網絡安全等級保護管理辦法范文

導語：如何才能寫好一篇網絡安全等級保護管理辦法，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

本報訊 7月20日，公安部、國務院信息辦等4部門在北京聯合召開“全國重要信息系統安全等級保護定級工作電視電話會議”，部署在全國范圍內開展重要信息系統安全等級保護定級工作(以下簡稱“定級工作”)。國家信息安全等級保護協調小組組長、公安部副部長張新楓，國務院信息化工作辦公室副主任、國家網絡與信息安全協調小組辦公室主任楊學山出席會議并講話。

張新楓指出，當前，我國信息安全面臨的形勢仍然十分嚴峻，維護國家信息安全的任務非常艱巨、繁重。隨著我國經濟的持續發展和國際地位的不斷提高，我國的基礎信息網絡和重要信息系統面臨的安全威脅及安全隱患比較嚴重，計算機病毒傳播和網絡非法入侵十分猖獗，網絡違法犯罪持續大幅上升，犯罪分子利用一些安全漏洞，使用黑客病毒技術、網絡釣魚技術、木馬間諜程序等新技術，進行網絡盜竊、網絡詐騙、網絡賭博等違法犯罪，給用戶造成嚴重損失。特別是“科技奧運”和“數字奧運”是2008年北京奧運會的一大亮點，網絡與信息安全已經成為事關北京奧運安全的重大問題之一。

張新楓強調，信息安全等級保護制度是國家信息安全保障工作的基本制度。為了加快推進信息安全等級保護工作，此前，公安部、國務院信息辦等部門已聯合出臺了有關信息安全等級保護工作的實施意見、管理辦法等相關文件。定級是等級保護工作的首要環節，是開展信息系統建設、整改、測評、備案、監督檢查等后續工作的重要基礎。此次定級工作的主要內容：一是開展信息系統基本情況的摸底調查，確定定級對象。二是信息系統主管部門和運營使用單位按照等級保護管理辦法和定級指南，初步確定定級對象的安全保護等級，請專家進行評審，并報經上級行業主管部門審批同意。三是信息系統安全保護等級為第二級以上的信息系統運營使用單位或主管部門到公安機關備案。公安機關和國家有關部門受理備案后，要對信息系統的安全保護等級和備案情況進行審核、管理。

會議由公安部公共信息網絡安全監察局局長李昭主持，公安部公共信息網絡安全監察局副局長、國家網絡與信息安全信息通報中心主任顧建國對定級工作作了具體說明。

篇2

關鍵詞：等級保護；測評；信息安全；管理

中圖分類號：TP393

文獻標志碼：C

文章編號：1006-8228(2011)12-60-02

0 引言

信息安全等級保護作為國家信息安全工作的一項基本制度、基本國策，已經在全國實行多年，各信息系統運營使用單位都深刻認識到等級保護制度的重要性。在我國信息安全等級保護制度中，等級保護分五個工作環節――定級、備案、建設整改、等級測評和監督檢查。其中，等級測評是等級測評機構依據國家信息安全等級保護制度規定，受有關單位委托，按照有關管理規范和技術標準，對非涉及國家秘密信息系統安全等級保護狀況進行的檢測評估活動，是信息安全等級保護工作的重要環節。

隨著等級保護工作的不斷推進，等級測評機構的體系建設也在不斷深入，全國等級測評機構的數量在不斷增加，測評機構的品質和能力、測評人員的水平和素質、測評競爭環境等諸多方面的問題將不斷出現。因此，加強對等級測評機構的合理、有效監管，對提升測評行業質量，保證測評數據公正、客觀，以及保障重點行業的重要信息系統安全等至關重要。

1 國家層面對測評機構的監管模式

測評工作作為等級保護制度中最重要工作環節，具有明顯的專業性和技術性恃點，其政策導向性強。因此，僅有相關測評技術標準是不夠的，測評機構的體系化、規范化管理也是關鍵。

2009年7月公安部開始信息安全等級保護測評體系建設試點工作，其目的是探索信息安全等級保護測評體系建設和管理的模式和經驗，保證全國重要信息系統等級保護安全建設工作的順利開展。試點工作主要在浙江、重慶、河南、廣東等省市展開。其主要內容是根據《信息安全等級保護管理辦法》和有關技術標準完成五個方面的工作：一是檢驗并完善等級測評機構應具備的條件；二是檢驗并完善等級測評機構建設的主要內容；三是檢驗并完善等級測評人員管理的主要內容；四是檢驗并完善等級測評工作規范性要求的主要內容；五是檢驗并完善測評機構監督管理的主要內容等。從試點工作情況分析，國家對等級保護測評機構的監管模式采用的是能力評估和政府干預相結合的模式。

從工作程序上分為四個步驟：

(1)各測評機構向設區的市級以上所在地公安網安部門申請，公安網安部門根據《信息安全等級保護測評工作管理規范(試行)》對測評機構所提交的申請材料進行審核，審核通過后，提交給上一級公安網安部門報批，并予以受理。

(2)公安部網絡安全保衛局統一將各地上報的測評機構信息轉發給公安部信息安全等級保護評估中心，由評估中心按照《信息安全等級測評機構能力要求(試行)》對各測評機構進行能力評估。能力評估通過后，由評估中心將能力評估材料遞交公安部網絡安全保衛局審核批準。

(3)各省公安網安部門收到公安部網絡安全保衛局對測評機構審核的意見及相關證書，下發給各地網安部門。

(4)公安部信息安全等級保護評估中心在網站上公布測評機構名單，接受社會監督。

能力評估的內容和要求上，分為組織管理能力、測評實施能力、設施和設備安全與保障能力、質量管理能力、規范性保證能力、風險控制能力、可持續發展能力等七個方面和基本要求、約束性要求等兩個部分。

2 浙江省等級測評機構現有監管模式

浙江省信息等級保護工作一直處于國內前列，2006年就頒布了《浙江省信息安全等級保護管理辦法》(省政府第223號令)，并在同年開展了全國等級保護試點項目。通過多年積累的經驗，2007年浙江省開始在測評機構管理、測評工作模式等方面進行探索，初步形成具有浙江特色的等級保護測評機構監管模式。

(1)以社會協會管理為主，政府監管為輔的管理模式

浙江省結合實際，政府層面出臺了《浙江省信息安全等級保護測評機構管理規定(試行)》，明確了省內從事等級測評工作的單位性質、條件和義務等要素。社會協會層面出臺了《浙江省信息安全測評機構資信等級評定管理辦法(試行)》實現測評機構資信等級一、二級管理，形成測評機構管理行業規范，變政府由市場參與主體向市場監管主體轉變，由管理審批型向管理服務型轉變、由直接行政干預向間接宏觀調控轉變。

(2)建立以行業自律管理為主的監管體系

嚴格測評機構行業自律管理，測評機構間簽署《信息安全等級保護測評機構行業自律公約》，強化機構自律化管理，進一步規范測評機構行為和工作秩序。

(3)建立機構統一管理標準，?？貙彶闄C構自身及人員能力建設

全省測評機構必須按照“審核標準統一，管理規范標準統一、技術標準統一、測評工具標準統一、報告樣式標準統一”的五統一規范開展測評工作，并由政府組織機構年審，設立準入準出機制。測評機構的能力審查對測評過程中技術人員行為的規范性、合理性和程序標準性，對機構業務范圍、管理能力和技術能力要求等給予明確規定，規范申請、審核、查驗和推薦流程，組建由公安、保密、密碼管理、信息辦和安全等部門專家組成的專門審查小組對機構背景、管理水平、資格和技術能力進行量化評價，作為推薦依據。同時，嚴格規范測評機構工作程序，加強對機構內部管理規范化建設督導，要求健全人員管理、項目管理、文檔管理、設備管理、保密制度等各項制度，要求制定《質量手冊》、《程序文件》、《作業指導書》、《測評過程記錄表單》等測評實施過程文檔，完善測評實施規程。

全省機構都已被要求必須獲得CMA中國計量認證，并被引導和鼓勵去獲得CNAS實驗室認證、ISO27001認證等。所有從業人員必須獲得初級以上“測評師”技術證書，測評工作中持證上崗。對測評從業人員要進行錄用考核、備案和背景審查等工作。

3 現有監管模式的不足

在現行的測評機構監管模式中，我們側重于對測評機構應具備條件(包括審核是否在境內注冊成立、注冊資本多少、法人資格、公司已有的資質、測評人員已獲得的技術認證等)的監管；僅關注機構是否已具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等制度，而對這些制度的落實情況及執行情況缺乏有效監督；對測評活動實施過程中的合法性，有效性問題缺乏必要的考量。

