1 / 34

信息安全保障体系建设要点 北京市公安局网络安全保卫总队 2014 年 6 月

信息安全保障体系建设要点 北京市公安局网络安全保卫总队 2014 年 6 月. 法规及政策文件. 国家层面. 《 信息安全等级保护备案实 施细则 》 (公信安 [2007] 1360 号) 《 公安机关信息安全等级保护 检查工作规范(试行) 》 ( 公信安 [2008]736 号) 《 关于开展信息安全等级保护 安全建设整改工作的指导意 见 》 (公信安 [2009]1429 号) 《 政府信息系统安全检查办法 》 (国办发 [2009]28 号).

bianca
Télécharger la présentation

信息安全保障体系建设要点 北京市公安局网络安全保卫总队 2014 年 6 月

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 信息安全保障体系建设要点 北京市公安局网络安全保卫总队 2014年6月

  2. 法规及政策文件 国家层面 • 《信息安全等级保护备案实 施细则》(公信安[2007] 1360号) • 《公安机关信息安全等级保护 检查工作规范(试行)》( 公信安[2008]736号) • 《关于开展信息安全等级保护 安全建设整改工作的指导意 见》(公信安[2009]1429号) • 《政府信息系统安全检查办法》 (国办发[2009]28号) • 《中华人民共和国计算机信息 系统安全保护条例 》(国务 院147号令) • 《国家信息化领导小组关于加 强信息安全保障工作的意见》 (中办发[2003]27号) • 《关于信息安全等级保护工作 的实施意见》(公通字[2004] 66号) • 《信息安全等级保护管理办法》 (公通字[2007]43号)

  3. 法规及政策文件 北京层面 • 《北京市公共服务网络与信息系统安全管理规定》(市政府第163号令) • 《关于开展信息安全等级保护工作的通知》(京公网监字[2006]208号) • 《北京市开展信息安全等级保护工作实施方案的通知》(京公网监字[2007]788号) • 《北京市信息化促进条例》 2007

  4. 信息安全等级保护标准 • GB17859-1999《计算机信息系统安全保护等级划分准则》是基础性标准, GB/T20271-2006《信息系统通用安全技术要求》、GB/T20270-2006《网络基础安全技术要求》、GB/T21052-2007《信息系统物理安全技术要求》等技术要求类标准和GB/T20269-2006《信息系统安全管理要求》、GB/T20282-2006《信息系统安全工程管理要求》等管理要求类标准是在GB17859-1999基础上的进一步细化和扩展。 2. GB/T22239-2008《信息系统安全等级保护基本要求》(以下简称《基本要求》)技术部分吸收和借鉴了GB 17859-1999及相关标准,采纳其中的身份鉴别、数据完整性、自主访问控制、强制访问控制、审计、客体重用(改为剩余信息保护)标记、可信路径等8个安全机制,并将这些机制根据各级的安全目标,扩展到网络层、主机系统层、应用层和数据层,《基本要求》管理部分充分借鉴了ISO/IEC 17799:2005等国际上流行的信息安全管理方面的标准。根据现有技术的发展水平,《基本要求》提出和规定了不同安全保护等级信息系统的最低保护要求。行业主管部门可以依据《基本要求》,结合行业特点和信息系统实际出台行业细则,行业细则的要求应不低于《基本要求》。

  5. 公安机关关注的重点 贯穿始终 备案 定级 安全建设 整改 公安监管工作 监督 检查 测评 测评

  6. 公安机关关注的重点

  7. 常见的问题 一、各单位的领导,包括分管领导在内,对网络和信息安全工作普遍认识不足,不够重视。 • 具体表现:各单位普遍设立了信息化或科技建设、维护、运营等部门,但惟独缺乏安全部门;或设立了安全部门,但人员少,权限低,没有单位高层直接参与,类似摆设,自欺欺人;对网络和信息安全建设工作投入的资金支持不够

  8. 常见的问题 二、各单位的网络和信息系统建设往往欠缺整体的安全规划,存在“重建设轻安全”情况 • 具体表现:各单位普遍对项目的立项、审批工作比较严格,但对项目内容是否考虑安全内容并无特别关注;或者是项目先建,使用时随着工作需要再随时添加安全设备或者增加安全手段,属于“哪痛医哪,不痛不管”。

