榴莲视频大全在线观看免费,无码无码日韩精品人妻,亚洲精品无码mv在线观看

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網(wǎng)絡(luò)安全等級劃分主題范文，僅供參考，歡迎閱讀并收藏。

網(wǎng)絡(luò)安全等級劃分

第1篇：網(wǎng)絡(luò)安全等級劃分范文

【關(guān)鍵詞】安全等級；四級；TDCS；接入安全

1 TDCS與《信息安全等級保護(hù)管理辦法》中四級基本要求的差距

1.1 四級基本要求介紹

《信息安全等級保護(hù)管理辦法》中四級的基本要求有2大方面即管理要求與技術(shù)要求。

1.1.1 管理要求

該部分分為5個方面：安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理。

1.1.2 技術(shù)要求

要求分為5個方面：物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)。下面就這5個方面進(jìn)行簡單介紹。

1）物理安全

規(guī)定了系統(tǒng)設(shè)備的物理環(huán)境，避免常見自然或人為災(zāi)害的影響。

2）網(wǎng)絡(luò)安全

結(jié)構(gòu)安全：規(guī)定了結(jié)構(gòu)上要保證冗余并根據(jù)職能和重要性進(jìn)行網(wǎng)段劃分，通道上要保證訪問路徑的安全和帶寬，邊界上保證與其它網(wǎng)絡(luò)的可靠隔離。

訪問控制：邊界上要部署訪問流量的控制設(shè)備，進(jìn)行訪問控制；內(nèi)部嚴(yán)禁開通遠(yuǎn)程撥號功能。

安全審計：集中審計運(yùn)行情況、流量、用戶行為，便于分析問題以及數(shù)據(jù)恢復(fù)。

入侵防范：監(jiān)測網(wǎng)絡(luò)邊界的攻擊行為，并定位記錄和即時報警。

惡意代碼防范：在內(nèi)部及時更新防范的代碼庫，在邊界要做到檢測和清除惡意代碼。

3）主機(jī)安全

規(guī)定了身份鑒別、安全標(biāo)記、訪問控制、可信路徑、安全審計、信息保護(hù)、入侵防范、惡意代碼防范及資源控制。

4）應(yīng)用安全

規(guī)定了身份鑒別、安全標(biāo)記、訪問控制、可信路徑、安全審計、信息保護(hù)、通信的完整性和保密性、軟件容錯、資源控制、抗抵賴。

5）數(shù)據(jù)安全及備份恢復(fù)

規(guī)定了數(shù)據(jù)的完整性和保密性，以及備份數(shù)據(jù)的恢復(fù)。

1.2 TDCS現(xiàn)狀與四級差距

目前TDCS網(wǎng)絡(luò)安全建設(shè)相對于《國家信息安全等級保護(hù)管理辦法》中4 級《信息系統(tǒng)安全等級保護(hù)基本要求》還存在著巨大的差距，其中如接入安全控制系統(tǒng)、指紋認(rèn)證系統(tǒng)、網(wǎng)絡(luò)安全審計和IT資源集中安全管理等重要網(wǎng)絡(luò)安全子系統(tǒng)目前仍是空白，具體防護(hù)差距請見表1。

2 幾種網(wǎng)絡(luò)安全技術(shù)介紹

2.1 接入安全控制系統(tǒng)

接入安全控制系統(tǒng)是內(nèi)網(wǎng)安全管理的重要組成部分，部署在企業(yè)的內(nèi)部網(wǎng)絡(luò)中，可以保護(hù)內(nèi)部計算機(jī)免受外來終端的危害，可禁止重要信息通過外設(shè)和USB 等端口泄漏，防范非法設(shè)備接入內(nèi)網(wǎng)等。

2.1.1 外設(shè)與接口管理

外設(shè)與接口管理主要對內(nèi)網(wǎng)終端計算機(jī)上的各種外設(shè)和接口進(jìn)行管理?？梢詫?nèi)網(wǎng)終端計算機(jī)上的各種外設(shè)和接口設(shè)置禁用，防止用戶非法使用。

2）本表嚴(yán)格依據(jù)國家《信息安全等級保護(hù)管理辦法》中4 級《信息系統(tǒng)安全等級保護(hù)基本要求》起草，表中8.x.x.x 編號為《基本要求》文件中實際編號.

1）存儲設(shè)備禁用

除了網(wǎng)絡(luò)外，另一個最可能帶來病毒入侵的方式就是存儲設(shè)備了。內(nèi)網(wǎng)安全控制系統(tǒng)可以禁止如下存儲設(shè)備的使用：軟驅(qū)、光驅(qū)、存儲設(shè)備、移動硬盤等。

2）設(shè)置移動存儲設(shè)備只讀

內(nèi)網(wǎng)安全控制系統(tǒng)可以設(shè)置將移動存儲設(shè)備置于只讀狀態(tài)，不允許用戶修改或者寫入。

2.1.2 安全接入管理

1）在線主機(jī)監(jiān)測可以通過監(jiān)聽和主動探測等方式檢測網(wǎng)絡(luò)中所有在線的主機(jī)，并判別在線主機(jī)是否是經(jīng)過內(nèi)網(wǎng)安全控制系統(tǒng)授權(quán)認(rèn)證的信任主機(jī)。

2）主機(jī)授權(quán)認(rèn)證

很多的計算機(jī)被病毒入侵，主要原因是自身的健壯性與否造成的。根據(jù)這種情況，內(nèi)網(wǎng)安全控制系統(tǒng)提供了網(wǎng)絡(luò)授權(quán)認(rèn)證功能。內(nèi)網(wǎng)安全控制系統(tǒng)可以通過識別在線主機(jī)是否安裝客戶端程序，并結(jié)合客戶端報告的主機(jī)補(bǔ)丁安裝情況，反病毒程序安裝和工作情況等信息，進(jìn)行網(wǎng)絡(luò)的授權(quán)認(rèn)證，只允許通過授權(quán)認(rèn)證的主機(jī)使用網(wǎng)絡(luò)資源。

3）非法主機(jī)網(wǎng)絡(luò)阻斷

對于探測到的非法主機(jī)，內(nèi)網(wǎng)安全控制系統(tǒng)可以主動阻止其訪問任何網(wǎng)絡(luò)資源，從而保證非法主機(jī)不對網(wǎng)絡(luò)產(chǎn)生影響。

3 結(jié)束語

可以想像，未來的TDCS系統(tǒng)，應(yīng)該具備這樣幾個特點(diǎn)：第一，網(wǎng)絡(luò)是安全的，體現(xiàn)在網(wǎng)絡(luò)應(yīng)該具有精確識別人員身份，可以阻止內(nèi)部和外部攻擊，可以阻止各種內(nèi)網(wǎng)安全控制系統(tǒng)未授權(quán)的非法主機(jī)接入和訪問。第二，網(wǎng)絡(luò)是穩(wěn)定的，體現(xiàn)在網(wǎng)絡(luò)應(yīng)該具有冗余性和自愈性及良好的通道。第三，網(wǎng)絡(luò)管理是高效地，體現(xiàn)在將有統(tǒng)一的管理設(shè)備可以將網(wǎng)絡(luò)管理功能覆蓋。

【參考文獻(xiàn)】

第2篇：網(wǎng)絡(luò)安全等級劃分范文

本文重點(diǎn)在結(jié)合信息安全等級的要求與IDS本身結(jié)構(gòu)的優(yōu)缺點(diǎn)，對信息安全策略進(jìn)行分析，構(gòu)建滿足五級信息安全保護(hù)能力的入侵檢測系統(tǒng)。

關(guān)鍵詞：入侵檢測，信息安全

1.信息安全等級

信息安全等級保護(hù)是我國信息安全保障工作的綱領(lǐng)性文件（《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》）（中辦發(fā)[2003]27號）提出的重要工作任務(wù)[1]，其基本原理是，不同的信息系統(tǒng)有不同的重要性，在決定信息安全保護(hù)措施時，必須綜合平衡安全成本和風(fēng)險。

2007年6月，公安部的《信息安全等級保護(hù)管理辦法》規(guī)定，根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度，其遭受破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等，其安全等級由低到高劃分為五級，其等級劃分原則如表1.1所示：

表1.1 安全等級劃分原則

不同安全等級的信息系統(tǒng)應(yīng)該具備相應(yīng)的基本安全保護(hù)能力，其中第四級安全保護(hù)能力是應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊，嚴(yán)重的自然災(zāi)害，以及其他相當(dāng)維護(hù)程度的威脅所造成的資源損害，能夠發(fā)現(xiàn)安全漏洞和安全相關(guān)事件，在系統(tǒng)遭到損害后，能夠迅速恢復(fù)所有功能；第五級安全保護(hù)能力是在第四級安全的安全保護(hù)能力的基礎(chǔ)上，由訪問控制監(jiān)視器實行訪問驗證，采用形式化技術(shù)驗證相應(yīng)的安全保護(hù)能力確實得到實現(xiàn)。

2.IDS主要功能

入侵檢測：通過對行為、安全日志、審計數(shù)據(jù)或其他網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測到對系統(tǒng)的闖入或者闖入的企圖[2]。（國標(biāo)GB/T 18336）

入侵檢測系統(tǒng)的主要功能：

檢測并分析用戶和系統(tǒng)的活動，查找非法用戶和合法用戶的越權(quán)操作；檢查系統(tǒng)配置和漏洞，并提示管理員修補(bǔ)漏洞。（由安全掃描系統(tǒng)完成）、評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；識別已知的攻擊行為；統(tǒng)計分析異常行為；操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動等；

成功的入侵檢測系統(tǒng)，應(yīng)該達(dá)到的效果：可以使系統(tǒng)管理員時刻了解網(wǎng)絡(luò)系統(tǒng)（軟件和硬件）的任何變更，能給網(wǎng)絡(luò)安全策略的制定提供依據(jù)；管理配置簡單，使非專業(yè)人員非常容易地獲得網(wǎng)絡(luò)安全。入侵檢測的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)規(guī)模、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后，能及時作出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報警等。

圖2.1入侵檢測系統(tǒng)結(jié)構(gòu)圖

3.IDS類別

由于IDS的模型多樣化，IDS的類別也表現(xiàn)出較為復(fù)雜的情況，但是當(dāng)前通常將入侵檢測按照分析方法和數(shù)據(jù)來源來進(jìn)行分類[3]。

3.1按照分析方法（檢測方法）

異常檢測模型（Anomaly Detection）：首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），當(dāng)用戶活動與正常行為有重大偏離時即被認(rèn)為是入侵。

誤用檢測模型（MisuseDetection）：收集非正常操作的行為特征，建立相關(guān)的特征庫，當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認(rèn)為這種行為是入侵。

3.2按照數(shù)據(jù)來源

基于主機(jī)的IDS：系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運(yùn)行所在的主機(jī)，保護(hù)的目標(biāo)也是系統(tǒng)運(yùn)行所在的主機(jī)；檢測的目標(biāo)主要是主機(jī)系統(tǒng)和系統(tǒng)本地用戶。檢測原理是根據(jù)主機(jī)的審計數(shù)據(jù)和系統(tǒng)的日志發(fā)現(xiàn)可疑事件，檢測系統(tǒng)可以運(yùn)行在被檢測的主機(jī)或單獨(dú)的主機(jī)上。

圖3.1基于主機(jī)的IDS結(jié)構(gòu)圖

基于網(wǎng)絡(luò)的IDS：系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，保護(hù)的是網(wǎng)絡(luò)的運(yùn)行；根據(jù)網(wǎng)絡(luò)流量、協(xié)議分析、單臺或多臺主機(jī)的審計數(shù)據(jù)檢測入侵。

圖3.2 基于網(wǎng)絡(luò)的IDS結(jié)構(gòu)圖

探測器由過濾器、網(wǎng)絡(luò)接口引擎器以及過濾規(guī)則決策器構(gòu)成，探測器的功能是按一定的規(guī)則從網(wǎng)絡(luò)上獲取與安全事件相關(guān)的數(shù)據(jù)包，傳遞給分析引擎器進(jìn)行安全分析判斷[4]。

