电子政务信息系统安全防护相关要求-王存祥-IT服务研讨会

电子政务信息系统安全防护相关要求山东省信息中心山东信息协会2017年2月于济南提纲现状与形势电子政务信息网络系统发展演变信息系统安全等级保护基础发改高技[2012]1986号信息系统安全分级保护管理办法2015年网络安全状况基础通信网络安全防护水平进一步提升基础电信企业逐年加大网络安全投入，加强通信网络安全防护工作的体系、制度和于段建设，推动相关工作系统化、规范化和常态化。我国域名系统抗拒绝服务攻击能力显著提升CNCERT/CC监测发现，2015年针对我国域名系统的DDoS攻击流量进一步增大。但2015年发生的多起针对重要域名系统的DDoS攻击均未对相关系统的域名解析服务造成严重影响，反映出我国重要域名系统普遍加强了安全防护措施，抗DDoS攻击能力显著提升。2015年网络安全状况工业互联网面临的网络安全威胁加剧新一代信息技术与制造业深度融合，工业互联网成为推动制造业向智能化发展的重要支撑。近年来，国内外已发生多起针对工业控制系统的网络攻击，攻击手段也更加专业化、组织化和精确化。2015年，国家信息安全漏洞共享平台(以下简称“CNVD”)共收录工控漏洞125个，发现多个国内外工控厂商的多款产品普遍存在缓冲区溢出、缺乏访问控制机制、弱口令、目录遍历等漏洞风险，可被攻击者利用实现远程访问。2015年网络安全状况针对我国重要信息系统的高强度有组织攻击威胁形势严峻2015年，我国境内有近5000个IP地址感染窃密木马，存在失泄密和运行安全风险。针对我国实施的APT攻击事件也在不断曝光，例如境外"海莲花"黑客组织多年以来针对我国海事机构实施APT攻击;国内安全企业发现一起名为APT-TOCS的长期针对我国政府机构的攻击事件。2015年7月发生的HackingTeam公司信息泄露事件，揭露了部分国家相关机构雇佣专业公司对我国重要信息系统目标实施网络攻击的情况。2015年网络安全状况我国境内木马和僵尸网络控制端数量再次下降，首次出现境外木马和僵尸网络控制端数量多于境内的现象2015年，共发现10.5万余个木马和僵尸网络控制端，控制了我国境内1978万余台主机。其中，位于我国境内的控制端近4.1万个，较2014年下降34.1%，并继续保持下降趋势；境外有6.4万余个木马和僵尸网络控制端，较2014年大幅增长51.8%。2015年网络安全状况个人信息泄露事件频发2015年我国发生多起危害严重的个人信息泄露事件，例如某应用商店用户信息泄露事件、约10万条应届高考考生信息泄露事件、酒店入住信息泄露事件、某票务系统近600万用户信息泄露事件等。针对安卓平台的窃取用户短信、通信录、微信聊天记录等信息的恶意程序爆发。安卓平台感染此类恶意程序后，大量涉及个人隐私的信息被通过邮件发送到指定邮箱。个人信息泄露引发网络诈骗和勒索等“后遗症”因用户个人隐私泄露，攻击者利用用户账户密码等信息结合苹果手机的防遗失功能，对用户进行锁机勒索，勒索不成则远程删除用户手机数据。2015年网络安全状况移动互联网恶意程序数量仍大幅增长2015年，CNCERT/CC通过自主捕获和厂商交换获得移动互联网恶意程序数量近148万个，较2014年增长55.3%，主要针对安卓平台。按恶意行为进行分类，排名前三位的恶意行为分别是恶意扣费类、流氓行为类和远程控制类。主流移动应用网店安全状况明显好转，大量移动恶意程序的传播渠道移动到网盘或广告平台等网站2015年网络安全状况应用软件供应链安全问题凸显2015年先后曝出多起应用软件开发工具被植入恶意代码，导致使用这些工具开发的应用软件出现安全问题的事件。9月，CNCERT/CC监测发现，苹果开发工具Xcode被植入XcodeGhost恶意代码，导致使用该工具开发的苹果APP被植入恶意代码。国内数百款知名的APP均受到感染，这些恶意APP绕过苹果AppStore安全审核机制供用户下载。截至9月18日，全国受感染用户达2140万。