信息安全服务评估报告精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的信息安全服务评估报告主题范文，仅供参考，欢迎阅读并收藏。

第1篇：信息安全服务评估报告范文

新增多项强劲功能

据安全专家介绍，此次的全新瑞星杀毒软件网络版2012中，增加了“私有云”技术、动态资源分配技术、企业自定义白名单系统、第二代身份标识和客户端密码防护系统。基于这些全新的功能，企业的信息安全管理可以更为稳定，并且更加精准。

瑞星企业专属“私有云”为每个企业单独构建，提供专属的云应用和云服务。它主要有两个功能：一，为企业提供了安全应用软件平台，便于企业获取经过瑞星安全认证的各类应用软件，便于管理员分发、管理和监控。二，为每个企业定制专属的安全服务，企业客户端无需存放病毒库，也无需进行复杂杀毒运算，大大降低了对系统资源的占用，同时可进行最快速、最及时、最轻便的病毒扫描和防护。

智能动态资源分配技术优化了杀毒引擎的核心技术，使其变得更加轻便，突破了传统杀毒软件一次性将病毒库加载到内存中，使用高负荷CPU进行运算的方式，并对病毒库进行了细化，同时优化其存储和加载方式，在杀毒时，实现化整为零、按需加载，从而达到降低资源占用的目的，使更多的老旧电脑也可以流畅运行最先进的杀毒软件。

大型企业在遇到安全问题时，最为头疼的是管理员很难在短时间内定位到具体出现问题的电脑，从而使问题变得更加复杂，延迟解决时间。在新一代瑞星网络版杀毒软件中，增加了第二代身份识别标示，对用户标示进行升级，加入了CPU、主板、硬盘串号、Mac地址、微软身份标示等信息，管理员可精确定位每台电脑。

5S服务诠释高端企业安全理念

将“私有云”、智能动态资源分配等领先的技术迅速落地，转化为产品并与专业的企业信息安全服务相结合，这是瑞星一直追求的目标。在瑞星新一代企业级整体解决方案中，用户不仅可享受到“私有云”技术带来的安全成果，而且能够得到国内首家5S专业级企业信息安全服务。

瑞星公司客服中心总经理齐勇表示，在企业信息安全领域，瑞星向企业用户提供了信息安全评估服务、信息安全预警服务、信息安全专家服务、信息安全应急响应服务、信息安全培训服务。

1、信息安全评估服务：信息安全始于评估，作为拥有CSP认证的安全厂商，瑞星将为用户全面评估面临的各种安全风险、提供专业评估报告。

2、信息安全预警服务：可以通过专属手机通道、邮件通报、网站挂马预警、网站漏洞检测等方式，第一时间发出预警信息，为企业提供信息安全服务。

3、信息安全专家服务：通过对口信息安全顾问、专家常驻支持等方式提供技术支持。

4、信息安全应急响应服务：一旦遇到信息安全事故，瑞星便会通过现场巡检、远程巡检、现场紧急救援、远程紧急救援、数据灾难恢复、网站挂马应急处理等方式，第一时间解决安全问题。

第2篇：信息安全服务评估报告范文

关键词：信息安全；等级保护；漏洞扫描

中图分类号：TP315 文献标识码：A 文章编号：1007-9599 (2011) 23-0000-02

Use Vulnerability Scanning System to Improve the Level of Power Supply Enterprise Information Security Management

Chen Wan

(Guangdong Power Grid Corporation,Shantou Power Supply Bureau,Shantou 515041,China)

Abstract:The building vulnerability scanning system,and regulate their use of processes,thereby enhancing the power supply enterprise level and effectiveness of information security management.Shantou Power Supply Bureau introduced the use of the IDC deployment vulnerability scanning system,set up the server was added to the process specifications,thereby enhancing the information security management.

Keywords:Information security;Protection Level;Vulnerability scanning

引言：伴随着信息化的高速发展，信息安全的形势日趋复杂和严峻。国家政府对信息安全高度关注，信息安全等级保护是我国在新的信息安全形势下推行的一项国家制度，国家相关部门高度重视等级保护制度的落实与执行。信息系统是业务系统的支持平台，信息系统的安全是承载业务系统安全的基础，而在信息系统等级保护中，安全技术测评包括五个部分：分别是物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复。其中所涉及到的主机系统安全控制点包括：身份鉴别、安全标记、访问控制、可信路径、安全审计、入侵防范、恶意代码防范和资源控制等九个控制点。怎么提前做好风险控制，利用现有的信息安全工具，规范信息系统主机上架前的检测，对信息安全的管理是一种创新的尝试，也是安全管理中位于未雨绸缪的体现。

一、漏洞扫描系统的构建

（一）漏洞扫描工具的作用

漏洞扫描工具采用高效、智能的漏洞识别技术，第一时间主动对网络中的资产进行细致深入的漏洞检测、分析，并提供专业、有效的漏洞防护建议。

我们采用的漏洞扫描工具的管理是基于Web的管理方式，用户使用浏览器通过SSL加密通道和系统Web界面模块进行交互，采用模块化设计。具有优化的专用安全系统平台，具有很高的安全性和稳定性。其专用硬件能够长期稳定地运行，很好地保证了任务的周期性自动处理。能够自动处理的任务包括：评估任务下发、扫描结果自动分析、处理和发送、系统检测插件的自动升级等。同时支持多用户管理模式，能够对用户的权限做出严格的限制，通过权限的划分可以实现一台设备多人的虚拟多机管理，并且提供了登录、操作和异常等日志审计功能，方便用户对系统的审计和控制。

在每次安全评估之前，用户需要根据自己的业务系统确定需要进行评估的资产，并且划分资产的重要性。漏洞扫描系统根据用户的资产及其重要性会自动在其内部对目标评估系统建立基于时间和基于风险等多种安全评估模型。在对目标完成评估之后，模型输出的结果数据不但有定性的趋势分析，而且有定量的风险分析，用户能够清楚地看到单个资产、整个网络的资产存在的风险，还能够看到网络中漏洞的分布情况、风险级别排名较高的资产、不同操作系统和不同应用漏洞分布等详细统计信息，用户能够很直观地了解自己网络安全状况。

（二）漏洞扫描工具的部署

针对汕头供电局的网络情况，使用独立式部署方式。独立式部署就是在网络中部署一台漏洞扫描设备。在共享式工作模式下，只要将设备接入网络并进行正确的配置即可正常使用，其工作范围通常包含汕头供电局的整个网络地址，用户登录系统并下达扫描任务。下图是漏洞扫描系统独立式部署模式图。从图中可以看出，无论在汕头供电局何处接入设备，网络都能正常工作，完成对网络的安全评估。

图1：漏洞扫描系统独立式部署模式图

（三）漏洞扫描工具的定位

1.利用漏洞扫描工具定期对网络信息系统进行扫描，以便主动发现存在的安全隐患和防护漏洞。

2.巡检服务中对操作系统修补、加固和优化，根据提供出来的评估报告对相关系统进行打补丁、升级、修补、加固和优化，提供详细操作报告。

3.巡检服务过程中针对网络设备安全加固和优化；进行修补和加固，按照安全策略进行安全配置和优化，提供详细操作报告。包括：网络设备的安全配置，网络设备的安全加固，网络设备的优化配置等。

4.检服务过程中对网络安全设备，对所有网络边界进行梳理，对边界安全防护系统的策略进行优化。通过综合应用防火墙、IPS、防病毒网关等网络安全系统，在区域边界实施严密的控制措施，尽量在边界阻断来自区域外的安全威胁，从而最大化地提高电力信息数据的安全性和电力信息系统的可用性。

5.巡检服务过程中在安全评估的基础上，对桌面终端和服务器系统中存在的安全漏洞进行修复。对于无法修复的漏洞，评价其可能带来的安全风险，并采用周边网络防护系统（如防火墙、IPS等）阻断可能的攻击，或通过监控等手段对该风险进行控制管理。

二、服务器上架漏洞扫描规范编写

按照信息安全工作实际需要，以“制度化管理、规范化操作”为原则，完善信息安全管理策略规范，理顺信息工作内部安全控制流程规范，不断增强网络与信息安全整体管控效能。为更好的保障汕头供电局信息网络的安全、稳定运行，使得漏洞扫描工具能真正的用到实处，特制订漏洞系统管理流程。如下图：

