網絡信息安全等級保護精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網絡信息安全等級保護主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:網絡信息安全等級保護范文
信息安全等級保護制度是我國信息安全保障工作的基本制度。本文從信息安全等級保護的概念入手,結合金融行業的實際情況闡述了信息安全等級保護實施的必要性。
【關鍵詞】信息安全 等級保護 建設
隨著全球信息化程度的不斷提高,人類生活對信息網絡的依賴程度不斷提高,信息網絡科技已經逐步滲透到人們生活的方方面面,對國家安全、社會秩序和公眾權益的影響日益突出,各國在信息安全方面的重視程度也日趨提高。我國為了保障國家安全,維護社會秩序和公眾利益不受侵害,在2007年制定了信息安全等級保護制度。實施信息安全等級保護工作不僅是提升信息化安全防護水平的重要手段,更是落實國家信息安全保障要求的重要內容。
1 信息安全等級保護綜述
“信息安全等級保護”是國家制定的信息安全管理規范和技術標準,是保障和促進信息化建設健康發展的一項基本制度。具體地說,就是對基礎信息網絡和重要信息系統按其重要程度及實際安全需求,分等級進行保護,按標準進行建設,按要求進行管理和監督,確保信息系統安全正常運行,提高信息系統安全綜合防護能力,維護國家安全、社會穩定和公共利益。
2 信息安全等級保護的現狀
2.1 各主要行業信息安全等級保護工作開展程度不一
電力、電信、鐵路、稅務等一些重要行業等級保護工作進展較快,在進行信息安全等級保護工作中結合各行業特點和行業的特殊安全需求制定了行業的等級保護規范或細則。相對而言,銀行、交通、文化等行業目前等級保護工作進展緩慢。中國電力財務有限公司(以下簡稱“公司”)作為電力行業直屬的非銀行金融機構,按照國家電網公司要求很早已經開展相關工作,但由于公司業務與機構設置對于電力行業主業有很大區別,在信息安全等級保護的建設上只涉及公司總部,對于各分支機構的相關工作并未開展。直到2012年7月中國人民銀行正式了《金融行業信息系統信息安全等級保護實施指引》、《金融行業信息系統信息安全等級保護測評指南》、《金融行業信息安全等級保護測評服務安全指引》三個文件,對金融行業信息系統信息安全等級保護建設提出了具體要求,為等級保護實施、測評、整改工作提供了強大的政策支持,并明確了區域性金融機構信息系統安全等級保護工作的具體要求。金融行業等級保護標準依據國家要求和行業特點,細化、補充了大量內容,保留國家等級保護基本要求二級要求、三級要求、四級要求項590項,補充細化要求項193項,新增金融行業特色要求項269項。
2.2 金融機構對信息安全等級保護的認識不足
由于對信息安全的理解不夠,在對于信息安全的資金投入,往往用于購買硬件安全設備,認為有了這些看得見摸得著的安全產品就可以確保安全了。但是根據人民銀行頒布的《金融行業信息系統信息安全等級保護實施指引》中以國家等級保護要求為原則,以金融行業特點為基礎,提出了構建“兩項要求”和“兩個體系”的金融行業信息安全保障總體框架。
該框架通過技術要求與管理要求的交融以及技術體系與管理體系的互補,從安全保障要求和安全保障方法兩方面體現技術與管理并重的基本思想。也就是說必須是管理制度體系和技術防護體系互相融合,僅僅靠技術防護體系是無法構建完善的安全保障體系。同時,管理體系是遵照“建立、實施、執行、監控、審計、保持、改進”的過程進行類似生命周期的思路形成生命環的管理方法,而公司在這方面的認知還有待提高。與此同時金融行業從業人員以為財務及管理人員為主,而具有計算機、信息安全等級保護知識的人非常少,加強信息化人才與金融人才相結合的復合型人才培養,是推進金融行業信息化建設和信息安全等級保護工作的重點。
2.3 缺少信息安全等級保護相關知識經驗
目前信息安全等級保護工作采用自主定級的方法,缺乏精確參考的標準和考量值。如果負責信息安全工作的人員對等級保護的概念不明晰,對等級保護的適用范圍把握不準確,就會導致對信息系統的定級備案不合適,同時對于信息系統的升級或者調整導致需要重新定級備案的,如未能及時將信息上報備案,也將影響信息安全等級保護后續工作的順利開展。如果信息安全定級過高,大于本單位要需要的等級,也將導致本單位資源浪費,降低系統運行效率,增加日常管理負擔;如定級過低,將導致系統得不到必要安全保護,也容易引發系統安全問題。
3 開展信息安全等級保護的必要性
開展信息安全等級保護工作是保護信息化發展、維護國家信息安全的根本保障。實行信息安全等級保護是在借鑒國外先進經驗和結合我國國情的基礎上,解決我國信息網絡安全的必然選擇。
3.1 落實國家政策標準和要求
對信息系統實行等級保護是國家法定制度和基本國策,是開展信息安全工作的有效辦法,是信息安全工作的發展方向。我國政府對基礎架構的安全一直非常重視,在“十二五規劃”中首次將“加強網絡與信息安全保障”作為重要章節突出,這充分顯示了國家對信息安全的重視程度。國家態度明確了,信息安全等級保護制度作為國家信息安全保障領域的一項基本制度,必須在各單位得到有效貫徹落實。
3.2 有效降低信息化建設成本
等級保護測評的核心思想就是按照信息系統的重要程度及實際安全需求,合理投入,分級進行保護,將有限的資源最大化的投入到重要信息系統的建設中,更加有效的保障重要信息系統安全可靠運行,促進信息化建設健康發展。按照定級標準對信息系統進行符合性測評,根據測評結果,有針對性的在建設整改時,對造成信息系統高風險的漏洞和問題進行建設整改,能有效的控制信息化建設成本,既促進了信息化建設的健康發展,也保證了系統的可靠運行。
3.3 切實提高信息安全整體水平
信息系統安全等級保護作為對信息安全系統分級分類保護的一項國家標準,對于完善信息安全標準體系,提高信息安全的整體水平,以及增強信息系統安全保護的整體性、針對性和時效性都具有非常重要的意義。在信息化建設過程中同步建設信息安全設施,可以有效保障信息安全與信息化建設相協調;通過加強對重要信息系統的安全保護和管理監督,可以明確信息系統的安全責任,強化管理職能,有效落實各項安全建設和安全管理措施,最終切實提高信息安全整體防護能力。
作者簡介
朱勇(1978-),男,陜西省西安市人。現為中國電力財務有限公司西北分公司信息化工作部經理助理。
第2篇:網絡信息安全等級保護范文
關鍵詞:等級保護 信息系統 安全策略
中圖分類號:TP391.41 文獻標識碼:A 文章編號:1007-9416(2015)12-0000-00
隨著我國信息化建設的高速發展,信息技術水平的日益提高,眾多單位、組織都建立了自己的信息系統,以充分利用各類網絡信息資源。與此同時,各種非法入侵和盜竊、計算機病毒、拒絕服務攻擊、機密數據被篡改和竊取、網絡癱瘓等安全問題也時刻威脅著我國網絡的安全。因此,維護網絡信息安全的任務異常艱巨、繁重。信息安全等級保護制度的建立,可以有效地解決我國網絡信息安全面臨的威脅及存在的問題。
隨著信息安全等級保護工作的深入開展,不同等級信息系統之間的互聯、互通、互操作是當前研究的熱點和難點,其中,如何制定有效的安全策略,確保信息在多級互聯信息系統間安全流通,是亟待解決的關鍵問題。
1信息安全等級保護
