您好, 访客   登录/注册

质检系统网络与信息安全保障体系构建设想

来源:用户上传      作者:

  摘 要:本文对质检行业网络信息安全现状进行了分析,指出了存在的问题,有针对性地提出了构建质检系统网络与信息安全保障体系方案,即从网络安全防护、网络安全评估、网络与应用系统安全审计、应用系统的授权与访问控制、应用系统关键数据安全技术要求、系统容灾备份建设要求、安全管理要求、重大突发事件应急管理、安全运维等九个方面着手,构建完备、统一的防护保障体系。
  关键词:网络、信息安全、保障体系
  
   随着国家“金质工程”建设的不断深入。根据建设“数字化质检”、十二五期间打造“智慧质检”的信息化目标,质检行业将实现检验检验、行政执法、行政许可、产品质量管理、计量管理、标准化管理、特种设备安全管理、食品安全管理等全面质量管理。而构建智慧质检,离不开网络的支持,信息化体系建设也是必然的结果。
  一、当前质检行业网络信息安全问题分析
   近年来,虽然质检行业信息安全保障体系建设取得了一定成效,但还存在一些需要高度重视和加以解决的问题。质检行业信息安全保障存在的问题如下。
   (一)安全目标和需求不明确
   在认识上各质检单位都高度重视信息安全,但在工作上常常感到没有抓手,无的放失。如系统运行的连续性需求不明确,造成网络和系统备份措施不完善;信息保护的需求不明确(是否需要保密,存在特权用户),造成数据安全保护水平低;系统安全的需求不明确,系统设计安全规范执行不到位,缺少安全审核机制,造成应用系统一上线就有安全隐患,防护困难。
   (二)仍存在着“重应用,轻安全”的现象
   大部分质检单位重视应用系统建设,缺少从应用系统建设的规划阶段就开始规划信息安全保障工作的意识,造成信息安全工作总是慢半拍,无法做到从源头上控制,实施安全保护,不仅加大了后续安全保障的难度,也增加了后期安全保护成本。
   (三)偏重技术防护忽视安全管理
   存在着有了技术就万事大吉的想法,未能在管理制度上通盘考虑谁来管、管什么、怎么管、靠什么管、管的怎样、是否符合要求等环节,制度建设不系统、不全面,更是缺少安全规范、流程、检查,造成了安全“管不住”。
   (四)缺少科学运维和安全运维的方法和手段
   质检行业信息系统的运维工作多数是自己承担,系统内市、县局缺少专门的运维管理人员,目前还仅停留在“保系统正常运行”的阶段,未做到全面规划运维流程、控制运维活动、持续改进完善。
   (五)机构设置不完善
   至今全国质检系统中省级质量技术监督局还有没有专门设立信息中心,市级质量技术监督局和区县质量技术监督局没有机构和专人负责信息化建设的情况还比较普遍,网络信息安全工作落实起来就很困难。
  二、质检行业网络信息安全保障体系构建
   网络信息安全保障体系建设包括九个方面,即网络安全防护、网络安全评估、网络与应用系统安全审计、应用系统的授权与访问控制、应用系统关键数据安全技术要求、系统容灾备份建设要求、安全管理要求、重大突发事件应急管理、安全运维等九个方面是不可分割的,相互补充。通过开展这九个方面的建设,形成一个完善的网络信息安全防护体系,才能确保质检行业网络信息安全得到保障。
   (一)网络安全防护建设方面
   网络安全防护系统是金质工程系统安全保障体系中最基础的安全设施,主要保护金质工程网络的各种应用系统,保证整个系统的可用性、完整性、可控性等。采用分区设防、重点防御的建设原则。从物理安全防护、技术防护、人员防护、管理防护四个层面着手,构建金质工程的网络安全综合防护体系。同时参考《计算机信息系统安全保护等级划分准则》(GB 17859-1999)、《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22240-2008)标准规定,按照信息系统的重要性、使用范围、影响范围等要素,将信息系统的进行分级,按照不同级别进行保护,做到有的放矢。