分析引擎器將從探測器上接收到的包并結(jié)合網(wǎng)絡(luò)安全數(shù)據(jù)庫進(jìn)行分析，把分析的結(jié)果傳遞給配置構(gòu)造器。

配置構(gòu)造器按分析引擎器的結(jié)果構(gòu)造出探測器所需要的配置規(guī)則。

分布式IDS：

傳統(tǒng)的集中式IDS的基本模型是在網(wǎng)絡(luò)的不同網(wǎng)段放置多個探測器收集當(dāng)前網(wǎng)絡(luò)狀態(tài)的信息，然后將這些信息傳送到中央控制臺進(jìn)行處理分析。

分布式結(jié)構(gòu)采用了本地主體處理本地事件，中央主體負(fù)責(zé)整體分析的模式。

3.3 IDS的局限性

對于大規(guī)模的分布式攻擊，中央控制臺的負(fù)荷將會超過其處理極限，這種情況會造成大量信息處理的遺漏，導(dǎo)致漏警率的增高[5]。

多個探測器收集到的數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸會在一定程度上增加網(wǎng)絡(luò)負(fù)擔(dān)，導(dǎo)致網(wǎng)絡(luò)系統(tǒng)性能的降低[6]。

由于網(wǎng)絡(luò)傳輸?shù)臅r延問題，中央控制臺處理的網(wǎng)絡(luò)數(shù)據(jù)包中所包含的信息只反映了探測器接收到它時網(wǎng)絡(luò)的狀態(tài)，不能實時反映當(dāng)前網(wǎng)絡(luò)狀態(tài)[7]。

4.五級安全防護(hù)能力IDS構(gòu)建

根據(jù)公安部《信息安全等級保護(hù)管理辦法》，五級安全防護(hù)能力需要具備四級安全防護(hù)的漏洞發(fā)現(xiàn)和入侵檢測能力，同時需要由訪問控制監(jiān)視器實現(xiàn)對訪問的及時驗證，保證杜絕未授權(quán)用戶的非法訪問。

與此同時，如何解決因為網(wǎng)絡(luò)時延而導(dǎo)致的數(shù)據(jù)分析的延后，以及解決探測器在網(wǎng)絡(luò)傳輸中造成的網(wǎng)絡(luò)負(fù)擔(dān)，提高網(wǎng)絡(luò)系統(tǒng)性能的同時保證中央控制臺的高效運(yùn)轉(zhuǎn)，是當(dāng)前IDS需要重點(diǎn)研究的問題。

當(dāng)前IDS的結(jié)構(gòu)中入侵檢測和數(shù)據(jù)安全審計是兩個不同的模塊，入侵檢測系統(tǒng)將檢測數(shù)據(jù)提交給安全審計模塊，對入侵行為的確認(rèn)是由安全審計模塊進(jìn)行的[8]。因此在成本可接受的范圍內(nèi)，如果將審計模塊和檢測模塊結(jié)合，并且將分布式IDS的每一個檢測終端都由一個獨(dú)立處理單元來進(jìn)行基本的檢測，只將較為復(fù)雜的數(shù)據(jù)提交給中央控制臺，這樣即減輕了網(wǎng)絡(luò)傳輸?shù)膲毫?，也有利于中央控制臺更加高效運(yùn)轉(zhuǎn)。將每一個獨(dú)立處理單元命名為一個agent，每個agent的結(jié)構(gòu)如下圖所示：

5.結(jié)束語

本文介紹了信息安全等級的分類依據(jù)，在對IDS系統(tǒng)的類別和局限性進(jìn)行分析的基礎(chǔ)上，對滿足五級信息安全防護(hù)能力的入侵檢測系統(tǒng)進(jìn)行了基本構(gòu)建，探討通過對分布式IDS終端處理單元的結(jié)構(gòu)和防范策略進(jìn)行調(diào)整，研究對IDS存在主要問題的處理策略。

參考文獻(xiàn)

[1] 高永強(qiáng)，羅世澤.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用大典[M].北京：人民郵電出版社，2003：15-16.

[2] 盛思源，戰(zhàn)守義，石耀斌.基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)[J].計算機(jī)工程，2003，28（3）.

[3] 胡振昌.網(wǎng)絡(luò)入侵檢測原理與技術(shù)[M].北京：北京理工大學(xué)出版社，2006

[4] 唐正軍，李建華.入侵檢測技術(shù)[M].北京：清華大學(xué)出版，2004.

[5] 程伯良，周洪波，鐘林輝.基于異常與誤用的入侵檢測系統(tǒng)[J].計算機(jī)工程與設(shè)計.2007，28（14）

[6] 胥小波，蔣琴琴.基于混沌粒子群的IDS告警聚類算法[J].通信學(xué)報.2013，34（3）

第3篇：網(wǎng)絡(luò)安全等級劃分范文

關(guān)鍵詞：安全；電子政務(wù)外網(wǎng)平臺；電子政務(wù)外網(wǎng)云平臺；保障體系；傳統(tǒng)架構(gòu)；云計算

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：2095-1302（2016）11-0-03

0 引言

隨著電子政務(wù)外網(wǎng)的發(fā)展，各省市電子政務(wù)外網(wǎng)平臺的建設(shè)均已成熟，多數(shù)省市電子政務(wù)外網(wǎng)平臺建設(shè)之初采用的是物理機(jī)傳統(tǒng)架構(gòu)部署方式。隨著信息技術(shù)的發(fā)展，云計算技術(shù)應(yīng)運(yùn)而生，電子政務(wù)云平臺的建設(shè)風(fēng)生水起。然而無論是傳統(tǒng)架構(gòu)還是在云計算環(huán)境下，電子政務(wù)外網(wǎng)平臺面臨的風(fēng)險越來越多，本文就這兩種架構(gòu)下電子政務(wù)外網(wǎng)平臺的安全如何建設(shè)進(jìn)行分析，提出相應(yīng)的解決方案。

1 建設(shè)方案

電子政務(wù)外網(wǎng)平臺的安全建設(shè)應(yīng)根據(jù)業(yè)務(wù)應(yīng)用特點(diǎn)及平臺架構(gòu)層特性，應(yīng)用入侵檢測、入侵防御、防病毒網(wǎng)關(guān)、數(shù)據(jù)加密、身份認(rèn)證、安全存儲等安全技術(shù)，構(gòu)建面向應(yīng)用的縱深安全防御體系。電子政務(wù)外網(wǎng)平臺安全建設(shè)可從分析確定定級對象及安全等級、構(gòu)建安全保障體系、明確安全邊界、安全技術(shù)保障、安全運(yùn)維保障、安全制度保障、云計算環(huán)境下電子政務(wù)外網(wǎng)平臺安全保障幾方面考慮。

1.1 分析確定定級對象及安全等級

信息系統(tǒng)安全等級共分為五級，根據(jù)“中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局中國國家標(biāo)準(zhǔn)化管理委員會”的《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)定級指南（GB/T 22240-2008）》，結(jié)合國家相關(guān)行業(yè)標(biāo)準(zhǔn)規(guī)范，分析確定定級對象及安全等級。本文以構(gòu)建信息系統(tǒng)安全等級第三級標(biāo)準(zhǔn)安全建設(shè)進(jìn)行探討。

1.2 構(gòu)建安全保障體系

電子政務(wù)外網(wǎng)平臺安全保障可從安全技術(shù)保障、安全運(yùn)維保障、安全制度保障三個方面著手考慮，根據(jù)“中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局中國國家標(biāo)準(zhǔn)化管理委員會”的《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)定級基本要求（GB/T 22239-2008）》進(jìn)行建設(shè)。物理機(jī)傳統(tǒng)架構(gòu)下的電子政務(wù)外網(wǎng)平臺安全保障體系架構(gòu)如圖1所示。

1.3 明確安全邊界

1.3.1 安全邊界劃分原則

安全邊界劃分原則[1]如下所示：

（1）以保障電子政務(wù)外網(wǎng)平臺信息系統(tǒng)的業(yè)務(wù)、管理、控制數(shù)據(jù)處理活動、數(shù)據(jù)流的安全為根本出發(fā)點(diǎn)，保障平臺安全；

（2）每個安全域的信息資產(chǎn)價值相近，具有相同或相近的安全等級、安全環(huán)境、安全策略等；

（3）根據(jù)“信息安全等?！币螅W(wǎng)絡(luò)規(guī)劃時避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；

（4）根據(jù)《國家電子政務(wù)外網(wǎng)跨網(wǎng)數(shù)據(jù)安全交換技術(shù)要求與實施指南》，部署數(shù)據(jù)安全交換隔離系統(tǒng)，保障數(shù)據(jù)交換安全；

（5）對接入邊界進(jìn)行安全防護(hù)。

1.3.2 安全邊界劃分

電子政務(wù)外網(wǎng)平臺可劃分為DMZ區(qū)、內(nèi)部數(shù)據(jù)中心、互聯(lián)網(wǎng)出口區(qū)、安全及運(yùn)維管理區(qū)、邊界接入?yún)^(qū)五大區(qū)域。電子政務(wù)外網(wǎng)安全邊界劃分圖如圖2所示。

（1）DMZ區(qū)

DMZ區(qū)部署面向互聯(lián)網(wǎng)的業(yè)務(wù)系統(tǒng)，包括門戶網(wǎng)站、郵件服務(wù)等，應(yīng)根據(jù)實際需求部署相應(yīng)的安全策略。

（2）內(nèi)部數(shù)據(jù)中心

內(nèi)部數(shù)據(jù)中心區(qū)部署協(xié)同辦公等內(nèi)部應(yīng)用系統(tǒng)，可根據(jù)實際需求分為多個邏輯區(qū)域，如辦公業(yè)務(wù)區(qū)、測試區(qū)等，應(yīng)根據(jù)實際需求部署相應(yīng)安全策略。

（3）互聯(lián)網(wǎng)出口區(qū)

互聯(lián)網(wǎng)出口區(qū)為電子政務(wù)外網(wǎng)平臺互聯(lián)網(wǎng)接入邊界，與運(yùn)營商網(wǎng)絡(luò)直連。該區(qū)域直接面向互聯(lián)網(wǎng)出口區(qū)域，易被不法分子利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對系統(tǒng)硬件、軟件進(jìn)行攻擊，可在該區(qū)部署相應(yīng)的防火墻策略，并結(jié)合入侵防御、安全審計等技術(shù)提供立體的、全面的、有效的安全防護(hù)，允許合法用戶通過互聯(lián)網(wǎng)訪問電子政務(wù)外網(wǎng)。

（4）安全及運(yùn)維管理區(qū)

提供安全管理運(yùn)維服務(wù)，保障電子政務(wù)外網(wǎng)平臺的安全。提供統(tǒng)一網(wǎng)絡(luò)管控運(yùn)維服務(wù)，保障整網(wǎng)設(shè)備及業(yè)務(wù)系統(tǒng)信息正常運(yùn)行。

（5）邊界接入?yún)^(qū)

根據(jù)國家相關(guān)規(guī)范，對專網(wǎng)、企事業(yè)接入單位或其它系統(tǒng)接入電子政務(wù)外網(wǎng)時，應(yīng)在訪問邊界部署防火墻、入侵防御系統(tǒng)，與“政務(wù)云”實現(xiàn)物理邏輯隔離，進(jìn)行安全防護(hù)。

1.4 安全技術(shù)保障

采用傳統(tǒng)架構(gòu)的電子政務(wù)外網(wǎng)平臺技術(shù)安全保障可從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全五個方面進(jìn)行考慮，可通過部署相應(yīng)產(chǎn)品或配置服務(wù)進(jìn)行安全保障。

1.4.1 物理安全

物理安全主要涉及環(huán)境安全（防火、防水、防雷擊等）設(shè)備和介質(zhì)的防盜竊防破壞等。具體包括物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護(hù)等方面。該部分主要體現(xiàn)為機(jī)房及弱電的建設(shè)標(biāo)準(zhǔn)、規(guī)范，技術(shù)環(huán)節(jié)應(yīng)符合相關(guān)等級保護(hù)要求。

1.4.2 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全主要包括網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)邊界以及網(wǎng)絡(luò)設(shè)備自身安全等，具體包括結(jié)構(gòu)安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)七個方面，關(guān)鍵安全技術(shù)保障措施如下所示：