信息安全等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置。
等級保護環境下的信息系統一般由安全計算環境、安全區域邊界、安全通信網絡和安全管理中心構成。其中,安全計算環境是對信息系統的信息進行存儲、處理的相關部件;安全區域邊界是對信息系統的各個區域之間實現連接并實施訪問控制的相關部件;安全通信網絡是保障信息在系統內安全傳輸及安全策略實施的相關部件;安全管理中心是對信息系統的安全策略及安全計算環境、安全區域邊界和安全通信網絡上的安全機制實施統一管理的平臺。
2多級互聯信息系統
我國信息安全等級保護標準將信息系統按照安全保護能力劃分為五個安全等級,一些重要、大型的信息系統中可能存在多個不同等級的子系統,不同等級信息系統之間要實現可信互聯,由于信任體系和運行模式不盡相同,互聯互通會導致安全風險的進一步增加,尤其是低等級信息系統可能通過惡意授權給高等級信息系統帶來權限失控風險。
因此,需要建立一個總體的安全管理中心,將不同安全等級的子系統連接在一起,通過協同合作,實現特定的功能服務,這就是多級互聯信息系統。在多級互聯信息系統中,各個子系統和互聯系統本身,都需要實施信息分級分類保護,從而確保系統間的交互協作及信息流動,保障系統的安全。
本文將在信息安全等級保護的要求下,研究多級互聯信息系統安全策略的制定,從而較好地解決多級互聯系統的安全風險問題,確保系統安全。
3多級互聯信息系統安全策略的制定
安全策略是為規范網絡安全防護工作,保證網絡正常使用、發揮網絡效能所必須強制執行的一系列要求、規范或操作。其主要作用是針對被保護對象面臨的主要威脅,圍繞安全防護目標,提出網絡安全防護具體要求,指導安全管理行動。確定并實施網絡安全策略是對網絡進行有效安全管理的基礎和依據,是網絡信息系統安全保障的核心和起點,是實現網絡安全管理和技術措施的前提。因此,為了確保多級互聯信息系統安全有效地運行,制定明確和合理的安全策略就成為了關鍵。
3.1指導思想
根據不同應用類別和安全等級防護目標的需求,給出安全防護策略的框架,研究制定各類網絡相應的安全防護策略,并保證制定的安全策略具有較高的規范性、完備性和有效性。安全策略的制定與實施應當遵循“局部策略符合全局策略、下級策略符合上級策略”的原則。同時,隨著信息技術的發展以及系統的升級、調整,安全策略也應該隨之進行重新評估和制定,隨時保持策略與安全目標的一致性,確保信息系統安全有效地運行。
3.2基本原則
基于以上思想,制定多級互聯信息系統安全策略時應遵循以下原則:
(1)統一領導,分級負責。針對系統、數據、用戶等保護對象,按照同類、同級集中的原則進行等級保護級別的劃分,確定安全保護等級對應的適用范圍及具體組織實施單位。(2)廣域監察,局域管控。依托總體安全管理中心,建立多級互聯系統廣域安全監察機制,監督、檢查各安全域網絡節點和用戶網絡安全策略的配置執行情況,監測重要骨干網絡流量,預警網絡攻擊和入侵行為,形成網絡安全實時態勢;在各安全域網絡節點和用戶網絡建立局域安全管控機制,依托各級安全管理中心,對網絡節點和用戶網絡的安全設備、主機系統的安全策略和安全事件進行集中統一管理,實現網內各類資源的可控可管,提高系統整體防護能力和維護管理效率。(3)分區分域,適度防護。根據等級保護的思想,在劃分的安全域中,一方面要遵循等級保護要求,加強主動防范措施;另一方面要針對各安全域業務特點的保護強度,在不影響系統整體安全性的前提下,進一步對各域的安全策略進行設置,并確保這些策略的相對性、獨立性及關聯性。(4)區域自治,聯防聯動:各安全域根據總體安全管理中心下發的安全策略,結合自身特定的安全需求,實施本區域內的安全防護和管理。依托總體安全管理中心,建立廣域網上下一體的預警響應和聯防聯動機制;依托各級安全管理中心,建立局域網內各安全設備之間的檢測響應和聯防聯動機制;并在各級安全管理中心、重要骨干節點、用戶網絡之間建立安全事件響應和應急協調機制。
第3篇:網絡信息安全等級保護范文
關鍵詞:信息安全;等級保護;定級制度
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2017)03-0045-02
信息安全等級保護制度的建設,是隨著經濟建設和信息化建設的全面展開而進行的。對國家重要的信息系統等進行定級保護,可以提高信息系統的工作效率,在大數據、云計算的技術支持下,實現全系統的信息安全。為此國家多部門早已出臺多項關于信息安全的制度和規定,明確說明國家信息安全保障工作的基本制度之一就是信息安全等級保護制度。其工作流程包含定級、對級別的建設和整改、測評建設整改工作、向主管公安部門備案;監管信息系統。其中首要階段的定級工作,是作為等級保護的起始,為后面四個階段的工作奠定基礎。
1 信息系統安全等級保護政策概述
我國在信息技術的浪潮退推動下,各行各業都在面臨信息化、智能化的轉型升級帶來的沖擊和挑戰。需要建設的信息化項目不斷增多,很多領域的業務都要采用網絡信息系統作為載體,因此,信息系統的數量和結構都在增加和復雜化,對信息進行等級保護就被提上了日程。
2008年,我國首部信息安全等級保護管理辦法由公安部下發,信息系統有了等級的劃分,并且對信息系統的保護也有了明確的管理規定。2008年,信息系統安全等級保護定級上升到了國家級別的標準,擁有了定級指南,對于信息系統安全等級定級工作來說,意味著擁有了定級的方法和準則。2009年,關于整改信息安全等級保護工作的指導意見證實下發,要求對信息安全等級保護的整改要按照測評工作的標準展開。這是第一次對信息安全等級保護測評體系的建設進行的規定。
2 信息系統的安全定級
在信息安全技術等級定級指南中,對于信息技術的重要性以及遭到破壞的危害性進行了詳細的闡述,從公共安全、社會利益、公民權益等幾個方面,將信息系統的安全等級劃分為五個等級:
第一級為當信息安全被侵犯,國家利益、公共安全等合法權益就會被損壞,但是國家安全、社會利益和公共秩序不會受到損害。
第二級為當信息安全被侵犯,公民的合法權益就會被侵害,但是國家安全不會受到破壞。
第三級為當信息系統受到侵犯后,社會秩序和公共利益被損壞,進而產生對國家安全的損害。
第四級是信息系統受到破壞,社會秩序、公共利益、國家安全都會受到特別嚴重的損傷。
第五級是信息系統受到侵犯,國家安全被特別嚴重地損壞。
3 當前信息系統安全定級中存在的問題
1)定級對象不明確是信息系統安全定級中的常見問題。當信息系統在相同的網絡環境中被按照獨立的系統進行定級時,多個定級對象會重復出現環境和設備。以機房的EPR系統和OA系統以及配套為例,系統中如果使用到網絡資源,就有可能產生相同的定級對象同時出現不同的網絡設備的情況。
2)根據安全信息國家定級指南中對安全保護等級的定級要求。當受侵害客體為國家、社會、公民安全以及組織法人的合法權益時,客體的侵害程度可以分為一般、嚴重、特別嚴重。這種分類是比較抽象的。需要進行具體的描述,但是從目前的發函情況看,對于危害程度的描述還是過于傾向于主觀判斷,因此對客觀情況的定級準確率不足,依據不足。
3)現有的定級報告皆是從模板中引用格式,參考定價指南,提供定級流程,引導結論的驗證。從下表我們可以大概地看到定級要素和安全保護等級的關系:
表1
