时间:2023-02-13 20:05:47
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇信息安全整改方案范例。如需获取更多原创内容,可随时联系我们的客服老师。
一.一钻研违景
我国计算机网络尽管起步较晚,但经由近几年的迅猛发展,已经走进每一家每一户。截至二0一三年,我国已经有六亿多网民,成为网民至多的国家。同时,信息的载体模式也迅速发展,如微博、微信、facebook、QQ等,电子政务网络作为政府合用的主要网络,安全以及保密问题成为凸起问题之1,不经意间信息就可能被泄露、盗取。在这类情况下,电子政务的信息安全问题就燃眉之急,良多政府机关仍在使用原始的网络隔离卡、网闹等手腕避免信息的非授权获取,电子政务网络与公共信息网络没有物理隔离,给病毒入侵以及黑客袭击等非法手腕提供了便利的渠道,这类原始的手腕很容易被攻破,电子政务信息安全没法保障。1旦不适于对于外表露的政府信息、军事信息、经济信息、社会信息等分散,对于社会流动、国家不乱都会造成深挚的影响,为避免这类现象产生,电子政务系统的安全才是应当患上到注重之处。互联网安全技术广泛利用与电子政务系统,势必使电子政务信息的保密性更为深远,也保障了政府的正常秩序、社会的不乱以及国家安全。
…………
一.二国内外发展示状
美国的电子政务系统最开始是由克林顿于一九九三年提出施行的,其发展速度比较快,展开的也比较胜利,在各个领域迅速发展起来,使美国成为全球电子政务建设的模板。美国采用电子政务的阶段施行策略,在这个进程中,从简单到繁杂逐步演化:第1阶段是雏形阶段,主要是在政务系统中提供1般的服务,从事简单审批事项,不是很繁杂;第2阶段开始树立公共可阅读的网址,处理比较繁琐的事务,政府展开转型;第3阶段是组构电子政务集成系统以及技术体系,树立政府处理系统;第4个阶段有互动功能,政府间、政府以及企业,政府以及公民间互动沟通以及服务。美国电子政务的发展有下列几个特色:第1,许多网站以及政府事务;第2,政府有专门电子政务部门负责对于电子政务网络进行管理运维;第3,政府拥有便捷的服务体系,快捷响应要求;4是电子政务信息安全意识强烈,专注于信息安全管理以及维护。一九九九年加拿大政府于正式颁布政府在线,相似于现在的电子政务,并且于以后几年内实现所有政府信息以及服务的网上办公,加拿大在电子政务内网的设计上获得了显着的成效。加拿大电子政务发展的基本特征:第1,政府执行利用程序的角色,加拿大政府掌舵人亲身关注电子政务建设;第2,基础设施建设无比迅速以及完全;第3。以用户为中心,以企业以及国际客户的反馈满意度的主旨,延续改良以及发展。新加坡是进行政府信息公幵最古老的国度,也是电子政务建设过程中迅速发展的1个国家。二0年前,在一九八七年开始发展政府计算机规划,建设电子政务网络是首要的组成之1,新加坡还推出了1系列国家科技规划,科技的利用以及重构使政府机构办事高效、反应快捷,为所有类型的用户提供优质的、可反馈的综合。
………….
二.电子政务基本概念
二.一电子政务安全及抉择因素
电子政务安全触及良多领域,是国家安全的首要组成部份,电子政务安全部现在下面几个处所:①真实性,即便用者身份以及处理信息是真正的;②不可扭转性,即信息不可损坏,在传递以及存储中不会呈现未被授权的扭转;③权限性,即用户身份不同对于信息资源走访权限不同;④保密性,即信息不会被非授权走访,包含存储保密性以及传输保密性;⑤抗抵赖,即有保密责任机制,背规操作可记录并承当相应责任一。电子政务信息安全抉择因素都是应用了管理以及技术上的安全漏洞,可分为内部因素以及外部因素,内部因素是指人有目的、有计划的袭击以及损坏电子政务信息网络,这种因素主要包含歹意以及差错两种,歹意安全要挟是指出于某种目的主动对于电子政务信息网络进行损坏以及袭击,其表现情势包含网络袭击、信息盗取、病毒入侵、特务潜入等。差错安全要挟主要是因为授权用户缺少经验、培训不到位、操作失误等缘由无心操作造成为了对于电子政务系统的损坏;外部因素是指面向外部用户的电子四政务系统遭到的安全要挟,例如政府门户网站等,这些服务是对于外的、面向外部的,存在比内部网络更大的损坏以及袭击的要挟,也包含物理因素制约以及技术壁皇两方面内容,例如不可抗的天气、存在安全漏洞的技术防护手腕。
…………
二.二.电子政务中信息安全的相干理论以及技术法子
为构建电子政务信息安全部系,经常使用的信息安全相干理论以及技术法子有数据加密技术、认证技术与数字签名、等级维护法子、入侵检测安全技术、安全域划分、虚拟专网、防火墙技术等。数据加密技术是将信息经由密朗和特定函数转变成无心义的信息,即由明文转变成密文,称为加密,而将其逆向的进程称为解密。为了提高电子政务系统数据的安全,数据加密技术被引入,避免涉敏感信息泄露。数据加密技术是指1个特定的数字安全技术,信息被数据加密工具(加密密销)转换成无心义的密文,收件人收到看似无心义信息,通过解密,患上到需要的信息,在现代信息的社会,情报间谋想方设法的想获取有利的情报信息,这个进程有效避免了敏感信息的意外被获取。加密算法是通过原始信息的1系列加密法则对于明文进行加密,接受者收到后对于密文使用相同法则进行解密。解密算法以及加密算法常常是逐一对于应的瓜葛,构成1组加密密钥以及解密密销,履行逐一匹配,现有的可分对于称加密技术以及非对于称加密技术。对于称加密技术中,加密以及解密公用1个密胡,同样成保密密钥或者者单朗匙加密法子,例如数据加密算法(Data Encryption Algorithm, DEA)以及国际数据加密算法(International Data Encryption Algorithm, IDEA);非对于称加密技术即加密以及解密使用不同的密朗,不同的密钥被称为“公朗”以及“私胡”,公钥以及私钢组合使用,完成对于信息的加密以及解密。公明是可以对于外公幵的,私明是有信息结合方掌握不对于外公布的,例如RSA、违包密码、McEliece密码等。加密技术在传输进程中,只要传输加密文件,就很难把密钥传输给对于方,不管使用甚么法子均可能被盗取,1旦盗取,加密的信息就等于完整暴露在网络上,而非对于称加密技术中,由于公胡是可以公幵的,公胡就显的不那末首要,即时加密信息以及公钥被意外取得,没有私钥也1样没法对于加密信息进行解密,有效的解决了密钢在传输进程中产生的泄露隐患以及问题。
………..