图2：每季度漏洞扫描流程图

图3：新服务器上架前漏洞扫描流程图

（一）漏洞扫描管理员的职责

负责漏洞扫描软件（包括漏洞库）的管理、更新和公布；

负责查找修补漏洞的补丁程序，及时提出漏洞修复方案；

密切注意最新漏洞的发生、发展情况，关注和追踪业界公布的漏洞疫情；

每季度第一个月1-4日期间（节假日顺推）进行上季度安全扫描复查；

每季度第一个月5号（节假日顺推）生成上季度汇总报告；

新系统上线前，负责对系统管理员提出的申请的主机进行漏洞扫描检查，并提交漏洞扫描报告给系统管理员，并检查主机漏洞修补情况。

（二）系统管理员的职责

负责对漏洞扫描系统发现的漏洞进行修补工作；

遵守漏洞扫描设备各项管理规范。

新系统上线前，提交扫描申请，并负责对漏洞扫描系统发现的漏洞进行修补工作。

三、结束语

第3篇：信息安全服务评估报告范文

在科学技术如此发达的今天,网络已经成为了生活中不可或缺的一部分,但是网络带给我们的就只有优点吗？很显然答案是否定的,网络带给我们的缺点大家也应该早有体会,我们所接触到、影响最深的应该就是信息安全问题了。在新闻中网络个人信息被盗造成损害的案例已经屡见不鲜,本文将以此为研究点,以信息安全控制原理为基础,对信息安全中常见的存在问题进行研究,并介绍与信息安全相关的技术和方法。

关键词:

信息安全网络控制

1信息安全控制原理

1.1信息安全

信息是一种资源,它具有增值性、多效性、普遍性和可处理性,这使得对人类具有非常重要的意义。信息安全就是确保网络信息资源的安全和信息系统的安全,避免受到外界各种干扰和侵害,换而言之就是确保安全。信息安全在国际标准化组织是这样定义的:指信息的完整性、可靠性、可用性和保密性。

1.2自动控制原理

所谓自动控制就是指在没有人直接参与的情况下,控制装置或者控制器能够按照预先设定的规律使机器、设备或者生产过程(统称为被控对象)的某个工作状态或者参数(即控制量)自动地运行。自动控制系统(automaticcontrolsystems)是在没有人直接参与的时候可使工作过程或其他过程按预期的规律或预想程序进行的系统控制。自动化控制系统是实现自动化的重要手段。

1.3信息安全控制控制原理

信息安全控制与自动控制有着密不可分的关系,因为信息的特殊性质导致信息系统具有变化的不定性,进而导致整个信息系统的安全控制都会随着信息不断变化,另外信息系统在变化过程中不仅会受到外界系统的攻击和影响,其系统内部的缺陷也会威胁其系统安全。所以信息安全系统的建立必须要完善,从外部和内部多个层面进行全方位的因素考虑。信息安全控制主要是为了有效控制信息系统存在的内在威胁和外界的恶意攻击。所以信息安全控制的主要措施是:对于系统内部,要尽可能的切断一切潜在危险源;对于系统外部,建立完善的信息安全控制体系。对于信息系统而言,安全控制策略库的建立可以让信息系统的运行在可控范围内进行,从而使信息威胁程度降低最低,这样就可以保证信息系统的安全性。

2加密技术

2.1事件监控

安全监控子系统实时收集日志信息进行存储与分析,当发现高危安全事件时,采用声、光、短信的方式在管理员界面中呈现给安全监控人员,安全监控人员对安全事件的级别和影响进行评估,判断为严重事件时则启动工单系统通知客服人员,由客服人员向客户发送预警信息;若事件未达到预警级别,则安全监控人员创建工单,通知安全分析人员做处理。

2.2安全分析

安全分析人员对非预警安全事件进行分析,排除误警虚警信息,尝试解决可处理安全事件。判断为不能处理的安全事件和经尝试不能解决的安全事件,提交运维经理,请经理协调各方资源协助解决。如资源难以协调则继续向上一级主管领导发起协调资源请求,直至问题解决。经过安全分析人员对攻击数据包进行分析,迅速判断出此次攻击主要针对80端口的ddos攻击,遭受攻击的网站由于资源消耗过大而无法再给用户提供正常的页面访问。由于世博业务可持续性运行的重要性,于是决定本着"先抢通后修复"的原则,先利用防火墙、utm制定相应的安全策略协助该单位恢复系统正常工作。同时运维人员根据安全事件对该风险进行评估,确定攻击类型、波及范围及造成的影响,并制定都详细的加固解决方案。

2.3安全预警

安全监控平台发现客户网络出现高危安全事件时,安全专家团队子系统的安全分析人员,根据事件信息确定预警级别,通过工单系统向网络管理员提交预警信息。若预警级别较高,则通报给相关主管领导、同时发起预警,同时派遣专业人员协助处理安全事件。

2.分析报告

安全运维小组事后给用户提供了一份详细的事情分析报告,报告中包括记录文档和安全策略的建议,此份建议中多次提到安全技术使用不够完善的问题,虽然有防毒系统和防火前,但是没有利用更大的资源解决网络安全问题。报告的意义是让客户知道问题出在哪里,在哪里容易出问题,怎么解决已经出现的问题,今后应该如何防范。

2.5加固测试

根据安全评估报告协助用户对系统自身的安全漏洞进行修补,并对加固后的系统,进行模拟测试。安全专家模拟黑客攻击的方式对用户指定的ip地址采用工具和人工检查相结合的办法进行远程安全测试,评估加固后的系统是否达到安全要求。防火墙策略生效之后,攻击逐渐减弱,通过外网访问web服务器,速度正常。至此初步判断,由于防火墙、umt的防护和安全监控平台监测,已经令恶意攻击者知难而退,暂时停止实施攻击。经过现场一段时间的观察客户网络正常运行,后期运维小组重点对该网络进行远程监控跟踪。

2.6形成知识库

将此次安全事件发现、分析、解决的过程以知识库的形式保存,以便下次同类问题的快速处理及客户人员的自学习。根据统计,不仅中国在尽力打造信息安全网络,在世博会期间,浙江联通也退出了很多项创新业务支撑网络安全。为保证世博会此项工作的顺利进行,联通的营业厅及多个服务店、10010客服热线、投诉、vip贵宾服务、电子渠道等方面,在人性化、便捷化、差异化方面做出巨大改变,最终使得用户能充分信息安全的基础上,享受了更大的便捷与自由。

参考文献

[1]张淑媛.基于信息安全控制原理的安全网络技术[J].技术研发,2013(18).

第4篇：信息安全服务评估报告范文

2005年7月，美国联邦政府审计署向美国国会提交了《信息安全年度报告》（以下简称美国报告），其题目是《信息安全：相关法规执行方面有所成就，但是仍然存在薄弱之处》。美国报告指出，联邦政府各个分支机构以及众多事关国计民生的部门，包括能源、供水、电信、国防以及应急服务部门，他们的日常工作已经广泛依赖计算机信息系统以及电子数据。这些信息系统、数据的安全非常重要，信息安全措施要防止数据篡改，保证核心业务连续性，预防数据欺骗以及阻止敏感信息泄漏。

美国政务的五大安全隐患

美国审计署发现，美国联邦政府24个部门信息系统普遍存在安全隐患，主要体现在以下5个方面：访问控制并未有效实施、软件变更控制并非总是有效、职责划分没有始终如一地执行、业务持续性计划经常是不充分的、部门信息安全规划没有全面地应用。

访问控制

它保证只有经过授权的用户才可以阅读、修改或者删除数据。访问控制包括电子方式以及物理方式，前者包括账号控制、密码控制以及用户权限控制，后者包括门卫、门锁等方式。24个部门中有23个部门在访问控制方面存在隐患。例如，有的信息系统允许用户使用非常简单的词语做密码，这使得黑客很容易破解密码。物理控制方面，有的部门并未有效采用门锁、门卡等手段。

