網(wǎng)絡安全等級保護測評方法精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網(wǎng)絡安全等級保護測評方法主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網(wǎng)絡安全等級保護測評方法范文

會議擬請公安、工業(yè)和信息化、國家保密、國家密碼管理主管部門、中國科學院、國家網(wǎng)絡與信息安全信息通報中心等部門擔任指導單位，同時將出版論文集，經(jīng)專家評選的部分優(yōu)秀論文，將推薦至國家核心期刊發(fā)表?，F(xiàn)就會議征文的有關(guān)情況通知如下：

一、征文范圍

1. 新技術(shù)應用環(huán)境下信息安全等級保護技術(shù)：物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、工控系統(tǒng)、移動接入網(wǎng)、下一代互聯(lián)網(wǎng)（IPv6）等新技術(shù)、環(huán)境下的等級保護支撐技術(shù)，等級保護技術(shù)體系在新環(huán)境下的應用方法；

2. 關(guān)鍵基礎設施信息安全保護技術(shù)：政府部門及金融、交通、電力、能源、通信、制造等重要行業(yè)網(wǎng)站、核心業(yè)務信息系統(tǒng)等安全威脅、隱患分析及防范措施；

3. 國內(nèi)外信息安全管理政策與策略：信息安全管理政策和策略研究，信息安全管理體制和機制特點，信息安全管理標準發(fā)展對策，網(wǎng)絡恐怖的特點、趨勢、危害研究；

4. 信息安全預警與突發(fā)事件應急處置技術(shù)：攻擊監(jiān)測技術(shù)，態(tài)勢感知預警技術(shù)，安全監(jiān)測技術(shù)，安全事件響應技術(shù)，應急處置技術(shù)，災難備份技術(shù)，恢復和跟蹤技術(shù)，風險評估技術(shù)；

5. 信息安全等級保護建設技術(shù)：密碼技術(shù)，可信計算技術(shù)，網(wǎng)絡實名制等體系模型與構(gòu)建技術(shù)，漏洞檢測技術(shù)，網(wǎng)絡監(jiān)測與監(jiān)管技術(shù)，網(wǎng)絡身份認證技術(shù)，網(wǎng)絡攻防技術(shù)，軟件安全技術(shù)，信任體系研究；

6. 信息安全等級保護監(jiān)管技術(shù)：用于支撐安全監(jiān)測的數(shù)據(jù)采集、挖掘與分析技術(shù)，用于支撐安全監(jiān)管的敏感數(shù)據(jù)發(fā)現(xiàn)與保護技術(shù)，安全態(tài)勢評估技術(shù)，安全事件關(guān)聯(lián)分析技術(shù)、安全績效評估技術(shù)，電子數(shù)據(jù)取證和鑒定技術(shù)；

7. 信息安全等級保護測評技術(shù)：標準符合性檢驗技術(shù)，安全基準驗證技術(shù)，源代碼安全分析技術(shù)，逆向工程剖析技術(shù)，滲透測試技術(shù)，測評工具和測評方法；

8. 信息安全等級保護策略與機制：網(wǎng)絡安全綜合防控體系建設，重要信息系統(tǒng)的安全威脅與脆弱性分析，縱深防御策略，大數(shù)據(jù)安全保護策略，信息安全保障工作評價機制、應急響應機制、安全監(jiān)測預警機制。

二、投稿要求

1. 來稿內(nèi)容應屬于作者的科研成果，數(shù)據(jù)真實、可靠，未公開發(fā)表過，引用他人成果已注明出處，署名無爭議，論文摘要及全文不涉及保密內(nèi)容；

2. 會議只接受以Word排版的電子稿件，稿件一般不超過5000字；

3. 稿件以Email方式發(fā)送到征稿郵箱；

4. 凡投稿文章被錄用且未作特殊聲明者，視為已同意授權(quán)出版；

5. 提交截止日期： 2014年5月25日。

三、聯(lián)系方式

通信地址：北京市海淀區(qū)首都體育館南路1號

郵編：100048

Email：.cn

聯(lián)系人： 范博、王晨

聯(lián)系電話：010-68773930，

13717905088，13581879819

第2篇：網(wǎng)絡安全等級保護測評方法范文

［關(guān)鍵詞］信息安全;等級保護;云平臺

［中圖分類號］TP39［文獻標志碼］A［文章編號］1009－8054(2015)12－0116－04

0引言

國家對非信息系統(tǒng)實行等級保護制度，等級保護測評的目的在于提高國家重要信息系統(tǒng)的信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設［1］。伴隨著信息安全等級保護制度的貫徹實施，信息系統(tǒng)的安全保護能力有了普遍提升，相關(guān)人員的信息安全意識同樣有了提高。等級保護測評工作是查找信息系統(tǒng)安全問題的重要手段，國家相繼出臺了相關(guān)的標準，來規(guī)范和指導信息安全等級保護測評，例如GB/T22239－2008、GB/T22240－2008、GB/T28449－2012等標準。筆者在對電子政務系統(tǒng)信息安全等級保護定級以及系統(tǒng)測評方面，根據(jù)在實際工作中遇到的問題，結(jié)合工程實踐，對測評中遇到的這些問題進行分析，并給出了具體的解決方法。這些問題包括:電子政務外網(wǎng)定級與測評、測評中常見的重要問題分析，以及云平臺下開展等級保護測評工作應關(guān)注的附加測評項等內(nèi)容。

1電子政務外網(wǎng)定級與測評

對于電子政務外網(wǎng)的定級，對剛剛接觸等級保護測評的機構(gòu)或測評人員來說，可能相對陌生。以往我們開展信息系統(tǒng)等級保護的定級和測評，都是以信息系統(tǒng)為測評單位，要對整個電子政務外網(wǎng)進行定級，是否可行，定級范圍又是如何界定，下文將給出具體的分析。對一個信息化平臺是可以定級的，下面就以電子政務外網(wǎng)為例，來說明具體情況。電子政務外網(wǎng)是國家電子政務重要基礎設施，是承載各級政務部門用于經(jīng)濟調(diào)節(jié)、市場監(jiān)管、社會管理和公共服務等非涉及國家秘密的業(yè)務應用系統(tǒng)的政務公用網(wǎng)絡。電子政務外網(wǎng)的定級對象為本級政務外網(wǎng)管轄范圍內(nèi)(由邊界設備確定)的所有網(wǎng)絡、計算、存儲和安全防護等各類設備、各種用于網(wǎng)絡運維管理、安全保障的應用系統(tǒng)、各種通信線路及支持所有軟硬件正常運行的機房等基礎設施環(huán)境等。門戶網(wǎng)站系統(tǒng)、跨部門的數(shù)據(jù)共享與交換系統(tǒng)、數(shù)據(jù)中心內(nèi)的各業(yè)務應用系統(tǒng)以及各級政務部門的各類應用系統(tǒng)不包括在政務外網(wǎng)的等級保護范圍內(nèi)，這些系統(tǒng)的的定級標準依據(jù)GB/T2224－2008《信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南》，測評標準依據(jù)GB/T22239－2008《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》。在《國家電子政務外網(wǎng)安全等級保護實施指南》中，分別給出了等級保護二級和等級保護三級的定級范圍圖。其中，等級保護二級的定級范圍圖如圖1所示。圖中標識為紫色的區(qū)域，就是電子政務外網(wǎng)的定級范圍。對于電子政務外網(wǎng)的測評，要依據(jù)兩個方面的標準，其一是《國家電子政務外網(wǎng)安全保護等級基本要求》，在該標準中對IP承載網(wǎng)、業(yè)務區(qū)域網(wǎng)絡和管理區(qū)域網(wǎng)絡等方面提出了具體要求，包括結(jié)構(gòu)安全、訪問控制等具體要求項;其二是GB/T22239－2008《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》。電子政務外網(wǎng)按照功能區(qū)域劃分可以劃分出6個安全區(qū)域，即公用網(wǎng)絡區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)、專用網(wǎng)絡區(qū)、用戶接入?yún)^(qū)、網(wǎng)絡和安全管理區(qū)、電子認證區(qū)。在實際的測評工作工作中，要理解各個功能區(qū)域作用:互聯(lián)網(wǎng)接入?yún)^(qū):是政務部門通過邏輯隔離安全接入互聯(lián)網(wǎng)的網(wǎng)絡區(qū)域，滿足政務部門連接互聯(lián)網(wǎng)的需求。網(wǎng)絡管理區(qū):網(wǎng)絡管理區(qū)主要承載網(wǎng)絡管理信息系統(tǒng)，通過網(wǎng)絡管理系統(tǒng)實現(xiàn)對管轄區(qū)內(nèi)網(wǎng)絡設備、服務器設備的狀態(tài)監(jiān)控及相關(guān)管理等功能;安全管理區(qū):安全管理區(qū)主要承載安全管理信息系統(tǒng)，通過安全管理區(qū)實現(xiàn)對管轄區(qū)內(nèi)安全設備進行日志采集、實現(xiàn)對網(wǎng)絡中的攻擊行為進行報警等功能;公用網(wǎng)絡區(qū):采用統(tǒng)一分配的公共IP地址，實現(xiàn)各部門、各地區(qū)之間的互聯(lián)互通，為跨地區(qū)、跨部門的業(yè)務應用提供數(shù)據(jù)共享與交換的網(wǎng)絡平臺。

