网络安全等级保护重要性精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的网络安全等级保护重要性主题范文，仅供参考，欢迎阅读并收藏。

第1篇：网络安全等级保护重要性范文

关键词：政务外网 等级保护 定级 网络安全

为贯彻落实公安部、国家保密局、国家密码管理局、原国务院信息化工作办公室于2007年7月26日联合下发《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号），国家电子政务外网工程建设办公室（以下简称“外网工程办”）在2007年11月启动了中央级政务外网定级专项工作，成立了等级保护定级工作组，根据政务外网的实际情况和特点，经过多轮内部讨论和征求专家意见后，基本完成了政务外网安全等级保护定级工作，为后续备案和全面开展、实施等级保护整改和测评工作奠定了坚实基础。

一、周密部署，精心组织

为有效贯彻落实国家信息安全等级保护制度，在总结基础调查和试点工作的基础上，根据《关于开展全国重要信息系统安全等级保护定级工作的通知》等相关规定，2007年11月13日，电子政务外网工程办召开等级保护工作启动会，正式启动国家电子政务外网安全等级保护定级工作。

为确保信息系统等级保护工作顺利进行，外网工程办领导高度重视，专门成立了由各主要业务部门负责人为成员的等级保护工作小组，全面负责工作的规划、协调和指导，确定了外网工程办安全组为等级保护工作的牵头部门，各部门分工协作。同时，为确保系统划分和定级工作的准确性和合理性，2007年11月22日外网工程办专门邀请专家，对定级工作进行专项指导。

为统一思想，提高认识，通过召开等级保护专题会议等形式，深入学习《信息安全等级保护管理办法》和《关于开展全国重要信息系统安全等级保护定级工作的通知》等文件精神，使相关人员充分认识和领会了开展信息安全等级保护工作的重要性，进一步认识到实施信息安全等级保护不仅是信息安全管理规范化、标准化、科学化的需要，也是提高政务外网安全保障能力与服务水平的重要途径，是追求自身发展与落实社会责任相一致的现实需要与客观要求，从而增强了开展此项工作的主动性和自觉性。

二、积极做好定级各项工作

信息安全等级保护工作政策性强、技术要求高，时间又非常紧迫，为此，政务外网工程办从三方面抓好定级报备前期准备工作：一是积极参加公安部组织的等级保护培训，领会与理解开展信息安全等级保护工作的目的、意义与技术要求，系统地掌握信息安全等级保护的基础知识、实施过程、定级方法步骤和备案流程等。二是多次组织人员开展内部讨论和交流，使人员较全面地了解等级保护的意义、基础知识和定级方法。三是开展工程办各组的业务应用摸底调查，摸清系统的系统结构、业务类型和应用范围，并汇总整理了政务外网各组成域的相关概况。

三、科学准确定级

在开展政务外网定级工作的过程中突出重点，全面分析政务外网网络基础平台的特点，力求准确划定定级范围和定级对象。在此基础上，依据《信息安全等级保护管理办法》，确定政务外网各组成子系统（网络域）的安全保护等级。

划定定级对象。根据《信息系统安全等级保护定级指南》，外网工程办多次组织技术和业务骨干召开专题会议讨论信息系统划分问题，提出了较为科学合理的信息系统划分方案。

初步确定了信息系统等级。根据系统划分结果，组织各业务部门参与并初步确定了各系统等级，完成了自定级报告的起草。

组织专家自评把关。根据等级保护评审的标准与要求，专家们对信息系统划分和定级报告进行内部评审，并给出了内部评审意见。根据专家意见重新修改并整理了等级保护定级报告及其相关材料。

此外，在定级过程中，外网工程办积极与公安部等级保护主管部门进行沟通，并经由相关专家确认定级对象与等级保护方案后，整理好了所有定级材料，准备下一步的正式评审。

四、定级对象和结果

根据政务外网作为基础网络平台的特性，以及其接入系统的不同业务类型，政务外网按管理边界划分为中央政务外网、地方政务外网两类管理域。中央政务外网按业务边界划分功能区，即公用网络平台区、专用VPN网络区以及互联网接入区，在各功能区内又根据业务类型和系统服务的不同，确定了多个业务系统，主要有安全管理系统、应用平台系统、网络管理系统、邮件系统、VPN业务、互联网数据中心等六个系统作为本次等级保护定级工作的定

级对象，分别予以定级（确定等级结果如表1所示）。

作者简介：

罗海宁，1980年生，男，汉族，工程师，在职硕士，专业方向：网络与信息安全。

郭红，1966年生，女，汉族，高级工程师，在职硕士，专业方向：网络安全。

第2篇：网络安全等级保护重要性范文

信息安全作为国家安全的重要组成部分,是一项关系全局的战略任务,具有极端的重要性、紧迫性、长期性和复杂性。可以说,目前我国信息安全产业是通过等级保护、可信计算和产业化发展相互结合,实现网络虚拟世界秩序的安全和可信。

产业化成为重点

中国的信息安全产业仅有二十多年历史,快速发展也只是近十年的事,尚存诸多不足。在互联网应用与普及方面,我国已经进入了世界大国的行列,因此我国的信息安全问题与国际上的问题基本一样。

中国工程院院士方滨兴认为,我国在网络安全方面的解决策略是政府重在行动,企业重在引导,公众重在宣传。就是说,凡是政府信息系统,必须接受信息系统安全等级保护条例的约束,以行政的手段来强化信息系统的安全。凡是企业的系统,通过对信息安全产品的市场准入制度,以保证企业所采用的信息安全防护手段符合国家的引导思路。公众方面则通过对网络安全方面的广泛宣传,让公众对网络安全具有正确的认识,从而提高相应的防范能力。

据悉,教育部、公安部、工业和信息化部、国家标准化管理委员会等单位已经将“为国家信息化建设及国家信息安全基础设施提供支撑的信息安全产品产业化”作为2009年信息安全重点工作。其中涉及到四个方面:

1.重点支持基于国产可信计算芯片的安全应用产品,以及基于自主密码技术的高性能集成应用产品的产业化。

2.重点支持移动存储介质保密管理、恶意代码防治、电子文档安全管理、网络数字版权保护、电子数据取证、安全保密检查等产品,移动终端、桌面终端安全防护等计算机安全保护产品,以及面向无线网络的安全管理与安全应用产品的产业化。

3.重点支持安全操作系统、安全数据库、安全中间件、安全服务器、安全接入设备、安全存储、容灾备份软件、安全办公软件等产品的产业化。

4.重点支持高性能专用安全芯片和专用安全设备,以及适用于新一代网络环境的具有高性能、多安全功能的软硬件集成化产品的产业化。

技术成果的产业化过程应当是一个市场化、社会化的过程。将核心技术产品产业化地发展,推动产业结构升级,是提升核心技术发展的破局之举。

可信计算成为标尺

虽然我国的信息化技术同国际先进技术相比,存在一定的差距。但是,中国和国际上其他组织几乎是同步在进行可信计算平台的研究和部署工作。其中,部署可信计算体系中,密码技术是最重要的核心技术。

绝对的信息安全是不存在的,但信息安全却存在着一种终极的理想状态,那就是:进不去、看不见、拿不走和赖不掉。总结起来,这12字方针的目标就是可信计算。

中国可信计算工作组组长、中科院软件所副总工程师冯登国介绍,可信计算的基础是在每个终端平台上植入一个信任根,让PC从BIOS到操作系统内核层,再到应用层,均构建信任关系,由此建立一个能在网络上广泛传递的信任链。这样,人们将梦想进入一个计算免疫的时代――终端被攻击时可以实现自我保护、自我管理和自我恢复。

可以说,可信计算根就像是一把丈量计算机可信度的标尺。它会在启动之初对计算机系统上所有的运行软件进行可信性(完整性)分析,由此判定它们是否被非授权篡改。若判定不可信则阻止该软件运行,并自动恢复其合法的版本。所以,计算机一旦嵌入了该技术,即可在启动操作系统时发现内核已改,并根据用户需求进行阻止和恢复。

中国可信计算工作组发言人刘晓宇说,随着《可信计算密码支撑平台功能与接口规范》等一系列国家政策的出台与推动,以可信密码模块为TCM核心的PC、笔记本电脑、服务器、加密机等系列产品和解决方案,将逐步被我国政府/军队、制造、金融、企业/科研、公共机构、航天等行业在IT领域广泛采用。

