信息安全等級保護辦法
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇信息安全等級保護辦法范文,相信會為您的寫作帶來幫助,發(fā)現更多的寫作思路和靈感。
信息安全等級保護辦法范文第1篇
根據《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發(fā)[200]27號)、《北京市政務與公共服務信息化工程建設管理辦法》(市政府第67號令)、《北京市信息化工作領導小組關于加強信息安全保障工作的實施意見》(京辦發(fā)[200]3號)以及其他有關法律、法規(guī)的規(guī)定,結合本市實際情況,現就本市黨政機關開展網絡與信息系統(tǒng)安全等級保護工作的有關要求通知如下:
一、充分認識開展安全等級保護工作的重要意義
為進一步提高信息安全保障能力和防護水平,維護國家安全、社會穩(wěn)定,保障和促進信息化建設的健康發(fā)展,國務院在全面分析全國信息安全保障工作形勢的基礎上,針對存在問題,明確指示要抓緊建立信息安全等級保護制度,制定信息安全等級保護管理辦法和技術指南,突出重點,切實保護好基礎信息網絡和關系國家安全、經濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)。國務院的指示對于加強信息安全保障工作十分重要,我市要認真貫徹執(zhí)行。
開展安全等級保護工作就是依據網絡與信息系統(tǒng)的重要程度和面臨的安全風險等因素,綜合平衡安全成本和風險,劃分系統(tǒng)的安全等級,優(yōu)化資源配置,進行建設和管理。
開展安全等級保護工作是關系到信息化建設全局的重要舉措,是做好信息安全保障工作基本思路,是網絡與信息系統(tǒng)基礎設施建設的重要內容,是一個非靜止、非僵化的系統(tǒng)工程。切實做好安全等級保護工作,建立安全等級保護制度,能夠使我市的網絡與信息系統(tǒng)防護水平從“獨立運行、自主保護”的狀況盡快過渡到“統(tǒng)一管理平臺、統(tǒng)一安全標準”的階段;能夠有效地提高網絡與信息系統(tǒng)安全建設的整體水平,增強使用效益;能夠使信息安全與信息化建設協調發(fā)展,減少建設成本;重點保障基礎信息網絡和關系國家安全、經濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)的安全;能夠明確國家、法人和其他組織、公民的信息安全責任;能夠有力推動信息安全產業(yè)發(fā)展,探索一套適應社會主義市場經濟發(fā)展的信息安全發(fā)展模式。同時,開展安全等級保護工作也是加速首都現代化建設和成功舉辦2008年奧運會的迫切需要。
二、加強對安全等級保護工作的指導和管理
在北京市網絡與信息安全協調小組的統(tǒng)一領導下,市信息辦會同有關部門負責本市黨政機關網絡與信息系統(tǒng)安全等級保護的統(tǒng)籌規(guī)劃、綜合協調和監(jiān)督檢查,并對重要網絡與信息系統(tǒng)的安全等級保護定期進行檢查指導,并定期通報。
各區(qū)縣信息化主管部門會同有關部門負責本區(qū)縣黨政機關網絡與信息系統(tǒng)安全等級保護的統(tǒng)籌規(guī)劃、綜合協調和監(jiān)督檢查。
本市各級黨政機關負責本單位網絡與信息系統(tǒng)安全等級保護的組織實施。
涉及到國家秘密的網絡與信息系統(tǒng)按照國家和本市有關保密規(guī)定執(zhí)行。
北京市信息安全測評中心負責本市各級黨政機關重要網絡與信息系統(tǒng)實行安全等級保護過程中的檢查評估和驗收的安全測評。
各單位在自定級過程中,可以委托專業(yè)信息安全服務機構協助完成,市信息辦將定期公布通過信息安全服務能力評估的機構目錄。
三、開展安全等級保護工作的實施計劃
本市各級黨政機關網絡與信息系統(tǒng)均要開展安全等級保護工作。新建和已建成但未正式運行的網絡與信息系統(tǒng)要按照安全等級保護制度的有關要求進行建設;已經正式運行的網絡與信息系統(tǒng)要按計劃逐步納入安全等級保護制度;網絡與信息系統(tǒng)結構和功能等要素發(fā)生變化,要及時重新進行風險評估、安全定級和檢測評估。各單位均應根據所核定的安全等級進行使用和管理。主要職責是:落實相應的管理制度和技術保護要求,組織管理人員和技術人員進行安全教育培訓;適時進行安全應急預案的演練;定期組織自評估,保持系統(tǒng)良好的安全狀態(tài);認真履行信息安全等級管理職責,協助主管部門做好網絡與信息系統(tǒng)的安全等級保護檢查工作。