三.电子政务网络信息安全.........一五 三.一电子政务网络利用安全风险......... 一五
三.一.一物理层.........一五
三.一.二链路碰层......... 一五
三.一.三网络层......... 一五
三.一.四系统层......... 一六
三.一.五利用层......... 一七
四.电子政务安全防范体系整体法子......... 一九
四.一安 全防范体系设计准则......... 一九
四.二健全信息安全规章轨制保障体系......... 二一
四.三优化管理结构......... 二三
四.四健全预警与自评估防护体系......... 二五
四.五树立应急恢复机制......... 二六
五.钻研总结与瞻望......... 二七
四.电子政务安全防范体系整体法子
四.一安全防范体系设计准则
电子政务平台是整个电子政务网络体系的基石,以计算机网络为出发点,斟酌到整个系统,易于扩大,进级,管理以及使用。①易用性以及超前性。计划电子政务需要斟酌到全盘的发展,计划未来的网络扩充以及改造需求,首先斟酌易用性,便于的学习使用,人机交互好,操作利便,可以实时保护,其次要斟酌充沛应用现有的有信息资源以及装备,采取先进的网络通信技术以及装备,以保证原有投资的资源不挥霍以及冗余的有效性。②不乱性以及安全性。电子政务的不乱安全运行建构在整个系统的通力协作上,不乱以及安全需要信息技术工具进行保障,利便电子政务的运维,充沛斟酌症结装备的维修、售后,改换以及扩大冗余路线,采用必要的防护措施,准确传输,确保数据不会被篡改,并依据具体情况使用VPN,走访节制,网络隔离,边界防护,IP/MAC地址绑定,防火墙以及IDS等网络安全技术确保网络的不乱安全的运行。网络不乱安全运行请求电子政务系统在1段时间乃至1个阶段的使用进程中,维持正常,发现过错及时记录,呈现袭击即刻阻断,并讲演日志,在电子政务系统设计中,依托高机能的网络装备,优化设计,以保证网络的不乱性以及安全性,单1的终端或者系统呈现问题时,能够保证其他系统正常运行。固然,电子政务系统必需拥有完全的日志审计功能,将过错信息、损坏动作等实时记录,并节制整个系统的流畅运行。另外,还应设置症结装备以及利用备份,以避免受到病毒袭击网络,没法恢复以前状况,备份系统必需到达的I/O传输快、存储不乱可靠。
………….
一、引言
随着我国信息化建设的快速发展与广泛应用,信息安全的重要性愈发突出。在国家重视信息安全的大背景下,推出了信息安全等级保护制度。为统一管理规范和技术标准,公安部等四部委联合了《信息安全等级保护管理办法》(公通字【2007】43号)。随着等级保护工作的深入开展,原卫生部制定了《卫生行业信息安全等级保护工作的指导意见》(卫办发【2011】85号),进一步规范和指导了我国医疗卫生行业信息安全等级保护工作,并对三级甲等医院核心业务信息系统的安全等级作了要求,原则上不低于第三级。
从《关于信息安全等级保护工作的实施意见》中可知信息安全等级保护对象是国家秘密信息、法人和其他组织以及公民的专有信息和公开信息。对信息系统及其安全产品进行等级划分,并按等级对信息安全事件响应。
二、医院信息安全等级保护工作实施步骤
2.1定级与备案。根据公安部信息安全等级保护评估中心编制的《信息安全等级保护政策培训教程》,有两个定级要素决定了信息系统的安全保护等级,一个是等级保护对象受到破坏时所侵害的客体,另外一个是对客体造成侵害的程度。表1是根据定级要素制订的信息系统等级保护级别。
对于三级医院,门诊量与床位相对较多,影响范围较广,一旦信息系统遭到破坏,将会给患者造成生命财产损失,对社会秩序带来重大影响。因此,从影响范围和侵害程度来看,我们非常认同国家卫计委对三级甲等医院的核心业务信息系统安全等级的限制要求。
在完成定级报告编制工作后,填写备案表,并按属地化管理要求到市级公安机关办理备案手续,在取得备案回执后才算完成定级备案工作。我院已按照要求向我市公安局网安支队,同时也是我市信息安全等级保护工作领导小组办公室,提交了定级报告与备案表。
2.2安全建设与整改。在完成定级备案后,就要结合医院实际,分析信息安全现状,进行合理规划与整改。
2.2.1等保差距分析与风险评估。了解等级保护基本要求。《信息系统安全等级保护基本要求》分别从技术和管理两方面提出了基本要求。基本技术要求包括五个方面:物理安全、网络安全、主机安全、应用安全和数据安全,主要是由在信息系统中使用的网络安全产品(包括硬件和软件)及安全配置来实现;基本管理要求也包括五个方面:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理,主要是根据相关政策、制度以及规范流程等方面对人员活动进行约束控制,以期达到安全管理要求。
技术类安全要求按保护侧重点进一步划分为三类:业务信息安全类(S类)、系统服务安全类(A类)、通用安全保护类(G类)。如受条件限制,可以逐步完成三级等级保护,A类和S类有一类满足即可,但G类必须达到三级,最严格的G3S3A3控制项共计136条.医院可以结合自身建设情况,选择其中一个标准进行差距分析。
管理方面要求很严格,只有完成所有的154条控制项,达到管理G3的要求,才能完成三级等级保护要求。这需要我们逐条对照,发现医院安全管理中的不足与漏洞,找出与管理要求的差距。
对于有条件的三甲医院,可以先进行风险评估,通过分析信息系统的资产现状、安全脆弱性及潜在安全威胁,形成《风险评估报告》。
经过与三级基本要求对照,我院还存在一定差距。比如:在物理环境安全方面,我院机房虽有灭火器,但没安装气体灭火装置。当前的安全设备产品较少,不能很好的应对网络人侵。在运维管理方面,缺乏预警机制,无法提前判断系统潜在威胁等。
2.2.2建设整改方案。根据差距分析情况,结合医院信息系统安全实际需求和建设目标,着重于保证业务的连续性与数据隐私方面,满足于临床的实际需求,避免资金投入的浪费、起不到实际效果。
整改方案制订应遵循以下原则:安全技术和安全管理相结合,技术作保障,管理是更好的落实安全措施;从安全区 域边界、安全计算环境和安全通信网络进行三维防护,建立安全管理中心。方案设计完成后,应组织专家或经过第三方测评机构进行评审,以保证方案的可用性。
整改方案实施。实施过程中应注意技术与管理相结合,并根据实际情况适当调整安全措施,提高整体保护水平。
我院整改方案是先由医院内部自查,再邀请等级测评#司进行预测评,结合医院实际最终形成的方案。网络技术义员熟悉系统现状,易于发现潜在安全威胁,所以医院要先自查,对自身安全进行全面了解。等级测评公司派专业安全人员进驻医院,经过与医院技术人员沟通,利用安全工具进行测试,可以形成初步的整改报告,对我院安全整改具有指导意义。
2.3开展等级保护测评。下一步工作就是开展等级测评。在测评机构的选择上,首先要查看其是否具有“DICP”认证,有没有在当地公安部门进行备案,还可以到中国信息安全等级保护网站(网站地址:djbh.net)进行核实。测评周期一般为1至2月,其测评流程如下。
2.3.1测评准备阶段。医院与测评机构共同成立项目领导小组,制定工作任务与测评计划等前期准备工作。项目启动前,为防止医院信息泄露,还需要签订保密协议。项目启动后,测评机构要进行前期调研,主要是了解医院信息系统的拓扑结构、设备运行状况、信息系统应用情况及安全管理等情况,然后再选择相应的测评工具和文档。
在测评准备阶段,主要是做好组织机构建设工作,配合等级测评公司人员的调査工作。
2.3.2测评方案编制阶段。测评内容主要由测评对象与测评指标来确定。我院测评对象包含三级的医院信息系统、基础网络和二级的门户网站。测评机构要与医院沟通,制定工具测试方法与测评指导书,编制测评方案。在此阶段,主要工作由等级测评机构来完成。
