導(dǎo)語：如何才能寫好一篇網(wǎng)絡(luò)安全等級保護重要性，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

信息安全等級保護備案實施細則最新全文第一條 為加強和指導(dǎo)信息安全等級保護備案工作，規(guī)范備 案受理、審核和管理等工作，根據(jù)《信息安全等級保護管理辦法》 制定本實施細則。

第二條 本細則適用于非涉及國家秘密的第二級以上信息系 統(tǒng)的備案。

第三條 地市級以上公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門受 理本轄區(qū)內(nèi)備案單位的備案。 隸屬于省級的備案單位， 其跨地 (市) 聯(lián)網(wǎng)運行的信息系統(tǒng)，由省級公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部 門受理備案。

第四條 隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng) 運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由公安部公共信息網(wǎng)絡(luò) 安全監(jiān)察局受理備案，其他信息系統(tǒng)由北京市公安局公共信息網(wǎng) 絡(luò)安全監(jiān)察部門受理備案。 隸屬于中央的非在京單位的信息系統(tǒng)，由當(dāng)?shù)厥〖壒矙C關(guān) 公共信息網(wǎng)絡(luò)安全監(jiān)察部門(或其指定的地市級公安機關(guān)公共信 息網(wǎng)絡(luò)安全監(jiān)察部門)受理備案。 跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系 統(tǒng)在各地運行、應(yīng)用的分支系統(tǒng)(包括由上級主管部門定級，在 當(dāng)?shù)赜袘?yīng)用的信息系統(tǒng)) 由所在地地市級以上公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門受理備案。

第五條 受理備案的公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng) 該設(shè)立專門的備案窗口，配備必要的設(shè)備和警力，專門負責(zé)受理 備案工作，受理備案地點、時間、聯(lián)系人和聯(lián)系方式等應(yīng)向社會 公布。

第六條 信息系統(tǒng)運營、使用單位或者其主管部門(以下簡 稱備案單位 ) 應(yīng)當(dāng)在信息系統(tǒng)安全保護等級確定后30日內(nèi)，到公 安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門辦理備案手續(xù)。辦理備案手續(xù) 時，應(yīng)當(dāng)首先到公安機關(guān)指定的網(wǎng)址下載并填寫備案表，準備好 備案文件，然后到指定的地點備案。

第七條 備案時應(yīng)當(dāng)提交《信息系統(tǒng)安全等級保護備案表》 (以下簡稱《備案表》 (一式兩份)及其電子文檔。第二級以上 信息系統(tǒng)備案時需提交《備案表》中的表一、二、三;第三級以 上信息系統(tǒng)還應(yīng)當(dāng)在系統(tǒng)整改、 測評完成后30日內(nèi)提交 《備案表》 表四及其有關(guān)材料。

第八條 公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門收到備案單位 提交的備案材料后，對屬于本級公安機關(guān)受理范圍且備案材料齊 全的，應(yīng)當(dāng)向備案單位出具《信息系統(tǒng)安全等級保護備案材料接 收回執(zhí)》 備案材料不齊全的， 應(yīng)當(dāng)當(dāng)場或者在五日內(nèi)一次性告知 其補正內(nèi)容;對不屬于本級公安機關(guān)受理范圍的，應(yīng)當(dāng)書面告知 備案單位到有管轄權(quán)的公安機關(guān)辦理。

第九條 接收備案材料后，公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)對下列內(nèi)容進行審核： (一)備案材料填寫是否完整，是否符合要求，其紙質(zhì)材料 和電子文檔是否一致; (二)信息系統(tǒng)所定安全保護等級是否準確。

第十條 經(jīng)審核，對符合等級保護要求的，公安機關(guān)公共信 息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)自收到備案材料之日起的十個工作日 內(nèi)，將加蓋本級公安機關(guān)印章(或等級保護專用章)的《備案表》 一份反饋備案單位，一份存檔;對不符合等級保護要求的，公安 機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)在十個工作日內(nèi)通知備案單 位進行整改， 并出具 《信息系統(tǒng)安全等級保護備案審核結(jié)果通知》

第十一條 《備案表》中表一、表二、表三內(nèi)容經(jīng)審核合格 的，公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)出具《信息系統(tǒng)安 全等級保護備案證明》 (以下簡稱《備案證明》 《備案證明》由 公安部統(tǒng)一監(jiān)制。

第十二條 公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門對定級不 準的備案單位，在通知整改的同時，應(yīng)當(dāng)建議備案單位組織專家 進行重新定級評審，并報上級主管部門審批。 備案單位仍然堅持原定等級的，公安機關(guān)公共信息網(wǎng)絡(luò)安全 監(jiān)察部門可以受理其備案，但應(yīng)當(dāng)書面告知其承擔(dān)由此引發(fā)的責(zé) 任和后果，經(jīng)上級公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門同意后， 同時通報備案單位上級主管部門。

第十三條 4 對拒不備案的，公安機關(guān)應(yīng)當(dāng)依據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》 等其他有關(guān)法律、 法規(guī)規(guī)定， 責(zé)令限期整改。逾期仍不備案的，予以警告，并向其上級主管部 門通報。 依照前款規(guī)定向中央和國家機關(guān)通報的，應(yīng)當(dāng)報經(jīng)公安部公 共信息網(wǎng)絡(luò)安全監(jiān)察局同意。

第十四條 受理備案的公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部 門應(yīng)當(dāng)及時將備案文件錄入到數(shù)據(jù)庫管理系統(tǒng)，并定期逐級上傳 《備案表》中表一、表二、表三內(nèi)容的電子數(shù)據(jù)。上傳時間為每 季度的第一天。 受理備案的公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)建立管 理制度， 對備案材料按照等級進行嚴格管理， 嚴格遵守保密制度， 未經(jīng)批準不得對外提供查詢。 第十五條 公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門受理備案 時不得收取任何費用。

第十六條 本細則所稱以上包含本數(shù)(級)

第十七條 各省(區(qū)、市)公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察 部門可以依據(jù)本細則制定具體的備案工作規(guī)范，并報公安部公共 信息網(wǎng)絡(luò)安全監(jiān)察局備案。

篇2

1計算機信息管理在網(wǎng)絡(luò)安全中應(yīng)用的重要性

計算機信息管理技術(shù)在社會的發(fā)展中占據(jù)著十分重要的地位，其對網(wǎng)絡(luò)安全管理有著重要的作用。（1）計算機信息管理技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用能夠滿足當(dāng)前社會發(fā)展的需求，對各行各業(yè)發(fā)展過程中產(chǎn)生的數(shù)據(jù)進行合理保護，避免信息丟失或遭到惡意破壞，為各行各業(yè)的發(fā)展保駕護航。（2）隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，各種網(wǎng)絡(luò)惡意攻擊問題也隨之出現(xiàn)，使得網(wǎng)絡(luò)安全受到了一定的威脅。而計算機信息管理技術(shù)的應(yīng)用，在很大程度上提高了網(wǎng)絡(luò)安全的整體效率，且在將來的發(fā)展中會起到越來越顯著的作用。由此可見，計算機信息管理技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用有著非常重要的現(xiàn)實意義。

2計算機信息管理在網(wǎng)絡(luò)安全應(yīng)用中存在的不足

網(wǎng)絡(luò)安全是指互聯(lián)網(wǎng)信息在傳輸和使用的過程中具有一定的安全性，包括硬件的安全性、系統(tǒng)軟件的安全性、數(shù)據(jù)傳輸?shù)陌踩浴?shù)據(jù)存儲的安全性等。計算機技術(shù)的發(fā)展面臨著一定的網(wǎng)絡(luò)安全問題，其主要表現(xiàn)在：2.1安全防范意識不到位在網(wǎng)絡(luò)安全管理過程中，由于相關(guān)管理人員的安全防范意識不到位，沒有對網(wǎng)絡(luò)安全加以管理，使得網(wǎng)絡(luò)信息處在一個存在漏洞、容易受到惡意攻擊的環(huán)境下，導(dǎo)致網(wǎng)絡(luò)安全問題的出現(xiàn)。2.2安全防護工作不到位在網(wǎng)絡(luò)安全管理過程中，安全防護工作不到位也是現(xiàn)階段網(wǎng)絡(luò)安全問題中較為明顯的不足之處。由于沒有對數(shù)據(jù)進行加密處理、防火墻技術(shù)不到位、監(jiān)測系統(tǒng)不完善等，直接導(dǎo)致安全防護等級較低，很容易受到病毒的入侵。

3計算機信息管理在網(wǎng)絡(luò)安全中的應(yīng)用

面對上述網(wǎng)絡(luò)安全問題，在計算機信息管理技術(shù)的幫助下，應(yīng)當(dāng)要從多個方面來提高網(wǎng)絡(luò)安全等級，保證信息傳輸和存儲的安全性。筆者提出以下幾點建議：

3.1加強安全風(fēng)險控制

在實際情況中，應(yīng)當(dāng)要利用計算機信息管理技術(shù)來加強網(wǎng)絡(luò)安全風(fēng)險的控制。3.1.1網(wǎng)絡(luò)結(jié)構(gòu)安全。切了確保網(wǎng)絡(luò)結(jié)構(gòu)的安全，需要做好安全監(jiān)測工作，將監(jiān)測系統(tǒng)配置在網(wǎng)絡(luò)中，對異常數(shù)據(jù)進行診斷和處理。與此同時，要在安全保密規(guī)定的基礎(chǔ)上，對網(wǎng)絡(luò)的使用情況進行管理，以便提高其安全性。3.1.2操作系統(tǒng)安全。加強操作系統(tǒng)的安全可以通過身份認證、應(yīng)用加密等方式來進行用戶認證，并利用適當(dāng)?shù)能浖磉M行病毒監(jiān)測和防護，保證網(wǎng)絡(luò)系統(tǒng)的安全。3.1.3建立預(yù)警機制。在網(wǎng)絡(luò)中建立適當(dāng)?shù)念A(yù)警機制，加裝預(yù)警監(jiān)測系統(tǒng)及軟件，保證能夠第一時間發(fā)現(xiàn)不安全因素，并對其進行自動化處理，如：態(tài)勢感知、APT攻擊監(jiān)控、溯源追蹤等。通過上述幾點內(nèi)容來加強安全風(fēng)險的控制，發(fā)揮計算機信息管理技術(shù)的優(yōu)勢，保證網(wǎng)絡(luò)的安全。

3.2建立完善的網(wǎng)絡(luò)安全體系

利用計算機信息管理技術(shù)來建立完善的網(wǎng)絡(luò)安全體系，對提高網(wǎng)絡(luò)安全等級有著重要的促進作用。3.2.1數(shù)據(jù)加密技術(shù)的應(yīng)用。在網(wǎng)絡(luò)系統(tǒng)及軟件的應(yīng)用過程中，需要通過數(shù)據(jù)加密技術(shù)來對網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)、軟件等進行全面保護，確保信息的完整性，以及保證信息傳輸和存儲過程中不會被他人惡意攻擊或竊取。可以說，使用數(shù)據(jù)加密技術(shù)，是當(dāng)前保證網(wǎng)絡(luò)安全最為有效的手段之一。3.2.2入侵檢測系統(tǒng)的應(yīng)用。入侵檢測系統(tǒng)是一種主動保護網(wǎng)絡(luò)安全的技術(shù)，通過自動檢測并阻止入侵者試圖惡意入侵的行為，以此來簡化網(wǎng)絡(luò)管理員的工作量，在最大程度上保護網(wǎng)絡(luò)安全。3.2.3防火墻技術(shù)的應(yīng)用。防火墻技術(shù)是指建立在內(nèi)外網(wǎng)絡(luò)之間的過濾封鎖技術(shù)。該技術(shù)能夠有效防止未經(jīng)授權(quán)的信息進入到網(wǎng)絡(luò)內(nèi)部，通過邊界控制手段來強化內(nèi)部網(wǎng)絡(luò)的安全。3.2.4采用適當(dāng)?shù)挠嬎銠C管理技術(shù)。在網(wǎng)絡(luò)使用的過程中，可以根據(jù)實際情況來選擇合適的網(wǎng)絡(luò)管理技術(shù)，提高網(wǎng)絡(luò)的安全等級。比如：目前，很多大型企業(yè)的網(wǎng)絡(luò)建設(shè)過程中都會使用VPN技術(shù)來提高網(wǎng)絡(luò)的安全性，利用VPN設(shè)備來加強企業(yè)內(nèi)部與外部網(wǎng)絡(luò)的連接，并對用戶進行權(quán)限設(shè)定，避免非法入侵，保證企業(yè)網(wǎng)絡(luò)的使用安全。

