信息安全服務(wù)評(píng)估報(bào)告精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的信息安全服務(wù)評(píng)估報(bào)告主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：信息安全服務(wù)評(píng)估報(bào)告范文

新增多項(xiàng)強(qiáng)勁功能

據(jù)安全專家介紹，此次的全新瑞星殺毒軟件網(wǎng)絡(luò)版2012中，增加了“私有云”技術(shù)、動(dòng)態(tài)資源分配技術(shù)、企業(yè)自定義白名單系統(tǒng)、第二代身份標(biāo)識(shí)和客戶端密碼防護(hù)系統(tǒng)。基于這些全新的功能，企業(yè)的信息安全管理可以更為穩(wěn)定，并且更加精準(zhǔn)。

瑞星企業(yè)專屬“私有云”為每個(gè)企業(yè)單獨(dú)構(gòu)建，提供專屬的云應(yīng)用和云服務(wù)。它主要有兩個(gè)功能：一，為企業(yè)提供了安全應(yīng)用軟件平臺(tái)，便于企業(yè)獲取經(jīng)過(guò)瑞星安全認(rèn)證的各類應(yīng)用軟件，便于管理員分發(fā)、管理和監(jiān)控。二，為每個(gè)企業(yè)定制專屬的安全服務(wù)，企業(yè)客戶端無(wú)需存放病毒庫(kù)，也無(wú)需進(jìn)行復(fù)雜殺毒運(yùn)算，大大降低了對(duì)系統(tǒng)資源的占用，同時(shí)可進(jìn)行最快速、最及時(shí)、最輕便的病毒掃描和防護(hù)。

智能動(dòng)態(tài)資源分配技術(shù)優(yōu)化了殺毒引擎的核心技術(shù)，使其變得更加輕便，突破了傳統(tǒng)殺毒軟件一次性將病毒庫(kù)加載到內(nèi)存中，使用高負(fù)荷CPU進(jìn)行運(yùn)算的方式，并對(duì)病毒庫(kù)進(jìn)行了細(xì)化，同時(shí)優(yōu)化其存儲(chǔ)和加載方式，在殺毒時(shí)，實(shí)現(xiàn)化整為零、按需加載，從而達(dá)到降低資源占用的目的，使更多的老舊電腦也可以流暢運(yùn)行最先進(jìn)的殺毒軟件。

大型企業(yè)在遇到安全問(wèn)題時(shí)，最為頭疼的是管理員很難在短時(shí)間內(nèi)定位到具體出現(xiàn)問(wèn)題的電腦，從而使問(wèn)題變得更加復(fù)雜，延遲解決時(shí)間。在新一代瑞星網(wǎng)絡(luò)版殺毒軟件中，增加了第二代身份識(shí)別標(biāo)示，對(duì)用戶標(biāo)示進(jìn)行升級(jí)，加入了CPU、主板、硬盤串號(hào)、Mac地址、微軟身份標(biāo)示等信息，管理員可精確定位每臺(tái)電腦。

5S服務(wù)詮釋高端企業(yè)安全理念

將“私有云”、智能動(dòng)態(tài)資源分配等領(lǐng)先的技術(shù)迅速落地，轉(zhuǎn)化為產(chǎn)品并與專業(yè)的企業(yè)信息安全服務(wù)相結(jié)合，這是瑞星一直追求的目標(biāo)。在瑞星新一代企業(yè)級(jí)整體解決方案中，用戶不僅可享受到“私有云”技術(shù)帶來(lái)的安全成果，而且能夠得到國(guó)內(nèi)首家5S專業(yè)級(jí)企業(yè)信息安全服務(wù)。

瑞星公司客服中心總經(jīng)理齊勇表示，在企業(yè)信息安全領(lǐng)域，瑞星向企業(yè)用戶提供了信息安全評(píng)估服務(wù)、信息安全預(yù)警服務(wù)、信息安全專家服務(wù)、信息安全應(yīng)急響應(yīng)服務(wù)、信息安全培訓(xùn)服務(wù)。

1、信息安全評(píng)估服務(wù)：信息安全始于評(píng)估，作為擁有CSP認(rèn)證的安全廠商，瑞星將為用戶全面評(píng)估面臨的各種安全風(fēng)險(xiǎn)、提供專業(yè)評(píng)估報(bào)告。

2、信息安全預(yù)警服務(wù)：可以通過(guò)專屬手機(jī)通道、郵件通報(bào)、網(wǎng)站掛馬預(yù)警、網(wǎng)站漏洞檢測(cè)等方式，第一時(shí)間發(fā)出預(yù)警信息，為企業(yè)提供信息安全服務(wù)。

3、信息安全專家服務(wù)：通過(guò)對(duì)口信息安全顧問(wèn)、專家常駐支持等方式提供技術(shù)支持。

4、信息安全應(yīng)急響應(yīng)服務(wù)：一旦遇到信息安全事故，瑞星便會(huì)通過(guò)現(xiàn)場(chǎng)巡檢、遠(yuǎn)程巡檢、現(xiàn)場(chǎng)緊急救援、遠(yuǎn)程緊急救援、數(shù)據(jù)災(zāi)難恢復(fù)、網(wǎng)站掛馬應(yīng)急處理等方式，第一時(shí)間解決安全問(wèn)題。

第2篇：信息安全服務(wù)評(píng)估報(bào)告范文

關(guān)鍵詞：信息安全；等級(jí)保護(hù)；漏洞掃描

中圖分類號(hào)：TP315 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 (2011) 23-0000-02

Use Vulnerability Scanning System to Improve the Level of Power Supply Enterprise Information Security Management

Chen Wan

(Guangdong Power Grid Corporation,Shantou Power Supply Bureau,Shantou 515041,China)

Abstract:The building vulnerability scanning system,and regulate their use of processes,thereby enhancing the power supply enterprise level and effectiveness of information security management.Shantou Power Supply Bureau introduced the use of the IDC deployment vulnerability scanning system,set up the server was added to the process specifications,thereby enhancing the information security management.

Keywords:Information security;Protection Level;Vulnerability scanning

引言：伴隨著信息化的高速發(fā)展，信息安全的形勢(shì)日趨復(fù)雜和嚴(yán)峻。國(guó)家政府對(duì)信息安全高度關(guān)注，信息安全等級(jí)保護(hù)是我國(guó)在新的信息安全形勢(shì)下推行的一項(xiàng)國(guó)家制度，國(guó)家相關(guān)部門高度重視等級(jí)保護(hù)制度的落實(shí)與執(zhí)行。信息系統(tǒng)是業(yè)務(wù)系統(tǒng)的支持平臺(tái)，信息系統(tǒng)的安全是承載業(yè)務(wù)系統(tǒng)安全的基礎(chǔ)，而在信息系統(tǒng)等級(jí)保護(hù)中，安全技術(shù)測(cè)評(píng)包括五個(gè)部分：分別是物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)。其中所涉及到的主機(jī)系統(tǒng)安全控制點(diǎn)包括：身份鑒別、安全標(biāo)記、訪問(wèn)控制、可信路徑、安全審計(jì)、入侵防范、惡意代碼防范和資源控制等九個(gè)控制點(diǎn)。怎么提前做好風(fēng)險(xiǎn)控制，利用現(xiàn)有的信息安全工具，規(guī)范信息系統(tǒng)主機(jī)上架前的檢測(cè)，對(duì)信息安全的管理是一種創(chuàng)新的嘗試，也是安全管理中位于未雨綢繆的體現(xiàn)。

一、漏洞掃描系統(tǒng)的構(gòu)建

（一）漏洞掃描工具的作用

漏洞掃描工具采用高效、智能的漏洞識(shí)別技術(shù)，第一時(shí)間主動(dòng)對(duì)網(wǎng)絡(luò)中的資產(chǎn)進(jìn)行細(xì)致深入的漏洞檢測(cè)、分析，并提供專業(yè)、有效的漏洞防護(hù)建議。

我們采用的漏洞掃描工具的管理是基于Web的管理方式，用戶使用瀏覽器通過(guò)SSL加密通道和系統(tǒng)Web界面模塊進(jìn)行交互，采用模塊化設(shè)計(jì)。具有優(yōu)化的專用安全系統(tǒng)平臺(tái)，具有很高的安全性和穩(wěn)定性。其專用硬件能夠長(zhǎng)期穩(wěn)定地運(yùn)行，很好地保證了任務(wù)的周期性自動(dòng)處理。能夠自動(dòng)處理的任務(wù)包括：評(píng)估任務(wù)下發(fā)、掃描結(jié)果自動(dòng)分析、處理和發(fā)送、系統(tǒng)檢測(cè)插件的自動(dòng)升級(jí)等。同時(shí)支持多用戶管理模式，能夠?qū)τ脩舻臋?quán)限做出嚴(yán)格的限制，通過(guò)權(quán)限的劃分可以實(shí)現(xiàn)一臺(tái)設(shè)備多人的虛擬多機(jī)管理，并且提供了登錄、操作和異常等日志審計(jì)功能，方便用戶對(duì)系統(tǒng)的審計(jì)和控制。

在每次安全評(píng)估之前，用戶需要根據(jù)自己的業(yè)務(wù)系統(tǒng)確定需要進(jìn)行評(píng)估的資產(chǎn)，并且劃分資產(chǎn)的重要性。漏洞掃描系統(tǒng)根據(jù)用戶的資產(chǎn)及其重要性會(huì)自動(dòng)在其內(nèi)部對(duì)目標(biāo)評(píng)估系統(tǒng)建立基于時(shí)間和基于風(fēng)險(xiǎn)等多種安全評(píng)估模型。在對(duì)目標(biāo)完成評(píng)估之后，模型輸出的結(jié)果數(shù)據(jù)不但有定性的趨勢(shì)分析，而且有定量的風(fēng)險(xiǎn)分析，用戶能夠清楚地看到單個(gè)資產(chǎn)、整個(gè)網(wǎng)絡(luò)的資產(chǎn)存在的風(fēng)險(xiǎn)，還能夠看到網(wǎng)絡(luò)中漏洞的分布情況、風(fēng)險(xiǎn)級(jí)別排名較高的資產(chǎn)、不同操作系統(tǒng)和不同應(yīng)用漏洞分布等詳細(xì)統(tǒng)計(jì)信息，用戶能夠很直觀地了解自己網(wǎng)絡(luò)安全狀況。

（二）漏洞掃描工具的部署

針對(duì)汕頭供電局的網(wǎng)絡(luò)情況，使用獨(dú)立式部署方式。獨(dú)立式部署就是在網(wǎng)絡(luò)中部署一臺(tái)漏洞掃描設(shè)備。在共享式工作模式下，只要將設(shè)備接入網(wǎng)絡(luò)并進(jìn)行正確的配置即可正常使用，其工作范圍通常包含汕頭供電局的整個(gè)網(wǎng)絡(luò)地址，用戶登錄系統(tǒng)并下達(dá)掃描任務(wù)。下圖是漏洞掃描系統(tǒng)獨(dú)立式部署模式圖。從圖中可以看出，無(wú)論在汕頭供電局何處接入設(shè)備，網(wǎng)絡(luò)都能正常工作，完成對(duì)網(wǎng)絡(luò)的安全評(píng)估。

圖1：漏洞掃描系統(tǒng)獨(dú)立式部署模式圖

（三）漏洞掃描工具的定位

1.利用漏洞掃描工具定期對(duì)網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行掃描，以便主動(dòng)發(fā)現(xiàn)存在的安全隱患和防護(hù)漏洞。

2.巡檢服務(wù)中對(duì)操作系統(tǒng)修補(bǔ)、加固和優(yōu)化，根據(jù)提供出來(lái)的評(píng)估報(bào)告對(duì)相關(guān)系統(tǒng)進(jìn)行打補(bǔ)丁、升級(jí)、修補(bǔ)、加固和優(yōu)化，提供詳細(xì)操作報(bào)告。

3.巡檢服務(wù)過(guò)程中針對(duì)網(wǎng)絡(luò)設(shè)備安全加固和優(yōu)化；進(jìn)行修補(bǔ)和加固，按照安全策略進(jìn)行安全配置和優(yōu)化，提供詳細(xì)操作報(bào)告。包括：網(wǎng)絡(luò)設(shè)備的安全配置，網(wǎng)絡(luò)設(shè)備的安全加固，網(wǎng)絡(luò)設(shè)備的優(yōu)化配置等。

4.檢服務(wù)過(guò)程中對(duì)網(wǎng)絡(luò)安全設(shè)備，對(duì)所有網(wǎng)絡(luò)邊界進(jìn)行梳理，對(duì)邊界安全防護(hù)系統(tǒng)的策略進(jìn)行優(yōu)化。通過(guò)綜合應(yīng)用防火墻、IPS、防病毒網(wǎng)關(guān)等網(wǎng)絡(luò)安全系統(tǒng)，在區(qū)域邊界實(shí)施嚴(yán)密的控制措施，盡量在邊界阻斷來(lái)自區(qū)域外的安全威脅，從而最大化地提高電力信息數(shù)據(jù)的安全性和電力信息系統(tǒng)的可用性。

5.巡檢服務(wù)過(guò)程中在安全評(píng)估的基礎(chǔ)上，對(duì)桌面終端和服務(wù)器系統(tǒng)中存在的安全漏洞進(jìn)行修復(fù)。對(duì)于無(wú)法修復(fù)的漏洞，評(píng)價(jià)其可能帶來(lái)的安全風(fēng)險(xiǎn)，并采用周邊網(wǎng)絡(luò)防護(hù)系統(tǒng)（如防火墻、IPS等）阻斷可能的攻擊，或通過(guò)監(jiān)控等手段對(duì)該風(fēng)險(xiǎn)進(jìn)行控制管理。

二、服務(wù)器上架漏洞掃描規(guī)范編寫(xiě)

按照信息安全工作實(shí)際需要，以“制度化管理、規(guī)范化操作”為原則，完善信息安全管理策略規(guī)范，理順信息工作內(nèi)部安全控制流程規(guī)范，不斷增強(qiáng)網(wǎng)絡(luò)與信息安全整體管控效能。為更好的保障汕頭供電局信息網(wǎng)絡(luò)的安全、穩(wěn)定運(yùn)行，使得漏洞掃描工具能真正的用到實(shí)處，特制訂漏洞系統(tǒng)管理流程。如下圖：

圖2：每季度漏洞掃描流程圖

圖3：新服務(wù)器上架前漏洞掃描流程圖

（一）漏洞掃描管理員的職責(zé)

