网络安全等级保护管理办法精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的网络安全等级保护管理办法主题范文，仅供参考，欢迎阅读并收藏。

第1篇：网络安全等级保护管理办法范文

本文重点在结合信息安全等级的要求与IDS本身结构的优缺点，对信息安全策略进行分析，构建满足五级信息安全保护能力的入侵检测系统。

关键词：入侵检测，信息安全

1.信息安全等级

信息安全等级保护是我国信息安全保障工作的纲领性文件（《国家信息化领导小组关于加强信息安全保障工作的意见》）（中办发[2003]27号）提出的重要工作任务[1]，其基本原理是，不同的信息系统有不同的重要性，在决定信息安全保护措施时，必须综合平衡安全成本和风险。

2007年6月，公安部的《信息安全等级保护管理办法》规定，根据信息系统在国家安全、经济建设、社会生活中的重要程度，其遭受破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，其安全等级由低到高划分为五级，其等级划分原则如表1.1所示：

表1.1 安全等级划分原则

不同安全等级的信息系统应该具备相应的基本安全保护能力，其中第四级安全保护能力是应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击，严重的自然灾害，以及其他相当维护程度的威胁所造成的资源损害，能够发现安全漏洞和安全相关事件，在系统遭到损害后，能够迅速恢复所有功能；第五级安全保护能力是在第四级安全的安全保护能力的基础上，由访问控制监视器实行访问验证，采用形式化技术验证相应的安全保护能力确实得到实现。

2.IDS主要功能

入侵检测：通过对行为、安全日志、审计数据或其他网络上可以获得的信息进行操作，检测到对系统的闯入或者闯入的企图[2]。（国标GB/T 18336）

入侵检测系统的主要功能：

检测并分析用户和系统的活动，查找非法用户和合法用户的越权操作；检查系统配置和漏洞，并提示管理员修补漏洞。（由安全扫描系统完成）、评估系统关键资源和数据文件的完整性；识别已知的攻击行为；统计分析异常行为；操作系统日志管理，并识别违反安全策略的用户活动等；

成功的入侵检测系统，应该达到的效果：可以使系统管理员时刻了解网络系统（软件和硬件）的任何变更，能给网络安全策略的制定提供依据；管理配置简单，使非专业人员非常容易地获得网络安全。入侵检测的规模还应根据网络规模、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，能及时作出响应，包括切断网络连接、记录事件和报警等。

图2.1入侵检测系统结构图

3.IDS类别

由于IDS的模型多样化，IDS的类别也表现出较为复杂的情况，但是当前通常将入侵检测按照分析方法和数据来源来进行分类[3]。

3.1按照分析方法（检测方法）

异常检测模型（Anomaly Detection）：首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。

误用检测模型（MisuseDetection）：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。

3.2按照数据来源

基于主机的IDS：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机；检测的目标主要是主机系统和系统本地用户。检测原理是根据主机的审计数据和系统的日志发现可疑事件，检测系统可以运行在被检测的主机或单独的主机上。

图3.1基于主机的IDS结构图

基于网络的IDS：系统获取的数据是网络传输的数据包，保护的是网络的运行；根据网络流量、协议分析、单台或多台主机的审计数据检测入侵。

图3.2 基于网络的IDS结构图

探测器由过滤器、网络接口引擎器以及过滤规则决策器构成，探测器的功能是按一定的规则从网络上获取与安全事件相关的数据包，传递给分析引擎器进行安全分析判断[4]。

分析引擎器将从探测器上接收到的包并结合网络安全数据库进行分析，把分析的结果传递给配置构造器。

配置构造器按分析引擎器的结果构造出探测器所需要的配置规则。

分布式IDS：

传统的集中式IDS的基本模型是在网络的不同网段放置多个探测器收集当前网络状态的信息，然后将这些信息传送到中央控制台进行处理分析。

分布式结构采用了本地主体处理本地事件，中央主体负责整体分析的模式。

3.3 IDS的局限性

对于大规模的分布式攻击，中央控制台的负荷将会超过其处理极限，这种情况会造成大量信息处理的遗漏，导致漏警率的增高[5]。

多个探测器收集到的数据在网络上的传输会在一定程度上增加网络负担，导致网络系统性能的降低[6]。

由于网络传输的时延问题，中央控制台处理的网络数据包中所包含的信息只反映了探测器接收到它时网络的状态，不能实时反映当前网络状态[7]。

4.五级安全防护能力IDS构建

根据公安部《信息安全等级保护管理办法》，五级安全防护能力需要具备四级安全防护的漏洞发现和入侵检测能力，同时需要由访问控制监视器实现对访问的及时验证，保证杜绝未授权用户的非法访问。

与此同时，如何解决因为网络时延而导致的数据分析的延后，以及解决探测器在网络传输中造成的网络负担，提高网络系统性能的同时保证中央控制台的高效运转，是当前IDS需要重点研究的问题。

当前IDS的结构中入侵检测和数据安全审计是两个不同的模块，入侵检测系统将检测数据提交给安全审计模块，对入侵行为的确认是由安全审计模块进行的[8]。因此在成本可接受的范围内，如果将审计模块和检测模块结合，并且将分布式IDS的每一个检测终端都由一个独立处理单元来进行基本的检测，只将较为复杂的数据提交给中央控制台，这样即减轻了网络传输的压力，也有利于中央控制台更加高效运转。将每一个独立处理单元命名为一个agent，每个agent的结构如下图所示：

5.结束语

本文介绍了信息安全等级的分类依据，在对IDS系统的类别和局限性进行分析的基础上，对满足五级信息安全防护能力的入侵检测系统进行了基本构建，探讨通过对分布式IDS终端处理单元的结构和防范策略进行调整，研究对IDS存在主要问题的处理策略。

参考文献

[1] 高永强，罗世泽.网络安全技术与应用大典[M].北京：人民邮电出版社，2003：15-16.

[2] 盛思源，战守义，石耀斌.基于数据挖掘的入侵检测系统[J].计算机工程，2003，28（3）.

[3] 胡振昌.网络入侵检测原理与技术[M].北京：北京理工大学出版社，2006

[4] 唐正军，李建华.入侵检测技术[M].北京：清华大学出版，2004.

[5] 程伯良，周洪波，钟林辉.基于异常与误用的入侵检测系统[J].计算机工程与设计.2007，28（14）

[6] 胥小波，蒋琴琴.基于混沌粒子群的IDS告警聚类算法[J].通信学报.2013，34（3）

第2篇：网络安全等级保护管理办法范文

信息安全防护要考虑不同层次的问题。例如网络平台就需要拥有网络节点之间的相互认证以及访问控制；应用平台则需要有针对各个用户的认证以及访问控制，这就需要保证每一个数据的传输的完整性和保密性，当然也需要保证应用系统的可靠性和可用性。一般电力企业主要采用的措施有：

1.1信息安全等级保护

信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作，工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。要积极参与信息安全等级定级评定，及时在当地公安机关进行备案，然后根据对应等级要求，组织好评测，然后开展针对性的防护，从而提供全面的保障。

1.2网络分区和隔离

运用网络设备和网络安全设备将企业网络划分为若干个区域，通过在不同区域实施特定的安全策略实现对区域的防护，保证网络及基础设置稳定正常，保障业务信息安全。

1.3终端安全防护

需要部署（实施）防病毒系统、上网行为管理、主机补丁管理等终端安全防护措施。通过这些安全措施使网络内的终端可以防御各种恶意代码和病毒；可以对互联网访问行为监管，为网络的安全防护管理提供安全保障；可以自动下发操作系统补丁，提高终端的安全性。

2.构建信息安全防护体系

电力企业应充分利用已经成熟的信息安全理论成果，在此基础上在设计出具有可操作性，能兼顾整体性，并且能融合策略、组织、技术以及运行为一体化的信息安全保障体系，从而保障信息安全。

2.1建立科学合理的信息安全策略体系

信息安全策略体系包括信息安全策略、信息安全操作流程、信息安全标准以及规范和多方面的细则，所涉及的基本要素包括信息管理和信息技术这两方面，其覆盖了信息系统的网络层面、物理层面、系统层面以及应用层面这四大层面。

2.2建设先进可靠的信息安全技术防护体系

结合电力企业的特点，在企业内部形成分区、分域、分级、分层的网络环境，然后充分运用防火墙、病毒过滤、入侵防护、单向物理隔离、拒绝服务防护和认证授权等技术进行区域边界防护。通过统一规划，解决系统之间、系统内部网段间边界不清晰，访问控制措施薄弱的问题，对不同等级保护的业务系统分级防护，避免安全要求低的业务系统的威胁影响到安全要求高的业务系统，实现全方位的技术安全防护。同时，还要结合信息机房物流防护、网络准入控制、补丁管理、PKI基础设施、病毒防护、数据库安全防护、终端安全管理和电子文档安全防护等细化的措施，形成覆盖企业全领域的技术防护体系。

2.3设置责权统一的信息安全组织体系

在企业内部设置网络与信息安全领导机构和工作机构，按照“谁主管谁负责，谁运营谁负责”原则，实行统一领导、分级管理。信息安全领导机构由决策层组成，工作机构由各部门管理成员组成。工作机构一般设置在信息管理部门，包含安全管理员、系统管理员、网络管理员和应用管理员，并分配相关安全责任，使信息安全在组织内得以有效管理。

2.4构建全面完善的信息安全管理体系

对于电力企业的信息安全防范来说，单纯的使用技术手段是远远不够的，只有配合管理才能提供有效运营的保障。

2.4.1用制度保证信息安全

企业要建立从指导性到具体性的安全管理框架体系。安全方针是信息安全指导性文件，指明信息安全的发展方向，为信息安全提供管理指导和支持；安全管理办法是对信息安全各方面内容进行管理的方法总述；安全管理流程是在信息安全管理办法的基础上描述各控制流程；安全规范和操作手册则是为用户提供详细使用文档。人是信息安全最活跃的因素，人的行为会直接影响到信息安全保障。所以需要通过加强人员信息安全培训、建立惩罚机制、加大关键岗位员工安全防范力度、加强离岗或调动人员的信息安全审查等措施实现企业工作人员的规范管理，明确员工信息安全责任和义务，避免人为风险。

