導(dǎo)語：如何才能寫好一篇信息安全等級保護(hù)辦法，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

一、指導(dǎo)思想

信息安全等級保護(hù)制度是全區(qū)信息安全保障工作的一項(xiàng)基本制度，實(shí)施信息安全等級保護(hù)是社會(huì)信息化進(jìn)程中的一件大事，是維護(hù)國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全最直接、有效的措施。通過深化信息安全等級保護(hù)，全面推動(dòng)重要信息系統(tǒng)安全整改和測評工作，增強(qiáng)信息系統(tǒng)安全保護(hù)的整體性、針對性和實(shí)效性，提高信息安全保障能力，維護(hù)國家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)。

二、組織領(lǐng)導(dǎo)

成立區(qū)信息安全等級保護(hù)工作領(lǐng)導(dǎo)小組。由區(qū)政府副區(qū)長李彥俠擔(dān)任組長，區(qū)政府電子政務(wù)辦、公安分局、區(qū)國家保密局為成員單位，領(lǐng)導(dǎo)小組下設(shè)辦公室，辦公室設(shè)在公安分局網(wǎng)監(jiān)大隊(duì)，由網(wǎng)監(jiān)大隊(duì)大隊(duì)長韓迎飛兼任領(lǐng)導(dǎo)小組辦公室主任，具體負(fù)責(zé)日常事務(wù)。

三、職責(zé)分工

公安分局負(fù)責(zé)信息安全等級保護(hù)工作的監(jiān)督、檢查、指導(dǎo)。區(qū)國家保密局負(fù)責(zé)等級保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)。涉及其他職能部門管轄范圍的事項(xiàng)，由有關(guān)職能部門依照國家法律法規(guī)的規(guī)定進(jìn)行管理。區(qū)政府電子政務(wù)辦負(fù)責(zé)等級保護(hù)工作部門間的協(xié)調(diào)工作。

四、工作目標(biāo)

通過開展信息安全等級保護(hù)工作，使全區(qū)重要信息系統(tǒng)能夠全面進(jìn)行準(zhǔn)確定級和審核備案，建立健全信息安全等級保護(hù)職能部門、行業(yè)主管部門、信息系統(tǒng)運(yùn)營使用單位渠道暢通、責(zé)任明確、運(yùn)作協(xié)調(diào)、通力合作的信息系統(tǒng)安全等級保護(hù)工作機(jī)制。

五、定級范圍

（一）基礎(chǔ)信息網(wǎng)絡(luò)、互聯(lián)網(wǎng)接入服務(wù)單位、互聯(lián)網(wǎng)數(shù)據(jù)中心、大型互聯(lián)網(wǎng)信息服務(wù)單位重要信息系統(tǒng)。

（二）鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證劵、保險(xiǎn)、科技、發(fā)展改革、國防科技、公安、人事勞動(dòng)和社會(huì)保障、財(cái)政、審計(jì)、商務(wù)、水利、國土資源、能源、交通、文化、教育、衛(wèi)生、統(tǒng)計(jì)、工商行政管理、郵政等行業(yè)、部門的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)。

主要單位包括：區(qū)法院、區(qū)檢察院、公安分局、區(qū)科協(xié)、區(qū)教育局、區(qū)住建局、區(qū)農(nóng)業(yè)局、區(qū)衛(wèi)生局、區(qū)計(jì)生局、區(qū)商務(wù)局、區(qū)工業(yè)辦、區(qū)果業(yè)局、國土分局、國稅分局、環(huán)保分局、工商分局、區(qū)人才交流中心。

（三）黨政機(jī)關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)。

（四）涉及國家秘密的信息系統(tǒng)。

（五）其它重要信息系統(tǒng)。

六、工作內(nèi)容

（一）開展信息系統(tǒng)基本情況的摸底調(diào)查。區(qū)信息安全等級保護(hù)工作領(lǐng)導(dǎo)小組對全區(qū)各行業(yè)、各單位所屬信息系統(tǒng)進(jìn)行摸底調(diào)查，全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)等基本情況，按照《信息安全等級保護(hù)管理辦法》的要求，確定定級對象。

（二）召開區(qū)信息安全等級保護(hù)工作會(huì)議。召集全區(qū)信息系統(tǒng)運(yùn)營使用單位或主管部門召開一次專門的會(huì)議，在會(huì)議上宣布信息安全等級保護(hù)工作的相關(guān)情況，并印發(fā)《信息系統(tǒng)安全等級保護(hù)備案表》，要求信息系統(tǒng)運(yùn)營使用單位或主管部門在規(guī)定的時(shí)間內(nèi)報(bào)送到領(lǐng)導(dǎo)小組辦公室。

（三）備案。根據(jù)《信息安全等級保護(hù)管理辦法》，信息系統(tǒng)運(yùn)營使用單位或主管部門持《信息系統(tǒng)安全等級保護(hù)備案表》及相關(guān)手續(xù)到網(wǎng)監(jiān)大隊(duì)辦理備案手續(xù)，提交有關(guān)備案材料?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，向市公安局網(wǎng)安支隊(duì)備案。信息系統(tǒng)建設(shè)使用單位依據(jù)《信息安全等級保護(hù)管理辦法》和國家保密局的有關(guān)規(guī)定，按照屬地管理原則，地方單位的信息系統(tǒng)向所在地的區(qū)保密局備案。

（四）備案管理。信息系統(tǒng)備案后，網(wǎng)監(jiān)大隊(duì)對信息系統(tǒng)的備案情況進(jìn)行審核，發(fā)現(xiàn)不符合《信息安全等級保護(hù)管理辦法》及有關(guān)標(biāo)準(zhǔn)的，應(yīng)當(dāng)通知備案單位予以糾正。

（五）監(jiān)督檢查。區(qū)政府電子政務(wù)辦、公安分局、區(qū)國家保密局等單位將從今年起聯(lián)合對各重要信息系統(tǒng)行業(yè)主管部門、運(yùn)營使用單位開展的等級保護(hù)工作進(jìn)行監(jiān)督、檢查、整改，對拒不落實(shí)安全等級保護(hù)工作的單位，將依法予以嚴(yán)肅處理。

七、工作要求

（一）加強(qiáng)領(lǐng)導(dǎo)，落實(shí)保障。各行業(yè)主管部門、各重要信息系統(tǒng)運(yùn)營使用單位要落實(shí)責(zé)任部門、責(zé)任人員，并于4月20日前將《信息系統(tǒng)安全等級保護(hù)備案表》及相關(guān)備案資料報(bào)送領(lǐng)導(dǎo)小組辦公室備案，保障定級工作順利進(jìn)行。

（二）明確責(zé)任，密切配合。定級工作由區(qū)政府牽頭，組織區(qū)政府電子政務(wù)辦、公安分局、區(qū)國家保密局、共同實(shí)施。各單位必須各司其職，加強(qiáng)聯(lián)系，切實(shí)做好重要信息系統(tǒng)的安全等級保護(hù)。

篇2

［關(guān)鍵詞］政府行業(yè)；信息系統(tǒng)；等級保護(hù)；誤區(qū)

doi：10.3969/j.issn.1673-0194.2013.02.040

［中圖分類號］G203［文獻(xiàn)標(biāo)識碼］A［文章編號］1673-0194（2012）24-0085-03

1　前言

等級保護(hù)原本是軍事領(lǐng)域的安全保密體系，為了在計(jì)算機(jī)世界中實(shí)現(xiàn)這一體系，研究人員苦心奮斗多年。隨著網(wǎng)絡(luò)時(shí)代的到來，等級保護(hù)有了新的內(nèi)涵：從保護(hù)對象上，不再局限于軍事領(lǐng)域的大型主機(jī)，而是所有對國計(jì)民生有重要影響的信息系統(tǒng)；從實(shí)施的安全策略上，不再局限于軍事安全保密規(guī)則，而是用于各種安全保護(hù)策略；從測評角度看，不再限于個(gè)別信息安全產(chǎn)品的靜態(tài)測評，而是考查網(wǎng)絡(luò)系統(tǒng)在實(shí)際運(yùn)行中表現(xiàn)出的綜合保護(hù)能力，是涵蓋了架構(gòu)、功能、管理和配置等各方面檢查的全面、綜合、動(dòng)態(tài)的測評。一句話，等級保護(hù)逐步從一種技術(shù)思想發(fā)展為今天貫穿了信息安全保障各個(gè)工作環(huán)節(jié)的一個(gè)過程和一種制度。等級保護(hù)標(biāo)準(zhǔn)是等級保護(hù)思想進(jìn)化歷史的快照。各個(gè)標(biāo)準(zhǔn)的興衰歷史表明，標(biāo)準(zhǔn)必須與時(shí)俱進(jìn)，跟得上用戶的需求，才能得到有關(guān)各方（政府、用戶與廠商等等）的積極響應(yīng)，而只有得到積極響應(yīng)的標(biāo)準(zhǔn)才能稱得上有生命。

《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國務(wù)院147號令）規(guī)定，信息安全等級保護(hù)是國家信息安全保障工作的基本制度、基本策略、基本方法。開展信息安全等級保護(hù)工作是保護(hù)信息化發(fā)展、維護(hù)國家信息安全的根本保障，是信息安全保障工作中國家意志的體現(xiàn)。

各級各類政府部門在推行信息安全等級保護(hù)工作的過程中，由于對相關(guān)政策和要求“吃不透”，在實(shí)施過程中出現(xiàn)了多種誤讀。本文旨在分析政府行業(yè)信息安全等級保護(hù)中存在的政策理解誤區(qū)并提出相關(guān)建議。

2　國內(nèi)信息安全等級保護(hù)實(shí)施現(xiàn)狀

2．1　起源

中國早在1984年就開始收集國外等級保護(hù)的相關(guān)資料。1994年的《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國務(wù)院147號令）被視為中國實(shí)施等級保護(hù)的法律基礎(chǔ)。2004年的《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》（公通字［2004］66號）和2007年《信息安全等級保護(hù)管理辦法》（公通字［2007］43號）等文件明確了等級保護(hù)的定位、基本內(nèi)容、流程和工作要求以及相關(guān)部門的職責(zé)任務(wù)，為開展等級保護(hù)工作提供了規(guī)范保障。簡單地說，中國實(shí)施等級保護(hù)的基本任務(wù)是：系統(tǒng)分等級保護(hù)、產(chǎn)品分等級管理、事件分等級處置。

隨著《信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求》（GB／T25070）的和實(shí)施，中國的等級保護(hù)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)已有50多個(gè)，等級保護(hù)標(biāo)準(zhǔn)體系已初步形成。

2．2　實(shí)施現(xiàn)狀

《信息安全等級保護(hù)管理辦法》（公通字［2007］43號）（以下簡稱43號文件）和《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》（公信安［2007］861號）的出臺，標(biāo)志我國信息安全等級保護(hù)工作進(jìn)入實(shí)質(zhì)的實(shí)施階段。自從2007年6月份以來，全國范圍內(nèi)的重要系統(tǒng)普遍開展了信息安全等級保護(hù)工作，到目前為止，定級工作已經(jīng)基本結(jié)束，將進(jìn)入整改階段?；仡櫸覈牡燃壉Ｗo(hù)工作，可以看到兩大成效，即定級保護(hù)的定級備案工作成效顯著；各種政策標(biāo)準(zhǔn)體系日趨完善。

目前來看，定級工作已經(jīng)圓滿完成，接下來是建設(shè)和整改工作，之后進(jìn)行一些等級測評工作，工作不斷地暴露出一些問題和政策理解誤區(qū)需要解決。

3　等級保護(hù)認(rèn)識誤區(qū)

不少部門和單位對等級保護(hù)的認(rèn)識存在一定誤區(qū)，較集中的問題是：等級保護(hù)的投資較高，對現(xiàn)有投資是一種浪費(fèi)。用戶經(jīng)常會(huì)反映一些問題，歷年來在安全建設(shè)方面已經(jīng)進(jìn)行了大量投資，現(xiàn)在建設(shè)等級保護(hù)是否要“推倒重來”。

對于是否要“推倒重來”，可以從兩方面考慮：

（1）按照國家相關(guān)規(guī)定，三級以上網(wǎng)絡(luò)不能采用國外產(chǎn)品。對于這種底線原則，應(yīng)該毫不含糊地執(zhí)行，而由此產(chǎn)生的重復(fù)投資，只能說明前期的安全建設(shè)沒有遵循統(tǒng)一的標(biāo)準(zhǔn)。

