網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)方法精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)方法主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)方法范文

會(huì)議擬請(qǐng)公安、工業(yè)和信息化、國(guó)家保密、國(guó)家密碼管理主管部門(mén)、中國(guó)科學(xué)院、國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心等部門(mén)擔(dān)任指導(dǎo)單位，同時(shí)將出版論文集，經(jīng)專(zhuān)家評(píng)選的部分優(yōu)秀論文，將推薦至國(guó)家核心期刊發(fā)表?，F(xiàn)就會(huì)議征文的有關(guān)情況通知如下：

一、征文范圍

1. 新技術(shù)應(yīng)用環(huán)境下信息安全等級(jí)保護(hù)技術(shù)：物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、工控系統(tǒng)、移動(dòng)接入網(wǎng)、下一代互聯(lián)網(wǎng)（IPv6）等新技術(shù)、環(huán)境下的等級(jí)保護(hù)支撐技術(shù)，等級(jí)保護(hù)技術(shù)體系在新環(huán)境下的應(yīng)用方法；

2. 關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)技術(shù)：政府部門(mén)及金融、交通、電力、能源、通信、制造等重要行業(yè)網(wǎng)站、核心業(yè)務(wù)信息系統(tǒng)等安全威脅、隱患分析及防范措施；

3. 國(guó)內(nèi)外信息安全管理政策與策略：信息安全管理政策和策略研究，信息安全管理體制和機(jī)制特點(diǎn)，信息安全管理標(biāo)準(zhǔn)發(fā)展對(duì)策，網(wǎng)絡(luò)恐怖的特點(diǎn)、趨勢(shì)、危害研究；

4. 信息安全預(yù)警與突發(fā)事件應(yīng)急處置技術(shù)：攻擊監(jiān)測(cè)技術(shù)，態(tài)勢(shì)感知預(yù)警技術(shù)，安全監(jiān)測(cè)技術(shù)，安全事件響應(yīng)技術(shù)，應(yīng)急處置技術(shù)，災(zāi)難備份技術(shù)，恢復(fù)和跟蹤技術(shù)，風(fēng)險(xiǎn)評(píng)估技術(shù)；

5. 信息安全等級(jí)保護(hù)建設(shè)技術(shù)：密碼技術(shù)，可信計(jì)算技術(shù)，網(wǎng)絡(luò)實(shí)名制等體系模型與構(gòu)建技術(shù)，漏洞檢測(cè)技術(shù)，網(wǎng)絡(luò)監(jiān)測(cè)與監(jiān)管技術(shù)，網(wǎng)絡(luò)身份認(rèn)證技術(shù)，網(wǎng)絡(luò)攻防技術(shù)，軟件安全技術(shù)，信任體系研究；

6. 信息安全等級(jí)保護(hù)監(jiān)管技術(shù)：用于支撐安全監(jiān)測(cè)的數(shù)據(jù)采集、挖掘與分析技術(shù)，用于支撐安全監(jiān)管的敏感數(shù)據(jù)發(fā)現(xiàn)與保護(hù)技術(shù)，安全態(tài)勢(shì)評(píng)估技術(shù)，安全事件關(guān)聯(lián)分析技術(shù)、安全績(jī)效評(píng)估技術(shù)，電子數(shù)據(jù)取證和鑒定技術(shù)；

7. 信息安全等級(jí)保護(hù)測(cè)評(píng)技術(shù)：標(biāo)準(zhǔn)符合性檢驗(yàn)技術(shù)，安全基準(zhǔn)驗(yàn)證技術(shù)，源代碼安全分析技術(shù)，逆向工程剖析技術(shù)，滲透測(cè)試技術(shù)，測(cè)評(píng)工具和測(cè)評(píng)方法；

8. 信息安全等級(jí)保護(hù)策略與機(jī)制：網(wǎng)絡(luò)安全綜合防控體系建設(shè)，重要信息系統(tǒng)的安全威脅與脆弱性分析，縱深防御策略，大數(shù)據(jù)安全保護(hù)策略，信息安全保障工作評(píng)價(jià)機(jī)制、應(yīng)急響應(yīng)機(jī)制、安全監(jiān)測(cè)預(yù)警機(jī)制。

二、投稿要求

1. 來(lái)稿內(nèi)容應(yīng)屬于作者的科研成果，數(shù)據(jù)真實(shí)、可靠，未公開(kāi)發(fā)表過(guò)，引用他人成果已注明出處，署名無(wú)爭(zhēng)議，論文摘要及全文不涉及保密內(nèi)容；

2. 會(huì)議只接受以Word排版的電子稿件，稿件一般不超過(guò)5000字；

3. 稿件以Email方式發(fā)送到征稿郵箱；

4. 凡投稿文章被錄用且未作特殊聲明者，視為已同意授權(quán)出版；

5. 提交截止日期： 2014年5月25日。

三、聯(lián)系方式

通信地址：北京市海淀區(qū)首都體育館南路1號(hào)

郵編：100048

Email：.cn

聯(lián)系人： 范博、王晨

聯(lián)系電話：010-68773930，

13717905088，13581879819

第2篇：網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)方法范文

［關(guān)鍵詞］信息安全;等級(jí)保護(hù);云平臺(tái)

［中圖分類(lèi)號(hào)］TP39［文獻(xiàn)標(biāo)志碼］A［文章編號(hào)］1009－8054(2015)12－0116－04

0引言

國(guó)家對(duì)非信息系統(tǒng)實(shí)行等級(jí)保護(hù)制度，等級(jí)保護(hù)測(cè)評(píng)的目的在于提高國(guó)家重要信息系統(tǒng)的信息安全保障能力和水平，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)［1］。伴隨著信息安全等級(jí)保護(hù)制度的貫徹實(shí)施，信息系統(tǒng)的安全保護(hù)能力有了普遍提升，相關(guān)人員的信息安全意識(shí)同樣有了提高。等級(jí)保護(hù)測(cè)評(píng)工作是查找信息系統(tǒng)安全問(wèn)題的重要手段，國(guó)家相繼出臺(tái)了相關(guān)的標(biāo)準(zhǔn)，來(lái)規(guī)范和指導(dǎo)信息安全等級(jí)保護(hù)測(cè)評(píng)，例如GB/T22239－2008、GB/T22240－2008、GB/T28449－2012等標(biāo)準(zhǔn)。筆者在對(duì)電子政務(wù)系統(tǒng)信息安全等級(jí)保護(hù)定級(jí)以及系統(tǒng)測(cè)評(píng)方面，根據(jù)在實(shí)際工作中遇到的問(wèn)題，結(jié)合工程實(shí)踐，對(duì)測(cè)評(píng)中遇到的這些問(wèn)題進(jìn)行分析，并給出了具體的解決方法。這些問(wèn)題包括:電子政務(wù)外網(wǎng)定級(jí)與測(cè)評(píng)、測(cè)評(píng)中常見(jiàn)的重要問(wèn)題分析，以及云平臺(tái)下開(kāi)展等級(jí)保護(hù)測(cè)評(píng)工作應(yīng)關(guān)注的附加測(cè)評(píng)項(xiàng)等內(nèi)容。

1電子政務(wù)外網(wǎng)定級(jí)與測(cè)評(píng)

對(duì)于電子政務(wù)外網(wǎng)的定級(jí)，對(duì)剛剛接觸等級(jí)保護(hù)測(cè)評(píng)的機(jī)構(gòu)或測(cè)評(píng)人員來(lái)說(shuō)，可能相對(duì)陌生。以往我們開(kāi)展信息系統(tǒng)等級(jí)保護(hù)的定級(jí)和測(cè)評(píng)，都是以信息系統(tǒng)為測(cè)評(píng)單位，要對(duì)整個(gè)電子政務(wù)外網(wǎng)進(jìn)行定級(jí)，是否可行，定級(jí)范圍又是如何界定，下文將給出具體的分析。對(duì)一個(gè)信息化平臺(tái)是可以定級(jí)的，下面就以電子政務(wù)外網(wǎng)為例，來(lái)說(shuō)明具體情況。電子政務(wù)外網(wǎng)是國(guó)家電子政務(wù)重要基礎(chǔ)設(shè)施，是承載各級(jí)政務(wù)部門(mén)用于經(jīng)濟(jì)調(diào)節(jié)、市場(chǎng)監(jiān)管、社會(huì)管理和公共服務(wù)等非涉及國(guó)家秘密的業(yè)務(wù)應(yīng)用系統(tǒng)的政務(wù)公用網(wǎng)絡(luò)。電子政務(wù)外網(wǎng)的定級(jí)對(duì)象為本級(jí)政務(wù)外網(wǎng)管轄范圍內(nèi)(由邊界設(shè)備確定)的所有網(wǎng)絡(luò)、計(jì)算、存儲(chǔ)和安全防護(hù)等各類(lèi)設(shè)備、各種用于網(wǎng)絡(luò)運(yùn)維管理、安全保障的應(yīng)用系統(tǒng)、各種通信線路及支持所有軟硬件正常運(yùn)行的機(jī)房等基礎(chǔ)設(shè)施環(huán)境等。門(mén)戶網(wǎng)站系統(tǒng)、跨部門(mén)的數(shù)據(jù)共享與交換系統(tǒng)、數(shù)據(jù)中心內(nèi)的各業(yè)務(wù)應(yīng)用系統(tǒng)以及各級(jí)政務(wù)部門(mén)的各類(lèi)應(yīng)用系統(tǒng)不包括在政務(wù)外網(wǎng)的等級(jí)保護(hù)范圍內(nèi)，這些系統(tǒng)的的定級(jí)標(biāo)準(zhǔn)依據(jù)GB/T2224－2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》，測(cè)評(píng)標(biāo)準(zhǔn)依據(jù)GB/T22239－2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》。在《國(guó)家電子政務(wù)外網(wǎng)安全等級(jí)保護(hù)實(shí)施指南》中，分別給出了等級(jí)保護(hù)二級(jí)和等級(jí)保護(hù)三級(jí)的定級(jí)范圍圖。其中，等級(jí)保護(hù)二級(jí)的定級(jí)范圍圖如圖1所示。圖中標(biāo)識(shí)為紫色的區(qū)域，就是電子政務(wù)外網(wǎng)的定級(jí)范圍。對(duì)于電子政務(wù)外網(wǎng)的測(cè)評(píng)，要依據(jù)兩個(gè)方面的標(biāo)準(zhǔn)，其一是《國(guó)家電子政務(wù)外網(wǎng)安全保護(hù)等級(jí)基本要求》，在該標(biāo)準(zhǔn)中對(duì)IP承載網(wǎng)、業(yè)務(wù)區(qū)域網(wǎng)絡(luò)和管理區(qū)域網(wǎng)絡(luò)等方面提出了具體要求，包括結(jié)構(gòu)安全、訪問(wèn)控制等具體要求項(xiàng);其二是GB/T22239－2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》。電子政務(wù)外網(wǎng)按照功能區(qū)域劃分可以劃分出6個(gè)安全區(qū)域，即公用網(wǎng)絡(luò)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)、專(zhuān)用網(wǎng)絡(luò)區(qū)、用戶接入?yún)^(qū)、網(wǎng)絡(luò)和安全管理區(qū)、電子認(rèn)證區(qū)。在實(shí)際的測(cè)評(píng)工作工作中，要理解各個(gè)功能區(qū)域作用:互聯(lián)網(wǎng)接入?yún)^(qū):是政務(wù)部門(mén)通過(guò)邏輯隔離安全接入互聯(lián)網(wǎng)的網(wǎng)絡(luò)區(qū)域，滿足政務(wù)部門(mén)連接互聯(lián)網(wǎng)的需求。網(wǎng)絡(luò)管理區(qū):網(wǎng)絡(luò)管理區(qū)主要承載網(wǎng)絡(luò)管理信息系統(tǒng)，通過(guò)網(wǎng)絡(luò)管理系統(tǒng)實(shí)現(xiàn)對(duì)管轄區(qū)內(nèi)網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備的狀態(tài)監(jiān)控及相關(guān)管理等功能;安全管理區(qū):安全管理區(qū)主要承載安全管理信息系統(tǒng)，通過(guò)安全管理區(qū)實(shí)現(xiàn)對(duì)管轄區(qū)內(nèi)安全設(shè)備進(jìn)行日志采集、實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中的攻擊行為進(jìn)行報(bào)警等功能;公用網(wǎng)絡(luò)區(qū):采用統(tǒng)一分配的公共IP地址，實(shí)現(xiàn)各部門(mén)、各地區(qū)之間的互聯(lián)互通，為跨地區(qū)、跨部門(mén)的業(yè)務(wù)應(yīng)用提供數(shù)據(jù)共享與交換的網(wǎng)絡(luò)平臺(tái)。

