时间:2023-02-14 22:28:27
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇信息安全整改方案,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
随着信息安全等级保护工作的不断深化,已延伸到医疗卫生行业。卫计委要求三级医院核心业务系统定级不低于第三级。本文结合医院实际,介绍了医院信息安全等级保护工作的建设,阐明了信息系统的定级、备案、整改、测评四个实施步骤,以供大家探讨。
关键词:
医院信息安全;等级保护工作;等级测评
一、引言
随着我国信息化建设的快速发展与广泛应用,信息安全的重要性愈发突出。在国家重视信息安全的大背景下,推出了信息安全等级保护制度。为统一管理规范和技术标准,公安部等四部委联合了《信息安全等级保护管理办法》(公通字[2007]43号)。随着等级保护工作的深入开展,原卫生部制定了《卫生行业信息安全等级保护工作的指导意见》(卫办发[2011]85号),进一步规范和指导了我国医疗卫生行业信息安全等级保护工作,并对三级甲等医院核心业务信息系统的安全等级作了要求,原则上不低于第三级。从《关于信息安全等级保护工作的实施意见》中可知信息安全等级保护对象是国家秘密信息、法人和其他组织以及公民的专有信息和公开信息。对信息系统及其安全产品进行等级划分,并按等级对信息安全事件响应[1]。
二、医院信息安全等级保护工作实施步骤
2.1定级与备案[2]。
根据公安部信息安全等级保护评估中心编制的《信息安全等级保护政策培训教程》,有两个定级要素决定了信息系统的安全保护等级,一个是等级保护对象受到破坏时所侵害的客体,另外一个是对客体造成侵害的程度。对于三级医院,门诊量与床位相对较多,影响范围较广,一旦信息系统遭到破坏,将会给患者造成生命财产损失,对社会秩序带来重大影响。因此,从影响范围和侵害程度来看,我们非常认同国家卫计委对三级甲等医院的核心业务信息系统安全等级的限制要求。在完成定级报告编制工作后,填写备案表,并按属地化管理要求到市级公安机关办理备案手续,在取得备案回执后才算完成定级备案工作。我院已按照要求向我市公安局网安支队,同时也是我市信息安全等级保护工作领导小组办公室,提交了定级报告与备案表。
2.2安全建设与整改[3]。
在完成定级备案后,就要结合医院实际,分析信息安全现状,进行合理规划与整改。
2.2.1等保差距分析与风险评估。
了解等级保护基本要求。《信息系统安全等级保护基本要求》分别从技术和管理两方面提出了基本要求。基本技术要求包括五个方面:物理安全、网络安全、主机安全、应用安全和数据安全,主要是由在信息系统中使用的网络安全产品(包括硬件和软件)及安全配置来实现;基本管理要求也包括五个方面:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理,主要是根据相关政策、制度以及规范流程等方面对人员活动进行约束控制,以期达到安全管理要求[4]。技术类安全要求按保护侧重点进一步划分为三类:业务信息安全类(S类)、系统服务安全类(A类)、通用安全保护类(G类)。如受条件限制,可以逐步完成三级等级保护,A类和S类有一类满足即可,但G类必须达到三级,最严格的G3S3A3控制项共计136条[5]。医院可以结合自身建设情况,选择其中一个标准进行差距分析。管理方面要求很严格,只有完成所有的154条控制项,达到管理G3的要求,才能完成三级等级保护要求。这需要我们逐条对照,发现医院安全管理中的不足与漏洞,找出与管理要求的差距。对于有条件的三甲医院,可以先进行风险评估,通过分析信息系统的资产现状、安全脆弱性及潜在安全威胁,形成《风险评估报告》。经过与三级基本要求对照,我院还存在一定差距。比如:在物理环境安全方面,我院机房虽有灭火器,但没安装气体灭火装置。当前的安全设备产品较少,不能很好的应对网络入侵。在运维管理方面,缺乏预警机制,无法提前判断系统潜在威胁等。
2.2.2建设整改方案。
根据差距分析情况,结合医院信息系统安全实际需求和建设目标,着重于保证业务的连续性与数据隐私方面,满足于临床的实际需求,避免资金投入的浪费、起不到实际效果。整改方案制订应遵循以下原则:安全技术和安全管理相结合,技术作保障,管理是更好的落实安全措施;从安全区域边界、安全计算环境和安全通信网络进行三维防护,建立安全管理中心[6]。方案设计完成后,应组织专家或经过第三方测评机构进行评审,以保证方案的可用性。整改方案实施。实施过程中应注意技术与管理相结合,并根据实际情况适当调整安全措施,提高整体保护水平。我院整改方案是先由医院内部自查,再邀请等级测评公司进行预测评,结合医院实际最终形成的方案。网络技术人员熟悉系统现状,易于发现潜在安全威胁,所以医院要先自查,对自身安全进行全面了解。等级测评公司派专业安全人员进驻医院,经过与医院技术人员沟通,利用安全工具进行测试,可以形成初步的整改报告,对我院安全整改具有指导意义。
2.3开展等级保护测评[7]。
下一步工作就是开展等级测评。在测评机构的选择上,首先要查看其是否具有“DICP”认证,有没有在当地公安部门进行备案,还可以到中国信息安全等级保护网站进行核实。测评周期一般为1至2月,其测评流程如下。
2.3.1测评准备阶段。
医院与测评机构共同成立项目领导小组,制定工作任务与测评计划等前期准备工作。项目启动前,为防止医院信息泄露,还需要签订保密协议。项目启动后,测评机构要进行前期调研,主要是了解医院信息系统的拓扑结构、设备运行状况、信息系统应用情况及安全管理等情况,然后再选择相应的测评工具和文档。在测评准备阶段,主要是做好组织机构建设工作,配合等级测评公司人员的调查工作。
2.3.2测评方案编制阶段。
测评内容主要由测评对象与测评指标来确定。我院测评对象包含三级的医院信息系统、基础网络和二级的门户网站。测评机构要与医院沟通,制定工具测试方法与测评指导书,编制测评方案。在此阶段,主要工作由等级测评机构来完成。
2.3.3现场测评阶段。
在经过实施准备后,测评机构要对上述控制项进行逐一测评,大约需要1至2周,需要信息科人员密切配合与注意。为保障医院业务正常开展,测评工作应尽量减少对业务工作的冲击。当需要占用服务器和网络资源时应避免业务高峰期,可以选择下班时间或晚上。为避免对现有业务造成影响,测评工具应在接入前进行测试,同时要做好应急预案准备,一旦影响医院业务,应立即启动应急预案[8]。在对209条控制项进行测评后应进行结果确认,并将资料归还医院。该阶段是从真实情况中了解信息系统全面具体的主要工作,也是技术人员比较辛苦的阶段。除了要密切配合测评,还不能影响医院业务开展,除非必要,不然安全测试工作必须在夜间进行。
2.3.4报告编制阶段。
通过判定测评单项,测评机构对单项测评结果进行整理,逐项分析,最终得出整体测评报告。测评报告包含了医院信息安全存在的潜在威胁点、整改建议与最终测评结果[9]。对于公安机关来讲,医院能否通过等级测评的主要标准就是测评结果。因此,测评报告的结果至关重要。测评结果分为:不符合、部分符合、全部符合。有的测评机构根据单项测评结果进行打分,最后给出总分,以分值来判定是否通过测评。为得到理想测评结果,需要医院落实安全整改方案。
2.4安全运维。
我们必须清醒地认识到,实施安全等级保护是一项长期工作,它不仅要在信息化建设规划中考虑,还要在日常运维管理中重视,是不断循环的过程。按照等级保护制度要求,信息系统等级保护级别定为三级的三甲医院每年要自查一次,还要邀请测评机构进行测评并进行整改,监管部门每年要抽查一次。因此,医院要按照PDCA的循环工作机制,不断改进安全技术与管理上,完善安全措施,更好地保障医院信息系统持续稳定运行[10]。
三、结语
医院信息安全工作是信息化建设的一部分,是一项长期的系统工程,需要分批分期的循序改建。还要结合医院实际,考虑安全产品的实用性,不能盲目的进行投资。医院通过实施等级保护工作,可以有效增强网络与信息系统整体安全性,有力保障医院各项业务的持续开展,适应医院信息化不断发展的需求。
作者:王磊 单位:蚌埠医学院第二附属医院
参考文献
[1]公安部,国家保密局,国家密码管理局,国务院信息化办公室文件.关于信息安全等级保护工作的实施意见(公通字[2004]66号)[R],2004-9-15.
