網絡安全等級保護測評方法
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇網絡安全等級保護測評方法范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
網絡安全等級保護測評方法范文第1篇
[關鍵詞] 信息等級保護概述;中國石油;等級保護建設
[中圖分類號] TP391;X913.2 [文獻標識碼] A [文章編號] 1673 - 0194(2013)05- 0057- 02
1 信息等級保護制度概述
信息安全等級保護制度是國家信息安全保障工作的基本制度,是促進信息化健康發展的根本保障。其具體內容包括:①對國家秘密信息,法人和其他組織及公民的專有信息以及公開信息,存儲、傳輸、處理這些信息的信息系統實行分等級安全保護、分等級監管;②對信息系統中使用的信息安全產品實行按等級管理;③對信息系統中發生的信息安全事件分等級響應、處置。信息安全等級保護配套政策體系及標準體系如圖1、圖2所示。
定條件的測評機構開展等級測評;④建設整改:備案單位根據信息系統安全等級,按照國家政策、標準開展安全建設整改;⑤檢查:公安機關定期開展監督、檢查、指導。
2 中國石油信息安全等級保護制度建設
中國石油信息化建設處于我國大型企業領先地位,在國資委歷年信息化評比中都名列前茅。2007 年全國開展信息安全等級保護工作之后,中國石油認真貫徹國家信息安全等級保護制度各項要求,全面開展信息安全等級保護工作。逐步建成先進實用、完整可靠的信息安全體系,保障信息化建設和應用,支撐公司業務發展和總體戰略的實施,使中國石油的信息安全保障能力顯著提高。主要采取的措施有以下幾個方面:
(1)以信息安全等級保護工作為契機 , 全面梳理業務系統并定級備案。中國石油根據國家信息安全等級保護制度要求,建立自上而下的工作組織體系,明確信息安全責任部門,對中國石油統一建設的應用系統進行等級保護定級和備案,通過制定《中國石油天然氣集團公司重要信息系統安全等級保護定級實施暫行意見》,加強桌面安全、網絡安全、身份認證等安全基礎防護工作,加快開展重要信息系統的等級測評和安全建設整改工作,進一步提高信息系統的安全防御能力,提高系統的可用性和安全性。在全面組織開展信息系統等級保護定級備案工作之后,聘請專業測評機構,及時開展等級測評、安全檢查和風險評估工作,并通過等級測評工作查找系統的不足和安全隱患,制訂安全整改方案,開展安全整改和加固改造,保障信息系統持續安全穩定運行。
(2)以信息安全等級保護工作為抓手 , 全面推動中國石油信息安全體系建設。中國石油以信息安全等級保護工作為抓手,完善信息安全整體解決方案,建立技術保障體系、管理保障體系和控制保障體系。采用分級、分域的縱深防御理念,將桌面安全、身份認證、網絡安全、容災等相關技術相互結合,建立統一的安全監控平臺和安全運行中心,實現對應用系統的授權訪問、桌面計算機的安全控制、網絡流量的異常監控、惡意軟件與攻擊行為的及時發現與防御、業務與數據安全保障等功能,顯著提高抵御外部和內部信息安全威脅的能力。建立了總部、區域網絡中心、企事業單位三級信息系統安全運維隊伍;采用集中管理、分級維護的管理模式,網絡與安全運維人員采用授權方式,持證上崗,建立網絡管理員、安全管理員和安全審計員制度;初步建立起中國石油內部信息安全風險評估隊伍,并于 2010 年完成地區公司的網絡安全風險評估工作。
(3)建立重要信息系統應急處置預案,完善災難恢復機制。2008 年,中國石油了《網絡與信息安全突發事件專項應急預案》,所有業務系統、網絡管理、安全管理等都建立了應急響應處置預案和災備系統,保障業務系統在遭遇突發事件時,能快速反應并恢復業務系統可用性。通過災難恢復項目研究,形成了現狀及風險分析、災難恢復等級劃分、災備部署策略分析和災備部署方案四步法,劃分了信息系統災難恢復等級,完善了災難恢復機制。
