時間:2023-02-13 20:05:47
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇信息安全整改方案范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
一.一鉆研違景
我國計算機網絡盡管起步較晚,但經由近幾年的迅猛發展,已經走進每一家每一戶。截至二0一三年,我國已經有六億多網民,成為網民至多的國家。同時,信息的載體模式也迅速發展,如微博、微信、facebook、QQ等,電子政務網絡作為政府合用的主要網絡,安全以及保密問題成為凸起問題之1,不經意間信息就可能被泄露、盜取。在這類情況下,電子政務的信息安全問題就燃眉之急,良多政府機關仍在使用原始的網絡隔離卡、網鬧等手腕避免信息的非授權獲取,電子政務網絡與公共信息網絡沒有物理隔離,給病毒入侵以及黑客襲擊等非法手腕提供了便利的渠道,這類原始的手腕很容易被攻破,電子政務信息安全沒法保障。1旦不適于對于外表露的政府信息、軍事信息、經濟信息、社會信息等分散,對于社會流動、國家不亂都會造成深摯的影響,為避免這類現象產生,電子政務系統的安全才是應當患上到注重之處。互聯網安全技術廣泛利用與電子政務系統,勢必使電子政務信息的保密性更為深遠,也保障了政府的正常秩序、社會的不亂以及國家安全。
…………
一.二國內外發展示狀
美國的電子政務系統最開始是由克林頓于一九九三年提出施行的,其發展速度比較快,展開的也比較勝利,在各個領域迅速發展起來,使美國成為全球電子政務建設的模板。美國采用電子政務的階段施行策略,在這個進程中,從簡單到繁雜逐步演化:第1階段是雛形階段,主要是在政務系統中提供1般的服務,從事簡單審批事項,不是很繁雜;第2階段開始樹立公共可閱讀的網址,處理比較繁瑣的事務,政府展開轉型;第3階段是組構電子政務集成系統以及技術體系,樹立政府處理系統;第4個階段有互動功能,政府間、政府以及企業,政府以及公民間互動溝通以及服務。美國電子政務的發展有下列幾個特色:第1,許多網站以及政府事務;第2,政府有專門電子政務部門負責對于電子政務網絡進行管理運維;第3,政府擁有便捷的服務體系,快捷響應要求;4是電子政務信息安全意識強烈,專注于信息安全管理以及維護。一九九九年加拿大政府于正式頒布政府在線,相似于現在的電子政務,并且于以后幾年內實現所有政府信息以及服務的網上辦公,加拿大在電子政務內網的設計上獲得了顯著的成效。加拿大電子政務發展的基本特征:第1,政府執行利用程序的角色,加拿大政府掌舵人親身關注電子政務建設;第2,基礎設施建設無比迅速以及完全;第3。以用戶為中心,以企業以及國際客戶的反饋滿意度的主旨,延續改良以及發展。新加坡是進行政府信息公幵最古老的國度,也是電子政務建設過程中迅速發展的1個國家。二0年前,在一九八七年開始發展政府計算機規劃,建設電子政務網絡是首要的組成之1,新加坡還推出了1系列國家科技規劃,科技的利用以及重構使政府機構辦事高效、反應快捷,為所有類型的用戶提供優質的、可反饋的綜合。
………….
二.電子政務基本概念
二.一電子政務安全及抉擇因素
電子政務安全觸及良多領域,是國家安全的首要組成部份,電子政務安全部現在下面幾個處所:①真實性,即便用者身份以及處理信息是真正的;②不可扭轉性,即信息不可損壞,在傳遞以及存儲中不會呈現未被授權的扭轉;③權限性,即用戶身份不同對于信息資源走訪權限不同;④保密性,即信息不會被非授權走訪,包含存儲保密性以及傳輸保密性;⑤抗抵賴,即有保密責任機制,背規操作可記錄并承當相應責任一。電子政務信息安全抉擇因素都是應用了管理以及技術上的安全漏洞,可分為內部因素以及外部因素,內部因素是指人有目的、有計劃的襲擊以及損壞電子政務信息網絡,這種因素主要包含歹意以及差錯兩種,歹意安全要挾是指出于某種目的主動對于電子政務信息網絡進行損壞以及襲擊,其表現情勢包含網絡襲擊、信息盜取、病毒入侵、特務潛入等。差錯安全要挾主要是因為授權用戶缺少經驗、培訓不到位、操作失誤等緣由無心操作造成為了對于電子政務系統的損壞;外部因素是指面向外部用戶的電子四政務系統遭到的安全要挾,例如政府門戶網站等,這些服務是對于外的、面向外部的,存在比內部網絡更大的損壞以及襲擊的要挾,也包含物理因素制約以及技術壁皇兩方面內容,例如不可抗的天氣、存在安全漏洞的技術防護手腕。
…………
二.二.電子政務中信息安全的相干理論以及技術法子
為構建電子政務信息安全部系,經常使用的信息安全相干理論以及技術法子有數據加密技術、認證技術與數字簽名、等級維護法子、入侵檢測安全技術、安全域劃分、虛擬專網、防火墻技術等。數據加密技術是將信息經由密朗和特定函數轉變成無心義的信息,即由明文轉變成密文,稱為加密,而將其逆向的進程稱為解密。為了提高電子政務系統數據的安全,數據加密技術被引入,避免涉敏感信息泄露。數據加密技術是指1個特定的數字安全技術,信息被數據加密工具(加密密銷)轉換成無心義的密文,收件人收到看似無心義信息,通過解密,患上到需要的信息,在現代信息的社會,情報間謀想方設法的想獲取有利的情報信息,這個進程有效避免了敏感信息的意外被獲取。加密算法是通過原始信息的1系列加密法則對于明文進行加密,接受者收到后對于密文使用相同法則進行解密。解密算法以及加密算法常常是逐一對于應的瓜葛,構成1組加密密鑰以及解密密銷,履行逐一匹配,現有的可分對于稱加密技術以及非對于稱加密技術。對于稱加密技術中,加密以及解密公用1個密胡,同樣成保密密鑰或者者單朗匙加密法子,例如數據加密算法(Data Encryption Algorithm, DEA)以及國際數據加密算法(International Data Encryption Algorithm, IDEA);非對于稱加密技術即加密以及解密使用不同的密朗,不同的密鑰被稱為“公朗”以及“私胡”,公鑰以及私鋼組合使用,完成對于信息的加密以及解密。公明是可以對于外公幵的,私明是有信息結合方掌握不對于外公布的,例如RSA、違包密碼、McEliece密碼等。加密技術在傳輸進程中,只要傳輸加密文件,就很難把密鑰傳輸給對于方,不管使用甚么法子均可能被盜取,1旦盜取,加密的信息就等于完整暴露在網絡上,而非對于稱加密技術中,由于公胡是可以公幵的,公胡就顯的不那末首要,即時加密信息以及公鑰被意外取得,沒有私鑰也1樣沒法對于加密信息進行解密,有效的解決了密鋼在傳輸進程中產生的泄露隱患以及問題。
………..