2測(cè)評(píng)中常見(jiàn)的問(wèn)題分析

2．1網(wǎng)絡(luò)結(jié)構(gòu)方面根據(jù)調(diào)研，筆者發(fā)現(xiàn)目前一些單位的二級(jí)系統(tǒng)由于應(yīng)用架構(gòu)簡(jiǎn)單，面對(duì)互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器被部署在一個(gè)網(wǎng)段，而且部署在內(nèi)網(wǎng)區(qū)域。很顯然，該種拓?fù)浣Y(jié)構(gòu)存在的問(wèn)題主要體現(xiàn)在:1)應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)部署在一個(gè)網(wǎng)段，存在安全隱患，一旦面對(duì)互聯(lián)網(wǎng)的應(yīng)用服務(wù)器被惡意入侵，同網(wǎng)段的數(shù)據(jù)庫(kù)服務(wù)器將面臨很大的安全風(fēng)險(xiǎn)。2)面對(duì)互聯(lián)網(wǎng)的應(yīng)用服務(wù)器部署在內(nèi)網(wǎng)區(qū)域，一旦該服務(wù)器被惡意入侵，將給內(nèi)網(wǎng)安全帶來(lái)安全風(fēng)險(xiǎn)。對(duì)于該類(lèi)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，應(yīng)將應(yīng)用服務(wù)器設(shè)置在互聯(lián)網(wǎng)邊界防火墻的DMZ區(qū)域。在實(shí)際的測(cè)評(píng)工作中，我們也發(fā)現(xiàn)了個(gè)別單位擬對(duì)電子政務(wù)外網(wǎng)平臺(tái)進(jìn)行網(wǎng)絡(luò)結(jié)構(gòu)的改造，但往往又不清楚如何下手。據(jù)調(diào)研，現(xiàn)有的網(wǎng)絡(luò)拓?fù)鋱D互聯(lián)網(wǎng)出口過(guò)多，安全域劃分不合理，網(wǎng)絡(luò)區(qū)域的劃分非常分散，都是當(dāng)前網(wǎng)絡(luò)結(jié)構(gòu)方面面臨的問(wèn)題。筆者建議這些單位負(fù)責(zé)網(wǎng)絡(luò)平臺(tái)運(yùn)維的相關(guān)人員要仔細(xì)閱讀《國(guó)家電子政務(wù)外網(wǎng)安全等級(jí)保護(hù)等級(jí)基本要求》和《國(guó)家電子政務(wù)外網(wǎng)安全等級(jí)保護(hù)實(shí)施指南》這兩個(gè)標(biāo)準(zhǔn)，這個(gè)標(biāo)準(zhǔn)對(duì)電子政務(wù)外網(wǎng)功能區(qū)域的劃分，已經(jīng)給出了明確的說(shuō)明。在不了解上述標(biāo)準(zhǔn)的前提下，對(duì)現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行盲目的調(diào)整，調(diào)整的結(jié)果仍然是網(wǎng)絡(luò)區(qū)域分散，互聯(lián)網(wǎng)出口過(guò)多、系統(tǒng)化不強(qiáng)?！秶?guó)家電子政務(wù)外網(wǎng)安全等級(jí)保護(hù)實(shí)施指南》中給出的網(wǎng)絡(luò)功能區(qū)域的劃分圖如圖2所示。2．2重要網(wǎng)段防止地址欺騙為了做好重要網(wǎng)段防止地址欺騙工作?？梢詮碾p向IP/MAC綁定入手。例如:重要的管理終端與該管理終端的接入網(wǎng)關(guān)之間，要實(shí)現(xiàn)雙向綁定。在管理終端上設(shè)置網(wǎng)關(guān)的靜態(tài)ARP信息，在網(wǎng)關(guān)上將管理終端的IP－MAC輸入到靜態(tài)表中。在實(shí)際的測(cè)評(píng)中發(fā)現(xiàn)，重要網(wǎng)段防止地址欺騙在網(wǎng)絡(luò)設(shè)置中做的不多。2．3訪問(wèn)控制信息安全等級(jí)保護(hù)的兩個(gè)目的，其一是保護(hù)信息系統(tǒng)數(shù)據(jù)的安全性，其二是保證信息系統(tǒng)的業(yè)務(wù)連續(xù)性。顯然，對(duì)服務(wù)器的保護(hù)顯得重之又重。在具體的測(cè)評(píng)中，我們發(fā)現(xiàn)，在服務(wù)器區(qū)域邊界防火墻的訪問(wèn)控制策略中，源地址范圍過(guò)大是常見(jiàn)的一類(lèi)問(wèn)題，而且該策略中，對(duì)應(yīng)的端口限制粒度也往往過(guò)大。2．4單點(diǎn)故障問(wèn)題在測(cè)評(píng)中時(shí)常發(fā)現(xiàn)，一些三級(jí)系統(tǒng)未采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)鋱D，因而造成關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障。避免單點(diǎn)故障就是為了保障系統(tǒng)的高可用性。2．5非法外聯(lián)的問(wèn)題在等保測(cè)評(píng)的技術(shù)要求中，要求采用技術(shù)手段限制非法外聯(lián)行為。一些剛剛邁進(jìn)等級(jí)保護(hù)測(cè)評(píng)大門(mén)的相關(guān)人員可能會(huì)有如下錯(cuò)誤的認(rèn)識(shí):“待評(píng)測(cè)的信息系統(tǒng)面向互聯(lián)網(wǎng)提供服務(wù)，而且被測(cè)評(píng)單位的所有計(jì)算機(jī)終端設(shè)備均允許連接互聯(lián)網(wǎng)，該測(cè)評(píng)項(xiàng)因此可以判定為不適用”。實(shí)際上，上面的理解是不正確的，盡管該單位所有的終端都可以連接互聯(lián)網(wǎng)，但是這些終端都是通過(guò)該單位統(tǒng)一的互聯(lián)網(wǎng)出口出去的，而且在互聯(lián)網(wǎng)邊界必定部署了相關(guān)安全設(shè)備，如放火墻、入侵防御設(shè)備等等。如果該單位某個(gè)終端用戶采用一個(gè)3G上網(wǎng)卡連接了互聯(lián)網(wǎng)，這等于就打開(kāi)了一個(gè)新的通路，而且這條通路上沒(méi)有任何的安全防護(hù)設(shè)備，這就破壞了網(wǎng)絡(luò)的邊界完整性，給內(nèi)網(wǎng)安全帶來(lái)了隱患。因此，限制終端用戶的非法外聯(lián)行為是十分必要的。2．6密碼加密的問(wèn)題在測(cè)評(píng)中發(fā)現(xiàn)，一些數(shù)據(jù)庫(kù)的用戶表中，密碼字段仍然是明文存儲(chǔ)，顯然這是非常不安全的，建議對(duì)密碼字段進(jìn)行加密，加密可采用md5(用戶名+密碼+隨機(jī)字符串)加密方式。2．7驗(yàn)證碼繞過(guò)的問(wèn)題在應(yīng)用安全測(cè)評(píng)中，我們發(fā)現(xiàn)一些應(yīng)用系統(tǒng)仍然存在admin這樣的管理員用戶，這就給密碼猜測(cè)提供了可能，建議重命名ad-min或administrator，此外，為了避免驗(yàn)證碼繞過(guò)的問(wèn)題，應(yīng)及時(shí)更新驗(yàn)證碼(在登錄失敗時(shí)也要更新驗(yàn)證碼)，防止出現(xiàn)驗(yàn)證碼被繞過(guò)問(wèn)題的發(fā)生。2．8信息系統(tǒng)精確定級(jí)在進(jìn)行信息系統(tǒng)等級(jí)保護(hù)定級(jí)時(shí)，信息系統(tǒng)的使用單位一般都做到了信息系統(tǒng)定級(jí)，但是沒(méi)有做到準(zhǔn)確定級(jí)，也就是說(shuō)沒(méi)有根據(jù)數(shù)據(jù)的安全性等級(jí)和業(yè)務(wù)連續(xù)性的安全等級(jí)來(lái)最終定位系統(tǒng)的安全保護(hù)等級(jí)。在一個(gè)三級(jí)系統(tǒng)的等級(jí)保護(hù)測(cè)評(píng)咨詢項(xiàng)目中，用戶將信息系統(tǒng)定為三級(jí)(S3G3A3)，根據(jù)我們實(shí)際的調(diào)研發(fā)現(xiàn)，該系統(tǒng)僅僅是一個(gè)數(shù)據(jù)備份系統(tǒng)，對(duì)數(shù)據(jù)安全性要求可以達(dá)到三級(jí)要求，但對(duì)于業(yè)務(wù)連續(xù)性的要求是不需要定為三級(jí)的，因此就建議用戶對(duì)信息系統(tǒng)定級(jí)為三級(jí)(S3G3A2)，這樣一來(lái)，既保證了信息系統(tǒng)安全性，也為使用單位設(shè)計(jì)、改造該系統(tǒng)的信息安全保護(hù)能力提供了準(zhǔn)確的指導(dǎo)建議。

3云平臺(tái)環(huán)境下的信息系統(tǒng)信息安全測(cè)評(píng)

隨著云平臺(tái)的發(fā)展，一些單位將應(yīng)用部署在云服務(wù)器上，當(dāng)前云應(yīng)用存在四個(gè)方面的安全風(fēng)險(xiǎn)，一是共享技術(shù)漏洞引入的虛擬化安全風(fēng)險(xiǎn);二是云服務(wù)不可信帶來(lái)的信息安全風(fēng)險(xiǎn);三是多租戶模式帶來(lái)的數(shù)據(jù)泄露風(fēng)險(xiǎn);四是云平臺(tái)惡意使用帶來(lái)的運(yùn)營(yíng)安全風(fēng)險(xiǎn)?！疤摂M化”和“分散處理”是云平臺(tái)下兩項(xiàng)關(guān)鍵技術(shù)，而云平臺(tái)是以虛擬機(jī)系統(tǒng)作為底層架構(gòu)，因此虛擬機(jī)系統(tǒng)的安全是云安全的核心。這就給開(kāi)展等級(jí)保護(hù)測(cè)評(píng)工作引入了新的要求。圖3給出了虛擬化環(huán)境層次分析模型［2］。圖中所示的Hypervisor為管理控制程序，負(fù)責(zé)對(duì)硬件資源的調(diào)度、管理VM(虛擬機(jī))、響應(yīng)VM。在該模型中，信息系統(tǒng)采用虛擬化技術(shù)，用戶使用的服務(wù)器資源、網(wǎng)絡(luò)設(shè)備資源、安全設(shè)備資源等資源，均被放置在云端。用戶通過(guò)客戶端的瀏覽器頁(yè)面訪問(wèn)信息系統(tǒng)的WEB頁(yè)面，由云端的虛擬化管理層對(duì)用戶進(jìn)行身份驗(yàn)證，并分配相應(yīng)的資源。結(jié)合圖3所示，在進(jìn)行信息安全等級(jí)保護(hù)測(cè)評(píng)時(shí)，應(yīng)充分考慮三個(gè)層次存在的安全風(fēng)險(xiǎn)［2］:對(duì)于用戶接入層:要關(guān)注終端安全、身份認(rèn)證、通信加密、連接安全等安全風(fēng)險(xiǎn)點(diǎn);虛擬化管理層:要關(guān)注Hypervisor自身的安全性、Hypervisor特權(quán)威脅、計(jì)算資源虛擬化等安全威脅;VM層:要關(guān)注數(shù)據(jù)集中風(fēng)險(xiǎn)、逃逸威脅、VM鏡像的安全性、殘余信息保護(hù)等。針對(duì)云平臺(tái)下的信息系統(tǒng)信息安全測(cè)評(píng)，筆者認(rèn)為除了要依據(jù)GB/T22239－2008標(biāo)準(zhǔn)的基本要求對(duì)信息系統(tǒng)進(jìn)行測(cè)評(píng)外，還應(yīng)增加相應(yīng)的附加要求。這些附加要求包括:3．1網(wǎng)絡(luò)安全(1)結(jié)構(gòu)安全云服務(wù)提供商應(yīng)能提供完整的虛擬網(wǎng)絡(luò)環(huán)境說(shuō)明，包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備的部署情況及作用說(shuō)明，并提供給云平臺(tái)用戶備案;云服務(wù)提供商應(yīng)能對(duì)虛擬網(wǎng)絡(luò)的運(yùn)行狀況進(jìn)行監(jiān)控。(2)訪問(wèn)控制應(yīng)在虛擬網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，并啟用訪問(wèn)控制功能;應(yīng)在客戶端到虛擬機(jī)之間部署訪問(wèn)控制設(shè)備，并啟用訪問(wèn)控制功能。3．2主機(jī)安全(1)身份鑒別對(duì)虛擬服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止用戶鑒別信息在網(wǎng)絡(luò)傳輸中被竊聽(tīng)。(2)訪問(wèn)控制應(yīng)采用技術(shù)手段控制虛擬機(jī)與物理主機(jī)之間、虛擬機(jī)之間的互訪。(3)剩余信息保護(hù)應(yīng)采取技術(shù)措施保證虛擬資源回收時(shí)，對(duì)數(shù)據(jù)進(jìn)行清除。(4)入侵防范物理主機(jī)中應(yīng)采用監(jiān)測(cè)技術(shù)，對(duì)同一物理主機(jī)上各虛擬主機(jī)之間的通信進(jìn)行監(jiān)測(cè)。(5)資源控制應(yīng)限制每臺(tái)虛擬機(jī)資源使用的上限。(6)惡意代碼防范應(yīng)采用技術(shù)手段對(duì)虛擬機(jī)鏡像文件進(jìn)行保護(hù);在物理機(jī)和虛擬機(jī)中均應(yīng)安裝惡意代碼防范軟件，并及時(shí)更新惡意代碼軟件版本和惡意代碼庫(kù)。(7)剩余信息保護(hù)應(yīng)采取技術(shù)措施保證虛擬資源回收時(shí)，對(duì)數(shù)據(jù)進(jìn)行清除。3．3數(shù)據(jù)安全(1)數(shù)據(jù)完整性應(yīng)采用技術(shù)手段對(duì)虛擬機(jī)鏡像文件進(jìn)行完整性保護(hù)。(2)數(shù)據(jù)保密性應(yīng)采用加密或者其他保護(hù)措施實(shí)現(xiàn)虛擬鏡像文件的保密性。(3)備份和恢復(fù)對(duì)VMM(即Hypervisor)的安全配置、訪問(wèn)控制策略進(jìn)行備份。

4結(jié)語(yǔ)

信息系統(tǒng)的等級(jí)保護(hù)測(cè)評(píng)工作是實(shí)踐性非常強(qiáng)的一項(xiàng)工作，由于新技術(shù)、新產(chǎn)品的應(yīng)用都將給測(cè)評(píng)工作帶來(lái)新的挑戰(zhàn)。本文結(jié)合具體的工程實(shí)踐，對(duì)電子政務(wù)外網(wǎng)的定級(jí)進(jìn)行了闡述，對(duì)測(cè)評(píng)中發(fā)現(xiàn)的一些重要問(wèn)題進(jìn)行了分析，并結(jié)合當(dāng)前云應(yīng)用的情況，對(duì)信息安全等級(jí)保護(hù)測(cè)評(píng)的基本要求進(jìn)行補(bǔ)充。筆者也將在今后的文章中，對(duì)信息安全等級(jí)測(cè)評(píng)標(biāo)準(zhǔn)的理解與實(shí)踐，做更加詳細(xì)地陳述。

參考文獻(xiàn):

［1］孫鐵．云環(huán)境下開(kāi)展等級(jí)保護(hù)工作的思考［J］．信息網(wǎng)絡(luò)安全，2011(6):11－13．

第3篇：網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)方法范文

關(guān)鍵詞：政務(wù)外網(wǎng) 等級(jí)保護(hù) 定級(jí) 網(wǎng)絡(luò)安全

為貫徹落實(shí)公安部、國(guó)家保密局、國(guó)家密碼管理局、原國(guó)務(wù)院信息化工作辦公室于2007年7月26日聯(lián)合下發(fā)《關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》（公信安[2007]861號(hào)），國(guó)家電子政務(wù)外網(wǎng)工程建設(shè)辦公室（以下簡(jiǎn)稱“外網(wǎng)工程辦”）在2007年11月啟動(dòng)了中央級(jí)政務(wù)外網(wǎng)定級(jí)專(zhuān)項(xiàng)工作，成立了等級(jí)保護(hù)定級(jí)工作組，根據(jù)政務(wù)外網(wǎng)的實(shí)際情況和特點(diǎn)，經(jīng)過(guò)多輪內(nèi)部討論和征求專(zhuān)家意見(jiàn)后，基本完成了政務(wù)外網(wǎng)安全等級(jí)保護(hù)定級(jí)工作，為后續(xù)備案和全面開(kāi)展、實(shí)施等級(jí)保護(hù)整改和測(cè)評(píng)工作奠定了堅(jiān)實(shí)基礎(chǔ)。

一、周密部署，精心組織

為有效貫徹落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度，在總結(jié)基礎(chǔ)調(diào)查和試點(diǎn)工作的基礎(chǔ)上，根據(jù)《關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》等相關(guān)規(guī)定，2007年11月13日，電子政務(wù)外網(wǎng)工程辦召開(kāi)等級(jí)保護(hù)工作啟動(dòng)會(huì)，正式啟動(dòng)國(guó)家電子政務(wù)外網(wǎng)安全等級(jí)保護(hù)定級(jí)工作。

