信息系統(tǒng)安全運(yùn)維服務(wù)精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的信息系統(tǒng)安全運(yùn)維服務(wù)主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：信息系統(tǒng)安全運(yùn)維服務(wù)范文

作為政府部門的對(duì)外服務(wù)窗口，政府網(wǎng)站隨著電子政務(wù)的不斷發(fā)展，正在扮演著愈來(lái)愈重要的角色。同時(shí)，網(wǎng)站作為組織信息系統(tǒng)的一種邊界，與生俱來(lái)就是外部攻擊的首選，其面臨的安全形勢(shì)在智慧城市建設(shè)階段更為復(fù)雜嚴(yán)峻。2011年底，國(guó)務(wù)院辦公廳和工信部分別了《關(guān)于進(jìn)一步加強(qiáng)政府網(wǎng)站管理工作的通知》（國(guó)辦函［2011］40號(hào)）和《委托開(kāi)展政府網(wǎng)站安全管理試點(diǎn)工作的通知》（工信廳協(xié)函［2011］416號(hào)），要求提高政府網(wǎng)站的安全保障水平。據(jù)此，上海三零衛(wèi)士信息安全有限公司在上海市網(wǎng)安辦的指導(dǎo)下，在前期參與信安標(biāo)委《政府網(wǎng)站系統(tǒng)安全指南》國(guó)家標(biāo)準(zhǔn)和長(zhǎng)期從事信息安全服務(wù)的基礎(chǔ)上，提出了“三位一體”的政府網(wǎng)站安全保障體系。

所謂“三位一體”，就是從“技術(shù)”、“管理”和“運(yùn)維”三個(gè)方面來(lái)構(gòu)建完整的政府網(wǎng)站安全保障體系，主要遵循信息安全“技術(shù)與管理并重”、“建設(shè)與運(yùn)維并重”兩大原則。從現(xiàn)有的國(guó)家《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》來(lái)看，也是分為技術(shù)和管理兩大類，技術(shù)類按信息系統(tǒng)的層次結(jié)構(gòu)再細(xì)分，管理類則強(qiáng)調(diào)管理體系、建設(shè)管理和運(yùn)維管理。因此，一個(gè)有效的信息安全保障體系不是安全產(chǎn)品的堆砌，而是需要建立完善的安全管理體系，并通過(guò)專業(yè)的安全服務(wù)來(lái)實(shí)現(xiàn)的。就目前政府網(wǎng)站的安全保障而言，管理體系主要應(yīng)由政府網(wǎng)站主管部門負(fù)責(zé)，安全服務(wù)可以采用可控可信的服務(wù)外包的方式實(shí)現(xiàn)。

相關(guān)信息安全標(biāo)準(zhǔn)

目前，與電子政務(wù)相關(guān)的信息安全政策要求，主要有國(guó)家信息安全等級(jí)保護(hù)制度（2007年之后普遍開(kāi)始推行）和工信部政府信息系統(tǒng)安全檢查（2009年起每年一次）兩項(xiàng)：前者是針對(duì)所有計(jì)算機(jī)和信息系統(tǒng)均需要實(shí)施的，主要參照《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》和《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等國(guó)家標(biāo)準(zhǔn)，通過(guò)自查、測(cè)評(píng)和整改的方式落實(shí)；后者是針對(duì)政府部門的信息系統(tǒng)進(jìn)行年度整體檢查，主要參照《政府信息系統(tǒng)安全檢查指南》，通過(guò)自查和監(jiān)督的方式落實(shí)。具體來(lái)看，等級(jí)保護(hù)的相關(guān)標(biāo)準(zhǔn)是面向網(wǎng)絡(luò)信息系統(tǒng)的通用技術(shù)架構(gòu)（物理環(huán)境網(wǎng)絡(luò)主機(jī)應(yīng)用數(shù)據(jù)）來(lái)設(shè)置的，并沒(méi)有體現(xiàn)網(wǎng)站類信息系統(tǒng)特有的體系架構(gòu)（如IIS、Apache等Web應(yīng)用服務(wù)，網(wǎng)站腳本源代碼等），在管理要求上也缺乏對(duì)網(wǎng)站運(yùn)行中普遍的托管、外包和內(nèi)容等控制條款，而政府信息系統(tǒng)安全檢查中與網(wǎng)站直接相關(guān)的檢查項(xiàng)更是寥寥幾筆。

在美國(guó)NIST（國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所）的SP800系列（關(guān)于計(jì)算機(jī)安全的特殊出版物）中，有一份專門針對(duì)公共服務(wù)網(wǎng)站的安全指南：SP800-44（Guidelines on Securing Public Web Servers）。該指南從網(wǎng)站服務(wù)器的規(guī)劃和管理、網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全、操作系統(tǒng)安全、Web服務(wù)安全、Web內(nèi)容安全、認(rèn)證和加密、運(yùn)維管理等方面提出了安全要求，并提供了一套非常翔實(shí)實(shí)用的檢查表，已作為聯(lián)邦政府部門和機(jī)構(gòu)實(shí)施網(wǎng)站安全保障的推薦標(biāo)準(zhǔn)。

由此可見(jiàn)，目前國(guó)內(nèi)并沒(méi)有完全針對(duì)政府網(wǎng)站這類電子政務(wù)信息系統(tǒng)的信息安全標(biāo)準(zhǔn)，而國(guó)外的SP800-44所提供的詳細(xì)的安全規(guī)范，還需要和等級(jí)保護(hù)制度、電子政務(wù)管理辦法等國(guó)情相結(jié)合，這也是信安標(biāo)委進(jìn)行相關(guān)標(biāo)準(zhǔn)研究和工信部開(kāi)展相關(guān)試點(diǎn)的原因。目的是希望能研究制定適合我國(guó)各類各級(jí)政府網(wǎng)站的信息安全保障標(biāo)準(zhǔn)，從而切實(shí)指導(dǎo)政府網(wǎng)站的建設(shè)、運(yùn)行和管理，提高政府網(wǎng)站防篡改、防病毒、防攻擊、防癱瘓、防泄密能力。

為政府網(wǎng)站安裝保障之門

“三位一體”的政府網(wǎng)站安全保障體系是基于《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》國(guó)家標(biāo)準(zhǔn)，并結(jié)合SP800-44和國(guó)內(nèi)信息安全服務(wù)企業(yè)的最佳實(shí)踐提出來(lái)的，由技術(shù)防護(hù)、管理機(jī)制和運(yùn)行維護(hù)三大部分組成，共計(jì)16個(gè)控制點(diǎn)，下圖給出了本體系結(jié)構(gòu)以及與等級(jí)保護(hù)、SP800-44的對(duì)應(yīng)關(guān)系。事實(shí)上，該體系不僅適用于政府網(wǎng)站，對(duì)于其他服務(wù)性和商業(yè)性網(wǎng)站同樣可以參照使用。

安全技術(shù)防護(hù)

技術(shù)防護(hù)部分主要基于等級(jí)保護(hù)的系統(tǒng)分層概念和IATF（信息保障技術(shù)框架）縱深防御理念，給出了網(wǎng)站基本架構(gòu)，如下圖所示。為保證網(wǎng)站安全各相關(guān)方語(yǔ)義上的一致，這里的網(wǎng)站基本架構(gòu)統(tǒng)一將網(wǎng)站系統(tǒng)分為網(wǎng)站基礎(chǔ)設(shè)施、網(wǎng)站應(yīng)用系統(tǒng)和網(wǎng)站數(shù)據(jù)三大層次，事實(shí)上不同層次的安全保障手段也各不相同。

基于這一基本架構(gòu)，就要求在各層面均滿足安全保障的基本要求。首先，應(yīng)在網(wǎng)絡(luò)邊界部署防火墻、入侵防護(hù)和檢測(cè)等安全網(wǎng)關(guān)產(chǎn)品；其次，應(yīng)將不同的服務(wù)器部署在不同的安全區(qū)域，并采用合適的隔離措施，保證服務(wù)器操作系統(tǒng)和網(wǎng)站系統(tǒng)平臺(tái)滿足最小安裝原則；第三，針對(duì)網(wǎng)絡(luò)及安全設(shè)備、服務(wù)器操作系統(tǒng)和網(wǎng)站系統(tǒng)平臺(tái)、網(wǎng)站管理平臺(tái)等，均需要建立身份鑒別、訪問(wèn)控制和安全審計(jì)三大安全技術(shù)措施；最后，針對(duì)網(wǎng)站數(shù)據(jù)庫(kù)文件、系統(tǒng)日志文件、設(shè)備配置文件和安全審計(jì)記錄等數(shù)據(jù)，應(yīng)采取有區(qū)別且合適的備份策略，確保數(shù)據(jù)可用性和業(yè)務(wù)連續(xù)性。

除了上述基本要求，針對(duì)網(wǎng)站系統(tǒng)特定的技術(shù)架構(gòu)，還需要根據(jù)實(shí)際情況，部署網(wǎng)頁(yè)防篡改、防拒絕服務(wù)攻擊、Web應(yīng)用防火墻、遠(yuǎn)程加密維護(hù)、管理終端IP地址限制等安全設(shè)備或安全機(jī)制，并充分考慮網(wǎng)站帶寬、鏈路冗余、訪問(wèn)流量和連接數(shù)等可用性指標(biāo)。

安全管理機(jī)制

等級(jí)保護(hù)中對(duì)信息安全管理的要求，基本是基于ISO27K的要求，并結(jié)合國(guó)情增加了建設(shè)安全管理和運(yùn)維安全管理的內(nèi)容，重點(diǎn)是建立完整的信息安全管理體系，落實(shí)各項(xiàng)信息安全管理制度。本體系在此基礎(chǔ)上針對(duì)政府網(wǎng)站管理的實(shí)際情況：在管理責(zé)任方面，分別明確了安全責(zé)任部門和內(nèi)容審核部門；在管理制度方面，強(qiáng)調(diào)了對(duì)網(wǎng)站建設(shè)、運(yùn)維、內(nèi)容保障、應(yīng)急預(yù)案和服務(wù)外包（含托管）的要求。上述管理機(jī)制和管理制度，將通過(guò)各部門自身的培訓(xùn)考核、年度信息安全檢查、定期等保測(cè)評(píng)和整改等方式予以落實(shí)。本次試點(diǎn)工作中，上海市還提出了政府網(wǎng)站開(kāi)辦備案和實(shí)名認(rèn)證的兩項(xiàng)管理機(jī)制，目的在于統(tǒng)一管理和避免政府網(wǎng)站仿冒釣魚。

安全運(yùn)行維護(hù)

運(yùn)行維護(hù)是任何信息系統(tǒng)生命周期中耗時(shí)最長(zhǎng)、投入最大的階段，但受制于以往信息化工作“重建設(shè)、重產(chǎn)品”指導(dǎo)思想的慣性，信息系統(tǒng)擁有者對(duì)長(zhǎng)期運(yùn)行維護(hù)及專業(yè)人力投入的理解還不深刻，等級(jí)保護(hù)和政府信息系統(tǒng)安全檢查中也沒(méi)有專門涉及安全運(yùn)維的要求。

因此，本體系特別增加了這一大類的保障要求。一方面，在網(wǎng)站的日常運(yùn)維中，要求通過(guò)“準(zhǔn)實(shí)時(shí)”的監(jiān)控平臺(tái)監(jiān)控網(wǎng)站的安全性和可用性，要求通過(guò)定期的本地安全檢查確保網(wǎng)站各層面的配置安全，通過(guò)定期的網(wǎng)站安全掃描及時(shí)發(fā)現(xiàn)并修復(fù)安全漏洞，并將網(wǎng)站源代碼掃描和滲透性測(cè)試也列為運(yùn)維工作的“規(guī)定項(xiàng)目”。另一方面，在網(wǎng)站的應(yīng)急管理中，要求針對(duì)網(wǎng)站癱瘓、網(wǎng)頁(yè)篡改或掛馬、DDOS攻擊、域名劫持、信息泄漏等重大事件建立應(yīng)急預(yù)案，明確事件級(jí)別和啟動(dòng)條件、應(yīng)急處置流程和系統(tǒng)恢復(fù)時(shí)限，并定期進(jìn)行演練和修訂。

值得注意的是，本體系在關(guān)注網(wǎng)絡(luò)信息系統(tǒng)安全的同時(shí)，還特別關(guān)注了服務(wù)外包的安全。針對(duì)政府網(wǎng)站設(shè)計(jì)、開(kāi)發(fā)、部署和運(yùn)維中普遍的信息技術(shù)服務(wù)外包（可以理解為ITO），重點(diǎn)應(yīng)在服務(wù)合同中明確安全責(zé)任、服務(wù)內(nèi)容、服務(wù)方式和服務(wù)級(jí)別，并要求網(wǎng)站安全責(zé)任部門對(duì)外包方的資質(zhì)、人員、流程、工具和文檔等服務(wù)要素進(jìn)行安全管控。針對(duì)政府網(wǎng)站內(nèi)容編輯和的服務(wù)外包（可以理解為BPO），也要求網(wǎng)站內(nèi)容審核部門通過(guò)加強(qiáng)審核進(jìn)行安全管控。

讓信息安全“總體可控”

第2篇：信息系統(tǒng)安全運(yùn)維服務(wù)范文

（1.國(guó)網(wǎng)河北省電力公司電力科學(xué)研究院，河北 石家莊 050021；

2.國(guó)網(wǎng)天津電力公司電力科學(xué)研究院，中國(guó) 天津 300384）

【摘要】本文通過(guò)研究信息安全基線技術(shù)，提出在信息安全基線理論基礎(chǔ)上建立安全配置自動(dòng)化核查的方法和步驟，制定了統(tǒng)一的安全配置規(guī)范，形成了一套針對(duì)企業(yè)快速、有效的信息系統(tǒng)安全配置核查系統(tǒng)，解決了困擾信息運(yùn)維人員的難題。

關(guān)鍵詞 安全；基線；配置；核查

0　引言

近年來(lái)，隨著電力行業(yè)飛速發(fā)展，以網(wǎng)絡(luò)、計(jì)算機(jī)自動(dòng)控制技術(shù)為代表的信息技術(shù)已滲透到電力生產(chǎn)、經(jīng)營(yíng)的各個(gè)方面。隨著網(wǎng)絡(luò)規(guī)模日益擴(kuò)大，重要應(yīng)用和服務(wù)器的數(shù)量及種類日益增多，傳統(tǒng)的被動(dòng)式安全防御模式已經(jīng)很難適應(yīng)當(dāng)前信息化發(fā)展水平。統(tǒng)計(jì)表明，安全事件中19.4%的攻擊是來(lái)自于利用系統(tǒng)配置錯(cuò)誤，15.3%是利用已知的系統(tǒng)漏洞。事實(shí)證明，絕大多數(shù)的網(wǎng)絡(luò)攻擊事件都是利用廠商已經(jīng)公布而用戶未及時(shí)修補(bǔ)的漏洞和產(chǎn)品不安全的配置[1]。

