信息安全等級保護辦法精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的信息安全等級保護辦法主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：信息安全等級保護辦法范文

關(guān)鍵詞：電力 信息安全防護 安全域 分級分域

中圖分類號：TM73 文獻標識碼：A 文章編號：1674-098X（2016）12（b）-0121-02

該文適用于能源行業(yè)信息安全監(jiān)管部門、各能源相關(guān)企業(yè)信息安全在崗人員、信息安全等級保護測評機構(gòu)的管理與技術(shù)人員等。

1 定級信息系統(tǒng)劃分方式

由于國家電網(wǎng)公司的信息系統(tǒng)涉及業(yè)務(wù)范圍廣，應(yīng)用面寬，為了體現(xiàn)重要業(yè)務(wù)應(yīng)用重點保護，有效控制信息安全建設(shè)成本，優(yōu)化信息安全資源配置的等級保護工作原則，從管理、業(yè)務(wù)、物理位置和運行環(huán)境等方面綜合分析，對信息系統(tǒng)進行劃分。

從管理機構(gòu)角度劃分。不同管理機構(gòu)（總部、網(wǎng)省、地市公司）管理控制下的信息系y應(yīng)分開作為不同的定級對象。

從業(yè)務(wù)類型角度劃分。根據(jù)不同業(yè)務(wù)應(yīng)用的“相對獨立”性，劃分出信息系統(tǒng)的不同部分作為不同的定級對象。

2 定級信息系統(tǒng)分類

根據(jù)上述信息系統(tǒng)基本特征和信息系統(tǒng)劃分方式，結(jié)合國家電網(wǎng)公司工程一體化企業(yè)級信息系統(tǒng)定義，將國家電網(wǎng)公司信息系統(tǒng)劃分為一體化企業(yè)級信息集成平臺、財務(wù)管理、營銷及市場交易管理、安全生產(chǎn)管理、協(xié)同辦公、人力資源管理、物資管理、項目管理、綜合管理9類，總部、網(wǎng)?。ㄖ陛犑校?、地市3層，共69個信息系統(tǒng)。

3 標準解讀

3.1 電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法

3.1.1 總則

解讀：《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》對電力行業(yè)管理部門、電力企業(yè)等單位在電力行業(yè)網(wǎng)絡(luò)與信息安全保護工作中的職責(zé)與工作內(nèi)容做出了明確規(guī)定。

第一章主要對電力行業(yè)網(wǎng)絡(luò)與信息安全的依據(jù)、目標和原則等做出了具體闡述。

3.1.2 監(jiān)督管理職責(zé)

解讀：第二章主要明確了國家能源局及其派出機構(gòu)對電力行業(yè)網(wǎng)絡(luò)與信息安全工作的監(jiān)管責(zé)任。國家能源局主管電力行業(yè)網(wǎng)絡(luò)與信息安全工作，履行監(jiān)督管理職責(zé)，并明確了國家能源局監(jiān)督管理職責(zé)的主要內(nèi)容。能源局派出機構(gòu)根據(jù)授權(quán)，負責(zé)該轄區(qū)電力企業(yè)網(wǎng)絡(luò)與信息安全監(jiān)督管理。

3.1.3 電力企業(yè)職責(zé)

解讀：第三章主要闡述電力企業(yè)在電力行業(yè)網(wǎng)絡(luò)與信息安全工作的職責(zé)，明確了該單位的網(wǎng)絡(luò)與信息安全工作的責(zé)任主體：電力企業(yè)（適用于兩大電網(wǎng)公司、五大發(fā)電集團、中國核電和中廣核等兩家核電企業(yè)等）。網(wǎng)絡(luò)與信息安全的第一責(zé)任人：電力企業(yè)主要負責(zé)人。

3.1.4 監(jiān)督檢查

解讀：第四章主要闡述了國家能源局及其派出機構(gòu)對電力企業(yè)網(wǎng)絡(luò)與信息安全工作進行監(jiān)督檢查的職責(zé)以及檢查時可采取的措施。

3.2 電力行業(yè)信息安全等級保護管理辦法

3.2.1 總則

解讀：《電力行業(yè)信息安全等級保護管理辦法》明確了電力行業(yè)信息安全等級保護制度的基本內(nèi)容、流程及工作要求，明確了信息系統(tǒng)運營使用單位和主管部門、監(jiān)管部門在信息安全等級保護工作中的職責(zé)、任務(wù)，為開展信息安全等級保護工作提供了規(guī)范保障。

第一章為總則，闡述了電力行業(yè)開展等保的目的、電力行業(yè)管理部門和企業(yè)的職責(zé)與關(guān)系。

3.2.2 等級劃分與保護

解讀：第二章對電力行業(yè)信息安全等級的劃分和對應(yīng)等級的保護做了詳細闡述。簡言之，電力企業(yè)依據(jù)等級劃分規(guī)定自主確定相應(yīng)電力系統(tǒng)的安全保護等級，自主依據(jù)有關(guān)管理規(guī)定和技術(shù)標準對其進行保護。等級劃分以信息系統(tǒng)的重要性為依據(jù)，通過評估系統(tǒng)受到破壞后對公民、法人和其他組織，社會秩序和公共利益，國家安全的損害程度，確定其重要性。對于自主定級有困難的，也可以咨詢電力行業(yè)保測評機構(gòu)等單位。

3.2.3 等級保護的實施與管理

解讀：第三章對電力行業(yè)等級保護的實施過程做了詳細闡述。電力信息系統(tǒng)運營、使用單位應(yīng)按《實施指南》（GB/T 25058-2010）開展等保工作。具體包括定級、備案、安全建設(shè)/整改、等級測評、監(jiān)督檢查幾個方面。

系統(tǒng)的定級和備案由電力信息系統(tǒng)運營、使用單位采用“自主定級、自主保護”的原則確定，各區(qū)域（?。﹥?nèi)的電力企業(yè)的系統(tǒng)定級結(jié)果報國家能源局派出機構(gòu)備案。

安全建設(shè)/整改（參見第十條）可請專業(yè)機構(gòu)等實施。

系統(tǒng)建設(shè)完成后需請符合規(guī)定（參見第十九條）第三方專業(yè)機構(gòu)進行測評。

監(jiān)督檢查根據(jù)系統(tǒng)安全保護級別確定是自主保護還是上級監(jiān)管部門及其授權(quán)的派出機構(gòu)負責(zé)。

3.2.4 信息安全等級保護的密碼管理

解讀：第四章對等級保護的密碼管理進行了詳細闡述。對涉及國家秘密的系統(tǒng)采用秘密保護，應(yīng)該報國家密碼管理局審批，并按要求涉及、使用和管理。

3.2.5 法律責(zé)任

解讀：第五章明確了電力信息系統(tǒng)等級保護工作中監(jiān)管部門、工作人員及各單位違反規(guī)定的懲處措施。

4 結(jié)語

《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法（國能安全[2014]317號）》和《電力行業(yè)信息安全等級保護管理辦法（國能安全[2014]318號）》，跟《電力監(jiān)控系統(tǒng)安全防護規(guī)定（發(fā)改委2014年14號令）》和《電力監(jiān)控系統(tǒng)安全防護總體方案（國能安全[2015]36號文）一同，構(gòu)成了電力行業(yè)信息安全防護體系文件，體現(xiàn)了電力行業(yè)標準跟國家標準的基本差異，突出了電力行業(yè)業(yè)務(wù)特色和管理特征。

參考文獻

[1] 王棟，劉識，王懷宇.電力行業(yè)三級信息系統(tǒng)等級保護典型設(shè)計研究[J].電力信息與通信技術(shù)，2012（8）：81-84.

第2篇：信息安全等級保護辦法范文

關(guān)鍵詞：等級保護；信息安全；風(fēng)險評估

中圖分類號：TP309 文獻標識碼：A文章編號：1007-9599 (2011) 13-0000-01

Applied Research of Classified Protection in Information Security

Lv Chunmei,Han Shuai,Hu Chaoju

(School of Control and Computer Engineering,North China Electric Power University,Baoding071003,China)

Abstract:Information security classified protection is a basic institution,strategy and method of national information security system.This paper describes the importance and theory of classified protection,and describes the application of classified protection in some industries.

Keywords:Classified protection;Information security;Risk assessment

隨著信息化的快速發(fā)展，計算機網(wǎng)絡(luò)與信息技術(shù)在各個行業(yè)都得到了廣泛應(yīng)用，對信息系統(tǒng)進行風(fēng)險分析和等級評估，找出信息系統(tǒng)中存在的問題，對其進行控制和管理，己成為信息系統(tǒng)安全運行的重點。

一、信息系統(tǒng)安全

信息安全的發(fā)展大致為以下幾個階段，20世紀40-70年代，人們通過密碼技術(shù)解決通信保密，保證數(shù)據(jù)的保密性和完整性；到了70-90年代，為確保信息系統(tǒng)資產(chǎn)保密性、完整性和可用性的措施和控制，采取安全操作系統(tǒng)設(shè)計技術(shù)；90年代后，要求綜合通信安全和信息系統(tǒng)安全，確保信息在存儲、處理和傳輸過程中免受非授權(quán)的訪問，防止授權(quán)用戶的拒絕服務(wù)，以及包括檢測、記錄和對抗此類威脅的措施，代表是安全評估保障CC；今天，要保障信息和信息系統(tǒng)資產(chǎn)，保障組織機構(gòu)使命的執(zhí)行，綜合技術(shù)、管理、過程、人員等，需要更加完善的管理機制和更加先進的技術(shù)，出臺的有BS7799/ISO17799管理文件[1]。

二、信息安全等級保護

信息安全等級保護是指對信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中發(fā)生的信息安全事件等分等級響應(yīng)、處置，對設(shè)備設(shè)施、運行環(huán)境、系統(tǒng)軟件以及網(wǎng)絡(luò)系統(tǒng)按等級管理。風(fēng)險評估按照風(fēng)險范疇中設(shè)定的相關(guān)準則進行評估計算，同時結(jié)合信息安全管理和等級保護要求來實施。現(xiàn)在越來越注重將安全等級策略和風(fēng)險評估技術(shù)相結(jié)合的辦法進行信息系統(tǒng)安全管理，國內(nèi)2007年下發(fā)《信息安全等級保護管理辦法》，規(guī)范了信息安全等級保護的管理。ISO/IEC 27000是英國標準協(xié)會的一個關(guān)于信息安全管理的標準[2]。

三、等級保護劃分

完整正確地理解安全保護等級的安全要求，并合理地確定目標系統(tǒng)的保護等級，是將等級保護合理地運用于具體信息系統(tǒng)的重要前提[3]。國家計算機等級保護總體原則《計算機信息系統(tǒng)安全保護等級劃分準則》（GB 17859）將我國信息系統(tǒng)安全等級分為5個級別，以第1級用戶自主保護級為基礎(chǔ)，各級逐漸增強。