2.4.3建设时就考虑信息安全

在网络和应用系统建设时，就从生命周期的各阶段统筹考虑信息安全，遵照信息安全和信息化建设“三同步”原则，即“同步规划、同步建设、同步投入运行”。

2.4.4实施信息安全运行保障

主要是以资产管理为基础，风险管理为核心，事件管理为主线，辅以有效的管理、监视与响应功能，构建动态的可信安全运行保障。同时，还需要不断完善应急预案，做好预案演练，可以对信息安全事件进行及时的应急响应和处置。

3.总结

第3篇：网络安全等级保护管理办法范文

1.1国家卫生部文件

文件明确规定了信息安全等级保护工作的工作目标、工作原则、工作机制、工作任务、工作要求，工作任务别强调了“三级甲等医院的核心业务信息系统”应进行定级备案。

1.2浙江省卫生厅文件

为加强医疗卫生行业信息安全管理，提高信息安全意识，以信息安全等级保护标准促进全行业的信息安全工作，提高全省卫生系统信息安全保护与信息安全技术水平，强化信息安全的重要性。2011年6月7日，浙江省卫生厅和浙江省公安厅联合下发《关于做好全省医疗卫生行业重要信息系统信息安全等级保护工作的通知》（浙卫发〔2011〕131号），并一同下发了《浙江省医疗卫生行业信息安全等级保护工作实施方案》和《浙江省卫生行业信息系统安全等级保护定级工作指导意见》。为进一步指导我省卫生行业单位开展信息安全等级保持工作，浙江省卫生信息中心于2012年4月6日下发了《关于印发<浙江省卫生行业信息安全等级保护工作指导意见细则>的函》。上述文件详细规定了工作目标、工作流程和工作进度，并明确了医疗卫生单位重要信息系统的划分和定级，具有很强的指导性和操作性。

2医院信息安全等级保护

依据上述行业文件要求，全省医院重要信息系统信息安全等级保护工作由省卫生厅和各级卫生局、公安局分级负责，按照系统定级、系统备案、等级测评、安全整改[1]四个工作步骤实施。

2.1系统定级

2.1.1确定对象

我省医院信息化发展较早，各类系统比较完善，但数量繁多。将出现多达几十甚至上百个定级对象的状况，这与要求重点保护、控制建设成本、优化资源配置[2]的原则相违背，不利于医院重要信息系统开展信息安全等级保护工作。依据《计算机信息系统安全保护等级划分准则（GB17859-1999）》等标准，结合我省医院信息化现状及发展需要，经卫生信息化专家和信息安全专家多次论证，本着突出重点、按类归并、相对独立、节约费用的原则，从系统管理、业务使用者、系统服务对象和运行环境等多方面综合考虑，把医院信息系统划分为以下几类，如表1所示。

2.1.2等级评定

医院重要信息系统的信息安全和系统服务应用被破坏时，产生的危害主要涉及公民的个人隐私、就医权利及合法权益，对社会秩序和公共利益的损害属于“损害”或“严重损害”程度。参考《信息安全等级保护管理办法》及省卫生信息中心指导意见细则要求[3]，即属于“第二级”或“第三级”范畴。因此医院信息系统对信息安全防护和服务能力保护的要求较高，结合业务服务及系统应用范畴，实行保护重点、以点带面原则，参考定级如表2所示。

2.2系统定级备案

省卫生厅及省级医疗卫生单位信息系统、全省统一联网或跨市联网运行的信息系统由省公安厅受理备案；各市卫生局及其下属单位、辖区内医院信息系统由属地公安机关受理备案。各市卫生局应将辖区内医疗卫生单位备案汇总情况和《信息系统安全等级保护备案表》等材料以电子文件形式向省卫生厅报备。定级备案流程示意图如图1所示。

2.3等级保护测评

医院重要信息系统完成定级备案后，应依据《浙江省信息安全等级保护工作协调小组关于公布信息安全等级报测评机构的通知》（浙等保〔2010〕9号）选择浙江省信息安全等级保护工作协调小组办公室推荐的等级测评机构，启动等级测评工作，结合所属等级要求对系统进行逐项测评。通过对医院系统进行查验、访谈、现场测试等方式收集相关信息，详细了解信息安全保护现状，分析所收集的资料和数据，查找发现医院重要信息系统漏洞和安全隐患，针对测评报告结果进行分析反馈、沟通协商，明确等级保护整改工作目标、整改流程及注意事项，共同制定等级保护整改建议方案用于指导后续整改工作。对第二级以上的信息系统要定期开展等级测评。信息系统测评后，医院应及时将测评机构出具的《信息系统等级测评报告》向所属地公安机关报备。

2.4等级保护规划建设整改

根据《信息系统安全等级保护实施指南》及省实施方案，结合医院信息系统的安全需求分析，判断安全保护现状，设计合理的、满足等级保护要求的总体安全方案，并制定出安全实施规划[4]等，用以指导信息系统安全建设工程实施。引进第三方安全技术服务商，协助完成系统安全规划、建设及整改工作。建设，整改实施过程中按照详细设计方案，设置安全产品采购、安全控制开发与集成、机构和人员配置、安全管理制度建设、人员安全技能培训等环节[5]，将规划设计阶段的安全方针和策略，切实落实到医院系统的信息安全规划、建设、评估、运行和维护等各个环节。其核心是根据系统的实际信息安全需求、业务特点及应用重点，并结合医院自身信息安全建设的实际需求，建设一套全面保护、重点突出、持续运行的安全保障体系，确保医院系统的信息安全。等级保护工程及管理体系建设整改流程如图2所示。

3医院重要信息系统安全等级保护成效

各级医院按照国家有关信息安全等级保护政策、标准，结合卫生行业政策和要求，全面落实信息系统信息安全等级保护工作，保障信息系统安全可靠运行，提高安全管理运维水平。

3.1明确系统安全保护目标

通过推行各级医院信息安全等级保护工作，梳理卫生信息系统资产、网络边界、网络安全设备部署及运行状况。根据系统风险评估、危害的覆盖范围及影响性判定安全等级，从而根据标准全面、系统、深入地掌握系统潜在的风险隐患，安全漏洞。明确需要重点保护的应用系统及信息资产，提出行之有效的保护措施，有针对性地提高保护等级，实现重点目标重点保护。

3.2建立安全管理保障体系

安全管理保障体系是开展信息安全工作的保障，指导落实各项安全指标要求。信息安全等级保护基本要求中明确要求加强主管及安全责任部门领导，配备信息安全专员督导安全检查、维护、培训工作。建立健全信息安全管理保障制度体系，包括机房安全管理制度、人员安全管理制度、运维安全管理规范。建立行之有效的安全应急响应预案及常规化的信息安全培训及预防演练，形成长期的安全风险管控机制。

3.3加强安全意识和管理能力

通过落实等级保护制度的各项要求，认识安全意识在信息安全工作中的重要性和必要性，调动安全保护的自觉主动性，加大安全保护的资金投入力度，优化安全管理资源及策略，主动提升安全保护能力。同时重视常规化的信息安全管理教育和培训，强化安全管理员和责任人的安全意识，提高风险分析和安全性评估等能力，信息系统安全整体管理水平将得到提高。

3.4强化安全保护技术实施

医院开展信息安全等级保护工作可加深分级、分域的纵深防御理念，进一步结合终端安全、身份认证、网络安全、容灾技术，建立统一的安全监控平台和安全运行中心。根据测评报告及建设整改建议，增强对应用系统的授权访问，终端计算机的安全控制，网络流量的异常监控，业务与数据安全保障，恶意软件和攻击行为的防御、发现及阻击等功能，深层次提高抵御外部和内部信息安全威胁的能力。

3.5优化第三方技术服务

与安全技术服务机构建立长期稳定的合作关系，引进并优化第三方技术资源，搭建安全保护技术的学习桥梁与交流平台。在安全技术与管理方面加固信息安全防护措施，完善信息安全管理制度，同时通过安全技术管理培训强化医院工作人员信息安全保护意识，提高信息安全队伍的技术与管理水平，共同为医院系统信息化建设的快速发展保驾护航。总之，医院开展信息安全等级保护工作将有效提高医院信息化建设的整体水平，有利于医院信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调；有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务；有利于优化信息安全资源的配置，重点保障基础信息网络、个人隐私、医疗资源和社会公共卫生等方面的重要信息系统的安全[6]。

4结束语

第4篇：网络安全等级保护管理办法范文

[关键词] 网络 信息安全 法律保障

美国2002年《联邦信息安全管理法》规定，信息安全指确保信息和信息系统免受非授权访问、使用、披露、中断、修改或破坏，以实现完整性、机密性、可用性。那么，网络信息安全就是指在网络环境下确保网络基础设施免遭干扰、破坏，从而实现网络信息的完整性、保密性、可用性和真实性。

互联网是一个开放的网络，任何团体或个人都可以在网上方便地传送和获取各种各样的信息。由于网络的迅速发展而自身的安全防护能力很弱，许多应用系统处于不设防状态，存在着极大的安全风险和隐患。网络在为人们提供便利、带来效益的同时，也使人类面临着信息安全方面的巨大挑战。近年来，因网络信息安全而造成的突出事件，如“艳照门事件”、“熊猫烧香事件”等引起了人们的广泛关注，也使我们认识到建立网络信息安全的紧迫性与必要性。网络信息不安全可以毁人一辈子，会带来严重的、恶劣的社会影响和巨大的经济损失。有人言：电脑不可靠！网络更不可靠！在互联网时代是否真的无安全可言？除了本身技术手段之外，我们的法律体系对网络信息安全还要去如何加强？这都是我们需要继续努力的方向和思考的问题。从法律的角度来探求网络信息安全的保障，到底有什么样的规范和措施呢？

首先，要明确法律责任的责任主体。法律责任就是由特定法律事实所引起的对损害予以赔偿、补偿或接受惩罚的特殊义务。责任主体是指因违反法律、违约或法律规定的事由而承担法律责任的人，包括自然人、法人和其他社会组织。责任主体对于法律责任的有无、种类、大小有着密切的关系。

