企业信息安全等级保护体系建立
开篇:润墨网以专业的文秘视角,为您筛选了一篇企业信息安全等级保护体系建立范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
1.我国信息安全等级保护制度实施的基本情况
总的来讲,我们目前对信息系统的安全保障工作处在初级阶段,主要表现在信息系统安全建设和管理的目标不明确,信息安全保障工作的重点不突出,信息安全监管体系尚待完善。为了实施信息系统的安全保护,我国制定颁布了《计算机信息系统安全保护等级划分准则》(GB17859-1999)和《信息技术安全技术信息技术安全性评估准则》(GB/T18336-2001)等基本标准,随后又制定了一系列相关的国家标准,对信息等级保护工作的定级、建设、测评、安全管理等进行规范。信息安全等级保护制度一个很重要的思想就是对各领域的重要信息系统依照其对国家的重要程度进行分类分级,针对不同的安全等级采取不同的保护措施,以此来指导不同领域的信息安全工作[1]。99年颁布的《等级划分准则》对计算机信息系统安全保护能力划分了五个等级[2],保护能力随着安全保护等级的增高,逐渐增强。第一级为用户自主保护级。使用户具备自主安全保护的能力。第二级为系统审计保护级。在继承前面安全级别安全功能的基础上,需要创建和维护访问的审计跟踪记录。第三级为安全标记保护级。在继承前面安全级别安全功能的基础上,要求依据访问安全级别限制访问权限。第四级为结构化保护级。继承前面安全级别安全功能的基础上,划分安全保护机制为两部分,关键部分和非关键部分,对关键部分访问者直接控制访问对象的存取。第五级为访问验证保护级。按要求增设访问验证的功能,负责访问者对所有访问对象的访问活动进行仲裁。
在实施企业信息安全等级保护流程时,主要得工作可以分为信息系统定级、规划与设计和实施、等级评估与改进三个主要的阶段。
2.1信息系统定级
系统定级是根据整个系统要求达到的防护水平,确定信息系统和各个子系统的安全防护等级。需要由专业人员评估企业的信息系统、各种软硬件设备及企业业务支撑的各个环节,根据其重要性和复杂性划分为各个子系统,描述子系统的组成和边界,以此确定总系统和子系统的安全等级。2.2安全规划和设计安全规划和设计是根据系统定级的结果,对信息系统及其子系统制定全套的安全防护解决方案,并根据方案选取相应的软、硬件防护产品进行具体实施的阶段,这个阶段的工作主要可以归纳为以下三个方面的内容:
2.2.1系统对象的分类划分及相应保护框架的确立。
企业需要对信息系统进行保护对象进行分类和划分,建立起一个企业信息系统保护的框架,根据系统功能的差异和安全要求不同对系统进行分域、分级防护。
2.2.2选择安全措施并根据需要进行调整。
在确定了企业信息系统及各个子系统的安全等级以后,根据需要选择相应的等级安全要求。根据对系统评估的结果,确定出主系统、子系统和各保护对象的安全措施,并根据项目实施过程中的需要进行适当的调整。
2.2.3安全措施规划和安全方案实施。
确定需要的安全措施以后,定制相应安全解决方案和运维管理方案,以此为依据采购必要的安全保护软、硬件及安全服务。
2.3实施、等级评估和改进[4]
依照此前确定的安全措施和解决方案,在企业中进行方案实施。实施完毕之后,对照“信息安全等级保护”相关标准,评估所部署的方案是否达到了预想的防护要求,如果评估未能通过,则需对部分安全方案进行改进后再进行评估,直至符合等级保护要求。
3.企业信息安全等级保护体系的主要内容
3.1安全体系设计的原则及设计目标