3.3提高網(wǎng)絡(luò)安全意識

為了加強網(wǎng)絡(luò)的安全管理，需要提高相關(guān)管理人員的安全意識，使其能夠自覺使用計算機信息管理技術(shù)來對網(wǎng)絡(luò)進行管理?？梢酝ㄟ^多樣化的方式來提高管理人員的安全管理意識，促使其能夠主動發(fā)現(xiàn)網(wǎng)絡(luò)安全問題，采取合適的措施予以處理。比如：3.3.1適當(dāng)?shù)呐嘤?xùn)。加強安全管理培訓(xùn)力度，通過不斷的實踐和交流來提高管理人員的安全管理意識，提高其管理能力，接觸到更多先進的計算機信息安全管理技術(shù)和手段，為網(wǎng)絡(luò)信息的安全奠定良好的人力基礎(chǔ)。3.3.2加強安全宣傳教育。對網(wǎng)絡(luò)的安全管理，不僅僅是管理人員的責(zé)任，同時也是每個用戶的責(zé)任。因此，需要加強安全宣傳教育，傳播安全使用觀念，避免登錄非法網(wǎng)站、引入病毒等情況而引起的網(wǎng)絡(luò)安全問題出現(xiàn)?？傊?，在計算機引領(lǐng)各行各業(yè)發(fā)展的基礎(chǔ)上，網(wǎng)絡(luò)安全也應(yīng)當(dāng)受到應(yīng)有的重視。各行各業(yè)應(yīng)當(dāng)要在認識到計算機信息管理技術(shù)對網(wǎng)絡(luò)安全重要性的基礎(chǔ)上，對當(dāng)前的網(wǎng)絡(luò)安全問題進行歸納和總結(jié)，并通過加強安全風(fēng)險控制、建立完善的網(wǎng)絡(luò)安全管理體系以及提高網(wǎng)絡(luò)安全意識等手段，促進計算機信息管理技術(shù)與網(wǎng)絡(luò)安全的有效結(jié)合，進而提高網(wǎng)絡(luò)的安全等級。

參考文獻

[1]靳海.信息管理技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用研究[J].信息與電腦(理論版),2018(05):192-193+196.

[2]黃靜,郗振.計算機信息管理在網(wǎng)絡(luò)安全中的應(yīng)用[J].中國新通信,2018,20(05):135-136.

篇3

［關(guān)鍵詞］等級保護；等級備案；等級測評

doi：10.3969/j.issn.1673 - 0194.2017.04.115

［中圖分類號］TP309 ［文獻標識碼］A ［文章編號］1673-0194（2017）02-0-02

0 引　言

隨著全球信息技術(shù)的快速發(fā)展，我國國民經(jīng)濟的繁榮和社會信息化水平的日益提升，信息安全已上升為國家層面的重要內(nèi)容。為進一步提高信息安全保障工作的能力和水平，2016年國家網(wǎng)絡(luò)安全宣傳周首次在全國范圍內(nèi)統(tǒng)一舉辦，并首次在地方城市舉行開幕式等重要活動。由此信息安全等級保護制度也越來越成為信息社會必不可少的一項制度，等級測評工作也將隨之逐步成為一項常規(guī)化工作，對保障國家網(wǎng)絡(luò)安全具有重要意義。下文對信息安全等級保護的概念及發(fā)展狀況進行梳理。

1 信息安全等級保護的概念

信息安全等級保護是對信息及信息載體按照重要性等級分別進行保護的一種工作，是國際上很多國家都實施的一項信息安全工作。在中國，信息安全等級保護廣義上是為涉及信息安全工作的標準、產(chǎn)品、系統(tǒng)、信息等依據(jù)等級保護思想確立的安全工作；狹義上一般指信息系統(tǒng)安全等級保護。

2 信息安全等級保護的發(fā)展歷程

全球化網(wǎng)絡(luò)快速發(fā)展的同時其脆弱性和安全性也日益彰顯，西方發(fā)達國家制定了一系列強化網(wǎng)絡(luò)信息安全建設(shè)的政策和標準，其核心就是將不同重要程度的信息系統(tǒng)劃分為不同的安全等級，以便于對不同領(lǐng)域的信息安全工作進行指導(dǎo)。鑒于此，我國相關(guān)部門和專家結(jié)合我國信息領(lǐng)域的實際情況經(jīng)過多年的研究，于1994年由國務(wù)院下發(fā)了《中華人民共和國計算機信息系統(tǒng)安全保護條例》，首次提出了信息安全等級保護的概念，用于解決我國信息安全問題。之后經(jīng)過了十幾年的摸索和探究出臺了一系列從中央到地方的政策法規(guī)，并實施工程。從計算機系統(tǒng)的定級到等級保護測評，信息安全工作逐步完善。詳情見表1。

隨著國家對信息安全工作的重視以及各類等級保護規(guī)范標準的出臺，各行業(yè)及監(jiān)管部門迅速發(fā)文響應(yīng)并落實行業(yè)內(nèi)信息系統(tǒng)安全等級保護工作。建立、健全信息安全管理制度，落實安全保護技術(shù)措施，全面貫徹落實信息安全等級保護制度。目前，國家已出臺70多個國標、行標及報批標準，展開了對所屬安全系統(tǒng)進行先定級后測評的工作。

3 信息安全等級保護具體實施過程

信息安全等級保護具體的實施過程，如圖1所示。

3.1 定級

2007年開始在全國范圍內(nèi)進行信息系統(tǒng)等級保護的定級工作。四級以上的定級要求請國家信息安全保護等級專家評審委員會評審定級。此項工作歷時一年基本完成。

定級標準為公安部66號文件。主要依據(jù)是《信息系統(tǒng)安全保護等級定級指南》（國家）或行業(yè)制定的定級指南。對于等級的劃分，見表2。

定級注意事項

第一級信息系統(tǒng)：適用于小型私營、個體企業(yè)、中小學(xué)、鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級單位中一般的信息系統(tǒng)。

第二級信息系統(tǒng)：適用于縣級一些單位中的重要信息系統(tǒng)；地市級以上國家機關(guān)、企事業(yè)單位內(nèi)部一般的信息系統(tǒng)。例如：不涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)，地市級以上國家機關(guān)、企事業(yè)單位網(wǎng)站等。

第三級信息系統(tǒng)：一般適用于地市級以上國家機關(guān)、企事業(yè)單位內(nèi)部重要的信息系統(tǒng)；跨省或全國聯(lián)網(wǎng)運行的用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)及控制等方面的重要信息系統(tǒng)以及這類系統(tǒng)在省、地市的分支系統(tǒng)；中央各部委、省門戶網(wǎng)站和重要網(wǎng)站；跨省連接的網(wǎng)絡(luò)系統(tǒng)等，例如，網(wǎng)上銀行系統(tǒng)、證券集中交易系統(tǒng)、海關(guān)通關(guān)系統(tǒng)、民航離港控制系統(tǒng)等為三級信息系統(tǒng)。

第四級信息系統(tǒng)：一般適用于國家重要領(lǐng)域、部門中涉及國計民生、國家利益、國家安全、影響社會穩(wěn)定的核心系統(tǒng)。例如：電信骨干傳輸網(wǎng)、電力能量管理系統(tǒng)、銀行核心業(yè)務(wù)系統(tǒng)、鐵路票客系統(tǒng)、列車指揮調(diào)度系統(tǒng)等。

第五級信息系統(tǒng)：適用于國家特殊領(lǐng)域的極其重要系統(tǒng)。

3.2 等級備案

已運行的系統(tǒng)在安全保護等級定級后30日內(nèi)，由運營、使用單位到所在地區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。新建的系統(tǒng)，在通過立項申請后30日內(nèi)辦理。將定級情況報各地公安部門備案。

辦理備案手續(xù)時備案單位需向公安機關(guān)網(wǎng)監(jiān)部門提交以下備案材料。①《信息系統(tǒng)安全等級保護備案表》紙質(zhì)材料一式兩份。該表由“等級保護備案端軟件”生成，操作時請詳細閱讀軟件使用說明書。第二級以上信息系統(tǒng)備案時需提交表中的表一、二、三；第三級以上信息系統(tǒng)還應(yīng)當(dāng)在系統(tǒng)整改、測評完成后30日內(nèi)提交表四及其有關(guān)材料。②《信息系統(tǒng)安全等級保護定級報告》紙質(zhì)材料一式兩份。每個備案的信息系統(tǒng)均需提供對應(yīng)的《信息系統(tǒng)安全等級保護定級報告》。

③備案電子數(shù)據(jù)。每個備案的信息系統(tǒng)，均需通過“等級保護備案端軟件”填寫信息，以壓縮文件（RAR格式）方式保存。

3.3 對照等級標準和要求進行安全建設(shè)分析整改

備案工作完成后，需要對照所定的級別對信息系統(tǒng)進行安全建設(shè)整改。從滿足政策、滿足標準和滿足用戶需求入手，有條件的單位可以請專業(yè)機構(gòu)幫助給出整改意見，在技術(shù)和管理兩個方面進行整體規(guī)劃和設(shè)計。在設(shè)計過程中要考慮近期和遠期規(guī)劃，從而給出總體和詳細的方案，特別要把技術(shù)體系、物理安全、管理安全、應(yīng)急與災(zāi)備全面進行細分，細分為不同的子項，分項完善。之后就可以進入具體實施操作階段。

3.4 等級測評

信息系統(tǒng)完成建O整改實施操作之后就可以進行等級保護的測評。等級保護測評工作需要由有“DJCP”（公安部信息安全等級保護測評）認證的測評機構(gòu)來完成。有“DJCP”資質(zhì)的機構(gòu)在“中國信息安全等級保護網(wǎng)”可以查詢到。測評時間一般為一個月。測評過程如下。

（1）測評準備階段：召開項目啟動會布置測評需要準備的材料（系統(tǒng)拓撲圖、規(guī)章制度、設(shè)備參數(shù)等），測評機構(gòu)根據(jù)提供的材料準備下一步的測評工具和表單。

（2）測評方案編制階段：測評機構(gòu)針對測評對象制定測評指標，填寫測評內(nèi)容，并編制測評方案書。雙方進一步溝通測評時間及測評場地的測評內(nèi)容和測評流程。

（3）現(xiàn)場測評階段：測評機構(gòu)按照測評方案的測評內(nèi)容對項目中的管理和技術(shù)測評項進行逐一的測評，記錄測評相關(guān)數(shù)據(jù)。需要注意的是在現(xiàn)場測評過程中盡量不要影響被測系統(tǒng)的正常運行。可以選擇錯開業(yè)務(wù)高峰期或下班后的時間。為了保證被測系統(tǒng)不受影響，系統(tǒng)維護人員應(yīng)在現(xiàn)場進行配合。

