信息安全等級保護(hù)辦法
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇信息安全等級保護(hù)辦法范文,相信會為您的寫作帶來幫助,發(fā)現(xiàn)更多的寫作思路和靈感。
信息安全等級保護(hù)辦法范文第1篇
根據(jù)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[200]27號)、《北京市政務(wù)與公共服務(wù)信息化工程建設(shè)管理辦法》(市政府第67號令)、《北京市信息化工作領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的實施意見》(京辦發(fā)[200]3號)以及其他有關(guān)法律、法規(guī)的規(guī)定,結(jié)合本市實際情況,現(xiàn)就本市黨政機(jī)關(guān)開展網(wǎng)絡(luò)與信息系統(tǒng)安全等級保護(hù)工作的有關(guān)要求通知如下:
一、充分認(rèn)識開展安全等級保護(hù)工作的重要意義
為進(jìn)一步提高信息安全保障能力和防護(hù)水平,維護(hù)國家安全、社會穩(wěn)定,保障和促進(jìn)信息化建設(shè)的健康發(fā)展,國務(wù)院在全面分析全國信息安全保障工作形勢的基礎(chǔ)上,針對存在問題,明確指示要抓緊建立信息安全等級保護(hù)制度,制定信息安全等級保護(hù)管理辦法和技術(shù)指南,突出重點,切實保護(hù)好基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)。國務(wù)院的指示對于加強(qiáng)信息安全保障工作十分重要,我市要認(rèn)真貫徹執(zhí)行。
開展安全等級保護(hù)工作就是依據(jù)網(wǎng)絡(luò)與信息系統(tǒng)的重要程度和面臨的安全風(fēng)險等因素,綜合平衡安全成本和風(fēng)險,劃分系統(tǒng)的安全等級,優(yōu)化資源配置,進(jìn)行建設(shè)和管理。
開展安全等級保護(hù)工作是關(guān)系到信息化建設(shè)全局的重要舉措,是做好信息安全保障工作基本思路,是網(wǎng)絡(luò)與信息系統(tǒng)基礎(chǔ)設(shè)施建設(shè)的重要內(nèi)容,是一個非靜止、非僵化的系統(tǒng)工程。切實做好安全等級保護(hù)工作,建立安全等級保護(hù)制度,能夠使我市的網(wǎng)絡(luò)與信息系統(tǒng)防護(hù)水平從“獨立運行、自主保護(hù)”的狀況盡快過渡到“統(tǒng)一管理平臺、統(tǒng)一安全標(biāo)準(zhǔn)”的階段;能夠有效地提高網(wǎng)絡(luò)與信息系統(tǒng)安全建設(shè)的整體水平,增強(qiáng)使用效益;能夠使信息安全與信息化建設(shè)協(xié)調(diào)發(fā)展,減少建設(shè)成本;重點保障基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)的安全;能夠明確國家、法人和其他組織、公民的信息安全責(zé)任;能夠有力推動信息安全產(chǎn)業(yè)發(fā)展,探索一套適應(yīng)社會主義市場經(jīng)濟(jì)發(fā)展的信息安全發(fā)展模式。同時,開展安全等級保護(hù)工作也是加速首都現(xiàn)代化建設(shè)和成功舉辦2008年奧運會的迫切需要。
二、加強(qiáng)對安全等級保護(hù)工作的指導(dǎo)和管理
在北京市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組的統(tǒng)一領(lǐng)導(dǎo)下,市信息辦會同有關(guān)部門負(fù)責(zé)本市黨政機(jī)關(guān)網(wǎng)絡(luò)與信息系統(tǒng)安全等級保護(hù)的統(tǒng)籌規(guī)劃、綜合協(xié)調(diào)和監(jiān)督檢查,并對重要網(wǎng)絡(luò)與信息系統(tǒng)的安全等級保護(hù)定期進(jìn)行檢查指導(dǎo),并定期通報。
各區(qū)縣信息化主管部門會同有關(guān)部門負(fù)責(zé)本區(qū)縣黨政機(jī)關(guān)網(wǎng)絡(luò)與信息系統(tǒng)安全等級保護(hù)的統(tǒng)籌規(guī)劃、綜合協(xié)調(diào)和監(jiān)督檢查。
本市各級黨政機(jī)關(guān)負(fù)責(zé)本單位網(wǎng)絡(luò)與信息系統(tǒng)安全等級保護(hù)的組織實施。
涉及到國家秘密的網(wǎng)絡(luò)與信息系統(tǒng)按照國家和本市有關(guān)保密規(guī)定執(zhí)行。
北京市信息安全測評中心負(fù)責(zé)本市各級黨政機(jī)關(guān)重要網(wǎng)絡(luò)與信息系統(tǒng)實行安全等級保護(hù)過程中的檢查評估和驗收的安全測評。
各單位在自定級過程中,可以委托專業(yè)信息安全服務(wù)機(jī)構(gòu)協(xié)助完成,市信息辦將定期公布通過信息安全服務(wù)能力評估的機(jī)構(gòu)目錄。
三、開展安全等級保護(hù)工作的實施計劃
本市各級黨政機(jī)關(guān)網(wǎng)絡(luò)與信息系統(tǒng)均要開展安全等級保護(hù)工作。新建和已建成但未正式運行的網(wǎng)絡(luò)與信息系統(tǒng)要按照安全等級保護(hù)制度的有關(guān)要求進(jìn)行建設(shè);已經(jīng)正式運行的網(wǎng)絡(luò)與信息系統(tǒng)要按計劃逐步納入安全等級保護(hù)制度;網(wǎng)絡(luò)與信息系統(tǒng)結(jié)構(gòu)和功能等要素發(fā)生變化,要及時重新進(jìn)行風(fēng)險評估、安全定級和檢測評估。各單位均應(yīng)根據(jù)所核定的安全等級進(jìn)行使用和管理。主要職責(zé)是:落實相應(yīng)的管理制度和技術(shù)保護(hù)要求,組織管理人員和技術(shù)人員進(jìn)行安全教育培訓(xùn);適時進(jìn)行安全應(yīng)急預(yù)案的演練;定期組織自評估,保持系統(tǒng)良好的安全狀態(tài);認(rèn)真履行信息安全等級管理職責(zé),協(xié)助主管部門做好網(wǎng)絡(luò)與信息系統(tǒng)的安全等級保護(hù)檢查工作。