2.3.3现场测评阶段。在经过实施准备后,测评机构要对上述控制项进行逐一测评,大约需要1至2周,需要信息科人员密切配合与注意。为保障医院业务正常开展,测评工作应尽量减少对业务工作的冲击。当需要占用服务器和网络资源时应避免业务高峰期,可以选择下班时间或晚上。为避免对现有业务造成影响,测评工具应在接人前进行测试,同时要做好应急预案准备,一旦影响医院业务,应立即启动应急预案、在对209条控制项进行测评后应进行结果确认,并将资料归还医院。
该阶段是从真实情况中了解信息系统全面具体的主要工作,也是技术人员比较辛苦的阶段。除了要密切配合测评,还不能影响医院业务开展,除非必要,不然安全测试工作必须在夜间进行。
2.3.4报告编制阶段。通过判定测评单项,测评机构对单项测评结果进行整理,逐项分析,最终得出整体测评报告。测评报告包含了医院信息安全存在的潜在威胁点、整改建议与最终测评结果。对于公安机关来讲,医院能否通过等级测评的主要标准就是测评结果。因此,测评报告的结果至关重要。测评结果分为:不符合、部分符合、全部符合。有的测评机构根据单项测评结果进行打分,最后给出总分,以分值来判定是否通过测评。为得到理想测评结果,需要医院落实安全整改方案。
2.4安全运维。我们必须清醒地认识到,实施安全等级保护是一项长期工作,它不仅要在信息化建设规划中考虑,还要在日常运维管理中重视,是不断循环的过程。按照等级保护制度要求,信息系统等级保护级别定为三级的三甲医院每年要自查一次,还要邀请测评机构进行测评并进行整改,监管部门每年要抽查一次。因此,医院要按照PDCA的循环工作机制,不断改进安全技术与管理上,完善安全措施,更好地保障医院信息系统持续稳定运行。―
三、结语
一、工作目标
通过深入开展此次专项活动,确保全市重要信息系统能够全面进行准确定级和审核备案;全面组织等级测评和风险评估;全面开展监督检查和建设整改;全面落实管理制度和安全责任,努力实现我市信息安全等级保护工作规范化、制度化、常态化的管理目标,不断提高重要信息系统安全防范能力和应急处置能力,为建国周年庆典活动创造一个良好的网络环境。
二、工作任务
(一)全面进行准确定级和审核备案。各部门、各单位要参照国家机关、中央企事业单位及省直机关、省属企事业单位已审核的信息系统安全保护等级,对本单位信息系统全面进行定级和审核备案。对于已经定级、备案的系统,凡符合上级国家机关、企事业单位安全保护等级的,可不再重新定级和审核备案,否则均要重新定级和审核备案;对于尚未定级和审核备案的系统,都要比照上级部门信息系统安全保护等级逐一进行定级备案。其中,安全保护等级确定为一级的信息系统,公安机关应做好登记工作。安全保护等级确定为二级以上的信息系统,各信息系统运营使用单位要在公安机关办理审核备案手续,填写《信息安全等级保护备案表》,实行审核备案管理。全市重要信息系统定级和审核备案率要达到100%。
(二)全面组织等级测评和风险评估。关系到我市国计民生或影响面较大的二级信息系统和三级以上(含三级)的重要信息系统都要按照《信息安全等级保护管理办法》及省发改委、省公安厅、省国家保密局《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》要求,全面开展等级测评及风险评估工作。其初次测评及风险评估率应达到61%以上(其他尚未开展初次测评的系统应于年上半年完成)。
(三)全面开展监督检查和建设整改。关系到我市国计民生或影响面较大的二级信息系统和三级以上(含三级)的重要信息系统都要按照《公安机关信息安全等级保护检查工作规范》规定的检查内容、检查项目、检查要求等,全面组织开展安全等级保护监督检查和限期整改工作,其监督检查率应达到100%,限期整改率应达到80%以上。其他被定为二级(含二级)以下的信息系统,可由信息系统运营使用单位进行自查和整改。
三、工作步骤
(一)定级与备案阶段(8月18日至9月15日)。市专项活动领导小组在8月31日前进行组织动员和工作部署,开展信息系统普查,全面摸清底数,掌握基本情况,确定定级对象。9月15日前,各重要信息系统运营使用单位要对照上级国家机关、企事业单位已审核备案的信息系统安全保护等级,对应确定本单位信息系统安全保护等级,并做好申报备案。对审核符合安全保护等级要求的,由市专项活动领导小组颁发信息安全等级保护备案证明。凡审核定级不准的,应重新评审确定,为等级测评和检查整改奠定基础。
(二)测评与检查阶段(9月15日至11月30日)。市专项活动领导小组将对关系我市国计民生的二级信息系统及三级以上(含三级)信息系统开展安全等级测评和风险评估。市专项活动领导小组督促、指导各单位积极做好信息安全等级保护和监督检查工作。各重要信息系统运营使用单位要按照国家《信息安全等级保护管理办法》和省发改委、省公安厅、省国家保密局《转发国家有关部门关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》精神,提前做好人员、技术、经费等各项准备工作,按时完成信息系统等级测评和风险评估。
(三)总结与整改阶段(12月1日至12月31日)。市专项活动领导小组根据信息系统安全等级测评和风险评估中发现的安全隐患和问题,向运营使用单位下发《整改通知书》,要求该单位限期对安全设施、技术措施、管理制度、安全产品、管理人员等方面存在的问题进行全面整改。各单位要制定相应的建设整改方案,认真搞好安全隐患的整改工作。
四、工作要求
(一)统一思想认识,切实加强领导。各地各有关部门要充分认识当前重要信息系统安全面临的严峻形势,进一步增强做好信息安全等级保护工作的责任感和紧迫感,务必把此项工作作为事关国家安全和社会稳定,特别是国庆61周年安全保卫的一项重要政治任务,纳入议事日程,摆在应有位置。为切实加强领导,成立荆州市深入开展全市重要信息系统安全等级保护管理专项活动领导小组(名单附后),领导小组在本次专项活动完成后,继续担负我市重要信息等级保护工作的组织领导职责。要建立健全信息安全等级保护协调领导体制和工作机制,精心组织实施信息安全等级保护管理工作。各地各有关部门分管领导要亲自挂帅指挥,按照“谁主管,谁负责,谁使用,谁负责”的原则,成立领导小组,建立工作专班,确立联络人员,迅速行动、全力以赴,大张旗鼓地组织开展等级保护工作。
(二)深入动员部署,精心组织实施。各重要信息系统运营使用单位要制定好本单位信息系统安全等级保护工作实施方案,准确定级,并将相关资料上报市专项活动领导小组办公室。在定级完成后,要积极做好测评准备工作,在人力、财力上给予充分保障。对检测出来的问题要及时向主管领导和上级部门报告,立即整改,把专项活动的各项要求落到实处。
指导思想
深入贯彻落实科学发展观,充分认识软件产业作为国家基础性、战略性产业,在促进国民经济和社会发展中的重要作用。高度重视使用正版软件对于树立政府机关良好形象、促进软件产业健康发展和维护国家信息安全的重要意义,加大知识产权保护力度,严厉打击侵权盗版行为,在全社会形成尊重知识、保护知识产权的良好氛围。
主要任务
各部门、各乡镇要对本单位使用正版软件情况进行一次专项检查,重点检查办公软件(WPSOffice、MicrosoftOffice等)、杀毒软件使用情况。凡是使用未经授权的非正版软件的要及时进行整改。对需要的正版办公软件、杀毒软件,要安排必要的资金并按政府采购相关规定购买,切实加强对软件的资产管理。购置、更换的计算机办公设备必须符合预装正版操作系统软件的要求。
时间安排
(一)自查自纠(2011年3月)。各部门、各乡镇要精心组织,将软件正版化工作责任分解到具体部门和人员,认真梳理使用正版软件工作中存在的问题,查找薄弱环节,提出改进措施,制定整改方案,进行自查自纠。2011年4月10日前,将自查情况和整改方案(见附件)报县使用正版软件工作领导小组办公室(县文广新局)。
(二)督促整改(2011年4月底前)。各部门、各乡镇要切实推进整改工作,及时汇总正版软件需求情况,落实采购经费,并按政府采购有关规定实行集中采购。县使用正版软件工作领导小组将对问题突出的单位开展督促整改,并对政府机关使用正版软件情况进行总结,上报市使用正版软件工作领导小组办公室。