負(fù)責(zé)漏洞掃描軟件（包括漏洞庫(kù)）的管理、更新和公布；

負(fù)責(zé)查找修補(bǔ)漏洞的補(bǔ)丁程序，及時(shí)提出漏洞修復(fù)方案；

密切注意最新漏洞的發(fā)生、發(fā)展情況，關(guān)注和追蹤業(yè)界公布的漏洞疫情；

每季度第一個(gè)月1-4日期間（節(jié)假日順推）進(jìn)行上季度安全掃描復(fù)查；

每季度第一個(gè)月5號(hào)（節(jié)假日順推）生成上季度匯總報(bào)告；

新系統(tǒng)上線前，負(fù)責(zé)對(duì)系統(tǒng)管理員提出的申請(qǐng)的主機(jī)進(jìn)行漏洞掃描檢查，并提交漏洞掃描報(bào)告給系統(tǒng)管理員，并檢查主機(jī)漏洞修補(bǔ)情況。

（二）系統(tǒng)管理員的職責(zé)

負(fù)責(zé)對(duì)漏洞掃描系統(tǒng)發(fā)現(xiàn)的漏洞進(jìn)行修補(bǔ)工作；

遵守漏洞掃描設(shè)備各項(xiàng)管理規(guī)范。

新系統(tǒng)上線前，提交掃描申請(qǐng)，并負(fù)責(zé)對(duì)漏洞掃描系統(tǒng)發(fā)現(xiàn)的漏洞進(jìn)行修補(bǔ)工作。

三、結(jié)束語(yǔ)

第3篇：信息安全服務(wù)評(píng)估報(bào)告范文

在科學(xué)技術(shù)如此發(fā)達(dá)的今天,網(wǎng)絡(luò)已經(jīng)成為了生活中不可或缺的一部分,但是網(wǎng)絡(luò)帶給我們的就只有優(yōu)點(diǎn)嗎？很顯然答案是否定的,網(wǎng)絡(luò)帶給我們的缺點(diǎn)大家也應(yīng)該早有體會(huì),我們所接觸到、影響最深的應(yīng)該就是信息安全問(wèn)題了。在新聞中網(wǎng)絡(luò)個(gè)人信息被盜造成損害的案例已經(jīng)屢見(jiàn)不鮮,本文將以此為研究點(diǎn),以信息安全控制原理為基礎(chǔ),對(duì)信息安全中常見(jiàn)的存在問(wèn)題進(jìn)行研究,并介紹與信息安全相關(guān)的技術(shù)和方法。

關(guān)鍵詞:

信息安全網(wǎng)絡(luò)控制

1信息安全控制原理

1.1信息安全

信息是一種資源,它具有增值性、多效性、普遍性和可處理性,這使得對(duì)人類具有非常重要的意義。信息安全就是確保網(wǎng)絡(luò)信息資源的安全和信息系統(tǒng)的安全,避免受到外界各種干擾和侵害,換而言之就是確保安全。信息安全在國(guó)際標(biāo)準(zhǔn)化組織是這樣定義的:指信息的完整性、可靠性、可用性和保密性。

1.2自動(dòng)控制原理

所謂自動(dòng)控制就是指在沒(méi)有人直接參與的情況下,控制裝置或者控制器能夠按照預(yù)先設(shè)定的規(guī)律使機(jī)器、設(shè)備或者生產(chǎn)過(guò)程(統(tǒng)稱為被控對(duì)象)的某個(gè)工作狀態(tài)或者參數(shù)(即控制量)自動(dòng)地運(yùn)行。自動(dòng)控制系統(tǒng)(automaticcontrolsystems)是在沒(méi)有人直接參與的時(shí)候可使工作過(guò)程或其他過(guò)程按預(yù)期的規(guī)律或預(yù)想程序進(jìn)行的系統(tǒng)控制。自動(dòng)化控制系統(tǒng)是實(shí)現(xiàn)自動(dòng)化的重要手段。

1.3信息安全控制控制原理

信息安全控制與自動(dòng)控制有著密不可分的關(guān)系,因?yàn)樾畔⒌奶厥庑再|(zhì)導(dǎo)致信息系統(tǒng)具有變化的不定性,進(jìn)而導(dǎo)致整個(gè)信息系統(tǒng)的安全控制都會(huì)隨著信息不斷變化,另外信息系統(tǒng)在變化過(guò)程中不僅會(huì)受到外界系統(tǒng)的攻擊和影響,其系統(tǒng)內(nèi)部的缺陷也會(huì)威脅其系統(tǒng)安全。所以信息安全系統(tǒng)的建立必須要完善,從外部和內(nèi)部多個(gè)層面進(jìn)行全方位的因素考慮。信息安全控制主要是為了有效控制信息系統(tǒng)存在的內(nèi)在威脅和外界的惡意攻擊。所以信息安全控制的主要措施是:對(duì)于系統(tǒng)內(nèi)部,要盡可能的切斷一切潛在危險(xiǎn)源;對(duì)于系統(tǒng)外部,建立完善的信息安全控制體系。對(duì)于信息系統(tǒng)而言,安全控制策略庫(kù)的建立可以讓信息系統(tǒng)的運(yùn)行在可控范圍內(nèi)進(jìn)行,從而使信息威脅程度降低最低,這樣就可以保證信息系統(tǒng)的安全性。

2加密技術(shù)

2.1事件監(jiān)控

安全監(jiān)控子系統(tǒng)實(shí)時(shí)收集日志信息進(jìn)行存儲(chǔ)與分析,當(dāng)發(fā)現(xiàn)高危安全事件時(shí),采用聲、光、短信的方式在管理員界面中呈現(xiàn)給安全監(jiān)控人員,安全監(jiān)控人員對(duì)安全事件的級(jí)別和影響進(jìn)行評(píng)估,判斷為嚴(yán)重事件時(shí)則啟動(dòng)工單系統(tǒng)通知客服人員,由客服人員向客戶發(fā)送預(yù)警信息;若事件未達(dá)到預(yù)警級(jí)別,則安全監(jiān)控人員創(chuàng)建工單,通知安全分析人員做處理。

2.2安全分析

安全分析人員對(duì)非預(yù)警安全事件進(jìn)行分析,排除誤警虛警信息,嘗試解決可處理安全事件。判斷為不能處理的安全事件和經(jīng)嘗試不能解決的安全事件,提交運(yùn)維經(jīng)理,請(qǐng)經(jīng)理協(xié)調(diào)各方資源協(xié)助解決。如資源難以協(xié)調(diào)則繼續(xù)向上一級(jí)主管領(lǐng)導(dǎo)發(fā)起協(xié)調(diào)資源請(qǐng)求,直至問(wèn)題解決。經(jīng)過(guò)安全分析人員對(duì)攻擊數(shù)據(jù)包進(jìn)行分析,迅速判斷出此次攻擊主要針對(duì)80端口的ddos攻擊,遭受攻擊的網(wǎng)站由于資源消耗過(guò)大而無(wú)法再給用戶提供正常的頁(yè)面訪問(wèn)。由于世博業(yè)務(wù)可持續(xù)性運(yùn)行的重要性,于是決定本著"先搶通后修復(fù)"的原則,先利用防火墻、utm制定相應(yīng)的安全策略協(xié)助該單位恢復(fù)系統(tǒng)正常工作。同時(shí)運(yùn)維人員根據(jù)安全事件對(duì)該風(fēng)險(xiǎn)進(jìn)行評(píng)估,確定攻擊類型、波及范圍及造成的影響,并制定都詳細(xì)的加固解決方案。

2.3安全預(yù)警

安全監(jiān)控平臺(tái)發(fā)現(xiàn)客戶網(wǎng)絡(luò)出現(xiàn)高危安全事件時(shí),安全專家團(tuán)隊(duì)子系統(tǒng)的安全分析人員,根據(jù)事件信息確定預(yù)警級(jí)別,通過(guò)工單系統(tǒng)向網(wǎng)絡(luò)管理員提交預(yù)警信息。若預(yù)警級(jí)別較高,則通報(bào)給相關(guān)主管領(lǐng)導(dǎo)、同時(shí)發(fā)起預(yù)警,同時(shí)派遣專業(yè)人員協(xié)助處理安全事件。

2.分析報(bào)告

安全運(yùn)維小組事后給用戶提供了一份詳細(xì)的事情分析報(bào)告,報(bào)告中包括記錄文檔和安全策略的建議,此份建議中多次提到安全技術(shù)使用不夠完善的問(wèn)題,雖然有防毒系統(tǒng)和防火前,但是沒(méi)有利用更大的資源解決網(wǎng)絡(luò)安全問(wèn)題。報(bào)告的意義是讓客戶知道問(wèn)題出在哪里,在哪里容易出問(wèn)題,怎么解決已經(jīng)出現(xiàn)的問(wèn)題,今后應(yīng)該如何防范。

2.5加固測(cè)試

根據(jù)安全評(píng)估報(bào)告協(xié)助用戶對(duì)系統(tǒng)自身的安全漏洞進(jìn)行修補(bǔ),并對(duì)加固后的系統(tǒng),進(jìn)行模擬測(cè)試。安全專家模擬黑客攻擊的方式對(duì)用戶指定的ip地址采用工具和人工檢查相結(jié)合的辦法進(jìn)行遠(yuǎn)程安全測(cè)試,評(píng)估加固后的系統(tǒng)是否達(dá)到安全要求。防火墻策略生效之后,攻擊逐漸減弱,通過(guò)外網(wǎng)訪問(wèn)web服務(wù)器,速度正常。至此初步判斷,由于防火墻、umt的防護(hù)和安全監(jiān)控平臺(tái)監(jiān)測(cè),已經(jīng)令惡意攻擊者知難而退,暫時(shí)停止實(shí)施攻擊。經(jīng)過(guò)現(xiàn)場(chǎng)一段時(shí)間的觀察客戶網(wǎng)絡(luò)正常運(yùn)行,后期運(yùn)維小組重點(diǎn)對(duì)該網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程監(jiān)控跟蹤。

2.6形成知識(shí)庫(kù)

將此次安全事件發(fā)現(xiàn)、分析、解決的過(guò)程以知識(shí)庫(kù)的形式保存,以便下次同類問(wèn)題的快速處理及客戶人員的自學(xué)習(xí)。根據(jù)統(tǒng)計(jì),不僅中國(guó)在盡力打造信息安全網(wǎng)絡(luò),在世博會(huì)期間,浙江聯(lián)通也退出了很多項(xiàng)創(chuàng)新業(yè)務(wù)支撐網(wǎng)絡(luò)安全。為保證世博會(huì)此項(xiàng)工作的順利進(jìn)行,聯(lián)通的營(yíng)業(yè)廳及多個(gè)服務(wù)店、10010客服熱線、投訴、vip貴賓服務(wù)、電子渠道等方面,在人性化、便捷化、差異化方面做出巨大改變,最終使得用戶能充分信息安全的基礎(chǔ)上,享受了更大的便捷與自由。

參考文獻(xiàn)

[1]張淑媛.基于信息安全控制原理的安全網(wǎng)絡(luò)技術(shù)[J].技術(shù)研發(fā),2013(18).

第4篇：信息安全服務(wù)評(píng)估報(bào)告范文

2005年7月，美國(guó)聯(lián)邦政府審計(jì)署向美國(guó)國(guó)會(huì)提交了《信息安全年度報(bào)告》（以下簡(jiǎn)稱美國(guó)報(bào)告），其題目是《信息安全：相關(guān)法規(guī)執(zhí)行方面有所成就，但是仍然存在薄弱之處》。美國(guó)報(bào)告指出，聯(lián)邦政府各個(gè)分支機(jī)構(gòu)以及眾多事關(guān)國(guó)計(jì)民生的部門，包括能源、供水、電信、國(guó)防以及應(yīng)急服務(wù)部門，他們的日常工作已經(jīng)廣泛依賴計(jì)算機(jī)信息系統(tǒng)以及電子數(shù)據(jù)。這些信息系統(tǒng)、數(shù)據(jù)的安全非常重要，信息安全措施要防止數(shù)據(jù)篡改，保證核心業(yè)務(wù)連續(xù)性，預(yù)防數(shù)據(jù)欺騙以及阻止敏感信息泄漏。

美國(guó)政務(wù)的五大安全隱患

美國(guó)審計(jì)署發(fā)現(xiàn)，美國(guó)聯(lián)邦政府24個(gè)部門信息系統(tǒng)普遍存在安全隱患，主要體現(xiàn)在以下5個(gè)方面：訪問(wèn)控制并未有效實(shí)施、軟件變更控制并非總是有效、職責(zé)劃分沒(méi)有始終如一地執(zhí)行、業(yè)務(wù)持續(xù)性計(jì)劃經(jīng)常是不充分的、部門信息安全規(guī)劃沒(méi)有全面地應(yīng)用。

訪問(wèn)控制

它保證只有經(jīng)過(guò)授權(quán)的用戶才可以閱讀、修改或者刪除數(shù)據(jù)。訪問(wèn)控制包括電子方式以及物理方式，前者包括賬號(hào)控制、密碼控制以及用戶權(quán)限控制，后者包括門衛(wèi)、門鎖等方式。24個(gè)部門中有23個(gè)部門在訪問(wèn)控制方面存在隱患。例如，有的信息系統(tǒng)允許用戶使用非常簡(jiǎn)單的詞語(yǔ)做密碼，這使得黑客很容易破解密碼。物理控制方面，有的部門并未有效采用門鎖、門卡等手段。

軟件變更控制

軟件變更控制確保只有經(jīng)過(guò)授權(quán)的軟件程序才可以被安裝，軟件變更控制也會(huì)監(jiān)控敏感程序、數(shù)據(jù)的使用情況。24個(gè)部門中有22個(gè)存在這方面的漏洞，例如軟件系統(tǒng)沒(méi)有采用正確流程進(jìn)行升級(jí)。此外，有的信息系統(tǒng)在程序調(diào)整方面的批準(zhǔn)、測(cè)試以及實(shí)施的文檔記錄沒(méi)有良好維護(hù)，以至于出錯(cuò)的或者有預(yù)謀的程序?qū)?huì)嚴(yán)重威脅到系統(tǒng)安全。

職責(zé)劃分

職責(zé)劃分降低個(gè)人進(jìn)行錯(cuò)誤操作而沒(méi)有被發(fā)現(xiàn)的風(fēng)險(xiǎn)。24個(gè)部門中有14個(gè)存在這方面的隱患，主要體現(xiàn)在系統(tǒng)管理和系統(tǒng)安全管理沒(méi)有很好地分清。例如，有的部門用戶可以在系統(tǒng)中添加并不存在的賬號(hào)并獲得很高的權(quán)限，用這個(gè)賬號(hào)從事的活動(dòng)沒(méi)人監(jiān)管。

