网络安全等级保护测评方法
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全等级保护测评方法范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络安全等级保护测评方法范文第1篇
[关键词] 信息等级保护概述;中国石油;等级保护建设
[中图分类号] TP391;X913.2 [文献标识码] A [文章编号] 1673 - 0194(2013)05- 0057- 02
1 信息等级保护制度概述
信息安全等级保护制度是国家信息安全保障工作的基本制度,是促进信息化健康发展的根本保障。其具体内容包括:①对国家秘密信息,法人和其他组织及公民的专有信息以及公开信息,存储、传输、处理这些信息的信息系统实行分等级安全保护、分等级监管;②对信息系统中使用的信息安全产品实行按等级管理;③对信息系统中发生的信息安全事件分等级响应、处置。信息安全等级保护配套政策体系及标准体系如图1、图2所示。
定条件的测评机构开展等级测评;④建设整改:备案单位根据信息系统安全等级,按照国家政策、标准开展安全建设整改;⑤检查:公安机关定期开展监督、检查、指导。
2 中国石油信息安全等级保护制度建设
中国石油信息化建设处于我国大型企业领先地位,在国资委历年信息化评比中都名列前茅。2007 年全国开展信息安全等级保护工作之后,中国石油认真贯彻国家信息安全等级保护制度各项要求,全面开展信息安全等级保护工作。逐步建成先进实用、完整可靠的信息安全体系,保障信息化建设和应用,支撑公司业务发展和总体战略的实施,使中国石油的信息安全保障能力显著提高。主要采取的措施有以下几个方面:
(1)以信息安全等级保护工作为契机 , 全面梳理业务系统并定级备案。中国石油根据国家信息安全等级保护制度要求,建立自上而下的工作组织体系,明确信息安全责任部门,对中国石油统一建设的应用系统进行等级保护定级和备案,通过制定《中国石油天然气集团公司重要信息系统安全等级保护定级实施暂行意见》,加强桌面安全、网络安全、身份认证等安全基础防护工作,加快开展重要信息系统的等级测评和安全建设整改工作,进一步提高信息系统的安全防御能力,提高系统的可用性和安全性。在全面组织开展信息系统等级保护定级备案工作之后,聘请专业测评机构,及时开展等级测评、安全检查和风险评估工作,并通过等级测评工作查找系统的不足和安全隐患,制订安全整改方案,开展安全整改和加固改造,保障信息系统持续安全稳定运行。
(2)以信息安全等级保护工作为抓手 , 全面推动中国石油信息安全体系建设。中国石油以信息安全等级保护工作为抓手,完善信息安全整体解决方案,建立技术保障体系、管理保障体系和控制保障体系。采用分级、分域的纵深防御理念,将桌面安全、身份认证、网络安全、容灾等相关技术相互结合,建立统一的安全监控平台和安全运行中心,实现对应用系统的授权访问、桌面计算机的安全控制、网络流量的异常监控、恶意软件与攻击行为的及时发现与防御、业务与数据安全保障等功能,显著提高抵御外部和内部信息安全威胁的能力。建立了总部、区域网络中心、企事业单位三级信息系统安全运维队伍;采用集中管理、分级维护的管理模式,网络与安全运维人员采用授权方式,持证上岗,建立网络管理员、安全管理员和安全审计员制度;初步建立起中国石油内部信息安全风险评估队伍,并于 2010 年完成地区公司的网络安全风险评估工作。
(3)建立重要信息系统应急处置预案,完善灾难恢复机制。2008 年,中国石油了《网络与信息安全突发事件专项应急预案》,所有业务系统、网络管理、安全管理等都建立了应急响应处置预案和灾备系统,保障业务系统在遭遇突发事件时,能快速反应并恢复业务系统可用性。通过灾难恢复项目研究,形成了现状及风险分析、灾难恢复等级划分、灾备部署策略分析和灾备部署方案四步法,划分了信息系统灾难恢复等级,完善了灾难恢复机制。
