关于企业信息安全等级保护工作建设的探索
2024年信息安全等级保护工作总结范文(3篇)
2024年信息安全等级保护工作总结范文一、前言____年是信息化建设快速发展的一年,随着技术的不断进步和应用的广泛推广,信息安全无疑成为了当今社会发展中的重要议题。
作为信息安全保护的基本要求,信息安全等级保护工作在这一年得到了广泛的重视和推动。
本文将围绕____年信息安全等级保护工作的总结展开,以期对今后的信息安全保护工作提供有益的借鉴和参考。
二、工作回顾____年,信息安全等级保护工作在政府、企事业单位以及个人用户中得到了普遍的关注和认可。
在这一年的工作中,我们始终坚持信息安全的核心价值观,依法合规进行了一系列的信息安全保护工作。
具体来说,主要包括以下几个方面:1. 完善制度建设在____年信息安全等级保护工作过程中,我们注重制度建设,逐步完善了信息安全管理制度和相关文件。
我们建立了一套完备的信息安全管理制度体系,明确了责任分工、工作流程和工作要求。
通过制度建设的不断完善,我们对信息安全的管理和保护能力得到了显著提升。
2. 加强网络安全防护____年,网络安全形势依然严峻,网络攻击事件频繁发生。
为了应对这种形势,我们采取了一系列有效的网络安全防护措施。
首先,我们加强了对网络设备和系统的安全管理,及时更新了安全补丁,加强了账号密码管理和网络权限控制。
其次,我们加大了对网络攻击的监测和防护力度,建立了网络安全事件应急响应机制,及时处置了各类安全事件,降低了安全风险。
3. 提升员工信息安全素养信息安全等级保护工作不能仅仅依靠技术手段,更需要全员参与、共同推动。
因此,我们在____年进一步加大了对员工信息安全意识的培训和教育力度。
通过开展信息安全专项培训、发放安全宣传资料等方式,提高了员工的信息安全素养和技能水平,使员工能够主动防范信息安全风险。
4. 加强与合作单位的合作信息安全等级保护工作离不开与合作单位的紧密合作。
____年,我们进一步加强了与合作单位的合作,形成了合力。
在信息安全等级评估和认证方面,我们积极与相关机构合作,共同推动了信息安全等级保护工作的开展。
关于开展信息安全等级保护安全建设整改工作的指导意见
关于开展信息安全等级保护安全建设整改工作的指导意见信息安全是企业发展的重要基石,而信息安全等级保护是信息安全管理的重要手段。
为了进一步加强信息安全等级保护,保障企业信息系统、数据和业务的安全稳定运行,我们制定了以下。
一、重视信息安全等级保护工作信息安全等级保护是信息安全管理体系的重要组成部分,是企业信息安全管理的重要手段。
信息安全等级保护工作不仅关系到企业的核心业务和重要数据安全,更关乎企业的声誉和信誉。
因此,企业领导和各级管理人员要高度重视信息安全等级保护工作,明确信息安全等级保护的重要性和紧迫性,加强组织领导,明确责任分工,统筹推进。
二、建立完善的信息安全管理体系建立完善的信息安全管理体系是信息安全等级保护工作的基础和前提。
企业要根据自身情况,建立健全的信息安全管理组织架构,明确信息安全管理的工作职责和权限,制定信息安全相关政策和规范,确保信息安全管理工作的顺利开展。
同时,企业要健全信息安全管理制度,建立健全的信息安全管理流程,确保信息安全管理工作的科学化、规范化和持续化。
三、加强信息安全风险评估和防范信息安全等级保护工作需要加强风险管理和风险防范。
企业要开展信息安全风险评估,识别和评估信息安全风险,明确主要的信息安全威胁与风险,制定相应的风险防范措施,加强对信息安全风险的管控和防范,确保信息系统、数据和业务的安全稳定运行。
四、加强信息安全技术和管理能力建设信息安全技术和管理能力是信息安全等级保护的核心竞争力。
企业要加强信息安全技术和管理能力建设,培养信息安全专业人才,提升信息安全防护技术能力,加强信息安全管理水平,建立信息安全技术和管理能力的持续改进机制,保障信息安全工作的顺利开展。
