前言:中文期刊网精心挑选了网络安全等保条例范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全等保条例范文1
【 关键词 】 等级保护;烟草企业;信息安全体系
1 等级保护思想
等级保护思想自20世纪80年代在美国产生以来,对信息安全的研究和应用产生着深远的影响。以ITSEC、TCSEC、CC等为代表的一系列安全评估准则相继出台,被越来越多的国家和行业所引入。我国于20世纪80年代末开始研究信息系统安全防护问题,1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》(国务院147号令),明确规定计算机信息系统实行安全等级保护。至此,等级保护思想开始在我国逐渐盛行。
我国的安全等级保护主要对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护。其核心思想就是对信息系统分等级、按标准分类指导,分阶段实施建设、管理和监督,以保障信息系统安全正常运行和信息安全。信息系统的安全等级保护由低到高划分为五级,通过分级分类,以相应的技术和管理为支撑,实现不同等级的信息安全防护。
2 烟草行业引入等级保护思想的意义
烟草行业高度重视等级保护工作,实施信息安全等级保护,能有效地提高烟草行业信息安全和信息系统安全建设的整体水平。
2.1 开展安全等级结构化安全设计
安全等级保护在注重分级的同时,也强调分类、分区域防护。烟草行业虽强调分类、分区域,但存在一定局域性。同时,由于缺少分级准则,差异化保护尚未深化。引入等级保护思想,有助于深化结构化安全设计理念,通过细分类型、划分区域,全面梳理安全风险,明晰防护重点,构建统一的安全体系架构。
2.2 注重全生命周期安全管理
等级保护工作遵循“自主保护、重点保护、同步建设、动态调整”四大基本原则,其“同步建设、动态调整”原则充分体现了全生命周期管理的思想。烟草行业在全建设“同步”思想方面体现不深,未在系统的建设初期将安全需求纳入系统的整体阶段。引入新思想,明确新建系统安全保护要求,提升安全管理效率。
3 等级保护在烟草行业的实施路径
信息安全等级保护工作的内容主要涉及系统定级备案、等级保护建设、风险评估与等级安全测评、安全建设整改。烟草行业推行等级保护工作,其实施路径主要有几条。
3.1 信息系统安全定级
主要包括信息系统识别、信息系统划分、安全等级确定。其中,原有信息系统根据业务信息安全重要性、系统服务安全重要性等方面综合判定,合理定级。
3.2 等级保护安全测评
在等级保护环境下对信息系统重要资产进行风险评估,通过等保测评,发现与等级保护技术、管理要求的不符合项。
3.3 制订等级保护实施方案
依据安全建设总体方案、等级保护不符合项,全面梳理存在问题,分类形成各层级问题清单;并合理评估安全建设整改的难易度,全面有效制订等级保护方案,明确安全整改目标。
3.4 开展安全整改与评估
根据等级保护实施方案开展建设,具体主要包括安全域划分、产品采购与部署、安全策略实施、安全整改加固以及等级保护管理建设等。并不定期开展安全评估,不断巩固信息安全与信息系统安全。
4 基于等级保护的烟草企业信息安全体系建设
根据等级保护工作的实施路径分析得出,等级保护与信息安全体系存在许多共性,有较好的融合度。因此,探索基于等级保护的行业信息安全体系具有深刻意义。
信息安全体系的核心是策略,由管理、技术、运维三部分组成。在等级保护思想的融合下,信息安全体系建设更加注重“分级保护、分类设计、分阶段实施”。根据等级保护思想,烟草行业信息安全体系概述有几点。
4.1 分级保护
烟草行业的信息安全体系以信息系统等级为落脚点,实行系统关联分级,具体分为人员分级、操作权限分级、应用对象分级。首先确定使用对象的范围。对人员实行不同分级,即人员、可信人员、不可信人员等;其次,根据人员分级,划分操作权限,即高权限、特殊权限、中权限、低权限等;最后根据业务信息安全等级和应用服务等级,明确应用系统等级,即一至五级安全等级。通过“人员—操作—应用”的关联链,制订分级准则,从而达到分级保护的目的。
4.2 分类设计
