時間:2023-09-20 16:57:18
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網(wǎng)絡(luò)安全等級測評,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進步。
【關(guān)鍵詞】 云安全模型 信息系統(tǒng) 安全等級保護 測評 研究
實踐中可以看到,云安全技術(shù)具有較強的技術(shù)要求,尤其是物理資源、網(wǎng)絡(luò)、主機以及應(yīng)用和數(shù)據(jù)信息安全。云計算中心以虛擬技術(shù)居多,基于等級保護之要求,對云計算信息系統(tǒng)難以開展安全等級保護測評,具有非常重要的作用。
一、云安全服務(wù)模型
云產(chǎn)品在部署模型、服務(wù)模型以及資源物理位置和管理屬性方面,呈現(xiàn)出較大區(qū)別的形態(tài)模式,安全風(fēng)險特征、控制職責(zé)范圍也存在著較大的差異性。基于此,需基于安全控制角度健全和完善云計算模型, 實現(xiàn)云服務(wù)架構(gòu)到安全架構(gòu)的有效映射,從而為風(fēng)險識別、決策以及安全控制提供重要參考。
基礎(chǔ)設(shè)施即服務(wù),其主要有計算機網(wǎng)絡(luò)設(shè)施、網(wǎng)絡(luò)設(shè)備、主機以及服務(wù)器等硬件平臺;在基礎(chǔ)設(shè)施建設(shè)過程中,首先是將硬件資源抽象起來,并且將這些資源有效的納入到基礎(chǔ)設(shè)施邏輯節(jié)點之中,向用戶提供可統(tǒng)一編程應(yīng)用程序接口,然后讓用戶通過應(yīng)用程序?qū)?yīng)用程序編程接口調(diào)用,從而實現(xiàn)物理設(shè)備的相互應(yīng)用。對于IaaS層而言,其關(guān)注的主要安全問題是網(wǎng)絡(luò)基礎(chǔ)設(shè)施環(huán)境、物理、環(huán)境、主機以及網(wǎng)絡(luò)連接設(shè)備和系統(tǒng)虛擬化等方面的安全。
對于云安全管理中心而言,基于云安全服務(wù)所提出的云安全管理概念,對用戶、安全事件以及資產(chǎn)等進行統(tǒng)一監(jiān)管,集中審計分析研究;同時,通過高效化、專業(yè)化支撐平臺,以及先進的監(jiān)測工具,預(yù)警安全事件,并且及時對安全狀態(tài)進行掌控,從而發(fā)現(xiàn)基于云計算環(huán)境的病毒傳播、網(wǎng)絡(luò)攻擊以及異常行為等事件,為應(yīng)急響應(yīng)、預(yù)警和事件調(diào)查提供技術(shù)方面的支撐;同時,還要采取有效的主動防護措施保護用戶數(shù)據(jù)信息,并且對云計算中心進行全面安保。
二、基于云安全模型的信息安全等級測評
所謂云安全模式下的信息安全等級測評,主要是基于云安全中心模型、云安全服務(wù)模型以及云安全領(lǐng)域的不同要求,得出一個安全模型,并且在信息安全等級保護基礎(chǔ)上確定其所處位置。云安全模型的一端與等級保護技術(shù)要求相連接,另一端則與等級保護管理要求相連接。實踐中,通過云安全信息中心建模操作,全面分析安全模型下的云安全核心基礎(chǔ),并且得出安全等級測評模型,以此來開展相關(guān)測評工作。基于以上分析,筆者認(rèn)為將在云安全模型中有效的嵌套云安全等級保護建模,即可實現(xiàn)與云信息安全等級相關(guān)的測評操作,對安全模型下的控制項實施細(xì)粒度分析。
云認(rèn)證及其授權(quán):對于云認(rèn)證、授權(quán)而言,其重點在于全面查看登錄認(rèn)證、程序運行授權(quán)、服務(wù)認(rèn)證以及敏感文件授權(quán)等事項。云訪問控制過程中,基于訪問控制模型對是否為強制訪問、自主訪問以及角色型訪問控制進行確定,以便于能夠采用不同的方式和方法對其進行有效的分析。對于云安全邊界與隔離而言,主要是全面了解安全隔離機制、安全區(qū)域劃分以及硬件安全技術(shù)支撐等問題。對于云安全存儲而言,可將數(shù)據(jù)信息存儲成加密格式,而且用戶需將數(shù)據(jù)信息獨立出來,區(qū)分開來。在惡意代碼防范過程中,可了解是否有惡意代碼檢測、攻擊抵御策略。同時,還要具備安全管理功能,對所有物理/虛擬硬件、軟件以及網(wǎng)絡(luò)資源等加強管理,管理測評要求與等級保護管理要求應(yīng)當(dāng)保持一致。對于網(wǎng)絡(luò)安全傳輸而言,主要了解計算機網(wǎng)絡(luò)安全傳輸采用加密的方式與否。對于網(wǎng)絡(luò)配置及其安全策略而言,應(yīng)當(dāng)使訪問控制、資源分配確實有效,而且還要以統(tǒng)一、安全可靠的方式進行定義,并且有效解 決、執(zhí)行實踐中的相應(yīng)安全策略。
結(jié)語:總而言之,云安全快速發(fā)展的條件下,基于云安全模型的信息系統(tǒng)安全等級保護方法也在不斷的完善,如何應(yīng)當(dāng)云計算虛擬化技術(shù)的漏洞以及數(shù)據(jù)泄露和共享訪問模式問題,成為需要深化研究的要點。
參 考 文 獻
[1] 邱建勛. 信息系統(tǒng)安全等級保護定級方法的思考[J]. 數(shù)字與縮微影像,2012(04)
【 關(guān)鍵詞 】 等級保護;等級測評;質(zhì)量控制
1 引言
近年來,隨著等級保護工作的深入開展,我國相繼出臺了一系列等級保護法律法規(guī)體系和標(biāo)準(zhǔn)規(guī)范體系,中國石化根據(jù)國家等級保護政策和技術(shù)標(biāo)準(zhǔn),結(jié)合企業(yè)特點,在不低于國家標(biāo)準(zhǔn)的基礎(chǔ)上,編寫了企業(yè)行業(yè)標(biāo)準(zhǔn),形成了企業(yè)等級保護標(biāo)準(zhǔn)體系。對等級保護五個基本動作(信息系統(tǒng)定級、備案、安全建設(shè)整改、等級測評、安全檢查環(huán)節(jié))進行了針對性指導(dǎo)。其中《信息系統(tǒng)安全等級保護測評要求》、《 信息系統(tǒng)安全等級保護測評過程指南》、《信息系統(tǒng)安全管理測評》 、《中國石化集團信息系統(tǒng)安全等級保護管理辦法》等技術(shù)標(biāo)準(zhǔn),對等級測評的主要原則和主要內(nèi)容,測評基本流程、過程分類、記錄文檔、測評報告等進行了具體規(guī)范。就目前研究成果來看,我國還沒有形成以等級測評為主體的質(zhì)量管理體系與技術(shù)標(biāo)準(zhǔn),缺乏針對等級測評活動質(zhì)量控制的方法研究。本文從研究《信息系統(tǒng)安全等級保護基本要求》、《中國石化集團信息安全等級保護基本要求》、《信息系統(tǒng)安全等級保護測評要求》、《 信息系統(tǒng)安全等級保護測評過程指南》等管理規(guī)范和技術(shù)標(biāo)準(zhǔn)入手,對等級測評活動的質(zhì)量控制進行分析,提出了相應(yīng)的工作方法和控制措施,基本滿足了等級測評活動公正性、客觀性和保密性對質(zhì)量控制的需求。
2 等級測評活動的質(zhì)量控制需求
等級測評活動是測評機構(gòu)依據(jù)等級保護相關(guān)的政策法規(guī)、管理規(guī)范和技術(shù)標(biāo)準(zhǔn),檢測評估信息系統(tǒng)安全等級保護狀況是否達到相應(yīng)等級基本要求的過程,為石化行業(yè)等單位進行信息系統(tǒng)等級保護安全建設(shè)整改和國家監(jiān)管部門依法行政管理提供決策依據(jù),是落實信息安全等級保護制度的重要環(huán)節(jié)。等級測評活動不同于一般的風(fēng)險評估和安全評價,是政策性、專業(yè)性很強的技術(shù)活動。對等級測評活動實施質(zhì)量控制的目的,就是建立和完善等級測評質(zhì)量管理體系,通過質(zhì)量方針目標(biāo)、管理制度、控制程序等系列管理措施,對等級測評活動實施全過程實施質(zhì)量控制,保證測評活動中引用的政策法規(guī)、技術(shù)標(biāo)準(zhǔn)正確,測評方法科學(xué),測評過程可控,測評行為規(guī)范,測評結(jié)論客觀真實。要求等級測評人員在測評活動中,不但要正確理解和把握等級保護相關(guān)的政策法規(guī)、管理規(guī)范和技術(shù)標(biāo)準(zhǔn),保證等級測評過程的合規(guī)性,還要通過職業(yè)道德規(guī)范教育和測評行為約束,保證等級測評結(jié)論的公正性、客觀性。
3 等級測評機構(gòu)的質(zhì)量管理體系結(jié)構(gòu)
等級保護政策法規(guī)、管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對等級測評的原則、內(nèi)容、過程、方法以及測評強度的要求,體現(xiàn)了對等級測評活動實施質(zhì)量控制的思想。《信息安全等級測評機構(gòu)能力要求》要求等級測評機構(gòu)建立、實施和維護符合等級測評工作需要的文件化的質(zhì)量管理體系。要求體系文件以制度、手冊、程序等形式執(zhí)行,并應(yīng)建立執(zhí)行記錄,為等級測評活動質(zhì)量控制提出了基礎(chǔ)框架結(jié)構(gòu)。
等級測評機構(gòu)的質(zhì)量管理體系結(jié)構(gòu)和控制措施主要包括四個層次的內(nèi)容。
第一層指導(dǎo)性文件:依據(jù)等級保護政策法規(guī)體系、技術(shù)標(biāo)準(zhǔn)體系和等級測評機構(gòu)能力要求,制定等級測評機構(gòu)質(zhì)量管理體系,確立質(zhì)量方針和工作目標(biāo),指導(dǎo)測評活動。
第二層控制性文件:根據(jù)測評活動要求,建立保密管理制度、項目管理制度、質(zhì)量管理制度、人員管理制度、教育培訓(xùn)制度、設(shè)備管理制度、申訴、投訴和爭議管理制度等,對等級測評活動管理目標(biāo)進行控制。
第三層操作性文件:依據(jù)等級測評管理目標(biāo),建立和完善相應(yīng)的《合同評審控制程序》、《文件記錄控制程序》 、《管理評審控制程序》、《技術(shù)評審控制程序》、《測評設(shè)備控制程序》、《測評過程控制程序》、《風(fēng)險控制程序》、《保密控制程序》、《人力資源管理與教育培訓(xùn)程序》、《糾正和預(yù)防措施控制程序》、《申訴、投訴及爭議處理控制程序》、《客戶滿意度管理程序》等操作性文件,對等級測評活動過程和環(huán)節(jié)進行控制。
第四層保證性文件:建立健全各項質(zhì)量記錄表單,制定測評機構(gòu)禁止行為和測評人員職業(yè)道德規(guī)范,對等級測評結(jié)論的公正性、客觀性、保密性進行控制。
4 等保測評過程中的質(zhì)量控制
《 信息系統(tǒng)安全等級保護測評過程指南》將等級測評過程劃分為測評準(zhǔn)備、方案編制、現(xiàn)場測評、分析與報告編制四個活動階段。測評過程質(zhì)量控制強度與質(zhì)量管理體系各要素之間的關(guān)系如表1所示。
4.1 測評準(zhǔn)備活動的質(zhì)量控制
4.1.1 項目啟動活動的質(zhì)量控制
依據(jù)《合同評審控制程序》組織有關(guān)管理、技術(shù)人員和法律顧問召開合同評審會議,對測評雙方需要簽訂的委托協(xié)議或合同書進行評審。根據(jù)雙方簽訂的委托協(xié)議或合同書,組建等級測評項目組,按照測評活動實際要求進行人員、設(shè)備、資金等資源配置。項目組設(shè)置質(zhì)量管理和技術(shù)管理部門,明確責(zé)任權(quán)限,以滿足測評活動的技術(shù)和質(zhì)量管理要求。
依據(jù)《 信息系統(tǒng)安全等級保護測評過程指南》和《測評過程控制程序》編制《項目計劃書》。
4.1.2 信息收集和分析活動的質(zhì)量控制
依據(jù)《測評過程控制程序》編制《基本情況調(diào)查表》,收集和分析被測信息系統(tǒng)等級測評需要的各種資料,包括各種方針文件、規(guī)章制度及相關(guān)過程管理記錄、被測系統(tǒng)總體描述文件、詳細(xì)描述文件、安全保護等級定級報告、安全需求分析報告、安全總體方案、安全現(xiàn)狀評價報告、安全詳細(xì)設(shè)計方案、用戶指南、運行步驟、網(wǎng)絡(luò)圖表、配置管理文檔等。通過現(xiàn)場調(diào)查和工作交流等方式詳細(xì)了解被測系統(tǒng)狀況,明確等級測評的工作流程及可能帶來的風(fēng)險和規(guī)避方法,為編制等級測評實施方案做好準(zhǔn)備。
4.1.3 工具和表單準(zhǔn)備活動的質(zhì)量控制
測評人員依據(jù)《測評過程控制程序》要求,搭建模擬系統(tǒng)測試環(huán)境,按照測評機構(gòu)《測評設(shè)備控制程序》調(diào)試各種必備的測試工具,并按照《文件記錄控制程序》準(zhǔn)備現(xiàn)場測評授權(quán)書、文檔交接單、會議記錄表單、會議簽到表等表單。
4.2 方案編制活動的質(zhì)量控制
4.2.1 測評對象、測評指標(biāo)、測試工具接入點、測評內(nèi)容的質(zhì)量控制
測評人員根據(jù)已經(jīng)了解到的被測系統(tǒng)信息,按照《測評過程控制程序》規(guī)定的方法和步驟,分析整個被測系統(tǒng)及其涉及的業(yè)務(wù)應(yīng)用系統(tǒng),確定出本次測評活動的測評對象、測評指標(biāo)、測試工具接入點、測評內(nèi)容等,并以表單的形式進行具體描述。
4.2.2 測評指導(dǎo)書開發(fā)、測評方案編制的質(zhì)量控制
測評人員按照《測評過程控制程序》要求和測評活動內(nèi)容開發(fā)測評指導(dǎo)書、編制等級測評實施方案。
測評指導(dǎo)書由測評機構(gòu)按照《技術(shù)評審程序》進行技術(shù)評審,評審合格后項目技術(shù)主管簽字,并按照控制范圍分發(fā)、管理。
等級測評實施方案由項目經(jīng)理按照《技術(shù)評審程序》組織雙方測評人員和專家小組成員進行技術(shù)評審,評審合格的等級測評實施方案,提交石化單位代表簽字確認(rèn),按照《文件記錄控制程序》、《保密控制程序》進行和管理。
4.3 現(xiàn)場測評活動的質(zhì)量控制
4.3.1 進場前的準(zhǔn)備活動的質(zhì)量控制
按照《測評過程控制程序》要求組織召開首次測評會議,測評雙方人員溝通等級測評實施方案,簽署現(xiàn)場測評授權(quán)書,做好現(xiàn)場測評準(zhǔn)備。
4.3.2 現(xiàn)場測評和結(jié)果記錄、結(jié)果確認(rèn)活動的質(zhì)量控制
測評人員進入測評現(xiàn)場測評時,按照《測評過程控制程序》填寫《現(xiàn)場測評登記表》,詳細(xì)填寫出入現(xiàn)場時間、測評工作內(nèi)容、測評前后的信息系統(tǒng)安全狀況,并由石化單位配合人員現(xiàn)場簽字確認(rèn)。
嚴(yán)格按照測評指導(dǎo)書和等級測評實施方案確定的過程和方法進行現(xiàn)場測評,通過人員訪談、文檔審查、配置檢查、工具測試和實地察看等方法,測評被測系統(tǒng)的保護措施情況,獲取現(xiàn)場測評證據(jù),并按照《文件記錄控制程序》要求填寫《現(xiàn)場測評記錄表》。
現(xiàn)場測評活動中,及時匯總現(xiàn)場測評記錄和發(fā)現(xiàn)的問題,對遺漏和需要進一步驗證的內(nèi)容實施補充測評,測評記錄由測評雙方測評人員現(xiàn)場簽字確認(rèn)。
現(xiàn)場測評完成后,測評雙方人員召開現(xiàn)場測評結(jié)束會,對現(xiàn)場測評工作進行小結(jié),將現(xiàn)場測評中發(fā)現(xiàn)的問題形成書面報告,并由雙方代表簽字確認(rèn)。
現(xiàn)場測評活動中產(chǎn)生的所有現(xiàn)場測評結(jié)果記錄以及石化單位提供的信息資料,均按照《文件記錄控制程序》、《保密控制程序》進行管理,嚴(yán)格限制他們的知曉和使用范圍。
4.4 分析與報告編制活動的質(zhì)量控制
4.4.1 測評結(jié)果判定、整體測評、風(fēng)險分析、等級測評結(jié)論形成的的質(zhì)量控制
測評人員依據(jù)《信息系統(tǒng)安全等級保護基本要求》、《中國石化集團信息系統(tǒng)安全等級保護基本要求》、《信息系統(tǒng)安全管理要求》、《信息系統(tǒng)通用安全技術(shù)要求》等相關(guān)技術(shù)標(biāo)準(zhǔn),按照《測評過程控制程序》規(guī)定的方法、步驟,對測評指標(biāo)中的每個測評項測評記錄,進行客觀、準(zhǔn)確地分析,形成初步單項測評結(jié)果,并以表單形式給出。按照《測評過程控制程序》要求匯總單項測評結(jié)果,分別統(tǒng)計不同測評對象的單項測評結(jié)果,從而判定單元測評結(jié)果,并以表格的形式逐一列出。測評人員針對單項測評結(jié)果的不符合項,采取逐條判定和優(yōu)勢證據(jù)的方法,從安全控制間、層面間和區(qū)域間出發(fā),對系統(tǒng)結(jié)構(gòu)進行整體安全測評,給出整體測評的具體結(jié)果。采用風(fēng)險分析的方法分析等級測評結(jié)果中存在的安全問題及可能對被測系統(tǒng)安全造成的影響。在此基礎(chǔ)上,找出系統(tǒng)保護現(xiàn)狀與等級保護基本要求之間的差距,形成等級測評結(jié)論。
結(jié)論形成后,測評雙方有關(guān)人員和技術(shù)專家按照《技術(shù)評審控制程序》對形成等級測評結(jié)論進行評審,評審?fù)ㄟ^的結(jié)果判定由測評雙方授權(quán)代表簽字確認(rèn)。
本過程產(chǎn)生的文檔資料,按照《文件記錄控制程序》、《保密控制程序》進行分類授權(quán)使用和管理。
4.4.2 測評報告的編制和分發(fā)的質(zhì)量控制
測評機構(gòu)按照《信息安全等級測評報告模板(試行)》格式編寫報告文檔。
測評雙方有關(guān)人員和專家召開等級測評末次會議,按照《管理評審控制程序》、《技術(shù)評審控制程序》對等級報告格式、內(nèi)容和結(jié)論進行評審,評審?fù)ㄟ^的測評報告文檔,按照《文件記錄控制程序》蓋章、編號,并由測評機構(gòu)項目經(jīng)理、質(zhì)量主管、技術(shù)主管聯(lián)合簽發(fā)。
測評人員按照《文件記錄控制程序》和《保密控制程序》和合同約定的控制范圍分發(fā)等級測評報告,交接有關(guān)資料文檔,刪除測評設(shè)備產(chǎn)生的電子數(shù)據(jù)。
5 結(jié)束語
本文依據(jù)等級保護相關(guān)的政策法規(guī)、管理規(guī)范和技術(shù)標(biāo)準(zhǔn),結(jié)合等級測評活動的公正性、客觀性、保密性的要求,對等級測評活動的質(zhì)量控制進行了分析,為等級測評機構(gòu)建立質(zhì)量管理體系和等級測評質(zhì)量控制提供了借鑒和參考。隨著等級保護政策法規(guī)和標(biāo)準(zhǔn)規(guī)范的不斷更新和完善,等級測評活動的質(zhì)量控制還有待更深入全面的探討和研究。
參考文獻
[1] GB/T 28448-2012 信息安全技術(shù) 信息系統(tǒng)安全等級保護測評要求.