刘晓宇说,我国自主研发的可信技术从芯片到PC硬件到系统/应用软件以及CA认证,早已形成了一条初具规模的完整产业链。

冯登国表示:“2009年将是中国可信计算蓬勃发展的一年,为打造更为强大的可信计算体系,中国可信计算工作组将优化和完善TCM硬件平台,还将致力于打通产、学、研之间的一切壁垒,促进业内同行实质性的合作交流。”

等级保护推力强劲

信息安全等级保护,是这几年听到最多的词之一。从1994年国务院147号令至今,已经过去了15年。这些年间我国在信息安全领域已经制定了数十个国家标准和行业标准,初步形成了信息安全等级保护标准体系。

方滨兴说,目前,政府在信息系统等级保护方面加大了推进力度,已经完成了等级保护的定级工作,接下来的工作就是采取有效措施来实施信息系统的安全等级保护技术。等级保护的大力推动,一方面在国际上展示了我国政府对信息安全和网络安全的管理决心;另一方面,等级管理制度的建立,突破了我国惯性思维的管理理念。

随着工业和信息化部的成立,公安部与工业和信息化部在信息系统等级保护管理方面出现了职能交叉,因此,等级保护工作的进一步开展将取决于两个部委的有效协调和合作。

2003年,国家出台《国家信息化领导小组关于加强信息安全保障工作的意见》(简称“27号文件”),明确要求我国信息安全保障工作实行等级保护制度,2007年出台《信息安全等级保护管理办法》(简称“43号文件”)。随着两项标志性文件的下发,2007年被称为等级保护的启动元年;由于要对现有信息安全系统进行加固,大量产品和服务采购开始,2008年被普遍视为等级保护采购元年;更有业内人士说,2009年等级保护的好戏才真正上演。

“当前的信息与网络安全研究,处在忙于封堵现有信息系统安全漏洞的阶段。”公安部网络安全保卫局处长郭启全认为,“要彻底解决这些迫在眉睫的问题,归根结底取决于信息安全保障体系的建设。目前,我们迫切需要根据国情,从安全体系整体着手,在建立全方位的防护体系的同时,完善法律体系,并加强管理体系。只有这样,才能保证国家信息化的健康发展,确保国家安全和社会稳定。”

“事实上,信息安全等级保护的核心思想就是根据不同的信息系统保护需求,构建一个完整的信息安全保护体系。分析《计算机信息系统安全保护等级划分准则(GB 17859-1999)》可以看出,信息安全等级保护的重点在于内网安全措施的建设和落实。建立一个完整的内网安全体系,是信息系统在安全等级保护工作中的一个重点。”郭启全说。

第3篇：网络安全等级保护重要性范文

【 关键词 】 等级保护；烟草企业；信息安全体系

1 等级保护思想

等级保护思想自20世纪80年代在美国产生以来，对信息安全的研究和应用产生着深远的影响。以ITSEC、TCSEC、CC等为代表的一系列安全评估准则相继出台，被越来越多的国家和行业所引入。我国于20世纪80年代末开始研究信息系统安全防护问题，1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》（国务院147号令），明确规定计算机信息系统实行安全等级保护。至此，等级保护思想开始在我国逐渐盛行。

我国的安全等级保护主要对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护。其核心思想就是对信息系统分等级、按标准分类指导，分阶段实施建设、管理和监督，以保障信息系统安全正常运行和信息安全。信息系统的安全等级保护由低到高划分为五级，通过分级分类，以相应的技术和管理为支撑，实现不同等级的信息安全防护。

2 烟草行业引入等级保护思想的意义

烟草行业高度重视等级保护工作，实施信息安全等级保护，能有效地提高烟草行业信息安全和信息系统安全建设的整体水平。

2.1 开展安全等级结构化安全设计

安全等级保护在注重分级的同时，也强调分类、分区域防护。烟草行业虽强调分类、分区域，但存在一定局域性。同时，由于缺少分级准则，差异化保护尚未深化。引入等级保护思想，有助于深化结构化安全设计理念，通过细分类型、划分区域，全面梳理安全风险，明晰防护重点，构建统一的安全体系架构。

2.2 注重全生命周期安全管理

等级保护工作遵循“自主保护、重点保护、同步建设、动态调整”四大基本原则，其“同步建设、动态调整”原则充分体现了全生命周期管理的思想。烟草行业在全建设“同步”思想方面体现不深，未在系统的建设初期将安全需求纳入系统的整体阶段。引入新思想，明确新建系统安全保护要求，提升安全管理效率。

3 等级保护在烟草行业的实施路径

信息安全等级保护工作的内容主要涉及系统定级备案、等级保护建设、风险评估与等级安全测评、安全建设整改。烟草行业推行等级保护工作，其实施路径主要有几条。

3.1 信息系统安全定级

主要包括信息系统识别、信息系统划分、安全等级确定。其中，原有信息系统根据业务信息安全重要性、系统服务安全重要性等方面综合判定，合理定级。

3.2 等级保护安全测评

在等级保护环境下对信息系统重要资产进行风险评估，通过等保测评，发现与等级保护技术、管理要求的不符合项。

3.3 制订等级保护实施方案

依据安全建设总体方案、等级保护不符合项，全面梳理存在问题，分类形成各层级问题清单；并合理评估安全建设整改的难易度，全面有效制订等级保护方案，明确安全整改目标。

3.4 开展安全整改与评估

根据等级保护实施方案开展建设，具体主要包括安全域划分、产品采购与部署、安全策略实施、安全整改加固以及等级保护管理建设等。并不定期开展安全评估，不断巩固信息安全与信息系统安全。

4 基于等级保护的烟草企业信息安全体系建设

根据等级保护工作的实施路径分析得出，等级保护与信息安全体系存在许多共性，有较好的融合度。因此，探索基于等级保护的行业信息安全体系具有深刻意义。

信息安全体系的核心是策略，由管理、技术、运维三部分组成。在等级保护思想的融合下，信息安全体系建设更加注重“分级保护、分类设计、分阶段实施”。根据等级保护思想，烟草行业信息安全体系概述有几点。

4.1 分级保护

烟草行业的信息安全体系以信息系统等级为落脚点，实行系统关联分级，具体分为人员分级、操作权限分级、应用对象分级。首先确定使用对象的范围。对人员实行不同分级，即人员、可信人员、不可信人员等；其次，根据人员分级，划分操作权限，即高权限、特殊权限、中权限、低权限等；最后根据业务信息安全等级和应用服务等级，明确应用系统等级，即一至五级安全等级。通过“人员—操作—应用”的关联链，制订分级准则，从而达到分级保护的目的。

4.2 分类设计

信息安全体系分类设计，主要涉及不同类型、不同区域、不同边界三方面的结构化设计。

4.2.1 类型设计

根据安全等级保护要求以及安全体系特点，分为技术、管理和运维三大类型，并进行类型策略设计。其中技术要求分为物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等四部分，管理要求分为安全管理制度、安全管理机构、人员安全管理、系统建设管理等四部分。运维要求分为系统运维管理、系统运维评估等两部分。

（1）技术策略注重系统自身安全防护功能以及系统遭损害后的恢复功能两大层面。如主机管理，其中主机管理、身份鉴别、访问控制、安全审计、入侵方法等标准要按级体现；而不同的策略同样也要根据两大层面按需设计。

（2）管理策略注重管理范围全面性、资源配置到位性和运行机制顺畅性。诸如安全管理机构是否明确了机构组成，岗位设置是否合理、人员配置是否到位、沟通运行机制是否顺畅等。

（3）运维策略主要体现运维流程的清晰度、运维监督考核的执行度。诸如系统运维管理是否明确运维流程及运维监督考核指标，诸如重大事件、巡检管理、故障管理等。通过分类设计达到结构化层级要求。

4.2.2 区域设计

区域设计主要指安全域。安全域从不同角度可以进行划分，主要分为横向划分和纵向划分，横向划分按照业务分类将系统划分为各个不同的安全域，如硬件系统部分、软件系统部分等；纵向在各业务系统安全域内部，综合考虑其所处位置或连接以及面临威胁，将它们划分为计算域、用户域和网络域。