   (二)网络安全评估方面
   质检信息化建设从中央到地方共包括四级(中央级、省直级、地市级、县区级),其信息资产重要性不同,结合信息安全评估工作的实际需要,对不同级别的网络信息系统的安全评估内容和评估力度区别对待,从资产识别、脆弱性识别、威胁识别、安全措施确认、风险分析、评估文档六个方面对网络系统评估,评估时做到重点突出、兼顾全局,即对重要的数据库、应用系统重点识别、分析、加固,同时也要注重各系统之间的关联。
   (三)网络与应用系统安全审计方面
   根据网络与应用系统范围、重要程度、出现事故后的危害程度将审计需求分为两种:基本要求、增强要求。通过对主机、服务器、网络、数据库管理系统、应用系统运行的状态、情况及其日志等信息进行采集、记录、分析、响应及事后的审计查阅功能要求。
   (四)应用系统的授权与访问控制方面
   依据“金质工程”应用系统中授权与访问控制策略,对应用系统内的访问者进行统一授权、验证并提供保护的策略和方法。通过建设授权与访问控制平台,为各应用系统的授权、鉴别认证与访问控制,提供统一的用户管理、授权和鉴别认证平台,实现各应用系统按照定义的访问控制策略,基于各个业务应用要求和符合组织的信息安全策略向应用系统的用户(包括支持人员)提供对信息和应用系统功能的访问,它的效力依赖于这个平台中组件或组件模块的组成完整性。
   (五)应用系统关键数据安全技术要求方面
   金质工程应用系统关键数据生命周期内的采集、传输、处理、存储、交换、使用和销毁等过程中的安全要求包括:一般要求和基本技术要求。涉及保密性要求、可用性要求、完整性要求、计算机防病毒要求方面。其中保密性要求主要从对数据进行有效的管理并根据所传输或存储的应用系统数据的特征,确定对数据加密保护的方式;可用性的要求主要从用户身份鉴别、访问控制、安全审计方面进行保护;完整性要求主要从软件完整性、数据完整性、数据交换的真实性和有效性、安全审计进行保护。
   (六)系统容灾备份建设要求
   信息系统灾难恢复,包括灾难恢复规划、灾难备份中心的日常运行、业务功能在灾难备份中心的恢复和重续运行、主系统的灾后重建和回退工作、突发事件发生后的应急响应。健全的灾难恢复组织机构是灾难恢复的前提与保障。灾难恢复工作是一个周而复始、持续改进的过程,主要包含:灾难恢复需求的确定、灾难恢复策略的制定、灾难恢复策略的实现、灾难恢复预案的制定、落实和管理。
   (七)安全管理要求
   安全管理涉及金质工程信息安全管理方针,安全管理制度,安全管理组织体系,信息安全风险管理,系统环境和资源管理,运行和维护管理,业务连续性管理,监督和检查管理,生存周期管理等内容。
   (八)重大突发事件应急管理
   重大突发事件应急管理包括: 应急管理准备、应急预案制定、应急工作改进三个方面。应急管理准备涉及确定应急管理因素、进行业务影响分析、确定防护措施、制定关键系统的应急处置规范;应急预案制定即制定恢复金质工程正常运行所需信息安全突发事件应急预案;应急改进即有规律地更新应急预案、改进应急管理过程等工作。
   (九)安全运维
   安全运维是为了保障金质工程涉及的各业务系统安全、稳定和高效运行而采取的生产组织管理活动。安全运维主要涉及资产管理、故障管理、网管系统、应用性能管理、应用性能管理、桌面管理、员工行为管理、安全管理等内容。
   通过开展以上九个方面的形成一个互相补充,完整统一的整体,逐步形成一个完善的防护体系。


转载注明来源:https://www.xzbu.com/2/view-593462.htm