网络安全等级保护规定精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的网络安全等级保护规定主题范文，仅供参考，欢迎阅读并收藏。

第1篇：网络安全等级保护规定范文

关键词：政务外网 等级保护 定级 网络安全

为贯彻落实公安部、国家保密局、国家密码管理局、原国务院信息化工作办公室于2007年7月26日联合下发《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号），国家电子政务外网工程建设办公室（以下简称“外网工程办”）在2007年11月启动了中央级政务外网定级专项工作，成立了等级保护定级工作组，根据政务外网的实际情况和特点，经过多轮内部讨论和征求专家意见后，基本完成了政务外网安全等级保护定级工作，为后续备案和全面开展、实施等级保护整改和测评工作奠定了坚实基础。

一、周密部署，精心组织

为有效贯彻落实国家信息安全等级保护制度，在总结基础调查和试点工作的基础上，根据《关于开展全国重要信息系统安全等级保护定级工作的通知》等相关规定，2007年11月13日，电子政务外网工程办召开等级保护工作启动会，正式启动国家电子政务外网安全等级保护定级工作。

为确保信息系统等级保护工作顺利进行，外网工程办领导高度重视，专门成立了由各主要业务部门负责人为成员的等级保护工作小组，全面负责工作的规划、协调和指导，确定了外网工程办安全组为等级保护工作的牵头部门，各部门分工协作。同时，为确保系统划分和定级工作的准确性和合理性，2007年11月22日外网工程办专门邀请专家，对定级工作进行专项指导。

为统一思想，提高认识，通过召开等级保护专题会议等形式，深入学习《信息安全等级保护管理办法》和《关于开展全国重要信息系统安全等级保护定级工作的通知》等文件精神，使相关人员充分认识和领会了开展信息安全等级保护工作的重要性，进一步认识到实施信息安全等级保护不仅是信息安全管理规范化、标准化、科学化的需要，也是提高政务外网安全保障能力与服务水平的重要途径，是追求自身发展与落实社会责任相一致的现实需要与客观要求，从而增强了开展此项工作的主动性和自觉性。

二、积极做好定级各项工作

信息安全等级保护工作政策性强、技术要求高，时间又非常紧迫，为此，政务外网工程办从三方面抓好定级报备前期准备工作：一是积极参加公安部组织的等级保护培训，领会与理解开展信息安全等级保护工作的目的、意义与技术要求，系统地掌握信息安全等级保护的基础知识、实施过程、定级方法步骤和备案流程等。二是多次组织人员开展内部讨论和交流，使人员较全面地了解等级保护的意义、基础知识和定级方法。三是开展工程办各组的业务应用摸底调查，摸清系统的系统结构、业务类型和应用范围，并汇总整理了政务外网各组成域的相关概况。

三、科学准确定级

在开展政务外网定级工作的过程中突出重点，全面分析政务外网网络基础平台的特点，力求准确划定定级范围和定级对象。在此基础上，依据《信息安全等级保护管理办法》，确定政务外网各组成子系统（网络域）的安全保护等级。

划定定级对象。根据《信息系统安全等级保护定级指南》，外网工程办多次组织技术和业务骨干召开专题会议讨论信息系统划分问题，提出了较为科学合理的信息系统划分方案。

初步确定了信息系统等级。根据系统划分结果，组织各业务部门参与并初步确定了各系统等级，完成了自定级报告的起草。

组织专家自评把关。根据等级保护评审的标准与要求，专家们对信息系统划分和定级报告进行内部评审，并给出了内部评审意见。根据专家意见重新修改并整理了等级保护定级报告及其相关材料。

此外，在定级过程中，外网工程办积极与公安部等级保护主管部门进行沟通，并经由相关专家确认定级对象与等级保护方案后，整理好了所有定级材料，准备下一步的正式评审。

四、定级对象和结果

根据政务外网作为基础网络平台的特性，以及其接入系统的不同业务类型，政务外网按管理边界划分为中央政务外网、地方政务外网两类管理域。中央政务外网按业务边界划分功能区，即公用网络平台区、专用VPN网络区以及互联网接入区，在各功能区内又根据业务类型和系统服务的不同，确定了多个业务系统，主要有安全管理系统、应用平台系统、网络管理系统、邮件系统、VPN业务、互联网数据中心等六个系统作为本次等级保护定级工作的定

级对象，分别予以定级（确定等级结果如表1所示）。

作者简介：

罗海宁，1980年生，男，汉族，工程师，在职硕士，专业方向：网络与信息安全。

郭红，1966年生，女，汉族，高级工程师，在职硕士，专业方向：网络安全。

第2篇：网络安全等级保护规定范文

关键词：堡垒主机；内控管理；运维审计；实践案例

中图分类号： TP393.08 文献标识码：A 文章编号：1672-3791（2015）05（c）-0000-00

近年来，笔者所在民航系统内的信息化水平正在逐步从初级应用阶段发展至高级应用阶段，而伴随着这个过程产生的信息化应用与信息安全管理的矛盾也愈发突出[1]。笔者所在单位近年来在局域网内先后部署了多项网络安全和网络分析产品，已经形成了较为完善的信息安全防护体系，主要技术人员也积累了运维经验。但信息系统故障等网络安全问题仍然时有发生。通过分析故障产生的原因，发现大部分违规行为竟然来源于一些合法用户的例行操作。传统意义的安全防护系统可以从技术角度解决一些潜在的安全问题，但对于内部人员操作的管理手段不完善带来的数据破坏和泄露可能比技术原因造成的损害更为严重。

国家公安部《信息系统安全等级保护基本要求》中明确规定了二级（含）以上的重要信息系统网络安全、主机安全、应用安全都需要具备安全审计功能[2]，所以，根据等级保护要求以及本单位的实际情况，我们迫切需要一种有效的手段来对内部人员的设备维护行为进行控制和审计，解决信息安全管理中遇到的难题。难题具体体现在：运维权限分配复杂、系统密码管理不足、操作风险难以控制、共享账号安全隐患、系统资源授权不清晰、访问控制策略不严格、重要操作无法有效审计等。而以上这些信息安全问题，通过引入内控堡垒主机并结合管理措施之后基本得到了有效解决。

1 内控堡垒主机介绍

1.1 什么是内控堡垒主机？

最早的堡垒主机主要定位于防御外部进攻[3]。通过将其部署在防火墙或路由器之外，可以使那些需要面向外部的服务集中于堡垒主机上进行集中保护，以此来换取内部网络的安全。

而随着信息化应用的日趋复杂，由被动防御型的堡垒主机发展出来了更加偏重于对内部网络、应用和数据进行综合安全保护的管理控制平台，也就是我们所说的内控堡垒主机。它从网络内部出发，通过多种信息安全技术（访问控制、身份认证、虚拟化、协议、操作审计等）实现用户对内部网络资源的安全访问，同时对用户的操作过程形成完整的审计记录。这样的内控平台正可以有效地解决我们在日常运维和内控管理中遇到的难题。

1.2 功能特点

1.2.1 设备的集中管控

内控堡垒主机可以将服务器和网络设备的信息，以及用户信息和访问权限提前配置在堡垒主机中，这样便从传统的分布式管理模式转变成可控的集中式管理模式，以此为基础带来了设备管理效率和安全稳定性的提升。

1.2.2 操作的集中审计

内控堡垒主机通过协议的方式，将原来从某台内网终端直接通过远程连接对网络设备和服务器进行操作的不可控的分散管理方式，转变成为了用户必须集中至堡垒主机的统一入口再对有授权的设备进行操作。而全部操作都通过协议录制得到记录，实现了精细化的集中操作审计。

总之，内控堡垒主机结合了传统的4A 理念，即账号管理、认证管理、授权管理、安全审计，与应用技术，形成了一个完善且可控的远程接入解决方案。一方面，统一身份认证和统一访问授权使得远程接入用户需要通过多种身份认证手段以及基于角色的授权管理才可以接入设备，满足了信息安全等级保护的要求；另一方面，全面的审计功能让管理员不但可以完整录制会话过程，还可以实时监视远程访问会话并及时终止非法操作。