(4)規劃信息安全運行中心,建立重要信息系統安全監控機制。中國石油規劃了信息安全運行中心的建設方案,提出了信息安全運行中心建設目標,通過網絡運行狀態、安全信息數據匯集、安全監測分析功能和安全管理流程的有機整合,實現中國石油 信息安全狀況的可感知、可分析、可展示、可管理和可指揮,形成中國石油信息安全事件分析、風險分析、預警管理和應急響應處理一體化的技術支撐能力;通過完善安全運行管理體系,將安全運行管理組織、安全運維管理流程和安全監測預警系統三方面有機結合,實現事前預警防范、事中監控處置、事后追溯定位的信息安全閉環運行機制,形成中國石油統一的應急指揮與協調調度能力,為中國石油信息安全保障奠定良好的基礎。
3 信息安全等級保護工作存在的不足及改進建議
信息安全等級保護管理辦法 (公通字[2007]43號)正式標志著全國范圍內的信息安全等級保護工作開始,通過5年的努力,全國信息安全工作形成了以落實信息安全等級保護制度為核心,信息通報、應急處理、技術研究、產業發展、網絡信任體系和標準化建設等工作快速發展的良好局面,重要行業部門的信息安全意識、重視程度、工作能力有了顯著提高。40余個重要行業出臺了100余份行業等級保護政策文件,20余個重要行業出臺了40余份行業等級保護標準,但同時存在著以下不足:
(1)對信息安全工作的認識不到位,對重要信息系統安全保護缺乏應有的重視。依據公安部相關資料統計,截至2012年6月,我國有18%的單位未成立信息安全工作領導機構;21%的單位未落實信息安全責任部門,缺乏信息安全整體規劃;14個行業重要信息系統底數不清、安全保護狀況不明;12個行業未組織全行業信息安全專門業務培訓,開展信息安全工作的思路和方法不得當,措施不得力。20%的單位在信息系統規劃過程中,沒有認真制定安全策略和安全體系規劃,導致安全策略不得當;22%的信息系統網絡結構劃分不合理,核心業務區域部署位置不當,業務應用不合理,容易導致黑客入侵攻擊,造成網絡癱瘓,數據被竊取和破壞。34.6%的重要信息系統未配置專職安全管理人員,相關崗位設置不完整,安全管理人員身兼多職;48%的單位信息安全建設資金投入不足,導致重要信息系統安全加固和整改經費嚴重缺乏;27%的單位沒有針對安全崗位人員制訂相關的培訓計劃,沒有組織開展信息安全教育和培訓,安全管理、運維技術人員能力較弱。
(2)重要信息系統未落實關鍵安全保護技術措施。重要信息系統未落實安全審計措施。在主機層面,有34.9%的信息系統沒有保護主機審計記錄,34.8%的信息系統沒有保護主機審計進程,容易導致事故責任無法認定,無法確定事故(事件)原因,影響應急處理效率。38%的信息系統沒有落實對重要系統程序和文件進行完整性檢測和自動恢復的技術措施,35%的信息系統沒有采取監測重要服務器入侵行為的技術措施,容易使內部網絡感染病毒,對攻擊行為無法進行有效監測和處置。
(3)我國信息技術與國外存在一定差距,安全專業化服務力量薄弱。具有我國自主知識產權的重要信息技術產品和核心技術水平還有待提高,依賴國外產品的情況還比較普遍;國內信息安全專業化服務力量薄弱,安全服務能力不強,部分重要信息系統的關鍵產品維護和系統運維依賴國外廠商,給重要信息系統安全留下了隱患。
為了有效提高我國企業信息安全水平,增加等級保護的可行性及執行力,建議:①各企業開展以信息安全等級保護為核心的安全防范工作,提高網絡主動防御能力,并制訂應急處置預案,加強應急演練,提高網絡應急處置能力。②加大人員和資金投入,提高保障能力。③國家層面加快關鍵技術研究和產品化,重視產品供應鏈的安全可控。
主要參考文獻
[1]中國石油天然氣集團公司. 中國石油天然氣集團公司全面開展信息安全等級保護工作為信息化建設保駕護航[J].信息網絡安全,2012(1).