软件变更控制

软件变更控制确保只有经过授权的软件程序才可以被安装，软件变更控制也会监控敏感程序、数据的使用情况。24个部门中有22个存在这方面的漏洞，例如软件系统没有采用正确流程进行升级。此外，有的信息系统在程序调整方面的批准、测试以及实施的文档记录没有良好维护，以至于出错的或者有预谋的程序将会严重威胁到系统安全。

职责划分

职责划分降低个人进行错误操作而没有被发现的风险。24个部门中有14个存在这方面的隐患，主要体现在系统管理和系统安全管理没有很好地分清。例如，有的部门用户可以在系统中添加并不存在的账号并获得很高的权限，用这个账号从事的活动没人监管。

业务连续计划

确保计算机相关的业务在紧急情况下不出现严重中断，例如出现地震、火灾等破坏活动的时候。20个部门存在这一方面的隐患。在审计署2005年4月提交的报告中已经指出，不到一半的部门有应急指挥通讯录，很少的部门记录了重要文件分布情况，大多数机构没有测试、检验、演习他们的业务连续计划以确保灾难发生时可以应用这些计划。

部门级别的安全规划

上述问题的存在，主要是因为各个部门没有强有力的信息安全管理规划。部门级别的安全规划提供工作框架，确保全部门能够理解风险并且有效控制、合理采取措施。这个方面，所有的部门都存在隐患，他们都没有制定全面的信息安全规划，尤其是新型的安全威胁方面，包括垃圾邮件、钓鱼以及间谍程序。

我国可借鉴什么

我国在信息系统安全管理方面开展工作的时间不长，相关经验不多，许多应建立的规章制度还在摸索之中。2005年7月刚刚的《2005中国信息化发展报告》谈到信息安全的时候，提到蠕虫和病毒在网上传播十分猖獗、木马事件潜在威胁巨大、各类网络违法犯罪日益突出，但没有专门介绍电子政务的安全现状。

重视管理机制制度

《2005中国信息化发展报告》指出，要加强对信息安全工作的领导，建立健全信息安全领导责任机制，明确主管领导，落实责任部门，建立和完善信息安全监控体系，加强以密码技术为基础的信息保护和网络信任体系的建设。

重视管理机制制度这一方面，中美两国有相近之处。美国《联邦信息安全管理法案》认为，联邦政府存在信息安全隐患最根本原因是缺乏有效的信息安全管理规划。基于此，美国《联邦信息安全管理法案》要求政府建立一套全面的信息安全控制管理框架。不仅如此，考虑到各个机构在信息安全管理规划方面难免出现漏洞，美国《联邦信息安全管理法案》制定了一套完善的评估机制，包括部门定期自检以及管理和预算办公室、国家标准技术研究院以及其他独立机构的评估。

《联邦信息安全管理法案》要求美国联邦政府各个机构的信息安全报告包含如下信息：风险评估情况、政策和流程、个别系统的安全规划、相关培训情况、年度测试和评估情况、采取的对策、信息安全事件报告以及运行连续性。

美国的评估机制，保证了部门领导在意识上定期关注各自部门的信息安全，又使得他们有能力全面深入了解本部门信息安全的方方面面。这样，既提高了部门领导对信息安全的重视程度，又采用完善的制度来提高各个部门发现、报告和共享信息安全隐患的能力。与美国相比，我们还没有明确提出要建立全方位的评估体系。

完善标准法规体系

《2005中国信息化发展报告》指出，抓紧制定信息安全等级保护的管理办法和技术指南，建立信息安全等级保护制度，加强信息安全法制建设和标准化建设。

在标准法规、技术指南方面，我国政府主要精力集中在信息安全等级保护方面。比较而言，美国政府制订的标准法规、技术指南则更为全面。美国《联邦信息安全管理法案》规定，由美国国家标准技术研究院（NIST）负责为政府各个部门提供相关法规制度或技术援助，进行信息安全方面的研究，并且参与国家安全体系相关标准的开发。

安全不仅是技术问题，同时还是社会和法律问题。与美国相比，我国在标准的制定、认证、检测等方面有待于进一步的加强。信息安全标准方面，我国有国家信息安全产品测评认证中心、公安部、国家质量技术监督局等多个部门参与这方面的工作，而美国则在法案中明确表示由美国国家标准技术研究院一家来完成。还有一点值得注意的是，我国信息安全标准的培训、认证和检测机构中，有一些是赢利机构，这在某种程度上降低了其公证性。

加强信息安全培训

《2005中国信息化发展报告》指出，加强信息安全学科、人才培养。

联邦信息安全管理法案要求，联邦政府各个机构对政府雇员以及合同商的雇员进行信息安全培训，这些机构在年度评估报告中要标明参与培训人员的数量以及所占比例。2005年的报告指出，所有24个部门都对本部门60％以上的职员进行了培训。美国报告指出，如果不能提供最新的信息安全培训，将会给政府机构的信息安全带来安全隐患。例如，美国大多数部门没有对雇员提供无线局域网方面的信息安全培训，这使得他们在建设没有认证措施的无线局域网的时候，不了解其安全隐患。

由此可见，美国政府更注重日常的培训工作，而不仅仅是学校培养。信息安全，需要有数学算法、软件、硬件等诸多方面的理论支持。但对于很多现有的隐患来说，更重要的是提高普通用户的安全意识。例如美国政府提到的无线局域网问题，我国政府在科研方面正在开发WAPI，希望以此来增强系统的安全性。但是，有许多无线局域网是内置了安全认证程序而根本没有启用。

信息安全是个系统工程，既要有高屋建瓴的顶层设计、整体框架，又要有体贴入微的法规标准、行动指南，还要有资金支持、日常培训以及监察制度，需要恩威并重。同美国信息安全报告谈到的情况相比，在我国政府部门中宣传信息安全的重要性，并且保证相关人员有能力、有方法了解其现状，懂得如何降低风险，这些都是任重而道远的。

链接

国家信息化领导小组第一次会议决定，把电子政务建设作为今后一个时期我国信息化工作的重点，政府先行，带动国民经济和社会发展信息化。

在电子政务建设中和安全相关的主要任务是：

基本建立电子政务网络与信息安全保障体系。要组织建立我国电子政务网络与信息安全保障体系框架，逐步完善安全管理体制，建立电子政务信任体系，加强关键性安全技术产品的研究和开发，建立应急支援中心和数据灾难备份基础设施。

第5篇：信息安全服务评估报告范文

随着信息安全等级保护工作的不断深化，已延伸到医疗卫生行业。卫计委要求三级医院核心业务系统定级不低于第三级。本文结合医院实际，介绍了医院信息安全等级保护工作的建设，阐明了信息系统的定级、备案、整改、测评四个实施步骤，以供大家探讨。

关键词：

医院信息安全；等级保护工作；等级测评

一、引言

随着我国信息化建设的快速发展与广泛应用，信息安全的重要性愈发突出。在国家重视信息安全的大背景下，推出了信息安全等级保护制度。为统一管理规范和技术标准，公安部等四部委联合了《信息安全等级保护管理办法》（公通字[2007]43号）。随着等级保护工作的深入开展，原卫生部制定了《卫生行业信息安全等级保护工作的指导意见》（卫办发[2011]85号），进一步规范和指导了我国医疗卫生行业信息安全等级保护工作，并对三级甲等医院核心业务信息系统的安全等级作了要求，原则上不低于第三级。从《关于信息安全等级保护工作的实施意见》中可知信息安全等级保护对象是国家秘密信息、法人和其他组织以及公民的专有信息和公开信息。对信息系统及其安全产品进行等级划分，并按等级对信息安全事件响应[1]。

二、医院信息安全等级保护工作实施步骤

2.1定级与备案[2]。

根据公安部信息安全等级保护评估中心编制的《信息安全等级保护政策培训教程》，有两个定级要素决定了信息系统的安全保护等级，一个是等级保护对象受到破坏时所侵害的客体，另外一个是对客体造成侵害的程度。对于三级医院，门诊量与床位相对较多，影响范围较广，一旦信息系统遭到破坏，将会给患者造成生命财产损失，对社会秩序带来重大影响。因此，从影响范围和侵害程度来看，我们非常认同国家卫计委对三级甲等医院的核心业务信息系统安全等级的限制要求。在完成定级报告编制工作后，填写备案表，并按属地化管理要求到市级公安机关办理备案手续，在取得备案回执后才算完成定级备案工作。我院已按照要求向我市公安局网安支队，同时也是我市信息安全等级保护工作领导小组办公室，提交了定级报告与备案表。