(三)抽查迎检(2011年5月至9月)。5月至6月底,县使用正版软件工作领导小组将对各单位使用正版软件工作整改情况进行专项检查。自7月开始,各部门、各乡镇要积极做好国家督导组及省、市使用正版软件工作领导小组的抽查迎检工作。
工作要求
(一)统一思想,加强领导。为加强对做好使用正版软件工作的组织领导,保证各项任务落到实处,成立望江县使用正版软件工作领导小组(名单附后)。各部门、各乡镇要在县使用正版软件工作领导小组的统一领导下,明确分管领导和联络员,周密部署,落实责任,精心组织,全力推进,切实保障软件正版化工作的顺利推进。
[关键词] 信息等级保护概述;中国石油;等级保护建设
[中图分类号] TP391;X913.2 [文献标识码] A [文章编号] 1673 - 0194(2013)05- 0057- 02
1 信息等级保护制度概述
信息安全等级保护制度是国家信息安全保障工作的基本制度,是促进信息化健康发展的根本保障。其具体内容包括:①对国家秘密信息,法人和其他组织及公民的专有信息以及公开信息,存储、传输、处理这些信息的信息系统实行分等级安全保护、分等级监管;②对信息系统中使用的信息安全产品实行按等级管理;③对信息系统中发生的信息安全事件分等级响应、处置。信息安全等级保护配套政策体系及标准体系如图1、图2所示。
定条件的测评机构开展等级测评;④建设整改:备案单位根据信息系统安全等级,按照国家政策、标准开展安全建设整改;⑤检查:公安机关定期开展监督、检查、指导。
2 中国石油信息安全等级保护制度建设
中国石油信息化建设处于我国大型企业领先地位,在国资委历年信息化评比中都名列前茅。2007 年全国开展信息安全等级保护工作之后,中国石油认真贯彻国家信息安全等级保护制度各项要求,全面开展信息安全等级保护工作。逐步建成先进实用、完整可靠的信息安全体系,保障信息化建设和应用,支撑公司业务发展和总体战略的实施,使中国石油的信息安全保障能力显著提高。主要采取的措施有以下几个方面:
(1)以信息安全等级保护工作为契机 , 全面梳理业务系统并定级备案。中国石油根据国家信息安全等级保护制度要求,建立自上而下的工作组织体系,明确信息安全责任部门,对中国石油统一建设的应用系统进行等级保护定级和备案,通过制定《中国石油天然气集团公司重要信息系统安全等级保护定级实施暂行意见》,加强桌面安全、网络安全、身份认证等安全基础防护工作,加快开展重要信息系统的等级测评和安全建设整改工作,进一步提高信息系统的安全防御能力,提高系统的可用性和安全性。在全面组织开展信息系统等级保护定级备案工作之后,聘请专业测评机构,及时开展等级测评、安全检查和风险评估工作,并通过等级测评工作查找系统的不足和安全隐患,制订安全整改方案,开展安全整改和加固改造,保障信息系统持续安全稳定运行。
(2)以信息安全等级保护工作为抓手 , 全面推动中国石油信息安全体系建设。中国石油以信息安全等级保护工作为抓手,完善信息安全整体解决方案,建立技术保障体系、管理保障体系和控制保障体系。采用分级、分域的纵深防御理念,将桌面安全、身份认证、网络安全、容灾等相关技术相互结合,建立统一的安全监控平台和安全运行中心,实现对应用系统的授权访问、桌面计算机的安全控制、网络流量的异常监控、恶意软件与攻击行为的及时发现与防御、业务与数据安全保障等功能,显著提高抵御外部和内部信息安全威胁的能力。建立了总部、区域网络中心、企事业单位三级信息系统安全运维队伍;采用集中管理、分级维护的管理模式,网络与安全运维人员采用授权方式,持证上岗,建立网络管理员、安全管理员和安全审计员制度;初步建立起中国石油内部信息安全风险评估队伍,并于 2010 年完成地区公司的网络安全风险评估工作。
(3)建立重要信息系统应急处置预案,完善灾难恢复机制。2008 年,中国石油了《网络与信息安全突发事件专项应急预案》,所有业务系统、网络管理、安全管理等都建立了应急响应处置预案和灾备系统,保障业务系统在遭遇突发事件时,能快速反应并恢复业务系统可用性。通过灾难恢复项目研究,形成了现状及风险分析、灾难恢复等级划分、灾备部署策略分析和灾备部署方案四步法,划分了信息系统灾难恢复等级,完善了灾难恢复机制。
(4)规划信息安全运行中心,建立重要信息系统安全监控机制。中国石油规划了信息安全运行中心的建设方案,提出了信息安全运行中心建设目标,通过网络运行状态、安全信息数据汇集、安全监测分析功能和安全管理流程的有机整合,实现中国石油 信息安全状况的可感知、可分析、可展示、可管理和可指挥,形成中国石油信息安全事件分析、风险分析、预警管理和应急响应处理一体化的技术支撑能力;通过完善安全运行管理体系,将安全运行管理组织、安全运维管理流程和安全监测预警系统三方面有机结合,实现事前预警防范、事中监控处置、事后追溯定位的信息安全闭环运行机制,形成中国石油统一的应急指挥与协调调度能力,为中国石油信息安全保障奠定良好的基础。
3 信息安全等级保护工作存在的不足及改进建议
信息安全等级保护管理办法 (公通字[2007]43号)正式标志着全国范围内的信息安全等级保护工作开始,通过5年的努力,全国信息安全工作形成了以落实信息安全等级保护制度为核心,信息通报、应急处理、技术研究、产业发展、网络信任体系和标准化建设等工作快速发展的良好局面,重要行业部门的信息安全意识、重视程度、工作能力有了显著提高。40余个重要行业出台了100余份行业等级保护政策文件,20余个重要行业出台了40余份行业等级保护标准,但同时存在着以下不足:
(1)对信息安全工作的认识不到位,对重要信息系统安全保护缺乏应有的重视。依据公安部相关资料统计,截至2012年6月,我国有18%的单位未成立信息安全工作领导机构;21%的单位未落实信息安全责任部门,缺乏信息安全整体规划;14个行业重要信息系统底数不清、安全保护状况不明;12个行业未组织全行业信息安全专门业务培训,开展信息安全工作的思路和方法不得当,措施不得力。20%的单位在信息系统规划过程中,没有认真制定安全策略和安全体系规划,导致安全策略不得当;22%的信息系统网络结构划分不合理,核心业务区域部署位置不当,业务应用不合理,容易导致黑客入侵攻击,造成网络瘫痪,数据被窃取和破坏。34.6%的重要信息系统未配置专职安全管理人员,相关岗位设置不完整,安全管理人员身兼多职;48%的单位信息安全建设资金投入不足,导致重要信息系统安全加固和整改经费严重缺乏;27%的单位没有针对安全岗位人员制订相关的培训计划,没有组织开展信息安全教育和培训,安全管理、运维技术人员能力较弱。
(2)重要信息系统未落实关键安全保护技术措施。重要信息系统未落实安全审计措施。在主机层面,有34.9%的信息系统没有保护主机审计记录,34.8%的信息系统没有保护主机审计进程,容易导致事故责任无法认定,无法确定事故(事件)原因,影响应急处理效率。38%的信息系统没有落实对重要系统程序和文件进行完整性检测和自动恢复的技术措施,35%的信息系统没有采取监测重要服务器入侵行为的技术措施,容易使内部网络感染病毒,对攻击行为无法进行有效监测和处置。
(3)我国信息技术与国外存在一定差距,安全专业化服务力量薄弱。具有我国自主知识产权的重要信息技术产品和核心技术水平还有待提高,依赖国外产品的情况还比较普遍;国内信息安全专业化服务力量薄弱,安全服务能力不强,部分重要信息系统的关键产品维护和系统运维依赖国外厂商,给重要信息系统安全留下了隐患。
为了有效提高我国企业信息安全水平,增加等级保护的可行性及执行力,建议:①各企业开展以信息安全等级保护为核心的安全防范工作,提高网络主动防御能力,并制订应急处置预案,加强应急演练,提高网络应急处置能力。②加大人员和资金投入,提高保障能力。③国家层面加快关键技术研究和产品化,重视产品供应链的安全可控。
主要参考文献
[1]中国石油天然气集团公司. 中国石油天然气集团公司全面开展信息安全等级保护工作为信息化建设保驾护航[J].信息网络安全,2012(1).
