网络安全等级保护测评方法精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的网络安全等级保护测评方法主题范文，仅供参考，欢迎阅读并收藏。

第1篇：网络安全等级保护测评方法范文

会议拟请公安、工业和信息化、国家保密、国家密码管理主管部门、中国科学院、国家网络与信息安全信息通报中心等部门担任指导单位，同时将出版论文集，经专家评选的部分优秀论文，将推荐至国家核心期刊发表。现就会议征文的有关情况通知如下：

一、征文范围

1. 新技术应用环境下信息安全等级保护技术：物联网、云计算、大数据、工控系统、移动接入网、下一代互联网（IPv6）等新技术、环境下的等级保护支撑技术，等级保护技术体系在新环境下的应用方法；

2. 关键基础设施信息安全保护技术：政府部门及金融、交通、电力、能源、通信、制造等重要行业网站、核心业务信息系统等安全威胁、隐患分析及防范措施；

3. 国内外信息安全管理政策与策略：信息安全管理政策和策略研究，信息安全管理体制和机制特点，信息安全管理标准发展对策，网络恐怖的特点、趋势、危害研究；

4. 信息安全预警与突发事件应急处置技术：攻击监测技术，态势感知预警技术，安全监测技术，安全事件响应技术，应急处置技术，灾难备份技术，恢复和跟踪技术，风险评估技术；

5. 信息安全等级保护建设技术：密码技术，可信计算技术，网络实名制等体系模型与构建技术，漏洞检测技术，网络监测与监管技术，网络身份认证技术，网络攻防技术，软件安全技术，信任体系研究；

6. 信息安全等级保护监管技术：用于支撑安全监测的数据采集、挖掘与分析技术，用于支撑安全监管的敏感数据发现与保护技术，安全态势评估技术，安全事件关联分析技术、安全绩效评估技术，电子数据取证和鉴定技术；

7. 信息安全等级保护测评技术：标准符合性检验技术，安全基准验证技术，源代码安全分析技术，逆向工程剖析技术，渗透测试技术，测评工具和测评方法；

8. 信息安全等级保护策略与机制：网络安全综合防控体系建设，重要信息系统的安全威胁与脆弱性分析，纵深防御策略，大数据安全保护策略，信息安全保障工作评价机制、应急响应机制、安全监测预警机制。

二、投稿要求

1. 来稿内容应属于作者的科研成果，数据真实、可靠，未公开发表过，引用他人成果已注明出处，署名无争议，论文摘要及全文不涉及保密内容；

2. 会议只接受以Word排版的电子稿件，稿件一般不超过5000字；

3. 稿件以Email方式发送到征稿邮箱；

4. 凡投稿文章被录用且未作特殊声明者，视为已同意授权出版；

5. 提交截止日期： 2014年5月25日。

三、联系方式

通信地址：北京市海淀区首都体育馆南路1号

邮编：100048

Email：.cn

联系人： 范博、王晨

联系电话：010-68773930，

13717905088，13581879819

第2篇：网络安全等级保护测评方法范文

［关键词］信息安全;等级保护;云平台

［中图分类号］TP39［文献标志码］A［文章编号］1009－8054(2015)12－0116－04

0引言

国家对非信息系统实行等级保护制度，等级保护测评的目的在于提高国家重要信息系统的信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设［1］。伴随着信息安全等级保护制度的贯彻实施，信息系统的安全保护能力有了普遍提升，相关人员的信息安全意识同样有了提高。等级保护测评工作是查找信息系统安全问题的重要手段，国家相继出台了相关的标准，来规范和指导信息安全等级保护测评，例如GB/T22239－2008、GB/T22240－2008、GB/T28449－2012等标准。笔者在对电子政务系统信息安全等级保护定级以及系统测评方面，根据在实际工作中遇到的问题，结合工程实践，对测评中遇到的这些问题进行分析，并给出了具体的解决方法。这些问题包括:电子政务外网定级与测评、测评中常见的重要问题分析，以及云平台下开展等级保护测评工作应关注的附加测评项等内容。

1电子政务外网定级与测评

对于电子政务外网的定级，对刚刚接触等级保护测评的机构或测评人员来说，可能相对陌生。以往我们开展信息系统等级保护的定级和测评，都是以信息系统为测评单位，要对整个电子政务外网进行定级，是否可行，定级范围又是如何界定，下文将给出具体的分析。对一个信息化平台是可以定级的，下面就以电子政务外网为例，来说明具体情况。电子政务外网是国家电子政务重要基础设施，是承载各级政务部门用于经济调节、市场监管、社会管理和公共服务等非涉及国家秘密的业务应用系统的政务公用网络。电子政务外网的定级对象为本级政务外网管辖范围内(由边界设备确定)的所有网络、计算、存储和安全防护等各类设备、各种用于网络运维管理、安全保障的应用系统、各种通信线路及支持所有软硬件正常运行的机房等基础设施环境等。门户网站系统、跨部门的数据共享与交换系统、数据中心内的各业务应用系统以及各级政务部门的各类应用系统不包括在政务外网的等级保护范围内，这些系统的的定级标准依据GB/T2224－2008《信息安全技术信息系统安全等级保护定级指南》，测评标准依据GB/T22239－2008《信息安全技术信息系统安全等级保护基本要求》。在《国家电子政务外网安全等级保护实施指南》中，分别给出了等级保护二级和等级保护三级的定级范围图。其中，等级保护二级的定级范围图如图1所示。图中标识为紫色的区域，就是电子政务外网的定级范围。对于电子政务外网的测评，要依据两个方面的标准，其一是《国家电子政务外网安全保护等级基本要求》，在该标准中对IP承载网、业务区域网络和管理区域网络等方面提出了具体要求，包括结构安全、访问控制等具体要求项;其二是GB/T22239－2008《信息安全技术信息系统安全等级保护基本要求》。电子政务外网按照功能区域划分可以划分出6个安全区域，即公用网络区、互联网接入区、专用网络区、用户接入区、网络和安全管理区、电子认证区。在实际的测评工作工作中，要理解各个功能区域作用:互联网接入区:是政务部门通过逻辑隔离安全接入互联网的网络区域，满足政务部门连接互联网的需求。网络管理区:网络管理区主要承载网络管理信息系统，通过网络管理系统实现对管辖区内网络设备、服务器设备的状态监控及相关管理等功能;安全管理区:安全管理区主要承载安全管理信息系统，通过安全管理区实现对管辖区内安全设备进行日志采集、实现对网络中的攻击行为进行报警等功能;公用网络区:采用统一分配的公共IP地址，实现各部门、各地区之间的互联互通，为跨地区、跨部门的业务应用提供数据共享与交换的网络平台。