2.2安全建设与整改[3]。

在完成定级备案后，就要结合医院实际，分析信息安全现状，进行合理规划与整改。

2.2.1等保差距分析与风险评估。

了解等级保护基本要求。《信息系统安全等级保护基本要求》分别从技术和管理两方面提出了基本要求。基本技术要求包括五个方面：物理安全、网络安全、主机安全、应用安全和数据安全，主要是由在信息系统中使用的网络安全产品（包括硬件和软件）及安全配置来实现；基本管理要求也包括五个方面：安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理，主要是根据相关政策、制度以及规范流程等方面对人员活动进行约束控制，以期达到安全管理要求[4]。技术类安全要求按保护侧重点进一步划分为三类：业务信息安全类（S类）、系统服务安全类（A类）、通用安全保护类（G类）。如受条件限制，可以逐步完成三级等级保护，A类和S类有一类满足即可，但G类必须达到三级，最严格的G3S3A3控制项共计136条[5]。医院可以结合自身建设情况，选择其中一个标准进行差距分析。管理方面要求很严格，只有完成所有的154条控制项，达到管理G3的要求，才能完成三级等级保护要求。这需要我们逐条对照，发现医院安全管理中的不足与漏洞，找出与管理要求的差距。对于有条件的三甲医院，可以先进行风险评估，通过分析信息系统的资产现状、安全脆弱性及潜在安全威胁，形成《风险评估报告》。经过与三级基本要求对照，我院还存在一定差距。比如：在物理环境安全方面，我院机房虽有灭火器，但没安装气体灭火装置。当前的安全设备产品较少，不能很好的应对网络入侵。在运维管理方面，缺乏预警机制，无法提前判断系统潜在威胁等。

2.2.2建设整改方案。

根据差距分析情况，结合医院信息系统安全实际需求和建设目标，着重于保证业务的连续性与数据隐私方面，满足于临床的实际需求，避免资金投入的浪费、起不到实际效果。整改方案制订应遵循以下原则：安全技术和安全管理相结合，技术作保障，管理是更好的落实安全措施；从安全区域边界、安全计算环境和安全通信网络进行三维防护，建立安全管理中心[6]。方案设计完成后，应组织专家或经过第三方测评机构进行评审，以保证方案的可用性。整改方案实施。实施过程中应注意技术与管理相结合，并根据实际情况适当调整安全措施，提高整体保护水平。我院整改方案是先由医院内部自查，再邀请等级测评公司进行预测评，结合医院实际最终形成的方案。网络技术人员熟悉系统现状，易于发现潜在安全威胁，所以医院要先自查，对自身安全进行全面了解。等级测评公司派专业安全人员进驻医院，经过与医院技术人员沟通，利用安全工具进行测试，可以形成初步的整改报告，对我院安全整改具有指导意义。

2.3开展等级保护测评[7]。

下一步工作就是开展等级测评。在测评机构的选择上，首先要查看其是否具有“DICP”认证，有没有在当地公安部门进行备案，还可以到中国信息安全等级保护网站进行核实。测评周期一般为1至2月，其测评流程如下。

2.3.1测评准备阶段。

医院与测评机构共同成立项目领导小组，制定工作任务与测评计划等前期准备工作。项目启动前，为防止医院信息泄露，还需要签订保密协议。项目启动后，测评机构要进行前期调研，主要是了解医院信息系统的拓扑结构、设备运行状况、信息系统应用情况及安全管理等情况，然后再选择相应的测评工具和文档。在测评准备阶段，主要是做好组织机构建设工作，配合等级测评公司人员的调查工作。

2.3.2测评方案编制阶段。

测评内容主要由测评对象与测评指标来确定。我院测评对象包含三级的医院信息系统、基础网络和二级的门户网站。测评机构要与医院沟通，制定工具测试方法与测评指导书，编制测评方案。在此阶段，主要工作由等级测评机构来完成。

2.3.3现场测评阶段。

在经过实施准备后，测评机构要对上述控制项进行逐一测评，大约需要1至2周，需要信息科人员密切配合与注意。为保障医院业务正常开展，测评工作应尽量减少对业务工作的冲击。当需要占用服务器和网络资源时应避免业务高峰期，可以选择下班时间或晚上。为避免对现有业务造成影响，测评工具应在接入前进行测试，同时要做好应急预案准备，一旦影响医院业务，应立即启动应急预案[8]。在对209条控制项进行测评后应进行结果确认，并将资料归还医院。该阶段是从真实情况中了解信息系统全面具体的主要工作，也是技术人员比较辛苦的阶段。除了要密切配合测评，还不能影响医院业务开展，除非必要，不然安全测试工作必须在夜间进行。

2.3.4报告编制阶段。

通过判定测评单项，测评机构对单项测评结果进行整理，逐项分析，最终得出整体测评报告。测评报告包含了医院信息安全存在的潜在威胁点、整改建议与最终测评结果[9]。对于公安机关来讲，医院能否通过等级测评的主要标准就是测评结果。因此，测评报告的结果至关重要。测评结果分为：不符合、部分符合、全部符合。有的测评机构根据单项测评结果进行打分，最后给出总分，以分值来判定是否通过测评。为得到理想测评结果，需要医院落实安全整改方案。

2.4安全运维。

我们必须清醒地认识到，实施安全等级保护是一项长期工作，它不仅要在信息化建设规划中考虑，还要在日常运维管理中重视，是不断循环的过程。按照等级保护制度要求，信息系统等级保护级别定为三级的三甲医院每年要自查一次，还要邀请测评机构进行测评并进行整改，监管部门每年要抽查一次。因此，医院要按照PDCA的循环工作机制，不断改进安全技术与管理上，完善安全措施，更好地保障医院信息系统持续稳定运行[10]。

三、结语

医院信息安全工作是信息化建设的一部分，是一项长期的系统工程，需要分批分期的循序改建。还要结合医院实际，考虑安全产品的实用性，不能盲目的进行投资。医院通过实施等级保护工作，可以有效增强网络与信息系统整体安全性，有力保障医院各项业务的持续开展，适应医院信息化不断发展的需求。

作者：王磊 单位：蚌埠医学院第二附属医院

参考文献

[1]公安部,国家保密局,国家密码管理局,国务院信息化办公室文件.关于信息安全等级保护工作的实施意见（公通字[2004]66号）[R],2004-9-15.

[2]GB/T22240-2008．信息安全技术信息系统安全等级保护定级指南[S],2008-06-19.

[3]GB/T25058-2010．信息安全技术信息系统安全等级保护实施指南[S],2010-09-02.

[4]GB/T22239-2008．信息安全技术信息系统安全等级保护基本要求[S],2008-06-19.

[5]魏世杰.医院信息安全等级保护三级建设思路[J].科技传播,2013,5(99):208-209.

[6]张滨.构建医院信息安全等级保护纵深防护体系[J].信息通信,2014(141):148-149.

[7]GB/T28449-2012.信息安全技术信息系统安全等级保护测评过程指南[S],2012-06-29.

[8]姚红磊,杨文.三级系统信息安全等级保护测评指标体系研究[J].铁路计算机应用,2015,24(2):59-61.

