《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號),明確指出將等級保護制度作為我國信息安全領域的一項基本制度。2010年發布的《關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知》(公信安[2010] 303號)明確指出,"2011年底前完成第三級(含)以上信息系統的測評工作,2012年底之前完成第三級(含)以上信息系統的安全建設整改工作!痹谥贫缺WC的前提下,各企業和組織要明確信息系統等級保護建設思路,才能事半功倍,確實提升信息系統安全保障能力。
一、信息安全等級保護的情況介紹
實施信息安全等級保護,能夠有效地提高我國信息和信息系統安全建設的整體水平,有利于在信息化建設過程中同步建設信息安全設施,保障信息安全與信息化建設相協調;有利于為信息系統安全建設和管理提供系統性、針對性、可行性的指導和服務,有效控制信息安全建設成本;有利于優化信息安全資源的配置,重點保障基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統的安全;有利于明確國家、法人和其他組織、公民的信息安全責任,加強信息安全管理;有利于推動信息安全產業的發展。
國內信息安全等級保護工作的開展是一個隨著計算機技術的發展和業務對計算機系統依賴性逐漸增加,不斷發展和完善起來的!秶倚畔⒒I導小組關于加強信息安全保障工作的意見》正式出臺,明確提出非涉密信息系統遵循等級保護思想進行信息安全建設。公安部網絡安全保衛局在全國開展等級保護工作試點,先后發布了信息系統定級、備案、整改建設、等級測評等各重要環節的有關文件,指導等級保護工作開展。其中2009年的公信安1429號文《關于開展信息安全等級保護安全建設整改工作的指導意見》明確提出2012年年底前完成已定級信息系統的整改工作。
等級保護的技術體系也基本成型,目前涉及到等級保護建設的技術標準和規范大約有30多個,主要包括了技術、管理、產品、建設流程等各方面的內容,如:定級指南、備案細則、實施指南、安全設計、基本要求、測評過程要求、測評指南,使得等級保護工作在各個環節都有具體的技術標準可以參考。
二、工作思路與建設原則
對于具有分支機構的大型企業組織來說,信息安全工作已經有等級保護的制度和技術體系做依托,更多的是在實踐中摸索出適合本企業組織信息系統安全建設的工作思路與建設原則。
統一規劃、統一標準、統籌協調
統一規劃:統一制訂規劃建設推進方案、等級保護工程建設方法,各信息系統均需要參照規劃方案實施,不能自行規劃。
統一標準:統一組織制訂等級保護建設的流程、步驟、技術和管理規范,確保上下銜接、互聯互通。
統籌協調:統籌全局,協調各分支機構或各業務系統之間的資源共享、業務協同,聯合推進等級保護建設。
分級建設、分步實施、分類指導
分級建設;統一組織等級保護項目建設;各分支機構在總體方案的指導下,負責信息系統在本區域范圍內的建設和安全運營維護。
分步實施根據目前等級保護項目建設基礎條件和特點,采用分批分期建設方式開展項目建設。
分類指導:對干不同的信息系統,采用不同的組織管理模式、工作機制和推進方式。
加強管理
加強管理:落實等級保護項目建設組織機構、責任部門,科學調度,加強項目過程管理,確保項目取得成功。
建設原則
法規遵循:應嚴格執行國家法律法規、相關主管部門的要求。
科學管理:嚴謹、先進的技術項目實施與科學、規范的項目實施管理手段相結合,以提高整體項目實施的效率,保證項目質量,縮短項目工期,降低項目成本。
平穩過渡項目包含子系統較多,且項目需要進行網絡改造,在項目實施時,采用分項,循序漸進的方式,保證系統改造不影響日常辦公的使用,平穩過渡。
適當先進:綜合考慮本單位實際情況,在結合實際的基礎上,確保建成的信息系統能夠符合當前網絡技術、信息技術發展的趨勢,具有一定的先進性,在未來5年內能滿足科研生產任務和國家法律法規相關要求的實際需要。
便于維護:系統應具有良好的可擴展性和可維護性,部署便利、使用簡便、維護集中,并可以實現服務和應用的靈活擴展。