三.電子政務網絡信息安全.........一五 三.一電子政務網絡利用安全風險......... 一五
三.一.一物理層.........一五
三.一.二鏈路碰層......... 一五
三.一.三網絡層......... 一五
三.一.四系統層......... 一六
三.一.五利用層......... 一七
四.電子政務安全防范體系整體法子......... 一九
四.一安 全防范體系設計準則......... 一九
四.二健全信息安全規章軌制保障體系......... 二一
四.三優化管理結構......... 二三
四.四健全預警與自評估防護體系......... 二五
? 四.五樹立應急恢復機制......... 二六
五.鉆研總結與瞻望......... 二七
四.電子政務安全防范體系整體法子
四.一安全防范體系設計準則
電子政務平臺是整個電子政務網絡體系的基石,以計算機網絡為出發點,斟酌到整個系統,易于擴大,進級,管理以及使用。①易用性以及超前性。計劃電子政務需要斟酌到全盤的發展,計劃未來的網絡擴充以及改造需求,首先斟酌易用性,便于的學習使用,人機交互好,操作利便,可以實時保護,其次要斟酌充沛應用現有的有信息資源以及裝備,采取先進的網絡通信技術以及裝備,以保證原有投資的資源不揮霍以及冗余的有效性。②不亂性以及安全性。電子政務的不亂安全運行建構在整個系統的通力協作上,不亂以及安全需要信息技術工具進行保障,利便電子政務的運維,充沛斟酌癥結裝備的維修、售后,改換以及擴大冗余路線,采用必要的防護措施,準確傳輸,確保數據不會被篡改,并依據具體情況使用VPN,走訪節制,網絡隔離,邊界防護,IP/MAC地址綁定,防火墻以及IDS等網絡安全技術確保網絡的不亂安全的運行。網絡不亂安全運行請求電子政務系統在1段時間乃至1個階段的使用進程中,維持正常,發現過錯及時記錄,呈現襲擊即刻阻斷,并講演日志,在電子政務系統設計中,依托高機能的網絡裝備,優化設計,以保證網絡的不亂性以及安全性,單1的終端或者系統呈現問題時,能夠保證其他系統正常運行。固然,電子政務系統必需擁有完全的日志審計功能,將過錯信息、損壞動作等實時記錄,并節制整個系統的流暢運行。另外,還應設置癥結裝備以及利用備份,以避免受到病毒襲擊網絡,沒法恢復以前狀況,備份系統必需到達的I/O傳輸快、存儲不亂可靠。
………….
一、引言
隨著我國信息化建設的快速發展與廣泛應用,信息安全的重要性愈發突出。在國家重視信息安全的大背景下,推出了信息安全等級保護制度。為統一管理規范和技術標準,公安部等四部委聯合了《信息安全等級保護管理辦法》(公通字【2007】43號)。隨著等級保護工作的深入開展,原衛生部制定了《衛生行業信息安全等級保護工作的指導意見》(衛辦發【2011】85號),進一步規范和指導了我國醫療衛生行業信息安全等級保護工作,并對三級甲等醫院核心業務信息系統的安全等級作了要求,原則上不低于第三級。
從《關于信息安全等級保護工作的實施意見》中可知信息安全等級保護對象是國家秘密信息、法人和其他組織以及公民的專有信息和公開信息。對信息系統及其安全產品進行等級劃分,并按等級對信息安全事件響應。
二、醫院信息安全等級保護工作實施步驟
2.1定級與備案。根據公安部信息安全等級保護評估中心編制的《信息安全等級保護政策培訓教程》,有兩個定級要素決定了信息系統的安全保護等級,一個是等級保護對象受到破壞時所侵害的客體,另外一個是對客體造成侵害的程度。表1是根據定級要素制訂的信息系統等級保護級別。
對于三級醫院,門診量與床位相對較多,影響范圍較廣,一旦信息系統遭到破壞,將會給患者造成生命財產損失,對社會秩序帶來重大影響。因此,從影響范圍和侵害程度來看,我們非常認同國家衛計委對三級甲等醫院的核心業務信息系統安全等級的限制要求。
在完成定級報告編制工作后,填寫備案表,并按屬地化管理要求到市級公安機關辦理備案手續,在取得備案回執后才算完成定級備案工作。我院已按照要求向我市公安局網安支隊,同時也是我市信息安全等級保護工作領導小組辦公室,提交了定級報告與備案表。
2.2安全建設與整改。在完成定級備案后,就要結合醫院實際,分析信息安全現狀,進行合理規劃與整改。
2.2.1等保差距分析與風險評估。了解等級保護基本要求。《信息系統安全等級保護基本要求》分別從技術和管理兩方面提出了基本要求。基本技術要求包括五個方面:物理安全、網絡安全、主機安全、應用安全和數據安全,主要是由在信息系統中使用的網絡安全產品(包括硬件和軟件)及安全配置來實現;基本管理要求也包括五個方面:安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理,主要是根據相關政策、制度以及規范流程等方面對人員活動進行約束控制,以期達到安全管理要求。
技術類安全要求按保護側重點進一步劃分為三類:業務信息安全類(S類)、系統服務安全類(A類)、通用安全保護類(G類)。如受條件限制,可以逐步完成三級等級保護,A類和S類有一類滿足即可,但G類必須達到三級,最嚴格的G3S3A3控制項共計136條.醫院可以結合自身建設情況,選擇其中一個標準進行差距分析。
管理方面要求很嚴格,只有完成所有的154條控制項,達到管理G3的要求,才能完成三級等級保護要求。這需要我們逐條對照,發現醫院安全管理中的不足與漏洞,找出與管理要求的差距。
對于有條件的三甲醫院,可以先進行風險評估,通過分析信息系統的資產現狀、安全脆弱性及潛在安全威脅,形成《風險評估報告》。
經過與三級基本要求對照,我院還存在一定差距。比如:在物理環境安全方面,我院機房雖有滅火器,但沒安裝氣體滅火裝置。當前的安全設備產品較少,不能很好的應對網絡人侵。在運維管理方面,缺乏預警機制,無法提前判斷系統潛在威脅等。
2.2.2建設整改方案。根據差距分析情況,結合醫院信息系統安全實際需求和建設目標,著重于保證業務的連續性與數據隱私方面,滿足于臨床的實際需求,避免資金投入的浪費、起不到實際效果。
整改方案制訂應遵循以下原則:安全技術和安全管理相結合,技術作保障,管理是更好的落實安全措施;從安全區 域邊界、安全計算環境和安全通信網絡進行三維防護,建立安全管理中心。方案設計完成后,應組織專家或經過第三方測評機構進行評審,以保證方案的可用性。
整改方案實施。實施過程中應注意技術與管理相結合,并根據實際情況適當調整安全措施,提高整體保護水平。
我院整改方案是先由醫院內部自查,再邀請等級測評#司進行預測評,結合醫院實際最終形成的方案。網絡技術義員熟悉系統現狀,易于發現潛在安全威脅,所以醫院要先自查,對自身安全進行全面了解。等級測評公司派專業安全人員進駐醫院,經過與醫院技術人員溝通,利用安全工具進行測試,可以形成初步的整改報告,對我院安全整改具有指導意義。
2.3開展等級保護測評。下一步工作就是開展等級測評。在測評機構的選擇上,首先要查看其是否具有“DICP”認證,有沒有在當地公安部門進行備案,還可以到中國信息安全等級保護網站(網站地址:djbh.net)進行核實。測評周期一般為1至2月,其測評流程如下。
2.3.1測評準備階段。醫院與測評機構共同成立項目領導小組,制定工作任務與測評計劃等前期準備工作。項目啟動前,為防止醫院信息泄露,還需要簽訂保密協議。項目啟動后,測評機構要進行前期調研,主要是了解醫院信息系統的拓撲結構、設備運行狀況、信息系統應用情況及安全管理等情況,然后再選擇相應的測評工具和文檔。
在測評準備階段,主要是做好組織機構建設工作,配合等級測評公司人員的調査工作。
2.3.2測評方案編制階段。測評內容主要由測評對象與測評指標來確定。我院測評對象包含三級的醫院信息系統、基礎網絡和二級的門戶網站。測評機構要與醫院溝通,制定工具測試方法與測評指導書,編制測評方案。在此階段,主要工作由等級測評機構來完成。
