網(wǎng)絡(luò)安全等級(jí)保護(hù)要求精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網(wǎng)絡(luò)安全等級(jí)保護(hù)要求主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網(wǎng)絡(luò)安全等級(jí)保護(hù)要求范文

關(guān)鍵詞：等級(jí)保護(hù) 信息系統(tǒng) 安全策略

中圖分類號(hào)：TP391.41 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2015）12-0000-00

隨著我國(guó)信息化建設(shè)的高速發(fā)展，信息技術(shù)水平的日益提高，眾多單位、組織都建立了自己的信息系統(tǒng)，以充分利用各類網(wǎng)絡(luò)信息資源。與此同時(shí)，各種非法入侵和盜竊、計(jì)算機(jī)病毒、拒絕服務(wù)攻擊、機(jī)密數(shù)據(jù)被篡改和竊取、網(wǎng)絡(luò)癱瘓等安全問(wèn)題也時(shí)刻威脅著我國(guó)網(wǎng)絡(luò)的安全。因此，維護(hù)網(wǎng)絡(luò)信息安全的任務(wù)異常艱巨、繁重。信息安全等級(jí)保護(hù)制度的建立，可以有效地解決我國(guó)網(wǎng)絡(luò)信息安全面臨的威脅及存在的問(wèn)題。

隨著信息安全等級(jí)保護(hù)工作的深入開展，不同等級(jí)信息系統(tǒng)之間的互聯(lián)、互通、互操作是當(dāng)前研究的熱點(diǎn)和難點(diǎn)，其中，如何制定有效的安全策略，確保信息在多級(jí)互聯(lián)信息系統(tǒng)間安全流通，是亟待解決的關(guān)鍵問(wèn)題。

1信息安全等級(jí)保護(hù)

信息安全等級(jí)保護(hù)是指對(duì)國(guó)家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。

等級(jí)保護(hù)環(huán)境下的信息系統(tǒng)一般由安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心構(gòu)成。其中，安全計(jì)算環(huán)境是對(duì)信息系統(tǒng)的信息進(jìn)行存儲(chǔ)、處理的相關(guān)部件；安全區(qū)域邊界是對(duì)信息系統(tǒng)的各個(gè)區(qū)域之間實(shí)現(xiàn)連接并實(shí)施訪問(wèn)控制的相關(guān)部件；安全通信網(wǎng)絡(luò)是保障信息在系統(tǒng)內(nèi)安全傳輸及安全策略實(shí)施的相關(guān)部件；安全管理中心是對(duì)信息系統(tǒng)的安全策略及安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)上的安全機(jī)制實(shí)施統(tǒng)一管理的平臺(tái)。

2多級(jí)互聯(lián)信息系統(tǒng)

我國(guó)信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)將信息系統(tǒng)按照安全保護(hù)能力劃分為五個(gè)安全等級(jí)，一些重要、大型的信息系統(tǒng)中可能存在多個(gè)不同等級(jí)的子系統(tǒng)，不同等級(jí)信息系統(tǒng)之間要實(shí)現(xiàn)可信互聯(lián)，由于信任體系和運(yùn)行模式不盡相同，互聯(lián)互通會(huì)導(dǎo)致安全風(fēng)險(xiǎn)的進(jìn)一步增加，尤其是低等級(jí)信息系統(tǒng)可能通過(guò)惡意授權(quán)給高等級(jí)信息系統(tǒng)帶來(lái)權(quán)限失控風(fēng)險(xiǎn)。

因此，需要建立一個(gè)總體的安全管理中心，將不同安全等級(jí)的子系統(tǒng)連接在一起，通過(guò)協(xié)同合作，實(shí)現(xiàn)特定的功能服務(wù)，這就是多級(jí)互聯(lián)信息系統(tǒng)。在多級(jí)互聯(lián)信息系統(tǒng)中，各個(gè)子系統(tǒng)和互聯(lián)系統(tǒng)本身，都需要實(shí)施信息分級(jí)分類保護(hù)，從而確保系統(tǒng)間的交互協(xié)作及信息流動(dòng)，保障系統(tǒng)的安全。

本文將在信息安全等級(jí)保護(hù)的要求下，研究多級(jí)互聯(lián)信息系統(tǒng)安全策略的制定，從而較好地解決多級(jí)互聯(lián)系統(tǒng)的安全風(fēng)險(xiǎn)問(wèn)題，確保系統(tǒng)安全。

3多級(jí)互聯(lián)信息系統(tǒng)安全策略的制定

安全策略是為規(guī)范網(wǎng)絡(luò)安全防護(hù)工作，保證網(wǎng)絡(luò)正常使用、發(fā)揮網(wǎng)絡(luò)效能所必須強(qiáng)制執(zhí)行的一系列要求、規(guī)范或操作。其主要作用是針對(duì)被保護(hù)對(duì)象面臨的主要威脅，圍繞安全防護(hù)目標(biāo)，提出網(wǎng)絡(luò)安全防護(hù)具體要求，指導(dǎo)安全管理行動(dòng)。確定并實(shí)施網(wǎng)絡(luò)安全策略是對(duì)網(wǎng)絡(luò)進(jìn)行有效安全管理的基礎(chǔ)和依據(jù)，是網(wǎng)絡(luò)信息系統(tǒng)安全保障的核心和起點(diǎn)，是實(shí)現(xiàn)網(wǎng)絡(luò)安全管理和技術(shù)措施的前提。因此，為了確保多級(jí)互聯(lián)信息系統(tǒng)安全有效地運(yùn)行，制定明確和合理的安全策略就成為了關(guān)鍵。

3.1指導(dǎo)思想

根據(jù)不同應(yīng)用類別和安全等級(jí)防護(hù)目標(biāo)的需求，給出安全防護(hù)策略的框架，研究制定各類網(wǎng)絡(luò)相應(yīng)的安全防護(hù)策略，并保證制定的安全策略具有較高的規(guī)范性、完備性和有效性。安全策略的制定與實(shí)施應(yīng)當(dāng)遵循“局部策略符合全局策略、下級(jí)策略符合上級(jí)策略”的原則。同時(shí)，隨著信息技術(shù)的發(fā)展以及系統(tǒng)的升級(jí)、調(diào)整，安全策略也應(yīng)該隨之進(jìn)行重新評(píng)估和制定，隨時(shí)保持策略與安全目標(biāo)的一致性，確保信息系統(tǒng)安全有效地運(yùn)行。

3.2基本原則

基于以上思想，制定多級(jí)互聯(lián)信息系統(tǒng)安全策略時(shí)應(yīng)遵循以下原則：

（1）統(tǒng)一領(lǐng)導(dǎo)，分級(jí)負(fù)責(zé)。針對(duì)系統(tǒng)、數(shù)據(jù)、用戶等保護(hù)對(duì)象，按照同類、同級(jí)集中的原則進(jìn)行等級(jí)保護(hù)級(jí)別的劃分，確定安全保護(hù)等級(jí)對(duì)應(yīng)的適用范圍及具體組織實(shí)施單位。（2）廣域監(jiān)察，局域管控。依托總體安全管理中心，建立多級(jí)互聯(lián)系統(tǒng)廣域安全監(jiān)察機(jī)制，監(jiān)督、檢查各安全域網(wǎng)絡(luò)節(jié)點(diǎn)和用戶網(wǎng)絡(luò)安全策略的配置執(zhí)行情況，監(jiān)測(cè)重要骨干網(wǎng)絡(luò)流量，預(yù)警網(wǎng)絡(luò)攻擊和入侵行為，形成網(wǎng)絡(luò)安全實(shí)時(shí)態(tài)勢(shì)；在各安全域網(wǎng)絡(luò)節(jié)點(diǎn)和用戶網(wǎng)絡(luò)建立局域安全管控機(jī)制，依托各級(jí)安全管理中心，對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)和用戶網(wǎng)絡(luò)的安全設(shè)備、主機(jī)系統(tǒng)的安全策略和安全事件進(jìn)行集中統(tǒng)一管理，實(shí)現(xiàn)網(wǎng)內(nèi)各類資源的可控可管，提高系統(tǒng)整體防護(hù)能力和維護(hù)管理效率。（3）分區(qū)分域，適度防護(hù)。根據(jù)等級(jí)保護(hù)的思想，在劃分的安全域中，一方面要遵循等級(jí)保護(hù)要求，加強(qiáng)主動(dòng)防范措施；另一方面要針對(duì)各安全域業(yè)務(wù)特點(diǎn)的保護(hù)強(qiáng)度，在不影響系統(tǒng)整體安全性的前提下，進(jìn)一步對(duì)各域的安全策略進(jìn)行設(shè)置，并確保這些策略的相對(duì)性、獨(dú)立性及關(guān)聯(lián)性。（4）區(qū)域自治，聯(lián)防聯(lián)動(dòng)：各安全域根據(jù)總體安全管理中心下發(fā)的安全策略，結(jié)合自身特定的安全需求，實(shí)施本區(qū)域內(nèi)的安全防護(hù)和管理。依托總體安全管理中心，建立廣域網(wǎng)上下一體的預(yù)警響應(yīng)和聯(lián)防聯(lián)動(dòng)機(jī)制；依托各級(jí)安全管理中心，建立局域網(wǎng)內(nèi)各安全設(shè)備之間的檢測(cè)響應(yīng)和聯(lián)防聯(lián)動(dòng)機(jī)制；并在各級(jí)安全管理中心、重要骨干節(jié)點(diǎn)、用戶網(wǎng)絡(luò)之間建立安全事件響應(yīng)和應(yīng)急協(xié)調(diào)機(jī)制。

第2篇：網(wǎng)絡(luò)安全等級(jí)保護(hù)要求范文

【關(guān)鍵詞】網(wǎng)絡(luò)安全 等級(jí)保護(hù) 實(shí)施方案

信息等級(jí)保護(hù)是我國(guó)踐行的一項(xiàng)主要制度，在實(shí)踐中通過(guò)對(duì)信息系統(tǒng)的相關(guān)重要程度與危害程度進(jìn)行等級(jí)劃分的形式開展保護(hù)，保障其信息的最大安全性，避免各種不同因素導(dǎo)致安全事故問(wèn)題的產(chǎn)生，因此本文對(duì)具體的安全等級(jí)保護(hù)以及實(shí)施方案進(jìn)行了探究分析。

1 三級(jí)安全系統(tǒng)模型的構(gòu)建

1.1 安全計(jì)算環(huán)境的具體實(shí)施

安全計(jì)算環(huán)境就是對(duì)相關(guān)等級(jí)系統(tǒng)進(jìn)行詳細(xì)的管理，通過(guò)對(duì)相關(guān)信息的存儲(chǔ)、處理以及安全策略的實(shí)施，掌握信息系統(tǒng)的核心情況。安全計(jì)算環(huán)境在其有效的區(qū)域邊界安全防護(hù)之下，可以有針對(duì)性的避免各種外界網(wǎng)絡(luò)攻擊行為以及一些非授權(quán)的訪問(wèn)。對(duì)此，安全計(jì)算機(jī)環(huán)境的整體安全防范工作就是有計(jì)劃有標(biāo)準(zhǔn)的提升系統(tǒng)整體安全性改造，避免出現(xiàn)系統(tǒng)因?yàn)樽陨淼陌踩┒?、系統(tǒng)缺陷等原因?qū)е碌墓魡?wèn)題。

同時(shí)，安全計(jì)算環(huán)境自身安全防護(hù)工作的開展，主要是實(shí)現(xiàn)對(duì)系統(tǒng)內(nèi)部產(chǎn)生的相關(guān)攻擊以及非授權(quán)訪問(wèn)的各種各樣行為進(jìn)行防范與控制，避免內(nèi)部人員因自身的數(shù)據(jù)以及信息處理方式導(dǎo)致的各種破壞行為的產(chǎn)生。

1.2 安全網(wǎng)絡(luò)環(huán)境的具體實(shí)施

信息系統(tǒng)中的各個(gè)計(jì)算機(jī)與計(jì)算域、用戶與用戶域主要是通過(guò)網(wǎng)絡(luò)進(jìn)行系統(tǒng)的銜接，網(wǎng)絡(luò)對(duì)不同系統(tǒng)之間的相關(guān)信息傳輸有著承載通道的主要作用。網(wǎng)絡(luò)在應(yīng)用中可以位于系統(tǒng)之內(nèi)也可以位于系統(tǒng)之外，其中一些網(wǎng)絡(luò)數(shù)據(jù)信息流，或多或少會(huì)通過(guò)或者經(jīng)過(guò)一些不穩(wěn)定的網(wǎng)絡(luò)環(huán)境進(jìn)行傳輸。對(duì)此，網(wǎng)絡(luò)安全防護(hù)工作在實(shí)際操作過(guò)程中，首先要保障整個(gè)網(wǎng)絡(luò)設(shè)備自身的安全性，要對(duì)設(shè)備進(jìn)行定期的維護(hù)，避免其受到各種網(wǎng)絡(luò)攻擊，進(jìn)而在最大程度上提升網(wǎng)絡(luò)中信息流的整體安全健壯性，之后在此基礎(chǔ)上逐步提升其整體通信架構(gòu)的實(shí)用性、完整性以及保密性。

基于網(wǎng)絡(luò)自身的保密要求，在應(yīng)用中要使用網(wǎng)絡(luò)加密技術(shù)與應(yīng)用本身進(jìn)行融合，進(jìn)而實(shí)現(xiàn)三級(jí)保護(hù)中的相關(guān)要求。網(wǎng)絡(luò)安全域要具有自身的網(wǎng)絡(luò)結(jié)構(gòu)安全范圍，同時(shí)可以對(duì)相關(guān)網(wǎng)絡(luò)的具體訪問(wèn)操作進(jìn)行系統(tǒng)的控制，進(jìn)一步提升對(duì)安全審計(jì)工作的重視，保障相關(guān)邊界的完整性，避免各種網(wǎng)絡(luò)入侵以及網(wǎng)絡(luò)攻擊問(wèn)題的出現(xiàn)，杜絕惡意代碼問(wèn)題的產(chǎn)生，進(jìn)而實(shí)現(xiàn)整體網(wǎng)絡(luò)設(shè)備的有效防護(hù)與相關(guān)網(wǎng)絡(luò)信息保護(hù)功能。