五、监督检查和整改落实监督检查和整改落实是信息安全等级保护工作的核心环节。
企业要建立健全的信息安全等级保护监督检查机制,加强对信息安全等级保护工作的监督检查,发现并及时纠正信息安全管理存在的问题和风险,确保信息安全等级保护工作的有效落实。
关于信息安全等级保护的思考
关于信息安全等级保护的思考景乾元为什么要等级保护信息安全保护存在的主要问题与政策:正确的信息安全政策和策略是搞好国家信息安全保护工作的关键,而正确的信息安全保护政策和策略必须依赖于对信息安全问题的正确认识和信息安全保护抉择的正确取向。
社会发展的不同阶段有不同特质的信息安全问题,在社会发展要求网络化信息系统互连互通的信息化时代,信息安全问题的实质直接表现为国家主权、政治、经济、国防、社会安全和公民合法权益保障。
引发信息安全问题的因素有多个方面,有外部因素和内部的,但最主要的因素在于内部。
信息安全政策不确定、信息安全发展方向不明朗;信息安全保护工作组织管理制度不健全,安全责任制不落实,导致管理混乱与不规范、安全管理与技术规范不统一、没有形成配套体系;信息安全市场和服务混乱、不规范;国家监管机制(执法队伍及其技术支撑体系)不健全,监管手段缺乏等。
因此导致:国家对信息安全状况很信有效把握;信息系统主管、建设、使用者对如何搞好信息系统安全建设和管理,信息系统安全窨存在什么问题、如何改进、需要多少投资等,心中无数;科研单位和企业对开发生产什么样的安全产品心中无数;信息安全专家对安全产品审查不好提出评审结果意见;信息安全职能部门对如何进行有效监督、检查评估、服务指导,如何处罚违规者等,也是心中无数。
进而导致国家信息安全科学技术水平和整体信息安全保护能力很难提高,国家信息安全只好看国外,依赖国外,受国外思潮主导。
对这些问题认识不足,不尽快采取有效的解决办法,势必影响信息化建设、经济发展、社会稳定、国防建设、国家安全。
为此,国家高度重视信息安全保护工作。
经党中央和国务院批准,国家信息化领导小组决定加强信息安全保障工作,实行信息安全等级保护,重点保护基础信息网络和重要信息系统安全,要抓紧安全等级保护制度建设。
这一重大决定,明确落实了《中华人民共和国计算机信息系统安全保护条例》中关于实行信息安全等级保护制度的有关规定,提出了从整体上根本上解决国家信息安全问题的办法,进一步确定安全发展主线、中心任务,提出了总要求。
浅谈企业信息安全等级保护工作
1当前企业信息安全等级保护工作现状 面对信息安全的威胁 , 国家于 2 0 0 3 年发布了《 国家信息化领导小 组关于加强信息安全保障工作的意见》 ,明确提出在非密信息安全领 域, 信息安全保障工作要“ 实行信息安全等级保护” , 明确要求建立信息 安全保障体系。 随后国家于 2 0 0 4 年和 2 0 0 7 年相继颁布了《 关于信息安 全等级保护的实施意见》 及《 信息 安全等级保护管理办法》 , 信息安全等 级保护制度全面实行。 2企业信息安全等级保护的实施方法 2 1依据的标准 企业信息安全等级保护制度应当依据国家颁布的以下标准执行 。
方式 进行保 护。
第二级系统 , 信息系统受到破坏后 , 会对公 民、 法人和其他组织的 合法 权益造 成严 重损害 , 或 者对社会 秩序 和公共利 益造成 损害 , 但 不损 害 国家安全 。 该级 系统适用 于县级某些单 位 中重要 的信 息系统 , 地市级 以上国家机关、 企事业单位内部一般的信息系统。 该级系统需要到当地 公安 机关进行备 案 。 第三级系统 , 信息系统受到破坏后 , 会对社会秩序和公共利益造成 严重损害, 或者对国家安全造成损害。 该级系统一般适用于地市级以上 国家机关、 企业、 事业单位内部重要的信息系统。 第四级系统, 信息系统受到破坏后 , 会对社会秩序和公共利益造成 2 . 1 . 1 基 础标准 特 别严重损 害 , 或者对 国家 安全造成 严重损害 。 