網(wǎng)絡信息安全等級保護精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網(wǎng)絡信息安全等級保護主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網(wǎng)絡信息安全等級保護范文

信息安全等級保護制度是我國信息安全保障工作的基本制度。本文從信息安全等級保護的概念入手，結合金融行業(yè)的實際情況闡述了信息安全等級保護實施的必要性。

【關鍵詞】信息安全 等級保護 建設

隨著全球信息化程度的不斷提高，人類生活對信息網(wǎng)絡的依賴程度不斷提高，信息網(wǎng)絡科技已經(jīng)逐步滲透到人們生活的方方面面，對國家安全、社會秩序和公眾權益的影響日益突出，各國在信息安全方面的重視程度也日趨提高。我國為了保障國家安全，維護社會秩序和公眾利益不受侵害，在2007年制定了信息安全等級保護制度。實施信息安全等級保護工作不僅是提升信息化安全防護水平的重要手段，更是落實國家信息安全保障要求的重要內(nèi)容。

1 信息安全等級保護綜述

“信息安全等級保護”是國家制定的信息安全管理規(guī)范和技術標準，是保障和促進信息化建設健康發(fā)展的一項基本制度。具體地說，就是對基礎信息網(wǎng)絡和重要信息系統(tǒng)按其重要程度及實際安全需求，分等級進行保護，按標準進行建設，按要求進行管理和監(jiān)督，確保信息系統(tǒng)安全正常運行，提高信息系統(tǒng)安全綜合防護能力，維護國家安全、社會穩(wěn)定和公共利益。

2 信息安全等級保護的現(xiàn)狀

2.1 各主要行業(yè)信息安全等級保護工作開展程度不一

電力、電信、鐵路、稅務等一些重要行業(yè)等級保護工作進展較快，在進行信息安全等級保護工作中結合各行業(yè)特點和行業(yè)的特殊安全需求制定了行業(yè)的等級保護規(guī)范或細則。相對而言，銀行、交通、文化等行業(yè)目前等級保護工作進展緩慢。中國電力財務有限公司（以下簡稱“公司”）作為電力行業(yè)直屬的非銀行金融機構，按照國家電網(wǎng)公司要求很早已經(jīng)開展相關工作，但由于公司業(yè)務與機構設置對于電力行業(yè)主業(yè)有很大區(qū)別，在信息安全等級保護的建設上只涉及公司總部，對于各分支機構的相關工作并未開展。直到2012年7月中國人民銀行正式了《金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引》、《金融行業(yè)信息系統(tǒng)信息安全等級保護測評指南》、《金融行業(yè)信息安全等級保護測評服務安全指引》三個文件，對金融行業(yè)信息系統(tǒng)信息安全等級保護建設提出了具體要求，為等級保護實施、測評、整改工作提供了強大的政策支持，并明確了區(qū)域性金融機構信息系統(tǒng)安全等級保護工作的具體要求。金融行業(yè)等級保護標準依據(jù)國家要求和行業(yè)特點，細化、補充了大量內(nèi)容，保留國家等級保護基本要求二級要求、三級要求、四級要求項590項，補充細化要求項193項，新增金融行業(yè)特色要求項269項。

2.2 金融機構對信息安全等級保護的認識不足

由于對信息安全的理解不夠，在對于信息安全的資金投入，往往用于購買硬件安全設備，認為有了這些看得見摸得著的安全產(chǎn)品就可以確保安全了。但是根據(jù)人民銀行頒布的《金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引》中以國家等級保護要求為原則，以金融行業(yè)特點為基礎，提出了構建“兩項要求”和“兩個體系”的金融行業(yè)信息安全保障總體框架。

該框架通過技術要求與管理要求的交融以及技術體系與管理體系的互補，從安全保障要求和安全保障方法兩方面體現(xiàn)技術與管理并重的基本思想。也就是說必須是管理制度體系和技術防護體系互相融合，僅僅靠技術防護體系是無法構建完善的安全保障體系。同時，管理體系是遵照“建立、實施、執(zhí)行、監(jiān)控、審計、保持、改進”的過程進行類似生命周期的思路形成生命環(huán)的管理方法，而公司在這方面的認知還有待提高。與此同時金融行業(yè)從業(yè)人員以為財務及管理人員為主，而具有計算機、信息安全等級保護知識的人非常少，加強信息化人才與金融人才相結合的復合型人才培養(yǎng)，是推進金融行業(yè)信息化建設和信息安全等級保護工作的重點。

2.3 缺少信息安全等級保護相關知識經(jīng)驗

目前信息安全等級保護工作采用自主定級的方法，缺乏精確參考的標準和考量值。如果負責信息安全工作的人員對等級保護的概念不明晰，對等級保護的適用范圍把握不準確，就會導致對信息系統(tǒng)的定級備案不合適，同時對于信息系統(tǒng)的升級或者調(diào)整導致需要重新定級備案的，如未能及時將信息上報備案，也將影響信息安全等級保護后續(xù)工作的順利開展。如果信息安全定級過高，大于本單位要需要的等級，也將導致本單位資源浪費，降低系統(tǒng)運行效率，增加日常管理負擔；如定級過低，將導致系統(tǒng)得不到必要安全保護，也容易引發(fā)系統(tǒng)安全問題。

3 開展信息安全等級保護的必要性

開展信息安全等級保護工作是保護信息化發(fā)展、維護國家信息安全的根本保障。實行信息安全等級保護是在借鑒國外先進經(jīng)驗和結合我國國情的基礎上，解決我國信息網(wǎng)絡安全的必然選擇。

3.1 落實國家政策標準和要求

對信息系統(tǒng)實行等級保護是國家法定制度和基本國策，是開展信息安全工作的有效辦法，是信息安全工作的發(fā)展方向。我國政府對基礎架構的安全一直非常重視，在“十二五規(guī)劃”中首次將“加強網(wǎng)絡與信息安全保障”作為重要章節(jié)突出，這充分顯示了國家對信息安全的重視程度。國家態(tài)度明確了，信息安全等級保護制度作為國家信息安全保障領域的一項基本制度，必須在各單位得到有效貫徹落實。

3.2 有效降低信息化建設成本

等級保護測評的核心思想就是按照信息系統(tǒng)的重要程度及實際安全需求，合理投入，分級進行保護，將有限的資源最大化的投入到重要信息系統(tǒng)的建設中，更加有效的保障重要信息系統(tǒng)安全可靠運行，促進信息化建設健康發(fā)展。按照定級標準對信息系統(tǒng)進行符合性測評，根據(jù)測評結果，有針對性的在建設整改時，對造成信息系統(tǒng)高風險的漏洞和問題進行建設整改，能有效的控制信息化建設成本，既促進了信息化建設的健康發(fā)展，也保證了系統(tǒng)的可靠運行。

3.3 切實提高信息安全整體水平

信息系統(tǒng)安全等級保護作為對信息安全系統(tǒng)分級分類保護的一項國家標準，對于完善信息安全標準體系，提高信息安全的整體水平，以及增強信息系統(tǒng)安全保護的整體性、針對性和時效性都具有非常重要的意義。在信息化建設過程中同步建設信息安全設施，可以有效保障信息安全與信息化建設相協(xié)調(diào)；通過加強對重要信息系統(tǒng)的安全保護和管理監(jiān)督，可以明確信息系統(tǒng)的安全責任，強化管理職能，有效落實各項安全建設和安全管理措施，最終切實提高信息安全整體防護能力。

作者簡介

朱勇（1978-），男，陜西省西安市人?，F(xiàn)為中國電力財務有限公司西北分公司信息化工作部經(jīng)理助理。

第2篇：網(wǎng)絡信息安全等級保護范文

關鍵詞：等級保護 信息系統(tǒng) 安全策略

中圖分類號：TP391.41 文獻標識碼：A 文章編號：1007-9416（2015）12-0000-00

隨著我國信息化建設的高速發(fā)展，信息技術水平的日益提高，眾多單位、組織都建立了自己的信息系統(tǒng)，以充分利用各類網(wǎng)絡信息資源。與此同時，各種非法入侵和盜竊、計算機病毒、拒絕服務攻擊、機密數(shù)據(jù)被篡改和竊取、網(wǎng)絡癱瘓等安全問題也時刻威脅著我國網(wǎng)絡的安全。因此，維護網(wǎng)絡信息安全的任務異常艱巨、繁重。信息安全等級保護制度的建立，可以有效地解決我國網(wǎng)絡信息安全面臨的威脅及存在的問題。

隨著信息安全等級保護工作的深入開展，不同等級信息系統(tǒng)之間的互聯(lián)、互通、互操作是當前研究的熱點和難點，其中，如何制定有效的安全策略，確保信息在多級互聯(lián)信息系統(tǒng)間安全流通，是亟待解決的關鍵問題。

1信息安全等級保護

信息安全等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置。

等級保護環(huán)境下的信息系統(tǒng)一般由安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡和安全管理中心構成。其中，安全計算環(huán)境是對信息系統(tǒng)的信息進行存儲、處理的相關部件；安全區(qū)域邊界是對信息系統(tǒng)的各個區(qū)域之間實現(xiàn)連接并實施訪問控制的相關部件；安全通信網(wǎng)絡是保障信息在系統(tǒng)內(nèi)安全傳輸及安全策略實施的相關部件；安全管理中心是對信息系統(tǒng)的安全策略及安全計算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡上的安全機制實施統(tǒng)一管理的平臺。

2多級互聯(lián)信息系統(tǒng)

我國信息安全等級保護標準將信息系統(tǒng)按照安全保護能力劃分為五個安全等級，一些重要、大型的信息系統(tǒng)中可能存在多個不同等級的子系統(tǒng)，不同等級信息系統(tǒng)之間要實現(xiàn)可信互聯(lián)，由于信任體系和運行模式不盡相同，互聯(lián)互通會導致安全風險的進一步增加，尤其是低等級信息系統(tǒng)可能通過惡意授權給高等級信息系統(tǒng)帶來權限失控風險。

