導(dǎo)語(yǔ)：如何才能寫(xiě)好一篇網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

【關(guān)鍵詞】信息安全等級(jí)保護(hù) 測(cè)評(píng)實(shí)施

1 引言

醫(yī)院信息化建設(shè)快速發(fā)展，信息系統(tǒng)應(yīng)用深入到各個(gè)環(huán)節(jié)，信息業(yè)務(wù)系統(tǒng)承載了門診收費(fèi)、門診藥房、住院收費(fèi)、住院藥房、醫(yī)保、財(cái)務(wù)、門急診醫(yī)生護(hù)士站、住院醫(yī)生護(hù)士站、電子病歷、病案首頁(yè)、檢驗(yàn)LIS系統(tǒng)、檢查PACS系統(tǒng)、體檢系統(tǒng)等。保障重點(diǎn)信息系統(tǒng)的安全，規(guī)范信息安全等級(jí)保護(hù)，完善信息保護(hù)機(jī)制，提高信息系統(tǒng)的防護(hù)能力和應(yīng)急水平，有效遏制重大網(wǎng)絡(luò)與信息安全事件的發(fā)生，創(chuàng)造良好的信息系統(tǒng)安全運(yùn)營(yíng)環(huán)境勢(shì)在必要。根據(jù)衛(wèi)生部印發(fā)的《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)》，衛(wèi)生信息安全工作是我國(guó)衛(wèi)生事業(yè)發(fā)展的重要組成部分。做好信息安全等級(jí)保護(hù)工作，對(duì)于促進(jìn)衛(wèi)生信息化健康發(fā)展，保障醫(yī)藥衛(wèi)生體制改革，維護(hù)公共利益、社會(huì)秩序和國(guó)家安全具有重要意義。

2 確定測(cè)評(píng)對(duì)象與等級(jí)

我院是一所二級(jí)甲等綜合醫(yī)院，日門診人次1000人左右，住院日人次400余人。醫(yī)院信息系統(tǒng)HIS、LIS、PACS、電子病歷、體檢等50余個(gè)系統(tǒng)無(wú)縫結(jié)合，信息雙向交流。按照《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》定級(jí)原理，確定醫(yī)院信息業(yè)務(wù)系統(tǒng)的安全保護(hù)等級(jí)為第2級(jí)，其中業(yè)務(wù)信息安全保護(hù)等級(jí)為2級(jí)，系統(tǒng)服務(wù)安全保護(hù)等級(jí)為2級(jí)。

2.1 招標(biāo)比選測(cè)評(píng)公司

醫(yī)院通過(guò)四川警察網(wǎng)了解到四川省獲得信息安全等級(jí)保護(hù)測(cè)評(píng)有資質(zhì)的5家公司。醫(yī)院電話通知該5家公司，簡(jiǎn)單介紹醫(yī)院信息化情況，其中有3家公司到現(xiàn)場(chǎng)進(jìn)行調(diào)查，掌握了信息系統(tǒng)情況。然后通過(guò)招標(biāo)比選確定一家公司為我院測(cè)評(píng)安全等級(jí)保護(hù)。

2.2 測(cè)評(píng)實(shí)施

2.2.1 準(zhǔn)備階段

醫(yī)院填報(bào)《安全等級(jí)保護(hù)備案申報(bào)表》、《安全等級(jí)保護(hù)定級(jí)報(bào)告》，確定安全主管人員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、審計(jì)管理員、安全管理員。醫(yī)院組織相關(guān)人員到市級(jí)計(jì)算機(jī)安全學(xué)會(huì)進(jìn)行安全培訓(xùn)學(xué)習(xí)。確定醫(yī)院信息安全主管人員協(xié)助測(cè)評(píng)公司人員就醫(yī)院信息業(yè)務(wù)系統(tǒng)做調(diào)研，提交準(zhǔn)備資料。調(diào)研內(nèi)容涉及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖、線路鏈接情況、中心機(jī)房位置分布情況、應(yīng)用系統(tǒng)組成情況、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)以及相應(yīng)的IP地址、網(wǎng)絡(luò)互連設(shè)備的配置、網(wǎng)絡(luò)安全設(shè)備的配置、安全文檔等。

2.2.2 測(cè)評(píng)主要內(nèi)容

主要針對(duì)醫(yī)院信息系統(tǒng)技術(shù)安全和安全管理兩方面實(shí)施測(cè)評(píng)，其中技術(shù)安全包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用系統(tǒng)安全、數(shù)據(jù)安全及備份恢復(fù)進(jìn)行5；安全管理包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理。

2.2.3 測(cè)評(píng)方式與測(cè)評(píng)范圍

測(cè)評(píng)公司綜合采用了現(xiàn)場(chǎng)測(cè)評(píng)與風(fēng)險(xiǎn)分析方法測(cè)評(píng)、單元測(cè)評(píng)與整體測(cè)評(píng)。單元測(cè)評(píng)實(shí)施過(guò)程中采用現(xiàn)場(chǎng)訪談、檢查和測(cè)試等測(cè)評(píng)方法。就各類崗位人員進(jìn)行訪談，了解醫(yī)院業(yè)務(wù)運(yùn)作以及網(wǎng)絡(luò)運(yùn)行狀況；查看主機(jī)房、應(yīng)用系統(tǒng)軟件、主機(jī)操作系統(tǒng)及安全相關(guān)軟件、數(shù)據(jù)庫(kù)管理系統(tǒng)、安全設(shè)備管理系統(tǒng)、安全文檔、網(wǎng)絡(luò)分布鏈接情況。檢查物理安全、主機(jī)安全、網(wǎng)絡(luò)安全、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)等技術(shù)類測(cè)評(píng)任務(wù)，以及安全管理類測(cè)評(píng)任務(wù)；查閱分析文檔、核查安全配置、監(jiān)聽(tīng)與分析網(wǎng)絡(luò)等檢查方法查證防火墻、路由器、交換機(jī)部署及其配置情況、端口開(kāi)放情況等；測(cè)評(píng)人員采用手工驗(yàn)證和工具測(cè)試進(jìn)行漏洞掃描、系統(tǒng)滲透測(cè)試，檢查系統(tǒng)的安全有效性。

整體測(cè)評(píng)主要應(yīng)用于安全控制間、層面間和區(qū)域間等三個(gè)方面。主要就是針對(duì)同一區(qū)域內(nèi)、同一層面上或不同層面上的不同安全控制間存在的安全問(wèn)題以及不同區(qū)域間的互連互通時(shí)的安全性。

醫(yī)院信息系統(tǒng)運(yùn)用了身份鑒別措施、軟件容錯(cuò)機(jī)制、用戶權(quán)限分組管理、密碼賬戶登錄、數(shù)據(jù)庫(kù)表中記錄用戶操作、對(duì)重要事件進(jìn)行審計(jì)并留存記錄。網(wǎng)絡(luò)邊界處部署防火墻防御入侵，終端使用了趨勢(shì)網(wǎng)絡(luò)版本防病毒產(chǎn)品，抵御惡意代碼。開(kāi)啟系統(tǒng)審計(jì)日志，制定和實(shí)施有效安全管理制度，加強(qiáng)安全管理，降低系統(tǒng)安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)進(jìn)行了有效的區(qū)域劃分，區(qū)域之間通過(guò)訪問(wèn)控制列表實(shí)現(xiàn)安全控制，與社保局、醫(yī)管辦等第三方外聯(lián)區(qū)之間通過(guò)防火墻嚴(yán)格限制訪問(wèn)端口。

2.2.5 差距分析與測(cè)評(píng)整改

通過(guò)測(cè)評(píng)，測(cè)評(píng)公司寫(xiě)出測(cè)評(píng)報(bào)告，提出整改建議。按照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》要求6，測(cè)評(píng)公司人員根據(jù)醫(yī)院當(dāng)前安全管理需要和管理特點(diǎn)，針對(duì)等級(jí)保護(hù)所要求的安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理，從人員、制度、運(yùn)作、規(guī)范等角度，進(jìn)行全面的建設(shè)7，提供技術(shù)建設(shè)措施，落實(shí)等級(jí)保護(hù)制度的各項(xiàng)要求，就各類人員進(jìn)行安全培訓(xùn)，提升醫(yī)院信息系統(tǒng)管理的能力。醫(yī)院分期逐步投入防網(wǎng)絡(luò)入侵系統(tǒng)、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)等。

2.2.6 編制報(bào)告，成功備案

測(cè)評(píng)公司編制報(bào)告，上報(bào)市公安局備案成功，獲得二級(jí)信息系統(tǒng)備案證書(shū)。二級(jí)信息系統(tǒng)，每?jī)赡赀M(jìn)行一次信息安全等級(jí)測(cè)評(píng)。實(shí)施安全等級(jí)保護(hù)測(cè)評(píng)備案使醫(yī)院信息系統(tǒng)安全管理水平提高，安全保護(hù)能力增強(qiáng)，有效保障信息化健康發(fā)展。

3 結(jié)語(yǔ)

網(wǎng)絡(luò)安全問(wèn)題是一個(gè)集技術(shù)、管理和法規(guī)于一體的長(zhǎng)期系統(tǒng)工程，始終有其動(dòng)態(tài)性，醫(yī)院需要不斷進(jìn)行完善，加強(qiáng)管理，持續(xù)增加安全設(shè)備以保障醫(yī)院數(shù)據(jù)安全有效，保障信息系統(tǒng)安全穩(wěn)定運(yùn)行。醫(yī)院信息安全建設(shè)要切合自身?xiàng)l件特點(diǎn)，分期分批循序建設(shè)，保證醫(yī)院各系統(tǒng)長(zhǎng)期穩(wěn)定安全運(yùn)行，以適應(yīng)醫(yī)院不斷擴(kuò)展的業(yè)務(wù)應(yīng)用和管理需求8。

參考文獻(xiàn)

[1]衛(wèi)辦發(fā).〔2011〕85號(hào)，衛(wèi)生部關(guān)于印發(fā)“衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)”的通知，2011.

[2]尚邦治.做好信息安全等級(jí)保護(hù)工作[J].中國(guó)衛(wèi)生信息管理雜志，2005.

[3]王建英，陳文霞，胡雯，張鵬.醫(yī)院信息安全分析及措施[J].中國(guó)病案，2013.

[4]王俊.醫(yī)院信息安全等級(jí)保護(hù)管理體系的構(gòu)建[J].醫(yī)學(xué)信息，2013.

[5]韓作為.醫(yī)院信息安全等級(jí)保護(hù)三級(jí)建設(shè)流程與要點(diǎn)[J].中國(guó)數(shù)字醫(yī)學(xué)，2006.

篇2

會(huì)議擬請(qǐng)公安、工業(yè)和信息化、國(guó)家保密、國(guó)家密碼管理主管部門、中國(guó)科學(xué)院、國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心等部門擔(dān)任指導(dǎo)單位，同時(shí)將出版論文集，經(jīng)專家評(píng)選的部分優(yōu)秀論文，將推薦至國(guó)家核心期刊發(fā)表。現(xiàn)就會(huì)議征文的有關(guān)情況通知如下：

一、征文范圍

1. 新技術(shù)應(yīng)用環(huán)境下信息安全等級(jí)保護(hù)技術(shù)：物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、工控系統(tǒng)、移動(dòng)接入網(wǎng)、下一代互聯(lián)網(wǎng)（IPv6）等新技術(shù)、環(huán)境下的等級(jí)保護(hù)支撐技術(shù)，等級(jí)保護(hù)技術(shù)體系在新環(huán)境下的應(yīng)用方法；

2. 關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)技術(shù)：政府部門及金融、交通、電力、能源、通信、制造等重要行業(yè)網(wǎng)站、核心業(yè)務(wù)信息系統(tǒng)等安全威脅、隱患分析及防范措施；

3. 國(guó)內(nèi)外信息安全管理政策與策略：信息安全管理政策和策略研究，信息安全管理體制和機(jī)制特點(diǎn)，信息安全管理標(biāo)準(zhǔn)發(fā)展對(duì)策，網(wǎng)絡(luò)恐怖的特點(diǎn)、趨勢(shì)、危害研究；

4. 信息安全預(yù)警與突發(fā)事件應(yīng)急處置技術(shù)：攻擊監(jiān)測(cè)技術(shù)，態(tài)勢(shì)感知預(yù)警技術(shù)，安全監(jiān)測(cè)技術(shù)，安全事件響應(yīng)技術(shù)，應(yīng)急處置技術(shù)，災(zāi)難備份技術(shù)，恢復(fù)和跟蹤技術(shù)，風(fēng)險(xiǎn)評(píng)估技術(shù)；

5. 信息安全等級(jí)保護(hù)建設(shè)技術(shù)：密碼技術(shù)，可信計(jì)算技術(shù)，網(wǎng)絡(luò)實(shí)名制等體系模型與構(gòu)建技術(shù)，漏洞檢測(cè)技術(shù)，網(wǎng)絡(luò)監(jiān)測(cè)與監(jiān)管技術(shù)，網(wǎng)絡(luò)身份認(rèn)證技術(shù)，網(wǎng)絡(luò)攻防技術(shù)，軟件安全技術(shù)，信任體系研究；

6. 信息安全等級(jí)保護(hù)監(jiān)管技術(shù)：用于支撐安全監(jiān)測(cè)的數(shù)據(jù)采集、挖掘與分析技術(shù)，用于支撐安全監(jiān)管的敏感數(shù)據(jù)發(fā)現(xiàn)與保護(hù)技術(shù)，安全態(tài)勢(shì)評(píng)估技術(shù)，安全事件關(guān)聯(lián)分析技術(shù)、安全績(jī)效評(píng)估技術(shù)，電子數(shù)據(jù)取證和鑒定技術(shù)；

7. 信息安全等級(jí)保護(hù)測(cè)評(píng)技術(shù)：標(biāo)準(zhǔn)符合性檢驗(yàn)技術(shù)，安全基準(zhǔn)驗(yàn)證技術(shù)，源代碼安全分析技術(shù)，逆向工程剖析技術(shù)，滲透測(cè)試技術(shù)，測(cè)評(píng)工具和測(cè)評(píng)方法；

8. 信息安全等級(jí)保護(hù)策略與機(jī)制：網(wǎng)絡(luò)安全綜合防控體系建設(shè)，重要信息系統(tǒng)的安全威脅與脆弱性分析，縱深防御策略，大數(shù)據(jù)安全保護(hù)策略，信息安全保障工作評(píng)價(jià)機(jī)制、應(yīng)急響應(yīng)機(jī)制、安全監(jiān)測(cè)預(yù)警機(jī)制。

二、投稿要求

1. 來(lái)稿內(nèi)容應(yīng)屬于作者的科研成果，數(shù)據(jù)真實(shí)、可靠，未公開(kāi)發(fā)表過(guò)，引用他人成果已注明出處，署名無(wú)爭(zhēng)議，論文摘要及全文不涉及保密內(nèi)容；

2. 會(huì)議只接受以Word排版的電子稿件，稿件一般不超過(guò)5000字；

3. 稿件以Email方式發(fā)送到征稿郵箱；

4. 凡投稿文章被錄用且未作特殊聲明者，視為已同意授權(quán)出版；

5. 提交截止日期： 2014年5月25日。

三、聯(lián)系方式

通信地址：北京市海淀區(qū)首都體育館南路1號(hào)

郵編：100048

Email：.cn

聯(lián)系人： 范博、王晨

聯(lián)系電話：010-68773930，

13717905088，13581879819

篇3

［關(guān)鍵詞］信息安全;等級(jí)保護(hù);云平臺(tái)