（1）劃分安全域，根據(jù)各安全域安全建設(shè)需求采用相應(yīng)的安全策略。

（2）通過合理部署IPS、防火墻對網(wǎng)絡(luò)進(jìn)行邊界隔離和訪問控制，并實現(xiàn)對網(wǎng)絡(luò)攻擊的實時監(jiān)測，即時中斷、調(diào)整或隔離一些不正?；蚓哂袀π缘木W(wǎng)絡(luò)行為。

（3）部署防DDoS攻擊設(shè)備，及時發(fā)現(xiàn)背景流量中各種類型的攻擊流量，針對攻擊類型迅速對攻擊流量進(jìn)行攔截，保證正常流量通過。

（4）可在互聯(lián)網(wǎng)出口處部署鏈路負(fù)載均衡設(shè)備，加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力、提高網(wǎng)絡(luò)的靈活性和可用性。

（5）采用上網(wǎng)行為管理、流量控制等設(shè)備，對網(wǎng)絡(luò)流量進(jìn)行實時監(jiān)控管理，實現(xiàn)員工對終端計算機(jī)的管理和控制，規(guī)范員工上網(wǎng)行為，提高工作效率，實現(xiàn)流量控制和帶寬管理，優(yōu)化網(wǎng)絡(luò)。

（6）對關(guān)鍵設(shè)備采用冗余設(shè)計，并在重要網(wǎng)段配置ACL策略以保障帶寬優(yōu)先級。

（7）采用安全審計技術(shù)，按照一定的安全策略，利用記錄、系統(tǒng)活動和用戶活動等信息，檢查、審查和檢驗操作事件的環(huán)境及活動，從而發(fā)現(xiàn)系統(tǒng)漏洞、入侵行為或改善系統(tǒng)性能。

1.4.3 主機(jī)、應(yīng)用安全

主機(jī)安全主要包括訪問控制、安全審計、剩余信息保護(hù)、惡意代碼防護(hù)等幾個方面。應(yīng)用安全主要包括身份鑒別、訪問控制、安全審計、抗抵賴性等幾方面，關(guān)鍵安全技術(shù)保障措施如下所示：

（1）惡意代碼可直接利用操作系統(tǒng)或應(yīng)用程序的漏洞進(jìn)行傳播，可部署惡意代碼監(jiān)測、病毒防護(hù)系統(tǒng)及漏洞掃描等系統(tǒng)，通過主動防御可有效阻止病毒的傳播，及時發(fā)現(xiàn)網(wǎng)絡(luò)、主機(jī)、應(yīng)用及數(shù)據(jù)庫漏洞并修復(fù)，保障電子政務(wù)外網(wǎng)平臺安全。

（2）利用身份認(rèn)證技術(shù)及訪問控制策略等技術(shù)保障主機(jī)應(yīng)用安全，不允許非預(yù)期客戶訪問。

（3）運(yùn)用審計技術(shù)保障主機(jī)應(yīng)用安全，實時收集和監(jiān)控信息系統(tǒng)狀態(tài)、安全事件、網(wǎng)絡(luò)活動，以便進(jìn)行集中報警、記錄、分析、處理。

（4）采用應(yīng)用負(fù)載均衡技術(shù)、操作系統(tǒng)用戶登錄等技術(shù)實現(xiàn)資源的優(yōu)化控制。

（5）可部署Web應(yīng)用防火墻、網(wǎng)頁防篡改等系統(tǒng)，做到事前主動防御，智能分析、屏蔽或阻斷對目錄中的網(wǎng)頁、電子文檔、圖片、數(shù)據(jù)庫等類型文件的非法篡改和破壞，保障系統(tǒng)業(yè)務(wù)的正常運(yùn)營，全方位保護(hù)Web應(yīng)用安全。

1.4.4 數(shù)據(jù)安全

數(shù)據(jù)安全主要包括數(shù)據(jù)的保密性、完整性及備份和恢復(fù)，關(guān)鍵安全技術(shù)保障措施如下所示：

（1）可對不同類型業(yè)務(wù)數(shù)據(jù)進(jìn)行物理上或邏輯上隔離，并建設(shè)數(shù)據(jù)交換與隔離系統(tǒng)以保障不同安全等級的網(wǎng)絡(luò)間的數(shù)據(jù)交換安全。

（2）采用雙因素認(rèn)證進(jìn)行數(shù)據(jù)訪問控制，不允許非預(yù)期客戶訪問，對違規(guī)操作實時審計報警。

（3）采用VPN、數(shù)據(jù)加密、消息數(shù)據(jù)簽名、摘要等技術(shù)對數(shù)據(jù)傳輸進(jìn)行加密，防止越權(quán)訪問機(jī)密信息或惡意篡改。

（4）采用數(shù)據(jù)庫冗余部署，防范數(shù)據(jù)丟失風(fēng)險，為業(yè)務(wù)系統(tǒng)穩(wěn)定運(yùn)行提供保障，可考慮建設(shè)同城或異地容災(zāi)。

（5）部署數(shù)據(jù)庫審計設(shè)備可在不影響被保護(hù)數(shù)據(jù)庫性能的情況下，對數(shù)據(jù)庫的操作實現(xiàn)跟蹤記錄、定位，實現(xiàn)數(shù)據(jù)庫的在線監(jiān)控，為數(shù)據(jù)庫系統(tǒng)的安全運(yùn)行提供了有力保障。

1.5 安全運(yùn)維保障

安全運(yùn)維保障可通過安全管理平臺，建立與安全工作相配套的集中管理手段，提供統(tǒng)一展現(xiàn)、統(tǒng)一告警、統(tǒng)一運(yùn)維流程處理等服務(wù)，可使管理人員快速準(zhǔn)確的掌握網(wǎng)絡(luò)整體運(yùn)行狀況，整體反映電子政務(wù)外網(wǎng)平臺安全問題，體現(xiàn)安全投資的價值，提高安全運(yùn)維管理水平。安全運(yùn)維管理平臺需考慮與安全各專項系統(tǒng)、網(wǎng)管系統(tǒng)和運(yùn)管系統(tǒng)之間以及上下級系統(tǒng)之間的接口。

1.6 安全制度保障

面對形形的安全解決方案，“三分技術(shù)、七分管理”。若僅有安全技術(shù)防護(hù)，而無嚴(yán)格的安全管理相配合，則難以保障網(wǎng)絡(luò)系統(tǒng)的運(yùn)行安全。系統(tǒng)必須有嚴(yán)密的安全管理體制來保證系統(tǒng)安全。安全制度保障可從安全管理組織、安全管理制度、安全管理手段等方面考慮，建立完善的應(yīng)急體制。

1.7 云計算環(huán)境下電子政務(wù)外網(wǎng)平臺的安全保障

云技術(shù)是基于云計算商業(yè)模式應(yīng)用的網(wǎng)絡(luò)技術(shù)、信息技術(shù)、整合技術(shù)、管理平臺技術(shù)、應(yīng)用技術(shù)等的總稱，可以組成資源池，按需所用，靈活便利。隨著時代的發(fā)展，云計算技術(shù)已變成信息系統(tǒng)主流基礎(chǔ)架構(gòu)支撐。由于云計算平臺重要支撐技術(shù)是采用虛擬化實現(xiàn)資源的邏輯抽象和統(tǒng)一表示，因此在云計算環(huán)境下進(jìn)行電子政務(wù)外網(wǎng)云平臺安全保障體系建設(shè)，僅僅采用傳統(tǒng)的安全技術(shù)是不夠的，除滿足上述物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全技術(shù)保障，運(yùn)維安全保障，安全制度保障需求之外，還應(yīng)考慮虛擬化帶來的新的安全風(fēng)險。云計算環(huán)境下電子政務(wù)外網(wǎng)云平臺安全保障體系如圖3所示。

1.8 虛擬化安全

當(dāng)前，云計算虛擬化安全技術(shù)還不成熟，對虛擬化的安全防護(hù)和保障技術(shù)測評則成為云環(huán)境等級保護(hù)的一大難題，主要涉及的安全包括虛擬機(jī)逃逸防范、虛擬機(jī)通信風(fēng)險、虛擬機(jī)管理平臺安全等方面?？刹扇∪缦掳踩Ｕ洗胧2]：

（1）將可信計算技術(shù)與虛擬化技術(shù)相結(jié)合，構(gòu)建可信的虛擬化平臺，形成完整的信任鏈；

（2）可建設(shè)分級訪問控制機(jī)制，根據(jù)分層分級原則制定訪問控制策略，實現(xiàn)對平臺中所有虛擬機(jī)的監(jiān)控管理，為數(shù)據(jù)的安全使用和訪問建立一道屏障；

（3）可通過虛擬防火墻、虛擬IPS、虛擬防病毒軟件或虛擬安全網(wǎng)關(guān)等技術(shù)實現(xiàn)虛擬機(jī)間的安全隔離。

2 SDS安全保障技術(shù)簡介

軟件定義安全（Software Defined Security，SDS）是從軟件定義網(wǎng)絡(luò)（Software Defined Network，SDN）延伸而來，將安全資源進(jìn)行池化，通過軟件進(jìn)行統(tǒng)一調(diào)度，以完成相應(yīng)的安全功能，實現(xiàn)靈活的安全防護(hù)。簡單來說，傳統(tǒng)的安全設(shè)備是單一防護(hù)軟件架構(gòu)在一臺硬件設(shè)備之上，通常串接或旁掛于網(wǎng)絡(luò)中，不僅將網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜化，對不同廠家的安全設(shè)備進(jìn)行統(tǒng)一管理的復(fù)雜度也較高，需單獨(dú)的物理安裝空間。而SDS可以將其看作一個軟件，靈活調(diào)配安全設(shè)備資源，實現(xiàn)靈活的網(wǎng)絡(luò)安全防護(hù)框架，方便調(diào)整。

3 結(jié) 語

在大數(shù)據(jù)時代下，SDS是順應(yīng)時展趨勢、簡化安全管理的訴求，但由于SDS應(yīng)用尚未完全成熟，仍需經(jīng)過實踐的檢驗。

參考文獻(xiàn)

第4篇：網(wǎng)絡(luò)安全等級劃分范文

信息安全是當(dāng)前的一個熱門話題。究其原因，其一是人們意識的提高，開始關(guān)心自己的和客戶的信息安全了，其二就是當(dāng)前普遍存在的問題是信息不安全。

數(shù)據(jù)顯示，全球每年由于安全事件的損失高達(dá)數(shù)百億美元，而這些安全事件中，由于管理缺乏所致的比例高達(dá)70%。

目前，保障信息安全有三個支柱，一個是技術(shù)、一個是管理、一個是法律法規(guī)。而我們?nèi)粘Ｌ峒靶畔踩珪r，多是在技術(shù)相關(guān)的領(lǐng)域，例如IDS技術(shù)、Firewall技術(shù)、Anti-Virus技術(shù)、加密技術(shù)、CA認(rèn)證技術(shù)等等。

其實，在安全領(lǐng)域，技術(shù)提供商在培育市場，同時國家的法律法規(guī)、有專門的部門在研究和制定推廣相關(guān)政策和標(biāo)準(zhǔn)的同時，必須劃分一個可以分級管理的區(qū)域，以實現(xiàn)信息安全認(rèn)證和管理的需要。

分級而治

信息安全等級保護(hù)是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護(hù)，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。

當(dāng)前，我國計算機(jī)信息系統(tǒng)的建設(shè)和使用正向互聯(lián)互通、信息共享的方向發(fā)展，特別是電子政務(wù)的快速發(fā)展，對信息系統(tǒng)的安全保護(hù)工作提出了前所未有的強(qiáng)烈需求。重要信息系統(tǒng)使用單位可根據(jù)其信息化建設(shè)工作的重要程度和自身安全需求，確定安全等級，選擇符合該級別要求的安全產(chǎn)品，并按照相關(guān)建設(shè)和管理的標(biāo)準(zhǔn)規(guī)范進(jìn)行安全建設(shè)和安全管理。實行信息安全產(chǎn)品分級認(rèn)證，有利于建立長效機(jī)制，保證信息安全工作穩(wěn)固、持久地進(jìn)行;也有利于在信息化建設(shè)過程中同步建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相協(xié)調(diào)。