2测评中常见的问题分析

2．1网络结构方面根据调研，笔者发现目前一些单位的二级系统由于应用架构简单，面对互联网提供服务的应用服务器、数据库服务器被部署在一个网段，而且部署在内网区域。很显然，该种拓扑结构存在的问题主要体现在:1)应用服务器和数据库部署在一个网段，存在安全隐患，一旦面对互联网的应用服务器被恶意入侵，同网段的数据库服务器将面临很大的安全风险。2)面对互联网的应用服务器部署在内网区域，一旦该服务器被恶意入侵，将给内网安全带来安全风险。对于该类网络拓扑结构，应将应用服务器设置在互联网边界防火墙的DMZ区域。在实际的测评工作中，我们也发现了个别单位拟对电子政务外网平台进行网络结构的改造，但往往又不清楚如何下手。据调研，现有的网络拓扑图互联网出口过多，安全域划分不合理，网络区域的划分非常分散，都是当前网络结构方面面临的问题。笔者建议这些单位负责网络平台运维的相关人员要仔细阅读《国家电子政务外网安全等级保护等级基本要求》和《国家电子政务外网安全等级保护实施指南》这两个标准，这个标准对电子政务外网功能区域的划分，已经给出了明确的说明。在不了解上述标准的前提下，对现有的网络结构进行盲目的调整，调整的结果仍然是网络区域分散，互联网出口过多、系统化不强。《国家电子政务外网安全等级保护实施指南》中给出的网络功能区域的划分图如图2所示。2．2重要网段防止地址欺骗为了做好重要网段防止地址欺骗工作。可以从双向IP/MAC绑定入手。例如:重要的管理终端与该管理终端的接入网关之间，要实现双向绑定。在管理终端上设置网关的静态ARP信息，在网关上将管理终端的IP－MAC输入到静态表中。在实际的测评中发现，重要网段防止地址欺骗在网络设置中做的不多。2．3访问控制信息安全等级保护的两个目的，其一是保护信息系统数据的安全性，其二是保证信息系统的业务连续性。显然，对服务器的保护显得重之又重。在具体的测评中，我们发现，在服务器区域边界防火墙的访问控制策略中，源地址范围过大是常见的一类问题，而且该策略中，对应的端口限制粒度也往往过大。2．4单点故障问题在测评中时常发现，一些三级系统未采用冗余技术设计网络拓扑图，因而造成关键节点存在单点故障。避免单点故障就是为了保障系统的高可用性。2．5非法外联的问题在等保测评的技术要求中，要求采用技术手段限制非法外联行为。一些刚刚迈进等级保护测评大门的相关人员可能会有如下错误的认识:“待评测的信息系统面向互联网提供服务，而且被测评单位的所有计算机终端设备均允许连接互联网，该测评项因此可以判定为不适用”。实际上，上面的理解是不正确的，尽管该单位所有的终端都可以连接互联网，但是这些终端都是通过该单位统一的互联网出口出去的，而且在互联网边界必定部署了相关安全设备，如放火墙、入侵防御设备等等。如果该单位某个终端用户采用一个3G上网卡连接了互联网，这等于就打开了一个新的通路，而且这条通路上没有任何的安全防护设备，这就破坏了网络的边界完整性，给内网安全带来了隐患。因此，限制终端用户的非法外联行为是十分必要的。2．6密码加密的问题在测评中发现，一些数据库的用户表中，密码字段仍然是明文存储，显然这是非常不安全的，建议对密码字段进行加密，加密可采用md5(用户名+密码+随机字符串)加密方式。2．7验证码绕过的问题在应用安全测评中，我们发现一些应用系统仍然存在admin这样的管理员用户，这就给密码猜测提供了可能，建议重命名ad-min或administrator，此外，为了避免验证码绕过的问题，应及时更新验证码(在登录失败时也要更新验证码)，防止出现验证码被绕过问题的发生。2．8信息系统精确定级在进行信息系统等级保护定级时，信息系统的使用单位一般都做到了信息系统定级，但是没有做到准确定级，也就是说没有根据数据的安全性等级和业务连续性的安全等级来最终定位系统的安全保护等级。在一个三级系统的等级保护测评咨询项目中，用户将信息系统定为三级(S3G3A3)，根据我们实际的调研发现，该系统仅仅是一个数据备份系统，对数据安全性要求可以达到三级要求，但对于业务连续性的要求是不需要定为三级的，因此就建议用户对信息系统定级为三级(S3G3A2)，这样一来，既保证了信息系统安全性，也为使用单位设计、改造该系统的信息安全保护能力提供了准确的指导建议。

3云平台环境下的信息系统信息安全测评

随着云平台的发展，一些单位将应用部署在云服务器上，当前云应用存在四个方面的安全风险，一是共享技术漏洞引入的虚拟化安全风险;二是云服务不可信带来的信息安全风险;三是多租户模式带来的数据泄露风险;四是云平台恶意使用带来的运营安全风险。“虚拟化”和“分散处理”是云平台下两项关键技术，而云平台是以虚拟机系统作为底层架构，因此虚拟机系统的安全是云安全的核心。这就给开展等级保护测评工作引入了新的要求。图3给出了虚拟化环境层次分析模型［2］。图中所示的Hypervisor为管理控制程序，负责对硬件资源的调度、管理VM(虚拟机)、响应VM。在该模型中，信息系统采用虚拟化技术，用户使用的服务器资源、网络设备资源、安全设备资源等资源，均被放置在云端。用户通过客户端的浏览器页面访问信息系统的WEB页面，由云端的虚拟化管理层对用户进行身份验证，并分配相应的资源。结合图3所示，在进行信息安全等级保护测评时，应充分考虑三个层次存在的安全风险［2］:对于用户接入层:要关注终端安全、身份认证、通信加密、连接安全等安全风险点;虚拟化管理层:要关注Hypervisor自身的安全性、Hypervisor特权威胁、计算资源虚拟化等安全威胁;VM层:要关注数据集中风险、逃逸威胁、VM镜像的安全性、残余信息保护等。针对云平台下的信息系统信息安全测评，笔者认为除了要依据GB/T22239－2008标准的基本要求对信息系统进行测评外，还应增加相应的附加要求。这些附加要求包括:3．1网络安全(1)结构安全云服务提供商应能提供完整的虚拟网络环境说明，包括网络设备、安全设备的部署情况及作用说明，并提供给云平台用户备案;云服务提供商应能对虚拟网络的运行状况进行监控。(2)访问控制应在虚拟网络边界部署访问控制设备，并启用访问控制功能;应在客户端到虚拟机之间部署访问控制设备，并启用访问控制功能。3．2主机安全(1)身份鉴别对虚拟服务器进行远程管理时，应采取必要措施，防止用户鉴别信息在网络传输中被窃听。(2)访问控制应采用技术手段控制虚拟机与物理主机之间、虚拟机之间的互访。(3)剩余信息保护应采取技术措施保证虚拟资源回收时，对数据进行清除。(4)入侵防范物理主机中应采用监测技术，对同一物理主机上各虚拟主机之间的通信进行监测。(5)资源控制应限制每台虚拟机资源使用的上限。(6)恶意代码防范应采用技术手段对虚拟机镜像文件进行保护;在物理机和虚拟机中均应安装恶意代码防范软件，并及时更新恶意代码软件版本和恶意代码库。(7)剩余信息保护应采取技术措施保证虚拟资源回收时，对数据进行清除。3．3数据安全(1)数据完整性应采用技术手段对虚拟机镜像文件进行完整性保护。(2)数据保密性应采用加密或者其他保护措施实现虚拟镜像文件的保密性。(3)备份和恢复对VMM(即Hypervisor)的安全配置、访问控制策略进行备份。

4结语

信息系统的等级保护测评工作是实践性非常强的一项工作，由于新技术、新产品的应用都将给测评工作带来新的挑战。本文结合具体的工程实践，对电子政务外网的定级进行了阐述，对测评中发现的一些重要问题进行了分析，并结合当前云应用的情况，对信息安全等级保护测评的基本要求进行补充。笔者也将在今后的文章中，对信息安全等级测评标准的理解与实践，做更加详细地陈述。

参考文献:

［1］孙铁．云环境下开展等级保护工作的思考［J］．信息网络安全，2011(6):11－13．

第3篇：网络安全等级保护测评方法范文

关键词：政务外网 等级保护 定级 网络安全

为贯彻落实公安部、国家保密局、国家密码管理局、原国务院信息化工作办公室于2007年7月26日联合下发《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号），国家电子政务外网工程建设办公室（以下简称“外网工程办”）在2007年11月启动了中央级政务外网定级专项工作，成立了等级保护定级工作组，根据政务外网的实际情况和特点，经过多轮内部讨论和征求专家意见后，基本完成了政务外网安全等级保护定级工作，为后续备案和全面开展、实施等级保护整改和测评工作奠定了坚实基础。

一、周密部署，精心组织

为有效贯彻落实国家信息安全等级保护制度，在总结基础调查和试点工作的基础上，根据《关于开展全国重要信息系统安全等级保护定级工作的通知》等相关规定，2007年11月13日，电子政务外网工程办召开等级保护工作启动会，正式启动国家电子政务外网安全等级保护定级工作。

为确保信息系统等级保护工作顺利进行，外网工程办领导高度重视，专门成立了由各主要业务部门负责人为成员的等级保护工作小组，全面负责工作的规划、协调和指导，确定了外网工程办安全组为等级保护工作的牵头部门，各部门分工协作。同时，为确保系统划分和定级工作的准确性和合理性，2007年11月22日外网工程办专门邀请专家，对定级工作进行专项指导。

为统一思想，提高认识，通过召开等级保护专题会议等形式，深入学习《信息安全等级保护管理办法》和《关于开展全国重要信息系统安全等级保护定级工作的通知》等文件精神，使相关人员充分认识和领会了开展信息安全等级保护工作的重要性，进一步认识到实施信息安全等级保护不仅是信息安全管理规范化、标准化、科学化的需要，也是提高政务外网安全保障能力与服务水平的重要途径，是追求自身发展与落实社会责任相一致的现实需要与客观要求，从而增强了开展此项工作的主动性和自觉性。

