網(wǎng)絡安全等級測評精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網(wǎng)絡安全等級測評主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網(wǎng)絡安全等級測評范文

關鍵詞： 云計算； 云安全； 信息安全； 等級保護測評； 局限性

中圖分類號：TP309 文獻標志碼：A 文章編號：1006-8228（2016）11-35-03

Discussion on the testing and evaluating of cloud computing security level protection

Liu Xiaoli， Shen Xiaohui

（Zhejiang Provincial Testing Institute of Electronic & Information Products， Hangzhou， Zhejiang 310007， China）

Abstract： Cloud computing has recently attracted extensive attention since Internet has accessed Web 2.0 with more freedom and flexibility. However， the cloud security has become the biggest challenge for cloud promotion. Combined with the problems of the actual testing and evaluation in cloud computing security， the limitations of the application of the current information security level protection evaluation standard to the cloud environment are analyzed， and the contents that cloud security should focus on are proposed.

Key words： cloud computing； cloud security； information security； testing and evaluation of security level protection； limitations

0 引言

近年來，隨著網(wǎng)絡進入更加自由和靈活的Web2.0時代，云計算的概念風起云涌。美國國家標準與技術研究院（NIST）定義云計算是一種按使用量付費的模式，這種模式提供可用的、便捷的、按需的網(wǎng)絡訪問，進入可配置的計算資源共享池（資源包括網(wǎng)絡，服務器，存儲，應用軟件，服務），這些資源能夠被快速提供，只需投入很少的管理工作，或與服務供應商進行很少的交互。云計算因其節(jié)約成本、維護方便、配置靈活已經成為各國政府優(yōu)先推進發(fā)展的一項服務。美、英、澳大利亞等國家紛紛出臺了相關發(fā)展政策，有計劃地促進政府部門信息系統(tǒng)向云計算平臺遷移。但是也應該看到，政府部門采用云計算服務也給其敏感數(shù)據(jù)和重要業(yè)務的安全帶來了挑戰(zhàn)。美國作為云計算服務應用的倡導者，一方面推出“云優(yōu)先戰(zhàn)略”，要求大量聯(lián)邦政府信息系統(tǒng)遷移到“云端”，另一方面為確保安全，要求為聯(lián)邦政府提供的云計算服務必須通過安全審查[1]。我國也先后出臺了一系列云計算服務安全的國家標準，如GB/T 31167-2014《信息安全技術云計算服務安全指南》、GB/T 31168-2014 《信息安全技術 云計算服務安全能力要求》等。本文關注的是云計算安全，包括云計算應用系統(tǒng)安全、云計算應用服務安全、云計算用戶信息安全等[2]。

當前，等級保護測評的依據(jù)主要有GB/T 22239-

2008《信息安全技術 信息系統(tǒng)安全等級保護基本要求》、GB/T 28448-2012《信息安全技術 信息系統(tǒng)安全等級保護測評要求》和GB/T 28449-2012《信息安全技術 信息系統(tǒng)安全等級保護測評過程指南》等。然而，這些標準應用于傳統(tǒng)計算模式下的信息系統(tǒng)安全測評具有普適性，對于采用云計算服務模式下的信息系統(tǒng)卻有一定的局限性。

本文結合實際云計算服務安全測評中的問題，首先討論現(xiàn)行信息安全等級保護測評標準應用到云環(huán)境的一些局限性，其次對于云計算安全特別需要關注的測評項進行分析。

1 云計算安全

正如一件新鮮事物在帶給我們好處的同時，也會帶來問題一樣，云計算的推廣也遇到了諸多困難，其中安全問題已成為阻礙云計算推廣的最大障礙。

云計算安全面臨著七大風險，主要包括客戶對數(shù)據(jù)和業(yè)務系統(tǒng)的控制能力減弱、客戶與云服務商之間的責任難以界定、可能產生司法管轄權問題、數(shù)據(jù)所有權保障面臨風險、數(shù)據(jù)保護更加困難、數(shù)據(jù)殘留和容易產生對云服務商的過度依賴等。文獻[3]提出了云計算安全測評框架，與傳統(tǒng)信息系統(tǒng)安全測評相比，云計算安全測評應重點關注虛擬化安全、數(shù)據(jù)安全和應用安全等層面。

虛擬化作為云計算最重要的技術，其安全性直接關系到云環(huán)境的安全。虛擬化安全涉及虛擬化軟件安全和虛擬化服務器安全，其中虛擬化服務器安全包括虛擬化服務器隔離、虛擬化服務器監(jiān)控、虛擬化服務器遷移等。云計算的虛擬化安全問題主要集中在VM Hopping（一臺虛擬機可能監(jiān)控另一臺虛擬機甚至會接入到宿主機）、VM Escape（VM Escape攻擊獲得Hypervisor的訪問權限，從而對其他虛擬機進行攻擊）/遠程管理缺陷（Hypervisor通常由管理平臺來為管理員管理虛擬機，而這些控制臺可能會引起一些新的缺陷）、遷移攻擊（可以將虛擬機從一臺主機移動到另一臺，也可以通過網(wǎng)絡或USB復制虛擬機）等[4]。

數(shù)據(jù)實際存儲位置往往不受客戶控制，且數(shù)據(jù)存放在云平臺上，數(shù)據(jù)的所有權難以界定，多租戶共享計算資源，可能導致客戶數(shù)據(jù)被授權訪問、篡改等。另外當客戶退出云服務時，客戶數(shù)據(jù)是否被完全刪除等是云計算模式下數(shù)據(jù)安全面臨的主要問題。

在云計算中對于應用安全，特別需要注意的是Web應用的安全。云計算應用安全主要包括云用戶身份管理、云訪問控制、云安全審計、云安全加密、抗抵賴、軟件代碼安全等[3]。

2 云計算下等級保護測評的局限性

信息系統(tǒng)安全等級保護是國家信息安全保障工作的基本制度、基本策略、基本方法。開展信息系統(tǒng)安全等級保護工作不僅是加強國家信息安全保障工作的重要內容，也是一項事關國家安全、社會穩(wěn)定的政治任務。信息系統(tǒng)安全等級保護測評工作是指測評機構依據(jù)國家信息安全等級保護制度規(guī)定，按照有關管理規(guī)范和技術標準，對未涉及國家秘密的信息系統(tǒng)安全等級保護狀況進行檢測評估的活動。與之對應的是涉及國家秘密的信息系統(tǒng)安全測評，就是通常所說的分級保護測評。

信息系統(tǒng)安全等級保護的基本要求包括技術要求和管理要求兩大類。其中技術要求包括物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全及備份恢復等五個層面；管理要求包括安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理等五個層面。

傳統(tǒng)的安全已不足以保護現(xiàn)代云計算工作負載。換言之，將現(xiàn)行的等級保護相關標準生搬硬套到云計算模式存在局限性，具體體現(xiàn)在以下方面。

⑴ 物理安全

傳統(tǒng)模式的信息系統(tǒng)數(shù)據(jù)中心或者在本單位，或者托管在第三方機構，用戶可以掌握自身數(shù)據(jù)和副本存儲在設備和數(shù)據(jù)中心的具置。然而，由于云服務商的數(shù)據(jù)中心可能分布在不同的地區(qū)，甚至不同的國家，GB/T 31167-2014明確了存儲、處理客戶數(shù)據(jù)的數(shù)據(jù)中心和云計算基礎設施不得設在境外。

⑵ 網(wǎng)絡安全

網(wǎng)絡安全主要包括結構安全、邊界防護、訪問控制、入侵防范、惡意代碼防范、安全審計、網(wǎng)絡設備防護等測評項。網(wǎng)絡邊界是網(wǎng)絡信息安全的第一道防線，因此在網(wǎng)絡邊界采取安全防護措施就顯得尤為重要。但在云計算模式下，多個系統(tǒng)同時運行在同一個物理機上，突破了傳統(tǒng)的網(wǎng)絡邊界。由此可見，網(wǎng)絡邊界的界定、安全域的劃分成為了云計算模式下網(wǎng)絡邊界安全面臨的新挑戰(zhàn)[5]。

⑶ 主機安全

主機安全主要包括身份鑒別、訪問控制、安全審計等測評項。但在云計算模式下，虛擬化技術能夠實現(xiàn)在一臺物理機上運行多臺虛擬機。盡管虛擬機之間具有良好的隔離性，但在云計算平臺，尤其是私有云和社區(qū)云中，虛擬機之間通常需要進行交互和通信，正是這種交互為攻擊和惡意軟件的傳播提供了可能。因此，虛擬機之間的安全隔離、用戶權限劃分、數(shù)據(jù)殘留、跨虛擬機的非授權訪問是云計算環(huán)境下虛擬機安全需要重點關注的內容。

⑷ 應用安全

應用系統(tǒng)作為承載數(shù)據(jù)的主要載體，其安全性直接關系到信息系統(tǒng)的整體安全，因此對整個系統(tǒng)的安全保密性至關重要。然而，當前絕大多數(shù)單位的應用系統(tǒng)在設計開發(fā)過程中，僅僅考慮到應用需求、系統(tǒng)的性能及技術路線的選擇等問題，缺少了應用系統(tǒng)自身的安全性。客戶的應用托管在云計算平臺，面臨著安全與隱私雙重風險，主要包括多租戶環(huán)境下來自云計算服務商和其他用戶的未授權訪問、隱私保護、內容安全管理、用戶認證和身份管理問題[6]。

⑸ 數(shù)據(jù)安全及備份恢復

在云計算模式下，客戶的數(shù)據(jù)和業(yè)務遷移至云服務商的云平臺中，數(shù)據(jù)的處理、存儲均在“云端”完成，用戶一端只具有較少的計算處理能力，數(shù)據(jù)的安全性依賴于云平臺的安全。如何確保數(shù)據(jù)遠程傳輸安全、數(shù)據(jù)集中存儲安全以及多租戶之間的數(shù)據(jù)隔離是云計算環(huán)境下迫切需要解決的問題。

3 云安全之等級保護測評

參照等級保護測評的要求，結合上述分析，云安全之等級保護測評應重點關注以下方面。

⑴ 數(shù)據(jù)中心物理與環(huán)境安全：用于業(yè)務運行和數(shù)據(jù)處理及存儲的物理設備是否位于中國境內，從而避免產生司法管轄權的問題。

⑵ 虛擬網(wǎng)絡安全邊界訪問控制：是否在虛擬網(wǎng)絡邊界部署訪問控制設備，設置有效的訪問控制規(guī)則，從而控制虛機間的互訪。

⑶ 遠程訪問監(jiān)控：是否能實時監(jiān)視云服務遠程連接，并在發(fā)現(xiàn)未授權訪問時，及時采取恰當?shù)姆雷o措施。

⑷ 網(wǎng)絡邊界安全：是否采取了網(wǎng)絡邊界安全防護措施，如在整個云計算網(wǎng)絡的邊界部署安全防護設備等。

⑸ 虛擬機安全：虛擬機之間的是否安全隔離，當租戶退出云服務時是否有數(shù)據(jù)殘留，是否存在跨虛擬機的非授權訪問等。

⑹ 接口安全：是否采取有效措施確保云計算服務對外接口的安全性。

⑺ 數(shù)據(jù)安全：多租戶間的數(shù)據(jù)是否安全隔離，遠程傳輸時是否有措施確保數(shù)據(jù)的完整性和保密性，租戶業(yè)務或數(shù)據(jù)進行遷移時是否具有可移植性和互操作性。

4 結束語

云計算因其高效化、集約化和節(jié)約化的特點，受到越來越多黨政機關、企事業(yè)單位的青睞，與此同時云計算帶來的風險也是不容忽視的。本文結合云計算的特點分析了云計算模式下現(xiàn)行等級保護測評標準的一些局限性，并提出了云計算下等級保護測評需要特別關注的測評項，對云服務商、租戶和測評機構提供借鑒。值得注意的是，租戶在進行云遷移之前，首先應確定自身遷移業(yè)務的等級，其次是租用的云計算平臺等級不能低于業(yè)務系統(tǒng)的等級。

參考文獻（References）：

[1] 尹麗波.美國云計算服務安全審查值得借鑒.中國日報網(wǎng).