第6篇：信息安全服务评估报告范文

【关键词】风险管理；建立背景；风险评估；风险处置；批准监督；监控审查；沟通咨询；系统生命周期

当今我们是如何看待网络与信息化？对个人，人需要信息化还是信息化“绑架”人？对企事业单位和社会团体，组织依赖信息化还是信息化成就组织？对经济发展，经济发展带动了信息技术还是信息技术促进了经济发展？对社会稳定，信息化的发展对社会稳定的影响是正面的还是负面的？对国家安全，信息化是国家安全的利器还是祸害？没有标准答案，但值得思考。检察业务系统风险管理的内容有哪些呢？我们作了以下的探讨：

1.风险管理的基本架构与概念

1.1 风险管理的基本架构（如图1-1所示）

1.2 风险管理工作内容

1.2.1 风险管理工作主要内容有：建立背景、风险评估、风险处置、批准监督、监控审查、沟通咨询（如图1-2所示）。

1.2.2 系统生命周期中的风险管理：掌握系统规划阶段的风险管理工作；掌握系统设计阶段的风险管理工作；掌握系统实施阶段的风险管理工作；掌握系统运行维护阶段的风险管理工作；掌握系统废弃阶段的风险管理工作（如图1-3所示）。

信息安全风险管理是信息安全保障工作中的一项基础性工作，是需要贯穿信息系统生命周期，持续进行的工作。我们的检察业务系统是顺应信息化发展及业务需求的实际情况，经过检察系统多部门合作开发的符合全国检察业务需求的背景下建立的。那么我们应该要掌握一套完善的管理方式去做好这件事。那就是要学会风险管理运用好风险管理的实质内容。

1.3 相关概念

1.3.1 通用风险管理定义是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。风险管理包括对风险的量度、评估和应变策略。理想的风险管理，是一连串排好优先次序的过程，使引致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则押后处理。

1.3.2 检察业务系统信息安全工作为什么需要风险管理方式？

常见问题：安全投资逐年增加，但看不到收益；按照国家要求或行业要求开展信息安全工作，但安全事件仍出现；IT安全需求很多，有限的资金应优先拨向哪个领域；当了CIO，时刻担心系统出事，无法预见可能会出什么事。

问题根源浅析：没有根据风险优先级做安全投资规划，没有抓住主要矛盾，导致有限资金的有效利用率低；没有根据企业自身安全需求部署安全控制措施，没有突出控制高风险。决策者没有看到安全投资收益报告，资金划拨无参考依据。没有残余风险清单，在什么条件可被触发，如何做好控制。总的来说可以概括为以下三点：（1）信息安全风险和事件不可能完全避免，没有绝对的安全。（2）信息安全是高技术的对抗，有别于传统安全，呈现扩散速度快、难控制等特点。（3）因此管理信息安全必须以风险管理的方式，关键在于如何控制、化解和规避风险，而不是完全消除风险。

风险管理是信息安全保障工作有效工作方式。好的风险管理过程可以让机构以最具有成本效益的方式运行，并且使已知的风险维持在可接受的水平。好的风险管理过程使组织可以用一种一致的、条理清晰的方式来组织有限的资源并确定优先级，更好地管理风险。而不是将保贵的资源用于解决所有可能的风险。风险管理是一个持续的PDCA管理过程，即计划-做-检查-执行循环的管理过程。也可以这样理解，在全国使用统一的检察业务系统，做需求分析计划组织开发业务系统--全国各省市部分基层院试运行使用--检查业务系统的可行性及需要完善的报告--执行需要完善的地方继续开发完善。一个持续的不断完善的管理过程。

在全国使用统一的检察业务系统，也就会出现数据大集中，数据大集中天生的脆弱性就是数据集中的销毁或丢失，这就是它与生俱来的风险，那么我们认识了这一点，就应该采用相应的技术措施来控制风险。什么是信息安全风险管理？了解风险+控制风险=管理风险。定义一：GB/Z 24364《信息安全风险管理指南》指：信息安全风险管理是识别、控制、消除或最小化可能影响系统资源的不确定因素的过程。定义二：在组织机构内部识别、优化、管理风险，使风险降低到可接受水平的过程。

1.3.3 正确的风险管理方法是前瞻性风险管理加反应性风险管理。

（1）前瞻性风险管理：评估风险、实施风险决策、风险控制、评定风险管理的有效性。（2）反应性风险管理：保护人身安全、遏制损害、评估损害、确定损害部位、修复损害部位、审查响应过程并更新安全策略。风险管理最佳实践。简单的例子：流行性感冒是一种致命的呼吸道疾病，美国每年都会有数以百万计的感染者。这些感染者中，至少有100，000人必须入院治疗，并且约有36，000人死亡。您可能会选择通过等待以确定您是否受到感染，如果确实受到感染，则采用服药治疗这种方式来治疗疾病。此外，您也可以选择在流行性感冒病发季节开始之前接种疫苗。二者相结合才是最佳风险管理方法。

1.3.4 全国使用统一的检察业务系信息安全风险管理的目标是它能做好：保密性、完善性、可用性、真实性、抗抵赖性。GB/T 20984的定义，信息安全风险：人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。信息安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性。信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性。信息安全风险只考虑那些对组织有负面影响的事件。

2.风险管理的工作内容

2.1 背景建立是信息安全风险管理的第一步骤，确定风险管理的对象和范围，确立实施风险管理的准备，进行相关信息的调查和分析。风险管理准备：确定对象、组建团队、制定计划、获得支持。信息系统调查：信息系统的业务目标、技术和管理上的特点。信息系统分析：信息系统的体系结构、关键要素。信息安全分析：分析安全要求、分析安全环境。如图2-1所示。

2.2 信息安全风险评估就是从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施；为防范和化解信息安全风险，将风险控制在可接受的水平，从而最大限度地保障信息安全提供科学依据。

信息系统的安全风险信息是动态变化的，只有动态的信息安全评估才能发现和跟踪最新的安全风险。所以信息安全评估是一个长期持续的工作，通常应该每隔1-3年就进行一次全面安全风险评估。风险评估是分析确定风险的过程。风险评估的目的是控制风险。风险评估是风险管理的起点和基础环节。风险管理是在倡导适度安全。

2.3 风险处理是为了将风险始终控制在可接受的范围内。现存风险判断：判断信息系统中哪些风险可以接受，哪些不可以。处理目标确认：不可接受的风险需要控制到怎样的程度。处理措施选择：选择风险处理方式，确定风险控制措施。处理措施实施：制定具体安全方案，部署控制措施。常用的四类风险处置方法如下：

2.3.1 减低风险：通过对面临风险的资产采取保护措施来降低风险。首先应当考虑的风险处置措施，通常在安全投入小于负面影响价值的情况下采用。保护措施可以从构成风险的五个方面（即威胁源、威胁行为、脆弱性、资产和影响）来降低风险。减低风险办法：减少威胁源：采用法律的手段制裁计算机犯罪，发挥法律的威慑作用，从而有效遏制威胁源的动机；减低威胁能力：采取身份认证措施，从而抵制身份假冒这种威胁行为的能力；减少脆弱性：及时给系统打补丁，关闭无用的网络服务端口，从而减少系统的脆弱性，降低被利用的可能性；防护资产：采用各种防护措施，建立资产的安全域，从而保证资产不受侵犯，其价值得到保持；降低负面影响：采取容灾备份、应急响应和业务连续计划等措施，从而减少安全事件造成的影响程度。

2.3.2 转移风险：通过将面临风险的资产或其价值转移到更安全的地方来避免或降低风险。通常只有当风险不能被降低或避免、且被第三方（被转嫁方）接受时才被采用。一般用于那些低概率、但一旦风险发生时会对组织产生重大影响的风险。在本机构不具备足够的安全保障的技术能力时，将信息系统的技术体系（即信息载体部分）外包给满足安全保障要求的第三方机构，从而避免技术风险。通过给昂贵的设备上保险，将设备损失的风险转移给保险公司，从而降低资产价值的损失。

2.4 批准监督。批准：是指机构的决策层依据风险评估和风险处理的结果是否满足信息系统的安全要求，做出是否认可风险管理活动的决定。监督：是指检查机构及其信息系统以及信息安全相关的环境有无变化，监督变化因素是否有可能引入新风险。

2.5 监控审查的意义，监控与审查可以及时发现已经出现或即将出现的变化、偏差和延误等问题，并采取适当的措施进行控制和纠正，从而减少因此造成的损失，保证信息安全风险管理主循环的有效性。

3.安全风险评估实践与国家相关政策

3.1 国家对开展风险评估工作的政策要求

3.1.1 信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）中明确提出：“要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性、程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理”