4 對測評機構進行有效性監管方法的探討

(1)對測評機構的測評大綱實行報備審核

測評大綱應是等級測評機構的整體測評策略性文件，能綜合反映不同測評機構從事等級測評活動的經驗、知識、測評方法和測評程序。基于對被測評單位的利益保護以及對測評機構的監管要求，測評大綱應具有法律效力，須報公安機關審核備案后使用。測評機構只有按照測評大綱中明確的指標嚴格檢測、測評，其測評結果才能真實地反映被測單位計算機信息

系統的安全狀況，為安全整改建設提供科學的依據和指南。

(2)對等級測評活動的各周期程序實行監督指導

等級測評流程分為四個階段：測評準備、方案編制、現場測評及報告編制，政府部門的督導工作須貫穿其中。如，在測評準備階段，為了避免測評小組成員和委托人之間存在利害關系，影響測評結果的公平、客觀、真實，測評機構在確定測評小組成員名單后讓測評委托人確認簽字，確認書要留檔備查，未經確認開展的項目測評報告不具有法律效力。方案編制中，必須明確測評對象、范圍、依據法律法規和標準、制定具體的測評檢查表，記錄文件要測評雙方簽字確認，方案和測評過程文檔應留檔備查。現場測評中，測評小組必須使用可信、安全等級測評工具采集數據，測評工具要向公安機關報備，現場測評要按照檢測程序全面檢測關鍵測評項，依據測評標準客觀、公正、準確評價，政府主管部門應隨機駐點督查現場測評過程實施情況。測評報告反映的是被測評單位信息系統的安全保護現狀，應具有法律效力，報告要使用標準模板，起草過程中測評機構和測評人員應當遵守國家的有關法律法規，保守被測評單位秘密、保障被測單位利益，政府部門有必要明確測機構及其工作人員的法律責任來規范其職業道德。測評機構的測評結果直接對信息系統運營使用單位的建設、整改和運營成本，以及對監管部門的行政監管成本產生影響，也就是說，測評報告對國家和社會都會產生影響。因此，測評機構要對自身的測評行為負責，政府主管部門將對機構及從業人員違反法律規定的行為予以民事、行政或刑事處罰。

(3)對測評人員實行從錄用到離職的全程監督

等級測評涉及用戶單位的核心業務系統，是一項高技術的專業安全服務，需要具有一定政治素質、道德素質和專業素質的測評人員來支撐。管理應進一步加大對測評人員的政治背景、從業背景、專業背景、技術素養的審查力度，建立完備測評人員檔案庫，考量測評機構測評人員穩定性，重點加大對離職測評人員的管控，明確保密條約，關注人員離職去向。

(4)制定測評機構優劣考量機制，促進誠信服務的企業文化

等級測評的執行主體是測評機構，測評機構的企業文化是否具有凝聚性，企業價值觀是否誠信，內部管理模式是否健康，關乎其市場競爭力，更關乎測評機構能否為信息系統安全等級保護工作提供安全、客觀、公正的檢測評估服務。因此，要求測評企業必須有一定的政治覺悟，要嚴格遵守國家有關法律法規，要承擔社會責任和法律責任，不能唯利是圖。政府部門要定期開展管理評審，制定考量測評機構優劣評判標準，完善被測評單位滿意度反饋機制，建立機構誠信狀況、信用狀況、評級結果等信息公開機制，將政府監管和社會監督結合起來，通過評星評級、市場退出和獎懲機制的建立，鼓勵誠信機構，懲戒不誠信機構，增加機構不規范測評行為的風險成本。

(5)規范價格體系，推動測評機構良性發展

等級測評是近兩年才興起的行業，政府要引導建立良好的測評市場價格體系，借鑒其他行業自律的經驗手段，避免惡性價格競爭，要保障等級測評有一定的利潤空間，以使得測評機構能朝更專業、更具實力方向發展，充分調動測評機構提升品牌建設、服務工作效率、專業能力、測評人員素質的內在動力。

篇3

一、加強本單位網絡與信息安全工作的組織領導，建立健全網絡與信息安全工作機構和工作機制，保證網絡與信息安全工作渠道的暢通。

二、明確本單位信息安全工作責任，按照“誰主管，誰負責;誰運營，誰負責”的原則，將安全職責層層落實到具體部門、具體崗位和具體人員。

三、加強本單位信息系統安全等級保護管理工作，在公安機關的監督、檢查、指導下，自覺、主動按照等級保護管理規范的要求完成信息系統定級、備案，對存在的安全隱患或未達到相關技術標準的方面進行建設整改，隨信息系統的實際建設、應用情況對安全保護等級進行動態調整。

四、加強本單位各節點信息安全應急工作。制定信息安全保障方案，加強應急隊伍建設和人員培訓，組織開展安全檢查、安全測試和應急演練。重大節日及敏感節點期間，加強對重要信息系統的安全監控，加強值班，嚴防死守，隨時應對各類突發事件。

五、按照《信息安全等級保護管理辦法》、《互聯網信息管理服務辦法》等規定，進一步加強網絡與信息安全的監督管理，嚴格落實信息安全突發事件“每日零報告制度”，對本單位出現信息安全事件隱瞞不報、謊報或拖延不報的，要按照有關規定，給予責任人行政處理;出現重大信息安全事件，造成重大損失和影響的，要依法追究有關單位和人員的責任。

六、作為本單位網絡與信息安全工作的責任人，如出現重大信息安全事件，對國家安全、社會秩序、公共利益、公民法人及其他組織造成影響的，本人承擔主要領導責任。違反上述承諾，自愿承擔相應主體責任和法律后果。

七、本人承諾不從事下列危害計算機信息網絡安全的活動：

1、未經允許，進入計算機信息網絡或者使用計算機信息網絡資源; 2、未經允許，對計算機信息網絡功能進行刪除、修改或者增加;

3、未經允許，對計算機信息網絡中存儲或者傳輸的數據和應用程序進行刪除、修改或者增加;

4、故意制作、傳播計算機病毒以及其它破壞性程序;

5、不盜用別人計算機的ip地址、網卡物理地址(mac值)和信息數據; 6、不做其它危害計算機信息網絡安全行為。

八、本人承諾當計算機信息系統發生重大安全事故時，立即采取應急措施，保留有關原始記錄，并在24小時內向政府監管部門報告，以及知會公司資訊安全部門，并接受公司停止網絡資源使用服務。

九、本人鄭重承諾遵守本承諾書的有關條款，在使用中認真履行職責，自覺接受監督，確保網絡信息安全;如有違反本承諾書有關條款和國家相關法律法規的行為，本人愿意承擔由此引起的一切責任，直至民事、行政和刑事責任，并接受相應處罰﹔對于造成財產損失的，由個人直接賠償。

十、本承諾書自簽署之日起生效。

篇4

【 關鍵詞 】 等級保護；煙草企業；信息安全體系

1 等級保護思想

等級保護思想自20世紀80年代在美國產生以來，對信息安全的研究和應用產生著深遠的影響。以ITSEC、TCSEC、CC等為代表的一系列安全評估準則相繼出臺，被越來越多的國家和行業所引入。我國于20世紀80年代末開始研究信息系統安全防護問題，1994年國務院頒布《中華人民共和國計算機信息系統安全保護條例》（國務院147號令），明確規定計算機信息系統實行安全等級保護。至此，等級保護思想開始在我國逐漸盛行。

我國的安全等級保護主要對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護。其核心思想就是對信息系統分等級、按標準分類指導，分階段實施建設、管理和監督，以保障信息系統安全正常運行和信息安全。信息系統的安全等級保護由低到高劃分為五級，通過分級分類，以相應的技術和管理為支撐，實現不同等級的信息安全防護。

2 煙草行業引入等級保護思想的意義

煙草行業高度重視等級保護工作，實施信息安全等級保護，能有效地提高煙草行業信息安全和信息系統安全建設的整體水平。

2.1 開展安全等級結構化安全設計

安全等級保護在注重分級的同時，也強調分類、分區域防護。煙草行業雖強調分類、分區域，但存在一定局域性。同時，由于缺少分級準則，差異化保護尚未深化。引入等級保護思想，有助于深化結構化安全設計理念，通過細分類型、劃分區域，全面梳理安全風險，明晰防護重點，構建統一的安全體系架構。

2.2 注重全生命周期安全管理

等級保護工作遵循“自主保護、重點保護、同步建設、動態調整”四大基本原則，其“同步建設、動態調整”原則充分體現了全生命周期管理的思想。煙草行業在全建設“同步”思想方面體現不深，未在系統的建設初期將安全需求納入系統的整體階段。引入新思想，明確新建系統安全保護要求，提升安全管理效率。