二、积极做好定级各项工作

信息安全等级保护工作政策性强、技术要求高，时间又非常紧迫，为此，政务外网工程办从三方面抓好定级报备前期准备工作：一是积极参加公安部组织的等级保护培训，领会与理解开展信息安全等级保护工作的目的、意义与技术要求，系统地掌握信息安全等级保护的基础知识、实施过程、定级方法步骤和备案流程等。二是多次组织人员开展内部讨论和交流，使人员较全面地了解等级保护的意义、基础知识和定级方法。三是开展工程办各组的业务应用摸底调查，摸清系统的系统结构、业务类型和应用范围，并汇总整理了政务外网各组成域的相关概况。

三、科学准确定级

在开展政务外网定级工作的过程中突出重点，全面分析政务外网网络基础平台的特点，力求准确划定定级范围和定级对象。在此基础上，依据《信息安全等级保护管理办法》，确定政务外网各组成子系统（网络域）的安全保护等级。

划定定级对象。根据《信息系统安全等级保护定级指南》，外网工程办多次组织技术和业务骨干召开专题会议讨论信息系统划分问题，提出了较为科学合理的信息系统划分方案。

初步确定了信息系统等级。根据系统划分结果，组织各业务部门参与并初步确定了各系统等级，完成了自定级报告的起草。

组织专家自评把关。根据等级保护评审的标准与要求，专家们对信息系统划分和定级报告进行内部评审，并给出了内部评审意见。根据专家意见重新修改并整理了等级保护定级报告及其相关材料。

此外，在定级过程中，外网工程办积极与公安部等级保护主管部门进行沟通，并经由相关专家确认定级对象与等级保护方案后，整理好了所有定级材料，准备下一步的正式评审。

四、定级对象和结果

根据政务外网作为基础网络平台的特性，以及其接入系统的不同业务类型，政务外网按管理边界划分为中央政务外网、地方政务外网两类管理域。中央政务外网按业务边界划分功能区，即公用网络平台区、专用VPN网络区以及互联网接入区，在各功能区内又根据业务类型和系统服务的不同，确定了多个业务系统，主要有安全管理系统、应用平台系统、网络管理系统、邮件系统、VPN业务、互联网数据中心等六个系统作为本次等级保护定级工作的定

级对象，分别予以定级（确定等级结果如表1所示）。

作者简介：

罗海宁，1980年生，男，汉族，工程师，在职硕士，专业方向：网络与信息安全。

郭红，1966年生，女，汉族，高级工程师，在职硕士，专业方向：网络安全。

第4篇：网络安全等级保护测评方法范文

[关键词] 电子政务 信息安全 等级保护 风险评估

1 概述

电子政务是政府管理方式的革命,它是运用信息以及通信技术打破行政机关的组织界限,构建一个电子化的虚拟机关,使公众摆脱传统的层层关卡以及书面审核的作业方式,并依据人们的需求、人们可以获取的方式、人们要求的时间及地点等,高效快捷地向人们提供各种不同的服务选择。政府机关之间以及政府与社会各界之间也经由各种电子化渠道进行相互沟通。

电子政务的建立将使政府社会服务职能得到最大程度的发挥,但也使政府敏感信息暴露在无孔不入的网络威胁面前。由于电子政务信息网络上有相当多的政府公文在流转,其中不乏重要信息,内部网络上有着大量高度机密的数据和信息,直接涉及政府的核心政务,它关系到政府部门、各大系统乃至整个国家的利益,有的甚至涉及国家安全。因此,电子政务信息安全是制约电子政务建设与发展的首要问题和核心问题,是电子政务的职能与优势得以实现的根本前提。如果电子政务信息安全得不到保障,不仅电子政务的便利与效率无从保证,更会给国家利益带来严重威胁。

2 电子政务信息系统面临的威胁

电子政务涉及对政府机密信息和敏感政务的保护、维护公共秩序和行政监管的准确实施以及为保障社会提供公共服务的质量。电子政务作为政府有效决策、管理、服务的重要手段,必然会遇到各种敌对势力、恐怖集团、捣乱分子的破坏和攻击。尤其是,电子政务在基于互联网的网络平台上,他包括政务内网、政务外网和互联网,而互联网是一个无行政主管的全球网络,自身缺少设防,安全隐患很多,使得不法分子利用互联网进行犯罪有机可乘,这就使得基于互联网开展的电子政务应用面临着严峻的挑战。

对电子政务的安全威胁包括网上黑客入侵和犯罪、病毒泛滥和蔓延,信息间谍的潜入和窃密,网络恐怖集团的攻击和破坏,内部人员的违规和违法操作,网络系统的脆弱和瘫痪,信息安全产品的失控等,对于这些威胁,电子政务的建设和应用应引起足够警惕,采取果断的安全措施,应对这种挑战。

3 电子政务信息安全管理体系的构建

要有效维护电子政务信息系统的安全,就需要构建电子政务安全管理体系,从而使政务的信息基础设施、信息应用服务能够具有保密性、完整性、真实性和可用性。电子政务安全管理体系包括安全技术体系、安全管理体系和安全服务体系,涉及从管理到组织,从网络到数据,从法规标准到基础设施等各个方面。

3.1 加强安全技术力量是实现电子政务安全的基本方法

安全技术体系是利用技术手段实现技术层面的安全保护,是对电子政务安全防护体系的完善,包括网络安全体系、数据安全传输与存储体系,功能主要是通过各种技术手段实现技术层次的安全保护。

网络安全体系包括网闸、入侵检测、漏洞检测、外联和接入检测、补丁管理、防火墙、身份鉴别和认证、系统访问控制、网络审计等;数据安全与传输与存储体系包括数据备份恢复、PKI/CA、PMI等。整个电子政务的安全,涉及信息安全产品的全局配套和科学布置,产品选择应充分考虑产品的自和自控权。在关键技术、经营管理、生产规模、服务观念等方面,要集中人力、物力,制订相关政策,大力发展自主知识产权的计算机芯片、操作系统等信息安全技术产品,以确保关键政府部门的信息系统的网络安全。加强核心技术的自主研发,并尽快使之产品化和产业化,尤其是操作系统技术和计算机芯片技术。现阶段各地政府部门目前所选用的高端软硬件平台,很多都是国外公司的产品,这也对政务安全带来了许多隐患。因此,在构建电子政务系统的时候,在可能的情况下,我们应尽量选用国产化技术和国内公司的产品。

3.2 构建安全管理体系是电子政务安全实施的重要基础

安全管理是解决电子政务的安全问题在技术以外的另一有力保障和途径。由于安全的防范技术与破坏技术总是“势均力敌”、“相互促进”的。作为防范者就更应该在安全防范的管理上下更大的工夫。安全管理主要涉及三个方面:法律法规、安全防护体系以及等级保护政策。

3.2.1法律政策、规章制度和标准规范

电子政务的工作内容和工作流程涉及到国家秘密与核心政务,它的安全关系到国家的、国家的安全和公众利益,所以电子政务的安全实施和保障,必须以国家法规形式将其固化,形成全国共同遵守的规约。目前,世界上很多国家制定了与网络安全相关的法律法规,如英国的《官方信息保护法》等。我国虽然颁发了一些与网络安全有关的法律法规,如《计算机信息系统安全保护条例》、《计算机信息系统保密管理暂行规定》等等,但显得很零散,还缺乏关于电子政务网络安全的专门法规。此外,在完善法律法规的同时,还应该加大执法力度,严格执法,这一目标的实现不仅需要政府组织的努力,更要国家立法机构的参与和支持。

3.2.2电子政务防护体系

贯穿整个电子政务的安全防护体系,对电子政务安全实施起全面的指导作用,具体包括三个方面的内容:安全组织机构、安全人事管理、以及安全责任制度。建立安全组织机构,其目的是统一规划各级网络系统的安全、制定完善的安全策略和措施、协调各方面的安全事宜,主要职责包括制定整体安全策略、明确规章制度、落实各项安全措施实施,以及制订安全应急方案和保密信息的安全策略;安全人事管理,其主要内容包括:人事审查与录用、岗位与责任范围的确定、工作评价、人事档案管理、提升、调动与免职、基础培训等;制定和落实安全责任制度,包括系统运行维护管理制度、计算机处理控制管理制度、文档资料管理制度、操作和管理人员管理制度、机房安全管理制度、定期检查与监督制度、网络通信安全管理制度、病毒防治管理制度、安全等级保护制度、对外交流安全维护制度,以及对外合作制度等。

