网络安全等级保护评估精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的网络安全等级保护评估主题范文，仅供参考，欢迎阅读并收藏。

第1篇：网络安全等级保护评估范文

关键词：等级保护 信息系统 安全策略

中图分类号：TP391.41 文献标识码：A 文章编号：1007-9416（2015）12-0000-00

随着我国信息化建设的高速发展，信息技术水平的日益提高，众多单位、组织都建立了自己的信息系统，以充分利用各类网络信息资源。与此同时，各种非法入侵和盗窃、计算机病毒、拒绝服务攻击、机密数据被篡改和窃取、网络瘫痪等安全问题也时刻威胁着我国网络的安全。因此，维护网络信息安全的任务异常艰巨、繁重。信息安全等级保护制度的建立，可以有效地解决我国网络信息安全面临的威胁及存在的问题。

随着信息安全等级保护工作的深入开展，不同等级信息系统之间的互联、互通、互操作是当前研究的热点和难点，其中，如何制定有效的安全策略，确保信息在多级互联信息系统间安全流通，是亟待解决的关键问题。

1信息安全等级保护

信息安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

等级保护环境下的信息系统一般由安全计算环境、安全区域边界、安全通信网络和安全管理中心构成。其中，安全计算环境是对信息系统的信息进行存储、处理的相关部件；安全区域边界是对信息系统的各个区域之间实现连接并实施访问控制的相关部件；安全通信网络是保障信息在系统内安全传输及安全策略实施的相关部件；安全管理中心是对信息系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台。

2多级互联信息系统

我国信息安全等级保护标准将信息系统按照安全保护能力划分为五个安全等级，一些重要、大型的信息系统中可能存在多个不同等级的子系统，不同等级信息系统之间要实现可信互联，由于信任体系和运行模式不尽相同，互联互通会导致安全风险的进一步增加，尤其是低等级信息系统可能通过恶意授权给高等级信息系统带来权限失控风险。

因此，需要建立一个总体的安全管理中心，将不同安全等级的子系统连接在一起，通过协同合作，实现特定的功能服务，这就是多级互联信息系统。在多级互联信息系统中，各个子系统和互联系统本身，都需要实施信息分级分类保护，从而确保系统间的交互协作及信息流动，保障系统的安全。

本文将在信息安全等级保护的要求下，研究多级互联信息系统安全策略的制定，从而较好地解决多级互联系统的安全风险问题，确保系统安全。

3多级互联信息系统安全策略的制定

安全策略是为规范网络安全防护工作，保证网络正常使用、发挥网络效能所必须强制执行的一系列要求、规范或操作。其主要作用是针对被保护对象面临的主要威胁，围绕安全防护目标，提出网络安全防护具体要求，指导安全管理行动。确定并实施网络安全策略是对网络进行有效安全管理的基础和依据，是网络信息系统安全保障的核心和起点，是实现网络安全管理和技术措施的前提。因此，为了确保多级互联信息系统安全有效地运行，制定明确和合理的安全策略就成为了关键。

3.1指导思想

根据不同应用类别和安全等级防护目标的需求，给出安全防护策略的框架，研究制定各类网络相应的安全防护策略，并保证制定的安全策略具有较高的规范性、完备性和有效性。安全策略的制定与实施应当遵循“局部策略符合全局策略、下级策略符合上级策略”的原则。同时，随着信息技术的发展以及系统的升级、调整，安全策略也应该随之进行重新评估和制定，随时保持策略与安全目标的一致性，确保信息系统安全有效地运行。

3.2基本原则

基于以上思想，制定多级互联信息系统安全策略时应遵循以下原则：

（1）统一领导，分级负责。针对系统、数据、用户等保护对象，按照同类、同级集中的原则进行等级保护级别的划分，确定安全保护等级对应的适用范围及具体组织实施单位。（2）广域监察，局域管控。依托总体安全管理中心，建立多级互联系统广域安全监察机制，监督、检查各安全域网络节点和用户网络安全策略的配置执行情况，监测重要骨干网络流量，预警网络攻击和入侵行为，形成网络安全实时态势；在各安全域网络节点和用户网络建立局域安全管控机制，依托各级安全管理中心，对网络节点和用户网络的安全设备、主机系统的安全策略和安全事件进行集中统一管理，实现网内各类资源的可控可管，提高系统整体防护能力和维护管理效率。（3）分区分域，适度防护。根据等级保护的思想，在划分的安全域中，一方面要遵循等级保护要求，加强主动防范措施；另一方面要针对各安全域业务特点的保护强度，在不影响系统整体安全性的前提下，进一步对各域的安全策略进行设置，并确保这些策略的相对性、独立性及关联性。（4）区域自治，联防联动：各安全域根据总体安全管理中心下发的安全策略，结合自身特定的安全需求，实施本区域内的安全防护和管理。依托总体安全管理中心，建立广域网上下一体的预警响应和联防联动机制；依托各级安全管理中心，建立局域网内各安全设备之间的检测响应和联防联动机制；并在各级安全管理中心、重要骨干节点、用户网络之间建立安全事件响应和应急协调机制。

第2篇：网络安全等级保护评估范文

关键词：信息安全；信息安全等级

中图分类号：TP393.08文献标识码：A文章编号：16727800（2011）012014502

作者简介：张新豪（1982-），男，河南郑州人，黄河科技学院现代教育中心助教，研究方向为计算机应用；郭喜建（1978-），男，河南郑州人，黄河科技学院现代教育中心助教，研究方向为计算机应用；宋朝（1983-），男，河南郑州人，黄河科技学院现代教育技术中心职员，研究方向为信息服务质量管理。1网络信息安全

信息安全是指信息网络的硬件、软件及其系统中数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续、可靠、正常地运行，信息服务不中断。信息安全是一门设计计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。从广义上说，设计信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是信息安全的研究领域。

信息安全要实现的目标主要有：①真实性：对信息的来源进行判断，能对伪造来源的信息予以鉴别；②保密性：保证机密信息不被窃听，或窃听者不能了解信息的真实含义；③完整性：保证数据的一致性，防止数据被非法用户篡改；④可用性：保证合法用户对信息和资源的使用不会被不正当的拒绝；⑤不可抵赖性：建立有效的责任机制，防止用户否认其行为；⑥可控制性：对信息的传播及内容具有控制能力；⑦可审查性：对出现的网络安全故障为您能够提供调查的依据和手段。

2网络信息安全性等级

2.1信息安全等级保护

信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

信息安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法，是促进信息化健康发展，维护国家安全、社会秩序和公共利益的根本保障。国务院法规和中央文件明确规定，要实行信息安全等级保护，重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度。信息安全等级保护是当今发达国家保护关键信息基础设施、保障信息安全的通行做法，也是我国多年来信息安全工作经验的总结。开展信息安全等级保护工作不仅是保障重要信息系统安全的重大措施，也是一项事关国家安全、社会稳定、国家利益的重要任务。

2.2DoD可信计算机系统评估准则

1983年，美国国家计算机中心发表了著名的“可信任计算机标准评价准则”（Trusted Computer Standards Evaluation Criteria，简称TCSEC，俗称橘皮书）。TCSEC是在20世纪70年代的基础理论研究成果Bell & La Padula模型基础上提出的，其初衷是针对操作系统的安全性进行评估。1985年，美国国防部计算机安全中心（简称DoDCSC）对TCSEC文本进行了修订，推出了“DoD可信计算机系统评估准则，DoD5200.28-STD”。

美国国防部计算机安全中心（DoDCSC）提出的安全性评估要求有：①安全策略：必须有一个明确的、确定的由系统实施的安全策略；②识别：必须唯一而可靠地识别每个主体，以便检查主体/客体的访问请求；③标记：必须给每个客体（目标）作一个“标号”，指明该客体的安全级别。这种结合必须做到对该目标进行访问请求时都能得到该标号以便进行对比；④可检查性：系统对影响安全的活动必须维持完全而安全的记录。这些活动包括系统新用户的引入、主体或客体的安全级别的分配和变化以及拒绝访问的企图；⑤保障措施：系统必须含实施安全性的机制并能评价其有效性；⑥连续的保护：实现安全性的机制必须受到保护以防止未经批准的改变。

根据以上6条要求，“可信计算机系统评估准则”将计算机系统的安全性分为A、B、C、D 4个等级，A、B3、B2、B1、C2、C1、D 7个级别，如表1所示。

表1网络安全性标准（DoD5200.28――STD）

等级名称主要特征A可验证的安全设计形式化的最高级描述和验证，形式化的隐密通道分析，非形式化的代码一致性证明B3安全域机制安全内核，高抗渗透能力B2结构化安全保护设计系统时必须有一个合理的总体设计方案，面向安全的体系结构，遵循最小授权原则，较好的抗渗透能力，访问控制应对所有的主体和客体提供保护，对系统进行隐蔽通道分析B1标号安全保护除了C2级别的安全需求外，增加安全策略模型，数据标号（安全和属性），托管访问控制C2受控的访问环境存取控制以用户为单位广泛的审计C1选择的安全保护有选择的存取控制，用户与数据分离，数据的保护以用户组为单位D最小保护保护措施很少，没有安全功能2.3计算机信息系统安全保护等级划分准则

在我国，以《计算机信息系统安全保护等级划分准则》为指导，根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度，针对信息的保密性、完整性和可用性要求及信息系统必须达到的基本的安全保护水平等因素，将信息和信息系统的安全保护分为5个等级。

第一级：用户自主保护级。本级的计算机信息系统可信计算基通过隔离用户与数据，使用户具备自主安全保护的能力。它为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏。

第二级：系统审计保护级。与用户自主保护级相比，本级的计算机信息系统可信计算基实施了粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。

第三级：安全标记保护级。本级的计算机信息系统可信计算基具有系统审计保护级所有功能。具有准确地标记输出信息的能力，消除通过测试发现的任何错误。

第四级：结构化保护级。本级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上，将第三级系统中的自主和强制访问控制扩展到所有主体与客体，同时考虑隐蔽通道。关于可信计算基则结构化为关键保护元素和非关键保护元素，必须明确定义可信计算基的接口。加强了鉴别机制，增强了配置管理控制，具有相当的抗渗透能力。

第五级：访问验证保护级。本级的计算机信息系统可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的，信息系统支持安全管理员职能，具有扩充审计机制，提供系统恢复机制。系统具有很高的抗渗透能力。

3结束语

信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法，是维护国家信息安全的根本保障。通过开展信息安全等级保护工作，可以有效地解决我国信息安全面临的主要问题，将有限的财力、人力、物力投入到重要信息系统的安全保护中去。参考文献：

[1]赵鹏，李剑.国内外信息安全发展新趋势[J].信息网络安全,2011(7).