1.3 安全區(qū)域邊界的具體實(shí)施

邊界安全防護(hù)是指在相關(guān)信息安全系統(tǒng)的各種業(yè)務(wù)流程上對(duì)其進(jìn)行區(qū)分與劃分，是不同應(yīng)用與數(shù)據(jù)內(nèi)容的安全域的系統(tǒng)邊界。一般狀況之下，邊界安全的防護(hù)邊界與相關(guān)防御工作的開展就是通過(guò)依托于相關(guān)隔離設(shè)備與防護(hù)技術(shù)進(jìn)行完成的，并且將其作為安全保護(hù)的切入點(diǎn)，邊界防護(hù)主要實(shí)現(xiàn)網(wǎng)絡(luò)隔離、地址綁定以及訪問(wèn)控制管理等相關(guān)功能。其主要目標(biāo)是對(duì)相關(guān)邊界內(nèi)外部的各種攻擊進(jìn)行檢測(cè)、告警與防御，可以有效的避免內(nèi)部相關(guān)工作人員出現(xiàn)惡意或者無(wú)意的跨越邊界造成攻擊與泄露行為隱患。相關(guān)管理人員通過(guò)對(duì)相關(guān)日志的審核，可對(duì)一些違規(guī)事件進(jìn)行詳細(xì)的審計(jì)追蹤。

1.4 安全管理中心的具體實(shí)施

安全管理中心是整個(gè)信息系統(tǒng)的核心安全管理系統(tǒng)，對(duì)于整個(gè)系統(tǒng)的安全機(jī)制管理有著重要的作用，作為信息系統(tǒng)的核心安全管理平臺(tái)，是對(duì)相關(guān)信息系統(tǒng)不同的安全機(jī)制進(jìn)行有效高效的管理，安全管理中心將相關(guān)系統(tǒng)中的較為分散的安全機(jī)制進(jìn)行系統(tǒng)化的管理后，通過(guò)集中管理模式提升其整體效能與作用。

安全管理中心可以將其作為整個(gè)信息系統(tǒng)中與相關(guān)體系域中的整體安全計(jì)算域、相關(guān)安全用戶域以及各個(gè)網(wǎng)絡(luò)安全域等流程進(jìn)行系統(tǒng)的進(jìn)行統(tǒng)籌記錄與分析管理，進(jìn)而對(duì)其進(jìn)行整體的統(tǒng)一調(diào)度，有效實(shí)現(xiàn)相關(guān)用戶身份與授權(quán)、用戶訪問(wèn)與控制、用戶操作與審計(jì)的過(guò)程管理，最終達(dá)到對(duì)其存在的風(fēng)險(xiǎn)進(jìn)行控制、通信架構(gòu)運(yùn)行情況得到實(shí)施展現(xiàn)于掌握，充分地凸顯整體安全防護(hù)系統(tǒng)的內(nèi)在效能與作用。

2 信息安全系統(tǒng)的有效實(shí)現(xiàn)

2.1 系統(tǒng)定級(jí)實(shí)現(xiàn)

系統(tǒng)定級(jí)在操作中主要涵蓋了系統(tǒng)識(shí)別與相關(guān)描述，利用風(fēng)險(xiǎn)評(píng)估，基于相關(guān)標(biāo)準(zhǔn)對(duì)整個(gè)信息系統(tǒng)的實(shí)際等級(jí)標(biāo)準(zhǔn)進(jìn)行確定，在通過(guò)相關(guān)部門批準(zhǔn)之后形成一個(gè)定級(jí)報(bào)告，在此基礎(chǔ)上最后完成相關(guān)信息系統(tǒng)的等級(jí)劃分與具體的定級(jí)工作。

2.2 總體的安全建設(shè)規(guī)劃

總體的安全建設(shè)規(guī)劃主要是基于相關(guān)信息系統(tǒng)，承載相關(guān)業(yè)務(wù)的狀況，根據(jù)風(fēng)險(xiǎn)評(píng)估數(shù)據(jù)，明確其具體結(jié)構(gòu)，綜合實(shí)踐中存在的安全風(fēng)險(xiǎn)，結(jié)合相關(guān)系統(tǒng)的具體安全要求，并制定出一個(gè)具體的安全實(shí)施計(jì)劃，為今后的信息系統(tǒng)安全建設(shè)工程的相關(guān)內(nèi)容實(shí)施提供參考依據(jù)與指導(dǎo)。對(duì)處于一些已經(jīng)開展的信息系統(tǒng)，要對(duì)其具體的需求進(jìn)行分析，判斷其整體狀況與要求，明確差距后再開展工作。

2.3 安全實(shí)施

安全實(shí)施的過(guò)程就是根據(jù)信息系統(tǒng)的整體方案的相關(guān)要求，綜合信息系統(tǒng)的項(xiàng)目建設(shè)計(jì)劃與目的，分期分步的落實(shí)各項(xiàng)安全措施，同時(shí)將根據(jù)具體的等級(jí)需求，制定符合其對(duì)應(yīng)等級(jí)的安全需求方案，對(duì)整個(gè)系統(tǒng)進(jìn)行評(píng)估，使其滿足各種不同等級(jí)的保護(hù)需求。

2.4 運(yùn)行與維護(hù)工作

在系統(tǒng)的整體運(yùn)行期間，需對(duì)全網(wǎng)整體的安全風(fēng)險(xiǎn)進(jìn)行監(jiān)控，對(duì)其變化進(jìn)行分析，進(jìn)而對(duì)其安全運(yùn)行狀況進(jìn)行系統(tǒng)化的評(píng)估。基于具體的評(píng)估結(jié)果對(duì)整個(gè)系統(tǒng)中存在安全[患的架構(gòu)部分進(jìn)行優(yōu)化設(shè)計(jì)與改造，進(jìn)而制定相應(yīng)的安全措施。

3 結(jié)束語(yǔ)

信息安全系統(tǒng)的實(shí)施對(duì)于網(wǎng)絡(luò)安全等級(jí)的優(yōu)化有著重要的意義，對(duì)此要提升對(duì)其工作的重視度，全面踐行相關(guān)等級(jí)保護(hù)與實(shí)施方案中的各項(xiàng)措施，提升整體的網(wǎng)絡(luò)安全性。

參考文獻(xiàn)

[1]陳華智，張聞，張華磊.網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施方案的實(shí)施及應(yīng)用實(shí)踐[J].浙江電力，2011（03）：54-57.

[2]張都樂(lè)，何淼，張洋，王照付.信息系統(tǒng)等級(jí)保護(hù)實(shí)施方案研究與分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2012（08）：5-7.

[3]李洪民.淺談網(wǎng)絡(luò)安全等級(jí)保護(hù)信息建設(shè)方案[J].現(xiàn)代工業(yè)經(jīng)濟(jì)和信息化，2016（13）：85-87+89.

作者簡(jiǎn)介

趙晶晶（1983-），女，北京市人。工程師。碩士研究生學(xué)歷。研究方向?yàn)榫W(wǎng)絡(luò)安全。

第3篇：網(wǎng)絡(luò)安全等級(jí)保護(hù)要求范文

建設(shè)財(cái)政信息的安全系統(tǒng)是財(cái)政管理改革發(fā)展中的要求。當(dāng)下財(cái)政信息化的應(yīng)用在全國(guó)各地的財(cái)政系統(tǒng)中正逐漸深入，覆蓋了各級(jí)財(cái)政部門和面向社會(huì)公眾的財(cái)政信息系統(tǒng)?？梢哉f(shuō)財(cái)政信息系統(tǒng)是各級(jí)財(cái)政系統(tǒng)進(jìn)行信息共享的平臺(tái)，目前由于大量需要保護(hù)的數(shù)據(jù)和信息存儲(chǔ)在財(cái)政信息系統(tǒng)中，所以對(duì)系統(tǒng)中運(yùn)行的安全保障提出了更高的要求。

【關(guān)鍵詞】等級(jí)保護(hù) 財(cái)政信息系統(tǒng) 信息安全

在財(cái)政信息系統(tǒng)安全建設(shè)的過(guò)程中，由于系統(tǒng)復(fù)雜、數(shù)據(jù)安全的屬性要求存在著差異，導(dǎo)致系統(tǒng)在不同程度上存在一定的脆弱性；在系統(tǒng)安全的規(guī)劃和設(shè)計(jì)中由于對(duì)策略認(rèn)識(shí)不夠，以致風(fēng)險(xiǎn)延續(xù)到信息系統(tǒng)的運(yùn)行和維護(hù)管理階段。文章從我國(guó)信息安全等級(jí)體系的規(guī)范和標(biāo)準(zhǔn)著眼，對(duì)財(cái)政信息系統(tǒng)的安全保護(hù)等級(jí)模型進(jìn)行了分析，并提出了進(jìn)一步完善財(cái)政信息系統(tǒng)安全的措施。

1 信息安全的保護(hù)等級(jí)及其基本流程

目前信息安全技術(shù)和管理水平在不斷地提升和發(fā)展，人們逐漸意識(shí)到要想保障信息系統(tǒng)的安全，就要不斷完善信息安全管理和技術(shù)體系，構(gòu)建完整的信息系統(tǒng)，并且為了把信息和信息系統(tǒng)的殘留風(fēng)險(xiǎn)降低到最小級(jí)別，就要提高信息安全應(yīng)急處置的能力。由于當(dāng)前不同的信息和信息系統(tǒng)，對(duì)其安全級(jí)別的要求也不盡相同，應(yīng)將管理策略、技術(shù)、工程過(guò)程等多個(gè)方面相結(jié)合，同時(shí)進(jìn)行客觀的綜合考慮，對(duì)信息系統(tǒng)的安全分類需要充分運(yùn)用信息安全等級(jí)保護(hù)的思想和方式。

1.1 信息系統(tǒng)安全保護(hù)等級(jí)

信息系統(tǒng)安全保護(hù)等級(jí)在《信息安全技術(shù)――信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中劃分為五個(gè)等級(jí)，信息系統(tǒng)安全保護(hù)等級(jí)的第一級(jí)是用戶自主保護(hù)等級(jí)，用戶可根據(jù)自主訪問(wèn)控制、身份鑒別和數(shù)據(jù)的完整性這三個(gè)條款進(jìn)行判斷；第二級(jí)是系統(tǒng)審計(jì)保護(hù)級(jí)，在第一級(jí)的基礎(chǔ)上增加了兩個(gè)條款，分別是客體重用和審計(jì)；第三級(jí)是安全標(biāo)記保護(hù)級(jí)，在第二級(jí)的基礎(chǔ)上增加了強(qiáng)制訪問(wèn)控制、標(biāo)記等條款；第四級(jí)是結(jié)構(gòu)化保護(hù)級(jí)，在第三級(jí)的基礎(chǔ)上增加了可信路徑和隱蔽信道分析；第五級(jí)是訪問(wèn)驗(yàn)證保護(hù)級(jí)，在第四級(jí)的基礎(chǔ)上增加了可信恢復(fù)條款。這五個(gè)等級(jí)的基本內(nèi)容以信息安全的屬性為主，即網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、物理安全以及管理安全等五個(gè)方面，根據(jù)其不同要求，對(duì)安全信息系統(tǒng)的構(gòu)建、測(cè)評(píng)和運(yùn)行過(guò)程進(jìn)行管理和掌控，進(jìn)而實(shí)現(xiàn)對(duì)不同信息的類別按照不同的要求進(jìn)行等級(jí)安全保護(hù)的目標(biāo)，盡管不同等級(jí)的條款中有些內(nèi)容是相似的，但在一定程度上仍然存在著差異，安全保護(hù)能力的要求會(huì)隨著保護(hù)等級(jí)的提升而逐漸增強(qiáng)。

1.2 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施的流程

信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施的基本流程包括五個(gè)階段，分別是定級(jí)階段、備案階段、測(cè)評(píng)階段、整改階段、運(yùn)行和維護(hù)階段。其中等級(jí)保護(hù)工作的基本前提是系統(tǒng)劃分和定級(jí)工作，定級(jí)工作必須要首先確定，否則后面的工作將會(huì)無(wú)從做起；備案階段中，當(dāng)專家評(píng)審與自定級(jí)不同時(shí)，要重新定級(jí)，才能夠進(jìn)行備案工作；測(cè)評(píng)階段中指定的第三方測(cè)評(píng)機(jī)構(gòu)必須是權(quán)威機(jī)構(gòu)，需要公正公平地對(duì)系統(tǒng)進(jìn)行測(cè)評(píng)；整改和復(fù)測(cè)階段中對(duì)于整改的項(xiàng)目要通過(guò)等級(jí)保護(hù)測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估的方法進(jìn)行分析。等級(jí)保護(hù)工作要隨著信息系統(tǒng)建設(shè)的變化和發(fā)展而做出不斷循環(huán)的工作。

2 財(cái)政信息系統(tǒng)的等級(jí)保護(hù)

2.1 財(cái)政信息系統(tǒng)安全的架構(gòu)

在財(cái)政信息系統(tǒng)安全的架構(gòu)模式中，既包含計(jì)算機(jī)網(wǎng)絡(luò)通信和環(huán)境平臺(tái)、又有多種相關(guān)的業(yè)務(wù)平臺(tái)，并且這些應(yīng)用的安全等級(jí)各不相同，所以采取的安全保護(hù)策略也有所不同。財(cái)政信息系統(tǒng)規(guī)模大、系統(tǒng)復(fù)雜，按照系統(tǒng)的功能可以分為核心數(shù)據(jù)中心、采購(gòu)管理、預(yù)算管理、業(yè)務(wù)門戶網(wǎng)站等多個(gè)子系統(tǒng)，要按照業(yè)務(wù)應(yīng)用數(shù)據(jù)的不同性質(zhì)進(jìn)行不同安全等級(jí)的保護(hù)?？傊鶕?jù)財(cái)政信息系統(tǒng)的實(shí)際情況，構(gòu)建一個(gè)相對(duì)完善的財(cái)政信息系統(tǒng)模型。

2.2 財(cái)政信息系統(tǒng)安全的等級(jí)區(qū)域的劃分

財(cái)政信息系統(tǒng)安全等級(jí)保護(hù)要根據(jù)系統(tǒng)的特點(diǎn)和性質(zhì)進(jìn)行不同區(qū)域的安全劃分，以實(shí)現(xiàn)不同強(qiáng)度下的安全保護(hù)。針對(duì)財(cái)政信息系統(tǒng)中不同子系統(tǒng)的實(shí)際情況，可以將財(cái)政信息網(wǎng)絡(luò)劃分為不同的安全保密等級(jí)區(qū)域，分別為業(yè)務(wù)核心區(qū)，辦公用戶區(qū)域、專線用戶區(qū)域、內(nèi)部網(wǎng)與互聯(lián)網(wǎng)信息交換的區(qū)域等。