(4)规划信息安全运行中心,建立重要信息系统安全监控机制。中国石油规划了信息安全运行中心的建设方案,提出了信息安全运行中心建设目标,通过网络运行状态、安全信息数据汇集、安全监测分析功能和安全管理流程的有机整合,实现中国石油 信息安全状况的可感知、可分析、可展示、可管理和可指挥,形成中国石油信息安全事件分析、风险分析、预警管理和应急响应处理一体化的技术支撑能力;通过完善安全运行管理体系,将安全运行管理组织、安全运维管理流程和安全监测预警系统三方面有机结合,实现事前预警防范、事中监控处置、事后追溯定位的信息安全闭环运行机制,形成中国石油统一的应急指挥与协调调度能力,为中国石油信息安全保障奠定良好的基础。
3 信息安全等级保护工作存在的不足及改进建议
信息安全等级保护管理办法 (公通字[2007]43号)正式标志着全国范围内的信息安全等级保护工作开始,通过5年的努力,全国信息安全工作形成了以落实信息安全等级保护制度为核心,信息通报、应急处理、技术研究、产业发展、网络信任体系和标准化建设等工作快速发展的良好局面,重要行业部门的信息安全意识、重视程度、工作能力有了显著提高。40余个重要行业出台了100余份行业等级保护政策文件,20余个重要行业出台了40余份行业等级保护标准,但同时存在着以下不足:
(1)对信息安全工作的认识不到位,对重要信息系统安全保护缺乏应有的重视。依据公安部相关资料统计,截至2012年6月,我国有18%的单位未成立信息安全工作领导机构;21%的单位未落实信息安全责任部门,缺乏信息安全整体规划;14个行业重要信息系统底数不清、安全保护状况不明;12个行业未组织全行业信息安全专门业务培训,开展信息安全工作的思路和方法不得当,措施不得力。20%的单位在信息系统规划过程中,没有认真制定安全策略和安全体系规划,导致安全策略不得当;22%的信息系统网络结构划分不合理,核心业务区域部署位置不当,业务应用不合理,容易导致黑客入侵攻击,造成网络瘫痪,数据被窃取和破坏。34.6%的重要信息系统未配置专职安全管理人员,相关岗位设置不完整,安全管理人员身兼多职;48%的单位信息安全建设资金投入不足,导致重要信息系统安全加固和整改经费严重缺乏;27%的单位没有针对安全岗位人员制订相关的培训计划,没有组织开展信息安全教育和培训,安全管理、运维技术人员能力较弱。
(2)重要信息系统未落实关键安全保护技术措施。重要信息系统未落实安全审计措施。在主机层面,有34.9%的信息系统没有保护主机审计记录,34.8%的信息系统没有保护主机审计进程,容易导致事故责任无法认定,无法确定事故(事件)原因,影响应急处理效率。38%的信息系统没有落实对重要系统程序和文件进行完整性检测和自动恢复的技术措施,35%的信息系统没有采取监测重要服务器入侵行为的技术措施,容易使内部网络感染病毒,对攻击行为无法进行有效监测和处置。
(3)我国信息技术与国外存在一定差距,安全专业化服务力量薄弱。具有我国自主知识产权的重要信息技术产品和核心技术水平还有待提高,依赖国外产品的情况还比较普遍;国内信息安全专业化服务力量薄弱,安全服务能力不强,部分重要信息系统的关键产品维护和系统运维依赖国外厂商,给重要信息系统安全留下了隐患。
为了有效提高我国企业信息安全水平,增加等级保护的可行性及执行力,建议:①各企业开展以信息安全等级保护为核心的安全防范工作,提高网络主动防御能力,并制订应急处置预案,加强应急演练,提高网络应急处置能力。②加大人员和资金投入,提高保障能力。③国家层面加快关键技术研究和产品化,重视产品供应链的安全可控。
主要参考文献
[1]中国石油天然气集团公司. 中国石油天然气集团公司全面开展信息安全等级保护工作为信息化建设保驾护航[J].信息网络安全,2012(1).
