信息安全等級保護工作

實施經驗介紹主要內容一、中金所等保工作情況簡介二、等保工作的原則和思路三、等保測評經驗分享四、測評關鍵點注意中金所等保工作情況簡介

基本情況

中金所目前申報信息安全等級保護定級備案的系統有三個，其中兩個三級系統，一個二級系統。1、交易系統（三級）；2、業務系統（三級）；3、互聯網網站系統（二級）。

中金所等保工作情況簡介

測評情況2009年申報定級并正式備案。2010年起，三個系統均每年測評一次。2010年的測評情況，兩個三級系統測評項符合率均超過88%；一個二級系統測評項符合率超過96%。2011年的測評情況，兩個三級系統測評項符合率均超過90%，高于上一年度；一個二級系統測評項符合率超過96%，與上年度基本持平。

中金所等保工作情況簡介

系統建設

中金所于2006年開始籌備，并于當年開始信息系統建設工作。

在系統設計上，遵循國內外通行的信息安全基本原則，嚴格遵守國家有關法律法規、上級單位的有關規定，吸收借鑒行業內的先進經驗。

中金所等保工作情況簡介

自查與測評2007年，中金所信息系統建設已經初步完善。

在國家正式發布《信息安全等級保護管理辦法》之后。我所依據信息安全等級保護已發布的相關標準文件進行了深入自查，并邀請有關單位對我所系統進行了測評，測評結果良好，但也發現了一些需要整改與完善的問題。中金所等保工作情況簡介