安全等級保護(hù)是一項基礎(chǔ)性、長期性的工作,各單位均要將其作為一項重要內(nèi)容納入整個信息化建設(shè)過程的始終,切實抓好落實工作。在全市黨政機(jī)關(guān)建立網(wǎng)絡(luò)與信息系統(tǒng)的安全等級保護(hù)制度,計劃用三年時間,分為四個步驟。
準(zhǔn)備階段:200年6月底完成。主要做好以下工作:明確主管部門、專業(yè)技術(shù)支撐單位和使用單位的職責(zé)、權(quán)利和義務(wù),理順關(guān)系,建立協(xié)調(diào)配合和管理的運行機(jī)制;依照國家有關(guān)法規(guī),制定、完善安全等級保護(hù)工作的相關(guān)的配套文件;廣泛開展宣傳教育工作,組織培訓(xùn),特別是對監(jiān)管隊伍和專業(yè)技術(shù)支撐單位人員的培訓(xùn),在思想認(rèn)識、政策理論、管理和技術(shù)等方面作好充足準(zhǔn)備。
試行階段:200年底前完成。在前期準(zhǔn)備的基礎(chǔ)上,全面展開建立安全等級保護(hù)制度的工作。工作內(nèi)容包括:自定級、備案、建設(shè)整改、檢查評估。其中,200年9月底前,各單位要完成自身網(wǎng)絡(luò)與信息系統(tǒng)的自定級工作;200年10月底前,各單位要完成3級以上的網(wǎng)絡(luò)與信息系統(tǒng)向市信息辦備案工作;200年6月底前,各單位要完成對正在運行的3級以上的網(wǎng)絡(luò)與信息系統(tǒng)的整改工作;200年12月底前,完成對本市部分重要網(wǎng)絡(luò)與信息系統(tǒng)的檢查評估工作。
完善階段:200年12月底前完成。其中,200年6月底前完成本市黨政機(jī)關(guān)開展安全等級保護(hù)的總結(jié)工作、相關(guān)配套文件的修訂工作和信息安全測評基礎(chǔ)設(shè)施能力建設(shè)工作;200年12月底前,完成本市重要網(wǎng)絡(luò)與信息系統(tǒng)的檢查評估工作。
正常階段:200年開始,全市各級黨政機(jī)關(guān)全面推行網(wǎng)絡(luò)與信息系統(tǒng)安全等級保護(hù)制度,轉(zhuǎn)入經(jīng)常性工作。各單位每年應(yīng)對其自身的網(wǎng)絡(luò)與信息系統(tǒng)進(jìn)行一次自評估;市信息辦每兩年對本市各級黨政機(jī)關(guān)重要網(wǎng)絡(luò)與信息系統(tǒng)進(jìn)行一次檢查評估。
各單位要認(rèn)真執(zhí)行安全等級保護(hù)的有關(guān)規(guī)定,認(rèn)真落實安全等級保護(hù)制度,自覺接受主管部門的檢查指導(dǎo),切實做好信息安全保障工作。
四、堅決落實安全等級保護(hù)工作的各項措施
各單位要認(rèn)真貫徹執(zhí)行國家和本市關(guān)于信息化建設(shè)和信息安全保障工作的一系列指示、要求和規(guī)定,切實保證信息安全等級保護(hù)工作的順利開展。
(一)各單位在立項前對其網(wǎng)絡(luò)與信息系統(tǒng)進(jìn)行風(fēng)險評估,依據(jù)《北京市黨政機(jī)關(guān)網(wǎng)絡(luò)與信息系統(tǒng)安全定級指南》(見附件)自行確定安全等級。3級以上網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)填寫《北京市黨政機(jī)關(guān)網(wǎng)絡(luò)與信息信息安全定級備案(審查)表》,報市信息化主管部門審查。未經(jīng)審查的,依據(jù)北京市人民政府第67號令《北京市政務(wù)與公共服務(wù)信息化工程建設(shè)管理辦法》第八條規(guī)定,主管部門不予批準(zhǔn)立項,財政部門不予撥款。
(二)在信息化項目預(yù)算時,各單位要按照等級保護(hù)的要求將安全等級保護(hù)的各項費用(風(fēng)險評估、方案設(shè)計、工程實施、測評驗收、工程監(jiān)理等)列入項目預(yù)算;在網(wǎng)絡(luò)與信息系統(tǒng)運行后,也要按照安全等級保護(hù)的要求將相關(guān)費用列入系統(tǒng)運行維護(hù)費。
(三)各單位的重要網(wǎng)絡(luò)與信息系統(tǒng)在正式投入運行前應(yīng)依據(jù)北京市人民政府第67號令《北京市政務(wù)與公共服務(wù)信息化工程建設(shè)管理辦法》第十三條規(guī)定,經(jīng)過安全測評認(rèn)證,未經(jīng)測評認(rèn)證的,不得投入運行。
(四)北京信息安全測評中心在測評過程中必須堅持客觀公正、實事求是的原則,出具真實的測評報告,市信息辦對安全等級保護(hù)測評活動進(jìn)行監(jiān)督管理,對違反上述原則,出具虛假報告等行為的將追究有關(guān)領(lǐng)導(dǎo)和責(zé)任人的責(zé)任;情節(jié)嚴(yán)重構(gòu)成犯罪的,由有關(guān)部門追究其法律責(zé)任。
(五)專業(yè)信息安全服務(wù)機(jī)構(gòu)為本市各級黨政機(jī)關(guān)提供信息安全服務(wù)應(yīng)符合國家和本市的有關(guān)規(guī)定,北京信息安全測評中心應(yīng)定期了解為本市各級黨政機(jī)關(guān)提供信息安全服務(wù)機(jī)構(gòu)的有關(guān)情況、征求用戶意見,對有問題的單位提出建議和警告,問題嚴(yán)重的應(yīng)取消其信息安全服務(wù)能力等級證書并予以公布。
