網絡安全等級保護評估范例6篇

前言：中文期刊網精心挑選了網絡安全等級保護評估范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

網絡安全等級保護評估范文1

1.1安全風險評估應用模型三階段。

在電子政務系統設的實施過程，主要分為規劃與設計階段、建設與實施階段、運行與管理階段等三個階段。其中，安全風險分析主要作用于規劃與設計階段，安全等級評估主要作用于建設與施工階段，安全檢查評估主要作用于運行與管理階段。安全風險分析，主要是利用風險評估工具對系統的安全問題進行分析。對于信息資產的風險等級的確定，以及其風險的優先控制順序，可以通過根據電子政務系統的需求，采用定性和定量的方法，制定相關的安全保障方案。安全等級評估，主要由自評估和他評估兩種評估方式構成。被評估電子政務系統的擁有者，通過結合其自身的力量和相關的等級保護標準，進行安全等級評估的方式，稱為自評估。而他評估則是指通過第三方權威專業評估機構，依據已頒布的標準或法規進行評估。通過定期或隨機的安全等級評估，掌握系統動態、業務調整、網絡威脅等動向，能夠及時預防和處理系統中存在的安全漏洞、隱患，提高系統的防御能力，并給予合理的安全防范措施等。若電子政務網絡系統需要進行較大程度上的更新或變革，則需要重新對系統進行安全等級評估工作。安全檢查評估，主要是在對漏洞掃描、模擬攻擊，以及對安全隱患的檢查等方面，對電子政務網絡系統的運行狀態進行監測，并給予解決問題的安全防范措施。

1.2安全風險分析的應用模型。

在政府網絡安全風險評估工作中，主要是借助安全風險評測工具和第三方權威機構，對安全風險分析、安全等級評估和安全檢查評估等三方面進行評估工作。在此，本文重點要講述的是安全風險分析的應用模型。在安全風險分析的應用模型中，著重需要考慮到的是其主要因素、基本流程和專家評判法。

（1）主要因素。

在資產上，政府的信息資源不但具有經濟價值，還擁有者重要的政治因素。因此，要從關鍵和敏感度出發，確定信息資產。在不足上，政府電子政務網絡系統，存在一定的脆弱性和被利用的潛在性。在威脅上，政府電子政務網絡系統受到來自內、外部的威脅。在影響上，可能致使信息資源泄露，嚴重時造成重大的資源損失。

（2）基本流程。

根據安全需求，確定政府電子政務網絡系統的安全風險等級和目標。根據政府電子政務網絡系統的結構和應用需求，實行區域和安全邊界的劃分。識別并估價安全區域內的信息資產。識別與評價安全區域內的環境對資產的威脅。識別與分析安全區域內的威脅所對應的資產或組織存在的薄弱點。建立政府電子政務網絡系統的安全風險評估方法和安全風險等級評價原則，并確定其大小與等級。結合相關的系統安全需求和等級保護，以及費用應當與風險相平衡的原則，對風險控制方法加以探究，從而制定出有效的安全風險控制措施和解決方案。

（3）專家評判法。

在建設政府電子政務網絡系統的前期決策中，由于缺少相關的數據和資料，因此，可以通過專家評判的方法，為政府電子政務網絡系統提供一個大概的參考數值和結果，作為決策前期的基礎。在安全區域內，根據網絡拓撲結構（即物理層、網絡層、系統層、應用層、數據層、用戶層），應用需求和安全需求劃分的安全邊界和安全區域，建立起風險值計算模型。通過列出從物理層到用戶層之間結構所存在的薄弱點，分析其可能為資產所帶來的影響，以及這些薄弱點對系統薄弱環節外部可能產生的威脅程度大小，進而通過安全風險評估專家進行評判，得到系統的風險值及排序。在不同的安全層次中，每個薄弱環節都存在著不同程度的潛在威脅。若是采用多嵌套的計算方法，能夠幫助計算出特定安全區域下的資產在這些薄弱環節中的風險值。

2結語

網絡安全等級保護評估范文2

關鍵詞:電子政務信息安全

0引言

隨著電子政務不斷推進，社會各階層對電子政務的依賴程度越來越高，信息安全的重要性日益突出，在電子政務的信息安全管理問題中，基于現實特點的電子政務信息安全體系設計和風險評估[1]模型是突出的熱點和難點問題。本文試圖就這兩個問題給出分析和建議。

1電子政務信息安全的總體要求

隨著電子政務應用的不斷深入，信息安全問題日益凸顯，為了高效安全的進行電子政務，迫切需要搞好信息安全保障工作。電子政務系統采取的網絡安全措施[2][3]不僅要保證業務與辦公系統和網絡的穩定運行，另一方面要保護運行在內部網上的敏感數據與信息的安全，因此應充分保證以下幾點：

1.1基礎設施的可用性：運行于內部專網的各主機、數據庫、應用服務器系統的安全運行十分關鍵，網絡安全體系必須保證這些系統不會遭受來自網絡的非法訪問、惡意入侵和破壞。

1.2數據機密性：對于內部網絡，保密數據的泄密將直接帶來政府機構以及國家利益的損失。網絡安全系統應保證內網機密信息在存儲與傳輸時的保密性。

1.3網絡域的可控性:電子政務的網絡應該處于嚴格的控制之下，只有經過認證的設備可以訪問網絡，并且能明確地限定其訪問范圍，這對于電子政務的網絡安全十分重要。

1.4數據備份與容災:任何的安全措施都無法保證數據萬無一失，硬件故障、自然災害以及未知病毒的感染都有可能導致政府重要數據的丟失。因此，在電子政務安全體系中必須包括數據的容災與備份，并且最好是異地備份。