2測評中常見的問題分析

2．1網(wǎng)絡結(jié)構(gòu)方面根據(jù)調(diào)研，筆者發(fā)現(xiàn)目前一些單位的二級系統(tǒng)由于應用架構(gòu)簡單，面對互聯(lián)網(wǎng)提供服務的應用服務器、數(shù)據(jù)庫服務器被部署在一個網(wǎng)段，而且部署在內(nèi)網(wǎng)區(qū)域。很顯然，該種拓撲結(jié)構(gòu)存在的問題主要體現(xiàn)在:1)應用服務器和數(shù)據(jù)庫部署在一個網(wǎng)段，存在安全隱患，一旦面對互聯(lián)網(wǎng)的應用服務器被惡意入侵，同網(wǎng)段的數(shù)據(jù)庫服務器將面臨很大的安全風險。2)面對互聯(lián)網(wǎng)的應用服務器部署在內(nèi)網(wǎng)區(qū)域，一旦該服務器被惡意入侵，將給內(nèi)網(wǎng)安全帶來安全風險。對于該類網(wǎng)絡拓撲結(jié)構(gòu)，應將應用服務器設置在互聯(lián)網(wǎng)邊界防火墻的DMZ區(qū)域。在實際的測評工作中，我們也發(fā)現(xiàn)了個別單位擬對電子政務外網(wǎng)平臺進行網(wǎng)絡結(jié)構(gòu)的改造，但往往又不清楚如何下手。據(jù)調(diào)研，現(xiàn)有的網(wǎng)絡拓撲圖互聯(lián)網(wǎng)出口過多，安全域劃分不合理，網(wǎng)絡區(qū)域的劃分非常分散，都是當前網(wǎng)絡結(jié)構(gòu)方面面臨的問題。筆者建議這些單位負責網(wǎng)絡平臺運維的相關(guān)人員要仔細閱讀《國家電子政務外網(wǎng)安全等級保護等級基本要求》和《國家電子政務外網(wǎng)安全等級保護實施指南》這兩個標準，這個標準對電子政務外網(wǎng)功能區(qū)域的劃分，已經(jīng)給出了明確的說明。在不了解上述標準的前提下，對現(xiàn)有的網(wǎng)絡結(jié)構(gòu)進行盲目的調(diào)整，調(diào)整的結(jié)果仍然是網(wǎng)絡區(qū)域分散，互聯(lián)網(wǎng)出口過多、系統(tǒng)化不強。《國家電子政務外網(wǎng)安全等級保護實施指南》中給出的網(wǎng)絡功能區(qū)域的劃分圖如圖2所示。2．2重要網(wǎng)段防止地址欺騙為了做好重要網(wǎng)段防止地址欺騙工作?？梢詮碾p向IP/MAC綁定入手。例如:重要的管理終端與該管理終端的接入網(wǎng)關(guān)之間，要實現(xiàn)雙向綁定。在管理終端上設置網(wǎng)關(guān)的靜態(tài)ARP信息，在網(wǎng)關(guān)上將管理終端的IP－MAC輸入到靜態(tài)表中。在實際的測評中發(fā)現(xiàn)，重要網(wǎng)段防止地址欺騙在網(wǎng)絡設置中做的不多。2．3訪問控制信息安全等級保護的兩個目的，其一是保護信息系統(tǒng)數(shù)據(jù)的安全性，其二是保證信息系統(tǒng)的業(yè)務連續(xù)性。顯然，對服務器的保護顯得重之又重。在具體的測評中，我們發(fā)現(xiàn)，在服務器區(qū)域邊界防火墻的訪問控制策略中，源地址范圍過大是常見的一類問題，而且該策略中，對應的端口限制粒度也往往過大。2．4單點故障問題在測評中時常發(fā)現(xiàn)，一些三級系統(tǒng)未采用冗余技術(shù)設計網(wǎng)絡拓撲圖，因而造成關(guān)鍵節(jié)點存在單點故障。避免單點故障就是為了保障系統(tǒng)的高可用性。2．5非法外聯(lián)的問題在等保測評的技術(shù)要求中，要求采用技術(shù)手段限制非法外聯(lián)行為。一些剛剛邁進等級保護測評大門的相關(guān)人員可能會有如下錯誤的認識:“待評測的信息系統(tǒng)面向互聯(lián)網(wǎng)提供服務，而且被測評單位的所有計算機終端設備均允許連接互聯(lián)網(wǎng)，該測評項因此可以判定為不適用”。實際上，上面的理解是不正確的，盡管該單位所有的終端都可以連接互聯(lián)網(wǎng)，但是這些終端都是通過該單位統(tǒng)一的互聯(lián)網(wǎng)出口出去的，而且在互聯(lián)網(wǎng)邊界必定部署了相關(guān)安全設備，如放火墻、入侵防御設備等等。如果該單位某個終端用戶采用一個3G上網(wǎng)卡連接了互聯(lián)網(wǎng)，這等于就打開了一個新的通路，而且這條通路上沒有任何的安全防護設備，這就破壞了網(wǎng)絡的邊界完整性，給內(nèi)網(wǎng)安全帶來了隱患。因此，限制終端用戶的非法外聯(lián)行為是十分必要的。2．6密碼加密的問題在測評中發(fā)現(xiàn)，一些數(shù)據(jù)庫的用戶表中，密碼字段仍然是明文存儲，顯然這是非常不安全的，建議對密碼字段進行加密，加密可采用md5(用戶名+密碼+隨機字符串)加密方式。2．7驗證碼繞過的問題在應用安全測評中，我們發(fā)現(xiàn)一些應用系統(tǒng)仍然存在admin這樣的管理員用戶，這就給密碼猜測提供了可能，建議重命名ad-min或administrator，此外，為了避免驗證碼繞過的問題，應及時更新驗證碼(在登錄失敗時也要更新驗證碼)，防止出現(xiàn)驗證碼被繞過問題的發(fā)生。2．8信息系統(tǒng)精確定級在進行信息系統(tǒng)等級保護定級時，信息系統(tǒng)的使用單位一般都做到了信息系統(tǒng)定級，但是沒有做到準確定級，也就是說沒有根據(jù)數(shù)據(jù)的安全性等級和業(yè)務連續(xù)性的安全等級來最終定位系統(tǒng)的安全保護等級。在一個三級系統(tǒng)的等級保護測評咨詢項目中，用戶將信息系統(tǒng)定為三級(S3G3A3)，根據(jù)我們實際的調(diào)研發(fā)現(xiàn)，該系統(tǒng)僅僅是一個數(shù)據(jù)備份系統(tǒng)，對數(shù)據(jù)安全性要求可以達到三級要求，但對于業(yè)務連續(xù)性的要求是不需要定為三級的，因此就建議用戶對信息系統(tǒng)定級為三級(S3G3A2)，這樣一來，既保證了信息系統(tǒng)安全性，也為使用單位設計、改造該系統(tǒng)的信息安全保護能力提供了準確的指導建議。

3云平臺環(huán)境下的信息系統(tǒng)信息安全測評

隨著云平臺的發(fā)展，一些單位將應用部署在云服務器上，當前云應用存在四個方面的安全風險，一是共享技術(shù)漏洞引入的虛擬化安全風險;二是云服務不可信帶來的信息安全風險;三是多租戶模式帶來的數(shù)據(jù)泄露風險;四是云平臺惡意使用帶來的運營安全風險?！疤摂M化”和“分散處理”是云平臺下兩項關(guān)鍵技術(shù)，而云平臺是以虛擬機系統(tǒng)作為底層架構(gòu)，因此虛擬機系統(tǒng)的安全是云安全的核心。這就給開展等級保護測評工作引入了新的要求。圖3給出了虛擬化環(huán)境層次分析模型［2］。圖中所示的Hypervisor為管理控制程序，負責對硬件資源的調(diào)度、管理VM(虛擬機)、響應VM。在該模型中，信息系統(tǒng)采用虛擬化技術(shù)，用戶使用的服務器資源、網(wǎng)絡設備資源、安全設備資源等資源，均被放置在云端。用戶通過客戶端的瀏覽器頁面訪問信息系統(tǒng)的WEB頁面，由云端的虛擬化管理層對用戶進行身份驗證，并分配相應的資源。結(jié)合圖3所示，在進行信息安全等級保護測評時，應充分考慮三個層次存在的安全風險［2］:對于用戶接入層:要關(guān)注終端安全、身份認證、通信加密、連接安全等安全風險點;虛擬化管理層:要關(guān)注Hypervisor自身的安全性、Hypervisor特權(quán)威脅、計算資源虛擬化等安全威脅;VM層:要關(guān)注數(shù)據(jù)集中風險、逃逸威脅、VM鏡像的安全性、殘余信息保護等。針對云平臺下的信息系統(tǒng)信息安全測評，筆者認為除了要依據(jù)GB/T22239－2008標準的基本要求對信息系統(tǒng)進行測評外，還應增加相應的附加要求。這些附加要求包括:3．1網(wǎng)絡安全(1)結(jié)構(gòu)安全云服務提供商應能提供完整的虛擬網(wǎng)絡環(huán)境說明，包括網(wǎng)絡設備、安全設備的部署情況及作用說明，并提供給云平臺用戶備案;云服務提供商應能對虛擬網(wǎng)絡的運行狀況進行監(jiān)控。(2)訪問控制應在虛擬網(wǎng)絡邊界部署訪問控制設備，并啟用訪問控制功能;應在客戶端到虛擬機之間部署訪問控制設備，并啟用訪問控制功能。3．2主機安全(1)身份鑒別對虛擬服務器進行遠程管理時，應采取必要措施，防止用戶鑒別信息在網(wǎng)絡傳輸中被竊聽。(2)訪問控制應采用技術(shù)手段控制虛擬機與物理主機之間、虛擬機之間的互訪。(3)剩余信息保護應采取技術(shù)措施保證虛擬資源回收時，對數(shù)據(jù)進行清除。(4)入侵防范物理主機中應采用監(jiān)測技術(shù)，對同一物理主機上各虛擬主機之間的通信進行監(jiān)測。(5)資源控制應限制每臺虛擬機資源使用的上限。(6)惡意代碼防范應采用技術(shù)手段對虛擬機鏡像文件進行保護;在物理機和虛擬機中均應安裝惡意代碼防范軟件，并及時更新惡意代碼軟件版本和惡意代碼庫。(7)剩余信息保護應采取技術(shù)措施保證虛擬資源回收時，對數(shù)據(jù)進行清除。3．3數(shù)據(jù)安全(1)數(shù)據(jù)完整性應采用技術(shù)手段對虛擬機鏡像文件進行完整性保護。(2)數(shù)據(jù)保密性應采用加密或者其他保護措施實現(xiàn)虛擬鏡像文件的保密性。(3)備份和恢復對VMM(即Hypervisor)的安全配置、訪問控制策略進行備份。

4結(jié)語

信息系統(tǒng)的等級保護測評工作是實踐性非常強的一項工作，由于新技術(shù)、新產(chǎn)品的應用都將給測評工作帶來新的挑戰(zhàn)。本文結(jié)合具體的工程實踐，對電子政務外網(wǎng)的定級進行了闡述，對測評中發(fā)現(xiàn)的一些重要問題進行了分析，并結(jié)合當前云應用的情況，對信息安全等級保護測評的基本要求進行補充。筆者也將在今后的文章中，對信息安全等級測評標準的理解與實踐，做更加詳細地陳述。

參考文獻:

［1］孫鐵．云環(huán)境下開展等級保護工作的思考［J］．信息網(wǎng)絡安全，2011(6):11－13．

第3篇：網(wǎng)絡安全等級保護測評方法范文

關(guān)鍵詞：政務外網(wǎng) 等級保護 定級 網(wǎng)絡安全

為貫徹落實公安部、國家保密局、國家密碼管理局、原國務院信息化工作辦公室于2007年7月26日聯(lián)合下發(fā)《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公信安[2007]861號），國家電子政務外網(wǎng)工程建設辦公室（以下簡稱“外網(wǎng)工程辦”）在2007年11月啟動了中央級政務外網(wǎng)定級專項工作，成立了等級保護定級工作組，根據(jù)政務外網(wǎng)的實際情況和特點，經(jīng)過多輪內(nèi)部討論和征求專家意見后，基本完成了政務外網(wǎng)安全等級保護定級工作，為后續(xù)備案和全面開展、實施等級保護整改和測評工作奠定了堅實基礎。

一、周密部署，精心組織

為有效貫徹落實國家信息安全等級保護制度，在總結(jié)基礎調(diào)查和試點工作的基礎上，根據(jù)《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》等相關(guān)規(guī)定，2007年11月13日，電子政務外網(wǎng)工程辦召開等級保護工作啟動會，正式啟動國家電子政務外網(wǎng)安全等級保護定級工作。

為確保信息系統(tǒng)等級保護工作順利進行，外網(wǎng)工程辦領導高度重視，專門成立了由各主要業(yè)務部門負責人為成員的等級保護工作小組，全面負責工作的規(guī)劃、協(xié)調(diào)和指導，確定了外網(wǎng)工程辦安全組為等級保護工作的牽頭部門，各部門分工協(xié)作。同時，為確保系統(tǒng)劃分和定級工作的準確性和合理性，2007年11月22日外網(wǎng)工程辦專門邀請專家，對定級工作進行專項指導。

為統(tǒng)一思想，提高認識，通過召開等級保護專題會議等形式，深入學習《信息安全等級保護管理辦法》和《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》等文件精神，使相關(guān)人員充分認識和領會了開展信息安全等級保護工作的重要性，進一步認識到實施信息安全等級保護不僅是信息安全管理規(guī)范化、標準化、科學化的需要，也是提高政務外網(wǎng)安全保障能力與服務水平的重要途徑，是追求自身發(fā)展與落實社會責任相一致的現(xiàn)實需要與客觀要求，從而增強了開展此項工作的主動性和自覺性。

