導(dǎo)語：如何才能寫好一篇安全等級保護管理辦法，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：信息系統(tǒng)安全 等級保護 福建

一、引言

信息安全等級保護制度是國家在國民經(jīng)濟和社會信息化的發(fā)展過程中，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設(shè)健康發(fā)展的一項基本制度。我國實施的信息系統(tǒng)安全等級保護制度，根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素,將信息系統(tǒng)的安全保護等級劃分為5個級別，從第一級到第五級逐級增高，對不同安全級別的信息系統(tǒng)實施不同的安全管理。

二、我國信息系統(tǒng)安全等級保護思想的形成

1994年，《中華人民共和國計算機信息系統(tǒng)安全保護條例 》（國務(wù)院147號令）規(guī)定，“計算機信息系統(tǒng)實行安全等級保護，安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關(guān)部門制定”。

20世紀80年代初，美國國防部制定了“國家計算機安全標準”等系列標準，包括《可信計算機系統(tǒng)評估準則》（TCSEC，即俗稱的“桔皮書”）及其他近40個相關(guān)標準，合稱“彩虹系列”。 TCSEC標準是國際上計算機系統(tǒng)安全評估的第一套大規(guī)模系統(tǒng)標準，具有劃時代的意義。TCSEC將安全產(chǎn)品的安全功能和可信度綜合在一起，設(shè)立了4類7級。

1999年，我國公安部組織制定了強制性國家標準――《計算機信息系統(tǒng)安全保護等級劃分準則》。

2000年11月10日，國家計委批準公安部開展“計算機信息系統(tǒng)安全保護等級評估體系及互聯(lián)網(wǎng)絡(luò)電子身份管理與安全保護平臺項目”建設(shè)。

2003年，《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)［2003］27號）明確指出“實行信息安全等級保護”，“要重點保護基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術(shù)指南”。這標志著等級保護從計算機信息系統(tǒng)安全保護的一項制度提升到國家信息安全保障一項基本制度。同時中央27號文明確了各級黨委和政府在信息安全保障工作中的領(lǐng)導(dǎo)地位，以及“誰主管誰負責(zé)，誰運營誰負責(zé)”的信息安全保障責(zé)任制。

2004年9月，公安部會同國家保密局、國家密碼管理局和國務(wù)院信息辦聯(lián)合出臺了《關(guān)于信息安全等級保護工作的實施意見》（公通字［2004］66號），明確了信息安全等級保護制度的原則和基本內(nèi)容，以及信息安全等級保護工作的職責(zé)分工、工作實施的要求等。

2006年1月，公安部、國家保密局、國家密碼管理局、國信辦聯(lián)合制定了《信息安全等級保護管理辦法（試行）》，并于2007年6月修訂。

2007年6月，公安部會同國家保密局、國家密碼管理局和國務(wù)院信息辦聯(lián)合頒布《信息安全等級保護管理辦法》（公通字［2007］43號，以下簡稱《管理辦法》），明確了信息安全等級保護制度的基本內(nèi)容、流程及工作要求，進一步明確了信息系統(tǒng)運營使用單位和主管部門、監(jiān)管部門在信息安全等級保護工作中的職責(zé)、任務(wù)，為開展信息安全等級保護工作提供了規(guī)范保障。

三、開展信息系統(tǒng)安全等級保護工作的必要性和重要性

⒈開展信息系統(tǒng)安全等級保護工作的必要性

隨著網(wǎng)絡(luò)新技術(shù)的飛速發(fā)展和各類信息系統(tǒng)的廣泛應(yīng)用，網(wǎng)絡(luò)與信息安全也相應(yīng)出現(xiàn)了許多新情況、新問題，福建省網(wǎng)絡(luò)與信息安全防護工作面臨的形勢十分嚴峻。這就使得開展信息系統(tǒng)安全等級保護工作成為必然。

一是網(wǎng)上斗爭日趨復(fù)雜，不確定性增強。由于在互聯(lián)網(wǎng)上傳播信息具備快速便捷、低成本、無國界、易消除痕跡、技術(shù)變化快等特點，使互聯(lián)網(wǎng)成為境內(nèi)外敵對勢力、敵對分子從事各種破壞活動的重要工具。我國將長期面臨敵對勢力的信息優(yōu)勢、技術(shù)優(yōu)勢所帶來的信息安全威脅。

二是網(wǎng)絡(luò)違法犯罪活動迅速增多，造成的后果越來越嚴重。隨著新技術(shù)、新應(yīng)用的發(fā)展，暴露出來的網(wǎng)絡(luò)與信息安全問題也日益增多。

三是漏洞數(shù)量居高不下，利用漏洞發(fā)起攻擊仍是互聯(lián)網(wǎng)最大的安全隱患。安全漏洞是指在網(wǎng)絡(luò)系統(tǒng)中硬件、軟件、協(xié)議和系統(tǒng)安全策略等存在的缺陷和錯誤，攻擊者利用這些缺陷和錯誤可以對網(wǎng)絡(luò)系統(tǒng)進行非授權(quán)的訪問或破壞。

四是計算機病毒傳播和對網(wǎng)絡(luò)非法入侵十分嚴重。據(jù)公安機關(guān)調(diào)查，2007年1-6月，我國平均每月截獲計算機病毒6.6萬個，累計感染計算機達1.18億臺次。2007年初在我國發(fā)生的“熊貓燒香”病毒案，短時間內(nèi)就出現(xiàn)病毒變種700余個，感染了445萬臺計算機，大批網(wǎng)民的網(wǎng)上帳號、口令被竊取。

⒉開展信息系統(tǒng)安全等級保護工作的重要性

開展信息安全等級保護工作，就是要解決我國信息安全面臨的威脅和存在的主要問題，按標準建設(shè)安全保護措施，建立安全保護制度，落實安全責(zé)任，加強監(jiān)督檢查，有效保護重要信息系統(tǒng)安全，有效提高我國信息和信息系統(tǒng)安全建設(shè)的整體水平。

建立信息安全等級保護制度，開展信息安全等級保護工作，有利于在信息化建設(shè)過程中同步建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相協(xié)調(diào)；有利于為信息系統(tǒng)安全建設(shè)和管理提供系統(tǒng)性、針對性、可行性的指導(dǎo)和服務(wù)；有利于優(yōu)化信息安全資源的配置，重點保障基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)的安全；有利于明確國家、法人和其他組織、公民的信息安全責(zé)任，加強信息安全管理；有利于推動信息安全產(chǎn)業(yè)的發(fā)展，逐步探索出一條適應(yīng)社會主義市場經(jīng)濟發(fā)展的信息安全模式。

四、加快推進福建省重要信息系統(tǒng)安全等級保護工作

2007年7月20日，公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室在北京聯(lián)合召開“全國重要信息系統(tǒng)安全等級保護定級工作電視電話會議”，部署在全國范圍內(nèi)開展重要信息系統(tǒng)安全等級保護定級工作。8月13日，福建省公安廳、省保密局、省委機要局、數(shù)字福建建設(shè)領(lǐng)導(dǎo)小組辦公室等四家單位也聯(lián)合召開“福建省重要信息系統(tǒng)安全等級保護定級工作電視電話會議”。這標志著福建省重要信息系統(tǒng)安全等級保護工作正式啟動。

信息系統(tǒng)安全保護工作的首要環(huán)節(jié)是定級，定級工作是開展信息系統(tǒng)建設(shè)、整改、測評、備案、監(jiān)督檢查等后續(xù)工作的重要基礎(chǔ)。信息系統(tǒng)安全級別定不準，系統(tǒng)建設(shè)、整改、備案、等級測評等后續(xù)工作都將失去針對性。此次福建省重要信息系統(tǒng)安全等級保護工作將分四個階段進行。

1.突出重點，全面準確劃定定級范圍和定級對象

此次重要信息系統(tǒng)定級的范圍是國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)，這些網(wǎng)絡(luò)和系統(tǒng)廣泛分布在各級黨政機關(guān)和電信、廣電、鐵路、銀行、民航、海關(guān)、稅務(wù)、電力、證券、保險等數(shù)十個行業(yè)。將這些基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)納入此次定級的重點范圍，體現(xiàn)了統(tǒng)籌規(guī)劃、突出重點、重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全的總體要求和原則。

2.依據(jù)《管理辦法》，準確確定信息系統(tǒng)安全保護等級

福建省各運營使用單位和主管部門在全面分析各自信息網(wǎng)絡(luò)和信息系統(tǒng)在國家安全、社會秩序、公共利益等方面的作用和影響的基礎(chǔ)上，根據(jù)信息網(wǎng)絡(luò)和信息系統(tǒng)被攻擊破壞后對國家安全、社會秩序和公共利益等方面可能造成的危害程度等因素，依據(jù)《管理辦法》，參照《定級指南》所提供的定級方法，綜合確定信息系統(tǒng)的安全保護等級。在確定等級的過程中，要最大限度地避免定級的盲目性、隨意性，力爭做到定級準確、科學(xué)、合理。

3.及時備案，加強對定級工作的監(jiān)督、檢查和指導(dǎo)

為全面掌握基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的單位和系統(tǒng)的基本情況，保護重點領(lǐng)域的重要信息網(wǎng)絡(luò)和信息系統(tǒng)，凡是安全保護等級為第二級以上的信息系統(tǒng)運營使用單位或主管部門要按照《管理辦法》的要求，到公安機關(guān)進行備案。公安機關(guān)受理備案后要對備案材料進行審核，加強對重要信息系統(tǒng)安全等級保護定級工作的監(jiān)督、檢查和指導(dǎo)；對定級不準的，要及時通知備案單位重新定級。

4.依據(jù)《管理辦法》和技術(shù)標準，開展整改、測評等工作

信息系統(tǒng)的安全保護等級確定后，運營使用單位要按照信息安全等級保護管理規(guī)范和技術(shù)標準，使用符合國家有關(guān)規(guī)定、滿足信息系統(tǒng)安全保護等級需求的信息技術(shù)產(chǎn)品，開展信息系統(tǒng)安全建設(shè)或者改建工作，建設(shè)符合等級要求的信息安全設(shè)施；參照信息安全等級保護管理規(guī)范，制定并落實安全管理制度；選擇符合《管理辦法》規(guī)定條件的測評機構(gòu)，依據(jù)技術(shù)標準對信息系統(tǒng)安全等級狀況開展等級測評，使其盡快達到等級要求的安全保護能力和水平。

五、加大力度，確保福省重要信息系統(tǒng)安全等級保護工作任務(wù)落到實處

隨著北京奧運會的日益臨近，特別是“科技奧運”和“數(shù)字奧運”是2008年北京奧運會的一大亮點，信息安全等級保護的工作任務(wù)艱巨，責(zé)任重大。福建省公安、保密、密碼工作和信息化等部門要密切配合，及時開展監(jiān)督、檢查，嚴格審查信息系統(tǒng)所定級別，積極開展備案、整改、測評等工作。同時，充分利用廣播電視、報刊雜志、互聯(lián)網(wǎng)等媒體，加大對國家信息安全等級保護制度的宣傳力度，積極開展面向不同層次、不同對象的宣傳、培訓(xùn)，以確保福建省重要信息系統(tǒng)安全等級保護工作落到實處。

1.明確職責(zé)，落實責(zé)任

各級公安機關(guān)要積極向當?shù)攸h委、政府專門匯報，主動爭取黨委、政府對信息安全等級保護工作的重視和支持；或者成立專門的等級保護工作直轄市領(lǐng)導(dǎo)小組，加強對定級工作的領(lǐng)導(dǎo)，研究制定定級工作實施方案。各運營使用單位及其主管部門要按照“誰主管誰負責(zé)、誰運營誰負責(zé)”的要求，明確主管領(lǐng)導(dǎo)和責(zé)任部門。各信息系統(tǒng)主管部門要切實加強對定級工作的組織、領(lǐng)導(dǎo)，落實等級保護各項責(zé)任，督促、指導(dǎo)本行業(yè)、本系統(tǒng)開展定級、備案、建設(shè)整改等工作。

2.密切配合，通力協(xié)作

各級公安機關(guān)作為開展等級保護工作的牽頭部門，要加強同保密、密碼工作、信息辦等其他信息安全職能部門的協(xié)調(diào)、配合，盡快建立健全信息安全等級保護監(jiān)管工作的協(xié)調(diào)配合機制；要主動與信息系統(tǒng)主管部門交流溝通，督促配合其組織下屬信息系統(tǒng)運營、使用單位建立信息安全責(zé)任制，建立并落實等級保護制度，從而確保等級保護工作的順利、有效實施。

3.加強宣傳，強化培訓(xùn)

篇2

關(guān)鍵詞：政務(wù)外網(wǎng) 等級保護 定級 網(wǎng)絡(luò)安全

為貫徹落實公安部、國家保密局、國家密碼管理局、原國務(wù)院信息化工作辦公室于2007年7月26日聯(lián)合下發(fā)《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公信安[2007]861號），國家電子政務(wù)外網(wǎng)工程建設(shè)辦公室（以下簡稱“外網(wǎng)工程辦”）在2007年11月啟動了中央級政務(wù)外網(wǎng)定級專項工作，成立了等級保護定級工作組，根據(jù)政務(wù)外網(wǎng)的實際情況和特點，經(jīng)過多輪內(nèi)部討論和征求專家意見后，基本完成了政務(wù)外網(wǎng)安全等級保護定級工作，為后續(xù)備案和全面開展、實施等級保護整改和測評工作奠定了堅實基礎(chǔ)。