[受侵害的客體\&一般損害\&嚴重損害\&特別嚴重的損害\&公民、法人和組織的合法權益\&第一級\&第二級\&第二級\&社會利益、公共秩序\&第二級\&第三級\&第四級\&國家安全\&第三級\&第四級\&第五級\&]
對于基礎數據的描述雖然也能顯示出關于信息安全系統定級的重要意義,但是從系統的客觀問題以及隨時可能出現威脅和侵害的現象角度觀察,很多關于信息安全等級定級的新方法還不能保證定級結果的準確性,很多定級報告不完善,缺乏依據,主觀判斷成分多,無法將信息安全系統的真實情況反映給決策層,對于工作的開展沒有好處。
4 等級保護流程
等級保護的工作是循環的、動態發展的。將等級保護工作視為循環性強的工作對于工作流程加以分析,最終得到的是等級保護工作的流程圖:
定級階段:系統劃分、等級確定;填寫表格;
初步備案階段:上報材料、專家評審,不符合安全等級規定的重新定級,最終進入初備案。
測評階段:選定機構、測評、出具報告;
整改階段:制訂方案、專家論證、提出整改措施并實施;
復評階段:對定級方案進行復評,得到最終的備案;
根據等級保護制度接受監管的階段。
需要說明的是,等級保護工作的初始階段:定級工作可以采用自行定級的方法,也可以委托第三方機構進行監管和測評。定級工作是所有階段工作的基礎。初備案階段有一個重新定級的環節,主要是如果出現不公平、不公正或者定級不合格的情況,要對信息系統的等級評定工作進行復評選,并達到等級保護的要求,才能進行最終的備案。
5 信息安全定級方法
1)定流程是參照定級指南進行的,包括了業務信息和系統服務等內容。首先是確定定級對象,然后確定業務信息安全受到破壞和侵害的客體,以及系統服務安全受到破壞和侵害的客體。兩方面都要進行客體的侵害程度的評定,前者得出業務信息安全等級,后者得出系統服務安全等級,最后形成了定級對象的安全保護等級。
定級對象的選取根據定級指南的規定,具有一些特征,首先是擁有安全責任單位,第二是信息系統要素,第三是承載單一和獨立的業務。在定級對象的業務應用上應該擁有共享的機房基礎環境和網絡設備等,這樣就不會產生重復出現的定級對象。而且將物理環境、網絡資源等納入到信息系統中,形成具有單獨優先定級權限的定級對象[1]。
對于受侵害的客體的損害程度的評分,要對危害后果等進行權重分析。參照的依據包括國家安全、社會利益、公眾秩序、公民法人和組織的權益。客體的侵害程度在定x和解釋上是簡單而抽象的,要對危害程度進行具體的描述,就要規避主觀判斷、依據不足的問題。對客體的侵害程度進行確定,是需要參考很多元素的,要得到一個準確的定量,可以采用評分表的方法對危害后果予以打分。
表2
[危害后果\&得分\&權重\&影響工作職能形式\&\&\&降低業務能力\&\&\&引起糾紛需要法律介入\&\&\&財產損失\&\&\&社會不良影響\&\&\&損害到組織和個人\&\&\&其他影響\&\&\&]
根據對表格中的打分得到的數值和權重的分析,可以得出定級對象被破壞后可能產生的危害以及后果。不存在危害的數值為0,有危害程度較輕的數值為1,有危害程度較高的為2,后果嚴重的為3。不同的信息系統在服務內容、范圍、對象上都不同,因此不同的得分和權重最能反映信息安全系統的實際情況。
確定安全保護等級是在所有流程結束后,得到的結論。這個結論包括客體對等級對象的侵害造成的危害,信息安全的保密性、可用性的情況,系統服務安全的及時性、有效性的問題等等。當業務信息安全和服務系統的客體侵害程度不同時,就要在定級過程中處理不同的危害后果。
2)定級表格的細化是為定級報告模板提供基礎數據,并保證信息安全系統穩定可靠的重要保障。當系統內部問題導致其難以支撐定級結果后,采用系統定級的方法,就能夠將信息系統的情況記載道定級表中。定級表包括了定級系統的用戶情況以及定級系統的業務職能等情況,例如在行業和部門內的地位和作用。定級系統需要有備份系統作為應急措施,保證定級系統在關聯系統受到破壞后不會受到數據傳遞等的影響。
6 案例分析
按照等級保護工作測評和定級的規定,確定信息系統的等級。某政府網站信息系統包括的板塊為:政務公開、地方行政、法制建設、管理措施、領導講話、網上辦事大廳、新聞動態、政府公告、舉報建議等,還專門開辟了一個下載板塊,方便下載有用的電子表單加以填報。
在這個政府網站的信息系統中,制訂了符合信息安全等級保護定級指南的流程和標準,通過分析,判斷,研究等流程確定定級的系統。該網站的擁有者設立的專門的政府網站平臺,由指定部門確定相關資料的搜集、采集、整理的過程方案。在這套流程中,信息生產者為企業,產生的資料是信息,管理信息的手段是利用科學技術,對外承擔政務信息,擁有獨立的業務,如辦事流程、新聞會等。將各類任務的環境加以構建,就形成了政府網站中具有基本特征和要素的定級對象。對定級客體的邀請,要采取分析的方法,確保信息系統內的保密性和可用性。實際操作中只要能夠保證信息的完整性和通用性,又增強了制作、、管理的職能建設,激發出參與者的完整性和保密性。提高可用概率。而系統服務安全有力地支撐著系統安全運行,并為信息安全系統提供有效的服務,達到地方網站發揮在定級中的作用,幫助提供服務,滿足消費者的需求。采用了這種方法,網站信息系統的業務信息安全和系統服務安全都將是今后在企業運用中需要特別加以注意的。
例如:對于受侵害的客體,必須說明客體的情況,是否受到法律保護,等級保護中牽扯到的社會關系和合法權益。尤其是針對信息系統的客體的先后順序進行判斷,結合政府平臺,實施政務信息公開。如果做不到政務信息公開,政府就要設置管理界限,發揮人的主觀能動性,在知情權、業務能力、投訴與批評等階段加大業務辦理力度,最大可能地維護法人和代表組織的知情權,排棄受到破壞的客體,法人由于難以摻入個人組織中,直接投訴合法的法律法規,由于業務施工的進度過快,環節紛繁眾多[2]。再由于受損教育可以對客體的積極主動性。方便法人和組織知情、辦理業務、舉報、投訴等。
對于客體造成的侵害進行后果的分析,無論是大型門戶網站,還是在金融政策引領下,親自感受到客體檢查結果的影響,如信息安全管理等,都要注重網絡平臺的臨時性。
7 結束語
要做好信息系統的安全保護等級的確定,就要采取正確的 (下轉第51頁)
(上接第46頁)
策略以及方法,對信息安全管控產生依賴,保護過程中采取正確的策略和方法,等等。信息系統、安全等級保護不足的問題,都要求管理覺決策層加熬煮。在實際運行中,還要以定級指南為指導,綜合信息系統的業務特征,切實推動信息技術等級保護工作的大力發展。
參考文獻:
第4篇:網絡信息安全等級保護范文
1.1國家衛生部文件
文件明確規定了信息安全等級保護工作的工作目標、工作原則、工作機制、工作任務、工作要求,工作任務別強調了“三級甲等醫院的核心業務信息系統”應進行定級備案。
1.2浙江省衛生廳文件
為加強醫療衛生行業信息安全管理,提高信息安全意識,以信息安全等級保護標準促進全行業的信息安全工作,提高全省衛生系統信息安全保護與信息安全技術水平,強化信息安全的重要性。2011年6月7日,浙江省衛生廳和浙江省公安廳聯合下發《關于做好全省醫療衛生行業重要信息系統信息安全等級保護工作的通知》(浙衛發〔2011〕131號),并一同下發了《浙江省醫療衛生行業信息安全等級保護工作實施方案》和《浙江省衛生行業信息系統安全等級保護定級工作指導意見》。為進一步指導我省衛生行業單位開展信息安全等級保持工作,浙江省衛生信息中心于2012年4月6日下發了《關于印發<浙江省衛生行業信息安全等級保護工作指導意見細則>的函》。上述文件詳細規定了工作目標、工作流程和工作進度,并明確了醫療衛生單位重要信息系統的劃分和定級,具有很強的指導性和操作性。