二、積極做好定級各項工作

信息安全等級保護工作政策性強、技術(shù)要求高，時間又非常緊迫，為此，政務外網(wǎng)工程辦從三方面抓好定級報備前期準備工作：一是積極參加公安部組織的等級保護培訓，領會與理解開展信息安全等級保護工作的目的、意義與技術(shù)要求，系統(tǒng)地掌握信息安全等級保護的基礎知識、實施過程、定級方法步驟和備案流程等。二是多次組織人員開展內(nèi)部討論和交流，使人員較全面地了解等級保護的意義、基礎知識和定級方法。三是開展工程辦各組的業(yè)務應用摸底調(diào)查，摸清系統(tǒng)的系統(tǒng)結(jié)構(gòu)、業(yè)務類型和應用范圍，并匯總整理了政務外網(wǎng)各組成域的相關(guān)概況。

三、科學準確定級

在開展政務外網(wǎng)定級工作的過程中突出重點，全面分析政務外網(wǎng)網(wǎng)絡基礎平臺的特點，力求準確劃定定級范圍和定級對象。在此基礎上，依據(jù)《信息安全等級保護管理辦法》，確定政務外網(wǎng)各組成子系統(tǒng)（網(wǎng)絡域）的安全保護等級。

劃定定級對象。根據(jù)《信息系統(tǒng)安全等級保護定級指南》，外網(wǎng)工程辦多次組織技術(shù)和業(yè)務骨干召開專題會議討論信息系統(tǒng)劃分問題，提出了較為科學合理的信息系統(tǒng)劃分方案。

初步確定了信息系統(tǒng)等級。根據(jù)系統(tǒng)劃分結(jié)果，組織各業(yè)務部門參與并初步確定了各系統(tǒng)等級，完成了自定級報告的起草。

組織專家自評把關(guān)。根據(jù)等級保護評審的標準與要求，專家們對信息系統(tǒng)劃分和定級報告進行內(nèi)部評審，并給出了內(nèi)部評審意見。根據(jù)專家意見重新修改并整理了等級保護定級報告及其相關(guān)材料。

此外，在定級過程中，外網(wǎng)工程辦積極與公安部等級保護主管部門進行溝通，并經(jīng)由相關(guān)專家確認定級對象與等級保護方案后，整理好了所有定級材料，準備下一步的正式評審。

四、定級對象和結(jié)果

根據(jù)政務外網(wǎng)作為基礎網(wǎng)絡平臺的特性，以及其接入系統(tǒng)的不同業(yè)務類型，政務外網(wǎng)按管理邊界劃分為中央政務外網(wǎng)、地方政務外網(wǎng)兩類管理域。中央政務外網(wǎng)按業(yè)務邊界劃分功能區(qū)，即公用網(wǎng)絡平臺區(qū)、專用VPN網(wǎng)絡區(qū)以及互聯(lián)網(wǎng)接入?yún)^(qū)，在各功能區(qū)內(nèi)又根據(jù)業(yè)務類型和系統(tǒng)服務的不同，確定了多個業(yè)務系統(tǒng)，主要有安全管理系統(tǒng)、應用平臺系統(tǒng)、網(wǎng)絡管理系統(tǒng)、郵件系統(tǒng)、VPN業(yè)務、互聯(lián)網(wǎng)數(shù)據(jù)中心等六個系統(tǒng)作為本次等級保護定級工作的定

級對象，分別予以定級（確定等級結(jié)果如表1所示）。

作者簡介：

羅海寧，1980年生，男，漢族，工程師，在職碩士，專業(yè)方向：網(wǎng)絡與信息安全。

郭紅，1966年生，女，漢族，高級工程師，在職碩士，專業(yè)方向：網(wǎng)絡安全。

第4篇：網(wǎng)絡安全等級保護測評方法范文

[關(guān)鍵詞] 電子政務 信息安全 等級保護 風險評估

1 概述

電子政務是政府管理方式的革命,它是運用信息以及通信技術(shù)打破行政機關(guān)的組織界限,構(gòu)建一個電子化的虛擬機關(guān),使公眾擺脫傳統(tǒng)的層層關(guān)卡以及書面審核的作業(yè)方式,并依據(jù)人們的需求、人們可以獲取的方式、人們要求的時間及地點等,高效快捷地向人們提供各種不同的服務選擇。政府機關(guān)之間以及政府與社會各界之間也經(jīng)由各種電子化渠道進行相互溝通。

電子政務的建立將使政府社會服務職能得到最大程度的發(fā)揮,但也使政府敏感信息暴露在無孔不入的網(wǎng)絡威脅面前。由于電子政務信息網(wǎng)絡上有相當多的政府公文在流轉(zhuǎn),其中不乏重要信息,內(nèi)部網(wǎng)絡上有著大量高度機密的數(shù)據(jù)和信息,直接涉及政府的核心政務,它關(guān)系到政府部門、各大系統(tǒng)乃至整個國家的利益,有的甚至涉及國家安全。因此,電子政務信息安全是制約電子政務建設與發(fā)展的首要問題和核心問題,是電子政務的職能與優(yōu)勢得以實現(xiàn)的根本前提。如果電子政務信息安全得不到保障,不僅電子政務的便利與效率無從保證,更會給國家利益帶來嚴重威脅。

2 電子政務信息系統(tǒng)面臨的威脅

電子政務涉及對政府機密信息和敏感政務的保護、維護公共秩序和行政監(jiān)管的準確實施以及為保障社會提供公共服務的質(zhì)量。電子政務作為政府有效決策、管理、服務的重要手段,必然會遇到各種敵對勢力、恐怖集團、搗亂分子的破壞和攻擊。尤其是,電子政務在基于互聯(lián)網(wǎng)的網(wǎng)絡平臺上,他包括政務內(nèi)網(wǎng)、政務外網(wǎng)和互聯(lián)網(wǎng),而互聯(lián)網(wǎng)是一個無行政主管的全球網(wǎng)絡,自身缺少設防,安全隱患很多,使得不法分子利用互聯(lián)網(wǎng)進行犯罪有機可乘,這就使得基于互聯(lián)網(wǎng)開展的電子政務應用面臨著嚴峻的挑戰(zhàn)。

對電子政務的安全威脅包括網(wǎng)上黑客入侵和犯罪、病毒泛濫和蔓延,信息間諜的潛入和竊密,網(wǎng)絡恐怖集團的攻擊和破壞,內(nèi)部人員的違規(guī)和違法操作,網(wǎng)絡系統(tǒng)的脆弱和癱瘓,信息安全產(chǎn)品的失控等,對于這些威脅,電子政務的建設和應用應引起足夠警惕,采取果斷的安全措施,應對這種挑戰(zhàn)。

3 電子政務信息安全管理體系的構(gòu)建

要有效維護電子政務信息系統(tǒng)的安全,就需要構(gòu)建電子政務安全管理體系,從而使政務的信息基礎設施、信息應用服務能夠具有保密性、完整性、真實性和可用性。電子政務安全管理體系包括安全技術(shù)體系、安全管理體系和安全服務體系,涉及從管理到組織,從網(wǎng)絡到數(shù)據(jù),從法規(guī)標準到基礎設施等各個方面。

3.1 加強安全技術(shù)力量是實現(xiàn)電子政務安全的基本方法

安全技術(shù)體系是利用技術(shù)手段實現(xiàn)技術(shù)層面的安全保護,是對電子政務安全防護體系的完善,包括網(wǎng)絡安全體系、數(shù)據(jù)安全傳輸與存儲體系,功能主要是通過各種技術(shù)手段實現(xiàn)技術(shù)層次的安全保護。

網(wǎng)絡安全體系包括網(wǎng)閘、入侵檢測、漏洞檢測、外聯(lián)和接入檢測、補丁管理、防火墻、身份鑒別和認證、系統(tǒng)訪問控制、網(wǎng)絡審計等;數(shù)據(jù)安全與傳輸與存儲體系包括數(shù)據(jù)備份恢復、PKI/CA、PMI等。整個電子政務的安全,涉及信息安全產(chǎn)品的全局配套和科學布置,產(chǎn)品選擇應充分考慮產(chǎn)品的自和自控權(quán)。在關(guān)鍵技術(shù)、經(jīng)營管理、生產(chǎn)規(guī)模、服務觀念等方面,要集中人力、物力,制訂相關(guān)政策,大力發(fā)展自主知識產(chǎn)權(quán)的計算機芯片、操作系統(tǒng)等信息安全技術(shù)產(chǎn)品,以確保關(guān)鍵政府部門的信息系統(tǒng)的網(wǎng)絡安全。加強核心技術(shù)的自主研發(fā),并盡快使之產(chǎn)品化和產(chǎn)業(yè)化,尤其是操作系統(tǒng)技術(shù)和計算機芯片技術(shù)?，F(xiàn)階段各地政府部門目前所選用的高端軟硬件平臺,很多都是國外公司的產(chǎn)品,這也對政務安全帶來了許多隱患。因此,在構(gòu)建電子政務系統(tǒng)的時候,在可能的情況下,我們應盡量選用國產(chǎn)化技術(shù)和國內(nèi)公司的產(chǎn)品。

3.2 構(gòu)建安全管理體系是電子政務安全實施的重要基礎

安全管理是解決電子政務的安全問題在技術(shù)以外的另一有力保障和途徑。由于安全的防范技術(shù)與破壞技術(shù)總是“勢均力敵”、“相互促進”的。作為防范者就更應該在安全防范的管理上下更大的工夫。安全管理主要涉及三個方面:法律法規(guī)、安全防護體系以及等級保護政策。

3.2.1法律政策、規(guī)章制度和標準規(guī)范

電子政務的工作內(nèi)容和工作流程涉及到國家秘密與核心政務,它的安全關(guān)系到國家的、國家的安全和公眾利益,所以電子政務的安全實施和保障,必須以國家法規(guī)形式將其固化,形成全國共同遵守的規(guī)約。目前,世界上很多國家制定了與網(wǎng)絡安全相關(guān)的法律法規(guī),如英國的《官方信息保護法》等。我國雖然頒發(fā)了一些與網(wǎng)絡安全有關(guān)的法律法規(guī),如《計算機信息系統(tǒng)安全保護條例》、《計算機信息系統(tǒng)保密管理暫行規(guī)定》等等,但顯得很零散,還缺乏關(guān)于電子政務網(wǎng)絡安全的專門法規(guī)。此外,在完善法律法規(guī)的同時,還應該加大執(zhí)法力度,嚴格執(zhí)法,這一目標的實現(xiàn)不僅需要政府組織的努力,更要國家立法機構(gòu)的參與和支持。

3.2.2電子政務防護體系

貫穿整個電子政務的安全防護體系,對電子政務安全實施起全面的指導作用,具體包括三個方面的內(nèi)容:安全組織機構(gòu)、安全人事管理、以及安全責任制度。建立安全組織機構(gòu),其目的是統(tǒng)一規(guī)劃各級網(wǎng)絡系統(tǒng)的安全、制定完善的安全策略和措施、協(xié)調(diào)各方面的安全事宜,主要職責包括制定整體安全策略、明確規(guī)章制度、落實各項安全措施實施,以及制訂安全應急方案和保密信息的安全策略;安全人事管理,其主要內(nèi)容包括:人事審查與錄用、崗位與責任范圍的確定、工作評價、人事檔案管理、提升、調(diào)動與免職、基礎培訓等;制定和落實安全責任制度,包括系統(tǒng)運行維護管理制度、計算機處理控制管理制度、文檔資料管理制度、操作和管理人員管理制度、機房安全管理制度、定期檢查與監(jiān)督制度、網(wǎng)絡通信安全管理制度、病毒防治管理制度、安全等級保護制度、對外交流安全維護制度,以及對外合作制度等。