3.2.3等级保护制度

通过全面推行信息安全等级保护制度,逐步将信息安全等级保护制度落实到信息系统安全规划、建设、测评、运行维护和使用等各个环节,使信息安全保障状况得到基本改善。通过加强和规范信息安全等级保护管理,不断提高信息安全保障能力,为维护信息网络的安全稳定,促进信息化发展服务。

4 完善安全服务是维护电子政务安全实施的有力保障

4.1 安全等级测评和风险评估管理

电子政务信息系统安全测评服务,其实质是通过科学、规范、公正的测试和评估向被测评单位证实其信息系统的安全性能符合等级保护的要求。

由于信息安全直接涉及国家利益、安全和,政府对信息产品、信息系统安全性的测评认证要更为严格。对信息系统和信息安全技术中的核心技术,由政府直接控制,在信息安全各主管部门的支持和指导下,依托专业的职能机构提供技术支持,形成政府的行政管理与技术支持相结合、相依赖的管理体制。 风险管理是对项目风险的识别、分析和应对过程。它包括对正面事件效果的最大化及对负面事件影响的最小化。电子政务安全风险管理的主要任务是电子政务信息系统的风险评估并提出风险缓解措施,前者是识别并分析系统中的风险因素,估计可能造成的损失,后者是选择和实施安全控制,将风险降低到一个可接受的水平。

4.2 安全培训服务

根据不同层次的人才需求,社会化的信息安全人才培养体系应分为专业型教育、应用型教育和安全素养教育三个层次。专业型教育主要是培养信息安全领域的专业研发、工程技术、战略管理等方面的人才。应用型(半专业)教育则是以从事现代信息管理工作的人作为对象,培养目标是要求学生具备信息安全的基本知识、网络和信息系统安全防范技能、组织机构或系统安全管理的能力等。这种应用型的信息安全教育要求受教育对象数量要多,覆盖面要广,基本信息技能要强。通过课程、讲座、宣传等多种形式,达到让每一个人都具备必要的安全意识和常规的信息安全自我防范技术的目的。要求单位领导应具备必要信息安全意识和安全知识;信息管理人员应具备一定的信息安全知识和基本技能;从事信息服务或信息安全服务的有关人员应具备必要的信息安全知识和技术基础等。

构建安全稳定的政务信息系统,技术、管理、服务作为支撑体系的三大要素,缺一不可。只有这三方面都做好了,才能实现海西政务信息管理体系的全面提升。

参考文献:

[1] 何玲,电子政务环境下政府电子文件管理新探索[D].成都:四川大学硕士学位论文,2008.

第5篇：网络安全等级保护测评方法范文

关键词：证券行业信息安全网络安全体系

近年来，我国资本市场发展迅速，市场规模不断扩大，社会影响力不断增强．成为国民经济巾的重要组成部分，也成为老百姓重要的投资理财渠道。资本市场的稳定健康发展，关系着亿万投资者的切身利益，关系着社会稳定和国家金融安全的大局。证券行业作为金融服务业，高度依赖信息技术，而信息安全是维护资本市场稳定的前提和基础。没有信息安全就没有资本市场的稳定。

目前．国内外网络信息安全问题日益突出。从资本市场看，近年来，随着市场快速发展，改革创新深入推进，市场交易模式日趋集巾化，业务处理逻辑日益复杂化，网络安全事件、公共安全事件以及水灾冰灾、震灾等自然灾害都对行业信息系统的连续、稳定运行带来新的挑战。资本市场交易实时性和整体性强，交易时问内一刻也不能中断。加强信息安全应急丁作，积极采取预防、预警措施，快速、稳妥地处置信息安全事件，尽力减少事故损失，全力维护交易正常，对于资本市场来说至关重要。

1证券行业倍息安全现状和存在的问题

1．1行业信息安全法规和标准体系方面

健全的信息安全法律法规和标准体系是确保证券行业信息安全的基础。是信息安全的第一道防线。为促进证券市场的平稳运行，中国证监会自1998年先后了一系列信息安全法规和技术标准。其中包括2个信息技术管理规范、2个信息安全等级保护通知、1个信息安全保障办法、1个信息通报方法和10个行业技术标准。行业信息安全法规和标准体系的初步形成，推动了行业信息化建设和信息安全工作向规范化、标准化迈进。

虽然我国涉及信息安全的规范性文件众多，但在现行的法律法规中。立法主体较多，法律法规体系庞杂而缺乏统筹规划。面对新形势下信息安全保障工作的发展需要，行业信息安全工作在政策法规和标准体系方面的问题也逐渐显现。一是法规和标准建设滞后，缺乏总体规划；二是规范和标准互通性和协调性不强，部分规范和标准的可执行性差；三是部分规范和标准已不适应，无法应对某些新型信息安全的威胁；四是部分信息安全规范和标准在行业内难以得到落实。

1．2组织体系与信息安全保障管理模型方面

任何安全管理措施或技术手段都离不开人员的组织和实施，组织体系是信息安全保障工作的核心。目前，证券行业采用“统一组织、分工有序”的信息安全工作体系，分为决策层、管理层、执行层。

为加强证券期货业信息安全保障工作的组织协调，建立健全信息安全管理制度和运行机制，切实提高行业信息安全保障工作水平，根据证监会颁布的《证券期货业信息安全保障管理暂行办法》，参照ISO／IEC27001：2005，提出证券期货业信息安全保障管理体系框架。该体系框架采用立方体架构．顶面是信息安全保障的7个目标(机密性、完整性、可用性、真实性、可审计性、抗抵赖性、可靠性)，正面是行业组织结构．侧面是各个机构为实现信息安全保障目标所采取的措施和方式。

1．3IT治理方面

整个证券业处于高度信息化的背景下，IT治理已直接影响到行业各公司实现战略目标的可能性，良好的IT治理有助于增强公司灵活性和创新能力，规避IT风险。通过建立IT治理机制，可以帮助最高管理层发现信息技术本身的问题。帮助管理者处理IT问题，自我评估IT管理效果．可以加强对信息化项目的有效管理，保证信息化项目建设的质量和应用效果，使有限的投入取得更大的绩效。

2003年lT治理理念引入到我国证券行业，当前我国证券业企业的IT治理存在的问题：一是IT资源在公司的战略资产中的地位受到高层重视，但具体情况不清楚；二是IT治理缺乏明确的概念描述和参数指标；是lT治理的责任与职能不清晰。

1．4网络安全和数据安全方面

随着互联网的普及以及网上交易系统功能的不断丰富、完善和使用的便利性，网上交易正逐渐成为证券投资者交易的主流模式。据统计，2008年我同证券网上交易量比重已超过总交易量的80％。虽然交易系统与互联网的连接，方便了投资者。但由于互联网的开放性，来自互联网上的病毒、小马、黑客攻击以及计算机威胁事件，都时刻威胁着行业的信息系统安全，成为制约行业平稳、安全发展的障碍。此，维护网络和数据安全成为行业信息安全保障工作的重要组成部分。近年来，证券行业各机构采取了一系列措施，建立了相对安全的网络安全防护体系和灾舴备份系统，基木保障了信息系统的安全运行。但细追究起来，我国证券行业的网络安全防护体系及灾备系统建设还不够完善，还存存以下几方面的问题：一是网络安全防护体系缺乏统一的规划；二是网络访问控制措施有待完善；三是网上交易防护能力有待加强；四是对数据安全重视不够，数据备份措施有待改进；五是技术人员的专业能力和信息安全意识有待提高。

1．5IT人才资源建设方面

近20年的发展历程巾，证券行业对信息系统日益依赖，行业IT队伍此不断发展壮大。据统计，2008年初，在整个证券行业中，103家证券公司共有IT人员7325人，占证券行业从业总人数73990人的9．90％，总体上达到了行业协会的IT治理工作指引中“IT工作人员总数原则上应不少于公司员工总人数的6％”的最低要求。目前，证券行业的IT队伍肩负着信息系统安全、平稳、高效运行的重任，IT队伍建设是行业信息安全IT作的根本保障。但是，IT人才队伍依然存在着结构不合理、后续教育不足等问题，此行业的人才培养有待加强。

2采取的对策和措施

2．1进一步完善法规和标准体系

首先，在法规规划上，要统筹兼顾，制定科学的信息技术规范和标准体系框架。一是全面做好立法规划；二是建立科学的行业信息安全标准和法规体系层次。行业信息安全标准和法规体系初步划分为3层：第一层是管理办法等巾同证监会部门规章；第二层是证监会相关部门制定的管理规范等规范性文件；第三层是技术指引等自律规则，一般由交易所、行业协会在证监会总体协调下组织制定。其次，在法规制定上．要兼顾规范和发展，重视法规的可行性。最后，在法规实施上．要坚持规范和指引相结合，重视监督检查和责任落实。

