中金所信息安全等级保护工作实施经验介绍

信息安全等级保护工作

实施经验介绍主要内容一、中金所等保工作情况简介二、等保工作的原则和思路三、等保测评经验分享四、测评关键点注意中金所等保工作情况简介

基本情况

中金所目前申报信息安全等级保护定级备案的系统有三个，其中两个三级系统，一个二级系统。1、交易系统（三级）；2、业务系统（三级）；3、互联网网站系统（二级）。

中金所等保工作情况简介

测评情况2009年申报定级并正式备案。2010年起，三个系统均每年测评一次。2010年的测评情况，两个三级系统测评项符合率均超过88%；一个二级系统测评项符合率超过96%。2011年的测评情况，两个三级系统测评项符合率均超过90%，高于上一年度；一个二级系统测评项符合率超过96%，与上年度基本持平。

中金所等保工作情况简介

系统建设

中金所于2006年开始筹备，并于当年开始信息系统建设工作。

在系统设计上，遵循国内外通行的信息安全基本原则，严格遵守国家有关法律法规、上级单位的有关规定，吸收借鉴行业内的先进经验。

中金所等保工作情况简介

自查与测评2007年，中金所信息系统建设已经初步完善。

在国家正式发布《信息安全等级保护管理办法》之后。我所依据信息安全等级保护已发布的相关标准文件进行了深入自查，并邀请有关单位对我所系统进行了测评，测评结果良好，但也发现了一些需要整改与完善的问题。中金所等保工作情况简介

