網絡安全等級測評報告
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇網絡安全等級測評報告范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
網絡安全等級測評報告范文第1篇
一、引言
隨著我國信息化建設的快速發展與廣泛應用,信息安全的重要性愈發突出。在國家重視信息安全的大背景下,推出了信息安全等級保護制度。為統一管理規范和技術標準,公安部等四部委聯合了《信息安全等級保護管理辦法》(公通字【2007】43號)。隨著等級保護工作的深入開展,原衛生部制定了《衛生行業信息安全等級保護工作的指導意見》(衛辦發【2011】85號),進一步規范和指導了我國醫療衛生行業信息安全等級保護工作,并對三級甲等醫院核心業務信息系統的安全等級作了要求,原則上不低于第三級。
從《關于信息安全等級保護工作的實施意見》中可知信息安全等級保護對象是國家秘密信息、法人和其他組織以及公民的專有信息和公開信息。對信息系統及其安全產品進行等級劃分,并按等級對信息安全事件響應。
二、醫院信息安全等級保護工作實施步驟
2.1定級與備案。根據公安部信息安全等級保護評估中心編制的《信息安全等級保護政策培訓教程》,有兩個定級要素決定了信息系統的安全保護等級,一個是等級保護對象受到破壞時所侵害的客體,另外一個是對客體造成侵害的程度。表1是根據定級要素制訂的信息系統等級保護級別。
對于三級醫院,門診量與床位相對較多,影響范圍較廣,一旦信息系統遭到破壞,將會給患者造成生命財產損失,對社會秩序帶來重大影響。因此,從影響范圍和侵害程度來看,我們非常認同國家衛計委對三級甲等醫院的核心業務信息系統安全等級的限制要求。
在完成定級報告編制工作后,填寫備案表,并按屬地化管理要求到市級公安機關辦理備案手續,在取得備案回執后才算完成定級備案工作。我院已按照要求向我市公安局網安支隊,同時也是我市信息安全等級保護工作領導小組辦公室,提交了定級報告與備案表。
2.2安全建設與整改。在完成定級備案后,就要結合醫院實際,分析信息安全現狀,進行合理規劃與整改。
2.2.1等保差距分析與風險評估。了解等級保護基本要求。《信息系統安全等級保護基本要求》分別從技術和管理兩方面提出了基本要求。基本技術要求包括五個方面:物理安全、網絡安全、主機安全、應用安全和數據安全,主要是由在信息系統中使用的網絡安全產品(包括硬件和軟件)及安全配置來實現;基本管理要求也包括五個方面:安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理,主要是根據相關政策、制度以及規范流程等方面對人員活動進行約束控制,以期達到安全管理要求。
技術類安全要求按保護側重點進一步劃分為三類:業務信息安全類(S類)、系統服務安全類(A類)、通用安全保護類(G類)。如受條件限制,可以逐步完成三級等級保護,A類和S類有一類滿足即可,但G類必須達到三級,最嚴格的G3S3A3控制項共計136條.醫院可以結合自身建設情況,選擇其中一個標準進行差距分析。
管理方面要求很嚴格,只有完成所有的154條控制項,達到管理G3的要求,才能完成三級等級保護要求。這需要我們逐條對照,發現醫院安全管理中的不足與漏洞,找出與管理要求的差距。
對于有條件的三甲醫院,可以先進行風險評估,通過分析信息系統的資產現狀、安全脆弱性及潛在安全威脅,形成《風險評估報告》。
經過與三級基本要求對照,我院還存在一定差距。比如:在物理環境安全方面,我院機房雖有滅火器,但沒安裝氣體滅火裝置。當前的安全設備產品較少,不能很好的應對網絡人侵。在運維管理方面,缺乏預警機制,無法提前判斷系統潛在威脅等。
2.2.2建設整改方案。根據差距分析情況,結合醫院信息系統安全實際需求和建設目標,著重于保證業務的連續性與數據隱私方面,滿足于臨床的實際需求,避免資金投入的浪費、起不到實際效果。
整改方案制訂應遵循以下原則:安全技術和安全管理相結合,技術作保障,管理是更好的落實安全措施;從安全區 域邊界、安全計算環境和安全通信網絡進行三維防護,建立安全管理中心。方案設計完成后,應組織專家或經過第三方測評機構進行評審,以保證方案的可用性。
整改方案實施。實施過程中應注意技術與管理相結合,并根據實際情況適當調整安全措施,提高整體保護水平。
我院整改方案是先由醫院內部自查,再邀請等級測評#司進行預測評,結合醫院實際最終形成的方案。網絡技術義員熟悉系統現狀,易于發現潛在安全威脅,所以醫院要先自查,對自身安全進行全面了解。等級測評公司派專業安全人員進駐醫院,經過與醫院技術人員溝通,利用安全工具進行測試,可以形成初步的整改報告,對我院安全整改具有指導意義。
2.3開展等級保護測評。下一步工作就是開展等級測評。在測評機構的選擇上,首先要查看其是否具有“DICP”認證,有沒有在當地公安部門進行備案,還可以到中國信息安全等級保護網站(網站地址:djbh.net)進行核實。測評周期一般為1至2月,其測評流程如下。