2醫院信息安全等級保護
依據上述行業文件要求,全省醫院重要信息系統信息安全等級保護工作由省衛生廳和各級衛生局、公安局分級負責,按照系統定級、系統備案、等級測評、安全整改[1]四個工作步驟實施。
2.1系統定級
2.1.1確定對象
我省醫院信息化發展較早,各類系統比較完善,但數量繁多。將出現多達幾十甚至上百個定級對象的狀況,這與要求重點保護、控制建設成本、優化資源配置[2]的原則相違背,不利于醫院重要信息系統開展信息安全等級保護工作。依據《計算機信息系統安全保護等級劃分準則(GB17859-1999)》等標準,結合我省醫院信息化現狀及發展需要,經衛生信息化專家和信息安全專家多次論證,本著突出重點、按類歸并、相對獨立、節約費用的原則,從系統管理、業務使用者、系統服務對象和運行環境等多方面綜合考慮,把醫院信息系統劃分為以下幾類,如表1所示。
2.1.2等級評定
醫院重要信息系統的信息安全和系統服務應用被破壞時,產生的危害主要涉及公民的個人隱私、就醫權利及合法權益,對社會秩序和公共利益的損害屬于“損害”或“嚴重損害”程度。參考《信息安全等級保護管理辦法》及省衛生信息中心指導意見細則要求[3],即屬于“第二級”或“第三級”范疇。因此醫院信息系統對信息安全防護和服務能力保護的要求較高,結合業務服務及系統應用范疇,實行保護重點、以點帶面原則,參考定級如表2所示。
2.2系統定級備案
省衛生廳及省級醫療衛生單位信息系統、全省統一聯網或跨市聯網運行的信息系統由省公安廳受理備案;各市衛生局及其下屬單位、轄區內醫院信息系統由屬地公安機關受理備案。各市衛生局應將轄區內醫療衛生單位備案匯總情況和《信息系統安全等級保護備案表》等材料以電子文件形式向省衛生廳報備。定級備案流程示意圖如圖1所示。
2.3等級保護測評
醫院重要信息系統完成定級備案后,應依據《浙江省信息安全等級保護工作協調小組關于公布信息安全等級報測評機構的通知》(浙等保〔2010〕9號)選擇浙江省信息安全等級保護工作協調小組辦公室推薦的等級測評機構,啟動等級測評工作,結合所屬等級要求對系統進行逐項測評。通過對醫院系統進行查驗、訪談、現場測試等方式收集相關信息,詳細了解信息安全保護現狀,分析所收集的資料和數據,查找發現醫院重要信息系統漏洞和安全隱患,針對測評報告結果進行分析反饋、溝通協商,明確等級保護整改工作目標、整改流程及注意事項,共同制定等級保護整改建議方案用于指導后續整改工作。對第二級以上的信息系統要定期開展等級測評。信息系統測評后,醫院應及時將測評機構出具的《信息系統等級測評報告》向所屬地公安機關報備。
2.4等級保護規劃建設整改
根據《信息系統安全等級保護實施指南》及省實施方案,結合醫院信息系統的安全需求分析,判斷安全保護現狀,設計合理的、滿足等級保護要求的總體安全方案,并制定出安全實施規劃[4]等,用以指導信息系統安全建設工程實施。引進第三方安全技術服務商,協助完成系統安全規劃、建設及整改工作。建設,整改實施過程中按照詳細設計方案,設置安全產品采購、安全控制開發與集成、機構和人員配置、安全管理制度建設、人員安全技能培訓等環節[5],將規劃設計階段的安全方針和策略,切實落實到醫院系統的信息安全規劃、建設、評估、運行和維護等各個環節。其核心是根據系統的實際信息安全需求、業務特點及應用重點,并結合醫院自身信息安全建設的實際需求,建設一套全面保護、重點突出、持續運行的安全保障體系,確保醫院系統的信息安全。等級保護工程及管理體系建設整改流程如圖2所示。
3醫院重要信息系統安全等級保護成效
各級醫院按照國家有關信息安全等級保護政策、標準,結合衛生行業政策和要求,全面落實信息系統信息安全等級保護工作,保障信息系統安全可靠運行,提高安全管理運維水平。
3.1明確系統安全保護目標
通過推行各級醫院信息安全等級保護工作,梳理衛生信息系統資產、網絡邊界、網絡安全設備部署及運行狀況。根據系統風險評估、危害的覆蓋范圍及影響性判定安全等級,從而根據標準全面、系統、深入地掌握系統潛在的風險隱患,安全漏洞。明確需要重點保護的應用系統及信息資產,提出行之有效的保護措施,有針對性地提高保護等級,實現重點目標重點保護。
3.2建立安全管理保障體系
安全管理保障體系是開展信息安全工作的保障,指導落實各項安全指標要求。信息安全等級保護基本要求中明確要求加強主管及安全責任部門領導,配備信息安全專員督導安全檢查、維護、培訓工作。建立健全信息安全管理保障制度體系,包括機房安全管理制度、人員安全管理制度、運維安全管理規范。建立行之有效的安全應急響應預案及常規化的信息安全培訓及預防演練,形成長期的安全風險管控機制。
3.3加強安全意識和管理能力
通過落實等級保護制度的各項要求,認識安全意識在信息安全工作中的重要性和必要性,調動安全保護的自覺主動性,加大安全保護的資金投入力度,優化安全管理資源及策略,主動提升安全保護能力。同時重視常規化的信息安全管理教育和培訓,強化安全管理員和責任人的安全意識,提高風險分析和安全性評估等能力,信息系統安全整體管理水平將得到提高。
3.4強化安全保護技術實施
醫院開展信息安全等級保護工作可加深分級、分域的縱深防御理念,進一步結合終端安全、身份認證、網絡安全、容災技術,建立統一的安全監控平臺和安全運行中心。根據測評報告及建設整改建議,增強對應用系統的授權訪問,終端計算機的安全控制,網絡流量的異常監控,業務與數據安全保障,惡意軟件和攻擊行為的防御、發現及阻擊等功能,深層次提高抵御外部和內部信息安全威脅的能力。
3.5優化第三方技術服務
與安全技術服務機構建立長期穩定的合作關系,引進并優化第三方技術資源,搭建安全保護技術的學習橋梁與交流平臺。在安全技術與管理方面加固信息安全防護措施,完善信息安全管理制度,同時通過安全技術管理培訓強化醫院工作人員信息安全保護意識,提高信息安全隊伍的技術與管理水平,共同為醫院系統信息化建設的快速發展保駕護航。總之,醫院開展信息安全等級保護工作將有效提高醫院信息化建設的整體水平,有利于醫院信息化建設過程中同步建設信息安全設施,保障信息安全與信息化建設相協調;有利于為信息系統安全建設和管理提供系統性、針對性、可行性的指導和服務;有利于優化信息安全資源的配置,重點保障基礎信息網絡、個人隱私、醫療資源和社會公共衛生等方面的重要信息系統的安全[6]。
4結束語
第5篇:網絡信息安全等級保護范文
兩個發展階段
衛生監督中心信息安全等級保護工作大致經歷了兩個發展階段。
啟動與探索階段(2007年~2008年):2007年12月,原衛生部組織專家組對部直屬機關報送的信息安全等級保護定級情況進行了評審。衛生監督中心的衛生監督信息報告系統和衛生行政許可受理評審系統確定為第三級保護,衛生監督中心網站確定為第二級保護。衛生監督中心在了解了信息安全等級保護制度的同時,啟動了信息安全等級保護相關工作。為摸清信息安全隱患,2008年衛生監督中心聘請了具有信息安全相關資質的信息安全咨詢公司對等保涉及的信息系統進行了信息安全測評,并制定了相應的整改方案。由于2008年信息安全整改資金等原因,未開展相關整改工作。
