網絡安全等級保護測評范例6篇

前言：中文期刊網精心挑選了網絡安全等級保護測評范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

網絡安全等級保護測評范文1

一、云安全服務模型 

云產品在部署模型、服務模型以及資源物理位置和管理屬性方面，呈現出較大區別的形態模式，安全風險特征、控制職責范圍也存在著較大的差異性?；诖?，需基于安全控制角度健全和完善云計算模型， 實現云服務架構到安全架構的有效映射，從而為風險識別、決策以及安全控制提供重要參考。 

基礎設施即服務，其主要有計算機網絡設施、網絡設備、主機以及服務器等硬件平臺；在基礎設施建設過程中，首先是將硬件資源抽象起來，并且將這些資源有效的納入到基礎設施邏輯節點之中，向用戶提供可統一編程應用程序接口，然后讓用戶通過應用程序對應用程序編程接口調用，從而實現物理設備的相互應用。對于IaaS層而言，其關注的主要安全問題是網絡基礎設施環境、物理、環境、主機以及網絡連接設備和系統虛擬化等方面的安全。 

對于云安全管理中心而言，基于云安全服務所提出的云安全管理概念，對用戶、安全事件以及資產等進行統一監管，集中審計分析研究；同時，通過高效化、專業化支撐平臺，以及先進的監測工具，預警安全事件，并且及時對安全狀態進行掌控，從而發現基于云計算環境的病毒傳播、網絡攻擊以及異常行為等事件，為應急響應、預警和事件調查提供技術方面的支撐；同時，還要采取有效的主動防護措施保護用戶數據信息，并且對云計算中心進行全面安保。 

二、基于云安全模型的信息安全等級測評 

所謂云安全模式下的信息安全等級測評，主要是基于云安全中心模型、云安全服務模型以及云安全領域的不同要求，得出一個安全模型，并且在信息安全等級保護基礎上確定其所處位置。云安全模型的一端與等級保護技術要求相連接，另一端則與等級保護管理要求相連接。實踐中，通過云安全信息中心建模操作，全面分析安全模型下的云安全核心基礎，并且得出安全等級測評模型，以此來開展相關測評工作?；谝陨戏治?，筆者認為將在云安全模型中有效的嵌套云安全等級保護建模，即可實現與云信息安全等級相關的測評操作，對安全模型下的控制項實施細粒度分析。 

云認證及其授權：對于云認證、授權而言，其重點在于全面查看登錄認證、程序運行授權、服務認證以及敏感文件授權等事項。云訪問控制過程中，基于訪問控制模型對是否為強制訪問、自主訪問以及角色型訪問控制進行確定，以便于能夠采用不同的方式和方法對其進行有效的分析。對于云安全邊界與隔離而言，主要是全面了解安全隔離機制、安全區域劃分以及硬件安全技術支撐等問題。對于云安全存儲而言，可將數據信息存儲成加密格式，而且用戶需將數據信息獨立出來，區分開來。在惡意代碼防范過程中，可了解是否有惡意代碼檢測、攻擊抵御策略。同時，還要具備安全管理功能，對所有物理/虛擬硬件、軟件以及網絡資源等加強管理，管理測評要求與等級保護管理要求應當保持一致。對于網絡安全傳輸而言，主要了解計算機網絡安全傳輸采用加密的方式與否。對于網絡配置及其安全策略而言，應當使訪問控制、資源分配確實有效，而且還要以統一、安全可靠的方式進行定義，并且有效解 決、執行實踐中的相應安全策略。 

結語：總而言之，云安全快速發展的條件下，基于云安全模型的信息系統安全等級保護方法也在不斷的完善，如何應當云計算虛擬化技術的漏洞以及數據泄露和共享訪問模式問題，成為需要深化研究的要點。 

參 考 文 獻 

網絡安全等級保護測評范文2

［關鍵詞］等級保護；等級備案；等級測評

doi：10.3969/j.issn.1673 - 0194.2017.04.115

［中圖分類號］TP309 ［文獻標識碼］A ［文章編號］1673-0194（2017）02-0-02

0 引　言

隨著全球信息技術的快速發展，我國國民經濟的繁榮和社會信息化水平的日益提升，信息安全已上升為國家層面的重要內容。為進一步提高信息安全保障工作的能力和水平，2016年國家網絡安全宣傳周首次在全國范圍內統一舉辦，并首次在地方城市舉行開幕式等重要活動。由此信息安全等級保護制度也越來越成為信息社會必不可少的一項制度，等級測評工作也將隨之逐步成為一項常規化工作，對保障國家網絡安全具有重要意義。下文對信息安全等級保護的概念及發展狀況進行梳理。

1 信息安全等級保護的概念

信息安全等級保護是對信息及信息載體按照重要性等級分別進行保護的一種工作，是國際上很多國家都實施的一項信息安全工作。在中國，信息安全等級保護廣義上是為涉及信息安全工作的標準、產品、系統、信息等依據等級保護思想確立的安全工作；狹義上一般指信息系統安全等級保護。

