信息安全服務評估報告精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息安全服務評估報告主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:信息安全服務評估報告范文
新增多項強勁功能
據安全專家介紹,此次的全新瑞星殺毒軟件網絡版2012中,增加了“私有云”技術、動態資源分配技術、企業自定義白名單系統、第二代身份標識和客戶端密碼防護系統。基于這些全新的功能,企業的信息安全管理可以更為穩定,并且更加精準。
瑞星企業專屬“私有云”為每個企業單獨構建,提供專屬的云應用和云服務。它主要有兩個功能:一,為企業提供了安全應用軟件平臺,便于企業獲取經過瑞星安全認證的各類應用軟件,便于管理員分發、管理和監控。二,為每個企業定制專屬的安全服務,企業客戶端無需存放病毒庫,也無需進行復雜殺毒運算,大大降低了對系統資源的占用,同時可進行最快速、最及時、最輕便的病毒掃描和防護。
智能動態資源分配技術優化了殺毒引擎的核心技術,使其變得更加輕便,突破了傳統殺毒軟件一次性將病毒庫加載到內存中,使用高負荷CPU進行運算的方式,并對病毒庫進行了細化,同時優化其存儲和加載方式,在殺毒時,實現化整為零、按需加載,從而達到降低資源占用的目的,使更多的老舊電腦也可以流暢運行最先進的殺毒軟件。
大型企業在遇到安全問題時,最為頭疼的是管理員很難在短時間內定位到具體出現問題的電腦,從而使問題變得更加復雜,延遲解決時間。在新一代瑞星網絡版殺毒軟件中,增加了第二代身份識別標示,對用戶標示進行升級,加入了CPU、主板、硬盤串號、Mac地址、微軟身份標示等信息,管理員可精確定位每臺電腦。
5S服務詮釋高端企業安全理念
將“私有云”、智能動態資源分配等領先的技術迅速落地,轉化為產品并與專業的企業信息安全服務相結合,這是瑞星一直追求的目標。在瑞星新一代企業級整體解決方案中,用戶不僅可享受到“私有云”技術帶來的安全成果,而且能夠得到國內首家5S專業級企業信息安全服務。
瑞星公司客服中心總經理齊勇表示,在企業信息安全領域,瑞星向企業用戶提供了信息安全評估服務、信息安全預警服務、信息安全專家服務、信息安全應急響應服務、信息安全培訓服務。
1、信息安全評估服務:信息安全始于評估,作為擁有CSP認證的安全廠商,瑞星將為用戶全面評估面臨的各種安全風險、提供專業評估報告。
2、信息安全預警服務:可以通過專屬手機通道、郵件通報、網站掛馬預警、網站漏洞檢測等方式,第一時間發出預警信息,為企業提供信息安全服務。
3、信息安全專家服務:通過對口信息安全顧問、專家常駐支持等方式提供技術支持。
4、信息安全應急響應服務:一旦遇到信息安全事故,瑞星便會通過現場巡檢、遠程巡檢、現場緊急救援、遠程緊急救援、數據災難恢復、網站掛馬應急處理等方式,第一時間解決安全問題。
第2篇:信息安全服務評估報告范文
關鍵詞:信息安全;等級保護;漏洞掃描
中圖分類號:TP315 文獻標識碼:A 文章編號:1007-9599 (2011) 23-0000-02
Use Vulnerability Scanning System to Improve the Level of Power Supply Enterprise Information Security Management
Chen Wan
(Guangdong Power Grid Corporation,Shantou Power Supply Bureau,Shantou 515041,China)
Abstract:The building vulnerability scanning system,and regulate their use of processes,thereby enhancing the power supply enterprise level and effectiveness of information security management.Shantou Power Supply Bureau introduced the use of the IDC deployment vulnerability scanning system,set up the server was added to the process specifications,thereby enhancing the information security management.
Keywords:Information security;Protection Level;Vulnerability scanning
引言:伴隨著信息化的高速發展,信息安全的形勢日趨復雜和嚴峻。國家政府對信息安全高度關注,信息安全等級保護是我國在新的信息安全形勢下推行的一項國家制度,國家相關部門高度重視等級保護制度的落實與執行。信息系統是業務系統的支持平臺,信息系統的安全是承載業務系統安全的基礎,而在信息系統等級保護中,安全技術測評包括五個部分:分別是物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復。其中所涉及到的主機系統安全控制點包括:身份鑒別、安全標記、訪問控制、可信路徑、安全審計、入侵防范、惡意代碼防范和資源控制等九個控制點。怎么提前做好風險控制,利用現有的信息安全工具,規范信息系統主機上架前的檢測,對信息安全的管理是一種創新的嘗試,也是安全管理中位于未雨綢繆的體現。
一、漏洞掃描系統的構建
(一)漏洞掃描工具的作用
漏洞掃描工具采用高效、智能的漏洞識別技術,第一時間主動對網絡中的資產進行細致深入的漏洞檢測、分析,并提供專業、有效的漏洞防護建議。
我們采用的漏洞掃描工具的管理是基于Web的管理方式,用戶使用瀏覽器通過SSL加密通道和系統Web界面模塊進行交互,采用模塊化設計。具有優化的專用安全系統平臺,具有很高的安全性和穩定性。其專用硬件能夠長期穩定地運行,很好地保證了任務的周期性自動處理。能夠自動處理的任務包括:評估任務下發、掃描結果自動分析、處理和發送、系統檢測插件的自動升級等。同時支持多用戶管理模式,能夠對用戶的權限做出嚴格的限制,通過權限的劃分可以實現一臺設備多人的虛擬多機管理,并且提供了登錄、操作和異常等日志審計功能,方便用戶對系統的審計和控制。
在每次安全評估之前,用戶需要根據自己的業務系統確定需要進行評估的資產,并且劃分資產的重要性。漏洞掃描系統根據用戶的資產及其重要性會自動在其內部對目標評估系統建立基于時間和基于風險等多種安全評估模型。在對目標完成評估之后,模型輸出的結果數據不但有定性的趨勢分析,而且有定量的風險分析,用戶能夠清楚地看到單個資產、整個網絡的資產存在的風險,還能夠看到網絡中漏洞的分布情況、風險級別排名較高的資產、不同操作系統和不同應用漏洞分布等詳細統計信息,用戶能夠很直觀地了解自己網絡安全狀況。
(二)漏洞掃描工具的部署
針對汕頭供電局的網絡情況,使用獨立式部署方式。獨立式部署就是在網絡中部署一臺漏洞掃描設備。在共享式工作模式下,只要將設備接入網絡并進行正確的配置即可正常使用,其工作范圍通常包含汕頭供電局的整個網絡地址,用戶登錄系統并下達掃描任務。下圖是漏洞掃描系統獨立式部署模式圖。從圖中可以看出,無論在汕頭供電局何處接入設備,網絡都能正常工作,完成對網絡的安全評估。
圖1:漏洞掃描系統獨立式部署模式圖