發展階段(2009年至今):本著統籌考慮、分布實施的原則,在實施國家級衛生監督信息系統建設項目之初就參照等級保護有關要求規劃和設計業務應用系統及其運行環境,同時積極開展等級保護備案等工作。在國家級項目二期中,專項對信息安全進行加固。并每年邀請公安部信息安全等級保護評估中心,對衛生監督中心的第三級保護系統進行了安全等級測評。
截至目前,衛生監督中心共有3個信息安全等級保護第三級的信息系統,4個信息安全等級保護第二級的信息系統。
信息安全技術體系
衛生監督信息系統信息安全技術體系建設,嚴格遵循等級保護第三級的技術要求進行詳細設計、技術選擇、產品選型、產品部署。技術體系從物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復等5個方面進行設計。
1.物理安全
衛生監督中心現有南北兩個機房,機房及相關配套設施面積總計160平方米。北機房部署等級保護第三級信息系統,南機房部署等級保護第二級信息系統,實現了第三級系統與第二級系統物理環境隔離。根據等級保護有關要求,機房均采用了精密空調、門禁系統、環境監測系統等設備設施及技術手段,有效地保證了機房的物理安全。
2.網絡安全
主干網絡鏈路均采用雙鏈路連接,關鍵網絡、安全設備均采用雙機冗余方式,避免單點故障。采用防火墻、入侵防護系統、DDoS系統進行邊界防護,各網絡區域之間采用防火墻進行區域隔離,在對外服務區部署了入侵檢測系統,在交換服務區部署了網絡審計系統。在核心數據區部署了數據庫審計系統,對網絡行為進行監控和記錄。在安全管理區部署安全管理系統,實現設備日志的統一收集及分析。
3.主機安全
所有服務器和管理終端配置了密碼安全策略;禁止用戶遠程管理,管理用戶必須進入機房通過KVM進行本地管理;所有服務器和管理終端進行了補丁更新,刪除了多余賬戶,關閉了不必要的端口和服務;所有服務器和管理終端開啟了安全審計功能;通過對數據庫的安全配置,實現管理用戶和特權用戶的分離,并實現最小授權要求。
4.應用安全
衛生監督中心7個應用系統均完成了定級備案,并按照等級保護要求開展了測評工作。應用服務器采取了集群工作部署,保證了系統的高可用性,同時建立了安全審計功能模塊,記錄登錄日志、業務操作日志、系統操作日志3種日志,并實現查詢和審計統計功能,配置了獨立的審計賬戶。門戶網站也采用了網頁防篡改、DDoS等系統。信息安全等級保護第三級系統管理人員及高權限用戶均使用CA證書登錄相應系統。
5.數據安全及備份恢復
衛生監督信息報告系統數據庫服務器使用了雙機熱備,應用服務器采用多機負載均衡,每天本地備份,保證了業務系統的安全、穩定和可靠運行。其余等級保護第三級信息系統使用了雙機備份,無論是軟件還是硬件問題,都可以及時準確地進行恢復并正常提供服務。同時,衛生監督中心在云南建立了異地數據備份中心,每天進行增量備份,每周對數據進行一次全備份。備份數據在一定時間內進行恢復測試,保證備份的有效性。
信息安全管理體系
在開展信息安全等級保護工作中,我們深刻體會到,信息安全工作“三分靠技術,七分靠管理”。為保證信息安全等級保護工作順利進行,參考ISO/IEC 27001《信息安全管理體系要求》,衛生監督中心建立了符合實際工作情況的信息安全管理制度體系,明確了“統一領導,技管并重;預防為主,責權分明;重點防護,適度安全”的安全方針,涵蓋等級保護管理要求中安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理五大方面的要求。
衛生監督中心建立了較為完善的信息安全責任制,設立了信息安全領導小組,領導小組組長由衛生監督中心主任擔任,成員由衛生監督中心有關處室負責人組成,信息處作為信息安全工作辦公室負責衛生監督中心日常信息安全管理工作。信息處設立了信息安全管理崗位,分別為網絡管理員、系統管理員、應用管理員、安全管理員、安全審計員、機房管理員,并建立了信息安全崗位責任制度。
此外,衛生監督中心依據上年度運維中存在的信息安全隱患每年對其進行修訂,確保信息安全工作落到實處。
信息安全運維體系
在信息安全工作中,建立信息安全管理制度不是目的,要以信息安全等級保護有關要求指導信息安全運維實踐。
衛生監督中心結合實際情況,編制了《國家級衛生監督信息系統運行維護工作規范》,從運行維護流程、資源管理和環境管理三個方面進行了規范,將安全運維理念落到實處。
運維人員在實際工作中,嚴格按照工作規范要求。利用衛生監督中心OA系統,建立了統一的服務臺,實現了事件、問題的全流程閉環管理(即:發現問題、登記問題、解決問題、解決反饋、解決確認)。年均處理信息安全事件近百件,將信息安全問題消滅在萌芽階段,有效地保證了信息系統穩定運行,保證了衛生監督中心信息安全目標和方針的實現。
信息安全等級保護實踐經驗
1.規范管理,細化流程
衛生監督中心從安全管理制度、安全管理組織機構及人員、安全建設管理和安全運維管理等方面建立了較為完善的安全管理體系。通過管理體系的建設,為國家級衛生監督信息系統運維管理工作中安全管理提供了重要指導。
國家級衛生監督信息系統運維工作從安全管理體系的建設中吸取了很多有益經驗,不僅合理調配了運維管理人員,落實了運維管理組織機構和崗位職責,而且細化了運維管理流程,形成了“二級三線”的運維處理機制。
2.循序漸進,持續完善
第6篇:網絡信息安全等級保護范文
關鍵詞: 云計算; 云安全; 信息安全; 等級保護測評; 局限性
中圖分類號:TP309 文獻標志碼:A 文章編號:1006-8228(2016)11-35-03
Discussion on the testing and evaluating of cloud computing security level protection
Liu Xiaoli, Shen Xiaohui
(Zhejiang Provincial Testing Institute of Electronic & Information Products, Hangzhou, Zhejiang 310007, China)
Abstract: Cloud computing has recently attracted extensive attention since Internet has accessed Web 2.0 with more freedom and flexibility. However, the cloud security has become the biggest challenge for cloud promotion. Combined with the problems of the actual testing and evaluation in cloud computing security, the limitations of the application of the current information security level protection evaluation standard to the cloud environment are analyzed, and the contents that cloud security should focus on are proposed.
