前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網(wǎng)絡(luò)信息安全等級(jí)保護(hù)主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網(wǎng)絡(luò)信息安全等級(jí)保護(hù)范文

信息安全等級(jí)保護(hù)制度是我國(guó)信息安全保障工作的基本制度。本文從信息安全等級(jí)保護(hù)的概念入手，結(jié)合金融行業(yè)的實(shí)際情況闡述了信息安全等級(jí)保護(hù)實(shí)施的必要性。

【關(guān)鍵詞】信息安全 等級(jí)保護(hù) 建設(shè)

隨著全球信息化程度的不斷提高，人類生活對(duì)信息網(wǎng)絡(luò)的依賴程度不斷提高，信息網(wǎng)絡(luò)科技已經(jīng)逐步滲透到人們生活的方方面面，對(duì)國(guó)家安全、社會(huì)秩序和公眾權(quán)益的影響日益突出，各國(guó)在信息安全方面的重視程度也日趨提高。我國(guó)為了保障國(guó)家安全，維護(hù)社會(huì)秩序和公眾利益不受侵害，在2007年制定了信息安全等級(jí)保護(hù)制度。實(shí)施信息安全等級(jí)保護(hù)工作不僅是提升信息化安全防護(hù)水平的重要手段，更是落實(shí)國(guó)家信息安全保障要求的重要內(nèi)容。

1 信息安全等級(jí)保護(hù)綜述

“信息安全等級(jí)保護(hù)”是國(guó)家制定的信息安全管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，是保障和促進(jìn)信息化建設(shè)健康發(fā)展的一項(xiàng)基本制度。具體地說(shuō)，就是對(duì)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)按其重要程度及實(shí)際安全需求，分等級(jí)進(jìn)行保護(hù)，按標(biāo)準(zhǔn)進(jìn)行建設(shè)，按要求進(jìn)行管理和監(jiān)督，確保信息系統(tǒng)安全正常運(yùn)行，提高信息系統(tǒng)安全綜合防護(hù)能力，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益。

2 信息安全等級(jí)保護(hù)的現(xiàn)狀

2.1 各主要行業(yè)信息安全等級(jí)保護(hù)工作開(kāi)展程度不一

電力、電信、鐵路、稅務(wù)等一些重要行業(yè)等級(jí)保護(hù)工作進(jìn)展較快，在進(jìn)行信息安全等級(jí)保護(hù)工作中結(jié)合各行業(yè)特點(diǎn)和行業(yè)的特殊安全需求制定了行業(yè)的等級(jí)保護(hù)規(guī)范或細(xì)則。相對(duì)而言，銀行、交通、文化等行業(yè)目前等級(jí)保護(hù)工作進(jìn)展緩慢。中國(guó)電力財(cái)務(wù)有限公司（以下簡(jiǎn)稱“公司”）作為電力行業(yè)直屬的非銀行金融機(jī)構(gòu)，按照國(guó)家電網(wǎng)公司要求很早已經(jīng)開(kāi)展相關(guān)工作，但由于公司業(yè)務(wù)與機(jī)構(gòu)設(shè)置對(duì)于電力行業(yè)主業(yè)有很大區(qū)別，在信息安全等級(jí)保護(hù)的建設(shè)上只涉及公司總部，對(duì)于各分支機(jī)構(gòu)的相關(guān)工作并未開(kāi)展。直到2012年7月中國(guó)人民銀行正式了《金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施指引》、《金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)測(cè)評(píng)指南》、《金融行業(yè)信息安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)安全指引》三個(gè)文件，對(duì)金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)建設(shè)提出了具體要求，為等級(jí)保護(hù)實(shí)施、測(cè)評(píng)、整改工作提供了強(qiáng)大的政策支持，并明確了區(qū)域性金融機(jī)構(gòu)信息系統(tǒng)安全等級(jí)保護(hù)工作的具體要求。金融行業(yè)等級(jí)保護(hù)標(biāo)準(zhǔn)依據(jù)國(guó)家要求和行業(yè)特點(diǎn)，細(xì)化、補(bǔ)充了大量?jī)?nèi)容，保留國(guó)家等級(jí)保護(hù)基本要求二級(jí)要求、三級(jí)要求、四級(jí)要求項(xiàng)590項(xiàng)，補(bǔ)充細(xì)化要求項(xiàng)193項(xiàng)，新增金融行業(yè)特色要求項(xiàng)269項(xiàng)。

2.2 金融機(jī)構(gòu)對(duì)信息安全等級(jí)保護(hù)的認(rèn)識(shí)不足

由于對(duì)信息安全的理解不夠，在對(duì)于信息安全的資金投入，往往用于購(gòu)買(mǎi)硬件安全設(shè)備，認(rèn)為有了這些看得見(jiàn)摸得著的安全產(chǎn)品就可以確保安全了。但是根據(jù)人民銀行頒布的《金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施指引》中以國(guó)家等級(jí)保護(hù)要求為原則，以金融行業(yè)特點(diǎn)為基礎(chǔ)，提出了構(gòu)建“兩項(xiàng)要求”和“兩個(gè)體系”的金融行業(yè)信息安全保障總體框架。

該框架通過(guò)技術(shù)要求與管理要求的交融以及技術(shù)體系與管理體系的互補(bǔ)，從安全保障要求和安全保障方法兩方面體現(xiàn)技術(shù)與管理并重的基本思想。也就是說(shuō)必須是管理制度體系和技術(shù)防護(hù)體系互相融合，僅僅靠技術(shù)防護(hù)體系是無(wú)法構(gòu)建完善的安全保障體系。同時(shí)，管理體系是遵照“建立、實(shí)施、執(zhí)行、監(jiān)控、審計(jì)、保持、改進(jìn)”的過(guò)程進(jìn)行類似生命周期的思路形成生命環(huán)的管理方法，而公司在這方面的認(rèn)知還有待提高。與此同時(shí)金融行業(yè)從業(yè)人員以為財(cái)務(wù)及管理人員為主，而具有計(jì)算機(jī)、信息安全等級(jí)保護(hù)知識(shí)的人非常少，加強(qiáng)信息化人才與金融人才相結(jié)合的復(fù)合型人才培養(yǎng)，是推進(jìn)金融行業(yè)信息化建設(shè)和信息安全等級(jí)保護(hù)工作的重點(diǎn)。

2.3 缺少信息安全等級(jí)保護(hù)相關(guān)知識(shí)經(jīng)驗(yàn)

目前信息安全等級(jí)保護(hù)工作采用自主定級(jí)的方法，缺乏精確參考的標(biāo)準(zhǔn)和考量值。如果負(fù)責(zé)信息安全工作的人員對(duì)等級(jí)保護(hù)的概念不明晰，對(duì)等級(jí)保護(hù)的適用范圍把握不準(zhǔn)確，就會(huì)導(dǎo)致對(duì)信息系統(tǒng)的定級(jí)備案不合適，同時(shí)對(duì)于信息系統(tǒng)的升級(jí)或者調(diào)整導(dǎo)致需要重新定級(jí)備案的，如未能及時(shí)將信息上報(bào)備案，也將影響信息安全等級(jí)保護(hù)后續(xù)工作的順利開(kāi)展。如果信息安全定級(jí)過(guò)高，大于本單位要需要的等級(jí)，也將導(dǎo)致本單位資源浪費(fèi)，降低系統(tǒng)運(yùn)行效率，增加日常管理負(fù)擔(dān)；如定級(jí)過(guò)低，將導(dǎo)致系統(tǒng)得不到必要安全保護(hù)，也容易引發(fā)系統(tǒng)安全問(wèn)題。

3 開(kāi)展信息安全等級(jí)保護(hù)的必要性

開(kāi)展信息安全等級(jí)保護(hù)工作是保護(hù)信息化發(fā)展、維護(hù)國(guó)家信息安全的根本保障。實(shí)行信息安全等級(jí)保護(hù)是在借鑒國(guó)外先進(jìn)經(jīng)驗(yàn)和結(jié)合我國(guó)國(guó)情的基礎(chǔ)上，解決我國(guó)信息網(wǎng)絡(luò)安全的必然選擇。

3.1 落實(shí)國(guó)家政策標(biāo)準(zhǔn)和要求

對(duì)信息系統(tǒng)實(shí)行等級(jí)保護(hù)是國(guó)家法定制度和基本國(guó)策，是開(kāi)展信息安全工作的有效辦法，是信息安全工作的發(fā)展方向。我國(guó)政府對(duì)基礎(chǔ)架構(gòu)的安全一直非常重視，在“十二五規(guī)劃”中首次將“加強(qiáng)網(wǎng)絡(luò)與信息安全保障”作為重要章節(jié)突出，這充分顯示了國(guó)家對(duì)信息安全的重視程度。國(guó)家態(tài)度明確了，信息安全等級(jí)保護(hù)制度作為國(guó)家信息安全保障領(lǐng)域的一項(xiàng)基本制度，必須在各單位得到有效貫徹落實(shí)。

3.2 有效降低信息化建設(shè)成本

等級(jí)保護(hù)測(cè)評(píng)的核心思想就是按照信息系統(tǒng)的重要程度及實(shí)際安全需求，合理投入，分級(jí)進(jìn)行保護(hù)，將有限的資源最大化的投入到重要信息系統(tǒng)的建設(shè)中，更加有效的保障重要信息系統(tǒng)安全可靠運(yùn)行，促進(jìn)信息化建設(shè)健康發(fā)展。按照定級(jí)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)進(jìn)行符合性測(cè)評(píng)，根據(jù)測(cè)評(píng)結(jié)果，有針對(duì)性的在建設(shè)整改時(shí)，對(duì)造成信息系統(tǒng)高風(fēng)險(xiǎn)的漏洞和問(wèn)題進(jìn)行建設(shè)整改，能有效的控制信息化建設(shè)成本，既促進(jìn)了信息化建設(shè)的健康發(fā)展，也保證了系統(tǒng)的可靠運(yùn)行。

3.3 切實(shí)提高信息安全整體水平

信息系統(tǒng)安全等級(jí)保護(hù)作為對(duì)信息安全系統(tǒng)分級(jí)分類保護(hù)的一項(xiàng)國(guó)家標(biāo)準(zhǔn)，對(duì)于完善信息安全標(biāo)準(zhǔn)體系，提高信息安全的整體水平，以及增強(qiáng)信息系統(tǒng)安全保護(hù)的整體性、針對(duì)性和時(shí)效性都具有非常重要的意義。在信息化建設(shè)過(guò)程中同步建設(shè)信息安全設(shè)施，可以有效保障信息安全與信息化建設(shè)相協(xié)調(diào)；通過(guò)加強(qiáng)對(duì)重要信息系統(tǒng)的安全保護(hù)和管理監(jiān)督，可以明確信息系統(tǒng)的安全責(zé)任，強(qiáng)化管理職能，有效落實(shí)各項(xiàng)安全建設(shè)和安全管理措施，最終切實(shí)提高信息安全整體防護(hù)能力。

作者簡(jiǎn)介

朱勇（1978-），男，陜西省西安市人?，F(xiàn)為中國(guó)電力財(cái)務(wù)有限公司西北分公司信息化工作部經(jīng)理助理。

第2篇：網(wǎng)絡(luò)信息安全等級(jí)保護(hù)范文

關(guān)鍵詞：等級(jí)保護(hù) 信息系統(tǒng) 安全策略

中圖分類號(hào)：TP391.41 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2015）12-0000-00

隨著我國(guó)信息化建設(shè)的高速發(fā)展，信息技術(shù)水平的日益提高，眾多單位、組織都建立了自己的信息系統(tǒng)，以充分利用各類網(wǎng)絡(luò)信息資源。與此同時(shí)，各種非法入侵和盜竊、計(jì)算機(jī)病毒、拒絕服務(wù)攻擊、機(jī)密數(shù)據(jù)被篡改和竊取、網(wǎng)絡(luò)癱瘓等安全問(wèn)題也時(shí)刻威脅著我國(guó)網(wǎng)絡(luò)的安全。因此，維護(hù)網(wǎng)絡(luò)信息安全的任務(wù)異常艱巨、繁重。信息安全等級(jí)保護(hù)制度的建立，可以有效地解決我國(guó)網(wǎng)絡(luò)信息安全面臨的威脅及存在的問(wèn)題。

隨著信息安全等級(jí)保護(hù)工作的深入開(kāi)展，不同等級(jí)信息系統(tǒng)之間的互聯(lián)、互通、互操作是當(dāng)前研究的熱點(diǎn)和難點(diǎn)，其中，如何制定有效的安全策略，確保信息在多級(jí)互聯(lián)信息系統(tǒng)間安全流通，是亟待解決的關(guān)鍵問(wèn)題。

1信息安全等級(jí)保護(hù)

信息安全等級(jí)保護(hù)是指對(duì)國(guó)家重要信息、法人和其他組織及公民的專有信息以及公開(kāi)信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。

等級(jí)保護(hù)環(huán)境下的信息系統(tǒng)一般由安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心構(gòu)成。其中，安全計(jì)算環(huán)境是對(duì)信息系統(tǒng)的信息進(jìn)行存儲(chǔ)、處理的相關(guān)部件；安全區(qū)域邊界是對(duì)信息系統(tǒng)的各個(gè)區(qū)域之間實(shí)現(xiàn)連接并實(shí)施訪問(wèn)控制的相關(guān)部件；安全通信網(wǎng)絡(luò)是保障信息在系統(tǒng)內(nèi)安全傳輸及安全策略實(shí)施的相關(guān)部件；安全管理中心是對(duì)信息系統(tǒng)的安全策略及安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)上的安全機(jī)制實(shí)施統(tǒng)一管理的平臺(tái)。

