金融标准化在行业信息安全等级保护中的实践
一、金融行业信息安全系列管理标准概述
信息安全等级保护是国家在信息安全保障工作的一项基本制度,人民银行根据国家关于信息安全等级保护工作的相关制度和标准,制定了金融行业信息系统信息安全等级保护系列标准,2012年以由金融标准化技术委员会以中华人民共和国金融行业标准对外发布。即:《金融行业信息系统信息安全等级保护实施指引》(JR/T 0071-2012)、《金融行业信息系统信息安全等级保护测评指南》(JR/T 0072-2012)、《金融行业信息安全等级保护测评服务安全指引》(JR/T 0073-2012)。其中:
第一,《金融行业信息系统信息安全等级保护实施指引》(JR/T 0071-2012)依据国家《信息系统安全等级保护基本要求》和《信息系统等级保护安全涉及技术要求标准》,结合金融行业特点以及信息系统安全建设需要,对金融行业信息安全体系架构采用分区分域设计、对不同等级的应用系统进行具体要求,以保障将国家等级保护要求行业化、具体化,提高金融机构重要网络和信息系统信息安全防护水平。
第二,《金融行业信息系统信息安全等级保护测评指南》(JR/T 0072-2012)规定了金融行业对信息系统安全等级保护测评评估的要求,包括对第二级信息系统、第三级信息系统和第四级信息系统进行安全测评评估的单元测评要求和信息系统整体测评要求等。根据金融行业信息系统的定级情况,不存在五级系统,而一级系统不需要去公安机关备案,不作为测评重点。
第三,《金融行业信息安全等级保护测评服务安全指引》(JR/T 0073-2012)总结了金融行业应用系统多年的安全需求和业务特点,并参考国际、国内相关信息安全标准及行业标准,明确等级保护测评服务机构安全、人员安全、过程安全、测评对象安全、工具安全等方面的基本要求。
二、金融行业信息安全系列管理标准应用
人民银行昆明中心支行在金融信息安全等级保护系列标准的基础上,按照标准化技术和方法,制定《银行业金融机构信息安全检查规范》(简称《规范》),作为落实等级保护管理要求的检查标准。
(一)以标准化方法细化检查依据
金融信息安全管理体系范围与内容复杂庞大,研究表明,金融信息安全等级保护系列标准规范涵盖金融机构信息化安全管理的基本管理要求和基本技术要求,应以信息安全等保制度作为检查依据。目前,根据人民银行总行和公安部的统一部署,银行业金融机构有序开展网络及信息系统的定级、评审、备案、测评和整改工作。
(二)以标准化技术明确检查内容
以金融信息安全等级保护的管理要求为基础,同时,从实际工作出发,需要增加以下内容:
1.增加信息安全概况的内容。按照统一的标准化方式统计各银行机构信息化发展规划、人员资金投入、开发建设、专项治理、安全保障等情况。便于检查人员掌握了解被查行信息化建设的基本层面。
2.增加银行卡联网联合技术管理的内容。当前,银行卡犯罪呈上升趋势,人民银行总行高度重视银行卡联网联合及其带来的信息安全管理工作,在《规范》中应增加相关检查内容。
3.增加金融业机构信息管理的内容。金融机构代码在我国实施的金融标准化战略中,具有重要的基础作用,人民银行通过检查金融机构代码证申领、年检、变更和撤销,确保金融机构信息的真实、准确、有效。因此,在《规范》中应增加相关检查内容。
(三)以标准化手段细化检查流程
一是标准化的检查方案。由于银行金融机构分为法人和非法人机构,金融信息化发展水平不均衡。省、市、县、营业网点金融信息化发展不均衡。制定的《规范》作为通用工作规范,并按照信息安全等级保护定级分别标注出来。检查单位要根据被检查银行信息安全等级保护定级情况,在通用规范的基础上定制检查方案。
二是标准化的检查内容。由于各银行金融机构的基础、投入、核心系统等不同,导致各行信息安全管理具有独立性,金融信息安全管理组织、资料名称、归聚存在差异。检查单位应关注被检查单位的信息安全管理的实质内容,忽略具体表现形式。
三是标准化的机房核查流程。网络和信息系统正常运行是业务开展的基础,机房属于银行核心区域。因此,检查人员进入机房应注意按照相应管理制度执行。
四是标准化的协查规定。信息安全涵盖机房、网络、系统、安全、银行卡、机构信息等,检查人员需要与不同的技术人员交流,被检查单位应指定专人全程陪同,负责协调。
五是标准化的禁止规定。为了避免检查人员登陆被查单位信息系统出现误操作,造成重大损失,检查人员应与联络人进行充分的沟通,由被查单位人员具体上机操作,严禁检查人员直接登陆被查单位信息系统操作。
六是标准化的通报格式。检查人员应分析查出问题的性质,标识风险隐患的类别(高风险、中风险、低风险),根据问题的性质不同,分别以限期整改、风险提示、暂停服务进行处理,并结合实际情况,提出整改时限。
三、金融行业信息安全系列管理标准实践
(一)首次实施统一的监管标准
2013年5月,人民银行昆明中心支行制定并对全省发布《规范》(昆银发〔2013〕139号),首次统一了金融信息安全检查标准。全省16个地区人民银行各级机构依据《规范》,组织了综合执法检查金融业信息安全调查,对机房及基础设施管理、网络管理、信息系统管理、信息安全管理、金融机构信息管理、银行卡联网联合技术管理、网上银行信息安全管理7个大类254个调查项,204个检查项实施了信息安全检查。
1.2013年依据《规范》开展检查发现问题统计。
2.2013年依据《规范》开展检查结果处理情况统计。
3.2013年依据《规范》开展检查整改情况统计。
全省首次实施上下统一的监管标准、统一的检查尺度,首次在一个标准下实现全省检查发现问题数、检查结果处理方式的统计、对比分析,使上级行能够更加准确地掌握辖区信息安全状况。
(二)首次统一各类金融信息安全检查
目前,人民银行对辖内银行业金融机构开展的信息安全类检查工作,包括执法检查、信息安全调查、新设机构准入审批、新业务系统开通审批及银行金融机构信息安全自查。各类金融信息安全检查都将《规范》作为一个基础性规范,在使用《规范》时,根据实际情况,酌情增减检查内容。如:信息安全调查内容可酌情增加,新设机构准入审批和新业务系统开通审批的检查内容可酌情减少。专项信息安全检查同时遵守专项信息安全检查要求。人民银行对金融机构的要求具有统一性,连续性,有效提升了人民银行对全省地方法人机构监管的透明度、程序的公开化,对促进全省地方性商业银行信息安全管理向规范化发展起到了重要作用。
(三)首次集中解决检查中的难点
基层人民银行对于检查结果整改及处理一直是金融信息安全检查中的难点,与现金管理、征信、国库等人民银行传统监管业务相比,梳理金融信息安全管理制度后会发现相关处罚规定模糊且操作性不强。对于屡查屡犯、造成城市金融网严重安全风险等行为,缺乏处罚措施。《规范》首次提出检查人员应分析查出问题的性质,标识风险隐患的类别(高风险、中风险、低风险),根据问题的性质不同,按照限期整改、风险提示、暂停接入人民银行网络和信息系统服务、暂停新设机构准入审批及新业务系统开通审批等方式分别处理,在实践中具有很强的操作性。解决了金融信息安全检查中的难点。
《规范》的实施是人民银行昆明中心支行应用标准化理念和方法,贯彻金融行业信息安全等级保护系列标准规范的实践,也是人民银行昆明中心支行应用金融标准化方法构建金融信息安全体系的初步探索。这一模式,对于金融标准化的推广应用具有借鉴价值。
中国人民银行昆明中心支行课题组成员:王珊珊(执笔)
邱云武 摆 晔
【摘要】近年来有关网络安全的体系越发受国家的重视,保证网络安全并避免网络严重风险已经成为现代科技的主流手段,更是对现代化建设基础的完善与支撑。通过对网络2.0时代的合理化普及与支撑,确保网络体系及网络安全得到多重的保护,并完善相应的监督设备及管理风险体系,为2.0等级保护标准下的全新网络结构与体系带来良好的环境和支撑系统。本文重在介绍网络安全等级所带来的重要地位和结构体系,更明确阐述网络安全对国家现代化建设的重要意义,提出如何解决网络安全等级所存在的问题及安全风险,进而构建合理的布局来完善2.0网络安全的标准化体系及安全运行模式。
【关键词】2.0等级;安全;网络
1. 对比国内外网络安全体系的不同现状
1.1 国外网络安全等级体系的发展形式
对于网络安全体系的分析,最早要从欧洲的国家开始追溯,其完整模式形成的时间起源于20世纪60年代,其构建该体系的国家是由美国主导的,相继也有一些北欧的国家进行参与及完善,最早的网络安全体系用于美国军方文件的保密形式与用途。随着时间的推移和科技的不断进步,96年各国家提出了不同的标准及概念,使得通用评估准则得到了更多的应用系统和模式规范,很多国家主导并联合评估了信息技术产品及网络安全性的主要规范模式,该模式主要由美、欧盟、加拿大主导提出并联合实践而构成的,通过三年的联合实践并应用,最终出台了CC2.1版本网络安全模式规范,有了准确并可靠的网络安全模范和技术,使得网络安全在国际上乃至各个国家都尤为重视,并将该模式广泛推广普及,99年该模式已被ISO采纳作为IS015408规范模式被广泛学习及普及技术。2013年及2014年形成了规范的框架及安全守则,主要内容为四个风险等级来区分网络安全在不同等级下所带来的风险及要求。
1.2 纵观我国网络安全等级体系的发展形式
关于网络安全,我国对其应用的时间较晚,大体的方向在前期都是借鉴美欧等国家的系列模范形式,故前期我国网络安全体系发展的较为缓慢。随着时间的推移,于94年我国开始全面普及网络对高等教育的应用,形成相对较为规范的网络系统安全准则与模式,并初步于国务院颁布了网络安全等级体系及相应的维护条例,该方案首次提出了网络安全模式的新标准,使得计算机应用等级更加安全,形成了较为初步的我国网络安全体系制度,其法则和规范模式为《中华人民共和国计算机信息系统安全保护条例》,初步模式为更多的国家安全系统及高等教育系统提供了规范性及稳定的运行。网络安全等级在科技的应用下逐渐得到认可,各国都有着自己的运行模式,在大背景的驱使下,于2007年我国颁布了一系列严密及健全的网络规范办法,为网络安全系统步入“十三五”网络战略的应用规范中。相应的网络管理及控制办法,为普及及确保网络安全运行模式做出了一系列完善及调整,使得我国网络安全系统及安全等级得到了全面的提升。