目前，我国法制体系中就网络信息安全问责中主要是针对违法犯罪的自然人，而忽略了网站的法律责任。本文认为要建立网络信息安全的保障，需要强化个人与网站双方的法律责任。在网络违法犯罪过程中，人是主谋，网站则是主要帮凶。日前，闹得沸沸扬扬的“艳照门事件”中，我们追究了原始投放者的法律责任和传播者的法律责任。而且在我国《刑法》中第三百六十四条明确规定：传播的书刊、影片、音像、图片或者其他物品，情节严重的，处二年以下有期徒刑、拘役或者管制。其别强调了非牟利的传播也可以构罪。但对于网站传媒仅仅从道德上予以回击，而缺乏法律约束及相关法律责任的追究。

按照引起责任的法律事实与责任人的关系的不同，法律责任可以分为直接责任、连带责任和替代责任。根据法律责任的类型可把法律责任分为民事法律责任、行政法律责任、刑事法律责任和违宪责任。在危害网络信息安全的法律问责中，原始违法犯罪人所造成的不利后果是直接的、明显的、严重的，应承担直接法律责任与刑事法律责任。后承违法犯罪人（传播者等）所造成的不利后果是直接的、有一定危害性的，应承担直接法律责任与民事法律责任，情节特别严重的也应追究其刑事责任，这在我国现有法律体系中已有明确规定。网站传媒作为社会组织，理应具有职业操守与社会责任感，是公民权利的代言人，是网络信息安全的管理者与执行者，如在维护网络信息安全的过程中成为了公民私权的侵犯者，除了予以道德谴责之外，还要承担一定的法律责任，即相应的连带法律责任与民事法律责任。

其次，要以法律手段强化网络监管。俗话说：三分技术，七分管理。这在网络信息安全领域也同样适用。据有关部门统计，在所有的网络安全事件中，约有52%是人为因素造成的，25%由火灾、水灾等自然灾害引起，技术错误占10%，组织内部人员作案占10%，仅有3%左右是由外部不法人员的攻击造成。属于管理方面的原因比重高达70%以上，而这些安全问题中的95%是可以通过科学的信息安全管理来避免。因此，在维护网络信息安全过程中，网络监管是关键，并且应由一定的法律来强制保障实行。

以法律强制手段推行网络实名制。网络实名制指在网络环境中传递信息时应使用真实身份资料认证的制度。网络以计算机为依托，借助一定的计算机符号来承载信息，带有很强的虚拟性。在这个虚拟性高的空间来实现非虚拟的信息安全管理具有一定的难度，因此就需要用法律的强制手段来推行。比如：上传网络信息的法律约束与管理。无论是个人还是集体要在网络中上传信息应受到一定的法律约束。不能是任何人任何时候都可以在任何网站上传任何信息，如要上传，应有特定的监管程序通过网络实名制的信息库检验其身份资格的合法性才能进行。当然这其中涉及到一个公民私权（个人隐私权等）的规避问题，但是我们的法律可以先在部分网站、部分领域实行网络实名制，等到条件成熟之后再全面推行。

进一步推广与完善电子签名及相关法律。电子签名也称作“数字签名”，是指用符号及代码组成电子密码进行“签名”来代替书写签名或印章，它采用规范化的程序和科学化的方法，用于鉴定签名人的身份以及对一项数据电文内容信息的认可。2004年8月，我国正式颁布了《中华人民共和国电子签名法》，并于2005年4月1日起正式施行。这是我国首部真正意义上的信息法律化，它明确了可靠的电子签名与手写签名或者盖章具有同等的法律效力。通过应用电子签名认证证书实现网上身份识别认证，并确保信息在网络中传输的保密性、完整性、以及行为的不可否认性。针对目前“电子认证”等实践中的具体问题，应加快相关法律的建设与完善。

落实网络信息安全等级评价。网络信息系统的安全等级是指国家信息安全监督管理部门根据计算机网络处理信息的敏感程度、业务应用性质和部门重要程度所确认的信息网络安全保护能力的级别。信息系统安全等级评价是指评价机构根据国家信息安全等级技术标准和管理标准，对使用单位的信息网络进行安全等级检测、评价和监督的活动。对于网络信息安全等级评价不合格的单位部门应由法律强制撤消其处理网络信息等相关职能或给予一定期限进行整改。

加强网络实名制、电子签名、网络信息安全等级评价等一系列法律的建立与完善，是强化网络信息安全监管的保障。

最后，要进一步制定完善信息安全法律法规，加强网络信息安全的法律宣传与教育。国外的信息安全立法活动进行较早，尤其是美国的信息安全法律体系较完备。我国的信息安全立法仍处在起步阶段，还没有形成一个具有完整性、适用性、针对性的法律体系。这个法律体系的形成一方面要依赖我国信息化进程的深化，另一方面要依赖对信息化和信息安全的深刻认识和技术、法学意义上的超前研究。我国已有的法律法规从不同的层次对信息安全问题做出了规范，如《国家安全法》、《中华人民共和国电子签名法》、《中华人民共和国计算机信息网络国际互联网络安全保护管理办法》等使我们初步有了处罚网络信息安全违法犯罪的法律依据，但还有很多领域缺乏对信息犯罪进行定罪处罚的法律依据，有待进一步完善。

安全意味着受到保护，免受那些有意或以其他方式产生危害的人的攻击。网络安全是对网络组件、连接和内容的保护。信息安全是对信息、系统以及使用、存储和传输信息的硬件的保护。网络信息安全的法律法规教育是计算机信息系统安全教育的重要内容。不管是作为一名计算机工作人员，还是普通计算机用户，都应该接受相关法律法规的教育。尤其是那些使用网络机会多而且很活跃的群体，更应该熟悉和掌握我国的信息安全方面的法律法规。法律法规是保证计算机信息系统安全准则，法律法规教育是遵守法律法规的必由之路。

总之，建立网络信息安全问题日益紧迫，为保障公民的合法权益，健全我国的法制建设，在提高网络技术的同时，我们也要重视相关法律的完善，使网络信息安全切实得到法律的保障。

参考文献:

[1]郭明瑞:民法[M].高等教育出版社，2005.6

[2]张文显:法理学[M].高等教育出版社，2004.5

[3]田文英符秋艳:论网络信息安全法的调整对象[J].情报杂志，2005;(4)

[4]周磊刘可静:我国网络信息安全问题及其立法探讨[J]. 图书情报工作，2006;(5)

第5篇：网络安全等级保护管理办法范文

 

为了贯彻国家对信息系统安全保障工作的要求以及等级化保护坚持“积极防御、综合防范”的方针，需要全面提高信息安全防护能力。贵州广电网络信息系统建设需要进行整体安全体系规划设计，全面提高信息安全防护能力，创建安全健康的网络环境，保护国家利益，促进贵州广电网络信息化的深入发展。

 

1安全规划的目标和思路

 

贵州广电网络目前运营并管理着两张网络：办公网与业务网;其中办公网主要用于贵州广电网络各部门在线办公，重要的办公系统为OA系统、邮件系统等;业务网主要提供贵州广电网络各业务部门业务平台，其中核心业务系统为BOSS系统、互动点播系统、安全播出系统、内容集成平台以及宽带系统等。

 

基于对贵州广电网络信息系统的理解和国家信息安全等级保护制度的认识，我们认为，信息安全体系是贵州广电网络信息系统建设的重要组成部分，是贵州广电网络业务开展的重要安全屏障，它是一个包含贵州广电网络实体、网络、系统、应用和管理等五个层面，包括保护、检测、响应、恢复四个方面，通过技术保障和管理制度建立起来的可靠有效的安全体系。

 

1.1设计目标

 

贵州广电网络就安全域划分已经进行的初步规划，在安全域整改中初见成效，然而，安全系统建设不仅需要建立重要资源的安全边界，而且需要明确边界上的安全策略，提高对核心信息资源的保护意识。贵州广电网络相关安全管理体系的建设还略显薄弱，管理细则文件亟需补充，安全管理人员亟需培训。因此，本次规划重点在于对安全管理体系以及目前的各个业务系统进行了全面梳理，针对业务系统中安全措施进行了重点分析，综合贵州广电网络未来业务发展的方向，进行未来五年的信息安全建设规划。

 

1.2设计原则

 

1.2.1合规性原则

 

安全设计要符合国家有关标准、法规要求，符合广电总局对信息安全系统的等级保护技术与管理要求。良好的信息安全保障体系必然是分为不同等级的，包括对信息数据保密程度分级，对用户操作权限分级，对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等)，从而针对不同级别的安全对象，提供全面、可选的安全技术和安全体制，以满足贵州广电网络业务网、办公网系统中不同层次的各种实际安全需求。

 

1.2.2技管结合原则

 

信息安全保障体系是一个复杂的系统工程，涉及人、技术、操作等要素，单靠技术或单靠管理都不可能实现。因此，必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。

 

1.2.3实用原则

 

安全是为了保障业务的正常运行，不能为了安全而妨碍业务，同时设计的安全措施要可以落地实现。

 

1.3设计依据

 

1.3.1“原则”符合法规要求

 

依据《中华人民共和国计算机信息系统安全保护条例K国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[20〇3]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、《信息安全等级保护管理办法》(公通字[2007]43号)和GB/T22240-2009《信息安全技术信息系统安全等级保护定级指南》、GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》、《广播电视安全播出管理规定》(广电总局62号令)、GDJ038-CATV|有线网络。

 

2011《广播电视播出相关信息系统等级保护基本要求》，对贵州省广播电视相关信息系统安全建设进行规划。

 

1.3.2“策略”符合风险管理

 

风险管理是基于“资产-价值-漏洞-风险-保障措施”的思想进行保障的。风险评估与管理的理论与方法已经成为国际信息安全的标准。

 

风险管理是静态的防护策略，是在对方攻击之前的自我巩固的过程。风险分析的核心是发现信息系统的漏洞，包括技术上的、管理上的，分析面临的威胁，从而确定防护需求，设计防护的措施，具体的措施是打补丁，还是调整管理流程，或者是增加、增强某种安全措施，要根据用户对风险的可接受程度，这样就可以与安全建设的成本之间做一个平衡。