该 系统一般适用 于 国家 《 计算机信 息系统安全 保护等级 划分准则 》 重 要领域 、 部 门影 响涉及 国计 民生 、 国家利 益 、 国家安 全 , 影 响社会 稳定 2 . 1 _ 2安 全要求 的核心系统 。 《 信息 系统 安全等级 保护基本要 求》 参照 以上标 准企业 要 自行确定 信息 系统 的安全等 级 ,并组 织相关 2 . 1 _ 3系统等级 领 域 的专家 对定级结 果进行评 审。 在 专家 出具相 关评审意见 后 , 对二级 《 信息系统安全等级保护定级指南》 及 以上 的系统 ,企业 需要 到 当地市 级 以上 公安机 关 网络 安全保 卫部 门 2 . 1 . 4方法指导 办理备案手 续 , 以完成系统 定级工作 。 《 信息系统安全等级保护实施指南》 、 《 信息系统等级保护安全设计 ( 2 ) 系统测评 。按照相 关规定 , 三级及 以上系统 国家强 制要 求进行 技术要求》 等级测评。 等级测评的主要目的是掌握信息系统安全状况、 排查系统安 Z 1 . 5现状分析 全隐患和薄弱环节、 明确信息系统安全建设整改需求 ; 衡量 出信息系统 《 信息系统安全等级保护测评要求》 、 息系统安全等级保护测评 口 级保护基本要求,是否具备了相应的等级的 过程指南 》 安 全保护 能力 。 2 . 2企业信息安全等级保护工作的步骤 进行等级测评 , 企业需要聘请《 全国信息安全等级保护测评机构推 企业信息安全等级保护工作一般分为三个阶段, 及准备阶段 、 实施 荐 目录》 中具有专业资质的测评机构进行。对于测评结果, 企业需要将 阶段 和巩固 阶段。 测评报告 向受理定级 备案 的公安 机关备案 。 2 . 2 . 1信息安全等级保护工作准备阶段 ( 3 ) 系统安 全建设整 改 。参 照测评结 果 , 企业需 要对测 评 中所体 现 企业信息安全等级保护工作准备阶段工作主要包括以下几个方 的安 全漏洞 进行 安全建 设整 改 , 以落实 相应 的物 理安 全 、 网络 安全 、 主 面: 机安全 、 应用 数据安全等 安全保 护措施 。 ( 1 ) 确定总体目标。确定总体 目 标, 其主要 目的是为企业等保工作 经过 安全整 改 , 二 级信 息系统应具 备 防御 小规模 、 较弱强 度恶 意攻 确立一个明确的行动指南 , 并成为企业等保工作决策、 评价、 协调的基 击 , 抵 抗一般 的 自然灾 害 , 防 范一般 的计 算机 病毒 和恶 意代 码 的能 力 ; 本依据。总体 目 标的确定为等保工作前进指明了方向, 并明确了发展路 具有检 测常见 的攻击行 为 , 并对 安全事 件进行记 录 的能力 ; 具有 恢复 系 线。确定总体目标也是等保工作计划和其他各项工作安排的基础。 统正常运 行状态 的能 力 。 ( 2 ) 明确责任部门。为等保工作明确首要责任部门, 以防止出现推 三级 信息系统整 改后应在统 一 的安 全保护 策略下 应具备抵 抗 大规 诿扯皮的现象。一般等保工作责任部门为企业信息化工作主管部门。 模、 较强恶意攻击的能力 , 抵抗较为严重的 自然灾害的能力, 防范计算 ( 3 ) 业务培训。作为企业来说, 信息安全等级保护是一个相对陌生 机病 毒和恶意 代码危 害的能 力 ; 具有检 测 、 发现 、 报警、 记 录入侵 行 为的 的概 念 , 但信息 安全等 级保护 工作又是 一个相 对具有 专业性 的工作 , 所 能力 ; 具有对 安全 事件进 行 响应处 置 , 并 能够 追踪 安全 责 任 的能力 ; 在 以在工 作开 展之前 对相关 人员进行培训 是非常必 要 的。 系统 遭到损 害后 , 具有 能够较 陕恢复 正常运行 状态 的能力 ; 对 于服务 保 ( 4 ) 摸底调查。