一、安全建设整改概述
1、工作目标
网络安全等级保护安全建设整改的工作目标可概括为:利用三年时间,开展三项重点工作,实现五方面目标。
① 三年时间。由于一些重要行业信息系统较多,受资金、人员等条件限制,考虑实际情况,全国已定级信息系统安全建设整改工作总体上用三年时间完成。各行业主管(监管)部门应按照时间要求,根据本行业信息系统数量和实际情况,合理部署总体工作进度。
② 三项重点工作。通过组织开展网络安全等级保护安全管理制度建设、技术措施建设和等级测评等三项重点工作,落实等级保护制度的各项要求。
③ 五方面目标。通过开展安全建设整改工作,达到五方面的目标:一是信息系统安全管理水平明显提高,二是信息系统安全防范能力明显增强,三是信息系统安全隐患和安全事故明显减少,四是有效保障信息化健康发展,五是有效维护国家安全、社会秩序和公共利益。
2、工作内容
各单位、各部门在主旨开展信息系统定级时,是按照有关标准要求,对每个业务系统进行定级,但在开展信息系统安全建设整改时,可以采取“分区、分域”的方法,按照“整改保护”的原则进行整改方案设计,对信息系统进行加固改造,缺什么补什么。对于新建系统,在规划设计时应确定信息系统安全保护等级,按照信息系统等级,同步规划、同步设计、同步实施安全保护技术措施。
(1)网络安全等级保护安全管理制度建设
① 开展安全管理制度建设的依据
按照《管理办法》、《信息系统安全等级保护基本要求》,参照《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准规范要求,建立健全并落实符合相应等级要求的安全管理制度。
② 开展安全管理制度建设的内容
一是落实网络安全责任制。成立网络安全工作领导机构,明确网络安全工作的主管领导。成立专门的网络安全管理部门或落实网络安全责任部门,确定安全岗位,落实专职人员兼职人员。明确落实领导机构、责任部门和有关人员的网络安全责任。
二是落实人员安全管理制度。制定人员录用、离岗、考核、教育培训等管理制度,落实管理的具体措施。对安全岗位人员要进行安全审查,定期进行培训、考核和安全保密教育,提高安全岗位人员的专业水平,逐步实现安全岗位人员持证上岗。
三是落实系统建设管理制度。建立信息系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理制度,明确工作内容、工作方法、工作流程和工作要求。
四是落实系统运维管理制度。建立机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置等管理制度,制定应急预案并定期开展演练,采取相应的管理技术措施和手段,确保系统运维管理制度的有效落实。
③ 开展安全管理制度建设的要求
在具体实施过程中,可逐项建立管理制度,也可以进行整合,形成完善的安全管理体系。要根据具体情况,结合系统管理实际,不断健全完善管理制度。同时,将管理制度与管理技术措施有机结合,确保安全管理制度得到有效落实。
建立并落实监督检查机制。备案单位定期对各项制度的落实情况进行自查,行业主管部门组织开展督导检查,公安机关会同主管部门开展监督检查。
(2)开展网络安全等级保护安全技术措施建设
① 开展安全技术措施建设的依据
按照《管理办法》、《信息系统安全等级保护基本要求》,参照《信息系统安全等级保护实施指南》、《信息系统通用安全技术要求》、《信息系统安全工程管理要求》、《信息系统等级保护安全设计技术要求》等标准规范要求,建设信息系统安全保护技术措施。
② 开展安全技术措施建设的内容
结合行业特点和安全需求,制定符合相应等级要求的信息系统安全技术建设整改方案,开展网络安全等级保护技术措施建设,落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。在信息系统安全技术建设整改中,可以采取“一个中心、三维防护”(即一个安全管理中心和计算环境安全、区域边界安全和通信网络安全)的防护策略,实现相应级别信息系统的安全保护技术要求,建立并完善信息系统综合防护体系,提高信息系统的安全防护能力和水平。
③ 开展安全技术措施建设的要求
备案单位要开展信息系统安全保护现状分析,确定信息系统安全技术建设整改需求,制定信息系统安全技术建设整改方案,组织实施信息系统安全建设整改工程,开展安全自查和等级测评,及时发现信息系统中存在的安全隐患和威胁,进一步开展安全建设整改工作。