(三)漏洞掃描工具的定位
1.利用漏洞掃描工具定期對網絡信息系統進行掃描,以便主動發現存在的安全隱患和防護漏洞。
2.巡檢服務中對操作系統修補、加固和優化,根據提供出來的評估報告對相關系統進行打補丁、升級、修補、加固和優化,提供詳細操作報告。
3.巡檢服務過程中針對網絡設備安全加固和優化;進行修補和加固,按照安全策略進行安全配置和優化,提供詳細操作報告。包括:網絡設備的安全配置,網絡設備的安全加固,網絡設備的優化配置等。
4.檢服務過程中對網絡安全設備,對所有網絡邊界進行梳理,對邊界安全防護系統的策略進行優化。通過綜合應用防火墻、IPS、防病毒網關等網絡安全系統,在區域邊界實施嚴密的控制措施,盡量在邊界阻斷來自區域外的安全威脅,從而最大化地提高電力信息數據的安全性和電力信息系統的可用性。
5.巡檢服務過程中在安全評估的基礎上,對桌面終端和服務器系統中存在的安全漏洞進行修復。對于無法修復的漏洞,評價其可能帶來的安全風險,并采用周邊網絡防護系統(如防火墻、IPS等)阻斷可能的攻擊,或通過監控等手段對該風險進行控制管理。
二、服務器上架漏洞掃描規范編寫
按照信息安全工作實際需要,以“制度化管理、規范化操作”為原則,完善信息安全管理策略規范,理順信息工作內部安全控制流程規范,不斷增強網絡與信息安全整體管控效能。為更好的保障汕頭供電局信息網絡的安全、穩定運行,使得漏洞掃描工具能真正的用到實處,特制訂漏洞系統管理流程。如下圖:
圖2:每季度漏洞掃描流程圖
圖3:新服務器上架前漏洞掃描流程圖
(一)漏洞掃描管理員的職責
負責漏洞掃描軟件(包括漏洞庫)的管理、更新和公布;
負責查找修補漏洞的補丁程序,及時提出漏洞修復方案;
密切注意最新漏洞的發生、發展情況,關注和追蹤業界公布的漏洞疫情;
每季度第一個月1-4日期間(節假日順推)進行上季度安全掃描復查;
每季度第一個月5號(節假日順推)生成上季度匯總報告;
新系統上線前,負責對系統管理員提出的申請的主機進行漏洞掃描檢查,并提交漏洞掃描報告給系統管理員,并檢查主機漏洞修補情況。
(二)系統管理員的職責
負責對漏洞掃描系統發現的漏洞進行修補工作;
遵守漏洞掃描設備各項管理規范。
新系統上線前,提交掃描申請,并負責對漏洞掃描系統發現的漏洞進行修補工作。
三、結束語
第3篇:信息安全服務評估報告范文
在科學技術如此發達的今天,網絡已經成為了生活中不可或缺的一部分,但是網絡帶給我們的就只有優點嗎?很顯然答案是否定的,網絡帶給我們的缺點大家也應該早有體會,我們所接觸到、影響最深的應該就是信息安全問題了。在新聞中網絡個人信息被盜造成損害的案例已經屢見不鮮,本文將以此為研究點,以信息安全控制原理為基礎,對信息安全中常見的存在問題進行研究,并介紹與信息安全相關的技術和方法。
關鍵詞:
信息安全網絡控制
1信息安全控制原理
1.1信息安全
信息是一種資源,它具有增值性、多效性、普遍性和可處理性,這使得對人類具有非常重要的意義。信息安全就是確保網絡信息資源的安全和信息系統的安全,避免受到外界各種干擾和侵害,換而言之就是確保安全。信息安全在國際標準化組織是這樣定義的:指信息的完整性、可靠性、可用性和保密性。
1.2自動控制原理
所謂自動控制就是指在沒有人直接參與的情況下,控制裝置或者控制器能夠按照預先設定的規律使機器、設備或者生產過程(統稱為被控對象)的某個工作狀態或者參數(即控制量)自動地運行。自動控制系統(automaticcontrolsystems)是在沒有人直接參與的時候可使工作過程或其他過程按預期的規律或預想程序進行的系統控制。自動化控制系統是實現自動化的重要手段。
1.3信息安全控制控制原理
信息安全控制與自動控制有著密不可分的關系,因為信息的特殊性質導致信息系統具有變化的不定性,進而導致整個信息系統的安全控制都會隨著信息不斷變化,另外信息系統在變化過程中不僅會受到外界系統的攻擊和影響,其系統內部的缺陷也會威脅其系統安全。所以信息安全系統的建立必須要完善,從外部和內部多個層面進行全方位的因素考慮。信息安全控制主要是為了有效控制信息系統存在的內在威脅和外界的惡意攻擊。所以信息安全控制的主要措施是:對于系統內部,要盡可能的切斷一切潛在危險源;對于系統外部,建立完善的信息安全控制體系。對于信息系統而言,安全控制策略庫的建立可以讓信息系統的運行在可控范圍內進行,從而使信息威脅程度降低最低,這樣就可以保證信息系統的安全性。
2加密技術
2.1事件監控
安全監控子系統實時收集日志信息進行存儲與分析,當發現高危安全事件時,采用聲、光、短信的方式在管理員界面中呈現給安全監控人員,安全監控人員對安全事件的級別和影響進行評估,判斷為嚴重事件時則啟動工單系統通知客服人員,由客服人員向客戶發送預警信息;若事件未達到預警級別,則安全監控人員創建工單,通知安全分析人員做處理。
2.2安全分析
安全分析人員對非預警安全事件進行分析,排除誤警虛警信息,嘗試解決可處理安全事件。判斷為不能處理的安全事件和經嘗試不能解決的安全事件,提交運維經理,請經理協調各方資源協助解決。如資源難以協調則繼續向上一級主管領導發起協調資源請求,直至問題解決。經過安全分析人員對攻擊數據包進行分析,迅速判斷出此次攻擊主要針對80端口的ddos攻擊,遭受攻擊的網站由于資源消耗過大而無法再給用戶提供正常的頁面訪問。由于世博業務可持續性運行的重要性,于是決定本著"先搶通后修復"的原則,先利用防火墻、utm制定相應的安全策略協助該單位恢復系統正常工作。同時運維人員根據安全事件對該風險進行評估,確定攻擊類型、波及范圍及造成的影響,并制定都詳細的加固解決方案。
2.3安全預警
安全監控平臺發現客戶網絡出現高危安全事件時,安全專家團隊子系統的安全分析人員,根據事件信息確定預警級別,通過工單系統向網絡管理員提交預警信息。若預警級別較高,則通報給相關主管領導、同時發起預警,同時派遣專業人員協助處理安全事件。
2.分析報告
安全運維小組事后給用戶提供了一份詳細的事情分析報告,報告中包括記錄文檔和安全策略的建議,此份建議中多次提到安全技術使用不夠完善的問題,雖然有防毒系統和防火前,但是沒有利用更大的資源解決網絡安全問題。報告的意義是讓客戶知道問題出在哪里,在哪里容易出問題,怎么解決已經出現的問題,今后應該如何防范。
2.5加固測試
根據安全評估報告協助用戶對系統自身的安全漏洞進行修補,并對加固后的系統,進行模擬測試。安全專家模擬黑客攻擊的方式對用戶指定的ip地址采用工具和人工檢查相結合的辦法進行遠程安全測試,評估加固后的系統是否達到安全要求。防火墻策略生效之后,攻擊逐漸減弱,通過外網訪問web服務器,速度正常。至此初步判斷,由于防火墻、umt的防護和安全監控平臺監測,已經令惡意攻擊者知難而退,暫時停止實施攻擊。經過現場一段時間的觀察客戶網絡正常運行,后期運維小組重點對該網絡進行遠程監控跟蹤。
2.6形成知識庫
將此次安全事件發現、分析、解決的過程以知識庫的形式保存,以便下次同類問題的快速處理及客戶人員的自學習。根據統計,不僅中國在盡力打造信息安全網絡,在世博會期間,浙江聯通也退出了很多項創新業務支撐網絡安全。為保證世博會此項工作的順利進行,聯通的營業廳及多個服務店、10010客服熱線、投訴、vip貴賓服務、電子渠道等方面,在人性化、便捷化、差異化方面做出巨大改變,最終使得用戶能充分信息安全的基礎上,享受了更大的便捷與自由。
參考文獻
[1]張淑媛.基于信息安全控制原理的安全網絡技術[J].技術研發,2013(18).
