2017国家信息安全政策
随着全球信息化步伐的加快,信息安全成为企业保持健康可持续性发展的基本保证,信息安全建设成为企业的首要任务。以下是小编为大家整理的关于2017国家信息安全政策,给大家作为参考,欢迎阅读!
2017年中国信息安全行业政策前景分析
1、重磅政策加速落地,行业成长再上新台阶
信息安全被划入“十三五”重点建设方向,重磅支持政策加速出台。随着近年来国内网络安全事件地频繁发生,我国政府对于信息安全防护建设意识逐渐加强,政策支持力度不断上升。2016 年年初,网络安全被正式划入“十三五”规划重点建设方向,在政府未来 5 年的 100 项重大建设项目中排在第六位,政府重视程度达到前所未有的高度。随着顶层设计的快速明确,2016 下半年开始,相关建设落实支持政策出台速度明显加快,包括《网络安全法》、《国家网络空间安全战略》及近期的《战略性新兴产业重点产品和服务指导目录》在内的多项重磅政策密集出台,加速推动信息安全产品需求释放。从政策趋势来看,未来政府对信息安全建设的支持力度有望持续提升。
政策驱动下各领域安全防护投资力度不断加大,行业市场规模快速增长。随着近年政策扶持力度的提升,政府、军队、电信、银行等关键领域对于信息安全采购的力度明显加大,带动我国信息安全市场呈现快速发展的态势。根据数据显示,2012 年我国信息安全产业规模仅为 157.26 亿元,2016 年这一市场规模已升至 341.72 亿元,五年内年均复合增速达到 21.41%的较高水平。且每年的市场增速正呈现不断上升趋势,随着政策的加快推动,到 2018 年,预测我国信息安全行业有望达到 514.88 亿元的市场规模,2017 年、2018 年行业增速预计将分别达到 22.5%%和 23.0%,行业景气度将持续走高。
党政军领域需求释放将成为拉动信息安全行业高速增长的主力军。目前,我国信息安全产业链中,下游客户主要为政府部门、军队、金融、能源等信息化程度高且对信息较敏感的行业。而在投入来源中,政府领域的信息安全投入占比最大,接近三分之一,其次是电信(17%)和金融(15%)领域。在信息安全行业快速发展的过程中,由于军政领域国家涉密信息最多,对信息安全的保护等级始终最高,认为该领域将成为拉动信息安全需求增长的主力军。预计未来两到三年,党政军方面需求有望率先快速增长,需求超过行业平均增速,达到 30%-40%,成为拉动我国信息安全行业步入高速增长周期的第一级驱动力。
2、信息安全领域资本热度不降反增,行业集中度将持续提升
我国信息安全细分领域众多且厂商集中度差,行业集中度提升是必然趋势。主要基于以下几方面考虑:①由于信息安全单一子行业规模都相对较小且不同子行业间的技术壁垒较高,而信息安全又是一个 360 度全方位的防护建设工程,拥有完整软硬件解决方案及系统集成能力的厂商必将拥有更强的竞争优势。因此,行业龙头厂商在布局综合安全产品阶段势必加大在不同子领域的兼并收购。②随着云计算、大数据等新兴领域的快速发展,具有深厚攻防等核心技术积累及完整解决方案的龙头公司在处理云安全等相关问题方面将拥有更为成熟可信的综合实力,市场份额将自然地向龙头集中。
资本市场热情不减反增,助力信息安全领域的投资并购数 目不断增多。虽然从 2016 年开始,整体资本市场环境逐渐趋冷,但对于信息安全领域热度上却不降反增。数据显示,2016 年第三季度风险投资网络安全交易共 19 宗,是自 2014 年第二季度以来投资交易数量最多的一个季度。而且过去 6 个季度网络安全领域风险投资交易数量都在 12宗以上。资本热情的提升显示市场热度显著升温,资本的持续投入将助力产业整合加速发展。
3、工控信息安全等保制度出台在即,行业临近爆发点
国内工业领域加速进入智能制造新时代,工控设备联网成为必然趋势。2016 年开始,各国相继将战略核心聚焦智能制造,德国提出“工业 4.0”、英国提出“高值制造”、美国提出“先进制造”。我国也于 2015 年 5 月8 日提出“中国制造 2025”战略,其内涵核心是把信息互联技术与传统工业制造相结合,形成生产智能化,提高资源利用率,以此来推动整个国家竞争力。由此可见,未来随着中国制造 2025 战略的推进,工业领域设备联网实现智能化将成为必然的趋势。
威胁迅速上升,工控安全成为智能制造推进前提。随着工业联网的深入,包括电力、烟草、轨道交通、冶金、石油石化、钢铁、煤炭、先进制造、燃气等多个行业的工控设备对于互联网、办公网、控制网、设备网等的连接变得更加紧密。安全方面所面临的威胁也逐渐从传统的断网、宕机等非攻击事件转变为来自互联网领域病毒、漏洞、恶意代码等攻击导致的安全问题。且从工控领域被攻击所可能导致的后果来看,其潜在威胁极大。如 2014 年出现的 Havex 漏洞,不仅有能力可以禁用水电大坝、使核电站过载、甚至可关闭一个国家的电网。因此,工控安全深刻地影响着工业控制网络产业的发展,是智能制造顺利推进的前提保障。
