,實現了安全域的劃分,實現了對關鍵業務的安全防護,達到了國家和國家電網公司的網絡與信息系統等級保護建設要求,并通過了國家電網公司等級測評驗收。
參考文獻:
[1] 信息安全技術信息系統安全等級保護實施指南(GB/T22240-2008)
[2] 信息安全技術信息系統安全等級保護基本要求(GB/T-22239-2008)
第4篇:網絡安全等級保護評估范文
關鍵詞: 云計算; 云安全; 信息安全; 等級保護測評; 局限性
中圖分類號:TP309 文獻標志碼:A 文章編號:1006-8228(2016)11-35-03
Discussion on the testing and evaluating of cloud computing security level protection
Liu Xiaoli, Shen Xiaohui
(Zhejiang Provincial Testing Institute of Electronic & Information Products, Hangzhou, Zhejiang 310007, China)
Abstract: Cloud computing has recently attracted extensive attention since Internet has accessed Web 2.0 with more freedom and flexibility. However, the cloud security has become the biggest challenge for cloud promotion. Combined with the problems of the actual testing and evaluation in cloud computing security, the limitations of the application of the current information security level protection evaluation standard to the cloud environment are analyzed, and the contents that cloud security should focus on are proposed.
Key words: cloud computing; cloud security; information security; testing and evaluation of security level protection; limitations
0 引言
近年來,隨著網絡進入更加自由和靈活的Web2.0時代,云計算的概念風起云涌。美國國家標準與技術研究院(NIST)定義云計算是一種按使用量付費的模式,這種模式提供可用的、便捷的、按需的網絡訪問,進入可配置的計算資源共享池(資源包括網絡,服務器,存儲,應用軟件,服務),這些資源能夠被快速提供,只需投入很少的管理工作,或與服務供應商進行很少的交互。云計算因其節約成本、維護方便、配置靈活已經成為各國政府優先推進發展的一項服務。美、英、澳大利亞等國家紛紛出臺了相關發展政策,有計劃地促進政府部門信息系統向云計算平臺遷移。但是也應該看到,政府部門采用云計算服務也給其敏感數據和重要業務的安全帶來了挑戰。美國作為云計算服務應用的倡導者,一方面推出“云優先戰略”,要求大量聯邦政府信息系統遷移到“云端”,另一方面為確保安全,要求為聯邦政府提供的云計算服務必須通過安全審查[1]。我國也先后出臺了一系列云計算服務安全的國家標準,如GB/T 31167-2014《信息安全技術云計算服務安全指南》、GB/T 31168-2014 《信息安全技術 云計算服務安全能力要求》等。本文關注的是云計算安全,包括云計算應用系統安全、云計算應用服務安全、云計算用戶信息安全等[2]。
當前,等級保護測評的依據主要有GB/T 22239-
2008《信息安全技術 信息系統安全等級保護基本要求》、GB/T 28448-2012《信息安全技術 信息系統安全等級保護測評要求》和GB/T 28449-2012《信息安全技術 信息系統安全等級保護測評過程指南》等。然而,這些標準應用于傳統計算模式下的信息系統安全測評具有普適性,對于采用云計算服務模式下的信息系統卻有一定的局限性。
本文結合實際云計算服務安全測評中的問題,首先討論現行信息安全等級保護測評標準應用到云環境的一些局限性,其次對于云計算安全特別需要關注的測評項進行分析。
1 云計算安全
正如一件新鮮事物在帶給我們好處的同時,也會帶來問題一樣,云計算的推廣也遇到了諸多困難,其中安全問題已成為阻礙云計算推廣的最大障礙。
云計算安全面臨著七大風險,主要包括客戶對數據和業務系統的控制能力減弱、客戶與云服務商之間的責任難以界定、可能產生司法管轄權問題、數據所有權保障面臨風險、數據保護更加困難、數據殘留和容易產生對云服務商的過度依賴等。文獻[3]提出了云計算安全測評框架,與傳統信息系統安全測評相比,云計算安全測評應重點關注虛擬化安全、數據安全和應用安全等層面。
虛擬化作為云計算最重要的技術,其安全性直接關系到云環境的安全。虛擬化安全涉及虛擬化軟件安全和虛擬化服務器安全,其中虛擬化服務器安全包括虛擬化服務器隔離、虛擬化服務器監控、虛擬化服務器遷移等。云計算的虛擬化安全問題主要集中在VM Hopping(一臺虛擬機可能監控另一臺虛擬機甚至會接入到宿主機)、VM Escape(VM Escape攻擊獲得Hypervisor的訪問權限,從而對其他虛擬機進行攻擊)/遠程管理缺陷(Hypervisor通常由管理平臺來為管理員管理虛擬機,而這些控制臺可能會引起一些新的缺陷)、遷移攻擊(可以將虛擬機從一臺主機移動到另一臺,也可以通過網絡或USB復制虛擬機)等[4]。
數據實際存儲位置往往不受客戶控制,且數據存放在云平臺上,數據的所有權難以界定,多租戶共享計算資源,可能導致客戶數據被授權訪問、篡改等。另外當客戶退出云服務時,客戶數據是否被完全刪除等是云計算模式下數據安全面臨的主要問題。
在云計算中對于應用安全,特別需要注意的是Web應用的安全。云計算應用安全主要包括云用戶身份管理、云訪問控制、云安全審計、云安全加密、抗抵賴、軟件代碼安全等[3]。
2 云計算下等級保護測評的局限性
信息系統安全等級保護是國家信息安全保障工作的基本制度、基本策略、基本方法。開展信息系統安全等級保護工作不僅是加強國家信息安全保障工作的重要內容,也是一項事關國家安全、社會穩定的政治任務。信息系統安全等級保護測評工作是指測評機構依據國家信息安全等級保護制度規定,按照有關管理規范和技術標準,對未涉及國家秘密的信息系統安全等級保護狀況進行檢測評估的活動。與之對應的是涉及國家秘密的信息系統安全測評,就是通常所說的分級保護測評。
信息系統安全等級保護的基本要求包括技術要求和管理要求兩大類。其中技術要求包括物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復等五個層面;管理要求包括安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理等五個層面。