安全等級保護是一項基礎性、長期性的工作,各單位均要將其作為一項重要內容納入整個信息化建設過程的始終,切實抓好落實工作。在全市黨政機關建立網絡與信息系統(tǒng)的安全等級保護制度,計劃用三年時間,分為四個步驟。
準備階段:200年6月底完成。主要做好以下工作:明確主管部門、專業(yè)技術支撐單位和使用單位的職責、權利和義務,理順關系,建立協調配合和管理的運行機制;依照國家有關法規(guī),制定、完善安全等級保護工作的相關的配套文件;廣泛開展宣傳教育工作,組織培訓,特別是對監(jiān)管隊伍和專業(yè)技術支撐單位人員的培訓,在思想認識、政策理論、管理和技術等方面作好充足準備。
試行階段:200年底前完成。在前期準備的基礎上,全面展開建立安全等級保護制度的工作。工作內容包括:自定級、備案、建設整改、檢查評估。其中,200年9月底前,各單位要完成自身網絡與信息系統(tǒng)的自定級工作;200年10月底前,各單位要完成3級以上的網絡與信息系統(tǒng)向市信息辦備案工作;200年6月底前,各單位要完成對正在運行的3級以上的網絡與信息系統(tǒng)的整改工作;200年12月底前,完成對本市部分重要網絡與信息系統(tǒng)的檢查評估工作。
完善階段:200年12月底前完成。其中,200年6月底前完成本市黨政機關開展安全等級保護的總結工作、相關配套文件的修訂工作和信息安全測評基礎設施能力建設工作;200年12月底前,完成本市重要網絡與信息系統(tǒng)的檢查評估工作。
正常階段:200年開始,全市各級黨政機關全面推行網絡與信息系統(tǒng)安全等級保護制度,轉入經常性工作。各單位每年應對其自身的網絡與信息系統(tǒng)進行一次自評估;市信息辦每兩年對本市各級黨政機關重要網絡與信息系統(tǒng)進行一次檢查評估。
各單位要認真執(zhí)行安全等級保護的有關規(guī)定,認真落實安全等級保護制度,自覺接受主管部門的檢查指導,切實做好信息安全保障工作。
四、堅決落實安全等級保護工作的各項措施
各單位要認真貫徹執(zhí)行國家和本市關于信息化建設和信息安全保障工作的一系列指示、要求和規(guī)定,切實保證信息安全等級保護工作的順利開展。
(一)各單位在立項前對其網絡與信息系統(tǒng)進行風險評估,依據《北京市黨政機關網絡與信息系統(tǒng)安全定級指南》(見附件)自行確定安全等級。3級以上網絡與信息系統(tǒng)應填寫《北京市黨政機關網絡與信息信息安全定級備案(審查)表》,報市信息化主管部門審查。未經審查的,依據北京市人民政府第67號令《北京市政務與公共服務信息化工程建設管理辦法》第八條規(guī)定,主管部門不予批準立項,財政部門不予撥款。
(二)在信息化項目預算時,各單位要按照等級保護的要求將安全等級保護的各項費用(風險評估、方案設計、工程實施、測評驗收、工程監(jiān)理等)列入項目預算;在網絡與信息系統(tǒng)運行后,也要按照安全等級保護的要求將相關費用列入系統(tǒng)運行維護費。
(三)各單位的重要網絡與信息系統(tǒng)在正式投入運行前應依據北京市人民政府第67號令《北京市政務與公共服務信息化工程建設管理辦法》第十三條規(guī)定,經過安全測評認證,未經測評認證的,不得投入運行。
(四)北京信息安全測評中心在測評過程中必須堅持客觀公正、實事求是的原則,出具真實的測評報告,市信息辦對安全等級保護測評活動進行監(jiān)督管理,對違反上述原則,出具虛假報告等行為的將追究有關領導和責任人的責任;情節(jié)嚴重構成犯罪的,由有關部門追究其法律責任。
(五)專業(yè)信息安全服務機構為本市各級黨政機關提供信息安全服務應符合國家和本市的有關規(guī)定,北京信息安全測評中心應定期了解為本市各級黨政機關提供信息安全服務機構的有關情況、征求用戶意見,對有問題的單位提出建議和警告,問題嚴重的應取消其信息安全服務能力等級證書并予以公布。
(六)市信息辦加強對安全等級保護工作的指導和監(jiān)督檢查。對違反有關規(guī)定的,要及時進行糾正;情節(jié)嚴重并造成重大損失的,由其上級主管部門依照有關規(guī)定追究單位負責人和有關人員的行政責任。構成犯罪的,由有關部門追究其法律責任。
五、切實加強對安全等級保護工作的組織領導
信息安全等級保護辦法范文第2篇