2017年6月1日,《中华人民共和国网络安全法》正式实施,随着我国在网络安全上的不断投入与重视,确保了网络安全等级在全国范围内的保护意识大幅度提升,这也使得国家网络安全等级形成了较为完善的制度与规范。2019年5月13日,我国标准化管理委员会相继提出了国家安全网络的重要地位,闡述了如何规避安全风险的问题,并通过相应的安全指数及安全指标提出了《信息安全技术网络安全等级保护基本要求》等一系列准则,该方案及准则已经得以全面实施并应用,这确保了我国网络安全在大幅度提升,全面普及国家网络将在不久得以实现,也标志着我国网络安全等级进入2.0等级快行列的列车航线中,通过不断的摸索和实践创新,我国网络的安全模式等级将更加全面及完善。
2. 针对1.0标准网络安全等级所提出的不足
2.1 1.0标准存在的空白
针对其所存在的空白即为新技术平台定级和安全要求的空白,该方面在1.0标准下尚未得到普及,随着现代工业及现代技术的普遍应用,新平台定级将需要更全面的衡量,规范及定级更需要全面的制度和模式来进行等级测评及平台评估,需要相应的规范手段及规章章程来保证安全要求的可行性,这远远超出了1.0标准下的定级保护标准及平台定级模式,故要进行全面的升级及维护,提出相应的规范手段及完整可行的应用模式。
2.2 原1.0标准网络体系不够健全
关于1.0标准体系及其相应的体系内容,主要分为网络安全运行体系、网络建设与修改体系、网络定级及网络评估等一系列的完善体系,这些体系虽然较为完善,但仍需要安全风险及安全自我维护的模式来进行自我调节与保护,通过合理的风险及安全漏洞来自我调节及检测,形成安全指数和安全系统较为森严的完整体系,避免因外在干扰及黑客攻击所带来的不必要风险,进而规避因外在干扰及黑客攻击所带来的丢失文档及丢失国家信息的重大风险,这便指出了安全检测、风险评估、通报预警、自我完善、安全系统调整、主要信息自动锁密等新的安全等级体系的维护方案,故原1.0标准网络体系应全力升级为2.0网络安全等级保护体系,形成较为全面的、系统的安全维护等级体系。
2.3 等级保护测评问题繁杂
现有的等级保护体系在测评工作中会出现问题繁杂的缺失,该方面主要呈现如下几点,具体的介绍在下述进行剖析:
(1)信息系统运营在一定程度上重视不够,其针对性及管理层次比较单一,管理方式及管理方法尚有不足,问题多体现在对单位等级保护层次性及管理性不够明显,一些较为特定的文案及定级手段、定级报告编写管理较为松散,构成形式及鉴定评估标准不能达到相应的鉴定指标;
(2)信息系统运营在单位建设整改方面应用较差,不能快速并及时对单位整改进行合理的整改方案调整,无法形成时效性及安全可靠的等级评定方案;
(3)测评联盟及各省市等保办对等级保护工作进行的不够周密,其管理方案及有效运行机制尚需调整及改进,应形成全面而又完善的管理机制及模式;
(4)等级评定方面人数及鉴定机构各有差异,数量和评定形式都有待提升;
(5)在新技术及应用安全防护方面进行评定的手段及评定标准数量有限,方案及评定模式有待改进,希望提出全面并严密的评测标准及评测方案来形成严密的技术评测模式。
3. 等级保护2.0标准的优越性
新技术和新工业的不断发展使得网络技术在我国得到了大幅度的发展,相应的技术方式及技术人才有了更高的层次,这使得网络安全等级及网络环境应用得到了可行性的管理模式,保证了网络及网络技术的稳定运行。
2.0标准保证了网络系统的自我修复能力及安全运行模式,远超出1.0标准下运行模式所带来的安全效率,其自我监督、自主安全调控形式得到了认可,并极大程度的规避了网络运行所丢失的不必要信息概率的出现,确保2.0网络保护等级安全体系的安全应用。
2.0标准新推出了相应的安全系统及自我监督调整功能,通过合理的自我监督及网络风险检测来时刻保护用户的应用环境和应用安全,这便是2.0标准安全网络等级的优越性和完整性,该2.0安全网络等级体系不仅拥有1.0网络标准的全面体系,更通过改进与完善增加了自我监督、风险测评、自我调整、网络检测功能、及时报警、管理自锁功能等一系列功能,全面提升并完善了网络安全等级的必要意义与全方面的安全指数。
4. 针对2.0网络等级保护安全体系建立全面的构思与运行模式
针对2.0网络等级保护安全体系的全面建设和具体运行方式主要通过对网络的安全模式进行合理设计与整体布局,采用全新的运行规章制度及运行方案风险评测对网络安全进行合理的自我监测,以身份为基础,构建网络空间信任体系形成相应的规范模式,构建全面、安全、自我调整、自我检测、风险评估、及时报警自我调节的新安全等级网络保护模式。
4.1 构建网络空间信任体系
通过合理的布局,建设全新的一对一网络ID身份认证平台。通过对相应的网络ID进行专属认证与识别,进而来实现安全等级保护的一对一认证模式。这样可以降低网络及计算机输出的代码被其他软件及其他手段窃取,建设相对独立或者专属的特定重要内容与重要信息,使得2.0安全等级保护体系可以轻松的认证自我输入的特定代码数列,严禁了国家及相应技术单位的保密文件内涵,实现业务系统生产证书、身份认证的严格控制与系统化专属认证渠道,完善了系统的认证性及独立性。
4.2 提升整体网络保护体系的防御功能
提升整体网络保护体系的防御功能主要通过两个方面来进行,具体的方式通过身份识别、自我检测、问题检测、及时报警、自我修复及调控方式来进行合理的防御以维护手段,主要的两种方式如下具体介绍。防御系统第一方面主要通过攻防模式作为相应的分析视角,对整体网络进行不定时的监督及校核,对所输入的程序代码及计算机代码进行时刻的跟踪与监督,进行访问与网站查询、数据加密及安全预防系统检测、安全系数评定及风险评估的模式进行整合,多方面进行监督及系统检测保证网络的运行。
网络安全预防的功能第二方面主要通过技术创新与安全等级防护的系统构建,通过对其不同代码进行多维检测及建模分析,确保每组程序均为特定代码,避免受外界干扰影响网络的运行;其次全面优化网络技术创新模式与体系,多层次控制网络的监管及监督模式机构,采取有风险及时报警及自我修复的预防系统及理念,确保网络的安全环境得以保证。
4.3 提高网络安全自我应变能力
网络安全自我应变能力是对计算机及云服务进行自动调节功能的设置与完善,通过设置相应的程序及运行模式来保护单位及组织所存档的加密文件,管理并分类相应的等级文件形式,采取不同的要求文件进行不同等级的加密封锁办法进行保密工作的规范保护。单位及组织应通过相应的工号及智能识别系统进行文件解密,严格密封的文件将有多层加密方法进行保护,多层次的保护方案可以更好的使网络安全得以保证,从而全面的提升网络安全的自我应变能力。
网络安全自我应变能力主要体现在自我检测、防漏洞时刻监督的运行模式中,该模式增强了组织与单位对其应用的自信度及应用效果,保证了核心文件不会被第二台计算机及程序所窥透,避免了被黑客窃取的风险,该形式既能全面完善自身检测的效果,又能规避特殊代码无法认证的错误信息,提高了网络安全的自我鉴定及自我防护功能。
4.4 构建完善的监督管理体制
构建完善的监督管理体制是新标准2.0体系安全等级的核心要素,完整的核心监督体系需要多方平台进行检测及评估,通过完备的方案及多维评估准则及形式进行数量加和的评估指标规划,其评估形式分为风险评估、系统评估、运行评估、代码评估、程序评估、检测结果评估等不同的评估形式,该评估系统及评估结果会一一记录于评估系统的分析结果中,差异于评估系统标准范围的数据都将进行二次评估并及时进行封锁管理,采取相应的平台调控模式进行合理的调整与修复,严重的将进行程序自锁及核心文件二重加密进行处理,评估结果将通知到每位加密人员的列表中,构建完善的监督管理体系将很好的保证网络安全的运行,同时降低网络长时间应用所带来的外界风险,规避网络科技及网络黑洞下的黑客攻击风险,确保应用的组织及国家密文得以严格的保护,形成稳定而又严禁的2.0标准下等级安全保护的全方位监督管理运行模式,这便是监督管理的核心构建体系,也明确指引构建监督管理体系对网络运行等级2.0标准的必要形式。网络监督管理体系要有自己的独立空间,通过自身的运行平台对所输入的数据及输出的数据进行全面的监督检测和系统评估,及时给予时效性、全面性、可靠性的检测结果及分析方案。
构建完善的监督管理体制不仅通过多维度、多校核的实践模式,更应引进及借鉴欧美国家多年的监督网络管理模式及体质,通过多层次的监督管理方案构建全面的监督管理体质平台对计算机等级安全保护采取配套的设备进行校核与评估,保障信息的安全及程序代码的正常应用,使计算机安全维护一直处于安全、快捷的运行系统环境,构建监督管理系统平台,虽短时间不能完全实现,但应经过多次的标准、整改、完善等手段进行逐步的发展,形成较为完善的管理及运行体制,确保网络的运行更为通畅,计算机运行更为安全,形成良好的自我管理监督的运行管理体制及相应的完善模式。
4.5 构建完善的安全运行模式与体系
构建完善的安全运行模式与体系主要通过对自身系统的自我检测、能力提升、问题控制、身份认证、代码识别、风险与监督的合理化运用进行整体的布局,通过对等级保护2.0安全体系采取定级指南实施指南的初步分析,进行相对全面的检测与校验,形成双层系统的检测网络控制方案。通过对系统代码及程序代码进行初步检测,确保后续的环节更加稳定通畅,如果初步网络检测不符合要求,安全系统将自动报警并停止运行程序,如初步网络程序可以通过网络检测,将采取第二重安全系统检测方案,进行整体系统的检测及程序运行检测,确保计算机网络安全体系2.0等级保护的优势全面体现。此外自适应安全体系与模式涉及多个领域的安全管理及应用,其不仅对整个互联网的安全进行内容的管理,他还通过新的信息技术分析对物理与环境安全、网络与通信安全、设备与技术安全进行全方位的管理,保证系统处于安全及稳定的运行模式下,这便是安全体系及模式构成的主要目的,2.0等级网络保护安全运行体系将极大程度实现网络信息安全及网络运行环境平稳的保障,也将完善组织与企业信息文件的保护。
参考文献:
[1]赵晶晶.基于等级保护的网络安全建设之研究[J].网络安全技术与应用,2017(4):17-17.