第4篇:信息安全服務評估報告范文
2005年7月,美國聯邦政府審計署向美國國會提交了《信息安全年度報告》(以下簡稱美國報告),其題目是《信息安全:相關法規執行方面有所成就,但是仍然存在薄弱之處》。美國報告指出,聯邦政府各個分支機構以及眾多事關國計民生的部門,包括能源、供水、電信、國防以及應急服務部門,他們的日常工作已經廣泛依賴計算機信息系統以及電子數據。這些信息系統、數據的安全非常重要,信息安全措施要防止數據篡改,保證核心業務連續性,預防數據欺騙以及阻止敏感信息泄漏。
美國政務的五大安全隱患
美國審計署發現,美國聯邦政府24個部門信息系統普遍存在安全隱患,主要體現在以下5個方面:訪問控制并未有效實施、軟件變更控制并非總是有效、職責劃分沒有始終如一地執行、業務持續性計劃經常是不充分的、部門信息安全規劃沒有全面地應用。
訪問控制
它保證只有經過授權的用戶才可以閱讀、修改或者刪除數據。訪問控制包括電子方式以及物理方式,前者包括賬號控制、密碼控制以及用戶權限控制,后者包括門衛、門鎖等方式。24個部門中有23個部門在訪問控制方面存在隱患。例如,有的信息系統允許用戶使用非常簡單的詞語做密碼,這使得黑客很容易破解密碼。物理控制方面,有的部門并未有效采用門鎖、門卡等手段。
軟件變更控制
軟件變更控制確保只有經過授權的軟件程序才可以被安裝,軟件變更控制也會監控敏感程序、數據的使用情況。24個部門中有22個存在這方面的漏洞,例如軟件系統沒有采用正確流程進行升級。此外,有的信息系統在程序調整方面的批準、測試以及實施的文檔記錄沒有良好維護,以至于出錯的或者有預謀的程序將會嚴重威脅到系統安全。
職責劃分
職責劃分降低個人進行錯誤操作而沒有被發現的風險。24個部門中有14個存在這方面的隱患,主要體現在系統管理和系統安全管理沒有很好地分清。例如,有的部門用戶可以在系統中添加并不存在的賬號并獲得很高的權限,用這個賬號從事的活動沒人監管。
業務連續計劃
確保計算機相關的業務在緊急情況下不出現嚴重中斷,例如出現地震、火災等破壞活動的時候。20個部門存在這一方面的隱患。在審計署2005年4月提交的報告中已經指出,不到一半的部門有應急指揮通訊錄,很少的部門記錄了重要文件分布情況,大多數機構沒有測試、檢驗、演習他們的業務連續計劃以確保災難發生時可以應用這些計劃。
部門級別的安全規劃
上述問題的存在,主要是因為各個部門沒有強有力的信息安全管理規劃。部門級別的安全規劃提供工作框架,確保全部門能夠理解風險并且有效控制、合理采取措施。這個方面,所有的部門都存在隱患,他們都沒有制定全面的信息安全規劃,尤其是新型的安全威脅方面,包括垃圾郵件、釣魚以及間諜程序。
我國可借鑒什么
我國在信息系統安全管理方面開展工作的時間不長,相關經驗不多,許多應建立的規章制度還在摸索之中。2005年7月剛剛的《2005中國信息化發展報告》談到信息安全的時候,提到蠕蟲和病毒在網上傳播十分猖獗、木馬事件潛在威脅巨大、各類網絡違法犯罪日益突出,但沒有專門介紹電子政務的安全現狀。
重視管理機制制度
《2005中國信息化發展報告》指出,要加強對信息安全工作的領導,建立健全信息安全領導責任機制,明確主管領導,落實責任部門,建立和完善信息安全監控體系,加強以密碼技術為基礎的信息保護和網絡信任體系的建設。
重視管理機制制度這一方面,中美兩國有相近之處。美國《聯邦信息安全管理法案》認為,聯邦政府存在信息安全隱患最根本原因是缺乏有效的信息安全管理規劃。基于此,美國《聯邦信息安全管理法案》要求政府建立一套全面的信息安全控制管理框架。不僅如此,考慮到各個機構在信息安全管理規劃方面難免出現漏洞,美國《聯邦信息安全管理法案》制定了一套完善的評估機制,包括部門定期自檢以及管理和預算辦公室、國家標準技術研究院以及其他獨立機構的評估。
《聯邦信息安全管理法案》要求美國聯邦政府各個機構的信息安全報告包含如下信息:風險評估情況、政策和流程、個別系統的安全規劃、相關培訓情況、年度測試和評估情況、采取的對策、信息安全事件報告以及運行連續性。
美國的評估機制,保證了部門領導在意識上定期關注各自部門的信息安全,又使得他們有能力全面深入了解本部門信息安全的方方面面。這樣,既提高了部門領導對信息安全的重視程度,又采用完善的制度來提高各個部門發現、報告和共享信息安全隱患的能力。與美國相比,我們還沒有明確提出要建立全方位的評估體系。
完善標準法規體系
《2005中國信息化發展報告》指出,抓緊制定信息安全等級保護的管理辦法和技術指南,建立信息安全等級保護制度,加強信息安全法制建設和標準化建設。
在標準法規、技術指南方面,我國政府主要精力集中在信息安全等級保護方面。比較而言,美國政府制訂的標準法規、技術指南則更為全面。美國《聯邦信息安全管理法案》規定,由美國國家標準技術研究院(NIST)負責為政府各個部門提供相關法規制度或技術援助,進行信息安全方面的研究,并且參與國家安全體系相關標準的開發。
安全不僅是技術問題,同時還是社會和法律問題。與美國相比,我國在標準的制定、認證、檢測等方面有待于進一步的加強。信息安全標準方面,我國有國家信息安全產品測評認證中心、公安部、國家質量技術監督局等多個部門參與這方面的工作,而美國則在法案中明確表示由美國國家標準技術研究院一家來完成。還有一點值得注意的是,我國信息安全標準的培訓、認證和檢測機構中,有一些是贏利機構,這在某種程度上降低了其公證性。
加強信息安全培訓
《2005中國信息化發展報告》指出,加強信息安全學科、人才培養。
聯邦信息安全管理法案要求,聯邦政府各個機構對政府雇員以及合同商的雇員進行信息安全培訓,這些機構在年度評估報告中要標明參與培訓人員的數量以及所占比例。2005年的報告指出,所有24個部門都對本部門60%以上的職員進行了培訓。美國報告指出,如果不能提供最新的信息安全培訓,將會給政府機構的信息安全帶來安全隱患。例如,美國大多數部門沒有對雇員提供無線局域網方面的信息安全培訓,這使得他們在建設沒有認證措施的無線局域網的時候,不了解其安全隱患。
由此可見,美國政府更注重日常的培訓工作,而不僅僅是學校培養。信息安全,需要有數學算法、軟件、硬件等諸多方面的理論支持。但對于很多現有的隱患來說,更重要的是提高普通用戶的安全意識。例如美國政府提到的無線局域網問題,我國政府在科研方面正在開發WAPI,希望以此來增強系統的安全性。但是,有許多無線局域網是內置了安全認證程序而根本沒有啟用。
信息安全是個系統工程,既要有高屋建瓴的頂層設計、整體框架,又要有體貼入微的法規標準、行動指南,還要有資金支持、日常培訓以及監察制度,需要恩威并重。同美國信息安全報告談到的情況相比,在我國政府部門中宣傳信息安全的重要性,并且保證相關人員有能力、有方法了解其現狀,懂得如何降低風險,這些都是任重而道遠的。
鏈接
國家信息化領導小組第一次會議決定,把電子政務建設作為今后一個時期我國信息化工作的重點,政府先行,帶動國民經濟和社會發展信息化。
在電子政務建設中和安全相關的主要任務是:
基本建立電子政務網絡與信息安全保障體系。要組織建立我國電子政務網絡與信息安全保障體系框架,逐步完善安全管理體制,建立電子政務信任體系,加強關鍵性安全技術產品的研究和開發,建立應急支援中心和數據災難備份基礎設施。
第5篇:信息安全服務評估報告范文
隨著信息安全等級保護工作的不斷深化,已延伸到醫療衛生行業。衛計委要求三級醫院核心業務系統定級不低于第三級。本文結合醫院實際,介紹了醫院信息安全等級保護工作的建設,闡明了信息系統的定級、備案、整改、測評四個實施步驟,以供大家探討。
關鍵詞:
醫院信息安全;等級保護工作;等級測評
一、引言
隨著我國信息化建設的快速發展與廣泛應用,信息安全的重要性愈發突出。在國家重視信息安全的大背景下,推出了信息安全等級保護制度。為統一管理規范和技術標準,公安部等四部委聯合了《信息安全等級保護管理辦法》(公通字[2007]43號)。隨著等級保護工作的深入開展,原衛生部制定了《衛生行業信息安全等級保護工作的指導意見》(衛辦發[2011]85號),進一步規范和指導了我國醫療衛生行業信息安全等級保護工作,并對三級甲等醫院核心業務信息系統的安全等級作了要求,原則上不低于第三級。從《關于信息安全等級保護工作的實施意見》中可知信息安全等級保護對象是國家秘密信息、法人和其他組織以及公民的專有信息和公開信息。對信息系統及其安全產品進行等級劃分,并按等級對信息安全事件響應[1]。