傳統的安全已不足以保護現代云計算工作負載。換言之,將現行的等級保護相關標準生搬硬套到云計算模式存在局限性,具體體現在以下方面。
⑴ 物理安全
傳統模式的信息系統數據中心或者在本單位,或者托管在第三方機構,用戶可以掌握自身數據和副本存儲在設備和數據中心的具置。然而,由于云服務商的數據中心可能分布在不同的地區,甚至不同的國家,GB/T 31167-2014明確了存儲、處理客戶數據的數據中心和云計算基礎設施不得設在境外。
⑵ 網絡安全
網絡安全主要包括結構安全、邊界防護、訪問控制、入侵防范、惡意代碼防范、安全審計、網絡設備防護等測評項。網絡邊界是網絡信息安全的第一道防線,因此在網絡邊界采取安全防護措施就顯得尤為重要。但在云計算模式下,多個系統同時運行在同一個物理機上,突破了傳統的網絡邊界。由此可見,網絡邊界的界定、安全域的劃分成為了云計算模式下網絡邊界安全面臨的新挑戰[5]。
⑶ 主機安全
主機安全主要包括身份鑒別、訪問控制、安全審計等測評項。但在云計算模式下,虛擬化技術能夠實現在一臺物理機上運行多臺虛擬機。盡管虛擬機之間具有良好的隔離性,但在云計算平臺,尤其是私有云和社區云中,虛擬機之間通常需要進行交互和通信,正是這種交互為攻擊和惡意軟件的傳播提供了可能。因此,虛擬機之間的安全隔離、用戶權限劃分、數據殘留、跨虛擬機的非授權訪問是云計算環境下虛擬機安全需要重點關注的內容。
⑷ 應用安全
應用系統作為承載數據的主要載體,其安全性直接關系到信息系統的整體安全,因此對整個系統的安全保密性至關重要。然而,當前絕大多數單位的應用系統在設計開發過程中,僅僅考慮到應用需求、系統的性能及技術路線的選擇等問題,缺少了應用系統自身的安全性。客戶的應用托管在云計算平臺,面臨著安全與隱私雙重風險,主要包括多租戶環境下來自云計算服務商和其他用戶的未授權訪問、隱私保護、內容安全管理、用戶認證和身份管理問題[6]。
⑸ 數據安全及備份恢復
在云計算模式下,客戶的數據和業務遷移至云服務商的云平臺中,數據的處理、存儲均在“云端”完成,用戶一端只具有較少的計算處理能力,數據的安全性依賴于云平臺的安全。如何確保數據遠程傳輸安全、數據集中存儲安全以及多租戶之間的數據隔離是云計算環境下迫切需要解決的問題。
3 云安全之等級保護測評
參照等級保護測評的要求,結合上述分析,云安全之等級保護測評應重點關注以下方面。
⑴ 數據中心物理與環境安全:用于業務運行和數據處理及存儲的物理設備是否位于中國境內,從而避免產生司法管轄權的問題。
⑵ 虛擬網絡安全邊界訪問控制:是否在虛擬網絡邊界部署訪問控制設備,設置有效的訪問控制規則,從而控制虛機間的互訪。
⑶ 遠程訪問監控:是否能實時監視云服務遠程連接,并在發現未授權訪問時,及時采取恰當的防護措施。
⑷ 網絡邊界安全:是否采取了網絡邊界安全防護措施,如在整個云計算網絡的邊界部署安全防護設備等。
⑸ 虛擬機安全:虛擬機之間的是否安全隔離,當租戶退出云服務時是否有數據殘留,是否存在跨虛擬機的非授權訪問等。
⑹ 接口安全:是否采取有效措施確保云計算服務對外接口的安全性。
⑺ 數據安全:多租戶間的數據是否安全隔離,遠程傳輸時是否有措施確保數據的完整性和保密性,租戶業務或數據進行遷移時是否具有可移植性和互操作性。
4 結束語
云計算因其高效化、集約化和節約化的特點,受到越來越多黨政機關、企事業單位的青睞,與此同時云計算帶來的風險也是不容忽視的。本文結合云計算的特點分析了云計算模式下現行等級保護測評標準的一些局限性,并提出了云計算下等級保護測評需要特別關注的測評項,對云服務商、租戶和測評機構提供借鑒。值得注意的是,租戶在進行云遷移之前,首先應確定自身遷移業務的等級,其次是租用的云計算平臺等級不能低于業務系統的等級。
參考文獻(References):
[1] 尹麗波.美國云計算服務安全審查值得借鑒.中國日報網.
[2] 陳軍,薄明霞,王渭清.云安全研究進展及技術解決方案發展
趨勢[J].技術廣角,2011:50-54
[3] 潘小明,張向陽,沈錫鏞,嚴丹.云計算信息安全測評框架研究[J].
計算機時代,2013.10:22-25
[4] 房晶,吳昊,白松林.云計算的虛擬化安全問題[J].電信科學,
2012.28(4):135-140
[5] 陳文捷,蔡立志.云環境中網絡邊界安全的等級保護研究[C].
第二屆全國信息安全等級保護技術大會會議論文集,2013.
第5篇:網絡安全等級保護評估范文
【 關鍵詞 】 等級保護;等級測評;質量控制
1 引言
近年來,隨著等級保護工作的深入開展,我國相繼出臺了一系列等級保護法律法規體系和標準規范體系,中國石化根據國家等級保護政策和技術標準,結合企業特點,在不低于國家標準的基礎上,編寫了企業行業標準,形成了企業等級保護標準體系。對等級保護五個基本動作(信息系統定級、備案、安全建設整改、等級測評、安全檢查環節)進行了針對性指導。其中《信息系統安全等級保護測評要求》、《 信息系統安全等級保護測評過程指南》、《信息系統安全管理測評》 、《中國石化集團信息系統安全等級保護管理辦法》等技術標準,對等級測評的主要原則和主要內容,測評基本流程、過程分類、記錄文檔、測評報告等進行了具體規范。就目前研究成果來看,我國還沒有形成以等級測評為主體的質量管理體系與技術標準,缺乏針對等級測評活動質量控制的方法研究。本文從研究《信息系統安全等級保護基本要求》、《中國石化集團信息安全等級保護基本要求》、《信息系統安全等級保護測評要求》、《 信息系統安全等級保護測評過程指南》等管理規范和技術標準入手,對等級測評活動的質量控制進行分析,提出了相應的工作方法和控制措施,基本滿足了等級測評活動公正性、客觀性和保密性對質量控制的需求。
2 等級測評活動的質量控制需求
等級測評活動是測評機構依據等級保護相關的政策法規、管理規范和技術標準,檢測評估信息系統安全等級保護狀況是否達到相應等級基本要求的過程,為石化行業等單位進行信息系統等級保護安全建設整改和國家監管部門依法行政管理提供決策依據,是落實信息安全等級保護制度的重要環節。等級測評活動不同于一般的風險評估和安全評價,是政策性、專業性很強的技術活動。對等級測評活動實施質量控制的目的,就是建立和完善等級測評質量管理體系,通過質量方針目標、管理制度、控制程序等系列管理措施,對等級測評活動實施全過程實施質量控制,保證測評活動中引用的政策法規、技術標準正確,測評方法科學,測評過程可控,測評行為規范,測評結論客觀真實。要求等級測評人員在測評活動中,不但要正確理解和把握等級保護相關的政策法規、管理規范和技術標準,保證等級測評過程的合規性,還要通過職業道德規范教育和測評行為約束,保證等級測評結論的公正性、客觀性。
3 等級測評機構的質量管理體系結構
等級保護政策法規、管理規范和技術標準,對等級測評的原則、內容、過程、方法以及測評強度的要求,體現了對等級測評活動實施質量控制的思想。《信息安全等級測評機構能力要求》要求等級測評機構建立、實施和維護符合等級測評工作需要的文件化的質量管理體系。要求體系文件以制度、手冊、程序等形式執行,并應建立執行記錄,為等級測評活動質量控制提出了基礎框架結構。
等級測評機構的質量管理體系結構和控制措施主要包括四個層次的內容。
第一層指導性文件:依據等級保護政策法規體系、技術標準體系和等級測評機構能力要求,制定等級測評機構質量管理體系,確立質量方針和工作目標,指導測評活動。
