導(dǎo)語(yǔ)：如何才能寫(xiě)好一篇安全等級(jí)保護(hù)管理辦法，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：信息系統(tǒng)安全 等級(jí)保護(hù) 福建

一、引言

信息安全等級(jí)保護(hù)制度是國(guó)家在國(guó)民經(jīng)濟(jì)和社會(huì)信息化的發(fā)展過(guò)程中，提高信息安全保障能力和水平，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)健康發(fā)展的一項(xiàng)基本制度。我國(guó)實(shí)施的信息系統(tǒng)安全等級(jí)保護(hù)制度，根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素,將信息系統(tǒng)的安全保護(hù)等級(jí)劃分為5個(gè)級(jí)別，從第一級(jí)到第五級(jí)逐級(jí)增高，對(duì)不同安全級(jí)別的信息系統(tǒng)實(shí)施不同的安全管理。

二、我國(guó)信息系統(tǒng)安全等級(jí)保護(hù)思想的形成

1994年，《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 》（國(guó)務(wù)院147號(hào)令）規(guī)定，“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)，安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法，由公安部會(huì)同有關(guān)部門(mén)制定”。

20世紀(jì)80年代初，美國(guó)國(guó)防部制定了“國(guó)家計(jì)算機(jī)安全標(biāo)準(zhǔn)”等系列標(biāo)準(zhǔn)，包括《可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則》（TCSEC，即俗稱(chēng)的“桔皮書(shū)”）及其他近40個(gè)相關(guān)標(biāo)準(zhǔn)，合稱(chēng)“彩虹系列”。 TCSEC標(biāo)準(zhǔn)是國(guó)際上計(jì)算機(jī)系統(tǒng)安全評(píng)估的第一套大規(guī)模系統(tǒng)標(biāo)準(zhǔn)，具有劃時(shí)代的意義。TCSEC將安全產(chǎn)品的安全功能和可信度綜合在一起，設(shè)立了4類(lèi)7級(jí)。

1999年，我國(guó)公安部組織制定了強(qiáng)制性國(guó)家標(biāo)準(zhǔn)――《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》。

2000年11月10日，國(guó)家計(jì)委批準(zhǔn)公安部開(kāi)展“計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)評(píng)估體系及互聯(lián)網(wǎng)絡(luò)電子身份管理與安全保護(hù)平臺(tái)項(xiàng)目”建設(shè)。

2003年，《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)［2003］27號(hào)）明確指出“實(shí)行信息安全等級(jí)保護(hù)”，“要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級(jí)保護(hù)制度，制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南”。這標(biāo)志著等級(jí)保護(hù)從計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的一項(xiàng)制度提升到國(guó)家信息安全保障一項(xiàng)基本制度。同時(shí)中央27號(hào)文明確了各級(jí)黨委和政府在信息安全保障工作中的領(lǐng)導(dǎo)地位，以及“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”的信息安全保障責(zé)任制。

2004年9月，公安部會(huì)同國(guó)家保密局、國(guó)家密碼管理局和國(guó)務(wù)院信息辦聯(lián)合出臺(tái)了《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》（公通字［2004］66號(hào)），明確了信息安全等級(jí)保護(hù)制度的原則和基本內(nèi)容，以及信息安全等級(jí)保護(hù)工作的職責(zé)分工、工作實(shí)施的要求等。

2006年1月，公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)信辦聯(lián)合制定了《信息安全等級(jí)保護(hù)管理辦法（試行）》，并于2007年6月修訂。

2007年6月，公安部會(huì)同國(guó)家保密局、國(guó)家密碼管理局和國(guó)務(wù)院信息辦聯(lián)合頒布《信息安全等級(jí)保護(hù)管理辦法》（公通字［2007］43號(hào)，以下簡(jiǎn)稱(chēng)《管理辦法》），明確了信息安全等級(jí)保護(hù)制度的基本內(nèi)容、流程及工作要求，進(jìn)一步明確了信息系統(tǒng)運(yùn)營(yíng)使用單位和主管部門(mén)、監(jiān)管部門(mén)在信息安全等級(jí)保護(hù)工作中的職責(zé)、任務(wù)，為開(kāi)展信息安全等級(jí)保護(hù)工作提供了規(guī)范保障。

三、開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)工作的必要性和重要性

⒈開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)工作的必要性

隨著網(wǎng)絡(luò)新技術(shù)的飛速發(fā)展和各類(lèi)信息系統(tǒng)的廣泛應(yīng)用，網(wǎng)絡(luò)與信息安全也相應(yīng)出現(xiàn)了許多新情況、新問(wèn)題，福建省網(wǎng)絡(luò)與信息安全防護(hù)工作面臨的形勢(shì)十分嚴(yán)峻。這就使得開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)工作成為必然。

一是網(wǎng)上斗爭(zhēng)日趨復(fù)雜，不確定性增強(qiáng)。由于在互聯(lián)網(wǎng)上傳播信息具備快速便捷、低成本、無(wú)國(guó)界、易消除痕跡、技術(shù)變化快等特點(diǎn)，使互聯(lián)網(wǎng)成為境內(nèi)外敵對(duì)勢(shì)力、敵對(duì)分子從事各種破壞活動(dòng)的重要工具。我國(guó)將長(zhǎng)期面臨敵對(duì)勢(shì)力的信息優(yōu)勢(shì)、技術(shù)優(yōu)勢(shì)所帶來(lái)的信息安全威脅。

二是網(wǎng)絡(luò)違法犯罪活動(dòng)迅速增多，造成的后果越來(lái)越嚴(yán)重。隨著新技術(shù)、新應(yīng)用的發(fā)展，暴露出來(lái)的網(wǎng)絡(luò)與信息安全問(wèn)題也日益增多。

三是漏洞數(shù)量居高不下，利用漏洞發(fā)起攻擊仍是互聯(lián)網(wǎng)最大的安全隱患。安全漏洞是指在網(wǎng)絡(luò)系統(tǒng)中硬件、軟件、協(xié)議和系統(tǒng)安全策略等存在的缺陷和錯(cuò)誤，攻擊者利用這些缺陷和錯(cuò)誤可以對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行非授權(quán)的訪(fǎng)問(wèn)或破壞。

四是計(jì)算機(jī)病毒傳播和對(duì)網(wǎng)絡(luò)非法入侵十分嚴(yán)重。據(jù)公安機(jī)關(guān)調(diào)查，2007年1-6月，我國(guó)平均每月截獲計(jì)算機(jī)病毒6.6萬(wàn)個(gè)，累計(jì)感染計(jì)算機(jī)達(dá)1.18億臺(tái)次。2007年初在我國(guó)發(fā)生的“熊貓燒香”病毒案，短時(shí)間內(nèi)就出現(xiàn)病毒變種700余個(gè)，感染了445萬(wàn)臺(tái)計(jì)算機(jī)，大批網(wǎng)民的網(wǎng)上帳號(hào)、口令被竊取。

⒉開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)工作的重要性

開(kāi)展信息安全等級(jí)保護(hù)工作，就是要解決我國(guó)信息安全面臨的威脅和存在的主要問(wèn)題，按標(biāo)準(zhǔn)建設(shè)安全保護(hù)措施，建立安全保護(hù)制度，落實(shí)安全責(zé)任，加強(qiáng)監(jiān)督檢查，有效保護(hù)重要信息系統(tǒng)安全，有效提高我國(guó)信息和信息系統(tǒng)安全建設(shè)的整體水平。

建立信息安全等級(jí)保護(hù)制度，開(kāi)展信息安全等級(jí)保護(hù)工作，有利于在信息化建設(shè)過(guò)程中同步建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相協(xié)調(diào)；有利于為信息系統(tǒng)安全建設(shè)和管理提供系統(tǒng)性、針對(duì)性、可行性的指導(dǎo)和服務(wù)；有利于優(yōu)化信息安全資源的配置，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)的安全；有利于明確國(guó)家、法人和其他組織、公民的信息安全責(zé)任，加強(qiáng)信息安全管理；有利于推動(dòng)信息安全產(chǎn)業(yè)的發(fā)展，逐步探索出一條適應(yīng)社會(huì)主義市場(chǎng)經(jīng)濟(jì)發(fā)展的信息安全模式。

四、加快推進(jìn)福建省重要信息系統(tǒng)安全等級(jí)保護(hù)工作

2007年7月20日，公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息化工作辦公室在北京聯(lián)合召開(kāi)“全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作電視電話(huà)會(huì)議”，部署在全國(guó)范圍內(nèi)開(kāi)展重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作。8月13日，福建省公安廳、省保密局、省委機(jī)要局、數(shù)字福建建設(shè)領(lǐng)導(dǎo)小組辦公室等四家單位也聯(lián)合召開(kāi)“福建省重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作電視電話(huà)會(huì)議”。這標(biāo)志著福建省重要信息系統(tǒng)安全等級(jí)保護(hù)工作正式啟動(dòng)。

信息系統(tǒng)安全保護(hù)工作的首要環(huán)節(jié)是定級(jí)，定級(jí)工作是開(kāi)展信息系統(tǒng)建設(shè)、整改、測(cè)評(píng)、備案、監(jiān)督檢查等后續(xù)工作的重要基礎(chǔ)。信息系統(tǒng)安全級(jí)別定不準(zhǔn)，系統(tǒng)建設(shè)、整改、備案、等級(jí)測(cè)評(píng)等后續(xù)工作都將失去針對(duì)性。此次福建省重要信息系統(tǒng)安全等級(jí)保護(hù)工作將分四個(gè)階段進(jìn)行。

1.突出重點(diǎn)，全面準(zhǔn)確劃定定級(jí)范圍和定級(jí)對(duì)象

此次重要信息系統(tǒng)定級(jí)的范圍是國(guó)家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)，這些網(wǎng)絡(luò)和系統(tǒng)廣泛分布在各級(jí)黨政機(jī)關(guān)和電信、廣電、鐵路、銀行、民航、海關(guān)、稅務(wù)、電力、證券、保險(xiǎn)等數(shù)十個(gè)行業(yè)。將這些基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)納入此次定級(jí)的重點(diǎn)范圍，體現(xiàn)了統(tǒng)籌規(guī)劃、突出重點(diǎn)、重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全的總體要求和原則。

2.依據(jù)《管理辦法》，準(zhǔn)確確定信息系統(tǒng)安全保護(hù)等級(jí)

福建省各運(yùn)營(yíng)使用單位和主管部門(mén)在全面分析各自信息網(wǎng)絡(luò)和信息系統(tǒng)在國(guó)家安全、社會(huì)秩序、公共利益等方面的作用和影響的基礎(chǔ)上，根據(jù)信息網(wǎng)絡(luò)和信息系統(tǒng)被攻擊破壞后對(duì)國(guó)家安全、社會(huì)秩序和公共利益等方面可能造成的危害程度等因素，依據(jù)《管理辦法》，參照《定級(jí)指南》所提供的定級(jí)方法，綜合確定信息系統(tǒng)的安全保護(hù)等級(jí)。在確定等級(jí)的過(guò)程中，要最大限度地避免定級(jí)的盲目性、隨意性，力爭(zhēng)做到定級(jí)準(zhǔn)確、科學(xué)、合理。

3.及時(shí)備案，加強(qiáng)對(duì)定級(jí)工作的監(jiān)督、檢查和指導(dǎo)

為全面掌握基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的單位和系統(tǒng)的基本情況，保護(hù)重點(diǎn)領(lǐng)域的重要信息網(wǎng)絡(luò)和信息系統(tǒng)，凡是安全保護(hù)等級(jí)為第二級(jí)以上的信息系統(tǒng)運(yùn)營(yíng)使用單位或主管部門(mén)要按照《管理辦法》的要求，到公安機(jī)關(guān)進(jìn)行備案。公安機(jī)關(guān)受理備案后要對(duì)備案材料進(jìn)行審核，加強(qiáng)對(duì)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的監(jiān)督、檢查和指導(dǎo)；對(duì)定級(jí)不準(zhǔn)的，要及時(shí)通知備案單位重新定級(jí)。

4.依據(jù)《管理辦法》和技術(shù)標(biāo)準(zhǔn)，開(kāi)展整改、測(cè)評(píng)等工作

信息系統(tǒng)的安全保護(hù)等級(jí)確定后，運(yùn)營(yíng)使用單位要按照信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，使用符合國(guó)家有關(guān)規(guī)定、滿(mǎn)足信息系統(tǒng)安全保護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品，開(kāi)展信息系統(tǒng)安全建設(shè)或者改建工作，建設(shè)符合等級(jí)要求的信息安全設(shè)施；參照信息安全等級(jí)保護(hù)管理規(guī)范，制定并落實(shí)安全管理制度；選擇符合《管理辦法》規(guī)定條件的測(cè)評(píng)機(jī)構(gòu)，依據(jù)技術(shù)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)安全等級(jí)狀況開(kāi)展等級(jí)測(cè)評(píng)，使其盡快達(dá)到等級(jí)要求的安全保護(hù)能力和水平。

五、加大力度，確保福省重要信息系統(tǒng)安全等級(jí)保護(hù)工作任務(wù)落到實(shí)處

隨著北京奧運(yùn)會(huì)的日益臨近，特別是“科技奧運(yùn)”和“數(shù)字奧運(yùn)”是2008年北京奧運(yùn)會(huì)的一大亮點(diǎn)，信息安全等級(jí)保護(hù)的工作任務(wù)艱巨，責(zé)任重大。福建省公安、保密、密碼工作和信息化等部門(mén)要密切配合，及時(shí)開(kāi)展監(jiān)督、檢查，嚴(yán)格審查信息系統(tǒng)所定級(jí)別，積極開(kāi)展備案、整改、測(cè)評(píng)等工作。同時(shí)，充分利用廣播電視、報(bào)刊雜志、互聯(lián)網(wǎng)等媒體，加大對(duì)國(guó)家信息安全等級(jí)保護(hù)制度的宣傳力度，積極開(kāi)展面向不同層次、不同對(duì)象的宣傳、培訓(xùn)，以確保福建省重要信息系統(tǒng)安全等級(jí)保護(hù)工作落到實(shí)處。

1.明確職責(zé)，落實(shí)責(zé)任

各級(jí)公安機(jī)關(guān)要積極向當(dāng)?shù)攸h委、政府專(zhuān)門(mén)匯報(bào)，主動(dòng)爭(zhēng)取黨委、政府對(duì)信息安全等級(jí)保護(hù)工作的重視和支持；或者成立專(zhuān)門(mén)的等級(jí)保護(hù)工作直轄市領(lǐng)導(dǎo)小組，加強(qiáng)對(duì)定級(jí)工作的領(lǐng)導(dǎo)，研究制定定級(jí)工作實(shí)施方案。各運(yùn)營(yíng)使用單位及其主管部門(mén)要按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”的要求，明確主管領(lǐng)導(dǎo)和責(zé)任部門(mén)。各信息系統(tǒng)主管部門(mén)要切實(shí)加強(qiáng)對(duì)定級(jí)工作的組織、領(lǐng)導(dǎo)，落實(shí)等級(jí)保護(hù)各項(xiàng)責(zé)任，督促、指導(dǎo)本行業(yè)、本系統(tǒng)開(kāi)展定級(jí)、備案、建設(shè)整改等工作。

2.密切配合，通力協(xié)作

各級(jí)公安機(jī)關(guān)作為開(kāi)展等級(jí)保護(hù)工作的牽頭部門(mén)，要加強(qiáng)同保密、密碼工作、信息辦等其他信息安全職能部門(mén)的協(xié)調(diào)、配合，盡快建立健全信息安全等級(jí)保護(hù)監(jiān)管工作的協(xié)調(diào)配合機(jī)制；要主動(dòng)與信息系統(tǒng)主管部門(mén)交流溝通，督促配合其組織下屬信息系統(tǒng)運(yùn)營(yíng)、使用單位建立信息安全責(zé)任制，建立并落實(shí)等級(jí)保護(hù)制度，從而確保等級(jí)保護(hù)工作的順利、有效實(shí)施。

3.加強(qiáng)宣傳，強(qiáng)化培訓(xùn)

篇2

關(guān)鍵詞：政務(wù)外網(wǎng) 等級(jí)保護(hù) 定級(jí) 網(wǎng)絡(luò)安全

為貫徹落實(shí)公安部、國(guó)家保密局、國(guó)家密碼管理局、原國(guó)務(wù)院信息化工作辦公室于2007年7月26日聯(lián)合下發(fā)《關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》（公信安[2007]861號(hào)），國(guó)家電子政務(wù)外網(wǎng)工程建設(shè)辦公室（以下簡(jiǎn)稱(chēng)“外網(wǎng)工程辦”）在2007年11月啟動(dòng)了中央級(jí)政務(wù)外網(wǎng)定級(jí)專(zhuān)項(xiàng)工作，成立了等級(jí)保護(hù)定級(jí)工作組，根據(jù)政務(wù)外網(wǎng)的實(shí)際情況和特點(diǎn)，經(jīng)過(guò)多輪內(nèi)部討論和征求專(zhuān)家意見(jiàn)后，基本完成了政務(wù)外網(wǎng)安全等級(jí)保護(hù)定級(jí)工作，為后續(xù)備案和全面開(kāi)展、實(shí)施等級(jí)保護(hù)整改和測(cè)評(píng)工作奠定了堅(jiān)實(shí)基礎(chǔ)。