因此，需要建立一個總體的安全管理中心，將不同安全等級的子系統(tǒng)連接在一起，通過協(xié)同合作，實現(xiàn)特定的功能服務，這就是多級互聯(lián)信息系統(tǒng)。在多級互聯(lián)信息系統(tǒng)中，各個子系統(tǒng)和互聯(lián)系統(tǒng)本身，都需要實施信息分級分類保護，從而確保系統(tǒng)間的交互協(xié)作及信息流動，保障系統(tǒng)的安全。

本文將在信息安全等級保護的要求下，研究多級互聯(lián)信息系統(tǒng)安全策略的制定，從而較好地解決多級互聯(lián)系統(tǒng)的安全風險問題，確保系統(tǒng)安全。

3多級互聯(lián)信息系統(tǒng)安全策略的制定

安全策略是為規(guī)范網(wǎng)絡安全防護工作，保證網(wǎng)絡正常使用、發(fā)揮網(wǎng)絡效能所必須強制執(zhí)行的一系列要求、規(guī)范或操作。其主要作用是針對被保護對象面臨的主要威脅，圍繞安全防護目標，提出網(wǎng)絡安全防護具體要求，指導安全管理行動。確定并實施網(wǎng)絡安全策略是對網(wǎng)絡進行有效安全管理的基礎和依據(jù)，是網(wǎng)絡信息系統(tǒng)安全保障的核心和起點，是實現(xiàn)網(wǎng)絡安全管理和技術措施的前提。因此，為了確保多級互聯(lián)信息系統(tǒng)安全有效地運行，制定明確和合理的安全策略就成為了關鍵。

3.1指導思想

根據(jù)不同應用類別和安全等級防護目標的需求，給出安全防護策略的框架，研究制定各類網(wǎng)絡相應的安全防護策略，并保證制定的安全策略具有較高的規(guī)范性、完備性和有效性。安全策略的制定與實施應當遵循“局部策略符合全局策略、下級策略符合上級策略”的原則。同時，隨著信息技術的發(fā)展以及系統(tǒng)的升級、調(diào)整，安全策略也應該隨之進行重新評估和制定，隨時保持策略與安全目標的一致性，確保信息系統(tǒng)安全有效地運行。

3.2基本原則

基于以上思想，制定多級互聯(lián)信息系統(tǒng)安全策略時應遵循以下原則：

（1）統(tǒng)一領導，分級負責。針對系統(tǒng)、數(shù)據(jù)、用戶等保護對象，按照同類、同級集中的原則進行等級保護級別的劃分，確定安全保護等級對應的適用范圍及具體組織實施單位。（2）廣域監(jiān)察，局域管控。依托總體安全管理中心，建立多級互聯(lián)系統(tǒng)廣域安全監(jiān)察機制，監(jiān)督、檢查各安全域網(wǎng)絡節(jié)點和用戶網(wǎng)絡安全策略的配置執(zhí)行情況，監(jiān)測重要骨干網(wǎng)絡流量，預警網(wǎng)絡攻擊和入侵行為，形成網(wǎng)絡安全實時態(tài)勢；在各安全域網(wǎng)絡節(jié)點和用戶網(wǎng)絡建立局域安全管控機制，依托各級安全管理中心，對網(wǎng)絡節(jié)點和用戶網(wǎng)絡的安全設備、主機系統(tǒng)的安全策略和安全事件進行集中統(tǒng)一管理，實現(xiàn)網(wǎng)內(nèi)各類資源的可控可管，提高系統(tǒng)整體防護能力和維護管理效率。（3）分區(qū)分域，適度防護。根據(jù)等級保護的思想，在劃分的安全域中，一方面要遵循等級保護要求，加強主動防范措施；另一方面要針對各安全域業(yè)務特點的保護強度，在不影響系統(tǒng)整體安全性的前提下，進一步對各域的安全策略進行設置，并確保這些策略的相對性、獨立性及關聯(lián)性。（4）區(qū)域自治，聯(lián)防聯(lián)動：各安全域根據(jù)總體安全管理中心下發(fā)的安全策略，結合自身特定的安全需求，實施本區(qū)域內(nèi)的安全防護和管理。依托總體安全管理中心，建立廣域網(wǎng)上下一體的預警響應和聯(lián)防聯(lián)動機制；依托各級安全管理中心，建立局域網(wǎng)內(nèi)各安全設備之間的檢測響應和聯(lián)防聯(lián)動機制；并在各級安全管理中心、重要骨干節(jié)點、用戶網(wǎng)絡之間建立安全事件響應和應急協(xié)調(diào)機制。

第3篇：網(wǎng)絡信息安全等級保護范文

關鍵詞：信息安全；等級保護；定級制度

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2017）03-0045-02

信息安全等級保護制度的建設，是隨著經(jīng)濟建設和信息化建設的全面展開而進行的。對國家重要的信息系統(tǒng)等進行定級保護，可以提高信息系統(tǒng)的工作效率，在大數(shù)據(jù)、云計算的技術支持下，實現(xiàn)全系統(tǒng)的信息安全。為此國家多部門早已出臺多項關于信息安全的制度和規(guī)定，明確說明國家信息安全保障工作的基本制度之一就是信息安全等級保護制度。其工作流程包含定級、對級別的建設和整改、測評建設整改工作、向主管公安部門備案；監(jiān)管信息系統(tǒng)。其中首要階段的定級工作，是作為等級保護的起始，為后面四個階段的工作奠定基礎。

1 信息系統(tǒng)安全等級保護政策概述

我國在信息技術的浪潮退推動下，各行各業(yè)都在面臨信息化、智能化的轉(zhuǎn)型升級帶來的沖擊和挑戰(zhàn)。需要建設的信息化項目不斷增多，很多領域的業(yè)務都要采用網(wǎng)絡信息系統(tǒng)作為載體，因此，信息系統(tǒng)的數(shù)量和結構都在增加和復雜化，對信息進行等級保護就被提上了日程。

2008年，我國首部信息安全等級保護管理辦法由公安部下發(fā)，信息系統(tǒng)有了等級的劃分，并且對信息系統(tǒng)的保護也有了明確的管理規(guī)定。2008年，信息系統(tǒng)安全等級保護定級上升到了國家級別的標準，擁有了定級指南，對于信息系統(tǒng)安全等級定級工作來說，意味著擁有了定級的方法和準則。2009年，關于整改信息安全等級保護工作的指導意見證實下發(fā)，要求對信息安全等級保護的整改要按照測評工作的標準展開。這是第一次對信息安全等級保護測評體系的建設進行的規(guī)定。

2 信息系統(tǒng)的安全定級

在信息安全技術等級定級指南中，對于信息技術的重要性以及遭到破壞的危害性進行了詳細的闡述，從公共安全、社會利益、公民權益等幾個方面，將信息系統(tǒng)的安全等級劃分為五個等級：

第一級為當信息安全被侵犯，國家利益、公共安全等合法權益就會被損壞，但是國家安全、社會利益和公共秩序不會受到損害。

第二級為當信息安全被侵犯，公民的合法權益就會被侵害，但是國家安全不會受到破壞。

第三級為當信息系統(tǒng)受到侵犯后，社會秩序和公共利益被損壞，進而產(chǎn)生對國家安全的損害。

第四級是信息系統(tǒng)受到破壞，社會秩序、公共利益、國家安全都會受到特別嚴重的損傷。

第五級是信息系統(tǒng)受到侵犯，國家安全被特別嚴重地損壞。

3 當前信息系統(tǒng)安全定級中存在的問題

1）定級對象不明確是信息系統(tǒng)安全定級中的常見問題。當信息系統(tǒng)在相同的網(wǎng)絡環(huán)境中被按照獨立的系統(tǒng)進行定級時，多個定級對象會重復出現(xiàn)環(huán)境和設備。以機房的EPR系統(tǒng)和OA系統(tǒng)以及配套為例，系統(tǒng)中如果使用到網(wǎng)絡資源，就有可能產(chǎn)生相同的定級對象同時出現(xiàn)不同的網(wǎng)絡設備的情況。

2）根據(jù)安全信息國家定級指南中對安全保護等級的定級要求。當受侵害客體為國家、社會、公民安全以及組織法人的合法權益時，客體的侵害程度可以分為一般、嚴重、特別嚴重。這種分類是比較抽象的。需要進行具體的描述，但是從目前的發(fā)函情況看，對于危害程度的描述還是過于傾向于主觀判斷，因此對客觀情況的定級準確率不足，依據(jù)不足。

3）現(xiàn)有的定級報告皆是從模板中引用格式，參考定價指南，提供定級流程，引導結論的驗證。從下表我們可以大概地看到定級要素和安全保護等級的關系：

表1

[受侵害的客體＼&一般損害＼&嚴重損害＼&特別嚴重的損害＼&公民、法人和組織的合法權益＼&第一級＼&第二級＼&第二級＼&社會利益、公共秩序＼&第二級＼&第三級＼&第四級＼&國家安全＼&第三級＼&第四級＼&第五級＼&]

對于基礎數(shù)據(jù)的描述雖然也能顯示出關于信息安全系統(tǒng)定級的重要意義，但是從系統(tǒng)的客觀問題以及隨時可能出現(xiàn)威脅和侵害的現(xiàn)象角度觀察，很多關于信息安全等級定級的新方法還不能保證定級結果的準確性，很多定級報告不完善，缺乏依據(jù)，主觀判斷成分多，無法將信息安全系統(tǒng)的真實情況反映給決策層，對于工作的開展沒有好處。

4 等級保護流程

等級保護的工作是循環(huán)的、動態(tài)發(fā)展的。將等級保護工作視為循環(huán)性強的工作對于工作流程加以分析，最終得到的是等級保護工作的流程圖：