（4）報告編制階段：測評機構(gòu)根據(jù)測評內(nèi)容和數(shù)據(jù)進行整理，給出測評報告，告知風(fēng)險點和測評發(fā)現(xiàn)的問題。

測評結(jié)果有三種：不符合，即未通過測評；部分符合和全部符合，后兩種為通過測評。

在等級保護測評方面，按照要求，三級的信息系統(tǒng)應(yīng)當(dāng)每年至少進行一次安全自查和安全測評；四級的信息系統(tǒng)應(yīng)當(dāng)每半年至少進行一次安全自查和安全測評；五級的應(yīng)當(dāng)依據(jù)特殊安全要求進行安全自查和安全測評。

4 信息安全等級保護的發(fā)展現(xiàn)狀

隨著信息技術(shù)的不斷發(fā)展，云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制、大數(shù)據(jù)等概念的出現(xiàn)對信息系統(tǒng)等級保護提出了新的要求。在新技術(shù)應(yīng)用背景下，等級保護的標準和規(guī)范也將隨之不斷調(diào)整，信息系統(tǒng)和測評機構(gòu)都需要不斷提高自身的技術(shù)能力以適應(yīng)新技術(shù)發(fā)展的需求。保證信息系統(tǒng)的循序建設(shè)和長期穩(wěn)定的運行，是等級保護建設(shè)的重要意義。

主要參考文獻

篇4

一、引言

隨著我國信息化建設(shè)的快速發(fā)展與廣泛應(yīng)用，信息安全的重要性愈發(fā)突出。在國家重視信息安全的大背景下，推出了信息安全等級保護制度。為統(tǒng)一管理規(guī)范和技術(shù)標準，公安部等四部委聯(lián)合了《信息安全等級保護管理辦法》（公通字【2007】43號）。隨著等級保護工作的深入開展，原衛(wèi)生部制定了《衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見》（衛(wèi)辦發(fā)【2011】85號），進一步規(guī)范和指導(dǎo)了我國醫(yī)療衛(wèi)生行業(yè)信息安全等級保護工作，并對三級甲等醫(yī)院核心業(yè)務(wù)信息系統(tǒng)的安全等級作了要求，原則上不低于第三級。

從《關(guān)于信息安全等級保護工作的實施意見》中可知信息安全等級保護對象是國家秘密信息、法人和其他組織以及公民的專有信息和公開信息。對信息系統(tǒng)及其安全產(chǎn)品進行等級劃分，并按等級對信息安全事件響應(yīng)。

    二、醫(yī)院信息安全等級保護工作實施步驟

2.1定級與備案。根據(jù)公安部信息安全等級保護評估中心編制的《信息安全等級保護政策培訓(xùn)教程》，有兩個定級要素決定了信息系統(tǒng)的安全保護等級，一個是等級保護對象受到破壞時所侵害的客體，另外一個是對客體造成侵害的程度。表1是根據(jù)定級要素制訂的信息系統(tǒng)等級保護級別。

    對于三級醫(yī)院，門診量與床位相對較多，影響范圍較廣，一旦信息系統(tǒng)遭到破壞，將會給患者造成生命財產(chǎn)損失，對社會秩序帶來重大影響。因此，從影響范圍和侵害程度來看，我們非常認同國家衛(wèi)計委對三級甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)安全等級的限制要求。

在完成定級報告編制工作后，填寫備案表，并按屬地化管理要求到市級公安機關(guān)辦理備案手續(xù)，在取得備案回執(zhí)后才算完成定級備案工作。我院已按照要求向我市公安局網(wǎng)安支隊，同時也是我市信息安全等級保護工作領(lǐng)導(dǎo)小組辦公室，提交了定級報告與備案表。

2.2安全建設(shè)與整改。在完成定級備案后，就要結(jié)合醫(yī)院實際，分析信息安全現(xiàn)狀，進行合理規(guī)劃與整改。

2.2.1等保差距分析與風(fēng)險評估。了解等級保護基本要求。《信息系統(tǒng)安全等級保護基本要求》分別從技術(shù)和管理兩方面提出了基本要求?；炯夹g(shù)要求包括五個方面：物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全，主要是由在信息系統(tǒng)中使用的網(wǎng)絡(luò)安全產(chǎn)品（包括硬件和軟件）及安全配置來實現(xiàn)；基本管理要求也包括五個方面：安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理，主要是根據(jù)相關(guān)政策、制度以及規(guī)范流程等方面對人員活動進行約束控制，以期達到安全管理要求。

技術(shù)類安全要求按保護側(cè)重點進一步劃分為三類：業(yè)務(wù)信息安全類（S類）、系統(tǒng)服務(wù)安全類（A類)、通用安全保護類(G類)。如受條件限制，可以逐步完成三級等級保護，A類和S類有一類滿足即可，但G類必須達到三級，最嚴格的G3S3A3控制項共計136條.醫(yī)院可以結(jié)合自身建設(shè)情況，選擇其中一個標準進行差距分析。

管理方面要求很嚴格，只有完成所有的154條控制項，達到管理G3的要求，才能完成三級等級保護要求。這需要我們逐條對照，發(fā)現(xiàn)醫(yī)院安全管理中的不足與漏洞，找出與管理要求的差距。

對于有條件的三甲醫(yī)院，可以先進行風(fēng)險評估，通過分析信息系統(tǒng)的資產(chǎn)現(xiàn)狀、安全脆弱性及潛在安全威脅，形成《風(fēng)險評估報告》。

經(jīng)過與三級基本要求對照，我院還存在一定差距。比如：在物理環(huán)境安全方面，我院機房雖有滅火器，但沒安裝氣體滅火裝置。當(dāng)前的安全設(shè)備產(chǎn)品較少，不能很好的應(yīng)對網(wǎng)絡(luò)人侵。在運維管理方面，缺乏預(yù)警機制，無法提前判斷系統(tǒng)潛在威脅等。

2.2.2建設(shè)整改方案。根據(jù)差距分析情況，結(jié)合醫(yī)院信息系統(tǒng)安全實際需求和建設(shè)目標，著重于保證業(yè)務(wù)的連續(xù)性與數(shù)據(jù)隱私方面，滿足于臨床的實際需求，避免資金投入的浪費、起不到實際效果。

整改方案制訂應(yīng)遵循以下原則：安全技術(shù)和安全管理相結(jié)合，技術(shù)作保障，管理是更好的落實安全措施；從安全區(qū) 域邊界、安全計算環(huán)境和安全通信網(wǎng)絡(luò)進行三維防護，建立安全管理中心。方案設(shè)計完成后，應(yīng)組織專家或經(jīng)過第三方測評機構(gòu)進行評審，以保證方案的可用性。

整改方案實施。實施過程中應(yīng)注意技術(shù)與管理相結(jié)合，并根據(jù)實際情況適當(dāng)調(diào)整安全措施，提高整體保護水平。

我院整改方案是先由醫(yī)院內(nèi)部自查，再邀請等級測評#司進行預(yù)測評，結(jié)合醫(yī)院實際最終形成的方案。網(wǎng)絡(luò)技術(shù)義員熟悉系統(tǒng)現(xiàn)狀，易于發(fā)現(xiàn)潛在安全威脅，所以醫(yī)院要先自查，對自身安全進行全面了解。等級測評公司派專業(yè)安全人員進駐醫(yī)院，經(jīng)過與醫(yī)院技術(shù)人員溝通，利用安全工具進行測試，可以形成初步的整改報告，對我院安全整改具有指導(dǎo)意義。

2.3開展等級保護測評。下一步工作就是開展等級測評。在測評機構(gòu)的選擇上，首先要查看其是否具有“DICP”認證，有沒有在當(dāng)?shù)毓膊块T進行備案，還可以到中國信息安全等級保護網(wǎng)站（網(wǎng)站地址：djbh.net)進行核實。測評周期一般為1至2月，其測評流程如下。

2.3.1測評準備階段。醫(yī)院與測評機構(gòu)共同成立項目領(lǐng)導(dǎo)小組，制定工作任務(wù)與測評計劃等前期準備工作。項目啟動前，為防止醫(yī)院信息泄露，還需要簽訂保密協(xié)議。項目啟動后，測評機構(gòu)要進行前期調(diào)研，主要是了解醫(yī)院信息系統(tǒng)的拓撲結(jié)構(gòu)、設(shè)備運行狀況、信息系統(tǒng)應(yīng)用情況及安全管理等情況，然后再選擇相應(yīng)的測評工具和文檔。

在測評準備階段，主要是做好組織機構(gòu)建設(shè)工作，配合等級測評公司人員的調(diào)査工作。

2.3.2測評方案編制階段。測評內(nèi)容主要由測評對象與測評指標來確定。我院測評對象包含三級的醫(yī)院信息系統(tǒng)、基礎(chǔ)網(wǎng)絡(luò)和二級的門戶網(wǎng)站。測評機構(gòu)要與醫(yī)院溝通，制定工具測試方法與測評指導(dǎo)書，編制測評方案。在此階段，主要工作由等級測評機構(gòu)來完成。

2.3.3現(xiàn)場測評階段。在經(jīng)過實施準備后，測評機構(gòu)要對上述控制項進行逐一測評，大約需要1至2周，需要信息科人員密切配合與注意。為保障醫(yī)院業(yè)務(wù)正常開展，測評工作應(yīng)盡量減少對業(yè)務(wù)工作的沖擊。當(dāng)需要占用服務(wù)器和網(wǎng)絡(luò)資源時應(yīng)避免業(yè)務(wù)高峰期，可以選擇下班時間或晚上。為避免對現(xiàn)有業(yè)務(wù)造成影響，測評工具應(yīng)在接人前進行測試，同時要做好應(yīng)急預(yù)案準備，一旦影響醫(yī)院業(yè)務(wù)，應(yīng)立即啟動應(yīng)急預(yù)案、在對209條控制項進行測評后應(yīng)進行結(jié)果確認，并將資料歸還醫(yī)院。

該階段是從真實情況中了解信息系統(tǒng)全面具體的主要工作，也是技術(shù)人員比較辛苦的階段。除了要密切配合測評，還不能影響醫(yī)院業(yè)務(wù)開展，除非必要，不然安全測試工作必須在夜間進行。

2.3.4報告編制階段。通過判定測評單項，測評機構(gòu)對單項測評結(jié)果進行整理，逐項分析，最終得出整體測評報告。測評報告包含了醫(yī)院信息安全存在的潛在威脅點、整改建議與最終測評結(jié)果。對于公安機關(guān)來講，醫(yī)院能否通過等級測評的主要標準就是測評結(jié)果。因此，測評報告的結(jié)果至關(guān)重要。測評結(jié)果分為：不符合、部分符合、全部符合。有的測評機構(gòu)根據(jù)單項測評結(jié)果進行打分，最后給出總分，以分值來判定是否通過測評。為得到理想測評結(jié)果，需要醫(yī)院落實安全整改方案。

2.4安全運維。我們必須清醒地認識到，實施安全等級保護是一項長期工作，它不僅要在信息化建設(shè)規(guī)劃中考慮，還要在日常運維管理中重視，是不斷循環(huán)的過程。按照等級保護制度要求，信息系統(tǒng)等級保護級別定為三級的三甲醫(yī)院每年要自查一次，還要邀請測評機構(gòu)進行測評并進行整改，監(jiān)管部門每年要抽查一次。因此，醫(yī)院要按照PDCA的循環(huán)工作機制，不斷改進安全技術(shù)與管理上，完善安全措施，更好地保障醫(yī)院信息系統(tǒng)持續(xù)穩(wěn)定運行。―     