2.3.1測評準備階段。醫院與測評機構共同成立項目領導小組,制定工作任務與測評計劃等前期準備工作。項目啟動前,為防止醫院信息泄露,還需要簽訂保密協議。項目啟動后,測評機構要進行前期調研,主要是了解醫院信息系統的拓撲結構、設備運行狀況、信息系統應用情況及安全管理等情況,然后再選擇相應的測評工具和文檔。
在測評準備階段,主要是做好組織機構建設工作,配合等級測評公司人員的調査工作。
2.3.2測評方案編制階段。測評內容主要由測評對象與測評指標來確定。我院測評對象包含三級的醫院信息系統、基礎網絡和二級的門戶網站。測評機構要與醫院溝通,制定工具測試方法與測評指導書,編制測評方案。在此階段,主要工作由等級測評機構來完成。
2.3.3現場測評階段。在經過實施準備后,測評機構要對上述控制項進行逐一測評,大約需要1至2周,需要信息科人員密切配合與注意。為保障醫院業務正常開展,測評工作應盡量減少對業務工作的沖擊。當需要占用服務器和網絡資源時應避免業務高峰期,可以選擇下班時間或晚上。為避免對現有業務造成影響,測評工具應在接人前進行測試,同時要做好應急預案準備,一旦影響醫院業務,應立即啟動應急預案、在對209條控制項進行測評后應進行結果確認,并將資料歸還醫院。
該階段是從真實情況中了解信息系統全面具體的主要工作,也是技術人員比較辛苦的階段。除了要密切配合測評,還不能影響醫院業務開展,除非必要,不然安全測試工作必須在夜間進行。
2.3.4報告編制階段。通過判定測評單項,測評機構對單項測評結果進行整理,逐項分析,最終得出整體測評報告。測評報告包含了醫院信息安全存在的潛在威脅點、整改建議與最終測評結果。對于公安機關來講,醫院能否通過等級測評的主要標準就是測評結果。因此,測評報告的結果至關重要。測評結果分為:不符合、部分符合、全部符合。有的測評機構根據單項測評結果進行打分,最后給出總分,以分值來判定是否通過測評。為得到理想測評結果,需要醫院落實安全整改方案。
2.4安全運維。我們必須清醒地認識到,實施安全等級保護是一項長期工作,它不僅要在信息化建設規劃中考慮,還要在日常運維管理中重視,是不斷循環的過程。按照等級保護制度要求,信息系統等級保護級別定為三級的三甲醫院每年要自查一次,還要邀請測評機構進行測評并進行整改,監管部門每年要抽查一次。因此,醫院要按照PDCA的循環工作機制,不斷改進安全技術與管理上,完善安全措施,更好地保障醫院信息系統持續穩定運行。―
三、結語
網絡安全等級測評報告范文第2篇
關鍵詞:政務外網 等級保護 定級 網絡安全
為貫徹落實公安部、國家保密局、國家密碼管理局、原國務院信息化工作辦公室于2007年7月26日聯合下發《關于開展全國重要信息系統安全等級保護定級工作的通知》(公信安[2007]861號),國家電子政務外網工程建設辦公室(以下簡稱“外網工程辦”)在2007年11月啟動了中央級政務外網定級專項工作,成立了等級保護定級工作組,根據政務外網的實際情況和特點,經過多輪內部討論和征求專家意見后,基本完成了政務外網安全等級保護定級工作,為后續備案和全面開展、實施等級保護整改和測評工作奠定了堅實基礎。
一、周密部署,精心組織
為有效貫徹落實國家信息安全等級保護制度,在總結基礎調查和試點工作的基礎上,根據《關于開展全國重要信息系統安全等級保護定級工作的通知》等相關規定,2007年11月13日,電子政務外網工程辦召開等級保護工作啟動會,正式啟動國家電子政務外網安全等級保護定級工作。
為確保信息系統等級保護工作順利進行,外網工程辦領導高度重視,專門成立了由各主要業務部門負責人為成員的等級保護工作小組,全面負責工作的規劃、協調和指導,確定了外網工程辦安全組為等級保護工作的牽頭部門,各部門分工協作。同時,為確保系統劃分和定級工作的準確性和合理性,2007年11月22日外網工程辦專門邀請專家,對定級工作進行專項指導。
為統一思想,提高認識,通過召開等級保護專題會議等形式,深入學習《信息安全等級保護管理辦法》和《關于開展全國重要信息系統安全等級保護定級工作的通知》等文件精神,使相關人員充分認識和領會了開展信息安全等級保護工作的重要性,進一步認識到實施信息安全等級保護不僅是信息安全管理規范化、標準化、科學化的需要,也是提高政務外網安全保障能力與服務水平的重要途徑,是追求自身發展與落實社會責任相一致的現實需要與客觀要求,從而增強了開展此項工作的主動性和自覺性。
二、積極做好定級各項工作
信息安全等級保護工作政策性強、技術要求高,時間又非常緊迫,為此,政務外網工程辦從三方面抓好定級報備前期準備工作:一是積極參加公安部組織的等級保護培訓,領會與理解開展信息安全等級保護工作的目的、意義與技術要求,系統地掌握信息安全等級保護的基礎知識、實施過程、定級方法步驟和備案流程等。二是多次組織人員開展內部討論和交流,使人員較全面地了解等級保護的意義、基礎知識和定級方法。三是開展工程辦各組的業務應用摸底調查,摸清系統的系統結構、業務類型和應用范圍,并匯總整理了政務外網各組成域的相關概況。
