浅谈国土系统等级保护自查.docVIP

浅谈国土系统等级保护自查 　　摘要：信息安全等级保护是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化健康发展的基本策略。 　　关键词：国土资源；信息化；制度 　　中图分类号：TP316 文献标识码：A文章编号：1007-9599 (2011) 10-0000-01 　　Talking on the Land System-level Protection Self-examination 　　Li Ling 　　(Guangxi Guigang LandResources Bureau,Guigang537100,China) 　　Abstract:Information Security Protection is a national economic and social information in the development process,improve the capacity and level of information security,national security,social stability and public interests, protect and promote the healthy development of basic information technology strategy. 　　Keywords:Land resources;Informatization;System 　　一、等级保护发展现状 　　2007年由国土资源部信息化工作办公室牵头面开展了国土资源信息系统安全体系建设工作，其中严格根据等级保护管理办法对全国整个国土信息系统安全等级保护工作主要分为定级、备案、整改、测评和监督检查五个环节。 　　二、等级保护定级简法 　　等级保护政策将信息系统安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定级也应由业务信息安全和系统服务安全两方面确定： 　　一是从业务信息安全角度反映的信息系统安全保护等级，称业务信息安全保护等级。二是从系统服务安全角度反映的信息系统安全保护等级，称系统服务安全保护等级。我们可以将其归纳为如下表格方便我们自己定级：（例如，A系统是某单位门户网站。当该网站被黑客攻击后若篡改了系统内容或者发布虚假新闻，则有可能对单位自身造成负面影响，使得公信力下降，属于严重影响；其次该系统被黑客发布了虚假新闻有可能会煽动、迷惑社会群众，造成社会混乱，属于严重影响；但是该系统不涉及国家安全内容，故对国家安全没有任何影响）。 　　某单位A门户网站系统定级： 　　业务信息安全被破坏时所侵害的客体 对相应客体的侵害程度 　　 一般损害 严重损害 特别严重损害 　　公民、法人和其他组织的合法权益 第一级 第二级 第二级 　　社会秩序、公共利益 第二级 第三级 第四级 　　国家安全 第三级 第四级 第五级 　　根据上表结果，某单位A门户网站系统信息安全保护等级应定为第三级（取最高级别）。 　　三、等级保护制度自查 　　安全管理制度主要涉及组织体系的运作规则，确定各种安全管理岗位和相应的安全职责，并负责选用合适的人员来完成相应岗位的安全管理工作，监督各种安全工作的开展，协调各种不同部门在安全实施中的分工和合作，保证安全目标的实现。 　　制度的文档化管理是非常重要的工作。无论是人员管理、资产管理，还是技术管理和操作管理，都应该建立起完备的文档化体系，一方面让安全活动有所依据，另一方面也便于追溯和审查。安全策略文档体系开发完成后，要形成包括信息安全方针、信息安全规范，相应的安全标准和规范、各类管理制度、管理办法和暂行规定等文档。 　　各项制度自查项目如下： 　　1.存储设备报废销毁管理规定；2.安全日志备份与检查；3.人员离岗离职管理规定；4.固定资产管理制度；5.外部人员访问机房管理情况；6.计算；7.机类设备维修维护规定；8.应急预案；9.应急演练；10.安全事件报告和处置管理制度；11.技术测评管理制度；12.安全审计管理制度。 　　四、等级保护技术自查 　　基本要求 技术要求控制点 技术防护措施 　　网络安全 结构安全 防火墙 　　 访问控制 防火墙或者路由器、交换机访问控制列表 　　 安全审计 安全审计系统 　　 入侵防范 防火墙或者入侵防御系统 　　 网络设备防护 防火墙或者入侵防御系统 　　主机安全 身份鉴别 帐户密码、或者数字证书认证 　　 访问控制 防火墙或者路由器、交换机访问控制列表 　　 安全审计 安全审计系统 　　 入侵防范 防病毒软件 　　 恶意代码防范