2．2深入开展证券行业IT治理工作

2．2．1提高IT治理意识

中国证券业协会要进一步加强IT治理理念的教育宣传工作，特别是对会员单位高层领导的IT治理培训，将IT治理的定义、工具、模型等理论知识纳入到高管任职资格考试的内容之中。通过举办论坛、交流会等形式强化证券经营机构的IT治理意识，提高他们IT治理的积极性。

2．2．2通过设立IT治理试点形成以点带面的示范效应

根据IT治理模型的不同特点，建议证券公司在决策层使用CISR模型，通过成立lT治理委员会，建立各部门之间的协调配合、监督制衡的责权体系；在执行层以COBIT模型、ITFL模型等其他模型为补充，规范信息技术部门的各项控制和管理流程。同时，证监会指定一批证券公司和基金公司作为lT试点单位，进行IT治理模型选择、剪裁以及组合的实践探索，形成一批成功实施IT治理的优秀范例，以点带面地提升全行业的治理水平。

2．3通过制定行业标准积极落实信息安全等级保护

行业监管部门在推动行业信息安全等级保护工作中的作用非常关键．应进一步明确监管部门推动行业信息安全等级保护工作的任务和工作机制，统一部署、组织行业的等级保护丁作，为该项丁作的顺利开展提供组织保证。行业各机构应采取自主贯彻信息系统等级保护的行业要求，对照标准逐条落实。同时，应对各单位实施信息系统安全等级保护情况进行测评，在测评环节一旦发现信息系统的不足，被测评单位应立即制定相应的整改方案并实施．且南相芙的监督机构进行督促。

2．4加强网络安全体系规划以提升网络安全防护水平

2．4．1以等级保护为依据进行统筹规划

等级保护是围绕信息安全保障全过程的一项基础性的管理制度，通过将等级化的方法和安全体系规划有效结合，统筹规划证券网络安全体系的建设，建立一套信息安全保障体系，将是系统化地解决证券行业网络安全问题的一个非常有效的方法。

2．4．2通过加强网络访问控制提高网络防护能力

对向证券行业提供设备、技术和服务的IT公司的资质和诚信加强管理，确保其符合国家、行业技术标准。根据网络隔离要求，要逐步建立业务网与办公网、业务网与互联网、网上交易各子系统间有效的网络隔离。技术上可以对不同的业务安全区域划分Vlan或者采用网闸设备进行隔离；对主要的网络边界和各外部进口进行渗透测试，进行系统和设备的安全加固．降低系统漏洞带来的安全风险；在网上交易方面，采取电子签名或数字认证等高强度认证方式，加强访问控制；针对现存恶意攻击网站的事件越来越多的情况，要采取措施加强网站保护，提高对恶意代码的防护能力，同时采用技术手段，提高网上交易客户端软件使朋的安全性。

2．4．3提高从业人员安全意识和专业水平

目前在证券行业内，从业人员的网络安全意识比较薄弱．必要时可定期对从业人员进行安全意识考核，从行业内部强化网络安全工作。要加强网络安全技术人员的管理能力和专业技能培训，提高行业网络安全的管理水平和专业技术水平。

2．5扎实推进行业灾难备份建设

数据的安全对证券行业是至关重要的，数据一旦丢失对市场各方的损失是难以估量的。无论是美国的“9·11”事件，还是我国2008年南方冰雪灾害和四川汶川大地震，都敲响了灾难备份的警钟。证券业要在学习借鉴国际经验的基础上，针对自身需要，对重要系统开展灾难备份建设。要继续推进证券、基金公司同城灾难备份建设，以及证券交易所、结算公司等市场核心机构的异地灾难备份系统的规划和建设。制定各类相关的灾难应急预案，并加强应急预案的演练，确保灾难备份系统应急有效．使应急工作与日常工作有机结合。

2．6抓好人才队伍建设

证券行业要采取切实可行的措施，建立吸引人才、留住人才、培养人才、发展人才的用人制度和机制。积极吸引有技术专长的人才到行业巾来，加强lT人员的岗位技能培训和业务培训，注重培养既懂得技术义懂业务和管理的复合型人才。要促进从业人员提高水平、转变观念，行业各机构应采取采取请进来、派出去以及内部讲座等多种培训方式。通过建立规范有效的人才评价体系，对信息技术人员进行科学有效的考评，提升行业人才资源的优化配置和使用效率，促进技术人才结构的涮整和完善。

第6篇：网络安全等级保护测评方法范文

关键词 信息系统；安全；保障体系；技术；信息技术基础设施

中图分类号：TP393 文献标识码：A 文章编号：1671-7597（2013）14-0137-02

油服信息技术应用与集中程度的不断深入提高，信息安全保障体系建设工作已成为信息化建设过程中的重要组成部分。油服具有地域分布广、业务复杂多样等特点，在信息安全形势多变的情况下，独立分散的安全措施已无法更好地满足安全防护需求。信息安全若不能得到很好的保障，将给公司的业务正常运作及办公稳定性、高效性和有效性带来影响。因此，需完善公司的信息安全政策方针、规划并建立符合油服实际情况的信息安全保障体系，采用先进的安全管理过程模式，完善信息安全管理制度与规范，提高员工的信息安全意识，提升风险控制及保障水平，以支撑油服核心业务的健康发展。

1 信息安全保障体系

1.1 信息安全保障体系建设需求

油服在信息安全方面已部署了部分信息安全防护措施，如划分安全域、部署边界访问控制设备、配备入侵防御系统、部署统一的防恶意代码软件等。与此同时，每年都开展信息系统安全测评工作，对公司的信息系统进行安全等级测评差距分析、安全问题整改咨询核查以及渗透性测试等，从而能够较为全面的掌握当前各信息系统和信息安全管理制度的建设、运维和使用情况，以提高信息系统的安全防护能力。但从总体来看，仍缺乏信息安全保障体系框架，总体安全方针和策略不够明确，安全区域划分不够细致，网络设备和重要服务器的安全策略缺乏统一标准，未部署安全运维管理中心，无法真正起到纵深安全防御的效用。

1.2 信息安全保障体系目标与定位

信息安全保障体系的建设要结合油服的信息安全需求、网络应用现状及未来发展趋势，在风险评估的基础上，明确与等级保护相适应的安全策略及具体的实施办法。对全网进行合理的安全域划分，技术与管理并重的同时，以应用与实效为主导，从网络、应用系统、组织管理等方面，保障油服信息安全，形成集检测、响应、恢复、防护为一体的安全保障体系。

2 油服信息安全保障体系架构模型

油服信息安全保障体系框架采用“结构化”的分析和控制方法，纵向把保护对象分成安全计算环境、安全区域边界和安全通信网络；横向把控制体系分成安全管理、安全技术和安全运行的控制体系，同时通过“一个安全管理中心”的安全管理概念和模式，形成一个依托于安全保护对象为基础，横向建立安全管理体系、安全技术体系、安全运行体系和安全管理中心“三个体系、一个中心、三重防护”的信息安全保障体系

框架。

2.1 安全管理体系

根据等级保护基本要求的相关内容，信息安全管理体系重点落实安全管理制度、安全管理机构和人员安全管理的相关控制要求。

2.2 安全技术体系

根据等级保护基本要求的相关内容，通过安全技术在物理、网络、主机、应用和数据各个层面的实施，建立与实际情况相结合的安全技术体系。

2.3 安全运行体系

根据等级保护基本要求的相关内容，信息安全运行体系重点落实系统建设管理和系统运维管理的相关控制要求，并与实际情况相结合，形成符合等级保护要求的信息安全运行体系

框架。

2.4 安全管理中心

根据等级保护基本要求和安全设计技术要求的相关内容，通过“自动、平台化”的方式，对信息安全管理、技术、运行三个体系的相关控制内容，结合实际情况加以落实。

3 油服信息安全保障体系架构设计

3.1 安全管理体系架构设计

信息安全管理体系架构的设计可从以下3方面开展。

3.1.1 信息安全组织

油服信息安全组织为信息安全管理委员会，各业务部门为信息安全小组，部门经理为本小组的第一安全责任人。同时，定义了组织中各职能角色的职责，以此指导信息安全工作开展。

3.1.2 信息安全制度

油服的信息安全制度一方面能及时反映公司的信息安全风险动态，便于灵活地修订与更新；另一方面确保信息安全技术与管理人员及用户能够了解哪些是禁止做的，哪些是必须做的。

3.1.3 人员安全管理

在人员安全管理方面，可以通过对人员录用、调用、离岗、考核、培训教育和第三方人员安全几个方面进行设计。

3.2 安全技术体系架构设计

信息安全技术体系架构设计可从以下3个方面开展。

3.2.1 信息安全服务架构

信息安全服务架构设计分为保护、检测、响应与恢复四个环节，实现对信息可用性、完整性和机密性的保护，监测检查系统存在的安全漏洞，对危害系统安全的事件行为做出响应

处理。

3.2.2 信息技术基础设施安全架构

信息技术基础设施安全架构以网络安全架构为主体，结合系统软硬件进行安全配置和部署。网络安全架构的规划根据网络所承载的应用系统特性和所面临的风险划分不同的网络安全域，并实施安全防护措施。