3 財(cái)政信息系統(tǒng)的等級(jí)的保護(hù)措施

在財(cái)政信息系統(tǒng)安全等級(jí)保護(hù)的建設(shè)工作中，目前采取內(nèi)網(wǎng)與外網(wǎng)物理隔離的方式，從物理上把財(cái)政業(yè)務(wù)中各個(gè)子系統(tǒng)與對(duì)外服務(wù)區(qū)進(jìn)行劃分，分別劃分到不同的子網(wǎng)，在財(cái)政業(yè)務(wù)的防火墻上可以設(shè)置權(quán)限為允許的策略，源地址是內(nèi)部桌面，目的地址是業(yè)務(wù)服務(wù)器，對(duì)于其他服務(wù)的子系統(tǒng)，同樣需要防火墻進(jìn)行隔離，使各子系統(tǒng)都有充分的隔離和清晰的界限，同時(shí)可以配置漏洞掃描設(shè)備的檢測(cè)設(shè)備，不定期對(duì)各個(gè)服務(wù)器進(jìn)行掃描。

數(shù)據(jù)備份能夠進(jìn)一步保障財(cái)政信息系統(tǒng)的安全，在財(cái)政信息系統(tǒng)應(yīng)用中需要配備存儲(chǔ)備份設(shè)備以實(shí)現(xiàn)數(shù)據(jù)自動(dòng)備份，一旦系統(tǒng)出現(xiàn)故障，通過(guò)數(shù)據(jù)備份即可恢復(fù)。為了進(jìn)一步支持財(cái)政信息系統(tǒng)的穩(wěn)步運(yùn)行，可建立一個(gè)異地財(cái)政信息數(shù)據(jù)備份中心，以防財(cái)政信息系統(tǒng)發(fā)生災(zāi)難性故障時(shí)實(shí)現(xiàn)異地遠(yuǎn)程恢復(fù)的功能。

在財(cái)政信息系統(tǒng)安全保障體系建立的過(guò)程中，要嚴(yán)格依照等級(jí)保護(hù)下的安全管理制度、系統(tǒng)建設(shè)制度和相關(guān)財(cái)政系信息管理的法律及標(biāo)準(zhǔn)，在建立完善的網(wǎng)絡(luò)安全管理機(jī)制的同時(shí)明確管理人員的職責(zé)。

4 結(jié)論

綜上所述，文章從我國(guó)信息安全等級(jí)體系的規(guī)范和標(biāo)準(zhǔn)著眼，對(duì)財(cái)政信息系統(tǒng)的安全保護(hù)等級(jí)模型進(jìn)行了分析，并提出了進(jìn)一步完善財(cái)政信息系統(tǒng)安全的有效措施。在財(cái)政信息建設(shè)的過(guò)程中，設(shè)計(jì)出一個(gè)科學(xué)合理、全面的信息安全解決方案是一個(gè)關(guān)鍵的任務(wù)，要從我國(guó)信息安全等級(jí)體系的規(guī)范和標(biāo)準(zhǔn)著眼，對(duì)財(cái)政信息系統(tǒng)安全保障的體系進(jìn)行深入的探討，以達(dá)到切實(shí)保護(hù)財(cái)政信息系統(tǒng)安全的目的。

參考文獻(xiàn)

[1]龔雷.應(yīng)用安全透明支撐平臺(tái)體系結(jié)構(gòu)與模型研究[D].鄭州：信息工程大學(xué)，2013.

[2]王會(huì).基于等級(jí)保護(hù)的黨校網(wǎng)絡(luò)安全體系的研究與應(yīng)用[D].廣州：中山大學(xué)，2012.

[3]劉莎莎.NN市委辦政務(wù)信息系統(tǒng)安全等級(jí)保護(hù)策略研究[D].南寧：廣西大學(xué)，2012.

[4]高朝勤.信息系統(tǒng)等級(jí)保護(hù)中的多級(jí)安全技術(shù)研究[D].北京：北京工業(yè)大學(xué)，2012.

第4篇：網(wǎng)絡(luò)安全等級(jí)保護(hù)要求范文

1 廈門港集裝箱智慧物流平臺(tái)概述

廈門港集裝箱智慧物流平臺(tái)是廈門港務(wù)控股集團(tuán)有限公司為適應(yīng)港口物流業(yè)轉(zhuǎn)型升級(jí)的需要，利用移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等技術(shù)，以打造港口物流數(shù)字化、智能化生態(tài)系統(tǒng)，實(shí)現(xiàn)物流信息的高效、便捷共享為目的所建立的集裝箱物流信息服務(wù)平臺(tái)。該平臺(tái)以一次錄入、全流程共享為特色，集合全港集裝箱進(jìn)出口流程，涵蓋貨代、船代、堆場(chǎng)、集卡、碼頭以及“一關(guān)三檢”等各節(jié)點(diǎn)的有效數(shù)據(jù)，實(shí)現(xiàn)集裝箱設(shè)備交接的電子化、智能化，并支持集卡運(yùn)輸企業(yè)對(duì)集卡的指揮、調(diào)度功能。

廈門港集裝箱智慧物流平臺(tái)的主要功能如下：（1）報(bào)文平臺(tái)功能，連接船代、車隊(duì)、堆場(chǎng)、碼頭各方，實(shí)現(xiàn)集裝箱設(shè)備交接單數(shù)據(jù)的實(shí)時(shí)共享；（2）接口平臺(tái)功能，向堆場(chǎng)、車隊(duì)、碼頭提供統(tǒng)一的數(shù)據(jù)接口，對(duì)接信息化管理下的堆場(chǎng)、車隊(duì)和碼頭，實(shí)現(xiàn)各環(huán)節(jié)物流信息的實(shí)時(shí)更新；（3）互聯(lián)網(wǎng)平臺(tái)功能，實(shí)現(xiàn)車隊(duì)、集卡、司機(jī)信息備案管理，為車隊(duì)提供調(diào)度派單功能，為堆場(chǎng)提供數(shù)據(jù)更新功能，為碼頭提供數(shù)據(jù)查詢、統(tǒng)計(jì)分析等功能；（4）移動(dòng)應(yīng)用平臺(tái)功能，開發(fā)支持Android和iOS系統(tǒng)的手機(jī)應(yīng)用程序，為車隊(duì)提供手機(jī)派單、查詢追蹤等功能，為司機(jī)提供手機(jī)接單、預(yù)約等功能，為堆場(chǎng)提供拍照驗(yàn)箱功能，并為用戶提供數(shù)據(jù)查詢服務(wù)。

2 廈門港集裝箱智慧物流平臺(tái)安全策略

規(guī)劃

（1）管理安全 管理安全是安全策略中十分重要的環(huán)節(jié)。管理安全策略涉及安全組織機(jī)構(gòu)、安全管理制度、安全培訓(xùn)、安全意識(shí)教育等，以實(shí)現(xiàn)對(duì)維護(hù)人員、技術(shù)支持人員、管理人員、開發(fā)人員的權(quán)限控制、口令保密、審計(jì)跟蹤等安全管控為目標(biāo)。

（2）物理安全 物理安全涉及基礎(chǔ)設(shè)施、環(huán)境、設(shè)備、電磁屏蔽等方面的安全控制，為平臺(tái)部署提供防災(zāi)、防震、防干擾、防輻射等物理安全保障以及雙機(jī)熱備、鏈路冗余等安全策略規(guī)劃。

（3）網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全包括內(nèi)外網(wǎng)區(qū)域隔離、不同網(wǎng)段應(yīng)用訪問(wèn)控制或隔離、虛擬專用網(wǎng)絡(luò)登錄、鏈路均衡負(fù)載、防火墻、防篡改等網(wǎng)絡(luò)安全策略。

（4）系統(tǒng)安全 保障操作系統(tǒng)和數(shù)據(jù)庫(kù)安全，定期掃描發(fā)現(xiàn)并修復(fù)漏洞和隱患，關(guān)閉不必要的服務(wù)、端口、協(xié)議等。

（5）應(yīng)用安全 確保集裝箱智慧物流平臺(tái)的各項(xiàng)應(yīng)用功能連續(xù)、可靠運(yùn)行，支持功能模塊擴(kuò)展、用戶擴(kuò)容需要，使平臺(tái)升級(jí)更新不影響正常業(yè)務(wù)運(yùn)行。

（6）運(yùn)營(yíng)安全 對(duì)集裝箱智慧物流平臺(tái)實(shí)施動(dòng)態(tài)保護(hù)，并在系統(tǒng)運(yùn)行中實(shí)現(xiàn)信息和數(shù)據(jù)的恢復(fù)；采用上網(wǎng)行為控制、網(wǎng)絡(luò)管理、防病毒、入侵防護(hù)、抗拒絕服務(wù)等手段監(jiān)控網(wǎng)絡(luò)運(yùn)行及流量；制訂應(yīng)急計(jì)劃和策略，實(shí)現(xiàn)突發(fā)事件的異地備份和恢復(fù)。

（7）密鑰安全 密鑰管理處理密鑰自產(chǎn)生到最終銷毀整個(gè)過(guò)程中的所有問(wèn)題，包括系統(tǒng)初始化以及密鑰的產(chǎn)生、存儲(chǔ)、備份（或裝入）、分配、保護(hù)、更新、控制、丟失、吊銷和銷毀等。通過(guò)制定密鑰管理制度，對(duì)密鑰實(shí)施完整而周密的管理。

（8）數(shù)據(jù)和信息安全 通過(guò)數(shù)據(jù)庫(kù)審計(jì)等手段對(duì)數(shù)據(jù)的訪問(wèn)活動(dòng)進(jìn)行跟蹤記錄，確保數(shù)據(jù)的完整性、保密性、可用性和不可否認(rèn)性，涉及數(shù)據(jù)加密、完整性校驗(yàn)、數(shù)據(jù)備份、數(shù)字簽名等。

3 廈門港集裝箱智慧物流平臺(tái)安全策略的

實(shí)施情況

3.1 建設(shè)互為災(zāi)備的高可靠性綠色節(jié)能雙機(jī)房

在廈門島內(nèi)和島外分別選址建設(shè)B類標(biāo)準(zhǔn)整體機(jī)房（見(jiàn)圖1），實(shí)現(xiàn)區(qū)域中心機(jī)房的互為災(zāi)備和恢復(fù)。主機(jī)房采用先進(jìn)、節(jié)能、高效、集約的密封冷通道模塊化架構(gòu)設(shè)計(jì)，部署安防監(jiān)控、泄露檢測(cè)、消防報(bào)警、自動(dòng)滅火和場(chǎng)地監(jiān)控等系統(tǒng)，保證機(jī)房的溫度、濕度、潔凈度、照度、防靜電、防干擾、防震動(dòng)、防雷電、實(shí)時(shí)監(jiān)控等，以確保計(jì)算機(jī)設(shè)備安全、可靠運(yùn)行，延長(zhǎng)計(jì)算機(jī)系統(tǒng)使用壽命。

3.2 部署安全防護(hù)體系

如圖2所示：分別接入電信、聯(lián)通、移動(dòng)等運(yùn)營(yíng)商寬帶，通過(guò)負(fù)載均衡設(shè)備實(shí)現(xiàn)鏈路冗余；部署防篡改、抗拒絕服務(wù)、防病毒、防火墻、入侵防護(hù)等安全防護(hù)系統(tǒng)；通過(guò)上網(wǎng)行為控制設(shè)備規(guī)范上網(wǎng)行為，由網(wǎng)絡(luò)管理軟件監(jiān)控設(shè)備運(yùn)行狀況，由堡壘機(jī)監(jiān)控技術(shù)人員操作行為，由數(shù)據(jù)庫(kù)審計(jì)保障數(shù)據(jù)安全，形成強(qiáng)大的安全防護(hù)堡壘。

3.3 制定安全管理制度

安全管理制度涉及中心機(jī)房管理制度、網(wǎng)絡(luò)管理制度、信息系統(tǒng)建設(shè)管理辦法、信息系統(tǒng)運(yùn)維管理辦法、信息安全處理預(yù)案等。在制定安全管理制度的基礎(chǔ)上，嚴(yán)格按照制度定期檢查、落整改和定期演練，并及時(shí)跟蹤機(jī)房運(yùn)行狀況，每月編制運(yùn)行報(bào)告。

3.4 開展信息安全等級(jí)保護(hù)工作

信息安全等級(jí)保護(hù)工作包括定級(jí)、備案、安全建設(shè)和整改、信息安全等級(jí)測(cè)評(píng)、信息安全檢查等內(nèi)容。一般情況下，委托有資質(zhì)的第三方機(jī)構(gòu)確定信息安全保護(hù)等級(jí)。根據(jù)平臺(tái)的業(yè)務(wù)信息和系統(tǒng)服務(wù)描述、系統(tǒng)服務(wù)受到破壞時(shí)所侵害客體以及系統(tǒng)服務(wù)受到破壞后對(duì)侵害客體的侵害程度，按照GB 17859D1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》和GB/T 22240D2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》等，確定廈門港集裝箱智慧物流平臺(tái)的業(yè)務(wù)信息安全等級(jí)和系統(tǒng)服務(wù)安全等級(jí)均為第二級(jí)，最終確定其安全保護(hù)等級(jí)為第二級(jí)。確定保護(hù)等級(jí)后，按照規(guī)定，向公安機(jī)關(guān)備案。在等級(jí)測(cè)評(píng)過(guò)程中，對(duì)測(cè)評(píng)發(fā)現(xiàn)的問(wèn)題及時(shí)加以整改，確保信息平臺(tái)安全防護(hù)滿足要求。

4 結(jié)束語(yǔ)

第5篇：網(wǎng)絡(luò)安全等級(jí)保護(hù)要求范文

關(guān)鍵詞：企業(yè)；網(wǎng)絡(luò)安全防護(hù)；網(wǎng)絡(luò)管理

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1007-9599 (2010) 16-0000-02

The Construction of Enterprise Computer Network Security Protection System

Zhang Xu

(Xi'an Xianyang International Airport Co.,Ltd.,Xianyang 712035,China)

Abstract:With the development of network technology and the falling cost of network products,computer network has been in daily operation of enterprises play an increasingly important role.From e-commerce to e-mail, to the most basic file sharing,network communication,a good network system to improve efficiency,strengthen internal cooperation and communication between enterprise and outside to deal with customer demands have played a key role;However,a problem can not be ignored because of the vulnerability of the network itself,resulting in the existence of network security issues.This article illustrates the importance of enterprise network security,analysis of network threats facing enterprises,from the technical architecture and network management proposed appropriate network security policies.

