网络安全等级保护要求精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的网络安全等级保护要求主题范文，仅供参考，欢迎阅读并收藏。

第1篇：网络安全等级保护要求范文

关键词：等级保护 信息系统 安全策略

中图分类号：TP391.41 文献标识码：A 文章编号：1007-9416（2015）12-0000-00

随着我国信息化建设的高速发展，信息技术水平的日益提高，众多单位、组织都建立了自己的信息系统，以充分利用各类网络信息资源。与此同时，各种非法入侵和盗窃、计算机病毒、拒绝服务攻击、机密数据被篡改和窃取、网络瘫痪等安全问题也时刻威胁着我国网络的安全。因此，维护网络信息安全的任务异常艰巨、繁重。信息安全等级保护制度的建立，可以有效地解决我国网络信息安全面临的威胁及存在的问题。

随着信息安全等级保护工作的深入开展，不同等级信息系统之间的互联、互通、互操作是当前研究的热点和难点，其中，如何制定有效的安全策略，确保信息在多级互联信息系统间安全流通，是亟待解决的关键问题。

1信息安全等级保护

信息安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

等级保护环境下的信息系统一般由安全计算环境、安全区域边界、安全通信网络和安全管理中心构成。其中，安全计算环境是对信息系统的信息进行存储、处理的相关部件；安全区域边界是对信息系统的各个区域之间实现连接并实施访问控制的相关部件；安全通信网络是保障信息在系统内安全传输及安全策略实施的相关部件；安全管理中心是对信息系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台。

2多级互联信息系统

我国信息安全等级保护标准将信息系统按照安全保护能力划分为五个安全等级，一些重要、大型的信息系统中可能存在多个不同等级的子系统，不同等级信息系统之间要实现可信互联，由于信任体系和运行模式不尽相同，互联互通会导致安全风险的进一步增加，尤其是低等级信息系统可能通过恶意授权给高等级信息系统带来权限失控风险。

因此，需要建立一个总体的安全管理中心，将不同安全等级的子系统连接在一起，通过协同合作，实现特定的功能服务，这就是多级互联信息系统。在多级互联信息系统中，各个子系统和互联系统本身，都需要实施信息分级分类保护，从而确保系统间的交互协作及信息流动，保障系统的安全。

本文将在信息安全等级保护的要求下，研究多级互联信息系统安全策略的制定，从而较好地解决多级互联系统的安全风险问题，确保系统安全。

3多级互联信息系统安全策略的制定

安全策略是为规范网络安全防护工作，保证网络正常使用、发挥网络效能所必须强制执行的一系列要求、规范或操作。其主要作用是针对被保护对象面临的主要威胁，围绕安全防护目标，提出网络安全防护具体要求，指导安全管理行动。确定并实施网络安全策略是对网络进行有效安全管理的基础和依据，是网络信息系统安全保障的核心和起点，是实现网络安全管理和技术措施的前提。因此，为了确保多级互联信息系统安全有效地运行，制定明确和合理的安全策略就成为了关键。

3.1指导思想

根据不同应用类别和安全等级防护目标的需求，给出安全防护策略的框架，研究制定各类网络相应的安全防护策略，并保证制定的安全策略具有较高的规范性、完备性和有效性。安全策略的制定与实施应当遵循“局部策略符合全局策略、下级策略符合上级策略”的原则。同时，随着信息技术的发展以及系统的升级、调整，安全策略也应该随之进行重新评估和制定，随时保持策略与安全目标的一致性，确保信息系统安全有效地运行。

3.2基本原则

基于以上思想，制定多级互联信息系统安全策略时应遵循以下原则：

（1）统一领导，分级负责。针对系统、数据、用户等保护对象，按照同类、同级集中的原则进行等级保护级别的划分，确定安全保护等级对应的适用范围及具体组织实施单位。（2）广域监察，局域管控。依托总体安全管理中心，建立多级互联系统广域安全监察机制，监督、检查各安全域网络节点和用户网络安全策略的配置执行情况，监测重要骨干网络流量，预警网络攻击和入侵行为，形成网络安全实时态势；在各安全域网络节点和用户网络建立局域安全管控机制，依托各级安全管理中心，对网络节点和用户网络的安全设备、主机系统的安全策略和安全事件进行集中统一管理，实现网内各类资源的可控可管，提高系统整体防护能力和维护管理效率。（3）分区分域，适度防护。根据等级保护的思想，在划分的安全域中，一方面要遵循等级保护要求，加强主动防范措施；另一方面要针对各安全域业务特点的保护强度，在不影响系统整体安全性的前提下，进一步对各域的安全策略进行设置，并确保这些策略的相对性、独立性及关联性。（4）区域自治，联防联动：各安全域根据总体安全管理中心下发的安全策略，结合自身特定的安全需求，实施本区域内的安全防护和管理。依托总体安全管理中心，建立广域网上下一体的预警响应和联防联动机制；依托各级安全管理中心，建立局域网内各安全设备之间的检测响应和联防联动机制；并在各级安全管理中心、重要骨干节点、用户网络之间建立安全事件响应和应急协调机制。

第2篇：网络安全等级保护要求范文

【关键词】网络安全 等级保护 实施方案

信息等级保护是我国践行的一项主要制度，在实践中通过对信息系统的相关重要程度与危害程度进行等级划分的形式开展保护，保障其信息的最大安全性，避免各种不同因素导致安全事故问题的产生，因此本文对具体的安全等级保护以及实施方案进行了探究分析。

1 三级安全系统模型的构建

1.1 安全计算环境的具体实施

安全计算环境就是对相关等级系统进行详细的管理，通过对相关信息的存储、处理以及安全策略的实施，掌握信息系统的核心情况。安全计算环境在其有效的区域边界安全防护之下，可以有针对性的避免各种外界网络攻击行为以及一些非授权的访问。对此，安全计算机环境的整体安全防范工作就是有计划有标准的提升系统整体安全性改造，避免出现系统因为自身的安全漏洞、系统缺陷等原因导致的攻击问题。

同时，安全计算环境自身安全防护工作的开展，主要是实现对系统内部产生的相关攻击以及非授权访问的各种各样行为进行防范与控制，避免内部人员因自身的数据以及信息处理方式导致的各种破坏行为的产生。

1.2 安全网络环境的具体实施

信息系统中的各个计算机与计算域、用户与用户域主要是通过网络进行系统的衔接，网络对不同系统之间的相关信息传输有着承载通道的主要作用。网络在应用中可以位于系统之内也可以位于系统之外，其中一些网络数据信息流，或多或少会通过或者经过一些不稳定的网络环境进行传输。对此，网络安全防护工作在实际操作过程中，首先要保障整个网络设备自身的安全性，要对设备进行定期的维护，避免其受到各种网络攻击，进而在最大程度上提升网络中信息流的整体安全健壮性，之后在此基础上逐步提升其整体通信架构的实用性、完整性以及保密性。

基于网络自身的保密要求，在应用中要使用网络加密技术与应用本身进行融合，进而实现三级保护中的相关要求。网络安全域要具有自身的网络结构安全范围，同时可以对相关网络的具体访问操作进行系统的控制，进一步提升对安全审计工作的重视，保障相关边界的完整性，避免各种网络入侵以及网络攻击问题的出现，杜绝恶意代码问题的产生，进而实现整体网络设备的有效防护与相关网络信息保护功能。

1.3 安全区域边界的具体实施

边界安全防护是指在相关信息安全系统的各种业务流程上对其进行区分与划分，是不同应用与数据内容的安全域的系统边界。一般状况之下，边界安全的防护边界与相关防御工作的开展就是通过依托于相关隔离设备与防护技术进行完成的，并且将其作为安全保护的切入点，边界防护主要实现网络隔离、地址绑定以及访问控制管理等相关功能。其主要目标是对相关边界内外部的各种攻击进行检测、告警与防御，可以有效的避免内部相关工作人员出现恶意或者无意的跨越边界造成攻击与泄露行为隐患。相关管理人员通过对相关日志的审核，可对一些违规事件进行详细的审计追踪。