三、科學準確定級
在開展政務外網定級工作的過程中突出重點,全面分析政務外網網絡基礎平臺的特點,力求準確劃定定級范圍和定級對象。在此基礎上,依據《信息安全等級保護管理辦法》,確定政務外網各組成子系統(網絡域)的安全保護等級。
劃定定級對象。根據《信息系統安全等級保護定級指南》,外網工程辦多次組織技術和業務骨干召開專題會議討論信息系統劃分問題,提出了較為科學合理的信息系統劃分方案。
初步確定了信息系統等級。根據系統劃分結果,組織各業務部門參與并初步確定了各系統等級,完成了自定級報告的起草。
組織專家自評把關。根據等級保護評審的標準與要求,專家們對信息系統劃分和定級報告進行內部評審,并給出了內部評審意見。根據專家意見重新修改并整理了等級保護定級報告及其相關材料。
此外,在定級過程中,外網工程辦積極與公安部等級保護主管部門進行溝通,并經由相關專家確認定級對象與等級保護方案后,整理好了所有定級材料,準備下一步的正式評審。
四、定級對象和結果
根據政務外網作為基礎網絡平臺的特性,以及其接入系統的不同業務類型,政務外網按管理邊界劃分為中央政務外網、地方政務外網兩類管理域。中央政務外網按業務邊界劃分功能區,即公用網絡平臺區、專用VPN網絡區以及互聯網接入區,在各功能區內又根據業務類型和系統服務的不同,確定了多個業務系統,主要有安全管理系統、應用平臺系統、網絡管理系統、郵件系統、VPN業務、互聯網數據中心等六個系統作為本次等級保護定級工作的定
級對象,分別予以定級(確定等級結果如表1所示)。
作者簡介:
羅海寧,1980年生,男,漢族,工程師,在職碩士,專業方向:網絡與信息安全。
郭紅,1966年生,女,漢族,高級工程師,在職碩士,專業方向:網絡安全。
網絡安全等級測評報告范文第3篇
關鍵詞:公共衛生行業;計算機網絡安全管理;安全技術防范;信息技術;信息安全等級 文獻標識碼:A
中圖分類號:TP393 文章編號:1009-2374(2015)08- DOI:10.13535/ki.11-4406/n.2015.
1 概述
公共衛生行業承擔的職責主要包括重大傳染病防控、慢性非傳染病防控、衛生監督、職業病防制、精神衛生管理、健康危險因素評價、突發公共衛生事件處置和兒童免疫接種管理等,在管理過程中要涉及到大量的重要信息數據,包括疾病監測數據、健康危險因素監測數據和免疫規劃管理數據等,這就對公共衛生行業在信息數據管理的方面提出了很高的要求,務必要將計算機網絡安全管理防范問題放在重要位置,從網絡防范技術和監督管理等方面建立健全計算機信息安全保障體系,確保各類信息數據安全有效。
2 目前公共衛生行業計算機網絡安全存在的問題
2.1 數據信息安全威脅
信息數據面臨的安全威脅來自于多個方面,有通過病毒、非授權竊取來破壞數據保密性的安全威脅,有因為操作系統故障、應用系統故障等導致的破壞數據完整性的安全威脅,有因為硬盤故障、誤操作等導致的破壞數據可用性的安全威脅,還有因為病毒威脅、非授權篡改導致的破壞數據真實性的安全威脅,這些潛在的安全威脅將會導致信息數據被刪除、破壞、篡改甚至被竊取,給公共衛生行業帶來無法彌補的損失。
2.2 安全管理缺失
公共衛生行業在信息化建設工作中,如果存在重應用、輕安全的現象,在IT系統建設過程中沒有充分考慮信息安全的科學規劃,將導致后期信息安全建設和管理工作比較被動,業務的發展及信息系統的建設與信息安全管理建設不對稱;或由于重視信息安全技術,輕視安全管理,雖然采用了比較先進的信息安全技術,但相應的管理措施不到位,如病毒庫不及時升級、變更管理松懈、崗位職責不清、忽視數據備份等現象普遍存在,很有可能會導致本不應該發生的信息安全事件發生。
3 分析問題產生的主要原因
3.1 經費投入不足導致的安全防范技術薄弱
許多公共衛生機構的信息化基礎設施和軟硬件設備,都是在2003年SARS疫情爆發以后國家投入建設的,運行至今,很多省級以下的公共衛生單位由于領導認識不足或經費所限,只重視疾病防控能力和實驗室檢驗檢測能力的建設,而忽視了對公共衛生信息化的投入,很少將經費用于信息化建設和信息安全投入,信息化基礎設施陳舊、軟硬件設備老化,信息安全防范技術比較薄弱,因網絡設備損壞、服務器宕機等故障或無入侵檢測、核心防火墻等安全防護設備,導致信息數據丟失、竊取的現象時有發生,嚴重影響了重要信息數據的保密性、完整性和安全性,一旦發生信息安全事件后果將不堪設想。
3.2 專業技術人才缺乏
建設信息化、發展信息化最大的動力資源是掌握信息化的專業技術人才,人才的培養是行業信息化高速發展的基礎,然而,公共衛生行業的人才梯隊主要以疾病控制、醫學檢驗專業為主,信息化、信息安全專業技術人才缺乏,隊伍力量薄弱,不能很好地利用現有的計算機軟硬件設備,也很難對本單位現有的信息化、信息安全現狀進行有效的評估,缺乏制定本行業長期、可持續信息化建設發展規劃的能力,這也是制約公共衛生行業信息化發展的重要因數。
3.3 信息安全培訓不足,職工安全保密意識不強
