首页 > 文章中心 > 信息安全等级保护办法

信息安全等级保护办法

前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇信息安全等级保护办法范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。

信息安全等级保护办法

信息安全等级保护办法范文第1篇

根据《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[200]27号)、《北京市政务与公共服务信息化工程建设管理办法》(市政府第67号令)、《北京市信息化工作领导小组关于加强信息安全保障工作的实施意见》(京办发[200]3号)以及其他有关法律、法规的规定,结合本市实际情况,现就本市党政机关开展网络与信息系统安全等级保护工作的有关要求通知如下:

一、充分认识开展安全等级保护工作的重要意义

为进一步提高信息安全保障能力和防护水平,维护国家安全、社会稳定,保障和促进信息化建设的健康发展,国务院在全面分析全国信息安全保障工作形势的基础上,针对存在问题,明确指示要抓紧建立信息安全等级保护制度,制定信息安全等级保护管理办法和技术指南,突出重点,切实保护好基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。国务院的指示对于加强信息安全保障工作十分重要,我市要认真贯彻执行。

开展安全等级保护工作就是依据网络与信息系统的重要程度和面临的安全风险等因素,综合平衡安全成本和风险,划分系统的安全等级,优化资源配置,进行建设和管理。

开展安全等级保护工作是关系到信息化建设全局的重要举措,是做好信息安全保障工作基本思路,是网络与信息系统基础设施建设的重要内容,是一个非静止、非僵化的系统工程。切实做好安全等级保护工作,建立安全等级保护制度,能够使我市的网络与信息系统防护水平从“独立运行、自主保护”的状况尽快过渡到“统一管理平台、统一安全标准”的阶段;能够有效地提高网络与信息系统安全建设的整体水平,增强使用效益;能够使信息安全与信息化建设协调发展,减少建设成本;重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;能够明确国家、法人和其他组织、公民的信息安全责任;能够有力推动信息安全产业发展,探索一套适应社会主义市场经济发展的信息安全发展模式。同时,开展安全等级保护工作也是加速首都现代化建设和成功举办2008年奥运会的迫切需要。

二、加强对安全等级保护工作的指导和管理

在北京市网络与信息安全协调小组的统一领导下,市信息办会同有关部门负责本市党政机关网络与信息系统安全等级保护的统筹规划、综合协调和监督检查,并对重要网络与信息系统的安全等级保护定期进行检查指导,并定期通报。

各区县信息化主管部门会同有关部门负责本区县党政机关网络与信息系统安全等级保护的统筹规划、综合协调和监督检查。

本市各级党政机关负责本单位网络与信息系统安全等级保护的组织实施。

涉及到国家秘密的网络与信息系统按照国家和本市有关保密规定执行。

北京市信息安全测评中心负责本市各级党政机关重要网络与信息系统实行安全等级保护过程中的检查评估和验收的安全测评。

各单位在自定级过程中,可以委托专业信息安全服务机构协助完成,市信息办将定期公布通过信息安全服务能力评估的机构目录。

三、开展安全等级保护工作的实施计划

本市各级党政机关网络与信息系统均要开展安全等级保护工作。新建和已建成但未正式运行的网络与信息系统要按照安全等级保护制度的有关要求进行建设;已经正式运行的网络与信息系统要按计划逐步纳入安全等级保护制度;网络与信息系统结构和功能等要素发生变化,要及时重新进行风险评估、安全定级和检测评估。各单位均应根据所核定的安全等级进行使用和管理。主要职责是:落实相应的管理制度和技术保护要求,组织管理人员和技术人员进行安全教育培训;适时进行安全应急预案的演练;定期组织自评估,保持系统良好的安全状态;认真履行信息安全等级管理职责,协助主管部门做好网络与信息系统的安全等级保护检查工作。

安全等级保护是一项基础性、长期性的工作,各单位均要将其作为一项重要内容纳入整个信息化建设过程的始终,切实抓好落实工作。在全市党政机关建立网络与信息系统的安全等级保护制度,计划用三年时间,分为四个步骤。