重視培訓:系統是按計劃分步實施的,培訓也將隨著項目的各個階段分期進行,并根據培訓的效果做出相應的調整,以達到更好的培訓的效果。
三、信息安全保障體系總體框架
信息安全保障體系總體框架
在進行信息安全等級保護安全建設工作中,嚴格遵循國家等級保護有關規定和標準規范要求,堅持管理和技術并重的原則,將技術措施和管理措施有機結合,建立信息系統綜合防護體系,提高信息系統整體安全保護能力。非涉密信息系統總體安全框架如圖1所示。
圖1 信息安全保障體系總體框架
總體安全框架是將等級保護基本要求、技術設計要求與安全防護需求充分融合,采用“一個中心、兩大體系、三重防護”為企業組織提供體系化的防護能力,確保系統安全運行。
四、信息安全管理體系的建設
信息安全管理制度是信息安全領域各種規則的制度化的體現,在信息化相關活動中起著統一目標、規范流程、保障信息安全實施效果的重要作用。通過對信息安全制度規范的決策,首先從高層確保企業組織的信息安全工作“有法可依”,推動信息安全制度建設工作,營造一個積極的信息安全控制環境。
信息安全管理體系的建設,我們要考慮以下幾個方面:一、安全管理制度框架、安全管理制度、規范、流程及表單;二、信息安全管理機構、崗位;三、人員安全管理;四、系統建設管理;五、系統運維管理。六、合規性的電子化管理。
企業組織的等級保護工作也需要信息化的手段來進行約束。信息系統合規性監管系統就是將等級保護相關基本要求以及風險管理與控制體系建設方法及過程,按照以重要信息系統為基礎、以等級保護建設工作流為核心、以等級保護基本要求進行建模、加以等級保護控制措施進行分析,通過風險評估看清風險,通過體系建設制定任務,通過體系保障完整建設。從而規范等級保護建設管理與控制體系的建設過程,提升組織信息安全風險管理與控制體系的完備性及有效性。
五、信息安全技術體系的建設
信息安全技術體系規劃設計流程
信息安全技術體系規劃設計流程包括五個階段:系統調研階段、安全域規劃、系統定級、技術體系設計、技術手段落實。對應的輸出是:業務系統調研文檔、安全域規劃方案、業務系統定級方案、業務系統安全防護方案、初步設計文檔技術體系部分。
信息安全技術體系設計原則
設計信息系統技術安全解決方案時,應遵循以下原則:
風險(需求)、成本〔投入)及效果(收益)相平衡的原則
對任何一個信息系統來說,絕對安全是難以達到的。信息安全技術體系建設的最高原則是風險、成本及效果三原則相結合的結果。
綜合性、整體性、一致性原則
一個組織的信息系統安全防護是系統工程,必須建立信息安全的完整體系。任何一個新建項目的設計都要遵循該組織有關信息化建設或信息安全建設總體規劃的要求。
可擴展、可發展性原則
信息安全工作是一個螺旋上升的過程。在信息安全技術體系設計時要充分繼承該組織現有的信息安全基礎設施,避免重復投資。同時平衡考慮滿足當前正在建設的業務應用及未來的業務發展要求。
信息安全技術建設工作步驟
信息安全技術體系建設涉及業務領域的各個環節,在風險評估的基礎上,結合實際業務應用,根據各系統訪問控制需求,科學、合理的劃分“安全域”,是整個信息安全技術體系建設的首要工作。
安全域劃分
通過劃分安全域,明確網絡邊界,才能便于實現網絡區域、物理區域之間的有效隔離和訪問控制。安全域劃分的目的是把一個大規模復雜系統的安全問題,化解為更小區域的安全保護問題,是實現大規模復雜信息系統安全等級保護的有效方法。
在企業或組織中,我們通常會看到這樣的區域互聯網業務發布區、企業內網工作區和數據交換區。具體到一個重要的信息系統,比如視頻業務系統就可以細化為生產制作區域、共享區域、播出區域、安全管理區域。
明確安全域的防護手段
信息安全技術體系是利用各種安全技術、產品以及工具作為安全管理和運行落實的重要手段、最終支撐信息安全體系的建設。防護手段分了五個方面:身份認證、訪問控制、內容安全、監控審計與備份恢復。這里我們要重點強調身份認證,統一的身份管理和統一的認證管理是技術體系的前提保障,有了完善的身份認證的基礎架構,我們的業務才能夠順暢開展,才有可能回答這樣一個安全問題“什么人、什么時間、做了什么事情?”