3、工作流程
安全建设整改工作可以分为五步进行。
第一步:落实负责安全建设整改工作的责任部门,由责任部门牵头制定本单位和行业信息系统安全建设整改工作规划,对安全建设整改工作进行总体部署。
第二步:开展信息系统安全保护现状分析,从管理和技术两方面确定信息系统安全建设整改需求。可以依据《基本要求》等标准,采取对照检查、风险评估、等级测评等方法,分析判断目前所采取的安全保护措施与等级保护标准要求之间的差距,分析系统已发生的事件或事故,分析安全保护方面存在的问题,形成安全建设整改的需求并论证。
第三步:确定安全保护策略,制定信息系统安全建设整改方案。在安全需求分析的基础上,进行信息系统安全建设整改方案设计,包括总体设计和详细设计,制定工程预算和工程实施计划等,为后续安全建设整改工程实施提供依据。安全建设整改方案须经专家评审论证,第三级(含)以上信息系统安全建设整改方案应报公安机关备案,公安机关监督检查备案单位安全建设整改方案的实施。
第四步:开展信息系统安全建设整改工作,建立并落实安全管理制度,落实安全责任制,建设安全设施,落实安全措施;在实施安全建设整改过程中,需要加强投资风险控制、实施流程管理、进度规划控制、工程质量控制和信息保密管理。
第五步:开展安全自查和等级测评,及时发现信息系统中存在安全隐患和威胁。制定安全检查制度,明确检查的内容、方式、要求等,检查各项制度、措施的落实情况,并不断完善。定期对信息系统安全状况进行自查,第三级信息系统每年自查一次,第四级信息系统每半年自查一次。经自查,信息系统安全状况未达到安全保护等级要求的,应当进一步开展整改工作。
4、工作要求
目前,存在一些单位和部门尚未开展信息系统定级备案工作,存在漏定级、漏备案和定级不准等情况,所以,各行业主管(监管)部门应在公安部指导下出台行业信息系统定级制度意见和要求。先解决备案工作中存在的突出问题,在此基础上开展安全整改工作。整改范围如下:一是各单位、各部门要将已备案的第二级(含)以上信息系统纳入安全建设整改的范围。二是尚未开展定级备案的信息系统,要先定级备案,再开展安全建设整改。三是新建系统要同步开展安全建设工作。在建设整改中,要落实如下工作要求。
(1)统一组织,加强领导
要按照“谁主管、谁负责”的原则,切实加强对网络安全等级保护安全建设整改工作的组织领导,完善工作机制。要结合各自实际,统一规划和部署安全建设整改工作,制定安全建设整改工作实施方案。要落实责任部门、责任人员和安全建设整改经费。要利用多种形式,组织开展宣传、培训工作。
(2)循序渐进,分步实施
信息系统主管部门可以结合本行业、本部门信息系统数量、等级、规模等实际情况,按照自上而下或先重点后一般的顺序开展。重点行业、部门可以根据需要和实际情况,选择有代表性的第二、三、四级信息系统先进行安全建设整改和等级测评工作试点、示范,在总结经验的基础上全面推开。
(3)结合实际,制定规范
重点行业信息系统主管部门可以按照《信息系统安全等级保护基本要求》等国家标准,结合行业特点,确定《信息系统安全等级保护基本要求》的具体指标;在不低于等级保护基本要求的情况下,结合系统安全保护的特殊需求,在有关部门指导下制定行业标准规范或细则,指导本行业信息系统安全建设整改工作。
(4)认真总结,按时报送
要对定级备案、等级测评、安全建设整改和自查等工作开展情况进行年度总结,于每年年底前报同级公安机关网安部门,各省(自治区、直辖市)公安机关网安部门报公安部网络安全保卫局。信息系统备案单位每半年要填写《网络安全等级保护安全建设整改工作情况统计表》并报受理备案的公安机关。
5、整改效果
依据网络安全等级保护有关政策和标准,通过组织开展网络安全等级保护安全管理制度建设、技术措施建设和等级测评,落实等级保护制度的各项要求,使信息系统安全管理水平明显提高,安全防范能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展,维护国家安全、社会秩序和公共利益。其整改效果,按照等级要求如下。
第一级信息系统:经过安全建设整改,信息系统具有抵御一般性攻击的能力,防范常见计算机病毒和恶意代码危害的能力;系统遭到损害后,具有恢复系统主要功能的能力。