信息系统安全体系的设计需要按照合规可行、全局均衡、体系化和动态发展原则,达到并实现“政策合规、资源可控、数据可信、持续发展”的生存管理与安全运维目的。系统安全等级保护体系的技术指标,可以分为信息技术测评指标和非信息技术测评指标两类。所以整个安全等级保护体系应包含基本技术措施和基本管理措施两个组成部分。
3.2基本技术措施
3.2.1物理安全
物理安全是信息系统安全的基础,物理安全主要内容包括环境安全(防火、防水、防雷击等)、设备和介质的防盗窃、防破坏等方面。
3.2.2网络安全
网络是若干网络设备组成的可用于数据传输的网络环境,是信息系统安全运行的基础设施。对于内网未通过准许联到外网的行为,可以使用终端安全管理系统来检测。对登录网络设备和服务器的用户进行基本的身份识别,使网络最基本具备基本的防护能力。[5]
3.2.3主机安全
主机安全主要是指服务器和终端系统层面的安全风险。主机的安全风险主要包括两个方面:一是操作系统的脆弱性,二是来自系统配置管理和使用过程。可以通过建立一套完善安全审计系统实现系统层、网络层以及应用层的安全审计。
3.2.4应用系统安全
应用系统是提供给用户真正可使用的功能,是以物理层、网络层和主机层为基础的,是用户与系统底层的接口。应用安全首先要考虑身份验证、通讯加密、信息保护和抗抵赖性等安全风险,对应用系统方面应关注系统资源控制、应用代码安全、系统安全审计和系统容错等内容,一般需要通过安全审计系统和专业的安全服务来实现。
3.2.5数据安全
数据是指用户真正的数据,信息系统数据安全所面临的主要风险包括:数据遭到盗窃;数据被恶意删除或篡改。在考虑数据安全方案时,除了使用从物理层到应用层的各种层次的安全产品,更重要的是考虑对数据的实时备份。目前主要使用数据库技术来保证数据私密性和完整性,制定好数据存储与备份方案,来完成日常的数据备份与恢复。这部分工作可以考虑引入专业安全服务。
3.3基本管理措施
3.3.1安全管理制度
安全管理制度的制定、、审核和修订等工作,需要在信息安全领导小组的统筹下,按照安全工作的总体方案,根据系统应用安全的实际情况,组织相关人员进行,并进行定期的审核和修订。
3.3.2安全管理机构
要根据要求建立专门的安全职能部门,配置专门的安全管理人员,并对安全管理人员进行日常活动的监督指导。同时要对安全职能部门进行全面的设计,内容包括的人员和岗位的配置、日常工作流程、与其他部门的沟通和合作、系统安全的审核和检查等方面。
3.3.3人员安全管理
人员的入职、离职、绩效考核、业务培训等环节都要考虑安全因素。对第三方人员管理上也要考虑安全风险。
3.3.4系统建设过程管理
要在系统建设的各个阶段贯彻系统安全等级保护体系的思想和内容。主要是对系统建设从方案设计、采购、开发、实施、测试验收、交付到系统备案、安全测评等环节进行全流程的监控,对所有涉及安全保护的方面提出具体要求。
3.3.5系统运行和维护管理
信息系统运维安全管理涉包括日常管理、安全事件处置、应急预案管理和安管中心等几方面内容,可以是内部人员管理维护,也可以根据需要采用内部人员和专业安全厂商相结合的方式。
4.总结
在安全保护体系建设规划设计时,企业都要结合自身的特点和业务需要进行有针对性的需求分析。每个行业在制定和执行等级保护制度时,要更多的结合自身的行业特点,对等级保护的相关要求、规范进行有针对性的解读和规划。尤其是近几年来多个网站爆出用户资料被盗、账户资金失窃等事件之后,广大网民更加关注企业的安全防护水平,企业在安全上投入的资金、精力和人力会更多。信息安全等级保护不仅有利于用户,更重要的是可以帮助企业建立起符合等级保护标准的安全防护体系,达到更好的安全防护效果。
作者:高健 熊宇量 单位:渤海证券股份有限公司