第一級：用戶自主保護級，通過隔離用戶和數(shù)據(jù)，實施訪問控制，以免其他用戶對數(shù)據(jù)的非法讀寫和破壞。

第二級：系統(tǒng)審計保護級，使用機制來鑒別用戶身份，阻止非授權(quán)用戶訪問用戶身份鑒別數(shù)據(jù)。

第三級：安全標記保護級，提供有關(guān)安全策略模型、數(shù)據(jù)標記以及主體對客體強制訪問控制的非形式化描述。

第四級：結(jié)構(gòu)化保護級，將第三級的自主和強制訪問控制擴展到所有的主體和客體。加強鑒別機制，系統(tǒng)具有相當(dāng)?shù)目節(jié)B透能力。

第五級：訪問驗證保護級，訪問監(jiān)控器仲裁主體對客體的全部訪問，具有極強的抗?jié)B透能力。

四、信息系統(tǒng)定級

為提高我國基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全保護能力和水平，公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室定于2007年7月至10月在全國范圍內(nèi)組織開展重要信息系統(tǒng)安全等級保護定級工作[4]，定級范圍包含：

1.電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)，經(jīng)營性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。

2.鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險、外交、科技、發(fā)展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務(wù)、水利、國土資源、能源、交通等重要信息系統(tǒng)。

3.市（地）級以上黨政機關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)。

4.涉及國家秘密的信息系統(tǒng)。各行業(yè)根據(jù)行業(yè)特點指導(dǎo)本地區(qū)、本行業(yè)進行定級工作，保障行業(yè)內(nèi)的信息系統(tǒng)安全。

五、等級保護在行業(yè)中應(yīng)用

（一）等級保護在電力行業(yè)信息安全中的應(yīng)用

國家電網(wǎng)公司承擔(dān)著為國家發(fā)展電力保障的基本使命，對電力系統(tǒng)的信息安全非常重視，已經(jīng)把信息安全提升到電力生產(chǎn)安全的高度，并陸續(xù)下發(fā)了《關(guān)于網(wǎng)絡(luò)信息安全保障工作的指導(dǎo)意見》和《國家電網(wǎng)公司與信息安全管理暫行規(guī)定》。

（二）電信網(wǎng)安全防護體系研究及標準化進展

《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》和《2006~2020年國家信息化發(fā)展戰(zhàn)略》的出臺，明確了我國信息安全保障工作的發(fā)展戰(zhàn)略[5]。文中也明確了“國家公用通信網(wǎng)”包括通常所指“基礎(chǔ)電信網(wǎng)絡(luò)”、“移動通信網(wǎng)”、“公用互聯(lián)網(wǎng)”和“衛(wèi)星通信網(wǎng)”等基礎(chǔ)電信網(wǎng)絡(luò)。將安全保障的工作落實到電信網(wǎng)絡(luò)，充分研究安全等級保護、安全風(fēng)險評估以及災(zāi)難備份及恢復(fù)三部分內(nèi)容，將三部分工作有機結(jié)合，互為依托和補充，共同構(gòu)成了電信網(wǎng)安全防護體系。

六、結(jié)束語

安全等級保護是指導(dǎo)信息系統(tǒng)安全防護工作的基礎(chǔ)管理原則，其核心內(nèi)容是根據(jù)信息系統(tǒng)的重要程度進行安全等級劃分，并針對不同的等級，提出安全要求。我國信息安全等級保護正在不斷地完善中，相信信息保護工作會越做越好。

參考文獻：

[1]徐超漢.計算機信息安全管理[M].北京:電子工業(yè)出版社,2006,36-89

[2]ISO27001.信息安全管理標準[S].2005

[3]GB17859計算機信息系統(tǒng)安全保護等級劃分準則[S].1999

[4]關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知［EB/OL］.公信安[2007]861號,20070716.

第3篇：信息安全等級保護辦法范文

信息安全等級保護備案實施細則最新全文第一條 為加強和指導(dǎo)信息安全等級保護備案工作，規(guī)范備 案受理、審核和管理等工作，根據(jù)《信息安全等級保護管理辦法》 制定本實施細則。

第二條 本細則適用于非涉及國家秘密的第二級以上信息系 統(tǒng)的備案。

第三條 地市級以上公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門受 理本轄區(qū)內(nèi)備案單位的備案。 隸屬于省級的備案單位， 其跨地 (市) 聯(lián)網(wǎng)運行的信息系統(tǒng)，由省級公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部 門受理備案。

第四條 隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng) 運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由公安部公共信息網(wǎng)絡(luò) 安全監(jiān)察局受理備案，其他信息系統(tǒng)由北京市公安局公共信息網(wǎng) 絡(luò)安全監(jiān)察部門受理備案。 隸屬于中央的非在京單位的信息系統(tǒng)，由當(dāng)?shù)厥〖壒矙C關(guān) 公共信息網(wǎng)絡(luò)安全監(jiān)察部門(或其指定的地市級公安機關(guān)公共信 息網(wǎng)絡(luò)安全監(jiān)察部門)受理備案。 跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系 統(tǒng)在各地運行、應(yīng)用的分支系統(tǒng)(包括由上級主管部門定級，在 當(dāng)?shù)赜袘?yīng)用的信息系統(tǒng)) 由所在地地市級以上公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門受理備案。

第五條 受理備案的公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng) 該設(shè)立專門的備案窗口，配備必要的設(shè)備和警力，專門負責(zé)受理 備案工作，受理備案地點、時間、聯(lián)系人和聯(lián)系方式等應(yīng)向社會 公布。

第六條 信息系統(tǒng)運營、使用單位或者其主管部門(以下簡 稱備案單位 ) 應(yīng)當(dāng)在信息系統(tǒng)安全保護等級確定后30日內(nèi)，到公 安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門辦理備案手續(xù)。辦理備案手續(xù) 時，應(yīng)當(dāng)首先到公安機關(guān)指定的網(wǎng)址下載并填寫備案表，準備好 備案文件，然后到指定的地點備案。

第七條 備案時應(yīng)當(dāng)提交《信息系統(tǒng)安全等級保護備案表》 (以下簡稱《備案表》 (一式兩份)及其電子文檔。第二級以上 信息系統(tǒng)備案時需提交《備案表》中的表一、二、三;第三級以 上信息系統(tǒng)還應(yīng)當(dāng)在系統(tǒng)整改、 測評完成后30日內(nèi)提交 《備案表》 表四及其有關(guān)材料。

第八條 公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門收到備案單位 提交的備案材料后，對屬于本級公安機關(guān)受理范圍且備案材料齊 全的，應(yīng)當(dāng)向備案單位出具《信息系統(tǒng)安全等級保護備案材料接 收回執(zhí)》 備案材料不齊全的， 應(yīng)當(dāng)當(dāng)場或者在五日內(nèi)一次性告知 其補正內(nèi)容;對不屬于本級公安機關(guān)受理范圍的，應(yīng)當(dāng)書面告知 備案單位到有管轄權(quán)的公安機關(guān)辦理。

第九條 接收備案材料后，公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)對下列內(nèi)容進行審核： (一)備案材料填寫是否完整，是否符合要求，其紙質(zhì)材料 和電子文檔是否一致; (二)信息系統(tǒng)所定安全保護等級是否準確。

第十條 經(jīng)審核，對符合等級保護要求的，公安機關(guān)公共信 息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)自收到備案材料之日起的十個工作日 內(nèi)，將加蓋本級公安機關(guān)印章(或等級保護專用章)的《備案表》 一份反饋備案單位，一份存檔;對不符合等級保護要求的，公安 機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)在十個工作日內(nèi)通知備案單 位進行整改， 并出具 《信息系統(tǒng)安全等級保護備案審核結(jié)果通知》

第十一條 《備案表》中表一、表二、表三內(nèi)容經(jīng)審核合格 的，公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)出具《信息系統(tǒng)安 全等級保護備案證明》 (以下簡稱《備案證明》 《備案證明》由 公安部統(tǒng)一監(jiān)制。

第十二條 公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門對定級不 準的備案單位，在通知整改的同時，應(yīng)當(dāng)建議備案單位組織專家 進行重新定級評審，并報上級主管部門審批。 備案單位仍然堅持原定等級的，公安機關(guān)公共信息網(wǎng)絡(luò)安全 監(jiān)察部門可以受理其備案，但應(yīng)當(dāng)書面告知其承擔(dān)由此引發(fā)的責(zé) 任和后果，經(jīng)上級公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門同意后， 同時通報備案單位上級主管部門。

第十三條 4 對拒不備案的，公安機關(guān)應(yīng)當(dāng)依據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》 等其他有關(guān)法律、 法規(guī)規(guī)定， 責(zé)令限期整改。逾期仍不備案的，予以警告，并向其上級主管部 門通報。 依照前款規(guī)定向中央和國家機關(guān)通報的，應(yīng)當(dāng)報經(jīng)公安部公 共信息網(wǎng)絡(luò)安全監(jiān)察局同意。

第十四條 受理備案的公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部 門應(yīng)當(dāng)及時將備案文件錄入到數(shù)據(jù)庫管理系統(tǒng)，并定期逐級上傳 《備案表》中表一、表二、表三內(nèi)容的電子數(shù)據(jù)。上傳時間為每 季度的第一天。 受理備案的公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)建立管 理制度， 對備案材料按照等級進行嚴格管理， 嚴格遵守保密制度， 未經(jīng)批準不得對外提供查詢。 第十五條 公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門受理備案 時不得收取任何費用。

第十六條 本細則所稱以上包含本數(shù)(級)

第十七條 各省(區(qū)、市)公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察 部門可以依據(jù)本細則制定具體的備案工作規(guī)范，并報公安部公共 信息網(wǎng)絡(luò)安全監(jiān)察局備案。

第4篇：信息安全等級保護辦法范文

【關(guān)鍵詞】等級保護；虛擬專網(wǎng)；VPN

1.引言

隨著因特網(wǎng)技術(shù)應(yīng)用的普及，以及政府、企業(yè)和各部門及其分支結(jié)構(gòu)網(wǎng)絡(luò)建設(shè)和安全互聯(lián)互通需求的不斷增長，VPN技術(shù)為企業(yè)提供了一種低成本的組網(wǎng)方式。同時，我國現(xiàn)行的“計算機安全等級保護”也為企業(yè)在建設(shè)信息系統(tǒng)時提供了安全整體設(shè)計思路和標準。如何充分利用VPN技術(shù)和相關(guān)產(chǎn)品，為企業(yè)提供符合安全等級保護要求、性價比高的網(wǎng)絡(luò)安全總體解決方案，是當(dāng)前企業(yè)信息系統(tǒng)設(shè)計中面臨的挑戰(zhàn)。

2.信息安全管理體系發(fā)展軌跡

對于信息安全管理問題，在上世紀90年代初引起世界主要發(fā)達國家的注意，并投入大量的資金和人力進行分析和研究。英國分別于1995年和1998年出版BS7799標準的第一部分《信息安全管理實施細則》和第二部分《信息安全管理體系規(guī)范》，規(guī)定信息安全管理體系與控制要求和實施規(guī)則，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一參考基準，是一個全面信息安全管理體系評估的基礎(chǔ)和正式認證方案的根據(jù)。國際標準化組織（ISO）聯(lián)合國際電工委員會（IEC）分別于2000年和2005年將BS7799標準轉(zhuǎn)換為ISO/IEC 17799《信息安全管理體系 實施細則》和ISO/IEC 27001《信息安全管理體系 要求》，并向全世界推廣。中國國家標準化管理委員會（SAC）于1999年了GB/T 17859《計算機信息系統(tǒng)安全保護等級劃分準則》標準，把信息安全管理劃分為五個等級，分別針對不同組織性質(zhì)和對社會、國家危害程度大小進行了不同等級的劃分，并提出了監(jiān)管方法。2008年制訂并下發(fā)了與ISO/IEC 17799和ISO/IEC 27001相對應(yīng)的GBT 22081-2008《信息安全管理體系 實用規(guī)則》和GBT 22080-2008《信息安全管理體系 要求》。