信息安全是一項全員參與的工作,它不僅是信息化管理部門的本職工作,更是整個公共衛生行業的重要工作職責,很多單位沒有將信息安全培訓放在重要位置,沒有定期開展信息安全意識教育培訓,許多職工對網絡安全不夠重視,缺乏網絡安全意識,隨意接收、下載、拷貝未知文件,沒有查殺病毒、木馬的習慣,經常有意無意的傳播病毒,使得單位網絡系統經常遭受ARP、宏病毒等病毒木馬的攻擊,嚴重影響了單位網絡的安全穩定運行;同時,許多職工對于單位的移動介質缺乏規范化管理意識,隨意將拷貝有信息的移動硬盤、優盤等介質帶出單位,在其他聯網的計算機上使用,信息容易失竊,存在非常嚴重的信息安全隱患。
4 如何促進公共衛生行業計算機網絡安全性提升
4.1 強化管理,建立行業計算機網絡安全管理制度
為了確保整個計算機網絡的安全有效運行,建立出一套既符合本行業工作實際的,又滿足網絡實際安全需要的、切實可行的安全管理制度勢在必行。主要包括以下三方面的內容:
4.1.1 成立信息安全管理機構,引進信息安全專業技術人才,結合單位開展的工作特點,從管理、安全等級保護、安全防范、人員管理等方面制定統管全局的網絡安全管理規定。
4.1.2 制定信息安全知識培訓制度,定期開展全員信息安全知識培訓,讓全體員工及時了解計算機網絡安全知識最新動態,結合信息安全事件案列,進一步強化職工對信息安全保密重要性的認識。同時,對信息技術人員進行專業知識和操作技能的培訓,培養一支具有安全管理意識的隊伍,提高應對各種網絡安全攻擊破壞的能力。
4.1.3 建立信息安全監督檢查機制,開展定期或不定期內部信息安全監督檢查,同時將信息安全檢查納入單位季度、年度綜合目標責任制考核體系,檢查結果直接與科室和個人的獎勵績效工資、評先評優掛鉤,落實獎懲機制,懲防并舉,確保信息安全落實無死角。
4.2 開展信息安全等級保護建設
開展信息安全等級保護建設,通過對公共衛生行業處理、存儲重要信息數據的信息系統實行分等級安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置,建立健全信息安全應急機制,定期對信息系統安全等保建設情況進行測評,存在問題及時整改,從制度落實、安全技術防護、應急處置管理等各個方面,進一步提高公共衛生行業信息安全的防護能力、應急處置能力和安全隱患發現能力。
4.3 加強網絡安全技術防范
隨著信息技術的高速發展,信息網絡安全需要依托防火墻、入侵檢測、VPN等安全防護設施,充分運用各個軟硬件網絡安全技術特點,建立安全策略層、用戶層、網絡與信息資源層和安全服務層4個層次的網絡安全防護體系,全面增強網絡系統的安全性和可靠性。
4.3.1 防火墻技術。防火墻技術在公共衛生行業網絡安全建設體系中發揮著重要的作用,按照結構和功能通常劃分為濾防火墻、應用防火墻和狀態檢測防火墻三種類型,一般部署在核心網絡的邊緣,將內部網絡與Internet之間或者與其他外部網絡互相隔離,有效地記錄Internet上的活動,將網絡中不安全的服務進行有效的過濾,并嚴格限制網絡之間的互相訪問,從而提高網絡的防毒能力和抗攻擊能力,確保內部網絡安全穩定運行。
4.3.2 入侵檢測。入侵檢測是防火墻的合理補充,是一種對網絡傳輸進行即時監視,在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備,檢測方法包括基于專家系統入侵檢測方法和基于神經網絡的入侵檢測方法兩種,利用入侵檢測系統,能夠迅速及時地發現并報告系統中未授權或異常現象,幫助系統對付內部攻擊和外部網絡攻擊,在網絡系統受到危害之前攔截和響應入侵,在安全審計、監視、進攻識別等方面進一步擴展了系統管理員的安全管理能力,提高了信息安全基礎結構的完整性。
4.3.3 虛擬專用網絡(VPN)技術。VPN技術因為低成本、高度靈活的特點,在很多行業信息化建設中被廣泛應用,公共衛生行業也有很多信息系統都是基于VPN進行數據傳輸的,如中國疾病預防控制信息系統等,通過在公用網絡上建立VPN,利用VPN網關將數據包進行加密和目標地址轉換,以實現遠程訪問。VPN技術實現方式目前運用的主要有MPLS、IPSEC和SSL三種類型,中國疾病預防控制信息系統VPN鏈路網絡采用的就是IPSECVPN模式,利用VPN鏈路隧道,實現國家到省、市、縣四級的互聯互通和數據傳輸共享。VPN通過使用點到點協議用戶級身份驗證的方法進行驗證,將高度敏感的數據地址進行物理分隔,只有授權用戶才能與VPN服務器建立連接,進行遠程訪問,避免非授權用戶接觸或竊取重要數據,為用戶信息提供了很高的安全性保護。
5 結語
在信息化高速發展的今天,計算機網絡安全已經成為影響公共衛生行業健康穩定發展的重要因數,只有通過不斷完善網絡安全制度,加大網絡安全軟硬件投入、強化安全防范技術、開展信息安全等級保護建設、加快信息安全人才培養和網絡安全知識培訓等,才能保障公共衛生行業在良好的環境中有序、順利的開展工作。
參考文獻
[1] 龐德明.辦公自動化網絡的安全問題研究[J].電腦知識與技術,2009,(6).