烟草行业根据体系建设需要，将采用多种安全域划分方法相结合的方式进行区域划分。

（1）以系统功能和服务对象划分烟草重要信息系统安全域和一般应用系统安全域。采取严格的访问控制措施，防止重要信息系统数据被其它业务系统频繁访问。

（2）以网络区域划分烟草行业信息系统的数据存储区、应用服务区、管理中心、信息系统内网、DMZ区等不同的安全域。数据存储区的安全保护级别要高于应用服务区，DMZ区的安全级别要低于其它所有安全域。

4.2.3 边界设计

要清晰系统、网络、应用等边界，通过区域之间划分，明晰边界安全防护措施。边界设计的理念基于区域设计，在区域划分成不同单元的基础上，实行最小安全边界防护。边界防护本着“知所必需、用所必需、共享必需、公开必需、互联互通必需”的信息系统安全控制管理原则实施。

4.3 分阶段实施

烟草信息安全体系建设要充分体现全生命周期管理思想，从应用系统需求开始，分阶段推进体系建设。

4.3.1 明确安全需求

为保证信息安全体系建设能顺利开展，行业新建系统必须在规划和设计阶段，确定系统安全等级，明确安全需求，并将应用系统的安全需求纳入到项目规划、设计、实施和验证，以避免信息系统后期反复的整改。

4.3.2 加强安全建设

要在系统建设过程中，根据安全等级保护要求，以类型、区域和边界的设计为着力点，全面加强安全环节的监督，及时跟踪安全功能的“盲点”，使在系统建设中充分体现安全总体设计的要求，稳步推进安全体系稳步开展。

4.3.3 健全安全运维机制

自系统进入运维期后，要建立健全安全运维机制。梳理运维工作事项，理顺运维业务流程，并通过制订运维规范、运维质量评价标准、运维考核标准等，规范安全运维管理，提高安全运维执行力，以确保系统符合安全等级要求。

4.3.4 开展全面安全测评

在安全建设阶段，对行业现状要全面诊断评估，尤其是对已定级的信息系统，加强安全测评，形成安全整改方案，并结合安全体系设计框架，按阶段、分步骤落实，注重整改质量与效率，降低安全风险。

4.3.5 落实检查与评估

检查评估必须以安全等保要求为检查内容，充分借助第三方力量，准确评估行业安全管理水平，并及时调整安全保护等级，不断促进行业信息安全工作上台阶。

5 结束语

信息安全体系建设作为一项长期的系统工程，等级保护思想的引入，以其保护理念的先进性和实施路径的可行性，为信息安全体系建设提供了新的思路和方法。烟草行业将在信息安全等级保护工作中切实提高烟草业务核心系统的信息安全，保障行业系统的安全、稳定、优质运行，更好地服务国家和社会。

参考文献

[1] 公安部等.信息安全等级保护管理办法[Z]. 2007-06-22.

[2] 国家烟草专卖局.烟草行业信息安全保障体系建设指南[Z].2008-04-25.

第4篇：网络安全等级保护重要性范文

该文对供水企业信息集成系统安全进行分析，并探讨了可以针对性改进的安全防护措施。首先对当前供水信息系统安全现状做具体分析，然后研究了在“自主定级，自主保护”的原则下改进和提高供水企业集成信息系统安全具体的执行方案，最终实现供水企业信息集成系统的信息安全防护。

关键词：

供水企业信息集成系统；等级保护；信息安全

供水行业对国计民生很重要的一个行业，供水企业的业务性质要求以信息的整体化为基本立足点，集中管理所有涉及运营的相关数据，针对供水企业运行的特殊要求，进行集中的规划和架构，将不同专业的应用系统进行整合，最终形成完整的供水企业综合信息平台。[1]而集成系统中最重要的一个要求就是信息安全。

随着大数据时代的到来，网格、分布式计算、云计算、物联网等新技术相继推出，对供水企业信息集成与应用也提出了更高的要求。而随着应用的扩展，应用中存在着大量的安全隐患，网络黑客、木马、病毒和人为的破坏等将大量的安全威胁带给信息系统。根据美国Radicati公司于2015年3月的调查报告，截至2014年12月，网络攻击已经为全球计算机网络安全造成高达上万亿美元的损失。而且随着网络应用的规模进一步上升，计算机网络信息安全威胁造成的损失正在呈几何级数增长。根据2015年的中国网络安全分析报告，2014年报告的网络安全攻击事件比2013年增加了100多倍。2014年，搜狗由于网络黑客攻击导致搜索服务在全国各地都出现了长达25分钟无法使用。2014年7月，某域名服务商的域名解析服务器发生了网络黑客的集中式攻击，造成在其公司注册的13%的网站无法访问，时间长达17个小时，经济损失不可估量。因此，从信息安全的角度，要对供水企业信息集成系统进行防护，降低信息安全事故的发生的概率，降低其危害，是本文需要研究的内容。

1当前供水企业信息集成系统安全防护的现状和存在的问题

伴随着科技的不断发展，供水企业的信息化建设也得到了很大的发展，主要是从深度和广度两个层面做进一步拓展。典型的供水企业信息集成系统涵盖了生产调度系统、销售系统、管网信息系统、财务管理系统、人事管理系统、办公自动化系统等子系统。其中多个系统数据需要接受外部访问，存在大量的安全隐患。目前，威胁到供水企业信息安全的风险因素主要分为三个大类：1）人为原因，如恶意的黑客攻击、不怀好意的内部人员造成的信息外泄、操作中出现低级错误等。2）数据存储位置位置的风险。可能由自然灾害引发的问题，缺乏数据备份和恢复能力。3）不断增长的数据交互放大了数据丢失或泄漏的风险。包括未知的安全漏洞、软件版本、安全实践和代码更改等。

2有关分级防护的要求

尤其是供水企业信息集成系统中，存在大量涉及公民个人隐私的信息，也存在像生产调度这样涉及国计民生的信息。因此，需要按照国家有关信息安全的法律法规，明确企业的信息安全责任。提升供水企业信息管理区内的业务系统信息安全防护。依据《信息安全等级保护管理办法》（公通字[2007]43号）第十四条，信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。定级标准按照国家标准《信息系统安全等级保护定级指南》（GB/T22240—2008）实施，根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种：1）造成一般损害；2）造成严重损害；3）造成特别严重损害。

3分别防护实施步骤

根据有关法律法规，建设完成并投入使用的信息系统，其有关使用此系统的单位需要对其系统的等级状况做定期的测评。供水企业要遵照要求选择具有资质的测评机构来对管理信息区的业务系统做等级保护的测评工作。其所得到的结果如下表1所示：通常情况下，供水企业信息系统中不会出现第四级和第五级的系统。根据测评结果，有必要对供水企业内部的局域网进行系统化整改。具体的整改内容包括两项主要内容：细化各业务系统服务器的物理位置；按照需求设置信息安全区域。根据供水企业信息集成系统的具体实际，主要有等级包括三个业务区域，以及一个公共业务区和测评业务区。按照上述原则对供水企业信息集成系统服务器做物理划分如图1所示。不同等级的系统服务器针对不同级别的信息安全区进行设置。等级为一、二、三的业务区分别安装着对应的服务器，而公共业务区域的服务器主要是DNS服务器或者是域服务器。公共业务区服务器主要为基础服务提供非业务系统服务，不需要进行保护分级。测评业务区提供是投入正式使用前的测试服务器。

依据表1的测评结果，将安全区域进行细化表2所示的就是企业管理信息区，其主要业务系统对安全区域存放问题的展示。根据表2得到的结果，可以将信息安全设备存放在不同信息区域边界内，以此达到服务器分级防护目的。信息安全设备设置在信息安全区域边界，也就是局域网与信息安全区域之间的连接部。信息安全设备主要是防火墙、查杀病毒、攻击防护、服务防护禁止、授权等。对于不同区域边界的信息安全的部署建议，供水企业要遵照各自的实际情况做周密的设置。供水企业管理信息安全区域边界防护表见表3。将信息安全防护设备部署在所在的区域边界内，如此可以初步实现对供水企业管理信息区的信息安全防护。

4结束语

随着大数据的发展，对供水企业信息集成系统在数据的交互和应用方面会提出更高的要求，也大大加强了安全防护措施的重要性和迫切性。在安全防护措施基本到位的前提下，还需要加强信息审计，及时发现和补救系统缺陷，加强数据库安全防护，维护管理系统的隐患。

参考文献：

[1]孙锋.基于多agent技术的供水企业信息集成系统研究[J].供水技术,2015(10).