整改与提高2008-2009年，我所对测评中发现的问题进行认真分析与讨论，在所领导统一部署下，分阶段完成了问题整改与系统完善工作；

2009年，信息系统正式申报定级备案。中金所等保工作情况简介

定期测评完善2010年起，邀请国家指定的测评机构进行测评；

对测评中发现的问题，能立即整改的则进行整改；暂不能整改的，专人进行记录，督促相关岗位择机整改。

所领导特别要求总结问题原因，寻根究底，举一反三，确保已发生的问题未来不再重现。主要内容一、中金所等保工作情况简介二、等保工作开展的原则和思路三、等保测评经验分享四、测评关键点注意等保工作开展的原则和思路领导重视是关键全员意识是核心扎实工作是保证基本原则：等保工作作开展的的原则和和思路领导重视视是关键键我所领导导始终重重视信息息安全工工作，将将严格遵遵守国家家有关法法律法规规及上级级单位规规定，作作为不可可逾越的的红线来来抓。信息系统统建立初初期，就就建立起起分工明明确、协协作高效效的信息息安全组组织架构构。等保工作作开展的的原则和和思路领导重视视是关键键信息安全全组织架架构建立立本身就就是《信息系统统安全等等级保护护基本要要求》中的一项项重要要要求。众多事实实和经验验证明，，领导重重视是确确保信息息系统安安全的核核心要素素之一，，也是推推进信息息系统安安全等级级保护工工作的必必备要素素。可以想象象，领导导都不重重视的工工作，其其执行力力会是怎怎样？等保工作作开展的的原则和和思路全员意识识是核心心信息安全全工作不不是领导导和部分分人员的的工作，，需要全全员参与与、统筹筹调度，，只有全全员意识识到位，，才能把把工作做做好。我所每年年安排多多次全员员信息安安全意识识培训，，各部门门领导、、员工对对信息安安全等级级保护工工作的重重要性均均有清晰晰的认识识。反复的培培训、宣宣传是必必不可少少的！等保工作作开展的的原则和和思路扎实工作作是保证证信息系统统安全等等级保护护工作不不是靠口口头说教教、制定定好制度度就能做做好的，，扎扎实实实地将将标准规规定的内内容落实实、把各各项制度度落到实实处是做做好等保保工作的的保证。。技术部门门是信息息安全等等级保护护工作的的重点部部门之一一，在信信息系统统建设、、完善中中重视每每一处细细节，才才能将等等保技术术要求落落实好。。等保工作作开展的的原则和和思路扎实工作作是保证证安全管理理不是空空泛的口口号，要要把安全全管理制制度的内内容融入入到日常常工作中中。发现与实实际工作作不匹配配、内容容不完善善的制度度要随着着实践的的深入不不断修订订完善。。实际去做做了，才才能发现现问题、、解决问问题！等保工作作开展的的原则和和思路新建系统统，严格格要求，，一步到到位改建系统统，统筹筹规划，，适时完完善安全工作作融入日日常管理理关键要求求必须符符合循序渐进进逐步提提高主要思路路：等保工作作开展的的原则和和思路新建系统统，严格格要求，，一步到到位新建系统统的设计计上应该该严格要要求，采采用的标标准尽可可能靠高高不靠低低；一次次设计、、实施后后即符合合等保要要求。我所在新新一代系系统的设设计中，，总结以以往建设设经验，，采取更更严格的的设计，，力求不不走弯路路。设计之初初存在的的问题，，依靠未未来完善善将困难难重重！！等保工作作开展的的原则和和思路改建系统统，统筹筹规划，，适时完完善改建系统统部分无无法完全全符合等等级保护护测评要要求的问问题，要要及早统统筹规划划，选择择合适的的时机进进行完善善。系统改建建将可能能影响业业务的运运行，因因此不能能盲目地地变更修修改，需需要在整整体上统统筹规划划，制定定整改时时间表，，选择合合适的时时机进行行完善。。没有统筹筹规划的的变更可可能带来来更大的的安全隐隐患！等保工作作开展的的原则和和思路安全工作作融入日日常管理理把安全工工作融入入到日常常管理中中，久而而久之，，形成习习惯，难难做的事事情就会会变得容容易做。。我所的安全全制度、操操作规范都都具有很强强的操作性性，制度是是靠各岗位位共同分析析讨论制定定且不断完完善的。日常工作符符合安全规规范，就不不会觉得安安全工作难难做！等保工作开开展的原则则和思路关键要求必必须符合信息系统安安全等级保保护工作虽虽然没有特特别说明哪哪些要求是是必须符合合的，但是是一些属于于信息安全全基本原则则性的要求求是必须符符合的。例如：可用用性要求很很高的环境境下的单点点故障、弱弱访问控制制、设备或或系统弱口口令、密码码明文保存存等相关要要求，都是是严格符合合的要求。。核心原则与与要求不能能违背！等保工作开开展的原则则和思路循序渐进逐逐步提高想要百分之之百完全符符合信息系系统安全等等级保护所所有要求可可能存在困困难，而且且即使是暂暂时符合了了，随着系系统的运行行，系统可可能遭受的的风险并不不可能消失失，所以必必须不断完完善与提高高，这是一一个循序渐渐进的过程程。