網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)范文

關(guān)鍵詞： 云計(jì)算； 云安全； 信息安全； 等級(jí)保護(hù)測(cè)評(píng)； 局限性

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1006-8228（2016）11-35-03

Discussion on the testing and evaluating of cloud computing security level protection

Liu Xiaoli， Shen Xiaohui

（Zhejiang Provincial Testing Institute of Electronic & Information Products， Hangzhou， Zhejiang 310007， China）

Abstract： Cloud computing has recently attracted extensive attention since Internet has accessed Web 2.0 with more freedom and flexibility. However， the cloud security has become the biggest challenge for cloud promotion. Combined with the problems of the actual testing and evaluation in cloud computing security， the limitations of the application of the current information security level protection evaluation standard to the cloud environment are analyzed， and the contents that cloud security should focus on are proposed.

Key words： cloud computing； cloud security； information security； testing and evaluation of security level protection； limitations

0 引言

近年來，隨著網(wǎng)絡(luò)進(jìn)入更加自由和靈活的Web2.0時(shí)代，云計(jì)算的概念風(fēng)起云涌。美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）定義云計(jì)算是一種按使用量付費(fèi)的模式，這種模式提供可用的、便捷的、按需的網(wǎng)絡(luò)訪問，進(jìn)入可配置的計(jì)算資源共享池（資源包括網(wǎng)絡(luò)，服務(wù)器，存儲(chǔ)，應(yīng)用軟件，服務(wù)），這些資源能夠被快速提供，只需投入很少的管理工作，或與服務(wù)供應(yīng)商進(jìn)行很少的交互。云計(jì)算因其節(jié)約成本、維護(hù)方便、配置靈活已經(jīng)成為各國政府優(yōu)先推進(jìn)發(fā)展的一項(xiàng)服務(wù)。美、英、澳大利亞等國家紛紛出臺(tái)了相關(guān)發(fā)展政策，有計(jì)劃地促進(jìn)政府部門信息系統(tǒng)向云計(jì)算平臺(tái)遷移。但是也應(yīng)該看到，政府部門采用云計(jì)算服務(wù)也給其敏感數(shù)據(jù)和重要業(yè)務(wù)的安全帶來了挑戰(zhàn)。美國作為云計(jì)算服務(wù)應(yīng)用的倡導(dǎo)者，一方面推出“云優(yōu)先戰(zhàn)略”，要求大量聯(lián)邦政府信息系統(tǒng)遷移到“云端”，另一方面為確保安全，要求為聯(lián)邦政府提供的云計(jì)算服務(wù)必須通過安全審查[1]。我國也先后出臺(tái)了一系列云計(jì)算服務(wù)安全的國家標(biāo)準(zhǔn)，如GB/T 31167-2014《信息安全技術(shù)云計(jì)算服務(wù)安全指南》、GB/T 31168-2014 《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》等。本文關(guān)注的是云計(jì)算安全，包括云計(jì)算應(yīng)用系統(tǒng)安全、云計(jì)算應(yīng)用服務(wù)安全、云計(jì)算用戶信息安全等[2]。

當(dāng)前，等級(jí)保護(hù)測(cè)評(píng)的依據(jù)主要有GB/T 22239-

2008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、GB/T 28448-2012《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》和GB/T 28449-2012《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南》等。然而，這些標(biāo)準(zhǔn)應(yīng)用于傳統(tǒng)計(jì)算模式下的信息系統(tǒng)安全測(cè)評(píng)具有普適性，對(duì)于采用云計(jì)算服務(wù)模式下的信息系統(tǒng)卻有一定的局限性。

本文結(jié)合實(shí)際云計(jì)算服務(wù)安全測(cè)評(píng)中的問題，首先討論現(xiàn)行信息安全等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)應(yīng)用到云環(huán)境的一些局限性，其次對(duì)于云計(jì)算安全特別需要關(guān)注的測(cè)評(píng)項(xiàng)進(jìn)行分析。

1 云計(jì)算安全

正如一件新鮮事物在帶給我們好處的同時(shí)，也會(huì)帶來問題一樣，云計(jì)算的推廣也遇到了諸多困難，其中安全問題已成為阻礙云計(jì)算推廣的最大障礙。

云計(jì)算安全面臨著七大風(fēng)險(xiǎn)，主要包括客戶對(duì)數(shù)據(jù)和業(yè)務(wù)系統(tǒng)的控制能力減弱、客戶與云服務(wù)商之間的責(zé)任難以界定、可能產(chǎn)生司法管轄權(quán)問題、數(shù)據(jù)所有權(quán)保障面臨風(fēng)險(xiǎn)、數(shù)據(jù)保護(hù)更加困難、數(shù)據(jù)殘留和容易產(chǎn)生對(duì)云服務(wù)商的過度依賴等。文獻(xiàn)[3]提出了云計(jì)算安全測(cè)評(píng)框架，與傳統(tǒng)信息系統(tǒng)安全測(cè)評(píng)相比，云計(jì)算安全測(cè)評(píng)應(yīng)重點(diǎn)關(guān)注虛擬化安全、數(shù)據(jù)安全和應(yīng)用安全等層面。

虛擬化作為云計(jì)算最重要的技術(shù)，其安全性直接關(guān)系到云環(huán)境的安全。虛擬化安全涉及虛擬化軟件安全和虛擬化服務(wù)器安全，其中虛擬化服務(wù)器安全包括虛擬化服務(wù)器隔離、虛擬化服務(wù)器監(jiān)控、虛擬化服務(wù)器遷移等。云計(jì)算的虛擬化安全問題主要集中在VM Hopping（一臺(tái)虛擬機(jī)可能監(jiān)控另一臺(tái)虛擬機(jī)甚至?xí)尤氲剿拗鳈C(jī)）、VM Escape（VM Escape攻擊獲得Hypervisor的訪問權(quán)限，從而對(duì)其他虛擬機(jī)進(jìn)行攻擊）/遠(yuǎn)程管理缺陷（Hypervisor通常由管理平臺(tái)來為管理員管理虛擬機(jī)，而這些控制臺(tái)可能會(huì)引起一些新的缺陷）、遷移攻擊（可以將虛擬機(jī)從一臺(tái)主機(jī)移動(dòng)到另一臺(tái)，也可以通過網(wǎng)絡(luò)或USB復(fù)制虛擬機(jī)）等[4]。

數(shù)據(jù)實(shí)際存儲(chǔ)位置往往不受客戶控制，且數(shù)據(jù)存放在云平臺(tái)上，數(shù)據(jù)的所有權(quán)難以界定，多租戶共享計(jì)算資源，可能導(dǎo)致客戶數(shù)據(jù)被授權(quán)訪問、篡改等。另外當(dāng)客戶退出云服務(wù)時(shí)，客戶數(shù)據(jù)是否被完全刪除等是云計(jì)算模式下數(shù)據(jù)安全面臨的主要問題。

在云計(jì)算中對(duì)于應(yīng)用安全，特別需要注意的是Web應(yīng)用的安全。云計(jì)算應(yīng)用安全主要包括云用戶身份管理、云訪問控制、云安全審計(jì)、云安全加密、抗抵賴、軟件代碼安全等[3]。

2 云計(jì)算下等級(jí)保護(hù)測(cè)評(píng)的局限性

信息系統(tǒng)安全等級(jí)保護(hù)是國家信息安全保障工作的基本制度、基本策略、基本方法。開展信息系統(tǒng)安全等級(jí)保護(hù)工作不僅是加強(qiáng)國家信息安全保障工作的重要內(nèi)容，也是一項(xiàng)事關(guān)國家安全、社會(huì)穩(wěn)定的政治任務(wù)。信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)工作是指測(cè)評(píng)機(jī)構(gòu)依據(jù)國家信息安全等級(jí)保護(hù)制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)未涉及國家秘密的信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng)。與之對(duì)應(yīng)的是涉及國家秘密的信息系統(tǒng)安全測(cè)評(píng)，就是通常所說的分級(jí)保護(hù)測(cè)評(píng)。

信息系統(tǒng)安全等級(jí)保護(hù)的基本要求包括技術(shù)要求和管理要求兩大類。其中技術(shù)要求包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等五個(gè)層面；管理要求包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)層面。

傳統(tǒng)的安全已不足以保護(hù)現(xiàn)代云計(jì)算工作負(fù)載。換言之，將現(xiàn)行的等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)生搬硬套到云計(jì)算模式存在局限性，具體體現(xiàn)在以下方面。

⑴ 物理安全

傳統(tǒng)模式的信息系統(tǒng)數(shù)據(jù)中心或者在本單位，或者托管在第三方機(jī)構(gòu)，用戶可以掌握自身數(shù)據(jù)和副本存儲(chǔ)在設(shè)備和數(shù)據(jù)中心的具置。然而，由于云服務(wù)商的數(shù)據(jù)中心可能分布在不同的地區(qū)，甚至不同的國家，GB/T 31167-2014明確了存儲(chǔ)、處理客戶數(shù)據(jù)的數(shù)據(jù)中心和云計(jì)算基礎(chǔ)設(shè)施不得設(shè)在境外。

⑵ 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全主要包括結(jié)構(gòu)安全、邊界防護(hù)、訪問控制、入侵防范、惡意代碼防范、安全審計(jì)、網(wǎng)絡(luò)設(shè)備防護(hù)等測(cè)評(píng)項(xiàng)。網(wǎng)絡(luò)邊界是網(wǎng)絡(luò)信息安全的第一道防線，因此在網(wǎng)絡(luò)邊界采取安全防護(hù)措施就顯得尤為重要。但在云計(jì)算模式下，多個(gè)系統(tǒng)同時(shí)運(yùn)行在同一個(gè)物理機(jī)上，突破了傳統(tǒng)的網(wǎng)絡(luò)邊界。由此可見，網(wǎng)絡(luò)邊界的界定、安全域的劃分成為了云計(jì)算模式下網(wǎng)絡(luò)邊界安全面臨的新挑戰(zhàn)[5]。

⑶ 主機(jī)安全

主機(jī)安全主要包括身份鑒別、訪問控制、安全審計(jì)等測(cè)評(píng)項(xiàng)。但在云計(jì)算模式下，虛擬化技術(shù)能夠?qū)崿F(xiàn)在一臺(tái)物理機(jī)上運(yùn)行多臺(tái)虛擬機(jī)。盡管虛擬機(jī)之間具有良好的隔離性，但在云計(jì)算平臺(tái)，尤其是私有云和社區(qū)云中，虛擬機(jī)之間通常需要進(jìn)行交互和通信，正是這種交互為攻擊和惡意軟件的傳播提供了可能。因此，虛擬機(jī)之間的安全隔離、用戶權(quán)限劃分、數(shù)據(jù)殘留、跨虛擬機(jī)的非授權(quán)訪問是云計(jì)算環(huán)境下虛擬機(jī)安全需要重點(diǎn)關(guān)注的內(nèi)容。

⑷ 應(yīng)用安全

應(yīng)用系統(tǒng)作為承載數(shù)據(jù)的主要載體，其安全性直接關(guān)系到信息系統(tǒng)的整體安全，因此對(duì)整個(gè)系統(tǒng)的安全保密性至關(guān)重要。然而，當(dāng)前絕大多數(shù)單位的應(yīng)用系統(tǒng)在設(shè)計(jì)開發(fā)過程中，僅僅考慮到應(yīng)用需求、系統(tǒng)的性能及技術(shù)路線的選擇等問題，缺少了應(yīng)用系統(tǒng)自身的安全性。客戶的應(yīng)用托管在云計(jì)算平臺(tái)，面臨著安全與隱私雙重風(fēng)險(xiǎn)，主要包括多租戶環(huán)境下來自云計(jì)算服務(wù)商和其他用戶的未授權(quán)訪問、隱私保護(hù)、內(nèi)容安全管理、用戶認(rèn)證和身份管理問題[6]。

⑸ 數(shù)據(jù)安全及備份恢復(fù)

在云計(jì)算模式下，客戶的數(shù)據(jù)和業(yè)務(wù)遷移至云服務(wù)商的云平臺(tái)中，數(shù)據(jù)的處理、存儲(chǔ)均在“云端”完成，用戶一端只具有較少的計(jì)算處理能力，數(shù)據(jù)的安全性依賴于云平臺(tái)的安全。如何確保數(shù)據(jù)遠(yuǎn)程傳輸安全、數(shù)據(jù)集中存儲(chǔ)安全以及多租戶之間的數(shù)據(jù)隔離是云計(jì)算環(huán)境下迫切需要解決的問題。

3 云安全之等級(jí)保護(hù)測(cè)評(píng)

參照等級(jí)保護(hù)測(cè)評(píng)的要求，結(jié)合上述分析，云安全之等級(jí)保護(hù)測(cè)評(píng)應(yīng)重點(diǎn)關(guān)注以下方面。

⑴ 數(shù)據(jù)中心物理與環(huán)境安全：用于業(yè)務(wù)運(yùn)行和數(shù)據(jù)處理及存儲(chǔ)的物理設(shè)備是否位于中國境內(nèi)，從而避免產(chǎn)生司法管轄權(quán)的問題。

⑵ 虛擬網(wǎng)絡(luò)安全邊界訪問控制：是否在虛擬網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，設(shè)置有效的訪問控制規(guī)則，從而控制虛機(jī)間的互訪。

⑶ 遠(yuǎn)程訪問監(jiān)控：是否能實(shí)時(shí)監(jiān)視云服務(wù)遠(yuǎn)程連接，并在發(fā)現(xiàn)未授權(quán)訪問時(shí)，及時(shí)采取恰當(dāng)?shù)姆雷o(hù)措施。

⑷ 網(wǎng)絡(luò)邊界安全：是否采取了網(wǎng)絡(luò)邊界安全防護(hù)措施，如在整個(gè)云計(jì)算網(wǎng)絡(luò)的邊界部署安全防護(hù)設(shè)備等。

⑸ 虛擬機(jī)安全：虛擬機(jī)之間的是否安全隔離，當(dāng)租戶退出云服務(wù)時(shí)是否有數(shù)據(jù)殘留，是否存在跨虛擬機(jī)的非授權(quán)訪問等。

⑹ 接口安全：是否采取有效措施確保云計(jì)算服務(wù)對(duì)外接口的安全性。

⑺ 數(shù)據(jù)安全：多租戶間的數(shù)據(jù)是否安全隔離，遠(yuǎn)程傳輸時(shí)是否有措施確保數(shù)據(jù)的完整性和保密性，租戶業(yè)務(wù)或數(shù)據(jù)進(jìn)行遷移時(shí)是否具有可移植性和互操作性。

4 結(jié)束語

云計(jì)算因其高效化、集約化和節(jié)約化的特點(diǎn)，受到越來越多黨政機(jī)關(guān)、企事業(yè)單位的青睞，與此同時(shí)云計(jì)算帶來的風(fēng)險(xiǎn)也是不容忽視的。本文結(jié)合云計(jì)算的特點(diǎn)分析了云計(jì)算模式下現(xiàn)行等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)的一些局限性，并提出了云計(jì)算下等級(jí)保護(hù)測(cè)評(píng)需要特別關(guān)注的測(cè)評(píng)項(xiàng)，對(duì)云服務(wù)商、租戶和測(cè)評(píng)機(jī)構(gòu)提供借鑒。值得注意的是，租戶在進(jìn)行云遷移之前，首先應(yīng)確定自身遷移業(yè)務(wù)的等級(jí)，其次是租用的云計(jì)算平臺(tái)等級(jí)不能低于業(yè)務(wù)系統(tǒng)的等級(jí)。

參考文獻(xiàn)（References）：

[1] 尹麗波.美國云計(jì)算服務(wù)安全審查值得借鑒.中國日?qǐng)?bào)網(wǎng).