（2）目前信息系統(tǒng)中存在著大量沒有更新、升級，甚至淘汰落后的設(shè)備，通過等級保護(hù)的實(shí)施，需要對原有網(wǎng)絡(luò)系統(tǒng)進(jìn)行加固，重新購買某些產(chǎn)品的服務(wù)，這種投資不能稱之為重復(fù)投資。

4　定級備案對象誤區(qū)

4．1　定級范圍

《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》（公信安［2007］861號）規(guī)定了信息安全等級保護(hù)的定級范圍，包括：

（1）電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)，經(jīng)營性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。

（2）鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險(xiǎn)、外交、科技、發(fā)展改革、國防科技、公安、人事勞動(dòng)和社會(huì)保障、財(cái)政、審計(jì)、商務(wù)、水利、國土資源、能源、交通、文化、教育、統(tǒng)計(jì)、工商行政管理、郵政等行業(yè)，部門的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)。

（3）市（地）級以上黨政機(jī)關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)。

（4）涉及國家秘密的信息系統(tǒng)。

4．2　定級對象確定誤區(qū)

政府行業(yè)在實(shí)際開展信息安全等級保護(hù)定級過程中，由于沒有對相關(guān)信息系統(tǒng)進(jìn)行深入的定級對象分析，包括信息系統(tǒng)管理組織機(jī)構(gòu)、業(yè)務(wù)應(yīng)用、物理位置和運(yùn)行環(huán)境等，經(jīng)常會(huì)產(chǎn)生以下誤區(qū)。

4．2．1　定級對象安全責(zé)任單位不明確

按照要求，作為定級對象的信息系統(tǒng)應(yīng)能夠唯一確定其安全責(zé)任單位。如果一個(gè)單位的某個(gè)下級單位負(fù)責(zé)信息系統(tǒng)安全建設(shè)、運(yùn)行維護(hù)等工作，則這個(gè)下級單位可作為定級對象安全責(zé)任單位；如果一個(gè)單位中的不同下級單位分別承擔(dān)信息系統(tǒng)不同方面的安全責(zé)任，則該信息系統(tǒng)的安全責(zé)任單位應(yīng)當(dāng)是這些下級單位共同所屬的上級單位。

而在實(shí)際定級對象確定過程中，很多單位和部門存在著安全責(zé)任單位確定的隨意性，例如對于一個(gè)單位中的不同下級單位分別承擔(dān)信息系統(tǒng)不同方面的安全責(zé)任，可能隨意指定一家下屬單位作為安全責(zé)任單位等情況，而其他下屬單位認(rèn)為該系統(tǒng)的安全責(zé)任單位并非自己，存在疏忽和大意的情況，導(dǎo)致在定級對象備案、測評、整改過程中產(chǎn)生很多低效率環(huán)節(jié)。

4．2．2　定級對象不具備信息系統(tǒng)的基本要素

按照要求，作為定級對象的信息系統(tǒng)應(yīng)該是由相關(guān)的或配套的設(shè)施設(shè)備按照一定的應(yīng)用目標(biāo)和規(guī)則組合而成的有形實(shí)體。

而在實(shí)際定級對象確定過程中，則存在將某個(gè)單一的系統(tǒng)組件，如服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備等作為定級對象的情況，這些單一的系統(tǒng)組件往往不具備信息系統(tǒng)的基本要求，因此不應(yīng)作為定級對象。

4．2．3　定級對象業(yè)務(wù)應(yīng)用不單一或不獨(dú)立

按照要求，定級對象應(yīng)承擔(dān)單一或獨(dú)立的業(yè)務(wù)應(yīng)用，該業(yè)務(wù)應(yīng)用的業(yè)務(wù)流程獨(dú)立，與其他業(yè)務(wù)應(yīng)用沒有數(shù)據(jù)交換且獨(dú)享所有信息處理設(shè)備。

而在實(shí)際定級對象確定過程中，有很多應(yīng)用系統(tǒng)其實(shí)是作為其他業(yè)務(wù)應(yīng)用系統(tǒng)的一個(gè)分支或一部分，而不屬于（公信安［2007］861號）文件規(guī)定的定級范圍。例如船舶過閘收費(fèi)系統(tǒng)、水情信息監(jiān)測系統(tǒng)等只是作為一套遙測或監(jiān)控系統(tǒng)，本質(zhì)上是為上層業(yè)務(wù)系統(tǒng)提供數(shù)據(jù)支撐或?qū)崟r(shí)監(jiān)控的，與其他業(yè)務(wù)應(yīng)用會(huì)發(fā)生數(shù)據(jù)交換，不應(yīng)單獨(dú)作為定級對象。

5　等保級別確定誤區(qū)

5．1　安全保護(hù)等級劃分原則

《信息安全等級保護(hù)管理辦法》（公通字［2007］43號）規(guī)定了信息系統(tǒng)的安全保護(hù)等級劃分原則，見表1。

5．2　不同級別系統(tǒng)基本要求項(xiàng)的差異

按照要求，應(yīng)根據(jù)“業(yè)務(wù)信息”和“系統(tǒng)服務(wù)”的需求確定整個(gè)系統(tǒng)的安全保護(hù)等級，不同級別的系統(tǒng)中，信息安全等級保護(hù)的基本要求有很大差異，對技術(shù)要求和管理要求的級別也不同，見表2。

5．3　定級誤區(qū)

政府行業(yè)在實(shí)際開展等級保護(hù)定級過程中，經(jīng)常會(huì)因?yàn)楦鞣N原因造成定級偏高或偏低的情況。

5．3．1　定級偏高

如果系統(tǒng)定級偏高，則會(huì)造成該信息系統(tǒng)信息安全過度保護(hù)，會(huì)增加技術(shù)安全防護(hù)費(fèi)用，同時(shí)大量增加管理成本。信息系統(tǒng)的測評的頻率和要求也相應(yīng)提高，造成資源浪費(fèi)。同時(shí)由于級別越高，系統(tǒng)的技術(shù)和管理要求越高，致使信息系統(tǒng)的易用性受到影響?？偟膩碚f，系統(tǒng)定級偏高，會(huì)形成“好鋼沒用在刀刃上”的后果。

5．3．2　定級偏低

如果系統(tǒng)定級偏低，則會(huì)造成該信息系統(tǒng)安全保護(hù)不到位，沒有根據(jù)系統(tǒng)侵害客體以及侵害客體的實(shí)際情況確定系統(tǒng)保護(hù)等級，相應(yīng)的技術(shù)防護(hù)水平和安全管理要求難以滿足安全需求，且系統(tǒng)安全測評的頻率和要求也隨之降低。系統(tǒng)一旦發(fā)生安全問題，會(huì)形成管理部門的過度責(zé)任。

6　實(shí)施和測評誤區(qū)

6．1　系統(tǒng)定級后就完成了等級保護(hù)

很多部門和單位認(rèn)為系統(tǒng)完成了定級也就完成了等級保護(hù)。其實(shí)，完成等級保護(hù)定級工作并不是萬事大吉，而是剛剛開始。套用一句廣告詞：“你才剛上路呢?！庇捎趯φ叩牟焕斫?，很多用戶認(rèn)為完成定級就是完成了等級保護(hù)。其實(shí)，自定級只是等級保護(hù)的入門工作。

涉及等級保護(hù)的相關(guān)文件已經(jīng)明確提出系統(tǒng)的安全問題遵循“誰建設(shè)誰維護(hù)”的原則。安全本身是動(dòng)態(tài)的，這就決定了等級保護(hù)是長期、持續(xù)性的工作。等級保護(hù)最大的推動(dòng)力是每半年或一年一次的系統(tǒng)檢查，檢查將統(tǒng)一用戶對等級保護(hù)建設(shè)的認(rèn)識。

6．2　將安全測評等同于等級保護(hù)

在我國，目前主管部門安全認(rèn)可的依據(jù)多數(shù)是系統(tǒng)安全測評的結(jié)果。主管部門根據(jù)系統(tǒng)測評結(jié)果判斷，如果殘余風(fēng)險(xiǎn)可以接受，則允許系統(tǒng)投入運(yùn)行或繼續(xù)運(yùn)行，否則信息系統(tǒng)便沒有達(dá)到特定安全等級的安全要求。沒有最終的主管認(rèn)可過程，等級保護(hù)無法落到實(shí)處。從這個(gè)意義上講，進(jìn)行等級保護(hù)建設(shè)、實(shí)施風(fēng)險(xiǎn)管理過程后的系統(tǒng)安全測評及行政認(rèn)可是等級保護(hù)的落腳點(diǎn)。而不能認(rèn)為系統(tǒng)做了安全測評就是完成了等級保護(hù)。

7　結(jié)語

當(dāng)今的信息產(chǎn)業(yè)已經(jīng)成為國民經(jīng)濟(jì)重要支柱之一，政府信息系統(tǒng)對于提高政府公共服務(wù)能力，建設(shè)責(zé)任政府、法制政府和服務(wù)政府提供著重要支撐和保障。同時(shí)，政府信息系統(tǒng)的安全性問題也越來越重要，必然成為我國開展信息系統(tǒng)安全等級保護(hù)的重點(diǎn)。在政府部門開展信息系統(tǒng)安全等級保護(hù)過程中，必須嚴(yán)格按照等保相關(guān)規(guī)定和文件的要求，深入剖析政策內(nèi)涵，做到政策理解到位，定級范圍合理，等保級別準(zhǔn)確，實(shí)施過程完整，測評及時(shí)有效。

主要參考文獻(xiàn)

［1］朱繼鋒，趙英杰，楊賀，等．等級保護(hù)思想的演化［J］．信息安全與通信保密，2011（4）．

［2］張戈．等級保護(hù)的三大誤區(qū)［N］．電腦商報(bào)，2008－03－03．

［3］中華人民共和國國務(wù)院．中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例［S］．1994．

篇3

[關(guān)鍵詞] 信息等級保護(hù)概述；中國石油；等級保護(hù)建設(shè)

[中圖分類號] TP391；X913.2 [文獻(xiàn)標(biāo)識碼] A [文章編號] 1673 - 0194（2013）05- 0057- 02

1 信息等級保護(hù)制度概述

信息安全等級保護(hù)制度是國家信息安全保障工作的基本制度，是促進(jìn)信息化健康發(fā)展的根本保障。其具體內(nèi)容包括：①對國家秘密信息，法人和其他組織及公民的專有信息以及公開信息，存儲、傳輸、處理這些信息的信息系統(tǒng)實(shí)行分等級安全保護(hù)、分等級監(jiān)管；②對信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級管理；③對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。信息安全等級保護(hù)配套政策體系及標(biāo)準(zhǔn)體系如圖1、圖2所示。

定條件的測評機(jī)構(gòu)開展等級測評；④建設(shè)整改：備案單位根據(jù)信息系統(tǒng)安全等級，按照國家政策、標(biāo)準(zhǔn)開展安全建設(shè)整改；⑤檢查：公安機(jī)關(guān)定期開展監(jiān)督、檢查、指導(dǎo)。

2 中國石油信息安全等級保護(hù)制度建設(shè)

中國石油信息化建設(shè)處于我國大型企業(yè)領(lǐng)先地位，在國資委歷年信息化評比中都名列前茅。2007 年全國開展信息安全等級保護(hù)工作之后，中國石油認(rèn)真貫徹國家信息安全等級保護(hù)制度各項(xiàng)要求，全面開展信息安全等級保護(hù)工作。逐步建成先進(jìn)實(shí)用、完整可靠的信息安全體系，保障信息化建設(shè)和應(yīng)用，支撐公司業(yè)務(wù)發(fā)展和總體戰(zhàn)略的實(shí)施，使中國石油的信息安全保障能力顯著提高。主要采取的措施有以下幾個(gè)方面：

（1）以信息安全等級保護(hù)工作為契機(jī) ， 全面梳理業(yè)務(wù)系統(tǒng)并定級備案。中國石油根據(jù)國家信息安全等級保護(hù)制度要求，建立自上而下的工作組織體系，明確信息安全責(zé)任部門，對中國石油統(tǒng)一建設(shè)的應(yīng)用系統(tǒng)進(jìn)行等級保護(hù)定級和備案，通過制定《中國石油天然氣集團(tuán)公司重要信息系統(tǒng)安全等級保護(hù)定級實(shí)施暫行意見》，加強(qiáng)桌面安全、網(wǎng)絡(luò)安全、身份認(rèn)證等安全基礎(chǔ)防護(hù)工作，加快開展重要信息系統(tǒng)的等級測評和安全建設(shè)整改工作，進(jìn)一步提高信息系統(tǒng)的安全防御能力，提高系統(tǒng)的可用性和安全性。在全面組織開展信息系統(tǒng)等級保護(hù)定級備案工作之后，聘請專業(yè)測評機(jī)構(gòu)，及時(shí)開展等級測評、安全檢查和風(fēng)險(xiǎn)評估工作，并通過等級測評工作查找系統(tǒng)的不足和安全隱患，制訂安全整改方案，開展安全整改和加固改造，保障信息系統(tǒng)持續(xù)安全穩(wěn)定運(yùn)行。