网络安全等级保护测评方法范文第2篇
关键词:事业单位;网络安全等级保护;部署建议
0引言
网络安全等级保护制度是保障各事业单位网络安全的重要方法,通过进行网络安全分级保护,可以高效解决目前事业单位所面临的网络安全问题,按照“重点优先”的思想,将资源有的放矢地投入到网络安全建设中,有助于快速夯实网络安全等级保护的基础。
1网络安全等级保护定义
网络安全等级保护是指对单位内的秘密信息和专有信息以及可以公开的信息进行分级保护,对信息系统中的防火墙进行分级设置,对产生的网络安全事件建立不同的响应机制。这种保护制度共分为五个级别:自主保护、指导保护、监督保护、强制保护、专控保护。不同的信息拥有不同的机密性,就会有相应的安全保护机制。近期,网络安全等级保护制度2.0国家标准正式,这对加强网络安全保卫工作、提升网络能力具有重大意义。
2网络安全等级保护现状分析
按照新的网络安全等级保护要求,绝大多数单位在网络安全技术和管理方面存在差距和盲点,网络安全保障体系仍需完善。主要表现在以下几个方面:(1)网络安全管理工作有待进一步加强在网络安全管理制度方面存在不够完善,对信息资产管理、服务外包管理等缺乏网络安全方面有关要求。未建立体系化的内部操作规程,而且对网络安全管理和技术人员专业技能培训相对较少,网络安全等级保护的定级、备案及测评等未开展。运维工作的部分操作不规范,随意性较强,对网络、系统安全稳定运行造成风险。(2)网络架构存在安全隐患和较为明显的脆弱性有的内网连接,虽部署了防火墙进行网络访问控制,但是部分防火墙缺乏安全配置及管理,访问控制策略不严格,同时某些单位内部网络也缺乏分区和边界控制措施,无法限制非授权用户接入内网和授权用户滥用授权违规外联外网的行为,部分单位发现终端跨接内外网的现象,导致整个单位的内网存在“一点接入,访问全网,攻击全网”的安全风险。(3)主机计算环境抵御攻击能力较低主机服务器未及时更新系统安全补丁,导致存在比如MS17-010(永恒之蓝)、弱口令等高危漏洞;部分服务器未部署防病毒软件、病毒库未更新,没有恶意代码防范措施,部分单位的终端感染木马病毒,一旦被利用,可能导致内部服务器主机大面积感染恶意程序等事件发生。(4)应用系统安全防范措施缺失有的运行在内网应用系统,存在高风险安全漏洞;在应用系统身份鉴别、数据完整性、保密性保护等方面存在策略配置不足问题,结合其他安全风险,会带来系统服务安全、数据安全等较严重的安全问题。(5)数据安全保护能力不足有的未对专网的重要数据进行分级分类管理,数据安全保护措施缺失,专网中的数据库普遍存在弱口令、远程代码执行漏洞等高危安全漏洞,极易被攻击利用,大量的业务数据和敏感信息存在较高的安全风险。(6)物理安全基础保障欠缺有的机房未对进出人员进行鉴别登记,易造成机房遭受恶意人员破坏,存在安全风险。有的机房未部署门禁系统,未安装防盗报警系统等进行盗窃防护。
3网络安全等级保护部署建议
3.1构建等保系统框架
根据安全等级保护的总体思想,提出如图1的网络安全管理体系架构。“总体安全策略”处于网络安全管理体系的最高层级,是单位网络安全管理体系的首要指导策略。“安全管理组织框架”位于网络安全管理体系的第二层,负责建立该单位网络安全管理组织框架。它既确保了信息系统运行时资料不会被泄露,也塑造了一个能稳定运行信息系统的管理体系,保证网络安全管理活动的有效开展。“安全管理制度框架”位于网络安全管理体系的第三层,分别从安全管理机构及岗位职责、信息系统的硬件设备的安全管理、系统建设管理、安全运行管理、安全事件处置和应急预案管理等方面提出规范的安全管理要求。网络安全管理体系的第四层描述的是如何进行规范配置和具体的操作流程以及如何对运行活动进行记录。从日常安全管理活动的执行出发,对主要安全管理活动的具体配置、操作流程、执行规范等各种各样的安全管理活动做出具体操作指示,指导安全管理工作的具体执行[1]。