為確保信息系統(tǒng)等級(jí)保護(hù)工作順利進(jìn)行，外網(wǎng)工程辦領(lǐng)導(dǎo)高度重視，專(zhuān)門(mén)成立了由各主要業(yè)務(wù)部門(mén)負(fù)責(zé)人為成員的等級(jí)保護(hù)工作小組，全面負(fù)責(zé)工作的規(guī)劃、協(xié)調(diào)和指導(dǎo)，確定了外網(wǎng)工程辦安全組為等級(jí)保護(hù)工作的牽頭部門(mén)，各部門(mén)分工協(xié)作。同時(shí)，為確保系統(tǒng)劃分和定級(jí)工作的準(zhǔn)確性和合理性，2007年11月22日外網(wǎng)工程辦專(zhuān)門(mén)邀請(qǐng)專(zhuān)家，對(duì)定級(jí)工作進(jìn)行專(zhuān)項(xiàng)指導(dǎo)。

為統(tǒng)一思想，提高認(rèn)識(shí)，通過(guò)召開(kāi)等級(jí)保護(hù)專(zhuān)題會(huì)議等形式，深入學(xué)習(xí)《信息安全等級(jí)保護(hù)管理辦法》和《關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》等文件精神，使相關(guān)人員充分認(rèn)識(shí)和領(lǐng)會(huì)了開(kāi)展信息安全等級(jí)保護(hù)工作的重要性，進(jìn)一步認(rèn)識(shí)到實(shí)施信息安全等級(jí)保護(hù)不僅是信息安全管理規(guī)范化、標(biāo)準(zhǔn)化、科學(xué)化的需要，也是提高政務(wù)外網(wǎng)安全保障能力與服務(wù)水平的重要途徑，是追求自身發(fā)展與落實(shí)社會(huì)責(zé)任相一致的現(xiàn)實(shí)需要與客觀要求，從而增強(qiáng)了開(kāi)展此項(xiàng)工作的主動(dòng)性和自覺(jué)性。

二、積極做好定級(jí)各項(xiàng)工作

信息安全等級(jí)保護(hù)工作政策性強(qiáng)、技術(shù)要求高，時(shí)間又非常緊迫，為此，政務(wù)外網(wǎng)工程辦從三方面抓好定級(jí)報(bào)備前期準(zhǔn)備工作：一是積極參加公安部組織的等級(jí)保護(hù)培訓(xùn)，領(lǐng)會(huì)與理解開(kāi)展信息安全等級(jí)保護(hù)工作的目的、意義與技術(shù)要求，系統(tǒng)地掌握信息安全等級(jí)保護(hù)的基礎(chǔ)知識(shí)、實(shí)施過(guò)程、定級(jí)方法步驟和備案流程等。二是多次組織人員開(kāi)展內(nèi)部討論和交流，使人員較全面地了解等級(jí)保護(hù)的意義、基礎(chǔ)知識(shí)和定級(jí)方法。三是開(kāi)展工程辦各組的業(yè)務(wù)應(yīng)用摸底調(diào)查，摸清系統(tǒng)的系統(tǒng)結(jié)構(gòu)、業(yè)務(wù)類(lèi)型和應(yīng)用范圍，并匯總整理了政務(wù)外網(wǎng)各組成域的相關(guān)概況。

三、科學(xué)準(zhǔn)確定級(jí)

在開(kāi)展政務(wù)外網(wǎng)定級(jí)工作的過(guò)程中突出重點(diǎn)，全面分析政務(wù)外網(wǎng)網(wǎng)絡(luò)基礎(chǔ)平臺(tái)的特點(diǎn)，力求準(zhǔn)確劃定定級(jí)范圍和定級(jí)對(duì)象。在此基礎(chǔ)上，依據(jù)《信息安全等級(jí)保護(hù)管理辦法》，確定政務(wù)外網(wǎng)各組成子系統(tǒng)（網(wǎng)絡(luò)域）的安全保護(hù)等級(jí)。

劃定定級(jí)對(duì)象。根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》，外網(wǎng)工程辦多次組織技術(shù)和業(yè)務(wù)骨干召開(kāi)專(zhuān)題會(huì)議討論信息系統(tǒng)劃分問(wèn)題，提出了較為科學(xué)合理的信息系統(tǒng)劃分方案。

初步確定了信息系統(tǒng)等級(jí)。根據(jù)系統(tǒng)劃分結(jié)果，組織各業(yè)務(wù)部門(mén)參與并初步確定了各系統(tǒng)等級(jí)，完成了自定級(jí)報(bào)告的起草。

組織專(zhuān)家自評(píng)把關(guān)。根據(jù)等級(jí)保護(hù)評(píng)審的標(biāo)準(zhǔn)與要求，專(zhuān)家們對(duì)信息系統(tǒng)劃分和定級(jí)報(bào)告進(jìn)行內(nèi)部評(píng)審，并給出了內(nèi)部評(píng)審意見(jiàn)。根據(jù)專(zhuān)家意見(jiàn)重新修改并整理了等級(jí)保護(hù)定級(jí)報(bào)告及其相關(guān)材料。

此外，在定級(jí)過(guò)程中，外網(wǎng)工程辦積極與公安部等級(jí)保護(hù)主管部門(mén)進(jìn)行溝通，并經(jīng)由相關(guān)專(zhuān)家確認(rèn)定級(jí)對(duì)象與等級(jí)保護(hù)方案后，整理好了所有定級(jí)材料，準(zhǔn)備下一步的正式評(píng)審。

四、定級(jí)對(duì)象和結(jié)果

根據(jù)政務(wù)外網(wǎng)作為基礎(chǔ)網(wǎng)絡(luò)平臺(tái)的特性，以及其接入系統(tǒng)的不同業(yè)務(wù)類(lèi)型，政務(wù)外網(wǎng)按管理邊界劃分為中央政務(wù)外網(wǎng)、地方政務(wù)外網(wǎng)兩類(lèi)管理域。中央政務(wù)外網(wǎng)按業(yè)務(wù)邊界劃分功能區(qū)，即公用網(wǎng)絡(luò)平臺(tái)區(qū)、專(zhuān)用VPN網(wǎng)絡(luò)區(qū)以及互聯(lián)網(wǎng)接入?yún)^(qū)，在各功能區(qū)內(nèi)又根據(jù)業(yè)務(wù)類(lèi)型和系統(tǒng)服務(wù)的不同，確定了多個(gè)業(yè)務(wù)系統(tǒng)，主要有安全管理系統(tǒng)、應(yīng)用平臺(tái)系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)、郵件系統(tǒng)、VPN業(yè)務(wù)、互聯(lián)網(wǎng)數(shù)據(jù)中心等六個(gè)系統(tǒng)作為本次等級(jí)保護(hù)定級(jí)工作的定

級(jí)對(duì)象，分別予以定級(jí)（確定等級(jí)結(jié)果如表1所示）。

作者簡(jiǎn)介：

羅海寧，1980年生，男，漢族，工程師，在職碩士，專(zhuān)業(yè)方向：網(wǎng)絡(luò)與信息安全。

郭紅，1966年生，女，漢族，高級(jí)工程師，在職碩士，專(zhuān)業(yè)方向：網(wǎng)絡(luò)安全。

第4篇：網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)方法范文

[關(guān)鍵詞] 電子政務(wù) 信息安全 等級(jí)保護(hù) 風(fēng)險(xiǎn)評(píng)估

1 概述

電子政務(wù)是政府管理方式的革命,它是運(yùn)用信息以及通信技術(shù)打破行政機(jī)關(guān)的組織界限,構(gòu)建一個(gè)電子化的虛擬機(jī)關(guān),使公眾擺脫傳統(tǒng)的層層關(guān)卡以及書(shū)面審核的作業(yè)方式,并依據(jù)人們的需求、人們可以獲取的方式、人們要求的時(shí)間及地點(diǎn)等,高效快捷地向人們提供各種不同的服務(wù)選擇。政府機(jī)關(guān)之間以及政府與社會(huì)各界之間也經(jīng)由各種電子化渠道進(jìn)行相互溝通。

電子政務(wù)的建立將使政府社會(huì)服務(wù)職能得到最大程度的發(fā)揮,但也使政府敏感信息暴露在無(wú)孔不入的網(wǎng)絡(luò)威脅面前。由于電子政務(wù)信息網(wǎng)絡(luò)上有相當(dāng)多的政府公文在流轉(zhuǎn),其中不乏重要信息,內(nèi)部網(wǎng)絡(luò)上有著大量高度機(jī)密的數(shù)據(jù)和信息,直接涉及政府的核心政務(wù),它關(guān)系到政府部門(mén)、各大系統(tǒng)乃至整個(gè)國(guó)家的利益,有的甚至涉及國(guó)家安全。因此,電子政務(wù)信息安全是制約電子政務(wù)建設(shè)與發(fā)展的首要問(wèn)題和核心問(wèn)題,是電子政務(wù)的職能與優(yōu)勢(shì)得以實(shí)現(xiàn)的根本前提。如果電子政務(wù)信息安全得不到保障,不僅電子政務(wù)的便利與效率無(wú)從保證,更會(huì)給國(guó)家利益帶來(lái)嚴(yán)重威脅。

2 電子政務(wù)信息系統(tǒng)面臨的威脅

電子政務(wù)涉及對(duì)政府機(jī)密信息和敏感政務(wù)的保護(hù)、維護(hù)公共秩序和行政監(jiān)管的準(zhǔn)確實(shí)施以及為保障社會(huì)提供公共服務(wù)的質(zhì)量。電子政務(wù)作為政府有效決策、管理、服務(wù)的重要手段,必然會(huì)遇到各種敵對(duì)勢(shì)力、恐怖集團(tuán)、搗亂分子的破壞和攻擊。尤其是,電子政務(wù)在基于互聯(lián)網(wǎng)的網(wǎng)絡(luò)平臺(tái)上,他包括政務(wù)內(nèi)網(wǎng)、政務(wù)外網(wǎng)和互聯(lián)網(wǎng),而互聯(lián)網(wǎng)是一個(gè)無(wú)行政主管的全球網(wǎng)絡(luò),自身缺少設(shè)防,安全隱患很多,使得不法分子利用互聯(lián)網(wǎng)進(jìn)行犯罪有機(jī)可乘,這就使得基于互聯(lián)網(wǎng)開(kāi)展的電子政務(wù)應(yīng)用面臨著嚴(yán)峻的挑戰(zhàn)。

對(duì)電子政務(wù)的安全威脅包括網(wǎng)上黑客入侵和犯罪、病毒泛濫和蔓延,信息間諜的潛入和竊密,網(wǎng)絡(luò)恐怖集團(tuán)的攻擊和破壞,內(nèi)部人員的違規(guī)和違法操作,網(wǎng)絡(luò)系統(tǒng)的脆弱和癱瘓,信息安全產(chǎn)品的失控等,對(duì)于這些威脅,電子政務(wù)的建設(shè)和應(yīng)用應(yīng)引起足夠警惕,采取果斷的安全措施,應(yīng)對(duì)這種挑戰(zhàn)。

3 電子政務(wù)信息安全管理體系的構(gòu)建

要有效維護(hù)電子政務(wù)信息系統(tǒng)的安全,就需要構(gòu)建電子政務(wù)安全管理體系,從而使政務(wù)的信息基礎(chǔ)設(shè)施、信息應(yīng)用服務(wù)能夠具有保密性、完整性、真實(shí)性和可用性。電子政務(wù)安全管理體系包括安全技術(shù)體系、安全管理體系和安全服務(wù)體系,涉及從管理到組織,從網(wǎng)絡(luò)到數(shù)據(jù),從法規(guī)標(biāo)準(zhǔn)到基礎(chǔ)設(shè)施等各個(gè)方面。

3.1 加強(qiáng)安全技術(shù)力量是實(shí)現(xiàn)電子政務(wù)安全的基本方法

安全技術(shù)體系是利用技術(shù)手段實(shí)現(xiàn)技術(shù)層面的安全保護(hù),是對(duì)電子政務(wù)安全防護(hù)體系的完善,包括網(wǎng)絡(luò)安全體系、數(shù)據(jù)安全傳輸與存儲(chǔ)體系,功能主要是通過(guò)各種技術(shù)手段實(shí)現(xiàn)技術(shù)層次的安全保護(hù)。

網(wǎng)絡(luò)安全體系包括網(wǎng)閘、入侵檢測(cè)、漏洞檢測(cè)、外聯(lián)和接入檢測(cè)、補(bǔ)丁管理、防火墻、身份鑒別和認(rèn)證、系統(tǒng)訪問(wèn)控制、網(wǎng)絡(luò)審計(jì)等;數(shù)據(jù)安全與傳輸與存儲(chǔ)體系包括數(shù)據(jù)備份恢復(fù)、PKI/CA、PMI等。整個(gè)電子政務(wù)的安全,涉及信息安全產(chǎn)品的全局配套和科學(xué)布置,產(chǎn)品選擇應(yīng)充分考慮產(chǎn)品的自和自控權(quán)。在關(guān)鍵技術(shù)、經(jīng)營(yíng)管理、生產(chǎn)規(guī)模、服務(wù)觀念等方面,要集中人力、物力,制訂相關(guān)政策,大力發(fā)展自主知識(shí)產(chǎn)權(quán)的計(jì)算機(jī)芯片、操作系統(tǒng)等信息安全技術(shù)產(chǎn)品,以確保關(guān)鍵政府部門(mén)的信息系統(tǒng)的網(wǎng)絡(luò)安全。加強(qiáng)核心技術(shù)的自主研發(fā),并盡快使之產(chǎn)品化和產(chǎn)業(yè)化,尤其是操作系統(tǒng)技術(shù)和計(jì)算機(jī)芯片技術(shù)?，F(xiàn)階段各地政府部門(mén)目前所選用的高端軟硬件平臺(tái),很多都是國(guó)外公司的產(chǎn)品,這也對(duì)政務(wù)安全帶來(lái)了許多隱患。因此,在構(gòu)建電子政務(wù)系統(tǒng)的時(shí)候,在可能的情況下,我們應(yīng)盡量選用國(guó)產(chǎn)化技術(shù)和國(guó)內(nèi)公司的產(chǎn)品。

3.2 構(gòu)建安全管理體系是電子政務(wù)安全實(shí)施的重要基礎(chǔ)

安全管理是解決電子政務(wù)的安全問(wèn)題在技術(shù)以外的另一有力保障和途徑。由于安全的防范技術(shù)與破壞技術(shù)總是“勢(shì)均力敵”、“相互促進(jìn)”的。作為防范者就更應(yīng)該在安全防范的管理上下更大的工夫。安全管理主要涉及三個(gè)方面:法律法規(guī)、安全防護(hù)體系以及等級(jí)保護(hù)政策。

3.2.1法律政策、規(guī)章制度和標(biāo)準(zhǔn)規(guī)范

電子政務(wù)的工作內(nèi)容和工作流程涉及到國(guó)家秘密與核心政務(wù),它的安全關(guān)系到國(guó)家的、國(guó)家的安全和公眾利益,所以電子政務(wù)的安全實(shí)施和保障,必須以國(guó)家法規(guī)形式將其固化,形成全國(guó)共同遵守的規(guī)約。目前,世界上很多國(guó)家制定了與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī),如英國(guó)的《官方信息保護(hù)法》等。我國(guó)雖然頒發(fā)了一些與網(wǎng)絡(luò)安全有關(guān)的法律法規(guī),如《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》等等,但顯得很零散,還缺乏關(guān)于電子政務(wù)網(wǎng)絡(luò)安全的專(zhuān)門(mén)法規(guī)。此外,在完善法律法規(guī)的同時(shí),還應(yīng)該加大執(zhí)法力度,嚴(yán)格執(zhí)法,這一目標(biāo)的實(shí)現(xiàn)不僅需要政府組織的努力,更要國(guó)家立法機(jī)構(gòu)的參與和支持。

