時間:2022-09-02 22:04:46
導語:在網絡安全整改報告的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
一、組織安排。xx隊組織成立自查工作小組,組長為隊長xxx擔任,由兼職信息系統責任、運行維護和信息安全管理科室的辦公室人員組成自查工作小組工作人員,按照自查任務要求,制定具體自查方案,明確本地檢查對象和具體要求,落實各項保障措施,開展自查工作,撰寫自查報告,并填寫相應自查表。
二、制度檢查。自查工作小組根據《關于開展重要信息系統及重點網站安全檢查工作的通知》,對前郭隊的網絡安全工作的基本情況以及網站的安全保護情況的相關制度進行了檢查,現有制度有:網絡與信息安全管理制度、內網計算機與互聯網連接制度、終端計算機安全管理制度、桌面安全管理系統制度及其他網絡安全管理手段及措施制度。及時發現了問題,要求建立健全信息安全年度預算制度、信息安全發展規劃。
三、完備設施。自建互聯網局域網網絡安全防護措施:xx隊接入互聯網出口數量只有一個;終端計算機已安裝有效的防病毒軟件;終端計算機已設置管理員口令;有專門封網計算機可處理涉密信息;機房安全中防盜、消防、供電相關設施完備。
一、加強領導,成立了網絡與信息安全工作領導小組
為進一步加強全局網絡信息系統安全管理工作,我局成立了網絡與信息系統安全保密工作領導小組,由局長任組長,下設辦公室,做到分工明確,責任具體到人。確保網絡信息安全工作順利實施。
二、我局網絡安全現狀
我局的統計信息自動化建設從一九九七年開始,經過不斷發展,逐漸由原來的小型局域網發展成為目前與國家局、自治區局以及縣區局實現四級互聯互通網絡。網絡核心采用思科7600和3600交換機,數據中心采用3COM4226交換機,匯集層采用3COM4226交換機、思科2924交換機和聯想天工iSpirit1208E交換機,總共可提供150多個有線接入點,目前為止已使用80個左右。數據中心骨干為千兆交換式,百兆交換到桌面。因特網出口統一由市信息辦提供,為雙百兆光纖;與自治區統計局采用2兆光纖直聯,各縣區統計局及三個開發區統計局采用天融信VPN虛擬專用網絡軟件從互聯網上連接進入到自治區統計局的網絡,VPN入口總帶寬為4兆,然后再連接到我局。橫向方面,積極推進市統計局與政府網互聯,目前已經實現與100多家市級黨政部門和12個縣區政府的光纖連接。我局采用天融信硬件防火墻對網絡進行保護,采用偉思網絡隔離卡和文件防彈衣軟件對重點計算機進行單機保護,安裝正版金山毒霸網絡版殺毒軟件,對全局計算機進行病毒防治。
三、我局網絡信息化安全管理
為了做好信息化建設,規范統計信息化管理,我局專門制訂了《*市統計局信息化規章制度》,對信息化工作管理、內部電腦安全管理、機房管理、機房環境安全管理、計算機及網絡設備管理、數據、資料和信息的安全管理、網絡安全管理、計算機操作人員管理、網站內容管理、網站維護責任等各方面都作了詳細規定,進一步規范了我局信息安全管理工作。
針對計算機保密工作,我局制定了《計算機管理制度》,并由計算機使用人員簽訂了《*市統計局計算機保密工作崗位責任書》,對計算機使用做到“誰使用誰負責”;對我局內網產生的數據信息進行嚴格、規范管理。
此外,我局在全局范圍內每年都組織相關計算機安全技術培訓,計算站的同志還積極參加市信息辦及其他計算機安全技術培訓,提高了網絡維護以及安全防護技能和意識,有力地保障我局統計信息網絡正常運行。
四、網絡安全存在的不足及整改措施
目前,我局網絡安全仍然存在以下幾點不足:
一是安全防范意識較為薄弱;
二是病毒監控能力有待提高;
三是遇到惡意攻擊、計算機病毒侵襲等突發事件處理不夠及時。
針對目前我局網絡安全方面存在的不足,提出以下幾點整改辦法:
根據《廣電總局辦公廳貫徹落實國務院辦公廳關于開展重點領域網絡與信息安全檢查行動的通知》文件精神,我臺在青島市文廣新局的統一部署下,對本臺網絡與信息安全情況進行了自查,現匯報如下:
一、信息安全自查工作組織開展情況
1、成立了信息安全檢查行動小組。由臺長任組長,分管領導為副組長,相關科室負責人為組員的行動小組,負責對全臺的重要信息系統的全面指揮、排查并填記有關報表、建檔留存等。
2、信息安全檢查小組對照網絡與信息系統的實際情況進行了逐項排查、確認,并對自查結果進行了全面的核對、分析,提高了對全臺網絡與信息安全狀況的掌控。
二、信息安全工作情況
1、8月6日完成信息系統的自查工作部署,并研究制定自查實施方案,根據所承擔的業務要求和網絡邊界安全性對硬盤播出系統、非線性編輯系統、XX有線電視傳輸系統進行全面的梳理并綜合分析。
2、8月7日對硬盤播出系統、非線性編輯系統、XX有線電視傳輸系統進行了細致的自查工作。
(1)系統安全自查基本情況
硬盤播出系統為實時性系統,對主要業務影響較高。目前擁有DELL服務器5臺、惠普服務器2臺、cisco交換機2臺,操作系統均采用windows系統,數據庫采用SQLServer,災備情況為數據級災備,該系統不與互聯網連接。
非線性編輯系統為非實時性系統,對主要業務影響較高。目前擁有DELL服務器6臺、華為交換機1臺,網關采用 UNIX操作系統,數據庫采用SQLServer,災備情況為數據災備,該系統不與互聯網連接,安全防護策略采用默認規則。
XX有線電視傳輸系統為實時性系統,對主要業務影響高,災備情況為數據災備,該系統不與互聯網連接。
(2)、安全管理自查情況
人員管理方面,指定專職信息安全員,成立信息安全管理機構和信息安全專職工作機構。重要崗位人員全部簽訂安全保密協議,制定了《人員離職離崗安全規定》、《外部人員訪問審批表》。
資產管理方面,指定了專人進行資產管理,完善了《資產管理制度》、《設備維修維護和報廢管理制度》,建立了《設備維修維護記錄表》。
存儲介質管理方面,完善了《存儲介質管理制度》,建立了《存儲介質管理記錄表》。
(3)、網絡與信息安全培訓情況
制定了《XX市廣播電視臺信息安全培訓計劃》,2019年上半年組織信息安全教育培訓2次,接受信息安全培訓人數40人,站單位中人數的20%。組織信息安全管理和技術人員參加專業培訓4次。
信息安全檢查總結報告范文二:
按照《關于組織開展20xx年全市政府信息系統安全檢查工作的通知》(鎮信安聯辦【20xx】5號)要求,我局高度重視,立即組織開展全局范圍的信息系統安全檢查工作。現將自查情況匯報如下。
我局信息系統運轉以來,能嚴格按照上級部門要求,積極完善各項安全制度、充分加強信息化安全工作人員教育培訓、全面落實安全防范措施、全力保障信息安全工作經費,信息安全風險得到有效降低,應急處置能力得到切實提高,保證了政府信息系統持續安全穩定運行。
一、信息安全組織管理工作情況
我局高度重視信息系統安全工作,成立有由主要領導任組長、分管領導任副組長、各處室負責人為組員組成的局信息安全工作領導小組,明確了局辦公室為主要職能部門,確定了一名兼職信息安全員,召開了由分管領導、信息安全工作職能部門和重點部門負責人參加的會議,對上級有關文件進行了認真學習,對自查工作進行了周密的部署,確定了自查任務和人員分工,真正做到領導到位、機構到位、人員到位、責任到位、措施到位。為確保我局網絡信息安全工作有效順利開展,我局要求以各處室、下屬單位為單位認真組織學習相關法律、法規和網絡信息安全的相關知識,使全體人員都能正確領會信息安全工作的重要性,都能掌握計算機安全使用的規定要求,都能正確的使用計算機網絡和各類信息系統。
