前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網(wǎng)絡(luò)安全等級保護評估范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

網(wǎng)絡(luò)安全等級保護評估范文第1篇

關(guān)鍵詞：政府網(wǎng)絡(luò)安全；網(wǎng)絡(luò)安全；風險評估；應(yīng)用模型；電子政務(wù)

中圖分類號：TP393.08

在新的發(fā)展環(huán)境下，開放和互聯(lián)的網(wǎng)絡(luò)時代給各種信息資源的流通帶來了便利的同時，也帶來了安全隱患。尤其是政府部門的電子政務(wù)信息資產(chǎn)，若是受到非法使用，不但會對政府部門造成資源損失，甚至會威脅到國家、單位部門和個人的安全。因此，對政府網(wǎng)絡(luò)系統(tǒng)進行安全風險評估，不但能夠有效地預(yù)防和解決潛在的威脅，而且能夠保障整個政府網(wǎng)絡(luò)系統(tǒng)的安全，促進政府網(wǎng)絡(luò)建設(shè)的發(fā)展。

1 政府網(wǎng)絡(luò)安全風險評估的方法

在電子政務(wù)信息系統(tǒng)的建設(shè)和運行過程中，需要進行網(wǎng)絡(luò)安全防御的相關(guān)措施，以防止系統(tǒng)中存在的漏洞、隱患，以及人為或非人為因素引起的風險對系統(tǒng)的影響。因此，采取安全風險評估的方法，通過安全風險評估的相關(guān)技術(shù)的支持，對系統(tǒng)的設(shè)備及數(shù)據(jù)進行分析、確定等級和檢查，是有效防范這些情況發(fā)生的重要措施。

政府網(wǎng)絡(luò)安全風險評估的方法主要有安全風險分析、安全等級評估和安全檢查評估等三種。

1.1 安全風險分析。在進行政府網(wǎng)絡(luò)安全風險評估的前期工作中，主要是通過建立評估數(shù)據(jù)模型的方式進行安全風險分析。其中，主要是根據(jù)概率分布、外推法、矩陣圖分析、風險發(fā)展趨勢評價方法、假設(shè)前提評價及數(shù)據(jù)準確度評估等方法，并通過專家評估預(yù)測和相關(guān)歷史數(shù)據(jù)對指標的選取和數(shù)據(jù)的采集，估算政府網(wǎng)絡(luò)安全系統(tǒng)所存在的風險。

1.2 安全等級評估。在此階段，主要是在政府的電子政務(wù)系統(tǒng)建成或是運行的過程中，由第三方權(quán)威機構(gòu)采取強制或非強制的方式，對政府網(wǎng)絡(luò)安全進行定期安全等級評估，從而確定政府網(wǎng)絡(luò)系統(tǒng)在建成后，或是在系統(tǒng)更新后是否達到防范風險的可靠級別。

1.3 安全檢查評估。在此階段，主要采用專門的模擬攻擊、漏洞掃描等方式，對政府電子政務(wù)（包括網(wǎng)絡(luò)設(shè)備、服務(wù)器、客戶機、數(shù)據(jù)庫和應(yīng)用系統(tǒng)等）進行安全檢查，找出其中可能存在的安全隱患并提供掃描后的相關(guān)數(shù)據(jù)，給予政府電子政務(wù)安全檢查評估。在安全檢查評估中，主要運用到基于主機的（硬件系統(tǒng)）和基于網(wǎng)絡(luò)的（軟件系統(tǒng)）兩種技術(shù)。通過安全檢查評估，能夠起到預(yù)防網(wǎng)絡(luò)系統(tǒng)中存在的隱患的作用，并提供科學有效的解決措施，從而更進一步提高網(wǎng)絡(luò)安全的整體水平。

2 政府網(wǎng)絡(luò)安全風險評估的模型與應(yīng)用

2.1 安全風險評估應(yīng)用模型三階段。在電子政務(wù)系統(tǒng)建設(shè)的實施過程，主要分為規(guī)劃與設(shè)計階段、建設(shè)與實施階段、運行與管理階段等三個階段。其中，安全風險分析主要作用于規(guī)劃與設(shè)計階段，安全等級評估主要作用于建設(shè)與施工階段，安全檢查評估主要作用于運行與管理階段。

安全風險分析，主要是利用風險評估工具對系統(tǒng)的安全問題進行分析。對于信息資產(chǎn)的風險等級的確定，以及其風險的優(yōu)先控制順序，可以通過根據(jù)電子政務(wù)系統(tǒng)的需求，采用定性和定量的方法，制定相關(guān)的安全保障方案。

安全等級評估，主要由自評估和他評估兩種評估方式構(gòu)成。被評估電子政務(wù)系統(tǒng)的擁有者，通過結(jié)合其自身的力量和相關(guān)的等級保護標準，進行安全等級評估的方式，稱為自評估。而他評估則是指通過第三方權(quán)威專業(yè)評估機構(gòu)，依據(jù)已頒布的標準或法規(guī)進行評估。通過定期或隨機的安全等級評估，掌握系統(tǒng)動態(tài)、業(yè)務(wù)調(diào)整、網(wǎng)絡(luò)威脅等動向，能夠及時預(yù)防和處理系統(tǒng)中存在的安全漏洞、隱患，提高系統(tǒng)的防御能力，并給予合理的安全防范措施等。若電子政務(wù)網(wǎng)絡(luò)系統(tǒng)需要進行較大程度上的更新或變革，則需要重新對系統(tǒng)進行安全等級評估工作。

安全檢查評估，主要是在對漏洞掃描、模擬攻擊，以及對安全隱患的檢查等方面，對電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的運行狀態(tài)進行監(jiān)測，并給予解決問題的安全防范措施。

2.2 安全風險分析的應(yīng)用模型。在政府網(wǎng)絡(luò)安全風險評估工作中，主要是借助安全風險評測工具和第三方權(quán)威機構(gòu)，對安全風險分析、安全等級評估和安全檢查評估等三方面進行評估工作。在此，本文重點要講述的是安全風險分析的應(yīng)用模型。在安全風險分析的應(yīng)用模型中，著重需要考慮到的是其主要因素、基本流程和專家評判法。

（1）主要因素

在資產(chǎn)上，政府的信息資源不但具有經(jīng)濟價值，還擁有者重要的政治因素。因此，要從關(guān)鍵和敏感度出發(fā)，確定信息資產(chǎn)。在不足上，政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)，存在一定的脆弱性和被利用的潛在性。在威脅上，政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)受到來自內(nèi)、外部的威脅。在影響上，可能致使信息資源泄露，嚴重時造成重大的資源損失。