［中圖分類號(hào)］TP39［文獻(xiàn)標(biāo)志碼］A［文章編號(hào)］1009－8054(2015)12－0116－04

0引言

國(guó)家對(duì)非信息系統(tǒng)實(shí)行等級(jí)保護(hù)制度，等級(jí)保護(hù)測(cè)評(píng)的目的在于提高國(guó)家重要信息系統(tǒng)的信息安全保障能力和水平，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)［1］。伴隨著信息安全等級(jí)保護(hù)制度的貫徹實(shí)施，信息系統(tǒng)的安全保護(hù)能力有了普遍提升，相關(guān)人員的信息安全意識(shí)同樣有了提高。等級(jí)保護(hù)測(cè)評(píng)工作是查找信息系統(tǒng)安全問(wèn)題的重要手段，國(guó)家相繼出臺(tái)了相關(guān)的標(biāo)準(zhǔn)，來(lái)規(guī)范和指導(dǎo)信息安全等級(jí)保護(hù)測(cè)評(píng)，例如GB/T22239－2008、GB/T22240－2008、GB/T28449－2012等標(biāo)準(zhǔn)。筆者在對(duì)電子政務(wù)系統(tǒng)信息安全等級(jí)保護(hù)定級(jí)以及系統(tǒng)測(cè)評(píng)方面，根據(jù)在實(shí)際工作中遇到的問(wèn)題，結(jié)合工程實(shí)踐，對(duì)測(cè)評(píng)中遇到的這些問(wèn)題進(jìn)行分析，并給出了具體的解決方法。這些問(wèn)題包括:電子政務(wù)外網(wǎng)定級(jí)與測(cè)評(píng)、測(cè)評(píng)中常見(jiàn)的重要問(wèn)題分析，以及云平臺(tái)下開(kāi)展等級(jí)保護(hù)測(cè)評(píng)工作應(yīng)關(guān)注的附加測(cè)評(píng)項(xiàng)等內(nèi)容。

1電子政務(wù)外網(wǎng)定級(jí)與測(cè)評(píng)

對(duì)于電子政務(wù)外網(wǎng)的定級(jí)，對(duì)剛剛接觸等級(jí)保護(hù)測(cè)評(píng)的機(jī)構(gòu)或測(cè)評(píng)人員來(lái)說(shuō)，可能相對(duì)陌生。以往我們開(kāi)展信息系統(tǒng)等級(jí)保護(hù)的定級(jí)和測(cè)評(píng)，都是以信息系統(tǒng)為測(cè)評(píng)單位，要對(duì)整個(gè)電子政務(wù)外網(wǎng)進(jìn)行定級(jí)，是否可行，定級(jí)范圍又是如何界定，下文將給出具體的分析。對(duì)一個(gè)信息化平臺(tái)是可以定級(jí)的，下面就以電子政務(wù)外網(wǎng)為例，來(lái)說(shuō)明具體情況。電子政務(wù)外網(wǎng)是國(guó)家電子政務(wù)重要基礎(chǔ)設(shè)施，是承載各級(jí)政務(wù)部門用于經(jīng)濟(jì)調(diào)節(jié)、市場(chǎng)監(jiān)管、社會(huì)管理和公共服務(wù)等非涉及國(guó)家秘密的業(yè)務(wù)應(yīng)用系統(tǒng)的政務(wù)公用網(wǎng)絡(luò)。電子政務(wù)外網(wǎng)的定級(jí)對(duì)象為本級(jí)政務(wù)外網(wǎng)管轄范圍內(nèi)(由邊界設(shè)備確定)的所有網(wǎng)絡(luò)、計(jì)算、存儲(chǔ)和安全防護(hù)等各類設(shè)備、各種用于網(wǎng)絡(luò)運(yùn)維管理、安全保障的應(yīng)用系統(tǒng)、各種通信線路及支持所有軟硬件正常運(yùn)行的機(jī)房等基礎(chǔ)設(shè)施環(huán)境等。門戶網(wǎng)站系統(tǒng)、跨部門的數(shù)據(jù)共享與交換系統(tǒng)、數(shù)據(jù)中心內(nèi)的各業(yè)務(wù)應(yīng)用系統(tǒng)以及各級(jí)政務(wù)部門的各類應(yīng)用系統(tǒng)不包括在政務(wù)外網(wǎng)的等級(jí)保護(hù)范圍內(nèi)，這些系統(tǒng)的的定級(jí)標(biāo)準(zhǔn)依據(jù)GB/T2224－2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》，測(cè)評(píng)標(biāo)準(zhǔn)依據(jù)GB/T22239－2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》。在《國(guó)家電子政務(wù)外網(wǎng)安全等級(jí)保護(hù)實(shí)施指南》中，分別給出了等級(jí)保護(hù)二級(jí)和等級(jí)保護(hù)三級(jí)的定級(jí)范圍圖。其中，等級(jí)保護(hù)二級(jí)的定級(jí)范圍圖如圖1所示。圖中標(biāo)識(shí)為紫色的區(qū)域，就是電子政務(wù)外網(wǎng)的定級(jí)范圍。對(duì)于電子政務(wù)外網(wǎng)的測(cè)評(píng)，要依據(jù)兩個(gè)方面的標(biāo)準(zhǔn)，其一是《國(guó)家電子政務(wù)外網(wǎng)安全保護(hù)等級(jí)基本要求》，在該標(biāo)準(zhǔn)中對(duì)IP承載網(wǎng)、業(yè)務(wù)區(qū)域網(wǎng)絡(luò)和管理區(qū)域網(wǎng)絡(luò)等方面提出了具體要求，包括結(jié)構(gòu)安全、訪問(wèn)控制等具體要求項(xiàng);其二是GB/T22239－2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》。電子政務(wù)外網(wǎng)按照功能區(qū)域劃分可以劃分出6個(gè)安全區(qū)域，即公用網(wǎng)絡(luò)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)、專用網(wǎng)絡(luò)區(qū)、用戶接入?yún)^(qū)、網(wǎng)絡(luò)和安全管理區(qū)、電子認(rèn)證區(qū)。在實(shí)際的測(cè)評(píng)工作工作中，要理解各個(gè)功能區(qū)域作用:互聯(lián)網(wǎng)接入?yún)^(qū):是政務(wù)部門通過(guò)邏輯隔離安全接入互聯(lián)網(wǎng)的網(wǎng)絡(luò)區(qū)域，滿足政務(wù)部門連接互聯(lián)網(wǎng)的需求。網(wǎng)絡(luò)管理區(qū):網(wǎng)絡(luò)管理區(qū)主要承載網(wǎng)絡(luò)管理信息系統(tǒng)，通過(guò)網(wǎng)絡(luò)管理系統(tǒng)實(shí)現(xiàn)對(duì)管轄區(qū)內(nèi)網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備的狀態(tài)監(jiān)控及相關(guān)管理等功能;安全管理區(qū):安全管理區(qū)主要承載安全管理信息系統(tǒng)，通過(guò)安全管理區(qū)實(shí)現(xiàn)對(duì)管轄區(qū)內(nèi)安全設(shè)備進(jìn)行日志采集、實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中的攻擊行為進(jìn)行報(bào)警等功能;公用網(wǎng)絡(luò)區(qū):采用統(tǒng)一分配的公共IP地址，實(shí)現(xiàn)各部門、各地區(qū)之間的互聯(lián)互通，為跨地區(qū)、跨部門的業(yè)務(wù)應(yīng)用提供數(shù)據(jù)共享與交換的網(wǎng)絡(luò)平臺(tái)。

2測(cè)評(píng)中常見(jiàn)的問(wèn)題分析

2．1網(wǎng)絡(luò)結(jié)構(gòu)方面根據(jù)調(diào)研，筆者發(fā)現(xiàn)目前一些單位的二級(jí)系統(tǒng)由于應(yīng)用架構(gòu)簡(jiǎn)單，面對(duì)互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器被部署在一個(gè)網(wǎng)段，而且部署在內(nèi)網(wǎng)區(qū)域。很顯然，該種拓?fù)浣Y(jié)構(gòu)存在的問(wèn)題主要體現(xiàn)在:1)應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)部署在一個(gè)網(wǎng)段，存在安全隱患，一旦面對(duì)互聯(lián)網(wǎng)的應(yīng)用服務(wù)器被惡意入侵，同網(wǎng)段的數(shù)據(jù)庫(kù)服務(wù)器將面臨很大的安全風(fēng)險(xiǎn)。2)面對(duì)互聯(lián)網(wǎng)的應(yīng)用服務(wù)器部署在內(nèi)網(wǎng)區(qū)域，一旦該服務(wù)器被惡意入侵，將給內(nèi)網(wǎng)安全帶來(lái)安全風(fēng)險(xiǎn)。對(duì)于該類網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，應(yīng)將應(yīng)用服務(wù)器設(shè)置在互聯(lián)網(wǎng)邊界防火墻的DMZ區(qū)域。在實(shí)際的測(cè)評(píng)工作中，我們也發(fā)現(xiàn)了個(gè)別單位擬對(duì)電子政務(wù)外網(wǎng)平臺(tái)進(jìn)行網(wǎng)絡(luò)結(jié)構(gòu)的改造，但往往又不清楚如何下手。據(jù)調(diào)研，現(xiàn)有的網(wǎng)絡(luò)拓?fù)鋱D互聯(lián)網(wǎng)出口過(guò)多，安全域劃分不合理，網(wǎng)絡(luò)區(qū)域的劃分非常分散，都是當(dāng)前網(wǎng)絡(luò)結(jié)構(gòu)方面面臨的問(wèn)題。筆者建議這些單位負(fù)責(zé)網(wǎng)絡(luò)平臺(tái)運(yùn)維的相關(guān)人員要仔細(xì)閱讀《國(guó)家電子政務(wù)外網(wǎng)安全等級(jí)保護(hù)等級(jí)基本要求》和《國(guó)家電子政務(wù)外網(wǎng)安全等級(jí)保護(hù)實(shí)施指南》這兩個(gè)標(biāo)準(zhǔn)，這個(gè)標(biāo)準(zhǔn)對(duì)電子政務(wù)外網(wǎng)功能區(qū)域的劃分，已經(jīng)給出了明確的說(shuō)明。在不了解上述標(biāo)準(zhǔn)的前提下，對(duì)現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行盲目的調(diào)整，調(diào)整的結(jié)果仍然是網(wǎng)絡(luò)區(qū)域分散，互聯(lián)網(wǎng)出口過(guò)多、系統(tǒng)化不強(qiáng)。《國(guó)家電子政務(wù)外網(wǎng)安全等級(jí)保護(hù)實(shí)施指南》中給出的網(wǎng)絡(luò)功能區(qū)域的劃分圖如圖2所示。2．2重要網(wǎng)段防止地址欺騙為了做好重要網(wǎng)段防止地址欺騙工作。可以從雙向IP/MAC綁定入手。例如:重要的管理終端與該管理終端的接入網(wǎng)關(guān)之間，要實(shí)現(xiàn)雙向綁定。在管理終端上設(shè)置網(wǎng)關(guān)的靜態(tài)ARP信息，在網(wǎng)關(guān)上將管理終端的IP－MAC輸入到靜態(tài)表中。在實(shí)際的測(cè)評(píng)中發(fā)現(xiàn)，重要網(wǎng)段防止地址欺騙在網(wǎng)絡(luò)設(shè)置中做的不多。2．3訪問(wèn)控制信息安全等級(jí)保護(hù)的兩個(gè)目的，其一是保護(hù)信息系統(tǒng)數(shù)據(jù)的安全性，其二是保證信息系統(tǒng)的業(yè)務(wù)連續(xù)性。顯然，對(duì)服務(wù)器的保護(hù)顯得重之又重。在具體的測(cè)評(píng)中，我們發(fā)現(xiàn)，在服務(wù)器區(qū)域邊界防火墻的訪問(wèn)控制策略中，源地址范圍過(guò)大是常見(jiàn)的一類問(wèn)題，而且該策略中，對(duì)應(yīng)的端口限制粒度也往往過(guò)大。2．4單點(diǎn)故障問(wèn)題在測(cè)評(píng)中時(shí)常發(fā)現(xiàn)，一些三級(jí)系統(tǒng)未采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)鋱D，因而造成關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障。避免單點(diǎn)故障就是為了保障系統(tǒng)的高可用性。2．5非法外聯(lián)的問(wèn)題在等保測(cè)評(píng)的技術(shù)要求中，要求采用技術(shù)手段限制非法外聯(lián)行為。一些剛剛邁進(jìn)等級(jí)保護(hù)測(cè)評(píng)大門的相關(guān)人員可能會(huì)有如下錯(cuò)誤的認(rèn)識(shí):“待評(píng)測(cè)的信息系統(tǒng)面向互聯(lián)網(wǎng)提供服務(wù)，而且被測(cè)評(píng)單位的所有計(jì)算機(jī)終端設(shè)備均允許連接互聯(lián)網(wǎng)，該測(cè)評(píng)項(xiàng)因此可以判定為不適用”。實(shí)際上，上面的理解是不正確的，盡管該單位所有的終端都可以連接互聯(lián)網(wǎng)，但是這些終端都是通過(guò)該單位統(tǒng)一的互聯(lián)網(wǎng)出口出去的，而且在互聯(lián)網(wǎng)邊界必定部署了相關(guān)安全設(shè)備，如放火墻、入侵防御設(shè)備等等。如果該單位某個(gè)終端用戶采用一個(gè)3G上網(wǎng)卡連接了互聯(lián)網(wǎng)，這等于就打開(kāi)了一個(gè)新的通路，而且這條通路上沒(méi)有任何的安全防護(hù)設(shè)備，這就破壞了網(wǎng)絡(luò)的邊界完整性，給內(nèi)網(wǎng)安全帶來(lái)了隱患。因此，限制終端用戶的非法外聯(lián)行為是十分必要的。2．6密碼加密的問(wèn)題在測(cè)評(píng)中發(fā)現(xiàn)，一些數(shù)據(jù)庫(kù)的用戶表中，密碼字段仍然是明文存儲(chǔ)，顯然這是非常不安全的，建議對(duì)密碼字段進(jìn)行加密，加密可采用md5(用戶名+密碼+隨機(jī)字符串)加密方式。2．7驗(yàn)證碼繞過(guò)的問(wèn)題在應(yīng)用安全測(cè)評(píng)中，我們發(fā)現(xiàn)一些應(yīng)用系統(tǒng)仍然存在admin這樣的管理員用戶，這就給密碼猜測(cè)提供了可能，建議重命名ad-min或administrator，此外，為了避免驗(yàn)證碼繞過(guò)的問(wèn)題，應(yīng)及時(shí)更新驗(yàn)證碼(在登錄失敗時(shí)也要更新驗(yàn)證碼)，防止出現(xiàn)驗(yàn)證碼被繞過(guò)問(wèn)題的發(fā)生。2．8信息系統(tǒng)精確定級(jí)在進(jìn)行信息系統(tǒng)等級(jí)保護(hù)定級(jí)時(shí)，信息系統(tǒng)的使用單位一般都做到了信息系統(tǒng)定級(jí)，但是沒(méi)有做到準(zhǔn)確定級(jí)，也就是說(shuō)沒(méi)有根據(jù)數(shù)據(jù)的安全性等級(jí)和業(yè)務(wù)連續(xù)性的安全等級(jí)來(lái)最終定位系統(tǒng)的安全保護(hù)等級(jí)。在一個(gè)三級(jí)系統(tǒng)的等級(jí)保護(hù)測(cè)評(píng)咨詢項(xiàng)目中，用戶將信息系統(tǒng)定為三級(jí)(S3G3A3)，根據(jù)我們實(shí)際的調(diào)研發(fā)現(xiàn)，該系統(tǒng)僅僅是一個(gè)數(shù)據(jù)備份系統(tǒng)，對(duì)數(shù)據(jù)安全性要求可以達(dá)到三級(jí)要求，但對(duì)于業(yè)務(wù)連續(xù)性的要求是不需要定為三級(jí)的，因此就建議用戶對(duì)信息系統(tǒng)定級(jí)為三級(jí)(S3G3A2)，這樣一來(lái)，既保證了信息系統(tǒng)安全性，也為使用單位設(shè)計(jì)、改造該系統(tǒng)的信息安全保護(hù)能力提供了準(zhǔn)確的指導(dǎo)建議。

3云平臺(tái)環(huán)境下的信息系統(tǒng)信息安全測(cè)評(píng)