第二層控制性文件:根據測評活動要求,建立保密管理制度、項目管理制度、質量管理制度、人員管理制度、教育培訓制度、設備管理制度、申訴、投訴和爭議管理制度等,對等級測評活動管理目標進行控制。
第三層操作性文件:依據等級測評管理目標,建立和完善相應的《合同評審控制程序》、《文件記錄控制程序》 、《管理評審控制程序》、《技術評審控制程序》、《測評設備控制程序》、《測評過程控制程序》、《風險控制程序》、《保密控制程序》、《人力資源管理與教育培訓程序》、《糾正和預防措施控制程序》、《申訴、投訴及爭議處理控制程序》、《客戶滿意度管理程序》等操作性文件,對等級測評活動過程和環節進行控制。
第四層保證性文件:建立健全各項質量記錄表單,制定測評機構禁止行為和測評人員職業道德規范,對等級測評結論的公正性、客觀性、保密性進行控制。
4 等保測評過程中的質量控制
《 信息系統安全等級保護測評過程指南》將等級測評過程劃分為測評準備、方案編制、現場測評、分析與報告編制四個活動階段。測評過程質量控制強度與質量管理體系各要素之間的關系如表1所示。
4.1 測評準備活動的質量控制
4.1.1 項目啟動活動的質量控制
依據《合同評審控制程序》組織有關管理、技術人員和法律顧問召開合同評審會議,對測評雙方需要簽訂的委托協議或合同書進行評審。根據雙方簽訂的委托協議或合同書,組建等級測評項目組,按照測評活動實際要求進行人員、設備、資金等資源配置。項目組設置質量管理和技術管理部門,明確責任權限,以滿足測評活動的技術和質量管理要求。
依據《 信息系統安全等級保護測評過程指南》和《測評過程控制程序》編制《項目計劃書》。
4.1.2 信息收集和分析活動的質量控制
依據《測評過程控制程序》編制《基本情況調查表》,收集和分析被測信息系統等級測評需要的各種資料,包括各種方針文件、規章制度及相關過程管理記錄、被測系統總體描述文件、詳細描述文件、安全保護等級定級報告、安全需求分析報告、安全總體方案、安全現狀評價報告、安全詳細設計方案、用戶指南、運行步驟、網絡圖表、配置管理文檔等。通過現場調查和工作交流等方式詳細了解被測系統狀況,明確等級測評的工作流程及可能帶來的風險和規避方法,為編制等級測評實施方案做好準備。
4.1.3 工具和表單準備活動的質量控制
測評人員依據《測評過程控制程序》要求,搭建模擬系統測試環境,按照測評機構《測評設備控制程序》調試各種必備的測試工具,并按照《文件記錄控制程序》準備現場測評授權書、文檔交接單、會議記錄表單、會議簽到表等表單。
4.2 方案編制活動的質量控制
4.2.1 測評對象、測評指標、測試工具接入點、測評內容的質量控制
測評人員根據已經了解到的被測系統信息,按照《測評過程控制程序》規定的方法和步驟,分析整個被測系統及其涉及的業務應用系統,確定出本次測評活動的測評對象、測評指標、測試工具接入點、測評內容等,并以表單的形式進行具體描述。
4.2.2 測評指導書開發、測評方案編制的質量控制
測評人員按照《測評過程控制程序》要求和測評活動內容開發測評指導書、編制等級測評實施方案。
測評指導書由測評機構按照《技術評審程序》進行技術評審,評審合格后項目技術主管簽字,并按照控制范圍分發、管理。
等級測評實施方案由項目經理按照《技術評審程序》組織雙方測評人員和專家小組成員進行技術評審,評審合格的等級測評實施方案,提交石化單位代表簽字確認,按照《文件記錄控制程序》、《保密控制程序》進行和管理。
4.3 現場測評活動的質量控制
4.3.1 進場前的準備活動的質量控制
按照《測評過程控制程序》要求組織召開首次測評會議,測評雙方人員溝通等級測評實施方案,簽署現場測評授權書,做好現場測評準備。
4.3.2 現場測評和結果記錄、結果確認活動的質量控制
測評人員進入測評現場測評時,按照《測評過程控制程序》填寫《現場測評登記表》,詳細填寫出入現場時間、測評工作內容、測評前后的信息系統安全狀況,并由石化單位配合人員現場簽字確認。
嚴格按照測評指導書和等級測評實施方案確定的過程和方法進行現場測評,通過人員訪談、文檔審查、配置檢查、工具測試和實地察看等方法,測評被測系統的保護措施情況,獲取現場測評證據,并按照《文件記錄控制程序》要求填寫《現場測評記錄表》。
現場測評活動中,及時匯總現場測評記錄和發現的問題,對遺漏和需要進一步驗證的內容實施補充測評,測評記錄由測評雙方測評人員現場簽字確認。
現場測評完成后,測評雙方人員召開現場測評結束會,對現場測評工作進行小結,將現場測評中發現的問題形成書面報告,并由雙方代表簽字確認。
現場測評活動中產生的所有現場測評結果記錄以及石化單位提供的信息資料,均按照《文件記錄控制程序》、《保密控制程序》進行管理,嚴格限制他們的知曉和使用范圍。
4.4 分析與報告編制活動的質量控制
4.4.1 測評結果判定、整體測評、風險分析、等級測評結論形成的的質量控制
測評人員依據《信息系統安全等級保護基本要求》、《中國石化集團信息系統安全等級保護基本要求》、《信息系統安全管理要求》、《信息系統通用安全技術要求》等相關技術標準,按照《測評過程控制程序》規定的方法、步驟,對測評指標中的每個測評項測評記錄,進行客觀、準確地分析,形成初步單項測評結果,并以表單形式給出。按照《測評過程控制程序》要求匯總單項測評結果,分別統計不同測評對象的單項測評結果,從而判定單元測評結果,并以表格的形式逐一列出。測評人員針對單項測評結果的不符合項,采取逐條判定和優勢證據的方法,從安全控制間、層面間和區域間出發,對系統結構進行整體安全測評,給出整體測評的具體結果。采用風險分析的方法分析等級測評結果中存在的安全問題及可能對被測系統安全造成的影響。在此基礎上,找出系統保護現狀與等級保護基本要求之間的差距,形成等級測評結論。
結論形成后,測評雙方有關人員和技術專家按照《技術評審控制程序》對形成等級測評結論進行評審,評審通過的結果判定由測評雙方授權代表簽字確認。
本過程產生的文檔資料,按照《文件記錄控制程序》、《保密控制程序》進行分類授權使用和管理。
4.4.2 測評報告的編制和分發的質量控制
測評機構按照《信息安全等級測評報告模板(試行)》格式編寫報告文檔。
測評雙方有關人員和專家召開等級測評末次會議,按照《管理評審控制程序》、《技術評審控制程序》對等級報告格式、內容和結論進行評審,評審通過的測評報告文檔,按照《文件記錄控制程序》蓋章、編號,并由測評機構項目經理、質量主管、技術主管聯合簽發。
測評人員按照《文件記錄控制程序》和《保密控制程序》和合同約定的控制范圍分發等級測評報告,交接有關資料文檔,刪除測評設備產生的電子數據。
5 結束語
本文依據等級保護相關的政策法規、管理規范和技術標準,結合等級測評活動的公正性、客觀性、保密性的要求,對等級測評活動的質量控制進行了分析,為等級測評機構建立質量管理體系和等級測評質量控制提供了借鑒和參考。隨著等級保護政策法規和標準規范的不斷更新和完善,等級測評活動的質量控制還有待更深入全面的探討和研究。
參考文獻
[1] GB/T 28448-2012 信息安全技術 信息系統安全等級保護測評要求.
[2] GB/T 28449-2012 信息安全技術 信息系統安全等級保護測評過程指南.
[3] 中華人民共和國公共安全行業標準(GA/T713-2007).信息系統安全管理測評.