2.3.3現場測評階段。在經過實施準備后,測評機構要對上述控制項進行逐一測評,大約需要1至2周,需要信息科人員密切配合與注意。為保障醫院業務正常開展,測評工作應盡量減少對業務工作的沖擊。當需要占用服務器和網絡資源時應避免業務高峰期,可以選擇下班時間或晚上。為避免對現有業務造成影響,測評工具應在接人前進行測試,同時要做好應急預案準備,一旦影響醫院業務,應立即啟動應急預案、在對209條控制項進行測評后應進行結果確認,并將資料歸還醫院。
該階段是從真實情況中了解信息系統全面具體的主要工作,也是技術人員比較辛苦的階段。除了要密切配合測評,還不能影響醫院業務開展,除非必要,不然安全測試工作必須在夜間進行。
2.3.4報告編制階段。通過判定測評單項,測評機構對單項測評結果進行整理,逐項分析,最終得出整體測評報告。測評報告包含了醫院信息安全存在的潛在威脅點、整改建議與最終測評結果。對于公安機關來講,醫院能否通過等級測評的主要標準就是測評結果。因此,測評報告的結果至關重要。測評結果分為:不符合、部分符合、全部符合。有的測評機構根據單項測評結果進行打分,最后給出總分,以分值來判定是否通過測評。為得到理想測評結果,需要醫院落實安全整改方案。
2.4安全運維。我們必須清醒地認識到,實施安全等級保護是一項長期工作,它不僅要在信息化建設規劃中考慮,還要在日常運維管理中重視,是不斷循環的過程。按照等級保護制度要求,信息系統等級保護級別定為三級的三甲醫院每年要自查一次,還要邀請測評機構進行測評并進行整改,監管部門每年要抽查一次。因此,醫院要按照PDCA的循環工作機制,不斷改進安全技術與管理上,完善安全措施,更好地保障醫院信息系統持續穩定運行。―
三、結語
一、工作目標
通過深入開展此次專項活動,確保全市重要信息系統能夠全面進行準確定級和審核備案;全面組織等級測評和風險評估;全面開展監督檢查和建設整改;全面落實管理制度和安全責任,努力實現我市信息安全等級保護工作規范化、制度化、常態化的管理目標,不斷提高重要信息系統安全防范能力和應急處置能力,為建國周年慶典活動創造一個良好的網絡環境。
二、工作任務
(一)全面進行準確定級和審核備案。各部門、各單位要參照國家機關、中央企事業單位及省直機關、省屬企事業單位已審核的信息系統安全保護等級,對本單位信息系統全面進行定級和審核備案。對于已經定級、備案的系統,凡符合上級國家機關、企事業單位安全保護等級的,可不再重新定級和審核備案,否則均要重新定級和審核備案;對于尚未定級和審核備案的系統,都要比照上級部門信息系統安全保護等級逐一進行定級備案。其中,安全保護等級確定為一級的信息系統,公安機關應做好登記工作。安全保護等級確定為二級以上的信息系統,各信息系統運營使用單位要在公安機關辦理審核備案手續,填寫《信息安全等級保護備案表》,實行審核備案管理。全市重要信息系統定級和審核備案率要達到100%。
(二)全面組織等級測評和風險評估。關系到我市國計民生或影響面較大的二級信息系統和三級以上(含三級)的重要信息系統都要按照《信息安全等級保護管理辦法》及省發改委、省公安廳、省國家保密局《關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》要求,全面開展等級測評及風險評估工作。其初次測評及風險評估率應達到61%以上(其他尚未開展初次測評的系統應于年上半年完成)。
(三)全面開展監督檢查和建設整改。關系到我市國計民生或影響面較大的二級信息系統和三級以上(含三級)的重要信息系統都要按照《公安機關信息安全等級保護檢查工作規范》規定的檢查內容、檢查項目、檢查要求等,全面組織開展安全等級保護監督檢查和限期整改工作,其監督檢查率應達到100%,限期整改率應達到80%以上。其他被定為二級(含二級)以下的信息系統,可由信息系統運營使用單位進行自查和整改。
三、工作步驟
(一)定級與備案階段(8月18日至9月15日)。市專項活動領導小組在8月31日前進行組織動員和工作部署,開展信息系統普查,全面摸清底數,掌握基本情況,確定定級對象。9月15日前,各重要信息系統運營使用單位要對照上級國家機關、企事業單位已審核備案的信息系統安全保護等級,對應確定本單位信息系統安全保護等級,并做好申報備案。對審核符合安全保護等級要求的,由市專項活動領導小組頒發信息安全等級保護備案證明。凡審核定級不準的,應重新評審確定,為等級測評和檢查整改奠定基礎。
(二)測評與檢查階段(9月15日至11月30日)。市專項活動領導小組將對關系我市國計民生的二級信息系統及三級以上(含三級)信息系統開展安全等級測評和風險評估。市專項活動領導小組督促、指導各單位積極做好信息安全等級保護和監督檢查工作。各重要信息系統運營使用單位要按照國家《信息安全等級保護管理辦法》和省發改委、省公安廳、省國家保密局《轉發國家有關部門關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》精神,提前做好人員、技術、經費等各項準備工作,按時完成信息系統等級測評和風險評估。
(三)總結與整改階段(12月1日至12月31日)。市專項活動領導小組根據信息系統安全等級測評和風險評估中發現的安全隱患和問題,向運營使用單位下發《整改通知書》,要求該單位限期對安全設施、技術措施、管理制度、安全產品、管理人員等方面存在的問題進行全面整改。各單位要制定相應的建設整改方案,認真搞好安全隱患的整改工作。
四、工作要求
(一)統一思想認識,切實加強領導。各地各有關部門要充分認識當前重要信息系統安全面臨的嚴峻形勢,進一步增強做好信息安全等級保護工作的責任感和緊迫感,務必把此項工作作為事關國家安全和社會穩定,特別是國慶61周年安全保衛的一項重要政治任務,納入議事日程,擺在應有位置。為切實加強領導,成立荊州市深入開展全市重要信息系統安全等級保護管理專項活動領導小組(名單附后),領導小組在本次專項活動完成后,繼續擔負我市重要信息等級保護工作的組織領導職責。要建立健全信息安全等級保護協調領導體制和工作機制,精心組織實施信息安全等級保護管理工作。各地各有關部門分管領導要親自掛帥指揮,按照“誰主管,誰負責,誰使用,誰負責”的原則,成立領導小組,建立工作專班,確立聯絡人員,迅速行動、全力以赴,大張旗鼓地組織開展等級保護工作。
(二)深入動員部署,精心組織實施。各重要信息系統運營使用單位要制定好本單位信息系統安全等級保護工作實施方案,準確定級,并將相關資料上報市專項活動領導小組辦公室。在定級完成后,要積極做好測評準備工作,在人力、財力上給予充分保障。對檢測出來的問題要及時向主管領導和上級部門報告,立即整改,把專項活動的各項要求落到實處。
指導思想
深入貫徹落實科學發展觀,充分認識軟件產業作為國家基礎性、戰略性產業,在促進國民經濟和社會發展中的重要作用。高度重視使用正版軟件對于樹立政府機關良好形象、促進軟件產業健康發展和維護國家信息安全的重要意義,加大知識產權保護力度,嚴厲打擊侵權盜版行為,在全社會形成尊重知識、保護知識產權的良好氛圍。
主要任務
各部門、各鄉鎮要對本單位使用正版軟件情況進行一次專項檢查,重點檢查辦公軟件(WPSOffice、MicrosoftOffice等)、殺毒軟件使用情況。凡是使用未經授權的非正版軟件的要及時進行整改。對需要的正版辦公軟件、殺毒軟件,要安排必要的資金并按政府采購相關規定購買,切實加強對軟件的資產管理。購置、更換的計算機辦公設備必須符合預裝正版操作系統軟件的要求。
時間安排
(一)自查自糾(2011年3月)。各部門、各鄉鎮要精心組織,將軟件正版化工作責任分解到具體部門和人員,認真梳理使用正版軟件工作中存在的問題,查找薄弱環節,提出改進措施,制定整改方案,進行自查自糾。2011年4月10日前,將自查情況和整改方案(見附件)報縣使用正版軟件工作領導小組辦公室(縣文廣新局)。
(二)督促整改(2011年4月底前)。各部門、各鄉鎮要切實推進整改工作,及時匯總正版軟件需求情況,落實采購經費,并按政府采購有關規定實行集中采購。縣使用正版軟件工作領導小組將對問題突出的單位開展督促整改,并對政府機關使用正版軟件情況進行總結,上報市使用正版軟件工作領導小組辦公室。