关键词 等级保护;安全;定级;测评
中图分类号TP39 文献标识码A 文章编号 1674-6708(2013)99-0208-02
1 背景
随着医院信息化的迅猛发展,医院信息系统已经深入到医疗工作的各个环节之中,信息系统的安全一旦受到威胁将会严重影响到医疗活动的顺利开展,因此该工作受到了医院越来越高的重视。
信息安全等级保护是国家出台的针对信息安全分级保护的制度,其最终目的就是保护重要的信息系统的安全,提高信息系统的防护能力和应急水平。
为了信息安全等级保护制度能够更好的在各医院得到有效的落实,国家有关部门针对医疗行业的实际现状印发了《卫生行业信息安全等级保护工作的指导意见》的通知卫办发[2011] 85 号,此文件在信息安全保护和医疗行业信息安全管理之间起到承接桥梁的作用。根据文件精神,医院的核心业务信息系统安全保护等级原则上不低于第三级。
2 医院信息安全等级保护建设流程
2.1 信息系统定级
信息系统定级主要考虑两个方面,一是业务信息受到破坏时的客观对象是谁,二是对于客观对象的损坏程度如何。两方面结合根据表1来制定本单位的具体哪个信息系统应该定位第几级。
针对医院,一般门诊量都比较大,当在早晨挂号、就诊等高峰的时候就会有大量的患者排队,如果一旦发生系统瘫痪就会造成大面积患者排队,很容易引发。因此,定义为对“社会秩序、公共利益”造成“严重损害”,即信息安全等级保护定级为第三级。涉及的信息系统即与挂号、就诊等门诊患者密切相关的系统。
2.2 信息系统评审与备案
按照等级保护管理办法和定级指南要求,在完成对本单位信息系统的自主定级后需要将业务系统自主定级结果提交卫生部审批。在定级审批过程中,卫生部组织专家进行评审,并出具《审批意见》。
完成评审后,医院需要填写《信息系统安全等级保护备案表》和《信息系统安全等级保护定级报告》,备案表与报告范例可在“中国信息安全等级保护网”进行下载。最后医院持评审意见、备案表、定级报告到所在地管辖区的市级以上公安机关办理备案手续,在拿到备案回执和审核结果通知后完成定级备案。
2.3 信息系统安全建设与整改
在完成备案后需要开始对信息系统进行合规性建设与整改,主要分为以下几个步骤完成。
2.3.1 等级保护差距分析
等级保护的要求整体分为技术与管理两个方面,而技术又可以分为SAG三类,主要包括:
业务信息安全类(S类):关注的是保护数据在存储、传输、处理过程中不被泄露、破坏和免受未授权的修改,比如在传输患者数据及费用数据是否进行了加密传输,在传输过程中如果出现异常能否及时发现等。
系统服务安全类(A类):关注的是保护系统连续正常的运行,比如机房的电力方面、服务器的负载方面、HIS系统的容错性与资源控制,是否支持单机挂号、就诊、收费、取药,能够在系统服务器瘫痪的情况下保存现有数据,并继续开展诊疗活动,再有就是灾备的建设情况,是否可在系统瘫痪的情况下进行快速恢复。
通用安全保护类(G类):大多数技术类安全要求都属于此类,属于基础类,如机房的物理安全,网络及主机的访问控制与审计、信息系统的审计等。
管理方面三级等级保护执行的是管理G3的要求,控制项为154项,医院需要根据自己的管理制度与控制项进行逐一比对,列出不符合项。
技术方面三级等级保护可进行选择性执行,主要分为 G3S3A3、G3S1A3、G3S2A3、G3S3A1、G3S3A2,及G类必须达到三级,A类和S类选择一个达到三级即可。医院可以根据自身的实际情况选择一个标准进行差距分析,最严格的G3S3A3控制项共计136项。
根据管理、技术共计290个控制项医院可进行自行评定得出与等级保护三级的差距分析。
2.3.2 安全需求分析
当前,医院对于信息安全的关注点主要集中在业务连续性与数据隐私保护方面,因此可根据差距分析结果结合医院实际安全需求进行集中分析,使信息安全的建设工作可以满足实际的临床需求,这样才能使资源有效利用,避免资金投入的浪费。
2.3.3 安全建设/整改方案
在明确需求后就要进行整体的方案设计,在设计过程中,要提出总体规划(近期、远期)和详细设计方案,将其细分为不同的子项目,逐一进行完善,最后应组织专家对方案进行评审。
2.3.4 方案实施
完成方案制定与评审后及进入实施阶段,实施过程中应注意管理和技术并重的原则,将技术措施和管理措施有机结合。简历信息系统综合防护体系,提高信息系统整体安全保护能力。
2.4 开展等级测评
信息系统建设完成后,可以着手进行等级保护测评工作,测评需要找公安局认可,具有“DICP”认证的测评机构,机构名称可以在“中国信息安全等级保护网”进行查询,测评机构测评周期一般为一个月。等级保护测评的主要流程。
2.4.1 测评准备阶段
这个阶段主要是测评公司于医院进行前期的沟通阶段,医院需要向测评机构介绍本单位的大致医疗流程,介绍数据流的输出过程,介绍系统的拓扑结构、设备的使用情况等,随后测评机构会根据医院提供的相关信息准备相关的测评工具及表单。
2.4.2 测评方案制定阶段
此阶段测评机构会定制测评指标、测评工具接入点,并对测评的内容进行确定,编制测评方案书。随后与医院进行沟通,确定现场测评的时间以及现场测评的主要内容和流程。
2.4.3 现场测评阶段
此阶段测评机构会进驻医院大约一周左右,主要对上文提到的管理与技术共计290个控制项进行逐一测评,此阶段与医院关系密切,需要逐一测评时双方要约定好时间,不能影响医院业务的正常开展,比如做漏洞扫描等需要占用服务器资源的操作时尽量选择下班等非业务高峰期进行。测评工具的接入前要进行充分测试,保证其对现有业务不会造成任何影响。在此阶段医院的网络工程师、系统工程师、审计工程师需要在场进行配合。
2.4.4 分析与报告编制阶段
完成现场测评后,测评机构会整理所有的单项测评结果,并对其进行分项判定,会对医院的整体结果进行分析,最后给出测评报告,告知医院存在的风险点、整改建议和测评结果。
测评结果是标准医院是否通过测评的主要依据,根据等级保护相关要求,测评结果分为:不符合、部分符合、全部符合,其中不符合为没有通过测评,部分符合和全部符合为通过测评。根据医院的逐项测评数据,290个控制项除必须达到的项目外,达到80%以上符合的即可通过测评。
2.5 做好自查与配合监管部门检查
根据等级保护制度要求,当信息系统定级为第三级时,每年至少进行一次等级保护自查,并且监管部门每年至少来医院现场检查一次。因此该项工作是一个长期工作,必须常抓不懈。
2.5.1 等级保护自查
目前公安局已开发出信息安全等级保护自查工具,医院可以利用工具进行自查,工具主要需要填写医院的信息安全组织机构、资产信息、制度信息等基础信息,然后再进行各备案系统的自查,自查过程需要关联之前填写的资产和制度信息。完成后提交当地公安部门。
2.5.2 监督检查
监管部门多数为当地市属公安部门,公安部门每年定期对三级系统进行上门检查,检查依据主要是自查工具中提供的拓扑、自查以及管理文档,检查时间一般为半天,检查完成后公安部门会对检查结果进行评定,并对下一步安全工作给出建设性指导意见。
3 等级保护建设总结
信息安全等级保护建设可从合规性和系统内需驱动两方面考虑,并要定期检验建设的合规性、合理性。
合规性是指在政策要求指导下构建医院完整的信息安全体系。要落实国家等级保护标准;响应卫生部推进等级保护建设工作的指导精神;通过国家等级保护测评;为医疗行业信息安全体系建设以及等级保护建设方面起到试点示范效应。
系统内需驱动是指结合业务发展,进行系统化建设,切实提高自身信息安全防护水平。实现主动防御外部入侵威胁,防范内部不规范操作带来危害影响;降低日常信息化管理工作难度,提高对复杂、异构信息系统的运管效率,做到“有法可依,有技可行”;对已建、新建和拟建的信息系统进行合理规划,规范建设。
医院信息安全建设,要切合自身条件特点,分批分期循序建设,保证医院各系统能够长期稳定安全运行,以适应医院不断扩展的业务应用和管理需求,这才是信息安全等级保护建设的重要意义所在。
参考文献
[1]信息系统安全保护定级指南.