3.2.3等級保護制度

通過全面推行信息安全等級保護制度,逐步將信息安全等級保護制度落實到信息系統(tǒng)安全規(guī)劃、建設、測評、運行維護和使用等各個環(huán)節(jié),使信息安全保障狀況得到基本改善。通過加強和規(guī)范信息安全等級保護管理,不斷提高信息安全保障能力,為維護信息網(wǎng)絡的安全穩(wěn)定,促進信息化發(fā)展服務。

4 完善安全服務是維護電子政務安全實施的有力保障

4.1 安全等級測評和風險評估管理

電子政務信息系統(tǒng)安全測評服務,其實質(zhì)是通過科學、規(guī)范、公正的測試和評估向被測評單位證實其信息系統(tǒng)的安全性能符合等級保護的要求。

由于信息安全直接涉及國家利益、安全和,政府對信息產(chǎn)品、信息系統(tǒng)安全性的測評認證要更為嚴格。對信息系統(tǒng)和信息安全技術(shù)中的核心技術(shù),由政府直接控制,在信息安全各主管部門的支持和指導下,依托專業(yè)的職能機構(gòu)提供技術(shù)支持,形成政府的行政管理與技術(shù)支持相結(jié)合、相依賴的管理體制。 風險管理是對項目風險的識別、分析和應對過程。它包括對正面事件效果的最大化及對負面事件影響的最小化。電子政務安全風險管理的主要任務是電子政務信息系統(tǒng)的風險評估并提出風險緩解措施,前者是識別并分析系統(tǒng)中的風險因素,估計可能造成的損失,后者是選擇和實施安全控制,將風險降低到一個可接受的水平。

4.2 安全培訓服務

根據(jù)不同層次的人才需求,社會化的信息安全人才培養(yǎng)體系應分為專業(yè)型教育、應用型教育和安全素養(yǎng)教育三個層次。專業(yè)型教育主要是培養(yǎng)信息安全領域的專業(yè)研發(fā)、工程技術(shù)、戰(zhàn)略管理等方面的人才。應用型(半專業(yè))教育則是以從事現(xiàn)代信息管理工作的人作為對象,培養(yǎng)目標是要求學生具備信息安全的基本知識、網(wǎng)絡和信息系統(tǒng)安全防范技能、組織機構(gòu)或系統(tǒng)安全管理的能力等。這種應用型的信息安全教育要求受教育對象數(shù)量要多,覆蓋面要廣,基本信息技能要強。通過課程、講座、宣傳等多種形式,達到讓每一個人都具備必要的安全意識和常規(guī)的信息安全自我防范技術(shù)的目的。要求單位領導應具備必要信息安全意識和安全知識;信息管理人員應具備一定的信息安全知識和基本技能;從事信息服務或信息安全服務的有關(guān)人員應具備必要的信息安全知識和技術(shù)基礎等。

構(gòu)建安全穩(wěn)定的政務信息系統(tǒng),技術(shù)、管理、服務作為支撐體系的三大要素,缺一不可。只有這三方面都做好了,才能實現(xiàn)海西政務信息管理體系的全面提升。

參考文獻:

[1] 何玲,電子政務環(huán)境下政府電子文件管理新探索[D].成都:四川大學碩士學位論文,2008.

第5篇：網(wǎng)絡安全等級保護測評方法范文

關(guān)鍵詞：證券行業(yè)信息安全網(wǎng)絡安全體系

近年來，我國資本市場發(fā)展迅速，市場規(guī)模不斷擴大，社會影響力不斷增強．成為國民經(jīng)濟巾的重要組成部分，也成為老百姓重要的投資理財渠道。資本市場的穩(wěn)定健康發(fā)展，關(guān)系著億萬投資者的切身利益，關(guān)系著社會穩(wěn)定和國家金融安全的大局。證券行業(yè)作為金融服務業(yè)，高度依賴信息技術(shù)，而信息安全是維護資本市場穩(wěn)定的前提和基礎。沒有信息安全就沒有資本市場的穩(wěn)定。

目前．國內(nèi)外網(wǎng)絡信息安全問題日益突出。從資本市場看，近年來，隨著市場快速發(fā)展，改革創(chuàng)新深入推進，市場交易模式日趨集巾化，業(yè)務處理邏輯日益復雜化，網(wǎng)絡安全事件、公共安全事件以及水災冰災、震災等自然災害都對行業(yè)信息系統(tǒng)的連續(xù)、穩(wěn)定運行帶來新的挑戰(zhàn)。資本市場交易實時性和整體性強，交易時問內(nèi)一刻也不能中斷。加強信息安全應急丁作，積極采取預防、預警措施，快速、穩(wěn)妥地處置信息安全事件，盡力減少事故損失，全力維護交易正常，對于資本市場來說至關(guān)重要。

1證券行業(yè)倍息安全現(xiàn)狀和存在的問題

1．1行業(yè)信息安全法規(guī)和標準體系方面

健全的信息安全法律法規(guī)和標準體系是確保證券行業(yè)信息安全的基礎。是信息安全的第一道防線。為促進證券市場的平穩(wěn)運行，中國證監(jiān)會自1998年先后了一系列信息安全法規(guī)和技術(shù)標準。其中包括2個信息技術(shù)管理規(guī)范、2個信息安全等級保護通知、1個信息安全保障辦法、1個信息通報方法和10個行業(yè)技術(shù)標準。行業(yè)信息安全法規(guī)和標準體系的初步形成，推動了行業(yè)信息化建設和信息安全工作向規(guī)范化、標準化邁進。

雖然我國涉及信息安全的規(guī)范性文件眾多，但在現(xiàn)行的法律法規(guī)中。立法主體較多，法律法規(guī)體系龐雜而缺乏統(tǒng)籌規(guī)劃。面對新形勢下信息安全保障工作的發(fā)展需要，行業(yè)信息安全工作在政策法規(guī)和標準體系方面的問題也逐漸顯現(xiàn)。一是法規(guī)和標準建設滯后，缺乏總體規(guī)劃；二是規(guī)范和標準互通性和協(xié)調(diào)性不強，部分規(guī)范和標準的可執(zhí)行性差；三是部分規(guī)范和標準已不適應，無法應對某些新型信息安全的威脅；四是部分信息安全規(guī)范和標準在行業(yè)內(nèi)難以得到落實。

1．2組織體系與信息安全保障管理模型方面

任何安全管理措施或技術(shù)手段都離不開人員的組織和實施，組織體系是信息安全保障工作的核心。目前，證券行業(yè)采用“統(tǒng)一組織、分工有序”的信息安全工作體系，分為決策層、管理層、執(zhí)行層。

為加強證券期貨業(yè)信息安全保障工作的組織協(xié)調(diào)，建立健全信息安全管理制度和運行機制，切實提高行業(yè)信息安全保障工作水平，根據(jù)證監(jiān)會頒布的《證券期貨業(yè)信息安全保障管理暫行辦法》，參照ISO／IEC27001：2005，提出證券期貨業(yè)信息安全保障管理體系框架。該體系框架采用立方體架構(gòu)．頂面是信息安全保障的7個目標(機密性、完整性、可用性、真實性、可審計性、抗抵賴性、可靠性)，正面是行業(yè)組織結(jié)構(gòu)．側(cè)面是各個機構(gòu)為實現(xiàn)信息安全保障目標所采取的措施和方式。

1．3IT治理方面

整個證券業(yè)處于高度信息化的背景下，IT治理已直接影響到行業(yè)各公司實現(xiàn)戰(zhàn)略目標的可能性，良好的IT治理有助于增強公司靈活性和創(chuàng)新能力，規(guī)避IT風險。通過建立IT治理機制，可以幫助最高管理層發(fā)現(xiàn)信息技術(shù)本身的問題。幫助管理者處理IT問題，自我評估IT管理效果．可以加強對信息化項目的有效管理，保證信息化項目建設的質(zhì)量和應用效果，使有限的投入取得更大的績效。

2003年lT治理理念引入到我國證券行業(yè)，當前我國證券業(yè)企業(yè)的IT治理存在的問題：一是IT資源在公司的戰(zhàn)略資產(chǎn)中的地位受到高層重視，但具體情況不清楚；二是IT治理缺乏明確的概念描述和參數(shù)指標；是lT治理的責任與職能不清晰。

1．4網(wǎng)絡安全和數(shù)據(jù)安全方面

隨著互聯(lián)網(wǎng)的普及以及網(wǎng)上交易系統(tǒng)功能的不斷豐富、完善和使用的便利性，網(wǎng)上交易正逐漸成為證券投資者交易的主流模式。據(jù)統(tǒng)計，2008年我同證券網(wǎng)上交易量比重已超過總交易量的80％。雖然交易系統(tǒng)與互聯(lián)網(wǎng)的連接，方便了投資者。但由于互聯(lián)網(wǎng)的開放性，來自互聯(lián)網(wǎng)上的病毒、小馬、黑客攻擊以及計算機威脅事件，都時刻威脅著行業(yè)的信息系統(tǒng)安全，成為制約行業(yè)平穩(wěn)、安全發(fā)展的障礙。此，維護網(wǎng)絡和數(shù)據(jù)安全成為行業(yè)信息安全保障工作的重要組成部分。近年來，證券行業(yè)各機構(gòu)采取了一系列措施，建立了相對安全的網(wǎng)絡安全防護體系和災舴備份系統(tǒng)，基木保障了信息系統(tǒng)的安全運行。但細追究起來，我國證券行業(yè)的網(wǎng)絡安全防護體系及災備系統(tǒng)建設還不夠完善，還存存以下幾方面的問題：一是網(wǎng)絡安全防護體系缺乏統(tǒng)一的規(guī)劃；二是網(wǎng)絡訪問控制措施有待完善；三是網(wǎng)上交易防護能力有待加強；四是對數(shù)據(jù)安全重視不夠，數(shù)據(jù)備份措施有待改進；五是技術(shù)人員的專業(yè)能力和信息安全意識有待提高。

1．5IT人才資源建設方面

近20年的發(fā)展歷程巾，證券行業(yè)對信息系統(tǒng)日益依賴，行業(yè)IT隊伍此不斷發(fā)展壯大。據(jù)統(tǒng)計，2008年初，在整個證券行業(yè)中，103家證券公司共有IT人員7325人，占證券行業(yè)從業(yè)總?cè)藬?shù)73990人的9．90％，總體上達到了行業(yè)協(xié)會的IT治理工作指引中“IT工作人員總數(shù)原則上應不少于公司員工總?cè)藬?shù)的6％”的最低要求。目前，證券行業(yè)的IT隊伍肩負著信息系統(tǒng)安全、平穩(wěn)、高效運行的重任，IT隊伍建設是行業(yè)信息安全IT作的根本保障。但是，IT人才隊伍依然存在著結(jié)構(gòu)不合理、后續(xù)教育不足等問題，此行業(yè)的人才培養(yǎng)有待加強。

