下载文档原格式
三级等级保护下的信息系统安全加固作者:兰荆涛潘卫何启兵来源:《电子技术与软件工程》2019年第05期摘要;;; 本文结合信息系统的现状,通过对照分析与信息系统安全三级等级保护要求的差距,设计出具有针对性的整体安全加固方案,并且付诸实施建设。
在满足自身网络安全目标和等级保护标准要求的情况下,也为其它同类型单位开展安全等级保护备案工作提供参考依据。
【关键词】三级等级保护网络信息安全安全加固等级保护备案随着信息化的不断发展,信息化建设的不断深入,网络信息安全的问题也逐步引起大家的重视,进而安全建设也显得愈发重要。
近年来,维护和保障网络信息安全已经成为各国领导人的共识,并且已经上升到了国家安全的战略高度。
习近平总书记在主持召开中央网络安全和信息化领导小组第一次会议时强调“网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题”和指出“没有网络安全就没有国家安全,没有信息化就没有现代化”。
而信息安全等级保护是我国信息安全保障的一项基本制度和方法,开展信息安全等级保护工作是促进信息化发展,保障国家信息安全的重要举措。
核工业西南物理研究院是我国的基础科研机构,信息系统的正常运行非常重要。
按照国家网络安全法及公安部、工业和信息化部等上级部门的规定,核工业西南物理研究院的门户网站和邮件两个信息系统需要达到三级信息系统安全等级保护的要求,并通过第三方等级保护测评机构的测评,取得属地公安部门出具的相关等级保护备案证明。
但是,目前使用的信息系统其安全性与三级等级保护的要求相比还有相当差距,存在较大的安全隐患。
因此,需对核工业西南物理研究院现有的信息系统进行整体安全加固。
1 安全加固背景1.1 需求分析核工业西南物理研究院的门户网站系统主要用于向社会公众发布公开的院务信息和工作动态,提供研究成果展示等,一旦业务信息遭到入侵破坏,将对研究院的社会形象造成特别严重影响,同时影响正常社会秩序,出现较严重的法律问题,造成严重社会不良影响;邮件系统主要用于研究院用户内部办公联络以及与国内外相关单位和组织沟通交流,一旦业务信息遭到入侵破坏,将造成内部信息泄露或中断对外联系。
网络安全等级保护设计方案(三级)-技术体系设计XXX科技有限公司20XX年XX月XX日目录一安全计算环境 (3)1.1 用户身份鉴别 (3)1.2 自主访问控制 (6)1.3 标记和强制访问控制 (7)1.4 系统安全审计 (8)1.5 用户数据完整性保护 (9)1.6 用户数据保密性保护 (10)1.7 数据备份恢复 (11)1.8 客体安全重用 (14)1.9 可信验证 (14)1.10 配置可信检查 (16)1.11 入侵检测和恶意代码防范 (16)1.12 个人信息保护 (16)二安全区域边界 (17)2.1 区域边界访问控制 (17)2.2 区域边界包过滤 (18)2.3 区域边界安全审计 (18)2.4 区域边界完整性保护 (19)2.5 入侵防范 (21)2.6 恶意代码和垃圾邮件防范 (22)2.7 可信验证 (22)三安全通信网络 (23)3.1 网络架构 (23)3.2 通信网络安全审计 (26)3.3 通信网络数据传输完整性保护 (28)3.4 通信网络数据传输保密性保护 (28)3.5 可信连接验证 (29)四安全管理中心 (29)4.1 系统管理 (29)4.2 安全管理 (30)4.3 审计管理 (30)4.4 集中管控 (31)五安全物理环境 (32)5.1 物理位置选择 (32)5.2 物理访问控制 (33)5.3 防盗窃和防破坏 (33)5.4 防雷击 (33)5.5 防火 (34)5.6 防水和防潮 (34)5.7 防静电 (35)5.8 温湿度控制 (35)5.9 电力供应 (35)5.10 电磁防护 (36)5.11 智慧机房安全建设 (36)六结论 (37)一安全计算环境依据《网络安全等级保护安全设计技术要求》中的第三级系统“通用安全计算环境设计技术要求”,同时参照《网络安全等级保护基本要求》等标准要求,对等级保护对象涉及到的安全计算环境进行设计,设计内容包括用户身份鉴别、自主访问控制、标记和强制访问控制、系统安全审计、用户数据完整性保护、用户数据保密性保护、数据备份恢复、客体安全重用、可信验证、配置可信检查、入侵检测和恶意代码防范、个人信息保护等方面。
等保2.0下,高校如何设计网络安全方案?自“数字校园”的建设目标提出以来,全国各高校的信息化水平便以极大步调高速发展。
在这样的发展形势下,各类网络信息系统如雨后春笋一般在高校出现和发展。
每一项工作,甚至每个项目,均能衍生出多个信息系统。
时至今日,“数字校园”已升格为“智慧校园”,而高校教学的教学、科研、管理等均高度依赖于信息化手段的支撑。
各类网络信息系统的出现最初是为了解决高校的管理问题,而这些系统的盲目建设又引发了新一轮的管理问题。
国家政策法规对于我们解决这些问题提供了依据和指导意见。
早在2008年,我国公安部即颁布《信息安全技术信息系统安全等级保护基本要求(GB/T22239-2008)》(以下简称等保1.0)。
根据标准,高校作为信息系统的建设者和运营者,应对其进行定级并实施分级保护。
2019年12月1日,《信息安全技术网络安全等级保护基本要求(GB/T22239-2019)》(以下简称等保2.0)的正式实施标志着我国的信息安全等级保护工作已从1.0时代跨入2.0时代[1]。
等保2.0在等保1.0的基础上进行了优化和调整,扩大了等级保护对象的范围,变被动防御为主动防御,明确了“一个中心,三重防护”的防护体系[2]。
等保2.0明确指出,网络运营者应根据保护对象的安全保护等级及其他级别保护对象的关系进行安全整体规划和安全方案设计[3]。
因此高校亟需对学校整体网络安全进行规划,形成安全方案。
安全方案应该实现涵盖全校网络信息系统的目标,并综合考虑学校信息化和网络安全的现状和发展趋势,以便对学校网络安全工作起到规范和指导作用。
设计原则和总体安全架构设计原则高校网络安全方案设计应遵循如下原则:1.符合等保2.0标准。
在进行高校网络安全方案设计时,应以等保2.0标准为基本依据,方案内容与标准中的控制点应形成对应关系,确保安全方案实施后学校的网络安全工作切实符合等级保护相关要求。
2.立足校级层面,力求通用性。
政务云三级等保建设方案探讨政务云是指政府机关利用云计算技术将信息资源集中存储、管理和共享的一种新型信息化管理模式。
在政务云建设中,信息安全是一个重要的考虑因素。
三级等保是指根据《网络安全等级保护管理办法》对信息系统的安全等级进行划分和等级保护的要求。
本文将探讨政务云三级等保建设方案。
首先,政务云建设需要明确目标和任务。
政务云建设的目标是提高政府机关的信息化管理水平,加强信息资源共享和协同办公能力。
任务是建立安全可靠、高效便捷的政务云平台,提供全面的信息服务。
其次,政务云三级等保的实施需要建立安全保障体系。
包括从网络安全、系统安全、数据安全、应用安全等方面进行综合保护。
网络安全方面要加强对云平台网络的监测和防护,建立网络安全监测与预警系统;系统安全方面要采用合适的安全防护措施,包括入侵检测、安全审计等;数据安全方面要加强数据备份和恢复能力,建立完善的数据安全管理机制;应用安全方面要强化对系统应用的安全审计和控制,提高应用系统的安全性和可靠性。