一、周密部署，精心組織

為有效貫徹落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度，在總結(jié)基礎(chǔ)調(diào)查和試點(diǎn)工作的基礎(chǔ)上，根據(jù)《關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》等相關(guān)規(guī)定，2007年11月13日，電子政務(wù)外網(wǎng)工程辦召開(kāi)等級(jí)保護(hù)工作啟動(dòng)會(huì)，正式啟動(dòng)國(guó)家電子政務(wù)外網(wǎng)安全等級(jí)保護(hù)定級(jí)工作。

為確保信息系統(tǒng)等級(jí)保護(hù)工作順利進(jìn)行，外網(wǎng)工程辦領(lǐng)導(dǎo)高度重視，專(zhuān)門(mén)成立了由各主要業(yè)務(wù)部門(mén)負(fù)責(zé)人為成員的等級(jí)保護(hù)工作小組，全面負(fù)責(zé)工作的規(guī)劃、協(xié)調(diào)和指導(dǎo)，確定了外網(wǎng)工程辦安全組為等級(jí)保護(hù)工作的牽頭部門(mén)，各部門(mén)分工協(xié)作。同時(shí)，為確保系統(tǒng)劃分和定級(jí)工作的準(zhǔn)確性和合理性，2007年11月22日外網(wǎng)工程辦專(zhuān)門(mén)邀請(qǐng)專(zhuān)家，對(duì)定級(jí)工作進(jìn)行專(zhuān)項(xiàng)指導(dǎo)。

為統(tǒng)一思想，提高認(rèn)識(shí)，通過(guò)召開(kāi)等級(jí)保護(hù)專(zhuān)題會(huì)議等形式，深入學(xué)習(xí)《信息安全等級(jí)保護(hù)管理辦法》和《關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》等文件精神，使相關(guān)人員充分認(rèn)識(shí)和領(lǐng)會(huì)了開(kāi)展信息安全等級(jí)保護(hù)工作的重要性，進(jìn)一步認(rèn)識(shí)到實(shí)施信息安全等級(jí)保護(hù)不僅是信息安全管理規(guī)范化、標(biāo)準(zhǔn)化、科學(xué)化的需要，也是提高政務(wù)外網(wǎng)安全保障能力與服務(wù)水平的重要途徑，是追求自身發(fā)展與落實(shí)社會(huì)責(zé)任相一致的現(xiàn)實(shí)需要與客觀(guān)要求，從而增強(qiáng)了開(kāi)展此項(xiàng)工作的主動(dòng)性和自覺(jué)性。

二、積極做好定級(jí)各項(xiàng)工作

信息安全等級(jí)保護(hù)工作政策性強(qiáng)、技術(shù)要求高，時(shí)間又非常緊迫，為此，政務(wù)外網(wǎng)工程辦從三方面抓好定級(jí)報(bào)備前期準(zhǔn)備工作：一是積極參加公安部組織的等級(jí)保護(hù)培訓(xùn)，領(lǐng)會(huì)與理解開(kāi)展信息安全等級(jí)保護(hù)工作的目的、意義與技術(shù)要求，系統(tǒng)地掌握信息安全等級(jí)保護(hù)的基礎(chǔ)知識(shí)、實(shí)施過(guò)程、定級(jí)方法步驟和備案流程等。二是多次組織人員開(kāi)展內(nèi)部討論和交流，使人員較全面地了解等級(jí)保護(hù)的意義、基礎(chǔ)知識(shí)和定級(jí)方法。三是開(kāi)展工程辦各組的業(yè)務(wù)應(yīng)用摸底調(diào)查，摸清系統(tǒng)的系統(tǒng)結(jié)構(gòu)、業(yè)務(wù)類(lèi)型和應(yīng)用范圍，并匯總整理了政務(wù)外網(wǎng)各組成域的相關(guān)概況。

三、科學(xué)準(zhǔn)確定級(jí)

在開(kāi)展政務(wù)外網(wǎng)定級(jí)工作的過(guò)程中突出重點(diǎn)，全面分析政務(wù)外網(wǎng)網(wǎng)絡(luò)基礎(chǔ)平臺(tái)的特點(diǎn)，力求準(zhǔn)確劃定定級(jí)范圍和定級(jí)對(duì)象。在此基礎(chǔ)上，依據(jù)《信息安全等級(jí)保護(hù)管理辦法》，確定政務(wù)外網(wǎng)各組成子系統(tǒng)（網(wǎng)絡(luò)域）的安全保護(hù)等級(jí)。

劃定定級(jí)對(duì)象。根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》，外網(wǎng)工程辦多次組織技術(shù)和業(yè)務(wù)骨干召開(kāi)專(zhuān)題會(huì)議討論信息系統(tǒng)劃分問(wèn)題，提出了較為科學(xué)合理的信息系統(tǒng)劃分方案。

初步確定了信息系統(tǒng)等級(jí)。根據(jù)系統(tǒng)劃分結(jié)果，組織各業(yè)務(wù)部門(mén)參與并初步確定了各系統(tǒng)等級(jí)，完成了自定級(jí)報(bào)告的起草。

組織專(zhuān)家自評(píng)把關(guān)。根據(jù)等級(jí)保護(hù)評(píng)審的標(biāo)準(zhǔn)與要求，專(zhuān)家們對(duì)信息系統(tǒng)劃分和定級(jí)報(bào)告進(jìn)行內(nèi)部評(píng)審，并給出了內(nèi)部評(píng)審意見(jiàn)。根據(jù)專(zhuān)家意見(jiàn)重新修改并整理了等級(jí)保護(hù)定級(jí)報(bào)告及其相關(guān)材料。

此外，在定級(jí)過(guò)程中，外網(wǎng)工程辦積極與公安部等級(jí)保護(hù)主管部門(mén)進(jìn)行溝通，并經(jīng)由相關(guān)專(zhuān)家確認(rèn)定級(jí)對(duì)象與等級(jí)保護(hù)方案后，整理好了所有定級(jí)材料，準(zhǔn)備下一步的正式評(píng)審。

四、定級(jí)對(duì)象和結(jié)果

根據(jù)政務(wù)外網(wǎng)作為基礎(chǔ)網(wǎng)絡(luò)平臺(tái)的特性，以及其接入系統(tǒng)的不同業(yè)務(wù)類(lèi)型，政務(wù)外網(wǎng)按管理邊界劃分為中央政務(wù)外網(wǎng)、地方政務(wù)外網(wǎng)兩類(lèi)管理域。中央政務(wù)外網(wǎng)按業(yè)務(wù)邊界劃分功能區(qū)，即公用網(wǎng)絡(luò)平臺(tái)區(qū)、專(zhuān)用VPN網(wǎng)絡(luò)區(qū)以及互聯(lián)網(wǎng)接入?yún)^(qū)，在各功能區(qū)內(nèi)又根據(jù)業(yè)務(wù)類(lèi)型和系統(tǒng)服務(wù)的不同，確定了多個(gè)業(yè)務(wù)系統(tǒng)，主要有安全管理系統(tǒng)、應(yīng)用平臺(tái)系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)、郵件系統(tǒng)、VPN業(yè)務(wù)、互聯(lián)網(wǎng)數(shù)據(jù)中心等六個(gè)系統(tǒng)作為本次等級(jí)保護(hù)定級(jí)工作的定

級(jí)對(duì)象，分別予以定級(jí)（確定等級(jí)結(jié)果如表1所示）。

作者簡(jiǎn)介：

羅海寧，1980年生，男，漢族，工程師，在職碩士，專(zhuān)業(yè)方向：網(wǎng)絡(luò)與信息安全。

郭紅，1966年生，女，漢族，高級(jí)工程師，在職碩士，專(zhuān)業(yè)方向：網(wǎng)絡(luò)安全。

篇3

安全風(fēng)險(xiǎn)

2008年6月，深圳市忽然出現(xiàn)了12萬(wàn)一張的光盤(pán)，而且是一口價(jià)銷(xiāo)售，拒絕還價(jià)。光盤(pán)之所以賣(mài)得如此之貴，是因?yàn)楣獗P(pán)里存有當(dāng)年深圳市預(yù)產(chǎn)期在3月～8月、共4萬(wàn)多條孕產(chǎn)婦的信息。其時(shí)，已有多名孕產(chǎn)婦受到商家“階段性”推銷(xiāo)的騷擾：懷孕3個(gè)月后孕婦學(xué)校會(huì)來(lái)聯(lián)系，接著是家政服務(wù)商，而寶寶快到百日時(shí)，兒童攝影的推銷(xiāo)電話(huà)又……讓孕產(chǎn)婦不勝其煩。事后的調(diào)查發(fā)現(xiàn)，是深圳市一家保健醫(yī)院的內(nèi)部人員利用職務(wù)之便，將該院信息系統(tǒng)中所有孕婦和嬰兒的信息盜取一空，整個(gè)過(guò)程只用了5分鐘。然后，便有了市場(chǎng)上天價(jià)光盤(pán)的出現(xiàn)。

信息化在給醫(yī)療機(jī)構(gòu)帶來(lái)便利的同時(shí)，也存在著數(shù)據(jù)安全隱患，上述嚴(yán)重的信息泄露事件給醫(yī)院的信息安全敲響了警鐘。

除了信息泄露，威脅醫(yī)院信息安全的問(wèn)題還有網(wǎng)絡(luò)病毒。隨著網(wǎng)絡(luò)的迅速發(fā)展，蠕蟲(chóng)病毒引發(fā)的安全事件此起彼伏，且有愈演愈烈之勢(shì)。某醫(yī)院由于內(nèi)網(wǎng)病毒泛濫，帶寬被病毒數(shù)據(jù)包占用，不僅上網(wǎng)速度慢，更影響到了服務(wù)器的正常工作。

醫(yī)院內(nèi)部人員統(tǒng)方是另一個(gè)威脅。2010年5月23日，一張神秘的清單在網(wǎng)上曝光，其中列出了寧波市某醫(yī)院45名醫(yī)生的工號(hào)、名字和所屬科室，后面還注明了他們使用藥品氨曲南的數(shù)量和總價(jià)。6月3日，寧波市衛(wèi)生局向媒體公布了處罰決定：19名收受藥品回扣的醫(yī)生中，兩名醫(yī)生停止執(zhí)業(yè)活動(dòng)6個(gè)月，6名醫(yī)生受到警告處分。雖然腐敗得到懲戒，大快人心，但所暴露的潛在統(tǒng)方威脅值得警惕。

加強(qiáng)信息安全、消除安全隱患，已經(jīng)成為醫(yī)院必須要面對(duì)的課題。

政策安排

在信息化建設(shè)過(guò)程中，與業(yè)務(wù)性系統(tǒng)相比，信息安全并沒(méi)有得到足夠的重視。在2012年8月舉辦的中國(guó)醫(yī)院論壇“數(shù)字化建設(shè)”分論壇上，著名醫(yī)療IT專(zhuān)家李包羅說(shuō)：“這段時(shí)間，我參加了7個(gè)信息系統(tǒng)的技術(shù)規(guī)范的制訂會(huì)，我發(fā)現(xiàn)，有的系統(tǒng)跟安全性毫不搭界，技術(shù)規(guī)范里面沒(méi)有跟技術(shù)、安全有關(guān)系的話(huà)語(yǔ)，哪怕有，也只是一兩句話(huà)帶過(guò)。制訂技術(shù)規(guī)范的人，應(yīng)該說(shuō)已經(jīng)是業(yè)界比較有經(jīng)驗(yàn)、比較有水平的專(zhuān)家，如果他們都不對(duì)安全問(wèn)題給予足夠的重視，那將是非常可怕的?！?/p>

在同一個(gè)會(huì)議上，國(guó)家衛(wèi)計(jì)委統(tǒng)計(jì)信息中心主任孟群直言：“我國(guó)衛(wèi)生信息化建設(shè)還存在信息安全保障建設(shè)的滯后?！?/p>

在政府層面，2007年公安部印發(fā)《信息安全等級(jí)保護(hù)管理辦法》，決定“在全社會(huì)范圍推行‘信息安全等級(jí)保護(hù)’政策”，2009年公安部印發(fā)《關(guān)于開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(jiàn)》，對(duì)信息安全等級(jí)保護(hù)工作提出了要求。

在醫(yī)療領(lǐng)域，2010年原衛(wèi)生部制定的《衛(wèi)生信息化建設(shè)指導(dǎo)意見(jiàn)與發(fā)展規(guī)劃（2011-2015）》（“十二五”規(guī)劃）明確提出了我國(guó)醫(yī)療信息化發(fā)展的藍(lán)圖和發(fā)展方向“35212工程”，建設(shè)信息安全體系即是最后一個(gè)“2”中的一項(xiàng)。

醫(yī)療衛(wèi)生系統(tǒng)的相關(guān)政策相繼出臺(tái)。2011年12月，“為貫徹落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度，規(guī)范和指導(dǎo)全國(guó)衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作”，原衛(wèi)生部相繼了《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)》和《關(guān)于全面開(kāi)展衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的通知》，明確指出，“三級(jí)甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)”等五類(lèi)衛(wèi)生信息系統(tǒng)等保原則上不低于三級(jí)，要求“衛(wèi)生行業(yè)各單位……要于2015年12月30日前完成信息安全等級(jí)保護(hù)建設(shè)整改工作，并通過(guò)等級(jí)測(cè)評(píng)。”

原衛(wèi)生部、國(guó)家中醫(yī)藥管理局在2012年6月15日的《關(guān)于加強(qiáng)衛(wèi)生信息化建設(shè)的指導(dǎo)意見(jiàn)》指出，要加強(qiáng)衛(wèi)生信息安全保障體系建設(shè)，落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度。加強(qiáng)衛(wèi)生信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作，確保信息安全和系統(tǒng)運(yùn)行安全。繼續(xù)完善居民電子健康檔案、電子病歷等涉及居民隱私的信息安全體系建設(shè)，建設(shè)以密碼技術(shù)為基礎(chǔ)的信息安全保障和網(wǎng)絡(luò)信任體系，推廣數(shù)字證書(shū)和電子簽名應(yīng)用，實(shí)現(xiàn)信息共享與隱私保護(hù)同步發(fā)展。

據(jù)悉，國(guó)際衛(wèi)計(jì)委一直在推進(jìn)這方面的工作，包括制度設(shè)計(jì)、級(jí)別保護(hù)等相關(guān)的概念和邊界已經(jīng)逐步建立起來(lái)。

國(guó)家衛(wèi)計(jì)委統(tǒng)計(jì)信息中心副主任王才有表示，首先，政府層面制定了統(tǒng)一信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對(duì)信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息安全產(chǎn)品的使用分等級(jí)實(shí)行管理，對(duì)等級(jí)保護(hù)工作的實(shí)施進(jìn)行監(jiān)督和指導(dǎo)。

其次，在用戶(hù)層面，公民、法人和其他組織應(yīng)當(dāng)按照國(guó)家有關(guān)等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)開(kāi)展等級(jí)保護(hù)工作，服從國(guó)家對(duì)信息安全等級(jí)保護(hù)的監(jiān)督、指導(dǎo)，保障信息系統(tǒng)安全。

最后，在社會(huì)層面，關(guān)于信息安全產(chǎn)品的研制、生產(chǎn)單位，信息系統(tǒng)的集成、等級(jí)測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估等安全服務(wù)機(jī)構(gòu)，應(yīng)依據(jù)國(guó)家有關(guān)管理規(guī)定和技術(shù)標(biāo)準(zhǔn)開(kāi)展相應(yīng)工作，并接受?chē)?guó)家信息安全職能部門(mén)的監(jiān)管。

在政策逐步建立的過(guò)程中，醫(yī)療機(jī)構(gòu)自身建設(shè)亦十分重要。王才有說(shuō)：“信息安全是專(zhuān)門(mén)的技術(shù)，但醫(yī)院應(yīng)該培養(yǎng)自己的安全人才，我看到許多醫(yī)院還沒(méi)有這樣做，存在很大的風(fēng)險(xiǎn)?！?/p>

先進(jìn)經(jīng)驗(yàn)

目前，信息安全已經(jīng)引起了醫(yī)療機(jī)構(gòu)的高度重視，也有醫(yī)院早早成為信息安全建設(shè)方面的先行者。

2012年11月初，中國(guó)醫(yī)學(xué)科學(xué)院阜外心血管病醫(yī)院信息中心主任趙接到通知，其醫(yī)院信息系統(tǒng)的安全保護(hù)能力“基本符合等級(jí)保護(hù)三級(jí)要求，符合項(xiàng)為87.8%”。按照規(guī)定，符合項(xiàng)超過(guò)80%即為通過(guò)了等級(jí)保護(hù)三級(jí)。也就是說(shuō)，阜外醫(yī)院完成了國(guó)家衛(wèi)生行政部門(mén)要求2015年底完成的工作。趙介紹，據(jù)他了解，目前除了阜外醫(yī)院外，國(guó)內(nèi)還沒(méi)有其他醫(yī)院通過(guò)等保三級(jí)。