 

1.3.3“措施”符合P2DR模型

 

美国ISS公司(IntemetSecuritySystem，INC)设计开发的P2DR模型包括安全策略(Policy)、检测(Detection)、防护(Protection)和响应(Response)四个主要部分，是一个可以随着网络安全环境的变化而变化的、动态的安全防御系统。安全策略是整个P2DR模型的中枢，根据风险分析产生的安全策略描述了系统中哪些资源要得到保护，以及如何实现对它们的保护等，策略是模型的核心，所有的防护、检测和响应都是依据安全策略实施的。

 

检测(Detection)、防护(Protection)和响应(Response)三个部分又构成一个变化的、动态的安全防御体系。P2DR模型是在整体的安全策略的控制和指导下，在综合运用防护工具(如防火墙、身份认证、加密等)的同时，利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态，通过适当的反应将系统调整至“最安全”和“风险最低”的状态，在安全策略的指导下保证信息系统的安全[3]。

 

1.4安全规划体系架构

 

在进行了规划“原则”、“策略”、“措施”探讨的基础上，我们设计贵州广电网络的安全保障体系架构为“一个中心、两种手段”。

 

“一个中心”，以安全管理中心为核心，构建安全计算环境、安全区域边界和安全通信网络，确保业务系统能够在安全管理中心的统一管控下运行，不会进入任何非预期状态，从而防止用户的非授权访问和越权访问，确保业务系统的安全。

 

“两种手段”，是安全技术与安全管理两种手段，其中安全技术手段是安全保障的基础，安全管理手段是安全技术手段真正发挥效益的关键，管理措施的正确实施同时需要有技术手段来监管和验证，两者相辅相成，缺一不可。

 

2安全保陳方案规划

 

2.1总体设计

 

贵州广电网络的安全体系作为信息安全的技术支撑措施，分为五个方面：

 

边界防护体系：安全域划分，边界访问控制策略的部署，主要是业务核心资源的边界，运维人员的访问通道。

 

行为审计体系：通过身份鉴别、授权管理、访问控制、行为曰志等手段，保证用户行为的合规性。

 

安全监控体系：监控网络中的异常，维护业务运行的安全基线，包括安全事件与设备故障，也包括系统漏洞与升级管理。

 

公共安全辅助：作为整个网络信息安全的基础服务系统，包括身份认证系统、补丁管理系统以及漏洞扫描系统等。

 

IT基础设施：提供智能化、弹能力的基础设施，主要的机房的智能化、服务器的虚拟化、存储的虚拟化等。

 

2.2安全域划分

 

划分安全域的方法是首先区分网络功能区域，服务器资源区、网络连接区、用户接入区、运维管理区、对外公共服务区;其次是在每个区域中，按照不同的安全需求区分不同的业务与用户，进一步划分子区域;最后，根据每个业务应用系统，梳理其用户到服务器与数据库的网络访问路径，通过的域边界或网络边界越少越好。

 

Z3边界防护体系规划

 

边界包括网络边界、安全域边界、用户接口边界(终端与服务器)、业务流边界，边界上部署访问控制措施，是防止非授权的“外部”用户访问“里面”的资源，因此分析业务的访问流向，是访问控制策略设计的依据。

 

2.3.1边界措施选择

 

在边界上我们建议四种安全措施：

 

1.网络边界：与外部网络的边界是安全防护的重点，我们建议采用统一安全网关(UTM),从网络层到应用层的安全检测，采用防火墙(FW)部署访问控制策略，采用入侵防御系统(IPS)部署对黑客入侵的检测，采用病毒网关(AV)部署对病毒、木马的防范;为了方便远程运维工作，与远程办公实施，在网络边界上部署VPN网关，对远程访问用户身份鉴别后，分配内网地址，给予限制性的访问授权。Web服务的SQL注入、XSS攻击等。

 

3.业务流边界：安全需求等级相同的业务应用采用VLAN隔离，采用路由访问限制策略;不同部门的接入域也采用VLAN隔离，防止二层广播，通知可以在发现安全事件时，开启不同子域的安全隔离。

 

4.终端边界：重点业务系统的终端，如运维终端，采用终端安全系统，保证终端上系统的安全，如补丁的管理、黑名单软件管理、非法外联管理、移动介质管理等等。

 

2.3.2策略更新管理

 

边界是提高入侵者的攻击“门槛”的，部署安全策略重点有两个方面：一是有针对性。允许什么，不允许什么，是明确的;二是动态性。就是策略的定期变化，如访问者的口令、允许远程访问的端口等，变化的周期越短，给入侵者留下的攻击窗口越小。

 

2.4行为审计体系规划

 

行为审计是指对网络用户行为进行详细记录，直接的好处是可以为事后安全事件取证提供直接证据，间接的好处乇两方面：对业务操作的日志记录，可以在曰后发现操作错误、确定破坏行为恢复时提供操作过程的反向操作，最大程度地减小损失;对系统操作的日志记录，可以分析攻击者的行为轨迹，从而判断安全防御系统的漏洞所在，亡羊补牢，可以弥补入侵者下次入侵的危害。

 

行为审计主要措施包括:一次性口令、运维审计(堡垒机)、曰志审计以及网络行为审计。

 

2.5安全监控体系规划

 

监控体系不仅是网络安全态势展示平台，也是安全事件应急处理的指挥平台。为了管理工作上的方便，在安全监控体系上做到几方面的统一：

 

1.运维与安全管理的统一：业务运维与安全同平台管理，提高安全事件的应急处理速度。

 

2.曰常安全运维与应急指挥统一：随时了解网络上的设备、系统、流量、业务等状态变化，不仅是日常运维发现异常的平台，而且作为安全事件应急指挥的调度平台，随时了解安全事件波及的范围、影响的业务，同时确定安全措施执行的效果。

 

3.管理与考核的统一：安全运维人员的工作考核就是网络安全管理的曰常工作与紧急事件的处理到位，在安全事件的定位、跟踪、处理过程中，就体现了安全运维人员服务的质量。因此对安全运维平台的行为记录就可以为运维人员的考核提供一线的数据。

 

安全监控措施主要包括安全态势监控以及安全管理平台，2.6公共安全辅助系统

 

作为整个网络信息安全的基础服务系统，需要建设公共安全辅助系统：

 

1.身份认证系统：独立于所有业务系统之外，为业务、运维提供身份认证服务。

 

2.补丁管理系统：对所有系统、应用的补丁进行管理，对于通过测试的补丁、重要的补丁，提供主动推送，或强制执行的技术手段，保证网络安全基线。

 

3.漏洞扫描系统：对于网络上设备、主机系统、数据库、业务系统等的漏洞要及时了解，对于不能打补丁的系统，要确认有其他安全策略进行防护。漏洞扫描分为两个方面，一是系统本身的漏洞，二是安全域边界部署了安全措施之后，实际用户所能访问到的漏洞(渗透性测试服务)。

 

2.7IT基础设施规划

 

IT基础设施是所有网络业务系统服务的基础，具备一个优秀的基础架构，不仅可以快速、灵活地支撑各种业务系统的有效运行，而且可以极大地提高基础IT资源的利用率，节省资金投入，达到环保的要求。

 

IT基础设施的优化主要体现在三个方面：智能机房、服务器虚拟化、存储虚拟化。

 

3安全筐理体系规划

 

在系统安全的各项建设内容中，安全管理体系的建设是关键和基础，建立一套科学的、可靠的、全面而有层次的安全管理体系是贵州省广播电视信息网络股份有限公司安全建设的必要条件和基本保证。

 

3_1安全管理标准依据

 

以GBAT22239-2008《信息安全技术信息系统安全等级保护基本要求》中二级、三级安全防护能力为标准，对贵州广电网络安全管理体系的建设进行设计。

 

3.2安全管理体系的建设目标

 

通过有效的进行贵州广电网络的安全管理体系建设，最终要实现的目标是：采取集中控制模式，建立起贵州广电网络完整的安全管理体系并加以实施与保持，实现动态的、系统的、全员参与的、制度化的、以预防为主的安全管理模式，从而在管理上确保全方位、多层次、快速有效的网络安全防护。

 

3.3安全管理建设指导思想

 

各种标准体系文件为信息安全管理建设仅仅提供一些原则性的建议，要真正构建符合贵州广电网络自身状况的信息安全管理体系，在建设过程中应当以以下思想作为指导：“信CATV丨有线网络息安全技术、信息安全产品是信息安全管理的基础，信息安全管理是信息安全的关键，人员管理是信息安全管理的核心,信息安全政策是进行信息安全管理的指导原则，信息安全管理体系是实现信息安全管理最为有效的手段。”

 

3.4安全管理体系的建设具体内容

 

GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》(以下简称《基本要求》)对信息系统的安全管理体系提出了明确的指导和要求。我们应以《基本要求》为标准，结合目前贵州广电网络安全管理体系的现状，对广电系统的管理机构、管理制度、人员管理、技术手段四个方面进行建设和加强。同时，由于信息安全是一个动态的系统工程，所以，贵州广电网络还必须对信息安全管理措施不断的加以校验和调整，以使管理体系始终适应和满足实际情况的需要，使贵州广电网络的信息资产得到有效、经济、合理的保护。

 

贵州广电网络的安全管理体系主要包括安全管理机构、安全管理制度、安全标准规范和安全教育培训等方面。

 

通过组建完整的信息网络安全管理机构，设置安全管理人员，规划安全策略、确定安全管理机制、明确安全管理原则和完善安全管理措施，制定严格的安全管理制度，合理地协调法律、技术和管理三种因素，实现对系统安全管理的科学化、系统化、法制化和规范化，达到保障贵州广电网络信息系统安全的目的。

 

3.5曰常安全运维3.5.1安全风险评估

 

安全风险评估是建立主动防御安全体系的重要和关键环节，这环的工作做好了可以减少大量的安全威胁，提升整个信息系统的对网络灾难的免疫能力;风险评估是信息安全管理体系建立的基础，是组织平衡安全风险和安全投入的依据，也是信息安全管理体系测量业绩、发现改进机会的最重要途径。

 

3.5.2网络管理与安全管理

 

