技术白皮书 CA解决方案帮助实现安全等级保护2006年5月 CA中国 文档说明 本文档包含了CA中国的商业机密信息。本文档所涉及到的文字、图表等,仅限于CA 中国和被送达方内部使用,未经CA中国的书面许可,请勿扩散到第三方。
1 安全风险与等级保护 互联网技术获得了广泛的应用,甚至成为了国家经济稳定和基础设施不可分割的一部分。在提高生产效率和促进各种创新业务的同时,互联网技术也为国家、社会、宏观经济、企业、公众等带来了越来越严重的安全威胁。为此,安全风险越来越多地受到了政府、企业和公众的关注,针对网络信息安全的投入也迅速增加。但是,我们应该看到,各个组织单位的信息技术(IT)环境千差万别,安全技术和管理水平也参差不齐,投资和实际保护效果很难保证。 为此,国家信息化领导小组明确提出“信息化发展的不同阶段和不同的信息系统有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。”并要求“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”(参见《国家信息化领导小组关于加强信息安全保障工作的意见》,中办发[2003]27号,以下简称“27号文件”)。另外,2004年9月发布的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号,以下简称“66号文件”)进一步强调了开展信息安全等级保护工作的重要意义,规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。27号文件和66号文件不但为各行业开展信息安全等级保护工作指明了方向,同时也为各行业如何根据自身特点做好信息安全等级保护工作提出了更高的要求。 2安全等级保护 大型组织和企业的信息系统规模庞大,结构复杂,系统之间的差异性很大,各种安全属性和保护需求也各不相同。从信息安全保护投资经济性方面的考虑,需要具体设备、具体系统来具体考虑。而从安全管理有效性上看,需要相对规范、标准的体系结构。为此,国际、国家、主要行业都制定了若干的标准规范,来指导约束针对大型信息系统安全保护体系的设计和建设。 安全等级保护根据信息系统针对企业的关键性和具体的安全属性,划分等级,建立起等级化的保护框架和相应的对策体系,可以帮助在经济性和规范性、安全性方面取得平衡,优化安全投入和资源利用。 表格一:安全保护等级的划分
目录 1 项目背景 (4) 2 建设目标 (6) 3 信息安全等级保护综合管理系统 (7) 3.1 信息安全等级保护综合管理系统概述 (7) 3.2 系统架构 (11) 3.3 系统功能 (15) 3.3.1 定级备案管理 (15) 3.3.2 建设整改管理 (18) 3.3.3 等级测评管理 (19) 3.3.4 安全检查管理 (21) 3.3.5 风险评估管理 (22) 3.3.6 风险评估测评 (23) 3.3.7 风险评估管理 (25) 3.3.8 日常办公管理 (26) 3.3.9 统计分析 (27) 3.3.10 基础数据管理 (28) 3.3.11 分级管理 (31) 3.3.12 系统接口 (31) 3.4 系统安全性 (33) 3.5 系统部署 (35) 3.6 系统配置要求 (35)
4 网安全管理系统 (36) 4.1 网安全管理系统概述 (36) 4.2 产品架构 (37) 4.2.1 终端监控引擎 (38) 4.2.2 总控中心 (38) 4.2.3 管理控制台 (39) 4.2.4 系统数据库 (39) 4.3 产品功能 (39) 4.3.1 终端运维管理 (39) 4.3.2 终端安全加固 (41) 4.3.3 终端安全审计 (43) 4.3.4 网络准入控制 (44) 4.3.5 移动存储管理 (45) 4.4 产品性能 (46) 4.4.1 终端引擎性能 (46) 4.4.2 总控性能 (46) 4.4.3 产品性能指标 (47) 4.5 产品规 (47) 4.6 产品部署 (48) 5 控管理平台(堡垒主机) (51) 5.1 堡垒主机概述 (51) 5.2 产品功能 (51)
地市电子政务网络的信息安全等级保护(一) 一、背景 自从国家启动政府信息化建设以来,各地市政府大都已经完成了从无到有的电子政务网络建设。但是,初期的地市电子政务网连接范围一般较小,纵向上,没有连接起区县一级的政府办公网络;横向上,没有连接起各局、委、办的办公网络;相互之间缺乏有机联系,形成了信息孤岛,导致无论是政府内部办公还是公众服务,都存在沟通不畅、效率低的问题。为了加强政府内部的交流、提高政府的整体办公效率和服务水平,许多地市已经开始规划、建设具有更大连接范围、更快传输速度的大型电子政务网络。 大型地市电子政务网络建设的基本目标是为各接入单位提供统一、优质的信息化传输平台。但与此同时,由于接入人员的身份复杂(分属不同的行政部门),各部门对信息安全的要求也存在差异,所以电子政务网在为正常业务数据提供高速通路的同时,也有可能成为网络安全威胁快速扩散和蔓延的温床。这已经成为地市电子政务网络建设中需要考虑的头号问题,换句话说:“大型地市电子政务网建设的好与不好,标准就是网络安全是否达标”。 二、“等保”与电子政务网 适逢其时的是,国家的相关部门已经制订了标准、规范,可以非常细致地指导地市电子政务网的“网络安全规划、建设和监管”。这个标准和规范就是“信息安全等级保护”。 信息安全等级保护(简称“等保”)就是国家通过制订统一的标准,根据信息系统不同重要程度,有针对性开展保护工作,分等级对信息系统进行保护,国家对不同等级的信息系统实行不同强度的监督管理。“等保”将信息系统的安全等级分为5级,1级最低,5级最高。例如,电子政务内网要达到4级保护要求,电子政务外网要达到3级保护要求。