Keywords:Enterprise;Network security protection;Network management

一、企業(yè)網(wǎng)絡(luò)安全的重要性

在信息社會(huì)中，信息具有和能源、物源同等的價(jià)值，在某些時(shí)候甚至具有更高的價(jià)值。具有價(jià)值的信息必然存在安全性的問(wèn)題，對(duì)于企業(yè)更是如此。例如：在競(jìng)爭(zhēng)激烈的市場(chǎng)經(jīng)濟(jì)驅(qū)動(dòng)下，每個(gè)企業(yè)對(duì)于原料配額、生產(chǎn)技術(shù)、經(jīng)營(yíng)決策等信息，在特定的地點(diǎn)和業(yè)務(wù)范圍內(nèi)都具有保密的要求，一旦這些機(jī)密被泄漏，不僅會(huì)給企業(yè)，甚至也會(huì)給國(guó)家造成嚴(yán)重的經(jīng)濟(jì)損失。

二、企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析

網(wǎng)絡(luò)安全涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性應(yīng)用，企業(yè)網(wǎng)絡(luò)安全也不例外。企業(yè)網(wǎng)絡(luò)安全的本質(zhì)是保證在安全期內(nèi)，網(wǎng)絡(luò)上流動(dòng)或者靜態(tài)存放的信息不被非法用戶訪問(wèn)，而合法授權(quán)用戶可以正常訪問(wèn)。企業(yè)網(wǎng)絡(luò)安全的目標(biāo)是保障信息資產(chǎn)的機(jī)密性、完整性和可用性。通過(guò)對(duì)企業(yè)網(wǎng)絡(luò)現(xiàn)狀分析，并與資產(chǎn)的機(jī)密性、完整性和可用性的要求比較，我們總結(jié)出企業(yè)主要面臨的安全威脅和問(wèn)題主要體現(xiàn)在以下幾個(gè)方面。

（一）網(wǎng)絡(luò)物理安全風(fēng)險(xiǎn)分析

地震、水災(zāi)、火災(zāi)等環(huán)境事故會(huì)造成整個(gè)系統(tǒng)毀滅；電源故障會(huì)導(dǎo)致設(shè)備斷電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫(kù)信息丟失；設(shè)備被盜、被毀造成數(shù)據(jù)丟失或信息泄漏；電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱。

（二）網(wǎng)絡(luò)邊界安全風(fēng)險(xiǎn)分析

網(wǎng)絡(luò)的邊界是指兩個(gè)不同安全級(jí)別的網(wǎng)絡(luò)的接入處。對(duì)于骨干網(wǎng)來(lái)說(shuō)，網(wǎng)絡(luò)邊界主要存在于Internet和出口外部網(wǎng)絡(luò)的連接處，內(nèi)部網(wǎng)絡(luò)中辦公系統(tǒng)和業(yè)務(wù)系統(tǒng)之間以及內(nèi)部網(wǎng)絡(luò)之間也存在不同安全級(jí)別子網(wǎng)的安全邊界。如果沒(méi)有采取一定的安全防護(hù)措施，內(nèi)部網(wǎng)絡(luò)容易遭到來(lái)自外網(wǎng)一些不懷好意的入侵者的攻擊。

（三）應(yīng)用服務(wù)系統(tǒng)安全風(fēng)險(xiǎn)分析

目前使用的操作系統(tǒng)主要包括Windows、UNIX操作系統(tǒng)，應(yīng)用系統(tǒng)主要通過(guò)外購(gòu)、自行開發(fā)的系統(tǒng)，這些系統(tǒng)可能存在著“Back-Door”或安全漏洞。這些“后門”或安全漏洞都將存在重大安全隱患。

（四）網(wǎng)絡(luò)內(nèi)部安全風(fēng)險(xiǎn)分析

網(wǎng)絡(luò)安全攻擊事件70%是來(lái)自內(nèi)部網(wǎng)絡(luò)；通過(guò)網(wǎng)上下載、電子郵件、使用盜版光盤或軟盤、人為投放等傳播途徑使病毒程序潛入內(nèi)部網(wǎng)絡(luò)；而網(wǎng)絡(luò)是病毒傳播的最好、最快的途徑之一；內(nèi)網(wǎng)客戶端一旦感染病毒就很容易對(duì)整個(gè)網(wǎng)絡(luò)造成危害；所以內(nèi)網(wǎng)客戶端的病毒防護(hù)和補(bǔ)丁管理等是網(wǎng)絡(luò)安全管理的重點(diǎn)。

（五）網(wǎng)絡(luò)管理的安全風(fēng)險(xiǎn)分析

在網(wǎng)絡(luò)安全中，安全策略和管理扮演著極其重要的角色，如果沒(méi)有制定有效的安全策略，沒(méi)有進(jìn)行嚴(yán)格的安全管理制度來(lái)控制整個(gè)網(wǎng)絡(luò)的運(yùn)行，那么這個(gè)網(wǎng)絡(luò)就很可能處在一種混亂的狀態(tài)。再者就是安全管理意識(shí)不強(qiáng)。企業(yè)管理層重視程度不夠，認(rèn)為花錢就能解決問(wèn)題，盲目追求先進(jìn)，甚至打算一步到位。

三、企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全體系的建構(gòu)

企業(yè)中計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)體系的構(gòu)建應(yīng)該依據(jù)以下步驟：應(yīng)用分析劃分適當(dāng)?shù)陌踩蝻L(fēng)險(xiǎn)分析以《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)劃分準(zhǔn)則》為依據(jù)，確定相應(yīng)的安全等級(jí)以安全保護(hù)（PDRR）模型為指導(dǎo)，以保護(hù)信息的安全為目標(biāo)，以計(jì)算機(jī)安全技術(shù)、加密技術(shù)和安全管理等為方法進(jìn)行分層保護(hù)構(gòu)建整體的安全保護(hù)保障體系。

（一）應(yīng)用分析

應(yīng)用分析，應(yīng)該包括二個(gè)方面，一是用途分析；二是對(duì)信息網(wǎng)絡(luò)上的信息資產(chǎn)進(jìn)行分析。不同的應(yīng)用，信息資產(chǎn)也是不同的，存在的安全問(wèn)題也肯定是不同的。試想一個(gè)單純的接人互聯(lián)網(wǎng)的信息網(wǎng)絡(luò)（如網(wǎng)吧）與政府的辦公網(wǎng)絡(luò)的安全問(wèn)題會(huì)一樣嗎?實(shí)際上，在同一個(gè)信息網(wǎng)絡(luò)上，流動(dòng)的信息也是不一樣的，它們安全性的要求當(dāng)然也是不同的。

（二）風(fēng)險(xiǎn)分析

在進(jìn)行了應(yīng)用分析的基礎(chǔ)上，應(yīng)該對(duì)某一用途，或某一級(jí)別或類別的信息，或某一安全域進(jìn)行風(fēng)險(xiǎn)分析。這種分析可用一個(gè)二維的表格來(lái)實(shí)現(xiàn)。首先確定某一信息類別，或一個(gè)安全域，以可能發(fā)生的風(fēng)險(xiǎn)為X軸，對(duì)應(yīng)于每一個(gè)風(fēng)險(xiǎn)，應(yīng)該有3個(gè)參數(shù)填入到表格中，一個(gè)是該風(fēng)險(xiǎn)發(fā)生的概率，另一個(gè)是該類信息對(duì)該風(fēng)險(xiǎn)的容忍程度，再一個(gè)是該風(fēng)險(xiǎn)可能發(fā)生的頻率。事件發(fā)生的概率，目前可能很難給出量化值，可以給出一個(gè)等級(jí)標(biāo)準(zhǔn)，如不易發(fā)生，易發(fā)生和極易發(fā)生，而容忍度也只能給出等級(jí)，如無(wú)所謂、可以容忍，不能容忍和絕對(duì)不能容忍等。實(shí)際上我們?cè)陲L(fēng)險(xiǎn)分析時(shí)，可以將風(fēng)險(xiǎn)列得更細(xì)些，更全面些。對(duì)一個(gè)與互聯(lián)網(wǎng)沒(méi)有物理聯(lián)結(jié)的內(nèi)部網(wǎng)絡(luò)來(lái)說(shuō)，通過(guò)互聯(lián)網(wǎng)發(fā)生的人侵，發(fā)生的病毒災(zāi)害應(yīng)該是不易發(fā)生的是小概率事件，而對(duì)于一個(gè)網(wǎng)站來(lái)說(shuō)，這二者且是極易發(fā)生的事件。

（三）確定安全等級(jí)

在對(duì)信息分級(jí)和分類基礎(chǔ)上，應(yīng)該依據(jù)《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)劃分準(zhǔn)則》（國(guó)標(biāo)17859）確定相應(yīng)的安全保護(hù)等級(jí)?！稖?zhǔn)則》給出了五個(gè)等級(jí)標(biāo)準(zhǔn)，每個(gè)標(biāo)準(zhǔn)等級(jí)都相應(yīng)的要求。筆者認(rèn)為不一定完全的套用某一個(gè)級(jí)別，可以根據(jù)風(fēng)險(xiǎn)分析的結(jié)果，與準(zhǔn)則中的要求進(jìn)行一定的對(duì)應(yīng)，確定準(zhǔn)則中的某一個(gè)級(jí)別，或以一個(gè)級(jí)別為基礎(chǔ)，在某些方面可做加強(qiáng)，而在另一些方面可以相對(duì)減弱。再次強(qiáng)調(diào)，保護(hù)應(yīng)該是信息分級(jí)為基礎(chǔ)，對(duì)于不同級(jí)別的信息保護(hù)強(qiáng)度是不一樣，不同等級(jí)信息，最好在不同的安全域中加以保護(hù)。這樣不需要保護(hù)的信息就可以不加保護(hù)，而需要加強(qiáng)保護(hù)的信息，就可以采取相對(duì)強(qiáng)度較高的保護(hù)措施。但這種保護(hù)，必須兼顧到應(yīng)用，不能因?yàn)楸Ｗo(hù)而造成系統(tǒng)的應(yīng)用障礙不過(guò)為了安全犧牲掉一些應(yīng)用的方便性也是必要的。

（四）分層保護(hù)問(wèn)題

確定了安全級(jí)別之后，在風(fēng)險(xiǎn)分析的基礎(chǔ)上，應(yīng)該以計(jì)算機(jī)安全保護(hù)（PDRR）模型為指導(dǎo)，以《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)劃分準(zhǔn)則》的依據(jù)，以計(jì)算機(jī)技術(shù)、計(jì)算機(jī)安全保護(hù)技術(shù)、保密技術(shù)和安全管理等為保護(hù)手段，以信息的機(jī)密性、完整性、可控性、可審計(jì)性、可用性和不可否認(rèn)性等為安全為保護(hù)目標(biāo)，分層分析和制定保護(hù)措施。所謂分層保護(hù)，就是要把所列出的那些較為容易發(fā)生，且又不能容忍的風(fēng)險(xiǎn)，分解到各個(gè)層面上，然后利用計(jì)算機(jī)技術(shù)、計(jì)算機(jī)安全保護(hù)技術(shù)、加密技術(shù)和安全管理手段盡量的按一定的強(qiáng)度加以保護(hù)，以規(guī)避相應(yīng)的風(fēng)險(xiǎn)。如信息抵賴的風(fēng)險(xiǎn)，應(yīng)該發(fā)生在用戶層面，可以用對(duì)用戶的身份認(rèn)證技術(shù)來(lái)解決這樣的風(fēng)險(xiǎn)。火災(zāi)、水災(zāi)都應(yīng)該在物理層面上加以保護(hù)。許多風(fēng)險(xiǎn)可能是對(duì)應(yīng)于多個(gè)層面，那就應(yīng)該在多個(gè)層面上加以保護(hù)，如信息泄露，在所有的層面上都會(huì)發(fā)生，那就應(yīng)該在所有的層面加以保護(hù)。

（五）構(gòu)建完整的保障體系

對(duì)信息網(wǎng)絡(luò)進(jìn)行了分層次的安全保護(hù)，好像我們的任務(wù)就已經(jīng)完成了，實(shí)際上則不然。信息網(wǎng)絡(luò)是一個(gè)整體，對(duì)它的保護(hù)也應(yīng)該是一個(gè)整體。首先，在進(jìn)行分層保護(hù)的策略制定以后，首先應(yīng)該在整體上進(jìn)行評(píng)估，特別是結(jié)合部安全是還存在著問(wèn)題。如，通過(guò)數(shù)據(jù)庫(kù)可以獲得系統(tǒng)的超級(jí)用戶權(quán)限。其次，我們是以不同的信息資產(chǎn)或不同的安全域來(lái)進(jìn)行分層保護(hù)的，而不是整個(gè)網(wǎng)絡(luò)。此時(shí)我們應(yīng)該對(duì)不同的信息資產(chǎn)或不同的安全域的分層保護(hù)方案進(jìn)行比較和綜合并進(jìn)行適當(dāng)?shù)恼{(diào)整，考慮信息網(wǎng)絡(luò)整體的保護(hù)方案。第三是應(yīng)該選擇適當(dāng)?shù)陌踩a(chǎn)品或安全技術(shù)。在安全產(chǎn)品的選擇上即要考慮產(chǎn)品本身的先進(jìn)性，還應(yīng)該考慮安全產(chǎn)品本身的成熟性，對(duì)一些非常重要的信息網(wǎng)絡(luò)，不要第一個(gè)去吃螃蟹。最后還應(yīng)該考慮對(duì)網(wǎng)絡(luò)中的安全產(chǎn)品實(shí)現(xiàn)統(tǒng)一的動(dòng)態(tài)管理和聯(lián)動(dòng)，使之能成為一個(gè)動(dòng)態(tài)的防范體系，成為一個(gè)有機(jī)的整體。動(dòng)態(tài)管理應(yīng)該考慮，安全策略發(fā)生錯(cuò)誤和失效的修改，以及對(duì)安全產(chǎn)品失效的對(duì)策，應(yīng)該有預(yù)案。聯(lián)動(dòng)，就是使所有使用的安全產(chǎn)品，在發(fā)生安全事件時(shí)，能夠成為一個(gè)防范的整體。整體的安全體系的建立，還應(yīng)該對(duì)安全的措施成本進(jìn)行核算，國(guó)外的信息網(wǎng)絡(luò)在安全方面的投人可達(dá)到系統(tǒng)建設(shè)費(fèi)用的15%-30%，這個(gè)費(fèi)用標(biāo)準(zhǔn)我們可以用來(lái)參考。核算措施成本后，還應(yīng)該對(duì)成本效益進(jìn)行評(píng)估，對(duì)于保護(hù)費(fèi)用與效益在同一數(shù)量級(jí)上的花費(fèi)，則應(yīng)該考慮是否有必要進(jìn)行這樣的保護(hù)。

