網絡安全等級保護規定范例6篇

前言：中文期刊網精心挑選了網絡安全等級保護規定范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

網絡安全等級保護規定范文1

【關鍵詞】等級保護；虛擬專網；VPN

1.引言

隨著因特網技術應用的普及，以及政府、企業和各部門及其分支結構網絡建設和安全互聯互通需求的不斷增長，VPN技術為企業提供了一種低成本的組網方式。同時，我國現行的“計算機安全等級保護”也為企業在建設信息系統時提供了安全整體設計思路和標準。如何充分利用VPN技術和相關產品，為企業提供符合安全等級保護要求、性價比高的網絡安全總體解決方案，是當前企業信息系統設計中面臨的挑戰。

2.信息安全管理體系發展軌跡

對于信息安全管理問題，在上世紀90年代初引起世界主要發達國家的注意，并投入大量的資金和人力進行分析和研究。英國分別于1995年和1998年出版BS7799標準的第一部分《信息安全管理實施細則》和第二部分《信息安全管理體系規范》，規定信息安全管理體系與控制要求和實施規則，其目的是作為確定工商業信息系統在大多數情況所需控制范圍的唯一參考基準，是一個全面信息安全管理體系評估的基礎和正式認證方案的根據。國際標準化組織（ISO）聯合國際電工委員會（IEC）分別于2000年和2005年將BS7799標準轉換為ISO/IEC 17799《信息安全管理體系 實施細則》和ISO/IEC 27001《信息安全管理體系 要求》，并向全世界推廣。中國國家標準化管理委員會（SAC）于1999年了GB/T 17859《計算機信息系統安全保護等級劃分準則》標準，把信息安全管理劃分為五個等級，分別針對不同組織性質和對社會、國家危害程度大小進行了不同等級的劃分，并提出了監管方法。2008年制訂并下發了與ISO/IEC 17799和ISO/IEC 27001相對應的GBT 22081-2008《信息安全管理體系 實用規則》和GBT 22080-2008《信息安全管理體系 要求》。

3.信息系統安全的等級

為加快推進信息安全等級保護，規范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩定和公共利益，保障和促進信息化建設，國家公安部、保密局、密碼管理局和國務院信息化工作辦公室等，于2007年聯合了《信息安全等級保護管理辦法》，就全國機構/企業的信息安全保護問題，進行了行政法規方面的規范，并組織和開展對全國重要信息系統安全等級保護定級工作。同時，制訂了《信息系統安全等級保護基本要求》、《信息系統安全等級保護實施指南》、《信息系統安全等級保護測評準則》和《信息系統安全等級保護定級指南》等相應技術規范（國家標準審批稿），來指導國內機構/企業進行信息安全保護。

在《信息系統安全等級保護基本要求》中，要求從網絡安全、主機安全、應用安全、數據安全及備份恢復、系統運維管理、安全管理機構等幾方面，按照身份鑒別、訪問控制、介質管理、密碼管理、通信和數據的完整、保密性以及數據備份與恢復等具體要求，對信息流進行不同等級的劃分，從而達到有效保護的目的。信息系統的安全保護等級分為五級：第一級為自主保護級，第二級指導保護級，第三級為監督保護級，第四級為強制保護級，第五級為?？乇Ｗo級。

針對政府、企業常用的三級安全保護設計中，主要是以三級安全的密碼技術、系統安全技術及通信網絡安全技術為基礎的具有三級安全的信息安全機制和服務支持下，實現三級安全計算環境、三級安全通信網絡、三級安全區域邊界防護和三級安全管理中心的設計。

圖1 三級系統安全保護示意圖

圖2 VPN產品部署示意圖

4.VPN技術及其發展趨勢

VPN即虛擬專用網，是通過一個公用網絡（通常是因特網）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。通常，VPN是對企業內部網的擴展，通過它可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接，并保證數據的安全傳輸。VPN可用于不斷增長的移動用戶的全球因特網接入，以實現安全連接；可用于實現企業網站之間安全通信的虛擬專用線路，用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。

VPN使用三個方面的技術保證了通信的安全性：隧道協議、身份驗證和數據加密。VPN通道的加密方式成為主要的技術要求，目前VPN技術主要包括IPSec VPN，非IPSec VPN（如PPTP，L2TP等），基于WEB的SSL VPN等。

IPSec VPN是基于IPSec協議的VPN產品，由IPSec協議提供隧道安全保障，協議包括AH、ESP、ISAKMP等協議。其通過對數據加密、認證、完整性檢查來保證數據傳輸的可靠性、私有性和保密性。通過采用加密封裝技術，對所有網絡層上的數據進行加密透明保護。IPSec協議最適合于LAN到LAN之間的虛擬專用網構建。

SSL VPN是基于SSL協議的VPN產品。在企業中心部署SSL VPN設備，無需安裝客戶端軟件，授權用戶能夠從任何標準的WEB瀏覽器和互聯網安全地連接到企業網絡資源。SSL VPN產品最適合于遠程單機用戶與中心之間的虛擬網構建。

整個VPN通信過程可以簡化為以下4個步驟：

（1）客戶機向VPN服務器發出連接請求。

（2）VPN服務器響應請求并向客戶機發出身份認證的請求，客戶機與VPN服務器通過信息的交換確認對方的身份，這種身份確認是雙向的。

（3）VPN服務器與客戶機在確認身份的前提下開始協商安全隧道以及相應的安全參數，形成安全隧道。

（4）最后VPN服務器將在身份驗證過程中產生的客戶機和服務器公有密鑰將用來對數據進行加密，然后通過VPN隧道技術進行封裝、加密、傳輸到目的內部網絡。

目前國外公開的相關VPN產品多數采用軟件加密的方式，加解密算法也多使用通用的3DES、RSA加解密算法，不符合國家密碼產品管理和應用的要求?！渡逃妹艽a管理條例》（中華人民共和國國務院第273號令，1999年10月7日）第四章第十四條規定：任何單位或者個人只能使用經國家密碼管理機構認可的商用密碼產品，不得使用自行研制的或者境外生產的密碼產品。國家密碼管理局在2009年針對VPN產品下發了《IPSec VPN技術規范》和《SSL VPN技術規范》，明確要求了VPN產品的技術體系和算法要求。