XXX系统 等级保护整改方案 单位名称: 日期:年月日
目录 一、概述 (3) 二、系统现状 (3) 1. 系统描述 (3) 2. 系统拓扑图 (3) 3. 系统构成 (3) 4. 系统测评结论 (3) 三、整改依据 (3) 四、整改内容 (4) 4.1物理安全 (4) 4.11相关要求及依据 (4) 4.1.2 安全现状及整改措施 (4) 4.2网络安全 (4) 4.2.1相关要求及依据 (4) 4.2.2 安全现状及整改措施 (4) 4.3主机安全 (4) 4.3.1相关要求及依据 (4) 4.3.2 安全现状及整改措施 (4) 4.4应用安全 (4) 4.4.1相关要求及依据 (4) 4.4.2 安全现状及整改措施 (4) 4.5数据安全及备份恢复 (5) 4.5.1相关要求及依据 (5) 4.5.2 安全现状及整改措施 (5) 4.6安全管理制度 (5) 4.6.1相关要求及依据 (5) 4.6.2 安全现状及整改措施 (5) 4.7安全管理机构 (5) 4.7.1相关要求及依据 (5) 4.7.2 安全现状及整改措施 (5) 4.8人员安全管理 (5) 4.8.1相关要求及依据 (5) 4.8.2 安全现状及整改措施 (5) 4.9系统建设管理 (5) 4.9.1相关要求及依据 (6) 4.9.2 安全现状及整改措施 (6) 4.10系统运维管理 (6) 4.10.1相关要求及依据 (6) 4.10.2 安全现状及整改措施 (6) 五、方案总结 (6) 附件一:设备清单汇总 (7) 附件二:管理制度及表单条目清单 (8)
一、概述 。。。项目介绍 二、系统现状 1.系统描述 系统情况描述 2.系统拓扑图 3.系统构成 4.系统测评结论 三、整改依据 1)GB 17859-1999 信息安全技术计算机信息系统安全保护等级划分准则; 2)GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求; 3)《信息系统安全等级保护测评要求》(送审稿); 4)《XXX安全等级保护定级报告》; 5)《XXX安全等级保护测评报告》。
电子政务等级保护整体解决方案 随着我国电子政务、政府上网等信息化建设快速发展,政府及事业单位与各直属机构、外界相关单位信息交互的网络安全就变得更为必要当前。对于政府信息化系统的安全问题,大多数考虑最多的还是病毒,认为病毒对政府各系统的影响最大,所以大部分的财力人力都投向了防病毒系统。但事实证明,这些还远远不够,仍然会有很多心怀叵测的人或者组织对政府部门发起攻击,甚至数据窃密等,往往会对政府部门的核心数据造成不可弥补的损失。 按照《信息系统安全等级保护基本要求》和其它相关等级保护技术文件提出来的指导意见,电子政务等级保护涉及技术和管理两方面的核心内容。技术类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现。 电子政务等级保护基本技术要求涉及物理安全、网络安全、主机系统安全、应用和数据安全等几个重要的方面。当前,几乎所有的大型政府和事业单位对于网络安全的重视程度普遍提高了,纷纷采购防火墙等设备希望堵住来自Internet的不安全因素。然而,Intranet内部的攻击和入侵却依然猖狂。事实证明,公司内部的不安全因素远比外部的危害更恐怖。 大多政府和事业单位重视提高其网络的边界安全,暂且不提它们在这方面的投资多少,但是大多数政府和事业单位网络的核心内网还是非常脆弱的。实践证明,很多成功防范政府和事业单位网边界安全的技术对保护政府和事业单位内网却没有效用。于是网络维护者开始大规模致力于增强内网的防卫能力。 根据电子政务等级保护的具体实施取得了很多可资借鉴和推广的经验,综合电子政务网络的现状和推行等级保护力图实现的目标,在电子政务等级保护实践过程中,需要重点关注以下几个问题: 如何体现“适度安全,促进应用,综合防范”的要求。近年来,党和政府大力倡导政务公开、透明,致力建设公众参与的和谐社会。在电子政务系统中,运行的涉密信息越来越少。 在等级保护实施过程中,需要有效区分不同密级信息,采取分类安全措施,这样才能确保安全建设成本可控、效果突出。电子政务的等级保护是一个持续改进、调整的过程,在规划伊始,需要坚持高视野、高起点的原则,保持技术应用方面的灵活性。所采用的等级保护技术方案必须充分考虑政务内网、专网和互联网等几个网络存在的历史性问题,安全技术的引入,需要保证几个网络的融合与有效区隔共存的现实要求。 在电子政务主机系统安全、应用和数据安全体系建设过程中,需要充分考虑安全系统的整体规划,确保安全系统的可持续升级和扩充能力。 如何在开放互联的环境下,保证电子政务网络的安全性问题,将成为下一阶段电子政务等级保护实施关注的重点问题。 国内优秀内网安全产品与服务提供商中普信息公司,针对政府和事业单位普遍性的疑问,给出了应对政府和事业单位内网安全挑战的“一站式” ETIMS电子政务等级保护整体解决方案。ETIMS可信内网安全平台政务专版是专门针对政府和事业单位用户的高强度电子政务等级保护整体解决方案。ETIMS平台以安全通道技术、密码技术为支撑,以数据安全为核心,身份认证为基础,灵活全面地定制并实施安全策略,实现对内网中用户、计算机终端和信息的安全管理,达到有效的用户身份管理、计算机设备管理、数据安全保密存储和防止机密信息泄漏等目标。ETIMS可信内网安全平台旨在解决政府和事业单位内部网络的身份认证和授权、数据信息保密、数字知识产权保护及网络监控审计等安全问题。 ETIMS可信内网安全平台采用C/S模式,由六个子系统组成,分别是ETIMS(易泰)可信网络认证授权系统、ETIMS(易泰)可信网络分域管理系统、ETIMS(易泰)可信数据保密管理系统、ETIMS(易泰)可信网络监控审计系统、ETIMS(易泰)可信桌面安全管理系统和ETIMS(易泰)可信移动存储设备管理系统。这六个系统既可独立使用,也可以统一配备,根