2 制定解决方案

2.1 信息安全等级保护要求

根据信息安全等级保护第三级[4]的相关要求制定内控堡垒主机的解决方案，可以满足在要求中涉及到的网络安全、主机安全、应用安全、数据安全及备份恢复五项技术方面的要求，以及安全管理机构、人员安全管理、系统运维管理三项管理方面的要求。根据要求中的内容以及内控堡垒主机针对每一项提供的解决方案，整理如下表1。

2.2 设计原则

2.2.1 整体安全和全网统一的原则

资源访问的安全设计需要综合考虑信息网络的各个环节和全部实体，然后在不同层次上综合使用多种安全手段，为内部信息网络和安全业务提供管理和服务。

2.2.2 标准化原则

项目的安全体系设计严格遵循了国家标准，如《信息系统安全等级保护基本要求》。在达到标准要求的同时能够使企业内部的信息系统在可控范围内实现安全的互联互通。

2.2.3 需求、风险、成本平衡原则

任何信息系统都无法做到绝对安全，所以设计时就需要明确性能要求以及侧重点，然后从需求出发，在功能、风险和成本之间进行平衡和折中[5]。

2.2.4 实用、高效、可扩展原则

无论现状如何，随着技术发展信息系统仍将不断变化，哪怕在系统实施过程中，系统的结构、配置也会发生变化。所以系统需要有一定的灵活性来适应这些变化，使其符合“有层次、成体系”的标准，既有利于系统安全，又有利于扩展。

2.2.5 技术、管理相结合原则

为了使内控堡垒主机可以发挥其应有的效果，管理者必须首先根据系统的功能特点来重新梳理和完善现有的运行管理机制和安全规章制度，同时对技术人员进行思想教育和技术培训。通过合理的规定和具体培训，才能完成系统的应用。

2.3 设计思路

2.3.1 集中管理模式

管理模式决定了管理的高度，所以明确管理模式应当是我们要确定首要因素。根据多年的运维实践发现，我们对维护人员及其操作的管理手段并未伴随着信息化进程的推进而得到加强，这样导致了人为因素造成的运行故障比例居高不下，缺少有效的审计手段。因此迫使我们必须由分散的管理模式转变为集中的管理模式。集中管理是运维管理思想的必然发展趋势和唯一选择[6]。通常，集中管理包括：集中的资源访问入口、集中的账号管理、集中的授权管理、集中的认证管理、集中的审计管理等等。

2.3.2 访问协议

内控堡垒主机通过对各平台所使用的协议进行来实现对操作行为的审计和监控[7]。比如SSH、TELNET、FTP、RDP、VNC等等Windows或Linux平台上的访问协议。

2.3.3 身份授权分离

为避免传统方式的共享账号、弱口令账号等问题导致的安全漏洞，我们的解决思路是将身份和授权分离。首先建立用于身份认证的独立账号体系，然后保留各系统账号但使其由堡垒主机接管并定期更新密码，使得被管理设备本身的系统账号仅用于系统授权而剥离其身份认证功能，有效增强了身份认证和系统授权的可靠性。

2.4 系统构架

我们部署的内控堡垒主机由展现层、核心服务层、接口管理层三层结构组成。

展现层面向用户，集成了多种包括匙扣令牌在内的强身份认证方式，分别对系统管理员和运维用户提供不同的访问操作页面。

核心服务层面向授权和协议，部署在服务器上。在核心服务层上完成账号管理、授权管理及策略设置等操作。其中的协议包含用户输入模块、命令捕获引擎、策略控制和日志服务，所以具备对用户行为进行监视、控制和记录的功能。

接口管理层面向个信息系统，用于实现审计结合、账号同步、认证结合等方面的数据接口工作。另外它还包含应用服务，以此来实现对B/S、C/S、半B/S半C/S系统的单点登录及审计工作。

3 内控堡垒主机的实施

系统的实施过程中，我们将堡垒主机及其应用服务器的部署位置单独剥离开划分为管理区，把内部网络的其他设备如服务器、网络设备、数据库等等划分为业务区。在内控堡垒主机部署上架后，运维人员将集中通过内控堡垒主机对业务区的目标设备进行日常运维操作。

设备上架后，我们需要通过防火墙策略配置解除客户端到堡垒主机及堡垒主机到目标服务器的端口限制。这样当用户访问设备时，堡垒主机才可以完成对TELNET（端口23）、SSH（端口22）、RDP（端口3389）等协议的访问具体设备，并在堡垒主机上完成对设备的单点登录及会话的完整审计。

4 结语

在信息化水平快速发展的今天，技术发展与管理模式相辅相成。信息安全不仅需要先进的设备和娴熟的技术，更需要完善的制度和审计手段。内控堡垒主机的实施切实有效地规范了内外部维护人员对IT基础设施的维护行为，弥补了操作审计空白。它通过集中管理的模式，借助于协议、身份授权分离等技术，极大地减少了维护人员误操作或恶意操作的概率，缩短了故障定位时间。这次内控堡垒主机的实施完善了笔者所在单位的信息安全保护体系，将有助于提高信息系统运行的安全性和稳定性。

参考文献：

[1]潘玉. 新一代堡垒主机[J]. 信息安全与通信保密，2011，05：45.

[2]韩荣杰，于晓谊. 基于堡垒主机概念的运维审计系统[J]. 信息化建设，2012，01：56-59.

[3]赵瑞霞，王会平. 构建堡垒主机抵御网络攻击[J]. 网络安全技术与应用，2010，08：26-27.

[4] 公安部信息安全等级保护评估中心. GB/T 22239-2008， 信息安全技术信息系统安全等级保护基本要求[S]. 北京：中国标准出版社，2008.

[5]韩海航，王久辉. 大型交通网络系统安全保障体系研究[J]. 计算机安全，2007，10：77-80.

[6]吴国良. 面向NGB的网络与信息管控建设[J]. 广播与电视技术，2013，10：28+30-33.

[7]陈旭. IT运维操作管理有效降低企业风险[J]. 高科技与产业化，2010，05：116-119.

第3篇：网络安全等级保护规定范文

1、硬件故障

在企业的信息化系统中，计算机作为一种系统的辅助工具，其由很多部件组成，这些部件之间，分工协作，紧密相连，构成了整个信息化系统。因此，如果计算机出现故障，进而可能导致整个系统无法正常工作。计算机中部件的损坏，大多数都是网络连接不当和线路的物理损坏引起的，这些问题都具有不可预知性。计算机的硬件问题，还包括企业内部计算机网络系统中的各个终端的机房的问题。机房作为企业的信息化系统的重要组成部分，掌握着企业的信息流动和信息的安全，如果机房中计算机出现了故障和损伤，就会导致企业信息化系统的安全受到巨大威胁，甚至会导致信息化系统的崩溃。因此，机房的安全管理和维护，是计算机硬件方面一个重要的问题。

2、外部威胁

所谓的外部威胁，是指来自外部的恶意入侵和攻击。最为常见的外部威胁是黑客的入侵和计算机病毒。在企业的信息化系统中，各个信息单元都是相互信任的，系统的防御能力较为薄弱，一旦有黑客入侵或者感染计算机病毒，就可能导致整个系统的故障。这是由于防御意识的薄弱和防御能力低下所造成的风险。此外，由于系统设计本身有可能存在很多的漏洞，其中的应用程序也会有很多的漏洞。此外，当今黑客攻击的方式和方法已经越来越先进，也呈现出多样化的形式，越来越强大的黑客攻击技术让计算机防御变得更加艰难。这些来自外部的威胁是影响计算机网络安全的最为重大的因素。