Key words: cloud computing; cloud security; information security; testing and evaluation of security level protection; limitations
0 引言
近年來,隨著網絡進入更加自由和靈活的Web2.0時代,云計算的概念風起云涌。美國國家標準與技術研究院(NIST)定義云計算是一種按使用量付費的模式,這種模式提供可用的、便捷的、按需的網絡訪問,進入可配置的計算資源共享池(資源包括網絡,服務器,存儲,應用軟件,服務),這些資源能夠被快速提供,只需投入很少的管理工作,或與服務供應商進行很少的交互。云計算因其節約成本、維護方便、配置靈活已經成為各國政府優先推進發展的一項服務。美、英、澳大利亞等國家紛紛出臺了相關發展政策,有計劃地促進政府部門信息系統向云計算平臺遷移。但是也應該看到,政府部門采用云計算服務也給其敏感數據和重要業務的安全帶來了挑戰。美國作為云計算服務應用的倡導者,一方面推出“云優先戰略”,要求大量聯邦政府信息系統遷移到“云端”,另一方面為確保安全,要求為聯邦政府提供的云計算服務必須通過安全審查[1]。我國也先后出臺了一系列云計算服務安全的國家標準,如GB/T 31167-2014《信息安全技術云計算服務安全指南》、GB/T 31168-2014 《信息安全技術 云計算服務安全能力要求》等。本文關注的是云計算安全,包括云計算應用系統安全、云計算應用服務安全、云計算用戶信息安全等[2]。
當前,等級保護測評的依據主要有GB/T 22239-
2008《信息安全技術 信息系統安全等級保護基本要求》、GB/T 28448-2012《信息安全技術 信息系統安全等級保護測評要求》和GB/T 28449-2012《信息安全技術 信息系統安全等級保護測評過程指南》等。然而,這些標準應用于傳統計算模式下的信息系統安全測評具有普適性,對于采用云計算服務模式下的信息系統卻有一定的局限性。
本文結合實際云計算服務安全測評中的問題,首先討論現行信息安全等級保護測評標準應用到云環境的一些局限性,其次對于云計算安全特別需要關注的測評項進行分析。
1 云計算安全
正如一件新鮮事物在帶給我們好處的同時,也會帶來問題一樣,云計算的推廣也遇到了諸多困難,其中安全問題已成為阻礙云計算推廣的最大障礙。
云計算安全面臨著七大風險,主要包括客戶對數據和業務系統的控制能力減弱、客戶與云服務商之間的責任難以界定、可能產生司法管轄權問題、數據所有權保障面臨風險、數據保護更加困難、數據殘留和容易產生對云服務商的過度依賴等。文獻[3]提出了云計算安全測評框架,與傳統信息系統安全測評相比,云計算安全測評應重點關注虛擬化安全、數據安全和應用安全等層面。
虛擬化作為云計算最重要的技術,其安全性直接關系到云環境的安全。虛擬化安全涉及虛擬化軟件安全和虛擬化服務器安全,其中虛擬化服務器安全包括虛擬化服務器隔離、虛擬化服務器監控、虛擬化服務器遷移等。云計算的虛擬化安全問題主要集中在VM Hopping(一臺虛擬機可能監控另一臺虛擬機甚至會接入到宿主機)、VM Escape(VM Escape攻擊獲得Hypervisor的訪問權限,從而對其他虛擬機進行攻擊)/遠程管理缺陷(Hypervisor通常由管理平臺來為管理員管理虛擬機,而這些控制臺可能會引起一些新的缺陷)、遷移攻擊(可以將虛擬機從一臺主機移動到另一臺,也可以通過網絡或USB復制虛擬機)等[4]。
數據實際存儲位置往往不受客戶控制,且數據存放在云平臺上,數據的所有權難以界定,多租戶共享計算資源,可能導致客戶數據被授權訪問、篡改等。另外當客戶退出云服務時,客戶數據是否被完全刪除等是云計算模式下數據安全面臨的主要問題。
在云計算中對于應用安全,特別需要注意的是Web應用的安全。云計算應用安全主要包括云用戶身份管理、云訪問控制、云安全審計、云安全加密、抗抵賴、軟件代碼安全等[3]。
2 云計算下等級保護測評的局限性
信息系統安全等級保護是國家信息安全保障工作的基本制度、基本策略、基本方法。開展信息系統安全等級保護工作不僅是加強國家信息安全保障工作的重要內容,也是一項事關國家安全、社會穩定的政治任務。信息系統安全等級保護測評工作是指測評機構依據國家信息安全等級保護制度規定,按照有關管理規范和技術標準,對未涉及國家秘密的信息系統安全等級保護狀況進行檢測評估的活動。與之對應的是涉及國家秘密的信息系統安全測評,就是通常所說的分級保護測評。
信息系統安全等級保護的基本要求包括技術要求和管理要求兩大類。其中技術要求包括物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復等五個層面;管理要求包括安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理等五個層面。
傳統的安全已不足以保護現代云計算工作負載。換言之,將現行的等級保護相關標準生搬硬套到云計算模式存在局限性,具體體現在以下方面。
⑴ 物理安全
傳統模式的信息系統數據中心或者在本單位,或者托管在第三方機構,用戶可以掌握自身數據和副本存儲在設備和數據中心的具置。然而,由于云服務商的數據中心可能分布在不同的地區,甚至不同的國家,GB/T 31167-2014明確了存儲、處理客戶數據的數據中心和云計算基礎設施不得設在境外。
⑵ 網絡安全
網絡安全主要包括結構安全、邊界防護、訪問控制、入侵防范、惡意代碼防范、安全審計、網絡設備防護等測評項。網絡邊界是網絡信息安全的第一道防線,因此在網絡邊界采取安全防護措施就顯得尤為重要。但在云計算模式下,多個系統同時運行在同一個物理機上,突破了傳統的網絡邊界。由此可見,網絡邊界的界定、安全域的劃分成為了云計算模式下網絡邊界安全面臨的新挑戰[5]。
⑶ 主機安全
主機安全主要包括身份鑒別、訪問控制、安全審計等測評項。但在云計算模式下,虛擬化技術能夠實現在一臺物理機上運行多臺虛擬機。盡管虛擬機之間具有良好的隔離性,但在云計算平臺,尤其是私有云和社區云中,虛擬機之間通常需要進行交互和通信,正是這種交互為攻擊和惡意軟件的傳播提供了可能。因此,虛擬機之間的安全隔離、用戶權限劃分、數據殘留、跨虛擬機的非授權訪問是云計算環境下虛擬機安全需要重點關注的內容。
⑷ 應用安全
應用系統作為承載數據的主要載體,其安全性直接關系到信息系統的整體安全,因此對整個系統的安全保密性至關重要。然而,當前絕大多數單位的應用系統在設計開發過程中,僅僅考慮到應用需求、系統的性能及技術路線的選擇等問題,缺少了應用系統自身的安全性。客戶的應用托管在云計算平臺,面臨著安全與隱私雙重風險,主要包括多租戶環境下來自云計算服務商和其他用戶的未授權訪問、隱私保護、內容安全管理、用戶認證和身份管理問題[6]。
⑸ 數據安全及備份恢復
在云計算模式下,客戶的數據和業務遷移至云服務商的云平臺中,數據的處理、存儲均在“云端”完成,用戶一端只具有較少的計算處理能力,數據的安全性依賴于云平臺的安全。如何確保數據遠程傳輸安全、數據集中存儲安全以及多租戶之間的數據隔離是云計算環境下迫切需要解決的問題。
3 云安全之等級保護測評
參照等級保護測評的要求,結合上述分析,云安全之等級保護測評應重點關注以下方面。
⑴ 數據中心物理與環境安全:用于業務運行和數據處理及存儲的物理設備是否位于中國境內,從而避免產生司法管轄權的問題。
⑵ 虛擬網絡安全邊界訪問控制:是否在虛擬網絡邊界部署訪問控制設備,設置有效的訪問控制規則,從而控制虛機間的互訪。
⑶ 遠程訪問監控:是否能實時監視云服務遠程連接,并在發現未授權訪問時,及時采取恰當的防護措施。
⑷ 網絡邊界安全:是否采取了網絡邊界安全防護措施,如在整個云計算網絡的邊界部署安全防護設備等。
⑸ 虛擬機安全:虛擬機之間的是否安全隔離,當租戶退出云服務時是否有數據殘留,是否存在跨虛擬機的非授權訪問等。
⑹ 接口安全:是否采取有效措施確保云計算服務對外接口的安全性。
⑺ 數據安全:多租戶間的數據是否安全隔離,遠程傳輸時是否有措施確保數據的完整性和保密性,租戶業務或數據進行遷移時是否具有可移植性和互操作性。
4 結束語
云計算因其高效化、集約化和節約化的特點,受到越來越多黨政機關、企事業單位的青睞,與此同時云計算帶來的風險也是不容忽視的。本文結合云計算的特點分析了云計算模式下現行等級保護測評標準的一些局限性,并提出了云計算下等級保護測評需要特別關注的測評項,對云服務商、租戶和測評機構提供借鑒。值得注意的是,租戶在進行云遷移之前,首先應確定自身遷移業務的等級,其次是租用的云計算平臺等級不能低于業務系統的等級。
參考文獻(References):
[1] 尹麗波.美國云計算服務安全審查值得借鑒.中國日報網.
[2] 陳軍,薄明霞,王渭清.云安全研究進展及技術解決方案發展
趨勢[J].技術廣角,2011:50-54
[3] 潘小明,張向陽,沈錫鏞,嚴丹.云計算信息安全測評框架研究[J].
計算機時代,2013.10:22-25
[4] 房晶,吳昊,白松林.云計算的虛擬化安全問題[J].電信科學,
2012.28(4):135-140
[5] 陳文捷,蔡立志.云環境中網絡邊界安全的等級保護研究[C].
第二屆全國信息安全等級保護技術大會會議論文集,2013.