概述 随着美国棱镜门事件以来,信息安全受到越来越多的国家和企业的重视,特别是今年从国家层面成立了网络安全与信息化领导小组,因此就某种程度而言,2014年可以说是真正的信息安全元年。就当前的信息安全建设驱动来看,主要来自政策性合规驱动和市场需求驱动是两个重要的驱动点。 ·从政策层面看国家成立了网络安全与信息化领导小组,强调自主可控是信息安全领域国家的基本意志体现。同时也出台了相关的政策要求对信息安全产品、云计算服务等进行安全审查,通过政策、法律、规范的合规性要求加强对信息安全的把控。 ·从需求层面来看,随着愈演愈烈各种的信息泄密事件、大热的APT攻击等,大量的企业对信息安全的认识已经从过去的“被动防御”转变成“主动防御”,尤其 是新型的互联网金融、电商业务、云计算业务等都前瞻性企业都把安全当做市场竞争的重要砝码,并寻求各种资源不断提升用户对其信任性。 ·用户选择云计算服务的角度来看,我们了解了很多的云计算用户或潜在的云计算用户,用户的一项业务在往云计算中心迁移时考虑的前三位的要素一般是安全、技术成熟度和成本,其中首要考虑的是安全。因为由于云服务模式的应用,云用户的业务数据都在云端,因此用户就担心自己的隐私数据会不会被其他人看到,数据会不会被篡改,云用户的业务中断了影响收益怎么办,云计算服务商声称的各种安全措施是否有、能否真正起作用等,云用户不知道服务提供商提供的云服务是否真的达到许诺的标准等担忧。 1.云环境下的等级保护问题研究 综上所述,用户在选择云计算的时候首先会考虑安全性,对普通用户来说,云计算服务的合规性是安全上很重要的参考依据。云计算服务的安全合规目前主
要有等级保护、27001、CSA云计算联盟的相关认证。其中等级保护是一项基本政策,比如用户的一个等级保护三级的业务,采用云计算模式时,一定要求云计算服务必须达到三级的要求。 1.1等级保护挑战 传统的等级保护标准主要面向静态的具有固定边界的系统环境。然而,对于云计算而言,保护对象和保护区域边界都具有动态性。因此,云计算环境下的等级保护面临新的挑战: ·业务可控性 云计算环境下,数据可能会在数据中心和物理主机之间移动,导致用户无法知道数据真实存储位置。另外,云平台引入了虚拟抽象层,其覆盖范围可以涵盖不同区域的物理设施,传统的等级保护并没有考虑这种情况。 ·核心技术的自主可控 由于云计算中许多核心技术仍然控制在国外企业手中,许多所谓的自主产品也可能是对国外购买的商业产品的改良,本质就是买下了推广他人产品的权利,随着国内云市场的不断发展,对云环境的自主可控性带来很大的挑战。 ·虚拟化安全 在云计算安全保障中,仅仅采用传统的安全技术是不够的,虚拟化带来了新的安全风险。当前,对云计算虚拟化安全技术还不成熟,对虚拟化的安全防护和保障技术测评则成为云环境等级保护的一大难题。
华为"智慧城市"业务解决方案篇一:智慧城市主要问题和解决方案 智慧城市主要问题和解决方案 XX年,IBM推出“智慧地球”的概念。在IBM的大力 “智慧城市”宣传以及国内一些媒体的推动下,从XX年开始, 这个概念便很快在我国一些地方盛行起来,并迅速地成为各地信息化建设的代名词。在一些地方,智慧城市几乎成为其信息化工作的全部内容。根据初步统计,截至XX年,我国地方政府所规划的所谓智慧城市已经达到154个,投资规模高达万亿之巨。 从短短三年多的发展趋势来看,今后我国的智慧城市只会更多。因为,在一些地方政府看来,不叫智慧城市,信息化工作就没有合适的口号;不叫智慧城市,就显得自己很愚蠢,就是“笨蛋城市”。这种奇怪的心理是导致近年来智慧城市一边倒地主导我国地方信息化建设的一个重要原因。 与地方智慧城市建设热潮相对应的是,智慧城市在国家层面并沒有得到多少认可,既没有有关智慧中国的规划,智慧城市也没有出现在国家信息化建设的任何重大文件当中。于是,这就出现了当前这样一种智慧城市“下热上冷”的奇怪局面。这种奇怪局面迫使我们有必要深入审视当前智慧城市建设热潮可能隐藏或掩盖的问题,并提出有针对性的
改进建议。智慧城市建设存在5大问题 1、概念不清、外延不明 从当前智慧城市发展实际来看,我们对于智慧城市的认识并不一致,不同部门、不同地区对智慧城市建设的内容往往不同。例如,城市规划建设部门往往从新一代信息技术应用于城市规划建设的角度开展智慧城市建设,信息化主管部门则从工业化、信息化相互融合角度去规划本地区的智慧城市建设,而地方政府如地级市则又从本市国民经济和社会发展信息化的角度去规划智慧城市。有些地方的所谓智慧城市规划,甚至根本就没有考虑到物联网、云计算、三网融合、无线宽带等新一代信息技术应用,仍然采用以前的技术思路和模式。智慧城市犹如一个泥团,在不同的人手里会被捏成肥瘦不一的泥人。当前我国的所谓智慧城市其实一点也不“智慧”。 2、进一步加剧了业务系统的信息孤岛局面 智慧城市建设更多的是地方政府在积极地推动,而条线业务部门对此并不热心,因此,尽管条块分割问题一直是我国信息化建设的顽疾,但是智慧城市建设也不能缓解这一问题。从人口、法人以及自然资源与空间地理等基础数据库建设来看,当前的智慧城市对于如何解决其共同管理模式问题并没有提供多少建设性的建议和经验。从这个角度讲,当
Xx 信息安全等级保护(三级)建设方案