業(yè)務(wù)連續(xù)計(jì)劃

確保計(jì)算機(jī)相關(guān)的業(yè)務(wù)在緊急情況下不出現(xiàn)嚴(yán)重中斷，例如出現(xiàn)地震、火災(zāi)等破壞活動(dòng)的時(shí)候。20個(gè)部門存在這一方面的隱患。在審計(jì)署2005年4月提交的報(bào)告中已經(jīng)指出，不到一半的部門有應(yīng)急指揮通訊錄，很少的部門記錄了重要文件分布情況，大多數(shù)機(jī)構(gòu)沒(méi)有測(cè)試、檢驗(yàn)、演習(xí)他們的業(yè)務(wù)連續(xù)計(jì)劃以確保災(zāi)難發(fā)生時(shí)可以應(yīng)用這些計(jì)劃。

部門級(jí)別的安全規(guī)劃

上述問(wèn)題的存在，主要是因?yàn)楦鱾€(gè)部門沒(méi)有強(qiáng)有力的信息安全管理規(guī)劃。部門級(jí)別的安全規(guī)劃提供工作框架，確保全部門能夠理解風(fēng)險(xiǎn)并且有效控制、合理采取措施。這個(gè)方面，所有的部門都存在隱患，他們都沒(méi)有制定全面的信息安全規(guī)劃，尤其是新型的安全威脅方面，包括垃圾郵件、釣魚(yú)以及間諜程序。

我國(guó)可借鑒什么

我國(guó)在信息系統(tǒng)安全管理方面開(kāi)展工作的時(shí)間不長(zhǎng)，相關(guān)經(jīng)驗(yàn)不多，許多應(yīng)建立的規(guī)章制度還在摸索之中。2005年7月剛剛的《2005中國(guó)信息化發(fā)展報(bào)告》談到信息安全的時(shí)候，提到蠕蟲(chóng)和病毒在網(wǎng)上傳播十分猖獗、木馬事件潛在威脅巨大、各類網(wǎng)絡(luò)違法犯罪日益突出，但沒(méi)有專門介紹電子政務(wù)的安全現(xiàn)狀。

重視管理機(jī)制制度

《2005中國(guó)信息化發(fā)展報(bào)告》指出，要加強(qiáng)對(duì)信息安全工作的領(lǐng)導(dǎo)，建立健全信息安全領(lǐng)導(dǎo)責(zé)任機(jī)制，明確主管領(lǐng)導(dǎo)，落實(shí)責(zé)任部門，建立和完善信息安全監(jiān)控體系，加強(qiáng)以密碼技術(shù)為基礎(chǔ)的信息保護(hù)和網(wǎng)絡(luò)信任體系的建設(shè)。

重視管理機(jī)制制度這一方面，中美兩國(guó)有相近之處。美國(guó)《聯(lián)邦信息安全管理法案》認(rèn)為，聯(lián)邦政府存在信息安全隱患最根本原因是缺乏有效的信息安全管理規(guī)劃?；诖?，美國(guó)《聯(lián)邦信息安全管理法案》要求政府建立一套全面的信息安全控制管理框架。不僅如此，考慮到各個(gè)機(jī)構(gòu)在信息安全管理規(guī)劃方面難免出現(xiàn)漏洞，美國(guó)《聯(lián)邦信息安全管理法案》制定了一套完善的評(píng)估機(jī)制，包括部門定期自檢以及管理和預(yù)算辦公室、國(guó)家標(biāo)準(zhǔn)技術(shù)研究院以及其他獨(dú)立機(jī)構(gòu)的評(píng)估。

《聯(lián)邦信息安全管理法案》要求美國(guó)聯(lián)邦政府各個(gè)機(jī)構(gòu)的信息安全報(bào)告包含如下信息：風(fēng)險(xiǎn)評(píng)估情況、政策和流程、個(gè)別系統(tǒng)的安全規(guī)劃、相關(guān)培訓(xùn)情況、年度測(cè)試和評(píng)估情況、采取的對(duì)策、信息安全事件報(bào)告以及運(yùn)行連續(xù)性。

美國(guó)的評(píng)估機(jī)制，保證了部門領(lǐng)導(dǎo)在意識(shí)上定期關(guān)注各自部門的信息安全，又使得他們有能力全面深入了解本部門信息安全的方方面面。這樣，既提高了部門領(lǐng)導(dǎo)對(duì)信息安全的重視程度，又采用完善的制度來(lái)提高各個(gè)部門發(fā)現(xiàn)、報(bào)告和共享信息安全隱患的能力。與美國(guó)相比，我們還沒(méi)有明確提出要建立全方位的評(píng)估體系。

完善標(biāo)準(zhǔn)法規(guī)體系

《2005中國(guó)信息化發(fā)展報(bào)告》指出，抓緊制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南，建立信息安全等級(jí)保護(hù)制度，加強(qiáng)信息安全法制建設(shè)和標(biāo)準(zhǔn)化建設(shè)。

在標(biāo)準(zhǔn)法規(guī)、技術(shù)指南方面，我國(guó)政府主要精力集中在信息安全等級(jí)保護(hù)方面。比較而言，美國(guó)政府制訂的標(biāo)準(zhǔn)法規(guī)、技術(shù)指南則更為全面。美國(guó)《聯(lián)邦信息安全管理法案》規(guī)定，由美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院（NIST）負(fù)責(zé)為政府各個(gè)部門提供相關(guān)法規(guī)制度或技術(shù)援助，進(jìn)行信息安全方面的研究，并且參與國(guó)家安全體系相關(guān)標(biāo)準(zhǔn)的開(kāi)發(fā)。

安全不僅是技術(shù)問(wèn)題，同時(shí)還是社會(huì)和法律問(wèn)題。與美國(guó)相比，我國(guó)在標(biāo)準(zhǔn)的制定、認(rèn)證、檢測(cè)等方面有待于進(jìn)一步的加強(qiáng)。信息安全標(biāo)準(zhǔn)方面，我國(guó)有國(guó)家信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心、公安部、國(guó)家質(zhì)量技術(shù)監(jiān)督局等多個(gè)部門參與這方面的工作，而美國(guó)則在法案中明確表示由美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院一家來(lái)完成。還有一點(diǎn)值得注意的是，我國(guó)信息安全標(biāo)準(zhǔn)的培訓(xùn)、認(rèn)證和檢測(cè)機(jī)構(gòu)中，有一些是贏利機(jī)構(gòu)，這在某種程度上降低了其公證性。

加強(qiáng)信息安全培訓(xùn)

《2005中國(guó)信息化發(fā)展報(bào)告》指出，加強(qiáng)信息安全學(xué)科、人才培養(yǎng)。

聯(lián)邦信息安全管理法案要求，聯(lián)邦政府各個(gè)機(jī)構(gòu)對(duì)政府雇員以及合同商的雇員進(jìn)行信息安全培訓(xùn)，這些機(jī)構(gòu)在年度評(píng)估報(bào)告中要標(biāo)明參與培訓(xùn)人員的數(shù)量以及所占比例。2005年的報(bào)告指出，所有24個(gè)部門都對(duì)本部門60％以上的職員進(jìn)行了培訓(xùn)。美國(guó)報(bào)告指出，如果不能提供最新的信息安全培訓(xùn)，將會(huì)給政府機(jī)構(gòu)的信息安全帶來(lái)安全隱患。例如，美國(guó)大多數(shù)部門沒(méi)有對(duì)雇員提供無(wú)線局域網(wǎng)方面的信息安全培訓(xùn)，這使得他們?cè)诮ㄔO(shè)沒(méi)有認(rèn)證措施的無(wú)線局域網(wǎng)的時(shí)候，不了解其安全隱患。

由此可見(jiàn)，美國(guó)政府更注重日常的培訓(xùn)工作，而不僅僅是學(xué)校培養(yǎng)。信息安全，需要有數(shù)學(xué)算法、軟件、硬件等諸多方面的理論支持。但對(duì)于很多現(xiàn)有的隱患來(lái)說(shuō)，更重要的是提高普通用戶的安全意識(shí)。例如美國(guó)政府提到的無(wú)線局域網(wǎng)問(wèn)題，我國(guó)政府在科研方面正在開(kāi)發(fā)WAPI，希望以此來(lái)增強(qiáng)系統(tǒng)的安全性。但是，有許多無(wú)線局域網(wǎng)是內(nèi)置了安全認(rèn)證程序而根本沒(méi)有啟用。

信息安全是個(gè)系統(tǒng)工程，既要有高屋建瓴的頂層設(shè)計(jì)、整體框架，又要有體貼入微的法規(guī)標(biāo)準(zhǔn)、行動(dòng)指南，還要有資金支持、日常培訓(xùn)以及監(jiān)察制度，需要恩威并重。同美國(guó)信息安全報(bào)告談到的情況相比，在我國(guó)政府部門中宣傳信息安全的重要性，并且保證相關(guān)人員有能力、有方法了解其現(xiàn)狀，懂得如何降低風(fēng)險(xiǎn)，這些都是任重而道遠(yuǎn)的。

鏈接

國(guó)家信息化領(lǐng)導(dǎo)小組第一次會(huì)議決定，把電子政務(wù)建設(shè)作為今后一個(gè)時(shí)期我國(guó)信息化工作的重點(diǎn)，政府先行，帶動(dòng)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展信息化。

在電子政務(wù)建設(shè)中和安全相關(guān)的主要任務(wù)是：

基本建立電子政務(wù)網(wǎng)絡(luò)與信息安全保障體系。要組織建立我國(guó)電子政務(wù)網(wǎng)絡(luò)與信息安全保障體系框架，逐步完善安全管理體制，建立電子政務(wù)信任體系，加強(qiáng)關(guān)鍵性安全技術(shù)產(chǎn)品的研究和開(kāi)發(fā)，建立應(yīng)急支援中心和數(shù)據(jù)災(zāi)難備份基礎(chǔ)設(shè)施。

第5篇：信息安全服務(wù)評(píng)估報(bào)告范文

隨著信息安全等級(jí)保護(hù)工作的不斷深化，已延伸到醫(yī)療衛(wèi)生行業(yè)。衛(wèi)計(jì)委要求三級(jí)醫(yī)院核心業(yè)務(wù)系統(tǒng)定級(jí)不低于第三級(jí)。本文結(jié)合醫(yī)院實(shí)際，介紹了醫(yī)院信息安全等級(jí)保護(hù)工作的建設(shè)，闡明了信息系統(tǒng)的定級(jí)、備案、整改、測(cè)評(píng)四個(gè)實(shí)施步驟，以供大家探討。

關(guān)鍵詞：

醫(yī)院信息安全；等級(jí)保護(hù)工作；等級(jí)測(cè)評(píng)

一、引言

隨著我國(guó)信息化建設(shè)的快速發(fā)展與廣泛應(yīng)用，信息安全的重要性愈發(fā)突出。在國(guó)家重視信息安全的大背景下，推出了信息安全等級(jí)保護(hù)制度。為統(tǒng)一管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，公安部等四部委聯(lián)合了《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）。隨著等級(jí)保護(hù)工作的深入開(kāi)展，原衛(wèi)生部制定了《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)》（衛(wèi)辦發(fā)[2011]85號(hào)），進(jìn)一步規(guī)范和指導(dǎo)了我國(guó)醫(yī)療衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作，并對(duì)三級(jí)甲等醫(yī)院核心業(yè)務(wù)信息系統(tǒng)的安全等級(jí)作了要求，原則上不低于第三級(jí)。從《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》中可知信息安全等級(jí)保護(hù)對(duì)象是國(guó)家秘密信息、法人和其他組織以及公民的專有信息和公開(kāi)信息。對(duì)信息系統(tǒng)及其安全產(chǎn)品進(jìn)行等級(jí)劃分，并按等級(jí)對(duì)信息安全事件響應(yīng)[1]。

二、醫(yī)院信息安全等級(jí)保護(hù)工作實(shí)施步驟

2.1定級(jí)與備案[2]。

根據(jù)公安部信息安全等級(jí)保護(hù)評(píng)估中心編制的《信息安全等級(jí)保護(hù)政策培訓(xùn)教程》，有兩個(gè)定級(jí)要素決定了信息系統(tǒng)的安全保護(hù)等級(jí)，一個(gè)是等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體，另外一個(gè)是對(duì)客體造成侵害的程度。對(duì)于三級(jí)醫(yī)院，門診量與床位相對(duì)較多，影響范圍較廣，一旦信息系統(tǒng)遭到破壞，將會(huì)給患者造成生命財(cái)產(chǎn)損失，對(duì)社會(huì)秩序帶來(lái)重大影響。因此，從影響范圍和侵害程度來(lái)看，我們非常認(rèn)同國(guó)家衛(wèi)計(jì)委對(duì)三級(jí)甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)安全等級(jí)的限制要求。在完成定級(jí)報(bào)告編制工作后，填寫(xiě)備案表，并按屬地化管理要求到市級(jí)公安機(jī)關(guān)辦理備案手續(xù)，在取得備案回執(zhí)后才算完成定級(jí)備案工作。我院已按照要求向我市公安局網(wǎng)安支隊(duì)，同時(shí)也是我市信息安全等級(jí)保護(hù)工作領(lǐng)導(dǎo)小組辦公室，提交了定級(jí)報(bào)告與備案表。