(三)抽查迎檢(2011年5月至9月)。5月至6月底,縣使用正版軟件工作領導小組將對各單位使用正版軟件工作整改情況進行專項檢查。自7月開始,各部門、各鄉鎮要積極做好國家督導組及省、市使用正版軟件工作領導小組的抽查迎檢工作。
工作要求
(一)統一思想,加強領導。為加強對做好使用正版軟件工作的組織領導,保證各項任務落到實處,成立望江縣使用正版軟件工作領導小組(名單附后)。各部門、各鄉鎮要在縣使用正版軟件工作領導小組的統一領導下,明確分管領導和聯絡員,周密部署,落實責任,精心組織,全力推進,切實保障軟件正版化工作的順利推進。
[關鍵詞] 信息等級保護概述;中國石油;等級保護建設
[中圖分類號] TP391;X913.2 [文獻標識碼] A [文章編號] 1673 - 0194(2013)05- 0057- 02
1 信息等級保護制度概述
信息安全等級保護制度是國家信息安全保障工作的基本制度,是促進信息化健康發展的根本保障。其具體內容包括:①對國家秘密信息,法人和其他組織及公民的專有信息以及公開信息,存儲、傳輸、處理這些信息的信息系統實行分等級安全保護、分等級監管;②對信息系統中使用的信息安全產品實行按等級管理;③對信息系統中發生的信息安全事件分等級響應、處置。信息安全等級保護配套政策體系及標準體系如圖1、圖2所示。
定條件的測評機構開展等級測評;④建設整改:備案單位根據信息系統安全等級,按照國家政策、標準開展安全建設整改;⑤檢查:公安機關定期開展監督、檢查、指導。
2 中國石油信息安全等級保護制度建設
中國石油信息化建設處于我國大型企業領先地位,在國資委歷年信息化評比中都名列前茅。2007 年全國開展信息安全等級保護工作之后,中國石油認真貫徹國家信息安全等級保護制度各項要求,全面開展信息安全等級保護工作。逐步建成先進實用、完整可靠的信息安全體系,保障信息化建設和應用,支撐公司業務發展和總體戰略的實施,使中國石油的信息安全保障能力顯著提高。主要采取的措施有以下幾個方面:
(1)以信息安全等級保護工作為契機 , 全面梳理業務系統并定級備案。中國石油根據國家信息安全等級保護制度要求,建立自上而下的工作組織體系,明確信息安全責任部門,對中國石油統一建設的應用系統進行等級保護定級和備案,通過制定《中國石油天然氣集團公司重要信息系統安全等級保護定級實施暫行意見》,加強桌面安全、網絡安全、身份認證等安全基礎防護工作,加快開展重要信息系統的等級測評和安全建設整改工作,進一步提高信息系統的安全防御能力,提高系統的可用性和安全性。在全面組織開展信息系統等級保護定級備案工作之后,聘請專業測評機構,及時開展等級測評、安全檢查和風險評估工作,并通過等級測評工作查找系統的不足和安全隱患,制訂安全整改方案,開展安全整改和加固改造,保障信息系統持續安全穩定運行。
(2)以信息安全等級保護工作為抓手 , 全面推動中國石油信息安全體系建設。中國石油以信息安全等級保護工作為抓手,完善信息安全整體解決方案,建立技術保障體系、管理保障體系和控制保障體系。采用分級、分域的縱深防御理念,將桌面安全、身份認證、網絡安全、容災等相關技術相互結合,建立統一的安全監控平臺和安全運行中心,實現對應用系統的授權訪問、桌面計算機的安全控制、網絡流量的異常監控、惡意軟件與攻擊行為的及時發現與防御、業務與數據安全保障等功能,顯著提高抵御外部和內部信息安全威脅的能力。建立了總部、區域網絡中心、企事業單位三級信息系統安全運維隊伍;采用集中管理、分級維護的管理模式,網絡與安全運維人員采用授權方式,持證上崗,建立網絡管理員、安全管理員和安全審計員制度;初步建立起中國石油內部信息安全風險評估隊伍,并于 2010 年完成地區公司的網絡安全風險評估工作。
(3)建立重要信息系統應急處置預案,完善災難恢復機制。2008 年,中國石油了《網絡與信息安全突發事件專項應急預案》,所有業務系統、網絡管理、安全管理等都建立了應急響應處置預案和災備系統,保障業務系統在遭遇突發事件時,能快速反應并恢復業務系統可用性。通過災難恢復項目研究,形成了現狀及風險分析、災難恢復等級劃分、災備部署策略分析和災備部署方案四步法,劃分了信息系統災難恢復等級,完善了災難恢復機制。
(4)規劃信息安全運行中心,建立重要信息系統安全監控機制。中國石油規劃了信息安全運行中心的建設方案,提出了信息安全運行中心建設目標,通過網絡運行狀態、安全信息數據匯集、安全監測分析功能和安全管理流程的有機整合,實現中國石油 信息安全狀況的可感知、可分析、可展示、可管理和可指揮,形成中國石油信息安全事件分析、風險分析、預警管理和應急響應處理一體化的技術支撐能力;通過完善安全運行管理體系,將安全運行管理組織、安全運維管理流程和安全監測預警系統三方面有機結合,實現事前預警防范、事中監控處置、事后追溯定位的信息安全閉環運行機制,形成中國石油統一的應急指揮與協調調度能力,為中國石油信息安全保障奠定良好的基礎。
3 信息安全等級保護工作存在的不足及改進建議
信息安全等級保護管理辦法 (公通字[2007]43號)正式標志著全國范圍內的信息安全等級保護工作開始,通過5年的努力,全國信息安全工作形成了以落實信息安全等級保護制度為核心,信息通報、應急處理、技術研究、產業發展、網絡信任體系和標準化建設等工作快速發展的良好局面,重要行業部門的信息安全意識、重視程度、工作能力有了顯著提高。40余個重要行業出臺了100余份行業等級保護政策文件,20余個重要行業出臺了40余份行業等級保護標準,但同時存在著以下不足:
(1)對信息安全工作的認識不到位,對重要信息系統安全保護缺乏應有的重視。依據公安部相關資料統計,截至2012年6月,我國有18%的單位未成立信息安全工作領導機構;21%的單位未落實信息安全責任部門,缺乏信息安全整體規劃;14個行業重要信息系統底數不清、安全保護狀況不明;12個行業未組織全行業信息安全專門業務培訓,開展信息安全工作的思路和方法不得當,措施不得力。20%的單位在信息系統規劃過程中,沒有認真制定安全策略和安全體系規劃,導致安全策略不得當;22%的信息系統網絡結構劃分不合理,核心業務區域部署位置不當,業務應用不合理,容易導致黑客入侵攻擊,造成網絡癱瘓,數據被竊取和破壞。34.6%的重要信息系統未配置專職安全管理人員,相關崗位設置不完整,安全管理人員身兼多職;48%的單位信息安全建設資金投入不足,導致重要信息系統安全加固和整改經費嚴重缺乏;27%的單位沒有針對安全崗位人員制訂相關的培訓計劃,沒有組織開展信息安全教育和培訓,安全管理、運維技術人員能力較弱。
(2)重要信息系統未落實關鍵安全保護技術措施。重要信息系統未落實安全審計措施。在主機層面,有34.9%的信息系統沒有保護主機審計記錄,34.8%的信息系統沒有保護主機審計進程,容易導致事故責任無法認定,無法確定事故(事件)原因,影響應急處理效率。38%的信息系統沒有落實對重要系統程序和文件進行完整性檢測和自動恢復的技術措施,35%的信息系統沒有采取監測重要服務器入侵行為的技術措施,容易使內部網絡感染病毒,對攻擊行為無法進行有效監測和處置。
(3)我國信息技術與國外存在一定差距,安全專業化服務力量薄弱。具有我國自主知識產權的重要信息技術產品和核心技術水平還有待提高,依賴國外產品的情況還比較普遍;國內信息安全專業化服務力量薄弱,安全服務能力不強,部分重要信息系統的關鍵產品維護和系統運維依賴國外廠商,給重要信息系統安全留下了隱患。
為了有效提高我國企業信息安全水平,增加等級保護的可行性及執行力,建議:①各企業開展以信息安全等級保護為核心的安全防范工作,提高網絡主動防御能力,并制訂應急處置預案,加強應急演練,提高網絡應急處置能力。②加大人員和資金投入,提高保障能力。③國家層面加快關鍵技術研究和產品化,重視產品供應鏈的安全可控。
主要參考文獻
[1]中國石油天然氣集團公司. 中國石油天然氣集團公司全面開展信息安全等級保護工作為信息化建設保駕護航[J].信息網絡安全,2012(1).