二、计算机网络安全的应对措施

要应对计算机网络安全方面的威胁，可以从两个方面来采取措施：技术方面和管理方面。从技术方面去应对计算机网络安全威胁，可以细分为几个方向：一个是设置防火墙；另一个是设置相关的检测手段；第三个可以从物理隔离方面阻断病毒的传播。设置防火墙，是企业信息化系统中防御外来威胁最为常用的手段，防火墙可以对外部访问的尺度进行控制，对那些不在规定范围或者异常的访问者进行阻挡，只允许在规定范围之内的或者正常的访问者对相关数据进行访问。这样可以让那些恶意访问者被阻挡在系统之外。另外，在企业的信息化系统中一些重要部位设置一些检测工具，也可以有效抵御外部威胁。一旦这些检测工具发现有异常行为，它们就会发出警报，这种检测工具不但能够防御外部的威胁，对于来自系统内部的攻击也能够进行检测和防御，弥补了防火墙功能上的不足，提升了企业信息化系统的防御能力。另外，使用物理隔离手段也能够阻断黑客攻击和病毒入侵。物理隔离手段，是将企业内网和进行隔离，这种手段能够完全阻断内网和外网之间的信息传递，其防御能力比防火墙和检查工具要强，当然它的弱点也非常明显，就是在阻断黑客攻击和病毒传播的同时，也让内网无法与外网进行有效地信息传递。物理隔离方法要将系统中不需要使用的端口进行关闭，同时，使用系统杀毒软件对系统进行扫描，对病毒进行查杀，对于系统中存在的漏洞进行修补，实时保护系统的安全，保证系统能够正常运行。对于接入系统的移动设备，如果这些移动设备没有通过安全认证，将会对这些设备进行严密监控，一旦设备中的某些应用程序行为异常，就会对这些设备进行隔离，从而从外到内全面保护系统的安全。除以上提到的一些技术方面的防御手段之外，还可以研发安全级别更高的信息化系统。要在人机交互界面更加友好、操作更加人性化和安全性能更高等方面下功夫，做到信息化系统的硬件和软件的完美结合。要有效抵御计算机网络安全威胁，仅从技术方面着手是不够的，还需要在管理方面做文章。要加强计算机网络安全的管理，一方面要完善相关的法律法规；另一方面也要规范各种操作，加强人员操作技能的培训。要建立一个安全管理的机构，建立健全各项法律法规，同时加强执法，对计算机用户进行安全方面的培训和教育，普及与计算机相关的法律知识，让计算机用户接受计算机安全法、犯罪法的教育，提高他们的安全意识和道德意识，防止计算机犯罪行为的发生。此外，还应该对企业信息化系统涉及的相关机房、设备进行有效管理。不但要加强管理人员和操作人员专业技能的培训，还需要建立一套行之有效的管理手段，对机房、设备进行严格管理，保证机房、设备和数据的安全，从而保证整个系统不受损害。

三、计算机网络安全防御体系的建立

要从根本上解决企业信息化系统所面临的网络安全问题，就必须建立一套良好的计算机网络安全防御体系，这个防御体系不能片面强调某一个方面，而是应该站在全局的角度，全面的看待问题，对整个网络系统进行监控，保证整个网络系统的安全。自从全球进入信息化时代以来，企业的信息化也在不断的变革和发展，从企业信息化发展的大趋势来看，建立一套行之有效的计算机网络安全防御体系是必不可少的。企业要实现现代化管理，就必须采用信息化管理系统，因此，必须建立完善的安全防御体系，全面监控整个信息化系统的运作，避免安全隐患的产生。要建立一套切实可行的计算机网络安全防御体系，必须结合企业的实际情况。第一，企业信息化系统中的各个网络单元要做到相互隔离，只有这样，才不会出现一个网络单元感染病毒或者遭受黑客攻击而影响其他网络单元，将安全威胁降到了最低。第二，在建立网络安全防御系统时，要对企业的相关信息设置一个安全等级，对于不同的信息要设置不同的安全等级，机密信息要设置为最高等级，重要信息可以设置为第二高的等级，目的是为了让不同的信息存在不同的使用权限，有效防止信息的泄露。第三，在建立网络安全防御系统时，要将防火墙、检测工具和物理隔离结合使用，全方位的保护系统免受侵害。第四，对于企业内部进行的信息沟通和交流，要建立相关规章制度，不但要对信息流量进行控制，还要对信息传递内容进行监控，保证信息沟通的顺畅和安全。第五，在企业信息化系统中，只有经过授权和认证的访问者和信息，才能在系统中正常的访问和运行。总之，要建立一套安全可靠的企业信息化管理系统来帮助企业进行信息化管理，不但要在软件和硬件方面加强管理，还需建立相关网络安全防御体系，操作方法也应严格按照要求来进行，将内网和外网进行有效隔离，设置相关的权限和安全等级，将先进的网络防御技术引入到体系中来，从而全面提升企业信息化系统的安全等级。

四、结语

第4篇：网络安全等级保护规定范文

随着媒体融合的发展，新媒体和传统媒体在经营渠道和内容管理方面已经进一步深入融合起来，在传播模式方面，向多终端、交互式的传播方式转变，在运营模式方面，跨媒体、跨区域、跨行业的合作运营成为趋势。如此多的融合发展导致了传统广电行业也面临了信息安全问题。因此，对我们来说，网络安全的研究和网络安全技术的应用，是必须加以重视和认真贯彻执行的。广电网络安全中最核心的莫过于安全播出。在有线电视网或者互联网中向观众播出内容健康、导向正确的节目，并且保证信号不中断，内容不被篡改，节目质量良好，保证所有的用户都能观看正常的电视节目，是安全播出的重要条件。由于广电的政治属性，所以广电的播出安全不仅是广电的问题，还涉及到社会公共安全问题。

2关于广播电视播控系统网络安全方面的法律法规和行业等保规范

广播电视播控系统是广播电视信息系统中最核心的部分，因为它承载了安全播出大部分的工作。根据《广播电视相关信息系统安全等级保护定级指南》中的要求，我台广播电视播控系统的安全保护等级是三级。在《广播电视相关信息系统安全等级保护基本要求》（简称《基本要求》）中，明确规定了安全保护等级三级的广电播控系统的网络安全工作要求。《基本要求》中指出，各播出单位要建立纵深防御体系，采取互补的防御措施，进行集中的安全管理。安全保护等级三级及以上的信息安全系统要求建立有统一的安全策略、统一的安全管理制度下的安全管理中心，它负责管理信息系统中的各个安全控制组件（即基本防护要求）的连接、交互、协调、协同工作，使之提高整体的网络安全防护水平。播控系统位于纵深防御体系的最内层，电视播控系统的网络安全建设文/马文丽本文通过对我台电视播控系统的网络安全现状的分析，结合广播电视信息安全等级保护工作的要求，提出使用入防火墙、入侵检测、审计服务器等技术措施，登录访问控制、数据安全管理等管理措施，更好的保证广播电视网络安全。摘要网络防御措施级别要求相对较高，安全管理中心应将与播控有联系的各个部门网络边界的安全策略，提升到播控系统的安全等级。以保证播控系统的网络安全。《基本要求》中提出了从物理上、技术上、管理上，三个方面出发采取由点到面的各种安全措施，其中包括结构安全、边界安全、终端系统安全、服务器端系统安全、应用安全、数据备份与恢复六个具体方面，保证信息系统的整体安全防护能力。

3技术措施

基于《基本要求》提出的具体安全防御措施，结合我台播控系统的网络现状，本文以山西卫视高清频道网络为例（网络拓扑图见图1），提出使用防火墙、入侵检测和审计服务器相结合的技术措施，能有效的防范来自于广电传输网OTN中的威胁源所带来的损害，进而能保证播控系统的边界安全，与外网的数据交换安全。