一、周密部署，精心組織

為有效貫徹落實國家信息安全等級保護制度，在總結(jié)基礎(chǔ)調(diào)查和試點工作的基礎(chǔ)上，根據(jù)《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》等相關(guān)規(guī)定，2007年11月13日，電子政務(wù)外網(wǎng)工程辦召開等級保護工作啟動會，正式啟動國家電子政務(wù)外網(wǎng)安全等級保護定級工作。

為確保信息系統(tǒng)等級保護工作順利進行，外網(wǎng)工程辦領(lǐng)導(dǎo)高度重視，專門成立了由各主要業(yè)務(wù)部門負責(zé)人為成員的等級保護工作小組，全面負責(zé)工作的規(guī)劃、協(xié)調(diào)和指導(dǎo)，確定了外網(wǎng)工程辦安全組為等級保護工作的牽頭部門，各部門分工協(xié)作。同時，為確保系統(tǒng)劃分和定級工作的準確性和合理性，2007年11月22日外網(wǎng)工程辦專門邀請專家，對定級工作進行專項指導(dǎo)。

為統(tǒng)一思想，提高認識，通過召開等級保護專題會議等形式，深入學(xué)習(xí)《信息安全等級保護管理辦法》和《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》等文件精神，使相關(guān)人員充分認識和領(lǐng)會了開展信息安全等級保護工作的重要性，進一步認識到實施信息安全等級保護不僅是信息安全管理規(guī)范化、標準化、科學(xué)化的需要，也是提高政務(wù)外網(wǎng)安全保障能力與服務(wù)水平的重要途徑，是追求自身發(fā)展與落實社會責(zé)任相一致的現(xiàn)實需要與客觀要求，從而增強了開展此項工作的主動性和自覺性。

二、積極做好定級各項工作

信息安全等級保護工作政策性強、技術(shù)要求高，時間又非常緊迫，為此，政務(wù)外網(wǎng)工程辦從三方面抓好定級報備前期準備工作：一是積極參加公安部組織的等級保護培訓(xùn)，領(lǐng)會與理解開展信息安全等級保護工作的目的、意義與技術(shù)要求，系統(tǒng)地掌握信息安全等級保護的基礎(chǔ)知識、實施過程、定級方法步驟和備案流程等。二是多次組織人員開展內(nèi)部討論和交流，使人員較全面地了解等級保護的意義、基礎(chǔ)知識和定級方法。三是開展工程辦各組的業(yè)務(wù)應(yīng)用摸底調(diào)查，摸清系統(tǒng)的系統(tǒng)結(jié)構(gòu)、業(yè)務(wù)類型和應(yīng)用范圍，并匯總整理了政務(wù)外網(wǎng)各組成域的相關(guān)概況。

三、科學(xué)準確定級

在開展政務(wù)外網(wǎng)定級工作的過程中突出重點，全面分析政務(wù)外網(wǎng)網(wǎng)絡(luò)基礎(chǔ)平臺的特點，力求準確劃定定級范圍和定級對象。在此基礎(chǔ)上，依據(jù)《信息安全等級保護管理辦法》，確定政務(wù)外網(wǎng)各組成子系統(tǒng)（網(wǎng)絡(luò)域）的安全保護等級。

劃定定級對象。根據(jù)《信息系統(tǒng)安全等級保護定級指南》，外網(wǎng)工程辦多次組織技術(shù)和業(yè)務(wù)骨干召開專題會議討論信息系統(tǒng)劃分問題，提出了較為科學(xué)合理的信息系統(tǒng)劃分方案。

初步確定了信息系統(tǒng)等級。根據(jù)系統(tǒng)劃分結(jié)果，組織各業(yè)務(wù)部門參與并初步確定了各系統(tǒng)等級，完成了自定級報告的起草。

組織專家自評把關(guān)。根據(jù)等級保護評審的標準與要求，專家們對信息系統(tǒng)劃分和定級報告進行內(nèi)部評審，并給出了內(nèi)部評審意見。根據(jù)專家意見重新修改并整理了等級保護定級報告及其相關(guān)材料。

此外，在定級過程中，外網(wǎng)工程辦積極與公安部等級保護主管部門進行溝通，并經(jīng)由相關(guān)專家確認定級對象與等級保護方案后，整理好了所有定級材料，準備下一步的正式評審。

四、定級對象和結(jié)果

根據(jù)政務(wù)外網(wǎng)作為基礎(chǔ)網(wǎng)絡(luò)平臺的特性，以及其接入系統(tǒng)的不同業(yè)務(wù)類型，政務(wù)外網(wǎng)按管理邊界劃分為中央政務(wù)外網(wǎng)、地方政務(wù)外網(wǎng)兩類管理域。中央政務(wù)外網(wǎng)按業(yè)務(wù)邊界劃分功能區(qū)，即公用網(wǎng)絡(luò)平臺區(qū)、專用VPN網(wǎng)絡(luò)區(qū)以及互聯(lián)網(wǎng)接入?yún)^(qū)，在各功能區(qū)內(nèi)又根據(jù)業(yè)務(wù)類型和系統(tǒng)服務(wù)的不同，確定了多個業(yè)務(wù)系統(tǒng)，主要有安全管理系統(tǒng)、應(yīng)用平臺系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)、郵件系統(tǒng)、VPN業(yè)務(wù)、互聯(lián)網(wǎng)數(shù)據(jù)中心等六個系統(tǒng)作為本次等級保護定級工作的定

級對象，分別予以定級（確定等級結(jié)果如表1所示）。

作者簡介：

羅海寧，1980年生，男，漢族，工程師，在職碩士，專業(yè)方向：網(wǎng)絡(luò)與信息安全。

郭紅，1966年生，女，漢族，高級工程師，在職碩士，專業(yè)方向：網(wǎng)絡(luò)安全。

篇3

安全風(fēng)險

2008年6月，深圳市忽然出現(xiàn)了12萬一張的光盤，而且是一口價銷售，拒絕還價。光盤之所以賣得如此之貴，是因為光盤里存有當年深圳市預(yù)產(chǎn)期在3月～8月、共4萬多條孕產(chǎn)婦的信息。其時，已有多名孕產(chǎn)婦受到商家“階段性”推銷的騷擾：懷孕3個月后孕婦學(xué)校會來聯(lián)系，接著是家政服務(wù)商，而寶寶快到百日時，兒童攝影的推銷電話又……讓孕產(chǎn)婦不勝其煩。事后的調(diào)查發(fā)現(xiàn)，是深圳市一家保健醫(yī)院的內(nèi)部人員利用職務(wù)之便，將該院信息系統(tǒng)中所有孕婦和嬰兒的信息盜取一空，整個過程只用了5分鐘。然后，便有了市場上天價光盤的出現(xiàn)。

信息化在給醫(yī)療機構(gòu)帶來便利的同時，也存在著數(shù)據(jù)安全隱患，上述嚴重的信息泄露事件給醫(yī)院的信息安全敲響了警鐘。

除了信息泄露，威脅醫(yī)院信息安全的問題還有網(wǎng)絡(luò)病毒。隨著網(wǎng)絡(luò)的迅速發(fā)展，蠕蟲病毒引發(fā)的安全事件此起彼伏，且有愈演愈烈之勢。某醫(yī)院由于內(nèi)網(wǎng)病毒泛濫，帶寬被病毒數(shù)據(jù)包占用，不僅上網(wǎng)速度慢，更影響到了服務(wù)器的正常工作。

醫(yī)院內(nèi)部人員統(tǒng)方是另一個威脅。2010年5月23日，一張神秘的清單在網(wǎng)上曝光，其中列出了寧波市某醫(yī)院45名醫(yī)生的工號、名字和所屬科室，后面還注明了他們使用藥品氨曲南的數(shù)量和總價。6月3日，寧波市衛(wèi)生局向媒體公布了處罰決定：19名收受藥品回扣的醫(yī)生中，兩名醫(yī)生停止執(zhí)業(yè)活動6個月，6名醫(yī)生受到警告處分。雖然腐敗得到懲戒，大快人心，但所暴露的潛在統(tǒng)方威脅值得警惕。

加強信息安全、消除安全隱患，已經(jīng)成為醫(yī)院必須要面對的課題。

政策安排

在信息化建設(shè)過程中，與業(yè)務(wù)性系統(tǒng)相比，信息安全并沒有得到足夠的重視。在2012年8月舉辦的中國醫(yī)院論壇“數(shù)字化建設(shè)”分論壇上，著名醫(yī)療IT專家李包羅說：“這段時間，我參加了7個信息系統(tǒng)的技術(shù)規(guī)范的制訂會，我發(fā)現(xiàn)，有的系統(tǒng)跟安全性毫不搭界，技術(shù)規(guī)范里面沒有跟技術(shù)、安全有關(guān)系的話語，哪怕有，也只是一兩句話帶過。制訂技術(shù)規(guī)范的人，應(yīng)該說已經(jīng)是業(yè)界比較有經(jīng)驗、比較有水平的專家，如果他們都不對安全問題給予足夠的重視，那將是非?？膳碌?。”

在同一個會議上，國家衛(wèi)計委統(tǒng)計信息中心主任孟群直言：“我國衛(wèi)生信息化建設(shè)還存在信息安全保障建設(shè)的滯后。”

在政府層面，2007年公安部印發(fā)《信息安全等級保護管理辦法》，決定“在全社會范圍推行‘信息安全等級保護’政策”，2009年公安部印發(fā)《關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導(dǎo)意見》，對信息安全等級保護工作提出了要求。

在醫(yī)療領(lǐng)域，2010年原衛(wèi)生部制定的《衛(wèi)生信息化建設(shè)指導(dǎo)意見與發(fā)展規(guī)劃（2011-2015）》（“十二五”規(guī)劃）明確提出了我國醫(yī)療信息化發(fā)展的藍圖和發(fā)展方向“35212工程”，建設(shè)信息安全體系即是最后一個“2”中的一項。

醫(yī)療衛(wèi)生系統(tǒng)的相關(guān)政策相繼出臺。2011年12月，“為貫徹落實國家信息安全等級保護制度，規(guī)范和指導(dǎo)全國衛(wèi)生行業(yè)信息安全等級保護工作”，原衛(wèi)生部相繼了《衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見》和《關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級保護工作的通知》，明確指出，“三級甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)”等五類衛(wèi)生信息系統(tǒng)等保原則上不低于三級，要求“衛(wèi)生行業(yè)各單位……要于2015年12月30日前完成信息安全等級保護建設(shè)整改工作，并通過等級測評?！?/p>

原衛(wèi)生部、國家中醫(yī)藥管理局在2012年6月15日的《關(guān)于加強衛(wèi)生信息化建設(shè)的指導(dǎo)意見》指出，要加強衛(wèi)生信息安全保障體系建設(shè)，落實國家信息安全等級保護制度。加強衛(wèi)生信息系統(tǒng)安全風(fēng)險評估工作，確保信息安全和系統(tǒng)運行安全。繼續(xù)完善居民電子健康檔案、電子病歷等涉及居民隱私的信息安全體系建設(shè)，建設(shè)以密碼技術(shù)為基礎(chǔ)的信息安全保障和網(wǎng)絡(luò)信任體系，推廣數(shù)字證書和電子簽名應(yīng)用，實現(xiàn)信息共享與隱私保護同步發(fā)展。

據(jù)悉，國際衛(wèi)計委一直在推進這方面的工作，包括制度設(shè)計、級別保護等相關(guān)的概念和邊界已經(jīng)逐步建立起來。

國家衛(wèi)計委統(tǒng)計信息中心副主任王才有表示，首先，政府層面制定了統(tǒng)一信息安全等級保護管理規(guī)范和技術(shù)標準，組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護，對信息安全產(chǎn)品的使用分等級實行管理，對等級保護工作的實施進行監(jiān)督和指導(dǎo)。

其次，在用戶層面，公民、法人和其他組織應(yīng)當按照國家有關(guān)等級保護的管理規(guī)范和技術(shù)標準開展等級保護工作，服從國家對信息安全等級保護的監(jiān)督、指導(dǎo)，保障信息系統(tǒng)安全。

最后，在社會層面，關(guān)于信息安全產(chǎn)品的研制、生產(chǎn)單位，信息系統(tǒng)的集成、等級測評、風(fēng)險評估等安全服務(wù)機構(gòu)，應(yīng)依據(jù)國家有關(guān)管理規(guī)定和技術(shù)標準開展相應(yīng)工作，并接受國家信息安全職能部門的監(jiān)管。

在政策逐步建立的過程中，醫(yī)療機構(gòu)自身建設(shè)亦十分重要。王才有說：“信息安全是專門的技術(shù)，但醫(yī)院應(yīng)該培養(yǎng)自己的安全人才，我看到許多醫(yī)院還沒有這樣做，存在很大的風(fēng)險?！?/p>