關鍵詞 等級保護;安全;定級;測評
中圖分類號TP39 文獻標識碼A 文章編號 1674-6708(2013)99-0208-02
1 背景
隨著醫院信息化的迅猛發展,醫院信息系統已經深入到醫療工作的各個環節之中,信息系統的安全一旦受到威脅將會嚴重影響到醫療活動的順利開展,因此該工作受到了醫院越來越高的重視。
信息安全等級保護是國家出臺的針對信息安全分級保護的制度,其最終目的就是保護重要的信息系統的安全,提高信息系統的防護能力和應急水平。
為了信息安全等級保護制度能夠更好的在各醫院得到有效的落實,國家有關部門針對醫療行業的實際現狀印發了《衛生行業信息安全等級保護工作的指導意見》的通知衛辦發[2011] 85 號,此文件在信息安全保護和醫療行業信息安全管理之間起到承接橋梁的作用。根據文件精神,醫院的核心業務信息系統安全保護等級原則上不低于第三級。
2 醫院信息安全等級保護建設流程
2.1 信息系統定級
信息系統定級主要考慮兩個方面,一是業務信息受到破壞時的客觀對象是誰,二是對于客觀對象的損壞程度如何。兩方面結合根據表1來制定本單位的具體哪個信息系統應該定位第幾級。
針對醫院,一般門診量都比較大,當在早晨掛號、就診等高峰的時候就會有大量的患者排隊,如果一旦發生系統癱瘓就會造成大面積患者排隊,很容易引發。因此,定義為對“社會秩序、公共利益”造成“嚴重損害”,即信息安全等級保護定級為第三級。涉及的信息系統即與掛號、就診等門診患者密切相關的系統。
2.2 信息系統評審與備案
按照等級保護管理辦法和定級指南要求,在完成對本單位信息系統的自主定級后需要將業務系統自主定級結果提交衛生部審批。在定級審批過程中,衛生部組織專家進行評審,并出具《審批意見》。
完成評審后,醫院需要填寫《信息系統安全等級保護備案表》和《信息系統安全等級保護定級報告》,備案表與報告范例可在“中國信息安全等級保護網”進行下載。最后醫院持評審意見、備案表、定級報告到所在地管轄區的市級以上公安機關辦理備案手續,在拿到備案回執和審核結果通知后完成定級備案。
2.3 信息系統安全建設與整改
在完成備案后需要開始對信息系統進行合規性建設與整改,主要分為以下幾個步驟完成。
2.3.1 等級保護差距分析
等級保護的要求整體分為技術與管理兩個方面,而技術又可以分為SAG三類,主要包括:
業務信息安全類(S類):關注的是保護數據在存儲、傳輸、處理過程中不被泄露、破壞和免受未授權的修改,比如在傳輸患者數據及費用數據是否進行了加密傳輸,在傳輸過程中如果出現異常能否及時發現等。
系統服務安全類(A類):關注的是保護系統連續正常的運行,比如機房的電力方面、服務器的負載方面、HIS系統的容錯性與資源控制,是否支持單機掛號、就診、收費、取藥,能夠在系統服務器癱瘓的情況下保存現有數據,并繼續開展診療活動,再有就是災備的建設情況,是否可在系統癱瘓的情況下進行快速恢復。
通用安全保護類(G類):大多數技術類安全要求都屬于此類,屬于基礎類,如機房的物理安全,網絡及主機的訪問控制與審計、信息系統的審計等。
管理方面三級等級保護執行的是管理G3的要求,控制項為154項,醫院需要根據自己的管理制度與控制項進行逐一比對,列出不符合項。
技術方面三級等級保護可進行選擇性執行,主要分為 G3S3A3、G3S1A3、G3S2A3、G3S3A1、G3S3A2,及G類必須達到三級,A類和S類選擇一個達到三級即可。醫院可以根據自身的實際情況選擇一個標準進行差距分析,最嚴格的G3S3A3控制項共計136項。
根據管理、技術共計290個控制項醫院可進行自行評定得出與等級保護三級的差距分析。
2.3.2 安全需求分析
當前,醫院對于信息安全的關注點主要集中在業務連續性與數據隱私保護方面,因此可根據差距分析結果結合醫院實際安全需求進行集中分析,使信息安全的建設工作可以滿足實際的臨床需求,這樣才能使資源有效利用,避免資金投入的浪費。
2.3.3 安全建設/整改方案
在明確需求后就要進行整體的方案設計,在設計過程中,要提出總體規劃(近期、遠期)和詳細設計方案,將其細分為不同的子項目,逐一進行完善,最后應組織專家對方案進行評審。
2.3.4 方案實施
完成方案制定與評審后及進入實施階段,實施過程中應注意管理和技術并重的原則,將技術措施和管理措施有機結合。簡歷信息系統綜合防護體系,提高信息系統整體安全保護能力。
2.4 開展等級測評
信息系統建設完成后,可以著手進行等級保護測評工作,測評需要找公安局認可,具有“DICP”認證的測評機構,機構名稱可以在“中國信息安全等級保護網”進行查詢,測評機構測評周期一般為一個月。等級保護測評的主要流程。
2.4.1 測評準備階段
這個階段主要是測評公司于醫院進行前期的溝通階段,醫院需要向測評機構介紹本單位的大致醫療流程,介紹數據流的輸出過程,介紹系統的拓撲結構、設備的使用情況等,隨后測評機構會根據醫院提供的相關信息準備相關的測評工具及表單。
2.4.2 測評方案制定階段
此階段測評機構會定制測評指標、測評工具接入點,并對測評的內容進行確定,編制測評方案書。隨后與醫院進行溝通,確定現場測評的時間以及現場測評的主要內容和流程。
2.4.3 現場測評階段
此階段測評機構會進駐醫院大約一周左右,主要對上文提到的管理與技術共計290個控制項進行逐一測評,此階段與醫院關系密切,需要逐一測評時雙方要約定好時間,不能影響醫院業務的正常開展,比如做漏洞掃描等需要占用服務器資源的操作時盡量選擇下班等非業務高峰期進行。測評工具的接入前要進行充分測試,保證其對現有業務不會造成任何影響。在此階段醫院的網絡工程師、系統工程師、審計工程師需要在場進行配合。
2.4.4 分析與報告編制階段
完成現場測評后,測評機構會整理所有的單項測評結果,并對其進行分項判定,會對醫院的整體結果進行分析,最后給出測評報告,告知醫院存在的風險點、整改建議和測評結果。
測評結果是標準醫院是否通過測評的主要依據,根據等級保護相關要求,測評結果分為:不符合、部分符合、全部符合,其中不符合為沒有通過測評,部分符合和全部符合為通過測評。根據醫院的逐項測評數據,290個控制項除必須達到的項目外,達到80%以上符合的即可通過測評。
2.5 做好自查與配合監管部門檢查
根據等級保護制度要求,當信息系統定級為第三級時,每年至少進行一次等級保護自查,并且監管部門每年至少來醫院現場檢查一次。因此該項工作是一個長期工作,必須常抓不懈。
2.5.1 等級保護自查
目前公安局已開發出信息安全等級保護自查工具,醫院可以利用工具進行自查,工具主要需要填寫醫院的信息安全組織機構、資產信息、制度信息等基礎信息,然后再進行各備案系統的自查,自查過程需要關聯之前填寫的資產和制度信息。完成后提交當地公安部門。
2.5.2 監督檢查
監管部門多數為當地市屬公安部門,公安部門每年定期對三級系統進行上門檢查,檢查依據主要是自查工具中提供的拓撲、自查以及管理文檔,檢查時間一般為半天,檢查完成后公安部門會對檢查結果進行評定,并對下一步安全工作給出建設性指導意見。
3 等級保護建設總結
信息安全等級保護建設可從合規性和系統內需驅動兩方面考慮,并要定期檢驗建設的合規性、合理性。
合規性是指在政策要求指導下構建醫院完整的信息安全體系。要落實國家等級保護標準;響應衛生部推進等級保護建設工作的指導精神;通過國家等級保護測評;為醫療行業信息安全體系建設以及等級保護建設方面起到試點示范效應。
系統內需驅動是指結合業務發展,進行系統化建設,切實提高自身信息安全防護水平。實現主動防御外部入侵威脅,防范內部不規范操作帶來危害影響;降低日常信息化管理工作難度,提高對復雜、異構信息系統的運管效率,做到“有法可依,有技可行”;對已建、新建和擬建的信息系統進行合理規劃,規范建設。
醫院信息安全建設,要切合自身條件特點,分批分期循序建設,保證醫院各系統能夠長期穩定安全運行,以適應醫院不斷擴展的業務應用和管理需求,這才是信息安全等級保護建設的重要意義所在。
參考文獻
[1]信息系統安全保護定級指南.