[4] 中國石化集團信息系統安全等級保護管理辦法.
[5] GB/T 22239-2008 信息系統安全等級保護基本要求[S].
[6] 中國石化集團信息系統安全等級保護基本要求.
[7] 信息安全等級測評機構能力要求(試行).
[8] GB/T20271-2006 信息安全技術 信息系統通用安全技術要求[S].
[9] 公信安[2009]1487號.關于印發《信息系統安全等級測評報告模板(試行)》的通知.
[10] 郝文江,武捷.三網融合中的安全風險及防范技術研究[J].信息網絡安全,2012,(01):5-9.
[11] 韓水玲,馬敏,王濤等.數字證書應用系統的設計與實現[J].信息網絡安全,2012,(09):43-45.
[12] 常艷,王冠.網絡安全滲透測試研究[J].信息網絡安全,2012,(11):3-4.
第6篇:網絡安全等級保護評估范文
關鍵詞:等級防護;電力企業;網絡安全建設
中圖分類號: F407 文獻標識碼: A 文章編號:
引言
信息化是一把“雙刃劍”,在提高企業工作效率、管理水平以及整體競爭能力的同時,也給企業帶來了一定的安全風險,并且伴隨著企業信息化水平的提高而逐漸增長。因此,提升企業的信息系統安全防護能力,使其滿足國家等級保護的規范性要求,已經成為現階段信息化工作的首要任務。對于電力企業的信息系統安全防護工作而言,應等級保護要求,將信息管理網絡劃分為信息內網與信息外網,并根據業務的重要性劃分出相應的二級保護系統與三級保護系統,對三級系統獨立成域,其余二級系統統一成域,并從邊界安全、主機安全、網絡安全、應用安全等方面對不同的安全域對防護要求進行明確劃分。
1現階段電力企業網絡風險分析
1.1服務器區域缺少安全防護措施
大部分電力企業的服務器都是直接接入本單位的核心交換機,然而各網段網關都在核心交換機上,未能對服務器區域采取有效的安全防護措施。
1.2服務器區域和桌面終端區域之間的劃分不明確
因服務器和桌面終端的網關都在核心交換機上,不能實現對于域的有效劃分。
1.3網絡安全建設缺乏規劃
就現階段的電力企業網絡安全建設而言,普遍存在著缺乏整體安全設計與規劃的現狀,使整個網絡系統成為了若干個安全產品的堆砌物,從而使各個產品之間失去了相應的聯動,不僅在很大程度上降低了網絡的運營效率,還增加了網絡的復雜程度與維護難度。
1.4系統策略配置有待加強
在信息網絡中使用的操作系統大都含有相應的安全機制、用戶與目錄權限設置以及適當的安全策略系統等,但在實際的網絡安裝調試過程中,往往只使用最寬松的配置,然而對于安全保密來說卻恰恰相反,要想確保系統的安全,必須遵循最小化原則,沒有必要的策略在網絡中一律不配置,即使有必要的,也應對其進行嚴格限制。
1.5缺乏相應的安全管理機制
對于一個好的電力企業網絡信息系統而言,安全與管理始終是分不開的。如果只有好的安全設備與系統而沒有完善的安全管理體系來確保安全管理方法的順利實施,很難實現電力企業網絡信息系統的安全運營。對于安全管理工作而言,其目的就是確保網絡的安全穩定運行,并且其自身應該具有良好的自我修復性,一旦發生黑客事件,能夠在最大程度上挽回損失。因此,在現階段的企業網絡安全建設工作過程中,應當制訂出完善的安全檢測、人員管理、口令管理、策略管理、日志管理等管理方法。
2等級保護要求下電力企業網絡安全建設防護的具體措施
2.1突出保護重點
對于電力企業而言,其投入到信息網絡安全上的資源是一定的。從另外一種意義上講,當一些設備存在相應的安全隱患或者發生破壞之后,其所產生的后果并不嚴重,如果投入和其一樣重要的信息資源來保護它,顯然不滿足科學性的要求。因此,在保護工作過程中,應對需要保護的信息資產進行詳細梳理,以企業的整體利益為出發點,確定出重要的信息資產或系統,然后將有限的資源投入到對于這些重要信息資源的保護當中,在這些重要信息資源得到有效保護的同時,還可以使工作效率得到很大程度的提高。
2.2貫徹實施3層防護方案
在企業網絡安全建設過程中,應充分結合電力企業自身網絡化特點,積極貫徹落實安全域劃分、邊界安全防護、網絡環境安全防護的3層防護設計方案。在安全防護框架的基礎上,實行分級、分域與分層防護的總體策略,以充分實現國家等級防護的基本要求。
(1)分區分域。統一對直屬單位的安全域進行劃分,以充分實現對于不同安全等級、不同業務類型的獨立化與差異化防護。
(2)等級防護。遵循“二級系統統一成域,三級系統獨立成域”的劃分原則,并根據信息系統的定級情況,進行等級安全防護策略的具體設計。
(3)多層防護。在此項工作的開展過程中,應從邊界、網絡環境等多個方面進行安全防護策略的設計工作。
2.3加強安全域劃分
安全域是指在同一環境內具有一致安全防護需求、相互信任且具有相同安全訪問控制與邊界控制的系統。加強對于安全域的劃分,可以實現以下目標:
(1)實現對復雜問題的分解。對于信息系統的安全域劃分而言,其目的是將一個復雜的安全問題分解成一定數量小區域的安全防護問題。安全區域劃分可以有效實現對于復雜系統的安全等級防護,是實現重點防護、分級防護的戰略防御理念。
(2)實現對于不同系統的差異防護。基礎網絡服務、業務應用、日常辦公終端之間都存在著一定的差異,并且能夠根據不同的安全防護需求,實現對于不同特性系統的歸類劃分,從而明確各域邊界,對相應的防護措施進行分別考慮。
(3)有效防止安全問題的擴散。進行安全區域劃分,可以將其安全問題限定在其所在的安全域內,從而有效阻止其向其他安全域的擴散。在此項工作的開展過程中,還應充分遵循區域劃分的原則,將直屬單位的網絡系統統一劃分為相應的二級服務器域與桌面終端域,并對其分別進行安全防護管理。在二級系統服務器域與桌面域間,采取橫向域間的安全防護措施,以實現域間的安全防護。
2.4加強對于網絡邊界安全的防護
對于電力企業的網絡邊界安全防護工作而言,其目的是使邊界避免來自外部的攻擊,并有效防止內部人員對外界進行攻擊。在安全事件發生之前,能夠通過對安全日志與入侵事件的分析,來發現攻擊企圖,在事件發生之后可以通過對入侵事件記錄的分析來進行相應的審查追蹤。
(1)加強對于縱向邊界的防護。在網絡出口與上級單位連接處設立防火墻,以實現對于網絡邊界安全的防護。
(2)加強對于域間橫向邊界的防護。此項防護是針對各安全區域通信數據流傳輸保護所制定出的安全防護措施。在該項工作的開展過程中,應根據網絡邊界的數據流制定出相應的訪問控制矩陣,并依此在邊界網絡訪問控制設備上設定相應的訪問控制規則。
2.5加強對于網絡環境的安全防護
(1)加強邊界入侵檢測。以網絡嗅探的方式可以截獲通過網絡傳輸的數據包,并通過相應的特征分析、異常統計分析等方法,及時發現并處理網絡攻擊與異常安全事件。在此過程中,設置相應的入侵檢測系統,能夠及時發現病毒、蠕蟲、惡意代碼攻擊等威脅,能夠有效提高處理安全問題的效率,從而為安全問題的取證提供有力依據。
(2)強化網絡設備安全加固。安全加固是指在確保業務處理正常進行的情況下,對初始配置進行相應的優化,從而提高網絡系統的自身抗攻擊性。因此,在經過相應的安全評估之后,應及時發現其中隱藏的安全問題,對重要的網絡設備進行必要的安全加固。
(3)強化日志審計配置。在此項工作的開展過程中,應根據國家二級等級保護要求,對服務器、安全設備、網絡設備等開啟審計功能,并對這些設備進行日志的集中搜索,對事件進行定期分析,以有效實現對于信息系統、安全設備、網絡設備的日志記錄與分析工作。
結語
綜上所述,對于現階段電力企業信息網絡而言,網絡安全建設是一個綜合性的課題,涉及到技術、使用、管理等許多方面,并受到諸多因素的影響。在電力企業網絡安全建設過程中,應加強對于安全防護管理體系的完善與創新,以嚴格的管理制度與高素質管理人才,實現對于信息系統的精細化、準確化管理,從而切實促進企業網絡安全建設的健康、穩步發展。
參考文獻:
[1]張蓓,馮梅,靖小偉,劉明新.基于安全域的企業網絡安全防護體系研究[J].計算機安全,2010(4).