2多級(jí)互聯(lián)信息系統(tǒng)

我國(guó)信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)將信息系統(tǒng)按照安全保護(hù)能力劃分為五個(gè)安全等級(jí)，一些重要、大型的信息系統(tǒng)中可能存在多個(gè)不同等級(jí)的子系統(tǒng)，不同等級(jí)信息系統(tǒng)之間要實(shí)現(xiàn)可信互聯(lián)，由于信任體系和運(yùn)行模式不盡相同，互聯(lián)互通會(huì)導(dǎo)致安全風(fēng)險(xiǎn)的進(jìn)一步增加，尤其是低等級(jí)信息系統(tǒng)可能通過(guò)惡意授權(quán)給高等級(jí)信息系統(tǒng)帶來(lái)權(quán)限失控風(fēng)險(xiǎn)。

因此，需要建立一個(gè)總體的安全管理中心，將不同安全等級(jí)的子系統(tǒng)連接在一起，通過(guò)協(xié)同合作，實(shí)現(xiàn)特定的功能服務(wù)，這就是多級(jí)互聯(lián)信息系統(tǒng)。在多級(jí)互聯(lián)信息系統(tǒng)中，各個(gè)子系統(tǒng)和互聯(lián)系統(tǒng)本身，都需要實(shí)施信息分級(jí)分類保護(hù)，從而確保系統(tǒng)間的交互協(xié)作及信息流動(dòng)，保障系統(tǒng)的安全。

本文將在信息安全等級(jí)保護(hù)的要求下，研究多級(jí)互聯(lián)信息系統(tǒng)安全策略的制定，從而較好地解決多級(jí)互聯(lián)系統(tǒng)的安全風(fēng)險(xiǎn)問(wèn)題，確保系統(tǒng)安全。

3多級(jí)互聯(lián)信息系統(tǒng)安全策略的制定

安全策略是為規(guī)范網(wǎng)絡(luò)安全防護(hù)工作，保證網(wǎng)絡(luò)正常使用、發(fā)揮網(wǎng)絡(luò)效能所必須強(qiáng)制執(zhí)行的一系列要求、規(guī)范或操作。其主要作用是針對(duì)被保護(hù)對(duì)象面臨的主要威脅，圍繞安全防護(hù)目標(biāo)，提出網(wǎng)絡(luò)安全防護(hù)具體要求，指導(dǎo)安全管理行動(dòng)。確定并實(shí)施網(wǎng)絡(luò)安全策略是對(duì)網(wǎng)絡(luò)進(jìn)行有效安全管理的基礎(chǔ)和依據(jù)，是網(wǎng)絡(luò)信息系統(tǒng)安全保障的核心和起點(diǎn)，是實(shí)現(xiàn)網(wǎng)絡(luò)安全管理和技術(shù)措施的前提。因此，為了確保多級(jí)互聯(lián)信息系統(tǒng)安全有效地運(yùn)行，制定明確和合理的安全策略就成為了關(guān)鍵。

3.1指導(dǎo)思想

根據(jù)不同應(yīng)用類別和安全等級(jí)防護(hù)目標(biāo)的需求，給出安全防護(hù)策略的框架，研究制定各類網(wǎng)絡(luò)相應(yīng)的安全防護(hù)策略，并保證制定的安全策略具有較高的規(guī)范性、完備性和有效性。安全策略的制定與實(shí)施應(yīng)當(dāng)遵循“局部策略符合全局策略、下級(jí)策略符合上級(jí)策略”的原則。同時(shí)，隨著信息技術(shù)的發(fā)展以及系統(tǒng)的升級(jí)、調(diào)整，安全策略也應(yīng)該隨之進(jìn)行重新評(píng)估和制定，隨時(shí)保持策略與安全目標(biāo)的一致性，確保信息系統(tǒng)安全有效地運(yùn)行。

3.2基本原則

基于以上思想，制定多級(jí)互聯(lián)信息系統(tǒng)安全策略時(shí)應(yīng)遵循以下原則：

（1）統(tǒng)一領(lǐng)導(dǎo)，分級(jí)負(fù)責(zé)。針對(duì)系統(tǒng)、數(shù)據(jù)、用戶等保護(hù)對(duì)象，按照同類、同級(jí)集中的原則進(jìn)行等級(jí)保護(hù)級(jí)別的劃分，確定安全保護(hù)等級(jí)對(duì)應(yīng)的適用范圍及具體組織實(shí)施單位。（2）廣域監(jiān)察，局域管控。依托總體安全管理中心，建立多級(jí)互聯(lián)系統(tǒng)廣域安全監(jiān)察機(jī)制，監(jiān)督、檢查各安全域網(wǎng)絡(luò)節(jié)點(diǎn)和用戶網(wǎng)絡(luò)安全策略的配置執(zhí)行情況，監(jiān)測(cè)重要骨干網(wǎng)絡(luò)流量，預(yù)警網(wǎng)絡(luò)攻擊和入侵行為，形成網(wǎng)絡(luò)安全實(shí)時(shí)態(tài)勢(shì)；在各安全域網(wǎng)絡(luò)節(jié)點(diǎn)和用戶網(wǎng)絡(luò)建立局域安全管控機(jī)制，依托各級(jí)安全管理中心，對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)和用戶網(wǎng)絡(luò)的安全設(shè)備、主機(jī)系統(tǒng)的安全策略和安全事件進(jìn)行集中統(tǒng)一管理，實(shí)現(xiàn)網(wǎng)內(nèi)各類資源的可控可管，提高系統(tǒng)整體防護(hù)能力和維護(hù)管理效率。（3）分區(qū)分域，適度防護(hù)。根據(jù)等級(jí)保護(hù)的思想，在劃分的安全域中，一方面要遵循等級(jí)保護(hù)要求，加強(qiáng)主動(dòng)防范措施；另一方面要針對(duì)各安全域業(yè)務(wù)特點(diǎn)的保護(hù)強(qiáng)度，在不影響系統(tǒng)整體安全性的前提下，進(jìn)一步對(duì)各域的安全策略進(jìn)行設(shè)置，并確保這些策略的相對(duì)性、獨(dú)立性及關(guān)聯(lián)性。（4）區(qū)域自治，聯(lián)防聯(lián)動(dòng)：各安全域根據(jù)總體安全管理中心下發(fā)的安全策略，結(jié)合自身特定的安全需求，實(shí)施本區(qū)域內(nèi)的安全防護(hù)和管理。依托總體安全管理中心，建立廣域網(wǎng)上下一體的預(yù)警響應(yīng)和聯(lián)防聯(lián)動(dòng)機(jī)制；依托各級(jí)安全管理中心，建立局域網(wǎng)內(nèi)各安全設(shè)備之間的檢測(cè)響應(yīng)和聯(lián)防聯(lián)動(dòng)機(jī)制；并在各級(jí)安全管理中心、重要骨干節(jié)點(diǎn)、用戶網(wǎng)絡(luò)之間建立安全事件響應(yīng)和應(yīng)急協(xié)調(diào)機(jī)制。

第3篇：網(wǎng)絡(luò)信息安全等級(jí)保護(hù)范文

關(guān)鍵詞：信息安全；等級(jí)保護(hù)；定級(jí)制度

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）03-0045-02

信息安全等級(jí)保護(hù)制度的建設(shè)，是隨著經(jīng)濟(jì)建設(shè)和信息化建設(shè)的全面展開(kāi)而進(jìn)行的。對(duì)國(guó)家重要的信息系統(tǒng)等進(jìn)行定級(jí)保護(hù)，可以提高信息系統(tǒng)的工作效率，在大數(shù)據(jù)、云計(jì)算的技術(shù)支持下，實(shí)現(xiàn)全系統(tǒng)的信息安全。為此國(guó)家多部門(mén)早已出臺(tái)多項(xiàng)關(guān)于信息安全的制度和規(guī)定，明確說(shuō)明國(guó)家信息安全保障工作的基本制度之一就是信息安全等級(jí)保護(hù)制度。其工作流程包含定級(jí)、對(duì)級(jí)別的建設(shè)和整改、測(cè)評(píng)建設(shè)整改工作、向主管公安部門(mén)備案；監(jiān)管信息系統(tǒng)。其中首要階段的定級(jí)工作，是作為等級(jí)保護(hù)的起始，為后面四個(gè)階段的工作奠定基礎(chǔ)。

1 信息系統(tǒng)安全等級(jí)保護(hù)政策概述

我國(guó)在信息技術(shù)的浪潮退推動(dòng)下，各行各業(yè)都在面臨信息化、智能化的轉(zhuǎn)型升級(jí)帶來(lái)的沖擊和挑戰(zhàn)。需要建設(shè)的信息化項(xiàng)目不斷增多，很多領(lǐng)域的業(yè)務(wù)都要采用網(wǎng)絡(luò)信息系統(tǒng)作為載體，因此，信息系統(tǒng)的數(shù)量和結(jié)構(gòu)都在增加和復(fù)雜化，對(duì)信息進(jìn)行等級(jí)保護(hù)就被提上了日程。

2008年，我國(guó)首部信息安全等級(jí)保護(hù)管理辦法由公安部下發(fā)，信息系統(tǒng)有了等級(jí)的劃分，并且對(duì)信息系統(tǒng)的保護(hù)也有了明確的管理規(guī)定。2008年，信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)上升到了國(guó)家級(jí)別的標(biāo)準(zhǔn)，擁有了定級(jí)指南，對(duì)于信息系統(tǒng)安全等級(jí)定級(jí)工作來(lái)說(shuō)，意味著擁有了定級(jí)的方法和準(zhǔn)則。2009年，關(guān)于整改信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)證實(shí)下發(fā)，要求對(duì)信息安全等級(jí)保護(hù)的整改要按照測(cè)評(píng)工作的標(biāo)準(zhǔn)展開(kāi)。這是第一次對(duì)信息安全等級(jí)保護(hù)測(cè)評(píng)體系的建設(shè)進(jìn)行的規(guī)定。

2 信息系統(tǒng)的安全定級(jí)

在信息安全技術(shù)等級(jí)定級(jí)指南中，對(duì)于信息技術(shù)的重要性以及遭到破壞的危害性進(jìn)行了詳細(xì)的闡述，從公共安全、社會(huì)利益、公民權(quán)益等幾個(gè)方面，將信息系統(tǒng)的安全等級(jí)劃分為五個(gè)等級(jí)：

第一級(jí)為當(dāng)信息安全被侵犯，國(guó)家利益、公共安全等合法權(quán)益就會(huì)被損壞，但是國(guó)家安全、社會(huì)利益和公共秩序不會(huì)受到損害。

第二級(jí)為當(dāng)信息安全被侵犯，公民的合法權(quán)益就會(huì)被侵害，但是國(guó)家安全不會(huì)受到破壞。

第三級(jí)為當(dāng)信息系統(tǒng)受到侵犯后，社會(huì)秩序和公共利益被損壞，進(jìn)而產(chǎn)生對(duì)國(guó)家安全的損害。

第四級(jí)是信息系統(tǒng)受到破壞，社會(huì)秩序、公共利益、國(guó)家安全都會(huì)受到特別嚴(yán)重的損傷。

第五級(jí)是信息系統(tǒng)受到侵犯，國(guó)家安全被特別嚴(yán)重地?fù)p壞。

3 當(dāng)前信息系統(tǒng)安全定級(jí)中存在的問(wèn)題

1）定級(jí)對(duì)象不明確是信息系統(tǒng)安全定級(jí)中的常見(jiàn)問(wèn)題。當(dāng)信息系統(tǒng)在相同的網(wǎng)絡(luò)環(huán)境中被按照獨(dú)立的系統(tǒng)進(jìn)行定級(jí)時(shí)，多個(gè)定級(jí)對(duì)象會(huì)重復(fù)出現(xiàn)環(huán)境和設(shè)備。以機(jī)房的EPR系統(tǒng)和OA系統(tǒng)以及配套為例，系統(tǒng)中如果使用到網(wǎng)絡(luò)資源，就有可能產(chǎn)生相同的定級(jí)對(duì)象同時(shí)出現(xiàn)不同的網(wǎng)絡(luò)設(shè)備的情況。

2）根據(jù)安全信息國(guó)家定級(jí)指南中對(duì)安全保護(hù)等級(jí)的定級(jí)要求。當(dāng)受侵害客體為國(guó)家、社會(huì)、公民安全以及組織法人的合法權(quán)益時(shí)，客體的侵害程度可以分為一般、嚴(yán)重、特別嚴(yán)重。這種分類是比較抽象的。需要進(jìn)行具體的描述，但是從目前的發(fā)函情況看，對(duì)于危害程度的描述還是過(guò)于傾向于主觀判斷，因此對(duì)客觀情況的定級(jí)準(zhǔn)確率不足，依據(jù)不足。

3）現(xiàn)有的定級(jí)報(bào)告皆是從模板中引用格式，參考定價(jià)指南，提供定級(jí)流程，引導(dǎo)結(jié)論的驗(yàn)證。從下表我們可以大概地看到定級(jí)要素和安全保護(hù)等級(jí)的關(guān)系：

表1

[受侵害的客體＼&一般損害＼&嚴(yán)重?fù)p害＼&特別嚴(yán)重的損害＼&公民、法人和組織的合法權(quán)益＼&第一級(jí)＼&第二級(jí)＼&第二級(jí)＼&社會(huì)利益、公共秩序＼&第二級(jí)＼&第三級(jí)＼&第四級(jí)＼&國(guó)家安全＼&第三級(jí)＼&第四級(jí)＼&第五級(jí)＼&]