[2]郭启全.信息安全等級保护政策培训教程2016版[M].电子工业出版社,2016.
[3]夏冰.网络安全法和网络安全等级保护2.0[M].电子工业出版社,2017.
作者:薛仓
[摘 要 ]海关是较早实现信息化的中央直属机构,经过近40年的发展,各种信息技术在海关诸多业务领域得到了极为广泛化的应用。但是随着技术的不断进步,各类新型网络攻击手段层出不穷,给海关信息系统带来了极大威胁。信息安全等级保护制度,是维护国家信息安全的根本保障。2019年5月,网络安全等级保护2.0国家标准正式发布,信息安全技术与网络安全保护迈入一个全新时代。本文的主要内容是在网络安全等级保护2.0体系下,对中小型海关网络安全体系状况进行研究并分析问题,提出整改意见,为中小型海关实施等级保护测评提供指导。
[关键词]等级保护2.0;中小型海关;网络安全体系
[
[
[
2019年5月,《網络安全等级保护基本要求》(GB/T22239-2019)、《网络安全等级保护测评要求》(GB/T28448-2019)和《网络安全级保护安全设计技术要求》(GB/T25070-2019)三项国家标准正式发布,标志着等级保护工作迈入2.0时代。信息安全等级保护制度是提高网络安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度,是开展信息安全保护工作的有效办法。以下将在网络安全等级保护2.0体系下,对中小型海关网络安全体系状况进行介绍,分析差距,提出整改意见。
1 网络安全等级保护2.0标准简介
为保障网络安全,维护网络空间主权和国家安全,促进经济社会信息化健康发展,不断完善网络安全保护方面的法律法规十分必要。2015年6月24日,十二届全国人大常委会第十五次会议审议了网络安全法草案,2017年6月1日起正式施行2017年。网络安全法明确要求“国家实行网络安全等级保护制度”(第二十一条)、“国家对一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”(第三十一条)。上述要求为网络安全等赋予了新的含义,重新调整和修订等级保护1.0标准体系,配合网络安全法的实施和落地,指导用户按照网络安全等级保护制度的新要求,履行网络安全保护义务的意义重大。
与1.0标准相比,等级保护2.0标准下的等级保护对象已经从狭义的信息系统,扩展到网络基础设施(广电网、电信网、专用通信网组等)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统移动互联技术的系统等(如图1所示)。
在安全通用要求基础上,针对云计算、移动互联、物联网和工控系统提出了安全扩展要求;进一步明确网络安全定级及评审、备案及审核、等级测评、安全建设整改、自查等工作要求。增加了测评活动安全管理、网络服务管理、产品服务采购使用管理、技术维护管理、监测预警和信息通报管理、数据和信息安全保护要求、应急处置要求等内容。该标准是指导用户开展网络安全等级保护建设整改、等级测评等工作的核心标准,是开展新时代网络安全等级保护工作的前提。[1]
2 海关网络安全体系现状
现海关网络安全保障体系包括管理体系、技术体系、支撑体系和服务体系四个层面如图2所示:
2.1 管理体系
从管理要素角度看,管理体系包括安全管理、安全组织、建设运行、技术管理、合规管理和安全协调六个方面内容。安全管理是开展信息安全工作的基础,规定了信息安全工作的目标、活动和流程,并提出要求。安全组织是开展信息安全工作的组织保障,明确安全管理机构和人员的职责与分工。建设运行是开展信息安全工作重要措施,将安全工作分解到信息系统全生命周期的各个阶段,进行落实。技术管理是为信息安全工作的开展进行技术研究和储备,应对新技术、新应用对安全工作所带来的挑战。合规管理是对信息安全工作开展情况的监督、检查和审计,掌握信息安全工作的执行状况。安全协调是开展信息工作辅助手段,协调内部资源、借助外部资源及时、有效解决信息安全问题、获取安全情报。
2.2 技术体系
从保护对象角度看,技术体系包括终端安全、应用安全、数据安全和基础安全四个方面内容。终端是海关业务工作的人机交互界面,是造成安全问题的主要入口,加强终端安全保护,切断安全威胁路径。应用系统是处理海关业务的软件系统,是信息系统脆弱性产生的主要根源,加强应用系统的功能设计和开发,降低应用系统的脆弱性。数据是海关业务的核心资产,落实数据分类分级和全生命周期保护,规避数据被非授权访问或非法窃取的威胁。基础设施是支撑海关信息系统正常运行的基石,是整个技术体系的基础,完善基础安全防护,控制信息系统面临的一般风险。
2.3 支撑体系
从网络安全综合防范能力角度看,支撑体系包括管理能力、检测能力和响应能力三个方面内容。管理能力是实现海关信息系统网络安全闭环管理的支撑;检测能力是实现海关信息系统网络安全态势的感知与预警的支撑;响应能力是实现海关信息系统网络安全事件的分析、处理和追溯的支撑。
2.4 服务体系
从安全资源角度看,安全服务体系包括人才共享、政策法规共享、信息共享、安全服务四个方面内容。人才共享是整合海关技术专家资源,充分发挥各技术人员的优势和能力,建立安全专家工作机制;政策法规共享是建立信息安全政策法规库,为海关信息安全工作人员提供服务信息共享是建立安全知识库,将海关信息系统运行过程中出现的安全事件、系统故障等处理的方法与经验进行共享;安全服务是建立能够提供服务的平台与系统,创新安全服务模式,完善安全服务内容,为海关提供网络安全服务。
3 海关信息系统面临的网络安全形势和问题
3.1 需要进一步符合网络安全等级保护的新要求
随着信息技术的发展和网络安全形势的变化,原信息系统安全等级保护的要求已无法有效应对新的安全风险和新技术应用所带来的新威胁,以被动防御为主的防御思想无法满足当今发展要求,因此新的网络安全等级保护要求适时而出,从法律法规、标准要求、安全体系、实施环节等方面都有了变化[2]。
针对新的安全形势,信息系统的安全设计应基于业务流程自身特点,利用边界防护、访问控制、入侵防范、安全审计、身份鉴别、数据安全保护、恶意代码防范等技术手段,建立“可信、可控、可管”的安全防护体系,使得系统能够按照预期运行,免受信息安全攻击和破坏。同时,随着海关今后对于新技术的采用,需符合網络安全等级保护中扩展要求的云计算、物联网、移动互联网、工业控制以及大数据的相关要求。
海关信息系统安全建设应充分吸收网络安全等级保护的实质内涵,有效适应新体系所提出的新要求,做到合规达标。
3.2 应对日趋严峻的网络空间安全挑战
通过网络安全攻防演习、渗透测试等专项工作,在海关网络安全方面检验了工作水平,积累了实战经验,提升了队伍能力,排查化解了风险。同时,在VPN设备防护能力、专网管理措施、关键设备安全防护措施和监测手段、内网管理策略、边界准入设备权限控制、应用系统漏洞、域安全等方面发现存在诸多问题和隐患,需要对暴露出的问题进行有针对性的整改。
3.3 在数据安全与敏感数据防泄漏方面亟待加强
数据是海关重要的战略资产,数据安全是网络安全中极其重要的部分。在网络安全法中对数据安全领域的保护也有着明确的要求。如何以数据为视角强化网络安全体系建设,实现数据分级保护,有效保护内部关键数据的安全,防止敏感数据的泄漏和丢失,使得核心业务数据安全、可观、可控、可追溯是需要重点考虑的问题。
3.4 网络安全资源需要进一步整合
2013年7月,金关工程(二期)项目启动建设。随着项目的推进,各直属海关增配了多种安全设备,进一步丰富了各关的信息安全防护体系,提升了网络安全防护能力。虽然有安全管理平台对各安全设备进行监控和日志采集,但往往各个安全资源各自为战,没有形成统一分层次的防护整体,仍需要耗费人力熟悉操作使用,并对安全日志进行分析,无法准确定位安全问题,降低了安全设备的使用成效,进而制约了海关信息系统信息安全防护体系的有效提升。
4 中小型海关信息系统等级保护测评实施建议
4.1 等级保护对象的确定
作为定级对象的信息系统是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理、服务的系统。等级保护对象一般具有3个基本特征:(1)具有唯一确定的安全责任单位;(2)具有信息系统的基本要素;(3)承载单一或相对独立的业务应用[3]。结合《海关网络安全等级保护定级备案指导方案》中给出的海关信息系统定级对象和级别的建议,中小型海关的等级保护对象可确定为以下四个系统:(1)海关业务网;(2)海关管理系统;(3)海关作业系统;(4)电子口岸专网系统。
4.2 相关系统的定级级别
4.2.1 海关业务网
海关业务网是海关信息系统运行的基础网络环境,承载包括:海关作业系统以及与作业系统相关应用的网络运行平台,主要有运行通关管理、物流监控、检验检疫等作业系统。一旦网络中断,相关信息系统将无法正常运行,将给海关正常业务和办公造成影响,造成较为严重的损失,故建议将海关业务网这一网络基础环境单独进行定级。
中小型海关的海关业务网业务信息安全或系统服务安全受到破坏后,对社会秩序和公共利益造成严重损害,即:工作职能受到影响,业务能力下降,对社会造成大范围的不良影响,以及对组织和个人造成损失;以及对公民、法人、其他组织的合法权益造成严重损害。故该系统可考虑定级为第二级。
4.2.2 海关管理系统
海关管理系统信承载着相对独立的业务,主要承担:业务管理、综合事务协调、人事管理、通知管理、文件收发、签报管理、政务信息、督查管理、档案管理等海关内部管理业务。
中小型海关的海关管理系统业务信息安全或系统服务安全受到破坏后,对社会秩序和公共利益以及公民、法人、其他组织的合法权益均造成严重损害,即工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。故该系统可考虑定级为第二级。
4.2.3 海关作业系统
海关作业系统承担所属关区的海关业务,主要业务有:关税征管、货运监管、通关监管、海关稽查、国际快件邮件监管、进出境运输工具、人员和行李物品监管、加工贸易监管、卫生检疫、进出境动植物检疫和进出口商品检验鉴定及认证等。
中小型海关的海关作业系统业务信息安全或系统服务安全受到破坏后,对社会秩序和公共利益造成严重损害,即:工作职能受到影响,业务能力下降,对社会造成大范围的不良影响,以及对组织和个人造成损失;以及对公民、法人、其他组织的合法权益造成严重损害,即:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。故该系统可考虑定级为第二级。
4.2.4 电子口岸专网系统
电子口岸专网系统承载着相对独立的业务,此系统是企业通过Ibmmq连接,发送海关总署16号公告中所有海关开通的接口报文,一般发送的文件为xml。与企业连接采用互联网连接。与数据中心连接采用电子口岸专网连接,目前主要用以传输企业舱单信息,查验信息等。通过MSMQ与企业连接,与企业连接采用互联网连接,与数据中心连接采用互联网连接。
中小型海关的电子口岸专网系统业务信息安全或系统服务安全受到破坏后,对社会秩序和公共利益造成严重损害,即:工作职能受到影响,业务能力下降,对社会造成大范围的不良影响,以及对组织和个人造成损失;以及对公民、法人、其他组织的合法权益造成严重损害,即:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。故该系统可考虑定级为第二级。没有电子口岸相关业务的海关不可定级。