    三、結(jié)語

篇5

【關(guān)鍵詞】計算機網(wǎng)絡(luò)問題；對策

隨著計算機技術(shù)的迅速發(fā)展，在計算機上完成的工作已由基于單機的文件處理、自動化辦公，發(fā)展到今天的企業(yè)內(nèi)部網(wǎng)、企業(yè)外部網(wǎng)和國際互聯(lián)網(wǎng)的世界范圍內(nèi)的信息共享和業(yè)務(wù)處理，也就是我們常說的局域網(wǎng)、城域網(wǎng)和廣域網(wǎng)。計算機網(wǎng)絡(luò)的應(yīng)用領(lǐng)域已從傳統(tǒng)的小型業(yè)務(wù)系統(tǒng)逐漸向大型業(yè)務(wù)系統(tǒng)擴展。計算機網(wǎng)絡(luò)在為人們提供便利、帶來效益的同時，也使人類面臨著信息安全的巨大挑戰(zhàn)。

1.計算機網(wǎng)絡(luò)安全

計算機網(wǎng)絡(luò)安全就是通過采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運行，從而確保網(wǎng)絡(luò)數(shù)掘的可用性、完整性和保密性。顯而易見，網(wǎng)絡(luò)安全與其所保護的信息對象有關(guān)，它的本質(zhì)是在信息的安全期內(nèi)保證其在網(wǎng)絡(luò)上流動時或者靜態(tài)存放時不被非授權(quán)用戶非法訪問，但授權(quán)用戶可以訪問。鑒于網(wǎng)絡(luò)安全的重要性，為了增強用戶的安全意識，了解和掌握必要的網(wǎng)絡(luò)安全和防護技術(shù)已成為當(dāng)務(wù)之急。

2.計算機通信網(wǎng)絡(luò)威脅

計算機通信網(wǎng)絡(luò)的安全涉及到多種學(xué)科，包括計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等十?dāng)?shù)種，這些技術(shù)各司其職，保護網(wǎng)絡(luò)系統(tǒng)的硬件、軟件以及系統(tǒng)中的數(shù)據(jù)免遭各種因素的破壞、更改、泄露，保證系統(tǒng)連續(xù)可靠正常運行。

2.1 網(wǎng)絡(luò)資源的共享性。計算機網(wǎng)絡(luò)最主要的一個功能就是“資源共享”。無論你是在天涯海角，還是遠在天邊，只要有網(wǎng)絡(luò)，就能找到你所需要的信息。所以，資源共享的確為我們提供了很大的便利，但這為系統(tǒng)安全的攻擊者利用共享的資源進行破壞也提供了機會。

2.2 網(wǎng)絡(luò)系統(tǒng)設(shè)計的缺陷。網(wǎng)絡(luò)設(shè)計是指拓撲結(jié)構(gòu)的設(shè)計和各種網(wǎng)絡(luò)設(shè)備的選擇等。網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)操作系統(tǒng)等都會直接帶來安全隱患。

2.3 欺騙技術(shù)攻擊。通過欺騙路由條目、IP地址、DNS解析地址，使服務(wù)器無法正常響應(yīng)這些請求或無法辨別這些請求來攻擊服務(wù)器，從而造成緩沖區(qū)資源阻塞或死機；或者通過將局域網(wǎng)中的某臺計算機設(shè)置為網(wǎng)關(guān)IP地址，導(dǎo)致網(wǎng)絡(luò)中數(shù)據(jù)包轉(zhuǎn)發(fā)異常而使某一網(wǎng)段無法訪問。例如局域網(wǎng)中ARP攻擊包問題。

2.4 病毒的攻擊。網(wǎng)絡(luò)的高速發(fā)展也給病毒的傳播和發(fā)展創(chuàng)造了條件，病毒在網(wǎng)絡(luò)上肆意、快速的傳播，給廣大計算機用戶帶來了潛在的威脅，給系統(tǒng)安全帶來了隱患。

2.5 “黑客”的侵犯。網(wǎng)絡(luò)黑客是指非法入侵者，它是互聯(lián)網(wǎng)飛速發(fā)展的產(chǎn)物，是一個已經(jīng)成為被人們普遍關(guān)注的特殊群體，網(wǎng)絡(luò)黑客造成的危害在當(dāng)今信息社會已經(jīng)發(fā)展成為一個不容忽視的現(xiàn)象。黑客無孔不入的入侵手段，有意或無意的對社會造成了不同程度的傷害。黑客攻擊網(wǎng)絡(luò)的方法主要有：IP地址欺騙、發(fā)送郵件攻擊、網(wǎng)絡(luò)文件系統(tǒng)攻擊、網(wǎng)絡(luò)信息服務(wù)攻擊、掃描器攻擊、口令攻擊、嗅探攻擊、病毒和破壞性攻擊等。黑客通過尋找并利用網(wǎng)絡(luò)系統(tǒng)的脆弱性和軟件的漏洞，刺探竊取計算機口令、身份標識碼或繞過計算機安全控件機制，非法進入計算機網(wǎng)絡(luò)或數(shù)據(jù)庫系統(tǒng)，竊取信息。對用戶主機安全構(gòu)成嚴重威脅。因此，從某種意義上講，黑客對網(wǎng)絡(luò)安全的危害甚至超過網(wǎng)絡(luò)病毒攻擊。

2.6 通信系統(tǒng)和通信協(xié)議的弱點。網(wǎng)絡(luò)系統(tǒng)的通信線路面對各種威脅顯得非常脆弱，非法用戶可對線路進行物理破壞、搭線竊聽、通過未保護的外部線路訪問系統(tǒng)內(nèi)部信息等。通信協(xié)議TCP/IP及FTP、E-mail、NFS、WWW等應(yīng)用協(xié)議都存在安全漏洞，如FTP的匿名服務(wù)浪費系統(tǒng)資源；E-mail中潛伏著電子炸彈、病毒等威脅互聯(lián)網(wǎng)安全；WWW中使用的通用網(wǎng)關(guān)接口（CGI）程序、Java Applet程序和SSI等都可能成為黑客的工具；黑客可采用Sock、TCP預(yù)測或遠程訪問直接掃描等攻擊防火墻。

2.7 數(shù)據(jù)庫系統(tǒng)的脆弱性。由于數(shù)據(jù)集庫管理系統(tǒng)對數(shù)據(jù)庫的管理是建立在分級管理的概念上，因此，DBMS的安全必須與操作系統(tǒng)的安全配套，這無疑是一個先天的不足之處。黑客通過探訪工具可強行登錄或越權(quán)使用數(shù)據(jù)庫數(shù)據(jù)，可能會帶來巨大損失；數(shù)據(jù)加密往往與DBMS的功能發(fā)生沖突或影響數(shù)據(jù)庫的運行效率。由于服務(wù)器/瀏覽器（B/S）結(jié)構(gòu)中的應(yīng)用程序直接對數(shù)據(jù)庫進行操作，所以，使用B/S結(jié)構(gòu)的網(wǎng)絡(luò)應(yīng)用程序的某些缺陷可能威脅數(shù)據(jù)庫的安全。

3.計算機網(wǎng)絡(luò)的安全措施

3.1 使用防病毒軟件。在網(wǎng)絡(luò)環(huán)境下，病毒傳播擴散快，僅用單機防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡(luò)病毒，必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品。學(xué)校、政府機關(guān)、企事業(yè)單位等網(wǎng)絡(luò)一般是內(nèi)部局域網(wǎng)，就需要一個基于服務(wù)器操作系統(tǒng)平臺的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件。如果與互聯(lián)網(wǎng)相連，就需要網(wǎng)關(guān)的防病毒軟件，加強上網(wǎng)計算機的安全。如果在網(wǎng)絡(luò)內(nèi)部使用電子郵件進行信息交換，還需要一套基于郵件服務(wù)器平臺的郵件防病毒軟件，識別出隱藏在電子郵件和附件中的病毒。

篇6

關(guān)鍵詞：基層銀行；信息系統(tǒng)安全；規(guī)劃設(shè)計；實施

中圖分類號：TP311.52

1 基層銀行的信息系統(tǒng)遇到的主要安全威脅

由于銀行的信息系統(tǒng)建設(shè)一直在不斷地向縱深處發(fā)展，銀行已經(jīng)全面地進入了其業(yè)務(wù)的系統(tǒng)整合與數(shù)據(jù)集中的全新發(fā)展階段。這種集約化經(jīng)營數(shù)據(jù)不斷集中的趨勢，從一方面來講是適應(yīng)銀行業(yè)務(wù)不斷發(fā)展的要求，但是從另一方面來講，卻使銀行信息系統(tǒng)的安全風(fēng)險也集中起來，增加了安全的隱患。具體來講基層銀行信息系統(tǒng)的安全隱患主要包括互聯(lián)網(wǎng)風(fēng)險和外部機構(gòu)風(fēng)險以及不信任網(wǎng)絡(luò)風(fēng)險和結(jié)構(gòu)內(nèi)部風(fēng)險，同時還包括災(zāi)難性的風(fēng)險等五種安全隱患。

2 基層銀行的信息系統(tǒng)安全規(guī)劃設(shè)計與實施的主要原則和等級劃分

2.1 基層銀行的信息系統(tǒng)安全規(guī)劃設(shè)計與實施的主要原則

銀行的信息系統(tǒng)安全是一個涉及到規(guī)劃與管理以及技術(shù)等很多因素的具有系統(tǒng)性的工程，其屬于一種不斷持續(xù)發(fā)展和動態(tài)發(fā)展的進程。對于基層銀行的信息系統(tǒng)安全規(guī)劃設(shè)計與實施來說。技術(shù)是實現(xiàn)安全保障的主體性因素，而管理是具備安全保障的靈魂性因素。在安全規(guī)劃與設(shè)計中，只有把具有科學(xué)性與合理性的管理貫徹落實在信息安全的維護之中，才能夠?qū)崿F(xiàn)網(wǎng)絡(luò)安全在穩(wěn)定性與長期性方面的保證。而銀行信息系統(tǒng)安全的具體原則主要包括了明確責(zé)任與安全保護并舉，依照標準和自行保護同時進行，同步建設(shè)與動態(tài)調(diào)整相互促進，指導(dǎo)監(jiān)督和重點保護齊頭并進四條原則。

2.2 關(guān)于基層銀行的信息系統(tǒng)安全等級的介紹

銀行信息系統(tǒng)的安全等級具體指的是對于國家級別的秘密信息和法人以及替他組織和公民專有的信息與公開的信息，同時還包括存儲和傳輸以及處理此類信息涉及到的信息系統(tǒng)的等級，對這些等級實施安全保護，對信息系統(tǒng)里面使用到的信息安全類產(chǎn)品進行一定安全等級的管理，對于信息系統(tǒng)里面出現(xiàn)的信息安全類事件需要分等級地進行回應(yīng)和處置。依據(jù)信息系統(tǒng)和信息對于國家的安全和經(jīng)濟建設(shè)以及社會生活所起作用的重要性，在其遭到破壞以后就國家安全和社會秩序以及公共利益和公民，還包括法人以及其他各種組織在合法權(quán)益方面的危害性來講，針對相關(guān)信息保密程度和完整程度以及實用性要求和信息系統(tǒng)所要達到的基本性安全保護的水準等因素，筆者總結(jié)出信息系統(tǒng)安全保護的五個等級：第一個等級是自主保護，第二個等級是指導(dǎo)保護，第三個等級是監(jiān)督保護，第四個等級是強制保護，第五個等級是?？乇Ｗo。