3.2.2電子政務(wù)防護(hù)體系

貫穿整個(gè)電子政務(wù)的安全防護(hù)體系,對(duì)電子政務(wù)安全實(shí)施起全面的指導(dǎo)作用,具體包括三個(gè)方面的內(nèi)容:安全組織機(jī)構(gòu)、安全人事管理、以及安全責(zé)任制度。建立安全組織機(jī)構(gòu),其目的是統(tǒng)一規(guī)劃各級(jí)網(wǎng)絡(luò)系統(tǒng)的安全、制定完善的安全策略和措施、協(xié)調(diào)各方面的安全事宜,主要職責(zé)包括制定整體安全策略、明確規(guī)章制度、落實(shí)各項(xiàng)安全措施實(shí)施,以及制訂安全應(yīng)急方案和保密信息的安全策略;安全人事管理,其主要內(nèi)容包括:人事審查與錄用、崗位與責(zé)任范圍的確定、工作評(píng)價(jià)、人事檔案管理、提升、調(diào)動(dòng)與免職、基礎(chǔ)培訓(xùn)等;制定和落實(shí)安全責(zé)任制度,包括系統(tǒng)運(yùn)行維護(hù)管理制度、計(jì)算機(jī)處理控制管理制度、文檔資料管理制度、操作和管理人員管理制度、機(jī)房安全管理制度、定期檢查與監(jiān)督制度、網(wǎng)絡(luò)通信安全管理制度、病毒防治管理制度、安全等級(jí)保護(hù)制度、對(duì)外交流安全維護(hù)制度,以及對(duì)外合作制度等。

3.2.3等級(jí)保護(hù)制度

通過(guò)全面推行信息安全等級(jí)保護(hù)制度,逐步將信息安全等級(jí)保護(hù)制度落實(shí)到信息系統(tǒng)安全規(guī)劃、建設(shè)、測(cè)評(píng)、運(yùn)行維護(hù)和使用等各個(gè)環(huán)節(jié),使信息安全保障狀況得到基本改善。通過(guò)加強(qiáng)和規(guī)范信息安全等級(jí)保護(hù)管理,不斷提高信息安全保障能力,為維護(hù)信息網(wǎng)絡(luò)的安全穩(wěn)定,促進(jìn)信息化發(fā)展服務(wù)。

4 完善安全服務(wù)是維護(hù)電子政務(wù)安全實(shí)施的有力保障

4.1 安全等級(jí)測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估管理

電子政務(wù)信息系統(tǒng)安全測(cè)評(píng)服務(wù),其實(shí)質(zhì)是通過(guò)科學(xué)、規(guī)范、公正的測(cè)試和評(píng)估向被測(cè)評(píng)單位證實(shí)其信息系統(tǒng)的安全性能符合等級(jí)保護(hù)的要求。

由于信息安全直接涉及國(guó)家利益、安全和,政府對(duì)信息產(chǎn)品、信息系統(tǒng)安全性的測(cè)評(píng)認(rèn)證要更為嚴(yán)格。對(duì)信息系統(tǒng)和信息安全技術(shù)中的核心技術(shù),由政府直接控制,在信息安全各主管部門(mén)的支持和指導(dǎo)下,依托專(zhuān)業(yè)的職能機(jī)構(gòu)提供技術(shù)支持,形成政府的行政管理與技術(shù)支持相結(jié)合、相依賴的管理體制。 風(fēng)險(xiǎn)管理是對(duì)項(xiàng)目風(fēng)險(xiǎn)的識(shí)別、分析和應(yīng)對(duì)過(guò)程。它包括對(duì)正面事件效果的最大化及對(duì)負(fù)面事件影響的最小化。電子政務(wù)安全風(fēng)險(xiǎn)管理的主要任務(wù)是電子政務(wù)信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估并提出風(fēng)險(xiǎn)緩解措施,前者是識(shí)別并分析系統(tǒng)中的風(fēng)險(xiǎn)因素,估計(jì)可能造成的損失,后者是選擇和實(shí)施安全控制,將風(fēng)險(xiǎn)降低到一個(gè)可接受的水平。

4.2 安全培訓(xùn)服務(wù)

根據(jù)不同層次的人才需求,社會(huì)化的信息安全人才培養(yǎng)體系應(yīng)分為專(zhuān)業(yè)型教育、應(yīng)用型教育和安全素養(yǎng)教育三個(gè)層次。專(zhuān)業(yè)型教育主要是培養(yǎng)信息安全領(lǐng)域的專(zhuān)業(yè)研發(fā)、工程技術(shù)、戰(zhàn)略管理等方面的人才。應(yīng)用型(半專(zhuān)業(yè))教育則是以從事現(xiàn)代信息管理工作的人作為對(duì)象,培養(yǎng)目標(biāo)是要求學(xué)生具備信息安全的基本知識(shí)、網(wǎng)絡(luò)和信息系統(tǒng)安全防范技能、組織機(jī)構(gòu)或系統(tǒng)安全管理的能力等。這種應(yīng)用型的信息安全教育要求受教育對(duì)象數(shù)量要多,覆蓋面要廣,基本信息技能要強(qiáng)。通過(guò)課程、講座、宣傳等多種形式,達(dá)到讓每一個(gè)人都具備必要的安全意識(shí)和常規(guī)的信息安全自我防范技術(shù)的目的。要求單位領(lǐng)導(dǎo)應(yīng)具備必要信息安全意識(shí)和安全知識(shí);信息管理人員應(yīng)具備一定的信息安全知識(shí)和基本技能;從事信息服務(wù)或信息安全服務(wù)的有關(guān)人員應(yīng)具備必要的信息安全知識(shí)和技術(shù)基礎(chǔ)等。

構(gòu)建安全穩(wěn)定的政務(wù)信息系統(tǒng),技術(shù)、管理、服務(wù)作為支撐體系的三大要素,缺一不可。只有這三方面都做好了,才能實(shí)現(xiàn)海西政務(wù)信息管理體系的全面提升。

參考文獻(xiàn):

[1] 何玲,電子政務(wù)環(huán)境下政府電子文件管理新探索[D].成都:四川大學(xué)碩士學(xué)位論文,2008.

第5篇：網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)方法范文

關(guān)鍵詞：證券行業(yè)信息安全網(wǎng)絡(luò)安全體系

近年來(lái)，我國(guó)資本市場(chǎng)發(fā)展迅速，市場(chǎng)規(guī)模不斷擴(kuò)大，社會(huì)影響力不斷增強(qiáng)．成為國(guó)民經(jīng)濟(jì)巾的重要組成部分，也成為老百姓重要的投資理財(cái)渠道。資本市場(chǎng)的穩(wěn)定健康發(fā)展，關(guān)系著億萬(wàn)投資者的切身利益，關(guān)系著社會(huì)穩(wěn)定和國(guó)家金融安全的大局。證券行業(yè)作為金融服務(wù)業(yè)，高度依賴信息技術(shù)，而信息安全是維護(hù)資本市場(chǎng)穩(wěn)定的前提和基礎(chǔ)。沒(méi)有信息安全就沒(méi)有資本市場(chǎng)的穩(wěn)定。

目前．國(guó)內(nèi)外網(wǎng)絡(luò)信息安全問(wèn)題日益突出。從資本市場(chǎng)看，近年來(lái)，隨著市場(chǎng)快速發(fā)展，改革創(chuàng)新深入推進(jìn)，市場(chǎng)交易模式日趨集巾化，業(yè)務(wù)處理邏輯日益復(fù)雜化，網(wǎng)絡(luò)安全事件、公共安全事件以及水災(zāi)冰災(zāi)、震災(zāi)等自然災(zāi)害都對(duì)行業(yè)信息系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行帶來(lái)新的挑戰(zhàn)。資本市場(chǎng)交易實(shí)時(shí)性和整體性強(qiáng)，交易時(shí)問(wèn)內(nèi)一刻也不能中斷。加強(qiáng)信息安全應(yīng)急丁作，積極采取預(yù)防、預(yù)警措施，快速、穩(wěn)妥地處置信息安全事件，盡力減少事故損失，全力維護(hù)交易正常，對(duì)于資本市場(chǎng)來(lái)說(shuō)至關(guān)重要。

1證券行業(yè)倍息安全現(xiàn)狀和存在的問(wèn)題

1．1行業(yè)信息安全法規(guī)和標(biāo)準(zhǔn)體系方面

健全的信息安全法律法規(guī)和標(biāo)準(zhǔn)體系是確保證券行業(yè)信息安全的基礎(chǔ)。是信息安全的第一道防線。為促進(jìn)證券市場(chǎng)的平穩(wěn)運(yùn)行，中國(guó)證監(jiān)會(huì)自1998年先后了一系列信息安全法規(guī)和技術(shù)標(biāo)準(zhǔn)。其中包括2個(gè)信息技術(shù)管理規(guī)范、2個(gè)信息安全等級(jí)保護(hù)通知、1個(gè)信息安全保障辦法、1個(gè)信息通報(bào)方法和10個(gè)行業(yè)技術(shù)標(biāo)準(zhǔn)。行業(yè)信息安全法規(guī)和標(biāo)準(zhǔn)體系的初步形成，推動(dòng)了行業(yè)信息化建設(shè)和信息安全工作向規(guī)范化、標(biāo)準(zhǔn)化邁進(jìn)。

雖然我國(guó)涉及信息安全的規(guī)范性文件眾多，但在現(xiàn)行的法律法規(guī)中。立法主體較多，法律法規(guī)體系龐雜而缺乏統(tǒng)籌規(guī)劃。面對(duì)新形勢(shì)下信息安全保障工作的發(fā)展需要，行業(yè)信息安全工作在政策法規(guī)和標(biāo)準(zhǔn)體系方面的問(wèn)題也逐漸顯現(xiàn)。一是法規(guī)和標(biāo)準(zhǔn)建設(shè)滯后，缺乏總體規(guī)劃；二是規(guī)范和標(biāo)準(zhǔn)互通性和協(xié)調(diào)性不強(qiáng)，部分規(guī)范和標(biāo)準(zhǔn)的可執(zhí)行性差；三是部分規(guī)范和標(biāo)準(zhǔn)已不適應(yīng)，無(wú)法應(yīng)對(duì)某些新型信息安全的威脅；四是部分信息安全規(guī)范和標(biāo)準(zhǔn)在行業(yè)內(nèi)難以得到落實(shí)。

1．2組織體系與信息安全保障管理模型方面

任何安全管理措施或技術(shù)手段都離不開(kāi)人員的組織和實(shí)施，組織體系是信息安全保障工作的核心。目前，證券行業(yè)采用“統(tǒng)一組織、分工有序”的信息安全工作體系，分為決策層、管理層、執(zhí)行層。

為加強(qiáng)證券期貨業(yè)信息安全保障工作的組織協(xié)調(diào)，建立健全信息安全管理制度和運(yùn)行機(jī)制，切實(shí)提高行業(yè)信息安全保障工作水平，根據(jù)證監(jiān)會(huì)頒布的《證券期貨業(yè)信息安全保障管理暫行辦法》，參照ISO／IEC27001：2005，提出證券期貨業(yè)信息安全保障管理體系框架。該體系框架采用立方體架構(gòu)．頂面是信息安全保障的7個(gè)目標(biāo)(機(jī)密性、完整性、可用性、真實(shí)性、可審計(jì)性、抗抵賴性、可靠性)，正面是行業(yè)組織結(jié)構(gòu)．側(cè)面是各個(gè)機(jī)構(gòu)為實(shí)現(xiàn)信息安全保障目標(biāo)所采取的措施和方式。

1．3IT治理方面

整個(gè)證券業(yè)處于高度信息化的背景下，IT治理已直接影響到行業(yè)各公司實(shí)現(xiàn)戰(zhàn)略目標(biāo)的可能性，良好的IT治理有助于增強(qiáng)公司靈活性和創(chuàng)新能力，規(guī)避IT風(fēng)險(xiǎn)。通過(guò)建立IT治理機(jī)制，可以幫助最高管理層發(fā)現(xiàn)信息技術(shù)本身的問(wèn)題。幫助管理者處理IT問(wèn)題，自我評(píng)估IT管理效果．可以加強(qiáng)對(duì)信息化項(xiàng)目的有效管理，保證信息化項(xiàng)目建設(shè)的質(zhì)量和應(yīng)用效果，使有限的投入取得更大的績(jī)效。

2003年lT治理理念引入到我國(guó)證券行業(yè)，當(dāng)前我國(guó)證券業(yè)企業(yè)的IT治理存在的問(wèn)題：一是IT資源在公司的戰(zhàn)略資產(chǎn)中的地位受到高層重視，但具體情況不清楚；二是IT治理缺乏明確的概念描述和參數(shù)指標(biāo)；是lT治理的責(zé)任與職能不清晰。

1．4網(wǎng)絡(luò)安全和數(shù)據(jù)安全方面

隨著互聯(lián)網(wǎng)的普及以及網(wǎng)上交易系統(tǒng)功能的不斷豐富、完善和使用的便利性，網(wǎng)上交易正逐漸成為證券投資者交易的主流模式。據(jù)統(tǒng)計(jì)，2008年我同證券網(wǎng)上交易量比重已超過(guò)總交易量的80％。雖然交易系統(tǒng)與互聯(lián)網(wǎng)的連接，方便了投資者。但由于互聯(lián)網(wǎng)的開(kāi)放性，來(lái)自互聯(lián)網(wǎng)上的病毒、小馬、黑客攻擊以及計(jì)算機(jī)威脅事件，都時(shí)刻威脅著行業(yè)的信息系統(tǒng)安全，成為制約行業(yè)平穩(wěn)、安全發(fā)展的障礙。此，維護(hù)網(wǎng)絡(luò)和數(shù)據(jù)安全成為行業(yè)信息安全保障工作的重要組成部分。近年來(lái)，證券行業(yè)各機(jī)構(gòu)采取了一系列措施，建立了相對(duì)安全的網(wǎng)絡(luò)安全防護(hù)體系和災(zāi)舴備份系統(tǒng)，基木保障了信息系統(tǒng)的安全運(yùn)行。但細(xì)追究起來(lái)，我國(guó)證券行業(yè)的網(wǎng)絡(luò)安全防護(hù)體系及災(zāi)備系統(tǒng)建設(shè)還不夠完善，還存存以下幾方面的問(wèn)題：一是網(wǎng)絡(luò)安全防護(hù)體系缺乏統(tǒng)一的規(guī)劃；二是網(wǎng)絡(luò)訪問(wèn)控制措施有待完善；三是網(wǎng)上交易防護(hù)能力有待加強(qiáng)；四是對(duì)數(shù)據(jù)安全重視不夠，數(shù)據(jù)備份措施有待改進(jìn)；五是技術(shù)人員的專(zhuān)業(yè)能力和信息安全意識(shí)有待提高。