3.信息系統(tǒng)安全的等級

為加快推進信息安全等級保護，規(guī)范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設(shè)，國家公安部、保密局、密碼管理局和國務(wù)院信息化工作辦公室等，于2007年聯(lián)合了《信息安全等級保護管理辦法》，就全國機構(gòu)/企業(yè)的信息安全保護問題，進行了行政法規(guī)方面的規(guī)范，并組織和開展對全國重要信息系統(tǒng)安全等級保護定級工作。同時，制訂了《信息系統(tǒng)安全等級保護基本要求》、《信息系統(tǒng)安全等級保護實施指南》、《信息系統(tǒng)安全等級保護測評準則》和《信息系統(tǒng)安全等級保護定級指南》等相應(yīng)技術(shù)規(guī)范（國家標準審批稿），來指導(dǎo)國內(nèi)機構(gòu)/企業(yè)進行信息安全保護。

在《信息系統(tǒng)安全等級保護基本要求》中，要求從網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、系統(tǒng)運維管理、安全管理機構(gòu)等幾方面，按照身份鑒別、訪問控制、介質(zhì)管理、密碼管理、通信和數(shù)據(jù)的完整、保密性以及數(shù)據(jù)備份與恢復(fù)等具體要求，對信息流進行不同等級的劃分，從而達到有效保護的目的。信息系統(tǒng)的安全保護等級分為五級：第一級為自主保護級，第二級指導(dǎo)保護級，第三級為監(jiān)督保護級，第四級為強制保護級，第五級為專控保護級。

針對政府、企業(yè)常用的三級安全保護設(shè)計中，主要是以三級安全的密碼技術(shù)、系統(tǒng)安全技術(shù)及通信網(wǎng)絡(luò)安全技術(shù)為基礎(chǔ)的具有三級安全的信息安全機制和服務(wù)支持下，實現(xiàn)三級安全計算環(huán)境、三級安全通信網(wǎng)絡(luò)、三級安全區(qū)域邊界防護和三級安全管理中心的設(shè)計。

圖1 三級系統(tǒng)安全保護示意圖

圖2 VPN產(chǎn)品部署示意圖

4.VPN技術(shù)及其發(fā)展趨勢

VPN即虛擬專用網(wǎng)，是通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通常，VPN是對企業(yè)內(nèi)部網(wǎng)的擴展，通過它可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。VPN可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

VPN使用三個方面的技術(shù)保證了通信的安全性：隧道協(xié)議、身份驗證和數(shù)據(jù)加密。VPN通道的加密方式成為主要的技術(shù)要求，目前VPN技術(shù)主要包括IPSec VPN，非IPSec VPN（如PPTP，L2TP等），基于WEB的SSL VPN等。

IPSec VPN是基于IPSec協(xié)議的VPN產(chǎn)品，由IPSec協(xié)議提供隧道安全保障，協(xié)議包括AH、ESP、ISAKMP等協(xié)議。其通過對數(shù)據(jù)加密、認證、完整性檢查來保證數(shù)據(jù)傳輸?shù)目煽啃浴⑺接行院捅Ｃ苄?。通過采用加密封裝技術(shù)，對所有網(wǎng)絡(luò)層上的數(shù)據(jù)進行加密透明保護。IPSec協(xié)議最適合于LAN到LAN之間的虛擬專用網(wǎng)構(gòu)建。

SSL VPN是基于SSL協(xié)議的VPN產(chǎn)品。在企業(yè)中心部署SSL VPN設(shè)備，無需安裝客戶端軟件，授權(quán)用戶能夠從任何標準的WEB瀏覽器和互聯(lián)網(wǎng)安全地連接到企業(yè)網(wǎng)絡(luò)資源。SSL VPN產(chǎn)品最適合于遠程單機用戶與中心之間的虛擬網(wǎng)構(gòu)建。

整個VPN通信過程可以簡化為以下4個步驟：

（1）客戶機向VPN服務(wù)器發(fā)出連接請求。

（2）VPN服務(wù)器響應(yīng)請求并向客戶機發(fā)出身份認證的請求，客戶機與VPN服務(wù)器通過信息的交換確認對方的身份，這種身份確認是雙向的。

（3）VPN服務(wù)器與客戶機在確認身份的前提下開始協(xié)商安全隧道以及相應(yīng)的安全參數(shù)，形成安全隧道。

（4）最后VPN服務(wù)器將在身份驗證過程中產(chǎn)生的客戶機和服務(wù)器公有密鑰將用來對數(shù)據(jù)進行加密，然后通過VPN隧道技術(shù)進行封裝、加密、傳輸?shù)侥康膬?nèi)部網(wǎng)絡(luò)。

目前國外公開的相關(guān)VPN產(chǎn)品多數(shù)采用軟件加密的方式，加解密算法也多使用通用的3DES、RSA加解密算法，不符合國家密碼產(chǎn)品管理和應(yīng)用的要求。《商用密碼管理條例》（中華人民共和國國務(wù)院第273號令，1999年10月7日）第四章第十四條規(guī)定：任何單位或者個人只能使用經(jīng)國家密碼管理機構(gòu)認可的商用密碼產(chǎn)品，不得使用自行研制的或者境外生產(chǎn)的密碼產(chǎn)品。國家密碼管理局在2009年針對VPN產(chǎn)品下發(fā)了《IPSec VPN技術(shù)規(guī)范》和《SSL VPN技術(shù)規(guī)范》，明確要求了VPN產(chǎn)品的技術(shù)體系和算法要求。

5.VPN技術(shù)在等級保護中的應(yīng)用

在三級防護四大方面的設(shè)計要求中，VPN技術(shù)可以說是在四大方面的設(shè)計要求中都有廣泛的應(yīng)用：

在安全計算環(huán)境的設(shè)計要求中：首先在實現(xiàn)身份鑒別方面，在用戶訪問的中心，系統(tǒng)管理員都統(tǒng)一建立的有用戶的用戶組和用戶名，用戶會通過VPN的設(shè)備登錄訪問中心的應(yīng)用系統(tǒng)，當(dāng)身份得到鑒別通過時才可訪問應(yīng)用系統(tǒng)；其次在數(shù)據(jù)的完整性保護和保密性保護上都能夠防止用戶的數(shù)據(jù)在傳輸過程中被惡意篡改和盜取。

在安全區(qū)域邊界的設(shè)計要求中：網(wǎng)絡(luò)邊界子系統(tǒng)的邊界控制與VPN功能一體化實現(xiàn)，在保證傳輸安全性的同時提高網(wǎng)絡(luò)數(shù)據(jù)包處理效率。

在安全通信網(wǎng)絡(luò)的設(shè)計要求中：網(wǎng)絡(luò)安全通信的子系統(tǒng)主要是為跨區(qū)域邊界的通信雙方建立安全的通道，通過IPSEC協(xié)議建立安全的VPN隧道傳輸數(shù)據(jù)。完成整個應(yīng)用系統(tǒng)中邊界或部門服務(wù)器邊界的安全防護，為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的間的信息的安全傳輸提供加密、身份鑒別及訪問控制等安全機制。在客戶端和應(yīng)用服務(wù)器進出的總路由前添加網(wǎng)絡(luò)VPN網(wǎng)關(guān)，通過IPSEC協(xié)議或者SSL協(xié)議建立VPN隧道為進出的數(shù)據(jù)提供加密傳輸，實現(xiàn)應(yīng)用數(shù)據(jù)的加密通信。

在安全管理中心的設(shè)計要求中：系統(tǒng)管理中，VPN技術(shù)在主機資源和用戶管理能夠?qū)崿F(xiàn)很好的保護，對用戶登錄、外設(shè)接口、網(wǎng)絡(luò)通信、文件操作及進程服務(wù)等方面進行監(jiān)視機制，確保重要信息安全可控，滿足對主機的安全監(jiān)管需要。

在信息系統(tǒng)安全等級保護設(shè)計中VPN產(chǎn)品的部署示意圖如圖2所示。

第5篇：信息安全等級保護辦法范文

信息安全等級保護建設(shè)背景

信息安全等級保護制度是我們國家在國民經(jīng)濟和社會信息化的發(fā)展過程中，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設(shè)健康發(fā)展的一項基本制度。實行信息安全等級保護制度，能夠充分調(diào)動國家、法人和其他組織及公民的積極性，發(fā)揮各方面的作用，達到有效保護的目的，增強安全保護的整體性、針對性和實效性，使信息系統(tǒng)安全建設(shè)更加突出重點、統(tǒng)一規(guī)范、科學(xué)合理，對促進我國信息安全的發(fā)展將起到重要推動作用。

2011年，原衛(wèi)生部了《關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級保護工作的通知》（衛(wèi)辦綜函〔2011〕1126號）。針對醫(yī)療衛(wèi)生行業(yè)的信息系統(tǒng)，原衛(wèi)生部辦公廳于2011年下發(fā)了《衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見》（衛(wèi)發(fā)辦〔2011〕85號）要求三級甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)信息安全等級保護定級不低于第三級，并且要求2015年12月30日前完成信息安全等級保護建設(shè)整改工作，并通過等級測評。

醫(yī)療行業(yè)面臨的主要風(fēng)險

1.醫(yī)療行業(yè)特點

隨著我國醫(yī)療衛(wèi)生事業(yè)的迅速發(fā)展，醫(yī)學(xué)科學(xué)的不斷進步，醫(yī)藥衛(wèi)生事業(yè)體制改革的逐步深入，醫(yī)院生存和發(fā)展的外部環(huán)境和內(nèi)部機制都發(fā)生了很大的變化。當(dāng)今計算機信息和網(wǎng)絡(luò)通信技術(shù)的深入發(fā)展為提高醫(yī)院管理水平創(chuàng)造了良好的條件，醫(yī)院信息化建設(shè)也因此逐漸在我國各級醫(yī)院中迅猛發(fā)展。目前醫(yī)療行業(yè)信息化有如下特點：系統(tǒng)運行連續(xù)性要求高，要求7×24小時不間斷服務(wù)；網(wǎng)絡(luò)間斷時間不允許超過2小時；信息高度集成，所有信息需要集中使用；異構(gòu)系統(tǒng)多，系統(tǒng)復(fù)雜度高；系統(tǒng)間接口復(fù)雜，涉及廠家多；系統(tǒng)內(nèi)存儲資料價值較高，存儲著醫(yī)院大量運用數(shù)據(jù)，其中包含大量患者隱私；存儲的數(shù)據(jù)內(nèi)容本身具備法律效力；核心網(wǎng)絡(luò)采用網(wǎng)絡(luò)物理隔離。