(六)市信息辦加強(qiáng)對安全等級保護(hù)工作的指導(dǎo)和監(jiān)督檢查。對違反有關(guān)規(guī)定的,要及時進(jìn)行糾正;情節(jié)嚴(yán)重并造成重大損失的,由其上級主管部門依照有關(guān)規(guī)定追究單位負(fù)責(zé)人和有關(guān)人員的行政責(zé)任。構(gòu)成犯罪的,由有關(guān)部門追究其法律責(zé)任。
五、切實加強(qiáng)對安全等級保護(hù)工作的組織領(lǐng)導(dǎo)
信息安全等級保護(hù)辦法范文第2篇
本報訊 7月20日,公安部、國務(wù)院信息辦等4部門在北京聯(lián)合召開“全國重要信息系統(tǒng)安全等級保護(hù)定級工作電視電話會議”,部署在全國范圍內(nèi)開展重要信息系統(tǒng)安全等級保護(hù)定級工作(以下簡稱“定級工作”)。國家信息安全等級保護(hù)協(xié)調(diào)小組組長、公安部副部長張新楓,國務(wù)院信息化工作辦公室副主任、國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室主任楊學(xué)山出席會議并講話。
張新楓指出,當(dāng)前,我國信息安全面臨的形勢仍然十分嚴(yán)峻,維護(hù)國家信息安全的任務(wù)非常艱巨、繁重。隨著我國經(jīng)濟(jì)的持續(xù)發(fā)展和國際地位的不斷提高,我國的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)面臨的安全威脅及安全隱患比較嚴(yán)重,計算機(jī)病毒傳播和網(wǎng)絡(luò)非法入侵十分猖獗,網(wǎng)絡(luò)違法犯罪持續(xù)大幅上升,犯罪分子利用一些安全漏洞,使用黑客病毒技術(shù)、網(wǎng)絡(luò)釣魚技術(shù)、木馬間諜程序等新技術(shù),進(jìn)行網(wǎng)絡(luò)盜竊、網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)賭博等違法犯罪,給用戶造成嚴(yán)重?fù)p失。特別是“科技奧運”和“數(shù)字奧運”是2008年北京奧運會的一大亮點,網(wǎng)絡(luò)與信息安全已經(jīng)成為事關(guān)北京奧運安全的重大問題之一。
張新楓強(qiáng)調(diào),信息安全等級保護(hù)制度是國家信息安全保障工作的基本制度。為了加快推進(jìn)信息安全等級保護(hù)工作,此前,公安部、國務(wù)院信息辦等部門已聯(lián)合出臺了有關(guān)信息安全等級保護(hù)工作的實施意見、管理辦法等相關(guān)文件。定級是等級保護(hù)工作的首要環(huán)節(jié),是開展信息系統(tǒng)建設(shè)、整改、測評、備案、監(jiān)督檢查等后續(xù)工作的重要基礎(chǔ)。此次定級工作的主要內(nèi)容:一是開展信息系統(tǒng)基本情況的摸底調(diào)查,確定定級對象。二是信息系統(tǒng)主管部門和運營使用單位按照等級保護(hù)管理辦法和定級指南,初步確定定級對象的安全保護(hù)等級,請專家進(jìn)行評審,并報經(jīng)上級行業(yè)主管部門審批同意。三是信息系統(tǒng)安全保護(hù)等級為第二級以上的信息系統(tǒng)運營使用單位或主管部門到公安機(jī)關(guān)備案。公安機(jī)關(guān)和國家有關(guān)部門受理備案后,要對信息系統(tǒng)的安全保護(hù)等級和備案情況進(jìn)行審核、管理。
會議由公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局局長李昭主持,公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局副局長、國家網(wǎng)絡(luò)與信息安全信息通報中心主任顧建國對定級工作作了具體說明。
信息安全等級保護(hù)辦法范文第3篇
關(guān)鍵詞:信息安全;等級保護(hù);定級制度
中圖分類號:TP393 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-3044(2017)03-0045-02
信息安全等級保護(hù)制度的建設(shè),是隨著經(jīng)濟(jì)建設(shè)和信息化建設(shè)的全面展開而進(jìn)行的。對國家重要的信息系統(tǒng)等進(jìn)行定級保護(hù),可以提高信息系統(tǒng)的工作效率,在大數(shù)據(jù)、云計算的技術(shù)支持下,實現(xiàn)全系統(tǒng)的信息安全。為此國家多部門早已出臺多項關(guān)于信息安全的制度和規(guī)定,明確說明國家信息安全保障工作的基本制度之一就是信息安全等級保護(hù)制度。其工作流程包含定級、對級別的建設(shè)和整改、測評建設(shè)整改工作、向主管公安部門備案;監(jiān)管信息系統(tǒng)。其中首要階段的定級工作,是作為等級保護(hù)的起始,為后面四個階段的工作奠定基礎(chǔ)。
1 信息系統(tǒng)安全等級保護(hù)政策概述
我國在信息技術(shù)的浪潮退推動下,各行各業(yè)都在面臨信息化、智能化的轉(zhuǎn)型升級帶來的沖擊和挑戰(zhàn)。需要建設(shè)的信息化項目不斷增多,很多領(lǐng)域的業(yè)務(wù)都要采用網(wǎng)絡(luò)信息系統(tǒng)作為載體,因此,信息系統(tǒng)的數(shù)量和結(jié)構(gòu)都在增加和復(fù)雜化,對信息進(jìn)行等級保護(hù)就被提上了日程。
2008年,我國首部信息安全等級保護(hù)管理辦法由公安部下發(fā),信息系統(tǒng)有了等級的劃分,并且對信息系統(tǒng)的保護(hù)也有了明確的管理規(guī)定。2008年,信息系統(tǒng)安全等級保護(hù)定級上升到了國家級別的標(biāo)準(zhǔn),擁有了定級指南,對于信息系統(tǒng)安全等級定級工作來說,意味著擁有了定級的方法和準(zhǔn)則。2009年,關(guān)于整改信息安全等級保護(hù)工作的指導(dǎo)意見證實下發(fā),要求對信息安全等級保護(hù)的整改要按照測評工作的標(biāo)準(zhǔn)展開。這是第一次對信息安全等級保護(hù)測評體系的建設(shè)進(jìn)行的規(guī)定。