網絡安全等級保護測評方法范文第2篇
關鍵詞:事業單位;網絡安全等級保護;部署建議
0引言
網絡安全等級保護制度是保障各事業單位網絡安全的重要方法,通過進行網絡安全分級保護,可以高效解決目前事業單位所面臨的網絡安全問題,按照“重點優先”的思想,將資源有的放矢地投入到網絡安全建設中,有助于快速夯實網絡安全等級保護的基礎。
1網絡安全等級保護定義
網絡安全等級保護是指對單位內的秘密信息和專有信息以及可以公開的信息進行分級保護,對信息系統中的防火墻進行分級設置,對產生的網絡安全事件建立不同的響應機制。這種保護制度共分為五個級別:自主保護、指導保護、監督保護、強制保護、專控保護。不同的信息擁有不同的機密性,就會有相應的安全保護機制。近期,網絡安全等級保護制度2.0國家標準正式,這對加強網絡安全保衛工作、提升網絡能力具有重大意義。
2網絡安全等級保護現狀分析
按照新的網絡安全等級保護要求,絕大多數單位在網絡安全技術和管理方面存在差距和盲點,網絡安全保障體系仍需完善。主要表現在以下幾個方面:(1)網絡安全管理工作有待進一步加強在網絡安全管理制度方面存在不夠完善,對信息資產管理、服務外包管理等缺乏網絡安全方面有關要求。未建立體系化的內部操作規程,而且對網絡安全管理和技術人員專業技能培訓相對較少,網絡安全等級保護的定級、備案及測評等未開展。運維工作的部分操作不規范,隨意性較強,對網絡、系統安全穩定運行造成風險。(2)網絡架構存在安全隱患和較為明顯的脆弱性有的內網連接,雖部署了防火墻進行網絡訪問控制,但是部分防火墻缺乏安全配置及管理,訪問控制策略不嚴格,同時某些單位內部網絡也缺乏分區和邊界控制措施,無法限制非授權用戶接入內網和授權用戶濫用授權違規外聯外網的行為,部分單位發現終端跨接內外網的現象,導致整個單位的內網存在“一點接入,訪問全網,攻擊全網”的安全風險。(3)主機計算環境抵御攻擊能力較低主機服務器未及時更新系統安全補丁,導致存在比如MS17-010(永恒之藍)、弱口令等高危漏洞;部分服務器未部署防病毒軟件、病毒庫未更新,沒有惡意代碼防范措施,部分單位的終端感染木馬病毒,一旦被利用,可能導致內部服務器主機大面積感染惡意程序等事件發生。(4)應用系統安全防范措施缺失有的運行在內網應用系統,存在高風險安全漏洞;在應用系統身份鑒別、數據完整性、保密性保護等方面存在策略配置不足問題,結合其他安全風險,會帶來系統服務安全、數據安全等較嚴重的安全問題。(5)數據安全保護能力不足有的未對專網的重要數據進行分級分類管理,數據安全保護措施缺失,專網中的數據庫普遍存在弱口令、遠程代碼執行漏洞等高危安全漏洞,極易被攻擊利用,大量的業務數據和敏感信息存在較高的安全風險。(6)物理安全基礎保障欠缺有的機房未對進出人員進行鑒別登記,易造成機房遭受惡意人員破壞,存在安全風險。有的機房未部署門禁系統,未安裝防盜報警系統等進行盜竊防護。
3網絡安全等級保護部署建議
3.1構建等保系統框架
根據安全等級保護的總體思想,提出如圖1的網絡安全管理體系架構。“總體安全策略”處于網絡安全管理體系的最高層級,是單位網絡安全管理體系的首要指導策略。“安全管理組織框架”位于網絡安全管理體系的第二層,負責建立該單位網絡安全管理組織框架。它既確保了信息系統運行時資料不會被泄露,也塑造了一個能穩定運行信息系統的管理體系,保證網絡安全管理活動的有效開展。“安全管理制度框架”位于網絡安全管理體系的第三層,分別從安全管理機構及崗位職責、信息系統的硬件設備的安全管理、系統建設管理、安全運行管理、安全事件處置和應急預案管理等方面提出規范的安全管理要求。網絡安全管理體系的第四層描述的是如何進行規范配置和具體的操作流程以及如何對運行活動進行記錄。從日常安全管理活動的執行出發,對主要安全管理活動的具體配置、操作流程、執行規范等各種各樣的安全管理活動做出具體操作指示,指導安全管理工作的具體執行[1]。