目录 1. 前言 (3) 1.1 概述 (3) 1.2 相关政策及标准 (3) 2. 现状及需求分析 (5) 2.1. 现状分析 (5) 2.2. 需求分析 (5) 3. 等保三级建设总体规划 (6) 3.1. 网络边界安全建设 (6) 3.2. 日志集中审计建设 (6) 3.3. 安全运维建设 (6) 3.4. 等保及安全合规性自查建设 (6) 3.5. 建设方案优势总结 (7) 4. 等保三级建设相关产品介绍 (9) 4.1. 网络边界安全防护 (9) 4.1.1 标准要求 (9) 4.1.2 明御下一代防火墙 (10) 4.1.3 明御入侵防御系统(IPS) (13) 4.2. 日志及数据库安全审计 (15) 4.2.1 标准要求 (15) 4.2.2 明御综合日志审计平台 (17) 4.2.3 明御数据库审计与风险控制系统 (19) 4.3. 安全运维审计 (22) 4.3.1 标准要求 (22) 4.3.2 明御运维审计和风险控制系统 (23) 4.4. 核心WEB应用安全防护 (26) 4.3.1 标准要求 (26) 4.3.2 明御WEB应用防火墙 (27) 4.3.3 明御网站卫士 (30) 4.5. 等保及安全合规检查 (31) 4.5.1 标准要求 (31) 4.5.2 明鉴WEB应用弱点扫描器 (32) 4.5.3 明鉴数据库弱点扫描器 (34) 4.5.4 明鉴远程安全评估系统 (37) 4.5.5 明鉴信息安全等级保护检查工具箱 (38) 4.6. 等保建设咨询服务 (40) 4.6.1 服务概述 (40) 4.6.2 安全服务遵循标准 (41) 4.6.3 服务内容及客户收益 (41) 5. 等保三级建设配置建议 (42)
信息安全等级保护工作计划篇一:信息安全等级保护工作计划 医院信息系统安全等级保护工作实施方案医院信息系统是医疗服务的重要支撑体系。为确保我院信息系统安全可靠运行,根据公 安部等四部、局、办印发的《关于信息安全等级保护工作的实施意见》公通字【XX】66号、 《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》卫办综函【XX】1126 号、卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知卫办发【XX】 85号和省市有关文件精神,并结合我院信息化建设的工作实际,特制定《德江县民族中医院 信息系统安全等级保护工作实施方案》确保我院信息系统安全。 一、组织领导组长:副组长:组员:领导小组办公室设在xx科,由xx同志兼任主任,xx等同志负责具体工作。二、工作 任务 1、做好系统定级工作。定级系统包括基础支撑系统,面向患者服务信息系统,内部行政
管理信息系统、络直报系统及门户站,定级方法由市卫生局统一与市公安局等信息安全 相关部门协商。 2、做好系统备案工作。按照市卫生系统信息安全等级保护划分定级要求,对信息系统进 行定级后,将本单位《信息系统安全等级保护备案表》《信息系统定级报告》和备案电子数据 报卫生局,由卫生局报属地公安机关办理备案手续。 3、做好系统等级测评工作。完成定级备案后,选择市卫生局推荐的等级测评机构,对已 确定安全保护等级信息系统,按照国家信息安全等级保护工作规范和《信息安全技术信息系 统安全等级保护基本要求》等国家标准开展等级测评,信息系统测评后,及时将测评机构出 具的《信息系统等级测评报告》向属地公安机关报备。 4、完善等级保护体系建设做好整改工作。按照测评报告评测结果,对照《信息系统安全 等级保护基本要求》(gb/t22239-XX)等有关标准,结合医院工作实际,组织开展等级保护 安全建设整改工作,具体要求如下: 三、工作要求
医院信息系统等级保护 建设方案
1.为什么需要等级保护? 1.1 什么是等级保护? 信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。 1.2 等级保护的重要性 等级保护不仅是对信息安全产品或系统的检测、评估以及定级,更重要的是,等级保护是围绕信息安全保障全过程的一项基础性的管理制度,是一项基础性和制度性的工作。通过将等级化方法和安全体系方法有效结合,设计一套等级化的信息安全保障体系,是适合我国国情、系统化地解决大型组织信息安全问题的一个非常有效的方法。信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。 在医疗行业的信息化建设过程中,信息安全的建设虽然只是一个很小的部分,但其重要性不容忽视。便捷、开放的网络环境,是医疗行业信息化建设的基础,在数据传递和共享的过程当中,数据的安全性要切实地得到保障,才能保障医疗信息化业务的正常运行。然而,我们的数据却面临着越来越多的安全风险,时刻对业务的正常运行带来威胁。 1.3 国家强制性等保要求 国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室于2007年联合颁布了861号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》和《信息安全等级保护管理办法》,要求涉及国计民生的信息系统应达到一定的安全等级,根据文件精神和等级划分的原则,医疗信息系统构筑至少应达到二级或以上防护要求。 2. 等级保护实施过程 “等级化安全体系”是依据国家信息安全等级保护制度,根据系统在不同阶段的需求、业务特性及应用重点,采用等级化与体系化相结合的安全体系设计方法,帮助构建一套覆盖全面、重点突出、节约成本、持续运行的安全防御体系。 根据等级化安全保障体系的设计思路,等级保护的设计与实施通过以下步骤进行: 1.系统识别与定级:通过分析系统所属类型、所属信息类别、服务范围以及业务对 系统的依赖程度确定系统的等级。 2.安全域设计:根据第一步的结果,通过分析系统业务流程、功能模块,根据安全