第5篇：网络安全等级保护重要性范文

［关键词］现代医院；管理制度；信息管理制度

引言

2017年7月国务院办公厅印发《关于建立现代医院管理制度的指导意见》（［2017］67号）（简称“67号文”），对建立现代医院管理制度做了系统安排。67号文指出：现代医院管理制度是中国特色基本医疗卫生制度的重要组成部分。要加快医疗服务供给侧结构性改革，实现医院治理体系和管理能力现代化，为推进健康中国建设奠定坚实基础。可见，作为医改主体和主责的公立医院，改革核心逐渐聚焦到现代医院管理制度的建立上。

1现代医院管理制度架构与对医院信息化建设的要求

1．1现代医院管理制度的政策框架

67号文是我国建立现代医院管理制度的顶层设计文件，整个制度通过宏观层面和微观层面两个维度，勾画出现代医院管理的结构框架［1］，如图1所示。从宏观层面看，该顶层设计理清了三方面的关系，即明晰了政府与医院、社会与医院、党与医院之间的关系。明确了政府举办职能、落实公立医院经营管理自主权、政府监管职能三份权力清单。也明确了两种监督力量：加强社会监督和行业自律。并明确了一个方向：加强医院党建。从微观层面看，该顶层设计对医院内部治理也进行了制度安排：首先，以医院章程为基础明确了医院的运行规范；其次，明晰了医院内部决策机制；第三，明确了保障医院正常运转的八项核心制度，信息管理制度是核心制度之一；最后，强调通过健全民主管理制度、加强医院文化建设、实施全面便民惠民服务三种软性力量来加强医院内部治理。该顶层设计第一次把信息管理制度作为医院内部治理的核心制度之一，彰显了医院信息管理制度建设的重要性。

1．2现代医院管理制度对医院信息化建设的要求

该顶层设计指出，现代医院管理制度建设的主要目标是：到2020年，要基本形成维护公益性、调动积极性、保障可持续的公立医院运行新机制和决策、执行、监督相互协调、相互制衡、相互促进的治理机制，促进社会办医健康发展，推动各级各类医院管理规范化、精细化、科学化，基本建立权责清晰、管理科学、治理完善、运行高效、监督有力的现代医院管理制度。现代医院必须要有现代化的治理体系和管理能力［2］，该主要目标中提到的“管理科学，运行高效，监督有力”的实现都需要建立在强大的医院信息系统之上。首先是管理科学，管理科学诸多先进管理理念的落地，基本都需要通过现代化的医院信息系统来实现。其次是运行高效，评价医院是否运行高效的3E指标［3］，即“效益指标、效率指标、经济指标，同样需要强大的医院信息系统支持。第三是监督有力，更需要拿数据说话，比如上海申康对所属市级三级医院的监督，非常有力，主要是依靠医联信息平台上的真实数据［4］。67号文第十一部分对医院信息化建设特别提出：医院要强化信息系统标准化和规范化建设，要与医保、预算管理、药品电子监管等系统有效对接。信息化建设要完善医疗服务管理、医疗质量安全、药品耗材管理、绩效考核、财务运行、成本核算、内部审计、廉洁风险防控等功能。信息化建设要加强医院网络和信息安全建设管理，要完善患者个人信息保护制度和技术措施。如上要求可知，现代医院管理需要医院信息化全方位介入。医院最重要的医疗安全保障，越来越依赖医院信息系统的先进性。24小时连续运行的医院业务，对医院信息系统的稳定性要求也越来越高。另外由于“云大物移智”等先进技术的使用而导致的内外网融合，对医院信息系统的安全性要求也越来越高。医院信息系统需要提供给越来越多的内部和外部人员使用，这对医院信息系统的集成化要求也越来越高，也对医院信息系统建设中临床信息的标准化和规范化建设提出了越来越高的要求。研究表明，信息系统应用是否成熟，一个重要指标就是其集成化水平的高低。信息系统越集成，就越能发挥出信息系统在存储资料、传递资料和检索资料三方面的惊人能力。当医院信息系统的集成化水平越高的时候，医院的现代化管理水平也越高［5］。如图2米歇模型所示，医院信息系统集成化的发展方向是“最终用户的集成化技术”，但目前大部分医院尚处在“管理信息系统”走向“集成化系统和技术”的阶段，离“最终用户的集成化技术”尚有距离，医院信息部门还有很多的信息化、集成化的工作需要做。从现代管理的角度讲，所有这些信息化、集成化工作的推进都需要有一个好的制度保障———信息管理制度。没有规矩不成方圆，再加上《GB∕T22239－2019信息安全技术网络安全等级保护基本要求》（以下简称“等保2．0”）对安全的新要求，医院需要重新思考符合现代医院管理制度的信息管理制度的建设和健全问题。

2医院信息管理制度的主体架构

医院信息管理制度包含的内容很多，目前各家医院并没有统一的命名规范，同样命名的制度在不同的医院其内容也不太一致。为构建医院信息管理制度的主体架构，需要有一个好的视角。鉴于医院信息安全变得越来越重要，从信息安全等级保护的角度来分析和构建信息管理制度的主体架构，可能更容易理解医院信息管理制度的体系框架。以下结合2019年5月1日最新的等保2．0，来构建信息管理制度的主体架构。

2．1信息安全等级保护的基本框架

2019年5月1日信息安全技术网络安全等级保护基本要求正式，标志信息安全技术网络安全等级保护由1．0迈入2．0，和等保1．0相比较，等保2．0的安全通用要求的框架已做调整，相关的技术细节要求也有不少变化［6］。医院信息化建设，信息管理制度构建也需要重新对标思考。总体来说，医院信息管理制度的建设应该覆盖等保2．0安全通用要求所提及的所有相关内容，包括安全物理环境，安全通信网络，安全区域边界，安全计算环境，安全管理中心，安全管理制度，安全管理机构，安全管理人员，安全建设管理，安全系统运维。等保2．0安全扩展要求主要是技术方面的考量，在信息管理制度建设上可以和安全通用要求一致。

2．2医院信息管理制度建设的策略路径

如同现代医院管理制度构建医院内部治理体系，强调首先需要建立医院章程一样，等保2．0和等保1．0一样，针对医院信息管理制度建设和健全首先提到三点建设总则，具体如下：①应对安全管理活动中的各类管理内容建立安全管理制度；②应对管理人员或操作人员执行的日常管理操作建立操作规程；③应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。上述原则特别重要，一般来说很多医院只注意制度建设，而不太重视相应的操作规程的建立以及记录表单的设计。上述原则作为医院信息管理制度建设的策略路径，严格遵照执行可以提升医院信息管理制度建设的规范性、全面性和一致性。2．3医院信息管理制度建设的主体框架根据等保2．0新的基本框架和安全要求，可以勾勒出医院信息管理制度主体框架。相应制度的具体条款及制度的建设边界的编制，需参考等保2．0中各部分的具体内容描述。另外也要部分参考《中华人民共和国网络安全法》，确保制度的建立符合法律法规的要求。

3持续改进健全医院信息管理制度

3．1大型三级医院信息管理制度健全

大型三级医院近几年通过三级等保测评或者电子病历测评等，逐步建立了相应的医院信息管理制度，但现有的信息管理制度建设也存在一些问题：（1）部分制度不太健全。很多制度有了，但可能没有明确的操作规程，也缺少相应的记录表单，需要健全。（2）部分制度需要更新。信息技术发展很快，很多的硬件技术、软件技术都在快速更替，制度中的少部分描述会显得陈旧，需要考虑予以及时更新并进行版本控制。（3）部分制度得不到有效执行。部分制度是为了应对某些测评建立的，实际工作中并没有得到有效执行。需要结合等保2．0的规范要求和医院的实际情况，对制度进行相应修订，以确保制度制定的合理性和适用性，并在实际医院信息管理工作中得到落实。