3.2劃分安全域
根據安全等級保護系統總體架構,重新劃分網絡安全域。各安全域安全管理策略應遵循統一的基本要求,具體如下:(1)保證關鍵網絡設備的業務處理能力滿足高峰期業務需求,通過網絡拓撲結構設計,避免存在網絡單點故障。(2)部署高效的防火墻設備,防止包括DDOS在內的各類網絡攻擊;在通信網絡中部署IPS、入侵檢測系統、監控探針等,監視各種網絡攻擊行為。(3)在關鍵位置部署數據庫審計系統,對數據庫重要配置、操作、更改進行審計記錄。(4)對于每一個訪問網絡的用戶將會進行身份驗證,確保配置管理的操作只有被賦予權限的網絡管理員才能進行[2]。(5)部署流量檢測設備,通過Flow采集技術,建立流量圖式基線,根據應用情況控制和分配流量。(6)增加除口令以外的技術措施,實現雙因素認證[3]。(7)如需遠程管理網絡設備和安全設備,應采用加密方式,避免身份鑒別信息在網絡傳輸過程中被竊取。(8)能夠及時有效阻斷接入網絡的非授權設備。
3.3控制安全邊界
基于部署的網絡安全軟硬件設備,設置相應的安全規則,從而實現對安全邊界的控制管理。主要安全策略包括:(1)互聯網區域應用安全:必須經過邊界防火墻的邏輯隔離和安全訪問控制。(2)專網區域應用安全:對于訪問身份和訪問權限有明顯界定,必須經過邊界防火墻的邏輯隔離和安全訪問控制,其他區域和用戶都不允許直接訪問。(3)互聯網區域數據安全:只允許外部應用域的應用服務器訪問,其他區域用戶不能直接訪問。對數據域的訪問受到訪問身份和訪問權限的約束,必須經邊界防火墻的邏輯隔離和安全訪問控制。(4)專網區域數據安全:只允許內部應用域的應用服務器訪問,其他區域和用戶都不允許直接訪問。要訪問也必須具有受信的訪問身份和訪問權限。(5)互聯網區域和專網區域交互安全:對于內外部之間的信息交互,采用數據擺渡和應用協議相結合的方式進行,嚴格控制雙網之間存在TCP/IP協議以及其他網絡協議的連接。(6)開發測試安全:開發測試域作為非信任區域,要求只能在受限的前提下進行網絡訪問,必須經過邊界防火墻的邏輯隔離和安全訪問控制。(7)密碼應用安全:所有涉及密碼應用的網絡安全設備,所采用的密碼算法必須為國密算法。(8)統一安全管理:防火墻、IDS、IPS、防病毒網關、網絡安全審計和數據庫安全審計系統的日志統一發送到安全管理區的安全管理平臺進行分析。(9)終端安全管理:辦公設備統一部署終端安全管理系統,并能夠有效管理終端安全配置,準入控制、防病毒功能,以及系統補丁升級。(10)設備知識產權:所涉及網絡安全設備的,必須是具有國產知識產權。
4總結
網絡安全等級保護工作事關重大,它是一個系統工程,需要各級人員多方面的協調合作。只有盡快補齊安全防護短板,才能切實提高一個單位的安全支撐能力、安全檢測能力、安全防護能力、應急響應能力和容災恢復能力,從而更好地保障一個單位網絡安全建設的可持續發展。
參考文獻
[1]歐陽莎茜.運用大數據制定園區安全環保用電策略的實例分析[D].西南交通大學,2017.