1.4 安全管理中心的具体实施

安全管理中心是整个信息系统的核心安全管理系统，对于整个系统的安全机制管理有着重要的作用，作为信息系统的核心安全管理平台，是对相关信息系统不同的安全机制进行有效高效的管理，安全管理中心将相关系统中的较为分散的安全机制进行系统化的管理后，通过集中管理模式提升其整体效能与作用。

安全管理中心可以将其作为整个信息系统中与相关体系域中的整体安全计算域、相关安全用户域以及各个网络安全域等流程进行系统的进行统筹记录与分析管理，进而对其进行整体的统一调度，有效实现相关用户身份与授权、用户访问与控制、用户操作与审计的过程管理，最终达到对其存在的风险进行控制、通信架构运行情况得到实施展现于掌握，充分地凸显整体安全防护系统的内在效能与作用。

2 信息安全系统的有效实现

2.1 系统定级实现

系统定级在操作中主要涵盖了系统识别与相关描述，利用风险评估，基于相关标准对整个信息系统的实际等级标准进行确定，在通过相关部门批准之后形成一个定级报告，在此基础上最后完成相关信息系统的等级划分与具体的定级工作。

2.2 总体的安全建设规划

总体的安全建设规划主要是基于相关信息系统，承载相关业务的状况，根据风险评估数据，明确其具体结构，综合实践中存在的安全风险，结合相关系统的具体安全要求，并制定出一个具体的安全实施计划，为今后的信息系统安全建设工程的相关内容实施提供参考依据与指导。对处于一些已经开展的信息系统，要对其具体的需求进行分析，判断其整体状况与要求，明确差距后再开展工作。

2.3 安全实施

安全实施的过程就是根据信息系统的整体方案的相关要求，综合信息系统的项目建设计划与目的，分期分步的落实各项安全措施，同时将根据具体的等级需求，制定符合其对应等级的安全需求方案，对整个系统进行评估，使其满足各种不同等级的保护需求。

2.4 运行与维护工作

在系统的整体运行期间，需对全网整体的安全风险进行监控，对其变化进行分析，进而对其安全运行状况进行系统化的评估。基于具体的评估结果对整个系统中存在安全[患的架构部分进行优化设计与改造，进而制定相应的安全措施。

3 结束语

信息安全系统的实施对于网络安全等级的优化有着重要的意义，对此要提升对其工作的重视度，全面践行相关等级保护与实施方案中的各项措施，提升整体的网络安全性。

参考文献

[1]陈华智，张闻，张华磊.网络安全等级保护实施方案的实施及应用实践[J].浙江电力，2011（03）：54-57.

[2]张都乐，何淼，张洋，王照付.信息系统等级保护实施方案研究与分析[J].网络安全技术与应用，2012（08）：5-7.

[3]李洪民.浅谈网络安全等级保护信息建设方案[J].现代工业经济和信息化，2016（13）：85-87+89.

作者简介

赵晶晶（1983-），女，北京市人。工程师。硕士研究生学历。研究方向为网络安全。

第3篇：网络安全等级保护要求范文

建设财政信息的安全系统是财政管理改革发展中的要求。当下财政信息化的应用在全国各地的财政系统中正逐渐深入，覆盖了各级财政部门和面向社会公众的财政信息系统。可以说财政信息系统是各级财政系统进行信息共享的平台，目前由于大量需要保护的数据和信息存储在财政信息系统中，所以对系统中运行的安全保障提出了更高的要求。

【关键词】等级保护 财政信息系统 信息安全

在财政信息系统安全建设的过程中，由于系统复杂、数据安全的属性要求存在着差异，导致系统在不同程度上存在一定的脆弱性；在系统安全的规划和设计中由于对策略认识不够，以致风险延续到信息系统的运行和维护管理阶段。文章从我国信息安全等级体系的规范和标准着眼，对财政信息系统的安全保护等级模型进行了分析，并提出了进一步完善财政信息系统安全的措施。

1 信息安全的保护等级及其基本流程

目前信息安全技术和管理水平在不断地提升和发展，人们逐渐意识到要想保障信息系统的安全，就要不断完善信息安全管理和技术体系，构建完整的信息系统，并且为了把信息和信息系统的残留风险降低到最小级别，就要提高信息安全应急处置的能力。由于当前不同的信息和信息系统，对其安全级别的要求也不尽相同，应将管理策略、技术、工程过程等多个方面相结合，同时进行客观的综合考虑，对信息系统的安全分类需要充分运用信息安全等级保护的思想和方式。

1.1 信息系统安全保护等级

信息系统安全保护等级在《信息安全技术――信息系统安全等级保护基本要求》中划分为五个等级，信息系统安全保护等级的第一级是用户自主保护等级，用户可根据自主访问控制、身份鉴别和数据的完整性这三个条款进行判断；第二级是系统审计保护级，在第一级的基础上增加了两个条款，分别是客体重用和审计；第三级是安全标记保护级，在第二级的基础上增加了强制访问控制、标记等条款；第四级是结构化保护级，在第三级的基础上增加了可信路径和隐蔽信道分析；第五级是访问验证保护级，在第四级的基础上增加了可信恢复条款。这五个等级的基本内容以信息安全的属性为主，即网络安全、系统安全、应用安全、物理安全以及管理安全等五个方面，根据其不同要求，对安全信息系统的构建、测评和运行过程进行管理和掌控，进而实现对不同信息的类别按照不同的要求进行等级安全保护的目标，尽管不同等级的条款中有些内容是相似的，但在一定程度上仍然存在着差异，安全保护能力的要求会随着保护等级的提升而逐渐增强。

1.2 信息系统安全等级保护实施的流程

信息系统安全等级保护实施的基本流程包括五个阶段，分别是定级阶段、备案阶段、测评阶段、整改阶段、运行和维护阶段。其中等级保护工作的基本前提是系统划分和定级工作，定级工作必须要首先确定，否则后面的工作将会无从做起；备案阶段中，当专家评审与自定级不同时，要重新定级，才能够进行备案工作；测评阶段中指定的第三方测评机构必须是权威机构，需要公正公平地对系统进行测评；整改和复测阶段中对于整改的项目要通过等级保护测评和风险评估的方法进行分析。等级保护工作要随着信息系统建设的变化和发展而做出不断循环的工作。

2 财政信息系统的等级保护

2.1 财政信息系统安全的架构

在财政信息系统安全的架构模式中，既包含计算机网络通信和环境平台、又有多种相关的业务平台，并且这些应用的安全等级各不相同，所以采取的安全保护策略也有所不同。财政信息系统规模大、系统复杂，按照系统的功能可以分为核心数据中心、采购管理、预算管理、业务门户网站等多个子系统，要按照业务应用数据的不同性质进行不同安全等级的保护。总之要根据财政信息系统的实际情况，构建一个相对完善的财政信息系统模型。

2.2 财政信息系统安全的等级区域的划分

财政信息系统安全等级保护要根据系统的特点和性质进行不同区域的安全划分，以实现不同强度下的安全保护。针对财政信息系统中不同子系统的实际情况，可以将财政信息网络划分为不同的安全保密等级区域，分别为业务核心区，办公用户区域、专线用户区域、内部网与互联网信息交换的区域等。

3 财政信息系统的等级的保护措施

在财政信息系统安全等级保护的建设工作中，目前采取内网与外网物理隔离的方式，从物理上把财政业务中各个子系统与对外服务区进行划分，分别划分到不同的子网，在财政业务的防火墙上可以设置权限为允许的策略，源地址是内部桌面，目的地址是业务服务器，对于其他服务的子系统，同样需要防火墙进行隔离，使各子系统都有充分的隔离和清晰的界限，同时可以配置漏洞扫描设备的检测设备，不定期对各个服务器进行扫描。