實行信息安全產(chǎn)品分級認(rèn)證是推行等級保護(hù)的關(guān)鍵問題，對信息系統(tǒng)的安全建設(shè)起著至關(guān)重要的作用，關(guān)系到我國的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)是否足以應(yīng)對相應(yīng)級別的安全隱患。等級保護(hù)體系建立后，既要“一手要抓發(fā)展”，又要“一手要抓安全”，必須具備有效的、持續(xù)性的驗證方法，確保信息系統(tǒng)在不斷發(fā)展的同時保證符合安全等級要求，因此，開展分級認(rèn)證是實行等級保護(hù)的一項重要具體措施。

策略為先

根據(jù)信息和信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度；遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度；針對信息的保密性、完整性和可用性要求及信息系統(tǒng)必須要達(dá)到的基本的安全保護(hù)水平等因素，信息和信息系統(tǒng)的安全保護(hù)等級共分五級：

第一級為自主保護(hù)級，適用于一般的信息和信息系統(tǒng)，其受到破壞后，會對公民、法人和其他組織的權(quán)益有一定影響，但不危害國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益。

第二級為指導(dǎo)保護(hù)級，適用于一定程度上涉及國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益造成一定損害。

第三級為監(jiān)督保護(hù)級，適用于涉及國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息和信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益造成較大損害。

第四級為強(qiáng)制保護(hù)級，適用于涉及國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益造成嚴(yán)重?fù)p害。

第五級為專控保護(hù)級，適用于涉及國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益造成特別嚴(yán)重?fù)p害。

在2006年3月頒布的規(guī)則（試行）中，國家通過制定統(tǒng)一的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織行政機(jī)關(guān)、公民、法人和其他組織根據(jù)信息和信息系統(tǒng)的不同重要程度開展有針對性的保護(hù)工作。國家對不同安全保護(hù)級別的信息和信息系統(tǒng)實行不同強(qiáng)度的監(jiān)管政策。第一級依照國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù);第二級在信息安全監(jiān)管職能部門指導(dǎo)下依照國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù);第三級依照國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，信息安全監(jiān)管職能部門對其進(jìn)行監(jiān)督、檢查;第四級依照國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，信息安全監(jiān)管職能部門對其進(jìn)行強(qiáng)制監(jiān)督、檢查；第五級依照國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，國家指定專門部門、專門機(jī)構(gòu)進(jìn)行專門監(jiān)督。

同時，對于信息安全事件，也將實行分等級響應(yīng)、處置的制度。依據(jù)信息安全事件對信息和信息系統(tǒng)的破壞程度、所造成的社會影響以及涉及的范圍，確定事件等級。根據(jù)不同安全保護(hù)等級的信息系統(tǒng)中發(fā)生的不同等級事件制定相應(yīng)的預(yù)案，確定事件響應(yīng)和處置的范圍、程度以及適用的管理制度等。信息安全事件發(fā)生后，分等級按照預(yù)案響應(yīng)和處置。

網(wǎng)絡(luò)安全分級是重點(diǎn)

目前，相對于單一安全產(chǎn)品而言，網(wǎng)絡(luò)安全的控制認(rèn)證更具備管理的挑戰(zhàn)性。目前，在網(wǎng)絡(luò)技術(shù)的不斷發(fā)展中，NGN已經(jīng)成為電信網(wǎng)絡(luò)和互聯(lián)網(wǎng)共同演進(jìn)的方向，但同時也不可避免地成為網(wǎng)絡(luò)安全問題的主角。NGN內(nèi)容涵蓋廣泛，除了廣義的多業(yè)務(wù)運(yùn)營外，多種接入技術(shù)、復(fù)雜的智能終端，以及IP承載網(wǎng)的缺陷和運(yùn)營商不斷變化的組織結(jié)構(gòu)都給網(wǎng)絡(luò)安全帶來了更大的威脅。雖然NGN在世界范圍內(nèi)仍沒有大范圍商用的案例，但是作為通信業(yè)的新亮點(diǎn)，從現(xiàn)在開始設(shè)計完善的安全分級防護(hù)體系，防患于未然是完全必要的。

目前，在NGN網(wǎng)絡(luò)中，運(yùn)營商必須保證提供的各種業(yè)務(wù)的安全，可以把NGN系統(tǒng)設(shè)備，各種業(yè)務(wù)服務(wù)器歸屬于不同的安全域，不同的安全域?qū)?yīng)為不同的安全等級，安全等級的劃分保證了高級別安全域的系統(tǒng)設(shè)備與低等級系統(tǒng)的安全隔離。等級高的安全域可以訪問低等級的安全域，低等級的安全域不能直接訪問高等級的安全域，如果要訪問，必須經(jīng)過嚴(yán)格的狀態(tài)檢測。通常有如下兩種手段。

MPLSVPN保證核心網(wǎng)安全

通過采用MPLSVPN技術(shù)可以讓開放的IP網(wǎng)絡(luò)具有類似TDM的安全性。采用該技術(shù)構(gòu)建相對獨(dú)立的VPN網(wǎng)絡(luò)。這種方法可以在NGN的核心網(wǎng)絡(luò)使用，將整個IP網(wǎng)絡(luò)分成幾個不同的隔離空間：公共網(wǎng)絡(luò)、ISP、ASP、用戶網(wǎng)絡(luò)、業(yè)務(wù)子網(wǎng)等，使得非MPLSVPN內(nèi)的用戶無法訪問到NGN網(wǎng)絡(luò)中的設(shè)備，從而保證NGN網(wǎng)絡(luò)的安全。

IPSec保證接入安全

NGN網(wǎng)絡(luò)和用戶終端的信息包括控制信息和媒體信息?？刂菩畔⑸婕暗膮f(xié)議有H.248、MGCP、SIP和H.323。為了防止未授權(quán)的實體利用這些協(xié)議建立非法呼叫或干涉合法呼叫，需要對這些協(xié)議的傳輸建立安全機(jī)制。目前在IP網(wǎng)絡(luò)中廣泛推薦的是IPSec，用它對協(xié)議的傳輸提供安全保護(hù)。

第5篇：網(wǎng)絡(luò)安全等級劃分范文

關(guān)鍵字：二次防護(hù)、SIS、MIS、DCS、邊界隔離、第一平面、第二平面。

中圖分類號：TM621文獻(xiàn)標(biāo)識碼： A 文章編號：

0 引言

隨著計算機(jī)系統(tǒng)的迅猛發(fā)展，在電廠形成了一個復(fù)雜的計算機(jī)網(wǎng)絡(luò)：控制網(wǎng)絡(luò)、SIS網(wǎng)絡(luò)、MIS網(wǎng)絡(luò)，調(diào)度網(wǎng)絡(luò)等等。眾多的系統(tǒng)互連，內(nèi)部網(wǎng)絡(luò)開放，外部網(wǎng)絡(luò)接入，從而產(chǎn)生了信息系統(tǒng)網(wǎng)絡(luò)安全問題。如果網(wǎng)絡(luò)和數(shù)據(jù)的安全沒有保障，企業(yè)的重要信息就存在泄漏、被更改的危險。因此國家對電力數(shù)據(jù)網(wǎng)建設(shè)提出一系列規(guī)范與標(biāo)準(zhǔn)，形成一套非常嚴(yán)密、可靠的防御體系。本文在電力二次防護(hù)要求基礎(chǔ)上，對火電廠信息系統(tǒng)中可能存在的漏洞進(jìn)行分析，并提出相關(guān)安全加固措施，降低安全風(fēng)險，全面提高網(wǎng)絡(luò)的可靠性和對業(yè)務(wù)的保障能力。

1 SIS系統(tǒng)的二次防護(hù)總體要求

國家經(jīng)貿(mào)委在2002年6月8日頒布的《電網(wǎng)與電廠計算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)規(guī)定》第30號令別提出電力系統(tǒng)安全防護(hù)的基本原則：電力系統(tǒng)中，安全等級較高的系統(tǒng)不受安全等級較低系統(tǒng)的影響；電力監(jiān)控系統(tǒng)的安全等級高于電力管理信息系統(tǒng)及辦公自動化系統(tǒng)，各電力監(jiān)控系統(tǒng)必須具備可靠性高的自身安全防護(hù)設(shè)施，不得與安全等級低的系統(tǒng)直接相連；電力監(jiān)控系統(tǒng)必須實現(xiàn)物理層面上與公用信息網(wǎng)絡(luò)的安全隔離。

根據(jù)《電力二次系統(tǒng)安全防護(hù)規(guī)定》的要求，及各相關(guān)業(yè)務(wù)系統(tǒng)的重要程度、數(shù)據(jù)流程和安全要求，將典型電廠二次系統(tǒng)分為兩個大區(qū)：生產(chǎn)控制大區(qū)和管理信息大區(qū)。還部署了調(diào)度第一、第二平面接入網(wǎng)絡(luò)作為生產(chǎn)大區(qū)與省調(diào)度中心的連接專網(wǎng)。

1.1 生產(chǎn)控制大區(qū)

安全Ⅰ區(qū)：既實時生產(chǎn)過程控制區(qū)，用于監(jiān)控機(jī)組的安全生產(chǎn)運(yùn)行，執(zhí)行生產(chǎn)過程中各類設(shè)備的數(shù)據(jù)采集和直接控制。典型的控制系統(tǒng)有：DCS、TDM、煙氣脫硫、NCS、輔助控制等。其主要使用者為調(diào)度員和運(yùn)行操作人員。安全Ⅰ區(qū)是安全防護(hù)的重點(diǎn)與核心，安全等級極高。

安全Ⅱ區(qū)：既非實時控制生產(chǎn)區(qū)，用于監(jiān)視和采集實時數(shù)據(jù)，為控制決策和結(jié)算交易等提供依據(jù)，常見的Ⅱ區(qū)系統(tǒng)有SIS、ERTU、電力市場等。該區(qū)域安全等級低于Ⅰ區(qū)。

1.2 管理信息大區(qū)

該安全區(qū)Ⅳ中的業(yè)務(wù)系統(tǒng)或功能模塊的典型特征為：實現(xiàn)電力生產(chǎn)的管理功能，但不具備控制功能，不在線運(yùn)行，該區(qū)包括管理信息系統(tǒng)（MIS）、辦公自動化系統(tǒng)（OA）等，該區(qū)的外部通訊邊界為發(fā)電企業(yè)的廣域網(wǎng)路及internet。SIS鏡像服務(wù)器、WEB服務(wù)器也位于該區(qū)域，用于Ⅱ區(qū)的實時數(shù)據(jù)庫同步。

1.3 調(diào)度第一、第二平面接入網(wǎng)絡(luò)

國家電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)第二平面由2級自治域組成,由國調(diào)、網(wǎng)調(diào)、省調(diào)、地調(diào)節(jié)點(diǎn)組成骨干自治域(骨干網(wǎng)),由各級調(diào)度直調(diào)廠站組成相應(yīng)接入自治域(接入網(wǎng))。骨干網(wǎng)第一、第二平面在網(wǎng)絡(luò)層面上相對獨(dú)立,各接入網(wǎng)應(yīng)通過2點(diǎn)分別接入骨干網(wǎng)雙平面,形成獨(dú)立雙網(wǎng)、雙歸接入的網(wǎng)絡(luò)模式。各電廠通過兩套接入網(wǎng)絡(luò)分別接入第一、第二平面。

2 SIS系統(tǒng)安全防護(hù)

SIS系統(tǒng)通過橫向安全隔離裝置向位于Ⅳ區(qū)的廠級管理信息系統(tǒng)傳送數(shù)據(jù)，數(shù)據(jù)只能由Ⅰ區(qū)傳送至Ⅳ區(qū)。Ⅱ區(qū)需部署防病毒服務(wù)器和補(bǔ)丁升級服務(wù)器作為安全控制大區(qū)的殺毒介質(zhì)。因該系統(tǒng)嚴(yán)格與外網(wǎng)隔離，故Ⅰ區(qū)設(shè)備還須經(jīng)由Ⅰ區(qū)和Ⅱ區(qū)之間的隔離防火墻連接Ⅱ區(qū)安全服務(wù)器升級病毒庫和下載補(bǔ)丁，Ⅱ區(qū)的設(shè)備直接訪問安全服務(wù)器升級病毒庫和下載補(bǔ)丁。而安全服務(wù)器需通過調(diào)度網(wǎng)絡(luò)連接省調(diào)的服務(wù)器完成病毒庫升級和系統(tǒng)補(bǔ)丁升級。

