为了加强我校校园网网络安全与信息安全以及计算机信息安全工作, 保证校园网的正常运行和健康发展,依照《中华人民共和国计算机信息系统安全保护等级划分准则》、《中华人民共和国信息安全技术信息系统安全等级保护基本要求》,制定本管理办法。
信息系统的安全管理贯穿系统的整个生命周期,系统建设管理主要关注的是生命周期中的前三个阶段(即,初始、采购、实施)中各项安全管理活动。
系统建设管理分别从工程实施建设前、建设过程以及建设完毕交付等三方面考虑,具体包括:系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评和安全服务商选择等十一个控制点。
一级系统建设管理要求:对系统建设整体过程所涉及的各项活动进行基本的规范,如,先定级,方案准备、安全产品按要求采购,软件开发(自行、外包)的基本安全,实施的基本管理,建设后的安全性验收、交付等都进行要求。
二级系统建设管理要求:增加了某些活动的文档化要求,如软件开发管理制度,工程实施应有实施方案要求等。同时,对安全方案、验收报告等增加了审定要求,产品的采购增加了密码产品的采购要求等。
下表表明了系统建设管理在控制点上逐级变化的特点:
系统建设管理控制点的逐级变化
控制点 |
一级 |
二级 |
系统定级 |
* |
* |
安全方案设计 |
* |
* |
产品采购和使用 |
* |
* |
自行软件开发 |
* |
* |
外包软件开发 |
* |
* |
工程实施 |
* |
* |
测试验收 |
* |
* |
系统交付 |
* |
* |
系统备案 |
|
|
等级测评 |
|
|
安全服务商选择 |
* |
* |
合计 |
9 |
9 |
另外两个特点(要求项增加和要求项强度增强)将在以下控制点描述时具体展开。
1、 系统定级
确定信息系统的安全保护等级,是建设符合安全等级保护要求的信息系统、实施信息安全等级保护的基础。机构应根据系统实际情况,确定系统的安全保护等级。
该控制点在不同级别主要表现为:
一级:要求确定系统边界和等级,并得到相关部门的批准,并对定级过程做了文档化要求。
二级:与一级要求相同。
具体见下表:
要求项 |
一级 |
二级 |
项目 |
a)-c) |
a)-c) |
合计 |
3 |
3 |
2、 安全方案设计
一套完整的安全设计方案是整个系统安全的有力保障,应结合信息系统实际的运行状况,指定和授权专门的部门对信息系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划,从人力、物力、财力各方面做好部署与配置。安全设计方案的内容可能包括:系统的安全隐患与对策分析、系统的体系结构及拓扑设计、系统的业务流程实现过程、系统的安全体系与其他平台的关系、系统在物理、网络、主机系统、应用、数据以及管理层面的不同设计要求、设计目标、性能要求、接口要求、资源如何分配等。
该控制点在不同级别主要表现为:
一级:要求形成书面的安全方案和详细设计方案。
二级:在一级要求的基础上,增加了对设计方案的论证和批准。
具体见下表:
要求项 |
一级 |
二级 |
项目 |
a)-c) |
a)-d) |
合计 |
3 |
4 |
3、 产品采购
一旦系统的详细方案设计确定下来,就要选择合适的产品并按照详细设计方案来进行技术实现,保证系统安全设计的方案在系统中得到有效实施,并保证产品得到正确的配置和使用。产品采购需按照机构一定的采购流程或要求进行,确保产品在符合国家有关规定的前提下,满足系统的需要。
该控制点在不同级别主要表现为:
一级:要求产品使用符合国家规定。
二级:在一级要求的基础上,增加了对密码产品采购和使用的要求。
具体见下表:
要求项 |
一级 |
二级 |
项目 |
a) |
a)-c) |
合计 |
1 |
3 |
4、 自行软件开发
软件开发包括两种情况:机构自行开发和外包第三方开发。二者在安全方面既有相似点,又有不同点。相似点是都关注对软件开发过程中所产生的文档的管理;不同点是前者更关注开发过程的安全性,而后者对开发过程的安全性要求则以协议的方式与第三方确定,故主要关注开发后的技术支持工作。
该控制点在不同级别主要表现为:
一级:主要对开发环境做出了要求。