  9. 常见的问题 三、各单位往往没有构建完整的信息安全管理制度体系,且对已实施的制度缺乏跟踪监督 • 具体表现:没有整体的安全策略和安全标准;已实施的制度零散,无专门部门研究制度制定、变更、升级等;各部门独自为政,安全责任划分不清,对贯彻落实制度的人员无相关考核。

  10. 常见的问题 四、各单位普遍忽视对全体人员的网络和信息安全知识的培训工作,信息安全意识不强 • 具体表现:业务培训规划非常充分,但是网络和信息安全方面的培训寥寥,记录不充分,询问相关部门人员并不了解有关工作要求和工作流程;或信息化部门制定了培训计划,却在全员培训中占据很少的内容

  11. 常见的问题 五、各单位的基础保护措施落实还不到位,埋下安全隐患 • 具体表现:内外网不隔离,U盘摆渡,系统日志不保存,系统补丁更新不及时,系统权限不划分,病毒库、漏洞库不升级,用户名、密码、口令弱且不进行更换,甚至重要机房的出入口不设置门禁、不安排人员守卫等

  12. 常见的问题 六、各单位对网络和信息安全突发事件应对能力不高,响应时间滞后 • 具体表现:未制定发生网络中断、系统瘫痪、病毒传播、电力中断等突发事件的应急预案,未规范有关上报、处置流程,没有组织过应急演练。

  13. 针对上述问题的有关建议

  14. 1、从事网络与信息安全工作的部门应积极向单位领导作工作汇报,争取领导支持1、从事网络与信息安全工作的部门应积极向单位领导作工作汇报,争取领导支持 • 具体内容:定期开展自查,及时汇报安全隐患、问题及有关整改情况,阐明问题严重程度,引起领导关注;定期上报领导有关网络与信息安全工作的国家和我市的新精神、新要求等,让领导与时俱进;发生信息安全事件之后要及时通报有关信息安全责任的工作要求,明确领导承担的法律责任等

  15. 2、各单位应完善信息安全管理制度体系建设,且制定相应的监督体系,强化制度落实2、各单位应完善信息安全管理制度体系建设,且制定相应的监督体系,强化制度落实 • 具体内容:

  16. 工作情况—工作机制 日常巡检机制 安全预警机制 ‘ 通报考核机制 应急响应机制 信息网络安全 工作机制 业务培训机制 安全演练机制 现场督察机制 风险评估机制

  17. 工作情况—工作机制 日常巡检机制 此项机制是信息安全管理工作开展的基础。安全员每日对 病毒库升级、违规事件查处等固定日常工作,各级安全员分别对本单位范围计算机设备的使用情况进行巡检,一旦发现问题立即进行先期处理和情况上报。

  18. 工作情况—工作机制 通报考核机制 是组织单位开展工作、形成信息网络安全工作一盘棋的重要举措、重要抓手,在每日巡检的基础上,通过对监控及补丁分发系统情况、计算机病毒防控情况、违规网站监控情况、身份认证与访问控制系统情况、漏洞扫描系统情况、网络边界接入情况采取量化考评,以便对安全工作开展针对性指导。

  19. 安全培训机制 为加强对教职员工安全意识和操作技能,安全管理人员进行了全面的技术培训,并且不定期开展专项培训。 19

  20. 现场督察机制 对信息网络安全工作现场督察的范围、任务、方式等方面逐一进行了规范,并明确提出组织领导保障及相关工作要求,明确现场督察范围,明确现场督察任务,明确现场督察方式,明确组织领导保障和相关工作要求。通过加强安全工作督导检查力度,可以有效推动信息网络安全工作从被动监测、事后通报到主动防御、事前介入的根本性转变。

  21. 3、各单位的网络和信息系统建设应按照国家标准和行业要求进行整体安全规划3、各单位的网络和信息系统建设应按照国家标准和行业要求进行整体安全规划 • 具体内容:尤其是对新建设、新规划的项目来说,要进行系统的全面的体系化的安全规划,使安全建设与项目建设同步,这样一来可以节约建设成本,二来提升单位的信息安全水平。