数据备份能够进一步保障财政信息系统的安全，在财政信息系统应用中需要配备存储备份设备以实现数据自动备份，一旦系统出现故障，通过数据备份即可恢复。为了进一步支持财政信息系统的稳步运行，可建立一个异地财政信息数据备份中心，以防财政信息系统发生灾难性故障时实现异地远程恢复的功能。

在财政信息系统安全保障体系建立的过程中，要严格依照等级保护下的安全管理制度、系统建设制度和相关财政系信息管理的法律及标准，在建立完善的网络安全管理机制的同时明确管理人员的职责。

4 结论

综上所述，文章从我国信息安全等级体系的规范和标准着眼，对财政信息系统的安全保护等级模型进行了分析，并提出了进一步完善财政信息系统安全的有效措施。在财政信息建设的过程中，设计出一个科学合理、全面的信息安全解决方案是一个关键的任务，要从我国信息安全等级体系的规范和标准着眼，对财政信息系统安全保障的体系进行深入的探讨，以达到切实保护财政信息系统安全的目的。

参考文献

[1]龚雷.应用安全透明支撑平台体系结构与模型研究[D].郑州：信息工程大学，2013.

[2]王会.基于等级保护的党校网络安全体系的研究与应用[D].广州：中山大学，2012.

[3]刘莎莎.NN市委办政务信息系统安全等级保护策略研究[D].南宁：广西大学，2012.

[4]高朝勤.信息系统等级保护中的多级安全技术研究[D].北京：北京工业大学，2012.

第4篇：网络安全等级保护要求范文

1 厦门港集装箱智慧物流平台概述

厦门港集装箱智慧物流平台是厦门港务控股集团有限公司为适应港口物流业转型升级的需要，利用移动互联网、物联网等技术，以打造港口物流数字化、智能化生态系统，实现物流信息的高效、便捷共享为目的所建立的集装箱物流信息服务平台。该平台以一次录入、全流程共享为特色，集合全港集装箱进出口流程，涵盖货代、船代、堆场、集卡、码头以及“一关三检”等各节点的有效数据，实现集装箱设备交接的电子化、智能化，并支持集卡运输企业对集卡的指挥、调度功能。

厦门港集装箱智慧物流平台的主要功能如下：（1）报文平台功能，连接船代、车队、堆场、码头各方，实现集装箱设备交接单数据的实时共享；（2）接口平台功能，向堆场、车队、码头提供统一的数据接口，对接信息化管理下的堆场、车队和码头，实现各环节物流信息的实时更新；（3）互联网平台功能，实现车队、集卡、司机信息备案管理，为车队提供调度派单功能，为堆场提供数据更新功能，为码头提供数据查询、统计分析等功能；（4）移动应用平台功能，开发支持Android和iOS系统的手机应用程序，为车队提供手机派单、查询追踪等功能，为司机提供手机接单、预约等功能，为堆场提供拍照验箱功能，并为用户提供数据查询服务。

2 厦门港集装箱智慧物流平台安全策略

规划

（1）管理安全 管理安全是安全策略中十分重要的环节。管理安全策略涉及安全组织机构、安全管理制度、安全培训、安全意识教育等，以实现对维护人员、技术支持人员、管理人员、开发人员的权限控制、口令保密、审计跟踪等安全管控为目标。

（2）物理安全 物理安全涉及基础设施、环境、设备、电磁屏蔽等方面的安全控制，为平台部署提供防灾、防震、防干扰、防辐射等物理安全保障以及双机热备、链路冗余等安全策略规划。

（3）网络安全 网络安全包括内外网区域隔离、不同网段应用访问控制或隔离、虚拟专用网络登录、链路均衡负载、防火墙、防篡改等网络安全策略。

（4）系统安全 保障操作系统和数据库安全，定期扫描发现并修复漏洞和隐患，关闭不必要的服务、端口、协议等。

（5）应用安全 确保集装箱智慧物流平台的各项应用功能连续、可靠运行，支持功能模块扩展、用户扩容需要，使平台升级更新不影响正常业务运行。

（6）运营安全 对集装箱智慧物流平台实施动态保护，并在系统运行中实现信息和数据的恢复；采用上网行为控制、网络管理、防病毒、入侵防护、抗拒绝服务等手段监控网络运行及流量；制订应急计划和策略，实现突发事件的异地备份和恢复。

（7）密钥安全 密钥管理处理密钥自产生到最终销毁整个过程中的所有问题，包括系统初始化以及密钥的产生、存储、备份（或装入）、分配、保护、更新、控制、丢失、吊销和销毁等。通过制定密钥管理制度，对密钥实施完整而周密的管理。

（8）数据和信息安全 通过数据库审计等手段对数据的访问活动进行跟踪记录，确保数据的完整性、保密性、可用性和不可否认性，涉及数据加密、完整性校验、数据备份、数字签名等。

3 厦门港集装箱智慧物流平台安全策略的

实施情况

3.1 建设互为灾备的高可靠性绿色节能双机房

在厦门岛内和岛外分别选址建设B类标准整体机房（见图1），实现区域中心机房的互为灾备和恢复。主机房采用先进、节能、高效、集约的密封冷通道模块化架构设计，部署安防监控、泄露检测、消防报警、自动灭火和场地监控等系统，保证机房的温度、湿度、洁净度、照度、防静电、防干扰、防震动、防雷电、实时监控等，以确保计算机设备安全、可靠运行，延长计算机系统使用寿命。

3.2 部署安全防护体系

如图2所示：分别接入电信、联通、移动等运营商宽带，通过负载均衡设备实现链路冗余；部署防篡改、抗拒绝服务、防病毒、防火墙、入侵防护等安全防护系统；通过上网行为控制设备规范上网行为，由网络管理软件监控设备运行状况，由堡垒机监控技术人员操作行为，由数据库审计保障数据安全，形成强大的安全防护堡垒。

3.3 制定安全管理制度

安全管理制度涉及中心机房管理制度、网络管理制度、信息系统建设管理办法、信息系统运维管理办法、信息安全处理预案等。在制定安全管理制度的基础上，严格按照制度定期检查、落整改和定期演练，并及时跟踪机房运行状况，每月编制运行报告。

3.4 开展信息安全等级保护工作

信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查等内容。一般情况下，委托有资质的第三方机构确定信息安全保护等级。根据平台的业务信息和系统服务描述、系统服务受到破坏时所侵害客体以及系统服务受到破坏后对侵害客体的侵害程度，按照GB 17859D1999《计算机信息系统安全保护等级划分准则》和GB/T 22240D2008《信息安全技术信息系统安全等级保护定级指南》等，确定厦门港集装箱智慧物流平台的业务信息安全等级和系统服务安全等级均为第二级，最终确定其安全保护等级为第二级。确定保护等级后，按照规定，向公安机关备案。在等级测评过程中，对测评发现的问题及时加以整改，确保信息平台安全防护满足要求。

4 结束语

第5篇：网络安全等级保护要求范文

关键词：企业；网络安全防护；网络管理

中图分类号：TP393.08 文献标识码：A文章编号：1007-9599 (2010) 16-0000-02

The Construction of Enterprise Computer Network Security Protection System

Zhang Xu

(Xi'an Xianyang International Airport Co.,Ltd.,Xianyang 712035,China)

Abstract:With the development of network technology and the falling cost of network products,computer network has been in daily operation of enterprises play an increasingly important role.From e-commerce to e-mail, to the most basic file sharing,network communication,a good network system to improve efficiency,strengthen internal cooperation and communication between enterprise and outside to deal with customer demands have played a key role;However,a problem can not be ignored because of the vulnerability of the network itself,resulting in the existence of network security issues.This article illustrates the importance of enterprise network security,analysis of network threats facing enterprises,from the technical architecture and network management proposed appropriate network security policies.