本報訊 7月20日,公安部、國務院信息辦等4部門在北京聯合召開“全國重要信息系統(tǒng)安全等級保護定級工作電視電話會議”,部署在全國范圍內開展重要信息系統(tǒng)安全等級保護定級工作(以下簡稱“定級工作”)。國家信息安全等級保護協調小組組長、公安部副部長張新楓,國務院信息化工作辦公室副主任、國家網絡與信息安全協調小組辦公室主任楊學山出席會議并講話。
張新楓指出,當前,我國信息安全面臨的形勢仍然十分嚴峻,維護國家信息安全的任務非常艱巨、繁重。隨著我國經濟的持續(xù)發(fā)展和國際地位的不斷提高,我國的基礎信息網絡和重要信息系統(tǒng)面臨的安全威脅及安全隱患比較嚴重,計算機病毒傳播和網絡非法入侵十分猖獗,網絡違法犯罪持續(xù)大幅上升,犯罪分子利用一些安全漏洞,使用黑客病毒技術、網絡釣魚技術、木馬間諜程序等新技術,進行網絡盜竊、網絡詐騙、網絡賭博等違法犯罪,給用戶造成嚴重損失。特別是“科技奧運”和“數字奧運”是2008年北京奧運會的一大亮點,網絡與信息安全已經成為事關北京奧運安全的重大問題之一。
張新楓強調,信息安全等級保護制度是國家信息安全保障工作的基本制度。為了加快推進信息安全等級保護工作,此前,公安部、國務院信息辦等部門已聯合出臺了有關信息安全等級保護工作的實施意見、管理辦法等相關文件。定級是等級保護工作的首要環(huán)節(jié),是開展信息系統(tǒng)建設、整改、測評、備案、監(jiān)督檢查等后續(xù)工作的重要基礎。此次定級工作的主要內容:一是開展信息系統(tǒng)基本情況的摸底調查,確定定級對象。二是信息系統(tǒng)主管部門和運營使用單位按照等級保護管理辦法和定級指南,初步確定定級對象的安全保護等級,請專家進行評審,并報經上級行業(yè)主管部門審批同意。三是信息系統(tǒng)安全保護等級為第二級以上的信息系統(tǒng)運營使用單位或主管部門到公安機關備案。公安機關和國家有關部門受理備案后,要對信息系統(tǒng)的安全保護等級和備案情況進行審核、管理。
會議由公安部公共信息網絡安全監(jiān)察局局長李昭主持,公安部公共信息網絡安全監(jiān)察局副局長、國家網絡與信息安全信息通報中心主任顧建國對定級工作作了具體說明。
信息安全等級保護辦法范文第3篇
關鍵詞:信息安全;等級保護;定級制度
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2017)03-0045-02
信息安全等級保護制度的建設,是隨著經濟建設和信息化建設的全面展開而進行的。對國家重要的信息系統(tǒng)等進行定級保護,可以提高信息系統(tǒng)的工作效率,在大數據、云計算的技術支持下,實現全系統(tǒng)的信息安全。為此國家多部門早已出臺多項關于信息安全的制度和規(guī)定,明確說明國家信息安全保障工作的基本制度之一就是信息安全等級保護制度。其工作流程包含定級、對級別的建設和整改、測評建設整改工作、向主管公安部門備案;監(jiān)管信息系統(tǒng)。其中首要階段的定級工作,是作為等級保護的起始,為后面四個階段的工作奠定基礎。
1 信息系統(tǒng)安全等級保護政策概述
我國在信息技術的浪潮退推動下,各行各業(yè)都在面臨信息化、智能化的轉型升級帶來的沖擊和挑戰(zhàn)。需要建設的信息化項目不斷增多,很多領域的業(yè)務都要采用網絡信息系統(tǒng)作為載體,因此,信息系統(tǒng)的數量和結構都在增加和復雜化,對信息進行等級保護就被提上了日程。
2008年,我國首部信息安全等級保護管理辦法由公安部下發(fā),信息系統(tǒng)有了等級的劃分,并且對信息系統(tǒng)的保護也有了明確的管理規(guī)定。2008年,信息系統(tǒng)安全等級保護定級上升到了國家級別的標準,擁有了定級指南,對于信息系統(tǒng)安全等級定級工作來說,意味著擁有了定級的方法和準則。2009年,關于整改信息安全等級保護工作的指導意見證實下發(fā),要求對信息安全等級保護的整改要按照測評工作的標準展開。這是第一次對信息安全等級保護測評體系的建設進行的規(guī)定。
2 信息系統(tǒng)的安全定級
在信息安全技術等級定級指南中,對于信息技術的重要性以及遭到破壞的危害性進行了詳細的闡述,從公共安全、社會利益、公民權益等幾個方面,將信息系統(tǒng)的安全等級劃分為五個等級:
第一級為當信息安全被侵犯,國家利益、公共安全等合法權益就會被損壞,但是國家安全、社會利益和公共秩序不會受到損害。