二、醫院信息安全等級保護工作實施步驟
2.1定級與備案[2]。
根據公安部信息安全等級保護評估中心編制的《信息安全等級保護政策培訓教程》,有兩個定級要素決定了信息系統的安全保護等級,一個是等級保護對象受到破壞時所侵害的客體,另外一個是對客體造成侵害的程度。對于三級醫院,門診量與床位相對較多,影響范圍較廣,一旦信息系統遭到破壞,將會給患者造成生命財產損失,對社會秩序帶來重大影響。因此,從影響范圍和侵害程度來看,我們非常認同國家衛計委對三級甲等醫院的核心業務信息系統安全等級的限制要求。在完成定級報告編制工作后,填寫備案表,并按屬地化管理要求到市級公安機關辦理備案手續,在取得備案回執后才算完成定級備案工作。我院已按照要求向我市公安局網安支隊,同時也是我市信息安全等級保護工作領導小組辦公室,提交了定級報告與備案表。
2.2安全建設與整改[3]。
在完成定級備案后,就要結合醫院實際,分析信息安全現狀,進行合理規劃與整改。
2.2.1等保差距分析與風險評估。
了解等級保護基本要求。《信息系統安全等級保護基本要求》分別從技術和管理兩方面提出了基本要求。基本技術要求包括五個方面:物理安全、網絡安全、主機安全、應用安全和數據安全,主要是由在信息系統中使用的網絡安全產品(包括硬件和軟件)及安全配置來實現;基本管理要求也包括五個方面:安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理,主要是根據相關政策、制度以及規范流程等方面對人員活動進行約束控制,以期達到安全管理要求[4]。技術類安全要求按保護側重點進一步劃分為三類:業務信息安全類(S類)、系統服務安全類(A類)、通用安全保護類(G類)。如受條件限制,可以逐步完成三級等級保護,A類和S類有一類滿足即可,但G類必須達到三級,最嚴格的G3S3A3控制項共計136條[5]。醫院可以結合自身建設情況,選擇其中一個標準進行差距分析。管理方面要求很嚴格,只有完成所有的154條控制項,達到管理G3的要求,才能完成三級等級保護要求。這需要我們逐條對照,發現醫院安全管理中的不足與漏洞,找出與管理要求的差距。對于有條件的三甲醫院,可以先進行風險評估,通過分析信息系統的資產現狀、安全脆弱性及潛在安全威脅,形成《風險評估報告》。經過與三級基本要求對照,我院還存在一定差距。比如:在物理環境安全方面,我院機房雖有滅火器,但沒安裝氣體滅火裝置。當前的安全設備產品較少,不能很好的應對網絡入侵。在運維管理方面,缺乏預警機制,無法提前判斷系統潛在威脅等。
2.2.2建設整改方案。
根據差距分析情況,結合醫院信息系統安全實際需求和建設目標,著重于保證業務的連續性與數據隱私方面,滿足于臨床的實際需求,避免資金投入的浪費、起不到實際效果。整改方案制訂應遵循以下原則:安全技術和安全管理相結合,技術作保障,管理是更好的落實安全措施;從安全區域邊界、安全計算環境和安全通信網絡進行三維防護,建立安全管理中心[6]。方案設計完成后,應組織專家或經過第三方測評機構進行評審,以保證方案的可用性。整改方案實施。實施過程中應注意技術與管理相結合,并根據實際情況適當調整安全措施,提高整體保護水平。我院整改方案是先由醫院內部自查,再邀請等級測評公司進行預測評,結合醫院實際最終形成的方案。網絡技術人員熟悉系統現狀,易于發現潛在安全威脅,所以醫院要先自查,對自身安全進行全面了解。等級測評公司派專業安全人員進駐醫院,經過與醫院技術人員溝通,利用安全工具進行測試,可以形成初步的整改報告,對我院安全整改具有指導意義。
2.3開展等級保護測評[7]。
下一步工作就是開展等級測評。在測評機構的選擇上,首先要查看其是否具有“DICP”認證,有沒有在當地公安部門進行備案,還可以到中國信息安全等級保護網站進行核實。測評周期一般為1至2月,其測評流程如下。
2.3.1測評準備階段。
醫院與測評機構共同成立項目領導小組,制定工作任務與測評計劃等前期準備工作。項目啟動前,為防止醫院信息泄露,還需要簽訂保密協議。項目啟動后,測評機構要進行前期調研,主要是了解醫院信息系統的拓撲結構、設備運行狀況、信息系統應用情況及安全管理等情況,然后再選擇相應的測評工具和文檔。在測評準備階段,主要是做好組織機構建設工作,配合等級測評公司人員的調查工作。
2.3.2測評方案編制階段。
測評內容主要由測評對象與測評指標來確定。我院測評對象包含三級的醫院信息系統、基礎網絡和二級的門戶網站。測評機構要與醫院溝通,制定工具測試方法與測評指導書,編制測評方案。在此階段,主要工作由等級測評機構來完成。
2.3.3現場測評階段。
在經過實施準備后,測評機構要對上述控制項進行逐一測評,大約需要1至2周,需要信息科人員密切配合與注意。為保障醫院業務正常開展,測評工作應盡量減少對業務工作的沖擊。當需要占用服務器和網絡資源時應避免業務高峰期,可以選擇下班時間或晚上。為避免對現有業務造成影響,測評工具應在接入前進行測試,同時要做好應急預案準備,一旦影響醫院業務,應立即啟動應急預案[8]。在對209條控制項進行測評后應進行結果確認,并將資料歸還醫院。該階段是從真實情況中了解信息系統全面具體的主要工作,也是技術人員比較辛苦的階段。除了要密切配合測評,還不能影響醫院業務開展,除非必要,不然安全測試工作必須在夜間進行。
2.3.4報告編制階段。
通過判定測評單項,測評機構對單項測評結果進行整理,逐項分析,最終得出整體測評報告。測評報告包含了醫院信息安全存在的潛在威脅點、整改建議與最終測評結果[9]。對于公安機關來講,醫院能否通過等級測評的主要標準就是測評結果。因此,測評報告的結果至關重要。測評結果分為:不符合、部分符合、全部符合。有的測評機構根據單項測評結果進行打分,最后給出總分,以分值來判定是否通過測評。為得到理想測評結果,需要醫院落實安全整改方案。
2.4安全運維。
我們必須清醒地認識到,實施安全等級保護是一項長期工作,它不僅要在信息化建設規劃中考慮,還要在日常運維管理中重視,是不斷循環的過程。按照等級保護制度要求,信息系統等級保護級別定為三級的三甲醫院每年要自查一次,還要邀請測評機構進行測評并進行整改,監管部門每年要抽查一次。因此,醫院要按照PDCA的循環工作機制,不斷改進安全技術與管理上,完善安全措施,更好地保障醫院信息系統持續穩定運行[10]。
三、結語
醫院信息安全工作是信息化建設的一部分,是一項長期的系統工程,需要分批分期的循序改建。還要結合醫院實際,考慮安全產品的實用性,不能盲目的進行投資。醫院通過實施等級保護工作,可以有效增強網絡與信息系統整體安全性,有力保障醫院各項業務的持續開展,適應醫院信息化不斷發展的需求。
作者:王磊 單位:蚌埠醫學院第二附屬醫院
參考文獻
[1]公安部,國家保密局,國家密碼管理局,國務院信息化辦公室文件.關于信息安全等級保護工作的實施意見(公通字[2004]66號)[R],2004-9-15.
[2]GB/T22240-2008.信息安全技術信息系統安全等級保護定級指南[S],2008-06-19.
[3]GB/T25058-2010.信息安全技術信息系統安全等級保護實施指南[S],2010-09-02.
[4]GB/T22239-2008.信息安全技術信息系統安全等級保護基本要求[S],2008-06-19.
[5]魏世杰.醫院信息安全等級保護三級建設思路[J].科技傳播,2013,5(99):208-209.
[6]張濱.構建醫院信息安全等級保護縱深防護體系[J].信息通信,2014(141):148-149.
[7]GB/T28449-2012.信息安全技術信息系統安全等級保護測評過程指南[S],2012-06-29.
[8]姚紅磊,楊文.三級系統信息安全等級保護測評指標體系研究[J].鐵路計算機應用,2015,24(2):59-61.