[2] 陳棠暉.淺析疾控系統的網絡安全[J].網絡安全技術與應用,2011,(4).
網絡安全等級測評報告范文第4篇
本文針對新疆電力營銷系統的現狀,給出了一種多層次的安全防護方案,對保障營銷系統網絡穩定運行,保護用戶信息安全,傳輸安全、存儲安全和有效安全管理方面給出了建設意見。
2新疆營銷網絡系統現狀
新疆電力營銷業務應用經過了多年的建設,目前大部分地區在業擴報裝、電費計算、客戶服務等方面的營銷信息化都基本達到實用化程度,在客戶服務層、業務處理層、管理監控層三個層次上實現了相應的基本功能。結合新疆電力公司的實際情況,主要分析了管理現狀和網絡現狀。
2.1管理現狀
根據公司總部提出的“集團化運作、集約化發展、精細化管理”的工作思路,從管理的需求上來說,數據越集中,管理的力度越細,越能夠達到精細化的管理的要求。但由于目前各地市公司的管理水平現狀、IT現狀、人員現狀等制約因素的限制,不可能使各地市公司的管理都能夠一步到位,尤其是邊遠地區。因此,營銷業務應用管理在基于現狀的基礎上逐步推進。根據對當前各地市公司的營銷管理現狀和管理目標需求的分析,管理現狀可分為如下三類:實時化、精細化管理;準實時、可控的管理;非實時、粗放式管理。目前大部分管理集中在第二類和第三類。
2.2網絡現狀
網絡建設水平將直接影響營銷業務應用的系統架構部署,目前新疆公司信息網已經形成,實現了公司總部到網省公司、網省公司本部到下屬地市公司的信息網絡互連互通,但是各地市公司在地市公司到下屬基層供電單位的之間的信息網絡建設情況差別較大,部分地市公司已經全部建成光纖網絡,并且有相應的備用通道,能夠滿足實時通信的要求,部分地市公司通過租用專線方式等實現連接,還有一些地市公司由于受地域條件的限制,尚存在一些信息網絡無法到達的地方,對大批量、實時的數據傳輸要求無法有效保證,通道的可靠性相對較差。
2.3需求分析
營銷業務系統通常部署在國家電網公司內部信息網絡的核心機房,為國家電網公司內部信息網絡和國家電網公司外部信息網絡的用戶提供相關業務支持。該網絡涉及業務工作和業務應用環境復雜,與外部/內部單位之間存在大量敏感數據交換,使用人員涵蓋國家電網公司內部人員,外部廠商人員,公網用戶等。因此,在網絡身份認證、數據存儲、網絡邊界防護與管理等層面上都有很高的安全需求。[2]
3關鍵技術和架構
3.1安全防護體系架構
營銷網絡系統安全防護體系的總體目標是保障營銷系統安全有序的運行,規范國家電網公司內部信息網員工和外部信息網用戶的行為,對違規行為進行報警和處理。營銷網絡系統安全防護體系由3個系統(3維度)接入終端安全、數據傳輸安全和應用系統安全三個方面內容,以及其多個子系統組成。
3.2接入終端安全
接入營銷網的智能終端形式多樣,包括PC終端、智能電表和移動售電終端等。面臨協議不統一,更新換代快,網絡攻擊日新月異,黑客利用安全漏洞的速度越來越快,形式越來越隱蔽等安全問題。傳統的基于特征碼被動防護的反病毒軟件遠遠不能滿足需求。需要加強終端的安全改造和監管,建立完善的認證、準入和監管機制,對違規行為及時報警、處理和備案,減小終端接入給系統帶來的安全隱患。
3.3數據傳輸安全
傳統的數據傳輸未采取加密和完整性校驗等保護措施,電力營銷數據涉及國家電網公司和用戶信息,安全等級較高,需要更有效的手段消除數據泄露、非法篡改信息等風險。市場上常見的安全網關、防火墻、漏洞檢測設備等,都具有數據加密傳輸的功能,能夠有效保證數據傳輸的安全性。但僅僅依靠安全設備來保證數據通道的安全也是不夠的。一旦設備被穿透,將可能造成營銷系統數據和用戶信息的泄露。除此之外,還需要采用更加安全可靠的協議和通信通道保證數據通信的安全。
3.4應用系統安全
目前營銷系統已經具有針對應用層的基于對象權限和用戶角色概念的認證和授權機制,但是這種機制還不能在網絡層及以下層對接入用戶進行細粒度的身份認證和訪問控制,營銷系統仍然面臨著安全風險。增強網絡層及以下層,比如接入層、鏈路層等的細粒度訪問控制,從而提高應用系統的安全性。
4安全建設
營銷系統安全建設涉及安全網絡安全、主機操作系統安全、數據庫安全、應用安全以及終端安全幾個層面的安全防護方案,用以解決營銷系統網絡安全目前存在的主要問題。
4.1終端安全加固