定級階段：系統(tǒng)劃分、等級確定；填寫表格；

初步備案階段：上報材料、專家評審，不符合安全等級規(guī)定的重新定級，最終進入初備案。

測評階段：選定機構、測評、出具報告；

整改階段：制訂方案、專家論證、提出整改措施并實施；

復評階段：對定級方案進行復評，得到最終的備案；

根據(jù)等級保護制度接受監(jiān)管的階段。

需要說明的是，等級保護工作的初始階段：定級工作可以采用自行定級的方法，也可以委托第三方機構進行監(jiān)管和測評。定級工作是所有階段工作的基礎。初備案階段有一個重新定級的環(huán)節(jié)，主要是如果出現(xiàn)不公平、不公正或者定級不合格的情況，要對信息系統(tǒng)的等級評定工作進行復評選，并達到等級保護的要求，才能進行最終的備案。

5 信息安全定級方法

1）定流程是參照定級指南進行的，包括了業(yè)務信息和系統(tǒng)服務等內(nèi)容。首先是確定定級對象，然后確定業(yè)務信息安全受到破壞和侵害的客體，以及系統(tǒng)服務安全受到破壞和侵害的客體。兩方面都要進行客體的侵害程度的評定，前者得出業(yè)務信息安全等級，后者得出系統(tǒng)服務安全等級，最后形成了定級對象的安全保護等級。

定級對象的選取根據(jù)定級指南的規(guī)定，具有一些特征，首先是擁有安全責任單位，第二是信息系統(tǒng)要素，第三是承載單一和獨立的業(yè)務。在定級對象的業(yè)務應用上應該擁有共享的機房基礎環(huán)境和網(wǎng)絡設備等，這樣就不會產(chǎn)生重復出現(xiàn)的定級對象。而且將物理環(huán)境、網(wǎng)絡資源等納入到信息系統(tǒng)中，形成具有單獨優(yōu)先定級權限的定級對象[1]。

對于受侵害的客體的損害程度的評分，要對危害后果等進行權重分析。參照的依據(jù)包括國家安全、社會利益、公眾秩序、公民法人和組織的權益。客體的侵害程度在定x和解釋上是簡單而抽象的，要對危害程度進行具體的描述，就要規(guī)避主觀判斷、依據(jù)不足的問題。對客體的侵害程度進行確定，是需要參考很多元素的，要得到一個準確的定量，可以采用評分表的方法對危害后果予以打分。

表2

[危害后果＼&得分＼&權重＼&影響工作職能形式＼&＼&＼&降低業(yè)務能力＼&＼&＼&引起糾紛需要法律介入＼&＼&＼&財產(chǎn)損失＼&＼&＼&社會不良影響＼&＼&＼&損害到組織和個人＼&＼&＼&其他影響＼&＼&＼&]

根據(jù)對表格中的打分得到的數(shù)值和權重的分析，可以得出定級對象被破壞后可能產(chǎn)生的危害以及后果。不存在危害的數(shù)值為0，有危害程度較輕的數(shù)值為1，有危害程度較高的為2，后果嚴重的為3。不同的信息系統(tǒng)在服務內(nèi)容、范圍、對象上都不同，因此不同的得分和權重最能反映信息安全系統(tǒng)的實際情況。

確定安全保護等級是在所有流程結束后，得到的結論。這個結論包括客體對等級對象的侵害造成的危害，信息安全的保密性、可用性的情況，系統(tǒng)服務安全的及時性、有效性的問題等等。當業(yè)務信息安全和服務系統(tǒng)的客體侵害程度不同時，就要在定級過程中處理不同的危害后果。

2）定級表格的細化是為定級報告模板提供基礎數(shù)據(jù)，并保證信息安全系統(tǒng)穩(wěn)定可靠的重要保障。當系統(tǒng)內(nèi)部問題導致其難以支撐定級結果后，采用系統(tǒng)定級的方法，就能夠?qū)⑿畔⑾到y(tǒng)的情況記載道定級表中。定級表包括了定級系統(tǒng)的用戶情況以及定級系統(tǒng)的業(yè)務職能等情況，例如在行業(yè)和部門內(nèi)的地位和作用。定級系統(tǒng)需要有備份系統(tǒng)作為應急措施，保證定級系統(tǒng)在關聯(lián)系統(tǒng)受到破壞后不會受到數(shù)據(jù)傳遞等的影響。

6 案例分析

按照等級保護工作測評和定級的規(guī)定，確定信息系統(tǒng)的等級。某政府網(wǎng)站信息系統(tǒng)包括的板塊為：政務公開、地方行政、法制建設、管理措施、領導講話、網(wǎng)上辦事大廳、新聞動態(tài)、政府公告、舉報建議等，還專門開辟了一個下載板塊，方便下載有用的電子表單加以填報。

在這個政府網(wǎng)站的信息系統(tǒng)中，制訂了符合信息安全等級保護定級指南的流程和標準，通過分析，判斷，研究等流程確定定級的系統(tǒng)。該網(wǎng)站的擁有者設立的專門的政府網(wǎng)站平臺，由指定部門確定相關資料的搜集、采集、整理的過程方案。在這套流程中，信息生產(chǎn)者為企業(yè)，產(chǎn)生的資料是信息，管理信息的手段是利用科學技術，對外承擔政務信息，擁有獨立的業(yè)務，如辦事流程、新聞會等。將各類任務的環(huán)境加以構建，就形成了政府網(wǎng)站中具有基本特征和要素的定級對象。對定級客體的邀請，要采取分析的方法，確保信息系統(tǒng)內(nèi)的保密性和可用性。實際操作中只要能夠保證信息的完整性和通用性，又增強了制作、、管理的職能建設，激發(fā)出參與者的完整性和保密性。提高可用概率。而系統(tǒng)服務安全有力地支撐著系統(tǒng)安全運行，并為信息安全系統(tǒng)提供有效的服務，達到地方網(wǎng)站發(fā)揮在定級中的作用，幫助提供服務，滿足消費者的需求。采用了這種方法，網(wǎng)站信息系統(tǒng)的業(yè)務信息安全和系統(tǒng)服務安全都將是今后在企業(yè)運用中需要特別加以注意的。

例如：對于受侵害的客體，必須說明客體的情況，是否受到法律保護，等級保護中牽扯到的社會關系和合法權益。尤其是針對信息系統(tǒng)的客體的先后順序進行判斷，結合政府平臺，實施政務信息公開。如果做不到政務信息公開，政府就要設置管理界限，發(fā)揮人的主觀能動性，在知情權、業(yè)務能力、投訴與批評等階段加大業(yè)務辦理力度，最大可能地維護法人和代表組織的知情權，排棄受到破壞的客體，法人由于難以摻入個人組織中，直接投訴合法的法律法規(guī)，由于業(yè)務施工的進度過快，環(huán)節(jié)紛繁眾多[2]。再由于受損教育可以對客體的積極主動性。方便法人和組織知情、辦理業(yè)務、舉報、投訴等。

對于客體造成的侵害進行后果的分析，無論是大型門戶網(wǎng)站，還是在金融政策引領下，親自感受到客體檢查結果的影響，如信息安全管理等，都要注重網(wǎng)絡平臺的臨時性。

7 結束語

要做好信息系統(tǒng)的安全保護等級的確定，就要采取正確的 （下轉(zhuǎn)第51頁）

（上接第46頁）

策略以及方法，對信息安全管控產(chǎn)生依賴，保護過程中采取正確的策略和方法，等等。信息系統(tǒng)、安全等級保護不足的問題，都要求管理覺決策層加熬煮。在實際運行中，還要以定級指南為指導，綜合信息系統(tǒng)的業(yè)務特征，切實推動信息技術等級保護工作的大力發(fā)展。

參考文獻：

第4篇：網(wǎng)絡信息安全等級保護范文

1.1國家衛(wèi)生部文件

文件明確規(guī)定了信息安全等級保護工作的工作目標、工作原則、工作機制、工作任務、工作要求，工作任務別強調(diào)了“三級甲等醫(yī)院的核心業(yè)務信息系統(tǒng)”應進行定級備案。

1.2浙江省衛(wèi)生廳文件

為加強醫(yī)療衛(wèi)生行業(yè)信息安全管理，提高信息安全意識，以信息安全等級保護標準促進全行業(yè)的信息安全工作，提高全省衛(wèi)生系統(tǒng)信息安全保護與信息安全技術水平，強化信息安全的重要性。2011年6月7日，浙江省衛(wèi)生廳和浙江省公安廳聯(lián)合下發(fā)《關于做好全省醫(yī)療衛(wèi)生行業(yè)重要信息系統(tǒng)信息安全等級保護工作的通知》（浙衛(wèi)發(fā)〔2011〕131號），并一同下發(fā)了《浙江省醫(yī)療衛(wèi)生行業(yè)信息安全等級保護工作實施方案》和《浙江省衛(wèi)生行業(yè)信息系統(tǒng)安全等級保護定級工作指導意見》。為進一步指導我省衛(wèi)生行業(yè)單位開展信息安全等級保持工作，浙江省衛(wèi)生信息中心于2012年4月6日下發(fā)了《關于印發(fā)<浙江省衛(wèi)生行業(yè)信息安全等級保護工作指導意見細則>的函》。上述文件詳細規(guī)定了工作目標、工作流程和工作進度，并明確了醫(yī)療衛(wèi)生單位重要信息系統(tǒng)的劃分和定級，具有很強的指導性和操作性。

2醫(yī)院信息安全等級保護

依據(jù)上述行業(yè)文件要求，全省醫(yī)院重要信息系統(tǒng)信息安全等級保護工作由省衛(wèi)生廳和各級衛(wèi)生局、公安局分級負責，按照系統(tǒng)定級、系統(tǒng)備案、等級測評、安全整改[1]四個工作步驟實施。

2.1系統(tǒng)定級

2.1.1確定對象

我省醫(yī)院信息化發(fā)展較早，各類系統(tǒng)比較完善，但數(shù)量繁多。將出現(xiàn)多達幾十甚至上百個定級對象的狀況，這與要求重點保護、控制建設成本、優(yōu)化資源配置[2]的原則相違背，不利于醫(yī)院重要信息系統(tǒng)開展信息安全等級保護工作。依據(jù)《計算機信息系統(tǒng)安全保護等級劃分準則（GB17859-1999）》等標準，結合我省醫(yī)院信息化現(xiàn)狀及發(fā)展需要，經(jīng)衛(wèi)生信息化專家和信息安全專家多次論證，本著突出重點、按類歸并、相對獨立、節(jié)約費用的原則，從系統(tǒng)管理、業(yè)務使用者、系統(tǒng)服務對象和運行環(huán)境等多方面綜合考慮，把醫(yī)院信息系統(tǒng)劃分為以下幾類，如表1所示。