對(duì)于基礎(chǔ)數(shù)據(jù)的描述雖然也能顯示出關(guān)于信息安全系統(tǒng)定級(jí)的重要意義，但是從系統(tǒng)的客觀問(wèn)題以及隨時(shí)可能出現(xiàn)威脅和侵害的現(xiàn)象角度觀察，很多關(guān)于信息安全等級(jí)定級(jí)的新方法還不能保證定級(jí)結(jié)果的準(zhǔn)確性，很多定級(jí)報(bào)告不完善，缺乏依據(jù)，主觀判斷成分多，無(wú)法將信息安全系統(tǒng)的真實(shí)情況反映給決策層，對(duì)于工作的開(kāi)展沒(méi)有好處。

4 等級(jí)保護(hù)流程

等級(jí)保護(hù)的工作是循環(huán)的、動(dòng)態(tài)發(fā)展的。將等級(jí)保護(hù)工作視為循環(huán)性強(qiáng)的工作對(duì)于工作流程加以分析，最終得到的是等級(jí)保護(hù)工作的流程圖：

定級(jí)階段：系統(tǒng)劃分、等級(jí)確定；填寫(xiě)表格；

初步備案階段：上報(bào)材料、專家評(píng)審，不符合安全等級(jí)規(guī)定的重新定級(jí)，最終進(jìn)入初備案。

測(cè)評(píng)階段：選定機(jī)構(gòu)、測(cè)評(píng)、出具報(bào)告；

整改階段：制訂方案、專家論證、提出整改措施并實(shí)施；

復(fù)評(píng)階段：對(duì)定級(jí)方案進(jìn)行復(fù)評(píng)，得到最終的備案；

根據(jù)等級(jí)保護(hù)制度接受監(jiān)管的階段。

需要說(shuō)明的是，等級(jí)保護(hù)工作的初始階段：定級(jí)工作可以采用自行定級(jí)的方法，也可以委托第三方機(jī)構(gòu)進(jìn)行監(jiān)管和測(cè)評(píng)。定級(jí)工作是所有階段工作的基礎(chǔ)。初備案階段有一個(gè)重新定級(jí)的環(huán)節(jié)，主要是如果出現(xiàn)不公平、不公正或者定級(jí)不合格的情況，要對(duì)信息系統(tǒng)的等級(jí)評(píng)定工作進(jìn)行復(fù)評(píng)選，并達(dá)到等級(jí)保護(hù)的要求，才能進(jìn)行最終的備案。

5 信息安全定級(jí)方法

1）定流程是參照定級(jí)指南進(jìn)行的，包括了業(yè)務(wù)信息和系統(tǒng)服務(wù)等內(nèi)容。首先是確定定級(jí)對(duì)象，然后確定業(yè)務(wù)信息安全受到破壞和侵害的客體，以及系統(tǒng)服務(wù)安全受到破壞和侵害的客體。兩方面都要進(jìn)行客體的侵害程度的評(píng)定，前者得出業(yè)務(wù)信息安全等級(jí)，后者得出系統(tǒng)服務(wù)安全等級(jí)，最后形成了定級(jí)對(duì)象的安全保護(hù)等級(jí)。

定級(jí)對(duì)象的選取根據(jù)定級(jí)指南的規(guī)定，具有一些特征，首先是擁有安全責(zé)任單位，第二是信息系統(tǒng)要素，第三是承載單一和獨(dú)立的業(yè)務(wù)。在定級(jí)對(duì)象的業(yè)務(wù)應(yīng)用上應(yīng)該擁有共享的機(jī)房基礎(chǔ)環(huán)境和網(wǎng)絡(luò)設(shè)備等，這樣就不會(huì)產(chǎn)生重復(fù)出現(xiàn)的定級(jí)對(duì)象。而且將物理環(huán)境、網(wǎng)絡(luò)資源等納入到信息系統(tǒng)中，形成具有單獨(dú)優(yōu)先定級(jí)權(quán)限的定級(jí)對(duì)象[1]。

對(duì)于受侵害的客體的損害程度的評(píng)分，要對(duì)危害后果等進(jìn)行權(quán)重分析。參照的依據(jù)包括國(guó)家安全、社會(huì)利益、公眾秩序、公民法人和組織的權(quán)益。客體的侵害程度在定x和解釋上是簡(jiǎn)單而抽象的，要對(duì)危害程度進(jìn)行具體的描述，就要規(guī)避主觀判斷、依據(jù)不足的問(wèn)題。對(duì)客體的侵害程度進(jìn)行確定，是需要參考很多元素的，要得到一個(gè)準(zhǔn)確的定量，可以采用評(píng)分表的方法對(duì)危害后果予以打分。

表2

[危害后果＼&得分＼&權(quán)重＼&影響工作職能形式＼&＼&＼&降低業(yè)務(wù)能力＼&＼&＼&引起糾紛需要法律介入＼&＼&＼&財(cái)產(chǎn)損失＼&＼&＼&社會(huì)不良影響＼&＼&＼&損害到組織和個(gè)人＼&＼&＼&其他影響＼&＼&＼&]

根據(jù)對(duì)表格中的打分得到的數(shù)值和權(quán)重的分析，可以得出定級(jí)對(duì)象被破壞后可能產(chǎn)生的危害以及后果。不存在危害的數(shù)值為0，有危害程度較輕的數(shù)值為1，有危害程度較高的為2，后果嚴(yán)重的為3。不同的信息系統(tǒng)在服務(wù)內(nèi)容、范圍、對(duì)象上都不同，因此不同的得分和權(quán)重最能反映信息安全系統(tǒng)的實(shí)際情況。

確定安全保護(hù)等級(jí)是在所有流程結(jié)束后，得到的結(jié)論。這個(gè)結(jié)論包括客體對(duì)等級(jí)對(duì)象的侵害造成的危害，信息安全的保密性、可用性的情況，系統(tǒng)服務(wù)安全的及時(shí)性、有效性的問(wèn)題等等。當(dāng)業(yè)務(wù)信息安全和服務(wù)系統(tǒng)的客體侵害程度不同時(shí)，就要在定級(jí)過(guò)程中處理不同的危害后果。

2）定級(jí)表格的細(xì)化是為定級(jí)報(bào)告模板提供基礎(chǔ)數(shù)據(jù)，并保證信息安全系統(tǒng)穩(wěn)定可靠的重要保障。當(dāng)系統(tǒng)內(nèi)部問(wèn)題導(dǎo)致其難以支撐定級(jí)結(jié)果后，采用系統(tǒng)定級(jí)的方法，就能夠?qū)⑿畔⑾到y(tǒng)的情況記載道定級(jí)表中。定級(jí)表包括了定級(jí)系統(tǒng)的用戶情況以及定級(jí)系統(tǒng)的業(yè)務(wù)職能等情況，例如在行業(yè)和部門(mén)內(nèi)的地位和作用。定級(jí)系統(tǒng)需要有備份系統(tǒng)作為應(yīng)急措施，保證定級(jí)系統(tǒng)在關(guān)聯(lián)系統(tǒng)受到破壞后不會(huì)受到數(shù)據(jù)傳遞等的影響。

6 案例分析

按照等級(jí)保護(hù)工作測(cè)評(píng)和定級(jí)的規(guī)定，確定信息系統(tǒng)的等級(jí)。某政府網(wǎng)站信息系統(tǒng)包括的板塊為：政務(wù)公開(kāi)、地方行政、法制建設(shè)、管理措施、領(lǐng)導(dǎo)講話、網(wǎng)上辦事大廳、新聞動(dòng)態(tài)、政府公告、舉報(bào)建議等，還專門(mén)開(kāi)辟了一個(gè)下載板塊，方便下載有用的電子表單加以填報(bào)。

在這個(gè)政府網(wǎng)站的信息系統(tǒng)中，制訂了符合信息安全等級(jí)保護(hù)定級(jí)指南的流程和標(biāo)準(zhǔn)，通過(guò)分析，判斷，研究等流程確定定級(jí)的系統(tǒng)。該網(wǎng)站的擁有者設(shè)立的專門(mén)的政府網(wǎng)站平臺(tái)，由指定部門(mén)確定相關(guān)資料的搜集、采集、整理的過(guò)程方案。在這套流程中，信息生產(chǎn)者為企業(yè)，產(chǎn)生的資料是信息，管理信息的手段是利用科學(xué)技術(shù)，對(duì)外承擔(dān)政務(wù)信息，擁有獨(dú)立的業(yè)務(wù)，如辦事流程、新聞會(huì)等。將各類任務(wù)的環(huán)境加以構(gòu)建，就形成了政府網(wǎng)站中具有基本特征和要素的定級(jí)對(duì)象。對(duì)定級(jí)客體的邀請(qǐng)，要采取分析的方法，確保信息系統(tǒng)內(nèi)的保密性和可用性。實(shí)際操作中只要能夠保證信息的完整性和通用性，又增強(qiáng)了制作、、管理的職能建設(shè)，激發(fā)出參與者的完整性和保密性。提高可用概率。而系統(tǒng)服務(wù)安全有力地支撐著系統(tǒng)安全運(yùn)行，并為信息安全系統(tǒng)提供有效的服務(wù)，達(dá)到地方網(wǎng)站發(fā)揮在定級(jí)中的作用，幫助提供服務(wù)，滿足消費(fèi)者的需求。采用了這種方法，網(wǎng)站信息系統(tǒng)的業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全都將是今后在企業(yè)運(yùn)用中需要特別加以注意的。

例如：對(duì)于受侵害的客體，必須說(shuō)明客體的情況，是否受到法律保護(hù)，等級(jí)保護(hù)中牽扯到的社會(huì)關(guān)系和合法權(quán)益。尤其是針對(duì)信息系統(tǒng)的客體的先后順序進(jìn)行判斷，結(jié)合政府平臺(tái)，實(shí)施政務(wù)信息公開(kāi)。如果做不到政務(wù)信息公開(kāi)，政府就要設(shè)置管理界限，發(fā)揮人的主觀能動(dòng)性，在知情權(quán)、業(yè)務(wù)能力、投訴與批評(píng)等階段加大業(yè)務(wù)辦理力度，最大可能地維護(hù)法人和代表組織的知情權(quán)，排棄受到破壞的客體，法人由于難以摻入個(gè)人組織中，直接投訴合法的法律法規(guī)，由于業(yè)務(wù)施工的進(jìn)度過(guò)快，環(huán)節(jié)紛繁眾多[2]。再由于受損教育可以對(duì)客體的積極主動(dòng)性。方便法人和組織知情、辦理業(yè)務(wù)、舉報(bào)、投訴等。

對(duì)于客體造成的侵害進(jìn)行后果的分析，無(wú)論是大型門(mén)戶網(wǎng)站，還是在金融政策引領(lǐng)下，親自感受到客體檢查結(jié)果的影響，如信息安全管理等，都要注重網(wǎng)絡(luò)平臺(tái)的臨時(shí)性。

7 結(jié)束語(yǔ)

要做好信息系統(tǒng)的安全保護(hù)等級(jí)的確定，就要采取正確的 （下轉(zhuǎn)第51頁(yè)）

（上接第46頁(yè)）

策略以及方法，對(duì)信息安全管控產(chǎn)生依賴，保護(hù)過(guò)程中采取正確的策略和方法，等等。信息系統(tǒng)、安全等級(jí)保護(hù)不足的問(wèn)題，都要求管理覺(jué)決策層加熬煮。在實(shí)際運(yùn)行中，還要以定級(jí)指南為指導(dǎo)，綜合信息系統(tǒng)的業(yè)務(wù)特征，切實(shí)推動(dòng)信息技術(shù)等級(jí)保護(hù)工作的大力發(fā)展。

參考文獻(xiàn)：

第4篇：網(wǎng)絡(luò)信息安全等級(jí)保護(hù)范文

1.1國(guó)家衛(wèi)生部文件

文件明確規(guī)定了信息安全等級(jí)保護(hù)工作的工作目標(biāo)、工作原則、工作機(jī)制、工作任務(wù)、工作要求，工作任務(wù)別強(qiáng)調(diào)了“三級(jí)甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)”應(yīng)進(jìn)行定級(jí)備案。

1.2浙江省衛(wèi)生廳文件

為加強(qiáng)醫(yī)療衛(wèi)生行業(yè)信息安全管理，提高信息安全意識(shí)，以信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)促進(jìn)全行業(yè)的信息安全工作，提高全省衛(wèi)生系統(tǒng)信息安全保護(hù)與信息安全技術(shù)水平，強(qiáng)化信息安全的重要性。2011年6月7日，浙江省衛(wèi)生廳和浙江省公安廳聯(lián)合下發(fā)《關(guān)于做好全省醫(yī)療衛(wèi)生行業(yè)重要信息系統(tǒng)信息安全等級(jí)保護(hù)工作的通知》（浙衛(wèi)發(fā)〔2011〕131號(hào)），并一同下發(fā)了《浙江省醫(yī)療衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作實(shí)施方案》和《浙江省衛(wèi)生行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指導(dǎo)意見(jiàn)》。為進(jìn)一步指導(dǎo)我省衛(wèi)生行業(yè)單位開(kāi)展信息安全等級(jí)保持工作，浙江省衛(wèi)生信息中心于2012年4月6日下發(fā)了《關(guān)于印發(fā)<浙江省衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作指導(dǎo)意見(jiàn)細(xì)則>的函》。上述文件詳細(xì)規(guī)定了工作目標(biāo)、工作流程和工作進(jìn)度，并明確了醫(yī)療衛(wèi)生單位重要信息系統(tǒng)的劃分和定級(jí)，具有很強(qiáng)的指導(dǎo)性和操作性。

2醫(yī)院信息安全等級(jí)保護(hù)