2.2安全建設(shè)與整改[3]。

在完成定級(jí)備案后，就要結(jié)合醫(yī)院實(shí)際，分析信息安全現(xiàn)狀，進(jìn)行合理規(guī)劃與整改。

2.2.1等保差距分析與風(fēng)險(xiǎn)評(píng)估。

了解等級(jí)保護(hù)基本要求?！缎畔⑾到y(tǒng)安全等級(jí)保護(hù)基本要求》分別從技術(shù)和管理兩方面提出了基本要求?；炯夹g(shù)要求包括五個(gè)方面：物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全，主要是由在信息系統(tǒng)中使用的網(wǎng)絡(luò)安全產(chǎn)品（包括硬件和軟件）及安全配置來(lái)實(shí)現(xiàn)；基本管理要求也包括五個(gè)方面：安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理，主要是根據(jù)相關(guān)政策、制度以及規(guī)范流程等方面對(duì)人員活動(dòng)進(jìn)行約束控制，以期達(dá)到安全管理要求[4]。技術(shù)類安全要求按保護(hù)側(cè)重點(diǎn)進(jìn)一步劃分為三類：業(yè)務(wù)信息安全類（S類）、系統(tǒng)服務(wù)安全類（A類）、通用安全保護(hù)類（G類）。如受條件限制，可以逐步完成三級(jí)等級(jí)保護(hù)，A類和S類有一類滿足即可，但G類必須達(dá)到三級(jí)，最嚴(yán)格的G3S3A3控制項(xiàng)共計(jì)136條[5]。醫(yī)院可以結(jié)合自身建設(shè)情況，選擇其中一個(gè)標(biāo)準(zhǔn)進(jìn)行差距分析。管理方面要求很嚴(yán)格，只有完成所有的154條控制項(xiàng)，達(dá)到管理G3的要求，才能完成三級(jí)等級(jí)保護(hù)要求。這需要我們逐條對(duì)照，發(fā)現(xiàn)醫(yī)院安全管理中的不足與漏洞，找出與管理要求的差距。對(duì)于有條件的三甲醫(yī)院，可以先進(jìn)行風(fēng)險(xiǎn)評(píng)估，通過(guò)分析信息系統(tǒng)的資產(chǎn)現(xiàn)狀、安全脆弱性及潛在安全威脅，形成《風(fēng)險(xiǎn)評(píng)估報(bào)告》。經(jīng)過(guò)與三級(jí)基本要求對(duì)照，我院還存在一定差距。比如：在物理環(huán)境安全方面，我院機(jī)房雖有滅火器，但沒(méi)安裝氣體滅火裝置。當(dāng)前的安全設(shè)備產(chǎn)品較少，不能很好的應(yīng)對(duì)網(wǎng)絡(luò)入侵。在運(yùn)維管理方面，缺乏預(yù)警機(jī)制，無(wú)法提前判斷系統(tǒng)潛在威脅等。

2.2.2建設(shè)整改方案。

根據(jù)差距分析情況，結(jié)合醫(yī)院信息系統(tǒng)安全實(shí)際需求和建設(shè)目標(biāo)，著重于保證業(yè)務(wù)的連續(xù)性與數(shù)據(jù)隱私方面，滿足于臨床的實(shí)際需求，避免資金投入的浪費(fèi)、起不到實(shí)際效果。整改方案制訂應(yīng)遵循以下原則：安全技術(shù)和安全管理相結(jié)合，技術(shù)作保障，管理是更好的落實(shí)安全措施；從安全區(qū)域邊界、安全計(jì)算環(huán)境和安全通信網(wǎng)絡(luò)進(jìn)行三維防護(hù)，建立安全管理中心[6]。方案設(shè)計(jì)完成后，應(yīng)組織專家或經(jīng)過(guò)第三方測(cè)評(píng)機(jī)構(gòu)進(jìn)行評(píng)審，以保證方案的可用性。整改方案實(shí)施。實(shí)施過(guò)程中應(yīng)注意技術(shù)與管理相結(jié)合，并根據(jù)實(shí)際情況適當(dāng)調(diào)整安全措施，提高整體保護(hù)水平。我院整改方案是先由醫(yī)院內(nèi)部自查，再邀請(qǐng)等級(jí)測(cè)評(píng)公司進(jìn)行預(yù)測(cè)評(píng)，結(jié)合醫(yī)院實(shí)際最終形成的方案。網(wǎng)絡(luò)技術(shù)人員熟悉系統(tǒng)現(xiàn)狀，易于發(fā)現(xiàn)潛在安全威脅，所以醫(yī)院要先自查，對(duì)自身安全進(jìn)行全面了解。等級(jí)測(cè)評(píng)公司派專業(yè)安全人員進(jìn)駐醫(yī)院，經(jīng)過(guò)與醫(yī)院技術(shù)人員溝通，利用安全工具進(jìn)行測(cè)試，可以形成初步的整改報(bào)告，對(duì)我院安全整改具有指導(dǎo)意義。

2.3開(kāi)展等級(jí)保護(hù)測(cè)評(píng)[7]。

下一步工作就是開(kāi)展等級(jí)測(cè)評(píng)。在測(cè)評(píng)機(jī)構(gòu)的選擇上，首先要查看其是否具有“DICP”認(rèn)證，有沒(méi)有在當(dāng)?shù)毓膊块T進(jìn)行備案，還可以到中國(guó)信息安全等級(jí)保護(hù)網(wǎng)站進(jìn)行核實(shí)。測(cè)評(píng)周期一般為1至2月，其測(cè)評(píng)流程如下。

2.3.1測(cè)評(píng)準(zhǔn)備階段。

醫(yī)院與測(cè)評(píng)機(jī)構(gòu)共同成立項(xiàng)目領(lǐng)導(dǎo)小組，制定工作任務(wù)與測(cè)評(píng)計(jì)劃等前期準(zhǔn)備工作。項(xiàng)目啟動(dòng)前，為防止醫(yī)院信息泄露，還需要簽訂保密協(xié)議。項(xiàng)目啟動(dòng)后，測(cè)評(píng)機(jī)構(gòu)要進(jìn)行前期調(diào)研，主要是了解醫(yī)院信息系統(tǒng)的拓?fù)浣Y(jié)構(gòu)、設(shè)備運(yùn)行狀況、信息系統(tǒng)應(yīng)用情況及安全管理等情況，然后再選擇相應(yīng)的測(cè)評(píng)工具和文檔。在測(cè)評(píng)準(zhǔn)備階段，主要是做好組織機(jī)構(gòu)建設(shè)工作，配合等級(jí)測(cè)評(píng)公司人員的調(diào)查工作。

2.3.2測(cè)評(píng)方案編制階段。

測(cè)評(píng)內(nèi)容主要由測(cè)評(píng)對(duì)象與測(cè)評(píng)指標(biāo)來(lái)確定。我院測(cè)評(píng)對(duì)象包含三級(jí)的醫(yī)院信息系統(tǒng)、基礎(chǔ)網(wǎng)絡(luò)和二級(jí)的門戶網(wǎng)站。測(cè)評(píng)機(jī)構(gòu)要與醫(yī)院溝通，制定工具測(cè)試方法與測(cè)評(píng)指導(dǎo)書(shū)，編制測(cè)評(píng)方案。在此階段，主要工作由等級(jí)測(cè)評(píng)機(jī)構(gòu)來(lái)完成。

2.3.3現(xiàn)場(chǎng)測(cè)評(píng)階段。

在經(jīng)過(guò)實(shí)施準(zhǔn)備后，測(cè)評(píng)機(jī)構(gòu)要對(duì)上述控制項(xiàng)進(jìn)行逐一測(cè)評(píng)，大約需要1至2周，需要信息科人員密切配合與注意。為保障醫(yī)院業(yè)務(wù)正常開(kāi)展，測(cè)評(píng)工作應(yīng)盡量減少對(duì)業(yè)務(wù)工作的沖擊。當(dāng)需要占用服務(wù)器和網(wǎng)絡(luò)資源時(shí)應(yīng)避免業(yè)務(wù)高峰期，可以選擇下班時(shí)間或晚上。為避免對(duì)現(xiàn)有業(yè)務(wù)造成影響，測(cè)評(píng)工具應(yīng)在接入前進(jìn)行測(cè)試，同時(shí)要做好應(yīng)急預(yù)案準(zhǔn)備，一旦影響醫(yī)院業(yè)務(wù)，應(yīng)立即啟動(dòng)應(yīng)急預(yù)案[8]。在對(duì)209條控制項(xiàng)進(jìn)行測(cè)評(píng)后應(yīng)進(jìn)行結(jié)果確認(rèn)，并將資料歸還醫(yī)院。該階段是從真實(shí)情況中了解信息系統(tǒng)全面具體的主要工作，也是技術(shù)人員比較辛苦的階段。除了要密切配合測(cè)評(píng)，還不能影響醫(yī)院業(yè)務(wù)開(kāi)展，除非必要，不然安全測(cè)試工作必須在夜間進(jìn)行。

2.3.4報(bào)告編制階段。

通過(guò)判定測(cè)評(píng)單項(xiàng)，測(cè)評(píng)機(jī)構(gòu)對(duì)單項(xiàng)測(cè)評(píng)結(jié)果進(jìn)行整理，逐項(xiàng)分析，最終得出整體測(cè)評(píng)報(bào)告。測(cè)評(píng)報(bào)告包含了醫(yī)院信息安全存在的潛在威脅點(diǎn)、整改建議與最終測(cè)評(píng)結(jié)果[9]。對(duì)于公安機(jī)關(guān)來(lái)講，醫(yī)院能否通過(guò)等級(jí)測(cè)評(píng)的主要標(biāo)準(zhǔn)就是測(cè)評(píng)結(jié)果。因此，測(cè)評(píng)報(bào)告的結(jié)果至關(guān)重要。測(cè)評(píng)結(jié)果分為：不符合、部分符合、全部符合。有的測(cè)評(píng)機(jī)構(gòu)根據(jù)單項(xiàng)測(cè)評(píng)結(jié)果進(jìn)行打分，最后給出總分，以分值來(lái)判定是否通過(guò)測(cè)評(píng)。為得到理想測(cè)評(píng)結(jié)果，需要醫(yī)院落實(shí)安全整改方案。

2.4安全運(yùn)維。

我們必須清醒地認(rèn)識(shí)到，實(shí)施安全等級(jí)保護(hù)是一項(xiàng)長(zhǎng)期工作，它不僅要在信息化建設(shè)規(guī)劃中考慮，還要在日常運(yùn)維管理中重視，是不斷循環(huán)的過(guò)程。按照等級(jí)保護(hù)制度要求，信息系統(tǒng)等級(jí)保護(hù)級(jí)別定為三級(jí)的三甲醫(yī)院每年要自查一次，還要邀請(qǐng)測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)評(píng)并進(jìn)行整改，監(jiān)管部門每年要抽查一次。因此，醫(yī)院要按照PDCA的循環(huán)工作機(jī)制，不斷改進(jìn)安全技術(shù)與管理上，完善安全措施，更好地保障醫(yī)院信息系統(tǒng)持續(xù)穩(wěn)定運(yùn)行[10]。

三、結(jié)語(yǔ)

醫(yī)院信息安全工作是信息化建設(shè)的一部分，是一項(xiàng)長(zhǎng)期的系統(tǒng)工程，需要分批分期的循序改建。還要結(jié)合醫(yī)院實(shí)際，考慮安全產(chǎn)品的實(shí)用性，不能盲目的進(jìn)行投資。醫(yī)院通過(guò)實(shí)施等級(jí)保護(hù)工作，可以有效增強(qiáng)網(wǎng)絡(luò)與信息系統(tǒng)整體安全性，有力保障醫(yī)院各項(xiàng)業(yè)務(wù)的持續(xù)開(kāi)展，適應(yīng)醫(yī)院信息化不斷發(fā)展的需求。

作者：王磊 單位：蚌埠醫(yī)學(xué)院第二附屬醫(yī)院

參考文獻(xiàn)

[1]公安部,國(guó)家保密局,國(guó)家密碼管理局,國(guó)務(wù)院信息化辦公室文件.關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)（公通字[2004]66號(hào)）[R],2004-9-15.

[2]GB/T22240-2008．信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南[S],2008-06-19.

[3]GB/T25058-2010．信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南[S],2010-09-02.

[4]GB/T22239-2008．信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S],2008-06-19.

[5]魏世杰.醫(yī)院信息安全等級(jí)保護(hù)三級(jí)建設(shè)思路[J].科技傳播,2013,5(99):208-209.

[6]張濱.構(gòu)建醫(yī)院信息安全等級(jí)保護(hù)縱深防護(hù)體系[J].信息通信,2014(141):148-149.

[7]GB/T28449-2012.信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南[S],2012-06-29.

[8]姚紅磊,楊文.三級(jí)系統(tǒng)信息安全等級(jí)保護(hù)測(cè)評(píng)指標(biāo)體系研究[J].鐵路計(jì)算機(jī)應(yīng)用,2015,24(2):59-61.

第6篇：信息安全服務(wù)評(píng)估報(bào)告范文

【關(guān)鍵詞】風(fēng)險(xiǎn)管理；建立背景；風(fēng)險(xiǎn)評(píng)估；風(fēng)險(xiǎn)處置；批準(zhǔn)監(jiān)督；監(jiān)控審查；溝通咨詢；系統(tǒng)生命周期

當(dāng)今我們是如何看待網(wǎng)絡(luò)與信息化？對(duì)個(gè)人，人需要信息化還是信息化“綁架”人？對(duì)企事業(yè)單位和社會(huì)團(tuán)體，組織依賴信息化還是信息化成就組織？對(duì)經(jīng)濟(jì)發(fā)展，經(jīng)濟(jì)發(fā)展帶動(dòng)了信息技術(shù)還是信息技術(shù)促進(jìn)了經(jīng)濟(jì)發(fā)展？對(duì)社會(huì)穩(wěn)定，信息化的發(fā)展對(duì)社會(huì)穩(wěn)定的影響是正面的還是負(fù)面的？對(duì)國(guó)家安全，信息化是國(guó)家安全的利器還是禍害？沒(méi)有標(biāo)準(zhǔn)答案，但值得思考。檢察業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)管理的內(nèi)容有哪些呢？我們作了以下的探討：

1.風(fēng)險(xiǎn)管理的基本架構(gòu)與概念

1.1 風(fēng)險(xiǎn)管理的基本架構(gòu)（如圖1-1所示）

1.2 風(fēng)險(xiǎn)管理工作內(nèi)容

1.2.1 風(fēng)險(xiǎn)管理工作主要內(nèi)容有：建立背景、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處置、批準(zhǔn)監(jiān)督、監(jiān)控審查、溝通咨詢（如圖1-2所示）。

1.2.2 系統(tǒng)生命周期中的風(fēng)險(xiǎn)管理：掌握系統(tǒng)規(guī)劃階段的風(fēng)險(xiǎn)管理工作；掌握系統(tǒng)設(shè)計(jì)階段的風(fēng)險(xiǎn)管理工作；掌握系統(tǒng)實(shí)施階段的風(fēng)險(xiǎn)管理工作；掌握系統(tǒng)運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)管理工作；掌握系統(tǒng)廢棄階段的風(fēng)險(xiǎn)管理工作（如圖1-3所示）。

信息安全風(fēng)險(xiǎn)管理是信息安全保障工作中的一項(xiàng)基礎(chǔ)性工作，是需要貫穿信息系統(tǒng)生命周期，持續(xù)進(jìn)行的工作。我們的檢察業(yè)務(wù)系統(tǒng)是順應(yīng)信息化發(fā)展及業(yè)務(wù)需求的實(shí)際情況，經(jīng)過(guò)檢察系統(tǒng)多部門合作開(kāi)發(fā)的符合全國(guó)檢察業(yè)務(wù)需求的背景下建立的。那么我們應(yīng)該要掌握一套完善的管理方式去做好這件事。那就是要學(xué)會(huì)風(fēng)險(xiǎn)管理運(yùn)用好風(fēng)險(xiǎn)管理的實(shí)質(zhì)內(nèi)容。