2 信息安全等級保護的發展歷程

全球化網絡快速發展的同時其脆弱性和安全性也日益彰顯，西方發達國家制定了一系列強化網絡信息安全建設的政策和標準，其核心就是將不同重要程度的信息系統劃分為不同的安全等級，以便于對不同領域的信息安全工作進行指導。鑒于此，我國相關部門和專家結合我國信息領域的實際情況經過多年的研究，于1994年由國務院下發了《中華人民共和國計算機信息系統安全保護條例》，首次提出了信息安全等級保護的概念，用于解決我國信息安全問題。之后經過了十幾年的摸索和探究出臺了一系列從中央到地方的政策法規，并實施工程。從計算機系統的定級到等級保護測評，信息安全工作逐步完善。詳情見表1。

隨著國家對信息安全工作的重視以及各類等級保護規范標準的出臺，各行業及監管部門迅速發文響應并落實行業內信息系統安全等級保護工作。建立、健全信息安全管理制度，落實安全保護技術措施，全面貫徹落實信息安全等級保護制度。目前，國家已出臺70多個國標、行標及報批標準，展開了對所屬安全系統進行先定級后測評的工作。

3 信息安全等級保護具體實施過程

信息安全等級保護具體的實施過程，如圖1所示。

3.1 定級

2007年開始在全國范圍內進行信息系統等級保護的定級工作。四級以上的定級要求請國家信息安全保護等級專家評審委員會評審定級。此項工作歷時一年基本完成。

定級標準為公安部66號文件。主要依據是《信息系統安全保護等級定級指南》（國家）或行業制定的定級指南。對于等級的劃分，見表2。

定級注意事項

第一級信息系統：適用于小型私營、個體企業、中小學、鄉鎮所屬信息系統、縣級單位中一般的信息系統。

第二級信息系統：適用于縣級一些單位中的重要信息系統；地市級以上國家機關、企事業單位內部一般的信息系統。例如：不涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統，地市級以上國家機關、企事業單位網站等。

第三級信息系統：一般適用于地市級以上國家機關、企事業單位內部重要的信息系統；跨省或全國聯網運行的用于生產、調度、管理、指揮、作業及控制等方面的重要信息系統以及這類系統在省、地市的分支系統；中央各部委、省門戶網站和重要網站；跨省連接的網絡系統等，例如，網上銀行系統、證券集中交易系統、海關通關系統、民航離港控制系統等為三級信息系統。

第四級信息系統：一般適用于國家重要領域、部門中涉及國計民生、國家利益、國家安全、影響社會穩定的核心系統。例如：電信骨干傳輸網、電力能量管理系統、銀行核心業務系統、鐵路票客系統、列車指揮調度系統等。

第五級信息系統：適用于國家特殊領域的極其重要系統。

3.2 等級備案

已運行的系統在安全保護等級定級后30日內，由運營、使用單位到所在地區的市級以上公安機關辦理備案手續。新建的系統，在通過立項申請后30日內辦理。將定級情況報各地公安部門備案。

辦理備案手續時備案單位需向公安機關網監部門提交以下備案材料。①《信息系統安全等級保護備案表》紙質材料一式兩份。該表由“等級保護備案端軟件”生成，操作時請詳細閱讀軟件使用說明書。第二級以上信息系統備案時需提交表中的表一、二、三；第三級以上信息系統還應當在系統整改、測評完成后30日內提交表四及其有關材料。②《信息系統安全等級保護定級報告》紙質材料一式兩份。每個備案的信息系統均需提供對應的《信息系統安全等級保護定級報告》。

③備案電子數據。每個備案的信息系統，均需通過“等級保護備案端軟件”填寫信息，以壓縮文件（RAR格式）方式保存。

3.3 對照等級標準和要求進行安全建設分析整改

備案工作完成后，需要對照所定的級別對信息系統進行安全建設整改。從滿足政策、滿足標準和滿足用戶需求入手，有條件的單位可以請專業機構幫助給出整改意見，在技術和管理兩個方面進行整體規劃和設計。在設計過程中要考慮近期和遠期規劃，從而給出總體和詳細的方案，特別要把技術體系、物理安全、管理安全、應急與災備全面進行細分，細分為不同的子項，分項完善。之后就可以進入具體實施操作階段。

3.4 等級測評

信息系統完成建O整改實施操作之后就可以進行等級保護的測評。等級保護測評工作需要由有“DJCP”（公安部信息安全等級保護測評）認證的測評機構來完成。有“DJCP”資質的機構在“中國信息安全等級保護網”可以查詢到。測評時間一般為一個月。測評過程如下。

（1）測評準備階段：召開項目啟動會布置測評需要準備的材料（系統拓撲圖、規章制度、設備參數等），測評機構根據提供的材料準備下一步的測評工具和表單。

（2）測評方案編制階段：測評機構針對測評對象制定測評指標，填寫測評內容，并編制測評方案書。雙方進一步溝通測評時間及測評場地的測評內容和測評流程。

（3）現場測評階段：測評機構按照測評方案的測評內容對項目中的管理和技術測評項進行逐一的測評，記錄測評相關數據。需要注意的是在現場測評過程中盡量不要影響被測系統的正常運行?？梢赃x擇錯開業務高峰期或下班后的時間。為了保證被測系統不受影響，系統維護人員應在現場進行配合。

（4）報告編制階段：測評機構根據測評內容和數據進行整理，給出測評報告，告知風險點和測評發現的問題。

測評結果有三種：不符合，即未通過測評；部分符合和全部符合，后兩種為通過測評。

在等級保護測評方面，按照要求，三級的信息系統應當每年至少進行一次安全自查和安全測評；四級的信息系統應當每半年至少進行一次安全自查和安全測評；五級的應當依據特殊安全要求進行安全自查和安全測評。