2 信息系統(tǒng)的安全定級
在信息安全技術(shù)等級定級指南中,對于信息技術(shù)的重要性以及遭到破壞的危害性進(jìn)行了詳細(xì)的闡述,從公共安全、社會利益、公民權(quán)益等幾個方面,將信息系統(tǒng)的安全等級劃分為五個等級:
第一級為當(dāng)信息安全被侵犯,國家利益、公共安全等合法權(quán)益就會被損壞,但是國家安全、社會利益和公共秩序不會受到損害。
第二級為當(dāng)信息安全被侵犯,公民的合法權(quán)益就會被侵害,但是國家安全不會受到破壞。
第三級為當(dāng)信息系統(tǒng)受到侵犯后,社會秩序和公共利益被損壞,進(jìn)而產(chǎn)生對國家安全的損害。
第四級是信息系統(tǒng)受到破壞,社會秩序、公共利益、國家安全都會受到特別嚴(yán)重的損傷。
第五級是信息系統(tǒng)受到侵犯,國家安全被特別嚴(yán)重地?fù)p壞。
3 當(dāng)前信息系統(tǒng)安全定級中存在的問題
1)定級對象不明確是信息系統(tǒng)安全定級中的常見問題。當(dāng)信息系統(tǒng)在相同的網(wǎng)絡(luò)環(huán)境中被按照獨立的系統(tǒng)進(jìn)行定級時,多個定級對象會重復(fù)出現(xiàn)環(huán)境和設(shè)備。以機(jī)房的EPR系統(tǒng)和OA系統(tǒng)以及配套為例,系統(tǒng)中如果使用到網(wǎng)絡(luò)資源,就有可能產(chǎn)生相同的定級對象同時出現(xiàn)不同的網(wǎng)絡(luò)設(shè)備的情況。
2)根據(jù)安全信息國家定級指南中對安全保護(hù)等級的定級要求。當(dāng)受侵害客體為國家、社會、公民安全以及組織法人的合法權(quán)益時,客體的侵害程度可以分為一般、嚴(yán)重、特別嚴(yán)重。這種分類是比較抽象的。需要進(jìn)行具體的描述,但是從目前的發(fā)函情況看,對于危害程度的描述還是過于傾向于主觀判斷,因此對客觀情況的定級準(zhǔn)確率不足,依據(jù)不足。
3)現(xiàn)有的定級報告皆是從模板中引用格式,參考定價指南,提供定級流程,引導(dǎo)結(jié)論的驗證。從下表我們可以大概地看到定級要素和安全保護(hù)等級的關(guān)系:
表1
[受侵害的客體\&一般損害\&嚴(yán)重?fù)p害\&特別嚴(yán)重的損害\&公民、法人和組織的合法權(quán)益\&第一級\&第二級\&第二級\&社會利益、公共秩序\&第二級\&第三級\&第四級\&國家安全\&第三級\&第四級\&第五級\&]
對于基礎(chǔ)數(shù)據(jù)的描述雖然也能顯示出關(guān)于信息安全系統(tǒng)定級的重要意義,但是從系統(tǒng)的客觀問題以及隨時可能出現(xiàn)威脅和侵害的現(xiàn)象角度觀察,很多關(guān)于信息安全等級定級的新方法還不能保證定級結(jié)果的準(zhǔn)確性,很多定級報告不完善,缺乏依據(jù),主觀判斷成分多,無法將信息安全系統(tǒng)的真實情況反映給決策層,對于工作的開展沒有好處。
4 等級保護(hù)流程
等級保護(hù)的工作是循環(huán)的、動態(tài)發(fā)展的。將等級保護(hù)工作視為循環(huán)性強(qiáng)的工作對于工作流程加以分析,最終得到的是等級保護(hù)工作的流程圖:
定級階段:系統(tǒng)劃分、等級確定;填寫表格;
初步備案階段:上報材料、專家評審,不符合安全等級規(guī)定的重新定級,最終進(jìn)入初備案。
測評階段:選定機(jī)構(gòu)、測評、出具報告;
整改階段:制訂方案、專家論證、提出整改措施并實施;
復(fù)評階段:對定級方案進(jìn)行復(fù)評,得到最終的備案;
根據(jù)等級保護(hù)制度接受監(jiān)管的階段。
需要說明的是,等級保護(hù)工作的初始階段:定級工作可以采用自行定級的方法,也可以委托第三方機(jī)構(gòu)進(jìn)行監(jiān)管和測評。定級工作是所有階段工作的基礎(chǔ)。初備案階段有一個重新定級的環(huán)節(jié),主要是如果出現(xiàn)不公平、不公正或者定級不合格的情況,要對信息系統(tǒng)的等級評定工作進(jìn)行復(fù)評選,并達(dá)到等級保護(hù)的要求,才能進(jìn)行最終的備案。
5 信息安全定級方法
1)定流程是參照定級指南進(jìn)行的,包括了業(yè)務(wù)信息和系統(tǒng)服務(wù)等內(nèi)容。首先是確定定級對象,然后確定業(yè)務(wù)信息安全受到破壞和侵害的客體,以及系統(tǒng)服務(wù)安全受到破壞和侵害的客體。兩方面都要進(jìn)行客體的侵害程度的評定,前者得出業(yè)務(wù)信息安全等級,后者得出系統(tǒng)服務(wù)安全等級,最后形成了定級對象的安全保護(hù)等級。
定級對象的選取根據(jù)定級指南的規(guī)定,具有一些特征,首先是擁有安全責(zé)任單位,第二是信息系統(tǒng)要素,第三是承載單一和獨立的業(yè)務(wù)。在定級對象的業(yè)務(wù)應(yīng)用上應(yīng)該擁有共享的機(jī)房基礎(chǔ)環(huán)境和網(wǎng)絡(luò)設(shè)備等,這樣就不會產(chǎn)生重復(fù)出現(xiàn)的定級對象。而且將物理環(huán)境、網(wǎng)絡(luò)資源等納入到信息系統(tǒng)中,形成具有單獨優(yōu)先定級權(quán)限的定級對象[1]。
對于受侵害的客體的損害程度的評分,要對危害后果等進(jìn)行權(quán)重分析。參照的依據(jù)包括國家安全、社會利益、公眾秩序、公民法人和組織的權(quán)益。客體的侵害程度在定x和解釋上是簡單而抽象的,要對危害程度進(jìn)行具體的描述,就要規(guī)避主觀判斷、依據(jù)不足的問題。對客體的侵害程度進(jìn)行確定,是需要參考很多元素的,要得到一個準(zhǔn)確的定量,可以采用評分表的方法對危害后果予以打分。
表2