3.1.2 《国家网络与信息安全协调小组〈关于开展信息安全风险评估工作的意见〉》（国信办【2006】5号文）中明确规定了风险评估工作的相关要求：风险评估的基本内容和原则；风险评估工作的基本要求；开展风险评估工作的有关安排。

3.2 《关于开展信息安全风险评估工作的意见》的实施要求

3.2.1 信息安全风险评估工作应当贯穿信息系统全生命周期。在信息系统规划设计阶段，通过信息安全风险评估工作，可以明确信息系统的安全需求及其安全目标，有针对性地制定和部署安全措施，从而避免产生欠保护或过保护的情况。

3.2.2 在信息系统建设完成验收时，通过风险评估工作可以检验信息系统是否实现了所设计的安全功能，是否满足了信息系统的安全需求并达到预期的安全目标。

3.3 《关于开展信息安全风险评估工作的意见》的管理要求

3.3.1 信息安全风险评估工作敏感性强，涉及系统的关键资产和核心信息，一旦处理不当，反而可能引入新的风险，《意见》强调，必须高度重视信息安全风险评估的组织管理工作。

3.3.2 为规避由于风险评估工作而引入新的安全风险，《意见》提出以下要求：（1）参与信息安全风险评估工作的单位及其有关人员必须遵守国家有关信息安全的法律法规，并承担相应的责任和义务。（2）风险评估工作的发起方必须采取相应保密措施，并与参与评估的有关单位或人员签订具有法律约束力的保密协议。（3）对关系国计民生和社会稳定的基础信息网络和重要信息系统的信息安全风险评估工作必须遵循国家的有关规定进行。

3.3.3 加快制定和完善信息安全风险评估有关技术标准，尽快完善并颁布《信息安全风险评估指南》和《信息安全风险管理指南》等国家标准，各行业主管部门也可根据本行业特点制定相应的技术规范。

3.4 2071号文件对电子政务提出要求

为落实《国家电子政务工程建设项目管理暂行办法》（发改委[2007]55号令）对风险评估的要求，发改高技【2008】2071号文件《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》提出了具体要求：（相当于“信息安全审计”）电子政务工程建设项目应开展信息安全风险评估工作；评估的主要内容应包含：资产、威胁、脆弱性、已有的安全措施和残余风险的影响等；项目建设单位应在试运行期间开展风险评估工作，作为项目验收的重要依据；项目验收申请时，应提交信息安全风险评估报告；系统投入运行后，应定期开展信息安全风险评估。

参考文献

[1]信息安全测评中心.信息安全保障[Z].

第7篇：信息安全服务评估报告范文

巧合的是，当天有媒体报道了我国30省份至少有275位艾滋病感染者个人信息遭泄露的事件。犯罪分子在诈骗电话中能准确地描述出病患的个人信息，包括真实姓名、身份证号、联系方式、户籍信息、确诊时间、随访的医院或区县疾控等等，并谎称能为病患办理补助而需要收取不菲的手续费。中国疾病预防控制中心相关负责人于7月17日表示，国家艾滋病感染者相关信息系统被列为国家网络信息重点安全保护对象，目前已经报案，将积极配合公安部门尽快破案。此事还引起了世界卫生组织驻华代表处和联合国艾滋病联合规划署驻华代表处的关注。7月18日，两家代表处联合发表声明，强调“加强现有系统以杜绝类似信息入侵事件再次发生，至关重要”。

国家对于健康医疗大数据的安全十分重视，据统计，《意见》中，“安全”这个词出现了33次。而此次疑似真实发生的医疗数据安全事件，成为“安全是核心基础”的最佳注脚。

他山之石，可以攻玉

――英国健康医疗数据安全的审查和建议

不止我们，许多其他国家也发生了一系列事件，向全世界宣告了他们对健康医疗数据安全的关切。在英国，国家医疗服务体系（National Health Service， NHS）于2016年7月6日做出停止care.data健康医疗大数据平台的决定中，“安全”即是重要原因之一。

在很大程度上，NHS决定关闭care.data，是基于7月6日的两份评估报告。第一份报告《安全的数据，安全的医疗》（“Safe Data， Safe Care”）由英国医疗质量委员会（Care Quality Commission，CQC）。医疗质量委员会是英格兰健康和社会医疗的独立监管机构，其职责是监控、检查和评价医疗服务，促进医疗服务符合标准规范以保证其质量和安全。作为独立第三方，CQC经常地区、国家级的健康和社会医疗质量报告。2015年9月，受英国卫生大臣委托，CQC对NHS处理病人敏感数据过程的安全现状进行审查，并提出改进数据安全的建议。

第二份报告《对数据安全、同意和选择退出的审查》（“Review of Data Security， Consent and Opt-Outs”）是由英国“国家健康和医疗数据守护者”（National Data Guardian for Health and Care， NDG）。2015年9月，英国卫生大臣也委托其与CQC紧密合作，共同提出新的数据安全标准、测评数据安全合规的新方法，以及获取同意共享数据的新模式。在英国，NDG由卫生大臣任命，其主要职责是确保公众能够信任医疗健康系统将保护个人信息，以及个人信息将被用于提高健康医疗水平。

CQC和NDG在对533起数据安全事故调查后发现，大多数事故与纸质的医疗记录相关，且80%到90%的数据安全事故是因为工作人员的习惯无意之中引起的，比如点击了不安全的链接、丢失了存储数据的介质等。但是随着医疗信息系统的普及、数据的逐步集中化及对公众开放访问入口，如果不提升安全防护水平，更严重、更大规模数据泄露的风险将会增加。综合CQC和NDG的报告，英国NHS数据安全工作中存在以下问题：

首先，虽然很多机构都建立了数据安全方面的策略与规程，但并没有在日常工作中得到有效实施，很多机构只依赖策略和规程，而不是通过检测验证系统是否足够安全，也未要求其供应商也遵循同样的管理措施。

其次，NHS的绝大部分工作人员认可数据安全的重要性，但是培训质量参差不齐，有些机构培训覆盖面不够，未涉及合同商、数据共享方、临时员工等，有些机构未将安全事故经验作为培训内容的重要参考。

再次，机构往往不清楚如何从目前存在的大量安全标准中选取合适的参考，许多机构很少去学习其他机构保护数据安全的做法，也很少请外部第三方机构做专业的安全测评。

针对上述问题，CQC和NDG提出的建议简要概括如下：第一，每个机构的领导应该明确数据安全的责任人和其职责，类似于组织医疗事务和财务的管理和问责制度，包括建立有效的内审机制，必要时进行外审以验证安全措施有效性，对恶意类数据安全事件进行严厉处罚等；第二，所有的工作人员应该获得足够的资源，包括正确的信息、工具、培训等，以便于他们履行数据安全处理和共享的职责；第三，IT系统和所有的安全协议都应该按照实际的病人治疗过程和一线工作人员的需求进行设计；第四，应该按照新的数据标准要求设计自评估系统，并选取优秀的案例供其他机构进行同步学习；第五，NHS应该修改通用财务合同模板，确保各机构能够落实数据安全标准，地方机构和供应商签署的合同也应有相应的条款，当供应商无法满足安全要求时不应与其续签合同。

虽然NHS以及care.data计划在数据安全管理方面受到诟病，但从以上审查结果中不难看出，英国作为健康和医疗大数据集中应用的先行者，已经在数据安全方面做了很多有价值的工作，比如配套的法律法规、标准规范，任命了专门的数据保护官员，建立了独立的监管和审计机构，建立了数据安全风险管理的信息系统等。

但是，由于健康和医疗数据的高度敏感性，对其进行集中存储和管理后，一方面会引起恶意人员的高度关注，另一方面一旦发生数据泄露其影响面非常广，对于每个病人来说其后果很难挽回；因此，健康医疗数据的安全工作可谓难上加难，即便英国具备一定的基础，其数据安全治理也未在一开始取得理想的效果，但从近期频繁的安全审查中可以看出，英国政府建立的数据安全监督机构、数据保护官等正在发挥积极作用，正视已出现的问题并提出注重实效的解决方案，以重新赢回公众的信任。