3.2.3 应用安全架构

应用系统的信息安全保障是在信息技术基础设施安全架构上，更多地关注已有的信息安全服务是否被充分利用。为满足业务系统对信息安全的需求，通过在业务系统中实现集成保障信息安全的机制，从而达到信息安全技术控制要求。

3.3 安全运行体系架构设计

油服信息安全运行体系架构设计主要从以下3个方面开展。

3.3.1 信息系统安全等级划分

油服信息系统安全等级划分从信息资产等级、网络系统等级和应用系统等级三个方面进行定义。

3.3.2 信息安全技术控制

信息安全技术控制是由系统自身自动完成的安全控制。主要在信息系统的网络层、系统层和应用层，包含身份鉴别、访问控制、安全审计等五大类通用技术。

3.3.3 信息安全运作控制

信息安全运作控制是在油服业务运作和信息技术运作过程中进行实施的运作类安全控制，包括控制针对的主要风险点及具体分类。

4 结束语

在油服业务不断拓展，国际化步伐不断深入的过程中，信息系统在公司发展中的作用和地位日趋重要。公司对信息系统的依赖性也在不断增长，信息安全也愈发重要。健全油服信息安全保障体系，为实现“制度标准化、工作制度化”的管理常态奠定了坚实的基础。油服信息安全保障体系不仅从物理网络安全、系统应用安全、数据和用户安全等方面入手，还从安全域划分、安全边界防护、主动监控、访问控制和应急响应等方面综合考虑，进一步加强落实信息安全等级保护的基本要求，初步实现对网络与应用系统细粒度、全方位的安全管控，从而更为有效地提升了油服在信息安全方面的管理水平。

参考文献

[1]马永.浅谈企业信息安全保障体系建设[J].计算机安全，2007（7）：72-75.

[2]王朗.一个信息安全保障体系模型的研究和设计[J].北京师范大学学报（自然科学版），2004（2）：58-62.

[3]黄海鹰.信息安全保障体系建设研究[J].数字图书馆论坛，2009（9）：13-15.

第7篇：网络安全等级保护测评方法范文

关键词：等级保护；恶意代码防范

根据恶意代码的功能，可分为病毒、蠕虫、木马、恶意脚本、恶意插件等类别。恶意代码能够破坏信息系统的稳定性、可用性、数据的保密性和完整性等，因此等级保护标准把恶意代码防范作为一个重要部分阐述。恶意代码防范工作主要包括恶意代码检测、恶意代码清除、恶意代码库的更新、恶意代码检测产品的升级、恶意代码检测产品差异性保持等。

1、等级保护中恶意代码防范的基本要求

恶意代码防范主要涉及信息系统的网络、主机和应用三个层面。

1.1 网络恶意代码防范

绝大多数的恶意代码是从网络上感染本地主机的，因此，网络边界防范是整个防范工作的重点，是整个防范工作的“第一道门槛”。如果恶意代码进入内网，将直接威胁内网主机及应用程序的安全。防范控制点设在网络边界处。防范需对所有的数据包进行拆包检查，这样会影响网络数据传输效率，故其要求的实施条件比较高。在不同等级信息系统中的要求也不同，如表1所示。

1.2 主机恶意代码防范

主机恶意代码防范在防范要求中占据着基础地位。～方面是因为网防范的实施条件要求较高；另—方面因网络边界防护并不是万能的，它无法检测所有的恶意代码。因各等级信息系统都必需在本地主机进行恶意代码防范，

主机恶意代码防范有以下三条要求：（1）应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；（2）主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库；（3）应支持防恶意代码软件的统一管理。

不同等级信息系统的恶意代码防范要求如表2所示。

1.3 应用程序的恶意代码防范

在等级保护基本要求中，对应用程序的恶意代码防范没有提出具体的要求。结合日常使用应用程序时在安全方面出现的问题，应用程序的恶意代码防范应要求在应用程序使用前应先对应用程序进行漏洞检测、黑白盒测试等，确保应用程序中不存在可被恶意代码利用的漏洞、不存在编程人员插入的恶意代码或留下的后门。

2、恶意代码防范的工作要点

在等级保护安全测评工作中，具体的测评项和测评方法在测评标准中已经有较详细的规定。根据实际工作经验，我们提出防范恶意代码要取得显著成效，应注意的工作要点。

2.1 风险评估应全面考虑系统的脆弱性和风险性

风险评估应全面衡量信息系统在应用和数据方面的脆弱性，预估这些脆弱性衍生出安全风险的概率；然后结合系统已部署的安全措施对风险的影响进行全面分析

2.2 注重全网防护，防止安全短板

对系统的恶意代码防护部署要做到多层次、多角度，确保在所有恶意代码入口对恶意代码进行检测、阻止、清除。因此，在部署恶意代码防范系统时要做到覆盖全部终端和网络边界，防止由于ARP或冲击波这样的恶意代码感染系统内部分主机而导致整个网络不可用。

2.3 在全网范围内部署统一的安全管理策略

在等保中，低级别安全域的威胁可能会影响到高级别安全域。为避免出现这种风险，可以在逻辑隔离区边界配置访问控制策略，限制通过网络对高级别安全域的访问；还可以将网内不同级别安全域的配置统一为最高级别安全域的恶意代码防范要求，防止低级别安全域中因防范策略过低感染恶意代码后对基础架构造成威胁。

2.4 应注重对网络安全状况的监控和多种保护能力的协作

这主要是从管理和运维的角度对等保提出的要求。要求人员能随时监控系统安全状况，了解本网内信息系统发恶意代码入侵事件，做到风险可视、行为可控；要求系统安全隐患进行预警、排除，对紧急情况进行应急处理。

第8篇：网络安全等级保护测评方法范文

论文摘要：互联网技术给我们带来很大的方便，同时也带来了许多的网络安全隐患，诸如陷门、网络数据窃密、木马挂马、黑客侵袭、病毒攻击之类的网络安全隐患一直都威胁着我们。计算机网络信息管理工作面临着巨大的挑战，如何在计算机网络这个大环境之下，确保其安全运行，完善安全防护策略，已经成为了相关工作人员最亟待解决的问题之一。该文首先分析了计算机网络信息管理工作中的安全问题，其次，从多个方面就如何有效加强计算机网络信息安全防护进行了深入的探讨，具有一定的参考价值。

1概述

互联网技术给我们带来很大的方便，同时也带来了许多的网络安全隐患，诸如陷门、网络数据窃密、木马挂马、黑客侵袭、病毒攻击之类的网络安全隐患一直都威胁着我们。为了确保计算机网络信息安全，特别是计算机数据安全，目前已经采用了诸如服务器、通道控制机制、防火墙技术、入侵检测之类的技术来防护计算机网络信息安全管理，即便如此，仍然存在着很多的问题，严重危害了社会安全。计算机网络信息管理工作面临着巨大的挑战，如何在计算机网络这个大环境之下，确保其安全运行，完善安全防护策略，已经成为了相关工作人员最亟待解决的问题之一。

2计算机网络信息管理工作中的安全问题分析

计算机网络的共享性、开放性的特性给互联网用户带来了较为便捷的信息服务，但是也使得计算机网络出现了一些安全问题。在开展计算机网络信息管理工作时，应该将管理工作的重点放在网络信息的和访问方面，确保计算机网络系统免受干扰和非法攻击。

2.1安全指标分析

（1）保密性

通过加密技术，能够使得计算机网络系统自动筛选掉那些没有经过授权的终端操作用户的访问请求，只能够允许那些已经授权的用户来利用和访问计算机网络信息数据。

（2）授权性

用户授权的大小与其能够在计算机网络系统中能够利用和访问的范围息息相关，我们一般都是采取策略标签或者控制列表的形式来进行访问，这样做的目的就在于能够有效确保计算机网络系统授权的正确性和合理性。

