为何要开展网络安全等级保护工作(共13篇)
篇1:为何要开展网络安全等级保护工作
网络信息安全等级保护工作
一、为什么要实行等级保护?
1.1 网络信息安全小组架构顶层设计
2014年2月27日,中央网络安全和信息化领导小组宣告成立。习近平担任组长,在中央网信领导小组第一次会议上,习近平提出“没有网络安全就没有国家安全”,这标志着网络安全上升至国家战略高度。中央网络安全和信息化领导小组负责统筹协调各个领域的网络安全和信息化重大问题,制定实施网络安全和信息化发展战略、宏观规划和重大策略,不断增强安全保障能立。
1.2 WIN8禁令
政府采购计划对WIN 8说“不”的消息引发社会关注,业内普遍认为,此举主要出于安全考虑,凸显政府对信息安全的高度重视。
1.3 网络安全事件不断发生
作为提供产品和服务的主体,我国互联网企业近期频发大规模信息泄露事故。,国内手机厂商小米发生用户信息泄露事故,其中涉及800万用户的短信、通讯录、精确位置等私密信息;携程网大量用户信用卡账号、姓名、身份证号等敏感信息泄露;多家酒店的开房信息因系统漏洞发生泄露,2000万条开房信息在网上“裸奔”。
随着云计算、大数据技术的广泛应用,用户数据量越来越大,大规模数据泄露的风险也越来越大,大规模信息泄露事故高发期已经到来。
1.4 网络安全面临内忧外患
外因:
1、敌对势力的入侵、破坏和攻击。
2、针对基础信息网络和重要信息系统的违法犯罪持续上升。
3、基础信息网络和重要信息系统安全隐患严重。内因:
1、基础信息网络与重要信息系统已成为国家关键基础设施。
2、信息安全是国家安全的重要组成部分。
二、开展网络信息安全等级保护工作的必要性 网络信息安全等级保护是国家信息安全保障的基本制度、基本策略和基本方法。国务院法规和中央文件,包括十二五规划中都明确规定,要切实实行信息安全等级保护,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。开展信息安全等级保护工作不仅是保障重要信息系统安全的重大措施,也是一项事关国家安全、社会稳定、国家利益的重要任务,是信息安全保障工作中国家意志的体现。
通过开展信息安全等级保护,可以解决以下问题:
明确系统安全保护现状、提高信息安全建设水平、增强安全防护能力 能够及时发现系统漏洞,并修复漏洞,加强系统自身安全性 在信息安全监视时能突出重点,控制成本 明确安全责任,加强信息安全管理
优化信息安全的资源配置,重点保障重要信息系统的安全 有利于推动信息安全产业发展
三、等级保护工作的法律政策支撑
《中华人民共和国网络安全法》 《网络安全等级保护条例》 《关键信息基础设施安全保护条例》
《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)《信息安全等级保护管理办法》(公通字[2007]43号)
《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字[2007]861号)
《关于开展全国重要信安等保定级工作通知》(公信安[2007]861号)《关于推动信安等保测评建设和开展等测的通知》(公信安[2010]303号)《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发[2012]23号)
《江苏省开展重要信息系统安全等级保护定级工作的实施意见》(苏公通[2007]187号); 《江苏省信息化条例》(省人大公告第90号)……
四、网络安全法与等级保护工作
第二十一条 国家实行网络安全等级保护制度。
网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
注:等级保护工作的鲜明旗帜,是从国家层面对等级保护工作的法律认可,是网络安全法关于等级保护工作最重要的一条,简单点就是单位不做等级保护工作就是违法。
第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估。
注:明确了有关键信息基础设施单位,需要每年对其网络的安全性和可能存在的风险至少进行一次检测评估,等级保护测评就是对单位重要信息系统做的一个安全检测评估。
第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
注:用户单位不做等级保护测评,用户单位需要被罚款。
四、责任义务主体
信息系统主管部门责任义务
信息系统主管部门应当依照《管理办法》及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
运营使用单位的责任义务
信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
涉及国家秘密信息系统的分级保护管理
涉及国家秘密信息系统的等级保护监督管理工作由国家保密工作部门负责;
非涉及国家秘密信息系统的等级保护监督管理工作由公安机关负责。
篇2:为何要开展网络安全等级保护工作
摘要:从1994年2月18日国务院147号令发布,规定计算信息系统实行安全等级保护,到2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共日和国网络安全法》,并于2017年6月1日起正式实施,网络安全等级保护制度已然上升为法律要求。作为网络运营者如何落实网络安全等级保护制度,确保信息系统满足《中华人民共和国网络安全法》中的相关要求,成为广大网络运营者急需了解掌握的内容,本文从定级备案、整改建设和等级测评三个层面,结合网络安全法相关要求进行解读说明。
2017年6月1日《中华人民共和国网络安全法》(以下简称“网络安全法”)正式实施。第二十一条提出“国家实行网络安全等级保护制度”,第三十一条提出“关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。至此,网络安全等级保护制度上升为法律要求,网络运营者必须按照网络安全等级保护制度,采取相应的管理措施和技术防范措施,履行相应的网络安全保护义务。本文从网络安全等级保护定级备案、建设整改和等级测评三个方面,结合网络安全法相关内容阐述作为网络运营者需要履行的安全保护义务及工作要求。
1.定级备案
系统定级作为网络安全等级保护工作的第一步,定级结果直接影响到后续工作的顺利开展。作为网络运营者应当依据《信息安全技术信息系统安全等级保护定级指南》(GB/T22240-2008)(以下简称“定级指南”)分析业务信息和系统服务遭到破坏后,所侵害的客体,以及对相应客体的侵害程度,确定信息系统安全保护级别,并及时到当地市级以上公安机关办理备案手续。另外,针对关键信息基础设施,从网络安全法第三十一条可以看出关键信息基础设施一旦遭到破坏、丧失功能或者数据泄露,可能会严重危害国家安全、国计民生、公共利益,通过查看定级指南,可能严重危害到国家安全、国计民生、公共利益的信息系统,安全保护等级至少在三级及以上,所以作为关键信息基础设施,其安全保护等级不得低于三级。作为网络运营者一定要仔细分析信息系统业务信息和系统服务遭到破坏后,所侵害的客体,以及对相应客体的侵害程度,准确定级。网络运营者在初步确定网络安全保护等级后,应当及时组织相关专家对定级结果的合理性进行评审,避免出现所定级别过低或过高的现象,并及时向主管部门报批系统定级结果。
2.建设整改
在确定网络安全保护等级后,网络运营者在开展建设整改工作时,首先应当确保已完全履行了网络安全法第二十一条,所规定的全部安全保护义务。网络安全法第二十一条具体内容如下:
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
第一条是安全管理方面的要求,虽说安全技术是信息安全控制的重要手段,许多信息系统的安全性保障都要依靠技术手段来实现,但光有安全技术还不行,要让安全技术发挥应有的作用,必然要有适当的管理程序,否则,安全技术只能趋于僵化和失败。所以强调网络运营者必须要有针对性的建立自己的网络安全管理体系,且至少包含管理制度和操作规范两个层面。管理制度是网络运营者制定的有关管理组织架构、人员配备、行为规范和管理责任等方面的规则。操作规程是网络运维者制定的相关人员在进行日常操作时应当遵守的程序和步骤。除此以外还需确定网络安全负责人,落实网络运营者第一责任人的责任。
第二条是安全技术防范方面的要求,强调网络运营者须采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。防范计算机病毒方面比较常见的技术措施有防病毒软件和防毒墙,防病毒软件主要防范服务器操作系统层面的恶意病毒,防毒墙一般以硬件形式部署网络边界处,对来自外部网络的恶意代码在网络层进行检测阻拦,将恶意代码或病毒程序阻挡在网络边界外。网络攻击防范技术措施,较为常见的有防火墙设备,用于实现网络或安全域边界的隔离保护;另外除普通防火墙外,还有web应用防火墙,用于实现对来自应用层的攻击行为进行防范保护。网络侵入防范技术常见的有入侵检测(IDS)、入侵防御(IPS)等设备,IDS设备主要用于对入侵行为的检测报警不具备阻拦功能,IPS可对入侵行为进行阻拦,但对业务系统可用性要求较高的单位,一般都选用IDS,因为IPS有可能会发生误报对业务系统正常运行造成影响。作为网络运营者应结合此项要求,至少配备防范计算机病毒和网络攻击、网络侵入等方面中的一项或多项技术措施。
第三条是安全监测和审计方面的要求,强调网络运营者必须具备监测、记录网络运行状态、网络安全事件的技术措施。这块比较常见的措施有网络审计系统、主机审计系统、数据库审计系统和运维审计系统分别对信息系统各个层面进行监测记录,另外近几年逐渐出现大数据日志分析平台,主要将信息系统中各个层面的日志信息进行统一汇总分析。对于日志留存方面,还提出按照规定留存相关的网络日志不少于六个月,即相关的网络日志存储周期要大于六个月。作为网络运营者至少应当具备监测并记录网络运行状态和安全事件的技术措施,另外还要具备相关日志的备份措施,保障相关日志存储周期大于六个月。
第四条是数据保护方面的要求,网络运营者须根据数据的重要性对数据进行分类实施保护,重要数据须具备备份措施和数据加密措施。重要数据的备份要支持在发生安全事件后数据的有效恢复,另外对于重要数据的加密要从数据传输和存储两个方面去考虑实施。
第五条是法律、行政法规规定的其他义务。除网络安全法规定范围内的其他义务,如行业主管部门对行业内的网络安全要求、地方政府部门对网络安全的相关要求等。
除网络安全法第二十一条规定的内容外,网络运营者还应当按照网络安全法第二十五条规定的要求,建立网络安全事件应急预案,应急预案至少应当覆盖能够及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全事件。另外,网络运营者应定期组织应急演练,确保应急预案制度的有效执行。第二十五条网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
作为关键信息基础设施的网络运营者除履行好网络安全法第二十一条和第二十五条规定的义务外,还应当履行网络安全法第三十四条规定网络运营者须履行的安全保护义务。第三十四条 除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:
(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和数据库进行容灾备份;
(四)制定网络安全事件应急预案,并定期进行演练;
(五)法律、行政法规规定的其他义务。
一是网络运营者需设立专门的网络安全管理部门以及安全管理负责人,来负责制定本单位网络安全保护策略,并落实执行各项网络安全工作;另外对安全管理负责人和关键岗位人员进行背景审查,以确定其从事安全管理负责人和关键岗位的可靠性。二是网络运营者须定期对从业人员进行相关培训和考核,以提高从业人员的网络安全意识和网络安全技能,从而更好的保障网络系统的安全稳定运行。三是网络运营者须提供对重要系统和数据库系统的容灾备份措施,确保在发生安全事件时,备份系统能够替代主系统正常运行。四是网络运营者须针对系统内可能发生的安全事件建立应急预案,并定期组织演练工作,以提高应急人员处理应急事件的能力,确保在发生安全事件时能够快速有效的处理。五是除以上规定义务外,法律、行政法规规定的其他义务,如行业网络安全方面的相关技术要求等。
一般信息系统网络运营者在满足网络安全第二十一条和第二十五条要求的基础上,关键信息基础设施网络运营者在满足网络安全法第二十一条、第二十五条和第三十四条规定的基础上分别按照各自所定的安全保护级别,参照《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)和《信息安全技术信息系统等级保护安全设计技术要求》(GB/T25070-2010)等标准,再进一步开展建设整改工作。3.等级测评
信息系统在完成建设整改上线运行后,为保障信息系统长期的安全稳定运行,网络运营者必须要不断的对信息系统开展检测、整改工作。网络安全法第三十八条中提出“关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。”另外在《信息安全等级保护管理办法》公通字[2007]43号第十四条中同样也提出“信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。”
由于关键信息基础设施的安全保护等级均在三级及以上,所以网络运营者针对关键信息基础设施,应当每年均委托具备公安部门认可的测评机构,开展等级测评工作,并将测评结果和整改措施报送给负责关键信息基础设施安全保护工作的部门。
4.结语
篇3:浅谈企业信息安全等级保护工作
关键词:信息安全,等级保护,企业
1 当前企业信息安全等级保护工作现状
面对信息安全的威胁, 国家于2003年发布了《国家信息化领导小组关于加强信息安全保障工作的意见》, 明确提出在非密信息安全领域, 信息安全保障工作要“实行信息安全等级保护”, 明确要求建立信息安全保障体系。随后国家于2004年和2007年相继颁布了《关于信息安全等级保护的实施意见》及《信息安全等级保护管理办法》, 信息安全等级保护制度全面实行。
2 企业信息安全等级保护的实施方法
2.1 依据的标准
企业信息安全等级保护制度应当依据国家颁布的以下标准执行。
2.1.1 基础标准
《计算机信息系统安全保护等级划分准则》
2.1.2 安全要求
《信息系统安全等级保护基本要求》
2.1.3 系统等级
《信息系统安全等级保护定级指南》
2.1.4 方法指导
《信息系统安全等级保护实施指南》、《信息系统等级保护安全设计技术要求》
2.1.5 现状分析
《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》
2.2 企业信息安全等级保护工作的步骤
企业信息安全等级保护工作一般分为三个阶段, 及准备阶段、实施阶段和巩固阶段。
2.2.1 信息安全等级保护工作准备阶段
企业信息安全等级保护工作准备阶段工作主要包括以下几个方面:
(1) 确定总体目标。确定总体目标, 其主要目的是为企业等保工作确立一个明确的行动指南, 并成为企业等保工作决策、评价、协调的基本依据。总体目标的确定为等保工作前进指明了方向, 并明确了发展路线。确定总体目标也是等保工作计划和其他各项工作安排的基础。
(2) 明确责任部门。为等保工作明确首要责任部门, 以防止出现推诿扯皮的现象。一般等保工作责任部门为企业信息化工作主管部门。
(3) 业务培训。作为企业来说, 信息安全等级保护是一个相对陌生的概念, 但信息安全等级保护工作又是一个相对具有专业性的工作, 所以在工作开展之前对相关人员进行培训是非常必要的。
(4) 摸底调查。在全面开展等级保护工作前, 企业一定要对本单位所属的信息系统进行全面的摸底调查, 全面掌握信息系统 (包括信息网路) 的数量、分布、业务类型、应用或服务范围、系统结构等基本情况, 为下一步等保工作的全面展开、确定等级保护定级对象奠定基础。
2.2.2 信息安全等级保护工作实施阶段
信息安全等级保护工作实施阶段的内容主要包括三个方面, 系统定级备案、系统测评、系统安全建设整改。
(1) 系统定级备案。企业在系统定级备案前首先要明确定级的对象, 一般定级对象分为三个方面:起支撑、传输作用的信息网络;用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统;企业网站。
在确定系统定级对象后, 企业就需要根据信息系统重要性, 按照相关技术标准文件对系统进行定级。
按照国家标准系统等级分为五级, 但第五级系统在现实中基本不会出现, 所以在一般情况下, 信息系统一般按照前四个级别进行划分。
第一级系统, 信息系统受到破坏后, 会对公民、法人和其他组织的合法权益造成损害, 但不损害国家安全、社会秩序和公共利益。该级系统适用于小型私营、个体企业、中小学、乡镇所属信息系统, 县级单位中一般的信息系统。该级系统无需备案, 完全由企业自己来决定采用何种方式进行保护。
第二级系统, 信息系统受到破坏后, 会对公民、法人和其他组织的合法权益造成严重损害, 或者对社会秩序和公共利益造成损害, 但不损害国家安全。该级系统适用于县级某些单位中重要的信息系统, 地市级以上国家机关、企事业单位内部一般的信息系统。该级系统需要到当地公安机关进行备案。
第三级系统, 信息系统受到破坏后, 会对社会秩序和公共利益造成严重损害, 或者对国家安全造成损害。该级系统一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统。
第四级系统, 信息系统受到破坏后, 会对社会秩序和公共利益造成特别严重损害, 或者对国家安全造成严重损害。该系统一般适用于国家重要领域、部门影响涉及国计民生、国家利益、国家安全, 影响社会稳定的核心系统。
参照以上标准企业要自行确定信息系统的安全等级, 并组织相关领域的专家对定级结果进行评审。在专家出具相关评审意见后, 对二级及以上的系统, 企业需要到当地市级以上公安机关网络安全保卫部门办理备案手续, 以完成系统定级工作。
(2) 系统测评。按照相关规定, 三级及以上系统国家强制要求进行等级测评。等级测评的主要目的是掌握信息系统安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求;衡量出信息系统安全保护措施是否符合等级保护基本要求, 是否具备了相应的等级的安全保护能力。
进行等级测评, 企业需要聘请《全国信息安全等级保护测评机构推荐目录》中具有专业资质的测评机构进行。对于测评结果, 企业需要将测评报告向受理定级备案的公安机关备案。
(3) 系统安全建设整改。参照测评结果, 企业需要对测评中所体现的安全漏洞进行安全建设整改, 以落实相应的物理安全、网络安全、主机安全、应用数据安全等安全保护措施。
经过安全整改, 二级信息系统应具备防御小规模、较弱强度恶意攻击, 抵抗一般的自然灾害, 防范一般的计算机病毒和恶意代码的能力;具有检测常见的攻击行为, 并对安全事件进行记录的能力;具有恢复系统正常运行状态的能力。
三级信息系统整改后应在统一的安全保护策略下应具备抵抗大规模、较强恶意攻击的能力, 抵抗较为严重的自然灾害的能力, 防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行响应处置, 并能够追踪安全责任的能力;在系统遭到损害后, 具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统, 应能立即恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中管控的能力。
经过安全整改工作, 四级信息系统具备的安全防范能力在三级的基础上更为提升, 统一的安全保护策略下可抵御敌对势力有组织的大规模攻击, 抵抗严重的自然灾害。
2.2.3 信息安全等级保护工作巩固阶段
企业信息系统经过定级、测评、整改后进入日常运行时期。在这一时期, 企业的信息系统在技术上已经完全具备了系统安全等级的要求, 也建立相应的安全管理制度体系。如何应用各种安全防范技术, 如何持久的严格的按照安全管理体系要求执行日常工作成为巩固阶段的主要任务。
在本阶段, 企业一定要建立完善的信息系统安全状况日常监测制度, 严格执行信息系统的日常运维和安全管理制度, 及时消除安全隐患, 确保信息安全和系统正常运行。除此之外, 企业还要定期对信息系统安全状态进行自查, 并积极配合公安机关的监督检查工作。
3 结束语
本文对企业信息安全等级保护的重要作用, 实施的全过程以及实施过程中的技术要求进行了较为详细的论述。
篇4:为何要开展网络安全等级保护工作
会上,国家信息安全等级保护协调小组组长、公安部副部长张新枫强调,信息安全等级保护制度是国家信息安全保障工作的基本制度。此次定级工作包括三方面的主要内容:一是开展信息系统基本情况的摸底调查,确定定级对象。二是信息系统主管部门和运营使用单位按照等级保护管理办法和定级指南,初步确定定级对象的安全保护等级,请专家进行评审,并报经上级行业主管部门审批同意。三是信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门到公安机关备案。公安机关和国家有关部门受理备案后,要对信息系统的安全保护等级和备案情况进行审核、管理。
同时,张新枫要求,各基础信息网络和重要信息系统在9月底前,按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。各部门、各单位要加强对定级工作的监督、检查和指导。
篇5:为何要开展网络安全等级保护工作
教育部办公厅关于开展信息系统安全等级
保护工作的通知
教办厅函[2009]80
号
各省、自治区、直辖市教育厅(教委),各计划单列市教育局,新疆生产建设兵团教育局,部属各高等学校:
信息系统安全等级保护制度是构建国家信息安全保障体系的基本制度。为进一步做好教育系统信息安全工作,提高教育信息系统安全保障能力和水平,经研究,决定在教育系统全面开展信息系统安全等级保护工作。有关要求通知如下:
一、教育信息系统安全等级保护工作的目标
落实国家有关信息系统安全等级保护制度建设的文件要求,增强各地、各校主管部门领导的信息安全保护意识;开展技术培训,建立信息安全技术队伍,建立健全教育系统信息安全等级保护技术保障体系;全面开展教育系统信息系统的定级、备案和测评工作,对发现的问题及时进行整改,用3年左右时间,基本建立教育系统信息系统安全等级保护体系,切实提高教育信息系统安全水平,保证教育信息化的健康持续发展。