二、日常信息安全管理工作情況
我局在以前建立一系列信息安全制度的基礎上,針對信息安全工作的特點,結合我局實際,重新修訂了一系列信息安全制度和程序,做到按制度辦事,提高執行力。按照市政府和市經信委要求,我局與計算機維保單位重新簽訂了服務協議,增加了信息安全與保密協議內容。同時我局還與全局所有工作人員簽訂了安全保密協議。我局對涉密計算機和涉密移動存儲介質高度關注,對所有涉密計算機和涉密移動存儲介質全部進行編號在冊統一管理,明確責任人和保管人,對涉密信息系統的使用進行多次重點檢查,強化涉密人員管理,嚴格執行涉密計算機和涉密移動存儲介質的相關管理制度,專門為涉密人員配發了帶有硬件鎖的U盤,嚴禁在涉密和非涉密信息系統間混用移動存儲介質等等。對非涉密計算機的保密系統和防火墻、殺毒軟件等皆為國產產品,公文處理軟件使用微軟公司的正版office系統,信息系統的第三方服務外包均為國內公司。
三、信息安全防護管理工作情況
我局網絡系統的組成結構及其配置合理,并符合有關的安全規定;網絡使用的各種硬件設備、軟件和網絡接口是也過安全檢驗、鑒定合格后才投入使用的,自安裝以來運轉基本正常。我局經常開展信息安全檢查工作,主要對操作系統補丁安裝、應用程序補丁安裝、防病毒軟件安裝與升級、木馬病毒檢測、網頁篡改情況等進行監管,認真做好系統安全日記。今年,我局在市政府辦的指導下試運行協同辦公系統,投入10多萬元為所有局領導、各處室配置了內網計算機,為涉密處室另配備了涉密計算機,從硬件上加強了涉密信息系統管理。
四、信息安全應急管理工作情況
我局認真做好各項準備工作,對可能發生的各類信息安全事件做到心中有數,進一步完善了信息安全應急預案,明確應急處置流程,落實了應急技術支撐隊伍,把工作做深做細做在前面。
五、信息安全教育培訓工作情況
我局針對信息管理人員實際情況,每年開展信息化教育培訓,以掌握信息化管理技能為目的進行實踐操作能力培訓。還組織有關工作人員參加了相關信息安全培訓,職工信息安全意識得到有效提高。
六、信息安全專項檢查工作情況
目前我局在市行政中心大樓內辦公,網絡和信息系統便于統一管理,內外網完全物理隔離,內網計算機均在有效管理范圍內。局信息安全工作領導小組針對我局的信息安全形勢,定期組織由專業技術人員組成的檢查小組到各個辦公室專項檢查網絡和信息安全情況,仔細排查信息系統的漏洞和安全隱患,用專用工具查殺木馬、病毒,及時加強防范措施,為所有計算機安裝了正版殺毒軟件和防火墻,有效提高了計算機和網絡防范、抵御風險的能力。此外,檢查小組針對個別在市行政中心大樓外辦公的處室進行了上門檢查,不放過任何信息安全死角。在檢查的同時,檢查小組還就信息安全知識進行了上門培訓。經多次檢查,我局信息系統總體情況良好,運行正常,未發現重大隱患。
七、信息安全檢查工作發現的主要問題及整改情況
(一)存在的主要問題
一是專業技術人員較少,信息系統安全方面可投入的力量有限。
二是規章制度體系初步建立,但還不完善,未能覆蓋到信息系統安全的所有方面。
三是遇到計算機病毒侵襲等突發事件處理不夠及時。
(二)下一步工作打算
根據自查過程中發現的不足,同時結合我局實際,將著重以下幾個方面進行整改:
一是進一步擴大對計算機安全知識的培訓面,組織信息員和干部職工進行培訓。
二是要切實增強信息安全制度的落實工作,不定期的對安全制度執行情況進行檢查,從而提高人員安全防護意識。
三是要以制度為根本,在進一步完善信息安全制度的同時,安排專人,完善設施,密切監測,隨時隨地解決可能發生的信息安全事故。
信息安全檢查總結報告范文三:
根據**市人民政府辦公室《關于開展政府信息系統安全的檢查的通知》(天政電[20xx]52號)文件精神。我鎮對本鎮信息系統安全情況進行了自查,現匯報如下:
一、自查情況
(一)安全制度落實情況
1、成立了安全小組。明確了信息安全的主管領導和具體負責管護人員,安全小組為管理機構。
2、建立了信息安全責任制。按責任規定:保密小組對信息安全負首責,主管領導負總責,具體管理人負主責。
3、制定了計算機及網絡的保密管理制度。鎮網站的信息管護人員負責保密管理,密碼管理,對計算機享有獨立使用權,計算機的用戶名和開機密碼為其專有,且規定嚴禁外泄。
(二)安全防范措施落實情況
1、涉密計算機經過了保密技術檢查,并安裝了防火墻。同時配置安裝了專業殺毒軟件,加強了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面有效性。
2、涉密計算機都設有開機密碼,由專人保管負責。同時,涉密計算機相互共享之間沒有嚴格的身份認證和訪問控制。
3、網絡終端沒有違規上國際互聯網及其他的信息網的現象,沒有安裝無線網絡等。
4、安裝了針對移動存儲設備的專業殺毒軟件。
(三)應急響應機制建設情況
1、制定了初步應急預案,并隨著信息化程度的深入,結合我鎮實際,處于不斷完善階段。
2、堅持和涉密計算機系統定點維修單位聯系機關計算機維修事宜,并商定其給予鎮應急技術以最大程度的支持。
3、嚴格文件的收發,完善了清點、修理、編號、簽收制度,并要求信息管理員每天下班前進行系統備份。
(四)信息技術產品和服務國產化情況
1、終端計算機的保密系統和防火墻、殺毒軟件等,皆為國產產品。
2、公文處理軟件具體使用金山軟件的wps系統。
3、工資系統、年報系統等皆為市政府、市委統一指定產品系統。
(五)安全教育培訓情況
1、派專人參加了市政府組織的網絡系統安全知識培訓,并專門負責我鎮的網絡安全管理和信息安全工作。
2、安全小組組織了一次對基本的信息安全常識的學習活動。
二、自查中發現的不足和整改意見
根據《通知》中的具體要求,在自查過程中我們也發現了一些不足,同時結合我鎮實際,今后要在以下幾個方面進行整改。
1、安全意識不夠。要繼續加強對機關干部的安全意識教育,提高做好安全工作的主動性和自覺性。
2、設備維護、更新及時。要加大對線路、系統等的及時維護和保養,同時,針對信息技術的飛快發展的特點,要加大更新力度。
3、安全工作的水平還有待提高。對信息安全的管護還處于初級水平,提高安全工作的現代化水平,有利于我們進一步加強對計算機信息系統安全的防范和保密工作。
4、工作機制有待完善。創新安全工作機制,是信息工作新形勢的必然要求,這有利于提高機關網絡信息工作的運行效率,有利于辦公秩序的進一步規范。
信息安全檢查總結報告范文四:
根據《衡陽市人民政府辦公室關于開展全市重點領域網絡與信息安全檢查的通知》精神,xx月10日,由市電政辦牽頭,組織對全市政府信息系統進行自查工作,現將自查情況總結如下:
一、網絡與信息安全自查工作組織開展情況