5.VPN技術在等級保護中的應用

在三級防護四大方面的設計要求中，VPN技術可以說是在四大方面的設計要求中都有廣泛的應用：

在安全計算環境的設計要求中：首先在實現身份鑒別方面，在用戶訪問的中心，系統管理員都統一建立的有用戶的用戶組和用戶名，用戶會通過VPN的設備登錄訪問中心的應用系統，當身份得到鑒別通過時才可訪問應用系統；其次在數據的完整性保護和保密性保護上都能夠防止用戶的數據在傳輸過程中被惡意篡改和盜取。

在安全區域邊界的設計要求中：網絡邊界子系統的邊界控制與VPN功能一體化實現，在保證傳輸安全性的同時提高網絡數據包處理效率。

在安全通信網絡的設計要求中：網絡安全通信的子系統主要是為跨區域邊界的通信雙方建立安全的通道，通過IPSEC協議建立安全的VPN隧道傳輸數據。完成整個應用系統中邊界或部門服務器邊界的安全防護，為內部網絡與外部網絡的間的信息的安全傳輸提供加密、身份鑒別及訪問控制等安全機制。在客戶端和應用服務器進出的總路由前添加網絡VPN網關，通過IPSEC協議或者SSL協議建立VPN隧道為進出的數據提供加密傳輸，實現應用數據的加密通信。

在安全管理中心的設計要求中：系統管理中，VPN技術在主機資源和用戶管理能夠實現很好的保護，對用戶登錄、外設接口、網絡通信、文件操作及進程服務等方面進行監視機制，確保重要信息安全可控，滿足對主機的安全監管需要。

在信息系統安全等級保護設計中VPN產品的部署示意圖如圖2所示。

網絡安全等級保護規定范文2

[關鍵詞]信息安全等級保護分級分域網絡隔離安全防護

1網絡現狀及防護需求

福建省莆田電業局已構建了信息網絡,已經穩定運行有財務管理、安全生產管理、協同辦公、電力營銷、ERP等應用系統。隨著國家電網公司“SG186”工程的信息化建設的推進工作,網絡和信息系統情況復雜,迫切需要進行信息安全全面建設。

根據國家《信息安全技術信息系統安全等級保護實施指南》(GB/T22240-2008)、國家《信息安全技術信息系統安全等級保護基本要求》(GB/T-22239-2008)、《國家電網公司“SG186”工程安全防護總體方案》、《國家電網公司“SG186”工程信息系統安全等級保護基本要求》、《國家電網公司“SG186”工程信息系統安全等級保護驗收測評要求(試行)》等文件要求,按照統籌資源,重點保護,適度安全的原則,依據等級保護定級結果,采用“二級系統統一成域,三級系統獨立分域”的方法,對信息網絡系統進行分級分域。

2安全防護建設目標

通過項目的實施,按照“層層遞進,縱深防御”的思想,從邊界、網絡、主機、應用四個層次進行安全防護等級保護設計和施工,使莆田電業局信息系統符合國家和國家電網公司的網絡與信息系統等級保護建設要求。

3實施方法

信息系統分級分域安全防護建設一般分三個階段:

第一階段:合理進行安全域劃分和初步規劃,針對重要信息進行防護。主要表現在針對業務安全要求比較高的信息系統如ERP、財務系統域進行防護,以及針對互聯網出口的應用層防護。

第二階段:針對當前信息網絡狀態,按照等級保護要求進行等級化評估、安全評估和合理定級,全面獲取當前安全現狀以及企業信息化建設的特殊需求。在評估基礎上,全面從等級保護要求及企業信息化建設的安全需求出發,合理進行安全方案設計。

第三階段:根據設計方案,全面開展等級化改造,包括技術措施和管理措施的完善,建立完整的信息安全體系,并且根據相關要求進行運行維護。

4分級分域安全防護方解決方案

信息網絡系統分級分域安全防護建設應當按照國家標準和國家電網公司“SG186”工程相關規定的要求完成,通過項目建設實施保障莆田電業局信息化管理系統的安全運營。

4.1 分級分域設計方案及安全等級建設要求

莆田電業局信息網絡主要分為兩個部分:信息內網和信息外網,兩個網絡之間通過強制隔離設備進行隔離。

信息內網分級分域及安全等級建設要求:

4.1.1二級系統域

二級系統域是指協同辦公系統、財務管理系統、安全生產管理系統、人力資源管理系統、企業門戶、ERP等信息系統

安全建設等級:基于信息系統的整合,所有二級系統統一部署于二級系統域,并根據國家安全等級保護標準和國家電網公司“SG186”工程信息系統安全等級保護基本要求等規范要求,按照安全防護等級二級進行建設。

4.1.2內網桌面終端域

信息內網桌面終端是用于內網業務操作及內網業務辦公處理,通過對桌面辦公終端按業務部門或訪問類型進一步進行VLAN區域細分,實現不同的業務訪問需求指定訪問控制及其他防護措施,由于桌面終端的安全防護與應用系統不同,將其劃分為獨立區域進行安全防護。

安全建設等級:按照安全等級二級進行安全建設;

信息外網分級分域及安全等級建設要求:

4.1.3外網應用系統域

需與互聯網進行數據交換的系統統一部署為外網系統域。

安全建設等級:按照安全等級二級進行安全建設;

4.1.4外網桌面終端域

外網桌面終端用于外網業務辦公及互聯網訪問,對外網桌面辦公終端按業務部門或訪問類型進行區域細分,針對不同業務訪問需求進行訪問控制及其他防護措施。

安全建設等級:按照安全等級二級進行安全建設;

圖1改造后的網絡拓撲圖

4.2 安全防護部署方案

4.2.1防火墻等級保護部署方案

目前網絡中主要使用防火墻來保證基礎安全。它監控可信任網絡和不可信任網絡之間的訪問通道,以防止外部網絡的危險蔓延到內部網絡上。

項目在四個域與核心交換機的連接點分別部署了啟明星辰天清漢馬USG-FW-4000D防火墻(見圖1),并進行了相應的配置。

防火墻典型的網絡部署模式包括路由模式和透明模式,本項目中,考慮到防火墻負責轉發各個區域的用戶訪問,采取透明模式部署。

根據企業安全區域的劃分,部署防火墻對不同區域之間的網絡流量進行控制,基本原則為:高安全級別區域可以訪問低安全級別區域,低安全級別嚴格受控訪問高安全級別區域,進行如下基本配置策略:

防火墻設置為默認拒絕工作方式,保證所有的數據包,如果沒有明確的規則允許通過,全部拒絕以保證安全;

配置防火墻防DOS/DDOS功能,對Land、Smurf、Fraggle、Ping of death、udp flood等拒絕服務攻擊進行防范;

配置防火墻全面安全防范能力,包括arp欺騙攻擊的防范,提供arp主動反向查詢、tcp報文標志位不合法攻擊防范、超大ICMP報文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達報文控制功能、Tracert報文控制功能、帶路由記錄選項IP報文控制功能等。

4.2.2入侵防護系統等級保護部署方案

在傳統的安全解決方案中,防火墻和入侵檢測系統已經無法滿足高危網絡的安全需求,互聯網上流行的蠕蟲、P2P、木馬等安全威脅日益滋長,必須有相應的技術手段和解決方案來解決對應用層的安全威脅。以入侵防御系統為代表的應用層安全設備作為防火墻的重要補充,很好地解決了應用層防御的問題,并且變革了管理員構建網絡防御的方式。通過部署IPS,可以在線檢測并直接阻斷惡意流量。

項目在外網系統部署1臺啟明星辰天清NIPS3060入侵防護系統。

4.2.3服務器換機等級保護部署方案

服務器交換機采用華為QuidwayS9306高端多業務路由交換機,該產品基于華為公司自主知識產權的Comware V5操作系統,融合了MPLS、IPv6、網絡安全等多種業務,提供不間斷轉發、優雅重啟、環網保護等多種可靠技術,在提高用戶生產效率的同時,保證了網絡最大正常運行時間,從而降低企業的總擁有成本。

項目配置兩臺華為QuidwayS9306交換機分別用作內網二級系統域和外網應用系統域,配置冗余電源、雙引擎、2塊48端口千兆電口板、1塊48端口SFP千兆光口板卡,保證了服務器換機的安全可靠。

4.2.4終端匯聚交換機等級保護部署方案

終端匯聚交換機采用華為Quidway LS-S5328C交換機,實現信息內外網桌面終端域的安全接入。

華為QuidwayLS-S5300系列交換機是華為公司最新開發的增強型IPv6萬兆以太網交換機,具備業界盒式交換機最先進的硬件處理能力和豐富的業務特性。支持最多4個萬兆擴展接口;支持IPv4/IPv6硬件雙棧及線速轉發;出色的安全性、可靠性和多業務支持能力使其成為網絡匯聚和城域網邊緣設備的第一選擇。

配置2臺桌面終端匯聚交換機分別部署在信息內網和信息外網的桌面終端域接口上。

5網絡安全成果分析

福建省莆田電業局信息網絡系統分級分域安全防護建設項目從邊界、網絡、主機、應用四個層次進行了安全防護等級保護設計及工程實施,對原有網絡、安全設備進行了調整,實現了安全域的劃分,實現了對關鍵業務的安全防護,達到了國家和國家電網公司的網絡與信息系統等級保護建設要求,并通過了國家電網公司等級測評驗收。

參考文獻:

[1] 信息安全技術信息系統安全等級保護實施指南(GB/T22240-2008)

[2] 信息安全技術信息系統安全等級保護基本要求(GB/T-22239-2008)

網絡安全等級保護規定范文3

1.1國家衛生部文件

文件明確規定了信息安全等級保護工作的工作目標、工作原則、工作機制、工作任務、工作要求，工作任務別強調了“三級甲等醫院的核心業務信息系統”應進行定級備案。

1.2浙江省衛生廳文件

為加強醫療衛生行業信息安全管理，提高信息安全意識，以信息安全等級保護標準促進全行業的信息安全工作，提高全省衛生系統信息安全保護與信息安全技術水平，強化信息安全的重要性。2011年6月7日，浙江省衛生廳和浙江省公安廳聯合下發《關于做好全省醫療衛生行業重要信息系統信息安全等級保護工作的通知》（浙衛發〔2011〕131號），并一同下發了《浙江省醫療衛生行業信息安全等級保護工作實施方案》和《浙江省衛生行業信息系統安全等級保護定級工作指導意見》。為進一步指導我省衛生行業單位開展信息安全等級保持工作，浙江省衛生信息中心于2012年4月6日下發了《關于印發<浙江省衛生行業信息安全等級保護工作指導意見細則>的函》。上述文件詳細規定了工作目標、工作流程和工作進度，并明確了醫療衛生單位重要信息系統的劃分和定級，具有很強的指導性和操作性。

