《关于我中心2023年度网络安全等级保护测评结果情况汇报.docx》由会员分享,可在线阅读,更多相关《关于我中心2023年度网络安全等级保护测评结果情况汇报.docx(5页珍藏版)》请在第一文库网上搜索。
1、关于我中心2023年度网络安全等级保护测评结果情况汇报致:中心领导在我中心党组的正确领导和高度重视与大力支持下,我中心逐渐完善了中心网络与信息系统的建设,建立了较为健全的网络安全保障体系。2023年12月,我中心并依法依规对中心XX管理信息系统、XX综合管理业务系统等五个信息系统开展2023年度网络安全等级保护项目招标采购工作(项目名称:XXX网络安全等保测评服务类采购项目、招标编号:3XXXFJYSGK2023097)o至2023年3月,由项目中标方XXX网安股份有限公司按招标文件、项目合同等有关文件要求,完成了项目相关信息系统的定级、备案、差距分析、整改建设与安全加固等工作;由福建省网络与
2、信息安全测评中心完成对项目相关信息系统的网络安全等级测评工作。项目约定的五个信息系统均通过安全等级测评,各系统测评得分情况如下表所示:序号信息系统名称安全等级2023年度测评得分信息系统部署位置1XXX监测系统第三级72.34本地机房2OA办公系统第三级72.95本地机房3XXX综合管理系统第三级73.28本地机房4XXX管理信息系统第三级77.67政务云5XXX无纸化问卷调查应第二级87.25本地机房序号信息系统名称安全等级2023年度测评得分信息系统部署位置用系统一、测评发现存在的安全风险项目相关信息系统虽然通过了相应的安全等级测评,但仍然存在以下问题:1、2023年度网络安全等级测评得分
3、比往年低;2、各信息系统均存在一些中、低级别的安全风险。二、安全风险分析我处室工作人员在取得相应的信息系统网络安全等级测评报告后,认真研读测评报告相关内容,并及时召集网络安全服务商、信息系统软件开发商和信息系统运维服务商等有关单位人员,分析报告中提出的安全风险,并结合我中心网络与信息化实际情况,开展安全风险整改与安全加固工作。造成上述问题的主要因素如下:(-)等保测评计分规则重大变化,网络安全合规工作从严2023年6月公安部下发公网安(2023)1904号文通知要求,自2023年6月18日起所有测评机构执行新版测评报告模板。新模板与原模板(2019版)最大的区别是测评计分规则发生重大变化,由现
4、有的“缺陷扣分法(三倍扣分)”取代了原先的“指标符合法”,使得测评得分大幅降低。缺陷扣分法规则如下:计算单个测评项的基准分S(2)一般测评指标:部分符合,扣0.5倍基准分S;不符合,扣1倍基准分S(权重0.4)(3)重要测评指标:部分符合,扣1倍基准分S;不符台,扣2倍基准分S(权重0.7)(4)关键测评指标:部分符合,扣1.5倍基准分S;不符合,扣3倍基准分S(权重1.0)o根据“缺陷扣分法(3倍扣分)”的规则,关键测评指标不符合的扣3倍分,重要测评指标不符合扣2倍分,一般指标不符合扣1倍分。三级信息系统通用标准共有211个测评指标,其中关键指标137个,占比65%;重要指标71个,占比34
5、%,一般指标3个,占比1%。换言之,如果超过三分之一(45个)关键指标不符合,测评可能会得“0”分。以往通过“部署安全设备就能通过等保测评,并取得高分的情况”不再适用新要求。2023年度,我处室根据新规则有关要求,将网络安全工作重点放在安全规划、安全设计、总体设计、详细设计、安全运维、安全培训、安全应急、安全预案、应急演练、安全防护等全方位都采取安全措施,以确保满足测评新规的要求。(二)部分安全措施(设备)尚未配备完善,安全策略太严格影响业务系统正常运行(1)部分安全措施尚未配备完善,需升级改造测评报告部分中风险系由于我中心尚未配备相应的安全措施造成的,需在今后的网络安全工作中重点开展。如,核
6、心网络链路、关键安全设备无任何冗余措施,存在单点故障风险;未采取技术措施对网络行为进行分析,实现对网络攻击,特别是新型网络攻击行为的分析;系统未采用校验技术或密码技术对重要配置数据在存储过程中的完整性进行验证;未提供部分设备的热冗余措施;未提供异地数据实时备份功能等。上述存在的安全风险问题,我处室将其列入我中心网络与信息化发展规划,作为今后我处有关网络安全方面工作重要指导依据,并逐步落实整改到位。(2)部分安全策略会影响业务系统正常运行我中心信息系统主要对互联网侧提供HTTP(S)服务,经咨询安全设备厂商,当前安全策略在确保信息系统正常访问的前提下,主要以“端口级”安全为主,若设置太严格将影响
7、信息系统的正常运行。如,测评报告中指出:未对进出网络的数据流实现基于应用协议和应用内容的访问控制;若在我中心防火墙设备上添加应用层协议命令级的控制和内容的检查安全策略,将会造成部分HTM1页面不可访问。(3)部分安全设置未完全落实到位入侵检测、防病毒、虚拟化安全监测等安全设备的安全设置不太科学,未按照有关标准规范要求完全落实到位,存在部分安全隐患,未能实现实时向安全管理员报警。今后,将强化日常安全管理工作,并纳入日常绩效考核。三、整改计划(1)科学开展安全建设整改我处室根据网络安全等级保护基本要求、网络安全等级保护安全设计技术要求等有关国家法规标准要求,在现有安全保护措施的基础上,全面梳理分析
8、安全保护需求,并结合等级测评过程中发现的问题隐患,按照“一个中心(安全管理中心)、三重防护(安全通信网络、安全区域边界、安全计算环境)”的要求,认真开展网络安全建设和整改加固,全面落实安全保护技术措施。(2)强化安全责任落实按照网络安全法等法律法规和有关政策要求,厘清网络安全保护边界,明确安全保护工作责任,定期组织专门力量开展网络安全自查和检测评估,及时发现网络安全隐患和薄弱环节并予以整改,不断提高网络安全保护能力和水平。我处将在中心党组的正确领导下,积极开展信息系统网络安全保障工作,不断改进提升网络安全防护能力与管理水平,降低网络安全风险,健全网络安全保障体系,切实落实网络安全责任主体。附件:福建省疾病与预防控制中心信息系统网络安全等级保护测评主要安全问题和处理情况信息科技管理处202X年XX月X日