xx月10日起,由市電政辦牽頭,對各市直各單位當前網絡與信息安全進行了一次全面的調查,此次調查工作以各單位自查為主,市電政辦抽查為輔的方式進行。自查的重點包括:電政辦中心機房網絡檢修、黨政門戶網維護密碼防護升級,市直各單位的信息系統的運行情況摸底調查、市直各單位客戶機病毒檢測,市直各單位網絡數據流量監控和數據分析等。
二、信息安全工作情況
通過上半年電政辦和各單位的努力,我市在網絡與信息安全方面主要完成了以下工作:
1、所有接入市電子政務網的系統嚴格遵照規范實施,我辦根據《常寧市黨政門戶網站信息審核制度》、《常寧市網絡與信息安全應急預案》、《“中國?常寧”黨政門戶網站值班讀網制度》、《"中國?常寧”黨政門戶網站應急管理預案》等制度要求,定期組織開展安全檢查,確保各項安全保障措施落實到位。
2、組織信息安全培訓。面向市直政府部門及信息安全技術人員進行了網站滲透攻擊與防護、病毒原理與防護等專題培訓,提高了信息安全保障技能。
3、加強對黨政門戶網站巡檢。定期對各部門子網站進行外部web安全檢查,出具安全風險掃描報告,并協助、督促相關部門進行安全加固。
4、做好重要時期信息安全保障。采取一系列有效措施,實行24小時值班制及安全日報制,與重點部門簽訂信息安全保障承諾書,加強互聯網出口訪問的實時監控,確保xx大期間信息系統安全。
三、自查發現的主要問題和面臨的威脅分析
通過這次自查,我們也發現了當前還存在的一些問題:
1、部分單位規章制度不夠完善,未能覆蓋信息系統安全的所有方面。
2、少數單位的工作人員安全意識不夠強,日常運維管理缺乏主動性和自覺性,在規章制度執行不嚴、操作不規范的情況。
3、存在計算機病毒感染的情況,特別是U盤、移動硬盤等移動存儲設備帶來的安全問題不容忽視。
4、信息安全經費投入不足,風險評估、等級保護等有待加強。
5、信息安全管理人員信息安全知識和技能不足,主要依靠外部安全服務公司的力量。
四、改進措施和整改結果
在認真分析、總結前期各單位自查工作的基礎上,xx月12日,我辦抽調3名同志組成檢查組,對部分市直機關的重要信息系統安全情況進行抽查。檢查組共掃描了18個單位的門戶網站,采用自動和人工相結合的方式對15臺重要業務系統服務器、46臺客戶端、10臺交換機和10臺防火墻進行了安全檢查。
檢查組認真貫徹“檢查就是服務”的理念,按照《衡陽市人民政府辦公室關于開展全市重點領域網絡與信息安全檢查的通知》要求對抽查單位進行了細致周到的安全巡檢,提供了一次全面的安全風險評估服務,受到了服務單位的歡迎和肯定。檢查從自查情況核實到管理制度落實,從網站外部安全掃描到重要業務系統安全檢測,從整體網絡安全評測到機房物理環境實地勘查,全面了解了各單位信息安全現狀,發現了一些安全問題,及時消除了一些安全隱患,有針對性地提出了整改建議,督促有關單位對照報告認真落實整改。通過信息安全檢查,使各單位進一步提高了思想認識,完善了安全管理制度,強化了安全防范措施,落實了安全問題的整改,全市安全保障能力顯著提高。
五、關于加強信息安全工作的意見和建議
針對上述發現的問題,我市積極進行整改,主要措施有:
1、對照《衡陽市人民政府辦公室關于開展全市重點領域網絡與信息安全檢查的通知》要求,要求各單位進一步完善規章制度,將各項制度落實到位。
2、繼續加大對機關全體工作人員的安全教育培訓,提高信息安全技能,主動、自覺地做好安全工作。
3、加強信息安全檢查,督促各單位把安全制度、安全措施切實落實到位,對于導致不良后果的安全事件責任人,要嚴肅追究責任。
4、繼續完善信息安全設施,密切監測、監控電子政務網絡,從邊界防護、訪問控制、入侵檢測、行為審計、防毒防護、網站保護等方面建立起全方位的安全防護體系。
5、加大應急管理工作推進力度,在全市信息安全員隊伍的基礎上組建一支應急支援技術隊伍,加強部門間協作,完善應急預案,做好應急演練,將安全事件的影響降到最低。
信息安全檢查總結報告范文五:
按照盟信息化領導小組《關于20xx年我盟開展重點領域信息安全檢查工作的通知》(阿信領辦字〔20xx〕2號)要求,我局對信息安全管理工作進行自查,現報告如下:
一、信息安全檢查工作組織開展情況
按照《政府部門信息安全檢查操作指南》規定,我局成立了由王軍副局長擔任組長的信息安全檢查工作組,制發了《阿拉善盟安全生產監督管理局信息安全檢查工作方案》,召開專題會議對信息安全檢查工作進行安排部署,從8月1日起在單位內部開展了為期30天的信息安全自查和基本信息梳理等相關工作。
二、20xx年信息安全主要工作情況
安全管理方面,制定了《阿拉善盟安全生產監督管理局信息安全管理制度》、《存儲介質管理制度》、《人員離職離崗安全規定》等制度,重要崗位人員簽訂了安全保密協議。
技術防護方面,網站服務器及計算機設置防火墻,拒絕外來惡意攻擊,保障網絡正常運行,安裝了正牌的防病毒軟件,對計算機病毒、有害電子郵件采取有效防范,根據系統服務需求,按需開放端口,遵循最小服務配置原則。一旦發生網絡信息安全事故應立即報告相關方面并及時進行協調處理。
應急處理方面,加強了網絡管理人員應急處理相關培訓教育,對突發網絡信息安全事故可快速安全地處理。
教育培訓方面,對全體干部職工開展了信息安全教育培訓。
三、檢查發現的主要問題和面臨的威脅分析
1. 發現的主要問題和薄弱環節
自查發現個別人員計算機安全意識不強。在以后的工作中我們將繼續加強對計算機安全意識教育和防范技能訓練讓干部職工充分認識到計算機泄密后的嚴重性與可怕性。
2.面臨的安全威脅與風險
無。
3.整體安全狀況的基本判斷
網絡安全總體狀況良好,未發生重大信息安全事故。
四、改進措施與整改效果
1. 改進措施
為保證網絡安全有效地運行,減少病毒侵入,我局就網絡安全及系統安全的有關知識進行了培訓。期間,大家對實際工作中遇到的計算機方面的有關問題進行了詳細的咨詢,并得到了滿意的答復。
2. 整改效果
經過培訓教育,全體干部職工對網絡信息安全有了更深入的了解,并在工作中時刻注意維護信息安全。
五、關于加強信息安全工作的意見和建議
一、貫徹落實條例情況
二00八年以來,在***市人大和信息化工作領導小組的正確指導下,***市公安局為了深入貫徹落實科學發展觀,進一步優化我市信息化發展環境,推進我市信息化正規化發展.按照市人大通知精神,成立了***市公安局信息化安全領導小組,并組織相關人員對《***信息化條例》進行了認真學習,學習后按照職責要求對全市從事國際聯網業務的單位和個人進行了安全監督、檢查和指導,歷年無信息安全事件發生。
二、歷年工作情況
首先每年每季度組織全市涉及信息化安全的單位召開信息化安全會議,在組織各單位學習信息化條例及網絡安全知識的同時,總結各單位網絡信息化安全事件,并對各單位網絡信息化安全工作提出要求。
首先每年每季度對全市ISPICP單位進行安全檢查,發現問題發放整改通知書,督促其落實安全保護技術措施,保障本網絡的運行安全和信息安全,并要求其對網絡個人用戶進行備案管理和安全教育及培訓。對全市重點單位開展了全市非經營經聯網上網服務營業場所的安全軟件安裝工作,有效的保障了非經營聯網上網服務營業場所的安全運行。
三、存在的不足
在貫徹執行條例中涉及本單位職責范圍的工作時,由于部分單位對網絡安全監察工作不是太理解,所以對我局開展的網絡安全監察工作配合意識不強,對網絡信息化安全工作開展形成了障礙,造成了部分工作滯后,網絡信息安全責任制落實不到位的情況。