工控安全领域规范标准加速完善,十项政策在拟,行业 2017 年有望接连迎来多重实质性利好。自工信部 451 号文发布之后,国内各行各业都对工控系统安全建设的认识逐步提升,其后包括电力、烟草、石化、制造等多个行业陆续制定了相应的指导性文件,指导落实相应行业的工控安全检查及整改活动。国家标准相关的组织 TC260、TC124 等标准组也已经启动了相应标准的研究制定工作。截止目前,工信部在拟定的工控安全标准有 7 项,公安部在拟标准有 3 项,均有望 2017 年逐步出台。从政策的数量和内容来看,2017 年将会是工控安全领域暖风频吹的一年,行业有望接连迎来多重实质性利好。
工控领域有望 2017 年纳入《信息安全等级保护要求》,合规性采购需求释放在即。在 10 项在拟政策中,其中影响最为重大的是《信息安全等级保护要求》中今年或将首次纳入物联网及工控安全的内容。根据在2016 年 12 月 27 日出台的《国家网络空间战略》中的阐述,未来关键信息基础设施将按照相关法规和政策内容的要求,采取“先评估后使用”的防护方法,达到相关法规安全标准后方能投产使用。因此预计,随着 2017 年工控等保制度地顺利落地,相关工业领域,如能源、电力、烟草、冶金等关键行业的信息安全保护将成为硬性评估指标,对此将直接转化为对相应信息安全产品合规性采购需求的有效刺激。
工控防御技术形态已初步成熟,产业具备大规模商业扩张基础。工业控制系统虽然长期处于“带病运行”的状态,直到 2010 年左右 Stuxnet蠕虫为代表的 ICS 信息安全事件使人们开始重视,目前工控系统的安全防护主要以边界防护为主,但已出现一系列的产品,从漏洞的挖掘、检测、工控审计、未知威胁检测到综合预警等,工控安全全周期逐步形成,产业具备大规模商业扩张的基础。
我国工控安全当前建设水平极低,未来增量市场巨大,2017-2019 年三年合规性市场有望复合倍增。目前传统的信息安全主要针对管理网和办公网的安全防护,而在工业系统逐渐智能化和互联网化的趋势下,针对工控系统的安全防护市场却基本空白。数据显示,2016 年工控领域安全市场的总体规模仅 2-3 亿元。但从整个市场空间估算工控安全市场体量不亚于当前的传统网络安全市场。根据产业调研,待 2017年工控等保政策顺利落地后,工控安全市场规模 2017 年有望实现十倍的放大,且预计 2017-2019 年将成为工控安全合规性需求持续爆发的阶段,市场未来三年具备复合倍增的可能。
2017年信息安全政策制度
一、计算机设备管理制度
1.计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
2.非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。
3.严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。
二、操作员安全管理制度
(一).操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置;
(二).系统管理操作代码的设置与管理
1、系统管理操作代码必须经过经营管理者授权取得;
2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护;
3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权;
4、系统管理员不得使用他人操作代码进行业务操作;
5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码;
(三).一般操作代码的设置与管理
1、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。
2、操作员不得使用他人代码进行业务操作。
3、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。
三、密码与权限管理制度
1.密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串;
2.密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或
泄漏应立即修改,并在相应登记簿记录用户名、修改时间、修改人等内容。