1．5IT人才資源建設(shè)方面

近20年的發(fā)展歷程巾，證券行業(yè)對(duì)信息系統(tǒng)日益依賴，行業(yè)IT隊(duì)伍此不斷發(fā)展壯大。據(jù)統(tǒng)計(jì)，2008年初，在整個(gè)證券行業(yè)中，103家證券公司共有IT人員7325人，占證券行業(yè)從業(yè)總?cè)藬?shù)73990人的9．90％，總體上達(dá)到了行業(yè)協(xié)會(huì)的IT治理工作指引中“IT工作人員總數(shù)原則上應(yīng)不少于公司員工總?cè)藬?shù)的6％”的最低要求。目前，證券行業(yè)的IT隊(duì)伍肩負(fù)著信息系統(tǒng)安全、平穩(wěn)、高效運(yùn)行的重任，IT隊(duì)伍建設(shè)是行業(yè)信息安全I(xiàn)T作的根本保障。但是，IT人才隊(duì)伍依然存在著結(jié)構(gòu)不合理、后續(xù)教育不足等問(wèn)題，此行業(yè)的人才培養(yǎng)有待加強(qiáng)。

2采取的對(duì)策和措施

2．1進(jìn)一步完善法規(guī)和標(biāo)準(zhǔn)體系

首先，在法規(guī)規(guī)劃上，要統(tǒng)籌兼顧，制定科學(xué)的信息技術(shù)規(guī)范和標(biāo)準(zhǔn)體系框架。一是全面做好立法規(guī)劃；二是建立科學(xué)的行業(yè)信息安全標(biāo)準(zhǔn)和法規(guī)體系層次。行業(yè)信息安全標(biāo)準(zhǔn)和法規(guī)體系初步劃分為3層：第一層是管理辦法等巾同證監(jiān)會(huì)部門(mén)規(guī)章；第二層是證監(jiān)會(huì)相關(guān)部門(mén)制定的管理規(guī)范等規(guī)范性文件；第三層是技術(shù)指引等自律規(guī)則，一般由交易所、行業(yè)協(xié)會(huì)在證監(jiān)會(huì)總體協(xié)調(diào)下組織制定。其次，在法規(guī)制定上．要兼顧規(guī)范和發(fā)展，重視法規(guī)的可行性。最后，在法規(guī)實(shí)施上．要堅(jiān)持規(guī)范和指引相結(jié)合，重視監(jiān)督檢查和責(zé)任落實(shí)。

2．2深入開(kāi)展證券行業(yè)IT治理工作

2．2．1提高IT治理意識(shí)

中國(guó)證券業(yè)協(xié)會(huì)要進(jìn)一步加強(qiáng)IT治理理念的教育宣傳工作，特別是對(duì)會(huì)員單位高層領(lǐng)導(dǎo)的IT治理培訓(xùn)，將IT治理的定義、工具、模型等理論知識(shí)納入到高管任職資格考試的內(nèi)容之中。通過(guò)舉辦論壇、交流會(huì)等形式強(qiáng)化證券經(jīng)營(yíng)機(jī)構(gòu)的IT治理意識(shí)，提高他們IT治理的積極性。

2．2．2通過(guò)設(shè)立IT治理試點(diǎn)形成以點(diǎn)帶面的示范效應(yīng)

根據(jù)IT治理模型的不同特點(diǎn)，建議證券公司在決策層使用CISR模型，通過(guò)成立lT治理委員會(huì)，建立各部門(mén)之間的協(xié)調(diào)配合、監(jiān)督制衡的責(zé)權(quán)體系；在執(zhí)行層以COBIT模型、ITFL模型等其他模型為補(bǔ)充，規(guī)范信息技術(shù)部門(mén)的各項(xiàng)控制和管理流程。同時(shí)，證監(jiān)會(huì)指定一批證券公司和基金公司作為lT試點(diǎn)單位，進(jìn)行IT治理模型選擇、剪裁以及組合的實(shí)踐探索，形成一批成功實(shí)施IT治理的優(yōu)秀范例，以點(diǎn)帶面地提升全行業(yè)的治理水平。

2．3通過(guò)制定行業(yè)標(biāo)準(zhǔn)積極落實(shí)信息安全等級(jí)保護(hù)

行業(yè)監(jiān)管部門(mén)在推動(dòng)行業(yè)信息安全等級(jí)保護(hù)工作中的作用非常關(guān)鍵．應(yīng)進(jìn)一步明確監(jiān)管部門(mén)推動(dòng)行業(yè)信息安全等級(jí)保護(hù)工作的任務(wù)和工作機(jī)制，統(tǒng)一部署、組織行業(yè)的等級(jí)保護(hù)丁作，為該項(xiàng)丁作的順利開(kāi)展提供組織保證。行業(yè)各機(jī)構(gòu)應(yīng)采取自主貫徹信息系統(tǒng)等級(jí)保護(hù)的行業(yè)要求，對(duì)照標(biāo)準(zhǔn)逐條落實(shí)。同時(shí)，應(yīng)對(duì)各單位實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)情況進(jìn)行測(cè)評(píng)，在測(cè)評(píng)環(huán)節(jié)一旦發(fā)現(xiàn)信息系統(tǒng)的不足，被測(cè)評(píng)單位應(yīng)立即制定相應(yīng)的整改方案并實(shí)施．且南相芙的監(jiān)督機(jī)構(gòu)進(jìn)行督促。

2．4加強(qiáng)網(wǎng)絡(luò)安全體系規(guī)劃以提升網(wǎng)絡(luò)安全防護(hù)水平

2．4．1以等級(jí)保護(hù)為依據(jù)進(jìn)行統(tǒng)籌規(guī)劃

等級(jí)保護(hù)是圍繞信息安全保障全過(guò)程的一項(xiàng)基礎(chǔ)性的管理制度，通過(guò)將等級(jí)化的方法和安全體系規(guī)劃有效結(jié)合，統(tǒng)籌規(guī)劃證券網(wǎng)絡(luò)安全體系的建設(shè)，建立一套信息安全保障體系，將是系統(tǒng)化地解決證券行業(yè)網(wǎng)絡(luò)安全問(wèn)題的一個(gè)非常有效的方法。

2．4．2通過(guò)加強(qiáng)網(wǎng)絡(luò)訪問(wèn)控制提高網(wǎng)絡(luò)防護(hù)能力

對(duì)向證券行業(yè)提供設(shè)備、技術(shù)和服務(wù)的IT公司的資質(zhì)和誠(chéng)信加強(qiáng)管理，確保其符合國(guó)家、行業(yè)技術(shù)標(biāo)準(zhǔn)。根據(jù)網(wǎng)絡(luò)隔離要求，要逐步建立業(yè)務(wù)網(wǎng)與辦公網(wǎng)、業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)、網(wǎng)上交易各子系統(tǒng)間有效的網(wǎng)絡(luò)隔離。技術(shù)上可以對(duì)不同的業(yè)務(wù)安全區(qū)域劃分Vlan或者采用網(wǎng)閘設(shè)備進(jìn)行隔離；對(duì)主要的網(wǎng)絡(luò)邊界和各外部進(jìn)口進(jìn)行滲透測(cè)試，進(jìn)行系統(tǒng)和設(shè)備的安全加固．降低系統(tǒng)漏洞帶來(lái)的安全風(fēng)險(xiǎn)；在網(wǎng)上交易方面，采取電子簽名或數(shù)字認(rèn)證等高強(qiáng)度認(rèn)證方式，加強(qiáng)訪問(wèn)控制；針對(duì)現(xiàn)存惡意攻擊網(wǎng)站的事件越來(lái)越多的情況，要采取措施加強(qiáng)網(wǎng)站保護(hù)，提高對(duì)惡意代碼的防護(hù)能力，同時(shí)采用技術(shù)手段，提高網(wǎng)上交易客戶端軟件使朋的安全性。

2．4．3提高從業(yè)人員安全意識(shí)和專(zhuān)業(yè)水平

目前在證券行業(yè)內(nèi)，從業(yè)人員的網(wǎng)絡(luò)安全意識(shí)比較薄弱．必要時(shí)可定期對(duì)從業(yè)人員進(jìn)行安全意識(shí)考核，從行業(yè)內(nèi)部強(qiáng)化網(wǎng)絡(luò)安全工作。要加強(qiáng)網(wǎng)絡(luò)安全技術(shù)人員的管理能力和專(zhuān)業(yè)技能培訓(xùn)，提高行業(yè)網(wǎng)絡(luò)安全的管理水平和專(zhuān)業(yè)技術(shù)水平。

2．5扎實(shí)推進(jìn)行業(yè)災(zāi)難備份建設(shè)

數(shù)據(jù)的安全對(duì)證券行業(yè)是至關(guān)重要的，數(shù)據(jù)一旦丟失對(duì)市場(chǎng)各方的損失是難以估量的。無(wú)論是美國(guó)的“9·11”事件，還是我國(guó)2008年南方冰雪災(zāi)害和四川汶川大地震，都敲響了災(zāi)難備份的警鐘。證券業(yè)要在學(xué)習(xí)借鑒國(guó)際經(jīng)驗(yàn)的基礎(chǔ)上，針對(duì)自身需要，對(duì)重要系統(tǒng)開(kāi)展災(zāi)難備份建設(shè)。要繼續(xù)推進(jìn)證券、基金公司同城災(zāi)難備份建設(shè)，以及證券交易所、結(jié)算公司等市場(chǎng)核心機(jī)構(gòu)的異地災(zāi)難備份系統(tǒng)的規(guī)劃和建設(shè)。制定各類(lèi)相關(guān)的災(zāi)難應(yīng)急預(yù)案，并加強(qiáng)應(yīng)急預(yù)案的演練，確保災(zāi)難備份系統(tǒng)應(yīng)急有效．使應(yīng)急工作與日常工作有機(jī)結(jié)合。

2．6抓好人才隊(duì)伍建設(shè)

證券行業(yè)要采取切實(shí)可行的措施，建立吸引人才、留住人才、培養(yǎng)人才、發(fā)展人才的用人制度和機(jī)制。積極吸引有技術(shù)專(zhuān)長(zhǎng)的人才到行業(yè)巾來(lái)，加強(qiáng)lT人員的崗位技能培訓(xùn)和業(yè)務(wù)培訓(xùn)，注重培養(yǎng)既懂得技術(shù)義懂業(yè)務(wù)和管理的復(fù)合型人才。要促進(jìn)從業(yè)人員提高水平、轉(zhuǎn)變觀念，行業(yè)各機(jī)構(gòu)應(yīng)采取采取請(qǐng)進(jìn)來(lái)、派出去以及內(nèi)部講座等多種培訓(xùn)方式。通過(guò)建立規(guī)范有效的人才評(píng)價(jià)體系，對(duì)信息技術(shù)人員進(jìn)行科學(xué)有效的考評(píng)，提升行業(yè)人才資源的優(yōu)化配置和使用效率，促進(jìn)技術(shù)人才結(jié)構(gòu)的涮整和完善。

第6篇：網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)方法范文

關(guān)鍵詞 信息系統(tǒng)；安全；保障體系；技術(shù)；信息技術(shù)基礎(chǔ)設(shè)施

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-7597（2013）14-0137-02

油服信息技術(shù)應(yīng)用與集中程度的不斷深入提高，信息安全保障體系建設(shè)工作已成為信息化建設(shè)過(guò)程中的重要組成部分。油服具有地域分布廣、業(yè)務(wù)復(fù)雜多樣等特點(diǎn)，在信息安全形勢(shì)多變的情況下，獨(dú)立分散的安全措施已無(wú)法更好地滿足安全防護(hù)需求。信息安全若不能得到很好的保障，將給公司的業(yè)務(wù)正常運(yùn)作及辦公穩(wěn)定性、高效性和有效性帶來(lái)影響。因此，需完善公司的信息安全政策方針、規(guī)劃并建立符合油服實(shí)際情況的信息安全保障體系，采用先進(jìn)的安全管理過(guò)程模式，完善信息安全管理制度與規(guī)范，提高員工的信息安全意識(shí)，提升風(fēng)險(xiǎn)控制及保障水平，以支撐油服核心業(yè)務(wù)的健康發(fā)展。

1 信息安全保障體系

1.1 信息安全保障體系建設(shè)需求

油服在信息安全方面已部署了部分信息安全防護(hù)措施，如劃分安全域、部署邊界訪問(wèn)控制設(shè)備、配備入侵防御系統(tǒng)、部署統(tǒng)一的防惡意代碼軟件等。與此同時(shí)，每年都開(kāi)展信息系統(tǒng)安全測(cè)評(píng)工作，對(duì)公司的信息系統(tǒng)進(jìn)行安全等級(jí)測(cè)評(píng)差距分析、安全問(wèn)題整改咨詢核查以及滲透性測(cè)試等，從而能夠較為全面的掌握當(dāng)前各信息系統(tǒng)和信息安全管理制度的建設(shè)、運(yùn)維和使用情況，以提高信息系統(tǒng)的安全防護(hù)能力。但從總體來(lái)看，仍缺乏信息安全保障體系框架，總體安全方針和策略不夠明確，安全區(qū)域劃分不夠細(xì)致，網(wǎng)絡(luò)設(shè)備和重要服務(wù)器的安全策略缺乏統(tǒng)一標(biāo)準(zhǔn)，未部署安全運(yùn)維管理中心，無(wú)法真正起到縱深安全防御的效用。

1.2 信息安全保障體系目標(biāo)與定位

信息安全保障體系的建設(shè)要結(jié)合油服的信息安全需求、網(wǎng)絡(luò)應(yīng)用現(xiàn)狀及未來(lái)發(fā)展趨勢(shì)，在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，明確與等級(jí)保護(hù)相適應(yīng)的安全策略及具體的實(shí)施辦法。對(duì)全網(wǎng)進(jìn)行合理的安全域劃分，技術(shù)與管理并重的同時(shí)，以應(yīng)用與實(shí)效為主導(dǎo)，從網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、組織管理等方面，保障油服信息安全，形成集檢測(cè)、響應(yīng)、恢復(fù)、防護(hù)為一體的安全保障體系。

2 油服信息安全保障體系架構(gòu)模型

油服信息安全保障體系框架采用“結(jié)構(gòu)化”的分析和控制方法，縱向把保護(hù)對(duì)象分成安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)；橫向把控制體系分成安全管理、安全技術(shù)和安全運(yùn)行的控制體系，同時(shí)通過(guò)“一個(gè)安全管理中心”的安全管理概念和模式，形成一個(gè)依托于安全保護(hù)對(duì)象為基礎(chǔ)，橫向建立安全管理體系、安全技術(shù)體系、安全運(yùn)行體系和安全管理中心“三個(gè)體系、一個(gè)中心、三重防護(hù)”的信息安全保障體系

框架。

2.1 安全管理體系

根據(jù)等級(jí)保護(hù)基本要求的相關(guān)內(nèi)容，信息安全管理體系重點(diǎn)落實(shí)安全管理制度、安全管理機(jī)構(gòu)和人員安全管理的相關(guān)控制要求。

2.2 安全技術(shù)體系

根據(jù)等級(jí)保護(hù)基本要求的相關(guān)內(nèi)容，通過(guò)安全技術(shù)在物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)各個(gè)層面的實(shí)施，建立與實(shí)際情況相結(jié)合的安全技術(shù)體系。