（2）基本流程

根據(jù)安全需求，確定政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全風險等級和目標。

根據(jù)政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)和應(yīng)用需求，實行區(qū)域和安全邊界的劃分。

識別并估價安全區(qū)域內(nèi)的信息資產(chǎn)。

識別與評價安全區(qū)域內(nèi)的環(huán)境對資產(chǎn)的威脅。

識別與分析安全區(qū)域內(nèi)的威脅所對應(yīng)的資產(chǎn)或組織存在的薄弱點。

建立政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全風險評估方法和安全風險等級評價原則，并確定其大小與等級。

結(jié)合相關(guān)的系統(tǒng)安全需求和等級保護，以及費用應(yīng)當與風險相平衡的原則，對風險控制方法加以探究，從而制定出有效的安全風險控制措施和解決方案。

（3）專家評判法

在建設(shè)政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的前期決策中，由于缺少相關(guān)的數(shù)據(jù)和資料，因此，可以通過專家評判的方法，為政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)提供一個大概的參考數(shù)值和結(jié)果，作為決策前期的基礎(chǔ)。

在安全區(qū)域內(nèi)，根據(jù)網(wǎng)絡(luò)拓撲結(jié)構(gòu)（即物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、數(shù)據(jù)層、用戶層），應(yīng)用需求和安全需求劃分的安全邊界和安全區(qū)域，建立起風險值計算模型。通過列出從物理層到用戶層之間結(jié)構(gòu)所存在的薄弱點，分析其可能為資產(chǎn)所帶來的影響，以及這些薄弱點對系統(tǒng)薄弱環(huán)節(jié)外部可能產(chǎn)生的威脅程度大小，進而通過安全風險評估專家進行評判，得到系統(tǒng)的風險值及排序。

在不同的安全層次中，每個薄弱環(huán)節(jié)都存在著不同程度的潛在威脅。若是采用多嵌套的計算方法，能夠幫助計算出特定安全區(qū)域下的資產(chǎn)在這些薄弱環(huán)節(jié)中的風險值。

3 結(jié)語

本文主要通過對政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的建設(shè)中，所進行的安全風險評估進行研究，分析和探討在規(guī)劃與設(shè)計階段、建設(shè)與實施階段、運行與管理階段三個階段中政府網(wǎng)絡(luò)安全建設(shè)的相關(guān)問題。并在各階段分別采用安全風險分析、系統(tǒng)建設(shè)完成后的安全等級評估。在系統(tǒng)建成后的運行和管理階段，采用的安全檢查評估等方法，保障政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全。此外，在安全風險分析中，可操作的方法并不多，需要有關(guān)部門加強力度，加以研究和探析。在等級安全評估和安全檢查評估兩個階段，可以充分利用第三方權(quán)威機構(gòu)的評測工具，來加強政府網(wǎng)絡(luò)的安全性。

參考文獻：

[1]楊志新.政府網(wǎng)絡(luò)安全風險評估[J].系統(tǒng)工程，2005，4.

[2]王繼曄.政府信息網(wǎng)絡(luò)的安全措施及技術(shù)手段[J].交通與計算機，2003，2.

[3]黃煒.我國政府保護網(wǎng)絡(luò)經(jīng)濟信息安全的現(xiàn)狀和對策[J].華南理工大學，2010，5，6.

[4]夏義，李勇.政府網(wǎng)絡(luò)安全問題分析[J].高校圖書情報論壇，2003，2.

網(wǎng)絡(luò)安全等級保護評估范文第2篇

隨著電子政務(wù)應(yīng)用的不斷深入，信息安全問題日益凸顯，為了高效安全的進行電子政務(wù)，迫切需要搞好信息安全保障工作。電子政務(wù)系統(tǒng)采取的網(wǎng)絡(luò)安全措施[2][3]不僅要保證業(yè)務(wù)與辦公系統(tǒng)和網(wǎng)絡(luò)的穩(wěn)定運行，另一方面要保護運行在內(nèi)部網(wǎng)上的敏感數(shù)據(jù)與信息的安全，因此應(yīng)充分保證以下幾點：

1.1基礎(chǔ)設(shè)施的可用性：運行于內(nèi)部專網(wǎng)的各主機、數(shù)據(jù)庫、應(yīng)用服務(wù)器系統(tǒng)的安全運行十分關(guān)鍵，網(wǎng)絡(luò)安全體系必須保證這些系統(tǒng)不會遭受來自網(wǎng)絡(luò)的非法訪問、惡意入侵和破壞。

1.2數(shù)據(jù)機密性：對于內(nèi)部網(wǎng)絡(luò)，保密數(shù)據(jù)的泄密將直接帶來政府機構(gòu)以及國家利益的損失。網(wǎng)絡(luò)安全系統(tǒng)應(yīng)保證內(nèi)網(wǎng)機密信息在存儲與傳輸時的保密性。

1.3網(wǎng)絡(luò)域的可控性:電子政務(wù)的網(wǎng)絡(luò)應(yīng)該處于嚴格的控制之下，只有經(jīng)過認證的設(shè)備可以訪問網(wǎng)絡(luò)，并且能明確地限定其訪問范圍，這對于電子政務(wù)的網(wǎng)絡(luò)安全十分重要。

1.4數(shù)據(jù)備份與容災(zāi):任何的安全措施都無法保證數(shù)據(jù)萬無一失，硬件故障、自然災(zāi)害以及未知病毒的感染都有可能導(dǎo)致政府重要數(shù)據(jù)的丟失。因此，在電子政務(wù)安全體系中必須包括數(shù)據(jù)的容災(zāi)與備份，并且最好是異地備份。

2電子政務(wù)信息安全體系模型設(shè)計

完整的電子政務(wù)安全保障體系從技術(shù)層面上來講，必須建立在一個強大的技術(shù)支撐平臺之上，同時具有完備的安全管理機制，并針對物理安全，數(shù)據(jù)存儲安全，數(shù)據(jù)傳輸安全和應(yīng)用安全制定完善的安全策略

在技術(shù)支撐平臺方面，核心是要解決好權(quán)限控制問題。為了解決授權(quán)訪問的問題，通常是將基于公鑰證書（PKC）的PKI（PublicKeyInfrastructure）與基于屬性證書（AC）的PMI（PrivilegeManagementInfrastructure)結(jié)合起來進行安全性設(shè)計，然而由于一個終端用戶可以有許多權(quán)限，許多用戶也可能有相同的權(quán)限集，這些權(quán)限都必須寫入屬性證書的屬性中，這樣就增加了屬性證書的復(fù)雜性和存儲空間，從而也增加了屬性證書的頒發(fā)和驗證的復(fù)雜度。為了解決這個問題，作者建議根據(jù)X.509標準建立基于角色PMI的電子政務(wù)安全模型。該模型由客戶端、驗證服務(wù)器、應(yīng)用服務(wù)器、資源數(shù)據(jù)庫和LDAP目錄服務(wù)器等實體組成，在該模型中：