再次,政务云三级等保需要制定合理的安全策略。
包括加密技术的应用、访问控制的管理、安全审计的实施等。
加密技术是确保数据传输和存储安全的重要手段,可以采用对称加密和非对称加密相结合的方式进行数据的加密;访问控制是保障系统的安全的关键,要根据不同用户的权限对数据和功能进行限制;安全审计可以对系统的安全性和合规性进行检测和监控。
最后,政务云三级等保的实施需要加强风险评估和应急预案的制定。
风险评估是为了识别系统和数据可能存在的威胁和风险,可以采用漏洞扫描、风险评估工具对系统进行评估;应急预案是为了在面对安全漏洞、网络攻击等突发事件时,能够及时应对和处理,可以建立相应的应急响应机制和团队。
总之,政务云三级等保的建设方案需要明确目标和任务、建立安全保障体系、制定安全策略和加强风险评估和应急预案的制定。
只有这样才能够确保政务云平台的安全可靠,提高政府机关的信息化管理水平,提供全面的信息服务。
网络预警系统的设计与实现随着互联网时代的到来,人们对于信息的获取与传播方式也发生了翻天覆地的变化。
然而,随之而来的问题也日益凸显,例如网络安全问题等等。
为了及时发现并解决网络安全问题,网络预警系统应运而生。
本文将从以下几个方面来探讨网络预警系统的设计与实现。
一、网络预警系统的定义网络预警系统,简称NWS,指的是通过各种技术手段,对互联网上各种风险信号进行快捷、及时、精准地监测、预警和处理的智能系统。
其核心是发现异常并及时报警,便于及时采取应对措施,保障网络安全。
其意义在于助力实现对网络安全管理的预防性和主动性。
二、网络预警系统的设计原则(1)系统的全面性原则:网络预警系统所监测的范围应全面覆盖互联网,确保能够发现所有风险信号。
(2)时效性原则:网络预警系统应具有及时发现、及时报警的能力,确保能够在反应时间内采取应对措施。
(3)扩展性原则:网络预警系统应充分考虑技术的可扩展性,随着网络技术的更新升级,其功能也应及时升级完善。
(4)实用性原则:网络预警系统的设计应充分体现实用性,使得操作界面简单易懂、报警信息清晰明了等,保证管理者及时了解风险信号。
三、网络预警系统的实现网络预警系统的实现主要包括以下几个方面:(1)数据采集:数据采集是网络预警系统的基础,必须从网络上收集大量信息来挖掘风险。
目前常用的数据采集方式包括爬虫技术、传感器技术等等。
(2)数据处理:数据采集后需要进行数据清洗和分析,这是保障网络预警系统有效性的关键环节。
数据处理需要进行聚类分析、数据可视化等多种技术手段。
(3)风险评估:风险评估主要针对已经发现并处理过的风险事件进行评估分析,以便为未来的网络安全管理提供参考,例如对于某一类风险采取何种预防措施等等。
(4)报警处理:一旦NWS检测到风险信号,它会生成一份报告并将其送到特定的责任人手中。
这通常涉及到报警规则的设置、数据的推送等等。
四、网络预警系统的应用网络预警系统的应用范围非常广泛,它已被广泛应用于电子商务、医疗保障、金融支付、教育等各大领域。
包头市人民政府办公厅关于进一步加强政府网站信息安全等级保护工作的通知文章属性•【制定机关】包头市人民政府•【公布日期】2014.06.10•【字号】府办发[2014]149号•【施行日期】2014.06.10•【效力等级】地方规范性文件•【时效性】现行有效•【主题分类】公共信息网络安全监察正文包头市人民政府办公厅关于进一步加强政府网站信息安全等级保护工作的通知(2014年06月10日包府办发〔2014〕149号)各旗、县、区人民政府,稀土高新区管委会,市直各部门、单位:为贯彻落实《内蒙古自治区计算机信息系统安全保护办法》(自治区人民政府令第183号,以下简称《办法》)和公安部、国家保密局、国家密码管理局、国务院信息化工作办公室四部门联合制定的《信息安全等级保护管理办法》精神,推进我市信息安全等级保护制度建设,提高重要信息系统和基础信息网络的安全保护水平,近期,市政府将在全市范围内加强政府网站信息系统安全等级保护定级备案和测评整改工作。