[2] GB/T 28449-2012 信息安全技術(shù) 信息系統(tǒng)安全等級保護測評過程指南.
[3] 中華人民共和國公共安全行業(yè)標(biāo)準(zhǔn)(GA/T713-2007).信息系統(tǒng)安全管理測評.
[4] 中國石化集團信息系統(tǒng)安全等級保護管理辦法.
[5] GB/T 22239-2008 信息系統(tǒng)安全等級保護基本要求[S].
[6] 中國石化集團信息系統(tǒng)安全等級保護基本要求.
[7] 信息安全等級測評機構(gòu)能力要求(試行).
[8] GB/T20271-2006 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求[S].
[9] 公信安[2009]1487號.關(guān)于印發(fā)《信息系統(tǒng)安全等級測評報告模板(試行)》的通知.
[10] 郝文江,武捷.三網(wǎng)融合中的安全風(fēng)險及防范技術(shù)研究[J].信息網(wǎng)絡(luò)安全,2012,(01):5-9.
[11] 韓水玲,馬敏,王濤等.數(shù)字證書應(yīng)用系統(tǒng)的設(shè)計與實現(xiàn)[J].信息網(wǎng)絡(luò)安全,2012,(09):43-45.
[12] 常艷,王冠.網(wǎng)絡(luò)安全滲透測試研究[J].信息網(wǎng)絡(luò)安全,2012,(11):3-4.
1.1物理環(huán)境安全分析
信息中心機房安全對醫(yī)院信息系統(tǒng)異常重要,它是承載整個信息系統(tǒng)的基礎(chǔ)條件,直接影響信息系統(tǒng)能否正常工作。同時,中心機房工作環(huán)境影響設(shè)備能否長期正常工作。根據(jù)調(diào)查,機房環(huán)境溫度每上升1度,計算機系統(tǒng)壽命減少一半;機房濕度低容易產(chǎn)生靜電,大量靜電容易損壞電路芯片,濕度太高容易腐蝕元器件等。從信息系統(tǒng)安全等級保護要求來看,物理環(huán)境安全分為設(shè)備物理安全、環(huán)境物理安全、系統(tǒng)物理安全三大方面。其中,設(shè)備物理安全主要包括靜電放電、電磁輻射騷擾、電源適應(yīng)能力等21項具體要求;物理環(huán)境安全主要包括場地選擇、機房防火、機房屏蔽、供電系統(tǒng)、溫濕度控制等19項具體要求;系統(tǒng)物理安全主要包括:災(zāi)難備份與恢復(fù)、防止非法設(shè)備接入、防止設(shè)備非法外聯(lián)等6項具體要求。
1.2網(wǎng)絡(luò)安全分析
在醫(yī)療行業(yè)中大家對網(wǎng)絡(luò)安全普遍的認(rèn)識是以防火墻加防病毒來進行網(wǎng)絡(luò)安全防護,但事實上網(wǎng)絡(luò)安全問題涉及的內(nèi)容很多。隨著醫(yī)院網(wǎng)絡(luò)整體應(yīng)用規(guī)模的不斷擴大,大規(guī)模DOS侵入、黑客攻擊、蠕蟲病毒、外來工作人員等因素導(dǎo)致網(wǎng)絡(luò)安全環(huán)境日益惡化,現(xiàn)有安全技術(shù)手段逐漸暴露出安全防護力度不夠,強度不高等問題,由于網(wǎng)絡(luò)安全引發(fā)重要數(shù)據(jù)的丟失、破壞,將造成難以彌補的損失,嚴(yán)重影響到醫(yī)院網(wǎng)絡(luò)的正常運行。從等級保護要求方面,網(wǎng)絡(luò)安全應(yīng)該從身份鑒別、自主訪問控制、強制訪問控制、安全審計、可行路徑、防抵賴等11個方面的進行安全防護建設(shè)和防護。
1.3主機安全分析
主機是醫(yī)院信息系統(tǒng)的主要承載硬件設(shè)備,其安全性不言而喻,主機安全主要涉及:身份鑒別、訪問控制、審計安全、入侵防范、資源控制等。影響主機安全的主要因素來源于兩方面:一方面是針對操作系統(tǒng)的后門、木馬與病毒攻擊、黑客攻擊、信息篡改、信息泄露、拒絕服務(wù)攻擊等方面;另一方面是針對數(shù)據(jù)庫的審計記錄不足、拒絕服務(wù)、數(shù)據(jù)庫通訊協(xié)議泄露、身份驗證問題等方面。
1.4數(shù)據(jù)安全分析
數(shù)據(jù)庫是醫(yī)院信息系統(tǒng)數(shù)據(jù)存儲的核心,從某種意義上說,醫(yī)療數(shù)據(jù)安全是醫(yī)院信息安全的最主要防護重點,是整個安全防護的最重要核心。數(shù)據(jù)涉及到信息覆蓋面廣,數(shù)據(jù)量大,信息種類繁多,要保持每天24小時不間斷運行[2],一旦數(shù)據(jù)破壞或丟失,都會給醫(yī)院造成不可估量的損失。
1.5應(yīng)用安全分析
眾所周知,我國信息安全采用信息安全等級保護制度,按照應(yīng)用系統(tǒng)的安全等級進行劃分,應(yīng)用系統(tǒng)是等級保護的核心,所處的IT環(huán)境包括主機、數(shù)據(jù)庫、網(wǎng)絡(luò)傳輸、物理等,這些因素從客觀上增加了應(yīng)用系統(tǒng)的安全風(fēng)險,這些風(fēng)險是必然存在的。應(yīng)用系統(tǒng)從自身架構(gòu)上基本包含數(shù)據(jù)采集、數(shù)據(jù)處理與匯總分析、人機界面以及各層之間的API接口,這些組成部分從主觀上增加了應(yīng)用系統(tǒng)本身的安全風(fēng)險,而應(yīng)用系統(tǒng)本身安全又包括應(yīng)用系統(tǒng)架構(gòu)設(shè)計安全、模塊間數(shù)據(jù)通訊安全、數(shù)據(jù)存儲安全設(shè)計、訪問控制、身份認(rèn)證等主要方面,因此每個層面都需要在系統(tǒng)設(shè)計時進行安全考慮和設(shè)計。
2醫(yī)院信息安全防護措施
2.1加強安全意識教育
人是信息安全環(huán)節(jié)中最重要的因素[3],既是信息安全最大的防護者,也是信息安全問題的制造者。不僅要加強醫(yī)務(wù)人員和信息管理人員自身的信息安全教育,同時也要提高信息安全意識。要做到思想上認(rèn)識到信息安全工作的重要性,進一步確立信息化條件下醫(yī)院信息安全防護的指導(dǎo)思想。通過開展信息安全教育,把人員思想與單位制定的信息安全標(biāo)準(zhǔn)、規(guī)范、制度等緊密結(jié)合,高度統(tǒng)一。建立健全信息安全教育相關(guān)培訓(xùn)制度和機制。
2.2建立完善的安全管理體系
加強醫(yī)院信息系統(tǒng)安全防護制度建設(shè)、加強和建立技術(shù)防護規(guī)劃和體系建設(shè)、建立人員安全防護體系、建立資產(chǎn)管理體系。形成制度、技術(shù)、人員管理和資產(chǎn)管理相結(jié)合的立體安全防護體系。信息安全工作要根據(jù)醫(yī)療行業(yè)、軍隊、國家的相關(guān)信息安全要求,從信息安全工作的宏觀出發(fā),著手微觀。宏觀上要制定總體方針和安全策略,建立起整套的信息安全管理機構(gòu)。微觀上要制定信息安全管理機構(gòu)的工作目標(biāo)、工作的邊界、工作的原則、建立信息系統(tǒng)安全域以及信息系統(tǒng)的安全框架。完善安全管理活動中的各類安全防護標(biāo)準(zhǔn)、制度、規(guī)范以及工作流程。應(yīng)設(shè)立專門的安全崗位并確定職責(zé),應(yīng)成立指導(dǎo)和管理信息安全工作的領(lǐng)導(dǎo)小組,其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或者授權(quán)。同時,應(yīng)根據(jù)國家和行業(yè)的信息安全要求,例如:信息安全等級保護、風(fēng)險評估等建立起適合本醫(yī)院的信息安全等級保護制度基線。從應(yīng)用系統(tǒng)定級到測評和改造建立起一套行之有效、適合自身的等級保護測評制度和流程,形成完善的信息安全生命周期環(huán),使醫(yī)院信息安全建設(shè)能夠伴隨著應(yīng)用系統(tǒng)建設(shè)不斷滾動健全。
2.3建立完善的安全技術(shù)體系
我國信息安全等級保護要求,以信息系統(tǒng)作為定級和保護對象,從物理安全、網(wǎng)絡(luò)安全等5個層面進行了不同等級間、細(xì)顆粒度的具體要求。醫(yī)院信息系統(tǒng)按照信息安全等級保護標(biāo)準(zhǔn)進行安全防護建設(shè),從機房和網(wǎng)絡(luò)的公共基礎(chǔ)安全防護到數(shù)據(jù)和應(yīng)用的系統(tǒng)化安全防護,醫(yī)院信息系統(tǒng)安全防護主要分為以下幾個環(huán)節(jié)進行防護:
2.3.1物理防護層面
機房屬于信息安全等級保護中規(guī)定的物理部分,它承載著應(yīng)用系統(tǒng)所依賴的IT硬件環(huán)境,因此機房位置的選擇至關(guān)重要,從等級保護測評細(xì)項上要求機房所在樓宇需要對防震、防雨、防風(fēng)等進行強度要求。同時為避免內(nèi)澇和雷擊的危險,機房要求避免設(shè)置在地下或者頂層。同時,機房是IT資產(chǎn)的重要區(qū)域,要求相關(guān)人員進出要有門禁控制和相應(yīng)的音視頻監(jiān)控,對出入人員進行鑒別、控制、記錄。在物理機房防護上還應(yīng)注意防火、防盜竊和防破壞等。具體措施可根據(jù)醫(yī)院實際情況進行整改建設(shè)。
2.3.2網(wǎng)絡(luò)防護層面
網(wǎng)絡(luò)是整個信息化工作的高速公路,承載著各種業(yè)務(wù)。目前各醫(yī)院醫(yī)療工作基本實現(xiàn)無紙化,醫(yī)療數(shù)據(jù)傳遞依靠網(wǎng)絡(luò)系統(tǒng),一套業(yè)務(wù)處理能力強、帶寬高且有冗余的網(wǎng)絡(luò)系統(tǒng)才能夠滿足醫(yī)療業(yè)務(wù)高峰需求。應(yīng)根據(jù)應(yīng)用需求建立網(wǎng)絡(luò)安全訪問路徑,對客戶端和核心服務(wù)器間進行路由控制,對不同醫(yī)療部門根據(jù)工作職能、重要程度和信息敏感性等要素劃分不同的網(wǎng)段,并對不同網(wǎng)段按照重要程度劃分安全域。根據(jù)醫(yī)療業(yè)務(wù)、管理業(yè)務(wù)等系統(tǒng)進行數(shù)據(jù)流向的訪問控制,建立端口級的細(xì)粒度控制。應(yīng)能夠?qū)W(wǎng)絡(luò)系統(tǒng)中的流量、設(shè)備狀態(tài),用戶訪問行為進行控制和記錄,并能夠根據(jù)記錄數(shù)據(jù)進行分析,生成審計報表。對非授權(quán)設(shè)備私自連到內(nèi)部網(wǎng)絡(luò)的行為進行檢查,并確定位置,進行有效阻斷。應(yīng)能夠在檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、目的、時間等,在發(fā)生嚴(yán)重入侵事件時進行入侵報警進行防范。同時,還要在網(wǎng)絡(luò)邊界處對惡意代碼進行檢測和清除,做到邊界層的惡意代碼防范。
2.3.3主機安全防護層面
應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標(biāo)識和鑒別,要有防假冒和偽裝的功能,針對登錄失敗要具有結(jié)束會話、限制非法登陸次數(shù)和自動退出等措施。應(yīng)對管理用戶進行三權(quán)分立設(shè)置,根據(jù)管理用戶的角色分派權(quán)限,實現(xiàn)管理用戶的權(quán)限分離。應(yīng)能夠?qū)Ψ?wù)器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶進行審計,進行防抵賴等功能設(shè)計,杜絕管理人員帶來的安全風(fēng)險,應(yīng)能對主機進行入侵防范,在遭到攻擊時能夠記錄入侵源IP、攻擊類型等。應(yīng)對主機進行惡意代碼防護,并與網(wǎng)絡(luò)惡意代碼防護采用不同的惡意代碼庫。應(yīng)對服務(wù)器主機資源包括CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源使用情況進行監(jiān)視。
2.3.4數(shù)據(jù)安全層面
應(yīng)能夠保證數(shù)據(jù)的完整性、保密性、可用性。對醫(yī)療數(shù)據(jù)在傳輸和存儲過程中能夠檢測到數(shù)據(jù)完整性是否受到破壞。應(yīng)對重要業(yè)務(wù)數(shù)據(jù)進行時間小顆粒度的數(shù)據(jù)備份,同時要做到異地數(shù)據(jù)備份和備份介質(zhì)場外存放。要采用冗余技術(shù)設(shè)計網(wǎng)絡(luò)拓?fù)?避免關(guān)鍵節(jié)點、數(shù)據(jù)節(jié)點存在單點故障[4]。同時應(yīng)對數(shù)據(jù)所承載網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)進行硬件冗余,保證系統(tǒng)的高可用性。
2.3.5應(yīng)用安全層面
1.1信息安全保護等級的劃分
影響信息系統(tǒng)安全保護等級的確定因素主要取決于信息系統(tǒng)在經(jīng)濟社會和國家安全中的重要程度以及被破壞后對經(jīng)濟社會、組織群眾利益的危害程度。信息系統(tǒng)安全保護等級一共被劃分為以下五個等級:第一級:用戶自主保護級信息系統(tǒng)受到攻擊破壞,由此導(dǎo)致相關(guān)組織機構(gòu)以及人民群眾利益受損,但是對社會的穩(wěn)定、集體的利益以及國家的安全沒有危害。此類信息的重要性以及保護方式全部取決于用戶自己的選擇。第二級:系統(tǒng)審計保護級信息系統(tǒng)受到攻擊破壞,由此不僅導(dǎo)致相關(guān)組織機構(gòu)以及人民群眾利益受到很大的損傷,同時還危及到社會的穩(wěn)定和集體的利益,但是不危及到國家安全。第三級:安全標(biāo)記保護級信息系統(tǒng)受到攻擊破壞后,對社會的穩(wěn)定和集體的利益產(chǎn)生了非常大的危害或者對國家安全產(chǎn)生嚴(yán)重威脅。此等級不僅具備系統(tǒng)審計保護級的全部信息保護功能,同時還會強制對系統(tǒng)的訪問者及其訪問對象進行控制和記錄,對其行為進行監(jiān)督與審計。第四級:結(jié)構(gòu)化保護級由此導(dǎo)致相關(guān)組織機構(gòu)以及人民群眾利益受到極大的損傷或者對社會的穩(wěn)定和集體的利益以及國家安全產(chǎn)生了極大的危害。第五級:訪問驗證保護級信息系統(tǒng)受到攻擊破壞,由此導(dǎo)致國家安全受到極其嚴(yán)重的危害。此級別功能最全,除具備上述所有級別功能外,對系統(tǒng)加設(shè)了訪問驗證保護,以此不但記錄訪問者對系統(tǒng)的訪問歷史,還對訪問者的訪問權(quán)限進行設(shè)置,確保信息被安全使用,保障信息不外泄。
1.2信息安全等級的劃分