四、下步打算
下步工作中,***市公安局將按照市人大及信息化辦公室的要求,認真貫徹落實條例內容,按照本單位職責,在做好本單位工作的同時,對全市涉及網絡信息安全的單位及個人進行全面督促檢查,履行職責,為全力推動我市信息化健康、協調發展貢獻力量。
為切實加強對全省政府系統辦公業務資源網(以下簡稱省政府專網)的安全管理,確保重要網絡辦公應用系統運行穩定、安全可控,根據《國務院辦公廳關于加強政府信息系統安全和保密管理工作的通知》(〔2008〕17號)精神,經省政府同意,現就加強省政府專網安全管理工作通知如下:
一、提高認識,認清形勢,高度重視新形勢下省政府專網安全管理工作
省政府專網是以省政府辦公廳為樞紐的全省政府系統辦公業務資源網,是全省電子政務建設的重要組成部分,也是我省推進電子政務建設的重要基礎。省政府專網自1997年開始建設使用以來,不斷升級完善,目前已連接各省轄市政府及170家省直單位。其網上的主要辦公應用有公文交換、信息采編、應急值班、公務郵件會議通知報名等辦公應用系統。同時建設了省政府專網網站,為各聯網單位提供了信息共享平臺。
當前,網絡安全形勢十分嚴峻。國內外敵對勢力大肆利用各種手段對我各級政府信息系統進行網絡攻擊、破壞,竊密手段不斷翻新,竊密活動十分猖獗。隨著信息化建設的不斷推進和新技術的發展運用,泄密風險、泄密渠道和泄密隱患明顯增多,網絡安全管理難度明顯加大。同時,一些單位和人員信息安全和保密意識淡薄,管理機制不健全,制度不落實,技術防護措施不完善,違規操作行為有禁不止等問題比較突出。網絡安全涉及國家安全,各地、各部門必須站在維護國家安全和利益、保障中原經濟區建設順利進行、加快中原崛起和振興的戰略高度,充分認識信息化條件下政府信息系統安全管理面臨的嚴峻形勢,采取切實有效措施,加強省政府專網安全管理工作,保障其安全、穩定運行。
二、加強領導,明確責任,健全省政府專網安全管理責任制
各地、各部門要把省政府專網安全管理工作列入重要議事日程,加強領導,落實責任,完善措施,強化監管,切實抓緊抓好。省政府辦公廳負責規劃建設省級政府專網平臺,制定網絡對接、信息交換、安全技術及運行管理標準規范,并對省級政府專網平臺安全負責。
各地、各部門要按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則,建立健全省政府專網安全管理責任制,把責任落實到具體崗位和個人。一要明確一名主管領導,負責本地、本部門省政府專網安全管理工作,及時研究解決工作中存在的問題,統籌協調和保障工作的開展。二要指定一個內設機構具體承擔本單位省政府專網安全管理工作,負責組織落實本單位網絡信息安全保密管理制度,完善防護措施,開展信息安全保密教育和監督檢查等。三要指定一位安全觀念強、富有責任心、懂安全防護技術的工作人員擔任專職或兼職省政府專網安全員,負責日常檢查、維護、聯系等工作。四要制定完善網絡管理崗位責任制度和辦法,與網絡管理、使用人員簽訂安全保密責任書,明確省政府專網安全管理責任。
三、強化教育,加強培訓,提高網絡安全意識和防護技能
各地、各部門要結合實際,認真組織開展對省政府專網分管領導、工作人員的教育培訓,加強對國家保密法律、法規和網絡安全保密管理規定的深入學習,特別是要對網絡管理人員和專兼職網絡安全員開展崗位任職培訓。當前,要嚴格落實省政府專網安全管理工作要求,一是嚴禁將網絡、信息系統和國際互聯網等公共信息網接入省政府專網;二是嚴禁在計算機與連接省政府專網計算機之間交叉使用U盤等移動存儲設備;三是嚴禁在沒有防護措施的情況下將國際互聯網等公共信息網上的數據拷貝到省政府專網;四是嚴禁計算機、連接互聯網的計算機與連接省政府專網的計算機混用。行政機關及其工作人員要切實遵守信息安全和保密管理各項規定,做到令行禁止,杜絕安全隱患。
四、完善措施,增強能力,夯實安全工作基礎
(一)實行嚴格的網絡隔離。省政府專網是非的全省政府系統內部辦公網絡,要與網絡以及國際互聯網等公共信息網物理隔離,專網專用。
(二)實行嚴格的接入管理。省政府辦公廳對省政府專網實行嚴格的網絡接入審批制度,擬接入省政府專網的單位要以書面形式向省政府辦公廳提出申請。對已經接入省政府專網的單位,必須按照省政府辦公廳統一分配的域名、IP(網絡之間互連的協議)地址段等配置相關設備,未經批準不得隨意改動;符合安全要求的單位要將本單位辦公局域網整體接入省政府專網;如將接入省政府專網的網絡向下連接或改變省政府專網連接方式、范圍,或利用省政府專網開展新的縱向辦公應用,須先制定網絡系統方案和工作方案,并報省政府辦公廳電子政務辦公室審核。
(三)實行嚴格的內容管理。連接省政府專網的計算機、服務器和其他設備不得用于存儲、處理、傳輸涉及國家秘密的信息。接入省政府專網的用戶不得利用省政府專網制作、復制或傳播各類不良信息,不得從事干擾其他省政府專網用戶、破壞網絡服務和網絡設備的活動,如在網絡上不真實的信息、散布計算機病毒等。
(四)實行計算機配置管理和安全審計。各單位要對連接省政府專網的計算機和移動存儲設備實行配置管理,統一編號、統一標志、統一登記;對辦公用計算機逐步加裝安全審計工具,定期進行安全審計。
(五)增強網絡安全保障能力。各地、各部門要加快信息安全防護設施建設,將信息安全防護設施建設、運行、維護、檢查和管理費用納入預算,保證資金落實。同時,要加快建立健全以身份認證、訪問控制、安全審計、責任認定、病毒防護等為主要內容的網絡安全體系,完善網絡安全技術防護手段。
該文對供水企業信息集成系統安全進行分析,并探討了可以針對性改進的安全防護措施。首先對當前供水信息系統安全現狀做具體分析,然后研究了在“自主定級,自主保護”的原則下改進和提高供水企業集成信息系統安全具體的執行方案,最終實現供水企業信息集成系統的信息安全防護。
關鍵詞:
供水企業信息集成系統;等級保護;信息安全
供水行業對國計民生很重要的一個行業,供水企業的業務性質要求以信息的整體化為基本立足點,集中管理所有涉及運營的相關數據,針對供水企業運行的特殊要求,進行集中的規劃和架構,將不同專業的應用系統進行整合,最終形成完整的供水企業綜合信息平臺。[1]而集成系統中最重要的一個要求就是信息安全。
隨著大數據時代的到來,網格、分布式計算、云計算、物聯網等新技術相繼推出,對供水企業信息集成與應用也提出了更高的要求。而隨著應用的擴展,應用中存在著大量的安全隱患,網絡黑客、木馬、病毒和人為的破壞等將大量的安全威脅帶給信息系統。根據美國Radicati公司于2015年3月的調查報告,截至2014年12月,網絡攻擊已經為全球計算機網絡安全造成高達上萬億美元的損失。而且隨著網絡應用的規模進一步上升,計算機網絡信息安全威脅造成的損失正在呈幾何級數增長。根據2015年的中國網絡安全分析報告,2014年報告的網絡安全攻擊事件比2013年增加了100多倍。2014年,搜狗由于網絡黑客攻擊導致搜索服務在全國各地都出現了長達25分鐘無法使用。2014年7月,某域名服務商的域名解析服務器發生了網絡黑客的集中式攻擊,造成在其公司注冊的13%的網站無法訪問,時間長達17個小時,經濟損失不可估量。因此,從信息安全的角度,要對供水企業信息集成系統進行防護,降低信息安全事故的發生的概率,降低其危害,是本文需要研究的內容。