[2]GB/T22240-2008.信息安全技术信息系统安全等级保护定级指南[S],2008-06-19.
[3]GB/T25058-2010.信息安全技术信息系统安全等级保护实施指南[S],2010-09-02.
[4]GB/T22239-2008.信息安全技术信息系统安全等级保护基本要求[S],2008-06-19.
[5]魏世杰.医院信息安全等级保护三级建设思路[J].科技传播,2013,5(99):208-209.
[6]张滨.构建医院信息安全等级保护纵深防护体系[J].信息通信,2014(141):148-149.
[7]GB/T28449-2012.信息安全技术信息系统安全等级保护测评过程指南[S],2012-06-29.
[8]姚红磊,杨文.三级系统信息安全等级保护测评指标体系研究[J].铁路计算机应用,2015,24(2):59-61.
一、引言
随着我国信息化建设的快速发展与广泛应用,信息安全的重要性愈发突出。在国家重视信息安全的大背景下,推出了信息安全等级保护制度。为统一管理规范和技术标准,公安部等四部委联合了《信息安全等级保护管理办法》(公通字【2007】43号)。随着等级保护工作的深入开展,原卫生部制定了《卫生行业信息安全等级保护工作的指导意见》(卫办发【2011】85号),进一步规范和指导了我国医疗卫生行业信息安全等级保护工作,并对三级甲等医院核心业务信息系统的安全等级作了要求,原则上不低于第三级。
从《关于信息安全等级保护工作的实施意见》中可知信息安全等级保护对象是国家秘密信息、法人和其他组织以及公民的专有信息和公开信息。对信息系统及其安全产品进行等级划分,并按等级对信息安全事件响应。
二、医院信息安全等级保护工作实施步骤
2.1定级与备案。根据公安部信息安全等级保护评估中心编制的《信息安全等级保护政策培训教程》,有两个定级要素决定了信息系统的安全保护等级,一个是等级保护对象受到破坏时所侵害的客体,另外一个是对客体造成侵害的程度。表1是根据定级要素制订的信息系统等级保护级别。
对于三级医院,门诊量与床位相对较多,影响范围较广,一旦信息系统遭到破坏,将会给患者造成生命财产损失,对社会秩序带来重大影响。因此,从影响范围和侵害程度来看,我们非常认同国家卫计委对三级甲等医院的核心业务信息系统安全等级的限制要求。
在完成定级报告编制工作后,填写备案表,并按属地化管理要求到市级公安机关办理备案手续,在取得备案回执后才算完成定级备案工作。我院已按照要求向我市公安局网安支队,同时也是我市信息安全等级保护工作领导小组办公室,提交了定级报告与备案表。
2.2安全建设与整改。在完成定级备案后,就要结合医院实际,分析信息安全现状,进行合理规划与整改。
2.2.1等保差距分析与风险评估。了解等级保护基本要求。《信息系统安全等级保护基本要求》分别从技术和管理两方面提出了基本要求。基本技术要求包括五个方面:物理安全、网络安全、主机安全、应用安全和数据安全,主要是由在信息系统中使用的网络安全产品(包括硬件和软件)及安全配置来实现;基本管理要求也包括五个方面:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理,主要是根据相关政策、制度以及规范流程等方面对人员活动进行约束控制,以期达到安全管理要求。
技术类安全要求按保护侧重点进一步划分为三类:业务信息安全类(S类)、系统服务安全类(A类)、通用安全保护类(G类)。如受条件限制,可以逐步完成三级等级保护,A类和S类有一类满足即可,但G类必须达到三级,最严格的G3S3A3控制项共计136条.医院可以结合自身建设情况,选择其中一个标准进行差距分析。
管理方面要求很严格,只有完成所有的154条控制项,达到管理G3的要求,才能完成三级等级保护要求。这需要我们逐条对照,发现医院安全管理中的不足与漏洞,找出与管理要求的差距。
对于有条件的三甲医院,可以先进行风险评估,通过分析信息系统的资产现状、安全脆弱性及潜在安全威胁,形成《风险评估报告》。
经过与三级基本要求对照,我院还存在一定差距。比如:在物理环境安全方面,我院机房虽有灭火器,但没安装气体灭火装置。当前的安全设备产品较少,不能很好的应对网络人侵。在运维管理方面,缺乏预警机制,无法提前判断系统潜在威胁等。
2.2.2建设整改方案。根据差距分析情况,结合医院信息系统安全实际需求和建设目标,着重于保证业务的连续性与数据隐私方面,满足于临床的实际需求,避免资金投入的浪费、起不到实际效果。
整改方案制订应遵循以下原则:安全技术和安全管理相结合,技术作保障,管理是更好的落实安全措施;从安全区 域边界、安全计算环境和安全通信网络进行三维防护,建立安全管理中心。方案设计完成后,应组织专家或经过第三方测评机构进行评审,以保证方案的可用性。
整改方案实施。实施过程中应注意技术与管理相结合,并根据实际情况适当调整安全措施,提高整体保护水平。
我院整改方案是先由医院内部自查,再邀请等级测评#司进行预测评,结合医院实际最终形成的方案。网络技术义员熟悉系统现状,易于发现潜在安全威胁,所以医院要先自查,对自身安全进行全面了解。等级测评公司派专业安全人员进驻医院,经过与医院技术人员沟通,利用安全工具进行测试,可以形成初步的整改报告,对我院安全整改具有指导意义。
2.3开展等级保护测评。下一步工作就是开展等级测评。在测评机构的选择上,首先要查看其是否具有“DICP”认证,有没有在当地公安部门进行备案,还可以到中国信息安全等级保护网站(网站地址:djbh.net)进行核实。测评周期一般为1至2月,其测评流程如下。
2.3.1测评准备阶段。医院与测评机构共同成立项目领导小组,制定工作任务与测评计划等前期准备工作。项目启动前,为防止医院信息泄露,还需要签订保密协议。项目启动后,测评机构要进行前期调研,主要是了解医院信息系统的拓扑结构、设备运行状况、信息系统应用情况及安全管理等情况,然后再选择相应的测评工具和文档。
在测评准备阶段,主要是做好组织机构建设工作,配合等级测评公司人员的调査工作。
2.3.2测评方案编制阶段。测评内容主要由测评对象与测评指标来确定。我院测评对象包含三级的医院信息系统、基础网络和二级的门户网站。测评机构要与医院沟通,制定工具测试方法与测评指导书,编制测评方案。在此阶段,主要工作由等级测评机构来完成。