[2] 陳軍，薄明霞，王渭清.云安全研究進展及技術解決方案發(fā)展

趨勢[J].技術廣角，2011：50-54

[3] 潘小明，張向陽，沈錫鏞，嚴丹.云計算信息安全測評框架研究[J].

計算機時代，2013.10：22-25

[4] 房晶，吳昊，白松林.云計算的虛擬化安全問題[J].電信科學，

2012.28（4）：135-140

[5] 陳文捷，蔡立志.云環(huán)境中網(wǎng)絡邊界安全的等級保護研究[C].

第二屆全國信息安全等級保護技術大會會議論文集，2013.

第2篇：網(wǎng)絡安全等級測評范文

［關鍵詞］等級保護；等級備案；等級測評

doi：10.3969/j.issn.1673 - 0194.2017.04.115

［中圖分類號］TP309 ［文獻標識碼］A ［文章編號］1673-0194（2017）02-0-02

0 引　言

隨著全球信息技術的快速發(fā)展，我國國民經濟的繁榮和社會信息化水平的日益提升，信息安全已上升為國家層面的重要內容。為進一步提高信息安全保障工作的能力和水平，2016年國家網(wǎng)絡安全宣傳周首次在全國范圍內統(tǒng)一舉辦，并首次在地方城市舉行開幕式等重要活動。由此信息安全等級保護制度也越來越成為信息社會必不可少的一項制度，等級測評工作也將隨之逐步成為一項常規(guī)化工作，對保障國家網(wǎng)絡安全具有重要意義。下文對信息安全等級保護的概念及發(fā)展狀況進行梳理。

1 信息安全等級保護的概念

信息安全等級保護是對信息及信息載體按照重要性等級分別進行保護的一種工作，是國際上很多國家都實施的一項信息安全工作。在中國，信息安全等級保護廣義上是為涉及信息安全工作的標準、產品、系統(tǒng)、信息等依據(jù)等級保護思想確立的安全工作；狹義上一般指信息系統(tǒng)安全等級保護。

2 信息安全等級保護的發(fā)展歷程

全球化網(wǎng)絡快速發(fā)展的同時其脆弱性和安全性也日益彰顯，西方發(fā)達國家制定了一系列強化網(wǎng)絡信息安全建設的政策和標準，其核心就是將不同重要程度的信息系統(tǒng)劃分為不同的安全等級，以便于對不同領域的信息安全工作進行指導。鑒于此，我國相關部門和專家結合我國信息領域的實際情況經過多年的研究，于1994年由國務院下發(fā)了《中華人民共和國計算機信息系統(tǒng)安全保護條例》，首次提出了信息安全等級保護的概念，用于解決我國信息安全問題。之后經過了十幾年的摸索和探究出臺了一系列從中央到地方的政策法規(guī)，并實施工程。從計算機系統(tǒng)的定級到等級保護測評，信息安全工作逐步完善。詳情見表1。

隨著國家對信息安全工作的重視以及各類等級保護規(guī)范標準的出臺，各行業(yè)及監(jiān)管部門迅速發(fā)文響應并落實行業(yè)內信息系統(tǒng)安全等級保護工作。建立、健全信息安全管理制度，落實安全保護技術措施，全面貫徹落實信息安全等級保護制度。目前，國家已出臺70多個國標、行標及報批標準，展開了對所屬安全系統(tǒng)進行先定級后測評的工作。

3 信息安全等級保護具體實施過程

信息安全等級保護具體的實施過程，如圖1所示。

3.1 定級

2007年開始在全國范圍內進行信息系統(tǒng)等級保護的定級工作。四級以上的定級要求請國家信息安全保護等級專家評審委員會評審定級。此項工作歷時一年基本完成。

定級標準為公安部66號文件。主要依據(jù)是《信息系統(tǒng)安全保護等級定級指南》（國家）或行業(yè)制定的定級指南。對于等級的劃分，見表2。

定級注意事項

第一級信息系統(tǒng)：適用于小型私營、個體企業(yè)、中小學、鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級單位中一般的信息系統(tǒng)。

第二級信息系統(tǒng)：適用于縣級一些單位中的重要信息系統(tǒng)；地市級以上國家機關、企事業(yè)單位內部一般的信息系統(tǒng)。例如：不涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)，地市級以上國家機關、企事業(yè)單位網(wǎng)站等。

第三級信息系統(tǒng)：一般適用于地市級以上國家機關、企事業(yè)單位內部重要的信息系統(tǒng)；跨省或全國聯(lián)網(wǎng)運行的用于生產、調度、管理、指揮、作業(yè)及控制等方面的重要信息系統(tǒng)以及這類系統(tǒng)在省、地市的分支系統(tǒng)；中央各部委、省門戶網(wǎng)站和重要網(wǎng)站；跨省連接的網(wǎng)絡系統(tǒng)等，例如，網(wǎng)上銀行系統(tǒng)、證券集中交易系統(tǒng)、海關通關系統(tǒng)、民航離港控制系統(tǒng)等為三級信息系統(tǒng)。

第四級信息系統(tǒng)：一般適用于國家重要領域、部門中涉及國計民生、國家利益、國家安全、影響社會穩(wěn)定的核心系統(tǒng)。例如：電信骨干傳輸網(wǎng)、電力能量管理系統(tǒng)、銀行核心業(yè)務系統(tǒng)、鐵路票客系統(tǒng)、列車指揮調度系統(tǒng)等。

第五級信息系統(tǒng)：適用于國家特殊領域的極其重要系統(tǒng)。

3.2 等級備案

已運行的系統(tǒng)在安全保護等級定級后30日內，由運營、使用單位到所在地區(qū)的市級以上公安機關辦理備案手續(xù)。新建的系統(tǒng)，在通過立項申請后30日內辦理。將定級情況報各地公安部門備案。

辦理備案手續(xù)時備案單位需向公安機關網(wǎng)監(jiān)部門提交以下備案材料。①《信息系統(tǒng)安全等級保護備案表》紙質材料一式兩份。該表由“等級保護備案端軟件”生成，操作時請詳細閱讀軟件使用說明書。第二級以上信息系統(tǒng)備案時需提交表中的表一、二、三；第三級以上信息系統(tǒng)還應當在系統(tǒng)整改、測評完成后30日內提交表四及其有關材料。②《信息系統(tǒng)安全等級保護定級報告》紙質材料一式兩份。每個備案的信息系統(tǒng)均需提供對應的《信息系統(tǒng)安全等級保護定級報告》。

③備案電子數(shù)據(jù)。每個備案的信息系統(tǒng)，均需通過“等級保護備案端軟件”填寫信息，以壓縮文件（RAR格式）方式保存。

3.3 對照等級標準和要求進行安全建設分析整改

備案工作完成后，需要對照所定的級別對信息系統(tǒng)進行安全建設整改。從滿足政策、滿足標準和滿足用戶需求入手，有條件的單位可以請專業(yè)機構幫助給出整改意見，在技術和管理兩個方面進行整體規(guī)劃和設計。在設計過程中要考慮近期和遠期規(guī)劃，從而給出總體和詳細的方案，特別要把技術體系、物理安全、管理安全、應急與災備全面進行細分，細分為不同的子項，分項完善。之后就可以進入具體實施操作階段。

3.4 等級測評

信息系統(tǒng)完成建O整改實施操作之后就可以進行等級保護的測評。等級保護測評工作需要由有“DJCP”（公安部信息安全等級保護測評）認證的測評機構來完成。有“DJCP”資質的機構在“中國信息安全等級保護網(wǎng)”可以查詢到。測評時間一般為一個月。測評過程如下。

（1）測評準備階段：召開項目啟動會布置測評需要準備的材料（系統(tǒng)拓撲圖、規(guī)章制度、設備參數(shù)等），測評機構根據(jù)提供的材料準備下一步的測評工具和表單。

（2）測評方案編制階段：測評機構針對測評對象制定測評指標，填寫測評內容，并編制測評方案書。雙方進一步溝通測評時間及測評場地的測評內容和測評流程。

（3）現(xiàn)場測評階段：測評機構按照測評方案的測評內容對項目中的管理和技術測評項進行逐一的測評，記錄測評相關數(shù)據(jù)。需要注意的是在現(xiàn)場測評過程中盡量不要影響被測系統(tǒng)的正常運行?？梢赃x擇錯開業(yè)務高峰期或下班后的時間。為了保證被測系統(tǒng)不受影響，系統(tǒng)維護人員應在現(xiàn)場進行配合。

（4）報告編制階段：測評機構根據(jù)測評內容和數(shù)據(jù)進行整理，給出測評報告，告知風險點和測評發(fā)現(xiàn)的問題。

測評結果有三種：不符合，即未通過測評；部分符合和全部符合，后兩種為通過測評。

在等級保護測評方面，按照要求，三級的信息系統(tǒng)應當每年至少進行一次安全自查和安全測評；四級的信息系統(tǒng)應當每半年至少進行一次安全自查和安全測評；五級的應當依據(jù)特殊安全要求進行安全自查和安全測評。

4 信息安全等級保護的發(fā)展現(xiàn)狀

隨著信息技術的不斷發(fā)展，云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制、大數(shù)據(jù)等概念的出現(xiàn)對信息系統(tǒng)等級保護提出了新的要求。在新技術應用背景下，等級保護的標準和規(guī)范也將隨之不斷調整，信息系統(tǒng)和測評機構都需要不斷提高自身的技術能力以適應新技術發(fā)展的需求。保證信息系統(tǒng)的循序建設和長期穩(wěn)定的運行，是等級保護建設的重要意義。

主要參考文獻

第3篇：網(wǎng)絡安全等級測評范文

【 關鍵詞 】 信息安全等級保護；等級測評；物聯(lián)網(wǎng)；云計算

Research of Effect of Internet of Things and Cloud Computing to Classified Evaluation

Zhao Liang

（Sinopec Shandong Dongying Oil Company ShandongJinan 257000）

【 Abstract 】 Classified Protection of Information Security is the basic system and strategy of national information security work. And Classified Evaluation is an important method of testing and evaluating the level of Information Security Protection. The appearance of new technologies， such as cloud computing， Internet of Things， tri-networks integration， brings new challenge to the Classified Evaluation technology. This paper introduced the influences upon Classified Evaluation from new technology development， represented by cloud computing and Internet of Things， in order to promote the development of test method research， and provide theoretical basis to further research.