[2] 陳軍，薄明霞，王渭清.云安全研究進(jìn)展及技術(shù)解決方案發(fā)展

趨勢(shì)[J].技術(shù)廣角，2011：50-54

[3] 潘小明，張向陽，沈錫鏞，嚴(yán)丹.云計(jì)算信息安全測(cè)評(píng)框架研究[J].

計(jì)算機(jī)時(shí)代，2013.10：22-25

[4] 房晶，吳昊，白松林.云計(jì)算的虛擬化安全問題[J].電信科學(xué)，

2012.28（4）：135-140

[5] 陳文捷，蔡立志.云環(huán)境中網(wǎng)絡(luò)邊界安全的等級(jí)保護(hù)研究[C].

第二屆全國信息安全等級(jí)保護(hù)技術(shù)大會(huì)會(huì)議論文集，2013.

第2篇：網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)范文

［關(guān)鍵詞］等級(jí)保護(hù)；等級(jí)備案；等級(jí)測(cè)評(píng)

doi：10.3969/j.issn.1673 - 0194.2017.04.115

［中圖分類號(hào)］TP309 ［文獻(xiàn)標(biāo)識(shí)碼］A ［文章編號(hào)］1673-0194（2017）02-0-02

0 引　言

隨著全球信息技術(shù)的快速發(fā)展，我國國民經(jīng)濟(jì)的繁榮和社會(huì)信息化水平的日益提升，信息安全已上升為國家層面的重要內(nèi)容。為進(jìn)一步提高信息安全保障工作的能力和水平，2016年國家網(wǎng)絡(luò)安全宣傳周首次在全國范圍內(nèi)統(tǒng)一舉辦，并首次在地方城市舉行開幕式等重要活動(dòng)。由此信息安全等級(jí)保護(hù)制度也越來越成為信息社會(huì)必不可少的一項(xiàng)制度，等級(jí)測(cè)評(píng)工作也將隨之逐步成為一項(xiàng)常規(guī)化工作，對(duì)保障國家網(wǎng)絡(luò)安全具有重要意義。下文對(duì)信息安全等級(jí)保護(hù)的概念及發(fā)展?fàn)顩r進(jìn)行梳理。

1 信息安全等級(jí)保護(hù)的概念

信息安全等級(jí)保護(hù)是對(duì)信息及信息載體按照重要性等級(jí)分別進(jìn)行保護(hù)的一種工作，是國際上很多國家都實(shí)施的一項(xiàng)信息安全工作。在中國，信息安全等級(jí)保護(hù)廣義上是為涉及信息安全工作的標(biāo)準(zhǔn)、產(chǎn)品、系統(tǒng)、信息等依據(jù)等級(jí)保護(hù)思想確立的安全工作；狹義上一般指信息系統(tǒng)安全等級(jí)保護(hù)。

2 信息安全等級(jí)保護(hù)的發(fā)展歷程

全球化網(wǎng)絡(luò)快速發(fā)展的同時(shí)其脆弱性和安全性也日益彰顯，西方發(fā)達(dá)國家制定了一系列強(qiáng)化網(wǎng)絡(luò)信息安全建設(shè)的政策和標(biāo)準(zhǔn)，其核心就是將不同重要程度的信息系統(tǒng)劃分為不同的安全等級(jí)，以便于對(duì)不同領(lǐng)域的信息安全工作進(jìn)行指導(dǎo)。鑒于此，我國相關(guān)部門和專家結(jié)合我國信息領(lǐng)域的實(shí)際情況經(jīng)過多年的研究，于1994年由國務(wù)院下發(fā)了《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，首次提出了信息安全等級(jí)保護(hù)的概念，用于解決我國信息安全問題。之后經(jīng)過了十幾年的摸索和探究出臺(tái)了一系列從中央到地方的政策法規(guī)，并實(shí)施工程。從計(jì)算機(jī)系統(tǒng)的定級(jí)到等級(jí)保護(hù)測(cè)評(píng)，信息安全工作逐步完善。詳情見表1。

隨著國家對(duì)信息安全工作的重視以及各類等級(jí)保護(hù)規(guī)范標(biāo)準(zhǔn)的出臺(tái)，各行業(yè)及監(jiān)管部門迅速發(fā)文響應(yīng)并落實(shí)行業(yè)內(nèi)信息系統(tǒng)安全等級(jí)保護(hù)工作。建立、健全信息安全管理制度，落實(shí)安全保護(hù)技術(shù)措施，全面貫徹落實(shí)信息安全等級(jí)保護(hù)制度。目前，國家已出臺(tái)70多個(gè)國標(biāo)、行標(biāo)及報(bào)批標(biāo)準(zhǔn)，展開了對(duì)所屬安全系統(tǒng)進(jìn)行先定級(jí)后測(cè)評(píng)的工作。

3 信息安全等級(jí)保護(hù)具體實(shí)施過程

信息安全等級(jí)保護(hù)具體的實(shí)施過程，如圖1所示。

3.1 定級(jí)

2007年開始在全國范圍內(nèi)進(jìn)行信息系統(tǒng)等級(jí)保護(hù)的定級(jí)工作。四級(jí)以上的定級(jí)要求請(qǐng)國家信息安全保護(hù)等級(jí)專家評(píng)審委員會(huì)評(píng)審定級(jí)。此項(xiàng)工作歷時(shí)一年基本完成。

定級(jí)標(biāo)準(zhǔn)為公安部66號(hào)文件。主要依據(jù)是《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》（國家）或行業(yè)制定的定級(jí)指南。對(duì)于等級(jí)的劃分，見表2。

定級(jí)注意事項(xiàng)

第一級(jí)信息系統(tǒng)：適用于小型私營(yíng)、個(gè)體企業(yè)、中小學(xué)、鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級(jí)單位中一般的信息系統(tǒng)。

第二級(jí)信息系統(tǒng)：適用于縣級(jí)一些單位中的重要信息系統(tǒng)；地市級(jí)以上國家機(jī)關(guān)、企事業(yè)單位內(nèi)部一般的信息系統(tǒng)。例如：不涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)，地市級(jí)以上國家機(jī)關(guān)、企事業(yè)單位網(wǎng)站等。

第三級(jí)信息系統(tǒng)：一般適用于地市級(jí)以上國家機(jī)關(guān)、企事業(yè)單位內(nèi)部重要的信息系統(tǒng)；跨省或全國聯(lián)網(wǎng)運(yùn)行的用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)及控制等方面的重要信息系統(tǒng)以及這類系統(tǒng)在省、地市的分支系統(tǒng)；中央各部委、省門戶網(wǎng)站和重要網(wǎng)站；跨省連接的網(wǎng)絡(luò)系統(tǒng)等，例如，網(wǎng)上銀行系統(tǒng)、證券集中交易系統(tǒng)、海關(guān)通關(guān)系統(tǒng)、民航離港控制系統(tǒng)等為三級(jí)信息系統(tǒng)。

第四級(jí)信息系統(tǒng)：一般適用于國家重要領(lǐng)域、部門中涉及國計(jì)民生、國家利益、國家安全、影響社會(huì)穩(wěn)定的核心系統(tǒng)。例如：電信骨干傳輸網(wǎng)、電力能量管理系統(tǒng)、銀行核心業(yè)務(wù)系統(tǒng)、鐵路票客系統(tǒng)、列車指揮調(diào)度系統(tǒng)等。

第五級(jí)信息系統(tǒng)：適用于國家特殊領(lǐng)域的極其重要系統(tǒng)。

3.2 等級(jí)備案

已運(yùn)行的系統(tǒng)在安全保護(hù)等級(jí)定級(jí)后30日內(nèi)，由運(yùn)營(yíng)、使用單位到所在地區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。新建的系統(tǒng)，在通過立項(xiàng)申請(qǐng)后30日內(nèi)辦理。將定級(jí)情況報(bào)各地公安部門備案。

辦理備案手續(xù)時(shí)備案單位需向公安機(jī)關(guān)網(wǎng)監(jiān)部門提交以下備案材料。①《信息系統(tǒng)安全等級(jí)保護(hù)備案表》紙質(zhì)材料一式兩份。該表由“等級(jí)保護(hù)備案端軟件”生成，操作時(shí)請(qǐng)?jiān)敿?xì)閱讀軟件使用說明書。第二級(jí)以上信息系統(tǒng)備案時(shí)需提交表中的表一、二、三；第三級(jí)以上信息系統(tǒng)還應(yīng)當(dāng)在系統(tǒng)整改、測(cè)評(píng)完成后30日內(nèi)提交表四及其有關(guān)材料。②《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告》紙質(zhì)材料一式兩份。每個(gè)備案的信息系統(tǒng)均需提供對(duì)應(yīng)的《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告》。

③備案電子數(shù)據(jù)。每個(gè)備案的信息系統(tǒng)，均需通過“等級(jí)保護(hù)備案端軟件”填寫信息，以壓縮文件（RAR格式）方式保存。

3.3 對(duì)照等級(jí)標(biāo)準(zhǔn)和要求進(jìn)行安全建設(shè)分析整改

備案工作完成后，需要對(duì)照所定的級(jí)別對(duì)信息系統(tǒng)進(jìn)行安全建設(shè)整改。從滿足政策、滿足標(biāo)準(zhǔn)和滿足用戶需求入手，有條件的單位可以請(qǐng)專業(yè)機(jī)構(gòu)幫助給出整改意見，在技術(shù)和管理兩個(gè)方面進(jìn)行整體規(guī)劃和設(shè)計(jì)。在設(shè)計(jì)過程中要考慮近期和遠(yuǎn)期規(guī)劃，從而給出總體和詳細(xì)的方案，特別要把技術(shù)體系、物理安全、管理安全、應(yīng)急與災(zāi)備全面進(jìn)行細(xì)分，細(xì)分為不同的子項(xiàng)，分項(xiàng)完善。之后就可以進(jìn)入具體實(shí)施操作階段。

3.4 等級(jí)測(cè)評(píng)

信息系統(tǒng)完成建O整改實(shí)施操作之后就可以進(jìn)行等級(jí)保護(hù)的測(cè)評(píng)。等級(jí)保護(hù)測(cè)評(píng)工作需要由有“DJCP”（公安部信息安全等級(jí)保護(hù)測(cè)評(píng)）認(rèn)證的測(cè)評(píng)機(jī)構(gòu)來完成。有“DJCP”資質(zhì)的機(jī)構(gòu)在“中國信息安全等級(jí)保護(hù)網(wǎng)”可以查詢到。測(cè)評(píng)時(shí)間一般為一個(gè)月。測(cè)評(píng)過程如下。

（1）測(cè)評(píng)準(zhǔn)備階段：召開項(xiàng)目啟動(dòng)會(huì)布置測(cè)評(píng)需要準(zhǔn)備的材料（系統(tǒng)拓?fù)鋱D、規(guī)章制度、設(shè)備參數(shù)等），測(cè)評(píng)機(jī)構(gòu)根據(jù)提供的材料準(zhǔn)備下一步的測(cè)評(píng)工具和表單。

（2）測(cè)評(píng)方案編制階段：測(cè)評(píng)機(jī)構(gòu)針對(duì)測(cè)評(píng)對(duì)象制定測(cè)評(píng)指標(biāo)，填寫測(cè)評(píng)內(nèi)容，并編制測(cè)評(píng)方案書。雙方進(jìn)一步溝通測(cè)評(píng)時(shí)間及測(cè)評(píng)場(chǎng)地的測(cè)評(píng)內(nèi)容和測(cè)評(píng)流程。

（3）現(xiàn)場(chǎng)測(cè)評(píng)階段：測(cè)評(píng)機(jī)構(gòu)按照測(cè)評(píng)方案的測(cè)評(píng)內(nèi)容對(duì)項(xiàng)目中的管理和技術(shù)測(cè)評(píng)項(xiàng)進(jìn)行逐一的測(cè)評(píng)，記錄測(cè)評(píng)相關(guān)數(shù)據(jù)。需要注意的是在現(xiàn)場(chǎng)測(cè)評(píng)過程中盡量不要影響被測(cè)系統(tǒng)的正常運(yùn)行。可以選擇錯(cuò)開業(yè)務(wù)高峰期或下班后的時(shí)間。為了保證被測(cè)系統(tǒng)不受影響，系統(tǒng)維護(hù)人員應(yīng)在現(xiàn)場(chǎng)進(jìn)行配合。

（4）報(bào)告編制階段：測(cè)評(píng)機(jī)構(gòu)根據(jù)測(cè)評(píng)內(nèi)容和數(shù)據(jù)進(jìn)行整理，給出測(cè)評(píng)報(bào)告，告知風(fēng)險(xiǎn)點(diǎn)和測(cè)評(píng)發(fā)現(xiàn)的問題。

測(cè)評(píng)結(jié)果有三種：不符合，即未通過測(cè)評(píng)；部分符合和全部符合，后兩種為通過測(cè)評(píng)。

在等級(jí)保護(hù)測(cè)評(píng)方面，按照要求，三級(jí)的信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次安全自查和安全測(cè)評(píng)；四級(jí)的信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次安全自查和安全測(cè)評(píng)；五級(jí)的應(yīng)當(dāng)依據(jù)特殊安全要求進(jìn)行安全自查和安全測(cè)評(píng)。

4 信息安全等級(jí)保護(hù)的發(fā)展現(xiàn)狀

隨著信息技術(shù)的不斷發(fā)展，云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制、大數(shù)據(jù)等概念的出現(xiàn)對(duì)信息系統(tǒng)等級(jí)保護(hù)提出了新的要求。在新技術(shù)應(yīng)用背景下，等級(jí)保護(hù)的標(biāo)準(zhǔn)和規(guī)范也將隨之不斷調(diào)整，信息系統(tǒng)和測(cè)評(píng)機(jī)構(gòu)都需要不斷提高自身的技術(shù)能力以適應(yīng)新技術(shù)發(fā)展的需求。保證信息系統(tǒng)的循序建設(shè)和長(zhǎng)期穩(wěn)定的運(yùn)行，是等級(jí)保護(hù)建設(shè)的重要意義。

主要參考文獻(xiàn)

第3篇：網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)范文

【 關(guān)鍵詞 】 信息安全等級(jí)保護(hù)；等級(jí)測(cè)評(píng)；物聯(lián)網(wǎng)；云計(jì)算

Research of Effect of Internet of Things and Cloud Computing to Classified Evaluation

Zhao Liang

（Sinopec Shandong Dongying Oil Company ShandongJinan 257000）

【 Abstract 】 Classified Protection of Information Security is the basic system and strategy of national information security work. And Classified Evaluation is an important method of testing and evaluating the level of Information Security Protection. The appearance of new technologies， such as cloud computing， Internet of Things， tri-networks integration， brings new challenge to the Classified Evaluation technology. This paper introduced the influences upon Classified Evaluation from new technology development， represented by cloud computing and Internet of Things， in order to promote the development of test method research， and provide theoretical basis to further research.