二级:在一级要求的基础上,增加了对软件开发制度化的要求。
具体见下表:
要求项 |
一级 |
二级 |
项目 |
a)-b) |
a)-c)* |
合计 |
2 |
3+ |
5、 外包软件开发
该控制点在不同级别主要表现为:
一级:主要对软件质量和设计文档进行了要求。
二级:在一级要求的基础上,增加了对软件开发后的审查等要求。
具体见下表:
要求项 |
一级 |
二级 |
项目 |
a)-c) |
a)-d) |
合计 |
3 |
4 |
6、 工程实施
安全设计方案、产品采购、软件的开发都是系统工程建设的前提准备条件。在此基础上,系统建设进入了工程实施阶段。要约束实施方的行为,必须制定实施方案。为了双方合作顺利,也为了监督、督促工程实施单位的工作,委托建设方最好指定或授权专门的人员或部门负责工程实施过程的管理与协调,要求根据实施方案进行实施。必要时可以请工程监理控制项目的实施过程。
该控制点在不同级别主要表现为:
一级:主要对工程实施负责部门或人员对实施进行基本的管理。
二级:在一级要求的基础上,增加了制定实施方案进行实施的要求。
具体见下表:
要求项 |
一级 |
二级 |
项目 |
a) |
a)-b) |
合计 |
1 |
2 |
7、 测试验收
为保证工程建设是按照既定方案和要求实施的,在工程实施完成之后,系统交付使用之前,委托建设方应指定或授权专门的部门按照系统测试验收管理制度要求、设计方案或合同要求进行系统的安全测试验收。如果委托建设方本身没有能力自行测试验收,也可以委托公正的第三方测试单位对系统进行测试。
该控制点在不同级别主要表现为:
一级:主要对测试验收前、验收过程中以及验收后进行基本的文档要求。
二级:在一级要求的基础上,增加了对验收报告的审定等要求。
具体见下表:
要求项 |
一级 |
二级 |
项目 |
a)-b) |
a)-c) |
合计 |
2 |
3 |
8、 系统交付
系统在完成工程建设和测试验收后,就进入交付阶段。交付阶段,系统委托建设方和承建方都应按照委托协议或其他协议而形成的交接清单进行交付工作,保证交付工作能够按照既定的要求顺利完成。系统交付工作不仅仅是简单的交接工作,由于系统的许多安装、配置、开发等都是由建设方来负责的,而委托方在此方面较为生疏,而它却是系统的主要使用者,因此,在交付后,建设方需承担一段时间的技术支持工作(如培训、维护等服务),保证委托方能够熟练、顺利的对系统进行日后的运行维护。
该控制点在不同级别主要表现为:
一级:主要对系统交付过程、文档及培训进行基本的要求。
二级:同一级要求。
具体见下表
要求项 |
一级 |
二级 |
项目 |
a)-c) |
a)-d) |
合计 |
3 |
4 |
9、 系统备案
根据我国信息系统等级保护相关管理规定(《信息安全等级保护管理办法》),三级以上信息系统应在系统投入运行之日起三十日内,到相应的受理机构办理备案手续。由于这一要求是根据相关规定而出,对于三、四级信息系统而言没有级别差异。因此,在此不再列出此控制点的级别差异。
10、 等级测评
对信息系统进行等级测评,主要分为两种情况:
系统发生重大变更时
系统运行过程中
在投入运行前,机构必须委托有资质的测评机构进行等级测评,测评后符合要求的才能投入使用或继续运行,不符合要求的必须及时整改。当系统发生重大变更时,有可能使系统的整体安全状态发生变化,因此,有必要对系统进行等级测评。即使没有发生重大变更,系统处于正常的运行过程,也需要对系统进行等级测评,从而发现一些潜在的安全隐患,及时进行改正。
该控制点在不同级别主要表现为:
一级:无此要求。
二级:无此要求。
具体见下表:
要求项 |
一级 |
二级 |
项目 |
N/A |
N/A |
合计 |
0 |
0 |
11、 安全服务商选择
信息系统建设过程涉及到安全咨询、规划、设计、实施、监理、培训、维护和响应、检测评估等各方面的安全服务,这些服务渗透到信息系统的方方面面,这就使得信息安全服务提供商有机会在使用者毫不知情的情况下,在服务或技术产品中隐埋下各种各样的不安全因素。为了减少或者杜绝这些服务可能带来的新的安全问题,应使用可信的安全服务,因此,在选择安全服务商的时候,应选择那些已获得国家的相关规定,并签订相关的安全协议,必要时签订服务合同等。