1當前供水企業信息集成系統安全防護的現狀和存在的問題
伴隨著科技的不斷發展,供水企業的信息化建設也得到了很大的發展,主要是從深度和廣度兩個層面做進一步拓展。典型的供水企業信息集成系統涵蓋了生產調度系統、銷售系統、管網信息系統、財務管理系統、人事管理系統、辦公自動化系統等子系統。其中多個系統數據需要接受外部訪問,存在大量的安全隱患。目前,威脅到供水企業信息安全的風險因素主要分為三個大類:1)人為原因,如惡意的黑客攻擊、不懷好意的內部人員造成的信息外泄、操作中出現低級錯誤等。2)數據存儲位置位置的風險。可能由自然災害引發的問題,缺乏數據備份和恢復能力。3)不斷增長的數據交互放大了數據丟失或泄漏的風險。包括未知的安全漏洞、軟件版本、安全實踐和代碼更改等。
2有關分級防護的要求
尤其是供水企業信息集成系統中,存在大量涉及公民個人隱私的信息,也存在像生產調度這樣涉及國計民生的信息。因此,需要按照國家有關信息安全的法律法規,明確企業的信息安全責任。提升供水企業信息管理區內的業務系統信息安全防護。依據《信息安全等級保護管理辦法》(公通字[2007]43號)第十四條,信息系統建設完成后,運營、使用單位或者其主管部門應當選擇符合本辦法規定條件的測評機構,依據《信息系統安全等級保護測評要求》等技術標準,定期對信息系統安全等級狀況開展等級測評。定級標準按照國家標準《信息系統安全等級保護定級指南》(GB/T22240—2008)實施,根據等級保護相關管理文件,信息系統的安全保護等級分為以下五級:第一級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。第三級,信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。第四級,信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。第五級,信息系統受到破壞后,會對國家安全造成特別嚴重損害。等級保護對象受到破壞后對客體造成侵害的程度歸結為以下三種:1)造成一般損害;2)造成嚴重損害;3)造成特別嚴重損害。
3分別防護實施步驟
根據有關法律法規,建設完成并投入使用的信息系統,其有關使用此系統的單位需要對其系統的等級狀況做定期的測評。供水企業要遵照要求選擇具有資質的測評機構來對管理信息區的業務系統做等級保護的測評工作。其所得到的結果如下表1所示:通常情況下,供水企業信息系統中不會出現第四級和第五級的系統。根據測評結果,有必要對供水企業內部的局域網進行系統化整改。具體的整改內容包括兩項主要內容:細化各業務系統服務器的物理位置;按照需求設置信息安全區域。根據供水企業信息集成系統的具體實際,主要有等級包括三個業務區域,以及一個公共業務區和測評業務區。按照上述原則對供水企業信息集成系統服務器做物理劃分如圖1所示。不同等級的系統服務器針對不同級別的信息安全區進行設置。等級為一、二、三的業務區分別安裝著對應的服務器,而公共業務區域的服務器主要是DNS服務器或者是域服務器。公共業務區服務器主要為基礎服務提供非業務系統服務,不需要進行保護分級。測評業務區提供是投入正式使用前的測試服務器。
依據表1的測評結果,將安全區域進行細化表2所示的就是企業管理信息區,其主要業務系統對安全區域存放問題的展示。根據表2得到的結果,可以將信息安全設備存放在不同信息區域邊界內,以此達到服務器分級防護目的。信息安全設備設置在信息安全區域邊界,也就是局域網與信息安全區域之間的連接部。信息安全設備主要是防火墻、查殺病毒、攻擊防護、服務防護禁止、授權等。對于不同區域邊界的信息安全的部署建議,供水企業要遵照各自的實際情況做周密的設置。供水企業管理信息安全區域邊界防護表見表3。將信息安全防護設備部署在所在的區域邊界內,如此可以初步實現對供水企業管理信息區的信息安全防護。
4結束語
隨著大數據的發展,對供水企業信息集成系統在數據的交互和應用方面會提出更高的要求,也大大加強了安全防護措施的重要性和迫切性。在安全防護措施基本到位的前提下,還需要加強信息審計,及時發現和補救系統缺陷,加強數據庫安全防護,維護管理系統的隱患。
參考文獻:
[1]孫鋒.基于多agent技術的供水企業信息集成系統研究[J].供水技術,2015(10).
第一條 為加強對具有輿論屬性或社會動員能力的互聯網信息服務和相關新技術新應用的安全管理,規范互聯網信息服務活動,維護國家安全、社會秩序和公共利益,根據《中華人民共和國網絡安全法》《互聯網信息服務管理辦法》《計算機信息網絡國際聯網安全保護管理辦法》,制訂本規定。
第二條 本規定所稱具有輿論屬性或社會動員能力的互聯網信息服務,包括下列情形:
(一)開辦論壇、博客、微博客、聊天室、通訊群組、公眾賬號、短視頻、網絡直播、信息分享、小程序等信息服務或者附設相應功能;
(二)開辦提供公眾輿論表達渠道或者具有發動社會公眾從事特定活動能力的其他互聯網信息服務。
第三條 互聯網信息服務提供者具有下列情形之一的,應當依照本規定自行開展安全評估,并對評估結果負責:
(一)具有輿論屬性或社會動員能力的信息服務上線,或者信息服務增設相關功能的;
(二)使用新技術新應用,使信息服務的功能屬性、技術實現方式、基礎資源配置等發生重大變更,導致輿論屬性或者社會動員能力發生重大變化的;
(三)用戶規模顯著增加,導致信息服務的輿論屬性或者社會動員能力發生重大變化的;
(四)發生違法有害信息傳播擴散,表明已有安全措施難以有效防控網絡安全風險的;
(五)地市級以上網信部門或者公安機關書面通知需要進行安全評估的其他情形。
第四條 互聯網信息服務提供者可以自行實施安全評估,也可以委托第三方安全評估機構實施。
第五條 互聯網信息服務提供者開展安全評估,應當對信息服務和新技術新應用的合法性,落實法律、行政法規、部門規章和標準規定的安全措施的有效性,防控安全風險的有效性等情況進行全面評估,并重點評估下列內容:
(一)確定與所提供服務相適應的安全管理負責人、信息審核人員或者建立安全管理機構的情況;
(二)用戶真實身份核驗以及注冊信息留存措施;
(三)對用戶的賬號、操作時間、操作類型、網絡源地址和目標地址、網絡源端口、客戶端硬件特征等日志信息,以及用戶信息記錄的留存措施;
(四)對用戶賬號和通訊群組名稱、昵稱、簡介、備注、標識,信息、轉發、評論和通訊群組等服務功能中違法有害信息的防范處置和有關記錄保存措施;
(五)個人信息保護以及防范違法有害信息傳播擴散、社會動員功能失控風險的技術措施;
(六)建立投訴、舉報制度,公布投訴、舉報方式等信息,及時受理并處理有關投訴和舉報的情況;
(七)建立為網信部門依法履行互聯網信息服務監督管理職責提供技術、數據支持和協助的工作機制的情況;
(八)建立為公安機關、國家安全機關依法維護國家安全和查處違法犯罪提供技術、數據支持和協助的工作機制的情況。