【 Keywords 】 classified protection of information security； multilevel security database； cloud computing； internet of things

1 引言

社會(huì)信息化技術(shù)和國民經(jīng)濟(jì)的飛速發(fā)展，使得信息系統(tǒng)與網(wǎng)絡(luò)的基礎(chǔ)性與全面性作用逐漸增強(qiáng)，而由此帶來的信息安全問題也變得突出，并逐漸成為關(guān)系國家安全的重大戰(zhàn)略問題。信息安全等級(jí)保護(hù)制度是國家在國民經(jīng)濟(jì)和社會(huì)信息化的發(fā)展過程中，提高信息安全保障能力和水平，維護(hù)國家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)健康發(fā)展的一項(xiàng)基本制度，而等級(jí)測(cè)評(píng)作為檢驗(yàn)和評(píng)價(jià)信息系統(tǒng)安全保護(hù)水平的重要方法，是信息安全等級(jí)保護(hù)實(shí)施過程中的重要環(huán)節(jié)。近幾年，越來越多的研究者致力于等級(jí)測(cè)評(píng)技術(shù)、方法和工具的研究與開發(fā)，并取得了一定的成果。但越來越多網(wǎng)絡(luò)新技術(shù)的出現(xiàn)，在開拓等級(jí)保護(hù)與等級(jí)測(cè)評(píng)應(yīng)用領(lǐng)域的同時(shí)，也對(duì)傳統(tǒng)等級(jí)測(cè)評(píng)技術(shù)帶來了一定的挑戰(zhàn)。本文分別介紹了物聯(lián)網(wǎng)和云計(jì)算兩種新的技術(shù)應(yīng)用，并探討了其對(duì)等級(jí)測(cè)評(píng)技術(shù)產(chǎn)生的影響，旨在推動(dòng)等級(jí)測(cè)評(píng)技術(shù)的發(fā)展，為其深入研究提供理論參考。

2 安全等級(jí)保護(hù)與等級(jí)測(cè)評(píng)

信息安全等級(jí)保護(hù)是指根據(jù)應(yīng)用業(yè)務(wù)重要程度及其實(shí)際安全需求，通過制定統(tǒng)一的信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)信息安全實(shí)行等級(jí)化保護(hù)和等級(jí)化管理，以保障信息安全和系統(tǒng)安全正常運(yùn)行，維護(hù)國家利益、公共利益和社會(huì)穩(wěn)定。等級(jí)保護(hù)是幫助用戶分析、評(píng)定信息系統(tǒng)的等級(jí)，在后期的工作中根據(jù)不同的等級(jí)進(jìn)行不同級(jí)別的安全防護(hù)，

在我國的信息安全等級(jí)保護(hù)制度中，等級(jí)保護(hù)工作主要分為五個(gè)環(huán)節(jié)：定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)和監(jiān)督檢查。

等級(jí)測(cè)評(píng)是指第三方等級(jí)測(cè)評(píng)機(jī)構(gòu)根據(jù)等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)要求，針對(duì)已經(jīng)實(shí)施了安全等級(jí)保護(hù)的信息系統(tǒng)進(jìn)行的符合性測(cè)評(píng)活動(dòng)，以確保信息系統(tǒng)的安全性保護(hù)措施符合對(duì)應(yīng)等級(jí)的基本安全要求，是信息安全等級(jí)保護(hù)工作的重要環(huán)節(jié)，既可以在信息系統(tǒng)安全建設(shè)完成后進(jìn)行，也可以在信息系統(tǒng)的運(yùn)行維護(hù)過程中進(jìn)行。《GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》作為等級(jí)測(cè)評(píng)的基礎(chǔ)性標(biāo)準(zhǔn)，目前主要基于其進(jìn)行符合性判定。

3 物聯(lián)網(wǎng)技術(shù)與等級(jí)測(cè)評(píng)

3.1 物聯(lián)網(wǎng)技術(shù)簡(jiǎn)介

物聯(lián)網(wǎng)（Internet of Things， IOT），顧名思義，就是“物物相連的網(wǎng)絡(luò)”，是指通過各種信息傳感設(shè)備（如傳感器、射頻識(shí)別技術(shù)、全球定位系統(tǒng)、紅外感應(yīng)器、激光掃描器等各種裝置與技術(shù)），實(shí)時(shí)采集任何需要監(jiān)控、連接、互動(dòng)的物體或過程，采集其聲、光、熱、電、力學(xué)、化學(xué)等各種需要的信息，與互聯(lián)網(wǎng)結(jié)合形成的一個(gè)巨大網(wǎng)絡(luò)。物聯(lián)網(wǎng)作為新一代信息技術(shù)的重要組成部分，其目的是實(shí)現(xiàn)物與物、物與人，所有的物品與網(wǎng)絡(luò)的連接，方便識(shí)別、管理和控制。

物聯(lián)網(wǎng)被稱為繼計(jì)算機(jī)、互聯(lián)網(wǎng)之后，世界信息產(chǎn)業(yè)的第三次浪潮。業(yè)內(nèi)專家認(rèn)為，物聯(lián)網(wǎng)不僅可以大大提高經(jīng)濟(jì)效益，有效節(jié)約成本，還可以為全球經(jīng)濟(jì)的復(fù)蘇提供技術(shù)動(dòng)力支持。目前，美國、歐盟、韓國等都在加大力度深入研究物聯(lián)網(wǎng)。我國也正在高度關(guān)注、重視物聯(lián)網(wǎng)的研究，工業(yè)和信息化部會(huì)同有關(guān)部門，在新一代信息技術(shù)方面正在開展研究，以形成支持新一代信息技術(shù)發(fā)展的政策措施。

與傳統(tǒng)的互聯(lián)網(wǎng)相比，物聯(lián)網(wǎng)有其明顯的特征：（1）它是各種感知技術(shù)的廣泛應(yīng)用；（2）以互聯(lián)網(wǎng)為基礎(chǔ)；（3）其本身具有智能處理的能力，能對(duì)物體實(shí)施智能控制。物聯(lián)網(wǎng)用途廣泛，主要應(yīng)用領(lǐng)域有智能家居、智能醫(yī)療、智能環(huán)保、智能交通、智能農(nóng)業(yè)。

3.2 物聯(lián)網(wǎng)對(duì)等級(jí)測(cè)評(píng)技術(shù)的影響

物聯(lián)網(wǎng)技術(shù)的推廣和應(yīng)用，一方面將顯著提高經(jīng)濟(jì)和社會(huì)運(yùn)行效率，另一方面也對(duì)國家、社會(huì)、企業(yè)、公民的信息安全和隱私保護(hù)問題提出了嚴(yán)峻的挑戰(zhàn)，其開放性的特點(diǎn)與信息安全理念背道而馳，對(duì)信息安全等級(jí)測(cè)評(píng)的工作方法及測(cè)評(píng)范圍產(chǎn)生了較大的影響。主要體現(xiàn)在幾個(gè)方面。

（1） 信號(hào)易擾：雖然物聯(lián)網(wǎng)能夠智能化的處理一些突發(fā)事件，不需要人為干涉，但傳感設(shè)備都是安裝在物品上的，且其信號(hào)很容易收到干擾，因此很可能導(dǎo)致物品的損失。此外，如果國家某些重要機(jī)構(gòu)如金融機(jī)構(gòu)依賴物聯(lián)網(wǎng)，也存在信號(hào)擾導(dǎo)致重要信息丟失的隱患。這樣如何評(píng)估物聯(lián)網(wǎng)技術(shù)的安全性及穩(wěn)定性成為等級(jí)測(cè)評(píng)中的難題。

（2） 針對(duì)性入侵技術(shù)：物聯(lián)網(wǎng)與互聯(lián)網(wǎng)的關(guān)系，使得互聯(lián)網(wǎng)上的安全隱患同樣也會(huì)對(duì)物聯(lián)網(wǎng)造成危害。物聯(lián)網(wǎng)上傳播的黑客、病毒和惡意軟件等進(jìn)行的惡意操作會(huì)侵害物品，進(jìn)一步侵犯用戶的隱私權(quán)。尤其是對(duì)一些敏感物品如銀行卡、身份證等物品的惡意掌控，將造成不堪設(shè)想的后果。因此，在對(duì)物聯(lián)網(wǎng)進(jìn)行安全保護(hù)以及等級(jí)測(cè)評(píng)過程中，不僅要考慮到物聯(lián)網(wǎng)無線網(wǎng)絡(luò)的防惡意入侵能力，更要考慮互聯(lián)網(wǎng)傳統(tǒng)的入侵技術(shù)。

（3） 通訊安全：物聯(lián)網(wǎng)與3G手機(jī)的結(jié)合，在很大程度上方便了人們的生活。然而，移動(dòng)通訊設(shè)備本身存在的安全問題也會(huì)對(duì)物聯(lián)網(wǎng)造成影響。移動(dòng)通信設(shè)備存在許多安全漏洞，黑客很有可能通過移動(dòng)設(shè)備的漏洞竊取物聯(lián)網(wǎng)內(nèi)部的各種信息，從而帶來安全隱患。而且移動(dòng)設(shè)備的便攜性也使得其很容易丟失，若被不法分子獲得，則很容易造成用戶敏感信息的泄露。因此，在對(duì)物聯(lián)網(wǎng)進(jìn)行等級(jí)測(cè)評(píng)的過程中，還要考慮到通信終端及通信過程的保密性。

總之，在考慮物聯(lián)網(wǎng)的等級(jí)保護(hù)與等級(jí)測(cè)評(píng)過程中，要以構(gòu)建物聯(lián)網(wǎng)安全體系框架為目標(biāo)，在充分理解物聯(lián)網(wǎng)的結(jié)構(gòu)、技術(shù)和應(yīng)用模式的基礎(chǔ)上，深入分析物聯(lián)網(wǎng)設(shè)備、網(wǎng)絡(luò)、信息和管理等各層面面臨的安全威脅和風(fēng)險(xiǎn)，梳理物聯(lián)網(wǎng)安全的主要問題，明確物聯(lián)網(wǎng)安全需求（“物”的真實(shí)性、“聯(lián)”的完整性、“網(wǎng)”的健壯性），并針對(duì)各項(xiàng)安全需求，研究保障物聯(lián)網(wǎng)安全的關(guān)鍵技術(shù)（低能耗密碼算法設(shè)計(jì)技術(shù)、海量信息標(biāo)識(shí)技術(shù)、物聯(lián)網(wǎng)設(shè)備管理技術(shù)、物聯(lián)網(wǎng)密鑰管理技術(shù)、動(dòng)態(tài)安全策略控制技術(shù)、物聯(lián)網(wǎng)安全等級(jí)保護(hù)技術(shù)、傳感設(shè)備物理安全防護(hù)技術(shù)），提出物聯(lián)網(wǎng)安全目標(biāo)以及技術(shù)體系、承載裝備體系、標(biāo)準(zhǔn)規(guī)范體系和管理體系框架，給出物聯(lián)網(wǎng)安全體系頂層設(shè)計(jì)思路、建設(shè)任務(wù)和應(yīng)對(duì)措施，為全面建設(shè)物聯(lián)網(wǎng)安全體系奠定必要的基礎(chǔ)。

4 計(jì)算與等級(jí)測(cè)評(píng)

4.1 云計(jì)算技術(shù)簡(jiǎn)介

作為一種新興的共享基礎(chǔ)架構(gòu)的網(wǎng)絡(luò)應(yīng)用模式，云計(jì)算（Cloud Computing）越來越受到研究者的關(guān)注。云計(jì)算的概念最早由IBM提出，是傳統(tǒng)計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)發(fā)展融合的產(chǎn)物，旨在通過網(wǎng)絡(luò)把多個(gè)成本相對(duì)較低的計(jì)算機(jī)實(shí)體整合成一個(gè)具有強(qiáng)大計(jì)算能力的系統(tǒng)，并借助各種商業(yè)模式把強(qiáng)大的計(jì)算能力分布給終端用戶。其核心思想是使用大規(guī)模的數(shù)據(jù)中心和功能強(qiáng)勁的服務(wù)器運(yùn)行網(wǎng)絡(luò)應(yīng)用程序、提供網(wǎng)絡(luò)服務(wù)，使得任何一個(gè)用戶都能輕松訪問應(yīng)用程序。這種特殊的應(yīng)用模式，使得云計(jì)算具有大規(guī)模、服務(wù)虛擬化、通用性、高可靠性、高擴(kuò)展性等特點(diǎn)。

云計(jì)算作為一種新的概念和應(yīng)用模式，研究尚未成熟，還存在若干制約其發(fā)展的問題，包括服務(wù)的可靠性、標(biāo)準(zhǔn)化問題、安全性問題、數(shù)據(jù)傳輸瓶頸以及信譽(yù)和法律危機(jī)。其中云安全問題是目前發(fā)展云計(jì)算首要解決的問題之一。

4.2 云計(jì)算對(duì)等級(jí)測(cè)評(píng)技術(shù)的影響

云計(jì)算平臺(tái)在為用戶提供服務(wù)的同時(shí)，仍不可避免的面臨嚴(yán)峻的安全考驗(yàn)。由于其用戶、信息資源的高度集中，帶來的安全事件后果與風(fēng)險(xiǎn)較傳統(tǒng)應(yīng)用高出很多。據(jù)IDC在2009年底的一項(xiàng)調(diào)查報(bào)告顯示，當(dāng)前云計(jì)算面臨的三大市場(chǎng)挑戰(zhàn)分別為安全性、穩(wěn)定性和性能表現(xiàn)。由此可見，解決云計(jì)算的安全問題尤為迫切。云計(jì)算面臨的安全問題及其對(duì)等級(jí)保護(hù)和等級(jí)測(cè)評(píng)造成的影響主要有幾個(gè)方面。