2采取的對策和措施

2．1進一步完善法規(guī)和標準體系

首先，在法規(guī)規(guī)劃上，要統(tǒng)籌兼顧，制定科學的信息技術(shù)規(guī)范和標準體系框架。一是全面做好立法規(guī)劃；二是建立科學的行業(yè)信息安全標準和法規(guī)體系層次。行業(yè)信息安全標準和法規(guī)體系初步劃分為3層：第一層是管理辦法等巾同證監(jiān)會部門規(guī)章；第二層是證監(jiān)會相關(guān)部門制定的管理規(guī)范等規(guī)范性文件；第三層是技術(shù)指引等自律規(guī)則，一般由交易所、行業(yè)協(xié)會在證監(jiān)會總體協(xié)調(diào)下組織制定。其次，在法規(guī)制定上．要兼顧規(guī)范和發(fā)展，重視法規(guī)的可行性。最后，在法規(guī)實施上．要堅持規(guī)范和指引相結(jié)合，重視監(jiān)督檢查和責任落實。

2．2深入開展證券行業(yè)IT治理工作

2．2．1提高IT治理意識

中國證券業(yè)協(xié)會要進一步加強IT治理理念的教育宣傳工作，特別是對會員單位高層領導的IT治理培訓，將IT治理的定義、工具、模型等理論知識納入到高管任職資格考試的內(nèi)容之中。通過舉辦論壇、交流會等形式強化證券經(jīng)營機構(gòu)的IT治理意識，提高他們IT治理的積極性。

2．2．2通過設立IT治理試點形成以點帶面的示范效應

根據(jù)IT治理模型的不同特點，建議證券公司在決策層使用CISR模型，通過成立lT治理委員會，建立各部門之間的協(xié)調(diào)配合、監(jiān)督制衡的責權(quán)體系；在執(zhí)行層以COBIT模型、ITFL模型等其他模型為補充，規(guī)范信息技術(shù)部門的各項控制和管理流程。同時，證監(jiān)會指定一批證券公司和基金公司作為lT試點單位，進行IT治理模型選擇、剪裁以及組合的實踐探索，形成一批成功實施IT治理的優(yōu)秀范例，以點帶面地提升全行業(yè)的治理水平。

2．3通過制定行業(yè)標準積極落實信息安全等級保護

行業(yè)監(jiān)管部門在推動行業(yè)信息安全等級保護工作中的作用非常關(guān)鍵．應進一步明確監(jiān)管部門推動行業(yè)信息安全等級保護工作的任務和工作機制，統(tǒng)一部署、組織行業(yè)的等級保護丁作，為該項丁作的順利開展提供組織保證。行業(yè)各機構(gòu)應采取自主貫徹信息系統(tǒng)等級保護的行業(yè)要求，對照標準逐條落實。同時，應對各單位實施信息系統(tǒng)安全等級保護情況進行測評，在測評環(huán)節(jié)一旦發(fā)現(xiàn)信息系統(tǒng)的不足，被測評單位應立即制定相應的整改方案并實施．且南相芙的監(jiān)督機構(gòu)進行督促。

2．4加強網(wǎng)絡安全體系規(guī)劃以提升網(wǎng)絡安全防護水平

2．4．1以等級保護為依據(jù)進行統(tǒng)籌規(guī)劃

等級保護是圍繞信息安全保障全過程的一項基礎性的管理制度，通過將等級化的方法和安全體系規(guī)劃有效結(jié)合，統(tǒng)籌規(guī)劃證券網(wǎng)絡安全體系的建設，建立一套信息安全保障體系，將是系統(tǒng)化地解決證券行業(yè)網(wǎng)絡安全問題的一個非常有效的方法。

2．4．2通過加強網(wǎng)絡訪問控制提高網(wǎng)絡防護能力

對向證券行業(yè)提供設備、技術(shù)和服務的IT公司的資質(zhì)和誠信加強管理，確保其符合國家、行業(yè)技術(shù)標準。根據(jù)網(wǎng)絡隔離要求，要逐步建立業(yè)務網(wǎng)與辦公網(wǎng)、業(yè)務網(wǎng)與互聯(lián)網(wǎng)、網(wǎng)上交易各子系統(tǒng)間有效的網(wǎng)絡隔離。技術(shù)上可以對不同的業(yè)務安全區(qū)域劃分Vlan或者采用網(wǎng)閘設備進行隔離；對主要的網(wǎng)絡邊界和各外部進口進行滲透測試，進行系統(tǒng)和設備的安全加固．降低系統(tǒng)漏洞帶來的安全風險；在網(wǎng)上交易方面，采取電子簽名或數(shù)字認證等高強度認證方式，加強訪問控制；針對現(xiàn)存惡意攻擊網(wǎng)站的事件越來越多的情況，要采取措施加強網(wǎng)站保護，提高對惡意代碼的防護能力，同時采用技術(shù)手段，提高網(wǎng)上交易客戶端軟件使朋的安全性。

2．4．3提高從業(yè)人員安全意識和專業(yè)水平

目前在證券行業(yè)內(nèi)，從業(yè)人員的網(wǎng)絡安全意識比較薄弱．必要時可定期對從業(yè)人員進行安全意識考核，從行業(yè)內(nèi)部強化網(wǎng)絡安全工作。要加強網(wǎng)絡安全技術(shù)人員的管理能力和專業(yè)技能培訓，提高行業(yè)網(wǎng)絡安全的管理水平和專業(yè)技術(shù)水平。

2．5扎實推進行業(yè)災難備份建設

數(shù)據(jù)的安全對證券行業(yè)是至關(guān)重要的，數(shù)據(jù)一旦丟失對市場各方的損失是難以估量的。無論是美國的“9·11”事件，還是我國2008年南方冰雪災害和四川汶川大地震，都敲響了災難備份的警鐘。證券業(yè)要在學習借鑒國際經(jīng)驗的基礎上，針對自身需要，對重要系統(tǒng)開展災難備份建設。要繼續(xù)推進證券、基金公司同城災難備份建設，以及證券交易所、結(jié)算公司等市場核心機構(gòu)的異地災難備份系統(tǒng)的規(guī)劃和建設。制定各類相關(guān)的災難應急預案，并加強應急預案的演練，確保災難備份系統(tǒng)應急有效．使應急工作與日常工作有機結(jié)合。

2．6抓好人才隊伍建設

證券行業(yè)要采取切實可行的措施，建立吸引人才、留住人才、培養(yǎng)人才、發(fā)展人才的用人制度和機制。積極吸引有技術(shù)專長的人才到行業(yè)巾來，加強lT人員的崗位技能培訓和業(yè)務培訓，注重培養(yǎng)既懂得技術(shù)義懂業(yè)務和管理的復合型人才。要促進從業(yè)人員提高水平、轉(zhuǎn)變觀念，行業(yè)各機構(gòu)應采取采取請進來、派出去以及內(nèi)部講座等多種培訓方式。通過建立規(guī)范有效的人才評價體系，對信息技術(shù)人員進行科學有效的考評，提升行業(yè)人才資源的優(yōu)化配置和使用效率，促進技術(shù)人才結(jié)構(gòu)的涮整和完善。

第6篇：網(wǎng)絡安全等級保護測評方法范文

關(guān)鍵詞 信息系統(tǒng)；安全；保障體系；技術(shù)；信息技術(shù)基礎設施

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2013）14-0137-02

油服信息技術(shù)應用與集中程度的不斷深入提高，信息安全保障體系建設工作已成為信息化建設過程中的重要組成部分。油服具有地域分布廣、業(yè)務復雜多樣等特點，在信息安全形勢多變的情況下，獨立分散的安全措施已無法更好地滿足安全防護需求。信息安全若不能得到很好的保障，將給公司的業(yè)務正常運作及辦公穩(wěn)定性、高效性和有效性帶來影響。因此，需完善公司的信息安全政策方針、規(guī)劃并建立符合油服實際情況的信息安全保障體系，采用先進的安全管理過程模式，完善信息安全管理制度與規(guī)范，提高員工的信息安全意識，提升風險控制及保障水平，以支撐油服核心業(yè)務的健康發(fā)展。

1 信息安全保障體系

1.1 信息安全保障體系建設需求

油服在信息安全方面已部署了部分信息安全防護措施，如劃分安全域、部署邊界訪問控制設備、配備入侵防御系統(tǒng)、部署統(tǒng)一的防惡意代碼軟件等。與此同時，每年都開展信息系統(tǒng)安全測評工作，對公司的信息系統(tǒng)進行安全等級測評差距分析、安全問題整改咨詢核查以及滲透性測試等，從而能夠較為全面的掌握當前各信息系統(tǒng)和信息安全管理制度的建設、運維和使用情況，以提高信息系統(tǒng)的安全防護能力。但從總體來看，仍缺乏信息安全保障體系框架，總體安全方針和策略不夠明確，安全區(qū)域劃分不夠細致，網(wǎng)絡設備和重要服務器的安全策略缺乏統(tǒng)一標準，未部署安全運維管理中心，無法真正起到縱深安全防御的效用。

1.2 信息安全保障體系目標與定位

信息安全保障體系的建設要結(jié)合油服的信息安全需求、網(wǎng)絡應用現(xiàn)狀及未來發(fā)展趨勢，在風險評估的基礎上，明確與等級保護相適應的安全策略及具體的實施辦法。對全網(wǎng)進行合理的安全域劃分，技術(shù)與管理并重的同時，以應用與實效為主導，從網(wǎng)絡、應用系統(tǒng)、組織管理等方面，保障油服信息安全，形成集檢測、響應、恢復、防護為一體的安全保障體系。

2 油服信息安全保障體系架構(gòu)模型

油服信息安全保障體系框架采用“結(jié)構(gòu)化”的分析和控制方法，縱向把保護對象分成安全計算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡；橫向把控制體系分成安全管理、安全技術(shù)和安全運行的控制體系，同時通過“一個安全管理中心”的安全管理概念和模式，形成一個依托于安全保護對象為基礎，橫向建立安全管理體系、安全技術(shù)體系、安全運行體系和安全管理中心“三個體系、一個中心、三重防護”的信息安全保障體系

框架。

2.1 安全管理體系

根據(jù)等級保護基本要求的相關(guān)內(nèi)容，信息安全管理體系重點落實安全管理制度、安全管理機構(gòu)和人員安全管理的相關(guān)控制要求。

2.2 安全技術(shù)體系

根據(jù)等級保護基本要求的相關(guān)內(nèi)容，通過安全技術(shù)在物理、網(wǎng)絡、主機、應用和數(shù)據(jù)各個層面的實施，建立與實際情況相結(jié)合的安全技術(shù)體系。

2.3 安全運行體系

根據(jù)等級保護基本要求的相關(guān)內(nèi)容，信息安全運行體系重點落實系統(tǒng)建設管理和系統(tǒng)運維管理的相關(guān)控制要求，并與實際情況相結(jié)合，形成符合等級保護要求的信息安全運行體系

框架。

2.4 安全管理中心

根據(jù)等級保護基本要求和安全設計技術(shù)要求的相關(guān)內(nèi)容，通過“自動、平臺化”的方式，對信息安全管理、技術(shù)、運行三個體系的相關(guān)控制內(nèi)容，結(jié)合實際情況加以落實。

3 油服信息安全保障體系架構(gòu)設計

3.1 安全管理體系架構(gòu)設計

信息安全管理體系架構(gòu)的設計可從以下3方面開展。

3.1.1 信息安全組織

油服信息安全組織為信息安全管理委員會，各業(yè)務部門為信息安全小組，部門經(jīng)理為本小組的第一安全責任人。同時，定義了組織中各職能角色的職責，以此指導信息安全工作開展。