3.2划分安全域
根据安全等级保护系统总体架构,重新划分网络安全域。各安全域安全管理策略应遵循统一的基本要求,具体如下:(1)保证关键网络设备的业务处理能力满足高峰期业务需求,通过网络拓扑结构设计,避免存在网络单点故障。(2)部署高效的防火墙设备,防止包括DDOS在内的各类网络攻击;在通信网络中部署IPS、入侵检测系统、监控探针等,监视各种网络攻击行为。(3)在关键位置部署数据库审计系统,对数据库重要配置、操作、更改进行审计记录。(4)对于每一个访问网络的用户将会进行身份验证,确保配置管理的操作只有被赋予权限的网络管理员才能进行[2]。(5)部署流量检测设备,通过Flow采集技术,建立流量图式基线,根据应用情况控制和分配流量。(6)增加除口令以外的技术措施,实现双因素认证[3]。(7)如需远程管理网络设备和安全设备,应采用加密方式,避免身份鉴别信息在网络传输过程中被窃取。(8)能够及时有效阻断接入网络的非授权设备。
3.3控制安全边界
基于部署的网络安全软硬件设备,设置相应的安全规则,从而实现对安全边界的控制管理。主要安全策略包括:(1)互联网区域应用安全:必须经过边界防火墙的逻辑隔离和安全访问控制。(2)专网区域应用安全:对于访问身份和访问权限有明显界定,必须经过边界防火墙的逻辑隔离和安全访问控制,其他区域和用户都不允许直接访问。(3)互联网区域数据安全:只允许外部应用域的应用服务器访问,其他区域用户不能直接访问。对数据域的访问受到访问身份和访问权限的约束,必须经边界防火墙的逻辑隔离和安全访问控制。(4)专网区域数据安全:只允许内部应用域的应用服务器访问,其他区域和用户都不允许直接访问。要访问也必须具有受信的访问身份和访问权限。(5)互联网区域和专网区域交互安全:对于内外部之间的信息交互,采用数据摆渡和应用协议相结合的方式进行,严格控制双网之间存在TCP/IP协议以及其他网络协议的连接。(6)开发测试安全:开发测试域作为非信任区域,要求只能在受限的前提下进行网络访问,必须经过边界防火墙的逻辑隔离和安全访问控制。(7)密码应用安全:所有涉及密码应用的网络安全设备,所采用的密码算法必须为国密算法。(8)统一安全管理:防火墙、IDS、IPS、防病毒网关、网络安全审计和数据库安全审计系统的日志统一发送到安全管理区的安全管理平台进行分析。(9)终端安全管理:办公设备统一部署终端安全管理系统,并能够有效管理终端安全配置,准入控制、防病毒功能,以及系统补丁升级。(10)设备知识产权:所涉及网络安全设备的,必须是具有国产知识产权。
4总结
网络安全等级保护工作事关重大,它是一个系统工程,需要各级人员多方面的协调合作。只有尽快补齐安全防护短板,才能切实提高一个单位的安全支撑能力、安全检测能力、安全防护能力、应急响应能力和容灾恢复能力,从而更好地保障一个单位网络安全建设的可持续发展。
参考文献
[1]欧阳莎茜.运用大数据制定园区安全环保用电策略的实例分析[D].西南交通大学,2017.