4 信息安全等級保護的發展現狀

隨著信息技術的不斷發展，云計算、移動互聯、物聯網、工業控制、大數據等概念的出現對信息系統等級保護提出了新的要求。在新技術應用背景下，等級保護的標準和規范也將隨之不斷調整，信息系統和測評機構都需要不斷提高自身的技術能力以適應新技術發展的需求。保證信息系統的循序建設和長期穩定的運行，是等級保護建設的重要意義。

主要參考文獻

網絡安全等級保護測評范文3

1.1國家衛生部文件

文件明確規定了信息安全等級保護工作的工作目標、工作原則、工作機制、工作任務、工作要求，工作任務別強調了“三級甲等醫院的核心業務信息系統”應進行定級備案。

1.2浙江省衛生廳文件

為加強醫療衛生行業信息安全管理，提高信息安全意識，以信息安全等級保護標準促進全行業的信息安全工作，提高全省衛生系統信息安全保護與信息安全技術水平，強化信息安全的重要性。2011年6月7日，浙江省衛生廳和浙江省公安廳聯合下發《關于做好全省醫療衛生行業重要信息系統信息安全等級保護工作的通知》（浙衛發〔2011〕131號），并一同下發了《浙江省醫療衛生行業信息安全等級保護工作實施方案》和《浙江省衛生行業信息系統安全等級保護定級工作指導意見》。為進一步指導我省衛生行業單位開展信息安全等級保持工作，浙江省衛生信息中心于2012年4月6日下發了《關于印發<浙江省衛生行業信息安全等級保護工作指導意見細則>的函》。上述文件詳細規定了工作目標、工作流程和工作進度，并明確了醫療衛生單位重要信息系統的劃分和定級，具有很強的指導性和操作性。

2醫院信息安全等級保護

依據上述行業文件要求，全省醫院重要信息系統信息安全等級保護工作由省衛生廳和各級衛生局、公安局分級負責，按照系統定級、系統備案、等級測評、安全整改[1]四個工作步驟實施。

2.1系統定級

2.1.1確定對象

我省醫院信息化發展較早，各類系統比較完善，但數量繁多。將出現多達幾十甚至上百個定級對象的狀況，這與要求重點保護、控制建設成本、優化資源配置[2]的原則相違背，不利于醫院重要信息系統開展信息安全等級保護工作。依據《計算機信息系統安全保護等級劃分準則（GB17859-1999）》等標準，結合我省醫院信息化現狀及發展需要，經衛生信息化專家和信息安全專家多次論證，本著突出重點、按類歸并、相對獨立、節約費用的原則，從系統管理、業務使用者、系統服務對象和運行環境等多方面綜合考慮，把醫院信息系統劃分為以下幾類，如表1所示。

2.1.2等級評定

醫院重要信息系統的信息安全和系統服務應用被破壞時，產生的危害主要涉及公民的個人隱私、就醫權利及合法權益，對社會秩序和公共利益的損害屬于“損害”或“嚴重損害”程度。參考《信息安全等級保護管理辦法》及省衛生信息中心指導意見細則要求[3]，即屬于“第二級”或“第三級”范疇。因此醫院信息系統對信息安全防護和服務能力保護的要求較高，結合業務服務及系統應用范疇，實行保護重點、以點帶面原則，參考定級如表2所示。

2.2系統定級備案

省衛生廳及省級醫療衛生單位信息系統、全省統一聯網或跨市聯網運行的信息系統由省公安廳受理備案；各市衛生局及其下屬單位、轄區內醫院信息系統由屬地公安機關受理備案。各市衛生局應將轄區內醫療衛生單位備案匯總情況和《信息系統安全等級保護備案表》等材料以電子文件形式向省衛生廳報備。定級備案流程示意圖如圖1所示。

2.3等級保護測評

醫院重要信息系統完成定級備案后，應依據《浙江省信息安全等級保護工作協調小組關于公布信息安全等級報測評機構的通知》（浙等?！?010〕9號）選擇浙江省信息安全等級保護工作協調小組辦公室推薦的等級測評機構，啟動等級測評工作，結合所屬等級要求對系統進行逐項測評。通過對醫院系統進行查驗、訪談、現場測試等方式收集相關信息，詳細了解信息安全保護現狀，分析所收集的資料和數據，查找發現醫院重要信息系統漏洞和安全隱患，針對測評報告結果進行分析反饋、溝通協商，明確等級保護整改工作目標、整改流程及注意事項，共同制定等級保護整改建議方案用于指導后續整改工作。對第二級以上的信息系統要定期開展等級測評。信息系統測評后，醫院應及時將測評機構出具的《信息系統等級測評報告》向所屬地公安機關報備。

2.4等級保護規劃建設整改

根據《信息系統安全等級保護實施指南》及省實施方案，結合醫院信息系統的安全需求分析，判斷安全保護現狀，設計合理的、滿足等級保護要求的總體安全方案，并制定出安全實施規劃[4]等，用以指導信息系統安全建設工程實施。引進第三方安全技術服務商，協助完成系統安全規劃、建設及整改工作。建設，整改實施過程中按照詳細設計方案，設置安全產品采購、安全控制開發與集成、機構和人員配置、安全管理制度建設、人員安全技能培訓等環節[5]，將規劃設計階段的安全方針和策略，切實落實到醫院系統的信息安全規劃、建設、評估、運行和維護等各個環節。其核心是根據系統的實際信息安全需求、業務特點及應用重點，并結合醫院自身信息安全建設的實際需求，建設一套全面保護、重點突出、持續運行的安全保障體系，確保醫院系統的信息安全。等級保護工程及管理體系建設整改流程如圖2所示。