二、教育信息系统安全等级保护工作的内容
1.按照国家信息安全等级保护有关要求,对教育系统各级行政部门、各级各类学校信息安全工作部门主管领导及技术骨干人员进行培训。
2.信息系统安全定级和备案。各单位对本单位信息系统进行定级,对二级以上的信息系统要办理备案手续。
3.对三级以上信息系统开展信息安全等级测评工作。根据测评结果,不符合要求的,要制订整改方案进行整改。
4.根据公安部门要求,在教育系统联合开展信息系统安全等级保护监督检查工作。
三、教育信息系统安全等级保护工作的安排
1.教育部教育管理信息中心负责教育系统信息安全等级保护工作的组织实施,并配合公安部门在教育系统内开展监督检查工作。
2.人员培训。到2010年底,基本完成高校及地市级以上教育行政部门的培训工作,每单位至少培训1名信息系统安全主管和1名技术骨干;到2012年,基本完成其余教育行政部门和学校的培训工作,每单位至少培训1名信息安全人员。对参加培训考核合格人员颁发相应证书。
3.信息系统定级备案。由参加过培训并具有考核合格证书的人员对本单位信息系统协助进行定级。高校及地市级以上教育行政部门三级以上的信息系统要在教育部教育管理信息中心和当地公安部门同时办理备案手续。已建三级以上信息系统未办理备案手续或仅在当地公安部门办理手续的,2010年4月前要完成补办工作。
4.信息系统安全等级测评和整改。教育部教育管理信息中心根据国家有关规定对三级教育信息系统每年进行一次安全等级测评,四级教育信息系统每半年进行一次等级测评。每年11月前完成安全测评。不符合要求的信息系统在第二年4月前完成整改工作。
各地、各校要充分认识信息安全等级保护工作的重要性,提高信息系统安全意识,明确机构和责任,将信息安全等级保护建设、测评、培训等各项费用纳入年度预算,并为信息安全等级保护工作开展提供必要的工作便利。
教育部办公厅
篇6:为何要开展网络安全等级保护工作
一、等级防护工作的组织部署和实施情况
成立了xx市中医医院信息系统安全等级保护工作领导小组,落实了信息安全责任制;对等级保护责任部门和岗位人员进行了确定,确保专人落实;制定了等级保护工作的文件及相关工作方案;严格按照国家等级保护政策、标准规范和行业主管部门的要求,组织开展各项工作;及时召开了信息系统安全等级保护工作领导小组工作会议;医院主要领导对等级保护工作作出了重要批示,并在工作会议上提出了四点要求。
二、信息安全管理制度的建立和落实情况
院信息中心制定了《xx市中医医院信息化建设总体规划》、《xx市中医医院信息系统工作制度与人员岗位职责目录》、《xx市中医医院计算机管理系统应急预案》、《xx市中医医院HIS信息系统工作制度》等相关制度,并在实际工作中对照制度严格执行各项操作流程。
三、信息系统安全等级保护定级备案情况
我院目前的信息系统所承载的业务、服务范围、安全需求暂时未发生变化;对本单位重要信息系统的重要性均有清楚的认识。
四、信息技术产品和信息系统安全产品使用情况
我院计算机、公文处理软件和信息系统安全产品均为国产产品,包括使用360、金山安全卫士、金山毒霸、卡巴斯基等安全软件。公文处理软件使用了MicrosoftOffice系统。单位使用的工资系统、业务系统、数据传输平台系统、数据库等应用软件均为市委、市政府政府相关部门、市财政局和市卫生局统一指定的产品系统。重点信息系统使用的服务器、路由器、交换机等均为国产产品。
五、信息系统安全检查存在的主要问题及整改情况
1、信息系统安全工作的水平还有待提高。医院的信息系统工作人员均为兼职人员,非专业人员,对信息系统安全的管护水平低,还需要加强专业学习培训,提高信息系统安全管理和管护工作的水平。
2、设备维护、更新有待加强。部分科室计算机的杀毒软件、防护软件没有及时进行更新升级,存在系统漏洞。针对这些问题,信息中心已及时对各终端计算机的杀毒软件、防火墙等进行了更新升级,对存在的漏洞进行了修复。今后将对线路、系统等的及时维护和保养,及时更新升级防护软件。
3、信息系统安全工作机制还有待完善。部门信息系统安全相关工作机制制度、应急预案等还不健全,还要完善信息系统安全工作机制,建立完善信息系统安全应急响应机制,以提高医院网络信息工作的运行效率,促进医疗、办公秩序的进一步规范,防范风险。
六、对信息系统安全检查工作的意见和建议
1、进一步加大对信息系统安全工作人员的业务培训。由于很多部门的信息系统安全工作人员均为兼职,均是“半路出家”,非专业人员,没有专业的技能和知识,希望上级相关部门组织培训班进一步加强对计算机信息系统安全管理工作的业务操作培训,发放一些信息网络安全管理方面的业务知识材料。
2、加强对全院职工的信息系统安全教育。通过开展专题警示教
育培训,增强信息系统安全意识,提高做好信息系统安全工作的主动性和自觉性。
3、加强分类指导。由于各科的工作性质不同,信息系统安全的防护级别也不同。希望结合各科室工作实际,对重点信息系统安全部门和非重点信息系统安全部门进行分类指导。
篇7:为何要开展网络安全等级保护工作
信息安全等级保护工作检查总结材料
一、部署和组织实施情况
为加强我校信息系统等级保护工作的组织领导,扎实推进信息系统等级保护工作开展,预防和杜绝信息系统安全事件发生,确保信息系统安全,我校成立了网络与信息安全工作领导小组,并组织相关专业技术力量,全面负责信息系统安全管理工作。2011年6月份信息(网络)中心召开多次会议,学习、讨论《信息系统安全等级保护定级指南》等相关文件,组织开展我校信息安全等级保护工作,由各个信息系统的使用部门专人完成相应的信息系统定级工作。
二、定级备案情况
我校各个信息系统的定级报告及备案表汇总到信息(网络)中心,由信息(网络)中心统一使用专用备案工具生成备案电子数据,共8个信息系统,其中二级信息系统四个,其余的为一级系统,即将上报完成相关备案工作。
三、测评情况
我校信息安全等级保护测评工作已经开展,计划将在11月份请相关的测评机构来我校完成信息安全等级保护测评,并上报公安机关备案。
四、安全建设整改情况
我校制定了《南京林业大学计算机安全管理办法》、《南京林业大学网络安全使用制度》、《南京林业大学网络与信息安全应急处置工作预案》等管理制度。设置信息安全管理员岗位,负责我校信息安全管理工作。在校园网络边界部署了千兆防火墙,并设置了上网行为管理平台,保存日志审计等。我校每年都有相应的专项建设经费,用于定级保护安全建设。根据即将开展的测评情况,我们将进一步完成信息安全等级保护相关的建设整改工作。
篇8:谈我院信息安全等级保护建设工作
随着我国信息化建设的快速发展与广泛应用, 信息安全的重要性愈发突出。在国家重视信息安全的大背景下, 推出了信息安全等级保护制度。为统一管理规范和技术标准, 公安部等四部委联合发布了《信息安全等级保护管理办法》 (公通字[2007]43 号) 。随着等级保护工作的深入开展, 原卫生部制定了《卫生行业信息安全等级保护工作的指导意见》 (卫办发[2011]85 号) , 进一步规范和指导了我国医疗卫生行业信息安全等级保护工作, 并对三级甲等医院核心业务信息系统的安全等级作了要求, 原则上不低于第三级。
从《关于信息安全等级保护工作的实施意见》中可知信息安全等级保护对象是国家秘密信息、法人和其他组织以及公民的专有信息和公开信息。对信息系统及其安全产品进行等级划分, 并按等级对信息安全事件响应[1]。
二、医院信息安全等级保护工作实施步骤
2.1 定级与备案[2]。根据公安部信息安全等级保护评估中心编制的《信息安全等级保护政策培训教程》, 有两个定级要素决定了信息系统的安全保护等级, 一个是等级保护对象受到破坏时所侵害的客体, 另外一个是对客体造成侵害的程度。表1 是根据定级要素制订的信息系统等级保护级别。