先進經(jīng)驗

目前，信息安全已經(jīng)引起了醫(yī)療機構(gòu)的高度重視，也有醫(yī)院早早成為信息安全建設(shè)方面的先行者。

2012年11月初，中國醫(yī)學(xué)科學(xué)院阜外心血管病醫(yī)院信息中心主任趙接到通知，其醫(yī)院信息系統(tǒng)的安全保護能力“基本符合等級保護三級要求，符合項為87.8%”。按照規(guī)定，符合項超過80%即為通過了等級保護三級。也就是說，阜外醫(yī)院完成了國家衛(wèi)生行政部門要求2015年底完成的工作。趙介紹，據(jù)他了解，目前除了阜外醫(yī)院外，國內(nèi)還沒有其他醫(yī)院通過等保三級。

篇4

關(guān)鍵詞：信息安全；等級保護；定級制度

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2017）03-0045-02

信息安全等級保護制度的建設(shè)，是隨著經(jīng)濟建設(shè)和信息化建設(shè)的全面展開而進行的。對國家重要的信息系統(tǒng)等進行定級保護，可以提高信息系統(tǒng)的工作效率，在大數(shù)據(jù)、云計算的技術(shù)支持下，實現(xiàn)全系統(tǒng)的信息安全。為此國家多部門早已出臺多項關(guān)于信息安全的制度和規(guī)定，明確說明國家信息安全保障工作的基本制度之一就是信息安全等級保護制度。其工作流程包含定級、對級別的建設(shè)和整改、測評建設(shè)整改工作、向主管公安部門備案；監(jiān)管信息系統(tǒng)。其中首要階段的定級工作，是作為等級保護的起始，為后面四個階段的工作奠定基礎(chǔ)。

1 信息系統(tǒng)安全等級保護政策概述

我國在信息技術(shù)的浪潮退推動下，各行各業(yè)都在面臨信息化、智能化的轉(zhuǎn)型升級帶來的沖擊和挑戰(zhàn)。需要建設(shè)的信息化項目不斷增多，很多領(lǐng)域的業(yè)務(wù)都要采用網(wǎng)絡(luò)信息系統(tǒng)作為載體，因此，信息系統(tǒng)的數(shù)量和結(jié)構(gòu)都在增加和復(fù)雜化，對信息進行等級保護就被提上了日程。

2008年，我國首部信息安全等級保護管理辦法由公安部下發(fā)，信息系統(tǒng)有了等級的劃分，并且對信息系統(tǒng)的保護也有了明確的管理規(guī)定。2008年，信息系統(tǒng)安全等級保護定級上升到了國家級別的標準，擁有了定級指南，對于信息系統(tǒng)安全等級定級工作來說，意味著擁有了定級的方法和準則。2009年，關(guān)于整改信息安全等級保護工作的指導(dǎo)意見證實下發(fā)，要求對信息安全等級保護的整改要按照測評工作的標準展開。這是第一次對信息安全等級保護測評體系的建設(shè)進行的規(guī)定。

2 信息系統(tǒng)的安全定級

在信息安全技術(shù)等級定級指南中，對于信息技術(shù)的重要性以及遭到破壞的危害性進行了詳細的闡述，從公共安全、社會利益、公民權(quán)益等幾個方面，將信息系統(tǒng)的安全等級劃分為五個等級：

第一級為當信息安全被侵犯，國家利益、公共安全等合法權(quán)益就會被損壞，但是國家安全、社會利益和公共秩序不會受到損害。

第二級為當信息安全被侵犯，公民的合法權(quán)益就會被侵害，但是國家安全不會受到破壞。

第三級為當信息系統(tǒng)受到侵犯后，社會秩序和公共利益被損壞，進而產(chǎn)生對國家安全的損害。

第四級是信息系統(tǒng)受到破壞，社會秩序、公共利益、國家安全都會受到特別嚴重的損傷。

第五級是信息系統(tǒng)受到侵犯，國家安全被特別嚴重地損壞。

3 當前信息系統(tǒng)安全定級中存在的問題

1）定級對象不明確是信息系統(tǒng)安全定級中的常見問題。當信息系統(tǒng)在相同的網(wǎng)絡(luò)環(huán)境中被按照獨立的系統(tǒng)進行定級時，多個定級對象會重復(fù)出現(xiàn)環(huán)境和設(shè)備。以機房的EPR系統(tǒng)和OA系統(tǒng)以及配套為例，系統(tǒng)中如果使用到網(wǎng)絡(luò)資源，就有可能產(chǎn)生相同的定級對象同時出現(xiàn)不同的網(wǎng)絡(luò)設(shè)備的情況。

2）根據(jù)安全信息國家定級指南中對安全保護等級的定級要求。當受侵害客體為國家、社會、公民安全以及組織法人的合法權(quán)益時，客體的侵害程度可以分為一般、嚴重、特別嚴重。這種分類是比較抽象的。需要進行具體的描述，但是從目前的發(fā)函情況看，對于危害程度的描述還是過于傾向于主觀判斷，因此對客觀情況的定級準確率不足，依據(jù)不足。

3）現(xiàn)有的定級報告皆是從模板中引用格式，參考定價指南，提供定級流程，引導(dǎo)結(jié)論的驗證。從下表我們可以大概地看到定級要素和安全保護等級的關(guān)系：

表1

[受侵害的客體＼&一般損害＼&嚴重損害＼&特別嚴重的損害＼&公民、法人和組織的合法權(quán)益＼&第一級＼&第二級＼&第二級＼&社會利益、公共秩序＼&第二級＼&第三級＼&第四級＼&國家安全＼&第三級＼&第四級＼&第五級＼&]

對于基礎(chǔ)數(shù)據(jù)的描述雖然也能顯示出關(guān)于信息安全系統(tǒng)定級的重要意義，但是從系統(tǒng)的客觀問題以及隨時可能出現(xiàn)威脅和侵害的現(xiàn)象角度觀察，很多關(guān)于信息安全等級定級的新方法還不能保證定級結(jié)果的準確性，很多定級報告不完善，缺乏依據(jù)，主觀判斷成分多，無法將信息安全系統(tǒng)的真實情況反映給決策層，對于工作的開展沒有好處。

4 等級保護流程

等級保護的工作是循環(huán)的、動態(tài)發(fā)展的。將等級保護工作視為循環(huán)性強的工作對于工作流程加以分析，最終得到的是等級保護工作的流程圖：

定級階段：系統(tǒng)劃分、等級確定；填寫表格；

初步備案階段：上報材料、專家評審，不符合安全等級規(guī)定的重新定級，最終進入初備案。

測評階段：選定機構(gòu)、測評、出具報告；

整改階段：制訂方案、專家論證、提出整改措施并實施；

復(fù)評階段：對定級方案進行復(fù)評，得到最終的備案；

根據(jù)等級保護制度接受監(jiān)管的階段。

需要說明的是，等級保護工作的初始階段：定級工作可以采用自行定級的方法，也可以委托第三方機構(gòu)進行監(jiān)管和測評。定級工作是所有階段工作的基礎(chǔ)。初備案階段有一個重新定級的環(huán)節(jié)，主要是如果出現(xiàn)不公平、不公正或者定級不合格的情況，要對信息系統(tǒng)的等級評定工作進行復(fù)評選，并達到等級保護的要求，才能進行最終的備案。

5 信息安全定級方法

1）定流程是參照定級指南進行的，包括了業(yè)務(wù)信息和系統(tǒng)服務(wù)等內(nèi)容。首先是確定定級對象，然后確定業(yè)務(wù)信息安全受到破壞和侵害的客體，以及系統(tǒng)服務(wù)安全受到破壞和侵害的客體。兩方面都要進行客體的侵害程度的評定，前者得出業(yè)務(wù)信息安全等級，后者得出系統(tǒng)服務(wù)安全等級，最后形成了定級對象的安全保護等級。

定級對象的選取根據(jù)定級指南的規(guī)定，具有一些特征，首先是擁有安全責(zé)任單位，第二是信息系統(tǒng)要素，第三是承載單一和獨立的業(yè)務(wù)。在定級對象的業(yè)務(wù)應(yīng)用上應(yīng)該擁有共享的機房基礎(chǔ)環(huán)境和網(wǎng)絡(luò)設(shè)備等，這樣就不會產(chǎn)生重復(fù)出現(xiàn)的定級對象。而且將物理環(huán)境、網(wǎng)絡(luò)資源等納入到信息系統(tǒng)中，形成具有單獨優(yōu)先定級權(quán)限的定級對象[1]。

對于受侵害的客體的損害程度的評分，要對危害后果等進行權(quán)重分析。參照的依據(jù)包括國家安全、社會利益、公眾秩序、公民法人和組織的權(quán)益?？腕w的侵害程度在定x和解釋上是簡單而抽象的，要對危害程度進行具體的描述，就要規(guī)避主觀判斷、依據(jù)不足的問題。對客體的侵害程度進行確定，是需要參考很多元素的，要得到一個準確的定量，可以采用評分表的方法對危害后果予以打分。

表2

[危害后果＼&得分＼&權(quán)重＼&影響工作職能形式＼&＼&＼&降低業(yè)務(wù)能力＼&＼&＼&引起糾紛需要法律介入＼&＼&＼&財產(chǎn)損失＼&＼&＼&社會不良影響＼&＼&＼&損害到組織和個人＼&＼&＼&其他影響＼&＼&＼&]

根據(jù)對表格中的打分得到的數(shù)值和權(quán)重的分析，可以得出定級對象被破壞后可能產(chǎn)生的危害以及后果。不存在危害的數(shù)值為0，有危害程度較輕的數(shù)值為1，有危害程度較高的為2，后果嚴重的為3。不同的信息系統(tǒng)在服務(wù)內(nèi)容、范圍、對象上都不同，因此不同的得分和權(quán)重最能反映信息安全系統(tǒng)的實際情況。

確定安全保護等級是在所有流程結(jié)束后，得到的結(jié)論。這個結(jié)論包括客體對等級對象的侵害造成的危害，信息安全的保密性、可用性的情況，系統(tǒng)服務(wù)安全的及時性、有效性的問題等等。當業(yè)務(wù)信息安全和服務(wù)系統(tǒng)的客體侵害程度不同時，就要在定級過程中處理不同的危害后果。

2）定級表格的細化是為定級報告模板提供基礎(chǔ)數(shù)據(jù)，并保證信息安全系統(tǒng)穩(wěn)定可靠的重要保障。當系統(tǒng)內(nèi)部問題導(dǎo)致其難以支撐定級結(jié)果后，采用系統(tǒng)定級的方法，就能夠?qū)⑿畔⑾到y(tǒng)的情況記載道定級表中。定級表包括了定級系統(tǒng)的用戶情況以及定級系統(tǒng)的業(yè)務(wù)職能等情況，例如在行業(yè)和部門內(nèi)的地位和作用。定級系統(tǒng)需要有備份系統(tǒng)作為應(yīng)急措施，保證定級系統(tǒng)在關(guān)聯(lián)系統(tǒng)受到破壞后不會受到數(shù)據(jù)傳遞等的影響。

6 案例分析

按照等級保護工作測評和定級的規(guī)定，確定信息系統(tǒng)的等級。某政府網(wǎng)站信息系統(tǒng)包括的板塊為：政務(wù)公開、地方行政、法制建設(shè)、管理措施、領(lǐng)導(dǎo)講話、網(wǎng)上辦事大廳、新聞動態(tài)、政府公告、舉報建議等，還專門開辟了一個下載板塊，方便下載有用的電子表單加以填報。

在這個政府網(wǎng)站的信息系統(tǒng)中，制訂了符合信息安全等級保護定級指南的流程和標準，通過分析，判斷，研究等流程確定定級的系統(tǒng)。該網(wǎng)站的擁有者設(shè)立的專門的政府網(wǎng)站平臺，由指定部門確定相關(guān)資料的搜集、采集、整理的過程方案。在這套流程中，信息生產(chǎn)者為企業(yè)，產(chǎn)生的資料是信息，管理信息的手段是利用科學(xué)技術(shù)，對外承擔(dān)政務(wù)信息，擁有獨立的業(yè)務(wù)，如辦事流程、新聞會等。將各類任務(wù)的環(huán)境加以構(gòu)建，就形成了政府網(wǎng)站中具有基本特征和要素的定級對象。對定級客體的邀請，要采取分析的方法，確保信息系統(tǒng)內(nèi)的保密性和可用性。實際操作中只要能夠保證信息的完整性和通用性，又增強了制作、、管理的職能建設(shè)，激發(fā)出參與者的完整性和保密性。提高可用概率。而系統(tǒng)服務(wù)安全有力地支撐著系統(tǒng)安全運行，并為信息安全系統(tǒng)提供有效的服務(wù)，達到地方網(wǎng)站發(fā)揮在定級中的作用，幫助提供服務(wù)，滿足消費者的需求。采用了這種方法，網(wǎng)站信息系統(tǒng)的業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全都將是今后在企業(yè)運用中需要特別加以注意的。