2.1.2等級評定

醫(yī)院重要信息系統(tǒng)的信息安全和系統(tǒng)服務應用被破壞時，產(chǎn)生的危害主要涉及公民的個人隱私、就醫(yī)權利及合法權益，對社會秩序和公共利益的損害屬于“損害”或“嚴重損害”程度。參考《信息安全等級保護管理辦法》及省衛(wèi)生信息中心指導意見細則要求[3]，即屬于“第二級”或“第三級”范疇。因此醫(yī)院信息系統(tǒng)對信息安全防護和服務能力保護的要求較高，結合業(yè)務服務及系統(tǒng)應用范疇，實行保護重點、以點帶面原則，參考定級如表2所示。

2.2系統(tǒng)定級備案

省衛(wèi)生廳及省級醫(yī)療衛(wèi)生單位信息系統(tǒng)、全省統(tǒng)一聯(lián)網(wǎng)或跨市聯(lián)網(wǎng)運行的信息系統(tǒng)由省公安廳受理備案；各市衛(wèi)生局及其下屬單位、轄區(qū)內(nèi)醫(yī)院信息系統(tǒng)由屬地公安機關受理備案。各市衛(wèi)生局應將轄區(qū)內(nèi)醫(yī)療衛(wèi)生單位備案匯總情況和《信息系統(tǒng)安全等級保護備案表》等材料以電子文件形式向省衛(wèi)生廳報備。定級備案流程示意圖如圖1所示。

2.3等級保護測評

醫(yī)院重要信息系統(tǒng)完成定級備案后，應依據(jù)《浙江省信息安全等級保護工作協(xié)調(diào)小組關于公布信息安全等級報測評機構的通知》（浙等?！?010〕9號）選擇浙江省信息安全等級保護工作協(xié)調(diào)小組辦公室推薦的等級測評機構，啟動等級測評工作，結合所屬等級要求對系統(tǒng)進行逐項測評。通過對醫(yī)院系統(tǒng)進行查驗、訪談、現(xiàn)場測試等方式收集相關信息，詳細了解信息安全保護現(xiàn)狀，分析所收集的資料和數(shù)據(jù)，查找發(fā)現(xiàn)醫(yī)院重要信息系統(tǒng)漏洞和安全隱患，針對測評報告結果進行分析反饋、溝通協(xié)商，明確等級保護整改工作目標、整改流程及注意事項，共同制定等級保護整改建議方案用于指導后續(xù)整改工作。對第二級以上的信息系統(tǒng)要定期開展等級測評。信息系統(tǒng)測評后，醫(yī)院應及時將測評機構出具的《信息系統(tǒng)等級測評報告》向所屬地公安機關報備。

2.4等級保護規(guī)劃建設整改

根據(jù)《信息系統(tǒng)安全等級保護實施指南》及省實施方案，結合醫(yī)院信息系統(tǒng)的安全需求分析，判斷安全保護現(xiàn)狀，設計合理的、滿足等級保護要求的總體安全方案，并制定出安全實施規(guī)劃[4]等，用以指導信息系統(tǒng)安全建設工程實施。引進第三方安全技術服務商，協(xié)助完成系統(tǒng)安全規(guī)劃、建設及整改工作。建設，整改實施過程中按照詳細設計方案，設置安全產(chǎn)品采購、安全控制開發(fā)與集成、機構和人員配置、安全管理制度建設、人員安全技能培訓等環(huán)節(jié)[5]，將規(guī)劃設計階段的安全方針和策略，切實落實到醫(yī)院系統(tǒng)的信息安全規(guī)劃、建設、評估、運行和維護等各個環(huán)節(jié)。其核心是根據(jù)系統(tǒng)的實際信息安全需求、業(yè)務特點及應用重點，并結合醫(yī)院自身信息安全建設的實際需求，建設一套全面保護、重點突出、持續(xù)運行的安全保障體系，確保醫(yī)院系統(tǒng)的信息安全。等級保護工程及管理體系建設整改流程如圖2所示。

3醫(yī)院重要信息系統(tǒng)安全等級保護成效

各級醫(yī)院按照國家有關信息安全等級保護政策、標準，結合衛(wèi)生行業(yè)政策和要求，全面落實信息系統(tǒng)信息安全等級保護工作，保障信息系統(tǒng)安全可靠運行，提高安全管理運維水平。

3.1明確系統(tǒng)安全保護目標

通過推行各級醫(yī)院信息安全等級保護工作，梳理衛(wèi)生信息系統(tǒng)資產(chǎn)、網(wǎng)絡邊界、網(wǎng)絡安全設備部署及運行狀況。根據(jù)系統(tǒng)風險評估、危害的覆蓋范圍及影響性判定安全等級，從而根據(jù)標準全面、系統(tǒng)、深入地掌握系統(tǒng)潛在的風險隱患，安全漏洞。明確需要重點保護的應用系統(tǒng)及信息資產(chǎn)，提出行之有效的保護措施，有針對性地提高保護等級，實現(xiàn)重點目標重點保護。

3.2建立安全管理保障體系

安全管理保障體系是開展信息安全工作的保障，指導落實各項安全指標要求。信息安全等級保護基本要求中明確要求加強主管及安全責任部門領導，配備信息安全專員督導安全檢查、維護、培訓工作。建立健全信息安全管理保障制度體系，包括機房安全管理制度、人員安全管理制度、運維安全管理規(guī)范。建立行之有效的安全應急響應預案及常規(guī)化的信息安全培訓及預防演練，形成長期的安全風險管控機制。

3.3加強安全意識和管理能力

通過落實等級保護制度的各項要求，認識安全意識在信息安全工作中的重要性和必要性，調(diào)動安全保護的自覺主動性，加大安全保護的資金投入力度，優(yōu)化安全管理資源及策略，主動提升安全保護能力。同時重視常規(guī)化的信息安全管理教育和培訓，強化安全管理員和責任人的安全意識，提高風險分析和安全性評估等能力，信息系統(tǒng)安全整體管理水平將得到提高。

3.4強化安全保護技術實施

醫(yī)院開展信息安全等級保護工作可加深分級、分域的縱深防御理念，進一步結合終端安全、身份認證、網(wǎng)絡安全、容災技術，建立統(tǒng)一的安全監(jiān)控平臺和安全運行中心。根據(jù)測評報告及建設整改建議，增強對應用系統(tǒng)的授權訪問，終端計算機的安全控制，網(wǎng)絡流量的異常監(jiān)控，業(yè)務與數(shù)據(jù)安全保障，惡意軟件和攻擊行為的防御、發(fā)現(xiàn)及阻擊等功能，深層次提高抵御外部和內(nèi)部信息安全威脅的能力。

3.5優(yōu)化第三方技術服務

與安全技術服務機構建立長期穩(wěn)定的合作關系，引進并優(yōu)化第三方技術資源，搭建安全保護技術的學習橋梁與交流平臺。在安全技術與管理方面加固信息安全防護措施，完善信息安全管理制度，同時通過安全技術管理培訓強化醫(yī)院工作人員信息安全保護意識，提高信息安全隊伍的技術與管理水平，共同為醫(yī)院系統(tǒng)信息化建設的快速發(fā)展保駕護航?？傊t(yī)院開展信息安全等級保護工作將有效提高醫(yī)院信息化建設的整體水平，有利于醫(yī)院信息化建設過程中同步建設信息安全設施，保障信息安全與信息化建設相協(xié)調(diào)；有利于為信息系統(tǒng)安全建設和管理提供系統(tǒng)性、針對性、可行性的指導和服務；有利于優(yōu)化信息安全資源的配置，重點保障基礎信息網(wǎng)絡、個人隱私、醫(yī)療資源和社會公共衛(wèi)生等方面的重要信息系統(tǒng)的安全[6]。

4結束語

第5篇：網(wǎng)絡信息安全等級保護范文

兩個發(fā)展階段

衛(wèi)生監(jiān)督中心信息安全等級保護工作大致經(jīng)歷了兩個發(fā)展階段。

啟動與探索階段（2007年～2008年）：2007年12月，原衛(wèi)生部組織專家組對部直屬機關報送的信息安全等級保護定級情況進行了評審。衛(wèi)生監(jiān)督中心的衛(wèi)生監(jiān)督信息報告系統(tǒng)和衛(wèi)生行政許可受理評審系統(tǒng)確定為第三級保護，衛(wèi)生監(jiān)督中心網(wǎng)站確定為第二級保護。衛(wèi)生監(jiān)督中心在了解了信息安全等級保護制度的同時，啟動了信息安全等級保護相關工作。為摸清信息安全隱患，2008年衛(wèi)生監(jiān)督中心聘請了具有信息安全相關資質(zhì)的信息安全咨詢公司對等保涉及的信息系統(tǒng)進行了信息安全測評，并制定了相應的整改方案。由于2008年信息安全整改資金等原因，未開展相關整改工作。

發(fā)展階段（2009年至今）：本著統(tǒng)籌考慮、分布實施的原則，在實施國家級衛(wèi)生監(jiān)督信息系統(tǒng)建設項目之初就參照等級保護有關要求規(guī)劃和設計業(yè)務應用系統(tǒng)及其運行環(huán)境，同時積極開展等級保護備案等工作。在國家級項目二期中，專項對信息安全進行加固。并每年邀請公安部信息安全等級保護評估中心，對衛(wèi)生監(jiān)督中心的第三級保護系統(tǒng)進行了安全等級測評。