对于三级医院, 门诊量与床位相对较多, 影响范围较广, 一旦信息系统遭到破坏, 将会给患者造成生命财产损失, 对社会秩序带来重大影响。因此, 从影响范围和侵害程度来看, 我们非常认同国家卫计委对三级甲等医院的核心业务信息系统安全等级的限制要求。
在完成定级报告编制工作后, 填写备案表, 并按属地化管理要求到市级公安机关办理备案手续, 在取得备案回执后才算完成定级备案工作。我院已按照要求向我市公安局网安支队, 同时也是我市信息安全等级保护工作领导小组办公室, 提交了定级报告与备案表。
2.2 安全建设与整改[3]。在完成定级备案后, 就要结合医院实际, 分析信息安全现状, 进行合理规划与整改。
2.2.1等保差距分析与风险评估。了解等级保护基本要求。《信息系统安全等级保护基本要求》分别从技术和管理两方面提出了基本要求。基本技术要求包括五个方面:物理安全、网络安全、主机安全、应用安全和数据安全, 主要是由在信息系统中使用的网络安全产品 (包括硬件和软件) 及安全配置来实现;基本管理要求也包括五个方面:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理, 主要是根据相关政策、制度以及规范流程等方面对人员活动进行约束控制, 以期达到安全管理要求[4]。
技术类安全要求按保护侧重点进一步划分为三类:业务信息安全类 (S类) 、系统服务安全类 (A类) 、通用安全保护类 (G类) 。如受条件限制, 可以逐步完成三级等级保护, A类和S类有一类满足即可, 但G类必须达到三级, 最严格的G3S3A3 控制项共计136 条[5]。医院可以结合自身建设情况, 选择其中一个标准进行差距分析。
管理方面要求很严格, 只有完成所有的154 条控制项, 达到管理G3 的要求, 才能完成三级等级保护要求。这需要我们逐条对照, 发现医院安全管理中的不足与漏洞, 找出与管理要求的差距。
对于有条件的三甲医院, 可以先进行风险评估, 通过分析信息系统的资产现状、安全脆弱性及潜在安全威胁, 形成《风险评估报告》。
经过与三级基本要求对照, 我院还存在一定差距。比如:在物理环境安全方面, 我院机房虽有灭火器, 但没安装气体灭火装置。当前的安全设备产品较少, 不能很好的应对网络入侵。在运维管理方面, 缺乏预警机制, 无法提前判断系统潜在威胁等。
2.2.2 建设整改方案。根据差距分析情况, 结合医院信息系统安全实际需求和建设目标, 着重于保证业务的连续性与数据隐私方面, 满足于临床的实际需求, 避免资金投入的浪费、起不到实际效果。
整改方案制订应遵循以下原则:安全技术和安全管理相结合, 技术作保障, 管理是更好的落实安全措施;从安全区域边界、安全计算环境和安全通信网络进行三维防护, 建立安全管理中心[6]。方案设计完成后, 应组织专家或经过第三方测评机构进行评审, 以保证方案的可用性。
整改方案实施。实施过程中应注意技术与管理相结合, 并根据实际情况适当调整安全措施, 提高整体保护水平。
我院整改方案是先由医院内部自查, 再邀请等级测评公司进行预测评, 结合医院实际最终形成的方案。网络技术人员熟悉系统现状, 易于发现潜在安全威胁, 所以医院要先自查, 对自身安全进行全面了解。等级测评公司派专业安全人员进驻医院, 经过与医院技术人员沟通, 利用安全工具进行测试, 可以形成初步的整改报告, 对我院安全整改具有指导意义。
2.3 开展等级保护测评[7]。下一步工作就是开展等级测评。在测评机构的选择上, 首先要查看其是否具有“DICP”认证, 有没有在当地公安部门进行备案, 还可以到中国信息安全等级保护网站 (网站地址:www.djbh.net) 进行核实。测评周期一般为1 至2 月, 其测评流程如下。
2.3.1 测评准备阶段。医院与测评机构共同成立项目领导小组, 制定工作任务与测评计划等前期准备工作。项目启动前, 为防止医院信息泄露, 还需要签订保密协议。项目启动后, 测评机构要进行前期调研, 主要是了解医院信息系统的拓扑结构、设备运行状况、信息系统应用情况及安全管理等情况, 然后再选择相应的测评工具和文档。
在测评准备阶段, 主要是做好组织机构建设工作, 配合等级测评公司人员的调查工作。
2.3.2 测评方案编制阶段。测评内容主要由测评对象与测评指标来确定。我院测评对象包含三级的医院信息系统、基础网络和二级的门户网站。测评机构要与医院沟通, 制定工具测试方法与测评指导书, 编制测评方案。在此阶段, 主要工作由等级测评机构来完成。
2.3.3 现场测评阶段。在经过实施准备后, 测评机构要对上述控制项进行逐一测评, 大约需要1 至2 周, 需要信息科人员密切配合与注意。为保障医院业务正常开展, 测评工作应尽量减少对业务工作的冲击。当需要占用服务器和网络资源时应避免业务高峰期, 可以选择下班时间或晚上。为避免对现有业务造成影响, 测评工具应在接入前进行测试, 同时要做好应急预案准备, 一旦影响医院业务, 应立即启动应急预案[8]。在对209 条控制项进行测评后应进行结果确认, 并将资料归还医院。
该阶段是从真实情况中了解信息系统全面具体的主要工作, 也是技术人员比较辛苦的阶段。除了要密切配合测评, 还不能影响医院业务开展, 除非必要, 不然安全测试工作必须在夜间进行。
2.3.4 报告编制阶段。通过判定测评单项, 测评机构对单项测评结果进行整理, 逐项分析, 最终得出整体测评报告。测评报告包含了医院信息安全存在的潜在威胁点、整改建议与最终测评结果[9]。对于公安机关来讲, 医院能否通过等级测评的主要标准就是测评结果。因此, 测评报告的结果至关重要。测评结果分为:不符合、部分符合、全部符合。有的测评机构根据单项测评结果进行打分, 最后给出总分, 以分值来判定是否通过测评。为得到理想测评结果, 需要医院落实安全整改方案。
2.4 安全运维。我们必须清醒地认识到, 实施安全等级保护是一项长期工作, 它不仅要在信息化建设规划中考虑, 还要在日常运维管理中重视, 是不断循环的过程。按照等级保护制度要求, 信息系统等级保护级别定为三级的三甲医院每年要自查一次, 还要邀请测评机构进行测评并进行整改, 监管部门每年要抽查一次。因此, 医院要按照PDCA的循环工作机制, 不断改进安全技术与管理上, 完善安全措施, 更好地保障医院信息系统持续稳定运行[10]。
三、结语
医院信息安全工作是信息化建设的一部分, 是一项长期的系统工程, 需要分批分期的循序改建。还要结合医院实际, 考虑安全产品的实用性, 不能盲目的进行投资。医院通过实施等级保护工作, 可以有效增强网络与信息系统整体安全性, 有力保障医院各项业务的持续开展, 适应医院信息化不断发展的需求。
参考文献
[1]公安部, 国家保密局, 国家密码管理局, 国务院信息化办公室文件.关于信息安全等级保护工作的实施意见 (公通字[2004]66号) [R], 2004-9-15.
[2]GB/T 22240-2008.信息安全技术信息系统安全等级保护定级指南[S], 2008-06-19.
[3]GB/T 25058-2010.信息安全技术信息系统安全等级保护实施指南[S], 2010-09-02.
[4]GB/T 22239-2008.信息安全技术信息系统安全等级保护基本要求[S], 2008-06-19.
[5]魏世杰.医院信息安全等级保护三级建设思路[J].科技传播, 2013, 5 (99) :208-209.
[6]张滨.构建医院信息安全等级保护纵深防护体系[J].信息通信, 2014 (141) :148-149.