2電子政務信息安全體系模型設計

完整的電子政務安全保障體系從技術層面上來講，必須建立在一個強大的技術支撐平臺之上，同時具有完備的安全管理機制，并針對物理安全，數據存儲安全，數據傳輸安全和應用安全制定完善的安全策略

在技術支撐平臺方面，核心是要解決好權限控制問題。為了解決授權訪問的問題，通常是將基于公鑰證書（PKC）的PKI（PublicKeyInfrastructure）與基于屬性證書（AC）的PMI（PrivilegeManagementInfrastructure)結合起來進行安全性設計，然而由于一個終端用戶可以有許多權限，許多用戶也可能有相同的權限集，這些權限都必須寫入屬性證書的屬性中，這樣就增加了屬性證書的復雜性和存儲空間，從而也增加了屬性證書的頒發和驗證的復雜度。為了解決這個問題，作者建議根據X.509標準建立基于角色PMI的電子政務安全模型。該模型由客戶端、驗證服務器、應用服務器、資源數據庫和LDAP目錄服務器等實體組成，在該模型中：

2.1終端用戶：向驗證服務器發送請求和證書，并與服務器雙向驗證。

2.2驗證服務器：由身份認證模塊和授權驗證模塊組成提供身份認證和訪問控制，是安全模型的關鍵部分。

2.3應用服務器：與資源數據庫連接，根據驗證通過的用戶請求，對資源數據庫的數據進行處理，并把處理結果通過驗證服務器返回給用戶以響應用戶請求。

2.4LDAP目錄服務器：該模型中采用兩個LDAP目錄服務器，一個存放公鑰證書（PKC）和公鑰證書吊銷列表（CRL），另一個LDAP目錄服務器存放角色指派和角色規范屬性證書以及屬性吊銷列表ACRL。

安全管理策略也是電子政務安全體系的重要組成部分。安全的核心實際上是管理，安全技術實際上只是實現管理的一種手段，再好的技術手段都必須配合合理的制度才能發揮作用。需要制訂的制度包括安全行政管理和安全技術管理。安全行政管理應包括組織機構和責任制度等的制定和落實；安全技術管理的內容包括對硬件實體和軟件系統、密鑰的管理。

3電子政務信息安全管理體系中的風險評估

電子政務信息安全等級保護是根據電子政務系統在國家安全、經濟安全、社會穩定和保護公共利益等方面的重要程度。等級保護工作的要點是對電子政務系統進行風險分析，構建電子政務系統的風險因素集。

3.1信息系統的安全定級信息系統的安全等級從低到高依次包括自主保護級、指導保護級、監督保護級、強制保護級、專控保護級五個安全等級。對電子政務的五個安全等級定義，結合系統面臨的風險、系統特定安全保護要求和成本開銷等因素，采取相應的安全保護措施以保障信息和信息系統的安全。

3.2采用全面的風險評估辦法風險評估具有不同的方法。在ISO/IECTR13335-3《信息技術IT安全管理指南:IT安全管理技術》中描述了風險評估方法的例子，其他文獻，例如NISTSP800-30、AS/NZS4360等也介紹了風險評估的步驟及方法，另外，一些組織還提出了自己的風險評估工具，例如OCTAVE、CRAMM等。

電子政務信息安全建設中采用的風險評估方法可以參考ISO17799、OCTAVE、CSE、《信息安全風險評估指南》等標準和指南，從資產評估、威脅評估、脆弱性評估、安全措施有效性評估四個方面建立風險評估模型。其中，資產的評估主要是對資產進行相對估價，其估價準則依賴于對其影響的分析，主要從保密性、完整性、可用性三方面進行影響分析;威脅評估是對資產所受威脅發生可能性的評估，主要從威脅的能力和動機兩個方面進行分析;脆弱性評估是對資產脆弱程度的評估，主要從脆弱性被利用的難易程度、被成功利用后的嚴重性兩方面進行分析;安全措施有效性評估是對保障措施的有效性進行的評估活動，主要對安全措施防范威脅、減少脆弱性的有效狀況進行分析;安全風險評估就是通過綜合分析評估后的資產信息、威脅信息、脆弱性信息、安全措施信息，最終生成風險信息。

在確定風險評估方法后，還應確定接受風險的準則，識別可接受的風險級別。

4結語

電子政務與傳統政務相比有顯著區別，包括:辦公手段不同，信息資源的數字化和信息交換的網絡化是電子政務與傳統政務的最顯著區別;行政業務流程不同，實現行政業務流程的集約化、標準化和高效化是電子政務的核心;與公眾溝通方式不同，直接與公眾溝通是實施電子政務的目的之一，也是與傳統政務的重要區別。在電子政務的信息安全管理中，要抓住其特點，從技術、管理、策略角度設計完整的信息安全模型并通過科學量化的風險評估方法識別風險和制定風險應急預案，這樣才能達到全方位實施信息安全管理的目的。

參考文獻：

[1]范紅，馮國登，吳亞非.信息安全風險評估方法與應用.清華大學出版社.2006.