【 Keywords 】 classified protection of information security； multilevel security database； cloud computing； internet of things

1 引言

社會信息化技術和國民經濟的飛速發(fā)展，使得信息系統(tǒng)與網(wǎng)絡的基礎性與全面性作用逐漸增強，而由此帶來的信息安全問題也變得突出，并逐漸成為關系國家安全的重大戰(zhàn)略問題。信息安全等級保護制度是國家在國民經濟和社會信息化的發(fā)展過程中，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設健康發(fā)展的一項基本制度，而等級測評作為檢驗和評價信息系統(tǒng)安全保護水平的重要方法，是信息安全等級保護實施過程中的重要環(huán)節(jié)。近幾年，越來越多的研究者致力于等級測評技術、方法和工具的研究與開發(fā)，并取得了一定的成果。但越來越多網(wǎng)絡新技術的出現(xiàn)，在開拓等級保護與等級測評應用領域的同時，也對傳統(tǒng)等級測評技術帶來了一定的挑戰(zhàn)。本文分別介紹了物聯(lián)網(wǎng)和云計算兩種新的技術應用，并探討了其對等級測評技術產生的影響，旨在推動等級測評技術的發(fā)展，為其深入研究提供理論參考。

2 安全等級保護與等級測評

信息安全等級保護是指根據(jù)應用業(yè)務重要程度及其實際安全需求，通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術標準，對信息安全實行等級化保護和等級化管理，以保障信息安全和系統(tǒng)安全正常運行，維護國家利益、公共利益和社會穩(wěn)定。等級保護是幫助用戶分析、評定信息系統(tǒng)的等級，在后期的工作中根據(jù)不同的等級進行不同級別的安全防護，

在我國的信息安全等級保護制度中，等級保護工作主要分為五個環(huán)節(jié)：定級、備案、建設整改、等級測評和監(jiān)督檢查。

等級測評是指第三方等級測評機構根據(jù)等級保護的管理規(guī)范和技術標準要求，針對已經實施了安全等級保護的信息系統(tǒng)進行的符合性測評活動，以確保信息系統(tǒng)的安全性保護措施符合對應等級的基本安全要求，是信息安全等級保護工作的重要環(huán)節(jié)，既可以在信息系統(tǒng)安全建設完成后進行，也可以在信息系統(tǒng)的運行維護過程中進行?！禛B/T 22239-2008 信息安全技術 信息系統(tǒng)安全等級保護基本要求》作為等級測評的基礎性標準，目前主要基于其進行符合性判定。

3 物聯(lián)網(wǎng)技術與等級測評

3.1 物聯(lián)網(wǎng)技術簡介

物聯(lián)網(wǎng)（Internet of Things， IOT），顧名思義，就是“物物相連的網(wǎng)絡”，是指通過各種信息傳感設備（如傳感器、射頻識別技術、全球定位系統(tǒng)、紅外感應器、激光掃描器等各種裝置與技術），實時采集任何需要監(jiān)控、連接、互動的物體或過程，采集其聲、光、熱、電、力學、化學等各種需要的信息，與互聯(lián)網(wǎng)結合形成的一個巨大網(wǎng)絡。物聯(lián)網(wǎng)作為新一代信息技術的重要組成部分，其目的是實現(xiàn)物與物、物與人，所有的物品與網(wǎng)絡的連接，方便識別、管理和控制。

物聯(lián)網(wǎng)被稱為繼計算機、互聯(lián)網(wǎng)之后，世界信息產業(yè)的第三次浪潮。業(yè)內專家認為，物聯(lián)網(wǎng)不僅可以大大提高經濟效益，有效節(jié)約成本，還可以為全球經濟的復蘇提供技術動力支持。目前，美國、歐盟、韓國等都在加大力度深入研究物聯(lián)網(wǎng)。我國也正在高度關注、重視物聯(lián)網(wǎng)的研究，工業(yè)和信息化部會同有關部門，在新一代信息技術方面正在開展研究，以形成支持新一代信息技術發(fā)展的政策措施。

與傳統(tǒng)的互聯(lián)網(wǎng)相比，物聯(lián)網(wǎng)有其明顯的特征：（1）它是各種感知技術的廣泛應用；（2）以互聯(lián)網(wǎng)為基礎；（3）其本身具有智能處理的能力，能對物體實施智能控制。物聯(lián)網(wǎng)用途廣泛，主要應用領域有智能家居、智能醫(yī)療、智能環(huán)保、智能交通、智能農業(yè)。

3.2 物聯(lián)網(wǎng)對等級測評技術的影響

物聯(lián)網(wǎng)技術的推廣和應用，一方面將顯著提高經濟和社會運行效率，另一方面也對國家、社會、企業(yè)、公民的信息安全和隱私保護問題提出了嚴峻的挑戰(zhàn)，其開放性的特點與信息安全理念背道而馳，對信息安全等級測評的工作方法及測評范圍產生了較大的影響。主要體現(xiàn)在幾個方面。

（1） 信號易擾：雖然物聯(lián)網(wǎng)能夠智能化的處理一些突發(fā)事件，不需要人為干涉，但傳感設備都是安裝在物品上的，且其信號很容易收到干擾，因此很可能導致物品的損失。此外，如果國家某些重要機構如金融機構依賴物聯(lián)網(wǎng)，也存在信號擾導致重要信息丟失的隱患。這樣如何評估物聯(lián)網(wǎng)技術的安全性及穩(wěn)定性成為等級測評中的難題。

（2） 針對性入侵技術：物聯(lián)網(wǎng)與互聯(lián)網(wǎng)的關系，使得互聯(lián)網(wǎng)上的安全隱患同樣也會對物聯(lián)網(wǎng)造成危害。物聯(lián)網(wǎng)上傳播的黑客、病毒和惡意軟件等進行的惡意操作會侵害物品，進一步侵犯用戶的隱私權。尤其是對一些敏感物品如銀行卡、身份證等物品的惡意掌控，將造成不堪設想的后果。因此，在對物聯(lián)網(wǎng)進行安全保護以及等級測評過程中，不僅要考慮到物聯(lián)網(wǎng)無線網(wǎng)絡的防惡意入侵能力，更要考慮互聯(lián)網(wǎng)傳統(tǒng)的入侵技術。

（3） 通訊安全：物聯(lián)網(wǎng)與3G手機的結合，在很大程度上方便了人們的生活。然而，移動通訊設備本身存在的安全問題也會對物聯(lián)網(wǎng)造成影響。移動通信設備存在許多安全漏洞，黑客很有可能通過移動設備的漏洞竊取物聯(lián)網(wǎng)內部的各種信息，從而帶來安全隱患。而且移動設備的便攜性也使得其很容易丟失，若被不法分子獲得，則很容易造成用戶敏感信息的泄露。因此，在對物聯(lián)網(wǎng)進行等級測評的過程中，還要考慮到通信終端及通信過程的保密性。

總之，在考慮物聯(lián)網(wǎng)的等級保護與等級測評過程中，要以構建物聯(lián)網(wǎng)安全體系框架為目標，在充分理解物聯(lián)網(wǎng)的結構、技術和應用模式的基礎上，深入分析物聯(lián)網(wǎng)設備、網(wǎng)絡、信息和管理等各層面面臨的安全威脅和風險，梳理物聯(lián)網(wǎng)安全的主要問題，明確物聯(lián)網(wǎng)安全需求（“物”的真實性、“聯(lián)”的完整性、“網(wǎng)”的健壯性），并針對各項安全需求，研究保障物聯(lián)網(wǎng)安全的關鍵技術（低能耗密碼算法設計技術、海量信息標識技術、物聯(lián)網(wǎng)設備管理技術、物聯(lián)網(wǎng)密鑰管理技術、動態(tài)安全策略控制技術、物聯(lián)網(wǎng)安全等級保護技術、傳感設備物理安全防護技術），提出物聯(lián)網(wǎng)安全目標以及技術體系、承載裝備體系、標準規(guī)范體系和管理體系框架，給出物聯(lián)網(wǎng)安全體系頂層設計思路、建設任務和應對措施，為全面建設物聯(lián)網(wǎng)安全體系奠定必要的基礎。

4 計算與等級測評

4.1 云計算技術簡介

作為一種新興的共享基礎架構的網(wǎng)絡應用模式，云計算（Cloud Computing）越來越受到研究者的關注。云計算的概念最早由IBM提出，是傳統(tǒng)計算機技術和網(wǎng)絡技術發(fā)展融合的產物，旨在通過網(wǎng)絡把多個成本相對較低的計算機實體整合成一個具有強大計算能力的系統(tǒng)，并借助各種商業(yè)模式把強大的計算能力分布給終端用戶。其核心思想是使用大規(guī)模的數(shù)據(jù)中心和功能強勁的服務器運行網(wǎng)絡應用程序、提供網(wǎng)絡服務，使得任何一個用戶都能輕松訪問應用程序。這種特殊的應用模式，使得云計算具有大規(guī)模、服務虛擬化、通用性、高可靠性、高擴展性等特點。

云計算作為一種新的概念和應用模式，研究尚未成熟，還存在若干制約其發(fā)展的問題，包括服務的可靠性、標準化問題、安全性問題、數(shù)據(jù)傳輸瓶頸以及信譽和法律危機。其中云安全問題是目前發(fā)展云計算首要解決的問題之一。

4.2 云計算對等級測評技術的影響

云計算平臺在為用戶提供服務的同時，仍不可避免的面臨嚴峻的安全考驗。由于其用戶、信息資源的高度集中，帶來的安全事件后果與風險較傳統(tǒng)應用高出很多。據(jù)IDC在2009年底的一項調查報告顯示，當前云計算面臨的三大市場挑戰(zhàn)分別為安全性、穩(wěn)定性和性能表現(xiàn)。由此可見，解決云計算的安全問題尤為迫切。云計算面臨的安全問題及其對等級保護和等級測評造成的影響主要有幾個方面。