第7篇:網絡安全等級保護評估范文
“2009年,我上任后第一次訪問深圳工廠,當時工廠還只能生產小功率UPS。”伊頓電氣集團亞太區高級副總裁、電能質量業務總經理羅世光回憶說,“但是現在,10kW~1000kW的UPS都已經可以在中國本地進行生產。”
中國和亞太地區是伊頓在全球范圍內具有戰略意義的市場。羅世光相信,中國數據中心市場的快速增長將給伊頓的電能質量業務帶來更大的增長機會。因此,在2014年,伊頓將加強與商的合作,拓展分銷渠道,進一步推進與本土市場的全面融合,同時加大對本土產品研發和檢測的能力,提供更多符合中國客戶需求的高效節能的電能質量解決方案。
深圳是伊頓面向全球的研發和生產基地。三家位于深圳的工廠擁有5000多名員工、29條先進的自動化生產線,年產UPS達到800萬臺。伊頓在深圳設立的研發中心也是其全球三大電氣研發基地之一,產品研發和測試工程師超過1000人。
剛啟用的伊頓在深圳的亞太區電能質量產品和系統檢測中心,是除美國、芬蘭之外,伊頓在全球擁有的第三個產品和系統檢測中心。“該檢測中心同時也是客戶體驗中心,配備了全球領先的檢測設備和技術,不僅能夠檢測單體設備,還能對包括UPS、電源分配單元(PDU)、AMS監測系統和第三方設備的整個電能系統解決方案進行測試,其最大測試能力是可對兩臺并聯的1100kW的UPS進行測試。”羅世光介紹說,“客戶在選擇一款定制的電能解決方案后,即可在檢測中心看到其運行的全過程,通過親身體驗增進對產品的了解和信心。”
“過去3~4年中,我們在中國市場的總投入已經超過1200萬美元。我們仍在持續加強中國本地化,并從去年底開始進一步提升了針對中國用戶的售前和售后服務能力。”羅世光告訴記者,“目前,我們90%的UPS都在深圳研發和生產。最近,深圳研發中心剛剛研制出一款新的UPS產品。與許多跨國企業采取的遠程遙控式的本地研發策略相比,我們是實實在在地將研發部門落戶在深圳,為亞太和中國市場提供本地化服務的同時也面向全球客戶。”
云計算與大數據的發展推動了大型數據中心的快速發展,用戶對數據中心整體解決方案和定制化解決方案的需求也與日俱增。“從2010年開始,伊頓增加了為中國客戶定制數據中心解決方案的服務。在今年的商大會上,我看到了商和用戶的積極反饋。”羅世光表示。
針對小型數據中心,伊頓可以提供模塊化、標準化的解決方案;針對中型數據中心,伊頓可以針對不同行業客戶的需求,提供有差異化的解決方案;針對大型數據中心,伊頓可以提供按需擴展的高能效、低整體擁有成本的解決方案。從產品到系統再到整體解決方案,這不僅對伊頓是一個新的挑戰,對其商來說也要經歷一個大的轉變。
為了迅速提升商銷售解決方案的能力,伊頓一方面不斷更新其數據中心整體解決方案,另一方面加強對商的銷售培訓,實現信息共享。羅世光表示:“我們提供的定制化解決方案一方面要滿足用戶的個性化需求,另一方面還要保持開放性。我們將為用戶提供解決方案與服務打包的一體化解決方案。”
第三屆全國等級保護技術大會征文通知
為深入貫徹落實國家關于大力推進信息化發展和切實保障信息安全的文件精神,進一步推進信息安全等級保護技術交流,經公安主管部門同意,公安部第一研究所擬于2014年7月舉辦第三屆全國信息安全等級保護技術大會(ICSP’2014)。
會議擬請公安、工業和信息化、國家保密、國家密碼管理主管部門、中國科學院、國家網絡與信息安全信息通報中心等部門擔任指導單位,同時將出版論文集,經專家評選的部分優秀論文,將推薦至國家核心期刊發表。現就會議征文的有關情況通知如下:
一、征文范圍
1. 新技術應用環境下信息安全等級保護技術:物聯網、云計算、大數據、工控系統、移動接入網、下一代互聯網(IPv6)等新技術、環境下的等級保護支撐技術,等級保護技術體系在新環境下的應用方法;
2. 關鍵基礎設施信息安全保護技術:政府部門及金融、交通、電力、能源、通信、制造等重要行業網站、核心業務信息系統等安全威脅、隱患分析及防范措施;
3. 國內外信息安全管理政策與策略:信息安全管理政策和策略研究,信息安全管理體制和機制特點,信息安全管理標準發展對策,網絡恐怖的特點、趨勢、危害研究;
4. 信息安全預警與突發事件應急處置技術:攻擊監測技術,態勢感知預警技術,安全監測技術,安全事件響應技術,應急處置技術,災難備份技術,恢復和跟蹤技術,風險評估技術;
5. 信息安全等級保護建設技術:密碼技術,可信計算技術,網絡實名制等體系模型與構建技術,漏洞檢測技術,網絡監測與監管技術,網絡身份認證技術,網絡攻防技術,軟件安全技術,信任體系研究;
6. 信息安全等級保護監管技術:用于支撐安全監測的數據采集、挖掘與分析技術,用于支撐安全監管的敏感數據發現與保護技術,安全態勢評估技術,安全事件關聯分析技術、安全績效評估技術,電子數據取證和鑒定技術;
7. 信息安全等級保護測評技術:標準符合性檢驗技術,安全基準驗證技術,源代碼安全分析技術,逆向工程剖析技術,滲透測試技術,測評工具和測評方法;
8. 信息安全等級保護策略與機制:網絡安全綜合防控體系建設,重要信息系統的安全威脅與脆弱性分析,縱深防御策略,大數據安全保護策略,信息安全保障工作評價機制、應急響應機制、安全監測預警機制。
二、投稿要求
1. 來稿內容應屬于作者的科研成果,數據真實、可靠,未公開發表過,引用他人成果已注明出處,署名無爭議,論文摘要及全文不涉及保密內容;
2. 會議只接受以Word排版的電子稿件,稿件一般不超過5000字;
3. 稿件以Email方式發送到征稿郵箱;
4. 凡投稿文章被錄用且未作特殊聲明者,視為已同意授權出版;
5. 提交截止日期: 2014年5月25日。
三、聯系方式
通信地址:北京市海淀區首都體育館南路1號
郵編:100048
Email:.cn
聯系人: 范博、王晨
聯系電話:010-68773930,
13717905088,13581879819
第8篇:網絡安全等級保護評估范文
理解CISP知識體系
CISP的核心在于將保障貫穿于整個知識體系。保障應覆蓋整個信息系統生命周期,通過技術、管理、工程過程和人員,確保每個階段的安全屬性(保密性、完整性和可用性)得到有效控制,使組織業務持續運行。IT作為保障業務的重要手段和工具成為傳統保障目的的核心。由于風險會影響業務的正常運行,因此,降低風險對業務的影響是保障的主要目標(如圖)。在建立保障論據的過程中,首先應該考慮的是組織業務對IT的依賴程度;其次要考慮風險的客觀性;第三要考慮風險消減手段的可執行度。CISP從體系結構上提供了信息安全規劃設計的良好思路和方法論,在整個課程體系中涵蓋了從政策(戰略層)到模型、標準、基線(戰術層)的縱向線條,同時在兼顧中國國情的情況下,系統介紹國際常用評估標準、管理標準和國家相關信息安全標準與政策。