由于SIS網(wǎng)絡(luò)可以完全隔絕來自外部系統(tǒng)的攻擊，因此系統(tǒng)安全方面的隱患主要來自系統(tǒng)本身的故障和輸入介質(zhì)（DVD光驅(qū)，軟盤）本身攜帶的病毒軟件，針對以上兩種安全隱患，設(shè)計了系統(tǒng)備份方案。根據(jù)二次防護(hù)的要求，在接口機(jī)與SIS實時/歷史數(shù)據(jù)庫之間設(shè)置了防火墻，從而保證了SIS應(yīng)用與接口機(jī)之間的安全。此外，采用訪問控制、身份認(rèn)證、入侵檢測等手段作為網(wǎng)絡(luò)安全的基本措施，防止各類計算機(jī)病毒的侵害、人為的破壞和SIS實時信息數(shù)據(jù)庫的數(shù)據(jù)丟失。

3 網(wǎng)絡(luò)安全防護(hù)

3.1 和控制網(wǎng)之間的安全防護(hù)

由于SIS網(wǎng)絡(luò)在物理上和控制網(wǎng)絡(luò)直接相連，因此必須設(shè)計完善的安全方案保證控制網(wǎng)絡(luò)的運(yùn)行不受SIS系統(tǒng)的影響。為此，我公司以下措施保證控制網(wǎng)絡(luò)的安全：

SIS系統(tǒng)只從控制系統(tǒng)讀取實時信息，不對控制系統(tǒng)進(jìn)行任何寫入的操作。

SIS系統(tǒng)只通過接口機(jī)和控制系統(tǒng)連接。接口機(jī)負(fù)責(zé)從控制系統(tǒng)中讀取數(shù)據(jù)并發(fā)送到全廠實時/歷史數(shù)據(jù)庫。SIS系統(tǒng)的其他部分（客戶端，服務(wù)器等）無法直接對控制系統(tǒng)進(jìn)行操作。

在接口機(jī)上安裝殺毒軟件，及時升級安全補(bǔ)丁，嚴(yán)格限制U盤的使用。

3.2 和調(diào)度網(wǎng)之間的安全防護(hù)

Ⅰ區(qū)與調(diào)度端有數(shù)據(jù)接口的二次系統(tǒng)包括：數(shù)據(jù)采集通信單元、功角測量裝置。他們通過雙鏈路連接到Ⅰ區(qū)的兩臺實時交換機(jī)上（一、二平面），交換機(jī)再連接各平面的縱向加密裝置，分別通過兩個數(shù)據(jù)網(wǎng)的接入路由器分別連接省調(diào)接入網(wǎng)和地調(diào)（網(wǎng)調(diào)）接入網(wǎng)的實時VPN子網(wǎng)。

Ⅱ區(qū)與調(diào)度端有數(shù)據(jù)接口的二次系統(tǒng)包括電能量計量系統(tǒng)、保護(hù)信息管理子站和指令下發(fā)系統(tǒng)等，他們通過雙鏈路連接到Ⅱ區(qū)的兩臺非實時交換機(jī)上（一、二平面），非實時交換機(jī)再連接各平面的防火墻，分別通過兩個數(shù)據(jù)網(wǎng)的接入路由器分別連接省調(diào)接入網(wǎng)和地調(diào)（網(wǎng)調(diào)）接入網(wǎng)的非實時VPN子網(wǎng)。

Ⅲ區(qū)主要運(yùn)行電廠與電力調(diào)度通信中心之間的運(yùn)行調(diào)度管理系統(tǒng)。只是通過路由器、防火墻、交換機(jī)與省調(diào)Ⅲ區(qū)連接，與其它區(qū)域之間無交互信息，用以實現(xiàn)管理信息區(qū)的相關(guān)業(yè)務(wù)與省調(diào)之間的互通。進(jìn)行安全隔離時可采用通用的隔離設(shè)備（如硬件防火墻等）。

3.3 和MIS網(wǎng)之間的安全防護(hù)

由于MIS系統(tǒng)和外部Internet網(wǎng)直接相聯(lián)，因此MIS網(wǎng)的受外界攻擊的概率較大，而SIS系統(tǒng)作為和生產(chǎn)控制系統(tǒng)直接相聯(lián)的生產(chǎn)管理系統(tǒng)，安全防護(hù)等級要高于MIS系統(tǒng)，為了保證SIS網(wǎng)的實時/歷史數(shù)據(jù)庫中的信息向上傳遞到MIS側(cè)，需要在MIS網(wǎng)和SIS網(wǎng)進(jìn)行數(shù)據(jù)交互的接口間設(shè)立數(shù)據(jù)單向傳遞的安全隔離裝置，采用南瑞公司生產(chǎn)的物理隔離器。SIS系統(tǒng)只從控制系統(tǒng)讀取實時信息，不對控制系統(tǒng)進(jìn)行任何寫入的操作。SIS系統(tǒng)只通過接口機(jī)和控制系統(tǒng)連接。接口機(jī)負(fù)責(zé)從控制系統(tǒng)中讀取數(shù)據(jù)并發(fā)送到全廠實時/歷史數(shù)據(jù)庫。SIS系統(tǒng)的其他部分（客戶端，服務(wù)器等）無法直接對控制系統(tǒng)進(jìn)行操作。根據(jù)二次防護(hù)的要求，在接口機(jī)與SIS實時/歷史數(shù)據(jù)庫之間設(shè)置了防火墻，從而保證了SIS應(yīng)用與接口機(jī)之間的安全。

4 其他安全加固措施

SIS系統(tǒng)只從控制系統(tǒng)讀取實時信息，不對控制系統(tǒng)進(jìn)行任何寫入的操作。

Ⅰ區(qū)網(wǎng)絡(luò)與Ⅱ區(qū)網(wǎng)絡(luò)地址分配不同網(wǎng)段，在防火墻做嚴(yán)格訪問控制策略。

在Ⅰ區(qū)的采集交換機(jī)上對各接口機(jī)劃分VLAN，將接口機(jī)地址分別設(shè)為不同網(wǎng)段，并做訪問控制，使各接口機(jī)間不能相互訪問。

在生產(chǎn)控制大區(qū)核心交換機(jī)上做地址綁定，限制其他設(shè)備接入網(wǎng)絡(luò)運(yùn)行。

關(guān)閉接口機(jī)與服務(wù)器系統(tǒng)中的不必要的服務(wù)和端口。

5 結(jié)語

通過以上對SIS系統(tǒng)安全防護(hù)的加固措施，使得SIS系統(tǒng)有了較為可靠的安全保證。

參考文獻(xiàn)：

[1]陳瑞華;馬蓮臺電廠SIS安全防護(hù)設(shè)計及實現(xiàn)[J];寧夏電力 2011年05期

第6篇：網(wǎng)絡(luò)安全等級劃分范文

1.1信息安全保護(hù)等級的劃分

此級別功能最全，除具備上述所有級別功能外，對系統(tǒng)加設(shè)了訪問驗證保護(hù)，以此不但記錄訪問者對系統(tǒng)的訪問歷史，還對訪問者的訪問權(quán)限進(jìn)行設(shè)置，確保信息被安全使用，保障信息不外泄。

1.2信息安全等級的劃分

對于一些需要特殊保護(hù)和隔離的信息系統(tǒng)，如我國的國防部、國家機(jī)關(guān)以及重點(diǎn)科研機(jī)構(gòu)等特殊機(jī)構(gòu)的信息系統(tǒng)，在進(jìn)行信息安全保護(hù)時，要嚴(yán)格按照國家頒布的關(guān)于信息安全等級保護(hù)的相關(guān)政策制度以及法律法規(guī)的規(guī)定要求對信息系統(tǒng)進(jìn)行等級保護(hù)。根據(jù)需被保護(hù)的信息的類別和價值的不同，通常其受到保護(hù)的安全等級也不同。此舉目的為在保護(hù)信息安全的同時降低運(yùn)作成本。

2信息安全等級保護(hù)的基本要求

信息安全等級保護(hù)的基本要求分為技術(shù)和管理兩大類。技術(shù)部分是要求在信息安全保護(hù)過程中采取安全技術(shù)措施，使系統(tǒng)具備對抗外來威脅和受到破壞后自我修復(fù)的能力，主要涉及到物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用安全和數(shù)據(jù)恢復(fù)功能等技術(shù)的應(yīng)用。管理部分是要求在信息系統(tǒng)的全部運(yùn)行環(huán)節(jié)中對各運(yùn)行環(huán)節(jié)采取控制措施。管理過程要求對制度、政策、人員和機(jī)構(gòu)都提出要求，涉及到安全保護(hù)等級管理、工程建設(shè)管理、系統(tǒng)的運(yùn)行與維護(hù)管理以及應(yīng)急預(yù)案管理等管理環(huán)節(jié)。

3信息安全等級保護(hù)的方法

3.1信息安全等級保護(hù)流程

信息安全等級保護(hù)涉及到多個環(huán)節(jié)，需要各相關(guān)部門共同參與，合力完成。安全等級保護(hù)的環(huán)節(jié)大體上分為以下九步：（1）確定系統(tǒng)等級作為實現(xiàn)信息等級保護(hù)的前提，確定信息系統(tǒng)的安全保護(hù)等級是必不可缺的步驟。用戶要嚴(yán)格按照國家規(guī)范標(biāo)準(zhǔn)給所使用的信息系統(tǒng)科學(xué)確定等級。（2）等級審批信息系統(tǒng)主管部門對信息系統(tǒng)的安全等級進(jìn)行審批調(diào)整，但調(diào)整時要按照規(guī)定，只能將等級調(diào)高。（3）確定安全需求信息系統(tǒng)的安全需求可反映出該等級的信息系統(tǒng)普遍存在的安全需求。信息系統(tǒng)在確定安全需求時要依賴該系統(tǒng)的安全等級，但因為信息系統(tǒng)普遍存在可變性，因此用戶在確定安全需求時還要根據(jù)自身實際情況確定自己系統(tǒng)的安全需求。（4）制定安保方案當(dāng)信息系統(tǒng)的等級和安全需求確定后，針對已掌握情況制定出包括技術(shù)安全和管理安全在內(nèi)的最佳安全保護(hù)方案。（5）安全產(chǎn)品選型安全產(chǎn)品的選擇直接決定了安全保護(hù)工作是否能夠成功實現(xiàn)。因此在安全產(chǎn)品的選擇過程中，不僅要對產(chǎn)品的可信度和功能進(jìn)行認(rèn)真審查，還要求國家相關(guān)部門監(jiān)管產(chǎn)品的使用情況。（6）安全測評測評的目的在于確定系統(tǒng)安全保護(hù)的實現(xiàn)，以保證信息安全。若測評不能達(dá)到預(yù)期目標(biāo)，要及時進(jìn)行重新調(diào)整。（7）等級備案安全保護(hù)等級在三級以上的信息系統(tǒng)，其用戶和運(yùn)營商需要向地市級以上公安機(jī)關(guān)備案。跨地域的信息系統(tǒng)的備案由其主管部門在當(dāng)?shù)赝壒矙C(jī)關(guān)完成，分系統(tǒng)的備案由其用戶和運(yùn)營商完成。（8）監(jiān)督管理信息系統(tǒng)的監(jiān)管工作主要是監(jiān)督安全產(chǎn)品的使用情況，并對測評機(jī)構(gòu)和信息系統(tǒng)的登記備案進(jìn)行監(jiān)管。（9）運(yùn)行維護(hù)該環(huán)節(jié)主要目的在于通過運(yùn)行確定系統(tǒng)的信息安全，還可以重新確定對產(chǎn)生變化的信息系統(tǒng)的安全保護(hù)等級。以上環(huán)節(jié)在實現(xiàn)信息系統(tǒng)的安全等級保護(hù)過程中極其重要，不可跨環(huán)節(jié)、漏環(huán)節(jié)操作。