（1） 身份與權限控制：大數(shù)用戶對于云計算缺乏信心，其中一個很大原因是對于云模式下的使用和管理權限有顧慮。在復雜、虛擬的環(huán)境下，如何有效保證數(shù)據(jù)與應用依然清晰可控，這既是用戶的問題，也是云服務提供商的問題。因此，身份與權限控制解決方案成為云安全的核心問題之一，同樣的，傳統(tǒng)等級測評中針對身份認證和權限控制的相關技術與方法也不適用于這種虛擬、復雜的應用環(huán)境，需要開發(fā)專用的測試技術；

（3）計算層并行計算的干擾：計算層的主要功能是為整個云計算提供高效、靈活、高強度的計算服務，但也面臨一定的問題，主要有計算性能的不可靠性，即資源競爭造成的性能干擾，云計算主要采用并行計算間性能隔離機制來解決此問題。因此在等級測評中，需要開發(fā)新的測試技術和方法來評估并行計算間的干擾問題。

云計算給我們帶來創(chuàng)新和變革的同時，對安全問題與等級測評技術也提出了更高的要求。在云計算環(huán)境下，無論是使用云服務的用戶，還是云服務提供商，安全問題都是第一大問題。研究適用于云計算應用的等級測評技術，將極大的推動云計算領域的發(fā)展。

5 結束語

隨著各行各業(yè)對信息安全等級保護工作的關注和重視，等級保護和等級測評工作已逐漸成為制度化、規(guī)范化的研究課題。許多新技術如云計算、物聯(lián)網(wǎng)、三網(wǎng)融合等的推廣應用在帶來機遇的同時，也給等級保護乃至整個信息安全帶來了新的挑戰(zhàn)。本文分別介紹了物聯(lián)網(wǎng)和云計算兩種新的技術應用，并探討了其對等級測評技術產生的影響，旨在推動等級測評技術的發(fā)展，為其深入研究提供理論參考。

參考文獻

[1] 公通字[2004]66號 關于信息安全等級保護工作的實施意見.

[2] GB/T 22239-2008 信息安全技術 信息系統(tǒng)安全等級保護基本要求.

[3] 楊磊，郭志博. 信息安全等級保護的等級測評. 中國人民公安大學學報（自然科學版），No. 1 2007.

[4] 劉忠寶. 物聯(lián)網(wǎng)技術應用與研究. 信息與電腦，2010年第10期.

[5] 郝文江，武捷. 物聯(lián)網(wǎng)技術安全問題探析. 實踐探究，2010.

[6] 王斐. 淺談信息化的新浪潮――云計算. 科技創(chuàng)新導報，2010 No.30

[7] Jon Brodkin. Gartner： Seven cloud-computing Security risks[EB/OL]. 2008，07.http：///d/.

[8] 陳丹偉，黃秀麗，任勛益. 云計算及安全分析. 計算機技術與發(fā)展，2010 第2期.

[9] 任偉.物聯(lián)網(wǎng)安全架構與技術路線研究.信息網(wǎng)絡安全，2012.5.

第4篇：網(wǎng)絡安全等級測評范文

兩個發(fā)展階段

衛(wèi)生監(jiān)督中心信息安全等級保護工作大致經歷了兩個發(fā)展階段。

啟動與探索階段（2007年～2008年）：2007年12月，原衛(wèi)生部組織專家組對部直屬機關報送的信息安全等級保護定級情況進行了評審。衛(wèi)生監(jiān)督中心的衛(wèi)生監(jiān)督信息報告系統(tǒng)和衛(wèi)生行政許可受理評審系統(tǒng)確定為第三級保護，衛(wèi)生監(jiān)督中心網(wǎng)站確定為第二級保護。衛(wèi)生監(jiān)督中心在了解了信息安全等級保護制度的同時，啟動了信息安全等級保護相關工作。為摸清信息安全隱患，2008年衛(wèi)生監(jiān)督中心聘請了具有信息安全相關資質的信息安全咨詢公司對等保涉及的信息系統(tǒng)進行了信息安全測評，并制定了相應的整改方案。由于2008年信息安全整改資金等原因，未開展相關整改工作。

發(fā)展階段（2009年至今）：本著統(tǒng)籌考慮、分布實施的原則，在實施國家級衛(wèi)生監(jiān)督信息系統(tǒng)建設項目之初就參照等級保護有關要求規(guī)劃和設計業(yè)務應用系統(tǒng)及其運行環(huán)境，同時積極開展等級保護備案等工作。在國家級項目二期中，專項對信息安全進行加固。并每年邀請公安部信息安全等級保護評估中心，對衛(wèi)生監(jiān)督中心的第三級保護系統(tǒng)進行了安全等級測評。

截至目前，衛(wèi)生監(jiān)督中心共有3個信息安全等級保護第三級的信息系統(tǒng)，4個信息安全等級保護第二級的信息系統(tǒng)。

信息安全技術體系

衛(wèi)生監(jiān)督信息系統(tǒng)信息安全技術體系建設，嚴格遵循等級保護第三級的技術要求進行詳細設計、技術選擇、產品選型、產品部署。技術體系從物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全及備份恢復等5個方面進行設計。

1.物理安全

衛(wèi)生監(jiān)督中心現(xiàn)有南北兩個機房，機房及相關配套設施面積總計160平方米。北機房部署等級保護第三級信息系統(tǒng)，南機房部署等級保護第二級信息系統(tǒng)，實現(xiàn)了第三級系統(tǒng)與第二級系統(tǒng)物理環(huán)境隔離。根據(jù)等級保護有關要求，機房均采用了精密空調、門禁系統(tǒng)、環(huán)境監(jiān)測系統(tǒng)等設備設施及技術手段，有效地保證了機房的物理安全。

2.網(wǎng)絡安全

主干網(wǎng)絡鏈路均采用雙鏈路連接，關鍵網(wǎng)絡、安全設備均采用雙機冗余方式，避免單點故障。采用防火墻、入侵防護系統(tǒng)、DDoS系統(tǒng)進行邊界防護，各網(wǎng)絡區(qū)域之間采用防火墻進行區(qū)域隔離，在對外服務區(qū)部署了入侵檢測系統(tǒng)，在交換服務區(qū)部署了網(wǎng)絡審計系統(tǒng)。在核心數(shù)據(jù)區(qū)部署了數(shù)據(jù)庫審計系統(tǒng)，對網(wǎng)絡行為進行監(jiān)控和記錄。在安全管理區(qū)部署安全管理系統(tǒng)，實現(xiàn)設備日志的統(tǒng)一收集及分析。

3.主機安全

所有服務器和管理終端配置了密碼安全策略；禁止用戶遠程管理，管理用戶必須進入機房通過KVM進行本地管理；所有服務器和管理終端進行了補丁更新，刪除了多余賬戶，關閉了不必要的端口和服務；所有服務器和管理終端開啟了安全審計功能；通過對數(shù)據(jù)庫的安全配置，實現(xiàn)管理用戶和特權用戶的分離，并實現(xiàn)最小授權要求。

4.應用安全

衛(wèi)生監(jiān)督中心7個應用系統(tǒng)均完成了定級備案，并按照等級保護要求開展了測評工作。應用服務器采取了集群工作部署，保證了系統(tǒng)的高可用性，同時建立了安全審計功能模塊，記錄登錄日志、業(yè)務操作日志、系統(tǒng)操作日志3種日志，并實現(xiàn)查詢和審計統(tǒng)計功能，配置了獨立的審計賬戶。門戶網(wǎng)站也采用了網(wǎng)頁防篡改、DDoS等系統(tǒng)。信息安全等級保護第三級系統(tǒng)管理人員及高權限用戶均使用CA證書登錄相應系統(tǒng)。

5.數(shù)據(jù)安全及備份恢復

衛(wèi)生監(jiān)督信息報告系統(tǒng)數(shù)據(jù)庫服務器使用了雙機熱備，應用服務器采用多機負載均衡，每天本地備份，保證了業(yè)務系統(tǒng)的安全、穩(wěn)定和可靠運行。其余等級保護第三級信息系統(tǒng)使用了雙機備份，無論是軟件還是硬件問題，都可以及時準確地進行恢復并正常提供服務。同時，衛(wèi)生監(jiān)督中心在云南建立了異地數(shù)據(jù)備份中心，每天進行增量備份，每周對數(shù)據(jù)進行一次全備份。備份數(shù)據(jù)在一定時間內進行恢復測試，保證備份的有效性。

信息安全管理體系

在開展信息安全等級保護工作中，我們深刻體會到，信息安全工作“三分靠技術，七分靠管理”。為保證信息安全等級保護工作順利進行，參考ISO/IEC 27001《信息安全管理體系要求》，衛(wèi)生監(jiān)督中心建立了符合實際工作情況的信息安全管理制度體系，明確了“統(tǒng)一領導，技管并重；預防為主，責權分明；重點防護，適度安全”的安全方針，涵蓋等級保護管理要求中安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理五大方面的要求。

衛(wèi)生監(jiān)督中心建立了較為完善的信息安全責任制，設立了信息安全領導小組，領導小組組長由衛(wèi)生監(jiān)督中心主任擔任，成員由衛(wèi)生監(jiān)督中心有關處室負責人組成，信息處作為信息安全工作辦公室負責衛(wèi)生監(jiān)督中心日常信息安全管理工作。信息處設立了信息安全管理崗位，分別為網(wǎng)絡管理員、系統(tǒng)管理員、應用管理員、安全管理員、安全審計員、機房管理員，并建立了信息安全崗位責任制度。

此外，衛(wèi)生監(jiān)督中心依據(jù)上年度運維中存在的信息安全隱患每年對其進行修訂，確保信息安全工作落到實處。

信息安全運維體系

在信息安全工作中，建立信息安全管理制度不是目的，要以信息安全等級保護有關要求指導信息安全運維實踐。

衛(wèi)生監(jiān)督中心結合實際情況，編制了《國家級衛(wèi)生監(jiān)督信息系統(tǒng)運行維護工作規(guī)范》，從運行維護流程、資源管理和環(huán)境管理三個方面進行了規(guī)范，將安全運維理念落到實處。

運維人員在實際工作中，嚴格按照工作規(guī)范要求。利用衛(wèi)生監(jiān)督中心OA系統(tǒng)，建立了統(tǒng)一的服務臺，實現(xiàn)了事件、問題的全流程閉環(huán)管理（即：發(fā)現(xiàn)問題、登記問題、解決問題、解決反饋、解決確認）。年均處理信息安全事件近百件，將信息安全問題消滅在萌芽階段，有效地保證了信息系統(tǒng)穩(wěn)定運行，保證了衛(wèi)生監(jiān)督中心信息安全目標和方針的實現(xiàn)。