在全面开展等级保护工作前, 企业一定要对本单位 障 l 生 要求 高 的系统 , 应 能立 即恢复 正 常运行 状态 ; 具有 对 系统 资源 、 用 所属的信息系统进行全面的摸底调查, 全面掌握信息系统( 包括信息网 户、 安全机 制等进行 集中管控 的能力 。 路) 的数 量 、 分布、 业务类 型 、 应用 或服务范 围 、 系 统结构 等基 本情 况 , 为 经过安全整改工作,四级信息系统具备的安全防范能力在三级的 下一步等保工作的全面展开、 确定等级保护定级对象奠定基础。 基础 上更为提 升 ,统 一的安全 保护策 略下可抵 御敌 对势力 有组织 的大 2 . 2 . 2信 息 安全等级保护工作实施阶段 规模 攻击 , 抵 抗严重 的 自然灾 害。 信 息安全等级 保护工作 实施 阶段 的内容主要 包括三 个方 面 ,系统 2 . 2 . 3信 息 安全等级保护工作巩固阶段 定级备案、 系统测评 、 系统安全建设整改。 企业信 息系统经过定级、 测评 、 整改后进入 日常运行时期。在这一 ( 1 )系统定级备案。企业在系统定级备案前首先要明确定级的对 时期 , 企业的信息系统在技术上已经完全具备了系统安全等级的要求 , 象, 一般定级对象分为三个方面 : 起支撑、 传输作用的信 息网络 ; 用于生 也建立相应的安全管理制度体系。 如何应用各种安全防范技术 , 如何持
公司信息安全等级保护措施
公司信息安全等级保护措施我们公司在信息安全等级保护方面做了不少工作,下面就跟大家分享下我们的做法。
首先,在人员管理方面。
我们是这么做的,入职的时候就进行信息安全培训,告诉大家哪些信息是敏感信息,在工作中要注意保密,像客户资料,公司内部研发数据之类的。
这个培训效果不错,新员工能够很快树立起信息安全意识。
但是之前遇到过一个问题,就是培训内容比较枯燥,很多员工听完就忘,所以后来改进成这样,加入了实际的案例,像是之前公司因为员工不小心泄露数据遭受的损失,有哪些同行因为信息安全问题被处罚的情况,还做了一些互动环节,这样员工能更好的吸收。
在网络安全防护方面。
我们采用了防火墙和入侵检测系统。
最实用的是防火墙,我们用的防火墙具备很强的访问控制功能。
刚开始选防火墙的时候试过几种方式,对比了好几个品牌,才确定下来现在用的这个,它能够根据我们设定的策略,精准地对进出网络的流量进行管控,外来的无效连接和非法访问就被阻挡在外了。
入侵检测系统呢,主要是监测网络里的各种异常活动,发现潜在的安全威胁,这就相当于给我们的网络安全多加了一道锁。
对了还有个做法,关于数据备份。
我们定期对重要数据进行备份,这个备份采用了异地存储的方式。
一方面是在本地有一个备份,另一方面在另外一个数据中心也备份了一份。
之前有次服务器遭到了病毒攻击,本地数据出了问题,但多亏了异地备份的数据,我们才能很快恢复业务,没有遭受太大的损失。
在终端设备管理上,我们给每台设备都安装了杀毒软件和安全管理软件。
杀毒软件能及时查杀病毒木马,安全管理软件呢,可以监控终端设备的使用情况,比如有没有异常的网络连接,设备上有没有安装未经许可的软件等等。
如果发现违规操作,就会及时通知相关人员进行处理。
总的来说,信息安全等级保护是个持续不断的过程,需要不断根据实际情况调整措施。
我们还建立了信息安全巡查制度。
每天有专人对公司的信息系统进行巡查,查看各种数据监控指标是否正常,如果发现某个服务器的访问量突然异常增加之类的情况,就会深入调查原因,可能是遇到了攻击,或者是系统某个业务突然爆发增长,通过及时的巡查就能提前发现很多潜在的问题。
(八)关于开展信息安全等级保护安全建设整改工作的指导意见(公信安[2009]1429号)
![(八)关于开展信息安全等级保护安全建设整改工作的指导意见(公信安[2009]1429号)](https://img.taocdn.com/s3/m/391ef8630b1c59eef8c7b436.png)