1.3 相關(guān)概念

1.3.1 通用風(fēng)險(xiǎn)管理定義是指如何在一個(gè)肯定有風(fēng)險(xiǎn)的環(huán)境里把風(fēng)險(xiǎn)減至最低的管理過(guò)程。風(fēng)險(xiǎn)管理包括對(duì)風(fēng)險(xiǎn)的量度、評(píng)估和應(yīng)變策略。理想的風(fēng)險(xiǎn)管理，是一連串排好優(yōu)先次序的過(guò)程，使引致最大損失及最可能發(fā)生的事情優(yōu)先處理、而相對(duì)風(fēng)險(xiǎn)較低的事情則押后處理。

1.3.2 檢察業(yè)務(wù)系統(tǒng)信息安全工作為什么需要風(fēng)險(xiǎn)管理方式？

常見(jiàn)問(wèn)題：安全投資逐年增加，但看不到收益；按照國(guó)家要求或行業(yè)要求開(kāi)展信息安全工作，但安全事件仍出現(xiàn)；IT安全需求很多，有限的資金應(yīng)優(yōu)先撥向哪個(gè)領(lǐng)域；當(dāng)了CIO，時(shí)刻擔(dān)心系統(tǒng)出事，無(wú)法預(yù)見(jiàn)可能會(huì)出什么事。

問(wèn)題根源淺析：沒(méi)有根據(jù)風(fēng)險(xiǎn)優(yōu)先級(jí)做安全投資規(guī)劃，沒(méi)有抓住主要矛盾，導(dǎo)致有限資金的有效利用率低；沒(méi)有根據(jù)企業(yè)自身安全需求部署安全控制措施，沒(méi)有突出控制高風(fēng)險(xiǎn)。決策者沒(méi)有看到安全投資收益報(bào)告，資金劃撥無(wú)參考依據(jù)。沒(méi)有殘余風(fēng)險(xiǎn)清單，在什么條件可被觸發(fā)，如何做好控制。總的來(lái)說(shuō)可以概括為以下三點(diǎn)：（1）信息安全風(fēng)險(xiǎn)和事件不可能完全避免，沒(méi)有絕對(duì)的安全。（2）信息安全是高技術(shù)的對(duì)抗，有別于傳統(tǒng)安全，呈現(xiàn)擴(kuò)散速度快、難控制等特點(diǎn)。（3）因此管理信息安全必須以風(fēng)險(xiǎn)管理的方式，關(guān)鍵在于如何控制、化解和規(guī)避風(fēng)險(xiǎn)，而不是完全消除風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)管理是信息安全保障工作有效工作方式。好的風(fēng)險(xiǎn)管理過(guò)程可以讓機(jī)構(gòu)以最具有成本效益的方式運(yùn)行，并且使已知的風(fēng)險(xiǎn)維持在可接受的水平。好的風(fēng)險(xiǎn)管理過(guò)程使組織可以用一種一致的、條理清晰的方式來(lái)組織有限的資源并確定優(yōu)先級(jí)，更好地管理風(fēng)險(xiǎn)。而不是將保貴的資源用于解決所有可能的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)管理是一個(gè)持續(xù)的PDCA管理過(guò)程，即計(jì)劃-做-檢查-執(zhí)行循環(huán)的管理過(guò)程。也可以這樣理解，在全國(guó)使用統(tǒng)一的檢察業(yè)務(wù)系統(tǒng)，做需求分析計(jì)劃組織開(kāi)發(fā)業(yè)務(wù)系統(tǒng)--全國(guó)各省市部分基層院試運(yùn)行使用--檢查業(yè)務(wù)系統(tǒng)的可行性及需要完善的報(bào)告--執(zhí)行需要完善的地方繼續(xù)開(kāi)發(fā)完善。一個(gè)持續(xù)的不斷完善的管理過(guò)程。

在全國(guó)使用統(tǒng)一的檢察業(yè)務(wù)系統(tǒng)，也就會(huì)出現(xiàn)數(shù)據(jù)大集中，數(shù)據(jù)大集中天生的脆弱性就是數(shù)據(jù)集中的銷毀或丟失，這就是它與生俱來(lái)的風(fēng)險(xiǎn)，那么我們認(rèn)識(shí)了這一點(diǎn)，就應(yīng)該采用相應(yīng)的技術(shù)措施來(lái)控制風(fēng)險(xiǎn)。什么是信息安全風(fēng)險(xiǎn)管理？了解風(fēng)險(xiǎn)+控制風(fēng)險(xiǎn)=管理風(fēng)險(xiǎn)。定義一：GB/Z 24364《信息安全風(fēng)險(xiǎn)管理指南》指：信息安全風(fēng)險(xiǎn)管理是識(shí)別、控制、消除或最小化可能影響系統(tǒng)資源的不確定因素的過(guò)程。定義二：在組織機(jī)構(gòu)內(nèi)部識(shí)別、優(yōu)化、管理風(fēng)險(xiǎn)，使風(fēng)險(xiǎn)降低到可接受水平的過(guò)程。

1.3.3 正確的風(fēng)險(xiǎn)管理方法是前瞻性風(fēng)險(xiǎn)管理加反應(yīng)性風(fēng)險(xiǎn)管理。

（1）前瞻性風(fēng)險(xiǎn)管理：評(píng)估風(fēng)險(xiǎn)、實(shí)施風(fēng)險(xiǎn)決策、風(fēng)險(xiǎn)控制、評(píng)定風(fēng)險(xiǎn)管理的有效性。（2）反應(yīng)性風(fēng)險(xiǎn)管理：保護(hù)人身安全、遏制損害、評(píng)估損害、確定損害部位、修復(fù)損害部位、審查響應(yīng)過(guò)程并更新安全策略。風(fēng)險(xiǎn)管理最佳實(shí)踐。簡(jiǎn)單的例子：流行性感冒是一種致命的呼吸道疾病，美國(guó)每年都會(huì)有數(shù)以百萬(wàn)計(jì)的感染者。這些感染者中，至少有100，000人必須入院治療，并且約有36，000人死亡。您可能會(huì)選擇通過(guò)等待以確定您是否受到感染，如果確實(shí)受到感染，則采用服藥治療這種方式來(lái)治療疾病。此外，您也可以選擇在流行性感冒病發(fā)季節(jié)開(kāi)始之前接種疫苗。二者相結(jié)合才是最佳風(fēng)險(xiǎn)管理方法。

1.3.4 全國(guó)使用統(tǒng)一的檢察業(yè)務(wù)系信息安全風(fēng)險(xiǎn)管理的目標(biāo)是它能做好：保密性、完善性、可用性、真實(shí)性、抗抵賴性。GB/T 20984的定義，信息安全風(fēng)險(xiǎn)：人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對(duì)組織造成的影響。信息安全風(fēng)險(xiǎn)是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失或損害的可能性。信息安全風(fēng)險(xiǎn)是指信息資產(chǎn)的保密性、完整性和可用性遭到破壞的可能性。信息安全風(fēng)險(xiǎn)只考慮那些對(duì)組織有負(fù)面影響的事件。

2.風(fēng)險(xiǎn)管理的工作內(nèi)容

2.1 背景建立是信息安全風(fēng)險(xiǎn)管理的第一步驟，確定風(fēng)險(xiǎn)管理的對(duì)象和范圍，確立實(shí)施風(fēng)險(xiǎn)管理的準(zhǔn)備，進(jìn)行相關(guān)信息的調(diào)查和分析。風(fēng)險(xiǎn)管理準(zhǔn)備：確定對(duì)象、組建團(tuán)隊(duì)、制定計(jì)劃、獲得支持。信息系統(tǒng)調(diào)查：信息系統(tǒng)的業(yè)務(wù)目標(biāo)、技術(shù)和管理上的特點(diǎn)。信息系統(tǒng)分析：信息系統(tǒng)的體系結(jié)構(gòu)、關(guān)鍵要素。信息安全分析：分析安全要求、分析安全環(huán)境。如圖2-1所示。

2.2 信息安全風(fēng)險(xiǎn)評(píng)估就是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施；為防范和化解信息安全風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制在可接受的水平，從而最大限度地保障信息安全提供科學(xué)依據(jù)。

信息系統(tǒng)的安全風(fēng)險(xiǎn)信息是動(dòng)態(tài)變化的，只有動(dòng)態(tài)的信息安全評(píng)估才能發(fā)現(xiàn)和跟蹤最新的安全風(fēng)險(xiǎn)。所以信息安全評(píng)估是一個(gè)長(zhǎng)期持續(xù)的工作，通常應(yīng)該每隔1-3年就進(jìn)行一次全面安全風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估是分析確定風(fēng)險(xiǎn)的過(guò)程。風(fēng)險(xiǎn)評(píng)估的目的是控制風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的起點(diǎn)和基礎(chǔ)環(huán)節(jié)。風(fēng)險(xiǎn)管理是在倡導(dǎo)適度安全。

2.3 風(fēng)險(xiǎn)處理是為了將風(fēng)險(xiǎn)始終控制在可接受的范圍內(nèi)?，F(xiàn)存風(fēng)險(xiǎn)判斷：判斷信息系統(tǒng)中哪些風(fēng)險(xiǎn)可以接受，哪些不可以。處理目標(biāo)確認(rèn)：不可接受的風(fēng)險(xiǎn)需要控制到怎樣的程度。處理措施選擇：選擇風(fēng)險(xiǎn)處理方式，確定風(fēng)險(xiǎn)控制措施。處理措施實(shí)施：制定具體安全方案，部署控制措施。常用的四類風(fēng)險(xiǎn)處置方法如下：

2.3.1 減低風(fēng)險(xiǎn)：通過(guò)對(duì)面臨風(fēng)險(xiǎn)的資產(chǎn)采取保護(hù)措施來(lái)降低風(fēng)險(xiǎn)。首先應(yīng)當(dāng)考慮的風(fēng)險(xiǎn)處置措施，通常在安全投入小于負(fù)面影響價(jià)值的情況下采用。保護(hù)措施可以從構(gòu)成風(fēng)險(xiǎn)的五個(gè)方面（即威脅源、威脅行為、脆弱性、資產(chǎn)和影響）來(lái)降低風(fēng)險(xiǎn)。減低風(fēng)險(xiǎn)辦法：減少威脅源：采用法律的手段制裁計(jì)算機(jī)犯罪，發(fā)揮法律的威懾作用，從而有效遏制威脅源的動(dòng)機(jī)；減低威脅能力：采取身份認(rèn)證措施，從而抵制身份假冒這種威脅行為的能力；減少脆弱性：及時(shí)給系統(tǒng)打補(bǔ)丁，關(guān)閉無(wú)用的網(wǎng)絡(luò)服務(wù)端口，從而減少系統(tǒng)的脆弱性，降低被利用的可能性；防護(hù)資產(chǎn)：采用各種防護(hù)措施，建立資產(chǎn)的安全域，從而保證資產(chǎn)不受侵犯，其價(jià)值得到保持；降低負(fù)面影響：采取容災(zāi)備份、應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)計(jì)劃等措施，從而減少安全事件造成的影響程度。

2.3.2 轉(zhuǎn)移風(fēng)險(xiǎn)：通過(guò)將面臨風(fēng)險(xiǎn)的資產(chǎn)或其價(jià)值轉(zhuǎn)移到更安全的地方來(lái)避免或降低風(fēng)險(xiǎn)。通常只有當(dāng)風(fēng)險(xiǎn)不能被降低或避免、且被第三方（被轉(zhuǎn)嫁方）接受時(shí)才被采用。一般用于那些低概率、但一旦風(fēng)險(xiǎn)發(fā)生時(shí)會(huì)對(duì)組織產(chǎn)生重大影響的風(fēng)險(xiǎn)。在本機(jī)構(gòu)不具備足夠的安全保障的技術(shù)能力時(shí)，將信息系統(tǒng)的技術(shù)體系（即信息載體部分）外包給滿足安全保障要求的第三方機(jī)構(gòu)，從而避免技術(shù)風(fēng)險(xiǎn)。通過(guò)給昂貴的設(shè)備上保險(xiǎn)，將設(shè)備損失的風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)公司，從而降低資產(chǎn)價(jià)值的損失。

2.4 批準(zhǔn)監(jiān)督。批準(zhǔn)：是指機(jī)構(gòu)的決策層依據(jù)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理的結(jié)果是否滿足信息系統(tǒng)的安全要求，做出是否認(rèn)可風(fēng)險(xiǎn)管理活動(dòng)的決定。監(jiān)督：是指檢查機(jī)構(gòu)及其信息系統(tǒng)以及信息安全相關(guān)的環(huán)境有無(wú)變化，監(jiān)督變化因素是否有可能引入新風(fēng)險(xiǎn)。

2.5 監(jiān)控審查的意義，監(jiān)控與審查可以及時(shí)發(fā)現(xiàn)已經(jīng)出現(xiàn)或即將出現(xiàn)的變化、偏差和延誤等問(wèn)題，并采取適當(dāng)?shù)拇胧┻M(jìn)行控制和糾正，從而減少因此造成的損失，保證信息安全風(fēng)險(xiǎn)管理主循環(huán)的有效性。

3.安全風(fēng)險(xiǎn)評(píng)估實(shí)踐與國(guó)家相關(guān)政策

3.1 國(guó)家對(duì)開(kāi)展風(fēng)險(xiǎn)評(píng)估工作的政策要求

3.1.1 信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)）中明確提出：“要重視信息安全風(fēng)險(xiǎn)評(píng)估工作，對(duì)網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護(hù)措施等進(jìn)行分析評(píng)估，綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、程度和面臨的信息安全風(fēng)險(xiǎn)等因素，進(jìn)行相應(yīng)等級(jí)的安全建設(shè)和管理”

3.1.2 《國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組〈關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)〉》（國(guó)信辦【2006】5號(hào)文）中明確規(guī)定了風(fēng)險(xiǎn)評(píng)估工作的相關(guān)要求：風(fēng)險(xiǎn)評(píng)估的基本內(nèi)容和原則；風(fēng)險(xiǎn)評(píng)估工作的基本要求；開(kāi)展風(fēng)險(xiǎn)評(píng)估工作的有關(guān)安排。