善治病者，必医其受病之处

――我国健康医疗数据安全形势严峻

早在2013年底，国家卫生和计划生育委员会就了《关于加快推进人口健康信息化建设的指导意见》，提出在“十三五”期间将大力推动全国人口健康信息大平台的建设。从安全需求上来说，这个信息平台一是将承载全国13亿公民的人口、健康、医疗等隐私信息，数据保密性要求高；二是将提供公民个人医疗保障、诊疗等信息化服务不能中断，业务连续性要求高；三是将为国家卫生计生行业未来发展提供决策依据，信息容错率要求高。然而目前，我国在健康医疗数据安全保障方面情况堪忧，行业整体安全态势趋于严峻。主要问题包括：

首先，行业合并导致底数不清。卫生、计生行业合并时间并不算太长，业务层面的整合已初步实现，但数据层面的整合尚属起步阶段，在实际执行过程中易滋生死角盲区。从网上已公开的医疗行业信息安全事件中不难发现，绝大多数安全事件的第一步突破点来自于安全管控体系的“法外之地”。

其次，行业信息安全人才与经费保障缺口较大。据不完全统计，医疗行业2015年整体信息化建设资金超过300亿，但信息安全投入不足6亿，占比不足2%，而对于有较高安全保障要求的行业，安全占比普遍超过10%；在人才队伍方面，专业信息安全从业人员严重缺失，许多机构甚至出现“身着白大褂的大夫在看病之余兼职管安全”的状况。

再次，缺乏具备行业特色的信息安全指导框架。健康医疗行业特殊性较高，目前行业虽然已推行国家信息安全等级保护要求，但尚未建设具备行业业务特点的信息安全保障体系，也没有专门的行业信息安全技术标准，不利于有针对性地开展安全防护工作。

第四，行业网络涉及面广，不易管控。我国医疗卫生机构总数已超百万，以药品方面为例，我国有6000多家化学制药企业，药品经营流通企业17000多家，而作为世界制药大国的美国，才分别为200多家和50多家。超大规模、超复杂接入对构建安全的卫生计生网络来说，难度巨大。

另外，不易树立行业信息安全标杆。全国医疗信息化及软件生产供应商达数百家。以行业龙头东软集团为例，其拥有的市场份额不足5%，离散化的分布导致安全的最佳实践无法快速复制推广，在现有保障能力下也很难做到“避轻就重”“抓大放小”。

第8篇：信息安全服务评估报告范文

【关键词】电力 信息系统 安全 网络技术

电力作为国民经济发展所需的主要能源保障之一，其信息系统的安全问题是电力系统自动化进程中需要格外关注并解决的。就系统而言，其危险源来源于内部及外部两方面，所以，解决系统安全问题也可从内外两方面来着手。基于电力信息系统信息安全区别于其它系统的特殊性，结合当前计算机安全技术的一些关键技术应用，初步总结出几大电力系统信息安全技术，供新建、改建、扩建或已建电力系统更新参考。

1 安全系统构建

电力行业属于垄断性行业，安全系统初始构建是国电集团的大信息网络构建的一部分，通常是在电力系统建设阶段形成，国电集团目前的信息网络是由各省及省下面的各地市级网络供电局所组成的一个大型广域网，集团及各省企业公司通过它来管理各种信息资源，各网络之间利用分组交换以及数字网络复接技术，相对独立成为一个单独的数据通信网络。这种布局，能够解决信息质量及安全的初步要求，大体能够保证数据信息及时可靠、完整有效。

2 安全硬件堡垒――防火墙技术

防火墙是内网与外网信息数据互通的进出口，其关键在于这个进出口的唯一性，亦即“必经之路”，所有的Internet访问均不可能绕过它而产生连接，为此，在此处加强技术力量保障安全的效力是显而易见的。当前的电力信息系统防火墙基本是有设置保护的，但是较普遍的是设置不够保险，最高级别的保密策略应是拒绝一切未经准许的连接请求，于是，选择“缺省全部关闭，按需求开通的原则”是必须遵循的，同时，需要禁止远程协助等容易导致防火墙失控的各类危险服务，如Telnet、NNTP、NFS等。此外，还可采取在不同安全区之间设置专用物理隔离墙的措施，使保护更加隐密，增加安全系数。

3 安全软件―病毒防护技术

病毒往往是从漏洞处进入系统的，这就要求电力信息系统网络应形成一个整体的防护罩，任何的缺漏都将使全局防护失效。服务器、工作站、主机、各用户均应完善杀毒软件。网络防毒系统可以采用C/S模式，首先，利用服务器网络核心功能，在服务器端先行安装杀毒软件，然后派发到各工作站及用户，客户端安装完软件后，通过Internet与服务器联成一体，并利用LiveUpdate（在线升级）功能，从免疫中心实时获取最新的病毒码信息，及时更新病毒代码库，根据需要选择扫描方式，从而完成整个网络的查杀布署工作。扫描方式可选自动扫描或人工扫描、实时进行或预定进行、升级后扫描或开机后扫描等。防护软件可根据电力信息网系统特性与病毒软件商联合制作，不求最贵，但求最经济适用。由于病毒扫描进程将使服务器性能降低，因此如采用预置扫描方式，建议将扫描时间设定在服务器访问率最低的夜间。

4 入侵检测系统技术

为了应对黑客的攻击，入侵检测系统作为一个功能强大的安全保障工具，应推荐应用于各电力企业，其采用先进的攻击防卫技术，通过在不同的位置分布放置检测监控装置，能够最大限度地、有效地阻止各种类型的攻击，特点鲜明，安全可靠。入侵检测系统中心数据库应放置在DMZ区，内网、各监控引擎应与中心随时保持通讯，针对入侵反馈信息，通过预先设置好的安全策略启动相应报警及防卫程序。入侵检测系统还可以在事后清楚地界定责任人和责任事件，为网络管理人员提供强有力的保障。

5 安全技术管理优化

首先，应提高电力信息系统使用人员的风险认识。电力信息系统使用人员不得从外网上随意下载性质不明的资料、软件等，不得随意修改系统密码或是执行有泄漏密码可能的操作，确实应进行相关操作时，刚下载的资料、软件应第一时间进行杀毒，尽最大可能地杀死可能携带的病毒，不给不法分子可乘之机。

其次，各类密码设定和妥善管理。系统内应保证密码的隐密性，杜绝使用默认密码、出厂密码或者无密码，不使用容易猜测的密码。密码要及时更新，特别是有人员调离时密码一定要更新。密度强度应以区别大小字的英文字母与阿拉伯数字、字符组合的形式设立。

再者，加强对系统安全的检测管理。系统使用人员及安全管理人员应定期对信息系统进行检测维护，包括检查系统功能状态、病毒库更新状态、设备陈旧状态、数据异常状态等各类信息。重要文件应养成加密及备份的习惯，对于文件安全，通过文件加密、信息摘要和访问控制等安全措施，来实现文件存储和传输的保密和完整性要求，并实现对文件访问的控制。对通信安全，采用数据加密、信息摘要和数字签名等安全措施对通信过程中的信息进行保护，实现数据在通信中的保密、完整和不可抵赖性安全要求。对远程接入安全，通过VPN技术，提高信息，如电子公文、MAIL等在传输过程中的保密性和安全性。数据的备份策略要合理，备份要及时，备份介质保管要安全，要注意备份介质的异地保存。

6 安全审计技术策略

可以模仿U盾、密保等认证，结合密码使用，通过电子、电话等多途径的密码保护安全问题增加信息系统安全性。为了实现数据库数据的安全，或是避免被入侵后更改数据，应设置数据库访问控制、存储加密以及完整性检验等功能。利用网络隐患扫描系统生成详细的安全评估报告，可对系统进行形象的分析，审计系统运行安全状态，评判系统安全性能。

参考文献

[1]唐亮.电力系统计算机网络信息安全的防护[J].供用电，2010.

[2]钟捷.电力信息系统存储安全需求及加密[J].技术研究，2009.

[3]张文军.电力信息系统中的信息安全技术[J].科技与生活，2012.

[4]王宝义，张少敏.电力企业信息网络系统的综合安全策略[J].华北电力技术，2003 （4）.

[5]楚狂.网络安全与防火墙技术[M].人民邮电出版社，2004.

[6]辛耀中，卢长燕.电力系统数据网络技术体制分析[M].电力系统自动化，2000.