第6篇:信息安全服務評估報告范文
【關鍵詞】風險管理;建立背景;風險評估;風險處置;批準監督;監控審查;溝通咨詢;系統生命周期
當今我們是如何看待網絡與信息化?對個人,人需要信息化還是信息化“綁架”人?對企事業單位和社會團體,組織依賴信息化還是信息化成就組織?對經濟發展,經濟發展帶動了信息技術還是信息技術促進了經濟發展?對社會穩定,信息化的發展對社會穩定的影響是正面的還是負面的?對國家安全,信息化是國家安全的利器還是禍害?沒有標準答案,但值得思考。檢察業務系統風險管理的內容有哪些呢?我們作了以下的探討:
1.風險管理的基本架構與概念
1.1 風險管理的基本架構(如圖1-1所示)
1.2 風險管理工作內容
1.2.1 風險管理工作主要內容有:建立背景、風險評估、風險處置、批準監督、監控審查、溝通咨詢(如圖1-2所示)。
1.2.2 系統生命周期中的風險管理:掌握系統規劃階段的風險管理工作;掌握系統設計階段的風險管理工作;掌握系統實施階段的風險管理工作;掌握系統運行維護階段的風險管理工作;掌握系統廢棄階段的風險管理工作(如圖1-3所示)。
信息安全風險管理是信息安全保障工作中的一項基礎性工作,是需要貫穿信息系統生命周期,持續進行的工作。我們的檢察業務系統是順應信息化發展及業務需求的實際情況,經過檢察系統多部門合作開發的符合全國檢察業務需求的背景下建立的。那么我們應該要掌握一套完善的管理方式去做好這件事。那就是要學會風險管理運用好風險管理的實質內容。
1.3 相關概念
1.3.1 通用風險管理定義是指如何在一個肯定有風險的環境里把風險減至最低的管理過程。風險管理包括對風險的量度、評估和應變策略。理想的風險管理,是一連串排好優先次序的過程,使引致最大損失及最可能發生的事情優先處理、而相對風險較低的事情則押后處理。
1.3.2 檢察業務系統信息安全工作為什么需要風險管理方式?
常見問題:安全投資逐年增加,但看不到收益;按照國家要求或行業要求開展信息安全工作,但安全事件仍出現;IT安全需求很多,有限的資金應優先撥向哪個領域;當了CIO,時刻擔心系統出事,無法預見可能會出什么事。
問題根源淺析:沒有根據風險優先級做安全投資規劃,沒有抓住主要矛盾,導致有限資金的有效利用率低;沒有根據企業自身安全需求部署安全控制措施,沒有突出控制高風險。決策者沒有看到安全投資收益報告,資金劃撥無參考依據。沒有殘余風險清單,在什么條件可被觸發,如何做好控制。總的來說可以概括為以下三點:(1)信息安全風險和事件不可能完全避免,沒有絕對的安全。(2)信息安全是高技術的對抗,有別于傳統安全,呈現擴散速度快、難控制等特點。(3)因此管理信息安全必須以風險管理的方式,關鍵在于如何控制、化解和規避風險,而不是完全消除風險。
風險管理是信息安全保障工作有效工作方式。好的風險管理過程可以讓機構以最具有成本效益的方式運行,并且使已知的風險維持在可接受的水平。好的風險管理過程使組織可以用一種一致的、條理清晰的方式來組織有限的資源并確定優先級,更好地管理風險。而不是將保貴的資源用于解決所有可能的風險。風險管理是一個持續的PDCA管理過程,即計劃-做-檢查-執行循環的管理過程。也可以這樣理解,在全國使用統一的檢察業務系統,做需求分析計劃組織開發業務系統--全國各省市部分基層院試運行使用--檢查業務系統的可行性及需要完善的報告--執行需要完善的地方繼續開發完善。一個持續的不斷完善的管理過程。
在全國使用統一的檢察業務系統,也就會出現數據大集中,數據大集中天生的脆弱性就是數據集中的銷毀或丟失,這就是它與生俱來的風險,那么我們認識了這一點,就應該采用相應的技術措施來控制風險。什么是信息安全風險管理?了解風險+控制風險=管理風險。定義一:GB/Z 24364《信息安全風險管理指南》指:信息安全風險管理是識別、控制、消除或最小化可能影響系統資源的不確定因素的過程。定義二:在組織機構內部識別、優化、管理風險,使風險降低到可接受水平的過程。
1.3.3 正確的風險管理方法是前瞻性風險管理加反應性風險管理。
(1)前瞻性風險管理:評估風險、實施風險決策、風險控制、評定風險管理的有效性。(2)反應性風險管理:保護人身安全、遏制損害、評估損害、確定損害部位、修復損害部位、審查響應過程并更新安全策略。風險管理最佳實踐。簡單的例子:流行性感冒是一種致命的呼吸道疾病,美國每年都會有數以百萬計的感染者。這些感染者中,至少有100,000人必須入院治療,并且約有36,000人死亡。您可能會選擇通過等待以確定您是否受到感染,如果確實受到感染,則采用服藥治療這種方式來治療疾病。此外,您也可以選擇在流行性感冒病發季節開始之前接種疫苗。二者相結合才是最佳風險管理方法。
1.3.4 全國使用統一的檢察業務系信息安全風險管理的目標是它能做好:保密性、完善性、可用性、真實性、抗抵賴性。GB/T 20984的定義,信息安全風險:人為或自然的威脅利用信息系統及其管理體系中存在的脆弱性導致安全事件的發生及其對組織造成的影響。信息安全風險是指一種特定的威脅利用一種或一組脆弱性造成組織的資產損失或損害的可能性。信息安全風險是指信息資產的保密性、完整性和可用性遭到破壞的可能性。信息安全風險只考慮那些對組織有負面影響的事件。
2.風險管理的工作內容
2.1 背景建立是信息安全風險管理的第一步驟,確定風險管理的對象和范圍,確立實施風險管理的準備,進行相關信息的調查和分析。風險管理準備:確定對象、組建團隊、制定計劃、獲得支持。信息系統調查:信息系統的業務目標、技術和管理上的特點。信息系統分析:信息系統的體系結構、關鍵要素。信息安全分析:分析安全要求、分析安全環境。如圖2-1所示。
2.2 信息安全風險評估就是從風險管理角度,運用科學的方法和手段,系統地分析信息系統所面臨的威脅及其存在的脆弱性,評估安全事件一旦發生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和整改措施;為防范和化解信息安全風險,將風險控制在可接受的水平,從而最大限度地保障信息安全提供科學依據。
信息系統的安全風險信息是動態變化的,只有動態的信息安全評估才能發現和跟蹤最新的安全風險。所以信息安全評估是一個長期持續的工作,通常應該每隔1-3年就進行一次全面安全風險評估。風險評估是分析確定風險的過程。風險評估的目的是控制風險。風險評估是風險管理的起點和基礎環節。風險管理是在倡導適度安全。
2.3 風險處理是為了將風險始終控制在可接受的范圍內。現存風險判斷:判斷信息系統中哪些風險可以接受,哪些不可以。處理目標確認:不可接受的風險需要控制到怎樣的程度。處理措施選擇:選擇風險處理方式,確定風險控制措施。處理措施實施:制定具體安全方案,部署控制措施。常用的四類風險處置方法如下:
2.3.1 減低風險:通過對面臨風險的資產采取保護措施來降低風險。首先應當考慮的風險處置措施,通常在安全投入小于負面影響價值的情況下采用。保護措施可以從構成風險的五個方面(即威脅源、威脅行為、脆弱性、資產和影響)來降低風險。減低風險辦法:減少威脅源:采用法律的手段制裁計算機犯罪,發揮法律的威懾作用,從而有效遏制威脅源的動機;減低威脅能力:采取身份認證措施,從而抵制身份假冒這種威脅行為的能力;減少脆弱性:及時給系統打補丁,關閉無用的網絡服務端口,從而減少系統的脆弱性,降低被利用的可能性;防護資產:采用各種防護措施,建立資產的安全域,從而保證資產不受侵犯,其價值得到保持;降低負面影響:采取容災備份、應急響應和業務連續計劃等措施,從而減少安全事件造成的影響程度。
2.3.2 轉移風險:通過將面臨風險的資產或其價值轉移到更安全的地方來避免或降低風險。通常只有當風險不能被降低或避免、且被第三方(被轉嫁方)接受時才被采用。一般用于那些低概率、但一旦風險發生時會對組織產生重大影響的風險。在本機構不具備足夠的安全保障的技術能力時,將信息系統的技術體系(即信息載體部分)外包給滿足安全保障要求的第三方機構,從而避免技術風險。通過給昂貴的設備上保險,將設備損失的風險轉移給保險公司,從而降低資產價值的損失。