篇4

關(guān)鍵詞：信息安全；等級(jí)保護(hù)；定級(jí)制度

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）03-0045-02

信息安全等級(jí)保護(hù)制度的建設(shè)，是隨著經(jīng)濟(jì)建設(shè)和信息化建設(shè)的全面展開(kāi)而進(jìn)行的。對(duì)國(guó)家重要的信息系統(tǒng)等進(jìn)行定級(jí)保護(hù)，可以提高信息系統(tǒng)的工作效率，在大數(shù)據(jù)、云計(jì)算的技術(shù)支持下，實(shí)現(xiàn)全系統(tǒng)的信息安全。為此國(guó)家多部門(mén)早已出臺(tái)多項(xiàng)關(guān)于信息安全的制度和規(guī)定，明確說(shuō)明國(guó)家信息安全保障工作的基本制度之一就是信息安全等級(jí)保護(hù)制度。其工作流程包含定級(jí)、對(duì)級(jí)別的建設(shè)和整改、測(cè)評(píng)建設(shè)整改工作、向主管公安部門(mén)備案；監(jiān)管信息系統(tǒng)。其中首要階段的定級(jí)工作，是作為等級(jí)保護(hù)的起始，為后面四個(gè)階段的工作奠定基礎(chǔ)。

1 信息系統(tǒng)安全等級(jí)保護(hù)政策概述

我國(guó)在信息技術(shù)的浪潮退推動(dòng)下，各行各業(yè)都在面臨信息化、智能化的轉(zhuǎn)型升級(jí)帶來(lái)的沖擊和挑戰(zhàn)。需要建設(shè)的信息化項(xiàng)目不斷增多，很多領(lǐng)域的業(yè)務(wù)都要采用網(wǎng)絡(luò)信息系統(tǒng)作為載體，因此，信息系統(tǒng)的數(shù)量和結(jié)構(gòu)都在增加和復(fù)雜化，對(duì)信息進(jìn)行等級(jí)保護(hù)就被提上了日程。

2008年，我國(guó)首部信息安全等級(jí)保護(hù)管理辦法由公安部下發(fā)，信息系統(tǒng)有了等級(jí)的劃分，并且對(duì)信息系統(tǒng)的保護(hù)也有了明確的管理規(guī)定。2008年，信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)上升到了國(guó)家級(jí)別的標(biāo)準(zhǔn)，擁有了定級(jí)指南，對(duì)于信息系統(tǒng)安全等級(jí)定級(jí)工作來(lái)說(shuō)，意味著擁有了定級(jí)的方法和準(zhǔn)則。2009年，關(guān)于整改信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)證實(shí)下發(fā)，要求對(duì)信息安全等級(jí)保護(hù)的整改要按照測(cè)評(píng)工作的標(biāo)準(zhǔn)展開(kāi)。這是第一次對(duì)信息安全等級(jí)保護(hù)測(cè)評(píng)體系的建設(shè)進(jìn)行的規(guī)定。

2 信息系統(tǒng)的安全定級(jí)

在信息安全技術(shù)等級(jí)定級(jí)指南中，對(duì)于信息技術(shù)的重要性以及遭到破壞的危害性進(jìn)行了詳細(xì)的闡述，從公共安全、社會(huì)利益、公民權(quán)益等幾個(gè)方面，將信息系統(tǒng)的安全等級(jí)劃分為五個(gè)等級(jí)：

第一級(jí)為當(dāng)信息安全被侵犯，國(guó)家利益、公共安全等合法權(quán)益就會(huì)被損壞，但是國(guó)家安全、社會(huì)利益和公共秩序不會(huì)受到損害。

第二級(jí)為當(dāng)信息安全被侵犯，公民的合法權(quán)益就會(huì)被侵害，但是國(guó)家安全不會(huì)受到破壞。

第三級(jí)為當(dāng)信息系統(tǒng)受到侵犯后，社會(huì)秩序和公共利益被損壞，進(jìn)而產(chǎn)生對(duì)國(guó)家安全的損害。

第四級(jí)是信息系統(tǒng)受到破壞，社會(huì)秩序、公共利益、國(guó)家安全都會(huì)受到特別嚴(yán)重的損傷。

第五級(jí)是信息系統(tǒng)受到侵犯，國(guó)家安全被特別嚴(yán)重地?fù)p壞。

3 當(dāng)前信息系統(tǒng)安全定級(jí)中存在的問(wèn)題

1）定級(jí)對(duì)象不明確是信息系統(tǒng)安全定級(jí)中的常見(jiàn)問(wèn)題。當(dāng)信息系統(tǒng)在相同的網(wǎng)絡(luò)環(huán)境中被按照獨(dú)立的系統(tǒng)進(jìn)行定級(jí)時(shí)，多個(gè)定級(jí)對(duì)象會(huì)重復(fù)出現(xiàn)環(huán)境和設(shè)備。以機(jī)房的EPR系統(tǒng)和OA系統(tǒng)以及配套為例，系統(tǒng)中如果使用到網(wǎng)絡(luò)資源，就有可能產(chǎn)生相同的定級(jí)對(duì)象同時(shí)出現(xiàn)不同的網(wǎng)絡(luò)設(shè)備的情況。

2）根據(jù)安全信息國(guó)家定級(jí)指南中對(duì)安全保護(hù)等級(jí)的定級(jí)要求。當(dāng)受侵害客體為國(guó)家、社會(huì)、公民安全以及組織法人的合法權(quán)益時(shí)，客體的侵害程度可以分為一般、嚴(yán)重、特別嚴(yán)重。這種分類(lèi)是比較抽象的。需要進(jìn)行具體的描述，但是從目前的發(fā)函情況看，對(duì)于危害程度的描述還是過(guò)于傾向于主觀(guān)判斷，因此對(duì)客觀(guān)情況的定級(jí)準(zhǔn)確率不足，依據(jù)不足。

3）現(xiàn)有的定級(jí)報(bào)告皆是從模板中引用格式，參考定價(jià)指南，提供定級(jí)流程，引導(dǎo)結(jié)論的驗(yàn)證。從下表我們可以大概地看到定級(jí)要素和安全保護(hù)等級(jí)的關(guān)系：

表1

[受侵害的客體＼&一般損害＼&嚴(yán)重?fù)p害＼&特別嚴(yán)重的損害＼&公民、法人和組織的合法權(quán)益＼&第一級(jí)＼&第二級(jí)＼&第二級(jí)＼&社會(huì)利益、公共秩序＼&第二級(jí)＼&第三級(jí)＼&第四級(jí)＼&國(guó)家安全＼&第三級(jí)＼&第四級(jí)＼&第五級(jí)＼&]

對(duì)于基礎(chǔ)數(shù)據(jù)的描述雖然也能顯示出關(guān)于信息安全系統(tǒng)定級(jí)的重要意義，但是從系統(tǒng)的客觀(guān)問(wèn)題以及隨時(shí)可能出現(xiàn)威脅和侵害的現(xiàn)象角度觀(guān)察，很多關(guān)于信息安全等級(jí)定級(jí)的新方法還不能保證定級(jí)結(jié)果的準(zhǔn)確性，很多定級(jí)報(bào)告不完善，缺乏依據(jù)，主觀(guān)判斷成分多，無(wú)法將信息安全系統(tǒng)的真實(shí)情況反映給決策層，對(duì)于工作的開(kāi)展沒(méi)有好處。

4 等級(jí)保護(hù)流程

等級(jí)保護(hù)的工作是循環(huán)的、動(dòng)態(tài)發(fā)展的。將等級(jí)保護(hù)工作視為循環(huán)性強(qiáng)的工作對(duì)于工作流程加以分析，最終得到的是等級(jí)保護(hù)工作的流程圖：

定級(jí)階段：系統(tǒng)劃分、等級(jí)確定；填寫(xiě)表格；

初步備案階段：上報(bào)材料、專(zhuān)家評(píng)審，不符合安全等級(jí)規(guī)定的重新定級(jí)，最終進(jìn)入初備案。

測(cè)評(píng)階段：選定機(jī)構(gòu)、測(cè)評(píng)、出具報(bào)告；

整改階段：制訂方案、專(zhuān)家論證、提出整改措施并實(shí)施；

復(fù)評(píng)階段：對(duì)定級(jí)方案進(jìn)行復(fù)評(píng)，得到最終的備案；

根據(jù)等級(jí)保護(hù)制度接受監(jiān)管的階段。

需要說(shuō)明的是，等級(jí)保護(hù)工作的初始階段：定級(jí)工作可以采用自行定級(jí)的方法，也可以委托第三方機(jī)構(gòu)進(jìn)行監(jiān)管和測(cè)評(píng)。定級(jí)工作是所有階段工作的基礎(chǔ)。初備案階段有一個(gè)重新定級(jí)的環(huán)節(jié)，主要是如果出現(xiàn)不公平、不公正或者定級(jí)不合格的情況，要對(duì)信息系統(tǒng)的等級(jí)評(píng)定工作進(jìn)行復(fù)評(píng)選，并達(dá)到等級(jí)保護(hù)的要求，才能進(jìn)行最終的備案。

5 信息安全定級(jí)方法

1）定流程是參照定級(jí)指南進(jìn)行的，包括了業(yè)務(wù)信息和系統(tǒng)服務(wù)等內(nèi)容。首先是確定定級(jí)對(duì)象，然后確定業(yè)務(wù)信息安全受到破壞和侵害的客體，以及系統(tǒng)服務(wù)安全受到破壞和侵害的客體。兩方面都要進(jìn)行客體的侵害程度的評(píng)定，前者得出業(yè)務(wù)信息安全等級(jí)，后者得出系統(tǒng)服務(wù)安全等級(jí)，最后形成了定級(jí)對(duì)象的安全保護(hù)等級(jí)。

定級(jí)對(duì)象的選取根據(jù)定級(jí)指南的規(guī)定，具有一些特征，首先是擁有安全責(zé)任單位，第二是信息系統(tǒng)要素，第三是承載單一和獨(dú)立的業(yè)務(wù)。在定級(jí)對(duì)象的業(yè)務(wù)應(yīng)用上應(yīng)該擁有共享的機(jī)房基礎(chǔ)環(huán)境和網(wǎng)絡(luò)設(shè)備等，這樣就不會(huì)產(chǎn)生重復(fù)出現(xiàn)的定級(jí)對(duì)象。而且將物理環(huán)境、網(wǎng)絡(luò)資源等納入到信息系統(tǒng)中，形成具有單獨(dú)優(yōu)先定級(jí)權(quán)限的定級(jí)對(duì)象[1]。

對(duì)于受侵害的客體的損害程度的評(píng)分，要對(duì)危害后果等進(jìn)行權(quán)重分析。參照的依據(jù)包括國(guó)家安全、社會(huì)利益、公眾秩序、公民法人和組織的權(quán)益?？腕w的侵害程度在定x和解釋上是簡(jiǎn)單而抽象的，要對(duì)危害程度進(jìn)行具體的描述，就要規(guī)避主觀(guān)判斷、依據(jù)不足的問(wèn)題。對(duì)客體的侵害程度進(jìn)行確定，是需要參考很多元素的，要得到一個(gè)準(zhǔn)確的定量，可以采用評(píng)分表的方法對(duì)危害后果予以打分。

表2

[危害后果＼&得分＼&權(quán)重＼&影響工作職能形式＼&＼&＼&降低業(yè)務(wù)能力＼&＼&＼&引起糾紛需要法律介入＼&＼&＼&財(cái)產(chǎn)損失＼&＼&＼&社會(huì)不良影響＼&＼&＼&損害到組織和個(gè)人＼&＼&＼&其他影響＼&＼&＼&]

根據(jù)對(duì)表格中的打分得到的數(shù)值和權(quán)重的分析，可以得出定級(jí)對(duì)象被破壞后可能產(chǎn)生的危害以及后果。不存在危害的數(shù)值為0，有危害程度較輕的數(shù)值為1，有危害程度較高的為2，后果嚴(yán)重的為3。不同的信息系統(tǒng)在服務(wù)內(nèi)容、范圍、對(duì)象上都不同，因此不同的得分和權(quán)重最能反映信息安全系統(tǒng)的實(shí)際情況。

確定安全保護(hù)等級(jí)是在所有流程結(jié)束后，得到的結(jié)論。這個(gè)結(jié)論包括客體對(duì)等級(jí)對(duì)象的侵害造成的危害，信息安全的保密性、可用性的情況，系統(tǒng)服務(wù)安全的及時(shí)性、有效性的問(wèn)題等等。當(dāng)業(yè)務(wù)信息安全和服務(wù)系統(tǒng)的客體侵害程度不同時(shí)，就要在定級(jí)過(guò)程中處理不同的危害后果。

2）定級(jí)表格的細(xì)化是為定級(jí)報(bào)告模板提供基礎(chǔ)數(shù)據(jù)，并保證信息安全系統(tǒng)穩(wěn)定可靠的重要保障。當(dāng)系統(tǒng)內(nèi)部問(wèn)題導(dǎo)致其難以支撐定級(jí)結(jié)果后，采用系統(tǒng)定級(jí)的方法，就能夠?qū)⑿畔⑾到y(tǒng)的情況記載道定級(jí)表中。定級(jí)表包括了定級(jí)系統(tǒng)的用戶(hù)情況以及定級(jí)系統(tǒng)的業(yè)務(wù)職能等情況，例如在行業(yè)和部門(mén)內(nèi)的地位和作用。定級(jí)系統(tǒng)需要有備份系統(tǒng)作為應(yīng)急措施，保證定級(jí)系統(tǒng)在關(guān)聯(lián)系統(tǒng)受到破壞后不會(huì)受到數(shù)據(jù)傳遞等的影響。

6 案例分析

按照等級(jí)保護(hù)工作測(cè)評(píng)和定級(jí)的規(guī)定，確定信息系統(tǒng)的等級(jí)。某政府網(wǎng)站信息系統(tǒng)包括的板塊為：政務(wù)公開(kāi)、地方行政、法制建設(shè)、管理措施、領(lǐng)導(dǎo)講話(huà)、網(wǎng)上辦事大廳、新聞動(dòng)態(tài)、政府公告、舉報(bào)建議等，還專(zhuān)門(mén)開(kāi)辟了一個(gè)下載板塊，方便下載有用的電子表單加以填報(bào)。

在這個(gè)政府網(wǎng)站的信息系統(tǒng)中，制訂了符合信息安全等級(jí)保護(hù)定級(jí)指南的流程和標(biāo)準(zhǔn)，通過(guò)分析，判斷，研究等流程確定定級(jí)的系統(tǒng)。該網(wǎng)站的擁有者設(shè)立的專(zhuān)門(mén)的政府網(wǎng)站平臺(tái)，由指定部門(mén)確定相關(guān)資料的搜集、采集、整理的過(guò)程方案。在這套流程中，信息生產(chǎn)者為企業(yè)，產(chǎn)生的資料是信息，管理信息的手段是利用科學(xué)技術(shù)，對(duì)外承擔(dān)政務(wù)信息，擁有獨(dú)立的業(yè)務(wù)，如辦事流程、新聞會(huì)等。將各類(lèi)任務(wù)的環(huán)境加以構(gòu)建，就形成了政府網(wǎng)站中具有基本特征和要素的定級(jí)對(duì)象。對(duì)定級(jí)客體的邀請(qǐng)，要采取分析的方法，確保信息系統(tǒng)內(nèi)的保密性和可用性。實(shí)際操作中只要能夠保證信息的完整性和通用性，又增強(qiáng)了制作、、管理的職能建設(shè)，激發(fā)出參與者的完整性和保密性。提高可用概率。而系統(tǒng)服務(wù)安全有力地支撐著系統(tǒng)安全運(yùn)行，并為信息安全系統(tǒng)提供有效的服務(wù)，達(dá)到地方網(wǎng)站發(fā)揮在定級(jí)中的作用，幫助提供服務(wù)，滿(mǎn)足消費(fèi)者的需求。采用了這種方法，網(wǎng)站信息系統(tǒng)的業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全都將是今后在企業(yè)運(yùn)用中需要特別加以注意的。

例如：對(duì)于受侵害的客體，必須說(shuō)明客體的情況，是否受到法律保護(hù)，等級(jí)保護(hù)中牽扯到的社會(huì)關(guān)系和合法權(quán)益。尤其是針對(duì)信息系統(tǒng)的客體的先后順序進(jìn)行判斷，結(jié)合政府平臺(tái)，實(shí)施政務(wù)信息公開(kāi)。如果做不到政務(wù)信息公開(kāi)，政府就要設(shè)置管理界限，發(fā)揮人的主觀(guān)能動(dòng)性，在知情權(quán)、業(yè)務(wù)能力、投訴與批評(píng)等階段加大業(yè)務(wù)辦理力度，最大可能地維護(hù)法人和代表組織的知情權(quán)，排棄受到破壞的客體，法人由于難以摻入個(gè)人組織中，直接投訴合法的法律法規(guī)，由于業(yè)務(wù)施工的進(jìn)度過(guò)快，環(huán)節(jié)紛繁眾多[2]。再由于受損教育可以對(duì)客體的積極主動(dòng)性。方便法人和組織知情、辦理業(yè)務(wù)、舉報(bào)、投訴等。