2.3 安全運(yùn)行體系

根據(jù)等級(jí)保護(hù)基本要求的相關(guān)內(nèi)容，信息安全運(yùn)行體系重點(diǎn)落實(shí)系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理的相關(guān)控制要求，并與實(shí)際情況相結(jié)合，形成符合等級(jí)保護(hù)要求的信息安全運(yùn)行體系

框架。

2.4 安全管理中心

根據(jù)等級(jí)保護(hù)基本要求和安全設(shè)計(jì)技術(shù)要求的相關(guān)內(nèi)容，通過(guò)“自動(dòng)、平臺(tái)化”的方式，對(duì)信息安全管理、技術(shù)、運(yùn)行三個(gè)體系的相關(guān)控制內(nèi)容，結(jié)合實(shí)際情況加以落實(shí)。

3 油服信息安全保障體系架構(gòu)設(shè)計(jì)

3.1 安全管理體系架構(gòu)設(shè)計(jì)

信息安全管理體系架構(gòu)的設(shè)計(jì)可從以下3方面開(kāi)展。

3.1.1 信息安全組織

油服信息安全組織為信息安全管理委員會(huì)，各業(yè)務(wù)部門(mén)為信息安全小組，部門(mén)經(jīng)理為本小組的第一安全責(zé)任人。同時(shí)，定義了組織中各職能角色的職責(zé)，以此指導(dǎo)信息安全工作開(kāi)展。

3.1.2 信息安全制度

油服的信息安全制度一方面能及時(shí)反映公司的信息安全風(fēng)險(xiǎn)動(dòng)態(tài)，便于靈活地修訂與更新；另一方面確保信息安全技術(shù)與管理人員及用戶能夠了解哪些是禁止做的，哪些是必須做的。

3.1.3 人員安全管理

在人員安全管理方面，可以通過(guò)對(duì)人員錄用、調(diào)用、離崗、考核、培訓(xùn)教育和第三方人員安全幾個(gè)方面進(jìn)行設(shè)計(jì)。

3.2 安全技術(shù)體系架構(gòu)設(shè)計(jì)

信息安全技術(shù)體系架構(gòu)設(shè)計(jì)可從以下3個(gè)方面開(kāi)展。

3.2.1 信息安全服務(wù)架構(gòu)

信息安全服務(wù)架構(gòu)設(shè)計(jì)分為保護(hù)、檢測(cè)、響應(yīng)與恢復(fù)四個(gè)環(huán)節(jié)，實(shí)現(xiàn)對(duì)信息可用性、完整性和機(jī)密性的保護(hù)，監(jiān)測(cè)檢查系統(tǒng)存在的安全漏洞，對(duì)危害系統(tǒng)安全的事件行為做出響應(yīng)

處理。

3.2.2 信息技術(shù)基礎(chǔ)設(shè)施安全架構(gòu)

信息技術(shù)基礎(chǔ)設(shè)施安全架構(gòu)以網(wǎng)絡(luò)安全架構(gòu)為主體，結(jié)合系統(tǒng)軟硬件進(jìn)行安全配置和部署。網(wǎng)絡(luò)安全架構(gòu)的規(guī)劃根據(jù)網(wǎng)絡(luò)所承載的應(yīng)用系統(tǒng)特性和所面臨的風(fēng)險(xiǎn)劃分不同的網(wǎng)絡(luò)安全域，并實(shí)施安全防護(hù)措施。

3.2.3 應(yīng)用安全架構(gòu)

應(yīng)用系統(tǒng)的信息安全保障是在信息技術(shù)基礎(chǔ)設(shè)施安全架構(gòu)上，更多地關(guān)注已有的信息安全服務(wù)是否被充分利用。為滿足業(yè)務(wù)系統(tǒng)對(duì)信息安全的需求，通過(guò)在業(yè)務(wù)系統(tǒng)中實(shí)現(xiàn)集成保障信息安全的機(jī)制，從而達(dá)到信息安全技術(shù)控制要求。

3.3 安全運(yùn)行體系架構(gòu)設(shè)計(jì)

油服信息安全運(yùn)行體系架構(gòu)設(shè)計(jì)主要從以下3個(gè)方面開(kāi)展。

3.3.1 信息系統(tǒng)安全等級(jí)劃分

油服信息系統(tǒng)安全等級(jí)劃分從信息資產(chǎn)等級(jí)、網(wǎng)絡(luò)系統(tǒng)等級(jí)和應(yīng)用系統(tǒng)等級(jí)三個(gè)方面進(jìn)行定義。

3.3.2 信息安全技術(shù)控制

信息安全技術(shù)控制是由系統(tǒng)自身自動(dòng)完成的安全控制。主要在信息系統(tǒng)的網(wǎng)絡(luò)層、系統(tǒng)層和應(yīng)用層，包含身份鑒別、訪問(wèn)控制、安全審計(jì)等五大類(lèi)通用技術(shù)。

3.3.3 信息安全運(yùn)作控制

信息安全運(yùn)作控制是在油服業(yè)務(wù)運(yùn)作和信息技術(shù)運(yùn)作過(guò)程中進(jìn)行實(shí)施的運(yùn)作類(lèi)安全控制，包括控制針對(duì)的主要風(fēng)險(xiǎn)點(diǎn)及具體分類(lèi)。

4 結(jié)束語(yǔ)

在油服業(yè)務(wù)不斷拓展，國(guó)際化步伐不斷深入的過(guò)程中，信息系統(tǒng)在公司發(fā)展中的作用和地位日趨重要。公司對(duì)信息系統(tǒng)的依賴性也在不斷增長(zhǎng)，信息安全也愈發(fā)重要。健全油服信息安全保障體系，為實(shí)現(xiàn)“制度標(biāo)準(zhǔn)化、工作制度化”的管理常態(tài)奠定了堅(jiān)實(shí)的基礎(chǔ)。油服信息安全保障體系不僅從物理網(wǎng)絡(luò)安全、系統(tǒng)應(yīng)用安全、數(shù)據(jù)和用戶安全等方面入手，還從安全域劃分、安全邊界防護(hù)、主動(dòng)監(jiān)控、訪問(wèn)控制和應(yīng)急響應(yīng)等方面綜合考慮，進(jìn)一步加強(qiáng)落實(shí)信息安全等級(jí)保護(hù)的基本要求，初步實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)與應(yīng)用系統(tǒng)細(xì)粒度、全方位的安全管控，從而更為有效地提升了油服在信息安全方面的管理水平。

參考文獻(xiàn)

[1]馬永.淺談企業(yè)信息安全保障體系建設(shè)[J].計(jì)算機(jī)安全，2007（7）：72-75.

[2]王朗.一個(gè)信息安全保障體系模型的研究和設(shè)計(jì)[J].北京師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2004（2）：58-62.

[3]黃海鷹.信息安全保障體系建設(shè)研究[J].數(shù)字圖書(shū)館論壇，2009（9）：13-15.

第7篇：網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)方法范文

關(guān)鍵詞：等級(jí)保護(hù)；惡意代碼防范

根據(jù)惡意代碼的功能，可分為病毒、蠕蟲(chóng)、木馬、惡意腳本、惡意插件等類(lèi)別。惡意代碼能夠破壞信息系統(tǒng)的穩(wěn)定性、可用性、數(shù)據(jù)的保密性和完整性等，因此等級(jí)保護(hù)標(biāo)準(zhǔn)把惡意代碼防范作為一個(gè)重要部分闡述。惡意代碼防范工作主要包括惡意代碼檢測(cè)、惡意代碼清除、惡意代碼庫(kù)的更新、惡意代碼檢測(cè)產(chǎn)品的升級(jí)、惡意代碼檢測(cè)產(chǎn)品差異性保持等。

1、等級(jí)保護(hù)中惡意代碼防范的基本要求

惡意代碼防范主要涉及信息系統(tǒng)的網(wǎng)絡(luò)、主機(jī)和應(yīng)用三個(gè)層面。

1.1 網(wǎng)絡(luò)惡意代碼防范

絕大多數(shù)的惡意代碼是從網(wǎng)絡(luò)上感染本地主機(jī)的，因此，網(wǎng)絡(luò)邊界防范是整個(gè)防范工作的重點(diǎn)，是整個(gè)防范工作的“第一道門(mén)檻”。如果惡意代碼進(jìn)入內(nèi)網(wǎng)，將直接威脅內(nèi)網(wǎng)主機(jī)及應(yīng)用程序的安全。防范控制點(diǎn)設(shè)在網(wǎng)絡(luò)邊界處。防范需對(duì)所有的數(shù)據(jù)包進(jìn)行拆包檢查，這樣會(huì)影響網(wǎng)絡(luò)數(shù)據(jù)傳輸效率，故其要求的實(shí)施條件比較高。在不同等級(jí)信息系統(tǒng)中的要求也不同，如表1所示。

1.2 主機(jī)惡意代碼防范

主機(jī)惡意代碼防范在防范要求中占據(jù)著基礎(chǔ)地位。～方面是因?yàn)榫W(wǎng)防范的實(shí)施條件要求較高；另—方面因網(wǎng)絡(luò)邊界防護(hù)并不是萬(wàn)能的，它無(wú)法檢測(cè)所有的惡意代碼。因各等級(jí)信息系統(tǒng)都必需在本地主機(jī)進(jìn)行惡意代碼防范，

主機(jī)惡意代碼防范有以下三條要求：（1）應(yīng)安裝防惡意代碼軟件，并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫(kù)；（2）主機(jī)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫(kù)；（3）應(yīng)支持防惡意代碼軟件的統(tǒng)一管理。

不同等級(jí)信息系統(tǒng)的惡意代碼防范要求如表2所示。

1.3 應(yīng)用程序的惡意代碼防范

在等級(jí)保護(hù)基本要求中，對(duì)應(yīng)用程序的惡意代碼防范沒(méi)有提出具體的要求。結(jié)合日常使用應(yīng)用程序時(shí)在安全方面出現(xiàn)的問(wèn)題，應(yīng)用程序的惡意代碼防范應(yīng)要求在應(yīng)用程序使用前應(yīng)先對(duì)應(yīng)用程序進(jìn)行漏洞檢測(cè)、黑白盒測(cè)試等，確保應(yīng)用程序中不存在可被惡意代碼利用的漏洞、不存在編程人員插入的惡意代碼或留下的后門(mén)。

2、惡意代碼防范的工作要點(diǎn)

在等級(jí)保護(hù)安全測(cè)評(píng)工作中，具體的測(cè)評(píng)項(xiàng)和測(cè)評(píng)方法在測(cè)評(píng)標(biāo)準(zhǔn)中已經(jīng)有較詳細(xì)的規(guī)定。根據(jù)實(shí)際工作經(jīng)驗(yàn)，我們提出防范惡意代碼要取得顯著成效，應(yīng)注意的工作要點(diǎn)。

2.1 風(fēng)險(xiǎn)評(píng)估應(yīng)全面考慮系統(tǒng)的脆弱性和風(fēng)險(xiǎn)性

風(fēng)險(xiǎn)評(píng)估應(yīng)全面衡量信息系統(tǒng)在應(yīng)用和數(shù)據(jù)方面的脆弱性，預(yù)估這些脆弱性衍生出安全風(fēng)險(xiǎn)的概率；然后結(jié)合系統(tǒng)已部署的安全措施對(duì)風(fēng)險(xiǎn)的影響進(jìn)行全面分析

2.2 注重全網(wǎng)防護(hù)，防止安全短板

對(duì)系統(tǒng)的惡意代碼防護(hù)部署要做到多層次、多角度，確保在所有惡意代碼入口對(duì)惡意代碼進(jìn)行檢測(cè)、阻止、清除。因此，在部署惡意代碼防范系統(tǒng)時(shí)要做到覆蓋全部終端和網(wǎng)絡(luò)邊界，防止由于ARP或沖擊波這樣的惡意代碼感染系統(tǒng)內(nèi)部分主機(jī)而導(dǎo)致整個(gè)網(wǎng)絡(luò)不可用。

2.3 在全網(wǎng)范圍內(nèi)部署統(tǒng)一的安全管理策略

在等保中，低級(jí)別安全域的威脅可能會(huì)影響到高級(jí)別安全域。為避免出現(xiàn)這種風(fēng)險(xiǎn)，可以在邏輯隔離區(qū)邊界配置訪問(wèn)控制策略，限制通過(guò)網(wǎng)絡(luò)對(duì)高級(jí)別安全域的訪問(wèn)；還可以將網(wǎng)內(nèi)不同級(jí)別安全域的配置統(tǒng)一為最高級(jí)別安全域的惡意代碼防范要求，防止低級(jí)別安全域中因防范策略過(guò)低感染惡意代碼后對(duì)基礎(chǔ)架構(gòu)造成威脅。

2.4 應(yīng)注重對(duì)網(wǎng)絡(luò)安全狀況的監(jiān)控和多種保護(hù)能力的協(xié)作

這主要是從管理和運(yùn)維的角度對(duì)等保提出的要求。要求人員能隨時(shí)監(jiān)控系統(tǒng)安全狀況，了解本網(wǎng)內(nèi)信息系統(tǒng)發(fā)惡意代碼入侵事件，做到風(fēng)險(xiǎn)可視、行為可控；要求系統(tǒng)安全隱患進(jìn)行預(yù)警、排除，對(duì)緊急情況進(jìn)行應(yīng)急處理。

第8篇：網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)方法范文

論文摘要：互聯(lián)網(wǎng)技術(shù)給我們帶來(lái)很大的方便，同時(shí)也帶來(lái)了許多的網(wǎng)絡(luò)安全隱患，諸如陷門(mén)、網(wǎng)絡(luò)數(shù)據(jù)竊密、木馬掛馬、黑客侵襲、病毒攻擊之類(lèi)的網(wǎng)絡(luò)安全隱患一直都威脅著我們。計(jì)算機(jī)網(wǎng)絡(luò)信息管理工作面臨著巨大的挑戰(zhàn)，如何在計(jì)算機(jī)網(wǎng)絡(luò)這個(gè)大環(huán)境之下，確保其安全運(yùn)行，完善安全防護(hù)策略，已經(jīng)成為了相關(guān)工作人員最亟待解決的問(wèn)題之一。該文首先分析了計(jì)算機(jī)網(wǎng)絡(luò)信息管理工作中的安全問(wèn)題，其次，從多個(gè)方面就如何有效加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)進(jìn)行了深入的探討，具有一定的參考價(jià)值。

1概述

互聯(lián)網(wǎng)技術(shù)給我們帶來(lái)很大的方便，同時(shí)也帶來(lái)了許多的網(wǎng)絡(luò)安全隱患，諸如陷門(mén)、網(wǎng)絡(luò)數(shù)據(jù)竊密、木馬掛馬、黑客侵襲、病毒攻擊之類(lèi)的網(wǎng)絡(luò)安全隱患一直都威脅著我們。為了確保計(jì)算機(jī)網(wǎng)絡(luò)信息安全，特別是計(jì)算機(jī)數(shù)據(jù)安全，目前已經(jīng)采用了諸如服務(wù)器、通道控制機(jī)制、防火墻技術(shù)、入侵檢測(cè)之類(lèi)的技術(shù)來(lái)防護(hù)計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理，即便如此，仍然存在著很多的問(wèn)題，嚴(yán)重危害了社會(huì)安全。計(jì)算機(jī)網(wǎng)絡(luò)信息管理工作面臨著巨大的挑戰(zhàn)，如何在計(jì)算機(jī)網(wǎng)絡(luò)這個(gè)大環(huán)境之下，確保其安全運(yùn)行，完善安全防護(hù)策略，已經(jīng)成為了相關(guān)工作人員最亟待解決的問(wèn)題之一。