[2]肖国煜.信息系统等级保护测评实践[J].信息网络安全,2011(7).

[3]马力，毕马宁.安全保护模型与等级保护安全要求关系的研究[J].信息网络安全,2011(6).

Research on Network Information Security

and Information Security Level

第3篇：网络安全等级保护评估范文

[关键词]信息安全等级保护分级分域网络隔离安全防护

1网络现状及防护需求

福建省莆田电业局已构建了信息网络,已经稳定运行有财务管理、安全生产管理、协同办公、电力营销、ERP等应用系统。随着国家电网公司“SG186”工程的信息化建设的推进工作,网络和信息系统情况复杂,迫切需要进行信息安全全面建设。

根据国家《信息安全技术信息系统安全等级保护实施指南》(GB/T22240-2008)、国家《信息安全技术信息系统安全等级保护基本要求》(GB/T-22239-2008)、《国家电网公司“SG186”工程安全防护总体方案》、《国家电网公司“SG186”工程信息系统安全等级保护基本要求》、《国家电网公司“SG186”工程信息系统安全等级保护验收测评要求(试行)》等文件要求,按照统筹资源,重点保护,适度安全的原则,依据等级保护定级结果,采用“二级系统统一成域,三级系统独立分域”的方法,对信息网络系统进行分级分域。

2安全防护建设目标

通过项目的实施,按照“层层递进,纵深防御”的思想,从边界、网络、主机、应用四个层次进行安全防护等级保护设计和施工,使莆田电业局信息系统符合国家和国家电网公司的网络与信息系统等级保护建设要求。

3实施方法

信息系统分级分域安全防护建设一般分三个阶段:

第一阶段:合理进行安全域划分和初步规划,针对重要信息进行防护。主要表现在针对业务安全要求比较高的信息系统如ERP、财务系统域进行防护,以及针对互联网出口的应用层防护。

第二阶段:针对当前信息网络状态,按照等级保护要求进行等级化评估、安全评估和合理定级,全面获取当前安全现状以及企业信息化建设的特殊需求。在评估基础上,全面从等级保护要求及企业信息化建设的安全需求出发,合理进行安全方案设计。

第三阶段:根据设计方案,全面开展等级化改造,包括技术措施和管理措施的完善,建立完整的信息安全体系,并且根据相关要求进行运行维护。

4分级分域安全防护方解决方案

信息网络系统分级分域安全防护建设应当按照国家标准和国家电网公司“SG186”工程相关规定的要求完成,通过项目建设实施保障莆田电业局信息化管理系统的安全运营。

4.1 分级分域设计方案及安全等级建设要求

莆田电业局信息网络主要分为两个部分:信息内网和信息外网,两个网络之间通过强制隔离设备进行隔离。

信息内网分级分域及安全等级建设要求:

4.1.1二级系统域

二级系统域是指协同办公系统、财务管理系统、安全生产管理系统、人力资源管理系统、企业门户、ERP等信息系统

安全建设等级:基于信息系统的整合,所有二级系统统一部署于二级系统域,并根据国家安全等级保护标准和国家电网公司“SG186”工程信息系统安全等级保护基本要求等规范要求,按照安全防护等级二级进行建设。

4.1.2内网桌面终端域

信息内网桌面终端是用于内网业务操作及内网业务办公处理,通过对桌面办公终端按业务部门或访问类型进一步进行VLAN区域细分,实现不同的业务访问需求指定访问控制及其他防护措施,由于桌面终端的安全防护与应用系统不同,将其划分为独立区域进行安全防护。

安全建设等级:按照安全等级二级进行安全建设;

信息外网分级分域及安全等级建设要求:

4.1.3外网应用系统域

需与互联网进行数据交换的系统统一部署为外网系统域。

安全建设等级:按照安全等级二级进行安全建设;

4.1.4外网桌面终端域

外网桌面终端用于外网业务办公及互联网访问,对外网桌面办公终端按业务部门或访问类型进行区域细分,针对不同业务访问需求进行访问控制及其他防护措施。

安全建设等级:按照安全等级二级进行安全建设;

图1改造后的网络拓扑图

4.2 安全防护部署方案

4.2.1防火墙等级保护部署方案

目前网络中主要使用防火墙来保证基础安全。它监控可信任网络和不可信任网络之间的访问通道,以防止外部网络的危险蔓延到内部网络上。

项目在四个域与核心交换机的连接点分别部署了启明星辰天清汉马USG-FW-4000D防火墙(见图1),并进行了相应的配置。

防火墙典型的网络部署模式包括路由模式和透明模式,本项目中,考虑到防火墙负责转发各个区域的用户访问,采取透明模式部署。

根据企业安全区域的划分,部署防火墙对不同区域之间的网络流量进行控制,基本原则为:高安全级别区域可以访问低安全级别区域,低安全级别严格受控访问高安全级别区域,进行如下基本配置策略:

防火墙设置为默认拒绝工作方式,保证所有的数据包,如果没有明确的规则允许通过,全部拒绝以保证安全;

配置防火墙防DOS/DDOS功能,对Land、Smurf、Fraggle、Ping of death、udp flood等拒绝服务攻击进行防范;

配置防火墙全面安全防范能力,包括arp欺骗攻击的防范,提供arp主动反向查询、tcp报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等。

4.2.2入侵防护系统等级保护部署方案

在传统的安全解决方案中,防火墙和入侵检测系统已经无法满足高危网络的安全需求,互联网上流行的蠕虫、P2P、木马等安全威胁日益滋长,必须有相应的技术手段和解决方案来解决对应用层的安全威胁。以入侵防御系统为代表的应用层安全设备作为防火墙的重要补充,很好地解决了应用层防御的问题,并且变革了管理员构建网络防御的方式。通过部署IPS,可以在线检测并直接阻断恶意流量。

项目在外网系统部署1台启明星辰天清NIPS3060入侵防护系统。

4.2.3服务器换机等级保护部署方案

服务器交换机采用华为QuidwayS9306高端多业务路由交换机,该产品基于华为公司自主知识产权的Comware V5操作系统,融合了MPLS、IPv6、网络安全等多种业务,提供不间断转发、优雅重启、环网保护等多种可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低企业的总拥有成本。

项目配置两台华为QuidwayS9306交换机分别用作内网二级系统域和外网应用系统域,配置冗余电源、双引擎、2块48端口千兆电口板、1块48端口SFP千兆光口板卡,保证了服务器换机的安全可靠。

4.2.4终端汇聚交换机等级保护部署方案

终端汇聚交换机采用华为Quidway LS-S5328C交换机,实现信息内外网桌面终端域的安全接入。

华为QuidwayLS-S5300系列交换机是华为公司最新开发的增强型IPv6万兆以太网交换机,具备业界盒式交换机最先进的硬件处理能力和丰富的业务特性。支持最多4个万兆扩展接口;支持IPv4/IPv6硬件双栈及线速转发;出色的安全性、可靠性和多业务支持能力使其成为网络汇聚和城域网边缘设备的第一选择。

配置2台桌面终端汇聚交换机分别部署在信息内网和信息外网的桌面终端域接口上。

5网络安全成果分析

福建省莆田电业局信息网络系统分级分域安全防护建设项目从边界、网络、主机、应用四个层次进行了安全防护等级保护设计及工程实施,对原有网络、安全设备进行了调整,实现了安全域的划分,实现了对关键业务的安全防护,达到了国家和国家电网公司的网络与信息系统等级保护建设要求,并通过了国家电网公司等级测评验收。

参考文献:

[1] 信息安全技术信息系统安全等级保护实施指南(GB/T22240-2008)

[2] 信息安全技术信息系统安全等级保护基本要求(GB/T-22239-2008)

第4篇：网络安全等级保护评估范文

关键词： 云计算； 云安全； 信息安全； 等级保护测评； 局限性

中图分类号：TP309 文献标志码：A 文章编号：1006-8228（2016）11-35-03

Discussion on the testing and evaluating of cloud computing security level protection

Liu Xiaoli， Shen Xiaohui

（Zhejiang Provincial Testing Institute of Electronic & Information Products， Hangzhou， Zhejiang 310007， China）

Abstract： Cloud computing has recently attracted extensive attention since Internet has accessed Web 2.0 with more freedom and flexibility. However， the cloud security has become the biggest challenge for cloud promotion. Combined with the problems of the actual testing and evaluation in cloud computing security， the limitations of the application of the current information security level protection evaluation standard to the cloud environment are analyzed， and the contents that cloud security should focus on are proposed.