10月，网上披露了“WormHole”漏洞，该漏洞存在于国内某公司开发的一款公共开发套件中，影响集成此套件的该公司系列APP及其他20余款APP。2015年网络安全状况DDoS攻击仍然是我国互联网面临的严重安全威胁之一近年来，DDoS攻击的方式和手段不断发生变化。自2014年起，利用互联网传输协议的缺陷发起的反射型DDoS攻击日趋频繁，增加了攻击防御和溯源的难度。几乎不需要技术基础即可使用的DDoS攻击服务平台在互联网上大量出现，DDoS攻击以服务形式在互联网上公开叫卖，这些平台的出现极大地降低了DDoS攻击技术门槛，使攻击者可以轻易发起大流量攻击。2015年网络安全状况网络安全高危漏洞频现，网络设备安全漏洞风险依然较大2015年，CNVD共收录安全漏洞8080个，较2014年减少11.8%。其中，高危漏洞收录数量高达2909个，较2014年增长21.5%;可诱发零日攻击的漏洞1207个(即收录时广商未提供补丁)，占14.9%。涉及重要行业和政府部门的高危漏洞事件持续增多，修复进度未跟上步伐CNCERT/CC抽取2015年12月通报的安全漏洞事件进行修复验证，发现政府部门网站系统漏洞隔月修复率仅为52.7%，涉及网络基础设施的漏洞隔月修复率为81.3%，可见部分漏洞修复不及时。2015年网络安全状况智能联网设备暴露出的安全漏洞问题严重乘着"互联网+"的新机遇，各行业与互联网深度融合，智能联网设备也逐渐在各行业广泛使用，漏洞威胁也在逐步增加。2015年，CNVD共收录739个移动互联网设备或软件产品漏洞;通报了多款智能监控设备、路由器等存在被远程控制高危风险漏洞的安全事件。2015年网络安全状况网页仿冒事件数量暴涨CNCERT/CC监测发现，2015年针对我国境内网站的仿冒页面数量达18万余个，较2014年增长85.7%。其中，针对金融支付的仿冒页面数量上升最快，较2014年增长6.37倍;针对娱乐节目中奖类的网页仿冒页面数量也较2014年增长1倍。2015年网络安全状况植入暗链是网页篡改的主要攻击方式2015年我国境内近2.5万个网站被篡改，其中被篡改政府网站有898个，较2014年减少49.1%。从网页篡改的方式来看，我国被植入暗链的网站占全部被篡改网站的比例高达83%，在被篡改的政府网站中，超过85%的网页篡改方式是植入暗链。植入暗链已成为黑客地下产业链牟利方式之一，2015年CNCERT/CC处置参与网页篡改攻击的博彩、私服等非法网站链接6320个，通知5609个被植入暗链网站用户单位对网站进行修复。2016年中国网络安全大事敲诈者病毒泛滥成为网络安全新态势2016年，恶意程序依然猖獗，其中敲诈者病毒在全球的攻击量疯长了3倍，平均每40秒就有一家企业被感染，平均每10秒就有一个个人用户中招。大规模爆发的敲诈者病毒向企业、医院、银行、政府机构、企事业单位及律师、作家等群体进行攻击，窃取高价值文件。2016年中国网络安全大事徐玉玉受骗致死等多起电信网络诈骗犯罪案件震动全国2016年8月19日，山东省临沂市高考录取新生徐玉玉被诈骗导致心脏衰竭死亡。8月12日，山东理工大学学生宋振宁被诈骗导致心脏骤停；7月19日，广东省惠来县高考录取新生蔡淑妍被诈骗导致身亡。8月29日，清华大学某教授1760万购房款被骗。这些事件暴露出我国大量网站和公共服务安全投入不足，安全责任不清，以及过量采集信息，保管信息不当，导致个人信息泄露严重，被网络犯罪利用，最终酿成人员死亡和财产损失的惨痛教训。2016年中国网络安全大事“十三五”规划全面加强网络安全”2016年3月17日，《中华人民共和国国民经济和社会发展第十三个五年规划纲要》发布。网络安全和信息化工作在“十三五”规划中得到全面加强。“十三五”规划第六篇《拓展网络经济空间》指出，实施网络强国战略，统筹网络安全和信息化发展，完善国家网络安全保障体系，强化重要信息系统和数据资源保护，提高网络治理能力，保障国家信息安全，并强调全面保障重要信息系统安全，积极发展信息安全产业。