3 等級保護在煙草行業的實施路徑

信息安全等級保護工作的內容主要涉及系統定級備案、等級保護建設、風險評估與等級安全測評、安全建設整改。煙草行業推行等級保護工作，其實施路徑主要有幾條。

3.1 信息系統安全定級

主要包括信息系統識別、信息系統劃分、安全等級確定。其中，原有信息系統根據業務信息安全重要性、系統服務安全重要性等方面綜合判定，合理定級。

3.2 等級保護安全測評

在等級保護環境下對信息系統重要資產進行風險評估，通過等保測評，發現與等級保護技術、管理要求的不符合項。

3.3 制訂等級保護實施方案

依據安全建設總體方案、等級保護不符合項，全面梳理存在問題，分類形成各層級問題清單；并合理評估安全建設整改的難易度，全面有效制訂等級保護方案，明確安全整改目標。

3.4 開展安全整改與評估

根據等級保護實施方案開展建設，具體主要包括安全域劃分、產品采購與部署、安全策略實施、安全整改加固以及等級保護管理建設等。并不定期開展安全評估，不斷鞏固信息安全與信息系統安全。

4 基于等級保護的煙草企業信息安全體系建設

根據等級保護工作的實施路徑分析得出，等級保護與信息安全體系存在許多共性，有較好的融合度。因此，探索基于等級保護的行業信息安全體系具有深刻意義。

信息安全體系的核心是策略，由管理、技術、運維三部分組成。在等級保護思想的融合下，信息安全體系建設更加注重“分級保護、分類設計、分階段實施”。根據等級保護思想，煙草行業信息安全體系概述有幾點。

4.1 分級保護

煙草行業的信息安全體系以信息系統等級為落腳點，實行系統關聯分級，具體分為人員分級、操作權限分級、應用對象分級。首先確定使用對象的范圍。對人員實行不同分級，即人員、可信人員、不可信人員等；其次，根據人員分級，劃分操作權限，即高權限、特殊權限、中權限、低權限等；最后根據業務信息安全等級和應用服務等級，明確應用系統等級，即一至五級安全等級。通過“人員—操作—應用”的關聯鏈，制訂分級準則，從而達到分級保護的目的。

4.2 分類設計

信息安全體系分類設計，主要涉及不同類型、不同區域、不同邊界三方面的結構化設計。

4.2.1 類型設計

根據安全等級保護要求以及安全體系特點，分為技術、管理和運維三大類型，并進行類型策略設計。其中技術要求分為物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復等四部分，管理要求分為安全管理制度、安全管理機構、人員安全管理、系統建設管理等四部分。運維要求分為系統運維管理、系統運維評估等兩部分。

（1）技術策略注重系統自身安全防護功能以及系統遭損害后的恢復功能兩大層面。如主機管理，其中主機管理、身份鑒別、訪問控制、安全審計、入侵方法等標準要按級體現；而不同的策略同樣也要根據兩大層面按需設計。

（2）管理策略注重管理范圍全面性、資源配置到位性和運行機制順暢性。諸如安全管理機構是否明確了機構組成，崗位設置是否合理、人員配置是否到位、溝通運行機制是否順暢等。

（3）運維策略主要體現運維流程的清晰度、運維監督考核的執行度。諸如系統運維管理是否明確運維流程及運維監督考核指標，諸如重大事件、巡檢管理、故障管理等。通過分類設計達到結構化層級要求。

4.2.2 區域設計

區域設計主要指安全域。安全域從不同角度可以進行劃分，主要分為橫向劃分和縱向劃分，橫向劃分按照業務分類將系統劃分為各個不同的安全域，如硬件系統部分、軟件系統部分等；縱向在各業務系統安全域內部，綜合考慮其所處位置或連接以及面臨威脅，將它們劃分為計算域、用戶域和網絡域。

煙草行業根據體系建設需要，將采用多種安全域劃分方法相結合的方式進行區域劃分。

（1）以系統功能和服務對象劃分煙草重要信息系統安全域和一般應用系統安全域。采取嚴格的訪問控制措施，防止重要信息系統數據被其它業務系統頻繁訪問。

（2）以網絡區域劃分煙草行業信息系統的數據存儲區、應用服務區、管理中心、信息系統內網、DMZ區等不同的安全域。數據存儲區的安全保護級別要高于應用服務區，DMZ區的安全級別要低于其它所有安全域。

4.2.3 邊界設計

要清晰系統、網絡、應用等邊界，通過區域之間劃分，明晰邊界安全防護措施。邊界設計的理念基于區域設計，在區域劃分成不同單元的基礎上，實行最小安全邊界防護。邊界防護本著“知所必需、用所必需、共享必需、公開必需、互聯互通必需”的信息系統安全控制管理原則實施。

4.3 分階段實施

煙草信息安全體系建設要充分體現全生命周期管理思想，從應用系統需求開始，分階段推進體系建設。

4.3.1 明確安全需求

為保證信息安全體系建設能順利開展，行業新建系統必須在規劃和設計階段，確定系統安全等級，明確安全需求，并將應用系統的安全需求納入到項目規劃、設計、實施和驗證，以避免信息系統后期反復的整改。

4.3.2 加強安全建設

要在系統建設過程中，根據安全等級保護要求，以類型、區域和邊界的設計為著力點，全面加強安全環節的監督，及時跟蹤安全功能的“盲點”，使在系統建設中充分體現安全總體設計的要求，穩步推進安全體系穩步開展。

4.3.3 健全安全運維機制

自系統進入運維期后，要建立健全安全運維機制。梳理運維工作事項，理順運維業務流程，并通過制訂運維規范、運維質量評價標準、運維考核標準等，規范安全運維管理，提高安全運維執行力，以確保系統符合安全等級要求。

4.3.4 開展全面安全測評

在安全建設階段，對行業現狀要全面診斷評估，尤其是對已定級的信息系統，加強安全測評，形成安全整改方案，并結合安全體系設計框架，按階段、分步驟落實，注重整改質量與效率，降低安全風險。

4.3.5 落實檢查與評估

檢查評估必須以安全等保要求為檢查內容，充分借助第三方力量，準確評估行業安全管理水平，并及時調整安全保護等級，不斷促進行業信息安全工作上臺階。

5 結束語

信息安全體系建設作為一項長期的系統工程，等級保護思想的引入，以其保護理念的先進性和實施路徑的可行性，為信息安全體系建設提供了新的思路和方法。煙草行業將在信息安全等級保護工作中切實提高煙草業務核心系統的信息安全，保障行業系統的安全、穩定、優質運行，更好地服務國家和社會。

參考文獻

[1] 公安部等.信息安全等級保護管理辦法[Z]. 2007-06-22.

[2] 國家煙草專賣局.煙草行業信息安全保障體系建設指南[Z].2008-04-25.

篇5

關鍵詞：證券行業信息安全網絡安全體系

近年來，我國資本市場發展迅速，市場規模不斷擴大，社會影響力不斷增強．成為國民經濟巾的重要組成部分，也成為老百姓重要的投資理財渠道。資本市場的穩定健康發展，關系著億萬投資者的切身利益，關系著社會穩定和國家金融安全的大局。證券行業作為金融服務業，高度依賴信息技術，而信息安全是維護資本市場穩定的前提和基礎。沒有信息安全就沒有資本市場的穩定。

目前．國內外網絡信息安全問題日益突出。從資本市場看，近年來，隨著市場快速發展，改革創新深入推進，市場交易模式日趨集巾化，業務處理邏輯日益復雜化，網絡安全事件、公共安全事件以及水災冰災、震災等自然災害都對行業信息系統的連續、穩定運行帶來新的挑戰。資本市場交易實時性和整體性強，交易時問內一刻也不能中斷。加強信息安全應急丁作，積極采取預防、預警措施，快速、穩妥地處置信息安全事件，盡力減少事故損失，全力維護交易正常，對于資本市場來說至關重要。

1證券行業倍息安全現狀和存在的問題

1．1行業信息安全法規和標準體系方面

健全的信息安全法律法規和標準體系是確保證券行業信息安全的基礎。是信息安全的第一道防線。為促進證券市場的平穩運行，中國證監會自1998年先后了一系列信息安全法規和技術標準。其中包括2個信息技術管理規范、2個信息安全等級保護通知、1個信息安全保障辦法、1個信息通報方法和10個行業技術標準。行業信息安全法規和標準體系的初步形成，推動了行業信息化建設和信息安全工作向規范化、標準化邁進。