隨著云平臺(tái)的發(fā)展，一些單位將應(yīng)用部署在云服務(wù)器上，當(dāng)前云應(yīng)用存在四個(gè)方面的安全風(fēng)險(xiǎn)，一是共享技術(shù)漏洞引入的虛擬化安全風(fēng)險(xiǎn);二是云服務(wù)不可信帶來(lái)的信息安全風(fēng)險(xiǎn);三是多租戶模式帶來(lái)的數(shù)據(jù)泄露風(fēng)險(xiǎn);四是云平臺(tái)惡意使用帶來(lái)的運(yùn)營(yíng)安全風(fēng)險(xiǎn)。“虛擬化”和“分散處理”是云平臺(tái)下兩項(xiàng)關(guān)鍵技術(shù)，而云平臺(tái)是以虛擬機(jī)系統(tǒng)作為底層架構(gòu)，因此虛擬機(jī)系統(tǒng)的安全是云安全的核心。這就給開(kāi)展等級(jí)保護(hù)測(cè)評(píng)工作引入了新的要求。圖3給出了虛擬化環(huán)境層次分析模型［2］。圖中所示的Hypervisor為管理控制程序，負(fù)責(zé)對(duì)硬件資源的調(diào)度、管理VM(虛擬機(jī))、響應(yīng)VM。在該模型中，信息系統(tǒng)采用虛擬化技術(shù)，用戶使用的服務(wù)器資源、網(wǎng)絡(luò)設(shè)備資源、安全設(shè)備資源等資源，均被放置在云端。用戶通過(guò)客戶端的瀏覽器頁(yè)面訪問(wèn)信息系統(tǒng)的WEB頁(yè)面，由云端的虛擬化管理層對(duì)用戶進(jìn)行身份驗(yàn)證，并分配相應(yīng)的資源。結(jié)合圖3所示，在進(jìn)行信息安全等級(jí)保護(hù)測(cè)評(píng)時(shí)，應(yīng)充分考慮三個(gè)層次存在的安全風(fēng)險(xiǎn)［2］:對(duì)于用戶接入層:要關(guān)注終端安全、身份認(rèn)證、通信加密、連接安全等安全風(fēng)險(xiǎn)點(diǎn);虛擬化管理層:要關(guān)注Hypervisor自身的安全性、Hypervisor特權(quán)威脅、計(jì)算資源虛擬化等安全威脅;VM層:要關(guān)注數(shù)據(jù)集中風(fēng)險(xiǎn)、逃逸威脅、VM鏡像的安全性、殘余信息保護(hù)等。針對(duì)云平臺(tái)下的信息系統(tǒng)信息安全測(cè)評(píng)，筆者認(rèn)為除了要依據(jù)GB/T22239－2008標(biāo)準(zhǔn)的基本要求對(duì)信息系統(tǒng)進(jìn)行測(cè)評(píng)外，還應(yīng)增加相應(yīng)的附加要求。這些附加要求包括:3．1網(wǎng)絡(luò)安全(1)結(jié)構(gòu)安全云服務(wù)提供商應(yīng)能提供完整的虛擬網(wǎng)絡(luò)環(huán)境說(shuō)明，包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備的部署情況及作用說(shuō)明，并提供給云平臺(tái)用戶備案;云服務(wù)提供商應(yīng)能對(duì)虛擬網(wǎng)絡(luò)的運(yùn)行狀況進(jìn)行監(jiān)控。(2)訪問(wèn)控制應(yīng)在虛擬網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，并啟用訪問(wèn)控制功能;應(yīng)在客戶端到虛擬機(jī)之間部署訪問(wèn)控制設(shè)備，并啟用訪問(wèn)控制功能。3．2主機(jī)安全(1)身份鑒別對(duì)虛擬服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止用戶鑒別信息在網(wǎng)絡(luò)傳輸中被竊聽(tīng)。(2)訪問(wèn)控制應(yīng)采用技術(shù)手段控制虛擬機(jī)與物理主機(jī)之間、虛擬機(jī)之間的互訪。(3)剩余信息保護(hù)應(yīng)采取技術(shù)措施保證虛擬資源回收時(shí)，對(duì)數(shù)據(jù)進(jìn)行清除。(4)入侵防范物理主機(jī)中應(yīng)采用監(jiān)測(cè)技術(shù)，對(duì)同一物理主機(jī)上各虛擬主機(jī)之間的通信進(jìn)行監(jiān)測(cè)。(5)資源控制應(yīng)限制每臺(tái)虛擬機(jī)資源使用的上限。(6)惡意代碼防范應(yīng)采用技術(shù)手段對(duì)虛擬機(jī)鏡像文件進(jìn)行保護(hù);在物理機(jī)和虛擬機(jī)中均應(yīng)安裝惡意代碼防范軟件，并及時(shí)更新惡意代碼軟件版本和惡意代碼庫(kù)。(7)剩余信息保護(hù)應(yīng)采取技術(shù)措施保證虛擬資源回收時(shí)，對(duì)數(shù)據(jù)進(jìn)行清除。3．3數(shù)據(jù)安全(1)數(shù)據(jù)完整性應(yīng)采用技術(shù)手段對(duì)虛擬機(jī)鏡像文件進(jìn)行完整性保護(hù)。(2)數(shù)據(jù)保密性應(yīng)采用加密或者其他保護(hù)措施實(shí)現(xiàn)虛擬鏡像文件的保密性。(3)備份和恢復(fù)對(duì)VMM(即Hypervisor)的安全配置、訪問(wèn)控制策略進(jìn)行備份。

4結(jié)語(yǔ)

信息系統(tǒng)的等級(jí)保護(hù)測(cè)評(píng)工作是實(shí)踐性非常強(qiáng)的一項(xiàng)工作，由于新技術(shù)、新產(chǎn)品的應(yīng)用都將給測(cè)評(píng)工作帶來(lái)新的挑戰(zhàn)。本文結(jié)合具體的工程實(shí)踐，對(duì)電子政務(wù)外網(wǎng)的定級(jí)進(jìn)行了闡述，對(duì)測(cè)評(píng)中發(fā)現(xiàn)的一些重要問(wèn)題進(jìn)行了分析，并結(jié)合當(dāng)前云應(yīng)用的情況，對(duì)信息安全等級(jí)保護(hù)測(cè)評(píng)的基本要求進(jìn)行補(bǔ)充。筆者也將在今后的文章中，對(duì)信息安全等級(jí)測(cè)評(píng)標(biāo)準(zhǔn)的理解與實(shí)踐，做更加詳細(xì)地陳述。

參考文獻(xiàn):

［1］孫鐵．云環(huán)境下開(kāi)展等級(jí)保護(hù)工作的思考［J］．信息網(wǎng)絡(luò)安全，2011(6):11－13．

篇4

【關(guān)鍵詞】電力；信息系統(tǒng)；信息安全；等級(jí)保護(hù)

隨著科學(xué)技術(shù)的快速提高，我國(guó)的信息化發(fā)展迅速，信息化在各行各業(yè)都得到廣泛應(yīng)用。城市電網(wǎng)是經(jīng)濟(jì)社會(huì)發(fā)展的重要基礎(chǔ)設(shè)施，是能源產(chǎn)業(yè)鏈的重要環(huán)節(jié)。隨著信息、通信技術(shù)的廣泛應(yīng)用，智能化已成為世界電網(wǎng)發(fā)展的新趨勢(shì)。電力企業(yè)網(wǎng)絡(luò)建立信息安全等級(jí)保護(hù)制度旨在為國(guó)家信息安全保護(hù)工作建立起一個(gè)長(zhǎng)久有效的安全機(jī)制，保障信息化建設(shè)的健康發(fā)展。然而目前我國(guó)電網(wǎng)的信息安全等級(jí)保護(hù)政策的實(shí)施處于初步進(jìn)行階段，還有很多工作需要完成。這需要業(yè)內(nèi)外人士的共同參與，為保障信息安全盡最大的努力。同時(shí)伴隨著計(jì)算機(jī)技術(shù)的發(fā)展，信息安全等級(jí)保護(hù)技術(shù)和水平也要不斷優(yōu)化升級(jí)，確保能夠及時(shí)解決安全保護(hù)中遇到的問(wèn)題，讓信息安全等級(jí)保護(hù)政策的實(shí)施暢行無(wú)阻。

1 電力信息安全等級(jí)保護(hù)

信息系統(tǒng)等級(jí)保護(hù)制度是我國(guó)信息安全領(lǐng)域一項(xiàng)重要政策，信息系統(tǒng)安全等級(jí)保護(hù)是指對(duì)信息安全實(shí)行等級(jí)化保護(hù)和等級(jí)化管理。根據(jù)信息系統(tǒng)實(shí)用業(yè)務(wù)重要程度及其安全實(shí)際需求，實(shí)行分級(jí)、分類、分階段實(shí)施保護(hù)，保障信息安全和系統(tǒng)安全穩(wěn)定運(yùn)行，維護(hù)國(guó)家利益、公共利益和社會(huì)穩(wěn)定，等級(jí)保護(hù)的核心是對(duì)信息系統(tǒng)特別是對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)安全分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。國(guó)家對(duì)信息安全等級(jí)保護(hù)工作運(yùn)用法律和技術(shù)規(guī)范逐級(jí)加強(qiáng)監(jiān)管力度，保障重要信息資源和重要信息系統(tǒng)的安全。

1.1 等級(jí)保護(hù)定級(jí)

信息系統(tǒng)的安全保護(hù)等級(jí)由兩個(gè)定級(jí)要素決定：等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體和對(duì)客體造成侵害的程度，其中等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體包括三方面：公民、法人和其他組織的合法權(quán)益，社會(huì)秩序、公民利益，國(guó)家安全。等級(jí)保護(hù)對(duì)象受到破壞后對(duì)客體造成侵害的程度分為三種：一般損害，嚴(yán)重?fù)p害，特別嚴(yán)重?fù)p害。定級(jí)要素與信息系統(tǒng)定級(jí)的關(guān)系見(jiàn)下表所示。

1.2 基本要求與主要流程

等級(jí)保護(hù)的基本要求是：各基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)，按照“準(zhǔn)確定級(jí)、嚴(yán)格審批、及時(shí)備案、認(rèn)真整改、科學(xué)測(cè)評(píng)”的要求完成等級(jí)保護(hù)的定級(jí)、備案、整改、測(cè)評(píng)等工作。公安機(jī)關(guān)和保密、密碼工作部門要及時(shí)開(kāi)展監(jiān)督檢查，嚴(yán)格審查信息系統(tǒng)所定級(jí)別，嚴(yán)格檢查信息系統(tǒng)開(kāi)展備案、整改、測(cè)評(píng)等工作。等級(jí)保護(hù)的主要流程包括6項(xiàng)內(nèi)容。

（1）自主定級(jí)與審批：信息系統(tǒng)運(yùn)營(yíng)使用單位按照等級(jí)保護(hù)管理辦法和定級(jí)指南，自主確定信息系統(tǒng)的安全保護(hù)等級(jí)。有上級(jí)主管部門的，應(yīng)當(dāng)經(jīng)上級(jí)主管部門審批。跨省或全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由其主管部門統(tǒng)一確定安全保護(hù)等級(jí)。

（2）評(píng)審：在信息系統(tǒng)確定安全保護(hù)等級(jí)過(guò)程中，可以組織專家進(jìn)行評(píng)審。對(duì)擬確定為第4級(jí)以上信息系統(tǒng)的，運(yùn)營(yíng)使用單位或主管部門應(yīng)當(dāng)邀請(qǐng)國(guó)家信息安全等級(jí)專家評(píng)審委員會(huì)評(píng)審。

（3）備案：第2級(jí)以上信息系統(tǒng)定級(jí)單位到所在地的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。

（4）系統(tǒng)安全建設(shè)：信息系統(tǒng)安全保護(hù)等級(jí)確定后，運(yùn)營(yíng)使用單位按照慣例規(guī)范和技術(shù)標(biāo)準(zhǔn)，選擇管理辦法要求的信息安全產(chǎn)品，建設(shè)符合等級(jí)要求的信息安全設(shè)施，建立安全組織，制定并落實(shí)信息安全管理制度。

（5）等級(jí)測(cè)評(píng)：信息系統(tǒng)建設(shè)完成后，運(yùn)營(yíng)使用單位選擇符合管理辦法要求的檢測(cè)機(jī)構(gòu)，對(duì)信息系統(tǒng)安全等級(jí)狀況開(kāi)展等級(jí)測(cè)評(píng)。

（6）監(jiān)督檢查：公安機(jī)關(guān)依據(jù)信息安全等級(jí)保護(hù)管理規(guī)范，監(jiān)督檢查運(yùn)營(yíng)使用單位開(kāi)展等級(jí)保護(hù)工作，定期對(duì)第3級(jí)以上的信息系統(tǒng)進(jìn)行安全檢查。運(yùn)營(yíng)使用單位應(yīng)當(dāng)接受公安機(jī)關(guān)的安全監(jiān)督、檢查、指導(dǎo)，如實(shí)向公安機(jī)關(guān)提供有關(guān)材料。

2 電力信息系統(tǒng)等級(jí)保護(hù)工作開(kāi)展

2.1 信息系統(tǒng)定級(jí)及審批

2007年7月，公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息辦聯(lián)合下發(fā)《關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》（公信安[2007]861號(hào)），按照有關(guān)工作要求，國(guó)家電力監(jiān)管委員會(huì)開(kāi)展了電力行業(yè)等級(jí)保護(hù)定級(jí)工作，并印發(fā)《關(guān)于開(kāi)展電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》（電監(jiān)信息[2007]34號(hào)），電力公司按照《國(guó)家電網(wǎng)公司信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南（試行）》（信息技術(shù)[2007]60號(hào)）對(duì)公司信息系統(tǒng)進(jìn)行定級(jí)，按照要求填寫(xiě)定級(jí)報(bào)告和備案表，并報(bào)送國(guó)家電力監(jiān)管委員會(huì)組織評(píng)審和審批。主要涉及4個(gè)3級(jí)系統(tǒng)、11個(gè)二級(jí)系統(tǒng)，具體見(jiàn)表2。

2.2 信息系統(tǒng)等級(jí)保護(hù)備案

公司完成信息系統(tǒng)的定級(jí)工作后，開(kāi)始對(duì)信息系統(tǒng)進(jìn)行等級(jí)保護(hù)備案，認(rèn)真填寫(xiě)《信息系統(tǒng)安全等級(jí)保護(hù)備案表》，梳理完成所有資料準(zhǔn)備后，于2011年向省公安廳提交了等級(jí)保護(hù)備案材料，最終公司15個(gè)管理信息系統(tǒng)完成了等級(jí)保護(hù)備案工作。

2.3 等級(jí)保護(hù)測(cè)評(píng)及整改工作

2011-2012年，按照國(guó)家電力監(jiān)管委員會(huì)要求，北京華電卓識(shí)信息安全測(cè)評(píng)技術(shù)中心相繼完成對(duì)公司電力市場(chǎng)交易系統(tǒng)、ERP系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、營(yíng)銷管理等15個(gè)系統(tǒng)的等級(jí)保護(hù)測(cè)評(píng)工作。

公司積極組織、協(xié)調(diào)、配合測(cè)評(píng)隊(duì)伍，遵循“流程規(guī)范、方法科學(xué)、結(jié)論公正”的原則，按照國(guó)家等級(jí)保護(hù)測(cè)評(píng)工作的有關(guān)標(biāo)準(zhǔn)、規(guī)范的要求，根據(jù)《電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)要求（試行）》開(kāi)展測(cè)評(píng)工作，公司信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)符合率達(dá)到95%以上，順利通過(guò)了等級(jí)保護(hù)測(cè)評(píng)，但是測(cè)評(píng)中還是發(fā)現(xiàn)了部分問(wèn)題，主要包括：

（1）網(wǎng)絡(luò)設(shè)備不具備雙因子驗(yàn)證

根據(jù)國(guó)家《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》規(guī)定，第2級(jí)以上（不含）信息系統(tǒng)網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來(lái)進(jìn)行身份鑒別，按照此項(xiàng)基本要求，限于硬件條件，公司三級(jí)信息系統(tǒng)尚達(dá)不到安全防護(hù)要求。

（2）數(shù)據(jù)庫(kù)審計(jì)功能未開(kāi)啟

根據(jù)國(guó)家《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》規(guī)定，第2級(jí)及以上信息系統(tǒng)審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶；系統(tǒng)不支持該要求的，應(yīng)以系統(tǒng)運(yùn)行安全和效率為前提。按照此項(xiàng)工作要求，公司部分系統(tǒng)未開(kāi)啟數(shù)據(jù)庫(kù)審計(jì)功能，亦未部署第三方審計(jì)產(chǎn)品。

測(cè)評(píng)工作結(jié)束后測(cè)評(píng)人員對(duì)測(cè)評(píng)過(guò)程結(jié)果及以上問(wèn)題進(jìn)行了反饋，公司根據(jù)測(cè)評(píng)中發(fā)現(xiàn)的各類問(wèn)題做好問(wèn)題整改工作，確保公司信息系統(tǒng)安全穩(wěn)定運(yùn)行。整改工作如下：

1）網(wǎng)絡(luò)設(shè)備未設(shè)置雙因子認(rèn)證。對(duì)于不具備雙因子驗(yàn)證條件的問(wèn)題，公司正在加快建設(shè)統(tǒng)一數(shù)字認(rèn)證系統(tǒng)，系統(tǒng)上線后可實(shí)現(xiàn)雙因子驗(yàn)證。

2）數(shù)據(jù)庫(kù)審計(jì)功能未開(kāi)啟。因開(kāi)啟數(shù)據(jù)庫(kù)審計(jì)功能會(huì)對(duì)系統(tǒng)性能產(chǎn)生較大影響，公司近期計(jì)劃購(gòu)置部署第三方審計(jì)產(chǎn)品。

3 結(jié)束語(yǔ)

電力公司近年來(lái)高度重視信息安全工作，信息安全等級(jí)保護(hù)工作卓有成效，通過(guò)落實(shí)信息安全等級(jí)保護(hù)制度，開(kāi)展管理制度建設(shè)、技術(shù)措施建設(shè)、落實(shí)等級(jí)保護(hù)各項(xiàng)工作要求，使信息系統(tǒng)安全管理水平明顯提高，安全防護(hù)能力顯著增強(qiáng)，安全隱患和安全事故明顯減少，有效保障公司信息化工作健康發(fā)展，公司下一步工作重點(diǎn)應(yīng)著手對(duì)等級(jí)保護(hù)測(cè)評(píng)發(fā)現(xiàn)的各項(xiàng)問(wèn)題進(jìn)行整改，保障公司網(wǎng)絡(luò)及信息系統(tǒng)安全穩(wěn)定運(yùn)行。

參考文獻(xiàn)：

[1]王雪莉.淺談信息安全等級(jí)保護(hù)問(wèn)題[J].數(shù)字技術(shù)與應(yīng)用，2012.