第6篇：网络安全等级保护重要性范文

医疗系统信息安全需求与安全风险分析

安全是一种需要，是人们生存的需要，生活质量提高的需要。安全是一个目标，它需要人们为此做出努力。信息安全目标是指防止意外事故和恶意攻击对信息及信息系统安全属性的破坏，安全属性包括保密性、完整性、可用性、真实性、不可否认性、可核查性、可靠性[2]和可控性等。对医疗卫生行业来说，患者生命安全是第一位的，因此，临床诊疗信息系统的可用性(可靠性)需求是最重要的。另外，个人医疗健康信息是患者的隐私内容，随着《个人隐私法》的出台，对医疗信息系统的保密性提出了更高的要求。医疗卫生行业的信息安全需求主要源于两方面的驱动：一是内部自身信息安全需求，二是法律法规要求。医疗机构的患者具有隐私权，为维护患者的隐私权，医生、护士和其他员工都有为病人保密的责任。《中华人民共和国护士管理办法》、《中华人民共和国执业医师法》、《医务人员医德规范及实施办法》、《母婴保健法》、《传染病防治法》、《电子病历基本规范》，以及即将出台的《个人隐私法》等相关法规中都对保护患者隐私提出了相应的要求和规定。2.1医疗卫生行业信息安全现状随着信息环境越来越复杂，以及医疗卫生行业对信息系统的依赖程度越来越强，信息安全问题越来越突出，患者信息泄露事件、数据泄漏、知识产权与医疗机构科研成果被盗用现象频频发生，大规模的DoS侵入、信息系统遭黑客攻击、蠕虫病毒与垃圾邮件泛滥等安全事件逐渐增多，不仅严重影响到医疗业务系统的正常运行，还直接威胁到患者的隐私，甚至是患者的生命安危。与其他行业相比，中国的医疗卫生行业在信息安全保障领域的工作刚刚起步，虽然部署了一些安全产品，但仍处于“头疼医头，脚痛医脚”的阶段，信息安全意识相对落后，没有专门的信息安全组织机构，更没有建立规范成套的管理制度。从医疗卫生行业内部管理来看，医疗信息系统面临着多方面的信息安全风险，这些风险主要在于：1)医务工作者信息安全意识淡薄，领导不够重视，认识不够全面，信息安全保障措施投入严重不足，医疗信息化建设中，医疗机构高投入地进行信息系统及其网络基础设施等的建设，而在信息安全管理与技术方面考虑、投入却严重不足，管理措施严重滞后，相关信息安全规章制度与操作手册严重缺乏。2)信息安全需求分析不够全面，信息安全风险估计不足。业务信息系统、设备的获取、采购与检测程序不够健全与重视，以及在与第三方的合作时也没有识别出相关的风险，对第三方人员(如软件外包人员、工程建设总包)的审查和管理方面做得不够，没有采取措施进行相应的控制。3)医疗信息系统的运营缺少有效的安全保护措施和审计机制，存在账号滥用、业务数据被非法读取的风险。另外，医疗信息系统不是一个孤立的系统，与合作单位甚至互联网都存在接口，存在被黑客入侵、网络攻击的风险。4)医疗卫生行业内外网划分不清晰，内外网隔离安全防范措施缺失，网络安全漏洞比其他行业更加严重，导致可能存在医疗信息系统的核心业务信息通过互联网泄密与被黑客入侵的风险。随着医疗手段越来越依赖网络，网络故障可以像电源故障那样导致医生手术的中断，直接危及患者的生命。2.2医疗卫生行业信息安全风险分析医疗卫生行业信息安全风险分析是指对医疗卫生行业信息系统及重要信息资产面临的安全风险进行分析与评价的过程，在该过程中要识别信息系统的价值、内在的脆弱性及所面临的外部威胁，进而确定威胁利用弱点导致安全事件发生的概率，最终确定风险的大小或等级。为了便于实际分析工作，根据医疗卫生行业信息系统功能的不同，依次划分为几个方面，分别是综合管理系统、医疗诊断信息系统、数据库系统、硬件信息系统(包含网络设备)、重要信息载体以及掌握重要信息的医务工作者等。虽然由于医疗系统各系统独立性强的特点，孤立地分析单个信息系统所面临的风险对医疗机构而言意义重大，但同时更要综合考虑整体业务的正常运营。医疗结构的重要业务是患者的健康安全，因此应考虑以患者健康安全为中心来进行信息安全风险分析工作。医疗机构的整体信息安全风险是各个业务的风险与其相应的业务重要性加权值之积的和。信息安全风险分析结果可以作为信息安全等级保护工作有力的支持与依据。

医疗卫生行业信息系统等级保护体系化实施

(1)等级保护实施计划阶段即信息系统识别定级与备案，在此阶段：1)要明确的是医疗机构的信息安全需求与国家针对医疗行业等级保护的要求。2)要明确医疗机构等级保护的范围或要保护的对象，谈到信息安全时，许多人的视野往往停留在数据化的信息本身，这无疑过于狭窄。医疗系统信息安全保障的对象是应用业务信息系统、主机与主机系统、网络与通信设备、环境与设备、患者信息数据、科研成果与知识专利等。3)针对各医疗系统进行科学的定级，应根据各科室的工作职能、重要性、所涉及信息的重要程度等因素进行科学定级，在信息系统的定级过程中可以参考信息安全风险分析的情况，确定系统的安全等级，并找出系统安全现状与等级要求的差距，形成完整准确的信息安全需求。信息系统定级针对不同的安全域确定不同的等级，在同一个系统里，还允许划分不同的安全域，在每个安全域可以分别定级，遵循“谁建设、谁定级”的原则。安全技术框架包括：安全技术设施体系、信息系统的获取开发维护体系、安全运维体系、数据系统安全体系、网络与通信安全体系、访问控制安全体系以及计算机环境安全体系等。安全管理框架包括：安全策略体系、安全组织体系、物理环境安全体系、合规性安全体系、安全事件管理体系、安全风险分析体系以及信息安全人才培养体系等，并使用符合国家有关规定的信息安全技术与产品。安全检查阶段的主要工作是对信息安全技术与管理两方面工作的落实程度与效果进行分析和评价，判断建立的信息安全保障体系是否符合相关的标准要求，是否满足预期的效果，及对信息安全保障工作的符合性、有效性、充分性与适宜性进行评价，包括信息系统主机审计与应用审计。检查的目的是为了更好的改进，信息安全等级保护措施在改进过程中要严格按照国家的相关标准，结合信息系统的实际情况，逐项进行安全风险分析。根据安全风险分析的结果，对部分保护要求进行适当的调整和整改。调整应以不降低信息系统整体安全保护强度，确保患者生命安全为原则。

作者：陈晓雷 单位：北京网御星云信息技术有限公司

第7篇：网络安全等级保护重要性范文

关键词：高效便捷；医院计算机；安全问题；防御结构

前言

随着网络时代的到来，各项科技技术获得了极大的突破，也在实际生活中得以应用。而在现代医院运行管理中，计算机网络信息技术的综合运用便是极为明显的可靠实例。通过加强改进医院计算机系统管理与风险控制，改善医疗整体服务质量与业务能力。通过对现代医院计算机信息系统重要性分析阐述，并对其风险控制方法提出建议。

1医院计算机信息网络系统建立的重要性

由于网络技术的飞速发展，已经对现代社会，生活，政治，经济等各方面产生深远影响，深入渗透。尤其在医院现代化管理中，医院信息网络化管理，资源数据化带来了非常大的便利，也是现代化医院建立的必要条件。借助计算机网络工具，提高服务质量，医疗水平，促进医疗事业的发展。通过信息网络管理后，使医院运营得更加规范科学。不仅推动了医院现代化改革，也对整个医疗事业的发展提供了助力，其意义与作用不言而喻。传统的医院管理中，由于缺乏网络信息，往往花费大量的财力物力人力对进行日常维护。随着医院计算机信息系统的引入，不断地智能化科学化，在很大程度上对医院的资源配置进行合理优化，提高了整体的医疗竞争力。而在信息分析处理中，因为计算机的决策整合，使得最终处理结果更加合理精确。例如在对患者病情记录分析中，职员考察考核等等，都可以高速便捷的展开研究。