[危害后果\&得分\&權(quán)重\&影響工作職能形式\&\&\&降低業(yè)務(wù)能力\&\&\&引起糾紛需要法律介入\&\&\&財產(chǎn)損失\&\&\&社會不良影響\&\&\&損害到組織和個人\&\&\&其他影響\&\&\&]
根據(jù)對表格中的打分得到的數(shù)值和權(quán)重的分析,可以得出定級對象被破壞后可能產(chǎn)生的危害以及后果。不存在危害的數(shù)值為0,有危害程度較輕的數(shù)值為1,有危害程度較高的為2,后果嚴(yán)重的為3。不同的信息系統(tǒng)在服務(wù)內(nèi)容、范圍、對象上都不同,因此不同的得分和權(quán)重最能反映信息安全系統(tǒng)的實際情況。
確定安全保護(hù)等級是在所有流程結(jié)束后,得到的結(jié)論。這個結(jié)論包括客體對等級對象的侵害造成的危害,信息安全的保密性、可用性的情況,系統(tǒng)服務(wù)安全的及時性、有效性的問題等等。當(dāng)業(yè)務(wù)信息安全和服務(wù)系統(tǒng)的客體侵害程度不同時,就要在定級過程中處理不同的危害后果。
2)定級表格的細(xì)化是為定級報告模板提供基礎(chǔ)數(shù)據(jù),并保證信息安全系統(tǒng)穩(wěn)定可靠的重要保障。當(dāng)系統(tǒng)內(nèi)部問題導(dǎo)致其難以支撐定級結(jié)果后,采用系統(tǒng)定級的方法,就能夠?qū)⑿畔⑾到y(tǒng)的情況記載道定級表中。定級表包括了定級系統(tǒng)的用戶情況以及定級系統(tǒng)的業(yè)務(wù)職能等情況,例如在行業(yè)和部門內(nèi)的地位和作用。定級系統(tǒng)需要有備份系統(tǒng)作為應(yīng)急措施,保證定級系統(tǒng)在關(guān)聯(lián)系統(tǒng)受到破壞后不會受到數(shù)據(jù)傳遞等的影響。
6 案例分析
按照等級保護(hù)工作測評和定級的規(guī)定,確定信息系統(tǒng)的等級。某政府網(wǎng)站信息系統(tǒng)包括的板塊為:政務(wù)公開、地方行政、法制建設(shè)、管理措施、領(lǐng)導(dǎo)講話、網(wǎng)上辦事大廳、新聞動態(tài)、政府公告、舉報建議等,還專門開辟了一個下載板塊,方便下載有用的電子表單加以填報。
在這個政府網(wǎng)站的信息系統(tǒng)中,制訂了符合信息安全等級保護(hù)定級指南的流程和標(biāo)準(zhǔn),通過分析,判斷,研究等流程確定定級的系統(tǒng)。該網(wǎng)站的擁有者設(shè)立的專門的政府網(wǎng)站平臺,由指定部門確定相關(guān)資料的搜集、采集、整理的過程方案。在這套流程中,信息生產(chǎn)者為企業(yè),產(chǎn)生的資料是信息,管理信息的手段是利用科學(xué)技術(shù),對外承擔(dān)政務(wù)信息,擁有獨立的業(yè)務(wù),如辦事流程、新聞會等。將各類任務(wù)的環(huán)境加以構(gòu)建,就形成了政府網(wǎng)站中具有基本特征和要素的定級對象。對定級客體的邀請,要采取分析的方法,確保信息系統(tǒng)內(nèi)的保密性和可用性。實際操作中只要能夠保證信息的完整性和通用性,又增強(qiáng)了制作、、管理的職能建設(shè),激發(fā)出參與者的完整性和保密性。提高可用概率。而系統(tǒng)服務(wù)安全有力地支撐著系統(tǒng)安全運行,并為信息安全系統(tǒng)提供有效的服務(wù),達(dá)到地方網(wǎng)站發(fā)揮在定級中的作用,幫助提供服務(wù),滿足消費者的需求。采用了這種方法,網(wǎng)站信息系統(tǒng)的業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全都將是今后在企業(yè)運用中需要特別加以注意的。
例如:對于受侵害的客體,必須說明客體的情況,是否受到法律保護(hù),等級保護(hù)中牽扯到的社會關(guān)系和合法權(quán)益。尤其是針對信息系統(tǒng)的客體的先后順序進(jìn)行判斷,結(jié)合政府平臺,實施政務(wù)信息公開。如果做不到政務(wù)信息公開,政府就要設(shè)置管理界限,發(fā)揮人的主觀能動性,在知情權(quán)、業(yè)務(wù)能力、投訴與批評等階段加大業(yè)務(wù)辦理力度,最大可能地維護(hù)法人和代表組織的知情權(quán),排棄受到破壞的客體,法人由于難以摻入個人組織中,直接投訴合法的法律法規(guī),由于業(yè)務(wù)施工的進(jìn)度過快,環(huán)節(jié)紛繁眾多[2]。再由于受損教育可以對客體的積極主動性。方便法人和組織知情、辦理業(yè)務(wù)、舉報、投訴等。
對于客體造成的侵害進(jìn)行后果的分析,無論是大型門戶網(wǎng)站,還是在金融政策引領(lǐng)下,親自感受到客體檢查結(jié)果的影響,如信息安全管理等,都要注重網(wǎng)絡(luò)平臺的臨時性。
7 結(jié)束語
要做好信息系統(tǒng)的安全保護(hù)等級的確定,就要采取正確的 (下轉(zhuǎn)第51頁)
(上接第46頁)
策略以及方法,對信息安全管控產(chǎn)生依賴,保護(hù)過程中采取正確的策略和方法,等等。信息系統(tǒng)、安全等級保護(hù)不足的問題,都要求管理覺決策層加熬煮。在實際運行中,還要以定級指南為指導(dǎo),綜合信息系統(tǒng)的業(yè)務(wù)特征,切實推動信息技術(shù)等級保護(hù)工作的大力發(fā)展。
參考文獻(xiàn):
信息安全等級保護(hù)辦法范文第4篇
本文重點在結(jié)合信息安全等級的要求與IDS本身結(jié)構(gòu)的優(yōu)缺點,對信息安全策略進(jìn)行分析,構(gòu)建滿足五級信息安全保護(hù)能力的入侵檢測系統(tǒng)。
關(guān)鍵詞:入侵檢測,信息安全
1.信息安全等級