終端作為營銷系統使用操作的發起設備,其安全性直接關系到數據傳輸的安全,乃至內網應用系統的安全。終端不僅是創建和存放重要數據的源頭,而且是攻擊事件、數據泄密和病毒感染的源頭。這需要加強終端自身的安全防護策略的制定,定期檢測被攻擊的風險,對安全漏洞甚至病毒及時處理。對終端設備進行完善的身份認證和權限管理,限制和阻止非授權訪問、濫用、破壞行為。目前公司主要的接入終端有PC、PDA、無線表計、配變檢測設備、應急指揮車等。由于不同終端采用的操作系統不同,安全防護要求和措施也不同,甚至需要根據不同的終端定制相應的安全模塊和安全策略,主要包括:針對不同終端(定制)的操作系統底層改造加固;終端接入前下載安裝可信任插件;采用兩種以上認證技術驗證用戶身份;嚴格按權限限制用戶的訪問;安裝安全通信模塊,保障加密通訊及連接;安裝監控系統,監控終端操作行為;安裝加密卡/認證卡,如USBKEY/PCMCIA/TF卡等。
4.2網絡環境安全
網絡環境安全防護是針對網絡的軟硬件環境、網絡內的信息傳輸情況以及網絡自身邊界的安全狀況進行安全防護。確保軟硬件設備整體在營銷網絡系統中安全有效工作。
4.2.1網絡設備安全
網絡設備安全包括國家電網公司信息內、外網營銷管理系統域中的網絡基礎設施的安全防護。主要防護措施包括,對網絡設備進行加固,及時安裝殺毒軟件和補丁,定期更新弱點掃描系統,并對掃描出的弱點及時進行處理。采用身份認證、IP、MAC地址控制外來設備的接入安全,采用較為安全的SSH、HTTPS等進行遠程管理。對網絡設備配置文件進行備份。對網絡設備安全事件進行定期或實時審計。采用硬件雙機、冗余備份等方式保證關鍵網絡及設備正常安全工作,保證營銷管理系統域中的關鍵網絡鏈路冗余。
4.2.2網絡傳輸安全
營銷系統數據經由網絡傳輸時可能會被截獲、篡改、刪除,因此應當建立安全的通信傳輸網絡以保證網絡信息的安全傳輸。在非邊遠地方建立專用的電力通信網絡方便營銷系統的用戶安全使用、在邊遠的沒有覆蓋電力局和供電營業所的地方,采用建立GPRS、GSM,3G專線或租用運營商ADSL、ISDN網絡專網專用的方式,保障電力通信安全。電力營銷技術系統與各個銀行網上銀行、郵政儲蓄網點、電費代繳機構進行合作繳費,極大方便電力客戶繳費。為了提高通道的安全性,形成了營銷系統信息內網、銀行郵政等儲蓄系統、internet公網、供電中心網絡的一個封閉環路,利用專網或VPN、加密隧道等技術提高數據傳輸的安全性和可靠性。在數據傳輸之前需要進行設備間的身份認證,在認證過程中網絡傳輸的口令信息禁止明文傳送,可通過哈希(HASH)單向運算、SSL加密、SecureShel(lSSH)加密、公鑰基礎設施(PublicKeyInfrastructure簡稱PKI)等方式實現。此外,為保證所傳輸數據的完整性需要對傳輸數據加密處理。系統可采用校驗碼等技術以檢測和管理數據、鑒別數據在傳輸過程中完整性是否受到破壞。在檢測到數據完整性被破壞時,采取有效的恢復措施。
4.2.3網絡邊界防護
網絡邊界防護主要基于根據不同安全等級網絡的要求劃分安全區域的安全防護思想。營銷系統安全域邊界,分為同一安全域內部各個子系統之間的內部邊界,和跨不同安全域之間的網絡外部邊界兩類。依據安全防護等級、邊界防護和深度防護標準,具有相同安全保護需求的網絡或系統,相互信任,具有相同的訪問和控制策略,安全等級相同,被劃分在同一安全域內[3],采用相同的安全防護措施。加強外部網絡邊界安全,可以采用部署堡壘機、入侵檢測、審計管理系統等硬件加強邊界防護,同時規范系統操作行為,分區域分級別加強系統保護,減少系統漏洞,提高系統內部的安全等級,從根本上提高系統的抗攻擊性。跨安全域傳輸的數據傳輸需要進行加密處理。實現數據加密,啟動系統的加密功能或增加相應模塊實現數據加密,也可采用第三方VPN等措施實現數據加密。
4.3主機安全