Key words： cloud computing； cloud security； information security； testing and evaluation of security level protection； limitations

0 引言

近年来，随着网络进入更加自由和灵活的Web2.0时代，云计算的概念风起云涌。美国国家标准与技术研究院（NIST）定义云计算是一种按使用量付费的模式，这种模式提供可用的、便捷的、按需的网络访问，进入可配置的计算资源共享池（资源包括网络，服务器，存储，应用软件，服务），这些资源能够被快速提供，只需投入很少的管理工作，或与服务供应商进行很少的交互。云计算因其节约成本、维护方便、配置灵活已经成为各国政府优先推进发展的一项服务。美、英、澳大利亚等国家纷纷出台了相关发展政策，有计划地促进政府部门信息系统向云计算平台迁移。但是也应该看到，政府部门采用云计算服务也给其敏感数据和重要业务的安全带来了挑战。美国作为云计算服务应用的倡导者，一方面推出“云优先战略”，要求大量联邦政府信息系统迁移到“云端”，另一方面为确保安全，要求为联邦政府提供的云计算服务必须通过安全审查[1]。我国也先后出台了一系列云计算服务安全的国家标准，如GB/T 31167-2014《信息安全技术云计算服务安全指南》、GB/T 31168-2014 《信息安全技术 云计算服务安全能力要求》等。本文关注的是云计算安全，包括云计算应用系统安全、云计算应用服务安全、云计算用户信息安全等[2]。

当前，等级保护测评的依据主要有GB/T 22239-

2008《信息安全技术 信息系统安全等级保护基本要求》、GB/T 28448-2012《信息安全技术 信息系统安全等级保护测评要求》和GB/T 28449-2012《信息安全技术 信息系统安全等级保护测评过程指南》等。然而，这些标准应用于传统计算模式下的信息系统安全测评具有普适性，对于采用云计算服务模式下的信息系统却有一定的局限性。

本文结合实际云计算服务安全测评中的问题，首先讨论现行信息安全等级保护测评标准应用到云环境的一些局限性，其次对于云计算安全特别需要关注的测评项进行分析。

1 云计算安全

正如一件新鲜事物在带给我们好处的同时，也会带来问题一样，云计算的推广也遇到了诸多困难，其中安全问题已成为阻碍云计算推广的最大障碍。

云计算安全面临着七大风险，主要包括客户对数据和业务系统的控制能力减弱、客户与云服务商之间的责任难以界定、可能产生司法管辖权问题、数据所有权保障面临风险、数据保护更加困难、数据残留和容易产生对云服务商的过度依赖等。文献[3]提出了云计算安全测评框架，与传统信息系统安全测评相比，云计算安全测评应重点关注虚拟化安全、数据安全和应用安全等层面。

虚拟化作为云计算最重要的技术，其安全性直接关系到云环境的安全。虚拟化安全涉及虚拟化软件安全和虚拟化服务器安全，其中虚拟化服务器安全包括虚拟化服务器隔离、虚拟化服务器监控、虚拟化服务器迁移等。云计算的虚拟化安全问题主要集中在VM Hopping（一台虚拟机可能监控另一台虚拟机甚至会接入到宿主机）、VM Escape（VM Escape攻击获得Hypervisor的访问权限，从而对其他虚拟机进行攻击）/远程管理缺陷（Hypervisor通常由管理平台来为管理员管理虚拟机，而这些控制台可能会引起一些新的缺陷）、迁移攻击（可以将虚拟机从一台主机移动到另一台，也可以通过网络或USB复制虚拟机）等[4]。

数据实际存储位置往往不受客户控制，且数据存放在云平台上，数据的所有权难以界定，多租户共享计算资源，可能导致客户数据被授权访问、篡改等。另外当客户退出云服务时，客户数据是否被完全删除等是云计算模式下数据安全面临的主要问题。

在云计算中对于应用安全，特别需要注意的是Web应用的安全。云计算应用安全主要包括云用户身份管理、云访问控制、云安全审计、云安全加密、抗抵赖、软件代码安全等[3]。

2 云计算下等级保护测评的局限性

信息系统安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。开展信息系统安全等级保护工作不仅是加强国家信息安全保障工作的重要内容，也是一项事关国家安全、社会稳定的政治任务。信息系统安全等级保护测评工作是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。与之对应的是涉及国家秘密的信息系统安全测评，就是通常所说的分级保护测评。

信息系统安全等级保护的基本要求包括技术要求和管理要求两大类。其中技术要求包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等五个层面；管理要求包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个层面。

传统的安全已不足以保护现代云计算工作负载。换言之，将现行的等级保护相关标准生搬硬套到云计算模式存在局限性，具体体现在以下方面。

⑴ 物理安全

传统模式的信息系统数据中心或者在本单位，或者托管在第三方机构，用户可以掌握自身数据和副本存储在设备和数据中心的具置。然而，由于云服务商的数据中心可能分布在不同的地区，甚至不同的国家，GB/T 31167-2014明确了存储、处理客户数据的数据中心和云计算基础设施不得设在境外。

⑵ 网络安全

网络安全主要包括结构安全、边界防护、访问控制、入侵防范、恶意代码防范、安全审计、网络设备防护等测评项。网络边界是网络信息安全的第一道防线，因此在网络边界采取安全防护措施就显得尤为重要。但在云计算模式下，多个系统同时运行在同一个物理机上，突破了传统的网络边界。由此可见，网络边界的界定、安全域的划分成为了云计算模式下网络边界安全面临的新挑战[5]。

⑶ 主机安全

主机安全主要包括身份鉴别、访问控制、安全审计等测评项。但在云计算模式下，虚拟化技术能够实现在一台物理机上运行多台虚拟机。尽管虚拟机之间具有良好的隔离性，但在云计算平台，尤其是私有云和社区云中，虚拟机之间通常需要进行交互和通信，正是这种交互为攻击和恶意软件的传播提供了可能。因此，虚拟机之间的安全隔离、用户权限划分、数据残留、跨虚拟机的非授权访问是云计算环境下虚拟机安全需要重点关注的内容。

⑷ 应用安全

应用系统作为承载数据的主要载体，其安全性直接关系到信息系统的整体安全，因此对整个系统的安全保密性至关重要。然而，当前绝大多数单位的应用系统在设计开发过程中，仅仅考虑到应用需求、系统的性能及技术路线的选择等问题，缺少了应用系统自身的安全性。客户的应用托管在云计算平台，面临着安全与隐私双重风险，主要包括多租户环境下来自云计算服务商和其他用户的未授权访问、隐私保护、内容安全管理、用户认证和身份管理问题[6]。

⑸ 数据安全及备份恢复

在云计算模式下，客户的数据和业务迁移至云服务商的云平台中，数据的处理、存储均在“云端”完成，用户一端只具有较少的计算处理能力，数据的安全性依赖于云平台的安全。如何确保数据远程传输安全、数据集中存储安全以及多租户之间的数据隔离是云计算环境下迫切需要解决的问题。

3 云安全之等级保护测评

参照等级保护测评的要求，结合上述分析，云安全之等级保护测评应重点关注以下方面。

⑴ 数据中心物理与环境安全：用于业务运行和数据处理及存储的物理设备是否位于中国境内，从而避免产生司法管辖权的问题。

⑵ 虚拟网络安全边界访问控制：是否在虚拟网络边界部署访问控制设备，设置有效的访问控制规则，从而控制虚机间的互访。

⑶ 远程访问监控：是否能实时监视云服务远程连接，并在发现未授权访问时，及时采取恰当的防护措施。

⑷ 网络边界安全：是否采取了网络边界安全防护措施，如在整个云计算网络的边界部署安全防护设备等。

⑸ 虚拟机安全：虚拟机之间的是否安全隔离，当租户退出云服务时是否有数据残留，是否存在跨虚拟机的非授权访问等。

⑹ 接口安全：是否采取有效措施确保云计算服务对外接口的安全性。

⑺ 数据安全：多租户间的数据是否安全隔离，远程传输时是否有措施确保数据的完整性和保密性，租户业务或数据进行迁移时是否具有可移植性和互操作性。

4 结束语

云计算因其高效化、集约化和节约化的特点，受到越来越多党政机关、企事业单位的青睐，与此同时云计算带来的风险也是不容忽视的。本文结合云计算的特点分析了云计算模式下现行等级保护测评标准的一些局限性，并提出了云计算下等级保护测评需要特别关注的测评项，对云服务商、租户和测评机构提供借鉴。值得注意的是，租户在进行云迁移之前，首先应确定自身迁移业务的等级，其次是租用的云计算平台等级不能低于业务系统的等级。

参考文献（References）：

[1] 尹丽波.美国云计算服务安全审查值得借鉴.中国日报网.

[2] 陈军，薄明霞，王渭清.云安全研究进展及技术解决方案发展

趋势[J].技术广角，2011：50-54

[3] 潘小明，张向阳，沈锡镛，严丹.云计算信息安全测评框架研究[J].