2016年中国网络安全大事《国家信息化发展战略纲要》统筹网络安全和信息化发展2016年7月27日，中共中央办公厅、国务院办公厅印发《国家信息化发展战略纲要》。《纲要》明确了分三步走实现网络强国目标。《纲要》面向新时期维护国家安全的重大需求，对网络安全工作做出了新的顶层设计。《纲要》遵循网络安全和信息化的内在规律，进一步阐释了安全与发展的辩证关系，聚焦解决安全隐患，强调积极防御，主动应对，并增强网络安全防御能力和威慑能力，对实现网络安全和信息化“一体之两翼、驱动之双轮”的网络强国目标具有重大现实和指导意义。2016年中国网络安全大事国家网络安全宣传周制度化、常态化2016年5月19日，中央网信办、教育部、工信部、公安部、新闻出版广电总局、共青团中央等六部门联合印发了《国家网络安全宣传周活动方案》。方案明确从2016年开始，网络安全宣传周于每年9月第三周在全国各省区市统一举行。2016年中国网络安全大事国内多所大学设立网络安全学院2016年6月6日，中央网络安全和信息化领导小组办公室等六部门下发了《关于加强网络安全学科建设和人才培养的意见》；2016年已有首批29所院校获得网络空间安全一级学科博士学位授权资格；自从2015年网络安全成为国家一级学科以来，国家加大投入主要用于奖励网络安全优秀人才、优秀教师、优秀标准、优秀教材，资助网络安全专业优秀学生的学习和生活，支持国家网络空间安全人才培养基地建设工作，多所大学相继设立了网络安全学院。2016年中国网络安全大事三部门联合发文加强国家网络安全标准化工作2016年８月24日，经中央网络安全和信息化领导小组同意，中央网信办、国家质检总局、国家标准委联合印发《关于加强国家网络安全标准化工作的若干意见》，对加强网络安全标准化工作作出部署。《意见》明确，全国信息安全标准化技术委员会在国家标准委的领导下，在中央网信办的统筹协调和有关网络安全主管部门的支持下，对网络安全国家标准进行统一技术归口，统一组织申报、送审和报批；探索建立网络安全行业标准联络员机制和会商机制；建立重大工程、重大科技项目标准信息共享机制；建立军民网络安全标准协调机制和联络员机制等相关举措。2016年中国网络安全大事六部委联手重拳打击电信网络诈骗犯罪2016年9月23日，最高人民法院、最高人民检察院、公安部、工业和信息化部、中国人民银行、中国银行业监督管理委员会等六部门联合发布《关于防范和打击电信网络诈骗犯罪的通告》，分别对公安机关、检察院、法院、电信企业、各商业银行等打击治理电信网络诈骗提出具体要求，自发布之日起施行。《通告》落实了《中华人民共和国刑法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》等有关规定，对利用网络安全技术防范电信网络诈骗具有重要的指导意义。2016年中国网络安全大事我国加强同美、俄、英网络空间安全合作2016年，我国同世界主要国家的网络空间安全沟通密切，合作取得重要成果。例如：5月11日，中美第二次中美打击网络犯罪及相关事项高级别对话在美国华盛顿举行，双方就“网络空间的国家行为规则及其他关键国际安全问题”议题进行会谈。６月14日，首次中英高级别安全对话在北京举行，中英双方就打击恐怖主义、打击网络犯罪及相关事项、打击有组织犯罪和国际地区安全问题合作四个方面达成对话成果声明；6月25日，习近平主席和俄罗斯总统普京发布《中华人民共和国主席和俄罗斯联邦总统关于协作推进信息网络空间发展的联合声明》；12月7日，第三次中美打击网络犯罪及相关事项高级别对话在华盛顿举行，就推进打击网络犯罪、网络安全合作、完善热线联络机制、网络反恐合作、情报信息共享等达成广泛共识，取得积极成果，在落实两国元首达成的共识方面取得重要进展。2016年中国网络安全大事《中华人民共和国网络安全法》出台2016年11月7日，十二届全国人大常委会第二十四次会议经表决，通过了《中华人民共和国网络安全法》，将于2017年6月1日起正式施行。