经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改。
(6)监督检查
受理备案的公安机关应当对第三级、第四级信息系统运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次,对第四级信息系统每半年至少检查一次。
对跨省或者全国统一联网运行的信息系统的检查,应当会同其主管部门进行。对第五级信息系统,应当由国家指定的专门部门进行检查。
公安机关、国家指定的专门部门进行检查的事项如下:
①信息系统安全需求是否发生变化,原定保护等级是否准确。
②运营、使用单位安全管理制度、措施的落实情况。
③运营、使用单位及其主管部门对信息系统安全状况的检查情况。
④系统安全等级测评是否符合要求。
⑤信息安全产品使用是否符合要求。
⑥信息系统安全整改情况。
⑦备案材料与运营、使用单位、信息系统的符合情况。
⑧其他应当进行监督检查的事项。
公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的,应当向运营、使用单位发出整改通知。运营、使用单位应当根据整改通知要求,按照管理规范和技术标准进行整改。整改完成后,应当将整改报告向公安机关备案。必要时,公安机关可以对整改情况组织检查。
106.什么是渗透测试?
在网络安全测评活动中,模拟黑客的攻击手段,进行可控的网络攻击,帮助系统的所有者发现问题的安全测试方法称为渗透测试。
渗透测试实施方法多样,可以在对系统一无所知的情况下开展,也可以在仔细调查员工的操作习惯,甚至了解代码片断后进行;可以在网络内部模拟违规操作者发起测试,考验管理措施的完备性,也可以在网络外部模拟黑客进行远程攻击,考验系统的抗攻击能力。
目前,渗透测试的手段已经广泛地应用于风险评估、安全审计等领域。
107.为什么需要容灾备份?
容灾备份是通过在异地建立和维护一个备份存储系统,利用地理上的分离来保证系统和数据对灾难性事件的抵御能力。
根据容灾系统对灾难的抵抗程度,可分为数据容灾和应用容灾。数据容灾即建立一个异地的数据备份中心,对数据生产中心的关键应用数据复制。当出现灾难时,容灾备份中心存储设备提供反向复制功能,恢复生产中心的数据资料。应用容灾比数据容灾层次更高,即在异地建立一套完整的、与本地数据系统相当的备份应用系统(可以同本地应用系统互为备份,也可以与本地应用系统共同工作)。在灾难出现后,远程应用系统迅速接管或承担本地应用系统的业务运行。
108.容灾备份主要有哪些方式?
根据国际上对数据备份能力的定义,容灾备份大致分为四种类型:
(1)存储介质容灾备份
将用于数据备份的存储介质(磁带、硬盘等)转移到信息系统运行中心以外的安全场所保存,以备系统因灾难出现数据丢失时使用。
(2)数据级容灾备份
将数据定时通过网络备份到容灾备份中心,一旦信息系统因灾难发生数据损失,可以在较短时间内进行数据恢复。数据级容灾备份通常可分为同城容灾备份(容灾备份地与信息系统处于同一城市或地区,距离一般不少于15千米)、远程容灾备份(容灾备份地与信息系统相距较远,一般不处于同一城市或地区,以增强抵抗自然灾害的能力)。
(3)应用级容灾备份
在异地(一般在同城范围)建立与正在运行的重要信息系统一致的信息系统,并进行定时或实时数据备份。当本地信息系统因灾难无法运行时,异地信息系统可进行替代服务。
(4)业务级容灾备份
在异地(一般在同城范围)实时备份所有的数据和业务,当本地信息中心因灾难无法运行时,可实现全面业务接管。
109.如何正确处理本单位的信息安全紧急事件?
当发生信息安全紧急事件时,可采取以下措施:
(1)切断不稳定因素
情况可控时,删除有害信息;情况不可控时,断开影响安全与稳定的信息网络设备,与破坏来源断开网络物理连接。
(2)紧急事件检测
检测防火墙日志;检测系统日志;检测Web服务日志;检测IDS或IPS日志;查找可能的用户;网络拓扑和访问控制列表;以及检测其他设备的日志。
(3)事件分析
判断事件的类型;事件现场的保护、相关证据的保存,以便日后调查取证;事件的起因分析;系统后门检查、漏洞分析;数据收集、数据分析。
(4)抑制、消除和恢复
恢复系统正常;确认系统是否已经完全恢复正常;修补系统漏洞、增加安全性;部署安全措施,设置过滤策略。
110.如何有效地隔离机构的涉密网和公众服务网?