Keywords:Enterprise;Network security protection;Network management

一、企业网络安全的重要性

在信息社会中，信息具有和能源、物源同等的价值，在某些时候甚至具有更高的价值。具有价值的信息必然存在安全性的问题，对于企业更是如此。例如：在竞争激烈的市场经济驱动下，每个企业对于原料配额、生产技术、经营决策等信息，在特定的地点和业务范围内都具有保密的要求，一旦这些机密被泄漏，不仅会给企业，甚至也会给国家造成严重的经济损失。

二、企业网络安全风险分析

网络安全涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性应用，企业网络安全也不例外。企业网络安全的本质是保证在安全期内，网络上流动或者静态存放的信息不被非法用户访问，而合法授权用户可以正常访问。企业网络安全的目标是保障信息资产的机密性、完整性和可用性。通过对企业网络现状分析，并与资产的机密性、完整性和可用性的要求比较，我们总结出企业主要面临的安全威胁和问题主要体现在以下几个方面。

（一）网络物理安全风险分析

地震、水灾、火灾等环境事故会造成整个系统毁灭；电源故障会导致设备断电以至操作系统引导失败或数据库信息丢失；设备被盗、被毁造成数据丢失或信息泄漏；电磁辐射可能造成数据信息被窃取或偷阅。

（二）网络边界安全风险分析

网络的边界是指两个不同安全级别的网络的接入处。对于骨干网来说，网络边界主要存在于Internet和出口外部网络的连接处，内部网络中办公系统和业务系统之间以及内部网络之间也存在不同安全级别子网的安全边界。如果没有采取一定的安全防护措施，内部网络容易遭到来自外网一些不怀好意的入侵者的攻击。

（三）应用服务系统安全风险分析

目前使用的操作系统主要包括Windows、UNIX操作系统，应用系统主要通过外购、自行开发的系统，这些系统可能存在着“Back-Door”或安全漏洞。这些“后门”或安全漏洞都将存在重大安全隐患。

（四）网络内部安全风险分析

网络安全攻击事件70%是来自内部网络；通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径使病毒程序潜入内部网络；而网络是病毒传播的最好、最快的途径之一；内网客户端一旦感染病毒就很容易对整个网络造成危害；所以内网客户端的病毒防护和补丁管理等是网络安全管理的重点。

（五）网络管理的安全风险分析

在网络安全中，安全策略和管理扮演着极其重要的角色，如果没有制定有效的安全策略，没有进行严格的安全管理制度来控制整个网络的运行，那么这个网络就很可能处在一种混乱的状态。再者就是安全管理意识不强。企业管理层重视程度不够，认为花钱就能解决问题，盲目追求先进，甚至打算一步到位。

三、企业计算机网络安全体系的建构

企业中计算机网络安全防护体系的构建应该依据以下步骤：应用分析划分适当的安全域风险分析以《计算机信息系统安全等级划分准则》为依据，确定相应的安全等级以安全保护（PDRR）模型为指导，以保护信息的安全为目标，以计算机安全技术、加密技术和安全管理等为方法进行分层保护构建整体的安全保护保障体系。

（一）应用分析

应用分析，应该包括二个方面，一是用途分析；二是对信息网络上的信息资产进行分析。不同的应用，信息资产也是不同的，存在的安全问题也肯定是不同的。试想一个单纯的接人互联网的信息网络（如网吧）与政府的办公网络的安全问题会一样吗?实际上，在同一个信息网络上，流动的信息也是不一样的，它们安全性的要求当然也是不同的。

（二）风险分析

在进行了应用分析的基础上，应该对某一用途，或某一级别或类别的信息，或某一安全域进行风险分析。这种分析可用一个二维的表格来实现。首先确定某一信息类别，或一个安全域，以可能发生的风险为X轴，对应于每一个风险，应该有3个参数填入到表格中，一个是该风险发生的概率，另一个是该类信息对该风险的容忍程度，再一个是该风险可能发生的频率。事件发生的概率，目前可能很难给出量化值，可以给出一个等级标准，如不易发生，易发生和极易发生，而容忍度也只能给出等级，如无所谓、可以容忍，不能容忍和绝对不能容忍等。实际上我们在风险分析时，可以将风险列得更细些，更全面些。对一个与互联网没有物理联结的内部网络来说，通过互联网发生的人侵，发生的病毒灾害应该是不易发生的是小概率事件，而对于一个网站来说，这二者且是极易发生的事件。

（三）确定安全等级

在对信息分级和分类基础上，应该依据《计算机信息系统安全等级划分准则》（国标17859）确定相应的安全保护等级。《准则》给出了五个等级标准，每个标准等级都相应的要求。笔者认为不一定完全的套用某一个级别，可以根据风险分析的结果，与准则中的要求进行一定的对应，确定准则中的某一个级别，或以一个级别为基础，在某些方面可做加强，而在另一些方面可以相对减弱。再次强调，保护应该是信息分级为基础，对于不同级别的信息保护强度是不一样，不同等级信息，最好在不同的安全域中加以保护。这样不需要保护的信息就可以不加保护，而需要加强保护的信息，就可以采取相对强度较高的保护措施。但这种保护，必须兼顾到应用，不能因为保护而造成系统的应用障碍不过为了安全牺牲掉一些应用的方便性也是必要的。

（四）分层保护问题

确定了安全级别之后，在风险分析的基础上，应该以计算机安全保护（PDRR）模型为指导，以《计算机信息系统安全等级划分准则》的依据，以计算机技术、计算机安全保护技术、保密技术和安全管理等为保护手段，以信息的机密性、完整性、可控性、可审计性、可用性和不可否认性等为安全为保护目标，分层分析和制定保护措施。所谓分层保护，就是要把所列出的那些较为容易发生，且又不能容忍的风险，分解到各个层面上，然后利用计算机技术、计算机安全保护技术、加密技术和安全管理手段尽量的按一定的强度加以保护，以规避相应的风险。如信息抵赖的风险，应该发生在用户层面，可以用对用户的身份认证技术来解决这样的风险。火灾、水灾都应该在物理层面上加以保护。许多风险可能是对应于多个层面，那就应该在多个层面上加以保护，如信息泄露，在所有的层面上都会发生，那就应该在所有的层面加以保护。

（五）构建完整的保障体系

对信息网络进行了分层次的安全保护，好像我们的任务就已经完成了，实际上则不然。信息网络是一个整体，对它的保护也应该是一个整体。首先，在进行分层保护的策略制定以后，首先应该在整体上进行评估，特别是结合部安全是还存在着问题。如，通过数据库可以获得系统的超级用户权限。其次，我们是以不同的信息资产或不同的安全域来进行分层保护的，而不是整个网络。此时我们应该对不同的信息资产或不同的安全域的分层保护方案进行比较和综合并进行适当的调整，考虑信息网络整体的保护方案。第三是应该选择适当的安全产品或安全技术。在安全产品的选择上即要考虑产品本身的先进性，还应该考虑安全产品本身的成熟性，对一些非常重要的信息网络，不要第一个去吃螃蟹。最后还应该考虑对网络中的安全产品实现统一的动态管理和联动，使之能成为一个动态的防范体系，成为一个有机的整体。动态管理应该考虑，安全策略发生错误和失效的修改，以及对安全产品失效的对策，应该有预案。联动，就是使所有使用的安全产品，在发生安全事件时，能够成为一个防范的整体。整体的安全体系的建立，还应该对安全的措施成本进行核算，国外的信息网络在安全方面的投人可达到系统建设费用的15%-30%，这个费用标准我们可以用来参考。核算措施成本后，还应该对成本效益进行评估，对于保护费用与效益在同一数量级上的花费，则应该考虑是否有必要进行这样的保护。