3.服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理,并由密码设置人员将密码装入密码信封,在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码,必须经过相关部门负责人同意,由密码使用人员向密码管理人员索取,使用完毕后,须立即更改并封存,同时在“密码管理登记簿”中登记。
4.系统维护用户的密码应至少由两人共同设置、保管和使用。
5.有关密码授权工作人员调离岗位,有关部门负责人须指定专人接替并对密码立即修改或用户删除,同时在“密码管理登记簿”中登记。
四、数据安全管理制度
1.存放备份数据的介质必须具有明确的标识。备份数据必须异地存放,并明确落实异地备份数据的管理职责;
2.注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理,保证存储介质的物理安全。
3.任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批,以保证备份数据安全完整。
4.数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行,出现问题时由技术部门进行现场技术支持。数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。
5.数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。
6.需要长期保存的数据,数据管理部门需与相关部门制定转存方案,根据转存方案和查询使用方法要在介质有效期内进行转存,防止存储介质过期失效,通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。
7.非本单位技术人员对本公司的设备、系统等进行维修、维护时,必须由本公司相关技术人员现场全程监督。计算机设备送外维修,须经设备管理机构负责人批准。送修前,需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除,并进行登记。对修复的设备,设备维修人员应对设备进行验收、病毒检测和登记。
8.管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。
9.运行维护部门需指定专人负责计算机病毒的防范工作,建立本单位的计算机病毒防治管理制度,经常进行计算机病毒检查,发现病毒及时清除。
10.营业用计算机未经有关部门允许不准安装其它软件、不准使用来历不明的载体(包括软盘、光盘、移动硬盘等)。
五、机房管理制度
1.进入主机房至少应当有两人在场,并登记“机房出入管理登记簿”,记录出入机房时间、人员和操作内容。
2.IT部门人员进入机房必须经领导许可,其他人员进入机房必须经IT部门领导许可,并有有关人员陪同。值班人员必须如实记录来访人员名单、进出机房时间、来访内容等。非IT部门工作人员原则上不得进入中心对系统进行操作。如遇特殊情况必须操作时,经IT部门负责人批准同意后有关人员监督下进行。对操作内容进行记录,由操作人和监督人签字后备查。
3.保持机房整齐清洁,各种机器设备按维护计划定期进行保养,保持清洁光亮。
4.工作人员进入机房必须更换干净的工作服和拖鞋。
5.机房内严禁吸烟、吃东西、会客、聊天等。不得进行与业务无关的活动。严禁携带液体和食品进入机房,严禁携带与上机无关的物品,特别是易燃、易爆、有腐蚀等危险品进入机房。
6.机房工作人员严禁违章操作,严禁私自将外来软件带入机房使用。
7.严禁在通电的情况下拆卸,移动计算机等设备和部件。
8.定期检查机房消防设备器材。
9.机房内不准随意丢弃储蓄介质和有关业务保密数据资料,对废弃储蓄介质和业务保密资料要及时销毁(碎纸),不得作为普通垃圾处理。严禁机房内的设备、储蓄介质、资料、工具等私自出借或带出。
10.主机设备主要包括:服务器和业务操作用PC机等。在计算机机房中要保持恒温、恒湿、电压稳定,做好静电防护和防尘等项工作,保证主机系统的平稳运行。服务器等所在的主机要实行严格的门禁管理制度,及时发现和排除主机故障,根据业务应用要求及运行操作规范,确保业务系统的正常工作。
11.定期对空调系统运行的各项性能指标(如风量、温升、湿度、洁净度、温度上升率等)进行测试,并做好记录,通过实际测量各项参数发现问题及时解决,保证机房空调的正常运行。
12.计算机机房后备电源(UPS)除了电池自动检测外,每年必须充放电一次到两次。
企业信息安全管理制度2
第一条根据xx集团公司下达的xx集科[xxx]83号文件《xx集团公司多媒体广域网络系统管理办法及信息技术规范的通知》的要求。制定网络安全管理制度,适合在大同发电有限公司内的管理信息网络中使用。