信息安全等級保護(hù)是我國信息安全保障工作的綱領(lǐng)性文件(《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》)(中辦發(fā)[2003]27號)提出的重要工作任務(wù)[1],其基本原理是,不同的信息系統(tǒng)有不同的重要性,在決定信息安全保護(hù)措施時,必須綜合平衡安全成本和風(fēng)險。
2007年6月,公安部的《信息安全等級保護(hù)管理辦法》規(guī)定,根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度,其遭受破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等,其安全等級由低到高劃分為五級,其等級劃分原則如表1.1所示:
表1.1 安全等級劃分原則
不同安全等級的信息系統(tǒng)應(yīng)該具備相應(yīng)的基本安全保護(hù)能力,其中第四級安全保護(hù)能力是應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊,嚴(yán)重的自然災(zāi)害,以及其他相當(dāng)維護(hù)程度的威脅所造成的資源損害,能夠發(fā)現(xiàn)安全漏洞和安全相關(guān)事件,在系統(tǒng)遭到損害后,能夠迅速恢復(fù)所有功能;第五級安全保護(hù)能力是在第四級安全的安全保護(hù)能力的基礎(chǔ)上,由訪問控制監(jiān)視器實行訪問驗證,采用形式化技術(shù)驗證相應(yīng)的安全保護(hù)能力確實得到實現(xiàn)。
2.IDS主要功能
入侵檢測:通過對行為、安全日志、審計數(shù)據(jù)或其他網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作,檢測到對系統(tǒng)的闖入或者闖入的企圖[2]。(國標(biāo)GB/T 18336)
入侵檢測系統(tǒng)的主要功能:
檢測并分析用戶和系統(tǒng)的活動,查找非法用戶和合法用戶的越權(quán)操作;檢查系統(tǒng)配置和漏洞,并提示管理員修補(bǔ)漏洞。(由安全掃描系統(tǒng)完成)、評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性;識別已知的攻擊行為;統(tǒng)計分析異常行為;操作系統(tǒng)日志管理,并識別違反安全策略的用戶活動等;
成功的入侵檢測系統(tǒng),應(yīng)該達(dá)到的效果:可以使系統(tǒng)管理員時刻了解網(wǎng)絡(luò)系統(tǒng)(軟件和硬件)的任何變更,能給網(wǎng)絡(luò)安全策略的制定提供依據(jù);管理配置簡單,使非專業(yè)人員非常容易地獲得網(wǎng)絡(luò)安全。入侵檢測的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)規(guī)模、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后,能及時作出響應(yīng),包括切斷網(wǎng)絡(luò)連接、記錄事件和報警等。
圖2.1入侵檢測系統(tǒng)結(jié)構(gòu)圖
3.IDS類別
由于IDS的模型多樣化,IDS的類別也表現(xiàn)出較為復(fù)雜的情況,但是當(dāng)前通常將入侵檢測按照分析方法和數(shù)據(jù)來源來進(jìn)行分類[3]。
3.1按照分析方法(檢測方法)
異常檢測模型(Anomaly Detection):首先總結(jié)正常操作應(yīng)該具有的特征(用戶輪廓),當(dāng)用戶活動與正常行為有重大偏離時即被認(rèn)為是入侵。
誤用檢測模型(MisuseDetection):收集非正常操作的行為特征,建立相關(guān)的特征庫,當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時,系統(tǒng)就認(rèn)為這種行為是入侵。
3.2按照數(shù)據(jù)來源
基于主機(jī)的IDS:系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運行所在的主機(jī),保護(hù)的目標(biāo)也是系統(tǒng)運行所在的主機(jī);檢測的目標(biāo)主要是主機(jī)系統(tǒng)和系統(tǒng)本地用戶。檢測原理是根據(jù)主機(jī)的審計數(shù)據(jù)和系統(tǒng)的日志發(fā)現(xiàn)可疑事件,檢測系統(tǒng)可以運行在被檢測的主機(jī)或單獨的主機(jī)上。
圖3.1基于主機(jī)的IDS結(jié)構(gòu)圖
基于網(wǎng)絡(luò)的IDS:系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包,保護(hù)的是網(wǎng)絡(luò)的運行;根據(jù)網(wǎng)絡(luò)流量、協(xié)議分析、單臺或多臺主機(jī)的審計數(shù)據(jù)檢測入侵。
圖3.2 基于網(wǎng)絡(luò)的IDS結(jié)構(gòu)圖
探測器由過濾器、網(wǎng)絡(luò)接口引擎器以及過濾規(guī)則決策器構(gòu)成,探測器的功能是按一定的規(guī)則從網(wǎng)絡(luò)上獲取與安全事件相關(guān)的數(shù)據(jù)包,傳遞給分析引擎器進(jìn)行安全分析判斷[4]。
分析引擎器將從探測器上接收到的包并結(jié)合網(wǎng)絡(luò)安全數(shù)據(jù)庫進(jìn)行分析,把分析的結(jié)果傳遞給配置構(gòu)造器。
配置構(gòu)造器按分析引擎器的結(jié)果構(gòu)造出探測器所需要的配置規(guī)則。
分布式IDS:
傳統(tǒng)的集中式IDS的基本模型是在網(wǎng)絡(luò)的不同網(wǎng)段放置多個探測器收集當(dāng)前網(wǎng)絡(luò)狀態(tài)的信息,然后將這些信息傳送到中央控制臺進(jìn)行處理分析。
分布式結(jié)構(gòu)采用了本地主體處理本地事件,中央主體負(fù)責(zé)整體分析的模式。
3.3 IDS的局限性