2计算机软件信息安全维护

在医院计算机使用过程中，要做到医院计算机自身终端完全不受干扰破坏是不可能的，只有通过提高免疫防御能力，才能减少被感染可能性。但是由于有的高危病毒，传播速度惊人，破坏力极大，并且顽固复杂，难以彻底清除，在短时间内就能造成大量客户计算机无法工作，对医院日常的工作带来了极大的影响。应用系统在数据交换过程中可以对其进行审计，其中记录的事件内容，可能包括客户机地址，具体操作时间，与其他用户结果信息数据。在日常维护处理中，就可以对报告结果导出分析。对于用户私人数据，也应该建立严格的保护机制，安全性，只有通过权限授予才能访问读取相关的信息数据。同时为了保证关联性，可以对用户设置多个角色。系统根据角色类别进行权限操作限制，不仅可以越权操作，还可以设置角色属性限制期的功能，权限的多样化和灵活性大大保证了医院计算机信息系统的安全性。

3计算机信息安全管理制度建立

在安全管理中，可以实施责任制度。例如成立医院信息安全管理组，医院相关负责人，以职能为参考标准，负责安全线的各项工作，定期安排任务与会议总结，发现问题，总结问题，进而深化部署医院计算机信息安全管理工作。在制度的建立中，可以参考服务器，网络设备，技术人员，数据文档相关系列的安全管理制度体系。指定人员定期维护，保存记录，做好应急预案与应急措施，做到日志化管理。对于信息安全操作规范，也需要加强管理。指定系统软件，数据操作规范流程，没有授权不能进行文件复制，数据共享，系统的修改增删。定期维护服务器状态检查，分析日志，并且观测数据是否存在问题，及时发现异常点，做好日志记录，保证完整性与可靠性。可以制定培训计划，在整个培训中，目标，流程，结果应该清晰有效，如果信息安全管理小组发生变化可以及时跟进培训配合，建立独立操作局域网，模拟真实的信息系统环境，帮助相关人员快速准确掌握方法。

4信息系统安全管理控制升级

4.1信息安全细节化设计

医院网络安全数字化是一个长期整体的系统工程，主要围绕防护警示，检测检查，修改恢复这一过程循环运行。如果这一程序链中出现错误，某个环节没有按照预定设置完成，将会产生诸多负面影响。控制好每一个环节的处理，并且严格落实，通过一系列的管理制度与措施，监督责任到位，确保整个信息安全系统安全高效，持续稳定的工作。由于网络技术的不断发展，漏洞与不足暴露得越来越多，对于新应用新技术推广的同时，还需要加强培训，以满足业务工作需要。就信息网络系统自身而言，采用符合实际操作情况与工作状态的结构系统，安全等级与维护难度都将能够降低难度，易于操作。构建多层次，体系化的设计使用户角色等级，权限操作，优先等级分布到更多层次，更多日志记录。那么后续维护，控制分配也将更加灵敏。结合具体的业务情况，在可用性与安全性之间寻找平衡点，在符合安全的大前提下，开拓业务，提升服务质量。

4.2医院计算机信息安全风险控制升级

在某些医院中，计算机网络防御等级较低，需要通过加强安全性对整个系统进行升级。首先需要确保医院计算机信息网络服务器保持正常。要确定系统的长期安全。注意机房服务供电情况，布线合理，温度湿度，雷电预防等问题。保证医院服务器不间断供电，保持电源线路通畅。同时主要设备与核心设备固定器维护与检查，及时发现问题与前兆，快速有效处理。保证计算机中心温控与散热条件良好，使得整个服务器中心环境到达理想状态。保持清洁，除尘保洁，重视物理环境的维护，并且确保数据的及时正确备份。另外，对于医院计算机信息主要管理人员的素质，仍然需要加强，明确权力责任，落实到点。这也关系到医院信息安全工作能否安全运行。对于网络用户也应该严格限制管理，分清患者、医务职员、管理人员的角色职能。对用户和密码加强管理，这样可以有效的避免危险数据与不明软件对服务器的攻击与伤害。同时重视日常计算机系统相关记录数据。在常规服务日志的检测基础上，加以分析预判，进而实施下一步相关措施。例如服务器启动停止，异常运行数等等，都可以有助于信息系统管理者对医院计算机信息系统的全面了解，从而进行评估，得出相关结论。依托数据对系统的安全等级展开定级，制定有效制度措施防范解决问题，确保整个信息系统的安全和高效，达到风险管理控制的目的。

5结束语

提高安全防范意识，完善制度，对于医院计算机信息安全风险管理控制方法不仅仅需要从技术角度入手，自身也需要意识到它的重要性。这不仅关系到医院的整体协作与工作效率，还影响所有部门员工统一性。需要全面了解当前信息系统中的安全问题，并积极应对。因此在提高技术的同时，依靠建立制度对员工进行规范管理，提高防范意识，确保医院计算机信息系统安全。

参考文献

[1]冯成志.浅谈现代医院计算机网络的安全与可靠性[J].科技与创新，2014（7）：143-144.

[2]燕磊.浅谈医院计算机网络安全策略[J].网友世界，2014（2）：10.

第8篇：网络安全等级保护重要性范文

关键词：民航 信息网络 系统安

一、民航信息网络系统安全问题分析

近年来，随着我国经济水平的不断提升，大幅度推动民航领域的发展，在这一背景下，民航的信息网络系统随之进入建设高峰期，该系统除与飞机的飞行安全有关之外，还与空防和运行安全有着极为密切的关联，一旦系统出现问题，轻则会影响民航的正常运营，严重时将会危及到飞机的飞行安全，极有可能造成巨大的经济损失。如某机场的空管飞行数据处理系统发生故障，致使机场的空管雷达无法提供正常的数据，直接导致70余架航班不能按时起落降，数千名乘客的出行受到影响；又如，某航空公司的电子客票系统被黑客入侵，导致多名乘客的机票信息泄露，媒体报道后，造成严重的社会影响，诸如此类事件不胜枚举。

通过对国内一些航空公司进行调查后发现，绝大部分都曾经发生过信息网络安全事件，在诱发安全事件的原因中，计算机病毒、木马、电脑蠕虫等所占的比例较大，约为70-80%左右，网页被恶意篡改、端口扫描等网络攻击约为20-30%左右。上述安全事件之所以会频繁发生，主要是因为民航信息网络系统的安全防护水平不高，给恶意入侵、黑客攻击提供了可能。鉴于此，必须从管理和技术两个方面着手，加强民航信息网络安全建设。

二、民航信息网络安全建设策略

为确保民航信息网络系统安全，必须建立起一套科学合理、切实可行的安全管理制度，并采取先进的技术措施，提高系统的安全等级。

（一）加强安全管理

1.构建完善的制度体系。民航信息网络系统的安全离不开管理，而想要使管理发挥出应有的成效，就必须构建起一套较为完整的制度体系。各大航空公司应当结合自身的实际情况，并总结以往的经验教训，量身定制安全计划和方案，如网络信息安全等级保护与分级保护、安全通报制度等等，确保所有的安全管理工作都能有制度可依。与此同时，还应不断加强对相关人员的管理，提高他们的安全意识，从根本上保证信息网络系统的安全性。

2.做好管理维护工作。民航信息网络系统是由诸多设备组成，想要保证系统的安全，就必须做好运行设备的维护管理。鉴于民航信息网络系统的特点，即启动后不能随意关闭，因此，可从如下几个方面保证系统安全、稳定运行：①控制主机温度。可在信息网络系统建设时，为相关的硬件设施配备一套双机热备加磁盘阵列，这样能够确保网络信息系统的安全性，同时可以选用小型机作为民航运营数据库或是离港系统的服务器，该服务器采用的是分布式架构，其能够在确保安全的基础上，提高系统的可用性。②定期检查。民航信息网络系统中，有一些软件的可靠性相对较低，若是大量用户同时上线可能会导致系统死机的问题发生，通过定期的检查，能及时发现问题，并进行升级维护，由此不但能够提高系统运行效率，而且还能确保\行安全。

（二）安全技术措施

民航在进行信息网络系统安全建设的过程中，要采取合理可行的技术措施，为信息网络系统的安全保驾护航。

1.入侵检测技术。该技术是近年来兴起的一种网络信息安全防范技术，其能够通过对网络信息系统的审计数据、安全日志等进行检测，找出入侵以及入侵企图，这种技术最为主要的作用是对网络信息系统的入侵和攻击进行监控，进而采取相应的措施加以应对，从而确保系统的安全。民航可基于该技术构建一套相对完善的IDS系统，运用该系统对外部的非法入侵以及内部用户的非授权行为进行检测，发现并报告网络信息系统中的异常现象，对针对信息网络系统安全的行为做出及时有效地应对。