網絡安全等級保護評估范文3

【 關鍵詞 】 中小商業銀行；等級保護；信息科技風險管理；信息安全體系框架

1 中小銀行等級保護咨詢服務的背景

隨著信息技術的不斷進步與發展，信息系統的安全建設顯得尤為重要。2012年6月29日人民銀行下發了“銀發【2012】163號”文件，為進一步落實《信息安全等級保護管理辦法》（公通字〔2007〕 43號文印發），加強對銀行業信息安全等級保護工作的指導，結合近年來銀行業信息安全等級保護工作開展情況，人民銀行給出了銀行業金融機構信息系統安全等級保護定級的指導意見，至此，正式的拉開了中小商業銀行等級保護建設和整改工作的序幕。

2 等級保護咨詢服務的項目目標

國內中小銀行在信息安全的發展程度，大部分處于自我認知的階段，一邊忙于業務發展的保障需要，一邊又要應對上級監管部門的監督檢查，對于安全建設來說，大部分沒有納入到戰略的層面來考慮。因此，借助于等級保護咨詢服務來建立的這樣一套信息安全體系，必須同時滿足公安部等級保護基本要求、人民銀行等級保護的測評要求和銀監會關于IT風險管理的要求。這些目標相輔相承，互為補充。只有將通用的要求、標準、規范落實到自己IT風險管理體系的各方面，建立適合自己業務特點與發展需求的信息安全體系，才能達到有效管理風險、進行IT治理的目的，并最終通過等級測評。

3 等級保護咨詢服務的總體思路

中小銀行在咨詢服務項目需要主動地全面的考量自身情況，綜合分析人民銀行、銀監會和等級保護的要求，在現有的安全工作基礎之上，建立統一的信息安全體系，同時滿足這些主要的監管要求。這樣面臨檢查時，只要客觀反映出當前狀態就可以，有效降低臨時的材料組織工作。

同時滿足三方面監管要求的信息安全體系，這個信息安全體系將以公安部的等級保護《基本要求》、人民銀行的《等保測評指南》和銀監會《管理指引》為主要依據來搭建起框架，以各專項監管指引為各個領域的具體工作指導，以ISO27000為代表的國內外信息安全標準為補充。

4 等級保護咨詢服務的內容

等級保護的咨詢服務具體實施過程可參考公安部下發的《信息系統安全等級保護實施指南》，“指南”中將等級保護工作分為了定級備案、規劃設計、建設整改和等級測評四大過程。

4.1 系統定級

系統定級階段需要完成的工作。

1） 等級保護的導入培訓：在進行咨詢服務之前，需要對銀行相關科室信息人員進行等級保護的內容培訓。只要講清楚等保是什么，需要各級人員配合的工作點是什么就可以了。

2） 系統業務安全域劃分：這個階段需要進行信息搜集和資產調研。明確業務系統的范圍、邊界、功能、以及重要性等。

3） 編寫系統定級報告和備案表：定級報告和備案表都是按照公安部等保辦公室的通用模版來編寫的，內容包含了系統功能描述、網絡拓撲、定級的理由和依據等。

4） 召開專家評審會、獲得備案證明：召開專家評審會并獲得備案證明可視為一個里程碑式的階段性成果，因為定級和備案是等級保護工作開展的前提，如果級別定錯了，或者專家有不同的評審意見，則后續的設計方案、整改方案均無法執行。同時，對于銀行信息科技部門的領導而言，服務工作做的怎么樣無法量化，但是備案證書是看的見，摸的著的，如果能在評審會現場當場頒發，則意義更加重大。

4.2 規劃與設計

規劃與設計階段的主要工作就是進行等級差距分析和風險評估。

1） 技術層面可直接參考人民銀行關于金融行業的“測評指南”來完成，可操作性較強?？煞治锢?、網絡、主機、應用、數據五個層面進行差距評估，同時對網絡流量和網絡協議進行簡單的分析，通過漏洞掃描設備、配置核查設備、滲透工具等進行風險分析，輸出風險評估報告和技術層面的差距評估報告。

2） 管理層面上，等保的管理要求相對薄弱，集中體現在運維管理等方面，如果要達到人民銀行和銀監會的標準，還有很多需要加強和補充的地方，可以對現有的制度文檔進行一個簡單的梳理，用最短的時間完成等保的管理制度調研。

4.3 實施與整改

實施與整改階段需要按照規劃階段的設計方案進行實施，以滿足等級保護安全體系的建設要求。

1） 組織體系整改：安全管理組織應形成由主管領導牽頭的信息安全領導小組、具體信息安全職能部門負責日常工作的組織模式?？蓞⒖家殉闪⒌摹兜缺ｎI導小組》設立模式，但應具體到管理員崗位。

2） 管理體系整改：按照等級保護的要求補充或重新制定管理制度，根據咨詢方提供的制度模版，銀行可根據自身的實際業務需求進行修改，并經內部討論修訂后，下文試運行。

3） 技術體系整改：技術體系整改應從三個層面進行考慮。

制定技術規范：包括windows、AIX、Informix、tuxedo、cisco等主流設備的安全配置規范；可考慮聘請專業安全公司進行咨詢服務，制定適合銀行長期發展的安全策略和技術安全規范。

安全配置加固：根據已制定的技術規范進行主機、服務器、網絡設備、安全設備的全面的安全加固。

安全設備采購：在安全技術體系的具體實現過程中，需要落實安全技術詳細設計方案中的具體技術要求，將先進的信息安全技術落實到具體安全產品中，形成合理、有效、可靠的安全防護體系。

