• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      基于等級(jí)測(cè)評(píng)實(shí)踐的信息安全狀況分析

      2016-12-10 19:10:45祝利鋒
      信息化建設(shè) 2016年10期
      關(guān)鍵詞:運(yùn)維信息系統(tǒng)信息安全

      祝利鋒

      信息安全等級(jí)保護(hù)是對(duì)信息和信息載體按照重要性等級(jí)分級(jí)別進(jìn)行保護(hù)的一種工作。

      近年來(lái),隨著信息安全等級(jí)保護(hù)工作機(jī)制的不斷完善,主管部門(mén)監(jiān)督檢查力度的不斷加大,信息系統(tǒng)開(kāi)展等級(jí)測(cè)評(píng)的數(shù)量穩(wěn)步增長(zhǎng),測(cè)評(píng)覆蓋率顯著提升。通過(guò)統(tǒng)計(jì)分析本單位近些年測(cè)評(píng)的數(shù)百個(gè)信息系統(tǒng)的數(shù)據(jù),可以得出以下結(jié)論:一是較早開(kāi)展等級(jí)測(cè)評(píng)的行業(yè),經(jīng)過(guò)測(cè)評(píng)和整改建設(shè),測(cè)評(píng)符合率逐年提高;二是隨著等級(jí)測(cè)評(píng)工作的持續(xù)推進(jìn),近期才開(kāi)展首次測(cè)評(píng)的行業(yè)特別是基層單位的信息安全工作基礎(chǔ)較薄弱,測(cè)評(píng)得分明顯偏低。通過(guò)對(duì)物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等10個(gè)層面的測(cè)評(píng)結(jié)果進(jìn)行統(tǒng)計(jì),其中網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、系統(tǒng)運(yùn)維管理等方面的不符合率相對(duì)較高,信息系統(tǒng)的建設(shè)、使用、運(yùn)維階段存在一些較普遍的問(wèn)題。

      信息系統(tǒng)安全保護(hù)措施落實(shí)情況分析

      整體而言,隨著等級(jí)測(cè)評(píng)工作的持續(xù)推進(jìn),黨政機(jī)關(guān)、企事業(yè)單位對(duì)信息系統(tǒng)安全等級(jí)保護(hù)的認(rèn)識(shí)和重視程度得到普遍提升,在管理和技術(shù)兩方面主要采取了以下安全措施:

      信息安全管理措施落實(shí)情況

      在信息安全管理方面呈現(xiàn)出兩級(jí)分化的特點(diǎn)。一些重點(diǎn)行業(yè)的業(yè)務(wù)信息化程度高、自身信息技術(shù)隊(duì)伍力量足、信息安全投入經(jīng)費(fèi)有保障,其安全管理措施一般也能得到有效落實(shí),在機(jī)構(gòu)、人員、制度、建設(shè)管理、運(yùn)維管理等方面均能較好地符合相關(guān)標(biāo)準(zhǔn)的要求。這一類的典型包括銀行、證券、電力等行業(yè)主管部門(mén)對(duì)信息安全監(jiān)管嚴(yán)格的幾大行業(yè)。相反,部分對(duì)信息系統(tǒng)管控相對(duì)松散的單位如大專院校、在信息安全投入方面得不到充分保障的單位如基層政府部門(mén),其信息安全專業(yè)人員的配備達(dá)不到標(biāo)準(zhǔn)規(guī)范的要求,安全責(zé)任部門(mén)地位偏低權(quán)限不足,很難制定并有效貫徹落實(shí)結(jié)合本單位實(shí)際的信息安全管理制度。

      信息安全技術(shù)措施落實(shí)情況

      多數(shù)單位通過(guò)部署邊界安全設(shè)備,強(qiáng)化入侵防范措施來(lái)提高網(wǎng)絡(luò)的安全性;通過(guò)加固操作系統(tǒng)和數(shù)據(jù)庫(kù)的安全策略,啟用安全審計(jì),安裝殺毒軟件等措施,來(lái)提高主機(jī)安全防護(hù)水平;通過(guò)開(kāi)發(fā)應(yīng)用系統(tǒng)的安全模塊,從身份鑒別、訪問(wèn)控制、日志記錄等方面,強(qiáng)化業(yè)務(wù)應(yīng)用的安全性;通過(guò)部署數(shù)據(jù)備份設(shè)備、加密措施,加強(qiáng)對(duì)數(shù)據(jù)安全的保護(hù)。