（1） 身份與權(quán)限控制：大數(shù)用戶對(duì)于云計(jì)算缺乏信心，其中一個(gè)很大原因是對(duì)于云模式下的使用和管理權(quán)限有顧慮。在復(fù)雜、虛擬的環(huán)境下，如何有效保證數(shù)據(jù)與應(yīng)用依然清晰可控，這既是用戶的問題，也是云服務(wù)提供商的問題。因此，身份與權(quán)限控制解決方案成為云安全的核心問題之一，同樣的，傳統(tǒng)等級(jí)測(cè)評(píng)中針對(duì)身份認(rèn)證和權(quán)限控制的相關(guān)技術(shù)與方法也不適用于這種虛擬、復(fù)雜的應(yīng)用環(huán)境，需要開發(fā)專用的測(cè)試技術(shù)；

（3）計(jì)算層并行計(jì)算的干擾：計(jì)算層的主要功能是為整個(gè)云計(jì)算提供高效、靈活、高強(qiáng)度的計(jì)算服務(wù)，但也面臨一定的問題，主要有計(jì)算性能的不可靠性，即資源競(jìng)爭(zhēng)造成的性能干擾，云計(jì)算主要采用并行計(jì)算間性能隔離機(jī)制來解決此問題。因此在等級(jí)測(cè)評(píng)中，需要開發(fā)新的測(cè)試技術(shù)和方法來評(píng)估并行計(jì)算間的干擾問題。

云計(jì)算給我們帶來創(chuàng)新和變革的同時(shí)，對(duì)安全問題與等級(jí)測(cè)評(píng)技術(shù)也提出了更高的要求。在云計(jì)算環(huán)境下，無論是使用云服務(wù)的用戶，還是云服務(wù)提供商，安全問題都是第一大問題。研究適用于云計(jì)算應(yīng)用的等級(jí)測(cè)評(píng)技術(shù)，將極大的推動(dòng)云計(jì)算領(lǐng)域的發(fā)展。

5 結(jié)束語

隨著各行各業(yè)對(duì)信息安全等級(jí)保護(hù)工作的關(guān)注和重視，等級(jí)保護(hù)和等級(jí)測(cè)評(píng)工作已逐漸成為制度化、規(guī)范化的研究課題。許多新技術(shù)如云計(jì)算、物聯(lián)網(wǎng)、三網(wǎng)融合等的推廣應(yīng)用在帶來機(jī)遇的同時(shí)，也給等級(jí)保護(hù)乃至整個(gè)信息安全帶來了新的挑戰(zhàn)。本文分別介紹了物聯(lián)網(wǎng)和云計(jì)算兩種新的技術(shù)應(yīng)用，并探討了其對(duì)等級(jí)測(cè)評(píng)技術(shù)產(chǎn)生的影響，旨在推動(dòng)等級(jí)測(cè)評(píng)技術(shù)的發(fā)展，為其深入研究提供理論參考。

參考文獻(xiàn)

[1] 公通字[2004]66號(hào) 關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見.

[2] GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求.

[3] 楊磊，郭志博. 信息安全等級(jí)保護(hù)的等級(jí)測(cè)評(píng). 中國人民公安大學(xué)學(xué)報(bào)（自然科學(xué)版），No. 1 2007.

[4] 劉忠寶. 物聯(lián)網(wǎng)技術(shù)應(yīng)用與研究. 信息與電腦，2010年第10期.

[5] 郝文江，武捷. 物聯(lián)網(wǎng)技術(shù)安全問題探析. 實(shí)踐探究，2010.

[6] 王斐. 淺談信息化的新浪潮――云計(jì)算. 科技創(chuàng)新導(dǎo)報(bào)，2010 No.30

[7] Jon Brodkin. Gartner： Seven cloud-computing Security risks[EB/OL]. 2008，07.http：///d/.

[8] 陳丹偉，黃秀麗，任勛益. 云計(jì)算及安全分析. 計(jì)算機(jī)技術(shù)與發(fā)展，2010 第2期.

[9] 任偉.物聯(lián)網(wǎng)安全架構(gòu)與技術(shù)路線研究.信息網(wǎng)絡(luò)安全，2012.5.

第4篇：網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)范文

兩個(gè)發(fā)展階段

衛(wèi)生監(jiān)督中心信息安全等級(jí)保護(hù)工作大致經(jīng)歷了兩個(gè)發(fā)展階段。

啟動(dòng)與探索階段（2007年～2008年）：2007年12月，原衛(wèi)生部組織專家組對(duì)部直屬機(jī)關(guān)報(bào)送的信息安全等級(jí)保護(hù)定級(jí)情況進(jìn)行了評(píng)審。衛(wèi)生監(jiān)督中心的衛(wèi)生監(jiān)督信息報(bào)告系統(tǒng)和衛(wèi)生行政許可受理評(píng)審系統(tǒng)確定為第三級(jí)保護(hù)，衛(wèi)生監(jiān)督中心網(wǎng)站確定為第二級(jí)保護(hù)。衛(wèi)生監(jiān)督中心在了解了信息安全等級(jí)保護(hù)制度的同時(shí)，啟動(dòng)了信息安全等級(jí)保護(hù)相關(guān)工作。為摸清信息安全隱患，2008年衛(wèi)生監(jiān)督中心聘請(qǐng)了具有信息安全相關(guān)資質(zhì)的信息安全咨詢公司對(duì)等保涉及的信息系統(tǒng)進(jìn)行了信息安全測(cè)評(píng)，并制定了相應(yīng)的整改方案。由于2008年信息安全整改資金等原因，未開展相關(guān)整改工作。

發(fā)展階段（2009年至今）：本著統(tǒng)籌考慮、分布實(shí)施的原則，在實(shí)施國家級(jí)衛(wèi)生監(jiān)督信息系統(tǒng)建設(shè)項(xiàng)目之初就參照等級(jí)保護(hù)有關(guān)要求規(guī)劃和設(shè)計(jì)業(yè)務(wù)應(yīng)用系統(tǒng)及其運(yùn)行環(huán)境，同時(shí)積極開展等級(jí)保護(hù)備案等工作。在國家級(jí)項(xiàng)目二期中，專項(xiàng)對(duì)信息安全進(jìn)行加固。并每年邀請(qǐng)公安部信息安全等級(jí)保護(hù)評(píng)估中心，對(duì)衛(wèi)生監(jiān)督中心的第三級(jí)保護(hù)系統(tǒng)進(jìn)行了安全等級(jí)測(cè)評(píng)。

截至目前，衛(wèi)生監(jiān)督中心共有3個(gè)信息安全等級(jí)保護(hù)第三級(jí)的信息系統(tǒng)，4個(gè)信息安全等級(jí)保護(hù)第二級(jí)的信息系統(tǒng)。

信息安全技術(shù)體系

衛(wèi)生監(jiān)督信息系統(tǒng)信息安全技術(shù)體系建設(shè)，嚴(yán)格遵循等級(jí)保護(hù)第三級(jí)的技術(shù)要求進(jìn)行詳細(xì)設(shè)計(jì)、技術(shù)選擇、產(chǎn)品選型、產(chǎn)品部署。技術(shù)體系從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等5個(gè)方面進(jìn)行設(shè)計(jì)。

1.物理安全

衛(wèi)生監(jiān)督中心現(xiàn)有南北兩個(gè)機(jī)房，機(jī)房及相關(guān)配套設(shè)施面積總計(jì)160平方米。北機(jī)房部署等級(jí)保護(hù)第三級(jí)信息系統(tǒng)，南機(jī)房部署等級(jí)保護(hù)第二級(jí)信息系統(tǒng)，實(shí)現(xiàn)了第三級(jí)系統(tǒng)與第二級(jí)系統(tǒng)物理環(huán)境隔離。根據(jù)等級(jí)保護(hù)有關(guān)要求，機(jī)房均采用了精密空調(diào)、門禁系統(tǒng)、環(huán)境監(jiān)測(cè)系統(tǒng)等設(shè)備設(shè)施及技術(shù)手段，有效地保證了機(jī)房的物理安全。

2.網(wǎng)絡(luò)安全

主干網(wǎng)絡(luò)鏈路均采用雙鏈路連接，關(guān)鍵網(wǎng)絡(luò)、安全設(shè)備均采用雙機(jī)冗余方式，避免單點(diǎn)故障。采用防火墻、入侵防護(hù)系統(tǒng)、DDoS系統(tǒng)進(jìn)行邊界防護(hù)，各網(wǎng)絡(luò)區(qū)域之間采用防火墻進(jìn)行區(qū)域隔離，在對(duì)外服務(wù)區(qū)部署了入侵檢測(cè)系統(tǒng)，在交換服務(wù)區(qū)部署了網(wǎng)絡(luò)審計(jì)系統(tǒng)。在核心數(shù)據(jù)區(qū)部署了數(shù)據(jù)庫審計(jì)系統(tǒng)，對(duì)網(wǎng)絡(luò)行為進(jìn)行監(jiān)控和記錄。在安全管理區(qū)部署安全管理系統(tǒng)，實(shí)現(xiàn)設(shè)備日志的統(tǒng)一收集及分析。

3.主機(jī)安全

所有服務(wù)器和管理終端配置了密碼安全策略；禁止用戶遠(yuǎn)程管理，管理用戶必須進(jìn)入機(jī)房通過KVM進(jìn)行本地管理；所有服務(wù)器和管理終端進(jìn)行了補(bǔ)丁更新，刪除了多余賬戶，關(guān)閉了不必要的端口和服務(wù)；所有服務(wù)器和管理終端開啟了安全審計(jì)功能；通過對(duì)數(shù)據(jù)庫的安全配置，實(shí)現(xiàn)管理用戶和特權(quán)用戶的分離，并實(shí)現(xiàn)最小授權(quán)要求。

4.應(yīng)用安全

衛(wèi)生監(jiān)督中心7個(gè)應(yīng)用系統(tǒng)均完成了定級(jí)備案，并按照等級(jí)保護(hù)要求開展了測(cè)評(píng)工作。應(yīng)用服務(wù)器采取了集群工作部署，保證了系統(tǒng)的高可用性，同時(shí)建立了安全審計(jì)功能模塊，記錄登錄日志、業(yè)務(wù)操作日志、系統(tǒng)操作日志3種日志，并實(shí)現(xiàn)查詢和審計(jì)統(tǒng)計(jì)功能，配置了獨(dú)立的審計(jì)賬戶。門戶網(wǎng)站也采用了網(wǎng)頁防篡改、DDoS等系統(tǒng)。信息安全等級(jí)保護(hù)第三級(jí)系統(tǒng)管理人員及高權(quán)限用戶均使用CA證書登錄相應(yīng)系統(tǒng)。

5.數(shù)據(jù)安全及備份恢復(fù)

衛(wèi)生監(jiān)督信息報(bào)告系統(tǒng)數(shù)據(jù)庫服務(wù)器使用了雙機(jī)熱備，應(yīng)用服務(wù)器采用多機(jī)負(fù)載均衡，每天本地備份，保證了業(yè)務(wù)系統(tǒng)的安全、穩(wěn)定和可靠運(yùn)行。其余等級(jí)保護(hù)第三級(jí)信息系統(tǒng)使用了雙機(jī)備份，無論是軟件還是硬件問題，都可以及時(shí)準(zhǔn)確地進(jìn)行恢復(fù)并正常提供服務(wù)。同時(shí)，衛(wèi)生監(jiān)督中心在云南建立了異地?cái)?shù)據(jù)備份中心，每天進(jìn)行增量備份，每周對(duì)數(shù)據(jù)進(jìn)行一次全備份。備份數(shù)據(jù)在一定時(shí)間內(nèi)進(jìn)行恢復(fù)測(cè)試，保證備份的有效性。

信息安全管理體系

在開展信息安全等級(jí)保護(hù)工作中，我們深刻體會(huì)到，信息安全工作“三分靠技術(shù)，七分靠管理”。為保證信息安全等級(jí)保護(hù)工作順利進(jìn)行，參考ISO/IEC 27001《信息安全管理體系要求》，衛(wèi)生監(jiān)督中心建立了符合實(shí)際工作情況的信息安全管理制度體系，明確了“統(tǒng)一領(lǐng)導(dǎo)，技管并重；預(yù)防為主，責(zé)權(quán)分明；重點(diǎn)防護(hù)，適度安全”的安全方針，涵蓋等級(jí)保護(hù)管理要求中安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理五大方面的要求。

衛(wèi)生監(jiān)督中心建立了較為完善的信息安全責(zé)任制，設(shè)立了信息安全領(lǐng)導(dǎo)小組，領(lǐng)導(dǎo)小組組長(zhǎng)由衛(wèi)生監(jiān)督中心主任擔(dān)任，成員由衛(wèi)生監(jiān)督中心有關(guān)處室負(fù)責(zé)人組成，信息處作為信息安全工作辦公室負(fù)責(zé)衛(wèi)生監(jiān)督中心日常信息安全管理工作。信息處設(shè)立了信息安全管理崗位，分別為網(wǎng)絡(luò)管理員、系統(tǒng)管理員、應(yīng)用管理員、安全管理員、安全審計(jì)員、機(jī)房管理員，并建立了信息安全崗位責(zé)任制度。

此外，衛(wèi)生監(jiān)督中心依據(jù)上年度運(yùn)維中存在的信息安全隱患每年對(duì)其進(jìn)行修訂，確保信息安全工作落到實(shí)處。

信息安全運(yùn)維體系

在信息安全工作中，建立信息安全管理制度不是目的，要以信息安全等級(jí)保護(hù)有關(guān)要求指導(dǎo)信息安全運(yùn)維實(shí)踐。

衛(wèi)生監(jiān)督中心結(jié)合實(shí)際情況，編制了《國家級(jí)衛(wèi)生監(jiān)督信息系統(tǒng)運(yùn)行維護(hù)工作規(guī)范》，從運(yùn)行維護(hù)流程、資源管理和環(huán)境管理三個(gè)方面進(jìn)行了規(guī)范，將安全運(yùn)維理念落到實(shí)處。