根據CISP知識體系建立安全規劃設計
安全規劃是信息安全生命周期管理的起點和基礎,良好的規劃設計可以為組織帶來正確的指導和方向。根據國家《網絡安全法》“第三十三條建設關鍵信息基礎設施應當確保其具有支持業務穩定、持續運行的性能,并保證安全技術措施同步規劃、同步建設、同步使用。”
1.通過保障的思想建立安全規劃背景
信息安全規劃設計可以根據美國信息保障技術框架(IATF)ISSE過程建立需求,本階段可對應ISSE中發掘信息保護需求階段。根據“信息安全保障基本內容”確定安全需求,安全需求源于業務需求,通過風險評估,在符合現有政策法規的情況下,建立基于風險與策略的基本方針。因此,安全規劃首先要熟悉并了解組織的業務特性,在信息安全規劃背景設計中,應描述規劃對象的業務特性、業務類型、業務范圍以及業務狀態等相關信息,并根據組織結構選擇適用的安全標準,例如國家關鍵基礎設施的信息安全需要建立在信息安全等級保護基礎之上、第三方支付機構可選CISP知識域簡圖擇PCI-DSS作為可依據的準則等。信息系統保護輪廓(ISPP)是根據組織機構使命和所處的運行環境,從組織機構的策略和風險的實際情況出發,對具體信息系統安全保障需求和能力進行具體描述。傳統的風險評估可以基于GB/T20984《信息安全風險評估規范》執行具體的評估,評估分為技術評估與管理評估兩部分。從可遵循的標準來看,技術評估通過GB/T22240—2008《信息安全等級保護技術要求》中物理安全、網絡安全、系統安全、應用安全及數據安全五個層面進行評估;管理安全可以選擇ISO/IEC27001:2013《信息技術信息安全管理體系要求》進行,該標準所包含的14個控制類113個控制點充分體現組織所涉及的管理風險。在工作中,可以根據信息系統安全目標來規范制定安全方案。信息系統安全目標是根據信息系統保護輪廓編制、從信息系統安全保障的建設方(廠商)角度制定的信息系統安全保障方案。根據組織的安全目標設計建設目標,由于信息技術的飛速發展以及組織業務的高速變化,一般建議建設目標以1-3年為宜,充分體現信息安全規劃設計的可實施性,包括可接受的成本、合理的進度、技術可實現性,以及組織管理和文化的可接受性等因素。
2.信息系統安全保障評估框架下的概要設計
概要設計的主要任務是把背景建立階段中所獲得的需求通過頂層設計進行描述。本階段可對應ISSE中定義信息保護系統,通過概要設計將安全規劃設計基于GB/T20274-1:2006《信息安全技術信息系統安全保障評估框架第一部分:簡介和一般模型》進行模塊化劃分,并且描述安全規劃設計的組織高層愿景與設計內涵;在概要設計中,還應該描述每個模塊的概要描述與設計原則。設計思路是從宏觀上描述信息安全規劃設計的目的、意義以及最終目標并選擇適用的模型建立設計原則。本部分主要體現信息安全保障中信息系統安全概念和關系。根據《網絡安全法》相關規定,頂層設計可以建立在信息安全等級保護的基礎上,綜合考慮諸如建立安全管理組織、完善預警與應急響應機制、確保業務連續性計劃等方面GB/T20274-1:2006《信息安全技術信息系統安全保障評估框架第一部分:簡介和一般模型》提供了一個優秀的保障體系框架。該標準給出了信息系統安全保障的基本概念和模型,并建立了信息系統安全保障框架。該標準詳細給出了信息系統安全保障的一般模型,包括安全保障上下文、信息系統安全保障評估、信息系統保護輪廓和信息系統安全目標的生成、信息系統安全保障描述材料;信息系統安全保障評估和評估結果,包括信息系統保護輪廓和信息系統安全目標的要求、評估對象的要求、評估結果的聲明等。信息系統安全保障是在信息系統的整個生命周期中,通過對信息系統的風險分析,制定并執行相應的安全保障策略,從技術、管理、工程和人員等方面提出安全保障要求,確保信息系統的保密性、完整性和可用性,降低安全風險到可接受的程度,從而保障系統實現組織機構的使命。策略體現的是組織的高層意旨,模型與措施作為戰術指標分別為中層和執行層提供具體的工作思路和方法,以完成設計的具體實現。當信息安全滿足所定義的基本要素后,為每個層面的設計提出概要目標,并在具體的設計中將其覆蓋整個安全規劃中。
3.實現建立在宏觀角度的合規性通用設計
通用設計可對應ISSE中設計系統體系結構,本階段是整個安全規劃設計的核心部分,本階段必須全面覆蓋背景建立階段所獲得的安全需求,滿足概要設計階段所選擇的模型與方法論,全面、系統的描述安全目標的具體實現。通用安全設計是建立在宏觀角度上的綜合性設計,設計首先將各個系統所產生的共同問題及宏觀問題統一解決,有效降低在安全建設中的重復建設和管理真空問題。在通用設計中,重點針對組織信息安全管理體系和風險管理過程的控制元素,從系統生命周期考慮信息安全問題。(1)管理設計在信息安全管理體系ISMS過程方法論中,可遵循的過程方法是PDCA四個階段:首先,需要在P階段解決信息系統安全的目標、范圍的確認,并且獲得高層的支持與承諾。安全管理的實質就是風險管理,管理設計應緊緊圍繞風險建立,所以,本階段首要的任務是為組織建立適用的風險評估方法論。其次,管理評估中所識別的不可接受風險是本階段主要設計依據。通過D環節,需要解決風險評估的具體實施以及風險控制措施落實,風險評估僅能解決當前狀態下的安全風險問題,因此,必須建立風險管理實施規范,當組織在一定周期(例如1年)或者組織發生重大變更時重新執行風險評估,風險評估可以是自評估,也可以委托第三方進行。本環節的設計必須涵蓋管理風險中所有不可接受風險的具體處置,從實現而言,重點關注管理機構的設置與體系文件的建立和落實。第三個環節是建立有效的內審機制和監測機制,沒有檢測就沒有改進,通過設計審計體系完成對信息安全管理體系的動態運行。第四個環節,即A環節,是在完成審計之后針對組織是否有效執行糾正措施的落實設計審計跟蹤和風險再評估過程。A環節既是信息安全管理體系的最后一個環節,也是新的PDCA過程的推動力。(2)技術設計技術設計主要是建立在組織平均安全水平基礎上,應可適用于組織所有的系統和通用的技術風險。設計可遵循多種技術標準體系,首先建立基于信息安全等級保護的五個層面技術設計要求。