      信息系統(tǒng)常見(jiàn)安全問(wèn)題分析

      隨著等級(jí)測(cè)評(píng)工作的覆蓋面進(jìn)一步擴(kuò)大,近年來(lái)初次測(cè)評(píng)的單位和基層部門(mén)仍發(fā)現(xiàn)一些典型問(wèn)題。

      信息安全意識(shí)有待提高

      很多單位對(duì)當(dāng)前日趨嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)認(rèn)識(shí)不足,將信息安全工作視為被動(dòng)應(yīng)付上級(jí)檢查、被動(dòng)應(yīng)對(duì)安全事件的任務(wù)來(lái)消極對(duì)待。一些單位認(rèn)為取得“基本符合”的測(cè)評(píng)結(jié)論就高枕無(wú)憂,完成測(cè)評(píng)備案就完成了等級(jí)保護(hù)。由此造成對(duì)信息安全合規(guī)的落實(shí)不夠、資金和人員投入不足、重建設(shè)輕運(yùn)維、有制度無(wú)執(zhí)行、有預(yù)案不演練等問(wèn)題,根源還是安全意識(shí)薄弱。

      信息安全管理有待加強(qiáng)

      信息安全管理不到位主要表現(xiàn)在安全管理制度、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等方面。

      信息安全管理制度不完善?;鶎訂挝恍畔踩芾碇贫炔蝗?、人員配備不足、授權(quán)審批流于形式、執(zhí)行記錄缺失等問(wèn)題較為常見(jiàn)。部分單位的信息安全管理制度照搬模版,未結(jié)合本單位實(shí)際進(jìn)行修訂,導(dǎo)致缺乏可操作性。

      系統(tǒng)建設(shè)管理不到位。系統(tǒng)建設(shè)過(guò)程中落實(shí)信息安全“同步建設(shè)”原則不到位。在軟件開(kāi)發(fā)階段較普遍未遵循安全編碼規(guī)范,導(dǎo)致安全功能缺失、應(yīng)用層漏洞頻現(xiàn)。在系統(tǒng)驗(yàn)收階段,很多單位僅注重業(yè)務(wù)功能驗(yàn)收,缺乏專門(mén)的安全性測(cè)試;電子政務(wù)類項(xiàng)目較普遍未按規(guī)定在項(xiàng)目驗(yàn)收環(huán)節(jié)完成“一證兩報(bào)告”(即等級(jí)測(cè)評(píng)報(bào)告、風(fēng)險(xiǎn)評(píng)估報(bào)告和系統(tǒng)備案證明)。

      系統(tǒng)運(yùn)維管理不到位。在系統(tǒng)運(yùn)維管理方面,部分單位運(yùn)維和開(kāi)發(fā)崗位不分,職責(zé)不清,存在一人身兼數(shù)職現(xiàn)象。很多單位在信息資產(chǎn)管理、介質(zhì)管理、變更管理等方面缺乏操作規(guī)程和相關(guān)記錄,數(shù)據(jù)備份策略不明,應(yīng)急預(yù)案不完善并缺乏演練。

      關(guān)鍵技術(shù)措施有待落實(shí)

      分析近年來(lái)的測(cè)評(píng)結(jié)果,安全技術(shù)措施不足問(wèn)題主要體現(xiàn)在以下幾個(gè)方面:

      在物理安全方面,隨著電子政務(wù)集約化建設(shè)的推進(jìn),大量信息系統(tǒng)已經(jīng)集中到高規(guī)格的專業(yè)機(jī)房,但仍有部分單位自有機(jī)房條件簡(jiǎn)陋,位置選擇不規(guī)范,出入管理較隨意,防盜防破壞、防雷防火防潮能力較差,環(huán)境監(jiān)控措施不足。

      在網(wǎng)絡(luò)安全方面,常見(jiàn)網(wǎng)絡(luò)和安全設(shè)備的配置不到位,如未合理劃分區(qū)域、未精細(xì)配置訪問(wèn)控制策略、未對(duì)重要設(shè)備做地址綁定等;較普遍缺少專業(yè)審計(jì)系統(tǒng)。部分單位設(shè)備老舊,安全產(chǎn)品本身存在一定缺陷導(dǎo)致無(wú)法滿足等級(jí)保護(hù)要求。個(gè)別單位用于生產(chǎn)控制的重要信息系統(tǒng)在網(wǎng)絡(luò)層面未采取必要安全措施的同時(shí),還違規(guī)接通互聯(lián)網(wǎng),存在極大的安全隱患。