3.1.2 信息安全制度

油服的信息安全制度一方面能及時反映公司的信息安全風險動態(tài)，便于靈活地修訂與更新；另一方面確保信息安全技術(shù)與管理人員及用戶能夠了解哪些是禁止做的，哪些是必須做的。

3.1.3 人員安全管理

在人員安全管理方面，可以通過對人員錄用、調(diào)用、離崗、考核、培訓教育和第三方人員安全幾個方面進行設計。

3.2 安全技術(shù)體系架構(gòu)設計

信息安全技術(shù)體系架構(gòu)設計可從以下3個方面開展。

3.2.1 信息安全服務架構(gòu)

信息安全服務架構(gòu)設計分為保護、檢測、響應與恢復四個環(huán)節(jié)，實現(xiàn)對信息可用性、完整性和機密性的保護，監(jiān)測檢查系統(tǒng)存在的安全漏洞，對危害系統(tǒng)安全的事件行為做出響應

處理。

3.2.2 信息技術(shù)基礎設施安全架構(gòu)

信息技術(shù)基礎設施安全架構(gòu)以網(wǎng)絡安全架構(gòu)為主體，結(jié)合系統(tǒng)軟硬件進行安全配置和部署。網(wǎng)絡安全架構(gòu)的規(guī)劃根據(jù)網(wǎng)絡所承載的應用系統(tǒng)特性和所面臨的風險劃分不同的網(wǎng)絡安全域，并實施安全防護措施。

3.2.3 應用安全架構(gòu)

應用系統(tǒng)的信息安全保障是在信息技術(shù)基礎設施安全架構(gòu)上，更多地關(guān)注已有的信息安全服務是否被充分利用。為滿足業(yè)務系統(tǒng)對信息安全的需求，通過在業(yè)務系統(tǒng)中實現(xiàn)集成保障信息安全的機制，從而達到信息安全技術(shù)控制要求。

3.3 安全運行體系架構(gòu)設計

油服信息安全運行體系架構(gòu)設計主要從以下3個方面開展。

3.3.1 信息系統(tǒng)安全等級劃分

油服信息系統(tǒng)安全等級劃分從信息資產(chǎn)等級、網(wǎng)絡系統(tǒng)等級和應用系統(tǒng)等級三個方面進行定義。

3.3.2 信息安全技術(shù)控制

信息安全技術(shù)控制是由系統(tǒng)自身自動完成的安全控制。主要在信息系統(tǒng)的網(wǎng)絡層、系統(tǒng)層和應用層，包含身份鑒別、訪問控制、安全審計等五大類通用技術(shù)。

3.3.3 信息安全運作控制

信息安全運作控制是在油服業(yè)務運作和信息技術(shù)運作過程中進行實施的運作類安全控制，包括控制針對的主要風險點及具體分類。

4 結(jié)束語

在油服業(yè)務不斷拓展，國際化步伐不斷深入的過程中，信息系統(tǒng)在公司發(fā)展中的作用和地位日趨重要。公司對信息系統(tǒng)的依賴性也在不斷增長，信息安全也愈發(fā)重要。健全油服信息安全保障體系，為實現(xiàn)“制度標準化、工作制度化”的管理常態(tài)奠定了堅實的基礎。油服信息安全保障體系不僅從物理網(wǎng)絡安全、系統(tǒng)應用安全、數(shù)據(jù)和用戶安全等方面入手，還從安全域劃分、安全邊界防護、主動監(jiān)控、訪問控制和應急響應等方面綜合考慮，進一步加強落實信息安全等級保護的基本要求，初步實現(xiàn)對網(wǎng)絡與應用系統(tǒng)細粒度、全方位的安全管控，從而更為有效地提升了油服在信息安全方面的管理水平。

參考文獻

[1]馬永.淺談企業(yè)信息安全保障體系建設[J].計算機安全，2007（7）：72-75.

[2]王朗.一個信息安全保障體系模型的研究和設計[J].北京師范大學學報（自然科學版），2004（2）：58-62.

[3]黃海鷹.信息安全保障體系建設研究[J].數(shù)字圖書館論壇，2009（9）：13-15.

第7篇：網(wǎng)絡安全等級保護測評方法范文

關(guān)鍵詞：等級保護；惡意代碼防范

根據(jù)惡意代碼的功能，可分為病毒、蠕蟲、木馬、惡意腳本、惡意插件等類別。惡意代碼能夠破壞信息系統(tǒng)的穩(wěn)定性、可用性、數(shù)據(jù)的保密性和完整性等，因此等級保護標準把惡意代碼防范作為一個重要部分闡述。惡意代碼防范工作主要包括惡意代碼檢測、惡意代碼清除、惡意代碼庫的更新、惡意代碼檢測產(chǎn)品的升級、惡意代碼檢測產(chǎn)品差異性保持等。

1、等級保護中惡意代碼防范的基本要求

惡意代碼防范主要涉及信息系統(tǒng)的網(wǎng)絡、主機和應用三個層面。

1.1 網(wǎng)絡惡意代碼防范

絕大多數(shù)的惡意代碼是從網(wǎng)絡上感染本地主機的，因此，網(wǎng)絡邊界防范是整個防范工作的重點，是整個防范工作的“第一道門檻”。如果惡意代碼進入內(nèi)網(wǎng)，將直接威脅內(nèi)網(wǎng)主機及應用程序的安全。防范控制點設在網(wǎng)絡邊界處。防范需對所有的數(shù)據(jù)包進行拆包檢查，這樣會影響網(wǎng)絡數(shù)據(jù)傳輸效率，故其要求的實施條件比較高。在不同等級信息系統(tǒng)中的要求也不同，如表1所示。

1.2 主機惡意代碼防范

主機惡意代碼防范在防范要求中占據(jù)著基礎地位。～方面是因為網(wǎng)防范的實施條件要求較高；另—方面因網(wǎng)絡邊界防護并不是萬能的，它無法檢測所有的惡意代碼。因各等級信息系統(tǒng)都必需在本地主機進行惡意代碼防范，

主機惡意代碼防范有以下三條要求：（1）應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；（2）主機防惡意代碼產(chǎn)品應具有與網(wǎng)絡防惡意代碼產(chǎn)品不同的惡意代碼庫；（3）應支持防惡意代碼軟件的統(tǒng)一管理。

不同等級信息系統(tǒng)的惡意代碼防范要求如表2所示。

1.3 應用程序的惡意代碼防范

在等級保護基本要求中，對應用程序的惡意代碼防范沒有提出具體的要求。結(jié)合日常使用應用程序時在安全方面出現(xiàn)的問題，應用程序的惡意代碼防范應要求在應用程序使用前應先對應用程序進行漏洞檢測、黑白盒測試等，確保應用程序中不存在可被惡意代碼利用的漏洞、不存在編程人員插入的惡意代碼或留下的后門。

2、惡意代碼防范的工作要點

在等級保護安全測評工作中，具體的測評項和測評方法在測評標準中已經(jīng)有較詳細的規(guī)定。根據(jù)實際工作經(jīng)驗，我們提出防范惡意代碼要取得顯著成效，應注意的工作要點。

2.1 風險評估應全面考慮系統(tǒng)的脆弱性和風險性

風險評估應全面衡量信息系統(tǒng)在應用和數(shù)據(jù)方面的脆弱性，預估這些脆弱性衍生出安全風險的概率；然后結(jié)合系統(tǒng)已部署的安全措施對風險的影響進行全面分析

2.2 注重全網(wǎng)防護，防止安全短板

對系統(tǒng)的惡意代碼防護部署要做到多層次、多角度，確保在所有惡意代碼入口對惡意代碼進行檢測、阻止、清除。因此，在部署惡意代碼防范系統(tǒng)時要做到覆蓋全部終端和網(wǎng)絡邊界，防止由于ARP或沖擊波這樣的惡意代碼感染系統(tǒng)內(nèi)部分主機而導致整個網(wǎng)絡不可用。

2.3 在全網(wǎng)范圍內(nèi)部署統(tǒng)一的安全管理策略

在等保中，低級別安全域的威脅可能會影響到高級別安全域。為避免出現(xiàn)這種風險，可以在邏輯隔離區(qū)邊界配置訪問控制策略，限制通過網(wǎng)絡對高級別安全域的訪問；還可以將網(wǎng)內(nèi)不同級別安全域的配置統(tǒng)一為最高級別安全域的惡意代碼防范要求，防止低級別安全域中因防范策略過低感染惡意代碼后對基礎架構(gòu)造成威脅。

2.4 應注重對網(wǎng)絡安全狀況的監(jiān)控和多種保護能力的協(xié)作

這主要是從管理和運維的角度對等保提出的要求。要求人員能隨時監(jiān)控系統(tǒng)安全狀況，了解本網(wǎng)內(nèi)信息系統(tǒng)發(fā)惡意代碼入侵事件，做到風險可視、行為可控；要求系統(tǒng)安全隱患進行預警、排除，對緊急情況進行應急處理。

第8篇：網(wǎng)絡安全等級保護測評方法范文

論文摘要：互聯(lián)網(wǎng)技術(shù)給我們帶來很大的方便，同時也帶來了許多的網(wǎng)絡安全隱患，諸如陷門、網(wǎng)絡數(shù)據(jù)竊密、木馬掛馬、黑客侵襲、病毒攻擊之類的網(wǎng)絡安全隱患一直都威脅著我們。計算機網(wǎng)絡信息管理工作面臨著巨大的挑戰(zhàn)，如何在計算機網(wǎng)絡這個大環(huán)境之下，確保其安全運行，完善安全防護策略，已經(jīng)成為了相關(guān)工作人員最亟待解決的問題之一。該文首先分析了計算機網(wǎng)絡信息管理工作中的安全問題，其次，從多個方面就如何有效加強計算機網(wǎng)絡信息安全防護進行了深入的探討，具有一定的參考價值。

1概述

互聯(lián)網(wǎng)技術(shù)給我們帶來很大的方便，同時也帶來了許多的網(wǎng)絡安全隱患，諸如陷門、網(wǎng)絡數(shù)據(jù)竊密、木馬掛馬、黑客侵襲、病毒攻擊之類的網(wǎng)絡安全隱患一直都威脅著我們。為了確保計算機網(wǎng)絡信息安全，特別是計算機數(shù)據(jù)安全，目前已經(jīng)采用了諸如服務器、通道控制機制、防火墻技術(shù)、入侵檢測之類的技術(shù)來防護計算機網(wǎng)絡信息安全管理，即便如此，仍然存在著很多的問題，嚴重危害了社會安全。計算機網(wǎng)絡信息管理工作面臨著巨大的挑戰(zhàn)，如何在計算機網(wǎng)絡這個大環(huán)境之下，確保其安全運行，完善安全防護策略，已經(jīng)成為了相關(guān)工作人員最亟待解決的問題之一。

2計算機網(wǎng)絡信息管理工作中的安全問題分析

計算機網(wǎng)絡的共享性、開放性的特性給互聯(lián)網(wǎng)用戶帶來了較為便捷的信息服務，但是也使得計算機網(wǎng)絡出現(xiàn)了一些安全問題。在開展計算機網(wǎng)絡信息管理工作時，應該將管理工作的重點放在網(wǎng)絡信息的和訪問方面，確保計算機網(wǎng)絡系統(tǒng)免受干擾和非法攻擊。