（2）以信息安全等級保護(hù)工作為抓手 ， 全面推動(dòng)中國石油信息安全體系建設(shè)。中國石油以信息安全等級保護(hù)工作為抓手，完善信息安全整體解決方案，建立技術(shù)保障體系、管理保障體系和控制保障體系。采用分級、分域的縱深防御理念，將桌面安全、身份認(rèn)證、網(wǎng)絡(luò)安全、容災(zāi)等相關(guān)技術(shù)相互結(jié)合，建立統(tǒng)一的安全監(jiān)控平臺和安全運(yùn)行中心，實(shí)現(xiàn)對應(yīng)用系統(tǒng)的授權(quán)訪問、桌面計(jì)算機(jī)的安全控制、網(wǎng)絡(luò)流量的異常監(jiān)控、惡意軟件與攻擊行為的及時(shí)發(fā)現(xiàn)與防御、業(yè)務(wù)與數(shù)據(jù)安全保障等功能，顯著提高抵御外部和內(nèi)部信息安全威脅的能力。建立了總部、區(qū)域網(wǎng)絡(luò)中心、企事業(yè)單位三級信息系統(tǒng)安全運(yùn)維隊(duì)伍；采用集中管理、分級維護(hù)的管理模式，網(wǎng)絡(luò)與安全運(yùn)維人員采用授權(quán)方式，持證上崗，建立網(wǎng)絡(luò)管理員、安全管理員和安全審計(jì)員制度；初步建立起中國石油內(nèi)部信息安全風(fēng)險(xiǎn)評估隊(duì)伍，并于 2010 年完成地區(qū)公司的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估工作。

（3）建立重要信息系統(tǒng)應(yīng)急處置預(yù)案，完善災(zāi)難恢復(fù)機(jī)制。2008 年，中國石油了《網(wǎng)絡(luò)與信息安全突發(fā)事件專項(xiàng)應(yīng)急預(yù)案》，所有業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)管理、安全管理等都建立了應(yīng)急響應(yīng)處置預(yù)案和災(zāi)備系統(tǒng)，保障業(yè)務(wù)系統(tǒng)在遭遇突發(fā)事件時(shí)，能快速反應(yīng)并恢復(fù)業(yè)務(wù)系統(tǒng)可用性。通過災(zāi)難恢復(fù)項(xiàng)目研究，形成了現(xiàn)狀及風(fēng)險(xiǎn)分析、災(zāi)難恢復(fù)等級劃分、災(zāi)備部署策略分析和災(zāi)備部署方案四步法，劃分了信息系統(tǒng)災(zāi)難恢復(fù)等級，完善了災(zāi)難恢復(fù)機(jī)制。

（4）規(guī)劃信息安全運(yùn)行中心，建立重要信息系統(tǒng)安全監(jiān)控機(jī)制。中國石油規(guī)劃了信息安全運(yùn)行中心的建設(shè)方案，提出了信息安全運(yùn)行中心建設(shè)目標(biāo)，通過網(wǎng)絡(luò)運(yùn)行狀態(tài)、安全信息數(shù)據(jù)匯集、安全監(jiān)測分析功能和安全管理流程的有機(jī)整合，實(shí)現(xiàn)中國石油 信息安全狀況的可感知、可分析、可展示、可管理和可指揮，形成中國石油信息安全事件分析、風(fēng)險(xiǎn)分析、預(yù)警管理和應(yīng)急響應(yīng)處理一體化的技術(shù)支撐能力；通過完善安全運(yùn)行管理體系，將安全運(yùn)行管理組織、安全運(yùn)維管理流程和安全監(jiān)測預(yù)警系統(tǒng)三方面有機(jī)結(jié)合，實(shí)現(xiàn)事前預(yù)警防范、事中監(jiān)控處置、事后追溯定位的信息安全閉環(huán)運(yùn)行機(jī)制，形成中國石油統(tǒng)一的應(yīng)急指揮與協(xié)調(diào)調(diào)度能力，為中國石油信息安全保障奠定良好的基礎(chǔ)。

3 信息安全等級保護(hù)工作存在的不足及改進(jìn)建議

信息安全等級保護(hù)管理辦法 （公通字[2007]43號）正式標(biāo)志著全國范圍內(nèi)的信息安全等級保護(hù)工作開始，通過5年的努力，全國信息安全工作形成了以落實(shí)信息安全等級保護(hù)制度為核心，信息通報(bào)、應(yīng)急處理、技術(shù)研究、產(chǎn)業(yè)發(fā)展、網(wǎng)絡(luò)信任體系和標(biāo)準(zhǔn)化建設(shè)等工作快速發(fā)展的良好局面，重要行業(yè)部門的信息安全意識、重視程度、工作能力有了顯著提高。40余個(gè)重要行業(yè)出臺了100余份行業(yè)等級保護(hù)政策文件，20余個(gè)重要行業(yè)出臺了40余份行業(yè)等級保護(hù)標(biāo)準(zhǔn)，但同時(shí)存在著以下不足：

（1）對信息安全工作的認(rèn)識不到位，對重要信息系統(tǒng)安全保護(hù)缺乏應(yīng)有的重視。依據(jù)公安部相關(guān)資料統(tǒng)計(jì)，截至2012年6月，我國有18%的單位未成立信息安全工作領(lǐng)導(dǎo)機(jī)構(gòu)；21%的單位未落實(shí)信息安全責(zé)任部門，缺乏信息安全整體規(guī)劃；14個(gè)行業(yè)重要信息系統(tǒng)底數(shù)不清、安全保護(hù)狀況不明；12個(gè)行業(yè)未組織全行業(yè)信息安全專門業(yè)務(wù)培訓(xùn)，開展信息安全工作的思路和方法不得當(dāng)，措施不得力。20%的單位在信息系統(tǒng)規(guī)劃過程中，沒有認(rèn)真制定安全策略和安全體系規(guī)劃，導(dǎo)致安全策略不得當(dāng)；22%的信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)劃分不合理，核心業(yè)務(wù)區(qū)域部署位置不當(dāng)，業(yè)務(wù)應(yīng)用不合理，容易導(dǎo)致黑客入侵攻擊，造成網(wǎng)絡(luò)癱瘓，數(shù)據(jù)被竊取和破壞。34.6%的重要信息系統(tǒng)未配置專職安全管理人員，相關(guān)崗位設(shè)置不完整，安全管理人員身兼多職；48%的單位信息安全建設(shè)資金投入不足，導(dǎo)致重要信息系統(tǒng)安全加固和整改經(jīng)費(fèi)嚴(yán)重缺乏；27%的單位沒有針對安全崗位人員制訂相關(guān)的培訓(xùn)計(jì)劃，沒有組織開展信息安全教育和培訓(xùn)，安全管理、運(yùn)維技術(shù)人員能力較弱。

（2）重要信息系統(tǒng)未落實(shí)關(guān)鍵安全保護(hù)技術(shù)措施。重要信息系統(tǒng)未落實(shí)安全審計(jì)措施。在主機(jī)層面，有34.9%的信息系統(tǒng)沒有保護(hù)主機(jī)審計(jì)記錄，34.8%的信息系統(tǒng)沒有保護(hù)主機(jī)審計(jì)進(jìn)程，容易導(dǎo)致事故責(zé)任無法認(rèn)定，無法確定事故（事件）原因，影響應(yīng)急處理效率。38%的信息系統(tǒng)沒有落實(shí)對重要系統(tǒng)程序和文件進(jìn)行完整性檢測和自動(dòng)恢復(fù)的技術(shù)措施，35%的信息系統(tǒng)沒有采取監(jiān)測重要服務(wù)器入侵行為的技術(shù)措施，容易使內(nèi)部網(wǎng)絡(luò)感染病毒，對攻擊行為無法進(jìn)行有效監(jiān)測和處置。

（3）我國信息技術(shù)與國外存在一定差距，安全專業(yè)化服務(wù)力量薄弱。具有我國自主知識產(chǎn)權(quán)的重要信息技術(shù)產(chǎn)品和核心技術(shù)水平還有待提高，依賴國外產(chǎn)品的情況還比較普遍；國內(nèi)信息安全專業(yè)化服務(wù)力量薄弱，安全服務(wù)能力不強(qiáng)，部分重要信息系統(tǒng)的關(guān)鍵產(chǎn)品維護(hù)和系統(tǒng)運(yùn)維依賴國外廠商，給重要信息系統(tǒng)安全留下了隱患。

為了有效提高我國企業(yè)信息安全水平，增加等級保護(hù)的可行性及執(zhí)行力，建議：①各企業(yè)開展以信息安全等級保護(hù)為核心的安全防范工作，提高網(wǎng)絡(luò)主動(dòng)防御能力，并制訂應(yīng)急處置預(yù)案，加強(qiáng)應(yīng)急演練，提高網(wǎng)絡(luò)應(yīng)急處置能力。②加大人員和資金投入，提高保障能力。③國家層面加快關(guān)鍵技術(shù)研究和產(chǎn)品化，重視產(chǎn)品供應(yīng)鏈的安全可控。

主要參考文獻(xiàn)

[1]中國石油天然氣集團(tuán)公司. 中國石油天然氣集團(tuán)公司全面開展信息安全等級保護(hù)工作為信息化建設(shè)保駕護(hù)航[J].信息網(wǎng)絡(luò)安全，2012（1）.

篇4

等級測評工作其實(shí)是信息系統(tǒng)安全建設(shè)或整改工作結(jié)束后對信息系統(tǒng)安全狀況進(jìn)行檢驗(yàn)和發(fā)現(xiàn)問題，以促進(jìn)信息系統(tǒng)安全狀況達(dá)到等級保護(hù)的要求。本刊記者就等級測評工作的相關(guān)內(nèi)容采訪了公安部信息安全等級保護(hù)評估中心系統(tǒng)測評部副主任、高級測評師陳雪秀。

|醫(yī)療衛(wèi)生機(jī)構(gòu)完成安全建設(shè)或整改工作之后就進(jìn)入到等級測評工作階段，請您介紹一下等級測評工作的內(nèi)容及流程。

陳雪秀：首先應(yīng)該明確，等級測評工作是檢測評估信息系統(tǒng)安全等級保護(hù)狀況是否達(dá)到相應(yīng)等級能力要求的過程，是落實(shí)信息安全等級保護(hù)制度的必要環(huán)節(jié)。

等級測評工作的主要內(nèi)容包括：在確定的測評指標(biāo)范圍內(nèi)，進(jìn)行現(xiàn)場測評（包括單元測評和系統(tǒng)整體測評），單項(xiàng)測評結(jié)果判定，綜合分析和風(fēng)險(xiǎn)評價(jià)，并給出等級測評結(jié)論、編制等級測評報(bào)告等一系列內(nèi)容。

在GB/T 28449-2012《信息系統(tǒng)安全等級保護(hù)測評過程指南》中規(guī)范了等級測評的活動(dòng)流程，分為四個(gè)基本測評活動(dòng)：測評準(zhǔn)備活動(dòng)、方案編制活動(dòng)、現(xiàn)場測評活動(dòng)、分析及報(bào)告編制活動(dòng)。通過這四個(gè)基本測評活動(dòng)過程可以發(fā)現(xiàn)系統(tǒng)中存在的安全問題和隱患，并給出這些問題或隱患給系統(tǒng)帶來的安全風(fēng)險(xiǎn)或影響，為信息系統(tǒng)安全保護(hù)能力和安全管理水平的提升奠定技術(shù)基礎(chǔ)。

需要強(qiáng)調(diào)的是，測評雙方之間的溝通與洽談應(yīng)貫穿整個(gè)等級測評過程。

|作為高級測評師，您在測評工作中已經(jīng)積累了很多測評經(jīng)驗(yàn)，請您介紹一下測評師是如何對信息系統(tǒng)進(jìn)行測評的。

陳雪秀：等級測評工作是一項(xiàng)對實(shí)踐經(jīng)驗(yàn)要求很強(qiáng)的工作，需要測評機(jī)構(gòu)和人員在實(shí)踐過程中不斷積累和完善各類測評方法，規(guī)范測評活動(dòng)。測評機(jī)構(gòu)的權(quán)威性、公正性和質(zhì)量保證，是維持測評機(jī)構(gòu)生存的基礎(chǔ)，也是保證測評數(shù)據(jù)、測評結(jié)論客觀、準(zhǔn)確的基礎(chǔ)。