第二級為當信息安全被侵犯,公民的合法權益就會被侵害,但是國家安全不會受到破壞。
第三級為當信息系統(tǒng)受到侵犯后,社會秩序和公共利益被損壞,進而產生對國家安全的損害。
第四級是信息系統(tǒng)受到破壞,社會秩序、公共利益、國家安全都會受到特別嚴重的損傷。
第五級是信息系統(tǒng)受到侵犯,國家安全被特別嚴重地損壞。
3 當前信息系統(tǒng)安全定級中存在的問題
1)定級對象不明確是信息系統(tǒng)安全定級中的常見問題。當信息系統(tǒng)在相同的網絡環(huán)境中被按照獨立的系統(tǒng)進行定級時,多個定級對象會重復出現環(huán)境和設備。以機房的EPR系統(tǒng)和OA系統(tǒng)以及配套為例,系統(tǒng)中如果使用到網絡資源,就有可能產生相同的定級對象同時出現不同的網絡設備的情況。
2)根據安全信息國家定級指南中對安全保護等級的定級要求。當受侵害客體為國家、社會、公民安全以及組織法人的合法權益時,客體的侵害程度可以分為一般、嚴重、特別嚴重。這種分類是比較抽象的。需要進行具體的描述,但是從目前的發(fā)函情況看,對于危害程度的描述還是過于傾向于主觀判斷,因此對客觀情況的定級準確率不足,依據不足。
3)現有的定級報告皆是從模板中引用格式,參考定價指南,提供定級流程,引導結論的驗證。從下表我們可以大概地看到定級要素和安全保護等級的關系:
表1
[受侵害的客體\&一般損害\&嚴重損害\&特別嚴重的損害\&公民、法人和組織的合法權益\&第一級\&第二級\&第二級\&社會利益、公共秩序\&第二級\&第三級\&第四級\&國家安全\&第三級\&第四級\&第五級\&]
對于基礎數據的描述雖然也能顯示出關于信息安全系統(tǒng)定級的重要意義,但是從系統(tǒng)的客觀問題以及隨時可能出現威脅和侵害的現象角度觀察,很多關于信息安全等級定級的新方法還不能保證定級結果的準確性,很多定級報告不完善,缺乏依據,主觀判斷成分多,無法將信息安全系統(tǒng)的真實情況反映給決策層,對于工作的開展沒有好處。
4 等級保護流程
等級保護的工作是循環(huán)的、動態(tài)發(fā)展的。將等級保護工作視為循環(huán)性強的工作對于工作流程加以分析,最終得到的是等級保護工作的流程圖:
定級階段:系統(tǒng)劃分、等級確定;填寫表格;
初步備案階段:上報材料、專家評審,不符合安全等級規(guī)定的重新定級,最終進入初備案。
測評階段:選定機構、測評、出具報告;
整改階段:制訂方案、專家論證、提出整改措施并實施;
復評階段:對定級方案進行復評,得到最終的備案;
根據等級保護制度接受監(jiān)管的階段。
需要說明的是,等級保護工作的初始階段:定級工作可以采用自行定級的方法,也可以委托第三方機構進行監(jiān)管和測評。定級工作是所有階段工作的基礎。初備案階段有一個重新定級的環(huán)節(jié),主要是如果出現不公平、不公正或者定級不合格的情況,要對信息系統(tǒng)的等級評定工作進行復評選,并達到等級保護的要求,才能進行最終的備案。
5 信息安全定級方法
1)定流程是參照定級指南進行的,包括了業(yè)務信息和系統(tǒng)服務等內容。首先是確定定級對象,然后確定業(yè)務信息安全受到破壞和侵害的客體,以及系統(tǒng)服務安全受到破壞和侵害的客體。兩方面都要進行客體的侵害程度的評定,前者得出業(yè)務信息安全等級,后者得出系統(tǒng)服務安全等級,最后形成了定級對象的安全保護等級。
定級對象的選取根據定級指南的規(guī)定,具有一些特征,首先是擁有安全責任單位,第二是信息系統(tǒng)要素,第三是承載單一和獨立的業(yè)務。在定級對象的業(yè)務應用上應該擁有共享的機房基礎環(huán)境和網絡設備等,這樣就不會產生重復出現的定級對象。而且將物理環(huán)境、網絡資源等納入到信息系統(tǒng)中,形成具有單獨優(yōu)先定級權限的定級對象[1]。
對于受侵害的客體的損害程度的評分,要對危害后果等進行權重分析。參照的依據包括國家安全、社會利益、公眾秩序、公民法人和組織的權益。客體的侵害程度在定x和解釋上是簡單而抽象的,要對危害程度進行具體的描述,就要規(guī)避主觀判斷、依據不足的問題。對客體的侵害程度進行確定,是需要參考很多元素的,要得到一個準確的定量,可以采用評分表的方法對危害后果予以打分。
表2