3.2 《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》的實(shí)施要求

3.2.1 信息安全風(fēng)險(xiǎn)評(píng)估工作應(yīng)當(dāng)貫穿信息系統(tǒng)全生命周期。在信息系統(tǒng)規(guī)劃設(shè)計(jì)階段，通過(guò)信息安全風(fēng)險(xiǎn)評(píng)估工作，可以明確信息系統(tǒng)的安全需求及其安全目標(biāo)，有針對(duì)性地制定和部署安全措施，從而避免產(chǎn)生欠保護(hù)或過(guò)保護(hù)的情況。

3.2.2 在信息系統(tǒng)建設(shè)完成驗(yàn)收時(shí)，通過(guò)風(fēng)險(xiǎn)評(píng)估工作可以檢驗(yàn)信息系統(tǒng)是否實(shí)現(xiàn)了所設(shè)計(jì)的安全功能，是否滿足了信息系統(tǒng)的安全需求并達(dá)到預(yù)期的安全目標(biāo)。

3.3 《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》的管理要求

3.3.1 信息安全風(fēng)險(xiǎn)評(píng)估工作敏感性強(qiáng)，涉及系統(tǒng)的關(guān)鍵資產(chǎn)和核心信息，一旦處理不當(dāng)，反而可能引入新的風(fēng)險(xiǎn)，《意見(jiàn)》強(qiáng)調(diào)，必須高度重視信息安全風(fēng)險(xiǎn)評(píng)估的組織管理工作。

3.3.2 為規(guī)避由于風(fēng)險(xiǎn)評(píng)估工作而引入新的安全風(fēng)險(xiǎn)，《意見(jiàn)》提出以下要求：（1）參與信息安全風(fēng)險(xiǎn)評(píng)估工作的單位及其有關(guān)人員必須遵守國(guó)家有關(guān)信息安全的法律法規(guī)，并承擔(dān)相應(yīng)的責(zé)任和義務(wù)。（2）風(fēng)險(xiǎn)評(píng)估工作的發(fā)起方必須采取相應(yīng)保密措施，并與參與評(píng)估的有關(guān)單位或人員簽訂具有法律約束力的保密協(xié)議。（3）對(duì)關(guān)系國(guó)計(jì)民生和社會(huì)穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作必須遵循國(guó)家的有關(guān)規(guī)定進(jìn)行。

3.3.3 加快制定和完善信息安全風(fēng)險(xiǎn)評(píng)估有關(guān)技術(shù)標(biāo)準(zhǔn)，盡快完善并頒布《信息安全風(fēng)險(xiǎn)評(píng)估指南》和《信息安全風(fēng)險(xiǎn)管理指南》等國(guó)家標(biāo)準(zhǔn)，各行業(yè)主管部門也可根據(jù)本行業(yè)特點(diǎn)制定相應(yīng)的技術(shù)規(guī)范。

3.4 2071號(hào)文件對(duì)電子政務(wù)提出要求

為落實(shí)《國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目管理暫行辦法》（發(fā)改委[2007]55號(hào)令）對(duì)風(fēng)險(xiǎn)評(píng)估的要求，發(fā)改高技【2008】2071號(hào)文件《關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》提出了具體要求：（相當(dāng)于“信息安全審計(jì)”）電子政務(wù)工程建設(shè)項(xiàng)目應(yīng)開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作；評(píng)估的主要內(nèi)容應(yīng)包含：資產(chǎn)、威脅、脆弱性、已有的安全措施和殘余風(fēng)險(xiǎn)的影響等；項(xiàng)目建設(shè)單位應(yīng)在試運(yùn)行期間開(kāi)展風(fēng)險(xiǎn)評(píng)估工作，作為項(xiàng)目驗(yàn)收的重要依據(jù)；項(xiàng)目驗(yàn)收申請(qǐng)時(shí)，應(yīng)提交信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告；系統(tǒng)投入運(yùn)行后，應(yīng)定期開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估。

參考文獻(xiàn)

[1]信息安全測(cè)評(píng)中心.信息安全保障[Z].

第7篇：信息安全服務(wù)評(píng)估報(bào)告范文

巧合的是，當(dāng)天有媒體報(bào)道了我國(guó)30省份至少有275位艾滋病感染者個(gè)人信息遭泄露的事件。犯罪分子在詐騙電話中能準(zhǔn)確地描述出病患的個(gè)人信息，包括真實(shí)姓名、身份證號(hào)、聯(lián)系方式、戶籍信息、確診時(shí)間、隨訪的醫(yī)院或區(qū)縣疾控等等，并謊稱能為病患辦理補(bǔ)助而需要收取不菲的手續(xù)費(fèi)。中國(guó)疾病預(yù)防控制中心相關(guān)負(fù)責(zé)人于7月17日表示，國(guó)家艾滋病感染者相關(guān)信息系統(tǒng)被列為國(guó)家網(wǎng)絡(luò)信息重點(diǎn)安全保護(hù)對(duì)象，目前已經(jīng)報(bào)案，將積極配合公安部門盡快破案。此事還引起了世界衛(wèi)生組織駐華代表處和聯(lián)合國(guó)艾滋病聯(lián)合規(guī)劃署駐華代表處的關(guān)注。7月18日，兩家代表處聯(lián)合發(fā)表聲明，強(qiáng)調(diào)“加強(qiáng)現(xiàn)有系統(tǒng)以杜絕類似信息入侵事件再次發(fā)生，至關(guān)重要”。

國(guó)家對(duì)于健康醫(yī)療大數(shù)據(jù)的安全十分重視，據(jù)統(tǒng)計(jì)，《意見(jiàn)》中，“安全”這個(gè)詞出現(xiàn)了33次。而此次疑似真實(shí)發(fā)生的醫(yī)療數(shù)據(jù)安全事件，成為“安全是核心基礎(chǔ)”的最佳注腳。

他山之石，可以攻玉

――英國(guó)健康醫(yī)療數(shù)據(jù)安全的審查和建議

不止我們，許多其他國(guó)家也發(fā)生了一系列事件，向全世界宣告了他們對(duì)健康醫(yī)療數(shù)據(jù)安全的關(guān)切。在英國(guó)，國(guó)家醫(yī)療服務(wù)體系（National Health Service， NHS）于2016年7月6日做出停止care.data健康醫(yī)療大數(shù)據(jù)平臺(tái)的決定中，“安全”即是重要原因之一。

在很大程度上，NHS決定關(guān)閉care.data，是基于7月6日的兩份評(píng)估報(bào)告。第一份報(bào)告《安全的數(shù)據(jù)，安全的醫(yī)療》（“Safe Data， Safe Care”）由英國(guó)醫(yī)療質(zhì)量委員會(huì)（Care Quality Commission，CQC）。醫(yī)療質(zhì)量委員會(huì)是英格蘭健康和社會(huì)醫(yī)療的獨(dú)立監(jiān)管機(jī)構(gòu)，其職責(zé)是監(jiān)控、檢查和評(píng)價(jià)醫(yī)療服務(wù)，促進(jìn)醫(yī)療服務(wù)符合標(biāo)準(zhǔn)規(guī)范以保證其質(zhì)量和安全。作為獨(dú)立第三方，CQC經(jīng)常地區(qū)、國(guó)家級(jí)的健康和社會(huì)醫(yī)療質(zhì)量報(bào)告。2015年9月，受英國(guó)衛(wèi)生大臣委托，CQC對(duì)NHS處理病人敏感數(shù)據(jù)過(guò)程的安全現(xiàn)狀進(jìn)行審查，并提出改進(jìn)數(shù)據(jù)安全的建議。

第二份報(bào)告《對(duì)數(shù)據(jù)安全、同意和選擇退出的審查》（“Review of Data Security， Consent and Opt-Outs”）是由英國(guó)“國(guó)家健康和醫(yī)療數(shù)據(jù)守護(hù)者”（National Data Guardian for Health and Care， NDG）。2015年9月，英國(guó)衛(wèi)生大臣也委托其與CQC緊密合作，共同提出新的數(shù)據(jù)安全標(biāo)準(zhǔn)、測(cè)評(píng)數(shù)據(jù)安全合規(guī)的新方法，以及獲取同意共享數(shù)據(jù)的新模式。在英國(guó)，NDG由衛(wèi)生大臣任命，其主要職責(zé)是確保公眾能夠信任醫(yī)療健康系統(tǒng)將保護(hù)個(gè)人信息，以及個(gè)人信息將被用于提高健康醫(yī)療水平。

CQC和NDG在對(duì)533起數(shù)據(jù)安全事故調(diào)查后發(fā)現(xiàn)，大多數(shù)事故與紙質(zhì)的醫(yī)療記錄相關(guān)，且80%到90%的數(shù)據(jù)安全事故是因?yàn)楣ぷ魅藛T的習(xí)慣無(wú)意之中引起的，比如點(diǎn)擊了不安全的鏈接、丟失了存儲(chǔ)數(shù)據(jù)的介質(zhì)等。但是隨著醫(yī)療信息系統(tǒng)的普及、數(shù)據(jù)的逐步集中化及對(duì)公眾開(kāi)放訪問(wèn)入口，如果不提升安全防護(hù)水平，更嚴(yán)重、更大規(guī)模數(shù)據(jù)泄露的風(fēng)險(xiǎn)將會(huì)增加。綜合CQC和NDG的報(bào)告，英國(guó)NHS數(shù)據(jù)安全工作中存在以下問(wèn)題：

首先，雖然很多機(jī)構(gòu)都建立了數(shù)據(jù)安全方面的策略與規(guī)程，但并沒(méi)有在日常工作中得到有效實(shí)施，很多機(jī)構(gòu)只依賴策略和規(guī)程，而不是通過(guò)檢測(cè)驗(yàn)證系統(tǒng)是否足夠安全，也未要求其供應(yīng)商也遵循同樣的管理措施。

其次，NHS的絕大部分工作人員認(rèn)可數(shù)據(jù)安全的重要性，但是培訓(xùn)質(zhì)量參差不齊，有些機(jī)構(gòu)培訓(xùn)覆蓋面不夠，未涉及合同商、數(shù)據(jù)共享方、臨時(shí)員工等，有些機(jī)構(gòu)未將安全事故經(jīng)驗(yàn)作為培訓(xùn)內(nèi)容的重要參考。

再次，機(jī)構(gòu)往往不清楚如何從目前存在的大量安全標(biāo)準(zhǔn)中選取合適的參考，許多機(jī)構(gòu)很少去學(xué)習(xí)其他機(jī)構(gòu)保護(hù)數(shù)據(jù)安全的做法，也很少請(qǐng)外部第三方機(jī)構(gòu)做專業(yè)的安全測(cè)評(píng)。

針對(duì)上述問(wèn)題，CQC和NDG提出的建議簡(jiǎn)要概括如下：第一，每個(gè)機(jī)構(gòu)的領(lǐng)導(dǎo)應(yīng)該明確數(shù)據(jù)安全的責(zé)任人和其職責(zé)，類似于組織醫(yī)療事務(wù)和財(cái)務(wù)的管理和問(wèn)責(zé)制度，包括建立有效的內(nèi)審機(jī)制，必要時(shí)進(jìn)行外審以驗(yàn)證安全措施有效性，對(duì)惡意類數(shù)據(jù)安全事件進(jìn)行嚴(yán)厲處罰等；第二，所有的工作人員應(yīng)該獲得足夠的資源，包括正確的信息、工具、培訓(xùn)等，以便于他們履行數(shù)據(jù)安全處理和共享的職責(zé)；第三，IT系統(tǒng)和所有的安全協(xié)議都應(yīng)該按照實(shí)際的病人治療過(guò)程和一線工作人員的需求進(jìn)行設(shè)計(jì)；第四，應(yīng)該按照新的數(shù)據(jù)標(biāo)準(zhǔn)要求設(shè)計(jì)自評(píng)估系統(tǒng)，并選取優(yōu)秀的案例供其他機(jī)構(gòu)進(jìn)行同步學(xué)習(xí)；第五，NHS應(yīng)該修改通用財(cái)務(wù)合同模板，確保各機(jī)構(gòu)能夠落實(shí)數(shù)據(jù)安全標(biāo)準(zhǔn)，地方機(jī)構(gòu)和供應(yīng)商簽署的合同也應(yīng)有相應(yīng)的條款，當(dāng)供應(yīng)商無(wú)法滿足安全要求時(shí)不應(yīng)與其續(xù)簽合同。

雖然NHS以及care.data計(jì)劃在數(shù)據(jù)安全管理方面受到詬病，但從以上審查結(jié)果中不難看出，英國(guó)作為健康和醫(yī)療大數(shù)據(jù)集中應(yīng)用的先行者，已經(jīng)在數(shù)據(jù)安全方面做了很多有價(jià)值的工作，比如配套的法律法規(guī)、標(biāo)準(zhǔn)規(guī)范，任命了專門的數(shù)據(jù)保護(hù)官員，建立了獨(dú)立的監(jiān)管和審計(jì)機(jī)構(gòu)，建立了數(shù)據(jù)安全風(fēng)險(xiǎn)管理的信息系統(tǒng)等。

但是，由于健康和醫(yī)療數(shù)據(jù)的高度敏感性，對(duì)其進(jìn)行集中存儲(chǔ)和管理后，一方面會(huì)引起惡意人員的高度關(guān)注，另一方面一旦發(fā)生數(shù)據(jù)泄露其影響面非常廣，對(duì)于每個(gè)病人來(lái)說(shuō)其后果很難挽回；因此，健康醫(yī)療數(shù)據(jù)的安全工作可謂難上加難，即便英國(guó)具備一定的基礎(chǔ)，其數(shù)據(jù)安全治理也未在一開(kāi)始取得理想的效果，但從近期頻繁的安全審查中可以看出，英國(guó)政府建立的數(shù)據(jù)安全監(jiān)督機(jī)構(gòu)、數(shù)據(jù)保護(hù)官等正在發(fā)揮積極作用，正視已出現(xiàn)的問(wèn)題并提出注重實(shí)效的解決方案，以重新贏回公眾的信任。

善治病者，必醫(yī)其受病之處

――我國(guó)健康醫(yī)療數(shù)據(jù)安全形勢(shì)嚴(yán)峻

早在2013年底，國(guó)家衛(wèi)生和計(jì)劃生育委員會(huì)就了《關(guān)于加快推進(jìn)人口健康信息化建設(shè)的指導(dǎo)意見(jiàn)》，提出在“十三五”期間將大力推動(dòng)全國(guó)人口健康信息大平臺(tái)的建設(shè)。從安全需求上來(lái)說(shuō)，這個(gè)信息平臺(tái)一是將承載全國(guó)13億公民的人口、健康、醫(yī)療等隱私信息，數(shù)據(jù)保密性要求高；二是將提供公民個(gè)人醫(yī)療保障、診療等信息化服務(wù)不能中斷，業(yè)務(wù)連續(xù)性要求高；三是將為國(guó)家衛(wèi)生計(jì)生行業(yè)未來(lái)發(fā)展提供決策依據(jù)，信息容錯(cuò)率要求高。然而目前，我國(guó)在健康醫(yī)療數(shù)據(jù)安全保障方面情況堪憂，行業(yè)整體安全態(tài)勢(shì)趨于嚴(yán)峻。主要問(wèn)題包括：