4.4 等級測評

根據人民銀行的《金融行業信息安全等級保護測評服務安全指引》選擇具有資質的第三方測評機構進行等級測評，一般當地公安機關會指定2-3家評估中心進行等級測評，如果銀行自行聯系省外的測評機構，可能需要事先跟當地省公安廳取得聯系，確保該測評機構的測評報告在本省是受到認可的。

實際上做了咨詢服務之后，等級測評的工作就變的非常簡單，因為咨詢方會在規劃與設計階段就會與測評中心取得聯系，確保其設計方案和整改實施方案得到專家和測評中心的認可，保障其順利實施。所以在等級測評的時候，測評師從進場到出具評測報告大概只需一周左右的時間。

5 結束語

關于金融業等級保護的建設工作，是今后兩年的一個重點工作，尤其是中小銀行可借助合規要求，由信息科技部門立項，向行內申請更多的資源來完善自身的安全體系建設工作。

參考文獻

[1] 武冬立.銀行業安全防范建設指南.長安出版社，2008-11-1.

[2]李宗怡. 中國銀行安全網構建基礎研究.經濟管理出版社，2006-6-1.

[3] 劉志友.商業銀行安全問題研究.中國金融出版社， 2010-3-1.

[4] 曹子建，趙宇峰，容曉峰.網絡入侵檢測與防火墻聯動平臺設計[J].信息網絡安全，2012，（09）：12-14.

[5] 傅慧.動態包過濾防火墻規則優化研究[J].信息網絡安全，2012，（12）：12-14.

網絡安全等級保護評估范文4

【 關鍵詞 】 等級保護；煙草企業；信息安全體系

1 等級保護思想

等級保護思想自20世紀80年代在美國產生以來，對信息安全的研究和應用產生著深遠的影響。以ITSEC、TCSEC、CC等為代表的一系列安全評估準則相繼出臺，被越來越多的國家和行業所引入。我國于20世紀80年代末開始研究信息系統安全防護問題，1994年國務院頒布《中華人民共和國計算機信息系統安全保護條例》（國務院147號令），明確規定計算機信息系統實行安全等級保護。至此，等級保護思想開始在我國逐漸盛行。

我國的安全等級保護主要對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護。其核心思想就是對信息系統分等級、按標準分類指導，分階段實施建設、管理和監督，以保障信息系統安全正常運行和信息安全。信息系統的安全等級保護由低到高劃分為五級，通過分級分類，以相應的技術和管理為支撐，實現不同等級的信息安全防護。

2 煙草行業引入等級保護思想的意義

煙草行業高度重視等級保護工作，實施信息安全等級保護，能有效地提高煙草行業信息安全和信息系統安全建設的整體水平。

2.1 開展安全等級結構化安全設計

安全等級保護在注重分級的同時，也強調分類、分區域防護。煙草行業雖強調分類、分區域，但存在一定局域性。同時，由于缺少分級準則，差異化保護尚未深化。引入等級保護思想，有助于深化結構化安全設計理念，通過細分類型、劃分區域，全面梳理安全風險，明晰防護重點，構建統一的安全體系架構。

2.2 注重全生命周期安全管理

等級保護工作遵循“自主保護、重點保護、同步建設、動態調整”四大基本原則，其“同步建設、動態調整”原則充分體現了全生命周期管理的思想。煙草行業在全建設“同步”思想方面體現不深，未在系統的建設初期將安全需求納入系統的整體階段。引入新思想，明確新建系統安全保護要求，提升安全管理效率。

3 等級保護在煙草行業的實施路徑

信息安全等級保護工作的內容主要涉及系統定級備案、等級保護建設、風險評估與等級安全測評、安全建設整改。煙草行業推行等級保護工作，其實施路徑主要有幾條。

3.1 信息系統安全定級

主要包括信息系統識別、信息系統劃分、安全等級確定。其中，原有信息系統根據業務信息安全重要性、系統服務安全重要性等方面綜合判定，合理定級。

3.2 等級保護安全測評

在等級保護環境下對信息系統重要資產進行風險評估，通過等保測評，發現與等級保護技術、管理要求的不符合項。

3.3 制訂等級保護實施方案

依據安全建設總體方案、等級保護不符合項，全面梳理存在問題，分類形成各層級問題清單；并合理評估安全建設整改的難易度，全面有效制訂等級保護方案，明確安全整改目標。

3.4 開展安全整改與評估

根據等級保護實施方案開展建設，具體主要包括安全域劃分、產品采購與部署、安全策略實施、安全整改加固以及等級保護管理建設等。并不定期開展安全評估，不斷鞏固信息安全與信息系統安全。

4 基于等級保護的煙草企業信息安全體系建設

根據等級保護工作的實施路徑分析得出，等級保護與信息安全體系存在許多共性，有較好的融合度。因此，探索基于等級保護的行業信息安全體系具有深刻意義。

信息安全體系的核心是策略，由管理、技術、運維三部分組成。在等級保護思想的融合下，信息安全體系建設更加注重“分級保護、分類設計、分階段實施”。根據等級保護思想，煙草行業信息安全體系概述有幾點。

4.1 分級保護

煙草行業的信息安全體系以信息系統等級為落腳點，實行系統關聯分級，具體分為人員分級、操作權限分級、應用對象分級。首先確定使用對象的范圍。對人員實行不同分級，即人員、可信人員、不可信人員等；其次，根據人員分級，劃分操作權限，即高權限、特殊權限、中權限、低權限等；最后根據業務信息安全等級和應用服務等級，明確應用系統等級，即一至五級安全等級。通過“人員—操作—應用”的關聯鏈，制訂分級準則，從而達到分級保護的目的。