四、结束语

技术与管理相结合，是构建计算机网络信息系统安全保密体系应该把握的核心原则。为了增强计算机网络信息系统和计算机网络信息系统网络的综合安全保密能力，重点应该在健全组织体系、管理体系、服务体系和制度（技术标准及规范）体系的基础上，规范数据备份、密钥管理、访问授权、风险控制、身份认证、应急响应、系统及应用安全等管理方案，努力提高系统漏洞扫描、计算机网络信息系统内容监控、安全风险评估、入侵事件检测、病毒预防治理、系统安全审计、网络边界防护等方面的技术水平。

参考文献：

第6篇：网络安全等级保护要求范文

1.1国家卫生部文件

文件明确规定了信息安全等级保护工作的工作目标、工作原则、工作机制、工作任务、工作要求，工作任务别强调了“三级甲等医院的核心业务信息系统”应进行定级备案。

1.2浙江省卫生厅文件

为加强医疗卫生行业信息安全管理，提高信息安全意识，以信息安全等级保护标准促进全行业的信息安全工作，提高全省卫生系统信息安全保护与信息安全技术水平，强化信息安全的重要性。2011年6月7日，浙江省卫生厅和浙江省公安厅联合下发《关于做好全省医疗卫生行业重要信息系统信息安全等级保护工作的通知》（浙卫发〔2011〕131号），并一同下发了《浙江省医疗卫生行业信息安全等级保护工作实施方案》和《浙江省卫生行业信息系统安全等级保护定级工作指导意见》。为进一步指导我省卫生行业单位开展信息安全等级保持工作，浙江省卫生信息中心于2012年4月6日下发了《关于印发<浙江省卫生行业信息安全等级保护工作指导意见细则>的函》。上述文件详细规定了工作目标、工作流程和工作进度，并明确了医疗卫生单位重要信息系统的划分和定级，具有很强的指导性和操作性。

2医院信息安全等级保护

依据上述行业文件要求，全省医院重要信息系统信息安全等级保护工作由省卫生厅和各级卫生局、公安局分级负责，按照系统定级、系统备案、等级测评、安全整改[1]四个工作步骤实施。

2.1系统定级

2.1.1确定对象

我省医院信息化发展较早，各类系统比较完善，但数量繁多。将出现多达几十甚至上百个定级对象的状况，这与要求重点保护、控制建设成本、优化资源配置[2]的原则相违背，不利于医院重要信息系统开展信息安全等级保护工作。依据《计算机信息系统安全保护等级划分准则（GB17859-1999）》等标准，结合我省医院信息化现状及发展需要，经卫生信息化专家和信息安全专家多次论证，本着突出重点、按类归并、相对独立、节约费用的原则，从系统管理、业务使用者、系统服务对象和运行环境等多方面综合考虑，把医院信息系统划分为以下几类，如表1所示。

2.1.2等级评定

医院重要信息系统的信息安全和系统服务应用被破坏时，产生的危害主要涉及公民的个人隐私、就医权利及合法权益，对社会秩序和公共利益的损害属于“损害”或“严重损害”程度。参考《信息安全等级保护管理办法》及省卫生信息中心指导意见细则要求[3]，即属于“第二级”或“第三级”范畴。因此医院信息系统对信息安全防护和服务能力保护的要求较高，结合业务服务及系统应用范畴，实行保护重点、以点带面原则，参考定级如表2所示。

2.2系统定级备案

省卫生厅及省级医疗卫生单位信息系统、全省统一联网或跨市联网运行的信息系统由省公安厅受理备案；各市卫生局及其下属单位、辖区内医院信息系统由属地公安机关受理备案。各市卫生局应将辖区内医疗卫生单位备案汇总情况和《信息系统安全等级保护备案表》等材料以电子文件形式向省卫生厅报备。定级备案流程示意图如图1所示。

2.3等级保护测评

医院重要信息系统完成定级备案后，应依据《浙江省信息安全等级保护工作协调小组关于公布信息安全等级报测评机构的通知》（浙等保〔2010〕9号）选择浙江省信息安全等级保护工作协调小组办公室推荐的等级测评机构，启动等级测评工作，结合所属等级要求对系统进行逐项测评。通过对医院系统进行查验、访谈、现场测试等方式收集相关信息，详细了解信息安全保护现状，分析所收集的资料和数据，查找发现医院重要信息系统漏洞和安全隐患，针对测评报告结果进行分析反馈、沟通协商，明确等级保护整改工作目标、整改流程及注意事项，共同制定等级保护整改建议方案用于指导后续整改工作。对第二级以上的信息系统要定期开展等级测评。信息系统测评后，医院应及时将测评机构出具的《信息系统等级测评报告》向所属地公安机关报备。

2.4等级保护规划建设整改

根据《信息系统安全等级保护实施指南》及省实施方案，结合医院信息系统的安全需求分析，判断安全保护现状，设计合理的、满足等级保护要求的总体安全方案，并制定出安全实施规划[4]等，用以指导信息系统安全建设工程实施。引进第三方安全技术服务商，协助完成系统安全规划、建设及整改工作。建设，整改实施过程中按照详细设计方案，设置安全产品采购、安全控制开发与集成、机构和人员配置、安全管理制度建设、人员安全技能培训等环节[5]，将规划设计阶段的安全方针和策略，切实落实到医院系统的信息安全规划、建设、评估、运行和维护等各个环节。其核心是根据系统的实际信息安全需求、业务特点及应用重点，并结合医院自身信息安全建设的实际需求，建设一套全面保护、重点突出、持续运行的安全保障体系，确保医院系统的信息安全。等级保护工程及管理体系建设整改流程如图2所示。

3医院重要信息系统安全等级保护成效

各级医院按照国家有关信息安全等级保护政策、标准，结合卫生行业政策和要求，全面落实信息系统信息安全等级保护工作，保障信息系统安全可靠运行，提高安全管理运维水平。

3.1明确系统安全保护目标

通过推行各级医院信息安全等级保护工作，梳理卫生信息系统资产、网络边界、网络安全设备部署及运行状况。根据系统风险评估、危害的覆盖范围及影响性判定安全等级，从而根据标准全面、系统、深入地掌握系统潜在的风险隐患，安全漏洞。明确需要重点保护的应用系统及信息资产，提出行之有效的保护措施，有针对性地提高保护等级，实现重点目标重点保护。

3.2建立安全管理保障体系

安全管理保障体系是开展信息安全工作的保障，指导落实各项安全指标要求。信息安全等级保护基本要求中明确要求加强主管及安全责任部门领导，配备信息安全专员督导安全检查、维护、培训工作。建立健全信息安全管理保障制度体系，包括机房安全管理制度、人员安全管理制度、运维安全管理规范。建立行之有效的安全应急响应预案及常规化的信息安全培训及预防演练，形成长期的安全风险管控机制。

3.3加强安全意识和管理能力

通过落实等级保护制度的各项要求，认识安全意识在信息安全工作中的重要性和必要性，调动安全保护的自觉主动性，加大安全保护的资金投入力度，优化安全管理资源及策略，主动提升安全保护能力。同时重视常规化的信息安全管理教育和培训，强化安全管理员和责任人的安全意识，提高风险分析和安全性评估等能力，信息系统安全整体管理水平将得到提高。

3.4强化安全保护技术实施

医院开展信息安全等级保护工作可加深分级、分域的纵深防御理念，进一步结合终端安全、身份认证、网络安全、容灾技术，建立统一的安全监控平台和安全运行中心。根据测评报告及建设整改建议，增强对应用系统的授权访问，终端计算机的安全控制，网络流量的异常监控，业务与数据安全保障，恶意软件和攻击行为的防御、发现及阻击等功能，深层次提高抵御外部和内部信息安全威胁的能力。