依據(jù)上述行業(yè)文件要求，全省醫(yī)院重要信息系統(tǒng)信息安全等級(jí)保護(hù)工作由省衛(wèi)生廳和各級(jí)衛(wèi)生局、公安局分級(jí)負(fù)責(zé)，按照系統(tǒng)定級(jí)、系統(tǒng)備案、等級(jí)測(cè)評(píng)、安全整改[1]四個(gè)工作步驟實(shí)施。

2.1系統(tǒng)定級(jí)

2.1.1確定對(duì)象

我省醫(yī)院信息化發(fā)展較早，各類系統(tǒng)比較完善，但數(shù)量繁多。將出現(xiàn)多達(dá)幾十甚至上百個(gè)定級(jí)對(duì)象的狀況，這與要求重點(diǎn)保護(hù)、控制建設(shè)成本、優(yōu)化資源配置[2]的原則相違背，不利于醫(yī)院重要信息系統(tǒng)開(kāi)展信息安全等級(jí)保護(hù)工作。依據(jù)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB17859-1999）》等標(biāo)準(zhǔn)，結(jié)合我省醫(yī)院信息化現(xiàn)狀及發(fā)展需要，經(jīng)衛(wèi)生信息化專家和信息安全專家多次論證，本著突出重點(diǎn)、按類歸并、相對(duì)獨(dú)立、節(jié)約費(fèi)用的原則，從系統(tǒng)管理、業(yè)務(wù)使用者、系統(tǒng)服務(wù)對(duì)象和運(yùn)行環(huán)境等多方面綜合考慮，把醫(yī)院信息系統(tǒng)劃分為以下幾類，如表1所示。

2.1.2等級(jí)評(píng)定

醫(yī)院重要信息系統(tǒng)的信息安全和系統(tǒng)服務(wù)應(yīng)用被破壞時(shí)，產(chǎn)生的危害主要涉及公民的個(gè)人隱私、就醫(yī)權(quán)利及合法權(quán)益，對(duì)社會(huì)秩序和公共利益的損害屬于“損害”或“嚴(yán)重?fù)p害”程度。參考《信息安全等級(jí)保護(hù)管理辦法》及省衛(wèi)生信息中心指導(dǎo)意見(jiàn)細(xì)則要求[3]，即屬于“第二級(jí)”或“第三級(jí)”范疇。因此醫(yī)院信息系統(tǒng)對(duì)信息安全防護(hù)和服務(wù)能力保護(hù)的要求較高，結(jié)合業(yè)務(wù)服務(wù)及系統(tǒng)應(yīng)用范疇，實(shí)行保護(hù)重點(diǎn)、以點(diǎn)帶面原則，參考定級(jí)如表2所示。

2.2系統(tǒng)定級(jí)備案

省衛(wèi)生廳及省級(jí)醫(yī)療衛(wèi)生單位信息系統(tǒng)、全省統(tǒng)一聯(lián)網(wǎng)或跨市聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)由省公安廳受理備案；各市衛(wèi)生局及其下屬單位、轄區(qū)內(nèi)醫(yī)院信息系統(tǒng)由屬地公安機(jī)關(guān)受理備案。各市衛(wèi)生局應(yīng)將轄區(qū)內(nèi)醫(yī)療衛(wèi)生單位備案匯總情況和《信息系統(tǒng)安全等級(jí)保護(hù)備案表》等材料以電子文件形式向省衛(wèi)生廳報(bào)備。定級(jí)備案流程示意圖如圖1所示。

2.3等級(jí)保護(hù)測(cè)評(píng)

醫(yī)院重要信息系統(tǒng)完成定級(jí)備案后，應(yīng)依據(jù)《浙江省信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組關(guān)于公布信息安全等級(jí)報(bào)測(cè)評(píng)機(jī)構(gòu)的通知》（浙等?！?010〕9號(hào)）選擇浙江省信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室推薦的等級(jí)測(cè)評(píng)機(jī)構(gòu)，啟動(dòng)等級(jí)測(cè)評(píng)工作，結(jié)合所屬等級(jí)要求對(duì)系統(tǒng)進(jìn)行逐項(xiàng)測(cè)評(píng)。通過(guò)對(duì)醫(yī)院系統(tǒng)進(jìn)行查驗(yàn)、訪談、現(xiàn)場(chǎng)測(cè)試等方式收集相關(guān)信息，詳細(xì)了解信息安全保護(hù)現(xiàn)狀，分析所收集的資料和數(shù)據(jù)，查找發(fā)現(xiàn)醫(yī)院重要信息系統(tǒng)漏洞和安全隱患，針對(duì)測(cè)評(píng)報(bào)告結(jié)果進(jìn)行分析反饋、溝通協(xié)商，明確等級(jí)保護(hù)整改工作目標(biāo)、整改流程及注意事項(xiàng)，共同制定等級(jí)保護(hù)整改建議方案用于指導(dǎo)后續(xù)整改工作。對(duì)第二級(jí)以上的信息系統(tǒng)要定期開(kāi)展等級(jí)測(cè)評(píng)。信息系統(tǒng)測(cè)評(píng)后，醫(yī)院應(yīng)及時(shí)將測(cè)評(píng)機(jī)構(gòu)出具的《信息系統(tǒng)等級(jí)測(cè)評(píng)報(bào)告》向所屬地公安機(jī)關(guān)報(bào)備。

2.4等級(jí)保護(hù)規(guī)劃建設(shè)整改

根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》及省實(shí)施方案，結(jié)合醫(yī)院信息系統(tǒng)的安全需求分析，判斷安全保護(hù)現(xiàn)狀，設(shè)計(jì)合理的、滿足等級(jí)保護(hù)要求的總體安全方案，并制定出安全實(shí)施規(guī)劃[4]等，用以指導(dǎo)信息系統(tǒng)安全建設(shè)工程實(shí)施。引進(jìn)第三方安全技術(shù)服務(wù)商，協(xié)助完成系統(tǒng)安全規(guī)劃、建設(shè)及整改工作。建設(shè)，整改實(shí)施過(guò)程中按照詳細(xì)設(shè)計(jì)方案，設(shè)置安全產(chǎn)品采購(gòu)、安全控制開(kāi)發(fā)與集成、機(jī)構(gòu)和人員配置、安全管理制度建設(shè)、人員安全技能培訓(xùn)等環(huán)節(jié)[5]，將規(guī)劃設(shè)計(jì)階段的安全方針和策略，切實(shí)落實(shí)到醫(yī)院系統(tǒng)的信息安全規(guī)劃、建設(shè)、評(píng)估、運(yùn)行和維護(hù)等各個(gè)環(huán)節(jié)。其核心是根據(jù)系統(tǒng)的實(shí)際信息安全需求、業(yè)務(wù)特點(diǎn)及應(yīng)用重點(diǎn)，并結(jié)合醫(yī)院自身信息安全建設(shè)的實(shí)際需求，建設(shè)一套全面保護(hù)、重點(diǎn)突出、持續(xù)運(yùn)行的安全保障體系，確保醫(yī)院系統(tǒng)的信息安全。等級(jí)保護(hù)工程及管理體系建設(shè)整改流程如圖2所示。

3醫(yī)院重要信息系統(tǒng)安全等級(jí)保護(hù)成效

各級(jí)醫(yī)院按照國(guó)家有關(guān)信息安全等級(jí)保護(hù)政策、標(biāo)準(zhǔn)，結(jié)合衛(wèi)生行業(yè)政策和要求，全面落實(shí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作，保障信息系統(tǒng)安全可靠運(yùn)行，提高安全管理運(yùn)維水平。

3.1明確系統(tǒng)安全保護(hù)目標(biāo)

通過(guò)推行各級(jí)醫(yī)院信息安全等級(jí)保護(hù)工作，梳理衛(wèi)生信息系統(tǒng)資產(chǎn)、網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)安全設(shè)備部署及運(yùn)行狀況。根據(jù)系統(tǒng)風(fēng)險(xiǎn)評(píng)估、危害的覆蓋范圍及影響性判定安全等級(jí)，從而根據(jù)標(biāo)準(zhǔn)全面、系統(tǒng)、深入地掌握系統(tǒng)潛在的風(fēng)險(xiǎn)隱患，安全漏洞。明確需要重點(diǎn)保護(hù)的應(yīng)用系統(tǒng)及信息資產(chǎn)，提出行之有效的保護(hù)措施，有針對(duì)性地提高保護(hù)等級(jí)，實(shí)現(xiàn)重點(diǎn)目標(biāo)重點(diǎn)保護(hù)。

3.2建立安全管理保障體系

安全管理保障體系是開(kāi)展信息安全工作的保障，指導(dǎo)落實(shí)各項(xiàng)安全指標(biāo)要求。信息安全等級(jí)保護(hù)基本要求中明確要求加強(qiáng)主管及安全責(zé)任部門(mén)領(lǐng)導(dǎo)，配備信息安全專員督導(dǎo)安全檢查、維護(hù)、培訓(xùn)工作。建立健全信息安全管理保障制度體系，包括機(jī)房安全管理制度、人員安全管理制度、運(yùn)維安全管理規(guī)范。建立行之有效的安全應(yīng)急響應(yīng)預(yù)案及常規(guī)化的信息安全培訓(xùn)及預(yù)防演練，形成長(zhǎng)期的安全風(fēng)險(xiǎn)管控機(jī)制。

3.3加強(qiáng)安全意識(shí)和管理能力

通過(guò)落實(shí)等級(jí)保護(hù)制度的各項(xiàng)要求，認(rèn)識(shí)安全意識(shí)在信息安全工作中的重要性和必要性，調(diào)動(dòng)安全保護(hù)的自覺(jué)主動(dòng)性，加大安全保護(hù)的資金投入力度，優(yōu)化安全管理資源及策略，主動(dòng)提升安全保護(hù)能力。同時(shí)重視常規(guī)化的信息安全管理教育和培訓(xùn)，強(qiáng)化安全管理員和責(zé)任人的安全意識(shí)，提高風(fēng)險(xiǎn)分析和安全性評(píng)估等能力，信息系統(tǒng)安全整體管理水平將得到提高。

3.4強(qiáng)化安全保護(hù)技術(shù)實(shí)施

醫(yī)院開(kāi)展信息安全等級(jí)保護(hù)工作可加深分級(jí)、分域的縱深防御理念，進(jìn)一步結(jié)合終端安全、身份認(rèn)證、網(wǎng)絡(luò)安全、容災(zāi)技術(shù)，建立統(tǒng)一的安全監(jiān)控平臺(tái)和安全運(yùn)行中心。根據(jù)測(cè)評(píng)報(bào)告及建設(shè)整改建議，增強(qiáng)對(duì)應(yīng)用系統(tǒng)的授權(quán)訪問(wèn)，終端計(jì)算機(jī)的安全控制，網(wǎng)絡(luò)流量的異常監(jiān)控，業(yè)務(wù)與數(shù)據(jù)安全保障，惡意軟件和攻擊行為的防御、發(fā)現(xiàn)及阻擊等功能，深層次提高抵御外部和內(nèi)部信息安全威脅的能力。

3.5優(yōu)化第三方技術(shù)服務(wù)

與安全技術(shù)服務(wù)機(jī)構(gòu)建立長(zhǎng)期穩(wěn)定的合作關(guān)系，引進(jìn)并優(yōu)化第三方技術(shù)資源，搭建安全保護(hù)技術(shù)的學(xué)習(xí)橋梁與交流平臺(tái)。在安全技術(shù)與管理方面加固信息安全防護(hù)措施，完善信息安全管理制度，同時(shí)通過(guò)安全技術(shù)管理培訓(xùn)強(qiáng)化醫(yī)院工作人員信息安全保護(hù)意識(shí)，提高信息安全隊(duì)伍的技術(shù)與管理水平，共同為醫(yī)院系統(tǒng)信息化建設(shè)的快速發(fā)展保駕護(hù)航?？傊?，醫(yī)院開(kāi)展信息安全等級(jí)保護(hù)工作將有效提高醫(yī)院信息化建設(shè)的整體水平，有利于醫(yī)院信息化建設(shè)過(guò)程中同步建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相協(xié)調(diào)；有利于為信息系統(tǒng)安全建設(shè)和管理提供系統(tǒng)性、針對(duì)性、可行性的指導(dǎo)和服務(wù)；有利于優(yōu)化信息安全資源的配置，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)、個(gè)人隱私、醫(yī)療資源和社會(huì)公共衛(wèi)生等方面的重要信息系統(tǒng)的安全[6]。

4結(jié)束語(yǔ)

第5篇：網(wǎng)絡(luò)信息安全等級(jí)保護(hù)范文

兩個(gè)發(fā)展階段

衛(wèi)生監(jiān)督中心信息安全等級(jí)保護(hù)工作大致經(jīng)歷了兩個(gè)發(fā)展階段。

啟動(dòng)與探索階段（2007年～2008年）：2007年12月，原衛(wèi)生部組織專家組對(duì)部直屬機(jī)關(guān)報(bào)送的信息安全等級(jí)保護(hù)定級(jí)情況進(jìn)行了評(píng)審。衛(wèi)生監(jiān)督中心的衛(wèi)生監(jiān)督信息報(bào)告系統(tǒng)和衛(wèi)生行政許可受理評(píng)審系統(tǒng)確定為第三級(jí)保護(hù)，衛(wèi)生監(jiān)督中心網(wǎng)站確定為第二級(jí)保護(hù)。衛(wèi)生監(jiān)督中心在了解了信息安全等級(jí)保護(hù)制度的同時(shí)，啟動(dòng)了信息安全等級(jí)保護(hù)相關(guān)工作。為摸清信息安全隱患，2008年衛(wèi)生監(jiān)督中心聘請(qǐng)了具有信息安全相關(guān)資質(zhì)的信息安全咨詢公司對(duì)等保涉及的信息系統(tǒng)進(jìn)行了信息安全測(cè)評(píng)，并制定了相應(yīng)的整改方案。由于2008年信息安全整改資金等原因，未開(kāi)展相關(guān)整改工作。