運(yùn)維人員在實(shí)際工作中，嚴(yán)格按照工作規(guī)范要求。利用衛(wèi)生監(jiān)督中心OA系統(tǒng)，建立了統(tǒng)一的服務(wù)臺(tái)，實(shí)現(xiàn)了事件、問題的全流程閉環(huán)管理（即：發(fā)現(xiàn)問題、登記問題、解決問題、解決反饋、解決確認(rèn)）。年均處理信息安全事件近百件，將信息安全問題消滅在萌芽階段，有效地保證了信息系統(tǒng)穩(wěn)定運(yùn)行，保證了衛(wèi)生監(jiān)督中心信息安全目標(biāo)和方針的實(shí)現(xiàn)。

信息安全等級(jí)保護(hù)實(shí)踐經(jīng)驗(yàn)

1.規(guī)范管理，細(xì)化流程

衛(wèi)生監(jiān)督中心從安全管理制度、安全管理組織機(jī)構(gòu)及人員、安全建設(shè)管理和安全運(yùn)維管理等方面建立了較為完善的安全管理體系。通過管理體系的建設(shè)，為國家級(jí)衛(wèi)生監(jiān)督信息系統(tǒng)運(yùn)維管理工作中安全管理提供了重要指導(dǎo)。

國家級(jí)衛(wèi)生監(jiān)督信息系統(tǒng)運(yùn)維工作從安全管理體系的建設(shè)中吸取了很多有益經(jīng)驗(yàn)，不僅合理調(diào)配了運(yùn)維管理人員，落實(shí)了運(yùn)維管理組織機(jī)構(gòu)和崗位職責(zé)，而且細(xì)化了運(yùn)維管理流程，形成了“二級(jí)三線”的運(yùn)維處理機(jī)制。

2.循序漸進(jìn)，持續(xù)完善

第5篇：網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)范文

 

近年來，隨著信息安全等級(jí)保護(hù)工作機(jī)制的不斷完善，主管部門監(jiān)督檢查力度的不斷加大，信息系統(tǒng)開展等級(jí)測(cè)評(píng)的數(shù)量穩(wěn)步增長(zhǎng)，測(cè)評(píng)覆蓋率顯著提升。通過統(tǒng)計(jì)分析本單位近些年測(cè)評(píng)的數(shù)百個(gè)信息系統(tǒng)的數(shù)據(jù)，可以得出以下結(jié)論：一是較早開展等級(jí)測(cè)評(píng)的行業(yè)，經(jīng)過測(cè)評(píng)和整改建設(shè)，測(cè)評(píng)符合率逐年提高;二是隨著等級(jí)測(cè)評(píng)工作的持續(xù)推進(jìn)，近期才開展首次測(cè)評(píng)的行業(yè)特別是基層單位的信息安全工作基礎(chǔ)較薄弱，測(cè)評(píng)得分明顯偏低。通過對(duì)物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等10個(gè)層面的測(cè)評(píng)結(jié)果進(jìn)行統(tǒng)計(jì)，其中網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、系統(tǒng)運(yùn)維管理等方面的不符合率相對(duì)較高，信息系統(tǒng)的建設(shè)、使用、運(yùn)維階段存在一些較普遍的問題。

 

信息系統(tǒng)安全保護(hù)措施落實(shí)情況分析

 

整體而言，隨著等級(jí)測(cè)評(píng)工作的持續(xù)推進(jìn)，黨政機(jī)關(guān)、企事業(yè)單位對(duì)信息系統(tǒng)安全等級(jí)保護(hù)的認(rèn)識(shí)和重視程度得到普遍提升，在管理和技術(shù)兩方面主要采取了以下安全措施：

 

信息安全管理措施落實(shí)情況

 

在信息安全管理方面呈現(xiàn)出兩級(jí)分化的特點(diǎn)。一些重點(diǎn)行業(yè)的業(yè)務(wù)信息化程度高、自身信息技術(shù)隊(duì)伍力量足、信息安全投入經(jīng)費(fèi)有保障，其安全管理措施一般也能得到有效落實(shí)，在機(jī)構(gòu)、人員、制度、建設(shè)管理、運(yùn)維管理等方面均能較好地符合相關(guān)標(biāo)準(zhǔn)的要求。這一類的典型包括銀行、證券、電力等行業(yè)主管部門對(duì)信息安全監(jiān)管嚴(yán)格的幾大行業(yè)。相反，部分對(duì)信息系統(tǒng)管控相對(duì)松散的單位如大專院校、在信息安全投入方面得不到充分保障的單位如基層政府部門，其信息安全專業(yè)人員的配備達(dá)不到標(biāo)準(zhǔn)規(guī)范的要求，安全責(zé)任部門地位偏低權(quán)限不足，很難制定并有效貫徹落實(shí)結(jié)合本單位實(shí)際的信息安全管理制度。

 

信息安全技術(shù)措施落實(shí)情況

 

多數(shù)單位通過部署邊界安全設(shè)備，強(qiáng)化入侵防范措施來提高網(wǎng)絡(luò)的安全性;通過加固操作系統(tǒng)和數(shù)據(jù)庫的安全策略，啟用安全審計(jì)，安裝殺毒軟件等措施，來提高主機(jī)安全防護(hù)水平;通過開發(fā)應(yīng)用系統(tǒng)的安全模塊，從身份鑒別、訪問控制、日志記錄等方面，強(qiáng)化業(yè)務(wù)應(yīng)用的安全性;通過部署數(shù)據(jù)備份設(shè)備、加密措施，加強(qiáng)對(duì)數(shù)據(jù)安全的保護(hù)。

 

信息系統(tǒng)常見安全問題分析

 

隨著等級(jí)測(cè)評(píng)工作的覆蓋面進(jìn)一步擴(kuò)大，近年來初次測(cè)評(píng)的單位和基層部門仍發(fā)現(xiàn)一些典型問題。

 

信息安全意識(shí)有待提高

 

很多單位對(duì)當(dāng)前日趨嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)認(rèn)識(shí)不足，將信息安全工作視為被動(dòng)應(yīng)付上級(jí)檢查、被動(dòng)應(yīng)對(duì)安全事件的任務(wù)來消極對(duì)待。一些單位認(rèn)為取得“基本符合”的測(cè)評(píng)結(jié)論就高枕無憂，完成測(cè)評(píng)備案就完成了等級(jí)保護(hù)。由此造成對(duì)信息安全合規(guī)的落實(shí)不夠、資金和人員投入不足、重建設(shè)輕運(yùn)維、有制度無執(zhí)行、有預(yù)案不演練等問題，根源還是安全意識(shí)薄弱。

 

信息安全管理有待加強(qiáng)

 

信息安全管理不到位主要表現(xiàn)在安全管理制度、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等方面。

 

信息安全管理制度不完善。基層單位信息安全管理制度不全、人員配備不足、授權(quán)審批流于形式、執(zhí)行記錄缺失等問題較為常見。部分單位的信息安全管理制度照搬模版，未結(jié)合本單位實(shí)際進(jìn)行修訂，導(dǎo)致缺乏可操作性。

 

系統(tǒng)建設(shè)管理不到位。系統(tǒng)建設(shè)過程中落實(shí)信息安全“同步建設(shè)”原則不到位。在軟件開發(fā)階段較普遍未遵循安全編碼規(guī)范，導(dǎo)致安全功能缺失、應(yīng)用層漏洞頻現(xiàn)。在系統(tǒng)驗(yàn)收階段，很多單位僅注重業(yè)務(wù)功能驗(yàn)收，缺乏專門的安全性測(cè)試;電子政務(wù)類項(xiàng)目較普遍未按規(guī)定在項(xiàng)目驗(yàn)收環(huán)節(jié)完成“一證兩報(bào)告”(即等級(jí)測(cè)評(píng)報(bào)告、風(fēng)險(xiǎn)評(píng)估報(bào)告和系統(tǒng)備案證明)。

 

系統(tǒng)運(yùn)維管理不到位。在系統(tǒng)運(yùn)維管理方面，部分單位運(yùn)維和開發(fā)崗位不分，職責(zé)不清，存在一人身兼數(shù)職現(xiàn)象。很多單位在信息資產(chǎn)管理、介質(zhì)管理、變更管理等方面缺乏操作規(guī)程和相關(guān)記錄，數(shù)據(jù)備份策略不明，應(yīng)急預(yù)案不完善并缺乏演練。

 

關(guān)鍵技術(shù)措施有待落實(shí)

 

分析近年來的測(cè)評(píng)結(jié)果，安全技術(shù)措施不足問題主要體現(xiàn)在以下幾個(gè)方面：

 

在物理安全方面，隨著電子政務(wù)集約化建設(shè)的推進(jìn)，大量信息系統(tǒng)已經(jīng)集中到高規(guī)格的專業(yè)機(jī)房，但仍有部分單位自有機(jī)房條件簡(jiǎn)陋，位置選擇不規(guī)范，出入管理較隨意，防盜防破壞、防雷防火防潮能力較差，環(huán)境監(jiān)控措施不足。

 

在網(wǎng)絡(luò)安全方面，常見網(wǎng)絡(luò)和安全設(shè)備的配置不到位，如未合理劃分區(qū)域、未精細(xì)配置訪問控制策略、未對(duì)重要設(shè)備做地址綁定等;較普遍缺少專業(yè)審計(jì)系統(tǒng)。部分單位設(shè)備老舊，安全產(chǎn)品本身存在一定缺陷導(dǎo)致無法滿足等級(jí)保護(hù)要求。個(gè)別單位用于生產(chǎn)控制的重要信息系統(tǒng)在網(wǎng)絡(luò)層面未采取必要安全措施的同時(shí)，還違規(guī)接通互聯(lián)網(wǎng)，存在極大的安全隱患。

 

在主機(jī)安全方面，部分單位存在弱口令、不啟用登錄失敗處理和安全審計(jì)功能、不及時(shí)更新補(bǔ)丁、不關(guān)閉非必要服務(wù)等問題。此外，由于主流操作系統(tǒng)和數(shù)據(jù)庫很少支持強(qiáng)制訪問控制機(jī)制，相關(guān)要求普遍未落實(shí)。

 

在應(yīng)用安全方面，很多應(yīng)用軟件安全功能不足，缺少身份鑒別、審計(jì)日志、信息加密等能力。由于很少進(jìn)行安全掃描、滲透測(cè)試，相當(dāng)一部分系統(tǒng)存在高危風(fēng)險(xiǎn)，如SQL注入、跨站腳本、文件上傳等漏洞，以及弱口令、網(wǎng)頁木馬等問題。

 

在數(shù)據(jù)安全方面，較常見的是數(shù)據(jù)保密性和完整性措施薄弱。此外，部分信息系統(tǒng)的備份和恢復(fù)措施欠完善，缺乏有效的災(zāi)難恢復(fù)手段。

 

針對(duì)新技術(shù)的等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)有待出臺(tái)

 

隨著浙江政務(wù)服務(wù)網(wǎng)的大力推進(jìn)，省內(nèi)各級(jí)政務(wù)云平臺(tái)的建設(shè)使用已全面開展，有相當(dāng)數(shù)量的電子政務(wù)系統(tǒng)已遷移上云。同時(shí)涉及城市公共設(shè)施、水電氣等工控系統(tǒng)密集的行業(yè)對(duì)等級(jí)保護(hù)工作越來越重視，對(duì)云計(jì)算、工控系統(tǒng)、移動(dòng)APP等的測(cè)評(píng)需求不斷加大。但現(xiàn)有的《GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》未涉及云計(jì)算、工業(yè)控制、移動(dòng)互聯(lián)等領(lǐng)域，在測(cè)評(píng)實(shí)踐中已遇到諸多不適應(yīng)情況。針對(duì)這些新技術(shù)新應(yīng)用的等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)需求已非常迫切。

 

重要信息系統(tǒng)安全保護(hù)對(duì)策建議

 

針對(duì)上述存在的問題，本文提出以下對(duì)策建議，以供參考。

 

提高信息安全意識(shí)

 

提高全員信息安全意識(shí)是全面提升信息安全保障水平的根本解決之道。要樹立全體人員的安全觀念，加強(qiáng)信息安全培訓(xùn)。除了通過強(qiáng)化工作考核和安全檢查來督促信息安全工作的深入開展，還應(yīng)通過多種方式開展信息安全政策解讀和信息安全標(biāo)準(zhǔn)宣貫，強(qiáng)化對(duì)全員的安全意識(shí)教育和考查。建議結(jié)合一些合適的安全職業(yè)技能培訓(xùn)，落實(shí)信息安全相關(guān)崗位“持證上崗”的要求。

 

加強(qiáng)信息安全管理

 

“三分技術(shù)，七分管理”，各單位應(yīng)轉(zhuǎn)變觀念，將“信息安全”與“系統(tǒng)穩(wěn)定、功能正常”同等重視起來，將安全管理要求與自身業(yè)務(wù)緊密結(jié)合，制訂完善的體系化的安全管理制度。

 

在系統(tǒng)建設(shè)管理過程中，應(yīng)要求開發(fā)人員遵循安全編碼規(guī)范進(jìn)行開發(fā);在系統(tǒng)驗(yàn)收環(huán)節(jié)，應(yīng)認(rèn)真做好安全性驗(yàn)收測(cè)試。在電子政務(wù)領(lǐng)域應(yīng)落實(shí)國家對(duì)電子政務(wù)項(xiàng)目管理的制度要求，驗(yàn)收階段完成等級(jí)測(cè)評(píng)，未通過測(cè)評(píng)的應(yīng)不予驗(yàn)收。

 

在系統(tǒng)運(yùn)維管理方面，應(yīng)加強(qiáng)制定信息系統(tǒng)日常管理操作的詳細(xì)規(guī)范，明確定義工作流程和操作步驟，使日常運(yùn)行管理制度化、規(guī)范化。對(duì)信息資產(chǎn)按重要性進(jìn)行分類梳理，建立完善應(yīng)急災(zāi)備措施，定期開展演練，確保備份的有效性。

 

落實(shí)關(guān)鍵技術(shù)措施

 

針對(duì)測(cè)評(píng)發(fā)現(xiàn)的問題，各單位應(yīng)根據(jù)系統(tǒng)所定級(jí)別，結(jié)合自身?xiàng)l件，綜合考慮問題的影響范圍、嚴(yán)重程度、整改難度等因素，制定整改計(jì)劃，有步驟地落實(shí)相關(guān)技術(shù)措施。對(duì)于策略配置類的問題及時(shí)糾正;對(duì)于整改難度大、需要添置硬件或修改代碼的問題，應(yīng)在充分測(cè)試和試運(yùn)行的基礎(chǔ)上實(shí)施整改。對(duì)于強(qiáng)制訪問控制、敏感標(biāo)記、雙因子鑒別等難點(diǎn)問題，建議國家加強(qiáng)相關(guān)產(chǎn)業(yè)政策的引導(dǎo)，促進(jìn)安全廠商研發(fā)技術(shù)、推出產(chǎn)品，解決市場(chǎng)供應(yīng)問題。各級(jí)主管部門應(yīng)通過測(cè)評(píng)、整改、監(jiān)督檢查、再測(cè)評(píng)的閉環(huán)管理，督促關(guān)鍵技術(shù)措施的落實(shí)。