医院信息化安全等保解决方案 一、行业背景与需求 为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作,卫生部办公厅于2011年12月下发卫生部《卫生行业信息安全等级保护工作的指导意见》(卫办发〔2011〕85号)(以下简称《指导意见》)。为贯彻《指导意见》,办公厅同时下发《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函〔2011〕1126号)(以下简称《通知》),对卫生行业各单位提出如下要求: ■ 2012年5月30日前完成本单位信息系统的定级备案工作; ■根据信息系统定级备案情况开展等级测评工作,查找安全差距和风险隐患,并结合自身安全需求,制订安全建设整改方案; ■ 2015年12月30日前完成信息安全等级保护建设整改工作,并通过等级测评。 《指导意见》根据《信息安全技术信息系统安全等级保护定级指南》(以下简称《定级指南》)、《信息安全技术信息系统安全等级保护基本要求》(以下简称《基本要求》),建议县区级医院的核心业务信息系统安全保护等级原则上不低于二级。各省卫生厅根据《指导意见》、《定级指南》、《基本要求》等相关规定,并结合本区域现状提出本区域内县区级医院定级要求,大部分省(市)定级要求如下:
二、迪普解决之道 为帮助县区医院落实国家信息安全等级保护制度与卫生部信息安全等级保护工作要求,迪普科技从主机安全、应用安全、数据安全与备份恢复四个层面为县区医院提供全方位的等级保护解决方案。 ■整体思路 县级医院网络一般分为两张物理网络:内网(业务网)和外网(办公网)。内网主要承载着HIS、LIS、PACS等医院信息系统,外网主要承载医院OA、网站、mail等信息系统。《基本要求》中规定不同安全保护等级的信息系统应该具备相应的基本安全保护能力,应满足相应的基本安全要求,根据实现方式的不同,基本安全要求分为基本技术要求和基本管理要求两大类。基本技术要求包含物理安全、网络安全、主机安全、应用安全和数据安全几个层面。本方案针对医院内外两张物理网络及其承载的信息系统,分别从网络安全、主机安全、应用安全、数据安全四个层面进行设计。 网络安全、主机安全、应用安全、数据安全均包含多个控制点,而每个控制点又包含多个具体的技术要求项,本方案针对其中具体项要求提出以下的安全措施,如下表所示:
医院信息等级保护解决方案 医院信息化安全是现在所有医院面临的重要课题。为了更好的保证医院信息安全,2011年底,卫生部先后下达85号通知和1126号通知,要求全国卫生行业各单位全面开展信息安全等级保护工作,于2015年12月30日前完成等保建设整改并通过等级测评。 2007年由公安部下发的43号令拉开了各行业信息安全等保建设的序幕,2008年颁布的国标《GB/T 22239-2008信息安全技术-信息系统安全等级保护基本要求》是信息系统安全等保的建设标准。卫生部下发的“85号通知”中的等保工作指导意见明确要求全国所有三甲医院核心业务信息系统的安全保护等级原则上不低于第三级,哪些系统是核心业务信息系统则由各地区自己定义,比如上海最终规定的核心业务信息系统是HIS、LIS和RIS。 图1医院网络现状 (如图1所示)医院的网络根据承载业务的不同可划分为内网、外网和设备网,其中:内网即医院的医务生产网,承载所有业务应用系统,包括大家熟知的HIS、PACS、LIS等系统; 外网即与Internet相联的网络,承载的业务包括邮件、OA等; 设备网是一张新兴的网,承载IP化的智能化弱电系统,包括:公共广播、门禁、楼控、安防视频监控等。 各医院实际网络建设模式会有不同。传统的是内外网物理隔离,但仍有相当一部分是内外网物理合一、逻辑隔离。内网实际上也有外部连接,如医保、公共卫生、新农合、银行等;但这些连接都是内网与内网通过专线连接,且通过前置机进行数据访问。 医院的网络根据承载介质的不同可分为有线网络和无线网络。根据传统习惯,如果不特别说明,上述的内
网、外网和设备网均特指有线网络。但实际上无线网络承载的业务也有内外网之分。有的医院无线网只承载内网业务,如无线查房、无线护理、无线补液等;有的医院无线网不仅承载内网业务,还会提供与外网相关的业务,如员工外网业务、病房VIP Internet业务等。无线网络中的内网业务都要访问HIS、RIS 等核心业务信息系统,所以作为有线网络的有效补充,无线网络也应是三级安全等保检查中的一部分。 如前所述,大部分地区规定的核心业务信息系统都是内网业务,即三级安全等保只与医院的内网业务系统相关,而对于内外网物理隔离的工作场景,与传统的以防范Internet业务为主的安全解决方案明显不同。 一、安全等保的测评对象 GB/T22239-2008中的三级安全等保标准共290项内容,由技术(136项)和管理(154项)2部分组成;技术要求中分为物理、网络、主机、应用和数据安全5部分。根据各地的自有特点,以提高系统的安全性为目的,各地的等保测评机构会进行标准的补充。 医院的信息系统有几十种,除了明确定级为三级的核心业务信息系统,其它业务系统如何处理?拿上海为例,HIS、LIS和RIS定级为三级信息系统,那么这3个系统之外的如EMR、临床路径系统等如何考虑?实际上等保的第一项工作即是给本单位信息系统分类定级,根据系统重要性的不同,进行不同级别的定级。