在网络规划上,涉密部门的网络必须与外部的公共网络物理隔离,也就是说,涉密部门的计算机无法通过内部网络与单位局域网络交换信息,也无法连接Internet。实现物理隔离的方案主要有:
(1)断开涉密部门连接外部网络的网络电缆
这种方案的安全性能最好,只要管理上不出现问题,内部网络的数据绝对不可能泄露出去。但如果出现涉密部门的数据需要传送的情况下,必须派专人携带存储介质传送,很不方便。
(2)在涉密部门内部网络的出口处放置安全计算机,实现网闸的功能,控制内部网络和外部网络的切换和隔离
这种安全计算机还提供所有涉及信息发送和输出设备的控制,包括对软驱、光驱提供限制功能。在系统引导时,不允许驱动器中有移动存储介质。双网计算机提供软驱关闭/禁用功能、对网络接口等双向端口设备提供限制功能,可以实现数据只从内部网络向外部网路传输,或是相反方向的传输。
111.如何有效防范内部人员恶意破坏?
①工作时间严禁非本部门的人员未经许可进入保密区域。
②当工作涉及机密内容时,必须有两个以上的工作人员共同工作。
③当工作人员离职之时,必须在专人的监督下进行工作移交,检查其带走的物品。在离职前,必须删除信息系统中相应的账号和密码,并向全系统广播其离职消息。
112.信息安全标准是如何分类的?国内安全评估标准有哪些?
信息安全标准可以分为系统评估类、产品测试类、安全管理类等。
目前已发布实施的信息安全评估标准主要有:
①GB/T20984-2007《信息安全技术信息安全风险评估规范》。
②GB17859-1999《计算机信息系统安全保护等级划分准则》。
③GB/T18336-2001《信息技术安全技术信息技术安全性评估准则》。
④GB9361-88《计算站场地安全要求》。
⑤GB/T2887-2000《电子计算机场地通用规范》。
⑥GB/T19716-2005《信息技术信息安全管理实用规则》。
113.国内对信息安全机构的资质认证有哪些?
目前国内对信息安全服务机构的资质认证主要有信息安全应急处理服务资质和信息系统安全服务资质两大类。对信息安全测评机构的资质认定主要有实验室认可、检查机构认可和计量认证等。
(1)信息安全应急处理服务资质认证
由中国信息安全认证中心颁发,是对提供网络与信息安全应急处理服务的组织所进行的服务资质认证。资质分为一、二、三级,从基本要求,人员构成与素质要求,规模与资产要求,设备、设施与环境要求,项目管理要求,应急响应时间要求,业绩要求,质量保证要求,应急服务能力要求九个方面对信息安全应急处理服务商提出要求。
(2)信息安全服务资质认证
由中国信息安全认证中心对信息系统安全服务提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,依据公开的标准和程序,对其安全服务保障能力进行认证。
(3)实验室认可、检查机构认可
由中国合格评定国家认可委员会组织的对测评机构技术能力、管理能力的认可。
(4)计量认证
根据中华人民共和国计量法的规定,由省级以上人民政府计量行政部门对检测机构的检测能力及可靠性进行的全面认证及评价。这种认证对象是所有对社会出具公正数据的产品质量监督检验机构及其他各类实验室。取得计量认证合格证书的检测机构,允许其在检验报告上使用CMA(ChinaMetrologyAccreditation)标记。有CMA标记的检验报告可用于产品质量评价、成果及司法鉴定,具有法律效力。
114.国内对信息安全人员的资格认证有哪些?资格申报需要满足什么条件?
目前国内对信息安全人员的资格认证为“注册信息安全专业人员”(CertifiedInformationSecurityProfessional,简称CISP)。根据实际岗位工作需要,CISP分为三类,分别是注册信息安全工程师(CertifiedInformationSecurityEngineer,简称CISE)、注册信息安全管理人员(CertifiedInformationSecurityOfficer,简称CISO)、注册信息安全审核员(CertifiedInformationSecurityAuditor,简称CISA)。
其中,CISE主要从事信息安全技术开发服务工程建设等工作,CISO主要从事信息安全管理等相关工作,CISA主要从事信息系统的安全性审核或评估等工作。
取得CISP资格必须通过中国信息安全产品测评认证中心组织的培训和考试,对学历和工作经历均有具体的要求,应具备一定的信息安全基础知识,了解并掌握GB/T18336、ISO15408、ISO17799等有关信息安全标准,具有进行信息安全服务的能。