 

加快新技術(shù)的等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)編制工作

 

目前公安部信息安全等級(jí)保護(hù)評(píng)估中心在牽頭起草針對(duì)云計(jì)算安全的等級(jí)保護(hù)標(biāo)準(zhǔn)，尚處于征求意見階段。其余新技術(shù)領(lǐng)域的等級(jí)保護(hù)標(biāo)準(zhǔn)制定工作進(jìn)度更晚，隨著智慧城市、云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)、工業(yè)控制等新技術(shù)的快速應(yīng)用，安全標(biāo)準(zhǔn)相對(duì)滯后的問題更加突出，應(yīng)進(jìn)一步加快相關(guān)新標(biāo)準(zhǔn)的制定。

第6篇：網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)范文

[關(guān)鍵詞] 電子政務(wù) 信息安全 等級(jí)保護(hù) 風(fēng)險(xiǎn)評(píng)估

1 概述

電子政務(wù)是政府管理方式的革命,它是運(yùn)用信息以及通信技術(shù)打破行政機(jī)關(guān)的組織界限,構(gòu)建一個(gè)電子化的虛擬機(jī)關(guān),使公眾擺脫傳統(tǒng)的層層關(guān)卡以及書面審核的作業(yè)方式,并依據(jù)人們的需求、人們可以獲取的方式、人們要求的時(shí)間及地點(diǎn)等,高效快捷地向人們提供各種不同的服務(wù)選擇。政府機(jī)關(guān)之間以及政府與社會(huì)各界之間也經(jīng)由各種電子化渠道進(jìn)行相互溝通。

電子政務(wù)的建立將使政府社會(huì)服務(wù)職能得到最大程度的發(fā)揮,但也使政府敏感信息暴露在無孔不入的網(wǎng)絡(luò)威脅面前。由于電子政務(wù)信息網(wǎng)絡(luò)上有相當(dāng)多的政府公文在流轉(zhuǎn),其中不乏重要信息,內(nèi)部網(wǎng)絡(luò)上有著大量高度機(jī)密的數(shù)據(jù)和信息,直接涉及政府的核心政務(wù),它關(guān)系到政府部門、各大系統(tǒng)乃至整個(gè)國家的利益,有的甚至涉及國家安全。因此,電子政務(wù)信息安全是制約電子政務(wù)建設(shè)與發(fā)展的首要問題和核心問題,是電子政務(wù)的職能與優(yōu)勢(shì)得以實(shí)現(xiàn)的根本前提。如果電子政務(wù)信息安全得不到保障,不僅電子政務(wù)的便利與效率無從保證,更會(huì)給國家利益帶來嚴(yán)重威脅。

2 電子政務(wù)信息系統(tǒng)面臨的威脅

電子政務(wù)涉及對(duì)政府機(jī)密信息和敏感政務(wù)的保護(hù)、維護(hù)公共秩序和行政監(jiān)管的準(zhǔn)確實(shí)施以及為保障社會(huì)提供公共服務(wù)的質(zhì)量。電子政務(wù)作為政府有效決策、管理、服務(wù)的重要手段,必然會(huì)遇到各種敵對(duì)勢(shì)力、恐怖集團(tuán)、搗亂分子的破壞和攻擊。尤其是,電子政務(wù)在基于互聯(lián)網(wǎng)的網(wǎng)絡(luò)平臺(tái)上,他包括政務(wù)內(nèi)網(wǎng)、政務(wù)外網(wǎng)和互聯(lián)網(wǎng),而互聯(lián)網(wǎng)是一個(gè)無行政主管的全球網(wǎng)絡(luò),自身缺少設(shè)防,安全隱患很多,使得不法分子利用互聯(lián)網(wǎng)進(jìn)行犯罪有機(jī)可乘,這就使得基于互聯(lián)網(wǎng)開展的電子政務(wù)應(yīng)用面臨著嚴(yán)峻的挑戰(zhàn)。

對(duì)電子政務(wù)的安全威脅包括網(wǎng)上黑客入侵和犯罪、病毒泛濫和蔓延,信息間諜的潛入和竊密,網(wǎng)絡(luò)恐怖集團(tuán)的攻擊和破壞,內(nèi)部人員的違規(guī)和違法操作,網(wǎng)絡(luò)系統(tǒng)的脆弱和癱瘓,信息安全產(chǎn)品的失控等,對(duì)于這些威脅,電子政務(wù)的建設(shè)和應(yīng)用應(yīng)引起足夠警惕,采取果斷的安全措施,應(yīng)對(duì)這種挑戰(zhàn)。

3 電子政務(wù)信息安全管理體系的構(gòu)建

要有效維護(hù)電子政務(wù)信息系統(tǒng)的安全,就需要構(gòu)建電子政務(wù)安全管理體系,從而使政務(wù)的信息基礎(chǔ)設(shè)施、信息應(yīng)用服務(wù)能夠具有保密性、完整性、真實(shí)性和可用性。電子政務(wù)安全管理體系包括安全技術(shù)體系、安全管理體系和安全服務(wù)體系,涉及從管理到組織,從網(wǎng)絡(luò)到數(shù)據(jù),從法規(guī)標(biāo)準(zhǔn)到基礎(chǔ)設(shè)施等各個(gè)方面。

3.1 加強(qiáng)安全技術(shù)力量是實(shí)現(xiàn)電子政務(wù)安全的基本方法

安全技術(shù)體系是利用技術(shù)手段實(shí)現(xiàn)技術(shù)層面的安全保護(hù),是對(duì)電子政務(wù)安全防護(hù)體系的完善,包括網(wǎng)絡(luò)安全體系、數(shù)據(jù)安全傳輸與存儲(chǔ)體系,功能主要是通過各種技術(shù)手段實(shí)現(xiàn)技術(shù)層次的安全保護(hù)。

網(wǎng)絡(luò)安全體系包括網(wǎng)閘、入侵檢測(cè)、漏洞檢測(cè)、外聯(lián)和接入檢測(cè)、補(bǔ)丁管理、防火墻、身份鑒別和認(rèn)證、系統(tǒng)訪問控制、網(wǎng)絡(luò)審計(jì)等;數(shù)據(jù)安全與傳輸與存儲(chǔ)體系包括數(shù)據(jù)備份恢復(fù)、PKI/CA、PMI等。整個(gè)電子政務(wù)的安全,涉及信息安全產(chǎn)品的全局配套和科學(xué)布置,產(chǎn)品選擇應(yīng)充分考慮產(chǎn)品的自和自控權(quán)。在關(guān)鍵技術(shù)、經(jīng)營(yíng)管理、生產(chǎn)規(guī)模、服務(wù)觀念等方面,要集中人力、物力,制訂相關(guān)政策,大力發(fā)展自主知識(shí)產(chǎn)權(quán)的計(jì)算機(jī)芯片、操作系統(tǒng)等信息安全技術(shù)產(chǎn)品,以確保關(guān)鍵政府部門的信息系統(tǒng)的網(wǎng)絡(luò)安全。加強(qiáng)核心技術(shù)的自主研發(fā),并盡快使之產(chǎn)品化和產(chǎn)業(yè)化,尤其是操作系統(tǒng)技術(shù)和計(jì)算機(jī)芯片技術(shù)。現(xiàn)階段各地政府部門目前所選用的高端軟硬件平臺(tái),很多都是國外公司的產(chǎn)品,這也對(duì)政務(wù)安全帶來了許多隱患。因此,在構(gòu)建電子政務(wù)系統(tǒng)的時(shí)候,在可能的情況下,我們應(yīng)盡量選用國產(chǎn)化技術(shù)和國內(nèi)公司的產(chǎn)品。

3.2 構(gòu)建安全管理體系是電子政務(wù)安全實(shí)施的重要基礎(chǔ)

安全管理是解決電子政務(wù)的安全問題在技術(shù)以外的另一有力保障和途徑。由于安全的防范技術(shù)與破壞技術(shù)總是“勢(shì)均力敵”、“相互促進(jìn)”的。作為防范者就更應(yīng)該在安全防范的管理上下更大的工夫。安全管理主要涉及三個(gè)方面:法律法規(guī)、安全防護(hù)體系以及等級(jí)保護(hù)政策。

3.2.1法律政策、規(guī)章制度和標(biāo)準(zhǔn)規(guī)范

電子政務(wù)的工作內(nèi)容和工作流程涉及到國家秘密與核心政務(wù),它的安全關(guān)系到國家的、國家的安全和公眾利益,所以電子政務(wù)的安全實(shí)施和保障,必須以國家法規(guī)形式將其固化,形成全國共同遵守的規(guī)約。目前,世界上很多國家制定了與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī),如英國的《官方信息保護(hù)法》等。我國雖然頒發(fā)了一些與網(wǎng)絡(luò)安全有關(guān)的法律法規(guī),如《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》等等,但顯得很零散,還缺乏關(guān)于電子政務(wù)網(wǎng)絡(luò)安全的專門法規(guī)。此外,在完善法律法規(guī)的同時(shí),還應(yīng)該加大執(zhí)法力度,嚴(yán)格執(zhí)法,這一目標(biāo)的實(shí)現(xiàn)不僅需要政府組織的努力,更要國家立法機(jī)構(gòu)的參與和支持。

3.2.2電子政務(wù)防護(hù)體系

貫穿整個(gè)電子政務(wù)的安全防護(hù)體系,對(duì)電子政務(wù)安全實(shí)施起全面的指導(dǎo)作用,具體包括三個(gè)方面的內(nèi)容:安全組織機(jī)構(gòu)、安全人事管理、以及安全責(zé)任制度。建立安全組織機(jī)構(gòu),其目的是統(tǒng)一規(guī)劃各級(jí)網(wǎng)絡(luò)系統(tǒng)的安全、制定完善的安全策略和措施、協(xié)調(diào)各方面的安全事宜,主要職責(zé)包括制定整體安全策略、明確規(guī)章制度、落實(shí)各項(xiàng)安全措施實(shí)施,以及制訂安全應(yīng)急方案和保密信息的安全策略;安全人事管理,其主要內(nèi)容包括:人事審查與錄用、崗位與責(zé)任范圍的確定、工作評(píng)價(jià)、人事檔案管理、提升、調(diào)動(dòng)與免職、基礎(chǔ)培訓(xùn)等;制定和落實(shí)安全責(zé)任制度,包括系統(tǒng)運(yùn)行維護(hù)管理制度、計(jì)算機(jī)處理控制管理制度、文檔資料管理制度、操作和管理人員管理制度、機(jī)房安全管理制度、定期檢查與監(jiān)督制度、網(wǎng)絡(luò)通信安全管理制度、病毒防治管理制度、安全等級(jí)保護(hù)制度、對(duì)外交流安全維護(hù)制度,以及對(duì)外合作制度等。

3.2.3等級(jí)保護(hù)制度

通過全面推行信息安全等級(jí)保護(hù)制度,逐步將信息安全等級(jí)保護(hù)制度落實(shí)到信息系統(tǒng)安全規(guī)劃、建設(shè)、測(cè)評(píng)、運(yùn)行維護(hù)和使用等各個(gè)環(huán)節(jié),使信息安全保障狀況得到基本改善。通過加強(qiáng)和規(guī)范信息安全等級(jí)保護(hù)管理,不斷提高信息安全保障能力,為維護(hù)信息網(wǎng)絡(luò)的安全穩(wěn)定,促進(jìn)信息化發(fā)展服務(wù)。

4 完善安全服務(wù)是維護(hù)電子政務(wù)安全實(shí)施的有力保障

4.1 安全等級(jí)測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估管理

電子政務(wù)信息系統(tǒng)安全測(cè)評(píng)服務(wù),其實(shí)質(zhì)是通過科學(xué)、規(guī)范、公正的測(cè)試和評(píng)估向被測(cè)評(píng)單位證實(shí)其信息系統(tǒng)的安全性能符合等級(jí)保護(hù)的要求。

由于信息安全直接涉及國家利益、安全和,政府對(duì)信息產(chǎn)品、信息系統(tǒng)安全性的測(cè)評(píng)認(rèn)證要更為嚴(yán)格。對(duì)信息系統(tǒng)和信息安全技術(shù)中的核心技術(shù),由政府直接控制,在信息安全各主管部門的支持和指導(dǎo)下,依托專業(yè)的職能機(jī)構(gòu)提供技術(shù)支持,形成政府的行政管理與技術(shù)支持相結(jié)合、相依賴的管理體制。 風(fēng)險(xiǎn)管理是對(duì)項(xiàng)目風(fēng)險(xiǎn)的識(shí)別、分析和應(yīng)對(duì)過程。它包括對(duì)正面事件效果的最大化及對(duì)負(fù)面事件影響的最小化。電子政務(wù)安全風(fēng)險(xiǎn)管理的主要任務(wù)是電子政務(wù)信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估并提出風(fēng)險(xiǎn)緩解措施,前者是識(shí)別并分析系統(tǒng)中的風(fēng)險(xiǎn)因素,估計(jì)可能造成的損失,后者是選擇和實(shí)施安全控制,將風(fēng)險(xiǎn)降低到一個(gè)可接受的水平。

4.2 安全培訓(xùn)服務(wù)

根據(jù)不同層次的人才需求,社會(huì)化的信息安全人才培養(yǎng)體系應(yīng)分為專業(yè)型教育、應(yīng)用型教育和安全素養(yǎng)教育三個(gè)層次。專業(yè)型教育主要是培養(yǎng)信息安全領(lǐng)域的專業(yè)研發(fā)、工程技術(shù)、戰(zhàn)略管理等方面的人才。應(yīng)用型(半專業(yè))教育則是以從事現(xiàn)代信息管理工作的人作為對(duì)象,培養(yǎng)目標(biāo)是要求學(xué)生具備信息安全的基本知識(shí)、網(wǎng)絡(luò)和信息系統(tǒng)安全防范技能、組織機(jī)構(gòu)或系統(tǒng)安全管理的能力等。這種應(yīng)用型的信息安全教育要求受教育對(duì)象數(shù)量要多,覆蓋面要廣,基本信息技能要強(qiáng)。通過課程、講座、宣傳等多種形式,達(dá)到讓每一個(gè)人都具備必要的安全意識(shí)和常規(guī)的信息安全自我防范技術(shù)的目的。要求單位領(lǐng)導(dǎo)應(yīng)具備必要信息安全意識(shí)和安全知識(shí);信息管理人員應(yīng)具備一定的信息安全知識(shí)和基本技能;從事信息服務(wù)或信息安全服務(wù)的有關(guān)人員應(yīng)具備必要的信息安全知識(shí)和技術(shù)基礎(chǔ)等。

構(gòu)建安全穩(wěn)定的政務(wù)信息系統(tǒng),技術(shù)、管理、服務(wù)作為支撐體系的三大要素,缺一不可。只有這三方面都做好了,才能實(shí)現(xiàn)海西政務(wù)信息管理體系的全面提升。

參考文獻(xiàn):

[1] 何玲,電子政務(wù)環(huán)境下政府電子文件管理新探索[D].成都:四川大學(xué)碩士學(xué)位論文,2008.