《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律，是我国网络空间法治建设的顶层架构和重要里程碑，是依法治网、化解网络风险的法律重器，为实现国家网络空间治理体系和治理能力现代化提供了重要的法律保障。《网络安全法》的推出并实施，将有助于全面提升全社会网络安全意识和网络安全能力，使我国网络安全建设进入法制化的快车道。2016年中国网络安全大事《国家网络空间安全战略》首次发布2016年12月27日，经中央网络安全和信息化领导小组批准，国家互联网信息办公室发布《国家网络空间安全战略》。这是我国首次发布关于网络空间安全的国家战略。《战略》分为引言、机遇与挑战、目标、原则、战略任务共5部分，传承了习近平主席关于网络强国建设的系列思想，首次明确了中国网络空间安全战略的基本方针和主要任务，阐明了中国关于网络空间安全和发展的重大立场与核心主张，是指导国家网络空间安全工作的纲领性文件。信息安全形势当前，我国关键信息基础设施面临的网络安全形势严峻复杂，大量党政机关网络被攻击篡改，网站平台大规模数据泄露事件频发，生产业务系统安全隐患突出，甚至有的系统长期被控，面对高级别持续性的网络攻击，防护能力十分欠缺，加之网络安全威胁具有很强的隐蔽性，“谁进来了不知道、是敌是友不知道、干了什么不知道”，亟须摸清家底加强风险评估和防范。信息安全形势互联网正在对国际政治、经济、军事活动等带来重大制约。近期发生的美国大选“邮件门”、奥林匹克禁药风波，背后无一没有网络的影子。近年来国家支持的网络攻击活动频繁，引起了各国对网络战争的担忧，尤其是“火焰”等病毒威力强大，足以用来攻击任何一个国家，更使人相信未来针对一个国家发动网络攻击，以瘫痪该国的关键基础设施，并非绝无可能。信息安全形势针对关键基础设施的网络攻击将可能给被攻击的国家和社会造成灾难性的危害。为防御他国可能的上述攻击，美国等一些国家在积极开展网络武器研发，组建网络部队，并且通过立法方式授权军队在遭受网络攻击时使用武力进行攻击。面临来自美国的战略压力美网络战略中心从全面防御转向攻击威慑2015年12月，白宫向国会提交《网络威慑战略》，宣告其网络威慑理论正式成型。此后，网络手段将作为美国应对传统冲突的战术选项，网络威慑将成为与核威慑等同的国家威慑力量。大力发展网络攻防技术美提出，网络武器已经具备了核武器的杀伤能力。“震网”病毒实战化应用，表明已具备突破物理隔离机制控制核心内网的能力。面临来自美国的战略压力持续加强网络军事能力建设2010年5月21日率先建立网军司令部，建设133支网络战部队。极力使网络战合法化，宣布网络空间军事和情报属性与生俱来，军事目的的网络攻击和情报窃密合法。全球开展军事结盟，将网络攻击列为战争行为，“里斯本条约”将应对网络攻击纳入联合防御范畴。实施大规模网络监听全方位对我遏制打压限制中国企业进入美国市场。“中兴事件”仍悬而未决。炒作中国黑客威胁论。工业互联网存在的网络安全隐患国内近年来工业设备及系统联网发展迅速，且主要集中在北京、浙江、上海等经济发达地区，而且这些设备有一个很大的问题，就是普遍存在着安全漏洞。自2010年“震网”事件后，CNVD每年收录的工控产品漏洞数量始终处于高位。2015年共收录公开工控漏洞126个，基本覆盖了发现的联网工控设备及系统的所有品牌。工业互联网存在的网络安全隐患对工控企业的ERP系统、SCADA系统、DCS和PLC控制设备进行测试与分析，发现被测试系统的漏洞基本上都可以被利用，并且可以轻易获取系统的控制权限，涵盖制造、电力、水利、交通、燃气、智慧城市等多个领域共30多个系统。目前来自境外的安全威胁日益严重，威胁一是境外机构对我国工控系统进行扫描探测，威胁二是境外机构对我国工控系统进行渗透攻击。信息安全对策相关部门加大网络信息安全行政监管力度，坚决打击境内网络攻击行为通信行业积极行动，采取技术措施净化公共网络环境信息安全行业协会、互联网企业和安全厂商联合行动，有效开展网络安全行业自律深化网络安全国际合作，切实推动跨境网络安全事件有效处理信息安全对策2014年2月27日，中央成立网络安全和信息化领导小组，习近平担任组长；李克强、刘云山任副组长。