计算机时代，2013.10：22-25

[4] 房晶，吴昊，白松林.云计算的虚拟化安全问题[J].电信科学，

2012.28（4）：135-140

[5] 陈文捷，蔡立志.云环境中网络边界安全的等级保护研究[C].

第二届全国信息安全等级保护技术大会会议论文集，2013.

第5篇：网络安全等级保护评估范文

【 关键词 】 等级保护；等级测评；质量控制

1 引言

近年来，随着等级保护工作的深入开展，我国相继出台了一系列等级保护法律法规体系和标准规范体系，中国石化根据国家等级保护政策和技术标准，结合企业特点，在不低于国家标准的基础上，编写了企业行业标准，形成了企业等级保护标准体系。对等级保护五个基本动作（信息系统定级、备案、安全建设整改、等级测评、安全检查环节）进行了针对性指导。其中《信息系统安全等级保护测评要求》、《 信息系统安全等级保护测评过程指南》、《信息系统安全管理测评》 、《中国石化集团信息系统安全等级保护管理办法》等技术标准，对等级测评的主要原则和主要内容，测评基本流程、过程分类、记录文档、测评报告等进行了具体规范。就目前研究成果来看，我国还没有形成以等级测评为主体的质量管理体系与技术标准，缺乏针对等级测评活动质量控制的方法研究。本文从研究《信息系统安全等级保护基本要求》、《中国石化集团信息安全等级保护基本要求》、《信息系统安全等级保护测评要求》、《 信息系统安全等级保护测评过程指南》等管理规范和技术标准入手，对等级测评活动的质量控制进行分析，提出了相应的工作方法和控制措施，基本满足了等级测评活动公正性、客观性和保密性对质量控制的需求。

2 等级测评活动的质量控制需求

等级测评活动是测评机构依据等级保护相关的政策法规、管理规范和技术标准，检测评估信息系统安全等级保护状况是否达到相应等级基本要求的过程，为石化行业等单位进行信息系统等级保护安全建设整改和国家监管部门依法行政管理提供决策依据，是落实信息安全等级保护制度的重要环节。等级测评活动不同于一般的风险评估和安全评价，是政策性、专业性很强的技术活动。对等级测评活动实施质量控制的目的，就是建立和完善等级测评质量管理体系，通过质量方针目标、管理制度、控制程序等系列管理措施，对等级测评活动实施全过程实施质量控制，保证测评活动中引用的政策法规、技术标准正确，测评方法科学，测评过程可控，测评行为规范，测评结论客观真实。要求等级测评人员在测评活动中，不但要正确理解和把握等级保护相关的政策法规、管理规范和技术标准，保证等级测评过程的合规性，还要通过职业道德规范教育和测评行为约束，保证等级测评结论的公正性、客观性。

3 等级测评机构的质量管理体系结构

等级保护政策法规、管理规范和技术标准，对等级测评的原则、内容、过程、方法以及测评强度的要求，体现了对等级测评活动实施质量控制的思想。《信息安全等级测评机构能力要求》要求等级测评机构建立、实施和维护符合等级测评工作需要的文件化的质量管理体系。要求体系文件以制度、手册、程序等形式执行，并应建立执行记录，为等级测评活动质量控制提出了基础框架结构。

等级测评机构的质量管理体系结构和控制措施主要包括四个层次的内容。

第一层指导性文件：依据等级保护政策法规体系、技术标准体系和等级测评机构能力要求，制定等级测评机构质量管理体系，确立质量方针和工作目标，指导测评活动。

第二层控制性文件：根据测评活动要求，建立保密管理制度、项目管理制度、质量管理制度、人员管理制度、教育培训制度、设备管理制度、申诉、投诉和争议管理制度等，对等级测评活动管理目标进行控制。

第三层操作性文件：依据等级测评管理目标，建立和完善相应的《合同评审控制程序》、《文件记录控制程序》 、《管理评审控制程序》、《技术评审控制程序》、《测评设备控制程序》、《测评过程控制程序》、《风险控制程序》、《保密控制程序》、《人力资源管理与教育培训程序》、《纠正和预防措施控制程序》、《申诉、投诉及争议处理控制程序》、《客户满意度管理程序》等操作性文件，对等级测评活动过程和环节进行控制。

第四层保证性文件：建立健全各项质量记录表单，制定测评机构禁止行为和测评人员职业道德规范，对等级测评结论的公正性、客观性、保密性进行控制。

4 等保测评过程中的质量控制

《 信息系统安全等级保护测评过程指南》将等级测评过程划分为测评准备、方案编制、现场测评、分析与报告编制四个活动阶段。测评过程质量控制强度与质量管理体系各要素之间的关系如表1所示。

4.1 测评准备活动的质量控制

4.1.1 项目启动活动的质量控制

依据《合同评审控制程序》组织有关管理、技术人员和法律顾问召开合同评审会议，对测评双方需要签订的委托协议或合同书进行评审。根据双方签订的委托协议或合同书，组建等级测评项目组，按照测评活动实际要求进行人员、设备、资金等资源配置。项目组设置质量管理和技术管理部门，明确责任权限，以满足测评活动的技术和质量管理要求。

依据《 信息系统安全等级保护测评过程指南》和《测评过程控制程序》编制《项目计划书》。

4.1.2 信息收集和分析活动的质量控制

依据《测评过程控制程序》编制《基本情况调查表》，收集和分析被测信息系统等级测评需要的各种资料，包括各种方针文件、规章制度及相关过程管理记录、被测系统总体描述文件、详细描述文件、安全保护等级定级报告、安全需求分析报告、安全总体方案、安全现状评价报告、安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档等。通过现场调查和工作交流等方式详细了解被测系统状况，明确等级测评的工作流程及可能带来的风险和规避方法，为编制等级测评实施方案做好准备。

4.1.3 工具和表单准备活动的质量控制

测评人员依据《测评过程控制程序》要求，搭建模拟系统测试环境，按照测评机构《测评设备控制程序》调试各种必备的测试工具，并按照《文件记录控制程序》准备现场测评授权书、文档交接单、会议记录表单、会议签到表等表单。

4.2 方案编制活动的质量控制

4.2.1 测评对象、测评指标、测试工具接入点、测评内容的质量控制

测评人员根据已经了解到的被测系统信息，按照《测评过程控制程序》规定的方法和步骤，分析整个被测系统及其涉及的业务应用系统，确定出本次测评活动的测评对象、测评指标、测试工具接入点、测评内容等，并以表单的形式进行具体描述。

4.2.2 测评指导书开发、测评方案编制的质量控制

测评人员按照《测评过程控制程序》要求和测评活动内容开发测评指导书、编制等级测评实施方案。

测评指导书由测评机构按照《技术评审程序》进行技术评审，评审合格后项目技术主管签字，并按照控制范围分发、管理。

等级测评实施方案由项目经理按照《技术评审程序》组织双方测评人员和专家小组成员进行技术评审，评审合格的等级测评实施方案，提交石化单位代表签字确认，按照《文件记录控制程序》、《保密控制程序》进行和管理。

4.3 现场测评活动的质量控制

4.3.1 进场前的准备活动的质量控制

按照《测评过程控制程序》要求组织召开首次测评会议，测评双方人员沟通等级测评实施方案，签署现场测评授权书，做好现场测评准备。

4.3.2 现场测评和结果记录、结果确认活动的质量控制

测评人员进入测评现场测评时，按照《测评过程控制程序》填写《现场测评登记表》，详细填写出入现场时间、测评工作内容、测评前后的信息系统安全状况，并由石化单位配合人员现场签字确认。

严格按照测评指导书和等级测评实施方案确定的过程和方法进行现场测评，通过人员访谈、文档审查、配置检查、工具测试和实地察看等方法，测评被测系统的保护措施情况，获取现场测评证据，并按照《文件记录控制程序》要求填写《现场测评记录表》。

现场测评活动中，及时汇总现场测评记录和发现的问题，对遗漏和需要进一步验证的内容实施补充测评，测评记录由测评双方测评人员现场签字确认。

现场测评完成后，测评双方人员召开现场测评结束会，对现场测评工作进行小结，将现场测评中发现的问题形成书面报告，并由双方代表签字确认。

现场测评活动中产生的所有现场测评结果记录以及石化单位提供的信息资料，均按照《文件记录控制程序》、《保密控制程序》进行管理，严格限制他们的知晓和使用范围。

4.4 分析与报告编制活动的质量控制

4.4.1 测评结果判定、整体测评、风险分析、等级测评结论形成的的质量控制

测评人员依据《信息系统安全等级保护基本要求》、《中国石化集团信息系统安全等级保护基本要求》、《信息系统安全管理要求》、《信息系统通用安全技术要求》等相关技术标准，按照《测评过程控制程序》规定的方法、步骤，对测评指标中的每个测评项测评记录，进行客观、准确地分析，形成初步单项测评结果，并以表单形式给出。按照《测评过程控制程序》要求汇总单项测评结果，分别统计不同测评对象的单项测评结果，从而判定单元测评结果，并以表格的形式逐一列出。测评人员针对单项测评结果的不符合项，采取逐条判定和优势证据的方法，从安全控制间、层面间和区域间出发，对系统结构进行整体安全测评，给出整体测评的具体结果。采用风险分析的方法分析等级测评结果中存在的安全问题及可能对被测系统安全造成的影响。在此基础上，找出系统保护现状与等级保护基本要求之间的差距，形成等级测评结论。