现就有关事宜通知如下:一、充分认识开展信息安全等级保护工作的重要性和紧迫性近年来,黑客针对我市政府网站的网络攻击、入侵破坏、发布有害信息等事件逐年增多,信息网络安全(案)事件呈高发态势,导致政府网站信息被篡改,企业和个人信息被盗取等现象的发生,严重危害国家安全、社会稳定和公众利益。
针对这些问题,市信息网络安全工作领导小组组织市公安局、市信息系统安全等级评测中心联合对全市政府类网站进行了远程监测扫描,共监测和扫描政府类网站67个,结果发现所监测扫描的网站均存在漏洞,其中存在高危漏洞的网站48个,占到全部所监测扫描网站的71.6%;存在中危漏洞的网站7个,占到全部所监测扫描网站的10.4%;高、中、低危漏洞都存在的网站37个,占到全部所监测扫描网站的55.2%。
市公安局网安支队于2013年依据检测报告对部分政府类网站下发了责令限期整改通知,但至今仍有部分网站没有完成整改工作,有的网站安全漏洞数量甚至不降反增。
网络安全等级保护设计方案(三级)-运营体系设计XXX科技有限公司20XX年XX月XX日目录一运营体系概述 (3)二漏洞管理服务 (4)三安全评估服务 (5)四渗透测试服务 (6)五应急响应服务 (8)六应急演练服务 (9)七威胁监测与主动响应服务 (10)八网络安全培训服务 (11)九系统设计亮点 (11)9.1 价值主张 (11)9.2 安全可视能力 (11)9.3 持续检测能力 (13)一运营体系概述等级保护2.0标准所规定的技术要求并不只是通过产品来落地的;等保的管理要求也不只是体现在文档上。
要保证持续的践行等级保护的各项要求,还需要对安全产品和安全管理制度持续运营。
通过运营将等保2.0中的技术要求和管理要求有效落地。
安全运营工作即可以用户自己做,也可以由厂商提供安全服务,来帮助用户实现持续的安全运营。
安全运营体系保障等保2.0技术和管理落地系统自身的漏洞、来自内外部的威胁,是管理的基本要素。
以漏洞和威胁为基础,把技术和管理体系融合,帮助用户建立安全运营体系。
安全运营体系二漏洞管理服务漏洞管理服务有现场服务、云端服务两种不同的服务方式,满足不用用户场景下的需求。
漏洞管理服务服务内容:三安全评估服务根据用户网络安全实际需求,为用户提供资产梳理、漏洞扫描、基线核查、安全加固建议等一体化的安全评估服务。
资产梳理:安全访谈和调研,梳理信息资产和业务环境状况,针对重要业务系统制定评估详细方案。
脆弱性评估:通过web扫描,漏洞扫描、基线检查、漏洞验证等手段,识别业务系统安全脆弱性风险。
防御能力评估:通过模拟黑客进行信息收集、应用及系统入侵,验证防御体系的安全防御能力。
失陷检查:通过人工或工具产品检测主机系统上的恶意文件和网络行为,判断主机失陷状态。
安全整改建议:基于安全评估结果分析系统安全风险和威胁,给出针对性的风险处理方案。
四渗透测试服务目前绝大部分的安全产品只能利用已知的安全漏洞对系统进行程序化的漏洞分析,缺少灵活性,而渗透测试却能够在可控的前提下进行最贴近于真实情况的漏洞发掘,弥补了仅仅使用安全产品对系统分析的不足,通过渗透测试可以以攻击者的角度发现一些隐性存在的安全漏洞和风险点,有助于后续的网络安全建设。