网络管理与安全管理的主要措施包括：出入控制、场地与设施安全管理、网络运行状态监控、安全设备监控、安全事件监控与分析、提出预防措施。

 

3.5.3备份与容灾管理

 

贵州广电网络主要关键业务系统需要双机本地热备、数据离线备份措施;其他相关业务应用系统需要数据离线备份措施。

 

3.5.4应急响应计划

 

通过建立应急相应机构，制定应急响应预案，通过建立专家资源库、厂商资源库等人力资源措施，通过对应急响应有线网络ICATV预案不低于一年两次的演练，可以在发生紧急事件时，做到规范化操作，更快的恢复应用和数据，并最大可能的减少损失

 

3.6安全人员管理

 

信息系统的运行是依靠在各级党政机构工作的人员来具体实施的，他们既是信息系统安全的主体，也是系统安全管理的对象。所以，要确保信息系统的安全，首先应加强人事安全管理。

 

安全人员应包括：系统安全管理员、系统管理员、办公自动化操作人员、安全设备操作员、软硬件维修人员和警卫人员。

 

其中系统管理员、系统安全管理员必须由不同人员担当。3.7技术安全管理

 

主要措施包括：软件管理、设备管理、备份管理以及技术文档管理。

 

4安全规划分期建设路线

 

信息安全保障重要的是过程，而不一定是结果，重要的是安全意识的提高，而不一定是安全措施的多少。因此，信息安全建设也应该从保障业务运营为目标，提高用户自身的安全意识为思路，根据业务应用的模式与规模逐步、分阶段建设，同时还要符合国家与广电总局关于等级保护的技术与管理要求。

 

4.1主要的工作内容

 

根据安全保障方案规划的设计，贵州广电网络的信息安全建设分为如下几个方面的内容：

 

1.网络优化改造:主要是安全域的划分，网络结构的改造。

 

2.安全措施部署:边界隔离措施部署，行为审计系统部署、安全监控体系部署。

 

3.基础设施改造：主要是数据大集中、服务器虚拟化、存储虚拟化。

 

4.安全运维管理:信息安全管理规范、日常安全运维考核、安全检查与审计流程、安全应急演练、曰常安全服务等。

 

4.2分期建设规划

 

4_2.1达标阶段(2015-2017)

 

1.等保建设

 

2.信任体系：网络审计、运维审计、日志审计

 

3.身份鉴别(一次口令)

 

4.监控平台：入侵检测、流量监测、木马监测

 

5.安全管理平台建设

 

6.等保测评通过(2级3级系统)

 

7.安全服务：建立定期模式

 

8.渗透性测试服务(外部+内部)

 

9.安全加固服务，建立服务器安全底线

 

10.信息安全管理

 

11.落实安全管理细则文件制定

 

12.落实安全运维与应急处理流程

 

13.完善IT服务流程，建设安全运维管理平台

 

14.定期安全演练与培训

 

4.2.2持续改进阶段(2018〜2019)

 

1.等保建设

 

2.完善信息安全防护体系

 

3.提升整体防护能力

 

4.深度安全服务

 

5.有针对性安全演练，协调改进管理与技术措施

 

6.源代码安全审计服务(新上线业务)

 

7.信息安全管理

 

8.持续改进运维与应急流程与制度，提高应急反应能力

 

9.提高运维效率，开拓运维增值模式

 

5结東语

第6篇：网络安全等级保护管理办法范文

近年来，国信办组织了几项信息安全试点，遍及全国的近三十余家试点单位成为安全探索先行者。当通过一年多的努力，为中国信息安全前行之路成功点燃一簇簇“星火”的时候，

他们坦然面对记者说出了这背后的故事。

国税总局在风险评估实践中总结出的差距分析法

有句话是这么说的：道路是什么，道路是人在没有路的地方用脚踩出来的。

人生的道路是这样，信息安全之路也是这样。当安全威胁成为信息化进程最大阻碍的时候，如何踩出一条网络信息安全之路，就成为政府主管部门思考的问题。

2006年，为贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号文件)，形成与国际标准相衔接的中国特色的信息安全标准体系，以更好应对未来日益严峻的信息安全威胁，国务院信息化工作办公室会同相关部门，组织了三项信息安全试点，包括：电子政务信息安全试点、信息安全风险评估试点、信息安全管理标准应用试点。总共有三十余家试点单位参加了相关试点工作。

因为涉及国家信息安全未来标准和技术道路的探索，所有的试点单位一直都仿佛蒙上一层神秘的面纱。这些探索者究竟做了一些什么工作？它们的先行又为我国信息安全事业踏出什么样的实践之路？近日，在国信办召开的全国地方信息安全处长会议间歇，记者走近本次试点工作六个优秀试点单位代表，揭开了一直罩在这些试点单位头上那层神秘的面纱，看到了他们的努力和汗水，以及试点工作探*索出来的宝贵经验。政务驰入安全互联网模式

试点方向：电子政务信息安全

访谈人物：河南省济源市信息办副主任焦依平

电子政务是国家信息化的重中之重，而信息安全又是电子政务顺利完成的重中之重。

为贯彻落实中办发27号文件精神，研究解决电子政务信息安全建设和管理中的一些共性问题，探索电子政务信息安全保障方法，国信办会同国家保密局、国家密码管理局、公安部十一局，从2005年10月开始，在广东、河南、天津、重庆4个省市开展了电子政务信息安全试点。

这4个试点具体方向各有不同，其中河南济源市探索的方向是如何基于互联网开展电子政务建设、保障信息安全问题。“我们按照‘保安全，促应用’的思路，构建了基于互联网的电子政务信息安全保障体系，探索出了一条低成本建设电子政务的新路子。”焦依平现在谈起试点，依然抑制不住激动的心情。

焦依平介绍说，济源市通信光纤现已覆盖到村，政务部门全部接入了互联网，但是统计下来，济源市政务信息中部分总量不超过3%。如果仅为了3%的信息传递投入巨资建专网，显然投入和效益不能平衡，这也与电子政务建设的初衷相违背。为此，济源市按照国信办和河南省信息办的要求，不拉专线，完全基于互联网，开展电子政务建设。

济源市试点系统建设内容包括以下几项：一是基于互联网建设连接全市所有党政部门和乡镇的电子政务网络；二是在互联网上建设政务办公、项目审批管理、12345便民热线、新农村信息服务等4个应用系统；三是在进行网络和应用系统建设的同时开展信息安全试点，建设基于互联网电子政务信息安全支撑平台。

那么，如何真正用技术实现政务网络互联网办公的安全需求呢？焦依平介绍说，试点工程遵循信息安全系统工程思想，按照“适度安全，促进应用，综合防范”的原则和等级保护的要求，采用集成创新的技术路线，综合运用以密码为核心的信息安全技术，合理配置信息安全保密设备和安全策略，建设一个技术先进、安全可靠的基于互联网的电子政务信息安全支撑平台，形成一体化的分级防护安全保障体系，为电子政务提供可靠、有效的安全保障。

从安全技术实现上，据焦依平介绍，济源市试点工程的安全支撑平台涉及网络安全和应用安全两部分，本次试点网络安全系统共建设7个安全子系统：一是VPN系统，由VPN密码机、VPN客户端和VPN管理系统组成，共同完成域间安全互联、移动安全接入、用户接入控制与网络边界安全等功能，其中中心机房的VPN密码机带有防火墙功能；二是统一身份认证与授权管理系统，完成用户统一身份认证、授权管理等功能；三是网络防病毒系统，部署于安全服务区，完成网络防病毒功能；四是网页防篡改系统，部署于政府网站，提供网站立即恢复的手段和功能；五是入侵检测系统，部署于中心交换机，对网络入侵事件进行主动防御；六是网络审计系统部署于中心交换机，对网络事件进行记录，方便事后追踪；七是桌面安全防护系统，部署在用户终端，提供网络防护、病毒防护、存储安全、邮件安全等一体化的终端安全保护。

对于目前试点效果，焦依平认为，从实际效果来说，一是低成本建设了安全的政务网络，实际投入620万元，比原计划专网方式预算总投资节约48.3%；二是实现了安全政务办公和可信政务服务，全市各部门已100%实现了安全互联，网络可达乡镇，试点村；三是实现了安全的移动办公，打破了电子政务应用只能在本地访问的局限。而从长远来讲，济源市已经初步建成安全、开放、实用的全面基于互联网的电子政务系统。

电子政务内外互通

试点方向：电子政务信息安全

访谈人物：广东省信息中心副主任曾强

目前，妨碍电子政务系统互联互通的主要原因就是由此带来的信息安全问题。跟济源市试点方向不同，广东省的试点方向主要是通过等级保护，探索解决省、市、县(区)电子政务系统的信息共享与互联互通问题。曾强介绍说，面对国信办试点布置的这个大命题，广东省将试点命题细化成以下几个方面：由广东省民政厅及东莞、深圳两市民政局以及地下救助站完成民政4个业务系统纵向互联互通试点；由省政府办公厅完成视频会议系统省府门户网站试点；由佛山市政府完成财税库银互联互通系统试点；由江门市政府完成开放互联环境下的信息安全解决方案试点；由佛山市南海区政府完成大社保6个分系统横向互联互通试点。

关于如何解决在不同的电子政务系统之间，安全实现互联互通以及资源共享问题，曾强介绍说，试点工作中，广东省综合运用等级保护和风险评估相结合的方法，确定了解决互联互通问题的基本思路：一是明确系统的重要程度，确定系统安全等级，采取与系统安全等级相适应的安全保护措施；二是按照有条件互联、共享可控制的原则，确定需要共享的系统和应用以及需要共享的数据，保证只共享那些确实需要共享的数据，以保护系统中原有信息的安全；三是在进行系统互联的部门之间建立共同的安全管理机制，明确系统互联后的安全管理责任、管理边界、安全事件协同处理等机制；四是对系统互联的安全风险进行评估，全面分析低安全等级的系统给高安全等级的系统带来的安全风险；五是针对系统互联的安全风险，确定关键的安全控制要素，如互联边界的访问控制、系统互联的安全传输等，并落实具体的安全措施，保障系统互联、数据共享的安全。