四、結(jié)束語(yǔ)

技術(shù)與管理相結(jié)合，是構(gòu)建計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全保密體系應(yīng)該把握的核心原則。為了增強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)和計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)網(wǎng)絡(luò)的綜合安全保密能力，重點(diǎn)應(yīng)該在健全組織體系、管理體系、服務(wù)體系和制度（技術(shù)標(biāo)準(zhǔn)及規(guī)范）體系的基礎(chǔ)上，規(guī)范數(shù)據(jù)備份、密鑰管理、訪問(wèn)授權(quán)、風(fēng)險(xiǎn)控制、身份認(rèn)證、應(yīng)急響應(yīng)、系統(tǒng)及應(yīng)用安全等管理方案，努力提高系統(tǒng)漏洞掃描、計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)內(nèi)容監(jiān)控、安全風(fēng)險(xiǎn)評(píng)估、入侵事件檢測(cè)、病毒預(yù)防治理、系統(tǒng)安全審計(jì)、網(wǎng)絡(luò)邊界防護(hù)等方面的技術(shù)水平。

參考文獻(xiàn)：

第6篇：網(wǎng)絡(luò)安全等級(jí)保護(hù)要求范文

1.1國(guó)家衛(wèi)生部文件

文件明確規(guī)定了信息安全等級(jí)保護(hù)工作的工作目標(biāo)、工作原則、工作機(jī)制、工作任務(wù)、工作要求，工作任務(wù)別強(qiáng)調(diào)了“三級(jí)甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)”應(yīng)進(jìn)行定級(jí)備案。

1.2浙江省衛(wèi)生廳文件

為加強(qiáng)醫(yī)療衛(wèi)生行業(yè)信息安全管理，提高信息安全意識(shí)，以信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)促進(jìn)全行業(yè)的信息安全工作，提高全省衛(wèi)生系統(tǒng)信息安全保護(hù)與信息安全技術(shù)水平，強(qiáng)化信息安全的重要性。2011年6月7日，浙江省衛(wèi)生廳和浙江省公安廳聯(lián)合下發(fā)《關(guān)于做好全省醫(yī)療衛(wèi)生行業(yè)重要信息系統(tǒng)信息安全等級(jí)保護(hù)工作的通知》（浙衛(wèi)發(fā)〔2011〕131號(hào)），并一同下發(fā)了《浙江省醫(yī)療衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作實(shí)施方案》和《浙江省衛(wèi)生行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指導(dǎo)意見(jiàn)》。為進(jìn)一步指導(dǎo)我省衛(wèi)生行業(yè)單位開展信息安全等級(jí)保持工作，浙江省衛(wèi)生信息中心于2012年4月6日下發(fā)了《關(guān)于印發(fā)<浙江省衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作指導(dǎo)意見(jiàn)細(xì)則>的函》。上述文件詳細(xì)規(guī)定了工作目標(biāo)、工作流程和工作進(jìn)度，并明確了醫(yī)療衛(wèi)生單位重要信息系統(tǒng)的劃分和定級(jí)，具有很強(qiáng)的指導(dǎo)性和操作性。

2醫(yī)院信息安全等級(jí)保護(hù)

依據(jù)上述行業(yè)文件要求，全省醫(yī)院重要信息系統(tǒng)信息安全等級(jí)保護(hù)工作由省衛(wèi)生廳和各級(jí)衛(wèi)生局、公安局分級(jí)負(fù)責(zé)，按照系統(tǒng)定級(jí)、系統(tǒng)備案、等級(jí)測(cè)評(píng)、安全整改[1]四個(gè)工作步驟實(shí)施。

2.1系統(tǒng)定級(jí)

2.1.1確定對(duì)象

我省醫(yī)院信息化發(fā)展較早，各類系統(tǒng)比較完善，但數(shù)量繁多。將出現(xiàn)多達(dá)幾十甚至上百個(gè)定級(jí)對(duì)象的狀況，這與要求重點(diǎn)保護(hù)、控制建設(shè)成本、優(yōu)化資源配置[2]的原則相違背，不利于醫(yī)院重要信息系統(tǒng)開展信息安全等級(jí)保護(hù)工作。依據(jù)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB17859-1999）》等標(biāo)準(zhǔn)，結(jié)合我省醫(yī)院信息化現(xiàn)狀及發(fā)展需要，經(jīng)衛(wèi)生信息化專家和信息安全專家多次論證，本著突出重點(diǎn)、按類歸并、相對(duì)獨(dú)立、節(jié)約費(fèi)用的原則，從系統(tǒng)管理、業(yè)務(wù)使用者、系統(tǒng)服務(wù)對(duì)象和運(yùn)行環(huán)境等多方面綜合考慮，把醫(yī)院信息系統(tǒng)劃分為以下幾類，如表1所示。

2.1.2等級(jí)評(píng)定

醫(yī)院重要信息系統(tǒng)的信息安全和系統(tǒng)服務(wù)應(yīng)用被破壞時(shí)，產(chǎn)生的危害主要涉及公民的個(gè)人隱私、就醫(yī)權(quán)利及合法權(quán)益，對(duì)社會(huì)秩序和公共利益的損害屬于“損害”或“嚴(yán)重?fù)p害”程度。參考《信息安全等級(jí)保護(hù)管理辦法》及省衛(wèi)生信息中心指導(dǎo)意見(jiàn)細(xì)則要求[3]，即屬于“第二級(jí)”或“第三級(jí)”范疇。因此醫(yī)院信息系統(tǒng)對(duì)信息安全防護(hù)和服務(wù)能力保護(hù)的要求較高，結(jié)合業(yè)務(wù)服務(wù)及系統(tǒng)應(yīng)用范疇，實(shí)行保護(hù)重點(diǎn)、以點(diǎn)帶面原則，參考定級(jí)如表2所示。

2.2系統(tǒng)定級(jí)備案

省衛(wèi)生廳及省級(jí)醫(yī)療衛(wèi)生單位信息系統(tǒng)、全省統(tǒng)一聯(lián)網(wǎng)或跨市聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)由省公安廳受理備案；各市衛(wèi)生局及其下屬單位、轄區(qū)內(nèi)醫(yī)院信息系統(tǒng)由屬地公安機(jī)關(guān)受理備案。各市衛(wèi)生局應(yīng)將轄區(qū)內(nèi)醫(yī)療衛(wèi)生單位備案匯總情況和《信息系統(tǒng)安全等級(jí)保護(hù)備案表》等材料以電子文件形式向省衛(wèi)生廳報(bào)備。定級(jí)備案流程示意圖如圖1所示。

2.3等級(jí)保護(hù)測(cè)評(píng)

醫(yī)院重要信息系統(tǒng)完成定級(jí)備案后，應(yīng)依據(jù)《浙江省信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組關(guān)于公布信息安全等級(jí)報(bào)測(cè)評(píng)機(jī)構(gòu)的通知》（浙等?！?010〕9號(hào)）選擇浙江省信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室推薦的等級(jí)測(cè)評(píng)機(jī)構(gòu)，啟動(dòng)等級(jí)測(cè)評(píng)工作，結(jié)合所屬等級(jí)要求對(duì)系統(tǒng)進(jìn)行逐項(xiàng)測(cè)評(píng)。通過(guò)對(duì)醫(yī)院系統(tǒng)進(jìn)行查驗(yàn)、訪談、現(xiàn)場(chǎng)測(cè)試等方式收集相關(guān)信息，詳細(xì)了解信息安全保護(hù)現(xiàn)狀，分析所收集的資料和數(shù)據(jù)，查找發(fā)現(xiàn)醫(yī)院重要信息系統(tǒng)漏洞和安全隱患，針對(duì)測(cè)評(píng)報(bào)告結(jié)果進(jìn)行分析反饋、溝通協(xié)商，明確等級(jí)保護(hù)整改工作目標(biāo)、整改流程及注意事項(xiàng)，共同制定等級(jí)保護(hù)整改建議方案用于指導(dǎo)后續(xù)整改工作。對(duì)第二級(jí)以上的信息系統(tǒng)要定期開展等級(jí)測(cè)評(píng)。信息系統(tǒng)測(cè)評(píng)后，醫(yī)院應(yīng)及時(shí)將測(cè)評(píng)機(jī)構(gòu)出具的《信息系統(tǒng)等級(jí)測(cè)評(píng)報(bào)告》向所屬地公安機(jī)關(guān)報(bào)備。

2.4等級(jí)保護(hù)規(guī)劃建設(shè)整改

根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》及省實(shí)施方案，結(jié)合醫(yī)院信息系統(tǒng)的安全需求分析，判斷安全保護(hù)現(xiàn)狀，設(shè)計(jì)合理的、滿足等級(jí)保護(hù)要求的總體安全方案，并制定出安全實(shí)施規(guī)劃[4]等，用以指導(dǎo)信息系統(tǒng)安全建設(shè)工程實(shí)施。引進(jìn)第三方安全技術(shù)服務(wù)商，協(xié)助完成系統(tǒng)安全規(guī)劃、建設(shè)及整改工作。建設(shè)，整改實(shí)施過(guò)程中按照詳細(xì)設(shè)計(jì)方案，設(shè)置安全產(chǎn)品采購(gòu)、安全控制開發(fā)與集成、機(jī)構(gòu)和人員配置、安全管理制度建設(shè)、人員安全技能培訓(xùn)等環(huán)節(jié)[5]，將規(guī)劃設(shè)計(jì)階段的安全方針和策略，切實(shí)落實(shí)到醫(yī)院系統(tǒng)的信息安全規(guī)劃、建設(shè)、評(píng)估、運(yùn)行和維護(hù)等各個(gè)環(huán)節(jié)。其核心是根據(jù)系統(tǒng)的實(shí)際信息安全需求、業(yè)務(wù)特點(diǎn)及應(yīng)用重點(diǎn)，并結(jié)合醫(yī)院自身信息安全建設(shè)的實(shí)際需求，建設(shè)一套全面保護(hù)、重點(diǎn)突出、持續(xù)運(yùn)行的安全保障體系，確保醫(yī)院系統(tǒng)的信息安全。等級(jí)保護(hù)工程及管理體系建設(shè)整改流程如圖2所示。

3醫(yī)院重要信息系統(tǒng)安全等級(jí)保護(hù)成效

各級(jí)醫(yī)院按照國(guó)家有關(guān)信息安全等級(jí)保護(hù)政策、標(biāo)準(zhǔn)，結(jié)合衛(wèi)生行業(yè)政策和要求，全面落實(shí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作，保障信息系統(tǒng)安全可靠運(yùn)行，提高安全管理運(yùn)維水平。

3.1明確系統(tǒng)安全保護(hù)目標(biāo)

通過(guò)推行各級(jí)醫(yī)院信息安全等級(jí)保護(hù)工作，梳理衛(wèi)生信息系統(tǒng)資產(chǎn)、網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)安全設(shè)備部署及運(yùn)行狀況。根據(jù)系統(tǒng)風(fēng)險(xiǎn)評(píng)估、危害的覆蓋范圍及影響性判定安全等級(jí)，從而根據(jù)標(biāo)準(zhǔn)全面、系統(tǒng)、深入地掌握系統(tǒng)潛在的風(fēng)險(xiǎn)隱患，安全漏洞。明確需要重點(diǎn)保護(hù)的應(yīng)用系統(tǒng)及信息資產(chǎn)，提出行之有效的保護(hù)措施，有針對(duì)性地提高保護(hù)等級(jí)，實(shí)現(xiàn)重點(diǎn)目標(biāo)重點(diǎn)保護(hù)。

3.2建立安全管理保障體系

安全管理保障體系是開展信息安全工作的保障，指導(dǎo)落實(shí)各項(xiàng)安全指標(biāo)要求。信息安全等級(jí)保護(hù)基本要求中明確要求加強(qiáng)主管及安全責(zé)任部門領(lǐng)導(dǎo)，配備信息安全專員督導(dǎo)安全檢查、維護(hù)、培訓(xùn)工作。建立健全信息安全管理保障制度體系，包括機(jī)房安全管理制度、人員安全管理制度、運(yùn)維安全管理規(guī)范。建立行之有效的安全應(yīng)急響應(yīng)預(yù)案及常規(guī)化的信息安全培訓(xùn)及預(yù)防演練，形成長(zhǎng)期的安全風(fēng)險(xiǎn)管控機(jī)制。

3.3加強(qiáng)安全意識(shí)和管理能力

通過(guò)落實(shí)等級(jí)保護(hù)制度的各項(xiàng)要求，認(rèn)識(shí)安全意識(shí)在信息安全工作中的重要性和必要性，調(diào)動(dòng)安全保護(hù)的自覺(jué)主動(dòng)性，加大安全保護(hù)的資金投入力度，優(yōu)化安全管理資源及策略，主動(dòng)提升安全保護(hù)能力。同時(shí)重視常規(guī)化的信息安全管理教育和培訓(xùn)，強(qiáng)化安全管理員和責(zé)任人的安全意識(shí)，提高風(fēng)險(xiǎn)分析和安全性評(píng)估等能力，信息系統(tǒng)安全整體管理水平將得到提高。

3.4強(qiáng)化安全保護(hù)技術(shù)實(shí)施

醫(yī)院開展信息安全等級(jí)保護(hù)工作可加深分級(jí)、分域的縱深防御理念，進(jìn)一步結(jié)合終端安全、身份認(rèn)證、網(wǎng)絡(luò)安全、容災(zāi)技術(shù)，建立統(tǒng)一的安全監(jiān)控平臺(tái)和安全運(yùn)行中心。根據(jù)測(cè)評(píng)報(bào)告及建設(shè)整改建議，增強(qiáng)對(duì)應(yīng)用系統(tǒng)的授權(quán)訪問(wèn)，終端計(jì)算機(jī)的安全控制，網(wǎng)絡(luò)流量的異常監(jiān)控，業(yè)務(wù)與數(shù)據(jù)安全保障，惡意軟件和攻擊行為的防御、發(fā)現(xiàn)及阻擊等功能，深層次提高抵御外部和內(nèi)部信息安全威脅的能力。