對(duì)于客體造成的侵害進(jìn)行后果的分析，無(wú)論是大型門(mén)戶(hù)網(wǎng)站，還是在金融政策引領(lǐng)下，親自感受到客體檢查結(jié)果的影響，如信息安全管理等，都要注重網(wǎng)絡(luò)平臺(tái)的臨時(shí)性。

7 結(jié)束語(yǔ)

要做好信息系統(tǒng)的安全保護(hù)等級(jí)的確定，就要采取正確的 （下轉(zhuǎn)第51頁(yè)）

（上接第46頁(yè)）

策略以及方法，對(duì)信息安全管控產(chǎn)生依賴(lài)，保護(hù)過(guò)程中采取正確的策略和方法，等等。信息系統(tǒng)、安全等級(jí)保護(hù)不足的問(wèn)題，都要求管理覺(jué)決策層加熬煮。在實(shí)際運(yùn)行中，還要以定級(jí)指南為指導(dǎo)，綜合信息系統(tǒng)的業(yè)務(wù)特征，切實(shí)推動(dòng)信息技術(shù)等級(jí)保護(hù)工作的大力發(fā)展。

參考文獻(xiàn)：

篇5

關(guān)鍵詞：信息安全；醫(yī)院信息系統(tǒng)；安全措施

隨著信息與網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，我們進(jìn)入了一個(gè)信息爆炸的時(shí)代，人們可以輕松便捷的通過(guò)網(wǎng)絡(luò)技術(shù)來(lái)進(jìn)行各種活動(dòng)。伴隨而來(lái)的信息安全問(wèn)題也越發(fā)嚴(yán)重，也受到越來(lái)越多行業(yè)的關(guān)注，在網(wǎng)絡(luò)技術(shù)發(fā)展普及的同時(shí)，信息技術(shù)業(yè)在醫(yī)學(xué)領(lǐng)域得到廣泛的應(yīng)用，同右攪蘋(píng)構(gòu)信息系統(tǒng)的信息安全性在當(dāng)今也同樣得到極大的重視。

1 信息系統(tǒng)安全管理的原則

信息系統(tǒng)安全的核心目標(biāo)是為關(guān)鍵資產(chǎn)提供可用性、完整性和機(jī)密性[1]，所有安全控制、機(jī)制和防護(hù)措施的實(shí)現(xiàn)都是為了提供這些原則中的一個(gè)或多個(gè)?；诎踩枨笤瓌t，醫(yī)療機(jī)構(gòu)應(yīng)根據(jù)其信息系統(tǒng)擔(dān)負(fù)的使命，積累的信息資產(chǎn)的重要性，可能受到的威脅及面臨的風(fēng)險(xiǎn)分析安全需求，按照信息系統(tǒng)等級(jí)保護(hù)要求確定相應(yīng)的信息系統(tǒng)安全保護(hù)等級(jí)，遵從相應(yīng)等級(jí)的規(guī)范要求，從全局上恰當(dāng)?shù)仄胶獍踩度肱c效果，做到技術(shù)和管理并重。

2 國(guó)內(nèi)醫(yī)療信息安全體系

在醫(yī)療活動(dòng)中，醫(yī)療機(jī)構(gòu)為了診斷及科研等其他需要，經(jīng)常使用醫(yī)療信息系統(tǒng)采集、大量的醫(yī)療相關(guān)數(shù)據(jù)，其中包含著患者的基本信息和敏感信息。如何有效的避免隱私信息的泄露也是越來(lái)越多醫(yī)療機(jī)構(gòu)普遍遇到的問(wèn)題。與此同時(shí)，衛(wèi)生行政主管部門(mén)認(rèn)識(shí)到了醫(yī)療機(jī)構(gòu)信息系統(tǒng)安全的重要性，也逐年醫(yī)療信息保障管理辦法。2004年9月的《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》（公通字[2004]66號(hào)）進(jìn)一步強(qiáng)調(diào)了開(kāi)展信息安全等級(jí)保護(hù)工作的重要意義，規(guī)定了實(shí)施信息安全等級(jí)保護(hù)制度的原則、內(nèi)容、職責(zé)分工、基本要求和實(shí)施計(jì)劃，部署了實(shí)施信息安全等級(jí)保護(hù)工作的操作辦法。2011年，信息安全等級(jí)保護(hù)已列入《三級(jí)綜合醫(yī)院評(píng)審標(biāo)準(zhǔn)》中信息化規(guī)范建設(shè)的重要考核依據(jù)與指標(biāo)。2011年衛(wèi)生部《衛(wèi)生部辦公廳關(guān)于全面開(kāi)展衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的通知》，要求衛(wèi)生行業(yè)“全面開(kāi)展信息安全等級(jí)保護(hù)工作”。

3 醫(yī)院信息安全治理與風(fēng)險(xiǎn)管理

醫(yī)院系統(tǒng)信息安全風(fēng)險(xiǎn)管理的傳統(tǒng)措施是以邊界、安全域?yàn)橹鞯乃悸泛湍Ｊ?，采用被?dòng)的、防御型的技術(shù)手段，屬于應(yīng)對(duì)型的安全建設(shè)模式[2]。近些年來(lái)，隨著安全技術(shù)的快速發(fā)展，醫(yī)院信息安全規(guī)劃與建設(shè)思路也在發(fā)生轉(zhuǎn)變，其防護(hù)重點(diǎn)逐漸轉(zhuǎn)向醫(yī)院信息系統(tǒng)數(shù)據(jù)內(nèi)容、應(yīng)用、用戶(hù)身份和行為等全方位的安全防護(hù)；安全治理觀(guān)念也逐漸轉(zhuǎn)變?yōu)橹鲃?dòng)防御的合規(guī)管理工作，同時(shí)加強(qiáng)醫(yī)院信息安全監(jiān)控綜合分析。通過(guò)信息系統(tǒng)安全指標(biāo)作為衡量依據(jù)，衡量安全建設(shè)績(jī)效推進(jìn)醫(yī)院信息系統(tǒng)安全治理，從而以工具化、自動(dòng)化的安全手段，應(yīng)對(duì)不斷擴(kuò)張的IT資產(chǎn)管理，有效落實(shí)安全管理要求。

醫(yī)院信息安全責(zé)任部門(mén)正確運(yùn)用控制措施能降低醫(yī)院信息系統(tǒng)安全面臨的風(fēng)險(xiǎn)，控制主要分為三種類(lèi)型：管理控制、技術(shù)控制和物理控制[3]。管理控制因?yàn)橥ǔＪ敲嫦蚬芾淼?，所以?jīng)常被稱(chēng)為“軟控制”，如安全文檔、風(fēng)險(xiǎn)管理、人員安全和培訓(xùn)都屬于管理控制；技術(shù)控制也稱(chēng)為邏輯控制由軟件或硬件組成，如防火墻、入侵檢測(cè)系統(tǒng)、加密、身份識(shí)別和認(rèn)證機(jī)制；物理控制用來(lái)保護(hù)設(shè)備、人員和資源，保安、鎖、圍墻等都屬于物理控制。在實(shí)際建設(shè)和規(guī)劃中，醫(yī)院信息安全責(zé)任部門(mén)應(yīng)正確以分層的方法綜合使用多個(gè)安全控制類(lèi)型，為醫(yī)院信息平臺(tái)提供安全深度防御。由于入侵者在獲得訪(fǎng)問(wèn)關(guān)鍵資產(chǎn)前將不得不穿越多個(gè)不同的保護(hù)機(jī)制，因此多層防御能夠?qū)B透成功率和威脅降低到最小，從而保障醫(yī)療機(jī)構(gòu)信息系統(tǒng)安全。

4 醫(yī)院系統(tǒng)的安全風(fēng)險(xiǎn)分析及對(duì)策

4.1訪(fǎng)問(wèn)控制安全 安全的根本所在是通過(guò)控制如何訪(fǎng)問(wèn)信息資源來(lái)防范資源泄露或未經(jīng)授權(quán)的修改。訪(fǎng)問(wèn)控制是一種安全手段，控制用戶(hù)和系統(tǒng)如何與其他系統(tǒng)和資源進(jìn)行通信和交互。訪(fǎng)問(wèn)控制能夠保護(hù)系統(tǒng)和資源免受未經(jīng)授權(quán)的訪(fǎng)問(wèn)，并且在身份驗(yàn)證過(guò)程成功結(jié)束之后確定授權(quán)訪(fǎng)問(wèn)的等級(jí)。信息訪(fǎng)問(wèn)控制的實(shí)現(xiàn)手段在本質(zhì)上都處于技術(shù)性、物理性或行政管理性層面。同時(shí)需要注意，任何接口處是最應(yīng)該實(shí)施安全控制的一個(gè)地方，需要層層縱深防御來(lái)實(shí)施訪(fǎng)問(wèn)控制。訪(fǎng)問(wèn)控制是防范醫(yī)療機(jī)構(gòu)信息系統(tǒng)和資源被未授權(quán)訪(fǎng)問(wèn)的第一道防線(xiàn)，系統(tǒng)使用用戶(hù)的訪(fǎng)問(wèn)權(quán)限主要基于其身份、許可等級(jí)和/或組成員資格。訪(fǎng)問(wèn)控制給予組織機(jī)構(gòu)控制、限制、監(jiān)控以及保護(hù)資源可用性、完整性和機(jī)密性的能力[4]。

4.2計(jì)算機(jī)及操作系統(tǒng)安全 計(jì)算機(jī)是系統(tǒng)內(nèi)提供某類(lèi)安全并實(shí)施系統(tǒng)安全策略的所有硬件、軟件和固件的組合，然而其并不僅限于操作系統(tǒng)，操作系統(tǒng)的主要風(fēng)險(xiǎn)包括系統(tǒng)漏洞和文件病毒等。醫(yī)療機(jī)構(gòu)的信息安全責(zé)任部門(mén)需對(duì)帳戶(hù)、訪(fǎng)問(wèn)、用戶(hù)權(quán)限等進(jìn)行管理與控制，做好定期監(jiān)視、審計(jì)和時(shí)間日志記錄和分析?？梢圆捎猛ㄟ^(guò)修改注冊(cè)表，屏蔽客戶(hù)端操作系統(tǒng)無(wú)關(guān)的內(nèi)容，限制訪(fǎng)問(wèn)相關(guān)資源；還應(yīng)及時(shí)下載系統(tǒng)補(bǔ)丁，盡可能關(guān)閉不需要的端口，以彌補(bǔ)系統(tǒng)漏洞而給醫(yī)院信息系統(tǒng)安全性帶來(lái)的各類(lèi)隱患。醫(yī)療機(jī)構(gòu)辦公計(jì)算機(jī)中的很多安全管理軟件會(huì)產(chǎn)生安全日志，應(yīng)由信息安全主管部門(mén)對(duì)這些安全日志進(jìn)行管理分析以不斷強(qiáng)化整體安全解決方案，例如針對(duì)于醫(yī)院可能發(fā)生的“統(tǒng)方”時(shí)間以及其他對(duì)醫(yī)院影響較大的安全事件，醫(yī)療機(jī)構(gòu)主管部門(mén)應(yīng)能夠及時(shí)發(fā)現(xiàn)、定位、報(bào)警以及事后審計(jì)。

篇6

【 關(guān)鍵詞 】 信息安全；企業(yè)管理；績(jī)效考核

1 引言

經(jīng)過(guò)近幾年的發(fā)展，中國(guó)鐵建股份有限公司（以下簡(jiǎn)稱(chēng)中國(guó)鐵建）的信息化工作全面展開(kāi)，眾多信息化項(xiàng)目的實(shí)施，大量信息系統(tǒng)的上線(xiàn)應(yīng)用，有力地促進(jìn)了企業(yè)核心競(jìng)爭(zhēng)力的提升。

隨著信息系統(tǒng)不斷建成與投入應(yīng)用，信息資源擁有量快速增長(zhǎng)，對(duì)信息安全的保障需求日顯強(qiáng)烈，信息安全管控建設(shè)的滯后與日益增長(zhǎng)的信息安全需求的矛盾日益突出。中國(guó)鐵建根據(jù)國(guó)內(nèi)外成熟的信息安全標(biāo)準(zhǔn)和方法，結(jié)合企業(yè)業(yè)務(wù)發(fā)展戰(zhàn)略和企業(yè)特點(diǎn)，構(gòu)建符合本公司業(yè)務(wù)實(shí)際和安全需要的信息安全管控體系，全面提升信息安全保障能力，并取得了初步效果。另外，信息安全等級(jí)保護(hù)制度作為國(guó)家在信息安全保障管理上的根本制度，具有強(qiáng)制性的特征，也要求企業(yè)認(rèn)真加以貫徹落實(shí)。

在實(shí)際工作中利用怎樣的手段來(lái)保障信息安全管控體系、信息安全等級(jí)保護(hù)制度得到切實(shí)執(zhí)行，成為亟待需要解決的問(wèn)題。

為此，結(jié)合中國(guó)鐵建所屬各單位地域分布廣、信息化水平差距大的特點(diǎn)，經(jīng)過(guò)初步探索，將信息安全指標(biāo)納入了中國(guó)鐵建信息化績(jī)效評(píng)價(jià)體系，與各子分公司領(lǐng)導(dǎo)考核掛鉤，從“信息安全事故”和“等級(jí)保護(hù)”兩個(gè)維度、四項(xiàng)指標(biāo)，通過(guò)定量對(duì)比分析，對(duì)各單位的信息安全工作進(jìn)行評(píng)價(jià)，以推進(jìn)信息安全持續(xù)改進(jìn)。

2 考核原則

（1）公開(kāi)、公平、公正。嚴(yán)格按照考核細(xì)則對(duì)被考核單位，在公開(kāi)、公平、公正的環(huán)境中，進(jìn)行客觀(guān)的評(píng)價(jià)。

（2）實(shí)事求是。被考核單位應(yīng)如實(shí)反映信息安全工作情況，提供的相關(guān)資料和數(shù)據(jù)真實(shí)可信。

（3）遵循規(guī)劃、貫徹制度、檢查效果、保障安全?？己酥笜?biāo)的提出以信息安全規(guī)劃、制度為依據(jù)，重點(diǎn)在信息化建設(shè)效果并保障信息安全。

（4）區(qū)別對(duì)待，逐步演進(jìn)。根據(jù)子公司規(guī)模、成長(zhǎng)階段、業(yè)務(wù)特點(diǎn)的不同，區(qū)別對(duì)待；根據(jù)信息安全建設(shè)重點(diǎn)，不同年度有不同的考核重點(diǎn)，逐步演進(jìn)。

3 考核指標(biāo)

中國(guó)鐵建大量的信息系統(tǒng)處于建設(shè)時(shí)期，因此每年對(duì)指標(biāo)進(jìn)行調(diào)整。目前，根據(jù)信息系統(tǒng)等級(jí)保護(hù)評(píng)價(jià)指標(biāo)體系的原則要求， 選擇具有可操作性、可以量化的指標(biāo)，從信息安全事故和信息系統(tǒng)安全等級(jí)保護(hù)兩個(gè)維度，信息安全事件、等級(jí)保護(hù)定級(jí)率、等級(jí)保護(hù)備案率、等級(jí)保護(hù)測(cè)評(píng)通過(guò)率四項(xiàng)指標(biāo)進(jìn)行了考核。

3.1 信息安全事件

信息安全事件及分級(jí)以中國(guó)鐵建《信息安全事件管理規(guī)定》定義為準(zhǔn)。信息安全事件分為特別重大事件（I級(jí)）、重大事件（Ⅱ級(jí)）和一般事件（Ⅲ級(jí)）三個(gè)級(jí)別。

指標(biāo)要點(diǎn)

（1）信息系統(tǒng)安全事件級(jí)別的確定。從類(lèi)別劃分，信息安全事件分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、設(shè)備設(shè)施安全功能故障、災(zāi)害性事件等五種；從級(jí)別劃分，信息安全事件分為特別重大事件（I級(jí)）、重大事件（Ⅱ級(jí)）和一般事件（Ⅲ級(jí)）三個(gè)級(jí)別。

（2）信息安全事件的瞞報(bào)。對(duì)于發(fā)生信息安全事件后，隱瞞事故，在規(guī)定時(shí)限內(nèi)不主動(dòng)向上級(jí)部門(mén)如實(shí)報(bào)告的情況，除扣除其該項(xiàng)考核成績(jī)外，按照股份公司有關(guān)規(guī)定進(jìn)行通報(bào)并嚴(yán)肅處理；對(duì)多次發(fā)生信息安全事件的單位，將加強(qiáng)監(jiān)督檢查，并責(zé)令其徹底整改。