信息安全等级保护安全建设整改工作政策解读
计 算机 信息 系统安 全保护 等级 划分 准则 (G 1 8 9 ) B75
图2 等级保护相关标准与等级保护各工作环节的关 系
的共 同努力下 ,全 国信 息安全标准 化技术委 员会和公 安 部信 息系统安 全标准化 技术委 员会 组织 制订 了信息 安全 等级 保护工作 需要 的一 系列标准 ,形成 了比较完 整的信
意见 》中已经明确。可概况为:利用三年时间 , 开展三
项重 点工作 ,实现五方面 目标 。 1 三 年时 间 。由于 一些 重要 行业 信息 系统 较 多 , . 受资金 、人 员等条件 限制 , 虑实际情 况 ,全 国已定 级 考 信息 系统安全 建设整 改工作总体 上用三年 时间完成 。各 行 业主管 ( 管 ) 门应按照 时间要 求 ,根据本行 业信 监 部 息系统数量 和实际情况 ,合理部署 总体工作 进度。
1 各单 位 、各 部 门要将 已备 案的第 二级 ( ) . 含 以 上信息系统纳入安全 建设整改的范 围。 2 尚未 开 展 定 级 备 案 的信 息 系 统 ,要 先定 级 备 .
案 ,再开展安全建设 整改。 3 新建系统 要同步开展安全 建设 工作。 .
3 五方面 目标。通过开展安全建设整改工作 , , 关标准 与等级保护各 相
工作环 节的关 系如图2 所示 。 上述 标 准在 应 用 中需注 意 以下 问题 :一是 《基本
以下五方面 目 标:一是信息系缎 全管理水平明显提高,
二是信息系统安全防范能力明显增强 ,三是信息系统安全 隐患 和安全事故 明显减 少 ,四是有 效保障信 息化健康发 展 ,五是有效维护国家安全 、社会秩序和公共利益。
网络 技 要求
三 、信 息安全 等级保 护 安 全 建 设 整 改 的 工 作 目标
关于企业信息安全等级保护工作建设的探索
【 收稿 日期 ] 2 0 1 2 — 0 9 — 2 9
公安机关审核后颁发备案证明: ③测评 : 备案单 位选 择符 合国家规
3 5 -3 8 .
大 网络 安 全 教育 的 力 度 ,强 化 网 络 安 全 意 识 ,筑 牢 网络 安 全 防 线 。同 时 , 要加强网络安全管理力度 , 防止 失 泄 密 问题 的发 生 , 确
定
级
备 案
安 全 建 设 整 改
等级测评
检 查
信 息 系 统 安 全 等 级 保 护 行 业 定 级 细 则l
l 、 、 ,
f 指等信 f 设 等 过 等信 f 要 等信} 厂、 ( 安全等级 ) 厂 ^ 、
上
犟 差 寞 蓍 誉 号 鲁 耋 等 瓣 銮 兰 粪 震 备 一 级 保 护 萎 萎
f
T
计算机信息系统安全保护等级划分准则 ( G B 1 7 8 5 9 )
图 1 信 息 安 全 等 级 保 护 配 套 政 策 体 系
图 2 信 息 安 全 等 级 保 护 配套 标 准体 系
信 息等级保护具体工作 由 5部分组成 。① 定级 : 将信息系统 按照重要性 和遭受损坏后的危 害性分成 5 个安全保护等级 ; ②备
扬
( 1 . 中国石油集 团公 司石油 管工程技术研 究院, 陕西 西安 7 1 0 0 6 5 ; 2 . 中国石 油集 团川庆 钻探工 程有 限 公 司长庆 井下技术 作 业公 司姬塬 项 目部, 陕西 定边 7 1 8 6 0 0 )
[ 摘 要] 信 息 安全 等 级保 护 制 度 是 我 国为 了保 障信 息 安 全 而采 取 的 重要 措 施 , 本 文 对 信 息安 全 等级 保 护 制度 的政 策 体 系、 标 准体 系进 行 整理 , 通过 对 中 国石 油 信 息安 全 等 级 保 护 制度 建设 进 行 介 绍 , 总 结成 功 经 验 , 分 析 信 息 安全 等 级 保 护 制 度 的 不足
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