3.5优化第三方技术服务

与安全技术服务机构建立长期稳定的合作关系，引进并优化第三方技术资源，搭建安全保护技术的学习桥梁与交流平台。在安全技术与管理方面加固信息安全防护措施，完善信息安全管理制度，同时通过安全技术管理培训强化医院工作人员信息安全保护意识，提高信息安全队伍的技术与管理水平，共同为医院系统信息化建设的快速发展保驾护航。总之，医院开展信息安全等级保护工作将有效提高医院信息化建设的整体水平，有利于医院信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调；有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务；有利于优化信息安全资源的配置，重点保障基础信息网络、个人隐私、医疗资源和社会公共卫生等方面的重要信息系统的安全[6]。

4结束语

第7篇：网络安全等级保护要求范文

此次大会由杭州市人民政府、中国网络空间安全协会、浙江省网信办、浙江省公安厅、浙江省经信委、云栖大会组委会指导，中国信息产业商会信息安全产业分会、阿里云计算有限公司、杭州安恒信息技术有限公司主办，浙江省计算机信息系统安全协会、杭州市网络安全协会、北京洋浦伟业科技发展有限公司、飞塔信息科技（北京）有限公司、北京元支点信息安全技术有限公司、北京珊瑚灵御科技有限公司协办。

本届大会以“安若磐石，云之所栖”为主题，以全新的国际视野，洞悉全球云安全发展趋势；围绕“中国网络安全创新分享”这一主题，共同研讨探索适应我国国情的网络安全发展的道路，共商凝聚共识，整合资源的网络安全创新新模式。

大会由公安部第一研究所原所长、计算机安全专委会主任严明主持，并宣读了杭州市委副书记、市政府党组书记、市长张鸿铭对大会发来的贺信。参加本次大会的致辞和重要演讲的嘉宾有，中央网信办网络安全协调局副局长胡啸，浙江省公安厅副厅长石小忠，浙江省经信委总工程师厉敏，中国信息产业商会信息安全产业分会理事长朱胜涛，公安部网络安全保卫局总工程师郭启全，国家信息中心专家委员会副主任、国家信息化专家咨询委员会委员宁家骏等领导和专家。另外，来自全国各地政府机构、公安部门、信息安全科研单位、央企、金融、运营商、互联网、军工各行业信息安全决策人员、信息安全主管、CIO、媒体等1500余人出席了本次大会。

专家论道产业安全

郭启全总工在演讲“加强创新和能力协同 全力保卫国家关键信息基础设施安全”中提到，国家对网络安全提出了新的要求，首先就是要健全和完善国家信息安全等级保护制度，强化关键信息基础设施保护。《网络安全法（草案）》中也提出明确要求，国家实施网络安全等级保护制度。

等级保护在网络安全保障、网络强国建设方面起着至关重要的作用。基础信息网络与重要信息系统面临着日益严峻的威胁与挑战。

为适应新技术的发展，解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要，从2014年3月开始，由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作，等级保护正式进入了2.0时代。

全新的《网络安全等级保护基本要求》涵盖了6个部分的内容：安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制安全扩展要求以及大数据安全扩展要求。

宁家骏指出，开展关键信息基础设施网络安全检查至关重要，安全检查是从涉及国计民生的关键业务入手，理清可能影响关键业务运转的信息系统和工业控制系统，准确掌握关键信息基础设施的安全状况，科学评估面临的网络安全风险，以查促管、以查促防、以查促改、以查促建，同时为构建关键信息基础设施安全保障体系提供基础性数据和参考。

他建议，充分借鉴国外关键基础设施网络安全保护相关法律，分析我国现有立法的不足和主要问题，抓紧建立我国关键基础设施网络安全法律体系，从法律层面明确关键基础设施的定义和范围、界定政府部门的职责、规范运营者何所有者的运营资质要求。同时通过关键基础设施网络安全态势感知、积极稳妥推动关键基础设施相关产品的国产替代、开展安全检查评测督促关键基础设施运营单位加强管理等方案促进我国关键基础设施网络安全与信息化的大发展。

聚焦G20杭州峰会安保

安恒信息CSO刘志乐在演讲中表示，杭州安恒信息技术有限公司作为本次大会网络安保和应急支撑工作的主要技术支撑单位，历经近360天精心准备、投入309位技术骨干参与到G20峰会网络安保任务。通过企业自主知识产权的最新大数据态势感知系统及应急处置工具箱、工控检查工具箱等二十多种产品平台，为G20峰会网络安保构建了全网全程网络安保和应急支撑监测体系、防御体系和服务体系，经过G20峰会全程考验，安恒信息圆满完成为本次峰会相关重要信息系统、关键基础设施、省市两级重要信息系统提供网络安全保障的安保任务。

安恒信息网络安保团队以远程和现场人员安全检测，结合部署基于云与大数据技术的远程安全监测、大会系统现场各重要驻点安全值守、会议安保指挥中心四方互联，多地支撑的形式，为大会召开保驾护航。他以本次峰会核心信息系统为例介绍道，安恒信息安保团队共发现高危以上漏洞438个，共拦截3300万次攻击。经风暴中心分析，攻击来自于41个国家和地区。

DT时代的云计算安全

阿里云安全资深总监肖力表示，云计算时代所面临的安全挑战并不比传统安全所面临的问题要少，甚至于相较之下更加复杂。通过10多年在安全领域的积累，阿里云建立了一支全球顶级的云计算安全团队，有完善的基础设施，并且有更快的安全应急时间，能及时发现高危的安全漏洞信息，用最短时间修复，帮助用户应对安全问题。

据普华永道统计，目前69%的企业正在使用基于云的安全服务，阿里云保护云上37%的数百万的网站，每天防御8亿次各类攻击，每天识别并防御35000个恶意IP，每天防御2000次DDoS攻击。安全从来就不是云平台、用户或者安全厂商某一方的单打独斗。云计算厂商需要建立强大的生态让用户个性化的安全需求能够快速有效的解决，云上客户需要与SaaS服务商和安全厂商的虚拟化产品协同作战，目前阿里云安全生态市场已有包括安恒信息在内的79家生态厂商、168款安全产品。

阿里云首席安全研究员、云盾负责人吴翰清在大会上首次了“阿里云云盾混合云解决方案”，混合云解决方案由阿里云安全团队与数梦工场联合开发、交付，支持公共云、专有云、线下IDC全场景覆盖，让企业拥有与阿里云一样的世界级安全能力与体验效果：包括安全态势感知大屏、海量宽带和快速扩容、大数据安全分析、威胁情报支持和0DAY快速反应能力。

模块化是混合云云盾解决方案的一大体验亮点。阿里云云盾的安全能力和服务，用“可插拔”的模式，模块化输入。用户可以按需购买，按需启用，解决以往线下解决方案不灵活、投入大的缺点。

安恒密盾2.0

安恒密盾安全产品经理杨锦峰做题为“打造你的钉钉移动应用安全之路（密盾2.0）”的演讲。

第8篇：网络安全等级保护要求范文

关键词:电子政务信息安全

0引言

随着电子政务不断推进，社会各阶层对电子政务的依赖程度越来越高，信息安全的重要性日益突出，在电子政务的信息安全管理问题中，基于现实特点的电子政务信息安全体系设计和风险评估[1]模型是突出的热点和难点问题。本文试图就这两个问题给出分析和建议。

1电子政务信息安全的总体要求

随着电子政务应用的不断深入，信息安全问题日益凸显，为了高效安全的进行电子政务，迫切需要搞好信息安全保障工作。电子政务系统采取的网络安全措施[2][3]不仅要保证业务与办公系统和网络的稳定运行，另一方面要保护运行在内部网上的敏感数据与信息的安全，因此应充分保证以下几点：

1.1基础设施的可用性：运行于内部专网的各主机、数据库、应用服务器系统的安全运行十分关键，网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。