國(guó)網(wǎng)河北電科院采用專業(yè)的信息系統(tǒng)安全漏洞掃描系統(tǒng)，形成了初步的漏洞管理解決方案。但是針對(duì)信息系統(tǒng)配置合規(guī)性方面，還沒(méi)有形成統(tǒng)一的標(biāo)準(zhǔn)來(lái)規(guī)范運(yùn)維人員和督查人員的操作行為，無(wú)法滿足企業(yè)信息系統(tǒng)上線安全檢查、第三方設(shè)備入網(wǎng)安全檢查、日常安全檢查的業(yè)務(wù)需求。面對(duì)不斷增加的信息設(shè)備，如何完成系統(tǒng)配置合規(guī)性檢查和修復(fù)，成為一個(gè)急需解決的問(wèn)題。

1　信息安全基線技術(shù)

1.1　信息安全基線定義

顧名思義，“信息安全基線”（以下簡(jiǎn)稱安全基線）概念借用了傳統(tǒng)的“基線”概念。字典上對(duì)“基線”的解釋是：一種在測(cè)量、計(jì)算或定位中的基本參照。如海岸基線，是水位到達(dá)的水位線[2]。安全基線是一個(gè)信息技術(shù)環(huán)境下的一組正式的最小安全需求規(guī)格集。

1.2　安全木桶理論

“木桶理論”其核心內(nèi)容為：一只木桶盛水的多少，并不取決于桶壁上最高的那塊木塊，而恰恰取決于桶壁上最短的那塊。在信息安全建設(shè)中， “短板”的長(zhǎng)度決定了組織整體安全狀況，而安全基線正是決定組織整體信息安全程度的那個(gè)“木桶中的最短板”。類比于“木桶理論”，可以認(rèn)為安全基線就是安全木桶的最短板，或者說(shuō)，是最基本的信息安全要求。

1.3　國(guó)內(nèi)安全基線理論的研究

1999年，公安部組織起草了國(guó)家強(qiáng)制性標(biāo)準(zhǔn)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》，該標(biāo)準(zhǔn)將計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力劃分為用戶自主保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)、訪問(wèn)驗(yàn)證保護(hù)級(jí)5個(gè)等級(jí)[2]。該標(biāo)準(zhǔn)的主要目的：一是為了計(jì)算機(jī)信息系統(tǒng)安全法規(guī)的制定和執(zhí)法部門的監(jiān)督檢查提供依據(jù)；二是為安全產(chǎn)品的研制提供技術(shù)支持；三是為安全系統(tǒng)的建設(shè)和管理提供技術(shù)指導(dǎo)。這個(gè)標(biāo)準(zhǔn)也成為國(guó)內(nèi)信息安全建設(shè)的最基本基線。

1.4　國(guó)外安全基線理論的研究

美國(guó)FISMA（The Federal Information Security Management Act，聯(lián)邦信息安全管理法案）定義了一個(gè)廣泛的框架來(lái)保護(hù)政府信息、操作和財(cái)產(chǎn)來(lái)免于自然以及人為的威脅。FISMA在2002年成為美國(guó)電子政府法律的一部分，把責(zé)任分配到各種各樣的機(jī)構(gòu)上來(lái)確保聯(lián)邦政府的數(shù)據(jù)安全。其提出了一個(gè)包含八個(gè)步驟的信息安全生命周期模型，這個(gè)模型的執(zhí)行過(guò)程涉及面非常廣泛且全面，但實(shí)施、落地的難度也非常大[3]。經(jīng)過(guò)一系列的研究和改進(jìn)，延伸出SCAP協(xié)議（Security Content Automation Protocol），SCAP協(xié)議定義了一套安全基線庫(kù)，得以將FISMA的信息安全生命周期模型進(jìn)行落地。SCAP的自動(dòng)化安全基線理念最重要貢獻(xiàn)簡(jiǎn)單總結(jié)在于：第一，制定安全基線；第二，通過(guò)工具化和自動(dòng)化的方式落實(shí)。

2　系統(tǒng)目標(biāo)

通過(guò)研究安全基線理論，開(kāi)發(fā)建立安全基線配置規(guī)范和核查系統(tǒng)，實(shí)現(xiàn)安全基線配置規(guī)范化管理，能夠自動(dòng)識(shí)別和掃描信息網(wǎng)絡(luò)中各類設(shè)備和應(yīng)用系統(tǒng)的配置合規(guī)性，在此基礎(chǔ)之上對(duì)系統(tǒng)進(jìn)行綜合評(píng)估，得出安全整改加固建議，提高業(yè)務(wù)系統(tǒng)的防護(hù)能力，提高信息系統(tǒng)的安全性和可用性。

3　系統(tǒng)設(shè)計(jì)

國(guó)網(wǎng)河北電科院信息系統(tǒng)安全配置核查系統(tǒng)建設(shè)充分吸收了安全基線技術(shù)理論經(jīng)驗(yàn)，嚴(yán)格遵循PDCA管理理念，分三個(gè)階段進(jìn)行系統(tǒng)開(kāi)發(fā)和實(shí)踐：

1）安全基線配置規(guī)范的建立：根據(jù)國(guó)家等級(jí)保護(hù)和國(guó)家電網(wǎng)公司信息安全管理要求以及業(yè)務(wù)系統(tǒng)防護(hù)需要，建立了符合企業(yè)實(shí)際需求的安全基線配置規(guī)范。規(guī)范包括AIX系統(tǒng)、Windows系統(tǒng)、Juniper防火墻、H3C網(wǎng)絡(luò)設(shè)備、Oracle數(shù)據(jù)庫(kù)、WebLogic中間件等20多種主流系統(tǒng)的安全配置檢查點(diǎn)、檢查標(biāo)準(zhǔn)和整改建議，形成了Checklist表格。

2）自動(dòng)化檢查工具的開(kāi)發(fā)：在安全基線配置規(guī)范的基礎(chǔ)上，開(kāi)展了信息系統(tǒng)安全配置核查系統(tǒng)的開(kāi)發(fā)，將規(guī)范中定義的檢查點(diǎn)和檢查方法以系統(tǒng)的形式加以體現(xiàn)，使得信息系統(tǒng)安全基線配置合規(guī)性檢查從手工檢查演進(jìn)為自動(dòng)化檢查的方式，可以同時(shí)進(jìn)行多個(gè)設(shè)備和系統(tǒng)的配置檢查。

3）實(shí)踐和完善：在系統(tǒng)使用過(guò)程中，不斷總結(jié)使用經(jīng)驗(yàn)，發(fā)現(xiàn)系統(tǒng)存在的不足，進(jìn)行系統(tǒng)完善。同時(shí)緊跟國(guó)家和國(guó)家電網(wǎng)公司新的安全管理要求，完善基線配置規(guī)范和核查系統(tǒng)。

4　系統(tǒng)功能框架

在研究和業(yè)務(wù)安全相結(jié)合的基準(zhǔn)安全標(biāo)準(zhǔn)的基礎(chǔ)上，參考國(guó)內(nèi)外的標(biāo)準(zhǔn)、規(guī)范，充分考慮了電網(wǎng)行業(yè)的現(xiàn)狀和最佳實(shí)踐，繼承和吸收了國(guó)家等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估的經(jīng)驗(yàn)成果，形成了一套基于業(yè)務(wù)系統(tǒng)的基線安全模型[4]，參見(jiàn)圖1：

基線安全模型以業(yè)務(wù)系統(tǒng)為核心，分為業(yè)務(wù)層、功能架構(gòu)層、系統(tǒng)實(shí)現(xiàn)層等3層架構(gòu)：

1）第一層是業(yè)務(wù)層，這個(gè)層面中主要是根據(jù)不同業(yè)務(wù)系統(tǒng)的特性，定義不同安全防護(hù)的要求，是一個(gè)比較宏觀的要求。

2）第二層是功能架構(gòu)層，將業(yè)務(wù)系統(tǒng)分解為相對(duì)應(yīng)的應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等不同的設(shè)備/系統(tǒng)模塊，這些模塊針對(duì)業(yè)務(wù)層定義的安全防護(hù)要求細(xì)化為此層不同模塊應(yīng)該具備的要求。

3）第三層是系統(tǒng)實(shí)現(xiàn)層，將第二層的模塊根據(jù)業(yè)務(wù)系統(tǒng)的特性進(jìn)一步分解，將操作系統(tǒng)分解為Windows、Solaris等系統(tǒng)模塊，網(wǎng)絡(luò)設(shè)備分解為華為路由器、Cisco路由器等系統(tǒng)模塊。這些模塊把第二層的安全防護(hù)要求細(xì)化到可執(zhí)行和實(shí)現(xiàn)的要求，稱為Windows安全基線，華為路由器安全基線等。

5　系統(tǒng)主要功能

開(kāi)發(fā)的信息系統(tǒng)安全配置核查系統(tǒng)基于WEB管理方式，用戶使用瀏覽器通過(guò)SSL加密通道和系統(tǒng)進(jìn)行信息交互，不僅方便用戶使用，安全性也得到提高。系統(tǒng)采用模塊化設(shè)計(jì)思想，將整個(gè)系統(tǒng)分為基礎(chǔ)平臺(tái)層、系統(tǒng)服務(wù)層、系統(tǒng)核心層、系統(tǒng)接入層。

5.1　基礎(chǔ)平臺(tái)層功能

基礎(chǔ)平臺(tái)層包含專用硬件平臺(tái)和基礎(chǔ)軟件平臺(tái)。專用硬件平臺(tái)采用經(jīng)過(guò)優(yōu)化的專用安全系統(tǒng)平臺(tái)，具有高安全性和穩(wěn)定性?；A(chǔ)軟件平臺(tái)采用定制的操作系統(tǒng)、硬盤加密解密、應(yīng)用程序加密解密、輸入輸出加密解密、內(nèi)置數(shù)據(jù)庫(kù)、Web服務(wù)、程序運(yùn)行環(huán)境等。

5.2　系統(tǒng)服務(wù)層功能

系統(tǒng)服務(wù)層主要包含數(shù)據(jù)處理引擎和系統(tǒng)服務(wù)引擎。數(shù)據(jù)處理引擎是系統(tǒng)內(nèi)部的數(shù)據(jù)接口，提供了數(shù)據(jù)庫(kù)訪問(wèn)、數(shù)據(jù)緩存、數(shù)據(jù)同步等功能。系統(tǒng)服務(wù)引擎是系統(tǒng)內(nèi)部的功能接口，提供了系統(tǒng)還原點(diǎn)備份與恢復(fù)、任務(wù)數(shù)據(jù)導(dǎo)入導(dǎo)出等功能。

5.3　系統(tǒng)核心層功能

系統(tǒng)核心層是產(chǎn)品的核心，包含了基線配置常用的功能模板，具有較強(qiáng)的可擴(kuò)展功能，主要包括調(diào)度引擎、狀態(tài)引擎、報(bào)表引擎等。調(diào)度引擎是掃描工作的協(xié)調(diào)中心，根據(jù)用戶選擇的立即執(zhí)行的任務(wù)、定時(shí)執(zhí)行的任務(wù)、周期執(zhí)行的任務(wù)等。狀態(tài)引擎是系統(tǒng)狀態(tài)的協(xié)調(diào)中心，包含系統(tǒng)資源狀態(tài)、任務(wù)執(zhí)行進(jìn)度、升級(jí)進(jìn)度信息等。報(bào)表引擎主要用于處理報(bào)表展示，能夠提供HTML、WORD、EXCEL、PDF等多種報(bào)表格式。

5.4　系統(tǒng)接入層功能

系統(tǒng)接入層主要用于與用戶的信息交流，包含了用戶訪問(wèn)的Web頁(yè)面、系統(tǒng)訪問(wèn)控制臺(tái)、數(shù)據(jù)接口等。

6　結(jié)束語(yǔ)

通過(guò)安全基線技術(shù)研究與應(yīng)用建設(shè)，很好地解決了國(guó)網(wǎng)河北電科院信息在信息系統(tǒng)安全配置方面的薄弱環(huán)節(jié)，系統(tǒng)投入使用后，效果明顯，查找出了應(yīng)用系統(tǒng)配置存在的問(wèn)題，并參考信息系統(tǒng)安全配置核查系統(tǒng)提供的整改建議在被惡意用戶攻擊造成損失之前主動(dòng)發(fā)現(xiàn)應(yīng)用系統(tǒng)的漏洞并完成修補(bǔ)；形成了安全基線配置規(guī)范，統(tǒng)一了運(yùn)維人員操作標(biāo)準(zhǔn)，提升了運(yùn)維人員工作效率和工作水平，從而提高了信息系統(tǒng)的整體的安全性。安全配置核查系統(tǒng)的應(yīng)用是一個(gè)逐步完善提升的過(guò)程，需要依據(jù)業(yè)務(wù)系統(tǒng)安全防護(hù)需求的變化不斷完善配置核查標(biāo)準(zhǔn)，使之適應(yīng)不斷變化的信息安全形勢(shì)。

參考文獻(xiàn)

［1］王羅惠.基于Rails的軟件安全漏洞分析管理工具的設(shè)計(jì)與實(shí)現(xiàn)[D].西安:西安電子科技大學(xué),2008:7.

［2］桑梓勤.電信運(yùn)營(yíng)企業(yè)的安全基線與等級(jí)保護(hù)[J].電信網(wǎng)技術(shù),2007,9:5-6.

［3］桂永宏.業(yè)務(wù)系統(tǒng)安全基線的研究及應(yīng)用[J].計(jì)算機(jī)安全,2011,10:23.