3.2信息安全等級保護(hù)的方法

信息安全等級保護(hù)分為物理安全保護(hù)和網(wǎng)絡(luò)系統(tǒng)安全保護(hù)兩類。對于物理安全保護(hù)，又分為必要考慮和需要考慮兩個安全層面。對于必要考慮的物理安全方面：對于主機(jī)房等場所設(shè)施來說，要做好安全防范工作。采用先進(jìn)的技術(shù)設(shè)備做到室內(nèi)監(jiān)控、使用用戶信息登記、以及自動報警系統(tǒng)等。記錄用戶及其訪問情況，方便隨時查看。對于需要考慮的物理安全方面：對于主機(jī)房以及重要信息存儲設(shè)備來說，要通過采用多路電源同時接入的方式保障電源的可持續(xù)供給，謹(jǐn)防因斷電給入侵者制造入侵的機(jī)會。根據(jù)安全保護(hù)對象的不同，有不同的保護(hù)方法。具體方法如下：（1）已確定安全等級系統(tǒng)的安全保護(hù)對于全系統(tǒng)中同一安全等級的信息系統(tǒng)，對于任何部分、任何信息都要按照國家標(biāo)準(zhǔn)采取統(tǒng)一安全保護(hù)方法給其設(shè)計完整的安全機(jī)制。對于不同安全等級的分系統(tǒng)，對其上不同的部分及信息按照不同的安全要求設(shè)計安全保護(hù)。（2）網(wǎng)絡(luò)病毒的防范方法計算機(jī)病毒嚴(yán)重威脅到計算機(jī)網(wǎng)絡(luò)安全，所以防范病毒的入侵在信息系統(tǒng)安全保護(hù)過程中是非常重要的步驟。運(yùn)用防火墻機(jī)制阻擋病毒入侵，或者給程序加密、監(jiān)控系統(tǒng)運(yùn)行情況、設(shè)置訪問權(quán)限，判斷是否存在病毒入侵，及時發(fā)現(xiàn)入侵的病毒并予以清除，保障計算機(jī)信息系統(tǒng)的安全。（3）漏洞掃描與修復(fù)方法系統(tǒng)存在漏洞是系統(tǒng)的安全隱患，不法分子常會利用系統(tǒng)中的漏洞對系統(tǒng)進(jìn)行攻擊破壞。因此要經(jīng)常對計算機(jī)進(jìn)行全面的漏洞掃描，找出系統(tǒng)中存在的漏洞并及時修復(fù)漏洞，避免給不法分子留下入侵機(jī)會。漏洞的修復(fù)分為系統(tǒng)自動修復(fù)和人工手動修復(fù)兩種，由于多種原因，絕對完善的系統(tǒng)幾乎不存在，因此要定期對系統(tǒng)進(jìn)行漏洞掃描修復(fù)，確保系統(tǒng)的安全。

4結(jié)束語

第7篇：網(wǎng)絡(luò)安全等級劃分范文

鐵路投產(chǎn)運(yùn)行的信息系統(tǒng)很多，有的系統(tǒng)按照等級保護(hù)要求確定了安全等級并建立了安全系統(tǒng)；有的系統(tǒng)在設(shè)計中考慮了安全等級，但在建設(shè)過程中并未按設(shè)計要求實施安全方案；還有的系統(tǒng)沒有考慮安全措施。針對鐵路信息系統(tǒng)投產(chǎn)運(yùn)行后的實際情況，鐵路總公司有必要組織內(nèi)外部測評隊伍，根據(jù)國家和總公司對信息安全的建設(shè)要求，對信息系統(tǒng)開展技術(shù)和管理兩方面的現(xiàn)狀評估，檢查信息系統(tǒng)在物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全以及安全管理上與相應(yīng)安全等級標(biāo)準(zhǔn)的差距，進(jìn)行差距分析，提出建設(shè)整改意見。

2安全等級測評

在信息系統(tǒng)等級保護(hù)安全建設(shè)完成和投產(chǎn)之前，首先組織內(nèi)部測評隊伍對安全建設(shè)情況進(jìn)行效果測評，發(fā)現(xiàn)不符合性提出整改建議。內(nèi)部測評結(jié)束及整改驗收后，再聘請有第三方測評資質(zhì)的測評機(jī)構(gòu)進(jìn)行等級測評，驗證與國家及行業(yè)等級保護(hù)標(biāo)準(zhǔn)的符合性。通過總公司內(nèi)部和專業(yè)測評機(jī)構(gòu)的兩級測評，可有效地推進(jìn)國家及行業(yè)信息安全標(biāo)準(zhǔn)在全路的落實完善。按照GB/T22239-2008《信息安全技術(shù)—信息系統(tǒng)安全等級保護(hù)基本要求》中的等級測評要求，信息系統(tǒng)在運(yùn)行過程中，等級保護(hù)測評工作要定期開展，其中三級系統(tǒng)每年要測評一次，四級系統(tǒng)每半年要測評一次。根據(jù)該要求，結(jié)合每年鐵路安全大檢查工作的需要，制定每年的安全大檢查計劃，組織內(nèi)外部專業(yè)測評隊伍，對三級及以上的信息系統(tǒng)開展安全等級測評工作。

3安全建設(shè)整改

3.1機(jī)房物理環(huán)境整改

按照《鐵路行業(yè)信息機(jī)房設(shè)計及建設(shè)規(guī)范》、《鐵路行業(yè)信息機(jī)房管理規(guī)范》的要求，完善機(jī)房環(huán)境、設(shè)備管理、電源管理、安全管理和資料管理，并從防雷、防火、防水、防靜電、防盜竊、防破壞、電力供應(yīng)、機(jī)房電源及環(huán)境監(jiān)控等方面對機(jī)房環(huán)境進(jìn)行改造。

3.2安全域劃分

按照《鐵路行業(yè)信息系統(tǒng)安全體系總體設(shè)計方案》，根據(jù)信息系統(tǒng)的安全等級，采用交換機(jī)劃分VLAN、設(shè)置訪問控制策略、部署防火墻等技術(shù)措施對信息系統(tǒng)進(jìn)行安全域劃分。

3.3邊界網(wǎng)絡(luò)防護(hù)

明確總公司信息網(wǎng)絡(luò)、業(yè)務(wù)專網(wǎng)和互聯(lián)網(wǎng)的網(wǎng)絡(luò)邊界，對網(wǎng)絡(luò)邊界部署內(nèi)、外部網(wǎng)絡(luò)訪問控制策略、入侵檢測等多項防護(hù)措施，并加強(qiáng)網(wǎng)絡(luò)邊界的監(jiān)測。

3.4主機(jī)安全加固

遵照《鐵路行業(yè)信息系統(tǒng)安全加固實施指南》，通過配置安全策略、安裝安全補(bǔ)丁、修補(bǔ)系統(tǒng)漏洞、強(qiáng)化身份鑒別等方法對各類主機(jī)設(shè)備的操作系統(tǒng)、數(shù)據(jù)庫、中間件等及時進(jìn)行策略配置和加固。

3.5應(yīng)用及數(shù)據(jù)安全防護(hù)

依照國家和行業(yè)標(biāo)準(zhǔn)，從用戶身份認(rèn)證、訪問控制、數(shù)據(jù)加密、容錯能力、日志審計等方面進(jìn)行應(yīng)用系統(tǒng)安全改造和建設(shè)。在數(shù)據(jù)安全防護(hù)方面，采用有效的數(shù)據(jù)備份策略對重要數(shù)據(jù)進(jìn)行定期和增量備份，采用安全移動存儲介質(zhì)進(jìn)行必要的數(shù)據(jù)交換。

3.6強(qiáng)化信息安全隊伍建設(shè)

從安全管理、運(yùn)行、監(jiān)督、技術(shù)支持等方面加強(qiáng)行業(yè)內(nèi)信息安全隊伍建設(shè)，確保安全責(zé)任落實。做好總公司、鐵路局兩級和一線服務(wù)、二線運(yùn)維、三線技術(shù)支持安全運(yùn)維服務(wù)隊伍，負(fù)責(zé)各系統(tǒng)日常安全運(yùn)行維護(hù)工作。

3.7完善信息安全管理工作

為切實做好信息安全管理工作，總公司需要結(jié)合信息安全管理體系建設(shè)項目，以等級保護(hù)為抓手，將等級保護(hù)與信息安全日常管理緊密結(jié)合，將信息安全管理全面納入鐵路運(yùn)輸安全生產(chǎn)管理體系，按照“誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)”和屬地化管理原則，逐級落實信息安全責(zé)任，建立與總公司信息化發(fā)展相適應(yīng)的信息安全監(jiān)督機(jī)制、應(yīng)急機(jī)制、故障通報與處理機(jī)制、事件責(zé)任追究機(jī)制和風(fēng)險管理機(jī)制?？偣驹诩訌?qiáng)信息系統(tǒng)建設(shè)管理方面，需制定一系列的規(guī)章制度，包括《鐵路行業(yè)信息系統(tǒng)上下線管理規(guī)范》和《鐵路行業(yè)計算機(jī)應(yīng)用軟件通用安全要求》等，明確系統(tǒng)定級備案、方案設(shè)計、產(chǎn)品采購使用、密碼使用、軟件開發(fā)、驗收交付、等級測評、安全服務(wù)等管理內(nèi)容。

4安全措施落實

4.1建立鐵路信息系統(tǒng)安全技術(shù)體系

研究建立“一個中心（安全管理中心），三重防護(hù)（計算環(huán)境、區(qū)域邊界、信息網(wǎng)絡(luò)）”的鐵路信息系統(tǒng)安全縱深防護(hù)和主動防御的技術(shù)體系，按總公司、鐵路局、站段三級管理模式和信息系統(tǒng)運(yùn)輸生產(chǎn)專網(wǎng)、內(nèi)部服務(wù)網(wǎng)、外部服務(wù)網(wǎng)三網(wǎng)的特點(diǎn)，實現(xiàn)運(yùn)輸組織及客貨營銷類信息系統(tǒng)“分級分區(qū)、專網(wǎng)專用、橫向隔離、縱向認(rèn)證”的安全策略，經(jīng)營管理類信息系統(tǒng)“三級獨(dú)立成域、主動防御、內(nèi)外兼防”的安全策略。

4.2建設(shè)鐵路信息安全綜合管理平臺

鐵路信息安全綜合管理平臺是為總公司及下屬單位開展與信息安全管理相關(guān)工作的綜合工作平臺，功能將覆蓋總公司及其下屬單位的信息安全管理工作的主要內(nèi)容，并支持公安部等級保護(hù)管理工作。平臺主要提供以下3類功能：

（1）以信息系統(tǒng)定級、備案、整改、測評和檢查等規(guī)定步驟為主線，實現(xiàn)等級保護(hù)工作任務(wù)的下發(fā)、執(zhí)行、進(jìn)度監(jiān)控和督辦；

（2）風(fēng)險管理、應(yīng)急管理、安全檢查和事故通報等專項管理功能；

（3）日常辦公的綜合管理、培訓(xùn)教育、標(biāo)準(zhǔn)管理等。

4.3建設(shè)鐵路信息安全一體化運(yùn)行監(jiān)控平臺

鐵路信息安全一體化運(yùn)行監(jiān)控平臺是集綜合網(wǎng)管、應(yīng)用防護(hù)、IT運(yùn)維、機(jī)房監(jiān)控為一體的信息系統(tǒng)安全運(yùn)行監(jiān)控管理平臺，實現(xiàn)網(wǎng)絡(luò)監(jiān)控、主機(jī)監(jiān)控、機(jī)房監(jiān)控、邊界防御、桌面終端安全的全方位監(jiān)控功能。