現(xiàn)場測評活動(dòng)是開展等級測評工作的核心活動(dòng)?；顒?dòng)的主要任務(wù)是按照測評方案的總體要求，嚴(yán)格執(zhí)行測評指導(dǎo)書，分步實(shí)施所有測評項(xiàng)目，包括單元測評和整體測評兩個(gè)方面，以了解系統(tǒng)的真實(shí)保護(hù)情況，獲取足夠證據(jù)，發(fā)現(xiàn)系統(tǒng)存在的安全問題。

現(xiàn)場測評必須由具有測評師資質(zhì)的人員（即測評師，一般分為高級測評師、中級測評師和初級測評師，初級測評師又分為管理測評師和技術(shù)測評師）采用一定的測評方法在委托方人員的配合下進(jìn)行現(xiàn)場測評取證。測評方法一般包括人員訪談、文檔檢查、上機(jī)核查、工具測試、實(shí)地察看等。人員訪談一般是針對安全管理方面和技術(shù)方面的全局問題；文檔檢查主要是針對安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理五大管理方面；上機(jī)查核主要針對網(wǎng)絡(luò)、主機(jī)和應(yīng)用方面；實(shí)地察看主要針對物理安全方面，工具測試一般針對技術(shù)方面開展，包括漏洞掃描、源代碼審查、滲透測試等。

|我們都知道根據(jù)信息安全等級保護(hù)工作的要求，定為第三級的系統(tǒng)每年都要測評一次，請您談?wù)劽恳荒甑臏y評工作內(nèi)容有什么不同？

陳雪秀：《信息安全等級保護(hù)管理辦法》（公通字〔2007〕43號）中規(guī)定三級系統(tǒng)每年測評一次，四級系統(tǒng)每半年測評一次是非常有必要的。眾所周知，安全是一個(gè)動(dòng)態(tài)的過程。隨著時(shí)間的推移和外部環(huán)境的變化，信息系統(tǒng)面臨的外部威脅和自身的安全現(xiàn)狀、安全需求均會(huì)發(fā)生較大的變化，變化的部分即是測評的重點(diǎn)。

因此，每年測評主要關(guān)注以下方面：（1）上一年度測評發(fā)現(xiàn)的安全問題。（2）系統(tǒng)的變更情況。系統(tǒng)由于網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整、業(yè)務(wù)規(guī)模變化可能導(dǎo)致測評范圍發(fā)生變化，如果系統(tǒng)級別變更會(huì)導(dǎo)致測評指標(biāo)發(fā)生變化，新系統(tǒng)采用了虛擬化、大數(shù)據(jù)、移動(dòng)互聯(lián)等新技術(shù)、新應(yīng)用引發(fā)新的安全需求而帶來測評指標(biāo)的變化。（3）外部環(huán)境的變化。一方面關(guān)注目前國際、國內(nèi)安全形勢的新動(dòng)向新變化，目前產(chǎn)品的自主、可控是安全關(guān)注的重點(diǎn)，對抗有組織的外部攻擊的能力和應(yīng)急響應(yīng)能力也是本年度測評關(guān)注的重點(diǎn)。另一方面，關(guān)注新的安全威脅或漏洞隱患情況，如心臟滴血（Open ssl heart bleeding）漏洞、struts2遠(yuǎn)程執(zhí)行漏洞、BadUSB的安全漏洞等。（4）系統(tǒng)日常運(yùn)行帶來新的安全隱患。在信息系統(tǒng)日常運(yùn)行維護(hù)過程安全管理執(zhí)行落實(shí)情況、安全策略配置的有效性等，需要在每年測評時(shí)重點(diǎn)關(guān)注。

篇5

關(guān)鍵詞：信息安全；醫(yī)院信息系統(tǒng)；安全措施

隨著信息與網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，我們進(jìn)入了一個(gè)信息爆炸的時(shí)代，人們可以輕松便捷的通過網(wǎng)絡(luò)技術(shù)來進(jìn)行各種活動(dòng)。伴隨而來的信息安全問題也越發(fā)嚴(yán)重，也受到越來越多行業(yè)的關(guān)注，在網(wǎng)絡(luò)技術(shù)發(fā)展普及的同時(shí)，信息技術(shù)業(yè)在醫(yī)學(xué)領(lǐng)域得到廣泛的應(yīng)用，同右攪蘋構(gòu)信息系統(tǒng)的信息安全性在當(dāng)今也同樣得到極大的重視。

1 信息系統(tǒng)安全管理的原則

信息系統(tǒng)安全的核心目標(biāo)是為關(guān)鍵資產(chǎn)提供可用性、完整性和機(jī)密性[1]，所有安全控制、機(jī)制和防護(hù)措施的實(shí)現(xiàn)都是為了提供這些原則中的一個(gè)或多個(gè)。基于安全需求原則，醫(yī)療機(jī)構(gòu)應(yīng)根據(jù)其信息系統(tǒng)擔(dān)負(fù)的使命，積累的信息資產(chǎn)的重要性，可能受到的威脅及面臨的風(fēng)險(xiǎn)分析安全需求，按照信息系統(tǒng)等級保護(hù)要求確定相應(yīng)的信息系統(tǒng)安全保護(hù)等級，遵從相應(yīng)等級的規(guī)范要求，從全局上恰當(dāng)?shù)仄胶獍踩度肱c效果，做到技術(shù)和管理并重。

2 國內(nèi)醫(yī)療信息安全體系

在醫(yī)療活動(dòng)中，醫(yī)療機(jī)構(gòu)為了診斷及科研等其他需要，經(jīng)常使用醫(yī)療信息系統(tǒng)采集、大量的醫(yī)療相關(guān)數(shù)據(jù)，其中包含著患者的基本信息和敏感信息。如何有效的避免隱私信息的泄露也是越來越多醫(yī)療機(jī)構(gòu)普遍遇到的問題。與此同時(shí)，衛(wèi)生行政主管部門認(rèn)識到了醫(yī)療機(jī)構(gòu)信息系統(tǒng)安全的重要性，也逐年醫(yī)療信息保障管理辦法。2004年9月的《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》（公通字[2004]66號）進(jìn)一步強(qiáng)調(diào)了開展信息安全等級保護(hù)工作的重要意義，規(guī)定了實(shí)施信息安全等級保護(hù)制度的原則、內(nèi)容、職責(zé)分工、基本要求和實(shí)施計(jì)劃，部署了實(shí)施信息安全等級保護(hù)工作的操作辦法。2011年，信息安全等級保護(hù)已列入《三級綜合醫(yī)院評審標(biāo)準(zhǔn)》中信息化規(guī)范建設(shè)的重要考核依據(jù)與指標(biāo)。2011年衛(wèi)生部《衛(wèi)生部辦公廳關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級保護(hù)工作的通知》，要求衛(wèi)生行業(yè)“全面開展信息安全等級保護(hù)工作”。

3 醫(yī)院信息安全治理與風(fēng)險(xiǎn)管理

醫(yī)院系統(tǒng)信息安全風(fēng)險(xiǎn)管理的傳統(tǒng)措施是以邊界、安全域?yàn)橹鞯乃悸泛湍Ｊ?，采用被?dòng)的、防御型的技術(shù)手段，屬于應(yīng)對型的安全建設(shè)模式[2]。近些年來，隨著安全技術(shù)的快速發(fā)展，醫(yī)院信息安全規(guī)劃與建設(shè)思路也在發(fā)生轉(zhuǎn)變，其防護(hù)重點(diǎn)逐漸轉(zhuǎn)向醫(yī)院信息系統(tǒng)數(shù)據(jù)內(nèi)容、應(yīng)用、用戶身份和行為等全方位的安全防護(hù)；安全治理觀念也逐漸轉(zhuǎn)變?yōu)橹鲃?dòng)防御的合規(guī)管理工作，同時(shí)加強(qiáng)醫(yī)院信息安全監(jiān)控綜合分析。通過信息系統(tǒng)安全指標(biāo)作為衡量依據(jù)，衡量安全建設(shè)績效推進(jìn)醫(yī)院信息系統(tǒng)安全治理，從而以工具化、自動(dòng)化的安全手段，應(yīng)對不斷擴(kuò)張的IT資產(chǎn)管理，有效落實(shí)安全管理要求。

醫(yī)院信息安全責(zé)任部門正確運(yùn)用控制措施能降低醫(yī)院信息系統(tǒng)安全面臨的風(fēng)險(xiǎn)，控制主要分為三種類型：管理控制、技術(shù)控制和物理控制[3]。管理控制因?yàn)橥ǔＪ敲嫦蚬芾淼?，所以?jīng)常被稱為“軟控制”，如安全文檔、風(fēng)險(xiǎn)管理、人員安全和培訓(xùn)都屬于管理控制；技術(shù)控制也稱為邏輯控制由軟件或硬件組成，如防火墻、入侵檢測系統(tǒng)、加密、身份識別和認(rèn)證機(jī)制；物理控制用來保護(hù)設(shè)備、人員和資源，保安、鎖、圍墻等都屬于物理控制。在實(shí)際建設(shè)和規(guī)劃中，醫(yī)院信息安全責(zé)任部門應(yīng)正確以分層的方法綜合使用多個(gè)安全控制類型，為醫(yī)院信息平臺提供安全深度防御。由于入侵者在獲得訪問關(guān)鍵資產(chǎn)前將不得不穿越多個(gè)不同的保護(hù)機(jī)制，因此多層防御能夠?qū)B透成功率和威脅降低到最小，從而保障醫(yī)療機(jī)構(gòu)信息系統(tǒng)安全。

4 醫(yī)院系統(tǒng)的安全風(fēng)險(xiǎn)分析及對策

4.1訪問控制安全 安全的根本所在是通過控制如何訪問信息資源來防范資源泄露或未經(jīng)授權(quán)的修改。訪問控制是一種安全手段，控制用戶和系統(tǒng)如何與其他系統(tǒng)和資源進(jìn)行通信和交互。訪問控制能夠保護(hù)系統(tǒng)和資源免受未經(jīng)授權(quán)的訪問，并且在身份驗(yàn)證過程成功結(jié)束之后確定授權(quán)訪問的等級。信息訪問控制的實(shí)現(xiàn)手段在本質(zhì)上都處于技術(shù)性、物理性或行政管理性層面。同時(shí)需要注意，任何接口處是最應(yīng)該實(shí)施安全控制的一個(gè)地方，需要層層縱深防御來實(shí)施訪問控制。訪問控制是防范醫(yī)療機(jī)構(gòu)信息系統(tǒng)和資源被未授權(quán)訪問的第一道防線，系統(tǒng)使用用戶的訪問權(quán)限主要基于其身份、許可等級和/或組成員資格。訪問控制給予組織機(jī)構(gòu)控制、限制、監(jiān)控以及保護(hù)資源可用性、完整性和機(jī)密性的能力[4]。

4.2計(jì)算機(jī)及操作系統(tǒng)安全 計(jì)算機(jī)是系統(tǒng)內(nèi)提供某類安全并實(shí)施系統(tǒng)安全策略的所有硬件、軟件和固件的組合，然而其并不僅限于操作系統(tǒng)，操作系統(tǒng)的主要風(fēng)險(xiǎn)包括系統(tǒng)漏洞和文件病毒等。醫(yī)療機(jī)構(gòu)的信息安全責(zé)任部門需對帳戶、訪問、用戶權(quán)限等進(jìn)行管理與控制，做好定期監(jiān)視、審計(jì)和時(shí)間日志記錄和分析?？梢圆捎猛ㄟ^修改注冊表，屏蔽客戶端操作系統(tǒng)無關(guān)的內(nèi)容，限制訪問相關(guān)資源；還應(yīng)及時(shí)下載系統(tǒng)補(bǔ)丁，盡可能關(guān)閉不需要的端口，以彌補(bǔ)系統(tǒng)漏洞而給醫(yī)院信息系統(tǒng)安全性帶來的各類隱患。醫(yī)療機(jī)構(gòu)辦公計(jì)算機(jī)中的很多安全管理軟件會(huì)產(chǎn)生安全日志，應(yīng)由信息安全主管部門對這些安全日志進(jìn)行管理分析以不斷強(qiáng)化整體安全解決方案，例如針對于醫(yī)院可能發(fā)生的“統(tǒng)方”時(shí)間以及其他對醫(yī)院影響較大的安全事件，醫(yī)療機(jī)構(gòu)主管部門應(yīng)能夠及時(shí)發(fā)現(xiàn)、定位、報(bào)警以及事后審計(jì)。