2醫院信息安全等級保護

依據上述行業文件要求，全省醫院重要信息系統信息安全等級保護工作由省衛生廳和各級衛生局、公安局分級負責，按照系統定級、系統備案、等級測評、安全整改[1]四個工作步驟實施。

2.1系統定級

2.1.1確定對象

我省醫院信息化發展較早，各類系統比較完善，但數量繁多。將出現多達幾十甚至上百個定級對象的狀況，這與要求重點保護、控制建設成本、優化資源配置[2]的原則相違背，不利于醫院重要信息系統開展信息安全等級保護工作。依據《計算機信息系統安全保護等級劃分準則（GB17859-1999）》等標準，結合我省醫院信息化現狀及發展需要，經衛生信息化專家和信息安全專家多次論證，本著突出重點、按類歸并、相對獨立、節約費用的原則，從系統管理、業務使用者、系統服務對象和運行環境等多方面綜合考慮，把醫院信息系統劃分為以下幾類，如表1所示。

2.1.2等級評定

醫院重要信息系統的信息安全和系統服務應用被破壞時，產生的危害主要涉及公民的個人隱私、就醫權利及合法權益，對社會秩序和公共利益的損害屬于“損害”或“嚴重損害”程度。參考《信息安全等級保護管理辦法》及省衛生信息中心指導意見細則要求[3]，即屬于“第二級”或“第三級”范疇。因此醫院信息系統對信息安全防護和服務能力保護的要求較高，結合業務服務及系統應用范疇，實行保護重點、以點帶面原則，參考定級如表2所示。

2.2系統定級備案

省衛生廳及省級醫療衛生單位信息系統、全省統一聯網或跨市聯網運行的信息系統由省公安廳受理備案；各市衛生局及其下屬單位、轄區內醫院信息系統由屬地公安機關受理備案。各市衛生局應將轄區內醫療衛生單位備案匯總情況和《信息系統安全等級保護備案表》等材料以電子文件形式向省衛生廳報備。定級備案流程示意圖如圖1所示。

2.3等級保護測評

醫院重要信息系統完成定級備案后，應依據《浙江省信息安全等級保護工作協調小組關于公布信息安全等級報測評機構的通知》（浙等?！?010〕9號）選擇浙江省信息安全等級保護工作協調小組辦公室推薦的等級測評機構，啟動等級測評工作，結合所屬等級要求對系統進行逐項測評。通過對醫院系統進行查驗、訪談、現場測試等方式收集相關信息，詳細了解信息安全保護現狀，分析所收集的資料和數據，查找發現醫院重要信息系統漏洞和安全隱患，針對測評報告結果進行分析反饋、溝通協商，明確等級保護整改工作目標、整改流程及注意事項，共同制定等級保護整改建議方案用于指導后續整改工作。對第二級以上的信息系統要定期開展等級測評。信息系統測評后，醫院應及時將測評機構出具的《信息系統等級測評報告》向所屬地公安機關報備。

2.4等級保護規劃建設整改

根據《信息系統安全等級保護實施指南》及省實施方案，結合醫院信息系統的安全需求分析，判斷安全保護現狀，設計合理的、滿足等級保護要求的總體安全方案，并制定出安全實施規劃[4]等，用以指導信息系統安全建設工程實施。引進第三方安全技術服務商，協助完成系統安全規劃、建設及整改工作。建設，整改實施過程中按照詳細設計方案，設置安全產品采購、安全控制開發與集成、機構和人員配置、安全管理制度建設、人員安全技能培訓等環節[5]，將規劃設計階段的安全方針和策略，切實落實到醫院系統的信息安全規劃、建設、評估、運行和維護等各個環節。其核心是根據系統的實際信息安全需求、業務特點及應用重點，并結合醫院自身信息安全建設的實際需求，建設一套全面保護、重點突出、持續運行的安全保障體系，確保醫院系統的信息安全。等級保護工程及管理體系建設整改流程如圖2所示。

3醫院重要信息系統安全等級保護成效

各級醫院按照國家有關信息安全等級保護政策、標準，結合衛生行業政策和要求，全面落實信息系統信息安全等級保護工作，保障信息系統安全可靠運行，提高安全管理運維水平。

3.1明確系統安全保護目標

通過推行各級醫院信息安全等級保護工作，梳理衛生信息系統資產、網絡邊界、網絡安全設備部署及運行狀況。根據系統風險評估、危害的覆蓋范圍及影響性判定安全等級，從而根據標準全面、系統、深入地掌握系統潛在的風險隱患，安全漏洞。明確需要重點保護的應用系統及信息資產，提出行之有效的保護措施，有針對性地提高保護等級，實現重點目標重點保護。

3.2建立安全管理保障體系

安全管理保障體系是開展信息安全工作的保障，指導落實各項安全指標要求。信息安全等級保護基本要求中明確要求加強主管及安全責任部門領導，配備信息安全專員督導安全檢查、維護、培訓工作。建立健全信息安全管理保障制度體系，包括機房安全管理制度、人員安全管理制度、運維安全管理規范。建立行之有效的安全應急響應預案及常規化的信息安全培訓及預防演練，形成長期的安全風險管控機制。

3.3加強安全意識和管理能力

通過落實等級保護制度的各項要求，認識安全意識在信息安全工作中的重要性和必要性，調動安全保護的自覺主動性，加大安全保護的資金投入力度，優化安全管理資源及策略，主動提升安全保護能力。同時重視常規化的信息安全管理教育和培訓，強化安全管理員和責任人的安全意識，提高風險分析和安全性評估等能力，信息系統安全整體管理水平將得到提高。

