國家對信息安全等級保護流程?摘要:2018年6月,我作為某高校信息中心主任,參加了我院4個應用系統信息安全等級保護測評(二級)及整改項目,在項目中擔任甲方技術負責人我院現有4個新上線系統,網站群系統、教務系統、圖書館系統、自動化辦公系統需要安全等級保護測評但目前學院機房安全設備配備不足和陳舊,新上線的業務系統安全性能尚未的到驗證,更重要的是尚未在當地公安部門取得備案證書經學院信息化小組研究決定,4個系統安全等級定級為二級,計劃投資220萬元,對應用系統及機房,從安全技術建設和安全管理建設2個方面進行測評,根據測評報告進行安全整改于2018年9月,達到整改要求,取得4個應用系統的備案證書,得到了相關部的好評,下面我們就來聊聊關于國家對信息安全等級保護流程?接下來我們就一起去了解一下吧!
摘要:
2018年6月,我作為某高校信息中心主任,參加了我院4個應用系統信息安全等級保護測評(二級)及整改項目,在項目中擔任甲方技術負責人。我院現有4個新上線系統,網站群系統、教務系統、圖書館系統、自動化辦公系統需要安全等級保護測評。但目前學院機房安全設備配備不足和陳舊,新上線的業務系統安全性能尚未的到驗證,更重要的是尚未在當地公安部門取得備案證書。經學院信息化小組研究決定,4個系統安全等級定級為二級,計劃投資220萬元,對應用系統及機房,從安全技術建設和安全管理建設2個方面進行測評,根據測評報告進行安全整改。于2018年9月,達到整改要求,取得4個應用系統的備案證書,得到了相關部的好評。
正文:
我院作為一所高校,教職工在校師生有2萬餘人。為加快推進學院信息化覆蓋的範圍和管理的強度,學院淘汰了舊的系統,重新部署網站群系統、教務系統、圖書館系統、自動化辦公系統4個系統,按照《信息安全等級保護基本要求》,需要對以上4個系統進行安全等級保護定級、測評和整改,從而取得當地公安部門的備案證書,方可上線應用。根據系統的安全級别要求及可靠性,經學院信息化小組研究決定,4個應用系統安全等級都定為二級。2018年6月通過招标委托一家具有安全等級保護測評資質的公司,對學院4個應用系統進行測評工作。我作為甲方技術負責人,參加了信息安全等級保護測評及整改工作。
一、信息系統安全技術建設
1、物理安全,測評如下:機房的位置選擇,應放在具有防雨、防雷、防潮能力的建築内,适合中低層;物理訪問控制,機房出入安排值守,進入機房人員需要提出申請,并記入進出人員;防盜竊與防破壞,主機地方必須安裝必要的防盜報警系統,線路鋪設要做隐蔽工程等;防雷擊和防火,機房要做好防雷工作,大樓有防雷裝置,配電櫃有防雷模塊,交流電源線接地。機房内應設置滅火設備和火災自動報警系統;防水、防潮、防靜電。機房内上下不能有水管通過,空調水注意防止積水,各種設備要接地防靜電;電力供應。應在供電線路上放置穩壓器和過電壓防護設備和USP電源。
2、網絡安全,測評如下:結構安全。關鍵設備的處理能力和具備冗餘空間,根據業務需要劃分不同的vlan等;邊界完整性檢查,對用戶對外網的訪問進行檢查和控制;入侵防禦系統 ,應在網絡邊界監視攻擊行為,如緩沖區溢出攻擊、ip碎片攻擊等。
3、主機安全,測評如下:應對登錄操作系統和數據庫的用戶進行身份鑒别,對資源訪問進行控制,對用戶行為有沒有安全審計,安裝入侵防範軟件和對惡意代碼防禦,應限制用戶資源控制權限等。
4、應用安全,測評如下:應對通信完整性和通信保密性給予保障,對軟件容錯功能是否具有等。
5、數據安全,測評如下:應對數據完整性和數據保密性進行檢查,是都建設備份和恢複機制。
二、安全管理建設
1、安全管理制度,包括管理制度制定和發布以及評審和修訂
2、安全管理機構,包括崗位設置 、人員配備 、授權和審批 、溝通和合作、 審核和檢查等