2.3 銀行信息系統(tǒng)安全等級的評估

在對銀行信息系統(tǒng)安全等級考量需要考慮到以下幾個因素：第一個因素是安全系統(tǒng)的類型，也就是信息系統(tǒng)安全利益的主體。第二個因素是信息系統(tǒng)所要處理業(yè)務(wù)信息的類別。第三個因素是信息系統(tǒng)服務(wù)的范圍，主要包括了其服務(wù)的對象與服務(wù)網(wǎng)絡(luò)所涉及到的范圍。第四個因素是信息系統(tǒng)業(yè)務(wù)依賴的程度，也就是手工作業(yè)可以替代信息系統(tǒng)進行業(yè)務(wù)處理的程度。

3 基層銀行的信息系統(tǒng)安全設(shè)計規(guī)劃和實施的主要內(nèi)容

3.1 基層銀行信息系統(tǒng)的安全體系和特點

基層銀行信息的安全體系主要包含安全管理的體系與安全技術(shù)的體系，這兩者對于銀行信息系統(tǒng)安全維護來說，是兩個不能分割的部分，通常情況下的技術(shù)與管理需要相互之間提供一定的支撐，以此來確保兩種功能的有效實現(xiàn)。對安全管理的體系進行構(gòu)建，其主要是出于信息系統(tǒng)里面各種角色的管理。以一種管理體系文檔化的形式，監(jiān)督和控制各種角色的種種活動，主要是在系統(tǒng)通常運行的維護工作過程中，主要涉及到各種政策和制度以及規(guī)范和流程，同時還包括日志方面的監(jiān)督與控制。這種安全管理體系的組成部分通常分為五個部分，主要是安全管理的組織與人員的安全管理，系統(tǒng)建設(shè)的安全管理，系統(tǒng)運維的安全管理以及安全審計的管理。就安全技術(shù)的體系來講，其主要功能是對信息系統(tǒng)提供技術(shù)安全類的機制設(shè)施，其實現(xiàn)形式是信息系統(tǒng)里面部署相應(yīng)的軟件與硬件，同時對其以正確的形式配置系統(tǒng)的安全功能，以此來實現(xiàn)。安全技術(shù)的體系組成部分也是五個部分，主要包括基礎(chǔ)設(shè)施的安全和網(wǎng)絡(luò)安全以及主機安全和應(yīng)用安全，同時還有數(shù)據(jù)的安全。

3.2 基層銀行的信息系統(tǒng)安全建設(shè)的方法論

依據(jù)國家標準的ISO17799/ISO27001中的信息安全維護的管理標準建立起信息安全的管理體系，其具體內(nèi)容主要包括以下幾個方面：

（1）計劃，也就是建立ISMS，對于ISMS的相關(guān)政策和控制的措施以及過程與流程實施和操作等。

（2）執(zhí)行，其主要是指實施和執(zhí)行ISMS，對ISMS政策與控制措施以及過程和流程的實施和操作等。

（3）查核，其主要是指監(jiān)督和審查ISMS，依照ISMS政策和目標及其實際的經(jīng)驗，用來評鑒和測量其過程的績效，同時把評鑒與測量的結(jié)果回饋給相應(yīng)的管理層，讓其審查。

（4）行動，其主要指的是維持和改進ISMS，依照內(nèi)部的ISMS稽核和管理層的審查以及其他相應(yīng)信息的結(jié)果采取對應(yīng)的校正和預(yù)防性措施，以便實現(xiàn)信息安全的管理系統(tǒng)的持續(xù)性改進。

3.3 基層銀行的信息系統(tǒng)安全規(guī)劃實施的主要內(nèi)容

基層銀行的信息系統(tǒng)安全規(guī)劃實施的主要內(nèi)容包括以下幾個方面：

（1）信息安全的組織建設(shè)。其主要是指在組織的內(nèi)部建立起跨部門式信息安全的協(xié)調(diào)與溝通的機制，為的是實現(xiàn)組織內(nèi)的信息安全管理，同時能夠識別和外部組織有關(guān)連的一類風(fēng)險，對信息安全的職責(zé)進行定義與分配，對于信息安全的工作進行定期評審。另外需要建立起專門負責(zé)信息安全的管理委員會，不斷地推動信息安全的規(guī)劃與實施，主要出發(fā)點是組織架構(gòu)層面，此機構(gòu)主要負責(zé)以下事項：對信息系統(tǒng)的安全保障的體系建設(shè)進行有力推動；周期性地評估與識別信息系統(tǒng)的安全保障體系；對商業(yè)秘密與技術(shù)秘密進行保護，對企業(yè)的利益進行維護；制定出合適的信息系統(tǒng)安全性發(fā)展策略，以此來提高銀行抵御風(fēng)險的能力。

（2）對于從業(yè)人員的安全管理。其主要是指對全體員工要加強安全防范的意識培養(yǎng)，加強與信息安全相關(guān)的管理知識的宣傳與普及，對各項安全管理的制度要積極地落實，集合全體員工的力量促進銀行信息的安全保障。人員的安全管理實現(xiàn)形式主要是教育和培訓(xùn)，期培訓(xùn)的方式主要分為三種，其一是涉及到管理層的安全意識的教育，此舉主要是針對管理層安全意識的教育和培訓(xùn)，幫助其了解國家信息安全的政策，同時提高其認識，進而能夠指導(dǎo)好安全建設(shè)的工作。其二是技術(shù)人員的安全技能類培訓(xùn)，此舉主要是讓其學(xué)習(xí)更多的安全管理的理論性與技術(shù)性知識，以便其可以有效地掌握相關(guān)安全管理的理念，掌握好安全產(chǎn)品的操作與維護以及對于安全事件的處理能力，對信息系統(tǒng)安全進行較好的維護。其三是普通員工安全意識的培養(yǎng)，此舉針對的是廣大的信息系統(tǒng)的用戶，對其進行安全培訓(xùn)，以此來增強其安全防范的意識，發(fā)揮集體的力量來維護系統(tǒng)安全。

（3）對于系統(tǒng)建設(shè)的管理，其主要是指信息安全要針對信息系統(tǒng)的集成項目和軟件開發(fā)的項目，對這些項目進行相應(yīng)的安全需求的分析與規(guī)劃，對于系統(tǒng)的開發(fā)需要對輸入的數(shù)據(jù)驗證和處理過程信息的完整性以及輸出數(shù)據(jù)進行確認，此舉是為了預(yù)防應(yīng)用系統(tǒng)的信息丟失和錯誤以及未授權(quán)信息的修改與誤用。其主要的保護手段是加密。

（4）對于系統(tǒng)運維的管理，其主要是指對信息系統(tǒng)日常操作與維護的管理要加強。逐步地建立與完善相關(guān)文檔化操作的流程和相應(yīng)規(guī)范變更的管理流程。同時實行職責(zé)分離和分離開發(fā)以及測試和生產(chǎn)環(huán)境，對于第三方的服務(wù)交付需要提出相應(yīng)的要求，以便確保其所提供服務(wù)符合相關(guān)協(xié)議要求。在系統(tǒng)的規(guī)劃方面，需要對未來容量與性能要求進行考慮，同時還要對相關(guān)項目建設(shè)進行驗收，驗收時要依照具體標準。對于數(shù)據(jù)備份的策略制定方面，需要確保相關(guān)信息的實用性與完整性。此外還包括對于移動介質(zhì)使用和處置方式的控制與管理。在與外部的組織進行信息交換時要確保其安全性能。此外還包括對于系統(tǒng)運行的監(jiān)控與管理系統(tǒng)的日志記錄工作和審核工作等。

（5）對于安全審計的管理，其主要的措施是建立起相關(guān)信息安全事故的報告流程和確保運用有效和持久的手段進行安全事故的管理。為了對信息系統(tǒng)符合相關(guān)法律規(guī)定進行確定，需要定期地進行相關(guān)信息安全的檢查工作和及時地發(fā)現(xiàn)安全隱患，同時要堅持改進。

（6）有關(guān)基礎(chǔ)設(shè)施的安全，其主要指的是機房環(huán)境與設(shè)備實體安全的保護，以防基礎(chǔ)設(shè)施出現(xiàn)非法使用和物理性破壞以及被偷盜的情況發(fā)生，并且要保障這些設(shè)備正常運行時需要的電源和溫度以及濕度和防水，同時還包括防塵等。技術(shù)設(shè)施的安全規(guī)劃主要包括以下內(nèi)容：中心機房與及其基礎(chǔ)的設(shè)施的環(huán)境建設(shè)需要做好，具有防雷電的完整設(shè)施，同時還包括防電磁干擾的設(shè)施完備。主機房的電源需要設(shè)置雙回路的備份機制等。

（7）對于信息系統(tǒng)中涉及到的網(wǎng)絡(luò)安全問題。網(wǎng)絡(luò)安全主要是以硬件和軟件等形式實現(xiàn)數(shù)據(jù)和語音以及圖像和傳真網(wǎng)絡(luò)傳輸時的安全保障，對安全域與安全區(qū)間的網(wǎng)絡(luò)通訊私密性與完整性以及可靠性要進行提高。網(wǎng)絡(luò)安全規(guī)劃的主要內(nèi)容包括：建立與完善網(wǎng)絡(luò)防火墻的安全體系建設(shè)，對安全區(qū)域?qū)嵭懈綦x，對網(wǎng)絡(luò)安全的策略進行強化，監(jiān)控和審計網(wǎng)絡(luò)的訪問，以防內(nèi)部信息出現(xiàn)外泄情形。其具體措施包括以下幾個方面：其一是對IIPS入侵的檢測系統(tǒng)進行建立和完善，以特定檢測技術(shù)來識別各種惡意攻擊行為，同時及時的對其攻擊行為進行阻斷，以確保網(wǎng)絡(luò)的安全；其二是運用VLAN對網(wǎng)絡(luò)進行劃分，對于不同的網(wǎng)絡(luò)安全區(qū)域進行隔離；其三是以物理級和網(wǎng)絡(luò)級以及系統(tǒng)級等認證手段對網(wǎng)絡(luò)用戶的訪問權(quán)限實時控制，以便確認出使用者權(quán)限及其身份。其四是對于網(wǎng)絡(luò)日志進行管理的記錄，以此來保證網(wǎng)絡(luò)安全具有審計性。其五是以SSL的安全聯(lián)結(jié)機制來保證外部WEB的鏈接安全，比如說網(wǎng)上銀行等。

（8）基層銀行安全信息系統(tǒng)規(guī)劃中涉及到主機的安全，主機系統(tǒng)安全的目標是對主機平臺的系統(tǒng)優(yōu)質(zhì)高效的運行進行保障，以防主機系統(tǒng)會遭受到外部與內(nèi)部破壞或者濫用，同時避免與降低因為主機系統(tǒng)問題而造成的影響，主要針對的是業(yè)務(wù)系統(tǒng)，另外還需要對訪問的控制與安全審計進行協(xié)助應(yīng)用。其主要規(guī)劃內(nèi)容包括對主機系統(tǒng)的安全管理進行完善，對賬戶系統(tǒng)的管理要嚴格化，對系統(tǒng)服務(wù)要實現(xiàn)有效控制，對系統(tǒng)安全配置進行優(yōu)化。

4 結(jié)束語

通過上述分析，我們可以看到現(xiàn)帶信息技術(shù)給人們生活帶便利的同時，也給基層銀行信息系統(tǒng)的安全設(shè)計規(guī)劃和實施帶來了挑戰(zhàn)，本文提出了一些相應(yīng)的舉措，但是還遠遠不夠，還需要在安全實踐中不斷摸索，不斷改進，不斷適應(yīng)新的銀行信息風(fēng)險，保障銀行信息系統(tǒng)的安全運行。

參考文獻：

[1]邱安生.商業(yè)銀行信息系統(tǒng)安全保障體系的設(shè)計和實現(xiàn)[D].電子科技大學(xué)，2011.