3.4強化安全保護技術實施

醫院開展信息安全等級保護工作可加深分級、分域的縱深防御理念，進一步結合終端安全、身份認證、網絡安全、容災技術，建立統一的安全監控平臺和安全運行中心。根據測評報告及建設整改建議，增強對應用系統的授權訪問，終端計算機的安全控制，網絡流量的異常監控，業務與數據安全保障，惡意軟件和攻擊行為的防御、發現及阻擊等功能，深層次提高抵御外部和內部信息安全威脅的能力。

3.5優化第三方技術服務

與安全技術服務機構建立長期穩定的合作關系，引進并優化第三方技術資源，搭建安全保護技術的學習橋梁與交流平臺。在安全技術與管理方面加固信息安全防護措施，完善信息安全管理制度，同時通過安全技術管理培訓強化醫院工作人員信息安全保護意識，提高信息安全隊伍的技術與管理水平，共同為醫院系統信息化建設的快速發展保駕護航?？傊?，醫院開展信息安全等級保護工作將有效提高醫院信息化建設的整體水平，有利于醫院信息化建設過程中同步建設信息安全設施，保障信息安全與信息化建設相協調；有利于為信息系統安全建設和管理提供系統性、針對性、可行性的指導和服務；有利于優化信息安全資源的配置，重點保障基礎信息網絡、個人隱私、醫療資源和社會公共衛生等方面的重要信息系統的安全[6]。

4結束語

網絡安全等級保護規定范文4

對于進一步提高信息安全的保障能力和防護水平來說，實行信息安全等級保護無疑是一種好的方法，因為它能充分調動國家、法人和其他組織及公民的積極性，增強安全保護的整體性、針對性和實效性，使信息系統安全建設重點更加突出、規范，更加統一。

但是，電子政務重在政務，由于政務部門的職能不同，信息系統的結構、功能和安全要求也不盡相同，信息安全等級保護工作的側重點也不同。然而從總體上來說，都需要做好以下幾點：

落實好“四個把握”

把握等級保護的建設進程。按照等級保護程序規定，做好定級、備案、整改、評測與監管工作。

把握等級劃分的合理性和準確性。要認真分析電子政務系統在國家安全、經濟建設、社會生活中的重要性程度，即電子政務系統遭受破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素，合理準確地確定系統安全等級。具體來說，安全等級的確定要根據信息系統的綜合價值和綜合能力保證的要求不同以及安全性被破壞造成的損失大小，綜合考慮信息系統的經濟價值、社會價值以及信息服務的服務范圍和連續性。

把握好不同等級的基本安全要求?；疽笫轻槍Σ煌踩Ｗo等級信息系統，應該具有的基本安全保護能力提出的安全要求。例如：第三級信息系統要具有抵御來自外部組織的惡意攻擊能力和防內部人員攻擊能力，不僅要對安全事件有審計記錄，還要能追蹤與響應處理，要實現多重保護制度。

把握好基本技術要求和基本管理要求?；炯夹g要求包括物理安全、網絡安全、主機安全、應用安全與數據安全等方面?；竟芾硪笫峭ㄟ^控制信息系統中各種角色參與的活動，包括安全管理機構、安全管理制度、人員安全管理、系統建設管理、系統運維管理等方面，從政策、制度、規范、流程以及記錄等方面做出規定。對于電子政務系統要特別關注基礎設施監控與管理、網絡安全監控與管理、業務應用系統的監控與管理、應急響應與備份恢復管理。

引入風險評估機制

信息安全等級保護必須樹立風險管理的思想，而風險評估是風險管理的基礎，因此，三級以上電子政務系統必須定期進行信息安全風險評估。風險評估貫穿于等級保護周期的系統定級、安全實施和安全運維三個階段：

系統定級。由于不同的電子政務系統具有自身的行業和業務特點，且所受到的安全威脅均有所不同。因此，可以依據信息安全風險評估國家標準對所評估資產的重要性、客觀威脅發生的頻率、系統自身脆弱性的嚴重程度進行識別和關聯分析，判斷信息系統應采取什么強度的安全措施，然后將安全事件一旦發生后可能造成的影響控制在可接受的范圍內。即將風險評估的結果作為確定信息系統安全措施的保護級別的一個參考依據。

安全實施。安全實施是根據信息安全等級保護國家標準的要求，從管理與技術兩個方面選擇不同強度的安全措施，來確保建設的安全措施滿足相應的等級要求。風險評估在安全實施階段就可以直接發揮作用，那就是對現有電子政務系統進行評估和加固，然后再進行安全設備部署等。在安全實施過程中也會發生安全事件并可能帶來長期的安全隱患，如安全集成過程中設置的超級用戶和口令沒有完全移交給用戶、防火墻部署后長時間保持透明策略等都會帶來嚴重的問題，風險評估能夠及早發現并解決這些問題。

安全運維。安全運維是指按照系統等級進行安全實施后開展運行維護的安全工作。安全運維包括兩方面：一是維護現有安全措施等級的有效性。二是根據客觀情況的變化以及系統內部建設的實際需要，對等級進行定期調整，以防止過度保護或保護不足。在安全運維的過程中，通過信息安全風險評估工作可以對已有信息系統的安全等級保護情況進行評估，依據已確定等級的相關保護要求，對系統的保護效果、潛在風險進行評價，評估是否達到等級保護的要求；當信息系統或外部環境發生變更時，可以通過風險評估工作了解和確定風險的變更，為再次定級和等級保護措施的調整提供依據。

建立有效的信息安全管理組織

信息安全管理組織是建立信息安全保障體系，做好信息安全等級保護工作的必要條件。當前很多政務部門的信息安全工作均有信息化部門兼任，沒有足夠的權威性。等級保護工作的開展，要求在組織內部建立信息系統安全方面的最高權力組織，并有明確的安全目標，目的是在管理層的承諾和擁有足夠資源的情況下開展信息安全工作。因此，建立有效的信息安全管理組織必須明確以下內容：