[7]GB/T 28449-2012.信息安全技术信息系统安全等级保护测评过程指南[S], 2012-06-29.
[8]姚红磊, 杨文.三级系统信息安全等级保护测评指标体系研究[J].铁路计算机应用, 2015, 24 (2) :59-61.
[9]廉明, 郭浩, 蒋凡.等级测评报告管理系统研究与设计[A].第二届全国信息安全等级保护技术大会会议论文集[C], 2013.
篇9:为何要开展网络安全等级保护工作
省教育技术中心唐连章主任介绍了信息安全工作背景,提出要全面贯彻落实教育部和省教育厅关于加强教育行业网络与信息安全工作的指导意见等文件精神,要求各省属中等职业学校认真部署本校的信息安全等级保护工作、强化信息网络安全责任、明确开展等级保护各项工作的时间节点,增强安全预警和应急处置能力,提高学校整体安全防护水平,形成与教育信息化发展相适应、完备的网络与信息安全保障体系。
省公安厅网警总队蔡旭副总队长以丰富的案例勾勒出当前信息安全工作面临的严峻形势,强调信息安全的重要性和紧迫性,要求各省属中职学校增强网络信息安全意识,选择符合资质的信息安全测评机构进行信息安全等级保护测评工作,建立信息化和安全建设同步机制和应急处置机制,共同维护国家信息安全。
教育信息安全等级保护测评中心广东测评部有关负责人作了专题培训,介绍了教育行业信息安全的形势、等级保护的政策和制度以及信息安全等级保护的工作流程。
广东省民政职业技术学校副校长刘伟峰代表学校作了信息安全建设工作的经验介绍。
篇10:为何要开展网络安全等级保护工作
我国信息安全等级保护工作全面展开
随着我国国民经济和社会发展信息化进程的全面加快,我国信息化的`程度越来越高,关系国计民生的重要领域信息系统已经成为国家的关键基础设施.这些基础信息网络和重要信息系统安全,关系国家安全和社会稳定,关系广大人民群众切身利益.当前,我国基础信息网络和重要信息系统安全面临的形势十分严峻,既有外部威胁,又有自身脆弱性和薄弱环节,维护国家信息安全的任务十分艰巨、繁重.
作 者:郭启全 作者单位:国家公安部公共信息网络安全监察局刊 名:信息技术与标准化英文刊名:INFORMATION TECHNOLOGY & STANDARDIZATION年,卷(期):“”(9)分类号:X3关键词:
篇11:为何要开展网络安全等级保护工作
(一)开展信息系统安全等级测评,为信息系统安全提供保障。选择由省级(含)以上信息安全等级保护工作协调小组办公室审核并备案的测评机构,对第三级(含)以上信息系统开展等级测评工作。等级测评机构依据《信息系统安全等级保护测评要求》等标准对信息系统进行测评,对照相应等级安全保护要求进行差距分析,排查系统安全漏洞和隐患并分析其风险,提出改进建议,按照公安部制订的信息系统安全等级测评报告格式编制等级测评报告。经测评未达到安全保护要求的,要根据测评报告中的改进建议,制定整改方案并进一步进行整改。各部门要及时向受理备案的公安机关提交等级测评报告。对于重要部门的第二级信息系统,可以参照上述要求开展等级测评工作。
(二)开展信息安全等级保护安全管理制度建设,提高信息系统安全管理水平。按照《管理办法》、《信息系统安全等级保护基本要求》,参照《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准规范要求,建立健全并落实符合相应等级要求的安全管理制度:一是信息安全责任制,明确信息安全工作的主管领导、责任部门、人员及有关岗位的信息安全责任;二是人员安全管理制度,明确人员录用、离岗、考核、教育培训等管理内容;三是系统建设管理制度,明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理内容;四是系统运维管理制度,明确机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置、应急预案等管理内容。建立并落实监督检查机制,定期对各项制度的落实情况进行自查和监督检查。
(三)开展信息安全等级保护安全技术措施建设,提高信息系统安全防护能力。按照《管理办法》、《信息系统安全等级保护基本要求》,参照《信息系统安全等级保护实施指南》、《信息系统通用安全技术要求》、《信息系统安全工程管理要求》、《信息系统等级保护安全设计技术要求》等标准规范要求,结合行业特点和安全需求,制定符合相应等级要求的信息系统安全技术建设整改方案,开展信息安全等级保护安全技术措施建设,落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施,建立并完善信息系统综合防护体系,提高信息系统的安全防护能力和水平。
篇12:为何要开展网络安全等级保护工作
简
报
第(74)期 国家信息安全等级保护工作协调小组办公室
2009年12月25日
国家信息安全等级保护安全建设指导
专家委员会在京成立
为确保信息安全等级保护安全建设整改工作顺利开展,加强对重要信息系统运营使用单位及其主管部门的政策和技术指导,公安部于近期成立了国家信息安全等级保护安全建设指导专家委员会(以下简称“专家委”),充分发挥社会资源优势,共同推动等级保护安全建设整改工作。
一、聘请了专家委的主任和委员。信息安全等级保护安全建设整改工作是一项长期的系统工程,需要有国家政策和标准的指引、— 1 — 行业主管部门的重视和实施、专家和信息安全企业的服务与支持,为使专家委成员能够覆盖到等级保护安全建设整改工作的各个领域,更好的为重要行业、重要部门提供政策和技术指导,经认真研究及专家所在单位推荐,聘请沈昌祥院士担任专家委主任,聘请方滨兴院士担任专家委副主任,并从科研院所、行业主管部门和信息安全企业聘请了28位具有丰富信息安全等级保护工作经验的同志为专家委委员(专家委名单附后)。
二、明确了专家委的主要职责。一是配合公安部宣传信息安全等级保护安全建设相关政策,根据等级保护安全建设总体部署,指导备案单位研究拟定信息安全等级保护安全建设的贯彻实施意见和建设规划;二是宣传国家信息安全等级保护安全建设相关技术标准,并结合行业特点,研究、指导备案单位等级保护安全建设相关技术标准的行业应用,指导备案单位研究拟定行业技术标准规范;三是参与备案单位信息安全等级保护安全建设整改方案的论证、评审,指导备案单位信息安全等级保护安全建设工作;四是了解掌握并研究探索行业开展信息安全等级保护安全建设工作中安全管理、安全技术和工程建设、工程管理等最佳实践,总结成功经验,树立典型并提出推广意见;五是跟踪国内外信息安全技术最新发展,组织和引导信息安全研究机构和企业开展信息安全等级保护共性技术和关键技术专题研究,推动等级保护技术研究工作,促进信息安全产业发展;六是研究提出完善国家信息安全等级保护政策体系和技术体
— 2 — 系的意见和建议。