4.3 信息系统安全加固的重点
4.3.1 建立1个安全管理平台
海关信息安全体系的技術设计围绕安全管理平台进行,面向多个安全等级保护区域统一建设集中化的包括系统管理,安全管理和审计管理的管理平台,安全管理平台统一完成对各区域,各层面的安全机制实施。
4.3.2 设计3重防御措施
安全计算环境:通过在操作系统核心层、系统层设置以强制访间控制为主体的系统安全机制,形成防护层,通过对用户行为的控制,可以有效防止非授权用户访问和授权用户越权访问,确保信息和信息系统的保密性和完整性,通过接口平台使应用系统的主客体与保护环境的主客体相对应,达到访问控制策略实现的一致性。
安全区域边界:通过对进入和流出安全保护环境的信息流进行安全检查,确保不会有违反系统安全策略的信息流经过边界。
安全通信网络:通过对通信数据包的保密性和完整性的保护,确保其在传输过程中不会被非授权窃听和簒改,以保障数据在传输过程中的安全。
4.3.3 形成3道安全防线
第一道防线:以安全管理体系为基础、以安全技术体系为支撑构建完备的安全管理体制与基础安全设施,形成对安全苗头进行事前防范的第一道防线,为海关信息系统的安全运行打下良好的基础。
第二道防线:由安全支撑体系构成事中控制的第二道防线。通过周密的调度、安全运维管理、安全监测预警,及时排除安全隐患,确保海关信息系统持续、可靠地运行。
第三道防线:由安全服务体系构成事后控制的第三道防线。针对各种突发灾难事件,利用专家库建立灾难恢复与业务持续性计划,进行应急演练,形成快速响应、快速恢复的机制,将灾难造成的损失降到可以接受的程度。
4.3.4 完善4个安全体系建设
安全管理体系:进一步强化海关信息系统的安全管理,建立起以关领导为核心的网络安全管理委员会,明确关区安全发展规划,落实安全管理机构和人员分工,积极协调各部门处室的技术力量,形成安全管理的合理闭环。
安全技术体系:切实掌握并熟练应用金关工程二期下发的各类安全设备,强化终端安全、应用安全、数据安全和基础安全,降低各层面安全风险。
安全支撑体系:建立日常安全运行与维护机制,提高管理能力、检测能力和响应能力,重点是建立安全运行问题处理机制,形成完善的运行保障机制,及时、准确、快速地处理问题,强调执行过程安全。
安全服务体系:加快信息安全人才队伍建设,加强海关与其他行业的横向纵向沟通,积极响应科技建立安全专家工作机制,利用安全服务完善安全体系建设。
5 结束语
综上所述,网络安全等级保护2.0是对等级保护1.0的继承与完善,能够为网络安全防护工作的实施提供有效的指导。海关要结合网络安全等级保护2.0的要求,依照“一个中心、三重防护”的安全架构优化、完善网络安全技术防护与管理防护,结合先进技术的运用以及管理体系的不断完善,有效应对各种安全风险问题,促使海关信息系统的整体安全得到进一步增强。
参考文献
[1] 傅钰.网络安全等级保护2.0下的安全体系建设[J].网络安全技术与应用,2018(8):9.
[2] 付敏,蒲小英,秦伟强,等.基于网络安全等级保护2.0标准的物联网安全体系架构[C]//2019中国网络安全等级保护和关键信息基础设施保护大会论文集.公安部网络安全保卫局指导;公安部第三研究所,2019.
[3] 杨春,徐玮,夏平平,等.基于网络安全等级保护的信息系统安全设计[J].现代工业经济和信息化,2019(11):68-69.
[4] 段晓祥,王洪鳌,袁洪朋,等.基于AHP的网络安全等级保护2.0评价算法研究[C]//2019中国网络安全等级保护和关键信息基础设施保护大会.
[5] 郭乐.网络安全等级保护2.0体系下的法院网络安全管理及应对[J].网络安全技术与应用,2020(5):136-137.
[6] 林春艳,陈建云.基于网络安全等级保护2.0的气象信息网络安全体系研究[J].信息记录材料,2020,21(4):107-108.
[7] 段晓祥,王洪鳌,袁洪朋,等.基于AHP的网络安全等级保护2.0评价算法研究[C]//2019中国网络安全等级保护和关键信息基础设施保护大会.
[8] 刘赫.基于网络安全等级保护2.0的安全区域边界[J].电子技术与软件工程,2020,171(1):242-244.
[9] 何占博,王颖,刘军,等.我国网络安全等级保护现状与2.0标准体系研究[J].信息技术与网络安全,2019,38(3):9-14.
[10] 管林玉.基于shellcode静态虚拟执行的文档类漏洞恶意代码取证技术研究[C]//第五届全国信息安全等级保护技术大会.
作者:李钊 汲广阳 宋兆磊 周守宇
信息安全等级保护(二级) 信息安全等级保护(二级) 备注:其中黑色字体为信息安全等级保护第二级系统要求,蓝色字体为第三级系统等保要求。
一、物理安全
1、应具有机房和办公场地的设计/验收文档(机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施)
2、应具有有来访人员进入机房的申请、审批记录;来访人员进入机房的登记记录
3、应配置电子门禁系统(三级明确要求);电子门禁系统有验收文档或产品安全认证资质,电子门禁系统运行和维护记录
4、主要设备或设备的主要部件上应设置明显的不易除去的标记
5、介质有分类标识;介质分类存放在介质库或档案室内,磁介质、纸介质等分类存放
6、应具有摄像、传感等监控报警系统;机房防盗报警设施的安全资质材料、安装测试和验收报告;机房防盗报警系统的运行记录、定期检查和维护记录;
7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告;机房监控报警系统的运行记录、定期检查和维护记录
8、应具有机房建筑的避雷装置;通过验收或国家有关部门的技术检测;
9、应在电源和信号线上增加有资质的防雷保安器;具有防雷检测资质的检测部门对防雷装置的检测报告
10、应具有自动检测火情、自动报警、自动灭火的自动消防系统;自动消防系统的运行记录、检查和定期维护记录;消防产品有效期合格;自动消防系统是经消防检测部门检测合格的产品
11、应具有除湿装置;空调机和加湿器;温湿度定期检查和维护记录
12、应具有水敏感的检测仪表或元件;对机房进行防水检测和报警;防水检测装置的运行记录、定期检查和维护记录
13、应具有温湿度自动调节设施;温湿度自动调节设施的运行记录、定期检查和维护记录
14、应具有短期备用电力供应设备(如UPS);短期备用电力供应设备的运行记录、定期检查和维护记录
15、应具有冗余或并行的电力电缆线路(如双路供电方式)
2
16、应具有备用供电系统(如备用发电机);备用供电系统运行记录、定期检查和维护记录
二、安全管理制度
1、应具有对重要管理操作的操作规程,如系统维护手册和用户操作规程
2、应具有安全管理制度的制定程序:
3、应具有专门的部门或人员负责安全管理制度的制定(发布制度具有统一的格式,并进行版本控制)
4、应对制定的安全管理制度进行论证和审定,论证和审定方式如何(如召开评审会、函审、内部审核等),应具有管理制度评审记录
5、应具有安全管理制度的收发登记记录,收发应通过正式、有效的方式(如正式发文、领导签署和单位盖章等)----安全管理制度应注明发布范围,并对收发文进行登记。
6、信息安全领导小组定期对安全管理制度体系的合理性和适用性进行审定,审定周期多长。(安全管理制度体系的评审记录)
7、系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时应对安全管理制度进行检查,对需要改进的制度进行修订。(应具有安全管理制度修订记录)
三、安全管理机构
1、应设立信息安全管理工作的职能部门
2、应设立安全主管、安全管理各个方面的负责人
3、应设立机房管理员、系统管理员、网络管理员、安全管理员等重要岗位(分工明确,各司其职),数量情况(管理人员名单、岗位与人员对应关系表)
4、安全管理员应是专职人员
5、关键事物需要配备2人或2人以上共同管理,人员具体配备情况如何。
6、应设立指导和管理信息安全工作的委员会或领导小组(最高领导是否由单位主管领导委任或授权的人员担任)
7、应对重要信息系统活动进行审批(如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等),审批部门是何部门,审批人是何人。审批程序:
8、应与其它部门之间及内部各部门管理人员定期进行沟通(信息安全领导小组或者安全管理委员会应定期召开会议)
9、应组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录,定期:
10、信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录(如会议记录/纪要,信息安全工作决策文档等)
11、应与公安机关、电信公司和兄弟单位等的沟通合作(外联单位联系列表)
12、应与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制。
13、聘请信息安全专家作为常年的安全顾问(具有安全顾问名单或者聘请安全顾问的证明文件、具有安全顾问参与评审的文档或记录)
14、应组织人员定期对信息系统进行安全检查(查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况)
15、应定期进行全面安全检查(安全检查是否包含现行技术措施有效性和管理制度执行情况等方面、具有安全检查表格,安全检查报告,检查结果通告记录)
四、人员安全管理
1、何部门/何人负责安全管理和技术人员的录用工作(录用过程)
2、应对被录用人的身份、背景、专业资格和资质进行审查,对技术人员的技术技能进行考核,技能考核文档或记录
3、应与录用后的技术人员签署保密协议(协议中有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容)
4、应设定关键岗位,对从事关键岗位的人员是否从内部人员中选拔,是否要求其签署岗位安全协议。
5、应及时终止离岗人员的所有访问权限(离岗人员所有访问权限终止的记录)
6、应及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等(交还身份证件和设备等的登记记录)
7、人员离岗应办理调离手续,是否要求关键岗位调离人员承诺相关保密义务后方可离开(具有按照离岗程序办理调离手续的记录,调离人员的签字)
8、对各个岗位人员应定期进行安全技能考核;具有安全技能考核记录,考核内容要求包含安全知识、安全技能等。
9、对关键岗位人员的安全审查和考核与一般岗位人员有何不同,审查内容是否包括操作行为和社会关系等。
10、应对各类人员(普通用户、运维人员、单位领导等)进行安全教育、岗位技能和安全技术培训。
6
11、应针对不同岗位制定不同的培训计划,并按照计划对各个岗位人员进行安全教育和培训(安全教育和培训的结果记录,记录应与培训计划一致)
12、外部人员进入条件(对哪些重要区域的访问须提出书面申请批准后方可进入),外部人员进入的访问控制(由专人全程陪同或监督等)
13、应具有外部人员访问重要区域的书面申请
14、应具有外部人员访问重要区域的登记记录(记录描述了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等)
五、系统建设管理