截至目前，衛(wèi)生監(jiān)督中心共有3個信息安全等級保護第三級的信息系統(tǒng)，4個信息安全等級保護第二級的信息系統(tǒng)。

信息安全技術體系

衛(wèi)生監(jiān)督信息系統(tǒng)信息安全技術體系建設，嚴格遵循等級保護第三級的技術要求進行詳細設計、技術選擇、產(chǎn)品選型、產(chǎn)品部署。技術體系從物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全及備份恢復等5個方面進行設計。

1.物理安全

衛(wèi)生監(jiān)督中心現(xiàn)有南北兩個機房，機房及相關配套設施面積總計160平方米。北機房部署等級保護第三級信息系統(tǒng)，南機房部署等級保護第二級信息系統(tǒng)，實現(xiàn)了第三級系統(tǒng)與第二級系統(tǒng)物理環(huán)境隔離。根據(jù)等級保護有關要求，機房均采用了精密空調(diào)、門禁系統(tǒng)、環(huán)境監(jiān)測系統(tǒng)等設備設施及技術手段，有效地保證了機房的物理安全。

2.網(wǎng)絡安全

主干網(wǎng)絡鏈路均采用雙鏈路連接，關鍵網(wǎng)絡、安全設備均采用雙機冗余方式，避免單點故障。采用防火墻、入侵防護系統(tǒng)、DDoS系統(tǒng)進行邊界防護，各網(wǎng)絡區(qū)域之間采用防火墻進行區(qū)域隔離，在對外服務區(qū)部署了入侵檢測系統(tǒng)，在交換服務區(qū)部署了網(wǎng)絡審計系統(tǒng)。在核心數(shù)據(jù)區(qū)部署了數(shù)據(jù)庫審計系統(tǒng)，對網(wǎng)絡行為進行監(jiān)控和記錄。在安全管理區(qū)部署安全管理系統(tǒng)，實現(xiàn)設備日志的統(tǒng)一收集及分析。

3.主機安全

所有服務器和管理終端配置了密碼安全策略；禁止用戶遠程管理，管理用戶必須進入機房通過KVM進行本地管理；所有服務器和管理終端進行了補丁更新，刪除了多余賬戶，關閉了不必要的端口和服務；所有服務器和管理終端開啟了安全審計功能；通過對數(shù)據(jù)庫的安全配置，實現(xiàn)管理用戶和特權用戶的分離，并實現(xiàn)最小授權要求。

4.應用安全

衛(wèi)生監(jiān)督中心7個應用系統(tǒng)均完成了定級備案，并按照等級保護要求開展了測評工作。應用服務器采取了集群工作部署，保證了系統(tǒng)的高可用性，同時建立了安全審計功能模塊，記錄登錄日志、業(yè)務操作日志、系統(tǒng)操作日志3種日志，并實現(xiàn)查詢和審計統(tǒng)計功能，配置了獨立的審計賬戶。門戶網(wǎng)站也采用了網(wǎng)頁防篡改、DDoS等系統(tǒng)。信息安全等級保護第三級系統(tǒng)管理人員及高權限用戶均使用CA證書登錄相應系統(tǒng)。

5.數(shù)據(jù)安全及備份恢復

衛(wèi)生監(jiān)督信息報告系統(tǒng)數(shù)據(jù)庫服務器使用了雙機熱備，應用服務器采用多機負載均衡，每天本地備份，保證了業(yè)務系統(tǒng)的安全、穩(wěn)定和可靠運行。其余等級保護第三級信息系統(tǒng)使用了雙機備份，無論是軟件還是硬件問題，都可以及時準確地進行恢復并正常提供服務。同時，衛(wèi)生監(jiān)督中心在云南建立了異地數(shù)據(jù)備份中心，每天進行增量備份，每周對數(shù)據(jù)進行一次全備份。備份數(shù)據(jù)在一定時間內(nèi)進行恢復測試，保證備份的有效性。

信息安全管理體系

在開展信息安全等級保護工作中，我們深刻體會到，信息安全工作“三分靠技術，七分靠管理”。為保證信息安全等級保護工作順利進行，參考ISO/IEC 27001《信息安全管理體系要求》，衛(wèi)生監(jiān)督中心建立了符合實際工作情況的信息安全管理制度體系，明確了“統(tǒng)一領導，技管并重；預防為主，責權分明；重點防護，適度安全”的安全方針，涵蓋等級保護管理要求中安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理五大方面的要求。

衛(wèi)生監(jiān)督中心建立了較為完善的信息安全責任制，設立了信息安全領導小組，領導小組組長由衛(wèi)生監(jiān)督中心主任擔任，成員由衛(wèi)生監(jiān)督中心有關處室負責人組成，信息處作為信息安全工作辦公室負責衛(wèi)生監(jiān)督中心日常信息安全管理工作。信息處設立了信息安全管理崗位，分別為網(wǎng)絡管理員、系統(tǒng)管理員、應用管理員、安全管理員、安全審計員、機房管理員，并建立了信息安全崗位責任制度。

此外，衛(wèi)生監(jiān)督中心依據(jù)上年度運維中存在的信息安全隱患每年對其進行修訂，確保信息安全工作落到實處。

信息安全運維體系

在信息安全工作中，建立信息安全管理制度不是目的，要以信息安全等級保護有關要求指導信息安全運維實踐。

衛(wèi)生監(jiān)督中心結合實際情況，編制了《國家級衛(wèi)生監(jiān)督信息系統(tǒng)運行維護工作規(guī)范》，從運行維護流程、資源管理和環(huán)境管理三個方面進行了規(guī)范，將安全運維理念落到實處。

運維人員在實際工作中，嚴格按照工作規(guī)范要求。利用衛(wèi)生監(jiān)督中心OA系統(tǒng)，建立了統(tǒng)一的服務臺，實現(xiàn)了事件、問題的全流程閉環(huán)管理（即：發(fā)現(xiàn)問題、登記問題、解決問題、解決反饋、解決確認）。年均處理信息安全事件近百件，將信息安全問題消滅在萌芽階段，有效地保證了信息系統(tǒng)穩(wěn)定運行，保證了衛(wèi)生監(jiān)督中心信息安全目標和方針的實現(xiàn)。

信息安全等級保護實踐經(jīng)驗

1.規(guī)范管理，細化流程

衛(wèi)生監(jiān)督中心從安全管理制度、安全管理組織機構及人員、安全建設管理和安全運維管理等方面建立了較為完善的安全管理體系。通過管理體系的建設，為國家級衛(wèi)生監(jiān)督信息系統(tǒng)運維管理工作中安全管理提供了重要指導。

國家級衛(wèi)生監(jiān)督信息系統(tǒng)運維工作從安全管理體系的建設中吸取了很多有益經(jīng)驗，不僅合理調(diào)配了運維管理人員，落實了運維管理組織機構和崗位職責，而且細化了運維管理流程，形成了“二級三線”的運維處理機制。

2.循序漸進，持續(xù)完善

第6篇：網(wǎng)絡信息安全等級保護范文

關鍵詞： 云計算； 云安全； 信息安全； 等級保護測評； 局限性

中圖分類號：TP309 文獻標志碼：A 文章編號：1006-8228（2016）11-35-03

Discussion on the testing and evaluating of cloud computing security level protection

Liu Xiaoli， Shen Xiaohui

（Zhejiang Provincial Testing Institute of Electronic & Information Products， Hangzhou， Zhejiang 310007， China）

Abstract： Cloud computing has recently attracted extensive attention since Internet has accessed Web 2.0 with more freedom and flexibility. However， the cloud security has become the biggest challenge for cloud promotion. Combined with the problems of the actual testing and evaluation in cloud computing security， the limitations of the application of the current information security level protection evaluation standard to the cloud environment are analyzed， and the contents that cloud security should focus on are proposed.

Key words： cloud computing； cloud security； information security； testing and evaluation of security level protection； limitations

0 引言

近年來，隨著網(wǎng)絡進入更加自由和靈活的Web2.0時代，云計算的概念風起云涌。美國國家標準與技術研究院（NIST）定義云計算是一種按使用量付費的模式，這種模式提供可用的、便捷的、按需的網(wǎng)絡訪問，進入可配置的計算資源共享池（資源包括網(wǎng)絡，服務器，存儲，應用軟件，服務），這些資源能夠被快速提供，只需投入很少的管理工作，或與服務供應商進行很少的交互。云計算因其節(jié)約成本、維護方便、配置靈活已經(jīng)成為各國政府優(yōu)先推進發(fā)展的一項服務。美、英、澳大利亞等國家紛紛出臺了相關發(fā)展政策，有計劃地促進政府部門信息系統(tǒng)向云計算平臺遷移。但是也應該看到，政府部門采用云計算服務也給其敏感數(shù)據(jù)和重要業(yè)務的安全帶來了挑戰(zhàn)。美國作為云計算服務應用的倡導者，一方面推出“云優(yōu)先戰(zhàn)略”，要求大量聯(lián)邦政府信息系統(tǒng)遷移到“云端”，另一方面為確保安全，要求為聯(lián)邦政府提供的云計算服務必須通過安全審查[1]。我國也先后出臺了一系列云計算服務安全的國家標準，如GB/T 31167-2014《信息安全技術云計算服務安全指南》、GB/T 31168-2014 《信息安全技術 云計算服務安全能力要求》等。本文關注的是云計算安全，包括云計算應用系統(tǒng)安全、云計算應用服務安全、云計算用戶信息安全等[2]。

當前，等級保護測評的依據(jù)主要有GB/T 22239-

2008《信息安全技術 信息系統(tǒng)安全等級保護基本要求》、GB/T 28448-2012《信息安全技術 信息系統(tǒng)安全等級保護測評要求》和GB/T 28449-2012《信息安全技術 信息系統(tǒng)安全等級保護測評過程指南》等。然而，這些標準應用于傳統(tǒng)計算模式下的信息系統(tǒng)安全測評具有普適性，對于采用云計算服務模式下的信息系統(tǒng)卻有一定的局限性。

本文結合實際云計算服務安全測評中的問題，首先討論現(xiàn)行信息安全等級保護測評標準應用到云環(huán)境的一些局限性，其次對于云計算安全特別需要關注的測評項進行分析。