雖然我國涉及信息安全的規范性文件眾多，但在現行的法律法規中。立法主體較多，法律法規體系龐雜而缺乏統籌規劃。面對新形勢下信息安全保障工作的發展需要，行業信息安全工作在政策法規和標準體系方面的問題也逐漸顯現。一是法規和標準建設滯后，缺乏總體規劃；二是規范和標準互通性和協調性不強，部分規范和標準的可執行性差；三是部分規范和標準已不適應，無法應對某些新型信息安全的威脅；四是部分信息安全規范和標準在行業內難以得到落實。

1．2組織體系與信息安全保障管理模型方面

任何安全管理措施或技術手段都離不開人員的組織和實施，組織體系是信息安全保障工作的核心。目前，證券行業采用“統一組織、分工有序”的信息安全工作體系，分為決策層、管理層、執行層。

為加強證券期貨業信息安全保障工作的組織協調，建立健全信息安全管理制度和運行機制，切實提高行業信息安全保障工作水平，根據證監會頒布的《證券期貨業信息安全保障管理暫行辦法》，參照ISO／IEC27001：2005，提出證券期貨業信息安全保障管理體系框架。該體系框架采用立方體架構．頂面是信息安全保障的7個目標(機密性、完整性、可用性、真實性、可審計性、抗抵賴性、可靠性)，正面是行業組織結構．側面是各個機構為實現信息安全保障目標所采取的措施和方式。

1．3IT治理方面

整個證券業處于高度信息化的背景下，IT治理已直接影響到行業各公司實現戰略目標的可能性，良好的IT治理有助于增強公司靈活性和創新能力，規避IT風險。通過建立IT治理機制，可以幫助最高管理層發現信息技術本身的問題。幫助管理者處理IT問題，自我評估IT管理效果．可以加強對信息化項目的有效管理，保證信息化項目建設的質量和應用效果，使有限的投入取得更大的績效。

2003年lT治理理念引入到我國證券行業，當前我國證券業企業的IT治理存在的問題：一是IT資源在公司的戰略資產中的地位受到高層重視，但具體情況不清楚；二是IT治理缺乏明確的概念描述和參數指標；是lT治理的責任與職能不清晰。

1．4網絡安全和數據安全方面

隨著互聯網的普及以及網上交易系統功能的不斷豐富、完善和使用的便利性，網上交易正逐漸成為證券投資者交易的主流模式。據統計，2008年我同證券網上交易量比重已超過總交易量的80％。雖然交易系統與互聯網的連接，方便了投資者。但由于互聯網的開放性，來自互聯網上的病毒、小馬、黑客攻擊以及計算機威脅事件，都時刻威脅著行業的信息系統安全，成為制約行業平穩、安全發展的障礙。此，維護網絡和數據安全成為行業信息安全保障工作的重要組成部分。近年來，證券行業各機構采取了一系列措施，建立了相對安全的網絡安全防護體系和災舴備份系統，基木保障了信息系統的安全運行。但細追究起來，我國證券行業的網絡安全防護體系及災備系統建設還不夠完善，還存存以下幾方面的問題：一是網絡安全防護體系缺乏統一的規劃；二是網絡訪問控制措施有待完善；三是網上交易防護能力有待加強；四是對數據安全重視不夠，數據備份措施有待改進；五是技術人員的專業能力和信息安全意識有待提高。

1．5IT人才資源建設方面

近20年的發展歷程巾，證券行業對信息系統日益依賴，行業IT隊伍此不斷發展壯大。據統計，2008年初，在整個證券行業中，103家證券公司共有IT人員7325人，占證券行業從業總人數73990人的9．90％，總體上達到了行業協會的IT治理工作指引中“IT工作人員總數原則上應不少于公司員工總人數的6％”的最低要求。目前，證券行業的IT隊伍肩負著信息系統安全、平穩、高效運行的重任，IT隊伍建設是行業信息安全IT作的根本保障。但是，IT人才隊伍依然存在著結構不合理、后續教育不足等問題，此行業的人才培養有待加強。

2采取的對策和措施

2．1進一步完善法規和標準體系

首先，在法規規劃上，要統籌兼顧，制定科學的信息技術規范和標準體系框架。一是全面做好立法規劃；二是建立科學的行業信息安全標準和法規體系層次。行業信息安全標準和法規體系初步劃分為3層：第一層是管理辦法等巾同證監會部門規章；第二層是證監會相關部門制定的管理規范等規范性文件；第三層是技術指引等自律規則，一般由交易所、行業協會在證監會總體協調下組織制定。其次，在法規制定上．要兼顧規范和發展，重視法規的可行性。最后，在法規實施上．要堅持規范和指引相結合，重視監督檢查和責任落實。

2．2深入開展證券行業IT治理工作

2．2．1提高IT治理意識

中國證券業協會要進一步加強IT治理理念的教育宣傳工作，特別是對會員單位高層領導的IT治理培訓，將IT治理的定義、工具、模型等理論知識納入到高管任職資格考試的內容之中。通過舉辦論壇、交流會等形式強化證券經營機構的IT治理意識，提高他們IT治理的積極性。

2．2．2通過設立IT治理試點形成以點帶面的示范效應

根據IT治理模型的不同特點，建議證券公司在決策層使用CISR模型，通過成立lT治理委員會，建立各部門之間的協調配合、監督制衡的責權體系；在執行層以COBIT模型、ITFL模型等其他模型為補充，規范信息技術部門的各項控制和管理流程。同時，證監會指定一批證券公司和基金公司作為lT試點單位，進行IT治理模型選擇、剪裁以及組合的實踐探索，形成一批成功實施IT治理的優秀范例，以點帶面地提升全行業的治理水平。

2．3通過制定行業標準積極落實信息安全等級保護

行業監管部門在推動行業信息安全等級保護工作中的作用非常關鍵．應進一步明確監管部門推動行業信息安全等級保護工作的任務和工作機制，統一部署、組織行業的等級保護丁作，為該項丁作的順利開展提供組織保證。行業各機構應采取自主貫徹信息系統等級保護的行業要求，對照標準逐條落實。同時，應對各單位實施信息系統安全等級保護情況進行測評，在測評環節一旦發現信息系統的不足，被測評單位應立即制定相應的整改方案并實施．且南相芙的監督機構進行督促。

2．4加強網絡安全體系規劃以提升網絡安全防護水平

2．4．1以等級保護為依據進行統籌規劃

等級保護是圍繞信息安全保障全過程的一項基礎性的管理制度，通過將等級化的方法和安全體系規劃有效結合，統籌規劃證券網絡安全體系的建設，建立一套信息安全保障體系，將是系統化地解決證券行業網絡安全問題的一個非常有效的方法。

2．4．2通過加強網絡訪問控制提高網絡防護能力

對向證券行業提供設備、技術和服務的IT公司的資質和誠信加強管理，確保其符合國家、行業技術標準。根據網絡隔離要求，要逐步建立業務網與辦公網、業務網與互聯網、網上交易各子系統間有效的網絡隔離。技術上可以對不同的業務安全區域劃分Vlan或者采用網閘設備進行隔離；對主要的網絡邊界和各外部進口進行滲透測試，進行系統和設備的安全加固．降低系統漏洞帶來的安全風險；在網上交易方面，采取電子簽名或數字認證等高強度認證方式，加強訪問控制；針對現存惡意攻擊網站的事件越來越多的情況，要采取措施加強網站保護，提高對惡意代碼的防護能力，同時采用技術手段，提高網上交易客戶端軟件使朋的安全性。

2．4．3提高從業人員安全意識和專業水平

目前在證券行業內，從業人員的網絡安全意識比較薄弱．必要時可定期對從業人員進行安全意識考核，從行業內部強化網絡安全工作。要加強網絡安全技術人員的管理能力和專業技能培訓，提高行業網絡安全的管理水平和專業技術水平。

2．5扎實推進行業災難備份建設

數據的安全對證券行業是至關重要的，數據一旦丟失對市場各方的損失是難以估量的。無論是美國的“9·11”事件，還是我國2008年南方冰雪災害和四川汶川大地震，都敲響了災難備份的警鐘。證券業要在學習借鑒國際經驗的基礎上，針對自身需要，對重要系統開展災難備份建設。要繼續推進證券、基金公司同城災難備份建設，以及證券交易所、結算公司等市場核心機構的異地災難備份系統的規劃和建設。制定各類相關的災難應急預案，并加強應急預案的演練，確保災難備份系統應急有效．使應急工作與日常工作有機結合。