      在主機(jī)安全方面,部分單位存在弱口令、不啟用登錄失敗處理和安全審計(jì)功能、不及時(shí)更新補(bǔ)丁、不關(guān)閉非必要服務(wù)等問(wèn)題。此外,由于主流操作系統(tǒng)和數(shù)據(jù)庫(kù)很少支持強(qiáng)制訪問(wèn)控制機(jī)制,相關(guān)要求普遍未落實(shí)。

      在應(yīng)用安全方面,很多應(yīng)用軟件安全功能不足,缺少身份鑒別、審計(jì)日志、信息加密等能力。由于很少進(jìn)行安全掃描、滲透測(cè)試,相當(dāng)一部分系統(tǒng)存在高危風(fēng)險(xiǎn),如SQL注入、跨站腳本、文件上傳等漏洞,以及弱口令、網(wǎng)頁(yè)木馬等問(wèn)題。

      在數(shù)據(jù)安全方面,較常見(jiàn)的是數(shù)據(jù)保密性和完整性措施薄弱。此外,部分信息系統(tǒng)的備份和恢復(fù)措施欠完善,缺乏有效的災(zāi)難恢復(fù)手段。

      針對(duì)新技術(shù)的等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)有待出臺(tái)

      隨著浙江政務(wù)服務(wù)網(wǎng)的大力推進(jìn),省內(nèi)各級(jí)政務(wù)云平臺(tái)的建設(shè)使用已全面開(kāi)展,有相當(dāng)數(shù)量的電子政務(wù)系統(tǒng)已遷移上云。同時(shí)涉及城市公共設(shè)施、水電氣等工控系統(tǒng)密集的行業(yè)對(duì)等級(jí)保護(hù)工作越來(lái)越重視,對(duì)云計(jì)算、工控系統(tǒng)、移動(dòng)APP等的測(cè)評(píng)需求不斷加大。但現(xiàn)有的《GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》未涉及云計(jì)算、工業(yè)控制、移動(dòng)互聯(lián)等領(lǐng)域,在測(cè)評(píng)實(shí)踐中已遇到諸多不適應(yīng)情況。針對(duì)這些新技術(shù)新應(yīng)用的等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)需求已非常迫切。

      重要信息系統(tǒng)安全保護(hù)對(duì)策建議

      針對(duì)上述存在的問(wèn)題,本文提出以下對(duì)策建議,以供參考。

      提高信息安全意識(shí)

      提高全員信息安全意識(shí)是全面提升信息安全保障水平的根本解決之道。要樹(shù)立全體人員的安全觀念,加強(qiáng)信息安全培訓(xùn)。除了通過(guò)強(qiáng)化工作考核和安全檢查來(lái)督促信息安全工作的深入開(kāi)展,還應(yīng)通過(guò)多種方式開(kāi)展信息安全政策解讀和信息安全標(biāo)準(zhǔn)宣貫,強(qiáng)化對(duì)全員的安全意識(shí)教育和考查。建議結(jié)合一些合適的安全職業(yè)技能培訓(xùn),落實(shí)信息安全相關(guān)崗位“持證上崗”的要求。

      加強(qiáng)信息安全管理

      “三分技術(shù),七分管理”,各單位應(yīng)轉(zhuǎn)變觀念,將“信息安全”與“系統(tǒng)穩(wěn)定、功能正常”同等重視起來(lái),將安全管理要求與自身業(yè)務(wù)緊密結(jié)合,制訂完善的體系化的安全管理制度。

      在系統(tǒng)建設(shè)管理過(guò)程中,應(yīng)要求開(kāi)發(fā)人員遵循安全編碼規(guī)范進(jìn)行開(kāi)發(fā);在系統(tǒng)驗(yàn)收環(huán)節(jié),應(yīng)認(rèn)真做好安全性驗(yàn)收測(cè)試。在電子政務(wù)領(lǐng)域應(yīng)落實(shí)國(guó)家對(duì)電子政務(wù)項(xiàng)目管理的制度要求,驗(yàn)收階段完成等級(jí)測(cè)評(píng),未通過(guò)測(cè)評(píng)的應(yīng)不予驗(yàn)收。