例如：對于受侵害的客體，必須說明客體的情況，是否受到法律保護，等級保護中牽扯到的社會關(guān)系和合法權(quán)益。尤其是針對信息系統(tǒng)的客體的先后順序進行判斷，結(jié)合政府平臺，實施政務(wù)信息公開。如果做不到政務(wù)信息公開，政府就要設(shè)置管理界限，發(fā)揮人的主觀能動性，在知情權(quán)、業(yè)務(wù)能力、投訴與批評等階段加大業(yè)務(wù)辦理力度，最大可能地維護法人和代表組織的知情權(quán)，排棄受到破壞的客體，法人由于難以摻入個人組織中，直接投訴合法的法律法規(guī)，由于業(yè)務(wù)施工的進度過快，環(huán)節(jié)紛繁眾多[2]。再由于受損教育可以對客體的積極主動性。方便法人和組織知情、辦理業(yè)務(wù)、舉報、投訴等。

對于客體造成的侵害進行后果的分析，無論是大型門戶網(wǎng)站，還是在金融政策引領(lǐng)下，親自感受到客體檢查結(jié)果的影響，如信息安全管理等，都要注重網(wǎng)絡(luò)平臺的臨時性。

7 結(jié)束語

要做好信息系統(tǒng)的安全保護等級的確定，就要采取正確的 （下轉(zhuǎn)第51頁）

（上接第46頁）

策略以及方法，對信息安全管控產(chǎn)生依賴，保護過程中采取正確的策略和方法，等等。信息系統(tǒng)、安全等級保護不足的問題，都要求管理覺決策層加熬煮。在實際運行中，還要以定級指南為指導(dǎo)，綜合信息系統(tǒng)的業(yè)務(wù)特征，切實推動信息技術(shù)等級保護工作的大力發(fā)展。

參考文獻：

篇5

關(guān)鍵詞：信息安全；醫(yī)院信息系統(tǒng)；安全措施

隨著信息與網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，我們進入了一個信息爆炸的時代，人們可以輕松便捷的通過網(wǎng)絡(luò)技術(shù)來進行各種活動。伴隨而來的信息安全問題也越發(fā)嚴重，也受到越來越多行業(yè)的關(guān)注，在網(wǎng)絡(luò)技術(shù)發(fā)展普及的同時，信息技術(shù)業(yè)在醫(yī)學(xué)領(lǐng)域得到廣泛的應(yīng)用，同右攪蘋構(gòu)信息系統(tǒng)的信息安全性在當今也同樣得到極大的重視。

1 信息系統(tǒng)安全管理的原則

信息系統(tǒng)安全的核心目標是為關(guān)鍵資產(chǎn)提供可用性、完整性和機密性[1]，所有安全控制、機制和防護措施的實現(xiàn)都是為了提供這些原則中的一個或多個?；诎踩枨笤瓌t，醫(yī)療機構(gòu)應(yīng)根據(jù)其信息系統(tǒng)擔(dān)負的使命，積累的信息資產(chǎn)的重要性，可能受到的威脅及面臨的風(fēng)險分析安全需求，按照信息系統(tǒng)等級保護要求確定相應(yīng)的信息系統(tǒng)安全保護等級，遵從相應(yīng)等級的規(guī)范要求，從全局上恰當?shù)仄胶獍踩度肱c效果，做到技術(shù)和管理并重。

2 國內(nèi)醫(yī)療信息安全體系

在醫(yī)療活動中，醫(yī)療機構(gòu)為了診斷及科研等其他需要，經(jīng)常使用醫(yī)療信息系統(tǒng)采集、大量的醫(yī)療相關(guān)數(shù)據(jù)，其中包含著患者的基本信息和敏感信息。如何有效的避免隱私信息的泄露也是越來越多醫(yī)療機構(gòu)普遍遇到的問題。與此同時，衛(wèi)生行政主管部門認識到了醫(yī)療機構(gòu)信息系統(tǒng)安全的重要性，也逐年醫(yī)療信息保障管理辦法。2004年9月的《關(guān)于信息安全等級保護工作的實施意見》（公通字[2004]66號）進一步強調(diào)了開展信息安全等級保護工作的重要意義，規(guī)定了實施信息安全等級保護制度的原則、內(nèi)容、職責(zé)分工、基本要求和實施計劃，部署了實施信息安全等級保護工作的操作辦法。2011年，信息安全等級保護已列入《三級綜合醫(yī)院評審標準》中信息化規(guī)范建設(shè)的重要考核依據(jù)與指標。2011年衛(wèi)生部《衛(wèi)生部辦公廳關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級保護工作的通知》，要求衛(wèi)生行業(yè)“全面開展信息安全等級保護工作”。

3 醫(yī)院信息安全治理與風(fēng)險管理

醫(yī)院系統(tǒng)信息安全風(fēng)險管理的傳統(tǒng)措施是以邊界、安全域為主的思路和模式，采用被動的、防御型的技術(shù)手段，屬于應(yīng)對型的安全建設(shè)模式[2]。近些年來，隨著安全技術(shù)的快速發(fā)展，醫(yī)院信息安全規(guī)劃與建設(shè)思路也在發(fā)生轉(zhuǎn)變，其防護重點逐漸轉(zhuǎn)向醫(yī)院信息系統(tǒng)數(shù)據(jù)內(nèi)容、應(yīng)用、用戶身份和行為等全方位的安全防護；安全治理觀念也逐漸轉(zhuǎn)變?yōu)橹鲃臃烙暮弦?guī)管理工作，同時加強醫(yī)院信息安全監(jiān)控綜合分析。通過信息系統(tǒng)安全指標作為衡量依據(jù)，衡量安全建設(shè)績效推進醫(yī)院信息系統(tǒng)安全治理，從而以工具化、自動化的安全手段，應(yīng)對不斷擴張的IT資產(chǎn)管理，有效落實安全管理要求。

醫(yī)院信息安全責(zé)任部門正確運用控制措施能降低醫(yī)院信息系統(tǒng)安全面臨的風(fēng)險，控制主要分為三種類型：管理控制、技術(shù)控制和物理控制[3]。管理控制因為通常是面向管理的，所以經(jīng)常被稱為“軟控制”，如安全文檔、風(fēng)險管理、人員安全和培訓(xùn)都屬于管理控制；技術(shù)控制也稱為邏輯控制由軟件或硬件組成，如防火墻、入侵檢測系統(tǒng)、加密、身份識別和認證機制；物理控制用來保護設(shè)備、人員和資源，保安、鎖、圍墻等都屬于物理控制。在實際建設(shè)和規(guī)劃中，醫(yī)院信息安全責(zé)任部門應(yīng)正確以分層的方法綜合使用多個安全控制類型，為醫(yī)院信息平臺提供安全深度防御。由于入侵者在獲得訪問關(guān)鍵資產(chǎn)前將不得不穿越多個不同的保護機制，因此多層防御能夠?qū)B透成功率和威脅降低到最小，從而保障醫(yī)療機構(gòu)信息系統(tǒng)安全。

4 醫(yī)院系統(tǒng)的安全風(fēng)險分析及對策

4.1訪問控制安全 安全的根本所在是通過控制如何訪問信息資源來防范資源泄露或未經(jīng)授權(quán)的修改。訪問控制是一種安全手段，控制用戶和系統(tǒng)如何與其他系統(tǒng)和資源進行通信和交互。訪問控制能夠保護系統(tǒng)和資源免受未經(jīng)授權(quán)的訪問，并且在身份驗證過程成功結(jié)束之后確定授權(quán)訪問的等級。信息訪問控制的實現(xiàn)手段在本質(zhì)上都處于技術(shù)性、物理性或行政管理性層面。同時需要注意，任何接口處是最應(yīng)該實施安全控制的一個地方，需要層層縱深防御來實施訪問控制。訪問控制是防范醫(yī)療機構(gòu)信息系統(tǒng)和資源被未授權(quán)訪問的第一道防線，系統(tǒng)使用用戶的訪問權(quán)限主要基于其身份、許可等級和/或組成員資格。訪問控制給予組織機構(gòu)控制、限制、監(jiān)控以及保護資源可用性、完整性和機密性的能力[4]。

4.2計算機及操作系統(tǒng)安全 計算機是系統(tǒng)內(nèi)提供某類安全并實施系統(tǒng)安全策略的所有硬件、軟件和固件的組合，然而其并不僅限于操作系統(tǒng)，操作系統(tǒng)的主要風(fēng)險包括系統(tǒng)漏洞和文件病毒等。醫(yī)療機構(gòu)的信息安全責(zé)任部門需對帳戶、訪問、用戶權(quán)限等進行管理與控制，做好定期監(jiān)視、審計和時間日志記錄和分析?？梢圆捎猛ㄟ^修改注冊表，屏蔽客戶端操作系統(tǒng)無關(guān)的內(nèi)容，限制訪問相關(guān)資源；還應(yīng)及時下載系統(tǒng)補丁，盡可能關(guān)閉不需要的端口，以彌補系統(tǒng)漏洞而給醫(yī)院信息系統(tǒng)安全性帶來的各類隱患。醫(yī)療機構(gòu)辦公計算機中的很多安全管理軟件會產(chǎn)生安全日志，應(yīng)由信息安全主管部門對這些安全日志進行管理分析以不斷強化整體安全解決方案，例如針對于醫(yī)院可能發(fā)生的“統(tǒng)方”時間以及其他對醫(yī)院影響較大的安全事件，醫(yī)療機構(gòu)主管部門應(yīng)能夠及時發(fā)現(xiàn)、定位、報警以及事后審計。

篇6

【 關(guān)鍵詞 】 信息安全；企業(yè)管理；績效考核

1 引言

經(jīng)過近幾年的發(fā)展，中國鐵建股份有限公司（以下簡稱中國鐵建）的信息化工作全面展開，眾多信息化項目的實施，大量信息系統(tǒng)的上線應(yīng)用，有力地促進了企業(yè)核心競爭力的提升。

隨著信息系統(tǒng)不斷建成與投入應(yīng)用，信息資源擁有量快速增長，對信息安全的保障需求日顯強烈，信息安全管控建設(shè)的滯后與日益增長的信息安全需求的矛盾日益突出。中國鐵建根據(jù)國內(nèi)外成熟的信息安全標準和方法，結(jié)合企業(yè)業(yè)務(wù)發(fā)展戰(zhàn)略和企業(yè)特點，構(gòu)建符合本公司業(yè)務(wù)實際和安全需要的信息安全管控體系，全面提升信息安全保障能力，并取得了初步效果。另外，信息安全等級保護制度作為國家在信息安全保障管理上的根本制度，具有強制性的特征，也要求企業(yè)認真加以貫徹落實。

在實際工作中利用怎樣的手段來保障信息安全管控體系、信息安全等級保護制度得到切實執(zhí)行，成為亟待需要解決的問題。

為此，結(jié)合中國鐵建所屬各單位地域分布廣、信息化水平差距大的特點，經(jīng)過初步探索，將信息安全指標納入了中國鐵建信息化績效評價體系，與各子分公司領(lǐng)導(dǎo)考核掛鉤，從“信息安全事故”和“等級保護”兩個維度、四項指標，通過定量對比分析，對各單位的信息安全工作進行評價，以推進信息安全持續(xù)改進。

2 考核原則

（1）公開、公平、公正。嚴格按照考核細則對被考核單位，在公開、公平、公正的環(huán)境中，進行客觀的評價。

（2）實事求是。被考核單位應(yīng)如實反映信息安全工作情況，提供的相關(guān)資料和數(shù)據(jù)真實可信。

（3）遵循規(guī)劃、貫徹制度、檢查效果、保障安全?？己酥笜说奶岢鲆孕畔踩?guī)劃、制度為依據(jù)，重點在信息化建設(shè)效果并保障信息安全。

（4）區(qū)別對待，逐步演進。根據(jù)子公司規(guī)模、成長階段、業(yè)務(wù)特點的不同，區(qū)別對待；根據(jù)信息安全建設(shè)重點，不同年度有不同的考核重點，逐步演進。

3 考核指標

中國鐵建大量的信息系統(tǒng)處于建設(shè)時期，因此每年對指標進行調(diào)整。目前，根據(jù)信息系統(tǒng)等級保護評價指標體系的原則要求， 選擇具有可操作性、可以量化的指標，從信息安全事故和信息系統(tǒng)安全等級保護兩個維度，信息安全事件、等級保護定級率、等級保護備案率、等級保護測評通過率四項指標進行了考核。

3.1 信息安全事件

信息安全事件及分級以中國鐵建《信息安全事件管理規(guī)定》定義為準。信息安全事件分為特別重大事件（I級）、重大事件（Ⅱ級）和一般事件（Ⅲ級）三個級別。

指標要點

（1）信息系統(tǒng)安全事件級別的確定。從類別劃分，信息安全事件分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、設(shè)備設(shè)施安全功能故障、災(zāi)害性事件等五種；從級別劃分，信息安全事件分為特別重大事件（I級）、重大事件（Ⅱ級）和一般事件（Ⅲ級）三個級別。

（2）信息安全事件的瞞報。對于發(fā)生信息安全事件后，隱瞞事故，在規(guī)定時限內(nèi)不主動向上級部門如實報告的情況，除扣除其該項考核成績外，按照股份公司有關(guān)規(guī)定進行通報并嚴肅處理；對多次發(fā)生信息安全事件的單位，將加強監(jiān)督檢查，并責(zé)令其徹底整改。