如果某个系统与核心业务系统同样重要,可另外定为三级;其它系统可以定为二级。定为二级的系统按照二级安全等保标准进行建设和测评。 对于二级或三级的业务信息系统,其安全运行所需要的机房、链路、网络、服务器、存储、操作系统、应用软件等都是测评对象。 二、安全等保网络安全解读 作为安全等保的重要组成部分,网络安全因其分散、覆盖面广的特点,是等保评测的重点,也是医院信息安全的难点。在等保三级标准内容中,网络安全共分为7部分,共33条: l结构安全——7条要求,对整体网络架构、带宽和设备性能提出了管理要求; l网络访问控制——8条要求,对网络边界控制防范、边界连接的控制提出了管理要求; l安全审计——4条要求,对包括设备、事件和用户等目标的日志系统提出管理要求; l边界完整性检查——2条要求,对接入规范和防内网外联提出了管理要求; l入侵防范——2条要求,对网络边界应用级攻击的检测防范提出了管理要求; l恶意代码防范——2条要求,对网络边界恶意代码防范和代码库的升级提出的管理要求; l网络设备防护——8条要求,对设备管理的安全性提出了管理要求。 经过分析,等保网络安全部分的管理要求在很大程度上与边界设备和终端系统直接相关,边界设备的安全和管理功能,终端系统的功能和用户管理功能,可以直接覆盖绝大部分网络安全的管理要求条款。 三、H3C三级安全等保解决方案
电子政务等级保护解决方案 一、等级保护技术性要求 按照《信息系统安全等级保护基本要求》和其它相关等级保护技术文件提出来的指导意见,电子政务等级保护涉及技术和管理两方面的核心内容。技术类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现。 电子政务等级保护基本技术要求涉及物理安全、网络安全、主机系统安全、应用和数据安全等几个重要的方面。 二、电子政务等级保护试点核心内容 从国信办在广东、天津、河南等地推进的试点反馈情况分析,电子政务等级保护的具体实施取得了很多可资借鉴和推广的经验。综合电子政务网络的现状和推行等级保护力图实现的目标,在电子政务等级保护实践过程中,需要重点关注以下几个问题: 如何体现“适度安全,促进应用,综合防范”的要求。近年来,党和政府大力倡导政务公开、透明,致力建设公众参与的和谐社会。在电子政务系统中,运行的涉密信息越来越少。在等级保护实施过程中,需要有效区分不同密级信息,采取分类安全措施,这样才能确保安全建设成本可控、效果突出。 电子政务的等级保护是一个持续改进、调整的过程,在规划伊始,需要坚持高视野、高起点的原则,保持技术应用方面的灵活性。 所采用的等级保护技术方案必须充分考虑政务内网、专网和互联网等几个网络存在的历史性问题,安全技术的引入,需要保证几个网络的融合与有效区隔共存的现实要求。 在电子政务主机系统安全、应用和数据安全体系建设过程中,需要充分考虑安全系统的整体规划,确保安全系统的可持续升级和扩充能力。 如何在开放互联的环境下,保证电子政务网络的安全性问题,将成为下一阶段电子政务等级保护实施关注的重点问题。在解决信息共享与互联互通问题的过程中,以密码为核心的信息安全技术将发挥至关重要的作用。 三、Chinasec的解决之道 针对电子政务等级保护涉及到的上述突出问题,Chinasec可信网络安全平台基于可信网络技术,提出了一整套完整的解决方案。除了物理安全外,Chinasec在网络安全、主机系统安全、应用和数据安全领域均提出了切合电子政务等级保护要求的技术功能点。 解决方案的特点: 业内最全面的等级保护综合解决方案,提供二十多项与电子政务等级保护技术点相匹配的功能。 模块化的体系结构设计,可以满足从等级保护第一级到第四级不同安全级别保护的要求。 以密码技术为核心的融合信息安全解决方案,可以充分兼顾电子政务现有复杂的网络和应用环境,在部署过程中,基本不影响各政务机构现有网络和业务。 丰富的大型业务网络环境实施经验,拥有数十个大型企业和政府机构信息安全体系建设经验。
等级保护工作开展参考资料文档说明 1 ) 目标对象: 客户单位的信息主管/计算机信息系统运维管理人员 2)文档功能:与客户一起探讨“信息安全等级保护工作开展”工作方法 一.等级保护整体服务方案 图1等级保护整体服务方案工作流程图 等级保护的建设是个长期的过程,需要花费大量的时间、精力和财力,本着为用户服务的态度,“中国信息安全测评服务方华中测评服务中心”推出了等级保护专业服务,提供包括定级备案、差距分析、方案制订、实施、测评、检查等各个环节的服务,通过自身的安 全产品、安全服务,可协助用户完成等级保护各个阶段的实施和建设,确保用户严格按照等 级保护的过程规划并建设自己的安全保障体系,更好地支撑应用和业务的开展,为用户信息安全保障体系保驾护航 测评服务方在等级保护各个阶段将协助用户完成上图的任务和工作。具体包括: 1)等级保护定级备案 对信息系统进行划分,并根据信息系统的价值确定信息系统的保护等级, 评服务方将 协助用户完成保护等级的备案工作。 2)等级保护差距分析 通过风险评估可以发现信息系统的安全现状与需要达到的安全等级或目标的差异,使信 息系统的管理和使用单位可以在技术和管理方面进行有针对性的加强和完善,使单位的信息 等级确定后测等保定级备案 1)分析信息系统特点 2)对重要信息系统进 行摸底调查,确定定级 对象 3)完成〈〈定级报告》 4)协助专家评审和审 批 5)完成定级备案工作 等保整改与安全建设 1)明确整改思路 2)进行风险评估 3)通过现场访谈、现 场测试等方式,完成 〈〈差距分析报告》 4)形成等保整改和安 全建设方案 5)进行等保整改建设 等保测评 1)制定测评咨询工作 计划 2)准备等保测评所需 要的文档和资料 3)配合测评机构的现 场测评工作 等保检查 1)开展自查 2)进行行业检查 3)准备检查所需要的 文档和资料 4)配合公安机关的现 场检查工作