第二级信息系统:经过安全建设整改,信息系统具有抵御小规模、较弱强度恶意攻击的能力,抵抗一般的自然灾害的能力,防范一般性计算机病毒和恶意代码危害的能力;具有检测常见的攻击行为,并对安全事件进行记录的能力;系统遭到损害后,具有恢复系统正常运行状态的能力。
第三级信息系统:经过安全建设整改,信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力,抵抗较为严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行响应处置,并能够追踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能快速恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中控管的能力。
第四级信息系统:经过安全建设整改,信息系统在统一的安全保护策略下具有抵御敌对势力有组织的大规模攻击的能力,抵抗严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行快速响应处置,并能够追踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能立即恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中控管的能力。
二、如何整改安全管理制度
按照国家有关规定,依据《基本要求》,参照《信息系统安全管理要求》等标准规范要求,开展信息系统等级保护安全管理制度建设工作,如图2所示。
1、落实网络安全责任制
明确领导机构和责任部门,设立或明确网络安全领导机构,明确主管领导,落实责任部门。建立岗位和人员管理制度,根据职责分工,分别设置安全管理机构和岗位,明确每个岗位的职责与任务,落实安全管理责任制。建立安全教育和培训制度,对信息系统运维人员、管理人员、使用人员等定期进行培训和考核,提高相关人员的安全意识和操作水平。具体依据《基本要求》中的“安全管理机构”内容,同时可以参照《信息系统安全管理要求》等。
落实安全责任制的具体措施还应参照执行相关管理规定。
2、开展安全管理现状分析
在开展信息系统安全管理建设之前,通过开展信息系统安全管理现状分析,查找信息系统安全管理建设整改需要解决的问题,明确信息系统安全管理建设整改的需求。
可以采取对照检查、风险评估、等级测评等方法,分析判断目前所采取的安全管理措施与等级保护标准之间的差距,分析系统已发生的事故或事件,分析安全管理方面存在的问题,形成安全管理建设整改的需求并论证。
3、制定安全管理制度
根据安全管理需求,确定安全管理目标和安全策略,针对信息系统的各类管理活动,制定人员安全管理制度、系统建设管理制度、系统运维管理制度、定期检查制度等,规范安全管理人员或操作人员的操作规程等,形成安全管理体系。
在制定安全管理制度是,要按照《管理办法》、《信息系统安全等级保护基本要求》,参照《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准规范要求,建立健全并落实符合相应等级要求的安全管理制度。主要内容要求如下:制定网络安全责任制度,明确网络安全工作的主管领导、责任部门、人员及有关岗位的网络安全责任;制定人员安全管理制度,明确人员录用、离岗、考核、教育培训等管理内容;制定系统建设管理制度,明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理内容;制定系统运维管理制度,明确机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置、应急预案等管理内容。制定安全检查制度,明确检查的内容、方式、要求等,检查各项制度、措施的落实情况,并不断完善。
安全管理体系规划的核心思想是调整原有管理模式和管理策略,即从全局高度考虑整个信息系统制定安全管理目标和统一的安全管理策略,又要从每个定级系统的实际等级、实际需求出发,选择和调整安全管理措施,最后形成统一的系统整体安全管理体系。
4、落实安全管理措施
(1)人员安全管理