2.信息系統(tǒng)的威脅來源

信息系統(tǒng)的威脅來源主要可以分為兩個方面，一個是環(huán)境因素造成的威脅，另一個方面是人為因素造成的威脅，而人為因素所帶來的損失往往是不可估量的。

在環(huán)境因素方面，威脅主要來自于斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震、意外事故等環(huán)境危害或自然災(zāi)害，以及軟件、硬件、數(shù)據(jù)、通訊線路等方面的故障。

在人員因素方面又可以分為有意和無意兩種情況，對于有意而為之的人，通常指惡意造成破壞的人，懷不滿情緒的或有預(yù)謀的內(nèi)部人員對信息系統(tǒng)進行惡意破壞，采用自主或內(nèi)外勾結(jié)的方式盜竊機密信息或進行篡改，獲取利益。而外部人員也可以利用信息系統(tǒng)的脆弱性，對網(wǎng)絡(luò)或系統(tǒng)的保密性、完整性和可用性進行破壞，以獲取利益或炫耀能力。對于無意的情況來說，通常指管理人員沒有意識到問題或者沒有盡心盡責(zé)的工作。例如，內(nèi)部人員由于缺乏責(zé)任心，或者由于不關(guān)心或不專注，或者沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或信息損壞；內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技能不足、不具備崗位技能要求而導(dǎo)致信息系統(tǒng)故障或被攻擊。

3.信息系統(tǒng)負面影響

醫(yī)院內(nèi)部的信息系統(tǒng)如果受到威脅、入侵或被破壞等，會給國家、醫(yī)院以及人民的利益帶來嚴重的影響。

系統(tǒng)如果出現(xiàn)宕機的現(xiàn)象，首先會造成患者情緒激動，耽誤治療流程，甚至?xí){到患者生命的安危。其次會造成門診業(yè)務(wù)人員、主治醫(yī)生、護士等工作人員的工作慌亂，甚至成為情緒激動患者的放矢對象。門診辦主任、主管院領(lǐng)導(dǎo)、醫(yī)院院長電話問詢，信息中心則會電話不斷、手忙腳亂。醫(yī)院業(yè)務(wù)停頓，從經(jīng)濟上受損失，而媒體也會曝光醫(yī)院，使得醫(yī)院信譽受損。

如果醫(yī)院信息系統(tǒng)的內(nèi)部信息丟失，則會造成員工信息被公開、患者信息泄露等風(fēng)險。例如，據(jù)《勞動報》報道，一名負責(zé)開發(fā)、維護市衛(wèi)生局出生系統(tǒng)數(shù)據(jù)庫的技術(shù)部經(jīng)理利用工作之便，在2011年至2012年4月期間，每月兩次非法進入該院數(shù)據(jù)庫，偷偷下載新生兒出生信息并進行販賣，累計達到了10萬條，給醫(yī)療衛(wèi)生行業(yè)帶來了嚴重的負面影響。

信息安全等級保護建設(shè)體系

由于醫(yī)院信息系統(tǒng)復(fù)雜的特點、面臨的威脅及產(chǎn)生負面影響的嚴重性，醫(yī)院開展信息安全等級保護建設(shè)工作就尤為重要，急需一套適合醫(yī)院的等級保護安全防御體系。

信息安全等級保護體系主要包括技術(shù)與管理兩方面，在安全技術(shù)方面包括：物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全；在安全管理方面包括：安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理。這10個方面里每一項都有若干控制項，順利通過測評至少要達到控制項的80%以上（表1）。

如表1所示，控制項中G表示基本要求類，三級必須達到G3標準；S表示業(yè)務(wù)信息安全類，A表示系統(tǒng)服務(wù)保證類，三級標準中S與A任選一項達到三級即可。

根據(jù)信息安全等級保護標準，我院主要建設(shè)經(jīng)驗如下：

1.信息安全技術(shù)

（1）物理安全：數(shù)據(jù)中心機房是物理安全的核心，機房的裝修工程、動力配電系統(tǒng)、空調(diào)新風(fēng)系統(tǒng)、消防系統(tǒng)、綜合布線系統(tǒng)等均需按照A級機房標準進行建設(shè)。此外，日常的管理工作也尤為重要，在物理權(quán)限控制方面應(yīng)配備門禁系統(tǒng)，并且應(yīng)做到兩種或兩種以上的身份識別機制，如指紋加密碼或IC卡加密碼等。環(huán)境監(jiān)控方面除了每天定時的人員巡檢還應(yīng)在機房及各設(shè)備間部署監(jiān)控系統(tǒng)，利用傳感器監(jiān)控溫濕度、漏水、電壓、設(shè)備狀態(tài)等信息，一旦發(fā)生異常通過短信及時告知機房管理人員。

（2）網(wǎng)絡(luò)安全：按照等級保護思路進行安全域的劃分，將不同級別的信息系統(tǒng)通過防火墻和網(wǎng)閘進行隔離，根據(jù)每個安全域的特點設(shè)定不同的安全策略。服務(wù)器安全域制定細粒度訪問控制列表，僅開放必要的端口，并在旁路架設(shè)網(wǎng)絡(luò)流量審計設(shè)備和入侵檢測系統(tǒng)，對所有流量進行記錄及審計，能夠及時發(fā)現(xiàn)攻擊行為；客戶端安全域制定網(wǎng)絡(luò)準入和非法外聯(lián)策略，禁止未經(jīng)授權(quán)的計算機隨意接入醫(yī)院網(wǎng)絡(luò)，并且通過管理軟件和網(wǎng)閘控制內(nèi)網(wǎng)的計算機隨意訪問外網(wǎng)或互聯(lián)網(wǎng)；架設(shè)安全管理域，該區(qū)域主要用于對網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全設(shè)備的管理，并集中收集設(shè)備的日志，及時通過分析日志發(fā)現(xiàn)安全隱患。

（3）安全：服務(wù)器進行統(tǒng)一安全策略的制定，部署網(wǎng)絡(luò)版殺毒系統(tǒng)、補丁分發(fā)系統(tǒng)、入侵防范系統(tǒng)等，并結(jié)合服務(wù)器承載的業(yè)務(wù)特點制定詳細的資源控制列表，按照最小授權(quán)原則，授予最低資源訪問權(quán)限。

（4）應(yīng)用安全：部署數(shù)據(jù)庫審計系統(tǒng)，對所有流經(jīng)數(shù)據(jù)庫的網(wǎng)絡(luò)流量進行數(shù)據(jù)分析，制定審計策略，發(fā)生違規(guī)數(shù)據(jù)操作及時通過短信報給安全審計人員；同時部署CA數(shù)字簽名系統(tǒng)，醫(yī)生通過USBKEY進行系統(tǒng)登錄，并對其所有操作進行數(shù)字簽名，有效保證了應(yīng)用系統(tǒng)的安全性及數(shù)據(jù)的不可抵賴性。

（5）數(shù)據(jù)安全：利用專業(yè)的數(shù)據(jù)備份軟件在異地部署數(shù)據(jù)備份中心，對各系統(tǒng)數(shù)據(jù)庫和文件繼續(xù)高頻率集中加密備份，并且應(yīng)至少六個月進行一次數(shù)據(jù)還原演練，保證在出現(xiàn)問題是可以有效進行恢復(fù)。

2.信息安全管理

（1）安全管理制度：從醫(yī)院層面制定信息安全管理制度，對信息安全制度進行重新整理修改，規(guī)定信息安全的各方面應(yīng)遵守的原則、方法和指導(dǎo)策略，指定具體管理規(guī)定、處罰措施。制度應(yīng)具備可操作性，同時應(yīng)由專人負責(zé)隨時進行修正，并由信息安全領(lǐng)導(dǎo)小組進行評審，最終進行。

（2）安全管理機構(gòu)：組織建立信息安全工作領(lǐng)導(dǎo)小組，設(shè)置信息安全管理崗位，設(shè)立獨立的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員、安全審計員等崗位，制定各崗位的工作職責(zé)，與各崗位相關(guān)人員簽署保密協(xié)議。同時制定溝通協(xié)作機制，內(nèi)部定期組織會議進行信息安全工作部署，外部每日向公安局上報備案信息系統(tǒng)的安全情況，與數(shù)據(jù)庫、存儲、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等廠商簽署協(xié)議，提供所有設(shè)備的備機備件，每月進行設(shè)備巡檢，并要求在發(fā)生緊急事件時及時到場提供技術(shù)支持。

（3）人員安全管理：在人員錄用方面，嚴格審查人員的背景、身份，并簽署保密協(xié)議，人員離崗時執(zhí)行離崗流程，各部門主管負責(zé)回收本部門負責(zé)的相關(guān)權(quán)限，所有權(quán)限回收后方可辦理離職手續(xù)。同時定期對人員進行相關(guān)培訓(xùn)，每周進行一次內(nèi)部培訓(xùn)，每年進行兩次外部培訓(xùn)。對于外部廠商人員，其對設(shè)備的相關(guān)操作均需進行審批流程，并通過技術(shù)手段記錄所有操作行為，做好操作記錄，并不定期進行行為審計。

第6篇：信息安全等級保護辦法范文

關(guān)鍵詞:電子政務(wù)信息安全

0引言

隨著電子政務(wù)不斷推進，社會各階層對電子政務(wù)的依賴程度越來越高，信息安全的重要性日益突出，在電子政務(wù)的信息安全管理問題中，基于現(xiàn)實特點的電子政務(wù)信息安全體系設(shè)計和風(fēng)險評估[1]模型是突出的熱點和難點問題。本文試圖就這兩個問題給出分析和建議。

1電子政務(wù)信息安全的總體要求

隨著電子政務(wù)應(yīng)用的不斷深入，信息安全問題日益凸顯，為了高效安全的進行電子政務(wù)，迫切需要搞好信息安全保障工作。電子政務(wù)系統(tǒng)采取的網(wǎng)絡(luò)安全措施[2][3]不僅要保證業(yè)務(wù)與辦公系統(tǒng)和網(wǎng)絡(luò)的穩(wěn)定運行，另一方面要保護運行在內(nèi)部網(wǎng)上的敏感數(shù)據(jù)與信息的安全，因此應(yīng)充分保證以下幾點：

1.1基礎(chǔ)設(shè)施的可用性：運行于內(nèi)部專網(wǎng)的各主機、數(shù)據(jù)庫、應(yīng)用服務(wù)器系統(tǒng)的安全運行十分關(guān)鍵，網(wǎng)絡(luò)安全體系必須保證這些系統(tǒng)不會遭受來自網(wǎng)絡(luò)的非法訪問、惡意入侵和破壞。

1.2數(shù)據(jù)機密性：對于內(nèi)部網(wǎng)絡(luò)，保密數(shù)據(jù)的泄密將直接帶來政府機構(gòu)以及國家利益的損失。網(wǎng)絡(luò)安全系統(tǒng)應(yīng)保證內(nèi)網(wǎng)機密信息在存儲與傳輸時的保密性。

1.3網(wǎng)絡(luò)域的可控性:電子政務(wù)的網(wǎng)絡(luò)應(yīng)該處于嚴格的控制之下，只有經(jīng)過認證的設(shè)備可以訪問網(wǎng)絡(luò)，并且能明確地限定其訪問范圍，這對于電子政務(wù)的網(wǎng)絡(luò)安全十分重要。