网络安全等级保护测评方法范文第3篇
关键词:电子政务外网;等级保护测评;风险评估;风险评估模型
中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2014)34-8337-02
1 等级保护背景下的电子政务外网风险评估
电子政务外网提供非的社会公共服务业务,全国从中央各部委、到省、市、县,已经形成了一张大庞大的网络系统,有的地方甚至覆盖到了乡镇、社区村委会,有效提高了政府从事行政管理和社会公共服务效率。今后凡属社会管理和公共服务范畴及不需在国家电子政务内网上部署的业务应用,原则上应纳入国家政务外网运行,它按照国家政务外网统一规划,建立网络安全防护体系、统一的网络信任体系和信息安全等级保护措施。
随着政务外网的网络覆盖的扩大及接入的政务单位越来越多、政务外网应用的不断增加,各级政务移动接入政务外网的需求也在增加,对政务外网的要求和期望越大,网络安全和运维的压力也越大,责任也更大。由于政务外网与互联网逻辑隔离,主要满足各级政务部门社会管理、公共服务、市场监管和经济调节等业务应用及公务人员移动办公、现场执法等各类的需要,网络和电子政务应用也成为境外敌对势力、黑客等攻击目标。随着新技术的不断涌现和大量使用,也对电子政务外网网络的安全防护、监控、管理等带来新的挑战。按照国家政务外网统一规划,建立网络安全防护体系、统一的网络信任体系和信息安全等级保护措施是必须的。
为保障电子政务外网的安全有效运行,我们应以风险管理理念来统筹建设网络和信息安全保障体系。在国家信息系统安全等级保护的大背景下,2011年国家信息中心下发了《关于加快推进国家电子政务外网安全等级保护工作的通知》,强化了电子政务外网的等级保护制度以及等级测评要求,要求对政务外网开展等级测评,全面了解和掌握安全问题、安全保护状况及与国家安全等级保护制度相关要求存在的差距,分析其中存在的安全风险,并根据风险进行整改[1]。
系统安全测评、风险评估、等级测评都是信息系统安全的评判方法[2,3],其实它们本没有本质的区别,目标都是一样的,系统安全测评从系统整体来对系统的安全进行判断,风险评估从风险管理的角度来对系统的安全状况进行评判,而等级测评则是从等级保护的角度对系统的安全进行评判。不管是系统安全测评[1]、风险评估、等级测评,风险的风险与计算都是三者必不可少的部分。
2 电子政务主要风险评估方法简介
电子政务外网风险评估有自评估、检查评估、第三方评估(认证)评估模式,都需利用一定的风险评估方法来进行相关风险的评估。从总体上来讲,主要有定量评估、定性评估两类。在进行电子政务系统信息安全风险评估过程中,采用的主要风险评估方法有:OCTAVE、SSE-CMM、FAT(故障树方法)、AHP (层次分析)以及因素分析法、逻辑分析法、德尔菲法、聚类分析法、决策树法、时许模型、回归模型等方法。研究风险评估模型的方法可以运用马尔可夫法、神经网络、模糊数学、决策树、小波分析等[4-6]。OCTAVE 方法是一个系统的方法,它从系统的高度来进行信息安全的安全防护工作,评估系统的安全管理风险、安全技术风险,它提高了利用自评估的方式制定安全防范措施的能力。它通过分析重要资产的安全价值、脆弱性、威胁的情况,制定起风险削减计划,降低重要资产的安全风险。电子政务外网需要从实际出发,不能照搬其它评估方法,根据电子政务外网实际,本设计基于OCTAVE 评估模型,设计了一个电子政务外网风险分析计算模型。
3 基于OCTAVE模型的一个电子政务外网风险计算模型设计
3.1 风险评估中的资产、威胁、脆弱性赋值的设计
保密性、完整性和可用性是评价资产的三个安全属性。风险评估中的资产价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。