  22. 工作情况—技术系统 内外网平台

  23. 工作情况—技术系统 内外网平台 23

  24. 4、各单位应加强对全体人员的网络和信息安全知识培训4、各单位应加强对全体人员的网络和信息安全知识培训 • 具体内容:将网络和信息安全培训及考核纳入到员工的绩效考核工作中,签订信息安全责任书或承诺书,让每位员工明确“Do”和“Don’t”,要对自己的行为负责。

  25. 工作体会—安全习惯 1、使用安全的电脑<个人电脑>※ 设置操作系统登录密码,并开启系统防火墙。※ 安装杀毒软件并及时更新病毒特征库。※ 尽量不转借个人电脑。 ※ 电脑送修拆掉硬盘。 ※ 不存储敏感、涉密信息。

  26. 工作体会—安全习惯 <公共电脑>※ 不在未安装杀毒软件的电脑上登录个人帐户。※ 尽量不在公共电脑登录网络银行等敏感帐户。※ 不在公共电脑保存个人资料和帐号信息。※ 尽量使用软键盘输入密码。※ 离开前注意退出所有已登录的帐户。

  27. 工作体会—安全习惯 2、使用安全的软件※ 只使用正版软件。※ 开启操作系统及其他软件的自动更新设置,及时修复系统漏洞和第三方软件漏洞。※ 非正规渠道获取的软件在运行前须进行病毒扫描。※ 定期全盘扫描病毒等可疑程序 。※ 定期清理未知可疑插件和临时文件。

  28. 工作体会—安全习惯 3、访问安全的网站※ 尽量访问正规的大型网站。※ 不访问包含黄色、暴力等不良信息的网站。※ 对于网站意外弹出的下载文件或安装插件等请求应拒绝或询问专业人士。※ 登录网络银行等重要帐户时,要注意网站地址是否和服务商提供的网址一致。

  29. 工作体会—安全习惯 ※ 不轻信网站中发布的诸如“幸运中奖”等信息,更不要轻易向陌生帐户汇款。※ 收到来历不明的电子邮件,在确认来源可靠前,不要打开附件或内容中的网站地址。※ 网上购物时,应避免在收到货物前直接付款到对方帐户(应尽可能使用“财付通”或“支付宝”等支付平台购物,付款有保障)。※ 发现恶意网站,应及时举报。

  30. 工作体会—安全习惯 4、交流中注意保护隐私 ※ 不在网络中透露银行帐号、个人帐户密码等敏感内容。※ 不在交谈、个人资料以及论坛留言中轻易泄露真实姓名、个人照片、身份证号码或家庭电话等任何能够识别身份的信息。※ 不随意在不知底细的网站注册会员或向其提供个人资料。※ 对包含隐私内容的个人网站(如博客)应设置访问密码。※ 谨慎开放计算机共享文件和共享资源。

  31. 5、从狠抓基础保护措施的落实工作入手,逐一清查安全隐患,必要的情况下要实施惩诫措施5、从狠抓基础保护措施的落实工作入手,逐一清查安全隐患,必要的情况下要实施惩诫措施 • 具体内容:对系统管理员、网络管理员、安全管理员等岗位的人员要特别加强管理,促进其习惯养成,“安全”重于一切,避免其出现松懈及怕麻烦、图方便的心理;对网络和信息系统的使用者要严加约束,规范其使用流程,尤其对私自接入计算机、U盘摆渡等行为要进行严惩。

  32. 6、各单位要高度重视网络和信息安全应急工作6、各单位要高度重视网络和信息安全应急工作 • 具体内容:培养应急人才和支持队伍,制定周全的应急预案,定期或不定期在全单位或某部门组织应急演练,加强各部门的工作配合,同时积极与电力、通信、公安相关单位沟通和联系,获取支持和指导。

  33. 几点经验 • 管理与技术的结合(重点是审计运维) • 人员与设备的结合(重点是网络边界) • 软件与硬件的结合(重点是系统稳定)

  34. 谢 谢 www.djbh.net

More Related