3.1防火墙

防火墙是设置在被保护内网和外网之间的一道屏障，它可以控制被保护网络的非法访问，检查网络入口点信息交换，根据设定的安全规则，对通过防火墙的数据进行监测、限制和修改，过滤掉特定网络攻击和不明站点的访问。防火墙可以提供对系统的访问控制，仅允许外网访问某些内网主机和某些端口及服务；它可以过滤不安全的服务，仅允许HTTP、FTP、TELNET、SSH等信息系统使用的协议通过；它可以设置IP与MAC地址绑定策略，绑定后只有特定地址的网络主机才能访问防火墙，有效防止网络地址欺骗；它可以使用有效的数字证书来区分网络用户，并可以给予不同级别用户不同的访问权限；它可以提供对流量的识别和控制功能，限制网络连接的数量以保证重要业务的正常运转。

3.2入侵检测

入侵检测通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测可以监视、分析网络及用户的活动，审计用户和网络中的异常模式进行统计分析，识别已知的网络攻击活动模式并向用户报警；当一个入侵正在发生或试图发生时，入侵检测系统会立即记录并向用户发动预警，而且它还能自动抵御这些攻击，如切断网络连接或者配置防火墙使之能拒绝这些地址的连接；它可以对重要程序进行完整性分析，一旦这个程序被攻击，立即从备份文件中提取相应的原始文件，恢复重要程序中被攻击的部分，恢复程序原有功能。

3.3安全审计服务器

安全审计是指按照一定的安全策略，利用记录、系统活动和用户活动等信息，检查、审查和检验操作事件的环境及活动，从而发现系统漏洞、入侵行为或改善系统性能的过程。在此基础上使用审计服务器能实现日志的集中管理，各设备、服务器内的安全事件收集，建立应急预警体系。审计服务器可以收集和记录各个系统、应用和网络活动的日志，完成事件的格式化和标准化工作；它可以集中长期存储收集的日志，以及所有的管理配置信息，保证记录的可靠性、安全性、完整性，同时还提供快速检索和统计报表；它对收集的风险信息进行定期分析和监控，并提供资产分析、风险展示、事故响应等功能；它提供C/S管理方式，安全管理中心可以实时监控数据，并实施安全策略调整方案。审计服务器监听口不配置IP地址，使原有的网络不发生改变，使部署变得更加灵活。综上所述，使用防火墙、入侵检测和审计服务器相结合的技术措施，能按照《基本要求》提出的安全策略进行部署，满足播控网络的安全防护功能。

4管理措施

广播电视播控网络安全是一个系统的工程，不能单靠某些技术措施，还需要依靠全面的管理措施才能稳固的提高播控网络的安全。《基本要求》中还对网络安全管理提出了更为全面的建议和要求。结合我台网络管理的现状，本文提出了要加强登录访问控制和数据安全管理两个方面的管理措施。

4.1登录访问控制

登录访问控制是指对登录网络设备的用户进行身份鉴别。本文建议应对播控系统的所有用户（包括上载编单和系统管理员）都要实施单人单密码制度，对所有登录访问的用户名和密码都要制定复杂度及定期更换制度；对关键设备的登录操作要有两人及以上系统管理员在场，并联合操作；启用系统或应用中的登录超时和登录失败功能，失败后要求更高权限的系统管理员才能恢复登录；实行业务和系统管理分散授权的制度，分离网络安全风险；制定统一的上载介质制度，禁止使用U盘，关闭不必要的服务和端口，制定定期系统升级和病毒库升级方案，系统漏洞补丁定期维护方案等，保证播控系统的网络安全。

4.2数据安全管理

数据安全管理是指可以检测数据的完整性，并及时进行数据备份，在数据完整性遭到破坏时的数据恢复方案。本文建议使用备用机房对重要节目和业务信息进行异地备份，并通过网络实时传输，如果本地业务遭到攻击或发生火灾等重大自然灾害，可以启用备用机房应急播出，保证播出安全。

5总结

广播电视播控系统的网络安全是广播电视信息系统网络安全的最重要一环，我们要切实做好这方面的工作。通过技术和管理各项举措，建立和完善播控系统的网络安全规范。在网络攻击日新月异的现在，网络安全防护体系不是一成不变的，网络安全规范建立了也不是永恒不变的，是需要持续改进的。这些技术和管理措施在运行过程中需要定期进行网络安全评估，遇到不符合安全等级标准要求的就要立即整改。只要我们的网络安全意识加强了，操作网络设备时使用安全行为，把安全责任落实到位，与就能有效的保证网络安全。

参考文献

[1]张瑞芝.智能广电大潮中信息安全工作的思考[J].广播与电视技术,2015.

[2]孙明美.防火墙技术研究[J].软件,2013,34(7):119-120.

第5篇：网络安全等级保护规定范文

该文对供水企业信息集成系统安全进行分析，并探讨了可以针对性改进的安全防护措施。首先对当前供水信息系统安全现状做具体分析，然后研究了在“自主定级，自主保护”的原则下改进和提高供水企业集成信息系统安全具体的执行方案，最终实现供水企业信息集成系统的信息安全防护。

关键词：

供水企业信息集成系统；等级保护；信息安全

供水行业对国计民生很重要的一个行业，供水企业的业务性质要求以信息的整体化为基本立足点，集中管理所有涉及运营的相关数据，针对供水企业运行的特殊要求，进行集中的规划和架构，将不同专业的应用系统进行整合，最终形成完整的供水企业综合信息平台。[1]而集成系统中最重要的一个要求就是信息安全。

随着大数据时代的到来，网格、分布式计算、云计算、物联网等新技术相继推出，对供水企业信息集成与应用也提出了更高的要求。而随着应用的扩展，应用中存在着大量的安全隐患，网络黑客、木马、病毒和人为的破坏等将大量的安全威胁带给信息系统。根据美国Radicati公司于2015年3月的调查报告，截至2014年12月，网络攻击已经为全球计算机网络安全造成高达上万亿美元的损失。而且随着网络应用的规模进一步上升，计算机网络信息安全威胁造成的损失正在呈几何级数增长。根据2015年的中国网络安全分析报告，2014年报告的网络安全攻击事件比2013年增加了100多倍。2014年，搜狗由于网络黑客攻击导致搜索服务在全国各地都出现了长达25分钟无法使用。2014年7月，某域名服务商的域名解析服务器发生了网络黑客的集中式攻击，造成在其公司注册的13%的网站无法访问，时间长达17个小时，经济损失不可估量。因此，从信息安全的角度，要对供水企业信息集成系统进行防护，降低信息安全事故的发生的概率，降低其危害，是本文需要研究的内容。

1当前供水企业信息集成系统安全防护的现状和存在的问题

伴随着科技的不断发展，供水企业的信息化建设也得到了很大的发展，主要是从深度和广度两个层面做进一步拓展。典型的供水企业信息集成系统涵盖了生产调度系统、销售系统、管网信息系统、财务管理系统、人事管理系统、办公自动化系统等子系统。其中多个系统数据需要接受外部访问，存在大量的安全隐患。目前，威胁到供水企业信息安全的风险因素主要分为三个大类：1）人为原因，如恶意的黑客攻击、不怀好意的内部人员造成的信息外泄、操作中出现低级错误等。2）数据存储位置位置的风险。可能由自然灾害引发的问题，缺乏数据备份和恢复能力。3）不断增长的数据交互放大了数据丢失或泄漏的风险。包括未知的安全漏洞、软件版本、安全实践和代码更改等。

2有关分级防护的要求

尤其是供水企业信息集成系统中，存在大量涉及公民个人隐私的信息，也存在像生产调度这样涉及国计民生的信息。因此，需要按照国家有关信息安全的法律法规，明确企业的信息安全责任。提升供水企业信息管理区内的业务系统信息安全防护。依据《信息安全等级保护管理办法》（公通字[2007]43号）第十四条，信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。定级标准按照国家标准《信息系统安全等级保护定级指南》（GB/T22240—2008）实施，根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种：1）造成一般损害；2）造成严重损害；3）造成特别严重损害。