“网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题，没有网络安全，就没有国家安全，没有信息化就没有现代化。”中共中央总书记、国家主席、中央军委主席、中央网络安全和信息化领导小组组长习近平（2014年）2月27日下午主持召开中央网络安全和信息化领导小组第一次会议并发表重要讲话。信息安全对策2016年4月19日，中央网络安全和信息化领导小组组长习近平总书记在北京主持召开网络安全和信息化工作座谈会并发表重要讲话。网信事业要发展，必须以人民为中心，要让亿万人民在共享互联网发展成果上有更多获得感，让互联网造福国家和人民。要在践行新发展的理念上现行一步，关键是创新发展，创新发展离不开科技自主创新。创新的主题是企业，创新的动力是大数据时代的巨大需求。信息安全对策中共中央政治局10月9日下午就实施网络强国战略进行第三十六次集体学习。中共中央总书记习近平在主持学习时强调，加快推进网络信息技术自主创新，加快数字经济对经济发展的推动，加快提高网络管理水平，加快增强网络空间安全防御能力，加快用网络信息技术推进社会治理，加快提升我国对网络空间的国际话语权和规则制定权，朝着建设网络强国目标不懈努力。网络强国战略思想之威胁判断审视我们面临的威胁，最现实的、日常大量发生的威胁不是从海上来，也不是从空中来，更不是从陆地上来，而是首先从网上来。信息安全对策习近平总书记、党中央、国务院高度重视信息网络安全。提出了明确要求，采取了一系列重大举措。国家不缺少信息网络安全的制度、政策、规范。国家不缺少信息网络安全的技术标准。我们不缺少智慧和办法。缺少的是重要行业部门实实在在抓落实。信息安全对策工业控制系统信息安全是国家网络和信息安全的重要组成部分，是推动中国制造2025、制造业与互联网融合发展的基础保障。2016年10月，工业和信息化部印发《工业控制系统信息安全防护指南》，指导工业企业开展工控安全防护工作。工业控制系统信息安全防护指南安全软件选择与管理配置和补丁管理边界安全防护物理和环境安全防护身份认证远程访问安全工业控制系统信息安全防护指南安全监测和应急预案演练资产安全数据安全供应链管理落实责任信息系统安全防护相关文件1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定计算机信息系统实行信息系统安全等级保护。2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）中明确指出：“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息系统安全等级保护制度，制定信息系统安全等级保护的管理办法和技术指南”。2004年公安部等四部委《关于信息系统安全等级保护工作的实施意见》（公通字[2004]66号）也指出：“信息系统安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度”。信息安全等级保护相关文件2007年6月22日，四部委联合签发了《信息安全等级保护管理办法》（公通字[2007]43号）2007年7月，四部委联合会签并下发了《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）《公安机关信息安全等级保护检查工作规范》（公信安[2008]736号）《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号）信息安全等级保护相关文件2007年8月,山东省公安厅、山东省保密局、山东省密码管理局和山东省信息办联合下发了《山东省重要信息系统安全等级保护定级工作方案》定级范围：