1 云計算安全

正如一件新鮮事物在帶給我們好處的同時，也會帶來問題一樣，云計算的推廣也遇到了諸多困難，其中安全問題已成為阻礙云計算推廣的最大障礙。

云計算安全面臨著七大風險，主要包括客戶對數(shù)據(jù)和業(yè)務系統(tǒng)的控制能力減弱、客戶與云服務商之間的責任難以界定、可能產(chǎn)生司法管轄權問題、數(shù)據(jù)所有權保障面臨風險、數(shù)據(jù)保護更加困難、數(shù)據(jù)殘留和容易產(chǎn)生對云服務商的過度依賴等。文獻[3]提出了云計算安全測評框架，與傳統(tǒng)信息系統(tǒng)安全測評相比，云計算安全測評應重點關注虛擬化安全、數(shù)據(jù)安全和應用安全等層面。

虛擬化作為云計算最重要的技術，其安全性直接關系到云環(huán)境的安全。虛擬化安全涉及虛擬化軟件安全和虛擬化服務器安全，其中虛擬化服務器安全包括虛擬化服務器隔離、虛擬化服務器監(jiān)控、虛擬化服務器遷移等。云計算的虛擬化安全問題主要集中在VM Hopping（一臺虛擬機可能監(jiān)控另一臺虛擬機甚至會接入到宿主機）、VM Escape（VM Escape攻擊獲得Hypervisor的訪問權限，從而對其他虛擬機進行攻擊）/遠程管理缺陷（Hypervisor通常由管理平臺來為管理員管理虛擬機，而這些控制臺可能會引起一些新的缺陷）、遷移攻擊（可以將虛擬機從一臺主機移動到另一臺，也可以通過網(wǎng)絡或USB復制虛擬機）等[4]。

數(shù)據(jù)實際存儲位置往往不受客戶控制，且數(shù)據(jù)存放在云平臺上，數(shù)據(jù)的所有權難以界定，多租戶共享計算資源，可能導致客戶數(shù)據(jù)被授權訪問、篡改等。另外當客戶退出云服務時，客戶數(shù)據(jù)是否被完全刪除等是云計算模式下數(shù)據(jù)安全面臨的主要問題。

在云計算中對于應用安全，特別需要注意的是Web應用的安全。云計算應用安全主要包括云用戶身份管理、云訪問控制、云安全審計、云安全加密、抗抵賴、軟件代碼安全等[3]。

2 云計算下等級保護測評的局限性

信息系統(tǒng)安全等級保護是國家信息安全保障工作的基本制度、基本策略、基本方法。開展信息系統(tǒng)安全等級保護工作不僅是加強國家信息安全保障工作的重要內(nèi)容，也是一項事關國家安全、社會穩(wěn)定的政治任務。信息系統(tǒng)安全等級保護測評工作是指測評機構依據(jù)國家信息安全等級保護制度規(guī)定，按照有關管理規(guī)范和技術標準，對未涉及國家秘密的信息系統(tǒng)安全等級保護狀況進行檢測評估的活動。與之對應的是涉及國家秘密的信息系統(tǒng)安全測評，就是通常所說的分級保護測評。

信息系統(tǒng)安全等級保護的基本要求包括技術要求和管理要求兩大類。其中技術要求包括物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全及備份恢復等五個層面；管理要求包括安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理等五個層面。

傳統(tǒng)的安全已不足以保護現(xiàn)代云計算工作負載。換言之，將現(xiàn)行的等級保護相關標準生搬硬套到云計算模式存在局限性，具體體現(xiàn)在以下方面。

⑴ 物理安全

傳統(tǒng)模式的信息系統(tǒng)數(shù)據(jù)中心或者在本單位，或者托管在第三方機構，用戶可以掌握自身數(shù)據(jù)和副本存儲在設備和數(shù)據(jù)中心的具置。然而，由于云服務商的數(shù)據(jù)中心可能分布在不同的地區(qū)，甚至不同的國家，GB/T 31167-2014明確了存儲、處理客戶數(shù)據(jù)的數(shù)據(jù)中心和云計算基礎設施不得設在境外。

⑵ 網(wǎng)絡安全

網(wǎng)絡安全主要包括結構安全、邊界防護、訪問控制、入侵防范、惡意代碼防范、安全審計、網(wǎng)絡設備防護等測評項。網(wǎng)絡邊界是網(wǎng)絡信息安全的第一道防線，因此在網(wǎng)絡邊界采取安全防護措施就顯得尤為重要。但在云計算模式下，多個系統(tǒng)同時運行在同一個物理機上，突破了傳統(tǒng)的網(wǎng)絡邊界。由此可見，網(wǎng)絡邊界的界定、安全域的劃分成為了云計算模式下網(wǎng)絡邊界安全面臨的新挑戰(zhàn)[5]。

⑶ 主機安全

主機安全主要包括身份鑒別、訪問控制、安全審計等測評項。但在云計算模式下，虛擬化技術能夠?qū)崿F(xiàn)在一臺物理機上運行多臺虛擬機。盡管虛擬機之間具有良好的隔離性，但在云計算平臺，尤其是私有云和社區(qū)云中，虛擬機之間通常需要進行交互和通信，正是這種交互為攻擊和惡意軟件的傳播提供了可能。因此，虛擬機之間的安全隔離、用戶權限劃分、數(shù)據(jù)殘留、跨虛擬機的非授權訪問是云計算環(huán)境下虛擬機安全需要重點關注的內(nèi)容。

⑷ 應用安全

應用系統(tǒng)作為承載數(shù)據(jù)的主要載體，其安全性直接關系到信息系統(tǒng)的整體安全，因此對整個系統(tǒng)的安全保密性至關重要。然而，當前絕大多數(shù)單位的應用系統(tǒng)在設計開發(fā)過程中，僅僅考慮到應用需求、系統(tǒng)的性能及技術路線的選擇等問題，缺少了應用系統(tǒng)自身的安全性?？蛻舻膽猛泄茉谠朴嬎闫脚_，面臨著安全與隱私雙重風險，主要包括多租戶環(huán)境下來自云計算服務商和其他用戶的未授權訪問、隱私保護、內(nèi)容安全管理、用戶認證和身份管理問題[6]。

⑸ 數(shù)據(jù)安全及備份恢復

在云計算模式下，客戶的數(shù)據(jù)和業(yè)務遷移至云服務商的云平臺中，數(shù)據(jù)的處理、存儲均在“云端”完成，用戶一端只具有較少的計算處理能力，數(shù)據(jù)的安全性依賴于云平臺的安全。如何確保數(shù)據(jù)遠程傳輸安全、數(shù)據(jù)集中存儲安全以及多租戶之間的數(shù)據(jù)隔離是云計算環(huán)境下迫切需要解決的問題。

3 云安全之等級保護測評

參照等級保護測評的要求，結合上述分析，云安全之等級保護測評應重點關注以下方面。

⑴ 數(shù)據(jù)中心物理與環(huán)境安全：用于業(yè)務運行和數(shù)據(jù)處理及存儲的物理設備是否位于中國境內(nèi)，從而避免產(chǎn)生司法管轄權的問題。

⑵ 虛擬網(wǎng)絡安全邊界訪問控制：是否在虛擬網(wǎng)絡邊界部署訪問控制設備，設置有效的訪問控制規(guī)則，從而控制虛機間的互訪。

⑶ 遠程訪問監(jiān)控：是否能實時監(jiān)視云服務遠程連接，并在發(fā)現(xiàn)未授權訪問時，及時采取恰當?shù)姆雷o措施。

⑷ 網(wǎng)絡邊界安全：是否采取了網(wǎng)絡邊界安全防護措施，如在整個云計算網(wǎng)絡的邊界部署安全防護設備等。

⑸ 虛擬機安全：虛擬機之間的是否安全隔離，當租戶退出云服務時是否有數(shù)據(jù)殘留，是否存在跨虛擬機的非授權訪問等。

⑹ 接口安全：是否采取有效措施確保云計算服務對外接口的安全性。

⑺ 數(shù)據(jù)安全：多租戶間的數(shù)據(jù)是否安全隔離，遠程傳輸時是否有措施確保數(shù)據(jù)的完整性和保密性，租戶業(yè)務或數(shù)據(jù)進行遷移時是否具有可移植性和互操作性。

4 結束語

云計算因其高效化、集約化和節(jié)約化的特點，受到越來越多黨政機關、企事業(yè)單位的青睞，與此同時云計算帶來的風險也是不容忽視的。本文結合云計算的特點分析了云計算模式下現(xiàn)行等級保護測評標準的一些局限性，并提出了云計算下等級保護測評需要特別關注的測評項，對云服務商、租戶和測評機構提供借鑒。值得注意的是，租戶在進行云遷移之前，首先應確定自身遷移業(yè)務的等級，其次是租用的云計算平臺等級不能低于業(yè)務系統(tǒng)的等級。

參考文獻（References）：

[1] 尹麗波.美國云計算服務安全審查值得借鑒.中國日報網(wǎng).

[2] 陳軍，薄明霞，王渭清.云安全研究進展及技術解決方案發(fā)展

趨勢[J].技術廣角，2011：50-54

[3] 潘小明，張向陽，沈錫鏞，嚴丹.云計算信息安全測評框架研究[J].

計算機時代，2013.10：22-25

[4] 房晶，吳昊，白松林.云計算的虛擬化安全問題[J].電信科學，

2012.28（4）：135-140

[5] 陳文捷，蔡立志.云環(huán)境中網(wǎng)絡邊界安全的等級保護研究[C].

第二屆全國信息安全等級保護技術大會會議論文集，2013.