资产价值应依据资产在保密性、完整性和可用性上的赋值等级,经过综合评定得出。综合评定方法可以根据自身的特点,选择对资产保密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果;也可以根据资产保密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。本设计模型根据电子政务外网的业务特点,依据资产在保密性、完整性和可用性上的赋值等级进行加权计算(保密性α+完整性β+和可用性γ),α、β、γ为权重系数,权重系数的确定可以采用专家咨询法、信息商权法、独立性权数等。本设计方案采用专家咨询法。资产、威胁、脆弱性的赋值可以从0-10,赋值越高,等级越高。
脆弱性识别是风险评估中最重要的一个环节。脆弱性是资产本身存在的,如果没有被相应的威胁利用,单纯的脆弱性本身不会对资产造成损害。脆弱性识别的依据可以是国际或国家安全标准,也可以是行业规范等,如国家信息安全漏洞共享平台(CNVD)漏洞通报、CVE漏洞、微软漏洞通报等。
资产、威胁、脆弱性的识别与赋值依赖于专家对三者的理解,不同的人员对三者的赋值可能不同,甚至差别很大,可能会不能真实的反映实际情况。为了识别与赋值能准确反映实际情况,可以采用一定的方法来进行修正。本设计采用头脑风暴法、德尔菲法去获取资产、威胁、脆弱性并赋值、最后采用群体决策方法确定资产、威胁、脆弱性的识别与赋值。这样发挥了三个方法的特点,得到的赋值准确性大大提高。
判断威胁出现的频率是威胁赋值的重要内容,评估者应根据经验和(或)有关的统计数据来进行判断[7]。判断威胁出现的频率是可能性分析的重要内容,如果仅仅从近一两年来各种国内、国际组织的对于整个社会或特定行业的威胁及其频率统计,以及的威胁预警等来判断是不太准确的,因为它没有与具体的电子政务外网应用实际联系起来,实际环境中通过检测工具(如IPS等)以及各种日志发现的威胁及其频率的统计也应该考虑进去。
本设计模型采用综根据经验和(或)有关的统计数据来进行判断,并结合具体电子政务外网实际,从历史生产系统的IPS等获取各种威胁及其频率的统计,并采用马儿可夫方法计算出某个时段内某个威胁发生的概率。马尔可夫方法是一种定量的方法,具有无后效性的特点,适用于计算实时的动态信息系统威胁发生概率。它利用IPS等统计某一时段的发生了哪些威胁,构建出各种威胁之间的状态转移图,使用马尔可夫方法计算出该时段内某个威胁发生的概率。计算出的威胁发生概率结果可以进行适当的微调,该方法要求记录的样本具有代表性。
3.2 风险计算模型设计
通常风险值计算涉及的风险要素为资产、威胁、和脆弱性。 在完成了资产识别、威胁识别、脆弱性识别,以及已有安全措施确认后,将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性,并综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对组织的影响,即安全风险计算。
风险值=R(资产,威胁,脆弱性)= R(可能性(威胁,脆弱性),损失(资产价值,脆弱性严重程度))。可根据自身电子政务外网实际情况选择相应的风险计算方法计算风险值,如目前最常用的矩阵法或相乘法等。矩阵法主要用于两个要素值确定一个要素值的情形,相乘法主要用于两个或多个要素值确定一个要素值的情形。
本设计模型采用风险计算矩阵方法。矩阵法通过构造一个二维矩阵,形成安全事件的可能性与安全事件造成的损失之间的二维关系;相乘法通过构造经验函数,将安全事件的可能性与安全事件造成的损失进行运算得到风险值。
在使用矩阵法分别计算出某个资产对应某个威胁i,某个脆弱性j的风险系数[Ri,j],还应对某个资产的总体安全威胁风险值进行计算,某个资产总体风险威胁风险=Max([Ri,j]),i,j=1,2,3…。组织所有资产的威胁风险值为所有资产的风险值之和。
3.3 对风险计算模型的改进