第六條 互聯網信息服務提供者在安全評估中發現存在安全隱患的,應當及時整改,直至消除相關安全隱患。
經過安全評估,符合法律、行政法規、部門規章和標準的,應當形成安全評估報告。安全評估報告應當包括下列內容:
(一)互聯網信息服務的功能、服務范圍、軟硬件設施、部署位置等基本情況和相關證照獲取情況;
(二)安全管理制度和技術措施落實情況及風險防控效果;
(三)安全評估結論;
(四)其他應當說明的相關情況。
第七條 互聯網信息服務提供者應當將安全評估報告通過全國互聯網安全管理服務平臺提交所在地地市級以上網信部門和公安機關。
具有本規定第三條第一項、第二項情形的,互聯網信息服務提供者應當在信息服務、新技術新應用上線或者功能增設前提交安全評估報告;具有本規定第三條第三、四、五項情形的,應當自相關情形發生之日起30個工作日內提交安全評估報告。
第八條 地市級以上網信部門和公安機關應當依據各自職責對安全評估報告進行書面審查。
發現安全評估報告內容、項目缺失,或者安全評估方法明顯不當的,應當責令互聯網信息服務提供者限期重新評估。
發現安全評估報告內容不清的,可以責令互聯網信息服務提供者補充說明。
第九條 網信部門和公安機關根據對安全評估報告的書面審查情況,認為有必要的,應當依據各自職責對互聯網信息服務提供者開展現場檢查。
網信部門和公安機關開展現場檢查原則上應當聯合實施,不得干擾互聯網信息服務提供者正常的業務活動。
第十條 對存在較大安全風險、可能影響國家安全、社會秩序和公共利益的互聯網信息服務,省級以上網信部門和公安機關應當組織專家進行評審,必要時可以會同屬地相關部門開展現場檢查。
第十一條 網信部門和公安機關開展現場檢查,應當依照有關法律、行政法規、部門規章的規定進行。
第十二條 網信部門和公安機關應當建立監測管理制度,加強網絡安全風險管理,督促互聯網信息服務提供者依法履行網絡安全義務。
發現具有輿論屬性或社會動員能力的互聯網信息服務提供者未按本規定開展安全評估的,網信部門和公安機關應當通知其按本規定開展安全評估。
第十三條 網信部門和公安機關發現具有輿論屬性或社會動員能力的互聯網信息服務提供者拒不按照本規定開展安全評估的,應當通過全國互聯網安全管理服務平臺向公眾提示該互聯網信息服務存在安全風險,并依照各自職責對該互聯網信息服務實施監督檢查,發現存在違法行為的,應當依法處理。
第十四條 網信部門統籌協調具有輿論屬性或社會動員能力的互聯網信息服務安全評估工作,公安機關的安全評估工作情況定期通報網信部門。
第十五條 網信部門、公安機關及其工作人員對在履行職責中知悉的國家秘密、商業秘密和個人信息應當嚴格保密,不得泄露、出售或者非法向他人提供。
根據《基本要求》的規定,二級要求的系統防護能力為:信息系統具有抵御一般攻擊的能力,能防范常見計算機病毒和惡意代碼危害的能力,系統遭受破壞后,具有恢復系統主要功能的能力。數據恢復的能力要求為:系統具有一定的數據備份功能和設備冗余,在遭受破壞后能夠在有限的時間內恢復部分功能。按照二級的要求,一般情況下分為技術層面和管理層面的兩個層面對信息系統安全進行全面衡量,技術層面主要針對機房的物理條件、安全審計、入侵防范、邊界、主機安全審計、主機資源控制、應用資源控制、應用安全審計、通信完整性和數據保密性等多個控制點進行測評,而管理層面主要針對管理制度評審修訂、安全管理機構的審核和檢查、人員安全管理、系統運維管理、應急預案等方面進行綜合評測。其中技術類安全要求按照其保護的側重點不同分為業務信息安全類(S類)、系統服務安全類(A類)、通用安全防護類(G類)三類。水利信息系統通常以S和G類防護為主,既關注保護業務信息的安全性,又關注保護系統的連續可用性。
2水利科研院所信息安全現狀分析
水利科研院所信息系統結構相對簡單,在管理制度上基本建立了機房管控制度、人員安全管理制度等,技術上也都基本達到了一級防護的要求。下面以某水利科研單位為例分析。某水利科研單位主機房選址為大樓低層(3層以下),且不臨街。機房大門為門禁電磁防盜門,機房內安裝多部監控探頭。機房內部劃分為多個獨立功能區,每個功能區均安裝門禁隔離。機房鋪設防靜電地板,且已與大樓防雷接地連接。機房內按照面積匹配自動氣體消防,能夠對火災發生進行自動報警,人工干預滅火。機房內已安裝溫度濕度監控探頭,對機房內溫濕度自動監控并具有報警功能,機房配備較大功率UPS電源,能夠保障關鍵業務系統在斷電后2小時正常工作。機房采用通信線路上走線,動力電路下走線方式。以上物理條件均滿足二級要求。網絡拓撲結構分為外聯區、對外服務區、業務處理區和接入區4大板塊,對外服務區部署有VPN網關,外部人員可通過VPN網關進入加密SSL通道訪問業務處理區,接入區用戶通過認證網關訪問互聯網。整個網絡系統未部署入侵檢測(IDS)系統、非法外聯檢測系統、網絡安全審計系統以及流量控制系統。由上述拓撲結構可以看出,現有的安全防護手段可基本保障信息網絡系統的安全,但按照二級要求,系統內缺少IDS系統、網絡安全審計系統和非法外聯檢測系統,且沒有獨立的數據備份區域,給整個信息網安全帶來一定的隱患。新的網絡系統在外聯區邊界防火墻下接入了入侵檢測系統(IDS),新規劃了獨立的數據備份區域,在核心交換機上部署了網絡審計系統,并在接入區安裝了非法外聯檢測系統。形成了較為完整的信息網絡安全防護體系。
3信息系統安全等級測評的內容
3.1信息系統等級保護的總體規劃
信息系統從規劃到建立是一個復雜漫長的過程,需要做好規劃。一般情況下,信息系統的安全規劃分為計算機系統、邊界區域、通信系統的安全設計。相應的技術測評工作也主要圍繞這3個模塊展開。
3.2測評的要素
信息系統是個復雜工程,設備的簡單堆疊并不能有效保障系統的絕對安全,新建系統應嚴格按照等保規劃設計,已建系統要對信息系統進行安全測試,對于測評不合格項對照整改。信息系統安全測試范圍很廣,主要在網絡安全、主機安全、應用安全、數據安全、物理安全、管理安全六大方面展開測評。本文僅對測評內容要素進行描述,對具體測試方法及工具不作描述。
3.2.1網絡安全的測評
水利科研院所網絡安全的測評主要參照公安部編制《信息安全等級測評》條件對網絡全局、路由和交換設備、防火墻、入侵檢測系統展開測評。但應結合科研院所實際有所側重。水利科研院所信息系統數據傳輸量大,網絡帶寬占用比例相對較高,因此,在網絡全局中主要測試網絡設備是否具備足夠的數據處理能力,網絡設備資源占用情況,確保網絡設備的業務處理能力冗余性。科研院所地理位置相對分散,因此,需要合理的VLAN劃分,確保局部網絡攻擊不會引發全局癱瘓。科研院所擁有大量的研究生,這類人群對于制度的約束相對較差,網絡應用多伴有P2P應用,對出口帶寬影響極大,因此除了用經濟杠桿的手段外,在技術上要求防火墻配置帶寬控制策略。同時對“非法接入和外聯”行為進行檢查。網絡中應配置IDS對端口掃描,對木馬、后門攻擊、網絡蠕蟲等常見攻擊行為監視等等。
3.2.2主機安全測評