3、人員的安全管理,包括人員錄用、人員離崗、人員考核、安全意識教育和培訓、 外部人員訪問管理。
4、系統建設管理,包含系統定級、安全方案設計、産品采購和使用、自行軟件開發、外包軟件開發、工程實施、測試驗收、系統交付、安全服務商選擇等
5、系統運維管理,包括環境管理、資産管理、介質管理、設備管理、網絡安全管理、系統安全管理、惡意代碼防範管理、變更管理、備份與恢複管理、安全事件處理、應急預案管理。
測評公司從以上2個大的面10個小的方面對4個應用系統進行信息安全等級保護二級測評,并根據測評結果整理出整改報告交付我院。我院4個應用系統按照二級申報還存在存在的差距如下:
1、物理安全方面,主機房存在出入沒有專人值守,進出機房沒有相應的審批流程和登記;網絡防護管理員密碼過于簡單,沒有定期更換密碼;
2、主機安全方面,招生就業系統中惡意代碼防護沒有,資源控制密碼沒有設置多久沒響應就退出;
3、網絡安全方面,關鍵設備沒有冗餘;
4、應用安全方面,自動化辦公系統通信完整性和保密性建議使用https協議,安全審計缺失,系統登錄密碼沒有做次數限制等。
5、數據安全方面,數據庫審計系統缺失。
6、安全管理制度不全等。
我院信息化小組按照整改報告重新招标,委托整改公司(跟測評公司不能是同一家公司)按照整改報告進行整改。
三、實施整改
須根據測評公司整改報告,整改公司給出整改方案,按照整改方案執行整改。
1、安全主機房值班人員輪流值班,出入機房要OA系統上建立的審批流程,登記在冊。機房門口增設出入打卡系統,一人一卡,出入登記。建立學校密碼設置規則,定期更換密碼,具體到某部門某人,以文件的形式登記在冊。
2、招生就業服務其中安裝安全狗防病毒軟件,防止惡意代碼,協調招生就業系統開發公司,對登錄頁面的代碼進行修改,限制登錄次數。
3、網絡安全方面,采購同類型的核心交換機(H3CS5700系列),通過vrrp協議做熱備;
4、應用系統方面,購買https協議服務,開放自動化系統服務器443端口,或者通過負載均衡器完成https協議轉換。
5、采購數據庫審計系統旁接核心交換機,對4個系統數據庫應用安全進行審計。
6、安全管理建設從5個方面查漏補缺,完善機構假設和制度制定。
整改公司整改完成以後,需要測評公司再次對以上4個系統進行測試,對不滿足的需要繼續整改。第二次測評後,發現自動化辦公系統系統登錄密碼沒有做次數限制,需要再次與開發公司協調,因為開發公司與整改公司沒有達成協議,需要甲方再次協調,最終達成一緻意見,完成整改。第三次測評給出4個應用系統全部合格。這裡協調整改公司和開發公司、整改公司和測評公司耗費很多時間。
四、上報測評報告
測評公司在測評合格後,分别出具4個應用系統的合格的測評報告,交付甲方。甲方通過政務平台把4分報告分别上傳給當地公安部門進行審核,大概5個工作日,給出結果,全部審核通過,網上直接下載備案證書。備案證書作為測評公司和整改公司項目的驗收依據。也是作為甲方技術負責人的工作成果,4個系統可以立即投入線上使用,接入互聯網。
在院領導的大力支持下,在承建方的不懈努力下,項目得以在規定的日期内完成,并順利通過驗收,這也和整個項目組的付出是分不開的。項目完成并驗收後,整體系統運行平穩,達到了預期的效果,雖然項目取得了成功,但在有些方面還存在不足,最主要是測評公司與整改公司的測評争議問題,整改公司與系統開發公司底層代碼修改問題需要甲方協調。雖然項目取得了一定的成功,但我很自我的能力還有這樣那樣的不足,需要在今後的努力學習中不斷的提升自己在網絡規劃設計能力。
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