第7篇：網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)范文

“2009年，我上任后第一次訪問深圳工廠，當(dāng)時(shí)工廠還只能生產(chǎn)小功率UPS。”伊頓電氣集團(tuán)亞太區(qū)高級(jí)副總裁、電能質(zhì)量業(yè)務(wù)總經(jīng)理羅世光回憶說，“但是現(xiàn)在，10kW~1000kW的UPS都已經(jīng)可以在中國本地進(jìn)行生產(chǎn)。”

中國和亞太地區(qū)是伊頓在全球范圍內(nèi)具有戰(zhàn)略意義的市場(chǎng)。羅世光相信，中國數(shù)據(jù)中心市場(chǎng)的快速增長(zhǎng)將給伊頓的電能質(zhì)量業(yè)務(wù)帶來更大的增長(zhǎng)機(jī)會(huì)。因此，在2014年，伊頓將加強(qiáng)與商的合作，拓展分銷渠道，進(jìn)一步推進(jìn)與本土市場(chǎng)的全面融合，同時(shí)加大對(duì)本土產(chǎn)品研發(fā)和檢測(cè)的能力，提供更多符合中國客戶需求的高效節(jié)能的電能質(zhì)量解決方案。

深圳是伊頓面向全球的研發(fā)和生產(chǎn)基地。三家位于深圳的工廠擁有5000多名員工、29條先進(jìn)的自動(dòng)化生產(chǎn)線，年產(chǎn)UPS達(dá)到800萬臺(tái)。伊頓在深圳設(shè)立的研發(fā)中心也是其全球三大電氣研發(fā)基地之一，產(chǎn)品研發(fā)和測(cè)試工程師超過1000人。

剛啟用的伊頓在深圳的亞太區(qū)電能質(zhì)量產(chǎn)品和系統(tǒng)檢測(cè)中心，是除美國、芬蘭之外，伊頓在全球擁有的第三個(gè)產(chǎn)品和系統(tǒng)檢測(cè)中心。“該檢測(cè)中心同時(shí)也是客戶體驗(yàn)中心，配備了全球領(lǐng)先的檢測(cè)設(shè)備和技術(shù)，不僅能夠檢測(cè)單體設(shè)備，還能對(duì)包括UPS、電源分配單元（PDU）、AMS監(jiān)測(cè)系統(tǒng)和第三方設(shè)備的整個(gè)電能系統(tǒng)解決方案進(jìn)行測(cè)試，其最大測(cè)試能力是可對(duì)兩臺(tái)并聯(lián)的1100kW的UPS進(jìn)行測(cè)試。”羅世光介紹說，“客戶在選擇一款定制的電能解決方案后，即可在檢測(cè)中心看到其運(yùn)行的全過程，通過親身體驗(yàn)增進(jìn)對(duì)產(chǎn)品的了解和信心。”

“過去3~4年中，我們?cè)谥袊袌?chǎng)的總投入已經(jīng)超過1200萬美元。我們?nèi)栽诔掷m(xù)加強(qiáng)中國本地化，并從去年底開始進(jìn)一步提升了針對(duì)中國用戶的售前和售后服務(wù)能力。”羅世光告訴記者，“目前，我們90%的UPS都在深圳研發(fā)和生產(chǎn)。最近，深圳研發(fā)中心剛剛研制出一款新的UPS產(chǎn)品。與許多跨國企業(yè)采取的遠(yuǎn)程遙控式的本地研發(fā)策略相比，我們是實(shí)實(shí)在在地將研發(fā)部門落戶在深圳，為亞太和中國市場(chǎng)提供本地化服務(wù)的同時(shí)也面向全球客戶。”

云計(jì)算與大數(shù)據(jù)的發(fā)展推動(dòng)了大型數(shù)據(jù)中心的快速發(fā)展，用戶對(duì)數(shù)據(jù)中心整體解決方案和定制化解決方案的需求也與日俱增。“從2010年開始，伊頓增加了為中國客戶定制數(shù)據(jù)中心解決方案的服務(wù)。在今年的商大會(huì)上，我看到了商和用戶的積極反饋。”羅世光表示。

針對(duì)小型數(shù)據(jù)中心，伊頓可以提供模塊化、標(biāo)準(zhǔn)化的解決方案；針對(duì)中型數(shù)據(jù)中心，伊頓可以針對(duì)不同行業(yè)客戶的需求，提供有差異化的解決方案；針對(duì)大型數(shù)據(jù)中心，伊頓可以提供按需擴(kuò)展的高能效、低整體擁有成本的解決方案。從產(chǎn)品到系統(tǒng)再到整體解決方案，這不僅對(duì)伊頓是一個(gè)新的挑戰(zhàn)，對(duì)其商來說也要經(jīng)歷一個(gè)大的轉(zhuǎn)變。

為了迅速提升商銷售解決方案的能力，伊頓一方面不斷更新其數(shù)據(jù)中心整體解決方案，另一方面加強(qiáng)對(duì)商的銷售培訓(xùn)，實(shí)現(xiàn)信息共享。羅世光表示：“我們提供的定制化解決方案一方面要滿足用戶的個(gè)性化需求，另一方面還要保持開放性。我們將為用戶提供解決方案與服務(wù)打包的一體化解決方案。”

第三屆全國等級(jí)保護(hù)技術(shù)大會(huì)征文通知

為深入貫徹落實(shí)國家關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的文件精神，進(jìn)一步推進(jìn)信息安全等級(jí)保護(hù)技術(shù)交流，經(jīng)公安主管部門同意，公安部第一研究所擬于2014年7月舉辦第三屆全國信息安全等級(jí)保護(hù)技術(shù)大會(huì)（ICSP’2014）。

會(huì)議擬請(qǐng)公安、工業(yè)和信息化、國家保密、國家密碼管理主管部門、中國科學(xué)院、國家網(wǎng)絡(luò)與信息安全信息通報(bào)中心等部門擔(dān)任指導(dǎo)單位，同時(shí)將出版論文集，經(jīng)專家評(píng)選的部分優(yōu)秀論文，將推薦至國家核心期刊發(fā)表。現(xiàn)就會(huì)議征文的有關(guān)情況通知如下：

一、征文范圍

1. 新技術(shù)應(yīng)用環(huán)境下信息安全等級(jí)保護(hù)技術(shù)：物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、工控系統(tǒng)、移動(dòng)接入網(wǎng)、下一代互聯(lián)網(wǎng)（IPv6）等新技術(shù)、環(huán)境下的等級(jí)保護(hù)支撐技術(shù)，等級(jí)保護(hù)技術(shù)體系在新環(huán)境下的應(yīng)用方法；

2. 關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)技術(shù)：政府部門及金融、交通、電力、能源、通信、制造等重要行業(yè)網(wǎng)站、核心業(yè)務(wù)信息系統(tǒng)等安全威脅、隱患分析及防范措施；

3. 國內(nèi)外信息安全管理政策與策略：信息安全管理政策和策略研究，信息安全管理體制和機(jī)制特點(diǎn)，信息安全管理標(biāo)準(zhǔn)發(fā)展對(duì)策，網(wǎng)絡(luò)恐怖的特點(diǎn)、趨勢(shì)、危害研究；

4. 信息安全預(yù)警與突發(fā)事件應(yīng)急處置技術(shù)：攻擊監(jiān)測(cè)技術(shù)，態(tài)勢(shì)感知預(yù)警技術(shù)，安全監(jiān)測(cè)技術(shù)，安全事件響應(yīng)技術(shù)，應(yīng)急處置技術(shù)，災(zāi)難備份技術(shù)，恢復(fù)和跟蹤技術(shù)，風(fēng)險(xiǎn)評(píng)估技術(shù)；

5. 信息安全等級(jí)保護(hù)建設(shè)技術(shù)：密碼技術(shù)，可信計(jì)算技術(shù)，網(wǎng)絡(luò)實(shí)名制等體系模型與構(gòu)建技術(shù)，漏洞檢測(cè)技術(shù)，網(wǎng)絡(luò)監(jiān)測(cè)與監(jiān)管技術(shù)，網(wǎng)絡(luò)身份認(rèn)證技術(shù)，網(wǎng)絡(luò)攻防技術(shù)，軟件安全技術(shù)，信任體系研究；

6. 信息安全等級(jí)保護(hù)監(jiān)管技術(shù)：用于支撐安全監(jiān)測(cè)的數(shù)據(jù)采集、挖掘與分析技術(shù)，用于支撐安全監(jiān)管的敏感數(shù)據(jù)發(fā)現(xiàn)與保護(hù)技術(shù)，安全態(tài)勢(shì)評(píng)估技術(shù)，安全事件關(guān)聯(lián)分析技術(shù)、安全績(jī)效評(píng)估技術(shù)，電子數(shù)據(jù)取證和鑒定技術(shù)；

7. 信息安全等級(jí)保護(hù)測(cè)評(píng)技術(shù)：標(biāo)準(zhǔn)符合性檢驗(yàn)技術(shù)，安全基準(zhǔn)驗(yàn)證技術(shù)，源代碼安全分析技術(shù)，逆向工程剖析技術(shù)，滲透測(cè)試技術(shù)，測(cè)評(píng)工具和測(cè)評(píng)方法；

8. 信息安全等級(jí)保護(hù)策略與機(jī)制：網(wǎng)絡(luò)安全綜合防控體系建設(shè)，重要信息系統(tǒng)的安全威脅與脆弱性分析，縱深防御策略，大數(shù)據(jù)安全保護(hù)策略，信息安全保障工作評(píng)價(jià)機(jī)制、應(yīng)急響應(yīng)機(jī)制、安全監(jiān)測(cè)預(yù)警機(jī)制。

二、投稿要求

1. 來稿內(nèi)容應(yīng)屬于作者的科研成果，數(shù)據(jù)真實(shí)、可靠，未公開發(fā)表過，引用他人成果已注明出處，署名無爭(zhēng)議，論文摘要及全文不涉及保密內(nèi)容；

2. 會(huì)議只接受以Word排版的電子稿件，稿件一般不超過5000字；

3. 稿件以Email方式發(fā)送到征稿郵箱；

4. 凡投稿文章被錄用且未作特殊聲明者，視為已同意授權(quán)出版；

5. 提交截止日期： 2014年5月25日。

三、聯(lián)系方式

通信地址：北京市海淀區(qū)首都體育館南路1號(hào)

郵編：100048

Email：.cn

聯(lián)系人： 范博、王晨

聯(lián)系電話：010-68773930，

13717905088，13581879819

第8篇：網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)范文

信息安全防護(hù)要考慮不同層次的問題。例如網(wǎng)絡(luò)平臺(tái)就需要擁有網(wǎng)絡(luò)節(jié)點(diǎn)之間的相互認(rèn)證以及訪問控制；應(yīng)用平臺(tái)則需要有針對(duì)各個(gè)用戶的認(rèn)證以及訪問控制，這就需要保證每一個(gè)數(shù)據(jù)的傳輸?shù)耐暾院捅Ｃ苄裕?dāng)然也需要保證應(yīng)用系統(tǒng)的可靠性和可用性。一般電力企業(yè)主要采用的措施有：

1.1信息安全等級(jí)保護(hù)

信息安全等級(jí)保護(hù)是對(duì)信息和信息載體按照重要性等級(jí)分級(jí)別進(jìn)行保護(hù)的一種工作，工作包括定級(jí)、備案、安全建設(shè)和整改、信息安全等級(jí)測(cè)評(píng)、信息安全檢查五個(gè)階段。要積極參與信息安全等級(jí)定級(jí)評(píng)定，及時(shí)在當(dāng)?shù)毓矙C(jī)關(guān)進(jìn)行備案，然后根據(jù)對(duì)應(yīng)等級(jí)要求，組織好評(píng)測(cè)，然后開展針對(duì)性的防護(hù)，從而提供全面的保障。

1.2網(wǎng)絡(luò)分區(qū)和隔離

運(yùn)用網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備將企業(yè)網(wǎng)絡(luò)劃分為若干個(gè)區(qū)域，通過在不同區(qū)域?qū)嵤┨囟ǖ陌踩呗詫?shí)現(xiàn)對(duì)區(qū)域的防護(hù)，保證網(wǎng)絡(luò)及基礎(chǔ)設(shè)置穩(wěn)定正常，保障業(yè)務(wù)信息安全。

1.3終端安全防護(hù)

需要部署（實(shí)施）防病毒系統(tǒng)、上網(wǎng)行為管理、主機(jī)補(bǔ)丁管理等終端安全防護(hù)措施。通過這些安全措施使網(wǎng)絡(luò)內(nèi)的終端可以防御各種惡意代碼和病毒；可以對(duì)互聯(lián)網(wǎng)訪問行為監(jiān)管，為網(wǎng)絡(luò)的安全防護(hù)管理提供安全保障；可以自動(dòng)下發(fā)操作系統(tǒng)補(bǔ)丁，提高終端的安全性。

2.構(gòu)建信息安全防護(hù)體系

電力企業(yè)應(yīng)充分利用已經(jīng)成熟的信息安全理論成果，在此基礎(chǔ)上在設(shè)計(jì)出具有可操作性，能兼顧整體性，并且能融合策略、組織、技術(shù)以及運(yùn)行為一體化的信息安全保障體系，從而保障信息安全。

2.1建立科學(xué)合理的信息安全策略體系

信息安全策略體系包括信息安全策略、信息安全操作流程、信息安全標(biāo)準(zhǔn)以及規(guī)范和多方面的細(xì)則，所涉及的基本要素包括信息管理和信息技術(shù)這兩方面，其覆蓋了信息系統(tǒng)的網(wǎng)絡(luò)層面、物理層面、系統(tǒng)層面以及應(yīng)用層面這四大層面。