主機安全的測評主要對操作系統、數據庫系統展開測評。通常水利科研院所服務器種類繁多,從最多見的機架式服務器到曙光一類的大型并行服務器均有部署,同時操作系統有window系列、Linux、Unix、Solaris等多種操作系統,數據庫以主流SQLSERVER、ORACLE為主,早期開發的系統還有Sybase,DB2等數據庫。對于window操作系統是容易被攻擊的重點,因為二級等保為審計級保護所以重點在于身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼4個方面進行測評,主要審計重要用戶行為、系統資源的異常使用和重要信息的命令使用等系統內重要的安全相關事件。對于LINUX等其他系統和數據庫,主要審計操作系統和數據庫系統的身份標識唯一性,口令應復雜程度以及限制條件等。
3.2.3應用安全測評
水利科研院所內部業務種類繁多,如OA系統,科研管理系統,內部財務系統、網站服務器群,郵件服務器等,測評的重點主要是對這些業務系統逐個測評身份驗證,日志記錄,訪問控制、安全審計等功能。
3.2.4數據安全的測評
數據安全的測評主要就數據的完整性、保密性已及備份和恢復可靠性、時效性展開測評。水利科研院所數據量十分龐大,一般達到上百TB級數據量,一旦遭受攻擊,恢復任務十分艱巨,因此備份區和應用區應該選用光纖直連的方式,避免電纜數據傳輸效率的瓶頸。日常情況下應做好備份計劃,采用增量備份的方式實時對數據備份。
3.2.5物理安全測評
機房的物理安全測評主要是選址是否合理,機房大門防火防盜性能,機房的防雷擊、防火、防水防潮防靜電設施是否完好達標,溫濕度控制、電力供應以及電磁防護是否符合規定等物理條件。
3.2.6安全管理測評
安全管理主要就制定的制度文檔和記錄文檔展開評測。制度文檔主要分為3類,流程管理,人員管理和設備管理。記錄文檔主要為制度文檔的具體實施形式。在滿足二級的條件下,一般需要制度文檔有《信息安全管理辦法》、《安全組織及職責管理規定》、《安全審核與檢查管理制度》、《授權和審批管理規定》、《信息安全制度管理規范》、《內部人員安全管理規定》、《外部人員安全管理規定》、《系統設計和采購安全管理規定》、《系統實施安全管理規定》、《系統測試驗收和交付安全管理規定》、《軟件開發安全管理規定》、《系統運維和監控安全管理規定》、《網絡安全管理規定》、《系統安全管理規定》、《賬號密碼管理規定》等基本規章制度。同時對管理制度本身進行也要規范管理,如版本控制,評審修訂流程等。需要制定的記錄文檔有《機房出入登記記錄》、《機房基礎設施維護記錄》、《各類評審和修訂記錄》、《人員考核、審查、培訓記錄》、《各項審批和批準執行記錄》、《產品的測試選型測試結果記錄》、《系統驗收測試記錄報告》、《介質歸檔查詢等的等級記錄》、《主機系統,網絡,安全設備等的操作日志和維護記錄》、《機房日常巡檢記錄》、《安全時間處理過程記錄》、《應急預案培訓,演練,審查記錄》等。
4測評的方式方法
按照《基本要求》在等級測評中,對二級及二級以上的信息系統應進行工具測試。
4.1測試目的工具測試
是利用各種測試工具,通過對目標系統的掃描、探測等操作,使其產生特定的響應等活動,查看分析響應結果,獲取證據以證明信息系統安全保護措施是否得以有效實施的一種方法。工具測試種類繁多,這里特指適用于等保測評過程中的工具測試。利用工具測試不僅可以直接獲得系統本身存在的漏洞,同時也可以通過不同的區域接入測試工具所得到的測試結果判斷出不同區域之間的訪問控制情況。利用工具測試并結合其他的核查手段能為測試結果提供客觀準確的保障。
4.2測試流程
收集信息→規劃接入點→編制《工具測試作業指導書》→現場測試→結果整理。收集信息主要是對網絡設備、安全設備、主機設備型號、IP地址、操作系統以及網絡拓撲結構等信息進行收集。規劃接入點是保證不影響整個信息系統網絡正常運行的前提下嚴格按照方案選定范圍進行測試。接入點的規劃隨著網絡結構,訪問控制,主機位置等情況的不同而不同,但應該遵循以下規則。(1)由低級別系統向高級別系統探測。(2)同一系統同等重要程度功能區域之間要互相探測。(3)由外聯接口向系統內部探測。(4)跨網絡隔離設備(包括網絡設備和安全設備)要分段探測。
4.3測試手段
利用漏洞掃描器、滲透測試工具集、協議分析儀、網絡拓撲結構生成工具更能迅速可靠地找到系統的薄弱環節,為整改方案的編制提供依據。
5云計算與等級保護
近年來,隨著水利科研院各自的云計算中心相繼建立,云計算與以往的計算模式安全風險差異很大,面臨的風險也更大,因為以往的系統多數為集中式管理范圍較小,安全管理和設備資源是可控的,而云計算是分布式管理,是一個動態變化的計算環境,這種環境在某種意義上是無序的,這種虛擬動態的運行環境更不可控,傳統的安全邊界消失。同時,云計算在認證、授權、訪問控制和數據保密這些方面這對于信息網絡安全也提出了更高的要求。由云安全聯盟和惠普公司列出了云計算面臨的7宗罪(風險),說明云安全的狀況變化非常快,現有的技術和管理體系并不完全適應于云計算的模式,如何結合自身特點制定出適合云計算的等級保護體系架構是今后研究的方向。
6結語
主要內容
對銀行和信用卡支付卡授權商的系統風險管理。新加坡金管局在2013年6月21日了644號和644A號通知,并于2014年7月1日起開始執行。兩個通知分別對在新加坡的銀行和信用卡或支付卡授權商的系統風險管理做了安排。644A號文規定信用卡或支付卡授權商是被授權依法進行在新加坡開立信用卡或支付卡業務的個人。通知規定,銀行和信用卡或支付卡授權商應該落實一個框架,處理識別核心系統,盡最大努力維持核心系統的高可靠性,確保每一個影響和授權商操作和對客戶服務的核心系統的最大意外停機每12個月不超過4小時。并且銀行和授權商應該建立一個修復時間目標(RTO,指從故障發生到系統修復的持續時間),對于每一個核心系統不超過4個小時。每12個月須至少驗證并且記錄一次核心系統在系統修復測試中的表現以及測試時間。一旦核心系統發生故障或事故,銀行和授權商應在1小時以內通知新加坡金管局。在重大事件發生的14天以內,或者經當局許可的更長一段時間內,銀行和授權商應向新加坡金管局提交一份根本原因和沖擊分析報告。報告應該包括:重大事件的綜合摘要、觸發重大事件的根本原因分析、描述重大事件對銀行的沖擊、描述已采取的補救措施以解決根本原因和重大事件的結果。最后,銀行和授權商應實施IT控制以保護客戶信息免遭非法入侵和曝光。
有關IT外包的監管。新加坡金管局在其《IT Outsourcing Circular Jul 2011》對外包商的監管作了明確規定。文件中指出,外包是指位于新加坡國內外的一個或多個提供第三方IT技術和設備的供應商,包括從系統開發、維護和支持到數據中心操作、網絡管理、故障修復服務、應用托管和云計算。金融機構要落實正確的框架、政策和流程去評估、審批、復審、控制和監控所有外包活動的風險和實質。在與外包商簽訂合同之前,金融機構應該就所有的外包建議做一個徹底的風險評估,可以參考基于移動終端的信息化應用服務(MAS)的外包技術調查問卷作為進一步指導,金融機構在簽訂任何外包委托之前向服務商提交完成后的問卷。新加坡金管局沒有直接涵蓋對銀行技術外包服務商(TSP-Technology Service Providers)的具體要求,而是要求金融機構確保外包商采用高標準的政策和流程以確保敏感信息的機密性和安全性,敏感信息例如客戶資料、計算機文件、檔案、目標程序和源代碼。在與外包商的合同終止時,金融機構應該在有合同的保證下,可以快速移除或銷毀所有的IT信息和資產。