2．6抓好人才隊伍建設

證券行業要采取切實可行的措施，建立吸引人才、留住人才、培養人才、發展人才的用人制度和機制。積極吸引有技術專長的人才到行業巾來，加強lT人員的崗位技能培訓和業務培訓，注重培養既懂得技術義懂業務和管理的復合型人才。要促進從業人員提高水平、轉變觀念，行業各機構應采取采取請進來、派出去以及內部講座等多種培訓方式。通過建立規范有效的人才評價體系，對信息技術人員進行科學有效的考評，提升行業人才資源的優化配置和使用效率，促進技術人才結構的涮整和完善。

篇6

［關鍵詞］ 信息安全保障體系； 中國石油； 企業

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 09. 054

［中圖分類號］ TP309 ［文獻標識碼］ A ［文章編號］ 1673 - 0194（2012）09- 0089- 02

1 信息安全保障體系概述

信息安全保障（Information Assurance，IA）來源于1996年美國國防部DoD指令5－3600．1（DoDD5－3600．1）。其發展經歷了通信安全、計算機安全、信息安全直至現在的信息安全保障。內容包括保護（Protection）、檢測（Detection）、響應（Response）、恢復（Recovery） 4個環節，即PDRR模型。

信息安全保障體系分為人員體系、技術體系和管理體系3個層面，人員體系包括安全人員的崗位與職責、全體工作人員的安全管理兩部分。技術體系由本地計算環境、區域邊界、網絡基礎設施及支撐性基礎設施組成。管理體系包括建立完善的信息安全管理體系、構建自上而下的各級信息安全管理組織架構、制定信息安全方針與信息安全策略及完善信息安全管理制度4個板塊。通過縱深防御的多層防護，多處設置保護機制，抵御通過內部或外部從多點向信息系統發起的攻擊，將信息系統的安全風險降低到可以接受的程度。

2 國外信息安全保障體系建設

美國的信息化程度全球最高，在信息技術的主導權和網絡上的話語權等方面占據先天優勢，他們在信息安全保障體系建設以及政策支持方面也走在全球的前列。美國政府先后了一系列政策戰略報告，將信息安全由“政策”、“計劃”上升到“國家戰略”及“國際戰略”的高度。美國國土安全局是美國信息安全管理的最高權力機構，其他負責信息安全管理和執行的機構有國家安全局、聯邦調查局、國防部、商務部等，主要根據相應的方針和政策結合自己部門的情況實施信息安全保障工作。

其他國家也都非常重視信息安全保障工作。構建可信的網絡，建設有效的信息安全保障體系，實施切實可行的信息安全保障措施已經成為世界各國信息化發展的主要需求。信息化發展比較好的發達國家，如俄、德、日等國家都已經或正在制定自己的信息安全發展戰略和發展計劃，確保信息安全沿著正確的方向發展，在信息安全領域不斷進行著積極有益的探索。

3 國內信息安全保障體系建設

我國信息化安全保障體系建設相對于發達國家起步較晚，2003年9月，中央提出要在5年內建設中國信息安全保障體系。2006年9月，“十一五”發展綱要提出科技“支撐發展”的重要思想，提出要提高我國信息產業核心技術自主開發能力和整體水平，初步建立有中國特色的信息安全保障體系。2007年7月20日，“全國重要信息系統安全等級保護定級工作電視電話會議”召開，標志著信息安全等級保護工作在全國范圍內的開展與實施。2011年3月《我國國民經濟和社會發展十二五規劃綱要》明確提出加強網絡與信息安全保障工作。通過一系列的文件要求，不斷完善與提升我國的信息安全體系，強調信息安全的重要性。

我國信息安全保障體系建設主要包括：① 加快信息安全立法、建立信息安全法制體系，做到有法可依，有法必依。② 建立國家信息安全組織管理體系，加強國家職能，建立職能高效、職責分工明確的行政管理和業務組織體系，建立信息安全標準和評價體系。③ 建立國家信息安全技術保障體系，使用科學技術，實施安全的防護保障。④ 在技術保障體系下，建設國家信息安全保障基礎設施。⑤ 建立國家信息安全經費保障體系，加大信息安全投入。⑥ 高度重視人才培養，建立信息安全人才培養機制。

我國通過近幾年的努力，信息安體保障體系取得了長足發展，2002年成立了全國信息安全標準化技術委員會，不斷完善信息安全標準。同時在互聯網管理、信息安全測評認證、信息安全等級保護工作等方面取得了實質性進展，但CPU芯片、操作系統與數據庫、網關軟件仍大多依賴進口，受制于人。

4 企業信息安全保障體系建設

中國石油集團公司信息化建設在我國大型企業中處于領先地位，在國資委歷年信息化評比中，都名列前茅，“十一五”期間，公司將企業信息安全保障體系建設納入信息化整體規劃中，并逐步實施。其中涉及管理類項目3個，控制類項目3個，技術類項目5個。

管理類項目包括信息安全組織完善、信息安全運行能力建設、風險評估能力建設3個項目。信息安全組織完善是指完善信息安全的決策、管理與技術服務組織，合理配置崗位并明確職責，建立完備的管理流程，為信息安全建設與運行提供組織保障。信息安全運行能力建設內容包括建立統一、完備的信息安全運行維護流程及組織IT運行維護人員信息安全技能培訓，較快形成基本的信息安全運行能力。風險評估能力建設是指通過建立風險評估規范及實施團隊，提高信息安全風險自評估能力和風險管理能力，強化保障體系的有效性。

信息安全控制類項目涉及信息安全制度與標準完善、基礎設施安全配置規范開發、應用系統安全合規性實施3個項目。信息安全制度與標準完善包括：① 初步構建了制度和標準體系，了《信息系統安全管理辦法》及系統定級實施辦法。② 建立和完善了信息系統安全管理員制度，開展了信息安全培訓。③ 跟蹤國家信息安全等級保護政策，開展信息系統安全測評方法研究等，規范了信息系統安全管理流程，提升安全運行能力?；A設施安全配置規范開發目標是制定滿足安全域和等級保護要求的信息技術基礎設施安全配置規范，提高信息技術基礎設施的安全防護能力。應用系統安全合規性實施是提供專業的信息安全指導與服務，支持國家等級保護、中國石油內部控制等制度的實施，使信息化建設與應用滿足合規性要求。

信息安全技術類項目由身份管理與認證、網絡安全域實施、桌面安全管理、系統災難恢復、信息安全運行中心5個項目組成。身份管理與認證是指建成集中身份管理與統一認證平臺，實現關鍵和重要系統的用戶身份認證，提高用戶身份管理效率，保證系統訪問的安全性。網絡安全域包括廣域網邊界防護、廣域網域間與數據中心防護、廣域網域內防護3項內容。廣域網邊界防護是指將全國各地的中國石油單位的互聯網集中統一到16個區域網絡中心，員工受控訪問互聯網資源，并最終實現實名制上網。廣域網域間與數據中心防護項目指建立。區域間訪問與防護標準、數據中心防護標準。廣域網域內防護將分離其他網絡并制定訪問策略，完善域內安全監控手段和技術，規范域內防護標準。桌面安全管理項目包括防病毒、補丁分發、端點準入、后臺管理、電子文檔保護和信息安全等級保護綜合管理6個子系統。系統災難恢復包括：① 對數據中心機房進行了風險評估，提出了風險防范和改進措施。② 對已上線的18個信息系統進行業務影響分析，確定了災難恢復關鍵指標。③ 制定整體的災備策略和災難恢復系統方案。信息安全運行中心旨在形成安全監控信息匯總樞紐和信息安全事件協調處理中心，提高對信息安全事件的預警和響應能力。

5 存在問題及建議

中國石油作為國資委超大型企業和能源工業龍頭企業，集團領導和各級領導，一貫重視信息安全工作，在落實等級保護制度，加強信息安全基礎設施建設，深入開展信息安全戰略、策略研究等方面，都取得的豐碩成果，值得其他企業借鑒。公司在信息安全保障體系建設中還存在以下問題：

（1） 信息安全組織體系不夠健全，不能較好地落實安全管理責任制。目前，部分二級單位沒有獨立的信息部門，更沒有負責安全體系建設、運行和管理的專職機構，安全的組織保障職能分散在各個部門，兼職安全管理員有責無權的現象普遍存在，制約了中國石油信息安全保障體系建設的發展。需強制建立從上至下完善的管理體系，明確直屬二級單位的信息部門建設，崗位設定、人員配備滿足對信息系統管理的需求。