3醫院重要信息系統安全等級保護成效

各級醫院按照國家有關信息安全等級保護政策、標準，結合衛生行業政策和要求，全面落實信息系統信息安全等級保護工作，保障信息系統安全可靠運行，提高安全管理運維水平。

3.1明確系統安全保護目標

通過推行各級醫院信息安全等級保護工作，梳理衛生信息系統資產、網絡邊界、網絡安全設備部署及運行狀況。根據系統風險評估、危害的覆蓋范圍及影響性判定安全等級，從而根據標準全面、系統、深入地掌握系統潛在的風險隱患，安全漏洞。明確需要重點保護的應用系統及信息資產，提出行之有效的保護措施，有針對性地提高保護等級，實現重點目標重點保護。

3.2建立安全管理保障體系

安全管理保障體系是開展信息安全工作的保障，指導落實各項安全指標要求。信息安全等級保護基本要求中明確要求加強主管及安全責任部門領導，配備信息安全專員督導安全檢查、維護、培訓工作。建立健全信息安全管理保障制度體系，包括機房安全管理制度、人員安全管理制度、運維安全管理規范。建立行之有效的安全應急響應預案及常規化的信息安全培訓及預防演練，形成長期的安全風險管控機制。

3.3加強安全意識和管理能力

通過落實等級保護制度的各項要求，認識安全意識在信息安全工作中的重要性和必要性，調動安全保護的自覺主動性，加大安全保護的資金投入力度，優化安全管理資源及策略，主動提升安全保護能力。同時重視常規化的信息安全管理教育和培訓，強化安全管理員和責任人的安全意識，提高風險分析和安全性評估等能力，信息系統安全整體管理水平將得到提高。

3.4強化安全保護技術實施

醫院開展信息安全等級保護工作可加深分級、分域的縱深防御理念，進一步結合終端安全、身份認證、網絡安全、容災技術，建立統一的安全監控平臺和安全運行中心。根據測評報告及建設整改建議，增強對應用系統的授權訪問，終端計算機的安全控制，網絡流量的異常監控，業務與數據安全保障，惡意軟件和攻擊行為的防御、發現及阻擊等功能，深層次提高抵御外部和內部信息安全威脅的能力。

3.5優化第三方技術服務

與安全技術服務機構建立長期穩定的合作關系，引進并優化第三方技術資源，搭建安全保護技術的學習橋梁與交流平臺。在安全技術與管理方面加固信息安全防護措施，完善信息安全管理制度，同時通過安全技術管理培訓強化醫院工作人員信息安全保護意識，提高信息安全隊伍的技術與管理水平，共同為醫院系統信息化建設的快速發展保駕護航?？傊t院開展信息安全等級保護工作將有效提高醫院信息化建設的整體水平，有利于醫院信息化建設過程中同步建設信息安全設施，保障信息安全與信息化建設相協調；有利于為信息系統安全建設和管理提供系統性、針對性、可行性的指導和服務；有利于優化信息安全資源的配置，重點保障基礎信息網絡、個人隱私、醫療資源和社會公共衛生等方面的重要信息系統的安全[6]。

4結束語

網絡安全等級保護測評范文4

關鍵詞：政務外網 等級保護 定級 網絡安全

為貫徹落實公安部、國家保密局、國家密碼管理局、原國務院信息化工作辦公室于2007年7月26日聯合下發《關于開展全國重要信息系統安全等級保護定級工作的通知》（公信安[2007]861號），國家電子政務外網工程建設辦公室（以下簡稱“外網工程辦”）在2007年11月啟動了中央級政務外網定級專項工作，成立了等級保護定級工作組，根據政務外網的實際情況和特點，經過多輪內部討論和征求專家意見后，基本完成了政務外網安全等級保護定級工作，為后續備案和全面開展、實施等級保護整改和測評工作奠定了堅實基礎。

一、周密部署，精心組織

為有效貫徹落實國家信息安全等級保護制度，在總結基礎調查和試點工作的基礎上，根據《關于開展全國重要信息系統安全等級保護定級工作的通知》等相關規定，2007年11月13日，電子政務外網工程辦召開等級保護工作啟動會，正式啟動國家電子政務外網安全等級保護定級工作。

為確保信息系統等級保護工作順利進行，外網工程辦領導高度重視，專門成立了由各主要業務部門負責人為成員的等級保護工作小組，全面負責工作的規劃、協調和指導，確定了外網工程辦安全組為等級保護工作的牽頭部門，各部門分工協作。同時，為確保系統劃分和定級工作的準確性和合理性，2007年11月22日外網工程辦專門邀請專家，對定級工作進行專項指導。