網絡安全等級保護測評方法范文第3篇
關鍵詞:電子政務外網;等級保護測評;風險評估;風險評估模型
中圖分類號:TP311 文獻標識碼:A 文章編號:1009-3044(2014)34-8337-02
1 等級保護背景下的電子政務外網風險評估
電子政務外網提供非的社會公共服務業務,全國從中央各部委、到省、市、縣,已經形成了一張大龐大的網絡系統,有的地方甚至覆蓋到了鄉鎮、社區村委會,有效提高了政府從事行政管理和社會公共服務效率。今后凡屬社會管理和公共服務范疇及不需在國家電子政務內網上部署的業務應用,原則上應納入國家政務外網運行,它按照國家政務外網統一規劃,建立網絡安全防護體系、統一的網絡信任體系和信息安全等級保護措施。
隨著政務外網的網絡覆蓋的擴大及接入的政務單位越來越多、政務外網應用的不斷增加,各級政務移動接入政務外網的需求也在增加,對政務外網的要求和期望越大,網絡安全和運維的壓力也越大,責任也更大。由于政務外網與互聯網邏輯隔離,主要滿足各級政務部門社會管理、公共服務、市場監管和經濟調節等業務應用及公務人員移動辦公、現場執法等各類的需要,網絡和電子政務應用也成為境外敵對勢力、黑客等攻擊目標。隨著新技術的不斷涌現和大量使用,也對電子政務外網網絡的安全防護、監控、管理等帶來新的挑戰。按照國家政務外網統一規劃,建立網絡安全防護體系、統一的網絡信任體系和信息安全等級保護措施是必須的。
為保障電子政務外網的安全有效運行,我們應以風險管理理念來統籌建設網絡和信息安全保障體系。在國家信息系統安全等級保護的大背景下,2011年國家信息中心下發了《關于加快推進國家電子政務外網安全等級保護工作的通知》,強化了電子政務外網的等級保護制度以及等級測評要求,要求對政務外網開展等級測評,全面了解和掌握安全問題、安全保護狀況及與國家安全等級保護制度相關要求存在的差距,分析其中存在的安全風險,并根據風險進行整改[1]。
系統安全測評、風險評估、等級測評都是信息系統安全的評判方法[2,3],其實它們本沒有本質的區別,目標都是一樣的,系統安全測評從系統整體來對系統的安全進行判斷,風險評估從風險管理的角度來對系統的安全狀況進行評判,而等級測評則是從等級保護的角度對系統的安全進行評判。不管是系統安全測評[1]、風險評估、等級測評,風險的風險與計算都是三者必不可少的部分。
2 電子政務主要風險評估方法簡介
電子政務外網風險評估有自評估、檢查評估、第三方評估(認證)評估模式,都需利用一定的風險評估方法來進行相關風險的評估。從總體上來講,主要有定量評估、定性評估兩類。在進行電子政務系統信息安全風險評估過程中,采用的主要風險評估方法有:OCTAVE、SSE-CMM、FAT(故障樹方法)、AHP (層次分析)以及因素分析法、邏輯分析法、德爾菲法、聚類分析法、決策樹法、時許模型、回歸模型等方法。研究風險評估模型的方法可以運用馬爾可夫法、神經網絡、模糊數學、決策樹、小波分析等[4-6]。OCTAVE 方法是一個系統的方法,它從系統的高度來進行信息安全的安全防護工作,評估系統的安全管理風險、安全技術風險,它提高了利用自評估的方式制定安全防范措施的能力。它通過分析重要資產的安全價值、脆弱性、威脅的情況,制定起風險削減計劃,降低重要資產的安全風險。電子政務外網需要從實際出發,不能照搬其它評估方法,根據電子政務外網實際,本設計基于OCTAVE 評估模型,設計了一個電子政務外網風險分析計算模型。
3 基于OCTAVE模型的一個電子政務外網風險計算模型設計
3.1 風險評估中的資產、威脅、脆弱性賦值的設計
保密性、完整性和可用性是評價資產的三個安全屬性。風險評估中的資產價值不是以資產的經濟價值來衡量,而是由資產在這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。