结论形成后，测评双方有关人员和技术专家按照《技术评审控制程序》对形成等级测评结论进行评审，评审通过的结果判定由测评双方授权代表签字确认。

本过程产生的文档资料，按照《文件记录控制程序》、《保密控制程序》进行分类授权使用和管理。

4.4.2 测评报告的编制和分发的质量控制

测评机构按照《信息安全等级测评报告模板（试行）》格式编写报告文档。

测评双方有关人员和专家召开等级测评末次会议，按照《管理评审控制程序》、《技术评审控制程序》对等级报告格式、内容和结论进行评审，评审通过的测评报告文档，按照《文件记录控制程序》盖章、编号，并由测评机构项目经理、质量主管、技术主管联合签发。

测评人员按照《文件记录控制程序》和《保密控制程序》和合同约定的控制范围分发等级测评报告，交接有关资料文档，删除测评设备产生的电子数据。

5 结束语

本文依据等级保护相关的政策法规、管理规范和技术标准，结合等级测评活动的公正性、客观性、保密性的要求，对等级测评活动的质量控制进行了分析，为等级测评机构建立质量管理体系和等级测评质量控制提供了借鉴和参考。随着等级保护政策法规和标准规范的不断更新和完善，等级测评活动的质量控制还有待更深入全面的探讨和研究。

参考文献

[1] GB/T 28448-2012 信息安全技术 信息系统安全等级保护测评要求.

[2] GB/T 28449-2012 信息安全技术 信息系统安全等级保护测评过程指南.

[3] 中华人民共和国公共安全行业标准（GA/T713-2007）.信息系统安全管理测评.

[4] 中国石化集团信息系统安全等级保护管理办法.

[5] GB/T 22239-2008 信息系统安全等级保护基本要求[S].

[6] 中国石化集团信息系统安全等级保护基本要求.

[7] 信息安全等级测评机构能力要求（试行）.

[8] GB/T20271-2006 信息安全技术 信息系统通用安全技术要求[S].

[9] 公信安[2009]1487号.关于印发《信息系统安全等级测评报告模板（试行）》的通知.

[10] 郝文江，武捷.三网融合中的安全风险及防范技术研究[J].信息网络安全，2012，（01）：5-9.

[11] 韩水玲，马敏，王涛等.数字证书应用系统的设计与实现[J].信息网络安全，2012，（09）：43-45.

[12] 常艳，王冠.网络安全渗透测试研究[J].信息网络安全，2012，（11）：3-4.

第6篇：网络安全等级保护评估范文

关键词：等级防护；电力企业；网络安全建设

中图分类号： F407 文献标识码： A 文章编号：

引言

信息化是一把“双刃剑”，在提高企业工作效率、管理水平以及整体竞争能力的同时，也给企业带来了一定的安全风险，并且伴随着企业信息化水平的提高而逐渐增长。因此，提升企业的信息系统安全防护能力，使其满足国家等级保护的规范性要求，已经成为现阶段信息化工作的首要任务。对于电力企业的信息系统安全防护工作而言，应等级保护要求，将信息管理网络划分为信息内网与信息外网，并根据业务的重要性划分出相应的二级保护系统与三级保护系统，对三级系统独立成域，其余二级系统统一成域，并从边界安全、主机安全、网络安全、应用安全等方面对不同的安全域对防护要求进行明确划分。

1现阶段电力企业网络风险分析

1.1服务器区域缺少安全防护措施

大部分电力企业的服务器都是直接接入本单位的核心交换机，然而各网段网关都在核心交换机上，未能对服务器区域采取有效的安全防护措施。

1.2服务器区域和桌面终端区域之间的划分不明确

因服务器和桌面终端的网关都在核心交换机上，不能实现对于域的有效划分。

1.3网络安全建设缺乏规划

就现阶段的电力企业网络安全建设而言，普遍存在着缺乏整体安全设计与规划的现状，使整个网络系统成为了若干个安全产品的堆砌物，从而使各个产品之间失去了相应的联动，不仅在很大程度上降低了网络的运营效率，还增加了网络的复杂程度与维护难度。

1.4系统策略配置有待加强

在信息网络中使用的操作系统大都含有相应的安全机制、用户与目录权限设置以及适当的安全策略系统等，但在实际的网络安装调试过程中，往往只使用最宽松的配置，然而对于安全保密来说却恰恰相反，要想确保系统的安全，必须遵循最小化原则，没有必要的策略在网络中一律不配置，即使有必要的，也应对其进行严格限制。

1.5缺乏相应的安全管理机制

对于一个好的电力企业网络信息系统而言，安全与管理始终是分不开的。如果只有好的安全设备与系统而没有完善的安全管理体系来确保安全管理方法的顺利实施，很难实现电力企业网络信息系统的安全运营。对于安全管理工作而言，其目的就是确保网络的安全稳定运行，并且其自身应该具有良好的自我修复性，一旦发生黑客事件，能够在最大程度上挽回损失。因此，在现阶段的企业网络安全建设工作过程中，应当制订出完善的安全检测、人员管理、口令管理、策略管理、日志管理等管理方法。

2等级保护要求下电力企业网络安全建设防护的具体措施

2.1突出保护重点

对于电力企业而言，其投入到信息网络安全上的资源是一定的。从另外一种意义上讲，当一些设备存在相应的安全隐患或者发生破坏之后，其所产生的后果并不严重，如果投入和其一样重要的信息资源来保护它，显然不满足科学性的要求。因此，在保护工作过程中，应对需要保护的信息资产进行详细梳理，以企业的整体利益为出发点，确定出重要的信息资产或系统，然后将有限的资源投入到对于这些重要信息资源的保护当中，在这些重要信息资源得到有效保护的同时，还可以使工作效率得到很大程度的提高。

2.2贯彻实施3层防护方案

在企业网络安全建设过程中，应充分结合电力企业自身网络化特点，积极贯彻落实安全域划分、边界安全防护、网络环境安全防护的3层防护设计方案。在安全防护框架的基础上，实行分级、分域与分层防护的总体策略，以充分实现国家等级防护的基本要求。

(1)分区分域。统一对直属单位的安全域进行划分，以充分实现对于不同安全等级、不同业务类型的独立化与差异化防护。

(2)等级防护。遵循“二级系统统一成域，三级系统独立成域”的划分原则，并根据信息系统的定级情况，进行等级安全防护策略的具体设计。

(3)多层防护。在此项工作的开展过程中，应从边界、网络环境等多个方面进行安全防护策略的设计工作。

2.3加强安全域划分

安全域是指在同一环境内具有一致安全防护需求、相互信任且具有相同安全访问控制与边界控制的系统。加强对于安全域的划分，可以实现以下目标：

(1)实现对复杂问题的分解。对于信息系统的安全域划分而言，其目的是将一个复杂的安全问题分解成一定数量小区域的安全防护问题。安全区域划分可以有效实现对于复杂系统的安全等级防护，是实现重点防护、分级防护的战略防御理念。

(2)实现对于不同系统的差异防护。基础网络服务、业务应用、日常办公终端之间都存在着一定的差异，并且能够根据不同的安全防护需求，实现对于不同特性系统的归类划分，从而明确各域边界，对相应的防护措施进行分别考虑。

(3)有效防止安全问题的扩散。进行安全区域划分，可以将其安全问题限定在其所在的安全域内，从而有效阻止其向其他安全域的扩散。在此项工作的开展过程中，还应充分遵循区域划分的原则，将直属单位的网络系统统一划分为相应的二级服务器域与桌面终端域，并对其分别进行安全防护管理。在二级系统服务器域与桌面域间，采取横向域间的安全防护措施，以实现域间的安全防护。

2.4加强对于网络边界安全的防护

对于电力企业的网络边界安全防护工作而言，其目的是使边界避免来自外部的攻击，并有效防止内部人员对外界进行攻击。在安全事件发生之前，能够通过对安全日志与入侵事件的分析，来发现攻击企图，在事件发生之后可以通过对入侵事件记录的分析来进行相应的审查追踪。

(1)加强对于纵向边界的防护。在网络出口与上级单位连接处设立防火墙，以实现对于网络边界安全的防护。

(2)加强对于域间横向边界的防护。此项防护是针对各安全区域通信数据流传输保护所制定出的安全防护措施。在该项工作的开展过程中，应根据网络边界的数据流制定出相应的访问控制矩阵，并依此在边界网络访问控制设备上设定相应的访问控制规则。

2.5加强对于网络环境的安全防护

(1)加强边界入侵检测。以网络嗅探的方式可以截获通过网络传输的数据包，并通过相应的特征分析、异常统计分析等方法，及时发现并处理网络攻击与异常安全事件。在此过程中，设置相应的入侵检测系统，能够及时发现病毒、蠕虫、恶意代码攻击等威胁，能够有效提高处理安全问题的效率，从而为安全问题的取证提供有力依据。

(2)强化网络设备安全加固。安全加固是指在确保业务处理正常进行的情况下，对初始配置进行相应的优化，从而提高网络系统的自身抗攻击性。因此，在经过相应的安全评估之后，应及时发现其中隐藏的安全问题，对重要的网络设备进行必要的安全加固。

(3)强化日志审计配置。在此项工作的开展过程中，应根据国家二级等级保护要求，对服务器、安全设备、网络设备等开启审计功能，并对这些设备进行日志的集中搜索，对事件进行定期分析，以有效实现对于信息系统、安全设备、网络设备的日志记录与分析工作。

结语

综上所述，对于现阶段电力企业信息网络而言，网络安全建设是一个综合性的课题，涉及到技术、使用、管理等许多方面，并受到诸多因素的影响。在电力企业网络安全建设过程中，应加强对于安全防护管理体系的完善与创新，以严格的管理制度与高素质管理人才，实现对于信息系统的精细化、准确化管理，从而切实促进企业网络安全建设的健康、稳步发展。

参考文献：

[1]张蓓，冯梅，靖小伟，刘明新.基于安全域的企业网络安全防护体系研究[J].计算机安全,2010(4).