信息安全等級保護實踐經驗

1.規(guī)范管理，細化流程

衛(wèi)生監(jiān)督中心從安全管理制度、安全管理組織機構及人員、安全建設管理和安全運維管理等方面建立了較為完善的安全管理體系。通過管理體系的建設，為國家級衛(wèi)生監(jiān)督信息系統(tǒng)運維管理工作中安全管理提供了重要指導。

國家級衛(wèi)生監(jiān)督信息系統(tǒng)運維工作從安全管理體系的建設中吸取了很多有益經驗，不僅合理調配了運維管理人員，落實了運維管理組織機構和崗位職責，而且細化了運維管理流程，形成了“二級三線”的運維處理機制。

2.循序漸進，持續(xù)完善

第5篇：網(wǎng)絡安全等級測評范文

 

近年來，隨著信息安全等級保護工作機制的不斷完善，主管部門監(jiān)督檢查力度的不斷加大，信息系統(tǒng)開展等級測評的數(shù)量穩(wěn)步增長，測評覆蓋率顯著提升。通過統(tǒng)計分析本單位近些年測評的數(shù)百個信息系統(tǒng)的數(shù)據(jù)，可以得出以下結論：一是較早開展等級測評的行業(yè)，經過測評和整改建設，測評符合率逐年提高;二是隨著等級測評工作的持續(xù)推進，近期才開展首次測評的行業(yè)特別是基層單位的信息安全工作基礎較薄弱，測評得分明顯偏低。通過對物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全、安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理等10個層面的測評結果進行統(tǒng)計，其中網(wǎng)絡安全、主機安全、應用安全、系統(tǒng)運維管理等方面的不符合率相對較高，信息系統(tǒng)的建設、使用、運維階段存在一些較普遍的問題。

 

信息系統(tǒng)安全保護措施落實情況分析

 

整體而言，隨著等級測評工作的持續(xù)推進，黨政機關、企事業(yè)單位對信息系統(tǒng)安全等級保護的認識和重視程度得到普遍提升，在管理和技術兩方面主要采取了以下安全措施：

 

信息安全管理措施落實情況

 

在信息安全管理方面呈現(xiàn)出兩級分化的特點。一些重點行業(yè)的業(yè)務信息化程度高、自身信息技術隊伍力量足、信息安全投入經費有保障，其安全管理措施一般也能得到有效落實，在機構、人員、制度、建設管理、運維管理等方面均能較好地符合相關標準的要求。這一類的典型包括銀行、證券、電力等行業(yè)主管部門對信息安全監(jiān)管嚴格的幾大行業(yè)。相反，部分對信息系統(tǒng)管控相對松散的單位如大專院校、在信息安全投入方面得不到充分保障的單位如基層政府部門，其信息安全專業(yè)人員的配備達不到標準規(guī)范的要求，安全責任部門地位偏低權限不足，很難制定并有效貫徹落實結合本單位實際的信息安全管理制度。

 

信息安全技術措施落實情況

 

多數(shù)單位通過部署邊界安全設備，強化入侵防范措施來提高網(wǎng)絡的安全性;通過加固操作系統(tǒng)和數(shù)據(jù)庫的安全策略，啟用安全審計，安裝殺毒軟件等措施，來提高主機安全防護水平;通過開發(fā)應用系統(tǒng)的安全模塊，從身份鑒別、訪問控制、日志記錄等方面，強化業(yè)務應用的安全性;通過部署數(shù)據(jù)備份設備、加密措施，加強對數(shù)據(jù)安全的保護。

 

信息系統(tǒng)常見安全問題分析

 

隨著等級測評工作的覆蓋面進一步擴大，近年來初次測評的單位和基層部門仍發(fā)現(xiàn)一些典型問題。

 

信息安全意識有待提高

 

很多單位對當前日趨嚴峻的網(wǎng)絡安全形勢認識不足，將信息安全工作視為被動應付上級檢查、被動應對安全事件的任務來消極對待。一些單位認為取得“基本符合”的測評結論就高枕無憂，完成測評備案就完成了等級保護。由此造成對信息安全合規(guī)的落實不夠、資金和人員投入不足、重建設輕運維、有制度無執(zhí)行、有預案不演練等問題，根源還是安全意識薄弱。

 

信息安全管理有待加強

 

信息安全管理不到位主要表現(xiàn)在安全管理制度、系統(tǒng)建設管理、系統(tǒng)運維管理等方面。

 

信息安全管理制度不完善。基層單位信息安全管理制度不全、人員配備不足、授權審批流于形式、執(zhí)行記錄缺失等問題較為常見。部分單位的信息安全管理制度照搬模版，未結合本單位實際進行修訂，導致缺乏可操作性。

 

系統(tǒng)建設管理不到位。系統(tǒng)建設過程中落實信息安全“同步建設”原則不到位。在軟件開發(fā)階段較普遍未遵循安全編碼規(guī)范，導致安全功能缺失、應用層漏洞頻現(xiàn)。在系統(tǒng)驗收階段，很多單位僅注重業(yè)務功能驗收，缺乏專門的安全性測試;電子政務類項目較普遍未按規(guī)定在項目驗收環(huán)節(jié)完成“一證兩報告”(即等級測評報告、風險評估報告和系統(tǒng)備案證明)。

 

系統(tǒng)運維管理不到位。在系統(tǒng)運維管理方面，部分單位運維和開發(fā)崗位不分，職責不清，存在一人身兼數(shù)職現(xiàn)象。很多單位在信息資產管理、介質管理、變更管理等方面缺乏操作規(guī)程和相關記錄，數(shù)據(jù)備份策略不明，應急預案不完善并缺乏演練。

 

關鍵技術措施有待落實

 

分析近年來的測評結果，安全技術措施不足問題主要體現(xiàn)在以下幾個方面：

 

在物理安全方面，隨著電子政務集約化建設的推進，大量信息系統(tǒng)已經集中到高規(guī)格的專業(yè)機房，但仍有部分單位自有機房條件簡陋，位置選擇不規(guī)范，出入管理較隨意，防盜防破壞、防雷防火防潮能力較差，環(huán)境監(jiān)控措施不足。

 

在網(wǎng)絡安全方面，常見網(wǎng)絡和安全設備的配置不到位，如未合理劃分區(qū)域、未精細配置訪問控制策略、未對重要設備做地址綁定等;較普遍缺少專業(yè)審計系統(tǒng)。部分單位設備老舊，安全產品本身存在一定缺陷導致無法滿足等級保護要求。個別單位用于生產控制的重要信息系統(tǒng)在網(wǎng)絡層面未采取必要安全措施的同時，還違規(guī)接通互聯(lián)網(wǎng)，存在極大的安全隱患。

 

在主機安全方面，部分單位存在弱口令、不啟用登錄失敗處理和安全審計功能、不及時更新補丁、不關閉非必要服務等問題。此外，由于主流操作系統(tǒng)和數(shù)據(jù)庫很少支持強制訪問控制機制，相關要求普遍未落實。

 

在應用安全方面，很多應用軟件安全功能不足，缺少身份鑒別、審計日志、信息加密等能力。由于很少進行安全掃描、滲透測試，相當一部分系統(tǒng)存在高危風險，如SQL注入、跨站腳本、文件上傳等漏洞，以及弱口令、網(wǎng)頁木馬等問題。

 

在數(shù)據(jù)安全方面，較常見的是數(shù)據(jù)保密性和完整性措施薄弱。此外，部分信息系統(tǒng)的備份和恢復措施欠完善，缺乏有效的災難恢復手段。

 

針對新技術的等級保護測評標準有待出臺

 

隨著浙江政務服務網(wǎng)的大力推進，省內各級政務云平臺的建設使用已全面開展，有相當數(shù)量的電子政務系統(tǒng)已遷移上云。同時涉及城市公共設施、水電氣等工控系統(tǒng)密集的行業(yè)對等級保護工作越來越重視，對云計算、工控系統(tǒng)、移動APP等的測評需求不斷加大。但現(xiàn)有的《GB/T 22239-2008 信息安全技術 信息系統(tǒng)安全等級保護基本要求》未涉及云計算、工業(yè)控制、移動互聯(lián)等領域，在測評實踐中已遇到諸多不適應情況。針對這些新技術新應用的等級保護測評標準需求已非常迫切。

 

重要信息系統(tǒng)安全保護對策建議

 

針對上述存在的問題，本文提出以下對策建議，以供參考。

 

提高信息安全意識

 

提高全員信息安全意識是全面提升信息安全保障水平的根本解決之道。要樹立全體人員的安全觀念，加強信息安全培訓。除了通過強化工作考核和安全檢查來督促信息安全工作的深入開展，還應通過多種方式開展信息安全政策解讀和信息安全標準宣貫，強化對全員的安全意識教育和考查。建議結合一些合適的安全職業(yè)技能培訓，落實信息安全相關崗位“持證上崗”的要求。

 

加強信息安全管理

 

“三分技術，七分管理”，各單位應轉變觀念，將“信息安全”與“系統(tǒng)穩(wěn)定、功能正?！蓖戎匾暺饋恚瑢踩芾硪笈c自身業(yè)務緊密結合，制訂完善的體系化的安全管理制度。

 

在系統(tǒng)建設管理過程中，應要求開發(fā)人員遵循安全編碼規(guī)范進行開發(fā);在系統(tǒng)驗收環(huán)節(jié)，應認真做好安全性驗收測試。在電子政務領域應落實國家對電子政務項目管理的制度要求，驗收階段完成等級測評，未通過測評的應不予驗收。

 

在系統(tǒng)運維管理方面，應加強制定信息系統(tǒng)日常管理操作的詳細規(guī)范，明確定義工作流程和操作步驟，使日常運行管理制度化、規(guī)范化。對信息資產按重要性進行分類梳理，建立完善應急災備措施，定期開展演練，確保備份的有效性。

 

落實關鍵技術措施

 

針對測評發(fā)現(xiàn)的問題，各單位應根據(jù)系統(tǒng)所定級別，結合自身條件，綜合考慮問題的影響范圍、嚴重程度、整改難度等因素，制定整改計劃，有步驟地落實相關技術措施。對于策略配置類的問題及時糾正;對于整改難度大、需要添置硬件或修改代碼的問題，應在充分測試和試運行的基礎上實施整改。對于強制訪問控制、敏感標記、雙因子鑒別等難點問題，建議國家加強相關產業(yè)政策的引導，促進安全廠商研發(fā)技術、推出產品，解決市場供應問題。各級主管部門應通過測評、整改、監(jiān)督檢查、再測評的閉環(huán)管理，督促關鍵技術措施的落實。