一、大型醫院網絡安全管理工作要點
(一)安全規劃為了能夠使信息化建設順利開展,醫院必須要制定好全年的安全管理規劃。在制定計劃之前應該對國家剛剛出臺的法律法規進行充分了解,例如十三五規劃以及網絡安全法中所提出來的信息安全要求以及戰略,進一步制定有利于區域醫聯體,互聯網醫療,互聯網互通信共享平臺醫等網絡安全互聯策略,將相關的安全區域以及規則進行合理劃分。另外醫院還要對過去一年有關安全保護的措施進行整理,同時要對上級部門的檢查結果進行適當的經驗總結,根據已經發生的問題制定整改計劃,其中主要包括本年度應該實行的長期整改方案以及完成工作的時間節點,有利于保證醫院的安全建設計劃更加清晰有效。
(二)制度修訂與落實根據具體的整改和安全計劃制定醫院的安全管理制度,還要對當前已經實行的制度進行不定期的調整和審察。根據醫院對實際發展情況的需求對其進行改善,最終由安全管理委員會對相關制度進行進一步的修訂評審,完成之后需要通過信息中心進行信息的傳遞和,讓在醫院工作的所有人員都能夠深刻了解具體安全管理的內容以及審批流程,這樣可以有效地提高醫院信息中心技術工作人員對操作的深刻了解。另外還可以對制度配套的記錄單據以及審批過程進行進一步優化,保障網絡準入、物理變更、人員管理、權限分配、數據統計等信息安全保護要求。
(三)安全培訓要想進一步保證醫院網絡安全管理工作的落實,必須要對相關的工作人員進行安全意識的培訓,在醫院信息安全培訓制度的引導下制定適合工作人員的培訓計劃,針對進修醫師臨床管理人員和新入職的員工要每年培訓一次,同時在培訓過程當中還要進一步強調密碼安全、防病毒知識、風險上報等意識。對于信息技術人員來說,必須要要進行每年2~4次的技術以及安全意識培訓。其中網絡或者機房軟硬件變更后,所掌握的故障以及問題處理和排查方式需要由培訓中心提出,在進行安全意識培養的過程當中,主要內容是強化信息技術人員的職業道德意識。所有的安全培訓過程都必須要實時準確的記錄下來。
二、大型醫院網絡安全運維工作要點
大型醫院的網絡安全區域不可以只依靠一種防護措施,必須要進行差異性的防護,在內外網布置多臺的安全設備,同時也要做好安全防護政策,在進行安全防護的時候,大型醫院的網絡安全設備比較多,安全策略需要及時調整,而且信息系統業務也比較復雜,所以必須要對相關環節進行實時監控,定期優化和巡檢,保證醫院網絡安全防護手段能夠始終發揮作用,從而有效的防控風險。
(一)安全巡檢信息網絡中心工作中,必須要做好巡檢規范的書面文字記錄,可以根據醫院的安全管理制度做好記錄,同時安排好工作人員的排班情況,每日都要對機房內設備環境數據庫狀態以及備份情況進行檢查,同時還要將檢查的結果記錄下來,如果出現潛在風險,必須要及時反饋給管理人員進行解決。網絡管理員還要通過現場巡視以及監控平臺的方法對網絡設備進行巡檢,主要是對本地和異地所涉及到的備份內容進行驗證和檢查,特別是在非工作日以及節假日期間對重點設備進行備份,保證醫院在全年任何時間段都可以正常運轉。
(二)設備優化保證安全規劃管理正常運行的基礎上,要對網絡安全設備以及儲存設備進行優化,而且還要對磁盤陣列的CPU服務器以及內存存儲空間進行適當地擴充,對于一些老化的線路和老舊的網絡設備要及時更換,盡量延長網絡設備的壽命,保證醫院網絡能夠穩定應用。針對醫院內網中的安全區間以及防火墻的策略以及性能要進行及時檢查,以免影響工作,及時管理好網串聯鏈路上的單點設備,保證互聯網業務內外網之間的聯系通暢。
(三)安全監控與加固安全設備部署以及網絡安全防護工作需要對各類安全風險監控進行加強和管理,可以通過惡意代碼防護系統以及防毒墻來控制網絡病毒風險,出現了新型病毒需要及時關閉終端高危端口,并對服務器的防病毒系統進一步升級,保證在發現病毒之后能夠及時的查殺。最后還要對出現的高危風險以及漏洞進行總結,制定相應的修復方案以及安全策略,保證在不影響醫院業務運行的同時增強對防護系統的管理。
兩個發展階段
衛生監督中心信息安全等級保護工作大致經歷了兩個發展階段。
啟動與探索階段(2007年~2008年):2007年12月,原衛生部組織專家組對部直屬機關報送的信息安全等級保護定級情況進行了評審。衛生監督中心的衛生監督信息報告系統和衛生行政許可受理評審系統確定為第三級保護,衛生監督中心網站確定為第二級保護。衛生監督中心在了解了信息安全等級保護制度的同時,啟動了信息安全等級保護相關工作。為摸清信息安全隱患,2008年衛生監督中心聘請了具有信息安全相關資質的信息安全咨詢公司對等保涉及的信息系統進行了信息安全測評,并制定了相應的整改方案。由于2008年信息安全整改資金等原因,未開展相關整改工作。
發展階段(2009年至今):本著統籌考慮、分布實施的原則,在實施國家級衛生監督信息系統建設項目之初就參照等級保護有關要求規劃和設計業務應用系統及其運行環境,同時積極開展等級保護備案等工作。在國家級項目二期中,專項對信息安全進行加固。并每年邀請公安部信息安全等級保護評估中心,對衛生監督中心的第三級保護系統進行了安全等級測評。
截至目前,衛生監督中心共有3個信息安全等級保護第三級的信息系統,4個信息安全等級保護第二級的信息系統。
信息安全技術體系
衛生監督信息系統信息安全技術體系建設,嚴格遵循等級保護第三級的技術要求進行詳細設計、技術選擇、產品選型、產品部署。技術體系從物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復等5個方面進行設計。
1.物理安全
衛生監督中心現有南北兩個機房,機房及相關配套設施面積總計160平方米。北機房部署等級保護第三級信息系統,南機房部署等級保護第二級信息系統,實現了第三級系統與第二級系統物理環境隔離。根據等級保護有關要求,機房均采用了精密空調、門禁系統、環境監測系統等設備設施及技術手段,有效地保證了機房的物理安全。
2.網絡安全
主干網絡鏈路均采用雙鏈路連接,關鍵網絡、安全設備均采用雙機冗余方式,避免單點故障。采用防火墻、入侵防護系統、DDoS系統進行邊界防護,各網絡區域之間采用防火墻進行區域隔離,在對外服務區部署了入侵檢測系統,在交換服務區部署了網絡審計系統。在核心數據區部署了數據庫審計系統,對網絡行為進行監控和記錄。在安全管理區部署安全管理系統,實現設備日志的統一收集及分析。
3.主機安全