對于一些需要特殊保護和隔離的信息系統(tǒng),如我國的國防部、國家機關(guān)以及重點科研機構(gòu)等特殊機構(gòu)的信息系統(tǒng),在進行信息安全保護時,要嚴(yán)格按照國家頒布的關(guān)于信息安全等級保護的相關(guān)政策制度以及法律法規(guī)的規(guī)定要求對信息系統(tǒng)進行等級保護。根據(jù)需被保護的信息的類別和價值的不同,通常其受到保護的安全等級也不同。此舉目的為在保護信息安全的同時降低運作成本。
2信息安全等級保護的基本要求
信息安全等級保護的基本要求分為技術(shù)和管理兩大類。技術(shù)部分是要求在信息安全保護過程中采取安全技術(shù)措施,使系統(tǒng)具備對抗外來威脅和受到破壞后自我修復(fù)的能力,主要涉及到物理、網(wǎng)絡(luò)、主機、應(yīng)用安全和數(shù)據(jù)恢復(fù)功能等技術(shù)的應(yīng)用。管理部分是要求在信息系統(tǒng)的全部運行環(huán)節(jié)中對各運行環(huán)節(jié)采取控制措施。管理過程要求對制度、政策、人員和機構(gòu)都提出要求,涉及到安全保護等級管理、工程建設(shè)管理、系統(tǒng)的運行與維護管理以及應(yīng)急預(yù)案管理等管理環(huán)節(jié)。
3信息安全等級保護的方法
3.1信息安全等級保護流程
信息安全等級保護涉及到多個環(huán)節(jié),需要各相關(guān)部門共同參與,合力完成。安全等級保護的環(huán)節(jié)大體上分為以下九步:(1)確定系統(tǒng)等級作為實現(xiàn)信息等級保護的前提,確定信息系統(tǒng)的安全保護等級是必不可缺的步驟。用戶要嚴(yán)格按照國家規(guī)范標(biāo)準(zhǔn)給所使用的信息系統(tǒng)科學(xué)確定等級。(2)等級審批信息系統(tǒng)主管部門對信息系統(tǒng)的安全等級進行審批調(diào)整,但調(diào)整時要按照規(guī)定,只能將等級調(diào)高。(3)確定安全需求信息系統(tǒng)的安全需求可反映出該等級的信息系統(tǒng)普遍存在的安全需求。信息系統(tǒng)在確定安全需求時要依賴該系統(tǒng)的安全等級,但因為信息系統(tǒng)普遍存在可變性,因此用戶在確定安全需求時還要根據(jù)自身實際情況確定自己系統(tǒng)的安全需求。(4)制定安保方案當(dāng)信息系統(tǒng)的等級和安全需求確定后,針對已掌握情況制定出包括技術(shù)安全和管理安全在內(nèi)的最佳安全保護方案。(5)安全產(chǎn)品選型安全產(chǎn)品的選擇直接決定了安全保護工作是否能夠成功實現(xiàn)。因此在安全產(chǎn)品的選擇過程中,不僅要對產(chǎn)品的可信度和功能進行認(rèn)真審查,還要求國家相關(guān)部門監(jiān)管產(chǎn)品的使用情況。(6)安全測評測評的目的在于確定系統(tǒng)安全保護的實現(xiàn),以保證信息安全。若測評不能達到預(yù)期目標(biāo),要及時進行重新調(diào)整。(7)等級備案安全保護等級在三級以上的信息系統(tǒng),其用戶和運營商需要向地市級以上公安機關(guān)備案。跨地域的信息系統(tǒng)的備案由其主管部門在當(dāng)?shù)赝壒矙C關(guān)完成,分系統(tǒng)的備案由其用戶和運營商完成。(8)監(jiān)督管理信息系統(tǒng)的監(jiān)管工作主要是監(jiān)督安全產(chǎn)品的使用情況,并對測評機構(gòu)和信息系統(tǒng)的登記備案進行監(jiān)管。(9)運行維護該環(huán)節(jié)主要目的在于通過運行確定系統(tǒng)的信息安全,還可以重新確定對產(chǎn)生變化的信息系統(tǒng)的安全保護等級。以上環(huán)節(jié)在實現(xiàn)信息系統(tǒng)的安全等級保護過程中極其重要,不可跨環(huán)節(jié)、漏環(huán)節(jié)操作。
3.2信息安全等級保護的方法
信息安全等級保護分為物理安全保護和網(wǎng)絡(luò)系統(tǒng)安全保護兩類。對于物理安全保護,又分為必要考慮和需要考慮兩個安全層面。對于必要考慮的物理安全方面:對于主機房等場所設(shè)施來說,要做好安全防范工作。采用先進的技術(shù)設(shè)備做到室內(nèi)監(jiān)控、使用用戶信息登記、以及自動報警系統(tǒng)等。記錄用戶及其訪問情況,方便隨時查看。對于需要考慮的物理安全方面:對于主機房以及重要信息存儲設(shè)備來說,要通過采用多路電源同時接入的方式保障電源的可持續(xù)供給,謹(jǐn)防因斷電給入侵者制造入侵的機會。根據(jù)安全保護對象的不同,有不同的保護方法。具體方法如下:(1)已確定安全等級系統(tǒng)的安全保護對于全系統(tǒng)中同一安全等級的信息系統(tǒng),對于任何部分、任何信息都要按照國家標(biāo)準(zhǔn)采取統(tǒng)一安全保護方法給其設(shè)計完整的安全機制。對于不同安全等級的分系統(tǒng),對其上不同的部分及信息按照不同的安全要求設(shè)計安全保護。(2)網(wǎng)絡(luò)病毒的防范方法計算機病毒嚴(yán)重威脅到計算機網(wǎng)絡(luò)安全,所以防范病毒的入侵在信息系統(tǒng)安全保護過程中是非常重要的步驟。運用防火墻機制阻擋病毒入侵,或者給程序加密、監(jiān)控系統(tǒng)運行情況、設(shè)置訪問權(quán)限,判斷是否存在病毒入侵,及時發(fā)現(xiàn)入侵的病毒并予以清除,保障計算機信息系統(tǒng)的安全。(3)漏洞掃描與修復(fù)方法系統(tǒng)存在漏洞是系統(tǒng)的安全隱患,不法分子常會利用系統(tǒng)中的漏洞對系統(tǒng)進行攻擊破壞。因此要經(jīng)常對計算機進行全面的漏洞掃描,找出系統(tǒng)中存在的漏洞并及時修復(fù)漏洞,避免給不法分子留下入侵機會。漏洞的修復(fù)分為系統(tǒng)自動修復(fù)和人工手動修復(fù)兩種,由于多種原因,絕對完善的系統(tǒng)幾乎不存在,因此要定期對系統(tǒng)進行漏洞掃描修復(fù),確保系統(tǒng)的安全。
4結(jié)束語
【關(guān)鍵詞】信息系統(tǒng) 身份鑒別 漏洞掃描 信息安全管理體系(ISMS)
近年來,“Locky勒索軟件變種”、““水牢漏洞””、“支付寶實名認(rèn)證信息漏洞”、“京東12G用戶數(shù)據(jù)泄露”、“700元買他人隱私信息”等信息安全事件層出不窮,引起各國領(lǐng)導(dǎo)的重視和社會關(guān)注。為提高網(wǎng)絡(luò)安全和互聯(lián)網(wǎng)治理,2014年,我國成立了以主席為最高領(lǐng)導(dǎo)的信息安全管理機構(gòu)-中央網(wǎng)信辦;2016年11月,在中國烏鎮(zhèn)舉行了《第三屆世界互聯(lián)網(wǎng)大會》。通過一系列的行為,為求現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)能夠提高安全能力,為廣大社會群眾提供服務(wù)的同時,能夠保證人民的利益。
信息系統(tǒng)是由硬件、軟件、信息、規(guī)章制度等組成,主要以處理信息流為主,信息系統(tǒng)的網(wǎng)絡(luò)安全備受關(guān)注。企業(yè)在應(yīng)對外部攻擊,安全風(fēng)險的同時,當(dāng)務(wù)之急是建立一套完整的信息安全管理體系。在統(tǒng)一的體系管控下,分布實施,開展各項安全工作。
目前,大多數(shù)企業(yè)的信息安全工作比較單一,主要是部署安全防護設(shè)備,進行簡單的配置。信息安全工作不全面,安全管理相對薄弱,不足以抵抗來自外部的威脅。
1 信息安全問題
1.1 身份鑒別不嚴(yán)格
考慮到方便記憶和頻繁的登錄操作,企業(yè)普遍存在管理員賬號簡單或者直接采用系統(tǒng)的默認(rèn)賬號現(xiàn)象,并且基本不設(shè)定管理員的權(quán)限,默認(rèn)使用最大權(quán)限。一旦攻擊者通過猜測或其他手段獲得管理員賬號,攻擊者如入無人之境,可以任意妄為。最終可造成數(shù)據(jù)泄露,系統(tǒng)癱瘓等不可估量的嚴(yán)重后果。注重信息安全的企業(yè)會修改默認(rèn)管理員賬號,設(shè)定較為復(fù)雜的口令,并定期進行口令更換。但是也僅僅使用一種身份鑒別技術(shù),不足以抵抗外部攻擊。
1.2 外部攻擊,層出不窮
隨著計算機技術(shù)的發(fā)展,信息系統(tǒng)的外部攻簦層出不窮。攻擊者利用網(wǎng)絡(luò)系統(tǒng)的漏洞和缺陷,攻擊系統(tǒng)軟件、硬件和數(shù)據(jù),進行非法操作,造成系統(tǒng)癱瘓或者數(shù)據(jù)丟失。 目前主要存在的攻擊手段包括掃描技術(shù)、郵件
攻擊、拒絕服務(wù)攻擊、口令攻擊、惡意程序等等;入侵常用的步驟包括采用漏洞掃描工具進行掃描、選擇合適的方式入侵、獲取系統(tǒng)的一定權(quán)限、提升為系統(tǒng)最高權(quán)限、安裝系統(tǒng)后門、獲取敏感信息或者其他攻擊目的。攻擊者會根據(jù)系統(tǒng)特性和網(wǎng)絡(luò)結(jié)構(gòu)采取不同的手段對網(wǎng)絡(luò)進行攻擊,如果不采取相應(yīng)的防御手段,很容易被黑客攻擊,造成損失。
1.3 員工安全意識薄弱
很多互聯(lián)網(wǎng)企業(yè)的員工缺乏信息安全意識,存在離開辦公電腦時不鎖屏現(xiàn)象;將重要客戶信息、合同等敏感材料放在辦公桌上或者不及時取走打印機房內(nèi)的材料;優(yōu)盤未經(jīng)殺毒直接連接公司電腦;隨意點擊不明郵件的鏈接;更有員工將系統(tǒng)賬號、密碼粘貼在辦公桌上;在系統(tǒng)建設(shè)階段,大到管理者,小到開發(fā)人員、測試人員,均注重技術(shù)實現(xiàn)和業(yè)務(wù)要求,而忽略了系統(tǒng)的安全和管理。由于員工的信息安全意識較為薄弱,很容易造成公司信息泄露,進而導(dǎo)致公司的損失。
1.4 內(nèi)部管理制度不完善
俗話說,“不以規(guī)矩,不能成方圓”。未形成全面的信息安全管理制度體系,缺失部分安全策略、管理制度、操作規(guī)程,可能導(dǎo)致信息安全管理制度體系存在疏漏,部分管理內(nèi)容無法有效實施。使相關(guān)工作過程缺乏規(guī)范依據(jù)和質(zhì)量保障,進而影響到信息系統(tǒng)的安全建設(shè)和安全運維。比如在軟件開發(fā)過程中,開發(fā)人員會因為各種原因而忽略安全開發(fā)(存在開發(fā)人員沒有意識到代碼安全開發(fā)的問題;有些開發(fā)人員不愿意使用邊界檢查,怕影響系統(tǒng)的效率和性能;當(dāng)然也存在許多遺留代碼存在問題的現(xiàn)象,從而導(dǎo)致二次開發(fā)同樣產(chǎn)生問題),可能導(dǎo)致系統(tǒng)存在后門,被黑客攻擊。
2 防范措施
企業(yè)需依據(jù)《信息安全等級保護管理辦法(公通字[2007]43號)》、《中華人民共和國網(wǎng)絡(luò)安全法》》、《ISO/IEC 27001》等標(biāo)準(zhǔn)和法律法規(guī)進行信息系統(tǒng)安全建設(shè)工作。測評機構(gòu)在網(wǎng)安的要求下,對企業(yè)信息系統(tǒng)的安全進行測評,并出具相應(yīng)測評結(jié)果。根據(jù)測評結(jié)果和整改建議,采用相應(yīng)的技術(shù)手段(安全認(rèn)證、入侵檢測、漏洞掃描、監(jiān)控管理、數(shù)據(jù)備份與加密等)和管理措施(安全團隊、教育與培訓(xùn)、管理體系等)對信息系統(tǒng)進行整改。如圖1所示。
2.1 技術(shù)手段
2.1.1 安全認(rèn)證
身份鑒別是指在計算機系統(tǒng)中確認(rèn)執(zhí)行者身份的過程,以確定該用戶是否具有訪問某種資源的權(quán)限,防止非法用戶訪問系統(tǒng)資源,保障合法用戶訪問授權(quán)的信息系統(tǒng)。凡登錄系統(tǒng)的用戶,均需進行身份鑒別和標(biāo)識,且標(biāo)識需具有唯一性。用戶身份鑒別機制一般分為用戶知道的信息、用戶持有的信息、用戶生物特征信息三種。針對不同鑒別機制,常用的鑒別技術(shù)(認(rèn)證技術(shù))如表1所示。
不同的認(rèn)證技術(shù),在安全性、便捷性方面存在不同的特性。比如USB-Key的安全等級較高,但會遇到各種問題,導(dǎo)致便捷性較差(比如存在軟硬件適配性問題,移動終端無USB口等)。一般認(rèn)為在相同的便捷性前提下,選擇安全等級較高的認(rèn)證技術(shù)。針對重要系統(tǒng)應(yīng)采用雙因子認(rèn)證技術(shù)。
2.1.2 入侵檢測
入侵檢測能夠依據(jù)安全策略,對網(wǎng)絡(luò)和系統(tǒng)進行監(jiān)視,發(fā)現(xiàn)各種攻擊行為,能夠?qū)崟r保護內(nèi)部攻擊、外部攻擊和誤操作的情況,保證信息系統(tǒng)網(wǎng)絡(luò)資源的安全。入侵檢測系統(tǒng)(IDS)是一個旁路監(jiān)聽設(shè)備,需要部署在網(wǎng)絡(luò)內(nèi)部。如果信息系統(tǒng)中包含了多個邏輯隔離的子網(wǎng),則需要在整個信息系統(tǒng)中實施分布部署,從而掌控整個信息系統(tǒng)安全狀況。
2.1.3 漏洞掃描
漏洞掃描是指基于漏洞數(shù)據(jù)庫,通過掃描等手段對目標(biāo)系統(tǒng)的安全脆弱性進行檢測,發(fā)現(xiàn)可利用的漏洞的一種安全檢測行為。常見的漏洞掃描類型主要包括系統(tǒng)安全隱患掃描、應(yīng)用安全隱患掃描、數(shù)據(jù)庫安全配置隱患掃描等。系統(tǒng)安全隱患掃描根據(jù)掃描方式的不同,分為基于網(wǎng)絡(luò)的和基于主機的系統(tǒng)安全掃描,可以發(fā)現(xiàn)系統(tǒng)存在的安全漏洞、安全配置隱患、弱口令、服務(wù)和端口等。應(yīng)用安全隱患掃描可以掃描出Web應(yīng)用中的SQL注入、Cookie注入、XPath注入、LDAP注入、跨站腳本、第三方軟件等大部分漏洞。數(shù)據(jù)庫安全配置隱患掃描可以檢測出數(shù)據(jù)庫的DBMS漏洞、缺省配置、權(quán)限提升漏洞、緩沖區(qū)溢出、補丁未升級等自身漏洞。
漏洞掃描主要用于評估主機操作系統(tǒng)、網(wǎng)絡(luò)和安全設(shè)備操作系統(tǒng)、數(shù)據(jù)庫以及應(yīng)用平臺軟件的安全情況,它能有效避免黑客攻擊行為,做到防患于未然。
2.1.4 監(jiān)控管理