要遵循分權制衡原則。制度的建立、制度的執行、執行情況的檢查與監督要分開考慮。在目前的等級保護測評工作中，時常發現有系統管理員、網絡管理員、安全員與審計員兼任的情況，甚至一人包攬所有的信息系統運維工作。但從等級保護的基本要求來看，依據分權制衡的原則，建議在電子政務系統中，系統管理員與審計員不得兼任，審計員不能從事所有日常信息的維護與管理工作，系統管理員不能從事審計日志的查看與處理工作。

要堅持從上而下的垂直管理原則。上一級機關信息系統的安全管理組織指導下一級機關信息系統的安全管理組織的工作，下一級機關信息系統的安全管理組織接受并執行上一級機關信息系統的安全管理組織的安全策略。

應常設信息系統安全管理組織辦公機構，負責信息安全的日常事務工作。信息系統安全管理組織應由系統管理、系統分析、軟硬件維護、安全保衛、系統稽核、人事與通信等有關方面的人員組成。

信息安全管理組織部門不能隸屬于技術部門或運行部門，各級信息系統的安全組織不能隸屬于同級信息系統管理和業務機構。信息安全管理組織部門只有不隸屬于技術或運維部門，才能站在較高的層次上制定信息安全的整體框架與策略、有效的處理安全事件，啟動應急預案。

網絡安全等級保護規定范文5

一、加強本單位網絡與信息安全工作的組織領導，建立健全網絡與信息安全工作機構和工作機制，保證網絡與信息安全工作渠道的暢通。

二、明確本單位信息安全工作責任，按照“誰主管，誰負責;誰運營，誰負責”的原則，將安全職責層層落實到具體部門、具體崗位和具體人員。

三、加強本單位信息系統安全等級保護管理工作，在公安機關的監督、檢查、指導下，自覺、主動按照等級保護管理規范的要求完成信息系統定級、備案，對存在的安全隱患或未達到相關技術標準的方面進行建設整改，隨信息系統的實際建設、應用情況對安全保護等級進行動態調整。

四、加強本單位各節點信息安全應急工作。制定信息安全保障方案，加強應急隊伍建設和人員培訓，組織開展安全檢查、安全測試和應急演練。重大節日及敏感節點期間，加強對重要信息系統的安全監控，加強值班，嚴防死守，隨時應對各類突發事件。

五、按照《信息安全等級保護管理辦法》、《互聯網信息管理服務辦法》等規定，進一步加強網絡與信息安全的監督管理，嚴格落實信息安全突發事件“每日零報告制度”，對本單位出現信息安全事件隱瞞不報、謊報或拖延不報的，要按照有關規定，給予責任人行政處理;出現重大信息安全事件，造成重大損失和影響的，要依法追究有關單位和人員的責任。

六、作為本單位網絡與信息安全工作的責任人，如出現重大信息安全事件，對國家安全、社會秩序、公共利益、公民法人及其他組織造成影響的，本人承擔主要領導責任。違反上述承諾，自愿承擔相應主體責任和法律后果。

七、本人承諾不從事下列危害計算機信息網絡安全的活動：

1、未經允許，進入計算機信息網絡或者使用計算機信息網絡資源; 2、未經允許，對計算機信息網絡功能進行刪除、修改或者增加;

3、未經允許，對計算機信息網絡中存儲或者傳輸的數據和應用程序進行刪除、修改或者增加;

4、故意制作、傳播計算機病毒以及其它破壞性程序;

5、不盜用別人計算機的ip地址、網卡物理地址(mac值)和信息數據; 6、不做其它危害計算機信息網絡安全行為。

八、本人承諾當計算機信息系統發生重大安全事故時，立即采取應急措施，保留有關原始記錄，并在24小時內向政府監管部門報告，以及知會公司資訊安全部門，并接受公司停止網絡資源使用服務。

九、本人鄭重承諾遵守本承諾書的有關條款，在使用中認真履行職責，自覺接受監督，確保網絡信息安全;如有違反本承諾書有關條款和國家相關法律法規的行為，本人愿意承擔由此引起的一切責任，直至民事、行政和刑事責任，并接受相應處罰﹔對于造成財產損失的，由個人直接賠償。

十、本承諾書自簽署之日起生效。

網絡安全等級保護規定范文6

關鍵詞：信息安全 等級保護 信息系統 實施

一、引言

我國信息安全面臨的形勢十分嚴峻，維護國家信息安全的任務非常艱巨、繁重。2007年7月20日，公安部、國務院信息辦等4部門在北京聯合召開“全國重要信息系統安全等級保護定級工作電視電話會議”，部署在全國范圍內開展重要信息系統安全等級保護定級工作。實施信息安全等級保護，能夠有效地提高我國信息和信息系統安全建設的整體水平，有利于在信息化建設過程中同步建設信息安全設施，保障信息安全與信息化建設相協調；有利于為信息系統安全建設和管理提供系統性、針對性、可行性的指導和服務，有效控制信息安全建設成本；有利于優化信息安全資源的配置，對信息系統分級實施保護，重點保障基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統的安全；有利于明確國家、法人和其他組織、公民的信息安全責任，加強信息安全管理；有利于推動信息安全產業的發展，逐步探索出一條適應社會主義市場經濟發展的信息安全模式。

下文將討論如何根據《信息系統安全等級保護基本要求》關于等級保護的管理規范和技術標準對新系統實施建設和對原有系統實施改建工作。

二、新建系統的安全等級保護規劃與建設

完成系統定級并確定安全需求后，新建和改建系統就進入了實施前的設計過程。

以往的安全保障體系設計是沒有等級概念的，主要是依據本單位業務特點，結合其他行業或單位實施安全保護的實踐經驗而提出的。當引入等級保護的概念后，系統安全防護設計思路會有所不同：