資產價值應依據資產在保密性、完整性和可用性上的賦值等級,經過綜合評定得出。綜合評定方法可以根據自身的特點,選擇對資產保密性、完整性和可用性最為重要的一個屬性的賦值等級作為資產的最終賦值結果;也可以根據資產保密性、完整性和可用性的不同等級對其賦值進行加權計算得到資產的最終賦值結果。本設計模型根據電子政務外網的業務特點,依據資產在保密性、完整性和可用性上的賦值等級進行加權計算(保密性α+完整性β+和可用性γ),α、β、γ為權重系數,權重系數的確定可以采用專家咨詢法、信息商權法、獨立性權數等。本設計方案采用專家咨詢法。資產、威脅、脆弱性的賦值可以從0-10,賦值越高,等級越高。
脆弱性識別是風險評估中最重要的一個環節。脆弱性是資產本身存在的,如果沒有被相應的威脅利用,單純的脆弱性本身不會對資產造成損害。脆弱性識別的依據可以是國際或國家安全標準,也可以是行業規范等,如國家信息安全漏洞共享平臺(CNVD)漏洞通報、CVE漏洞、微軟漏洞通報等。
資產、威脅、脆弱性的識別與賦值依賴于專家對三者的理解,不同的人員對三者的賦值可能不同,甚至差別很大,可能會不能真實的反映實際情況。為了識別與賦值能準確反映實際情況,可以采用一定的方法來進行修正。本設計采用頭腦風暴法、德爾菲法去獲取資產、威脅、脆弱性并賦值、最后采用群體決策方法確定資產、威脅、脆弱性的識別與賦值。這樣發揮了三個方法的特點,得到的賦值準確性大大提高。
判斷威脅出現的頻率是威脅賦值的重要內容,評估者應根據經驗和(或)有關的統計數據來進行判斷[7]。判斷威脅出現的頻率是可能性分析的重要內容,如果僅僅從近一兩年來各種國內、國際組織的對于整個社會或特定行業的威脅及其頻率統計,以及的威脅預警等來判斷是不太準確的,因為它沒有與具體的電子政務外網應用實際聯系起來,實際環境中通過檢測工具(如IPS等)以及各種日志發現的威脅及其頻率的統計也應該考慮進去。
本設計模型采用綜根據經驗和(或)有關的統計數據來進行判斷,并結合具體電子政務外網實際,從歷史生產系統的IPS等獲取各種威脅及其頻率的統計,并采用馬兒可夫方法計算出某個時段內某個威脅發生的概率。馬爾可夫方法是一種定量的方法,具有無后效性的特點,適用于計算實時的動態信息系統威脅發生概率。它利用IPS等統計某一時段的發生了哪些威脅,構建出各種威脅之間的狀態轉移圖,使用馬爾可夫方法計算出該時段內某個威脅發生的概率。計算出的威脅發生概率結果可以進行適當的微調,該方法要求記錄的樣本具有代表性。
3.2 風險計算模型設計
通常風險值計算涉及的風險要素為資產、威脅、和脆弱性。 在完成了資產識別、威脅識別、脆弱性識別,以及已有安全措施確認后,將采用適當的方法與工具確定威脅利用脆弱性導致安全事件發生的可能性,并綜合安全事件所作用的資產價值及脆弱性的嚴重程度,判斷安全事件造成的損失對組織的影響,即安全風險計算。
風險值=R(資產,威脅,脆弱性)= R(可能性(威脅,脆弱性),損失(資產價值,脆弱性嚴重程度))。可根據自身電子政務外網實際情況選擇相應的風險計算方法計算風險值,如目前最常用的矩陣法或相乘法等。矩陣法主要用于兩個要素值確定一個要素值的情形,相乘法主要用于兩個或多個要素值確定一個要素值的情形。
本設計模型采用風險計算矩陣方法。矩陣法通過構造一個二維矩陣,形成安全事件的可能性與安全事件造成的損失之間的二維關系;相乘法通過構造經驗函數,將安全事件的可能性與安全事件造成的損失進行運算得到風險值。
在使用矩陣法分別計算出某個資產對應某個威脅i,某個脆弱性j的風險系數[Ri,j],還應對某個資產的總體安全威脅風險值進行計算,某個資產總體風險威脅風險=Max([Ri,j]),i,j=1,2,3…。組織所有資產的威脅風險值為所有資產的風險值之和。
3.3 對風險計算模型的改進