1、应明确信息系统的边界和安全保护等级(具有定级文档,明确信息系统安全保护等级)
2、应具有系统建设/整改方案
3、应授权专门的部门对信息系统的安全建设进行总体规划,由何部门/何人负责
4、应具有系统的安全建设工作计划(系统安全建设工作计划中明确了近期和远期的安全建设计划)
5、应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定(配套文件的论证评审记录或文档)
6、应对总体安全策略、安全技术框架、安全管理策略等相关配套文件应定期进行调整和修订
7、应具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本
8、应按照国家的相关规定进行采购和使用系统信息安全产品
9、安全产品的相关凭证,如销售许可等,应使用符合国家有关规定产品
10、应具有专门的部门负责产品的采购
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
8
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案
22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)
23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)
24、应具有测试验收报告
9
25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)
26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)
10
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案
22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)
11
23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)
24、应具有测试验收报告
25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)
26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书
六、系统运维管理
1、应指定专人或部门对机房的基本设施(如空调、供配电设备等)进行定期维护,由何部门/何人负责。
2、应具有机房基础设施的维护记录,空调、温湿度控制等机房设施定期维护保养的记录
3、应指定部门和人员负责机房安全管理工作
4、应对办公环境保密性进行管理(工作人员离开座位确保终端计算机退出登录状态、桌面上没有包含敏感信息的纸档文件)
5、应具有资产清单(覆盖资产责任人、所属级别、所处位置、所处部门等方面)
6、应指定资产管理的责任部门或人员
7、应依据资产的重要程度对资产进行标识
8、介质存放于何种环境中,应对存放环境实施专人管理(介质存放在安全的环境(防潮、防盗、防火、防磁,专用存储空间))
9、应具有介质使用管理记录,应记录介质归档和使用等情况(介质存放、使用管理记录)
10、对介质的物理传输过程应要求选择可靠传输人员、严格介质的打包(如采用防拆包装置)、选择安全的物理传输途径、双方在场交付等环节的控制
13
11、应对介质的使用情况进行登记管理,并定期盘点(介质归档和查询的记录、存档介质定期盘点的记录)
12、对送出维修或销毁的介质如何管理,销毁前应对数据进行净化处理。(对带出工作环境的存储介质是否进行内容加密并有领导批准。对保密性较高的介质销毁前是否有领导批准)(送修记录、带出记录、销毁记录)
13、应对某些重要介质实行异地存储,异地存储环境是否与本地环境相同(防潮、防盗、防火、防磁,专用存储空间)
14、介质上应具有分类的标识或标签
15、应对各类设施、设备指定专人或专门部门进行定期维护。
16、应具有设备操作手册
17、应对带离机房的信息处理设备经过审批流程,由何人审批(审批记录)
18、应监控主机、网络设备和应用系统的运行状况等
19、应有相关网络监控系统或技术措施能够对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警
20、应具有日常运维的监控日志记录和运维交接日志记录
14
21、应定期对监控记录进行分析、评审
22、应具有异常现象的现场处理记录和事后相关的分析报告
23、应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等相关事项进行集中管理
24、应指定专人负责维护网络安全管理工作
25、应对网络设备进行过升级,更新前应对现有的重要文件是否进行备份(网络设备运维维护工作记录)
26、应对网络进行过漏洞扫描,并对发现的漏洞进行及时修补。
27、对设备的安全配置应遵循最小服务原则,应对配置文件进行备份(具有网络设备配置数据的离线备份)
28、系统网络的外联种类(互联网、合作伙伴企业网、上级部门网络等)应都得到授权与批准,由何人/何部门批准。应定期检查违规联网的行为。
29、对便携式和移动式设备的网络接入应进行限制管理
30、应具有内部网络外联的授权批准书,应具有网络违规行为(如拨号上网等)的检查手段和工具。
31、在安装系统补丁程序前应经过测试,并对重要文件进行备份。
15
32、应有补丁测试记录和系统补丁安装操作记录
33、应对系统管理员用户进行分类(比如:划分不同的管理角色,系统管理权限与安全审计权限分离等)
34、审计员应定期对系统审计日志进行分析(有定期对系统运行日志和审计数据的分析报告)
35、应对员工进行基本恶意代码防范意识的教育,如告知应及时升级软件版本(对员工的恶意代码防范教育的相关培训文档)
36、应指定专人对恶意代码进行检测,并保存记录。
37、应具有对网络和主机进行恶意代码检测的记录
38、应对恶意代码库的升级情况进行记录(代码库的升级记录),对各类防病毒产品上截获的恶意代码是否进行分析并汇总上报。是否出现过大规模的病毒事件,如何处理
39、应具有恶意代码检测记录、恶意代码库升级记录和分析报告 40、应具有变更方案评审记录和变更过程记录文档。
41、重要系统的变更申请书,应具有主管领导的批准
42、系统管理员、数据库管理员和网络管理员应识别需定期备份的业务信息、系统数据及软件系统(备份文件记录)
16
43、应定期执行恢复程序,检查和测试备份介质的有效性
44、应有系统运维过程中发现的安全弱点和可疑事件对应的报告或相关文档
45、应对安全事件记录分析文档
46、应具有不同事件的应急预案
47、应具有应急响应小组,应具备应急设备并能正常工作,应急预案执行所需资金应做过预算并能够落实。
48、应对系统相关人员进行应急预案培训(应急预案培训记录)
49、应定期对应急预案进行演练(应急预案演练记录) 50、应对应急预案定期进行审查并更新
51、应具有更新的应急预案记录、应急预案审查记录。
备注:其中黑色字体为信息安全等级保护第二级系统要求,蓝色字体为第三级系统等保要求。
一、物理安全
1、应具有机房和办公场地的设计/验收文档(机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施)
2、应具有有来访人员进入机房的申请、审批记录;来访人员进入机房的登记记录
3、应配置电子门禁系统(三级明确要求);电子门禁系统有验收文档或产品安全认证资质,电子门禁系统运行和维护记录
4、主要设备或设备的主要部件上应设置明显的不易除去的标记
5、介质有分类标识;介质分类存放在介质库或档案室内,磁介质、纸介质等分类存放
6、应具有摄像、传感等监控报警系统;机房防盗报警设施的安全资质材料、安装测试和验收报告;机房防盗报警系统的运行记录、定期检查和维护记录;
7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告;机房监控报警系统的运行记录、定期检查和维护记录
8、应具有机房建筑的避雷装置;通过验收或国家有关部门的技术检测;
9、应在电源和信号线上增加有资质的防雷保安器;具有防雷检测资质的检测部门对防雷装置的检测报告
10、应具有自动检测火情、自动报警、自动灭火的自动消防系统;自动消防系统的运行记录、检查和定期维护记录;消防产品有效期合格;自动消防系统是经消防检测部门检测合格的产品
11、应具有除湿装置;空调机和加湿器;温湿度定期检查和维护记录
12、应具有水敏感的检测仪表或元件;对机房进行防水检测和报警;防水检测装置的运行记录、定期检查和维护记录
13、应具有温湿度自动调节设施;温湿度自动调节设施的运行记录、定期检查和维护记录
14、应具有短期备用电力供应设备(如UPS);短期备用电力供应设备的运行记录、定期检查和维护记录
15、应具有冗余或并行的电力电缆线路(如双路供电方式)
16、应具有备用供电系统(如备用发电机);备用供电系统运行记录、定期检查和维护记录
二、安全管理制度
1、应具有对重要管理操作的操作规程,如系统维护手册和用户操作规程
2、应具有安全管理制度的制定程序:
3、应具有专门的部门或人员负责安全管理制度的制定(发布制度具有统一的格式,并进行版本控制)
4、应对制定的安全管理制度进行论证和审定,论证和审定方式如何(如召开评审会、函审、内部审核等),应具有管理制度评审记录
5、应具有安全管理制度的收发登记记录,收发应通过正式、有效的方式(如正式发文、领导签署和单位盖章等)----安全管理制度应注明发布范围,并对收发文进行登记。
6、信息安全领导小组定期对安全管理制度体系的合理性和适用性进行审定,审定周期多长。(安全管理制度体系的评审记录)
7、系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时应对安全管理制度进行检查,对需要改进的制度进行修订。(应具有安全管理制度修订记录)
三、安全管理机构
1、应设立信息安全管理工作的职能部门
2、应设立安全主管、安全管理各个方面的负责人
3、应设立机房管理员、系统管理员、网络管理员、安全管理员等重要岗位(分工明确,各司其职),数量情况(管理人员名单、岗位与人员对应关系表)
4、安全管理员应是专职人员
5、关键事物需要配备2人或2人以上共同管理,人员具体配备情况如何。
6、应设立指导和管理信息安全工作的委员会或领导小组(最高领导是否由单位主管领导委任或授权的人员担任)
7、应对重要信息系统活动进行审批(如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等),审批部门是何部门,审批人是何人。审批程序:
8、应与其它部门之间及内部各部门管理人员定期进行沟通(信息安全领导小组或者安全管理委员会应定期召开会议)
9、应组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录,定期:
10、信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录(如会议记录/纪要,信息安全工作决策文档等)
11、应与公安机关、电信公司和兄弟单位等的沟通合作(外联单位联系列表)