人员安全管理主要包括人员录用、离岗、考核、教育培训等内容。规范人员录用、离岗、过程,关键岗位签署保密协议,对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训,对关键岗位的人员进行全面、严格的安全审查和技能考核。对外部人员允许访问的区域、系统、设备、信息等进行控制。具体依据《基本要求》中的“人员安全管理”内容,同时可以参照《信息系统安全管理要求》等。
(2)系统运维管理
① 环境和资产安全管理
明确环境(包括主机房、辅机房、办公环境等)安全管理的责任部门或责任人,加强对人员出入、来访人员的控制,对有关物理访问、物品进出和环境安全等方面作出规定。对重要区域设置门禁控制手段,或使用视频监控等措施。明确资产(包括介质、设备、设施、数据和信息等)安全管理的责任部门或责任人,对资产进行分类、标识,编制与信息系统相关的软件资产、硬件资产等资产清单。具体依据《基本要求》中的“系统运维管理”内容,同时可以参照《信息系统安全管理要求》等。
② 设备和介质安全管理
明确配套设施、软硬件设备管理、维护的责任部门或责任人,对信息系统的各种软硬件设备采购、发放、领用、维护和维修等过程进行控制,对介质的存放、使用、维护和销毁等方面作出规定,加强对涉外维修、敏感数据销毁等过程的监督控制。具体依据《基本要求》中的“系统运维管理”内容,同时可以参照《信息系统安全管理要求》等。
③ 日常运行维护
明确网络、系统日常运行维护的责任部门或责任人,对运行管理中的日常操作、账号管理、安全配置、日志管理、补丁升级、口令更新等过程进行控制和管理,制订相应的管理制度和操作规程并落实执行。具体依据《基本要求》中的“系统运维管理”内容,同时可以参照《信息系统安全管理要求》等。
④ 集中安全管理
第三级(含)以上信息系统应按照统一的安全策略、安全管理要求,统一管理信息系统的安全运行,进行安全机制的配置与管理,对设备安全配置、恶意代码、补丁升级、安全审计等进行管理,对与安全有关的信息进行汇集与分析,对安全机制进行集中管理。具体依据《基本要求》中的“系统运维管理”内容,同时可以参照《信息系统等级保护安全设计技术要求》和《信息系统安全管理要求》等。
⑤ 事件处置与应急响应
按照国家有关标准规定,确定网络安全事件的等级。结合信息系统安全保护等级,制定网络安全事件分级应急处置预案,明确应急处置策略,落实应急指挥部门、执行部门和技术支撑部门,建立应急协调机制。落实安全事件报告制度,第三级(含)以上信息系统发生较大、重大、特别重大安全事件时,运营使用单位按照相应预案开展应急处置,并及时向受理备案的公安机关报告。组织应急技术支撑力量和专家队伍,按照应急预案定期组织开展应急演练。具体依据《基本要求》中的“系统运维管理”内容,同时可以参照《网络安全事件分类分级指南》和《网络安全事件管理指南》等。
⑥ 灾难备份
要对第三级(含)以上信息系统采取灾难备份措施,防止重大事故、事件发生。识别需要定期备份的重要业务信息、系统数据及软件系统等,制定数据的备份策略和恢复策略,建立备份与恢复管理相关的安全管理制度。具体依据《基本要求》中的“系统运维管理”内容和《信息系统灾难恢复规范》。
⑦ 安全监测
开展信息系统实时安全监测,实现对物理环境、通信线路、主机、网络设备、用户行为和业务应用等的监测和报警,及时发现设备故障、病毒入侵、黑客攻击、误用和误操作等安全事件,以便及时对安全事件进行响应与处置。具体依据《基本要求》中的“系统运维管理”。
⑧ 其他安全管理
对系统运行维护过程中的其他活动,如系统变更、密码使用等进行控制和管理。按国家密码管理部门的规定,对信息系统中密码算法和密钥的使用进行分级管理。
5、加强系统建设过程管理
制定系统建设相关的管理制度,明确系统定级备案、方案设计、产品采购使用、软件开发、工程实施、验收交付、等级测评、安全服务等内容的管理责任部门、具体管理内容和控制方法,并按照管理制度落实各项管理措施。
具体依据《基本要求》中的“系统建设管理”内容。
6、定期组织安全自查
制定安全检查制度,明确检查的内容、方式、要求等,检查各项制度、措施的落实情况,并不断完善。定期对信息系统安全状况进行自查,第三级信息系统每年自查一次,第四级信息系统每半年自查一次。经自查,信息系统安全状况未达到安全保护等级要求的,应当进一步开展整改。具体依据《基本要求》中的“安全管理机构”内容,同时可以参照《信息系统安全管理要求》等。信息系统安全管理建设整改工作完成后,安全管理方面的等级测评与安全技术方面的测评工作一并进行。