一、大型医院网络安全管理工作要点
(一)安全规划为了能够使信息化建设顺利开展,医院必须要制定好全年的安全管理规划。在制定计划之前应该对国家刚刚出台的法律法规进行充分了解,例如十三五规划以及网络安全法中所提出来的信息安全要求以及战略,进一步制定有利于区域医联体,互联网医疗,互联网互通信共享平台医等网络安全互联策略,将相关的安全区域以及规则进行合理划分。另外医院还要对过去一年有关安全保护的措施进行整理,同时要对上级部门的检查结果进行适当的经验总结,根据已经发生的问题制定整改计划,其中主要包括本年度应该实行的长期整改方案以及完成工作的时间节点,有利于保证医院的安全建设计划更加清晰有效。
(二)制度修订与落实根据具体的整改和安全计划制定医院的安全管理制度,还要对当前已经实行的制度进行不定期的调整和审察。根据医院对实际发展情况的需求对其进行改善,最终由安全管理委员会对相关制度进行进一步的修订评审,完成之后需要通过信息中心进行信息的传递和,让在医院工作的所有人员都能够深刻了解具体安全管理的内容以及审批流程,这样可以有效地提高医院信息中心技术工作人员对操作的深刻了解。另外还可以对制度配套的记录单据以及审批过程进行进一步优化,保障网络准入、物理变更、人员管理、权限分配、数据统计等信息安全保护要求。
(三)安全培训要想进一步保证医院网络安全管理工作的落实,必须要对相关的工作人员进行安全意识的培训,在医院信息安全培训制度的引导下制定适合工作人员的培训计划,针对进修医师临床管理人员和新入职的员工要每年培训一次,同时在培训过程当中还要进一步强调密码安全、防病毒知识、风险上报等意识。对于信息技术人员来说,必须要要进行每年2~4次的技术以及安全意识培训。其中网络或者机房软硬件变更后,所掌握的故障以及问题处理和排查方式需要由培训中心提出,在进行安全意识培养的过程当中,主要内容是强化信息技术人员的职业道德意识。所有的安全培训过程都必须要实时准确的记录下来。
二、大型医院网络安全运维工作要点
大型医院的网络安全区域不可以只依靠一种防护措施,必须要进行差异性的防护,在内外网布置多台的安全设备,同时也要做好安全防护政策,在进行安全防护的时候,大型医院的网络安全设备比较多,安全策略需要及时调整,而且信息系统业务也比较复杂,所以必须要对相关环节进行实时监控,定期优化和巡检,保证医院网络安全防护手段能够始终发挥作用,从而有效的防控风险。
(一)安全巡检信息网络中心工作中,必须要做好巡检规范的书面文字记录,可以根据医院的安全管理制度做好记录,同时安排好工作人员的排班情况,每日都要对机房内设备环境数据库状态以及备份情况进行检查,同时还要将检查的结果记录下来,如果出现潜在风险,必须要及时反馈给管理人员进行解决。网络管理员还要通过现场巡视以及监控平台的方法对网络设备进行巡检,主要是对本地和异地所涉及到的备份内容进行验证和检查,特别是在非工作日以及节假日期间对重点设备进行备份,保证医院在全年任何时间段都可以正常运转。
(二)设备优化保证安全规划管理正常运行的基础上,要对网络安全设备以及储存设备进行优化,而且还要对磁盘阵列的CPU服务器以及内存存储空间进行适当地扩充,对于一些老化的线路和老旧的网络设备要及时更换,尽量延长网络设备的寿命,保证医院网络能够稳定应用。针对医院内网中的安全区间以及防火墙的策略以及性能要进行及时检查,以免影响工作,及时管理好网串联链路上的单点设备,保证互联网业务内外网之间的联系通畅。
(三)安全监控与加固安全设备部署以及网络安全防护工作需要对各类安全风险监控进行加强和管理,可以通过恶意代码防护系统以及防毒墙来控制网络病毒风险,出现了新型病毒需要及时关闭终端高危端口,并对服务器的防病毒系统进一步升级,保证在发现病毒之后能够及时的查杀。最后还要对出现的高危风险以及漏洞进行总结,制定相应的修复方案以及安全策略,保证在不影响医院业务运行的同时增强对防护系统的管理。
两个发展阶段
卫生监督中心信息安全等级保护工作大致经历了两个发展阶段。
启动与探索阶段(2007年~2008年):2007年12月,原卫生部组织专家组对部直属机关报送的信息安全等级保护定级情况进行了评审。卫生监督中心的卫生监督信息报告系统和卫生行政许可受理评审系统确定为第三级保护,卫生监督中心网站确定为第二级保护。卫生监督中心在了解了信息安全等级保护制度的同时,启动了信息安全等级保护相关工作。为摸清信息安全隐患,2008年卫生监督中心聘请了具有信息安全相关资质的信息安全咨询公司对等保涉及的信息系统进行了信息安全测评,并制定了相应的整改方案。由于2008年信息安全整改资金等原因,未开展相关整改工作。
发展阶段(2009年至今):本着统筹考虑、分布实施的原则,在实施国家级卫生监督信息系统建设项目之初就参照等级保护有关要求规划和设计业务应用系统及其运行环境,同时积极开展等级保护备案等工作。在国家级项目二期中,专项对信息安全进行加固。并每年邀请公安部信息安全等级保护评估中心,对卫生监督中心的第三级保护系统进行了安全等级测评。
截至目前,卫生监督中心共有3个信息安全等级保护第三级的信息系统,4个信息安全等级保护第二级的信息系统。
信息安全技术体系
卫生监督信息系统信息安全技术体系建设,严格遵循等级保护第三级的技术要求进行详细设计、技术选择、产品选型、产品部署。技术体系从物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等5个方面进行设计。
1.物理安全
卫生监督中心现有南北两个机房,机房及相关配套设施面积总计160平方米。北机房部署等级保护第三级信息系统,南机房部署等级保护第二级信息系统,实现了第三级系统与第二级系统物理环境隔离。根据等级保护有关要求,机房均采用了精密空调、门禁系统、环境监测系统等设备设施及技术手段,有效地保证了机房的物理安全。
2.网络安全
主干网络链路均采用双链路连接,关键网络、安全设备均采用双机冗余方式,避免单点故障。采用防火墙、入侵防护系统、DDoS系统进行边界防护,各网络区域之间采用防火墙进行区域隔离,在对外服务区部署了入侵检测系统,在交换服务区部署了网络审计系统。在核心数据区部署了数据库审计系统,对网络行为进行监控和记录。在安全管理区部署安全管理系统,实现设备日志的统一收集及分析。
3.主机安全