准备阶段:200年6月底完成。主要做好以下工作:明确主管部门、专业技术支撑单位和使用单位的职责、权利和义务,理顺关系,建立协调配合和管理的运行机制;依照国家有关法规,制定、完善安全等级保护工作的相关的配套文件;广泛开展宣传教育工作,组织培训,特别是对监管队伍和专业技术支撑单位人员的培训,在思想认识、政策理论、管理和技术等方面作好充足准备。

试行阶段:200年底前完成。在前期准备的基础上,全面展开建立安全等级保护制度的工作。工作内容包括:自定级、备案、建设整改、检查评估。其中,200年9月底前,各单位要完成自身网络与信息系统的自定级工作;200年10月底前,各单位要完成3级以上的网络与信息系统向市信息办备案工作;200年6月底前,各单位要完成对正在运行的3级以上的网络与信息系统的整改工作;200年12月底前,完成对本市部分重要网络与信息系统的检查评估工作。

完善阶段:200年12月底前完成。其中,200年6月底前完成本市党政机关开展安全等级保护的总结工作、相关配套文件的修订工作和信息安全测评基础设施能力建设工作;200年12月底前,完成本市重要网络与信息系统的检查评估工作。

正常阶段:200年开始,全市各级党政机关全面推行网络与信息系统安全等级保护制度,转入经常性工作。各单位每年应对其自身的网络与信息系统进行一次自评估;市信息办每两年对本市各级党政机关重要网络与信息系统进行一次检查评估。

各单位要认真执行安全等级保护的有关规定,认真落实安全等级保护制度,自觉接受主管部门的检查指导,切实做好信息安全保障工作。

四、坚决落实安全等级保护工作的各项措施

各单位要认真贯彻执行国家和本市关于信息化建设和信息安全保障工作的一系列指示、要求和规定,切实保证信息安全等级保护工作的顺利开展。

(一)各单位在立项前对其网络与信息系统进行风险评估,依据《北京市党政机关网络与信息系统安全定级指南》(见附件)自行确定安全等级。3级以上网络与信息系统应填写《北京市党政机关网络与信息信息安全定级备案(审查)表》,报市信息化主管部门审查。未经审查的,依据北京市人民政府第67号令《北京市政务与公共服务信息化工程建设管理办法》第八条规定,主管部门不予批准立项,财政部门不予拨款。

(二)在信息化项目预算时,各单位要按照等级保护的要求将安全等级保护的各项费用(风险评估、方案设计、工程实施、测评验收、工程监理等)列入项目预算;在网络与信息系统运行后,也要按照安全等级保护的要求将相关费用列入系统运行维护费。

(三)各单位的重要网络与信息系统在正式投入运行前应依据北京市人民政府第67号令《北京市政务与公共服务信息化工程建设管理办法》第十三条规定,经过安全测评认证,未经测评认证的,不得投入运行。

(四)北京信息安全测评中心在测评过程中必须坚持客观公正、实事求是的原则,出具真实的测评报告,市信息办对安全等级保护测评活动进行监督管理,对违反上述原则,出具虚假报告等行为的将追究有关领导和责任人的责任;情节严重构成犯罪的,由有关部门追究其法律责任。

(五)专业信息安全服务机构为本市各级党政机关提供信息安全服务应符合国家和本市的有关规定,北京信息安全测评中心应定期了解为本市各级党政机关提供信息安全服务机构的有关情况、征求用户意见,对有问题的单位提出建议和警告,问题严重的应取消其信息安全服务能力等级证书并予以公布。

(六)市信息办加强对安全等级保护工作的指导和监督检查。对违反有关规定的,要及时进行纠正;情节严重并造成重大损失的,由其上级主管部门依照有关规定追究单位负责人和有关人员的行政责任。构成犯罪的,由有关部门追究其法律责任。

五、切实加强对安全等级保护工作的组织领导

信息安全等级保护办法范文第2篇

本报讯 7月20日,公安部、国务院信息办等4部门在北京联合召开“全国重要信息系统安全等级保护定级工作电视电话会议”,部署在全国范围内开展重要信息系统安全等级保护定级工作(以下简称“定级工作”)。国家信息安全等级保护协调小组组长、公安部副部长张新枫,国务院信息化工作办公室副主任、国家网络与信息安全协调小组办公室主任杨学山出席会议并讲话。

