质检系统网络及信息安全保障体系构建设想.docVIP

质检系统网络及信息安全保障体系构建设想摘 要：本文对质检行业网络信息安全现状进行了分析，指出了存在的问题，有针对性地提出了构建质检系统网络与信息安全保障体系方案，即从网络安全防护、网络安全评估、网络与应用系统安全审计、应用系统的授权与访问控制、应用系统关键数据安全技术要求、系统容灾备份建设要求、安全管理要求、重大突发事件应急管理、安全运维等九个方面着手，构建完备、统一的防护保障体系。 关键词：网络、信息安全、保障体系 随着国家“金质工程”建设的不断深入。根据建设“数字化质检”、十二五期间打造“智慧质检”的信息化目标，质检行业将实现检验检验、行政执法、行政许可、产品质量管理、计量管理、标准化管理、特种设备安全管理、食品安全管理等全面质量管理。而构建智慧质检，离不开网络的支持，信息化体系建设也是必然的结果。 一、当前质检行业网络信息安全问题分析 近年来，虽然质检行业信息安全保障体系建设取得了一定成效，但还存在一些需要高度重视和加以解决的问题。质检行业信息安全保障存在的问题如下。 （一）安全目标和需求不明确 在认识上各质检单位都高度重视信息安全，但在工作上常常感到没有抓手，无的放失。如系统运行的连续性需求不明确，造成网络和系统备份措施不完善；信息保护的需求不明确（是否需要保密，存在特权用户），造成数据安全保护水平低；系统安全的需求不明确，系统设计安全规范执行不到位，缺少安全审核机制，造成应用系统一上线就有安全隐患，防护困难。 （二）仍存在着“重应用，轻安全”的现象 大部分质检单位重视应用系统建设，缺少从应用系统建设的规划阶段就开始规划信息安全保障工作的意识，造成信息安全工作总是慢半拍，无法做到从源头上控制，实施安全保护，不仅加大了后续安全保障的难度，也增加了后期安全保护成本。 （三）偏重技术防护忽视安全管理 存在着有了技术就万事大吉的想法，未能在管理制度上通盘考虑谁来管、管什么、怎么管、靠什么管、管的怎样、是否符合要求等环节，制度建设不系统、不全面，更是缺少安全规范、流程、检查，造成了安全“管不住”。 （四）缺少科学运维和安全运维的方法和手段 质检行业信息系统的运维工作多数是自己承担，系统内市、县局缺少专门的运维管理人员，目前还仅停留在“保系统正常运行”的阶段，未做到全面规划运维流程、控制运维活动、持续改进完善。 （五）机构设置不完善 至今全国质检系统中省级质量技术监督局还有没有专门设立信息中心，市级质量技术监督局和区县质量技术监督局没有机构和专人负责信息化建设的情况还比较普遍，网络信息安全工作落实起来就很困难。 二、质检行业网络信息安全保障体系构建 网络信息安全保障体系建设包括九个方面，即网络安全防护、网络安全评估、网络与应用系统安全审计、应用系统的授权与访问控制、应用系统关键数据安全技术要求、系统容灾备份建设要求、安全管理要求、重大突发事件应急管理、安全运维等九个方面是不可分割的，相互补充。通过开展这九个方面的建设，形成一个完善的网络信息安全防护体系，才能确保质检行业网络信息安全得到保障。 （一）网络安全防护建设方面 网络安全防护系统是金质工程系统安全保障体系中最基础的安全设施，主要保护金质工程网络的各种应用系统，保证整个系统的可用性、完整性、可控性等。采用分区设防、重点防御的建设原则。从物理安全防护、技术防护、人员防护、管理防护四个层面着手，构建金质工程的网络安全综合防护体系。同时参考《计算机信息系统安全保护等级划分准则》（GB 17859-1999）、《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22240-2008）标准规定，按照信息系统的重要性、使用范围、影响范围等要素，将信息系统的进行分级，按照不同级别进行保护，做到有的放矢。 （二）网络安全评估方面 质检信息化建设从中央到地方共包括四级（中央级、省直级、地市级、县区级），其信息资产重要性不同，结合信息安全评估工作的实际需要，对不同级别的网络信息系统的安全评估内容和评估力度区别对待，从资产识别、脆弱性识别、威胁识别、安全措施确认、风险分析、评估文档六个方面对网络系统评估，评估时做到重点突出、兼顾全局，即对重要的数据库、应用系统重点识别、分析、加固，同时也要注重各系统之间的关联。 （三）网络与应用系统安全审计方面 根据网络与应用系统范围、重要程度、出现事故后的危害程度将审计需求分为两种：基本要求、增强要求。通过对主机、服务器、网络、数据库管理系统、应用系统运行的状态、情况及其日志等信息进行采集、记录、分析、响应及事后的审计查阅功能要求。 （四）应用系统的授权与访问控制方面 依据“金质工程”应用系统中授权与访问控制策略，