[危害后果\&得分\&權重\&影響工作職能形式\&\&\&降低業(yè)務能力\&\&\&引起糾紛需要法律介入\&\&\&財產損失\&\&\&社會不良影響\&\&\&損害到組織和個人\&\&\&其他影響\&\&\&]
根據對表格中的打分得到的數值和權重的分析,可以得出定級對象被破壞后可能產生的危害以及后果。不存在危害的數值為0,有危害程度較輕的數值為1,有危害程度較高的為2,后果嚴重的為3。不同的信息系統(tǒng)在服務內容、范圍、對象上都不同,因此不同的得分和權重最能反映信息安全系統(tǒng)的實際情況。
確定安全保護等級是在所有流程結束后,得到的結論。這個結論包括客體對等級對象的侵害造成的危害,信息安全的保密性、可用性的情況,系統(tǒng)服務安全的及時性、有效性的問題等等。當業(yè)務信息安全和服務系統(tǒng)的客體侵害程度不同時,就要在定級過程中處理不同的危害后果。
2)定級表格的細化是為定級報告模板提供基礎數據,并保證信息安全系統(tǒng)穩(wěn)定可靠的重要保障。當系統(tǒng)內部問題導致其難以支撐定級結果后,采用系統(tǒng)定級的方法,就能夠將信息系統(tǒng)的情況記載道定級表中。定級表包括了定級系統(tǒng)的用戶情況以及定級系統(tǒng)的業(yè)務職能等情況,例如在行業(yè)和部門內的地位和作用。定級系統(tǒng)需要有備份系統(tǒng)作為應急措施,保證定級系統(tǒng)在關聯系統(tǒng)受到破壞后不會受到數據傳遞等的影響。
6 案例分析
按照等級保護工作測評和定級的規(guī)定,確定信息系統(tǒng)的等級。某政府網站信息系統(tǒng)包括的板塊為:政務公開、地方行政、法制建設、管理措施、領導講話、網上辦事大廳、新聞動態(tài)、政府公告、舉報建議等,還專門開辟了一個下載板塊,方便下載有用的電子表單加以填報。
在這個政府網站的信息系統(tǒng)中,制訂了符合信息安全等級保護定級指南的流程和標準,通過分析,判斷,研究等流程確定定級的系統(tǒng)。該網站的擁有者設立的專門的政府網站平臺,由指定部門確定相關資料的搜集、采集、整理的過程方案。在這套流程中,信息生產者為企業(yè),產生的資料是信息,管理信息的手段是利用科學技術,對外承擔政務信息,擁有獨立的業(yè)務,如辦事流程、新聞會等。將各類任務的環(huán)境加以構建,就形成了政府網站中具有基本特征和要素的定級對象。對定級客體的邀請,要采取分析的方法,確保信息系統(tǒng)內的保密性和可用性。實際操作中只要能夠保證信息的完整性和通用性,又增強了制作、、管理的職能建設,激發(fā)出參與者的完整性和保密性。提高可用概率。而系統(tǒng)服務安全有力地支撐著系統(tǒng)安全運行,并為信息安全系統(tǒng)提供有效的服務,達到地方網站發(fā)揮在定級中的作用,幫助提供服務,滿足消費者的需求。采用了這種方法,網站信息系統(tǒng)的業(yè)務信息安全和系統(tǒng)服務安全都將是今后在企業(yè)運用中需要特別加以注意的。
例如:對于受侵害的客體,必須說明客體的情況,是否受到法律保護,等級保護中牽扯到的社會關系和合法權益。尤其是針對信息系統(tǒng)的客體的先后順序進行判斷,結合政府平臺,實施政務信息公開。如果做不到政務信息公開,政府就要設置管理界限,發(fā)揮人的主觀能動性,在知情權、業(yè)務能力、投訴與批評等階段加大業(yè)務辦理力度,最大可能地維護法人和代表組織的知情權,排棄受到破壞的客體,法人由于難以摻入個人組織中,直接投訴合法的法律法規(guī),由于業(yè)務施工的進度過快,環(huán)節(jié)紛繁眾多[2]。再由于受損教育可以對客體的積極主動性。方便法人和組織知情、辦理業(yè)務、舉報、投訴等。
對于客體造成的侵害進行后果的分析,無論是大型門戶網站,還是在金融政策引領下,親自感受到客體檢查結果的影響,如信息安全管理等,都要注重網絡平臺的臨時性。
7 結束語
要做好信息系統(tǒng)的安全保護等級的確定,就要采取正確的 (下轉第51頁)
(上接第46頁)
策略以及方法,對信息安全管控產生依賴,保護過程中采取正確的策略和方法,等等。信息系統(tǒng)、安全等級保護不足的問題,都要求管理覺決策層加熬煮。在實際運行中,還要以定級指南為指導,綜合信息系統(tǒng)的業(yè)務特征,切實推動信息技術等級保護工作的大力發(fā)展。
參考文獻:
信息安全等級保護辦法范文第4篇