三、如何整改安全技术措施
按照国家有关规定,依据《基本要求》,参照《信息系统通用安全技术要求》、《信息系统等级保护安全设计技术要求》等标准规范要求,开展信息系统安全技术建设工作。工作流程如图3所示。
1、开展安全保护技术现状分析
了解掌握信息系统现状,分析信息系统的安全保护状况,明确信息系统安全技术建设整改需求,为安全建设整改技术方案设计提供依据。
(1)信息系统现状分析
了解掌握信息系统的数量和等级、所处的网络区域以及信息系统所承载的业务应用情况,分析信息系统的边界、构成和相互关联情况,分析网络结构、内部区域、区域边界以及软、硬件资源等。具体可以参照《信息系统安全等级保护实施指南》中“信息系统分析”的内容。
(2)信息系统安全保护技术现状分析
在开展信息系统安全技术建设整改之前,应通过开展信息系统安全保护技术现状分析,查找信息系统安全保护技术建设整改需要解决的问题,明确信息系统安全保护技术建设整改的需求。
可采取对照检查、风险评估、等级测评等方法,分析判断目前所采取的安全技术措施与等级保护标准要求之间的差距,分析系统已发生的事件或事故,分析安全技术方面存在的问题,形成安全技术建设整改的基本安全需求。在满足信息系统安全等级保护基本要求基础上,可以结合行业特点和信息系统安全保护的特殊要求,提出特殊安全需求。具体可以参照《基本要求》、《信息系统安全等级保护测评要求》和《信息系统安全等级保护测评过程指南》等标准。
(3)安全需求论证和确定
安全需求分析工作完成后,将信息系统的安全管理需求与安全技术需求综合形成安全需求报告。组织专家对安全需求进行评审论证,形成评审论证意见。
2、设计安全技术建设整改方案
在安全需求分析的基础上,开展信息系统安全建设整改方案设计,包括总体设计和详细设计,制定工程预算和工程实施计划等,为后续安全建设整改工程实施提供依据。
(1)确定安全技术策略,设计总体技术方案
① 确定安全技术策略
根据安全需求分析,确定安全技术策略,包括业务系统分级策略、数据信息分级策略、区域互连策略和信息流控制策略等,用以指导系统安全技术体系结构设计。
② 设计总体技术方案
在进行信息系统安全建设整改技术方案设计时,应以《基本要求》为基本目标,可以针对安全现状分析发现的问题进行加固改造,缺什么补什么;也可以进行总体的安全技术设计,将不同区域、不同层面的安全保护措施形成有机的安全保护体系,落实物理安全、网络安全、主机安全、应用安全和数据安全等方面基本要求,最大程度发挥安全措施的保护能力。在进行安全技术设计时,可参考《信息系统等级保护安全设计技术要求》,从安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面落实安全保护技术要求。
(2)安全技术方案详细设计
① 物理安全设计
从安全技术设施和安全技术措施两方面对信息系统所涉及的主机房、辅助机房和办公环境等进行物理安全设计,设计内容包括防震、防雷、防火、防水、防盗窃、防破坏、温湿度控制、电力供应、电磁防护等方面。物理安全设计是对采用的安全技术设施或安全技术措施的物理部署、物理尺寸、功能指标、性能指标等内容提出具体设计参数。具体依据《基本要求》中的“物理安全”内容,同时可以参照《信息系统物理安全技术要求》等。
② 通信网络安全设计
对信息系统所涉及的通信网络,包括骨干网络、城域网络和其他通信网络(租用线路)等进行安全设计,设计内容包括通信过程数据完整性、数据保密性、保证通信可靠性的设备和线路冗余、通信网络的网络管理等方面。通信网络安全设计涉及所需采用的安全技术机制或安全技术措施的设计,对技术实现机制、产品形态、具体部署形式、功能指标、性能指标和配置参数等提出具体设计细节。具体依据《基本要求》中“网络安全”内容,同时可以参照《网络基础安全技术要求》等。
③ 区域边界安全设计
对信息系统所涉及的区域网络边界进行安全设计,内容包括对区域网络的边界保护、区域划分、身份认证、访问控制、安全审计、入侵防范、恶意代码防范和网络设备自身保护等方面。区域边界安全设计涉及所需采用的安全技术机制或安全技术措施的设计,对技术实现机制、产品形态、具体部署形式、功能指标、性能指标和配置策略和参数等提出具体设计细节。具体依据《基本要求》中的“网络安全”内容,同时可以参照《信息系统等级保护安全设计技术要求》、《网络基础安全技术要求》等。