為統一思想，提高認識，通過召開等級保護專題會議等形式，深入學習《信息安全等級保護管理辦法》和《關于開展全國重要信息系統安全等級保護定級工作的通知》等文件精神，使相關人員充分認識和領會了開展信息安全等級保護工作的重要性，進一步認識到實施信息安全等級保護不僅是信息安全管理規范化、標準化、科學化的需要，也是提高政務外網安全保障能力與服務水平的重要途徑，是追求自身發展與落實社會責任相一致的現實需要與客觀要求，從而增強了開展此項工作的主動性和自覺性。

二、積極做好定級各項工作

信息安全等級保護工作政策性強、技術要求高，時間又非常緊迫，為此，政務外網工程辦從三方面抓好定級報備前期準備工作：一是積極參加公安部組織的等級保護培訓，領會與理解開展信息安全等級保護工作的目的、意義與技術要求，系統地掌握信息安全等級保護的基礎知識、實施過程、定級方法步驟和備案流程等。二是多次組織人員開展內部討論和交流，使人員較全面地了解等級保護的意義、基礎知識和定級方法。三是開展工程辦各組的業務應用摸底調查，摸清系統的系統結構、業務類型和應用范圍，并匯總整理了政務外網各組成域的相關概況。

三、科學準確定級

在開展政務外網定級工作的過程中突出重點，全面分析政務外網網絡基礎平臺的特點，力求準確劃定定級范圍和定級對象。在此基礎上，依據《信息安全等級保護管理辦法》，確定政務外網各組成子系統（網絡域）的安全保護等級。

劃定定級對象。根據《信息系統安全等級保護定級指南》，外網工程辦多次組織技術和業務骨干召開專題會議討論信息系統劃分問題，提出了較為科學合理的信息系統劃分方案。

初步確定了信息系統等級。根據系統劃分結果，組織各業務部門參與并初步確定了各系統等級，完成了自定級報告的起草。

組織專家自評把關。根據等級保護評審的標準與要求，專家們對信息系統劃分和定級報告進行內部評審，并給出了內部評審意見。根據專家意見重新修改并整理了等級保護定級報告及其相關材料。

此外，在定級過程中，外網工程辦積極與公安部等級保護主管部門進行溝通，并經由相關專家確認定級對象與等級保護方案后，整理好了所有定級材料，準備下一步的正式評審。

四、定級對象和結果

根據政務外網作為基礎網絡平臺的特性，以及其接入系統的不同業務類型，政務外網按管理邊界劃分為中央政務外網、地方政務外網兩類管理域。中央政務外網按業務邊界劃分功能區，即公用網絡平臺區、專用VPN網絡區以及互聯網接入區，在各功能區內又根據業務類型和系統服務的不同，確定了多個業務系統，主要有安全管理系統、應用平臺系統、網絡管理系統、郵件系統、VPN業務、互聯網數據中心等六個系統作為本次等級保護定級工作的定

級對象，分別予以定級（確定等級結果如表1所示）。

作者簡介：

羅海寧，1980年生，男，漢族，工程師，在職碩士，專業方向：網絡與信息安全。

郭紅，1966年生，女，漢族，高級工程師，在職碩士，專業方向：網絡安全。

網絡安全等級保護測評范文5

 

近年來，隨著信息安全等級保護工作機制的不斷完善，主管部門監督檢查力度的不斷加大，信息系統開展等級測評的數量穩步增長，測評覆蓋率顯著提升。通過統計分析本單位近些年測評的數百個信息系統的數據，可以得出以下結論：一是較早開展等級測評的行業，經過測評和整改建設，測評符合率逐年提高;二是隨著等級測評工作的持續推進，近期才開展首次測評的行業特別是基層單位的信息安全工作基礎較薄弱，測評得分明顯偏低。通過對物理安全、網絡安全、主機安全、應用安全、數據安全、安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理等10個層面的測評結果進行統計，其中網絡安全、主機安全、應用安全、系統運維管理等方面的不符合率相對較高，信息系統的建設、使用、運維階段存在一些較普遍的問題。

 

信息系統安全保護措施落實情況分析

 

整體而言，隨著等級測評工作的持續推進，黨政機關、企事業單位對信息系統安全等級保護的認識和重視程度得到普遍提升，在管理和技術兩方面主要采取了以下安全措施：

 

信息安全管理措施落實情況

 

在信息安全管理方面呈現出兩級分化的特點。一些重點行業的業務信息化程度高、自身信息技術隊伍力量足、信息安全投入經費有保障，其安全管理措施一般也能得到有效落實，在機構、人員、制度、建設管理、運維管理等方面均能較好地符合相關標準的要求。這一類的典型包括銀行、證券、電力等行業主管部門對信息安全監管嚴格的幾大行業。相反，部分對信息系統管控相對松散的單位如大專院校、在信息安全投入方面得不到充分保障的單位如基層政府部門，其信息安全專業人員的配備達不到標準規范的要求，安全責任部門地位偏低權限不足，很難制定并有效貫徹落實結合本單位實際的信息安全管理制度。

 

信息安全技術措施落實情況

 

多數單位通過部署邊界安全設備，強化入侵防范措施來提高網絡的安全性;通過加固操作系統和數據庫的安全策略，啟用安全審計，安裝殺毒軟件等措施，來提高主機安全防護水平;通過開發應用系統的安全模塊，從身份鑒別、訪問控制、日志記錄等方面，強化業務應用的安全性;通過部署數據備份設備、加密措施，加強對數據安全的保護。

 

信息系統常見安全問題分析

 