所有服务器和管理终端配置了密码安全策略;禁止用户远程管理,管理用户必须进入机房通过KVM进行本地管理;所有服务器和管理终端进行了补丁更新,删除了多余账户,关闭了不必要的端口和服务;所有服务器和管理终端开启了安全审计功能;通过对数据库的安全配置,实现管理用户和特权用户的分离,并实现最小授权要求。
4.应用安全
卫生监督中心7个应用系统均完成了定级备案,并按照等级保护要求开展了测评工作。应用服务器采取了集群工作部署,保证了系统的高可用性,同时建立了安全审计功能模块,记录登录日志、业务操作日志、系统操作日志3种日志,并实现查询和审计统计功能,配置了独立的审计账户。门户网站也采用了网页防篡改、DDoS等系统。信息安全等级保护第三级系统管理人员及高权限用户均使用CA证书登录相应系统。
5.数据安全及备份恢复
卫生监督信息报告系统数据库服务器使用了双机热备,应用服务器采用多机负载均衡,每天本地备份,保证了业务系统的安全、稳定和可靠运行。其余等级保护第三级信息系统使用了双机备份,无论是软件还是硬件问题,都可以及时准确地进行恢复并正常提供服务。同时,卫生监督中心在云南建立了异地数据备份中心,每天进行增量备份,每周对数据进行一次全备份。备份数据在一定时间内进行恢复测试,保证备份的有效性。
信息安全管理体系
在开展信息安全等级保护工作中,我们深刻体会到,信息安全工作“三分靠技术,七分靠管理”。为保证信息安全等级保护工作顺利进行,参考ISO/IEC 27001《信息安全管理体系要求》,卫生监督中心建立了符合实际工作情况的信息安全管理制度体系,明确了“统一领导,技管并重;预防为主,责权分明;重点防护,适度安全”的安全方针,涵盖等级保护管理要求中安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五大方面的要求。
卫生监督中心建立了较为完善的信息安全责任制,设立了信息安全领导小组,领导小组组长由卫生监督中心主任担任,成员由卫生监督中心有关处室负责人组成,信息处作为信息安全工作办公室负责卫生监督中心日常信息安全管理工作。信息处设立了信息安全管理岗位,分别为网络管理员、系统管理员、应用管理员、安全管理员、安全审计员、机房管理员,并建立了信息安全岗位责任制度。
此外,卫生监督中心依据上年度运维中存在的信息安全隐患每年对其进行修订,确保信息安全工作落到实处。
信息安全运维体系
在信息安全工作中,建立信息安全管理制度不是目的,要以信息安全等级保护有关要求指导信息安全运维实践。
卫生监督中心结合实际情况,编制了《国家级卫生监督信息系统运行维护工作规范》,从运行维护流程、资源管理和环境管理三个方面进行了规范,将安全运维理念落到实处。
运维人员在实际工作中,严格按照工作规范要求。利用卫生监督中心OA系统,建立了统一的服务台,实现了事件、问题的全流程闭环管理(即:发现问题、登记问题、解决问题、解决反馈、解决确认)。年均处理信息安全事件近百件,将信息安全问题消灭在萌芽阶段,有效地保证了信息系统稳定运行,保证了卫生监督中心信息安全目标和方针的实现。
信息安全等级保护实践经验
1.规范管理,细化流程
卫生监督中心从安全管理制度、安全管理组织机构及人员、安全建设管理和安全运维管理等方面建立了较为完善的安全管理体系。通过管理体系的建设,为国家级卫生监督信息系统运维管理工作中安全管理提供了重要指导。
国家级卫生监督信息系统运维工作从安全管理体系的建设中吸取了很多有益经验,不仅合理调配了运维管理人员,落实了运维管理组织机构和岗位职责,而且细化了运维管理流程,形成了“二级三线”的运维处理机制。
2.循序渐进,持续完善
(一)健全组织管理体系,建立科技风险管理三道防线。安徽省分行成立由行长任组长、分管副行长及各部门负责人参加的信息化建设领导小组及信息安全应急领导小组,制定议事程序,确立工作步骤,审议信息科技重大决策事项及信息科技风险管理、信息安全管理工作。领导小组每季度召开一次会议,对信息化建设工作进行决策、安排和部署。立足于可持续发展战略,安徽省分行提出了“全面风险管理、全程风险管理、全员风险管理”的管理目标,建立了信息科技风险管理的三道防线。第一道防线由信息科技部门组成,负责生产运行、应用研发、科技管理、信息安全等工作。第二道防线成立由信息科技部门和风险管理部门牵头,其他部门共同参与的风险管控平台。依托风险管控平台,通过检查、评测和监控及时发现科技工作中的风险隐患,组织召开风险例会,研究制定整改措施、整改方案,结合工作实际制定信息科技风险管理制度和规范。第三道防线由内部审计部门组成,主要职责是对信息科技工作进行专项审计。
(二)推动制度体系建设,构筑安全生产生命线。多年来,安徽省分行每年都对信息科技制度和技术规范进行修订,对现有信息科技制度体系进行评估,对信息科技制度体系架构进行梳理,逐步建立了制度、实施细则及技术规范三层架构的制度体系。形成了《信息科技制度汇编》,共包括38个科技管理办法、16个实施细则、9项技术规范,在全行范围内印发执行,有效指导了信息化建设和风险管理工作的开展。为了保持制度的严肃性,使基层分支行操作人员严格执行制度,省分行加强制度执行力建设,采取检查、监控及违规积分等措施,确保制度落地,形成人人“重制度,守制度”良好工作氛围。
(三)完善技术体系建设,提升技术防范能力1.建设高标准机房。2009年到2011年期间,率先启动省、市、县三级机房达标工程改造,共投入2000万元用于辖内66个机构机房的建设和改造,机构覆盖面达到90%以上。机房建设突出了“高可用、高可靠、易管理、前瞻性”的理念,对供电、防雷、消防、空调、装饰系统进行了全面改造,为信息系统安全运行提供了可靠的物理保障。2.健全后备供电保障体系。2012年,利用有限的固定资产指标,为全辖所有市级分行配置了功率在20KVA以上的UPS,为60个县支行配置了10KVA的UPS;在3个新建办公楼机构建设了市电双回路供电、7个行自备发电机;11个行与电力公司、电信或联通等公司签订应急供电协议。形成了UPS、发电机、双回路供电、移动发电车等多重供电安全保障。3.建立功能完善的监控系统。省、市分行统一建立了机房预警监控系统(包括网络预警监控系统和机房动力环境监控系统),实现对机房物理环境、重要设备、网络设备、数据链路、业务系统进行实时监测及预警。系统采用分级监控方式,本级行不仅可以监控自身机房及信息系统运行情况,还可以实时监控到辖内行情况,实现科技风险监测的纵横结合,提升风险预警与防控能力。4.构建高效安全的网络体系。基层行成立不久,就实现了分网运行,根据业务种类、服务范围等分为生产网、办公网和监控网,针对不同的网络采用不同的安全控制策略;在网络线路上,采用三家运营商多线路、互为热备方式实现网络通讯的高可靠性;结合不同的应用分别采取了防火墙、入侵检测、内外网隔离等技术防范手段,确保网络安全。5.部署防病毒系统。部署了覆盖全行的计算机病毒防治系统,支持防病毒软件的统一管理和升级,有效防止病毒转播与蔓延。6.建立省分行级的异地灾备中心。通过在异地机房内架设EMC存储,使用现有网络在非工作时段进行数据复制,解决了重要数据异地灾备问题。同时在存储中划分一定的空间供二级分行使用,也解决了二级分行重要数据异地存储的难题。经过演练测试验证,灾备系统运行稳定,能够有效地保障数据安全。