首先，行業(yè)合并導(dǎo)致底數(shù)不清。衛(wèi)生、計(jì)生行業(yè)合并時(shí)間并不算太長(zhǎng)，業(yè)務(wù)層面的整合已初步實(shí)現(xiàn)，但數(shù)據(jù)層面的整合尚屬起步階段，在實(shí)際執(zhí)行過(guò)程中易滋生死角盲區(qū)。從網(wǎng)上已公開(kāi)的醫(yī)療行業(yè)信息安全事件中不難發(fā)現(xiàn)，絕大多數(shù)安全事件的第一步突破點(diǎn)來(lái)自于安全管控體系的“法外之地”。

其次，行業(yè)信息安全人才與經(jīng)費(fèi)保障缺口較大。據(jù)不完全統(tǒng)計(jì)，醫(yī)療行業(yè)2015年整體信息化建設(shè)資金超過(guò)300億，但信息安全投入不足6億，占比不足2%，而對(duì)于有較高安全保障要求的行業(yè)，安全占比普遍超過(guò)10%；在人才隊(duì)伍方面，專業(yè)信息安全從業(yè)人員嚴(yán)重缺失，許多機(jī)構(gòu)甚至出現(xiàn)“身著白大褂的大夫在看病之余兼職管安全”的狀況。

再次，缺乏具備行業(yè)特色的信息安全指導(dǎo)框架。健康醫(yī)療行業(yè)特殊性較高，目前行業(yè)雖然已推行國(guó)家信息安全等級(jí)保護(hù)要求，但尚未建設(shè)具備行業(yè)業(yè)務(wù)特點(diǎn)的信息安全保障體系，也沒(méi)有專門的行業(yè)信息安全技術(shù)標(biāo)準(zhǔn)，不利于有針對(duì)性地開(kāi)展安全防護(hù)工作。

第四，行業(yè)網(wǎng)絡(luò)涉及面廣，不易管控。我國(guó)醫(yī)療衛(wèi)生機(jī)構(gòu)總數(shù)已超百萬(wàn)，以藥品方面為例，我國(guó)有6000多家化學(xué)制藥企業(yè)，藥品經(jīng)營(yíng)流通企業(yè)17000多家，而作為世界制藥大國(guó)的美國(guó)，才分別為200多家和50多家。超大規(guī)模、超復(fù)雜接入對(duì)構(gòu)建安全的衛(wèi)生計(jì)生網(wǎng)絡(luò)來(lái)說(shuō)，難度巨大。

另外，不易樹(shù)立行業(yè)信息安全標(biāo)桿。全國(guó)醫(yī)療信息化及軟件生產(chǎn)供應(yīng)商達(dá)數(shù)百家。以行業(yè)龍頭東軟集團(tuán)為例，其擁有的市場(chǎng)份額不足5%，離散化的分布導(dǎo)致安全的最佳實(shí)踐無(wú)法快速?gòu)?fù)制推廣，在現(xiàn)有保障能力下也很難做到“避輕就重”“抓大放小”。

第8篇：信息安全服務(wù)評(píng)估報(bào)告范文

【關(guān)鍵詞】電力 信息系統(tǒng) 安全 網(wǎng)絡(luò)技術(shù)

電力作為國(guó)民經(jīng)濟(jì)發(fā)展所需的主要能源保障之一，其信息系統(tǒng)的安全問(wèn)題是電力系統(tǒng)自動(dòng)化進(jìn)程中需要格外關(guān)注并解決的。就系統(tǒng)而言，其危險(xiǎn)源來(lái)源于內(nèi)部及外部?jī)煞矫?，所以，解決系統(tǒng)安全問(wèn)題也可從內(nèi)外兩方面來(lái)著手?；陔娏π畔⑾到y(tǒng)信息安全區(qū)別于其它系統(tǒng)的特殊性，結(jié)合當(dāng)前計(jì)算機(jī)安全技術(shù)的一些關(guān)鍵技術(shù)應(yīng)用，初步總結(jié)出幾大電力系統(tǒng)信息安全技術(shù)，供新建、改建、擴(kuò)建或已建電力系統(tǒng)更新參考。

1 安全系統(tǒng)構(gòu)建

電力行業(yè)屬于壟斷性行業(yè)，安全系統(tǒng)初始構(gòu)建是國(guó)電集團(tuán)的大信息網(wǎng)絡(luò)構(gòu)建的一部分，通常是在電力系統(tǒng)建設(shè)階段形成，國(guó)電集團(tuán)目前的信息網(wǎng)絡(luò)是由各省及省下面的各地市級(jí)網(wǎng)絡(luò)供電局所組成的一個(gè)大型廣域網(wǎng)，集團(tuán)及各省企業(yè)公司通過(guò)它來(lái)管理各種信息資源，各網(wǎng)絡(luò)之間利用分組交換以及數(shù)字網(wǎng)絡(luò)復(fù)接技術(shù)，相對(duì)獨(dú)立成為一個(gè)單獨(dú)的數(shù)據(jù)通信網(wǎng)絡(luò)。這種布局，能夠解決信息質(zhì)量及安全的初步要求，大體能夠保證數(shù)據(jù)信息及時(shí)可靠、完整有效。

2 安全硬件堡壘――防火墻技術(shù)

防火墻是內(nèi)網(wǎng)與外網(wǎng)信息數(shù)據(jù)互通的進(jìn)出口，其關(guān)鍵在于這個(gè)進(jìn)出口的唯一性，亦即“必經(jīng)之路”，所有的Internet訪問(wèn)均不可能繞過(guò)它而產(chǎn)生連接，為此，在此處加強(qiáng)技術(shù)力量保障安全的效力是顯而易見(jiàn)的。當(dāng)前的電力信息系統(tǒng)防火墻基本是有設(shè)置保護(hù)的，但是較普遍的是設(shè)置不夠保險(xiǎn)，最高級(jí)別的保密策略應(yīng)是拒絕一切未經(jīng)準(zhǔn)許的連接請(qǐng)求，于是，選擇“缺省全部關(guān)閉，按需求開(kāi)通的原則”是必須遵循的，同時(shí)，需要禁止遠(yuǎn)程協(xié)助等容易導(dǎo)致防火墻失控的各類危險(xiǎn)服務(wù)，如Telnet、NNTP、NFS等。此外，還可采取在不同安全區(qū)之間設(shè)置專用物理隔離墻的措施，使保護(hù)更加隱密，增加安全系數(shù)。

3 安全軟件―病毒防護(hù)技術(shù)

病毒往往是從漏洞處進(jìn)入系統(tǒng)的，這就要求電力信息系統(tǒng)網(wǎng)絡(luò)應(yīng)形成一個(gè)整體的防護(hù)罩，任何的缺漏都將使全局防護(hù)失效。服務(wù)器、工作站、主機(jī)、各用戶均應(yīng)完善殺毒軟件。網(wǎng)絡(luò)防毒系統(tǒng)可以采用C/S模式，首先，利用服務(wù)器網(wǎng)絡(luò)核心功能，在服務(wù)器端先行安裝殺毒軟件，然后派發(fā)到各工作站及用戶，客戶端安裝完軟件后，通過(guò)Internet與服務(wù)器聯(lián)成一體，并利用LiveUpdate（在線升級(jí)）功能，從免疫中心實(shí)時(shí)獲取最新的病毒碼信息，及時(shí)更新病毒代碼庫(kù)，根據(jù)需要選擇掃描方式，從而完成整個(gè)網(wǎng)絡(luò)的查殺布署工作。掃描方式可選自動(dòng)掃描或人工掃描、實(shí)時(shí)進(jìn)行或預(yù)定進(jìn)行、升級(jí)后掃描或開(kāi)機(jī)后掃描等。防護(hù)軟件可根據(jù)電力信息網(wǎng)系統(tǒng)特性與病毒軟件商聯(lián)合制作，不求最貴，但求最經(jīng)濟(jì)適用。由于病毒掃描進(jìn)程將使服務(wù)器性能降低，因此如采用預(yù)置掃描方式，建議將掃描時(shí)間設(shè)定在服務(wù)器訪問(wèn)率最低的夜間。

4 入侵檢測(cè)系統(tǒng)技術(shù)

為了應(yīng)對(duì)黑客的攻擊，入侵檢測(cè)系統(tǒng)作為一個(gè)功能強(qiáng)大的安全保障工具，應(yīng)推薦應(yīng)用于各電力企業(yè)，其采用先進(jìn)的攻擊防衛(wèi)技術(shù)，通過(guò)在不同的位置分布放置檢測(cè)監(jiān)控裝置，能夠最大限度地、有效地阻止各種類型的攻擊，特點(diǎn)鮮明，安全可靠。入侵檢測(cè)系統(tǒng)中心數(shù)據(jù)庫(kù)應(yīng)放置在DMZ區(qū)，內(nèi)網(wǎng)、各監(jiān)控引擎應(yīng)與中心隨時(shí)保持通訊，針對(duì)入侵反饋信息，通過(guò)預(yù)先設(shè)置好的安全策略啟動(dòng)相應(yīng)報(bào)警及防衛(wèi)程序。入侵檢測(cè)系統(tǒng)還可以在事后清楚地界定責(zé)任人和責(zé)任事件，為網(wǎng)絡(luò)管理人員提供強(qiáng)有力的保障。

5 安全技術(shù)管理優(yōu)化

首先，應(yīng)提高電力信息系統(tǒng)使用人員的風(fēng)險(xiǎn)認(rèn)識(shí)。電力信息系統(tǒng)使用人員不得從外網(wǎng)上隨意下載性質(zhì)不明的資料、軟件等，不得隨意修改系統(tǒng)密碼或是執(zhí)行有泄漏密碼可能的操作，確實(shí)應(yīng)進(jìn)行相關(guān)操作時(shí)，剛下載的資料、軟件應(yīng)第一時(shí)間進(jìn)行殺毒，盡最大可能地殺死可能攜帶的病毒，不給不法分子可乘之機(jī)。

其次，各類密碼設(shè)定和妥善管理。系統(tǒng)內(nèi)應(yīng)保證密碼的隱密性，杜絕使用默認(rèn)密碼、出廠密碼或者無(wú)密碼，不使用容易猜測(cè)的密碼。密碼要及時(shí)更新，特別是有人員調(diào)離時(shí)密碼一定要更新。密度強(qiáng)度應(yīng)以區(qū)別大小字的英文字母與阿拉伯?dāng)?shù)字、字符組合的形式設(shè)立。

再者，加強(qiáng)對(duì)系統(tǒng)安全的檢測(cè)管理。系統(tǒng)使用人員及安全管理人員應(yīng)定期對(duì)信息系統(tǒng)進(jìn)行檢測(cè)維護(hù)，包括檢查系統(tǒng)功能狀態(tài)、病毒庫(kù)更新?tīng)顟B(tài)、設(shè)備陳舊狀態(tài)、數(shù)據(jù)異常狀態(tài)等各類信息。重要文件應(yīng)養(yǎng)成加密及備份的習(xí)慣，對(duì)于文件安全，通過(guò)文件加密、信息摘要和訪問(wèn)控制等安全措施，來(lái)實(shí)現(xiàn)文件存儲(chǔ)和傳輸?shù)谋Ｃ芎屯暾砸螅?shí)現(xiàn)對(duì)文件訪問(wèn)的控制。對(duì)通信安全，采用數(shù)據(jù)加密、信息摘要和數(shù)字簽名等安全措施對(duì)通信過(guò)程中的信息進(jìn)行保護(hù)，實(shí)現(xiàn)數(shù)據(jù)在通信中的保密、完整和不可抵賴性安全要求。對(duì)遠(yuǎn)程接入安全，通過(guò)VPN技術(shù)，提高信息，如電子公文、MAIL等在傳輸過(guò)程中的保密性和安全性。數(shù)據(jù)的備份策略要合理，備份要及時(shí)，備份介質(zhì)保管要安全，要注意備份介質(zhì)的異地保存。

6 安全審計(jì)技術(shù)策略

可以模仿U盾、密保等認(rèn)證，結(jié)合密碼使用，通過(guò)電子、電話等多途徑的密碼保護(hù)安全問(wèn)題增加信息系統(tǒng)安全性。為了實(shí)現(xiàn)數(shù)據(jù)庫(kù)數(shù)據(jù)的安全，或是避免被入侵后更改數(shù)據(jù)，應(yīng)設(shè)置數(shù)據(jù)庫(kù)訪問(wèn)控制、存儲(chǔ)加密以及完整性檢驗(yàn)等功能。利用網(wǎng)絡(luò)隱患掃描系統(tǒng)生成詳細(xì)的安全評(píng)估報(bào)告，可對(duì)系統(tǒng)進(jìn)行形象的分析，審計(jì)系統(tǒng)運(yùn)行安全狀態(tài)，評(píng)判系統(tǒng)安全性能。

參考文獻(xiàn)

[1]唐亮.電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全的防護(hù)[J].供用電，2010.

[2]鐘捷.電力信息系統(tǒng)存儲(chǔ)安全需求及加密[J].技術(shù)研究，2009.

[3]張文軍.電力信息系統(tǒng)中的信息安全技術(shù)[J].科技與生活，2012.

[4]王寶義，張少敏.電力企業(yè)信息網(wǎng)絡(luò)系統(tǒng)的綜合安全策略[J].華北電力技術(shù)，2003 （4）.

[5]楚狂.網(wǎng)絡(luò)安全與防火墻技術(shù)[M].人民郵電出版社，2004.

[6]辛耀中，盧長(zhǎng)燕.電力系統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)技術(shù)體制分析[M].電力系統(tǒng)自動(dòng)化，2000.