④ 主机系统安全设计
对信息系统涉及的服务器和工作站进行主机系统安全设计,内容包括操作系统或数据库管理系统的选择、安装和安全配置,主机入侵防范、恶意代码防范、资源使用情况监控等。其中,安全配置细分为身份鉴别、访问控制、安全审计等方面的配置内容。具体依据《基本要求》中的“主机安全”内容,同时可以参照《信息系统等级保护安全设计技术要求》、《信息系统通用安全技术要求》等。
⑤ 应用系统安全设计
对信息系统涉及的应用系统软件(含应用/中间件平台)进行安全设计,设计内容包括身份鉴别、访问控制、安全标记、可信路径、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错和资源控制等。具体依据《基本要求》中的“应用安全”内容,同时可以参考《信息系统等级保护安全设计技术要求》、《信息系统通用安全技术要求》等。
⑥ 备份和恢复安全设计
针对信息系统的业务数据安全和系统服务连续性进行安全设计,设计内容包括数据备份系统、备用基础设施以及相关技术设施。针对业务数据安全的数据备份系统可考虑数据备份的范围、时间间隔、实现技术与介质以及数据备份线路的速率以及相关通信设备的规格和要求;针对信息系统服务连续性的安全设计可考虑连续性保证方式(设备冗余、系统级冗余直至远程集群支持)与实现细节,包括相关的基础设施支持、冗余/集群机制的选择、硬件设备的功能/性能指标以及软硬件的部署形式与参数配置等。具体依据《基本要求》中“数据安全和备份恢复”内容,同时可以参考《信息系统灾难恢复规范》等。
(3)建设经费预算和工程实施计划
① 建设经费预算
根据信息系统的安全建设整改内容提出详细的经费预算,包括产品名称、型号、配置、数量、单价、总价和合计等,同时应包括集成费用、等级测评费用、服务费用和管理费用等。对于跨年度的安全建设整改或安全改建,提供分年度的经费预算。
② 工程实施计划
根据信息系统的安全建设整改内容提出详细的工程实施计划,包括建设内容、工程组织、阶段划分、项目分解、时间计划和进度安排等。对于跨年度的安全建设整改或安全改建,要对安全建设整改方案明确的主要安全建设整改内容进行适当的项目分解,比如分解成机房安全改造项目、网络安全建设整改项目、系统平台和应用平台安全建设整改项目等,分别制定中期和短期的实施计划,短期内主要解决目前急迫和关键的问题。
③ 方案论证和备案
将信息系统安全建设整改技术方案与安全管理体系规划共同形成安全建设整改方案。组织专家对安全建设整改方案进行评审论证,形成评审意见。第三级(含)以上信息系统安全建设整改方案应报公安机关备案,并组织实施安全建设整改工程。
3、加强安全建设整改工程的实施和管理
(1)工程实施和管理
安全建设整改工程实施的组织管理工作包括落实安全建设整改的责任部门和人员,保证建设资金足额到位,选择符合要求的安全建设整改服务商,采购符合要求的网络安全产品,管理和控制安全功能开发、集成过程的质量等方面。按照《信息系统安全工程管理要求》中有关资格保障和组织保障等要求组织管理等级保护安全建设整改工程。实施流程管理、进度规划控制和工程质量控制可参照《信息系统安全工程管理要求》中第 8、9、10 章提出的工程实施、项目实施和安全工程流程控制要求,实现相应等级的工程目标和要求。
(2)工程监理和验收
为保证建设工程的安全和质量,第二级以上信息系统安全建设整改工程可以实施监理。监理内容包括对工程实施前期安全性、采购外包安全性、工程实施过程安全性、系统环境安全性等方面的核查。工程验收的内容包括全面检验工程项目所实现的安全功能、设备部署、安全配置等是否满足设计要求,工程施工质量是否达到预期指标,工程档案资料是否齐全等方面。在通过安全测评或测试的基础上,组织相应网络安全专家进行工程验收。具体参照《信息系统安全工程管理要求》。
(3)安全等级测评
信息系统安全建设整改完成后要进行等级测评,在工程预算中应当包括等级测评费用。对第三级(含)以上信息系统每年要进行等级测评,并对测评费用做出预算。
在公安部备案的信息系统,备案单位应选择国家网络安全等级保护工作协调小组办公室推荐的等级测评机构实施等级测评;在省(区、市)、地市级公安机关备案的信息系统,备案单位应选择本省(区、市)网络安全等级保护工作协调小组办公室或国家网络安全等级保护工作协调小组办公室推荐的等级测评机构实施等级测评。