2.1終端用戶：向驗證服務(wù)器發(fā)送請求和證書，并與服務(wù)器雙向驗證。

2.2驗證服務(wù)器：由身份認證模塊和授權(quán)驗證模塊組成提供身份認證和訪問控制，是安全模型的關(guān)鍵部分。

2.3應(yīng)用服務(wù)器：與資源數(shù)據(jù)庫連接，根據(jù)驗證通過的用戶請求，對資源數(shù)據(jù)庫的數(shù)據(jù)進行處理，并把處理結(jié)果通過驗證服務(wù)器返回給用戶以響應(yīng)用戶請求。

2.4LDAP目錄服務(wù)器：該模型中采用兩個LDAP目錄服務(wù)器，一個存放公鑰證書（PKC）和公鑰證書吊銷列表（CRL），另一個LDAP目錄服務(wù)器存放角色指派和角色規(guī)范屬性證書以及屬性吊銷列表ACRL。

安全管理策略也是電子政務(wù)安全體系的重要組成部分。安全的核心實際上是管理，安全技術(shù)實際上只是實現(xiàn)管理的一種手段，再好的技術(shù)手段都必須配合合理的制度才能發(fā)揮作用。需要制訂的制度包括安全行政管理和安全技術(shù)管理。安全行政管理應(yīng)包括組織機構(gòu)和責任制度等的制定和落實；安全技術(shù)管理的內(nèi)容包括對硬件實體和軟件系統(tǒng)、密鑰的管理。

轉(zhuǎn)貼于中國論文下載中心www

3電子政務(wù)信息安全管理體系中的風險評估

電子政務(wù)信息安全等級保護是根據(jù)電子政務(wù)系統(tǒng)在國家安全、經(jīng)濟安全、社會穩(wěn)定和保護公共利益等方面的重要程度。等級保護工作的要點是對電子政務(wù)系統(tǒng)進行風險分析，構(gòu)建電子政務(wù)系統(tǒng)的風險因素集。

3.1信息系統(tǒng)的安全定級信息系統(tǒng)的安全等級從低到高依次包括自主保護級、指導(dǎo)保護級、監(jiān)督保護級、強制保護級、?？乇Ｗo級五個安全等級。對電子政務(wù)的五個安全等級定義，結(jié)合系統(tǒng)面臨的風險、系統(tǒng)特定安全保護要求和成本開銷等因素，采取相應(yīng)的安全保護措施以保障信息和信息系統(tǒng)的安全。

3.2采用全面的風險評估辦法風險評估具有不同的方法。在ISO/IECTR13335-3《信息技術(shù)IT安全管理指南:IT安全管理技術(shù)》中描述了風險評估方法的例子，其他文獻，例如NISTSP800-30、AS/NZS4360等也介紹了風險評估的步驟及方法，另外，一些組織還提出了自己的風險評估工具，例如OCTAVE、CRAMM等。

電子政務(wù)信息安全建設(shè)中采用的風險評估方法可以參考ISO17799、OCTAVE、CSE、《信息安全風險評估指南》等標準和指南，從資產(chǎn)評估、威脅評估、脆弱性評估、安全措施有效性評估四個方面建立風險評估模型。其中，資產(chǎn)的評估主要是對資產(chǎn)進行相對估價，其估價準則依賴于對其影響的分析，主要從保密性、完整性、可用性三方面進行影響分析;威脅評估是對資產(chǎn)所受威脅發(fā)生可能性的評估，主要從威脅的能力和動機兩個方面進行分析;脆弱性評估是對資產(chǎn)脆弱程度的評估，主要從脆弱性被利用的難易程度、被成功利用后的嚴重性兩方面進行分析;安全措施有效性評估是對保障措施的有效性進行的評估活動，主要對安全措施防范威脅、減少脆弱性的有效狀況進行分析;安全風險評估就是通過綜合分析評估后的資產(chǎn)信息、威脅信息、脆弱性信息、安全措施信息，最終生成風險信息。

在確定風險評估方法后，還應(yīng)確定接受風險的準則，識別可接受的風險級別。

4結(jié)語

電子政務(wù)與傳統(tǒng)政務(wù)相比有顯著區(qū)別，包括:辦公手段不同，信息資源的數(shù)字化和信息交換的網(wǎng)絡(luò)化是電子政務(wù)與傳統(tǒng)政務(wù)的最顯著區(qū)別;行政業(yè)務(wù)流程不同，實現(xiàn)行政業(yè)務(wù)流程的集約化、標準化和高效化是電子政務(wù)的核心;與公眾溝通方式不同，直接與公眾溝通是實施電子政務(wù)的目的之一，也是與傳統(tǒng)政務(wù)的重要區(qū)別。在電子政務(wù)的信息安全管理中，要抓住其特點，從技術(shù)、管理、策略角度設(shè)計完整的信息安全模型并通過科學量化的風險評估方法識別風險和制定風險應(yīng)急預(yù)案，這樣才能達到全方位實施信息安全管理的目的。

參考文獻：

[1]范紅，馮國登，吳亞非.信息安全風險評估方法與應(yīng)用.清華大學出版社.2006.

[2]李波杰，張緒國，張世永.一種多層取證的電子商務(wù)安全審計系統(tǒng)微型電腦應(yīng)用.2007年05期.

網(wǎng)絡(luò)安全等級保護評估范文第3篇

建立等級保護制度是實現(xiàn)網(wǎng)絡(luò)安全的保障。結(jié)合網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)組成、服務(wù)模式等基本情況，建立等級保護制度實施的規(guī)范和標準。制定安全區(qū)域邊界和內(nèi)部實施相應(yīng)的安全防護的策略，科學進行框架結(jié)構(gòu)、系統(tǒng)部署等內(nèi)容設(shè)計，建立一個適應(yīng)性和可行性較強的網(wǎng)絡(luò)安全防護體系。通過科學的建模分析方法，結(jié)合網(wǎng)絡(luò)結(jié)構(gòu)模型和對應(yīng)的技術(shù)進行細致分析及思考。筆者針對如何建立適應(yīng)性較強的網(wǎng)絡(luò)安全體系提出一些思路，并構(gòu)建出了具體的框架，提出具體的建模分析方法。