[2]易振宇.電力信息系統(tǒng)等級(jí)保護(hù)實(shí)施淺談[J].信息安全與通信保密，2011.

篇5

關(guān)鍵詞：電子政務(wù)外網(wǎng)；等級(jí)保護(hù)測(cè)評(píng)；風(fēng)險(xiǎn)評(píng)估；風(fēng)險(xiǎn)評(píng)估模型

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）34-8337-02

1 等級(jí)保護(hù)背景下的電子政務(wù)外網(wǎng)風(fēng)險(xiǎn)評(píng)估

電子政務(wù)外網(wǎng)提供非的社會(huì)公共服務(wù)業(yè)務(wù)，全國(guó)從中央各部委、到省、市、縣，已經(jīng)形成了一張大龐大的網(wǎng)絡(luò)系統(tǒng)，有的地方甚至覆蓋到了鄉(xiāng)鎮(zhèn)、社區(qū)村委會(huì)，有效提高了政府從事行政管理和社會(huì)公共服務(wù)效率。今后凡屬社會(huì)管理和公共服務(wù)范疇及不需在國(guó)家電子政務(wù)內(nèi)網(wǎng)上部署的業(yè)務(wù)應(yīng)用，原則上應(yīng)納入國(guó)家政務(wù)外網(wǎng)運(yùn)行，它按照國(guó)家政務(wù)外網(wǎng)統(tǒng)一規(guī)劃，建立網(wǎng)絡(luò)安全防護(hù)體系、統(tǒng)一的網(wǎng)絡(luò)信任體系和信息安全等級(jí)保護(hù)措施。

隨著政務(wù)外網(wǎng)的網(wǎng)絡(luò)覆蓋的擴(kuò)大及接入的政務(wù)單位越來(lái)越多、政務(wù)外網(wǎng)應(yīng)用的不斷增加，各級(jí)政務(wù)移動(dòng)接入政務(wù)外網(wǎng)的需求也在增加，對(duì)政務(wù)外網(wǎng)的要求和期望越大，網(wǎng)絡(luò)安全和運(yùn)維的壓力也越大，責(zé)任也更大。由于政務(wù)外網(wǎng)與互聯(lián)網(wǎng)邏輯隔離，主要滿足各級(jí)政務(wù)部門社會(huì)管理、公共服務(wù)、市場(chǎng)監(jiān)管和經(jīng)濟(jì)調(diào)節(jié)等業(yè)務(wù)應(yīng)用及公務(wù)人員移動(dòng)辦公、現(xiàn)場(chǎng)執(zhí)法等各類的需要，網(wǎng)絡(luò)和電子政務(wù)應(yīng)用也成為境外敵對(duì)勢(shì)力、黑客等攻擊目標(biāo)。隨著新技術(shù)的不斷涌現(xiàn)和大量使用，也對(duì)電子政務(wù)外網(wǎng)網(wǎng)絡(luò)的安全防護(hù)、監(jiān)控、管理等帶來(lái)新的挑戰(zhàn)。按照國(guó)家政務(wù)外網(wǎng)統(tǒng)一規(guī)劃，建立網(wǎng)絡(luò)安全防護(hù)體系、統(tǒng)一的網(wǎng)絡(luò)信任體系和信息安全等級(jí)保護(hù)措施是必須的。

為保障電子政務(wù)外網(wǎng)的安全有效運(yùn)行，我們應(yīng)以風(fēng)險(xiǎn)管理理念來(lái)統(tǒng)籌建設(shè)網(wǎng)絡(luò)和信息安全保障體系。在國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)的大背景下，2011年國(guó)家信息中心下發(fā)了《關(guān)于加快推進(jìn)國(guó)家電子政務(wù)外網(wǎng)安全等級(jí)保護(hù)工作的通知》，強(qiáng)化了電子政務(wù)外網(wǎng)的等級(jí)保護(hù)制度以及等級(jí)測(cè)評(píng)要求，要求對(duì)政務(wù)外網(wǎng)開(kāi)展等級(jí)測(cè)評(píng)，全面了解和掌握安全問(wèn)題、安全保護(hù)狀況及與國(guó)家安全等級(jí)保護(hù)制度相關(guān)要求存在的差距，分析其中存在的安全風(fēng)險(xiǎn)，并根據(jù)風(fēng)險(xiǎn)進(jìn)行整改[1]。

系統(tǒng)安全測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估、等級(jí)測(cè)評(píng)都是信息系統(tǒng)安全的評(píng)判方法[2，3]，其實(shí)它們本沒(méi)有本質(zhì)的區(qū)別，目標(biāo)都是一樣的，系統(tǒng)安全測(cè)評(píng)從系統(tǒng)整體來(lái)對(duì)系統(tǒng)的安全進(jìn)行判斷，風(fēng)險(xiǎn)評(píng)估從風(fēng)險(xiǎn)管理的角度來(lái)對(duì)系統(tǒng)的安全狀況進(jìn)行評(píng)判，而等級(jí)測(cè)評(píng)則是從等級(jí)保護(hù)的角度對(duì)系統(tǒng)的安全進(jìn)行評(píng)判。不管是系統(tǒng)安全測(cè)評(píng)[1]、風(fēng)險(xiǎn)評(píng)估、等級(jí)測(cè)評(píng)，風(fēng)險(xiǎn)的風(fēng)險(xiǎn)與計(jì)算都是三者必不可少的部分。

2 電子政務(wù)主要風(fēng)險(xiǎn)評(píng)估方法簡(jiǎn)介

電子政務(wù)外網(wǎng)風(fēng)險(xiǎn)評(píng)估有自評(píng)估、檢查評(píng)估、第三方評(píng)估（認(rèn)證）評(píng)估模式，都需利用一定的風(fēng)險(xiǎn)評(píng)估方法來(lái)進(jìn)行相關(guān)風(fēng)險(xiǎn)的評(píng)估。從總體上來(lái)講，主要有定量評(píng)估、定性評(píng)估兩類。在進(jìn)行電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程中，采用的主要風(fēng)險(xiǎn)評(píng)估方法有：OCTAVE、SSE-CMM、FAT（故障樹(shù)方法）、AHP （層次分析）以及因素分析法、邏輯分析法、德?tīng)柗品ā⒕垲惙治龇āQ策樹(shù)法、時(shí)許模型、回歸模型等方法。研究風(fēng)險(xiǎn)評(píng)估模型的方法可以運(yùn)用馬爾可夫法、神經(jīng)網(wǎng)絡(luò)、模糊數(shù)學(xué)、決策樹(shù)、小波分析等[4-6]。OCTAVE 方法是一個(gè)系統(tǒng)的方法，它從系統(tǒng)的高度來(lái)進(jìn)行信息安全的安全防護(hù)工作，評(píng)估系統(tǒng)的安全管理風(fēng)險(xiǎn)、安全技術(shù)風(fēng)險(xiǎn)，它提高了利用自評(píng)估的方式制定安全防范措施的能力。它通過(guò)分析重要資產(chǎn)的安全價(jià)值、脆弱性、威脅的情況，制定起風(fēng)險(xiǎn)削減計(jì)劃，降低重要資產(chǎn)的安全風(fēng)險(xiǎn)。電子政務(wù)外網(wǎng)需要從實(shí)際出發(fā)，不能照搬其它評(píng)估方法，根據(jù)電子政務(wù)外網(wǎng)實(shí)際，本設(shè)計(jì)基于OCTAVE 評(píng)估模型，設(shè)計(jì)了一個(gè)電子政務(wù)外網(wǎng)風(fēng)險(xiǎn)分析計(jì)算模型。

3 基于OCTAVE模型的一個(gè)電子政務(wù)外網(wǎng)風(fēng)險(xiǎn)計(jì)算模型設(shè)計(jì)

3.1 風(fēng)險(xiǎn)評(píng)估中的資產(chǎn)、威脅、脆弱性賦值的設(shè)計(jì)

保密性、完整性和可用性是評(píng)價(jià)資產(chǎn)的三個(gè)安全屬性。風(fēng)險(xiǎn)評(píng)估中的資產(chǎn)價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來(lái)衡量，而是由資產(chǎn)在這三個(gè)安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度來(lái)決定的。

資產(chǎn)價(jià)值應(yīng)依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級(jí)，經(jīng)過(guò)綜合評(píng)定得出。綜合評(píng)定方法可以根據(jù)自身的特點(diǎn)，選擇對(duì)資產(chǎn)保密性、完整性和可用性最為重要的一個(gè)屬性的賦值等級(jí)作為資產(chǎn)的最終賦值結(jié)果；也可以根據(jù)資產(chǎn)保密性、完整性和可用性的不同等級(jí)對(duì)其賦值進(jìn)行加權(quán)計(jì)算得到資產(chǎn)的最終賦值結(jié)果。本設(shè)計(jì)模型根據(jù)電子政務(wù)外網(wǎng)的業(yè)務(wù)特點(diǎn)，依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級(jí)進(jìn)行加權(quán)計(jì)算（保密性α+完整性β+和可用性γ），α、β、γ為權(quán)重系數(shù)，權(quán)重系數(shù)的確定可以采用專家咨詢法、信息商權(quán)法、獨(dú)立性權(quán)數(shù)等。本設(shè)計(jì)方案采用專家咨詢法。資產(chǎn)、威脅、脆弱性的賦值可以從0-10，賦值越高，等級(jí)越高。

脆弱性識(shí)別是風(fēng)險(xiǎn)評(píng)估中最重要的一個(gè)環(huán)節(jié)。脆弱性是資產(chǎn)本身存在的，如果沒(méi)有被相應(yīng)的威脅利用，單純的脆弱性本身不會(huì)對(duì)資產(chǎn)造成損害。脆弱性識(shí)別的依據(jù)可以是國(guó)際或國(guó)家安全標(biāo)準(zhǔn)，也可以是行業(yè)規(guī)范等，如國(guó)家信息安全漏洞共享平臺(tái)（CNVD）漏洞通報(bào)、CVE漏洞、微軟漏洞通報(bào)等。

資產(chǎn)、威脅、脆弱性的識(shí)別與賦值依賴于專家對(duì)三者的理解，不同的人員對(duì)三者的賦值可能不同，甚至差別很大，可能會(huì)不能真實(shí)的反映實(shí)際情況。為了識(shí)別與賦值能準(zhǔn)確反映實(shí)際情況，可以采用一定的方法來(lái)進(jìn)行修正。本設(shè)計(jì)采用頭腦風(fēng)暴法、德?tīng)柗品ㄈカ@取資產(chǎn)、威脅、脆弱性并賦值、最后采用群體決策方法確定資產(chǎn)、威脅、脆弱性的識(shí)別與賦值。這樣發(fā)揮了三個(gè)方法的特點(diǎn)，得到的賦值準(zhǔn)確性大大提高。

判斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容，評(píng)估者應(yīng)根據(jù)經(jīng)驗(yàn)和（或）有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來(lái)進(jìn)行判斷[7]。判斷威脅出現(xiàn)的頻率是可能性分析的重要內(nèi)容，如果僅僅從近一兩年來(lái)各種國(guó)內(nèi)、國(guó)際組織的對(duì)于整個(gè)社會(huì)或特定行業(yè)的威脅及其頻率統(tǒng)計(jì)，以及的威脅預(yù)警等來(lái)判斷是不太準(zhǔn)確的，因?yàn)樗鼪](méi)有與具體的電子政務(wù)外網(wǎng)應(yīng)用實(shí)際聯(lián)系起來(lái)，實(shí)際環(huán)境中通過(guò)檢測(cè)工具（如IPS等）以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計(jì)也應(yīng)該考慮進(jìn)去。

本設(shè)計(jì)模型采用綜根據(jù)經(jīng)驗(yàn)和（或）有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來(lái)進(jìn)行判斷，并結(jié)合具體電子政務(wù)外網(wǎng)實(shí)際，從歷史生產(chǎn)系統(tǒng)的IPS等獲取各種威脅及其頻率的統(tǒng)計(jì)，并采用馬兒可夫方法計(jì)算出某個(gè)時(shí)段內(nèi)某個(gè)威脅發(fā)生的概率。馬爾可夫方法是一種定量的方法，具有無(wú)后效性的特點(diǎn)，適用于計(jì)算實(shí)時(shí)的動(dòng)態(tài)信息系統(tǒng)威脅發(fā)生概率。它利用IPS等統(tǒng)計(jì)某一時(shí)段的發(fā)生了哪些威脅，構(gòu)建出各種威脅之間的狀態(tài)轉(zhuǎn)移圖，使用馬爾可夫方法計(jì)算出該時(shí)段內(nèi)某個(gè)威脅發(fā)生的概率。計(jì)算出的威脅發(fā)生概率結(jié)果可以進(jìn)行適當(dāng)?shù)奈⒄{(diào)，該方法要求記錄的樣本具有代表性。

3.2 風(fēng)險(xiǎn)計(jì)算模型設(shè)計(jì)

通常風(fēng)險(xiǎn)值計(jì)算涉及的風(fēng)險(xiǎn)要素為資產(chǎn)、威脅、和脆弱性。 在完成了資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別，以及已有安全措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，并綜合安全事件所作用的資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度，判斷安全事件造成的損失對(duì)組織的影響，即安全風(fēng)險(xiǎn)計(jì)算。

風(fēng)險(xiǎn)值=R（資產(chǎn)，威脅，脆弱性）= R（可能性（威脅，脆弱性），損失（資產(chǎn)價(jià)值，脆弱性嚴(yán)重程度））。可根據(jù)自身電子政務(wù)外網(wǎng)實(shí)際情況選擇相應(yīng)的風(fēng)險(xiǎn)計(jì)算方法計(jì)算風(fēng)險(xiǎn)值，如目前最常用的矩陣法或相乘法等。矩陣法主要用于兩個(gè)要素值確定一個(gè)要素值的情形，相乘法主要用于兩個(gè)或多個(gè)要素值確定一個(gè)要素值的情形。

本設(shè)計(jì)模型采用風(fēng)險(xiǎn)計(jì)算矩陣方法。矩陣法通過(guò)構(gòu)造一個(gè)二維矩陣，形成安全事件的可能性與安全事件造成的損失之間的二維關(guān)系；相乘法通過(guò)構(gòu)造經(jīng)驗(yàn)函數(shù)，將安全事件的可能性與安全事件造成的損失進(jìn)行運(yùn)算得到風(fēng)險(xiǎn)值。