第9篇：信息安全服务评估报告范文

【关键词】安全风险；安全措施；风险评估报告

1.前言

建筑业是危险性较大的行业之一，安全生产管理的任务十分艰巨，安全生产不仅关系到广大群众的根本利益，也关系到企业的形象，还关系到国家和民族的形象，甚至影响着社会的稳定和发展。党的十六届五中全会确立了“安全生产”的指导原则，我国“十一五”发展规划中首次提出了“安全发展”的新理念。所有这些表明，安全生产已成为生产经营活动的基本保障，更是当前建筑工程行业管理的首要目标。

风险评估的目的是为了全面了解建设安全的总体安全状况，并明确掌握系统中各资产的风险级别或风险值，从而为工程安全管理措施的制定提供参考。因此可以说风险评估是建立安全管理体系（ISMS）的基础，也是前期必要的工作。风险评估包括两个过程：风险分析和风险评价[1][2]。风险分析是指系统化地识别风险来源和风险类型，风险评价是指按给出的风险标准估算风险水平，确定风险严重性。

2.风险评估模型与方法

风险评估安全要素主要包括资产、脆弱性、安全风险、安全措施、安全需求、残余风险。在风险评估的过程中要对以上方面的安全要素进行识别、分析。

2.1 资产识别与赋值

一个组织的信息系统是由各种资产组成，资产的自身价值与衍生价值决定信息系统的总体价值。资产的安全程度直接反映信息系统的安全水平。因此资产的价值是风险评估的对象。

本文的风险评估方法将资产主要分为硬件资产、软件资产、文档与数据、人力资源、信息服务等[1][2]。建设工程的资产主要体现在建筑产品、施工人员、施工机械等。

风险评估的第一步是界定ISMS的范围，并尽可能识别该范围内对业务过程有价值的所有事物。

资产识别与赋值阶段主要评价要素为{资产名称、责任人、范围描述、机密性值C、完整性值I、可用性值A、QC、QI、QA}。QC、QI、QA分别为保密性，完整性，可用性的权重，QC=C / （C+I+A），QI、QA类似。

2.2 识别重要资产

信息系统内部的资产很多，但决定工程安全水平的关键资产是相对有限的，在风险评估中可以根据资产的机密性、完整性和可用性这三个安全属性来确定资产的价值。

通常，根据实际经验，三个安全属性中最高的一个对最终的资产价值影响最大。换而言之，整体安全属性的赋值并不随着三个属性值的增加而线性增加，较高的属性值具有较大的权重。

在风险评估方法中使用下面的公式来计算资产价值：

资产价值=10×Round{Log2[（2C+2I+2A）/3]}

其中，C代表机密性赋值；I代表完整性赋值；A代表可用性赋值；Round{}表示四舍五入。

从上述表达式可以发现：三个属性值每相差一，则影响相差两倍，以此来体现最高安全属性的决定性作用。在实际评估中，常常选择资产价值大于25的为重要资产。

2.3 威胁与脆弱性分析

识别并评价资产后，应识别每个资产可能面临的威胁。在识别威胁时，应该根据资产目前所处的环境条件和以前的记录情况来判断。需要注意的是，一项资产可能面临多个威胁，而一个威胁也可能对不同的资产造成影响。

识别威胁的关键在于确认引发威胁的人或事物，即所谓的威胁源或威胁。建筑企业的威胁源主要是四个方面：人的不安全行为，物的不安全因素、环境的不安全因素、管理的不安全因素。

识别资产面临的威胁后，还应根据经验或相关的统计数据来判断威胁发生的频率或概率。评估威胁可能性时有两个关键因素需要考虑：威胁动机和威胁能力。威胁源的能力和动机可以用极低、低、中等、高、很高（1、2、3、4、5）这五级来衡量。脆弱性，即可被威胁利用的弱点，识别主要以资产为核心，从技术和管理两个方面进行。在评估中可以分为五个等级：几乎无（1）、轻微（2）、一般（3）、严重（4）、非常严重（5）。在风险评估中，现有安全措施的识别也是一项重要工作，因为它也是决定资产安全等级的一个重要因素。我们要在分析安全措施效力的基础上，确定威胁利用脆弱性的实际可能性。

2.4 综合风险值

资产的综合风险值是以量化的形式来衡量资产的安全水平。在计算风险值时，以威胁最主要影响资产C、I、A三安全属性所对应的系数QC、QI、QA为权重。计算方法为：

威胁的风险值（RT）=威胁的影响值（I）×威胁发生的可能性（P）；

2.5 风险处理

通过前面的过程，我们得到资产的综合风险值，根据组织的实际情况，和管理层沟通后划定临界值来确定被评估的风险结果是可接收还是不可接收的。

对于不可接收的风险按风险数值排序或通过区间划分的方法将风险划分为不同的优先等级，对于风险级别高的资产应优先分配资源进行保护。

对于不可接收的风险处理方法有四种[3]：

1）风险回避，组织可以选择放弃某些业务或资产，以规避风险。是以一定的方式中断风险源，使其不发生或不再发展，从而避免可能产生的潜在损失。例如投标中出现明显错误或漏洞，一旦中标损失巨大，可以选择放弃中标的原则，可能会损失投标保证金，但可避免更大的损失。

2） 降低风险：实施有效控制，将风险降低到可接收的程度，实际上就是设法减少威胁发生的可能性和带来的影响，途径包括：

a.减少威胁：例如降低物的不安全因素和人的不安全因素。

b.减少脆弱性：例如，通过安全教育和意识培训，强化员工的安全意识等。

c.降低影响：例如灾难计划，把风险造成的损失降到最低。

d.监测意外事件、响应，并恢复：例如应急计划和预防计划，及时发现出现的问题。

3）转移风险：将风险全部或者部分转移到其他责任方，是建筑行业风险管理中广泛采用的一项对策，例如，工程保险和合同转移是风险转移的主要方式。

4）风险自留： 适用于别无选择、期望损失不严重、损失可准确预测、企业有短期内承受最大潜在损失的能力、机会成本很大、内部服务优良的风险。

选择风险处理方式，要根据组织运营的具体业务环境与条件来决定，总的原则就是控制措施要与特定的业务要求匹配。最佳实践是将合适的技术、恰当的风险消减策略，以及管理规范有机结合起来，这样才能达到较好的效果。

通过风险处理后，并不能绝对消除风险，仍然存在残余风险：

残余风险Rr =原有的风险Ro-控制R

目标：残余风险Rr≤可接收的风险Rt，力求将残余风险保持在可接受的范围内，对残余风险进行有效控制并定期评审。

主要评估两方面：不可接受风险处理计划表，主要评价要素为{资产名称、责任人、威胁、脆弱点、已有控制措施、风险处理方式、优先处理等级、风险处理措施、处理人员、完成日期}；残余风险评估表，主要评价要素为{资产名称、责任人、威胁、脆弱点、已有控制措施、增加的控制措施、残余威胁发生可能性、残余威胁影响程度、残余风险值}。

2.6 风险评估报告

在风险评估结束后，经过全面分析研究，应提交详细的《安全风险评估报告》，报告应该包括[4]：

1） 概述，包括评估目的、方法、过程等。

2） 各种评估过程文档，包括重要资产清单、安全威胁和脆弱性清单、现有控制措施的评估等级，最终的风险评价等级、残余风险处理等。

3）推荐安全措施建议。

3.结论

目前仍有相当一部分施工现场存在各种安全隐患，安全事故层出不群，不仅给人们带来剧痛的伤亡和财产损失，还给社会带来不稳定的因素。风险评估是工程安全领域中的一个重要分支，涉及到计算机科学、管理学、建筑工程安全技术与管理等诸多学科，本文的评估方法综合运用了定性、定量的手段来确定建设工程中各个安全要素，最终衡量出建设工程的安全状况与水平，为建立安全管理体系ISMS提供基础，对建设工程的风险评估具有一定的借鉴意义。

参考文献：

[1]ISO/IEC 17799：2000 Information Technology-Code of Practice for Information Security Management.

[2]BS7799-2：2002.Information Security Management-Specification for Information Security Management Systems.