 

加快新技術的等級保護測評標準編制工作

 

目前公安部信息安全等級保護評估中心在牽頭起草針對云計算安全的等級保護標準，尚處于征求意見階段。其余新技術領域的等級保護標準制定工作進度更晚，隨著智慧城市、云計算、大數(shù)據(jù)、移動互聯(lián)、工業(yè)控制等新技術的快速應用，安全標準相對滯后的問題更加突出，應進一步加快相關新標準的制定。

第6篇：網(wǎng)絡安全等級測評范文

[關鍵詞] 電子政務 信息安全 等級保護 風險評估

1 概述

電子政務是政府管理方式的革命,它是運用信息以及通信技術打破行政機關的組織界限,構建一個電子化的虛擬機關,使公眾擺脫傳統(tǒng)的層層關卡以及書面審核的作業(yè)方式,并依據(jù)人們的需求、人們可以獲取的方式、人們要求的時間及地點等,高效快捷地向人們提供各種不同的服務選擇。政府機關之間以及政府與社會各界之間也經由各種電子化渠道進行相互溝通。

電子政務的建立將使政府社會服務職能得到最大程度的發(fā)揮,但也使政府敏感信息暴露在無孔不入的網(wǎng)絡威脅面前。由于電子政務信息網(wǎng)絡上有相當多的政府公文在流轉,其中不乏重要信息,內部網(wǎng)絡上有著大量高度機密的數(shù)據(jù)和信息,直接涉及政府的核心政務,它關系到政府部門、各大系統(tǒng)乃至整個國家的利益,有的甚至涉及國家安全。因此,電子政務信息安全是制約電子政務建設與發(fā)展的首要問題和核心問題,是電子政務的職能與優(yōu)勢得以實現(xiàn)的根本前提。如果電子政務信息安全得不到保障,不僅電子政務的便利與效率無從保證,更會給國家利益帶來嚴重威脅。

2 電子政務信息系統(tǒng)面臨的威脅

電子政務涉及對政府機密信息和敏感政務的保護、維護公共秩序和行政監(jiān)管的準確實施以及為保障社會提供公共服務的質量。電子政務作為政府有效決策、管理、服務的重要手段,必然會遇到各種敵對勢力、恐怖集團、搗亂分子的破壞和攻擊。尤其是,電子政務在基于互聯(lián)網(wǎng)的網(wǎng)絡平臺上,他包括政務內網(wǎng)、政務外網(wǎng)和互聯(lián)網(wǎng),而互聯(lián)網(wǎng)是一個無行政主管的全球網(wǎng)絡,自身缺少設防,安全隱患很多,使得不法分子利用互聯(lián)網(wǎng)進行犯罪有機可乘,這就使得基于互聯(lián)網(wǎng)開展的電子政務應用面臨著嚴峻的挑戰(zhàn)。

對電子政務的安全威脅包括網(wǎng)上黑客入侵和犯罪、病毒泛濫和蔓延,信息間諜的潛入和竊密,網(wǎng)絡恐怖集團的攻擊和破壞,內部人員的違規(guī)和違法操作,網(wǎng)絡系統(tǒng)的脆弱和癱瘓,信息安全產品的失控等,對于這些威脅,電子政務的建設和應用應引起足夠警惕,采取果斷的安全措施,應對這種挑戰(zhàn)。

3 電子政務信息安全管理體系的構建

要有效維護電子政務信息系統(tǒng)的安全,就需要構建電子政務安全管理體系,從而使政務的信息基礎設施、信息應用服務能夠具有保密性、完整性、真實性和可用性。電子政務安全管理體系包括安全技術體系、安全管理體系和安全服務體系,涉及從管理到組織,從網(wǎng)絡到數(shù)據(jù),從法規(guī)標準到基礎設施等各個方面。

3.1 加強安全技術力量是實現(xiàn)電子政務安全的基本方法

安全技術體系是利用技術手段實現(xiàn)技術層面的安全保護,是對電子政務安全防護體系的完善,包括網(wǎng)絡安全體系、數(shù)據(jù)安全傳輸與存儲體系,功能主要是通過各種技術手段實現(xiàn)技術層次的安全保護。

網(wǎng)絡安全體系包括網(wǎng)閘、入侵檢測、漏洞檢測、外聯(lián)和接入檢測、補丁管理、防火墻、身份鑒別和認證、系統(tǒng)訪問控制、網(wǎng)絡審計等;數(shù)據(jù)安全與傳輸與存儲體系包括數(shù)據(jù)備份恢復、PKI/CA、PMI等。整個電子政務的安全,涉及信息安全產品的全局配套和科學布置,產品選擇應充分考慮產品的自和自控權。在關鍵技術、經營管理、生產規(guī)模、服務觀念等方面,要集中人力、物力,制訂相關政策,大力發(fā)展自主知識產權的計算機芯片、操作系統(tǒng)等信息安全技術產品,以確保關鍵政府部門的信息系統(tǒng)的網(wǎng)絡安全。加強核心技術的自主研發(fā),并盡快使之產品化和產業(yè)化,尤其是操作系統(tǒng)技術和計算機芯片技術。現(xiàn)階段各地政府部門目前所選用的高端軟硬件平臺,很多都是國外公司的產品,這也對政務安全帶來了許多隱患。因此,在構建電子政務系統(tǒng)的時候,在可能的情況下,我們應盡量選用國產化技術和國內公司的產品。

3.2 構建安全管理體系是電子政務安全實施的重要基礎

安全管理是解決電子政務的安全問題在技術以外的另一有力保障和途徑。由于安全的防范技術與破壞技術總是“勢均力敵”、“相互促進”的。作為防范者就更應該在安全防范的管理上下更大的工夫。安全管理主要涉及三個方面:法律法規(guī)、安全防護體系以及等級保護政策。

3.2.1法律政策、規(guī)章制度和標準規(guī)范

電子政務的工作內容和工作流程涉及到國家秘密與核心政務,它的安全關系到國家的、國家的安全和公眾利益,所以電子政務的安全實施和保障,必須以國家法規(guī)形式將其固化,形成全國共同遵守的規(guī)約。目前,世界上很多國家制定了與網(wǎng)絡安全相關的法律法規(guī),如英國的《官方信息保護法》等。我國雖然頒發(fā)了一些與網(wǎng)絡安全有關的法律法規(guī),如《計算機信息系統(tǒng)安全保護條例》、《計算機信息系統(tǒng)保密管理暫行規(guī)定》等等,但顯得很零散,還缺乏關于電子政務網(wǎng)絡安全的專門法規(guī)。此外,在完善法律法規(guī)的同時,還應該加大執(zhí)法力度,嚴格執(zhí)法,這一目標的實現(xiàn)不僅需要政府組織的努力,更要國家立法機構的參與和支持。

3.2.2電子政務防護體系

貫穿整個電子政務的安全防護體系,對電子政務安全實施起全面的指導作用,具體包括三個方面的內容:安全組織機構、安全人事管理、以及安全責任制度。建立安全組織機構,其目的是統(tǒng)一規(guī)劃各級網(wǎng)絡系統(tǒng)的安全、制定完善的安全策略和措施、協(xié)調各方面的安全事宜,主要職責包括制定整體安全策略、明確規(guī)章制度、落實各項安全措施實施,以及制訂安全應急方案和保密信息的安全策略;安全人事管理,其主要內容包括:人事審查與錄用、崗位與責任范圍的確定、工作評價、人事檔案管理、提升、調動與免職、基礎培訓等;制定和落實安全責任制度,包括系統(tǒng)運行維護管理制度、計算機處理控制管理制度、文檔資料管理制度、操作和管理人員管理制度、機房安全管理制度、定期檢查與監(jiān)督制度、網(wǎng)絡通信安全管理制度、病毒防治管理制度、安全等級保護制度、對外交流安全維護制度,以及對外合作制度等。

3.2.3等級保護制度

通過全面推行信息安全等級保護制度,逐步將信息安全等級保護制度落實到信息系統(tǒng)安全規(guī)劃、建設、測評、運行維護和使用等各個環(huán)節(jié),使信息安全保障狀況得到基本改善。通過加強和規(guī)范信息安全等級保護管理,不斷提高信息安全保障能力,為維護信息網(wǎng)絡的安全穩(wěn)定,促進信息化發(fā)展服務。

4 完善安全服務是維護電子政務安全實施的有力保障

4.1 安全等級測評和風險評估管理

電子政務信息系統(tǒng)安全測評服務,其實質是通過科學、規(guī)范、公正的測試和評估向被測評單位證實其信息系統(tǒng)的安全性能符合等級保護的要求。

由于信息安全直接涉及國家利益、安全和,政府對信息產品、信息系統(tǒng)安全性的測評認證要更為嚴格。對信息系統(tǒng)和信息安全技術中的核心技術,由政府直接控制,在信息安全各主管部門的支持和指導下,依托專業(yè)的職能機構提供技術支持,形成政府的行政管理與技術支持相結合、相依賴的管理體制。 風險管理是對項目風險的識別、分析和應對過程。它包括對正面事件效果的最大化及對負面事件影響的最小化。電子政務安全風險管理的主要任務是電子政務信息系統(tǒng)的風險評估并提出風險緩解措施,前者是識別并分析系統(tǒng)中的風險因素,估計可能造成的損失,后者是選擇和實施安全控制,將風險降低到一個可接受的水平。

4.2 安全培訓服務

根據(jù)不同層次的人才需求,社會化的信息安全人才培養(yǎng)體系應分為專業(yè)型教育、應用型教育和安全素養(yǎng)教育三個層次。專業(yè)型教育主要是培養(yǎng)信息安全領域的專業(yè)研發(fā)、工程技術、戰(zhàn)略管理等方面的人才。應用型(半專業(yè))教育則是以從事現(xiàn)代信息管理工作的人作為對象,培養(yǎng)目標是要求學生具備信息安全的基本知識、網(wǎng)絡和信息系統(tǒng)安全防范技能、組織機構或系統(tǒng)安全管理的能力等。這種應用型的信息安全教育要求受教育對象數(shù)量要多,覆蓋面要廣,基本信息技能要強。通過課程、講座、宣傳等多種形式,達到讓每一個人都具備必要的安全意識和常規(guī)的信息安全自我防范技術的目的。要求單位領導應具備必要信息安全意識和安全知識;信息管理人員應具備一定的信息安全知識和基本技能;從事信息服務或信息安全服務的有關人員應具備必要的信息安全知識和技術基礎等。

構建安全穩(wěn)定的政務信息系統(tǒng),技術、管理、服務作為支撐體系的三大要素,缺一不可。只有這三方面都做好了,才能實現(xiàn)海西政務信息管理體系的全面提升。

參考文獻:

[1] 何玲,電子政務環(huán)境下政府電子文件管理新探索[D].成都:四川大學碩士學位論文,2008.