2.身份认证技术。该技术具体是对系统操作者身份的确认，其能够借助网络防火墙、安全网关等，对信息网络系统的用户身份权限进行管理，民航的信息网络系统一般只能对操作者的数字身份信息进行识别，而通过身份认证技术的应用，则可有效解决系统操作者物理与数字身份的对应问题，由此为系统的权限管理提供了可靠依据。民航在进行信息网络系统建设时，可以采用以下几种方式对系统操作者的身份进行认证：用户名+密码；用户基本信息验证，如证件号码、信用卡号等；特征识别，如视网膜、指纹、声音等。此外，还可以采用USB key，这样可以进一步提升系统的安全性能。

3.加密与数字签名。这是目前保障网络信息系统及数据安全最为常用的一种技术，它能够有效防止各种机密数据被外部窃取、更改，对于信息安全具有极强的保证。具体应用时，可对一些重要的文件进行加密，这样即便有非法用户入侵到系统当中也无法查看加密文件的内容，加密后等于给文件上锁，其安全性自然会获得保证。而数字签名则可确保用户收到的邮件均为所需用户发送而来，可有效防止垃圾邮件。民航在信息网络系统安全建设时，可合理运用加密和数字签名技术，为各类重要信息提供安全保障。

4.网路防火墙。民航在进行信息网络安全建设时，应当选用高端的防火墙产品，除要具备防火墙的基本功能之外，还应兼具VPN网关功能，建议采用分组过滤式防火墙或是双穴网关防火墙，同时要考虑不同接入方式的适应性。需要注意的是，防火墙要选用正版的，并定期进行升级，这样才能使其作用得以最大限度地发挥。

三、结语

综上所述，民航信息网络安全的重要性不言而喻，因此，必须做好信息网络系统的安全建设工作，民航企业可以结合自身的实际情况，制定科学的管理制度，并采取先进的技术措施，提高系统的安全性，这样不但能减少或是杜绝各类安全事件的发生，而且还有利于促进我国民航事业的持续发展。

参考文献：

[1]余焰，余凯.以空管信息为核心，建立民航信息集成共享系统空管系统信息网络建设需求分析[J].黑龙江科技信息，2015，（04）.

[2]梁有程.分组交换技术在民航数据通信网络中的应用探析[J].电信网技术，2015，（07）.

[3]赵航.以安全保障为前提的民航空管信息系统安全体系的研究[J].科技经济市场，2014，（07）.

第9篇：网络安全等级保护重要性范文

 

随着云计算、大数据等新兴技术的不断发展，企业信息化、智能化程度、网络化、数字化程度越来越高，人类社会进入到以大数据为主要特征的知识文明时代。大数据是企业的重要财富，正在成为企业一种重要的生产资料，成为企业创新、竞争、业务提升的前沿。大数据正在成为企业未来业务发展的重要战略方向，大数据将引领企业实现业务跨越式发展;同时，由此带来的信息安全风险挑战前所未有，远远超出了传统意义上信息安全保障的内涵，对于众多大数据背景下涉及的信息安全问题，很难通过一套完整的安全产品和服务从根本上解决安全隐患。

 

自2008年国际综合性期刊《Nature》发表有关大数据(Big Data)的专刊以来，面向各应用领域的大数据分析更成为各行业及信息技术方向关注的焦点。大数据的固有特征使得传统安全机制和方法显示出不足。本文系统分析了大数据时代背景下的企业信息系统存在的主要信息安全脆弱性、信息安全威胁以及信息安全风险问题，并有针对性地提出相应的信息安全保障策略，为大数据背景下的企业信息安全保障提供一定指导的作用。

 

1 大数据基本内涵

 

大数据(Big Data)，什么是大数据，目前还没有形成统一的共识。网络企业普遍将大数据定义为数据量与数据类型复杂到在合理时间内无法通过当前的主流数据库管理软件生成、获取、传输、存储、处理，管理、分析挖掘、应用决策以及销毁等的大型数据集。大数据具有4V特征(Volume，Varity，Value，Velocity)，即数据量大、数据类型多、数据价值密度低、数据处理速度快。

 

2011年麦肯锡咨询公司了《大数据：下一个创新、竞争和生产力的变革领域》[1]的研究报告，引起了信息产业界的广泛关注。美国谷歌公司(Google)、国际商业机器公司(IBM)、美国易安信公司(EMC)、脸书(Facebook)等公司相继开始了大数据应用、分析、存储、管理等相关技术的研究，并推出各自的大数据解决框架、方案以及产品。例如，阿帕奇软件基金会(Apache)组织推出的Hadoop大数据分析框架，谷歌公司推出的BigTable、GFS(Google File System)、MapReduce等技术框架等，这些研究成果为随后的大数据应用迅猛发展提供了便利的条件。2012年3月，美国奥巴马总统了2亿美元的“Big Data Initiative”(大数据研究和发展计划)，该计划涉及能源、国防、医疗、基础科学等领域的155个项目种类，该计划极大地推动了大数据技术的创新与应用，标志着奥巴马政府将大数据战略从起初的政策层提升到国家战略层。

 

同时，我国对大数据的认识、应用及相关技术服务等也在不断提高，企业界一致认同大数据在降低企业经营运营成本、提升管理层决策效率、提高企业经济效益等方面具有广阔的应用前景，相继大数据相关战略文件，同时国家组织在民生、国防等重要领域投入大量的人力物力进行相关技术研究与创新实践。

 

中国移动通信公司在已有的云计算平台基础上，开展了大量大数据应用研究，力图将数据信息转化为商业价值，促进业务创新。例如，通过挖掘用户的移动互联网行为特征，助力市场决策;利用信令数据支撑终端、网络、业务平台关联分析，优化网络质量。商业银行也相继开展了经融大数据研究，提升银行的竞争力。例如，通过对用户数据分析开展信用评估，降低企业风险;从细粒度的级别进行客户数据分析，为不同客户提供个性化的产品与服务，提升银行的服务效率。总而言之，大数据正在带来一场颠覆性的革命，将会推动整个社会取得全面进步。

 

2 大数据安全研究现状

 

在大数据计算和分析过程中，安全是不容忽视的。大数据的固有特征对现有的安全标准、安全体系架构、安全机制等都提出了新的挑战。目前对大数据完整性的研究主要包括两方面，一是对数据完整性的检测;二是对完整性被破坏的数据的恢复。在完整性检测方面，数据量的增大使传统的MD5、SHA1等效率较低的散列校验方法不再适用，验证者也无法将全部数据下载到本地主机后再进行验证。

 

面向大数据的高效隐私保护方法方面，高效、轻量级的数据加密已有多年研究，虽然可用于大数据加密，但加密后数据不具可用性。保留数据可用性的非密码学的隐私保护方法因而得到了广泛的研究和应用。这些方法包括数据随机化、k-匿名化、差分隐私等。

 

这些方法在探究隐私泄漏的风险、提高隐私保护的可信度方面还有待深入，也不能适应大数据的海量性、异构性和时效性。在隐私保护下大数据的安全计算方面，很多应用领域中的安全多方计算问题都在半诚实模型中得到了充分的研究，采用的方法包括电路赋值(Circuit Evaluation)、遗忘传输(Oblivious Transfer)、同态加密等。通过构造零知识证明，可以将半诚实模型中的解决方法转换到恶意模型中。而在多方参与、涉及大量数据处理的计算问题，目前研究的主要缺陷是恶意模型中方法的复杂度过高，不适应多方参与、多协议执行的复杂网络环境。

 

企业大数据技术是指大数据相关技术在企业的充分应用，即对企业业务、生产、监控、监测等信息系统在运行过程中涉及的海量数据进行抽取、传输、存储、处理，管理、分析挖掘、应用决策以及销毁等，实现大数据对企业效率的提升、效益的增值以及风险的预测等。

 

企业的大数据类型通常主要包括业务经营数据即客户信息数据、企业的生产运营与管理数据以及企业的设备运行数据等，即客户信息数据、员工信息数据、财务数据、物资数据、系统日志、设备监测数据、调度数据、检修数据、状态数据等。企业大数据具有3V、3E特征[2]，3V即数据体量大(Volume)、数据类型多(Varity)与数据速度快(Velocity)，3E即数据即能量(Energy)、数据即交互(Exchange)与数据即共情(Empathy)。

 

3 大数据时代企业信息安全漏洞与风险并存

 