关于企业信息安全等级保护工作建设的探索[摘要] 信息安全等级保护制度是我国为了保障信息安全而采取的重要措
施,本文对信息安全等级保护制度的政策体系、标准体系进行整理,通过对中国石油信息安全等级保护制度建设进行介绍,总结成功经验,分析信息安全等级保护制度的不足并提出改进建议。
[关键词] 信息等级保护概述;中国石油;等级保护建设
1 信息等级保护制度概述
信息安全等级保护制度是国家信息安全保障工作的基本制度,是促进信息化健康发展的根本保障。
其具体内容包括:①对国家秘密信息,法人和其他组织及公民的专有信息以及公开信息,存储、传输、处理这些信息的信息系统实行分等级安全保护、分等级监管;②对信息系统中使用的信息安全产品实行按等级管理;
③对信息系统中发生的信息安全事件分等级响应、处置。
信息安全等级保护配套政策体系及标准体系如图1、图2所示。
定条件的测评机构开展等级测评;④建设整改:备案单位根据信息系统安全等级,按照国家政策、标准开展安全建设整改;⑤检查:公安机关定期开展监督、检查、指导。
2 中国石油信息安全等级保护制度建设
中国石油信息化建设处于我国大型企业领先地位,在国资委历年信息化评比中都名列前茅。
2007 年全国开展信息安全等级保护工作之后,中国石油认真贯彻国家信息安全等级保护制度各项要求,全面开展信息安全等级保护工作。
逐步建成先进实用、完整可靠的信息安全体系,保障信息化建设和应用,支撑公司业务发展和总体战略的实施,使中国石油的信息安全保障能力显著提高。
主要采取的措施有以下几个方面:
(1)以信息安全等级保护工作为契机,全面梳理业务系统并定级备案。
中国石油根据国家信息安全等级保护制度要求,建立自上而下的工作组织体系,明确信息安全责任部门,对中国石油统一建设的应用系统进行等级保护定级和备案,通过制定《中国石油天然气集团公司重要信息系统安全等级保护定级实施暂行意见》,加强桌面安全、网络安全、身份认证等安全基础防护工作,加快开展重要信息系统的等级测评和安全建设整改工作,进一步提高信息系统的安全防御能力,提高系统的可用性和安全性。
在全面组织开展信息系统等级保护定级备案工作之后,聘请专业测评机构,及时开展等级测评、安全检查和风险评估工作,并通过等级测评工作查找系统的不足和安全隐患,制订安全整改方案,开展安全整改和加固改造,保障信息系统持续安全稳定运行。
(2)以信息安全等级保护工作为抓手,全面推动中国石油信息安全体系
建设。
中国石油以信息安全等级保护工作为抓手,完善信息安全整体解决方案,建立技术保障体系、管理保障体系和控制保障体系。
采用分级、分域的纵深防御理念,将桌面安全、身份认证、网络安全、容灾等相关技术相互结合,建立统一的安全监控平台和安全运行中心,实现对应用系统的授权访问、桌面计算机的安全控制、网络流量的异常监控、恶意软件与攻击行为的及时发现与防御、业务与数据安全保障等功能,显著提高抵御外部和内部信息安全威胁的能力。
建立了总部、区域网络中心、企事业单位三级信息系统安全运维队伍;采用集中管理、分级维护的管理模式,网络与安全运维人员采用授权方式,持证上岗,建立网络管理员、安全管理员和安全审计员制度;初步建立起中国石油内部信息安全风险评估队伍,并于2010 年完成地区公司的网络安全风险评估工作。
(3)建立重要信息系统应急处置预案,完善灾难恢复机制。
2008 年,中国石油发布了《网络与信息安全突发事件专项应急预案》,所有业务系统、网络管理、安全管理等都建立了应急响应处置预案和灾备系统,保障业务系统在遭遇突发事件时,能快速反应并恢复业务系统可用性。
通过灾难恢复项目研究,形成了现状及风险分析、灾难恢复等级划分、灾备部署策略分析和灾备部署方案四步法,划分了信息系统灾难恢复等级,完善了灾难恢复机制。
(4)规划信息安全运行中心,建立重要信息系统安全监控机制。
