《关于银行信息安全等级保护建设的几点思考》由会员分享,可在线阅读,更多相关《关于银行信息安全等级保护建设的几点思考(40页珍藏版)》请在金锄头文库上搜索。
1、书山有路勤为径,学海无涯苦作舟。关于银行信息安全等级保护建设的几点思考 近年来,随着我行信息化建设的不断推进和深入,上线的系统越来越多,*行业务对信息科技的依赖显著增强,目前已经无法想象如果没有信息系统的支持,*行的业务如何运行。随之而来带给信息科技部门的问题是如何建设一套高效、安全的信息系统支持和引领业务的发展,同时如何通过加强信息安全的建设保证信息系统的安全平稳运行。在*行信息化建设从信息技术向信息科技转变的时刻,以国家和相关主管部门对信息安全等级保护建设的要求和规范为主要依据,思考如何通过落实信息安全等级保护管理制度,按阶段、分级别提高我行信息安全保障能力和水平,促进信息化建设的健康发展
2、。 一、什么是信息安全等级保护 要落实信息安全等级保护管理制度,首先要了解信息安全等级保护是什么及其推进历程,国家相关主管部门对信息安全等级保护的相关要求。 (一)信息安全等级保护的概念。 从概念上讲信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。 (二)实施信息安全等级保护的作用。实施信息安全等级保护,能够有效地提高我国信息和信息系统安全建设的整体水平,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信
3、息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本;有利于优化信息安全资源的配置,对信息系统分级实施保护,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式。 (三)信息安全等级保护的推进历程和要求。 194年国务院颁布的中华人民共和国计算机信息系统安全保护条例规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会
4、同有关部门制定”。202X年,中共中央办公厅、国务院办公厅转发了国家信息化领导小组关于加强信息安全保障工作的意见(中办发202X27号),其明确指出“实行信息安全等级保护”。“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2X年9月,公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合下发了关于信息安全等级保护工作的实施意见,对信息安全等级保护的基本制度框架进行了规划,明确了信息安全等级保护的重要意义、原则、基本内容、职责分工、实施计划。X年1月,四部委又下发了信息安全
5、等级保护管理办法(试行),开始具体搭建信息安全等级保护制度,该办法试行一年后于20年6月正式发布实施,与之配套的相关国家技术标准也在逐步建立和完善。从22X年下半年开始,公安部开始组织全国各行业、各单位开展了信息系统的定级和备案工作,并推进系统的等级测评和整改。 (四)国家对于信息安全等级保护工作的定位。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。从国家层面而言,信息安全等级保护是国家信息安全保障的基本制度、基本策略和基本方法,是维护国家信息安全的根本保障。通过开展信息安
6、全等级保护工作,可以有效地解决我国信息安全面临的主要问题,按照“明确重点、突出重点、保护重点”的原则,将有限的财力、物力、投入到重要信息系统的安全保护中去。通过实施信息安全等级保护制度,使信息系统运营使用单位和主管部门都能按照标准进行安全建设、整改、管理和运行,防止出现过保护和欠保护的情况。 (五)信息安全等级保护的分级。顾名思义,信息安全等级保护工作就是要将信息系统分成不同的级别进行保护,按照计算机信息系统安全保护等级划分准则g17859-199,将信息系统的安全等级划分为5级,分别为自主保护级、指导保护级、监督保护级、强制保护级、专控保护级,对应的级别分别为第一到第五级。对应与每一个等级,
7、国家出台了相关的技术规范对管理和技术要达到的基本要求进行了规定。我行的行业主管部门人民银行结合金融业信息化和信息安全建设的实际情况,同时增加了金融业信息系统的增强安全保护要求。 二、我行信息安全等级保护工作开展的现状 我行通过建行十七年以来的努力,信息化建设取得了很大的成就,实现了业务生产系统的全国大集中,完成了综合报表平台、数据交换平台、综合办公平台的建设,上线了cm20X信贷管理系统、统计数据集中管理系统、人力资源管理系统等一大批管理信息系统,正在开发国际业务系统、电子影像平台等信息系统,为全行的业务经营和管理提供服务。基础建设方面完成了总行数据中心、同城灾备中心、珠海it基地的建设工作,
8、建成了“两地三中心”的容灾系统,稳步推进全系统各级机房的达标建设,为各信息系统的稳定运行提供基础支撑。 为保障信息系统的稳定运行,信息安全的建设是必不可少的。近年来,通过部署防火墙、建设全行统一的企业防病毒系统、建立入侵检测系统等技术手段,以及各项管理制度的落实,信息安全建设也取得了一定的成效。按照公安部、人民银行和银监会等部委的相关要求,我行也开展了信息安全等级保护的相关工作,完成了1个信息系统定级和备案工作,结合信息安全等级保护相关标准规范的要求,正在逐步开展系统的整改和达标工作。 在取得上述成绩的同时,我们应该清醒地看到我行信息安全建设仍然存在着各种不足,与同业金融机构相比仍存在比较大的