篇6

【 關(guān)鍵詞 】 云計(jì)算；云安全；CSA信息安全等級保護(hù)

1 云安全現(xiàn)狀分析

1.1 全球企業(yè)和消費(fèi)者對云計(jì)算安全的關(guān)注

云計(jì)算是一種新興的商業(yè)計(jì)算模型，它利用高速互聯(lián)網(wǎng)的傳輸能力，將數(shù)據(jù)的處理過程從個(gè)人計(jì)算機(jī)或服務(wù)器轉(zhuǎn)移到一個(gè)大型的計(jì)算中心，并將計(jì)算能力、存儲能力當(dāng)作服務(wù)來提供。云計(jì)算模式已得到業(yè)界普遍認(rèn)同，成為信息技術(shù)領(lǐng)域新的發(fā)展方向。但是隨著云計(jì)算的大量應(yīng)用，云環(huán)境的安全問題也日益突出。在擁抱云計(jì)算的同時(shí)云計(jì)算面對的風(fēng)險(xiǎn)也是不容忽視，如果不能很好的解決相關(guān)的安全管理問題，云計(jì)算就會(huì)成為過眼“浮云”。 在眾多對云計(jì)算的討論中，SafeNet的調(diào)查非常具有代表性。

“對于云計(jì)算面臨的安全問題， 88.5%的企業(yè)對云計(jì)算安全擔(dān)憂，占首位。一方面，安全保護(hù)被視為云計(jì)算廣泛使用的絆腳石；另一方面，它也可以成為云計(jì)算的推動(dòng)力量。在“云”模式下，通過找到一個(gè)有效的保護(hù)數(shù)據(jù)的方法，企業(yè)則可以將“云”模式所帶來的商業(yè)潛力最大化，從而在行業(yè)中保持持續(xù)創(chuàng)新和增長。” 從調(diào)查和社會(huì)反饋來看，如何保證云環(huán)境的安全成為企業(yè)和消費(fèi)者最為關(guān)注的問題，如何做好企業(yè)和消費(fèi)者所關(guān)注的云計(jì)算的安全和管理問題也成為發(fā)展云計(jì)算產(chǎn)業(yè)急需解決的關(guān)鍵問題。

1.2 云計(jì)算安全理論研究及規(guī)范、標(biāo)準(zhǔn)現(xiàn)狀分析

云計(jì)算作為全新的Web服務(wù)模式，其本質(zhì)是計(jì)算與存儲能力從桌面端到網(wǎng)絡(luò)端（云端）遷移、以及網(wǎng)絡(luò)資源的動(dòng)態(tài)伸縮，包括軟件即服務(wù)（SaaS）、平臺即服務(wù)（PaaS）和基礎(chǔ)設(shè)施即服務(wù)（IaaS）等內(nèi)容，以實(shí)現(xiàn)縮減IT成本、提高企業(yè)業(yè)務(wù)運(yùn)營效率等目的?？深A(yù)見的是，云計(jì)算將在互聯(lián)網(wǎng)、電信、IT、金融及政府企事業(yè)單位等領(lǐng)域的信息化建設(shè)中扮演重要角色，為現(xiàn)有工作方式以及商業(yè)應(yīng)用帶來根本性變化。

云計(jì)算應(yīng)用安全研究目前還處于起步階段，業(yè)界尚未形成統(tǒng)一標(biāo)準(zhǔn)，目前主要的研究組織主要包括CSA（Cloud Security Alliance，云安全聯(lián)盟）、CAM（common assurance metric beyond the cloud通用保障測量體系）等相關(guān)論壇。 為了推動(dòng)云計(jì)算應(yīng)用安全的研究交流與協(xié)作發(fā)展，業(yè)界多家公司在2008年12月聯(lián)合成立了CSA，該組織是一個(gè)非贏利組織，旨在推廣云計(jì)算應(yīng)用安全的最佳實(shí)踐，并為用戶提供云計(jì)算方面的安全指引。CSA在2009年12月17日的新版的《云計(jì)算安全指南》（V2.1），著重總結(jié)了云計(jì)算的技術(shù)架構(gòu)模型、安全控制模型以及相關(guān)合規(guī)模型之間的映射關(guān)系，從云計(jì)算用戶角度闡述了可能存在的商業(yè)隱患、安全威脅以及推薦采取的安全措施。另外，歐洲網(wǎng)絡(luò)信息安全局（ENISA）和CSA聯(lián)合發(fā)起了CAM項(xiàng)目。CAM項(xiàng)目的研發(fā)目標(biāo)是開發(fā)一個(gè)客觀、可量化的測量標(biāo)準(zhǔn)，供客戶評估和比較云計(jì)算服務(wù)提供商安全運(yùn)行的水平。 此外，2011年1月美國國家標(biāo)準(zhǔn)委員會(huì)推出了SP800-144標(biāo)準(zhǔn)草案，針對公有云計(jì)算的安全與隱私保護(hù)提出了指導(dǎo)性意見。

目前，國內(nèi)專門針對云計(jì)算提出的安全管理標(biāo)準(zhǔn)和規(guī)范尚屬空白，尚無云安全的相關(guān)法律法規(guī)政策出臺。2007年，國家公安部、保密局、國家密碼管理局、國務(wù)院信息化領(lǐng)導(dǎo)小組辦公室聯(lián)合頒布了861號文件《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》和《信息安全等級保護(hù)管理辦法》，要求涉及國計(jì)民生的信息系統(tǒng)應(yīng)達(dá)到一定的安全等級。現(xiàn)在相關(guān)部門正在針對云計(jì)算平臺與傳統(tǒng)信息系統(tǒng)的技術(shù)及管理方面的差別進(jìn)行深入研究。未來將可能在此基礎(chǔ)上對信息安全等級保護(hù)管理辦法進(jìn)行針對性的升級，作為國內(nèi)云計(jì)算平臺的安全管理標(biāo)準(zhǔn)及規(guī)范。

1.3 云安全的兩種研究方向

當(dāng)前，由于云計(jì)算方興未艾，許多云服務(wù)提供商也紛紛出臺了自己的云安全解決方案。目前云安全基本上有兩種研究方向：云計(jì)算平臺的安全和安全云。

安全云：是研究如何以云計(jì)算的模式提供安全服務(wù)，目前的服務(wù)比較單一，已防病毒為主，主要來源于傳統(tǒng)的殺毒廠商，如瑞星、PANDA、McAfee等。

云計(jì)算安全：則是研究如何保護(hù)云計(jì)算平臺本身的安全性，是目前很多云服務(wù)提供商和云安全研究機(jī)構(gòu)研究的主體。

2 云安全需求分析

2.1 CSA云計(jì)算關(guān)鍵領(lǐng)域安全指南V2.1

CSA云計(jì)算關(guān)鍵領(lǐng)域安全指南V2.1中為云安全構(gòu)建了技術(shù)及管理框架（如下圖），其中包含了3個(gè)層面，13個(gè)關(guān)注點(diǎn)。

CSA安全指南v2.1在技術(shù)上面明確闡述了法律、電子證據(jù)發(fā)現(xiàn)（D3）以及虛擬化（D13）方面的安全關(guān)注建議，另外對于數(shù)據(jù)的可移植性和互操作性（D6）也是新版CSA安全指南的獨(dú)特之處。這些內(nèi)容在ISO27001或者PCI-DSS中或者沒有要求，或者很少闡述。

D3和D6都是法律層面的關(guān)注點(diǎn)；而D13虛擬化則是安全技術(shù)關(guān)注點(diǎn)，這也是云計(jì)算中心相對于傳統(tǒng)信息中心在技術(shù)方面最大的區(qū)別之一。

2.2 傳統(tǒng)信息系統(tǒng)的基本安全需求

《信息安全等級保護(hù)管理辦法》中對信息系統(tǒng)的安全需求的深入研究，對傳統(tǒng)信息系統(tǒng)的安全做出了很全面的規(guī)定，主要包含兩個(gè)層面的要求：技術(shù)層面和管理層面。

應(yīng)用系統(tǒng)應(yīng)根據(jù)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》確定自身的等保級別，并根據(jù)《信息系統(tǒng)安全等級保護(hù)基本要求》的具體要求進(jìn)行安全系統(tǒng)與制度建設(shè)。不同級別間的大項(xiàng)要求相同，細(xì)項(xiàng)不同。下圖對不同級別系統(tǒng)控制項(xiàng)的差異進(jìn)行了匯總。

篇7

【關(guān)鍵詞】信息系統(tǒng) 身份鑒別 漏洞掃描 信息安全管理體系（ISMS）

近年來，“Locky勒索軟件變種”、““水牢漏洞””、“支付寶實(shí)名認(rèn)證信息漏洞”、“京東12G用戶數(shù)據(jù)泄露”、“700元買他人隱私信息”等信息安全事件層出不窮，引起各國領(lǐng)導(dǎo)的重視和社會(huì)關(guān)注。為提高網(wǎng)絡(luò)安全和互聯(lián)網(wǎng)治理，2014年，我國成立了以主席為最高領(lǐng)導(dǎo)的信息安全管理機(jī)構(gòu)-中央網(wǎng)信辦；2016年11月，在中國烏鎮(zhèn)舉行了《第三屆世界互聯(lián)網(wǎng)大會(huì)》。通過一系列的行為，為求現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)能夠提高安全能力，為廣大社會(huì)群眾提供服務(wù)的同時(shí)，能夠保證人民的利益。

信息系統(tǒng)是由硬件、軟件、信息、規(guī)章制度等組成，主要以處理信息流為主，信息系統(tǒng)的網(wǎng)絡(luò)安全備受關(guān)注。企業(yè)在應(yīng)對外部攻擊，安全風(fēng)險(xiǎn)的同時(shí)，當(dāng)務(wù)之急是建立一套完整的信息安全管理體系。在統(tǒng)一的體系管控下，分布實(shí)施，開展各項(xiàng)安全工作。

目前，大多數(shù)企業(yè)的信息安全工作比較單一，主要是部署安全防護(hù)設(shè)備，進(jìn)行簡單的配置。信息安全工作不全面，安全管理相對薄弱，不足以抵抗來自外部的威脅。

1 信息安全問題

1.1 身份鑒別不嚴(yán)格

考慮到方便記憶和頻繁的登錄操作，企業(yè)普遍存在管理員賬號簡單或者直接采用系統(tǒng)的默認(rèn)賬號現(xiàn)象，并且基本不設(shè)定管理員的權(quán)限，默認(rèn)使用最大權(quán)限。一旦攻擊者通過猜測或其他手段獲得管理員賬號，攻擊者如入無人之境，可以任意妄為。最終可造成數(shù)據(jù)泄露，系統(tǒng)癱瘓等不可估量的嚴(yán)重后果。注重信息安全的企業(yè)會(huì)修改默認(rèn)管理員賬號，設(shè)定較為復(fù)雜的口令，并定期進(jìn)行口令更換。但是也僅僅使用一種身份鑒別技術(shù)，不足以抵抗外部攻擊。

1.2 外部攻擊，層出不窮

隨著計(jì)算機(jī)技術(shù)的發(fā)展，信息系統(tǒng)的外部攻簦層出不窮。攻擊者利用網(wǎng)絡(luò)系統(tǒng)的漏洞和缺陷，攻擊系統(tǒng)軟件、硬件和數(shù)據(jù)，進(jìn)行非法操作，造成系統(tǒng)癱瘓或者數(shù)據(jù)丟失。 目前主要存在的攻擊手段包括掃描技術(shù)、郵件

攻擊、拒絕服務(wù)攻擊、口令攻擊、惡意程序等等；入侵常用的步驟包括采用漏洞掃描工具進(jìn)行掃描、選擇合適的方式入侵、獲取系統(tǒng)的一定權(quán)限、提升為系統(tǒng)最高權(quán)限、安裝系統(tǒng)后門、獲取敏感信息或者其他攻擊目的。攻擊者會(huì)根據(jù)系統(tǒng)特性和網(wǎng)絡(luò)結(jié)構(gòu)采取不同的手段對網(wǎng)絡(luò)進(jìn)行攻擊，如果不采取相應(yīng)的防御手段，很容易被黑客攻擊，造成損失。