――由于確定了單位內部代表不同業務類型的若干個信息系統的安全保護等級，在設計思路上應突出對等級較高的信息系統的重點保護。

――安全設計應保證不同保護等級的信息系統能滿足相應等級的保護要求。滿足等級保護要求不意味著各信息系統獨立實施保護，而應本著優化資源配置的原則，合理布局，構建縱深防御體系。

――劃分了不同等級的系統，就存在如何解決等級系統之間的互連問題，因此必須在總體安全設計中規定相應的安全策略。

⒈總體安全設計方法

總體安全設計并非安全等級保護實施過程中必須的執行過程，對于規模較小、構成內容簡單的信息系統，在通過安全需求分析確定了其安全需求后，可以直接進入安全詳細設計。對于有一定規模的信息系統，實施總體安全設計過程?？傮w安全設計可以按以下步驟實施：

⑴局域網內部抽象處理

一個局域網可能由多個不同等級系統構成，無論局域網內部等級系統有多少，可以將等級相同、安全需求類相同、安全策略一致的系統合并為一個安全域，并將其抽象為一個模型要素，可將之稱為某級安全域。通過抽象處理后，局域網模型可能是由多個級別的安全域互聯構成的模型。

⑵局域網內部安全域之間互聯的抽象處理

根據局域網內部的業務流程、數據交換要求、用戶訪問要求等確定不同級別安全域之間的網絡連接要求，從而對安全域邊界提出安全策略要求和安全措施要求，以實現對安全域邊界的安全保護。

如果任意兩個不同級別的子系統之間有業務流程、數據交換要求、用戶訪問要求等的需要，則認為兩個模型要素之間有連接。通過分析和抽象處理后，局域網內部子系統之間互聯模型如圖1所示。

圖1 局域網內部安全域之間互聯抽象

⑶局域網之間安全域互聯的抽象處理

根據局域網之間的業務流程、數據交換要求、用戶訪問要求等確定局域網之間通過骨干網/城域網的分隔的同級、或不同級別安全域之間的網絡連接要求。

例如，任意兩個級別的安全域之間有業務流程、數據交換要求、用戶訪問要求等的需要，則認為兩個局域網的安全域之間有連接。通過分析和抽象處理后，局域網之間安全域互聯模型如圖2所示。

圖2 局域網之間安全域互聯的抽象

⑷局域網安全域與外部單位互聯的抽象處理

對于與國際互聯網或外部機構/單位有連接或數據交換的信息系統，需要分析這種網絡的連接要求，并進行模型化處理。例如，任意一個級別的安全域，如果這個安全域與外部機構/單位或國際互聯網之間有業務訪問、數據交換等的需要，則認為這個級別的安全域與外部機構/單位或國際互聯網之間有連接。通過分析和抽象處理后，局域網安全域與外部機構/單位或國際互聯網之間互聯模型如圖3所示。

圖3 局域網安全域與外部單位互聯的抽象

⑸安全域內部抽象處理

局域網中不同級別的安全域的規模和復雜程度可能不同，但是每個級別的安全域的構成要素基本一致，即由服務器、工作站和連接它們的網絡設備構成。為了便于分析和處理，將安全域內部抽象為服務器設備（包括存貯設備）、工作站設備和網絡設備這些要素，通過對安全域內部的模型化處理后，對每個安全域內部的關注點將放在服務器設備、工作站設備和網絡設備上，通過對不同級別的安全域中的服務器設備、工作站設備和網絡設備提出安全策略要求和安全措施要求，實現安全域內部的安全保護。通過抽象處理后，每個安全域模型如圖4所示。

圖4 安全域內部抽象

⑹形成信息系統抽象模型

通過對信息系統的分析和抽象處理，最終應形成被分析的信息系統的抽象模型。信息系統抽象模型的表達應包括以下內容：單位的不同局域網絡如何通過骨干網、城域網互聯；每個局域網內最多包含幾個不同級別的安全域；局域網內部不同級別的安全域之間如何連接；不同局域網之間的安全域之間如何連接；局域網內部安全域是否與外部機構/單位或國際互聯網有互聯，等等。

⑺制定總體安全策略

最重要的是制定安全域互連策略，通過限制多點外聯、統一出口既可以達到保護重點、優化配置，也體現了縱深防御的策略思想。

⑻關于等級邊界進行安全控制的規定

針對信息系統等級化抽象模型，根據機構總體安全策略、等級保護基本要求和系統的特殊安全需求，提出不同級別安全域邊界的安全保護策略和安全技術措施。

安全域邊界安全保護策略和安全技術措施提出時要考慮邊界設備共享的情況，如果不同級別的安全域通過同一設備進行邊界保護，這個邊界設備的安全保護策略和安全技術措施要滿足最高級安全域的等級保護要求。

⑼關于各安全域內部的安全控制要求

提出針對信息系統等級化抽象模型，根據機構總體安全策略、等級保護基本要求和系統的特殊安全需求，提出不同級別安全域內部網絡平臺、系統平臺和業務應用的安全保護策略和安全技術措施。

⑽關于等級安全域的管理策略

從全局角度出發，提出單位的總體安全管理框架和總體安全管理策略，對每個等級安全域提出各自的安全管理策略，安全域管理策略繼承單位的總體安全策略。

⒉總體安全設計方案大綱

最后形成的總體方案大綱包括以下內容：信息系統概述，單位信息系統安全保護等級狀況；各等級信息系統的安全需求，信息系統的安全等級保護模型抽象，總體安全策略，信息系統的邊界安全防護策略，信息系統的等級安全域防護策略，信息系統安全管理與安全保障策略。