      在系統(tǒng)運(yùn)維管理方面,應(yīng)加強(qiáng)制定信息系統(tǒng)日常管理操作的詳細(xì)規(guī)范,明確定義工作流程和操作步驟,使日常運(yùn)行管理制度化、規(guī)范化。對(duì)信息資產(chǎn)按重要性進(jìn)行分類梳理,建立完善應(yīng)急災(zāi)備措施,定期開(kāi)展演練,確保備份的有效性。

      落實(shí)關(guān)鍵技術(shù)措施

      針對(duì)測(cè)評(píng)發(fā)現(xiàn)的問(wèn)題,各單位應(yīng)根據(jù)系統(tǒng)所定級(jí)別,結(jié)合自身?xiàng)l件,綜合考慮問(wèn)題的影響范圍、嚴(yán)重程度、整改難度等因素,制定整改計(jì)劃,有步驟地落實(shí)相關(guān)技術(shù)措施。對(duì)于策略配置類的問(wèn)題及時(shí)糾正;對(duì)于整改難度大、需要添置硬件或修改代碼的問(wèn)題,應(yīng)在充分測(cè)試和試運(yùn)行的基礎(chǔ)上實(shí)施整改。對(duì)于強(qiáng)制訪問(wèn)控制、敏感標(biāo)記、雙因子鑒別等難點(diǎn)問(wèn)題,建議國(guó)家加強(qiáng)相關(guān)產(chǎn)業(yè)政策的引導(dǎo),促進(jìn)安全廠商研發(fā)技術(shù)、推出產(chǎn)品,解決市場(chǎng)供應(yīng)問(wèn)題。各級(jí)主管部門(mén)應(yīng)通過(guò)測(cè)評(píng)、整改、監(jiān)督檢查、再測(cè)評(píng)的閉環(huán)管理,督促關(guān)鍵技術(shù)措施的落實(shí)。

      加快新技術(shù)的等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)編制工作

      目前公安部信息安全等級(jí)保護(hù)評(píng)估中心在牽頭起草針對(duì)云計(jì)算安全的等級(jí)保護(hù)標(biāo)準(zhǔn),尚處于征求意見(jiàn)階段。其余新技術(shù)領(lǐng)域的等級(jí)保護(hù)標(biāo)準(zhǔn)制定工作進(jìn)度更晚,隨著智慧城市、云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)、工業(yè)控制等新技術(shù)的快速應(yīng)用,安全標(biāo)準(zhǔn)相對(duì)滯后的問(wèn)題更加突出,應(yīng)進(jìn)一步加快相關(guān)新標(biāo)準(zhǔn)的制定。

      (作者單位:浙江省發(fā)展信息安全測(cè)評(píng)技術(shù)有限公司 )

      猜你喜歡
      運(yùn)維信息系統(tǒng)信息安全
      企業(yè)信息系統(tǒng)安全防護(hù)
      哈爾濱軸承(2022年1期)2022-05-23 13:13:18
      運(yùn)維技術(shù)研發(fā)決策中ITSS運(yùn)維成熟度模型應(yīng)用初探
      風(fēng)電運(yùn)維困局
      能源(2018年8期)2018-09-21 07:57:24
      基于區(qū)塊鏈的通航維護(hù)信息系統(tǒng)研究
      電子制作(2018年11期)2018-08-04 03:25:54
      保護(hù)信息安全要滴水不漏
      信息系統(tǒng)審計(jì)中計(jì)算機(jī)審計(jì)的應(yīng)用
      高校信息安全防護(hù)
      雜亂無(wú)章的光伏運(yùn)維 百億市場(chǎng)如何成長(zhǎng)
      能源(2017年11期)2017-12-13 08:12:25
      基于SG-I6000的信息系統(tǒng)運(yùn)檢自動(dòng)化診斷實(shí)踐
      基于ITIL的運(yùn)維管理創(chuàng)新實(shí)踐淺析
      孟州市| 池州市| 黑水县| 阳曲县| 广河县| 南郑县| 泾源县| 西吉县| 东乌珠穆沁旗| 淮阳县| 通海县| 读书| 岢岚县| 韶关市| 彭山县| 曲水县| 云林县| 新疆| 云龙县| 嘉兴市| 肃宁县| 运城市| 泰和县| 沁水县| 长丰县| 新田县| 万山特区| 寿阳县| 林口县| 麻栗坡县| 桂东县| 扶沟县| 岳普湖县| 常州市| 正定县| 睢宁县| 理塘县| 南安市| 三明市| 仙游县| 宝山区|