篇7

關鍵詞：

校園網安全系統的建設目標是根據學校信息網絡結構和應用模式，針對可能存在的安全漏洞和安全需求，在不同層次上提出安全級別要求，并提出相應的解決方案，制訂相應的安全策略，編制安全規劃，采用合理、先進的技術實施安全工程，加強安全管理，保證系統的安全性。

對于這樣規模龐大、結構復雜、涉及人員眾多的網絡體系需要建立全網安全保障系統，針對不同的業務特征進行合理的安全保障，確保業務系統的安全運行。

我們在設計學校信息安全保障體系的過程中，借鑒IATF的信息安全保障體系模型構建學校信息安全保障體系的技術體系和管理體系，這些體系構成學校所需的安全體系。在技術體系和管理體系中的安全控制和對策的選擇和定制中，采用“最佳實施”方法，通過列舉滿足實際需求和實際應用來構造安全保障體系。

在學校安全保障體系設計過程中，整體性一直是最核心的問題，因此為了保障安全體系具有一定的完整性，避免對安全問題的遺漏，需要在方法論中引入了安全框架模型。

安全保障體系框架示意圖

上圖中，最下層是安全體系要保護的對象，根據信息資產邏輯圖，將保護對象分成計算區域、區域邊界、通信網絡和基礎設施（指PKI/PMI/KMI中心和應急響應中心）等。計算區域部分主要指提供業務的網絡服務，計算區域內部可以根據學校信息化的實際需求進一步細分為子區域，邊界和通信網絡。對不同區域、邊界和通信網絡，其安全需求是不同的。保護對象框架將學校信息系統的安全問題細分為一組結構化的安全需求。

通過將對策框架中的所有安全控制中的策略，組織，技術和運作分別提煉，組成相應的策略體系、組織體系、技術體系和運作體系。每個體系由對策框架組成，對策框架由一組安全控制組成，這些安全控制是根據保護對象中的安全需求設計和選擇出來的。每一條安全控制都包含策略，組織，技術和運作四個要素。

在校園網的信息系統安全等級保護方面，國內尚未制定相關標準，但可以參考公安部制定的《信息系統安全等級保護基本要求》進行設計?；景踩蠓譃榛炯夹g要求和基本管理要求兩大類。技術類安全要求與信息系統提供的技術安全機制有關，主要通過在信息系統中部署軟硬件并正確的配置其安全功能來實現；管理類安全要求與信息系統中各種角色參與的活動有關，主要通過控制各種角色的活動，從政策、制度、規范、流程以及記錄等方面做出規定來實現。

基本技術要求從物理安全、網絡安全、主機安全、應用安全和數據安全幾個層面提出；基本管理要求從安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理幾個方面提出，基本技術要求和基本管理要求是確保信息系統安全不可分割的兩個部分。

根據公安部《信息系統等級保護技術要求》中相應技術要求，以滿足物理安全、網絡安全、主機安全、應用安全、數據安全及存備份恢復等幾方面的基本要求為前提。

在基于人、技術及運行的信息安全縱深防御體系中，對人的行為的控制是信息安全保障最主要的方面。下圖所示為信息安全管理體系框架，該體系包括安全方針、安全策略、安全組織、人員安全、物理安全、安全制度與管理辦法、安全標準與規范、安全政策、安全法律法規與標準、安全培訓以及安全規范。

安全管理體系框架圖

安全策略作為建立安全機制必須首要考慮的核心，它對安全措施的具體實踐提供指導和支持。制定一套系統、科學的安全策略是指導學校等級化信息安全保障體系安全建設的重要內容。

建立安全組織機構、完善安全管理制度，建立有效的工作機制，做到事有人管，職責分工明確是有效防范由于內部人員有意無意對系統造成破壞的有效保障措施。

在組織安全方針、安全策略、安全制度與管理方法、安全標準與規范的建設過程中充分體現國家安全政策、安全法律法規與標準是組織充分保障信息系統安全的基礎。國家安全政策、安全法律法規與標準從國家和行業的角度制約信息安全，組織必須遵循國家和相關主管部門關于信息系統安全方面的法律法規、政策和制度。

對內部人員進行有組織的安全培訓、安全教育，規范人員行為、制定相關章程等對保障學校信息系統安全尤為重要。

篇8

【關鍵詞】 電力施工 信息系統 安全

筆者就職于四川電力建設三公司（以下簡稱為“公司”），從事企業信息化管理工作。四川電力建設三公司是一家典型的電力施工企業，擁有眾多的施工項目，分散在國內外各地。隨著信息技術的飛速發展，公司也緊跟時代的腳步，開發并使用了一系列信息系統，包括公司OA辦公系統、數據報表系統、人事管理系統、財務資金管理系統、資產管理系統、郵件系統等。由于公司是一家大型電力施工企業，主營業務為電源建設，項目投資金額大、項目周期長、生產環節繁雜、參與人員較多，因此信息系統的數據流鏈條較長、信息采集點較多，且包含大量公司商業秘密，信息系統的安全保障是公司異常關注的重點工作。本人在多年的工作實踐中，積累了一定的信息系統保障工作經驗，現對此項工作進行全面總結。信息系統安全保障工作，從宏觀角度可以分為信息安全管理體系建設、信息安全組織與管理、信息安全法規與標準化工作、信息安全技術工程幾個方面。

信息安全體系建設主要指信息安全管理體系ISMS的建立與運行。信息安全管理體系ISMS是目前國際上使用較廣泛的信息安全管理方法，其認證標準對企業進行信息安全保障工作具有較強的指導意義。公司作為一家大型電力施工企業，未雨綢繆，在本世紀初就開始了相關的體系建設工作。信息安全管理體系ISMS的相關標準有ISO/IEC27001和GB/ T22080，主要有規劃建立、實施運行、監視評審、保持改進四個過程。

1、在規劃建立階段，公司參照國際國內先進企業經驗，確定了公司ISMS組織結構范圍、業務范圍、信息系統范圍和物理范圍，制訂了ISMS方針，確定了風險評估方法。2、在實施運行階段，公司制定了風險處理計劃、實施風險處理計劃、開發有效測量程序、實施培訓和意識教育計劃、管理ISMS運行。其中，工作重點是對具體風險的有效應對與控制。公司針對面臨的各項風險制定了專門的風險管理計劃，對每一項風險的處理優先順序、處理措施、所需資源、責任人、驗證方式進行了詳細定義，確保風險管理的可執行性。3、在監視評審階段，公司通過日常監視與檢查、內部審核、風險評估、管理評審等活動確保整體監控水平。4、保持改進階段，公司主要活動為實施糾正和預防措施，消除各個管理不符合項，確保在發生信息安全事件時，能夠從容應對、科學分析，并采取最優的處理措施。

信息安全組織與管理是對公司信息系統參與者的針對性管理，主要分為內部組織管理與外部管理兩個方面。其中，內部組織管理是該項工作的核心。公司的信息系統由于信息采集點較為分散，信息傳送路徑較長，因此信息安全的潛在威脅也較大。如何保證信息系統中大量的商業秘密數據不被泄漏、不被竊取、不被篡改，是公司信息安全組織管理的核心目標。為此，公司進行了業務梳理，將各項數據的報送流程進行了明確規定，將數據的處理權限同公司組織架構有效結合、綜合考慮，做好了合理分配。比如，工程進度報表，就被限定了填報人員為各項目部工程部進度管理專責人員，審核者被限定為各項目部工程部經理，簽發者為各項目部項目經理，匯總者為公司總部工程管理專責。這樣，不管具體人員如何變動，信息處理參與者都只與限定的崗位有關聯，確保了數據信息的保密性、可用性和有效性。信息安全法規與標準化工作對于信息系統安全保障具有較大的指導意義。只有嚴格遵從國家信息安全法律法規、行業規定及相關標準，才能確保企業信息安全保障工作有法可依、有章可循。我國相關的法律法規有《中華人民共和國保守國家秘密法》、《計算機信息系統安全保護條例》、《互聯網信息服務管理辦法》、《信息安全等級保護管理辦法》、《計算機信息系統國際互聯網保密管理規定》、《計算機病毒防治管理辦法》、《電子簽名法》等。我國制定的信息安全相關標準有GB 17859-1999《計算機信息系統安全保護等級劃分準則》、GB/T 25058-2010《信息系統安全等級保護實施指南》、GB/ T 20269-2006《信息系統安全管理要求》、GB/T 21052-2007《信息系統物理安全技術要求》等。這些標準從工作、管理、技術方面對企業信息安全保護活動進行了標準化約束，為公司進行信息系統安全保護工作提供了文件支持。