在風險值=R(A,T,V)的計算模型中,由資產賦值、危險、脆弱性三元組計算出風險值, 并沒有把安全防護措施因素對風險計算的影響考慮在內,該文把風險值=R(A,T,V)改進為風險值=R(A,T,V,P),其中P為安全防護措施因素。P因素不僅影響安全事件的可能性,也影響安全事件造成的損失,把上面的公式改進為風險值=R(L(T,V,P),F(Ia,Va,P ))。對于L(T,V,P),F(Ia,Va,P )的計算可以采用相乘法等。如果采用矩陣法,對L(T,V,P)的可以拆分計算L(T,V,P)=L(L(T,V),L(V,P))。
在計算出單個資產對應某個脆弱性、某個威脅、某個防護措施后的風險值后,還應總體上計算組織內整體資產面臨的整體風險。單個風險(一組風險)對其它風險(一組風險)的影響是必須考慮的,風險之間的影響有風險之間的疊加、消減等。有必要對風險的疊加效應、疊加原理、疊加模型進行研究。
3.4 風險結果判定
為實現對風險的控制與管理,可以對風險評估的結果進行等級化處理。可將風險劃分為10,等級越高,風險越高。
風險等級處理的目的是為風險管理過程中對不同風險的直觀比較,以確定組織安全策略。組織應當綜合考慮風險控制成本與風險造成的影響,提出一個可接受的風險范圍。對某些資產面臨的安全風險,如果風險計算值在可接受的范圍內,則該風險是可接受的,應保持已有的安全措施;如果風險計算值高于可接受范圍的上限值,則該風險是不可接受的,需要采取安全措施以降低、控制或轉移風險。另一種確定不可接受的風險的辦法是根據等級化處理的結果,不設定可接受風險值的基準,對達到相應等級的風險都進行處理。
參考文獻:
[1] 國家電子政務外網管理中心.關于加快推進國家電子政務外網安全等級保護工作的通知[政務外網[2011]15號][Z].2011.
[2] 等級保護、風險評估和安全測評三者之間的區別與聯系[EB/OL].http:///faq/faq.php?lang=cn&itemid=23.
[3] 趙瑞穎.等級保護、風險評估、安全測評三者的內在聯系及實施建議[C].第二十次全國計算機安全學術交流會論文集,2005.
[4] 李煜川.電子政務系統信息安全風險評估研究――以數字檔案館為例[D].蘇州:蘇州大學,2011.
[5] 陳濤,馮平,朱多剛.基于威脅分析的電子政務信息安全風險評估模型研究[J].情報雜志,2011(8):94-99.
網絡安全等級保護測評方法范文第4篇
對系統自我定級
長城資產管理公司是國有獨資的金融企業,在業務高速發展的同時,一直非常重視信息安全體系的建設,早期已經部署了 “老三樣”信息安全產品,即網絡防病毒、防火墻和網絡入侵檢測產品,對保障業務系統的安全正常運轉起到了重要作用。
公司綜合經營管理系統經過四期建設,實現了數據集中和管理集中,為公司收購、管理與處置政策性不良資產以及商業化經營等業務的順利開展提供了完整的業務操作平臺。
根據《信息系統安全等級保護定級指南》中對信息系統的要求,長城資產管理公司考慮到綜合經營管理系統是公司的核心業務系統,一旦受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害,因此,公司確定首要的工作是設定系統的保護級別。經過綜合審核,最終將系統保護級別定為3級,并形成了等級保護定級報告,這在資產管理公司里屬于首家。
對定級進行測評
系統定級之后,公司做了備案,同時申請等級保護的主管單位進行現場測評。北京等級保護辦公室作為這次測評的主管和實施單位,根據等級保護3級基本要求對綜合經營管理系統進行測評。現場測評工作主要包括跟綜合經營管理系統相關的各個層面,在網絡層面進行網絡設備安全配置檢查和安全系統部署;在主機層面進行主機系統的安全配置檢查和數據庫系統安全檢查;在數據安全方面進行了數據完整性、機密性和可用性的檢查;在管理方面進行安全策略、安全組織以及人員的檢查,同時對信息部門領導和相關人員以及公司的人力資源部門相關人員做了詳細的訪談。涉及方面之廣,檢查粒度之細都是其他專門的安全項目所無法比擬的,對公司整個信息安全建設指明了方向,細化了要求,加強了安全體系建設,提升了人員的信息安全意識,規范了信息安全工作流程。