第7篇：網(wǎng)絡信息安全等級保護范文

關鍵詞：信息安全；信息安全等級

中圖分類號：TP393.08文獻標識碼：A文章編號：16727800（2011）012014502

作者簡介：張新豪（1982-），男，河南鄭州人，黃河科技學院現(xiàn)代教育中心助教，研究方向為計算機應用；郭喜建（1978-），男，河南鄭州人，黃河科技學院現(xiàn)代教育中心助教，研究方向為計算機應用；宋朝（1983-），男，河南鄭州人，黃河科技學院現(xiàn)代教育技術中心職員，研究方向為信息服務質(zhì)量管理。1網(wǎng)絡信息安全

信息安全是指信息網(wǎng)絡的硬件、軟件及其系統(tǒng)中數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運行，信息服務不中斷。信息安全是一門設計計算機科學、網(wǎng)絡技術、通信技術、密碼技術、信息安全技術、應用數(shù)學、數(shù)論、信息論等多種學科的綜合性學科。從廣義上說，設計信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是信息安全的研究領域。

信息安全要實現(xiàn)的目標主要有：①真實性：對信息的來源進行判斷，能對偽造來源的信息予以鑒別；②保密性：保證機密信息不被竊聽，或竊聽者不能了解信息的真實含義；③完整性：保證數(shù)據(jù)的一致性，防止數(shù)據(jù)被非法用戶篡改；④可用性：保證合法用戶對信息和資源的使用不會被不正當?shù)木芙^；⑤不可抵賴性：建立有效的責任機制，防止用戶否認其行為；⑥可控制性：對信息的傳播及內(nèi)容具有控制能力；⑦可審查性：對出現(xiàn)的網(wǎng)絡安全故障為您能夠提供調(diào)查的依據(jù)和手段。

2網(wǎng)絡信息安全性等級

2.1信息安全等級保護

信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置。

信息安全等級保護制度是國家信息安全保障工作的基本制度、基本策略和基本方法，是促進信息化健康發(fā)展，維護國家安全、社會秩序和公共利益的根本保障。國務院法規(guī)和中央文件明確規(guī)定，要實行信息安全等級保護，重點保護基礎信息網(wǎng)絡和關系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護制度。信息安全等級保護是當今發(fā)達國家保護關鍵信息基礎設施、保障信息安全的通行做法，也是我國多年來信息安全工作經(jīng)驗的總結。開展信息安全等級保護工作不僅是保障重要信息系統(tǒng)安全的重大措施，也是一項事關國家安全、社會穩(wěn)定、國家利益的重要任務。

2.2DoD可信計算機系統(tǒng)評估準則

1983年，美國國家計算機中心發(fā)表了著名的“可信任計算機標準評價準則”（Trusted Computer Standards Evaluation Criteria，簡稱TCSEC，俗稱橘皮書）。TCSEC是在20世紀70年代的基礎理論研究成果Bell & La Padula模型基礎上提出的，其初衷是針對操作系統(tǒng)的安全性進行評估。1985年，美國國防部計算機安全中心（簡稱DoDCSC）對TCSEC文本進行了修訂，推出了“DoD可信計算機系統(tǒng)評估準則，DoD5200.28-STD”。

美國國防部計算機安全中心（DoDCSC）提出的安全性評估要求有：①安全策略：必須有一個明確的、確定的由系統(tǒng)實施的安全策略；②識別：必須唯一而可靠地識別每個主體，以便檢查主體/客體的訪問請求；③標記：必須給每個客體（目標）作一個“標號”，指明該客體的安全級別。這種結合必須做到對該目標進行訪問請求時都能得到該標號以便進行對比；④可檢查性：系統(tǒng)對影響安全的活動必須維持完全而安全的記錄。這些活動包括系統(tǒng)新用戶的引入、主體或客體的安全級別的分配和變化以及拒絕訪問的企圖；⑤保障措施：系統(tǒng)必須含實施安全性的機制并能評價其有效性；⑥連續(xù)的保護：實現(xiàn)安全性的機制必須受到保護以防止未經(jīng)批準的改變。

根據(jù)以上6條要求，“可信計算機系統(tǒng)評估準則”將計算機系統(tǒng)的安全性分為A、B、C、D 4個等級，A、B3、B2、B1、C2、C1、D 7個級別，如表1所示。

表1網(wǎng)絡安全性標準（DoD5200.28――STD）

等級名稱主要特征A可驗證的安全設計形式化的最高級描述和驗證，形式化的隱密通道分析，非形式化的代碼一致性證明B3安全域機制安全內(nèi)核，高抗?jié)B透能力B2結構化安全保護設計系統(tǒng)時必須有一個合理的總體設計方案，面向安全的體系結構，遵循最小授權原則，較好的抗?jié)B透能力，訪問控制應對所有的主體和客體提供保護，對系統(tǒng)進行隱蔽通道分析B1標號安全保護除了C2級別的安全需求外，增加安全策略模型，數(shù)據(jù)標號（安全和屬性），托管訪問控制C2受控的訪問環(huán)境存取控制以用戶為單位廣泛的審計C1選擇的安全保護有選擇的存取控制，用戶與數(shù)據(jù)分離，數(shù)據(jù)的保護以用戶組為單位D最小保護保護措施很少，沒有安全功能2.3計算機信息系統(tǒng)安全保護等級劃分準則

在我國，以《計算機信息系統(tǒng)安全保護等級劃分準則》為指導，根據(jù)信息和信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度，針對信息的保密性、完整性和可用性要求及信息系統(tǒng)必須達到的基本的安全保護水平等因素，將信息和信息系統(tǒng)的安全保護分為5個等級。

第一級：用戶自主保護級。本級的計算機信息系統(tǒng)可信計算基通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護的能力。它為用戶提供可行的手段，保護用戶和用戶組信息，避免其他用戶對數(shù)據(jù)的非法讀寫與破壞。

第二級：系統(tǒng)審計保護級。與用戶自主保護級相比，本級的計算機信息系統(tǒng)可信計算基實施了粒度更細的自主訪問控制，它通過登錄規(guī)程、審計安全性相關事件和隔離資源，使用戶對自己的行為負責。

第三級：安全標記保護級。本級的計算機信息系統(tǒng)可信計算基具有系統(tǒng)審計保護級所有功能。具有準確地標記輸出信息的能力，消除通過測試發(fā)現(xiàn)的任何錯誤。

第四級：結構化保護級。本級的計算機信息系統(tǒng)可信計算基建立于一個明確定義的形式化安全策略模型之上，將第三級系統(tǒng)中的自主和強制訪問控制擴展到所有主體與客體，同時考慮隱蔽通道。關于可信計算基則結構化為關鍵保護元素和非關鍵保護元素，必須明確定義可信計算基的接口。加強了鑒別機制，增強了配置管理控制，具有相當?shù)目節(jié)B透能力。

第五級：訪問驗證保護級。本級的計算機信息系統(tǒng)可信計算基滿足訪問監(jiān)控器需求。訪問監(jiān)控器仲裁主體對客體的全部訪問。訪問監(jiān)控器本身是抗篡改的，信息系統(tǒng)支持安全管理員職能，具有擴充審計機制，提供系統(tǒng)恢復機制。系統(tǒng)具有很高的抗?jié)B透能力。

3結束語

信息安全等級保護是國家信息安全保障的基本制度、基本策略、基本方法，是維護國家信息安全的根本保障。通過開展信息安全等級保護工作，可以有效地解決我國信息安全面臨的主要問題，將有限的財力、人力、物力投入到重要信息系統(tǒng)的安全保護中去。參考文獻：

[1]趙鵬，李劍.國內(nèi)外信息安全發(fā)展新趨勢[J].信息網(wǎng)絡安全,2011(7).

[2]肖國煜.信息系統(tǒng)等級保護測評實踐[J].信息網(wǎng)絡安全,2011(7).

[3]馬力，畢馬寧.安全保護模型與等級保護安全要求關系的研究[J].信息網(wǎng)絡安全,2011(6).

Research on Network Information Security

and Information Security Level

第8篇：網(wǎng)絡信息安全等級保護范文

信息安全等級保護工作細則

2012年4月，原北京市衛(wèi)生局按照原衛(wèi)生部下發(fā)的《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》（衛(wèi)辦發(fā)〔2011〕85號）和《衛(wèi)生部辦公廳關于全面開展衛(wèi)生行業(yè)信息安全等級保護工作的通知》（衛(wèi)辦綜函〔2011〕1126號）文件要求，統(tǒng)籌全市醫(yī)療衛(wèi)生行業(yè)信息化發(fā)展狀況以及信息安全等級保護發(fā)展狀況兩個大局，總結全市醫(yī)療衛(wèi)生行業(yè)信息安全等級保護工作開展經(jīng)驗，研究制定下發(fā)了《北京市衛(wèi)生局關于進一步加強北京市衛(wèi)生行業(yè)信息安全等級保護工作的通知》（京衛(wèi)辦字〔2012〕26號）。

這個通知不是對原衛(wèi)生部文件一個簡單的轉(zhuǎn)發(fā)，還包括了《北京地區(qū)衛(wèi)生行業(yè)信息安全等級保護工作實施細則》（以下簡稱《細則》），對原衛(wèi)生部文件提出的定級要求進行了細化。三級甲等醫(yī)院核心業(yè)務系統(tǒng)原則上信息安全等級保護定級不低于第三級，一些重要的公共衛(wèi)生信息系統(tǒng)不低于第三級，一些區(qū)域平臺信息系統(tǒng)不低于第三級，這是屬于比較大塊的分類。那么具體到醫(yī)療機構，具體到公共衛(wèi)生部門，到底什么樣的系統(tǒng)定為第三級，大家可能會感覺不太清晰。所以我們在《細則》里定義了三級甲等醫(yī)院什么樣的信息系統(tǒng)定為第三級。例如《細則》中寫道，“三級甲等醫(yī)院的核心業(yè)務信息系統(tǒng)的安全保護等級原則上不低于第三級”，應結合醫(yī)院業(yè)務及信息系統(tǒng)實際情況，從以下指標確定醫(yī)院核心業(yè)務系統(tǒng)：醫(yī)院平均日門診量；醫(yī)院住院床位數(shù)；業(yè)務系統(tǒng)承載病患個人隱私信息、一旦泄露對社會秩序構成重大影響的；業(yè)務中斷使醫(yī)院正常運營蒙受重大經(jīng)濟損失的；其他如何遭到損害會對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益產(chǎn)生重大影響的系統(tǒng)。因此，無論是醫(yī)院的門急診信息系統(tǒng)、電子病歷系統(tǒng)還是今后將要建設的其他信息系統(tǒng)，都可以從這些方面來分析，從而更準確地定級。