篇9

隨著全球信息化程度的加深，CDN已經成為互聯網上向用戶提供服務的重要系統之一，一方面由于CDN位于內容源站和終端用戶之間的特殊物理位置，能夠抵御一部分對源站的安全攻擊，從而提高源站的安全性；另外一方面，隨著CDN越來越多地服務于重要國家部門、金融機構、網絡媒體、商業大型網站，并經常承擔奧運會、國慶等重大活動，保障CDN自身的安全性、確保源站信息內容安全準確地分發給用戶也非常重要。一旦CDN出現業務中斷、數據被篡改等安全問題，可能對用戶使用互聯網服務造成大范圍嚴重影響，甚至可能影響社會穩定。

標準工作開展背景

一直以來，國際國內缺乏專門的標準明確CDN應滿足的安全要求，今年《互聯網內容分發網絡安全防護要求》和《互聯網內容分發網絡安全防護檢測要求》在中國通信標準化協會（CCSA：ChinaCommunications StandardsAssociation）立項，“電信網安全防護標準起草組”討論了征求意見稿，相信CDN安全的標準化工作，能對促進CDN服務商規范安全地提供服務，從整體上提高CDN行業的安全防護水平提供指導。

美英等國家從20世紀70年代就開始研究等級保護、風險評估的相關內容，制訂了彩虹系列、BS7799、ISO27001等具有世界影響力的安全標準。隨著通信網絡在國家政治、經濟和社會發展過程中的基礎性和全局性作用與日俱增，這些發達國家越來越重視通信網絡安全，并上升到國家安全高度。我國也越來越重視網絡與信息安全保障，相繼了中辦【2003】27號《國家信息化領導小組關于加強信息安全保障工作的意見》、中辦發【2006】11號《2006―2020年國家信息化發展戰略》等文件指導基礎信息網絡和重要信息系統的安全保障體系建設。

近五年通信網絡安全防護工作取得很大成效，指導通信網絡從業務安全、網絡安全、系統安全、數據安全、設備安全、物理環境安全、管理安全等各方面加固，提高了通信網絡運行的穩定性和安全性、基礎電信運營企業安全管理的規范性，也促進了通信行業安全服務產業的快速發展。

隨著通信網絡安全防護工作逐步深入規范開展，2011年工業和信息化部組織開展了增值運營企業的安全防護試點，率先對新浪、騰訊、百度、阿里巴巴、萬網、空中信使運營管理的網絡單元進行定級備案、安全符合性評測和風險評估。

2011年，“電信網安全防護標準起草組”組織研究起草《互聯網內容分發網絡安全防護要求》和《互聯網內容分發網絡安全防護檢測要求》等8項安全防護標準，工業和信息化部電信研究院、藍汛、網宿、清華大學、中國移動、中國電信、華為、中國互聯網協會等單位研究人員參與了標準的起草，目前這兩項標準的征求意見稿已經在CCSA討論通過。

根據《通信網絡安全防護管理辦法》，按照各通信網絡單元遭到破壞后可能對國家安全、經濟運行、社會秩序、公眾利益的危害程度，由低到高可劃分為一級、二級、三級、四級、五級。因此《互聯網內容分發網絡安全防護要求》明確了一級至五級CDN系統應該滿足的安全等級保護要求，級別越高，CDN需滿足的安全要求越多或越嚴格?！痘ヂ摼W內容分發網絡安全防護檢測要求》明確了對CDN進行安全符合性評測的方法、內容、評價原則等，有助于深入檢查企業是否落實了安全防護要求。

CDN安全防護內容

CDN位于內容源站與終端用戶之間，主要通過內容的分布式存儲和就近服務提高內容分發的效率，改善互聯網絡的擁塞狀況，進而提升服務質量。通常CDN內部由請求路由系統、邊緣服務器、運營管理系統、監控系統組成，CDN外部與內容源站以及終端用戶相連。CDN是基于開放互聯網的重疊網，與承載網松耦合。

CDN主要是為互聯網上的各種業務應用提供內容分發服務，以顯著提高互聯網用戶的訪問速度，所以保障CDN分發的數據內容安全和CDN業務系統安全至關重要，保障CDN的基礎設施安全、管理安全，有效實施災難備份及恢復等也是CDN安全防護應該考慮的重要內容。因此CDN的安全防護可從數據內容安全、業務系統安全、基礎設施安全、管理安全、災難備份及恢復幾方面考慮。

（1）CDN數據內容安全

為保障CDN分發的數據內容安全，需要確保CDN與源站數據內容一致，并進行版權保護，記錄管理員的操作維護并定期審計，一旦發現不良信息能夠及時清除，同時提供防御來自互聯網的網絡攻擊并對源站進行保護的能力。

數據一致性：CDN企業提供對內容污染的防御能力，識別和丟棄污染的內容，保障重要數據內容的一致性和完整性；保證CDN平臺內部傳輸數據的一致性；防止分發的內容被非法引用（即防盜鏈）。

版權保護：按照源站要求提供內容鑒權、用戶鑒權、IP地址鑒權、終端鑒別以及組合鑒權等方式對源站內容進行版權保護。

安全審計：記錄管理員（含源站管理員和CDN系統內部管理員）對CDN系統的管理操作，留存日志記錄并定期審計。

不良信息清除：一旦發現CDN系統內部含不良信息，應在內容源站或主管部門要求時間內，完成全網服務器屏蔽或清除不良信息。

防攻擊和源站保護：引入CDN后不應降低內容源站的安全水平，同時CDN在一定程度上提供對內容源站的抗攻擊保護。

（2）CDN業務系統安全

為保障CDN的業務系統安全，需要從結構安全、訪問控制、入侵防范等方面進行安全保護，另外鑒于請求路由系統（即DNS系統）在CDN系統中的重要性以及目前DNS系統存在脆弱性，需要保障請求路由系統的安全。

結構安全：CDN企業在節點部署時應考慮防范安全攻擊，如為服務器單節點服務能力留出足夠的冗余度、配置實時備份節點等。

訪問控制：對管理員操作維護進行身份認證并進行最小權限分配，從IP地址等方面限制訪問。

入侵防范：關閉不必要的端口和服務，CDN能夠抵御一定的安全攻擊并快速恢復。

請求路由系統安全：部署多個內部DNS節點進行冗余備份，并對DNS進行安全配置。

（3）CDN基礎設施安全

保障CDN的基礎設施安全，可從主機安全、物理環境安全、網絡及安全設備防護等方面進行保護。

主機安全：企業對CDN的操作系統和數據庫的訪問進行訪問控制，記錄操作并定期進行安全審計；操作系統遵循最小授權原則，及時更新補丁，防止入侵；對服務器的CPU、硬盤、內存等使用情況進行監控，及時處置告警信息。

物理環境安全：機房應選擇合適的地理位置，對機房訪問應進行控制，防盜竊、防破壞、防雷擊、防火、防水、防潮、防靜電、溫濕度控制、防塵、電磁防護等方面均應采取一定的防護措施，并確保電力持續供應。

網絡及安全設備防護：IP承載網需要從網絡拓撲結構、網絡保護與恢復、網絡攻擊防范等方面進行保護。

（4）CDN管理安全

規范有效的管理對于保障信息系統的安全具有重要作用，可從機構、人員、制度等方面進行保障，同時應將安全管理措施貫穿系統建設、系統運維全過程。

機構：通過加強崗位設置、人員配備、授權審批、溝通合作等形成強有力的安全管理機構。

人員：在人員錄用、離崗、考核、安全意識教育和培訓、外部人員訪問等環節加強對人員的管理。

制度：對重要的安全工作制訂管理制度，確保制度貫徹執行，根據安全形勢的變化和管理需要及時修訂完善安全制度。

安全建設：在系統定級備案、方案設計、產品采購、系統研發、工程實施、測試驗收、系統交付、選擇安全服務商等環節進行安全管理，分析安全需求、落實安全措施。CDN企業在新建、改建、擴建CDN時，應當同步建設安全保障設施，并與主體工程同時驗收和投入運行。安全保障設施的新建、改建、擴建費用，需納入建設項目概算。

安全運維：在系統運行維護過程中對物理環境、介質、網絡、業務系統、安全監測、密碼、備份與恢復等加強安全管理，提高對惡意代碼防范、安全事件處置、應急預案制訂與演練的管理。