中国石油规划了信息安全运行中心的建设方案,提出了信息安全运行中心建设目标,通过网络运行状态、安全信息数据汇集、安全监测分析功能和安全管理流程的有机整合,实现中国石油信息安全状况的可感知、可分析、可展示、可管理和可指挥,形成中国石油信息安全事件分析、风险分析、预警管理和应急响应处理一体化的技术支撑能力;通过完善安全运行管理体系,将安全运行管理组织、安全运维管理流程和安全监测预警系统三方面有机结合,实现事前预警防范、事中监控处置、事后追溯定位的信息安全闭环运行机制,形成中国石油统一的应急指挥与协调调度能力,为中国石油信息安全保障奠定良好的基础。
3 信息安全等级保护工作存在的不足及改进建议
信息安全等级保护管理办法(公通字[2007]43号)正式发布标志着全国范围内的信息安全等级保护工作开始,通过5年的努力,全国信息安全工作形成了以落实信息安全等级保护制度为核心,信息通报、应急处理、技术研究、产业发展、网络信任体系和标准化建设等工作快速发展的良好局面,重要行业部门的信息安全意识、重视程度、工作能力有了显著提高。
40余个重要行业出台了100余份行业等级保护政策文件,20余个重要行业出台了40余份行业等级保护标准,但同时存在着以下不足:
(1)对信息安全工作的认识不到位,对重要信息系统安全保护缺乏应有的重视。
依据公安部相关资料统计,截至2012年6月,我国有18%的单位未成立信息安全工作领导机构;21%的单位未落实信息安全责任部门,缺乏信息安全整体规划;14个行业重要信息系统底数不清、安全保护状况不明;12个行业未组织全行业信息安全专门业务培训,开展信息安全工作的思路和方法不得当,措施不得力。
20%的单位在信息系统规划过程中,没有认真制定安全策略和安全体系
规划,导致安全策略不得当;22%的信息系统网络结构划分不合理,核心业务区域部署位置不当,业务应用不合理,容易导致黑客入侵攻击,造成网络瘫痪,数据被窃取和破坏。
34.6%的重要信息系统未配置专职安全管理人员,相关岗位设置不完整,安全管理人员身兼多职;48%的单位信息安全建设资金投入不足,导致重要信息系统安全加固和整改经费严重缺乏;27%的单位没有针对安全岗位人员制订相关的培训计划,没有组织开展信息安全教育和培训,安全管理、运维技术人员能力较弱。
(2)重要信息系统未落实关键安全保护技术措施。
重要信息系统未落实安全审计措施。
在主机层面,有34.9%的信息系统没有保护主机审计记录,34.8%的信息系统没有保护主机审计进程,容易导致事故责任无法认定,无法确定事故(事件)原因,影响应急处理效率。
38%的信息系统没有落实对重要系统程序和文件进行完整性检测和自动恢复的技术措施,35%的信息系统没有采取监测重要服务器入侵行为的技术措施,容易使内部网络感染病毒,对攻击行为无法进行有效监测和处置。
(3)我国信息技术与国外存在一定差距,安全专业化服务力量薄弱。
具有我国自主知识产权的重要信息技术产品和核心技术水平还有待提高,依赖国外产品的情况还比较普遍;国内信息安全专业化服务力量薄弱,安全服务能力不强,部分重要信息系统的关键产品维护和系统运维依赖国外厂商,给重要信息系统安全留下了隐患。
为了有效提高我国企业信息安全水平,增加等级保护的可行性及执行力,建议:①各企业开展以信息安全等级保护为核心的安全防范工作,提高网络主动防御能力,并制订应急处置预案,加强应急演练,提高网络应急处置能力。
②加大人员和资金投入,提高保障能力。
③国家层面加快关键技术研究和产品化,重视产品供应链的安全可控。
主要参考文献
[1]中国石油天然气集团公司. 中国石油天然气集团公司全面开展信息安全等级保护工作为信息化建设保驾护航[J].信息网络安全,2012(1).
[2]池仁隆,张超,张春柳.信息系统安全等级保护建设与测评方法简析[J].软件产业与工程,2012(2).
[3]马遥,黄俊强.信息安全管理体系与等级保护管理要求[J].信息技术,2012(6).。