1.2数据机密性：对于内部网络，保密数据的泄密将直接带来政府机构以及国家利益的损失。网络安全系统应保证内网机密信息在存储与传输时的保密性。

1.3网络域的可控性:电子政务的网络应该处于严格的控制之下，只有经过认证的设备可以访问网络，并且能明确地限定其访问范围，这对于电子政务的网络安全十分重要。

1.4数据备份与容灾:任何的安全措施都无法保证数据万无一失，硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此，在电子政务安全体系中必须包括数据的容灾与备份，并且最好是异地备份。

2电子政务信息安全体系模型设计

完整的电子政务安全保障体系从技术层面上来讲，必须建立在一个强大的技术支撑平台之上，同时具有完备的安全管理机制，并针对物理安全，数据存储安全，数据传输安全和应用安全制定完善的安全策略

在技术支撑平台方面，核心是要解决好权限控制问题。为了解决授权访问的问题，通常是将基于公钥证书（PKC）的PKI（PublicKeyInfrastructure）与基于属性证书（AC）的PMI（PrivilegeManagementInfrastructure)结合起来进行安全性设计，然而由于一个终端用户可以有许多权限，许多用户也可能有相同的权限集，这些权限都必须写入属性证书的属性中，这样就增加了属性证书的复杂性和存储空间，从而也增加了属性证书的颁发和验证的复杂度。为了解决这个问题，作者建议根据X.509标准建立基于角色PMI的电子政务安全模型。该模型由客户端、验证服务器、应用服务器、资源数据库和LDAP目录服务器等实体组成，在该模型中：

2.1终端用户：向验证服务器发送请求和证书，并与服务器双向验证。

2.2验证服务器：由身份认证模块和授权验证模块组成提供身份认证和访问控制，是安全模型的关键部分。

2.3应用服务器：与资源数据库连接，根据验证通过的用户请求，对资源数据库的数据进行处理，并把处理结果通过验证服务器返回给用户以响应用户请求。

2.4LDAP目录服务器：该模型中采用两个LDAP目录服务器，一个存放公钥证书（PKC）和公钥证书吊销列表（CRL），另一个LDAP目录服务器存放角色指派和角色规范属性证书以及属性吊销列表ACRL。

安全管理策略也是电子政务安全体系的重要组成部分。安全的核心实际上是管理，安全技术实际上只是实现管理的一种手段，再好的技术手段都必须配合合理的制度才能发挥作用。需要制订的制度包括安全行政管理和安全技术管理。安全行政管理应包括组织机构和责任制度等的制定和落实；安全技术管理的内容包括对硬件实体和软件系统、密钥的管理。

3电子政务信息安全管理体系中的风险评估

电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度。等级保护工作的要点是对电子政务系统进行风险分析，构建电子政务系统的风险因素集。

3.1信息系统的安全定级信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。对电子政务的五个安全等级定义，结合系统面临的风险、系统特定安全保护要求和成本开销等因素，采取相应的安全保护措施以保障信息和信息系统的安全。

3.2采用全面的风险评估办法风险评估具有不同的方法。在ISO/IECTR13335-3《信息技术IT安全管理指南:IT安全管理技术》中描述了风险评估方法的例子，其他文献，例如NISTSP800-30、AS/NZS4360等也介绍了风险评估的步骤及方法，另外，一些组织还提出了自己的风险评估工具，例如OCTAVE、CRAMM等。

电子政务信息安全建设中采用的风险评估方法可以参考ISO17799、OCTAVE、CSE、《信息安全风险评估指南》等标准和指南，从资产评估、威胁评估、脆弱性评估、安全措施有效性评估四个方面建立风险评估模型。其中，资产的评估主要是对资产进行相对估价，其估价准则依赖于对其影响的分析，主要从保密性、完整性、可用性三方面进行影响分析;威胁评估是对资产所受威胁发生可能性的评估，主要从威胁的能力和动机两个方面进行分析;脆弱性评估是对资产脆弱程度的评估，主要从脆弱性被利用的难易程度、被成功利用后的严重性两方面进行分析;安全措施有效性评估是对保障措施的有效性进行的评估活动，主要对安全措施防范威胁、减少脆弱性的有效状况进行分析;安全风险评估就是通过综合分析评估后的资产信息、威胁信息、脆弱性信息、安全措施信息，最终生成风险信息。

在确定风险评估方法后，还应确定接受风险的准则，识别可接受的风险级别。

4结语

电子政务与传统政务相比有显著区别，包括:办公手段不同，信息资源的数字化和信息交换的网络化是电子政务与传统政务的最显著区别;行政业务流程不同，实现行政业务流程的集约化、标准化和高效化是电子政务的核心;与公众沟通方式不同，直接与公众沟通是实施电子政务的目的之一，也是与传统政务的重要区别。在电子政务的信息安全管理中，要抓住其特点，从技术、管理、策略角度设计完整的信息安全模型并通过科学量化的风险评估方法识别风险和制定风险应急预案，这样才能达到全方位实施信息安全管理的目的。

参考文献：

[1]范红，冯国登，吴亚非.信息安全风险评估方法与应用.清华大学出版社.2006.

第9篇：网络安全等级保护要求范文

【 关键词 】 信息安全等级保护；等级测评；物联网；云计算

Research of Effect of Internet of Things and Cloud Computing to Classified Evaluation

Zhao Liang

（Sinopec Shandong Dongying Oil Company ShandongJinan 257000）

【 Abstract 】 Classified Protection of Information Security is the basic system and strategy of national information security work. And Classified Evaluation is an important method of testing and evaluating the level of Information Security Protection. The appearance of new technologies， such as cloud computing， Internet of Things， tri-networks integration， brings new challenge to the Classified Evaluation technology. This paper introduced the influences upon Classified Evaluation from new technology development， represented by cloud computing and Internet of Things， in order to promote the development of test method research， and provide theoretical basis to further research.

【 Keywords 】 classified protection of information security； multilevel security database； cloud computing； internet of things

1 引言

社会信息化技术和国民经济的飞速发展，使得信息系统与网络的基础性与全面性作用逐渐增强，而由此带来的信息安全问题也变得突出，并逐渐成为关系国家安全的重大战略问题。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度，而等级测评作为检验和评价信息系统安全保护水平的重要方法，是信息安全等级保护实施过程中的重要环节。近几年，越来越多的研究者致力于等级测评技术、方法和工具的研究与开发，并取得了一定的成果。但越来越多网络新技术的出现，在开拓等级保护与等级测评应用领域的同时，也对传统等级测评技术带来了一定的挑战。本文分别介绍了物联网和云计算两种新的技术应用，并探讨了其对等级测评技术产生的影响，旨在推动等级测评技术的发展，为其深入研究提供理论参考。

2 安全等级保护与等级测评

信息安全等级保护是指根据应用业务重要程度及其实际安全需求，通过制定统一的信息安全等级保护管理规范和技术标准，对信息安全实行等级化保护和等级化管理，以保障信息安全和系统安全正常运行，维护国家利益、公共利益和社会稳定。等级保护是帮助用户分析、评定信息系统的等级，在后期的工作中根据不同的等级进行不同级别的安全防护，

在我国的信息安全等级保护制度中，等级保护工作主要分为五个环节：定级、备案、建设整改、等级测评和监督检查。

等级测评是指第三方等级测评机构根据等级保护的管理规范和技术标准要求，针对已经实施了安全等级保护的信息系统进行的符合性测评活动，以确保信息系统的安全性保护措施符合对应等级的基本安全要求，是信息安全等级保护工作的重要环节，既可以在信息系统安全建设完成后进行，也可以在信息系统的运行维护过程中进行。《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》作为等级测评的基础性标准，目前主要基于其进行符合性判定。