第3篇：信息系統(tǒng)安全運(yùn)維服務(wù)范文

為了全面貫徹落實(shí)信息安全等級(jí)保護(hù)制度，公安部會(huì)同有關(guān)部門在全國(guó)范圍內(nèi)組織開(kāi)展了信息系統(tǒng)安全等級(jí)保護(hù)工作。該項(xiàng)工作主要分為定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)和監(jiān)督檢查五個(gè)環(huán)節(jié)。其中安全建設(shè)整改工作是信息安全等級(jí)保護(hù)工作的重要組成部分。主要內(nèi)容包括制定信息系統(tǒng)安全建設(shè)整改工作規(guī)劃并部署；信息系統(tǒng)安全現(xiàn)狀分析；確定安全策略，制定安全建設(shè)整改方案；開(kāi)展信息系統(tǒng)安全管理建設(shè)整改工作；開(kāi)展信息系統(tǒng)安全技術(shù)建設(shè)整改工作；開(kāi)展安全自查和等級(jí)測(cè)評(píng)。公安部于2009年了《關(guān)于開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(jiàn)》（公信安[2009]1429號(hào)），強(qiáng)調(diào)依據(jù)信息安全等級(jí)保護(hù)有關(guān)政策和標(biāo)準(zhǔn)，開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作。通過(guò)組織開(kāi)展信息安全等級(jí)保護(hù)安全管理制度建設(shè)、技術(shù)措施建設(shè)和等級(jí)測(cè)評(píng)，落實(shí)等級(jí)保護(hù)制度的各項(xiàng)要求，使信息系統(tǒng)安全管理水平明顯提高，安全防范能力明顯增強(qiáng)，安全隱患和安全事故明顯減少。

本文主要依據(jù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求，結(jié)合信息安全等級(jí)保護(hù)安全技術(shù)建設(shè)整改工作內(nèi)容，提出了基于“安全建設(shè)整改”的服務(wù)器安全加固方案設(shè)計(jì)、安全加固流程和安全加固方法等?；凇鞍踩ㄔO(shè)整改”的服務(wù)器安全加固工作貫穿了安全技術(shù)建設(shè)整改工作的多個(gè)方面，主要內(nèi)容涉及物理安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)等。下面重點(diǎn)對(duì)基于“安全建設(shè)整改”的服務(wù)器安全加固可行性分析、方案設(shè)計(jì)和加固內(nèi)容進(jìn)行詳細(xì)的敘述。

服務(wù)器安全加固以實(shí)際需求為牽引

首先服務(wù)器安全加固是以《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》為依據(jù)，以信息系統(tǒng)為最小加固單位，對(duì)信息系統(tǒng)范圍內(nèi)的服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件以及虛擬機(jī)集群或小機(jī)分區(qū)，以技術(shù)手段通過(guò)更改安全配置、加強(qiáng)審計(jì)備份、升級(jí)補(bǔ)丁等直接操作方式，從而達(dá)到提升服務(wù)器自身的安全防護(hù)能力的目標(biāo)。

其次，通過(guò)對(duì)等保要求類、等保控制點(diǎn)和等保要求項(xiàng)的仔細(xì)分析、梳理，確定信息系統(tǒng)服務(wù)器加固項(xiàng)目中能夠執(zhí)行的等保要求項(xiàng)，并將這些加固項(xiàng)從技術(shù)實(shí)現(xiàn)角度分為可以實(shí)現(xiàn)的加固項(xiàng)，部分可加固項(xiàng)和安全建議項(xiàng)。

在此基礎(chǔ)上，進(jìn)一步結(jié)合實(shí)際安全需求，分析現(xiàn)有安全技術(shù)和安全策略要求，從加固實(shí)施的角度，引入了“等保要求加固子項(xiàng)（簡(jiǎn)稱加固子項(xiàng)）”的概念。所謂“加固子項(xiàng)”是對(duì) “等保要求項(xiàng)”的進(jìn)一步細(xì)分，將每一個(gè)檢查動(dòng)作和加固動(dòng)作相對(duì)應(yīng)，達(dá)到每一個(gè)“加固子項(xiàng)”可以確定為一個(gè)獨(dú)立的檢查動(dòng)作，并且有一個(gè)對(duì)應(yīng)的加固動(dòng)作，按照等?；疽?，實(shí)現(xiàn)每一個(gè)加固動(dòng)作。

表1中列舉了適合于進(jìn)行直接加固的操作項(xiàng)，主要包括了物理安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)四個(gè)方面。

服務(wù)器安全加固方案要構(gòu)建閉環(huán)系統(tǒng)

基于“信息安全等級(jí)保護(hù)安全建設(shè)整改”的服務(wù)器安全加固方案設(shè)計(jì)是服務(wù)器安全加固實(shí)施過(guò)程中的關(guān)鍵環(huán)節(jié)，是做好服務(wù)器安全加固工作的基礎(chǔ)，其中的內(nèi)容主要包括安全加固工作概述、安全加固工作的流程與方法、安全加固工作的準(zhǔn)備、安全加固工作實(shí)施、安全加固工作總結(jié)等方面。

服務(wù)器安全加固工作概述主要將加固的目的和意義進(jìn)行簡(jiǎn)要的敘述，講明服務(wù)器安全加固需要遵循的原則，對(duì)服務(wù)器安全加固的依據(jù)進(jìn)行說(shuō)明，并進(jìn)一步明確服務(wù)器加固的工作范圍、工作組織和工作安排等方面的內(nèi)容。通過(guò)工作概述的描述，對(duì)服務(wù)器安全加固的工作概況有一個(gè)全面的了解。

通過(guò)對(duì)服務(wù)器安全加固的流程與方法描述，使得安全加固主線和脈絡(luò)有較為清晰。其中服務(wù)器安全加固的流程如圖1所示，主要包括加固準(zhǔn)備、加固實(shí)施和加固總結(jié)三個(gè)方面的內(nèi)容。服務(wù)器安全加固的方法主要采用文檔清分、人員訪談、信息采集、論證確認(rèn)、現(xiàn)場(chǎng)加固和驗(yàn)證審核等方式進(jìn)行。

加固準(zhǔn)備工作是以《信息安全等級(jí)保護(hù)基本要求》為指導(dǎo)形成服務(wù)器安全加固總體方案，依據(jù)總體方案對(duì)基本要求項(xiàng)進(jìn)行梳理、拆分和論證確認(rèn)需要加固的項(xiàng)目形成服務(wù)器加固可行性分析報(bào)告。進(jìn)一步依據(jù)可行性分析報(bào)告編制服務(wù)器安全加固實(shí)施方案，在此基礎(chǔ)上依據(jù)基本要求編寫服務(wù)器安全加固操作表單和腳本，并在測(cè)試環(huán)境中對(duì)加固表單進(jìn)行測(cè)試。通過(guò)對(duì)被加固單位信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)的結(jié)果分析與整理，梳理出服務(wù)器的安全加固項(xiàng)，初步確認(rèn)加固范圍，經(jīng)過(guò)測(cè)試確認(rèn)可加固項(xiàng)，進(jìn)一步形成被加固單位服務(wù)器加固實(shí)施方案，對(duì)加固操作表單和腳本進(jìn)行修改，制定被加固單位現(xiàn)場(chǎng)實(shí)施計(jì)劃。

加固實(shí)施工作主要包括加固范圍現(xiàn)場(chǎng)確認(rèn)、加固方法和內(nèi)容的現(xiàn)場(chǎng)確認(rèn)、加固現(xiàn)場(chǎng)實(shí)施、加固過(guò)程中的異常處置、加固結(jié)果現(xiàn)場(chǎng)確認(rèn)、加固后服務(wù)器的安全監(jiān)控、加固后服務(wù)器的試運(yùn)行報(bào)告，在安全監(jiān)控期結(jié)束后應(yīng)對(duì)加固的效果進(jìn)行驗(yàn)證分析。

加固總結(jié)工作主要是對(duì)加固的結(jié)果進(jìn)行驗(yàn)收和確認(rèn)，建立較為成熟的加固方法和流程，并對(duì)加固工作進(jìn)行總結(jié)。

服務(wù)器安全加固的流程把控

通過(guò)上述對(duì)服務(wù)器安全加固的可行性分析以及對(duì)服務(wù)器安全加固的方案設(shè)計(jì)的描述，已對(duì)服務(wù)器安全加固的流程和方式有了初步了解?；凇鞍踩ㄔO(shè)整改”的服務(wù)器安全加固內(nèi)容應(yīng)與安全加固的流程相一致，具體分為三個(gè)階段，即安全加固準(zhǔn)備階段工作內(nèi)容、安全加固實(shí)施階段的工作內(nèi)容和安全加固總結(jié)階段的工作內(nèi)容。下面對(duì)服務(wù)器安全加固在三個(gè)階段的具體內(nèi)容進(jìn)行詳細(xì)敘述。

1.安全加固準(zhǔn)備

成立加固實(shí)施團(tuán)隊(duì) 在完成服務(wù)器安全加固實(shí)施工作時(shí)，實(shí)施團(tuán)隊(duì)?wèi)?yīng)負(fù)責(zé)完成服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)和中間件等的加固任務(wù)，同時(shí)還需要信息系統(tǒng)開(kāi)發(fā)、運(yùn)維人員的配合。需要建立一支由加固實(shí)施人員、信息系統(tǒng)開(kāi)發(fā)人員和信息系統(tǒng)運(yùn)維人員共同組成的加固團(tuán)隊(duì)。

加固對(duì)象清分 依據(jù)等級(jí)保護(hù)測(cè)評(píng)工作確認(rèn)的范圍，確定實(shí)施加固的信息系統(tǒng)，并進(jìn)一步提取出需要加固信息系統(tǒng)中的服務(wù)器信息，服務(wù)器信息主要包括操作系統(tǒng)類型及版本號(hào)、數(shù)據(jù)庫(kù)類型及版本號(hào)、中間件類型及版本號(hào)、是否采用虛擬技術(shù)、應(yīng)用軟件使用服務(wù)和端口以及補(bǔ)丁更新情況等。

等保測(cè)評(píng)結(jié)果梳理 服務(wù)器安全加固主要是依據(jù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)結(jié)果對(duì)服務(wù)器進(jìn)行安全配置和補(bǔ)丁更新等操作，需要對(duì)等保測(cè)評(píng)結(jié)果進(jìn)行較為深入的分析，并參照安全加固可行性分析結(jié)果梳理服務(wù)器加固的內(nèi)容。

加固內(nèi)容初步確認(rèn) 由項(xiàng)目實(shí)施組對(duì)等級(jí)保護(hù)測(cè)評(píng)結(jié)果梳理中產(chǎn)生表單的內(nèi)容進(jìn)行逐項(xiàng)的測(cè)試，在測(cè)試中排除存在問(wèn)題的加固項(xiàng)和加固內(nèi)容，測(cè)試的內(nèi)容主要包括服務(wù)器安全配置更改、補(bǔ)丁更新、加固操作后服務(wù)器重新啟動(dòng)、加固后補(bǔ)丁卸載和加固異常后系統(tǒng)恢復(fù)等。

2.安全加固實(shí)施

安全加固內(nèi)容現(xiàn)場(chǎng)確認(rèn) 服務(wù)器安全加固現(xiàn)場(chǎng)確認(rèn)工作主要是指對(duì)準(zhǔn)備階段確定的服務(wù)器加固方法、加固內(nèi)容和操作步驟，由被加固單位的服務(wù)器管理員、數(shù)據(jù)庫(kù)管理員和應(yīng)用系統(tǒng)管理員共同確認(rèn)可加固的內(nèi)容與可實(shí)施的操作步驟。

安全加固現(xiàn)場(chǎng)實(shí)施 服務(wù)器安全加固應(yīng)依據(jù)以下操作順序進(jìn)行。首先對(duì)服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)和中間件的補(bǔ)丁進(jìn)行更新操作，補(bǔ)丁更新操作完成后重啟服務(wù)器，監(jiān)測(cè)服務(wù)器能否正常運(yùn)行，如果正常運(yùn)行則進(jìn)入安全配置操作，如果運(yùn)行出現(xiàn)異常則進(jìn)行補(bǔ)丁回退等操作或啟動(dòng)應(yīng)急恢復(fù)流程。其次，對(duì)服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)和中間件進(jìn)行安全配置更新，并重啟服務(wù)器，監(jiān)測(cè)服務(wù)器能否正常運(yùn)行，如果運(yùn)行正常則對(duì)加固結(jié)果進(jìn)行確認(rèn)，如果運(yùn)行出現(xiàn)異常則進(jìn)行安全配置回退操作或啟動(dòng)應(yīng)急恢復(fù)流程。最后對(duì)不能實(shí)施加固的內(nèi)容進(jìn)行確認(rèn)并提出安全建議。

安全加固結(jié)果分析 主要是對(duì)安全加固的內(nèi)容進(jìn)行的分析和總結(jié)，對(duì)每個(gè)服務(wù)器上安裝的操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件以及采用虛擬技術(shù)中已加固成功的項(xiàng)和未加固的成功項(xiàng)進(jìn)行區(qū)分整理，進(jìn)一步對(duì)照信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告中服務(wù)器安全測(cè)評(píng)結(jié)果驗(yàn)證加固的效果。

安全運(yùn)行監(jiān)控 主要是對(duì)服務(wù)器安全加固后的工作進(jìn)行監(jiān)控和確認(rèn)。安全監(jiān)控的作用在于服務(wù)器進(jìn)行加固處理后，某些隱藏的問(wèn)題沒(méi)有當(dāng)場(chǎng)暴露，而是運(yùn)行一定時(shí)間后才顯露出來(lái)，影響業(yè)務(wù)系統(tǒng)的正常運(yùn)行。因此加固人員需要在完成現(xiàn)場(chǎng)加固結(jié)果確認(rèn)后，進(jìn)行一定時(shí)間的服務(wù)器運(yùn)行狀態(tài)監(jiān)控。

3.安全加固總結(jié)

安全加固效果驗(yàn)證 安全加固效果驗(yàn)證主要依據(jù)信息安全等級(jí)保護(hù)基本要求，對(duì)已經(jīng)完成操作的加固項(xiàng)是否達(dá)到等級(jí)保護(hù)要求進(jìn)行判定，對(duì)照被加固單位信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告的結(jié)果，驗(yàn)證原不符合項(xiàng)通過(guò)加固后成為符合項(xiàng)或部分符合項(xiàng)，以驗(yàn)證結(jié)果為依據(jù)編寫服務(wù)器安全加固效果驗(yàn)證報(bào)告。由于被加固單位的加固內(nèi)容存在差異性，各單位服務(wù)器安全加固效果驗(yàn)證應(yīng)存在不同，安全加固效果驗(yàn)證應(yīng)在安全監(jiān)控期結(jié)束后進(jìn)行。

安全加固工作完善 對(duì)安全加固的文檔、安全加固的方法和安全加固的內(nèi)容進(jìn)行修訂與完善，形成一套完整的安全加固措施。

服務(wù)器安全加固提升信息系統(tǒng)防護(hù)能力

目前服務(wù)器安全加固的方式多種多樣，主要包括服務(wù)器物理安全保護(hù)加固方式、服務(wù)器硬盤加固方式、通過(guò)第三方軟件對(duì)服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行加固的方式、通過(guò)更改配置和補(bǔ)丁更新等進(jìn)行直接加固的方式。

第4篇：信息系統(tǒng)安全運(yùn)維服務(wù)范文

【關(guān)鍵詞】信息系統(tǒng)；信息安全；安全風(fēng)險(xiǎn)；安全防護(hù)

引言

隨著信息化的發(fā)展及互聯(lián)網(wǎng)的普及，各種信息系統(tǒng)也逐漸出現(xiàn)在我們的生活及工作學(xué)習(xí)中，改善著我們的生活品質(zhì)，提高了我們的工作學(xué)習(xí)效率。如我們通過(guò)信息系統(tǒng)可獲取更多的工作及學(xué)習(xí)資源，為我們更好的開(kāi)展工作學(xué)習(xí)創(chuàng)造良好的條件。但在我們使用系統(tǒng)的過(guò)程中，伴隨而來(lái)的是各種各樣的安全風(fēng)險(xiǎn)，如果我們存有置之不理、掉以輕心或者僥幸心理，這些風(fēng)險(xiǎn)將誘發(fā)各種安全事件，將可能帶給我們難以估量的損失。如何做好系統(tǒng)的風(fēng)險(xiǎn)分析及安全防護(hù)，對(duì)我們系統(tǒng)的安全使用將起著至關(guān)重要的作用。