信息安全体系分类设计,主要涉及不同类型、不同区域、不同边界三方面的结构化设计。
4.2.1 类型设计
根据安全等级保护要求以及安全体系特点,分为技术、管理和运维三大类型,并进行类型策略设计。其中技术要求分为物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等四部分,管理要求分为安全管理制度、安全管理机构、人员安全管理、系统建设管理等四部分。运维要求分为系统运维管理、系统运维评估等两部分。
(1)技术策略注重系统自身安全防护功能以及系统遭损害后的恢复功能两大层面。如主机管理,其中主机管理、身份鉴别、访问控制、安全审计、入侵方法等标准要按级体现;而不同的策略同样也要根据两大层面按需设计。
(2)管理策略注重管理范围全面性、资源配置到位性和运行机制顺畅性。诸如安全管理机构是否明确了机构组成,岗位设置是否合理、人员配置是否到位、沟通运行机制是否顺畅等。
(3)运维策略主要体现运维流程的清晰度、运维监督考核的执行度。诸如系统运维管理是否明确运维流程及运维监督考核指标,诸如重大事件、巡检管理、故障管理等。通过分类设计达到结构化层级要求。
4.2.2 区域设计
区域设计主要指安全域。安全域从不同角度可以进行划分,主要分为横向划分和纵向划分,横向划分按照业务分类将系统划分为各个不同的安全域,如硬件系统部分、软件系统部分等;纵向在各业务系统安全域内部,综合考虑其所处位置或连接以及面临威胁,将它们划分为计算域、用户域和网络域。
烟草行业根据体系建设需要,将采用多种安全域划分方法相结合的方式进行区域划分。
(1)以系统功能和服务对象划分烟草重要信息系统安全域和一般应用系统安全域。采取严格的访问控制措施,防止重要信息系统数据被其它业务系统频繁访问。
(2)以网络区域划分烟草行业信息系统的数据存储区、应用服务区、管理中心、信息系统内网、DMZ区等不同的安全域。数据存储区的安全保护级别要高于应用服务区,DMZ区的安全级别要低于其它所有安全域。
4.2.3 边界设计
要清晰系统、网络、应用等边界,通过区域之间划分,明晰边界安全防护措施。边界设计的理念基于区域设计,在区域划分成不同单元的基础上,实行最小安全边界防护。边界防护本着“知所必需、用所必需、共享必需、公开必需、互联互通必需”的信息系统安全控制管理原则实施。
4.3 分阶段实施
烟草信息安全体系建设要充分体现全生命周期管理思想,从应用系统需求开始,分阶段推进体系建设。
4.3.1 明确安全需求
为保证信息安全体系建设能顺利开展,行业新建系统必须在规划和设计阶段,确定系统安全等级,明确安全需求,并将应用系统的安全需求纳入到项目规划、设计、实施和验证,以避免信息系统后期反复的整改。
4.3.2 加强安全建设
要在系统建设过程中,根据安全等级保护要求,以类型、区域和边界的设计为着力点,全面加强安全环节的监督,及时跟踪安全功能的“盲点”,使在系统建设中充分体现安全总体设计的要求,稳步推进安全体系稳步开展。
4.3.3 健全安全运维机制
自系统进入运维期后,要建立健全安全运维机制。梳理运维工作事项,理顺运维业务流程,并通过制订运维规范、运维质量评价标准、运维考核标准等,规范安全运维管理,提高安全运维执行力,以确保系统符合安全等级要求。
4.3.4 开展全面安全测评
在安全建设阶段,对行业现状要全面诊断评估,尤其是对已定级的信息系统,加强安全测评,形成安全整改方案,并结合安全体系设计框架,按阶段、分步骤落实,注重整改质量与效率,降低安全风险。
4.3.5 落实检查与评估
检查评估必须以安全等保要求为检查内容,充分借助第三方力量,准确评估行业安全管理水平,并及时调整安全保护等级,不断促进行业信息安全工作上台阶。
5 结束语
信息安全体系建设作为一项长期的系统工程,等级保护思想的引入,以其保护理念的先进性和实施路径的可行性,为信息安全体系建设提供了新的思路和方法。烟草行业将在信息安全等级保护工作中切实提高烟草业务核心系统的信息安全,保障行业系统的安全、稳定、优质运行,更好地服务国家和社会。
参考文献
[1] 公安部等.信息安全等级保护管理办法[Z]. 2007-06-22.
[2] 国家烟草专卖局.烟草行业信息安全保障体系建设指南[Z].2008-04-25.