第7篇：網(wǎng)絡安全等級測評范文

“2009年，我上任后第一次訪問深圳工廠，當時工廠還只能生產小功率UPS?！币令D電氣集團亞太區(qū)高級副總裁、電能質量業(yè)務總經理羅世光回憶說，“但是現(xiàn)在，10kW~1000kW的UPS都已經可以在中國本地進行生產?！?/p>

中國和亞太地區(qū)是伊頓在全球范圍內具有戰(zhàn)略意義的市場。羅世光相信，中國數(shù)據(jù)中心市場的快速增長將給伊頓的電能質量業(yè)務帶來更大的增長機會。因此，在2014年，伊頓將加強與商的合作，拓展分銷渠道，進一步推進與本土市場的全面融合，同時加大對本土產品研發(fā)和檢測的能力，提供更多符合中國客戶需求的高效節(jié)能的電能質量解決方案。

深圳是伊頓面向全球的研發(fā)和生產基地。三家位于深圳的工廠擁有5000多名員工、29條先進的自動化生產線，年產UPS達到800萬臺。伊頓在深圳設立的研發(fā)中心也是其全球三大電氣研發(fā)基地之一，產品研發(fā)和測試工程師超過1000人。

剛啟用的伊頓在深圳的亞太區(qū)電能質量產品和系統(tǒng)檢測中心，是除美國、芬蘭之外，伊頓在全球擁有的第三個產品和系統(tǒng)檢測中心?！霸摍z測中心同時也是客戶體驗中心，配備了全球領先的檢測設備和技術，不僅能夠檢測單體設備，還能對包括UPS、電源分配單元（PDU）、AMS監(jiān)測系統(tǒng)和第三方設備的整個電能系統(tǒng)解決方案進行測試，其最大測試能力是可對兩臺并聯(lián)的1100kW的UPS進行測試。”羅世光介紹說，“客戶在選擇一款定制的電能解決方案后，即可在檢測中心看到其運行的全過程，通過親身體驗增進對產品的了解和信心?！?/p>

“過去3~4年中，我們在中國市場的總投入已經超過1200萬美元。我們仍在持續(xù)加強中國本地化，并從去年底開始進一步提升了針對中國用戶的售前和售后服務能力。”羅世光告訴記者，“目前，我們90%的UPS都在深圳研發(fā)和生產。最近，深圳研發(fā)中心剛剛研制出一款新的UPS產品。與許多跨國企業(yè)采取的遠程遙控式的本地研發(fā)策略相比，我們是實實在在地將研發(fā)部門落戶在深圳，為亞太和中國市場提供本地化服務的同時也面向全球客戶。”

云計算與大數(shù)據(jù)的發(fā)展推動了大型數(shù)據(jù)中心的快速發(fā)展，用戶對數(shù)據(jù)中心整體解決方案和定制化解決方案的需求也與日俱增。“從2010年開始，伊頓增加了為中國客戶定制數(shù)據(jù)中心解決方案的服務。在今年的商大會上，我看到了商和用戶的積極反饋?！绷_世光表示。

針對小型數(shù)據(jù)中心，伊頓可以提供模塊化、標準化的解決方案；針對中型數(shù)據(jù)中心，伊頓可以針對不同行業(yè)客戶的需求，提供有差異化的解決方案；針對大型數(shù)據(jù)中心，伊頓可以提供按需擴展的高能效、低整體擁有成本的解決方案。從產品到系統(tǒng)再到整體解決方案，這不僅對伊頓是一個新的挑戰(zhàn)，對其商來說也要經歷一個大的轉變。

為了迅速提升商銷售解決方案的能力，伊頓一方面不斷更新其數(shù)據(jù)中心整體解決方案，另一方面加強對商的銷售培訓，實現(xiàn)信息共享。羅世光表示：“我們提供的定制化解決方案一方面要滿足用戶的個性化需求，另一方面還要保持開放性。我們將為用戶提供解決方案與服務打包的一體化解決方案?！?/p>

第三屆全國等級保護技術大會征文通知

為深入貫徹落實國家關于大力推進信息化發(fā)展和切實保障信息安全的文件精神，進一步推進信息安全等級保護技術交流，經公安主管部門同意，公安部第一研究所擬于2014年7月舉辦第三屆全國信息安全等級保護技術大會（ICSP’2014）。

會議擬請公安、工業(yè)和信息化、國家保密、國家密碼管理主管部門、中國科學院、國家網(wǎng)絡與信息安全信息通報中心等部門擔任指導單位，同時將出版論文集，經專家評選的部分優(yōu)秀論文，將推薦至國家核心期刊發(fā)表?，F(xiàn)就會議征文的有關情況通知如下：

一、征文范圍

1. 新技術應用環(huán)境下信息安全等級保護技術：物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、工控系統(tǒng)、移動接入網(wǎng)、下一代互聯(lián)網(wǎng)（IPv6）等新技術、環(huán)境下的等級保護支撐技術，等級保護技術體系在新環(huán)境下的應用方法；

2. 關鍵基礎設施信息安全保護技術：政府部門及金融、交通、電力、能源、通信、制造等重要行業(yè)網(wǎng)站、核心業(yè)務信息系統(tǒng)等安全威脅、隱患分析及防范措施；

3. 國內外信息安全管理政策與策略：信息安全管理政策和策略研究，信息安全管理體制和機制特點，信息安全管理標準發(fā)展對策，網(wǎng)絡恐怖的特點、趨勢、危害研究；

4. 信息安全預警與突發(fā)事件應急處置技術：攻擊監(jiān)測技術，態(tài)勢感知預警技術，安全監(jiān)測技術，安全事件響應技術，應急處置技術，災難備份技術，恢復和跟蹤技術，風險評估技術；

5. 信息安全等級保護建設技術：密碼技術，可信計算技術，網(wǎng)絡實名制等體系模型與構建技術，漏洞檢測技術，網(wǎng)絡監(jiān)測與監(jiān)管技術，網(wǎng)絡身份認證技術，網(wǎng)絡攻防技術，軟件安全技術，信任體系研究；

6. 信息安全等級保護監(jiān)管技術：用于支撐安全監(jiān)測的數(shù)據(jù)采集、挖掘與分析技術，用于支撐安全監(jiān)管的敏感數(shù)據(jù)發(fā)現(xiàn)與保護技術，安全態(tài)勢評估技術，安全事件關聯(lián)分析技術、安全績效評估技術，電子數(shù)據(jù)取證和鑒定技術；

7. 信息安全等級保護測評技術：標準符合性檢驗技術，安全基準驗證技術，源代碼安全分析技術，逆向工程剖析技術，滲透測試技術，測評工具和測評方法；

8. 信息安全等級保護策略與機制：網(wǎng)絡安全綜合防控體系建設，重要信息系統(tǒng)的安全威脅與脆弱性分析，縱深防御策略，大數(shù)據(jù)安全保護策略，信息安全保障工作評價機制、應急響應機制、安全監(jiān)測預警機制。

二、投稿要求

1. 來稿內容應屬于作者的科研成果，數(shù)據(jù)真實、可靠，未公開發(fā)表過，引用他人成果已注明出處，署名無爭議，論文摘要及全文不涉及保密內容；

2. 會議只接受以Word排版的電子稿件，稿件一般不超過5000字；

3. 稿件以Email方式發(fā)送到征稿郵箱；

4. 凡投稿文章被錄用且未作特殊聲明者，視為已同意授權出版；

5. 提交截止日期： 2014年5月25日。

三、聯(lián)系方式

通信地址：北京市海淀區(qū)首都體育館南路1號

郵編：100048

Email：.cn

聯(lián)系人： 范博、王晨

聯(lián)系電話：010-68773930，

13717905088，13581879819

第8篇：網(wǎng)絡安全等級測評范文

信息安全防護要考慮不同層次的問題。例如網(wǎng)絡平臺就需要擁有網(wǎng)絡節(jié)點之間的相互認證以及訪問控制；應用平臺則需要有針對各個用戶的認證以及訪問控制，這就需要保證每一個數(shù)據(jù)的傳輸?shù)耐暾院捅Ｃ苄?，當然也需要保證應用系統(tǒng)的可靠性和可用性。一般電力企業(yè)主要采用的措施有：

1.1信息安全等級保護

信息安全等級保護是對信息和信息載體按照重要性等級分級別進行保護的一種工作，工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段。要積極參與信息安全等級定級評定，及時在當?shù)毓矙C關進行備案，然后根據(jù)對應等級要求，組織好評測，然后開展針對性的防護，從而提供全面的保障。

1.2網(wǎng)絡分區(qū)和隔離

運用網(wǎng)絡設備和網(wǎng)絡安全設備將企業(yè)網(wǎng)絡劃分為若干個區(qū)域，通過在不同區(qū)域實施特定的安全策略實現(xiàn)對區(qū)域的防護，保證網(wǎng)絡及基礎設置穩(wěn)定正常，保障業(yè)務信息安全。

1.3終端安全防護

需要部署（實施）防病毒系統(tǒng)、上網(wǎng)行為管理、主機補丁管理等終端安全防護措施。通過這些安全措施使網(wǎng)絡內的終端可以防御各種惡意代碼和病毒；可以對互聯(lián)網(wǎng)訪問行為監(jiān)管，為網(wǎng)絡的安全防護管理提供安全保障；可以自動下發(fā)操作系統(tǒng)補丁，提高終端的安全性。

2.構建信息安全防護體系

電力企業(yè)應充分利用已經成熟的信息安全理論成果，在此基礎上在設計出具有可操作性，能兼顧整體性，并且能融合策略、組織、技術以及運行為一體化的信息安全保障體系，從而保障信息安全。

2.1建立科學合理的信息安全策略體系

信息安全策略體系包括信息安全策略、信息安全操作流程、信息安全標準以及規(guī)范和多方面的細則，所涉及的基本要素包括信息管理和信息技術這兩方面，其覆蓋了信息系統(tǒng)的網(wǎng)絡層面、物理層面、系統(tǒng)層面以及應用層面這四大層面。

2.2建設先進可靠的信息安全技術防護體系

結合電力企業(yè)的特點，在企業(yè)內部形成分區(qū)、分域、分級、分層的網(wǎng)絡環(huán)境，然后充分運用防火墻、病毒過濾、入侵防護、單向物理隔離、拒絕服務防護和認證授權等技術進行區(qū)域邊界防護。通過統(tǒng)一規(guī)劃，解決系統(tǒng)之間、系統(tǒng)內部網(wǎng)段間邊界不清晰，訪問控制措施薄弱的問題，對不同等級保護的業(yè)務系統(tǒng)分級防護，避免安全要求低的業(yè)務系統(tǒng)的威脅影響到安全要求高的業(yè)務系統(tǒng)，實現(xiàn)全方位的技術安全防護。同時，還要結合信息機房物流防護、網(wǎng)絡準入控制、補丁管理、PKI基礎設施、病毒防護、數(shù)據(jù)庫安全防護、終端安全管理和電子文檔安全防護等細化的措施，形成覆蓋企業(yè)全領域的技術防護體系。