對于大規(guī)模的分布式攻擊,中央控制臺的負(fù)荷將會超過其處理極限,這種情況會造成大量信息處理的遺漏,導(dǎo)致漏警率的增高[5]。
多個探測器收集到的數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸會在一定程度上增加網(wǎng)絡(luò)負(fù)擔(dān),導(dǎo)致網(wǎng)絡(luò)系統(tǒng)性能的降低[6]。
由于網(wǎng)絡(luò)傳輸?shù)臅r延問題,中央控制臺處理的網(wǎng)絡(luò)數(shù)據(jù)包中所包含的信息只反映了探測器接收到它時網(wǎng)絡(luò)的狀態(tài),不能實時反映當(dāng)前網(wǎng)絡(luò)狀態(tài)[7]。
4.五級安全防護(hù)能力IDS構(gòu)建
根據(jù)公安部《信息安全等級保護(hù)管理辦法》,五級安全防護(hù)能力需要具備四級安全防護(hù)的漏洞發(fā)現(xiàn)和入侵檢測能力,同時需要由訪問控制監(jiān)視器實現(xiàn)對訪問的及時驗證,保證杜絕未授權(quán)用戶的非法訪問。
與此同時,如何解決因為網(wǎng)絡(luò)時延而導(dǎo)致的數(shù)據(jù)分析的延后,以及解決探測器在網(wǎng)絡(luò)傳輸中造成的網(wǎng)絡(luò)負(fù)擔(dān),提高網(wǎng)絡(luò)系統(tǒng)性能的同時保證中央控制臺的高效運轉(zhuǎn),是當(dāng)前IDS需要重點研究的問題。
當(dāng)前IDS的結(jié)構(gòu)中入侵檢測和數(shù)據(jù)安全審計是兩個不同的模塊,入侵檢測系統(tǒng)將檢測數(shù)據(jù)提交給安全審計模塊,對入侵行為的確認(rèn)是由安全審計模塊進(jìn)行的[8]。因此在成本可接受的范圍內(nèi),如果將審計模塊和檢測模塊結(jié)合,并且將分布式IDS的每一個檢測終端都由一個獨立處理單元來進(jìn)行基本的檢測,只將較為復(fù)雜的數(shù)據(jù)提交給中央控制臺,這樣即減輕了網(wǎng)絡(luò)傳輸?shù)膲毫Γ灿欣谥醒肟刂婆_更加高效運轉(zhuǎn)。將每一個獨立處理單元命名為一個agent,每個agent的結(jié)構(gòu)如下圖所示:
5.結(jié)束語
本文介紹了信息安全等級的分類依據(jù),在對IDS系統(tǒng)的類別和局限性進(jìn)行分析的基礎(chǔ)上,對滿足五級信息安全防護(hù)能力的入侵檢測系統(tǒng)進(jìn)行了基本構(gòu)建,探討通過對分布式IDS終端處理單元的結(jié)構(gòu)和防范策略進(jìn)行調(diào)整,研究對IDS存在主要問題的處理策略。
參考文獻(xiàn)
[1] 高永強(qiáng),羅世澤.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用大典[M].北京:人民郵電出版社,2003:15-16.
[2] 盛思源,戰(zhàn)守義,石耀斌.基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)[J].計算機(jī)工程,2003,28(3).
[3] 胡振昌.網(wǎng)絡(luò)入侵檢測原理與技術(shù)[M].北京:北京理工大學(xué)出版社,2006
[4] 唐正軍,李建華.入侵檢測技術(shù)[M].北京:清華大學(xué)出版,2004.
[5] 程伯良,周洪波,鐘林輝.基于異常與誤用的入侵檢測系統(tǒng)[J].計算機(jī)工程與設(shè)計.2007,28(14)
[6] 胥小波,蔣琴琴.基于混沌粒子群的IDS告警聚類算法[J].通信學(xué)報.2013,34(3)
信息安全等級保護(hù)辦法范文第5篇
關(guān)鍵詞:衛(wèi)生系統(tǒng)門戶網(wǎng)站;網(wǎng)站群運維監(jiān)測平臺;信息安全等級保護(hù);網(wǎng)站運營;門戶網(wǎng)站健康性
中圖分類號:TP311 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-3044(2016)16-0122-02
浙江省衛(wèi)生廳、浙江省公安廳聯(lián)合下發(fā)文件《關(guān)于做好全省醫(yī)療衛(wèi)生行業(yè)重要信息系統(tǒng)信息安全等級保護(hù)工作的通知》對全省醫(yī)療衛(wèi)生行業(yè)重要信息系統(tǒng)提出高度重視信息安全等級保護(hù)工作、明確工作職責(zé),建立工作機(jī)制等重要要求。同時為加強(qiáng)浙江省醫(yī)療衛(wèi)生系統(tǒng)網(wǎng)站的運維和管理,提高醫(yī)療衛(wèi)生系統(tǒng)網(wǎng)站運行質(zhì)量,經(jīng)研究決定開展浙江省醫(yī)療衛(wèi)生系統(tǒng)網(wǎng)站群運維監(jiān)測平臺(以下簡稱運維監(jiān)測平臺)的建設(shè)工作。基于互聯(lián)網(wǎng)搭建,集“訪問分析、健康診斷、實時監(jiān)控、績效考核”四大功能于一體,實現(xiàn)對醫(yī)療衛(wèi)生系統(tǒng)門戶網(wǎng)站的網(wǎng)頁差錯、信息更新量、訪問流量和可用性進(jìn)行統(tǒng)一診斷、檢測和分析。截止四月底,浙江省衛(wèi)生系統(tǒng)網(wǎng)站評測針對全省276個預(yù)參評網(wǎng)站實現(xiàn)過半數(shù)的檢測,其中包括行政類(103個,含新增2個),委直屬單位(11個,含新增3個),監(jiān)督所(12個),疾控中心(12個),醫(yī)院(138個,含新增12個)
衛(wèi)生系統(tǒng)門戶網(wǎng)站建設(shè)及運維需在實現(xiàn)日常網(wǎng)站內(nèi)容分享及告知功能外,更合理的設(shè)計信息安全、健康等方面的環(huán)節(jié),以確保門戶正常合理運營。針對實際需求,醫(yī)院類門戶網(wǎng)站關(guān)注重點主要包含:健康情況、院務(wù)公開、醫(yī)療服務(wù)、互動交流、訪問量、網(wǎng)站設(shè)計與用戶體驗、安全管理。