整改與提高2008-2009年，我所對測評中發現的問題進行認真分析與討論，在所領導統一部署下，分階段完成了問題整改與系統完善工作；

2009年，信息系統正式申報定級備案。中金所等保工作情況簡介

定期測評完善2010年起，邀請國家指定的測評機構進行測評；

對測評中發現的問題，能立即整改的則進行整改；暫不能整改的，專人進行記錄，督促相關崗位擇機整改。

所領導特別要求總結問題原因，尋根究底，舉一反三，確保已發生的問題未來不再重現。主要內容一、中金所等保工作情況簡介二、等保工作開展的原則和思路三、等保測評經驗分享四、測評關鍵點注意等保工作開展的原則和思路領導重視是關鍵全員意識是核心扎實工作是保證基本原則：等保工作作開展的的原則和和思路領導重視視是關鍵鍵我所領導導始終重重視信息息安全工工作，將將嚴格遵遵守國家家有關法法律法規規及上級級單位規規定，作作為不可可逾越的的紅線來來抓。信息系統統建立初初期，就就建立起起分工明明確、協協作高效效的信息息安全組組織架構構。等保工作作開展的的原則和和思路領導重視視是關鍵鍵信息安全全組織架架構建立立本身就就是《信息系統統安全等等級保護護基本要要求》中的一項項重要要要求。眾多事實實和經驗驗證明，，領導重重視是確確保信息息系統安安全的核核心要素素之一，，也是推推進信息息系統安安全等級級保護工工作的必必備要素素。可以想象象，領導導都不重重視的工工作，其其執行力力會是怎怎樣？等保工作作開展的的原則和和思路全員意識識是核心心信息安全全工作不不是領導導和部分分人員的的工作，，需要全全員參與與、統籌籌調度，，只有全全員意識識到位，，才能把把工作做做好。我所每年年安排多多次全員員信息安安全意識識培訓，，各部門門領導、、員工對對信息安安全等級級保護工工作的重重要性均均有清晰晰的認識識。反復的培培訓、宣宣傳是必必不可少少的！等保工作作開展的的原則和和思路扎實工作作是保證證信息系統統安全等等級保護護工作不不是靠口口頭說教教、制定定好制度度就能做做好的，，扎扎實實實地將將標準規規定的內內容落實實、把各各項制度度落到實實處是做做好等保保工作的的保證。。技術部門門是信息息安全等等級保護護工作的的重點部部門之一一，在信信息系統統建設、、完善中中重視每每一處細細節，才才能將等等保技術術要求落落實好。。等保工作作開展的的原則和和思路扎實工作作是保證證安全管理理不是空空泛的口口號，要要把安全全管理制制度的內內容融入入到日常常工作中中。發現與實實際工作作不匹配配、內容容不完善善的制度度要隨著著實踐的的深入不不斷修訂訂完善。。實際去做做了，才才能發現現問題、、解決問問題！等保工作作開展的的原則和和思路新建系統統，嚴格格要求，，一步到到位改建系統統，統籌籌規劃，，適時完完善安全工作作融入日日常管理理關鍵要求求必須符符合循序漸進進逐步提提高主要思路路：等保工作作開展的的原則和和思路新建系統統，嚴格格要求，，一步到到位新建系統統的設計計上應該該嚴格要要求，采采用的標標準盡可可能靠高高不靠低低；一次次設計、、實施后后即符合合等保要要求。我所在新新一代系系統的設設計中，，總結以以往建設設經驗，，采取更更嚴格的的設計，，力求不不走彎路路。設計之初初存在的的問題，，依靠未未來完善善將困難難重重！！等保工作作開展的的原則和和思路改建系統統，統籌籌規劃，，適時完完善改建系統統部分無無法完全全符合等等級保護護測評要要求的問問題，要要及早統統籌規劃劃，選擇擇合適的的時機進進行完善善。系統改建建將可能能影響業業務的運運行，因因此不能能盲目地地變更修修改，需需要在整整體上統統籌規劃劃，制定定整改時時間表，，選擇合合適的時時機進行行完善。。沒有統籌籌規劃的的變更可可能帶來來更大的的安全隱隱患！等保工作作開展的的原則和和思路安全工作作融入日日常管理理把安全工工作融入入到日常常管理中中，久而而久之，，形成習習慣，難難做的事事情就會會變得容容易做。。我所的安全全制度、操操作規范都都具有很強強的操作性性，制度是是靠各崗位位共同分析析討論制定定且不斷完完善的。日常工作符符合安全規規范，就不不會覺得安安全工作難難做！等保工作開開展的原則則和思路關鍵要求必必須符合信息系統安安全等級保保護工作雖雖然沒有特特別說明哪哪些要求是是必須符合合的，但是是一些屬于于信息安全全基本原則則性的要求求是必須符符合的。例如：可用用性要求很很高的環境境下的單點點故障、弱弱訪問控制制、設備或或系統弱口口令、密碼碼明文保存存等相關要要求，都是是嚴格符合合的要求。。核心原則與與要求不能能違背！等保工作開開展的原則則和思路循序漸進逐逐步提高想要百分之之百完全符符合信息系系統安全等等級保護所所有要求可可能存在困困難，而且且即使是暫暫時符合了了，隨著系系統的運行行，系統可可能遭受的的風險并不不可能消失失，所以必必須不斷完完善與提高高，這是一一個循序漸漸進的過程程。