所有服務器和管理終端配置了密碼安全策略;禁止用戶遠程管理,管理用戶必須進入機房通過KVM進行本地管理;所有服務器和管理終端進行了補丁更新,刪除了多余賬戶,關閉了不必要的端口和服務;所有服務器和管理終端開啟了安全審計功能;通過對數據庫的安全配置,實現管理用戶和特權用戶的分離,并實現最小授權要求。
4.應用安全
衛生監督中心7個應用系統均完成了定級備案,并按照等級保護要求開展了測評工作。應用服務器采取了集群工作部署,保證了系統的高可用性,同時建立了安全審計功能模塊,記錄登錄日志、業務操作日志、系統操作日志3種日志,并實現查詢和審計統計功能,配置了獨立的審計賬戶。門戶網站也采用了網頁防篡改、DDoS等系統。信息安全等級保護第三級系統管理人員及高權限用戶均使用CA證書登錄相應系統。
5.數據安全及備份恢復
衛生監督信息報告系統數據庫服務器使用了雙機熱備,應用服務器采用多機負載均衡,每天本地備份,保證了業務系統的安全、穩定和可靠運行。其余等級保護第三級信息系統使用了雙機備份,無論是軟件還是硬件問題,都可以及時準確地進行恢復并正常提供服務。同時,衛生監督中心在云南建立了異地數據備份中心,每天進行增量備份,每周對數據進行一次全備份。備份數據在一定時間內進行恢復測試,保證備份的有效性。
信息安全管理體系
在開展信息安全等級保護工作中,我們深刻體會到,信息安全工作“三分靠技術,七分靠管理”。為保證信息安全等級保護工作順利進行,參考ISO/IEC 27001《信息安全管理體系要求》,衛生監督中心建立了符合實際工作情況的信息安全管理制度體系,明確了“統一領導,技管并重;預防為主,責權分明;重點防護,適度安全”的安全方針,涵蓋等級保護管理要求中安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理五大方面的要求。
衛生監督中心建立了較為完善的信息安全責任制,設立了信息安全領導小組,領導小組組長由衛生監督中心主任擔任,成員由衛生監督中心有關處室負責人組成,信息處作為信息安全工作辦公室負責衛生監督中心日常信息安全管理工作。信息處設立了信息安全管理崗位,分別為網絡管理員、系統管理員、應用管理員、安全管理員、安全審計員、機房管理員,并建立了信息安全崗位責任制度。
此外,衛生監督中心依據上年度運維中存在的信息安全隱患每年對其進行修訂,確保信息安全工作落到實處。
信息安全運維體系
在信息安全工作中,建立信息安全管理制度不是目的,要以信息安全等級保護有關要求指導信息安全運維實踐。
衛生監督中心結合實際情況,編制了《國家級衛生監督信息系統運行維護工作規范》,從運行維護流程、資源管理和環境管理三個方面進行了規范,將安全運維理念落到實處。
運維人員在實際工作中,嚴格按照工作規范要求。利用衛生監督中心OA系統,建立了統一的服務臺,實現了事件、問題的全流程閉環管理(即:發現問題、登記問題、解決問題、解決反饋、解決確認)。年均處理信息安全事件近百件,將信息安全問題消滅在萌芽階段,有效地保證了信息系統穩定運行,保證了衛生監督中心信息安全目標和方針的實現。
信息安全等級保護實踐經驗
1.規范管理,細化流程
衛生監督中心從安全管理制度、安全管理組織機構及人員、安全建設管理和安全運維管理等方面建立了較為完善的安全管理體系。通過管理體系的建設,為國家級衛生監督信息系統運維管理工作中安全管理提供了重要指導。
國家級衛生監督信息系統運維工作從安全管理體系的建設中吸取了很多有益經驗,不僅合理調配了運維管理人員,落實了運維管理組織機構和崗位職責,而且細化了運維管理流程,形成了“二級三線”的運維處理機制。
2.循序漸進,持續完善
(一)健全組織管理體系,建立科技風險管理三道防線。安徽省分行成立由行長任組長、分管副行長及各部門負責人參加的信息化建設領導小組及信息安全應急領導小組,制定議事程序,確立工作步驟,審議信息科技重大決策事項及信息科技風險管理、信息安全管理工作。領導小組每季度召開一次會議,對信息化建設工作進行決策、安排和部署。立足于可持續發展戰略,安徽省分行提出了“全面風險管理、全程風險管理、全員風險管理”的管理目標,建立了信息科技風險管理的三道防線。第一道防線由信息科技部門組成,負責生產運行、應用研發、科技管理、信息安全等工作。第二道防線成立由信息科技部門和風險管理部門牽頭,其他部門共同參與的風險管控平臺。依托風險管控平臺,通過檢查、評測和監控及時發現科技工作中的風險隱患,組織召開風險例會,研究制定整改措施、整改方案,結合工作實際制定信息科技風險管理制度和規范。第三道防線由內部審計部門組成,主要職責是對信息科技工作進行專項審計。
(二)推動制度體系建設,構筑安全生產生命線。多年來,安徽省分行每年都對信息科技制度和技術規范進行修訂,對現有信息科技制度體系進行評估,對信息科技制度體系架構進行梳理,逐步建立了制度、實施細則及技術規范三層架構的制度體系。形成了《信息科技制度匯編》,共包括38個科技管理辦法、16個實施細則、9項技術規范,在全行范圍內印發執行,有效指導了信息化建設和風險管理工作的開展。為了保持制度的嚴肅性,使基層分支行操作人員嚴格執行制度,省分行加強制度執行力建設,采取檢查、監控及違規積分等措施,確保制度落地,形成人人“重制度,守制度”良好工作氛圍。
(三)完善技術體系建設,提升技術防范能力1.建設高標準機房。2009年到2011年期間,率先啟動省、市、縣三級機房達標工程改造,共投入2000萬元用于轄內66個機構機房的建設和改造,機構覆蓋面達到90%以上。機房建設突出了“高可用、高可靠、易管理、前瞻性”的理念,對供電、防雷、消防、空調、裝飾系統進行了全面改造,為信息系統安全運行提供了可靠的物理保障。2.健全后備供電保障體系。2012年,利用有限的固定資產指標,為全轄所有市級分行配置了功率在20KVA以上的UPS,為60個縣支行配置了10KVA的UPS;在3個新建辦公樓機構建設了市電雙回路供電、7個行自備發電機;11個行與電力公司、電信或聯通等公司簽訂應急供電協議。形成了UPS、發電機、雙回路供電、移動發電車等多重供電安全保障。3.建立功能完善的監控系統。省、市分行統一建立了機房預警監控系統(包括網絡預警監控系統和機房動力環境監控系統),實現對機房物理環境、重要設備、網絡設備、數據鏈路、業務系統進行實時監測及預警。系統采用分級監控方式,本級行不僅可以監控自身機房及信息系統運行情況,還可以實時監控到轄內行情況,實現科技風險監測的縱橫結合,提升風險預警與防控能力。4.構建高效安全的網絡體系。基層行成立不久,就實現了分網運行,根據業務種類、服務范圍等分為生產網、辦公網和監控網,針對不同的網絡采用不同的安全控制策略;在網絡線路上,采用三家運營商多線路、互為熱備方式實現網絡通訊的高可靠性;結合不同的應用分別采取了防火墻、入侵檢測、內外網隔離等技術防范手段,確保網絡安全。5.部署防病毒系統。部署了覆蓋全行的計算機病毒防治系統,支持防病毒軟件的統一管理和升級,有效防止病毒轉播與蔓延。6.建立省分行級的異地災備中心。通過在異地機房內架設EMC存儲,使用現有網絡在非工作時段進行數據復制,解決了重要數據異地災備問題。同時在存儲中劃分一定的空間供二級分行使用,也解決了二級分行重要數據異地存儲的難題。經過演練測試驗證,災備系統運行穩定,能夠有效地保障數據安全。