通過美國信息保障技術框架建立“縱深防御”原則,其具體涉及在訪問控制技術和密碼學技術支撐下的物理安全、網絡安全、系統安全、應用安全和數據安全。技術設計可在原有的技術框架下建立云安全、大數據安全等專項技術安全設計,也可在網絡安全中增加虛擬網絡安全設計等方式,應對新技術領域的安全設計。技術設計可以包括兩個主要手段:第一,技術配置。技術配置是在現有的技術能力下通過基于業務的安全策略和合規性基線進行安全配置。常見的手段包括補丁的修訂、安全域的劃分與ACL的設計、基于基線的系統配置等手段;第二,技術產品。技術產品是在現有產品不能滿足控制能力時通過添加新的安全產品結合原有的控制措施和產品統一部署、統一管理。在技術設計中,必須明確的原則是產品不是安全的唯一,產品也不是解決安全問題的靈丹妙藥,有效的安全控制是通過對產品的綜合使用和與管理、流程、人員能力相互結合,最終形成最佳的使用效果。(3)工程過程設計工程過程設計重點考慮基于生命周期每個階段的基于安全工程考慮的流程問題,在信息系統生命周期的五個層面。信息安全問題應該從計劃組織階段開始重視,在信息系統生命周期每個階段建立有效的安全控制和管理。工程過程包括計劃組織、開發采購、實施交付、運行維護和廢棄五個階段,本階段的設計主要通過在每個階段建立相應的流程,通過流程設計控制生命周期各個階段的安全風險。在計劃組織(需求分析)階段,體現信息安全工程中明確指出的系統建設與安全建設應“同步規劃、同步實施”,體現《網絡安全法》中“三同步”的要求。在開發采購階段,通過流程設計實現軟件安全開發的實現和實現供應鏈管理。實施交付階段,關注安全交付問題,應設計安全交付流程和安全驗收流程。運行維護階段要體現安全運維與傳統運維差異化,安全運維起于風險評估,應更多關注預防事件的發生,事前安全檢查的基線設計、檢查手段及工具的選擇和使用根據設備的不同重要程度建立不同的檢查周期;當系統產生缺陷或者漏洞時,設計合理的配置管理、變更管理及補丁管理等流程解決事中問題;當事件已經產生影響時,可以通過預定義的應急響應機制抑制事件并處置事件;當事件造成系統中斷、數據丟失以及其他影響業務連續性后果時,能夠通過規劃中的災難恢復及時恢復業務。廢棄階段通過流程控制用戶系統在下線、遷移、更新過程中對包含有組織敏感信息的存儲介質建立保護流程和方法,明確廢棄過程中形成的信息保護責任制,并根據不同的敏感采取不同的管理手段和技術手段對剩余信息進行有效處置。(4)人員設計人員安全是信息安全領域不可或缺的層面,長期以來,過于關注IT技術的規劃設計而忽略了人的安全問題,內部人員安全問題構成了組織安全的重要隱患,人為的無意失誤造成的損害往往遠大于人為的惡意行為。人員設計重點關注人員崗位、技術要求、背景以及培訓與教育,充分體現最小特權、職責分離及問責制等原則。根據《網絡安全法》第四章要求,關鍵基礎設施應建立信息安全管理機構,并設置信息安全專職人員。在人員設計中還應充分考慮到第三方代維人員的管理及供應商管理等新問題的產生。
4.構建等級化保護的層面間設計
第9篇:網絡安全等級保護評估范文
關鍵詞:證券行業信息安全網絡安全體系
近年來,我國資本市場發展迅速,市場規模不斷擴大,社會影響力不斷增強.成為國民經濟巾的重要組成部分,也成為老百姓重要的投資理財渠道。資本市場的穩定健康發展,關系著億萬投資者的切身利益,關系著社會穩定和國家金融安全的大局。證券行業作為金融服務業,高度依賴信息技術,而信息安全是維護資本市場穩定的前提和基礎。沒有信息安全就沒有資本市場的穩定。
目前.國內外網絡信息安全問題日益突出。從資本市場看,近年來,隨著市場快速發展,改革創新深入推進,市場交易模式日趨集巾化,業務處理邏輯日益復雜化,網絡安全事件、公共安全事件以及水災冰災、震災等自然災害都對行業信息系統的連續、穩定運行帶來新的挑戰。資本市場交易實時性和整體性強,交易時問內一刻也不能中斷。加強信息安全應急丁作,積極采取預防、預警措施,快速、穩妥地處置信息安全事件,盡力減少事故損失,全力維護交易正常,對于資本市場來說至關重要。
1證券行業倍息安全現狀和存在的問題
1.1行業信息安全法規和標準體系方面
健全的信息安全法律法規和標準體系是確保證券行業信息安全的基礎。是信息安全的第一道防線。為促進證券市場的平穩運行,中國證監會自1998年先后了一系列信息安全法規和技術標準。其中包括2個信息技術管理規范、2個信息安全等級保護通知、1個信息安全保障辦法、1個信息通報方法和10個行業技術標準。行業信息安全法規和標準體系的初步形成,推動了行業信息化建設和信息安全工作向規范化、標準化邁進。
雖然我國涉及信息安全的規范性文件眾多,但在現行的法律法規中。立法主體較多,法律法規體系龐雜而缺乏統籌規劃。面對新形勢下信息安全保障工作的發展需要,行業信息安全工作在政策法規和標準體系方面的問題也逐漸顯現。一是法規和標準建設滯后,缺乏總體規劃;二是規范和標準互通性和協調性不強,部分規范和標準的可執行性差;三是部分規范和標準已不適應,無法應對某些新型信息安全的威脅;四是部分信息安全規范和標準在行業內難以得到落實。
1.2組織體系與信息安全保障管理模型方面
任何安全管理措施或技術手段都離不開人員的組織和實施,組織體系是信息安全保障工作的核心。目前,證券行業采用“統一組織、分工有序”的信息安全工作體系,分為決策層、管理層、執行層。
為加強證券期貨業信息安全保障工作的組織協調,建立健全信息安全管理制度和運行機制,切實提高行業信息安全保障工作水平,根據證監會頒布的《證券期貨業信息安全保障管理暫行辦法》,參照ISO/IEC27001:2005,提出證券期貨業信息安全保障管理體系框架。該體系框架采用立方體架構.頂面是信息安全保障的7個目標(機密性、完整性、可用性、真實性、可審計性、抗抵賴性、可靠性),正面是行業組織結構.側面是各個機構為實現信息安全保障目標所采取的措施和方式。
1.3IT治理方面
整個證券業處于高度信息化的背景下,IT治理已直接影響到行業各公司實現戰略目標的可能性,良好的IT治理有助于增強公司靈活性和創新能力,規避IT風險。通過建立IT治理機制,可以幫助最高管理層發現信息技術本身的問題。幫助管理者處理IT問題,自我評估IT管理效果.可以加強對信息化項目的有效管理,保證信息化項目建設的質量和應用效果,使有限的投入取得更大的績效。
2003年lT治理理念引入到我國證券行業,當前我國證券業企業的IT治理存在的問題:一是IT資源在公司的戰略資產中的地位受到高層重視,但具體情況不清楚;二是IT治理缺乏明確的概念描述和參數指標;是lT治理的責任與職能不清晰。