1信息系統(tǒng)風(fēng)險(xiǎn)分析的重要性

信息系統(tǒng)的風(fēng)險(xiǎn)存在于系統(tǒng)的整個(gè)生命周期過(guò)程中，共包括五個(gè)階段：系統(tǒng)規(guī)劃和啟動(dòng)、設(shè)計(jì)開(kāi)發(fā)或采購(gòu)、集成實(shí)現(xiàn)、運(yùn)行和維護(hù)、廢棄。在《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007）中對(duì)風(fēng)險(xiǎn)分析在信息系統(tǒng)生命周期中的規(guī)范要求進(jìn)行了充分的闡述，如在設(shè)計(jì)階段要進(jìn)行風(fēng)險(xiǎn)分析以確定系統(tǒng)的安全目標(biāo)；在建設(shè)驗(yàn)收階段要進(jìn)行風(fēng)險(xiǎn)分析以確定系統(tǒng)的安全目標(biāo)達(dá)到與否；在運(yùn)行維護(hù)階段要不斷進(jìn)行風(fēng)險(xiǎn)分析以確定系統(tǒng)安全措施的有效性，確保安全保障目標(biāo)始終如一得以堅(jiān)持。在系統(tǒng)規(guī)劃和啟動(dòng)階段，主要是提出信息系統(tǒng)的目的、需求、規(guī)模和安全要求，通過(guò)風(fēng)險(xiǎn)分析可用于確定信息系統(tǒng)的安全需求。在設(shè)計(jì)開(kāi)發(fā)或采購(gòu)階段，主要是進(jìn)行信息系統(tǒng)設(shè)計(jì)、購(gòu)買、開(kāi)發(fā)或建造。通過(guò)風(fēng)險(xiǎn)分析可為信息系統(tǒng)的安全分析提供支持，這可能會(huì)影響到系統(tǒng)在開(kāi)發(fā)過(guò)程中要對(duì)體系結(jié)構(gòu)和設(shè)計(jì)方案進(jìn)行權(quán)衡。在集成實(shí)現(xiàn)階段，信息系統(tǒng)的安全特性應(yīng)該被配置、激活、測(cè)試并得到驗(yàn)證。通過(guò)風(fēng)險(xiǎn)分析可支持對(duì)系統(tǒng)實(shí)現(xiàn)效果的評(píng)價(jià)，考察其是否能滿足要求，并考察系統(tǒng)所運(yùn)行的環(huán)境是否是預(yù)期設(shè)計(jì)的。有關(guān)風(fēng)險(xiǎn)的一系列決策必須在系統(tǒng)運(yùn)行之前做出。在運(yùn)行和維護(hù)階段，信息系統(tǒng)開(kāi)始執(zhí)行其功能，一般情況下系統(tǒng)要不斷修改，添加硬件和軟件，或改變機(jī)構(gòu)的運(yùn)行規(guī)則策略或流程等。通過(guò)風(fēng)險(xiǎn)分析可對(duì)系統(tǒng)進(jìn)行重新評(píng)估，或者做出重大變更，以更好得保證系統(tǒng)能滿足需求的進(jìn)行穩(wěn)定運(yùn)行或使用。在廢棄階段，主要涉及對(duì)信息、硬件和軟件的廢棄。這些活動(dòng)可能包括信息的轉(zhuǎn)移、備份、丟棄、銷毀以及對(duì)軟硬件進(jìn)行的密級(jí)處理。通過(guò)風(fēng)險(xiǎn)分析，在廢棄或替換系統(tǒng)組件時(shí)，能確保硬件和軟件得到了適當(dāng)?shù)膹U棄處置，且殘留信息也恰當(dāng)?shù)剡M(jìn)行了處理，并且能確保系統(tǒng)的更新?lián)Q代能以一個(gè)安全和系統(tǒng)化的方式完成。

2信息系統(tǒng)的安全風(fēng)險(xiǎn)及影響

系統(tǒng)的安全風(fēng)險(xiǎn)在信息系統(tǒng)生命周期的各個(gè)階段都存在，在系統(tǒng)規(guī)劃和啟動(dòng)，如果未對(duì)系統(tǒng)進(jìn)行全面的安全方案設(shè)計(jì)及詳細(xì)方案設(shè)計(jì)，從系統(tǒng)的數(shù)據(jù)安全及功能服務(wù)進(jìn)行統(tǒng)籌考慮分析，可能導(dǎo)致系統(tǒng)在設(shè)計(jì)上存在安全隱患及漏洞，可能在系統(tǒng)投入運(yùn)行之后暴露出各種風(fēng)險(xiǎn)或問(wèn)題，如設(shè)備性能的不合理配置、系統(tǒng)功能的不合理設(shè)置、數(shù)據(jù)庫(kù)表結(jié)構(gòu)的不合理設(shè)計(jì)等都可能導(dǎo)致系統(tǒng)出現(xiàn)響應(yīng)緩慢、數(shù)據(jù)出錯(cuò)等問(wèn)題。在設(shè)計(jì)開(kāi)發(fā)或采購(gòu)階段，如果不按照當(dāng)初的規(guī)劃及需求開(kāi)展系統(tǒng)設(shè)計(jì)開(kāi)發(fā)或采購(gòu)，存在隨意變更修改等行為，將導(dǎo)致系統(tǒng)的功能等無(wú)法滿足當(dāng)初的設(shè)計(jì)需求或規(guī)劃，或因?yàn)榉桨傅牟缓侠碜兏鼘?dǎo)致系統(tǒng)無(wú)法滿足原有的功能需求，從而給系統(tǒng)維護(hù)及使用者帶來(lái)更多的不穩(wěn)定因素。在集成實(shí)現(xiàn)階段，如果不按照已審定并允許實(shí)施的方案進(jìn)行系統(tǒng)建設(shè)，可能導(dǎo)致系統(tǒng)的功能及性能造成偏差，或者帶來(lái)人力、財(cái)力或物力上的浪費(fèi)及損失。同時(shí)未按方案進(jìn)行建設(shè)，可能導(dǎo)致系統(tǒng)存在未知的安全漏洞或隱患，給系統(tǒng)的使用造成潛在的安全影響。在運(yùn)行和維護(hù)階段，如果未按照管理規(guī)定或操作使用說(shuō)明書對(duì)系統(tǒng)軟硬件進(jìn)行維護(hù)使用，將容易對(duì)系統(tǒng)硬件設(shè)備設(shè)施造成損壞，同時(shí)造成系統(tǒng)被攻擊破壞等風(fēng)險(xiǎn)。如設(shè)備的開(kāi)關(guān)機(jī)、日常維護(hù)等未按規(guī)定進(jìn)行操作，導(dǎo)致設(shè)備易損壞，影響設(shè)備使用壽命。如系統(tǒng)軟件的使用、升級(jí)更新等未按各安全管理制度進(jìn)行落實(shí)，導(dǎo)致系統(tǒng)易被攻擊，易被非授權(quán)使用等。在廢棄階段，如果未按照相關(guān)要求對(duì)系統(tǒng)軟硬件進(jìn)行處理，可能導(dǎo)致設(shè)備或系統(tǒng)中的重要或敏感數(shù)據(jù)泄露，可能給系統(tǒng)維護(hù)或使用者帶來(lái)嚴(yán)重影響，如果有些敏感數(shù)據(jù)被惡意向社會(huì)公開(kāi)或泄露，可能帶來(lái)社會(huì)的不良影響。如上所述，安全風(fēng)險(xiǎn)在信息系統(tǒng)的整個(gè)生命周期中都存在，在各個(gè)階段所存在的安全風(fēng)險(xiǎn)也不盡相同，因此造成的影響也根據(jù)系統(tǒng)特性的不同、系統(tǒng)周期的不同而有所區(qū)別。在《計(jì)算機(jī)信息安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859-1999）中根據(jù)信息系統(tǒng)安全保護(hù)能力的不同劃分了5個(gè)等級(jí)，分別為用戶自主保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)及訪問(wèn)驗(yàn)證保護(hù)級(jí)。每個(gè)級(jí)別所需達(dá)到的安全防護(hù)能力也各不相同，用戶可根據(jù)系統(tǒng)的重要程度采取不同的安全防護(hù)能力。對(duì)應(yīng)這個(gè)系統(tǒng)的等級(jí)劃分準(zhǔn)則，在《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（GB/T22240-2008）中根據(jù)系統(tǒng)受到破壞時(shí)侵害的客體（國(guó)家安全、社會(huì)秩序/公共利益、公民/法人和其他組織的合法權(quán)益）和對(duì)客體造成侵害的程度（特別嚴(yán)重?fù)p害、嚴(yán)重?fù)p害、一般損害），從數(shù)據(jù)安全及服務(wù)安全兩方面將系統(tǒng)進(jìn)行了5級(jí)劃分，從一級(jí)到五級(jí)逐級(jí)遞增。同時(shí)在《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（GB/T22240-2008）已對(duì)這些的影響進(jìn)行了系統(tǒng)的描述，如在國(guó)家安全層面的影響包括影響國(guó)家政權(quán)穩(wěn)固和國(guó)防實(shí)力，影響國(guó)家統(tǒng)一、民族團(tuán)結(jié)和社會(huì)安定，影響國(guó)家對(duì)外活動(dòng)中的政治、經(jīng)濟(jì)利益，影響國(guó)家經(jīng)濟(jì)競(jìng)爭(zhēng)力和科技實(shí)力等；在社會(huì)秩序?qū)用娴挠绊懓ㄓ绊憞?guó)家機(jī)關(guān)社會(huì)管理和公共服務(wù)的工作秩序，影響各種類型的經(jīng)濟(jì)活動(dòng)秩序，影響各行業(yè)的科研、生產(chǎn)秩序等；在公共利益層面的影響包括影響社會(huì)成員使用公共設(shè)施，影響社會(huì)成員獲取公開(kāi)信息資源，影響社會(huì)成員接受公共服務(wù)等；在公民、法人和其他組織的合法權(quán)益層面的影響包括影響法律確認(rèn)的并受法律保護(hù)的公民、法人和其他組織所享有的一定的社會(huì)權(quán)利和利益。

3信息系統(tǒng)安全防護(hù)

信息系統(tǒng)在使用過(guò)程中存在著各種網(wǎng)絡(luò)攻擊、信息泄露等風(fēng)險(xiǎn)，如用戶標(biāo)識(shí)截取、偽裝、重放攻擊、數(shù)據(jù)截取、非法使用、病毒、拒絕服務(wù)、數(shù)據(jù)庫(kù)文件丟失、系統(tǒng)損壞、系統(tǒng)源文件泄露、管理賬戶口令暴漏、惡意代碼攻擊等。針對(duì)信息系統(tǒng)存在的這些風(fēng)險(xiǎn)，我們應(yīng)采取各種防護(hù)及加固措施將風(fēng)險(xiǎn)控制在可控范圍內(nèi)，為系統(tǒng)的安全穩(wěn)定運(yùn)行提供保障。在《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239-2008）中根據(jù)《定級(jí)指南》中的系統(tǒng)級(jí)別，明確了各級(jí)別系統(tǒng)滿足相應(yīng)等級(jí)安全要求的基本條款。在《基本要求》中，從人防、物防、技防、制防等方面對(duì)系統(tǒng)的運(yùn)行維護(hù)提供了參考標(biāo)準(zhǔn)，基本涵蓋了系統(tǒng)的整個(gè)生命周期。為保障系統(tǒng)的安全穩(wěn)定運(yùn)行使用，主要包括技術(shù)和管理兩方面。在技術(shù)層面，主要包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等；在管理層面，主要包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等。結(jié)合這兩方面內(nèi)容，我們可從人防、物防、技防、制防等方面對(duì)系統(tǒng)進(jìn)行安全防護(hù)及加固。人防，在系統(tǒng)的整個(gè)生命周期中，人起著最重要的作用，也是最核心的一個(gè)因素。①人要具備相應(yīng)的技術(shù)技能，在系統(tǒng)整個(gè)過(guò)程中解決處理發(fā)生的各種情況，充足的理論知識(shí)結(jié)合豐富的處理能力，能給系統(tǒng)的穩(wěn)定運(yùn)行帶來(lái)事半功倍的效果。②人在系統(tǒng)的運(yùn)維過(guò)程中，需嚴(yán)格按照相關(guān)的規(guī)章制度進(jìn)行操作，并能生成各類記錄，同時(shí)重大的操作需有詳細(xì)的操作方案或步驟及回退措施，且方案需通過(guò)審定確認(rèn)。③對(duì)運(yùn)維人員的管理及培訓(xùn)，各重要信息運(yùn)維人員需簽署保密協(xié)議及安全責(zé)任書，并定期或不定期得開(kāi)展各類培訓(xùn)以提高技術(shù)技能，從而滿足系統(tǒng)的維護(hù)需要。在此，還有一個(gè)重要的先決條件，就是單位的負(fù)責(zé)人要對(duì)系統(tǒng)的安全重視，能支持各崗位工作人員的工作，把信息安全當(dāng)作一件重大事情對(duì)待。只有領(lǐng)導(dǎo)的充分重視與關(guān)注，各人員的工作才能得到充分得支持，才能更有利得維護(hù)系統(tǒng)安全穩(wěn)定運(yùn)行。物防，信息系統(tǒng)的運(yùn)行離不開(kāi)各種軟硬件設(shè)施設(shè)備，從基礎(chǔ)的機(jī)房設(shè)施設(shè)備，到網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)設(shè)備、應(yīng)用軟件及各種輔助軟件、線路線纜等。因此一個(gè)完整的運(yùn)行環(huán)境是系統(tǒng)得以穩(wěn)定運(yùn)行的大提前，機(jī)房的設(shè)計(jì)及建設(shè)可根據(jù)系統(tǒng)的需求按照國(guó)家的機(jī)房建設(shè)標(biāo)準(zhǔn)進(jìn)行建設(shè)。網(wǎng)絡(luò)及設(shè)備的部署需采用冗余方式進(jìn)行落實(shí)，提供設(shè)備及線路的硬件冗余，同時(shí)需配備各類相應(yīng)的安全防護(hù)設(shè)備及軟件，從防火墻、WAF、IDS/IPS、防毒墻、惡意代碼防范軟件、機(jī)房監(jiān)控平臺(tái)、網(wǎng)絡(luò)主機(jī)監(jiān)控平臺(tái)等。一定需求的軟硬件產(chǎn)品部署能給系統(tǒng)保駕護(hù)航，能滿足系統(tǒng)的穩(wěn)定運(yùn)行。信息系統(tǒng)的安全穩(wěn)定運(yùn)行離不開(kāi)各設(shè)備的支持，“巧婦難為無(wú)米之炊”，如果沒(méi)有合理的設(shè)備配置，再好的管理和技術(shù)也無(wú)法保障系統(tǒng)的安全穩(wěn)定運(yùn)行。技防，設(shè)備的投入需要合理的安全策略部署，才能起到安全防護(hù)作用。因此在配備了相應(yīng)安全設(shè)備的同時(shí)，我們需要根據(jù)系統(tǒng)的需求設(shè)置合理的安全策略，如合理的訪問(wèn)控制策略、路由策略、升級(jí)更新策略、惡意代碼查殺策略、數(shù)據(jù)備份策略、安全訪問(wèn)規(guī)則等。策略結(jié)合設(shè)備才能起到關(guān)鍵的防護(hù)作用，給系統(tǒng)的穩(wěn)定運(yùn)行提供保障。同時(shí)策略要結(jié)合系統(tǒng)運(yùn)行的環(huán)境及情況進(jìn)行設(shè)置，包括網(wǎng)絡(luò)環(huán)境、使用環(huán)境等。如網(wǎng)絡(luò)出入的流量及帶寬限制要考慮系統(tǒng)的日常訪問(wèn)量及網(wǎng)絡(luò)的帶寬等。最合理的策略才是最重要的，要系統(tǒng)的應(yīng)用與安全相結(jié)合，應(yīng)能保證系統(tǒng)即可用又安全。在當(dāng)前現(xiàn)狀下，各種網(wǎng)絡(luò)攻擊防不勝防，只要我們能結(jié)合各安全設(shè)備，充分利用各設(shè)備的安全防護(hù)能力，遵循最小授權(quán)原則、最小服務(wù)原則，關(guān)閉多余的服務(wù)和端口，設(shè)置合理的安全策略，就能將安全風(fēng)險(xiǎn)降到最低，保持在可控范圍內(nèi)。制防，沒(méi)有規(guī)矩不成方圓，信息安全管理制度的制定及完善是系統(tǒng)穩(wěn)定運(yùn)行的一道關(guān)口。我們的操作行為應(yīng)嚴(yán)格按照相關(guān)制度及規(guī)章規(guī)程執(zhí)行。因此制度的合理及可執(zhí)行將顯得尤其重要。在整個(gè)制度體系中，應(yīng)建立由信息安全方針策略、安全管理制度及操作規(guī)章規(guī)程構(gòu)成的體系化的制度。各方針策略、制度及操作規(guī)章規(guī)程需由相關(guān)負(fù)責(zé)人員討論審定通過(guò)，并通過(guò)PDCA循環(huán)不斷得修訂及完善，應(yīng)保證整個(gè)體系文件適用系統(tǒng)的運(yùn)行維護(hù)需求。一旦制度確定落實(shí)，各人員將必須嚴(yán)格遵從執(zhí)行。通過(guò)制度管理人的方式將我們的運(yùn)維工作規(guī)范落實(shí)，以防工作人員按各自處事習(xí)慣進(jìn)行運(yùn)維工作，給系統(tǒng)帶來(lái)不確定的隱患。一套完整的適用的制度是需要通過(guò)幾年實(shí)踐才逐步完善的，只有適用的、真正落實(shí)到地的制度才能給系統(tǒng)的安全穩(wěn)定運(yùn)行帶來(lái)保障，制度不應(yīng)停留于紙面，用于對(duì)付各類檢查。只有將制度真正貫穿在整個(gè)系統(tǒng)管理過(guò)程中，才能真正看到制度所帶得的真實(shí)意義所在。在人防、物防、技防、制防中，各個(gè)環(huán)節(jié)是相輔相成的，彼此穿插，從制度落實(shí)，由人將設(shè)備及技術(shù)相結(jié)合，以保證系統(tǒng)的穩(wěn)定運(yùn)行，降低安全風(fēng)險(xiǎn)系數(shù)，讓風(fēng)險(xiǎn)在可控范圍之內(nèi)。