在使用矩陣法分別計(jì)算出某個(gè)資產(chǎn)對(duì)應(yīng)某個(gè)威脅i，某個(gè)脆弱性j的風(fēng)險(xiǎn)系數(shù)[Ri，j]，還應(yīng)對(duì)某個(gè)資產(chǎn)的總體安全威脅風(fēng)險(xiǎn)值進(jìn)行計(jì)算，某個(gè)資產(chǎn)總體風(fēng)險(xiǎn)威脅風(fēng)險(xiǎn)=Max（[Ri，j]），i，j=1，2，3…。組織所有資產(chǎn)的威脅風(fēng)險(xiǎn)值為所有資產(chǎn)的風(fēng)險(xiǎn)值之和。

3.3 對(duì)風(fēng)險(xiǎn)計(jì)算模型的改進(jìn)

在風(fēng)險(xiǎn)值=R（A，T，V）的計(jì)算模型中，由資產(chǎn)賦值、危險(xiǎn)、脆弱性三元組計(jì)算出風(fēng)險(xiǎn)值， 并沒(méi)有把安全防護(hù)措施因素對(duì)風(fēng)險(xiǎn)計(jì)算的影響考慮在內(nèi)，該文把風(fēng)險(xiǎn)值=R（A，T，V）改進(jìn)為風(fēng)險(xiǎn)值=R（A，T，V，P），其中P為安全防護(hù)措施因素。P因素不僅影響安全事件的可能性，也影響安全事件造成的損失，把上面的公式改進(jìn)為風(fēng)險(xiǎn)值=R（L（T，V，P），F(xiàn)（Ia，Va，P ））。對(duì)于L（T，V，P），F(xiàn)（Ia，Va，P ）的計(jì)算可以采用相乘法等。如果采用矩陣法，對(duì)L（T，V，P）的可以拆分計(jì)算L（T，V，P）=L（L（T，V），L（V，P））。

在計(jì)算出單個(gè)資產(chǎn)對(duì)應(yīng)某個(gè)脆弱性、某個(gè)威脅、某個(gè)防護(hù)措施后的風(fēng)險(xiǎn)值后，還應(yīng)總體上計(jì)算組織內(nèi)整體資產(chǎn)面臨的整體風(fēng)險(xiǎn)。單個(gè)風(fēng)險(xiǎn)（一組風(fēng)險(xiǎn)）對(duì)其它風(fēng)險(xiǎn)（一組風(fēng)險(xiǎn)）的影響是必須考慮的，風(fēng)險(xiǎn)之間的影響有風(fēng)險(xiǎn)之間的疊加、消減等。有必要對(duì)風(fēng)險(xiǎn)的疊加效應(yīng)、疊加原理、疊加模型進(jìn)行研究。

3.4 風(fēng)險(xiǎn)結(jié)果判定

為實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的控制與管理，可以對(duì)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行等級(jí)化處理。可將風(fēng)險(xiǎn)劃分為10，等級(jí)越高，風(fēng)險(xiǎn)越高。

風(fēng)險(xiǎn)等級(jí)處理的目的是為風(fēng)險(xiǎn)管理過(guò)程中對(duì)不同風(fēng)險(xiǎn)的直觀比較，以確定組織安全策略。組織應(yīng)當(dāng)綜合考慮風(fēng)險(xiǎn)控制成本與風(fēng)險(xiǎn)造成的影響，提出一個(gè)可接受的風(fēng)險(xiǎn)范圍。對(duì)某些資產(chǎn)面臨的安全風(fēng)險(xiǎn)，如果風(fēng)險(xiǎn)計(jì)算值在可接受的范圍內(nèi)，則該風(fēng)險(xiǎn)是可接受的，應(yīng)保持已有的安全措施；如果風(fēng)險(xiǎn)計(jì)算值高于可接受范圍的上限值，則該風(fēng)險(xiǎn)是不可接受的，需要采取安全措施以降低、控制或轉(zhuǎn)移風(fēng)險(xiǎn)。另一種確定不可接受的風(fēng)險(xiǎn)的辦法是根據(jù)等級(jí)化處理的結(jié)果，不設(shè)定可接受風(fēng)險(xiǎn)值的基準(zhǔn)，對(duì)達(dá)到相應(yīng)等級(jí)的風(fēng)險(xiǎn)都進(jìn)行處理。

參考文獻(xiàn)：

[1] 國(guó)家電子政務(wù)外網(wǎng)管理中心.關(guān)于加快推進(jìn)國(guó)家電子政務(wù)外網(wǎng)安全等級(jí)保護(hù)工作的通知[政務(wù)外網(wǎng)[2011]15號(hào)][Z].2011.

[2] 等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估和安全測(cè)評(píng)三者之間的區(qū)別與聯(lián)系[EB/OL].http：///faq/faq.php？lang=cn&itemid=23.

[3] 趙瑞穎.等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估、安全測(cè)評(píng)三者的內(nèi)在聯(lián)系及實(shí)施建議[C].第二十次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集，2005.

[4] 李煜川.電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估研究――以數(shù)字檔案館為例[D].蘇州：蘇州大學(xué)，2011.

[5] 陳濤，馮平，朱多剛.基于威脅分析的電子政務(wù)信息安全風(fēng)險(xiǎn)評(píng)估模型研究[J].情報(bào)雜志，2011（8）：94-99.

篇6

關(guān)鍵詞：安全等級(jí)；防護(hù)；設(shè)備配置

隨著鐵路全路范圍內(nèi)通信基礎(chǔ)網(wǎng)設(shè)施改造的逐步完成，各路局都已搭建起鐵路數(shù)據(jù)通信網(wǎng)，隨之而來(lái)的問(wèn)題是如何完善鐵路數(shù)據(jù)通信網(wǎng)的網(wǎng)絡(luò)安全。《中國(guó)鐵路總公司關(guān)于做好鐵路數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)安全專項(xiàng)整治工作的通知》（運(yùn)電通信函［2016］123號(hào)）（以下簡(jiǎn)稱“123”號(hào)文）中對(duì)鐵路數(shù)據(jù)通信網(wǎng)網(wǎng)管系統(tǒng)安全防護(hù)提出要求。

1信息系統(tǒng)等級(jí)保護(hù)介紹

信息安全等級(jí)保護(hù)是指對(duì)國(guó)家安全、社會(huì)秩序、公共利益、公民/法人/其他組織的合法權(quán)益以及公開(kāi)信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。

1.1定級(jí)要素

信息系統(tǒng)等級(jí)保護(hù)標(biāo)準(zhǔn)定級(jí)有兩大要素：1）等級(jí)保護(hù)時(shí)受到侵害的客體國(guó)家安全；社會(huì)秩序公共利益；公民/法人/其他組織的合法權(quán)益。2）對(duì)客體造成侵害的程度一般侵害；嚴(yán)重侵害；特別嚴(yán)重侵害。

1.2五個(gè)等級(jí)

信息系統(tǒng)安全保護(hù)等級(jí)按照定級(jí)要素分為5個(gè)等級(jí)，如表1所示。從表1中可看出，隨著級(jí)別的遞增，信息系統(tǒng)受到破壞后對(duì)客體的級(jí)別及造成侵害的程度遞增。

2鐵路數(shù)據(jù)通信網(wǎng)安全防護(hù)配置要求

“123”號(hào)文主要參考的標(biāo)準(zhǔn)有：《IP承載網(wǎng)安全防護(hù)要求》（YD/T1746-2014）；《IP網(wǎng)絡(luò)安全技術(shù)要求-安全框架》（YD/T1163-2001）；《IP網(wǎng)絡(luò)技術(shù)要求-網(wǎng)絡(luò)總體》（YD/T1170-2001）；等級(jí)保護(hù)基本要求（三級(jí)）。按照以上標(biāo)準(zhǔn)規(guī)范的要求，參照鐵路數(shù)據(jù)通信網(wǎng)安全測(cè)評(píng)情況，“123”號(hào)文提出：“各單位以《鐵路數(shù)據(jù)通信網(wǎng)網(wǎng)絡(luò)安全檢查關(guān)鍵項(xiàng)點(diǎn)》（附件1）為基礎(chǔ)，結(jié)合本單位實(shí)際情況確定檢查內(nèi)容，定期開(kāi)展數(shù)據(jù)網(wǎng)的網(wǎng)絡(luò)安全檢查，并將檢查發(fā)現(xiàn)的各類問(wèn)題納入問(wèn)題庫(kù)督辦銷號(hào)，形成閉環(huán)管理。”，并給出了數(shù)據(jù)網(wǎng)網(wǎng)管系統(tǒng)安全防護(hù)的基本配置要求。按照“123”號(hào)文要求，鐵路數(shù)據(jù)通信網(wǎng)網(wǎng)管系統(tǒng)安全防護(hù)硬件設(shè)施部署主要包括網(wǎng)管冗余設(shè)備、防火墻、堡壘機(jī)、入侵檢測(cè)設(shè)備（IDS）、終端管控設(shè)備等。

2.1網(wǎng)管冗余設(shè)備

網(wǎng)管冗余設(shè)備主要為網(wǎng)管服務(wù)器及存儲(chǔ)設(shè)備。配置網(wǎng)管冗余設(shè)備主要滿足要求：“數(shù)據(jù)網(wǎng)相關(guān)的網(wǎng)管重要設(shè)備（服務(wù)器、存儲(chǔ)等）應(yīng)采用冗余的方式保證網(wǎng)絡(luò)及業(yè)務(wù)的抗災(zāi)以及災(zāi)難恢復(fù)能力。”

2.2防火墻

防火墻主要實(shí)現(xiàn)網(wǎng)管局域網(wǎng)與網(wǎng)絡(luò)設(shè)備間的邏輯隔離。防火墻的配置需滿足：1）技術(shù)隔離功能：網(wǎng)管系統(tǒng)與網(wǎng)絡(luò)間采取可靠的技術(shù)隔離手段且禁止直接連接其他系統(tǒng)；2）過(guò)濾功能：對(duì)進(jìn)出網(wǎng)管系統(tǒng)的信息進(jìn)行篩選過(guò)濾，實(shí)現(xiàn)對(duì)HTTP、FTP、TELNET、SMTP、POP3等應(yīng)用層協(xié)議命令級(jí)的控制；3）邏輯隔離功能：實(shí)現(xiàn)數(shù)據(jù)網(wǎng)業(yè)務(wù)網(wǎng)絡(luò)與運(yùn)維、管理、監(jiān)測(cè)等輔助系統(tǒng)（或平臺(tái)）間邏輯隔離，并啟用安全域訪問(wèn)控制策略，嚴(yán)格限制對(duì)有關(guān)設(shè)備的訪問(wèn)。

2.3堡壘機(jī)

堡壘機(jī)主要實(shí)現(xiàn)網(wǎng)管操作人員的集中登錄與行為審計(jì)。堡壘機(jī)部署在網(wǎng)管局域網(wǎng)內(nèi)。堡壘機(jī)的配置需滿足：1）訪問(wèn)控制功能：依據(jù)設(shè)定的安全策略，對(duì)用戶訪問(wèn)資源進(jìn)行有效控制；2）權(quán)限控制功能：為不同管理用戶設(shè)置不同權(quán)限，分離不同管理用戶的權(quán)限，合理授予管理用戶所需的權(quán)限。

2.4入侵檢測(cè)設(shè)備

在網(wǎng)管局域網(wǎng)內(nèi)部部署IDS，對(duì)網(wǎng)絡(luò)的惡意代碼及惡意入侵行為進(jìn)行分析。IDS設(shè)備的配置需滿足：1）追蹤功能：對(duì)安全事件進(jìn)行追蹤，對(duì)非法訪問(wèn)或入侵源進(jìn)行追溯；2）告警監(jiān)測(cè)功能：對(duì)數(shù)據(jù)網(wǎng)的網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備及安全設(shè)備等產(chǎn)生的安全告警事件進(jìn)行監(jiān)測(cè)，并每月對(duì)安全告警日志進(jìn)行分析；3）入侵檢測(cè)及報(bào)警功能：能夠?qū)崟r(shí)檢測(cè)到對(duì)重要服務(wù)器進(jìn)行的入侵行為，并記錄入侵源的IP、攻擊類型、目的、時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)發(fā)出報(bào)警；4）完整性檢測(cè)功能：可檢測(cè)重要程序的完整性，當(dāng)檢測(cè)到重要程序的完整性受到破壞后，可采用有效措施進(jìn)行恢復(fù)；5）惡意代碼防御功能：可在網(wǎng)管系統(tǒng)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除。

2.5終端管控設(shè)備

在網(wǎng)管系統(tǒng)局域網(wǎng)內(nèi)設(shè)置，管內(nèi)所有數(shù)據(jù)網(wǎng)網(wǎng)管服務(wù)器和終端安裝用戶準(zhǔn)入客戶端軟件。終端管控設(shè)備的配置需滿足：1）接入阻斷功能：網(wǎng)管系統(tǒng)可監(jiān)測(cè)到非授權(quán)設(shè)備接入網(wǎng)管局域網(wǎng)的行為，并能夠準(zhǔn)確定位接入的設(shè)備，對(duì)其進(jìn)行阻斷；2）接出阻斷功能：網(wǎng)管系統(tǒng)可監(jiān)測(cè)到內(nèi)部網(wǎng)絡(luò)用戶私自連接外部網(wǎng)絡(luò)的行為，并能夠準(zhǔn)確定位接出的設(shè)備，對(duì)其進(jìn)行阻斷。

2.6其他配置

除“123號(hào)文”中要求的基本配置外，根據(jù)要求的鐵路數(shù)據(jù)通信網(wǎng)網(wǎng)絡(luò)安全檢查關(guān)鍵點(diǎn)，還可增加以下設(shè)備。1）入侵防御設(shè)備入侵防御設(shè)備的配置需滿足：數(shù)據(jù)網(wǎng)應(yīng)具有監(jiān)測(cè)常見(jiàn)網(wǎng)絡(luò)攻擊、差錯(cuò)防范和處理的設(shè)計(jì)，在網(wǎng)絡(luò)邊界部署入侵防范技術(shù)手段，防范針對(duì)網(wǎng)絡(luò)設(shè)備的常見(jiàn)攻擊和入侵。2）日志審計(jì)設(shè)備日志審計(jì)設(shè)備可以統(tǒng)一采集網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備和安全設(shè)備的告警日志，并集中存儲(chǔ)，定期分析。日志審計(jì)設(shè)備的配置需滿足以下功能：監(jiān)測(cè)功能，實(shí)時(shí)監(jiān)測(cè)主機(jī)、網(wǎng)絡(luò)設(shè)備、通信線路及應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、網(wǎng)管操作等，并將監(jiān)測(cè)和報(bào)警數(shù)據(jù)生成日志記錄；記錄分析功能，可對(duì)監(jiān)測(cè)和報(bào)警記錄進(jìn)行分析，形成分析報(bào)告，如發(fā)現(xiàn)可疑行為，組織相關(guān)人員采取必要的應(yīng)對(duì)措施；集中管理功能，可集中管理設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等相關(guān)安全事項(xiàng)。3）漏洞掃描機(jī)配置核查設(shè)備漏洞掃描機(jī)配置核查設(shè)備的配置需滿足：a.能掃描網(wǎng)絡(luò)系統(tǒng)的漏洞，并提供漏洞官方修補(bǔ)補(bǔ)丁，指導(dǎo)管理人員進(jìn)行漏洞修補(bǔ)；b.可對(duì)網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備的安全設(shè)置進(jìn)行自動(dòng)化檢查。

3總結(jié)

篇7

對(duì)于進(jìn)一步提高信息安全的保障能力和防護(hù)水平來(lái)說(shuō)，實(shí)行信息安全等級(jí)保護(hù)無(wú)疑是一種好的方法，因?yàn)樗艹浞终{(diào)動(dòng)國(guó)家、法人和其他組織及公民的積極性，增強(qiáng)安全保護(hù)的整體性、針對(duì)性和實(shí)效性，使信息系統(tǒng)安全建設(shè)重點(diǎn)更加突出、規(guī)范，更加統(tǒng)一。