12、应与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制。
13、聘请信息安全专家作为常年的安全顾问(具有安全顾问名单或者聘请安全顾问的证明文件、具有安全顾问参与评审的文档或记录)
14、应组织人员定期对信息系统进行安全检查(查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况)
15、应定期进行全面安全检查(安全检查是否包含现行技术措施有效性和管理制度执行情况等方面、具有安全检查表格,安全检查报告,检查结果通告记录)
四、人员安全管理
1、何部门/何人负责安全管理和技术人员的录用工作(录用过程)
2、应对被录用人的身份、背景、专业资格和资质进行审查,对技术人员的技术技能进行考核,技能考核文档或记录
3、应与录用后的技术人员签署保密协议(协议中有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容)
4、应设定关键岗位,对从事关键岗位的人员是否从内部人员中选拔,是否要求其签署岗位安全协议。
5、应及时终止离岗人员的所有访问权限(离岗人员所有访问权限终止的记录)
6、应及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等(交还身份证件和设备等的登记记录)
7、人员离岗应办理调离手续,是否要求关键岗位调离人员承诺相关保密义务后方可离开(具有按照离岗程序办理调离手续的记录,调离人员的签字)
8、对各个岗位人员应定期进行安全技能考核;具有安全技能考核记录,考核内容要求包含安全知识、安全技能等。
9、对关键岗位人员的安全审查和考核与一般岗位人员有何不同,审查内容是否包括操作行为和社会关系等。
10、应对各类人员(普通用户、运维人员、单位领导等)进行安全教育、岗位技能和安全技术培训。
11、应针对不同岗位制定不同的培训计划,并按照计划对各个岗位人员进行安全教育和培训(安全教育和培训的结果记录,记录应与培训计划一致)
12、外部人员进入条件(对哪些重要区域的访问须提出书面申请批准后方可进入),外部人员进入的访问控制(由专人全程陪同或监督等)
13、应具有外部人员访问重要区域的书面申请
14、应具有外部人员访问重要区域的登记记录(记录描述了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等)
五、系统建设管理
1、应明确信息系统的边界和安全保护等级(具有定级文档,明确信息系统安全保护等级)
2、应具有系统建设/整改方案
3、应授权专门的部门对信息系统的安全建设进行总体规划,由何部门/何人负责
4、应具有系统的安全建设工作计划(系统安全建设工作计划中明确了近期和远期的安全建设计划)
5、应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定(配套文件的论证评审记录或文档)
6、应对总体安全策略、安全技术框架、安全管理策略等相关配套文件应定期进行调整和修订
7、应具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本
8、应按照国家的相关规定进行采购和使用系统信息安全产品
9、安全产品的相关凭证,如销售许可等,应使用符合国家有关规定产品
10、应具有专门的部门负责产品的采购
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案
22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)
23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)
24、应具有测试验收报告
25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)
26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书
六、系统运维管理
1、应指定专人或部门对机房的基本设施(如空调、供配电设备等)进行定期维护,由何部门/何人负责。
2、应具有机房基础设施的维护记录,空调、温湿度控制等机房设施定期维护保养的记录
3、应指定部门和人员负责机房安全管理工作
4、应对办公环境保密性进行管理(工作人员离开座位确保终端计算机退出登录状态、桌面上没有包含敏感信息的纸档文件)
5、应具有资产清单(覆盖资产责任人、所属级别、所处位置、所处部门等方面)
6、应指定资产管理的责任部门或人员
7、应依据资产的重要程度对资产进行标识
8、介质存放于何种环境中,应对存放环境实施专人管理(介质存放在安全的环境(防潮、防盗、防火、防磁,专用存储空间))
9、应具有介质使用管理记录,应记录介质归档和使用等情况(介质存放、使用管理记录)
10、对介质的物理传输过程应要求选择可靠传输人员、严格介质的打包(如采用防拆包装置)、选择安全的物理传输途径、双方在场交付等环节的控制
11、应对介质的使用情况进行登记管理,并定期盘点(介质归档和查询的记录、存档介质定期盘点的记录)
12、对送出维修或销毁的介质如何管理,销毁前应对数据进行净化处理。(对带出工作环境的存储介质是否进行内容加密并有领导批准。对保密性较高的介质销毁前是否有领导批准)(送修记录、带出记录、销毁记录)
13、应对某些重要介质实行异地存储,异地存储环境是否与本地环境相同(防潮、防盗、防火、防磁,专用存储空间)
14、介质上应具有分类的标识或标签
15、应对各类设施、设备指定专人或专门部门进行定期维护。
16、应具有设备操作手册
17、应对带离机房的信息处理设备经过审批流程,由何人审批(审批记录)
18、应监控主机、网络设备和应用系统的运行状况等
19、应有相关网络监控系统或技术措施能够对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警 20、应具有日常运维的监控日志记录和运维交接日志记录
21、应定期对监控记录进行分析、评审
22、应具有异常现象的现场处理记录和事后相关的分析报告
23、应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等相关事项进行集中管理
24、应指定专人负责维护网络安全管理工作
25、应对网络设备进行过升级,更新前应对现有的重要文件是否进行备份(网络设备运维维护工作记录)
26、应对网络进行过漏洞扫描,并对发现的漏洞进行及时修补。
27、对设备的安全配置应遵循最小服务原则,应对配置文件进行备份(具有网络设备配置数据的离线备份)
28、系统网络的外联种类(互联网、合作伙伴企业网、上级部门网络等)应都得到授权与批准,由何人/何部门批准。应定期检查违规联网的行为。
29、对便携式和移动式设备的网络接入应进行限制管理
30、应具有内部网络外联的授权批准书,应具有网络违规行为(如拨号上网等)的检查手段和工具。
31、在安装系统补丁程序前应经过测试,并对重要文件进行备份。
32、应有补丁测试记录和系统补丁安装操作记录
33、应对系统管理员用户进行分类(比如:划分不同的管理角色,系统管理权限与安全审计权限分离等)
34、审计员应定期对系统审计日志进行分析(有定期对系统运行日志和审计数据的分析报告)
35、应对员工进行基本恶意代码防范意识的教育,如告知应及时升级软件版本(对员工的恶意代码防范教育的相关培训文档)
36、应指定专人对恶意代码进行检测,并保存记录。
37、应具有对网络和主机进行恶意代码检测的记录
38、应对恶意代码库的升级情况进行记录(代码库的升级记录),对各类防病毒产品上截获的恶意代码是否进行分析并汇总上报。是否出现过大规模的病毒事件,如何处理
39、应具有恶意代码检测记录、恶意代码库升级记录和分析报告 40、应具有变更方案评审记录和变更过程记录文档。
41、重要系统的变更申请书,应具有主管领导的批准
42、系统管理员、数据库管理员和网络管理员应识别需定期备份的业务信息、系统数据及软件系统(备份文件记录)
43、应定期执行恢复程序,检查和测试备份介质的有效性
44、应有系统运维过程中发现的安全弱点和可疑事件对应的报告或相关文档
45、应对安全事件记录分析文档
46、应具有不同事件的应急预案
47、应具有应急响应小组,应具备应急设备并能正常工作,应急预案执行所需资金应做过预算并能够落实。
48、应对系统相关人员进行应急预案培训(应急预案培训记录)
49、应定期对应急预案进行演练(应急预案演练记录) 50、应对应急预案定期进行审查并更新
51、应具有更新的应急预案记录、应急预案审查记录。
TopSec可信等级体系 天融信等级保护方案
Hacker.cn 更新时间:08-03-27 09:37 来源:硅谷动力 作者:中安网
1.等级保护概述
1.1为什么要实行等级保护?
信息系统与社会组织体系是具有对应关系的,而这些组织体系是分层次和级别的,因此各种信息系统是具有不同等级的重要性和社会、经济价值的。对信息系统的基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统的重要程度进行区别对待就是级别的客观要求。信息安全必须符合这些客观要求,这就需要对信息系统进行分级、分区域、分阶段进行保护,这是做好国家信息安全的必要条件。
1.2等级保护的政策文件
信息安全等级保护工作非常重要,为此从2003年开始国家发布了一系列政策文件,具体如下:
2003年9月,中办国办颁发《关于加强信息安全保障工作的意见》(中办发[2003]27号),这是我国第一个信息安全保障工作的纲领性文件,战略目标为经过五年努力,基本形成国家信息安全保障体系,实行等级保护制度。
2004年11月,四部委会签《关于信息安全等级保护工作的实施意见》(公通字[2004]66号):等级保护是今后国家信息安全的基本制度也是根本方法、等级保护制度的重要意义、原则、基本内容、工作职责分工、工作要求和实施计划。 2005年9月,国信办文件,《关于转发《电子政务信息安全等级保护实施指南》的通知》(国信办[2004]25号):基本原理、定级方法、安全规划与设计、实施与运营、大型复杂电子政务系统等级保护过程。
2005年,公安部标准:《等级保护安全要求》、《等级保护定级指南》、《等级保护实施指南》、《等级保护测评准则》。
2006年1月,四部委会签《关于印发《信息安全等级保护管理办法的通知》(公通字[2006]7号)。
1.3 等级保护的管理结构-北京为例
等级保护的实施和落实离不开各级管理机构的指导和监督,这在等级保护的相关文件中已经得到了规定,下面以北京市为例来说明管理机构的组成和职责,具体如下图所示:
1.4等级保护理论的技术演进
在等级保护理论被提出以后,经过相关部门的努力工作,逐渐提出了一系列原则、技术和框架,已经具备实施等级保护工作的基础条件了,其具体演进过程如下图所示:
1.5等级保护的基本需求
一个机构要实施等级保护,需要基本需求。由于等级保护是国家推动的旨在规范安全工作的基本工作制度,因此各级组织在这方面就存在如下需求:
(1) 政策要求-符合等级保护的要求。系统符合《基本要求》中相应级别的指标,符合《测评准则》中的要求。
(2) 实际需求-适应客户实际情况。适应业务特性与安全要求的差异性,可工程化实施。
1.6基本安全要求的结构