三、召开了专家委成立大会。12月22日,公安部网络安全保卫局在北京召开了专家委成立大会。会上,公安部网络安全保卫局赵林副局长高度赞扬了专家在等级保护制度贯彻落实过程中发挥的重要作用,宣布了专家委成员名单和主要职责,顾建国局长为专家发放了聘书,并作了总结讲话。沈院士、方院士、崔书昆委员、周德铭委员、李京春委员等5位专家结合自身的工作情况和切身感受,简要回顾了十几年来等级保护工作的发展历程,充分肯定了等级保护工作取得的显著成效,沈院士还专门概括等级保护工作很重要、很正确、很紧迫。专家们表示,在国家信息安全等级保护工作协调小组的领导下,在公安部的具体组织和指导下,各单位、各部门高度重视,坚决贯彻落实等级保护制度要求,等级保护工作取得了令人瞩目的成绩,目前已经基本形成了等级保护制度的政策体系和标准体系,下一阶段,要在等级保护定级备案工作的基础上,充分发挥专家作用,全力配合公安部工作,为重要行业、重要部门开展等级保护安全建设整改工作做好技术支持和服务。
赵林副局长在会上表示,自等级保护工作开展以来,以沈院士为代表的一大批在我国享有盛誉的信息安全专家,以高度的政治责任感和大局意识,以高度负责的态度,以高超精湛的技术素养和丰富的专业知识,勇于探索,扎实工作,无私奉献,团结协作,积极为等级保护制度的制定和实施献计献策,为我国信息安全等级保护政策和标准制定、技术研发、产业发展以及重要信息系统等级保护
— 3 — 定级、测评、安全建设等工作付出了心血,为建立具有我国特色的信息安全等级保护制度发挥了极其重要的作用,为等级保护制度的贯彻落实和工作的深入推进奠定了坚实的基础,为国家信息安全保障事业作出了重要贡献。等级保护安全建设整改工作是当前和今后一个时期等级保护工作的一项主要任务,相信有各位专家的大力支持,有各行各业的共同努力,我国的信息安全等级保护工作目标一定能够实现,我国的信息安全保障水平一定能够再上一个新台阶。
顾建国局长总结了信息安全等级保护工作的开展情况,充分肯定了专家在等级保护工作做出的贡献,并对今后的工作提出了要求。他指出,成立专家委是推进国家信息安全等级保护事业的需要。国家实施信息安全等级保护是一项伟大的、浩大的工程,需要一批实干的、有影响力的、高水平的专家来带领和指导这项事业不断地往前推进。等级保护既是他山之石又有更多的中国特色,是走前人没有走过的路,是一项新的事业,有许多工作需要探索。这次成立由沈院士和方院士领衔的专家委,水平很高,是把等级保护工作不断推向前进的可靠保障。成立专家委是公安部推进信息安全等级保护工作的需要。等级保护工作这是一个历史造成的任务,公安部作为信息安全等级保护工作的牵头部门,近年来投入了很多人力物力,在各位专家、各部门的大力支持下,这项工作取得了初步成效。但这项工作只靠公安部自身的能力是承担不好的,迫切希望各位专家的指导和帮助。各位专家的背景不同,在各自实际工作领域更有发言权和权威性,有利于我们解决各行各业在落实等级保护制度中遇
— 4 — 到的困难和问题,推动等级保护工作不断前进。对于下一步专家的工作,顾局长提出了三点希望:一是希望各位专家要多多参与,多出成效,使得等级保护工作不断推进;二是希望各位专家多提意见,多出主意,建立沟通渠道和机制,推动公安部各项工作的开展;三是希望各位专家加强学习,加强交流,不断掌握新情况,研究新问题,适应新形势,为推进等级保护工作做出更大贡献。
国家信息安全等级保护安全建设指导
主 任:沈昌祥 副主任:方滨兴
委 员:崔书昆 王立福 袁文恭 王
娜 郭全明 张瑞芝 刘祖泷 李建彬 李宏图 闫宏强 周德铭 刘长虹 专家委员会专家名单
海军计算技术研究所
院士
北京邮电大学校长
院士
解放军信息安全测评认证中心研究员 北京大学教授
国家信息安全工程技术研究中心研究员 国家发展和改革委员会高技术司处长 人民银行科技司处长
国家广播电影电视总局安调中心副总工程师 铁道部信息办处长
国家税务总局电子税务管理中心副处长 海关总署科技发展司副处长 工业与信息化部通信保障局副处长 国家审计署信息办主任
国有资产监督管理委员会信息办副主任
王连印
国家质量监督检验检疫总局信息中心副主任 马晓东
公安部科技与信息化局总工程师 王才有
卫生部统计信息中心副主任 蔡
阳
水利部水利信息中心副主任 顾炳中
栗演兵
王继业
罗
凯
朱建平
李京春
王
军
顾
健
陈建民
刘科全
赵呈东
孙
铁
国土资源部信息中心总工程师 民政部信息中心总工程师 国家电网公司信息化工作部 副主任 中国证券监督管理委员会信息中心总工程师 公安部信息安全等级保护评估中心副主任 国家信息技术安全研究中心 总工程师 中国信息安全测评中心总工程师 公安部信息安全产品检测中心副主任 计算机病毒防治产品检验中心副主任 联想网御科技(北京)有限公司总裁 北京启明星辰信息技术有限公司总监 北京神州绿盟科技有限公司 技术顾问
报:国家信息安全等级保护工作协调小组组长。
送:外交部、国家发展和改革委员会、教育部、科学技术部、工业和信息化部、国家民族事务委员会、国家安全部、民政部、司法部、财政部、人力资源和社会保障部、国土资源部、环境保护部、住房和城乡建设部、交通运输部、铁道部、水利部、农业部、商务部、文化部、卫生部、中国人民银行、审计署、海关总署、国家新闻出版总署、国家税务总局、国家工商行政管理总局、国家质量监督检验检疫总局、国家广播电影电视总局、中国民用航空总局、国家邮政总局、国家体育总局、国家安全生产监督管理总局、国家统计局、国家林业局、国家食品药品监督管理局、中国气象局、中国地震局、国家信访局、国家粮食局、国家烟草专卖局、国家海洋局、国家测绘局、国家机关事务管理局、国家档案局、国家外国专家局、国务院国有资产监督委员会、中国银行业监督管理委员会、中国证券监督管理委员会、中国保险监督管理委员会、国家电力监管委员会、最高人民法院、最高人民检察院、新华通讯社、中国科学院、中国社会科学院、中国工程院办公厅,国务院法制办公室、国务院新闻办公室、中央610办公室秘书局,国家保密局、国家密码管理局。
发:各省、自治区、直辖市公安厅(局)公共信息网络安全监察总队(处)、信息化领导小组办公室,新疆生产建设兵团公安局公共信息网络安全监察处、信息化领导小组办公室。
(共印1000份,存档5份)
审批:赵
林
核稿:郭启全
篇13:为何要开展网络安全等级保护工作
信息安全等级保护制度是国家信息安全保障工作的基本制度, 是促进信息化健康发展的根本保障。其具体内容包括: (1) 对国家秘密信息, 法人和其他组织及公民的专有信息以及公开信息, 存储、传输、处理这些信息的信息系统实行分等级安全保护、分等级监管; (2) 对信息系统中使用的信息安全产品实行按等级管理; (3) 对信息系统中发生的信息安全事件分等级响应、处置。信息安全等级保护配套政策体系及标准体系如图1、图2所示。
信息等级保护具体工作由5部分组成。 (1) 定级:将信息系统按照重要性和遭受损坏后的危害性分成5个安全保护等级; (2) 备案:等级确定后, 第二级 (含) 以上信息系统到公安机关备案, 公安机关审核后颁发备案证明; (3) 测评:备案单位选择符合国家规定条件的测评机构开展等级测评; (4) 建设整改:备案单位根据信息系统安全等级, 按照国家政策、标准开展安全建设整改; (5) 检查:公安机关定期开展监督、检查、指导。