第7篇：网络安全等级保护评估范文

“2009年，我上任后第一次访问深圳工厂，当时工厂还只能生产小功率UPS。”伊顿电气集团亚太区高级副总裁、电能质量业务总经理罗世光回忆说，“但是现在，10kW~1000kW的UPS都已经可以在中国本地进行生产。”

中国和亚太地区是伊顿在全球范围内具有战略意义的市场。罗世光相信，中国数据中心市场的快速增长将给伊顿的电能质量业务带来更大的增长机会。因此，在2014年，伊顿将加强与商的合作，拓展分销渠道，进一步推进与本土市场的全面融合，同时加大对本土产品研发和检测的能力，提供更多符合中国客户需求的高效节能的电能质量解决方案。

深圳是伊顿面向全球的研发和生产基地。三家位于深圳的工厂拥有5000多名员工、29条先进的自动化生产线，年产UPS达到800万台。伊顿在深圳设立的研发中心也是其全球三大电气研发基地之一，产品研发和测试工程师超过1000人。

刚启用的伊顿在深圳的亚太区电能质量产品和系统检测中心，是除美国、芬兰之外，伊顿在全球拥有的第三个产品和系统检测中心。“该检测中心同时也是客户体验中心，配备了全球领先的检测设备和技术，不仅能够检测单体设备，还能对包括UPS、电源分配单元（PDU）、AMS监测系统和第三方设备的整个电能系统解决方案进行测试，其最大测试能力是可对两台并联的1100kW的UPS进行测试。”罗世光介绍说，“客户在选择一款定制的电能解决方案后，即可在检测中心看到其运行的全过程，通过亲身体验增进对产品的了解和信心。”

“过去3~4年中，我们在中国市场的总投入已经超过1200万美元。我们仍在持续加强中国本地化，并从去年底开始进一步提升了针对中国用户的售前和售后服务能力。”罗世光告诉记者，“目前，我们90%的UPS都在深圳研发和生产。最近，深圳研发中心刚刚研制出一款新的UPS产品。与许多跨国企业采取的远程遥控式的本地研发策略相比，我们是实实在在地将研发部门落户在深圳，为亚太和中国市场提供本地化服务的同时也面向全球客户。”

云计算与大数据的发展推动了大型数据中心的快速发展，用户对数据中心整体解决方案和定制化解决方案的需求也与日俱增。“从2010年开始，伊顿增加了为中国客户定制数据中心解决方案的服务。在今年的商大会上，我看到了商和用户的积极反馈。”罗世光表示。

针对小型数据中心，伊顿可以提供模块化、标准化的解决方案；针对中型数据中心，伊顿可以针对不同行业客户的需求，提供有差异化的解决方案；针对大型数据中心，伊顿可以提供按需扩展的高能效、低整体拥有成本的解决方案。从产品到系统再到整体解决方案，这不仅对伊顿是一个新的挑战，对其商来说也要经历一个大的转变。

为了迅速提升商销售解决方案的能力，伊顿一方面不断更新其数据中心整体解决方案，另一方面加强对商的销售培训，实现信息共享。罗世光表示：“我们提供的定制化解决方案一方面要满足用户的个性化需求，另一方面还要保持开放性。我们将为用户提供解决方案与服务打包的一体化解决方案。”

第三届全国等级保护技术大会征文通知

为深入贯彻落实国家关于大力推进信息化发展和切实保障信息安全的文件精神，进一步推进信息安全等级保护技术交流，经公安主管部门同意，公安部第一研究所拟于2014年7月举办第三届全国信息安全等级保护技术大会（ICSP’2014）。

会议拟请公安、工业和信息化、国家保密、国家密码管理主管部门、中国科学院、国家网络与信息安全信息通报中心等部门担任指导单位，同时将出版论文集，经专家评选的部分优秀论文，将推荐至国家核心期刊发表。现就会议征文的有关情况通知如下：

一、征文范围

1. 新技术应用环境下信息安全等级保护技术：物联网、云计算、大数据、工控系统、移动接入网、下一代互联网（IPv6）等新技术、环境下的等级保护支撑技术，等级保护技术体系在新环境下的应用方法；

2. 关键基础设施信息安全保护技术：政府部门及金融、交通、电力、能源、通信、制造等重要行业网站、核心业务信息系统等安全威胁、隐患分析及防范措施；

3. 国内外信息安全管理政策与策略：信息安全管理政策和策略研究，信息安全管理体制和机制特点，信息安全管理标准发展对策，网络恐怖的特点、趋势、危害研究；

4. 信息安全预警与突发事件应急处置技术：攻击监测技术，态势感知预警技术，安全监测技术，安全事件响应技术，应急处置技术，灾难备份技术，恢复和跟踪技术，风险评估技术；

5. 信息安全等级保护建设技术：密码技术，可信计算技术，网络实名制等体系模型与构建技术，漏洞检测技术，网络监测与监管技术，网络身份认证技术，网络攻防技术，软件安全技术，信任体系研究；

6. 信息安全等级保护监管技术：用于支撑安全监测的数据采集、挖掘与分析技术，用于支撑安全监管的敏感数据发现与保护技术，安全态势评估技术，安全事件关联分析技术、安全绩效评估技术，电子数据取证和鉴定技术；

7. 信息安全等级保护测评技术：标准符合性检验技术，安全基准验证技术，源代码安全分析技术，逆向工程剖析技术，渗透测试技术，测评工具和测评方法；

8. 信息安全等级保护策略与机制：网络安全综合防控体系建设，重要信息系统的安全威胁与脆弱性分析，纵深防御策略，大数据安全保护策略，信息安全保障工作评价机制、应急响应机制、安全监测预警机制。

二、投稿要求

1. 来稿内容应属于作者的科研成果，数据真实、可靠，未公开发表过，引用他人成果已注明出处，署名无争议，论文摘要及全文不涉及保密内容；

2. 会议只接受以Word排版的电子稿件，稿件一般不超过5000字；

3. 稿件以Email方式发送到征稿邮箱；

4. 凡投稿文章被录用且未作特殊声明者，视为已同意授权出版；

5. 提交截止日期： 2014年5月25日。

三、联系方式

通信地址：北京市海淀区首都体育馆南路1号

邮编：100048

Email：.cn

联系人： 范博、王晨

联系电话：010-68773930，

13717905088，13581879819

第8篇：网络安全等级保护评估范文

理解CISP知识体系

CISP的核心在于将保障贯穿于整个知识体系。保障应覆盖整个信息系统生命周期，通过技术、管理、工程过程和人员，确保每个阶段的安全属性（保密性、完整性和可用性）得到有效控制，使组织业务持续运行。IT作为保障业务的重要手段和工具成为传统保障目的的核心。由于风险会影响业务的正常运行，因此，降低风险对业务的影响是保障的主要目标（如图）。在建立保障论据的过程中，首先应该考虑的是组织业务对IT的依赖程度；其次要考虑风险的客观性；第三要考虑风险消减手段的可执行度。CISP从体系结构上提供了信息安全规划设计的良好思路和方法论，在整个课程体系中涵盖了从政策（战略层）到模型、标准、基线（战术层）的纵向线条，同时在兼顾中国国情的情况下，系统介绍国际常用评估标准、管理标准和国家相关信息安全标准与政策。

根据CISP知识体系建立安全规划设计

安全规划是信息安全生命周期管理的起点和基础，良好的规划设计可以为组织带来正确的指导和方向。根据国家《网络安全法》“第三十三条建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。”

1.通过保障的思想建立安全规划背景

信息安全规划设计可以根据美国信息保障技术框架（IATF）ISSE过程建立需求，本阶段可对应ISSE中发掘信息保护需求阶段。根据“信息安全保障基本内容”确定安全需求，安全需求源于业务需求，通过风险评估，在符合现有政策法规的情况下，建立基于风险与策略的基本方针。因此，安全规划首先要熟悉并了解组织的业务特性，在信息安全规划背景设计中，应描述规划对象的业务特性、业务类型、业务范围以及业务状态等相关信息，并根据组织结构选择适用的安全标准，例如国家关键基础设施的信息安全需要建立在信息安全等级保护基础之上、第三方支付机构可选CISP知识域简图择PCI-DSS作为可依据的准则等。信息系统保护轮廓（ISPP）是根据组织机构使命和所处的运行环境，从组织机构的策略和风险的实际情况出发，对具体信息系统安全保障需求和能力进行具体描述。传统的风险评估可以基于GB/T20984《信息安全风险评估规范》执行具体的评估，评估分为技术评估与管理评估两部分。从可遵循的标准来看，技术评估通过GB/T22240—2008《信息安全等级保护技术要求》中物理安全、网络安全、系统安全、应用安全及数据安全五个层面进行评估；管理安全可以选择ISO/IEC27001：2013《信息技术信息安全管理体系要求》进行，该标准所包含的14个控制类113个控制点充分体现组织所涉及的管理风险。在工作中，可以根据信息系统安全目标来规范制定安全方案。信息系统安全目标是根据信息系统保护轮廓编制、从信息系统安全保障的建设方（厂商）角度制定的信息系统安全保障方案。根据组织的安全目标设计建设目标，由于信息技术的飞速发展以及组织业务的高速变化，一般建议建设目标以1-3年为宜，充分体现信息安全规划设计的可实施性，包括可接受的成本、合理的进度、技术可实现性，以及组织管理和文化的可接受性等因素。