但是，電子政務(wù)重在政務(wù)，由于政務(wù)部門的職能不同，信息系統(tǒng)的結(jié)構(gòu)、功能和安全要求也不盡相同，信息安全等級(jí)保護(hù)工作的側(cè)重點(diǎn)也不同。然而從總體上來(lái)說(shuō)，都需要做好以下幾點(diǎn)：

落實(shí)好“四個(gè)把握”

把握等級(jí)保護(hù)的建設(shè)進(jìn)程。按照等級(jí)保護(hù)程序規(guī)定，做好定級(jí)、備案、整改、評(píng)測(cè)與監(jiān)管工作。

把握等級(jí)劃分的合理性和準(zhǔn)確性。要認(rèn)真分析電子政務(wù)系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要性程度，即電子政務(wù)系統(tǒng)遭受破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素，合理準(zhǔn)確地確定系統(tǒng)安全等級(jí)。具體來(lái)說(shuō)，安全等級(jí)的確定要根據(jù)信息系統(tǒng)的綜合價(jià)值和綜合能力保證的要求不同以及安全性被破壞造成的損失大小，綜合考慮信息系統(tǒng)的經(jīng)濟(jì)價(jià)值、社會(huì)價(jià)值以及信息服務(wù)的服務(wù)范圍和連續(xù)性。

把握好不同等級(jí)的基本安全要求。基本要求是針對(duì)不同安全保護(hù)等級(jí)信息系統(tǒng)，應(yīng)該具有的基本安全保護(hù)能力提出的安全要求。例如：第三級(jí)信息系統(tǒng)要具有抵御來(lái)自外部組織的惡意攻擊能力和防內(nèi)部人員攻擊能力，不僅要對(duì)安全事件有審計(jì)記錄，還要能追蹤與響應(yīng)處理，要實(shí)現(xiàn)多重保護(hù)制度。

把握好基本技術(shù)要求和基本管理要求。基本技術(shù)要求包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全與數(shù)據(jù)安全等方面。基本管理要求是通過(guò)控制信息系統(tǒng)中各種角色參與的活動(dòng)，包括安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等方面，從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定。對(duì)于電子政務(wù)系統(tǒng)要特別關(guān)注基礎(chǔ)設(shè)施監(jiān)控與管理、網(wǎng)絡(luò)安全監(jiān)控與管理、業(yè)務(wù)應(yīng)用系統(tǒng)的監(jiān)控與管理、應(yīng)急響應(yīng)與備份恢復(fù)管理。

引入風(fēng)險(xiǎn)評(píng)估機(jī)制

信息安全等級(jí)保護(hù)必須樹(shù)立風(fēng)險(xiǎn)管理的思想，而風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的基礎(chǔ)，因此，三級(jí)以上電子政務(wù)系統(tǒng)必須定期進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估貫穿于等級(jí)保護(hù)周期的系統(tǒng)定級(jí)、安全實(shí)施和安全運(yùn)維三個(gè)階段：

系統(tǒng)定級(jí)。由于不同的電子政務(wù)系統(tǒng)具有自身的行業(yè)和業(yè)務(wù)特點(diǎn)，且所受到的安全威脅均有所不同。因此，可以依據(jù)信息安全風(fēng)險(xiǎn)評(píng)估國(guó)家標(biāo)準(zhǔn)對(duì)所評(píng)估資產(chǎn)的重要性、客觀威脅發(fā)生的頻率、系統(tǒng)自身脆弱性的嚴(yán)重程度進(jìn)行識(shí)別和關(guān)聯(lián)分析，判斷信息系統(tǒng)應(yīng)采取什么強(qiáng)度的安全措施，然后將安全事件一旦發(fā)生后可能造成的影響控制在可接受的范圍內(nèi)。即將風(fēng)險(xiǎn)評(píng)估的結(jié)果作為確定信息系統(tǒng)安全措施的保護(hù)級(jí)別的一個(gè)參考依據(jù)。

安全實(shí)施。安全實(shí)施是根據(jù)信息安全等級(jí)保護(hù)國(guó)家標(biāo)準(zhǔn)的要求，從管理與技術(shù)兩個(gè)方面選擇不同強(qiáng)度的安全措施，來(lái)確保建設(shè)的安全措施滿足相應(yīng)的等級(jí)要求。風(fēng)險(xiǎn)評(píng)估在安全實(shí)施階段就可以直接發(fā)揮作用，那就是對(duì)現(xiàn)有電子政務(wù)系統(tǒng)進(jìn)行評(píng)估和加固，然后再進(jìn)行安全設(shè)備部署等。在安全實(shí)施過(guò)程中也會(huì)發(fā)生安全事件并可能帶來(lái)長(zhǎng)期的安全隱患，如安全集成過(guò)程中設(shè)置的超級(jí)用戶和口令沒(méi)有完全移交給用戶、防火墻部署后長(zhǎng)時(shí)間保持透明策略等都會(huì)帶來(lái)嚴(yán)重的問(wèn)題，風(fēng)險(xiǎn)評(píng)估能夠及早發(fā)現(xiàn)并解決這些問(wèn)題。

安全運(yùn)維。安全運(yùn)維是指按照系統(tǒng)等級(jí)進(jìn)行安全實(shí)施后開(kāi)展運(yùn)行維護(hù)的安全工作。安全運(yùn)維包括兩方面：一是維護(hù)現(xiàn)有安全措施等級(jí)的有效性。二是根據(jù)客觀情況的變化以及系統(tǒng)內(nèi)部建設(shè)的實(shí)際需要，對(duì)等級(jí)進(jìn)行定期調(diào)整，以防止過(guò)度保護(hù)或保護(hù)不足。在安全運(yùn)維的過(guò)程中，通過(guò)信息安全風(fēng)險(xiǎn)評(píng)估工作可以對(duì)已有信息系統(tǒng)的安全等級(jí)保護(hù)情況進(jìn)行評(píng)估，依據(jù)已確定等級(jí)的相關(guān)保護(hù)要求，對(duì)系統(tǒng)的保護(hù)效果、潛在風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)，評(píng)估是否達(dá)到等級(jí)保護(hù)的要求；當(dāng)信息系統(tǒng)或外部環(huán)境發(fā)生變更時(shí)，可以通過(guò)風(fēng)險(xiǎn)評(píng)估工作了解和確定風(fēng)險(xiǎn)的變更，為再次定級(jí)和等級(jí)保護(hù)措施的調(diào)整提供依據(jù)。

建立有效的信息安全管理組織

信息安全管理組織是建立信息安全保障體系，做好信息安全等級(jí)保護(hù)工作的必要條件。當(dāng)前很多政務(wù)部門的信息安全工作均有信息化部門兼任，沒(méi)有足夠的權(quán)威性。等級(jí)保護(hù)工作的開(kāi)展，要求在組織內(nèi)部建立信息系統(tǒng)安全方面的最高權(quán)力組織，并有明確的安全目標(biāo)，目的是在管理層的承諾和擁有足夠資源的情況下開(kāi)展信息安全工作。因此，建立有效的信息安全管理組織必須明確以下內(nèi)容：

要遵循分權(quán)制衡原則。制度的建立、制度的執(zhí)行、執(zhí)行情況的檢查與監(jiān)督要分開(kāi)考慮。在目前的等級(jí)保護(hù)測(cè)評(píng)工作中，時(shí)常發(fā)現(xiàn)有系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全員與審計(jì)員兼任的情況，甚至一人包攬所有的信息系統(tǒng)運(yùn)維工作。但從等級(jí)保護(hù)的基本要求來(lái)看，依據(jù)分權(quán)制衡的原則，建議在電子政務(wù)系統(tǒng)中，系統(tǒng)管理員與審計(jì)員不得兼任，審計(jì)員不能從事所有日常信息的維護(hù)與管理工作，系統(tǒng)管理員不能從事審計(jì)日志的查看與處理工作。

要堅(jiān)持從上而下的垂直管理原則。上一級(jí)機(jī)關(guān)信息系統(tǒng)的安全管理組織指導(dǎo)下一級(jí)機(jī)關(guān)信息系統(tǒng)的安全管理組織的工作，下一級(jí)機(jī)關(guān)信息系統(tǒng)的安全管理組織接受并執(zhí)行上一級(jí)機(jī)關(guān)信息系統(tǒng)的安全管理組織的安全策略。

應(yīng)常設(shè)信息系統(tǒng)安全管理組織辦公機(jī)構(gòu)，負(fù)責(zé)信息安全的日常事務(wù)工作。信息系統(tǒng)安全管理組織應(yīng)由系統(tǒng)管理、系統(tǒng)分析、軟硬件維護(hù)、安全保衛(wèi)、系統(tǒng)稽核、人事與通信等有關(guān)方面的人員組成。

信息安全管理組織部門不能隸屬于技術(shù)部門或運(yùn)行部門，各級(jí)信息系統(tǒng)的安全組織不能隸屬于同級(jí)信息系統(tǒng)管理和業(yè)務(wù)機(jī)構(gòu)。信息安全管理組織部門只有不隸屬于技術(shù)或運(yùn)維部門，才能站在較高的層次上制定信息安全的整體框架與策略、有效的處理安全事件，啟動(dòng)應(yīng)急預(yù)案。

篇8

關(guān)鍵詞：堡壘主機(jī)；信息系統(tǒng)安全；集中授權(quán)；運(yùn)營(yíng)維護(hù)

0 引言

2008年中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局了GB/T 22239-2008《信息安全技術(shù)-信息系統(tǒng)安全等級(jí)保護(hù)基本要求》后，信息安全等級(jí)保護(hù)制度已經(jīng)成為我國(guó)信息安全保護(hù)工作的基本國(guó)策，實(shí)行信息安全等級(jí)保護(hù)具有重大的現(xiàn)實(shí)和戰(zhàn)略意義。

根據(jù)公安部的相關(guān)文獻(xiàn)，從近些年來(lái)年來(lái)等級(jí)保護(hù)安全測(cè)評(píng)的結(jié)果分析中可以看出，信息系統(tǒng)中容易出問(wèn)題的部分主要是賬號(hào)管理、權(quán)限管理和審計(jì)分析等幾個(gè)方面。例如：多人共用一個(gè)賬號(hào)；用戶權(quán)限分配沒(méi)有遵循最小化原則；未限制設(shè)備管理方式；未開(kāi)啟審計(jì)或未進(jìn)行審計(jì)分析等。

為解決上述問(wèn)題，可以通過(guò)修改服務(wù)器配置信息以及網(wǎng)絡(luò)設(shè)備的配置可以進(jìn)行防范，隨著智能終端的出現(xiàn)，網(wǎng)絡(luò)傳播技術(shù)的不斷提高，交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備的管理將便捷許多，操作人員可以通過(guò)網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程操作。然而，由于復(fù)雜的網(wǎng)絡(luò)環(huán)境存在著大量的潛在攻擊行為，在方便快捷的同時(shí)，操作人員通過(guò)網(wǎng)絡(luò)與網(wǎng)絡(luò)設(shè)備通信存在著嚴(yán)重的安全隱患。針對(duì)這種情況，需要對(duì)現(xiàn)有服務(wù)器進(jìn)行改造，涉及到大量信息系統(tǒng)的安全維護(hù)操作，其復(fù)雜性和環(huán)境的不確定性造成這種方式的實(shí)施起來(lái)極其困難。

1 企業(yè)應(yīng)用中的安全問(wèn)題

在企業(yè)應(yīng)用中，目標(biāo)設(shè)備之間通過(guò)互聯(lián)網(wǎng)絡(luò)進(jìn)行通訊，操作人員也通過(guò)互聯(lián)網(wǎng)遠(yuǎn)程訪問(wèn)目標(biāo)設(shè)備。

目標(biāo)設(shè)備需要對(duì)操作人員開(kāi)放相應(yīng)的接口，由于互聯(lián)網(wǎng)的開(kāi)放性，非法操作人員或潛在非法操作人員很容易通過(guò)相應(yīng)的接口登入系統(tǒng)進(jìn)行操作，給網(wǎng)絡(luò)安全帶來(lái)隱患。

通過(guò)對(duì)現(xiàn)有系統(tǒng)在應(yīng)用中出現(xiàn)問(wèn)題進(jìn)行分析，目前系統(tǒng)中存在的安全隱患主要有：（1）存在潛在非法操作人員對(duì)網(wǎng)絡(luò)終端進(jìn)行非法操作；（2）目標(biāo)設(shè)備與操作人員無(wú)法進(jìn)行統(tǒng)一管理；（3）操作人員的誤操作無(wú)法有效避免；（4）操作人員的操作記錄歷史追蹤無(wú)法實(shí)現(xiàn)。

通過(guò)對(duì)現(xiàn)有信息系統(tǒng)以及網(wǎng)絡(luò)安全需求分析，結(jié)合企業(yè)現(xiàn)狀，選取部署相關(guān)安全產(chǎn)品到網(wǎng)絡(luò)中，作為安全模塊對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行安全保護(hù)，即堡壘主機(jī)。

2 堡壘主機(jī)

堡壘主機(jī)是一種運(yùn)維管理系統(tǒng)，可以完成賬戶管理、授權(quán)管理和綜合審計(jì)等功能，完成集中認(rèn)證和運(yùn)維審計(jì)的作用。該類產(chǎn)品對(duì)操作人員提供多種遠(yuǎn)程管理方式，并能夠?qū)Σ僮魅藛T以遠(yuǎn)程方式對(duì)服務(wù)器主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)的操作行為過(guò)程進(jìn)行監(jiān)控和審計(jì)管理，以及對(duì)違規(guī)操作行為進(jìn)行實(shí)時(shí)報(bào)警、阻斷。通過(guò)堡壘主機(jī)可以有效的提高操作人員與網(wǎng)絡(luò)設(shè)備之間通信的安全性，并且可以對(duì)操作人員及遠(yuǎn)程操作進(jìn)行集中管理，在確保通信安全的基礎(chǔ)上，實(shí)現(xiàn)管理的統(tǒng)一。

本文所述的堡壘主機(jī)產(chǎn)品為軟件堡壘主機(jī)，沒(méi)有運(yùn)輸成本，部署簡(jiǎn)單，升級(jí)簡(jiǎn)便，性能及功能可定制。在部署前，僅需要找到一臺(tái)信任主機(jī)即可。堡壘主機(jī)被部署到內(nèi)網(wǎng)主機(jī)上，并且對(duì)要訪問(wèn)的目標(biāo)設(shè)備進(jìn)行綁定，設(shè)定僅堡壘主機(jī)才可以對(duì)目標(biāo)設(shè)備進(jìn)行訪問(wèn)。所有操作人員都要先登錄到堡壘機(jī)上，然后才可以訪問(wèn)目標(biāo)設(shè)備。堡壘主機(jī)自身具有認(rèn)證及授權(quán)等功能，可以有效的屏蔽非法操作人員的訪問(wèn)。

3 主要功能

本文所述的堡壘主機(jī)的主要功能有賬戶管理、角色管理、設(shè)備管理、黑名單管理和操作記錄查詢等。

（1）賬戶管理。對(duì)于堡壘主機(jī)的賬戶，采用"一用戶一賬號(hào)"的原則，用戶需要通過(guò)自己的賬戶才能登錄堡壘主機(jī)。不存在用戶共享同一個(gè)賬戶，有效避免出現(xiàn)事故時(shí)無(wú)法追述問(wèn)題原因和責(zé)任人的問(wèn)題。另外，在用戶的身份認(rèn)證時(shí)，對(duì)用戶的賬號(hào)及所在IP進(jìn)行綁定，如果賬戶與登錄的IP不匹配，將無(wú)法登錄，加強(qiáng)了身份認(rèn)證機(jī)制。實(shí)現(xiàn)集中身份認(rèn)證和訪問(wèn)控制，避免冒名訪問(wèn)，提高訪問(wèn)安全性。

（2）角色管理。針對(duì)不同的操作人員進(jìn)行角色管理。不同類別的角色具有不同的操作權(quán)限，操作人員需要根據(jù)自身賬戶的角色等級(jí)來(lái)訪問(wèn)可操作的目標(biāo)主機(jī)及該目標(biāo)主機(jī)的資源。在便于任務(wù)分工及責(zé)任劃分的同時(shí)，有效的降低操作人員錯(cuò)誤操作的可能。