2.1安全指標分析

（1）保密性

通過加密技術(shù)，能夠使得計算機網(wǎng)絡系統(tǒng)自動篩選掉那些沒有經(jīng)過授權(quán)的終端操作用戶的訪問請求，只能夠允許那些已經(jīng)授權(quán)的用戶來利用和訪問計算機網(wǎng)絡信息數(shù)據(jù)。

（2）授權(quán)性

用戶授權(quán)的大小與其能夠在計算機網(wǎng)絡系統(tǒng)中能夠利用和訪問的范圍息息相關(guān)，我們一般都是采取策略標簽或者控制列表的形式來進行訪問，這樣做的目的就在于能夠有效確保計算機網(wǎng)絡系統(tǒng)授權(quán)的正確性和合理性。

（3）完整性

可以通過散列函數(shù)或者加密的方法來防治非法信息進入計算機網(wǎng)絡信息系統(tǒng)，以此來確保所儲存數(shù)據(jù)的完整性。

（4）可用性

在計算機網(wǎng)絡信息系統(tǒng)的設計環(huán)節(jié)，應該要確保信息資源具有可用性，在突然遇到攻擊的時候，能夠及時使得各類信息資源恢復到正常運行的狀態(tài)。

（5）認證性

為了確保權(quán)限所有者和權(quán)限提供者都是同一用戶，目前應用較為廣泛的計算機網(wǎng)絡信息系統(tǒng)認證方式一般有兩種，分別是數(shù)據(jù)源認證和實體性認證兩種，這兩種方式都能夠得到在當前技術(shù)條件支持。

2.2計算機網(wǎng)絡信息管理中的安全性問題

大量的實踐證明，計算機網(wǎng)絡信息管理中存在的安全性問題主要有兩種類型，第一種主要針對計算機網(wǎng)絡信息管理工作的可用性和完整性，屬于信息安全監(jiān)測問題；第二種主要針對計算機網(wǎng)絡信息管理工作的抗抵賴性、認證性、授權(quán)性、保密性，屬于信息訪問控制問題。

（1）信息安全監(jiān)測

有效地實施信息安全監(jiān)測工作，可以在最大程度上有效消除網(wǎng)絡系統(tǒng)脆弱性與網(wǎng)絡信息資源開放性二者之間的矛盾，能夠使得網(wǎng)絡信息安全的管理人員及時發(fā)現(xiàn)安全隱患源，及時預警處理遭受攻擊的對象，然后再確保計算機網(wǎng)絡信息系統(tǒng)中的關(guān)鍵數(shù)據(jù)能夠得以恢復。

（2）信息訪問控制問題

整個計算機網(wǎng)絡信息管理的核心和基礎就是信息訪問控制問題。信息資源使用方和擁有方在網(wǎng)絡信息通信的過程都應該有一定的訪問控制要求。換而言之，整個網(wǎng)絡信息安全防護的對象應該放在資源信息的和個人信息的儲存。

3如何有效加強計算機網(wǎng)絡信息安全防護

（1）高度重視，完善制度

根據(jù)單位環(huán)境與特點制定、完善相關(guān)管理制度。如計算機應用管理規(guī)范、保密信息管理規(guī)定、定期安全檢查與上報等制度。成立領導小組和工作專班，完善《計算機安全管理制度》、《網(wǎng)絡安全應急預案》和《計算機安全保密管理規(guī)定》等制度，為規(guī)范管理夯實了基礎。同時，明確責任，強化監(jiān)督。嚴格按照保密規(guī)定，明確涉密信息錄入及流程，定期進行安全保密檢查，及時消除保密隱患，對檢查中發(fā)現(xiàn)的問題，提出整改時限和具體要求，確保工作不出差錯。此外，加強培訓，廣泛宣傳。有針對性組織開展計算機操作系統(tǒng)和應用軟件、網(wǎng)絡知識、數(shù)據(jù)傳輸安全和病毒防護等基本技能培訓，利用每周學習日集中收看網(wǎng)絡信息安全知識講座，使信息安全意識深入人心。 ?。?）合理配置，注重防范

第一，加強病毒防護。單位中心機房服務器和各基層單位工作端均部署防毒、殺毒軟件，并及時在線升級。嚴格區(qū)分訪問內(nèi)、外網(wǎng)客戶端，對機房設備實行雙人雙查，定期做好網(wǎng)絡維護及各項數(shù)據(jù)備份工作，對重要數(shù)據(jù)實時備份，異地儲存。同時，嚴格病毒掃描。針對網(wǎng)絡傳輸、郵件附件或移動介質(zhì)的方式接收的文件，有可能攜帶病毒的情況，要求接收它們之前使用殺毒軟件進行病毒掃描。第二，加強強弱電保護。在所有服務器和網(wǎng)絡設備接入端安裝弱電防雷設備，在所有弱電機房安裝強電防雷保護器，保障雷雨季節(jié)主要設備的安全運行。第三，加強應急管理。建立應急管理機制，完善應急事件出現(xiàn)時的事件上報、初步處理、查實處理、責任追究等措施，并定期開展進行預演，確保事件發(fā)生時能夠從容應對。第四，加強“兩個隔離”管理。即內(nèi)、外網(wǎng)物理徹底隔離和通過防火墻進行“邊界隔離”，通過隔離實現(xiàn)有效防護外來攻擊，防止內(nèi)、外網(wǎng)串聯(lián)。第五，嚴格移動存儲介質(zhì)應用管理。對單位所有的移動存儲介質(zhì)進行登記，要求使用人員嚴格執(zhí)行《移動存儲介質(zhì)管理制度》，杜絕外來病毒的入侵和泄密事件的發(fā)生。同時，嚴格安全密碼管理。所有工作用機設置開機密碼，且密碼長度不得少于8位，定期更換密碼。第六，嚴格使用桌面安全防護系統(tǒng)。每臺內(nèi)網(wǎng)計算機都安裝了桌面安全防護系統(tǒng)，實現(xiàn)了對計算機設備軟、硬件變動情況的適時監(jiān)控。第七，嚴格數(shù)據(jù)備份管理。除了信息中心對全局數(shù)據(jù)定期備份外，要求個人對重要數(shù)據(jù)也定期備份，把備份數(shù)據(jù)保存在安全介質(zhì)上。

（3）堅持以信息安全等級保護工作為核心

把等級保護的相關(guān)政策和技術(shù)標準與自身的安全需求深度融合，采取一系列有效措施，使等級保護制度在全局得到有效落實，有效的保障業(yè)務信息系統(tǒng)安全。

第一，領導高度重視，組織保障有力。單位領導應該高度重視信息化和信息安全工作，成立專門的信息中心，具體負責等級保護相關(guān)工作，統(tǒng)籌全局的信息安全工作。建立可靠的信息安全基礎設施，重點強化第二級信息系統(tǒng)的合規(guī)建設，加強了信息系統(tǒng)的運維管理，對重要信息系統(tǒng)建立了災難備份及應急預案，有效提高了系統(tǒng)的安全防護水平。

第二，完善措施，保障經(jīng)費。一是認真組織開展信息系統(tǒng)定級備案工作。二是組織開展信息系統(tǒng)等級測評和安全建設整改。三是開展了信息安全檢查活動。對信息安全、等級保護落實情況進行了檢查。

第三，建立完善各項安全保護技術(shù)措施和管理制度，有效保障重要信息系統(tǒng)安全。一是對網(wǎng)絡和系統(tǒng)進行安全區(qū)域劃分。按照《信息系統(tǒng)安全等級保護基本要求》，提出了“縱向分層、水平分區(qū)、區(qū)內(nèi)細分”的網(wǎng)絡安全區(qū)域劃分原則，對網(wǎng)絡進行了認真梳理、合理規(guī)劃、有效調(diào)整。二是持續(xù)推進病毒治理和桌面安全管理。三是加強制度建設和信息安全管理。本著“預防為主，建章立制，加強管理，重在治本”的原則，堅持管理與技術(shù)并重的原則，對信息安全工作的有效開展起到了很好的指導和規(guī)范作用。

（4）采用專業(yè)性解決方案保護網(wǎng)絡信息安全

大型的單位，如政府、高校、大型企業(yè)由于網(wǎng)絡信息資源龐大，可以采用專業(yè)性解決方案來保護網(wǎng)絡信息安全，諸如銳捷網(wǎng)絡門戶網(wǎng)站保護解決方案。銳捷網(wǎng)絡門戶網(wǎng)站保護解決方案能提供從網(wǎng)絡層、應用層到web層的全面防護；其中防火墻、ids分別提供網(wǎng)絡層和應用層防護，ace對web服務提供帶寬保障；而方案的主體產(chǎn)品銳捷webguard（wg）進行web攻擊防御，方案能給客戶帶來的價值：

防網(wǎng)頁篡改、掛馬

許多大型的單位作為公共信息提供者，網(wǎng)頁被篡改、掛馬將造成不良社會影響，降低單位聲譽。目前客戶常用的防火墻、ids/ ips、網(wǎng)頁防篡改，無法解決通過80端口、無特征庫、針對動態(tài)頁面的web攻擊。webguard ddse深度解碼檢測引擎有效防御sql注入、跨站腳本等。

高性能，一站式保護各院系網(wǎng)站

對于大型單位客戶，往往擁有眾多部門，而并非所有大型單位都將各部門網(wǎng)站統(tǒng)一管理。各部門網(wǎng)站技術(shù)運維能力相對較弱，經(jīng)常成為攻擊重點。webguard利用高性能多核架構(gòu)，提供并行處理。支持在網(wǎng)絡出口部署，一站式保護各部門網(wǎng)站。

“零配置”運行，簡化部署

webguard針對用戶，集成默認配置模板，支持“零配置”運行。一旦上線，即可防護絕大多數(shù)攻擊。后續(xù)用戶可以根據(jù)網(wǎng)絡情況，進行優(yōu)化策略。避免同類產(chǎn)品常見繁瑣配置，毋須客戶具備專業(yè)的安全技能，即可擁有良好的體驗。

滿足合規(guī)性檢查要求

繼08年北京奧運、09年國慶60周年后，10年上海世博會、廣州亞運會先后舉行。在重大活動前后，各級主管單位和公安部門，紛紛發(fā)文，要求針對網(wǎng)站安全采取措施。webguard恰好能很好的滿足合規(guī)性檢查的需求，幫助用戶順利通過檢查。

4結(jié)束語

新時期的計算機網(wǎng)絡信息管理工作正向著系統(tǒng)化、集成化、多元化的方向發(fā)展，但是網(wǎng)絡信息安全問題日益突出，值得我們大力關(guān)注，有效加強計算機網(wǎng)絡信息安全防護是極為重要的，具有較大的經(jīng)濟價值和社會效益。

參考文獻：

[1]段盛.企業(yè)計算機網(wǎng)絡信息管理系統(tǒng)可靠性探討[j].湖南農(nóng)業(yè)大學學報:自然科學版,2000(26):134-136.

[2]李曉琴.張卓容.醫(yī)院計算機網(wǎng)絡信息管理的設計與應用[j].醫(yī)療裝備,2003.(16):109-113.

[3]李曉紅.婦幼保健信息計算機網(wǎng)絡管理系統(tǒng)的建立與應用[j].中國婦幼保健,2010(25):156-158.

[4]羅宏儉.計算機網(wǎng)絡信息技術(shù)在公路建設項目管理中的應用[j].交通科技,2009.(1):120-125.