（3）完整性

可以通过散列函数或者加密的方法来防治非法信息进入计算机网络信息系统，以此来确保所储存数据的完整性。

（4）可用性

在计算机网络信息系统的设计环节，应该要确保信息资源具有可用性，在突然遇到攻击的时候，能够及时使得各类信息资源恢复到正常运行的状态。

（5）认证性

为了确保权限所有者和权限提供者都是同一用户，目前应用较为广泛的计算机网络信息系统认证方式一般有两种，分别是数据源认证和实体性认证两种，这两种方式都能够得到在当前技术条件支持。

2.2计算机网络信息管理中的安全性问题

大量的实践证明，计算机网络信息管理中存在的安全性问题主要有两种类型，第一种主要针对计算机网络信息管理工作的可用性和完整性，属于信息安全监测问题；第二种主要针对计算机网络信息管理工作的抗抵赖性、认证性、授权性、保密性，属于信息访问控制问题。

（1）信息安全监测

有效地实施信息安全监测工作，可以在最大程度上有效消除网络系统脆弱性与网络信息资源开放性二者之间的矛盾，能够使得网络信息安全的管理人员及时发现安全隐患源，及时预警处理遭受攻击的对象，然后再确保计算机网络信息系统中的关键数据能够得以恢复。

（2）信息访问控制问题

整个计算机网络信息管理的核心和基础就是信息访问控制问题。信息资源使用方和拥有方在网络信息通信的过程都应该有一定的访问控制要求。换而言之，整个网络信息安全防护的对象应该放在资源信息的和个人信息的储存。

3如何有效加强计算机网络信息安全防护

（1）高度重视，完善制度

根据单位环境与特点制定、完善相关管理制度。如计算机应用管理规范、保密信息管理规定、定期安全检查与上报等制度。成立领导小组和工作专班，完善《计算机安全管理制度》、《网络安全应急预案》和《计算机安全保密管理规定》等制度，为规范管理夯实了基础。同时，明确责任，强化监督。严格按照保密规定，明确涉密信息录入及流程，定期进行安全保密检查，及时消除保密隐患，对检查中发现的问题，提出整改时限和具体要求，确保工作不出差错。此外，加强培训，广泛宣传。有针对性组织开展计算机操作系统和应用软件、网络知识、数据传输安全和病毒防护等基本技能培训，利用每周学习日集中收看网络信息安全知识讲座，使信息安全意识深入人心。 　（2）合理配置，注重防范

第一，加强病毒防护。单位中心机房服务器和各基层单位工作端均部署防毒、杀毒软件，并及时在线升级。严格区分访问内、外网客户端，对机房设备实行双人双查，定期做好网络维护及各项数据备份工作，对重要数据实时备份，异地储存。同时，严格病毒扫描。针对网络传输、邮件附件或移动介质的方式接收的文件，有可能携带病毒的情况，要求接收它们之前使用杀毒软件进行病毒扫描。第二，加强强弱电保护。在所有服务器和网络设备接入端安装弱电防雷设备，在所有弱电机房安装强电防雷保护器，保障雷雨季节主要设备的安全运行。第三，加强应急管理。建立应急管理机制，完善应急事件出现时的事件上报、初步处理、查实处理、责任追究等措施，并定期开展进行预演，确保事件发生时能够从容应对。第四，加强“两个隔离”管理。即内、外网物理彻底隔离和通过防火墙进行“边界隔离”，通过隔离实现有效防护外来攻击，防止内、外网串联。第五，严格移动存储介质应用管理。对单位所有的移动存储介质进行登记，要求使用人员严格执行《移动存储介质管理制度》，杜绝外来病毒的入侵和泄密事件的发生。同时，严格安全密码管理。所有工作用机设置开机密码，且密码长度不得少于8位，定期更换密码。第六，严格使用桌面安全防护系统。每台内网计算机都安装了桌面安全防护系统，实现了对计算机设备软、硬件变动情况的适时监控。第七，严格数据备份管理。除了信息中心对全局数据定期备份外，要求个人对重要数据也定期备份，把备份数据保存在安全介质上。

（3）坚持以信息安全等级保护工作为核心

把等级保护的相关政策和技术标准与自身的安全需求深度融合，采取一系列有效措施，使等级保护制度在全局得到有效落实，有效的保障业务信息系统安全。

第一，领导高度重视，组织保障有力。单位领导应该高度重视信息化和信息安全工作，成立专门的信息中心，具体负责等级保护相关工作，统筹全局的信息安全工作。建立可靠的信息安全基础设施，重点强化第二级信息系统的合规建设，加强了信息系统的运维管理，对重要信息系统建立了灾难备份及应急预案，有效提高了系统的安全防护水平。

第二，完善措施，保障经费。一是认真组织开展信息系统定级备案工作。二是组织开展信息系统等级测评和安全建设整改。三是开展了信息安全检查活动。对信息安全、等级保护落实情况进行了检查。

第三，建立完善各项安全保护技术措施和管理制度，有效保障重要信息系统安全。一是对网络和系统进行安全区域划分。按照《信息系统安全等级保护基本要求》，提出了“纵向分层、水平分区、区内细分”的网络安全区域划分原则，对网络进行了认真梳理、合理规划、有效调整。二是持续推进病毒治理和桌面安全管理。三是加强制度建设和信息安全管理。本着“预防为主，建章立制，加强管理，重在治本”的原则，坚持管理与技术并重的原则，对信息安全工作的有效开展起到了很好的指导和规范作用。

（4）采用专业性解决方案保护网络信息安全

大型的单位，如政府、高校、大型企业由于网络信息资源庞大，可以采用专业性解决方案来保护网络信息安全，诸如锐捷网络门户网站保护解决方案。锐捷网络门户网站保护解决方案能提供从网络层、应用层到web层的全面防护；其中防火墙、ids分别提供网络层和应用层防护，ace对web服务提供带宽保障；而方案的主体产品锐捷webguard（wg）进行web攻击防御，方案能给客户带来的价值：

防网页篡改、挂马

许多大型的单位作为公共信息提供者，网页被篡改、挂马将造成不良社会影响，降低单位声誉。目前客户常用的防火墙、ids/ ips、网页防篡改，无法解决通过80端口、无特征库、针对动态页面的web攻击。webguard ddse深度解码检测引擎有效防御sql注入、跨站脚本等。

高性能，一站式保护各院系网站

对于大型单位客户，往往拥有众多部门，而并非所有大型单位都将各部门网站统一管理。各部门网站技术运维能力相对较弱，经常成为攻击重点。webguard利用高性能多核架构，提供并行处理。支持在网络出口部署，一站式保护各部门网站。

“零配置”运行，简化部署

webguard针对用户，集成默认配置模板，支持“零配置”运行。一旦上线，即可防护绝大多数攻击。后续用户可以根据网络情况，进行优化策略。避免同类产品常见繁琐配置，毋须客户具备专业的安全技能，即可拥有良好的体验。

满足合规性检查要求

继08年北京奥运、09年国庆60周年后，10年上海世博会、广州亚运会先后举行。在重大活动前后，各级主管单位和公安部门，纷纷发文，要求针对网站安全采取措施。webguard恰好能很好的满足合规性检查的需求，帮助用户顺利通过检查。

4结束语

新时期的计算机网络信息管理工作正向着系统化、集成化、多元化的方向发展，但是网络信息安全问题日益突出，值得我们大力关注，有效加强计算机网络信息安全防护是极为重要的，具有较大的经济价值和社会效益。

参考文献：

[1]段盛.企业计算机网络信息管理系统可靠性探讨[j].湖南农业大学学报:自然科学版,2000(26):134-136.

[2]李晓琴.张卓容.医院计算机网络信息管理的设计与应用[j].医疗装备,2003.(16):109-113.

[3]李晓红.妇幼保健信息计算机网络管理系统的建立与应用[j].中国妇幼保健,2010(25):156-158.

[4]罗宏俭.计算机网络信息技术在公路建设项目管理中的应用[j].交通科技,2009.(1):120-125.

[5] bace rebecca.intrusion detection[m].macmillan technical publishing,2000.

第9篇：网络安全等级保护测评方法范文

【 关键词 】 信息安全；等级保护；定性分析；定量分析

【 Abstract 】 Classified protection of information system has been a strong way to protect the important IT system. The current determination of level exist some flaws， such as lack of feasible method to judge the level and quantity analysis. This paper proposes a scheme which composed of both qualitative and quantitative analysis. By taking this scheme， the accuracy of classified protection of information system could be promoted.