3.2 等保定級率

考核年度在建至驗收投入應(yīng)用各階段的信息系統(tǒng)與歷年上報的定級報告不重復(fù)累計數(shù)之比。

指標要點

（1）信息系統(tǒng)定級準確性。部分單位認為信息系統(tǒng)定級級別越高，就要花費更多的資金、精力，加重單位負擔(dān)，因此將基礎(chǔ)信息網(wǎng)絡(luò)、門戶網(wǎng)站、郵件、財務(wù)等重要信息系統(tǒng)定為一級，以逃避備案、測評。

針對這種情況，股份公司按照《信息系統(tǒng)安全等級保護區(qū)域劃分原則與定級指南》，對信息系統(tǒng)定級進行規(guī)范，并對定為一級、二級的信息系統(tǒng)進行重點檢查，避免定級不準確。

（2）信息系統(tǒng)數(shù)量準確性。部分單位在實施等保工作時，上報的信息系統(tǒng)數(shù)量小于實際建設(shè)數(shù)量。因此，在實際操作中，本考核項的分母“信息系統(tǒng)數(shù)”以該單位編制信息化項目預(yù)算時上報的信息系統(tǒng)數(shù)量為準。

（3）需提供加蓋本單位公章的《定級報告》掃描件。

3.3 等保備案率

考核年度在建至驗收投入應(yīng)用各階段的信息系統(tǒng)數(shù)與歷年上報的備案證書不重復(fù)累計數(shù)之比。

指標要點

（1）備案公安機關(guān)的選擇。針對部分單位未根據(jù)國家法律法規(guī)選擇合適公安機關(guān)備案的情況，股份公司在的《信息系統(tǒng)安全等級保護管理辦法》中規(guī)定：股份公司統(tǒng)建系統(tǒng)，三級及以上系統(tǒng)向公安部網(wǎng)絡(luò)安全保衛(wèi)局備案、二級系統(tǒng)向北京市公安局鐵道建筑公安局備案；駐京單位自建信息系統(tǒng)向北京市公安局鐵道建筑公安局備案；京外單位自建信息系統(tǒng)向當?shù)厥屑壖耙陨瞎矙C關(guān)備案。

（2）等保備案率的確定。等保備案率中的分母“信息系統(tǒng)數(shù)”，指的是該單位編制信息化項目預(yù)算時上報的信息系統(tǒng)數(shù)量，并非已定級的信息系統(tǒng)數(shù)量。

（3）需提供公安機關(guān)出具的《備案證明》掃描件。

3.4 等保測評通過率

歷年上報的定級備案證書不重復(fù)累計數(shù)與歷年測評通過的信息系統(tǒng)不重復(fù)累計數(shù)之比。

指標要點

（1）測評報告符合率。為防止部分單位將工作精力側(cè)重于取得測評報告，而忽視了對測評中反映出的安全問題的整改，在實際工作中，重點對測評不符合率較高的信息系統(tǒng)進行抽查，責(zé)令單位定期進行整改。

（2）需提供合格測評機構(gòu)出具的加蓋測評機構(gòu)公章的《安全等級測評報告》掃描件。

4 考核權(quán)重

4.1 信息安全事件

附加分項，最高減K分。出現(xiàn)一次I級信息安全事件、減K分；出現(xiàn)一次級信息安全事件、減K/2分，最多減K分。

4.2 等保定級率

基本分項，滿分K分?？己四甓仍诮ㄖ硫炇胀度霊?yīng)用各階段的信息系統(tǒng)數(shù)為A，歷年上報的定級報告不重復(fù)累計數(shù)為B，定級率M=B/A，平均定級率∑M=∑B/∑A。定級率得分S=min{（M/∑M）×K，K}。

4.3 等保備案率

基本分項，滿分K分?？己四甓仍诮ㄖ硫炇胀度霊?yīng)用各階段的信息系統(tǒng)數(shù)為A，歷年上報的備案證書不重復(fù)累計數(shù)為C，備案率M=C/A，平均備案率∑M=∑C/∑A。備案率得分S=min{（M/∑M）×K，K}。

4.4 等保通過率

基本分項，滿分K分。歷年上報的定級備案證書不重復(fù)累計數(shù)為C，歷年測評通過的信息系統(tǒng)不重復(fù)累計數(shù)為D，測評通過率M=D/C，平均測評通過率∑M=∑D/∑C。測評通過率得分S=min{（M/∑M）×K，K}。

5 指標計算

考核指標項分基本分項、附加分項兩類。以本單位基本分項滿分（Ai）為基數(shù)，用實際得分（Bi）計算其得分率（Mi=Bi/Ai），除以最高得分率（Mmax），再乘以信息安全工作績效指標分（C），即為信息安全工作考核實際得分（Si=C×Mi/Mmax）。

6 結(jié)束語

本文對中國鐵建將信息安全指標納入信息化績效評價體系進行了概述， 提出了綜合評價的方法，希望能借以推進本企業(yè)信息安全工作的開展，提高信息系統(tǒng)的安全性，并切實將國家法律法規(guī)落到實處。從實際執(zhí)行效果看，已經(jīng)取得了一定的成效。

參考文獻

[1] GB/T 22239―2008，信息系統(tǒng)安全等級保護基本要求.

[2] GB 17859-1999，安全等級保護劃分準則.

[3] GB/T 22240―2008，信息系統(tǒng)安全保護等級定級指南.

篇7

關(guān)鍵詞：信息安全；風(fēng)險評估；教學(xué)

信息安全風(fēng)險評估是進行信息安全管理的重要依據(jù)，通過對信息系統(tǒng)進行系統(tǒng)的風(fēng)險分析和評估，發(fā)現(xiàn)存在的安全問題并提出相應(yīng)的措施，這對于保護和管理信息系統(tǒng)至關(guān)重要。目前國內(nèi)外都高度重視信息安全風(fēng)險評估工作。美國政府2002年頒布《聯(lián)邦信息安全管理法》，對信息安全風(fēng)險評估提出了具體的要求；歐盟國家也把開展信息安全風(fēng)險評估作為提高信息安全保障水平的重要手段；2003年7月23日，國家信息中心組建成立“信息安全風(fēng)險評估課題組”，提出了我國開展信息安全風(fēng)險評估的對策和辦法。2004年，國務(wù)院信息辦研究制訂了《信息安全風(fēng)險評估指南》和《信息安全風(fēng)險管理指南》兩個風(fēng)險評估的標準；2006年又起草了《關(guān)于開展信息安全風(fēng)險評估工作的意見》[1]。這些工作都對信息安全人才的培養(yǎng)提出了更高的要求，同時也為《信息安全風(fēng)險評估》課程的開設(shè)和講授提供了必要的基礎(chǔ)和條件?！缎畔踩L(fēng)險評估》課程教學(xué)，是信息安全專業(yè)一門重要的專業(yè)課程，能全面培養(yǎng)學(xué)生綜合運用專業(yè)知識，評估并解決信息系統(tǒng)安全問題的能力，是培養(yǎng)符合國家和社會需要的信息安全專業(yè)人才的重要課程之一?！缎畔踩L(fēng)險評估》課程本身的理論性與實踐性都很強，課程發(fā)展十分迅速，涉及的學(xué)科范圍也較廣，傳統(tǒng)的教學(xué)的模式不能使該課程的特點很好地展示出來，無法適應(yīng)社會經(jīng)濟發(fā)展對信息安全從業(yè)人員的新要求，教學(xué)改革勢在必行。

一、現(xiàn)狀與存在的問題

信息安全風(fēng)險評估是從風(fēng)險管理角度，運用科學(xué)的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的安全威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施。它涉及信息系統(tǒng)的社會行為、管理行為、物理行為、邏輯行為等的保密性、完整性和可用性檢測。風(fēng)險評估的結(jié)果可以作為信息安全風(fēng)險管理的指南，用來確定合適的管理方針和選擇相應(yīng)的控制措施來保護信息資產(chǎn)，全面提高信息安全保障能力[2]。自2001年信息安全專業(yè)建立以來，高校在制訂本科專業(yè)教學(xué)培養(yǎng)目標和教學(xué)計劃時，側(cè)重于具體安全理論和技術(shù)的教學(xué)和講授，特別是重點強調(diào)了密碼學(xué)、防火墻、入侵檢測、網(wǎng)絡(luò)安全等安全理論與技術(shù)的傳授。從目前高校的教學(xué)內(nèi)容看，多數(shù)側(cè)重于對“信息風(fēng)險管理”、“風(fēng)險識別”、“風(fēng)險評估”和“風(fēng)險控制”等基本內(nèi)容的介紹上，而且教學(xué)課時數(shù)也較少，只有十個學(xué)時。當前從《信息安全風(fēng)險評估》課程的教學(xué)情況來看，該課程在信息安全教育教學(xué)過程中地位有待提高，實踐教學(xué)的建設(shè)與研究迫切需要深化。

當前該課程的教學(xué)實踐中普遍存在以下幾個方面的問題，嚴重制約了《信息安全風(fēng)險評估》課程教學(xué)質(zhì)量的提高：

1.本科教學(xué)大都以理論內(nèi)容為主體，實驗和課程設(shè)計的學(xué)時安排較少。一般高校的《信息安全風(fēng)險評估》課程主要以理論內(nèi)容的講授為主，實驗和課程設(shè)計的學(xué)時較少，實驗內(nèi)容也大多屬于驗證性質(zhì)，缺少具有研究和探索性質(zhì)的信息安全風(fēng)險評估實踐內(nèi)容和課程設(shè)計；

2.教學(xué)方法單一，缺乏激勵學(xué)生求知欲的教學(xué)方法和手段。當前開設(shè)《信息安全風(fēng)險評估》課程的高校還較少，師資力量相對薄弱，教學(xué)經(jīng)驗也比較缺乏，仍以主要由教師講述的傳統(tǒng)教學(xué)方式為主，學(xué)生進行具體實踐和操作的課時較少，缺乏創(chuàng)新性的教學(xué)和研究，基本沒有具有探索性和創(chuàng)新性特點的教學(xué)內(nèi)容，不利于發(fā)揮學(xué)生主觀能動性，提高其創(chuàng)新能力；

3.實驗環(huán)境無法滿足教學(xué)需求，缺乏專業(yè)的信息安全風(fēng)險評估師資。我國信息安全風(fēng)險評估的研究和教學(xué)工作起步晚，缺乏相關(guān)的實驗設(shè)備；而且受到資金和專業(yè)發(fā)展等多方面因素的制約，難以設(shè)立專門的信息安全風(fēng)險評估實驗室。此外，信息安全風(fēng)險評估是以計算機技術(shù)為核心，涉及管理科學(xué)、安全技術(shù)、通信和信息工程等多個學(xué)科，對于理論和實踐要求都很高。這就要求教師既要學(xué)習(xí)好各學(xué)科的基本知識，又要加強實踐訓(xùn)練。

二、教學(xué)改革與探索

高校計算機相關(guān)專業(yè)開設(shè)《信息安全風(fēng)險評估》課程，不是培養(yǎng)網(wǎng)絡(luò)信息安全方面的全才或戰(zhàn)略人才，而是培養(yǎng)在實際生活和工作中確實能解決某些具體安全問題的實用型人才。針對《信息安全風(fēng)險評估》課程的特點和教學(xué)中存在的不足，我們從以下幾個方面對該課程的教學(xué)改革進行了探索：

1.重新確立課程培養(yǎng)目標。①重點培養(yǎng)學(xué)生分析和評估信息安全問題的能力：《信息安全風(fēng)險評估》課程是一門理論性和實踐性緊密結(jié)合的課程，目前開設(shè)該課程的高校較少，各學(xué)校的教學(xué)內(nèi)容也多種多樣。該課程的教學(xué)目標即要培養(yǎng)學(xué)生發(fā)現(xiàn)信息系統(tǒng)存在的安全風(fēng)險，同時也需要培養(yǎng)他們科學(xué)地提出解決安全隱患的方案及能力。如何提高學(xué)生分析和評估信息安全問題的能力是該課程教學(xué)的首要目標。②培養(yǎng)學(xué)生實際操作的能力：信息安全風(fēng)險評估的關(guān)鍵是對信息系統(tǒng)的資產(chǎn)進行分類，對其風(fēng)險的識別、估計和評價做出全面的、綜合的分析。這就要求學(xué)生熟練地掌握目標對象的檢測和評估方法，包括使用各種自動化和半自動化的工具，可在模擬實驗里，通過不斷地訓(xùn)練實現(xiàn)。③培養(yǎng)學(xué)生繼續(xù)學(xué)習(xí)、勇于探索創(chuàng)新的能力：隨著信息化的不斷發(fā)展，信息系統(tǒng)所面臨的安全威脅急劇增加，為此各國政府都不斷提出和完善了各類信息安全測評標準。這就要求我們在教學(xué)中不斷地學(xué)習(xí)、理解和解釋最新的國際、國內(nèi)以及相關(guān)的行業(yè)標準，培養(yǎng)和提高學(xué)生繼續(xù)學(xué)習(xí)的能力。另外，《信息安全風(fēng)險評估》課程也要求通過課堂教學(xué)、課后練習(xí)、實驗驗證和考試、考查等教學(xué)環(huán)節(jié)培養(yǎng)學(xué)生獨力分析信息系統(tǒng)安全的能力，培養(yǎng)學(xué)生對信息安全風(fēng)險評估領(lǐng)域進行探索和研究的興趣，最終使學(xué)生掌握信息安全風(fēng)險評估的知識和技能，能夠解決具體信息系統(tǒng)的安全問題。