網(wǎng)絡(luò)監(jiān)控主要包括上網(wǎng)監(jiān)控和內(nèi)網(wǎng)監(jiān)控兩部分。目前市場上已做的完整監(jiān)控軟件已包含上述功能。網(wǎng)絡(luò)監(jiān)控需結(jié)合網(wǎng)絡(luò)拓?fù)洌诰W(wǎng)絡(luò)關(guān)鍵點接入監(jiān)控工具監(jiān)測當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)流量,分析可疑信息流,通過截包解碼分析的方式驗證系統(tǒng)數(shù)據(jù)傳輸?shù)陌踩@鏢olarwinds網(wǎng)絡(luò)監(jiān)控平臺,它包括Network Performance Monitoring、Network Traffic Analysis、WAN Performance (IP SLA) 、IP Address Management、Network Configuration Management、Application Performance Monitoring等。可以執(zhí)行全面的帶寬性能監(jiān)控和故障管理;可以分析網(wǎng)絡(luò)流量;可以對服務(wù)器上運行的服務(wù)和進程進行自動監(jiān)控,并在故障發(fā)生時及時告警;可對VOIP的相關(guān)參數(shù)進行監(jiān)控;可以通過直觀的網(wǎng)絡(luò)控制臺管理整個IP架構(gòu);可快速檢測、診斷及解決虛擬化環(huán)境的網(wǎng)絡(luò)性能;強大的應(yīng)用程序監(jiān)視、告警、報告功能等。
2.1.5 數(shù)據(jù)備份與加密
企業(yè)高度重視業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)和軟件系統(tǒng)。數(shù)據(jù)在存儲時應(yīng)加密存儲,防止黑客攻擊系統(tǒng),輕易獲得敏感數(shù)據(jù),造成公司的重大經(jīng)濟損失。常用的加密算法包括對稱加密(DES、AES)和不對稱加密算法(RSA)。密碼技術(shù)不僅可以防止信息泄露,同時可以保證信息的完整性和不可抵賴性。例如現(xiàn)在比較成熟的哈希算法、數(shù)字簽名、數(shù)字證書等。
除了對數(shù)據(jù)進行加密存儲外,由于存在數(shù)據(jù)丟失、系統(tǒng)斷電、機房著火等意外,需對系統(tǒng)數(shù)據(jù)進行備份。按照備份環(huán)境,備份分為本地備份和異地備份;按照備份數(shù)據(jù)量的多少,備份分為全備、增備、差分備份和按需備份。各企業(yè)需根據(jù)自己的業(yè)務(wù)要求和實際情況,選取合適的備份方式進行備份。理想的備份是綜合了軟件數(shù)據(jù)備份和硬件冗余設(shè)計。
2.2 管理措施
2.2.1 安全團隊
企業(yè)應(yīng)設(shè)立能夠統(tǒng)一指揮、協(xié)調(diào)有序、組織有力的專業(yè)的安全管理團隊負(fù)責(zé)信息安全工作,該團隊包括信息安全委員會,信息安全部門及其成員。安全部門負(fù)責(zé)人除了具備極強的業(yè)務(wù)處理能力,還需要有管理能力、溝通能力、應(yīng)變能力。目前安全團隊的從業(yè)人員數(shù)量在逐漸增加,話語權(quán)在增多,肩上的擔(dān)子也越來越大。安全團隊需要定好自己的位,多檢查少運維,多幫企業(yè)解決問題。即安全團隊修路,各部門在上面跑自己的需求。
2.2.2 教育c培訓(xùn)
保護企業(yè)信息安全,未雨綢繆比亡羊補牢要強。培養(yǎng)企業(yè)信息安全意識文化,樹立員工信息安全責(zé)任心,是解決企業(yè)信息安全的關(guān)鍵手段之一。企業(yè)的競爭實際上是人才的競爭,除了定期進行技能培訓(xùn)外,還需對員工的安全意識進行教育和培訓(xùn)。信息安全團隊?wèi)?yīng)制定信息安全意識教育和培訓(xùn)計劃,包括但不限于在線、郵件、海報(標(biāo)語)、視頻、專場、外培等形式。通過對員工的安全意識教育,能從內(nèi)部預(yù)防企業(yè)安全事件的發(fā)生,提高企業(yè)的安全保障能力。
2.2.3 管理體系
隨著計算機攻擊技術(shù)的不斷提高,攻擊事件越來越多,且存在部分攻擊來自公司組織內(nèi)部。單靠個人的力量已無法保障信息系統(tǒng)的安全。因此,企業(yè)需建立自上而下的信息安全管理體系(ISMS, Information Security Management System),以達到分工明確,職責(zé)清晰,安全開發(fā),可靠運維。安全管理制度作為安全管理體系的綱領(lǐng)性文件,在信息系統(tǒng)的整個生命周期中起著至關(guān)重要的作用。不同機構(gòu)在建立與完善信息安全管理體系時,可根據(jù)自身情況,采取不同的方法,一般經(jīng)過PDCA四個基本階段(Plan:策劃與準(zhǔn)備;Do文件的編制;Check運行;Action審核、評審和持續(xù)改進)。可依據(jù)ISO27000,信息安全等級保護等,從制度、安全機構(gòu)、人員、系統(tǒng)建設(shè)和系統(tǒng)運維5個方面去制定信息安全管理體系。通常,信息安全管理體系主要由總體方針和政策、安全管理制度、日常操作規(guī)程和記錄文檔組成,如圖2所示。
3 結(jié)語
國家不斷加強對各個互聯(lián)網(wǎng)企業(yè)、金融、銀行等的信息安全工作監(jiān)督,通過ISO27000、信息安全等級保護測評、電子銀行評估、互聯(lián)網(wǎng)網(wǎng)站專項安全測評等方式,規(guī)范企業(yè)的信息安全建設(shè)工作。同樣,信息安全工作長期面臨挑戰(zhàn),不能一蹴而就,需要相關(guān)安全工作人員戮力同心、同舟共濟、相互扶持、攜手共建信息安全的共同體。
參考文獻
[1]沈昌祥,張煥國,馮登國等.信息安全綜述[J].中國科學(xué)雜志社,2007(37):129-150.
[2]李嘉,蔡立志,張春柳等.信息系統(tǒng)安全等級保護測評實踐[M].哈爾濱工程大學(xué)出版社,2016(01).
[3]蔣欣.計算機網(wǎng)絡(luò)戰(zhàn)防御技術(shù)分析[J].指揮控制與仿真,2006(08),28-4.
作者簡介
康玉婷(1988-),女,上海市人。碩士學(xué)位。現(xiàn)為信息安全等級測評師、初級工程師。主要研究方向為信息安全。
作者單位
對系統(tǒng)自我定級
長城資產(chǎn)管理公司是國有獨資的金融企業(yè),在業(yè)務(wù)高速發(fā)展的同時,一直非常重視信息安全體系的建設(shè),早期已經(jīng)部署了 “老三樣”信息安全產(chǎn)品,即網(wǎng)絡(luò)防病毒、防火墻和網(wǎng)絡(luò)入侵檢測產(chǎn)品,對保障業(yè)務(wù)系統(tǒng)的安全正常運轉(zhuǎn)起到了重要作用。
公司綜合經(jīng)營管理系統(tǒng)經(jīng)過四期建設(shè),實現(xiàn)了數(shù)據(jù)集中和管理集中,為公司收購、管理與處置政策性不良資產(chǎn)以及商業(yè)化經(jīng)營等業(yè)務(wù)的順利開展提供了完整的業(yè)務(wù)操作平臺。
根據(jù)《信息系統(tǒng)安全等級保護定級指南》中對信息系統(tǒng)的要求,長城資產(chǎn)管理公司考慮到綜合經(jīng)營管理系統(tǒng)是公司的核心業(yè)務(wù)系統(tǒng),一旦受到破壞后,會對社會秩序和公共利益造成嚴(yán)重?fù)p害,或者對國家安全造成損害,因此,公司確定首要的工作是設(shè)定系統(tǒng)的保護級別。經(jīng)過綜合審核,最終將系統(tǒng)保護級別定為3級,并形成了等級保護定級報告,這在資產(chǎn)管理公司里屬于首家。
對定級進行測評
系統(tǒng)定級之后,公司做了備案,同時申請等級保護的主管單位進行現(xiàn)場測評。北京等級保護辦公室作為這次測評的主管和實施單位,根據(jù)等級保護3級基本要求對綜合經(jīng)營管理系統(tǒng)進行測評。現(xiàn)場測評工作主要包括跟綜合經(jīng)營管理系統(tǒng)相關(guān)的各個層面,在網(wǎng)絡(luò)層面進行網(wǎng)絡(luò)設(shè)備安全配置檢查和安全系統(tǒng)部署;在主機層面進行主機系統(tǒng)的安全配置檢查和數(shù)據(jù)庫系統(tǒng)安全檢查;在數(shù)據(jù)安全方面進行了數(shù)據(jù)完整性、機密性和可用性的檢查;在管理方面進行安全策略、安全組織以及人員的檢查,同時對信息部門領(lǐng)導(dǎo)和相關(guān)人員以及公司的人力資源部門相關(guān)人員做了詳細(xì)的訪談。涉及方面之廣,檢查粒度之細(xì)都是其他專門的安全項目所無法比擬的,對公司整個信息安全建設(shè)指明了方向,細(xì)化了要求,加強了安全體系建設(shè),提升了人員的信息安全意識,規(guī)范了信息安全工作流程。
但是,在現(xiàn)場的測評工作當(dāng)中也出現(xiàn)了一些問題,主要來自兩方面:一是發(fā)現(xiàn)了公司在信息安全建設(shè)中的“短板”,明確了工作重點和方向;二是發(fā)現(xiàn)基本要求中的個別條款的要求過于“苛刻”――單純從技術(shù)上來看是可行的,但是如果結(jié)合公司的業(yè)務(wù),就不是特別合理,因為需要對現(xiàn)有運行的業(yè)務(wù)進行很大的改造,甚至涉及到對底層操作系統(tǒng)的改造。
最后,在北京等級保護辦公室的監(jiān)督、指導(dǎo)下,公司加強了安全管理,調(diào)整個別不符合項目,最終通過了等級保護3級測評。
建設(shè)等級保護平臺
信息安全等級保護建設(shè)背景
信息安全等級保護制度是我們國家在國民經(jīng)濟和社會信息化的發(fā)展過程中,提高信息安全保障能力和水平,維護國家安全、社會穩(wěn)定和公共利益,保障和促進信息化建設(shè)健康發(fā)展的一項基本制度。實行信息安全等級保護制度,能夠充分調(diào)動國家、法人和其他組織及公民的積極性,發(fā)揮各方面的作用,達到有效保護的目的,增強安全保護的整體性、針對性和實效性,使信息系統(tǒng)安全建設(shè)更加突出重點、統(tǒng)一規(guī)范、科學(xué)合理,對促進我國信息安全的發(fā)展將起到重要推動作用。
2011年,原衛(wèi)生部了《關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級保護工作的通知》(衛(wèi)辦綜函〔2011〕1126號)。針對醫(yī)療衛(wèi)生行業(yè)的信息系統(tǒng),原衛(wèi)生部辦公廳于2011年下發(fā)了《衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見》(衛(wèi)發(fā)辦〔2011〕85號)要求三級甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)信息安全等級保護定級不低于第三級,并且要求2015年12月30日前完成信息安全等級保護建設(shè)整改工作,并通過等級測評。
醫(yī)療行業(yè)面臨的主要風(fēng)險
1.醫(yī)療行業(yè)特點
隨著我國醫(yī)療衛(wèi)生事業(yè)的迅速發(fā)展,醫(yī)學(xué)科學(xué)的不斷進步,醫(yī)藥衛(wèi)生事業(yè)體制改革的逐步深入,醫(yī)院生存和發(fā)展的外部環(huán)境和內(nèi)部機制都發(fā)生了很大的變化。當(dāng)今計算機信息和網(wǎng)絡(luò)通信技術(shù)的深入發(fā)展為提高醫(yī)院管理水平創(chuàng)造了良好的條件,醫(yī)院信息化建設(shè)也因此逐漸在我國各級醫(yī)院中迅猛發(fā)展。目前醫(yī)療行業(yè)信息化有如下特點:系統(tǒng)運行連續(xù)性要求高,要求7×24小時不間斷服務(wù);網(wǎng)絡(luò)間斷時間不允許超過2小時;信息高度集成,所有信息需要集中使用;異構(gòu)系統(tǒng)多,系統(tǒng)復(fù)雜度高;系統(tǒng)間接口復(fù)雜,涉及廠家多;系統(tǒng)內(nèi)存儲資料價值較高,存儲著醫(yī)院大量運用數(shù)據(jù),其中包含大量患者隱私;存儲的數(shù)據(jù)內(nèi)容本身具備法律效力;核心網(wǎng)絡(luò)采用網(wǎng)絡(luò)物理隔離。
2.信息系統(tǒng)的威脅來源
信息系統(tǒng)的威脅來源主要可以分為兩個方面,一個是環(huán)境因素造成的威脅,另一個方面是人為因素造成的威脅,而人為因素所帶來的損失往往是不可估量的。
在環(huán)境因素方面,威脅主要來自于斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震、意外事故等環(huán)境危害或自然災(zāi)害,以及軟件、硬件、數(shù)據(jù)、通訊線路等方面的故障。
在人員因素方面又可以分為有意和無意兩種情況,對于有意而為之的人,通常指惡意造成破壞的人,懷不滿情緒的或有預(yù)謀的內(nèi)部人員對信息系統(tǒng)進行惡意破壞,采用自主或內(nèi)外勾結(jié)的方式盜竊機密信息或進行篡改,獲取利益。而外部人員也可以利用信息系統(tǒng)的脆弱性,對網(wǎng)絡(luò)或系統(tǒng)的保密性、完整性和可用性進行破壞,以獲取利益或炫耀能力。對于無意的情況來說,通常指管理人員沒有意識到問題或者沒有盡心盡責(zé)的工作。例如,內(nèi)部人員由于缺乏責(zé)任心,或者由于不關(guān)心或不專注,或者沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或信息損壞;內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技能不足、不具備崗位技能要求而導(dǎo)致信息系統(tǒng)故障或被攻擊。
3.信息系統(tǒng)負(fù)面影響
醫(yī)院內(nèi)部的信息系統(tǒng)如果受到威脅、入侵或被破壞等,會給國家、醫(yī)院以及人民的利益帶來嚴(yán)重的影響。
系統(tǒng)如果出現(xiàn)宕機的現(xiàn)象,首先會造成患者情緒激動,耽誤治療流程,甚至?xí){到患者生命的安危。其次會造成門診業(yè)務(wù)人員、主治醫(yī)生、護士等工作人員的工作慌亂,甚至成為情緒激動患者的放矢對象。門診辦主任、主管院領(lǐng)導(dǎo)、醫(yī)院院長電話問詢,信息中心則會電話不斷、手忙腳亂。醫(yī)院業(yè)務(wù)停頓,從經(jīng)濟上受損失,而媒體也會曝光醫(yī)院,使得醫(yī)院信譽受損。
如果醫(yī)院信息系統(tǒng)的內(nèi)部信息丟失,則會造成員工信息被公開、患者信息泄露等風(fēng)險。例如,據(jù)《勞動報》報道,一名負(fù)責(zé)開發(fā)、維護市衛(wèi)生局出生系統(tǒng)數(shù)據(jù)庫的技術(shù)部經(jīng)理利用工作之便,在2011年至2012年4月期間,每月兩次非法進入該院數(shù)據(jù)庫,偷偷下載新生兒出生信息并進行販賣,累計達到了10萬條,給醫(yī)療衛(wèi)生行業(yè)帶來了嚴(yán)重的負(fù)面影響。