在以上措施的执行下，广东省取得了初步成功，形成了《广东省电子政务系统定级规范》、《广东省电子政务系统互联互通安全规范》等地方指导性文件。

风险规避预先保障

试点方向：信息安全风险评估

访谈人物：国家税务总局处长李建彬

上海市信息化委员会信息安全测评中心

总工程师应力

信息网络，风险无处不在，防患于未然是上上之策。这也是风险评估安全保障的内涵所在。国信办于2005年2月组织北京市、上海市、黑龙江省、云南省、中国人民银行、国家税务总局、国家电网公司、国家信息中心等地方和部门开展信息安全风险评估试点工作。

国家税务总局在广东地税南海数据中心所进行的风险评估试点，最大的亮点就是具有创新精神的“差距分析法”。

李建彬在介绍广东南海试点经验时，将差距分析法用一句话概括，就是“通过找出安全目标与现实系统差距，从而得出风险分析报告”。在试点工作中，李建彬感触最深的就是，要对系统生命周期的整个过程都持续不断地引入风险评估，尽量避免“先运行，后评估”的亡羊补牢式工作流程，以降低信息系统整体的信息安全风险等级。此外，李建彬还提出在风险评估工作具体实施过程中必须重点考虑以下几点：

首先是风险评估与等级保护有密切的关系。类别和级别都是信息系统的固有属性，通过风险评估可以识别系统的类别和安全级别，从而落实“等级保护”这一国家政策。但是系统的安全级别不应该一刀切，可考虑将系统最高安全级别部分的安全等级作为系统的安全等级。其次是系统分析是系统安全评估的基础工作。再次是行业性系统安全要求在风险评估中起决定作用，不同行业的系统有着不同的安全要求，必须为不同行业、不同类型的系统制定适应其特点的系统安全要求。最后，通过安全风险评估工作进一步完善系统安全总体设计。

上海市在很早的时候就开始对风险评估进行探索。2002年上海市就确立180家重点信息安全责任单位(2004年调整为163家)，涉及重要政府部门、公共事业单位、基础网络和涉及国计民生的重要信息系统。2006年，上海市了《上海市公共信息系统安全测评管理办法》，又于2007年1月出台了《上海市市级机关信息系统建设与管理指南》。之后，上海市信息委又出台了关于风险评估工作的实施意见，明确建立自评估与检查评估制度的原则、工作安排。

上海市信息安全测评中心总工程师应力博士在介绍上海市的风险评估实践经验时，多次强调要引导各单位进行自评估建设，让信息安全风险评估成为政府及企事业信息安全建设的常态，在系统的设计阶段、验收阶段、运行阶段，都需要进行风险评估工作，形成“预防为主，持续改进”的风险评估机制。应力认为，对信息安全主管机关来说，风险评估是一种管理措施，通过风险评估，领导者可以了解信息系统的安全现状，从而为管理决策提供依据。

信息安全重在管理

试点方向：信息安全管理标准应用

访谈人物：北京市海淀区信息办主任张泽根

深交所ISMS项目组张兴东

有专家提出：“信息安全系统是三分技术，七分管理。”可见信息安全管理在整个信息安全保障体系中的重要性。

国信办网络与信息安全组与全国信息安全标准化技术委员会共同于2006年3月开始，在北京市、上海市、国家税务总局、中国证监会和武汉钢铁(集团)公司选取了相关单位，对国际上通用的，也是已经列入国家标准制、修订计划的两个信息安全管理标准，即ISO/IEC 27001:2005《信息安全管理体系要求》和ISO/IEC 17799:2005《信息安全管理使用规则》，组织了应用试点。

北京市海淀区信息办张泽根主任在具体介绍北京市海淀区信息安全管理体系实践经验时，感触最深的就是在参考国际标准ISO/IEC27001和ISO/IEC17799的基础上，结合海淀区原有ISO9001管理体系，取得了事半功倍的实际效果。通过ISMS的运行实践，海淀区信息办建立了信息安全管理体系，为进一步通过ISO/IEC27001认证做了很好的准备，同时还对ISMS与风险评估和等级保护的关系进行了有益的探索。ISMS为解决海淀区信息安全问题，提供了良好的方法和管理机制，并且为政府的信息化建设通过避免安全事故和合理分配经费两种方式很好地节约了建设经费。

在ISMS项目试点实施前，深交所ISMS项目组就确定了项目实施不能流于形式的总体工作思路。深交所ISMS项目组张兴东介绍经验时，认为除了利用技术调查手段之外，还需要深入各个层面调研，充分了解深交所的信息安全现状，利用多种方法相互补充、相互印证，以提高调查质量，为项目后期的实施打下良好的基础。

第7篇：网络安全等级保护管理办法范文

关键词：网络信息安全；等级保护

中图分类号：TP311 文献标识码：A文章编号：1007-9599 (2011) 14-0000-02

The Public Security Frontier Forces Information Security Construction Discussion

Jiang Haijun

(Liaoning Province Public Security Border Defense Corps Logistics Base,Shenyang110136,China)

Abstract:This article according to the public security Frontier forces network and the information security present situation,had determined by the internal core data protection network and the information security system construction goal primarily,through the pass word method safeguard internal data security,achieves the data security rank protection the request.

Keywords:Network information security;Level protection

随着科学技术和边防部队勤务工作的深入发展，信息化建设已成为提高边防执法水平的有力途径，全国边防部队近年来已基本实现信息资源网络化。但是，紧随信息化发展而来的网络安全问题日渐凸出，给边防部队管理工作带来了新的挑战，笔者结合边防部队当前网络安全工作实际，就如何构建全方位的网络安全管理体系略陈管见。

一、影响边防部队信息网络安全的主要因素分析

（一）物理层的安全问题。构成网络的一些计算机设备主要包括各种服务器、计算机、路由器、交换机、集线器等硬件实体和通信链路，这些设备分向在各种不同的地方，管理困难。其中任何环节上的失误都有可能引起网络的瘫痪。物理安全是制定区域网安全解决方案时首先应考虑的问题。

（二）计算机病毒或木马的危害。计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪，是影响网络安全的丰要因素。新型的木马和病毒的界限越来越模糊，木马往往借助病毒强大的繁殖功能使其传播更加广泛。

（三）黑客的威胁和攻击。现在各类打着安全培训旗号的黑客网站不胜枚举，大量的由浅到深的视频教程，丰富的黑客软件使得攻击变得越来越容易，攻击者的年龄也呈现低龄化，攻击越演越烈。黑客入侵的常用手法有：系统溢出、端口监听、端口扫描、密码破解、脚本渗透等。

二、边防部队信息网络安全的特征分析

（一）网络安全管理范围不断扩大。从工作点来看，网络覆盖范围已从机关直接深入到基层一线，从机关办公大楼到沿边沿海的边检站、派出所。凡是有网络接入点的地方，无论是物理线路还是无线上网点都必须进行网络安全管理，点多线长，情况复杂；从工作环节来看，从设备的选购、网络的组建、专线的租用到日常网络应用，从设备维护保养、设备出入库到送修和报废，无一不涉及到网络信息安全，网络安全已渗透到工作的每一个环节。如：某单位被通报发现违规事件，经调查，结果是有人将手机接上公安网计算机充电，而该手机正在无线上网。

（二）安全管理对象类型复杂多样。目前，公安信息网、互联网、业务专网、机要专网在日常工作中频繁使用，成为管理的难点。同时，公安网上各类使用中的网络安全管理软件系统应用有待深化，一些网络管理软件使用功能仅停留在表层，未能成为得力工具。

（三）网络安全问题不断翻新。目前互联网、公安网、业务网、网四种网络必须物理隔离，禁止交叉使用移动存储介质，但四种网络的信息资源在一定范围内却必须共享交流。曾经出现过这种情况，某单位人员在互联网上建立论坛，发表不健康言论，触犯边防部队管理条例。究其原因，是因为我们的网络安全工作一直以来是局限在公安网内部，尚未随着网络应用发展趋势扩展到互联网的管理上。

三、边防部队信息网络安全的技术分析

网络安全产品的自身安全的防护技术网络安全设备安全防护的关键，一个自身不安全的设备不仅不能保护被保护的网络而且一旦被入侵，反而会变为入侵者进一步入侵的平台。

（一）虚拟网技术。虚拟网技术主要基于近年发展的局域网交换技术（ATM和以太网交换）。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此，网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。

（二）防火墙技术。网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。虽然防火墙是保护网络免遭黑客袭击的有效手段，但也有明显不足：无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。

（三）病毒防护技术。病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联，病毒的传播途径和速度大大加快。在防火墙、服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。

（四）入侵检测技术。利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险。但是，仅仅使用防火墙、网络安全还远远不够。需要监视的服务器上安装监视模块（agent），分别向管理服务器报告及上传证据，提供跨平台的入侵监视解决方案；在需要监视的网络路径上，放置监视模块（sensor），分别向管理服务器报告及上传证据，提供跨网络的入侵监视解决方案。

四、边防部队信息网络安全管理体系的对策

网络安全是一个范围相对较大的概念，根据具体的实际情况组成不同安全管控层次或等级的网络系统，既是网络实际发展应用的趋势，更是网络现实应用的一种必然。

（一）提高多层次的技术防范措施。按照网络实际应用中出现故障的原因和现象，参考网络的结构层次，我们可以把网络安全工作的对象分为物理层安全、系统层安全、网络层安全和应用层安全，不同层次反映不同的安全问题，采取不同的防范重点：一是确保物理环境的安全性。包括通信线路的安全、物理设备的安全、机房的安全等。在内网、外网共存的环境中，可以使用不同颜色的网线、网口标记、网口吊牌来标记区分不同的网络，如灰色的公安网专用，红色的互联网专用，黄色的网专用。二是确保软硬件设备安全性。必须预备一定的备用设备，并定期备份重要网络设备设置。对待报废的各类存储类配件，一定要进行消磁处理，确保信息安全。三是提供良好的设备运行环境机房要有严格的防盗、防火、防潮、防静电、防尘、防高温、防泄密等措施，并且有单独的电源供电系统；安装有计算机的办公室要有防尘、防火、防潮、防泄密等措施，电源要符合计算机工作要求。四是完善操作系统的安全性必须设置系统自动升级系统补丁。五是加强密码的管理。存取网络上的任何数据皆须通过密码登录。同时设制复杂的计算机开机密码、系统密码和屏保密码。