大数据时代，大数据在推动企业向着更为高效、优质、精准的服务前行的同时，其重要性与特殊性也给企业带来新的信息安全风险与挑战。如何针对大数据的重要性与特殊性构建全方位多层次的信息安全保障体系，是企业发展中面临的重要课题。大数据背景下，结合大数据时代的企业工作模式，企业可能存在的信息安全风险主要表现在以下三个方面：

 

(1)企业业务大数据信息安全风险：由于缺乏针对大数据相关的政策法规、标准与管理规章制度，导致企业对客户信息大数据的“开放度”难以掌握，大数据开放和隐私之间难以平衡;企业缺乏清晰的数据需求导致数据资产流失的风险;企业数据孤岛，数据质量差可用性低，导致数据无法充分利用以及数据价值不能充分挖掘的风险;大数据安全能力和防范意识差，大数据人才缺乏导致大数据分析、处理等工作难以开展的风险;管理技术和架构相对滞后，导致数据泄露的风险。

 

(2)企业基础设施信息安全风险：2010年，震网病毒[3]通过网络与预制的系统漏洞对伊朗核电站发起攻击，导致伊朗浓缩铀工程的部分离心机出现故障，极大的延缓了伊朗核进程。从此开启了世界各国对工业控制系统安全的重视与管控。对于生产企业，工业生产设备是企业的命脉，其控制系统的安全性必须得到企业的高度重视。随着物理设备管理控制系统与大数据采集系统在企业的不断应用，监控与数据采集系统必将成为是物理攻击的重点方向，越来越多的安全问题随之出现。

 

设备“接入点”范围的不断扩大，传统的边界防护概念被改变; 2013年初，美国工业控制系统网络紧急响应小组(ICS-CERT)预警，发现美国两家电厂的发电控制设备在2012年10月至12月期间感染了USB设备中的恶意软件。该软件能够远程控制开关闸门、旋转仪表表盘、大坝控制等重要操作，对电力设备及企业安全造成了极大的威胁。

 

(3)企业平台信息安全风险： 应用层安全风险主要是指网络给用户提供服务所采用的应用软件存在的漏洞所带来的安全风险，包括： Web服务、邮件系统、数据库软件、域名系统、路由与交换系统、防火墙及网管系统、业务应用软件以及其他网络服务系统等;操作系统层的安全风险主要是指网络运行的操作系统存在的漏洞带来的安全风险，例如Windows NT、UNIX、Linux系列以及专用操作系统本身安全漏洞，主要包括访问控制、身份认证、系统漏洞以及操作系统的安全配置等;网络层安全风险主要指网络层身份认证，网络资源的访问控制，数据传输的保密性与完整性、路由系统的安全、远程接入、域名系统、入侵检测的手段等网络信息漏洞带来的安全性。

 

4 企业大数据信息安全保障策略

 

针对大数据时代下企业可能存在的信息安全漏洞与风险，本文从企业的网络边界信息安全保障、应用终端信息安全保障、应用平台信息安全保障、网络安全信息安全保障、数据安全信息安全保障等多方面提出如下信息安全保障策略，形成具有层次特性的企业信息安全保障体系，提升大数据时代下的企业信息安全保障能力。

 

4.1企业系统终端——信息安全保障策略

 

对企业计算机终端进行分类，依照国家信息安全等级保护的要求实行分级管理，根据确定的等级要求采取相应的安全保障策略。企业拥有多种类型终端设备，对于不同终端，根据具体终端的类型、通信方式以及应用环境等选择适宜的保障策略。确保移动终端的接入安全，移动作业类终端严格执行企业制定的办公终端严禁“内外网机混用”原则，移动终端接入内网需采用软硬件相结合的加密方式接入。配子站终端需配置安全模块，对主站系统的参数设置指令和控制命令采取数据完整性验证和安全鉴别措施，以防范恶意操作电气设备，冒充主站对子站终端进行攻击。

 

4.2企业网络边界——信息安全保障策略

 

企业网络具有分区分层的特点，使边界不受外部的攻击，防止恶意的内部人员跨越边界对外实施攻击，在不同区的网络边界加强安全防护策略，或外部人员通过开放接口、隐蔽通道进入内部网络。在管理信息内部，审核不同业务安全等级与网络密级，在网络边界进行相应的隔离保护。按照业务网络的安全等级、实时性需求以及用途等评价指标，采用防火墙隔离技术、协议隔离技术、物理隔离技术等[4]对关键核心业务网络进行安全隔离，实现内部网与外部网访问资源限制。

 

4.3企业网络安全——信息安全保障策略

 

网络是企业正常运转的重要保障，是连接物理设备、应用平台与数据的基础环境。生产企业主要采用公共网络和专用网络相结合的网络结构，专用网络支撑企业的生产管理、设备管理、调度管理、资源管理等核心业务，不同业务使用的专用网络享有不同安全等级与密级，需要采取不同的保障策略。网络弹性是指基础网络在遇到突发事件时继续运行与快速恢复的能力。采用先进的网络防护技术，建立基础网一体化感知、响应、检测、恢复与溯源机制，采取网络虚拟化、硬件冗余、叠加等方法提高企业网络弹性与安全性;对网络基础服务、网络业务、信息流、网络设备等基础网络环境采用监控审计、安全加固、访问控制、身份鉴别、备份恢复、入侵检测、资源控制等措施增强网络环境安全防护;在企业网络中，重要信息数据需要安全通信。针对信息数字资源的安全交换需求，构建企业的业务虚拟专用网。在已有基础网络中采用访问控制、用户认证、信息加密等相关技术，防止企业敏感数据被窃取，采取建立数据加密虚拟网络隧道进行信息传输安全通信机制。

 

4.4企业应用系统平台——信息安全保障策略

 

应用系统平台安全直接关系到企业各业务应用的稳定运行，对应用平台进行信息安全保障，可以有效避免企业业务被阻断、扰乱、欺骗等破坏行为，本文建议给每个应用平台建立相应的日志系统，可以对用户的操作记录、访问记录等信息进行归档存储，为安全事件分析提供取证与溯源数据，防范内部人员进行异常操作。企业应用平台的用户类型多样，不同的应用主体享有不同的功能与应用权限，考虑到系统的灵活性与安全性，采用基于属性权限访问控制[5]、基于动态和控制中心访问权限控制[6]、基于域访问权限控制[7]、基于角色访问控制等访问控制技术;确保企业应用平台系统安全可靠，在应用平台上线前，应邀请第三方权威机构对其进行信息安全测评，即对应用平台系统进行全面、系统的安全漏洞分析与风险评估[8]，并制定相应的信息安全保障策略。

 

4.5企业大数据安全——信息保障策略

 

大数据时代下，大数据是企业的核心资源。企业客户数据可能不仅包含个人的隐私信息，而且还包括个人、家庭的消费行为信息，如果针对客户大数据不妥善处理，会对用户造成极大的危害，进而失信于客户。目前感知大数据(数据追踪溯源)、应用大数据(大数据的隐私保护[9]与开放)、管控大数据(数据访问安全、数据存储安全)等问题，仍然制约与困扰着大数据的发展。大数据主要采用分布式文件系统技术在云端存储，在对云存储环境进行安全防护的前提下，对关键核心数据进行冗余备份，强化数据存储安全，提高企业大数据安全存储能力。为了保护企业数据的隐私安全、提高企业大数据的安全性的同时提升企业的可信度，可采用数据分享、分析、时进行匿名保护已经隐私数据存储加密保护措施来加强企业数据的隐私安全，对大数据用户进行分类与角色划分，严格控制、明确各角色数据访问权限，规范各级用户的访问行为，确保不同等级密级数据的读、写操作，有效抵制外部恶意行为，有效管理云存储环境下的企业大数据安全。

 

5 结束语

 

随着信息技术的快速革新，数据正以惊人的速度积累，大数据时代已经来临了;智能终端和数据传感器成为大数据时代的数据主要来源。大数据在推动企业不断向前发展给企业提供了更多机遇的同时，也给企业的应用创新与转型发展带来了新的信息安全威胁、信息安全漏洞以及信息安全风险。传统的信息安全保障策略已经无法满足大数据时代的信息安全保障需求。怎样做好企业大数据信息安全保障、加强信息安全防护、建设相关法律法规将是大数据时代长期研究的问题。