發(fā)展階段（2009年至今）：本著統(tǒng)籌考慮、分布實(shí)施的原則，在實(shí)施國(guó)家級(jí)衛(wèi)生監(jiān)督信息系統(tǒng)建設(shè)項(xiàng)目之初就參照等級(jí)保護(hù)有關(guān)要求規(guī)劃和設(shè)計(jì)業(yè)務(wù)應(yīng)用系統(tǒng)及其運(yùn)行環(huán)境，同時(shí)積極開(kāi)展等級(jí)保護(hù)備案等工作。在國(guó)家級(jí)項(xiàng)目二期中，專項(xiàng)對(duì)信息安全進(jìn)行加固。并每年邀請(qǐng)公安部信息安全等級(jí)保護(hù)評(píng)估中心，對(duì)衛(wèi)生監(jiān)督中心的第三級(jí)保護(hù)系統(tǒng)進(jìn)行了安全等級(jí)測(cè)評(píng)。

截至目前，衛(wèi)生監(jiān)督中心共有3個(gè)信息安全等級(jí)保護(hù)第三級(jí)的信息系統(tǒng)，4個(gè)信息安全等級(jí)保護(hù)第二級(jí)的信息系統(tǒng)。

信息安全技術(shù)體系

衛(wèi)生監(jiān)督信息系統(tǒng)信息安全技術(shù)體系建設(shè)，嚴(yán)格遵循等級(jí)保護(hù)第三級(jí)的技術(shù)要求進(jìn)行詳細(xì)設(shè)計(jì)、技術(shù)選擇、產(chǎn)品選型、產(chǎn)品部署。技術(shù)體系從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等5個(gè)方面進(jìn)行設(shè)計(jì)。

1.物理安全

衛(wèi)生監(jiān)督中心現(xiàn)有南北兩個(gè)機(jī)房，機(jī)房及相關(guān)配套設(shè)施面積總計(jì)160平方米。北機(jī)房部署等級(jí)保護(hù)第三級(jí)信息系統(tǒng)，南機(jī)房部署等級(jí)保護(hù)第二級(jí)信息系統(tǒng)，實(shí)現(xiàn)了第三級(jí)系統(tǒng)與第二級(jí)系統(tǒng)物理環(huán)境隔離。根據(jù)等級(jí)保護(hù)有關(guān)要求，機(jī)房均采用了精密空調(diào)、門(mén)禁系統(tǒng)、環(huán)境監(jiān)測(cè)系統(tǒng)等設(shè)備設(shè)施及技術(shù)手段，有效地保證了機(jī)房的物理安全。

2.網(wǎng)絡(luò)安全

主干網(wǎng)絡(luò)鏈路均采用雙鏈路連接，關(guān)鍵網(wǎng)絡(luò)、安全設(shè)備均采用雙機(jī)冗余方式，避免單點(diǎn)故障。采用防火墻、入侵防護(hù)系統(tǒng)、DDoS系統(tǒng)進(jìn)行邊界防護(hù)，各網(wǎng)絡(luò)區(qū)域之間采用防火墻進(jìn)行區(qū)域隔離，在對(duì)外服務(wù)區(qū)部署了入侵檢測(cè)系統(tǒng)，在交換服務(wù)區(qū)部署了網(wǎng)絡(luò)審計(jì)系統(tǒng)。在核心數(shù)據(jù)區(qū)部署了數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，對(duì)網(wǎng)絡(luò)行為進(jìn)行監(jiān)控和記錄。在安全管理區(qū)部署安全管理系統(tǒng)，實(shí)現(xiàn)設(shè)備日志的統(tǒng)一收集及分析。

3.主機(jī)安全

所有服務(wù)器和管理終端配置了密碼安全策略；禁止用戶遠(yuǎn)程管理，管理用戶必須進(jìn)入機(jī)房通過(guò)KVM進(jìn)行本地管理；所有服務(wù)器和管理終端進(jìn)行了補(bǔ)丁更新，刪除了多余賬戶，關(guān)閉了不必要的端口和服務(wù)；所有服務(wù)器和管理終端開(kāi)啟了安全審計(jì)功能；通過(guò)對(duì)數(shù)據(jù)庫(kù)的安全配置，實(shí)現(xiàn)管理用戶和特權(quán)用戶的分離，并實(shí)現(xiàn)最小授權(quán)要求。

4.應(yīng)用安全

衛(wèi)生監(jiān)督中心7個(gè)應(yīng)用系統(tǒng)均完成了定級(jí)備案，并按照等級(jí)保護(hù)要求開(kāi)展了測(cè)評(píng)工作。應(yīng)用服務(wù)器采取了集群工作部署，保證了系統(tǒng)的高可用性，同時(shí)建立了安全審計(jì)功能模塊，記錄登錄日志、業(yè)務(wù)操作日志、系統(tǒng)操作日志3種日志，并實(shí)現(xiàn)查詢和審計(jì)統(tǒng)計(jì)功能，配置了獨(dú)立的審計(jì)賬戶。門(mén)戶網(wǎng)站也采用了網(wǎng)頁(yè)防篡改、DDoS等系統(tǒng)。信息安全等級(jí)保護(hù)第三級(jí)系統(tǒng)管理人員及高權(quán)限用戶均使用CA證書(shū)登錄相應(yīng)系統(tǒng)。

5.數(shù)據(jù)安全及備份恢復(fù)

衛(wèi)生監(jiān)督信息報(bào)告系統(tǒng)數(shù)據(jù)庫(kù)服務(wù)器使用了雙機(jī)熱備，應(yīng)用服務(wù)器采用多機(jī)負(fù)載均衡，每天本地備份，保證了業(yè)務(wù)系統(tǒng)的安全、穩(wěn)定和可靠運(yùn)行。其余等級(jí)保護(hù)第三級(jí)信息系統(tǒng)使用了雙機(jī)備份，無(wú)論是軟件還是硬件問(wèn)題，都可以及時(shí)準(zhǔn)確地進(jìn)行恢復(fù)并正常提供服務(wù)。同時(shí)，衛(wèi)生監(jiān)督中心在云南建立了異地?cái)?shù)據(jù)備份中心，每天進(jìn)行增量備份，每周對(duì)數(shù)據(jù)進(jìn)行一次全備份。備份數(shù)據(jù)在一定時(shí)間內(nèi)進(jìn)行恢復(fù)測(cè)試，保證備份的有效性。

信息安全管理體系

在開(kāi)展信息安全等級(jí)保護(hù)工作中，我們深刻體會(huì)到，信息安全工作“三分靠技術(shù)，七分靠管理”。為保證信息安全等級(jí)保護(hù)工作順利進(jìn)行，參考ISO/IEC 27001《信息安全管理體系要求》，衛(wèi)生監(jiān)督中心建立了符合實(shí)際工作情況的信息安全管理制度體系，明確了“統(tǒng)一領(lǐng)導(dǎo)，技管并重；預(yù)防為主，責(zé)權(quán)分明；重點(diǎn)防護(hù)，適度安全”的安全方針，涵蓋等級(jí)保護(hù)管理要求中安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理五大方面的要求。

衛(wèi)生監(jiān)督中心建立了較為完善的信息安全責(zé)任制，設(shè)立了信息安全領(lǐng)導(dǎo)小組，領(lǐng)導(dǎo)小組組長(zhǎng)由衛(wèi)生監(jiān)督中心主任擔(dān)任，成員由衛(wèi)生監(jiān)督中心有關(guān)處室負(fù)責(zé)人組成，信息處作為信息安全工作辦公室負(fù)責(zé)衛(wèi)生監(jiān)督中心日常信息安全管理工作。信息處設(shè)立了信息安全管理崗位，分別為網(wǎng)絡(luò)管理員、系統(tǒng)管理員、應(yīng)用管理員、安全管理員、安全審計(jì)員、機(jī)房管理員，并建立了信息安全崗位責(zé)任制度。

此外，衛(wèi)生監(jiān)督中心依據(jù)上年度運(yùn)維中存在的信息安全隱患每年對(duì)其進(jìn)行修訂，確保信息安全工作落到實(shí)處。

信息安全運(yùn)維體系

在信息安全工作中，建立信息安全管理制度不是目的，要以信息安全等級(jí)保護(hù)有關(guān)要求指導(dǎo)信息安全運(yùn)維實(shí)踐。

衛(wèi)生監(jiān)督中心結(jié)合實(shí)際情況，編制了《國(guó)家級(jí)衛(wèi)生監(jiān)督信息系統(tǒng)運(yùn)行維護(hù)工作規(guī)范》，從運(yùn)行維護(hù)流程、資源管理和環(huán)境管理三個(gè)方面進(jìn)行了規(guī)范，將安全運(yùn)維理念落到實(shí)處。

運(yùn)維人員在實(shí)際工作中，嚴(yán)格按照工作規(guī)范要求。利用衛(wèi)生監(jiān)督中心OA系統(tǒng)，建立了統(tǒng)一的服務(wù)臺(tái)，實(shí)現(xiàn)了事件、問(wèn)題的全流程閉環(huán)管理（即：發(fā)現(xiàn)問(wèn)題、登記問(wèn)題、解決問(wèn)題、解決反饋、解決確認(rèn)）。年均處理信息安全事件近百件，將信息安全問(wèn)題消滅在萌芽階段，有效地保證了信息系統(tǒng)穩(wěn)定運(yùn)行，保證了衛(wèi)生監(jiān)督中心信息安全目標(biāo)和方針的實(shí)現(xiàn)。

信息安全等級(jí)保護(hù)實(shí)踐經(jīng)驗(yàn)

1.規(guī)范管理，細(xì)化流程

衛(wèi)生監(jiān)督中心從安全管理制度、安全管理組織機(jī)構(gòu)及人員、安全建設(shè)管理和安全運(yùn)維管理等方面建立了較為完善的安全管理體系。通過(guò)管理體系的建設(shè)，為國(guó)家級(jí)衛(wèi)生監(jiān)督信息系統(tǒng)運(yùn)維管理工作中安全管理提供了重要指導(dǎo)。

國(guó)家級(jí)衛(wèi)生監(jiān)督信息系統(tǒng)運(yùn)維工作從安全管理體系的建設(shè)中吸取了很多有益經(jīng)驗(yàn)，不僅合理調(diào)配了運(yùn)維管理人員，落實(shí)了運(yùn)維管理組織機(jī)構(gòu)和崗位職責(zé)，而且細(xì)化了運(yùn)維管理流程，形成了“二級(jí)三線”的運(yùn)維處理機(jī)制。

2.循序漸進(jìn)，持續(xù)完善

第6篇：網(wǎng)絡(luò)信息安全等級(jí)保護(hù)范文

關(guān)鍵詞： 云計(jì)算； 云安全； 信息安全； 等級(jí)保護(hù)測(cè)評(píng)； 局限性

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1006-8228（2016）11-35-03

Discussion on the testing and evaluating of cloud computing security level protection

Liu Xiaoli， Shen Xiaohui

（Zhejiang Provincial Testing Institute of Electronic & Information Products， Hangzhou， Zhejiang 310007， China）

Abstract： Cloud computing has recently attracted extensive attention since Internet has accessed Web 2.0 with more freedom and flexibility. However， the cloud security has become the biggest challenge for cloud promotion. Combined with the problems of the actual testing and evaluation in cloud computing security， the limitations of the application of the current information security level protection evaluation standard to the cloud environment are analyzed， and the contents that cloud security should focus on are proposed.