（二）建立严格的网络安全管理制度。严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低安全漏洞。我们应通过制度规范协调网络安全的组织、制度建设、安全规划、应急计划，筑起网络安全的第一道防线。

（三）合理开放其它类型的网络应用。目前，很多单位都建立了警营网吧，给官兵提供良好的学习娱乐平台，这种情况下就必须把互联网的网络安全工作纳入安全工作范围，采取多种方法，规范和引导官兵进行互联网的应用，合理开放所需的应用功能，有效控制不合理的功能应用。目前，边防部队的信息网络安全技术的研究仍处于起步阶段，有大量的工作需要我们去探索和开发。公安部已在全国范围内大力推进信息网络安全工作，相信在大家的共同努力下，边防部队将建立起一套完整的网络安全体系，确保信息网络的安全，推动边防部队信息化高度发展。

五、结论

网络信息安全系统建设完成后，将实现信息系统等级保护中有关数据安全保护的基本要求和目标，尤其是应用密码技术和手段对信息系统内部的数据进行透明加密保护。网络信息安全系统还为单位内部机密电子文档的管理提供了一套有效的管理办法，为电子文档的泄密提供了追查依据，解决了信息系统使用方便性和安全共享可控制的难点，为部队深化信息化建设提供技术保障。网络信息安全系统能够有效提高单位的数据安全保护等级，与其他信息系统模块协调工作，实现了资源的整合和系统的融合，形成一个更加安全、高效、可控、完善的信息系统风险监控与等级保护平台，提高了部队内部核心数据，特别是对内部敏感电子文档的安全管理，随着系统的不断完善和扩大，将对部队内部网络和信息系统的安全保护发挥更大作用。

参考文献：

第8篇：网络安全等级保护管理办法范文

关键词：信息安全;技术创新;分级管理

21世纪以来，随着我国网络信息化的高速发展和“三网融合”的积极推进，广电行业的网络化、数字化和智能化的趋势与日俱增。人们在享受便利的同时，也面临着信息安全的严峻挑战。

一、信息安全的概念和要求

网络的开放性和共享性，使其更容易受到病毒、黑客的侵袭，从而导致信息外泄、恶意篡改、密码被盗、网络窃听等问题。因此，网络的信息安全，从根本上说是指网络系统本身运行稳定，以及系统中的相关数据信息在任何情况下，不会被泄漏、更改或干扰。其内涵主要包括系统安全、内容安全、传输安全等。信息安全防护工作应该满足以下要求：一是保密性，要求在保证为授权使用者正常使用的同时，能保护数据不被非法截获；二是完整性，能确保数据信息在运行过程中是未被篡改或破坏的原始信息；三是可用性，要保证系统时刻正常运行，用户在任何情况下都能及时得到或使用数据；四是可控性，确保用户身份的真实性，保证信息和信息系统的授权认证和监控管理，同时能有效防范黑客、病毒等。

二、广电行业信息安全存在的问题

广电行业的网络化、信息化和智能化的趋势，对信息安全工作提出了严峻的挑战。一方面，由于信息安全管理和技术的专业性，目前无论是人员数量上还是技能上，都存在不足；另一方面，互联网的开放性和共享性使黑客攻击更方便、破坏更广，会给单位和个人信息造成很大的安全隐患。因此，提高信息安全集中监管的能力和技术水平，成为广电行业发展的中心课题。虽然我国信息安全工作也在稳步开展，但还是存在一些不容忽视的共性问题。1.管理制度不完善，执行不到位安全保护工作日益受到各级领导的重视，各相关单位对网络和信息系统的安全保护日常管理工作基本规范，但未能严格按照等级保护管理要求，建立完整的安全管理制度；没有制定具体岗位工作职责，如系统管理员、网络管理员、安全管理员岗位不明确；安全管理制度执行过程中的记录存在缺失现象；缺乏整体的信息安全应急预案和演练记录；在信息系统建设时有规划，但缺少相关安全技术专家对安全设计方案进行论证和审定，决策的民主性、科学性不足；专门针对安全技能方面的培训和考核需要加强。2.信息安全技术滞后，创新性不足在安全技术方面各单位虽然也采取了隔离技术、防火墙技术等，但仍存在明显不足：没有从物理安全、主机安全、网络安全、应用安全、数据安全几个方面建立完整的技术防范体系；目前依赖于外网隔离、延播和备播等传统安全播出手段，很难适应日益发展的新媒体平台建设，在互联网上提供点播和直播内容服务；管理用户的身份鉴定大多数采取用户名/口令的方式，而且缺乏有效的口令更新周期机制，存在被暴力破解和窃听的风险；平台未能按照三权分立的原则设定系统管理员、安全管理员和安全审计员，造成系统存在超级用户，权力过大；目前厂家可通过第三方软件或者远程桌面直接登录到应用服务器，且操作没有行为记录，存在安全风险，需要加强对厂家进行系统运维的监管。3.管理队伍素质参差不齐，安全意识淡薄由于编制和经费等因素的制约，很多管理人员身兼多职，一人多岗。一方面，专业技术人员明显存在不足；另一方面，有的技术人员年龄偏大、专业知识老化，对一些新技术、新病毒缺乏职业敏感性，更缺乏预见性。此外，安全教育工作也没有跟上，部分人员安全意识淡薄。

三、广电行业信息安全管理的对策

信息安全问题，不仅是一个技术问题，更是一个管理方面的问题。加强信息安全管理，必须从以下几个方面入手。1.增强信息安全意识，树立整体信息安全观信息安全的保障能力是21世纪国家核心竞争力的重要组成部分，必须从国家战略层面加以重视，人人都要树立信息安全观。同时，信息安全防护也是一个比技术防护层面和一般社会管理层面更高层次的问题，它应该是基于安全技术为基础的集法律、道德、管理、技术和人才于一体的综合保障体系，因此，必须树立整体信息安全观。2.加强信息安全立法，构筑信息安全法律之网有效解决网络信息安全问题不仅要依靠技术手段，还必须将技术性规范法律化。虽然我国的《计算机信息系统安全保护条例》《计算机病毒防治管理办法》《互联网安全保护技术措施规定》等相继出台，在保障网络信息安全方面发挥了重要作用，但是现行的法律制度仍然难以适应日益发展的网络信息化的新形势，因此，加快相关立法、构建更加完善的信息安全法律保障体系，成为广电网快速发展的必然要求。3.健全信息安全管理体系，加强信息安全顶层设计随着网络的普及和深入，信息安全已不是一个孤立的问题，依靠任何单一的安全技术或产品，都不能保证网络信息的安全。这就需要构建一个以安全技术措施为基础，科学决策、规范管理、安全运行的有机统一的安全管理体系。其中，最关键是要建立和落实信息安全分级保护制度，根据不同单元的重要程度或风险程度划分为不同的保护等级，分别采取必要的保护技术和措施，以达到安全有效保护的目的。4.建立完整高效的技术防范体系，为信息安全提供技术支撑不断加强网络技术的研究与开发，从物理安全、主机安全、网络安全、应用安全、数据安全与备份恢复几个方面建立完整高效的技术防范体系。加大对内容过滤和检测技术、加密技术等关键信息技术的研发力度；同时，推行信息安全技术设备的国产化，进一步提升广电网信息安全的管控水平。合理划分安全域是建立信息安全防范技术体系的前提。通过合理划分安全域，网络边界更加明确，这样既有利于实现对物理区域和网络区域之间的有效隔离和访问控制，也增强了安全域的边界安全及内部进行重点安全防护的针对性。另外，要不断优化终端设备、IP协议以及网络上下行频率分配等，改善用户体验，提升信息服务水平。5.提高管理人员素质，为信息安全提供人才保障要制定科学合理的人才发展规划，充分发挥技术人才的作用。一方面，加大专业技术人才的引进力度，落实人才优惠政策，既要吸引人才，更要留住人才。另一方面，重视对员工的业务技能培训和职业道德教育，使其增强保密意识，遵守工作规范，履行岗位职责，让每一名信息管理人员成为守护信息安全的忠诚卫士。

四、结语

推进三网融合是促进我国信息化建设的必由之路。广电网是三网融合中很重要的一个环节，确保网络信息安全举足轻重。然而，开放共享的网络也是一把“双刃剑”，使用网络就必然存在网络信息安全问题。因此，在融合过程中，必须紧紧抓住信息安全这条主线，加强信息基础设施建设，健全法律体系，加强技术创新，落实信息安全分级保护制度，不断提升广电网的安全性，切实保障党和国家的财产安全以及人民群众的切身利益。人力资源是企业最根本、最核心的资源之一。企业以实现利益最大化为目标，而企业利益必须依靠人来创造和获取。因此，优化人力资源管理，已经成为国有煤炭企业可持续发展的重中之重。一、国有煤炭企业人力资源管理存在的问题1.“以人为本”的观念在实际工作中体现不够国有煤炭企业体制机制上的弊端反映在人力资源管理上，即强调“听从安排”，否定个性发展，重拥有不重使用，造成部分员工工作主动性和创造性不足。虽然企业也积极探索“以人为本”的人力资源管理新模式，但口头上、形式上、表面上的“以人为本”，覆盖了实质上、实际上、实效上的“以人为本”。2.没有正确认识“人力资本”的意义国有煤炭企业对人力资源的管理基本上还停留在经验管理为主的传统模式，缺乏对“人力资本”的认识，“人力资本”的概念更是模糊不清，仍然习惯于人多好干活、人海战术的劳动密集型人力资源管理方式。这造成很多部门和岗位人员偏多，工作效率较低。同时，计划经济的“大锅饭”思想束缚了员工工作的主动性和自觉性，人力资本的潜能无法发挥作用。3.员工整体素质有待提高国有煤炭企业员工整体素质较低，参加工作之前接受学校的教育程度和知识水平不高，缺乏煤矿专业系统性理论知识，根基打得不牢、不实，造成工作中业务技能难以提升。

作者:钱英 单位:安徽智圣通信技术股份有限公司

参考文献

[1]张爱华.试论我国网络信息安全的现状与对策[J].江西社会科学,2006（09）：252-255.