2計(jì)算機(jī)網(wǎng)絡(luò)信息管理工作中的安全問(wèn)題分析

計(jì)算機(jī)網(wǎng)絡(luò)的共享性、開(kāi)放性的特性給互聯(lián)網(wǎng)用戶帶來(lái)了較為便捷的信息服務(wù)，但是也使得計(jì)算機(jī)網(wǎng)絡(luò)出現(xiàn)了一些安全問(wèn)題。在開(kāi)展計(jì)算機(jī)網(wǎng)絡(luò)信息管理工作時(shí)，應(yīng)該將管理工作的重點(diǎn)放在網(wǎng)絡(luò)信息的和訪問(wèn)方面，確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)免受干擾和非法攻擊。

2.1安全指標(biāo)分析

（1）保密性

通過(guò)加密技術(shù)，能夠使得計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)自動(dòng)篩選掉那些沒(méi)有經(jīng)過(guò)授權(quán)的終端操作用戶的訪問(wèn)請(qǐng)求，只能夠允許那些已經(jīng)授權(quán)的用戶來(lái)利用和訪問(wèn)計(jì)算機(jī)網(wǎng)絡(luò)信息數(shù)據(jù)。

（2）授權(quán)性

用戶授權(quán)的大小與其能夠在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中能夠利用和訪問(wèn)的范圍息息相關(guān)，我們一般都是采取策略標(biāo)簽或者控制列表的形式來(lái)進(jìn)行訪問(wèn)，這樣做的目的就在于能夠有效確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)授權(quán)的正確性和合理性。

（3）完整性

可以通過(guò)散列函數(shù)或者加密的方法來(lái)防治非法信息進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)，以此來(lái)確保所儲(chǔ)存數(shù)據(jù)的完整性。

（4）可用性

在計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的設(shè)計(jì)環(huán)節(jié)，應(yīng)該要確保信息資源具有可用性，在突然遇到攻擊的時(shí)候，能夠及時(shí)使得各類(lèi)信息資源恢復(fù)到正常運(yùn)行的狀態(tài)。

（5）認(rèn)證性

為了確保權(quán)限所有者和權(quán)限提供者都是同一用戶，目前應(yīng)用較為廣泛的計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)認(rèn)證方式一般有兩種，分別是數(shù)據(jù)源認(rèn)證和實(shí)體性認(rèn)證兩種，這兩種方式都能夠得到在當(dāng)前技術(shù)條件支持。

2.2計(jì)算機(jī)網(wǎng)絡(luò)信息管理中的安全性問(wèn)題

大量的實(shí)踐證明，計(jì)算機(jī)網(wǎng)絡(luò)信息管理中存在的安全性問(wèn)題主要有兩種類(lèi)型，第一種主要針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息管理工作的可用性和完整性，屬于信息安全監(jiān)測(cè)問(wèn)題；第二種主要針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息管理工作的抗抵賴性、認(rèn)證性、授權(quán)性、保密性，屬于信息訪問(wèn)控制問(wèn)題。

（1）信息安全監(jiān)測(cè)

有效地實(shí)施信息安全監(jiān)測(cè)工作，可以在最大程度上有效消除網(wǎng)絡(luò)系統(tǒng)脆弱性與網(wǎng)絡(luò)信息資源開(kāi)放性二者之間的矛盾，能夠使得網(wǎng)絡(luò)信息安全的管理人員及時(shí)發(fā)現(xiàn)安全隱患源，及時(shí)預(yù)警處理遭受攻擊的對(duì)象，然后再確保計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)中的關(guān)鍵數(shù)據(jù)能夠得以恢復(fù)。

（2）信息訪問(wèn)控制問(wèn)題

整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)信息管理的核心和基礎(chǔ)就是信息訪問(wèn)控制問(wèn)題。信息資源使用方和擁有方在網(wǎng)絡(luò)信息通信的過(guò)程都應(yīng)該有一定的訪問(wèn)控制要求。換而言之，整個(gè)網(wǎng)絡(luò)信息安全防護(hù)的對(duì)象應(yīng)該放在資源信息的和個(gè)人信息的儲(chǔ)存。

3如何有效加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)

（1）高度重視，完善制度

根據(jù)單位環(huán)境與特點(diǎn)制定、完善相關(guān)管理制度。如計(jì)算機(jī)應(yīng)用管理規(guī)范、保密信息管理規(guī)定、定期安全檢查與上報(bào)等制度。成立領(lǐng)導(dǎo)小組和工作專(zhuān)班，完善《計(jì)算機(jī)安全管理制度》、《網(wǎng)絡(luò)安全應(yīng)急預(yù)案》和《計(jì)算機(jī)安全保密管理規(guī)定》等制度，為規(guī)范管理夯實(shí)了基礎(chǔ)。同時(shí)，明確責(zé)任，強(qiáng)化監(jiān)督。嚴(yán)格按照保密規(guī)定，明確涉密信息錄入及流程，定期進(jìn)行安全保密檢查，及時(shí)消除保密隱患，對(duì)檢查中發(fā)現(xiàn)的問(wèn)題，提出整改時(shí)限和具體要求，確保工作不出差錯(cuò)。此外，加強(qiáng)培訓(xùn)，廣泛宣傳。有針對(duì)性組織開(kāi)展計(jì)算機(jī)操作系統(tǒng)和應(yīng)用軟件、網(wǎng)絡(luò)知識(shí)、數(shù)據(jù)傳輸安全和病毒防護(hù)等基本技能培訓(xùn)，利用每周學(xué)習(xí)日集中收看網(wǎng)絡(luò)信息安全知識(shí)講座，使信息安全意識(shí)深入人心。 ?。?）合理配置，注重防范

第一，加強(qiáng)病毒防護(hù)。單位中心機(jī)房服務(wù)器和各基層單位工作端均部署防毒、殺毒軟件，并及時(shí)在線升級(jí)。嚴(yán)格區(qū)分訪問(wèn)內(nèi)、外網(wǎng)客戶端，對(duì)機(jī)房設(shè)備實(shí)行雙人雙查，定期做好網(wǎng)絡(luò)維護(hù)及各項(xiàng)數(shù)據(jù)備份工作，對(duì)重要數(shù)據(jù)實(shí)時(shí)備份，異地儲(chǔ)存。同時(shí)，嚴(yán)格病毒掃描。針對(duì)網(wǎng)絡(luò)傳輸、郵件附件或移動(dòng)介質(zhì)的方式接收的文件，有可能攜帶病毒的情況，要求接收它們之前使用殺毒軟件進(jìn)行病毒掃描。第二，加強(qiáng)強(qiáng)弱電保護(hù)。在所有服務(wù)器和網(wǎng)絡(luò)設(shè)備接入端安裝弱電防雷設(shè)備，在所有弱電機(jī)房安裝強(qiáng)電防雷保護(hù)器，保障雷雨季節(jié)主要設(shè)備的安全運(yùn)行。第三，加強(qiáng)應(yīng)急管理。建立應(yīng)急管理機(jī)制，完善應(yīng)急事件出現(xiàn)時(shí)的事件上報(bào)、初步處理、查實(shí)處理、責(zé)任追究等措施，并定期開(kāi)展進(jìn)行預(yù)演，確保事件發(fā)生時(shí)能夠從容應(yīng)對(duì)。第四，加強(qiáng)“兩個(gè)隔離”管理。即內(nèi)、外網(wǎng)物理徹底隔離和通過(guò)防火墻進(jìn)行“邊界隔離”，通過(guò)隔離實(shí)現(xiàn)有效防護(hù)外來(lái)攻擊，防止內(nèi)、外網(wǎng)串聯(lián)。第五，嚴(yán)格移動(dòng)存儲(chǔ)介質(zhì)應(yīng)用管理。對(duì)單位所有的移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行登記，要求使用人員嚴(yán)格執(zhí)行《移動(dòng)存儲(chǔ)介質(zhì)管理制度》，杜絕外來(lái)病毒的入侵和泄密事件的發(fā)生。同時(shí)，嚴(yán)格安全密碼管理。所有工作用機(jī)設(shè)置開(kāi)機(jī)密碼，且密碼長(zhǎng)度不得少于8位，定期更換密碼。第六，嚴(yán)格使用桌面安全防護(hù)系統(tǒng)。每臺(tái)內(nèi)網(wǎng)計(jì)算機(jī)都安裝了桌面安全防護(hù)系統(tǒng)，實(shí)現(xiàn)了對(duì)計(jì)算機(jī)設(shè)備軟、硬件變動(dòng)情況的適時(shí)監(jiān)控。第七，嚴(yán)格數(shù)據(jù)備份管理。除了信息中心對(duì)全局?jǐn)?shù)據(jù)定期備份外，要求個(gè)人對(duì)重要數(shù)據(jù)也定期備份，把備份數(shù)據(jù)保存在安全介質(zhì)上。

（3）堅(jiān)持以信息安全等級(jí)保護(hù)工作為核心

把等級(jí)保護(hù)的相關(guān)政策和技術(shù)標(biāo)準(zhǔn)與自身的安全需求深度融合，采取一系列有效措施，使等級(jí)保護(hù)制度在全局得到有效落實(shí)，有效的保障業(yè)務(wù)信息系統(tǒng)安全。

第一，領(lǐng)導(dǎo)高度重視，組織保障有力。單位領(lǐng)導(dǎo)應(yīng)該高度重視信息化和信息安全工作，成立專(zhuān)門(mén)的信息中心，具體負(fù)責(zé)等級(jí)保護(hù)相關(guān)工作，統(tǒng)籌全局的信息安全工作。建立可靠的信息安全基礎(chǔ)設(shè)施，重點(diǎn)強(qiáng)化第二級(jí)信息系統(tǒng)的合規(guī)建設(shè)，加強(qiáng)了信息系統(tǒng)的運(yùn)維管理，對(duì)重要信息系統(tǒng)建立了災(zāi)難備份及應(yīng)急預(yù)案，有效提高了系統(tǒng)的安全防護(hù)水平。

第二，完善措施，保障經(jīng)費(fèi)。一是認(rèn)真組織開(kāi)展信息系統(tǒng)定級(jí)備案工作。二是組織開(kāi)展信息系統(tǒng)等級(jí)測(cè)評(píng)和安全建設(shè)整改。三是開(kāi)展了信息安全檢查活動(dòng)。對(duì)信息安全、等級(jí)保護(hù)落實(shí)情況進(jìn)行了檢查。

第三，建立完善各項(xiàng)安全保護(hù)技術(shù)措施和管理制度，有效保障重要信息系統(tǒng)安全。一是對(duì)網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全區(qū)域劃分。按照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，提出了“縱向分層、水平分區(qū)、區(qū)內(nèi)細(xì)分”的網(wǎng)絡(luò)安全區(qū)域劃分原則，對(duì)網(wǎng)絡(luò)進(jìn)行了認(rèn)真梳理、合理規(guī)劃、有效調(diào)整。二是持續(xù)推進(jìn)病毒治理和桌面安全管理。三是加強(qiáng)制度建設(shè)和信息安全管理。本著“預(yù)防為主，建章立制，加強(qiáng)管理，重在治本”的原則，堅(jiān)持管理與技術(shù)并重的原則，對(duì)信息安全工作的有效開(kāi)展起到了很好的指導(dǎo)和規(guī)范作用。

（4）采用專(zhuān)業(yè)性解決方案保護(hù)網(wǎng)絡(luò)信息安全

大型的單位，如政府、高校、大型企業(yè)由于網(wǎng)絡(luò)信息資源龐大，可以采用專(zhuān)業(yè)性解決方案來(lái)保護(hù)網(wǎng)絡(luò)信息安全，諸如銳捷網(wǎng)絡(luò)門(mén)戶網(wǎng)站保護(hù)解決方案。銳捷網(wǎng)絡(luò)門(mén)戶網(wǎng)站保護(hù)解決方案能提供從網(wǎng)絡(luò)層、應(yīng)用層到web層的全面防護(hù)；其中防火墻、ids分別提供網(wǎng)絡(luò)層和應(yīng)用層防護(hù)，ace對(duì)web服務(wù)提供帶寬保障；而方案的主體產(chǎn)品銳捷webguard（wg）進(jìn)行web攻擊防御，方案能給客戶帶來(lái)的價(jià)值：

防網(wǎng)頁(yè)篡改、掛馬

許多大型的單位作為公共信息提供者，網(wǎng)頁(yè)被篡改、掛馬將造成不良社會(huì)影響，降低單位聲譽(yù)。目前客戶常用的防火墻、ids/ ips、網(wǎng)頁(yè)防篡改，無(wú)法解決通過(guò)80端口、無(wú)特征庫(kù)、針對(duì)動(dòng)態(tài)頁(yè)面的web攻擊。webguard ddse深度解碼檢測(cè)引擎有效防御sql注入、跨站腳本等。

高性能，一站式保護(hù)各院系網(wǎng)站

對(duì)于大型單位客戶，往往擁有眾多部門(mén)，而并非所有大型單位都將各部門(mén)網(wǎng)站統(tǒng)一管理。各部門(mén)網(wǎng)站技術(shù)運(yùn)維能力相對(duì)較弱，經(jīng)常成為攻擊重點(diǎn)。webguard利用高性能多核架構(gòu)，提供并行處理。支持在網(wǎng)絡(luò)出口部署，一站式保護(hù)各部門(mén)網(wǎng)站。

“零配置”運(yùn)行，簡(jiǎn)化部署

webguard針對(duì)用戶，集成默認(rèn)配置模板，支持“零配置”運(yùn)行。一旦上線，即可防護(hù)絕大多數(shù)攻擊。后續(xù)用戶可以根據(jù)網(wǎng)絡(luò)情況，進(jìn)行優(yōu)化策略。避免同類(lèi)產(chǎn)品常見(jiàn)繁瑣配置，毋須客戶具備專(zhuān)業(yè)的安全技能，即可擁有良好的體驗(yàn)。

滿足合規(guī)性檢查要求

繼08年北京奧運(yùn)、09年國(guó)慶60周年后，10年上海世博會(huì)、廣州亞運(yùn)會(huì)先后舉行。在重大活動(dòng)前后，各級(jí)主管單位和公安部門(mén)，紛紛發(fā)文，要求針對(duì)網(wǎng)站安全采取措施。webguard恰好能很好的滿足合規(guī)性檢查的需求，幫助用戶順利通過(guò)檢查。

4結(jié)束語(yǔ)

新時(shí)期的計(jì)算機(jī)網(wǎng)絡(luò)信息管理工作正向著系統(tǒng)化、集成化、多元化的方向發(fā)展，但是網(wǎng)絡(luò)信息安全問(wèn)題日益突出，值得我們大力關(guān)注，有效加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)是極為重要的，具有較大的經(jīng)濟(jì)價(jià)值和社會(huì)效益。

參考文獻(xiàn)：

[1]段盛.企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)信息管理系統(tǒng)可靠性探討[j].湖南農(nóng)業(yè)大學(xué)學(xué)報(bào):自然科學(xué)版,2000(26):134-136.