四、如何制定整改方案
下面主要介绍信息系统安全整改方案的主要内容,整改过程中涉及的网络安全产品选择使用注意事项。
1、整改方案主要内容
整改方案可以不拘泥于单一内容格式,设计内容可以随着单个信息系统、整个单位、多个系统进行方案设计。建议在信息系统安全整改方案中可以包含以下内容。
(1)项目背景
简述信息系统概况,信息系统在等级保护工作方面的进展情况,例如定级备案、安全现状测评情况等。
(2)信息系统安全建设整改的法规、政策和技术依据
列举在建设整改过程中涉及的国家层面、行业层面、主管单位层面等,所依据的网络安全等级保护有关法规、政策、文件和技术标准等。
(3)信息系统安全建设整改安全需求分析
从技术和管理两方面描述信息系统建设情况,系统应用情况及安全建设情况。结合安全现状评估结果,分析信息系统现有保护状况与等级保护要求的差距,结合信息系统自身的安全需求形成安全建设整改安全需求。
(4)信息系统安全等级保护建设整改技术方案设计
根据安全需求,确定整改技术方案的设计原则,建立总体技术框架结构。围绕等级保护差距报告,从物理安全、主机安全、网络安全、应用安全、数据安全角度,结合系统自身所在的物理环境、通信网络、可信环境、区域边界、安全管理中心,设计落实基本技术要求。
(5)信息系统安全等级保护建设整改管理体系设计
根据安全需求,确定整改管理体系的设计原则,指导思想。要求安全管理策略、制度体系建设要可操作性强、责任明确。
(6)信息系统安全产品选型及其技术指标
依据整改技术方案,确定设备选型的原则,给出具体的部署策略,明确选用设备的功能、性能指标。
(7)安全整改后信息系统面临的风险分析
安全整改不可能解决所有不符合基本要求的问题,对于没有解决的问题,或整改后引入的心问题,分析其可能的安全风险,提出合理可行的风险规避措施。
(8)信息系统安全等级保护建设整改项目实施计划
安全整改项目的实施需要制定相应的实施计划,落实项目管理部门和人员,对设备招标采购、工程实施协调、系统部署和测试验收、人员培训等活动进行规划安排。
(9)信息系统安全等级保护项目预算
根据本单位信息化的中长期发展规划和近期的建设投资规模,将等级保护安全整改建设工作纳入整体规划,可以采取分期分批、有计划的实施安全建设整改。在项目建设进行预算时,不仅仅包含安全设备投入、还需要将集成项目、等级测评费用、服务费用、运行管理费用等纳入到资金预算中。
2、信息安全产品选择
(1)选择获得销售许可证的网络安全产品
《中华人民共和国计算机信息系统安全保护条例》(国务院令147号)第十六条规定,国家对计算机信息系统安全专用产品的销售实行许可证制度。《计算机信息系统安全专用产品检测和销售许可证管理办法》(公安部令第32号)第三条规定,中华人民共和国境内的安全专用产品进入市场销售,实行销售许可证制度。安全专用产品的生产者在其产品进入市场销售之前,必须申领《计算机信息系统安全专用产品销售许可证》。
(2)产品分等级检测和使用
国家针对具体的网络安全产品类别,制定了一系列等级保护标准。网络安全产品标准,从网络安全产品的安全功能要求和安全保证要求两个方面,将每类网络安全产品划分为不同的等级,安全等级越高,安全功能要求越多,安全功能范围越广,安全功能粒度越细,安全保证要求越高。信息系统的等级越高,安全防护能力的要求越高,信息系统的安全防护能力,归根到底必须由具体的网络安全产品来实现。根据网络安全的“木桶理论”,最弱的那个环节将决定整个信息系统的安全。而网络安全产品的等级越高,就能提供越高的安全防护能力。所以不同等级的信息系统,应该使用相应等级的网络安全产品。
(3)第三级以上信息系统使用网络安全产品优先选择国产品
《网络安全等级保护管理办法》第二十一条规定,第三级以上信息系统应当选择使用符合以下条件的网络安全产品:① 产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;② 产品的核心技术、关键部件具有我国自主知识产权;③ 产品研制、生产单位及其主要业务、技术人员无犯罪记录;④ 产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;⑤ 对国家安全、社会秩序、公共利益不构成危害;⑥ 对已列入网络安全产品认证目录的,应当取得国家网络安全产品认证机构颁发的认证证书。