[2]傅志勇.國家開發(fā)銀行企業(yè)銀行信息系統(tǒng)安全解決方案設(shè)計與實現(xiàn)[D].山東大學(xué)，2008.

[3]趙立洋.商業(yè)銀行信息系統(tǒng)安全審計問題研究[D].天津財經(jīng)大學(xué)，2009.

[4]龍延軍.國家開發(fā)銀行信息系統(tǒng)安全總體方案設(shè)計[D].四川大學(xué)，2004.

[5]高朝勤.信息系統(tǒng)等級保護中的多級安全技術(shù)研究[D].北京工業(yè)大學(xué)，2012.

[6]劉嘉.基于綜合判定分析的信息系統(tǒng)安全檢驗技術(shù)研究[D].北京郵電大學(xué)，2011.

[7]楊峰.商業(yè)銀行IT風(fēng)險識別與評估研究[D].電子科技大學(xué)，2012.

篇7

關(guān)鍵詞：等級保護；方案；設(shè)計

中圖分類號：TP393.08 文獻標識碼：A文章編號：1007-9599 (2011) 14-0000-01

Several Issues of the Level Protection Design

Qian Weixing

(People's Bank of China Branch in Suzhou City,Suzhou215011,China)

Abstract:The idea of understanding and other insurance,through insurance and other basic requirements of the specific content analysis,and other security technologies from the core,the terminal protection and security arrangements and other aspects were discussed,and the formation of a building security program design ideas,steps and areas of concern.

Keywords:Level protection;Program;Design

引言：人民銀行作為央行，負責(zé)協(xié)調(diào)和指導(dǎo)金融業(yè)信息安全，正在開展有關(guān)符合金融業(yè)的等保標準的制訂及自身等保的設(shè)計和實施，并且在信息安全的指導(dǎo)和監(jiān)管過程中引用等報作為相關(guān)依據(jù)已經(jīng)勢在必行。因此，作為基層央行的科技部門，在實際工作中，如何編寫一個適合本單位實際情況又符合等保要求的解決方案，我覺得應(yīng)該特別關(guān)注以下幾點。

一、等保的核心思想是不同業(yè)務(wù)系統(tǒng)分等級進行保護

它根據(jù)信息系統(tǒng)的重要性和受破壞后的危害性，將信息系統(tǒng)劃分成不同的等級，不同等級有著不同的保護要求。系統(tǒng)越重要，受破壞后危害越大，則系統(tǒng)的安全等級就越高，保護的要求也就越高。等保不是“二級系統(tǒng)要有防火墻，三級系統(tǒng)要有IPS，四級系統(tǒng)要加密?！?/p>

等保涵蓋了信息安全的方方面面，希望通過一次性安全建設(shè)就可以實現(xiàn)等保合規(guī)是不現(xiàn)實的。一次性的安全建設(shè)只能為等保合規(guī)提供基本的條件，徹底的等保合規(guī)需要在系統(tǒng)日常運維等方面做大量認真細致的工作。因此，筆者覺得應(yīng)該從等保的思想來源和基本要求入手，結(jié)合行業(yè)特點深入分析以后，找到等保建設(shè)的要點，以等保建設(shè)要點為基礎(chǔ)，形成全局視角，然后在全局視角下形成方案框架，并最終形成建設(shè)方案。

二、等保內(nèi)容可以分為管理要求和技術(shù)要求

在等保基本要求中，網(wǎng)絡(luò)安全、主機安全和應(yīng)用安全等部分都提出了類似的安全要求（如訪問控制）。但是，對不同層次的類似要求是分別實現(xiàn)，還是在一個安全設(shè)備上統(tǒng)一實現(xiàn)，又或者結(jié)合安全設(shè)備和服務(wù)器以及應(yīng)用系統(tǒng)的策略配置來綜合實現(xiàn)，并沒有做具體的規(guī)定。這需要結(jié)合實際，具體分析而定。

因此，筆者以為，除了物理安全是個相對獨立的部分，可以單獨設(shè)計外，應(yīng)著眼實現(xiàn)等保合規(guī)的統(tǒng)一安全技術(shù)框架，在此框架之上，通過各種安全策略配置或者其它安全管理手段實現(xiàn)各種安全目標，核心就是將安全策略與設(shè)備部署分開，一個設(shè)備可能需要實現(xiàn)很多種不同目的的安全策略，而一個具體的安全策略也可能會在不同的設(shè)備上實現(xiàn)。

三、等保的核心思想是不同業(yè)務(wù)系統(tǒng)分等級保護

其基本要求的內(nèi)容是對某一個具體的業(yè)務(wù)系統(tǒng)的安全要求，而實際網(wǎng)絡(luò)中不可能只有一個業(yè)務(wù)系統(tǒng)，對于多個業(yè)務(wù)系統(tǒng)，會有不同的安全級別，完全的獨立保護是不現(xiàn)實的。一方面，業(yè)務(wù)系統(tǒng)之間必然存在數(shù)據(jù)共享和交互，否則就是一個一個的信息孤島，與信息化建設(shè)的基本目標背道而馳。另一方面，各自獨立保護所需要付出的代價也是巨大的，遠遠超出了實際承受能力。

解決這一矛盾的手段是分域保護，除安全級別特別高的業(yè)務(wù)系統(tǒng)需要與其他系統(tǒng)進行物理隔離，單獨保護之外，可以將其它不同的業(yè)務(wù)系統(tǒng)劃分在不同的安全域中分別保護。安全域應(yīng)采用縱向結(jié)構(gòu)，應(yīng)包含某一業(yè)務(wù)所需要的終端、網(wǎng)路、服務(wù)器、存儲等全部內(nèi)容。不同的安全域之間進行邏輯上的隔離，分別予以保護。同時，各個安全域共享統(tǒng)一的基礎(chǔ)網(wǎng)絡(luò)架構(gòu)，以實現(xiàn)互聯(lián)互通并降低整體投資。

每個邏輯網(wǎng)絡(luò)都應(yīng)該具有獨立的資源、網(wǎng)絡(luò)帶寬與QoS保證等。同時，需要設(shè)計共享MPLS VPN等手段，以保證業(yè)務(wù)系統(tǒng)之間的互聯(lián)互通。

根據(jù)終端需要同時處理多業(yè)務(wù)的特性，最佳的處理方式應(yīng)該為動態(tài)授權(quán)與保護，即根據(jù)其當(dāng)前所處理的業(yè)務(wù)的安全等級來動態(tài)的確定安全保護強度。可采用部署準入控制（802.1x或Portal）作為具體實現(xiàn)，在終端接入時實現(xiàn)對終端的認證和安全檢查，并根據(jù)認證和檢查的結(jié)果將終端動態(tài)劃分到某一安全域中。

四、通過上述設(shè)計以后，我們可以得到一個技術(shù)框架，并形成了基礎(chǔ)的網(wǎng)絡(luò)承載，它可以滿足等保最基本的出發(fā)點――不同業(yè)務(wù)系統(tǒng)分等級保護

而在等保建設(shè)中具體應(yīng)用的安全保護手段，與一般性的安全建設(shè)不會有本質(zhì)的區(qū)別。如通過防火墻進行訪問控制；通過IPS對L4到L7層威脅進行全面的深度防御；通過VPN/加密機實現(xiàn)加密訪問；通過CA系統(tǒng)實現(xiàn)認證與授權(quán)等等，依然是等保建設(shè)中需要采用的具體技術(shù)手段。我們只需要將自身現(xiàn)狀與等保規(guī)范進行對比，找到薄弱環(huán)節(jié)后提煉出技術(shù)需求，再根據(jù)技術(shù)需求匯總出產(chǎn)品部署需求即可。

篇8

信息安全的總需求是邊界安全、網(wǎng)絡(luò)安全、主機安全、終端安全、應(yīng)用安全和數(shù)據(jù)安全的最終目標，是確保信息機密性、完整性、可用性、可控性和抗抵賴性，以及企業(yè)對信息資源的控制［1］。2009年福建公司開展了等級保護工作，結(jié)合今年福建公司安全防護體系建設(shè)和等保測評成果，證明信息安全防護重點在于管理?，F(xiàn)代企業(yè)管理實踐也證明，任何工作均是3分技術(shù)，7分管理。電網(wǎng)企業(yè)信息安全工作也不例外，技術(shù)只是最基本的手段，規(guī)范、科學(xué)的管理才是發(fā)展根本的保障［2］。

2信息安全防護體系設(shè)計

2.1信息安全防護體系總體框架

在對多種信息安全防護體系進行研究分析后，參照ISO/27001信息安全管理標準，根據(jù)國家電網(wǎng)公司電網(wǎng)信息安全等級保護“雙網(wǎng)雙機、分區(qū)分域、等級防護、多層防御”原則，提出電網(wǎng)企業(yè)的信息安全防護體系框架。電網(wǎng)企業(yè)信息安全防護體系建設(shè)可從管理和技術(shù)層面進行［3］。該體系框架根據(jù)規(guī)劃設(shè)計、開發(fā)測試、實施上線、運行維護、系統(tǒng)使用和廢棄下線6個環(huán)節(jié)的信息系統(tǒng)生命周期特征制定全過程安全管理;從物理、邊界、網(wǎng)絡(luò)、主機、終端、應(yīng)用、數(shù)據(jù)7個方面制定全方位的技術(shù)防護措施。

2.2信息安全防護管理體系設(shè)計

電網(wǎng)企業(yè)信息安全在信息系統(tǒng)建設(shè)、運行、維護、管理的全過程中，任何一個環(huán)節(jié)的疏漏均有可能給信息系統(tǒng)帶來危害。根據(jù)信息系統(tǒng)全生命周期，從規(guī)劃設(shè)計、開發(fā)測試、實施上線、運行維護、系統(tǒng)使用和廢棄下線6個環(huán)節(jié)，設(shè)計覆蓋信息安全管理、運行、監(jiān)督、使用職責(zé)的安全管控流程［3－4］。

2.2.1網(wǎng)絡(luò)與信息系統(tǒng)安全管理

網(wǎng)絡(luò)與信息系統(tǒng)是企業(yè)現(xiàn)代化管理的重點。由于網(wǎng)絡(luò)與信息系統(tǒng)的動態(tài)性、復(fù)雜性和脆弱性，建立健全的信息安全管理體系已成為了保障網(wǎng)絡(luò)與信息系統(tǒng)安全的重要手段。網(wǎng)絡(luò)與信息系統(tǒng)的安全管理依照國家電網(wǎng)公司制定的《國家電網(wǎng)公司信息網(wǎng)絡(luò)運行管理規(guī)程(試行)》，遵循信息安全等級保護“雙網(wǎng)雙機、分區(qū)分域、等級防護、多層防御”的原則。