3分别防护实施步骤

根据有关法律法规，建设完成并投入使用的信息系统，其有关使用此系统的单位需要对其系统的等级状况做定期的测评。供水企业要遵照要求选择具有资质的测评机构来对管理信息区的业务系统做等级保护的测评工作。其所得到的结果如下表1所示：通常情况下，供水企业信息系统中不会出现第四级和第五级的系统。根据测评结果，有必要对供水企业内部的局域网进行系统化整改。具体的整改内容包括两项主要内容：细化各业务系统服务器的物理位置；按照需求设置信息安全区域。根据供水企业信息集成系统的具体实际，主要有等级包括三个业务区域，以及一个公共业务区和测评业务区。按照上述原则对供水企业信息集成系统服务器做物理划分如图1所示。不同等级的系统服务器针对不同级别的信息安全区进行设置。等级为一、二、三的业务区分别安装着对应的服务器，而公共业务区域的服务器主要是DNS服务器或者是域服务器。公共业务区服务器主要为基础服务提供非业务系统服务，不需要进行保护分级。测评业务区提供是投入正式使用前的测试服务器。

依据表1的测评结果，将安全区域进行细化表2所示的就是企业管理信息区，其主要业务系统对安全区域存放问题的展示。根据表2得到的结果，可以将信息安全设备存放在不同信息区域边界内，以此达到服务器分级防护目的。信息安全设备设置在信息安全区域边界，也就是局域网与信息安全区域之间的连接部。信息安全设备主要是防火墙、查杀病毒、攻击防护、服务防护禁止、授权等。对于不同区域边界的信息安全的部署建议，供水企业要遵照各自的实际情况做周密的设置。供水企业管理信息安全区域边界防护表见表3。将信息安全防护设备部署在所在的区域边界内，如此可以初步实现对供水企业管理信息区的信息安全防护。

4结束语

随着大数据的发展，对供水企业信息集成系统在数据的交互和应用方面会提出更高的要求，也大大加强了安全防护措施的重要性和迫切性。在安全防护措施基本到位的前提下，还需要加强信息审计，及时发现和补救系统缺陷，加强数据库安全防护，维护管理系统的隐患。

参考文献：

[1]孙锋.基于多agent技术的供水企业信息集成系统研究[J].供水技术,2015(10).

第6篇：网络安全等级保护规定范文

关键词：等级保护 信息安全 安全管理

中图分类号：TN915 文献标识码：A 文章编号：1674-098X（2014）04（c）-0035-02

21世纪是信息的时代，一方面，信息科学和技术正处于空前繁荣的阶段，信息产业成为世界第一大产业，另一方面，危害信息安全的事件不断发生，信息安全的形势是严峻的。因此在信息社会中，只有厘清信息系统的安全需求，才能确切地把握各类信息系统及计算机网络系统等所面临的风险，并使信息安全风险处于可控范围之内。该文的研究旨在从信息系统安全等级保护的角度，系统地分析信息系统的安全需求，从而为切实保证网络基础设施与业务系统安全、可靠运行提供理论依据。

1 信息系统安全威胁

要保证信息系统的安全可靠，必须全面了解信息系统可能面临的所有安全威胁和风险。威胁是指可能对信息系统资产或所在组织造成损害事故的潜在原因；威胁虽然有各种各样的存在形式，但其结果是一致的，都将导致对信息或资源的破坏，影响信息系统的正常运行，破坏提供服务的有效性、可靠性和权威性。

任何可能对信息系统造成危害的因素，都是对系统的安全威胁。威胁不仅来来自人为的破坏，也来自自然环境，包括各种人员、机构出于各自目的的攻击行为，系统自身的安全缺陷以及自然灾难等。信息系统可能面临的威胁见图1。

2 信息系统安全需求分析

信息系统等级保护的安全需求基本分为技术需求和管理需求两大类。

技术类安全需求通常与信息系统提供的技术安全机制有关，主要是通过在信息系统中部署软硬件并正确的配置其安全功能来实现；管理类安全需求通常与信息系统中各种角色参与的活动有关，主要是通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现。

2.1 信息系统安全技术需求

2.1.1 物理需求

（1）当面临雷击、地震、台风、高温等自然灾难，需要通过对物理位置的选择、温湿度的控制，以及采取防雷击措施等来解决问题；

（2）供电系统故障，需要合理设计电力供应系统，如：购买UPS系统或者建立发电机机房来保障电力的供应；

（3）网络设备、系统设备及其他设备使用时间过长等原因导致硬件故障，需要通过对产品采购、自行软件开发、外包软件和测试验收进行管理，对存储介质进行管理，建立一套监控管理体系；

（4）攻击者利用非法手段进入机房内部盗窃、破坏等，需要进行环境管理、采取物理访问控制策略、实施防盗窃和防破坏等控制措施。

2.1.2 网络需求

（1）内部人员未授权接入外部网络，需要通过边界的完整性检查、网络审计、主机审计、应用审计等手段解决。

（2）设施、通信线路、设备或存储介质因使用、维护或保养不当等原因导致故障，需要通过线路状态检测、线路冗余、数据备份与恢复等技术手段解决。

（3）攻击者恶意地消耗网络、操作系统和应用系统资源，导致拒绝服务，需要通过主机资源优化、网络入侵检测与防范、网络结构调整与优化等技术手段解决。

（4）攻击者盗用授权用户的会话连接，需通过身份鉴别、访问控制、通信加密等技术手段解决。

2.1.3 系统需求

（1）攻击者在软硬件分发环节（生产、运输等）中恶意更改软硬件，需通过恶意代码方法、控制台审计等技术手段解决。

（2）攻击者利用网络扩散病毒，需通过恶意代码方法、控制台审计等技术手段解决。

（3）内部人员下载、拷贝软件或文件，打开可疑邮件时引入病毒。需通过恶意代码防范技术手段解决。

（4）授权用户对系统错误配置或更改。需通过安全审计、数据备份和恢复等技术手段解决。

2.1.4 应用安全需求

（1）系统软件、应用软件运行故障，需要通过对产品采购、自行软件开发、外包软件和测试验收进行管理，对入侵系统和软件的行为进行监测和报警；

（2）系统软件、应用软件过度使用内存、CPU等系统资源，需要对系统软件和应用软件进行入侵行为的防范，并进行实时的监控管理；

（3）攻击者进行非法访问，需要对网络设备进行防护、对访问网络的用户进行访问控制、对访问网络的用户身份进行鉴别来加强访问控制措施；

（4）攻击者提供伪造的应用系统服务进行信息的窃取，需要加强网络边界完整性检查，加强对网络设备进行防护、对访问网络的用户身份进行鉴别。

2.1.5 数据安全需求

（1）内部人员利用技术或管理漏洞，未授权修改重要系统数据或修改系统程序，需要通过网络安全审计、恶意代码防范、网络访问控制、身份鉴别、通信完整性、入侵防范等技术手段解决；