[2]毋晶晶,肖晏夏.关于对企业信息安全等级保护的思考[J].科技创新与生产力,2011(08)：60-61.

[3]张瑞芝.广电行业信息安全等级保护工作探究[J].信息网络安全,2010(9)：72-73.

第9篇：网络安全等级保护管理办法范文

【 关键词 】 内蒙古电力公司信息系统；信息安全；风险评估；探索与思考

The Exploration and Inspiration of Risk Assessment on Information Systems

in Inner Mongolia Power （Group） Co.， Ltd.

Ao Wei 1 Zhuang Su-shuai 2

（1.Information Communication Branch of the Inner Mongolia Power （Group）Co.， Ltd Inner MongoliaHohhot 010020；

2.Beijing Certificate Authority Co.， Ltd Beijing 100080）

【 Abstract 】 Based on the conduct of information security risk assessment in Inner Mongolia Power （Group） Co. Ltd.， we analyzed the general methods of risk assessment on power information systems. Besides， we studied the techniques and overall process of risk assessment on power information systems in Inner Mongolia Power （Group） Co. Ltd.， whose exploration provides valuable inspiration to information security in electric power industry.

【 Keywords 】 information systems of Inner Mongolia Power （Group） Co.， Ltd.； information security； risk assessment； exploration and inspiration

1 引言

目前，电力行业信息安全的研究只停留于网络安全防御框架与防御技术的应用层面，缺少安全评估方法与模型研究。文献[1]-[3]只初步分析了信息安全防护体系的构架与策略，文献[4]、[5]研究了由防火墙、VPN、PKI和防病毒等多种技术构建的层次式信息安全防护体系。这些成果都局限于单纯的信息安全保障技术的改进与应用。少数文献对电力信息安全评估模型进行了讨论，但对于安全风险评估模型的研究都不够深入。文献[6]、文献[7]只定性指出了安全风险分析需要考虑的内容；文献[8]讨论了一种基于模糊数学的电力信息安全评估模型，这种模型本质上依赖于专家的经验，带有主观性；文献[9]只提出了一种电力信息系统安全设计的建模语言和定量化评估方法，但是并未对安全风险的评估模型进行具体分析。

本文介绍了内蒙古电力信息系统风险评估的相关工作，并探讨了内蒙古电力信息系统风险评估工作在推动行业信息安全保护方面带给我们的启示。

2 内蒙古电力信息安全风险评估工作

随着电网规模的日益扩大，内蒙古电力信息系统日益复杂，电网运行对信息系统的依赖性不断增加，对电力系统信息安全的要求也越来越高。因此，在电力行业开展信息安全风险评估工作，研究电力信息安全问题，显得尤为必要。

根据国家关于信息安全的相关标准与政策，并根据实际业务情况，内蒙古电力公司委托北京数字认证股份有限公司（BJCA）对信息系统进行了有效的信息安全风险评估工作。评估的内容主要包括系统面临的安全威胁与系统脆弱性两个方面，以解决电力信息系统面临的的安全风险。

3 电力系统信息安全风险评估的解决方案

通过对内蒙古电力信息系统的风险评估工作，我们可以总结出电力信息系统风险评估的解决方案。

4 电力信息系统风险评估的流程

电力信息系统风险评估的一般流程。

（1） 前期准备阶段。本阶段为风险评估实施之前的必需准备工作，包括对风险评估进行规划、确定评估团队组成、明确风险评估范围、准备调查资料等。

（2） 现场调查阶段：实施人员对评估信息系统进行详细调查，收集数据信息，包括信息系统资产组成、系统资产脆弱点、组织管理脆弱点、威胁因素等。

（3） 风险分析阶段：根据现场调查阶段获得的相关数据，选择适当的分析方法对目标信息系统的风险状况进行综合分析。

（4） 策略制定阶段：根据风险分析结果，结合目标信息系统的安全需求制定相应的安全策略，包括安全管理策略、安全运行策略和安全体系规划。

5 数据采集

在风险评估实践中经常使用的数据采集方式主要有三类。

（1） 调查表格。根据一定的采集目的而专门设计的表格，根据调查内容、调查对象、调查方式、工作计划的安排而设计。常用的调查表有资产调查表、安全威胁调查表、安全需求调查表、安全策略调查表等。

（2） 技术分析工具。常用的是一些系统脆弱性分析工具。通过技术分析工具可以直接了解信息系统目前存在的安全隐患的脆弱性，并确认已有安全技术措施是否发挥作用。

（3） 信息系统资料。风险评估还需要通过查阅、分析、整理信息系统相关资料来收集相关资料。如：系统规划资料、建设资料、运行记录、事故处理记录、升级记录、管理制度等。

a） 分析方法

风险评估的关键在于根据所收集的资料，采取一定的分析方法，得出信息系统安全风险的结论，因此，分析方法的正确选择是风险评估的核心。

结合内蒙电力信息系统风险评估工作的实践，我们认为电力行业信息安全风险分析的方法可以分为三类。

定量分析方法是指运用数量指标来对风险进行评估，在风险评估与成本效益分析期间收集的各个组成部分计算客观风险值，典型的定量分析方法有因子分析法、聚类分析法、时序模型、回归模型、等风险图法等。

定性分析方法主要依据评估者的知识、经验、历史教训、政策走向及特殊案例等非量化资料对系统风险状况做出判断的过程。在实践中，可以通过调查表和合作讨论会的形式进行风险分析，分析活动会涉及来自信息系统运行和使用相关的各个部门的人员。

综合分析方法中的安全风险管理的定性方法和定量方法都具有各自的优点与缺点。在某些情况下会要求采用定量方法，而在其他情况下定性的评估方法更能满足组织需求。

表1概括介绍了定量和定性方法的优点与缺点。

b） 质量保证

鉴于风险评估项目具有一定的复杂性和主观性，只有进行完善的质量控制和严格的流程管理，才能保证风险评估项目的最终质量。风险评估项目的质量保障主要体现在实施流程的透明性以及对整体项目的可控性，质量保障活动需要在评估项目实施中提供足够的可见性，确保项目实施按照规定的标准流程进行。在内蒙古电力风险评估的实践中，设立质量监督员（或聘请独立的项目监理担任）是一个有效的方法。质量监督员依照相应各阶段的实施标准，通过记录审核、流程监理、组织评审、异常报告等方式对项目的进度、质量进行控制。

6 内蒙古电力信息安全风险评估的启示

为了更好地开展风险评估工作，可以采取以下安全措施及管理办法。

6.1 建立定期风险评估制度

信息安全风险管理是发达国家信息安全保障工作的通行做法。按照风险管理制度，适时开展风险评估工作，或建立风险评估的长效机制，将风险评估工作与信息系统的生命周期和安全建设联系起来，让风险评估成为信息安全保障工作运行机制的基石。

6.2 编制电力信息系统风险评估实施细则

由于所有的信息安全风险评估标准给出的都是指导性文件，并没有给出具体实施过程、风险要素识别方法、风险分析方法、风险计算方法、风险定级方法等，因此建议在国标《信息安全风险评估指南》的框架下，编制适合电力公司业务特色的实施细则，根据选用的或自定义的风险计算方法，，制各种模板，以在电力信息系统实现评估过程和方法的统一。

6.3 加强风险评估基础设施建设，统一选配风险评估工具

风险评估工具是保障风险评估结果可信度的重要因素。应根据选用的评估标准和评估方法，选择配套的专业风险评估工具，向分支机构配发或推荐。如漏洞扫描、渗透测试等评估辅助工具，及向评估人员提供帮助的资产分类库、威胁参考库、脆弱性参考库、可能性定义库、算法库等评估辅助专家系统。

6.4 统一组织实施核心业务系统的评估

由于评估过程本身的风险性，对于重要的实时性强、社会影响大的核心业务系统的评估，由电力公司统一制定评估方案、组织实施、指导加固整改工作。

6.5 以自评估为主，自评估和检查评估相结合

自评估和检查评估各有优缺点，要发挥各自优势，配合实施，使评估的过程、方法和风险控制措施更科学合理。自评估时，通过对实施过程、风险要素识别、风险分析、风险计算方法、评估结果、风险控制措施等重要环节的科学性、合理性进行分析，得出风险判断。

6.6 风险评估与信息系统等级保护应结合起来

信息系统等级保护若与风险评估结合起来，则可相互促进，相互依托。等级保护的级别是依据系统的重要程度和安全三性来定义，而风险评估中的风险等级则是综合考虑了信息的重要性、安全三性、现有安全控制措施的有效性及运行现状后的综合结果。通过风险评估为信息系统确定安全等级提供依据。确定安全等级后，根据风险评估的结果作为实施等级保护、安全等级建设的出发点和参考，检验网络与信息系统的防护水平是否符合等级保护的要求。

参考文献

[1] 魏晓菁， 柳英楠， 来风刚. 国家电力信息网信息安全防护体系框架与策略. 计算机安全，2004，6.

[2] 魏晓菁，柳英楠，来风刚. 国家电力信息网信息安全防护体系框架与策略研究. 电力信息化，2004，2（1）.

[3] 沈亮. 构建电力信息网安全防护框架. 电力信息化，2004，2（7）.

[4] 梁运华，李明，谈顺涛. 电力企业信息网网络安全层次式防护体系探究. 电力信息化，2003，2（1）.

[5] 周亮，刘开培，李俊娥. 一种安全的电力系统计算机网络构建方案. 电网技术，2004，28（23）.

[6] 陈其，陈铁，姚林等. 电力系统信息安全风险评估策略研究. 计算机安全，2007，6.

[7] 阮文峰. 电力企业网络系统的安全风险分析和评估. 计算机安全，2003（4）.

[8] 丛林，李志民，潘明惠等. 基于模糊综合评判法的电力系统信息安全评估. 电力系统自动化，2004，28（12）.

[9] 胡炎，谢小荣，辛耀中. 电力信息系统建模和定量安全评估. 电力系统自动化，2005，29（10）.

作者简介：