9、差距。具体表现在: (一)信息安全管理和技术体系建设尚不完善。信息安全建设的管理体系和技术体系的建设对比有关国家标准和主管部门的要求上存在不足之处,没有建立起我行信息安全建设的相关标准,信息安全的建设停留在“补漏”的层面,针对不同信息系统的信息安全要求尚不明确,哪些信息安全措施该上没有统一的要求,容易出现某些层面“过保护或欠保护”的情况,主动安全的建设需要进一步加强 (二)信息安全应急建设需要进一步加强。 经过近几年的应急体系建设,我行的应急建设取得了不小的成就,各级行从不敢演练到敢演练,从被动演练到主动演练。但是从检查各行和各行反映上来的情况看,应急预案的建设尚需进一步加强,相关的步骤需进一
10、步细化,落实中国农业发展银行计算机信息系统突发事件应急管理办法的措施和力度需要进一步的加强。 (三)信息化建设项目建设过程中的信息安全控制亟待增强。 目前,我行信息安全建设中基础设施已经达到一定的水平和规模,应用系统的开发经过近几年的完善,相关的管理制度正在逐步完善,但信息安全等级保护中提出的信息系统建设包括立项、方案设计、开发实施、验收移交等过程中的安全控制措施尚没有得到有效的落实。 三、对我行信息安全等级保护建设的几点思考 信息安全等级保护工作目前是国家推行的对于信息安全建设的抓手,以信息安全等级保护的建设促进信息安全整体保护水平的提高。如何以信息安全等级保护工作的有效开展提升我行的信息安
11、全水平进行一些思考。 (一)加强对信息安全等级保护工作的认识。 加强对信息安全等级保护工作的认识包括两个层面的内容,一个是要促进全行认识信息安全等级保护工作对于信息安全建设的重要作用,信息安全等级保护是将我们需要保护的对象进行分级,按照其重要性采取针对的信息安全措施,信息安全等级保护为我们开展信息安全建设指明了方向和需要完成的规定动作;另一个是加强对信息安全等级保护工作自身的认识,信息科技人员要了解信息安全等级保护工作定级、建设、测评、持续改进等环节的认识,掌握其工作方法和步骤,更好地开展工作。可以通过举办讲座、发放宣传光盘、制作宣传板、培训等方式开展此项工作。 (二)明确信息安全等级保护工作
12、开展的原则。 信息安全等级保护需遵循重点保护、分区域保护、同步建设、动态调整的原则。重点保护就是要突出重点,集中资源优先建设和保护关系我行业务生产经营,直接面对客户服务的信息系统;分区域保护原则就是要根据各级行、各信息系统的重要程度、业务特点,分类、分级、分阶段进行实施,通过划分不同的安全区域,实现不同强度的安全保护;同步建设原则在新建、改建、扩建时应当同步建设信息安全设施,保证信息安全与信息化建设相适应;动态调整原则信息与信息系统的安全保护等级需要根据变化情况适时重新确定,并相应调整对应的保护措施。 解决信息安全问题,要从管理和技术两个层面入手,强调等级保护制度,坚持管理与技术并重,建立健全
13、安全管理组织体系,明确安全管理责任制,制定安全保障方案,实施安全宣传、安全监管和安全服务。正确处理安全与发展的关系,以安全促发展,在发展中求安全,统筹规划,突出重点,强化基础性工作。充分体现“适度安全,促进应用,综合防范”的要求,充分考虑到现有的安全保护基础,合理利用现有的安全设备,做到适度保护,而不是过度保护,这样既可以满足安全设备,做到适度保护,而不是过度保护,这样既可以满足安全的需求也可以节省投入。要充分认识到安全只是应用的保障,安全是为应用服务的,并不是安全措施越多越好,不能为了安全而安全,应该根据系统的安全等级采用适度安全措施。在综合考虑系统的风险、需求与保护的前提下,增加必要的技术
14、手段,通过安全等级和安全域的划分,对不同等级信息系统和安全域的安全保护采取管理与技术相结合的手段,实现适度的安全保障,提高信息系统的整体防御能力。通过综合防范,构建有效的安全体系,使得信息系统既安全又好用。 (三)掌握信息安全等级保护工作的实施过程。信息安全等级保护的建设过程是一个系统工程,主要分三个阶段:一是系统定级阶段,定级是等级保护工作的首要环节,是后续工作的重要基础,要清晰地了解我行所拥有的业务信息系统,根据需要将复杂业务系统分解为业务子系统,描述系统和子系统的组成及边界。二是规划与设计阶段,根据定级阶段确定的安全等级和系统的特殊要求来确定安全需求,通过对业务信息系统进行安全域划分、保
15、护对象分类,建立信息系统的分域保护框架,进行安全体系和安全技术体系两方面的安全方案设计,包括系统分域保护框架建立、选择和调整所选等级的基本安全要求、安全规划和方案设计,制定安全技术解决方案和安全管理解决方案。三是实施、等级评估与改进阶段,主要是对等级保护的具体实施,根据规划和设计阶段制定的安全方案选择合适的安全产品进行安全建设。实施完成后,按照等级保护的标准,由专门机构来评估系统是否满足相应的等级保护要求,并对等级保护建设的最终结果进行验收。在实施等级保护的各种安全措施之后的运行期间,监控系统的变化和系统安全风险的变化,评估系统的安全状况。如果经评估发现系统及其风险环境已发生重大变化,新的安全
16、保护要求与原有的安全等级已不相适应,则应进行系统重新定级,并根据新的安全等级调整和改进相应的安全措施。通过引入信息安全等级保护综合管理系统等自动化的工具实现对信息安全等级保护工作各项措施的分析和统计。 第二篇:信息安全等级保护信息安全等级保护(二级)信息安全等级保护(二级)备注:其中黑色字体为信息安全等级保护第二级系统要求,蓝色字体为第三级系统等保要求。 一、物理安全 1、应具有机房和办公场地的设计/验收文档(机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施) 2、应具有有来访人员进入机房的申请、审批记录;来访人员进入机房的登记记录 3、应配置电子门禁系统(三