（2）攻击者截获数据，进行篡改、插入，并重发，造成数据的完整性、真实性丧失，需要通过通信完整性、数据完整性、通信保密性、数据保密性、密码管理等技术手段解决；

（3）通信过程中受到干扰等原因发生数据传输错误，需要通过通信完整性、数据完整性等技术手段解决；

（4）攻击者利用通信干扰工具，故意导致通信数据错误，需要通过结构安全和网段划分、通信完整性、数据完整性等技术手段解决。

2.2 信息系统安全管理需求

2.2.1 管理机构

（1）需要建立安全职能部门，设置安全管理岗位，配备必要的安全管理人员、网络管理人员、系统管理人员；

（2）需要配备相应的安全管理员、网络管理员、系统管理员；

（3）需要建立定期和不定期的协调会，就信息安全相关的业务进行协调处理；

（4）需要建立相应的审核和检查部门，安全人员定期的进行全面的安全检查。

2.2.2 管理制度

（1）需要制定信息安全工作的总体方针、政策性文件和安全策略等，说明机构安全工作的总体目标、范围、方针、原则、责任等；

（2）需要建立安全管理制度，对管理活动进行制度化管理，制定相应的制定和制度；

（3）需要各功能部门协调机制，进行必要的沟通和合作；

（4）需要建立恰当的联络渠道，进行必要的沟通和合作，在必要的时候，进行事件的有效处理；

（5）需要建立备案管理制度，对系统的定级进行备案。

2.2.3 人员安全

（1）需要对人员的录用进行必要的管理，确保人员录用的安全；

（2）需要对人员的考核进行严格的管理，提高人员的安全技能和安全意识；

（3）需要对人员进行安全意识的教育和培训，提高人员的安全意识；

（4）需要对第三方人员访问进行严格的控制，确保第三方人员访问的安全。

2.2.4 系统建设

（1）需要具有设计合理、安全网络结构的能力；

（2）需要密码算法和密钥的使用符合国家有关法律、法规的规定；

（3）需要任何变更控制和设备重用要申报和审批，并对其实行制度化的管理；

（4）需要对信息系统进行合理定级，并进行备案管理；

（5）需要自行开发过程和工程实施过程中的安全；

（6）需要对软硬件的分发过程进行控制；

（7）需要信息安全事件实行分等级响应、处置。

2.2.5 系统运维

（1）需要各种网络设备、服务器正确使用和维护；

（2）需要用户具有鉴别信息使用的安全意识；

（3）需要硬件设备、存储介质存放环境安全，并对其的使用进行控制和保护；

（4）需要提供足够的使用手册、维护指南等资料；

（5）需要在事件发生后能采取积极、有效的应急策略和措施。

3 结论与建议

3.1 以信息系统安全需求促进系统安全等级保护，建立信息安全管理的长效机制

信息安全等级保护是国家信息安全保障工作的基础制度，信息安全需求的研究是从系统风险管理角度最大限度地为保障信息安全提供科学依据，作为信息系统使用机构，开展信息安全等级保护定级和信息安全需求研究工作，其最终目标就是建立“量身定做”的信息安全管理体系。按照“谁主管谁负责、谁运营谁负责”和“适度安全、保护重点”的原则，准确进行安全等级定级，并在信息化建设整个生命周期中构建好信息安全管理体系，并紧紧围绕“信息系统安全需求”这个等级保护主要抓手，结合国家规范、行业规范和系统工作实际，认真探索、大胆创新。

3.2 信息系统安全需求分析是信息安全管理的重要环节

信息系统安全需求的研究是信息安全管理的一个阶段，是信息安全风险管理的重要环节，是信息安全保障体系建立过程中的重要决策机制。信息安全管理要依靠是否满足系统安全的需求来确定随后的风险控制和审核批准活动。信息系统安全需求的提出使得机构能够准确“定位”安全管理的策略、实践和工具，能够将安全活动的重点放在重要的问题上，能够选择成本效益合理的和适用的安全对策。因此，系统安全需求是信息安全管理体系和信息管理管理的基础，是对现有网络的安全性进行分析的第一手资料，也是网络安全领域内最重要的内容之一，它为实施风险管理和风险控制提供了直接依据。

参考文献

[1] 信息产业部电子教育中心.信息安全管理指南[M].重庆大学出版社，2008.

第7篇：网络安全等级保护规定范文

关键词：电力二次自动化系统；安全防护

一、电力二次自动化系统的现状

电力二次系统包括电力监控系统、电力通信及数据网络三方面。电力监控系统，是指用于监视和控制电网及电厂生产运行过程的、基于计算机及网络技术的业务处理系统及智能设备，包括电力数据采集与监控系统、能量管理系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电自动化系统、微机继电保护和安全自动装置、广域相量测量系统、负荷控制系统、水调自动化系统和水电梯级调度自动化系统、电能量计量计费系统、实时电力市场的辅助控制系统等。电力通信是指为了保证电力系统的安全稳定运行而应运而生的、基于计算机网络技术智能设备。数据网络，是指各级电力调度专用广域数据网络、电力生产专用拨号网络等。

电力二次系统中主要存在以下几方面的安全问题：①管理区和生产区存在双向的数据交互；②缺乏加密、认证机制，没有入侵检测等预警机制；③没有漏洞扫描和审计手段，接人存在安全隐患；④病毒代码手动更新难以及时，厂站端各种站、工控机防病毒管理困难；⑤地、县调系统结构复杂，数据交换缺乏规则。

二、电力二次自动化系统的安全防护

1. 明确电力二次自动化系统安全防护的基本目标。

建立电力二次系统安全防护体系，保障电力系统的安全稳定运行，同时抵御黑客、病毒、恶意代码等通过各种形式对电力二次自动化系统发起的恶意破坏和攻击，特别是能够抵御集团式攻击，以防止由此导致一次系统事故或大面积停电事故及二次系统的崩溃或瘫痪。

2. 制定电力二次自动化系统安全防护的基本原则。

根据《电网与电厂计算机监控系统及调度数据网络安全防护规定》，电力二次自动化系统的安全防护应具有以下原则：在电力二次自动化系统中，安全等级较高的系统不受安全等级较低系统的影响。电力监控系统的安全等级高于电力管理信息系统及办公自动化系统，各电力监控系统必须具备可靠性高的自身安全防护设施，不得与安全等级低的系统直接相联。

3.拟定电力二次自动化系统安全防护的安全分区。

发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统，原则上可划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区I)和非控制区(安全区Ⅱ)；管理信息大区内部在不影响生产控制大区安全的前提下，可以根据各企业不同安全要求划分生产管理区（安全区III）和管理信息区（安全区IV）。不同的安全区确定不同的安全防护要求，从而决定不同的安全等级和防护水平，阻断非法访问、操作和病毒侵害。

安全区I，即实时控制区，主要由配电自动化系统、变电站自动化系统、调度员中心EMS系统和广域相量测量系统等系统构成，是安全保护的重点与核心，凡是实时监控系统或具有实时监控功能的系统其监控功能部分均应属于安全I区。其为电力生产的重要环节、安全防护的重点与核心，能够直接实现对二次系统运行的实时监控，具有纵向使用电力调度数据网络或专用通道的典型特征。

安全区II，即非实时控制区，主要由负荷控制系统、水调自动化系统、电能量计量系统等部分组成，不具备控制功能的生产业务系统，或者系统中不进行控制的部分均属于安全Ⅱ区。其所实现的功能为电力生产的必要环节，可在线运行，但不具备控制功能。

安全区III，即生产管理区，主要由EMS资料平台、气象信息接入、生产管理系统、报表系统(日报、旬报、月报、年报)和信息翻览WEB服务器等部分组成。本安全区内的生产系统采取安全防护措施后可以提供WEB服务。该区的外部通信边界为电力数据通信网(SPTnet)。

安全区IV，即管理信息区，主要由管理信息系统、办公管理信息系统和客户服务系统组成，该区的外部通信边界为SPTnet及INTERNER，所有办公PC应部署正版软件和网络防病毒措施，及时进行更新。

4.二次系统安全防护的策略

要根据管理信息大区安全要求，在管理信息大区应当统一部署防火墙、IDS入侵检测系统和恶意代码防护系统等通用安全防护设施。要按照生产控制大区与管理信息大区之间的安全要求，在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置，同时隔离强度应接近或达到物理隔离。要根据生产控制大区内部的安全区之间的安全防护要求，在控制区与非控制区之间应采用国产硬件防火墙，具有访问控制功能的设备或相当功能的设施进行逻辑隔离，以禁止安全风险高的通用网络服务穿越该边界。要依照在生产控制大区与广域网的纵向交接处安全防护要求，在生产控制大区与广域网的纵向交接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施，实现双向身份认证、数据加密和访问控制。

要根据处于外部网络边界的通信网关安全防护要求，对处于外部网络边界的通信网关，应进行操作系统的安全加固，并根据具体业务的重要程度及信息的敏感程度，对生产控制大区的外部通信网关应具备加密、认证和过滤的功能。还应依照对电力监控系统的备份及恢复的安全防护要求，定期对电力监控系统关键业务的数据与系统进行备份，建立历史归档数据的异地存放制度，确保在数据损坏或系统崩溃的情况下快速恢复数据与系统，保证系统的可用性。并对关键主机设备、网络设备或关键部件进行相应的冗余配置，安全I区的业务应采用热备份方式，其它安全区的业系统可根据需要选用热备份、温备份、冷备份等备份方式，以避免单点故障影响系统的可靠性。