2 中国石油信息安全等级保护制度建设
中国石油信息化建设处于我国大型企业领先地位, 在国资委历年信息化评比中都名列前茅。2007年全国开展信息安全等级保护工作之后, 中国石油认真贯彻国家信息安全等级保护制度各项要求, 全面开展信息安全等级保护工作。逐步建成先进实用、完整可靠的信息安全体系, 保障信息化建设和应用, 支撑公司业务发展和总体战略的实施, 使中国石油的信息安全保障能力显著提高。主要采取的措施有以下几个方面:
(1) 以信息安全等级保护工作为契机, 全面梳理业务系统并定级备案。中国石油根据国家信息安全等级保护制度要求, 建立自上而下的工作组织体系, 明确信息安全责任部门, 对中国石油统一建设的应用系统进行等级保护定级和备案, 通过制定《中国石油天然气集团公司重要信息系统安全等级保护定级实施暂行意见》, 加强桌面安全、网络安全、身份认证等安全基础防护工作, 加快开展重要信息系统的等级测评和安全建设整改工作, 进一步提高信息系统的安全防御能力, 提高系统的可用性和安全性。在全面组织开展信息系统等级保护定级备案工作之后, 聘请专业测评机构, 及时开展等级测评、安全检查和风险评估工作, 并通过等级测评工作查找系统的不足和安全隐患, 制订安全整改方案, 开展安全整改和加固改造, 保障信息系统持续安全稳定运行。
(2) 以信息安全等级保护工作为抓手, 全面推动中国石油信息安全体系建设。中国石油以信息安全等级保护工作为抓手, 完善信息安全整体解决方案, 建立技术保障体系、管理保障体系和控制保障体系。采用分级、分域的纵深防御理念, 将桌面安全、身份认证、网络安全、容灾等相关技术相互结合, 建立统一的安全监控平台和安全运行中心, 实现对应用系统的授权访问、桌面计算机的安全控制、网络流量的异常监控、恶意软件与攻击行为的及时发现与防御、业务与数据安全保障等功能, 显著提高抵御外部和内部信息安全威胁的能力。建立了总部、区域网络中心、企事业单位三级信息系统安全运维队伍;采用集中管理、分级维护的管理模式, 网络与安全运维人员采用授权方式, 持证上岗, 建立网络管理员、安全管理员和安全审计员制度;初步建立起中国石油内部信息安全风险评估队伍, 并于2010年完成地区公司的网络安全风险评估工作。
(3) 建立重要信息系统应急处置预案, 完善灾难恢复机制。2008年, 中国石油发布了《网络与信息安全突发事件专项应急预案》, 所有业务系统、网络管理、安全管理等都建立了应急响应处置预案和灾备系统, 保障业务系统在遭遇突发事件时, 能快速反应并恢复业务系统可用性。通过灾难恢复项目研究, 形成了现状及风险分析、灾难恢复等级划分、灾备部署策略分析和灾备部署方案四步法, 划分了信息系统灾难恢复等级, 完善了灾难恢复机制。
(4) 规划信息安全运行中心, 建立重要信息系统安全监控机制。中国石油规划了信息安全运行中心的建设方案, 提出了信息安全运行中心建设目标, 通过网络运行状态、安全信息数据汇集、安全监测分析功能和安全管理流程的有机整合, 实现中国石油信息安全状况的可感知、可分析、可展示、可管理和可指挥, 形成中国石油信息安全事件分析、风险分析、预警管理和应急响应处理一体化的技术支撑能力;通过完善安全运行管理体系, 将安全运行管理组织、安全运维管理流程和安全监测预警系统三方面有机结合, 实现事前预警防范、事中监控处置、事后追溯定位的信息安全闭环运行机制, 形成中国石油统一的应急指挥与协调调度能力, 为中国石油信息安全保障奠定良好的基础。
3 信息安全等级保护工作存在的不足及改进建议
信息安全等级保护管理办法 (公通字[2007]43号) 正式发布标志着全国范围内的信息安全等级保护工作开始, 通过5年的努力, 全国信息安全工作形成了以落实信息安全等级保护制度为核心, 信息通报、应急处理、技术研究、产业发展、网络信任体系和标准化建设等工作快速发展的良好局面, 重要行业部门的信息安全意识、重视程度、工作能力有了显著提高。40余个重要行业出台了100余份行业等级保护政策文件, 20余个重要行业出台了40余份行业等级保护标准, 但同时存在着以下不足:
(1) 对信息安全工作的认识不到位, 对重要信息系统安全保护缺乏应有的重视。依据公安部相关资料统计, 截至2012年6月, 我国有18%的单位未成立信息安全工作领导机构;21%的单位未落实信息安全责任部门, 缺乏信息安全整体规划;14个行业重要信息系统底数不清、安全保护状况不明;12个行业未组织全行业信息安全专门业务培训, 开展信息安全工作的思路和方法不得当, 措施不得力。20%的单位在信息系统规划过程中, 没有认真制定安全策略和安全体系规划, 导致安全策略不得当;22%的信息系统网络结构划分不合理, 核心业务区域部署位置不当, 业务应用不合理, 容易导致黑客入侵攻击, 造成网络瘫痪, 数据被窃取和破坏。34.6%的重要信息系统未配置专职安全管理人员, 相关岗位设置不完整, 安全管理人员身兼多职;48%的单位信息安全建设资金投入不足, 导致重要信息系统安全加固和整改经费严重缺乏;27%的单位没有针对安全岗位人员制订相关的培训计划, 没有组织开展信息安全教育和培训, 安全管理、运维技术人员能力较弱。
(2) 重要信息系统未落实关键安全保护技术措施。重要信息系统未落实安全审计措施。在主机层面, 有34.9%的信息系统没有保护主机审计记录, 34.8%的信息系统没有保护主机审计进程, 容易导致事故责任无法认定, 无法确定事故 (事件) 原因, 影响应急处理效率。38%的信息系统没有落实对重要系统程序和文件进行完整性检测和自动恢复的技术措施, 35%的信息系统没有采取监测重要服务器入侵行为的技术措施, 容易使内部网络感染病毒, 对攻击行为无法进行有效监测和处置。
(3) 我国信息技术与国外存在一定差距, 安全专业化服务力量薄弱。具有我国自主知识产权的重要信息技术产品和核心技术水平还有待提高, 依赖国外产品的情况还比较普遍;国内信息安全专业化服务力量薄弱, 安全服务能力不强, 部分重要信息系统的关键产品维护和系统运维依赖国外厂商, 给重要信息系统安全留下了隐患。
为了有效提高我国企业信息安全水平, 增加等级保护的可行性及执行力, 建议: (1) 各企业开展以信息安全等级保护为核心的安全防范工作, 提高网络主动防御能力, 并制订应急处置预案, 加强应急演练, 提高网络应急处置能力。 (2) 加大人员和资金投入, 提高保障能力。 (3) 国家层面加快关键技术研究和产品化, 重视产品供应链的安全可控。
参考文献
[1]中国石油天然气集团公司.中国石油天然气集团公司全面开展信息安全等级保护工作为信息化建设保驾护航[J].信息网络安全, 2012 (1) .
[2]池仁隆, 张超, 张春柳.信息系统安全等级保护建设与测评方法简析[J].软件产业与工程, 2012 (2) .