3.5優(yōu)化第三方技術(shù)服務(wù)

與安全技術(shù)服務(wù)機(jī)構(gòu)建立長(zhǎng)期穩(wěn)定的合作關(guān)系，引進(jìn)并優(yōu)化第三方技術(shù)資源，搭建安全保護(hù)技術(shù)的學(xué)習(xí)橋梁與交流平臺(tái)。在安全技術(shù)與管理方面加固信息安全防護(hù)措施，完善信息安全管理制度，同時(shí)通過(guò)安全技術(shù)管理培訓(xùn)強(qiáng)化醫(yī)院工作人員信息安全保護(hù)意識(shí)，提高信息安全隊(duì)伍的技術(shù)與管理水平，共同為醫(yī)院系統(tǒng)信息化建設(shè)的快速發(fā)展保駕護(hù)航?？傊?，醫(yī)院開展信息安全等級(jí)保護(hù)工作將有效提高醫(yī)院信息化建設(shè)的整體水平，有利于醫(yī)院信息化建設(shè)過(guò)程中同步建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相協(xié)調(diào)；有利于為信息系統(tǒng)安全建設(shè)和管理提供系統(tǒng)性、針對(duì)性、可行性的指導(dǎo)和服務(wù)；有利于優(yōu)化信息安全資源的配置，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)、個(gè)人隱私、醫(yī)療資源和社會(huì)公共衛(wèi)生等方面的重要信息系統(tǒng)的安全[6]。

4結(jié)束語(yǔ)

第7篇：網(wǎng)絡(luò)安全等級(jí)保護(hù)要求范文

此次大會(huì)由杭州市人民政府、中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)、浙江省網(wǎng)信辦、浙江省公安廳、浙江省經(jīng)信委、云棲大會(huì)組委會(huì)指導(dǎo)，中國(guó)信息產(chǎn)業(yè)商會(huì)信息安全產(chǎn)業(yè)分會(huì)、阿里云計(jì)算有限公司、杭州安恒信息技術(shù)有限公司主辦，浙江省計(jì)算機(jī)信息系統(tǒng)安全協(xié)會(huì)、杭州市網(wǎng)絡(luò)安全協(xié)會(huì)、北京洋浦偉業(yè)科技發(fā)展有限公司、飛塔信息科技（北京）有限公司、北京元支點(diǎn)信息安全技術(shù)有限公司、北京珊瑚靈御科技有限公司協(xié)辦。

本屆大會(huì)以“安若磐石，云之所棲”為主題，以全新的國(guó)際視野，洞悉全球云安全發(fā)展趨勢(shì)；圍繞“中國(guó)網(wǎng)絡(luò)安全創(chuàng)新分享”這一主題，共同研討探索適應(yīng)我國(guó)國(guó)情的網(wǎng)絡(luò)安全發(fā)展的道路，共商凝聚共識(shí)，整合資源的網(wǎng)絡(luò)安全創(chuàng)新新模式。

大會(huì)由公安部第一研究所原所長(zhǎng)、計(jì)算機(jī)安全專委會(huì)主任嚴(yán)明主持，并宣讀了杭州市委副書記、市政府黨組書記、市長(zhǎng)張鴻銘對(duì)大會(huì)發(fā)來(lái)的賀信。參加本次大會(huì)的致辭和重要演講的嘉賓有，中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局副局長(zhǎng)胡嘯，浙江省公安廳副廳長(zhǎng)石小忠，浙江省經(jīng)信委總工程師厲敏，中國(guó)信息產(chǎn)業(yè)商會(huì)信息安全產(chǎn)業(yè)分會(huì)理事長(zhǎng)朱勝濤，公安部網(wǎng)絡(luò)安全保衛(wèi)局總工程師郭啟全，國(guó)家信息中心專家委員會(huì)副主任、國(guó)家信息化專家咨詢委員會(huì)委員寧家駿等領(lǐng)導(dǎo)和專家。另外，來(lái)自全國(guó)各地政府機(jī)構(gòu)、公安部門、信息安全科研單位、央企、金融、運(yùn)營(yíng)商、互聯(lián)網(wǎng)、軍工各行業(yè)信息安全決策人員、信息安全主管、CIO、媒體等1500余人出席了本次大會(huì)。

專家論道產(chǎn)業(yè)安全

郭啟全總工在演講“加強(qiáng)創(chuàng)新和能力協(xié)同 全力保衛(wèi)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全”中提到，國(guó)家對(duì)網(wǎng)絡(luò)安全提出了新的要求，首先就是要健全和完善國(guó)家信息安全等級(jí)保護(hù)制度，強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)。《網(wǎng)絡(luò)安全法（草案）》中也提出明確要求，國(guó)家實(shí)施網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。

等級(jí)保護(hù)在網(wǎng)絡(luò)安全保障、網(wǎng)絡(luò)強(qiáng)國(guó)建設(shè)方面起著至關(guān)重要的作用?；A(chǔ)信息網(wǎng)絡(luò)與重要信息系統(tǒng)面臨著日益嚴(yán)峻的威脅與挑戰(zhàn)。

為適應(yīng)新技術(shù)的發(fā)展，解決云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)和工控領(lǐng)域信息系統(tǒng)的等級(jí)保護(hù)工作的需要，從2014年3月開始，由公安部牽頭組織開展了信息技術(shù)新領(lǐng)域等級(jí)保護(hù)重點(diǎn)標(biāo)準(zhǔn)申報(bào)國(guó)家標(biāo)準(zhǔn)的工作，等級(jí)保護(hù)正式進(jìn)入了2.0時(shí)代。

全新的《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》涵蓋了6個(gè)部分的內(nèi)容：安全通用要求、云計(jì)算安全擴(kuò)展要求、移動(dòng)互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求、工業(yè)控制安全擴(kuò)展要求以及大數(shù)據(jù)安全擴(kuò)展要求。

寧家駿指出，開展關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查至關(guān)重要，安全檢查是從涉及國(guó)計(jì)民生的關(guān)鍵業(yè)務(wù)入手，理清可能影響關(guān)鍵業(yè)務(wù)運(yùn)轉(zhuǎn)的信息系統(tǒng)和工業(yè)控制系統(tǒng)，準(zhǔn)確掌握關(guān)鍵信息基礎(chǔ)設(shè)施的安全狀況，科學(xué)評(píng)估面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，以查促管、以查促防、以查促改、以查促建，同時(shí)為構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系提供基礎(chǔ)性數(shù)據(jù)和參考。

他建議，充分借鑒國(guó)外關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)相關(guān)法律，分析我國(guó)現(xiàn)有立法的不足和主要問(wèn)題，抓緊建立我國(guó)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全法律體系，從法律層面明確關(guān)鍵基礎(chǔ)設(shè)施的定義和范圍、界定政府部門的職責(zé)、規(guī)范運(yùn)營(yíng)者何所有者的運(yùn)營(yíng)資質(zhì)要求。同時(shí)通過(guò)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全態(tài)勢(shì)感知、積極穩(wěn)妥推動(dòng)關(guān)鍵基礎(chǔ)設(shè)施相關(guān)產(chǎn)品的國(guó)產(chǎn)替代、開展安全檢查評(píng)測(cè)督促關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)單位加強(qiáng)管理等方案促進(jìn)我國(guó)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全與信息化的大發(fā)展。

聚焦G20杭州峰會(huì)安保

安恒信息CSO劉志樂(lè)在演講中表示，杭州安恒信息技術(shù)有限公司作為本次大會(huì)網(wǎng)絡(luò)安保和應(yīng)急支撐工作的主要技術(shù)支撐單位，歷經(jīng)近360天精心準(zhǔn)備、投入309位技術(shù)骨干參與到G20峰會(huì)網(wǎng)絡(luò)安保任務(wù)。通過(guò)企業(yè)自主知識(shí)產(chǎn)權(quán)的最新大數(shù)據(jù)態(tài)勢(shì)感知系統(tǒng)及應(yīng)急處置工具箱、工控檢查工具箱等二十多種產(chǎn)品平臺(tái)，為G20峰會(huì)網(wǎng)絡(luò)安保構(gòu)建了全網(wǎng)全程網(wǎng)絡(luò)安保和應(yīng)急支撐監(jiān)測(cè)體系、防御體系和服務(wù)體系，經(jīng)過(guò)G20峰會(huì)全程考驗(yàn)，安恒信息圓滿完成為本次峰會(huì)相關(guān)重要信息系統(tǒng)、關(guān)鍵基礎(chǔ)設(shè)施、省市兩級(jí)重要信息系統(tǒng)提供網(wǎng)絡(luò)安全保障的安保任務(wù)。

安恒信息網(wǎng)絡(luò)安保團(tuán)隊(duì)以遠(yuǎn)程和現(xiàn)場(chǎng)人員安全檢測(cè)，結(jié)合部署基于云與大數(shù)據(jù)技術(shù)的遠(yuǎn)程安全監(jiān)測(cè)、大會(huì)系統(tǒng)現(xiàn)場(chǎng)各重要駐點(diǎn)安全值守、會(huì)議安保指揮中心四方互聯(lián)，多地支撐的形式，為大會(huì)召開保駕護(hù)航。他以本次峰會(huì)核心信息系統(tǒng)為例介紹道，安恒信息安保團(tuán)隊(duì)共發(fā)現(xiàn)高危以上漏洞438個(gè)，共攔截3300萬(wàn)次攻擊。經(jīng)風(fēng)暴中心分析，攻擊來(lái)自于41個(gè)國(guó)家和地區(qū)。

DT時(shí)代的云計(jì)算安全

阿里云安全資深總監(jiān)肖力表示，云計(jì)算時(shí)代所面臨的安全挑戰(zhàn)并不比傳統(tǒng)安全所面臨的問(wèn)題要少，甚至于相較之下更加復(fù)雜。通過(guò)10多年在安全領(lǐng)域的積累，阿里云建立了一支全球頂級(jí)的云計(jì)算安全團(tuán)隊(duì)，有完善的基礎(chǔ)設(shè)施，并且有更快的安全應(yīng)急時(shí)間，能及時(shí)發(fā)現(xiàn)高危的安全漏洞信息，用最短時(shí)間修復(fù)，幫助用戶應(yīng)對(duì)安全問(wèn)題。

據(jù)普華永道統(tǒng)計(jì)，目前69%的企業(yè)正在使用基于云的安全服務(wù)，阿里云保護(hù)云上37%的數(shù)百萬(wàn)的網(wǎng)站，每天防御8億次各類攻擊，每天識(shí)別并防御35000個(gè)惡意IP，每天防御2000次DDoS攻擊。安全從來(lái)就不是云平臺(tái)、用戶或者安全廠商某一方的單打獨(dú)斗。云計(jì)算廠商需要建立強(qiáng)大的生態(tài)讓用戶個(gè)性化的安全需求能夠快速有效的解決，云上客戶需要與SaaS服務(wù)商和安全廠商的虛擬化產(chǎn)品協(xié)同作戰(zhàn)，目前阿里云安全生態(tài)市場(chǎng)已有包括安恒信息在內(nèi)的79家生態(tài)廠商、168款安全產(chǎn)品。

阿里云首席安全研究員、云盾負(fù)責(zé)人吳翰清在大會(huì)上首次了“阿里云云盾混合云解決方案”，混合云解決方案由阿里云安全團(tuán)隊(duì)與數(shù)夢(mèng)工場(chǎng)聯(lián)合開發(fā)、交付，支持公共云、專有云、線下IDC全場(chǎng)景覆蓋，讓企業(yè)擁有與阿里云一樣的世界級(jí)安全能力與體驗(yàn)效果：包括安全態(tài)勢(shì)感知大屏、海量寬帶和快速擴(kuò)容、大數(shù)據(jù)安全分析、威脅情報(bào)支持和0DAY快速反應(yīng)能力。

模塊化是混合云云盾解決方案的一大體驗(yàn)亮點(diǎn)。阿里云云盾的安全能力和服務(wù)，用“可插拔”的模式，模塊化輸入。用戶可以按需購(gòu)買，按需啟用，解決以往線下解決方案不靈活、投入大的缺點(diǎn)。

安恒密盾2.0

安恒密盾安全產(chǎn)品經(jīng)理?xiàng)铄\峰做題為“打造你的釘釘移動(dòng)應(yīng)用安全之路（密盾2.0）”的演講。

第8篇：網(wǎng)絡(luò)安全等級(jí)保護(hù)要求范文

關(guān)鍵詞:電子政務(wù)信息安全

0引言

隨著電子政務(wù)不斷推進(jìn)，社會(huì)各階層對(duì)電子政務(wù)的依賴程度越來(lái)越高，信息安全的重要性日益突出，在電子政務(wù)的信息安全管理問(wèn)題中，基于現(xiàn)實(shí)特點(diǎn)的電子政務(wù)信息安全體系設(shè)計(jì)和風(fēng)險(xiǎn)評(píng)估[1]模型是突出的熱點(diǎn)和難點(diǎn)問(wèn)題。本文試圖就這兩個(gè)問(wèn)題給出分析和建議。

1電子政務(wù)信息安全的總體要求

隨著電子政務(wù)應(yīng)用的不斷深入，信息安全問(wèn)題日益凸顯，為了高效安全的進(jìn)行電子政務(wù)，迫切需要搞好信息安全保障工作。電子政務(wù)系統(tǒng)采取的網(wǎng)絡(luò)安全措施[2][3]不僅要保證業(yè)務(wù)與辦公系統(tǒng)和網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，另一方面要保護(hù)運(yùn)行在內(nèi)部網(wǎng)上的敏感數(shù)據(jù)與信息的安全，因此應(yīng)充分保證以下幾點(diǎn)：

1.1基礎(chǔ)設(shè)施的可用性：運(yùn)行于內(nèi)部專網(wǎng)的各主機(jī)、數(shù)據(jù)庫(kù)、應(yīng)用服務(wù)器系統(tǒng)的安全運(yùn)行十分關(guān)鍵，網(wǎng)絡(luò)安全體系必須保證這些系統(tǒng)不會(huì)遭受來(lái)自網(wǎng)絡(luò)的非法訪問(wèn)、惡意入侵和破壞。