１电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。

２铁路、银行、海关、税务、民航、电力、证券、保险、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。

３市（地）级以上党政机关的重要网站和办公信息系统。

４涉及国家秘密的信息系统。政务网络发展历程互联网计算机网络逻辑隔离信息收集、发布，公众服务办公系统电子政务网络20世纪90年代末～21世纪00年代初政务网络发展历程中办发[2002]17号

电子政务网络由政务内网和政务外网构成，两网之间物理隔离，政务外网与互联网之间逻辑隔离。中办发[2006]18号

政务内网和政务外网的建设要按照信息安全等级保护的有关要求，分别采取相应的保护措施。政务网络发展历程互联网政务外网政务内网（业务专网）逻辑隔离物理隔离信息收集、发布，公众服务内部业务处理办公系统办公系统电子政务外网21世纪00年代末～21世纪10年代初政务网络发展历程发改高技[2012]1986号

加强国家电子政务内网业务应用支撑能力建设，并严格按照涉密信息系统分级保护要求建设和管理国家电子政务内网。中共中央办公厅、国务院办公厅《关于进一步加强国家电子政务内网建设的指导意见》厅字[2014]28号

互联网政务外网政务内网（涉密网）逻辑隔离信息收集、发布，公众服务涉密业务处理办公系统办公系统电子政务外网政务网络发展历程物理隔离信息系统安全等级划分与保护第一级为自主保护级，主要对象为一般的信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益。第二级为指导保护级，主要对象为一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害。第三级为监督保护级，主要对象为涉及国家安全、社会秩序、经济建设和公共利益的信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害。第四级为强制保护级，主要对象为涉及国家安全、社会秩序、经济建设和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成严重损害。第五级为专控保护级，主要对象为涉及国家安全、社会秩序、经济建设和公共利益的重要信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。信息系统安全等级保护的实施与管理《信息系统安全等级保护基本要求》《信息系统安全等级保护定级指南》《信息系统安全等级保护实施指南》《信息系统安全等级保护测评准则》信息系统安全建设参考规范《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）《信息安全技术网络基础安全技术要求》（GB/T20270-2006）《信息安全技术操作系统安全技术要求》（GB/T20272-2006）《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006）《信息安全技术服务器技术要求》《信息安全技术终端计算机系统安全等级技术要求》（GA/T671-2006）信息系统安全运行管理规范《信息安全技术信息系统安全管理要求》（GB/T20269-2006）《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006）《信息系统安全等级保护基本要求》信息系统安全等级保护测评要求第三级信息系统应当每年至少进行一次等级测评第四级信息系统应当每半年至少进行一次等级测评第五级信息系统应当依据特殊安全需求进行等级测评信息安全等级保护的对象信息信息系统等级保护工作的三个方面对信息系统分等级实施安全保护对信息系统中使用的信息安全产品实行分等级管理对信息系统中发生的信息安全事件分等级响应、处置决定信息系统重要性的要素信息系统所属类型，即信息系统资产的安全利益主体

信息系统主要处理的业务信息类别

----决定信息系统内信息资产的重要性

信息系统服务范围，包括服务对象和服务网络覆盖范围

业务对信息系统的依赖程度

----决定信息系统所提供服务的重要性

信息系统安全保护等级

业务子系统的安全保护等级由业务信息安全性等级和业务服务保证性等级较高者决定。信息系统的安全保护等级由各业务子系统的最高等级决定。物理层面网络层面系统层面应用层面管理层面安全管理制度业务处理流程