2.3.3现场测评阶段。在经过实施准备后,测评机构要对上述控制项进行逐一测评,大约需要1至2周,需要信息科人员密切配合与注意。为保障医院业务正常开展,测评工作应尽量减少对业务工作的冲击。当需要占用服务器和网络资源时应避免业务高峰期,可以选择下班时间或晚上。为避免对现有业务造成影响,测评工具应在接人前进行测试,同时要做好应急预案准备,一旦影响医院业务,应立即启动应急预案、在对209条控制项进行测评后应进行结果确认,并将资料归还医院。
该阶段是从真实情况中了解信息系统全面具体的主要工作,也是技术人员比较辛苦的阶段。除了要密切配合测评,还不能影响医院业务开展,除非必要,不然安全测试工作必须在夜间进行。
2.3.4报告编制阶段。通过判定测评单项,测评机构对单项测评结果进行整理,逐项分析,最终得出整体测评报告。测评报告包含了医院信息安全存在的潜在威胁点、整改建议与最终测评结果。对于公安机关来讲,医院能否通过等级测评的主要标准就是测评结果。因此,测评报告的结果至关重要。测评结果分为:不符合、部分符合、全部符合。有的测评机构根据单项测评结果进行打分,最后给出总分,以分值来判定是否通过测评。为得到理想测评结果,需要医院落实安全整改方案。
2.4安全运维。我们必须清醒地认识到,实施安全等级保护是一项长期工作,它不仅要在信息化建设规划中考虑,还要在日常运维管理中重视,是不断循环的过程。按照等级保护制度要求,信息系统等级保护级别定为三级的三甲医院每年要自查一次,还要邀请测评机构进行测评并进行整改,监管部门每年要抽查一次。因此,医院要按照PDCA的循环工作机制,不断改进安全技术与管理上,完善安全措施,更好地保障医院信息系统持续稳定运行。―
三、结语
一、工作目标
依据国家信息安全等级保护制度,遵循相关标准规范,在卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作,明确信息安全保障重点,落实信息安全责任,建立信息安全等级保护工作长效机制,切实提高卫生行业信息安全防护能力、隐患发现能力、应急处置能力,为卫生信息化健康发展提供可靠保障,全面维护公共利益、社会秩序和国家安全。
二、工作原则
(一)遵循标准,重点保护。遵循国家信息安全等级保护相关标准规范,结合卫生行业信息系统特点,优先保护重要卫生信息系统,优先满足重点信息安全需求。
(二)行业指导,属地管理。卫生行业信息安全等级保护工作实行行业指导、属地管理。地方各级卫生行政部门要按照国家信息安全等级保护制度有关要求,做好本地区卫生信息系统安全等级保护的指导和管理工作。卫生行业各单位要按照“谁主管、谁负责,谁运营、谁负责”的要求,落实信息安全责任。
(三)同步建设,动态完善。在信息系统规划设计与建设过程中,同步开展信息安全等级保护工作。因信息和信息系统的业务类型、应用范围等条件改变导致安全需求发生变化时,应当重新调整信息系统安全保护等级,及时完善安全保障措施。
三、工作机制
地方各级卫生行政部门承担本地卫生信息安全责任,信息化工作领导小组统筹组织本地卫生信息安全等级保护工作。卫生部信息化工作领导小组负责对全国卫生行业信息安全等级保护工作的组织协调、监督指导,并组织开展部机关信息安全等级保护工作。省级、地市级卫生行政部门信息化工作领导小组负责对本地区卫生行业信息安全等级保护工作的组织协调、监督指导,并组织开展本单位信息安全等级保护工作。
卫生部建立信息安全等级保护工作联络员机制,各省级卫生行政部门应当设置信息安全等级保护工作联络员。联络员职责是落实国家信息安全等级保护工作的有关政策和技术标准,掌握本地区信息安全等级保护工作动态和总体情况,代表本地区与卫生部及同级信息安全等级保护管理部门进行日常联系和交流,协调落实本地区信息安全等级保护工作。
卫生部和各省级卫生行政部门应当分别建立信息安全技术专家委员会,参与信息系统定级指导、备案审查、方案论证、安全咨询、安全检查等技术工作。信息安全技术专家委员会应当包含卫生行业、公安机关及信息安全技术等专家。
四、工作任务
(一)定级备案。
1.卫生行业各单位应当对本单位建设与运营的卫生信息系统进行自查,对未定级、定级不准的信息系统,应当按照《信息安全技术信息系统安全等级保护定级指南》开展定级工作。
国家信息安全等级保护制度将信息安全保护等级分为五级:第一级为自主保护级,第二级为指导保护级,第三级为监督保护级,第四级为强制保护级,第五级为专控保护级。以下重要卫生信息系统安全保护等级原则上不低于第三级:
(1)卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统;
(2)国家、省、地市三级卫生信息平台,新农合、卫生监督、妇幼保健等国家级数据中心;
(3)三级甲等医院的核心业务信息系统;
(4)卫生部网站系统;
(5)其他经过信息安全技术专家委员会评定为第三级以上(含第三级)的信息系统。
2.拟定为第三级以上(含第三级)的卫生信息系统,应当经信息安全技术专家委员会论证、评审。
3.卫生行业各单位在确定信息系统安全保护等级后,对第二级以上(含第二级)信息系统,应当报属地公安机关及卫生行政部门备案。跨省全国联网运行并由卫生部定级的信息系统,由卫生部报公安部备案;在各地运行、应用的分支系统,应当报属地公安机关备案。
(二)建设与整改。
1.对已确定安全保护等级的第二级以上(含第二级)卫生信息系统,应当按照国家信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等国家标准,开展安全保护现状分析,查找安全隐患及与国家信息安全等级保护标准之间的差距,确定安全需求。
2.根据信息系统安全保护现状分析结果,按照《信息安全技术信息系统安全等级保护基本要求》、《信息安全技术信息系统等级保护安全设计技术要求》等国家标准,制订信息系统安全等级保护建设整改方案。第三级以上(含第三级)卫生信息系统安全建设整改方案应当经信息安全技术专家委员会论证。
3.卫生行业各单位应当按照信息系统安全建设整改方案,完善安全保护设施,建立安全管理制度,落实安全管理措施,形成信息安全技术防护体系和信息安全管理体系,有效保障卫生信息系统安全。
(三)等级测评。