本文重點在結合信息安全等級的要求與IDS本身結構的優(yōu)缺點,對信息安全策略進行分析,構建滿足五級信息安全保護能力的入侵檢測系統(tǒng)。
關鍵詞:入侵檢測,信息安全
1.信息安全等級
信息安全等級保護是我國信息安全保障工作的綱領性文件(《國家信息化領導小組關于加強信息安全保障工作的意見》)(中辦發(fā)[2003]27號)提出的重要工作任務[1],其基本原理是,不同的信息系統(tǒng)有不同的重要性,在決定信息安全保護措施時,必須綜合平衡安全成本和風險。
2007年6月,公安部的《信息安全等級保護管理辦法》規(guī)定,根據信息系統(tǒng)在國家安全、經濟建設、社會生活中的重要程度,其遭受破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等,其安全等級由低到高劃分為五級,其等級劃分原則如表1.1所示:
表1.1 安全等級劃分原則
不同安全等級的信息系統(tǒng)應該具備相應的基本安全保護能力,其中第四級安全保護能力是應能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊,嚴重的自然災害,以及其他相當維護程度的威脅所造成的資源損害,能夠發(fā)現安全漏洞和安全相關事件,在系統(tǒng)遭到損害后,能夠迅速恢復所有功能;第五級安全保護能力是在第四級安全的安全保護能力的基礎上,由訪問控制監(jiān)視器實行訪問驗證,采用形式化技術驗證相應的安全保護能力確實得到實現。
2.IDS主要功能
入侵檢測:通過對行為、安全日志、審計數據或其他網絡上可以獲得的信息進行操作,檢測到對系統(tǒng)的闖入或者闖入的企圖[2]。(國標GB/T 18336)
入侵檢測系統(tǒng)的主要功能:
檢測并分析用戶和系統(tǒng)的活動,查找非法用戶和合法用戶的越權操作;檢查系統(tǒng)配置和漏洞,并提示管理員修補漏洞。(由安全掃描系統(tǒng)完成)、評估系統(tǒng)關鍵資源和數據文件的完整性;識別已知的攻擊行為;統(tǒng)計分析異常行為;操作系統(tǒng)日志管理,并識別違反安全策略的用戶活動等;
成功的入侵檢測系統(tǒng),應該達到的效果:可以使系統(tǒng)管理員時刻了解網絡系統(tǒng)(軟件和硬件)的任何變更,能給網絡安全策略的制定提供依據;管理配置簡單,使非專業(yè)人員非常容易地獲得網絡安全。入侵檢測的規(guī)模還應根據網絡規(guī)模、系統(tǒng)構造和安全需求的改變而改變。入侵檢測系統(tǒng)在發(fā)現入侵后,能及時作出響應,包括切斷網絡連接、記錄事件和報警等。
圖2.1入侵檢測系統(tǒng)結構圖
3.IDS類別
由于IDS的模型多樣化,IDS的類別也表現出較為復雜的情況,但是當前通常將入侵檢測按照分析方法和數據來源來進行分類[3]。
3.1按照分析方法(檢測方法)
異常檢測模型(Anomaly Detection):首先總結正常操作應該具有的特征(用戶輪廓),當用戶活動與正常行為有重大偏離時即被認為是入侵。
誤用檢測模型(MisuseDetection):收集非正常操作的行為特征,建立相關的特征庫,當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時,系統(tǒng)就認為這種行為是入侵。
3.2按照數據來源
基于主機的IDS:系統(tǒng)獲取數據的依據是系統(tǒng)運行所在的主機,保護的目標也是系統(tǒng)運行所在的主機;檢測的目標主要是主機系統(tǒng)和系統(tǒng)本地用戶。檢測原理是根據主機的審計數據和系統(tǒng)的日志發(fā)現可疑事件,檢測系統(tǒng)可以運行在被檢測的主機或單獨的主機上。
圖3.1基于主機的IDS結構圖
基于網絡的IDS:系統(tǒng)獲取的數據是網絡傳輸的數據包,保護的是網絡的運行;根據網絡流量、協議分析、單臺或多臺主機的審計數據檢測入侵。
圖3.2 基于網絡的IDS結構圖
探測器由過濾器、網絡接口引擎器以及過濾規(guī)則決策器構成,探測器的功能是按一定的規(guī)則從網絡上獲取與安全事件相關的數據包,傳遞給分析引擎器進行安全分析判斷[4]。
分析引擎器將從探測器上接收到的包并結合網絡安全數據庫進行分析,把分析的結果傳遞給配置構造器。
配置構造器按分析引擎器的結果構造出探測器所需要的配置規(guī)則。
分布式IDS:
傳統(tǒng)的集中式IDS的基本模型是在網絡的不同網段放置多個探測器收集當前網絡狀態(tài)的信息,然后將這些信息傳送到中央控制臺進行處理分析。
分布式結構采用了本地主體處理本地事件,中央主體負責整體分析的模式。
3.3 IDS的局限性
對于大規(guī)模的分布式攻擊,中央控制臺的負荷將會超過其處理極限,這種情況會造成大量信息處理的遺漏,導致漏警率的增高[5]。
多個探測器收集到的數據在網絡上的傳輸會在一定程度上增加網絡負擔,導致網絡系統(tǒng)性能的降低[6]。
由于網絡傳輸的時延問題,中央控制臺處理的網絡數據包中所包含的信息只反映了探測器接收到它時網絡的狀態(tài),不能實時反映當前網絡狀態(tài)[7]。
4.五級安全防護能力IDS構建
根據公安部《信息安全等級保護管理辦法》,五級安全防護能力需要具備四級安全防護的漏洞發(fā)現和入侵檢測能力,同時需要由訪問控制監(jiān)視器實現對訪問的及時驗證,保證杜絕未授權用戶的非法訪問。
與此同時,如何解決因為網絡時延而導致的數據分析的延后,以及解決探測器在網絡傳輸中造成的網絡負擔,提高網絡系統(tǒng)性能的同時保證中央控制臺的高效運轉,是當前IDS需要重點研究的問題。
當前IDS的結構中入侵檢測和數據安全審計是兩個不同的模塊,入侵檢測系統(tǒng)將檢測數據提交給安全審計模塊,對入侵行為的確認是由安全審計模塊進行的[8]。因此在成本可接受的范圍內,如果將審計模塊和檢測模塊結合,并且將分布式IDS的每一個檢測終端都由一個獨立處理單元來進行基本的檢測,只將較為復雜的數據提交給中央控制臺,這樣即減輕了網絡傳輸的壓力,也有利于中央控制臺更加高效運轉。將每一個獨立處理單元命名為一個agent,每個agent的結構如下圖所示:
5.結束語
本文介紹了信息安全等級的分類依據,在對IDS系統(tǒng)的類別和局限性進行分析的基礎上,對滿足五級信息安全防護能力的入侵檢測系統(tǒng)進行了基本構建,探討通過對分布式IDS終端處理單元的結構和防范策略進行調整,研究對IDS存在主要問題的處理策略。
參考文獻
[1] 高永強,羅世澤.網絡安全技術與應用大典[M].北京:人民郵電出版社,2003:15-16.
[2] 盛思源,戰(zhàn)守義,石耀斌.基于數據挖掘的入侵檢測系統(tǒng)[J].計算機工程,2003,28(3).
[3] 胡振昌.網絡入侵檢測原理與技術[M].北京:北京理工大學出版社,2006
[4] 唐正軍,李建華.入侵檢測技術[M].北京:清華大學出版,2004.
[5] 程伯良,周洪波,鐘林輝.基于異常與誤用的入侵檢測系統(tǒng)[J].計算機工程與設計.2007,28(14)
[6] 胥小波,蔣琴琴.基于混沌粒子群的IDS告警聚類算法[J].通信學報.2013,34(3)
信息安全等級保護辦法范文第5篇
關鍵詞:衛(wèi)生系統(tǒng)門戶網站;網站群運維監(jiān)測平臺;信息安全等級保護;網站運營;門戶網站健康性
中圖分類號:TP311 文獻標識碼:A 文章編號:1009-3044(2016)16-0122-02
浙江省衛(wèi)生廳、浙江省公安廳聯合下發(fā)文件《關于做好全省醫(yī)療衛(wèi)生行業(yè)重要信息系統(tǒng)信息安全等級保護工作的通知》對全省醫(yī)療衛(wèi)生行業(yè)重要信息系統(tǒng)提出高度重視信息安全等級保護工作、明確工作職責,建立工作機制等重要要求。同時為加強浙江省醫(yī)療衛(wèi)生系統(tǒng)網站的運維和管理,提高醫(yī)療衛(wèi)生系統(tǒng)網站運行質量,經研究決定開展浙江省醫(yī)療衛(wèi)生系統(tǒng)網站群運維監(jiān)測平臺(以下簡稱運維監(jiān)測平臺)的建設工作。基于互聯網搭建,集“訪問分析、健康診斷、實時監(jiān)控、績效考核”四大功能于一體,實現對醫(yī)療衛(wèi)生系統(tǒng)門戶網站的網頁差錯、信息更新量、訪問流量和可用性進行統(tǒng)一診斷、檢測和分析。截止四月底,浙江省衛(wèi)生系統(tǒng)網站評測針對全省276個預參評網站實現過半數的檢測,其中包括行政類(103個,含新增2個),委直屬單位(11個,含新增3個),監(jiān)督所(12個),疾控中心(12個),醫(yī)院(138個,含新增12個)