1.2數(shù)據(jù)機(jī)密性：對(duì)于內(nèi)部網(wǎng)絡(luò)，保密數(shù)據(jù)的泄密將直接帶來(lái)政府機(jī)構(gòu)以及國(guó)家利益的損失。網(wǎng)絡(luò)安全系統(tǒng)應(yīng)保證內(nèi)網(wǎng)機(jī)密信息在存儲(chǔ)與傳輸時(shí)的保密性。

1.3網(wǎng)絡(luò)域的可控性:電子政務(wù)的網(wǎng)絡(luò)應(yīng)該處于嚴(yán)格的控制之下，只有經(jīng)過(guò)認(rèn)證的設(shè)備可以訪問(wèn)網(wǎng)絡(luò)，并且能明確地限定其訪問(wèn)范圍，這對(duì)于電子政務(wù)的網(wǎng)絡(luò)安全十分重要。

1.4數(shù)據(jù)備份與容災(zāi):任何的安全措施都無(wú)法保證數(shù)據(jù)萬(wàn)無(wú)一失，硬件故障、自然災(zāi)害以及未知病毒的感染都有可能導(dǎo)致政府重要數(shù)據(jù)的丟失。因此，在電子政務(wù)安全體系中必須包括數(shù)據(jù)的容災(zāi)與備份，并且最好是異地備份。

2電子政務(wù)信息安全體系模型設(shè)計(jì)

完整的電子政務(wù)安全保障體系從技術(shù)層面上來(lái)講，必須建立在一個(gè)強(qiáng)大的技術(shù)支撐平臺(tái)之上，同時(shí)具有完備的安全管理機(jī)制，并針對(duì)物理安全，數(shù)據(jù)存儲(chǔ)安全，數(shù)據(jù)傳輸安全和應(yīng)用安全制定完善的安全策略

在技術(shù)支撐平臺(tái)方面，核心是要解決好權(quán)限控制問(wèn)題。為了解決授權(quán)訪問(wèn)的問(wèn)題，通常是將基于公鑰證書（PKC）的PKI（PublicKeyInfrastructure）與基于屬性證書（AC）的PMI（PrivilegeManagementInfrastructure)結(jié)合起來(lái)進(jìn)行安全性設(shè)計(jì)，然而由于一個(gè)終端用戶可以有許多權(quán)限，許多用戶也可能有相同的權(quán)限集，這些權(quán)限都必須寫入屬性證書的屬性中，這樣就增加了屬性證書的復(fù)雜性和存儲(chǔ)空間，從而也增加了屬性證書的頒發(fā)和驗(yàn)證的復(fù)雜度。為了解決這個(gè)問(wèn)題，作者建議根據(jù)X.509標(biāo)準(zhǔn)建立基于角色PMI的電子政務(wù)安全模型。該模型由客戶端、驗(yàn)證服務(wù)器、應(yīng)用服務(wù)器、資源數(shù)據(jù)庫(kù)和LDAP目錄服務(wù)器等實(shí)體組成，在該模型中：

2.1終端用戶：向驗(yàn)證服務(wù)器發(fā)送請(qǐng)求和證書，并與服務(wù)器雙向驗(yàn)證。

2.2驗(yàn)證服務(wù)器：由身份認(rèn)證模塊和授權(quán)驗(yàn)證模塊組成提供身份認(rèn)證和訪問(wèn)控制，是安全模型的關(guān)鍵部分。

2.3應(yīng)用服務(wù)器：與資源數(shù)據(jù)庫(kù)連接，根據(jù)驗(yàn)證通過(guò)的用戶請(qǐng)求，對(duì)資源數(shù)據(jù)庫(kù)的數(shù)據(jù)進(jìn)行處理，并把處理結(jié)果通過(guò)驗(yàn)證服務(wù)器返回給用戶以響應(yīng)用戶請(qǐng)求。

2.4LDAP目錄服務(wù)器：該模型中采用兩個(gè)LDAP目錄服務(wù)器，一個(gè)存放公鑰證書（PKC）和公鑰證書吊銷列表（CRL），另一個(gè)LDAP目錄服務(wù)器存放角色指派和角色規(guī)范屬性證書以及屬性吊銷列表ACRL。

安全管理策略也是電子政務(wù)安全體系的重要組成部分。安全的核心實(shí)際上是管理，安全技術(shù)實(shí)際上只是實(shí)現(xiàn)管理的一種手段，再好的技術(shù)手段都必須配合合理的制度才能發(fā)揮作用。需要制訂的制度包括安全行政管理和安全技術(shù)管理。安全行政管理應(yīng)包括組織機(jī)構(gòu)和責(zé)任制度等的制定和落實(shí)；安全技術(shù)管理的內(nèi)容包括對(duì)硬件實(shí)體和軟件系統(tǒng)、密鑰的管理。

3電子政務(wù)信息安全管理體系中的風(fēng)險(xiǎn)評(píng)估

電子政務(wù)信息安全等級(jí)保護(hù)是根據(jù)電子政務(wù)系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)安全、社會(huì)穩(wěn)定和保護(hù)公共利益等方面的重要程度。等級(jí)保護(hù)工作的要點(diǎn)是對(duì)電子政務(wù)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析，構(gòu)建電子政務(wù)系統(tǒng)的風(fēng)險(xiǎn)因素集。

3.1信息系統(tǒng)的安全定級(jí)信息系統(tǒng)的安全等級(jí)從低到高依次包括自主保護(hù)級(jí)、指導(dǎo)保護(hù)級(jí)、監(jiān)督保護(hù)級(jí)、強(qiáng)制保護(hù)級(jí)、專控保護(hù)級(jí)五個(gè)安全等級(jí)。對(duì)電子政務(wù)的五個(gè)安全等級(jí)定義，結(jié)合系統(tǒng)面臨的風(fēng)險(xiǎn)、系統(tǒng)特定安全保護(hù)要求和成本開銷等因素，采取相應(yīng)的安全保護(hù)措施以保障信息和信息系統(tǒng)的安全。

3.2采用全面的風(fēng)險(xiǎn)評(píng)估辦法風(fēng)險(xiǎn)評(píng)估具有不同的方法。在ISO/IECTR13335-3《信息技術(shù)IT安全管理指南:IT安全管理技術(shù)》中描述了風(fēng)險(xiǎn)評(píng)估方法的例子，其他文獻(xiàn)，例如NISTSP800-30、AS/NZS4360等也介紹了風(fēng)險(xiǎn)評(píng)估的步驟及方法，另外，一些組織還提出了自己的風(fēng)險(xiǎn)評(píng)估工具，例如OCTAVE、CRAMM等。

電子政務(wù)信息安全建設(shè)中采用的風(fēng)險(xiǎn)評(píng)估方法可以參考ISO17799、OCTAVE、CSE、《信息安全風(fēng)險(xiǎn)評(píng)估指南》等標(biāo)準(zhǔn)和指南，從資產(chǎn)評(píng)估、威脅評(píng)估、脆弱性評(píng)估、安全措施有效性評(píng)估四個(gè)方面建立風(fēng)險(xiǎn)評(píng)估模型。其中，資產(chǎn)的評(píng)估主要是對(duì)資產(chǎn)進(jìn)行相對(duì)估價(jià)，其估價(jià)準(zhǔn)則依賴于對(duì)其影響的分析，主要從保密性、完整性、可用性三方面進(jìn)行影響分析;威脅評(píng)估是對(duì)資產(chǎn)所受威脅發(fā)生可能性的評(píng)估，主要從威脅的能力和動(dòng)機(jī)兩個(gè)方面進(jìn)行分析;脆弱性評(píng)估是對(duì)資產(chǎn)脆弱程度的評(píng)估，主要從脆弱性被利用的難易程度、被成功利用后的嚴(yán)重性兩方面進(jìn)行分析;安全措施有效性評(píng)估是對(duì)保障措施的有效性進(jìn)行的評(píng)估活動(dòng)，主要對(duì)安全措施防范威脅、減少脆弱性的有效狀況進(jìn)行分析;安全風(fēng)險(xiǎn)評(píng)估就是通過(guò)綜合分析評(píng)估后的資產(chǎn)信息、威脅信息、脆弱性信息、安全措施信息，最終生成風(fēng)險(xiǎn)信息。

在確定風(fēng)險(xiǎn)評(píng)估方法后，還應(yīng)確定接受風(fēng)險(xiǎn)的準(zhǔn)則，識(shí)別可接受的風(fēng)險(xiǎn)級(jí)別。

4結(jié)語(yǔ)

電子政務(wù)與傳統(tǒng)政務(wù)相比有顯著區(qū)別，包括:辦公手段不同，信息資源的數(shù)字化和信息交換的網(wǎng)絡(luò)化是電子政務(wù)與傳統(tǒng)政務(wù)的最顯著區(qū)別;行政業(yè)務(wù)流程不同，實(shí)現(xiàn)行政業(yè)務(wù)流程的集約化、標(biāo)準(zhǔn)化和高效化是電子政務(wù)的核心;與公眾溝通方式不同，直接與公眾溝通是實(shí)施電子政務(wù)的目的之一，也是與傳統(tǒng)政務(wù)的重要區(qū)別。在電子政務(wù)的信息安全管理中，要抓住其特點(diǎn)，從技術(shù)、管理、策略角度設(shè)計(jì)完整的信息安全模型并通過(guò)科學(xué)量化的風(fēng)險(xiǎn)評(píng)估方法識(shí)別風(fēng)險(xiǎn)和制定風(fēng)險(xiǎn)應(yīng)急預(yù)案，這樣才能達(dá)到全方位實(shí)施信息安全管理的目的。

參考文獻(xiàn)：

[1]范紅，馮國(guó)登，吳亞非.信息安全風(fēng)險(xiǎn)評(píng)估方法與應(yīng)用.清華大學(xué)出版社.2006.

第9篇：網(wǎng)絡(luò)安全等級(jí)保護(hù)要求范文

【 關(guān)鍵詞 】 信息安全等級(jí)保護(hù)；等級(jí)測(cè)評(píng)；物聯(lián)網(wǎng)；云計(jì)算

Research of Effect of Internet of Things and Cloud Computing to Classified Evaluation

Zhao Liang

（Sinopec Shandong Dongying Oil Company ShandongJinan 257000）

【 Abstract 】 Classified Protection of Information Security is the basic system and strategy of national information security work. And Classified Evaluation is an important method of testing and evaluating the level of Information Security Protection. The appearance of new technologies， such as cloud computing， Internet of Things， tri-networks integration， brings new challenge to the Classified Evaluation technology. This paper introduced the influences upon Classified Evaluation from new technology development， represented by cloud computing and Internet of Things， in order to promote the development of test method research， and provide theoretical basis to further research.

【 Keywords 】 classified protection of information security； multilevel security database； cloud computing； internet of things

1 引言

社會(huì)信息化技術(shù)和國(guó)民經(jīng)濟(jì)的飛速發(fā)展，使得信息系統(tǒng)與網(wǎng)絡(luò)的基礎(chǔ)性與全面性作用逐漸增強(qiáng)，而由此帶來(lái)的信息安全問(wèn)題也變得突出，并逐漸成為關(guān)系國(guó)家安全的重大戰(zhàn)略問(wèn)題。信息安全等級(jí)保護(hù)制度是國(guó)家在國(guó)民經(jīng)濟(jì)和社會(huì)信息化的發(fā)展過(guò)程中，提高信息安全保障能力和水平，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)健康發(fā)展的一項(xiàng)基本制度，而等級(jí)測(cè)評(píng)作為檢驗(yàn)和評(píng)價(jià)信息系統(tǒng)安全保護(hù)水平的重要方法，是信息安全等級(jí)保護(hù)實(shí)施過(guò)程中的重要環(huán)節(jié)。近幾年，越來(lái)越多的研究者致力于等級(jí)測(cè)評(píng)技術(shù)、方法和工具的研究與開發(fā)，并取得了一定的成果。但越來(lái)越多網(wǎng)絡(luò)新技術(shù)的出現(xiàn)，在開拓等級(jí)保護(hù)與等級(jí)測(cè)評(píng)應(yīng)用領(lǐng)域的同時(shí)，也對(duì)傳統(tǒng)等級(jí)測(cè)評(píng)技術(shù)帶來(lái)了一定的挑戰(zhàn)。本文分別介紹了物聯(lián)網(wǎng)和云計(jì)算兩種新的技術(shù)應(yīng)用，并探討了其對(duì)等級(jí)測(cè)評(píng)技術(shù)產(chǎn)生的影響，旨在推動(dòng)等級(jí)測(cè)評(píng)技術(shù)的發(fā)展，為其深入研究提供理論參考。

2 安全等級(jí)保護(hù)與等級(jí)測(cè)評(píng)

信息安全等級(jí)保護(hù)是指根據(jù)應(yīng)用業(yè)務(wù)重要程度及其實(shí)際安全需求，通過(guò)制定統(tǒng)一的信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)信息安全實(shí)行等級(jí)化保護(hù)和等級(jí)化管理，以保障信息安全和系統(tǒng)安全正常運(yùn)行，維護(hù)國(guó)家利益、公共利益和社會(huì)穩(wěn)定。等級(jí)保護(hù)是幫助用戶分析、評(píng)定信息系統(tǒng)的等級(jí)，在后期的工作中根據(jù)不同的等級(jí)進(jìn)行不同級(jí)別的安全防護(hù)，

在我國(guó)的信息安全等級(jí)保護(hù)制度中，等級(jí)保護(hù)工作主要分為五個(gè)環(huán)節(jié)：定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)和監(jiān)督檢查。

等級(jí)測(cè)評(píng)是指第三方等級(jí)測(cè)評(píng)機(jī)構(gòu)根據(jù)等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)要求，針對(duì)已經(jīng)實(shí)施了安全等級(jí)保護(hù)的信息系統(tǒng)進(jìn)行的符合性測(cè)評(píng)活動(dòng)，以確保信息系統(tǒng)的安全性保護(hù)措施符合對(duì)應(yīng)等級(jí)的基本安全要求，是信息安全等級(jí)保護(hù)工作的重要環(huán)節(jié)，既可以在信息系統(tǒng)安全建設(shè)完成后進(jìn)行，也可以在信息系統(tǒng)的運(yùn)行維護(hù)過(guò)程中進(jìn)行。《GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》作為等級(jí)測(cè)評(píng)的基礎(chǔ)性標(biāo)準(zhǔn)，目前主要基于其進(jìn)行符合性判定。

3 物聯(lián)網(wǎng)技術(shù)與等級(jí)測(cè)評(píng)