（3）設(shè)備管理。管理目標(biāo)設(shè)備信息，堡壘主機(jī)對(duì)管理目標(biāo)設(shè)備的數(shù)量無(wú)限制，可以任意添加。

（4）黑名單管理。堡壘主機(jī)將對(duì)操作人員的操作進(jìn)行實(shí)時(shí)監(jiān)測(cè)，如果某些操作被管理員禁止，那么該操作將無(wú)法完成。如：關(guān)機(jī)、重啟等操作，通過(guò)黑名單管理，指定人員將不具備該操作權(quán)限，提高操作的安全性。訪問(wèn)記錄查詢通過(guò)該功能可查詢目標(biāo)主機(jī)在某個(gè)時(shí)間段內(nèi)，有哪人操作人員登錄過(guò)。當(dāng)目標(biāo)主機(jī)因操作不當(dāng)而引發(fā)障礙時(shí)，結(jié)合操作記錄查詢，可快速排查障礙原因，并找到責(zé)任人，解決問(wèn)題，避免不必要的損失

（5）操作記錄查詢。對(duì)操作人員的所有操作進(jìn)行記錄，當(dāng)因操作人員的錯(cuò)誤操作而引發(fā)障礙時(shí)，通過(guò)該功能可快速找出該操作人員，避免責(zé)任劃分不清問(wèn)題。

4 結(jié)語(yǔ)

堡壘主機(jī)能夠解決集中賬號(hào)管理、細(xì)粒度的權(quán)限管理和訪問(wèn)審計(jì)的問(wèn)題，有效加強(qiáng)現(xiàn)有系統(tǒng)的網(wǎng)絡(luò)安全性，具有改造成本小，維護(hù)容易等特點(diǎn)。本文所述堡壘主機(jī)產(chǎn)品在吉林聯(lián)通通信網(wǎng)絡(luò)中成功應(yīng)用，有效降低了操作人員的誤操作和網(wǎng)絡(luò)信息故障發(fā)生的幾率，證明了堡壘主機(jī)在加強(qiáng)網(wǎng)絡(luò)安全方面的有效性。

篇9

 

關(guān)鍵詞：證券行業(yè)　信息安全　網(wǎng)絡(luò)安全體系

近年來(lái)，我國(guó)資本市場(chǎng)發(fā)展迅速，市場(chǎng)規(guī)模不斷擴(kuò)大，社會(huì)影響力不斷增強(qiáng)．成為國(guó)民經(jīng)濟(jì)巾的重要組成部分，也成為老百姓重要的投資理財(cái)渠道。資本市場(chǎng)的穩(wěn)定健康發(fā)展，關(guān)系著億萬(wàn)投資者的切身利益，關(guān)系著社會(huì)穩(wěn)定和國(guó)家金融安全的大局。證券行業(yè)作為金融服務(wù)業(yè)，高度依賴信息技術(shù)，而信息安全是維護(hù)資本市場(chǎng)穩(wěn)定的前提和基礎(chǔ)。沒(méi)有信息安全就沒(méi)有資本市場(chǎng)的穩(wěn)定。

目前．國(guó)內(nèi)外網(wǎng)絡(luò)信息安全問(wèn)題日益突出。從資本市場(chǎng)看，近年來(lái)，隨著市場(chǎng)快速發(fā)展，改革創(chuàng)新深入推進(jìn)，市場(chǎng)交易模式日趨集巾化，業(yè)務(wù)處理邏輯日益復(fù)雜化，網(wǎng)絡(luò)安全事件、公共安全事件以及水災(zāi)冰災(zāi)、震災(zāi)等自然災(zāi)害都對(duì)行業(yè)信息系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行帶來(lái)新的挑戰(zhàn)。資本市場(chǎng)交易實(shí)時(shí)性和整體性強(qiáng)，交易時(shí)問(wèn)內(nèi)一刻也不能中斷。加強(qiáng)信息安全應(yīng)急丁作，積極采取預(yù)防、預(yù)警措施，快速、穩(wěn)妥地處置信息安全事件，盡力減少事故損失，全力維護(hù)交易正常，對(duì)于資本市場(chǎng)來(lái)說(shuō)至關(guān)重要。

1　證券行業(yè)倍息安全現(xiàn)狀和存在的問(wèn)題

1．1行業(yè)信息安全法規(guī)和標(biāo)準(zhǔn)體系方面

健全的信息安全法律法規(guī)和標(biāo)準(zhǔn)體系是確保證券行業(yè)信息安全的基礎(chǔ)。是信息安全的第一道防線。為促進(jìn)證券市場(chǎng)的平穩(wěn)運(yùn)行，中國(guó)證監(jiān)會(huì)自1998年先后了一系列信息安全法規(guī)和技術(shù)標(biāo)準(zhǔn)。其中包括2個(gè)信息技術(shù)管理規(guī)范、2個(gè)信息安全等級(jí)保護(hù)通知、1個(gè)信息安全保障辦法、1個(gè)信息通報(bào)方法和10個(gè)行業(yè)技術(shù)標(biāo)準(zhǔn)。行業(yè)信息安全法規(guī)和標(biāo)準(zhǔn)體系的初步形成，推動(dòng)了行業(yè)信息化建設(shè)和信息安全工作向規(guī)范化、標(biāo)準(zhǔn)化邁進(jìn)。

雖然我國(guó)涉及信息安全的規(guī)范性文件眾多，但在現(xiàn)行的法律法規(guī)中。立法主體較多，法律法規(guī)體系龐雜而缺乏統(tǒng)籌規(guī)劃。面對(duì)新形勢(shì)下信息安全保障工作的發(fā)展需要，行業(yè)信息安全工作在政策法規(guī)和標(biāo)準(zhǔn)體系方面的問(wèn)題也逐漸顯現(xiàn)。一是法規(guī)和標(biāo)準(zhǔn)建設(shè)滯后，缺乏總體規(guī)劃；二是規(guī)范和標(biāo)準(zhǔn)互通性和協(xié)調(diào)性不強(qiáng)，部分規(guī)范和標(biāo)準(zhǔn)的可執(zhí)行性差；三是部分規(guī)范和標(biāo)準(zhǔn)已不適應(yīng)，無(wú)法應(yīng)對(duì)某些新型信息安全的威脅；四是部分信息安全規(guī)范和標(biāo)準(zhǔn)在行業(yè)內(nèi)難以得到落實(shí)。

1．2組織體系與信息安全保障管理模型方面

任何安全管理措施或技術(shù)手段都離不開(kāi)人員的組織和實(shí)施，組織體系是信息安全保障工作的核心。目前，證券行業(yè)采用“統(tǒng)一組織、分工有序”的信息安全工作體系，分為決策層、管理層、執(zhí)行層。

為加強(qiáng)證券期貨業(yè)信息安全保障工作的組織協(xié)調(diào)，建立健全信息安全管理制度和運(yùn)行機(jī)制，切實(shí)提高行業(yè)信息安全保障工作水平，根據(jù)證監(jiān)會(huì)頒布的《證券期貨業(yè)信息安全保障管理暫行辦法》，參照iso／iec27001：2005，提出證券期貨業(yè)信息安全保障管理體系框架。該體系框架采用立方體架構(gòu)．頂面是信息安全保障的7個(gè)目標(biāo)(機(jī)密性、完整性、可用性、真實(shí)性、可審計(jì)性、抗抵賴性、可靠性)，正面是行業(yè)組織結(jié)構(gòu)．側(cè)面是各個(gè)機(jī)構(gòu)為實(shí)現(xiàn)信息安全保障目標(biāo)所采取的措施和方式。

1．3 it治理方面

整個(gè)證券業(yè)處于高度信息化的背景下，it治理已直接影響到行業(yè)各公司實(shí)現(xiàn)戰(zhàn)略目標(biāo)的可能性，良好的it治理有助于增強(qiáng)公司靈活性和創(chuàng)新能力，規(guī)避it風(fēng)險(xiǎn)。通過(guò)建立it治理機(jī)制，可以幫助最高管理層發(fā)現(xiàn)信息技術(shù)本身的問(wèn)題。幫助管理者處理it問(wèn)題，自我評(píng)估it管理效果．可以加強(qiáng)對(duì)信息化項(xiàng)目的有效管理，保證信息化項(xiàng)目建設(shè)的質(zhì)量和應(yīng)用效果，使有限的投入取得更大的績(jī)效。

2003年lt治理理念引入到我國(guó)證券行業(yè)，當(dāng)前我國(guó)證券業(yè)企業(yè)的it治理存在的問(wèn)題：一是it資源在公司的戰(zhàn)略資產(chǎn)中的地位受到高層重視，但具體情況不清楚；二是it治理缺乏明確的概念描述和參數(shù)指標(biāo)；是lt治理的責(zé)任與職能不清晰。

1．4網(wǎng)絡(luò)安全和數(shù)據(jù)安全方面

隨著互聯(lián)網(wǎng)的普及以及網(wǎng)上交易系統(tǒng)功能的不斷豐富、完善和使用的便利性，網(wǎng)上交易正逐漸成為證券投資者交易的主流模式。據(jù)統(tǒng)計(jì)，2008年我同證券網(wǎng)上交易量比重已超過(guò)總交易量的80％。雖然交易系統(tǒng)與互聯(lián)網(wǎng)的連接，方便了投資者。但由于互聯(lián)網(wǎng)的開(kāi)放性，來(lái)自互聯(lián)網(wǎng)上的病毒、小馬、黑客攻擊以及計(jì)算機(jī)威脅事件，都時(shí)刻威脅著行業(yè)的信息系統(tǒng)安全，成為制約行業(yè)平穩(wěn)、安全發(fā)展的障礙。此，維護(hù)網(wǎng)絡(luò)和數(shù)據(jù)安全成為行業(yè)信息安全保障工作的重要組成部分。近年來(lái)，證券行業(yè)各機(jī)構(gòu)采取了一系列措施，建立了相對(duì)安全的網(wǎng)絡(luò)安全防護(hù)體系和災(zāi)舴備份系統(tǒng)，基木保障了信息系統(tǒng)的安全運(yùn)行。但細(xì)

追究起來(lái)，我國(guó)證券行業(yè)的網(wǎng)絡(luò)安全防護(hù)體系及災(zāi)備系統(tǒng)建設(shè)還不夠完善，還存存以下幾方面的問(wèn)題：一是網(wǎng)絡(luò)安全防護(hù)體系缺乏統(tǒng)一的規(guī)劃；二是網(wǎng)絡(luò)訪問(wèn)控制措施有待完善；三是網(wǎng)上交易防護(hù)能力有待加強(qiáng)；四是對(duì)數(shù)據(jù)安全重視不夠，數(shù)據(jù)備份措施有待改進(jìn)；五是技術(shù)人員的專業(yè)能力和信息安全意識(shí)有待提高。

1．5 it人才資源建設(shè)方面

近20年的發(fā)展歷程巾，證券行業(yè)對(duì)信息系統(tǒng)日益依賴，行業(yè)it隊(duì)伍此不斷發(fā)展壯大。據(jù)統(tǒng)計(jì)，2008年初，在整個(gè)證券行業(yè)中，103家證券公司共有it人員7325人，占證券行業(yè)從業(yè)總?cè)藬?shù)73990人的9．90％，總體上達(dá)到了行業(yè)協(xié)會(huì)的it治理工作指引中“it工作人員總數(shù)原則上應(yīng)不少于公司員工總?cè)藬?shù)的6％”的最低要求。目前，證券行業(yè)的it隊(duì)伍肩負(fù)著信息系統(tǒng)安全、平穩(wěn)、高效運(yùn)行的重任，it隊(duì)伍建設(shè)是行業(yè)信息安全it作的根本保障。但是，it人才隊(duì)伍依然存在著結(jié)構(gòu)不合理、后續(xù)教育不足等問(wèn)題，此行業(yè)的人才培養(yǎng)有待加強(qiáng)。

2　采取的對(duì)策和措施

2．1進(jìn)一步完善法規(guī)和標(biāo)準(zhǔn)體系

首先，在法規(guī)規(guī)劃上，要統(tǒng)籌兼顧，制定科學(xué)的信息技術(shù)規(guī)范和標(biāo)準(zhǔn)體系框架。一是全面做好立法規(guī)劃；二是建立科學(xué)的行業(yè)信息安全標(biāo)準(zhǔn)和法規(guī)體系層次。行業(yè)信息安全標(biāo)準(zhǔn)和法規(guī)體系初步劃分為3層：第一層是管理辦法等巾同證監(jiān)會(huì)部門規(guī)章；第二層是證監(jiān)會(huì)相關(guān)部門制定的管理規(guī)范等規(guī)范性文件；第三層是技術(shù)指引等自律規(guī)則，一般由交易所、行業(yè)協(xié)會(huì)在證監(jiān)會(huì)總體協(xié)調(diào)下組織制定。其次，在法規(guī)制定上．要兼顧規(guī)范和發(fā)展，重視法規(guī)的可行性。最后，在法規(guī)實(shí)施上．要堅(jiān)持規(guī)范和指引相結(jié)合，重視監(jiān)督檢查和責(zé)任落實(shí)。

2．2深入開(kāi)展證券行業(yè)it治理工作

2．2．1提高it治理意識(shí)

中國(guó)證券業(yè)協(xié)會(huì)要進(jìn)一步加強(qiáng)it治理理念的教育宣傳工作，特別是對(duì)會(huì)員單位高層領(lǐng)導(dǎo)的it治理培訓(xùn)，將it治理的定義、工具、模型等理論知識(shí)納入到高管任職資格考試的內(nèi)容之中。通過(guò)舉辦論壇、交流會(huì)等形式強(qiáng)化證券經(jīng)營(yíng)機(jī)構(gòu)的it治理意識(shí)，提高他們it治理的積極性。

2．2．2通過(guò)設(shè)立it治理試點(diǎn)形成以點(diǎn)帶面的示范效應(yīng)

根據(jù)it治理模型的不同特點(diǎn)，建議證券公司在決策層使用cisr模型，通過(guò)成立lt治理委員會(huì)，建立各部門之間的協(xié)調(diào)配合、監(jiān)督制衡的責(zé)權(quán)體系；在執(zhí)行層以cobit模型、itfl模型等其他模型為補(bǔ)充，規(guī)范信息技術(shù)部門的各項(xiàng)控制和管理流程。同時(shí)，證監(jiān)會(huì)指定一批證券公司和基金公司作為lt試點(diǎn)單位，進(jìn)行it治理模型選擇、剪裁以及組合的實(shí)踐探索，形成一批成功實(shí)施it治理的優(yōu)秀范例，以點(diǎn)帶面地提升全行業(yè)的治理水平。

2．3通過(guò)制定行業(yè)標(biāo)準(zhǔn)積極落實(shí)信息安全等級(jí)保護(hù)

行業(yè)監(jiān)管部門在推動(dòng)行業(yè)信息安全等級(jí)保護(hù)工作中的作用非常關(guān)鍵．應(yīng)進(jìn)一步明確監(jiān)管部門推動(dòng)行業(yè)信息安全等級(jí)保護(hù)工作的任務(wù)和工作機(jī)制，統(tǒng)一部署、組織行業(yè)的等級(jí)保護(hù)丁作，為該項(xiàng)丁作的順利開(kāi)展提供組織保證。行業(yè)各機(jī)構(gòu)應(yīng)采取自主貫徹信息系統(tǒng)等級(jí)保護(hù)的行業(yè)要求，對(duì)照標(biāo)準(zhǔn)逐條落實(shí)。同時(shí)，應(yīng)對(duì)各單位實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)情況進(jìn)行測(cè)評(píng)，在測(cè)評(píng)環(huán)節(jié)一旦發(fā)現(xiàn)信息系統(tǒng)的不足，被測(cè)評(píng)單位應(yīng)立即制定相應(yīng)的整改方案并實(shí)施．且南相芙的監(jiān)督機(jī)構(gòu)進(jìn)行督促。