张新枫指出,当前,我国信息安全面临的形势仍然十分严峻,维护国家信息安全的任务非常艰巨、繁重。随着我国经济的持续发展和国际地位的不断提高,我国的基础信息网络和重要信息系统面临的安全威胁及安全隐患比较严重,计算机病毒传播和网络非法入侵十分猖獗,网络违法犯罪持续大幅上升,犯罪分子利用一些安全漏洞,使用黑客病毒技术、网络钓鱼技术、木马间谍程序等新技术,进行网络盗窃、网络诈骗、网络赌博等违法犯罪,给用户造成严重损失。特别是“科技奥运”和“数字奥运”是2008年北京奥运会的一大亮点,网络与信息安全已经成为事关北京奥运安全的重大问题之一。

张新枫强调,信息安全等级保护制度是国家信息安全保障工作的基本制度。为了加快推进信息安全等级保护工作,此前,公安部、国务院信息办等部门已联合出台了有关信息安全等级保护工作的实施意见、管理办法等相关文件。定级是等级保护工作的首要环节,是开展信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。此次定级工作的主要内容:一是开展信息系统基本情况的摸底调查,确定定级对象。二是信息系统主管部门和运营使用单位按照等级保护管理办法和定级指南,初步确定定级对象的安全保护等级,请专家进行评审,并报经上级行业主管部门审批同意。三是信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门到公安机关备案。公安机关和国家有关部门受理备案后,要对信息系统的安全保护等级和备案情况进行审核、管理。

会议由公安部公共信息网络安全监察局局长李昭主持,公安部公共信息网络安全监察局副局长、国家网络与信息安全信息通报中心主任顾建国对定级工作作了具体说明。

信息安全等级保护办法范文第3篇

关键词:信息安全;等级保护;定级制度

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2017)03-0045-02

信息安全等级保护制度的建设,是随着经济建设和信息化建设的全面展开而进行的。对国家重要的信息系统等进行定级保护,可以提高信息系统的工作效率,在大数据、云计算的技术支持下,实现全系统的信息安全。为此国家多部门早已出台多项关于信息安全的制度和规定,明确说明国家信息安全保障工作的基本制度之一就是信息安全等级保护制度。其工作流程包含定级、对级别的建设和整改、测评建设整改工作、向主管公安部门备案;监管信息系统。其中首要阶段的定级工作,是作为等级保护的起始,为后面四个阶段的工作奠定基础。

1 信息系统安全等级保护政策概述

我国在信息技术的浪潮退推动下,各行各业都在面临信息化、智能化的转型升级带来的冲击和挑战。需要建设的信息化项目不断增多,很多领域的业务都要采用网络信息系统作为载体,因此,信息系统的数量和结构都在增加和复杂化,对信息进行等级保护就被提上了日程。

2008年,我国首部信息安全等级保护管理办法由公安部下发,信息系统有了等级的划分,并且对信息系统的保护也有了明确的管理规定。2008年,信息系统安全等级保护定级上升到了国家级别的标准,拥有了定级指南,对于信息系统安全等级定级工作来说,意味着拥有了定级的方法和准则。2009年,关于整改信息安全等级保护工作的指导意见证实下发,要求对信息安全等级保护的整改要按照测评工作的标准展开。这是第一次对信息安全等级保护测评体系的建设进行的规定。

2 信息系统的安全定级

在信息安全技术等级定级指南中,对于信息技术的重要性以及遭到破坏的危害性进行了详细的阐述,从公共安全、社会利益、公民权益等几个方面,将信息系统的安全等级划分为五个等级:

第一级为当信息安全被侵犯,国家利益、公共安全等合法权益就会被损坏,但是国家安全、社会利益和公共秩序不会受到损害。

第二级为当信息安全被侵犯,公民的合法权益就会被侵害,但是国家安全不会受到破坏。

第三级为当信息系统受到侵犯后,社会秩序和公共利益被损坏,进而产生对国家安全的损害。

第四级是信息系统受到破坏,社会秩序、公共利益、国家安全都会受到特别严重的损伤。

第五级是信息系统受到侵犯,国家安全被特别严重地损坏。

3 当前信息系统安全定级中存在的问题

1)定级对象不明确是信息系统安全定级中的常见问题。当信息系统在相同的网络环境中被按照独立的系统进行定级时,多个定级对象会重复出现环境和设备。以机房的EPR系统和OA系统以及配套为例,系统中如果使用到网络资源,就有可能产生相同的定级对象同时出现不同的网络设备的情况。

2)根据安全信息国家定级指南中对安全保护等级的定级要求。当受侵害客体为国家、社会、公民安全以及组织法人的合法权益时,客体的侵害程度可以分为一般、严重、特别严重。这种分类是比较抽象的。需要进行具体的描述,但是从目前的发函情况看,对于危害程度的描述还是过于倾向于主观判断,因此对客观情况的定级准确率不足,依据不足。

3)现有的定级报告皆是从模板中引用格式,参考定价指南,提供定级流程,引导结论的验证。从下表我们可以大概地看到定级要素和安全保护等级的关系:

表1

[受侵害的客体\&一般损害\&严重损害\&特别严重的损害\&公民、法人和组织的合法权益\&第一级\&第二级\&第二级\&社会利益、公共秩序\&第二级\&第三级\&第四级\&国家安全\&第三级\&第四级\&第五级\&]

对于基础数据的描述虽然也能显示出关于信息安全系统定级的重要意义,但是从系统的客观问题以及随时可能出现威胁和侵害的现象角度观察,很多关于信息安全等级定级的新方法还不能保证定级结果的准确性,很多定级报告不完善,缺乏依据,主观判断成分多,无法将信息安全系统的真实情况反映给决策层,对于工作的开展没有好处。

4 等级保护流程

等级保护的工作是循环的、动态发展的。将等级保护工作视为循环性强的工作对于工作流程加以分析,最终得到的是等级保护工作的流程图:

定级阶段:系统划分、等级确定;填写表格;

初步备案阶段:上报材料、专家评审,不符合安全等级规定的重新定级,最终进入初备案。

测评阶段:选定机构、测评、出具报告;

整改阶段:制订方案、专家论证、提出整改措施并实施;

复评阶段:对定级方案进行复评,得到最终的备案;

根据等级保护制度接受监管的阶段。

需要说明的是,等级保护工作的初始阶段:定级工作可以采用自行定级的方法,也可以委托第三方机构进行监管和测评。定级工作是所有阶段工作的基础。初备案阶段有一个重新定级的环节,主要是如果出现不公平、不公正或者定级不合格的情况,要对信息系统的等级评定工作进行复评选,并达到等级保护的要求,才能进行最终的备案。

5 信息安全定级方法

1)定流程是参照定级指南进行的,包括了业务信息和系统服务等内容。首先是确定定级对象,然后确定业务信息安全受到破坏和侵害的客体,以及系统服务安全受到破坏和侵害的客体。两方面都要进行客体的侵害程度的评定,前者得出业务信息安全等级,后者得出系统服务安全等级,最后形成了定级对象的安全保护等级。

定级对象的选取根据定级指南的规定,具有一些特征,首先是拥有安全责任单位,第二是信息系统要素,第三是承载单一和独立的业务。在定级对象的业务应用上应该拥有共享的机房基础环境和网络设备等,这样就不会产生重复出现的定级对象。而且将物理环境、网络资源等纳入到信息系统中,形成具有单独优先定级权限的定级对象[1]。

对于受侵害的客体的损害程度的评分,要对危害后果等进行权重分析。参照的依据包括国家安全、社会利益、公众秩序、公民法人和组织的权益。客体的侵害程度在定x和解释上是简单而抽象的,要对危害程度进行具体的描述,就要规避主观判断、依据不足的问题。对客体的侵害程度进行确定,是需要参考很多元素的,要得到一个准确的定量,可以采用评分表的方法对危害后果予以打分。