1.3 員工安全意識薄弱

很多互聯(lián)網(wǎng)企業(yè)的員工缺乏信息安全意識，存在離開辦公電腦時(shí)不鎖屏現(xiàn)象；將重要客戶信息、合同等敏感材料放在辦公桌上或者不及時(shí)取走打印機(jī)房內(nèi)的材料；優(yōu)盤未經(jīng)殺毒直接連接公司電腦；隨意點(diǎn)擊不明郵件的鏈接；更有員工將系統(tǒng)賬號、密碼粘貼在辦公桌上；在系統(tǒng)建設(shè)階段，大到管理者，小到開發(fā)人員、測試人員，均注重技術(shù)實(shí)現(xiàn)和業(yè)務(wù)要求，而忽略了系統(tǒng)的安全和管理。由于員工的信息安全意識較為薄弱，很容易造成公司信息泄露，進(jìn)而導(dǎo)致公司的損失。

1.4 內(nèi)部管理制度不完善

俗話說，“不以規(guī)矩，不能成方圓”。未形成全面的信息安全管理制度體系，缺失部分安全策略、管理制度、操作規(guī)程，可能導(dǎo)致信息安全管理制度體系存在疏漏，部分管理內(nèi)容無法有效實(shí)施。使相關(guān)工作過程缺乏規(guī)范依據(jù)和質(zhì)量保障，進(jìn)而影響到信息系統(tǒng)的安全建設(shè)和安全運(yùn)維。比如在軟件開發(fā)過程中，開發(fā)人員會(huì)因?yàn)楦鞣N原因而忽略安全開發(fā)（存在開發(fā)人員沒有意識到代碼安全開發(fā)的問題；有些開發(fā)人員不愿意使用邊界檢查，怕影響系統(tǒng)的效率和性能；當(dāng)然也存在許多遺留代碼存在問題的現(xiàn)象，從而導(dǎo)致二次開發(fā)同樣產(chǎn)生問題），可能導(dǎo)致系統(tǒng)存在后門，被黑客攻擊。

2 防范措施

企業(yè)需依據(jù)《信息安全等級保護(hù)管理辦法（公通字[2007]43號）》、《中華人民共和國網(wǎng)絡(luò)安全法》》、《ISO/IEC 27001》等標(biāo)準(zhǔn)和法律法規(guī)進(jìn)行信息系統(tǒng)安全建設(shè)工作。測評機(jī)構(gòu)在網(wǎng)安的要求下，對企業(yè)信息系統(tǒng)的安全進(jìn)行測評，并出具相應(yīng)測評結(jié)果。根據(jù)測評結(jié)果和整改建議，采用相應(yīng)的技術(shù)手段（安全認(rèn)證、入侵檢測、漏洞掃描、監(jiān)控管理、數(shù)據(jù)備份與加密等）和管理措施（安全團(tuán)隊(duì)、教育與培訓(xùn)、管理體系等）對信息系統(tǒng)進(jìn)行整改。如圖1所示。

2.1 技術(shù)手段

2.1.1 安全認(rèn)證

身份鑒別是指在計(jì)算機(jī)系統(tǒng)中確認(rèn)執(zhí)行者身份的過程，以確定該用戶是否具有訪問某種資源的權(quán)限，防止非法用戶訪問系統(tǒng)資源，保障合法用戶訪問授權(quán)的信息系統(tǒng)。凡登錄系統(tǒng)的用戶，均需進(jìn)行身份鑒別和標(biāo)識，且標(biāo)識需具有唯一性。用戶身份鑒別機(jī)制一般分為用戶知道的信息、用戶持有的信息、用戶生物特征信息三種。針對不同鑒別機(jī)制，常用的鑒別技術(shù)（認(rèn)證技術(shù)）如表1所示。

不同的認(rèn)證技術(shù)，在安全性、便捷性方面存在不同的特性。比如USB-Key的安全等級較高，但會(huì)遇到各種問題，導(dǎo)致便捷性較差（比如存在軟硬件適配性問題，移動(dòng)終端無USB口等）。一般認(rèn)為在相同的便捷性前提下，選擇安全等級較高的認(rèn)證技術(shù)。針對重要系統(tǒng)應(yīng)采用雙因子認(rèn)證技術(shù)。

2.1.2 入侵檢測

入侵檢測能夠依據(jù)安全策略，對網(wǎng)絡(luò)和系統(tǒng)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊行為，能夠?qū)崟r(shí)保護(hù)內(nèi)部攻擊、外部攻擊和誤操作的情況，保證信息系統(tǒng)網(wǎng)絡(luò)資源的安全。入侵檢測系統(tǒng)（IDS）是一個(gè)旁路監(jiān)聽設(shè)備，需要部署在網(wǎng)絡(luò)內(nèi)部。如果信息系統(tǒng)中包含了多個(gè)邏輯隔離的子網(wǎng)，則需要在整個(gè)信息系統(tǒng)中實(shí)施分布部署，從而掌控整個(gè)信息系統(tǒng)安全狀況。

2.1.3 漏洞掃描

漏洞掃描是指基于漏洞數(shù)據(jù)庫，通過掃描等手段對目標(biāo)系統(tǒng)的安全脆弱性進(jìn)行檢測，發(fā)現(xiàn)可利用的漏洞的一種安全檢測行為。常見的漏洞掃描類型主要包括系統(tǒng)安全隱患掃描、應(yīng)用安全隱患掃描、數(shù)據(jù)庫安全配置隱患掃描等。系統(tǒng)安全隱患掃描根據(jù)掃描方式的不同，分為基于網(wǎng)絡(luò)的和基于主機(jī)的系統(tǒng)安全掃描，可以發(fā)現(xiàn)系統(tǒng)存在的安全漏洞、安全配置隱患、弱口令、服務(wù)和端口等。應(yīng)用安全隱患掃描可以掃描出Web應(yīng)用中的SQL注入、Cookie注入、XPath注入、LDAP注入、跨站腳本、第三方軟件等大部分漏洞。數(shù)據(jù)庫安全配置隱患掃描可以檢測出數(shù)據(jù)庫的DBMS漏洞、缺省配置、權(quán)限提升漏洞、緩沖區(qū)溢出、補(bǔ)丁未升級等自身漏洞。

漏洞掃描主要用于評估主機(jī)操作系統(tǒng)、網(wǎng)絡(luò)和安全設(shè)備操作系統(tǒng)、數(shù)據(jù)庫以及應(yīng)用平臺軟件的安全情況，它能有效避免黑客攻擊行為，做到防患于未然。

2.1.4 監(jiān)控管理

網(wǎng)絡(luò)監(jiān)控主要包括上網(wǎng)監(jiān)控和內(nèi)網(wǎng)監(jiān)控兩部分。目前市場上已做的完整監(jiān)控軟件已包含上述功能。網(wǎng)絡(luò)監(jiān)控需結(jié)合網(wǎng)絡(luò)拓?fù)?，在網(wǎng)絡(luò)關(guān)鍵點(diǎn)接入監(jiān)控工具監(jiān)測當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)流量，分析可疑信息流，通過截包解碼分析的方式驗(yàn)證系統(tǒng)數(shù)據(jù)傳輸?shù)陌踩?。例如Solarwinds網(wǎng)絡(luò)監(jiān)控平臺，它包括Network Performance Monitoring、Network Traffic Analysis、WAN Performance （IP SLA） 、IP Address Management、Network Configuration Management、Application Performance Monitoring等?？梢詧?zhí)行全面的帶寬性能監(jiān)控和故障管理；可以分析網(wǎng)絡(luò)流量；可以對服務(wù)器上運(yùn)行的服務(wù)和進(jìn)程進(jìn)行自動(dòng)監(jiān)控，并在故障發(fā)生時(shí)及時(shí)告警；可對VOIP的相關(guān)參數(shù)進(jìn)行監(jiān)控；可以通過直觀的網(wǎng)絡(luò)控制臺管理整個(gè)IP架構(gòu)；可快速檢測、診斷及解決虛擬化環(huán)境的網(wǎng)絡(luò)性能；強(qiáng)大的應(yīng)用程序監(jiān)視、告警、報(bào)告功能等。

2.1.5 數(shù)據(jù)備份與加密

企業(yè)高度重視業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)和軟件系統(tǒng)。數(shù)據(jù)在存儲時(shí)應(yīng)加密存儲，防止黑客攻擊系統(tǒng)，輕易獲得敏感數(shù)據(jù)，造成公司的重大經(jīng)濟(jì)損失。常用的加密算法包括對稱加密（DES、AES）和不對稱加密算法（RSA）。密碼技術(shù)不僅可以防止信息泄露，同時(shí)可以保證信息的完整性和不可抵賴性。例如現(xiàn)在比較成熟的哈希算法、數(shù)字簽名、數(shù)字證書等。

除了對數(shù)據(jù)進(jìn)行加密存儲外，由于存在數(shù)據(jù)丟失、系統(tǒng)斷電、機(jī)房著火等意外，需對系統(tǒng)數(shù)據(jù)進(jìn)行備份。按照備份環(huán)境，備份分為本地備份和異地備份；按照備份數(shù)據(jù)量的多少，備份分為全備、增備、差分備份和按需備份。各企業(yè)需根據(jù)自己的業(yè)務(wù)要求和實(shí)際情況，選取合適的備份方式進(jìn)行備份。理想的備份是綜合了軟件數(shù)據(jù)備份和硬件冗余設(shè)計(jì)。

2.2 管理措施

2.2.1 安全團(tuán)隊(duì)

企業(yè)應(yīng)設(shè)立能夠統(tǒng)一指揮、協(xié)調(diào)有序、組織有力的專業(yè)的安全管理團(tuán)隊(duì)負(fù)責(zé)信息安全工作，該團(tuán)隊(duì)包括信息安全委員會(huì)，信息安全部門及其成員。安全部門負(fù)責(zé)人除了具備極強(qiáng)的業(yè)務(wù)處理能力，還需要有管理能力、溝通能力、應(yīng)變能力。目前安全團(tuán)隊(duì)的從業(yè)人員數(shù)量在逐漸增加，話語權(quán)在增多，肩上的擔(dān)子也越來越大。安全團(tuán)隊(duì)需要定好自己的位，多檢查少運(yùn)維，多幫企業(yè)解決問題。即安全團(tuán)隊(duì)修路，各部門在上面跑自己的需求。

2.2.2 教育c培訓(xùn)

保護(hù)企業(yè)信息安全，未雨綢繆比亡羊補(bǔ)牢要強(qiáng)。培養(yǎng)企業(yè)信息安全意識文化，樹立員工信息安全責(zé)任心，是解決企業(yè)信息安全的關(guān)鍵手段之一。企業(yè)的競爭實(shí)際上是人才的競爭，除了定期進(jìn)行技能培訓(xùn)外，還需對員工的安全意識進(jìn)行教育和培訓(xùn)。信息安全團(tuán)隊(duì)?wèi)?yīng)制定信息安全意識教育和培訓(xùn)計(jì)劃，包括但不限于在線、郵件、海報(bào)（標(biāo)語）、視頻、專場、外培等形式。通過對員工的安全意識教育，能從內(nèi)部預(yù)防企業(yè)安全事件的發(fā)生，提高企業(yè)的安全保障能力。

2.2.3 管理體系

隨著計(jì)算機(jī)攻擊技術(shù)的不斷提高，攻擊事件越來越多，且存在部分攻擊來自公司組織內(nèi)部。單靠個(gè)人的力量已無法保障信息系統(tǒng)的安全。因此，企業(yè)需建立自上而下的信息安全管理體系（ISMS， Information Security Management System），以達(dá)到分工明確，職責(zé)清晰，安全開發(fā)，可靠運(yùn)維。安全管理制度作為安全管理體系的綱領(lǐng)性文件，在信息系統(tǒng)的整個(gè)生命周期中起著至關(guān)重要的作用。不同機(jī)構(gòu)在建立與完善信息安全管理體系時(shí)，可根據(jù)自身情況，采取不同的方法，一般經(jīng)過PDCA四個(gè)基本階段（Plan：策劃與準(zhǔn)備；Do文件的編制；Check運(yùn)行；Action審核、評審和持續(xù)改進(jìn)）?？梢罁?jù)ISO27000，信息安全等級保護(hù)等，從制度、安全機(jī)構(gòu)、人員、系統(tǒng)建設(shè)和系統(tǒng)運(yùn)維5個(gè)方面去制定信息安全管理體系。通常，信息安全管理體系主要由總體方針和政策、安全管理制度、日常操作規(guī)程和記錄文檔組成，如圖2所示。

3 結(jié)語

國家不斷加強(qiáng)對各個(gè)互聯(lián)網(wǎng)企業(yè)、金融、銀行等的信息安全工作監(jiān)督，通過ISO27000、信息安全等級保護(hù)測評、電子銀行評估、互聯(lián)網(wǎng)網(wǎng)站專項(xiàng)安全測評等方式，規(guī)范企業(yè)的信息安全建設(shè)工作。同樣，信息安全工作長期面臨挑戰(zhàn)，不能一蹴而就，需要相關(guān)安全工作人員戮力同心、同舟共濟(jì)、相互扶持、攜手共建信息安全的共同體。

參考文獻(xiàn)

[1]沈昌祥，張煥國，馮登國等.信息安全綜述[J].中國科學(xué)雜志社，2007（37）：129-150.