2.信息系统安全保障评估框架下的概要设计

概要设计的主要任务是把背景建立阶段中所获得的需求通过顶层设计进行描述。本阶段可对应ISSE中定义信息保护系统，通过概要设计将安全规划设计基于GB/T20274-1：2006《信息安全技术信息系统安全保障评估框架第一部分：简介和一般模型》进行模块化划分，并且描述安全规划设计的组织高层愿景与设计内涵；在概要设计中，还应该描述每个模块的概要描述与设计原则。设计思路是从宏观上描述信息安全规划设计的目的、意义以及最终目标并选择适用的模型建立设计原则。本部分主要体现信息安全保障中信息系统安全概念和关系。根据《网络安全法》相关规定，顶层设计可以建立在信息安全等级保护的基础上，综合考虑诸如建立安全管理组织、完善预警与应急响应机制、确保业务连续性计划等方面GB/T20274-1：2006《信息安全技术信息系统安全保障评估框架第一部分：简介和一般模型》提供了一个优秀的保障体系框架。该标准给出了信息系统安全保障的基本概念和模型，并建立了信息系统安全保障框架。该标准详细给出了信息系统安全保障的一般模型，包括安全保障上下文、信息系统安全保障评估、信息系统保护轮廓和信息系统安全目标的生成、信息系统安全保障描述材料；信息系统安全保障评估和评估结果，包括信息系统保护轮廓和信息系统安全目标的要求、评估对象的要求、评估结果的声明等。信息系统安全保障是在信息系统的整个生命周期中，通过对信息系统的风险分析，制定并执行相应的安全保障策略，从技术、管理、工程和人员等方面提出安全保障要求，确保信息系统的保密性、完整性和可用性，降低安全风险到可接受的程度，从而保障系统实现组织机构的使命。策略体现的是组织的高层意旨，模型与措施作为战术指标分别为中层和执行层提供具体的工作思路和方法，以完成设计的具体实现。当信息安全满足所定义的基本要素后，为每个层面的设计提出概要目标，并在具体的设计中将其覆盖整个安全规划中。

3.实现建立在宏观角度的合规性通用设计

通用设计可对应ISSE中设计系统体系结构，本阶段是整个安全规划设计的核心部分，本阶段必须全面覆盖背景建立阶段所获得的安全需求，满足概要设计阶段所选择的模型与方法论，全面、系统的描述安全目标的具体实现。通用安全设计是建立在宏观角度上的综合性设计，设计首先将各个系统所产生的共同问题及宏观问题统一解决，有效降低在安全建设中的重复建设和管理真空问题。在通用设计中，重点针对组织信息安全管理体系和风险管理过程的控制元素，从系统生命周期考虑信息安全问题。（1）管理设计在信息安全管理体系ISMS过程方法论中，可遵循的过程方法是PDCA四个阶段：首先，需要在P阶段解决信息系统安全的目标、范围的确认，并且获得高层的支持与承诺。安全管理的实质就是风险管理，管理设计应紧紧围绕风险建立，所以，本阶段首要的任务是为组织建立适用的风险评估方法论。其次，管理评估中所识别的不可接受风险是本阶段主要设计依据。通过D环节，需要解决风险评估的具体实施以及风险控制措施落实，风险评估仅能解决当前状态下的安全风险问题，因此，必须建立风险管理实施规范，当组织在一定周期（例如1年）或者组织发生重大变更时重新执行风险评估，风险评估可以是自评估，也可以委托第三方进行。本环节的设计必须涵盖管理风险中所有不可接受风险的具体处置，从实现而言，重点关注管理机构的设置与体系文件的建立和落实。第三个环节是建立有效的内审机制和监测机制，没有检测就没有改进，通过设计审计体系完成对信息安全管理体系的动态运行。第四个环节，即A环节，是在完成审计之后针对组织是否有效执行纠正措施的落实设计审计跟踪和风险再评估过程。A环节既是信息安全管理体系的最后一个环节，也是新的PDCA过程的推动力。（2）技术设计技术设计主要是建立在组织平均安全水平基础上，应可适用于组织所有的系统和通用的技术风险。设计可遵循多种技术标准体系，首先建立基于信息安全等级保护的五个层面技术设计要求。通过美国信息保障技术框架建立“纵深防御”原则，其具体涉及在访问控制技术和密码学技术支撑下的物理安全、网络安全、系统安全、应用安全和数据安全。技术设计可在原有的技术框架下建立云安全、大数据安全等专项技术安全设计，也可在网络安全中增加虚拟网络安全设计等方式，应对新技术领域的安全设计。技术设计可以包括两个主要手段：第一，技术配置。技术配置是在现有的技术能力下通过基于业务的安全策略和合规性基线进行安全配置。常见的手段包括补丁的修订、安全域的划分与ACL的设计、基于基线的系统配置等手段；第二，技术产品。技术产品是在现有产品不能满足控制能力时通过添加新的安全产品结合原有的控制措施和产品统一部署、统一管理。在技术设计中，必须明确的原则是产品不是安全的唯一，产品也不是解决安全问题的灵丹妙药，有效的安全控制是通过对产品的综合使用和与管理、流程、人员能力相互结合，最终形成最佳的使用效果。（3）工程过程设计工程过程设计重点考虑基于生命周期每个阶段的基于安全工程考虑的流程问题，在信息系统生命周期的五个层面。信息安全问题应该从计划组织阶段开始重视，在信息系统生命周期每个阶段建立有效的安全控制和管理。工程过程包括计划组织、开发采购、实施交付、运行维护和废弃五个阶段，本阶段的设计主要通过在每个阶段建立相应的流程，通过流程设计控制生命周期各个阶段的安全风险。在计划组织（需求分析）阶段，体现信息安全工程中明确指出的系统建设与安全建设应“同步规划、同步实施”，体现《网络安全法》中“三同步”的要求。在开发采购阶段，通过流程设计实现软件安全开发的实现和实现供应链管理。实施交付阶段，关注安全交付问题，应设计安全交付流程和安全验收流程。运行维护阶段要体现安全运维与传统运维差异化，安全运维起于风险评估，应更多关注预防事件的发生，事前安全检查的基线设计、检查手段及工具的选择和使用根据设备的不同重要程度建立不同的检查周期；当系统产生缺陷或者漏洞时，设计合理的配置管理、变更管理及补丁管理等流程解决事中问题；当事件已经产生影响时，可以通过预定义的应急响应机制抑制事件并处置事件；当事件造成系统中断、数据丢失以及其他影响业务连续性后果时，能够通过规划中的灾难恢复及时恢复业务。废弃阶段通过流程控制用户系统在下线、迁移、更新过程中对包含有组织敏感信息的存储介质建立保护流程和方法，明确废弃过程中形成的信息保护责任制，并根据不同的敏感采取不同的管理手段和技术手段对剩余信息进行有效处置。（4）人员设计人员安全是信息安全领域不可或缺的层面，长期以来，过于关注IT技术的规划设计而忽略了人的安全问题，内部人员安全问题构成了组织安全的重要隐患，人为的无意失误造成的损害往往远大于人为的恶意行为。人员设计重点关注人员岗位、技术要求、背景以及培训与教育，充分体现最小特权、职责分离及问责制等原则。根据《网络安全法》第四章要求，关键基础设施应建立信息安全管理机构，并设置信息安全专职人员。在人员设计中还应充分考虑到第三方代维人员的管理及供应商管理等新问题的产生。

4.构建等级化保护的层面间设计

第9篇：网络安全等级保护评估范文

关键词：证券行业信息安全网络安全体系

近年来，我国资本市场发展迅速，市场规模不断扩大，社会影响力不断增强．成为国民经济巾的重要组成部分，也成为老百姓重要的投资理财渠道。资本市场的稳定健康发展，关系着亿万投资者的切身利益，关系着社会稳定和国家金融安全的大局。证券行业作为金融服务业，高度依赖信息技术，而信息安全是维护资本市场稳定的前提和基础。没有信息安全就没有资本市场的稳定。

目前．国内外网络信息安全问题日益突出。从资本市场看，近年来，随着市场快速发展，改革创新深入推进，市场交易模式日趋集巾化，业务处理逻辑日益复杂化，网络安全事件、公共安全事件以及水灾冰灾、震灾等自然灾害都对行业信息系统的连续、稳定运行带来新的挑战。资本市场交易实时性和整体性强，交易时问内一刻也不能中断。加强信息安全应急丁作，积极采取预防、预警措施，快速、稳妥地处置信息安全事件，尽力减少事故损失，全力维护交易正常，对于资本市场来说至关重要。