表2

[危害后果\&得分\&权重\&影响工作职能形式\&\&\&降低业务能力\&\&\&引起纠纷需要法律介入\&\&\&财产损失\&\&\&社会不良影响\&\&\&损害到组织和个人\&\&\&其他影响\&\&\&]

根据对表格中的打分得到的数值和权重的分析,可以得出定级对象被破坏后可能产生的危害以及后果。不存在危害的数值为0,有危害程度较轻的数值为1,有危害程度较高的为2,后果严重的为3。不同的信息系统在服务内容、范围、对象上都不同,因此不同的得分和权重最能反映信息安全系统的实际情况。

确定安全保护等级是在所有流程结束后,得到的结论。这个结论包括客体对等级对象的侵害造成的危害,信息安全的保密性、可用性的情况,系统服务安全的及时性、有效性的问题等等。当业务信息安全和服务系统的客体侵害程度不同时,就要在定级过程中处理不同的危害后果。

2)定级表格的细化是为定级报告模板提供基础数据,并保证信息安全系统稳定可靠的重要保障。当系统内部问题导致其难以支撑定级结果后,采用系统定级的方法,就能够将信息系统的情况记载道定级表中。定级表包括了定级系统的用户情况以及定级系统的业务职能等情况,例如在行业和部门内的地位和作用。定级系统需要有备份系统作为应急措施,保证定级系统在关联系统受到破坏后不会受到数据传递等的影响。

6 案例分析

按照等级保护工作测评和定级的规定,确定信息系统的等级。某政府网站信息系统包括的板块为:政务公开、地方行政、法制建设、管理措施、领导讲话、网上办事大厅、新闻动态、政府公告、举报建议等,还专门开辟了一个下载板块,方便下载有用的电子表单加以填报。

在这个政府网站的信息系统中,制订了符合信息安全等级保护定级指南的流程和标准,通过分析,判断,研究等流程确定定级的系统。该网站的拥有者设立的专门的政府网站平台,由指定部门确定相关资料的搜集、采集、整理的过程方案。在这套流程中,信息生产者为企业,产生的资料是信息,管理信息的手段是利用科学技术,对外承担政务信息,拥有独立的业务,如办事流程、新闻会等。将各类任务的环境加以构建,就形成了政府网站中具有基本特征和要素的定级对象。对定级客体的邀请,要采取分析的方法,确保信息系统内的保密性和可用性。实际操作中只要能够保证信息的完整性和通用性,又增强了制作、、管理的职能建设,激发出参与者的完整性和保密性。提高可用概率。而系统服务安全有力地支撑着系统安全运行,并为信息安全系统提供有效的服务,达到地方网站发挥在定级中的作用,帮助提供服务,满足消费者的需求。采用了这种方法,网站信息系统的业务信息安全和系统服务安全都将是今后在企业运用中需要特别加以注意的。

例如:对于受侵害的客体,必须说明客体的情况,是否受到法律保护,等级保护中牵扯到的社会关系和合法权益。尤其是针对信息系统的客体的先后顺序进行判断,结合政府平台,实施政务信息公开。如果做不到政务信息公开,政府就要设置管理界限,发挥人的主观能动性,在知情权、业务能力、投诉与批评等阶段加大业务办理力度,最大可能地维护法人和代表组织的知情权,排弃受到破坏的客体,法人由于难以掺入个人组织中,直接投诉合法的法律法规,由于业务施工的进度过快,环节纷繁众多[2]。再由于受损教育可以对客体的积极主动性。方便法人和组织知情、办理业务、举报、投诉等。

对于客体造成的侵害进行后果的分析,无论是大型门户网站,还是在金融政策引领下,亲自感受到客体检查结果的影响,如信息安全管理等,都要注重网络平台的临时性。

7 结束语

要做好信息系统的安全保护等级的确定,就要采取正确的 (下转第51页)

(上接第46页)

策略以及方法,对信息安全管控产生依赖,保护过程中采取正确的策略和方法,等等。信息系统、安全等级保护不足的问题,都要求管理觉决策层加熬煮。在实际运行中,还要以定级指南为指导,综合信息系统的业务特征,切实推动信息技术等级保护工作的大力发展。