Key words： cloud computing； cloud security； information security； testing and evaluation of security level protection； limitations

0 引言

近年來(lái)，隨著網(wǎng)絡(luò)進(jìn)入更加自由和靈活的Web2.0時(shí)代，云計(jì)算的概念風(fēng)起云涌。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）定義云計(jì)算是一種按使用量付費(fèi)的模式，這種模式提供可用的、便捷的、按需的網(wǎng)絡(luò)訪問(wèn)，進(jìn)入可配置的計(jì)算資源共享池（資源包括網(wǎng)絡(luò)，服務(wù)器，存儲(chǔ)，應(yīng)用軟件，服務(wù)），這些資源能夠被快速提供，只需投入很少的管理工作，或與服務(wù)供應(yīng)商進(jìn)行很少的交互。云計(jì)算因其節(jié)約成本、維護(hù)方便、配置靈活已經(jīng)成為各國(guó)政府優(yōu)先推進(jìn)發(fā)展的一項(xiàng)服務(wù)。美、英、澳大利亞等國(guó)家紛紛出臺(tái)了相關(guān)發(fā)展政策，有計(jì)劃地促進(jìn)政府部門(mén)信息系統(tǒng)向云計(jì)算平臺(tái)遷移。但是也應(yīng)該看到，政府部門(mén)采用云計(jì)算服務(wù)也給其敏感數(shù)據(jù)和重要業(yè)務(wù)的安全帶來(lái)了挑戰(zhàn)。美國(guó)作為云計(jì)算服務(wù)應(yīng)用的倡導(dǎo)者，一方面推出“云優(yōu)先戰(zhàn)略”，要求大量聯(lián)邦政府信息系統(tǒng)遷移到“云端”，另一方面為確保安全，要求為聯(lián)邦政府提供的云計(jì)算服務(wù)必須通過(guò)安全審查[1]。我國(guó)也先后出臺(tái)了一系列云計(jì)算服務(wù)安全的國(guó)家標(biāo)準(zhǔn)，如GB/T 31167-2014《信息安全技術(shù)云計(jì)算服務(wù)安全指南》、GB/T 31168-2014 《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》等。本文關(guān)注的是云計(jì)算安全，包括云計(jì)算應(yīng)用系統(tǒng)安全、云計(jì)算應(yīng)用服務(wù)安全、云計(jì)算用戶信息安全等[2]。

當(dāng)前，等級(jí)保護(hù)測(cè)評(píng)的依據(jù)主要有GB/T 22239-

2008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、GB/T 28448-2012《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》和GB/T 28449-2012《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》等。然而，這些標(biāo)準(zhǔn)應(yīng)用于傳統(tǒng)計(jì)算模式下的信息系統(tǒng)安全測(cè)評(píng)具有普適性，對(duì)于采用云計(jì)算服務(wù)模式下的信息系統(tǒng)卻有一定的局限性。

本文結(jié)合實(shí)際云計(jì)算服務(wù)安全測(cè)評(píng)中的問(wèn)題，首先討論現(xiàn)行信息安全等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)應(yīng)用到云環(huán)境的一些局限性，其次對(duì)于云計(jì)算安全特別需要關(guān)注的測(cè)評(píng)項(xiàng)進(jìn)行分析。

1 云計(jì)算安全

正如一件新鮮事物在帶給我們好處的同時(shí)，也會(huì)帶來(lái)問(wèn)題一樣，云計(jì)算的推廣也遇到了諸多困難，其中安全問(wèn)題已成為阻礙云計(jì)算推廣的最大障礙。

云計(jì)算安全面臨著七大風(fēng)險(xiǎn)，主要包括客戶對(duì)數(shù)據(jù)和業(yè)務(wù)系統(tǒng)的控制能力減弱、客戶與云服務(wù)商之間的責(zé)任難以界定、可能產(chǎn)生司法管轄權(quán)問(wèn)題、數(shù)據(jù)所有權(quán)保障面臨風(fēng)險(xiǎn)、數(shù)據(jù)保護(hù)更加困難、數(shù)據(jù)殘留和容易產(chǎn)生對(duì)云服務(wù)商的過(guò)度依賴等。文獻(xiàn)[3]提出了云計(jì)算安全測(cè)評(píng)框架，與傳統(tǒng)信息系統(tǒng)安全測(cè)評(píng)相比，云計(jì)算安全測(cè)評(píng)應(yīng)重點(diǎn)關(guān)注虛擬化安全、數(shù)據(jù)安全和應(yīng)用安全等層面。

虛擬化作為云計(jì)算最重要的技術(shù)，其安全性直接關(guān)系到云環(huán)境的安全。虛擬化安全涉及虛擬化軟件安全和虛擬化服務(wù)器安全，其中虛擬化服務(wù)器安全包括虛擬化服務(wù)器隔離、虛擬化服務(wù)器監(jiān)控、虛擬化服務(wù)器遷移等。云計(jì)算的虛擬化安全問(wèn)題主要集中在VM Hopping（一臺(tái)虛擬機(jī)可能監(jiān)控另一臺(tái)虛擬機(jī)甚至?xí)尤氲剿拗鳈C(jī)）、VM Escape（VM Escape攻擊獲得Hypervisor的訪問(wèn)權(quán)限，從而對(duì)其他虛擬機(jī)進(jìn)行攻擊）/遠(yuǎn)程管理缺陷（Hypervisor通常由管理平臺(tái)來(lái)為管理員管理虛擬機(jī)，而這些控制臺(tái)可能會(huì)引起一些新的缺陷）、遷移攻擊（可以將虛擬機(jī)從一臺(tái)主機(jī)移動(dòng)到另一臺(tái)，也可以通過(guò)網(wǎng)絡(luò)或USB復(fù)制虛擬機(jī)）等[4]。

數(shù)據(jù)實(shí)際存儲(chǔ)位置往往不受客戶控制，且數(shù)據(jù)存放在云平臺(tái)上，數(shù)據(jù)的所有權(quán)難以界定，多租戶共享計(jì)算資源，可能導(dǎo)致客戶數(shù)據(jù)被授權(quán)訪問(wèn)、篡改等。另外當(dāng)客戶退出云服務(wù)時(shí)，客戶數(shù)據(jù)是否被完全刪除等是云計(jì)算模式下數(shù)據(jù)安全面臨的主要問(wèn)題。

在云計(jì)算中對(duì)于應(yīng)用安全，特別需要注意的是Web應(yīng)用的安全。云計(jì)算應(yīng)用安全主要包括云用戶身份管理、云訪問(wèn)控制、云安全審計(jì)、云安全加密、抗抵賴、軟件代碼安全等[3]。

2 云計(jì)算下等級(jí)保護(hù)測(cè)評(píng)的局限性

信息系統(tǒng)安全等級(jí)保護(hù)是國(guó)家信息安全保障工作的基本制度、基本策略、基本方法。開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)工作不僅是加強(qiáng)國(guó)家信息安全保障工作的重要內(nèi)容，也是一項(xiàng)事關(guān)國(guó)家安全、社會(huì)穩(wěn)定的政治任務(wù)。信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)工作是指測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)未涉及國(guó)家秘密的信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng)。與之對(duì)應(yīng)的是涉及國(guó)家秘密的信息系統(tǒng)安全測(cè)評(píng)，就是通常所說(shuō)的分級(jí)保護(hù)測(cè)評(píng)。

信息系統(tǒng)安全等級(jí)保護(hù)的基本要求包括技術(shù)要求和管理要求兩大類。其中技術(shù)要求包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等五個(gè)層面；管理要求包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)層面。

傳統(tǒng)的安全已不足以保護(hù)現(xiàn)代云計(jì)算工作負(fù)載。換言之，將現(xiàn)行的等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)生搬硬套到云計(jì)算模式存在局限性，具體體現(xiàn)在以下方面。

⑴ 物理安全

傳統(tǒng)模式的信息系統(tǒng)數(shù)據(jù)中心或者在本單位，或者托管在第三方機(jī)構(gòu)，用戶可以掌握自身數(shù)據(jù)和副本存儲(chǔ)在設(shè)備和數(shù)據(jù)中心的具置。然而，由于云服務(wù)商的數(shù)據(jù)中心可能分布在不同的地區(qū)，甚至不同的國(guó)家，GB/T 31167-2014明確了存儲(chǔ)、處理客戶數(shù)據(jù)的數(shù)據(jù)中心和云計(jì)算基礎(chǔ)設(shè)施不得設(shè)在境外。

⑵ 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全主要包括結(jié)構(gòu)安全、邊界防護(hù)、訪問(wèn)控制、入侵防范、惡意代碼防范、安全審計(jì)、網(wǎng)絡(luò)設(shè)備防護(hù)等測(cè)評(píng)項(xiàng)。網(wǎng)絡(luò)邊界是網(wǎng)絡(luò)信息安全的第一道防線，因此在網(wǎng)絡(luò)邊界采取安全防護(hù)措施就顯得尤為重要。但在云計(jì)算模式下，多個(gè)系統(tǒng)同時(shí)運(yùn)行在同一個(gè)物理機(jī)上，突破了傳統(tǒng)的網(wǎng)絡(luò)邊界。由此可見(jiàn)，網(wǎng)絡(luò)邊界的界定、安全域的劃分成為了云計(jì)算模式下網(wǎng)絡(luò)邊界安全面臨的新挑戰(zhàn)[5]。

⑶ 主機(jī)安全

主機(jī)安全主要包括身份鑒別、訪問(wèn)控制、安全審計(jì)等測(cè)評(píng)項(xiàng)。但在云計(jì)算模式下，虛擬化技術(shù)能夠?qū)崿F(xiàn)在一臺(tái)物理機(jī)上運(yùn)行多臺(tái)虛擬機(jī)。盡管虛擬機(jī)之間具有良好的隔離性，但在云計(jì)算平臺(tái)，尤其是私有云和社區(qū)云中，虛擬機(jī)之間通常需要進(jìn)行交互和通信，正是這種交互為攻擊和惡意軟件的傳播提供了可能。因此，虛擬機(jī)之間的安全隔離、用戶權(quán)限劃分、數(shù)據(jù)殘留、跨虛擬機(jī)的非授權(quán)訪問(wèn)是云計(jì)算環(huán)境下虛擬機(jī)安全需要重點(diǎn)關(guān)注的內(nèi)容。

⑷ 應(yīng)用安全

應(yīng)用系統(tǒng)作為承載數(shù)據(jù)的主要載體，其安全性直接關(guān)系到信息系統(tǒng)的整體安全，因此對(duì)整個(gè)系統(tǒng)的安全保密性至關(guān)重要。然而，當(dāng)前絕大多數(shù)單位的應(yīng)用系統(tǒng)在設(shè)計(jì)開(kāi)發(fā)過(guò)程中，僅僅考慮到應(yīng)用需求、系統(tǒng)的性能及技術(shù)路線的選擇等問(wèn)題，缺少了應(yīng)用系統(tǒng)自身的安全性。客戶的應(yīng)用托管在云計(jì)算平臺(tái)，面臨著安全與隱私雙重風(fēng)險(xiǎn)，主要包括多租戶環(huán)境下來(lái)自云計(jì)算服務(wù)商和其他用戶的未授權(quán)訪問(wèn)、隱私保護(hù)、內(nèi)容安全管理、用戶認(rèn)證和身份管理問(wèn)題[6]。

⑸ 數(shù)據(jù)安全及備份恢復(fù)

在云計(jì)算模式下，客戶的數(shù)據(jù)和業(yè)務(wù)遷移至云服務(wù)商的云平臺(tái)中，數(shù)據(jù)的處理、存儲(chǔ)均在“云端”完成，用戶一端只具有較少的計(jì)算處理能力，數(shù)據(jù)的安全性依賴于云平臺(tái)的安全。如何確保數(shù)據(jù)遠(yuǎn)程傳輸安全、數(shù)據(jù)集中存儲(chǔ)安全以及多租戶之間的數(shù)據(jù)隔離是云計(jì)算環(huán)境下迫切需要解決的問(wèn)題。

3 云安全之等級(jí)保護(hù)測(cè)評(píng)

參照等級(jí)保護(hù)測(cè)評(píng)的要求，結(jié)合上述分析，云安全之等級(jí)保護(hù)測(cè)評(píng)應(yīng)重點(diǎn)關(guān)注以下方面。

⑴ 數(shù)據(jù)中心物理與環(huán)境安全：用于業(yè)務(wù)運(yùn)行和數(shù)據(jù)處理及存儲(chǔ)的物理設(shè)備是否位于中國(guó)境內(nèi)，從而避免產(chǎn)生司法管轄權(quán)的問(wèn)題。

⑵ 虛擬網(wǎng)絡(luò)安全邊界訪問(wèn)控制：是否在虛擬網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，設(shè)置有效的訪問(wèn)控制規(guī)則，從而控制虛機(jī)間的互訪。

⑶ 遠(yuǎn)程訪問(wèn)監(jiān)控：是否能實(shí)時(shí)監(jiān)視云服務(wù)遠(yuǎn)程連接，并在發(fā)現(xiàn)未授權(quán)訪問(wèn)時(shí)，及時(shí)采取恰當(dāng)?shù)姆雷o(hù)措施。

⑷ 網(wǎng)絡(luò)邊界安全：是否采取了網(wǎng)絡(luò)邊界安全防護(hù)措施，如在整個(gè)云計(jì)算網(wǎng)絡(luò)的邊界部署安全防護(hù)設(shè)備等。

⑸ 虛擬機(jī)安全：虛擬機(jī)之間的是否安全隔離，當(dāng)租戶退出云服務(wù)時(shí)是否有數(shù)據(jù)殘留，是否存在跨虛擬機(jī)的非授權(quán)訪問(wèn)等。

⑹ 接口安全：是否采取有效措施確保云計(jì)算服務(wù)對(duì)外接口的安全性。

⑺ 數(shù)據(jù)安全：多租戶間的數(shù)據(jù)是否安全隔離，遠(yuǎn)程傳輸時(shí)是否有措施確保數(shù)據(jù)的完整性和保密性，租戶業(yè)務(wù)或數(shù)據(jù)進(jìn)行遷移時(shí)是否具有可移植性和互操作性。

4 結(jié)束語(yǔ)

云計(jì)算因其高效化、集約化和節(jié)約化的特點(diǎn)，受到越來(lái)越多黨政機(jī)關(guān)、企事業(yè)單位的青睞，與此同時(shí)云計(jì)算帶來(lái)的風(fēng)險(xiǎn)也是不容忽視的。本文結(jié)合云計(jì)算的特點(diǎn)分析了云計(jì)算模式下現(xiàn)行等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)的一些局限性，并提出了云計(jì)算下等級(jí)保護(hù)測(cè)評(píng)需要特別關(guān)注的測(cè)評(píng)項(xiàng)，對(duì)云服務(wù)商、租戶和測(cè)評(píng)機(jī)構(gòu)提供借鑒。值得注意的是，租戶在進(jìn)行云遷移之前，首先應(yīng)確定自身遷移業(yè)務(wù)的等級(jí)，其次是租用的云計(jì)算平臺(tái)等級(jí)不能低于業(yè)務(wù)系統(tǒng)的等級(jí)。

參考文獻(xiàn)（References）：

[1] 尹麗波.美國(guó)云計(jì)算服務(wù)安全審查值得借鑒.中國(guó)日?qǐng)?bào)網(wǎng).