1.4數(shù)據(jù)備份與容災(zāi):任何的安全措施都無法保證數(shù)據(jù)萬無一失，硬件故障、自然災(zāi)害以及未知病毒的感染都有可能導(dǎo)致政府重要數(shù)據(jù)的丟失。因此，在電子政務(wù)安全體系中必須包括數(shù)據(jù)的容災(zāi)與備份，并且最好是異地備份。

2電子政務(wù)信息安全體系模型設(shè)計

完整的電子政務(wù)安全保障體系從技術(shù)層面上來講，必須建立在一個強大的技術(shù)支撐平臺之上，同時具有完備的安全管理機制，并針對物理安全，數(shù)據(jù)存儲安全，數(shù)據(jù)傳輸安全和應(yīng)用安全制定完善的安全策略

在技術(shù)支撐平臺方面，核心是要解決好權(quán)限控制問題。為了解決授權(quán)訪問的問題，通常是將基于公鑰證書（PKC）的PKI（PublicKeyInfrastructure）與基于屬性證書（AC）的PMI（PrivilegeManagementInfrastructure)結(jié)合起來進行安全性設(shè)計，然而由于一個終端用戶可以有許多權(quán)限，許多用戶也可能有相同的權(quán)限集，這些權(quán)限都必須寫入屬性證書的屬性中，這樣就增加了屬性證書的復(fù)雜性和存儲空間，從而也增加了屬性證書的頒發(fā)和驗證的復(fù)雜度。為了解決這個問題，作者建議根據(jù)X.509標準建立基于角色PMI的電子政務(wù)安全模型。該模型由客戶端、驗證服務(wù)器、應(yīng)用服務(wù)器、資源數(shù)據(jù)庫和LDAP目錄服務(wù)器等實體組成，在該模型中：

2.1終端用戶：向驗證服務(wù)器發(fā)送請求和證書，并與服務(wù)器雙向驗證。

2.2驗證服務(wù)器：由身份認證模塊和授權(quán)驗證模塊組成提供身份認證和訪問控制，是安全模型的關(guān)鍵部分。

2.3應(yīng)用服務(wù)器：與資源數(shù)據(jù)庫連接，根據(jù)驗證通過的用戶請求，對資源數(shù)據(jù)庫的數(shù)據(jù)進行處理，并把處理結(jié)果通過驗證服務(wù)器返回給用戶以響應(yīng)用戶請求。

2.4LDAP目錄服務(wù)器：該模型中采用兩個LDAP目錄服務(wù)器，一個存放公鑰證書（PKC）和公鑰證書吊銷列表（CRL），另一個LDAP目錄服務(wù)器存放角色指派和角色規(guī)范屬性證書以及屬性吊銷列表ACRL。

安全管理策略也是電子政務(wù)安全體系的重要組成部分。安全的核心實際上是管理，安全技術(shù)實際上只是實現(xiàn)管理的一種手段，再好的技術(shù)手段都必須配合合理的制度才能發(fā)揮作用。需要制訂的制度包括安全行政管理和安全技術(shù)管理。安全行政管理應(yīng)包括組織機構(gòu)和責(zé)任制度等的制定和落實；安全技術(shù)管理的內(nèi)容包括對硬件實體和軟件系統(tǒng)、密鑰的管理。

3電子政務(wù)信息安全管理體系中的風(fēng)險評估

電子政務(wù)信息安全等級保護是根據(jù)電子政務(wù)系統(tǒng)在國家安全、經(jīng)濟安全、社會穩(wěn)定和保護公共利益等方面的重要程度。等級保護工作的要點是對電子政務(wù)系統(tǒng)進行風(fēng)險分析，構(gòu)建電子政務(wù)系統(tǒng)的風(fēng)險因素集。

3.1信息系統(tǒng)的安全定級信息系統(tǒng)的安全等級從低到高依次包括自主保護級、指導(dǎo)保護級、監(jiān)督保護級、強制保護級、?？乇Ｗo級五個安全等級。對電子政務(wù)的五個安全等級定義，結(jié)合系統(tǒng)面臨的風(fēng)險、系統(tǒng)特定安全保護要求和成本開銷等因素，采取相應(yīng)的安全保護措施以保障信息和信息系統(tǒng)的安全。

3.2采用全面的風(fēng)險評估辦法風(fēng)險評估具有不同的方法。在ISO/IECTR13335-3《信息技術(shù)IT安全管理指南:IT安全管理技術(shù)》中描述了風(fēng)險評估方法的例子，其他文獻，例如NISTSP800-30、AS/NZS4360等也介紹了風(fēng)險評估的步驟及方法，另外，一些組織還提出了自己的風(fēng)險評估工具，例如OCTAVE、CRAMM等。

電子政務(wù)信息安全建設(shè)中采用的風(fēng)險評估方法可以參考ISO17799、OCTAVE、CSE、《信息安全風(fēng)險評估指南》等標準和指南，從資產(chǎn)評估、威脅評估、脆弱性評估、安全措施有效性評估四個方面建立風(fēng)險評估模型。其中，資產(chǎn)的評估主要是對資產(chǎn)進行相對估價，其估價準則依賴于對其影響的分析，主要從保密性、完整性、可用性三方面進行影響分析;威脅評估是對資產(chǎn)所受威脅發(fā)生可能性的評估，主要從威脅的能力和動機兩個方面進行分析;脆弱性評估是對資產(chǎn)脆弱程度的評估，主要從脆弱性被利用的難易程度、被成功利用后的嚴重性兩方面進行分析;安全措施有效性評估是對保障措施的有效性進行的評估活動，主要對安全措施防范威脅、減少脆弱性的有效狀況進行分析;安全風(fēng)險評估就是通過綜合分析評估后的資產(chǎn)信息、威脅信息、脆弱性信息、安全措施信息，最終生成風(fēng)險信息。

在確定風(fēng)險評估方法后，還應(yīng)確定接受風(fēng)險的準則，識別可接受的風(fēng)險級別。

4結(jié)語

電子政務(wù)與傳統(tǒng)政務(wù)相比有顯著區(qū)別，包括:辦公手段不同，信息資源的數(shù)字化和信息交換的網(wǎng)絡(luò)化是電子政務(wù)與傳統(tǒng)政務(wù)的最顯著區(qū)別;行政業(yè)務(wù)流程不同，實現(xiàn)行政業(yè)務(wù)流程的集約化、標準化和高效化是電子政務(wù)的核心;與公眾溝通方式不同，直接與公眾溝通是實施電子政務(wù)的目的之一，也是與傳統(tǒng)政務(wù)的重要區(qū)別。在電子政務(wù)的信息安全管理中，要抓住其特點，從技術(shù)、管理、策略角度設(shè)計完整的信息安全模型并通過科學(xué)量化的風(fēng)險評估方法識別風(fēng)險和制定風(fēng)險應(yīng)急預(yù)案，這樣才能達到全方位實施信息安全管理的目的。

參考文獻：

[1]范紅，馮國登，吳亞非.信息安全風(fēng)險評估方法與應(yīng)用.清華大學(xué)出版社.2006.

第7篇：信息安全等級保護辦法范文

關(guān)鍵詞：信息安全；風(fēng)險評估；教學(xué)

信息安全風(fēng)險評估是進行信息安全管理的重要依據(jù)，通過對信息系統(tǒng)進行系統(tǒng)的風(fēng)險分析和評估，發(fā)現(xiàn)存在的安全問題并提出相應(yīng)的措施，這對于保護和管理信息系統(tǒng)至關(guān)重要。目前國內(nèi)外都高度重視信息安全風(fēng)險評估工作。美國政府2002年頒布《聯(lián)邦信息安全管理法》，對信息安全風(fēng)險評估提出了具體的要求；歐盟國家也把開展信息安全風(fēng)險評估作為提高信息安全保障水平的重要手段；2003年7月23日，國家信息中心組建成立“信息安全風(fēng)險評估課題組”，提出了我國開展信息安全風(fēng)險評估的對策和辦法。2004年，國務(wù)院信息辦研究制訂了《信息安全風(fēng)險評估指南》和《信息安全風(fēng)險管理指南》兩個風(fēng)險評估的標準；2006年又起草了《關(guān)于開展信息安全風(fēng)險評估工作的意見》[1]。這些工作都對信息安全人才的培養(yǎng)提出了更高的要求，同時也為《信息安全風(fēng)險評估》課程的開設(shè)和講授提供了必要的基礎(chǔ)和條件?！缎畔踩L(fēng)險評估》課程教學(xué)，是信息安全專業(yè)一門重要的專業(yè)課程，能全面培養(yǎng)學(xué)生綜合運用專業(yè)知識，評估并解決信息系統(tǒng)安全問題的能力，是培養(yǎng)符合國家和社會需要的信息安全專業(yè)人才的重要課程之一?！缎畔踩L(fēng)險評估》課程本身的理論性與實踐性都很強，課程發(fā)展十分迅速，涉及的學(xué)科范圍也較廣，傳統(tǒng)的教學(xué)的模式不能使該課程的特點很好地展示出來，無法適應(yīng)社會經(jīng)濟發(fā)展對信息安全從業(yè)人員的新要求，教學(xué)改革勢在必行。

一、現(xiàn)狀與存在的問題

信息安全風(fēng)險評估是從風(fēng)險管理角度，運用科學(xué)的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的安全威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施。它涉及信息系統(tǒng)的社會行為、管理行為、物理行為、邏輯行為等的保密性、完整性和可用性檢測。風(fēng)險評估的結(jié)果可以作為信息安全風(fēng)險管理的指南，用來確定合適的管理方針和選擇相應(yīng)的控制措施來保護信息資產(chǎn)，全面提高信息安全保障能力[2]。自2001年信息安全專業(yè)建立以來，高校在制訂本科專業(yè)教學(xué)培養(yǎng)目標和教學(xué)計劃時，側(cè)重于具體安全理論和技術(shù)的教學(xué)和講授，特別是重點強調(diào)了密碼學(xué)、防火墻、入侵檢測、網(wǎng)絡(luò)安全等安全理論與技術(shù)的傳授。從目前高校的教學(xué)內(nèi)容看，多數(shù)側(cè)重于對“信息風(fēng)險管理”、“風(fēng)險識別”、“風(fēng)險評估”和“風(fēng)險控制”等基本內(nèi)容的介紹上，而且教學(xué)課時數(shù)也較少，只有十個學(xué)時。當(dāng)前從《信息安全風(fēng)險評估》課程的教學(xué)情況來看，該課程在信息安全教育教學(xué)過程中地位有待提高，實踐教學(xué)的建設(shè)與研究迫切需要深化。

當(dāng)前該課程的教學(xué)實踐中普遍存在以下幾個方面的問題，嚴重制約了《信息安全風(fēng)險評估》課程教學(xué)質(zhì)量的提高：

1.本科教學(xué)大都以理論內(nèi)容為主體，實驗和課程設(shè)計的學(xué)時安排較少。一般高校的《信息安全風(fēng)險評估》課程主要以理論內(nèi)容的講授為主，實驗和課程設(shè)計的學(xué)時較少，實驗內(nèi)容也大多屬于驗證性質(zhì)，缺少具有研究和探索性質(zhì)的信息安全風(fēng)險評估實踐內(nèi)容和課程設(shè)計；