2.4 批準監督。批準:是指機構的決策層依據風險評估和風險處理的結果是否滿足信息系統的安全要求,做出是否認可風險管理活動的決定。監督:是指檢查機構及其信息系統以及信息安全相關的環境有無變化,監督變化因素是否有可能引入新風險。
2.5 監控審查的意義,監控與審查可以及時發現已經出現或即將出現的變化、偏差和延誤等問題,并采取適當的措施進行控制和糾正,從而減少因此造成的損失,保證信息安全風險管理主循環的有效性。
3.安全風險評估實踐與國家相關政策
3.1 國家對開展風險評估工作的政策要求
3.1.1 信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)中明確提出:“要重視信息安全風險評估工作,對網絡與信息系統安全的潛在威脅、薄弱環節、防護措施等進行分析評估,綜合考慮網絡與信息系統的重要性、程度和面臨的信息安全風險等因素,進行相應等級的安全建設和管理”
3.1.2 《國家網絡與信息安全協調小組〈關于開展信息安全風險評估工作的意見〉》(國信辦【2006】5號文)中明確規定了風險評估工作的相關要求:風險評估的基本內容和原則;風險評估工作的基本要求;開展風險評估工作的有關安排。
3.2 《關于開展信息安全風險評估工作的意見》的實施要求
3.2.1 信息安全風險評估工作應當貫穿信息系統全生命周期。在信息系統規劃設計階段,通過信息安全風險評估工作,可以明確信息系統的安全需求及其安全目標,有針對性地制定和部署安全措施,從而避免產生欠保護或過保護的情況。
3.2.2 在信息系統建設完成驗收時,通過風險評估工作可以檢驗信息系統是否實現了所設計的安全功能,是否滿足了信息系統的安全需求并達到預期的安全目標。
3.3 《關于開展信息安全風險評估工作的意見》的管理要求
3.3.1 信息安全風險評估工作敏感性強,涉及系統的關鍵資產和核心信息,一旦處理不當,反而可能引入新的風險,《意見》強調,必須高度重視信息安全風險評估的組織管理工作。
3.3.2 為規避由于風險評估工作而引入新的安全風險,《意見》提出以下要求:(1)參與信息安全風險評估工作的單位及其有關人員必須遵守國家有關信息安全的法律法規,并承擔相應的責任和義務。(2)風險評估工作的發起方必須采取相應保密措施,并與參與評估的有關單位或人員簽訂具有法律約束力的保密協議。(3)對關系國計民生和社會穩定的基礎信息網絡和重要信息系統的信息安全風險評估工作必須遵循國家的有關規定進行。
3.3.3 加快制定和完善信息安全風險評估有關技術標準,盡快完善并頒布《信息安全風險評估指南》和《信息安全風險管理指南》等國家標準,各行業主管部門也可根據本行業特點制定相應的技術規范。
3.4 2071號文件對電子政務提出要求
為落實《國家電子政務工程建設項目管理暫行辦法》(發改委[2007]55號令)對風險評估的要求,發改高技【2008】2071號文件《關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》提出了具體要求:(相當于“信息安全審計”)電子政務工程建設項目應開展信息安全風險評估工作;評估的主要內容應包含:資產、威脅、脆弱性、已有的安全措施和殘余風險的影響等;項目建設單位應在試運行期間開展風險評估工作,作為項目驗收的重要依據;項目驗收申請時,應提交信息安全風險評估報告;系統投入運行后,應定期開展信息安全風險評估。
參考文獻
[1]信息安全測評中心.信息安全保障[Z].
第7篇:信息安全服務評估報告范文
巧合的是,當天有媒體報道了我國30省份至少有275位艾滋病感染者個人信息遭泄露的事件。犯罪分子在詐騙電話中能準確地描述出病患的個人信息,包括真實姓名、身份證號、聯系方式、戶籍信息、確診時間、隨訪的醫院或區縣疾控等等,并謊稱能為病患辦理補助而需要收取不菲的手續費。中國疾病預防控制中心相關負責人于7月17日表示,國家艾滋病感染者相關信息系統被列為國家網絡信息重點安全保護對象,目前已經報案,將積極配合公安部門盡快破案。此事還引起了世界衛生組織駐華代表處和聯合國艾滋病聯合規劃署駐華代表處的關注。7月18日,兩家代表處聯合發表聲明,強調“加強現有系統以杜絕類似信息入侵事件再次發生,至關重要”。
國家對于健康醫療大數據的安全十分重視,據統計,《意見》中,“安全”這個詞出現了33次。而此次疑似真實發生的醫療數據安全事件,成為“安全是核心基礎”的最佳注腳。
他山之石,可以攻玉
――英國健康醫療數據安全的審查和建議
不止我們,許多其他國家也發生了一系列事件,向全世界宣告了他們對健康醫療數據安全的關切。在英國,國家醫療服務體系(National Health Service, NHS)于2016年7月6日做出停止care.data健康醫療大數據平臺的決定中,“安全”即是重要原因之一。
在很大程度上,NHS決定關閉care.data,是基于7月6日的兩份評估報告。第一份報告《安全的數據,安全的醫療》(“Safe Data, Safe Care”)由英國醫療質量委員會(Care Quality Commission,CQC)。醫療質量委員會是英格蘭健康和社會醫療的獨立監管機構,其職責是監控、檢查和評價醫療服務,促進醫療服務符合標準規范以保證其質量和安全。作為獨立第三方,CQC經常地區、國家級的健康和社會醫療質量報告。2015年9月,受英國衛生大臣委托,CQC對NHS處理病人敏感數據過程的安全現狀進行審查,并提出改進數據安全的建議。
第二份報告《對數據安全、同意和選擇退出的審查》(“Review of Data Security, Consent and Opt-Outs”)是由英國“國家健康和醫療數據守護者”(National Data Guardian for Health and Care, NDG)。2015年9月,英國衛生大臣也委托其與CQC緊密合作,共同提出新的數據安全標準、測評數據安全合規的新方法,以及獲取同意共享數據的新模式。在英國,NDG由衛生大臣任命,其主要職責是確保公眾能夠信任醫療健康系統將保護個人信息,以及個人信息將被用于提高健康醫療水平。
CQC和NDG在對533起數據安全事故調查后發現,大多數事故與紙質的醫療記錄相關,且80%到90%的數據安全事故是因為工作人員的習慣無意之中引起的,比如點擊了不安全的鏈接、丟失了存儲數據的介質等。但是隨著醫療信息系統的普及、數據的逐步集中化及對公眾開放訪問入口,如果不提升安全防護水平,更嚴重、更大規模數據泄露的風險將會增加。綜合CQC和NDG的報告,英國NHS數據安全工作中存在以下問題:
首先,雖然很多機構都建立了數據安全方面的策略與規程,但并沒有在日常工作中得到有效實施,很多機構只依賴策略和規程,而不是通過檢測驗證系統是否足夠安全,也未要求其供應商也遵循同樣的管理措施。
其次,NHS的絕大部分工作人員認可數據安全的重要性,但是培訓質量參差不齊,有些機構培訓覆蓋面不夠,未涉及合同商、數據共享方、臨時員工等,有些機構未將安全事故經驗作為培訓內容的重要參考。
再次,機構往往不清楚如何從目前存在的大量安全標準中選取合適的參考,許多機構很少去學習其他機構保護數據安全的做法,也很少請外部第三方機構做專業的安全測評。
針對上述問題,CQC和NDG提出的建議簡要概括如下:第一,每個機構的領導應該明確數據安全的責任人和其職責,類似于組織醫療事務和財務的管理和問責制度,包括建立有效的內審機制,必要時進行外審以驗證安全措施有效性,對惡意類數據安全事件進行嚴厲處罰等;第二,所有的工作人員應該獲得足夠的資源,包括正確的信息、工具、培訓等,以便于他們履行數據安全處理和共享的職責;第三,IT系統和所有的安全協議都應該按照實際的病人治療過程和一線工作人員的需求進行設計;第四,應該按照新的數據標準要求設計自評估系統,并選取優秀的案例供其他機構進行同步學習;第五,NHS應該修改通用財務合同模板,確保各機構能夠落實數據安全標準,地方機構和供應商簽署的合同也應有相應的條款,當供應商無法滿足安全要求時不應與其續簽合同。
雖然NHS以及care.data計劃在數據安全管理方面受到詬病,但從以上審查結果中不難看出,英國作為健康和醫療大數據集中應用的先行者,已經在數據安全方面做了很多有價值的工作,比如配套的法律法規、標準規范,任命了專門的數據保護官員,建立了獨立的監管和審計機構,建立了數據安全風險管理的信息系統等。