從增強主機安全的層面來增強營銷系統安全,采用虛擬專用網絡(VirtualPrivateNetwork簡稱VPN)等技術,在用戶網頁(WEB)瀏覽器和服務器之間進行安全數據通信,提高主機自身安全性,監管主機行,減小用戶錯誤操作對系統的影響。首先,掃描主機操作系統評估出配置錯誤項,按照系統廠商或安全組織提供的加固列表對操作系統進行安全加固,以達到相關系統安全標準。安裝第三方安全組件加強主機系統安全防護。采用主機防火墻系統、入侵檢測/防御系統(IDS/IPS)、監控軟件等。在服務器和客戶端上部署專用版或網絡版防病毒軟件系統或病毒防護系統等。此外,還需要制定用戶安全策略,系統用戶管理策略,定義用戶口令管理策略[4]。根據管理用戶角色分配用戶權限,限制管理員使用權限,實現不同管理用戶的權限分離。對資源訪問進行權限控制。依據安全策略對敏感信息資源設置敏感標記,制定訪問控制策略嚴格管理用戶對敏感信息資源的訪問和操作。
4.4數據庫安全
數據庫安全首要是數據存儲安全,包括敏感口令數據非明文存儲,對關鍵敏感業務數據加密存儲,本地數據備份與恢復,關鍵數據定期備份,備份介質場外存放和異地備份。當環境發生變更時,定期進行備份恢復測試,以保證所備份數據安全可靠。數據安全管理用于數據庫管理用戶的身份認證,制定用戶安全策略,數據庫系統用戶管理策略,口令管理的相關安全策略,用戶管理策略、用戶訪問控制策略,合理分配用戶權限。數據庫安全審計采用數據庫內部審計機制或第三方數據庫審計系統進行安全審計,并定期對審計結果進行分析處理。對較敏感的存儲過程加以管理,限制對敏感存儲過程的使用。及時更新數據庫程序補丁。經過安全測試后加載數據庫系統補丁,提升數據庫安全。數據庫安全控制、在數據庫安裝前,必須創建數據庫的管理員組,服務器進行訪問限制,制定監控方案的具體步驟。工具配置參數,實現同遠程數據庫之間的連接[5]。數據庫安全恢復,在數據庫導入時,和數據庫發生故障時,數據庫數據冷備份恢復和數據庫熱備份恢復。
4.5應用安全
應用安全是用戶對營銷系統應用的安全問題。包括應用系統安全和系統的用戶接口和數據接口的安全防護。
4.5.1應用系統安全防護
應用系統安全防護首先要對應用系統進行安全測評、安全加固,提供系統資源控制功能以保證業務正常運行。定期對應用程序軟件進行弱點掃描,掃描之前應更新掃描器特征代碼;弱點掃描應在非核心業務時段進行,并制定回退計劃。依據掃描結果,及時修復所發現的漏洞,確保系統安全運行。
4.5.2用戶接口安全防護
對于用戶訪問應用系統的用戶接口需采取必要的安全控制措施,包括對同一用戶采用兩種以上的鑒別技術鑒別用戶身份,如采用用戶名/口令、動態口令、物理識別設備、生物識別技術、數字證書身份鑒別技術等的組合使用。對于用戶認證登陸采用包括認證錯誤及超時鎖定、認證時間超出強制退出、認證情況記錄日志等安全控制措施。采用用戶名/口令認證時,應當對口令長度、復雜度、生存周期進行強制要求。同時,為保證用戶訪問重要業務數據過程的安全保密,用戶通過客戶端或WEB方式訪問應用系統重要數據應當考慮進行加密傳輸,如網上營業廳等通過Internet等外部公共網絡進行業務系統訪問必須采用SSL等方式對業務數據進行加密傳輸。杜絕經網絡傳輸的用戶名、口令等認證信息應當明文傳輸和用戶口令在應用系統中明文存儲。
4.5.3數據接口安全防護
數據接口的安全防護分為安全域內數據接口的安全防護和安全域間數據接口的安全防護。安全域內數據接口在同一安全域內部不同應用系統之間,需要通過網絡交換或共享數據而設置的數據接口;安全域間數據接口是跨不同安全域的不同應用系統間,需要交互或共享數據而設置的數據接口。
5安全管理
安全管理是安全建設的各項技術和措施得以實現不可缺少的保障,從制度和組織機構到安全運行、安全服務和應急安全管理,是一套標準化系統的流程規范,主要包括以下方面。
5.1安全組織機構
建立營銷業務應用安全防護的組織機構,并將安全防護的責任落實到人,安全防護組織機構可以由專職人員負責,也可由運維人員兼職。
5.2安全規章制度
建立安全規章制度,加強安全防護策略管理,軟件系統安全生命周期的管理,系統安全運維管理,安全審計與安全監控管理,以及口令管理、權限管理等。確保安全規章制度能夠有效落實執行。
5.3安全運行管理
在系統上線運行過程中,遵守國家電網公司的安全管理規定,嚴格遵守業務數據安全保密、網絡資源使用、辦公環境等的安全規定。首先,系統正式上線前應進行專門的系統安全防護測試,應確認軟件系統安全配置項目準確,以使得已經設計、開發的安全防護功能正常工作。在上線運行維護階段,應定期對系統運行情況進行全面審計,包括網絡審計、主機審計、數據庫審計,業務應用審計等。每次審計應記入審計報告,發現問題應進入問題處理流程。建立集中日志服務器對營銷交易安全域中網絡及安全設備日志進行集中收集存儲和管理。軟件升級改造可能會對原來的系統做出調整或更改,此時也應從需求、分析、設計、實施上線等的整個生命周期對運行執行新的安全管理。