3.2 等保定級(jí)率

考核年度在建至驗(yàn)收投入應(yīng)用各階段的信息系統(tǒng)與歷年上報(bào)的定級(jí)報(bào)告不重復(fù)累計(jì)數(shù)之比。

指標(biāo)要點(diǎn)

（1）信息系統(tǒng)定級(jí)準(zhǔn)確性。部分單位認(rèn)為信息系統(tǒng)定級(jí)級(jí)別越高，就要花費(fèi)更多的資金、精力，加重單位負(fù)擔(dān)，因此將基礎(chǔ)信息網(wǎng)絡(luò)、門(mén)戶(hù)網(wǎng)站、郵件、財(cái)務(wù)等重要信息系統(tǒng)定為一級(jí)，以逃避備案、測(cè)評(píng)。

針對(duì)這種情況，股份公司按照《信息系統(tǒng)安全等級(jí)保護(hù)區(qū)域劃分原則與定級(jí)指南》，對(duì)信息系統(tǒng)定級(jí)進(jìn)行規(guī)范，并對(duì)定為一級(jí)、二級(jí)的信息系統(tǒng)進(jìn)行重點(diǎn)檢查，避免定級(jí)不準(zhǔn)確。

（2）信息系統(tǒng)數(shù)量準(zhǔn)確性。部分單位在實(shí)施等保工作時(shí)，上報(bào)的信息系統(tǒng)數(shù)量小于實(shí)際建設(shè)數(shù)量。因此，在實(shí)際操作中，本考核項(xiàng)的分母“信息系統(tǒng)數(shù)”以該單位編制信息化項(xiàng)目預(yù)算時(shí)上報(bào)的信息系統(tǒng)數(shù)量為準(zhǔn)。

（3）需提供加蓋本單位公章的《定級(jí)報(bào)告》掃描件。

3.3 等保備案率

考核年度在建至驗(yàn)收投入應(yīng)用各階段的信息系統(tǒng)數(shù)與歷年上報(bào)的備案證書(shū)不重復(fù)累計(jì)數(shù)之比。

指標(biāo)要點(diǎn)

（1）備案公安機(jī)關(guān)的選擇。針對(duì)部分單位未根據(jù)國(guó)家法律法規(guī)選擇合適公安機(jī)關(guān)備案的情況，股份公司在的《信息系統(tǒng)安全等級(jí)保護(hù)管理辦法》中規(guī)定：股份公司統(tǒng)建系統(tǒng)，三級(jí)及以上系統(tǒng)向公安部網(wǎng)絡(luò)安全保衛(wèi)局備案、二級(jí)系統(tǒng)向北京市公安局鐵道建筑公安局備案；駐京單位自建信息系統(tǒng)向北京市公安局鐵道建筑公安局備案；京外單位自建信息系統(tǒng)向當(dāng)?shù)厥屑?jí)及以上公安機(jī)關(guān)備案。

（2）等保備案率的確定。等保備案率中的分母“信息系統(tǒng)數(shù)”，指的是該單位編制信息化項(xiàng)目預(yù)算時(shí)上報(bào)的信息系統(tǒng)數(shù)量，并非已定級(jí)的信息系統(tǒng)數(shù)量。

（3）需提供公安機(jī)關(guān)出具的《備案證明》掃描件。

3.4 等保測(cè)評(píng)通過(guò)率

歷年上報(bào)的定級(jí)備案證書(shū)不重復(fù)累計(jì)數(shù)與歷年測(cè)評(píng)通過(guò)的信息系統(tǒng)不重復(fù)累計(jì)數(shù)之比。

指標(biāo)要點(diǎn)

（1）測(cè)評(píng)報(bào)告符合率。為防止部分單位將工作精力側(cè)重于取得測(cè)評(píng)報(bào)告，而忽視了對(duì)測(cè)評(píng)中反映出的安全問(wèn)題的整改，在實(shí)際工作中，重點(diǎn)對(duì)測(cè)評(píng)不符合率較高的信息系統(tǒng)進(jìn)行抽查，責(zé)令單位定期進(jìn)行整改。

（2）需提供合格測(cè)評(píng)機(jī)構(gòu)出具的加蓋測(cè)評(píng)機(jī)構(gòu)公章的《安全等級(jí)測(cè)評(píng)報(bào)告》掃描件。

4 考核權(quán)重

4.1 信息安全事件

附加分項(xiàng)，最高減K分。出現(xiàn)一次I級(jí)信息安全事件、減K分；出現(xiàn)一次級(jí)信息安全事件、減K/2分，最多減K分。

4.2 等保定級(jí)率

基本分項(xiàng)，滿(mǎn)分K分?？己四甓仍诮ㄖ硫?yàn)收投入應(yīng)用各階段的信息系統(tǒng)數(shù)為A，歷年上報(bào)的定級(jí)報(bào)告不重復(fù)累計(jì)數(shù)為B，定級(jí)率M=B/A，平均定級(jí)率∑M=∑B/∑A。定級(jí)率得分S=min{（M/∑M）×K，K}。

4.3 等保備案率

基本分項(xiàng)，滿(mǎn)分K分?？己四甓仍诮ㄖ硫?yàn)收投入應(yīng)用各階段的信息系統(tǒng)數(shù)為A，歷年上報(bào)的備案證書(shū)不重復(fù)累計(jì)數(shù)為C，備案率M=C/A，平均備案率∑M=∑C/∑A。備案率得分S=min{（M/∑M）×K，K}。

4.4 等保通過(guò)率

基本分項(xiàng)，滿(mǎn)分K分。歷年上報(bào)的定級(jí)備案證書(shū)不重復(fù)累計(jì)數(shù)為C，歷年測(cè)評(píng)通過(guò)的信息系統(tǒng)不重復(fù)累計(jì)數(shù)為D，測(cè)評(píng)通過(guò)率M=D/C，平均測(cè)評(píng)通過(guò)率∑M=∑D/∑C。測(cè)評(píng)通過(guò)率得分S=min{（M/∑M）×K，K}。

5 指標(biāo)計(jì)算

考核指標(biāo)項(xiàng)分基本分項(xiàng)、附加分項(xiàng)兩類(lèi)。以本單位基本分項(xiàng)滿(mǎn)分（Ai）為基數(shù)，用實(shí)際得分（Bi）計(jì)算其得分率（Mi=Bi/Ai），除以最高得分率（Mmax），再乘以信息安全工作績(jī)效指標(biāo)分（C），即為信息安全工作考核實(shí)際得分（Si=C×Mi/Mmax）。

6 結(jié)束語(yǔ)

本文對(duì)中國(guó)鐵建將信息安全指標(biāo)納入信息化績(jī)效評(píng)價(jià)體系進(jìn)行了概述， 提出了綜合評(píng)價(jià)的方法，希望能借以推進(jìn)本企業(yè)信息安全工作的開(kāi)展，提高信息系統(tǒng)的安全性，并切實(shí)將國(guó)家法律法規(guī)落到實(shí)處。從實(shí)際執(zhí)行效果看，已經(jīng)取得了一定的成效。

參考文獻(xiàn)

[1] GB/T 22239―2008，信息系統(tǒng)安全等級(jí)保護(hù)基本要求.

[2] GB 17859-1999，安全等級(jí)保護(hù)劃分準(zhǔn)則.

[3] GB/T 22240―2008，信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南.

篇7

關(guān)鍵詞：信息安全；風(fēng)險(xiǎn)評(píng)估；教學(xué)

信息安全風(fēng)險(xiǎn)評(píng)估是進(jìn)行信息安全管理的重要依據(jù)，通過(guò)對(duì)信息系統(tǒng)進(jìn)行系統(tǒng)的風(fēng)險(xiǎn)分析和評(píng)估，發(fā)現(xiàn)存在的安全問(wèn)題并提出相應(yīng)的措施，這對(duì)于保護(hù)和管理信息系統(tǒng)至關(guān)重要。目前國(guó)內(nèi)外都高度重視信息安全風(fēng)險(xiǎn)評(píng)估工作。美國(guó)政府2002年頒布《聯(lián)邦信息安全管理法》，對(duì)信息安全風(fēng)險(xiǎn)評(píng)估提出了具體的要求；歐盟國(guó)家也把開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估作為提高信息安全保障水平的重要手段；2003年7月23日，國(guó)家信息中心組建成立“信息安全風(fēng)險(xiǎn)評(píng)估課題組”，提出了我國(guó)開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估的對(duì)策和辦法。2004年，國(guó)務(wù)院信息辦研究制訂了《信息安全風(fēng)險(xiǎn)評(píng)估指南》和《信息安全風(fēng)險(xiǎn)管理指南》兩個(gè)風(fēng)險(xiǎn)評(píng)估的標(biāo)準(zhǔn)；2006年又起草了《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》[1]。這些工作都對(duì)信息安全人才的培養(yǎng)提出了更高的要求，同時(shí)也為《信息安全風(fēng)險(xiǎn)評(píng)估》課程的開(kāi)設(shè)和講授提供了必要的基礎(chǔ)和條件?！缎畔踩L(fēng)險(xiǎn)評(píng)估》課程教學(xué)，是信息安全專(zhuān)業(yè)一門(mén)重要的專(zhuān)業(yè)課程，能全面培養(yǎng)學(xué)生綜合運(yùn)用專(zhuān)業(yè)知識(shí)，評(píng)估并解決信息系統(tǒng)安全問(wèn)題的能力，是培養(yǎng)符合國(guó)家和社會(huì)需要的信息安全專(zhuān)業(yè)人才的重要課程之一?！缎畔踩L(fēng)險(xiǎn)評(píng)估》課程本身的理論性與實(shí)踐性都很強(qiáng)，課程發(fā)展十分迅速，涉及的學(xué)科范圍也較廣，傳統(tǒng)的教學(xué)的模式不能使該課程的特點(diǎn)很好地展示出來(lái)，無(wú)法適應(yīng)社會(huì)經(jīng)濟(jì)發(fā)展對(duì)信息安全從業(yè)人員的新要求，教學(xué)改革勢(shì)在必行。

一、現(xiàn)狀與存在的問(wèn)題

信息安全風(fēng)險(xiǎn)評(píng)估是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的安全威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施。它涉及信息系統(tǒng)的社會(huì)行為、管理行為、物理行為、邏輯行為等的保密性、完整性和可用性檢測(cè)。風(fēng)險(xiǎn)評(píng)估的結(jié)果可以作為信息安全風(fēng)險(xiǎn)管理的指南，用來(lái)確定合適的管理方針和選擇相應(yīng)的控制措施來(lái)保護(hù)信息資產(chǎn)，全面提高信息安全保障能力[2]。自2001年信息安全專(zhuān)業(yè)建立以來(lái)，高校在制訂本科專(zhuān)業(yè)教學(xué)培養(yǎng)目標(biāo)和教學(xué)計(jì)劃時(shí)，側(cè)重于具體安全理論和技術(shù)的教學(xué)和講授，特別是重點(diǎn)強(qiáng)調(diào)了密碼學(xué)、防火墻、入侵檢測(cè)、網(wǎng)絡(luò)安全等安全理論與技術(shù)的傳授。從目前高校的教學(xué)內(nèi)容看，多數(shù)側(cè)重于對(duì)“信息風(fēng)險(xiǎn)管理”、“風(fēng)險(xiǎn)識(shí)別”、“風(fēng)險(xiǎn)評(píng)估”和“風(fēng)險(xiǎn)控制”等基本內(nèi)容的介紹上，而且教學(xué)課時(shí)數(shù)也較少，只有十個(gè)學(xué)時(shí)。當(dāng)前從《信息安全風(fēng)險(xiǎn)評(píng)估》課程的教學(xué)情況來(lái)看，該課程在信息安全教育教學(xué)過(guò)程中地位有待提高，實(shí)踐教學(xué)的建設(shè)與研究迫切需要深化。

當(dāng)前該課程的教學(xué)實(shí)踐中普遍存在以下幾個(gè)方面的問(wèn)題，嚴(yán)重制約了《信息安全風(fēng)險(xiǎn)評(píng)估》課程教學(xué)質(zhì)量的提高：

1.本科教學(xué)大都以理論內(nèi)容為主體，實(shí)驗(yàn)和課程設(shè)計(jì)的學(xué)時(shí)安排較少。一般高校的《信息安全風(fēng)險(xiǎn)評(píng)估》課程主要以理論內(nèi)容的講授為主，實(shí)驗(yàn)和課程設(shè)計(jì)的學(xué)時(shí)較少，實(shí)驗(yàn)內(nèi)容也大多屬于驗(yàn)證性質(zhì)，缺少具有研究和探索性質(zhì)的信息安全風(fēng)險(xiǎn)評(píng)估實(shí)踐內(nèi)容和課程設(shè)計(jì)；

2.教學(xué)方法單一，缺乏激勵(lì)學(xué)生求知欲的教學(xué)方法和手段。當(dāng)前開(kāi)設(shè)《信息安全風(fēng)險(xiǎn)評(píng)估》課程的高校還較少，師資力量相對(duì)薄弱，教學(xué)經(jīng)驗(yàn)也比較缺乏，仍以主要由教師講述的傳統(tǒng)教學(xué)方式為主，學(xué)生進(jìn)行具體實(shí)踐和操作的課時(shí)較少，缺乏創(chuàng)新性的教學(xué)和研究，基本沒(méi)有具有探索性和創(chuàng)新性特點(diǎn)的教學(xué)內(nèi)容，不利于發(fā)揮學(xué)生主觀(guān)能動(dòng)性，提高其創(chuàng)新能力；

3.實(shí)驗(yàn)環(huán)境無(wú)法滿(mǎn)足教學(xué)需求，缺乏專(zhuān)業(yè)的信息安全風(fēng)險(xiǎn)評(píng)估師資。我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估的研究和教學(xué)工作起步晚，缺乏相關(guān)的實(shí)驗(yàn)設(shè)備；而且受到資金和專(zhuān)業(yè)發(fā)展等多方面因素的制約，難以設(shè)立專(zhuān)門(mén)的信息安全風(fēng)險(xiǎn)評(píng)估實(shí)驗(yàn)室。此外，信息安全風(fēng)險(xiǎn)評(píng)估是以計(jì)算機(jī)技術(shù)為核心，涉及管理科學(xué)、安全技術(shù)、通信和信息工程等多個(gè)學(xué)科，對(duì)于理論和實(shí)踐要求都很高。這就要求教師既要學(xué)習(xí)好各學(xué)科的基本知識(shí)，又要加強(qiáng)實(shí)踐訓(xùn)練。

二、教學(xué)改革與探索

高校計(jì)算機(jī)相關(guān)專(zhuān)業(yè)開(kāi)設(shè)《信息安全風(fēng)險(xiǎn)評(píng)估》課程，不是培養(yǎng)網(wǎng)絡(luò)信息安全方面的全才或戰(zhàn)略人才，而是培養(yǎng)在實(shí)際生活和工作中確實(shí)能解決某些具體安全問(wèn)題的實(shí)用型人才。針對(duì)《信息安全風(fēng)險(xiǎn)評(píng)估》課程的特點(diǎn)和教學(xué)中存在的不足，我們從以下幾個(gè)方面對(duì)該課程的教學(xué)改革進(jìn)行了探索：

1.重新確立課程培養(yǎng)目標(biāo)。①重點(diǎn)培養(yǎng)學(xué)生分析和評(píng)估信息安全問(wèn)題的能力：《信息安全風(fēng)險(xiǎn)評(píng)估》課程是一門(mén)理論性和實(shí)踐性緊密結(jié)合的課程，目前開(kāi)設(shè)該課程的高校較少，各學(xué)校的教學(xué)內(nèi)容也多種多樣。該課程的教學(xué)目標(biāo)即要培養(yǎng)學(xué)生發(fā)現(xiàn)信息系統(tǒng)存在的安全風(fēng)險(xiǎn)，同時(shí)也需要培養(yǎng)他們科學(xué)地提出解決安全隱患的方案及能力。如何提高學(xué)生分析和評(píng)估信息安全問(wèn)題的能力是該課程教學(xué)的首要目標(biāo)。②培養(yǎng)學(xué)生實(shí)際操作的能力：信息安全風(fēng)險(xiǎn)評(píng)估的關(guān)鍵是對(duì)信息系統(tǒng)的資產(chǎn)進(jìn)行分類(lèi)，對(duì)其風(fēng)險(xiǎn)的識(shí)別、估計(jì)和評(píng)價(jià)做出全面的、綜合的分析。這就要求學(xué)生熟練地掌握目標(biāo)對(duì)象的檢測(cè)和評(píng)估方法，包括使用各種自動(dòng)化和半自動(dòng)化的工具，可在模擬實(shí)驗(yàn)里，通過(guò)不斷地訓(xùn)練實(shí)現(xiàn)。③培養(yǎng)學(xué)生繼續(xù)學(xué)習(xí)、勇于探索創(chuàng)新的能力：隨著信息化的不斷發(fā)展，信息系統(tǒng)所面臨的安全威脅急劇增加，為此各國(guó)政府都不斷提出和完善了各類(lèi)信息安全測(cè)評(píng)標(biāo)準(zhǔn)。這就要求我們?cè)诮虒W(xué)中不斷地學(xué)習(xí)、理解和解釋最新的國(guó)際、國(guó)內(nèi)以及相關(guān)的行業(yè)標(biāo)準(zhǔn)，培養(yǎng)和提高學(xué)生繼續(xù)學(xué)習(xí)的能力。另外，《信息安全風(fēng)險(xiǎn)評(píng)估》課程也要求通過(guò)課堂教學(xué)、課后練習(xí)、實(shí)驗(yàn)驗(yàn)證和考試、考查等教學(xué)環(huán)節(jié)培養(yǎng)學(xué)生獨(dú)力分析信息系統(tǒng)安全的能力，培養(yǎng)學(xué)生對(duì)信息安全風(fēng)險(xiǎn)評(píng)估領(lǐng)域進(jìn)行探索和研究的興趣，最終使學(xué)生掌握信息安全風(fēng)險(xiǎn)評(píng)估的知識(shí)和技能，能夠解決具體信息系統(tǒng)的安全問(wèn)題。