参考文献:

信息安全等级保护办法范文第4篇

本文重点在结合信息安全等级的要求与IDS本身结构的优缺点,对信息安全策略进行分析,构建满足五级信息安全保护能力的入侵检测系统。

关键词:入侵检测,信息安全

1.信息安全等级

信息安全等级保护是我国信息安全保障工作的纲领性文件(《国家信息化领导小组关于加强信息安全保障工作的意见》)(中办发[2003]27号)提出的重要工作任务[1],其基本原理是,不同的信息系统有不同的重要性,在决定信息安全保护措施时,必须综合平衡安全成本和风险。

2007年6月,公安部的《信息安全等级保护管理办法》规定,根据信息系统在国家安全、经济建设、社会生活中的重要程度,其遭受破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,其安全等级由低到高划分为五级,其等级划分原则如表1.1所示:

表1.1 安全等级划分原则

不同安全等级的信息系统应该具备相应的基本安全保护能力,其中第四级安全保护能力是应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击,严重的自然灾害,以及其他相当维护程度的威胁所造成的资源损害,能够发现安全漏洞和安全相关事件,在系统遭到损害后,能够迅速恢复所有功能;第五级安全保护能力是在第四级安全的安全保护能力的基础上,由访问控制监视器实行访问验证,采用形式化技术验证相应的安全保护能力确实得到实现。

2.IDS主要功能

入侵检测:通过对行为、安全日志、审计数据或其他网络上可以获得的信息进行操作,检测到对系统的闯入或者闯入的企图[2]。(国标GB/T 18336)

入侵检测系统的主要功能:

检测并分析用户和系统的活动,查找非法用户和合法用户的越权操作;检查系统配置和漏洞,并提示管理员修补漏洞。(由安全扫描系统完成)、评估系统关键资源和数据文件的完整性;识别已知的攻击行为;统计分析异常行为;操作系统日志管理,并识别违反安全策略的用户活动等;

成功的入侵检测系统,应该达到的效果:可以使系统管理员时刻了解网络系统(软件和硬件)的任何变更,能给网络安全策略的制定提供依据;管理配置简单,使非专业人员非常容易地获得网络安全。入侵检测的规模还应根据网络规模、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,能及时作出响应,包括切断网络连接、记录事件和报警等。

图2.1入侵检测系统结构图

3.IDS类别

由于IDS的模型多样化,IDS的类别也表现出较为复杂的情况,但是当前通常将入侵检测按照分析方法和数据来源来进行分类[3]。

3.1按照分析方法(检测方法)

异常检测模型(Anomaly Detection):首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。

误用检测模型(MisuseDetection):收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。

3.2按照数据来源

基于主机的IDS:系统获取数据的依据是系统运行所在的主机,保护的目标也是系统运行所在的主机;检测的目标主要是主机系统和系统本地用户。检测原理是根据主机的审计数据和系统的日志发现可疑事件,检测系统可以运行在被检测的主机或单独的主机上。

图3.1基于主机的IDS结构图

基于网络的IDS:系统获取的数据是网络传输的数据包,保护的是网络的运行;根据网络流量、协议分析、单台或多台主机的审计数据检测入侵。

图3.2 基于网络的IDS结构图

探测器由过滤器、网络接口引擎器以及过滤规则决策器构成,探测器的功能是按一定的规则从网络上获取与安全事件相关的数据包,传递给分析引擎器进行安全分析判断[4]。

分析引擎器将从探测器上接收到的包并结合网络安全数据库进行分析,把分析的结果传递给配置构造器。

配置构造器按分析引擎器的结果构造出探测器所需要的配置规则。

分布式IDS:

传统的集中式IDS的基本模型是在网络的不同网段放置多个探测器收集当前网络状态的信息,然后将这些信息传送到中央控制台进行处理分析。

分布式结构采用了本地主体处理本地事件,中央主体负责整体分析的模式。

3.3 IDS的局限性

对于大规模的分布式攻击,中央控制台的负荷将会超过其处理极限,这种情况会造成大量信息处理的遗漏,导致漏警率的增高[5]。

多个探测器收集到的数据在网络上的传输会在一定程度上增加网络负担,导致网络系统性能的降低[6]。

由于网络传输的时延问题,中央控制台处理的网络数据包中所包含的信息只反映了探测器接收到它时网络的状态,不能实时反映当前网络状态[7]。

4.五级安全防护能力IDS构建

根据公安部《信息安全等级保护管理办法》,五级安全防护能力需要具备四级安全防护的漏洞发现和入侵检测能力,同时需要由访问控制监视器实现对访问的及时验证,保证杜绝未授权用户的非法访问。

与此同时,如何解决因为网络时延而导致的数据分析的延后,以及解决探测器在网络传输中造成的网络负担,提高网络系统性能的同时保证中央控制台的高效运转,是当前IDS需要重点研究的问题。

当前IDS的结构中入侵检测和数据安全审计是两个不同的模块,入侵检测系统将检测数据提交给安全审计模块,对入侵行为的确认是由安全审计模块进行的[8]。因此在成本可接受的范围内,如果将审计模块和检测模块结合,并且将分布式IDS的每一个检测终端都由一个独立处理单元来进行基本的检测,只将较为复杂的数据提交给中央控制台,这样即减轻了网络传输的压力,也有利于中央控制台更加高效运转。将每一个独立处理单元命名为一个agent,每个agent的结构如下图所示:

5.结束语

本文介绍了信息安全等级的分类依据,在对IDS系统的类别和局限性进行分析的基础上,对满足五级信息安全防护能力的入侵检测系统进行了基本构建,探讨通过对分布式IDS终端处理单元的结构和防范策略进行调整,研究对IDS存在主要问题的处理策略。

参考文献

[1] 高永强,罗世泽.网络安全技术与应用大典[M].北京:人民邮电出版社,2003:15-16.

[2] 盛思源,战守义,石耀斌.基于数据挖掘的入侵检测系统[J].计算机工程,2003,28(3).

[3] 胡振昌.网络入侵检测原理与技术[M].北京:北京理工大学出版社,2006

[4] 唐正军,李建华.入侵检测技术[M].北京:清华大学出版,2004.

[5] 程伯良,周洪波,钟林辉.基于异常与误用的入侵检测系统[J].计算机工程与设计.2007,28(14)

[6] 胥小波,蒋琴琴.基于混沌粒子群的IDS告警聚类算法[J].通信学报.2013,34(3)

信息安全等级保护办法范文第5篇

关键词:卫生系统门户网站;网站群运维监测平台;信息安全等级保护;网站运营;门户网站健康性

中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2016)16-0122-02

浙江省卫生厅、浙江省公安厅联合下发文件《关于做好全省医疗卫生行业重要信息系统信息安全等级保护工作的通知》对全省医疗卫生行业重要信息系统提出高度重视信息安全等级保护工作、明确工作职责,建立工作机制等重要要求。同时为加强浙江省医疗卫生系统网站的运维和管理,提高医疗卫生系统网站运行质量,经研究决定开展浙江省医疗卫生系统网站群运维监测平台(以下简称运维监测平台)的建设工作。基于互联网搭建,集“访问分析、健康诊断、实时监控、绩效考核”四大功能于一体,实现对医疗卫生系统门户网站的网页差错、信息更新量、访问流量和可用性进行统一诊断、检测和分析。截止四月底,浙江省卫生系统网站评测针对全省276个预参评网站实现过半数的检测,其中包括行政类(103个,含新增2个),委直属单位(11个,含新增3个),监督所(12个),疾控中心(12个),医院(138个,含新增12个)

卫生系统门户网站建设及运维需在实现日常网站内容分享及告知功能外,更合理的设计信息安全、健康等方面的环节,以确保门户正常合理运营。针对实际需求,医院类门户网站关注重点主要包含:健康情况、院务公开、医疗服务、互动交流、访问量、网站设计与用户体验、安全管理。

1 健康情况

针对“站点可用性”、“首页更新”、“链接可用性”、“栏目维护情况”4个指标中的每个网站各按标准分100分采样后加权折算,得出健康情况总和得分,以评定出站点可用性及用户操作通畅性体验描述。