信息安全等級保護建設(shè)體系
由于醫(yī)院信息系統(tǒng)復(fù)雜的特點、面臨的威脅及產(chǎn)生負(fù)面影響的嚴(yán)重性,醫(yī)院開展信息安全等級保護建設(shè)工作就尤為重要,急需一套適合醫(yī)院的等級保護安全防御體系。
信息安全等級保護體系主要包括技術(shù)與管理兩方面,在安全技術(shù)方面包括:物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全;在安全管理方面包括:安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理。這10個方面里每一項都有若干控制項,順利通過測評至少要達到控制項的80%以上(表1)。
如表1所示,控制項中G表示基本要求類,三級必須達到G3標(biāo)準(zhǔn);S表示業(yè)務(wù)信息安全類,A表示系統(tǒng)服務(wù)保證類,三級標(biāo)準(zhǔn)中S與A任選一項達到三級即可。
根據(jù)信息安全等級保護標(biāo)準(zhǔn),我院主要建設(shè)經(jīng)驗如下:
1.信息安全技術(shù)
(1)物理安全:數(shù)據(jù)中心機房是物理安全的核心,機房的裝修工程、動力配電系統(tǒng)、空調(diào)新風(fēng)系統(tǒng)、消防系統(tǒng)、綜合布線系統(tǒng)等均需按照A級機房標(biāo)準(zhǔn)進行建設(shè)。此外,日常的管理工作也尤為重要,在物理權(quán)限控制方面應(yīng)配備門禁系統(tǒng),并且應(yīng)做到兩種或兩種以上的身份識別機制,如指紋加密碼或IC卡加密碼等。環(huán)境監(jiān)控方面除了每天定時的人員巡檢還應(yīng)在機房及各設(shè)備間部署監(jiān)控系統(tǒng),利用傳感器監(jiān)控溫濕度、漏水、電壓、設(shè)備狀態(tài)等信息,一旦發(fā)生異常通過短信及時告知機房管理人員。
(2)網(wǎng)絡(luò)安全:按照等級保護思路進行安全域的劃分,將不同級別的信息系統(tǒng)通過防火墻和網(wǎng)閘進行隔離,根據(jù)每個安全域的特點設(shè)定不同的安全策略。服務(wù)器安全域制定細(xì)粒度訪問控制列表,僅開放必要的端口,并在旁路架設(shè)網(wǎng)絡(luò)流量審計設(shè)備和入侵檢測系統(tǒng),對所有流量進行記錄及審計,能夠及時發(fā)現(xiàn)攻擊行為;客戶端安全域制定網(wǎng)絡(luò)準(zhǔn)入和非法外聯(lián)策略,禁止未經(jīng)授權(quán)的計算機隨意接入醫(yī)院網(wǎng)絡(luò),并且通過管理軟件和網(wǎng)閘控制內(nèi)網(wǎng)的計算機隨意訪問外網(wǎng)或互聯(lián)網(wǎng);架設(shè)安全管理域,該區(qū)域主要用于對網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全設(shè)備的管理,并集中收集設(shè)備的日志,及時通過分析日志發(fā)現(xiàn)安全隱患。
(3)安全:服務(wù)器進行統(tǒng)一安全策略的制定,部署網(wǎng)絡(luò)版殺毒系統(tǒng)、補丁分發(fā)系統(tǒng)、入侵防范系統(tǒng)等,并結(jié)合服務(wù)器承載的業(yè)務(wù)特點制定詳細(xì)的資源控制列表,按照最小授權(quán)原則,授予最低資源訪問權(quán)限。
(4)應(yīng)用安全:部署數(shù)據(jù)庫審計系統(tǒng),對所有流經(jīng)數(shù)據(jù)庫的網(wǎng)絡(luò)流量進行數(shù)據(jù)分析,制定審計策略,發(fā)生違規(guī)數(shù)據(jù)操作及時通過短信報給安全審計人員;同時部署CA數(shù)字簽名系統(tǒng),醫(yī)生通過USBKEY進行系統(tǒng)登錄,并對其所有操作進行數(shù)字簽名,有效保證了應(yīng)用系統(tǒng)的安全性及數(shù)據(jù)的不可抵賴性。
(5)數(shù)據(jù)安全:利用專業(yè)的數(shù)據(jù)備份軟件在異地部署數(shù)據(jù)備份中心,對各系統(tǒng)數(shù)據(jù)庫和文件繼續(xù)高頻率集中加密備份,并且應(yīng)至少六個月進行一次數(shù)據(jù)還原演練,保證在出現(xiàn)問題是可以有效進行恢復(fù)。
2.信息安全管理
(1)安全管理制度:從醫(yī)院層面制定信息安全管理制度,對信息安全制度進行重新整理修改,規(guī)定信息安全的各方面應(yīng)遵守的原則、方法和指導(dǎo)策略,指定具體管理規(guī)定、處罰措施。制度應(yīng)具備可操作性,同時應(yīng)由專人負(fù)責(zé)隨時進行修正,并由信息安全領(lǐng)導(dǎo)小組進行評審,最終進行。
(2)安全管理機構(gòu):組織建立信息安全工作領(lǐng)導(dǎo)小組,設(shè)置信息安全管理崗位,設(shè)立獨立的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員、安全審計員等崗位,制定各崗位的工作職責(zé),與各崗位相關(guān)人員簽署保密協(xié)議。同時制定溝通協(xié)作機制,內(nèi)部定期組織會議進行信息安全工作部署,外部每日向公安局上報備案信息系統(tǒng)的安全情況,與數(shù)據(jù)庫、存儲、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等廠商簽署協(xié)議,提供所有設(shè)備的備機備件,每月進行設(shè)備巡檢,并要求在發(fā)生緊急事件時及時到場提供技術(shù)支持。
(3)人員安全管理:在人員錄用方面,嚴(yán)格審查人員的背景、身份,并簽署保密協(xié)議,人員離崗時執(zhí)行離崗流程,各部門主管負(fù)責(zé)回收本部門負(fù)責(zé)的相關(guān)權(quán)限,所有權(quán)限回收后方可辦理離職手續(xù)。同時定期對人員進行相關(guān)培訓(xùn),每周進行一次內(nèi)部培訓(xùn),每年進行兩次外部培訓(xùn)。對于外部廠商人員,其對設(shè)備的相關(guān)操作均需進行審批流程,并通過技術(shù)手段記錄所有操作行為,做好操作記錄,并不定期進行行為審計。
關(guān)鍵詞:證券行業(yè)信息安全網(wǎng)絡(luò)安全體系
近年來,我國資本市場發(fā)展迅速,市場規(guī)模不斷擴大,社會影響力不斷增強.成為國民經(jīng)濟巾的重要組成部分,也成為老百姓重要的投資理財渠道。資本市場的穩(wěn)定健康發(fā)展,關(guān)系著億萬投資者的切身利益,關(guān)系著社會穩(wěn)定和國家金融安全的大局。證券行業(yè)作為金融服務(wù)業(yè),高度依賴信息技術(shù),而信息安全是維護資本市場穩(wěn)定的前提和基礎(chǔ)。沒有信息安全就沒有資本市場的穩(wěn)定。
目前.國內(nèi)外網(wǎng)絡(luò)信息安全問題日益突出。從資本市場看,近年來,隨著市場快速發(fā)展,改革創(chuàng)新深入推進,市場交易模式日趨集巾化,業(yè)務(wù)處理邏輯日益復(fù)雜化,網(wǎng)絡(luò)安全事件、公共安全事件以及水災(zāi)冰災(zāi)、震災(zāi)等自然災(zāi)害都對行業(yè)信息系統(tǒng)的連續(xù)、穩(wěn)定運行帶來新的挑戰(zhàn)。資本市場交易實時性和整體性強,交易時問內(nèi)一刻也不能中斷。加強信息安全應(yīng)急丁作,積極采取預(yù)防、預(yù)警措施,快速、穩(wěn)妥地處置信息安全事件,盡力減少事故損失,全力維護交易正常,對于資本市場來說至關(guān)重要。
1證券行業(yè)倍息安全現(xiàn)狀和存在的問題
1.1行業(yè)信息安全法規(guī)和標(biāo)準(zhǔn)體系方面
健全的信息安全法律法規(guī)和標(biāo)準(zhǔn)體系是確保證券行業(yè)信息安全的基礎(chǔ)。是信息安全的第一道防線。為促進證券市場的平穩(wěn)運行,中國證監(jiān)會自1998年先后了一系列信息安全法規(guī)和技術(shù)標(biāo)準(zhǔn)。其中包括2個信息技術(shù)管理規(guī)范、2個信息安全等級保護通知、1個信息安全保障辦法、1個信息通報方法和10個行業(yè)技術(shù)標(biāo)準(zhǔn)。行業(yè)信息安全法規(guī)和標(biāo)準(zhǔn)體系的初步形成,推動了行業(yè)信息化建設(shè)和信息安全工作向規(guī)范化、標(biāo)準(zhǔn)化邁進。
雖然我國涉及信息安全的規(guī)范性文件眾多,但在現(xiàn)行的法律法規(guī)中。立法主體較多,法律法規(guī)體系龐雜而缺乏統(tǒng)籌規(guī)劃。面對新形勢下信息安全保障工作的發(fā)展需要,行業(yè)信息安全工作在政策法規(guī)和標(biāo)準(zhǔn)體系方面的問題也逐漸顯現(xiàn)。一是法規(guī)和標(biāo)準(zhǔn)建設(shè)滯后,缺乏總體規(guī)劃;二是規(guī)范和標(biāo)準(zhǔn)互通性和協(xié)調(diào)性不強,部分規(guī)范和標(biāo)準(zhǔn)的可執(zhí)行性差;三是部分規(guī)范和標(biāo)準(zhǔn)已不適應(yīng),無法應(yīng)對某些新型信息安全的威脅;四是部分信息安全規(guī)范和標(biāo)準(zhǔn)在行業(yè)內(nèi)難以得到落實。
1.2組織體系與信息安全保障管理模型方面
任何安全管理措施或技術(shù)手段都離不開人員的組織和實施,組織體系是信息安全保障工作的核心。目前,證券行業(yè)采用“統(tǒng)一組織、分工有序”的信息安全工作體系,分為決策層、管理層、執(zhí)行層。
為加強證券期貨業(yè)信息安全保障工作的組織協(xié)調(diào),建立健全信息安全管理制度和運行機制,切實提高行業(yè)信息安全保障工作水平,根據(jù)證監(jiān)會頒布的《證券期貨業(yè)信息安全保障管理暫行辦法》,參照ISO/IEC27001:2005,提出證券期貨業(yè)信息安全保障管理體系框架。該體系框架采用立方體架構(gòu).頂面是信息安全保障的7個目標(biāo)(機密性、完整性、可用性、真實性、可審計性、抗抵賴性、可靠性),正面是行業(yè)組織結(jié)構(gòu).側(cè)面是各個機構(gòu)為實現(xiàn)信息安全保障目標(biāo)所采取的措施和方式。
1.3IT治理方面
整個證券業(yè)處于高度信息化的背景下,IT治理已直接影響到行業(yè)各公司實現(xiàn)戰(zhàn)略目標(biāo)的可能性,良好的IT治理有助于增強公司靈活性和創(chuàng)新能力,規(guī)避IT風(fēng)險。通過建立IT治理機制,可以幫助最高管理層發(fā)現(xiàn)信息技術(shù)本身的問題。幫助管理者處理IT問題,自我評估IT管理效果.可以加強對信息化項目的有效管理,保證信息化項目建設(shè)的質(zhì)量和應(yīng)用效果,使有限的投入取得更大的績效。
2003年lT治理理念引入到我國證券行業(yè),當(dāng)前我國證券業(yè)企業(yè)的IT治理存在的問題:一是IT資源在公司的戰(zhàn)略資產(chǎn)中的地位受到高層重視,但具體情況不清楚;二是IT治理缺乏明確的概念描述和參數(shù)指標(biāo);是lT治理的責(zé)任與職能不清晰。
1.4網(wǎng)絡(luò)安全和數(shù)據(jù)安全方面
隨著互聯(lián)網(wǎng)的普及以及網(wǎng)上交易系統(tǒng)功能的不斷豐富、完善和使用的便利性,網(wǎng)上交易正逐漸成為證券投資者交易的主流模式。據(jù)統(tǒng)計,2008年我同證券網(wǎng)上交易量比重已超過總交易量的80%。雖然交易系統(tǒng)與互聯(lián)網(wǎng)的連接,方便了投資者。但由于互聯(lián)網(wǎng)的開放性,來自互聯(lián)網(wǎng)上的病毒、小馬、黑客攻擊以及計算機威脅事件,都時刻威脅著行業(yè)的信息系統(tǒng)安全,成為制約行業(yè)平穩(wěn)、安全發(fā)展的障礙。此,維護網(wǎng)絡(luò)和數(shù)據(jù)安全成為行業(yè)信息安全保障工作的重要組成部分。近年來,證券行業(yè)各機構(gòu)采取了一系列措施,建立了相對安全的網(wǎng)絡(luò)安全防護體系和災(zāi)舴備份系統(tǒng),基木保障了信息系統(tǒng)的安全運行。但細(xì)追究起來,我國證券行業(yè)的網(wǎng)絡(luò)安全防護體系及災(zāi)備系統(tǒng)建設(shè)還不夠完善,還存存以下幾方面的問題:一是網(wǎng)絡(luò)安全防護體系缺乏統(tǒng)一的規(guī)劃;二是網(wǎng)絡(luò)訪問控制措施有待完善;三是網(wǎng)上交易防護能力有待加強;四是對數(shù)據(jù)安全重視不夠,數(shù)據(jù)備份措施有待改進;五是技術(shù)人員的專業(yè)能力和信息安全意識有待提高。
1.5IT人才資源建設(shè)方面
近20年的發(fā)展歷程巾,證券行業(yè)對信息系統(tǒng)日益依賴,行業(yè)IT隊伍此不斷發(fā)展壯大。據(jù)統(tǒng)計,2008年初,在整個證券行業(yè)中,103家證券公司共有IT人員7325人,占證券行業(yè)從業(yè)總?cè)藬?shù)73990人的9.90%,總體上達到了行業(yè)協(xié)會的IT治理工作指引中“IT工作人員總數(shù)原則上應(yīng)不少于公司員工總?cè)藬?shù)的6%”的最低要求。目前,證券行業(yè)的IT隊伍肩負(fù)著信息系統(tǒng)安全、平穩(wěn)、高效運行的重任,IT隊伍建設(shè)是行業(yè)信息安全IT作的根本保障。但是,IT人才隊伍依然存在著結(jié)構(gòu)不合理、后續(xù)教育不足等問題,此行業(yè)的人才培養(yǎng)有待加強。
2采取的對策和措施
2.1進一步完善法規(guī)和標(biāo)準(zhǔn)體系
首先,在法規(guī)規(guī)劃上,要統(tǒng)籌兼顧,制定科學(xué)的信息技術(shù)規(guī)范和標(biāo)準(zhǔn)體系框架。一是全面做好立法規(guī)劃;二是建立科學(xué)的行業(yè)信息安全標(biāo)準(zhǔn)和法規(guī)體系層次。行業(yè)信息安全標(biāo)準(zhǔn)和法規(guī)體系初步劃分為3層:第一層是管理辦法等巾同證監(jiān)會部門規(guī)章;第二層是證監(jiān)會相關(guān)部門制定的管理規(guī)范等規(guī)范性文件;第三層是技術(shù)指引等自律規(guī)則,一般由交易所、行業(yè)協(xié)會在證監(jiān)會總體協(xié)調(diào)下組織制定。其次,在法規(guī)制定上.要兼顧規(guī)范和發(fā)展,重視法規(guī)的可行性。最后,在法規(guī)實施上.要堅持規(guī)范和指引相結(jié)合,重視監(jiān)督檢查和責(zé)任落實。