4.2 分類設計

信息安全體系分類設計，主要涉及不同類型、不同區域、不同邊界三方面的結構化設計。

4.2.1 類型設計

根據安全等級保護要求以及安全體系特點，分為技術、管理和運維三大類型，并進行類型策略設計。其中技術要求分為物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復等四部分，管理要求分為安全管理制度、安全管理機構、人員安全管理、系統建設管理等四部分。運維要求分為系統運維管理、系統運維評估等兩部分。

（1）技術策略注重系統自身安全防護功能以及系統遭損害后的恢復功能兩大層面。如主機管理，其中主機管理、身份鑒別、訪問控制、安全審計、入侵方法等標準要按級體現；而不同的策略同樣也要根據兩大層面按需設計。

（2）管理策略注重管理范圍全面性、資源配置到位性和運行機制順暢性。諸如安全管理機構是否明確了機構組成，崗位設置是否合理、人員配置是否到位、溝通運行機制是否順暢等。

（3）運維策略主要體現運維流程的清晰度、運維監督考核的執行度。諸如系統運維管理是否明確運維流程及運維監督考核指標，諸如重大事件、巡檢管理、故障管理等。通過分類設計達到結構化層級要求。

4.2.2 區域設計

區域設計主要指安全域。安全域從不同角度可以進行劃分，主要分為橫向劃分和縱向劃分，橫向劃分按照業務分類將系統劃分為各個不同的安全域，如硬件系統部分、軟件系統部分等；縱向在各業務系統安全域內部，綜合考慮其所處位置或連接以及面臨威脅，將它們劃分為計算域、用戶域和網絡域。

煙草行業根據體系建設需要，將采用多種安全域劃分方法相結合的方式進行區域劃分。

（1）以系統功能和服務對象劃分煙草重要信息系統安全域和一般應用系統安全域。采取嚴格的訪問控制措施，防止重要信息系統數據被其它業務系統頻繁訪問。

（2）以網絡區域劃分煙草行業信息系統的數據存儲區、應用服務區、管理中心、信息系統內網、DMZ區等不同的安全域。數據存儲區的安全保護級別要高于應用服務區，DMZ區的安全級別要低于其它所有安全域。

4.2.3 邊界設計

要清晰系統、網絡、應用等邊界，通過區域之間劃分，明晰邊界安全防護措施。邊界設計的理念基于區域設計，在區域劃分成不同單元的基礎上，實行最小安全邊界防護。邊界防護本著“知所必需、用所必需、共享必需、公開必需、互聯互通必需”的信息系統安全控制管理原則實施。

4.3 分階段實施

煙草信息安全體系建設要充分體現全生命周期管理思想，從應用系統需求開始，分階段推進體系建設。

4.3.1 明確安全需求

為保證信息安全體系建設能順利開展，行業新建系統必須在規劃和設計階段，確定系統安全等級，明確安全需求，并將應用系統的安全需求納入到項目規劃、設計、實施和驗證，以避免信息系統后期反復的整改。

4.3.2 加強安全建設

要在系統建設過程中，根據安全等級保護要求，以類型、區域和邊界的設計為著力點，全面加強安全環節的監督，及時跟蹤安全功能的“盲點”，使在系統建設中充分體現安全總體設計的要求，穩步推進安全體系穩步開展。

4.3.3 健全安全運維機制

自系統進入運維期后，要建立健全安全運維機制。梳理運維工作事項，理順運維業務流程，并通過制訂運維規范、運維質量評價標準、運維考核標準等，規范安全運維管理，提高安全運維執行力，以確保系統符合安全等級要求。

4.3.4 開展全面安全測評

在安全建設階段，對行業現狀要全面診斷評估，尤其是對已定級的信息系統，加強安全測評，形成安全整改方案，并結合安全體系設計框架，按階段、分步驟落實，注重整改質量與效率，降低安全風險。

4.3.5 落實檢查與評估

檢查評估必須以安全等保要求為檢查內容，充分借助第三方力量，準確評估行業安全管理水平，并及時調整安全保護等級，不斷促進行業信息安全工作上臺階。

5 結束語

信息安全體系建設作為一項長期的系統工程，等級保護思想的引入，以其保護理念的先進性和實施路徑的可行性，為信息安全體系建設提供了新的思路和方法。煙草行業將在信息安全等級保護工作中切實提高煙草業務核心系統的信息安全，保障行業系統的安全、穩定、優質運行，更好地服務國家和社會。

參考文獻

[1] 公安部等.信息安全等級保護管理辦法[Z]. 2007-06-22.

[2] 國家煙草專賣局.煙草行業信息安全保障體系建設指南[Z].2008-04-25.