2．4加強(qiáng)網(wǎng)絡(luò)安全體系規(guī)劃以提升網(wǎng)絡(luò)安全防護(hù)水平

2．4．1以等級(jí)保護(hù)為依據(jù)進(jìn)行統(tǒng)籌規(guī)劃

等級(jí)保護(hù)是圍繞信息安全保障全過(guò)程的一項(xiàng)基礎(chǔ)性的管理制度，通過(guò)將等級(jí)化的方法和安全體系規(guī)劃有效結(jié)合，統(tǒng)籌規(guī)劃證券網(wǎng)絡(luò)安全體系的建設(shè)，建立一套信息安全保障體系，將是系統(tǒng)化地解決證券行業(yè)網(wǎng)絡(luò)安全問(wèn)題的一個(gè)非常有效的方法。

2．4．2通過(guò)加強(qiáng)網(wǎng)絡(luò)訪問(wèn)控制提高網(wǎng)絡(luò)防護(hù)能力

對(duì)向證券行業(yè)提供設(shè)備、技術(shù)和服務(wù)的it公司的資質(zhì)和誠(chéng)信加強(qiáng)管理，確保其符合國(guó)家、行業(yè)技術(shù)標(biāo)準(zhǔn)。根據(jù)網(wǎng)絡(luò)隔離要求，要逐步建立業(yè)務(wù)網(wǎng)與辦公網(wǎng)、業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)、網(wǎng)上交易各子系統(tǒng)間有效的網(wǎng)絡(luò)隔離。技術(shù)上可以對(duì)不同的業(yè)務(wù)安全區(qū)域劃分vlan或者采用網(wǎng)閘設(shè)備進(jìn)行隔離；對(duì)主要的網(wǎng)絡(luò)邊界和各外部進(jìn)口進(jìn)行滲透測(cè)試，進(jìn)行系統(tǒng)和設(shè)備的安全加固．降低系統(tǒng)漏洞帶來(lái)的安全風(fēng)險(xiǎn)；在網(wǎng)上交易方面，采取電子簽名或數(shù)字認(rèn)證等高強(qiáng)度認(rèn)證方式，加強(qiáng)訪問(wèn)控制；針對(duì)現(xiàn)存惡意攻擊網(wǎng)站的事件越來(lái)越多的情況，要采取措施加強(qiáng)網(wǎng)站保護(hù)，提高對(duì)惡意代碼的防護(hù)能力，同時(shí)采用技術(shù)手段，提高網(wǎng)上交易客戶端軟件使朋的安全性。

2．4．3提高從業(yè)人員安全意識(shí)和專業(yè)水平

目前在證券行業(yè)內(nèi)，從業(yè)人員的網(wǎng)絡(luò)安全意識(shí)比較薄弱．必要時(shí)可定期對(duì)從業(yè)人員進(jìn)行安全意識(shí)考核，從行業(yè)內(nèi)部強(qiáng)化網(wǎng)絡(luò)安全工作。要加強(qiáng)網(wǎng)絡(luò)安全技術(shù)人員的管理能力和專業(yè)技能培訓(xùn)，提高行業(yè)網(wǎng)絡(luò)安全的管理水平和專業(yè)技術(shù)水平。

2．5扎實(shí)推進(jìn)行業(yè)災(zāi)難備份建設(shè)

數(shù)據(jù)的安全對(duì)證券行業(yè)是至關(guān)重要的，數(shù)據(jù)一旦丟失對(duì)市場(chǎng)各方的損失是難以估量的。無(wú)論是美國(guó)的“9·11”事件，還是我國(guó)2008年南方冰雪災(zāi)害和四川汶川大地震，都敲響了災(zāi)難備份的警鐘。證券業(yè)要在學(xué)習(xí)借鑒國(guó)際經(jīng)驗(yàn)的基礎(chǔ)上，針對(duì)自身需要，對(duì)重要系統(tǒng)開(kāi)展災(zāi)難備份建設(shè)。要繼續(xù)推進(jìn)證券、基金公司同城災(zāi)難備份建設(shè)，以及證券交易所、結(jié)算公司等市場(chǎng)核心機(jī)構(gòu)的異地災(zāi)難備份系統(tǒng)的規(guī)劃和建設(shè)。制定各類相關(guān)的災(zāi)難應(yīng)急預(yù)案，并加強(qiáng)應(yīng)急預(yù)案的演練，確保災(zāi)難備份系統(tǒng)應(yīng)急有效．使應(yīng)急工作與日常工作有機(jī)結(jié)合。

2．6抓好人才隊(duì)伍建設(shè)

證券行業(yè)要采取切實(shí)可行的措施，建立吸引人才、留住人才、培養(yǎng)人才、發(fā)展人才的用人制度和機(jī)制。積極吸引有技術(shù)專長(zhǎng)的人才到行業(yè)巾來(lái)，加強(qiáng)lt人員的崗位技能培訓(xùn)和業(yè)務(wù)培訓(xùn)，注重培養(yǎng)既懂得技術(shù)義懂業(yè)務(wù)和管理的復(fù)合型人才。要促進(jìn)從業(yè)人員提高水平、轉(zhuǎn)變觀念，行業(yè)各機(jī)構(gòu)應(yīng)采取采取請(qǐng)進(jìn)來(lái)、派出去以及內(nèi)部講座等多種培訓(xùn)方式。通過(guò)建立規(guī)范有效的人才評(píng)價(jià)體系，對(duì)信息技術(shù)人員進(jìn)行科學(xué)有效的考評(píng)，提升行業(yè)人才資源的優(yōu)化配置和使用效率，促進(jìn)技術(shù)人才結(jié)構(gòu)的涮整和完善。

篇10

關(guān)鍵詞 信息系統(tǒng)；安全；保障體系；技術(shù)；信息技術(shù)基礎(chǔ)設(shè)施

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-7597（2013）14-0137-02

油服信息技術(shù)應(yīng)用與集中程度的不斷深入提高，信息安全保障體系建設(shè)工作已成為信息化建設(shè)過(guò)程中的重要組成部分。油服具有地域分布廣、業(yè)務(wù)復(fù)雜多樣等特點(diǎn)，在信息安全形勢(shì)多變的情況下，獨(dú)立分散的安全措施已無(wú)法更好地滿足安全防護(hù)需求。信息安全若不能得到很好的保障，將給公司的業(yè)務(wù)正常運(yùn)作及辦公穩(wěn)定性、高效性和有效性帶來(lái)影響。因此，需完善公司的信息安全政策方針、規(guī)劃并建立符合油服實(shí)際情況的信息安全保障體系，采用先進(jìn)的安全管理過(guò)程模式，完善信息安全管理制度與規(guī)范，提高員工的信息安全意識(shí)，提升風(fēng)險(xiǎn)控制及保障水平，以支撐油服核心業(yè)務(wù)的健康發(fā)展。

1 信息安全保障體系

1.1 信息安全保障體系建設(shè)需求

油服在信息安全方面已部署了部分信息安全防護(hù)措施，如劃分安全域、部署邊界訪問(wèn)控制設(shè)備、配備入侵防御系統(tǒng)、部署統(tǒng)一的防惡意代碼軟件等。與此同時(shí)，每年都開(kāi)展信息系統(tǒng)安全測(cè)評(píng)工作，對(duì)公司的信息系統(tǒng)進(jìn)行安全等級(jí)測(cè)評(píng)差距分析、安全問(wèn)題整改咨詢核查以及滲透性測(cè)試等，從而能夠較為全面的掌握當(dāng)前各信息系統(tǒng)和信息安全管理制度的建設(shè)、運(yùn)維和使用情況，以提高信息系統(tǒng)的安全防護(hù)能力。但從總體來(lái)看，仍缺乏信息安全保障體系框架，總體安全方針和策略不夠明確，安全區(qū)域劃分不夠細(xì)致，網(wǎng)絡(luò)設(shè)備和重要服務(wù)器的安全策略缺乏統(tǒng)一標(biāo)準(zhǔn)，未部署安全運(yùn)維管理中心，無(wú)法真正起到縱深安全防御的效用。

1.2 信息安全保障體系目標(biāo)與定位

信息安全保障體系的建設(shè)要結(jié)合油服的信息安全需求、網(wǎng)絡(luò)應(yīng)用現(xiàn)狀及未來(lái)發(fā)展趨勢(shì)，在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，明確與等級(jí)保護(hù)相適應(yīng)的安全策略及具體的實(shí)施辦法。對(duì)全網(wǎng)進(jìn)行合理的安全域劃分，技術(shù)與管理并重的同時(shí)，以應(yīng)用與實(shí)效為主導(dǎo)，從網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、組織管理等方面，保障油服信息安全，形成集檢測(cè)、響應(yīng)、恢復(fù)、防護(hù)為一體的安全保障體系。

2 油服信息安全保障體系架構(gòu)模型

油服信息安全保障體系框架采用“結(jié)構(gòu)化”的分析和控制方法，縱向把保護(hù)對(duì)象分成安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)；橫向把控制體系分成安全管理、安全技術(shù)和安全運(yùn)行的控制體系，同時(shí)通過(guò)“一個(gè)安全管理中心”的安全管理概念和模式，形成一個(gè)依托于安全保護(hù)對(duì)象為基礎(chǔ)，橫向建立安全管理體系、安全技術(shù)體系、安全運(yùn)行體系和安全管理中心“三個(gè)體系、一個(gè)中心、三重防護(hù)”的信息安全保障體系

框架。

2.1 安全管理體系

根據(jù)等級(jí)保護(hù)基本要求的相關(guān)內(nèi)容，信息安全管理體系重點(diǎn)落實(shí)安全管理制度、安全管理機(jī)構(gòu)和人員安全管理的相關(guān)控制要求。

2.2 安全技術(shù)體系

根據(jù)等級(jí)保護(hù)基本要求的相關(guān)內(nèi)容，通過(guò)安全技術(shù)在物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)各個(gè)層面的實(shí)施，建立與實(shí)際情況相結(jié)合的安全技術(shù)體系。

2.3 安全運(yùn)行體系

根據(jù)等級(jí)保護(hù)基本要求的相關(guān)內(nèi)容，信息安全運(yùn)行體系重點(diǎn)落實(shí)系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理的相關(guān)控制要求，并與實(shí)際情況相結(jié)合，形成符合等級(jí)保護(hù)要求的信息安全運(yùn)行體系

框架。

2.4 安全管理中心

根據(jù)等級(jí)保護(hù)基本要求和安全設(shè)計(jì)技術(shù)要求的相關(guān)內(nèi)容，通過(guò)“自動(dòng)、平臺(tái)化”的方式，對(duì)信息安全管理、技術(shù)、運(yùn)行三個(gè)體系的相關(guān)控制內(nèi)容，結(jié)合實(shí)際情況加以落實(shí)。

3 油服信息安全保障體系架構(gòu)設(shè)計(jì)

3.1 安全管理體系架構(gòu)設(shè)計(jì)

信息安全管理體系架構(gòu)的設(shè)計(jì)可從以下3方面開(kāi)展。

3.1.1 信息安全組織

油服信息安全組織為信息安全管理委員會(huì)，各業(yè)務(wù)部門為信息安全小組，部門經(jīng)理為本小組的第一安全責(zé)任人。同時(shí)，定義了組織中各職能角色的職責(zé)，以此指導(dǎo)信息安全工作開(kāi)展。

3.1.2 信息安全制度

油服的信息安全制度一方面能及時(shí)反映公司的信息安全風(fēng)險(xiǎn)動(dòng)態(tài)，便于靈活地修訂與更新；另一方面確保信息安全技術(shù)與管理人員及用戶能夠了解哪些是禁止做的，哪些是必須做的。

3.1.3 人員安全管理

在人員安全管理方面，可以通過(guò)對(duì)人員錄用、調(diào)用、離崗、考核、培訓(xùn)教育和第三方人員安全幾個(gè)方面進(jìn)行設(shè)計(jì)。

3.2 安全技術(shù)體系架構(gòu)設(shè)計(jì)

信息安全技術(shù)體系架構(gòu)設(shè)計(jì)可從以下3個(gè)方面開(kāi)展。

3.2.1 信息安全服務(wù)架構(gòu)

信息安全服務(wù)架構(gòu)設(shè)計(jì)分為保護(hù)、檢測(cè)、響應(yīng)與恢復(fù)四個(gè)環(huán)節(jié)，實(shí)現(xiàn)對(duì)信息可用性、完整性和機(jī)密性的保護(hù)，監(jiān)測(cè)檢查系統(tǒng)存在的安全漏洞，對(duì)危害系統(tǒng)安全的事件行為做出響應(yīng)

處理。

3.2.2 信息技術(shù)基礎(chǔ)設(shè)施安全架構(gòu)

信息技術(shù)基礎(chǔ)設(shè)施安全架構(gòu)以網(wǎng)絡(luò)安全架構(gòu)為主體，結(jié)合系統(tǒng)軟硬件進(jìn)行安全配置和部署。網(wǎng)絡(luò)安全架構(gòu)的規(guī)劃根據(jù)網(wǎng)絡(luò)所承載的應(yīng)用系統(tǒng)特性和所面臨的風(fēng)險(xiǎn)劃分不同的網(wǎng)絡(luò)安全域，并實(shí)施安全防護(hù)措施。

3.2.3 應(yīng)用安全架構(gòu)

應(yīng)用系統(tǒng)的信息安全保障是在信息技術(shù)基礎(chǔ)設(shè)施安全架構(gòu)上，更多地關(guān)注已有的信息安全服務(wù)是否被充分利用。為滿足業(yè)務(wù)系統(tǒng)對(duì)信息安全的需求，通過(guò)在業(yè)務(wù)系統(tǒng)中實(shí)現(xiàn)集成保障信息安全的機(jī)制，從而達(dá)到信息安全技術(shù)控制要求。

3.3 安全運(yùn)行體系架構(gòu)設(shè)計(jì)

油服信息安全運(yùn)行體系架構(gòu)設(shè)計(jì)主要從以下3個(gè)方面開(kāi)展。

3.3.1 信息系統(tǒng)安全等級(jí)劃分

油服信息系統(tǒng)安全等級(jí)劃分從信息資產(chǎn)等級(jí)、網(wǎng)絡(luò)系統(tǒng)等級(jí)和應(yīng)用系統(tǒng)等級(jí)三個(gè)方面進(jìn)行定義。

3.3.2 信息安全技術(shù)控制

信息安全技術(shù)控制是由系統(tǒng)自身自動(dòng)完成的安全控制。主要在信息系統(tǒng)的網(wǎng)絡(luò)層、系統(tǒng)層和應(yīng)用層，包含身份鑒別、訪問(wèn)控制、安全審計(jì)等五大類通用技術(shù)。

3.3.3 信息安全運(yùn)作控制

信息安全運(yùn)作控制是在油服業(yè)務(wù)運(yùn)作和信息技術(shù)運(yùn)作過(guò)程中進(jìn)行實(shí)施的運(yùn)作類安全控制，包括控制針對(duì)的主要風(fēng)險(xiǎn)點(diǎn)及具體分類。

4 結(jié)束語(yǔ)

在油服業(yè)務(wù)不斷拓展，國(guó)際化步伐不斷深入的過(guò)程中，信息系統(tǒng)在公司發(fā)展中的作用和地位日趨重要。公司對(duì)信息系統(tǒng)的依賴性也在不斷增長(zhǎng)，信息安全也愈發(fā)重要。健全油服信息安全保障體系，為實(shí)現(xiàn)“制度標(biāo)準(zhǔn)化、工作制度化”的管理常態(tài)奠定了堅(jiān)實(shí)的基礎(chǔ)。油服信息安全保障體系不僅從物理網(wǎng)絡(luò)安全、系統(tǒng)應(yīng)用安全、數(shù)據(jù)和用戶安全等方面入手，還從安全域劃分、安全邊界防護(hù)、主動(dòng)監(jiān)控、訪問(wèn)控制和應(yīng)急響應(yīng)等方面綜合考慮，進(jìn)一步加強(qiáng)落實(shí)信息安全等級(jí)保護(hù)的基本要求，初步實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)與應(yīng)用系統(tǒng)細(xì)粒度、全方位的安全管控，從而更為有效地提升了油服在信息安全方面的管理水平。

參考文獻(xiàn)

[1]馬永.淺談企業(yè)信息安全保障體系建設(shè)[J].計(jì)算機(jī)安全，2007（7）：72-75.

[2]王朗.一個(gè)信息安全保障體系模型的研究和設(shè)計(jì)[J].北京師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2004（2）：58-62.

[3]黃海鷹.信息安全保障體系建設(shè)研究[J].數(shù)字圖書(shū)館論壇，2009（9）：13-15.