2.2深入開展證券行業(yè)IT治理工作
2.2.1提高IT治理意識
中國證券業(yè)協(xié)會要進一步加強IT治理理念的教育宣傳工作,特別是對會員單位高層領(lǐng)導(dǎo)的IT治理培訓(xùn),將IT治理的定義、工具、模型等理論知識納入到高管任職資格考試的內(nèi)容之中。通過舉辦論壇、交流會等形式強化證券經(jīng)營機構(gòu)的IT治理意識,提高他們IT治理的積極性。
2.2.2通過設(shè)立IT治理試點形成以點帶面的示范效應(yīng)
根據(jù)IT治理模型的不同特點,建議證券公司在決策層使用CISR模型,通過成立lT治理委員會,建立各部門之間的協(xié)調(diào)配合、監(jiān)督制衡的責(zé)權(quán)體系;在執(zhí)行層以COBIT模型、ITFL模型等其他模型為補充,規(guī)范信息技術(shù)部門的各項控制和管理流程。同時,證監(jiān)會指定一批證券公司和基金公司作為lT試點單位,進行IT治理模型選擇、剪裁以及組合的實踐探索,形成一批成功實施IT治理的優(yōu)秀范例,以點帶面地提升全行業(yè)的治理水平。
2.3通過制定行業(yè)標(biāo)準(zhǔn)積極落實信息安全等級保護
行業(yè)監(jiān)管部門在推動行業(yè)信息安全等級保護工作中的作用非常關(guān)鍵.應(yīng)進一步明確監(jiān)管部門推動行業(yè)信息安全等級保護工作的任務(wù)和工作機制,統(tǒng)一部署、組織行業(yè)的等級保護丁作,為該項丁作的順利開展提供組織保證。行業(yè)各機構(gòu)應(yīng)采取自主貫徹信息系統(tǒng)等級保護的行業(yè)要求,對照標(biāo)準(zhǔn)逐條落實。同時,應(yīng)對各單位實施信息系統(tǒng)安全等級保護情況進行測評,在測評環(huán)節(jié)一旦發(fā)現(xiàn)信息系統(tǒng)的不足,被測評單位應(yīng)立即制定相應(yīng)的整改方案并實施.且南相芙的監(jiān)督機構(gòu)進行督促。
2.4加強網(wǎng)絡(luò)安全體系規(guī)劃以提升網(wǎng)絡(luò)安全防護水平
2.4.1以等級保護為依據(jù)進行統(tǒng)籌規(guī)劃
等級保護是圍繞信息安全保障全過程的一項基礎(chǔ)性的管理制度,通過將等級化的方法和安全體系規(guī)劃有效結(jié)合,統(tǒng)籌規(guī)劃證券網(wǎng)絡(luò)安全體系的建設(shè),建立一套信息安全保障體系,將是系統(tǒng)化地解決證券行業(yè)網(wǎng)絡(luò)安全問題的一個非常有效的方法。
2.4.2通過加強網(wǎng)絡(luò)訪問控制提高網(wǎng)絡(luò)防護能力
對向證券行業(yè)提供設(shè)備、技術(shù)和服務(wù)的IT公司的資質(zhì)和誠信加強管理,確保其符合國家、行業(yè)技術(shù)標(biāo)準(zhǔn)。根據(jù)網(wǎng)絡(luò)隔離要求,要逐步建立業(yè)務(wù)網(wǎng)與辦公網(wǎng)、業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)、網(wǎng)上交易各子系統(tǒng)間有效的網(wǎng)絡(luò)隔離。技術(shù)上可以對不同的業(yè)務(wù)安全區(qū)域劃分Vlan或者采用網(wǎng)閘設(shè)備進行隔離;對主要的網(wǎng)絡(luò)邊界和各外部進口進行滲透測試,進行系統(tǒng)和設(shè)備的安全加固.降低系統(tǒng)漏洞帶來的安全風(fēng)險;在網(wǎng)上交易方面,采取電子簽名或數(shù)字認(rèn)證等高強度認(rèn)證方式,加強訪問控制;針對現(xiàn)存惡意攻擊網(wǎng)站的事件越來越多的情況,要采取措施加強網(wǎng)站保護,提高對惡意代碼的防護能力,同時采用技術(shù)手段,提高網(wǎng)上交易客戶端軟件使朋的安全性。
2.4.3提高從業(yè)人員安全意識和專業(yè)水平
目前在證券行業(yè)內(nèi),從業(yè)人員的網(wǎng)絡(luò)安全意識比較薄弱.必要時可定期對從業(yè)人員進行安全意識考核,從行業(yè)內(nèi)部強化網(wǎng)絡(luò)安全工作。要加強網(wǎng)絡(luò)安全技術(shù)人員的管理能力和專業(yè)技能培訓(xùn),提高行業(yè)網(wǎng)絡(luò)安全的管理水平和專業(yè)技術(shù)水平。
2.5扎實推進行業(yè)災(zāi)難備份建設(shè)
數(shù)據(jù)的安全對證券行業(yè)是至關(guān)重要的,數(shù)據(jù)一旦丟失對市場各方的損失是難以估量的。無論是美國的“9·11”事件,還是我國2008年南方冰雪災(zāi)害和四川汶川大地震,都敲響了災(zāi)難備份的警鐘。證券業(yè)要在學(xué)習(xí)借鑒國際經(jīng)驗的基礎(chǔ)上,針對自身需要,對重要系統(tǒng)開展災(zāi)難備份建設(shè)。要繼續(xù)推進證券、基金公司同城災(zāi)難備份建設(shè),以及證券交易所、結(jié)算公司等市場核心機構(gòu)的異地災(zāi)難備份系統(tǒng)的規(guī)劃和建設(shè)。制定各類相關(guān)的災(zāi)難應(yīng)急預(yù)案,并加強應(yīng)急預(yù)案的演練,確保災(zāi)難備份系統(tǒng)應(yīng)急有效.使應(yīng)急工作與日常工作有機結(jié)合。
2.6抓好人才隊伍建設(shè)
證券行業(yè)要采取切實可行的措施,建立吸引人才、留住人才、培養(yǎng)人才、發(fā)展人才的用人制度和機制。積極吸引有技術(shù)專長的人才到行業(yè)巾來,加強lT人員的崗位技能培訓(xùn)和業(yè)務(wù)培訓(xùn),注重培養(yǎng)既懂得技術(shù)義懂業(yè)務(wù)和管理的復(fù)合型人才。要促進從業(yè)人員提高水平、轉(zhuǎn)變觀念,行業(yè)各機構(gòu)應(yīng)采取采取請進來、派出去以及內(nèi)部講座等多種培訓(xùn)方式。通過建立規(guī)范有效的人才評價體系,對信息技術(shù)人員進行科學(xué)有效的考評,提升行業(yè)人才資源的優(yōu)化配置和使用效率,促進技術(shù)人才結(jié)構(gòu)的涮整和完善。
【 關(guān)鍵詞 】 信息安全;企業(yè)管理;績效考核
1 引言
經(jīng)過近幾年的發(fā)展,中國鐵建股份有限公司(以下簡稱中國鐵建)的信息化工作全面展開,眾多信息化項目的實施,大量信息系統(tǒng)的上線應(yīng)用,有力地促進了企業(yè)核心競爭力的提升。
隨著信息系統(tǒng)不斷建成與投入應(yīng)用,信息資源擁有量快速增長,對信息安全的保障需求日顯強烈,信息安全管控建設(shè)的滯后與日益增長的信息安全需求的矛盾日益突出。中國鐵建根據(jù)國內(nèi)外成熟的信息安全標(biāo)準(zhǔn)和方法,結(jié)合企業(yè)業(yè)務(wù)發(fā)展戰(zhàn)略和企業(yè)特點,構(gòu)建符合本公司業(yè)務(wù)實際和安全需要的信息安全管控體系,全面提升信息安全保障能力,并取得了初步效果。另外,信息安全等級保護制度作為國家在信息安全保障管理上的根本制度,具有強制性的特征,也要求企業(yè)認(rèn)真加以貫徹落實。
在實際工作中利用怎樣的手段來保障信息安全管控體系、信息安全等級保護制度得到切實執(zhí)行,成為亟待需要解決的問題。
為此,結(jié)合中國鐵建所屬各單位地域分布廣、信息化水平差距大的特點,經(jīng)過初步探索,將信息安全指標(biāo)納入了中國鐵建信息化績效評價體系,與各子分公司領(lǐng)導(dǎo)考核掛鉤,從“信息安全事故”和“等級保護”兩個維度、四項指標(biāo),通過定量對比分析,對各單位的信息安全工作進行評價,以推進信息安全持續(xù)改進。
2 考核原則
(1)公開、公平、公正。嚴(yán)格按照考核細(xì)則對被考核單位,在公開、公平、公正的環(huán)境中,進行客觀的評價。
(2)實事求是。被考核單位應(yīng)如實反映信息安全工作情況,提供的相關(guān)資料和數(shù)據(jù)真實可信。
(3)遵循規(guī)劃、貫徹制度、檢查效果、保障安全。考核指標(biāo)的提出以信息安全規(guī)劃、制度為依據(jù),重點在信息化建設(shè)效果并保障信息安全。
(4)區(qū)別對待,逐步演進。根據(jù)子公司規(guī)模、成長階段、業(yè)務(wù)特點的不同,區(qū)別對待;根據(jù)信息安全建設(shè)重點,不同年度有不同的考核重點,逐步演進。
3 考核指標(biāo)
中國鐵建大量的信息系統(tǒng)處于建設(shè)時期,因此每年對指標(biāo)進行調(diào)整。目前,根據(jù)信息系統(tǒng)等級保護評價指標(biāo)體系的原則要求, 選擇具有可操作性、可以量化的指標(biāo),從信息安全事故和信息系統(tǒng)安全等級保護兩個維度,信息安全事件、等級保護定級率、等級保護備案率、等級保護測評通過率四項指標(biāo)進行了考核。
3.1 信息安全事件
信息安全事件及分級以中國鐵建《信息安全事件管理規(guī)定》定義為準(zhǔn)。信息安全事件分為特別重大事件(I級)、重大事件(Ⅱ級)和一般事件(Ⅲ級)三個級別。
指標(biāo)要點
(1)信息系統(tǒng)安全事件級別的確定。從類別劃分,信息安全事件分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、設(shè)備設(shè)施安全功能故障、災(zāi)害性事件等五種;從級別劃分,信息安全事件分為特別重大事件(I級)、重大事件(Ⅱ級)和一般事件(Ⅲ級)三個級別。
(2)信息安全事件的瞞報。對于發(fā)生信息安全事件后,隱瞞事故,在規(guī)定時限內(nèi)不主動向上級部門如實報告的情況,除扣除其該項考核成績外,按照股份公司有關(guān)規(guī)定進行通報并嚴(yán)肅處理;對多次發(fā)生信息安全事件的單位,將加強監(jiān)督檢查,并責(zé)令其徹底整改。
3.2 等保定級率
考核年度在建至驗收投入應(yīng)用各階段的信息系統(tǒng)與歷年上報的定級報告不重復(fù)累計數(shù)之比。
指標(biāo)要點
(1)信息系統(tǒng)定級準(zhǔn)確性。部分單位認(rèn)為信息系統(tǒng)定級級別越高,就要花費更多的資金、精力,加重單位負(fù)擔(dān),因此將基礎(chǔ)信息網(wǎng)絡(luò)、門戶網(wǎng)站、郵件、財務(wù)等重要信息系統(tǒng)定為一級,以逃避備案、測評。
針對這種情況,股份公司按照《信息系統(tǒng)安全等級保護區(qū)域劃分原則與定級指南》,對信息系統(tǒng)定級進行規(guī)范,并對定為一級、二級的信息系統(tǒng)進行重點檢查,避免定級不準(zhǔn)確。
(2)信息系統(tǒng)數(shù)量準(zhǔn)確性。部分單位在實施等保工作時,上報的信息系統(tǒng)數(shù)量小于實際建設(shè)數(shù)量。因此,在實際操作中,本考核項的分母“信息系統(tǒng)數(shù)”以該單位編制信息化項目預(yù)算時上報的信息系統(tǒng)數(shù)量為準(zhǔn)。
(3)需提供加蓋本單位公章的《定級報告》掃描件。
3.3 等保備案率
考核年度在建至驗收投入應(yīng)用各階段的信息系統(tǒng)數(shù)與歷年上報的備案證書不重復(fù)累計數(shù)之比。
指標(biāo)要點
(1)備案公安機關(guān)的選擇。針對部分單位未根據(jù)國家法律法規(guī)選擇合適公安機關(guān)備案的情況,股份公司在的《信息系統(tǒng)安全等級保護管理辦法》中規(guī)定:股份公司統(tǒng)建系統(tǒng),三級及以上系統(tǒng)向公安部網(wǎng)絡(luò)安全保衛(wèi)局備案、二級系統(tǒng)向北京市公安局鐵道建筑公安局備案;駐京單位自建信息系統(tǒng)向北京市公安局鐵道建筑公安局備案;京外單位自建信息系統(tǒng)向當(dāng)?shù)厥屑壖耙陨瞎矙C關(guān)備案。
(2)等保備案率的確定。等保備案率中的分母“信息系統(tǒng)數(shù)”,指的是該單位編制信息化項目預(yù)算時上報的信息系統(tǒng)數(shù)量,并非已定級的信息系統(tǒng)數(shù)量。
(3)需提供公安機關(guān)出具的《備案證明》掃描件。
3.4 等保測評通過率
歷年上報的定級備案證書不重復(fù)累計數(shù)與歷年測評通過的信息系統(tǒng)不重復(fù)累計數(shù)之比。
指標(biāo)要點
(1)測評報告符合率。為防止部分單位將工作精力側(cè)重于取得測評報告,而忽視了對測評中反映出的安全問題的整改,在實際工作中,重點對測評不符合率較高的信息系統(tǒng)進行抽查,責(zé)令單位定期進行整改。
(2)需提供合格測評機構(gòu)出具的加蓋測評機構(gòu)公章的《安全等級測評報告》掃描件。
4 考核權(quán)重
4.1 信息安全事件
附加分項,最高減K分。出現(xiàn)一次I級信息安全事件、減K分;出現(xiàn)一次級信息安全事件、減K/2分,最多減K分。
4.2 等保定級率
基本分項,滿分K分。考核年度在建至驗收投入應(yīng)用各階段的信息系統(tǒng)數(shù)為A,歷年上報的定級報告不重復(fù)累計數(shù)為B,定級率M=B/A,平均定級率∑M=∑B/∑A。定級率得分S=min{(M/∑M)×K,K}。
4.3 等保備案率
基本分項,滿分K分。考核年度在建至驗收投入應(yīng)用各階段的信息系統(tǒng)數(shù)為A,歷年上報的備案證書不重復(fù)累計數(shù)為C,備案率M=C/A,平均備案率∑M=∑C/∑A。備案率得分S=min{(M/∑M)×K,K}。
4.4 等保通過率
基本分項,滿分K分。歷年上報的定級備案證書不重復(fù)累計數(shù)為C,歷年測評通過的信息系統(tǒng)不重復(fù)累計數(shù)為D,測評通過率M=D/C,平均測評通過率∑M=∑D/∑C。測評通過率得分S=min{(M/∑M)×K,K}。
5 指標(biāo)計算
考核指標(biāo)項分基本分項、附加分項兩類。以本單位基本分項滿分(Ai)為基數(shù),用實際得分(Bi)計算其得分率(Mi=Bi/Ai),除以最高得分率(Mmax),再乘以信息安全工作績效指標(biāo)分(C),即為信息安全工作考核實際得分(Si=C×Mi/Mmax)。
6 結(jié)束語
本文對中國鐵建將信息安全指標(biāo)納入信息化績效評價體系進行了概述, 提出了綜合評價的方法,希望能借以推進本企業(yè)信息安全工作的開展,提高信息系統(tǒng)的安全性,并切實將國家法律法規(guī)落到實處。從實際執(zhí)行效果看,已經(jīng)取得了一定的成效。
參考文獻
[1] GB/T 22239―2008,信息系統(tǒng)安全等級保護基本要求.