1.系统建设整改工作完成后,应当按照《信息安全等级保护管理办法》要求,从全国信息安全等级保护测评机构推荐目录中选择等级测评机构,对第三级以上(含第三级)卫生信息系统进行等级测评。
2.测评合格后,应当将测评报告报属地公安机关及卫生行政部门备案。
3.应当每年对第三级以上(含第三级)卫生信息系统进行等级测评。对于重要部门的第二级信息系统,可参照上述要求进行等级测评。
(四)宣传培训。
1.各级卫生行政部门信息化工作领导小组应当对本地区各级各类医疗卫生机构开展等级保护政策和标准规范培训,提高各单位信息安全管理人员的技术能力和管理水平。
2.卫生行业各单位应当开展内部信息安全培训,提升全员信息安全意识,规范信息安全操作行为,提高信息安全保障能力。
(五)监督检查。
1.卫生部信息化工作领导小组负责督导检查各地医疗卫生机构信息安全等级保护工作落实情况,并督促部机关重要信息系统责任单位开展信息安全等级保护工作。
2.省级卫生行政部门信息化工作领导小组负责督导检查本地区卫生行业各单位信息安全等级保护工作落实情况,并督促本单位开展信息安全等级保护工作。
3.省级卫生行政部门信息化工作领导小组应当于每年年底,向卫生部信息化工作领导小组报送本地区信息系统定级备案、建设整改、等级测评和自查等工作开展情况。
五、工作要求
(一)高度重视,加强领导。卫生行业各单位要高度重视,充分认识信息安全等级保护工作对保护居民健康信息安全、医疗卫生机构正常运转和社会稳定的重要意义。各单位主要负责同志要负总责,分管负责同志要具体抓,明确职责与任务,突出重点,将信息安全等级保护工作列入重要议事日程和工作绩效考核指标,一级抓一级,层层抓落实。
[关键词]党政建设;信息化;技术;网络;整改方案
随着科技时代的前进,在经济全球化和全球信息化时刻前进的今天,政治、经济、社会活动、社会管理、民众等都在不断的受到信息化的影响。这些影响深入各个领域。自然在党政建设中也开始了全面的深刻影响。信息化的来临促进各级党委、政府以及各个执法行政部门各项事物的提高,同时也在为这些党政部门不断的创造更加便利的条件。例如在党政建设中,不断的提高社会管理以及服务水平。帮助党政部门保障知情权以及监督权力等各项权力。在对党委政府自身建设上也开始全面的服务。总之,在信息化的时代下我们党政各个部门都享受着它的特殊性。现在新时期新的变化新的改进,党政建设就要在新时期下开始全面的信息化整改。具体我们就来诠释一下在科技飞速发展的时代下党政建设是如何进行信息化整改的。
一、对现有的党政信息化情况的了解
现在,要对党政建设信息化进行全面的整改,就要及时的、详细的了解党政信息化的实时情况,并且针对其中的关键处进行整改。首先要做的就是要及时的做好信息化整改的目标以及方向。那么就要找到信息化整改的目标以及方向。根据相关人员的调查以及数据分析,现在我们看到一些党政建设中的相关网站管理不规范是一个非常大的弊端,主要体现在几个方面上,一方面是很多县、区、乡党政机关的网站管理域名注册的非常混乱。有很多单位甚至使用了不按照规定的一级域名cn,二级域名gov;并且还会随意使用gov和com类域名。而那么已经停止了的域名根本不去按时的去注销,更谈不上按照规定去办理注销手续。更加恶劣的就是仍在外包IT企业服务器上运行。这是信息化管理上的一大漏洞。还有一方面就是一些党政机关对于集中网站的管理程度不高。并且其中的服务器比较分散,利用率也不是很完善。自然就会导致安全性能大幅的降低。最后风险袭来。这种状况常见于乡镇一级。隐患比较大。还有一方面就是管理比较薄弱。有些工作人员对于信息化根本不是很了解,工作懈怠,最后导致网站被攻击、网页被篡改。在党政建设过程中,网站信息内容非常重要,这一方面的工作如果不能及时的整改,那么会造成很大的损失,有些信息会出现一种局面那就是该公开的不公开,不公开的出来了。还有些内容不能及时的更新,更新速度尤为缓慢,总之这些问题成为了关键性的问题,这些问题需要相关部门及时的进行整改。可见,加强维护网络安全以及网络管理非常重要。
二、整合方案,及时整改
在党政建设信息化整改的过程中,相关部门看到了需要整改的方向以及目标,找到了需要整改的内容,就要及时的找到、规划以及总结出相关的方案,主要是要思路明确。在整改过程中相关部门要及时的进行强化权力,对于那些网络系统要定期的优化,形成一定的网络架构,在技术上要加大力度,对于政府相关部门的网站要安装检测预警并且互联网接入“五个统一”的一体化建设管理与安全保障体系。让全市党政机关的网站建设都有一个全面的维护。要做就要做到最好,所以还要针对找到的信息化问题进行及时的处理。
(一)网站域名
对于党政建设的网站上,网络域名要进行严格化、规范化。对于网站域名的注册以及登记、变更和注销上要有相关的手续。还要统一域名。例如,规范使用“gov”、“org”等英文域名和“政务”、“公益”中文域名,不得使用“com”、“net”等一级域名。各地有条件的街道(社区)、乡镇(村)可申请独立域名,也可在当地政府门户网站域名下衍生次级域名。
(二)网络接入点
对于党政信息化建设的整改过程中对于网络接入点要规范化,并且一定要严格按照国家的要求进行接入,同时对于地级市政府以及各个部门要及时的做好链接工作,实现共享资源以及整体的联动,严格控制非业务性的工作,在接入点上要实行统一安全的制度。在管理上要开展集中管理。减少不必要的危害。
(三)网站运维
[关键词] 信息等级保护概述;中国石油;等级保护建设
[中图分类号] TP391;X913.2 [文献标识码] A [文章编号] 1673 - 0194(2013)05- 0057- 02
1 信息等级保护制度概述
信息安全等级保护制度是国家信息安全保障工作的基本制度,是促进信息化健康发展的根本保障。其具体内容包括:①对国家秘密信息,法人和其他组织及公民的专有信息以及公开信息,存储、传输、处理这些信息的信息系统实行分等级安全保护、分等级监管;②对信息系统中使用的信息安全产品实行按等级管理;③对信息系统中发生的信息安全事件分等级响应、处置。信息安全等级保护配套政策体系及标准体系如图1、图2所示。
定条件的测评机构开展等级测评;④建设整改:备案单位根据信息系统安全等级,按照国家政策、标准开展安全建设整改;⑤检查:公安机关定期开展监督、检查、指导。
2 中国石油信息安全等级保护制度建设