2.增加信息安全風(fēng)險(xiǎn)評(píng)估理論和相關(guān)標(biāo)準(zhǔn)的教學(xué)。信息安全測(cè)評(píng)標(biāo)準(zhǔn)和相關(guān)法律法規(guī)是進(jìn)行信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的依據(jù)和保障。2006年由原國(guó)信辦《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》（國(guó)信辦2006年5號(hào)文）；同時(shí)，隨著信息安全等級(jí)保護(hù)制度的推行，公安部會(huì)同有關(guān)部門(mén)出臺(tái)了一系列政策文件，主要包括：《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》、《信息安全等級(jí)保護(hù)管理辦法》等；國(guó)家信息安全標(biāo)準(zhǔn)化委員會(huì)頒發(fā)了《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T 20984~2007）、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2008）等多個(gè)國(guó)家標(biāo)準(zhǔn)[3]。為了保證《信息安全風(fēng)險(xiǎn)評(píng)估》課程目標(biāo)的實(shí)現(xiàn)，我們?cè)诮虒W(xué)過(guò)程中，增加了《GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》、《GB/Z24364-2009信息安全風(fēng)險(xiǎn)管理指南》、《GB/T

22080-2008信息安全管理體系要求》、《GB/T22081-

2008信息安全管理實(shí)用規(guī)則》、《GB/T20269-2006信息系統(tǒng)安全管理要求》、《GB/T25063-2010?搖信息安全技術(shù)服務(wù)器安全測(cè)評(píng)要求》、《GB/T 20010-2005信息安全技術(shù)包過(guò)濾防火墻評(píng)估準(zhǔn)則》、《GB/T20011-2005信息安全技術(shù)路由器安全評(píng)估準(zhǔn)則》、《GA/T 672-2006信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級(jí)評(píng)估準(zhǔn)則》、《GA/T 712-2007信息安全技術(shù)應(yīng)用軟件系統(tǒng)安全等級(jí)保護(hù)通用測(cè)試指南》等相關(guān)評(píng)估標(biāo)準(zhǔn)和指南的學(xué)習(xí)，并編制相關(guān)的調(diào)查、檢查、測(cè)試表，重點(diǎn)強(qiáng)調(diào)對(duì)脆弱性檢測(cè)的理論依據(jù)的描述，檢測(cè)方法及其步驟的詳細(xì)記錄。

3.利用各種測(cè)評(píng)工具，提高學(xué)生實(shí)踐能力。在信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程中，資產(chǎn)賦值、威脅量化分析、安全模型的建立等環(huán)節(jié)的教學(xué)和實(shí)踐對(duì)教師和學(xué)生都提出了較高的專(zhuān)業(yè)課程要求。我們?cè)凇缎畔踩L(fēng)險(xiǎn)評(píng)估》課程實(shí)踐中通過(guò)使用風(fēng)險(xiǎn)評(píng)估工具，并對(duì)具體的信息系統(tǒng)進(jìn)行自動(dòng)化或半自動(dòng)化的分析，加深了學(xué)生信息安全風(fēng)險(xiǎn)評(píng)估的理論知識(shí)理解，同時(shí)注重培養(yǎng)學(xué)生動(dòng)手實(shí)踐能力和探索新知識(shí)的能力。我們?cè)黾恿酥鲃?dòng)型風(fēng)險(xiǎn)評(píng)估工具Tenable掃描門(mén)戶(hù)網(wǎng)站系統(tǒng)的實(shí)踐性教學(xué)內(nèi)容。通過(guò)評(píng)估，該系統(tǒng)的服務(wù)器存在感染病毒的癥狀，其原因是服務(wù)器存在特定漏洞。為此我們使用漏洞掃描器對(duì)該服務(wù)器進(jìn)行掃描，發(fā)現(xiàn)了“遠(yuǎn)程代碼被執(zhí)行”漏洞，而且該漏洞能被蠕蟲(chóng)病毒利用，形成針對(duì)系統(tǒng)的攻擊。通過(guò)案例特征提供了的信息，培養(yǎng)學(xué)生使用測(cè)評(píng)工具對(duì)具體信息系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估的能力，并進(jìn)一步使其認(rèn)識(shí)到主動(dòng)型評(píng)估工具是信息安全風(fēng)險(xiǎn)評(píng)估中快速了解目標(biāo)系統(tǒng)安全狀況不可或缺的重要手段。

筆者結(jié)合自己的教學(xué)實(shí)踐體會(huì)，論述了當(dāng)前《信息安全風(fēng)險(xiǎn)評(píng)估》課程中存在的問(wèn)題以及解決對(duì)策?！缎畔踩L(fēng)險(xiǎn)評(píng)估》課程教學(xué)改革和建設(shè)是一個(gè)長(zhǎng)期的、系統(tǒng)化的工程，需要不斷地根據(jù)信息系統(tǒng)在新環(huán)境下面臨的各種威脅，制定新的評(píng)估標(biāo)準(zhǔn)和評(píng)估方案，并使得學(xué)生在有限的時(shí)間和環(huán)境下掌握相應(yīng)的知識(shí)和技能，以滿(mǎn)足社會(huì)對(duì)信息安全人才的需求。

參考文獻(xiàn)：

[1]付沙.加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作的研究[J].微型電腦應(yīng)用，2010，26（8）：6-8.

[2]楊春暉，張昊，王勇.信息安全風(fēng)險(xiǎn)評(píng)估及輔助工具應(yīng)用[J].信息安全與通信保密，2007，（12）：75-77.

[3]潘平，楊平，羅東梅，何朝霞.信息系統(tǒng)安全風(fēng)險(xiǎn)檢查評(píng)估實(shí)踐教學(xué)探討[C]// Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security（NTS-CIS 2011），2011，（8）.

篇8

關(guān)鍵詞：等級(jí)保護(hù)；三級(jí)信息系統(tǒng)；系統(tǒng)設(shè)計(jì)

現(xiàn)如今各方面競(jìng)爭(zhēng)都尤為激烈，信息資源已然成為戰(zhàn)略資源中最關(guān)鍵的構(gòu)成部分，此時(shí)以等級(jí)保護(hù)三級(jí)信息系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)為例的技術(shù)研究，就必須要盡快提上日程，這也是信息安全管理與保護(hù)水平獲得提升的必要途徑。

1信息系統(tǒng)安全等級(jí)保護(hù)的概念

信息系統(tǒng)安全等級(jí)保護(hù)是我國(guó)信息安全保障工作的基本制度和方法，是我國(guó)多年來(lái)信息安全工作經(jīng)驗(yàn)的總結(jié)。根據(jù)相關(guān)法律政策規(guī)定，我國(guó)制定了一系列信息安全管理辦法，為信息安全保護(hù)工作的開(kāi)展提供了法律、政策、標(biāo)準(zhǔn)依據(jù)。作為國(guó)家統(tǒng)一制定并的標(biāo)準(zhǔn)，《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中明確指出，應(yīng)將信息系統(tǒng)的重要程度作為根據(jù)，將保護(hù)工作有針對(duì)性的合理安排下去，并且應(yīng)對(duì)信息系統(tǒng)展開(kāi)相應(yīng)的保護(hù)，國(guó)家也需對(duì)各等級(jí)的信息系統(tǒng)，制定強(qiáng)度適中的監(jiān)督管理計(jì)劃[1]。

2等保三級(jí)的設(shè)計(jì)要求

2.1安全計(jì)算環(huán)境設(shè)計(jì)

本文主要從以下幾方面來(lái)論述安全計(jì)算環(huán)境設(shè)計(jì)。首先是身份鑒別，這是達(dá)到三級(jí)安全要求的首要前提，需從用戶(hù)標(biāo)識(shí)與用戶(hù)鑒別這兩方面來(lái)明確安全機(jī)制。用戶(hù)標(biāo)識(shí)安全機(jī)制簡(jiǎn)單來(lái)講，就是用系統(tǒng)中每位用戶(hù)注冊(cè)時(shí)填寫(xiě)的用戶(hù)標(biāo)識(shí)，來(lái)對(duì)用戶(hù)身份進(jìn)行標(biāo)注，同時(shí)需保證生存周期內(nèi)用戶(hù)標(biāo)識(shí)不能出現(xiàn)重復(fù)；而后者則指用戶(hù)在每次登錄系統(tǒng)的時(shí)候，通過(guò)安全管理中心控制下的口令、生物特征以及安全強(qiáng)度達(dá)標(biāo)的組合機(jī)制，展開(kāi)的對(duì)用戶(hù)身份的鑒別，且鑒22別后會(huì)保護(hù)好生成數(shù)據(jù)的私密性與完整性。其次是標(biāo)記和強(qiáng)制訪(fǎng)問(wèn)控制。系統(tǒng)需針對(duì)安全管理員，展開(kāi)嚴(yán)格的身份鑒別與權(quán)限控制，并且賦予其主體與客體安全標(biāo)記的權(quán)利。在強(qiáng)制訪(fǎng)問(wèn)控制之下，技術(shù)人員應(yīng)將重點(diǎn)放在全部主體與客體標(biāo)機(jī)信息的一致性上，且強(qiáng)制訪(fǎng)問(wèn)控制規(guī)則也應(yīng)該同樣落實(shí)。最后是安全計(jì)算環(huán)境的嚴(yán)格審計(jì)。系統(tǒng)應(yīng)對(duì)安全事件有明確且完整的記錄，且一般來(lái)講，安全事件的主體、客體、類(lèi)型、出現(xiàn)節(jié)點(diǎn)、后果等，都應(yīng)納入安全事件記錄的總體范疇。與此同時(shí)，審計(jì)記錄還應(yīng)通過(guò)分析、分類(lèi)等環(huán)節(jié)，向系統(tǒng)中存儲(chǔ)保護(hù)。技術(shù)人員還應(yīng)為安全管理中心提供接口，如果某些安全事件系統(tǒng)無(wú)法自行解決，則應(yīng)基于授權(quán)主體調(diào)用要求創(chuàng)設(shè)接口。

2.2安全通信網(wǎng)絡(luò)設(shè)計(jì)

安全通信網(wǎng)絡(luò)設(shè)計(jì)工作，基本上都是以通信網(wǎng)絡(luò)的保密要求為基點(diǎn)展開(kāi)的，通常情況下，網(wǎng)絡(luò)加密技術(shù)能滿(mǎn)足等保三級(jí)中涉及的全部要求，技術(shù)人員可通過(guò)對(duì)VPN技術(shù)的合理運(yùn)用，達(dá)成保護(hù)通信網(wǎng)絡(luò)與數(shù)據(jù)的目的[2-3]。

2.3安全管理中心設(shè)計(jì)

（1）系統(tǒng)管理等級(jí)保護(hù)三級(jí)對(duì)系統(tǒng)的要求，主要體現(xiàn)在系統(tǒng)管理員的身份鑒別與授權(quán)上，管理員一般情況下只有特定界面與系統(tǒng)訪(fǎng)問(wèn)的權(quán)利。系統(tǒng)管理員大致可以劃分成網(wǎng)絡(luò)、主機(jī)以及存儲(chǔ)管理這幾種，網(wǎng)絡(luò)管理員的主要職責(zé)在于配置網(wǎng)絡(luò)設(shè)備；主機(jī)管理的配置服務(wù)則主要針對(duì)服務(wù)器展開(kāi)；存儲(chǔ)管理員需做好存儲(chǔ)設(shè)備的維護(hù)與管理工作[4]。（2）安全管理等保三級(jí)在管理員身份鑒別與授權(quán)方面的要求也格外嚴(yán)格。雖說(shuō)安全管理員的工作并不復(fù)雜，通常只涉及安全設(shè)備管理，但因?yàn)榘踩O(shè)備是覆蓋到計(jì)算系統(tǒng)各方面的，所以安全管理員的專(zhuān)業(yè)水平、工作狀態(tài)以及綜合素質(zhì)等，都需要得到足夠的重視?，F(xiàn)階段，安全設(shè)備基本上都有l(wèi)og記錄功能，可用于授權(quán)管理的接口使用也很方便。（3）審計(jì)管理安全審計(jì)員也應(yīng)接受?chē)?yán)格的身份鑒別和管理，由于其在工作中會(huì)接觸多種設(shè)備，所以對(duì)其行為的控制也要得到充分保證。