1 健康情況
針對“站點可用性”、“首頁更新”、“鏈接可用性”、“欄目維護(hù)情況”4個指標(biāo)中的每個網(wǎng)站各按標(biāo)準(zhǔn)分100分采樣后加權(quán)折算,得出健康情況總和得分,以評定出站點可用性及用戶操作通暢性體驗描述。
2 院務(wù)公開
針對“概況信息”,“ 院務(wù)信息”,“ 行風(fēng)廉政建設(shè)”,“ 院務(wù)動態(tài)”,“ 信息保障”4個指標(biāo)欄目完整性 加以評測。詳細(xì)欄目見附圖1
3 醫(yī)療服務(wù)
針對“健康服務(wù)”,“ 科室服務(wù)”,“ 專家服務(wù)”,“ 就醫(yī)指南”,“ 查詢服務(wù)” 5個指標(biāo)欄目完整性加以評測。詳細(xì)欄目見表1。
4 互動交流
針對“醫(yī)院信箱”,“ 信件反饋”,“ 在線調(diào)查”等功能完整性、可操作性、功能介紹完整性加以評定,并承諾時限超過10個工作日或未提供承諾時限的要求在10個工作日內(nèi)給予反饋。
5 訪問量
同一時間段內(nèi)網(wǎng)站的訪問量。
6 網(wǎng)站設(shè)計與用戶體驗
針對“頁面布局”,“ 欄目設(shè)置”,“ 檢索功能”,“ 網(wǎng)站導(dǎo)航”,“ 輔助信息”,“ 網(wǎng)站使用幫助”,“ 頁面相關(guān)度”,“ 網(wǎng)站群標(biāo)識”等方面對用戶實用性加以評定。
7 安全管理
1)組織機(jī)構(gòu)、組織領(lǐng)導(dǎo)、制度保障設(shè)置完整
2)等級保護(hù),公安廳(局)進(jìn)行備案,有備案證書
3)安全檢測,檢查網(wǎng)站是否被掛馬、SQL 注入、XPath注入攻擊、源碼泄露、web漏洞等到安全隱患。
7.1 主機(jī)安全
7.1.1 操作系統(tǒng)
1)門戶網(wǎng)站服務(wù)器都未對登錄口令進(jìn)行復(fù)雜度限制且無登錄失敗處理功能,容易產(chǎn)生較弱的登錄口令,非授權(quán)人員可通過無限制的嘗試暴力破解,會導(dǎo)致系統(tǒng)被非授權(quán)訪問;
2)門戶網(wǎng)站服務(wù)器未對默認(rèn)賬戶administrator進(jìn)行修改,非授權(quán)人員可跳過猜測用戶名的步驟直接嘗試暴力破解密碼,加大了登錄口令被破解的可能性,使系統(tǒng)被非授權(quán)訪問;
3)門戶網(wǎng)站服務(wù)器的日志審計范圍未包括部分重要安全相關(guān)事件,審計內(nèi)容不完善,不利于管理員對重要歷史事件進(jìn)行追溯;
4)門戶網(wǎng)站服務(wù)器日志空間過小,可能導(dǎo)致重要的日志信息被未預(yù)期的刪除或覆蓋等,降低了審計記錄的可信度,也不利于事故時對重要歷史事件進(jìn)行追溯處理;
5)門戶網(wǎng)站服務(wù)器未對操作系統(tǒng)補(bǔ)丁進(jìn)行及時的更新,可能導(dǎo)致產(chǎn)生較多的系統(tǒng)漏洞,增加了操作系統(tǒng)被入侵的風(fēng)險;
6)門戶網(wǎng)站服務(wù)器未對遠(yuǎn)程登錄地址進(jìn)行限制,可能導(dǎo)致非授權(quán)人員通過遠(yuǎn)程連接登錄系統(tǒng),使系統(tǒng)被非授權(quán)訪問;
7.1.2 數(shù)據(jù)庫
1)數(shù)據(jù)庫未對登錄口令進(jìn)行復(fù)雜度限制容易產(chǎn)生較弱的登錄口令,非授權(quán)人員可能暴力破解,會導(dǎo)致數(shù)據(jù)庫被非授權(quán)訪問;
2)數(shù)據(jù)庫未設(shè)置超時鎖定功能,可能導(dǎo)致數(shù)據(jù)庫被非授權(quán)訪問;
3)數(shù)據(jù)庫未限制單個用戶對數(shù)據(jù)庫資源的最大或最小使用限度,可能因某些用戶占用數(shù)據(jù)庫過多的資源,導(dǎo)致其他用戶的重要服務(wù)得不到及時響應(yīng)和處理。
7.2 數(shù)據(jù)及備份恢復(fù)
7.3 管理安全
在CGI中限制用戶提交數(shù)據(jù)的長度。對用戶輸入的數(shù)據(jù)進(jìn)行合法性檢查,只允許合法字符通過檢測。對于非字符串類型的,強(qiáng)制檢查類型;字符串類型的,過濾單引號。WEB程序調(diào)動低權(quán)限的sql用戶連接,勿用類似于dbo高權(quán)限的sql 賬號。細(xì)化Sql用戶權(quán)限,限定用戶僅對自身數(shù)據(jù)庫的訪問控制權(quán)限。使用Web應(yīng)用防火墻來加固整個網(wǎng)站系統(tǒng)。
參考文獻(xiàn):
[1] 浙江省醫(yī)療衛(wèi)生行業(yè)信息安全等級保護(hù)工作實施方案[Z].
[2] 浙江省衛(wèi)生行業(yè)信息系統(tǒng)安全等級保護(hù)定級工作指導(dǎo)意見[Z].
[3] 關(guān)于做好全省醫(yī)療衛(wèi)生行業(yè)重要信息系統(tǒng)信息安全等級保護(hù)工作的通知[Z].
[4] 浙江省政府網(wǎng)站日常運維監(jiān)測實施辦法(浙政辦發(fā)〔2012〕50號)[Z].
[5] 中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局, 中國國家標(biāo)準(zhǔn)化管理委員會. GB/T 22239-2008信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求[S]. GB/T 22239-2008, 北京: 中國標(biāo)準(zhǔn)出版社.
[6] 中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局. GB/T 25058-2010信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實施指南[S]. 北京: 中國標(biāo)準(zhǔn)出版社.