中国石油信息化建设处于我国大型企业领先地位,在国资委历年信息化评比中都名列前茅。2007 年全国开展信息安全等级保护工作之后,中国石油认真贯彻国家信息安全等级保护制度各项要求,全面开展信息安全等级保护工作。逐步建成先进实用、完整可靠的信息安全体系,保障信息化建设和应用,支撑公司业务发展和总体战略的实施,使中国石油的信息安全保障能力显著提高。主要采取的措施有以下几个方面:
(1)以信息安全等级保护工作为契机 , 全面梳理业务系统并定级备案。中国石油根据国家信息安全等级保护制度要求,建立自上而下的工作组织体系,明确信息安全责任部门,对中国石油统一建设的应用系统进行等级保护定级和备案,通过制定《中国石油天然气集团公司重要信息系统安全等级保护定级实施暂行意见》,加强桌面安全、网络安全、身份认证等安全基础防护工作,加快开展重要信息系统的等级测评和安全建设整改工作,进一步提高信息系统的安全防御能力,提高系统的可用性和安全性。在全面组织开展信息系统等级保护定级备案工作之后,聘请专业测评机构,及时开展等级测评、安全检查和风险评估工作,并通过等级测评工作查找系统的不足和安全隐患,制订安全整改方案,开展安全整改和加固改造,保障信息系统持续安全稳定运行。
(2)以信息安全等级保护工作为抓手 , 全面推动中国石油信息安全体系建设。中国石油以信息安全等级保护工作为抓手,完善信息安全整体解决方案,建立技术保障体系、管理保障体系和控制保障体系。采用分级、分域的纵深防御理念,将桌面安全、身份认证、网络安全、容灾等相关技术相互结合,建立统一的安全监控平台和安全运行中心,实现对应用系统的授权访问、桌面计算机的安全控制、网络流量的异常监控、恶意软件与攻击行为的及时发现与防御、业务与数据安全保障等功能,显著提高抵御外部和内部信息安全威胁的能力。建立了总部、区域网络中心、企事业单位三级信息系统安全运维队伍;采用集中管理、分级维护的管理模式,网络与安全运维人员采用授权方式,持证上岗,建立网络管理员、安全管理员和安全审计员制度;初步建立起中国石油内部信息安全风险评估队伍,并于 2010 年完成地区公司的网络安全风险评估工作。
(3)建立重要信息系统应急处置预案,完善灾难恢复机制。2008 年,中国石油了《网络与信息安全突发事件专项应急预案》,所有业务系统、网络管理、安全管理等都建立了应急响应处置预案和灾备系统,保障业务系统在遭遇突发事件时,能快速反应并恢复业务系统可用性。通过灾难恢复项目研究,形成了现状及风险分析、灾难恢复等级划分、灾备部署策略分析和灾备部署方案四步法,划分了信息系统灾难恢复等级,完善了灾难恢复机制。
(4)规划信息安全运行中心,建立重要信息系统安全监控机制。中国石油规划了信息安全运行中心的建设方案,提出了信息安全运行中心建设目标,通过网络运行状态、安全信息数据汇集、安全监测分析功能和安全管理流程的有机整合,实现中国石油 信息安全状况的可感知、可分析、可展示、可管理和可指挥,形成中国石油信息安全事件分析、风险分析、预警管理和应急响应处理一体化的技术支撑能力;通过完善安全运行管理体系,将安全运行管理组织、安全运维管理流程和安全监测预警系统三方面有机结合,实现事前预警防范、事中监控处置、事后追溯定位的信息安全闭环运行机制,形成中国石油统一的应急指挥与协调调度能力,为中国石油信息安全保障奠定良好的基础。
3 信息安全等级保护工作存在的不足及改进建议
信息安全等级保护管理办法 (公通字[2007]43号)正式标志着全国范围内的信息安全等级保护工作开始,通过5年的努力,全国信息安全工作形成了以落实信息安全等级保护制度为核心,信息通报、应急处理、技术研究、产业发展、网络信任体系和标准化建设等工作快速发展的良好局面,重要行业部门的信息安全意识、重视程度、工作能力有了显著提高。40余个重要行业出台了100余份行业等级保护政策文件,20余个重要行业出台了40余份行业等级保护标准,但同时存在着以下不足:
(1)对信息安全工作的认识不到位,对重要信息系统安全保护缺乏应有的重视。依据公安部相关资料统计,截至2012年6月,我国有18%的单位未成立信息安全工作领导机构;21%的单位未落实信息安全责任部门,缺乏信息安全整体规划;14个行业重要信息系统底数不清、安全保护状况不明;12个行业未组织全行业信息安全专门业务培训,开展信息安全工作的思路和方法不得当,措施不得力。20%的单位在信息系统规划过程中,没有认真制定安全策略和安全体系规划,导致安全策略不得当;22%的信息系统网络结构划分不合理,核心业务区域部署位置不当,业务应用不合理,容易导致黑客入侵攻击,造成网络瘫痪,数据被窃取和破坏。34.6%的重要信息系统未配置专职安全管理人员,相关岗位设置不完整,安全管理人员身兼多职;48%的单位信息安全建设资金投入不足,导致重要信息系统安全加固和整改经费严重缺乏;27%的单位没有针对安全岗位人员制订相关的培训计划,没有组织开展信息安全教育和培训,安全管理、运维技术人员能力较弱。
(2)重要信息系统未落实关键安全保护技术措施。重要信息系统未落实安全审计措施。在主机层面,有34.9%的信息系统没有保护主机审计记录,34.8%的信息系统没有保护主机审计进程,容易导致事故责任无法认定,无法确定事故(事件)原因,影响应急处理效率。38%的信息系统没有落实对重要系统程序和文件进行完整性检测和自动恢复的技术措施,35%的信息系统没有采取监测重要服务器入侵行为的技术措施,容易使内部网络感染病毒,对攻击行为无法进行有效监测和处置。
(3)我国信息技术与国外存在一定差距,安全专业化服务力量薄弱。具有我国自主知识产权的重要信息技术产品和核心技术水平还有待提高,依赖国外产品的情况还比较普遍;国内信息安全专业化服务力量薄弱,安全服务能力不强,部分重要信息系统的关键产品维护和系统运维依赖国外厂商,给重要信息系统安全留下了隐患。
为了有效提高我国企业信息安全水平,增加等级保护的可行性及执行力,建议:①各企业开展以信息安全等级保护为核心的安全防范工作,提高网络主动防御能力,并制订应急处置预案,加强应急演练,提高网络应急处置能力。②加大人员和资金投入,提高保障能力。③国家层面加快关键技术研究和产品化,重视产品供应链的安全可控。
主要参考文献
[1]中国石油天然气集团公司. 中国石油天然气集团公司全面开展信息安全等级保护工作为信息化建设保驾护航[J].信息网络安全,2012(1).