结语：

计算机网络安全是电力生产安全密不可分的一部分。除了依据国家规定建立可靠的网络安全技术构成的安全防护体系外，还必须建立健全完善的网络安全管理制度，形成技术和管理双管齐下，才能真正达到保证网络安全的目的。电力二次防护系统是自动化系统的支撑平台，二次防护安全是电力系统安全的保障。同时，电力自动化系统的安全防护是一个动态的工作过程，而不是一种状态或者目标。随着风险、人员，技术不断地变化发展，以及应用环境的发展，安全目标与策略也发生着变化，电力二次系统的安全管理需要不断跟踪并应用新技术，定期进行风险评估、加强管理，才能保障电力行业安全稳定、高效可靠地运行。

参考文献：

[1]李劲.论述广西电力二次系统安全防护技术研究[J].广西电力,2005(4)

[2]李志杰,牛玉臣,阎明波.调度自动化二次系统安全防护体系[J].电工技术,2006(12)

[3]张晓阳.电力行业二次安全防护解决方案[J].信息安全与通信保密,2008(8)

第8篇：网络安全等级保护规定范文

关键词：政府门户网站 信息安全 对策研究 福建省

一、引言

《2006-2020年国家信息化发展战略》提出，“到2020年我国信息安全的长效机制基本形成，国家信息安全保障体系较为完善，信息安全保障能力显著增强”。政府门户网站是政府部门在国际互联网上建立的信息、办公互动、数据交换的窗口，是政务公开的载体和舞台，也是政府与社会、企业、民众沟通的桥梁。通过政府门户网站，公众可以便捷地获取政府信息和服务，使得公众与政府关系简单化。由于互联网是个开放的网络，政府网站的信息一天24小时都在被查询、阅读、下载或转载。如果没有可靠的信息安全体系和有效的事件响应能力，那么一旦网页被篡改或网站被中断，将直接干扰、破坏政府履职，损害政府的形象，败坏公众对政府的信任，后果不堪设想。根据有关资料显示，2005年，我国90%以上的政府网站存在安全漏洞，很多网站都曾受到过不同程度的黑客攻击和计算机病毒的侵害，给国家造成了较大的损失。因此，信息安全问题是政府门户网站建设的一项重要内容，必须综合运用多种策略和手段建设政府门户网站安全保障体系。

二、政府门户网站信息安全存在的主要问题

安全管理认识存在偏差以及缺乏有效组织规划培训和相应法律制度支持，是当前福建省各级政府门户网站信息安全建设中存在的最主要问题，主要表现有以下几个方面：

一是重系统建设轻安全管理。由于受到传统的政府绩效评价和考核体制的影响，各级政府信息主管部门往往认为“安全”只是保障“业务应用”的一种手段，只重视网站信息系统的建设，轻视相应的信息系统安全建设和管理。

二是重消极应对轻主动预案。在政府门户网站安全管理中，很多情况是等出了问题，才匆忙借助经验和应变能力去处理突发安全事件，缺乏应急预案的制定和按照应急预案进行处理的观念。

三是缺乏整体安全意识。谈及信息安全，很多管理者认为安全就是防火墙、入侵检测、身份认证等技术措施，没有真正意识到安全是一个包括理念、技术、制度、人才等各方面缺一不可的整体。

四是缺乏及时有效培训。信息化安全技术日新月异，网络攻击手段也日趋多样化，各级网站主管部门对安全管理人员缺乏及时有效培训，无法保证网站信息安全。

五是缺乏统一信息安全技术标准与规范。不同层次、不同部门的网站信息安全建设各自为政，没有进行有效的组织和规划，使用的安全技术五花八门。这样不仅造成了资源的严重浪费和低效率，也给网站信息安全带来各种各样的隐患。

六是缺乏相应的法律和制度的支持。政府作为信息的所有者，其权利范围和内容较为模糊，相关网站信息安全的法律和制度较为薄弱，法律上缺乏相应的保护。

三、政府门户网站信息安全存在问题的原因分析

1．管理体制未理顺

政府系统缺乏专门的电子政务信息安全的领导体制、研究机构和相应政策措施的落实机制，尽管在中央一级设有领导小组以及专家咨询委员会，但在地方由于“条块”职责不清、管理多头的实际状况，直接影响对电子政务安全的重视程度和贯彻落实相应信息安全政策措施的力度。

2．运行机制未健全

信息安全保障的运行机制不健全表现在电子政务信息安全的地位与其重要程度不相称，电子政务信息安全在政府发展任务的地位上，远不及经济、社会、文化等其他方面；在资金、人力等方面的投入得不到更好的保障；与信息安全相关的政策法规、技术标准与规范的制定落后于实际发展的需要。

3．技术与实际安全需求存在差距

技术是确保信息安全的重要因素，由于技术本身的局限性和推广应用程度不够，使技术与实际安全需求存在差距。技术不能完全保证安全，安全更不可能完全依赖技术。我国目前的电子政务安全保障技术本身并不发达，福建省在电子政务安全技术、产品推广应用方面的重视程度不高、力度不强。

4．过分强调安全技术的重要性

认为信息安全是技术问题，依靠相应的技术就能防范。实际上国内外许多信息安全事故都是人为造成的，三分靠技术，七分靠管理，要防止此类事故的发生，必须从建立和完善信息安全管理体系入手。

四、加强政府门户网站信息安全的对策建议

网络安全不仅是一个技术问题，要从法规、管理和技术三方面来统筹保障政府门户网站信息安全。在法制上，加强网络和信息安全管理等方面的立法工作，为政府门户网站的建设、运行、维护和管理提供法律保障，构筑促进国家信息化发展的社会环境；在管理上，从健全规范网络安全管理机构、培养网络安全管理人员和制定网络安全管理制度等方面保障政府门户网站正常安全运行；在技术上，采用多种防范、监控等先进的技术手段，制定各种应急措施，保证政府门户网站安全可靠地运行。

⒈加强政府门户网站信息安全法规与制度建设

一是加强信息安全管理等方面的立法工作。国家及省都有加强网站建设方面的相关政策，但还没从立法的角度予以确认和强化，应从“电子政府”建设的高度，制定相应的法规，为包括政府门户网站在内的电子政务网络与系统的建设、运行、维护和管理提供法律保障。

二是加强网络和信息安全管理等方面的制度建设。用管理手段来弥补技术落后问题，本着“堵漏、补缺、管用”的原则，采用整体思路，加强管理，切实从机关内部堵塞漏洞，在若干不够安全的技术环节的基础上，形成一个相对安全的整体。在加强信息安全防护能力的同时，重视隐患发现、网络应急反应、信息对抗等管理能力的提高。

⒉建立健全政府门户网站信息安全管理体系

一是明确技术管理规范。面对网络安全的脆弱性，除在网络设计上增加安全服务功能，完善系统的安全保密措施外，还必须花大力气加强网络的安全管理。具体包括：非、网机器不允许混用；非网机器不允许运行信息，网机器不允许上非网；严格按照安全等级、安全域划分，制定相应的安全保密制度；不同安全域、安全等级之间的信息必须通过安全交换系统方可交流。只有所有接入网络的设备都安全，整个网络的安全才能得到保证。

二是明确相关人员的职责。强调以人为本，把网站安全纳入一个人人有责、层层负责、由第一责任人负总责的安全管理体制之中。主管领导负责安全体系的建设实施，在安全实施过程中取得相关部门的配合，领导整个部门不断提高系统的安全等级；网络管理员应具有丰富的网络知识和实际经验，熟悉本地网络结构，能够制定技术实施策略；安全操作员负责安全系统的具体实施；信息编辑人员负责信息采集、编辑和审核工作，确保所信息的完整性、一致性、权威性和准确性。另外，还应建立安全专家小组，负责安全问题的重大决策。