测评通过不不是高枕无无忧！主要内容一、中金所所等保工作作情况简介介二、等保工工作开展的的原则和思思路三、等保等等保经验分分享四、测评关关键点注意意等保测评经经验分享支持：获得得领导的支支持意识：不把把等保测评评当负担自查：测评评前要认真真自查沟通：与测测评机构保保持良好沟沟通测评：实事事求是，目目的就是要要发现问题题整改：问题题要扎扎实实实整改提高：靠日日常管理，，不靠年年年“搞运动动”主要经验：：等保测评经经验分享支持：获得得领导的支支持如果本单位位领导都对对信息系统统安全等级级保护工作作不重视，，那么等保保测评工作作基本上就就可能成为为应付差事事的表面文文章。所以测评前前一定要获获得单位最最高领导、、分管领导导、部门领领导的大力力支持。我所领导反反复强调等等保工作的的重要性，，对发现的的问题都要要求反思、、整改、汇汇报结果。。等保测评经经验分享支持：获得得领导的支支持各部门、员员工能切实实感到领导导的重视及及压力，才才能顺利开开展协调组组织工作。。领导的支持持与重视在在等保标准准中有明确确要求。《信息系统安安全等级保保护基本要要求》7.2.2.1（c）：应成立立指导和管管理信息安安全工作的的委员会或或领导小组组，其最高高领导由单单位主管领领导委任或或授权。当压力转化化为动力，，工作开展展就容易了了！等保测评经经验分享意识：不把把等保测评评当负担要树立等保保测评是好好事，不是是负担的意意识。外部测评机机构均具有有丰富的经经验，请他他们来帮自自己找问题题是一个难难得的机会会。是一个个很好的学学习、交流流、提高的的机会。我所历来来抱着欢欢迎测评评的态度度开展工工作。不不同的人人从不同同的角度度来检查查可能会会发现我我们忽视视了的问问题。等保测评评经验分分享意识：不不把等保保测评当当负担在测评前前，难免免会有部部分员工工对测评评工作不不理解，，觉得测测评就是是来“挑挑毛病””的思思想。应该通过过反复宣宣传使所所有员工工对测评评有一个个清醒的的认识——及早发现现问题予予以整改改，比这这些“毛毛病”在在未来酿酿成大祸祸好。换个角度度去看待待测评工工作，也也许就不不再觉得得“头疼疼”了！！等保测评评经验分分享自查：测测评前要要认真自自查在测评前前，要对对信息系系统进行行自查。。一些显显而易见见的问题题要及时时整改。。违反核核心原则则的问题题如果不不整改，，系统不不可能通通过测评评。可以对照照《证券期货货业信息息系统安安全等级级保护三三级系统统测评（（自查））表》《证券期货货业信息息系统安安全等级级保护二级系统测测评（自自查）表表》逐条检查查。建议把每每条内容容记录在在案，是是否符合合一目了了然。等保测评评经验分分享自查：测测评前要要认真自自查自查绝对对不能停停留在表表面，要要对实际际情况做做梳理和和检查，，就可以以对本系系统的符符合情况况有一个个清醒的的认识。。将查找到到的问题题汇总、、分析、、讨论后后进行整整改。我所自查查一般是是每季度度执行一一次。自己都不不清楚本本单位信信息系统统中的问问题，那那一定是是问题重重重！等保测评评经验分分享沟通：与与测评机机构保持持良好沟沟通要和当地地测评机机构保持持良好的的沟通与与协调。。较好的的办法是是在测评评前即与与拟定的的测评机机构建立立沟通机机制，对对于测评评要求中中不能把把握的测测评项，，可以向向测评机机构的资资深人员员进行咨咨询。选择在本本行业内内做过多多次测评评的机构构可能更更有利于于测评工工作的开开展。良好的沟沟通是测测评工作作顺利开开展的前前提条件件之一！！等保测评评经验分分享测评：实实事求是是，目的的就是要要发现问问题测评工作作中，实实事求是是，保持持开放的的态度，，不回避避问题，，测评机机构提出出的检查查点全力力配合。。“一句谎谎话要用用十句谎谎话去圆圆”，抱抱着与测测评机构构相同的的目的才才能真正正找到问问题，更更加有利利于整改改。一次次查到问问题要比比下一次次继续掩掩盖好得得多。对测评机机构不怀怀有抵触触情绪，，配合检检查才能能发现潜潜在问题题！等保测评评经验分分享整改：问问题要扎扎扎实实实整改测评中发发现的问问题，要要扎扎实实实地整整改，确确保下次次不再发发生。部分测评评项几乎乎很难满满足，可可以和测测评机构构进行沟沟通、解解释、说说明，最最终是否否认可取取决于测测评机构构。除关键问问题外，，有些问问题虽然然存在，，但如果果有合理理的补偿偿控制措措施，在在整体评评估中会会被视为为符合。。及早将问问题整改改能大大大降低信信息系统统风险！！等保测评评经验分分享提高：靠靠日常管管理，不不靠年年年“搞运运动”信息系统统安全的的提高主主要应该该依靠日日常管理理和控制制，不能能靠年年年“搞运运动”。。风险是随随着系统统运行不不断累加加的，仅仅仅依靠靠测评来来降低系系统风险险不切实实际。