【关键字】 桌面终端 补丁 准入管理 综合网管
防患于未然――这是一句古话。这句话用在信息网络安全中最能体会。
随着信息化建设的逐步深入,网络结构日趋复杂,信息系统趋于多元化,信息安全面临许多问题,如内外网安全、主机安全、应用系统安全、物理环境安全、桌面终端安全成为信息化建设的重中之重。桌面终端任意接入,安全策略得不到统一和有效控制,对资产信息采集统计与远程监控手段不足,用户行为难以控制,存在引发信息安全事件的风险,终端维护成本较高等问题制约和影响着信息化健康持续发展。科学、合理的构建和完善信息安全防护体系成为解决信息安全的有效途径。
如何将信息安全隐患降到最低,如何抵御病毒、黑客的入侵,如何安心使用网络这都是在信息行业中醒目的问题。
桌面安全管理系统是一个完全集成的模块化桌面管理解决方案,可以管理企业所有Windows平台设备。涵盖了策略管理中心、设备管理、远程协助、移动存储介质管理等模块,对信息网络安全起到了重要的作用。
设备和资产管理
随着公司企业的发展,IT产业也在不断扩展,终端设备增加了不少。作为IT管理员,要将不同配置,位置分散的PC机等相关设备进行统一管理,把设备台帐做好做细是件比较费时的事情。
在桌面管理系统里,每新增一台终端设备,不管是PC机还是其他办公设备等,只要设有IP地址,分配了部门,在终端上注册了桌面管理系统,都能在桌面安全管理系统内监测到。并且终端机的详细参数配置、进程、安装软件等都能一目了然,这对设备资产管理有很大的帮助。
远程协助和成本控制管理
桌面管理系统内的远程协助,可以帮助网络管理员远程运维电脑终端,这样不仅降低了故障响应时间也提升信息运维人员的工作效率,还可通过系统内的点对点控制,远程取得计算机的安装程序,应用进程,系统版本等关键资料和使用状况。
远程控制使工程师在任何内网接入的工作场所就能对任何出现的故障做出迅速的反应并处理问题。这方面大大节约了工作人员的时间,降低了运维成本。
桌面管理系统补丁管理
桌面终端管理系统重要的补丁下发功能可为公司内网终端自动下发并安装最新的系统补丁,使系统保持最安全的运行方式,可以根据各种计划任务,或者根据批处理策略统一下发下载补丁。当系统监测到有终端未安装补丁时,可对缺少的补丁进行重新下发。并能够对补丁下载及安装的情况进行查询,避免因病毒侵袭及应用系统漏洞而导致损失。
违规外联准入管理
针对违规外联进行全面整改,不仅出台了公司违规外联事件整改方案,而且在管理上加强力度。一是做到定期病毒及安全使用公告,禁止手机联入内网充电;二是定期开展信息安全知识教育培训,将违规外联原理、违规外联的严重性、可能发生违规外联情况公示;三是全网粘贴内网计算机标签标识,杜绝违规外联误操作。四是违规外联坚决执行公司的规定,惩治力度决不放松。
防非法外联系统在终端连接内网前,通过安装准入系统认证客户端对计算机进行健康状况检查,是否安装防病毒软件,是否安装桌面管理系统,对不满足安全要求的终端禁止分配内网合法IP地址,当用户完成入网的要求后,准入系统会自动识别系统状态并分配合法的内网IP地址,完整用户终端的准入流程,并通过桌面管理系统下发防违规外联IP策略,进一步控制非法外联的发生。
移动存储介质管理
移动存储的随意接入网络或者丢失出现信息数据泄密的都对信息安全造成很大威胁。桌面管理系统内的移动存储管理可大大提高移动存储的安全性。通过桌面终端管理系统能够安全的进行移动存储的管理,防止信息泄密事件的发生,杜绝因移动存储介质泄密对内网安全的威胁。
双数据区交互使用:专用U盘支持交换区和保密区。交换区在分配相同桌面标签的计算机上支持口令登录使用;保密区在分配相同桌面标签的计算机上受限制使用,在不同标签的计算机上无法使用,插入即会报警。
综合以上几个模块的功能,作为管理员能充分体会桌面管理系统在信息网络安全中的起到的强大作用。
参 考 文 献
[1]徐沛沛.统一桌面管理系统建设分析与研究 电力信息化 2012(10)
一、严格要求,搞好自查
我局把做好“回头看”和整改落实工作作为学习实践活动的一个重要环节来抓,切实加强领导,稳步推进,取得了良好效果。
(一)提出明确要求
3月18日全省深入学习实践科学发展观活动总结动员大会召开后,我局及时进行了传达贯彻,认真学习省委书记徐光春同志、中央学习实践活动第6巡回检查组副组长同志在总结动员大会上的重要讲话精神,并对开展学习实践活动整改落实情况“回头看”工作进行了安排部署。4月27日,省委第1巡回检查组召开座谈会,对第一批深入学习实践科学发展观活动单位整改落实情况继续进行巡回检查工作进行了安排。会后,我局参会人员及时将会议精神向局党组作了汇报。党组书记、局长宋灵恩要求各单位、各处室充分认识做好“回头看”和整改落实工作对确保学习实践活动取得实效、促进全省电信行业平稳较快发展的重要意义,以高度负责的精神,通过深入扎实的整改落实工作,把学习实践活动开展以来积累的学习成果、调研成果、解放思想讨论的成果、分析检查的成果转化为业务工作成果、制度建设成果和群众能得到的实惠。
(二)认真开展自查
各单位、各处室按照局学习实践活动领导小组关于做好“回头看”和整改落实工作的要求,对照局整改落实方案,逐项自查整改落实内容、时限、目标、措施是否得到落实。各责任单位、责任人通过多种方式,广泛征求群众对整改落实情况的意见,认真听取群众对整改落实工作的评价。各责任单位、主要责任人依据整改落实方案,逐项对照、逐条分析、深入查摆,对整改落实工作分类排队,落实挂销号制度,确保整改落实工作的深入开展。
(三)加强督促检查
局学习实践活动领导小组办公室加强对各单位、各处室“回头看”和整改落实工作的督促检查,采取听、看、查、考等方式,督促各单位、各处室切实负起责任,充分听取群众意见,认真抓好整改,务求取得实效。在各责任单位责任人自查、发动群众排查的基础上,局党组召开专题会议,听取各单位、各处室主要负责同志对本单位整改落实情况的工作汇报,了解掌握整改方案落实情况,并提出明确要求。
二、整改落实基本情况
围绕支持经济发展、服务民生,我局狠抓整改落实,加强电信管理,努力推动全省电信行业科学发展。
(一)继续推进整改任务落实
针对全省电信行业发展和电信管理工作中存在的10个方面整改问题,我局对照整改落实方案,认真整改落实,一些整改任务已经完成,一些整改任务正在稳步推进,还有一些整改任务正在按计划开展。
5个方面的整改任务基本完成:成立电信基础设施共建共享协调小组及省、市两级电信基础设施共建共享专家组,研究制定贯彻落实意见,组织签署合作协议,建立沟通协商机制,一季度,共完成98个移动通信基站、铁塔共享,105个基站、铁塔共建,总计节约建设投资2000多万元;召开全省自然村“村村通电话”会议,部署村通工程和“信息下乡”工作,制定《关于全面完成我省自然村“村村通电话”任务积极推进农村信息化建设的意见》,建设和完善农村综合信息服务平台,积极推进“信息下乡”活动;建立每月垃圾短信息治理工作情况通报制度,重点加大对非端口类垃圾短信息、网间和省间垃圾短信息以及违法类、广告类垃圾短信息等突出问题的治理力度,从3月份开始,我局共受理垃圾短信息投诉26119件,暂停发送垃圾短信息号码15078个,拦截垃圾短信息1799851条,对5家SP进行了处理;从1月份开始,开展为期半年的电信资费套餐清理专项活动,截止目前,共清理减少资费套餐750个,资费套餐数量减少13.2%;认真开展整治互联网低俗之风专项行动,依法关闭违法违规网站95个(含1个WAP网站),通知相关接入服务单位对我局核查出的2170个未备案网站进行关闭处理,注销违法网站备案20个,配合有关部门删除非法不良信息45条,向3家违规互联网接入服务单位下发了责令改正通知书。