编号:AQ-BH-06499 ( 文档应用) 单位:_____________________ 审批:_____________________ 日期:_____________________ WORD文档/ A4打印/ 可编辑 信息安全等级保护工作实施方 案 Implementation scheme of information security classified protection
信息安全等级保护工作实施方案 说明:实施方案是指对某项工作,从目标要求、工作内容、方式方法及工作步骤等做出全面、具体而又明确 安排的计划类文书,是应用写作的一种文体。 为加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进我校信息化建设。根据商教发【2011】321号文件精神,结合我校实际,制订本实施方案。 一、指导思想 以科学发展观为指导,以党的十七大、十七届五中全会精神为指针,深入贯彻执行《信息安全等级保护管理办法》等文件精神,全面推进信息安全等级保护工作,维护我校基础信息网络和重要信息系统安全稳定运行。 二、定级范围 学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。 三、组织领导
(一)工作分工。定级工作由电教组牵头,会同学校办公室、安全保卫处等共同组织实施。 学校办公室负责定级工作的部门间协调。 安全保卫处负责定级工作的监督。 电教组负责定级工作的检查、指导、评审。 各部门依据《信息安全等级保护管理办法》和本方案要求,开展信息系统自评工作。 (二)协调领导机制。 1、成立领导小组,校长任组长,副校长任副组长、各部门负责人为成员,负责我校信息安全等级保护工作的领导、协调工作。督促各部门按照总体方案落实工作任务和责任,对等级保护工作整体推进情况进行检查监督,指导安全保密方案制定。 2、成立由电教组牵头的工作机构,主要职责:在领导小组的领导下,切实抓好我校定级保护工作的日常工作。做好组织各信息系统运营使用部门参加信息系统安全等级保护定级相关会议;组织开展政策和技术培训,掌握定级工作规范和技术要求,为定级工作打
信息安全等级保护(三级) 建设方案
目录 1. 前言 (4) 1.1 概述 (4) 1.2 相关政策及标准 (5) 2. 现状及需求分析 (6) 2.1. 现状分析 (6) 2.2. 需求分析 (6) 3. 等保三级建设总体规划 (8) 3.1. 网络边界安全建设 (8) 3.2. 日志集中审计建设 (8) 3.3. 安全运维建设 (8) 3.4. 等保及安全合规性自查建设 (9) 3.5. 建设方案优势总结 (10) 4. 等保三级建设相关产品介绍 (13) 4.1. 网络边界安全防护 (13) 4.1.1 标准要求 (13) 4.1.2 明御下一代防火墙 (15) 4.1.3 明御入侵防御系统(IPS) (21) 4.2. 日志及数据库安全审计 (24) 4.2.1 标准要求 (24)
4.2.2 明御综合日志审计平台 (28) 4.2.3 明御数据库审计与风险控制系统 (32) 4.3. 安全运维审计 (37) 4.3.1 标准要求 (37) 4.3.2 明御运维审计和风险控制系统 (38) 4.4. 核心WEB应用安全防护 (43) 4.3.1 标准要求 (43) 4.3.2 明御WEB应用防火墙 (44) 4.3.3 明御网站卫士 (48) 4.5. 等保及安全合规检查 (51) 4.5.1 标准要求 (51) 4.5.2 明鉴WEB应用弱点扫描器 (52) 4.5.3 明鉴数据库弱点扫描器 (55) 4.5.4 明鉴远程安全评估系统 (59) 4.5.5 明鉴信息安全等级保护检查工具箱 (62) 4.6. 等保建设咨询服务 (64) 4.6.1 服务概述 (64) 4.6.2 安全服务遵循标准 (65) 4.6.3 服务内容及客户收益 (66) 5. 等保三级建设配置建议 (67)
信息系统等级保护建设 指导要求 (三级)
目录 1. 围................................................................................................................................. 错误!未定义书签。 2. 项目背景 ................................................................................................................... 错误!未定义书签。 2.1. 前言............................................................................................................... 错误!未定义书签。 2.2. 开展信息安全等级保护的法规、政策和技术依据 ....................... 错误!未定义书签。 2.2.1信息安全等级保护有关法规、政策、文件 ............................... 错误!未定义书签。 2.2.2信息安全等级保护技术标准体系及其关系 ............................... 错误!