網絡安全等級保護評估范文5

（中國電子科技集團公司第二十研究所，陜西 西安 710068）

【摘　要】隨著信息化水平的不斷提高，各單位對其依賴程度前所未有的加大，然而隨著各種攻擊技術的發展，沒有防御的系統則顯得不堪一擊。針對此，每個單位信息系統的安全運行都相應的加大了信息安全的關注與投入。鑒于此，研究不同等級的信息系統所需的安全措施就變得很有意義。主要說明了信息系統的不同等級及其安全防護水平。

關鍵詞 信息化；風險；等級保護；安全

1　信息化發展背景

1.1　全球背景

信息化是充分利用信息技術，開發利用信息資源，促進信息交流和知識共享，提高經濟增長質量，推動經濟社會發展轉型的歷史進程。隨著信息技術發展，信息化對經濟社會發展的影響更加深刻。信息資源日益成為重要生產要素、無形資產和社會財富。與此同時，信息安全的重要性也與日俱增，成為各國面臨的共同挑戰。

1.2　我國目標

我國信息化發展戰略概括為：以信息化促進工業化，以工業化帶動信息化，走出中國特色的信息化道路。信息化是當今世界發展的大趨勢，是推動經濟社會變革的重要力量。到2020年，我國信息化發展的戰略目標是：綜合信息基礎設施基本普及，信息技術自主創新能力顯著增強，信息產業結構全面優化，國家信息安全保障水平大幅提高，國民經濟和社會信息化取得明顯成效，新型工業化發展模式初步確立，國家信息化發展的制度環境和政策體系基本完善，國民信息技術應用能力顯著提高，為邁向信息社會奠定堅實基礎。

2　等級保護標準及其具體范圍

信息安全等級保護是指對國家安全、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。

2.1　美國可信計算機安全評價標準

美國可信計算機安全評價標準(Trusted Computer System Evaluation Criteria，TCSEC)，該標準是世界范圍內計算機系統安全評估的第一個正式標準，具有劃時代的意義。該準則于1970年由美國國防科學委員會提出，并于1985年12月由美國國防部公布。TCSEC最初只是軍用標準，后來延至民用領域。TCSEC將計算機系統的安全劃分為4個等級、7個級別。

D類安全等級：D類安全等級只包括D1一個級別。D1的安全等級最低。

C類安全等級：該類安全等級能夠提供審計的保護，并為用戶的行動和責任提供審計能力。C類安全等級可劃分為C1和C2兩類。

B類安全等級：B類安全等級可分為B1、B2和B3三類。B類系統具有強制性保護功能。

A類安全等級：A系統的安全級別最高。目前，A類安全等級只包含A1一個安全類別。A1系統的顯著特征是，系統的設計者必須按照一個正式的設計規范來分析系統。

2.2　歐洲的安全評價標準

歐洲的安全評價標準ITSEC（Information Technology Security Evaluation Criteria）是英國、法國、德國和荷蘭制定的IT安全評估準則，是歐洲多國安全評價方法的綜合產物，應用領域為軍隊、政府和商業。該標準將安全概念分為功能與評估兩部分。功能準則從F1～F10共分10級。1～5級對應于TCSEC的D到A。F6至F10級分別對應數據和程序的完整性、系統的可用性、數據通信的完整性、數據通信的保密性以及機密性和完整性的網絡安全。

與TCSEC不同，它并不把保密措施直接與計算機功能相聯系，而是只敘述技術安全的要求，把保密作為安全增強功能。另外，TCSEC把保密作為安全的重點，而ITSEC則把完整性、可用性與保密性作為同等重要的因素。ITSEC定義了從E0級(不滿足品質)到E6級(形式化驗證)的7個安全等級，對于每個系統，安全功能可分別定義。

2.3　我國計算機信息系統安全保護等級劃分準則

我國根據世界范圍內信息安全及計算機系統安全評估等技術的發展，并結合我國自身情況，制定并頒發了我國計算機信息系統安全保護等級劃分準則（GB 17859-1999），在該準則中將信息系統分為下面五個等級：

第一級：用戶自主保護級；

第二級：系統審計保護級；

第三級：安全標記保護級；

第四級：結構化保護級；

第五級：訪問驗證保護級。

3　風險分析和安全保護措施

3.1　漏洞、威脅、風險

在實際中，計算機信息系統在確定保護等級之前，首先要對該計算機信息系統進行風險分析。風險是構成安全基礎的基本觀念，風險是丟失需要保護的資產的可能性。如果沒有風險就不需要安全。威脅是可能破壞信息系統環境安全的行動或事件。漏洞是各種攻擊可能的途徑。風險是威脅和漏洞的綜合結果。沒有漏洞的威脅沒有風險，沒有威脅的漏洞也沒有風險。識別風險除了識別漏洞和威脅之外，還應考慮已有的策略和預防措施。識別漏洞應尋找系統和信息的所有入口及分析如何通過這些入口訪問系統和信息。識別威脅是對目標、動機及事件的識別。一旦對漏洞、威脅以及預防措施進行了識別，就可確定該計算機信息系統的風險。綜合這些信息，開發相應的風險管理項目。風險永遠不可能完全去除，風險必須管理。

風險分析是對需要保護的資產及其受到的潛在的安全威脅的鑒別過程。風險是威脅和漏洞的組合。正確的風險分析是保證計算機信息系統的網絡環境及其信息安全及其重要的一步。風險分析始于對需要保護的資產（物理資源、知識資源、時間資源、信譽資源等）的鑒別以及對資產威脅的潛在攻擊源的分析。采用等級保護策略可以有效的降低各種資產受危害的潛在代價以及由于采取安全措施付出的操作代價。一個性能良好的安全系統結構和安全系統平臺，可以以低的安全代價換取高的安全強度。