隨著等級測評工作的覆蓋面進一步擴大，近年來初次測評的單位和基層部門仍發現一些典型問題。

 

信息安全意識有待提高

 

很多單位對當前日趨嚴峻的網絡安全形勢認識不足，將信息安全工作視為被動應付上級檢查、被動應對安全事件的任務來消極對待。一些單位認為取得“基本符合”的測評結論就高枕無憂，完成測評備案就完成了等級保護。由此造成對信息安全合規的落實不夠、資金和人員投入不足、重建設輕運維、有制度無執行、有預案不演練等問題，根源還是安全意識薄弱。

 

信息安全管理有待加強

 

信息安全管理不到位主要表現在安全管理制度、系統建設管理、系統運維管理等方面。

 

信息安全管理制度不完善?；鶎訂挝恍畔踩芾碇贫炔蝗?、人員配備不足、授權審批流于形式、執行記錄缺失等問題較為常見。部分單位的信息安全管理制度照搬模版，未結合本單位實際進行修訂，導致缺乏可操作性。

 

系統建設管理不到位。系統建設過程中落實信息安全“同步建設”原則不到位。在軟件開發階段較普遍未遵循安全編碼規范，導致安全功能缺失、應用層漏洞頻現。在系統驗收階段，很多單位僅注重業務功能驗收，缺乏專門的安全性測試;電子政務類項目較普遍未按規定在項目驗收環節完成“一證兩報告”(即等級測評報告、風險評估報告和系統備案證明)。

 

系統運維管理不到位。在系統運維管理方面，部分單位運維和開發崗位不分，職責不清，存在一人身兼數職現象。很多單位在信息資產管理、介質管理、變更管理等方面缺乏操作規程和相關記錄，數據備份策略不明，應急預案不完善并缺乏演練。

 

關鍵技術措施有待落實

 

分析近年來的測評結果，安全技術措施不足問題主要體現在以下幾個方面：

 

在物理安全方面，隨著電子政務集約化建設的推進，大量信息系統已經集中到高規格的專業機房，但仍有部分單位自有機房條件簡陋，位置選擇不規范，出入管理較隨意，防盜防破壞、防雷防火防潮能力較差，環境監控措施不足。

 

在網絡安全方面，常見網絡和安全設備的配置不到位，如未合理劃分區域、未精細配置訪問控制策略、未對重要設備做地址綁定等;較普遍缺少專業審計系統。部分單位設備老舊，安全產品本身存在一定缺陷導致無法滿足等級保護要求。個別單位用于生產控制的重要信息系統在網絡層面未采取必要安全措施的同時，還違規接通互聯網，存在極大的安全隱患。

 

在主機安全方面，部分單位存在弱口令、不啟用登錄失敗處理和安全審計功能、不及時更新補丁、不關閉非必要服務等問題。此外，由于主流操作系統和數據庫很少支持強制訪問控制機制，相關要求普遍未落實。

 

在應用安全方面，很多應用軟件安全功能不足，缺少身份鑒別、審計日志、信息加密等能力。由于很少進行安全掃描、滲透測試，相當一部分系統存在高危風險，如SQL注入、跨站腳本、文件上傳等漏洞，以及弱口令、網頁木馬等問題。

 

在數據安全方面，較常見的是數據保密性和完整性措施薄弱。此外，部分信息系統的備份和恢復措施欠完善，缺乏有效的災難恢復手段。

 

針對新技術的等級保護測評標準有待出臺

 

隨著浙江政務服務網的大力推進，省內各級政務云平臺的建設使用已全面開展，有相當數量的電子政務系統已遷移上云。同時涉及城市公共設施、水電氣等工控系統密集的行業對等級保護工作越來越重視，對云計算、工控系統、移動APP等的測評需求不斷加大。但現有的《GB/T 22239-2008 信息安全技術 信息系統安全等級保護基本要求》未涉及云計算、工業控制、移動互聯等領域，在測評實踐中已遇到諸多不適應情況。針對這些新技術新應用的等級保護測評標準需求已非常迫切。

 

重要信息系統安全保護對策建議

 

針對上述存在的問題，本文提出以下對策建議，以供參考。

 

提高信息安全意識

 

提高全員信息安全意識是全面提升信息安全保障水平的根本解決之道。要樹立全體人員的安全觀念，加強信息安全培訓。除了通過強化工作考核和安全檢查來督促信息安全工作的深入開展，還應通過多種方式開展信息安全政策解讀和信息安全標準宣貫，強化對全員的安全意識教育和考查。建議結合一些合適的安全職業技能培訓，落實信息安全相關崗位“持證上崗”的要求。

 

加強信息安全管理

 

“三分技術，七分管理”，各單位應轉變觀念，將“信息安全”與“系統穩定、功能正?！蓖戎匾暺饋?，將安全管理要求與自身業務緊密結合，制訂完善的體系化的安全管理制度。

 

在系統建設管理過程中，應要求開發人員遵循安全編碼規范進行開發;在系統驗收環節，應認真做好安全性驗收測試。在電子政務領域應落實國家對電子政務項目管理的制度要求，驗收階段完成等級測評，未通過測評的應不予驗收。

 

在系統運維管理方面，應加強制定信息系統日常管理操作的詳細規范，明確定義工作流程和操作步驟，使日常運行管理制度化、規范化。對信息資產按重要性進行分類梳理，建立完善應急災備措施，定期開展演練，確保備份的有效性。