【 Keywords 】 information security； classified protection； qualitative analysis； quantitative analysis

1 引言

按照国家相关法律和国家标准，一些重要行业、重要单位需要根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民法人和其他组织的合法权益的危害程度等因素，对重要的信息系统确定其应该达到的安全保护等级（分为五个级别），信息系统安全保护能力随着其被确定的安全保护等级的增高，逐渐增强。在对信息系统进行定级、采取安全防卫措施后，还需要确认该系统是否已经达到相应的保护等级及在未达到的情况下给出整改方案。

按照《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统安全保护等级划分准则》等法规和标准，信息系统的安全等级保护流程分为：确定等级、安全建设、等级测评、安全整改、安全检查等五个步骤。

2 定级流程

现有方法在定级流程的第二和第三步，即评定定级对象的业务信息安全保护等级和系统服务安全保护等级时，国家标准GB 17859-1999《信息系统安全保护等级定级指南》中建议各行业可根据本行业信息特点和系统服务特点，制定客体被侵害程度的综合评定方法。但现实中缺乏一套通用的准则和方法，因此在评价客体被侵害程度时受到人为因素的影响程度较大，定级过程中人员的主观性强，对定级结果产生不利影响，如果定级不够准确，则将影响该信息系统的后续防护工作，即不能实施与国家标准中匹配的防护强度，给防护带来较大的安全隐患。

本文主要针对现有定级工作定级缺乏可行的准则，定级结果主观成分大，定量不足的缺点，提出一种定性与定量结合的定级方法，提高信息系统的安全保护等级的定级准确性，从而安全建设环节根据定级结果做好重要信息系统的安全防护。

2.1 确定定级对象和受侵害的客体

为了体现重要部分重点保护，有效控制信息安全建设成本，优化信息安全资源配置的等级保护原则，将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。

2.3 确定对客体的侵害程度

（1）侵害的客观方面。由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同，在定级过程中，需要分别处理这两种危害方式。（2）综合判定侵害程度。国家标准GB 17859-1999《信息系统安全保护等级定级指南》种，将不同危害后果的三种危害程度描述：一般损害、严重损害、特别严重损害。

2.4 确定定级对象的安全保护等级

根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据业务信息安全保护等级矩阵表，即可得到业务信息安全保护等级。根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据系统服务安全保护等级矩阵表，即可得到系统服务安全保护等级。作为定级对象的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。

3 基于层次分析法的定级

本文采用层次分析法来进客体被侵害程度的定量确定。

3.1 建立层次分析模型

建立层次分析模型的过程：首先建立最高层（解决问题的目的）；中间层（实现总目标而采取的各种措施、必须考虑的准则等，也可称策略层、约束层、准则层等）；以电信业务这一客体被侵害时受到影响必须考虑的因素为例，通常需要考察电信业务的覆盖区域（面积）、该电信业务覆盖范围内的用户人数、区域内业务量（一定时间周期内的用户拨打和接听电话的时间长度）三个指标，需要说明的是，电信业务客体受到侵害需要考虑的不止以上提到的三个因素，在实践中，还可以考虑其他因素。

最低层（用于解决问题的各种措施、方案等，也称为方案层）。备选的方案为国家标准GB 17859-1999《信息系统安全保护等级定级指南》中确定的五个等级，分别是第一级、第二级、第三级、第四级和第五级。

针对确定客体被侵害程度问题建立的层次分析模型如图1所示。

3.2 构造成对比较矩阵

从层次分析模型的第二层开始，对于从属于（或影响）上一层每个因素的同一层诸因素，用成对比较法和1-9比较尺度构建成对比较矩阵，直到最下层。下面结合实例，构造成对比较矩阵。以某地电信部门的电信系统的业务客体被侵害为例，得到三个指标的重要性依次为：区域内业务量>该电信业务区域的用户人数>电信业务区域覆盖范围。在矩阵中令区域业务量为m11，当前可用上传带宽为m22，电信业务区域覆盖范围为m33。

构造一个三阶矩阵Mij（3*3），根据长期积累的经验，其中m12=3，表示区域内业务量相比该电信业务区域的用户人数略重要，m13=5，表示区域内业务量相比电信业务区域覆盖范围重要，m23=3，表示该电信业务区域的用户人数比电信业务区域覆盖范围略重要，从而得到三阶矩阵。

3.3 计算权向量并做一致性检验

要求成对比较矩阵具备一定的一致性即可。由分析可知，对完全一致的成对比较矩阵，其绝对值最大的特征值等于该矩阵的维数。

检验成对比较矩阵M一致性的步骤如下：计算衡量一个成对比矩阵M（n>1阶方阵）不一致程度的指标CI为：

CI=

其中max（M）是矩阵M 的最大特征值，n为矩阵的阶数。

通过计算，λmax为3.0385，特征向量为（0.6370， 0.2583，0.1047），即权重分别为0.637， 0.258和0.104

CI==0.01925

CI=0，有完全的一致性。CI接近于0，有满意的一致性，反之CI越大，不一致越严重

按公式计算成对比较矩阵M 的随机一致性比率CR：

CR=

RI称为平均随机一致性指标，它只与矩阵的阶数有关，可从有关资料查出检验成对比较矩阵M一致性的标准RI。查表得出三阶矩阵对应的RI为0.58，故有：

CR==0.033

判断方法：（1） 当CR

3.4 计算客体被侵害的程度

在计算出每个评价因素的权重后，由于每个评价因素的数值隶属于不同体系，因此要在同一标准体系下进行评价，在本例中，区域是以平方公里为单位，业务受到影响的用户数量以万人为单位，业务量是以万小时/天为单位，在实践中将每个评价因素的实际数值采用Decimal scaling小数定标标准化方法进行归一化，通过归一化因子，将每个评价因素的取值范围限定于[0，1]。

国家标准GB 17859-1999《信息系统安全保护等级定级指南》中将等级保护对象受到破坏后对客体造成侵害的程度归结为三种：a.造成一般损害；b.造成严重损害；c.造成特别严重损害。

定义：损害值D（Oi）为客体Oi被侵害的分值。

：D（Oi）∈（0，0.3]，则定义该客体受到的损害为一般损害

∈（0.3，0.8]，则定义该客体受到的损害为严重损害

∈（0.8，1]，则该客体受到的损害为特别严重损害

实践中，可根据需要调整区间大小。

举例来说，某市某区常住人口为60万，电信业务量为平均80万小时/每天，该区面积为250平方公里，通过归一化公式X'=，其中，j是使得X'落入[0，1]的最小整数。

可计算出：

人口Pg=0.6，电信业务量Tg=0.8，业务覆盖面积Sg=0.25 α=0.6370，β =0.2583 γ=0.1047，将归一化后的三个评价因素，代入公式D（Oi）= αPg+βTg+γSg，求得D（Oi）=0.61。

从定义可以看出，客体受到“严重损害”，该客体属于社会秩序和公众利益范畴，根据业务信息安全保护等级矩阵表，侵害程度为第三级，故该信息系统的业务信息安全等级被定为“三级” 。对该信息系统的系统服务安全等级，可遵循同样的方式计算得到，最后比较两个等级，取最高等级作为最终该信息系统的安全保护等级。

4 结束语

本文针对现有信息系统的安全保护定级工作缺乏可行的定级准则，定级结果较大程度上取决于人的主观感受、定性成分大和定量分析不足的缺点，提出一种定性与定量结合的定级方法，提高信息系统的安全保护等级的定级准确性，从而根据定级结果做好重要信息系统的安全防护。

参考文献

[1] 姜政伟，赵文瑞，刘宇，刘宝旭.基于等级保护的云计算安全评估模型[J]. 计算机科学， 2013（08）.

[2] 陈志宾.基于等级保护思想的信息平台安全研究与实现[D].河北工业大学，2012.

[3] 曾颖.医院信息系统等级保护安全体系设计[J].微型电脑应用，2014（03）.

[4] 肖国煜.信息系统等级保护测评实践[J].信息网络安全， 2011（07）.

[5] 韩岳.高安全等级网站系统服务器安全研究[D].中国人民信息工程大学，2011.

基金项目：

广东省战略性新型产业发展专项资金（高端新型电子信息产业）项目资助（项目编号：2012556028）。

作者简介：

王伟（1983-），男，重庆人，博士；主要研究方向与关注领域：信息安全、云计算。