3.1 物聯(lián)網(wǎng)技術(shù)簡(jiǎn)介

物聯(lián)網(wǎng)（Internet of Things， IOT），顧名思義，就是“物物相連的網(wǎng)絡(luò)”，是指通過(guò)各種信息傳感設(shè)備（如傳感器、射頻識(shí)別技術(shù)、全球定位系統(tǒng)、紅外感應(yīng)器、激光掃描器等各種裝置與技術(shù)），實(shí)時(shí)采集任何需要監(jiān)控、連接、互動(dòng)的物體或過(guò)程，采集其聲、光、熱、電、力學(xué)、化學(xué)等各種需要的信息，與互聯(lián)網(wǎng)結(jié)合形成的一個(gè)巨大網(wǎng)絡(luò)。物聯(lián)網(wǎng)作為新一代信息技術(shù)的重要組成部分，其目的是實(shí)現(xiàn)物與物、物與人，所有的物品與網(wǎng)絡(luò)的連接，方便識(shí)別、管理和控制。

物聯(lián)網(wǎng)被稱為繼計(jì)算機(jī)、互聯(lián)網(wǎng)之后，世界信息產(chǎn)業(yè)的第三次浪潮。業(yè)內(nèi)專家認(rèn)為，物聯(lián)網(wǎng)不僅可以大大提高經(jīng)濟(jì)效益，有效節(jié)約成本，還可以為全球經(jīng)濟(jì)的復(fù)蘇提供技術(shù)動(dòng)力支持。目前，美國(guó)、歐盟、韓國(guó)等都在加大力度深入研究物聯(lián)網(wǎng)。我國(guó)也正在高度關(guān)注、重視物聯(lián)網(wǎng)的研究，工業(yè)和信息化部會(huì)同有關(guān)部門，在新一代信息技術(shù)方面正在開展研究，以形成支持新一代信息技術(shù)發(fā)展的政策措施。

與傳統(tǒng)的互聯(lián)網(wǎng)相比，物聯(lián)網(wǎng)有其明顯的特征：（1）它是各種感知技術(shù)的廣泛應(yīng)用；（2）以互聯(lián)網(wǎng)為基礎(chǔ)；（3）其本身具有智能處理的能力，能對(duì)物體實(shí)施智能控制。物聯(lián)網(wǎng)用途廣泛，主要應(yīng)用領(lǐng)域有智能家居、智能醫(yī)療、智能環(huán)保、智能交通、智能農(nóng)業(yè)。

3.2 物聯(lián)網(wǎng)對(duì)等級(jí)測(cè)評(píng)技術(shù)的影響

物聯(lián)網(wǎng)技術(shù)的推廣和應(yīng)用，一方面將顯著提高經(jīng)濟(jì)和社會(huì)運(yùn)行效率，另一方面也對(duì)國(guó)家、社會(huì)、企業(yè)、公民的信息安全和隱私保護(hù)問(wèn)題提出了嚴(yán)峻的挑戰(zhàn)，其開放性的特點(diǎn)與信息安全理念背道而馳，對(duì)信息安全等級(jí)測(cè)評(píng)的工作方法及測(cè)評(píng)范圍產(chǎn)生了較大的影響。主要體現(xiàn)在幾個(gè)方面。

（1） 信號(hào)易擾：雖然物聯(lián)網(wǎng)能夠智能化的處理一些突發(fā)事件，不需要人為干涉，但傳感設(shè)備都是安裝在物品上的，且其信號(hào)很容易收到干擾，因此很可能導(dǎo)致物品的損失。此外，如果國(guó)家某些重要機(jī)構(gòu)如金融機(jī)構(gòu)依賴物聯(lián)網(wǎng)，也存在信號(hào)擾導(dǎo)致重要信息丟失的隱患。這樣如何評(píng)估物聯(lián)網(wǎng)技術(shù)的安全性及穩(wěn)定性成為等級(jí)測(cè)評(píng)中的難題。

（2） 針對(duì)性入侵技術(shù)：物聯(lián)網(wǎng)與互聯(lián)網(wǎng)的關(guān)系，使得互聯(lián)網(wǎng)上的安全隱患同樣也會(huì)對(duì)物聯(lián)網(wǎng)造成危害。物聯(lián)網(wǎng)上傳播的黑客、病毒和惡意軟件等進(jìn)行的惡意操作會(huì)侵害物品，進(jìn)一步侵犯用戶的隱私權(quán)。尤其是對(duì)一些敏感物品如銀行卡、身份證等物品的惡意掌控，將造成不堪設(shè)想的后果。因此，在對(duì)物聯(lián)網(wǎng)進(jìn)行安全保護(hù)以及等級(jí)測(cè)評(píng)過(guò)程中，不僅要考慮到物聯(lián)網(wǎng)無(wú)線網(wǎng)絡(luò)的防惡意入侵能力，更要考慮互聯(lián)網(wǎng)傳統(tǒng)的入侵技術(shù)。

（3） 通訊安全：物聯(lián)網(wǎng)與3G手機(jī)的結(jié)合，在很大程度上方便了人們的生活。然而，移動(dòng)通訊設(shè)備本身存在的安全問(wèn)題也會(huì)對(duì)物聯(lián)網(wǎng)造成影響。移動(dòng)通信設(shè)備存在許多安全漏洞，黑客很有可能通過(guò)移動(dòng)設(shè)備的漏洞竊取物聯(lián)網(wǎng)內(nèi)部的各種信息，從而帶來(lái)安全隱患。而且移動(dòng)設(shè)備的便攜性也使得其很容易丟失，若被不法分子獲得，則很容易造成用戶敏感信息的泄露。因此，在對(duì)物聯(lián)網(wǎng)進(jìn)行等級(jí)測(cè)評(píng)的過(guò)程中，還要考慮到通信終端及通信過(guò)程的保密性。

總之，在考慮物聯(lián)網(wǎng)的等級(jí)保護(hù)與等級(jí)測(cè)評(píng)過(guò)程中，要以構(gòu)建物聯(lián)網(wǎng)安全體系框架為目標(biāo)，在充分理解物聯(lián)網(wǎng)的結(jié)構(gòu)、技術(shù)和應(yīng)用模式的基礎(chǔ)上，深入分析物聯(lián)網(wǎng)設(shè)備、網(wǎng)絡(luò)、信息和管理等各層面面臨的安全威脅和風(fēng)險(xiǎn)，梳理物聯(lián)網(wǎng)安全的主要問(wèn)題，明確物聯(lián)網(wǎng)安全需求（“物”的真實(shí)性、“聯(lián)”的完整性、“網(wǎng)”的健壯性），并針對(duì)各項(xiàng)安全需求，研究保障物聯(lián)網(wǎng)安全的關(guān)鍵技術(shù)（低能耗密碼算法設(shè)計(jì)技術(shù)、海量信息標(biāo)識(shí)技術(shù)、物聯(lián)網(wǎng)設(shè)備管理技術(shù)、物聯(lián)網(wǎng)密鑰管理技術(shù)、動(dòng)態(tài)安全策略控制技術(shù)、物聯(lián)網(wǎng)安全等級(jí)保護(hù)技術(shù)、傳感設(shè)備物理安全防護(hù)技術(shù)），提出物聯(lián)網(wǎng)安全目標(biāo)以及技術(shù)體系、承載裝備體系、標(biāo)準(zhǔn)規(guī)范體系和管理體系框架，給出物聯(lián)網(wǎng)安全體系頂層設(shè)計(jì)思路、建設(shè)任務(wù)和應(yīng)對(duì)措施，為全面建設(shè)物聯(lián)網(wǎng)安全體系奠定必要的基礎(chǔ)。

4 計(jì)算與等級(jí)測(cè)評(píng)

4.1 云計(jì)算技術(shù)簡(jiǎn)介

作為一種新興的共享基礎(chǔ)架構(gòu)的網(wǎng)絡(luò)應(yīng)用模式，云計(jì)算（Cloud Computing）越來(lái)越受到研究者的關(guān)注。云計(jì)算的概念最早由IBM提出，是傳統(tǒng)計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)發(fā)展融合的產(chǎn)物，旨在通過(guò)網(wǎng)絡(luò)把多個(gè)成本相對(duì)較低的計(jì)算機(jī)實(shí)體整合成一個(gè)具有強(qiáng)大計(jì)算能力的系統(tǒng)，并借助各種商業(yè)模式把強(qiáng)大的計(jì)算能力分布給終端用戶。其核心思想是使用大規(guī)模的數(shù)據(jù)中心和功能強(qiáng)勁的服務(wù)器運(yùn)行網(wǎng)絡(luò)應(yīng)用程序、提供網(wǎng)絡(luò)服務(wù)，使得任何一個(gè)用戶都能輕松訪問(wèn)應(yīng)用程序。這種特殊的應(yīng)用模式，使得云計(jì)算具有大規(guī)模、服務(wù)虛擬化、通用性、高可靠性、高擴(kuò)展性等特點(diǎn)。

云計(jì)算作為一種新的概念和應(yīng)用模式，研究尚未成熟，還存在若干制約其發(fā)展的問(wèn)題，包括服務(wù)的可靠性、標(biāo)準(zhǔn)化問(wèn)題、安全性問(wèn)題、數(shù)據(jù)傳輸瓶頸以及信譽(yù)和法律危機(jī)。其中云安全問(wèn)題是目前發(fā)展云計(jì)算首要解決的問(wèn)題之一。

4.2 云計(jì)算對(duì)等級(jí)測(cè)評(píng)技術(shù)的影響

云計(jì)算平臺(tái)在為用戶提供服務(wù)的同時(shí)，仍不可避免的面臨嚴(yán)峻的安全考驗(yàn)。由于其用戶、信息資源的高度集中，帶來(lái)的安全事件后果與風(fēng)險(xiǎn)較傳統(tǒng)應(yīng)用高出很多。據(jù)IDC在2009年底的一項(xiàng)調(diào)查報(bào)告顯示，當(dāng)前云計(jì)算面臨的三大市場(chǎng)挑戰(zhàn)分別為安全性、穩(wěn)定性和性能表現(xiàn)。由此可見(jiàn)，解決云計(jì)算的安全問(wèn)題尤為迫切。云計(jì)算面臨的安全問(wèn)題及其對(duì)等級(jí)保護(hù)和等級(jí)測(cè)評(píng)造成的影響主要有幾個(gè)方面。

（1） 身份與權(quán)限控制：大數(shù)用戶對(duì)于云計(jì)算缺乏信心，其中一個(gè)很大原因是對(duì)于云模式下的使用和管理權(quán)限有顧慮。在復(fù)雜、虛擬的環(huán)境下，如何有效保證數(shù)據(jù)與應(yīng)用依然清晰可控，這既是用戶的問(wèn)題，也是云服務(wù)提供商的問(wèn)題。因此，身份與權(quán)限控制解決方案成為云安全的核心問(wèn)題之一，同樣的，傳統(tǒng)等級(jí)測(cè)評(píng)中針對(duì)身份認(rèn)證和權(quán)限控制的相關(guān)技術(shù)與方法也不適用于這種虛擬、復(fù)雜的應(yīng)用環(huán)境，需要開發(fā)專用的測(cè)試技術(shù)；

（3）計(jì)算層并行計(jì)算的干擾：計(jì)算層的主要功能是為整個(gè)云計(jì)算提供高效、靈活、高強(qiáng)度的計(jì)算服務(wù)，但也面臨一定的問(wèn)題，主要有計(jì)算性能的不可靠性，即資源競(jìng)爭(zhēng)造成的性能干擾，云計(jì)算主要采用并行計(jì)算間性能隔離機(jī)制來(lái)解決此問(wèn)題。因此在等級(jí)測(cè)評(píng)中，需要開發(fā)新的測(cè)試技術(shù)和方法來(lái)評(píng)估并行計(jì)算間的干擾問(wèn)題。

云計(jì)算給我們帶來(lái)創(chuàng)新和變革的同時(shí)，對(duì)安全問(wèn)題與等級(jí)測(cè)評(píng)技術(shù)也提出了更高的要求。在云計(jì)算環(huán)境下，無(wú)論是使用云服務(wù)的用戶，還是云服務(wù)提供商，安全問(wèn)題都是第一大問(wèn)題。研究適用于云計(jì)算應(yīng)用的等級(jí)測(cè)評(píng)技術(shù)，將極大的推動(dòng)云計(jì)算領(lǐng)域的發(fā)展。

5 結(jié)束語(yǔ)

隨著各行各業(yè)對(duì)信息安全等級(jí)保護(hù)工作的關(guān)注和重視，等級(jí)保護(hù)和等級(jí)測(cè)評(píng)工作已逐漸成為制度化、規(guī)范化的研究課題。許多新技術(shù)如云計(jì)算、物聯(lián)網(wǎng)、三網(wǎng)融合等的推廣應(yīng)用在帶來(lái)機(jī)遇的同時(shí)，也給等級(jí)保護(hù)乃至整個(gè)信息安全帶來(lái)了新的挑戰(zhàn)。本文分別介紹了物聯(lián)網(wǎng)和云計(jì)算兩種新的技術(shù)應(yīng)用，并探討了其對(duì)等級(jí)測(cè)評(píng)技術(shù)產(chǎn)生的影響，旨在推動(dòng)等級(jí)測(cè)評(píng)技術(shù)的發(fā)展，為其深入研究提供理論參考。

參考文獻(xiàn)

[1] 公通字[2004]66號(hào) 關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn).

[2] GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求.

[3] 楊磊，郭志博. 信息安全等級(jí)保護(hù)的等級(jí)測(cè)評(píng). 中國(guó)人民公安大學(xué)學(xué)報(bào)（自然科學(xué)版），No. 1 2007.

[4] 劉忠寶. 物聯(lián)網(wǎng)技術(shù)應(yīng)用與研究. 信息與電腦，2010年第10期.

[5] 郝文江，武捷. 物聯(lián)網(wǎng)技術(shù)安全問(wèn)題探析. 實(shí)踐探究，2010.

[6] 王斐. 淺談信息化的新浪潮――云計(jì)算. 科技創(chuàng)新導(dǎo)報(bào)，2010 No.30

[7] Jon Brodkin. Gartner： Seven cloud-computing Security risks[EB/OL]. 2008，07.http：///d/.

[8] 陳丹偉，黃秀麗，任勛益. 云計(jì)算及安全分析. 計(jì)算機(jī)技術(shù)與發(fā)展，2010 第2期.

[9] 任偉.物聯(lián)網(wǎng)安全架構(gòu)與技術(shù)路線研究.信息網(wǎng)絡(luò)安全，2012.5.