1當前等級保護制度研究的現(xiàn)狀

我國網(wǎng)絡(luò)技術(shù)迅猛發(fā)展，網(wǎng)絡(luò)技術(shù)的應(yīng)用已經(jīng)滲透到各行各業(yè)中。由于網(wǎng)絡(luò)信息系統(tǒng)的類型很多，因此各國實施的系統(tǒng)建設(shè)標準各有不同，同時系統(tǒng)針對應(yīng)用場景適應(yīng)性也各有差異，還有其他一些的因素都是造成網(wǎng)絡(luò)安全等級保護制度難以進行推廣的原因。針對基于等級保護的網(wǎng)絡(luò)安全體系的建立和實施過程中的困難，有很多專家學者對信息安全等級保護制度進行了探討和研究。針對基于安全等級保護的網(wǎng)絡(luò)安全體系的研究，是從信息安全等級保護相關(guān)要求和標準角度，參考全球信息安全領(lǐng)域的安全保護原則與評估方法，進行科學的對比分析，常用的方法包括統(tǒng)計分析、系統(tǒng)建模等。信息安全等級保護制度的探索應(yīng)用主要是在一些特定的對信息收集、處理標準較高的信息系統(tǒng)上，常見的比如，電子商務(wù)、媒體與信息服務(wù)、企業(yè)信息管理系統(tǒng)等。在特定領(lǐng)域的信息安全等級保護制度研究，要求結(jié)合行業(yè)領(lǐng)域的特點進行分析，還有一些相關(guān)的規(guī)范性文件要求。

2等級保護制度的內(nèi)容和要求

所謂基于等級保護的網(wǎng)絡(luò)安全體系是指處理信息和其載體，需要結(jié)合信息的重要性，進行等級的分級別，提高信息安全保護的效率的一種體系制度。要求是對一些專有的重要信息或者公開信息進行專項的存儲、處理時，按照信息系統(tǒng)中內(nèi)容的等級實施對應(yīng)的安全保護措施，實現(xiàn)對安全體系下的信息安全事件進行分等級的處置工作。實現(xiàn)系統(tǒng)的安全的相應(yīng)要求不同于一般的技術(shù)安全要求標準。從物理、網(wǎng)絡(luò)、應(yīng)用等層面，制定對不同等級的信息系統(tǒng)的建設(shè)標準。再根據(jù)實現(xiàn)方式的差異，提出基本的安全要求，分技術(shù)和管理要求兩個基本的類別。安全技術(shù)要求要對應(yīng)安全層面的內(nèi)容，一些安全技術(shù)的實施標準的要求是能夠與特定層面相適應(yīng)，例如防雷、防火等這些物理層面的安全要求。而一些安全要求是對應(yīng)多個層面進行實施的，如進行身份的鑒別、系統(tǒng)訪問的控制等。

3網(wǎng)絡(luò)安全體系的框架構(gòu)建分析

構(gòu)建科學的網(wǎng)絡(luò)安全體系，需要考慮諸多方面的內(nèi)容，比如安全組織、技術(shù)、和具體的實施等一系列的情況。在網(wǎng)絡(luò)安全體系中的內(nèi)容，必須符合我國當前的網(wǎng)絡(luò)方面的相關(guān)法律和標準，能夠適應(yīng)各類的場景和應(yīng)用環(huán)境來實現(xiàn)框架的構(gòu)建思路，科學的安全體系應(yīng)當具備適用于各種應(yīng)用場景的特點，進行安全場景的建模分析?；诘燃壉Ｗo的網(wǎng)絡(luò)安全體系，先要從需求角度進行分析，著重對體系建立的相關(guān)內(nèi)容進行思考，網(wǎng)絡(luò)安全體系框架的構(gòu)建要求重點對網(wǎng)絡(luò)安全體系和安全目標、安全邊界多方面，通過建模方法進行分析，然后用具體明白的表述做好跟安全管理工作的對接。對安全目標的建模方法具體分析，要結(jié)合安全體系建立的需求，建立有針對性的安全目標。設(shè)立安全目標的內(nèi)容，通常會包括了業(yè)務(wù)的范圍、功能以及業(yè)務(wù)實施流程等方面的內(nèi)容。業(yè)務(wù)功能是指在網(wǎng)絡(luò)平臺上進行的特定相關(guān)業(yè)務(wù)的能力。通常業(yè)務(wù)功能可以按照模塊進行分解，目標的不同可能導(dǎo)致描述粒度要求的不同。針對安全目標的建立模型進行分析，由于業(yè)務(wù)需求與安全需求的內(nèi)容上存在很多類似的地方，因此，需要設(shè)定相同的分析對象再進行建模，運用的建模方法為：進行業(yè)務(wù)功能方面的建模，要結(jié)合網(wǎng)絡(luò)安全體系中的特定業(yè)務(wù)目標，深入分析業(yè)務(wù)的功能內(nèi)容，進行相關(guān)描述時，要結(jié)合具體的目標和特定的需要，同時還要針對對業(yè)務(wù)功能的內(nèi)容方面進行探討，對名稱的標識描述要突出，控制描述內(nèi)容的質(zhì)量，可以使用一些可視性例圖進行描述，這樣能起到幫助用戶更深入理解系統(tǒng)功能的目的。分析業(yè)務(wù)開展的范圍要結(jié)合相關(guān)的業(yè)務(wù)功能，在業(yè)務(wù)覆蓋的范圍內(nèi)闡述網(wǎng)絡(luò)覆蓋的業(yè)務(wù)實施和各個環(huán)節(jié)的相關(guān)性，可以借助類圖法對相關(guān)業(yè)務(wù)范圍進行刻畫。

4基于等級保護網(wǎng)絡(luò)安全體系中的安全邊界建模方法分析

利用網(wǎng)絡(luò)安全邊界理論進行安全界定時，要服從于網(wǎng)絡(luò)安全體系可以涵蓋所有范圍的基本設(shè)立目標。利用SB=<LNB，SMB>來對安全邊界模型的相關(guān)要素進行表示，在模型構(gòu)建的元素中以LNB表示邊界的連通，以SMB表示安全措施邊界。應(yīng)用LNB對聯(lián)通的邊界進行相關(guān)的分析，通過網(wǎng)絡(luò)上的軟件和硬件進行結(jié)合的內(nèi)容，進行的連通邊界的描述，同時還需要結(jié)合組件的運行和通信，對模型進行詳細的補充。

4.1針對安全體系要素的建模

對安全體系的要素進行建模分析要求結(jié)合安全機制和安全威脅進行建模分析，對安全機制的相關(guān)要素和安全威脅的相關(guān)內(nèi)容要進行科學全面的思考，提高建模分析的準確性和科學性。要應(yīng)用模態(tài)邏輯對安全體系的要素進行分析，包括了必然和可能等相關(guān)的概念邏輯。