4結(jié)束語(yǔ)

信息系統(tǒng)的安全風(fēng)險(xiǎn)是客觀存在的，只要我們做好風(fēng)險(xiǎn)的控制，就能確保系統(tǒng)穩(wěn)定安全的運(yùn)行。本文針對(duì)信息系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行了描述分析，并結(jié)合風(fēng)險(xiǎn)提出了安全防護(hù)的描述，通過(guò)人防、物防、技防、制防等方式加強(qiáng)系統(tǒng)的穩(wěn)定運(yùn)行，希望各信息系統(tǒng)能更安全穩(wěn)定的運(yùn)行，同時(shí)給我們的生活、工作及學(xué)習(xí)帶來(lái)更多的便捷及享受。

參考文獻(xiàn)

[1]《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007）[S].

[2]《計(jì)算機(jī)信息安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859-1999）[S].

[3]《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（GB/T22240-2008）[S].

第5篇：信息系統(tǒng)安全運(yùn)維服務(wù)范文

關(guān)鍵詞：醫(yī)院信息系統(tǒng)；信息安全；信息管理；等級(jí)保護(hù)

一、引言

隨著醫(yī)院對(duì)信息化建設(shè)不斷深入滲透醫(yī)院的醫(yī)療、科研、教學(xué)、后勤保障，醫(yī)院信息系統(tǒng)不僅是保證醫(yī)院的正常運(yùn)轉(zhuǎn)，還是醫(yī)院財(cái)務(wù)管理等方面的巨大支撐，并且安全的醫(yī)療信息數(shù)據(jù)才能有效地保護(hù)病人的權(quán)益、提高治療效果。因此加強(qiáng)醫(yī)院信息系統(tǒng)安全建設(shè)是醫(yī)院良好有序發(fā)展的前提及客觀要求[1]。

二、醫(yī)院現(xiàn)狀及信息安全狀況

2.1基本情況。我院現(xiàn)為國(guó)家三級(jí)甲等醫(yī)院，是華南地區(qū)醫(yī)療、教學(xué)、科研、保健和康復(fù)的重要基地，設(shè)有31個(gè)大科，100個(gè)?？?，其中5個(gè)國(guó)家重點(diǎn)學(xué)科、28個(gè)國(guó)家臨床重點(diǎn)專科。醫(yī)院信息系統(tǒng)自開(kāi)始建設(shè)，經(jīng)歷三代HIS系統(tǒng)的更迭，至今在線服務(wù)器和存儲(chǔ)近百臺(tái)，網(wǎng)絡(luò)設(shè)備300余臺(tái)；業(yè)務(wù)模塊近100個(gè)；終端數(shù)量近2000臺(tái)。核心系統(tǒng)包括HIS，CPOE、EMR、PACS、LIS。

2.2安全等保建設(shè)前信息系統(tǒng)安全狀況。網(wǎng)絡(luò)采用物理網(wǎng)絡(luò)隔離的方式，即業(yè)務(wù)網(wǎng)和互聯(lián)網(wǎng)物理隔離，但隨著醫(yī)院業(yè)務(wù)的不斷開(kāi)展，與醫(yī)保網(wǎng)互聯(lián)、開(kāi)通微信平臺(tái)、通過(guò)支付寶微信支付、移動(dòng)終端接入，業(yè)務(wù)網(wǎng)不可避免地要跟外網(wǎng)互聯(lián)，且人為加入無(wú)線網(wǎng)卡等連接外部網(wǎng)絡(luò)等，面臨安全風(fēng)險(xiǎn)。安全防范意識(shí)上面，未形成有效的安全等級(jí)保護(hù)的規(guī)章制度和領(lǐng)導(dǎo)小組或安全管理手冊(cè)。

三、醫(yī)院安全建設(shè)規(guī)劃和實(shí)施

3.1規(guī)劃和原則。國(guó)家立法“對(duì)信息服務(wù)、公共服務(wù)、等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，實(shí)行重點(diǎn)保護(hù)”[2]。衛(wèi)計(jì)委要求各醫(yī)院完成安全等級(jí)保護(hù)建設(shè)。具體提出定級(jí)備案、安全整改建設(shè)、等級(jí)測(cè)評(píng)、監(jiān)督檢查等工作要求[3]。根據(jù)以上指定及實(shí)際情況，我院制定出“規(guī)劃先行、指導(dǎo)為重、分期實(shí)施”的總體指導(dǎo)方針。整體上，安全等級(jí)保護(hù)建設(shè)工作分為四個(gè)階段1）自我認(rèn)知階段，了解面臨的風(fēng)險(xiǎn)，可能的威脅。2）基礎(chǔ)改進(jìn)的階段，包括根據(jù)資產(chǎn)價(jià)值治理控制環(huán)境。3）規(guī)劃管理階段，定義業(yè)務(wù)內(nèi)控流程，加強(qiáng)合規(guī)管理。4）安全運(yùn)營(yíng)階段，IT風(fēng)險(xiǎn)集中管理與監(jiān)控。最后達(dá)到自行驅(qū)動(dòng)完善信息系統(tǒng)安全。

3.2醫(yī)院信息系統(tǒng)安全定級(jí)。我院對(duì)HIS、LIS、PACS、電子病歷、OA以及門戶網(wǎng)站進(jìn)行安全等保定級(jí)、備案、差距測(cè)評(píng)以及整改。HIS系統(tǒng)定為3級(jí)，PACS、LIS、電子病歷、OA以及門戶網(wǎng)站定位了2級(jí)。

3.3安全建設(shè)實(shí)施。我院信息安全建設(shè)采用安全域劃分的方式，采用國(guó)內(nèi)一流的安全產(chǎn)品，與原有的信息系統(tǒng)和網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)無(wú)縫銜接，統(tǒng)一管理，快速響應(yīng)，運(yùn)行穩(wěn)定。核心安全產(chǎn)品包括核心UTM、安全域的FW、日志審計(jì)、IDS以及終端安全。

四、信息安全建設(shè)收益

4.1提高了系統(tǒng)的安全防范能力。如下圖所示，體現(xiàn)為四方面1）服務(wù)器以及存儲(chǔ)只對(duì)外提供指定端口，非業(yè)務(wù)端口流量嚴(yán)禁進(jìn)入。2）重要業(yè)務(wù)數(shù)據(jù)庫(kù)做操作審計(jì)。3）服務(wù)器操作系統(tǒng)進(jìn)行漏洞掃描并及時(shí)修補(bǔ)。4）業(yè)務(wù)軟件系統(tǒng)漏洞掃描以及安全檢查并修正。

4.2數(shù)據(jù)中心實(shí)現(xiàn)安全域管理劃分。新增業(yè)務(wù)系統(tǒng)按照其等相應(yīng)的等級(jí)加入相應(yīng)的安全域，快速部署，統(tǒng)一管理，并節(jié)省安全建設(shè)成本。

4.3信息安全技能提升。通過(guò)信息安全建設(shè)，技術(shù)人員的專業(yè)水平顯著提高，安全意識(shí)增強(qiáng)。完成數(shù)次滲透測(cè)試與安全加固。應(yīng)對(duì)供電故障，建立了機(jī)房雙路供電加UPS；應(yīng)對(duì)設(shè)備故障，核心設(shè)備雙活負(fù)載均衡，次重要設(shè)備硬件冷備份，可在預(yù)見(jiàn)時(shí)間內(nèi)恢復(fù)網(wǎng)絡(luò)；應(yīng)對(duì)線路故障，建立備用線路；應(yīng)對(duì)網(wǎng)絡(luò)攻擊，常規(guī)化網(wǎng)絡(luò)監(jiān)控以及人工網(wǎng)絡(luò)巡查，攻擊出現(xiàn)時(shí)可迅速定位攻擊來(lái)源。

五、安全一體化運(yùn)維平臺(tái)建設(shè)的新要求

移動(dòng)互聯(lián)和物聯(lián)網(wǎng)，對(duì)醫(yī)院的信息安全提出新的要求，具體做到：認(rèn)證、加密以及定位，即為：進(jìn)不來(lái)，拿不走，留痕跡（審計(jì)）。這三點(diǎn)中最難的是認(rèn)證，認(rèn)證必然造成醫(yī)院臨床使用的不便，而部分設(shè)備較難實(shí)施認(rèn)證，如一些手持終端、攝像頭等。對(duì)此，應(yīng)對(duì)的管理方式可以是安裝終端管控系統(tǒng)，無(wú)感知認(rèn)證，移動(dòng)終端只允許在指定區(qū)域進(jìn)行無(wú)線接入等。總體上看，持續(xù)的安全建設(shè)應(yīng)該是向安全一體化運(yùn)維平臺(tái)的方向發(fā)展。而這個(gè)方向需要管理人員安全管理組織、決策、執(zhí)行，需要流程化運(yùn)維，需要一套監(jiān)控中心、預(yù)警中心、事件處理平臺(tái)、考核中心、知識(shí)管理中心、流程驅(qū)動(dòng)的引擎。最終到達(dá)的目標(biāo)是自驅(qū)動(dòng)的管理與技術(shù)相融合。即安全管理制度流程化，安全可視化、動(dòng)態(tài)化，形成PDCA風(fēng)險(xiǎn)優(yōu)化處理閉環(huán)。

六、結(jié)語(yǔ)

信息安全是動(dòng)態(tài)的，隨著技術(shù)的發(fā)展而變化。信息安全防護(hù)沒(méi)有完全單一而又絕對(duì)保險(xiǎn)的措施。安全也是適度安全，沒(méi)有絕對(duì)的安全。信息安全應(yīng)該是管理與技術(shù)并重，安全管理制度落地運(yùn)作，通過(guò)信息化手段來(lái)實(shí)現(xiàn)信息安全管理工作，并隨著外界風(fēng)險(xiǎn)的變化進(jìn)行調(diào)整，信息安全應(yīng)該是持續(xù)改進(jìn)的過(guò)程。

參考文獻(xiàn)

[1]黃娓娓,劉濤.大家健康,2014,5,8(10):4-5.

[2]《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第三十一條

第6篇：信息系統(tǒng)安全運(yùn)維服務(wù)范文

 

近年來(lái)，隨著信息安全等級(jí)保護(hù)工作機(jī)制的不斷完善，主管部門監(jiān)督檢查力度的不斷加大，信息系統(tǒng)開(kāi)展等級(jí)測(cè)評(píng)的數(shù)量穩(wěn)步增長(zhǎng)，測(cè)評(píng)覆蓋率顯著提升。通過(guò)統(tǒng)計(jì)分析本單位近些年測(cè)評(píng)的數(shù)百個(gè)信息系統(tǒng)的數(shù)據(jù)，可以得出以下結(jié)論：一是較早開(kāi)展等級(jí)測(cè)評(píng)的行業(yè)，經(jīng)過(guò)測(cè)評(píng)和整改建設(shè)，測(cè)評(píng)符合率逐年提高;二是隨著等級(jí)測(cè)評(píng)工作的持續(xù)推進(jìn)，近期才開(kāi)展首次測(cè)評(píng)的行業(yè)特別是基層單位的信息安全工作基礎(chǔ)較薄弱，測(cè)評(píng)得分明顯偏低。通過(guò)對(duì)物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等10個(gè)層面的測(cè)評(píng)結(jié)果進(jìn)行統(tǒng)計(jì)，其中網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、系統(tǒng)運(yùn)維管理等方面的不符合率相對(duì)較高，信息系統(tǒng)的建設(shè)、使用、運(yùn)維階段存在一些較普遍的問(wèn)題。

 

信息系統(tǒng)安全保護(hù)措施落實(shí)情況分析

 

整體而言，隨著等級(jí)測(cè)評(píng)工作的持續(xù)推進(jìn)，黨政機(jī)關(guān)、企事業(yè)單位對(duì)信息系統(tǒng)安全等級(jí)保護(hù)的認(rèn)識(shí)和重視程度得到普遍提升，在管理和技術(shù)兩方面主要采取了以下安全措施：

 

信息安全管理措施落實(shí)情況

 