3.2　一種保護重要秘密安全的方法

在具體實施過程中，根據計算機信息系統不同的安全等級要求，制定不同的等級保護策略，用最小的代價來保證計算機信息系統安全。在一些重要情況下，為了確保安全與萬無一失，都必須由兩人或多人同時參與才能生效，這時就需要將秘密分給多人掌管，并且必須有一定數目的掌管秘密的相關人員同時到場才能恢復這一秘密。針對這種特別重大和及其敏感的信息可采用秘密分割門限方案來確保安全。

設秘密m被分成n個部分的信息，每一部分信息稱為一個子密鑰，由一個參與者持有，使得：

①由k(k<n)個或多于k個參與者所持有的部分信息可重構該消息m；

②由少于k個參與者所持有的部分信息無法重構消息m；

稱這種方案為（k，n）秘密分割門限方案，k稱為方案的門限值。

如果一個參與者或一組未經授權的參與者在猜測秘密m時，并不比局外人猜測該秘密m時有優勢。

③由少于k個參與者所持有的部分信息得不到秘密m的任何信息。

則稱這個方案是完整的，即（k，n）秘密分割門限方案是完整的。

其中最具代表性和廣泛應用的門限方案是基于中國剩余定理的門限方案。

通過這種秘密分割的方法就能達到秘密多人共享，多人共同掌管的局面，確保該信息安全。這種方案也可以用于特別的（下轉第73頁）（上接第78頁）重要部位和場所的出入控制等方面。

3.3　具體措施

針對企業信息系統，應當健全針對各單位或業務部門在日常工作中產生和接觸的信息的敏感程度不同，區分等級，分門別類，堅持積極防御、綜合防范，探索和把握信息化與信息安全的內在規律，主動應對信息安全挑戰，力爭做到辦公方便與安全保密同時兼顧，實現信息化與信息安全協調發展，保證企業信息安全。

加強信息安全風險評估工作。建設和完善信息安全監控體系，提高對網絡安全事件應對和防范能力，防止有害信息傳播。高度重視信息安全應急處置工作，健全完善信息安全應急指揮和安全通報制度，不斷完善信息安全應急處置預案。從實際出發，促進資源共享，重視災難備份建設，增強信息基礎設施和重要信息系統的抗毀能力和災難恢復能力。

4　結束語

隨著信息安全事件的頻繁曝光，信息安全越來越受到人們的重視。為此，越來越多的工作人員投身到安全領域的研究之中。然而當今的現狀卻是各種各樣的不安全事件層出不窮，各類攻擊及其變種也在不斷發展。所有的這些就要求我們必須更加努力地投入到工作中去。不僅要針對一些已經出現且危害較大的一些安全問題提出相應的解決方案，還應該站在安全領域的前沿，積極地投身去防御各種可能會引發安全問題的漏洞及脆弱點。只有這樣我們才能更好地保障人們放心的使用信息技術的發展帶來的便捷。

參考文獻

［1］胡道元,閔京華.網絡安全[M].清華大學出版社,2007.

［2］baike.baidu.com/view/488431.htm.TCSEC全稱與安全等級分類[OL].

［3］baike.baidu.com/view/488448.htm.ITSEC[OL].

［4］楊波.現代秘密學[M].2版.清華大學出版社,2007.

［5］baike.baidu.com/view/21730.htm#sub5031999.CC國際通用標準[OL].

網絡安全等級保護評估范文6

關鍵詞：云安全模型；信息系統；安全等級；檢測保護

中圖分類號：TP311 文獻標識碼：A 文章編號：1009-3044（2016）19-0052-02

云計算作為一種易擴展而又具有動態性，且選用高速互聯網處理數據信息的過程。伴隨當前云計算技術水平的日益提升，與之結伴的云計算安全問題日漸凸顯，已然成為各相關部門及廠商所關注的重點內容。在云計算框架內，虛擬化乃是網絡環境主要的出現形式，以往開展測評工作所需要運用的網絡設備或物理服務器，在當前云計算環境下，存在諸多差異。當將云安全技術退出之后，設別及查殺病毒，已經并不僅僅依靠本地的病毒庫，而是利用更為廣泛的網絡服務體系，分析并處理所出現的各種病毒隱患。

1 云計算信息系統安全特性概述

與計算信息系統相比于傳統形式的互聯網信息系統，其利用服務端處理所有數據，并將其儲存起來，而對于終端用戶而言，則利用網絡對所需要的而各種信息和服務及時獲取，無需基于本地配置下，便可對數據實施儲存及處理工作。依據為網絡為基礎所設置的對應網絡安全防護設施，在系統服務端，可將安全審計系統和身份兼備進行統一設置，從而保證諸多系統所可能發生的安全問題，均可及時且有效的解決，但由于不斷更新的服務模式，又會帶來諸多新的安全問題，比如數據泄露、不安全的服務接口及濫用云計算等。

2 構建管理中心及云安全服務模型

構建云安全服務模型：對于現實當中已經出現的各種云產品而言，在諸如服務模型、資源位置及部署模型等各方面而言，其所展現的模式及形態各不相同，所形成的安全控制范圍存在差異，安全風險特征也各不相同。因此，需基于安全控制方面，對云計算模型完成創建，然后描述各屬性組合所具有的云服務架構，進行為云服務架至安全架構合理映射給予保證，進而為設備的風險識別及安全控制提供科學依據。