未定义书签。 3. 方案设计要求 (4) 3.1. 方案设计思想 (4) 3.1.1构建符合信息系统等级保护要求的安全体系结构 (4) 3.1.2建立科学实用的全程访问控制机制 (4) 3.1.3加强源头控制,实现基础核心层的纵深防御 (5) 3.1.4面向应用,构建安全应用支撑平台 (6) 3.2. 建设原则 (6) 3.3. 建设容 (8) 3.3.1信息系统定级整改规划.................................................................... 错误!未定义书签。 3.3.2信息系统安全等级保护整体架构设计(三级)...................... 错误!未定义书签。 3.4. 计算环境安全设计 (10) 5.1.1用户身份鉴别....................................................................................... 错误!未定义书签。 5.1.2强制访问控制....................................................................................... 错误!未定义书签。 5.1.3系统安全审计 (11) 5.1.4用户数据完整性保护 (11) 5.1.5用户数据性保护.................................................................................. 错误!未定义书签。 5.1.6客体安全重用....................................................................................... 错误!未定义书签。 5.1.7程序可执行保护.................................................................................. 错误!未定义书签。 3.5. 区域边界安全设计 (11) 5.2.1区域边界访问控制 (11) 5.2.2区域边界包过滤 (14) 5.2.3区域边界安全审计 (15) 5.2.4区域边界完整性保护......................................................................... 错误!未定义书签。 3.6. 安全通信网络设计 (16) 3.7. 安全管理中心设计................................................................................... 错误!未定义书签。 4. 物理安全要求.......................................................................................................... 错误!未定义书签。 4.1. 信息系统中心机房安全现状................................................................. 错误!未定义书签。 4.2. 信息系统物理安全方面提出的要求................................................... 错误!未定义书签。 4.3. 信息系统物理安全建设.......................................................................... 错误!未定义书签。 5.3.1环境安全................................................................................................ 错误!未定义书签。 5.3.2设备安全................................................................................................ 错误!未定义书签。 5.3.3介质安全................................................................................................ 错误!未定义书签。 5. 管理安全要求.......................................................................................................... 错误!未定义书签。 5.1. 信息系统安全管理的要求 ..................................................................... 错误!未定义书签。 5.2. 信息系统安全管理建设设计................................................................. 错误!未定义书签。 6.2.1安全管理建设原则 ............................................................................. 错误!未定义书签。