[2]李嘉，蔡立志，張春柳等.信息系統(tǒng)安全等級保護(hù)測評實(shí)踐[M].哈爾濱工程大學(xué)出版社，2016（01）.

[3]蔣欣.計(jì)算機(jī)網(wǎng)絡(luò)戰(zhàn)防御技術(shù)分析[J].指揮控制與仿真，2006（08），28-4.

作者簡介

康玉婷（1988-），女，上海市人。碩士學(xué)位?，F(xiàn)為信息安全等級測評師、初級工程師。主要研究方向?yàn)樾畔踩?/p>

作者單位

篇8

【關(guān)鍵詞】大數(shù)據(jù) 企業(yè)網(wǎng)絡(luò) 信息安全

1 大數(shù)據(jù)下的網(wǎng)絡(luò)安全現(xiàn)狀

網(wǎng)絡(luò)企業(yè)普遍將大數(shù)據(jù)定義為數(shù)據(jù)量與數(shù)據(jù)類型復(fù)雜到在合理時(shí)間內(nèi)無法通過當(dāng)前的主流數(shù)據(jù)庫管理軟件生成、獲取、傳輸、存儲、處理，管理、分析挖掘、應(yīng)用決策以及銷毀等的大型數(shù)據(jù)集。大數(shù)據(jù)具有4V特征，即數(shù)據(jù)量大、數(shù)據(jù)類型多、數(shù)據(jù)價(jià)值密度低、數(shù)據(jù)處理速度快。在大數(shù)據(jù)計(jì)算和分析過程中，安全是不容忽視的。大數(shù)據(jù)的固有特征對現(xiàn)有的安全標(biāo)準(zhǔn)、安全體系架構(gòu)、安全機(jī)制等都提出了新的挑戰(zhàn)。面向大數(shù)據(jù)的高效隱私保護(hù)方法方面，高效、輕量級的數(shù)據(jù)加密已有多年研究，雖然可用于大數(shù)據(jù)加密，但加密后數(shù)據(jù)不具可用性。保留數(shù)據(jù)可用性的非密碼學(xué)的隱私保護(hù)方法因而得到了廣泛的研究和應(yīng)用。這些方法包括數(shù)據(jù)隨機(jī)化、k-匿名化、差分隱私等。這些方法在探究隱私泄漏的風(fēng)險(xiǎn)、提高隱私保護(hù)的可信度方面還有待深入，也不能適應(yīng)大數(shù)據(jù)的海量性、異構(gòu)性和時(shí)效性。

2 企業(yè)網(wǎng)絡(luò)信息安全的主要問題

在開放的互聯(lián)網(wǎng)環(huán)境中，企業(yè)網(wǎng)絡(luò)信息安全問題日益突顯，成為影響互聯(lián)網(wǎng)快速發(fā)展的重要因子。從實(shí)際來看，造成企業(yè)網(wǎng)絡(luò)信息安全問題的因素多元化，計(jì)算機(jī)系統(tǒng)漏洞、病毒入侵、黑客進(jìn)攻是造成目前網(wǎng)絡(luò)信息安全主要原因。特別是病毒入侵、黑客進(jìn)攻的頻繁，對整個(gè)互聯(lián)網(wǎng)的發(fā)展形成了較大影響。

2.1 計(jì)算機(jī)系統(tǒng)漏洞

計(jì)算機(jī)系統(tǒng)漏洞的存在，是造成計(jì)算機(jī)網(wǎng)絡(luò)信息安全的重要原因。在日常的系統(tǒng)運(yùn)行中，360等安全工具都會(huì)對系統(tǒng)進(jìn)行不定期的漏洞修復(fù)，以確保系統(tǒng)運(yùn)行的安全穩(wěn)定。因此，計(jì)算機(jī)系統(tǒng)漏洞的存在，一方面造成了計(jì)算機(jī)運(yùn)行中的不穩(wěn)定性，易于受到外界的惡意攻擊，進(jìn)而造成網(wǎng)絡(luò)終端用戶的信息安全；另一方面，系統(tǒng)漏洞的存在，為黑客等的攻擊，提供了更多的途徑和選擇，特別是系統(tǒng)和軟件編寫中存在的漏洞，給不法分子的惡意攻擊提供了可能，進(jìn)而造成計(jì)算機(jī)系統(tǒng)信息數(shù)據(jù)被盜，給計(jì)算機(jī)用戶的信息安全帶來極大的安全隱患。

2.2 計(jì)算機(jī)病毒攻擊

計(jì)算機(jī)病毒是當(dāng)前計(jì)算機(jī)安全問題的“始作俑者”，對計(jì)算機(jī)網(wǎng)絡(luò)信息安全帶來極大的破壞性。計(jì)算機(jī)病毒具有隱蔽性強(qiáng)、可擴(kuò)散等特點(diǎn)，決定了其在計(jì)算機(jī)安全中的巨大破壞性。首先，計(jì)算機(jī)病毒入侵的過程中，會(huì)造成計(jì)算機(jī)出現(xiàn)運(yùn)行不穩(wěn)定、系統(tǒng)異常等情況，數(shù)據(jù)丟失、硬盤內(nèi)存不足等問題的出現(xiàn)，都會(huì)影響計(jì)算機(jī)的安全運(yùn)行；其次，病毒一旦入侵計(jì)算機(jī)，其自動(dòng)傳播、自動(dòng)復(fù)制的特性，如木馬、蠕蟲等計(jì)算機(jī)病毒，可以讓其在計(jì)算機(jī)系統(tǒng)中形成大規(guī)模的自動(dòng)傳播，進(jìn)而對計(jì)算機(jī)系統(tǒng)內(nèi)的數(shù)據(jù)信息進(jìn)行破壞及竊取。

2.3 黑客攻擊頻繁

在開放的互聯(lián)網(wǎng)平臺，日益活躍的黑客成為企業(yè)網(wǎng)絡(luò)信息安全的重要影響因子。黑客通過入侵計(jì)算機(jī)系統(tǒng)，進(jìn)而對計(jì)算機(jī)網(wǎng)絡(luò)的正常運(yùn)行形成破壞，甚至將整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)癱瘓，造成巨大的安全影響。近年來，隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，黑客攻擊日益頻繁，且攻擊手段多樣化，這給計(jì)算機(jī)網(wǎng)絡(luò)安全帶來較大威脅。一方面，網(wǎng)絡(luò)安全監(jiān)管存在漏洞，良好的網(wǎng)絡(luò)環(huán)境有待進(jìn)一步凈化；另一方面，安全工具在技術(shù)升級等方面，存在一定的滯后性，在應(yīng)對黑客進(jìn)攻的過程中，表現(xiàn)出較大的被動(dòng)性，以至于計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行故障問題的頻發(fā)。

3 企業(yè)網(wǎng)絡(luò)信息安全防護(hù)辦法

完整的企業(yè)網(wǎng)絡(luò)信息安全防護(hù)體系應(yīng)包括以下幾方面，如圖1所示。

3.1 企業(yè)系統(tǒng)終端安全防護(hù)

對企業(yè)計(jì)算機(jī)終端進(jìn)行分類，依照國家信息安全等級保護(hù)的要求實(shí)行分等級管理，根據(jù)確定的等級要求采取相應(yīng)的安全防護(hù)。企業(yè)擁有多種類型終端設(shè)備，對于不同終端，根據(jù)具體終端的類型、通信方式以及應(yīng)用環(huán)境等選擇適宜的保障策略。確保移動(dòng)終端的接入安全，移動(dòng)作業(yè)類終端嚴(yán)格執(zhí)行企業(yè)制定的辦公終端嚴(yán)禁“內(nèi)外網(wǎng)機(jī)混用”原則，移動(dòng)終端接入內(nèi)網(wǎng)需采用軟硬件相結(jié)合的加密方式接入。

3.2 企業(yè)網(wǎng)絡(luò)邊界安全防護(hù)

企業(yè)網(wǎng)絡(luò)具有分區(qū)分層的特點(diǎn)，通過邊界防護(hù)確保信息資產(chǎn)不受外部的攻擊，防止惡意的內(nèi)部人員跨越邊界對外實(shí)施攻擊或?qū)?nèi)進(jìn)行超越權(quán)限的訪問和攻擊，在不同區(qū)的網(wǎng)絡(luò)邊界加強(qiáng)安全防護(hù)策略，或外部人員通過開放接口、隱蔽通道進(jìn)入內(nèi)部網(wǎng)絡(luò)。在管理信息內(nèi)部，審核不同業(yè)務(wù)安全等級與網(wǎng)絡(luò)密級，在網(wǎng)絡(luò)邊界進(jìn)行相應(yīng)的隔離保護(hù)。按照業(yè)務(wù)網(wǎng)絡(luò)的安全等級、業(yè)務(wù)連續(xù)性需求以及用途等評價(jià)指標(biāo)，采用防火墻隔離技術(shù)、協(xié)議隔離技術(shù)、物理隔離技術(shù)等對關(guān)鍵核心業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行安全隔離，實(shí)現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)訪問資源的有效控制。

篇9

持續(xù)推動(dòng)的等級保護(hù)

信息化技術(shù)標(biāo)準(zhǔn)委員會(huì)副主任委員崔書昆認(rèn)為，在基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全嚴(yán)重關(guān)系到國家安全、社會(huì)穩(wěn)定以及人民群眾切身利益的今天，信息安全問題已然成為事關(guān)全局的戰(zhàn)略性問題。近年來，有關(guān)部門圍繞信息安全保障體系建設(shè)，在信息安全等級保護(hù)、風(fēng)險(xiǎn)評估、標(biāo)準(zhǔn)制定、產(chǎn)品開發(fā)及打擊各種網(wǎng)絡(luò)違法犯罪活動(dòng)等方面取得了積極進(jìn)展。在這種情勢下，將信息安全等級保護(hù)確定為提高國家信息安全保障能力，維護(hù)國家安全、社會(huì)穩(wěn)定和公共利益的一項(xiàng)基本制度，是非常必要的。

可以這樣理解，我國信息安全各項(xiàng)工作快速推進(jìn)，信息安全風(fēng)險(xiǎn)評估工作和保障體系建設(shè)、信息安全管理工作、信息安全法制化和規(guī)范化建設(shè)、信息化基礎(chǔ)設(shè)施和體系建設(shè)取得了重要的成效。特別是從2007年7月20號開始，全國重要信息系統(tǒng)定級工作已經(jīng)開始，并在各行業(yè)、各部門、各單位的支持下，取得了豐碩的成果。

從2008年開始，公安部會(huì)同國家保密局等部門，在重要信息系統(tǒng)定級工作的基礎(chǔ)之上，部署和開展深入推進(jìn)信息安全等級保護(hù)工作，它主要分為三個(gè)方面：

第一，依據(jù)國家行業(yè)標(biāo)準(zhǔn)，從管理和技術(shù)兩個(gè)方面，開展信息系統(tǒng)安全建設(shè)整改，建立并落實(shí)安全管理制度，落實(shí)安全責(zé)任制。

第二，根據(jù)等級保護(hù)標(biāo)準(zhǔn)開展風(fēng)險(xiǎn)評估、災(zāi)難備份、應(yīng)急處置、安全檢查等工作。

第三，對信息系統(tǒng)應(yīng)用的一些重要單位，開展等級保護(hù)工作檢查。

公安部網(wǎng)絡(luò)安全保衛(wèi)局郭啟全處長說：“目前全國范圍內(nèi)，大規(guī)模的重要系統(tǒng)定級工作已經(jīng)基本完成，相關(guān)資料目前集中到公安部進(jìn)行管理。定級工作的主要成效是了解重要信息系統(tǒng)的底數(shù)，掌握國家信息安全的基本情況，為全面貫徹落實(shí)信息安全等級保護(hù)制度，推動(dòng)國家信息安全保障等工作的深入發(fā)展奠定堅(jiān)實(shí)的基礎(chǔ)。同時(shí)，某些地方、企業(yè)或者單位沒有完成定級工作，但會(huì)納入到我們下一階段的檢查工作當(dāng)中完成。另外，有些企業(yè)會(huì)隨后逐步執(zhí)行該工作，不會(huì)影響國家等級保護(hù)制度的大規(guī)模推動(dòng)?！?/p>

