摘要:
2018年6月,我作为某高校信息中心主任,参加了我院4个应用系统信息安全等级保护测评(二级)及整改项目,在项目中担任甲方技术负责人。我院现有4个新上线系统,网站群系统、教务系统、图书馆系统、自动化办公系统需要安全等级保护测评。但目前学院机房安全设备配备不足和陈旧,新上线的业务系统安全性能尚未的到验证,更重要的是尚未在当地公安部门取得备案证书。经学院信息化小组研究决定,4个系统安全等级定级为二级,计划投资220万元,对应用系统及机房,从安全技术建设和安全管理建设2个方面进行测评,根据测评报告进行安全整改。于2018年9月,达到整改要求,取得4个应用系统的备案证书,得到了相关部的好评。
正文:
我院作为一所高校,教职工在校师生有2万余人。为加快推进学院信息化覆盖的范围和管理的强度,学院淘汰了旧的系统,重新部署网站群系统、教务系统、图书馆系统、自动化办公系统4个系统,按照《信息安全等级保护基本要求》,需要对以上4个系统进行安全等级保护定级、测评和整改,从而取得当地公安部门的备案证书,方可上线应用。根据系统的安全级别要求及可靠性,经学院信息化小组研究决定,4个应用系统安全等级都定为二级。2018年6月通过招标委托一家具有安全等级保护测评资质的公司,对学院4个应用系统进行测评工作。我作为甲方技术负责人,参加了信息安全等级保护测评及整改工作。
一、信息系统安全技术建设
1、物理安全,测评如下:机房的位置选择,应放在具有防雨、防雷、防潮能力的建筑内,适合中低层;物理访问控制,机房出入安排值守,进入机房人员需要提出申请,并记入进出人员;防盗窃与防破坏,主机地方必须安装必要的防盗报警系统,线路铺设要做隐蔽工程等;防雷击和防火,机房要做好防雷工作,大楼有防雷装置,配电柜有防雷模块,交流电源线接地。机房内应设置灭火设备和火灾自动报警系统;防水、防潮、防静电。机房内上下不能有水管通过,空调水注意防止积水,各种设备要接地防静电;电力供应。应在供电线路上放置稳压器和过电压防护设备和USP电源。
2、网络安全,测评如下:结构安全。关键设备的处理能力和具备冗余空间,根据业务需要划分不同的vlan等;边界完整性检查,对用户对外网的访问进行检查和控制;入侵防御系统 ,应在网络边界监视攻击行为,如缓冲区溢出攻击、ip碎片攻击等。
3、主机安全,测评如下:应对登录操作系统和数据库的用户进行身份鉴别,对资源访问进行控制,对用户行为有没有安全审计,安装入侵防范软件和对恶意代码防御,应限制用户资源控制权限等。
4、应用安全,测评如下:应对通信完整性和通信保密性给予保障,对软件容错功能是否具有等。
5、数据安全,测评如下:应对数据完整性和数据保密性进行检查,是都建设备份和恢复机制。
二、安全管理建设
1、安全管理制度,包括管理制度制定和发布以及评审和修订
2、安全管理机构,包括岗位设置 、人员配备 、授权和审批 、沟通和合作、 审核和检查等
3、人员的安全管理,包括人员录用、人员离岗、人员考核、安全意识教育和培训、 外部人员访问管理。
4、系统建设管理,包含系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全服务商选择等
5、系统运维管理,包括环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码防范管理、变更管理、备份与恢复管理、安全事件处理、应急预案管理。
测评公司从以上2个大的面10个小的方面对4个应用系统进行信息安全等级保护二级测评,并根据测评结果整理出整改报告交付我院。我院4个应用系统按照二级申报还存在存在的差距如下:
1、物理安全方面,主机房存在出入没有专人值守,进出机房没有相应的审批流程和登记;网络防护管理员密码过于简单,没有定期更换密码;
2、主机安全方面,招生就业系统中恶意代码防护没有,资源控制密码没有设置多久没响应就退出;
3、网络安全方面,关键设备没有冗余;
4、应用安全方面,自动化办公系统通信完整性和保密性建议使用https协议,安全审计缺失,系统登录密码没有做次数限制等。
5、数据安全方面,数据库审计系统缺失。
6、安全管理制度不全等。
我院信息化小组按照整改报告重新招标,委托整改公司(跟测评公司不能是同一家公司)按照整改报告进行整改。
三、实施整改
须根据测评公司整改报告,整改公司给出整改方案,按照整改方案执行整改。
1、安全主机房值班人员轮流值班,出入机房要OA系统上建立的审批流程,登记在册。机房门口增设出入打卡系统,一人一卡,出入登记。建立学校密码设置规则,定期更换密码,具体到某部门某人,以文件的形式登记在册。
2、招生就业服务其中安装安全狗防病毒软件,防止恶意代码,协调招生就业系统开发公司,对登录页面的代码进行修改,限制登录次数。
3、网络安全方面,采购同类型的核心交换机(H3CS5700系列),通过vrrp协议做热备;
4、应用系统方面,购买https协议服务,开放自动化系统服务器443端口,或者通过负载均衡器完成https协议转换。
5、采购数据库审计系统旁接核心交换机,对4个系统数据库应用安全进行审计。
6、安全管理建设从5个方面查漏补缺,完善机构假设和制度制定。
整改公司整改完成以后,需要测评公司再次对以上4个系统进行测试,对不满足的需要继续整改。第二次测评后,发现自动化办公系统系统登录密码没有做次数限制,需要再次与开发公司协调,因为开发公司与整改公司没有达成协议,需要甲方再次协调,最终达成一致意见,完成整改。第三次测评给出4个应用系统全部合格。这里协调整改公司和开发公司、整改公司和测评公司耗费很多时间。
四、上报测评报告
测评公司在测评合格后,分别出具4个应用系统的合格的测评报告,交付甲方。甲方通过政务平台把4分报告分别上传给当地公安部门进行审核,大概5个工作日,给出结果,全部审核通过,网上直接下载备案证书。备案证书作为测评公司和整改公司项目的验收依据。也是作为甲方技术负责人的工作成果,4个系统可以立即投入线上使用,接入互联网。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至123456@qq.com 举报,一经查实,本站将立刻删除。