9个方面的整改任务正扎实推进:对全省通信业经济运行主要情况进行统计分析,对各公司的季度分析报告进行整理和研究,形成全省通信业发展分析报告;将TD移动通信网络建设项目列入2009年全省重点建设项目,省政府将电信基础设施纳入城市建设规划,为TD的建设运营提供政策支持,全省17个省辖市的TD三期工程也已全面启动;成立领导小组,制定《2009年民主评议政风行风工作实施方案》,印发工作安排,从2月份起在全省电信行业组织开展民主评议政风行风工作,党组书记、局长宋灵恩做客省人民广播电台《政府在线》政风行风热线节目,就电信行业政风行风建设问计于民;加强网络信息安全管理,探索建立互联网管理的长效机制工作,全面开展互联网接入服务市场和手机(含小灵通)代收费服务清理整顿,完善落实信息安全管理制度,逐步建立防范处理网络违法不良信息的长效机制,重点开展手机媒体、特别是WAP网站的违法违规内容清理工作,切实净化网络环境;加快专用通信网络扩容,提高网络承载能力,跟踪应用新技术、新业务,全面提高技术水平,增强保障能力,为党政机关、各级领导提供便捷畅通、安全可靠的专用通信服务;努力加快应急通信指挥平台的立项、可研、设计、建设等工作,进一步健全应急通信保障体系,完善预案,开展应急通信演练,加大物资储备力度,加强队伍建设,确保重要机关通信畅通;加强干部作风建设,深入开展“讲党性修养、树良好作风、促科学发展”教育活动,组织党员干部参观唐庄镇和焦裕禄事迹展览,参加全省领导干部警示教育大会,邀请专家作专题辅导,落实每月一次机关集体学习制度,印发机关党的建设和精神文明建设工作要点,推动机关精神文明创建工作再上新台阶;加强党风廉政建设,党组书记、局长宋灵恩与各部门负责人签订《党风廉政建设目标管理责任书》,狠抓党风廉政建设责任制的落实,将党纪党规知识考试作为预备党员转正的必要程序;调整局行政执法领导小组成员,认真开展2008年度机关内部行政执法责任目标考评,针对我局行政执法存在的问题,采取措施努力改进。
2个方面的中长期整改任务正按计划进行:积极促进信息化与工业化融合,大力支持省各基础电信运营公司信息化应用项目,加快信息技术在经济社会各个领域的广泛应用,通过信息化手段改造提升传统产业;加快增值电信业务发展步伐,完善产业链,壮大实力,规范市场秩序,力争到2010年,在我省经营的增值电信业务经营单位超过1400家,业务收入突破120亿元,增值电信业务规模和数量位居中西部前列,形成10个以上在全国有影响力的增值电信业务经营单位和知名业务品牌。
(二)加大完善体制机制力度
认真清理完善现有的各类政策措施、意见办法、规章制度,废止过时政策性文件5个,新出台政策性文件25个,正在抓紧研究制订政策性文件13个。自去年12月份以来,对机关各项管理制度逐一进行讨论研究,该废止的及时废止,需要完善的及时修订完善,为加强电信管理工作和机关自身建设提供了制度保障。对2008年以来的电信管理法律法规规章和政策规定进行整理,编印了《电信管理政策法规选编》。开展规范通信行政处罚权工作,努力提高通信行政处罚水平。在制定电信管理政策性文件时,注重提高制定政策的科学性、实用性和可操作性。今年以来,出台了《河南省通信管理局2009年工作要点》、《关于开展电信资费套餐清理专项活动的通知》、《关于进一步支持河南移动TD-SCDMA网络建设工作的通知》、《关于进一步深入开展垃圾短信息专项治理活动的通知》、《河南省通信管理局2009年民主评议政风行风工作实施方案》、《2009年河南省通信管理局拟办好的支持经济发展服务民生的十件实事》、《关于全面完成我省自然村“村村通电话”任务积极推进农村信息化建设的意见》、《关于印发〈河南省电信业2009年“安全生产年”活动实施方案〉的通知》、《关于加强全省电信行业2009年重点项目建设的通知》、《2009年河南省电信业发展指导意见》、《关于加强通信业运行分析工作的通知》、《关于印发〈河南省通信管理局净化网络文化环境工作方案〉的通知》、《关于做好第二季度全省电信基础设施共建共享工作的通知》等13个政策性文件,引导电信运营企业努力打赢保持电信行业平稳较快发展这场硬仗,为服务全省经济社会发展做出新的贡献。同时,创新和完善了领导班子及领导干部考核评价机制、行业运行监测机制、总经理联席会议机制、电信基础设施共建共享机制、互联互通沟通协商机制、电信资费备案机制、应急通信保障机制、网络信息安全管理机制、电信法制工作协调机制等9项工作机制,进一步提高了电信管理工作效率。
(三)努力为群众办实事好事
我局充分发扬民主,坚持群众路线,从组织领导班子分析检查报告评议到开展群众满意度测评,广泛吸收群众参与,自觉接受群众监督。在整改落实工作中,坚持把人民群众得实惠作为开展学习实践活动的出发点和落脚点,将群众满意度作为衡量学习实践活动是否取得实效的重要标准,细化整改项目,逐项落实责任,使群众切实感受到了学习实践活动带来的新变化、新气象。把切实解决事关群众切身利益的服务热点问题作为头等大事来抓,逐项落实向群众承诺的好事实事。积极发展3G业务,加快以TD为重点的3G网络建设,使我省广大电信用户能够享受新一代的通信服务。提前1个月完成了TD二期郑州建设任务,实现了TD网络建设良好的开局。同时,全省17个省辖市的TD三期工程也已全面启动。扎实推进自然村“村村通电话”工程,进一步开发适合农村需要的电信业务和信息资源,加大支农、惠农力度,使更多的农民用得上、用得起、用得好电话。着力抓好垃圾短信息、电信资费套餐过多等群众关注的问题,切实改进电信服务质量。加强网站备案管理,制定《加强互联网网站备案管理工作方案》,不断提高网站设备备案和备案信息准确率,为省委宣传部等互联网相关内容主管部门做好支撑服务。同时,机关内部形成了干事创业、锐意进取的良好风气,党员干部精神面貌呈现出新的变化,进一步牢固树立了责任意识、服务意识、创新意识。
(四)保持电信行业平稳发展
我局将通过学习实践活动凝聚的共识、取得的成效、积累的经验转化为应对国际金融危机、保持电信行业平稳较快发展的强大动力,有力地推动了各项电信管理工作,促进了全省电信行业的科学发展。认真贯彻省委、工业和信息化部党组重大决策部署,准确把握“十一五”规划后期行业发展的基本态势、工作重点和指导方针,紧密跟踪、及时反馈实施中存在的问题,努力提高规划的指导性和可行性。积极争取省政府对3G建设的扶持政策,加快3G在我省的建设和应用,重点鼓励和扶持TD发展,扩大内需,拉动投资,促进我省经济社会发展。加强行业运行情况分析,关注金融危机对我省电信业的影响。完善统计分析指标体系,提高行业统计工作水平和宏观指导水平,促进了行业平稳较快发展。
三、存在不足及努力方向
我局学习实践活动整改落实工作虽然取得了预期效果,但与部省的要求相比还存在一些不足,主要是:对完成整改落实任务遇到的困难估计不足;不同部门之间的整改落实情况和成效还不平衡;一些矛盾和问题还有待进一步解决,等等。针对这些问题,我们将重点做好以下工作:
(一)继续抓好整改落实工作
