摘要:2018年6月,我作为某高校信息中心主任,参加了我院4个应用系统信息安全等级保护测评(二级)及整改项目,在项目中担任甲方技术负责人我院现有4个新上线系统,网站群系统、教务系统、图书馆系统、自动化办公系统需要安全等级保护测评但目前学院机房安全设备配备不足和陈旧,新上线的业务系统安全性能尚未的到验证,更重要的是尚未在当地公安部门取得备案证书经学院信息化小组研究决定,4个系统安全等级定级为二级,计划投资220万元,对应用系统及机房,从安全技术建设和安全管理建设2个方面进行测评,根据测评报告进行安全整改于2018年9月,达到整改要求,取得4个应用系统的备案证书,得到了相关部的好评,下面我们就来聊聊关于国家对信息安全等级保护流程?接下来我们就一起去了解一下吧!
国家对信息安全等级保护流程
摘要:
2018年6月,我作为某高校信息中心主任,参加了我院4个应用系统信息安全等级保护测评(二级)及整改项目,在项目中担任甲方技术负责人。我院现有4个新上线系统,网站群系统、教务系统、图书馆系统、自动化办公系统需要安全等级保护测评。但目前学院机房安全设备配备不足和陈旧,新上线的业务系统安全性能尚未的到验证,更重要的是尚未在当地公安部门取得备案证书。经学院信息化小组研究决定,4个系统安全等级定级为二级,计划投资220万元,对应用系统及机房,从安全技术建设和安全管理建设2个方面进行测评,根据测评报告进行安全整改。于2018年9月,达到整改要求,取得4个应用系统的备案证书,得到了相关部的好评。
正文:
我院作为一所高校,教职工在校师生有2万余人。为加快推进学院信息化覆盖的范围和管理的强度,学院淘汰了旧的系统,重新部署网站群系统、教务系统、图书馆系统、自动化办公系统4个系统,按照《信息安全等级保护基本要求》,需要对以上4个系统进行安全等级保护定级、测评和整改,从而取得当地公安部门的备案证书,方可上线应用。根据系统的安全级别要求及可靠性,经学院信息化小组研究决定,4个应用系统安全等级都定为二级。2018年6月通过招标委托一家具有安全等级保护测评资质的公司,对学院4个应用系统进行测评工作。我作为甲方技术负责人,参加了信息安全等级保护测评及整改工作。
一、信息系统安全技术建设
1、物理安全,测评如下:机房的位置选择,应放在具有防雨、防雷、防潮能力的建筑内,适合中低层;物理访问控制,机房出入安排值守,进入机房人员需要提出申请,并记入进出人员;防盗窃与防破坏,主机地方必须安装必要的防盗报警系统,线路铺设要做隐蔽工程等;防雷击和防火,机房要做好防雷工作,大楼有防雷装置,配电柜有防雷模块,交流电源线接地。机房内应设置灭火设备和火灾自动报警系统;防水、防潮、防静电。机房内上下不能有水管通过,空调水注意防止积水,各种设备要接地防静电;电力供应。应在供电线路上放置稳压器和过电压防护设备和USP电源。
2、网络安全,测评如下:结构安全。关键设备的处理能力和具备冗余空间,根据业务需要划分不同的vlan等;边界完整性检查,对用户对外网的访问进行检查和控制;入侵防御系统 ,应在网络边界监视攻击行为,如缓冲区溢出攻击、ip碎片攻击等。
3、主机安全,测评如下:应对登录操作系统和数据库的用户进行身份鉴别,对资源访问进行控制,对用户行为有没有安全审计,安装入侵防范软件和对恶意代码防御,应限制用户资源控制权限等。
4、应用安全,测评如下:应对通信完整性和通信保密性给予保障,对软件容错功能是否具有等。
5、数据安全,测评如下:应对数据完整性和数据保密性进行检查,是都建设备份和恢复机制。
二、安全管理建设
1、安全管理制度,包括管理制度制定和发布以及评审和修订
2、安全管理机构,包括岗位设置 、人员配备 、授权和审批 、沟通和合作、 审核和检查等
3、人员的安全管理,包括人员录用、人员离岗、人员考核、安全意识教育和培训、 外部人员访问管理。
4、系统建设管理,包含系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全服务商选择等
5、系统运维管理,包括环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码防范管理、变更管理、备份与恢复管理、安全事件处理、应急预案管理。
测评公司从以上2个大的面10个小的方面对4个应用系统进行信息安全等级保护二级测评,并根据测评结果整理出整改报告交付我院。我院4个应用系统按照二级申报还存在存在的差距如下:
1、物理安全方面,主机房存在出入没有专人值守,进出机房没有相应的审批流程和登记;网络防护管理员密码过于简单,没有定期更换密码;
2、主机安全方面,招生就业系统中恶意代码防护没有,资源控制密码没有设置多久没响应就退出;
3、网络安全方面,关键设备没有冗余;
4、应用安全方面,自动化办公系统通信完整性和保密性建议使用https协议,安全审计缺失,系统登录密码没有做次数限制等。
5、数据安全方面,数据库审计系统缺失。
6、安全管理制度不全等。
我院信息化小组按照整改报告重新招标,委托整改公司(跟测评公司不能是同一家公司)按照整改报告进行整改。
三、实施整改
须根据测评公司整改报告,整改公司给出整改方案,按照整改方案执行整改。
1、安全主机房值班人员轮流值班,出入机房要OA系统上建立的审批流程,登记在册。机房门口增设出入打卡系统,一人一卡,出入登记。建立学校密码设置规则,定期更换密码,具体到某部门某人,以文件的形式登记在册。
2、招生就业服务其中安装安全狗防病毒软件,防止恶意代码,协调招生就业系统开发公司,对登录页面的代码进行修改,限制登录次数。
3、网络安全方面,采购同类型的核心交换机(H3CS5700系列),通过vrrp协议做热备;
4、应用系统方面,购买https协议服务,开放自动化系统服务器443端口,或者通过负载均衡器完成https协议转换。
5、采购数据库审计系统旁接核心交换机,对4个系统数据库应用安全进行审计。
6、安全管理建设从5个方面查漏补缺,完善机构假设和制度制定。
整改公司整改完成以后,需要测评公司再次对以上4个系统进行测试,对不满足的需要继续整改。第二次测评后,发现自动化办公系统系统登录密码没有做次数限制,需要再次与开发公司协调,因为开发公司与整改公司没有达成协议,需要甲方再次协调,最终达成一致意见,完成整改。第三次测评给出4个应用系统全部合格。这里协调整改公司和开发公司、整改公司和测评公司耗费很多时间。
四、上报测评报告
测评公司在测评合格后,分别出具4个应用系统的合格的测评报告,交付甲方。甲方通过政务平台把4分报告分别上传给当地公安部门进行审核,大概5个工作日,给出结果,全部审核通过,网上直接下载备案证书。备案证书作为测评公司和整改公司项目的验收依据。也是作为甲方技术负责人的工作成果,4个系统可以立即投入线上使用,接入互联网。
在院领导的大力支持下,在承建方的不懈努力下,项目得以在规定的日期内完成,并顺利通过验收,这也和整个项目组的付出是分不开的。项目完成并验收后,整体系统运行平稳,达到了预期的效果,虽然项目取得了成功,但在有些方面还存在不足,最主要是测评公司与整改公司的测评争议问题,整改公司与系统开发公司底层代码修改问题需要甲方协调。虽然项目取得了一定的成功,但我很自我的能力还有这样那样的不足,需要在今后的努力学习中不断的提升自己在网络规划设计能力。
,