第7篇:網絡信息安全等級保護范文
關鍵詞:信息安全;信息安全等級
中圖分類號:TP393.08文獻標識碼:A文章編號:16727800(2011)012014502
作者簡介:張新豪(1982-),男,河南鄭州人,黃河科技學院現代教育中心助教,研究方向為計算機應用;郭喜建(1978-),男,河南鄭州人,黃河科技學院現代教育中心助教,研究方向為計算機應用;宋朝(1983-),男,河南鄭州人,黃河科技學院現代教育技術中心職員,研究方向為信息服務質量管理。1網絡信息安全
信息安全是指信息網絡的硬件、軟件及其系統中數據受到保護,不因偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續、可靠、正常地運行,信息服務不中斷。信息安全是一門設計計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。從廣義上說,設計信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是信息安全的研究領域。
信息安全要實現的目標主要有:①真實性:對信息的來源進行判斷,能對偽造來源的信息予以鑒別;②保密性:保證機密信息不被竊聽,或竊聽者不能了解信息的真實含義;③完整性:保證數據的一致性,防止數據被非法用戶篡改;④可用性:保證合法用戶對信息和資源的使用不會被不正當的拒絕;⑤不可抵賴性:建立有效的責任機制,防止用戶否認其行為;⑥可控制性:對信息的傳播及內容具有控制能力;⑦可審查性:對出現的網絡安全故障為您能夠提供調查的依據和手段。
2網絡信息安全性等級
2.1信息安全等級保護
信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置。
信息安全等級保護制度是國家信息安全保障工作的基本制度、基本策略和基本方法,是促進信息化健康發展,維護國家安全、社會秩序和公共利益的根本保障。國務院法規和中央文件明確規定,要實行信息安全等級保護,重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統,抓緊建立信息安全等級保護制度。信息安全等級保護是當今發達國家保護關鍵信息基礎設施、保障信息安全的通行做法,也是我國多年來信息安全工作經驗的總結。開展信息安全等級保護工作不僅是保障重要信息系統安全的重大措施,也是一項事關國家安全、社會穩定、國家利益的重要任務。
2.2DoD可信計算機系統評估準則
1983年,美國國家計算機中心發表了著名的“可信任計算機標準評價準則”(Trusted Computer Standards Evaluation Criteria,簡稱TCSEC,俗稱橘皮書)。TCSEC是在20世紀70年代的基礎理論研究成果Bell & La Padula模型基礎上提出的,其初衷是針對操作系統的安全性進行評估。1985年,美國國防部計算機安全中心(簡稱DoDCSC)對TCSEC文本進行了修訂,推出了“DoD可信計算機系統評估準則,DoD5200.28-STD”。
美國國防部計算機安全中心(DoDCSC)提出的安全性評估要求有:①安全策略:必須有一個明確的、確定的由系統實施的安全策略;②識別:必須唯一而可靠地識別每個主體,以便檢查主體/客體的訪問請求;③標記:必須給每個客體(目標)作一個“標號”,指明該客體的安全級別。這種結合必須做到對該目標進行訪問請求時都能得到該標號以便進行對比;④可檢查性:系統對影響安全的活動必須維持完全而安全的記錄。這些活動包括系統新用戶的引入、主體或客體的安全級別的分配和變化以及拒絕訪問的企圖;⑤保障措施:系統必須含實施安全性的機制并能評價其有效性;⑥連續的保護:實現安全性的機制必須受到保護以防止未經批準的改變。
根據以上6條要求,“可信計算機系統評估準則”將計算機系統的安全性分為A、B、C、D 4個等級,A、B3、B2、B1、C2、C1、D 7個級別,如表1所示。
表1網絡安全性標準(DoD5200.28――STD)
等級名稱主要特征A可驗證的安全設計形式化的最高級描述和驗證,形式化的隱密通道分析,非形式化的代碼一致性證明B3安全域機制安全內核,高抗滲透能力B2結構化安全保護設計系統時必須有一個合理的總體設計方案,面向安全的體系結構,遵循最小授權原則,較好的抗滲透能力,訪問控制應對所有的主體和客體提供保護,對系統進行隱蔽通道分析B1標號安全保護除了C2級別的安全需求外,增加安全策略模型,數據標號(安全和屬性),托管訪問控制C2受控的訪問環境存取控制以用戶為單位廣泛的審計C1選擇的安全保護有選擇的存取控制,用戶與數據分離,數據的保護以用戶組為單位D最小保護保護措施很少,沒有安全功能2.3計算機信息系統安全保護等級劃分準則
在我國,以《計算機信息系統安全保護等級劃分準則》為指導,根據信息和信息系統在國家安全、經濟建設、社會生活中的重要程度,針對信息的保密性、完整性和可用性要求及信息系統必須達到的基本的安全保護水平等因素,將信息和信息系統的安全保護分為5個等級。
第一級:用戶自主保護級。本級的計算機信息系統可信計算基通過隔離用戶與數據,使用戶具備自主安全保護的能力。它為用戶提供可行的手段,保護用戶和用戶組信息,避免其他用戶對數據的非法讀寫與破壞。
第二級:系統審計保護級。與用戶自主保護級相比,本級的計算機信息系統可信計算基實施了粒度更細的自主訪問控制,它通過登錄規程、審計安全性相關事件和隔離資源,使用戶對自己的行為負責。
第三級:安全標記保護級。本級的計算機信息系統可信計算基具有系統審計保護級所有功能。具有準確地標記輸出信息的能力,消除通過測試發現的任何錯誤。
第四級:結構化保護級。本級的計算機信息系統可信計算基建立于一個明確定義的形式化安全策略模型之上,將第三級系統中的自主和強制訪問控制擴展到所有主體與客體,同時考慮隱蔽通道。關于可信計算基則結構化為關鍵保護元素和非關鍵保護元素,必須明確定義可信計算基的接口。加強了鑒別機制,增強了配置管理控制,具有相當的抗滲透能力。
第五級:訪問驗證保護級。本級的計算機信息系統可信計算基滿足訪問監控器需求。訪問監控器仲裁主體對客體的全部訪問。訪問監控器本身是抗篡改的,信息系統支持安全管理員職能,具有擴充審計機制,提供系統恢復機制。系統具有很高的抗滲透能力。
3結束語
信息安全等級保護是國家信息安全保障的基本制度、基本策略、基本方法,是維護國家信息安全的根本保障。通過開展信息安全等級保護工作,可以有效地解決我國信息安全面臨的主要問題,將有限的財力、人力、物力投入到重要信息系統的安全保護中去。參考文獻:
[1]趙鵬,李劍.國內外信息安全發展新趨勢[J].信息網絡安全,2011(7).
[2]肖國煜.信息系統等級保護測評實踐[J].信息網絡安全,2011(7).
[3]馬力,畢馬寧.安全保護模型與等級保護安全要求關系的研究[J].信息網絡安全,2011(6).