2.增加信息安全風(fēng)險評估理論和相關(guān)標準的教學(xué)。信息安全測評標準和相關(guān)法律法規(guī)是進行信息系統(tǒng)安全風(fēng)險評估的依據(jù)和保障。2006年由原國信辦《關(guān)于開展信息安全風(fēng)險評估工作的意見》（國信辦2006年5號文）；同時，隨著信息安全等級保護制度的推行，公安部會同有關(guān)部門出臺了一系列政策文件，主要包括：《關(guān)于信息安全等級保護工作的實施意見》、《信息安全等級保護管理辦法》等；國家信息安全標準化委員會頒發(fā)了《信息安全風(fēng)險評估規(guī)范》（GB/T 20984~2007）、《信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008）等多個國家標準[3]。為了保證《信息安全風(fēng)險評估》課程目標的實現(xiàn)，我們在教學(xué)過程中，增加了《GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》、《GB/Z24364-2009信息安全風(fēng)險管理指南》、《GB/T

22080-2008信息安全管理體系要求》、《GB/T22081-

2008信息安全管理實用規(guī)則》、《GB/T20269-2006信息系統(tǒng)安全管理要求》、《GB/T25063-2010?搖信息安全技術(shù)服務(wù)器安全測評要求》、《GB/T 20010-2005信息安全技術(shù)包過濾防火墻評估準則》、《GB/T20011-2005信息安全技術(shù)路由器安全評估準則》、《GA/T 672-2006信息安全技術(shù)終端計算機系統(tǒng)安全等級評估準則》、《GA/T 712-2007信息安全技術(shù)應(yīng)用軟件系統(tǒng)安全等級保護通用測試指南》等相關(guān)評估標準和指南的學(xué)習(xí)，并編制相關(guān)的調(diào)查、檢查、測試表，重點強調(diào)對脆弱性檢測的理論依據(jù)的描述，檢測方法及其步驟的詳細記錄。

3.利用各種測評工具，提高學(xué)生實踐能力。在信息安全風(fēng)險評估過程中，資產(chǎn)賦值、威脅量化分析、安全模型的建立等環(huán)節(jié)的教學(xué)和實踐對教師和學(xué)生都提出了較高的專業(yè)課程要求。我們在《信息安全風(fēng)險評估》課程實踐中通過使用風(fēng)險評估工具，并對具體的信息系統(tǒng)進行自動化或半自動化的分析，加深了學(xué)生信息安全風(fēng)險評估的理論知識理解，同時注重培養(yǎng)學(xué)生動手實踐能力和探索新知識的能力。我們增加了主動型風(fēng)險評估工具Tenable掃描門戶網(wǎng)站系統(tǒng)的實踐性教學(xué)內(nèi)容。通過評估，該系統(tǒng)的服務(wù)器存在感染病毒的癥狀，其原因是服務(wù)器存在特定漏洞。為此我們使用漏洞掃描器對該服務(wù)器進行掃描，發(fā)現(xiàn)了“遠程代碼被執(zhí)行”漏洞，而且該漏洞能被蠕蟲病毒利用，形成針對系統(tǒng)的攻擊。通過案例特征提供了的信息，培養(yǎng)學(xué)生使用測評工具對具體信息系統(tǒng)進行安全風(fēng)險評估的能力，并進一步使其認識到主動型評估工具是信息安全風(fēng)險評估中快速了解目標系統(tǒng)安全狀況不可或缺的重要手段。

筆者結(jié)合自己的教學(xué)實踐體會，論述了當前《信息安全風(fēng)險評估》課程中存在的問題以及解決對策?！缎畔踩L(fēng)險評估》課程教學(xué)改革和建設(shè)是一個長期的、系統(tǒng)化的工程，需要不斷地根據(jù)信息系統(tǒng)在新環(huán)境下面臨的各種威脅，制定新的評估標準和評估方案，并使得學(xué)生在有限的時間和環(huán)境下掌握相應(yīng)的知識和技能，以滿足社會對信息安全人才的需求。

參考文獻：

[1]付沙.加強信息安全風(fēng)險評估工作的研究[J].微型電腦應(yīng)用，2010，26（8）：6-8.

[2]楊春暉，張昊，王勇.信息安全風(fēng)險評估及輔助工具應(yīng)用[J].信息安全與通信保密，2007，（12）：75-77.

[3]潘平，楊平，羅東梅，何朝霞.信息系統(tǒng)安全風(fēng)險檢查評估實踐教學(xué)探討[C]// Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security（NTS-CIS 2011），2011，（8）.

篇8

關(guān)鍵詞：等級保護；三級信息系統(tǒng)；系統(tǒng)設(shè)計

現(xiàn)如今各方面競爭都尤為激烈，信息資源已然成為戰(zhàn)略資源中最關(guān)鍵的構(gòu)成部分，此時以等級保護三級信息系統(tǒng)設(shè)計與實現(xiàn)為例的技術(shù)研究，就必須要盡快提上日程，這也是信息安全管理與保護水平獲得提升的必要途徑。

1信息系統(tǒng)安全等級保護的概念

信息系統(tǒng)安全等級保護是我國信息安全保障工作的基本制度和方法，是我國多年來信息安全工作經(jīng)驗的總結(jié)。根據(jù)相關(guān)法律政策規(guī)定，我國制定了一系列信息安全管理辦法，為信息安全保護工作的開展提供了法律、政策、標準依據(jù)。作為國家統(tǒng)一制定并的標準，《信息系統(tǒng)安全等級保護基本要求》中明確指出，應(yīng)將信息系統(tǒng)的重要程度作為根據(jù)，將保護工作有針對性的合理安排下去，并且應(yīng)對信息系統(tǒng)展開相應(yīng)的保護，國家也需對各等級的信息系統(tǒng)，制定強度適中的監(jiān)督管理計劃[1]。

2等保三級的設(shè)計要求

2.1安全計算環(huán)境設(shè)計

本文主要從以下幾方面來論述安全計算環(huán)境設(shè)計。首先是身份鑒別，這是達到三級安全要求的首要前提，需從用戶標識與用戶鑒別這兩方面來明確安全機制。用戶標識安全機制簡單來講，就是用系統(tǒng)中每位用戶注冊時填寫的用戶標識，來對用戶身份進行標注，同時需保證生存周期內(nèi)用戶標識不能出現(xiàn)重復(fù)；而后者則指用戶在每次登錄系統(tǒng)的時候，通過安全管理中心控制下的口令、生物特征以及安全強度達標的組合機制，展開的對用戶身份的鑒別，且鑒22別后會保護好生成數(shù)據(jù)的私密性與完整性。其次是標記和強制訪問控制。系統(tǒng)需針對安全管理員，展開嚴格的身份鑒別與權(quán)限控制，并且賦予其主體與客體安全標記的權(quán)利。在強制訪問控制之下，技術(shù)人員應(yīng)將重點放在全部主體與客體標機信息的一致性上，且強制訪問控制規(guī)則也應(yīng)該同樣落實。最后是安全計算環(huán)境的嚴格審計。系統(tǒng)應(yīng)對安全事件有明確且完整的記錄，且一般來講，安全事件的主體、客體、類型、出現(xiàn)節(jié)點、后果等，都應(yīng)納入安全事件記錄的總體范疇。與此同時，審計記錄還應(yīng)通過分析、分類等環(huán)節(jié)，向系統(tǒng)中存儲保護。技術(shù)人員還應(yīng)為安全管理中心提供接口，如果某些安全事件系統(tǒng)無法自行解決，則應(yīng)基于授權(quán)主體調(diào)用要求創(chuàng)設(shè)接口。

2.2安全通信網(wǎng)絡(luò)設(shè)計

安全通信網(wǎng)絡(luò)設(shè)計工作，基本上都是以通信網(wǎng)絡(luò)的保密要求為基點展開的，通常情況下，網(wǎng)絡(luò)加密技術(shù)能滿足等保三級中涉及的全部要求，技術(shù)人員可通過對VPN技術(shù)的合理運用，達成保護通信網(wǎng)絡(luò)與數(shù)據(jù)的目的[2-3]。

2.3安全管理中心設(shè)計

（1）系統(tǒng)管理等級保護三級對系統(tǒng)的要求，主要體現(xiàn)在系統(tǒng)管理員的身份鑒別與授權(quán)上，管理員一般情況下只有特定界面與系統(tǒng)訪問的權(quán)利。系統(tǒng)管理員大致可以劃分成網(wǎng)絡(luò)、主機以及存儲管理這幾種，網(wǎng)絡(luò)管理員的主要職責(zé)在于配置網(wǎng)絡(luò)設(shè)備；主機管理的配置服務(wù)則主要針對服務(wù)器展開；存儲管理員需做好存儲設(shè)備的維護與管理工作[4]。（2）安全管理等保三級在管理員身份鑒別與授權(quán)方面的要求也格外嚴格。雖說安全管理員的工作并不復(fù)雜，通常只涉及安全設(shè)備管理，但因為安全設(shè)備是覆蓋到計算系統(tǒng)各方面的，所以安全管理員的專業(yè)水平、工作狀態(tài)以及綜合素質(zhì)等，都需要得到足夠的重視?，F(xiàn)階段，安全設(shè)備基本上都有l(wèi)og記錄功能，可用于授權(quán)管理的接口使用也很方便。（3）審計管理安全審計員也應(yīng)接受嚴格的身份鑒別和管理，由于其在工作中會接觸多種設(shè)備，所以對其行為的控制也要得到充分保證。

3等保三級的實現(xiàn)設(shè)計策略

（1）安全計算環(huán)境建設(shè)首先，在安全計算環(huán)境設(shè)計的過程中，多因子身份認證系統(tǒng)的應(yīng)用絕對是重中之重，經(jīng)實踐證明，如果能確保此身份認證系統(tǒng)的合理應(yīng)用，則等保三級中要求的用戶身份鑒別、強制訪問以及自主訪問控制等要求均能得到滿足。除此之外，此系統(tǒng)還能有效控制訪問的過程，從而在最大程度上確保訪問的有效性。其次，敏感數(shù)據(jù)保護系統(tǒng)在我國出現(xiàn)與應(yīng)用的時間雖然并不長，但在文件驅(qū)動管理方面的優(yōu)勢卻非常顯著，例如穩(wěn)定性與可靠性強等，但同時此系統(tǒng)的缺陷與弊端也不能忽視，因為其對操作系統(tǒng)平臺的依賴度過強，導(dǎo)致操作系統(tǒng)中的數(shù)據(jù)私密性與完整性很難被保護?，F(xiàn)階段，也有很多國內(nèi)企業(yè)通過國際先進技術(shù)，來保護存于操作系統(tǒng)內(nèi)部的數(shù)據(jù)，但其穩(wěn)定性與實際效果仍有待觀察，所以就目前的要求來看，敏感數(shù)據(jù)保護系統(tǒng)已然可以達到等保三級對用戶數(shù)據(jù)及客體安全保護的標準和要求[5]。（2）安全區(qū)域邊界建設(shè)防火墻、入侵檢測設(shè)備以及防病毒網(wǎng)關(guān)，即為現(xiàn)如今等保三級系統(tǒng)中內(nèi)外部網(wǎng)絡(luò)保護系統(tǒng)的主要構(gòu)成部分。第一，防火墻中只有必要的服務(wù)端才會開放，如果有相應(yīng)的IDS在配置中，則技術(shù)人員必須將二者間的聯(lián)動充分考慮在內(nèi)，從而在系統(tǒng)受到攻擊時能及時檢測并且報警。第二，對于外部網(wǎng)絡(luò)層的保護而言，入侵檢測設(shè)備對攻擊能發(fā)揮良好、穩(wěn)定的分布式拒絕功能。第三，防病毒網(wǎng)關(guān)主要針對進入系統(tǒng)的數(shù)據(jù)信息，展開全面的防毒檢測，它是預(yù)防病毒進入的最前線，對于安全區(qū)域邊界建設(shè)而言，有著不能忽視的重要作用。但經(jīng)實踐證明，僅用防病毒網(wǎng)關(guān)來保護系統(tǒng)是遠遠不夠的，還應(yīng)將網(wǎng)絡(luò)防病毒軟件安裝于終端，以確保對入侵病毒的實時查殺。此時相關(guān)人員還需明確意識到，部分國外的防毒軟件在染毒文件無法有效殺毒時，通常會選擇采取保守策略，即只對病毒給出警告或把染毒文件移動到保護區(qū)；而國內(nèi)大多數(shù)的防毒軟件則基本上會直接將文件刪除。在染毒文件尤為重要的情況下，這兩種方法都可能會為用戶帶來不可逆轉(zhuǎn)的損失，因此，我們可以采取結(jié)合殺毒軟件與終端管理軟件的方法，確保染毒文件能向相應(yīng)病毒服務(wù)器的制定目錄中移動，從而由安全管理員展開接下來的人工處理[6]。作為不同網(wǎng)絡(luò)安全域間的訪問控制設(shè)備，安全區(qū)域邊界防護系統(tǒng)通常都以安全計算環(huán)境邊界為主要設(shè)置點，其會以安全標記過濾與管理標準為根據(jù)，實現(xiàn)對數(shù)據(jù)包與訪問的有效過濾、檢測并對網(wǎng)絡(luò)攻擊發(fā)出警報等功能。（3）安全通信網(wǎng)絡(luò)建設(shè)實際上，一臺可正常運行的VP設(shè)備，就能滿足安全通信網(wǎng)絡(luò)的基本要求。具體來講，在外部終端需訪問內(nèi)部網(wǎng)絡(luò)資源的時候，SSLVPN的效果更加顯著；若出現(xiàn)分支機構(gòu)的現(xiàn)象，則利用VPN設(shè)備的加速功能，也能促進網(wǎng)絡(luò)傳輸效率的大幅度提升；從技術(shù)成熟度的角度上來看，IPSecVPN略勝一籌，但其配置的復(fù)雜性較強，實際使用也遠比不過SSLVPN的便捷性[6]。除此之外，在等級保護三級的要求下，技術(shù)人員必須開放VPN數(shù)據(jù)校驗與系統(tǒng)審計的功能。（4）安全管理中心建設(shè)就等級保護三級系統(tǒng)中安全管理中心的建設(shè)而言，很多廠家的SOC產(chǎn)品安全管理平臺產(chǎn)品，設(shè)計與配置都是以ITIL規(guī)范為根據(jù)展開的，但目前能將規(guī)范中全部要求一一滿足的廠家?guī)缀鯖]有。與此同時，只有少部分的合作伙伴才能接觸到安全產(chǎn)品，產(chǎn)品大量生產(chǎn)及統(tǒng)一管理的目的很難達成，經(jīng)過相應(yīng)的分析與研究可知，此問題主要是安全產(chǎn)品并未嚴格遵循規(guī)范導(dǎo)致的。因此，為同時滿足等保三級的要求與實際使用需求，我們應(yīng)基于多個產(chǎn)品來建設(shè)安全管理中心，確保其各項功能均能發(fā)揮應(yīng)有的重要作用，也為各被管理系統(tǒng)中管理工具與數(shù)據(jù)的高效融合提供更高程度的保證。具體來講，技術(shù)人員可按照要求選擇多個產(chǎn)品，這樣即使在權(quán)限不同的情況下，系統(tǒng)級別劃分工作也不會受到影響；同時各部分的管理人員也應(yīng)分別配置，從而使管理規(guī)范能充分發(fā)揮其約束作用。在各項管理工具獲取到相應(yīng)信息之后，技術(shù)人員即可進行最終的數(shù)據(jù)整合工作，一般情況下，需要進行數(shù)據(jù)整合的產(chǎn)品數(shù)量很多，尤其被廣泛應(yīng)用于ERP系統(tǒng)里，并且最終用于企業(yè)領(lǐng)導(dǎo)層的重大決策。實際上，一般企業(yè)都能接受此價位，價格也能夠為一般企業(yè)所接受，只是傳統(tǒng)方案設(shè)計中并未考慮過產(chǎn)品在安全管理中心建設(shè)中的使用，現(xiàn)如今只通過對數(shù)據(jù)整合工具的利用，即能實現(xiàn)對多個管理工具間的信息互通[7]。