但是,在現場的測評工作當中也出現了一些問題,主要來自兩方面:一是發現了公司在信息安全建設中的“短板”,明確了工作重點和方向;二是發現基本要求中的個別條款的要求過于“苛刻”――單純從技術上來看是可行的,但是如果結合公司的業務,就不是特別合理,因為需要對現有運行的業務進行很大的改造,甚至涉及到對底層操作系統的改造。
最后,在北京等級保護辦公室的監督、指導下,公司加強了安全管理,調整個別不符合項目,最終通過了等級保護3級測評。
建設等級保護平臺
網絡安全等級保護測評方法范文第5篇
近年來,國家對信息安全高度重視,各有關方面協調配合、共同努力,我國信息安全保障工作取得了很大進展。根據原衛生部的《關于全面開展衛生行業信息安全等級保護工作的通知》(衛辦綜函[2011]1126號文)指示精神,阜外醫院作為衛生行業開展信息安全等級保護工作的試點單位,依據國家相關信息安全政策及技術標準,對醫院的重要信息系統進行等級保護整改建設,切實提高了自身的信息安全防護水平。
通過對阜外醫院的信息系統業務流程的梳理,并根據業務數據的重要程度和業務安全需求,準確劃分系統邊界,阜外醫院信息系統共有6個定級對象,其定級情況如下:HIS系統為第三級信息系統,LIS系統、PACS系統、電子病歷系統、阜外醫院網站和財務為第二級信息系統。由于信息系統彼此間業務關聯較大,所以總體上按照第三級進行整體防護體系建設。
本次阜外醫院的信息系統安全等級保護工程的建設,主要是根據四部委的《信息安全等級保護管理辦法》(公通字[2007]43號文)以及衛生部 [2011]1126號文的指示精神,從信息安全技術體系、信息安全管理體系、信息安全運行體系等三個方面入手,建設完整的醫療行業信息安全等級保護保障體系:
1. 建立阜外醫院信息安全技術體系,從物理安全、網絡安全、主機安全、應用安全、數據安全等方面進行整改建設。通過對內外網網絡層面的安全整改建設,達到等級保護第三級信息系統的基本技術要求;
2. 建立阜外醫院信息安全管理體系,通過安全管理策略和制度、人員安全管理、安全事件管理、系統建設管理以及系統運維管理等五個方面的建設,達到了等級保護第三級信息系統的安全管理要求;
3. 建立阜外醫院安全運維體系,通過綜合運維系統、安全管理中心、信息安全服務等內容的建設,實現了日常安全運維管理,使阜外醫院的信息系統安全保障體系能夠有效落實。
信息安全等級保護保建設,使阜外醫院信息安全保障體系成功通過了等級保護第三級信息系統的安全測評。因此,本次阜外醫院信息安全保障工程的建設,具有以下三個方面的重大意義:
一、有效落實了國家政策要求。首先是完成了國家信息安全等級保護的的工作部署,使阜外醫院重要信息系統安全防護能力達到規定要求,確保業務工作有效開展。
通過本次工程建設,確保阜外醫院重要信息系統安全防護工作符合國家等級保護制度要求,確保方向正確、方法得當、結果合規,使信息安全建設工作不偏離國家監管的大方向,這是阜外醫院作為國家三甲級醫療機構的地位決定的,是確保阜外醫院的權威性、嚴肅性的有力保障,具有重要的政治意義。
二、能夠有效推動行業安全建設。有利于形成阜外醫院信息安全工作統一規劃、統一指導、統一要求的工作機制,為國家衛計委指導各醫療單位進行等級保護建設方面起到試點示范效應。
通過本次工程建設,可以分析清楚阜外醫院信息系統數量、分布、安全防護程度等基本情況,研究清楚系統信息安全的各自特點,通過調研和分析,提出全院信息安全工作“一盤棋”的管理思路,統一管理、統一指導、統一具體要求,實質性推動行業信息安全建設工作。