网络安全等保条例范文2
保安班是学校安全工作队伍的重要组成部分,保安班的整体素质如何,直接关系到校园安全工作的整体水平。2007年底,因临时用工制度改革,学校引进新上海物业承担校园安保和清卫服务。为使保安人员尽快适应我校环境,提高保安实际工作的能力和水平,我处与物业公司项目部一起,重点加强了保安队伍的规范化建设。年内组织保安员进行了岗位操作、消防安全等安保业务知识培训。为提升保安整体素质,我处积极协调保安班的教育管理,共同制定奖惩措施及各项工作制度。对于在实际工作中不适应和不称职的保安,及时向项目部提出撤换意见。通过以上措施,保安队伍整体素质有了较大提高,师生普遍反映较好。
08年,我处进一步强化了学生校卫队的工作。指导校卫队制定年度工作计划;组织学生校卫队员学习消防知识、参加灭火演练、开展信息工作培训;参加校内和校园周边的安全巡逻;宣传法制、安全常识等。通过一系列活动,校卫队员的安全防范意识得到增强,在实际工作中发挥了较好的作用。
二、健全制度预案,促进规范有序管理
作为安全保卫工作的职能部门,我处积极发挥自身作用,从加强学校安全工作的组织领导和建立健全校内安全工作制度、突发事件应急预案入手,进一步落实安全工作责任,促进规范有序管理,推动平安和谐校园建设向纵深发展。年初,拟制宁波电大安全综治工作目标管理责任书,并由校长与各部门负责人共同签字,细化安全工作目标,明确管理责任;根据上级要求,结合校内实际,修改完善了内保条例实施方案、安全保卫工作制度等一系列规章制度,努力使安全工作做到有章可循,按章管理;年内,与学生处一起,通过深入调研,反复论证,完成宁波电大处置突发事件工作预案的编制,并以文件形式下发。同时,还进行了宁波电大防恐怖袭击和人为破坏应急预案、宁波电大灭火和应急疏散预案、宁波电大应急救治和疾病预防措施、宁波电大处置食物中毒事件应急预案等,为最大程度地预防各类突发事件和减少突发事件造成的损失,保证师生的生命和财产安全,维护校园稳定提供了制度保障。
三、突出工作重点, 确保校园安全稳定
由于我校与其他普通高校在办学模式上有很大不同,办学形式多样、学生层次复杂,学校教学资源交叉使用频繁,校内各类人员进出难以控制,给安全管理工作带来很大难度。我处根据学校的特点,重点把握以下几个方面,强化安全管理工作。
(一)开展在校生安全防范教育。一年来,我处积极配合学生处通过多形式、多渠道开展在校生的法制教育及交通安全、人身安全、网络安全、危害等方面的宣传教育,进一步增强了在校生的法制观念、安全意识,提高了学生防范自救的能力和参与和谐平安校园建设的积极性。
(二)进一步完善技术防范设施。针对“平安校园”建设对技防设施提出的新要求,我处努力当好参谋,积极开展调研,在校领导的支持下,校内技防设施不断得到完善。08年,学校再投入资金6.5万元在校园主要通道、公共部位安装了监控探头,并对所有监控设施进行了整合,将控制室移至门卫,同时对新建综合楼的安全防范设施进行了规划。目前,校园内重点要害部位实现了监控全覆盖,为确保学校财产安全和及时发现处理安全隐患、事故苗头提供了有力保障。
(四)保持信息渠道畅通,及时发现和化解矛盾。信息工作是安全工作的生命线,我处十分注重安全信息地收集与处理,一年来,充分发挥师生信息员队伍的作用,收集了各类有效信息50余条,通过梳理分析,及时调整工作重点和工作方法,始终坚持把防范工作做在前面。我处还积极联系市公安局经文保支队、江北公安分局、文教派出所、文教街道综治办,掌握第一手相关的社会治安形势资料,结合校内实际,及时开展宣传教育,加强正面引导,使全校师生在敏感时期、敏感事件面前保持冷静态度。平时,我处对校内安全隐患和不稳定因素进行认真排查,并及时采取有效措施进行化解。年内,经我处及时介入并成功调处的各类矛盾纠纷有8起,积极参与协调和处理学生严重违纪事件3起。
(五)及时介入突发事件的处理,积极发挥职能部门作用。今年5月份,成教学生袁某在校外意外被害,家属数十人到校吵闹,我处人员及时介入,积极联络协调警方及相关部门,安排家属食宿,安抚家属情绪,在处理事件的全过程中,较好地发挥了部门作用。
(五)坚持以人为本,努力做好户籍管理工作。一年来,及时圆满完成新教师、新生户口迁入,毕业生户口迁出共474人,补办户口迁移证13人次。
(六)加强监督检查,消除事故隐患。08年,我处加大对重点、要害部位,如档案室、财务室、计算机房、实验室、多媒体教室、食堂等的监督检查力度,督促各部门、各有关责任人切实增强责任心,真正做到防患于未然。一年来,参与全校性的安全大检查4次,我处自行组织的消防专项检查12次,结合平时每日的例行检查和每周安全情况汇总分析,努力做到早发现、早处置、早整改,把事故苗头和安全隐患控制在萌芽状态。