2.2.2人員安全管理與崗位職責(zé)管理

安全問題的特點為“3分技術(shù)、7分管理”，而管理的核心是人，對于人員安全管理與崗位職責(zé)管理其主要包含如下管理內(nèi)容:(1)崗位職責(zé)。制定崗位責(zé)任書，明確各崗位信息安全責(zé)任。(2)持證上崗。安全工作人員持證上崗。(3)保密管理。與員工簽訂保密協(xié)議，并定期進行檢查與考核。(4)安全培訓(xùn)。對員工進行定期安全培訓(xùn)。(5)離職管理。對離崗離職人員賬號、權(quán)限及信息資產(chǎn)進行清理和移交。

2.2.3全過程安全管理

(1)系統(tǒng)規(guī)劃設(shè)計安全管理的主要內(nèi)容包括:1)分析和確認系統(tǒng)安全需求。2)確定系統(tǒng)安全保護等級并備案。3)制定安全防護方案并進行評審。(2)系統(tǒng)研發(fā)安全管理的主要內(nèi)容包括:1)制訂研發(fā)安全管理機制，確保開發(fā)全過程信息安全。2)加強開發(fā)環(huán)境安全管理，與實際運行環(huán)境及辦公環(huán)境安全隔離。3)嚴格按照安全防護方案進行安全功能開發(fā)并定期進行審查。4)定期對研發(fā)單位環(huán)境和研發(fā)管理流程進行安全督查。(3)系統(tǒng)實施與上線安全管理的主要內(nèi)容包括:1)嚴格按照設(shè)計方案對網(wǎng)絡(luò)、主機、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等進行安全配置。2)嚴格遵循各項操作規(guī)程，避免誤操作。3)組織安全測評機構(gòu)進行上線環(huán)境安全測評。4)及時對系統(tǒng)試運行期間發(fā)現(xiàn)的安全隱患進行整改。(4)系統(tǒng)運行維護安全管理的主要內(nèi)容包括:1)遵循運維安全規(guī)程，執(zhí)行各項運維操作。2)對系統(tǒng)安全運行狀況進行實時監(jiān)控，及時采取預(yù)警和應(yīng)急處置措施。3)定期進行安全風(fēng)險評估、等級保護測評與整改。4)建立系統(tǒng)漏洞補丁的安全測試、分發(fā)和安裝管理機制。5)根據(jù)數(shù)據(jù)重要性進行數(shù)據(jù)備份，并定期進行恢復(fù)測試。(5)系統(tǒng)使用安全管理的主要內(nèi)容包括:1)終端準入控制，對各種移動作業(yè)、采集、專控等終端進行安全測評。2)終端外聯(lián)控制，禁止終端跨網(wǎng)絡(luò)接入。3)系統(tǒng)賬號和權(quán)限管理，對系統(tǒng)使用人員及其權(quán)限進行嚴格管理。4)終端使用管理，防止終端交叉使用、用戶越權(quán)訪問等。5)終端數(shù)據(jù)存儲、處理時的安全保護。6)對移動存儲介質(zhì)的安全管理。7)終端維修管理，由運維機構(gòu)統(tǒng)一處理。8)終端下線、報廢時的安全管理，對終端數(shù)據(jù)進行安全處理。(6)系統(tǒng)廢棄下線安全管理的主要內(nèi)容包括:1)評估系統(tǒng)下線對其它系統(tǒng)的安全性影響，制定下線方案并進行評審。2)系統(tǒng)下線前對重要數(shù)據(jù)進行備份和遷移。3)系統(tǒng)下線后對不再使用的數(shù)據(jù)與存儲介質(zhì)進行銷毀或安全處理。4)系統(tǒng)下線后及時進行備案。

2.2.4系統(tǒng)測試評估安全機制與評價考核

信息系統(tǒng)建成后必須經(jīng)過試運行并對系統(tǒng)的安全性、可靠性和應(yīng)急措施進行全面測試，測試和試運行通過后方可投入正式運行，信息安全風(fēng)險評估包括資產(chǎn)評估、威脅評估、脆弱性評估、現(xiàn)有安全措施評估、風(fēng)險計算和分析、風(fēng)險決策和安全建議等評估內(nèi)容。安全管理機制的主要內(nèi)容包括:事件管理、安全督查、等保管理、備案管理，應(yīng)急管理等。

3信息安全防護體系

電網(wǎng)企業(yè)信息安全防護體系的設(shè)計［5］，主要從物理、邊界、網(wǎng)絡(luò)、主機、終端、應(yīng)用、數(shù)據(jù)7個方面進行，遵循環(huán)境分離、安全分域、網(wǎng)絡(luò)隔離、終端準入、補丁加固、數(shù)據(jù)分級、安全接入、基線配置、應(yīng)用審計、密鑰應(yīng)用等技術(shù)原則，輔以相應(yīng)的技術(shù)措施實現(xiàn)全面的安全防護［6］。

3.1物理安全

物理環(huán)境分為室內(nèi)物理環(huán)境和室外物理環(huán)境，根據(jù)設(shè)備部署安裝位置的不同，選擇相應(yīng)的防護措施。室內(nèi)機房物理環(huán)境安全需滿足對應(yīng)信息系統(tǒng)安全等級的等級保護物理安全要求，室外設(shè)備物理安全需滿足國家要求。具體安全措施如下:(1)機房分區(qū)、門禁等準入控制。(2)設(shè)備物理安全需滿足國家對于防盜、電氣、環(huán)境、噪音、電磁、機械結(jié)構(gòu)、銘牌、防腐蝕、防火、防雷、電源等要求。(3)機柜/機箱應(yīng)避免可能造成的人身安全隱患，符合安裝設(shè)備的技術(shù)需求。(4)機柜/機箱外應(yīng)設(shè)有警告標記，并能進行實時監(jiān)控，在遭受破壞時能及時通知監(jiān)控中心。(5)研發(fā)場所分離并采取準入控制

3.2邊界安全

邊界安全防護目標是使邊界的內(nèi)部不受來自外部的攻擊，同時也用于防止惡意的內(nèi)部人員跨越邊界對外實施攻擊，或外部人員通過開放接口、隱蔽通道進入內(nèi)部網(wǎng)絡(luò);在發(fā)生安全事件前期能夠通過對安全日志及入侵檢測事件的分析發(fā)現(xiàn)攻擊企圖，安全事件發(fā)生后可以提供入侵事件記錄以進行審計追蹤。

3.3網(wǎng)絡(luò)安全

網(wǎng)絡(luò)環(huán)境安全防護的目標是防范惡意人員通過網(wǎng)絡(luò)對網(wǎng)絡(luò)設(shè)備和業(yè)務(wù)系統(tǒng)進行攻擊和信息竊取，在安全事件發(fā)生前可以通過集中的日志審計、入侵檢測事件分析等手段，以及對信息內(nèi)外網(wǎng)網(wǎng)絡(luò)、終端以及防護設(shè)備等安全狀態(tài)的感知和監(jiān)測，實現(xiàn)安全事件的提前預(yù)警;在安全事件發(fā)生后可以通過集中的事件審計系統(tǒng)及入侵檢測系統(tǒng)進行事件追蹤、事件源定位，及時制定相應(yīng)的安全策略防止事件再次發(fā)生;并能實現(xiàn)事后審計，對惡意行為和操作的追查稽核、探測入侵、重建事件和系統(tǒng)條件，生成問題報告。

3.4主機安全

主機系統(tǒng)安全的目標是采用信息保障技術(shù)確保業(yè)務(wù)數(shù)據(jù)在進入、離開或駐留服務(wù)器時保持可用性、完整性和保密性，采用相應(yīng)的身份認證、訪問控制等手段阻止未授權(quán)訪問，采用主機防火墻、入侵檢測等技術(shù)確保主機系統(tǒng)的安全，進行事件日志審核以發(fā)現(xiàn)入侵企圖，在安全事件發(fā)生后通過對事件日志的分析進行審計追蹤，確認事件對主機的損害程度以進行后續(xù)處理。

3.5終端安全

終端安全防護目標是確保智能電網(wǎng)業(yè)務(wù)系統(tǒng)終端、信息內(nèi)外網(wǎng)辦公計算機終端以及接入信息內(nèi)、外網(wǎng)的各種業(yè)務(wù)終端的安全。目前重點終端類型包括:(1)配電網(wǎng)子站終端。(2)信息內(nèi)、外網(wǎng)辦公計算機終端。(3)移動作業(yè)終端。(4)信息采集類終端。對于各種終端，需要根據(jù)具體終端的類型、應(yīng)用環(huán)境以及通信方式等選擇適宜的防護措施。

3.6應(yīng)用安全

按照國家信息安全等級保護的要求，根據(jù)確定的等級，部署身份鑒別及訪問控制、數(shù)據(jù)加密、應(yīng)用安全加固、應(yīng)用安全審計、剩余信息保護、抗抵賴、資源控制、等應(yīng)用層安全防護措施。

3.7數(shù)據(jù)安全

對數(shù)據(jù)的安全防護分為數(shù)據(jù)的災(zāi)難恢復(fù)、域內(nèi)數(shù)據(jù)接口安全防護和域間數(shù)據(jù)接口安全防護。域內(nèi)數(shù)據(jù)接口是指數(shù)據(jù)交換發(fā)生在同一個安全域的內(nèi)部，由于同一個安全域的不同應(yīng)用系統(tǒng)之間需要通過網(wǎng)絡(luò)共享數(shù)據(jù)，而設(shè)置的數(shù)據(jù)接口;域間數(shù)據(jù)接口是指發(fā)生在不同的安全域間，由于跨安全域的不同應(yīng)用系統(tǒng)間需要交換數(shù)據(jù)而設(shè)置的數(shù)據(jù)接口。

4結(jié)束語

篇9

建立健全廣電網(wǎng)絡(luò)安全防御體系

1廣電網(wǎng)絡(luò)特征

（1）我國廣電網(wǎng)絡(luò)發(fā)展正處于數(shù)字電視及模擬電視轉(zhuǎn)型階段，且廣電網(wǎng)絡(luò)正處于轉(zhuǎn)型期，除此以外，我國網(wǎng)絡(luò)安全投資經(jīng)費遠遠不能夠滿足實際需要；（2）我國網(wǎng)絡(luò)管理機制不健全、管理人員專業(yè)技能及綜合素養(yǎng)普遍不高，且我國網(wǎng)絡(luò)管理手段大多為管理性能不高的局部管理軟件或網(wǎng)絡(luò)設(shè)備廠家免費贈送的網(wǎng)絡(luò)管理軟件；（3）我國網(wǎng)絡(luò)安全與系統(tǒng)建設(shè)不成熟，尚處于發(fā)展的低級階段，且安全集中式管理模式基本缺失，這對于我國廣電網(wǎng)絡(luò)安全均造成了不少的安全隱患。