測評通過不不是高枕無無憂！主要內容一、中金所所等保工作作情況簡介介二、等保工工作開展的的原則和思思路三、等保等等保經驗分分享四、測評關關鍵點注意意等保測評經經驗分享支持：獲得得領導的支支持意識：不把把等保測評評當負擔自查：測評評前要認真真自查溝通：與測測評機構保保持良好溝溝通測評：實事事求是，目目的就是要要發現問題題整改：問題題要扎扎實實實整改提高：靠日日常管理，，不靠年年年“搞運動動”主要經驗：：等保測評經經驗分享支持：獲得得領導的支支持如果本單位位領導都對對信息系統統安全等級級保護工作作不重視，，那么等保保測評工作作基本上就就可能成為為應付差事事的表面文文章。所以測評前前一定要獲獲得單位最最高領導、、分管領導導、部門領領導的大力力支持。我所領導反反復強調等等保工作的的重要性，，對發現的的問題都要要求反思、、整改、匯匯報結果。。等保測評經經驗分享支持：獲得得領導的支支持各部門、員員工能切實實感到領導導的重視及及壓力，才才能順利開開展協調組組織工作。。領導的支持持與重視在在等保標準準中有明確確要求。《信息系統安安全等級保保護基本要要求》7.2.2.1（c）：應成立立指導和管管理信息安安全工作的的委員會或或領導小組組，其最高高領導由單單位主管領領導委任或或授權。當壓力轉化化為動力，，工作開展展就容易了了！等保測評經經驗分享意識：不把把等保測評評當負擔要樹立等保保測評是好好事，不是是負擔的意意識。外部測評機機構均具有有豐富的經經驗，請他他們來幫自自己找問題題是一個難難得的機會會。是一個個很好的學學習、交流流、提高的的機會。我所歷來來抱著歡歡迎測評評的態度度開展工工作。不不同的人人從不同同的角度度來檢查查可能會會發現我我們忽視視了的問問題。等保測評評經驗分分享意識：不不把等保保測評當當負擔在測評前前，難免免會有部部分員工工對測評評工作不不理解，，覺得測測評就是是來“挑挑毛病””的思思想。應該通過過反復宣宣傳使所所有員工工對測評評有一個個清醒的的認識——及早發現現問題予予以整改改，比這這些“毛毛病”在在未來釀釀成大禍禍好。換個角度度去看待待測評工工作，也也許就不不再覺得得“頭疼疼”了！！等保測評評經驗分分享自查：測測評前要要認真自自查在測評前前，要對對信息系系統進行行自查。。一些顯顯而易見見的問題題要及時時整改。。違反核核心原則則的問題題如果不不整改，，系統不不可能通通過測評評。可以對照照《證券期貨貨業信息息系統安安全等級級保護三三級系統統測評（（自查））表》《證券期貨貨業信息息系統安安全等級級保護二級系統測測評（自自查）表表》逐條檢查查。建議把每每條內容容記錄在在案，是是否符合合一目了了然。等保測評評經驗分分享自查：測測評前要要認真自自查自查絕對對不能停停留在表表面，要要對實際際情況做做梳理和和檢查，，就可以以對本系系統的符符合情況況有一個個清醒的的認識。。將查找到到的問題題匯總、、分析、、討論后后進行整整改。我所自查查一般是是每季度度執行一一次。自己都不不清楚本本單位信信息系統統中的問問題，那那一定是是問題重重重！等保測評評經驗分分享溝通：與與測評機機構保持持良好溝溝通要和當地地測評機機構保持持良好的的溝通與與協調。。較好的的辦法是是在測評評前即與與擬定的的測評機機構建立立溝通機機制，對對于測評評要求中中不能把把握的測測評項，，可以向向測評機機構的資資深人員員進行咨咨詢。選擇在本本行業內內做過多多次測評評的機構構可能更更有利于于測評工工作的開開展。良好的溝溝通是測測評工作作順利開開展的前前提條件件之一！！等保測評評經驗分分享測評：實實事求是是，目的的就是要要發現問問題測評工作作中，實實事求是是，保持持開放的的態度，，不回避避問題，，測評機機構提出出的檢查查點全力力配合。。“一句謊謊話要用用十句謊謊話去圓圓”，抱抱著與測測評機構構相同的的目的才才能真正正找到問問題，更更加有利利于整改改。一次次查到問問題要比比下一次次繼續掩掩蓋好得得多。對測評機機構不懷懷有抵觸觸情緒，，配合檢檢查才能能發現潛潛在問題題！等保測評評經驗分分享整改：問問題要扎扎扎實實實整改測評中發發現的問問題，要要扎扎實實實地整整改，確確保下次次不再發發生。部分測評評項幾乎乎很難滿滿足，可可以和測測評機構構進行溝溝通、解解釋、說說明，最最終是否否認可取取決于測測評機構構。除關鍵問問題外，，有些問問題雖然然存在，，但如果果有合理理的補償償控制措措施，在在整體評評估中會會被視為為符合。。及早將問問題整改改能大大大降低信信息系統統風險！！等保測評評經驗分分享提高：靠靠日常管管理，不不靠年年年“搞運運動”信息系統統安全的的提高主主要應該該依靠日日常管理理和控制制，不能能靠年年年“搞運運動”。。風險是隨隨著系統統運行不不斷累加加的，僅僅僅依靠靠測評來來降低系系統風險險不切實實際。