（5）災難備份及恢復

可通過配置足夠的冗余系統、設備及鏈路，備份數據，提高人員和技術支持能力、運行維護管理能力，制訂完善的災難恢復預案，提高CDN企業的抗災難和有效恢復CDN的能力。

冗余系統、設備及鏈路：運營管理系統、請求路由系統等核心系統應具備冗余能力，在多個省份備份，發生故障后能及時切換；CDN設備的處理能力應有足夠的冗余度；核心系統間的鏈路應有冗余備份。

備份數據：系統配置數據、源站托管數據等關鍵數據應定期同步備份。

人員和技術支持能力：應為用戶提供7×24小時技術支持，員工應經過培訓并通過考核才能上崗。

運行維護管理能力：運維人員應能及時發現系統異常事件，在規定事件內上報企業管理人員、客服人員，做好對客戶的解釋工作。

災難恢復預案：應根據可能發生的系統故障情況制訂詳細的災難恢復預案，組織對預案的教育、培訓和演練。

CDN標準展望

2011年制訂的CDN標準還只是一個嘗試，目前《互聯網內容分發網絡安全防護要求》和《互聯網內容分發網絡安全防護檢測要求》僅對作為第三方對外提供互聯網內容分發服務的CDN提出安全防護要求和檢測要求，隨著后續CDN安全防護工作的深入開展、CDN面臨的安全風險不斷變化，CDN安全防護標準還會不斷修訂完善。

篇10

關鍵詞：安全域；安全域劃分；邊界整合

中圖分類號：TP312 文獻標識碼：A

在新聞報道中各種網絡犯罪已經屢見不鮮，電子科技的發展極大地推動了社會生產力的發展，改善了人們的生活水平，但是在另一個方面，這也給了不法之徒以可乘之機，并且近幾年的網絡犯罪呈現出犯罪影響范圍逐漸擴大、造成經濟損失逐漸增多的趨勢，這就要求各個部門、單位要充分地重視網絡安全性，并采取多種形式進行有效的安全防護。

1.網絡安全防護發展的現狀

為落實工業與信息化部11號令《通信網絡安全防護管理辦法》，完善安全防護工作基礎工作，提供安全系統建設規劃指導。主要包括安全策略體系建設，組織和人員建設、管理制度推進以及策略體系完善等層面，并明確在未來3～5年內通過建立全方位的安全防護體系，逐步落實可管階段、可控階段和可信的階段任務目標。

安全域劃分是極其必要的。進行層次化、有重點的保護是保證系統與網絡和信息安全的有效手段。目前互聯網及相關網絡主要存在以下問題：

隨著網絡規模和各相關應用系統的不斷更新換代，電子計算機的硬件系統和軟件系統都在發生著巨大的變化，并且系統的體系結構本身就極其復雜，所以在系統的建設過程中出現種類不一的網絡終端以及相應的網絡部件。這些情況也就導致網絡使用過程中邊界不清晰的情況出現，并且也存在著網絡端口較為混亂的情況，上述情況的綜合也就造成了企業部之間、部門和客戶之間的數據傳輸受到阻礙，這種互相聯通之間的阻礙不僅會給企業運營帶來虧損，還會使企業網絡安全得不到保證。

2.系統相關安全域的劃分

2.1 現行劃分方案

安全域的劃分采用了向日葵結構，即：花心：統一的核心承載網，提供IP可達性及受限IP可達性；花環：IP承載網邊界；花萼：業務模塊與承載網的交互區域；花瓣：明確單一的業務功能模塊。

2.2 安全域劃分

安全域劃分為安全防護基礎工作，主要針對于各業務系統進行，梳理出業務系統安全域劃分方案及防護策略要求，其流程主要包括安全域劃分、相關邊界整合及防護策略實施等，在安全域劃分前期重點梳理業務流程，明確系統功能、模塊及相關業務網元，最終確定業務系統的安全域。

2.3 劃分步驟

2.3.1 明確安全域基本拓撲：網絡拓撲是了解系統網絡狀況和系統組成的必要工具，網絡拓撲中應包括系統的組成網絡要素和的網絡要素之間的連接方式。

2.3.2 明確安全域網絡出口：梳理當前網絡出口情況，明確各業務系統所使用的服務、端口，明確目標地址。

2.3.3 梳理當前業務流程：對系統的數據流和處理活動進行調查和訪談，明確系統資產主機的明確歸屬。

2.3.4 安全策略采集：安全策略采集主要是為了進行邊界整合及調整時，了解現有系統了安全防護策略。

2.3.5 制定網絡劃分方案：通過對業務系統的網絡進行劃分，重點梳理出各區域的資產歸屬和區域劃分。

2.3.6 實施改造方案討論：在明確要進行相關的安全域改造后，要對具體的安全改造方案進行討論，確認實施改造方案相關參與人員及單位。

2.4 對安全域進行相應的邊界調整合并

2.4.1 進行物理調整合并

對安全域進行物理整合，也就是對于當前系統或者說多個系統以及相應的安全域進行物理方面的調整合并，其目的在于通過行之有效的物理層面調整合并，能夠使整個體系的安全等級有所提升，同時也更加方便對整個體系的管理，從根本上防止網絡危害的產生。在實際工作中常會出現一些資源浪費的情況，并且這種情況也不利于系統的整體安全，比如，一個系統在正常運行的時候，有時會有多個系統內部的節點需要和系統外部的網絡進行聯通，而在聯通的時候由于各系統所使用的通信端口不同，也就需要另外的輔助設備進行協調聯通，這樣不僅增加工作量，同時也不利于系統的安全。針對這種情況就要及時進行層面的端口調整合并，在這個過程中首先就要將各種類型的端口進行統一，并且其使用的系統設備的也應該進行相應的統一。并且通過進一步的整合使得有著同一個類型的安全域的不同系統實現調整合并，通過這樣的合并能夠有效地降低不同端口建設的投資費用，并且整合之后也能夠將安全域統一在一起，在這個基礎上也就更方便工作人員，將防護力量集中到一起，從而實現防護等級的提升。

2.4.2 進行邏輯調整合并

通常來說邏輯調整合并，指的就是對現行的系統的單個邏輯邊界進行充分整合，以期能夠通過有效的邊界調整合并使系統的邊界能夠保持較高的完整性以及條理性。在系統中還會存在著一些特定的安全區域，對于這一類的區域要靈活地根據具體的相關要求，對邊界進行處理，使其能夠有機地統一起來。安全域的交互網絡域與互聯網、專線和內網的邊界為網絡邊界，它是安全域的重要邊界。

2.4.3 其他邊界的整合

安全子域邊界整合：除了安全域的邊界整合，安全子域之間也存在相應的邊界整合，如計算域、服務域、維護域之間的整合。

3.安全域防護

3.1 邊界防護要求

安全域防護整體原則可根據安全域等級劃分和邊界保護進行，不同等級間必須采取相應的安全防護策略。維護域：對于維護域的安全需求，以加強認證和計、限制權限，以及嚴格遵守配置標準的技術手段為主，同時采取安全防護工具，如：部署防病毒系統、口令管理等保護措施。另外還應加強對終端的安全管理。

3.2 邊界互聯防護措施

3.2.1 預防與檢測相結合的方式

互聯網信息技術發展到現今階段，網絡病毒的入侵不僅具有速度快的特征，并且還具有潛伏期長的特點。所謂為了能夠更好地實現網絡安全的防護，首先就要在系統中設置有效的防火墻，并且因為病毒更新速度快，所以相應的防火墻也要進行及時更新。另一方面，要注意到病毒潛伏期長的特點，現在的電子病毒在沒有觸發的情況下能夠在系統中以10年為單位的進行潛伏，而一旦觸發源出現，病毒就會立即啟動，并對系統產生危害，所以在進行安全防護的同時還能夠進行系統自身的清查工作，將所有的病毒清除出去，從根源上做到預防。

3.2.2 當安全域接入各類網絡時，在使用通用防護手段的基礎上，還可根據各安全域面臨風險的特點，部署專業的安全技術防護系統，如DNS防護、反垃圾郵件系統、異常流量分析等。

3.2.3 安全工作依靠“三分技術、七分管理”，除了必要的安全保障措施外，加強安全管理也是重要環節。

結語

安全域劃分后，網絡結構清晰化，建立相應的安全防護策略及安全基線配置，更有利于安全防護部署及日常操作維護?？傊?，以開展安全域劃分為基礎，逐步將安全策略體系的管理和技術規范落實到網絡安全運行維護的實際工作中，并通過實際工作的經驗積累和數據分析，完成對安全策略體系持續完善過程。另外，建立安全維護管理隊伍，是安全策略體系實施的重要保障。最終實現“網絡安全運營的專業化、網絡安全工作的制度化、全網安全的可視可管”的總體目標。

參考文獻