Research on Network Information Security
and Information Security Level
第8篇:網絡信息安全等級保護范文
信息安全等級保護工作細則
2012年4月,原北京市衛生局按照原衛生部下發的《衛生行業信息安全等級保護工作的指導意見》(衛辦發〔2011〕85號)和《衛生部辦公廳關于全面開展衛生行業信息安全等級保護工作的通知》(衛辦綜函〔2011〕1126號)文件要求,統籌全市醫療衛生行業信息化發展狀況以及信息安全等級保護發展狀況兩個大局,總結全市醫療衛生行業信息安全等級保護工作開展經驗,研究制定下發了《北京市衛生局關于進一步加強北京市衛生行業信息安全等級保護工作的通知》(京衛辦字〔2012〕26號)。
這個通知不是對原衛生部文件一個簡單的轉發,還包括了《北京地區衛生行業信息安全等級保護工作實施細則》(以下簡稱《細則》),對原衛生部文件提出的定級要求進行了細化。三級甲等醫院核心業務系統原則上信息安全等級保護定級不低于第三級,一些重要的公共衛生信息系統不低于第三級,一些區域平臺信息系統不低于第三級,這是屬于比較大塊的分類。那么具體到醫療機構,具體到公共衛生部門,到底什么樣的系統定為第三級,大家可能會感覺不太清晰。所以我們在《細則》里定義了三級甲等醫院什么樣的信息系統定為第三級。例如《細則》中寫道,“三級甲等醫院的核心業務信息系統的安全保護等級原則上不低于第三級”,應結合醫院業務及信息系統實際情況,從以下指標確定醫院核心業務系統:醫院平均日門診量;醫院住院床位數;業務系統承載病患個人隱私信息、一旦泄露對社會秩序構成重大影響的;業務中斷使醫院正常運營蒙受重大經濟損失的;其他如何遭到損害會對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益產生重大影響的系統。因此,無論是醫院的門急診信息系統、電子病歷系統還是今后將要建設的其他信息系統,都可以從這些方面來分析,從而更準確地定級。
這個《細則》的制定使得我市醫療衛生行業更加明確了信息安全等級保護工作的要求及落實方法,對我們之后的備案、安全整改和等級測評工作起到了很大的幫助作用。
信息安全等級保護工作開展情況
我們北京市公共衛生信息中心(原北京市衛生局信息中心),是北京市衛生和計劃生育委員會直屬的事業單位,負責全市醫療衛生行業網絡與信息安全指導工作。北京市的信息安全等級保護工作是從2007年開始開展的。總結來說,主要有以下幾點做法:
一是強化組織,落實責任。每年年初組織召開北京市醫療衛生信息化工作會,市衛生計生委領導、市公安局領導均出席會議,對全年信息安全工作提出部署,明確全行業信息安全保障重點任務,為落實全年信息安全工作的組織開展奠定了堅實的基礎。
二是聯合檢查,摸清底數。自2008年起,我們每年都與市公安局聯合開展醫療衛生行業信息安全檢查工作。在市公安局的指導下,我們針對衛生行業機構眾多的特點,設立了由市區兩級衛生行政部門與市區兩級公安部門聯合檢查的工作機制。全市三級醫療機構及市衛生局直屬單位由市衛生計生委、市公安局負責,區縣醫療衛生機構由區縣衛生局與區縣公安分局聯合進行。目前,我市所有三級以上醫療機構和重要公共衛生部門均已完成了信息安全等級保護定級和備案工作。
三是政策落實,推動整改。近幾年,市財政、市經信委大力支持衛生行業信息安全等級保護工作,在2012年度至2014年度的市衛生信息化項目申報指南中,明確規定了信息安全等級保護建設屬于政府支持項目。到目前為止已有10家市屬三級醫院(世紀壇醫院、朝陽醫院、地壇醫院、兒童醫院、安定醫院、北京胸科醫院、友誼醫院、佑安醫院、中醫醫院、首都兒童研究所)完成信息整改項目的申報工作,已由市經濟信息委審核通過項目資金共計3670.902萬元,現在建設資金正在陸續撥付到位。通過安全整改、等級測評,完成信息安全等級保護工作,切實提高了本市醫療衛生機構信息安全保障能力。
四是制定預案,強化值守。
五是及時總結,持續改進。
信息安全等級保護工作的體會
從2007年開始參與信息安全等級保護工作,我個人經歷了北京市等級保護工作推動的全過程,在這里談幾點個人對于信息安全等級保護相關工作的思考。
首先,信息安全等級保護制度為我們醫療衛生行業帶來了很大的變化。第一是看待信息安全工作視角的變化。以前,我們可能更關注技術本身,有了等級保護要求之后,使得我們從一個整體的角度來看待信息安全這件事情。因為信息安全是符合木桶原理的,最薄弱的地方往往是最容易出現問題的地方,也代表著整個安全防護的水平。第二個變化是讓我們更清晰地梳理了醫療衛生行業的信息系統,以往可能主要從系統功能來區分,現在會考慮從業務連續性的高低、數據安全防護需求的高低來區分。
其次,通過對信息系統的梳理、劃分也清楚了信息安全等級保護要求里哪些要求對我們醫療衛生行業更適用。信息安全等級保護相關標準是各行業通用的,因此在行業內推動時,一定要結合行業特點,按照信息安全等級保護工作要求制定適合本行業的標準和規范。我們之前推出的《細則》其實就是基于這個思路,但由于行業的復雜性,真正形成一套適合醫療衛生行業的完整的標準規范,難度還是非常大的。
第三點,醫院的院長、信息中心主任在增加新的信息系統時,都應從信息安全的角度對信息系統進行分析,在項目規劃申報階段就將信息安全需求整合考慮。現在大部分醫院都上線了移動醫療、移動護理,面向公眾開通了微信、手機App,增加這樣一些新的業務之后,醫院原有信息安全防護體系發生了較大改變,具體應如何解決?另外數字醫療設備信息安全的問題也應得到廣泛的關注,根據我們的調研,隨著影像檢查、生化檢驗等設備的數字化,這些設備都接入到醫院的信息網絡當中,但對這些設備的安全管理基本屬于空白,存在較多安全隱患。其實這些問題都可以在信息安全等級保護要求的指導下通過技術手段和管理制度的完善而解決。
第9篇:網絡信息安全等級保護范文
2013年 8月23日,在由中國電子信息產業發展研究院主辦,《信息安全與技術》雜志社和賽迪智庫信息安全研究所承辦的“2013 中國信息安全技術大會”上,國家信息化專家咨詢委員會委員、中國工程院院士沈昌祥發出了以上呼吁。沈昌祥院士同時強調,要落實2011年工業和信息化部的《關于加強工業控制系統安全管理的通知》精神,做好重點領域工業控制系統信息安全的管理工作,對連接、組網、配置、設備選擇與升級、數據、應急等管理方面的要求,要逐一落實。
可信、可控、可管
沈昌祥院士認為,隨著信息化不斷深入,工業控制系統已從封閉、孤立的系統走向互聯體系的IT系統,采用以太網、TCP/IP網及各種無線網,控制協議已遷移到應用層;采用的標準商用操作系統、中間件與各種通用軟件,已變成開放、互聯、通用和標準化的信息系統。因此,安全風險也等同于通用的信息系統。工業控制系統網絡架構是依托網絡技術,將控制計算節點構建成為工業生產過程控制的計算環境,是屬于等級保護信息系統范圍。信息安全等級保護是我國信息安全保障的基本制度,從技術和管理兩個方面進行安全建設,做到可信、可控、可管,使工業控制系統具有抵御高強度連續攻擊(APT)的能力。
就工業控制系統等級保護技術框架而言,沈昌祥院士認為,信息安全等級保護要做到三點:可信——針對計算資源(軟硬件)構建保護環境,以可信計算基(TCB)為基礎,層層擴充,對計算資源進行保護;可控——針對信息資源(數據及應用)構建業務流程控制鏈,以訪問控制為核心,實行主體(用戶)按策略規則訪問客體(信息資源);可管——保證資源安全必須實行科學管理,強調最小權限管理,尤其是高等級系統實行三權分離管理體制,不許設超級用戶。針對工業控制特點,要按GB/17859要求,構建在安全管理中心支持下的計算環境、區域邊界、通信網絡三重防御體系是必要的且可行的,具體設計可參照GB/T25070-2010,以實現通信網絡安全互聯、區域邊界安全防護和計算環境的可信免疫。
堅持自主創新、縱深防御
沈昌祥院士特別強調,做好工業控制系統的信息安全等級保護工作,更要堅持自主創新、縱深防御。
他認為,工業控制系統是定制的運行系統,其資源配置和運行流程具唯一性和排它性特點,用防火墻、殺病毒、漏洞掃描不僅效果不好,而且會引起新的安全問題;堅持自主創新,采用可信計算技術,使每個計算節點、通信節點都有可信保障功能,系統資源就不會被篡改,處理流程就不會擾破壞,系統能按預定的目標正確運行,“震網”、“火焰”等病毒攻擊不查即殺。
堅持縱深防御,就是要扭轉“封堵查殺”被動局面。加強信息系統整體防護,建設區域隔離、系統控制三重防護、多級互聯體系結構;重點做好操作人員使用的終端防護,把住攻擊發起的源頭,做到操作使用安全;加強處理流程控制,防止內部攻擊,提高計算節點自我免疫能力,減少封堵;加強技術平臺支持下的安全管理,基于安全策略,與業務處理、監控及日常管理制度有機結合。(作者系《信息安全與技術》主編)