在信息安全管理方面呈現(xiàn)出兩級(jí)分化的特點(diǎn)。一些重點(diǎn)行業(yè)的業(yè)務(wù)信息化程度高、自身信息技術(shù)隊(duì)伍力量足、信息安全投入經(jīng)費(fèi)有保障，其安全管理措施一般也能得到有效落實(shí)，在機(jī)構(gòu)、人員、制度、建設(shè)管理、運(yùn)維管理等方面均能較好地符合相關(guān)標(biāo)準(zhǔn)的要求。這一類的典型包括銀行、證券、電力等行業(yè)主管部門對(duì)信息安全監(jiān)管嚴(yán)格的幾大行業(yè)。相反，部分對(duì)信息系統(tǒng)管控相對(duì)松散的單位如大專院校、在信息安全投入方面得不到充分保障的單位如基層政府部門，其信息安全專業(yè)人員的配備達(dá)不到標(biāo)準(zhǔn)規(guī)范的要求，安全責(zé)任部門地位偏低權(quán)限不足，很難制定并有效貫徹落實(shí)結(jié)合本單位實(shí)際的信息安全管理制度。

 

信息安全技術(shù)措施落實(shí)情況

 

多數(shù)單位通過(guò)部署邊界安全設(shè)備，強(qiáng)化入侵防范措施來(lái)提高網(wǎng)絡(luò)的安全性;通過(guò)加固操作系統(tǒng)和數(shù)據(jù)庫(kù)的安全策略，啟用安全審計(jì)，安裝殺毒軟件等措施，來(lái)提高主機(jī)安全防護(hù)水平;通過(guò)開(kāi)發(fā)應(yīng)用系統(tǒng)的安全模塊，從身份鑒別、訪問(wèn)控制、日志記錄等方面，強(qiáng)化業(yè)務(wù)應(yīng)用的安全性;通過(guò)部署數(shù)據(jù)備份設(shè)備、加密措施，加強(qiáng)對(duì)數(shù)據(jù)安全的保護(hù)。

 

信息系統(tǒng)常見(jiàn)安全問(wèn)題分析

 

隨著等級(jí)測(cè)評(píng)工作的覆蓋面進(jìn)一步擴(kuò)大，近年來(lái)初次測(cè)評(píng)的單位和基層部門仍發(fā)現(xiàn)一些典型問(wèn)題。

 

信息安全意識(shí)有待提高

 

很多單位對(duì)當(dāng)前日趨嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)認(rèn)識(shí)不足，將信息安全工作視為被動(dòng)應(yīng)付上級(jí)檢查、被動(dòng)應(yīng)對(duì)安全事件的任務(wù)來(lái)消極對(duì)待。一些單位認(rèn)為取得“基本符合”的測(cè)評(píng)結(jié)論就高枕無(wú)憂，完成測(cè)評(píng)備案就完成了等級(jí)保護(hù)。由此造成對(duì)信息安全合規(guī)的落實(shí)不夠、資金和人員投入不足、重建設(shè)輕運(yùn)維、有制度無(wú)執(zhí)行、有預(yù)案不演練等問(wèn)題，根源還是安全意識(shí)薄弱。

 

信息安全管理有待加強(qiáng)

 

信息安全管理不到位主要表現(xiàn)在安全管理制度、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等方面。

 

信息安全管理制度不完善。基層單位信息安全管理制度不全、人員配備不足、授權(quán)審批流于形式、執(zhí)行記錄缺失等問(wèn)題較為常見(jiàn)。部分單位的信息安全管理制度照搬模版，未結(jié)合本單位實(shí)際進(jìn)行修訂，導(dǎo)致缺乏可操作性。

 

系統(tǒng)建設(shè)管理不到位。系統(tǒng)建設(shè)過(guò)程中落實(shí)信息安全“同步建設(shè)”原則不到位。在軟件開(kāi)發(fā)階段較普遍未遵循安全編碼規(guī)范，導(dǎo)致安全功能缺失、應(yīng)用層漏洞頻現(xiàn)。在系統(tǒng)驗(yàn)收階段，很多單位僅注重業(yè)務(wù)功能驗(yàn)收，缺乏專門的安全性測(cè)試;電子政務(wù)類項(xiàng)目較普遍未按規(guī)定在項(xiàng)目驗(yàn)收環(huán)節(jié)完成“一證兩報(bào)告”(即等級(jí)測(cè)評(píng)報(bào)告、風(fēng)險(xiǎn)評(píng)估報(bào)告和系統(tǒng)備案證明)。

 

系統(tǒng)運(yùn)維管理不到位。在系統(tǒng)運(yùn)維管理方面，部分單位運(yùn)維和開(kāi)發(fā)崗位不分，職責(zé)不清，存在一人身兼數(shù)職現(xiàn)象。很多單位在信息資產(chǎn)管理、介質(zhì)管理、變更管理等方面缺乏操作規(guī)程和相關(guān)記錄，數(shù)據(jù)備份策略不明，應(yīng)急預(yù)案不完善并缺乏演練。

 

關(guān)鍵技術(shù)措施有待落實(shí)

 

分析近年來(lái)的測(cè)評(píng)結(jié)果，安全技術(shù)措施不足問(wèn)題主要體現(xiàn)在以下幾個(gè)方面：

 

在物理安全方面，隨著電子政務(wù)集約化建設(shè)的推進(jìn)，大量信息系統(tǒng)已經(jīng)集中到高規(guī)格的專業(yè)機(jī)房，但仍有部分單位自有機(jī)房條件簡(jiǎn)陋，位置選擇不規(guī)范，出入管理較隨意，防盜防破壞、防雷防火防潮能力較差，環(huán)境監(jiān)控措施不足。

 

在網(wǎng)絡(luò)安全方面，常見(jiàn)網(wǎng)絡(luò)和安全設(shè)備的配置不到位，如未合理劃分區(qū)域、未精細(xì)配置訪問(wèn)控制策略、未對(duì)重要設(shè)備做地址綁定等;較普遍缺少專業(yè)審計(jì)系統(tǒng)。部分單位設(shè)備老舊，安全產(chǎn)品本身存在一定缺陷導(dǎo)致無(wú)法滿足等級(jí)保護(hù)要求。個(gè)別單位用于生產(chǎn)控制的重要信息系統(tǒng)在網(wǎng)絡(luò)層面未采取必要安全措施的同時(shí)，還違規(guī)接通互聯(lián)網(wǎng)，存在極大的安全隱患。

 

在主機(jī)安全方面，部分單位存在弱口令、不啟用登錄失敗處理和安全審計(jì)功能、不及時(shí)更新補(bǔ)丁、不關(guān)閉非必要服務(wù)等問(wèn)題。此外，由于主流操作系統(tǒng)和數(shù)據(jù)庫(kù)很少支持強(qiáng)制訪問(wèn)控制機(jī)制，相關(guān)要求普遍未落實(shí)。

 

在應(yīng)用安全方面，很多應(yīng)用軟件安全功能不足，缺少身份鑒別、審計(jì)日志、信息加密等能力。由于很少進(jìn)行安全掃描、滲透測(cè)試，相當(dāng)一部分系統(tǒng)存在高危風(fēng)險(xiǎn)，如SQL注入、跨站腳本、文件上傳等漏洞，以及弱口令、網(wǎng)頁(yè)木馬等問(wèn)題。

 

在數(shù)據(jù)安全方面，較常見(jiàn)的是數(shù)據(jù)保密性和完整性措施薄弱。此外，部分信息系統(tǒng)的備份和恢復(fù)措施欠完善，缺乏有效的災(zāi)難恢復(fù)手段。

 

針對(duì)新技術(shù)的等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)有待出臺(tái)

 

隨著浙江政務(wù)服務(wù)網(wǎng)的大力推進(jìn)，省內(nèi)各級(jí)政務(wù)云平臺(tái)的建設(shè)使用已全面開(kāi)展，有相當(dāng)數(shù)量的電子政務(wù)系統(tǒng)已遷移上云。同時(shí)涉及城市公共設(shè)施、水電氣等工控系統(tǒng)密集的行業(yè)對(duì)等級(jí)保護(hù)工作越來(lái)越重視，對(duì)云計(jì)算、工控系統(tǒng)、移動(dòng)APP等的測(cè)評(píng)需求不斷加大。但現(xiàn)有的《GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》未涉及云計(jì)算、工業(yè)控制、移動(dòng)互聯(lián)等領(lǐng)域，在測(cè)評(píng)實(shí)踐中已遇到諸多不適應(yīng)情況。針對(duì)這些新技術(shù)新應(yīng)用的等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)需求已非常迫切。

 

重要信息系統(tǒng)安全保護(hù)對(duì)策建議

 

針對(duì)上述存在的問(wèn)題，本文提出以下對(duì)策建議，以供參考。

 

提高信息安全意識(shí)

 

提高全員信息安全意識(shí)是全面提升信息安全保障水平的根本解決之道。要樹(shù)立全體人員的安全觀念，加強(qiáng)信息安全培訓(xùn)。除了通過(guò)強(qiáng)化工作考核和安全檢查來(lái)督促信息安全工作的深入開(kāi)展，還應(yīng)通過(guò)多種方式開(kāi)展信息安全政策解讀和信息安全標(biāo)準(zhǔn)宣貫，強(qiáng)化對(duì)全員的安全意識(shí)教育和考查。建議結(jié)合一些合適的安全職業(yè)技能培訓(xùn)，落實(shí)信息安全相關(guān)崗位“持證上崗”的要求。

 

加強(qiáng)信息安全管理

 

“三分技術(shù)，七分管理”，各單位應(yīng)轉(zhuǎn)變觀念，將“信息安全”與“系統(tǒng)穩(wěn)定、功能正?！蓖戎匾暺饋?lái)，將安全管理要求與自身業(yè)務(wù)緊密結(jié)合，制訂完善的體系化的安全管理制度。

 

在系統(tǒng)建設(shè)管理過(guò)程中，應(yīng)要求開(kāi)發(fā)人員遵循安全編碼規(guī)范進(jìn)行開(kāi)發(fā);在系統(tǒng)驗(yàn)收環(huán)節(jié)，應(yīng)認(rèn)真做好安全性驗(yàn)收測(cè)試。在電子政務(wù)領(lǐng)域應(yīng)落實(shí)國(guó)家對(duì)電子政務(wù)項(xiàng)目管理的制度要求，驗(yàn)收階段完成等級(jí)測(cè)評(píng)，未通過(guò)測(cè)評(píng)的應(yīng)不予驗(yàn)收。

 

在系統(tǒng)運(yùn)維管理方面，應(yīng)加強(qiáng)制定信息系統(tǒng)日常管理操作的詳細(xì)規(guī)范，明確定義工作流程和操作步驟，使日常運(yùn)行管理制度化、規(guī)范化。對(duì)信息資產(chǎn)按重要性進(jìn)行分類梳理，建立完善應(yīng)急災(zāi)備措施，定期開(kāi)展演練，確保備份的有效性。

 

落實(shí)關(guān)鍵技術(shù)措施

 

針對(duì)測(cè)評(píng)發(fā)現(xiàn)的問(wèn)題，各單位應(yīng)根據(jù)系統(tǒng)所定級(jí)別，結(jié)合自身?xiàng)l件，綜合考慮問(wèn)題的影響范圍、嚴(yán)重程度、整改難度等因素，制定整改計(jì)劃，有步驟地落實(shí)相關(guān)技術(shù)措施。對(duì)于策略配置類的問(wèn)題及時(shí)糾正;對(duì)于整改難度大、需要添置硬件或修改代碼的問(wèn)題，應(yīng)在充分測(cè)試和試運(yùn)行的基礎(chǔ)上實(shí)施整改。對(duì)于強(qiáng)制訪問(wèn)控制、敏感標(biāo)記、雙因子鑒別等難點(diǎn)問(wèn)題，建議國(guó)家加強(qiáng)相關(guān)產(chǎn)業(yè)政策的引導(dǎo)，促進(jìn)安全廠商研發(fā)技術(shù)、推出產(chǎn)品，解決市場(chǎng)供應(yīng)問(wèn)題。各級(jí)主管部門應(yīng)通過(guò)測(cè)評(píng)、整改、監(jiān)督檢查、再測(cè)評(píng)的閉環(huán)管理，督促關(guān)鍵技術(shù)措施的落實(shí)。

 

加快新技術(shù)的等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)編制工作

 

目前公安部信息安全等級(jí)保護(hù)評(píng)估中心在牽頭起草針對(duì)云計(jì)算安全的等級(jí)保護(hù)標(biāo)準(zhǔn)，尚處于征求意見(jiàn)階段。其余新技術(shù)領(lǐng)域的等級(jí)保護(hù)標(biāo)準(zhǔn)制定工作進(jìn)度更晚，隨著智慧城市、云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)、工業(yè)控制等新技術(shù)的快速應(yīng)用，安全標(biāo)準(zhǔn)相對(duì)滯后的問(wèn)題更加突出，應(yīng)進(jìn)一步加快相關(guān)新標(biāo)準(zhǔn)的制定。

第7篇：信息系統(tǒng)安全運(yùn)維服務(wù)范文

等級(jí)測(cè)評(píng)工作其實(shí)是信息系統(tǒng)安全建設(shè)或整改工作結(jié)束后對(duì)信息系統(tǒng)安全狀況進(jìn)行檢驗(yàn)和發(fā)現(xiàn)問(wèn)題，以促進(jìn)信息系統(tǒng)安全狀況達(dá)到等級(jí)保護(hù)的要求。本刊記者就等級(jí)測(cè)評(píng)工作的相關(guān)內(nèi)容采訪了公安部信息安全等級(jí)保護(hù)評(píng)估中心系統(tǒng)測(cè)評(píng)部副主任、高級(jí)測(cè)評(píng)師陳雪秀。

|醫(yī)療衛(wèi)生機(jī)構(gòu)完成安全建設(shè)或整改工作之后就進(jìn)入到等級(jí)測(cè)評(píng)工作階段，請(qǐng)您介紹一下等級(jí)測(cè)評(píng)工作的內(nèi)容及流程。

陳雪秀：首先應(yīng)該明確，等級(jí)測(cè)評(píng)工作是檢測(cè)評(píng)估信息系統(tǒng)安全等級(jí)保護(hù)狀況是否達(dá)到相應(yīng)等級(jí)能力要求的過(guò)程，是落實(shí)信息安全等級(jí)保護(hù)制度的必要環(huán)節(jié)。

等級(jí)測(cè)評(píng)工作的主要內(nèi)容包括：在確定的測(cè)評(píng)指標(biāo)范圍內(nèi)，進(jìn)行現(xiàn)場(chǎng)測(cè)評(píng)（包括單元測(cè)評(píng)和系統(tǒng)整體測(cè)評(píng)），單項(xiàng)測(cè)評(píng)結(jié)果判定，綜合分析和風(fēng)險(xiǎn)評(píng)價(jià)，并給出等級(jí)測(cè)評(píng)結(jié)論、編制等級(jí)測(cè)評(píng)報(bào)告等一系列內(nèi)容。

在GB/T 28449-2012《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》中規(guī)范了等級(jí)測(cè)評(píng)的活動(dòng)流程，分為四個(gè)基本測(cè)評(píng)活動(dòng)：測(cè)評(píng)準(zhǔn)備活動(dòng)、方案編制活動(dòng)、現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)、分析及報(bào)告編制活動(dòng)。通過(guò)這四個(gè)基本測(cè)評(píng)活動(dòng)過(guò)程可以發(fā)現(xiàn)系統(tǒng)中存在的安全問(wèn)題和隱患，并給出這些問(wèn)題或隱患給系統(tǒng)帶來(lái)的安全風(fēng)險(xiǎn)或影響，為信息系統(tǒng)安全保護(hù)能力和安全管理水平的提升奠定技術(shù)基礎(chǔ)。