2.教學(xué)方法單一，缺乏激勵學(xué)生求知欲的教學(xué)方法和手段。當(dāng)前開設(shè)《信息安全風(fēng)險評估》課程的高校還較少，師資力量相對薄弱，教學(xué)經(jīng)驗也比較缺乏，仍以主要由教師講述的傳統(tǒng)教學(xué)方式為主，學(xué)生進行具體實踐和操作的課時較少，缺乏創(chuàng)新性的教學(xué)和研究，基本沒有具有探索性和創(chuàng)新性特點的教學(xué)內(nèi)容，不利于發(fā)揮學(xué)生主觀能動性，提高其創(chuàng)新能力；

3.實驗環(huán)境無法滿足教學(xué)需求，缺乏專業(yè)的信息安全風(fēng)險評估師資。我國信息安全風(fēng)險評估的研究和教學(xué)工作起步晚，缺乏相關(guān)的實驗設(shè)備；而且受到資金和專業(yè)發(fā)展等多方面因素的制約，難以設(shè)立專門的信息安全風(fēng)險評估實驗室。此外，信息安全風(fēng)險評估是以計算機技術(shù)為核心，涉及管理科學(xué)、安全技術(shù)、通信和信息工程等多個學(xué)科，對于理論和實踐要求都很高。這就要求教師既要學(xué)習(xí)好各學(xué)科的基本知識，又要加強實踐訓(xùn)練。

二、教學(xué)改革與探索

高校計算機相關(guān)專業(yè)開設(shè)《信息安全風(fēng)險評估》課程，不是培養(yǎng)網(wǎng)絡(luò)信息安全方面的全才或戰(zhàn)略人才，而是培養(yǎng)在實際生活和工作中確實能解決某些具體安全問題的實用型人才。針對《信息安全風(fēng)險評估》課程的特點和教學(xué)中存在的不足，我們從以下幾個方面對該課程的教學(xué)改革進行了探索：

1.重新確立課程培養(yǎng)目標。①重點培養(yǎng)學(xué)生分析和評估信息安全問題的能力：《信息安全風(fēng)險評估》課程是一門理論性和實踐性緊密結(jié)合的課程，目前開設(shè)該課程的高校較少，各學(xué)校的教學(xué)內(nèi)容也多種多樣。該課程的教學(xué)目標即要培養(yǎng)學(xué)生發(fā)現(xiàn)信息系統(tǒng)存在的安全風(fēng)險，同時也需要培養(yǎng)他們科學(xué)地提出解決安全隱患的方案及能力。如何提高學(xué)生分析和評估信息安全問題的能力是該課程教學(xué)的首要目標。②培養(yǎng)學(xué)生實際操作的能力：信息安全風(fēng)險評估的關(guān)鍵是對信息系統(tǒng)的資產(chǎn)進行分類，對其風(fēng)險的識別、估計和評價做出全面的、綜合的分析。這就要求學(xué)生熟練地掌握目標對象的檢測和評估方法，包括使用各種自動化和半自動化的工具，可在模擬實驗里，通過不斷地訓(xùn)練實現(xiàn)。③培養(yǎng)學(xué)生繼續(xù)學(xué)習(xí)、勇于探索創(chuàng)新的能力：隨著信息化的不斷發(fā)展，信息系統(tǒng)所面臨的安全威脅急劇增加，為此各國政府都不斷提出和完善了各類信息安全測評標準。這就要求我們在教學(xué)中不斷地學(xué)習(xí)、理解和解釋最新的國際、國內(nèi)以及相關(guān)的行業(yè)標準，培養(yǎng)和提高學(xué)生繼續(xù)學(xué)習(xí)的能力。另外，《信息安全風(fēng)險評估》課程也要求通過課堂教學(xué)、課后練習(xí)、實驗驗證和考試、考查等教學(xué)環(huán)節(jié)培養(yǎng)學(xué)生獨力分析信息系統(tǒng)安全的能力，培養(yǎng)學(xué)生對信息安全風(fēng)險評估領(lǐng)域進行探索和研究的興趣，最終使學(xué)生掌握信息安全風(fēng)險評估的知識和技能，能夠解決具體信息系統(tǒng)的安全問題。

2.增加信息安全風(fēng)險評估理論和相關(guān)標準的教學(xué)。信息安全測評標準和相關(guān)法律法規(guī)是進行信息系統(tǒng)安全風(fēng)險評估的依據(jù)和保障。2006年由原國信辦《關(guān)于開展信息安全風(fēng)險評估工作的意見》（國信辦2006年5號文）；同時，隨著信息安全等級保護制度的推行，公安部會同有關(guān)部門出臺了一系列政策文件，主要包括：《關(guān)于信息安全等級保護工作的實施意見》、《信息安全等級保護管理辦法》等；國家信息安全標準化委員會頒發(fā)了《信息安全風(fēng)險評估規(guī)范》（GB/T 20984~2007）、《信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008）等多個國家標準[3]。為了保證《信息安全風(fēng)險評估》課程目標的實現(xiàn)，我們在教學(xué)過程中，增加了《GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》、《GB/Z24364-2009信息安全風(fēng)險管理指南》、《GB/T

22080-2008信息安全管理體系要求》、《GB/T22081-

2008信息安全管理實用規(guī)則》、《GB/T20269-2006信息系統(tǒng)安全管理要求》、《GB/T25063-2010?搖信息安全技術(shù)服務(wù)器安全測評要求》、《GB/T 20010-2005信息安全技術(shù)包過濾防火墻評估準則》、《GB/T20011-2005信息安全技術(shù)路由器安全評估準則》、《GA/T 672-2006信息安全技術(shù)終端計算機系統(tǒng)安全等級評估準則》、《GA/T 712-2007信息安全技術(shù)應(yīng)用軟件系統(tǒng)安全等級保護通用測試指南》等相關(guān)評估標準和指南的學(xué)習(xí)，并編制相關(guān)的調(diào)查、檢查、測試表，重點強調(diào)對脆弱性檢測的理論依據(jù)的描述，檢測方法及其步驟的詳細記錄。

3.利用各種測評工具，提高學(xué)生實踐能力。在信息安全風(fēng)險評估過程中，資產(chǎn)賦值、威脅量化分析、安全模型的建立等環(huán)節(jié)的教學(xué)和實踐對教師和學(xué)生都提出了較高的專業(yè)課程要求。我們在《信息安全風(fēng)險評估》課程實踐中通過使用風(fēng)險評估工具，并對具體的信息系統(tǒng)進行自動化或半自動化的分析，加深了學(xué)生信息安全風(fēng)險評估的理論知識理解，同時注重培養(yǎng)學(xué)生動手實踐能力和探索新知識的能力。我們增加了主動型風(fēng)險評估工具Tenable掃描門戶網(wǎng)站系統(tǒng)的實踐性教學(xué)內(nèi)容。通過評估，該系統(tǒng)的服務(wù)器存在感染病毒的癥狀，其原因是服務(wù)器存在特定漏洞。為此我們使用漏洞掃描器對該服務(wù)器進行掃描，發(fā)現(xiàn)了“遠程代碼被執(zhí)行”漏洞，而且該漏洞能被蠕蟲病毒利用，形成針對系統(tǒng)的攻擊。通過案例特征提供了的信息，培養(yǎng)學(xué)生使用測評工具對具體信息系統(tǒng)進行安全風(fēng)險評估的能力，并進一步使其認識到主動型評估工具是信息安全風(fēng)險評估中快速了解目標系統(tǒng)安全狀況不可或缺的重要手段。

筆者結(jié)合自己的教學(xué)實踐體會，論述了當(dāng)前《信息安全風(fēng)險評估》課程中存在的問題以及解決對策?！缎畔踩L(fēng)險評估》課程教學(xué)改革和建設(shè)是一個長期的、系統(tǒng)化的工程，需要不斷地根據(jù)信息系統(tǒng)在新環(huán)境下面臨的各種威脅，制定新的評估標準和評估方案，并使得學(xué)生在有限的時間和環(huán)境下掌握相應(yīng)的知識和技能，以滿足社會對信息安全人才的需求。

參考文獻：

[1]付沙.加強信息安全風(fēng)險評估工作的研究[J].微型電腦應(yīng)用，2010，26（8）：6-8.

[2]楊春暉，張昊，王勇.信息安全風(fēng)險評估及輔助工具應(yīng)用[J].信息安全與通信保密，2007，（12）：75-77.

[3]潘平，楊平，羅東梅，何朝霞.信息系統(tǒng)安全風(fēng)險檢查評估實踐教學(xué)探討[C]// Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security（NTS-CIS 2011），2011，（8）.

第8篇：信息安全等級保護辦法范文

【關(guān)鍵詞】電力企業(yè)；信息網(wǎng)絡(luò)；安全體系

【中圖分類號】TP309【文獻標識碼】A【文章編號】1672-5158（2013）07-0498-02

引言

隨著電力企業(yè)不斷發(fā)展，信息化已廣泛應(yīng)用于生產(chǎn)運營管理過程中的各個環(huán)節(jié)，信息化在為企業(yè)帶來高效率的同時，也為企業(yè)帶來了安全風(fēng)險。一方面企業(yè)對信息化依賴性越來越強，尤其是生產(chǎn)監(jiān)控信息系統(tǒng)及電力二次系統(tǒng)直接關(guān)系到電力安全生產(chǎn)；另一方面黑客技術(shù)發(fā)展迅速，今天行之有效的防火墻或隔離裝置也許明天就可能出現(xiàn)漏洞。因此，建設(shè)信息安全防護體系建設(shè)工作是刻不容緩的。

1 信息安全防護體系的核心思想

電力企業(yè)信息安全防護體系的核心思想是“分級、分區(qū)、分域”（如圖1所示）。分級是將各系統(tǒng)分別確定安全保護級別實現(xiàn)等級化防護；分區(qū)是將信息系統(tǒng)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)兩個相對獨立區(qū)進行安全防護；分域是依據(jù)系統(tǒng)級別及業(yè)務(wù)系統(tǒng)類型劃分不同的安全域，實現(xiàn)不同安全域的獨立化、差異化防護。

2 信息安全防護系統(tǒng)建設(shè)方針

2.1整體規(guī)劃：在全面調(diào)研的基礎(chǔ)上，分析信息安全的風(fēng)險和差距，制訂安全目標、安全策略，形成安全整體架構(gòu)。

2.2分步實施：制定信息安全防護系統(tǒng)建設(shè)計劃，分階段組織項目實施。

2.3分級分區(qū)分域：根據(jù)信息系統(tǒng)的重要程度，確定該系統(tǒng)的安全等級，省級公司的信息系統(tǒng)分為二級和三級系統(tǒng)；根據(jù)生產(chǎn)控制大區(qū)和管理信息大區(qū)，劃分為控制區(qū)（安全I區(qū)）、非控制區(qū)（安全II區(qū)）、管理信息大區(qū)（III區(qū)）；依據(jù)業(yè)務(wù)系統(tǒng)類型進行安全域劃分，二級系統(tǒng)統(tǒng)一成域，三級系統(tǒng)獨立成域。