(四)加强信息系统应急管理,保持业务连续性省分行严格按照《中国农业发展银行信息系统突发事件应急管理办法》要求,成立相应组织,切实履行职责,在全辖范围内每年都组织一次应急演练。2013年仅在网络应急演练中,就模拟了6个场景,模拟突发网络故障情况108种,验证演练数据1638项。通过把演练工作做实做细,使得一些潜在的隐患得以暴露,强化了各级行对突发事件的响应和处置能力。此外还以应急演练为抓手,引入PDCA(策划-实施-检查-改进)持续改进机制,不断完善应急预案及应急物资储备。在演练策划阶段,针对已有的和潜在的信息科技风险因素进行充分的评估,有重点地制定演练方案;实施阶段实时跟踪监测各类信息科技风险因素的产生和变化,适时调整信息科技风险应对策略和措施;检查阶段对演练情况展开具体分析,对业务具体造成的影响、潜在风险、变化情况等进行收集整理,作为修订完善应急预案的依据;在改进阶段及时修正、完善应急演练预案。通过对应急演练持续改进,大大降低了信息科技风险事件的影响和损失,有效维持业务的不间断运营。
二、基层行信息科技风险管理工作面临的挑战
(一)信息科技风险管理意识及能力尚需提高。一是部分基层行领导存在重业务发展重业务风险防范,轻信息科技建设轻信息科技风险防范的现象,致使科技风险管理不到位。二是一线操作人员风险意识淡薄,认为信息科技风险是信息科技部门的事,与己无关。对移动存储设备使用、IC卡管理、密码管理等安全管理规定置若罔闻,非常容易产生操作风险。三是信息科技人员缺乏科技风险管理方面专业系统的培训,风险管理知识及经验不足,风险识别、风险评估、风险处置能力不强。
(二)信息科技风险管理制度还需完善。一是信息科技管理制度还不够完善。比如现有的制度在电子设备采购、管理、报废等方面进行了规范,但在设备选型、设备更换、固定资产指标使用等方面缺乏统一规定,部分机构出现设备老化、设备带病工作、设备兼容性差等情况。二是内部管控制度不健全。目前对信息科技风险审计能力不足,缺乏信息科技风险的有效监管。审计部门只对信息科技资产进行审计,缺乏必要的技术力量和技术方法对信息科技风险及信息科技人员行为进行审计。信息科技部门既是运动员,又是裁判员,不能形成有效的制衡机制。三是制度执行不到位。由于基层行信息科技人员不足,技术力量薄弱,科技部门重要岗位缺乏备份人员,内部岗位之间缺乏制约,影响某些规章制度有效落实。
(三)信息安全技术保障体系需进一步提升。一是技术安全标准和技术规范不够全面,在风险预警、评估、处置等方面存在漏洞。二是在终端安全、网络准入控制、网络分区等方面技术手段不足,既增加人力维护成本,又极易产生信息科技安全隐患。三是IT服务外包需进一步规范,在外包合同签订、外包人员管理、服务质量的监督等方面需加强监管,在努力提高服务水平的同时,最大限度地保护信息安全。
三、基层行信息科技风险治理展望
(一)加强内控制度建设,巩固三道防线。内控管理是一项长期而重要的工作,基层行应紧密结合现有业务流程,以完善管理机制、建立健全制度体系为主线,不断优化现有信息系统,提高信息系统基础设施的服务保障能力。信息科技风险虽然体现在信息系统的运行操作环节,但往往涉及业务流程和操作模式的合理性、业务需求的质量等众多方面,防范信息科技风险必须综合考虑业务需求制定、项目实施、软件开发、基础设施建设、运行维护管理等不同环节的各种因素,由业务主管部门、科技管理部门和审计部门协同工作,才能起到事半功倍的效果。各基层行首先应充分认识信息科技安全的紧迫性和重要性,明确信息科技风险管理目标,落实信息科技风险管理责任制,将信息科技风险纳入自身的总体风险框架,筑起第一道“思想”防线;其次,在加强信息安全监督、自查力度的同时,还应定期组织辖内信息科技风险的专项检查,对于日常经营管理和生产运行中发现的操作风险隐患,建立信息系统风险持续跟进机制,及时消除风险隐患,坚守第二道“监查”防线;此外,还应明确业务部门责任,将科技风险管理纳入到业务部门日常管理,设立专门的IT审计团队,培养专业的IT审计人才,对信息科技风险进行评估,督促整改,构建“以查带审,以审促查”的第三道防线。
(二)重在预防,完善信息风险防控体系。一是建立信息风险监控平台,通过对现有各类生产系统、监控系统中的可疑数据进行跟踪与分析,从而有效地对信息科技风险进行预警、评估、处置。平台采用实时预警和T+1分析相结合的方式,对于风险程度高、要求响应速度快的风险点,依托短信平台、邮件系统在最短时间内给出预警;对于日常操作和行为信息,采用T+1分析的方式,通过事后追查、责任落实来规避风险。二是完善信息科技风险评估制度,严格控制对应用项目外包、软硬件产品和相关服务外包的风险,建立对外包服务商、产品供应商的信息科技风险的评估机制,实现对第三方全过程的跟踪管理,防范外包服务的实施风险。三是实施风险管理的全覆盖。将全省人员按照省、市、县三级组织实施分级管理,一级管一级,实现从上到下、从省到县的逐级有序结构,使科技工作风险管控的触角延伸到每一个人、每一台计算机、每一项业务。
(三)强化保障体系,持续推动业务连续性管理。首先,应严格执行机房值班制度,每日巡查机房,确保将安全隐患消灭于萌芽之中。其次,还应加强后备电源、备品备件的管理,落实各二级分行机房的第二供电保障渠道,有条件的行采用双回路供电,没有改造条件的自备发电机,对重要设备还应采取热备或冷备的方式,消除单点故障隐患。再次,研发推广桌面(终端)安全系统,包含内网准入、补丁分发、病毒库升级和主动防御等功能,从源头防范,确保网络安全。此外,还必须未雨绸缪,及时修订应急预案,做好业务连续性规划、业务恢复机制、风险化解和转移措施、数据备份方案等多方面的工作,并加强灾备演练,以保障在突如其来的灾难性事故面前能从容应对,迅速恢复生产,尽可能降低事故造成的损失。