[2] GB 17859-1999,安全等級保護劃分準(zhǔn)則.
[3] GB/T 22240―2008,信息系統(tǒng)安全保護等級定級指南.
0 引言
2008年中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局了GB/T 22239-2008《信息安全技術(shù)-信息系統(tǒng)安全等級保護基本要求》后,信息安全等級保護制度已經(jīng)成為我國信息安全保護工作的基本國策,實行信息安全等級保護具有重大的現(xiàn)實和戰(zhàn)略意義。
根據(jù)公安部的相關(guān)文獻,從近些年來年來等級保護安全測評的結(jié)果分析中可以看出,信息系統(tǒng)中容易出問題的部分主要是賬號管理、權(quán)限管理和審計分析等幾個方面。例如:多人共用一個賬號;用戶權(quán)限分配沒有遵循最小化原則;未限制設(shè)備管理方式;未開啟審計或未進行審計分析等。
為解決上述問題,可以通過修改服務(wù)器配置信息以及網(wǎng)絡(luò)設(shè)備的配置可以進行防范,隨著智能終端的出現(xiàn),網(wǎng)絡(luò)傳播技術(shù)的不斷提高,交換機、路由器等網(wǎng)絡(luò)設(shè)備的管理將便捷許多,操作人員可以通過網(wǎng)絡(luò)對網(wǎng)絡(luò)設(shè)備進行遠(yuǎn)程操作。然而,由于復(fù)雜的網(wǎng)絡(luò)環(huán)境存在著大量的潛在攻擊行為,在方便快捷的同時,操作人員通過網(wǎng)絡(luò)與網(wǎng)絡(luò)設(shè)備通信存在著嚴(yán)重的安全隱患。針對這種情況,需要對現(xiàn)有服務(wù)器進行改造,涉及到大量信息系統(tǒng)的安全維護操作,其復(fù)雜性和環(huán)境的不確定性造成這種方式的實施起來極其困難。
1 企業(yè)應(yīng)用中的安全問題
在企業(yè)應(yīng)用中,目標(biāo)設(shè)備之間通過互聯(lián)網(wǎng)絡(luò)進行通訊,操作人員也通過互聯(lián)網(wǎng)遠(yuǎn)程訪問目標(biāo)設(shè)備。目標(biāo)設(shè)備需要對操作人員開放相應(yīng)的接口,由于互聯(lián)網(wǎng)的開放性,非法操作人員或潛在非法操作人員很容易通過相應(yīng)的接口登入系統(tǒng)進行操作,給網(wǎng)絡(luò)安全帶來隱患。
通過對現(xiàn)有系統(tǒng)在應(yīng)用中出現(xiàn)問題進行分析,目前系統(tǒng)中存在的安全隱患主要有:
(1)存在潛在非法操作人員對網(wǎng)絡(luò)終端進行非法操作; (2)目標(biāo)設(shè)備與操作人員無法進行統(tǒng)一管理;(3)操作人員的誤操作無法有效避免;(4)操作人員的操作記錄歷史追蹤無法實現(xiàn)。
通過對現(xiàn)有信息系統(tǒng)以及網(wǎng)絡(luò)安全需求分析,結(jié)合企業(yè)現(xiàn)狀,選取部署相關(guān)安全產(chǎn)品到網(wǎng)絡(luò)中,作為安全模塊對整個網(wǎng)絡(luò)進行安全保護,即堡壘主機。
2 堡壘主機
堡壘主機是一種運維管理系統(tǒng),可以完成賬戶管理、授權(quán)管理和綜合審計等功能,完成集中認(rèn)證和運維審計的作用。該類產(chǎn)品對操作人員提供多種遠(yuǎn)程管理方式,并能夠?qū)Σ僮魅藛T以遠(yuǎn)程方式對服務(wù)器主機、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫的操作行為過程進行監(jiān)控和審計管理,以及對違規(guī)操作行為進行實時報警、阻斷。
通過堡壘主機可以有效的提高操作人員與網(wǎng)絡(luò)設(shè)備之間通信的安全性,并且可以對操作人員及遠(yuǎn)程操作進行集中管理,在確保通信安全的基礎(chǔ)上,實現(xiàn)管理的統(tǒng)一。本文所述的堡壘主機產(chǎn)品為軟件堡壘主機,沒有運輸成本,部署簡單,升級簡便,性能及功能可定制。在部署前,僅需要找到一臺信任主機即可。堡壘主機被部署到內(nèi)網(wǎng)主機上,并且對要訪問的目標(biāo)設(shè)備進行綁定,設(shè)定僅堡壘主機才可以對目標(biāo)設(shè)備進行訪問。所有操作人員都要先登錄到堡壘機上,然后才可以訪問目標(biāo)設(shè)備。堡壘主機自身具有認(rèn)證及授權(quán)等功能,可以有效的屏蔽非法操作人員的訪問。
3 主要功能
本文所述的堡壘主機的主要功能有賬戶管理、角色管理、設(shè)備管理、黑名單管理和操作記錄查詢等主要功能。
(1)賬戶管理。對于堡壘主機的賬戶,采用"一用戶一賬號"的原則,用戶需要通過自己的賬戶才能登錄堡壘主機。不存在用戶共享同一個賬戶,有效避免出現(xiàn)事故時無法追述問題原因和責(zé)任人的問題。另外,在用戶的身份認(rèn)證時,對用戶的賬號及所在IP進行綁定,如果賬戶與登錄的IP不匹配,將無法登錄,加強了身份認(rèn)證機制。實現(xiàn)集中身份認(rèn)證和訪問控制,避免冒名訪問,提高訪問安全性。
(2)角色管理。針對不同的操作人員進行角色管理。不同類別的角色具有不同的操作權(quán)限,操作人員需要根據(jù)自身賬戶的角色等級來訪問可操作的目標(biāo)主機及該目標(biāo)主機的資源。在便于任務(wù)分工及責(zé)任劃分的同時,有效的降低操作人員錯誤操作的可能。
(3)設(shè)備管理。管理目標(biāo)設(shè)備信息,堡壘主機對管理目標(biāo)設(shè)備的數(shù)量無限制,可以任意添加。
(4)黑名單管理。堡壘主機將對操作人員的操作進行實時監(jiān)測,如果某些操作被管理員禁止,那么該操作將無法完成。如:關(guān)機、重啟等操作,通過黑名單管理,指定人員將不具備該操作權(quán)限,提高操作的安全性。訪問記錄查詢通過該功能可查詢目標(biāo)主機在某個時間段內(nèi),有哪人操作人員登錄過。當(dāng)目標(biāo)主機因操作不當(dāng)而引發(fā)障礙時,結(jié)合操作記錄查詢,可快速排查障礙原因,并找到責(zé)任人,解決問題,避免不必要的損失
(5)操作記錄查詢。對操作人員的所有操作進行記錄,當(dāng)因操作人員的錯誤操作而引發(fā)障礙時,通過該功能可快速找出該操作人員,避免責(zé)任劃分不清問題。
4 結(jié)語
堡壘主機能夠解決集中賬號管理、細(xì)粒度的權(quán)限管理和訪問審計的問題,有效加強現(xiàn)有系統(tǒng)的網(wǎng)絡(luò)安全性,具有改造成本小,維護容易等特點。本文所述堡壘主機產(chǎn)品在吉林聯(lián)通通信網(wǎng)絡(luò)中成功應(yīng)用,有效降低了操作人員的誤操作和網(wǎng)絡(luò)信息故障發(fā)生的幾率,證明了堡壘主機在加強網(wǎng)絡(luò)安全方面的有效性。
近年來,國信辦組織了幾項信息安全試點,遍及全國的近三十余家試點單位成為安全探索先行者。當(dāng)通過一年多的努力,為中國信息安全前行之路成功點燃一簇簇“星火”的時候,
他們坦然面對記者說出了這背后的故事。
國稅總局在風(fēng)險評估實踐中總結(jié)出的差距分析法
有句話是這么說的:道路是什么,道路是人在沒有路的地方用腳踩出來的。
人生的道路是這樣,信息安全之路也是這樣。當(dāng)安全威脅成為信息化進程最大阻礙的時候,如何踩出一條網(wǎng)絡(luò)信息安全之路,就成為政府主管部門思考的問題。
2006年,為貫徹落實《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)[2003]27號文件),形成與國際標(biāo)準(zhǔn)相銜接的中國特色的信息安全標(biāo)準(zhǔn)體系,以更好應(yīng)對未來日益嚴(yán)峻的信息安全威脅,國務(wù)院信息化工作辦公室會同相關(guān)部門,組織了三項信息安全試點,包括:電子政務(wù)信息安全試點、信息安全風(fēng)險評估試點、信息安全管理標(biāo)準(zhǔn)應(yīng)用試點。總共有三十余家試點單位參加了相關(guān)試點工作。
因為涉及國家信息安全未來標(biāo)準(zhǔn)和技術(shù)道路的探索,所有的試點單位一直都仿佛蒙上一層神秘的面紗。這些探索者究竟做了一些什么工作?它們的先行又為我國信息安全事業(yè)踏出什么樣的實踐之路?近日,在國信辦召開的全國地方信息安全處長會議間歇,記者走近本次試點工作六個優(yōu)秀試點單位代表,揭開了一直罩在這些試點單位頭上那層神秘的面紗,看到了他們的努力和汗水,以及試點工作探*索出來的寶貴經(jīng)驗。政務(wù)馳入安全互聯(lián)網(wǎng)模式
試點方向:電子政務(wù)信息安全
訪談人物:河南省濟源市信息辦副主任焦依平
電子政務(wù)是國家信息化的重中之重,而信息安全又是電子政務(wù)順利完成的重中之重。
為貫徹落實中辦發(fā)27號文件精神,研究解決電子政務(wù)信息安全建設(shè)和管理中的一些共性問題,探索電子政務(wù)信息安全保障方法,國信辦會同國家保密局、國家密碼管理局、公安部十一局,從2005年10月開始,在廣東、河南、天津、重慶4個省市開展了電子政務(wù)信息安全試點。
這4個試點具體方向各有不同,其中河南濟源市探索的方向是如何基于互聯(lián)網(wǎng)開展電子政務(wù)建設(shè)、保障信息安全問題。“我們按照‘保安全,促應(yīng)用’的思路,構(gòu)建了基于互聯(lián)網(wǎng)的電子政務(wù)信息安全保障體系,探索出了一條低成本建設(shè)電子政務(wù)的新路子。”焦依平現(xiàn)在談起試點,依然抑制不住激動的心情。
焦依平介紹說,濟源市通信光纖現(xiàn)已覆蓋到村,政務(wù)部門全部接入了互聯(lián)網(wǎng),但是統(tǒng)計下來,濟源市政務(wù)信息中部分總量不超過3%。如果僅為了3%的信息傳遞投入巨資建專網(wǎng),顯然投入和效益不能平衡,這也與電子政務(wù)建設(shè)的初衷相違背。為此,濟源市按照國信辦和河南省信息辦的要求,不拉專線,完全基于互聯(lián)網(wǎng),開展電子政務(wù)建設(shè)。
濟源市試點系統(tǒng)建設(shè)內(nèi)容包括以下幾項:一是基于互聯(lián)網(wǎng)建設(shè)連接全市所有黨政部門和鄉(xiāng)鎮(zhèn)的電子政務(wù)網(wǎng)絡(luò);二是在互聯(lián)網(wǎng)上建設(shè)政務(wù)辦公、項目審批管理、12345便民熱線、新農(nóng)村信息服務(wù)等4個應(yīng)用系統(tǒng);三是在進行網(wǎng)絡(luò)和應(yīng)用系統(tǒng)建設(shè)的同時開展信息安全試點,建設(shè)基于互聯(lián)網(wǎng)電子政務(wù)信息安全支撐平臺。
那么,如何真正用技術(shù)實現(xiàn)政務(wù)網(wǎng)絡(luò)互聯(lián)網(wǎng)辦公的安全需求呢?焦依平介紹說,試點工程遵循信息安全系統(tǒng)工程思想,按照“適度安全,促進應(yīng)用,綜合防范”的原則和等級保護的要求,采用集成創(chuàng)新的技術(shù)路線,綜合運用以密碼為核心的信息安全技術(shù),合理配置信息安全保密設(shè)備和安全策略,建設(shè)一個技術(shù)先進、安全可靠的基于互聯(lián)網(wǎng)的電子政務(wù)信息安全支撐平臺,形成一體化的分級防護安全保障體系,為電子政務(wù)提供可靠、有效的安全保障。
從安全技術(shù)實現(xiàn)上,據(jù)焦依平介紹,濟源市試點工程的安全支撐平臺涉及網(wǎng)絡(luò)安全和應(yīng)用安全兩部分,本次試點網(wǎng)絡(luò)安全系統(tǒng)共建設(shè)7個安全子系統(tǒng):一是VPN系統(tǒng),由VPN密碼機、VPN客戶端和VPN管理系統(tǒng)組成,共同完成域間安全互聯(lián)、移動安全接入、用戶接入控制與網(wǎng)絡(luò)邊界安全等功能,其中中心機房的VPN密碼機帶有防火墻功能;二是統(tǒng)一身份認(rèn)證與授權(quán)管理系統(tǒng),完成用戶統(tǒng)一身份認(rèn)證、授權(quán)管理等功能;三是網(wǎng)絡(luò)防病毒系統(tǒng),部署于安全服務(wù)區(qū),完成網(wǎng)絡(luò)防病毒功能;四是網(wǎng)頁防篡改系統(tǒng),部署于政府網(wǎng)站,提供網(wǎng)站立即恢復(fù)的手段和功能;五是入侵檢測系統(tǒng),部署于中心交換機,對網(wǎng)絡(luò)入侵事件進行主動防御;六是網(wǎng)絡(luò)審計系統(tǒng)部署于中心交換機,對網(wǎng)絡(luò)事件進行記錄,方便事后追蹤;七是桌面安全防護系統(tǒng),部署在用戶終端,提供網(wǎng)絡(luò)防護、病毒防護、存儲安全、郵件安全等一體化的終端安全保護。
對于目前試點效果,焦依平認(rèn)為,從實際效果來說,一是低成本建設(shè)了安全的政務(wù)網(wǎng)絡(luò),實際投入620萬元,比原計劃專網(wǎng)方式預(yù)算總投資節(jié)約48.3%;二是實現(xiàn)了安全政務(wù)辦公和可信政務(wù)服務(wù),全市各部門已100%實現(xiàn)了安全互聯(lián),網(wǎng)絡(luò)可達鄉(xiāng)鎮(zhèn),試點村;三是實現(xiàn)了安全的移動辦公,打破了電子政務(wù)應(yīng)用只能在本地訪問的局限。而從長遠(yuǎn)來講,濟源市已經(jīng)初步建成安全、開放、實用的全面基于互聯(lián)網(wǎng)的電子政務(wù)系統(tǒng)。