2.4等級防護：按照國家和電力行業(yè)等級保護基本要求，進行安全防護措施設(shè)計，合理分配資源，做好重點保護和適度保護。

2.5多層防御：在分域防護的基礎(chǔ)上，將各安全域的信息系統(tǒng)劃分為邊界、網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)層面進行安全防護設(shè)計，以實現(xiàn)縱深防御。

2.6持續(xù)改進：定期對信息系統(tǒng)進行安全檢測，發(fā)現(xiàn)潛在的問題和系統(tǒng)可能的脆弱性并進行修正；檢查防護系統(tǒng)的運行及安全審計日志，通過策略調(diào)整及時防患于未然；定期對信息系統(tǒng)進行安全風(fēng)險評估，修補安全漏洞、改進安全防護體系。

3 信息安全防護體系建設(shè)探索

一個有效的信息安全體系是在信息安全管理、信息安全技術(shù)、信息安全運行的整體保障下，構(gòu)建起來并發(fā)揮作用的。

3.1 建立信息安全管理體系

安全管理體系是整個信息安全防護體系的基石，它包括安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理五個方面，信息安全組織機構(gòu)的建立尤為重要。

3.1.1建立信息安全管理小組

建立具有管理權(quán)的信息安全小組，負責(zé)整體信息安全管理工作，審批信息安全方針，分配安全管理職責(zé)，支持和推動組織內(nèi)部信息安全工作的實施，對信息安全重大事項進行決策。處置信息安全事件，對安全管理體系進行評審。

3.1.2分配管理者權(quán)限

按照管理者的責(zé)、權(quán)、利一致的原則，對信息管理人員作級別上的限制；根據(jù)管理者的角色分配權(quán)限，實現(xiàn)特權(quán)用戶的權(quán)限分離。對工作調(diào)動和離職人員及時調(diào)整授權(quán)，根據(jù)管理職責(zé)確定使用對象，明確某一設(shè)備配置、使用、授權(quán)信息的劃分，制訂相應(yīng)管理制度。

3.1.3職責(zé)明確，層層把關(guān)

制訂操作規(guī)程要根據(jù)職責(zé)分離和多人負責(zé)的原則各負其責(zé)，不能超越自己的管轄范圍。系統(tǒng)維護時要經(jīng)信息管理部門審批，有信息安全管理員在場，對故障原因、維護內(nèi)容和維護前后情況做詳細記錄。

（1）多人負責(zé)制度 每一項與安全有關(guān)的活動必須有2人以上在場，簽署工作情況記錄，以證明安全工作已得到保障。

（2）重要崗位定期輪換制度 應(yīng)建立重要崗位應(yīng)定期輪換制度，在工作交接期間必須更換口令，重要技術(shù)文件或數(shù)據(jù)必須移交清楚，明確泄密責(zé)任。

（3）在信息管理中實行問責(zé)制，各信息系統(tǒng)專人專管。

3.1.5系統(tǒng)應(yīng)急處理

制定信息安全應(yīng)急響應(yīng)管理辦法，按照嚴重性和緊急程度及危害影響的大小來確定全事件的等級，采取措施，防止破壞的蔓延與擴展，使危害降到最低，通過對事件或行為的分析結(jié)果，查找事件根源，徹底消除安全隱患。

3.2 建立信息安全技術(shù)策略

3.2.1物理安全策略

物理安全策略的目的是保護計算機系統(tǒng)、網(wǎng)絡(luò)服務(wù)器等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；確保計算機系統(tǒng)有一個良好的工作環(huán)境；防止非法進入機房和各種偷竊、破壞活動的發(fā)生，抑制和防止電磁泄露等采取的安全措施。

3.2.2 網(wǎng)絡(luò)安全策略

網(wǎng)絡(luò)安全防護措施主要包括以下幾種類型：

（1）防火墻技術(shù)。通過防火墻配置，控制內(nèi)部和外部網(wǎng)絡(luò)的訪問策略，結(jié)合上網(wǎng)行為管理，監(jiān)控網(wǎng)絡(luò)流量分配，對于重要數(shù)據(jù)實行加密傳輸或加密處理，使只有擁有密鑰的授權(quán)人才能解密獲取信息，保證信息在傳輸過程中的安全。

（2）防病毒技術(shù)。根據(jù)有關(guān)資料統(tǒng)計，對電力信息網(wǎng)絡(luò)和二次系統(tǒng)的威脅除了黑客以外，很大程度上是計算機病毒造成的。當(dāng)今計算機病毒技術(shù)發(fā)展迅速，對計算機網(wǎng)絡(luò)和信息系統(tǒng)造成很大的損害。采用有效的防病毒軟件、惡意代碼防護軟件，保障升級和更新的時效性，是行之有效的措施。

（3）安全檢測系統(tǒng)。通過專用工具，定期查找各種漏洞，監(jiān)控網(wǎng)絡(luò)的運行狀況。在電力二次系統(tǒng)之間安裝IDS入侵檢測軟件等，確保對網(wǎng)絡(luò)非法訪問、入侵行為做到及時報警，防止非法入侵。

3.2.3安全策略管理

對建的電力二次系統(tǒng)必須在建設(shè)過程中進行安全風(fēng)險評估，并根據(jù)評估結(jié)果制定安全策略；對已投運且已建立安全體系的系統(tǒng)定期進行漏洞掃描，以便及時發(fā)現(xiàn)系統(tǒng)的安全漏洞；定期分析本系統(tǒng)的安全風(fēng)險，分析當(dāng)前黑客非法入侵的特點，及時調(diào)整安全策略。

3.2.4 數(shù)據(jù)庫的安全策略

數(shù)據(jù)庫的安全策略包括安全管理策略、訪問控制策略和信息控制策略。但數(shù)據(jù)庫的安全問題最主要的仍是訪問控制策略。就訪問控制策略分類而言，它可以分為以下幾種策略。

（1） 最小特權(quán)策略： 是讓用戶可以合法的存取或修改數(shù)據(jù)庫的前提下，分配最小的特權(quán)，使得這些權(quán)限恰好可以讓用戶完成自己的工作，其余的權(quán)利一律不給。

（2） 數(shù)據(jù)庫加密策略： 數(shù)據(jù)加密是保護數(shù)據(jù)在存儲和傳遞過程中不被竊取或修改的有效手段。

（3）數(shù)據(jù)庫備份策略：就是保證在數(shù)據(jù)庫系統(tǒng)出故障時，能夠?qū)?shù)據(jù)庫系統(tǒng)還原到正常狀態(tài)。

（4）審計追蹤策略：是指系統(tǒng)設(shè)置相應(yīng)的日志記錄，特別是對數(shù)據(jù)更新、刪除、修改的記錄，以便日后查證。

第9篇：信息安全等級保護辦法范文

關(guān)鍵詞：證券行業(yè)信息安全網(wǎng)絡(luò)安全體系

近年來，我國資本市場發(fā)展迅速，市場規(guī)模不斷擴大，社會影響力不斷增強．成為國民經(jīng)濟巾的重要組成部分，也成為老百姓重要的投資理財渠道。資本市場的穩(wěn)定健康發(fā)展，關(guān)系著億萬投資者的切身利益，關(guān)系著社會穩(wěn)定和國家金融安全的大局。證券行業(yè)作為金融服務(wù)業(yè)，高度依賴信息技術(shù)，而信息安全是維護資本市場穩(wěn)定的前提和基礎(chǔ)。沒有信息安全就沒有資本市場的穩(wěn)定。

目前．國內(nèi)外網(wǎng)絡(luò)信息安全問題日益突出。從資本市場看，近年來，隨著市場快速發(fā)展，改革創(chuàng)新深入推進，市場交易模式日趨集巾化，業(yè)務(wù)處理邏輯日益復(fù)雜化，網(wǎng)絡(luò)安全事件、公共安全事件以及水災(zāi)冰災(zāi)、震災(zāi)等自然災(zāi)害都對行業(yè)信息系統(tǒng)的連續(xù)、穩(wěn)定運行帶來新的挑戰(zhàn)。資本市場交易實時性和整體性強，交易時問內(nèi)一刻也不能中斷。加強信息安全應(yīng)急丁作，積極采取預(yù)防、預(yù)警措施，快速、穩(wěn)妥地處置信息安全事件，盡力減少事故損失，全力維護交易正常，對于資本市場來說至關(guān)重要。

1證券行業(yè)倍息安全現(xiàn)狀和存在的問題

1．1行業(yè)信息安全法規(guī)和標準體系方面

健全的信息安全法律法規(guī)和標準體系是確保證券行業(yè)信息安全的基礎(chǔ)。是信息安全的第一道防線。為促進證券市場的平穩(wěn)運行，中國證監(jiān)會自1998年先后了一系列信息安全法規(guī)和技術(shù)標準。其中包括2個信息技術(shù)管理規(guī)范、2個信息安全等級保護通知、1個信息安全保障辦法、1個信息通報方法和10個行業(yè)技術(shù)標準。行業(yè)信息安全法規(guī)和標準體系的初步形成，推動了行業(yè)信息化建設(shè)和信息安全工作向規(guī)范化、標準化邁進。

雖然我國涉及信息安全的規(guī)范性文件眾多，但在現(xiàn)行的法律法規(guī)中。立法主體較多，法律法規(guī)體系龐雜而缺乏統(tǒng)籌規(guī)劃。面對新形勢下信息安全保障工作的發(fā)展需要，行業(yè)信息安全工作在政策法規(guī)和標準體系方面的問題也逐漸顯現(xiàn)。一是法規(guī)和標準建設(shè)滯后，缺乏總體規(guī)劃；二是規(guī)范和標準互通性和協(xié)調(diào)性不強，部分規(guī)范和標準的可執(zhí)行性差；三是部分規(guī)范和標準已不適應(yīng)，無法應(yīng)對某些新型信息安全的威脅；四是部分信息安全規(guī)范和標準在行業(yè)內(nèi)難以得到落實。

1．2組織體系與信息安全保障管理模型方面

任何安全管理措施或技術(shù)手段都離不開人員的組織和實施，組織體系是信息安全保障工作的核心。目前，證券行業(yè)采用“統(tǒng)一組織、分工有序”的信息安全工作體系，分為決策層、管理層、執(zhí)行層。

為加強證券期貨業(yè)信息安全保障工作的組織協(xié)調(diào)，建立健全信息安全管理制度和運行機制，切實提高行業(yè)信息安全保障工作水平，根據(jù)證監(jiān)會頒布的《證券期貨業(yè)信息安全保障管理暫行辦法》，參照ISO／IEC27001：2005，提出證券期貨業(yè)信息安全保障管理體系框架。該體系框架采用立方體架構(gòu)．頂面是信息安全保障的7個目標(機密性、完整性、可用性、真實性、可審計性、抗抵賴性、可靠性)，正面是行業(yè)組織結(jié)構(gòu)．側(cè)面是各個機構(gòu)為實現(xiàn)信息安全保障目標所采取的措施和方式。

1．3IT治理方面

整個證券業(yè)處于高度信息化的背景下，IT治理已直接影響到行業(yè)各公司實現(xiàn)戰(zhàn)略目標的可能性，良好的IT治理有助于增強公司靈活性和創(chuàng)新能力，規(guī)避IT風(fēng)險。通過建立IT治理機制，可以幫助最高管理層發(fā)現(xiàn)信息技術(shù)本身的問題。幫助管理者處理IT問題，自我評估IT管理效果．可以加強對信息化項目的有效管理，保證信息化項目建設(shè)的質(zhì)量和應(yīng)用效果，使有限的投入取得更大的績效。