[5] bace rebecca.intrusion detection[m].macmillan technical publishing,2000.

第9篇：網(wǎng)絡安全等級保護測評方法范文

【 關(guān)鍵詞 】 信息安全；等級保護；定性分析；定量分析

【 Abstract 】 Classified protection of information system has been a strong way to protect the important IT system. The current determination of level exist some flaws， such as lack of feasible method to judge the level and quantity analysis. This paper proposes a scheme which composed of both qualitative and quantitative analysis. By taking this scheme， the accuracy of classified protection of information system could be promoted.

【 Keywords 】 information security； classified protection； qualitative analysis； quantitative analysis

1 引言

按照國家相關(guān)法律和國家標準，一些重要行業(yè)、重要單位需要根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民法人和其他組織的合法權(quán)益的危害程度等因素，對重要的信息系統(tǒng)確定其應該達到的安全保護等級（分為五個級別），信息系統(tǒng)安全保護能力隨著其被確定的安全保護等級的增高，逐漸增強。在對信息系統(tǒng)進行定級、采取安全防衛(wèi)措施后，還需要確認該系統(tǒng)是否已經(jīng)達到相應的保護等級及在未達到的情況下給出整改方案。

按照《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《計算機信息系統(tǒng)安全保護等級劃分準則》等法規(guī)和標準，信息系統(tǒng)的安全等級保護流程分為：確定等級、安全建設、等級測評、安全整改、安全檢查等五個步驟。

2 定級流程

現(xiàn)有方法在定級流程的第二和第三步，即評定定級對象的業(yè)務信息安全保護等級和系統(tǒng)服務安全保護等級時，國家標準GB 17859-1999《信息系統(tǒng)安全保護等級定級指南》中建議各行業(yè)可根據(jù)本行業(yè)信息特點和系統(tǒng)服務特點，制定客體被侵害程度的綜合評定方法。但現(xiàn)實中缺乏一套通用的準則和方法，因此在評價客體被侵害程度時受到人為因素的影響程度較大，定級過程中人員的主觀性強，對定級結(jié)果產(chǎn)生不利影響，如果定級不夠準確，則將影響該信息系統(tǒng)的后續(xù)防護工作，即不能實施與國家標準中匹配的防護強度，給防護帶來較大的安全隱患。

本文主要針對現(xiàn)有定級工作定級缺乏可行的準則，定級結(jié)果主觀成分大，定量不足的缺點，提出一種定性與定量結(jié)合的定級方法，提高信息系統(tǒng)的安全保護等級的定級準確性，從而安全建設環(huán)節(jié)根據(jù)定級結(jié)果做好重要信息系統(tǒng)的安全防護。

2.1 確定定級對象和受侵害的客體

為了體現(xiàn)重要部分重點保護，有效控制信息安全建設成本，優(yōu)化信息安全資源配置的等級保護原則，將較大的信息系統(tǒng)劃分為若干個較小的、可能具有不同安全保護等級的定級對象。定級對象受到破壞時所侵害的客體包括國家安全、社會秩序、公眾利益以及公民、法人和其他組織的合法權(quán)益。

2.3 確定對客體的侵害程度

（1）侵害的客觀方面。由于業(yè)務信息安全和系統(tǒng)服務安全受到破壞所侵害的客體和對客體的侵害程度可能會有所不同，在定級過程中，需要分別處理這兩種危害方式。（2）綜合判定侵害程度。國家標準GB 17859-1999《信息系統(tǒng)安全保護等級定級指南》種，將不同危害后果的三種危害程度描述：一般損害、嚴重損害、特別嚴重損害。

2.4 確定定級對象的安全保護等級

根據(jù)業(yè)務信息安全被破壞時所侵害的客體以及對相應客體的侵害程度，依據(jù)業(yè)務信息安全保護等級矩陣表，即可得到業(yè)務信息安全保護等級。根據(jù)系統(tǒng)服務安全被破壞時所侵害的客體以及對相應客體的侵害程度，依據(jù)系統(tǒng)服務安全保護等級矩陣表，即可得到系統(tǒng)服務安全保護等級。作為定級對象的信息系統(tǒng)的安全保護等級由業(yè)務信息安全保護等級和系統(tǒng)服務安全保護等級的較高者決定。

3 基于層次分析法的定級

本文采用層次分析法來進客體被侵害程度的定量確定。

3.1 建立層次分析模型

建立層次分析模型的過程：首先建立最高層（解決問題的目的）；中間層（實現(xiàn)總目標而采取的各種措施、必須考慮的準則等，也可稱策略層、約束層、準則層等）；以電信業(yè)務這一客體被侵害時受到影響必須考慮的因素為例，通常需要考察電信業(yè)務的覆蓋區(qū)域（面積）、該電信業(yè)務覆蓋范圍內(nèi)的用戶人數(shù)、區(qū)域內(nèi)業(yè)務量（一定時間周期內(nèi)的用戶撥打和接聽電話的時間長度）三個指標，需要說明的是，電信業(yè)務客體受到侵害需要考慮的不止以上提到的三個因素，在實踐中，還可以考慮其他因素。

最低層（用于解決問題的各種措施、方案等，也稱為方案層）。備選的方案為國家標準GB 17859-1999《信息系統(tǒng)安全保護等級定級指南》中確定的五個等級，分別是第一級、第二級、第三級、第四級和第五級。

針對確定客體被侵害程度問題建立的層次分析模型如圖1所示。

3.2 構(gòu)造成對比較矩陣

從層次分析模型的第二層開始，對于從屬于（或影響）上一層每個因素的同一層諸因素，用成對比較法和1-9比較尺度構(gòu)建成對比較矩陣，直到最下層。下面結(jié)合實例，構(gòu)造成對比較矩陣。以某地電信部門的電信系統(tǒng)的業(yè)務客體被侵害為例，得到三個指標的重要性依次為：區(qū)域內(nèi)業(yè)務量>該電信業(yè)務區(qū)域的用戶人數(shù)>電信業(yè)務區(qū)域覆蓋范圍。在矩陣中令區(qū)域業(yè)務量為m11，當前可用上傳帶寬為m22，電信業(yè)務區(qū)域覆蓋范圍為m33。

構(gòu)造一個三階矩陣Mij（3*3），根據(jù)長期積累的經(jīng)驗，其中m12=3，表示區(qū)域內(nèi)業(yè)務量相比該電信業(yè)務區(qū)域的用戶人數(shù)略重要，m13=5，表示區(qū)域內(nèi)業(yè)務量相比電信業(yè)務區(qū)域覆蓋范圍重要，m23=3，表示該電信業(yè)務區(qū)域的用戶人數(shù)比電信業(yè)務區(qū)域覆蓋范圍略重要，從而得到三階矩陣。

3.3 計算權(quán)向量并做一致性檢驗

要求成對比較矩陣具備一定的一致性即可。由分析可知，對完全一致的成對比較矩陣，其絕對值最大的特征值等于該矩陣的維數(shù)。

檢驗成對比較矩陣M一致性的步驟如下：計算衡量一個成對比矩陣M（n>1階方陣）不一致程度的指標CI為：

CI=

其中max（M）是矩陣M 的最大特征值，n為矩陣的階數(shù)。

通過計算，λmax為3.0385，特征向量為（0.6370， 0.2583，0.1047），即權(quán)重分別為0.637， 0.258和0.104

CI==0.01925

CI=0，有完全的一致性。CI接近于0，有滿意的一致性，反之CI越大，不一致越嚴重

按公式計算成對比較矩陣M 的隨機一致性比率CR：

CR=

RI稱為平均隨機一致性指標，它只與矩陣的階數(shù)有關(guān)，可從有關(guān)資料查出檢驗成對比較矩陣M一致性的標準RI。查表得出三階矩陣對應的RI為0.58，故有：

CR==0.033

判斷方法：（1） 當CR

3.4 計算客體被侵害的程度

在計算出每個評價因素的權(quán)重后，由于每個評價因素的數(shù)值隸屬于不同體系，因此要在同一標準體系下進行評價，在本例中，區(qū)域是以平方公里為單位，業(yè)務受到影響的用戶數(shù)量以萬人為單位，業(yè)務量是以萬小時/天為單位，在實踐中將每個評價因素的實際數(shù)值采用Decimal scaling小數(shù)定標標準化方法進行歸一化，通過歸一化因子，將每個評價因素的取值范圍限定于[0，1]。

國家標準GB 17859-1999《信息系統(tǒng)安全保護等級定級指南》中將等級保護對象受到破壞后對客體造成侵害的程度歸結(jié)為三種：a.造成一般損害；b.造成嚴重損害；c.造成特別嚴重損害。

定義：損害值D（Oi）為客體Oi被侵害的分值。

：D（Oi）∈（0，0.3]，則定義該客體受到的損害為一般損害

∈（0.3，0.8]，則定義該客體受到的損害為嚴重損害

∈（0.8，1]，則該客體受到的損害為特別嚴重損害

實踐中，可根據(jù)需要調(diào)整區(qū)間大小。

舉例來說，某市某區(qū)常住人口為60萬，電信業(yè)務量為平均80萬小時/每天，該區(qū)面積為250平方公里，通過歸一化公式X'=，其中，j是使得X'落入[0，1]的最小整數(shù)。

可計算出：

人口Pg=0.6，電信業(yè)務量Tg=0.8，業(yè)務覆蓋面積Sg=0.25 α=0.6370，β =0.2583 γ=0.1047，將歸一化后的三個評價因素，代入公式D（Oi）= αPg+βTg+γSg，求得D（Oi）=0.61。

從定義可以看出，客體受到“嚴重損害”，該客體屬于社會秩序和公眾利益范疇，根據(jù)業(yè)務信息安全保護等級矩陣表，侵害程度為第三級，故該信息系統(tǒng)的業(yè)務信息安全等級被定為“三級” 。對該信息系統(tǒng)的系統(tǒng)服務安全等級，可遵循同樣的方式計算得到，最后比較兩個等級，取最高等級作為最終該信息系統(tǒng)的安全保護等級。

4 結(jié)束語

本文針對現(xiàn)有信息系統(tǒng)的安全保護定級工作缺乏可行的定級準則，定級結(jié)果較大程度上取決于人的主觀感受、定性成分大和定量分析不足的缺點，提出一種定性與定量結(jié)合的定級方法，提高信息系統(tǒng)的安全保護等級的定級準確性，從而根據(jù)定級結(jié)果做好重要信息系統(tǒng)的安全防護。

參考文獻

[1] 姜政偉，趙文瑞，劉宇，劉寶旭.基于等級保護的云計算安全評估模型[J]. 計算機科學， 2013（08）.

[2] 陳志賓.基于等級保護思想的信息平臺安全研究與實現(xiàn)[D].河北工業(yè)大學，2012.

[3] 曾穎.醫(yī)院信息系統(tǒng)等級保護安全體系設計[J].微型電腦應用，2014（03）.

[4] 肖國煜.信息系統(tǒng)等級保護測評實踐[J].信息網(wǎng)絡安全， 2011（07）.

[5] 韓岳.高安全等級網(wǎng)站系統(tǒng)服務器安全研究[D].中國人民信息工程大學，2011.

基金項目：

廣東省戰(zhàn)略性新型產(chǎn)業(yè)發(fā)展專項資金（高端新型電子信息產(chǎn)業(yè)）項目資助（項目編號：2012556028）。

作者簡介：

王偉（1983-），男，重慶人，博士；主要研究方向與關(guān)注領域：信息安全、云計算。