2立體網(wǎng)絡(luò)安全防御體系結(jié)構(gòu)層次

隨著技術(shù)的發(fā)展及廣電網(wǎng)絡(luò)安全意識的提高，立體安全防御體系建立被得到深入發(fā)展，這為提高廣電網(wǎng)絡(luò)安全防御性能發(fā)揮著巨大的作用。立體安全防御體系主要分為安全管理系統(tǒng)、安全防護系統(tǒng)及安全監(jiān)理系統(tǒng)等三大部分。在整個網(wǎng)絡(luò)安全體系中，安全監(jiān)控系統(tǒng)扮演著中樞系統(tǒng)的角色。安全監(jiān)控系統(tǒng)重點功能模塊包括安全策略管理模塊、安全知識庫及報表模塊、用戶權(quán)限管理模塊、安全預(yù)警管理、安全事件流程管理模塊、風(fēng)險評估模塊、安全區(qū)域管理模塊、安全資產(chǎn)管理模塊、安全信息監(jiān)控管理模塊、安全事件智能關(guān)聯(lián)及分析模塊、安全事件采集模塊、安全知識學(xué)習(xí)平臺模塊。就防護級別而言，安全防護系統(tǒng)涉及的模塊包括：（1）專控保護區(qū)域：多路供配電系統(tǒng)、攻擊防護模塊、空氣調(diào)節(jié)及通風(fēng)控制、數(shù)據(jù)訪問控制、防火及火警探測、系統(tǒng)訪問控制、水患及水浸控制、系統(tǒng)日志控制、物理出入控制、密碼管理控制、定期衛(wèi)生及清潔控制、認證及識別系統(tǒng)、設(shè)數(shù)據(jù)訪問控制、備及介質(zhì)控制；（2）強制保護區(qū)域：不間斷供電系統(tǒng)、攻擊防護模塊、多路供配電系統(tǒng)、漏洞管理和修補、空氣調(diào)節(jié)及通風(fēng)控制、激活業(yè)務(wù)控制、防火及火警探測、程序開發(fā)控制、水患及水浸控制、系統(tǒng)更改控制、物理出入控制、病毒防護模塊、數(shù)據(jù)訪問控制、定期衛(wèi)生及清潔控制、系統(tǒng)訪問控制、系統(tǒng)日志控制、設(shè)備及介質(zhì)控制；（3）監(jiān)督保護區(qū)域：多路供配電系統(tǒng)、密鑰管理模塊、空氣調(diào)節(jié)及通風(fēng)控制、攻擊防護模塊、防火及火警探測、漏洞管理和修補、水患及水浸控制、激活業(yè)務(wù)控制、物理出入控制、系統(tǒng)更改控制、定期衛(wèi)生及清潔控制、病毒防護模塊、設(shè)備及介質(zhì)控制、數(shù)據(jù)訪問控制、系統(tǒng)訪問控制、系統(tǒng)日志控制；（4）指導(dǎo)保護區(qū)：物理出入控制、密碼管理控制、定期衛(wèi)生及清潔控制、漏洞管理和修補、設(shè)備及介質(zhì)控制、激活業(yè)務(wù)控制、系統(tǒng)訪問控制、系統(tǒng)更改控制、病毒防護模塊、數(shù)據(jù)訪問控制；（5）一般保護區(qū)：系統(tǒng)訪問控制、用戶行為管理模塊、數(shù)據(jù)訪問控制、漏洞管理和修補、病毒防護模塊；（6）安全管理系統(tǒng)：安全技術(shù)及設(shè)備管理、部門與人員組織規(guī)則、安全管理制度等。

工程實例

南京廣電網(wǎng)絡(luò)屬于復(fù)雜網(wǎng)絡(luò)結(jié)合體，其涵蓋了三個物理結(jié)構(gòu)，即MSTP傳輸網(wǎng)、IP傳輸網(wǎng)、HFC網(wǎng)，且該網(wǎng)絡(luò)系統(tǒng)包含的系統(tǒng)及部門眾多。

1安全監(jiān)控系統(tǒng)

南京廣電公司堅持“分級監(jiān)控體系”原則，即公司層面設(shè)安全監(jiān)控中心，各部門設(shè)子系統(tǒng)監(jiān)控分中心。網(wǎng)絡(luò)監(jiān)控系統(tǒng)對網(wǎng)絡(luò)系統(tǒng)內(nèi)各主要鏈路狀態(tài)及主要節(jié)點設(shè)備進行實時監(jiān)控，且構(gòu)建了緊急事件相應(yīng)流程及自動報警機制，并對管理漏洞、網(wǎng)絡(luò)配置及未授權(quán)行為進行嚴格檢測，此外，如實保存并審計相關(guān)安全事件及異常事件日志（見下圖）。

2安全防護體系

南京廣電公司于安全防護體系之上始終堅持“分級防護“原則?；谛畔①Y產(chǎn)及業(yè)務(wù)系統(tǒng)重要性的不同，安全防護體系被劃分為五大保護等級。信息安全等級保護工作應(yīng)堅持“分類指導(dǎo)、分級負責(zé)、分步實施、突出重點”原則；遵循“誰運營-誰負責(zé)、誰主管-誰負責(zé)”要求。防護體系架構(gòu)：安全防護體系層次模型被劃分為縱向及橫向兩個層面相結(jié)合安全防護體系，該安全防護系統(tǒng)有助于對廣電網(wǎng)絡(luò)各系統(tǒng)及系統(tǒng)各層次進行安全全面而系統(tǒng)地把握。就橫向管理體系（見下圖一）而言，考慮的核心在于對安全數(shù)據(jù)進行集中式監(jiān)控及處理，并以等級保護相關(guān)規(guī)范為根據(jù)，對各系統(tǒng)不同等級安全保護域加以確定；就縱向管理體系（見圖二）而言，考慮的核心在于以系統(tǒng)ISO七層體系模型為參考依據(jù)，監(jiān)控并管理各系統(tǒng)各層次。

安全防護體系層次劃分標準：橫向?qū)哟螛藴剩簞澐謾M向?qū)哟伟踩驊?yīng)該以國家系統(tǒng)等級保護標準格式為依據(jù)，并基于企業(yè)系統(tǒng)程度，將廣電網(wǎng)絡(luò)定義為五大保護等級，且以保護等級為依據(jù)將網(wǎng)絡(luò)體系劃分為安全域；縱向?qū)哟螛藴剩嚎v向?qū)哟蝿澐謽藴蕬?yīng)以ISO七層網(wǎng)絡(luò)模型為參考依據(jù)，具體劃分標準包括物理層安全防護（環(huán)境安全、設(shè)備安全、介質(zhì)安全）、系統(tǒng)層安全防護、網(wǎng)絡(luò)層安全防護、安全管理（安全技術(shù)及設(shè)備管理、部門及人員組織規(guī)則、安全管理制度）。

篇10

動聯(lián)作為中央國家機關(guān)政府集中采購入圍企業(yè)，同時也是上海市高新技術(shù)企業(yè)、軟件企業(yè)、商用密碼產(chǎn)品生產(chǎn)定點單位和銷售單位、ISO9001國際質(zhì)量體系和ISO27001信息安全管理體系認證企業(yè)，產(chǎn)品擁有“計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證”、“商用密碼產(chǎn)品型號證書”、“信息系統(tǒng)安全產(chǎn)品認證”、“軍用信息安全產(chǎn)品認證證書”、“產(chǎn)品信息安全認證證書”等完善的資質(zhì)，并獲得數(shù)十項發(fā)明專利和實用新型專利。產(chǎn)品主要應(yīng)用領(lǐng)域有：為企業(yè)、政府、金融、電信、教育、公共的IT信息系統(tǒng)如計算機主機、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、中間件、數(shù)據(jù)庫、OA、ERP、SCM、CRM等應(yīng)用軟件提供登錄保護，滿足國家《信息安全等級保護條例》等政策性要求，為客戶提供安全又方便的動態(tài)密碼身份安全保護服務(wù)。目前動聯(lián)的客戶已經(jīng)覆蓋了中國主要的銀行、證券、政府、電信、公共事業(yè)部門和電力、汽車、零售、設(shè)備制造、軟件的著名品牌。

動聯(lián)身份認證產(chǎn)品

動聯(lián)動態(tài)密碼身份認證軟件是由動聯(lián)自主研發(fā)的一種安全可靠、簡單易用的身份認證軟件。該軟件基于動態(tài)密碼技術(shù)，采用雙因素認證機制，可以為網(wǎng)絡(luò)設(shè)備登錄（如IT設(shè)備的賬號）、操作系統(tǒng)登錄（如Windows、Linux、Unix等）、各種信息系統(tǒng)應(yīng)用軟件登錄（如OA 、ERP、CRM、SCM等）以及各類Web應(yīng)用賬號登錄提供高強度的身份認證保護，保障信息系統(tǒng)和業(yè)務(wù)系統(tǒng)的安全。

動聯(lián)動態(tài)密碼身份認證軟件支持多種動態(tài)密碼認證技術(shù)形式，為用戶的賬號提供全面的保護。通過動態(tài)密碼保護賬號，可以有效防止盜號木馬攻擊；通過主機認證，可以有效防止網(wǎng)絡(luò)釣魚；通過簽名動態(tài)密碼，可以有效保護用戶交易的真實性和安全性，防止中間人攻擊。動聯(lián)身份認證軟件支持多種的動態(tài)密碼認證終端，并支持多種終端混合使用。支持的終端形式包括多種品牌的多個型號的硬件動碼令、軟件動碼令、手機動碼令、SIM動碼令和短信動碼令等。客戶可以根據(jù)自己的實際需求和預(yù)算選擇適合自己的認證終端。

動聯(lián)身份認證軟件具備極高的性能，只需采用一套動聯(lián)身份認證軟件就可以為企業(yè)主要信息資產(chǎn)提供全面的動態(tài)密碼保護，保護的范圍包括多個應(yīng)用系統(tǒng)、VPN訪問、大型數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、服務(wù)器和計算機終端。

動聯(lián)提供全面的接口調(diào)用，包括Socket方式（可提供Jar包、動態(tài)鏈接庫或Socket編程方式）、支持WebServices，支持Radius協(xié)議。與應(yīng)用系統(tǒng)的集成開發(fā)極為方便，在實際的應(yīng)用案例中，往往1～3天內(nèi)即可完成。

動碼令用戶終端

動聯(lián)電子政務(wù)身份認證解決方案是動聯(lián)結(jié)合電子政務(wù)的實際需求，采用動態(tài)密碼認證機制來鑒別用戶的身份合法性。只允許提供了動態(tài)密碼的用戶接入系統(tǒng)，最大程度地保證登錄用戶確實為授權(quán)的個體，大大降低了攻擊和非法訪問的風(fēng)險。

完全兼容現(xiàn)有電子政務(wù)系統(tǒng)的基礎(chǔ)認證體系，包括公務(wù)員內(nèi)部辦公認證、外部公眾身份認證等。在認證過程中，不影響電子政務(wù)系統(tǒng)的原業(yè)務(wù)邏輯，與電子政務(wù)系統(tǒng)應(yīng)用服務(wù)器之間的通信過程中采取雙向身份認證的機制，能夠保證整個認證過程不被繞過。

動聯(lián)電子政務(wù)解決方案符合國家“信息安全等級保護條例”等政策性要求，從物理安全、網(wǎng)絡(luò)安全、主機系統(tǒng)安全、應(yīng)用安全等各方面提供了身份鑒別保護，幫助政府提高政務(wù)工作的效率，提升電子政務(wù)系統(tǒng)的安全等級。

網(wǎng)上銀行解決方案

隨著我國銀行業(yè)及網(wǎng)絡(luò)技術(shù)的發(fā)展，各大銀行分別推出不同的網(wǎng)銀業(yè)務(wù)，網(wǎng)上銀行已經(jīng)越來越普遍地出現(xiàn)在我們的生活之中。網(wǎng)上銀行的安全隨著業(yè)務(wù)普及，逐漸就成為人們關(guān)注的焦點，隨之而來的安全需求被銀行提上議程。

某銀行網(wǎng)上銀行面臨的風(fēng)險來自如下方面：假銀行網(wǎng)站欺詐，騙取用戶賬號及密碼信息；通過種植木馬等程序進行密碼竊取。為保障網(wǎng)銀用戶的安全，該行采用了數(shù)字證書作為保障用戶登錄安全的主要手段。但是由于使用數(shù)字證書需要簽約，下載證書，安裝驅(qū)動程序，有問題更換麻煩且需要額外開支，銀行面臨需要提供一種使用戶感覺安全又方便使用的解決辦法。