3 基于云安全模型的信息安全等級測評方法

基于云安全信息安全有關保護測評的方法，就是依據云安全中心模型以及云安全服務模型，結合用戶在云安全方面所存在的各種需求，首先，促使安全模型始終處于整個安全等級保護體系作用下的各個位置上。對于安全模型而言，其一段與等級保護技術相連接，而另一端則與則與等級保護相應管理要求相連接。

依據云安全信息中心相應建模狀況，全面分析云安全模型框架下的支撐安全及核心技術，最終取得企業在云安全領域范圍內的信息安全等級測評模型，以模型為參照，開展后續的檢測工作。

3.1 基于等級測評云安全模型下控制項

經過上述分析可知，在云安全等級保護模式框架內嵌套云安全模型，進而開展與云安全存在相關性的信息安全等級評價，另外，分析基于安全模型下相關控制項。然后查看授權狀況及云認證，并測評是否存在有諸如敏感文件授權、程序授權及登陸認證等狀況。最后依據訪問控制模型的差異，對訪問控制的目標進行選擇，即依據實際情況選擇為角色型訪問、自主性訪問或強制性訪問，然后運用切合實際的應對方法。為了對網絡訪問資源提供保障，可對開展分配及控制操作，需建立更為可靠的解決策略及執行辦法。當所運用的方式可靠而又統一，才能為安全策略的自動執行提供保障。針對網絡數據的加密狀況進行測量時，需以靜態或動態的方式，保護標準的服務類型及加密功能。針對數據的恢復及備份情況進行探測時，需檢查是否是安全的云備份，另外還需查看密碼鑰匙的管理狀況，磁帶有無加密以及數據實際銷毀狀況，而在所開展的各項檢查中，重點為供應商所提供的數據備份。還需對是否可控制管理用戶的身份進行查看，能否對用戶角色具體的訪問內容進行管理。另外，對用戶的審計日志及安全服務進行查看，即告警管理與維護、主機的維護以及網絡設備的監控管理等?？刂祈椃治龇秶海?）云認證和授權。云認證與授權重點乃是查看是否有敏感文件授權、程序運行授權、服務認證及登錄認證等，（2）云訪問控制。依據所建立的相應訪問控制模型，以此來對其是否為角色型訪問控制、自主訪問控制策略及強制訪問控制策略予以確定，然后家用對應方法進行分析。（3）云安全邊界與隔離。知曉系統實施安全隔離的具體機制，安全區域的劃分方法以及硬件安全的相關技術支持等。（4）云安全存儲?？蓪⑺袛祿Υ娉杉用芨袷剑鴮τ谟脩舳?，需分離出數據。（5）惡意代碼防范。首先需了解惡意代碼是否存在，并采取與之對應的防范舉措。（6）云安全管理。需對全面軟件資產、網絡及物理/虛擬硬件進行管理，管理當中相應測評要求需一致于等級保護管理要求。（7）網絡安全傳輸。需對網絡安全傳輸選用加密方式與否予以了解。（8）網絡配置及安全策略。如若想要獲取更為有效的訪問控制及資源，需對安全策略采取一種更為可靠且統一的方式執行。解決及定義。利用此種方式促進安全策略自動執行的實現。

3.2 等級測評云安全模型風險性分析

按照有關等級保護的具體要求，采用風險分析的相關方法，在分析信息系統過程中，需對如下內容給予重視。（1）訪問控制、授權及云身份認證。對于云安全而言，其不僅對于訪問控制及授權具有十分重要的作用，對于用戶身份的認證同樣重要，但其實際效果的發揮，需將現實實施狀況作為依據。（2）設置云安全邊界。針對基于云安全內部的具體的網絡設備而言，其需要利用諸如防火墻的措施，實施更為有效的安全防護舉措，但對于外部的云用戶而言，其則需采用虛擬技術，此技術自身便存在有安全風險，因此，必須對其實施有效而全面的安全隔離舉措。（3）數據信息備份及云安全儲存。通常情況下，云供應商所運用的數據備份方式，乃是最為有效且更具安全性的保護模式，盡管供應商在實施數據備份方面已經十分安全，但通常情況下依然會發生相關數據的丟失，因此，在條件允許的情況下，公司需選用云技術，對全部數據予以共享，并對其進行備份，或在還會發生數據徹底丟失的情況下，啟動訴訟程序，進而從中獲取有效的賠償。在云計算過程中，通常發生由于數據的交互放大，而造成數據出現泄漏或丟失狀況，如若出現安全時間，且用戶數據出現丟失狀況，此時，系統需將安全時間及時、快速的上報于用戶，避免更大范圍的數據丟失（4）賬戶與服務劫持。攻擊者從云服務用戶中獲取賬號，造成云服務客戶端產生相應安全風險。（5）不安全的API及接口。第三方插件存在安全風險，或較差的接口質量。（6）安全事件通報。如若發生安全事件，導致用戶數據出現安全風險，整個系統就會將數學信息及時上報，防止出現較大程度的損失。

4 結語

伴隨當今云計算技術的日益發展和完善，云計算信息系統今后必然成為整個信息化建設的重要構成。本文基于云安全等級保護檢測，對云計算信息系統所具有的安全特性進行簡要分析，并探討了云安全服務模型及構建管理中心，以此為依據提出切合實際需要的云安全模型的信息安全等級檢測方法。

參考文獻：

[1] 成瑾， 劉佳， 方祿忠. 面向電信運營商云計算平臺的安全檢測評估服務體系研究[J]. Computer Science＼s&＼sapplication， 2015， 05（4）：83-91.