3 物联网技术与等级测评

3.1 物联网技术简介

物联网（Internet of Things， IOT），顾名思义，就是“物物相连的网络”，是指通过各种信息传感设备（如传感器、射频识别技术、全球定位系统、红外感应器、激光扫描器等各种装置与技术），实时采集任何需要监控、连接、互动的物体或过程，采集其声、光、热、电、力学、化学等各种需要的信息，与互联网结合形成的一个巨大网络。物联网作为新一代信息技术的重要组成部分，其目的是实现物与物、物与人，所有的物品与网络的连接，方便识别、管理和控制。

物联网被称为继计算机、互联网之后，世界信息产业的第三次浪潮。业内专家认为，物联网不仅可以大大提高经济效益，有效节约成本，还可以为全球经济的复苏提供技术动力支持。目前，美国、欧盟、韩国等都在加大力度深入研究物联网。我国也正在高度关注、重视物联网的研究，工业和信息化部会同有关部门，在新一代信息技术方面正在开展研究，以形成支持新一代信息技术发展的政策措施。

与传统的互联网相比，物联网有其明显的特征：（1）它是各种感知技术的广泛应用；（2）以互联网为基础；（3）其本身具有智能处理的能力，能对物体实施智能控制。物联网用途广泛，主要应用领域有智能家居、智能医疗、智能环保、智能交通、智能农业。

3.2 物联网对等级测评技术的影响

物联网技术的推广和应用，一方面将显著提高经济和社会运行效率，另一方面也对国家、社会、企业、公民的信息安全和隐私保护问题提出了严峻的挑战，其开放性的特点与信息安全理念背道而驰，对信息安全等级测评的工作方法及测评范围产生了较大的影响。主要体现在几个方面。

（1） 信号易扰：虽然物联网能够智能化的处理一些突发事件，不需要人为干涉，但传感设备都是安装在物品上的，且其信号很容易收到干扰，因此很可能导致物品的损失。此外，如果国家某些重要机构如金融机构依赖物联网，也存在信号扰导致重要信息丢失的隐患。这样如何评估物联网技术的安全性及稳定性成为等级测评中的难题。

（2） 针对性入侵技术：物联网与互联网的关系，使得互联网上的安全隐患同样也会对物联网造成危害。物联网上传播的黑客、病毒和恶意软件等进行的恶意操作会侵害物品，进一步侵犯用户的隐私权。尤其是对一些敏感物品如银行卡、身份证等物品的恶意掌控，将造成不堪设想的后果。因此，在对物联网进行安全保护以及等级测评过程中，不仅要考虑到物联网无线网络的防恶意入侵能力，更要考虑互联网传统的入侵技术。

（3） 通讯安全：物联网与3G手机的结合，在很大程度上方便了人们的生活。然而，移动通讯设备本身存在的安全问题也会对物联网造成影响。移动通信设备存在许多安全漏洞，黑客很有可能通过移动设备的漏洞窃取物联网内部的各种信息，从而带来安全隐患。而且移动设备的便携性也使得其很容易丢失，若被不法分子获得，则很容易造成用户敏感信息的泄露。因此，在对物联网进行等级测评的过程中，还要考虑到通信终端及通信过程的保密性。

总之，在考虑物联网的等级保护与等级测评过程中，要以构建物联网安全体系框架为目标，在充分理解物联网的结构、技术和应用模式的基础上，深入分析物联网设备、网络、信息和管理等各层面面临的安全威胁和风险，梳理物联网安全的主要问题，明确物联网安全需求（“物”的真实性、“联”的完整性、“网”的健壮性），并针对各项安全需求，研究保障物联网安全的关键技术（低能耗密码算法设计技术、海量信息标识技术、物联网设备管理技术、物联网密钥管理技术、动态安全策略控制技术、物联网安全等级保护技术、传感设备物理安全防护技术），提出物联网安全目标以及技术体系、承载装备体系、标准规范体系和管理体系框架，给出物联网安全体系顶层设计思路、建设任务和应对措施，为全面建设物联网安全体系奠定必要的基础。

4 计算与等级测评

4.1 云计算技术简介

作为一种新兴的共享基础架构的网络应用模式，云计算（Cloud Computing）越来越受到研究者的关注。云计算的概念最早由IBM提出，是传统计算机技术和网络技术发展融合的产物，旨在通过网络把多个成本相对较低的计算机实体整合成一个具有强大计算能力的系统，并借助各种商业模式把强大的计算能力分布给终端用户。其核心思想是使用大规模的数据中心和功能强劲的服务器运行网络应用程序、提供网络服务，使得任何一个用户都能轻松访问应用程序。这种特殊的应用模式，使得云计算具有大规模、服务虚拟化、通用性、高可靠性、高扩展性等特点。

云计算作为一种新的概念和应用模式，研究尚未成熟，还存在若干制约其发展的问题，包括服务的可靠性、标准化问题、安全性问题、数据传输瓶颈以及信誉和法律危机。其中云安全问题是目前发展云计算首要解决的问题之一。

4.2 云计算对等级测评技术的影响

云计算平台在为用户提供服务的同时，仍不可避免的面临严峻的安全考验。由于其用户、信息资源的高度集中，带来的安全事件后果与风险较传统应用高出很多。据IDC在2009年底的一项调查报告显示，当前云计算面临的三大市场挑战分别为安全性、稳定性和性能表现。由此可见，解决云计算的安全问题尤为迫切。云计算面临的安全问题及其对等级保护和等级测评造成的影响主要有几个方面。

（1） 身份与权限控制：大数用户对于云计算缺乏信心，其中一个很大原因是对于云模式下的使用和管理权限有顾虑。在复杂、虚拟的环境下，如何有效保证数据与应用依然清晰可控，这既是用户的问题，也是云服务提供商的问题。因此，身份与权限控制解决方案成为云安全的核心问题之一，同样的，传统等级测评中针对身份认证和权限控制的相关技术与方法也不适用于这种虚拟、复杂的应用环境，需要开发专用的测试技术；

（3）计算层并行计算的干扰：计算层的主要功能是为整个云计算提供高效、灵活、高强度的计算服务，但也面临一定的问题，主要有计算性能的不可靠性，即资源竞争造成的性能干扰，云计算主要采用并行计算间性能隔离机制来解决此问题。因此在等级测评中，需要开发新的测试技术和方法来评估并行计算间的干扰问题。

云计算给我们带来创新和变革的同时，对安全问题与等级测评技术也提出了更高的要求。在云计算环境下，无论是使用云服务的用户，还是云服务提供商，安全问题都是第一大问题。研究适用于云计算应用的等级测评技术，将极大的推动云计算领域的发展。

5 结束语

随着各行各业对信息安全等级保护工作的关注和重视，等级保护和等级测评工作已逐渐成为制度化、规范化的研究课题。许多新技术如云计算、物联网、三网融合等的推广应用在带来机遇的同时，也给等级保护乃至整个信息安全带来了新的挑战。本文分别介绍了物联网和云计算两种新的技术应用，并探讨了其对等级测评技术产生的影响，旨在推动等级测评技术的发展，为其深入研究提供理论参考。

参考文献

[1] 公通字[2004]66号 关于信息安全等级保护工作的实施意见.

[2] GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求.

[3] 杨磊，郭志博. 信息安全等级保护的等级测评. 中国人民公安大学学报（自然科学版），No. 1 2007.

[4] 刘忠宝. 物联网技术应用与研究. 信息与电脑，2010年第10期.

[5] 郝文江，武捷. 物联网技术安全问题探析. 实践探究，2010.

[6] 王斐. 浅谈信息化的新浪潮――云计算. 科技创新导报，2010 No.30

[7] Jon Brodkin. Gartner： Seven cloud-computing Security risks[EB/OL]. 2008，07.http：///d/.

[8] 陈丹伟，黄秀丽，任勋益. 云计算及安全分析. 计算机技术与发展，2010 第2期.

[9] 任伟.物联网安全架构与技术路线研究.信息网络安全，2012.5.