信息安全等级保护建设经验及成效(上海市教委信息中心)

信息安全等级保护信息安全等级保护建设经验及成效建设经验及成效上海市教育委员会信息中心上海市教育委员会信息中心陈海强陈海强20102010年年33月月等级保护要做的工作等级保护要做的工作•对信息系统（包括网络）按其重要性和受破坏后的危害性，分等级（共5个等级）进行安全保护和监管•按照相应等级的要求进行安全建设，落实安全措施、安全责任，建立和落实安全管理制度•请专门的安全测评机构进行安全技术测评，根据测评意见进行必要的整改常见的三个安全等级常见的三个安全等级•第一级信息系统：一般适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。•分级描述：信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。常见的三个安全等级常见的三个安全等级•第二级信息系统：一般适用于县级单位的重要信息系统；地市级以上国家机关、企事业单位的一般信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。•分级描述：信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。常见的三个安全等级常见的三个安全等级•第三级信息系统：地市级以上国家机关、企事业单位的重要信息系统；跨省市或全国（省）联网运行的用于生产、调度、管理、作业、指挥等方面的信息系统；中央各部委、省（区、市）门户网站和重要网站；跨省联接的网络等。•分级描述：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害全部的安全等级全部的安全等级等级对象侵害客体侵害程度监管强度第一级合法权益损害自主保护合法权益严重损害第二级一般系统社会秩序和公共利益损害指导社会秩序和公共利益严重损害第三级国家安全损害监督检查社会秩序和公共利益特别严重损害第四级重要系统国家安全严重损害强制监督检查第五级极端重要系统国家安全特别严重损害专门监督检查等级保护备案等级保护备案•一级系统不用备案，二级、三级需要进行备案•三级系统备案需提供以下材料：–系统拓扑结构及说明–系统安全组织机构和管理制度–系统安全保护设施设计实施方案或者改建实施方案–系统使用的信息安全产品清单及其许可证明–测评后符合系统安全保护等级的技术检测评估报告。（最近一次测评的简要的等级测评报告）–信息系统安全保护等级专家评审意见–主管部门审核批准信息系统安全保护等级的意见上海市公安局联合发文上海市公安局联合发文上海市教委重要信息系统上海市教委重要信息系统•“上海教育”门户网站•上海市中小学“校校通”主干网络第三级第三级第三级“校校通”主干网络第三级第三级第三级“上海教育”门户网站系统服务安全等级业务信息安全等级安全保护等级信息系统名称““上海教育上海教育””门户网门户网站：站：业务信息业务信息1、业务信息描述“上海教育”门户网站处理的主要业务有：信息发布、网上办事、网上互动和视频点播等服务系统2、业务信息受到破坏时所侵害客体的确定业务信息受到破坏时侵害的客体是社会秩序和公众利益3、业务信息受到破坏后对侵害客体的侵害程度的确定业务信息受到破坏后，会对侵害客体造成严重损害4、业务信息安全等级的确定依据业务信息受到破坏时所侵害的客体以及侵害程度确定业务信息安全等级为第三级““上海教育上海教育””门户网门户网站：站：系统服务系统服务1、系统服务描述根据阶段性教育服务特点，信息系统开发、整合、利用了86项办事系统，为教师、学生和社会提供网上服务2、系统服务受到破坏时所侵害客体的确定系统服务受到破坏时侵害的客体是社会秩序和公众利益3、系统服务受到破坏后对侵害客体的侵害程度的确定系统服务受到破坏后，会对侵害客体造成严重损害4、系统服务安全等级的确定依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级为第三级等级保护备案证明等级保护备案证明等级保护解决什么问题等级保护解决什么问题•“明确重点、突出重点、保护重点”。将有限的财力、物力、人力投入到重要信息系统安全保护中。•有效保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统的安全，维护国家信息安全。安全建设与整改安全建设与整改•依据：《信息安全等级保护管理办法》、《信息安全等级保护基本要求》、《信息安全等级保护测评准则》•强化安全意识，落实安全责任；增强安全措施，消除安全隐患；建立工作机制，提升应急能力安全建设与整改安全建设与整改•找漏洞找差距–明确保护范围、保护重点，查找漏洞、查找薄弱环节，查找与等级保护要求的差距•提升防护能力–进行安全域分析、配置检查、系统补丁升级，完成网络设备、操作系统、数据库等安全加固•做好应急准备–编制应急预案，准备好应急资源，开展应急演练安全测评安全测评•具有信息安全测评资质的机构–教育部下属信息安全测评机构–上海市有三家具有资质的测评机构•开展以下工作–提交申请书-安全环境核查–网络平台安全测评-系统平台安全测评–应用信息安全测评-数据安全测评–渗透性测试-安全管理评估安全测评安全测评三个阶段三个阶段•准备阶段–现场调查评测机构派人到现场，用户进行配合–方案及计划制定评测机构制定方案和计划，交用户认定–工具和文档准备评测机构设备进机房（含软件测试工具）用户准备各种文档（100多份文档材料）安全测评安全测评三个阶段三个阶段•实施阶段（测评机构进行测评，用户加以配合）–物理安全：机房环境–网络安全：网络结构分析、网络设备核查、安全设备核查–系统安全：操作系统核查、数据库核查–应用安全：应用安全核查、应用安全验证测试–数据安全：数据安全核查分析、数据安全验证测试–安全管理：安全管理制度、安全管理机构、人员安全管理、系统运维管理–漏洞扫描：操作系统、数据库–渗透性测试：模拟从Internet进行非授权访问安全测评安全测评三个阶段三个阶段•报告审定阶段（由测评机构完成）–测评结果初步分析–测评报告书写–测评报告审核及签发整改提高整改提高•测评机构：从多个层面提出问题物理安全网络安全主机应用安全数据安全与备份恢复安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理•用户：根据存在的主要问题与风险进行整改物理设备间的连接情况不清晰，不利于系统维护用户名口令最长有效期没有设置，容易受到用户口令的穷举攻击系统未设置远程管理地址访问控制，容易遭受恶意人员攻击数据库系统特权用户未作权限分离，不便于责任管理、责任追究MYSQL数据库没及时更新补丁，易被攻击并获取或破坏数据库信息。。。。。。门户网站常见的安全漏洞门户网站常见的安全漏洞•SQL注入漏洞黑客可以利用漏洞完全控制整个数据库•跨站脚本漏洞恶意人员可以利用漏洞构造诱骗页面•信息泄漏•HTTP报头协议追踪漏洞等级保护体会等级保护体会•提高认识，加强安全意识•完善规章制度，落实安全责任–例如：按照人员管理要求设置六个岗位：安全主管、系统管理员、网络管理员、安全员、机房安全管理员、安全审计员。采用兼职和专职结合办法解决•加强安全措施，提高防范能力（硬件防火墙、IPS等，软件防篡改等）•专业机构测评，发现问题，及时整改谢谢！