[2] 陳軍，薄明霞，王渭清.云安全研究進(jìn)展及技術(shù)解決方案發(fā)展

趨勢(shì)[J].技術(shù)廣角，2011：50-54

[3] 潘小明，張向陽(yáng)，沈錫鏞，嚴(yán)丹.云計(jì)算信息安全測(cè)評(píng)框架研究[J].

計(jì)算機(jī)時(shí)代，2013.10：22-25

[4] 房晶，吳昊，白松林.云計(jì)算的虛擬化安全問(wèn)題[J].電信科學(xué)，

2012.28（4）：135-140

[5] 陳文捷，蔡立志.云環(huán)境中網(wǎng)絡(luò)邊界安全的等級(jí)保護(hù)研究[C].

第二屆全國(guó)信息安全等級(jí)保護(hù)技術(shù)大會(huì)會(huì)議論文集，2013.

第7篇：網(wǎng)絡(luò)信息安全等級(jí)保護(hù)范文

關(guān)鍵詞：信息安全；信息安全等級(jí)

中圖分類號(hào)：TP393.08文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：16727800（2011）012014502

作者簡(jiǎn)介：張新豪（1982-），男，河南鄭州人，黃河科技學(xué)院現(xiàn)代教育中心助教，研究方向?yàn)橛?jì)算機(jī)應(yīng)用；郭喜建（1978-），男，河南鄭州人，黃河科技學(xué)院現(xiàn)代教育中心助教，研究方向?yàn)橛?jì)算機(jī)應(yīng)用；宋朝（1983-），男，河南鄭州人，黃河科技學(xué)院現(xiàn)代教育技術(shù)中心職員，研究方向?yàn)樾畔⒎?wù)質(zhì)量管理。1網(wǎng)絡(luò)信息安全

信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運(yùn)行，信息服務(wù)不中斷。信息安全是一門(mén)設(shè)計(jì)計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。從廣義上說(shuō)，設(shè)計(jì)信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是信息安全的研究領(lǐng)域。

信息安全要實(shí)現(xiàn)的目標(biāo)主要有：①真實(shí)性：對(duì)信息的來(lái)源進(jìn)行判斷，能對(duì)偽造來(lái)源的信息予以鑒別；②保密性：保證機(jī)密信息不被竊聽(tīng)，或竊聽(tīng)者不能了解信息的真實(shí)含義；③完整性：保證數(shù)據(jù)的一致性，防止數(shù)據(jù)被非法用戶篡改；④可用性：保證合法用戶對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)木芙^；⑤不可抵賴性：建立有效的責(zé)任機(jī)制，防止用戶否認(rèn)其行為；⑥可控制性：對(duì)信息的傳播及內(nèi)容具有控制能力；⑦可審查性：對(duì)出現(xiàn)的網(wǎng)絡(luò)安全故障為您能夠提供調(diào)查的依據(jù)和手段。

2網(wǎng)絡(luò)信息安全性等級(jí)

2.1信息安全等級(jí)保護(hù)

信息安全等級(jí)保護(hù)是指對(duì)國(guó)家秘密信息、法人和其他組織及公民的專有信息以及公開(kāi)信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。

信息安全等級(jí)保護(hù)制度是國(guó)家信息安全保障工作的基本制度、基本策略和基本方法，是促進(jìn)信息化健康發(fā)展，維護(hù)國(guó)家安全、社會(huì)秩序和公共利益的根本保障。國(guó)務(wù)院法規(guī)和中央文件明確規(guī)定，要實(shí)行信息安全等級(jí)保護(hù)，重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級(jí)保護(hù)制度。信息安全等級(jí)保護(hù)是當(dāng)今發(fā)達(dá)國(guó)家保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施、保障信息安全的通行做法，也是我國(guó)多年來(lái)信息安全工作經(jīng)驗(yàn)的總結(jié)。開(kāi)展信息安全等級(jí)保護(hù)工作不僅是保障重要信息系統(tǒng)安全的重大措施，也是一項(xiàng)事關(guān)國(guó)家安全、社會(huì)穩(wěn)定、國(guó)家利益的重要任務(wù)。

2.2DoD可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則

1983年，美國(guó)國(guó)家計(jì)算機(jī)中心發(fā)表了著名的“可信任計(jì)算機(jī)標(biāo)準(zhǔn)評(píng)價(jià)準(zhǔn)則”（Trusted Computer Standards Evaluation Criteria，簡(jiǎn)稱TCSEC，俗稱橘皮書(shū)）。TCSEC是在20世紀(jì)70年代的基礎(chǔ)理論研究成果Bell & La Padula模型基礎(chǔ)上提出的，其初衷是針對(duì)操作系統(tǒng)的安全性進(jìn)行評(píng)估。1985年，美國(guó)國(guó)防部計(jì)算機(jī)安全中心（簡(jiǎn)稱DoDCSC）對(duì)TCSEC文本進(jìn)行了修訂，推出了“DoD可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則，DoD5200.28-STD”。

美國(guó)國(guó)防部計(jì)算機(jī)安全中心（DoDCSC）提出的安全性評(píng)估要求有：①安全策略：必須有一個(gè)明確的、確定的由系統(tǒng)實(shí)施的安全策略；②識(shí)別：必須唯一而可靠地識(shí)別每個(gè)主體，以便檢查主體/客體的訪問(wèn)請(qǐng)求；③標(biāo)記：必須給每個(gè)客體（目標(biāo)）作一個(gè)“標(biāo)號(hào)”，指明該客體的安全級(jí)別。這種結(jié)合必須做到對(duì)該目標(biāo)進(jìn)行訪問(wèn)請(qǐng)求時(shí)都能得到該標(biāo)號(hào)以便進(jìn)行對(duì)比；④可檢查性：系統(tǒng)對(duì)影響安全的活動(dòng)必須維持完全而安全的記錄。這些活動(dòng)包括系統(tǒng)新用戶的引入、主體或客體的安全級(jí)別的分配和變化以及拒絕訪問(wèn)的企圖；⑤保障措施：系統(tǒng)必須含實(shí)施安全性的機(jī)制并能評(píng)價(jià)其有效性；⑥連續(xù)的保護(hù)：實(shí)現(xiàn)安全性的機(jī)制必須受到保護(hù)以防止未經(jīng)批準(zhǔn)的改變。

根據(jù)以上6條要求，“可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則”將計(jì)算機(jī)系統(tǒng)的安全性分為A、B、C、D 4個(gè)等級(jí)，A、B3、B2、B1、C2、C1、D 7個(gè)級(jí)別，如表1所示。

表1網(wǎng)絡(luò)安全性標(biāo)準(zhǔn)（DoD5200.28――STD）

等級(jí)名稱主要特征A可驗(yàn)證的安全設(shè)計(jì)形式化的最高級(jí)描述和驗(yàn)證，形式化的隱密通道分析，非形式化的代碼一致性證明B3安全域機(jī)制安全內(nèi)核，高抗?jié)B透能力B2結(jié)構(gòu)化安全保護(hù)設(shè)計(jì)系統(tǒng)時(shí)必須有一個(gè)合理的總體設(shè)計(jì)方案，面向安全的體系結(jié)構(gòu)，遵循最小授權(quán)原則，較好的抗?jié)B透能力，訪問(wèn)控制應(yīng)對(duì)所有的主體和客體提供保護(hù)，對(duì)系統(tǒng)進(jìn)行隱蔽通道分析B1標(biāo)號(hào)安全保護(hù)除了C2級(jí)別的安全需求外，增加安全策略模型，數(shù)據(jù)標(biāo)號(hào)（安全和屬性），托管訪問(wèn)控制C2受控的訪問(wèn)環(huán)境存取控制以用戶為單位廣泛的審計(jì)C1選擇的安全保護(hù)有選擇的存取控制，用戶與數(shù)據(jù)分離，數(shù)據(jù)的保護(hù)以用戶組為單位D最小保護(hù)保護(hù)措施很少，沒(méi)有安全功能2.3計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則

在我國(guó)，以《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》為指導(dǎo)，根據(jù)信息和信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，針對(duì)信息的保密性、完整性和可用性要求及信息系統(tǒng)必須達(dá)到的基本的安全保護(hù)水平等因素，將信息和信息系統(tǒng)的安全保護(hù)分為5個(gè)等級(jí)。

第一級(jí)：用戶自主保護(hù)級(jí)。本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基通過(guò)隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護(hù)的能力。它為用戶提供可行的手段，保護(hù)用戶和用戶組信息，避免其他用戶對(duì)數(shù)據(jù)的非法讀寫(xiě)與破壞。

第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)。與用戶自主保護(hù)級(jí)相比，本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基實(shí)施了粒度更細(xì)的自主訪問(wèn)控制，它通過(guò)登錄規(guī)程、審計(jì)安全性相關(guān)事件和隔離資源，使用戶對(duì)自己的行為負(fù)責(zé)。

第三級(jí)：安全標(biāo)記保護(hù)級(jí)。本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基具有系統(tǒng)審計(jì)保護(hù)級(jí)所有功能。具有準(zhǔn)確地標(biāo)記輸出信息的能力，消除通過(guò)測(cè)試發(fā)現(xiàn)的任何錯(cuò)誤。

第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)。本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基建立于一個(gè)明確定義的形式化安全策略模型之上，將第三級(jí)系統(tǒng)中的自主和強(qiáng)制訪問(wèn)控制擴(kuò)展到所有主體與客體，同時(shí)考慮隱蔽通道。關(guān)于可信計(jì)算基則結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素，必須明確定義可信計(jì)算基的接口。加強(qiáng)了鑒別機(jī)制，增強(qiáng)了配置管理控制，具有相當(dāng)?shù)目節(jié)B透能力。

第五級(jí)：訪問(wèn)驗(yàn)證保護(hù)級(jí)。本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基滿足訪問(wèn)監(jiān)控器需求。訪問(wèn)監(jiān)控器仲裁主體對(duì)客體的全部訪問(wèn)。訪問(wèn)監(jiān)控器本身是抗篡改的，信息系統(tǒng)支持安全管理員職能，具有擴(kuò)充審計(jì)機(jī)制，提供系統(tǒng)恢復(fù)機(jī)制。系統(tǒng)具有很高的抗?jié)B透能力。

3結(jié)束語(yǔ)

信息安全等級(jí)保護(hù)是國(guó)家信息安全保障的基本制度、基本策略、基本方法，是維護(hù)國(guó)家信息安全的根本保障。通過(guò)開(kāi)展信息安全等級(jí)保護(hù)工作，可以有效地解決我國(guó)信息安全面臨的主要問(wèn)題，將有限的財(cái)力、人力、物力投入到重要信息系統(tǒng)的安全保護(hù)中去。參考文獻(xiàn)：

[1]趙鵬，李劍.國(guó)內(nèi)外信息安全發(fā)展新趨勢(shì)[J].信息網(wǎng)絡(luò)安全,2011(7).

[2]肖國(guó)煜.信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)實(shí)踐[J].信息網(wǎng)絡(luò)安全,2011(7).

[3]馬力，畢馬寧.安全保護(hù)模型與等級(jí)保護(hù)安全要求關(guān)系的研究[J].信息網(wǎng)絡(luò)安全,2011(6).

Research on Network Information Security

and Information Security Level

第8篇：網(wǎng)絡(luò)信息安全等級(jí)保護(hù)范文

信息安全等級(jí)保護(hù)工作細(xì)則

2012年4月，原北京市衛(wèi)生局按照原衛(wèi)生部下發(fā)的《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)》（衛(wèi)辦發(fā)〔2011〕85號(hào)）和《衛(wèi)生部辦公廳關(guān)于全面開(kāi)展衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的通知》（衛(wèi)辦綜函〔2011〕1126號(hào)）文件要求，統(tǒng)籌全市醫(yī)療衛(wèi)生行業(yè)信息化發(fā)展?fàn)顩r以及信息安全等級(jí)保護(hù)發(fā)展?fàn)顩r兩個(gè)大局，總結(jié)全市醫(yī)療衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作開(kāi)展經(jīng)驗(yàn)，研究制定下發(fā)了《北京市衛(wèi)生局關(guān)于進(jìn)一步加強(qiáng)北京市衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的通知》（京衛(wèi)辦字〔2012〕26號(hào)）。

這個(gè)通知不是對(duì)原衛(wèi)生部文件一個(gè)簡(jiǎn)單的轉(zhuǎn)發(fā)，還包括了《北京地區(qū)衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作實(shí)施細(xì)則》（以下簡(jiǎn)稱《細(xì)則》），對(duì)原衛(wèi)生部文件提出的定級(jí)要求進(jìn)行了細(xì)化。三級(jí)甲等醫(yī)院核心業(yè)務(wù)系統(tǒng)原則上信息安全等級(jí)保護(hù)定級(jí)不低于第三級(jí)，一些重要的公共衛(wèi)生信息系統(tǒng)不低于第三級(jí)，一些區(qū)域平臺(tái)信息系統(tǒng)不低于第三級(jí)，這是屬于比較大塊的分類。那么具體到醫(yī)療機(jī)構(gòu)，具體到公共衛(wèi)生部門(mén)，到底什么樣的系統(tǒng)定為第三級(jí)，大家可能會(huì)感覺(jué)不太清晰。所以我們?cè)凇都?xì)則》里定義了三級(jí)甲等醫(yī)院什么樣的信息系統(tǒng)定為第三級(jí)。例如《細(xì)則》中寫(xiě)道，“三級(jí)甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)的安全保護(hù)等級(jí)原則上不低于第三級(jí)”，應(yīng)結(jié)合醫(yī)院業(yè)務(wù)及信息系統(tǒng)實(shí)際情況，從以下指標(biāo)確定醫(yī)院核心業(yè)務(wù)系統(tǒng)：醫(yī)院平均日門(mén)診量；醫(yī)院住院床位數(shù)；業(yè)務(wù)系統(tǒng)承載病患個(gè)人隱私信息、一旦泄露對(duì)社會(huì)秩序構(gòu)成重大影響的；業(yè)務(wù)中斷使醫(yī)院正常運(yùn)營(yíng)蒙受重大經(jīng)濟(jì)損失的；其他如何遭到損害會(huì)對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益產(chǎn)生重大影響的系統(tǒng)。因此，無(wú)論是醫(yī)院的門(mén)急診信息系統(tǒng)、電子病歷系統(tǒng)還是今后將要建設(shè)的其他信息系統(tǒng)，都可以從這些方面來(lái)分析，從而更準(zhǔn)確地定級(jí)。