(四)加強信息系統應急管理,保持業務連續性省分行嚴格按照《中國農業發展銀行信息系統突發事件應急管理辦法》要求,成立相應組織,切實履行職責,在全轄范圍內每年都組織一次應急演練。2013年僅在網絡應急演練中,就模擬了6個場景,模擬突發網絡故障情況108種,驗證演練數據1638項。通過把演練工作做實做細,使得一些潛在的隱患得以暴露,強化了各級行對突發事件的響應和處置能力。此外還以應急演練為抓手,引入PDCA(策劃-實施-檢查-改進)持續改進機制,不斷完善應急預案及應急物資儲備。在演練策劃階段,針對已有的和潛在的信息科技風險因素進行充分的評估,有重點地制定演練方案;實施階段實時跟蹤監測各類信息科技風險因素的產生和變化,適時調整信息科技風險應對策略和措施;檢查階段對演練情況展開具體分析,對業務具體造成的影響、潛在風險、變化情況等進行收集整理,作為修訂完善應急預案的依據;在改進階段及時修正、完善應急演練預案。通過對應急演練持續改進,大大降低了信息科技風險事件的影響和損失,有效維持業務的不間斷運營。
二、基層行信息科技風險管理工作面臨的挑戰
(一)信息科技風險管理意識及能力尚需提高。一是部分基層行領導存在重業務發展重業務風險防范,輕信息科技建設輕信息科技風險防范的現象,致使科技風險管理不到位。二是一線操作人員風險意識淡薄,認為信息科技風險是信息科技部門的事,與己無關。對移動存儲設備使用、IC卡管理、密碼管理等安全管理規定置若罔聞,非常容易產生操作風險。三是信息科技人員缺乏科技風險管理方面專業系統的培訓,風險管理知識及經驗不足,風險識別、風險評估、風險處置能力不強。
(二)信息科技風險管理制度還需完善。一是信息科技管理制度還不夠完善。比如現有的制度在電子設備采購、管理、報廢等方面進行了規范,但在設備選型、設備更換、固定資產指標使用等方面缺乏統一規定,部分機構出現設備老化、設備帶病工作、設備兼容性差等情況。二是內部管控制度不健全。目前對信息科技風險審計能力不足,缺乏信息科技風險的有效監管。審計部門只對信息科技資產進行審計,缺乏必要的技術力量和技術方法對信息科技風險及信息科技人員行為進行審計。信息科技部門既是運動員,又是裁判員,不能形成有效的制衡機制。三是制度執行不到位。由于基層行信息科技人員不足,技術力量薄弱,科技部門重要崗位缺乏備份人員,內部崗位之間缺乏制約,影響某些規章制度有效落實。
(三)信息安全技術保障體系需進一步提升。一是技術安全標準和技術規范不夠全面,在風險預警、評估、處置等方面存在漏洞。二是在終端安全、網絡準入控制、網絡分區等方面技術手段不足,既增加人力維護成本,又極易產生信息科技安全隱患。三是IT服務外包需進一步規范,在外包合同簽訂、外包人員管理、服務質量的監督等方面需加強監管,在努力提高服務水平的同時,最大限度地保護信息安全。
三、基層行信息科技風險治理展望
(一)加強內控制度建設,鞏固三道防線。內控管理是一項長期而重要的工作,基層行應緊密結合現有業務流程,以完善管理機制、建立健全制度體系為主線,不斷優化現有信息系統,提高信息系統基礎設施的服務保障能力。信息科技風險雖然體現在信息系統的運行操作環節,但往往涉及業務流程和操作模式的合理性、業務需求的質量等眾多方面,防范信息科技風險必須綜合考慮業務需求制定、項目實施、軟件開發、基礎設施建設、運行維護管理等不同環節的各種因素,由業務主管部門、科技管理部門和審計部門協同工作,才能起到事半功倍的效果。各基層行首先應充分認識信息科技安全的緊迫性和重要性,明確信息科技風險管理目標,落實信息科技風險管理責任制,將信息科技風險納入自身的總體風險框架,筑起第一道“思想”防線;其次,在加強信息安全監督、自查力度的同時,還應定期組織轄內信息科技風險的專項檢查,對于日常經營管理和生產運行中發現的操作風險隱患,建立信息系統風險持續跟進機制,及時消除風險隱患,堅守第二道“監查”防線;此外,還應明確業務部門責任,將科技風險管理納入到業務部門日常管理,設立專門的IT審計團隊,培養專業的IT審計人才,對信息科技風險進行評估,督促整改,構建“以查帶審,以審促查”的第三道防線。
(二)重在預防,完善信息風險防控體系。一是建立信息風險監控平臺,通過對現有各類生產系統、監控系統中的可疑數據進行跟蹤與分析,從而有效地對信息科技風險進行預警、評估、處置。平臺采用實時預警和T+1分析相結合的方式,對于風險程度高、要求響應速度快的風險點,依托短信平臺、郵件系統在最短時間內給出預警;對于日常操作和行為信息,采用T+1分析的方式,通過事后追查、責任落實來規避風險。二是完善信息科技風險評估制度,嚴格控制對應用項目外包、軟硬件產品和相關服務外包的風險,建立對外包服務商、產品供應商的信息科技風險的評估機制,實現對第三方全過程的跟蹤管理,防范外包服務的實施風險。三是實施風險管理的全覆蓋。將全省人員按照省、市、縣三級組織實施分級管理,一級管一級,實現從上到下、從省到縣的逐級有序結構,使科技工作風險管控的觸角延伸到每一個人、每一臺計算機、每一項業務。
(三)強化保障體系,持續推動業務連續性管理。首先,應嚴格執行機房值班制度,每日巡查機房,確保將安全隱患消滅于萌芽之中。其次,還應加強后備電源、備品備件的管理,落實各二級分行機房的第二供電保障渠道,有條件的行采用雙回路供電,沒有改造條件的自備發電機,對重要設備還應采取熱備或冷備的方式,消除單點故障隱患。再次,研發推廣桌面(終端)安全系統,包含內網準入、補丁分發、病毒庫升級和主動防御等功能,從源頭防范,確保網絡安全。此外,還必須未雨綢繆,及時修訂應急預案,做好業務連續性規劃、業務恢復機制、風險化解和轉移措施、數據備份方案等多方面的工作,并加強災備演練,以保障在突如其來的災難性事故面前能從容應對,迅速恢復生產,盡可能降低事故造成的損失。