第二条安全管理制度须从以下几个方面进行规范:物理层、网络层、平台安全,物理层包括环境安全和设备安全、网络层安全包含网络边界安全、平台安全包括系统层安全和应用层安全。
机房安全管理
第三条大同发电公司网络机房是网络系统的核心,除网络信息处管理人员外,其他人不经允许不得入内,网络信息处的管理人员不准在主机房内会客或带无关人员进入。未经许可,不得动用机房内设施
第四条机房工作人员进入机房必须遵守相关工作制度和条例,不得从事与本职工作无关的事宜,每天下班前须检查设备电源情况,在确保安全的情况下,方可离开。
第五条为防止磁化记录的破坏,机房内不准使用磁化杯、收音机等产生磁场的物体。
第六条机房工作人员要严格按照设备操作规程进行操作,保证设备处于良好的运行状态。
第七条机房温度要保持温度在18±5摄氏度,相对湿度在50%±5%。
第八条做好机房和设备的卫生清扫工作,定期对设备进行除尘,保证机房和设备卫生、整洁。
第九条机房设备必须符合防雷、防静电规定的措施,每年进行一次全面检查处理,计算机及辅助设备的电源须是接地的电源。
第十条工作人员必须遵守劳动纪律,坚守岗位,认真履行机房值班制度,做好防火、防水、防盗等工作。
第十一条机房电源不可以随意断开,对重要设备必须提供双套电源。并配备UPS净化电源供电。公司办公楼如长时间停电须通知信息主管部门,制定相应的技术措施,并指明电源恢复时间。
设备安全管理
第十二条网络系统的主设备是连续运行的,网络信息处每天必须安排专职值班人员。
第十三条负责监视、检查网络系统运行设备及其附属设备(如电源、空调等)的工作状况,发现问题及时向网络信息处领导报告,遇有紧急情况,须立即采取措施进行妥善处理。
第十四条负责填写系统运行日志、操作日志,并将当日发生的重大事件填写在相关的记录本上。负责对必要的数据进行备份操作。
第十五条负责保持机房的卫生及对温度、湿度的调整,负责监视并制止违章操作及无关人员的操作。
第十六条不准带电拔插计算机及各种设备的信号连线。不准带电拔插计算机及各种设备。不准随意移动各种网络设备,确需移动的要经网络信息处领导同意。
第十七条在维护与检修计算机及设备时,打开机箱外壳前须先关闭电源并释放掉自身所带静电(可摸一下暖气管或接地线)。
网络层安全
第十八条公司网络与信息系统中,在网络边界和对外出口处必须配置网络防火墙。
第十九条未实施网络安全管理措施的计算机设备禁止与internet相连。
第二十条任何接入网络区域中的网络安全设备,必须使用经过国家有关安全部门认证的网络安全产品。
第二十一条在计算机联入企业信息网络之后,禁止一其他任何方式(如拨号上网、ISDN、ADSL等)与internet相连。
第二十二条对于公司企业内部网路应当根据应用功能不同的要求,必须进行网络分段管理,以防止通过局域网“包广播”方式恶意收集网络的信息。
系统安全管理
第二十三条禁止下载互联网上任何未经确认其安全性的软件,严禁使用盗版软件及游戏软件。
第二十四条密码管理:密码的编码必须采用尽可能长并不易猜测的字符串,不能通过电子邮件等明文方式传送传输,密码必须定期更新。
第二十五条登陆策略:仅给经过授权的用户暴露账号,不得设置多人共用的账号,连续登陆三次失败,须暂时禁止此账号并通知该账号用户。
第二十六条普通系统用户:未经相关部门许可,禁止与其他人员共享账号和密码;禁止运行网络监听工具或其他黑客工具;禁止查阅别人的文件。
第二十七条系统管理员:不得随意在系统中增加账号,随意修改权限,未经管理部门的许可,严禁委托他人行使管理员权利。
第二十八条外来软盘或光盘须在没联网的单机上检查病毒,确认无毒后方可上网使用。私自使用造成病毒侵害要追究当事人责任。
第二十九条网络系统的所有软件均不准私自拷贝出来赠送其它单位或个人,违者将严肃处理。
系统应用安全管理
第三十条实行专人负责检测病毒,定期进行检查,配备相应的实时病毒检测工具。
第三十一条严禁随意使用软盘和U盘等存储介质,如工作需要,须经过病毒检测方可使用。
第三十二条严禁以任何途径和媒体传播计算机病毒,对于传播和感染计算机病毒者,视情节轻重,给予适当的处分。制造病毒或修改病毒程序制成者,要给予严肃处理。
第三十三条发现病毒,应及时对感染病毒的设备进行隔离,情况严重时报相关部门并及时妥善处理。
第三十四条实时进行防病毒监控,做好防病毒软件和病毒代码的智能升级。
第三十五条应当注意保护网络数据信息的安全,对于存储在数据库中的关键数据,以及关键的应用系统应作数据备份,数据备份应当满足《xx电力大同发电公司数据备份管理制度》的要求。
附则
第三十六条本办法从公布之日起实施。本办法由总经部网络信息处负责解释
2017国家信息安全政策的评论条评论