但是,由于健康和醫療數據的高度敏感性,對其進行集中存儲和管理后,一方面會引起惡意人員的高度關注,另一方面一旦發生數據泄露其影響面非常廣,對于每個病人來說其后果很難挽回;因此,健康醫療數據的安全工作可謂難上加難,即便英國具備一定的基礎,其數據安全治理也未在一開始取得理想的效果,但從近期頻繁的安全審查中可以看出,英國政府建立的數據安全監督機構、數據保護官等正在發揮積極作用,正視已出現的問題并提出注重實效的解決方案,以重新贏回公眾的信任。
善治病者,必醫其受病之處
――我國健康醫療數據安全形勢嚴峻
早在2013年底,國家衛生和計劃生育委員會就了《關于加快推進人口健康信息化建設的指導意見》,提出在“十三五”期間將大力推動全國人口健康信息大平臺的建設。從安全需求上來說,這個信息平臺一是將承載全國13億公民的人口、健康、醫療等隱私信息,數據保密性要求高;二是將提供公民個人醫療保障、診療等信息化服務不能中斷,業務連續性要求高;三是將為國家衛生計生行業未來發展提供決策依據,信息容錯率要求高。然而目前,我國在健康醫療數據安全保障方面情況堪憂,行業整體安全態勢趨于嚴峻。主要問題包括:
首先,行業合并導致底數不清。衛生、計生行業合并時間并不算太長,業務層面的整合已初步實現,但數據層面的整合尚屬起步階段,在實際執行過程中易滋生死角盲區。從網上已公開的醫療行業信息安全事件中不難發現,絕大多數安全事件的第一步突破點來自于安全管控體系的“法外之地”。
其次,行業信息安全人才與經費保障缺口較大。據不完全統計,醫療行業2015年整體信息化建設資金超過300億,但信息安全投入不足6億,占比不足2%,而對于有較高安全保障要求的行業,安全占比普遍超過10%;在人才隊伍方面,專業信息安全從業人員嚴重缺失,許多機構甚至出現“身著白大褂的大夫在看病之余兼職管安全”的狀況。
再次,缺乏具備行業特色的信息安全指導框架。健康醫療行業特殊性較高,目前行業雖然已推行國家信息安全等級保護要求,但尚未建設具備行業業務特點的信息安全保障體系,也沒有專門的行業信息安全技術標準,不利于有針對性地開展安全防護工作。
第四,行業網絡涉及面廣,不易管控。我國醫療衛生機構總數已超百萬,以藥品方面為例,我國有6000多家化學制藥企業,藥品經營流通企業17000多家,而作為世界制藥大國的美國,才分別為200多家和50多家。超大規模、超復雜接入對構建安全的衛生計生網絡來說,難度巨大。
另外,不易樹立行業信息安全標桿。全國醫療信息化及軟件生產供應商達數百家。以行業龍頭東軟集團為例,其擁有的市場份額不足5%,離散化的分布導致安全的最佳實踐無法快速復制推廣,在現有保障能力下也很難做到“避輕就重”“抓大放小”。
第8篇:信息安全服務評估報告范文
【關鍵詞】電力 信息系統 安全 網絡技術
電力作為國民經濟發展所需的主要能源保障之一,其信息系統的安全問題是電力系統自動化進程中需要格外關注并解決的。就系統而言,其危險源來源于內部及外部兩方面,所以,解決系統安全問題也可從內外兩方面來著手。基于電力信息系統信息安全區別于其它系統的特殊性,結合當前計算機安全技術的一些關鍵技術應用,初步總結出幾大電力系統信息安全技術,供新建、改建、擴建或已建電力系統更新參考。
1 安全系統構建
電力行業屬于壟斷性行業,安全系統初始構建是國電集團的大信息網絡構建的一部分,通常是在電力系統建設階段形成,國電集團目前的信息網絡是由各省及省下面的各地市級網絡供電局所組成的一個大型廣域網,集團及各省企業公司通過它來管理各種信息資源,各網絡之間利用分組交換以及數字網絡復接技術,相對獨立成為一個單獨的數據通信網絡。這種布局,能夠解決信息質量及安全的初步要求,大體能夠保證數據信息及時可靠、完整有效。
2 安全硬件堡壘――防火墻技術
防火墻是內網與外網信息數據互通的進出口,其關鍵在于這個進出口的唯一性,亦即“必經之路”,所有的Internet訪問均不可能繞過它而產生連接,為此,在此處加強技術力量保障安全的效力是顯而易見的。當前的電力信息系統防火墻基本是有設置保護的,但是較普遍的是設置不夠保險,最高級別的保密策略應是拒絕一切未經準許的連接請求,于是,選擇“缺省全部關閉,按需求開通的原則”是必須遵循的,同時,需要禁止遠程協助等容易導致防火墻失控的各類危險服務,如Telnet、NNTP、NFS等。此外,還可采取在不同安全區之間設置專用物理隔離墻的措施,使保護更加隱密,增加安全系數。
3 安全軟件―病毒防護技術
病毒往往是從漏洞處進入系統的,這就要求電力信息系統網絡應形成一個整體的防護罩,任何的缺漏都將使全局防護失效。服務器、工作站、主機、各用戶均應完善殺毒軟件。網絡防毒系統可以采用C/S模式,首先,利用服務器網絡核心功能,在服務器端先行安裝殺毒軟件,然后派發到各工作站及用戶,客戶端安裝完軟件后,通過Internet與服務器聯成一體,并利用LiveUpdate(在線升級)功能,從免疫中心實時獲取最新的病毒碼信息,及時更新病毒代碼庫,根據需要選擇掃描方式,從而完成整個網絡的查殺布署工作。掃描方式可選自動掃描或人工掃描、實時進行或預定進行、升級后掃描或開機后掃描等。防護軟件可根據電力信息網系統特性與病毒軟件商聯合制作,不求最貴,但求最經濟適用。由于病毒掃描進程將使服務器性能降低,因此如采用預置掃描方式,建議將掃描時間設定在服務器訪問率最低的夜間。
4 入侵檢測系統技術
為了應對黑客的攻擊,入侵檢測系統作為一個功能強大的安全保障工具,應推薦應用于各電力企業,其采用先進的攻擊防衛技術,通過在不同的位置分布放置檢測監控裝置,能夠最大限度地、有效地阻止各種類型的攻擊,特點鮮明,安全可靠。入侵檢測系統中心數據庫應放置在DMZ區,內網、各監控引擎應與中心隨時保持通訊,針對入侵反饋信息,通過預先設置好的安全策略啟動相應報警及防衛程序。入侵檢測系統還可以在事后清楚地界定責任人和責任事件,為網絡管理人員提供強有力的保障。
5 安全技術管理優化
首先,應提高電力信息系統使用人員的風險認識。電力信息系統使用人員不得從外網上隨意下載性質不明的資料、軟件等,不得隨意修改系統密碼或是執行有泄漏密碼可能的操作,確實應進行相關操作時,剛下載的資料、軟件應第一時間進行殺毒,盡最大可能地殺死可能攜帶的病毒,不給不法分子可乘之機。
其次,各類密碼設定和妥善管理。系統內應保證密碼的隱密性,杜絕使用默認密碼、出廠密碼或者無密碼,不使用容易猜測的密碼。密碼要及時更新,特別是有人員調離時密碼一定要更新。密度強度應以區別大小字的英文字母與阿拉伯數字、字符組合的形式設立。
再者,加強對系統安全的檢測管理。系統使用人員及安全管理人員應定期對信息系統進行檢測維護,包括檢查系統功能狀態、病毒庫更新狀態、設備陳舊狀態、數據異常狀態等各類信息。重要文件應養成加密及備份的習慣,對于文件安全,通過文件加密、信息摘要和訪問控制等安全措施,來實現文件存儲和傳輸的保密和完整性要求,并實現對文件訪問的控制。對通信安全,采用數據加密、信息摘要和數字簽名等安全措施對通信過程中的信息進行保護,實現數據在通信中的保密、完整和不可抵賴性安全要求。對遠程接入安全,通過VPN技術,提高信息,如電子公文、MAIL等在傳輸過程中的保密性和安全性。數據的備份策略要合理,備份要及時,備份介質保管要安全,要注意備份介質的異地保存。
6 安全審計技術策略
可以模仿U盾、密保等認證,結合密碼使用,通過電子、電話等多途徑的密碼保護安全問題增加信息系統安全性。為了實現數據庫數據的安全,或是避免被入侵后更改數據,應設置數據庫訪問控制、存儲加密以及完整性檢驗等功能。利用網絡隱患掃描系統生成詳細的安全評估報告,可對系統進行形象的分析,審計系統運行安全狀態,評判系統安全性能。
參考文獻
[1]唐亮.電力系統計算機網絡信息安全的防護[J].供用電,2010.
[2]鐘捷.電力信息系統存儲安全需求及加密[J].技術研究,2009.
[3]張文軍.電力信息系統中的信息安全技術[J].科技與生活,2012.
[4]王寶義,張少敏.電力企業信息網絡系統的綜合安全策略[J].華北電力技術,2003 (4).
