从《公安机关网络安全执法检查自查表》看2018年网络安全执法检查工作
从《公安机关网络安全执法检查自查表》看2018年网络安全执法检查工作
《公安机关网络安全执法检查自查表》是配合每年公安机关开展网络安全执法检查的重要工具之一,该表格主要有行业主管部门网络安全领导保障情况调查、各单位信息系统网络安全情况摸底的作用。在今年发布的《2018年公安机关网络安全执法检查自查表格》中,可以明显看到几个变化:
1. 增加了“行业大数据、敏感信息和公民个人信息情况”检查
检查内容包括行业数据中心建设情况;行业数据资源的采集种类、存储量等情况;行业包含的公民个人信息条数和存储情况;行业数据相关政策、标准制定情况;行业数据安全管理制度建设情况;行业数据资源安全保护情况;行业数据资源的灾备中心建设情况和数据备份恢复情况等
2. 增加了“信息系统运营使用单位大数据和公民个人信息保护情况”检查
检查内容包括个人数据应用情况、安全管理措施、安全检测手段、数据保护措施等方面;
3. 增加了“寄递物流业企业网络安全自查表“检查
对公民个人信息存储量及安全保护措施进行检查, 可以看出2018年对公民个人信息的重视程度超过以往任何一年。
☆
2017年数据泄露盘点:
☆
D&B高达52GB的数据流露到地下黑色市场
美国求职网站AJL泄露480万笔求职者信息
1400万Verizon客户个人信息泄露
Uber隐瞒5700万账户泄露事件
14亿账号密码数据库在reddit论坛被公开
2018年在个人信息方面的热词有“Facebook数据泄露“、“大数据杀熟”等。
从数据角度可以得出个人的兴趣爱好、生活习惯、人际关系、收入支出、行程安排等各方面的信息,不再有秘密可言,所以对涉及个人信息、敏感数据等系统进行安全检查显得极为必要。从等级保护角度看以“检查数据泄露风险”为重点的系统安全检查。
安全层面 | 重点检查内容 | 检查目的 | 防护方法 |
|---|---|---|---|
安全管理制度 | 重点检查管理人员或操作人员的日常管理操作是否由相应的操作规程进行规定,同时还应制定有安全策略、管理制度等制度。 | 落实操作规范防止违规操作引发安全事件,同时落实安全责任。 | 建立操作规程、安全策略、管理制度 |
安全管理机构 | 重点检查对系统变更、重要操作、物理访问、系统接入等是否有审批程序,及执行是否严格。 | 防止内部人员的违规操作 | 对重要操作、变更等敏感操作执行审批制 |
人员安全管理 | 重点检查离岗人员账号权限是否取消且外部人员访问是否有相应的审批及陪同制度。 | 防止外部人员的恶意破坏 | 非单位人员包括离岗与外来人员采取审批制、陪同制 |
系统建设管理 | 重点检查系统定级及等级测评情况是否符合等级相应要求,针对以往不符合的地方是否有采取措施进行积极整改 | 防止遗留风险继续存在,被有心人利用 | 对等级测评不符合的单位要重点监督整改 |
系统运维管理 | 重点检查桌面是否有明显敏感纸质文件,办公电脑及时锁定;存储介质有专门管理制度; | 防止从纸质、终端、存储介质、备份地漏洞等方面获取公民信息 | 制定规范,对敏感文件保存、存储介质存储、人员行为进行规定 |
物理安全 | 重点检查防盗措施是否生效,包括门禁、人员看护、人员进出记录等 | 防止不法分子混入 | 在机房等重点区域建立门禁与人员进出登记 |
网络安全 | 重点检查对外是否开放高危服务及端口,如telnet、smb、rdp等;网络边界是否清晰 | 防止从外部网络入侵内容盗取公民信息 | 网络边界严格控制服务开放,关闭不必要服务 |
主机安全 | 重点检查主机本身是否存在安全漏洞、是否存在恶意代码 | 防止通过漏洞、后门入侵主机从而盗取信息 | 加强终端安全防护与检查,及时修复漏洞、查杀恶意代码 |
应用安全 | 重点检查网站是否存在安全漏洞,如SQL注入、跨站等且网站目录是否存在webshell植入;应用访问是否采用加密措施 | 防止通过漏洞、后门从而盗取信息或者网络嗅探获取敏感信息 | 已发现的漏洞第一时间修复,做好网站防护防范0DAY影响 |
数据安全及备份恢复 | 重点检查敏感信息的保存是否加密,如账号、系统管理数据、重要业务数据传输等 | 防止敏感信息轻易被解密,最后的保护层 | 对公民个人信息、账号信息进行加密存储 |