3等保三級(jí)的實(shí)現(xiàn)設(shè)計(jì)策略

（1）安全計(jì)算環(huán)境建設(shè)首先，在安全計(jì)算環(huán)境設(shè)計(jì)的過(guò)程中，多因子身份認(rèn)證系統(tǒng)的應(yīng)用絕對(duì)是重中之重，經(jīng)實(shí)踐證明，如果能確保此身份認(rèn)證系統(tǒng)的合理應(yīng)用，則等保三級(jí)中要求的用戶(hù)身份鑒別、強(qiáng)制訪(fǎng)問(wèn)以及自主訪(fǎng)問(wèn)控制等要求均能得到滿(mǎn)足。除此之外，此系統(tǒng)還能有效控制訪(fǎng)問(wèn)的過(guò)程，從而在最大程度上確保訪(fǎng)問(wèn)的有效性。其次，敏感數(shù)據(jù)保護(hù)系統(tǒng)在我國(guó)出現(xiàn)與應(yīng)用的時(shí)間雖然并不長(zhǎng)，但在文件驅(qū)動(dòng)管理方面的優(yōu)勢(shì)卻非常顯著，例如穩(wěn)定性與可靠性強(qiáng)等，但同時(shí)此系統(tǒng)的缺陷與弊端也不能忽視，因?yàn)槠鋵?duì)操作系統(tǒng)平臺(tái)的依賴(lài)度過(guò)強(qiáng)，導(dǎo)致操作系統(tǒng)中的數(shù)據(jù)私密性與完整性很難被保護(hù)。現(xiàn)階段，也有很多國(guó)內(nèi)企業(yè)通過(guò)國(guó)際先進(jìn)技術(shù)，來(lái)保護(hù)存于操作系統(tǒng)內(nèi)部的數(shù)據(jù)，但其穩(wěn)定性與實(shí)際效果仍有待觀(guān)察，所以就目前的要求來(lái)看，敏感數(shù)據(jù)保護(hù)系統(tǒng)已然可以達(dá)到等保三級(jí)對(duì)用戶(hù)數(shù)據(jù)及客體安全保護(hù)的標(biāo)準(zhǔn)和要求[5]。（2）安全區(qū)域邊界建設(shè)防火墻、入侵檢測(cè)設(shè)備以及防病毒網(wǎng)關(guān)，即為現(xiàn)如今等保三級(jí)系統(tǒng)中內(nèi)外部網(wǎng)絡(luò)保護(hù)系統(tǒng)的主要構(gòu)成部分。第一，防火墻中只有必要的服務(wù)端才會(huì)開(kāi)放，如果有相應(yīng)的IDS在配置中，則技術(shù)人員必須將二者間的聯(lián)動(dòng)充分考慮在內(nèi)，從而在系統(tǒng)受到攻擊時(shí)能及時(shí)檢測(cè)并且報(bào)警。第二，對(duì)于外部網(wǎng)絡(luò)層的保護(hù)而言，入侵檢測(cè)設(shè)備對(duì)攻擊能發(fā)揮良好、穩(wěn)定的分布式拒絕功能。第三，防病毒網(wǎng)關(guān)主要針對(duì)進(jìn)入系統(tǒng)的數(shù)據(jù)信息，展開(kāi)全面的防毒檢測(cè)，它是預(yù)防病毒進(jìn)入的最前線(xiàn)，對(duì)于安全區(qū)域邊界建設(shè)而言，有著不能忽視的重要作用。但經(jīng)實(shí)踐證明，僅用防病毒網(wǎng)關(guān)來(lái)保護(hù)系統(tǒng)是遠(yuǎn)遠(yuǎn)不夠的，還應(yīng)將網(wǎng)絡(luò)防病毒軟件安裝于終端，以確保對(duì)入侵病毒的實(shí)時(shí)查殺。此時(shí)相關(guān)人員還需明確意識(shí)到，部分國(guó)外的防毒軟件在染毒文件無(wú)法有效殺毒時(shí)，通常會(huì)選擇采取保守策略，即只對(duì)病毒給出警告或把染毒文件移動(dòng)到保護(hù)區(qū)；而國(guó)內(nèi)大多數(shù)的防毒軟件則基本上會(huì)直接將文件刪除。在染毒文件尤為重要的情況下，這兩種方法都可能會(huì)為用戶(hù)帶來(lái)不可逆轉(zhuǎn)的損失，因此，我們可以采取結(jié)合殺毒軟件與終端管理軟件的方法，確保染毒文件能向相應(yīng)病毒服務(wù)器的制定目錄中移動(dòng)，從而由安全管理員展開(kāi)接下來(lái)的人工處理[6]。作為不同網(wǎng)絡(luò)安全域間的訪(fǎng)問(wèn)控制設(shè)備，安全區(qū)域邊界防護(hù)系統(tǒng)通常都以安全計(jì)算環(huán)境邊界為主要設(shè)置點(diǎn)，其會(huì)以安全標(biāo)記過(guò)濾與管理標(biāo)準(zhǔn)為根據(jù)，實(shí)現(xiàn)對(duì)數(shù)據(jù)包與訪(fǎng)問(wèn)的有效過(guò)濾、檢測(cè)并對(duì)網(wǎng)絡(luò)攻擊發(fā)出警報(bào)等功能。（3）安全通信網(wǎng)絡(luò)建設(shè)實(shí)際上，一臺(tái)可正常運(yùn)行的VP設(shè)備，就能滿(mǎn)足安全通信網(wǎng)絡(luò)的基本要求。具體來(lái)講，在外部終端需訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò)資源的時(shí)候，SSLVPN的效果更加顯著；若出現(xiàn)分支機(jī)構(gòu)的現(xiàn)象，則利用VPN設(shè)備的加速功能，也能促進(jìn)網(wǎng)絡(luò)傳輸效率的大幅度提升；從技術(shù)成熟度的角度上來(lái)看，IPSecVPN略勝一籌，但其配置的復(fù)雜性較強(qiáng)，實(shí)際使用也遠(yuǎn)比不過(guò)SSLVPN的便捷性[6]。除此之外，在等級(jí)保護(hù)三級(jí)的要求下，技術(shù)人員必須開(kāi)放VPN數(shù)據(jù)校驗(yàn)與系統(tǒng)審計(jì)的功能。（4）安全管理中心建設(shè)就等級(jí)保護(hù)三級(jí)系統(tǒng)中安全管理中心的建設(shè)而言，很多廠(chǎng)家的SOC產(chǎn)品安全管理平臺(tái)產(chǎn)品，設(shè)計(jì)與配置都是以ITIL規(guī)范為根據(jù)展開(kāi)的，但目前能將規(guī)范中全部要求一一滿(mǎn)足的廠(chǎng)家?guī)缀鯖](méi)有。與此同時(shí)，只有少部分的合作伙伴才能接觸到安全產(chǎn)品，產(chǎn)品大量生產(chǎn)及統(tǒng)一管理的目的很難達(dá)成，經(jīng)過(guò)相應(yīng)的分析與研究可知，此問(wèn)題主要是安全產(chǎn)品并未嚴(yán)格遵循規(guī)范導(dǎo)致的。因此，為同時(shí)滿(mǎn)足等保三級(jí)的要求與實(shí)際使用需求，我們應(yīng)基于多個(gè)產(chǎn)品來(lái)建設(shè)安全管理中心，確保其各項(xiàng)功能均能發(fā)揮應(yīng)有的重要作用，也為各被管理系統(tǒng)中管理工具與數(shù)據(jù)的高效融合提供更高程度的保證。具體來(lái)講，技術(shù)人員可按照要求選擇多個(gè)產(chǎn)品，這樣即使在權(quán)限不同的情況下，系統(tǒng)級(jí)別劃分工作也不會(huì)受到影響；同時(shí)各部分的管理人員也應(yīng)分別配置，從而使管理規(guī)范能充分發(fā)揮其約束作用。在各項(xiàng)管理工具獲取到相應(yīng)信息之后，技術(shù)人員即可進(jìn)行最終的數(shù)據(jù)整合工作，一般情況下，需要進(jìn)行數(shù)據(jù)整合的產(chǎn)品數(shù)量很多，尤其被廣泛應(yīng)用于ERP系統(tǒng)里，并且最終用于企業(yè)領(lǐng)導(dǎo)層的重大決策。實(shí)際上，一般企業(yè)都能接受此價(jià)位，價(jià)格也能夠?yàn)橐话闫髽I(yè)所接受，只是傳統(tǒng)方案設(shè)計(jì)中并未考慮過(guò)產(chǎn)品在安全管理中心建設(shè)中的使用，現(xiàn)如今只通過(guò)對(duì)數(shù)據(jù)整合工具的利用，即能實(shí)現(xiàn)對(duì)多個(gè)管理工具間的信息互通[7]。

篇9

隨著軍隊(duì)物資采購(gòu)機(jī)構(gòu)信息化建設(shè)的不斷推進(jìn)，信息系統(tǒng)已經(jīng)成為當(dāng)前采辦系統(tǒng)的核心組成部分。信息安全風(fēng)險(xiǎn)直接影響到軍隊(duì)物資采購(gòu)系統(tǒng)為軍隊(duì)用戶(hù)提供服務(wù)和對(duì)各類(lèi)供應(yīng)商等采購(gòu)實(shí)體進(jìn)行管理的能力。在關(guān)鍵時(shí)刻，個(gè)別重大的信息系統(tǒng)發(fā)生故障或癱瘓，往往會(huì)給整個(gè)軍隊(duì)后勤保障帶來(lái)不可挽回的損失和影響，從而給整個(gè)軍隊(duì)建設(shè)和國(guó)防事業(yè)帶來(lái)?yè)p失。

當(dāng)前，軍隊(duì)物資采購(gòu)系統(tǒng)根據(jù)總后關(guān)于信息化建設(shè)的精神，建立了依托干軍隊(duì)內(nèi)部的指揮自動(dòng)化網(wǎng)、軍隊(duì)綜合信息網(wǎng)等內(nèi)部指揮控制網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)、業(yè)務(wù)管理網(wǎng)絡(luò)等信息服務(wù)和指揮網(wǎng)絡(luò)，為軍隊(duì)采購(gòu)管理單位、采購(gòu)業(yè)務(wù)單位、科研和教學(xué)單位、軍內(nèi)終端客戶(hù)提供廣泛的信息服務(wù)。

實(shí)施信息安全管理，不僅能夠有效地提高信息系統(tǒng)的安全性、完整性、可用性以及對(duì)相關(guān)應(yīng)急采購(gòu)任務(wù)的快速反應(yīng)能力，同時(shí)也是保障軍隊(duì)物資采購(gòu)系統(tǒng)科學(xué)發(fā)展，為軍隊(duì)提供最優(yōu)保障力的重要手段。

一、軍隊(duì)物資采購(gòu)信息安全風(fēng)險(xiǎn)

在軍隊(duì)物資采購(gòu)活動(dòng)中，存在各種各樣的風(fēng)險(xiǎn)，都對(duì)采辦的結(jié)果產(chǎn)生不同程度的影響。根據(jù)風(fēng)險(xiǎn)產(chǎn)生對(duì)象的不同，將風(fēng)險(xiǎn)分為人為風(fēng)險(xiǎn)、系統(tǒng)風(fēng)險(xiǎn)、數(shù)據(jù)風(fēng)險(xiǎn)等三個(gè)方面。

(一)人為風(fēng)險(xiǎn)。

人是信息安全最主要的風(fēng)險(xiǎn)因素，不適當(dāng)?shù)男畔⑾到y(tǒng)授權(quán)，會(huì)導(dǎo)致未經(jīng)授權(quán)的人獲取不適當(dāng)?shù)男畔?。采?gòu)人員的操作失誤或疏忽會(huì)導(dǎo)致信息系統(tǒng)的錯(cuò)誤動(dòng)作或產(chǎn)生垃圾信息；違規(guī)篡改數(shù)據(jù)、修改系統(tǒng)時(shí)間、修改系統(tǒng)配置、違規(guī)導(dǎo)入或刪除信息系統(tǒng)的數(shù)據(jù)，可能導(dǎo)致各種重大采購(gòu)事故的發(fā)生。有令不行、有禁不止等人為因素形成的風(fēng)險(xiǎn)，是軍隊(duì)物資采購(gòu)信息安全的最大風(fēng)險(xiǎn)。

(二)系統(tǒng)風(fēng)險(xiǎn)。

系統(tǒng)風(fēng)險(xiǎn)包括系統(tǒng)開(kāi)發(fā)風(fēng)險(xiǎn)和系統(tǒng)運(yùn)行風(fēng)險(xiǎn)。在采購(gòu)項(xiàng)目開(kāi)發(fā)過(guò)程中沒(méi)有考慮到必要的信息系統(tǒng)安全設(shè)計(jì)，或安全設(shè)計(jì)存在缺陷，都會(huì)導(dǎo)致采辦信息系統(tǒng)安全免疫能力不足。沒(méi)有完善、嚴(yán)格的生產(chǎn)系統(tǒng)運(yùn)行管理體制，會(huì)導(dǎo)致機(jī)房管理、口令管理、授權(quán)管理、用戶(hù)管理、服務(wù)器管理、網(wǎng)絡(luò)管理、備份管理、病毒管理等方面出現(xiàn)問(wèn)題，輕則產(chǎn)生垃圾信息，重則發(fā)生系統(tǒng)中斷、信息被非法獲取。

當(dāng)前的采購(gòu)信息系統(tǒng)已是一個(gè)龐大的網(wǎng)絡(luò)化系統(tǒng)，在網(wǎng)絡(luò)內(nèi)存在眾多的中小型機(jī)、服務(wù)器、前置機(jī)、路由器、終端設(shè)備，也包括數(shù)據(jù)庫(kù)、操作系統(tǒng)、中間件、應(yīng)用系統(tǒng)等軟件系統(tǒng)。網(wǎng)絡(luò)系統(tǒng)中的任何一個(gè)環(huán)節(jié)都有可能出現(xiàn)故障，一旦出現(xiàn)故障便有可能造成系統(tǒng)中斷，影響業(yè)務(wù)正常運(yùn)作。同時(shí)，由于自然災(zāi)害、戰(zhàn)爭(zhēng)等突發(fā)事件造成的系統(tǒng)崩潰、數(shù)據(jù)載體不可修復(fù)性損失等等，都能夠給采購(gòu)信息系統(tǒng)帶來(lái)很大的影響。

(三)數(shù)據(jù)風(fēng)險(xiǎn)。

數(shù)據(jù)是信息的載體，也是軍隊(duì)物資采購(gòu)系統(tǒng)最重要的資產(chǎn)。對(duì)數(shù)據(jù)的存儲(chǔ)、處理、獲取、和共享均需要有一套完整的流程和審批制度，沒(méi)有健全的數(shù)據(jù)管理制度，便存在導(dǎo)致數(shù)據(jù)信息泄露的風(fēng)險(xiǎn)。

二、軍隊(duì)物資采購(gòu)信息安全的內(nèi)容

通過(guò)對(duì)信息安全定義的查詢(xún)，可以看到其是根據(jù)不同的環(huán)境情況各自不同的。在相對(duì)受到專(zhuān)業(yè)影響較小的國(guó)際標(biāo)準(zhǔn)ISOl7799信息安全標(biāo)準(zhǔn)中，信息安全是指：使信息避免一系列威脅，保障商務(wù)的連續(xù)性，盡量減少業(yè)務(wù)損失，從而最大限度地獲取投資和商務(wù)的回報(bào)。

對(duì)于軍隊(duì)物資采購(gòu)系統(tǒng)，信息安全管理則應(yīng)該堅(jiān)持系統(tǒng)和全局的觀(guān)念，基于平戰(zhàn)結(jié)合、立足應(yīng)急保障的思想，指導(dǎo)組織建立安全管理體系。通過(guò)系統(tǒng)、全面、科學(xué)的安全風(fēng)險(xiǎn)評(píng)估，體現(xiàn)“積極預(yù)防、綜合防范”的方針，強(qiáng)調(diào)遵守國(guó)家有關(guān)信息安全的法律法規(guī)及其他合同方要求，透過(guò)全過(guò)程和動(dòng)態(tài)控制，本著控制費(fèi)用與風(fēng)險(xiǎn)平衡的原則，合理選擇安全控制方式，保護(hù)組織所擁有的關(guān)鍵信息資產(chǎn)，使信息風(fēng)險(xiǎn)的發(fā)生概率降低到可接受的水平，確保信息的保密性、完整性和可用性，保持組織業(yè)務(wù)運(yùn)作的持續(xù)性。

(一)保密性。

信息安全的保密性，在確保遵守軍隊(duì)保密守則規(guī)定的前提下，確保信息僅可讓授權(quán)獲取的相關(guān)人員訪(fǎng)問(wèn)。結(jié)合當(dāng)前的狀況，軍隊(duì)物資采購(gòu)系統(tǒng)的信息安全保密應(yīng)當(dāng)做熟嚴(yán)格分崗授權(quán)制衡機(jī)制，杜絕不相容崗位兼崗現(xiàn)象;嚴(yán)格用戶(hù)管理和授權(quán)管理，防止非法用戶(hù)，用戶(hù)冗余和用戶(hù)授權(quán)不當(dāng);加強(qiáng)密碼管理，防止不設(shè)口令或者口令過(guò)于簡(jiǎn)熟加強(qiáng)病毒防范管理，防范病毒損氰控制訪(fǎng)問(wèn)信息，組織非法訪(fǎng)問(wèn)信息系統(tǒng)確保對(duì)外網(wǎng)絡(luò)服務(wù)得到保護(hù)，陰止非法訪(fǎng)問(wèn)網(wǎng)絡(luò);檢測(cè)非法行為，防范道德風(fēng)險(xiǎn);保證在使用移動(dòng)電腦和遠(yuǎn)程網(wǎng)絡(luò)設(shè)備時(shí)的信息安全，防止非法攻擊。

(二)完備性。

信息安全的完備性，是指信息準(zhǔn)確和具備完善的處理方法。具體要求是:嚴(yán)格采購(gòu)業(yè)務(wù)流程管理，確保采購(gòu)業(yè)務(wù)流程與采購(gòu)信息系統(tǒng)操作流程完備一熟嚴(yán)格控制生產(chǎn)系統(tǒng)數(shù)據(jù)修改，防止數(shù)據(jù)丟失。防止不正確修改，減少誤操作;嚴(yán)格數(shù)據(jù)管理，確保數(shù)據(jù)得到完整積累與保全，使系統(tǒng)數(shù)據(jù)能夠真實(shí)、完整地反映采購(gòu)業(yè)務(wù)信息;嚴(yán)格按照軍隊(duì)關(guān)于物資采購(gòu)規(guī)定和要求操作，減少或杜絕非標(biāo)業(yè)務(wù)。避免任何違反法令、法規(guī)、合同約定及易導(dǎo)致業(yè)務(wù)信息與數(shù)據(jù)信息不一致、不完整的行為。

(三)可用性。

信息安全的可用性，要求確保被授權(quán)人可以獲取所需信息。具體要求是:加強(qiáng)生產(chǎn)系統(tǒng)運(yùn)行管理，確保生產(chǎn)系統(tǒng)安全、穩(wěn)定、可靠運(yùn)行;加強(qiáng)生產(chǎn)機(jī)房建設(shè)與管理，保障機(jī)房工作環(huán)境所必需的濕度、溫度、電源、防火、防水、防靜電、防雷、限制進(jìn)人等要求，減少安全隱患;加強(qiáng)生產(chǎn)系統(tǒng)日常檢查管理，及早發(fā)現(xiàn)故障苗頭;加強(qiáng)系統(tǒng)備份，防止數(shù)據(jù)損失;嚴(yán)格生產(chǎn)系統(tǒng)時(shí)間管理，禁止隨意修改生產(chǎn)系統(tǒng)時(shí)間;保障系統(tǒng)持續(xù)運(yùn)標(biāo)實(shí)施災(zāi)難備份，防止關(guān)鍵業(yè)務(wù)處理在災(zāi)難發(fā)生時(shí)受到影響。

三、軍隊(duì)物資采購(gòu)信息安全管理

(一)信息安全機(jī)構(gòu)。

軍隊(duì)物資采購(gòu)系統(tǒng)應(yīng)分出專(zhuān)人專(zhuān)職來(lái)負(fù)責(zé)信息安全管理工作，并協(xié)同上級(jí)業(yè)務(wù)管理單位制定信息安全管理制度和工作程序，設(shè)定安全等級(jí)，評(píng)估安全風(fēng)險(xiǎn)程度，落實(shí)防范措施方案，提出內(nèi)控體系整改方案與措施，監(jiān)督和評(píng)估信息安全管理成效。在與上級(jí)總部和軍區(qū)、軍兵種物油部管理機(jī)構(gòu)之間還要有一個(gè)快速響應(yīng)的信息安全事故收集、匯總、處理及反饋體系。