實(shí)施等級保護(hù)，充分體現(xiàn)了“適度安全、保護(hù)重點(diǎn)”的目的，可以把國家的重要網(wǎng)絡(luò)、重要系統(tǒng)挑出來，把國家有限的精力、財(cái)力投入到信息保護(hù)當(dāng)中去，提高國家基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的安全保護(hù)水平，同時(shí)提高信息安全保障工作的整體水平。

奧運(yùn)留下的財(cái)富

“2008年北京奧運(yùn)會(huì)的信息網(wǎng)絡(luò)安全工作給我們留下了很多財(cái)富?！惫鶈⑷?jīng)說過，奧運(yùn)會(huì)對我們國家的信息網(wǎng)絡(luò)安全工作進(jìn)行了一次大考。它既考驗(yàn)了我們國家信息網(wǎng)絡(luò)安全的工作，同時(shí)也考驗(yàn)了等級保護(hù)主管部門、公安部和很多部委的行業(yè)主管部門的信息安全工作。在這次大考中，各部門均表現(xiàn)得很優(yōu)秀。在北京奧運(yùn)會(huì)期間，無論是核心網(wǎng)絡(luò)還是信息系統(tǒng)，都遭受了大規(guī)模的攻擊和入侵，卻沒有出現(xiàn)相關(guān)安全事故，支撐北京奧運(yùn)會(huì)順利舉辦，這是我國信息網(wǎng)絡(luò)安全領(lǐng)域經(jīng)歷的考驗(yàn)。

實(shí)際上，奧運(yùn)會(huì)取得的經(jīng)驗(yàn)和公安部下一步等級保護(hù)工作之間存在密切的相關(guān)性。公安部和有關(guān)部委會(huì)借鑒奧運(yùn)會(huì)信息安全網(wǎng)絡(luò)經(jīng)驗(yàn)，充分利用好奧運(yùn)留下的財(cái)富，進(jìn)一步開展今后的工作。

記者了解到，在北京奧運(yùn)會(huì)之前，成立了以公安部牽頭的包括海關(guān)、銀行、廣電等14個(gè)部委參加的信息網(wǎng)絡(luò)安全指揮部。由于有了這樣的指揮部，使得各項(xiàng)工作的落實(shí)有了一個(gè)組織保障。如果沒有這個(gè)指揮部，大家各干各的，在北京奧運(yùn)會(huì)期間便無法保證重要系統(tǒng)和網(wǎng)絡(luò)的安全。

在2008年，國家安全的核心問題便是保障奧運(yùn)的安全，奧運(yùn)安全采取的第一個(gè)措施就是等級保護(hù)。郭啟全介紹說：“公安部把奧運(yùn)核心網(wǎng)絡(luò)和涉及奧運(yùn)會(huì)的系統(tǒng)都定級、備案，針對風(fēng)險(xiǎn)和重要性搞等級測評和風(fēng)險(xiǎn)評估，反復(fù)查找問題、漏洞、脆弱性和安全風(fēng)險(xiǎn)。從歷史經(jīng)驗(yàn)來看，總會(huì)有一些黑客試圖攻擊奧運(yùn)系統(tǒng)。所以，在這些黑客攻擊之前，我們就需要開始做嚴(yán)格的攻擊性自測。找到問題后進(jìn)行系統(tǒng)加固，并且是有針對性地進(jìn)行加固。這種安全建設(shè)、整改、加固還有等級測評，提升了我們的系統(tǒng)防范能力?！?/p>

郭啟全強(qiáng)調(diào)：“我們當(dāng)時(shí)還專門針對北京奧運(yùn)會(huì)提出了風(fēng)險(xiǎn)評估的指南。北京奧運(yùn)會(huì)期間最大的風(fēng)險(xiǎn)是什么？其實(shí)就是來自黑客的攻擊破壞，所以搞風(fēng)險(xiǎn)評估要針對最大的風(fēng)險(xiǎn)去做。舉個(gè)例子，我到國家體育總局去了三次，就是研究他們的網(wǎng)絡(luò)安全問題、網(wǎng)站安全問題，這就有針對性，搞等級保護(hù)、風(fēng)險(xiǎn)評估非常有針對性。這使得我們的風(fēng)險(xiǎn)找得準(zhǔn)，漏洞找得準(zhǔn)，問題找得準(zhǔn)，因此相關(guān)措施就有針對性。”

2009年的新工作

中國工程院院士沈昌祥指出，目前我國信息與網(wǎng)絡(luò)安全的防護(hù)能力還處于發(fā)展的初級階段，有些應(yīng)用系統(tǒng)處于不設(shè)防狀態(tài)。國防科技大學(xué)的一項(xiàng)研究表明，我國與互聯(lián)網(wǎng)相連的網(wǎng)絡(luò)管理中心有95%都遭到過境內(nèi)外黑客的攻擊或侵入，其中銀行、金融和證券機(jī)構(gòu)是攻擊重點(diǎn)。

由于奧運(yùn)網(wǎng)絡(luò)和信息系統(tǒng)開展了等級保護(hù)工作，并對等級保護(hù)工作的政策標(biāo)準(zhǔn)、工作環(huán)節(jié)進(jìn)行了檢驗(yàn)，所以等級保護(hù)下一步的工作部署將充分借鑒北京奧運(yùn)會(huì)的經(jīng)驗(yàn)，健全完善等級保護(hù)領(lǐng)導(dǎo)體制和協(xié)調(diào)配合機(jī)制，例如等級保護(hù)原來有些領(lǐng)導(dǎo)體制可能還要進(jìn)行補(bǔ)充，明確重點(diǎn)工作對象，比如說拿三級系統(tǒng)作為重點(diǎn)工作對象。

郭啟全說：“我們會(huì)嚴(yán)格落實(shí)責(zé)任制，認(rèn)真抓好三點(diǎn)工作，計(jì)劃三年內(nèi)完成安全系統(tǒng)的整改工作，總的目標(biāo)就是：能力提高，事故降低，等級保護(hù)制度得到落實(shí)，國家信息網(wǎng)絡(luò)安全基本得到保障?！?/p>

開展的重點(diǎn)工作主要分為三個(gè)方面。第一個(gè)方面是全面開展等級保護(hù)安全建設(shè)整改工作，要建設(shè)安全設(shè)施，落實(shí)安全措施，建立并落實(shí)安全管理制度，落實(shí)責(zé)任制。第二個(gè)方面是各單位建立安全整改工作規(guī)劃，完成定級系統(tǒng)整改規(guī)劃和制定具體實(shí)施方案。第三個(gè)方面是以三級以上系統(tǒng)為重點(diǎn)，確定安全需求，制定安全方案?！爱?dāng)然，一些單位可能不太明白具體的操作辦法，屆時(shí)我們會(huì)選擇有代表性的信息系統(tǒng)進(jìn)行安全建設(shè)試點(diǎn)、示范，結(jié)合行業(yè)特點(diǎn)制定行業(yè)標(biāo)準(zhǔn)規(guī)范，按照有關(guān)工作實(shí)施的規(guī)范要求組織實(shí)施信息系統(tǒng)安全建設(shè)工程?！?/p>

篇10

在成功舉辦前六屆中國國際計(jì)算機(jī)信息系統(tǒng)安全展覽會(huì)的基礎(chǔ)上，今年為配合新頒布的《國家信息安全等級保護(hù)管理辦法（試行）》的實(shí)施，第七屆中國國際計(jì)算機(jī)網(wǎng)絡(luò)和信息安全展覽會(huì)全面深入把握當(dāng)前信息及網(wǎng)絡(luò)安全發(fā)展動(dòng)態(tài)，廣泛展示最具代表性的信息及網(wǎng)絡(luò)安全產(chǎn)品及技術(shù)，為展商和觀眾提供全面信息安全咨詢及解決方案等最新資訊。此次展會(huì)展品涉及互聯(lián)網(wǎng)安全、電子政務(wù)安全、虛擬專用網(wǎng)、公共密鑰基礎(chǔ)設(shè)施、證書中心、入侵監(jiān)測系統(tǒng)、網(wǎng)絡(luò)安全與管理、計(jì)算機(jī)安全、計(jì)算機(jī)取證、通訊安全、數(shù)據(jù)儲存/備份、防火強(qiáng)/計(jì)算機(jī)病毒防護(hù)、災(zāi)難恢復(fù)、安全審核、無線安全、掌上電腦安全等。截至目前參展廠商有：天融信、安氏、聯(lián)想網(wǎng)御、冠群金辰、啟明星辰、索利通、金山、東軟、微軟、億陽信通、方正、網(wǎng)康、O2、Broadweb、美亞、安浪、飛塔、中軟等近六十家。眾多廠商將在展會(huì)上展示最安全、有效，具有自身優(yōu)越性的安全產(chǎn)品及解決方案，為信息安全以及網(wǎng)絡(luò)安全的市場完善有序而不斷開拓創(chuàng)新。

一、 眾多領(lǐng)先安全產(chǎn)品齊聚展會(huì)

天融信：依托最佳安全服務(wù)資質(zhì)以及最佳安全服務(wù)團(tuán)隊(duì)，為用戶提供各級別的安全管理平臺產(chǎn)品。

安氏：面對新的安全形勢，用戶及廠商都在不斷探索和尋覓一個(gè)貼近用戶實(shí)際需求、具有先進(jìn)的體系架構(gòu)及擴(kuò)展性的解決方案。在這種情況下，UTM（Unified Threat Management ，一體化威脅管理）產(chǎn)品應(yīng)運(yùn)而生，形成“終端統(tǒng)一威脅管理”。

索利通：索利通網(wǎng)絡(luò)系統(tǒng)（上海）有限公司作為一家致力于信息技術(shù)研究和提供的跨國公司在1998年成立之初即意識到相關(guān)安全技術(shù)研究的匱乏和其在信息化時(shí)代中舉足輕重的核心作用，在海內(nèi)外開展了以加強(qiáng)用戶認(rèn)證，監(jiān)督系統(tǒng)應(yīng)用為代表的研究和開發(fā)，并在以后的數(shù)年里完成和完善了SmartOn，InfoTrace，e-Care，Net'Attest等一系列軟硬件安全產(chǎn)品。

冠群金辰：冠群金辰KSG產(chǎn)品家族中有兩名重要成員：KILL過濾網(wǎng)關(guān)（KSG）、KILL郵件安全網(wǎng)關(guān)（KSG-M）。KSG重點(diǎn)過濾網(wǎng)絡(luò)病毒、阻斷蠕蟲攻擊、防御非法網(wǎng)絡(luò)流量。KSG-M專門過濾非法郵件，重點(diǎn)過濾郵件病毒、垃圾郵件等。

金山：金山公司此次參展的產(chǎn)品除了原有的金山毒霸系列產(chǎn)品之外，還包括三大系列新品：金山防火墻、金山防毒墻和金山防水墻。

二、 安全廠商理性分析行業(yè)現(xiàn)狀

索利通：安全和便利是伴隨信息化發(fā)展的一對矛盾體。針對不同的需求，準(zhǔn)確地把握這一對矛盾體的平衡點(diǎn)，給出最佳的解決方案是信息安全產(chǎn)業(yè)的一個(gè)長期的課題和目標(biāo)。安全的信息系統(tǒng)的最基本的指標(biāo)是在提高系統(tǒng)使用的便利性的同時(shí)，杜絕一切來自于外部和內(nèi)部的攻擊。

冠群金辰：

1.應(yīng)用規(guī)模近兩年有明顯擴(kuò)大

2.網(wǎng)關(guān)產(chǎn)品多元化發(fā)展

3.技術(shù)各有千秋，但逐步趨同

4.國內(nèi)與國外產(chǎn)品一時(shí)難分高下

三、 安全產(chǎn)品發(fā)展前景值得期待

冠群金辰：

1.需求將繼續(xù)快速增長

2.以內(nèi)容為主的網(wǎng)關(guān)技術(shù)將繼續(xù)發(fā)展

3.“積極防御，綜合防范”繼續(xù)發(fā)揮指導(dǎo)作用

4.技術(shù)、制度、管理并重

5.自主核心技術(shù)將成為產(chǎn)品長久發(fā)展的重要因素