 

落實關鍵技術措施

 

針對測評發現的問題，各單位應根據系統所定級別，結合自身條件，綜合考慮問題的影響范圍、嚴重程度、整改難度等因素，制定整改計劃，有步驟地落實相關技術措施。對于策略配置類的問題及時糾正;對于整改難度大、需要添置硬件或修改代碼的問題，應在充分測試和試運行的基礎上實施整改。對于強制訪問控制、敏感標記、雙因子鑒別等難點問題，建議國家加強相關產業政策的引導，促進安全廠商研發技術、推出產品，解決市場供應問題。各級主管部門應通過測評、整改、監督檢查、再測評的閉環管理，督促關鍵技術措施的落實。

 

加快新技術的等級保護測評標準編制工作

 

目前公安部信息安全等級保護評估中心在牽頭起草針對云計算安全的等級保護標準，尚處于征求意見階段。其余新技術領域的等級保護標準制定工作進度更晚，隨著智慧城市、云計算、大數據、移動互聯、工業控制等新技術的快速應用，安全標準相對滯后的問題更加突出，應進一步加快相關新標準的制定。

網絡安全等級保護測評范文6

關鍵詞：信息安全；等級保護；技術方案

中圖分類號：TP393.092

隨著采供血業務對信息系統的依賴程度越來越高，信息安全問題日益突現，各采供血機構對信息安全保障工作給予了高度重視，各方面的信息安全保障工作都在逐步推進?！缎l生行業信息安全等級保護工作的指導意見》（衛辦發[2011]85號）指出[1]，依據國家信息安全等級保護制度，遵循相關標準規范，全面開展信息安全等級保護定級備案、建設整改和等級測評等工作，明確信息安全保障重點，落實信息安全責任，建立信息安全等級保護工作長效機制，切實提高衛生行業信息安全防護能力、隱患發現能力、應急能力，做好信息安全等級保護工作，對于促進采供血機構信息化發展，維護公共利益、社會秩序和國家安全具有重要意義。

1 信息安全等級保護概述

1994年國務院147號令《中華人民共和國計算機信息系統保護條例》，規定我國實行“計算機信息安全等級保護制度”[2]。根據147號令的要求，公安部制定了《計算機信息等級劃分標準》（GB17859-1999以下簡稱GB17859），該標準是我國最早的信息安全等級標準。

當前實施的信息安全等級保護制度是由公安部等四部委聯合發文《關于信息安全等級保護工作的實施意見》（公通字[2004]66號）及《信息安全等級保護管理辦法》（公通字[2007]43號），文件明確了信息安全等級保護制度的原則、內容、工作要求、部門分工和實施計劃，為信息安全工作提供了規范保障。這些信息安全的有關政策法規主要是從管理角度劃分安全等級的要求。

2006年，國家信息安全技術標準化技術委員會以GB17859為基本依據，提出并制定了一系列信息安全國家標準（GB/T20269-2006《信息安全技術 信息系統安全管理要求》等）。這一系列規范性文件體現了從技術角度劃分信息安全等級的要求，主要以信息安全的基本要素為單位，對實現不同安全要求的安全技術和機制提出不同的要求。本文主要討論以GB17859為依據從技術角度探討信息安全等級保護技術在采供血機構中的實踐。

2 等級保護技術方案

信息安全等級保護制度明確了信息安全防護方案，要求確保信息系統安全穩定運行，確保信息內容安全。保證業務數據在生成、存儲、傳輸和使用過程中的安全，重要業務操作行為可審計，保證應用系統可抵御黑客、惡意代碼、病毒等造成的攻擊與破壞，防范惡意人員對信息系統資源的非法、非授權訪問。

2.1 實現要求。三級安全應用平臺安全計算環境的安全目標是保護計算環境的終端、重要服務器、乃至上層的應用安全和數據安全，并對入侵事件進行檢測/發現、防范/阻止和審計/追查。依據GB17859-1999等系列標準把相關技術要求落實到安全計算環境、安全區域邊界和安全通信網絡、安全管理中心及四個部分，形成“一個中心”三重保障體系[3]。

圖1 三級安全應用平臺TCB模型

2.2 安全計算機環境。安全計算機環境是由安全局域通信網絡連接的各個安全的計算資源所組成的計算環境，其工作方式包括客戶/服務器模式；主機/終端模式；服務器/工作站模式。

2.3 安全區域邊界。是安全計算環境通過安全通信網絡與外部連接的所有接口的總和，包括防火墻、防病毒網關及入侵檢測等共同實現。

2.4 安全通信網絡。實現信息系統中各個安全計算機環境之間互相連接的重要設施。包括安全性檢測、安全審計病毒防殺、備份與故障恢復以及應急計劃與應急反應。

2.5 安全管理中心。針對安全計算機環境、安全區域邊界和安全通信網絡三個部分的安全機制的集中管理設施。針對安全審計網絡管理、防病毒等技術的安全集中管理。

3 采供血機構信息系統等級保護建設

3.1 定級。采供血機構為地市級公益衛生事業單位，信息管理系統受到破壞會嚴重損害社會秩序，采供血業務停滯會嚴重損害公共利益，信息泄露則會嚴重影響公眾利益，按信息系統安全等級保護定級指南，確定采供血信息系統安全保護等級為第三級。