4.2安全措施分析

對網(wǎng)絡(luò)信息技術(shù)進行分析制定，防止網(wǎng)絡(luò)信息系統(tǒng)受到侵害，及時對一些安全事故進行分析處理，這是安全技術(shù)措施的主要內(nèi)容，安全管理措施是對網(wǎng)絡(luò)信息系統(tǒng)的檢查和分析，實施對機構(gòu)體制和系統(tǒng)操作人員的相關(guān)管理，還包括了對于提高系統(tǒng)的安全系數(shù)的工作內(nèi)容。

4.3安全管理措施和安全技術(shù)措施的分析比較

安全管理措施和安全技術(shù)措施兩者十分類似，但在措施的實施方面有實際的差異。前者針對的管理的相關(guān)規(guī)則，而后者卻是針對技術(shù)制定相應(yīng)的規(guī)則。進行模態(tài)邏輯的應(yīng)用的時候，建立安全體系的模型，實現(xiàn)模擬邏輯的應(yīng)用推導(dǎo)，利用安全體系中的有效性進行科學的推導(dǎo)和相應(yīng)的分析，同時，利用強推理和弱推理的相關(guān)的規(guī)則進行對比分析，可以發(fā)現(xiàn)其中存在的一些關(guān)系。

5對網(wǎng)絡(luò)安全體系建模方法的驗證分析

用科學的方法建立模型，從安全目標和安全邊界角度以及安全要素等進行了模型的分析。下面就結(jié)合模型的驗證結(jié)果，分析安全目標的實現(xiàn)程度。主要針對安全要素計算法進行具體的分析如下：把特定的業(yè)務(wù)相關(guān)狀態(tài)的內(nèi)容進行模型的輸入和輸出操作，設(shè)定特定業(yè)務(wù)流程內(nèi)業(yè)務(wù)狀態(tài)的相應(yīng)安全要素集，所謂安全要素集，是指若系統(tǒng)承載業(yè)務(wù)操作資產(chǎn)也成為了是安全威脅目標，那么該安全威脅就應(yīng)該在此業(yè)務(wù)狀態(tài)下需要應(yīng)對的安全威脅攻擊的集內(nèi)。通過測定安全要素是否在安全邊界中，實現(xiàn)對業(yè)務(wù)操作的性質(zhì)的區(qū)分，定性是屬于安全性還是威脅性的。其中有2個主要步驟：（1）界定安全威脅攻擊目標是否在物理連通的邊界范圍中；（2）對安全技術(shù)措施和安全管理中制定的相關(guān)措施狀態(tài)，對比該安全措施邊界的模型定義和狀態(tài)的情況是否一致。若業(yè)務(wù)操作中有安全威脅，但沒有解決該安全威脅的安全技術(shù)措施，那么這個業(yè)務(wù)操作就形成了一定程度的存在安全風險；再對這一安全威脅的安全技術(shù)措施的模態(tài)進行判斷，若發(fā)現(xiàn)“可能”針對這一模態(tài)的相應(yīng)安全措施，根據(jù)弱推理規(guī)則對安全措施的科學性和可行性進行推導(dǎo)判斷，否則就根據(jù)強推理規(guī)則進行推導(dǎo)，結(jié)合最終的結(jié)果，進行安全風險的處置。制定科學的安全技術(shù)和安全管理方面的保護措施，需要界定安全要素是否包含在相應(yīng)的安全邊界內(nèi)，同時要求對安群威脅進行分析，根據(jù)最終系統(tǒng)是否受到攻擊的實際情況，結(jié)合安全管理的對象和相應(yīng)的技術(shù)規(guī)范的時，檢測物理連接是否有效，連接的狀態(tài)是否發(fā)生了改變以及是否滿足要求，按照安全等級進行建模分析。結(jié)合上述的相關(guān)建模分析方法，安全管理部門可以細致的了解網(wǎng)絡(luò)安全的相關(guān)內(nèi)容,加深對網(wǎng)絡(luò)安全風險狀態(tài)的科學認知，并制定有針對性的標準和流程,保證業(yè)務(wù)操作的安全性和效率。

6結(jié)語

本文對網(wǎng)絡(luò)安全體系建模分析的相關(guān)方法進行了詳細的介紹，并進行了驗證方法的闡述，滿足了網(wǎng)絡(luò)安全體系建模的方法的科學性和可行性要求。在具體的基于等級保護制度建立的網(wǎng)絡(luò)安全體系框架內(nèi)，對于建模上的規(guī)范性和功能提出了較高的要求，結(jié)合對網(wǎng)絡(luò)安全體系建模分析，討論了對此類網(wǎng)絡(luò)安全建模分析方法科學性進行驗證的方法。

作者:馬榮華 單位:鄭州鐵路職業(yè)技術(shù)學院

引用：

網(wǎng)絡(luò)安全等級保護評估范文第4篇

關(guān)鍵詞：信息安全；等級保護；等級測評；實踐教學；綜合實訓

DOIDOI：10.11907/rjdk.161717

中圖分類號：G434

文獻標識碼：A文章編號文章編號：16727800（2016）009017303

基金項目基金項目：貴州省科技廳社發(fā)攻關(guān)項目（黔科合SY字2012-3050號）；貴州大學自然科學青年基金項目（貴大自青合字2010-026號）；貴州大學教育教學改革研究項目（JG2013097）

作者簡介作者簡介：張文勇（1973-），男，貴州臺江人，碩士，貴州大學計算機科學與技術(shù)學院講師，研究方向為網(wǎng)絡(luò)與信息安全；李維華（1961-），男，貴州貴陽人，貴州大學計算機科學與技術(shù)學院高級實驗師，研究方向為網(wǎng)絡(luò)與信息安全；唐作其（1980-），男，貴州興義人，碩士，貴州大學計算機科學與技術(shù)學院副教授，研究方向為信息安全保障體系。