在风险值=R(A,T,V)的计算模型中,由资产赋值、危险、脆弱性三元组计算出风险值, 并没有把安全防护措施因素对风险计算的影响考虑在内,该文把风险值=R(A,T,V)改进为风险值=R(A,T,V,P),其中P为安全防护措施因素。P因素不仅影响安全事件的可能性,也影响安全事件造成的损失,把上面的公式改进为风险值=R(L(T,V,P),F(Ia,Va,P ))。对于L(T,V,P),F(Ia,Va,P )的计算可以采用相乘法等。如果采用矩阵法,对L(T,V,P)的可以拆分计算L(T,V,P)=L(L(T,V),L(V,P))。
在计算出单个资产对应某个脆弱性、某个威胁、某个防护措施后的风险值后,还应总体上计算组织内整体资产面临的整体风险。单个风险(一组风险)对其它风险(一组风险)的影响是必须考虑的,风险之间的影响有风险之间的叠加、消减等。有必要对风险的叠加效应、叠加原理、叠加模型进行研究。
3.4 风险结果判定
为实现对风险的控制与管理,可以对风险评估的结果进行等级化处理。可将风险划分为10,等级越高,风险越高。
风险等级处理的目的是为风险管理过程中对不同风险的直观比较,以确定组织安全策略。组织应当综合考虑风险控制成本与风险造成的影响,提出一个可接受的风险范围。对某些资产面临的安全风险,如果风险计算值在可接受的范围内,则该风险是可接受的,应保持已有的安全措施;如果风险计算值高于可接受范围的上限值,则该风险是不可接受的,需要采取安全措施以降低、控制或转移风险。另一种确定不可接受的风险的办法是根据等级化处理的结果,不设定可接受风险值的基准,对达到相应等级的风险都进行处理。
参考文献:
[1] 国家电子政务外网管理中心.关于加快推进国家电子政务外网安全等级保护工作的通知[政务外网[2011]15号][Z].2011.
[2] 等级保护、风险评估和安全测评三者之间的区别与联系[EB/OL].http:///faq/faq.php?lang=cn&itemid=23.
[3] 赵瑞颖.等级保护、风险评估、安全测评三者的内在联系及实施建议[C].第二十次全国计算机安全学术交流会论文集,2005.
[4] 李煜川.电子政务系统信息安全风险评估研究――以数字档案馆为例[D].苏州:苏州大学,2011.
[5] 陈涛,冯平,朱多刚.基于威胁分析的电子政务信息安全风险评估模型研究[J].情报杂志,2011(8):94-99.
网络安全等级保护测评方法范文第4篇
对系统自我定级
长城资产管理公司是国有独资的金融企业,在业务高速发展的同时,一直非常重视信息安全体系的建设,早期已经部署了 “老三样”信息安全产品,即网络防病毒、防火墙和网络入侵检测产品,对保障业务系统的安全正常运转起到了重要作用。
公司综合经营管理系统经过四期建设,实现了数据集中和管理集中,为公司收购、管理与处置政策性不良资产以及商业化经营等业务的顺利开展提供了完整的业务操作平台。
根据《信息系统安全等级保护定级指南》中对信息系统的要求,长城资产管理公司考虑到综合经营管理系统是公司的核心业务系统,一旦受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害,因此,公司确定首要的工作是设定系统的保护级别。经过综合审核,最终将系统保护级别定为3级,并形成了等级保护定级报告,这在资产管理公司里属于首家。
对定级进行测评
系统定级之后,公司做了备案,同时申请等级保护的主管单位进行现场测评。北京等级保护办公室作为这次测评的主管和实施单位,根据等级保护3级基本要求对综合经营管理系统进行测评。现场测评工作主要包括跟综合经营管理系统相关的各个层面,在网络层面进行网络设备安全配置检查和安全系统部署;在主机层面进行主机系统的安全配置检查和数据库系统安全检查;在数据安全方面进行了数据完整性、机密性和可用性的检查;在管理方面进行安全策略、安全组织以及人员的检查,同时对信息部门领导和相关人员以及公司的人力资源部门相关人员做了详细的访谈。涉及方面之广,检查粒度之细都是其他专门的安全项目所无法比拟的,对公司整个信息安全建设指明了方向,细化了要求,加强了安全体系建设,提升了人员的信息安全意识,规范了信息安全工作流程。