篇9

隨著軍隊物資采購機構(gòu)信息化建設(shè)的不斷推進，信息系統(tǒng)已經(jīng)成為當前采辦系統(tǒng)的核心組成部分。信息安全風(fēng)險直接影響到軍隊物資采購系統(tǒng)為軍隊用戶提供服務(wù)和對各類供應(yīng)商等采購實體進行管理的能力。在關(guān)鍵時刻，個別重大的信息系統(tǒng)發(fā)生故障或癱瘓，往往會給整個軍隊后勤保障帶來不可挽回的損失和影響，從而給整個軍隊建設(shè)和國防事業(yè)帶來損失。

當前，軍隊物資采購系統(tǒng)根據(jù)總后關(guān)于信息化建設(shè)的精神，建立了依托干軍隊內(nèi)部的指揮自動化網(wǎng)、軍隊綜合信息網(wǎng)等內(nèi)部指揮控制網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)、業(yè)務(wù)管理網(wǎng)絡(luò)等信息服務(wù)和指揮網(wǎng)絡(luò)，為軍隊采購管理單位、采購業(yè)務(wù)單位、科研和教學(xué)單位、軍內(nèi)終端客戶提供廣泛的信息服務(wù)。

實施信息安全管理，不僅能夠有效地提高信息系統(tǒng)的安全性、完整性、可用性以及對相關(guān)應(yīng)急采購任務(wù)的快速反應(yīng)能力，同時也是保障軍隊物資采購系統(tǒng)科學(xué)發(fā)展，為軍隊提供最優(yōu)保障力的重要手段。

一、軍隊物資采購信息安全風(fēng)險

在軍隊物資采購活動中，存在各種各樣的風(fēng)險，都對采辦的結(jié)果產(chǎn)生不同程度的影響。根據(jù)風(fēng)險產(chǎn)生對象的不同，將風(fēng)險分為人為風(fēng)險、系統(tǒng)風(fēng)險、數(shù)據(jù)風(fēng)險等三個方面。

(一)人為風(fēng)險。

人是信息安全最主要的風(fēng)險因素，不適當?shù)男畔⑾到y(tǒng)授權(quán)，會導(dǎo)致未經(jīng)授權(quán)的人獲取不適當?shù)男畔?。采購人員的操作失誤或疏忽會導(dǎo)致信息系統(tǒng)的錯誤動作或產(chǎn)生垃圾信息；違規(guī)篡改數(shù)據(jù)、修改系統(tǒng)時間、修改系統(tǒng)配置、違規(guī)導(dǎo)入或刪除信息系統(tǒng)的數(shù)據(jù)，可能導(dǎo)致各種重大采購事故的發(fā)生。有令不行、有禁不止等人為因素形成的風(fēng)險，是軍隊物資采購信息安全的最大風(fēng)險。

(二)系統(tǒng)風(fēng)險。

系統(tǒng)風(fēng)險包括系統(tǒng)開發(fā)風(fēng)險和系統(tǒng)運行風(fēng)險。在采購項目開發(fā)過程中沒有考慮到必要的信息系統(tǒng)安全設(shè)計，或安全設(shè)計存在缺陷，都會導(dǎo)致采辦信息系統(tǒng)安全免疫能力不足。沒有完善、嚴格的生產(chǎn)系統(tǒng)運行管理體制，會導(dǎo)致機房管理、口令管理、授權(quán)管理、用戶管理、服務(wù)器管理、網(wǎng)絡(luò)管理、備份管理、病毒管理等方面出現(xiàn)問題，輕則產(chǎn)生垃圾信息，重則發(fā)生系統(tǒng)中斷、信息被非法獲取。

當前的采購信息系統(tǒng)已是一個龐大的網(wǎng)絡(luò)化系統(tǒng)，在網(wǎng)絡(luò)內(nèi)存在眾多的中小型機、服務(wù)器、前置機、路由器、終端設(shè)備，也包括數(shù)據(jù)庫、操作系統(tǒng)、中間件、應(yīng)用系統(tǒng)等軟件系統(tǒng)。網(wǎng)絡(luò)系統(tǒng)中的任何一個環(huán)節(jié)都有可能出現(xiàn)故障，一旦出現(xiàn)故障便有可能造成系統(tǒng)中斷，影響業(yè)務(wù)正常運作。同時，由于自然災(zāi)害、戰(zhàn)爭等突發(fā)事件造成的系統(tǒng)崩潰、數(shù)據(jù)載體不可修復(fù)性損失等等，都能夠給采購信息系統(tǒng)帶來很大的影響。

(三)數(shù)據(jù)風(fēng)險。

數(shù)據(jù)是信息的載體，也是軍隊物資采購系統(tǒng)最重要的資產(chǎn)。對數(shù)據(jù)的存儲、處理、獲取、和共享均需要有一套完整的流程和審批制度，沒有健全的數(shù)據(jù)管理制度，便存在導(dǎo)致數(shù)據(jù)信息泄露的風(fēng)險。

二、軍隊物資采購信息安全的內(nèi)容

通過對信息安全定義的查詢，可以看到其是根據(jù)不同的環(huán)境情況各自不同的。在相對受到專業(yè)影響較小的國際標準ISOl7799信息安全標準中，信息安全是指：使信息避免一系列威脅，保障商務(wù)的連續(xù)性，盡量減少業(yè)務(wù)損失，從而最大限度地獲取投資和商務(wù)的回報。

對于軍隊物資采購系統(tǒng)，信息安全管理則應(yīng)該堅持系統(tǒng)和全局的觀念，基于平戰(zhàn)結(jié)合、立足應(yīng)急保障的思想，指導(dǎo)組織建立安全管理體系。通過系統(tǒng)、全面、科學(xué)的安全風(fēng)險評估，體現(xiàn)“積極預(yù)防、綜合防范”的方針，強調(diào)遵守國家有關(guān)信息安全的法律法規(guī)及其他合同方要求，透過全過程和動態(tài)控制，本著控制費用與風(fēng)險平衡的原則，合理選擇安全控制方式，保護組織所擁有的關(guān)鍵信息資產(chǎn)，使信息風(fēng)險的發(fā)生概率降低到可接受的水平，確保信息的保密性、完整性和可用性，保持組織業(yè)務(wù)運作的持續(xù)性。

(一)保密性。

信息安全的保密性，在確保遵守軍隊保密守則規(guī)定的前提下，確保信息僅可讓授權(quán)獲取的相關(guān)人員訪問。結(jié)合當前的狀況，軍隊物資采購系統(tǒng)的信息安全保密應(yīng)當做熟嚴格分崗授權(quán)制衡機制，杜絕不相容崗位兼崗現(xiàn)象;嚴格用戶管理和授權(quán)管理，防止非法用戶，用戶冗余和用戶授權(quán)不當;加強密碼管理，防止不設(shè)口令或者口令過于簡熟加強病毒防范管理，防范病毒損氰控制訪問信息，組織非法訪問信息系統(tǒng)確保對外網(wǎng)絡(luò)服務(wù)得到保護，陰止非法訪問網(wǎng)絡(luò);檢測非法行為，防范道德風(fēng)險;保證在使用移動電腦和遠程網(wǎng)絡(luò)設(shè)備時的信息安全，防止非法攻擊。

(二)完備性。

信息安全的完備性，是指信息準確和具備完善的處理方法。具體要求是:嚴格采購業(yè)務(wù)流程管理，確保采購業(yè)務(wù)流程與采購信息系統(tǒng)操作流程完備一熟嚴格控制生產(chǎn)系統(tǒng)數(shù)據(jù)修改，防止數(shù)據(jù)丟失。防止不正確修改，減少誤操作;嚴格數(shù)據(jù)管理，確保數(shù)據(jù)得到完整積累與保全，使系統(tǒng)數(shù)據(jù)能夠真實、完整地反映采購業(yè)務(wù)信息;嚴格按照軍隊關(guān)于物資采購規(guī)定和要求操作，減少或杜絕非標業(yè)務(wù)。避免任何違反法令、法規(guī)、合同約定及易導(dǎo)致業(yè)務(wù)信息與數(shù)據(jù)信息不一致、不完整的行為。

(三)可用性。

信息安全的可用性，要求確保被授權(quán)人可以獲取所需信息。具體要求是:加強生產(chǎn)系統(tǒng)運行管理，確保生產(chǎn)系統(tǒng)安全、穩(wěn)定、可靠運行;加強生產(chǎn)機房建設(shè)與管理，保障機房工作環(huán)境所必需的濕度、溫度、電源、防火、防水、防靜電、防雷、限制進人等要求，減少安全隱患;加強生產(chǎn)系統(tǒng)日常檢查管理，及早發(fā)現(xiàn)故障苗頭;加強系統(tǒng)備份，防止數(shù)據(jù)損失;嚴格生產(chǎn)系統(tǒng)時間管理，禁止隨意修改生產(chǎn)系統(tǒng)時間;保障系統(tǒng)持續(xù)運標實施災(zāi)難備份，防止關(guān)鍵業(yè)務(wù)處理在災(zāi)難發(fā)生時受到影響。

三、軍隊物資采購信息安全管理

(一)信息安全機構(gòu)。

軍隊物資采購系統(tǒng)應(yīng)分出專人專職來負責(zé)信息安全管理工作，并協(xié)同上級業(yè)務(wù)管理單位制定信息安全管理制度和工作程序，設(shè)定安全等級，評估安全風(fēng)險程度，落實防范措施方案，提出內(nèi)控體系整改方案與措施，監(jiān)督和評估信息安全管理成效。在與上級總部和軍區(qū)、軍兵種物油部管理機構(gòu)之間還要有一個快速響應(yīng)的信息安全事故收集、匯總、處理及反饋體系。