第9篇：信息安全服務(wù)評(píng)估報(bào)告范文

【關(guān)鍵詞】安全風(fēng)險(xiǎn)；安全措施；風(fēng)險(xiǎn)評(píng)估報(bào)告

1.前言

建筑業(yè)是危險(xiǎn)性較大的行業(yè)之一，安全生產(chǎn)管理的任務(wù)十分艱巨，安全生產(chǎn)不僅關(guān)系到廣大群眾的根本利益，也關(guān)系到企業(yè)的形象，還關(guān)系到國(guó)家和民族的形象，甚至影響著社會(huì)的穩(wěn)定和發(fā)展。黨的十六屆五中全會(huì)確立了“安全生產(chǎn)”的指導(dǎo)原則，我國(guó)“十一五”發(fā)展規(guī)劃中首次提出了“安全發(fā)展”的新理念。所有這些表明，安全生產(chǎn)已成為生產(chǎn)經(jīng)營(yíng)活動(dòng)的基本保障，更是當(dāng)前建筑工程行業(yè)管理的首要目標(biāo)。

風(fēng)險(xiǎn)評(píng)估的目的是為了全面了解建設(shè)安全的總體安全狀況，并明確掌握系統(tǒng)中各資產(chǎn)的風(fēng)險(xiǎn)級(jí)別或風(fēng)險(xiǎn)值，從而為工程安全管理措施的制定提供參考。因此可以說(shuō)風(fēng)險(xiǎn)評(píng)估是建立安全管理體系（ISMS）的基礎(chǔ)，也是前期必要的工作。風(fēng)險(xiǎn)評(píng)估包括兩個(gè)過(guò)程：風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)[1][2]。風(fēng)險(xiǎn)分析是指系統(tǒng)化地識(shí)別風(fēng)險(xiǎn)來(lái)源和風(fēng)險(xiǎn)類型，風(fēng)險(xiǎn)評(píng)價(jià)是指按給出的風(fēng)險(xiǎn)標(biāo)準(zhǔn)估算風(fēng)險(xiǎn)水平，確定風(fēng)險(xiǎn)嚴(yán)重性。

2.風(fēng)險(xiǎn)評(píng)估模型與方法

風(fēng)險(xiǎn)評(píng)估安全要素主要包括資產(chǎn)、脆弱性、安全風(fēng)險(xiǎn)、安全措施、安全需求、殘余風(fēng)險(xiǎn)。在風(fēng)險(xiǎn)評(píng)估的過(guò)程中要對(duì)以上方面的安全要素進(jìn)行識(shí)別、分析。

2.1 資產(chǎn)識(shí)別與賦值

一個(gè)組織的信息系統(tǒng)是由各種資產(chǎn)組成，資產(chǎn)的自身價(jià)值與衍生價(jià)值決定信息系統(tǒng)的總體價(jià)值。資產(chǎn)的安全程度直接反映信息系統(tǒng)的安全水平。因此資產(chǎn)的價(jià)值是風(fēng)險(xiǎn)評(píng)估的對(duì)象。

本文的風(fēng)險(xiǎn)評(píng)估方法將資產(chǎn)主要分為硬件資產(chǎn)、軟件資產(chǎn)、文檔與數(shù)據(jù)、人力資源、信息服務(wù)等[1][2]。建設(shè)工程的資產(chǎn)主要體現(xiàn)在建筑產(chǎn)品、施工人員、施工機(jī)械等。

風(fēng)險(xiǎn)評(píng)估的第一步是界定ISMS的范圍，并盡可能識(shí)別該范圍內(nèi)對(duì)業(yè)務(wù)過(guò)程有價(jià)值的所有事物。

資產(chǎn)識(shí)別與賦值階段主要評(píng)價(jià)要素為{資產(chǎn)名稱、責(zé)任人、范圍描述、機(jī)密性值C、完整性值I、可用性值A(chǔ)、QC、QI、QA}。QC、QI、QA分別為保密性，完整性，可用性的權(quán)重，QC=C / （C+I+A），QI、QA類似。

2.2 識(shí)別重要資產(chǎn)

信息系統(tǒng)內(nèi)部的資產(chǎn)很多，但決定工程安全水平的關(guān)鍵資產(chǎn)是相對(duì)有限的，在風(fēng)險(xiǎn)評(píng)估中可以根據(jù)資產(chǎn)的機(jī)密性、完整性和可用性這三個(gè)安全屬性來(lái)確定資產(chǎn)的價(jià)值。

通常，根據(jù)實(shí)際經(jīng)驗(yàn)，三個(gè)安全屬性中最高的一個(gè)對(duì)最終的資產(chǎn)價(jià)值影響最大。換而言之，整體安全屬性的賦值并不隨著三個(gè)屬性值的增加而線性增加，較高的屬性值具有較大的權(quán)重。

在風(fēng)險(xiǎn)評(píng)估方法中使用下面的公式來(lái)計(jì)算資產(chǎn)價(jià)值：

資產(chǎn)價(jià)值=10×Round{Log2[（2C+2I+2A）/3]}

其中，C代表機(jī)密性賦值；I代表完整性賦值；A代表可用性賦值；Round{}表示四舍五入。

從上述表達(dá)式可以發(fā)現(xiàn)：三個(gè)屬性值每相差一，則影響相差兩倍，以此來(lái)體現(xiàn)最高安全屬性的決定性作用。在實(shí)際評(píng)估中，常常選擇資產(chǎn)價(jià)值大于25的為重要資產(chǎn)。

2.3 威脅與脆弱性分析

識(shí)別并評(píng)價(jià)資產(chǎn)后，應(yīng)識(shí)別每個(gè)資產(chǎn)可能面臨的威脅。在識(shí)別威脅時(shí)，應(yīng)該根據(jù)資產(chǎn)目前所處的環(huán)境條件和以前的記錄情況來(lái)判斷。需要注意的是，一項(xiàng)資產(chǎn)可能面臨多個(gè)威脅，而一個(gè)威脅也可能對(duì)不同的資產(chǎn)造成影響。

識(shí)別威脅的關(guān)鍵在于確認(rèn)引發(fā)威脅的人或事物，即所謂的威脅源或威脅。建筑企業(yè)的威脅源主要是四個(gè)方面：人的不安全行為，物的不安全因素、環(huán)境的不安全因素、管理的不安全因素。

識(shí)別資產(chǎn)面臨的威脅后，還應(yīng)根據(jù)經(jīng)驗(yàn)或相關(guān)的統(tǒng)計(jì)數(shù)據(jù)來(lái)判斷威脅發(fā)生的頻率或概率。評(píng)估威脅可能性時(shí)有兩個(gè)關(guān)鍵因素需要考慮：威脅動(dòng)機(jī)和威脅能力。威脅源的能力和動(dòng)機(jī)可以用極低、低、中等、高、很高（1、2、3、4、5）這五級(jí)來(lái)衡量。脆弱性，即可被威脅利用的弱點(diǎn)，識(shí)別主要以資產(chǎn)為核心，從技術(shù)和管理兩個(gè)方面進(jìn)行。在評(píng)估中可以分為五個(gè)等級(jí)：幾乎無(wú)（1）、輕微（2）、一般（3）、嚴(yán)重（4）、非常嚴(yán)重（5）。在風(fēng)險(xiǎn)評(píng)估中，現(xiàn)有安全措施的識(shí)別也是一項(xiàng)重要工作，因?yàn)樗彩菦Q定資產(chǎn)安全等級(jí)的一個(gè)重要因素。我們要在分析安全措施效力的基礎(chǔ)上，確定威脅利用脆弱性的實(shí)際可能性。

2.4 綜合風(fēng)險(xiǎn)值

資產(chǎn)的綜合風(fēng)險(xiǎn)值是以量化的形式來(lái)衡量資產(chǎn)的安全水平。在計(jì)算風(fēng)險(xiǎn)值時(shí)，以威脅最主要影響資產(chǎn)C、I、A三安全屬性所對(duì)應(yīng)的系數(shù)QC、QI、QA為權(quán)重。計(jì)算方法為：

威脅的風(fēng)險(xiǎn)值（RT）=威脅的影響值（I）×威脅發(fā)生的可能性（P）；

2.5 風(fēng)險(xiǎn)處理

通過(guò)前面的過(guò)程，我們得到資產(chǎn)的綜合風(fēng)險(xiǎn)值，根據(jù)組織的實(shí)際情況，和管理層溝通后劃定臨界值來(lái)確定被評(píng)估的風(fēng)險(xiǎn)結(jié)果是可接收還是不可接收的。

對(duì)于不可接收的風(fēng)險(xiǎn)按風(fēng)險(xiǎn)數(shù)值排序或通過(guò)區(qū)間劃分的方法將風(fēng)險(xiǎn)劃分為不同的優(yōu)先等級(jí)，對(duì)于風(fēng)險(xiǎn)級(jí)別高的資產(chǎn)應(yīng)優(yōu)先分配資源進(jìn)行保護(hù)。

對(duì)于不可接收的風(fēng)險(xiǎn)處理方法有四種[3]：

1）風(fēng)險(xiǎn)回避，組織可以選擇放棄某些業(yè)務(wù)或資產(chǎn)，以規(guī)避風(fēng)險(xiǎn)。是以一定的方式中斷風(fēng)險(xiǎn)源，使其不發(fā)生或不再發(fā)展，從而避免可能產(chǎn)生的潛在損失。例如投標(biāo)中出現(xiàn)明顯錯(cuò)誤或漏洞，一旦中標(biāo)損失巨大，可以選擇放棄中標(biāo)的原則，可能會(huì)損失投標(biāo)保證金，但可避免更大的損失。

2） 降低風(fēng)險(xiǎn)：實(shí)施有效控制，將風(fēng)險(xiǎn)降低到可接收的程度，實(shí)際上就是設(shè)法減少威脅發(fā)生的可能性和帶來(lái)的影響，途徑包括：

a.減少威脅：例如降低物的不安全因素和人的不安全因素。

b.減少脆弱性：例如，通過(guò)安全教育和意識(shí)培訓(xùn)，強(qiáng)化員工的安全意識(shí)等。

c.降低影響：例如災(zāi)難計(jì)劃，把風(fēng)險(xiǎn)造成的損失降到最低。

d.監(jiān)測(cè)意外事件、響應(yīng)，并恢復(fù)：例如應(yīng)急計(jì)劃和預(yù)防計(jì)劃，及時(shí)發(fā)現(xiàn)出現(xiàn)的問(wèn)題。

3）轉(zhuǎn)移風(fēng)險(xiǎn)：將風(fēng)險(xiǎn)全部或者部分轉(zhuǎn)移到其他責(zé)任方，是建筑行業(yè)風(fēng)險(xiǎn)管理中廣泛采用的一項(xiàng)對(duì)策，例如，工程保險(xiǎn)和合同轉(zhuǎn)移是風(fēng)險(xiǎn)轉(zhuǎn)移的主要方式。

4）風(fēng)險(xiǎn)自留： 適用于別無(wú)選擇、期望損失不嚴(yán)重、損失可準(zhǔn)確預(yù)測(cè)、企業(yè)有短期內(nèi)承受最大潛在損失的能力、機(jī)會(huì)成本很大、內(nèi)部服務(wù)優(yōu)良的風(fēng)險(xiǎn)。

選擇風(fēng)險(xiǎn)處理方式，要根據(jù)組織運(yùn)營(yíng)的具體業(yè)務(wù)環(huán)境與條件來(lái)決定，總的原則就是控制措施要與特定的業(yè)務(wù)要求匹配。最佳實(shí)踐是將合適的技術(shù)、恰當(dāng)?shù)娘L(fēng)險(xiǎn)消減策略，以及管理規(guī)范有機(jī)結(jié)合起來(lái)，這樣才能達(dá)到較好的效果。

通過(guò)風(fēng)險(xiǎn)處理后，并不能絕對(duì)消除風(fēng)險(xiǎn)，仍然存在殘余風(fēng)險(xiǎn)：

殘余風(fēng)險(xiǎn)Rr =原有的風(fēng)險(xiǎn)Ro-控制R

目標(biāo)：殘余風(fēng)險(xiǎn)Rr≤可接收的風(fēng)險(xiǎn)Rt，力求將殘余風(fēng)險(xiǎn)保持在可接受的范圍內(nèi)，對(duì)殘余風(fēng)險(xiǎn)進(jìn)行有效控制并定期評(píng)審。

主要評(píng)估兩方面：不可接受風(fēng)險(xiǎn)處理計(jì)劃表，主要評(píng)價(jià)要素為{資產(chǎn)名稱、責(zé)任人、威脅、脆弱點(diǎn)、已有控制措施、風(fēng)險(xiǎn)處理方式、優(yōu)先處理等級(jí)、風(fēng)險(xiǎn)處理措施、處理人員、完成日期}；殘余風(fēng)險(xiǎn)評(píng)估表，主要評(píng)價(jià)要素為{資產(chǎn)名稱、責(zé)任人、威脅、脆弱點(diǎn)、已有控制措施、增加的控制措施、殘余威脅發(fā)生可能性、殘余威脅影響程度、殘余風(fēng)險(xiǎn)值}。

2.6 風(fēng)險(xiǎn)評(píng)估報(bào)告

在風(fēng)險(xiǎn)評(píng)估結(jié)束后，經(jīng)過(guò)全面分析研究，應(yīng)提交詳細(xì)的《安全風(fēng)險(xiǎn)評(píng)估報(bào)告》，報(bào)告應(yīng)該包括[4]：

1） 概述，包括評(píng)估目的、方法、過(guò)程等。

2） 各種評(píng)估過(guò)程文檔，包括重要資產(chǎn)清單、安全威脅和脆弱性清單、現(xiàn)有控制措施的評(píng)估等級(jí)，最終的風(fēng)險(xiǎn)評(píng)價(jià)等級(jí)、殘余風(fēng)險(xiǎn)處理等。

3）推薦安全措施建議。

3.結(jié)論

目前仍有相當(dāng)一部分施工現(xiàn)場(chǎng)存在各種安全隱患，安全事故層出不群，不僅給人們帶來(lái)劇痛的傷亡和財(cái)產(chǎn)損失，還給社會(huì)帶來(lái)不穩(wěn)定的因素。風(fēng)險(xiǎn)評(píng)估是工程安全領(lǐng)域中的一個(gè)重要分支，涉及到計(jì)算機(jī)科學(xué)、管理學(xué)、建筑工程安全技術(shù)與管理等諸多學(xué)科，本文的評(píng)估方法綜合運(yùn)用了定性、定量的手段來(lái)確定建設(shè)工程中各個(gè)安全要素，最終衡量出建設(shè)工程的安全狀況與水平，為建立安全管理體系ISMS提供基礎(chǔ)，對(duì)建設(shè)工程的風(fēng)險(xiǎn)評(píng)估具有一定的借鑒意義。

參考文獻(xiàn)：

[1]ISO/IEC 17799：2000 Information Technology-Code of Practice for Information Security Management.

[2]BS7799-2：2002.Information Security Management-Specification for Information Security Management Systems.