[2]李曉琴.張卓容.醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)信息管理的設(shè)計(jì)與應(yīng)用[j].醫(yī)療裝備,2003.(16):109-113.

[3]李曉紅.婦幼保健信息計(jì)算機(jī)網(wǎng)絡(luò)管理系統(tǒng)的建立與應(yīng)用[j].中國(guó)婦幼保健,2010(25):156-158.

[4]羅宏儉.計(jì)算機(jī)網(wǎng)絡(luò)信息技術(shù)在公路建設(shè)項(xiàng)目管理中的應(yīng)用[j].交通科技,2009.(1):120-125.

[5] bace rebecca.intrusion detection[m].macmillan technical publishing,2000.

第9篇：網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)方法范文

【 關(guān)鍵詞 】 信息安全；等級(jí)保護(hù)；定性分析；定量分析

【 Abstract 】 Classified protection of information system has been a strong way to protect the important IT system. The current determination of level exist some flaws， such as lack of feasible method to judge the level and quantity analysis. This paper proposes a scheme which composed of both qualitative and quantitative analysis. By taking this scheme， the accuracy of classified protection of information system could be promoted.

【 Keywords 】 information security； classified protection； qualitative analysis； quantitative analysis

1 引言

按照國(guó)家相關(guān)法律和國(guó)家標(biāo)準(zhǔn)，一些重要行業(yè)、重要單位需要根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民法人和其他組織的合法權(quán)益的危害程度等因素，對(duì)重要的信息系統(tǒng)確定其應(yīng)該達(dá)到的安全保護(hù)等級(jí)（分為五個(gè)級(jí)別），信息系統(tǒng)安全保護(hù)能力隨著其被確定的安全保護(hù)等級(jí)的增高，逐漸增強(qiáng)。在對(duì)信息系統(tǒng)進(jìn)行定級(jí)、采取安全防衛(wèi)措施后，還需要確認(rèn)該系統(tǒng)是否已經(jīng)達(dá)到相應(yīng)的保護(hù)等級(jí)及在未達(dá)到的情況下給出整改方案。

按照《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》等法規(guī)和標(biāo)準(zhǔn)，信息系統(tǒng)的安全等級(jí)保護(hù)流程分為：確定等級(jí)、安全建設(shè)、等級(jí)測(cè)評(píng)、安全整改、安全檢查等五個(gè)步驟。

2 定級(jí)流程

現(xiàn)有方法在定級(jí)流程的第二和第三步，即評(píng)定定級(jí)對(duì)象的業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)時(shí)，國(guó)家標(biāo)準(zhǔn)GB 17859-1999《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》中建議各行業(yè)可根據(jù)本行業(yè)信息特點(diǎn)和系統(tǒng)服務(wù)特點(diǎn)，制定客體被侵害程度的綜合評(píng)定方法。但現(xiàn)實(shí)中缺乏一套通用的準(zhǔn)則和方法，因此在評(píng)價(jià)客體被侵害程度時(shí)受到人為因素的影響程度較大，定級(jí)過(guò)程中人員的主觀性強(qiáng)，對(duì)定級(jí)結(jié)果產(chǎn)生不利影響，如果定級(jí)不夠準(zhǔn)確，則將影響該信息系統(tǒng)的后續(xù)防護(hù)工作，即不能實(shí)施與國(guó)家標(biāo)準(zhǔn)中匹配的防護(hù)強(qiáng)度，給防護(hù)帶來(lái)較大的安全隱患。

本文主要針對(duì)現(xiàn)有定級(jí)工作定級(jí)缺乏可行的準(zhǔn)則，定級(jí)結(jié)果主觀成分大，定量不足的缺點(diǎn)，提出一種定性與定量結(jié)合的定級(jí)方法，提高信息系統(tǒng)的安全保護(hù)等級(jí)的定級(jí)準(zhǔn)確性，從而安全建設(shè)環(huán)節(jié)根據(jù)定級(jí)結(jié)果做好重要信息系統(tǒng)的安全防護(hù)。

2.1 確定定級(jí)對(duì)象和受侵害的客體

為了體現(xiàn)重要部分重點(diǎn)保護(hù)，有效控制信息安全建設(shè)成本，優(yōu)化信息安全資源配置的等級(jí)保護(hù)原則，將較大的信息系統(tǒng)劃分為若干個(gè)較小的、可能具有不同安全保護(hù)等級(jí)的定級(jí)對(duì)象。定級(jí)對(duì)象受到破壞時(shí)所侵害的客體包括國(guó)家安全、社會(huì)秩序、公眾利益以及公民、法人和其他組織的合法權(quán)益。

2.3 確定對(duì)客體的侵害程度

（1）侵害的客觀方面。由于業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全受到破壞所侵害的客體和對(duì)客體的侵害程度可能會(huì)有所不同，在定級(jí)過(guò)程中，需要分別處理這兩種危害方式。（2）綜合判定侵害程度。國(guó)家標(biāo)準(zhǔn)GB 17859-1999《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》種，將不同危害后果的三種危害程度描述：一般損害、嚴(yán)重?fù)p害、特別嚴(yán)重?fù)p害。

2.4 確定定級(jí)對(duì)象的安全保護(hù)等級(jí)

根據(jù)業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體以及對(duì)相應(yīng)客體的侵害程度，依據(jù)業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣表，即可得到業(yè)務(wù)信息安全保護(hù)等級(jí)。根據(jù)系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體以及對(duì)相應(yīng)客體的侵害程度，依據(jù)系統(tǒng)服務(wù)安全保護(hù)等級(jí)矩陣表，即可得到系統(tǒng)服務(wù)安全保護(hù)等級(jí)。作為定級(jí)對(duì)象的信息系統(tǒng)的安全保護(hù)等級(jí)由業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)的較高者決定。

3 基于層次分析法的定級(jí)

本文采用層次分析法來(lái)進(jìn)客體被侵害程度的定量確定。

3.1 建立層次分析模型

建立層次分析模型的過(guò)程：首先建立最高層（解決問(wèn)題的目的）；中間層（實(shí)現(xiàn)總目標(biāo)而采取的各種措施、必須考慮的準(zhǔn)則等，也可稱策略層、約束層、準(zhǔn)則層等）；以電信業(yè)務(wù)這一客體被侵害時(shí)受到影響必須考慮的因素為例，通常需要考察電信業(yè)務(wù)的覆蓋區(qū)域（面積）、該電信業(yè)務(wù)覆蓋范圍內(nèi)的用戶人數(shù)、區(qū)域內(nèi)業(yè)務(wù)量（一定時(shí)間周期內(nèi)的用戶撥打和接聽(tīng)電話的時(shí)間長(zhǎng)度）三個(gè)指標(biāo)，需要說(shuō)明的是，電信業(yè)務(wù)客體受到侵害需要考慮的不止以上提到的三個(gè)因素，在實(shí)踐中，還可以考慮其他因素。

最低層（用于解決問(wèn)題的各種措施、方案等，也稱為方案層）。備選的方案為國(guó)家標(biāo)準(zhǔn)GB 17859-1999《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》中確定的五個(gè)等級(jí)，分別是第一級(jí)、第二級(jí)、第三級(jí)、第四級(jí)和第五級(jí)。

針對(duì)確定客體被侵害程度問(wèn)題建立的層次分析模型如圖1所示。

3.2 構(gòu)造成對(duì)比較矩陣

從層次分析模型的第二層開(kāi)始，對(duì)于從屬于（或影響）上一層每個(gè)因素的同一層諸因素，用成對(duì)比較法和1-9比較尺度構(gòu)建成對(duì)比較矩陣，直到最下層。下面結(jié)合實(shí)例，構(gòu)造成對(duì)比較矩陣。以某地電信部門(mén)的電信系統(tǒng)的業(yè)務(wù)客體被侵害為例，得到三個(gè)指標(biāo)的重要性依次為：區(qū)域內(nèi)業(yè)務(wù)量>該電信業(yè)務(wù)區(qū)域的用戶人數(shù)>電信業(yè)務(wù)區(qū)域覆蓋范圍。在矩陣中令區(qū)域業(yè)務(wù)量為m11，當(dāng)前可用上傳帶寬為m22，電信業(yè)務(wù)區(qū)域覆蓋范圍為m33。

構(gòu)造一個(gè)三階矩陣Mij（3*3），根據(jù)長(zhǎng)期積累的經(jīng)驗(yàn)，其中m12=3，表示區(qū)域內(nèi)業(yè)務(wù)量相比該電信業(yè)務(wù)區(qū)域的用戶人數(shù)略重要，m13=5，表示區(qū)域內(nèi)業(yè)務(wù)量相比電信業(yè)務(wù)區(qū)域覆蓋范圍重要，m23=3，表示該電信業(yè)務(wù)區(qū)域的用戶人數(shù)比電信業(yè)務(wù)區(qū)域覆蓋范圍略重要，從而得到三階矩陣。

3.3 計(jì)算權(quán)向量并做一致性檢驗(yàn)

要求成對(duì)比較矩陣具備一定的一致性即可。由分析可知，對(duì)完全一致的成對(duì)比較矩陣，其絕對(duì)值最大的特征值等于該矩陣的維數(shù)。

檢驗(yàn)成對(duì)比較矩陣M一致性的步驟如下：計(jì)算衡量一個(gè)成對(duì)比矩陣M（n>1階方陣）不一致程度的指標(biāo)CI為：

CI=

其中max（M）是矩陣M 的最大特征值，n為矩陣的階數(shù)。

通過(guò)計(jì)算，λmax為3.0385，特征向量為（0.6370， 0.2583，0.1047），即權(quán)重分別為0.637， 0.258和0.104

CI==0.01925

CI=0，有完全的一致性。CI接近于0，有滿意的一致性，反之CI越大，不一致越嚴(yán)重

按公式計(jì)算成對(duì)比較矩陣M 的隨機(jī)一致性比率CR：

CR=

RI稱為平均隨機(jī)一致性指標(biāo)，它只與矩陣的階數(shù)有關(guān)，可從有關(guān)資料查出檢驗(yàn)成對(duì)比較矩陣M一致性的標(biāo)準(zhǔn)RI。查表得出三階矩陣對(duì)應(yīng)的RI為0.58，故有：

CR==0.033

判斷方法：（1） 當(dāng)CR

3.4 計(jì)算客體被侵害的程度

在計(jì)算出每個(gè)評(píng)價(jià)因素的權(quán)重后，由于每個(gè)評(píng)價(jià)因素的數(shù)值隸屬于不同體系，因此要在同一標(biāo)準(zhǔn)體系下進(jìn)行評(píng)價(jià)，在本例中，區(qū)域是以平方公里為單位，業(yè)務(wù)受到影響的用戶數(shù)量以萬(wàn)人為單位，業(yè)務(wù)量是以萬(wàn)小時(shí)/天為單位，在實(shí)踐中將每個(gè)評(píng)價(jià)因素的實(shí)際數(shù)值采用Decimal scaling小數(shù)定標(biāo)標(biāo)準(zhǔn)化方法進(jìn)行歸一化，通過(guò)歸一化因子，將每個(gè)評(píng)價(jià)因素的取值范圍限定于[0，1]。

國(guó)家標(biāo)準(zhǔn)GB 17859-1999《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》中將等級(jí)保護(hù)對(duì)象受到破壞后對(duì)客體造成侵害的程度歸結(jié)為三種：a.造成一般損害；b.造成嚴(yán)重?fù)p害；c.造成特別嚴(yán)重?fù)p害。

定義：損害值D（Oi）為客體Oi被侵害的分值。

：D（Oi）∈（0，0.3]，則定義該客體受到的損害為一般損害

∈（0.3，0.8]，則定義該客體受到的損害為嚴(yán)重?fù)p害

∈（0.8，1]，則該客體受到的損害為特別嚴(yán)重?fù)p害

實(shí)踐中，可根據(jù)需要調(diào)整區(qū)間大小。

舉例來(lái)說(shuō)，某市某區(qū)常住人口為60萬(wàn)，電信業(yè)務(wù)量為平均80萬(wàn)小時(shí)/每天，該區(qū)面積為250平方公里，通過(guò)歸一化公式X'=，其中，j是使得X'落入[0，1]的最小整數(shù)。

可計(jì)算出：

人口Pg=0.6，電信業(yè)務(wù)量Tg=0.8，業(yè)務(wù)覆蓋面積Sg=0.25 α=0.6370，β =0.2583 γ=0.1047，將歸一化后的三個(gè)評(píng)價(jià)因素，代入公式D（Oi）= αPg+βTg+γSg，求得D（Oi）=0.61。

從定義可以看出，客體受到“嚴(yán)重?fù)p害”，該客體屬于社會(huì)秩序和公眾利益范疇，根據(jù)業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣表，侵害程度為第三級(jí)，故該信息系統(tǒng)的業(yè)務(wù)信息安全等級(jí)被定為“三級(jí)” 。對(duì)該信息系統(tǒng)的系統(tǒng)服務(wù)安全等級(jí)，可遵循同樣的方式計(jì)算得到，最后比較兩個(gè)等級(jí)，取最高等級(jí)作為最終該信息系統(tǒng)的安全保護(hù)等級(jí)。

4 結(jié)束語(yǔ)

本文針對(duì)現(xiàn)有信息系統(tǒng)的安全保護(hù)定級(jí)工作缺乏可行的定級(jí)準(zhǔn)則，定級(jí)結(jié)果較大程度上取決于人的主觀感受、定性成分大和定量分析不足的缺點(diǎn)，提出一種定性與定量結(jié)合的定級(jí)方法，提高信息系統(tǒng)的安全保護(hù)等級(jí)的定級(jí)準(zhǔn)確性，從而根據(jù)定級(jí)結(jié)果做好重要信息系統(tǒng)的安全防護(hù)。

參考文獻(xiàn)

[1] 姜政偉，趙文瑞，劉宇，劉寶旭.基于等級(jí)保護(hù)的云計(jì)算安全評(píng)估模型[J]. 計(jì)算機(jī)科學(xué)， 2013（08）.

[2] 陳志賓.基于等級(jí)保護(hù)思想的信息平臺(tái)安全研究與實(shí)現(xiàn)[D].河北工業(yè)大學(xué)，2012.

[3] 曾穎.醫(yī)院信息系統(tǒng)等級(jí)保護(hù)安全體系設(shè)計(jì)[J].微型電腦應(yīng)用，2014（03）.

[4] 肖國(guó)煜.信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)實(shí)踐[J].信息網(wǎng)絡(luò)安全， 2011（07）.

[5] 韓岳.高安全等級(jí)網(wǎng)站系統(tǒng)服務(wù)器安全研究[D].中國(guó)人民信息工程大學(xué)，2011.

基金項(xiàng)目：

廣東省戰(zhàn)略性新型產(chǎn)業(yè)發(fā)展專(zhuān)項(xiàng)資金（高端新型電子信息產(chǎn)業(yè)）項(xiàng)目資助（項(xiàng)目編號(hào)：2012556028）。

作者簡(jiǎn)介：

王偉（1983-），男，重慶人，博士；主要研究方向與關(guān)注領(lǐng)域：信息安全、云計(jì)算。