0引言

信息安全等級保護是國家信息安全保障工作的基本制度、基本策略、基本方法，開展信息安全等級保護工作是保護信息化發(fā)展、維護國家信息安全的根本保障，是信息安全保障工作中國家意志的體現(xiàn)。信息安全學科要求學生不僅要具備很強的理論知識，更應(yīng)具備較強的實踐能力?，F(xiàn)階段很多高校在理論教學上有較好的培養(yǎng)方法和模式，學生具備良好的理論基礎(chǔ)，但在實踐教學中由于各課程的銜接和關(guān)聯(lián)較少，盡管部分學校開設(shè)了信息安全實訓或信息安全攻防實踐等課程，但基本都是做一些單元實驗，僅局限于某一方面的技能訓練，沒有從全局、系統(tǒng)的角度去培養(yǎng)學生綜合運用各種信息安全知識解決實際問題的能力[15]。從貴州大學信息安全專業(yè)畢業(yè)生就業(yè)情況調(diào)查反饋信息來看，絕大多數(shù)畢業(yè)生主要從事企事業(yè)單位的信息安全管理、信息安全專業(yè)服務(wù)等工作，少數(shù)畢業(yè)生從事信息安全產(chǎn)品研發(fā)，或繼續(xù)碩士博士深造，從事信息安全理論研究。用人單位普遍反映學生的基本理論掌握相對較好，但實際操作技能、綜合分析能力欠缺。為了解決目前這種狀況，筆者根據(jù)長期從事信息安全等級保護項目實施工作實踐，提出在信息安全專業(yè)的實踐教學環(huán)節(jié)中引入信息安全等級保護相關(guān)內(nèi)容。

1信息安全等級保護對學生能力培養(yǎng)的作用

信息安全等級保護工作包括定級、備案、安全建設(shè)和整改、信息安全等級測評、信息安全檢查5個階段，信息系統(tǒng)安全等級測評是驗證信息系統(tǒng)是否滿足相應(yīng)安全保護等級的評估過程。信息安全等級保護的知識體系完善，信息安全等級保護測評人員的技術(shù)要求涵蓋多個方面，包括物理環(huán)境、主機、操作系統(tǒng)、應(yīng)用安全、安全設(shè)備等，因此國家對于信息安全等級保護人員的技術(shù)要求十分綜合和全面[3]。如參照信息安全等級保護專業(yè)人員的技術(shù)要求對學生開展信息安全綜合實訓將滿足社會對信息安全專業(yè)人員的技能和知識結(jié)構(gòu)要求，主要體現(xiàn)在以下4個方面：①培養(yǎng)學生了解國家關(guān)于非信息系統(tǒng)保護的基本方針、政策、標準；②培養(yǎng)學生掌握各種基本信息安全技術(shù)操作技能，熟悉各種信息系統(tǒng)構(gòu)成對象的基本操作，為將來快速融入到信息安全保護實踐工作奠定基礎(chǔ)；③培養(yǎng)學生具備從綜合、全面的角度去規(guī)劃、設(shè)計、構(gòu)建符合國家信息安全保障體系要求的信息安全防護方案能力；④培養(yǎng)學生建立信息安全等級保護的基本意識，在工作實踐中自覺按國家信息安全等級保護要求開展工作，有利于促進國家信息安全等級保護政策實施。

2實訓教學知識體系

信息安全等級保護的相關(guān)政策和標準是信息安全實訓教學體系建立的基本依據(jù)，GB/T 22239-2008《信息安全等級保護基本要求》在信息安全等級保護標準體系中起基礎(chǔ)性作用。信息安全等級保護基本要求充分體現(xiàn)了“全面防御，縱深防御”的理念，遵循了“技術(shù)和管理并重”的基本原則，而不同級別的業(yè)務(wù)信息系統(tǒng)在控制點要求項上的區(qū)別體現(xiàn)了“適度安全”的根本原則[6]。信息安全保護測評是信息安全等級保護的一項重要基礎(chǔ)性工作，GB/T 28449-2012《信息安全等級保護測評過程指南》是對等級測評的活動、工作任務(wù)以及每項任務(wù)的工作內(nèi)容作出了詳細建議，等級測評中的單元測評、整體測評、風險分析、問題處置及建議環(huán)節(jié)體現(xiàn)了測評工程師對等保項目基本安全保障情況的綜合分析能力[610]。信息安全等級保護知識體系龐大，不可能兼顧所有方面，因而在信息安全實訓教學知識體系制訂中采用兼顧全局、突出重點的基本原則；在實訓教學知識體系的構(gòu)成中重點以《信息安全等級保護基本要求》和《信息安全等級保護測評過程指南》為基礎(chǔ)，包括基本理論培訓、基本技能實訓、安全管理培訓、能力提高實訓四大模塊；在實際操作中將重點放在基本技能實訓和能力提高實訓上。各實訓模塊構(gòu)成及關(guān)系如圖1所示。

3實訓教學實施

教學實施依據(jù)實訓教學知識體系進行，教學方式采用集中課堂基本理論教學、在信息系統(tǒng)模擬平臺實施現(xiàn)場測評數(shù)據(jù)采集的基本操作實訓和以信息安全等級保護測評報告的編寫為基礎(chǔ)的數(shù)據(jù)分析、數(shù)據(jù)整理、安全方案編寫實訓。

3.1基本理論教學

該環(huán)節(jié)采用集中課堂教學方式，講解的主要內(nèi)容是信息安全等級保護政策和標準。講解深度上應(yīng)有所側(cè)重，講解重點包括：①信息安全等級保護基本要求中層面的劃分原則和依據(jù)、控制點的構(gòu)成、控制點中要求項的解讀；②信息安全保護過程指南中單元測評、整體測評、風險分析、問題處置和建議等部分的解讀。

理論教學在突出重點的同時，兼顧全局，讓學生對信息安全等級保護制度和標準有一個完整、清晰的認識。

3.2基本技能實訓

基本技能實訓環(huán)節(jié)主要是強化學生各種信息安全技術(shù)的基本操作訓練。首先，應(yīng)根據(jù)最真實的企業(yè)內(nèi)部環(huán)境搭建符合信息安全等級保護要求的模擬信息系統(tǒng)，并編寫好對應(yīng)的信息安全等級保護現(xiàn)場測評指導(dǎo)書；然后，指導(dǎo)學生在模擬系統(tǒng)上進行現(xiàn)場測評實訓，實訓過程按信息安全等級保護現(xiàn)場測評指導(dǎo)書要求進行，實訓內(nèi)容以獲取信息系統(tǒng)安全配置和運行狀態(tài)等原始數(shù)據(jù)為基礎(chǔ)?；炯寄軐嵱柲K包括網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)備份及恢復(fù)、自動化工具掃描這5個層面的訓練項目。

（1）網(wǎng)絡(luò)安全。學生在模擬平臺上開展各種主流的網(wǎng)絡(luò)設(shè)備和安全設(shè)備的基本操作訓練，要求學生理解網(wǎng)絡(luò)設(shè)備和安全設(shè)備的安全功能及安全設(shè)置，掌握設(shè)備的運行狀態(tài)和信息數(shù)據(jù)采集方法。