⒊設計實施方案

實施方案不同于設計方案，實施方案需要根據階段性的建設目標和建設內容將信息系統安全總體設計方案中要求實現的安全策略、安全技術體系結構、安全措施落實到產品功能或物理形態上，提出能夠實現的產品或組件及其具體規范，并將產品功能特征整理成文檔，使得在信息安全產品采購和安全控制開發階段具有依據。實施方案過程如下：

⑴結構框架設計

依據實施項目的建設內容和信息系統的實際情況，給出與總體安全規劃階段的安全體系結構一致的安全實現技術框架，內容包括安全防護的層次、信息安全產品的選擇和使用、等級系統安全域的劃分、IP地址規劃等。

⑵功能要求設計

對安全實現技術框架中使用到的相關信息安全產品，如防火墻、VPN、網閘、認證網關、服務器、網絡防病毒、PKI等提出功能指標要求；對需要開發的安全控制組件，提出功能指標要求。

⑶性能要求設計

對安全實現技術框架中使用到的相關信息安全產品，如防火墻、VPN、網閘、認證網關、服務器、網絡防病毒、PKI等提出性能指標要求；對需要開發的安全控制組件，提出性能指標要求。

⑷部署方案設計

結合信息系統網絡拓撲，以圖示的方式給出安全技術實現框架的實現方式，包括信息安全產品或安全組件的部署位置、連接方式、IP地址分配等；對于需對原有網絡進行調整的，給出網絡調整的圖示方案等。

⑸制定安全策略實現計劃

依據信息系統安全總體方案中提出的安全策略的要求，制定設計和設置信息安全產品或安全組件的安全策略實現計劃。

⑹管理措施實現內容設計

結合系統實際安全管理需要和本次技術建設內容，確定本次安全管理建設的范圍和內容，同時注意與信息系統安全總體方案的一致性。安全管理設計的內容主要考慮：安全管理機構和人員的配套、安全管理制度的配套、人員安全管理技能的配套等。

⑺形成系統建設的安全實施方案

最后形成的系統建設的安全實施方案應包含以下內容：系統建設目標和建設內容、技術實現框架、信息安全產品或組件功能及性能、信息安全產品或組件部署；安全策略和配置；配套的安全管理建設內容；工程實施計劃；項目投資概算。

三、系統改建實施方案設計

與等級保護工作相關的大部分系統是已建成并投入運行的系統，信息系統的安全建設也已完成，因此信息系統的運營使用單位更關心如何找出現有安全防護與相應等級基本要求的差距，如何根據差距分析來設計系統的改建方案，使其能夠指導該系統后期具體的改建工作，逐步達到相應等級系統的保護能力。

⒈確定系統改建的安全需求

第一步，根據信息系統的安全保護等級，參照前述的安全需求分析方法，確定本系統的總的安全需求，包括經過調整的等級保護基本要求和本單位的特殊安全需求。

第二步，由信息系統的運營使用單位自己組織人員或由第三方評估機構采用等級測評方法對信息系統系統安全保護現狀與等級保護基本要求進行符合性評估，得到與相應等級要求的差距項。

第三步，針對滿足特殊安全需求（包括采用高等級的控制措施和采用其他標準的要求）的安全措施進行符合性評估，得到與滿足特殊安全需求的差距項。

⒉差距原因分析

差距項不一定都會作為改建的安全需求，因為存在差距的原因可能有以下幾種情況：

一是整體設計方面的問題，即某些差距項的不滿足是由于該系統在整體的安全策略（包括技術策略和管理策略）設計上存在問題。例如，網絡結構設計不合理，各網絡設備在位置的部署上存在問題，導致某些網絡安全要求沒有正確實現；信息安全的管理策略方向性不明確，導致一些管理要求沒有實現。

二是缺乏相應產品實現安全控制要求。由于安全保護要求都是要落在具體產品、組件的安全功能上，通過對產品的正確選擇和部署滿足相應要求。但在實際中，有些安全要求在系統中并沒有落在具體的產品上。產生這種情況的原因是多方面的，其中目前技術的制約可能是最主要的原因。例如，強制訪問控制，目前在主流的操作系統和數據庫系統上并沒有得到很好的實現。

三是產品沒有得到正確配置。某些安全要求雖然能夠在具體的產品組件上實現，但使用者由于技術能力、安全意識的原因，或出于對系統運行性能影響的考慮等原因，產品沒有得到正確的配置，從而使其相關安全功能沒有得到發揮。例如，登陸口令復雜度檢測沒有啟用、操作系統的審計功能沒有啟用等就是經常出現的情況。

以上情況的分析，只是系統在等級化安全保護上出現差距的主要原因，不同系統有其個性特點，產生差距的原因也不盡相同。

⒊分類處理的改建措施

針對差距出現的種種原因，分析如何采取措施來彌補差距。差距產生的原因不同，采用的整改措施也不同，首先可對改建措施進行分類考慮并針對上述三種情況，主要可從以下幾方面進行：

針對情況一，系統需重新考慮設計網絡拓撲結構，包括安全產品或安全組件的部署位置、連線方式、IP地址分配等。針對安全管理方面的整體策略問題，機構需重新定位安全管理策略、方針，明確機構的信息安全管理工作方向。

針對情況二，將未實現的安全技術要求轉化為相關安全產品的功能/性能指標要求，在適當的物理/邏輯位置對安全產品進行部署。

針對情況三，正確配置產品的相關功能，使其發揮作用。

無論是哪種情況，改建措施的實現都需要將具體的安全要求落到實處，也就是說，應確定在哪些系統組件上實現相應等級安全要求的安全功能。

⒋形成改建措施