但是,在现场的测评工作当中也出现了一些问题,主要来自两方面:一是发现了公司在信息安全建设中的“短板”,明确了工作重点和方向;二是发现基本要求中的个别条款的要求过于“苛刻”――单纯从技术上来看是可行的,但是如果结合公司的业务,就不是特别合理,因为需要对现有运行的业务进行很大的改造,甚至涉及到对底层操作系统的改造。
最后,在北京等级保护办公室的监督、指导下,公司加强了安全管理,调整个别不符合项目,最终通过了等级保护3级测评。
建设等级保护平台
网络安全等级保护测评方法范文第5篇
近年来,国家对信息安全高度重视,各有关方面协调配合、共同努力,我国信息安全保障工作取得了很大进展。根据原卫生部的《关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函[2011]1126号文)指示精神,阜外医院作为卫生行业开展信息安全等级保护工作的试点单位,依据国家相关信息安全政策及技术标准,对医院的重要信息系统进行等级保护整改建设,切实提高了自身的信息安全防护水平。
通过对阜外医院的信息系统业务流程的梳理,并根据业务数据的重要程度和业务安全需求,准确划分系统边界,阜外医院信息系统共有6个定级对象,其定级情况如下:HIS系统为第三级信息系统,LIS系统、PACS系统、电子病历系统、阜外医院网站和财务为第二级信息系统。由于信息系统彼此间业务关联较大,所以总体上按照第三级进行整体防护体系建设。
本次阜外医院的信息系统安全等级保护工程的建设,主要是根据四部委的《信息安全等级保护管理办法》(公通字[2007]43号文)以及卫生部 [2011]1126号文的指示精神,从信息安全技术体系、信息安全管理体系、信息安全运行体系等三个方面入手,建设完整的医疗行业信息安全等级保护保障体系:
1. 建立阜外医院信息安全技术体系,从物理安全、网络安全、主机安全、应用安全、数据安全等方面进行整改建设。通过对内外网网络层面的安全整改建设,达到等级保护第三级信息系统的基本技术要求;
2. 建立阜外医院信息安全管理体系,通过安全管理策略和制度、人员安全管理、安全事件管理、系统建设管理以及系统运维管理等五个方面的建设,达到了等级保护第三级信息系统的安全管理要求;
3. 建立阜外医院安全运维体系,通过综合运维系统、安全管理中心、信息安全服务等内容的建设,实现了日常安全运维管理,使阜外医院的信息系统安全保障体系能够有效落实。
信息安全等级保护保建设,使阜外医院信息安全保障体系成功通过了等级保护第三级信息系统的安全测评。因此,本次阜外医院信息安全保障工程的建设,具有以下三个方面的重大意义:
一、有效落实了国家政策要求。首先是完成了国家信息安全等级保护的的工作部署,使阜外医院重要信息系统安全防护能力达到规定要求,确保业务工作有效开展。
通过本次工程建设,确保阜外医院重要信息系统安全防护工作符合国家等级保护制度要求,确保方向正确、方法得当、结果合规,使信息安全建设工作不偏离国家监管的大方向,这是阜外医院作为国家三甲级医疗机构的地位决定的,是确保阜外医院的权威性、严肃性的有力保障,具有重要的政治意义。
二、能够有效推动行业安全建设。有利于形成阜外医院信息安全工作统一规划、统一指导、统一要求的工作机制,为国家卫计委指导各医疗单位进行等级保护建设方面起到试点示范效应。
通过本次工程建设,可以分析清楚阜外医院信息系统数量、分布、安全防护程度等基本情况,研究清楚系统信息安全的各自特点,通过调研和分析,提出全院信息安全工作“一盘棋”的管理思路,统一管理、统一指导、统一具体要求,实质性推动行业信息安全建设工作。