日日常的信信息安全全管理才才是最重重要的。。测评是检检查手段段，不是是检查目目的。日常工作作中加强强信息安安全管理理，测评评就变得得简单！！主要内容容一、中金金所等保保工作情情况简介介二、等保保工作开开展的原原则和思思路四、测评评关键点点注意三、等保保测评经经验分享享测评关键键点注意意测评通过过的基本本原则原则上测测评所有有项中，，符合率率大于60%，不符合合率小于于15%，且不存存在高风风险安全全问题即即可通过过。但由于各各单位系系统规模模、重要要程度以以及对保保密性、、可用性性方面的的要求有有所不同同，很难难对高风风险问题题作一个个绝对的的判断，，一般还还是根据据实际情情况分析析确定。。所以要向向测评机机构详细细说明业业务重要要程度等等信息。。测评关键键点注意意常见高风风险安全全问题1、网络访访问控制制措施存存在明显显不足，，甚至无无任何访访问控制制设备，，主机所所有端口口全部暴暴露在外外的。2、主要网网络设备备、安全全设备配配置极其其不当的的，如口口令很弱弱、甚至至无口令令、直接接可通过过Internet登录等。。3、Windows主机无任任何防恶恶意代码码措施，，且网络络上也未未采取补补偿措施施的。测评关键键点注意意常见高风风险安全全问题4、主机操操作系统统、数据据库存在在极高风风险漏洞洞、弱口口令等情情况，可可被直接接利用进进行攻击击的。5、应用系系统存在在SQL注入等极极高风险险安全漏漏洞的。。6、应用系系统存在在访问控控制旁路路漏洞，，可在未未进行身身份鉴别别，或以以低权限限用户身身份就可可越权访访问高权权限用户户才能使使用的功功能。测评关键点点注意常见高风险险安全问题题7、对可用性性要求较高高的系统存存在明显单单点故障隐隐患。8、对保密性性要求较高高的系统（（如网上交交易系统））存在敏感感信息（如如用户口令令）明文传传输、保存存等问题。。9、管理制度度、记录等等文档缺失失严重。谢谢！9、静夜四无邻邻，荒居旧业业贫。。12月-2212月-22Thursday,December8,202210、雨中黄叶叶树，灯下下白头人。。。07:45:5507:45:5507:4512/8/20227:45:55AM11、以我独独沈久，，愧君相相见频。。。12月-2207:45:5507:45Dec-2208-Dec-2212、故人江江海别，，几度隔隔山川。。。07:45:5507:45:5507:45Thursday,December8,202213、乍见见翻疑疑梦，，相悲悲各问问年。。。12月月-2212月月-2207:45:5507:45:55December8,202214、他乡生生白发，，旧国见见青山。。。08十十二月20227:45:55上午午07:45:5512月-2215、比不了了得就不不比，得得不到的的就不要要。。。十二月227:45上午午12月-2207:45December8,202216、行动动出成成果，，工作作出财财富。。。2022/12/87:45:5507:45:5508December202217、做做前前，，能能够够环环视视四四周周；；做做时时，，你你只只能能或或者者最最好好沿沿着着以以脚脚为为起起点点的的射射线线向向前前。。。。7:45:55上上午午7:45上上午午07:45:5512月月-229、没有失败败，只有暂暂时停止成成功！。12月-2212月-22Thursday,December8,202210、很多事情情努力了未未必有结果果，但是不不努力却什什么改变也也没有。。。07:45:5507:45:5507:4512/8/20227:45:55AM11、成功就是是日复一日日那一点点点小小努力力的积累。。。12月-2207:45:5507:45Dec-2208-Dec-2212、世间成事事，不求其其绝对圆满满，留一份份不足，可可得无限完完美。。07:45:5507:45:5507:45Thursday,December8,202213、不不知知香香积积寺寺，，数数里里入入云云峰峰。。。。12月月-2212月月-2207:45:5507:45:55December8,202214、意志坚坚强的人人能把世世界放在在手中像像泥块一一样任意意揉捏。。08十十二月20227:45:55上午午07:45:5512月-2215、楚塞三湘湘接，荆门门九派通。。。。十二月227:45上上午12月-2207:45December8,202216、少年十五五二十时，，步行夺得得胡马骑。。。2022/12/87:45:5507:45:5508December202217、空山新雨雨后，天气气晚来秋。。。7:45:55上上午7:45上上午07:45:5512月-229、杨杨柳柳散散和和风风，，青青山山澹澹吾吾虑虑。。。。12月月-2212月月-22Thursday,Dece