1.4網絡安全和數據安全方面
隨著互聯網的普及以及網上交易系統功能的不斷豐富、完善和使用的便利性,網上交易正逐漸成為證券投資者交易的主流模式。據統計,2008年我同證券網上交易量比重已超過總交易量的80%。雖然交易系統與互聯網的連接,方便了投資者。但由于互聯網的開放性,來自互聯網上的病毒、小馬、黑客攻擊以及計算機威脅事件,都時刻威脅著行業的信息系統安全,成為制約行業平穩、安全發展的障礙。此,維護網絡和數據安全成為行業信息安全保障工作的重要組成部分。近年來,證券行業各機構采取了一系列措施,建立了相對安全的網絡安全防護體系和災舴備份系統,基木保障了信息系統的安全運行。但細追究起來,我國證券行業的網絡安全防護體系及災備系統建設還不夠完善,還存存以下幾方面的問題:一是網絡安全防護體系缺乏統一的規劃;二是網絡訪問控制措施有待完善;三是網上交易防護能力有待加強;四是對數據安全重視不夠,數據備份措施有待改進;五是技術人員的專業能力和信息安全意識有待提高。
1.5IT人才資源建設方面
近20年的發展歷程巾,證券行業對信息系統日益依賴,行業IT隊伍此不斷發展壯大。據統計,2008年初,在整個證券行業中,103家證券公司共有IT人員7325人,占證券行業從業總人數73990人的9.90%,總體上達到了行業協會的IT治理工作指引中“IT工作人員總數原則上應不少于公司員工總人數的6%”的最低要求。目前,證券行業的IT隊伍肩負著信息系統安全、平穩、高效運行的重任,IT隊伍建設是行業信息安全IT作的根本保障。但是,IT人才隊伍依然存在著結構不合理、后續教育不足等問題,此行業的人才培養有待加強。
2采取的對策和措施
2.1進一步完善法規和標準體系
首先,在法規規劃上,要統籌兼顧,制定科學的信息技術規范和標準體系框架。一是全面做好立法規劃;二是建立科學的行業信息安全標準和法規體系層次。行業信息安全標準和法規體系初步劃分為3層:第一層是管理辦法等巾同證監會部門規章;第二層是證監會相關部門制定的管理規范等規范性文件;第三層是技術指引等自律規則,一般由交易所、行業協會在證監會總體協調下組織制定。其次,在法規制定上.要兼顧規范和發展,重視法規的可行性。最后,在法規實施上.要堅持規范和指引相結合,重視監督檢查和責任落實。
2.2深入開展證券行業IT治理工作
2.2.1提高IT治理意識
中國證券業協會要進一步加強IT治理理念的教育宣傳工作,特別是對會員單位高層領導的IT治理培訓,將IT治理的定義、工具、模型等理論知識納入到高管任職資格考試的內容之中。通過舉辦論壇、交流會等形式強化證券經營機構的IT治理意識,提高他們IT治理的積極性。
2.2.2通過設立IT治理試點形成以點帶面的示范效應
根據IT治理模型的不同特點,建議證券公司在決策層使用CISR模型,通過成立lT治理委員會,建立各部門之間的協調配合、監督制衡的責權體系;在執行層以COBIT模型、ITFL模型等其他模型為補充,規范信息技術部門的各項控制和管理流程。同時,證監會指定一批證券公司和基金公司作為lT試點單位,進行IT治理模型選擇、剪裁以及組合的實踐探索,形成一批成功實施IT治理的優秀范例,以點帶面地提升全行業的治理水平。
2.3通過制定行業標準積極落實信息安全等級保護
行業監管部門在推動行業信息安全等級保護工作中的作用非常關鍵.應進一步明確監管部門推動行業信息安全等級保護工作的任務和工作機制,統一部署、組織行業的等級保護丁作,為該項丁作的順利開展提供組織保證。行業各機構應采取自主貫徹信息系統等級保護的行業要求,對照標準逐條落實。同時,應對各單位實施信息系統安全等級保護情況進行測評,在測評環節一旦發現信息系統的不足,被測評單位應立即制定相應的整改方案并實施.且南相芙的監督機構進行督促。
2.4加強網絡安全體系規劃以提升網絡安全防護水平
2.4.1以等級保護為依據進行統籌規劃
等級保護是圍繞信息安全保障全過程的一項基礎性的管理制度,通過將等級化的方法和安全體系規劃有效結合,統籌規劃證券網絡安全體系的建設,建立一套信息安全保障體系,將是系統化地解決證券行業網絡安全問題的一個非常有效的方法。
2.4.2通過加強網絡訪問控制提高網絡防護能力
對向證券行業提供設備、技術和服務的IT公司的資質和誠信加強管理,確保其符合國家、行業技術標準。根據網絡隔離要求,要逐步建立業務網與辦公網、業務網與互聯網、網上交易各子系統間有效的網絡隔離。技術上可以對不同的業務安全區域劃分Vlan或者采用網閘設備進行隔離;對主要的網絡邊界和各外部進口進行滲透測試,進行系統和設備的安全加固.降低系統漏洞帶來的安全風險;在網上交易方面,采取電子簽名或數字認證等高強度認證方式,加強訪問控制;針對現存惡意攻擊網站的事件越來越多的情況,要采取措施加強網站保護,提高對惡意代碼的防護能力,同時采用技術手段,提高網上交易客戶端軟件使朋的安全性。
2.4.3提高從業人員安全意識和專業水平
目前在證券行業內,從業人員的網絡安全意識比較薄弱.必要時可定期對從業人員進行安全意識考核,從行業內部強化網絡安全工作。要加強網絡安全技術人員的管理能力和專業技能培訓,提高行業網絡安全的管理水平和專業技術水平。
2.5扎實推進行業災難備份建設
數據的安全對證券行業是至關重要的,數據一旦丟失對市場各方的損失是難以估量的。無論是美國的“9·11”事件,還是我國2008年南方冰雪災害和四川汶川大地震,都敲響了災難備份的警鐘。證券業要在學習借鑒國際經驗的基礎上,針對自身需要,對重要系統開展災難備份建設。要繼續推進證券、基金公司同城災難備份建設,以及證券交易所、結算公司等市場核心機構的異地災難備份系統的規劃和建設。制定各類相關的災難應急預案,并加強應急預案的演練,確保災難備份系統應急有效.使應急工作與日常工作有機結合。
2.6抓好人才隊伍建設
證券行業要采取切實可行的措施,建立吸引人才、留住人才、培養人才、發展人才的用人制度和機制。積極吸引有技術專長的人才到行業巾來,加強lT人員的崗位技能培訓和業務培訓,注重培養既懂得技術義懂業務和管理的復合型人才。要促進從業人員提高水平、轉變觀念,行業各機構應采取采取請進來、派出去以及內部講座等多種培訓方式。通過建立規范有效的人才評價體系,對信息技術人員進行科學有效的考評,提升行業人才資源的優化配置和使用效率,促進技術人才結構的涮整和完善。