3.2 系統分析。采供血信息系統覆蓋采供血業務和相關服務過程，包括獻血者檔案、血液采集、制備、檢驗和發放等信息記錄必須妥善保存并保持可溯性。艾滋病疫情信息根據國家相關法律法規的要求，必須防止泄露，以免產生對國家安全及社會穩定的負面影響。

信息系統核心由兩臺雙機熱備服務器、磁盤陣列柜組成，采用硬件VPN、硬件防火墻作為網絡安全設備。應用VPN技術將遠離采供血機構本部的獻血屋、移動采血車及醫院輸血科使用的業務計算機與站內的服務器聯網。

3.3 等級保護建設。依據GB17859-1999等系列標準把相關技術要求落實到安全計算環境、安全區域邊界和安全通信網絡和安全管理中心四部分。構建“一個中心”管理下的“三重保障體系”，實現拓樸圖如下：

圖2 采供血機構拓撲圖

3.3.1 安全計算環境。系統層主要進行身份認證及用戶管理、訪問控制、安全審計、審惡意代碼防范，補丁升級及系統安全性檢測分析。安全計算環境主要依靠在用戶終端或是服務器中充分挖掘完善現有windows/Linux操作系統本身固有的安全特性來保證其安全性。在應用系統實現身份鑒別、訪問控制、安全審計等安全機制。

3.3.2 安全區域邊界。在網絡邊界處以網關模式部署深信服下一代防火墻AF-1320，電信及聯通兩條線路都接入其中，達到以下防護目的：（1）區域邊界訪問控制：邏輯隔離數據、透明并嚴格進行服務控制，隔離本單位網絡和互聯網，成為網絡之間的邊界屏障，單位內部電腦上網，實施相應訪問控制策略，設置自主和強制訪問控制機制；（2）區域邊界包過濾：通過檢查數據包源地址、過濾與狀態檢測提供靜態的包過濾和動態包過濾功能；（3）區域邊界安全審計：由內置數據中心和獨立數據中心記錄各類詳細事件，并產生統計報表。還可根據管理者定義的風險行為特征自動挖掘并輸出風險行為智能報表；（4）完整性保護：保護計算機網絡免受非授權人員的騷擾與黑客的入侵，過濾所有內部網和外部網之間的信息交換。該防火墻具有IPS入侵防護，防護類型包括蠕蟲/木馬/后門/DoS/DDoS攻擊探測/掃描/間諜軟件/利用漏洞的攻擊/緩沖區溢出攻擊/協議異常/ IPS逃逸攻擊等；具有網絡應用層防護，識別及清殺惡意代碼功能。

3.3.3 安全通信網絡。當用戶跨區域訪問時，根據三級標準要求，需要進行數據傳輸保護。通過部署VPN安全設備構建安全隧道，實施機密性和完整性保護，實現對應用數據的網絡傳輸保護。（1）本單位用采兩臺深信服VPN網關為跨區域邊界的通信雙方建立安全的通道。一臺為IPsec VPN用于連接采供血機構的分支機構如大型獻血屋，另一臺為SSL VPN用于小型捐血屋、流動采血車、各醫院與采供血機構的數據通信。VPN設備可為采供血機構內部網絡與外部網絡間信息的安全傳輸提供加密、身份鑒別、完整性保護及控制等安全機制。另外，VPN安全網關中設計了審計功能來記錄、存儲和分析安全事件，可為安全管理員提供有關追蹤安全事件和入侵行為的有效證據；（2）在防火墻下端部署華為S5700系列三層核心交換機，并在網絡中劃分VLAN，設置部門應用終端的訪問權限，規定哪些部門可以訪問哪些服務器等以減少網絡中的廣播風暴，提高網絡效率；（3）在行政辦公區域利用深信服上網行為管理（Sinfor-M5000-AC）有效管理與利用互聯網資源，合理封堵非業務網絡應用。

3.3.4 安全管理中心。信息安全等級保護三級的信息系統，應建立安全管理中心，主要用于監視和記錄信息系統中比較重要的服務器、網絡設備等環節，以及所有應用系統和主要用戶的安全狀況。本單位目前安全管理中心由兩部分組成，配置賽門鐵克賽門鐵克SEP12.1，采用分布式的體系結構部署了防病毒系統中心、防病毒服務器端、防病毒客戶端、防病毒管理員控制臺。防病毒軟件與防火墻、VPN及上網行為管理協同完成通信線路、主機、網絡設備、應用軟件的運行等監測和報警，并形成相關報表。對設備狀態、惡意代碼、補丁升級及安全審計等相關事項進行集中管理。

4 結束語

按照等級保護的相關規范和技術要求，結合采供血機構具體網絡和系統應用，設計三級信息安全等級保護方案并建設，保證采供血機構網絡的安全、穩定、通暢，保障了整個采供血業務的正常運轉，更好地服務于廣大患者。

參考文獻：

[1]網神信息技術（北京）股份有限公司[J].信息網絡安全，2012（10）：28.

[2]郎漫芝，王暉，鄧小虹.醫院信息系統信息安全等級保護的實施探討[J].計算機應用與軟件，2013（01）：206.

[3]胡志昂，范紅.信息系統等級保護安全建設技術方案設計實現與應用[M].北京：電子工業出版社，2011：98-104.