需要強(qiáng)調(diào)的是，測(cè)評(píng)雙方之間的溝通與洽談應(yīng)貫穿整個(gè)等級(jí)測(cè)評(píng)過(guò)程。

|作為高級(jí)測(cè)評(píng)師，您在測(cè)評(píng)工作中已經(jīng)積累了很多測(cè)評(píng)經(jīng)驗(yàn)，請(qǐng)您介紹一下測(cè)評(píng)師是如何對(duì)信息系統(tǒng)進(jìn)行測(cè)評(píng)的。

陳雪秀：等級(jí)測(cè)評(píng)工作是一項(xiàng)對(duì)實(shí)踐經(jīng)驗(yàn)要求很強(qiáng)的工作，需要測(cè)評(píng)機(jī)構(gòu)和人員在實(shí)踐過(guò)程中不斷積累和完善各類測(cè)評(píng)方法，規(guī)范測(cè)評(píng)活動(dòng)。測(cè)評(píng)機(jī)構(gòu)的權(quán)威性、公正性和質(zhì)量保證，是維持測(cè)評(píng)機(jī)構(gòu)生存的基礎(chǔ)，也是保證測(cè)評(píng)數(shù)據(jù)、測(cè)評(píng)結(jié)論客觀、準(zhǔn)確的基礎(chǔ)。

現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)是開(kāi)展等級(jí)測(cè)評(píng)工作的核心活動(dòng)?；顒?dòng)的主要任務(wù)是按照測(cè)評(píng)方案的總體要求，嚴(yán)格執(zhí)行測(cè)評(píng)指導(dǎo)書，分步實(shí)施所有測(cè)評(píng)項(xiàng)目，包括單元測(cè)評(píng)和整體測(cè)評(píng)兩個(gè)方面，以了解系統(tǒng)的真實(shí)保護(hù)情況，獲取足夠證據(jù)，發(fā)現(xiàn)系統(tǒng)存在的安全問(wèn)題。

現(xiàn)場(chǎng)測(cè)評(píng)必須由具有測(cè)評(píng)師資質(zhì)的人員（即測(cè)評(píng)師，一般分為高級(jí)測(cè)評(píng)師、中級(jí)測(cè)評(píng)師和初級(jí)測(cè)評(píng)師，初級(jí)測(cè)評(píng)師又分為管理測(cè)評(píng)師和技術(shù)測(cè)評(píng)師）采用一定的測(cè)評(píng)方法在委托方人員的配合下進(jìn)行現(xiàn)場(chǎng)測(cè)評(píng)取證。測(cè)評(píng)方法一般包括人員訪談、文檔檢查、上機(jī)核查、工具測(cè)試、實(shí)地察看等。人員訪談一般是針對(duì)安全管理方面和技術(shù)方面的全局問(wèn)題；文檔檢查主要是針對(duì)安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理五大管理方面；上機(jī)查核主要針對(duì)網(wǎng)絡(luò)、主機(jī)和應(yīng)用方面；實(shí)地察看主要針對(duì)物理安全方面，工具測(cè)試一般針對(duì)技術(shù)方面開(kāi)展，包括漏洞掃描、源代碼審查、滲透測(cè)試等。

|我們都知道根據(jù)信息安全等級(jí)保護(hù)工作的要求，定為第三級(jí)的系統(tǒng)每年都要測(cè)評(píng)一次，請(qǐng)您談?wù)劽恳荒甑臏y(cè)評(píng)工作內(nèi)容有什么不同？

陳雪秀：《信息安全等級(jí)保護(hù)管理辦法》（公通字〔2007〕43號(hào)）中規(guī)定三級(jí)系統(tǒng)每年測(cè)評(píng)一次，四級(jí)系統(tǒng)每半年測(cè)評(píng)一次是非常有必要的。眾所周知，安全是一個(gè)動(dòng)態(tài)的過(guò)程。隨著時(shí)間的推移和外部環(huán)境的變化，信息系統(tǒng)面臨的外部威脅和自身的安全現(xiàn)狀、安全需求均會(huì)發(fā)生較大的變化，變化的部分即是測(cè)評(píng)的重點(diǎn)。

因此，每年測(cè)評(píng)主要關(guān)注以下方面：（1）上一年度測(cè)評(píng)發(fā)現(xiàn)的安全問(wèn)題。（2）系統(tǒng)的變更情況。系統(tǒng)由于網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整、業(yè)務(wù)規(guī)模變化可能導(dǎo)致測(cè)評(píng)范圍發(fā)生變化，如果系統(tǒng)級(jí)別變更會(huì)導(dǎo)致測(cè)評(píng)指標(biāo)發(fā)生變化，新系統(tǒng)采用了虛擬化、大數(shù)據(jù)、移動(dòng)互聯(lián)等新技術(shù)、新應(yīng)用引發(fā)新的安全需求而帶來(lái)測(cè)評(píng)指標(biāo)的變化。（3）外部環(huán)境的變化。一方面關(guān)注目前國(guó)際、國(guó)內(nèi)安全形勢(shì)的新動(dòng)向新變化，目前產(chǎn)品的自主、可控是安全關(guān)注的重點(diǎn)，對(duì)抗有組織的外部攻擊的能力和應(yīng)急響應(yīng)能力也是本年度測(cè)評(píng)關(guān)注的重點(diǎn)。另一方面，關(guān)注新的安全威脅或漏洞隱患情況，如心臟滴血（Open ssl heart bleeding）漏洞、struts2遠(yuǎn)程執(zhí)行漏洞、BadUSB的安全漏洞等。（4）系統(tǒng)日常運(yùn)行帶來(lái)新的安全隱患。在信息系統(tǒng)日常運(yùn)行維護(hù)過(guò)程安全管理執(zhí)行落實(shí)情況、安全策略配置的有效性等，需要在每年測(cè)評(píng)時(shí)重點(diǎn)關(guān)注。

第8篇：信息系統(tǒng)安全運(yùn)維服務(wù)范文

1.1需求分析

通過(guò)德?tīng)柗品?、訪談法、SWOT分析等風(fēng)險(xiǎn)管理技術(shù)，向?qū)W院各職能部門和其它渠道收集風(fēng)險(xiǎn)信息，分類總結(jié)，然后列出風(fēng)險(xiǎn)系統(tǒng)開(kāi)發(fā)的大功能模塊，每個(gè)大功能模塊有哪些小功能模塊；描述實(shí)現(xiàn)具體模塊所涉及到的主要算法、數(shù)據(jù)結(jié)構(gòu)、類的層次結(jié)構(gòu)及調(diào)用關(guān)系，需要說(shuō)明軟件系統(tǒng)各個(gè)層次中每個(gè)模塊或子程序的設(shè)計(jì)考慮，以便進(jìn)行編碼測(cè)試。系統(tǒng)平臺(tái)可以實(shí)現(xiàn)以下功能：自動(dòng)輸出風(fēng)險(xiǎn)評(píng)估報(bào)告和建議報(bào)告，有效監(jiān)控預(yù)防風(fēng)險(xiǎn)；對(duì)風(fēng)險(xiǎn)進(jìn)行定量分析，實(shí)現(xiàn)以圖表直觀形式輸出顯示，并展示相應(yīng)的數(shù)據(jù)指標(biāo)；用戶以個(gè)人賬戶或部門賬戶，登錄到風(fēng)險(xiǎn)評(píng)估輸入列表，選擇相應(yīng)的職能部門、行業(yè)類型、風(fēng)險(xiǎn)級(jí)別指標(biāo)、以問(wèn)答的形式選擇相應(yīng)的內(nèi)置風(fēng)險(xiǎn)條目，根據(jù)登陸權(quán)限，可自擬增加、刪除風(fēng)險(xiǎn)條目；可實(shí)現(xiàn)日常工作重要環(huán)節(jié)和重點(diǎn)風(fēng)險(xiǎn)過(guò)程的時(shí)間提醒功能，通過(guò)手機(jī)短信或網(wǎng)頁(yè)提示窗提示等手段，提醒重點(diǎn)工作的正常開(kāi)展，防范工作疏忽引起的風(fēng)險(xiǎn)；風(fēng)險(xiǎn)級(jí)別指標(biāo)制定，可參考相應(yīng)的國(guó)家或行業(yè)標(biāo)準(zhǔn)，也可自擬；系統(tǒng)平臺(tái)內(nèi)有評(píng)估標(biāo)準(zhǔn)，根據(jù)評(píng)估標(biāo)準(zhǔn)設(shè)計(jì)評(píng)估模型，利用評(píng)估模型對(duì)風(fēng)險(xiǎn)評(píng)估報(bào)告進(jìn)行評(píng)估，得出評(píng)估結(jié)果供風(fēng)險(xiǎn)決策者參考；校領(lǐng)導(dǎo)和各職能部門負(fù)責(zé)人可根據(jù)管理權(quán)限查詢相應(yīng)的風(fēng)險(xiǎn)數(shù)據(jù)；B/S架構(gòu)，實(shí)現(xiàn)新聞即時(shí)，可及時(shí)更新各高校風(fēng)險(xiǎn)管理中的經(jīng)驗(yàn)交流文章、理論知識(shí)。

1.2程序編碼實(shí)現(xiàn)

開(kāi)始具體的編寫程序工作，分別實(shí)現(xiàn)各模塊的功能，從而實(shí)現(xiàn)對(duì)目標(biāo)系統(tǒng)的功能、性能、接口、界面等方面的要求；開(kāi)發(fā)過(guò)程中，邊開(kāi)發(fā)邊測(cè)試，系統(tǒng)完工后，通過(guò)內(nèi)部外部測(cè)試、模塊測(cè)試、整體聯(lián)調(diào)等測(cè)試方法，驗(yàn)證系統(tǒng)的整體穩(wěn)定性，不斷完善。

1.3具體應(yīng)用

軟件開(kāi)發(fā)完成，做成相關(guān)的技術(shù)文檔，系統(tǒng)上線；在具體應(yīng)用中發(fā)現(xiàn)問(wèn)題及時(shí)登記到問(wèn)題記錄冊(cè)，反饋到開(kāi)發(fā)人員，為以后的系統(tǒng)平臺(tái)升級(jí)提供依據(jù)。

2平臺(tái)功能模塊

信息安全風(fēng)險(xiǎn)評(píng)估平臺(tái)的開(kāi)發(fā)環(huán)境為/MSSQL，基于SOA軟件系統(tǒng)架構(gòu)解決學(xué)院各信息系統(tǒng)集成，通過(guò)PDCA循環(huán)模型具體實(shí)施。信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)平臺(tái)建設(shè)主要包括評(píng)估公告、用戶管理、指標(biāo)設(shè)置、綜合評(píng)估、綜合查詢、報(bào)表系統(tǒng)，數(shù)據(jù)導(dǎo)出七大模塊。

2.1評(píng)估公告模塊

評(píng)估公告模塊實(shí)現(xiàn)新聞即時(shí)，可及時(shí)更新各高校風(fēng)險(xiǎn)管理中的經(jīng)驗(yàn)交流文章、理論知識(shí)；可實(shí)現(xiàn)日常工作重要環(huán)節(jié)和重點(diǎn)風(fēng)險(xiǎn)過(guò)程的時(shí)間提醒功能，提醒重點(diǎn)工作的正常開(kāi)展，防范工作疏忽引起的信息系統(tǒng)風(fēng)險(xiǎn)。

2.2用戶管理模塊

用戶管理模塊的功能是管理用戶信息，主要包括用戶的用戶名、密碼和權(quán)限，同時(shí)支持顯示所有注冊(cè)用戶信息和刪除用戶功能；模塊可以添加系統(tǒng)管理員、評(píng)估人和評(píng)估單位，評(píng)估人員可以設(shè)置不同的權(quán)限，限制評(píng)估范圍；用戶以個(gè)人賬戶或部門賬戶，登錄到風(fēng)險(xiǎn)評(píng)估輸入列表，選擇相應(yīng)的職能部門、行業(yè)類型、風(fēng)險(xiǎn)級(jí)別指標(biāo)、以問(wèn)答的形式選擇相應(yīng)的內(nèi)置風(fēng)險(xiǎn)條目；不同的用戶登錄系統(tǒng)顯示的模塊不一樣，根據(jù)登陸權(quán)限，可自擬增加、刪除風(fēng)險(xiǎn)條目。

3.3指標(biāo)設(shè)置模塊

指標(biāo)設(shè)置模塊主要是依據(jù)國(guó)家有關(guān)信息安全風(fēng)險(xiǎn)評(píng)估指標(biāo)，實(shí)現(xiàn)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的指標(biāo)體系設(shè)置，劃分兩級(jí)指標(biāo)細(xì)化評(píng)估體系，一級(jí)指標(biāo)劃分為信息資產(chǎn)、威脅性、脆弱性，二級(jí)指標(biāo)從硬件、軟件、風(fēng)險(xiǎn)識(shí)別等細(xì)化指標(biāo)體系；實(shí)現(xiàn)指標(biāo)庫(kù)的設(shè)置，可以分配不同的被評(píng)估單位相應(yīng)的評(píng)價(jià)指標(biāo)。

2.4綜合評(píng)估模塊

綜合評(píng)估模塊包括評(píng)估列表、評(píng)估歷史。評(píng)估列表顯示所有被評(píng)估單位，某一單位用戶登錄以后，系統(tǒng)自動(dòng)調(diào)用相應(yīng)的指標(biāo)庫(kù)，回答相應(yīng)的信息系統(tǒng)安全問(wèn)題，系統(tǒng)自動(dòng)給出指標(biāo)分?jǐn)?shù)；評(píng)估歷史是不同的賬戶登錄，顯示的列表不同，管理員能查詢所有的用戶評(píng)估歷史，單位用戶只能查詢本系部的評(píng)估歷史。

2.5綜合查詢模塊

綜合查詢模塊實(shí)現(xiàn)不同單位評(píng)估次數(shù)、評(píng)估成績(jī)、各評(píng)估對(duì)象不同時(shí)間段等的評(píng)估查詢。

2.6報(bào)表系統(tǒng)模塊

報(bào)表模塊實(shí)現(xiàn)了不同單位評(píng)估次數(shù)、評(píng)估成績(jī)、各評(píng)估對(duì)象的柱狀圖的形式直觀展示。

2.7數(shù)據(jù)導(dǎo)出模塊

數(shù)據(jù)導(dǎo)出模塊實(shí)現(xiàn)了評(píng)估單位當(dāng)前總成績(jī)或歷史評(píng)估成績(jī)的數(shù)據(jù)導(dǎo)出功能，支持PDF、Word、Excel文檔格式。

3系統(tǒng)評(píng)估操作流程

系統(tǒng)管理員首先在系統(tǒng)后臺(tái)對(duì)不同的用戶設(shè)置相應(yīng)的評(píng)估指標(biāo)庫(kù)；用戶通過(guò)用戶名和密碼登錄系統(tǒng)后臺(tái)；登錄成功后系統(tǒng)會(huì)自動(dòng)調(diào)用相應(yīng)的評(píng)價(jià)指標(biāo)，用戶回答相應(yīng)的問(wèn)題；回答結(jié)束后，用戶點(diǎn)擊提交，系統(tǒng)自動(dòng)給出相應(yīng)的評(píng)估分值；用戶打印或存儲(chǔ)評(píng)估數(shù)據(jù)報(bào)告。