1证券行业倍息安全现状和存在的问题

1．1行业信息安全法规和标准体系方面

健全的信息安全法律法规和标准体系是确保证券行业信息安全的基础。是信息安全的第一道防线。为促进证券市场的平稳运行，中国证监会自1998年先后了一系列信息安全法规和技术标准。其中包括2个信息技术管理规范、2个信息安全等级保护通知、1个信息安全保障办法、1个信息通报方法和10个行业技术标准。行业信息安全法规和标准体系的初步形成，推动了行业信息化建设和信息安全工作向规范化、标准化迈进。

虽然我国涉及信息安全的规范性文件众多，但在现行的法律法规中。立法主体较多，法律法规体系庞杂而缺乏统筹规划。面对新形势下信息安全保障工作的发展需要，行业信息安全工作在政策法规和标准体系方面的问题也逐渐显现。一是法规和标准建设滞后，缺乏总体规划；二是规范和标准互通性和协调性不强，部分规范和标准的可执行性差；三是部分规范和标准已不适应，无法应对某些新型信息安全的威胁；四是部分信息安全规范和标准在行业内难以得到落实。

1．2组织体系与信息安全保障管理模型方面

任何安全管理措施或技术手段都离不开人员的组织和实施，组织体系是信息安全保障工作的核心。目前，证券行业采用“统一组织、分工有序”的信息安全工作体系，分为决策层、管理层、执行层。

为加强证券期货业信息安全保障工作的组织协调，建立健全信息安全管理制度和运行机制，切实提高行业信息安全保障工作水平，根据证监会颁布的《证券期货业信息安全保障管理暂行办法》，参照ISO／IEC27001：2005，提出证券期货业信息安全保障管理体系框架。该体系框架采用立方体架构．顶面是信息安全保障的7个目标(机密性、完整性、可用性、真实性、可审计性、抗抵赖性、可靠性)，正面是行业组织结构．侧面是各个机构为实现信息安全保障目标所采取的措施和方式。

1．3IT治理方面

整个证券业处于高度信息化的背景下，IT治理已直接影响到行业各公司实现战略目标的可能性，良好的IT治理有助于增强公司灵活性和创新能力，规避IT风险。通过建立IT治理机制，可以帮助最高管理层发现信息技术本身的问题。帮助管理者处理IT问题，自我评估IT管理效果．可以加强对信息化项目的有效管理，保证信息化项目建设的质量和应用效果，使有限的投入取得更大的绩效。

2003年lT治理理念引入到我国证券行业，当前我国证券业企业的IT治理存在的问题：一是IT资源在公司的战略资产中的地位受到高层重视，但具体情况不清楚；二是IT治理缺乏明确的概念描述和参数指标；是lT治理的责任与职能不清晰。

1．4网络安全和数据安全方面

随着互联网的普及以及网上交易系统功能的不断丰富、完善和使用的便利性，网上交易正逐渐成为证券投资者交易的主流模式。据统计，2008年我同证券网上交易量比重已超过总交易量的80％。虽然交易系统与互联网的连接，方便了投资者。但由于互联网的开放性，来自互联网上的病毒、小马、黑客攻击以及计算机威胁事件，都时刻威胁着行业的信息系统安全，成为制约行业平稳、安全发展的障碍。此，维护网络和数据安全成为行业信息安全保障工作的重要组成部分。近年来，证券行业各机构采取了一系列措施，建立了相对安全的网络安全防护体系和灾舴备份系统，基木保障了信息系统的安全运行。但细追究起来，我国证券行业的网络安全防护体系及灾备系统建设还不够完善，还存存以下几方面的问题：一是网络安全防护体系缺乏统一的规划；二是网络访问控制措施有待完善；三是网上交易防护能力有待加强；四是对数据安全重视不够，数据备份措施有待改进；五是技术人员的专业能力和信息安全意识有待提高。

1．5IT人才资源建设方面

近20年的发展历程巾，证券行业对信息系统日益依赖，行业IT队伍此不断发展壮大。据统计，2008年初，在整个证券行业中，103家证券公司共有IT人员7325人，占证券行业从业总人数73990人的9．90％，总体上达到了行业协会的IT治理工作指引中“IT工作人员总数原则上应不少于公司员工总人数的6％”的最低要求。目前，证券行业的IT队伍肩负着信息系统安全、平稳、高效运行的重任，IT队伍建设是行业信息安全IT作的根本保障。但是，IT人才队伍依然存在着结构不合理、后续教育不足等问题，此行业的人才培养有待加强。

2采取的对策和措施

2．1进一步完善法规和标准体系

首先，在法规规划上，要统筹兼顾，制定科学的信息技术规范和标准体系框架。一是全面做好立法规划；二是建立科学的行业信息安全标准和法规体系层次。行业信息安全标准和法规体系初步划分为3层：第一层是管理办法等巾同证监会部门规章；第二层是证监会相关部门制定的管理规范等规范性文件；第三层是技术指引等自律规则，一般由交易所、行业协会在证监会总体协调下组织制定。其次，在法规制定上．要兼顾规范和发展，重视法规的可行性。最后，在法规实施上．要坚持规范和指引相结合，重视监督检查和责任落实。

2．2深入开展证券行业IT治理工作

2．2．1提高IT治理意识

中国证券业协会要进一步加强IT治理理念的教育宣传工作，特别是对会员单位高层领导的IT治理培训，将IT治理的定义、工具、模型等理论知识纳入到高管任职资格考试的内容之中。通过举办论坛、交流会等形式强化证券经营机构的IT治理意识，提高他们IT治理的积极性。

2．2．2通过设立IT治理试点形成以点带面的示范效应

根据IT治理模型的不同特点，建议证券公司在决策层使用CISR模型，通过成立lT治理委员会，建立各部门之间的协调配合、监督制衡的责权体系；在执行层以COBIT模型、ITFL模型等其他模型为补充，规范信息技术部门的各项控制和管理流程。同时，证监会指定一批证券公司和基金公司作为lT试点单位，进行IT治理模型选择、剪裁以及组合的实践探索，形成一批成功实施IT治理的优秀范例，以点带面地提升全行业的治理水平。

2．3通过制定行业标准积极落实信息安全等级保护

行业监管部门在推动行业信息安全等级保护工作中的作用非常关键．应进一步明确监管部门推动行业信息安全等级保护工作的任务和工作机制，统一部署、组织行业的等级保护丁作，为该项丁作的顺利开展提供组织保证。行业各机构应采取自主贯彻信息系统等级保护的行业要求，对照标准逐条落实。同时，应对各单位实施信息系统安全等级保护情况进行测评，在测评环节一旦发现信息系统的不足，被测评单位应立即制定相应的整改方案并实施．且南相芙的监督机构进行督促。

2．4加强网络安全体系规划以提升网络安全防护水平

2．4．1以等级保护为依据进行统筹规划

等级保护是围绕信息安全保障全过程的一项基础性的管理制度，通过将等级化的方法和安全体系规划有效结合，统筹规划证券网络安全体系的建设，建立一套信息安全保障体系，将是系统化地解决证券行业网络安全问题的一个非常有效的方法。

2．4．2通过加强网络访问控制提高网络防护能力

对向证券行业提供设备、技术和服务的IT公司的资质和诚信加强管理，确保其符合国家、行业技术标准。根据网络隔离要求，要逐步建立业务网与办公网、业务网与互联网、网上交易各子系统间有效的网络隔离。技术上可以对不同的业务安全区域划分Vlan或者采用网闸设备进行隔离；对主要的网络边界和各外部进口进行渗透测试，进行系统和设备的安全加固．降低系统漏洞带来的安全风险；在网上交易方面，采取电子签名或数字认证等高强度认证方式，加强访问控制；针对现存恶意攻击网站的事件越来越多的情况，要采取措施加强网站保护，提高对恶意代码的防护能力，同时采用技术手段，提高网上交易客户端软件使朋的安全性。

2．4．3提高从业人员安全意识和专业水平

目前在证券行业内，从业人员的网络安全意识比较薄弱．必要时可定期对从业人员进行安全意识考核，从行业内部强化网络安全工作。要加强网络安全技术人员的管理能力和专业技能培训，提高行业网络安全的管理水平和专业技术水平。

2．5扎实推进行业灾难备份建设

数据的安全对证券行业是至关重要的，数据一旦丢失对市场各方的损失是难以估量的。无论是美国的“9·11”事件，还是我国2008年南方冰雪灾害和四川汶川大地震，都敲响了灾难备份的警钟。证券业要在学习借鉴国际经验的基础上，针对自身需要，对重要系统开展灾难备份建设。要继续推进证券、基金公司同城灾难备份建设，以及证券交易所、结算公司等市场核心机构的异地灾难备份系统的规划和建设。制定各类相关的灾难应急预案，并加强应急预案的演练，确保灾难备份系统应急有效．使应急工作与日常工作有机结合。

2．6抓好人才队伍建设

证券行业要采取切实可行的措施，建立吸引人才、留住人才、培养人才、发展人才的用人制度和机制。积极吸引有技术专长的人才到行业巾来，加强lT人员的岗位技能培训和业务培训，注重培养既懂得技术义懂业务和管理的复合型人才。要促进从业人员提高水平、转变观念，行业各机构应采取采取请进来、派出去以及内部讲座等多种培训方式。通过建立规范有效的人才评价体系，对信息技术人员进行科学有效的考评，提升行业人才资源的优化配置和使用效率，促进技术人才结构的涮整和完善。