对系统进行定级后,需要通过努力达到相应等级的基本安全要求,在总体上分为技术要求和管理要求,技术上又分为物理安全、网络安全、主机安全、应用安全、数据安全,在管理要求中又分为安全管理机构、安全管理制度等5项,具体如下图所示:
2.等级保护实施中的困难与出路
由于等级保护制度还处于探讨阶段,目前来看,尚存在如下困难:
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统,否则:
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
4.大型客户最关注的关键要求指标超出《基本要求》规定
针对上述问题,在下面几小节分别给出了坚决办法。
2.1安全体系设计方法
需求分析-1
问题1:标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
需求:从组织整体出发,综合考核所有系统
方法:引入体系设计方法
2.2保护对象框架设计方法
需求分析-2
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
需求:准确地进行大系统的分解和描述,反映实际特性和差异性安全要求
方法:引入保护对象框架设计方法
保护对象框架-政府行业
保护对象框架-电信行业
保护对象框架-银行业
2.3安全平台的设计与建设方法
需求分析-3
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
需求:统一规划,集中建设,避免重复和分散,降低成本,提高建设水平
方法:引入安全平台的设计与建设方法
平台定义:为系统提供互操作性及其服务的环境
2.4建立安全运行体系
需求分析-4
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
需求:建立长效机制,建立可持续运行、发展和完善的体系
方法:建立安全运行体系
2.5安全运维工作过程
需求分析-5
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
需求:需要高水平、自动化的安全管理工具
方法:TSM安全管理平台
2.6 TNA可信网络架构模型
需求分析-6
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
4.大型客户最关注的关键指标超出《基本要求》规定
需求:在《基本要求》基础上提出更强的措施,满足客户最关注的指标
方法:引入可信计算的理念,提供可信网络架构
3.总体解决方案-TopSec可信等级体系
按照上面解决等级保护目前困难的方法,总体解决方案就是建立TopSec可信等级体系:
遵照国家等级保护制度、满足客户实际需求,采用等级化、体系化和可信保障相结合的方法,为客户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。
实施后状态:一套持续运行、涵盖所有安全内容的安全保障体系,是企业或组织安全工作所追求的最终目标
特质:
等级化:突出重点,节省成本,满足不同行业、不同发展阶段、不同层次的要求
整体性:结构化,内容全面,可持续发展和完善,持续运行
针对性:针对实际情况,符合业务特性和发展战略
3.1可信等级体系设计方法
3.2信息安全保障体系总体框架
3.3体系设计的成果
安全组织体系
安全策略体系
安全技术体系
安全运行体系
3.4安全体系的实现
4.成功案例
某国有大型企业已经采用了我们的可信等级体系,取得了良好的效果。
(第33期)
来自:国家信息安全等级保护工作协调小组办公室 时间:2008-01-04
全国重要信息系统安全等级保护定级工作取得
重大成效
为了保障党的“十七大”胜利召开和北京奥运会的顺利举办,按照《国家网络与信息安全协调小组关于确保党的十七大信息安全的意见》和《国家网络与信息安全协调小组2007年工作要点》安排,公安部会同国家保密局、国家密码管理局、国务院信息办于2007年7月份开始,在全国范围内部署开展了重要信息系统安全等级保护定级工作(以下简称“定级工作”)。几个月来,各级公安、保密、密码、信息办密切配合,周密部署,广泛宣传,加强指导,各重要信息系统运营使用单位及其主管部门认真组织,积极落实,定级备案工作取得重大成效,基本完成了全国重要信息系统的定级工作任务。
一、定级工作明确重点、突出重点,有力地推动了国家信息安全保障工作
此次定级的范围和对象主要是电信、广电行业的公用通信网、广播电视传输网等基础信息网络;涉及国计民生的重要行业中生产、调度、指挥、控制、管理、办公等重要信息系统;国有大型骨干企业的重要信息系统;市(地)级以上党政机关的重要网站、管理系统和办公系统;涉及国家秘密的信息系统。定级工作覆盖了国家重要领域、重要部门,明确了重点、突出了重点。绝大多数备案信息系统定级准确、备案及时,为深入开展信息安全等级保护工作,全面落实《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号),提高国家基础网络和重要信息系统安全保护能力奠定了坚实基础。
二、各地区、各部门高度重视,狠抓落实
(一)及时成立等级保护工作领导机构,为定级工作的顺利开展提供了组织保证。2007年7月20日,公安部、国家保密局、国家密码管理局和国务院信息办组织召开“全国重要信息系统安全等级保护定级工作电视电话会议”后,各级党委政府和主要领导高度重视,迅速作出了明确批示或指示。各省(区、市)和各部(委、局)根据全国定级工作电视电话会议和四部委通知精神,结合本地区、本行业实际,研究制定下发定级工作指导意见或实施方案。人民银行、铁道部、海关总署、电监会、水利部、信息产业部、广电总局、税务总局、证监会等50多个部(委、局)专门成立了由主要领导挂帅的等级保护领导(协调)机构,确定责任部门,召开全系统会议,部署定级工作,为定级工作的顺利开展提供了组织保证。各省(区、市)或专门成立了由主要领导挂帅的等级保护领导(协调)机构,或由网络与信息安全协调小组领导开展定级工作,并落实了由公安机关牵头,保密部门、密码部门、信息办参加的等级保护工作办公室。
(二)各地区、各部门认真贯彻定级工作会议和通知精神,认真抓好落实。各省(区、市)和各部(委、局)根据全国定级工作电视电话会议和四部委通知精神,结合本地区、本行业实际,研究制定下发定级工作指导意见或实施方案,确定技术支持单位,组建专家组,认真开展定级工作。铁道部、人民银行、海关总署、国税总局、证监会、电监会、国防科工委、民航总局、农业部、商务部、国家统计局、质检总局、水利部、文化部、科技部、国家体育总局、国资委、国家民委、国土资源部、国家地震局、国家海洋局、国家外汇管理局、中国进出口银行等40多个部(委、局)以及国家电网公司、中石油集团、中石化集团、中材集团、建筑设计院等中央骨干企业还召开了专门会议,部署定级工作或开展集中培训。通过培训,各单位、各部门准确理解等级保护政策和标准,定级工作趋于规范化。人民银行、劳动和社会保障部、国家体育总局、水利部、发改委、商务部、卫生部、证监会、新华社等30多个部(委、局)请专家对定级系统进行了评审。通过开展定级工作,各单位、各部门提高了对国家信息安全保障工作重要性的认识,加深了对信息安全等级保护制度的理解,同时,培养和锻炼了信息安全队伍。
三、各级公安、保密、密码、信息办密切配合,认真组织,确保定级工作顺利实施
公安机关与保密部门、密码部门、信息办密切配合,按照全国重要信息系统安全等级保护定级工作电视电话会议精神和部署,积极组织各行各业开展定级工作。主要措施是:
(一)及时举办了定级工作培训班。2007年7月31日,公安部在北京举办了为期一天的中央和国家机关定级工作培训班。在京的中央和国家机关各部委、国务院各直属机构、办事机构、事业单位共93家单位150余人参加了培训。各省(区、市)公安机关也举办了相关部门参加的培训班,重点就开展定级工作的政策、内容、要求以及相关技术进行了培训。
(二)召开了全国公安机关信息安全等级保护工作会议。2007年8月2日至3日,公安部在黑龙江召开了全国各省(区、市)、计划单列市和副省级以上城市公安机关网监部门的分管领导和业务骨干共120余人参加的信息安全等级保护工作会议,对全国公安机关牵头组织开展信息安全等级保护工作进行了全面部署。各省(区、市)公安机关也按照公安部的部署,及时召开了公安机关信息安全等级保护工作会议,对本省(区、市)公安机关牵头组织开展信息安全等级保护工作进行了部署。
(三)开展了对信息系统主管部门和运营使用单位定级工作的监督、检查和指导。一是组织召开了十部委定级工作汇报交流会。2007年9月18日,公安部召集信息产业部、广电总局、铁道部、人民银行、海关总署、国税总局、民航总局、证监会、电监会、保监会等十家基础信息网络和重要信息系统主管部门的有关处长召开了定级工作汇报交流会,听取了十部委定级工作部署开展情况的工作汇报和工作建议,交流了定级工作经验和体会,并就加快开展定级工作提出了明确要求。二是加强对有关部门定级工作的指导和支持。从2007年9月24日开始到现在,公安部会同有关专家,对国家工商总局、国土资源部、教育部、卫生部、劳动与社会保障部、交通部、广电总局、铁道部、人民银行、海关总署、国税总局、民航总局、证监会、电监会、保监会、科技部、财政部、外交部、人事部、气象局等20多个部委的定级工作进行上门指导和调研,各地公安机关也同步开展上门指导工作,进行政策解读,协助解决工作中存在的问题,推动了所到单位定级工作的开展。三是配合有关部门开展定级工作培训。截至目前,公安部应邀参加了铁道部、人民银行、海关总署、国税总局、证监会、电监会、国防科工委、民航总局、农业部、商务部、国家统计局、质检总局、水利部、文化部、科技部、国家体育总局、国资委、国家民委、国土资源部、国家地震局、国家海洋局、国家外汇管理局、中国进出口银行等40多个部(委、局)以及国家电网公司、中石油集团、中石化集团、中材集团、建筑设计院等中央骨干企业的定级培训班,直接为培训人员讲解有关政策和标准,为有关部门的定级工作提供支持。各地公安机关也为本地相关部门组织的培训班提供了指导和帮助。四是及时反映各地区、各部门的工作进展,加强工作经验交流。为及时反映、交流各地区、各部门开展定级工作的做法和经验,公安部以国家信息安全等级保护工作协调小组办公室名义编发了《信息安全等级保护工作简报》30多期,发各部委、奥组委和全国公安网监部门、信息办,强化了对定级工作的指导。
(四)及时出台备案、监督检查等工作规范,使定级备案、监督检查工作法制化。各级公安机关精心组织受理备案和备案材料的审核工作,严格把关。公安部及时出台《信息安全等级保护备案实施细则》,确保了定级备案工作的顺利进行,正在研究制定《公安机关信息安全等级保护监督检查规范》,为下一步开展监督检查工作打下良好基础。
四、分析定级备案数据,进一步明确等级保护工作重点
全国重要信息系统定级工作是等级保护工作的首要环节和关键环节,这项工作的基本完成,标志着我国信息安全保障工作步入科学化、规范化、标准化阶段,对我国信息安全保障工作将会起到巨大的推动作用。根据此次定级备案的情况,对反映出的国家信息安全状况作初步分析:
(一)高依赖度的信息系统所占比例大、数量多,反映出我国信息化发展迅猛,社会进步、经济发展对重要信息系统具有强依赖性。根据备案数据统计,银行、铁路、民航、税务、海关、电力、证券等重要领域的生产、调度、管理、控制、指挥等重要业务完全依赖或较强依赖的信息系统占备案总数的较大比例。说明这些重要业务均已实现了信息化,并对信息系统具有很强的依赖性,这些系统一旦瘫痪,重要领域、部门的生产、调度、办公等重要业务工作将完全停顿或受到严重影响。因此,在定级备案后,各部门、各单位应及时按标准开展安全建设整改和等级测评工作,解决随时可能发生的安全事件和事故,堵塞漏洞和安全隐患。
(二)重要信息系统集中在广电、银行等重要行业,需要尽快落实安全措施重点保护。根据备案数据统计,第三级以上的重要信息系统主要分布在电信、广电、银行、铁道、海关、税务、民航、证券、电力、公安、财政、教育、科技、国防、交通、文化、工商、劳动保障、水利、卫生、统计等涉及经济命脉、社会发展的重点行业、重点领域。全国范围服务的特大型信息系统占有较大比重。因此必须重点维护和保障这些重要行业信息系统,特别是涉及全国范围的特大型信息系统的安全,从根本上提升国家基础信息网络和重要信息系统整体安全保护水平。
(三)有些部门信息安全责任、安全措施和安全制度不落实,信息系统存在严重的安全隐患和问题。公安机关在督促、检查、指导有关单位定级工作中发现,一些重要信息系统的安全状况十分令人担忧,以至发生严重的信息安全事件,直接威胁国家安全和北京奥运会的顺利举办。信息系统主管部门和运营使用单位必须通过实施等级保护,突出重点,严格进行安全建设、整改,落实安全责任,建设安全设施,落实安全措施,从根本上解决重要信息系统存在的严重问题,扭转信息安全面临的被动局面。
(四)加快开展信息系统安全建设整改和等级测评工作,全面落实国家信息安全等级保护制度。重要信息系统定级备案情况表明,我国基础信息网络和重要信息系统业已成为国家关键基础设施,在国家经济发展、社会进步中的基础性、关键性、全局性作用日益增强,全面加快和推进国家信息安全等级保护工作,有效保护基础信息网络和重要信息系统安全至关重要。2008年北京奥运日益临近,奥运网络以及为奥运提供服务保障的基础网络和重要信息系统的安全直接影响奥运会的顺利举办。虽然全国重要信息系统的定级备案工作基本完成,但国家信息安全等级保护工作才刚刚开始,因此,各部门、各单位要在定级备案工作的基础上,选择技术支撑力量,制定安全建设整改规划和方案,按照《信息安全等级保护管理办法》和《信息系统安全等级保护基本要求》等规范标准,加快对三级以上信息系统开展安全建设整改、等级测评、自查等工作,并配合公安机关、国家保密部门和国家密码工作部门开展监督、检查。各级财政和发展改革部门应对重要信息系统安全建设整改和等级测评工作给予支持,以确保国家信息安全等级保护制度的有效贯彻和实施。
(第32期)
来自:国家信息安全等级保护工作协调小组办公室 时间:2007-12-20
北京奥运网络与信息系统安全等级保护工作快速推进
随着北京奥运会的临近,有效保护奥运会网络与信息系统安全的重要性、紧迫性日益凸显,奥运网络与信息系统的安全已成为北京奥运会能否顺利举办的关键问题之一。为此,北京奥组委信息网络安全委员会和技术部高度重视奥运网络与信息系统安全等级保护工作,积极行动,认真协调,快速有效地推进等级保护各项工作的开展,为全面提高奥运会网络与信息系统的安全保护能力发挥出了重要的作用。目前,北京奥运网络与信息系统的定级、备案、安全等级技术测评工作已经完成,目前正在根据测评情况全面开展安全建设整改工作。
一、高度重视,认真部署
7月20日“全国重要信息系统安全等级保护定级工作电视电话会议”后,北京奥组委技术部在国家信息安全等级保护工作协调小组办公室的指导下,会同北京市公安局网监处、公安部信息安全等级保护评估中心、奥运网络与信息系统承建运营方等部门共同研究开展奥运网络与信息系统安全等级保护定级工作。为便于奥运网络与信息系统定级工作的快速推进,国家信息安全等级保护工作协调小组办公室、奥组委技术部、北京市公安局、公安部信息安全等级保护评估中心联合成立了工作组,制定工作方案,组织协调奥运网络与信息系统等级保护各项工作的开展。
二、认真开展基础调查,确定定级对象
北京奥组委技术部会同有关部门,认真梳理奥运网络与信息系统,专门听取了搜狐公司、奥组委票务中心、北京网通等承建运营方的详细介绍,对奥运主要网络和信息系统的种类、规模、承载主要业务、应用范围、责任部门等情况进行了详细的摸底调查,深入了解了奥运办公外网、奥运办公内网、票务网站和票务管理系统、奥运官方网站等基本情况。在此基础上,依据《信息安全等级保护管理办法》以及相关配套技术标准,确定了等级保护定级对象。
三、认真研究,合理确定信息系统安全保护等级 奥组委技术部根据奥运办公外网、奥运办公内网、票务网站和票务管理系统、奥运官方网站的重要性,以及其损害后对北京奥运会的危害性,初步确定了系统的安全保护等级。为确保定级准确,奥组委技术部邀请沈昌祥院士等专家对奥运网络和信息系统所定等级进行了评审,并对奥运所有网络和信息系统进行了全面梳理。奥组委技术部根据专家意见,最终科学、合理确定了各系统的安全保护等级。奥运网络与信息系统安全保护等级确定后,奥组委技术部组织奥运网络与信息系统运营使用相关单位按照《信息安全等级保护管理办法》关于定级备案的规定和要求,及时向北京市公安局完成了备案工作。
四、开展等级技术测评,认真落实整改措施
定级备案工作完成后,为全面掌握奥运网络与信息系统的安全保护状况,以及其符合信息系统安全保护等级基本要求的情况,2007年11月份,奥组委技术部聘请公安部信息安全等级保护评估中心,依据信息系统的等级保护基本要求及奥组委信息系统的特殊安全需求,对北京奥组委官方网站、办公内网和办公外网进行了安全等级技术测评。测评内容涵盖物理安全、网络安全、主机系统安全、应用系统安全、数据安全等多个层面。公安部信息安全等级保护评估中心根据测评情况,及时出具了测评报告。目前,奥组委技术部针对测评发现的安全隐患和问题,制定了详细的整改计划,正在组织有关部门对奥运网络和信息系统开展安全建设、整改,落实安全责任,建设安全设施、落实安全措施和安全管理制度,全力保障奥运网络与信息系统安全。
(第36期)
来自:国家信息安全等级保护工作协调小组办公室 时间:2008-01-23
广东省出台地方法规实现信息安全等级保护工作
法制化
为加强和规范信息安全等级保护工作,2007
年12月20日广东省第十届人民代表大会常务委员会第三十六次会议通过了《广东省计算机信息统安全保护条例》(以下简称《条例》),并将于2008年4月1日正式实施。该《条例》的出台,全面实现了广东省信息安全等级保护工作的法制化,为下一步深入贯彻落实国家信息安全等级保护制度奠定了坚实基础。
一、工作过程
随着信息安全等级保护工作的全面实施,广东省公安厅将《条例》的制定出台工作提上日程。广东省公安厅网警总队组织专门人员起草了《条例》(征求意见稿)和长达5万多字的立法指引,并广泛征求了各市公安网监部门以及省直16个单位意见建议,广东省委常委、公安厅厅长梁伟发同志多次关心立法进展,何广平副厅长也多次参与研究讨论,在此基础上形成了送审稿报广东省政府。广东省政府法制办在审查核过程中,在互联网上公开征求了意见,并根据各单位的意见作了进一步的修改后报广东省人大。在广东省人大法工委主任的牵头组织下,省人大法工委、内司委和省政府法制办、公安厅落实专门人员逐条进行修订,最终经广东省人大常委会委员投票,获全票通过。
二、《条例》规定的主要内容
《条例》共46条,分为总则、安全管理、安全秩序、安全监督、法律责任、附则等六章。《条例》根据《中华人民共和国计算机信息系统安全保护条例》的有关规定,吸收了《关于印发<关于信息安全等级保护工作的实施意见>的通知》(公通字[2004]66号)和《信息安全等保护管理办法》(公通字[2007]43号)的核心内容,将国家四部委的规范性文件转化为地方法规予以强制施行,为开展信息安全等级保护工作的提供了依据和保障。
(一)明确了信息系统建设完成后须经等级测评合格才可投入使用。《条例》第十二条规定了第二级以上计算机信息系统建设完成后,运营使用单位或者其主管部门应当选择符合国家规定的安全等级测评机构,依据国家规定的技术标准,对计算机信息系统安全等级状况开展等级测评,测评合格后方可投入使用。
(二)规定了信息系统的运营使用单位应当建立的安全管理制度和措施。《条例》第十条、第十一条规定计算机信息系统的运营使用单位应当建立、健全计算机信息系统安全管理制度,确定安全管理责任人。第二级以上计算机信息系统的运营使用单位应当建立安全保护组织,并报地级以上市人民政府公安机关备案。同时,《条例》第十八条规定第二级以上计算机信息系统应当建立并落实的9项安全管理制度,包括计算机机房安全管理制度、安全责任制度、网络安全漏洞检测和系统升级制度、系统安全风险管理和应急处置制度、操作权限管理制度、用户登记制度、重要设备、介质管理制度、信息发布审查、登记、保存、清除和备份制度、信息群发服务管理制度,并在第十九条规定了相应的安全保护技术措施。
(三)明确了突发事件应急处置制度。《条例》第十六条、第十七条、第三十四条规定了计算机信息系统运营使用单位的报告义务、预案制定义务、协作义务以及公安机关的应急处置职权,即对计算机信息系统中发生的案件和重大安全事故,计算机信息系统的运营使用单位应当在二十四小时内报告县级以上人民政府公安机关,并保留有关原始记录。第二级以上计算机信息系统发生重大突发事件,有关单位应当按照应急处置预案的要求采取相应的处置措施,并服从公安机关和国家指定的专门部门的调度。地级市以上人民政府公安机关、国家安全机关为保护计算机信息系统安全,在发生重大突发事件,危及国家安全、公共安全及社会稳定的紧急情况下,可以采取二十四小时内暂时停机、暂停联网、备份数据等措施。
(四)《条例》规范了安全服务行业的管理。《条例》规定公安机关加强对计算机信息系统安全服务机构的指导,推动安全服务质量和技术水平的提高。鉴于信息安全产品的双刃剑作用,《条例》第三十条确立对病毒防治、远程控制、密码猜解、漏洞检测、信息群发等技术产品和工具的生产、销售和提供等行为实施备案制度,便于掌握相关情况,确保信息系统安全。同时,为加强对信息安全工作人员的管理,《条例》第三十七条规定了地级市以上人民政府公安机关和人事部门应当组织计算机信息系统的运营使用单位的安全保护组织成员、管理责任人、信息审查员参加信息安全专业技术培训。
(五)《条例》规定了明确的法律责任。《条例》第四十条、第四十二条、第四十三条对违反计算机信息系统安全保护规定的行为明确了相应的法律责任,对计算机信息系统运营使用单位违反信息安全等级保护相关要求,如系统投入使用前未经符合国家规定的安全等级测评机构测评合格的,未履行备案义务,未建立安全保护组织,未落实安全措施,在突发事件处置中不服从调度指挥的,公安机关可处以警告、罚款、停机整顿等处罚,为信息安全等级保护工作的推进提供了强有力的法律武器。
推荐阅读:
医院信息系统信息安全等级保护的实施探讨09-12
信息安全等级保护规范(精选9篇)06-06
信息安全等级保护服务(通用9篇)11-06
信息安全等级保护宣传(推荐9篇)03-01
等级保护技术下信息安全论文(精选3篇)05-01
信息系统等级保护报告05-29
网络信息环境下数字档案信息安全保护分析09-11
信息安全保护措施研究论文04-15
信息安全保护措施研究论文提纲11-15
浅析大数据时代用户信息安全法律保护09-13