把整改落实工作摆上重要议事日程,加强对整改落实工作的组织领导和督促检查。各单位、各处室主要负责同志作为整改落实工作的第一责任人,对有关工作亲自抓,加大整改落实力度,确保各项任务全面完成。有关单位按照任务分工,密切配合,形成上下联动、左右互动、通力合作、协调一致的工作格局。紧密结合电信管理工作实际,集中力量解决影响和制约全省电信行业科学发展的突出问题,努力办好群众普遍期待的实事好事,让群众看得见、感受到学习实践活动的成效。对于需要较长时间才能解决的问题,积极创造条件,深入调查研究,广泛征求意见,加强沟通协调,逐步加以解决。建立“挂号”整改、“销号”落实制度,列出问题清单,逐问题“挂号”整改,逐条目“销号”落实。建立信息反馈制度,牵头单位定期向党组报告解决问题的进展情况。建立公示监督制度,通过局网站、办公网,面向干部群众、面向服务对象、面向社会,公示解决问题情况,接受群众监督。
(二)继续开展学习实践活动“回头看”
以“讲党性修养、树良好作风、促科学发展”教育活动为载体,集中3个月的时间,对整个学习实践活动继续进行“回头看”:回头看学习,继续深化认识;回头看问题,深刻剖析原因;回头看成果,狠抓整改落实,加快整改进度,将“回头看”与完善体制机制结合起来;回头看作风,加强队伍建设。组织党员干部开展“四查四看”,即查理想信念和宗旨意识,看是否存在信念淡化、不思进取的问题;查工作作风,看是否存在办事不踏实、不严谨的问题;查法制观念,看是否存在执法不严、不文明、不作为的问题;查工作纪律,看是否存在党纪政纪观念松懈、自由散漫的问题。通过“四查四看”,努力打造一支政治坚定、业务精通、作风优良、廉洁勤政的高素质电信管理干部队伍。同时,通过开展“讲党性修养、树良好作风、促科学发展”教育活动,以坚强的党性和优良的作风保证科学发展观的贯彻落实,努力把全局党员干部建设成为贯彻落实科学发展观的坚定信仰者、忠诚实践者和积极推动者。
两个发展阶段
卫生监督中心信息安全等级保护工作大致经历了两个发展阶段。
启动与探索阶段(2007年~2008年):2007年12月,原卫生部组织专家组对部直属机关报送的信息安全等级保护定级情况进行了评审。卫生监督中心的卫生监督信息报告系统和卫生行政许可受理评审系统确定为第三级保护,卫生监督中心网站确定为第二级保护。卫生监督中心在了解了信息安全等级保护制度的同时,启动了信息安全等级保护相关工作。为摸清信息安全隐患,2008年卫生监督中心聘请了具有信息安全相关资质的信息安全咨询公司对等保涉及的信息系统进行了信息安全测评,并制定了相应的整改方案。由于2008年信息安全整改资金等原因,未开展相关整改工作。
发展阶段(2009年至今):本着统筹考虑、分布实施的原则,在实施国家级卫生监督信息系统建设项目之初就参照等级保护有关要求规划和设计业务应用系统及其运行环境,同时积极开展等级保护备案等工作。在国家级项目二期中,专项对信息安全进行加固。并每年邀请公安部信息安全等级保护评估中心,对卫生监督中心的第三级保护系统进行了安全等级测评。
截至目前,卫生监督中心共有3个信息安全等级保护第三级的信息系统,4个信息安全等级保护第二级的信息系统。
信息安全技术体系
卫生监督信息系统信息安全技术体系建设,严格遵循等级保护第三级的技术要求进行详细设计、技术选择、产品选型、产品部署。技术体系从物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等5个方面进行设计。
1.物理安全
卫生监督中心现有南北两个机房,机房及相关配套设施面积总计160平方米。北机房部署等级保护第三级信息系统,南机房部署等级保护第二级信息系统,实现了第三级系统与第二级系统物理环境隔离。根据等级保护有关要求,机房均采用了精密空调、门禁系统、环境监测系统等设备设施及技术手段,有效地保证了机房的物理安全。
2.网络安全
主干网络链路均采用双链路连接,关键网络、安全设备均采用双机冗余方式,避免单点故障。采用防火墙、入侵防护系统、DDoS系统进行边界防护,各网络区域之间采用防火墙进行区域隔离,在对外服务区部署了入侵检测系统,在交换服务区部署了网络审计系统。在核心数据区部署了数据库审计系统,对网络行为进行监控和记录。在安全管理区部署安全管理系统,实现设备日志的统一收集及分析。
3.主机安全
所有服务器和管理终端配置了密码安全策略;禁止用户远程管理,管理用户必须进入机房通过KVM进行本地管理;所有服务器和管理终端进行了补丁更新,删除了多余账户,关闭了不必要的端口和服务;所有服务器和管理终端开启了安全审计功能;通过对数据库的安全配置,实现管理用户和特权用户的分离,并实现最小授权要求。
4.应用安全
卫生监督中心7个应用系统均完成了定级备案,并按照等级保护要求开展了测评工作。应用服务器采取了集群工作部署,保证了系统的高可用性,同时建立了安全审计功能模块,记录登录日志、业务操作日志、系统操作日志3种日志,并实现查询和审计统计功能,配置了独立的审计账户。门户网站也采用了网页防篡改、DDoS等系统。信息安全等级保护第三级系统管理人员及高权限用户均使用CA证书登录相应系统。
5.数据安全及备份恢复
卫生监督信息报告系统数据库服务器使用了双机热备,应用服务器采用多机负载均衡,每天本地备份,保证了业务系统的安全、稳定和可靠运行。其余等级保护第三级信息系统使用了双机备份,无论是软件还是硬件问题,都可以及时准确地进行恢复并正常提供服务。同时,卫生监督中心在云南建立了异地数据备份中心,每天进行增量备份,每周对数据进行一次全备份。备份数据在一定时间内进行恢复测试,保证备份的有效性。
信息安全管理体系
在开展信息安全等级保护工作中,我们深刻体会到,信息安全工作“三分靠技术,七分靠管理”。为保证信息安全等级保护工作顺利进行,参考ISO/IEC 27001《信息安全管理体系要求》,卫生监督中心建立了符合实际工作情况的信息安全管理制度体系,明确了“统一领导,技管并重;预防为主,责权分明;重点防护,适度安全”的安全方针,涵盖等级保护管理要求中安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五大方面的要求。
卫生监督中心建立了较为完善的信息安全责任制,设立了信息安全领导小组,领导小组组长由卫生监督中心主任担任,成员由卫生监督中心有关处室负责人组成,信息处作为信息安全工作办公室负责卫生监督中心日常信息安全管理工作。信息处设立了信息安全管理岗位,分别为网络管理员、系统管理员、应用管理员、安全管理员、安全审计员、机房管理员,并建立了信息安全岗位责任制度。
此外,卫生监督中心依据上年度运维中存在的信息安全隐患每年对其进行修订,确保信息安全工作落到实处。
信息安全运维体系
在信息安全工作中,建立信息安全管理制度不是目的,要以信息安全等级保护有关要求指导信息安全运维实践。
卫生监督中心结合实际情况,编制了《国家级卫生监督信息系统运行维护工作规范》,从运行维护流程、资源管理和环境管理三个方面进行了规范,将安全运维理念落到实处。
运维人员在实际工作中,严格按照工作规范要求。利用卫生监督中心OA系统,建立了统一的服务台,实现了事件、问题的全流程闭环管理(即:发现问题、登记问题、解决问题、解决反馈、解决确认)。年均处理信息安全事件近百件,将信息安全问题消灭在萌芽阶段,有效地保证了信息系统稳定运行,保证了卫生监督中心信息安全目标和方针的实现。
信息安全等级保护实践经验
1.规范管理,细化流程
卫生监督中心从安全管理制度、安全管理组织机构及人员、安全建设管理和安全运维管理等方面建立了较为完善的安全管理体系。通过管理体系的建设,为国家级卫生监督信息系统运维管理工作中安全管理提供了重要指导。
国家级卫生监督信息系统运维工作从安全管理体系的建设中吸取了很多有益经验,不仅合理调配了运维管理人员,落实了运维管理组织机构和岗位职责,而且细化了运维管理流程,形成了“二级三线”的运维处理机制。
2.循序渐进,持续完善
购物车(0)