业务应用系统数据库应用系统

身份鉴别机制强制访问控制防火墙入侵检测系统物理设备安全环境安全信息安全体系信息系统安全体系结构等级保护基本要求信息安全技术

物理安全：物理位置选择、物理访问控制、防盗和防破坏、防雷击、防火、防水、防潮湿、防静电、电力保障、电磁防护

网络安全：结构安全和网段划分、网络访问控制、拨号访问控制、网络安全审计、边界完整性检测、网络入侵防范、网络设备防护、恶意代码防范

主机系统安全：身份鉴别、自主访问控制、强制访问控制、安全审计、系统保护、剩余信息保护、入侵防范、恶意代码防范、资源控制

应用安全：身份鉴别、访问控制、安全审计、剩余信息保护、通信保密性、通信完整性、抗抵赖、软件容错、资源控制

数据安全：数据完整性、数据保密性、数据备份与恢复等级保护基本要求信息安全管理

安全管理机构：岗位设置、人员配置、授权与审批、沟通与合作、审核与检查

安全管理制度：管理制度、制定与发布、评审与修订

人员安全管理：人员录用、人员离岗、人员考核、安全意识教育与培训、第三方人员管理

系统建设管理：系统定级、系统备案、安全方案设计、产品采购、自行软件研发、外包软件开发、工程实施、工程验收

系统运维管理：环境管理、资产管理、介质管理、设备管理、监控管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件管理、应急预案管理信息化项目验收与监理报告项目竣工验收报告项目概述项目组织与进度计划项目实施方案项目主要内容（第三方软件测评报告）（效益分析报告）（财务审计报告）用户使用报告（图纸等附件）信息化项目验收与监理报告监理报告项目概述项目监理工作报告项目变更情况项目隐蔽工程材料收集项目评价相关监理材料防火墙系统管理示例岗位职能规划部署，配置测试防火墙状态监控防火墙日志分析安全事件的响应处理防火墙系统管理示例—岗位职能

防火墙的部署与运行维护工作对管理员技术能力要求比较高，需要管理人员具有较高的网络方面的管理技术；同时，根据指定的防火墙产品，还需要对防火墙管理人员提供必要的产品相关培训。防火墙系统管理示例—规划部署，配置测试防火墙位于网络的关键通道，对其安全规则实施的适应性有很高的要求，应当防止在配置上的错误以及对本单位安全策略的违背。防火墙完成初始配置之后，要求管理人员在网络针对防火墙配置进行一定的测试，期望能够预先发现可能出现的功能问题或性能问题，及时作出调整。防火墙系统管理示例—防火墙状态监控防火墙本身的异常状态对于整个网络的安全来说举足轻重。防火墙状态监控分为网络状态和系统状态，这两种状态的异常都意味着整个网络安全状况的异常。异常可能是由偶发的安全信息流引起，但更大的可能是出现了网络安全问题：安全威胁行为的发生，或者防火墙系统本身出现问题——这两者都必须引起管理人员关注。防火墙系统管理示例—防火墙日志分析防火墙管理员必须定期对防火墙收集的日志进行备份和分析。管理员每周必须对防火墙新产生的日志进行一次完整的分析，了解网络和信息系统所面临的安全威胁现状，并根据分析结果及时调整防火墙的安全规则配置。防火墙系统管理示例—安全事件的响应处理因为防火墙本身的安全性和正常运行影响着整个网络的安全性，所以防火墙监控的安全事件更多的是针对防火墙系统本身发生的可审计事件。对于防火墙的入侵/探测行为、越权/滥用行为，可以通过系统安全事件的审计进行预防和监测。防火墙对重要的安全事件进行实时的报警而不是日志备份，因此，管理员有能力及时地根据安全事件报警信息作出响应。管理员在收到防火墙发送的报警信息之后，应当尽快检查防火墙，以确定是否有危害网络安全的事件发生，并上报上级信息安全管理部门。网络日常管理中故障处理:示例通过对市局及以下网络拓扑结构和路由状况分析，对现有网络链路和核心网络设备可能存在的故障，研究制定相应的处理方法、应急预案和具体工作流程，为市局及以下网络管理员加强日常管理与故障维护处理提供参考，提升市局及以下网络与信息安全管理水平。网络日常管理中故障处理成立课题小组。成立了以信息中心副主任为组长，XXX、XXX为核心成员的课题攻关小组，科学分工、分步调研。探讨市局网络日常管理中存在的主要问题和解决流程，形成应急预案。深入区县局调研区县局、分局在网络日常管理中存在的主要问题和解决流程，形成应急预案。汇总以上两个方面的内容，形成结题汇报材料；过程中形成的主要制度和流程要一并下发落实。网络日常管理中故障处理网络现状及问题分析市级-区县-分局三级网络现状分析网络日常管理中的故障风险点分析目标

满足业务需求

提高网络安全性、稳定性，降低维护成本主要风险点分析

网络链路

网络设备网络日常管理中故障处理制定网络联席会议制度

组织由市局、区县局网络管理员、市级电信网络运营商和设备供应商共同参加