（2）主機安全。學生在模擬平臺上開展各種主流系統(tǒng)軟件基本操作訓練，包括操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、中間件等，要求學生理解各種系統(tǒng)軟件的安全功能和安全設(shè)置。通過本環(huán)節(jié)的實訓，學生應(yīng)具備系統(tǒng)軟件安全配置核查和運行狀態(tài)信息采集能力。

（3）應(yīng)用安全。學生在模擬平臺上對所安裝的主流商用應(yīng)用軟件和自主開發(fā)軟件進行安全配置核查和安全功能驗證訓練，要求學生理解應(yīng)用軟件的安全功能設(shè)計要求，掌握應(yīng)用軟件的安全配置核查和安全功能驗證方法。

（4） 數(shù)據(jù)備份和回復(fù)。通過模擬系統(tǒng)的磁盤冗余陣列進行基本操作訓練，讓學生了解磁盤冗余陣列的驗證方法；通過訓練學生在操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)上配置計劃備份任務(wù)，使其理解系統(tǒng)軟件的數(shù)據(jù)備份安全功能，掌握系統(tǒng)軟件的備份操作計劃配置和驗證方法。

（5）自動化工具掃描。學生利用主流的開源掃描工具和商用的掃描工具對模擬系統(tǒng)上的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器主機等進行掃描，獲取信息系統(tǒng)主要軟硬件的漏洞，并驗證系統(tǒng)的脆弱性。本部分獲取的原始數(shù)據(jù)作為（1）、（2）、（3）部分的補充，通過本環(huán)節(jié)培訓學生整理和分析漏洞掃描結(jié)果以及初步驗證漏洞真實性的能力。

3.3能力提高實訓

在學生掌握信息系統(tǒng)安全配置和運行狀態(tài)數(shù)據(jù)采集的基本技能后實施能力提高實訓，本模塊主要培訓學生對原始數(shù)據(jù)的分析、整理，并編寫信息安全等級保護測評報告的能力。能力提高實訓模塊主要包括單元測評、整體測評、風險分析、問題處置和安全建議4個項目，各項目之間的關(guān)系流程如圖2所示。

（1）通過基本技能實訓獲取到原始數(shù)據(jù)后，根據(jù)信息安全等級保護測評過程要求整理、分析原始數(shù)據(jù)，開展單元測評，并給出各單元層面內(nèi)控制點中檢查項的符合性，分析并給出單元測評結(jié)果，按信息安全等級保護報告模板編寫單元測評報告。

（2）在完成單元測評后，由于單元測評參照的信息相對獨立，未考慮原始數(shù)據(jù)間的關(guān)聯(lián)性，而實際信息系統(tǒng)的最終安全防護效力和面臨的風險是信息系統(tǒng)安全控制點間、安全層面間、安全區(qū)域間各組成要素共同作用的結(jié)果，因此在完成單元測評后還應(yīng)該進行整體測評。整體測評主要是考慮單元測評中的各控制點間、安全層面間、安全區(qū)域間存在某種關(guān)聯(lián)性，這種關(guān)聯(lián)會對信息系統(tǒng)整體的安全防護效力、面臨的風險具有降低或增加的作用，應(yīng)從整體角度對信息系統(tǒng)安全的狀態(tài)進行修正。

（3）風險分析結(jié)果是制訂信息安全系統(tǒng)防護措施的重要依據(jù)，風險分析能力是體現(xiàn)信息安全工程師水平的一項重要指標。在風險分析實訓項目中結(jié)合單元測評和整體測評結(jié)果利用風險分析計算工具對信息系統(tǒng)面臨的風險等級大小進行定性或定量的分析計算，并編寫風險分析報告。

（4）確定信息系統(tǒng)存在的風險后，接著應(yīng)分析引起信息系統(tǒng)風險的因素，對不可接受風險因素或不能滿足等級保護要求的安全防護項提出完整的問題處置和整改建議。問題處置和整改建議環(huán)節(jié)要求信息安全工程技術(shù)人員具備扎實理論知識的同時還具備相當豐富的實踐經(jīng)驗，工程技術(shù)人員必須熟悉信息安全的各種防護技術(shù)和目前市場上相關(guān)的信息安全軟硬件安全產(chǎn)品。因此，本實訓項目主要是訓練并提高學生綜合運用信息安全技術(shù)解決實際問題的能力。

4結(jié)語

在信息安全專業(yè)的實踐教學中引入信息安全等級保護內(nèi)容，實訓教學知識體系完全參照信息安全等級保護要求來構(gòu)建，信息安全等級保護知識體系完善，保證了實訓內(nèi)容的廣度和深度。通過信息安全等級保護現(xiàn)場測評環(huán)節(jié)訓練學生的信息安全技術(shù)基本操作技能，通過信息安全等級保護測評報告的編制訓練學生運用信息安全等級保護基本知識、理論和方法去分析信息系統(tǒng)存在的漏洞、面臨的安全風險，并編制符合信息安全等級保護要求的安全防護方案，提高學生綜合運用信息安全技術(shù)解決實際問題的能力，較好地滿足了社會對信息安全人才的需求，深受信息安全等級保護技術(shù)服務(wù)機構(gòu)和已開展或擬開展信息系統(tǒng)安全等級保護的企事業(yè)及機關(guān)單位的歡迎，為學生畢業(yè)后盡快適應(yīng)工作要求奠定了基礎(chǔ)。

由于實驗環(huán)境的限制，所制訂的基于信息安全等級保護的實訓教學知識體系仍存在以下3點不足：①實訓教學體系未涉及虛擬化、云計算、物聯(lián)網(wǎng)安全實訓，而這些是當前發(fā)展較快且正被廣泛運用的信息技術(shù)；②由于滲透測試對測試環(huán)境搭建和學生基本技能要求較高，因而實訓教學體系中并未涉及滲透測試項目；③信息安全管理在信息安全防護工作中是非常重要但卻最容易被忽視的工作內(nèi)容，可以說一個組織的信息安全管理水平高低直接決定其信息系統(tǒng)的安全防護能力。因為安全管理測評基本上采用的是制度類、證據(jù)類、記錄類文檔性資料的核查和訪談，而在實訓中難以模擬一個完整的安全管理體系實際案例，所以在實訓中安全管理部分更多地是采用課堂教學講解，沒有操作實訓。 這些在后續(xù)教學實踐工作中都有待改進。

參考文獻參考文獻：

[1]楊冬曉，嚴曉浪，于慧敏.信息類特色專業(yè)建設(shè)的若干實踐[J].中國電子教育，2010（1）：3945.

[2]田秀霞.創(chuàng)新實踐項目驅(qū)動的信息安全專業(yè)教學改革[J].計算機教育，2015（23）：3033.