(二)信息安全管理制度與策略。

信息安全管理制度應(yīng)針對軍隊物資采購系統(tǒng)現(xiàn)狀與發(fā)展方向來制定，要充分考慮可操作性?，F(xiàn)階段可根據(jù)“積極防御、綜合防范”的方針，制定內(nèi)部網(wǎng)、OA網(wǎng)、外部網(wǎng)的管理辦法，明確用戶的訪問權(quán)限。制定生產(chǎn)系統(tǒng)運行管理辦法。嚴格實行分崗制衡、分級授權(quán)，嚴格執(zhí)行生產(chǎn)系統(tǒng)時間管理、備份管理、數(shù)據(jù)管理和口令管理。

(三)信息安全分級管理。

信息安全分級管理，是將信息資源根據(jù)重要性進行分級，對不同級別的信息資產(chǎn)采用不同級別信息安全保護措施，國家已將信息安全等級保護監(jiān)督劃分為五個級別，分別為自主性保護、指導(dǎo)性保護、專控性保護。

軍隊物資采購系統(tǒng)可以結(jié)合實際情況，將信息資產(chǎn)分為“三級”或“五級”保護，目的在于突出重點，抓住關(guān)鍵，兼顧一般，合理保護。分級管理的方法是分析危險源或危險點，評估其重要性，再分設(shè)等級，從而采取不同的保護措施。比如，對于采購機構(gòu)業(yè)務(wù)機房，可采取門禁與限制進入等方式進行保護;針對采購中相關(guān)數(shù)據(jù)的提供，可設(shè)計一定的審判流程，根據(jù)數(shù)據(jù)的重要程度，分為公開信息、優(yōu)先共享信息、內(nèi)部一般信息、內(nèi)部控制信息、內(nèi)部關(guān)鍵信息和內(nèi)部核心信息，實施嚴格的授權(quán)控制;對于信息安全事故，可分為重大事故、一般事故、輕微事故等，采取不同的處置方案。

(四)信息安全集中監(jiān)控與處置。

設(shè)立集中運行的信息安全監(jiān)控處置中心，及時監(jiān)控、發(fā)現(xiàn)安全事故，做到響應(yīng)快速、處置果斷，并實施應(yīng)急恢復(fù)。結(jié)合軍隊物資采購系統(tǒng)當前實際情況，可對網(wǎng)絡(luò)、服務(wù)器等運行設(shè)備進行集中監(jiān)控，開展服務(wù)器容量管理、網(wǎng)絡(luò)流量監(jiān)控;對應(yīng)用系統(tǒng)采取防范與監(jiān)控相結(jié)合的方式，對信息系統(tǒng)的數(shù)據(jù)設(shè)置校驗碼，防止非法修改;在開發(fā)應(yīng)用系統(tǒng)的同時，還應(yīng)開發(fā)相應(yīng)的審計檢查監(jiān)控程序，由各單位分別運行和維護，由上級采購管理機構(gòu)定期查驗和監(jiān)督，及時發(fā)現(xiàn)數(shù)據(jù)信息存在的風(fēng)險。

四、信息安全管理系統(tǒng)

實現(xiàn)信息安全管理的集中運行，需借助信息安全管理系統(tǒng)。各軍隊采購機構(gòu)和部門可以按照上級下達的統(tǒng)一標準，構(gòu)建基于同一操作平臺的信息安全管理系統(tǒng)，幫助安全管理中心實現(xiàn)系統(tǒng)的監(jiān)控、分析、預(yù)警等功能，實現(xiàn)信息安全事故處理的收集、存儲、分析等功能，及時對信息風(fēng)險作出反饋。

(一)監(jiān)控功能。

為采辦機構(gòu)和部門的相關(guān)信息處理和傳輸設(shè)備配置專人管理，并設(shè)置機房日志管理、服務(wù)器性能日志管理、服務(wù)器容量日志管理、數(shù)據(jù)修改日志管理、流量監(jiān)控日志等功能，酌情設(shè)置數(shù)據(jù)檢測結(jié)果日志管理功能。通過對存儲、傳輸和刪改的操作進行管理，達到監(jiān)督控制的目的。

(二)處理功能．

根據(jù)采辦單位所在環(huán)境和情況，自主設(shè)置安全事故報告、響應(yīng)、處置等采辦信息管理功能，對于高級別信息，也可以采用每天零報告措施。通過信息處理的簡化、優(yōu)化和快速反應(yīng)，提高信息安全保障能力，從而保證軍隊采購的正常進行。

(三)安全等級管理功能。

針對采辦單位自身特點，設(shè)置信息資產(chǎn)、危險源、危險點定義與分級功能，對于不同級別的信息安全危機設(shè)定不同的保護等級，并采取不同的保護措施、監(jiān)控措施、事故響應(yīng)與處置措施，保證系統(tǒng)的穩(wěn)定性和完好性。

篇10

關(guān)鍵詞：等級保護分級管理；中小型網(wǎng)絡(luò)；安全建設(shè)

中圖分類號：TP309文獻標識碼：A文章編號：1007-9599 (2011) 24-0000-01

SMs Network Security Building Analysis in Level Protection Hierarchical Management

Xu Aihua,Lv Yun

(Nanjing Institute of Science& Technology Information,Nanjing 210018)

Abstract:This article based on "communications network security management approach"in the basic situation of small and medium sized networks and applications based on the analysis of the characteristics on small and medium sized network construction and management of network security solutions.

Keywords:Level protection classification management;Small network;

Security building

一、工信部關(guān)于等級保護分級管理的要求

如何利用等級保護中分級管理制度，確定不同的系統(tǒng)不同的安全策略，消除內(nèi)部網(wǎng)向公網(wǎng)傳送的信息可能被他人竊聽或篡改等等安全隱患，對中小網(wǎng)絡(luò)而言至關(guān)重要。為此，自2010年3月1日起，工業(yè)和信息化部了《通信網(wǎng)絡(luò)安全防護管理辦法》(以下簡稱《辦法》)開始施行。《辦法》要求通信網(wǎng)絡(luò)運行單位應(yīng)按照各通信網(wǎng)絡(luò)單元遭到破壞后可能造成的危害程度，將本單位已正式投入運行的通信網(wǎng)絡(luò)單元由低到高分別劃分為一級、二級、三級、四級、五級。《辦法》要求，通信網(wǎng)絡(luò)運行單位應(yīng)當在通信網(wǎng)絡(luò)定級評審?fù)ㄟ^后三十日內(nèi)，將通信網(wǎng)絡(luò)單元的劃分和定級情況按照有關(guān)規(guī)定向電信管理機構(gòu)備案。電信管理機構(gòu)對通信網(wǎng)絡(luò)運行單位開展通信網(wǎng)絡(luò)安全防護工作的情況進行檢查。

二、中小型網(wǎng)絡(luò)基本情況與應(yīng)用特點

中小型計算機網(wǎng)絡(luò)主要應(yīng)用于辦公自動化系統(tǒng)、信息查詢系統(tǒng)、郵件服務(wù)、財務(wù)、人事、計劃系統(tǒng)等實際工作和WWW應(yīng)用中。根據(jù)中小型計算機網(wǎng)絡(luò)的應(yīng)用特點，需要保證網(wǎng)絡(luò)中的數(shù)據(jù)具有可用性、可靠性、保密性、完整性、安全性等。又由于計算機網(wǎng)絡(luò)跨越公共網(wǎng)絡(luò)及與Internet網(wǎng)互聯(lián)，這就給計算機網(wǎng)絡(luò)帶來嚴峻的安全問題，如敏感信息的泄露、黑客的侵擾、網(wǎng)絡(luò)資源的非法使用以及計算機病毒等。這些安全問題如果得不到解決，那將會給計算機網(wǎng)絡(luò)帶來嚴重的安全隱患。所謂可用性是指網(wǎng)絡(luò)信息可被授權(quán)用戶訪問的特性，即網(wǎng)絡(luò)信息服務(wù)在需要時，能夠保證授權(quán)用戶使用?？煽啃允侵妇W(wǎng)絡(luò)系統(tǒng)硬件和軟件無故障運行的性能，是網(wǎng)絡(luò)系統(tǒng)安全最基本的要求；保密性是指網(wǎng)絡(luò)信息不被泄露的特性，保密性是保證信息即使泄露，非授權(quán)用戶在有限的時間內(nèi)也不能識別真正的信息內(nèi)容；完整性即網(wǎng)絡(luò)信息在存儲和傳輸過程中不被刪除、修改、偽造、亂序、重放和插入等操作，是指網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進行改變的特性，也稱作不可否認性。從技術(shù)角度看，網(wǎng)絡(luò)安全的內(nèi)容大體包括四個方面，即：網(wǎng)絡(luò)實體安全、軟件安全網(wǎng)絡(luò)數(shù)據(jù)安全和網(wǎng)絡(luò)安全管理。由此可見，計算機網(wǎng)絡(luò)安全不僅要保護計算機網(wǎng)絡(luò)設(shè)備安全，還要保護數(shù)據(jù)安全。因此實施網(wǎng)絡(luò)安全保護方案，目的是以保證算機網(wǎng)絡(luò)自身的安全。

三、中小型網(wǎng)絡(luò)安全解決方案

隨著網(wǎng)絡(luò)威脅越來越普遍、破壞性越來越嚴重，網(wǎng)絡(luò)入侵者攻擊來源廣泛，形式多樣。通常采用信息收集、探測分析系統(tǒng)的安全弱點和實施攻擊有步驟地進行入侵。如在目標系統(tǒng)安裝木馬程序用來窺探目標，網(wǎng)絡(luò)所熟悉的病毒，如紅色代碼、沖擊波，口令蠕蟲等對網(wǎng)絡(luò)造成了巨大損失。本文按照安全風(fēng)險、需求分析結(jié)果、安全目標及安全設(shè)計原則，為中小型計算機網(wǎng)絡(luò)解決網(wǎng)絡(luò)安全問題，力求構(gòu)建一個適合于中小型計算機網(wǎng)絡(luò)的安全體系。

（一）外網(wǎng)安全設(shè)計

1.防火墻系統(tǒng)：采用防火墻系統(tǒng)實現(xiàn)對內(nèi)部網(wǎng)和廣域網(wǎng)進行隔離保護。對內(nèi)部網(wǎng)絡(luò)中服務(wù)器子網(wǎng)通過單獨的防火墻設(shè)備進行保護。

2.入侵檢測系統(tǒng)：采用入侵檢測設(shè)備，作為防火墻的功能互補，提供對監(jiān)控網(wǎng)段的攻擊的實時報警和積極響應(yīng)。

3.病毒防護系統(tǒng)：強化病毒防護系統(tǒng)的應(yīng)用策略和管理策略，增強病毒防護有效性。

4.垃圾郵件過濾系統(tǒng)：過濾郵件，阻止垃圾郵件及病毒郵件的入侵。

（二）內(nèi)網(wǎng)安全設(shè)計

采用訪問控制策略，通過密碼、口令（不定期修改、定期保存密碼與口令）等禁止非授權(quán)用戶對服務(wù)器的訪問，以及對辦公自動化平臺、的訪問和管理、用戶身份真實性的驗證、內(nèi)部用戶訪問權(quán)限設(shè)置、ARP病毒的防御、數(shù)據(jù)完整、審計記錄、防病毒入侵。對內(nèi)部采用：網(wǎng)絡(luò)管理軟件系統(tǒng)：使網(wǎng)管人員對網(wǎng)絡(luò)中的實時數(shù)據(jù)流量情況能夠清晰了解。掌握整個網(wǎng)絡(luò)使用流量的平均標準，定位網(wǎng)絡(luò)流量的基線，及時發(fā)現(xiàn)網(wǎng)絡(luò)是否出現(xiàn)異常流量并控制帶寬。

具體可采用Juniper的整合式安全設(shè)備+三層交換機的配置方案。Juniper的整合式安全設(shè)備專為互聯(lián)網(wǎng)網(wǎng)絡(luò)安全而設(shè)，將硬件狀態(tài)防火墻、虛擬專用網(wǎng)（IP sec VPN）、入侵防護（IPS）和流量管理等多種安全功能集于一體，可以通過內(nèi)置的Web UI、命令行界面或中央管理方案進行統(tǒng)一管理。

三層交換機具用于日志審計及監(jiān)控。根據(jù)不同用戶安全級別或者根據(jù)不同部門的安全訪問需求，網(wǎng)絡(luò)利用三層交換機來劃分虛擬子網(wǎng)（VLAN）。因為三層交換機具有路由功能，在沒有配置路由的情況下，不同虛擬子網(wǎng)間是不能夠互相訪問，同時通過在不同VLAN間做限制來實現(xiàn)不同資源的訪問控制。通過虛擬子網(wǎng)的劃分，既方便局域網(wǎng)絡(luò)的互聯(lián)，又能夠?qū)崿F(xiàn)訪問控制。

四、結(jié)束語

總之，我們必須不斷強化信息安全觀念，加強網(wǎng)絡(luò)與信息系統(tǒng)安全保障工作的檢查和監(jiān)督，充分利用《通信網(wǎng)絡(luò)安全防護管理辦法》關(guān)于安全等級劃分的要求制定具體的信息安全防護策略，全面落實各項制度、預(yù)案，加強技術(shù)積累，定期進行網(wǎng)絡(luò)漏洞掃描等安全有效措施，切實加強網(wǎng)絡(luò)與信息系統(tǒng)安全保障工作，確保中小型網(wǎng)絡(luò)信息系統(tǒng)的安全穩(wěn)定運行。

參考文獻：