2 院务公开

针对“概况信息”,“ 院务信息”,“ 行风廉政建设”,“ 院务动态”,“ 信息保障”4个指标栏目完整性 加以评测。详细栏目见附图1

3 医疗服务

针对“健康服务”,“ 科室服务”,“ 专家服务”,“ 就医指南”,“ 查询服务” 5个指标栏目完整性加以评测。详细栏目见表1。

4 互动交流

针对“医院信箱”,“ 信件反馈”,“ 在线调查”等功能完整性、可操作性、功能介绍完整性加以评定,并承诺时限超过10个工作日或未提供承诺时限的要求在10个工作日内给予反馈。

5 访问量

同一时间段内网站的访问量。

6 网站设计与用户体验

针对“页面布局”,“ 栏目设置”,“ 检索功能”,“ 网站导航”,“ 辅助信息”,“ 网站使用帮助”,“ 页面相关度”,“ 网站群标识”等方面对用户实用性加以评定。

7 安全管理

1)组织机构、组织领导、制度保障设置完整

2)等级保护,公安厅(局)进行备案,有备案证书

3)安全检测,检查网站是否被挂马、SQL 注入、XPath注入攻击、源码泄露、web漏洞等到安全隐患。

7.1 主机安全

7.1.1 操作系统

1)门户网站服务器都未对登录口令进行复杂度限制且无登录失败处理功能,容易产生较弱的登录口令,非授权人员可通过无限制的尝试暴力破解,会导致系统被非授权访问;

2)门户网站服务器未对默认账户administrator进行修改,非授权人员可跳过猜测用户名的步骤直接尝试暴力破解密码,加大了登录口令被破解的可能性,使系统被非授权访问;

3)门户网站服务器的日志审计范围未包括部分重要安全相关事件,审计内容不完善,不利于管理员对重要历史事件进行追溯;

4)门户网站服务器日志空间过小,可能导致重要的日志信息被未预期的删除或覆盖等,降低了审计记录的可信度,也不利于事故时对重要历史事件进行追溯处理;

5)门户网站服务器未对操作系统补丁进行及时的更新,可能导致产生较多的系统漏洞,增加了操作系统被入侵的风险;

6)门户网站服务器未对远程登录地址进行限制,可能导致非授权人员通过远程连接登录系统,使系统被非授权访问;

7.1.2 数据库

1)数据库未对登录口令进行复杂度限制容易产生较弱的登录口令,非授权人员可能暴力破解,会导致数据库被非授权访问;

2)数据库未设置超时锁定功能,可能导致数据库被非授权访问;

3)数据库未限制单个用户对数据库资源的最大或最小使用限度,可能因某些用户占用数据库过多的资源,导致其他用户的重要服务得不到及时响应和处理。

7.2 数据及备份恢复

7.3 管理安全

在CGI中限制用户提交数据的长度。对用户输入的数据进行合法性检查,只允许合法字符通过检测。对于非字符串类型的,强制检查类型;字符串类型的,过滤单引号。WEB程序调动低权限的sql用户连接,勿用类似于dbo高权限的sql 账号。细化Sql用户权限,限定用户仅对自身数据库的访问控制权限。使用Web应用防火墙来加固整个网站系统。

参考文献:

[1] 浙江省医疗卫生行业信息安全等级保护工作实施方案[Z].

[2] 浙江省卫生行业信息系统安全等级保护定级工作指导意见[Z].

[3] 关于做好全省医疗卫生行业重要信息系统信息安全等级保护工作的通知[Z].

[4] 浙江省政府网站日常运维监测实施办法(浙政办发〔2012〕50号)[Z].

[5] 中华人民共和国国家质量监督检验检疫总局, 中国国家标准化管理委员会. GB/T 22239-2008信息安全技术 信息系统安全等级保护基本要求[S]. GB/T 22239-2008, 北京: 中国标准出版社.

[6] 中华人民共和国国家质量监督检验检疫总局. GB/T 25058-2010信息安全技术信息系统安全等级保护实施指南[S]. 北京: 中国标准出版社.