4平臺(tái)應(yīng)用效果

4.1為我國(guó)高校的信息系統(tǒng)風(fēng)險(xiǎn)預(yù)防和應(yīng)急處理提供建設(shè)性的意見(jiàn)

目前關(guān)于我國(guó)高校風(fēng)險(xiǎn)評(píng)估研究的大多停留在某些具體領(lǐng)域，主要是對(duì)宏觀風(fēng)險(xiǎn)管理和財(cái)務(wù)風(fēng)險(xiǎn)狀況進(jìn)行探討，對(duì)信息系統(tǒng)安全的研究較少。信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)平臺(tái)對(duì)高校信息安全風(fēng)險(xiǎn)進(jìn)行定量分析評(píng)估，為我國(guó)高校信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估提供了一個(gè)重要平臺(tái)，為高校的信息系統(tǒng)風(fēng)險(xiǎn)預(yù)防和應(yīng)急處理提供一些建設(shè)性的意見(jiàn)。

4.2為高校各級(jí)信息系統(tǒng)管理者提供了處理信息系統(tǒng)

風(fēng)險(xiǎn)的決策依據(jù)系統(tǒng)實(shí)現(xiàn)各級(jí)信息系統(tǒng)管理者可實(shí)時(shí)查詢部門風(fēng)險(xiǎn)評(píng)估，針對(duì)高校日常管理中可能面臨的各類信息系統(tǒng)安全風(fēng)險(xiǎn)、建議應(yīng)對(duì)措施、突發(fā)事件、應(yīng)急預(yù)案、法律法規(guī)等相關(guān)風(fēng)險(xiǎn)管理文檔查詢，為科學(xué)決策提供依據(jù)。

4.3信息系統(tǒng)安全風(fēng)險(xiǎn)處理更迅速

信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估平臺(tái)與學(xué)院網(wǎng)絡(luò)安全教育平臺(tái)、運(yùn)維網(wǎng)站數(shù)據(jù)整合，當(dāng)網(wǎng)絡(luò)遭受攻擊、病毒肆虐時(shí)，能第一時(shí)間獲得相關(guān)信息，為快速解決信息系統(tǒng)安全風(fēng)險(xiǎn)創(chuàng)造了條件。

4.4提高了全校師生網(wǎng)絡(luò)安全防范和參與意識(shí)

通過(guò)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估平臺(tái)，全院師生提高了網(wǎng)絡(luò)安全防范和參與意識(shí)，為河南牧業(yè)經(jīng)濟(jì)學(xué)院網(wǎng)絡(luò)信息化建設(shè)出謀劃策，促進(jìn)學(xué)校領(lǐng)導(dǎo)和有關(guān)職能部門制定和完善網(wǎng)絡(luò)有關(guān)管理制度。

4.5規(guī)范了全校師生的上網(wǎng)行為，減少了網(wǎng)絡(luò)攻擊

全校師生通過(guò)平臺(tái)了解學(xué)校網(wǎng)絡(luò)管理相關(guān)制度和管理方式，認(rèn)識(shí)到自己的上網(wǎng)行為在學(xué)校監(jiān)督管理中，從而自覺(jué)規(guī)范自身的上網(wǎng)行為。平臺(tái)為引導(dǎo)師生正確使用網(wǎng)絡(luò)、規(guī)避風(fēng)險(xiǎn)，保障校園網(wǎng)網(wǎng)絡(luò)良好正常運(yùn)轉(zhuǎn)起到了積極的作用。通過(guò)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的漏洞查找，各系部加強(qiáng)了網(wǎng)絡(luò)安全知識(shí)普及、全員參與、相關(guān)規(guī)章制度的約束，一直困擾我院網(wǎng)管人員的網(wǎng)絡(luò)非法攻擊，特別是破壞后果更難預(yù)測(cè)的內(nèi)部網(wǎng)絡(luò)攻擊得到了有效的遏制。

5結(jié)束語(yǔ)

第9篇：信息系統(tǒng)安全運(yùn)維服務(wù)范文

關(guān)鍵詞：銀行信息 信息系統(tǒng) 安全問(wèn)題

前言

銀行信息系統(tǒng)的安全保障要以縝密的分析為前提，制定詳細(xì)的對(duì)策， 充分利用安全技術(shù)、安全產(chǎn)品來(lái)實(shí)現(xiàn)安全措施。本文以泰安農(nóng)村信用 社為例闡述銀行信息安全問(wèn)題.

1．信息安全分析 銀行信息系統(tǒng)具有服務(wù)范圍廣泛，平臺(tái)復(fù)雜多樣，業(yè)務(wù)品種不斷 更新的特點(diǎn)。因此銀行信息系統(tǒng)龐大而復(fù)雜，信息安全涉及方面眾多， 我們大體可以按照安全管理、信息資產(chǎn)與環(huán)境、主機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、 日常運(yùn)維五個(gè)方面進(jìn)行分析.

1.1安全管理問(wèn)題分析.

泰安農(nóng)村信用社信息系統(tǒng)一貫重視系統(tǒng)安全，但對(duì)與系統(tǒng)安全的 管理仍處于比較傳統(tǒng)的模式，即一種靜態(tài)的、局部的、少數(shù)人負(fù)責(zé)的、 突擊式的、事后糾正式的管理方式；安全管理偏重對(duì)業(yè)務(wù)的保障，在內(nèi) 部管理上相對(duì)比較松散；一些安全管理策略和制度規(guī)范比較宏觀，在 可操作性和實(shí)效性上還值得進(jìn)一步探討與改進(jìn).

1.2信息資產(chǎn)與環(huán)境問(wèn)題分析.

泰安農(nóng)信信息系統(tǒng)依照相關(guān)的規(guī)定進(jìn)行建設(shè)。目前還需要改進(jìn)的 問(wèn)題為包括物理環(huán)境的單點(diǎn)故障隱患及不可抗力因素導(dǎo)致的系統(tǒng)安 全的風(fēng)險(xiǎn)；對(duì)信息資產(chǎn)的保護(hù)缺乏信息資產(chǎn)分類體系，無(wú)法實(shí)現(xiàn)對(duì)設(shè) 備的購(gòu)置、維修、報(bào)廢等環(huán)節(jié)的實(shí)時(shí)管理.

1.3主機(jī)系統(tǒng)問(wèn)題分析 信息中心的主機(jī)上存放大量的業(yè)務(wù)數(shù)據(jù)，對(duì)全轄提供數(shù)據(jù)服務(wù)及 技術(shù)支持，保證轄內(nèi)計(jì)算機(jī)系統(tǒng)全年365天、全天24小時(shí)不間斷運(yùn) 行，因此主機(jī)采用高可用性和全冗余結(jié)構(gòu)的主機(jī)系統(tǒng)，配置磁盤陣列 存儲(chǔ)數(shù)據(jù).

目前面臨維護(hù)錯(cuò)誤和操作失誤、未經(jīng)授權(quán)訪問(wèn)和操作、權(quán)限濫用、 硬件故障、數(shù)據(jù)庫(kù)本身存在的安全漏洞等威脅.

1.4網(wǎng)絡(luò)系統(tǒng)問(wèn)題分析 現(xiàn)行銀行計(jì)算機(jī)網(wǎng)絡(luò)是銀行計(jì)算機(jī)信息系統(tǒng)中最易受攻擊又最 難以防范的薄弱環(huán)節(jié)，為了保障網(wǎng)絡(luò)安全，目前采取的的措施有增加 防火墻，對(duì)連接科技中心主機(jī)全部做了限制，安裝了IDS入侵檢測(cè)系 統(tǒng)。還存在以下問(wèn)題：主交換機(jī)雖然劃分了VLAN，但劃分VLAN數(shù)量 少，無(wú)法滿足業(yè)務(wù)高速發(fā)展需要；辦公網(wǎng)現(xiàn)在沒(méi)有邏輯劃分；在省市和 市縣之間沒(méi)有實(shí)施QOS策略，存在一定網(wǎng)絡(luò)擁塞的風(fēng)險(xiǎn).

1.5日常運(yùn)維問(wèn)題分析 目前日常運(yùn)維工作繁重，日常運(yùn)維只是通過(guò)已有的書面的操作流 程進(jìn)行操作，無(wú)法記錄操作結(jié)果，對(duì)日常運(yùn)維缺乏審計(jì)性；機(jī)房主要依 靠人工巡查等手段進(jìn)行監(jiān)控，存在不能及時(shí)發(fā)現(xiàn)問(wèn)題的隱患。對(duì)于登 陸信息系統(tǒng)的網(wǎng)點(diǎn)柜員身份驗(yàn)證停留在“用戶名+密碼”階段，存在非 法入侵的安全隱患.

2.信息安全風(fēng)險(xiǎn)識(shí)別 通過(guò)對(duì)泰安農(nóng)村信用社進(jìn)行信息資產(chǎn)識(shí)別，逐項(xiàng)進(jìn)行風(fēng)險(xiǎn)評(píng)估， 并制訂風(fēng)險(xiǎn)控制措施.

2.1確定資產(chǎn)風(fēng)險(xiǎn)等級(jí) 全面了解泰安農(nóng)信信息系統(tǒng)安全現(xiàn)狀，采用定性與定量相結(jié)合的 方法，并依據(jù)標(biāo)準(zhǔn)要求充分考慮到資產(chǎn)的安全價(jià)值、威脅、薄弱點(diǎn)、威 脅發(fā)生的可能性、威脅造成的潛在響應(yīng)等因素，將各個(gè)資產(chǎn)所面臨的 眾多威脅因素統(tǒng)一起來(lái)描述.

2.2明確風(fēng)險(xiǎn)控制方法 根據(jù)風(fēng)險(xiǎn)評(píng)估表，對(duì)該資產(chǎn)已經(jīng)識(shí)別出的風(fēng)險(xiǎn)點(diǎn)，在現(xiàn)有的控制 措施之外，進(jìn)一步提出解決該風(fēng)險(xiǎn)點(diǎn)的新方法或新措施，以使風(fēng)險(xiǎn)降 低到可接受的程度，并明確責(zé)任人，制定一個(gè)切實(shí)可行的風(fēng)險(xiǎn)處理計(jì) 劃。3.信息安全問(wèn)題解決 根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果及風(fēng)險(xiǎn)控制方案，依照安全管理體系的要求 對(duì)準(zhǔn)備階段中涉及的各類問(wèn)題集中解決，使得在信息系統(tǒng)受到侵襲 時(shí)，確保業(yè)務(wù)持續(xù)開(kāi)展并將損失降到最低程度.

3.1安全管理的安全實(shí)現(xiàn) 針對(duì)目前泰安農(nóng)信信息系統(tǒng)在安全管理方面存在的問(wèn)題，信息安 全人員仔細(xì)分析問(wèn)題，提出問(wèn)題解決方案如下.

3.1.1明確指出系統(tǒng)中每位員工的責(zé)權(quán)問(wèn)題.

3.1.2建立較完善的信息科技制度體系，明確泰安農(nóng)信信息系統(tǒng) 工作流程，避免管理混亂.

3.1.3建立規(guī)范的信息系統(tǒng)風(fēng)險(xiǎn)防控和應(yīng)急處置流程，逐步提高 突發(fā)事件的應(yīng)急能力.

3.2信息資產(chǎn)與環(huán)境的安全實(shí)現(xiàn) 針對(duì)目前泰安農(nóng)信信息系統(tǒng)在信息資產(chǎn)與環(huán)境方面存在的問(wèn)題， 信息安全人員仔細(xì)分析問(wèn)題，提出如下問(wèn)題解決方案.

3.2.1引入“計(jì)算機(jī)設(shè)備管理系統(tǒng)”軟件，規(guī)范設(shè)備管理。對(duì)設(shè)備的 購(gòu)置、維修、報(bào)廢等環(huán)節(jié)的管理的問(wèn)題進(jìn)行跟蹤記錄.

3.2.2對(duì)銀行設(shè)備與物理環(huán)境進(jìn)行容災(zāi)規(guī)劃，實(shí)施容災(zāi)系統(tǒng)。對(duì)通 訊線路及硬件設(shè)備進(jìn)行冗余備份；對(duì)重要數(shù)據(jù)制定完善的備份規(guī)則.

3.3主機(jī)系統(tǒng)的安全實(shí)現(xiàn) 針對(duì)目前泰安農(nóng)信信息系統(tǒng)在主機(jī)系統(tǒng)方面存在的問(wèn)題，信息安 全人員仔細(xì)分析問(wèn)題，提出如下問(wèn)題解決方案.

3.3.1開(kāi)發(fā)備份配置軟件，保存每次設(shè)置變更情況，使設(shè)置變更有 跡可循.

3.3.2為保證數(shù)據(jù)信息安全，采用雙機(jī)熱備、重要數(shù)據(jù)遠(yuǎn)程備份、 異地存放等多種措施避免系統(tǒng)風(fēng)險(xiǎn).

3.3.3應(yīng)用“運(yùn)維安全管理系統(tǒng)”對(duì)操作員的操作進(jìn)行限制，杜絕 由于操作用戶權(quán)限過(guò)大而造成的安全隱患.

3.4網(wǎng)絡(luò)信息的安全實(shí)現(xiàn) 主要包括信用社內(nèi)部數(shù)據(jù)傳輸線路的安全實(shí)現(xiàn)、第三方接入的安 全實(shí)現(xiàn)等。泰安農(nóng)信采用SDH線路進(jìn)行組網(wǎng)；通過(guò)端點(diǎn)隔離方式實(shí)現(xiàn) 業(yè)務(wù)和辦公網(wǎng)絡(luò)分離；通過(guò)整體路由規(guī)劃和QOS規(guī)劃實(shí)現(xiàn)對(duì)各業(yè)務(wù) 數(shù)據(jù)流的控制；內(nèi)網(wǎng)配置了多套防火墻，實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)的通訊訪問(wèn)的控 制與隔離.

3.5日常運(yùn)維的安全實(shí)現(xiàn) 針對(duì)目前泰安農(nóng)信信息系統(tǒng)在日常運(yùn)維方面存在的問(wèn)題，信息安 全人員仔細(xì)分析問(wèn)題，提出如下問(wèn)題解決方案.

3.5.1建立網(wǎng)絡(luò)化的運(yùn)維機(jī)制。探索建立科技服務(wù)聯(lián)動(dòng)網(wǎng).

3.5.2分析日常工作流程，開(kāi)發(fā)“電子日志系統(tǒng)”，確保日常工作不 會(huì)遺漏，并記錄操作員日常操作，保證操作過(guò)程的可審計(jì)性.

3.5.3建立機(jī)房自動(dòng)監(jiān)控系統(tǒng)，實(shí)時(shí)監(jiān)控放置、設(shè)備的運(yùn)行狀態(tài)及 工作參數(shù)，發(fā)現(xiàn)部件故障或參數(shù)異常，及時(shí)報(bào)警，并可記錄歷史數(shù)據(jù)和 報(bào)警時(shí)間.