2.2建設(shè)先進(jìn)可靠的信息安全技術(shù)防護(hù)體系

結(jié)合電力企業(yè)的特點(diǎn)，在企業(yè)內(nèi)部形成分區(qū)、分域、分級(jí)、分層的網(wǎng)絡(luò)環(huán)境，然后充分運(yùn)用防火墻、病毒過濾、入侵防護(hù)、單向物理隔離、拒絕服務(wù)防護(hù)和認(rèn)證授權(quán)等技術(shù)進(jìn)行區(qū)域邊界防護(hù)。通過統(tǒng)一規(guī)劃，解決系統(tǒng)之間、系統(tǒng)內(nèi)部網(wǎng)段間邊界不清晰，訪問控制措施薄弱的問題，對(duì)不同等級(jí)保護(hù)的業(yè)務(wù)系統(tǒng)分級(jí)防護(hù)，避免安全要求低的業(yè)務(wù)系統(tǒng)的威脅影響到安全要求高的業(yè)務(wù)系統(tǒng)，實(shí)現(xiàn)全方位的技術(shù)安全防護(hù)。同時(shí)，還要結(jié)合信息機(jī)房物流防護(hù)、網(wǎng)絡(luò)準(zhǔn)入控制、補(bǔ)丁管理、PKI基礎(chǔ)設(shè)施、病毒防護(hù)、數(shù)據(jù)庫安全防護(hù)、終端安全管理和電子文檔安全防護(hù)等細(xì)化的措施，形成覆蓋企業(yè)全領(lǐng)域的技術(shù)防護(hù)體系。

2.3設(shè)置責(zé)權(quán)統(tǒng)一的信息安全組織體系

在企業(yè)內(nèi)部設(shè)置網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)機(jī)構(gòu)和工作機(jī)構(gòu)，按照“誰主管誰負(fù)責(zé)，誰運(yùn)營(yíng)誰負(fù)責(zé)”原則，實(shí)行統(tǒng)一領(lǐng)導(dǎo)、分級(jí)管理。信息安全領(lǐng)導(dǎo)機(jī)構(gòu)由決策層組成，工作機(jī)構(gòu)由各部門管理成員組成。工作機(jī)構(gòu)一般設(shè)置在信息管理部門，包含安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員和應(yīng)用管理員，并分配相關(guān)安全責(zé)任，使信息安全在組織內(nèi)得以有效管理。

2.4構(gòu)建全面完善的信息安全管理體系

對(duì)于電力企業(yè)的信息安全防范來說，單純的使用技術(shù)手段是遠(yuǎn)遠(yuǎn)不夠的，只有配合管理才能提供有效運(yùn)營(yíng)的保障。

2.4.1用制度保證信息安全

企業(yè)要建立從指導(dǎo)性到具體性的安全管理框架體系。安全方針是信息安全指導(dǎo)性文件，指明信息安全的發(fā)展方向，為信息安全提供管理指導(dǎo)和支持；安全管理辦法是對(duì)信息安全各方面內(nèi)容進(jìn)行管理的方法總述；安全管理流程是在信息安全管理辦法的基礎(chǔ)上描述各控制流程；安全規(guī)范和操作手冊(cè)則是為用戶提供詳細(xì)使用文檔。人是信息安全最活躍的因素，人的行為會(huì)直接影響到信息安全保障。所以需要通過加強(qiáng)人員信息安全培訓(xùn)、建立懲罰機(jī)制、加大關(guān)鍵崗位員工安全防范力度、加強(qiáng)離崗或調(diào)動(dòng)人員的信息安全審查等措施實(shí)現(xiàn)企業(yè)工作人員的規(guī)范管理，明確員工信息安全責(zé)任和義務(wù)，避免人為風(fēng)險(xiǎn)。

2.4.3建設(shè)時(shí)就考慮信息安全

在網(wǎng)絡(luò)和應(yīng)用系統(tǒng)建設(shè)時(shí)，就從生命周期的各階段統(tǒng)籌考慮信息安全，遵照信息安全和信息化建設(shè)“三同步”原則，即“同步規(guī)劃、同步建設(shè)、同步投入運(yùn)行”。

2.4.4實(shí)施信息安全運(yùn)行保障

主要是以資產(chǎn)管理為基礎(chǔ)，風(fēng)險(xiǎn)管理為核心，事件管理為主線，輔以有效的管理、監(jiān)視與響應(yīng)功能，構(gòu)建動(dòng)態(tài)的可信安全運(yùn)行保障。同時(shí)，還需要不斷完善應(yīng)急預(yù)案，做好預(yù)案演練，可以對(duì)信息安全事件進(jìn)行及時(shí)的應(yīng)急響應(yīng)和處置。

3.總結(jié)

第9篇：網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)范文

關(guān)鍵詞：互聯(lián)網(wǎng)金融 信息安全 信息技術(shù)風(fēng)險(xiǎn) 防控措施

中圖分類號(hào)：F830.2 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1004-4914（2015）09-175-01

我國互聯(lián)網(wǎng)信息安全形勢(shì)嚴(yán)峻，特別是大數(shù)據(jù)和云計(jì)算等新技術(shù)的發(fā)展，使互聯(lián)網(wǎng)金融業(yè)務(wù)面臨更加嚴(yán)峻的挑戰(zhàn)，支付寶漏洞、P2P平臺(tái)黑客攻擊、網(wǎng)銀木馬病毒等風(fēng)險(xiǎn)事件頻發(fā)，而當(dāng)前互聯(lián)網(wǎng)金融支撐保障體系的發(fā)展速度遠(yuǎn)遠(yuǎn)落后于互聯(lián)網(wǎng)金融業(yè)務(wù)運(yùn)營(yíng)的發(fā)展，信息安全成為保障互聯(lián)網(wǎng)金融創(chuàng)新發(fā)展的重中之重。

一、互聯(lián)網(wǎng)金融面臨的信息技術(shù)風(fēng)險(xiǎn)

互聯(lián)網(wǎng)金融是建立在互聯(lián)網(wǎng)大數(shù)據(jù)和云計(jì)算框架上的。互聯(lián)網(wǎng)金融的云計(jì)算（或稱金融云）是利用云計(jì)算的模型構(gòu)成原理，將各金融機(jī)構(gòu)的信息系統(tǒng)架構(gòu)轉(zhuǎn)移到端;或是利用互聯(lián)網(wǎng)實(shí)現(xiàn)數(shù)據(jù)中心互聯(lián)互通，形成高效的數(shù)據(jù)共享機(jī)制;或利用云計(jì)算服務(wù)提供商的云網(wǎng)絡(luò)，將金融產(chǎn)品、新聞、服務(wù)到云網(wǎng)絡(luò)中，提升企業(yè)整體工作效率，優(yōu)化業(yè)務(wù)流程，降低運(yùn)營(yíng)成本，為客戶提供更便捷的金融服務(wù)。但支撐互聯(lián)網(wǎng)金融的大數(shù)據(jù)、云計(jì)算等新技術(shù)發(fā)展還不成熟，云計(jì)算又是一個(gè)開放的網(wǎng)絡(luò)環(huán)境，安全機(jī)制尚不完善;同時(shí)，第三方支付、P2P等互聯(lián)網(wǎng)金融新業(yè)態(tài)還處于起步階段，安全管理水平較低。因此，互聯(lián)網(wǎng)在帶來金融創(chuàng)新的同時(shí)，也帶來了新的風(fēng)險(xiǎn)。

1.數(shù)據(jù)安全問題。主要體現(xiàn)在三個(gè)方面，一是后臺(tái)數(shù)據(jù)庫安全問題。大數(shù)據(jù)由于擁有龐大的數(shù)據(jù)庫，一旦數(shù)據(jù)遭到竊取、泄露、非法篡改，將對(duì)個(gè)人隱私、客戶權(quán)益、人身安全構(gòu)成威脅，犯罪分子可以通過對(duì)大數(shù)據(jù)的收集分析，有機(jī)會(huì)獲得更精準(zhǔn)有用的信息，因此，后臺(tái)數(shù)據(jù)庫安全要解決核心數(shù)據(jù)資源面臨的“越權(quán)使用、權(quán)限濫用、權(quán)限盜用”等安全威脅;二是數(shù)據(jù)傳輸安全，數(shù)據(jù)在傳輸過程中數(shù)據(jù)傳輸安全;三是數(shù)據(jù)容災(zāi)備份，大數(shù)據(jù)對(duì)數(shù)據(jù)的容災(zāi)機(jī)制要求比較高。

2.網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。與傳統(tǒng)商業(yè)銀行有著獨(dú)立性很強(qiáng)的通信網(wǎng)絡(luò)不同，互聯(lián)網(wǎng)金融企業(yè)處于開放式的網(wǎng)絡(luò)通信系統(tǒng)中，TCP/IP協(xié)議自身的安全性面臨較大非議。另外，互聯(lián)網(wǎng)金融交易平臺(tái)需要在三個(gè)層面保障安全，安全環(huán)境檢測(cè)、安全控件的加載以及用戶賬戶口令認(rèn)證，但當(dāng)前的密鑰管理與加密技術(shù)并不完善，這就導(dǎo)致互聯(lián)網(wǎng)金融體系很容易遭受計(jì)算機(jī)病毒以及網(wǎng)絡(luò)黑客的攻擊。一旦遭遇黑客攻擊，互聯(lián)網(wǎng)金融的正常運(yùn)作會(huì)受到影響，危及消費(fèi)者的資金安全和個(gè)人信息安全。

3.安全應(yīng)急技術(shù)薄弱。在信息技術(shù)發(fā)展迅猛的當(dāng)下，互聯(lián)網(wǎng)金融企業(yè)自身所具備的安全故障恢復(fù)機(jī)制以及所需的安全保障技術(shù)儲(chǔ)備仍具有一定的局限性和薄弱性。面對(duì)Web應(yīng)用漏洞以及已經(jīng)造成的危害，企業(yè)自身的技術(shù)團(tuán)隊(duì)力量及資源不足以提供所需的安全響應(yīng)支撐，使得在出現(xiàn)突發(fā)安全事故的情況下，企業(yè)不能及時(shí)作出安全應(yīng)急響應(yīng)，迅速進(jìn)行運(yùn)營(yíng)恢復(fù)，深入解決安全問題，從而最大程度的降低整體安全風(fēng)險(xiǎn)及提高信息系統(tǒng)的安全等級(jí)。

二、互聯(lián)網(wǎng)金融信息安全風(fēng)險(xiǎn)防控措施

針對(duì)上述風(fēng)險(xiǎn)，保障互聯(lián)網(wǎng)金融信息安全應(yīng)當(dāng)從以下幾個(gè)方面入手。

1.嚴(yán)格遵照金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)要求加強(qiáng)信息系統(tǒng)安全防護(hù)。加強(qiáng)信息安全等級(jí)保護(hù)工作的組織領(lǐng)導(dǎo)，認(rèn)真梳理信息系統(tǒng)，科學(xué)合理定級(jí)，備案。按照不同等級(jí)采取相應(yīng)的安全防護(hù)措施，并制定合理的安全策略。適時(shí)進(jìn)行相關(guān)信息系統(tǒng)威脅分析和相互依賴分析，積極開展信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)工作。通過制定配套的管理規(guī)范、技術(shù)標(biāo)準(zhǔn)、技術(shù)手段，以此來加強(qiáng)信息安全管理水平。

2.加強(qiáng)數(shù)據(jù)安全管理。可以通過數(shù)字證書等安全認(rèn)證機(jī)制和傳輸加密機(jī)制來保障數(shù)據(jù)傳輸安全。如采用SSL加密技術(shù)對(duì)數(shù)據(jù)進(jìn)行加密。SSL采用RC4、MD5以及RSA等加密算法，運(yùn)行在TCP/IP層之上、應(yīng)用層之下，為應(yīng)用程序提供加密數(shù)據(jù)通道，加密和解密需要發(fā)送方和接受方通過交換密鑰來實(shí)現(xiàn)，因此，所傳送的數(shù)據(jù)不容易被網(wǎng)絡(luò)黑客截獲和解密，最大限度地保證了客戶信息的安全和資金流向的安全。而在數(shù)據(jù)備份方面，可以采用服務(wù)器集群及異地?zé)醾浼夹g(shù)，保障平臺(tái)的高性能和高可用性。異地?zé)醾浼夹g(shù)是指硬盤放在磁盤陣列柜里面，兩臺(tái)服務(wù)器與磁盤陣列柜連接，共用里面的資料，當(dāng)一臺(tái)服務(wù)器出現(xiàn)問題時(shí)會(huì)自動(dòng)切換到另一臺(tái)服務(wù)器，既確保了數(shù)據(jù)備份安全，又保障了使用效率。

3.加強(qiáng)網(wǎng)絡(luò)安全防護(hù)。在系統(tǒng)安全和數(shù)據(jù)通訊層面采取措施，通過網(wǎng)絡(luò)安全協(xié)議、電子簽名等，如建立反釣魚機(jī)制，解決電子支付安全問題，大力推廣可靠電子簽名應(yīng)用。將電子簽名向供應(yīng)鏈融資、網(wǎng)絡(luò)微貸、P2P、眾籌等其他業(yè)務(wù)形態(tài)中推廣;積極選用國產(chǎn)廠商自主可控的網(wǎng)絡(luò)信息系統(tǒng);部署網(wǎng)絡(luò)安全防護(hù)產(chǎn)品，如部署防火墻保障網(wǎng)絡(luò)邊界訪問安全，部署防病毒系統(tǒng)實(shí)時(shí)進(jìn)行病毒檢測(cè)與防護(hù);部署漏洞掃描系統(tǒng)，主動(dòng)進(jìn)行威脅、脆弱性分析與安全檢測(cè);部署入侵檢測(cè)系統(tǒng)，攔截黑客攻擊，加強(qiáng)防入侵能力，加固邊界安全等。

4.增強(qiáng)信息安全風(fēng)險(xiǎn)防范意識(shí)，提升風(fēng)險(xiǎn)事件應(yīng)急處置能力。始終將信息安全工作放在首位，進(jìn)一步完善風(fēng)險(xiǎn)管理控制體系，定期對(duì)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，加強(qiáng)防御手段。制定和不斷完善應(yīng)急預(yù)案，提高金融網(wǎng)絡(luò)系統(tǒng)應(yīng)對(duì)突發(fā)事件的能力，有效、快速、合理地應(yīng)對(duì)突發(fā)事件，最大程度地減少信息安全事件造成的損失和影響，保障金融業(yè)務(wù)的連續(xù)運(yùn)行。

參考文獻(xiàn)：

[1] 姚文平.互聯(lián)網(wǎng)金融：即將到來的新金融時(shí)代[M].中信出版社，2014

[2] 周小娟.我國互聯(lián)網(wǎng)金融面臨的風(fēng)險(xiǎn)及應(yīng)對(duì)措施[J].時(shí)代經(jīng)貿(mào)，2013，22（1）：111-113

[3] 陳子永.互聯(lián)網(wǎng)金融風(fēng)險(xiǎn)與防范[J].商，2013，21（1）：166-168