(二)信息安全管理制度與策略。

信息安全管理制度應(yīng)針對(duì)軍隊(duì)物資采購(gòu)系統(tǒng)現(xiàn)狀與發(fā)展方向來(lái)制定，要充分考慮可操作性?，F(xiàn)階段可根據(jù)“積極防御、綜合防范”的方針，制定內(nèi)部網(wǎng)、OA網(wǎng)、外部網(wǎng)的管理辦法，明確用戶(hù)的訪(fǎng)問(wèn)權(quán)限。制定生產(chǎn)系統(tǒng)運(yùn)行管理辦法。嚴(yán)格實(shí)行分崗制衡、分級(jí)授權(quán)，嚴(yán)格執(zhí)行生產(chǎn)系統(tǒng)時(shí)間管理、備份管理、數(shù)據(jù)管理和口令管理。

(三)信息安全分級(jí)管理。

信息安全分級(jí)管理，是將信息資源根據(jù)重要性進(jìn)行分級(jí)，對(duì)不同級(jí)別的信息資產(chǎn)采用不同級(jí)別信息安全保護(hù)措施，國(guó)家已將信息安全等級(jí)保護(hù)監(jiān)督劃分為五個(gè)級(jí)別，分別為自主性保護(hù)、指導(dǎo)性保護(hù)、專(zhuān)控性保護(hù)。

軍隊(duì)物資采購(gòu)系統(tǒng)可以結(jié)合實(shí)際情況，將信息資產(chǎn)分為“三級(jí)”或“五級(jí)”保護(hù)，目的在于突出重點(diǎn)，抓住關(guān)鍵，兼顧一般，合理保護(hù)。分級(jí)管理的方法是分析危險(xiǎn)源或危險(xiǎn)點(diǎn)，評(píng)估其重要性，再分設(shè)等級(jí)，從而采取不同的保護(hù)措施。比如，對(duì)于采購(gòu)機(jī)構(gòu)業(yè)務(wù)機(jī)房，可采取門(mén)禁與限制進(jìn)入等方式進(jìn)行保護(hù);針對(duì)采購(gòu)中相關(guān)數(shù)據(jù)的提供，可設(shè)計(jì)一定的審判流程，根據(jù)數(shù)據(jù)的重要程度，分為公開(kāi)信息、優(yōu)先共享信息、內(nèi)部一般信息、內(nèi)部控制信息、內(nèi)部關(guān)鍵信息和內(nèi)部核心信息，實(shí)施嚴(yán)格的授權(quán)控制;對(duì)于信息安全事故，可分為重大事故、一般事故、輕微事故等，采取不同的處置方案。

(四)信息安全集中監(jiān)控與處置。

設(shè)立集中運(yùn)行的信息安全監(jiān)控處置中心，及時(shí)監(jiān)控、發(fā)現(xiàn)安全事故，做到響應(yīng)快速、處置果斷，并實(shí)施應(yīng)急恢復(fù)。結(jié)合軍隊(duì)物資采購(gòu)系統(tǒng)當(dāng)前實(shí)際情況，可對(duì)網(wǎng)絡(luò)、服務(wù)器等運(yùn)行設(shè)備進(jìn)行集中監(jiān)控，開(kāi)展服務(wù)器容量管理、網(wǎng)絡(luò)流量監(jiān)控;對(duì)應(yīng)用系統(tǒng)采取防范與監(jiān)控相結(jié)合的方式，對(duì)信息系統(tǒng)的數(shù)據(jù)設(shè)置校驗(yàn)碼，防止非法修改;在開(kāi)發(fā)應(yīng)用系統(tǒng)的同時(shí)，還應(yīng)開(kāi)發(fā)相應(yīng)的審計(jì)檢查監(jiān)控程序，由各單位分別運(yùn)行和維護(hù)，由上級(jí)采購(gòu)管理機(jī)構(gòu)定期查驗(yàn)和監(jiān)督，及時(shí)發(fā)現(xiàn)數(shù)據(jù)信息存在的風(fēng)險(xiǎn)。

四、信息安全管理系統(tǒng)

實(shí)現(xiàn)信息安全管理的集中運(yùn)行，需借助信息安全管理系統(tǒng)。各軍隊(duì)采購(gòu)機(jī)構(gòu)和部門(mén)可以按照上級(jí)下達(dá)的統(tǒng)一標(biāo)準(zhǔn)，構(gòu)建基于同一操作平臺(tái)的信息安全管理系統(tǒng)，幫助安全管理中心實(shí)現(xiàn)系統(tǒng)的監(jiān)控、分析、預(yù)警等功能，實(shí)現(xiàn)信息安全事故處理的收集、存儲(chǔ)、分析等功能，及時(shí)對(duì)信息風(fēng)險(xiǎn)作出反饋。

(一)監(jiān)控功能。

為采辦機(jī)構(gòu)和部門(mén)的相關(guān)信息處理和傳輸設(shè)備配置專(zhuān)人管理，并設(shè)置機(jī)房日志管理、服務(wù)器性能日志管理、服務(wù)器容量日志管理、數(shù)據(jù)修改日志管理、流量監(jiān)控日志等功能，酌情設(shè)置數(shù)據(jù)檢測(cè)結(jié)果日志管理功能。通過(guò)對(duì)存儲(chǔ)、傳輸和刪改的操作進(jìn)行管理，達(dá)到監(jiān)督控制的目的。

(二)處理功能．

根據(jù)采辦單位所在環(huán)境和情況，自主設(shè)置安全事故報(bào)告、響應(yīng)、處置等采辦信息管理功能，對(duì)于高級(jí)別信息，也可以采用每天零報(bào)告措施。通過(guò)信息處理的簡(jiǎn)化、優(yōu)化和快速反應(yīng)，提高信息安全保障能力，從而保證軍隊(duì)采購(gòu)的正常進(jìn)行。

(三)安全等級(jí)管理功能。

針對(duì)采辦單位自身特點(diǎn)，設(shè)置信息資產(chǎn)、危險(xiǎn)源、危險(xiǎn)點(diǎn)定義與分級(jí)功能，對(duì)于不同級(jí)別的信息安全危機(jī)設(shè)定不同的保護(hù)等級(jí)，并采取不同的保護(hù)措施、監(jiān)控措施、事故響應(yīng)與處置措施，保證系統(tǒng)的穩(wěn)定性和完好性。

篇10

關(guān)鍵詞：等級(jí)保護(hù)分級(jí)管理；中小型網(wǎng)絡(luò)；安全建設(shè)

中圖分類(lèi)號(hào)：TP309文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1007-9599 (2011) 24-0000-01

SMs Network Security Building Analysis in Level Protection Hierarchical Management

Xu Aihua,Lv Yun

(Nanjing Institute of Science& Technology Information,Nanjing 210018)

Abstract:This article based on "communications network security management approach"in the basic situation of small and medium sized networks and applications based on the analysis of the characteristics on small and medium sized network construction and management of network security solutions.

Keywords:Level protection classification management;Small network;

Security building

一、工信部關(guān)于等級(jí)保護(hù)分級(jí)管理的要求

如何利用等級(jí)保護(hù)中分級(jí)管理制度，確定不同的系統(tǒng)不同的安全策略，消除內(nèi)部網(wǎng)向公網(wǎng)傳送的信息可能被他人竊聽(tīng)或篡改等等安全隱患，對(duì)中小網(wǎng)絡(luò)而言至關(guān)重要。為此，自2010年3月1日起，工業(yè)和信息化部了《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》(以下簡(jiǎn)稱(chēng)《辦法》)開(kāi)始施行?！掇k法》要求通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)按照各通信網(wǎng)絡(luò)單元遭到破壞后可能造成的危害程度，將本單位已正式投入運(yùn)行的通信網(wǎng)絡(luò)單元由低到高分別劃分為一級(jí)、二級(jí)、三級(jí)、四級(jí)、五級(jí)?！掇k法》要求，通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)在通信網(wǎng)絡(luò)定級(jí)評(píng)審?fù)ㄟ^(guò)后三十日內(nèi)，將通信網(wǎng)絡(luò)單元的劃分和定級(jí)情況按照有關(guān)規(guī)定向電信管理機(jī)構(gòu)備案。電信管理機(jī)構(gòu)對(duì)通信網(wǎng)絡(luò)運(yùn)行單位開(kāi)展通信網(wǎng)絡(luò)安全防護(hù)工作的情況進(jìn)行檢查。

二、中小型網(wǎng)絡(luò)基本情況與應(yīng)用特點(diǎn)

中小型計(jì)算機(jī)網(wǎng)絡(luò)主要應(yīng)用于辦公自動(dòng)化系統(tǒng)、信息查詢(xún)系統(tǒng)、郵件服務(wù)、財(cái)務(wù)、人事、計(jì)劃系統(tǒng)等實(shí)際工作和WWW應(yīng)用中。根據(jù)中小型計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用特點(diǎn)，需要保證網(wǎng)絡(luò)中的數(shù)據(jù)具有可用性、可靠性、保密性、完整性、安全性等。又由于計(jì)算機(jī)網(wǎng)絡(luò)跨越公共網(wǎng)絡(luò)及與Internet網(wǎng)互聯(lián)，這就給計(jì)算機(jī)網(wǎng)絡(luò)帶來(lái)嚴(yán)峻的安全問(wèn)題，如敏感信息的泄露、黑客的侵?jǐn)_、網(wǎng)絡(luò)資源的非法使用以及計(jì)算機(jī)病毒等。這些安全問(wèn)題如果得不到解決，那將會(huì)給計(jì)算機(jī)網(wǎng)絡(luò)帶來(lái)嚴(yán)重的安全隱患。所謂可用性是指網(wǎng)絡(luò)信息可被授權(quán)用戶(hù)訪(fǎng)問(wèn)的特性，即網(wǎng)絡(luò)信息服務(wù)在需要時(shí)，能夠保證授權(quán)用戶(hù)使用?？煽啃允侵妇W(wǎng)絡(luò)系統(tǒng)硬件和軟件無(wú)故障運(yùn)行的性能，是網(wǎng)絡(luò)系統(tǒng)安全最基本的要求；保密性是指網(wǎng)絡(luò)信息不被泄露的特性，保密性是保證信息即使泄露，非授權(quán)用戶(hù)在有限的時(shí)間內(nèi)也不能識(shí)別真正的信息內(nèi)容；完整性即網(wǎng)絡(luò)信息在存儲(chǔ)和傳輸過(guò)程中不被刪除、修改、偽造、亂序、重放和插入等操作，是指網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性，也稱(chēng)作不可否認(rèn)性。從技術(shù)角度看，網(wǎng)絡(luò)安全的內(nèi)容大體包括四個(gè)方面，即：網(wǎng)絡(luò)實(shí)體安全、軟件安全網(wǎng)絡(luò)數(shù)據(jù)安全和網(wǎng)絡(luò)安全管理。由此可見(jiàn)，計(jì)算機(jī)網(wǎng)絡(luò)安全不僅要保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全，還要保護(hù)數(shù)據(jù)安全。因此實(shí)施網(wǎng)絡(luò)安全保護(hù)方案，目的是以保證算機(jī)網(wǎng)絡(luò)自身的安全。

三、中小型網(wǎng)絡(luò)安全解決方案

隨著網(wǎng)絡(luò)威脅越來(lái)越普遍、破壞性越來(lái)越嚴(yán)重，網(wǎng)絡(luò)入侵者攻擊來(lái)源廣泛，形式多樣。通常采用信息收集、探測(cè)分析系統(tǒng)的安全弱點(diǎn)和實(shí)施攻擊有步驟地進(jìn)行入侵。如在目標(biāo)系統(tǒng)安裝木馬程序用來(lái)窺探目標(biāo)，網(wǎng)絡(luò)所熟悉的病毒，如紅色代碼、沖擊波，口令蠕蟲(chóng)等對(duì)網(wǎng)絡(luò)造成了巨大損失。本文按照安全風(fēng)險(xiǎn)、需求分析結(jié)果、安全目標(biāo)及安全設(shè)計(jì)原則，為中小型計(jì)算機(jī)網(wǎng)絡(luò)解決網(wǎng)絡(luò)安全問(wèn)題，力求構(gòu)建一個(gè)適合于中小型計(jì)算機(jī)網(wǎng)絡(luò)的安全體系。

（一）外網(wǎng)安全設(shè)計(jì)

1.防火墻系統(tǒng)：采用防火墻系統(tǒng)實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)和廣域網(wǎng)進(jìn)行隔離保護(hù)。對(duì)內(nèi)部網(wǎng)絡(luò)中服務(wù)器子網(wǎng)通過(guò)單獨(dú)的防火墻設(shè)備進(jìn)行保護(hù)。

2.入侵檢測(cè)系統(tǒng)：采用入侵檢測(cè)設(shè)備，作為防火墻的功能互補(bǔ)，提供對(duì)監(jiān)控網(wǎng)段的攻擊的實(shí)時(shí)報(bào)警和積極響應(yīng)。

3.病毒防護(hù)系統(tǒng)：強(qiáng)化病毒防護(hù)系統(tǒng)的應(yīng)用策略和管理策略，增強(qiáng)病毒防護(hù)有效性。

4.垃圾郵件過(guò)濾系統(tǒng)：過(guò)濾郵件，阻止垃圾郵件及病毒郵件的入侵。

（二）內(nèi)網(wǎng)安全設(shè)計(jì)

采用訪(fǎng)問(wèn)控制策略，通過(guò)密碼、口令（不定期修改、定期保存密碼與口令）等禁止非授權(quán)用戶(hù)對(duì)服務(wù)器的訪(fǎng)問(wèn)，以及對(duì)辦公自動(dòng)化平臺(tái)、的訪(fǎng)問(wèn)和管理、用戶(hù)身份真實(shí)性的驗(yàn)證、內(nèi)部用戶(hù)訪(fǎng)問(wèn)權(quán)限設(shè)置、ARP病毒的防御、數(shù)據(jù)完整、審計(jì)記錄、防病毒入侵。對(duì)內(nèi)部采用：網(wǎng)絡(luò)管理軟件系統(tǒng)：使網(wǎng)管人員對(duì)網(wǎng)絡(luò)中的實(shí)時(shí)數(shù)據(jù)流量情況能夠清晰了解。掌握整個(gè)網(wǎng)絡(luò)使用流量的平均標(biāo)準(zhǔn)，定位網(wǎng)絡(luò)流量的基線(xiàn)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)是否出現(xiàn)異常流量并控制帶寬。

具體可采用Juniper的整合式安全設(shè)備+三層交換機(jī)的配置方案。Juniper的整合式安全設(shè)備專(zhuān)為互聯(lián)網(wǎng)網(wǎng)絡(luò)安全而設(shè)，將硬件狀態(tài)防火墻、虛擬專(zhuān)用網(wǎng)（IP sec VPN）、入侵防護(hù)（IPS）和流量管理等多種安全功能集于一體，可以通過(guò)內(nèi)置的Web UI、命令行界面或中央管理方案進(jìn)行統(tǒng)一管理。

三層交換機(jī)具用于日志審計(jì)及監(jiān)控。根據(jù)不同用戶(hù)安全級(jí)別或者根據(jù)不同部門(mén)的安全訪(fǎng)問(wèn)需求，網(wǎng)絡(luò)利用三層交換機(jī)來(lái)劃分虛擬子網(wǎng)（VLAN）。因?yàn)槿龑咏粨Q機(jī)具有路由功能，在沒(méi)有配置路由的情況下，不同虛擬子網(wǎng)間是不能夠互相訪(fǎng)問(wèn)，同時(shí)通過(guò)在不同VLAN間做限制來(lái)實(shí)現(xiàn)不同資源的訪(fǎng)問(wèn)控制。通過(guò)虛擬子網(wǎng)的劃分，既方便局域網(wǎng)絡(luò)的互聯(lián)，又能夠?qū)崿F(xiàn)訪(fǎng)問(wèn)控制。

四、結(jié)束語(yǔ)

總之，我們必須不斷強(qiáng)化信息安全觀(guān)念，加強(qiáng)網(wǎng)絡(luò)與信息系統(tǒng)安全保障工作的檢查和監(jiān)督，充分利用《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》關(guān)于安全等級(jí)劃分的要求制定具體的信息安全防護(hù)策略，全面落實(shí)各項(xiàng)制度、預(yù)案，加強(qiáng)技術(shù)積累，定期進(jìn)行網(wǎng)絡(luò)漏洞掃描等安全有效措施，切實(shí)加強(qiáng)網(wǎng)絡(luò)與信息系統(tǒng)安全保障工作，確保中小型網(wǎng)絡(luò)信息系統(tǒng)的安全穩(wěn)定運(yùn)行。

參考文獻(xiàn)：