電子政務(wù)內(nèi)外互通
試點方向:電子政務(wù)信息安全
訪談人物:廣東省信息中心副主任曾強
目前,妨礙電子政務(wù)系統(tǒng)互聯(lián)互通的主要原因就是由此帶來的信息安全問題。跟濟源市試點方向不同,廣東省的試點方向主要是通過等級保護,探索解決省、市、縣(區(qū))電子政務(wù)系統(tǒng)的信息共享與互聯(lián)互通問題。曾強介紹說,面對國信辦試點布置的這個大命題,廣東省將試點命題細(xì)化成以下幾個方面:由廣東省民政廳及東莞、深圳兩市民政局以及地下救助站完成民政4個業(yè)務(wù)系統(tǒng)縱向互聯(lián)互通試點;由省政府辦公廳完成視頻會議系統(tǒng)省府門戶網(wǎng)站試點;由佛山市政府完成財稅庫銀互聯(lián)互通系統(tǒng)試點;由江門市政府完成開放互聯(lián)環(huán)境下的信息安全解決方案試點;由佛山市南海區(qū)政府完成大社保6個分系統(tǒng)橫向互聯(lián)互通試點。
關(guān)于如何解決在不同的電子政務(wù)系統(tǒng)之間,安全實現(xiàn)互聯(lián)互通以及資源共享問題,曾強介紹說,試點工作中,廣東省綜合運用等級保護和風(fēng)險評估相結(jié)合的方法,確定了解決互聯(lián)互通問題的基本思路:一是明確系統(tǒng)的重要程度,確定系統(tǒng)安全等級,采取與系統(tǒng)安全等級相適應(yīng)的安全保護措施;二是按照有條件互聯(lián)、共享可控制的原則,確定需要共享的系統(tǒng)和應(yīng)用以及需要共享的數(shù)據(jù),保證只共享那些確實需要共享的數(shù)據(jù),以保護系統(tǒng)中原有信息的安全;三是在進行系統(tǒng)互聯(lián)的部門之間建立共同的安全管理機制,明確系統(tǒng)互聯(lián)后的安全管理責(zé)任、管理邊界、安全事件協(xié)同處理等機制;四是對系統(tǒng)互聯(lián)的安全風(fēng)險進行評估,全面分析低安全等級的系統(tǒng)給高安全等級的系統(tǒng)帶來的安全風(fēng)險;五是針對系統(tǒng)互聯(lián)的安全風(fēng)險,確定關(guān)鍵的安全控制要素,如互聯(lián)邊界的訪問控制、系統(tǒng)互聯(lián)的安全傳輸?shù)龋⒙鋵嵕唧w的安全措施,保障系統(tǒng)互聯(lián)、數(shù)據(jù)共享的安全。
在以上措施的執(zhí)行下,廣東省取得了初步成功,形成了《廣東省電子政務(wù)系統(tǒng)定級規(guī)范》、《廣東省電子政務(wù)系統(tǒng)互聯(lián)互通安全規(guī)范》等地方指導(dǎo)性文件。
風(fēng)險規(guī)避預(yù)先保障
試點方向:信息安全風(fēng)險評估
訪談人物:國家稅務(wù)總局處長李建彬
上海市信息化委員會信息安全測評中心
總工程師應(yīng)力
信息網(wǎng)絡(luò),風(fēng)險無處不在,防患于未然是上上之策。這也是風(fēng)險評估安全保障的內(nèi)涵所在。國信辦于2005年2月組織北京市、上海市、黑龍江省、云南省、中國人民銀行、國家稅務(wù)總局、國家電網(wǎng)公司、國家信息中心等地方和部門開展信息安全風(fēng)險評估試點工作。
國家稅務(wù)總局在廣東地稅南海數(shù)據(jù)中心所進行的風(fēng)險評估試點,最大的亮點就是具有創(chuàng)新精神的“差距分析法”。
李建彬在介紹廣東南海試點經(jīng)驗時,將差距分析法用一句話概括,就是“通過找出安全目標(biāo)與現(xiàn)實系統(tǒng)差距,從而得出風(fēng)險分析報告”。在試點工作中,李建彬感觸最深的就是,要對系統(tǒng)生命周期的整個過程都持續(xù)不斷地引入風(fēng)險評估,盡量避免“先運行,后評估”的亡羊補牢式工作流程,以降低信息系統(tǒng)整體的信息安全風(fēng)險等級。此外,李建彬還提出在風(fēng)險評估工作具體實施過程中必須重點考慮以下幾點:
首先是風(fēng)險評估與等級保護有密切的關(guān)系。類別和級別都是信息系統(tǒng)的固有屬性,通過風(fēng)險評估可以識別系統(tǒng)的類別和安全級別,從而落實“等級保護”這一國家政策。但是系統(tǒng)的安全級別不應(yīng)該一刀切,可考慮將系統(tǒng)最高安全級別部分的安全等級作為系統(tǒng)的安全等級。其次是系統(tǒng)分析是系統(tǒng)安全評估的基礎(chǔ)工作。再次是行業(yè)性系統(tǒng)安全要求在風(fēng)險評估中起決定作用,不同行業(yè)的系統(tǒng)有著不同的安全要求,必須為不同行業(yè)、不同類型的系統(tǒng)制定適應(yīng)其特點的系統(tǒng)安全要求。最后,通過安全風(fēng)險評估工作進一步完善系統(tǒng)安全總體設(shè)計。
上海市在很早的時候就開始對風(fēng)險評估進行探索。2002年上海市就確立180家重點信息安全責(zé)任單位(2004年調(diào)整為163家),涉及重要政府部門、公共事業(yè)單位、基礎(chǔ)網(wǎng)絡(luò)和涉及國計民生的重要信息系統(tǒng)。2006年,上海市了《上海市公共信息系統(tǒng)安全測評管理辦法》,又于2007年1月出臺了《上海市市級機關(guān)信息系統(tǒng)建設(shè)與管理指南》。之后,上海市信息委又出臺了關(guān)于風(fēng)險評估工作的實施意見,明確建立自評估與檢查評估制度的原則、工作安排。
上海市信息安全測評中心總工程師應(yīng)力博士在介紹上海市的風(fēng)險評估實踐經(jīng)驗時,多次強調(diào)要引導(dǎo)各單位進行自評估建設(shè),讓信息安全風(fēng)險評估成為政府及企事業(yè)信息安全建設(shè)的常態(tài),在系統(tǒng)的設(shè)計階段、驗收階段、運行階段,都需要進行風(fēng)險評估工作,形成“預(yù)防為主,持續(xù)改進”的風(fēng)險評估機制。應(yīng)力認(rèn)為,對信息安全主管機關(guān)來說,風(fēng)險評估是一種管理措施,通過風(fēng)險評估,領(lǐng)導(dǎo)者可以了解信息系統(tǒng)的安全現(xiàn)狀,從而為管理決策提供依據(jù)。
信息安全重在管理
試點方向:信息安全管理標(biāo)準(zhǔn)應(yīng)用
訪談人物:北京市海淀區(qū)信息辦主任張澤根
深交所ISMS項目組張興東
有專家提出:“信息安全系統(tǒng)是三分技術(shù),七分管理。”可見信息安全管理在整個信息安全保障體系中的重要性。
國信辦網(wǎng)絡(luò)與信息安全組與全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會共同于2006年3月開始,在北京市、上海市、國家稅務(wù)總局、中國證監(jiān)會和武漢鋼鐵(集團)公司選取了相關(guān)單位,對國際上通用的,也是已經(jīng)列入國家標(biāo)準(zhǔn)制、修訂計劃的兩個信息安全管理標(biāo)準(zhǔn),即ISO/IEC 27001:2005《信息安全管理體系要求》和ISO/IEC 17799:2005《信息安全管理使用規(guī)則》,組織了應(yīng)用試點。
北京市海淀區(qū)信息辦張澤根主任在具體介紹北京市海淀區(qū)信息安全管理體系實踐經(jīng)驗時,感觸最深的就是在參考國際標(biāo)準(zhǔn)ISO/IEC27001和ISO/IEC17799的基礎(chǔ)上,結(jié)合海淀區(qū)原有ISO9001管理體系,取得了事半功倍的實際效果。通過ISMS的運行實踐,海淀區(qū)信息辦建立了信息安全管理體系,為進一步通過ISO/IEC27001認(rèn)證做了很好的準(zhǔn)備,同時還對ISMS與風(fēng)險評估和等級保護的關(guān)系進行了有益的探索。ISMS為解決海淀區(qū)信息安全問題,提供了良好的方法和管理機制,并且為政府的信息化建設(shè)通過避免安全事故和合理分配經(jīng)費兩種方式很好地節(jié)約了建設(shè)經(jīng)費。
在ISMS項目試點實施前,深交所ISMS項目組就確定了項目實施不能流于形式的總體工作思路。深交所ISMS項目組張興東介紹經(jīng)驗時,認(rèn)為除了利用技術(shù)調(diào)查手段之外,還需要深入各個層面調(diào)研,充分了解深交所的信息安全現(xiàn)狀,利用多種方法相互補充、相互印證,以提高調(diào)查質(zhì)量,為項目后期的實施打下良好的基礎(chǔ)。
今天,我們實施一個信息化項目,如果像實施傳統(tǒng)項目那樣,只重視經(jīng)濟效益,那么有可能事與愿違,造成重大的安全損害。特別是現(xiàn)在新一代信息技術(shù)蓬勃興起,一個信息系統(tǒng)可能會面向廣大的用戶、處理海量的數(shù)據(jù),這類系統(tǒng)一旦出了安全問題,后果就極為嚴(yán)重。所以我們從事網(wǎng)信工作,往往要將網(wǎng)絡(luò)安全的考量放在優(yōu)先的地位,而且貫穿在項目的全過程中,包括確定需求、選擇方案、采購設(shè)備、組織實施、運營維護等等,無論在哪個環(huán)節(jié),都要把網(wǎng)絡(luò)安全保障放在重要位置。正像“綠色發(fā)展”要求我們在決定某些工業(yè)項目是否上馬時,將符合環(huán)保要求放在“一票否決”的地位,今天,我們也應(yīng)將是否符合網(wǎng)絡(luò)安全的要求放在類似的地位。
只有通過自主創(chuàng)新才能突破關(guān)鍵核心技術(shù)
在網(wǎng)信領(lǐng)域,信息化核心技術(shù)和信息基礎(chǔ)設(shè)施具有特別重要的地位,而且有高度的壟斷性。一直以來,我國在一些關(guān)鍵核心技術(shù)設(shè)備上受制于人,也就是說,我們的“命門”掌握在別人手里。正因為如此,盡管我國的網(wǎng)民和移動網(wǎng)民數(shù)都居世界第一,但我們還不是網(wǎng)絡(luò)強國。我國只有盡快突破核心技術(shù),把命運掌握在自己手中,才能成為一個網(wǎng)絡(luò)強國。
掌握核心技術(shù)往往需要付出巨大的、堅持不懈的努力。例如,早期在我國還不能制造高性能計算機時,有些部門(如天氣預(yù)報、石油勘探)不得不高價去買外國計算機,但那時,外國只賣給我們較低指標(biāo)的計算機,外國公司還要派人在機房里監(jiān)視著計算機的運行。后來,每當(dāng)我國研制出一臺較高指標(biāo)的計算機,他們才會放松一些限制,賣給我們高一檔次的計算機。就這樣,隨著我國自己設(shè)計的計算機不斷提升,外國才被迫逐漸放寬了對我國的禁運。這兩年,我國的“天河”機登上了世界超級計算機的榜首,他們于心不甘,去年就禁運了“天河”機所使用的“至強”CPU芯片,企圖進行遏制。但這反而激勵了我國科技人員的創(chuàng)新。今年,我國推出了采用國產(chǎn)CPU芯片的“神威?太湖之光”超級計算機,繼續(xù)高居世界榜首;而且“天河”也將在明年推出采用國產(chǎn)CPU芯片的新型號。上述中國高性能計算機幾十年的發(fā)展史證明:真正的核心技術(shù)是買不來的,是市場換不到的。我們只有通過自主創(chuàng)新,自立自強,才能打破發(fā)達國家對我們采取的種種遏制,才能將關(guān)鍵核心技術(shù)掌握在我們自己手中。
正確處理開放和自主的關(guān)系
我們強調(diào)自主創(chuàng)新,不是關(guān)起門來搞研發(fā),一定要堅持開放創(chuàng)新。我們不拒絕任何新技術(shù),自主創(chuàng)新中包括引進那些安全可控的新技術(shù),也包括引進消化吸收再創(chuàng)新。應(yīng)該說,這些年來基于開源軟件實施引進消化吸收再創(chuàng)新還是卓有成效的。今后,隨著我國軟件人員逐步地從開源軟件的使用者發(fā)展到參與者、貢獻者,甚至有的開源軟件可能由我國軟件人員主導(dǎo),其中將會具有越來越多的自主創(chuàng)新成分。
近來,我國企業(yè)和外國同行之間在一些核心技術(shù)方面的合作有增多的跡象。因為隨著我國技術(shù)水平和創(chuàng)新能力的提高,外國會放寬某些出口限制,這有利于企業(yè)間國際合作的擴展。另外,我國廣闊的市場也吸引著外國企業(yè)擴展與中國企業(yè)的合作。這種合作一般是市場行為,企業(yè)可以自行決策。當(dāng)合作涉及到國家安全或者有可能造成市場壟斷時,需要通過有關(guān)部門的審查,包括進行網(wǎng)絡(luò)安全審查在內(nèi)。
一些企業(yè)認(rèn)為,這類國際合作可以達到“合作共贏”或“與狼共舞”。不管怎么說,只要符合法規(guī),都是容許的。不過應(yīng)當(dāng)防止出現(xiàn)某些偏差,例如有的“合資”或“合作”采用簡單的“貼牌”或“穿馬甲”等方式,將外國產(chǎn)品通過“合資”或“合作”變?yōu)椤皣a(chǎn)”或“自主可控”產(chǎn)品。這樣做可能會對真正的本國企業(yè)造成打壓,也可能誤將不可控的產(chǎn)品當(dāng)成“自主可控”的,不利于保障網(wǎng)絡(luò)安全。
企業(yè)間的合作主要取決于經(jīng)濟利益,但在國家層面上,發(fā)展信息化核心技術(shù)等重要決策,應(yīng)突出網(wǎng)絡(luò)安全,強調(diào)不能受制于人。即使外國公司的某項技術(shù)很先進,性價比很高,似乎也能大量供應(yīng)市場,這作為企業(yè)間的國際合作項目是可以的,但如果它在某個方面(如知識產(chǎn)權(quán)、供應(yīng)鏈、技術(shù)掌握)會受到別人的制約,那么就不能作為國家層面的選擇。所以不能將企業(yè)間的“合作共贏”或“與狼共舞”,無條件地擴展為國家間的關(guān)系。