三是建立应急响应机制。从健全规范网络安全管理机构、培养网络安全管理人员和制定网络安全管理制度等方面建立应急响应机制，以保障政府门户网站正常安全运行。

四是建立信息安全检查监督和激励机制。依据已确立的技术法规、标准与制度，定期开展信息安全检查工作，确保信息安全保障工作落到实处；建立责任通报制度，对检查中发现的违规行为，按规定处罚相关责任人，对检查中发现的安全问题和隐患，明确责任部门和责任人，限期整改；建立良好的激励机制，从人才引进、培养的渐进性和连续性上优化人员结构，形成梯队，重点加强系统运行人员技能的培养力度，不断增强自我运行操作能力与应急能力。

五是做好政府门户网站信息安全培训工作。政府门户网站的运行维护，需要一支具有较高的政治素质和职业道德水准，既懂业务又懂技术的队伍。建立完善技术培训体系，使之更贴近实际业务、贴近技术前沿，提高各类人员的安全理论实践水平和安全意识。只有让每一位员工都成为安全卫士，才能实现真正意义上的全方位的安全防范。

六是合理安排信息安全建设资金。在电子政务信息项目建设上，要在项目建设前期就安排相应比例的资金用于信息安全的建设；切实落实国家信息安全建设的有关规定，保证信息安全建设资金足额到位。

七是加强信息安全设施建设。联合公安等部门，加强网络监管中心、测评认证中心、应急处理中心、病毒防治中心、数字证书认证中心等信息安全基础设施建设。

⒊积极完善政府门户网站信息安全技术防范手段

2007年9月，福建省为加强政府类互联网站的安全管理，确保网站健康有序发展，下发了《福建省人民政府办公厅关于加强我省政府类互联网站安全管理的通知》（闽政办〔2007〕182号），要求各级各单位建立健全网站安全管理制度，并贯彻落实网站安全技术措施。笔者根据实践提出以下建议：

一是加强电子政务网络的总体规划和统一建设，避免多头建设和重复建设，保证网络整体性，避免网络架构缺陷引起的安全问题。

二是统一信息安全技术标准与规范，各级政府门户网站信息安全建设都应按照这个标准和规范进行实施，以确保信息整体安全。

三是加强信息资源安全等级标准的规划和建设，明确不同信息的服务对象和公开范围。既要避免出现保密过度，限制政务信息化应用的推广和发展的情况，又要避免保密不够，造成电子政务信息泄密情况的发生。在确保信息安全的基础上，最大限度地保证信息共享。

四是在信息安全方面，既要考虑省、市级政府的信息服务对象着重于政府部门和相关的领导等的特点，又要考虑到县、区级政府及相关部门的信息服务对象着重于群众或居民的特点。

五是在技术手段上，要统筹好网络被动防御和网络主动防御的关系，确保信息的安全。网络被动防御方面可以采取防火墙、入侵检测、防病毒等技术；网络主动防御方面可以采取漏洞扫描、补丁升级和自动分发、网页防篡改、容灾备份等技术。

五、结束语

综上所述，加强政府门户网站的信息安全，必须做好信息安全的法规制度建设、建立健全安全管理体系、积极完善安全技术防范手段等三方面的工作。同时，还要处理好信息安全与网站发展辩证统一的关系：安全是前提保证，发展是最终目的，要在发展过程中确保安全，在确保安全的条件下加快发展，使政府门户网站充满生机与活力，并充分发挥其应有的社会效益，为海峡西岸经济区建设做出积极的贡献。

作者简介：

第9篇：网络安全等级保护规定范文

1.1网络升级改造引入安全新威胁

随着电信网络的全面IP化，原来互联网中才会存在的安全威胁被引入到电信网络中，如木马程序、僵尸程序、拒绝服务攻击等。在IP技术和传统电信网相融合的过程中，又出现了具有电信网特点的新安全威胁，例如利用IP技术针对电信网业务层面的攻击。

1.2移动终端的智能化存安全隐患

智能终端的接入方式多种多样、接入速度越来越宽带化，使得智能终端与通信网络的联系更加紧密。智能终端的安全性已严重威胁着电信网络和业务的安全，随着运营商全业务运营的不断深入，以前分散的业务支撑系统逐步融合集成，但核心网和业务网之间的连接通常采用直连的方式，安全防护措施相对薄弱。在智能终端处理能力不断提升的今天，如果终端经由核心网发起针对业务系统的攻击，将会带来巨大的安全威胁。另一方面，智能终端平台自身也面临着严峻的安全考验，其硬件架构缺乏完整性验证机制，导致模块容易被攻击篡改，并且模块之间的接口缺乏对机密性、完整性的保护，在此之上传递的信息容易被篡改和窃听。凭借智能终端高效的计算能力和不断扩展的网络带宽，终端本身的安全漏洞很可能转化为对运营商网络的安全威胁。

1.3安全防护体系建设相对滞后

随着云计算云服务、移动支付的引入和发展，给运营商现有的基础网络架构及其安全带来了不可预知的风险。新兴的电信增值业务规模不断扩大，用户数量不断增加，因此更易受到网络的攻击、黑客的入侵。新技术新业务在带来营收增长的同时，也带来了越来越多的安全威胁因素和越来越复杂的网络安全问题，使得运营商对新业务安全管控的难度越来越大。面对新技术新业务带来的风险，行业安全标准的制定相对滞后，现阶还不能够对威胁安全的因素做出一个全面客观的评估，因此也就谈不上制定相应的风险防范应对措施，并且业界对新领域的安全防护经验不够丰富，当出现重大威胁网络安全事件的时候，对故障的响应处理能力还有待商榷。

2电信运营商网络安全防护措施

2.1加强网络安全的维护工作

面对网络信息安全存在的挑战，基础安全维护工作是根本，运营商需要做好安全保障和防护工作，并在实践中不断加强和完善。对网络中各类系统、服务器、网络设备进行加固，定期开展安全防护检查，实现现有网络安全等级的提升。安全维护人员在日常工作中也必须按照规定严格控制网络维护设备的访问控制权限，加强网络设备账号口令及密码的管理，提高网络安全防护能力。

2.2加强新兴领域的安全建设

云计算、移动互联网等新技术新业务的发展，带来了复杂的网络信息安全问题，为了加强对新兴领域的安全管理，运营商需要从新领域安全策略的制定和安全手段的创新两方面着手。

2.2.1加强安全策略的制定

应对新技术新业务的挑战，对全网安全需要重新规划和管理，建立与之匹配的安全标准、安全策略作为行动指导，并形成对服务提供商的监控监管。在新业务规划时，安全规划要保持同步，从业务设计开始就应将安全因素植入，尽量早发现漏洞、弥补漏洞。

2.2.2加强安全手段的创新

新技术的发展让传统网络的安全系统和防御机制难以满足日益复杂的安全防护需求，需要有新的安全防御手段与之抗衡。因此集监控分析、快速处置为一体的云安全等新的技术手段就值得我们去不断研究，并进行商用部署。

2.3加强安全防护管理体系的建设

做好管理体系的建设，首先需要制定配套的规章制度。网络信息的安全，必须以行之有效的安全规章制度作保证。需明确安全管理的范围，确定安全管理的等级，把各项安全维护工作流程化、标准化，让安全管理人员和安全维护人员明确自身的职责，从而有效地实施安全防护措施和网络应急响应预案，提高运营商整体的安全防护能力。其次需要建立纵向上贯穿全国的安全支撑体系。随着网络的聚合程度越来越高，省份之间的耦合程度越来越密，全国就是一张密不可分的网。因此需建立全国一体化的、统一调度管理的安全管理支撑体系。当出现攻击时集团、省、市三级安全支撑队伍能联动起来，做到应对及时有效。

3结束语