這個(gè)《細(xì)則》的制定使得我市醫(yī)療衛(wèi)生行業(yè)更加明確了信息安全等級(jí)保護(hù)工作的要求及落實(shí)方法，對(duì)我們之后的備案、安全整改和等級(jí)測(cè)評(píng)工作起到了很大的幫助作用。

信息安全等級(jí)保護(hù)工作開(kāi)展情況

我們北京市公共衛(wèi)生信息中心（原北京市衛(wèi)生局信息中心），是北京市衛(wèi)生和計(jì)劃生育委員會(huì)直屬的事業(yè)單位，負(fù)責(zé)全市醫(yī)療衛(wèi)生行業(yè)網(wǎng)絡(luò)與信息安全指導(dǎo)工作。北京市的信息安全等級(jí)保護(hù)工作是從2007年開(kāi)始開(kāi)展的?？偨Y(jié)來(lái)說(shuō)，主要有以下幾點(diǎn)做法：

一是強(qiáng)化組織，落實(shí)責(zé)任。每年年初組織召開(kāi)北京市醫(yī)療衛(wèi)生信息化工作會(huì)，市衛(wèi)生計(jì)生委領(lǐng)導(dǎo)、市公安局領(lǐng)導(dǎo)均出席會(huì)議，對(duì)全年信息安全工作提出部署，明確全行業(yè)信息安全保障重點(diǎn)任務(wù)，為落實(shí)全年信息安全工作的組織開(kāi)展奠定了堅(jiān)實(shí)的基礎(chǔ)。

二是聯(lián)合檢查，摸清底數(shù)。自2008年起，我們每年都與市公安局聯(lián)合開(kāi)展醫(yī)療衛(wèi)生行業(yè)信息安全檢查工作。在市公安局的指導(dǎo)下，我們針對(duì)衛(wèi)生行業(yè)機(jī)構(gòu)眾多的特點(diǎn)，設(shè)立了由市區(qū)兩級(jí)衛(wèi)生行政部門(mén)與市區(qū)兩級(jí)公安部門(mén)聯(lián)合檢查的工作機(jī)制。全市三級(jí)醫(yī)療機(jī)構(gòu)及市衛(wèi)生局直屬單位由市衛(wèi)生計(jì)生委、市公安局負(fù)責(zé)，區(qū)縣醫(yī)療衛(wèi)生機(jī)構(gòu)由區(qū)縣衛(wèi)生局與區(qū)縣公安分局聯(lián)合進(jìn)行。目前，我市所有三級(jí)以上醫(yī)療機(jī)構(gòu)和重要公共衛(wèi)生部門(mén)均已完成了信息安全等級(jí)保護(hù)定級(jí)和備案工作。

三是政策落實(shí)，推動(dòng)整改。近幾年，市財(cái)政、市經(jīng)信委大力支持衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作，在2012年度至2014年度的市衛(wèi)生信息化項(xiàng)目申報(bào)指南中，明確規(guī)定了信息安全等級(jí)保護(hù)建設(shè)屬于政府支持項(xiàng)目。到目前為止已有10家市屬三級(jí)醫(yī)院（世紀(jì)壇醫(yī)院、朝陽(yáng)醫(yī)院、地壇醫(yī)院、兒童醫(yī)院、安定醫(yī)院、北京胸科醫(yī)院、友誼醫(yī)院、佑安醫(yī)院、中醫(yī)醫(yī)院、首都兒童研究所）完成信息整改項(xiàng)目的申報(bào)工作，已由市經(jīng)濟(jì)信息委審核通過(guò)項(xiàng)目資金共計(jì)3670.902萬(wàn)元，現(xiàn)在建設(shè)資金正在陸續(xù)撥付到位。通過(guò)安全整改、等級(jí)測(cè)評(píng)，完成信息安全等級(jí)保護(hù)工作，切實(shí)提高了本市醫(yī)療衛(wèi)生機(jī)構(gòu)信息安全保障能力。

四是制定預(yù)案，強(qiáng)化值守。

五是及時(shí)總結(jié)，持續(xù)改進(jìn)。

信息安全等級(jí)保護(hù)工作的體會(huì)

從2007年開(kāi)始參與信息安全等級(jí)保護(hù)工作，我個(gè)人經(jīng)歷了北京市等級(jí)保護(hù)工作推動(dòng)的全過(guò)程，在這里談幾點(diǎn)個(gè)人對(duì)于信息安全等級(jí)保護(hù)相關(guān)工作的思考。

首先，信息安全等級(jí)保護(hù)制度為我們醫(yī)療衛(wèi)生行業(yè)帶來(lái)了很大的變化。第一是看待信息安全工作視角的變化。以前，我們可能更關(guān)注技術(shù)本身，有了等級(jí)保護(hù)要求之后，使得我們從一個(gè)整體的角度來(lái)看待信息安全這件事情。因?yàn)樾畔踩欠夏就霸淼模畋∪醯牡胤酵亲钊菀壮霈F(xiàn)問(wèn)題的地方，也代表著整個(gè)安全防護(hù)的水平。第二個(gè)變化是讓我們更清晰地梳理了醫(yī)療衛(wèi)生行業(yè)的信息系統(tǒng)，以往可能主要從系統(tǒng)功能來(lái)區(qū)分，現(xiàn)在會(huì)考慮從業(yè)務(wù)連續(xù)性的高低、數(shù)據(jù)安全防護(hù)需求的高低來(lái)區(qū)分。

其次，通過(guò)對(duì)信息系統(tǒng)的梳理、劃分也清楚了信息安全等級(jí)保護(hù)要求里哪些要求對(duì)我們醫(yī)療衛(wèi)生行業(yè)更適用。信息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)是各行業(yè)通用的，因此在行業(yè)內(nèi)推動(dòng)時(shí)，一定要結(jié)合行業(yè)特點(diǎn)，按照信息安全等級(jí)保護(hù)工作要求制定適合本行業(yè)的標(biāo)準(zhǔn)和規(guī)范。我們之前推出的《細(xì)則》其實(shí)就是基于這個(gè)思路，但由于行業(yè)的復(fù)雜性，真正形成一套適合醫(yī)療衛(wèi)生行業(yè)的完整的標(biāo)準(zhǔn)規(guī)范，難度還是非常大的。

第三點(diǎn)，醫(yī)院的院長(zhǎng)、信息中心主任在增加新的信息系統(tǒng)時(shí)，都應(yīng)從信息安全的角度對(duì)信息系統(tǒng)進(jìn)行分析，在項(xiàng)目規(guī)劃申報(bào)階段就將信息安全需求整合考慮?，F(xiàn)在大部分醫(yī)院都上線了移動(dòng)醫(yī)療、移動(dòng)護(hù)理，面向公眾開(kāi)通了微信、手機(jī)App，增加這樣一些新的業(yè)務(wù)之后，醫(yī)院原有信息安全防護(hù)體系發(fā)生了較大改變，具體應(yīng)如何解決？另外數(shù)字醫(yī)療設(shè)備信息安全的問(wèn)題也應(yīng)得到廣泛的關(guān)注，根據(jù)我們的調(diào)研，隨著影像檢查、生化檢驗(yàn)等設(shè)備的數(shù)字化，這些設(shè)備都接入到醫(yī)院的信息網(wǎng)絡(luò)當(dāng)中，但對(duì)這些設(shè)備的安全管理基本屬于空白，存在較多安全隱患。其實(shí)這些問(wèn)題都可以在信息安全等級(jí)保護(hù)要求的指導(dǎo)下通過(guò)技術(shù)手段和管理制度的完善而解決。

第9篇：網(wǎng)絡(luò)信息安全等級(jí)保護(hù)范文

2013年 8月23日，在由中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院主辦，《信息安全與技術(shù)》雜志社和賽迪智庫(kù)信息安全研究所承辦的“2013 中國(guó)信息安全技術(shù)大會(huì)”上，國(guó)家信息化專家咨詢委員會(huì)委員、中國(guó)工程院院士沈昌祥發(fā)出了以上呼吁。沈昌祥院士同時(shí)強(qiáng)調(diào)，要落實(shí)2011年工業(yè)和信息化部的《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)安全管理的通知》精神，做好重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)信息安全的管理工作，對(duì)連接、組網(wǎng)、配置、設(shè)備選擇與升級(jí)、數(shù)據(jù)、應(yīng)急等管理方面的要求，要逐一落實(shí)。

可信、可控、可管

沈昌祥院士認(rèn)為，隨著信息化不斷深入，工業(yè)控制系統(tǒng)已從封閉、孤立的系統(tǒng)走向互聯(lián)體系的IT系統(tǒng)，采用以太網(wǎng)、TCP/IP網(wǎng)及各種無(wú)線網(wǎng)，控制協(xié)議已遷移到應(yīng)用層；采用的標(biāo)準(zhǔn)商用操作系統(tǒng)、中間件與各種通用軟件，已變成開(kāi)放、互聯(lián)、通用和標(biāo)準(zhǔn)化的信息系統(tǒng)。因此，安全風(fēng)險(xiǎn)也等同于通用的信息系統(tǒng)。工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)是依托網(wǎng)絡(luò)技術(shù)，將控制計(jì)算節(jié)點(diǎn)構(gòu)建成為工業(yè)生產(chǎn)過(guò)程控制的計(jì)算環(huán)境，是屬于等級(jí)保護(hù)信息系統(tǒng)范圍。信息安全等級(jí)保護(hù)是我國(guó)信息安全保障的基本制度，從技術(shù)和管理兩個(gè)方面進(jìn)行安全建設(shè)，做到可信、可控、可管，使工業(yè)控制系統(tǒng)具有抵御高強(qiáng)度連續(xù)攻擊（APT）的能力。

就工業(yè)控制系統(tǒng)等級(jí)保護(hù)技術(shù)框架而言，沈昌祥院士認(rèn)為，信息安全等級(jí)保護(hù)要做到三點(diǎn)：可信——針對(duì)計(jì)算資源（軟硬件）構(gòu)建保護(hù)環(huán)境，以可信計(jì)算基（TCB）為基礎(chǔ)，層層擴(kuò)充，對(duì)計(jì)算資源進(jìn)行保護(hù)；可控——針對(duì)信息資源（數(shù)據(jù)及應(yīng)用）構(gòu)建業(yè)務(wù)流程控制鏈，以訪問(wèn)控制為核心，實(shí)行主體（用戶）按策略規(guī)則訪問(wèn)客體（信息資源）；可管——保證資源安全必須實(shí)行科學(xué)管理，強(qiáng)調(diào)最小權(quán)限管理，尤其是高等級(jí)系統(tǒng)實(shí)行三權(quán)分離管理體制，不許設(shè)超級(jí)用戶。針對(duì)工業(yè)控制特點(diǎn)，要按GB/17859要求，構(gòu)建在安全管理中心支持下的計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三重防御體系是必要的且可行的，具體設(shè)計(jì)可參照GB/T25070-2010，以實(shí)現(xiàn)通信網(wǎng)絡(luò)安全互聯(lián)、區(qū)域邊界安全防護(hù)和計(jì)算環(huán)境的可信免疫。

堅(jiān)持自主創(chuàng)新、縱深防御

沈昌祥院士特別強(qiáng)調(diào)，做好工業(yè)控制系統(tǒng)的信息安全等級(jí)保護(hù)工作，更要堅(jiān)持自主創(chuàng)新、縱深防御。

他認(rèn)為，工業(yè)控制系統(tǒng)是定制的運(yùn)行系統(tǒng)，其資源配置和運(yùn)行流程具唯一性和排它性特點(diǎn)，用防火墻、殺病毒、漏洞掃描不僅效果不好，而且會(huì)引起新的安全問(wèn)題；堅(jiān)持自主創(chuàng)新，采用可信計(jì)算技術(shù)，使每個(gè)計(jì)算節(jié)點(diǎn)、通信節(jié)點(diǎn)都有可信保障功能，系統(tǒng)資源就不會(huì)被篡改，處理流程就不會(huì)擾破壞，系統(tǒng)能按預(yù)定的目標(biāo)正確運(yùn)行，“震網(wǎng)”、“火焰”等病毒攻擊不查即殺。

堅(jiān)持縱深防御，就是要扭轉(zhuǎn)“封堵查殺”被動(dòng)局面。加強(qiáng)信息系統(tǒng)整體防護(hù)，建設(shè)區(qū)域隔離、系統(tǒng)控制三重防護(hù)、多級(jí)互聯(lián)體系結(jié)構(gòu)；重點(diǎn)做好操作人員使用的終端防護(hù)，把住攻擊發(fā)起的源頭，做到操作使用安全；加強(qiáng)處理流程控制，防止內(nèi)部攻擊，提高計(jì)算節(jié)點(diǎn)自我免疫能力，減少封堵；加強(qiáng)技術(shù)平臺(tái)支持下的安全管理，基于安全策略，與業(yè)務(wù)處理、監(jiān)控及日常管理制度有機(jī)結(jié)合。（作者系《信息安全與技術(shù)》主編）