確保防護手段的合規性
在選擇安全防護技術時,我們應充分考慮遵循國家等級保護的相關技術標準,以確保合規性。圖2為信息系統等級保護二、三、四級技術要求。
圖2 信息系統等級保護等級要求
確保防護手段的適應性
結合企業或組織的現狀、經費預算、建設階段和實際需求,在各安全域的防護設計過程中充分考慮適應性。
計算環境的安全防護設計
計算環境包含了重要應用系統的核心主機或服務器、數據庫服務器、存儲系統等。我們重點考慮的是身份鑒別、訪問控制、資源控制數據完整性、數據保密性與備份恢復。在這里我們要強調應用開發環節在安全防護設計中的重要性,如編碼安全、基于用戶身份的資源訪問控制和行為審計、基于應用設計的流量控制方法,這些都可以有效減少硬件安全產品的部署,提升業務連續性能力。
邊界接入與網絡設施安全防護設計
網絡設施主要包括了網絡骨干區域、網絡接人區域。我們可以把它看成公共的基礎性區域,是企業各個應用系統出口的高速公路,是企業連續性要求的重要依托。我們強調的是結構化的安全、安全審計與網絡設備自身的防護。
終端接入安全防護設計
隨著企業和組織的業務發展,組網技術的發展,終端的定義越來越寬泛,接人的形式也越來越多樣化。信息安全問題直接延伸到企業人員使用的端點設備上。我們應重點強調身份鑒別、惡意代碼防范和用戶行為控制,同時也要意識到易用性與安全的平衡。
六、信息安全運維體系的建設
企業和組織的信息化過程已經從大規模建設階段逐步轉型為“建設和運維”并舉的階段。我們可以看到大多數的信息安全運維體系的服務水平處在一個被動的階段。主要表現在信息技術和設備的應用越來越多,但運維人員在信息系統出現安全事件的時候卻茫然不知所措。因此,行之有效的信息安全運維體系,是信息安全管理體系與信息安全技術體系落地的根本之道。
運維服務的發展趨勢與階段劃分
安全運維服務通常可以分為五個階段:混亂、被動、主動、服務和價值階段。"NSM一ITSM-}BSM”將是IT管理逐步提升的經典路線模型,反映了IT的運營作為一個新興的企業活動逐步成熟,持續提升。NSM(針對IT技術設施的網絡系統管理)、ITSM(針對流程、人員管理的IT服務管理),BSM(業務服務管理)這些目前己經被廣泛應用的理念,在IT管理的發展過程中,發揮了巨大的作用。
安全運維體系的構建
目前條件下的安全運維體系可以分三個階段構建:
第一階段從“被動響應”到“主動管理”,是采用NSM實現管理提升的階段。通過實現對技術元素的數據收集和分析,獲得從整個IT信息環境到每個計算實體元素的運行狀態信息,因此也能夠在故障發生時或者發生之前采取主動的管理操作,實現對工T技術設施的有效掌控和管理,有效提高IT環境的運行質量。建立安全運維監控中心實現第一階段目標
第二階段:從“主動管理”到“服務導向”,采用ITSM實現管理提升。在實現了對所有IT技術元素的全面監控以后,IT技術設施的運行質量有了明顯改善,但仍未從根本上解決“意外問題”的發生。全球范圍內的調查表明,IT問題的出現,除了和設備元素本身的可靠性、性能等密切相關以外,更多的問題(超過80%)是由于IT運維人員沒有按照規范的操作流程來進行日常的維護管理,缺乏有效的協同機制等造成的。也就是說,管理的缺位,而不是技術設施本身的問題阻礙了企業IT部門工作效率的提高。借鑒并融合ITIL(信息系統基礎設施庫)/ITSM (IT服務管理)建立安全運維事件響應中心,借助圖形化、可配置的工作流程管理系統,將運維管理工作以任務和工作單傳遞的方式,通過科學的、符合用戶運維管理規范的工作流程進行處置,處理過程電子化流轉、減少人工錯誤,實現對事件、問題處理過程中的各個環節的追蹤、監督和審計。
第三階段:從“服務管理”到“業務價值”,采用BSM實現管理提升。在信息時代,企業的發展和IT環境的成熟是一個互相驅動、交替上升的過程。商業社會中,企業作為一個經濟運行實體,其所有的活動和投人都是圍繞利益產出的目標進行的。在當前激烈的商業競爭環境中,企業正不斷地進行變革,以適應市場和用戶的需求。作為業務重要支撐元素的IT正面臨著越來越大的挑戰。如何充分利用已有的IT資源并持續優化資源配置,如何實現IT和業務目標相統一、持續推動業務發展、創造商業價值,己經成為眾多企業信息部門主管、CIO、甚至更高層管理人員的重要難題。建立以信息資產管理為核心的安全運維審核評估中心是這一階段的工作目標。能夠實現信息系統運行質量、服務水平、運維管理工作績效的綜合評估、考核、審計:能夠實現關鍵業務的配置管理、關鍵業務與基礎設施的關聯、關鍵業務的綜合運行態勢的把握。
七、結束語
在信息安全保障體系總體框架的指導下,注重信息安全管理體系、技術體系和運維體系的建設。充分意識到等級保護建設整改過程中的政策和技術發展的風險,注重安全技術手段的適用性,就可以有效地解決企業和組織面臨的安全問題,按照“明確重點、突出重點、保護重點”的原則,將有限的財力、物力、人力投人到重要信息系統的安全保護中,逐步推進企業信息系統安全保障水平。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:信息系統等級保護建設思路