這個《細則》的制定使得我市醫(yī)療衛(wèi)生行業(yè)更加明確了信息安全等級保護工作的要求及落實方法，對我們之后的備案、安全整改和等級測評工作起到了很大的幫助作用。

信息安全等級保護工作開展情況

我們北京市公共衛(wèi)生信息中心（原北京市衛(wèi)生局信息中心），是北京市衛(wèi)生和計劃生育委員會直屬的事業(yè)單位，負責全市醫(yī)療衛(wèi)生行業(yè)網(wǎng)絡與信息安全指導工作。北京市的信息安全等級保護工作是從2007年開始開展的。總結來說，主要有以下幾點做法：

一是強化組織，落實責任。每年年初組織召開北京市醫(yī)療衛(wèi)生信息化工作會，市衛(wèi)生計生委領導、市公安局領導均出席會議，對全年信息安全工作提出部署，明確全行業(yè)信息安全保障重點任務，為落實全年信息安全工作的組織開展奠定了堅實的基礎。

二是聯(lián)合檢查，摸清底數(shù)。自2008年起，我們每年都與市公安局聯(lián)合開展醫(yī)療衛(wèi)生行業(yè)信息安全檢查工作。在市公安局的指導下，我們針對衛(wèi)生行業(yè)機構眾多的特點，設立了由市區(qū)兩級衛(wèi)生行政部門與市區(qū)兩級公安部門聯(lián)合檢查的工作機制。全市三級醫(yī)療機構及市衛(wèi)生局直屬單位由市衛(wèi)生計生委、市公安局負責，區(qū)縣醫(yī)療衛(wèi)生機構由區(qū)縣衛(wèi)生局與區(qū)縣公安分局聯(lián)合進行。目前，我市所有三級以上醫(yī)療機構和重要公共衛(wèi)生部門均已完成了信息安全等級保護定級和備案工作。

三是政策落實，推動整改。近幾年，市財政、市經(jīng)信委大力支持衛(wèi)生行業(yè)信息安全等級保護工作，在2012年度至2014年度的市衛(wèi)生信息化項目申報指南中，明確規(guī)定了信息安全等級保護建設屬于政府支持項目。到目前為止已有10家市屬三級醫(yī)院（世紀壇醫(yī)院、朝陽醫(yī)院、地壇醫(yī)院、兒童醫(yī)院、安定醫(yī)院、北京胸科醫(yī)院、友誼醫(yī)院、佑安醫(yī)院、中醫(yī)醫(yī)院、首都兒童研究所）完成信息整改項目的申報工作，已由市經(jīng)濟信息委審核通過項目資金共計3670.902萬元，現(xiàn)在建設資金正在陸續(xù)撥付到位。通過安全整改、等級測評，完成信息安全等級保護工作，切實提高了本市醫(yī)療衛(wèi)生機構信息安全保障能力。

四是制定預案，強化值守。

五是及時總結，持續(xù)改進。

信息安全等級保護工作的體會

從2007年開始參與信息安全等級保護工作，我個人經(jīng)歷了北京市等級保護工作推動的全過程，在這里談幾點個人對于信息安全等級保護相關工作的思考。

首先，信息安全等級保護制度為我們醫(yī)療衛(wèi)生行業(yè)帶來了很大的變化。第一是看待信息安全工作視角的變化。以前，我們可能更關注技術本身，有了等級保護要求之后，使得我們從一個整體的角度來看待信息安全這件事情。因為信息安全是符合木桶原理的，最薄弱的地方往往是最容易出現(xiàn)問題的地方，也代表著整個安全防護的水平。第二個變化是讓我們更清晰地梳理了醫(yī)療衛(wèi)生行業(yè)的信息系統(tǒng)，以往可能主要從系統(tǒng)功能來區(qū)分，現(xiàn)在會考慮從業(yè)務連續(xù)性的高低、數(shù)據(jù)安全防護需求的高低來區(qū)分。

其次，通過對信息系統(tǒng)的梳理、劃分也清楚了信息安全等級保護要求里哪些要求對我們醫(yī)療衛(wèi)生行業(yè)更適用。信息安全等級保護相關標準是各行業(yè)通用的，因此在行業(yè)內(nèi)推動時，一定要結合行業(yè)特點，按照信息安全等級保護工作要求制定適合本行業(yè)的標準和規(guī)范。我們之前推出的《細則》其實就是基于這個思路，但由于行業(yè)的復雜性，真正形成一套適合醫(yī)療衛(wèi)生行業(yè)的完整的標準規(guī)范，難度還是非常大的。

第三點，醫(yī)院的院長、信息中心主任在增加新的信息系統(tǒng)時，都應從信息安全的角度對信息系統(tǒng)進行分析，在項目規(guī)劃申報階段就將信息安全需求整合考慮?，F(xiàn)在大部分醫(yī)院都上線了移動醫(yī)療、移動護理，面向公眾開通了微信、手機App，增加這樣一些新的業(yè)務之后，醫(yī)院原有信息安全防護體系發(fā)生了較大改變，具體應如何解決？另外數(shù)字醫(yī)療設備信息安全的問題也應得到廣泛的關注，根據(jù)我們的調(diào)研，隨著影像檢查、生化檢驗等設備的數(shù)字化，這些設備都接入到醫(yī)院的信息網(wǎng)絡當中，但對這些設備的安全管理基本屬于空白，存在較多安全隱患。其實這些問題都可以在信息安全等級保護要求的指導下通過技術手段和管理制度的完善而解決。

第9篇：網(wǎng)絡信息安全等級保護范文

2013年 8月23日，在由中國電子信息產(chǎn)業(yè)發(fā)展研究院主辦，《信息安全與技術》雜志社和賽迪智庫信息安全研究所承辦的“2013 中國信息安全技術大會”上，國家信息化專家咨詢委員會委員、中國工程院院士沈昌祥發(fā)出了以上呼吁。沈昌祥院士同時強調(diào)，要落實2011年工業(yè)和信息化部的《關于加強工業(yè)控制系統(tǒng)安全管理的通知》精神，做好重點領域工業(yè)控制系統(tǒng)信息安全的管理工作，對連接、組網(wǎng)、配置、設備選擇與升級、數(shù)據(jù)、應急等管理方面的要求，要逐一落實。

可信、可控、可管

沈昌祥院士認為，隨著信息化不斷深入，工業(yè)控制系統(tǒng)已從封閉、孤立的系統(tǒng)走向互聯(lián)體系的IT系統(tǒng)，采用以太網(wǎng)、TCP/IP網(wǎng)及各種無線網(wǎng)，控制協(xié)議已遷移到應用層；采用的標準商用操作系統(tǒng)、中間件與各種通用軟件，已變成開放、互聯(lián)、通用和標準化的信息系統(tǒng)。因此，安全風險也等同于通用的信息系統(tǒng)。工業(yè)控制系統(tǒng)網(wǎng)絡架構是依托網(wǎng)絡技術，將控制計算節(jié)點構建成為工業(yè)生產(chǎn)過程控制的計算環(huán)境，是屬于等級保護信息系統(tǒng)范圍。信息安全等級保護是我國信息安全保障的基本制度，從技術和管理兩個方面進行安全建設，做到可信、可控、可管，使工業(yè)控制系統(tǒng)具有抵御高強度連續(xù)攻擊（APT）的能力。

就工業(yè)控制系統(tǒng)等級保護技術框架而言，沈昌祥院士認為，信息安全等級保護要做到三點：可信——針對計算資源（軟硬件）構建保護環(huán)境，以可信計算基（TCB）為基礎，層層擴充，對計算資源進行保護；可控——針對信息資源（數(shù)據(jù)及應用）構建業(yè)務流程控制鏈，以訪問控制為核心，實行主體（用戶）按策略規(guī)則訪問客體（信息資源）；可管——保證資源安全必須實行科學管理，強調(diào)最小權限管理，尤其是高等級系統(tǒng)實行三權分離管理體制，不許設超級用戶。針對工業(yè)控制特點，要按GB/17859要求，構建在安全管理中心支持下的計算環(huán)境、區(qū)域邊界、通信網(wǎng)絡三重防御體系是必要的且可行的，具體設計可參照GB/T25070-2010，以實現(xiàn)通信網(wǎng)絡安全互聯(lián)、區(qū)域邊界安全防護和計算環(huán)境的可信免疫。

堅持自主創(chuàng)新、縱深防御

沈昌祥院士特別強調(diào)，做好工業(yè)控制系統(tǒng)的信息安全等級保護工作，更要堅持自主創(chuàng)新、縱深防御。

他認為，工業(yè)控制系統(tǒng)是定制的運行系統(tǒng)，其資源配置和運行流程具唯一性和排它性特點，用防火墻、殺病毒、漏洞掃描不僅效果不好，而且會引起新的安全問題；堅持自主創(chuàng)新，采用可信計算技術，使每個計算節(jié)點、通信節(jié)點都有可信保障功能，系統(tǒng)資源就不會被篡改，處理流程就不會擾破壞，系統(tǒng)能按預定的目標正確運行，“震網(wǎng)”、“火焰”等病毒攻擊不查即殺。

堅持縱深防御，就是要扭轉(zhuǎn)“封堵查殺”被動局面。加強信息系統(tǒng)整體防護，建設區(qū)域隔離、系統(tǒng)控制三重防護、多級互聯(lián)體系結構；重點做好操作人員使用的終端防護，把住攻擊發(fā)起的源頭，做到操作使用安全；加強處理流程控制，防止內(nèi)部攻擊，提高計算節(jié)點自我免疫能力，減少封堵；加強技術平臺支持下的安全管理，基于安全策略，與業(yè)務處理、監(jiān)控及日常管理制度有機結合。（作者系《信息安全與技術》主編）