衛(wèi)生系統(tǒng)門戶網站建設及運維需在實現日常網站內容分享及告知功能外,更合理的設計信息安全、健康等方面的環(huán)節(jié),以確保門戶正常合理運營。針對實際需求,醫(yī)院類門戶網站關注重點主要包含:健康情況、院務公開、醫(yī)療服務、互動交流、訪問量、網站設計與用戶體驗、安全管理。
1 健康情況
針對“站點可用性”、“首頁更新”、“鏈接可用性”、“欄目維護情況”4個指標中的每個網站各按標準分100分采樣后加權折算,得出健康情況總和得分,以評定出站點可用性及用戶操作通暢性體驗描述。
2 院務公開
針對“概況信息”,“ 院務信息”,“ 行風廉政建設”,“ 院務動態(tài)”,“ 信息保障”4個指標欄目完整性 加以評測。詳細欄目見附圖1
3 醫(yī)療服務
針對“健康服務”,“ 科室服務”,“ 專家服務”,“ 就醫(yī)指南”,“ 查詢服務” 5個指標欄目完整性加以評測。詳細欄目見表1。
4 互動交流
針對“醫(yī)院信箱”,“ 信件反饋”,“ 在線調查”等功能完整性、可操作性、功能介紹完整性加以評定,并承諾時限超過10個工作日或未提供承諾時限的要求在10個工作日內給予反饋。
5 訪問量
同一時間段內網站的訪問量。
6 網站設計與用戶體驗
針對“頁面布局”,“ 欄目設置”,“ 檢索功能”,“ 網站導航”,“ 輔助信息”,“ 網站使用幫助”,“ 頁面相關度”,“ 網站群標識”等方面對用戶實用性加以評定。
7 安全管理
1)組織機構、組織領導、制度保障設置完整
2)等級保護,公安廳(局)進行備案,有備案證書
3)安全檢測,檢查網站是否被掛馬、SQL 注入、XPath注入攻擊、源碼泄露、web漏洞等到安全隱患。
7.1 主機安全
7.1.1 操作系統(tǒng)
1)門戶網站服務器都未對登錄口令進行復雜度限制且無登錄失敗處理功能,容易產生較弱的登錄口令,非授權人員可通過無限制的嘗試暴力破解,會導致系統(tǒng)被非授權訪問;
2)門戶網站服務器未對默認賬戶administrator進行修改,非授權人員可跳過猜測用戶名的步驟直接嘗試暴力破解密碼,加大了登錄口令被破解的可能性,使系統(tǒng)被非授權訪問;
3)門戶網站服務器的日志審計范圍未包括部分重要安全相關事件,審計內容不完善,不利于管理員對重要歷史事件進行追溯;
4)門戶網站服務器日志空間過小,可能導致重要的日志信息被未預期的刪除或覆蓋等,降低了審計記錄的可信度,也不利于事故時對重要歷史事件進行追溯處理;
5)門戶網站服務器未對操作系統(tǒng)補丁進行及時的更新,可能導致產生較多的系統(tǒng)漏洞,增加了操作系統(tǒng)被入侵的風險;
6)門戶網站服務器未對遠程登錄地址進行限制,可能導致非授權人員通過遠程連接登錄系統(tǒng),使系統(tǒng)被非授權訪問;
7.1.2 數據庫
1)數據庫未對登錄口令進行復雜度限制容易產生較弱的登錄口令,非授權人員可能暴力破解,會導致數據庫被非授權訪問;
2)數據庫未設置超時鎖定功能,可能導致數據庫被非授權訪問;
3)數據庫未限制單個用戶對數據庫資源的最大或最小使用限度,可能因某些用戶占用數據庫過多的資源,導致其他用戶的重要服務得不到及時響應和處理。
7.2 數據及備份恢復
7.3 管理安全
在CGI中限制用戶提交數據的長度。對用戶輸入的數據進行合法性檢查,只允許合法字符通過檢測。對于非字符串類型的,強制檢查類型;字符串類型的,過濾單引號。WEB程序調動低權限的sql用戶連接,勿用類似于dbo高權限的sql 賬號。細化Sql用戶權限,限定用戶僅對自身數據庫的訪問控制權限。使用Web應用防火墻來加固整個網站系統(tǒng)。
參考文獻:
[1] 浙江省醫(yī)療衛(wèi)生行業(yè)信息安全等級保護工作實施方案[Z].
[2] 浙江省衛(wèi)生行業(yè)信息系統(tǒng)安全等級保護定級工作指導意見[Z].
[3] 關于做好全省醫(yī)療衛(wèi)生行業(yè)重要信息系統(tǒng)信息安全等級保護工作的通知[Z].
[4] 浙江省政府網站日常運維監(jiān)測實施辦法(浙政辦發(fā)〔2012〕50號)[Z].
[5] 中華人民共和國國家質量監(jiān)督檢驗檢疫總局, 中國國家標準化管理委員會. GB/T 22239-2008信息安全技術 信息系統(tǒng)安全等級保護基本要求[S]. GB/T 22239-2008, 北京: 中國標準出版社.
[6] 中華人民共和國國家質量監(jiān)督檢驗檢疫總局. GB/T 25058-2010信息安全技術信息系統(tǒng)安全等級保護實施指南[S]. 北京: 中國標準出版社.