2.3設置責權統(tǒng)一的信息安全組織體系

在企業(yè)內部設置網(wǎng)絡與信息安全領導機構和工作機構，按照“誰主管誰負責，誰運營誰負責”原則，實行統(tǒng)一領導、分級管理。信息安全領導機構由決策層組成，工作機構由各部門管理成員組成。工作機構一般設置在信息管理部門，包含安全管理員、系統(tǒng)管理員、網(wǎng)絡管理員和應用管理員，并分配相關安全責任，使信息安全在組織內得以有效管理。

2.4構建全面完善的信息安全管理體系

對于電力企業(yè)的信息安全防范來說，單純的使用技術手段是遠遠不夠的，只有配合管理才能提供有效運營的保障。

2.4.1用制度保證信息安全

企業(yè)要建立從指導性到具體性的安全管理框架體系。安全方針是信息安全指導性文件，指明信息安全的發(fā)展方向，為信息安全提供管理指導和支持；安全管理辦法是對信息安全各方面內容進行管理的方法總述；安全管理流程是在信息安全管理辦法的基礎上描述各控制流程；安全規(guī)范和操作手冊則是為用戶提供詳細使用文檔。人是信息安全最活躍的因素，人的行為會直接影響到信息安全保障。所以需要通過加強人員信息安全培訓、建立懲罰機制、加大關鍵崗位員工安全防范力度、加強離崗或調動人員的信息安全審查等措施實現(xiàn)企業(yè)工作人員的規(guī)范管理，明確員工信息安全責任和義務，避免人為風險。

2.4.3建設時就考慮信息安全

在網(wǎng)絡和應用系統(tǒng)建設時，就從生命周期的各階段統(tǒng)籌考慮信息安全，遵照信息安全和信息化建設“三同步”原則，即“同步規(guī)劃、同步建設、同步投入運行”。

2.4.4實施信息安全運行保障

主要是以資產管理為基礎，風險管理為核心，事件管理為主線，輔以有效的管理、監(jiān)視與響應功能，構建動態(tài)的可信安全運行保障。同時，還需要不斷完善應急預案，做好預案演練，可以對信息安全事件進行及時的應急響應和處置。

3.總結

第9篇：網(wǎng)絡安全等級測評范文

關鍵詞：互聯(lián)網(wǎng)金融 信息安全 信息技術風險 防控措施

中圖分類號：F830.2 文獻標識碼：A

文章編號：1004-4914（2015）09-175-01

我國互聯(lián)網(wǎng)信息安全形勢嚴峻，特別是大數(shù)據(jù)和云計算等新技術的發(fā)展，使互聯(lián)網(wǎng)金融業(yè)務面臨更加嚴峻的挑戰(zhàn)，支付寶漏洞、P2P平臺黑客攻擊、網(wǎng)銀木馬病毒等風險事件頻發(fā)，而當前互聯(lián)網(wǎng)金融支撐保障體系的發(fā)展速度遠遠落后于互聯(lián)網(wǎng)金融業(yè)務運營的發(fā)展，信息安全成為保障互聯(lián)網(wǎng)金融創(chuàng)新發(fā)展的重中之重。

一、互聯(lián)網(wǎng)金融面臨的信息技術風險

互聯(lián)網(wǎng)金融是建立在互聯(lián)網(wǎng)大數(shù)據(jù)和云計算框架上的。互聯(lián)網(wǎng)金融的云計算（或稱金融云）是利用云計算的模型構成原理，將各金融機構的信息系統(tǒng)架構轉移到端;或是利用互聯(lián)網(wǎng)實現(xiàn)數(shù)據(jù)中心互聯(lián)互通，形成高效的數(shù)據(jù)共享機制;或利用云計算服務提供商的云網(wǎng)絡，將金融產品、新聞、服務到云網(wǎng)絡中，提升企業(yè)整體工作效率，優(yōu)化業(yè)務流程，降低運營成本，為客戶提供更便捷的金融服務。但支撐互聯(lián)網(wǎng)金融的大數(shù)據(jù)、云計算等新技術發(fā)展還不成熟，云計算又是一個開放的網(wǎng)絡環(huán)境，安全機制尚不完善;同時，第三方支付、P2P等互聯(lián)網(wǎng)金融新業(yè)態(tài)還處于起步階段，安全管理水平較低。因此，互聯(lián)網(wǎng)在帶來金融創(chuàng)新的同時，也帶來了新的風險。

1.數(shù)據(jù)安全問題。主要體現(xiàn)在三個方面，一是后臺數(shù)據(jù)庫安全問題。大數(shù)據(jù)由于擁有龐大的數(shù)據(jù)庫，一旦數(shù)據(jù)遭到竊取、泄露、非法篡改，將對個人隱私、客戶權益、人身安全構成威脅，犯罪分子可以通過對大數(shù)據(jù)的收集分析，有機會獲得更精準有用的信息，因此，后臺數(shù)據(jù)庫安全要解決核心數(shù)據(jù)資源面臨的“越權使用、權限濫用、權限盜用”等安全威脅;二是數(shù)據(jù)傳輸安全，數(shù)據(jù)在傳輸過程中數(shù)據(jù)傳輸安全;三是數(shù)據(jù)容災備份，大數(shù)據(jù)對數(shù)據(jù)的容災機制要求比較高。

2.網(wǎng)絡安全風險。與傳統(tǒng)商業(yè)銀行有著獨立性很強的通信網(wǎng)絡不同，互聯(lián)網(wǎng)金融企業(yè)處于開放式的網(wǎng)絡通信系統(tǒng)中，TCP/IP協(xié)議自身的安全性面臨較大非議。另外，互聯(lián)網(wǎng)金融交易平臺需要在三個層面保障安全，安全環(huán)境檢測、安全控件的加載以及用戶賬戶口令認證，但當前的密鑰管理與加密技術并不完善，這就導致互聯(lián)網(wǎng)金融體系很容易遭受計算機病毒以及網(wǎng)絡黑客的攻擊。一旦遭遇黑客攻擊，互聯(lián)網(wǎng)金融的正常運作會受到影響，危及消費者的資金安全和個人信息安全。

3.安全應急技術薄弱。在信息技術發(fā)展迅猛的當下，互聯(lián)網(wǎng)金融企業(yè)自身所具備的安全故障恢復機制以及所需的安全保障技術儲備仍具有一定的局限性和薄弱性。面對Web應用漏洞以及已經造成的危害，企業(yè)自身的技術團隊力量及資源不足以提供所需的安全響應支撐，使得在出現(xiàn)突發(fā)安全事故的情況下，企業(yè)不能及時作出安全應急響應，迅速進行運營恢復，深入解決安全問題，從而最大程度的降低整體安全風險及提高信息系統(tǒng)的安全等級。

二、互聯(lián)網(wǎng)金融信息安全風險防控措施

針對上述風險，保障互聯(lián)網(wǎng)金融信息安全應當從以下幾個方面入手。

1.嚴格遵照金融行業(yè)信息系統(tǒng)信息安全等級保護要求加強信息系統(tǒng)安全防護。加強信息安全等級保護工作的組織領導，認真梳理信息系統(tǒng)，科學合理定級，備案。按照不同等級采取相應的安全防護措施，并制定合理的安全策略。適時進行相關信息系統(tǒng)威脅分析和相互依賴分析，積極開展信息系統(tǒng)等級保護測評工作。通過制定配套的管理規(guī)范、技術標準、技術手段，以此來加強信息安全管理水平。

2.加強數(shù)據(jù)安全管理?？梢酝ㄟ^數(shù)字證書等安全認證機制和傳輸加密機制來保障數(shù)據(jù)傳輸安全。如采用SSL加密技術對數(shù)據(jù)進行加密。SSL采用RC4、MD5以及RSA等加密算法，運行在TCP/IP層之上、應用層之下，為應用程序提供加密數(shù)據(jù)通道，加密和解密需要發(fā)送方和接受方通過交換密鑰來實現(xiàn)，因此，所傳送的數(shù)據(jù)不容易被網(wǎng)絡黑客截獲和解密，最大限度地保證了客戶信息的安全和資金流向的安全。而在數(shù)據(jù)備份方面，可以采用服務器集群及異地熱備技術，保障平臺的高性能和高可用性。異地熱備技術是指硬盤放在磁盤陣列柜里面，兩臺服務器與磁盤陣列柜連接，共用里面的資料，當一臺服務器出現(xiàn)問題時會自動切換到另一臺服務器，既確保了數(shù)據(jù)備份安全，又保障了使用效率。

3.加強網(wǎng)絡安全防護。在系統(tǒng)安全和數(shù)據(jù)通訊層面采取措施，通過網(wǎng)絡安全協(xié)議、電子簽名等，如建立反釣魚機制，解決電子支付安全問題，大力推廣可靠電子簽名應用。將電子簽名向供應鏈融資、網(wǎng)絡微貸、P2P、眾籌等其他業(yè)務形態(tài)中推廣;積極選用國產廠商自主可控的網(wǎng)絡信息系統(tǒng);部署網(wǎng)絡安全防護產品，如部署防火墻保障網(wǎng)絡邊界訪問安全，部署防病毒系統(tǒng)實時進行病毒檢測與防護;部署漏洞掃描系統(tǒng)，主動進行威脅、脆弱性分析與安全檢測;部署入侵檢測系統(tǒng)，攔截黑客攻擊，加強防入侵能力，加固邊界安全等。

4.增強信息安全風險防范意識，提升風險事件應急處置能力。始終將信息安全工作放在首位，進一步完善風險管理控制體系，定期對系統(tǒng)進行風險評估，加強防御手段。制定和不斷完善應急預案，提高金融網(wǎng)絡系統(tǒng)應對突發(fā)事件的能力，有效、快速、合理地應對突發(fā)事件，最大程度地減少信息安全事件造成的損失和影響，保障金融業(yè)務的連續(xù)運行。

參考文獻：

[1] 姚文平.互聯(lián)網(wǎng)金融：即將到來的新金融時代[M].中信出版社，2014

[2] 周小娟.我國互聯(lián)網(wǎng)金融面臨的風險及應對措施[J].時代經貿，2013，22（1）：111-113

[3] 陳子永.互聯(lián)網(wǎng)金融風險與防范[J].商，2013，21（1）：166-168