5.4安全服務
安全服務的目的是保障系統建設過程中的各個階段的有效執行,問題、變更和偏差有效反饋,及時解決和糾正。從項目層面進行推進和監控系統建設的進展,確保項目建設質量和實現各項指標。從項目立項、調研、開發到實施、驗收、運維等各個不同階段,可以階段性開展不同的安全服務,包括安全管理、安全評審、安全運維、安全訪談、安全培訓、安全測試、安全認證等安全服務。
5.5安全評估
安全評估是對營銷系統潛在的風險進行評估(RiskAssessment),在風險尚未發生或產生嚴重后果之前對其造成后果的危險程度進行分析,制定相應的策略減少或杜絕風險的發生概率。營銷系統的安全評估主要是針對第三方使用人員,評估內容涵蓋,終端安全和接入網絡安全。根據國家電網公司安全等級標準,對核心業務系統接入網絡安全等級進行測評,并給出測評報告和定期加固改造辦法,如安裝終端加固軟件/硬件,安裝監控軟件、增加網絡安全設備、增加安全策略,包括禁止違規操作、禁止越權操作等。
5.6應急管理
為了營銷系統7×24小時安全運行,必須建立健全快速保障體系,在系統出現突發事件時,有效處理和解決問題,最大限度減小不良影響和損失,制定合理可行的應急預案,主要內容包括:明確目標或要求,設立具有專門的部門或工作小組對突發事件能夠及時反應和處理。加強規范的應急流程管理,明確應急處理的期限和責任人。對于一定安全等級的事件,要及時或上報。
6實施部署
營銷系統為多級部署系統。根據國家電網信息網絡分區域安全防護的指導思想原則,結合新疆多地市不同安全級別需求的實際情況,營銷系統網絡整體安全部署如圖2所示。在營銷系統部署中,對安全需求不同的地市子網劃分不同的安全域,網省管控平臺部署在網省信息內網,負責對所有安全防護措施的管控和策略的下發,它是不同安全級別地市子系統信息的管理控制中心,也是聯接總部展示平臺的橋梁,向國網總公司提交營銷系統安全運行的數據和報表等信息。
7結束語
網絡安全等級測評報告范文第5篇
中標軟件旗下擁有中標麒麟、中標凌巧、中標普華三大產品品牌。“自主可控、安全可靠”是中標軟件系列產品重點打造的核心特性。旗下產品包括:中標麒麟安全操作系統、中標麒麟安全云操作系統、中標麒麟安全郵件服務器、中標麒麟高可用集群軟件、中標麒麟高級服務器操作系統、中標麒麟通用服務器操作系統、中標麒麟桌面操作系統等核心產品。
中標麒麟(NeoKylin)是“核高基”國家重大科技專項支持的、由國內操作系統兩強中標軟件有限公司與國防科學技術大學共同推出的國產操作系統旗艦品牌。作為中國操作系統第一品牌,中標麒麟致力于提供值得信賴的自主可控操作系統產品。中標麒麟操作系統產品榮獲“國家重點新產品”稱號,并進入國家信息產業部產品推薦目錄。
目前中標麒麟操作系統產品已在國防、政府、金融、電力、醫衛等重點行業進行全面推廣。根據賽迪顧問統計,2012年中標麒麟產品在國內Linux操作系統市場占有率排名第一。
中標麒麟安全操作系統是為滿足政府、國防、電力、金融、證券、等領域,以及針對企業電子商務和互聯網應用對操作系統平臺的安全需求,由中標軟件有限公司和國防科學技術大學聯合研發的安全可控、高安全等級的服務器操作系統平臺產品。中標麒麟安全操作系統通過了公安部信息安全產品檢測中心基于《GB/T20272-2006信息安全技術操作系統安全技術要求》第四級(結構化保護級)技術要求認證。
中標麒麟安全操作系統所獲資質或認可:公安部信息安全產品檢測中心GB/T 20272-2006第四級(結構化保護級)檢測報告、公安部公共信息安全網絡安全監察局-計算機信息安全專用產品銷售許可、中國人民軍用信息安全產品認證(軍B+級)、國家電網信息系統安全實驗室測評報告、中標麒麟安全操作系統V5-計算機軟件產品登記、中標麒麟安全套件軟件V5-計算機軟件著作權登記、中標麒麟安全操作系統V5-兼容性測試報告、中標麒麟安全操作系統V5-LSB3.1認證、中標麒麟安全操作系統V5-CGL4.0認證。