4.4開展國產(chǎn)化和自主可控技術(shù)研究

在信息安全越來越重視國產(chǎn)化的大技術(shù)背景下，開展鐵路行業(yè)的信息安全國產(chǎn)化和自主可控技術(shù)的研究尤為重要。在國產(chǎn)化方面，緊緊圍繞鐵路網(wǎng)絡(luò)安全自主可控戰(zhàn)略目標(biāo)，根據(jù)國產(chǎn)產(chǎn)品成熟情況，結(jié)合鐵路業(yè)務(wù)發(fā)展、業(yè)務(wù)需求，按照“統(tǒng)籌規(guī)劃、分步實施，應(yīng)用牽引、平臺重構(gòu)，項目推動、政策保障”的工作思路，采取“直接采用、對等替換、平臺替換”技術(shù)策略，進(jìn)行信息系統(tǒng)國產(chǎn)化改造和構(gòu)建鐵路信息安全等級保護(hù)技術(shù)體系的積極探索。在自主可控方面，通過統(tǒng)一標(biāo)準(zhǔn)、自主研發(fā)、自主實施、產(chǎn)權(quán)管理、風(fēng)險評估、安全測評、安全管控、安全巡檢等手段實現(xiàn)信息系統(tǒng)全生命周期各階段的安全可控。

4.5開展基于云計算的安全技術(shù)探索

云計算已成為信息技術(shù)的重要發(fā)展方向，建立鐵路云應(yīng)用平臺將對鐵路信息化應(yīng)用技術(shù)產(chǎn)生深遠(yuǎn)影響。云計算環(huán)境下的信息安全問題是信息安全技術(shù)領(lǐng)域面臨的一個新課題，在開展鐵路云應(yīng)用平臺研究的同時，同步開展云安全應(yīng)用技術(shù)的研究和探索，使基于云計算的鐵路應(yīng)用平臺在設(shè)計、建設(shè)、投產(chǎn)3個環(huán)節(jié)將信息安全同步納入。

4.6建立鐵路信息安全評測體系與技術(shù)督查體系

采用安全檢查、風(fēng)險評估、內(nèi)外評測、安全運(yùn)維等管理和技術(shù)手段，建立有效的安全測評與技術(shù)督查體系。通過在重要時間節(jié)點(diǎn)（如春運(yùn)、暑運(yùn)等）開展安全檢查和自查工作，使路局、站段管理人員保持安全意識；按照等級保護(hù)標(biāo)準(zhǔn)要求定期開展風(fēng)險評估、等級評測等工作，確保等級保護(hù)安全手段能貫穿重要信息系統(tǒng)的始終；通過完善鐵路兩級三線安全運(yùn)維服務(wù)體系，建立總公司、鐵路局兩級信息安全技術(shù)督查工作機(jī)制，將信息安全技術(shù)和管理有機(jī)結(jié)合起來，實現(xiàn)安全管理、運(yùn)維、督辦相輔相成、相互監(jiān)督的局面。

4.7等級保護(hù)示范工程仿真實驗環(huán)境及試點(diǎn)工程建設(shè)

第8篇：網(wǎng)絡(luò)安全等級劃分范文

1數(shù)據(jù)信息安全威脅信息數(shù)據(jù)

面臨的安全威脅來自于多個方面，有通過病毒、非授權(quán)竊取來破壞數(shù)據(jù)保密性的安全威脅，有因為操作系統(tǒng)故障、應(yīng)用系統(tǒng)故障等導(dǎo)致的破壞數(shù)據(jù)完整性的安全威脅，有因為硬盤故障、誤操作等導(dǎo)致的破壞數(shù)據(jù)可用性的安全威脅，還有因為病毒威脅、非授權(quán)篡改導(dǎo)致的破壞數(shù)據(jù)真實性的安全威脅，這些潛在的安全威脅將會導(dǎo)致信息數(shù)據(jù)被刪除、破壞、篡改甚至被竊取，給公共衛(wèi)生行業(yè)帶來無法彌補(bǔ)的損失。

2安全管理缺失公共衛(wèi)生行業(yè)

在信息化建設(shè)工作中，如果存在重應(yīng)用、輕安全的現(xiàn)象，在IT系統(tǒng)建設(shè)過程中沒有充分考慮信息安全的科學(xué)規(guī)劃，將導(dǎo)致后期信息安全建設(shè)和管理工作比較被動，業(yè)務(wù)的發(fā)展及信息系統(tǒng)的建設(shè)與信息安全管理建設(shè)不對稱；或由于重視信息安全技術(shù)，輕視安全管理，雖然采用了比較先進(jìn)的信息安全技術(shù)，但相應(yīng)的管理措施不到位，如病毒庫不及時升級、變更管理松懈、崗位職責(zé)不清、忽視數(shù)據(jù)備份等現(xiàn)象普遍存在，很有可能會導(dǎo)致本不應(yīng)該發(fā)生的信息安全事件發(fā)生。

二分析問題產(chǎn)生的主要原因

1經(jīng)費(fèi)投入不足導(dǎo)致的安全防范技術(shù)

薄弱許多公共衛(wèi)生機(jī)構(gòu)的信息化基礎(chǔ)設(shè)施和軟硬件設(shè)備，都是在2003年SARS疫情爆發(fā)以后國家投入建設(shè)的，運(yùn)行至今，很多省級以下的公共衛(wèi)生單位由于領(lǐng)導(dǎo)認(rèn)識不足或經(jīng)費(fèi)所限，只重視疾病防控能力和實驗室檢驗檢測能力的建設(shè)，而忽視了對公共衛(wèi)生信息化的投入，很少將經(jīng)費(fèi)用于信息化建設(shè)和信息安全投入，信息化基礎(chǔ)設(shè)施陳舊、軟硬件設(shè)備老化，信息安全防范技術(shù)比較薄弱，因網(wǎng)絡(luò)設(shè)備損壞、服務(wù)器宕機(jī)等故障或無入侵檢測、核心防火墻等安全防護(hù)設(shè)備，導(dǎo)致信息數(shù)據(jù)丟失、竊取的現(xiàn)象時有發(fā)生，嚴(yán)重影響了重要信息數(shù)據(jù)的保密性、完整性和安全性，一旦發(fā)生信息安全事件后果將不堪設(shè)想。

2專業(yè)技術(shù)人才缺乏

建設(shè)信息化、發(fā)展信息化最大的動力資源是掌握信息化的專業(yè)技術(shù)人才，人才的培養(yǎng)是行業(yè)信息化高速發(fā)展的基礎(chǔ)，然而，公共衛(wèi)生行業(yè)的人才梯隊主要以疾病控制、醫(yī)學(xué)檢驗專業(yè)為主，信息化、信息安全專業(yè)技術(shù)人才缺乏，隊伍力量薄弱，不能很好地利用現(xiàn)有的計算機(jī)軟硬件設(shè)備，也很難對本單位現(xiàn)有的信息化、信息安全現(xiàn)狀進(jìn)行有效的評估，缺乏制定本行業(yè)長期、可持續(xù)信息化建設(shè)發(fā)展規(guī)劃的能力，這也是制約公共衛(wèi)生行業(yè)信息化發(fā)展的重要因素。

3信息安全培訓(xùn)不足

職工安全保密意識不強(qiáng)信息安全是一項全員參與的工作，它不僅是信息化管理部門的本職工作，更是整個公共衛(wèi)生行業(yè)的重要工作職責(zé)，很多單位沒有將信息安全培訓(xùn)放在重要位置，沒有定期開展信息安全意識教育培訓(xùn)，許多職工對網(wǎng)絡(luò)安全不夠重視，缺乏網(wǎng)絡(luò)安全意識，隨意接收、下載、拷貝未知文件，沒有查殺病毒、木馬的習(xí)慣，經(jīng)常有意無意的傳播病毒，使得單位網(wǎng)絡(luò)系統(tǒng)經(jīng)常遭受ARP、宏病毒等病毒木馬的攻擊，嚴(yán)重影響了單位網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行；同時，許多職工對于單位的移動介質(zhì)缺乏規(guī)范化管理意識，隨意將拷貝有信息的移動硬盤、優(yōu)盤等介質(zhì)帶出單位，在其他聯(lián)網(wǎng)的計算機(jī)上使用，信息容易失竊，存在非常嚴(yán)重的信息安全隱患。

三如何促進(jìn)公共衛(wèi)生行業(yè)計算機(jī)網(wǎng)絡(luò)安全性提升

1強(qiáng)化管理

建立行業(yè)計算機(jī)網(wǎng)絡(luò)安全管理制度為了確保整個計算機(jī)網(wǎng)絡(luò)的安全有效運(yùn)行，建立出一套既符合本行業(yè)工作實際的，又滿足網(wǎng)絡(luò)實際安全需要的、切實可行的安全管理制度勢在必行。主要包括以下三方面的內(nèi)容：

1.1成立信息安全管理機(jī)構(gòu)

引進(jìn)信息安全專業(yè)技術(shù)人才，結(jié)合單位開展的工作特點(diǎn)，從管理、安全等級保護(hù)、安全防范、人員管理等方面制定統(tǒng)管全局的網(wǎng)絡(luò)安全管理規(guī)定。

1.2制定信息安全知識培訓(xùn)制度

定期開展全員信息安全知識培訓(xùn)，讓全體員工及時了解計算機(jī)網(wǎng)絡(luò)安全知識最新動態(tài)，結(jié)合信息安全事件案列，進(jìn)一步強(qiáng)化職工對信息安全保密重要性的認(rèn)識。同時，對信息技術(shù)人員進(jìn)行專業(yè)知識和操作技能的培訓(xùn)，培養(yǎng)一支具有安全管理意識的隊伍，提高應(yīng)對各種網(wǎng)絡(luò)安全攻擊破壞的能力。

1.3建立信息安全監(jiān)督檢查機(jī)制

開展定期或不定期內(nèi)部信息安全監(jiān)督檢查，同時將信息安全檢查納入單位季度、年度綜合目標(biāo)責(zé)任制考核體系，檢查結(jié)果直接與科室和個人的獎勵績效工資、評先評優(yōu)掛鉤，落實獎懲機(jī)制，懲防并舉，確保信息安全落實無死角。

2開展信息安全等級保護(hù)

建設(shè)開展信息安全等級保護(hù)建設(shè)，通過對公共衛(wèi)生行業(yè)處理、存儲重要信息數(shù)據(jù)的信息系統(tǒng)實行分等級安全保護(hù)，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置，建立健全信息安全應(yīng)急機(jī)制，定期對信息系統(tǒng)安全等級保護(hù)建設(shè)情況進(jìn)行測評，存在問題及時整改，從制度落實、安全技術(shù)防護(hù)、應(yīng)急處置管理等各個方面，進(jìn)一步提高公共衛(wèi)生行業(yè)信息安全的防護(hù)能力、應(yīng)急處置能力和安全隱患發(fā)現(xiàn)能力。

3加強(qiáng)網(wǎng)絡(luò)安全技術(shù)防范

隨著信息技術(shù)的高速發(fā)展，信息網(wǎng)絡(luò)安全需要依托防火墻、入侵檢測、VPN等安全防護(hù)設(shè)施，充分運(yùn)用各個軟硬件網(wǎng)絡(luò)安全技術(shù)特點(diǎn)，建立安全策略層、用戶層、網(wǎng)絡(luò)與信息資源層和安全服務(wù)層4個層次的網(wǎng)絡(luò)安全防護(hù)體系，全面增強(qiáng)網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性。

3.1防火墻技術(shù)

防火墻技術(shù)在公共衛(wèi)生行業(yè)網(wǎng)絡(luò)安全建設(shè)體系中發(fā)揮著重要的作用，按照結(jié)構(gòu)和功能通常劃分為濾防火墻、應(yīng)用防火墻和狀態(tài)檢測防火墻三種類型，一般部署在核心網(wǎng)絡(luò)的邊緣，將內(nèi)部網(wǎng)絡(luò)與Internet之間或者與其他外部網(wǎng)絡(luò)互相隔離，有效地記錄Internet上的活動，將網(wǎng)絡(luò)中不安全的服務(wù)進(jìn)行有效的過濾，并嚴(yán)格限制網(wǎng)絡(luò)之間的互相訪問，從而提高網(wǎng)絡(luò)的防毒能力和抗攻擊能力，確保內(nèi)部網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行。