[5]楚狂.網絡安全與防火墻技術[M].人民郵電出版社,2004.
[6]辛耀中,盧長燕.電力系統數據網絡技術體制分析[M].電力系統自動化,2000.
第9篇:信息安全服務評估報告范文
【關鍵詞】安全風險;安全措施;風險評估報告
1.前言
建筑業是危險性較大的行業之一,安全生產管理的任務十分艱巨,安全生產不僅關系到廣大群眾的根本利益,也關系到企業的形象,還關系到國家和民族的形象,甚至影響著社會的穩定和發展。黨的十六屆五中全會確立了“安全生產”的指導原則,我國“十一五”發展規劃中首次提出了“安全發展”的新理念。所有這些表明,安全生產已成為生產經營活動的基本保障,更是當前建筑工程行業管理的首要目標。
風險評估的目的是為了全面了解建設安全的總體安全狀況,并明確掌握系統中各資產的風險級別或風險值,從而為工程安全管理措施的制定提供參考。因此可以說風險評估是建立安全管理體系(ISMS)的基礎,也是前期必要的工作。風險評估包括兩個過程:風險分析和風險評價[1][2]。風險分析是指系統化地識別風險來源和風險類型,風險評價是指按給出的風險標準估算風險水平,確定風險嚴重性。
2.風險評估模型與方法
風險評估安全要素主要包括資產、脆弱性、安全風險、安全措施、安全需求、殘余風險。在風險評估的過程中要對以上方面的安全要素進行識別、分析。
2.1 資產識別與賦值
一個組織的信息系統是由各種資產組成,資產的自身價值與衍生價值決定信息系統的總體價值。資產的安全程度直接反映信息系統的安全水平。因此資產的價值是風險評估的對象。
本文的風險評估方法將資產主要分為硬件資產、軟件資產、文檔與數據、人力資源、信息服務等[1][2]。建設工程的資產主要體現在建筑產品、施工人員、施工機械等。
風險評估的第一步是界定ISMS的范圍,并盡可能識別該范圍內對業務過程有價值的所有事物。
資產識別與賦值階段主要評價要素為{資產名稱、責任人、范圍描述、機密性值C、完整性值I、可用性值A、QC、QI、QA}。QC、QI、QA分別為保密性,完整性,可用性的權重,QC=C / (C+I+A),QI、QA類似。
2.2 識別重要資產
信息系統內部的資產很多,但決定工程安全水平的關鍵資產是相對有限的,在風險評估中可以根據資產的機密性、完整性和可用性這三個安全屬性來確定資產的價值。
通常,根據實際經驗,三個安全屬性中最高的一個對最終的資產價值影響最大。換而言之,整體安全屬性的賦值并不隨著三個屬性值的增加而線性增加,較高的屬性值具有較大的權重。
在風險評估方法中使用下面的公式來計算資產價值:
資產價值=10×Round{Log2[(2C+2I+2A)/3]}
其中,C代表機密性賦值;I代表完整性賦值;A代表可用性賦值;Round{}表示四舍五入。
從上述表達式可以發現:三個屬性值每相差一,則影響相差兩倍,以此來體現最高安全屬性的決定性作用。在實際評估中,常常選擇資產價值大于25的為重要資產。
2.3 威脅與脆弱性分析
識別并評價資產后,應識別每個資產可能面臨的威脅。在識別威脅時,應該根據資產目前所處的環境條件和以前的記錄情況來判斷。需要注意的是,一項資產可能面臨多個威脅,而一個威脅也可能對不同的資產造成影響。
識別威脅的關鍵在于確認引發威脅的人或事物,即所謂的威脅源或威脅。建筑企業的威脅源主要是四個方面:人的不安全行為,物的不安全因素、環境的不安全因素、管理的不安全因素。
識別資產面臨的威脅后,還應根據經驗或相關的統計數據來判斷威脅發生的頻率或概率。評估威脅可能性時有兩個關鍵因素需要考慮:威脅動機和威脅能力。威脅源的能力和動機可以用極低、低、中等、高、很高(1、2、3、4、5)這五級來衡量。脆弱性,即可被威脅利用的弱點,識別主要以資產為核心,從技術和管理兩個方面進行。在評估中可以分為五個等級:幾乎無(1)、輕微(2)、一般(3)、嚴重(4)、非常嚴重(5)。在風險評估中,現有安全措施的識別也是一項重要工作,因為它也是決定資產安全等級的一個重要因素。我們要在分析安全措施效力的基礎上,確定威脅利用脆弱性的實際可能性。
2.4 綜合風險值
資產的綜合風險值是以量化的形式來衡量資產的安全水平。在計算風險值時,以威脅最主要影響資產C、I、A三安全屬性所對應的系數QC、QI、QA為權重。計算方法為:
威脅的風險值(RT)=威脅的影響值(I)×威脅發生的可能性(P);
2.5 風險處理
通過前面的過程,我們得到資產的綜合風險值,根據組織的實際情況,和管理層溝通后劃定臨界值來確定被評估的風險結果是可接收還是不可接收的。
對于不可接收的風險按風險數值排序或通過區間劃分的方法將風險劃分為不同的優先等級,對于風險級別高的資產應優先分配資源進行保護。
對于不可接收的風險處理方法有四種[3]:
1)風險回避,組織可以選擇放棄某些業務或資產,以規避風險。是以一定的方式中斷風險源,使其不發生或不再發展,從而避免可能產生的潛在損失。例如投標中出現明顯錯誤或漏洞,一旦中標損失巨大,可以選擇放棄中標的原則,可能會損失投標保證金,但可避免更大的損失。
2) 降低風險:實施有效控制,將風險降低到可接收的程度,實際上就是設法減少威脅發生的可能性和帶來的影響,途徑包括:
a.減少威脅:例如降低物的不安全因素和人的不安全因素。
b.減少脆弱性:例如,通過安全教育和意識培訓,強化員工的安全意識等。
c.降低影響:例如災難計劃,把風險造成的損失降到最低。
d.監測意外事件、響應,并恢復:例如應急計劃和預防計劃,及時發現出現的問題。
3)轉移風險:將風險全部或者部分轉移到其他責任方,是建筑行業風險管理中廣泛采用的一項對策,例如,工程保險和合同轉移是風險轉移的主要方式。
4)風險自留: 適用于別無選擇、期望損失不嚴重、損失可準確預測、企業有短期內承受最大潛在損失的能力、機會成本很大、內部服務優良的風險。
選擇風險處理方式,要根據組織運營的具體業務環境與條件來決定,總的原則就是控制措施要與特定的業務要求匹配。最佳實踐是將合適的技術、恰當的風險消減策略,以及管理規范有機結合起來,這樣才能達到較好的效果。
通過風險處理后,并不能絕對消除風險,仍然存在殘余風險:
殘余風險Rr =原有的風險Ro-控制R
目標:殘余風險Rr≤可接收的風險Rt,力求將殘余風險保持在可接受的范圍內,對殘余風險進行有效控制并定期評審。
主要評估兩方面:不可接受風險處理計劃表,主要評價要素為{資產名稱、責任人、威脅、脆弱點、已有控制措施、風險處理方式、優先處理等級、風險處理措施、處理人員、完成日期};殘余風險評估表,主要評價要素為{資產名稱、責任人、威脅、脆弱點、已有控制措施、增加的控制措施、殘余威脅發生可能性、殘余威脅影響程度、殘余風險值}。
2.6 風險評估報告
在風險評估結束后,經過全面分析研究,應提交詳細的《安全風險評估報告》,報告應該包括[4]:
1) 概述,包括評估目的、方法、過程等。
2) 各種評估過程文檔,包括重要資產清單、安全威脅和脆弱性清單、現有控制措施的評估等級,最終的風險評價等級、殘余風險處理等。
3)推薦安全措施建議。
3.結論
目前仍有相當一部分施工現場存在各種安全隱患,安全事故層出不群,不僅給人們帶來劇痛的傷亡和財產損失,還給社會帶來不穩定的因素。風險評估是工程安全領域中的一個重要分支,涉及到計算機科學、管理學、建筑工程安全技術與管理等諸多學科,本文的評估方法綜合運用了定性、定量的手段來確定建設工程中各個安全要素,最終衡量出建設工程的安全狀況與水平,為建立安全管理體系ISMS提供基礎,對建設工程的風險評估具有一定的借鑒意義。
參考文獻:
[1]ISO/IEC 17799:2000 Information Technology-Code of Practice for Information Security Management.
[2]BS7799-2:2002.Information Security Management-Specification for Information Security Management Systems.