對個人移動設備的監管。2014年9月26日,新加坡金管局了《Circular SRD TR02 2014》,對金融機構中“自帶設備”所帶來的風險進行了規定。文件中指出“自帶你的移動設備”(BYOD)是越來越多的金融機構采用的一種相對較新的實踐,讓員工從他們的個人移動設備訪問公司電子郵件、日歷、應用程序和數據。但是“自帶設備”相應地會增加金融風險,金融機構應該發展出一套綜合的防止資料損失的策略,去保護敏感或機密的用戶信息。一些不利于策略有效應用的因素包括幾個方面,第一,隱私和個人使用的沖擊。在“自帶設備”環境中,雇員可以根據他們的選擇自由在他們的移動設備上安裝應用,并且拒絕安裝特定的安全軟件;第二,不同的設備組合。實施“自帶設備”的金融機構將不得不支持大范圍的設備,操作系統和應用組合。這將造成一個一致而有效的方式難以被應用于不同平臺的混合環境;第三,缺乏對于設備升級的控制。在自帶設備的環境中,雇員們可以隨意在他們的個人設備上安裝應用和運行軟件升級,這可能給他們的設備帶來安全漏洞和惡意軟件。這將危及可由這些設備進入的金融機構的資料和公司系統,第四,移動安全方法的成熟性。移動的安全方法仍然普遍處于起始階段。 兩個常見的解決“自帶設備”安全隱患的方法是使用移動設備管理和虛擬化。移動設備管理方面,在移動設備被許可進入公司網絡之前,設備要被驗證以確保沒有被越獄或被嵌入的風險。移動設備管理方法也可以在一個沙盒環境(指在一個受限制的操作系統環境中執行一個應用去保護公司應用可能使用的資源)中管理公司應用、資料、政策和設置。這樣做目的是允許雇員們自由地使用設備,同時使企業得以保護其工作環境。一個健全的移動設備管理方法應該被應用于所有的“自帶設備”安排中。在虛擬化方面,允許雇員們通過一個請求式的入口從他們的移動設備進入公司的資源和資料,使用強力認證和網絡加密。由于公司的資料在公司數據中心內部處理而不能被下載進入移動設備。在虛擬環境中嚴格的安全政策限制設備的復制和使用,例如打印機,可移動存儲設備等,以幫助防止數據進一步的數據泄露。
新加坡金管局要求,如果金融機構不能夠恰當地管理相關的安全風險,則不應該實施自帶設備。金融機構要牢記保持警戒并且緊跟移動領域的技術進步和關注緊急威脅。定期在自帶設備基礎設施上實施漏洞評估和滲透測試以確保任何安全漏洞被識別并盡快做出調整。
對我國的啟示
2006年銀監會《銀行業金融機構信息系統風險管理指引》(以下簡稱《指引》),填補了我國銀行業信息系統監管領域的空白,為推動國內銀行業信息科技風險管理奠定了基礎。2009年3月,銀監會對原《指引》進行修訂,并重新定名為《商業銀行信息科技風險管理指引》。新《指引》貫徹了“管法人、管風險、管內控、提高透明度”的銀行監管理念。新《指引》規定,“商業銀行法定代表人是本機構信息科技風險管理的第一責任人”。要求商業銀行建立有效的機制,實現對信息科技風險的識別、計量、監測和控制,促進商業銀行安全、持續、穩健運行,推動業務創新,提高信息技術使用水平。要求商業銀行在信息系統開發、測試和維護以及服務外包過程中加強對客戶信息的保護,防止敏感信息泄露,對業務連續性管理也加以規范,保障客戶數據安全和服務連續。在新《指引》中,提出要構建信息科技風險管理的三大防線,即信息科技管理、信息科技風險管理、信息科技風險審計。
從銀監會對商業銀行信息系統風險管理的現場檢查實踐來看,主要有如下幾個問題:高層的知曉度和參與度較低,存在重建設、輕管理的現象;信息科技風險管理三道防線的設置存在缺失、重合和分工不清晰的問題;信息系統開發風險須引起全行更多關注;銀行業金融機構對災難性、突發性事件的應對能力有待提升。
新加坡金管局從2001年開始開展信息科技風險監管工作,經過不斷實踐、探索,摸索出一套較為先進的監管做法。新加坡金管局的信息科技風險監管由現場檢查和非現場監管構成。現場檢查的工作方式有訪談、調閱資料、現場取證等,檢查結束后金管局給金融機構檢查意見書,金融機構要在三個星期內向金管局提交整改報告(已整改的問題、未整改問題的整改計劃),金管局會在下次現場檢查時核查整改情況。金融機構按照新加坡金管局的要求填報調查問卷作為非現場監管的資料。在處罰方面,罰款是處罰的一種方式,另一種處罰方式是提高存款準備金率。另外,新加坡金管局定期召集商業銀行高管人員會議傳達科技監管信息。金管局利用此種形式,向被監管機構定期講解信息科技風險發展的最新形勢,對金融機構進行技術輔導,警示風險,并介紹有關風險領域的解決方案。
結合新加坡的監管安排及我國銀行及監管的實踐,新加坡的監管經驗對我國有一定的啟發。
加強我國信息科技風險管理部門建設。大力度培養復合型信息科技風險監管人員,提高科技人員的業務監督能力,推動業務監管人員掌握信息科技監督知識。
進一步完善我國銀行業信息科技風險監管的有關規章制度。有必要完善信息科技風險評估體系,系統分析銀行業機構采取的風險防控措施的有效性,客觀評價銀行業機構信息科技風險管理水平;建立健全IT外包監管體系,建立IT外包監督流程,要求商業銀行健全外包商的風險評估機制,加強對外包風險的識別和監控;進一步出臺有關銀行數據保護規范或政策,要求商業銀行對數據進行分類、定級,確定不同的保護措施和方法。
向銀行業及時提示信息科技風險信息。各級銀行監管機構應定期召集轄內商業銀行信息科技工作高級管理人員舉辦情況通報會議,每次會議選定重點關注的信息科技風險點,及時傳達監管部門的工作意圖,使商業銀行能夠及時獲取風險控制手段和工作技巧。
因此,對于我國銀行機構防控信息系統風險來說,有如下幾點應予以重視。
加強對電子支付欺詐案件的防范。首先,網上支付安全最重要的基礎是客戶端的安全。MAS認為客戶端安全的責任在銀行而非客戶本身,銀行有義務對客戶進行安全教育,并提供更安全和便捷的技術工具去增強客戶端的安全性。其次,加快推廣銀行卡的EMV(芯片卡)和動態認證的實施進程。相對于磁條卡,EMV有安全性高和不易偽造的特點。在芯片卡的認證方式上,MAS要求銀行發放動態和混合數據認證的芯片卡并逐步替代已有的靜態數據認證芯片卡,以解決靜態卡中可能存在的仿冒風險,以強化電子支付的安全性。
強化銀行數據安全問題的關注。近年來國際上發生的一系列數據丟失并導致了客戶資金被盜等惡性案件。如2009年8月德國某銀行由于數據泄漏而導致了30萬歐元的經濟損失,2010年3月匯豐瑞士私人銀行的一個IT員工竊取了該行24000個賬戶信息。新加坡金管局在其許多監管文件中都反復提到了數據泄露保護(DLP-Data Loss Prevention)。在IT外包,核心系統可靠性和個人移動設備管理上下大力氣保護敏感信息的機密性和安全性。借鑒國際銀行業數據中心先進經驗,加強對銀行數據中心、災難恢復能力的建設。深入研究和解決目前在災難備份系統建設方面存在的突出問題和技術難點。