3.2入侵檢測

入侵檢測是防火墻的合理補(bǔ)充，是一種對網(wǎng)絡(luò)傳輸進(jìn)行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備，檢測方法包括基于專家系統(tǒng)入侵檢測方法和基于神經(jīng)網(wǎng)絡(luò)的入侵檢測方法兩種，利用入侵檢測系統(tǒng)，能夠迅速及時地發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象，幫助系統(tǒng)對付內(nèi)部攻擊和外部網(wǎng)絡(luò)攻擊，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵，在安全審計、監(jiān)視、進(jìn)攻識別等方面進(jìn)一步擴(kuò)展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

3.3虛擬專用網(wǎng)絡(luò)（VPN）技術(shù)

VPN技術(shù)因為低成本、高度靈活的特點(diǎn)，在很多行業(yè)信息化建設(shè)中被廣泛應(yīng)用，公共衛(wèi)生行業(yè)也有很多信息系統(tǒng)都是基于VPN進(jìn)行數(shù)據(jù)傳輸?shù)?，如中國疾病預(yù)防控制信息系統(tǒng)等，通過在公用網(wǎng)絡(luò)上建立VPN，利用VPN網(wǎng)關(guān)將數(shù)據(jù)包進(jìn)行加密和目標(biāo)地址轉(zhuǎn)換，以實現(xiàn)遠(yuǎn)程訪問。VPN技術(shù)實現(xiàn)方式目前運(yùn)用的主要有MPLS、IPSEC和SSL三種類型，中國疾病預(yù)防控制信息系統(tǒng)VPN鏈路網(wǎng)絡(luò)采用的就是IPSECVPN模式，利用VPN鏈路隧道，實現(xiàn)國家到省、市、縣四級的互聯(lián)互通和數(shù)據(jù)傳輸共享。VPN通過使用點(diǎn)到點(diǎn)協(xié)議用戶級身份驗證的方法進(jìn)行驗證，將高度敏感的數(shù)據(jù)地址進(jìn)行物理分隔，只有授權(quán)用戶才能與VPN服務(wù)器建立連接，進(jìn)行遠(yuǎn)程訪問，避免非授權(quán)用戶接觸或竊取重要數(shù)據(jù)，為用戶信息提供了很高的安全性保護(hù)。

四結(jié)語

第9篇：網(wǎng)絡(luò)安全等級劃分范文

關(guān)鍵詞信息系統(tǒng)；安全；保障體系；技術(shù)；信息技術(shù)基礎(chǔ)設(shè)施

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1671-7597（2013）14-0137-02

油服信息技術(shù)應(yīng)用與集中程度的不斷深入提高，信息安全保障體系建設(shè)工作已成為信息化建設(shè)過程中的重要組成部分。油服具有地域分布廣、業(yè)務(wù)復(fù)雜多樣等特點(diǎn)，在信息安全形勢多變的情況下，獨(dú)立分散的安全措施已無法更好地滿足安全防護(hù)需求。信息安全若不能得到很好的保障，將給公司的業(yè)務(wù)正常運(yùn)作及辦公穩(wěn)定性、高效性和有效性帶來影響。因此，需完善公司的信息安全政策方針、規(guī)劃并建立符合油服實際情況的信息安全保障體系，采用先進(jìn)的安全管理過程模式，完善信息安全管理制度與規(guī)范，提高員工的信息安全意識，提升風(fēng)險控制及保障水平，以支撐油服核心業(yè)務(wù)的健康發(fā)展。

1 信息安全保障體系

1.1 信息安全保障體系建設(shè)需求

油服在信息安全方面已部署了部分信息安全防護(hù)措施，如劃分安全域、部署邊界訪問控制設(shè)備、配備入侵防御系統(tǒng)、部署統(tǒng)一的防惡意代碼軟件等。與此同時，每年都開展信息系統(tǒng)安全測評工作，對公司的信息系統(tǒng)進(jìn)行安全等級測評差距分析、安全問題整改咨詢核查以及滲透性測試等，從而能夠較為全面的掌握當(dāng)前各信息系統(tǒng)和信息安全管理制度的建設(shè)、運(yùn)維和使用情況，以提高信息系統(tǒng)的安全防護(hù)能力。但從總體來看，仍缺乏信息安全保障體系框架，總體安全方針和策略不夠明確，安全區(qū)域劃分不夠細(xì)致，網(wǎng)絡(luò)設(shè)備和重要服務(wù)器的安全策略缺乏統(tǒng)一標(biāo)準(zhǔn)，未部署安全運(yùn)維管理中心，無法真正起到縱深安全防御的效用。

1.2 信息安全保障體系目標(biāo)與定位

信息安全保障體系的建設(shè)要結(jié)合油服的信息安全需求、網(wǎng)絡(luò)應(yīng)用現(xiàn)狀及未來發(fā)展趨勢，在風(fēng)險評估的基礎(chǔ)上，明確與等級保護(hù)相適應(yīng)的安全策略及具體的實施辦法。對全網(wǎng)進(jìn)行合理的安全域劃分，技術(shù)與管理并重的同時，以應(yīng)用與實效為主導(dǎo)，從網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、組織管理等方面，保障油服信息安全，形成集檢測、響應(yīng)、恢復(fù)、防護(hù)為一體的安全保障體系。

2 油服信息安全保障體系架構(gòu)模型

油服信息安全保障體系框架采用“結(jié)構(gòu)化”的分析和控制方法，縱向把保護(hù)對象分成安全計算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)；橫向把控制體系分成安全管理、安全技術(shù)和安全運(yùn)行的控制體系，同時通過“一個安全管理中心”的安全管理概念和模式，形成一個依托于安全保護(hù)對象為基礎(chǔ)，橫向建立安全管理體系、安全技術(shù)體系、安全運(yùn)行體系和安全管理中心“三個體系、一個中心、三重防護(hù)”的信息安全保障體系

框架。

2.1 安全管理體系

根據(jù)等級保護(hù)基本要求的相關(guān)內(nèi)容，信息安全管理體系重點(diǎn)落實安全管理制度、安全管理機(jī)構(gòu)和人員安全管理的相關(guān)控制要求。

2.2 安全技術(shù)體系

根據(jù)等級保護(hù)基本要求的相關(guān)內(nèi)容，通過安全技術(shù)在物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)各個層面的實施，建立與實際情況相結(jié)合的安全技術(shù)體系。

2.3 安全運(yùn)行體系

根據(jù)等級保護(hù)基本要求的相關(guān)內(nèi)容，信息安全運(yùn)行體系重點(diǎn)落實系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理的相關(guān)控制要求，并與實際情況相結(jié)合，形成符合等級保護(hù)要求的信息安全運(yùn)行體系

框架。

2.4 安全管理中心

根據(jù)等級保護(hù)基本要求和安全設(shè)計技術(shù)要求的相關(guān)內(nèi)容，通過“自動、平臺化”的方式，對信息安全管理、技術(shù)、運(yùn)行三個體系的相關(guān)控制內(nèi)容，結(jié)合實際情況加以落實。

3 油服信息安全保障體系架構(gòu)設(shè)計

3.1 安全管理體系架構(gòu)設(shè)計

信息安全管理體系架構(gòu)的設(shè)計可從以下3方面開展。

3.1.1 信息安全組織

油服信息安全組織為信息安全管理委員會，各業(yè)務(wù)部門為信息安全小組，部門經(jīng)理為本小組的第一安全責(zé)任人。同時，定義了組織中各職能角色的職責(zé)，以此指導(dǎo)信息安全工作開展。

3.1.2 信息安全制度

油服的信息安全制度一方面能及時反映公司的信息安全風(fēng)險動態(tài)，便于靈活地修訂與更新；另一方面確保信息安全技術(shù)與管理人員及用戶能夠了解哪些是禁止做的，哪些是必須做的。

3.1.3 人員安全管理

在人員安全管理方面，可以通過對人員錄用、調(diào)用、離崗、考核、培訓(xùn)教育和第三方人員安全幾個方面進(jìn)行設(shè)計。

3.2 安全技術(shù)體系架構(gòu)設(shè)計

信息安全技術(shù)體系架構(gòu)設(shè)計可從以下3個方面開展。

3.2.1 信息安全服務(wù)架構(gòu)

信息安全服務(wù)架構(gòu)設(shè)計分為保護(hù)、檢測、響應(yīng)與恢復(fù)四個環(huán)節(jié)，實現(xiàn)對信息可用性、完整性和機(jī)密性的保護(hù)，監(jiān)測檢查系統(tǒng)存在的安全漏洞，對危害系統(tǒng)安全的事件行為做出響應(yīng)

處理。

3.2.2 信息技術(shù)基礎(chǔ)設(shè)施安全架構(gòu)

信息技術(shù)基礎(chǔ)設(shè)施安全架構(gòu)以網(wǎng)絡(luò)安全架構(gòu)為主體，結(jié)合系統(tǒng)軟硬件進(jìn)行安全配置和部署。網(wǎng)絡(luò)安全架構(gòu)的規(guī)劃根據(jù)網(wǎng)絡(luò)所承載的應(yīng)用系統(tǒng)特性和所面臨的風(fēng)險劃分不同的網(wǎng)絡(luò)安全域，并實施安全防護(hù)措施。

3.2.3 應(yīng)用安全架構(gòu)

應(yīng)用系統(tǒng)的信息安全保障是在信息技術(shù)基礎(chǔ)設(shè)施安全架構(gòu)上，更多地關(guān)注已有的信息安全服務(wù)是否被充分利用。為滿足業(yè)務(wù)系統(tǒng)對信息安全的需求，通過在業(yè)務(wù)系統(tǒng)中實現(xiàn)集成保障信息安全的機(jī)制，從而達(dá)到信息安全技術(shù)控制要求。

3.3 安全運(yùn)行體系架構(gòu)設(shè)計

油服信息安全運(yùn)行體系架構(gòu)設(shè)計主要從以下3個方面開展。

3.3.1 信息系統(tǒng)安全等級劃分

油服信息系統(tǒng)安全等級劃分從信息資產(chǎn)等級、網(wǎng)絡(luò)系統(tǒng)等級和應(yīng)用系統(tǒng)等級三個方面進(jìn)行定義。

3.3.2 信息安全技術(shù)控制

信息安全技術(shù)控制是由系統(tǒng)自身自動完成的安全控制。主要在信息系統(tǒng)的網(wǎng)絡(luò)層、系統(tǒng)層和應(yīng)用層，包含身份鑒別、訪問控制、安全審計等五大類通用技術(shù)。

3.3.3 信息安全運(yùn)作控制

信息安全運(yùn)作控制是在油服業(yè)務(wù)運(yùn)作和信息技術(shù)運(yùn)作過程中進(jìn)行實施的運(yùn)作類安全控制，包括控制針對的主要風(fēng)險點(diǎn)及具體分類。

4 結(jié)束語

在油服業(yè)務(wù)不斷拓展，國際化步伐不斷深入的過程中，信息系統(tǒng)在公司發(fā)展中的作用和地位日趨重要。公司對信息系統(tǒng)的依賴性也在不斷增長，信息安全也愈發(fā)重要。健全油服信息安全保障體系，為實現(xiàn)“制度標(biāo)準(zhǔn)化、工作制度化”的管理常態(tài)奠定了堅實的基礎(chǔ)。油服信息安全保障體系不僅從物理網(wǎng)絡(luò)安全、系統(tǒng)應(yīng)用安全、數(shù)據(jù)和用戶安全等方面入手，還從安全域劃分、安全邊界防護(hù)、主動監(jiān)控、訪問控制和應(yīng)急響應(yīng)等方面綜合考慮，進(jìn)一步加強(qiáng)落實信息安全等級保護(hù)的基本要求，初步實現(xiàn)對網(wǎng)絡(luò)與應(yīng)用系統(tǒng)細(xì)粒度、全方位的安全管控，從而更為有效地提升了油服在信息安全方面的管理水平。

參考文獻(xiàn)

[1]馬永.淺談企業(yè)信息安全保障體系建設(shè)[J].計算機(jī)安全，2007（7）：72-75.

[2]王朗.一個信息安全保障體系模型的研究和設(shè)計[J].北京師范大學(xué)學(xué)報（自然科學(xué)版），2004（2）：58-62.

[3]黃海鷹.信息安全保障體系建設(shè)研究[J].數(shù)字圖書館論壇，2009（9）：13-15.