日日常的信信息安全全管理才才是最重重要的。。測評是檢檢查手段段，不是是檢查目目的。日常工作作中加強強信息安安全管理理，測評評就變得得簡單！！主要內容容一、中金金所等保保工作情情況簡介介二、等保保工作開開展的原原則和思思路四、測評評關鍵點點注意三、等保保測評經經驗分享享測評關鍵鍵點注意意測評通過過的基本本原則原則上測測評所有有項中，，符合率率大于60%，不符合合率小于于15%，且不存存在高風風險安全全問題即即可通過過。但由于各各單位系系統規模模、重要要程度以以及對保保密性、、可用性性方面的的要求有有所不同同，很難難對高風風險問題題作一個個絕對的的判斷，，一般還還是根據據實際情情況分析析確定。。所以要向向測評機機構詳細細說明業業務重要要程度等等信息。。測評關鍵鍵點注意意常見高風風險安全全問題1、網絡訪訪問控制制措施存存在明顯顯不足，，甚至無無任何訪訪問控制制設備，，主機所所有端口口全部暴暴露在外外的。2、主要網網絡設備備、安全全設備配配置極其其不當的的，如口口令很弱弱、甚至至無口令令、直接接可通過過Internet登錄等。。3、Windows主機無任任何防惡惡意代碼碼措施，，且網絡絡上也未未采取補補償措施施的。測評關鍵鍵點注意意常見高風風險安全全問題4、主機操操作系統統、數據據庫存在在極高風風險漏洞洞、弱口口令等情情況，可可被直接接利用進進行攻擊擊的。5、應用系系統存在在SQL注入等極極高風險險安全漏漏洞的。。6、應用系系統存在在訪問控控制旁路路漏洞，，可在未未進行身身份鑒別別，或以以低權限限用戶身身份就可可越權訪訪問高權權限用戶戶才能使使用的功功能。測評關鍵點點注意常見高風險險安全問題題7、對可用性性要求較高高的系統存存在明顯單單點故障隱隱患。8、對保密性性要求較高高的系統（（如網上交交易系統））存在敏感感信息（如如用戶口令令）明文傳傳輸、保存存等問題。。9、管理制度度、記錄等等文檔缺失失嚴重。謝謝！9、靜夜四無鄰鄰，荒居舊業業貧。。12月-2212月-22Thursday,December8,202210、雨中黃葉葉樹，燈下下白頭人。。。07:45:5507:45:5507:4512/8/20227:45:55AM11、以我獨獨沈久，，愧君相相見頻。。。12月-2207:45:5507:45Dec-2208-Dec-2212、故人江江海別，，幾度隔隔山川。。。07:45:5507:45:5507:45Thursday,December8,202213、乍見見翻疑疑夢，，相悲悲各問問年。。。12月月-2212月月-2207:45:5507:45:55December8,202214、他鄉生生白發，，舊國見見青山。。。08十十二月20227:45:55上午午07:45:5512月-2215、比不了了得就不不比，得得不到的的就不要要。。。十二月227:45上午午12月-2207:45December8,202216、行動動出成成果，，工作作出財財富。。。2022/12/87:45:5507:45:5508December202217、做做前前，，能能夠夠環環視視四四周周；；做做時時，，你你只只能能或或者者最最好好沿沿著著以以腳腳為為起起點點的的射射線線向向前前。。。。7:45:55上上午午7:45上上午午07:45:5512月月-229、沒有失敗敗，只有暫暫時停止成成功！。12月-2212月-22Thursday,December8,202210、很多事情情努力了未未必有結果果，但是不不努力卻什什么改變也也沒有。。。07:45:5507:45:5507:4512/8/20227:45:55AM11、成功就是是日復一日日那一點點點小小努力力的積累。。。12月-2207:45:5507:45Dec-2208-Dec-2212、世間成事事，不求其其絕對圓滿滿，留一份份不足，可可得無限完完美。。07:45:5507:45:5507:45Thursday,December8,202213、不不知知香香積積寺寺，，數數里里入入云云峰峰。。。。12月月-2212月月-2207:45:5507:45:55December8,202214、意志堅堅強的人人能把世世界放在在手中像像泥塊一一樣任意意揉捏。。08十十二月20227:45:55上午午07:45:5512月-2215、楚塞三湘湘接，荊門門九派通。。。。十二月227:45上上午12月-2207:45December8,202216、少年十五五二十時，，步行奪得得胡馬騎。。。2022/12/87:45:5507:45:5508December202217、空山新雨雨后，天氣氣晚來秋。。。7:45:55上上午7:45上上午07:45:5512月-229、楊楊柳柳散散和和風風，，青青山山澹澹吾吾慮慮。。。。12月月-2212月月-22Thursday,Dece