2003年lT治理理念引入到我國證券行業(yè)，當(dāng)前我國證券業(yè)企業(yè)的IT治理存在的問題：一是IT資源在公司的戰(zhàn)略資產(chǎn)中的地位受到高層重視，但具體情況不清楚；二是IT治理缺乏明確的概念描述和參數(shù)指標；是lT治理的責(zé)任與職能不清晰。

1．4網(wǎng)絡(luò)安全和數(shù)據(jù)安全方面

隨著互聯(lián)網(wǎng)的普及以及網(wǎng)上交易系統(tǒng)功能的不斷豐富、完善和使用的便利性，網(wǎng)上交易正逐漸成為證券投資者交易的主流模式。據(jù)統(tǒng)計，2008年我同證券網(wǎng)上交易量比重已超過總交易量的80％。雖然交易系統(tǒng)與互聯(lián)網(wǎng)的連接，方便了投資者。但由于互聯(lián)網(wǎng)的開放性，來自互聯(lián)網(wǎng)上的病毒、小馬、黑客攻擊以及計算機威脅事件，都時刻威脅著行業(yè)的信息系統(tǒng)安全，成為制約行業(yè)平穩(wěn)、安全發(fā)展的障礙。此，維護網(wǎng)絡(luò)和數(shù)據(jù)安全成為行業(yè)信息安全保障工作的重要組成部分。近年來，證券行業(yè)各機構(gòu)采取了一系列措施，建立了相對安全的網(wǎng)絡(luò)安全防護體系和災(zāi)舴備份系統(tǒng)，基木保障了信息系統(tǒng)的安全運行。但細追究起來，我國證券行業(yè)的網(wǎng)絡(luò)安全防護體系及災(zāi)備系統(tǒng)建設(shè)還不夠完善，還存存以下幾方面的問題：一是網(wǎng)絡(luò)安全防護體系缺乏統(tǒng)一的規(guī)劃；二是網(wǎng)絡(luò)訪問控制措施有待完善；三是網(wǎng)上交易防護能力有待加強；四是對數(shù)據(jù)安全重視不夠，數(shù)據(jù)備份措施有待改進；五是技術(shù)人員的專業(yè)能力和信息安全意識有待提高。

1．5IT人才資源建設(shè)方面

近20年的發(fā)展歷程巾，證券行業(yè)對信息系統(tǒng)日益依賴，行業(yè)IT隊伍此不斷發(fā)展壯大。據(jù)統(tǒng)計，2008年初，在整個證券行業(yè)中，103家證券公司共有IT人員7325人，占證券行業(yè)從業(yè)總?cè)藬?shù)73990人的9．90％，總體上達到了行業(yè)協(xié)會的IT治理工作指引中“IT工作人員總數(shù)原則上應(yīng)不少于公司員工總?cè)藬?shù)的6％”的最低要求。目前，證券行業(yè)的IT隊伍肩負著信息系統(tǒng)安全、平穩(wěn)、高效運行的重任，IT隊伍建設(shè)是行業(yè)信息安全IT作的根本保障。但是，IT人才隊伍依然存在著結(jié)構(gòu)不合理、后續(xù)教育不足等問題，此行業(yè)的人才培養(yǎng)有待加強。

2采取的對策和措施

2．1進一步完善法規(guī)和標準體系

首先，在法規(guī)規(guī)劃上，要統(tǒng)籌兼顧，制定科學(xué)的信息技術(shù)規(guī)范和標準體系框架。一是全面做好立法規(guī)劃；二是建立科學(xué)的行業(yè)信息安全標準和法規(guī)體系層次。行業(yè)信息安全標準和法規(guī)體系初步劃分為3層：第一層是管理辦法等巾同證監(jiān)會部門規(guī)章；第二層是證監(jiān)會相關(guān)部門制定的管理規(guī)范等規(guī)范性文件；第三層是技術(shù)指引等自律規(guī)則，一般由交易所、行業(yè)協(xié)會在證監(jiān)會總體協(xié)調(diào)下組織制定。其次，在法規(guī)制定上．要兼顧規(guī)范和發(fā)展，重視法規(guī)的可行性。最后，在法規(guī)實施上．要堅持規(guī)范和指引相結(jié)合，重視監(jiān)督檢查和責(zé)任落實。

2．2深入開展證券行業(yè)IT治理工作

2．2．1提高IT治理意識

中國證券業(yè)協(xié)會要進一步加強IT治理理念的教育宣傳工作，特別是對會員單位高層領(lǐng)導(dǎo)的IT治理培訓(xùn)，將IT治理的定義、工具、模型等理論知識納入到高管任職資格考試的內(nèi)容之中。通過舉辦論壇、交流會等形式強化證券經(jīng)營機構(gòu)的IT治理意識，提高他們IT治理的積極性。

2．2．2通過設(shè)立IT治理試點形成以點帶面的示范效應(yīng)

根據(jù)IT治理模型的不同特點，建議證券公司在決策層使用CISR模型，通過成立lT治理委員會，建立各部門之間的協(xié)調(diào)配合、監(jiān)督制衡的責(zé)權(quán)體系；在執(zhí)行層以COBIT模型、ITFL模型等其他模型為補充，規(guī)范信息技術(shù)部門的各項控制和管理流程。同時，證監(jiān)會指定一批證券公司和基金公司作為lT試點單位，進行IT治理模型選擇、剪裁以及組合的實踐探索，形成一批成功實施IT治理的優(yōu)秀范例，以點帶面地提升全行業(yè)的治理水平。

2．3通過制定行業(yè)標準積極落實信息安全等級保護

行業(yè)監(jiān)管部門在推動行業(yè)信息安全等級保護工作中的作用非常關(guān)鍵．應(yīng)進一步明確監(jiān)管部門推動行業(yè)信息安全等級保護工作的任務(wù)和工作機制，統(tǒng)一部署、組織行業(yè)的等級保護丁作，為該項丁作的順利開展提供組織保證。行業(yè)各機構(gòu)應(yīng)采取自主貫徹信息系統(tǒng)等級保護的行業(yè)要求，對照標準逐條落實。同時，應(yīng)對各單位實施信息系統(tǒng)安全等級保護情況進行測評，在測評環(huán)節(jié)一旦發(fā)現(xiàn)信息系統(tǒng)的不足，被測評單位應(yīng)立即制定相應(yīng)的整改方案并實施．且南相芙的監(jiān)督機構(gòu)進行督促。

2．4加強網(wǎng)絡(luò)安全體系規(guī)劃以提升網(wǎng)絡(luò)安全防護水平

2．4．1以等級保護為依據(jù)進行統(tǒng)籌規(guī)劃

等級保護是圍繞信息安全保障全過程的一項基礎(chǔ)性的管理制度，通過將等級化的方法和安全體系規(guī)劃有效結(jié)合，統(tǒng)籌規(guī)劃證券網(wǎng)絡(luò)安全體系的建設(shè)，建立一套信息安全保障體系，將是系統(tǒng)化地解決證券行業(yè)網(wǎng)絡(luò)安全問題的一個非常有效的方法。

2．4．2通過加強網(wǎng)絡(luò)訪問控制提高網(wǎng)絡(luò)防護能力

對向證券行業(yè)提供設(shè)備、技術(shù)和服務(wù)的IT公司的資質(zhì)和誠信加強管理，確保其符合國家、行業(yè)技術(shù)標準。根據(jù)網(wǎng)絡(luò)隔離要求，要逐步建立業(yè)務(wù)網(wǎng)與辦公網(wǎng)、業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)、網(wǎng)上交易各子系統(tǒng)間有效的網(wǎng)絡(luò)隔離。技術(shù)上可以對不同的業(yè)務(wù)安全區(qū)域劃分Vlan或者采用網(wǎng)閘設(shè)備進行隔離；對主要的網(wǎng)絡(luò)邊界和各外部進口進行滲透測試，進行系統(tǒng)和設(shè)備的安全加固．降低系統(tǒng)漏洞帶來的安全風(fēng)險；在網(wǎng)上交易方面，采取電子簽名或數(shù)字認證等高強度認證方式，加強訪問控制；針對現(xiàn)存惡意攻擊網(wǎng)站的事件越來越多的情況，要采取措施加強網(wǎng)站保護，提高對惡意代碼的防護能力，同時采用技術(shù)手段，提高網(wǎng)上交易客戶端軟件使朋的安全性。

2．4．3提高從業(yè)人員安全意識和專業(yè)水平

目前在證券行業(yè)內(nèi)，從業(yè)人員的網(wǎng)絡(luò)安全意識比較薄弱．必要時可定期對從業(yè)人員進行安全意識考核，從行業(yè)內(nèi)部強化網(wǎng)絡(luò)安全工作。要加強網(wǎng)絡(luò)安全技術(shù)人員的管理能力和專業(yè)技能培訓(xùn)，提高行業(yè)網(wǎng)絡(luò)安全的管理水平和專業(yè)技術(shù)水平。

2．5扎實推進行業(yè)災(zāi)難備份建設(shè)

數(shù)據(jù)的安全對證券行業(yè)是至關(guān)重要的，數(shù)據(jù)一旦丟失對市場各方的損失是難以估量的。無論是美國的“9·11”事件，還是我國2008年南方冰雪災(zāi)害和四川汶川大地震，都敲響了災(zāi)難備份的警鐘。證券業(yè)要在學(xué)習(xí)借鑒國際經(jīng)驗的基礎(chǔ)上，針對自身需要，對重要系統(tǒng)開展災(zāi)難備份建設(shè)。要繼續(xù)推進證券、基金公司同城災(zāi)難備份建設(shè)，以及證券交易所、結(jié)算公司等市場核心機構(gòu)的異地災(zāi)難備份系統(tǒng)的規(guī)劃和建設(shè)。制定各類相關(guān)的災(zāi)難應(yīng)急預(yù)案，并加強應(yīng)急預(yù)案的演練，確保災(zāi)難備份系統(tǒng)應(yīng)急有效．使應(yīng)急工作與日常工作有機結(jié)合。

2．6抓好人才隊伍建設(shè)

證券行業(yè)要采取切實可行的措施，建立吸引人才、留住人才、培養(yǎng)人才、發(fā)展人才的用人制度和機制。積極吸引有技術(shù)專長的人才到行業(yè)巾來，加強lT人員的崗位技能培訓(xùn)和業(yè)務(wù)培訓(xùn)，注重培養(yǎng)既懂得技術(shù)義懂業(yè)務(wù)和管理的復(fù)合型人才。要促進從業(yè)人員提高水平、轉(zhuǎn)變觀念，行業(yè)各機構(gòu)應(yīng)采取采取請進來、派出去以及內(nèi)部講座等多種培訓(xùn)方式。通過建立規(guī)范有效的人才評價體系，對信息技術(shù)人員進行科學(xué)有效的考評，提升行業(yè)人才資源的優(yōu)化配置和使用效率，促進技術(shù)人才結(jié)構(gòu)的涮整和完善。