[3]張勝生，呂緒銀.基于信息安全場景下的等級保護技術(shù)人才培養(yǎng)模式研究[C].第二屆全國信息安全等級保護測評體系建設(shè)會議論文集，2012：8385.

[4]李琳，陳東方，李濤，等.信息安全專業(yè)實踐教學體系研究[J].電腦知識與技術(shù).2014，10（35）：85148515.

[5]蔣煒.信息安全等級保護培訓探討[J].現(xiàn)代企業(yè)研究，2015（2）：64.

[6]公安部信息安全等級保護評估中心.信息安全等級保護政策培訓教程[M].北京：電子工業(yè)出版社，2015.

[7]公安部信息安全等級保護評估中心.信息安全等級測評師培訓教程（中級） [M].北京：電子工業(yè)出版社，2015.

[8]公安部信息安全等級保護評估中心.信息安全等級測評師培訓教程（初級） [M].北京：電子工業(yè)出版社，2015.

網(wǎng)絡(luò)安全等級保護評估范文第5篇

持續(xù)推動的等級保護

信息化技術(shù)標準委員會副主任委員崔書昆認為，在基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全嚴重關(guān)系到國家安全、社會穩(wěn)定以及人民群眾切身利益的今天，信息安全問題已然成為事關(guān)全局的戰(zhàn)略性問題。近年來，有關(guān)部門圍繞信息安全保障體系建設(shè)，在信息安全等級保護、風險評估、標準制定、產(chǎn)品開發(fā)及打擊各種網(wǎng)絡(luò)違法犯罪活動等方面取得了積極進展。在這種情勢下，將信息安全等級保護確定為提高國家信息安全保障能力，維護國家安全、社會穩(wěn)定和公共利益的一項基本制度，是非常必要的。

可以這樣理解，我國信息安全各項工作快速推進，信息安全風險評估工作和保障體系建設(shè)、信息安全管理工作、信息安全法制化和規(guī)范化建設(shè)、信息化基礎(chǔ)設(shè)施和體系建設(shè)取得了重要的成效。特別是從2007年7月20號開始，全國重要信息系統(tǒng)定級工作已經(jīng)開始，并在各行業(yè)、各部門、各單位的支持下，取得了豐碩的成果。

從2008年開始，公安部會同國家保密局等部門，在重要信息系統(tǒng)定級工作的基礎(chǔ)之上，部署和開展深入推進信息安全等級保護工作，它主要分為三個方面：

第一，依據(jù)國家行業(yè)標準，從管理和技術(shù)兩個方面，開展信息系統(tǒng)安全建設(shè)整改，建立并落實安全管理制度，落實安全責任制。

第二，根據(jù)等級保護標準開展風險評估、災(zāi)難備份、應(yīng)急處置、安全檢查等工作。

第三，對信息系統(tǒng)應(yīng)用的一些重要單位，開展等級保護工作檢查。

公安部網(wǎng)絡(luò)安全保衛(wèi)局郭啟全處長說：“目前全國范圍內(nèi)，大規(guī)模的重要系統(tǒng)定級工作已經(jīng)基本完成，相關(guān)資料目前集中到公安部進行管理。定級工作的主要成效是了解重要信息系統(tǒng)的底數(shù)，掌握國家信息安全的基本情況，為全面貫徹落實信息安全等級保護制度，推動國家信息安全保障等工作的深入發(fā)展奠定堅實的基礎(chǔ)。同時，某些地方、企業(yè)或者單位沒有完成定級工作，但會納入到我們下一階段的檢查工作當中完成。另外，有些企業(yè)會隨后逐步執(zhí)行該工作，不會影響國家等級保護制度的大規(guī)模推動?！?/p>

實施等級保護，充分體現(xiàn)了“適度安全、保護重點”的目的，可以把國家的重要網(wǎng)絡(luò)、重要系統(tǒng)挑出來，把國家有限的精力、財力投入到信息保護當中去，提高國家基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的安全保護水平，同時提高信息安全保障工作的整體水平。

奧運留下的財富

“2008年北京奧運會的信息網(wǎng)絡(luò)安全工作給我們留下了很多財富?！惫鶈⑷?jīng)說過，奧運會對我們國家的信息網(wǎng)絡(luò)安全工作進行了一次大考。它既考驗了我們國家信息網(wǎng)絡(luò)安全的工作，同時也考驗了等級保護主管部門、公安部和很多部委的行業(yè)主管部門的信息安全工作。在這次大考中，各部門均表現(xiàn)得很優(yōu)秀。在北京奧運會期間，無論是核心網(wǎng)絡(luò)還是信息系統(tǒng)，都遭受了大規(guī)模的攻擊和入侵，卻沒有出現(xiàn)相關(guān)安全事故，支撐北京奧運會順利舉辦，這是我國信息網(wǎng)絡(luò)安全領(lǐng)域經(jīng)歷的考驗。

實際上，奧運會取得的經(jīng)驗和公安部下一步等級保護工作之間存在密切的相關(guān)性。公安部和有關(guān)部委會借鑒奧運會信息安全網(wǎng)絡(luò)經(jīng)驗，充分利用好奧運留下的財富，進一步開展今后的工作。

記者了解到，在北京奧運會之前，成立了以公安部牽頭的包括海關(guān)、銀行、廣電等14個部委參加的信息網(wǎng)絡(luò)安全指揮部。由于有了這樣的指揮部，使得各項工作的落實有了一個組織保障。如果沒有這個指揮部，大家各干各的，在北京奧運會期間便無法保證重要系統(tǒng)和網(wǎng)絡(luò)的安全。

在2008年，國家安全的核心問題便是保障奧運的安全，奧運安全采取的第一個措施就是等級保護。郭啟全介紹說：“公安部把奧運核心網(wǎng)絡(luò)和涉及奧運會的系統(tǒng)都定級、備案，針對風險和重要性搞等級測評和風險評估，反復(fù)查找問題、漏洞、脆弱性和安全風險。從歷史經(jīng)驗來看，總會有一些黑客試圖攻擊奧運系統(tǒng)。所以，在這些黑客攻擊之前，我們就需要開始做嚴格的攻擊性自測。找到問題后進行系統(tǒng)加固，并且是有針對性地進行加固。這種安全建設(shè)、整改、加固還有等級測評，提升了我們的系統(tǒng)防范能力。”

郭啟全強調(diào)：“我們當時還專門針對北京奧運會提出了風險評估的指南。北京奧運會期間最大的風險是什么？其實就是來自黑客的攻擊破壞，所以搞風險評估要針對最大的風險去做。舉個例子，我到國家體育總局去了三次，就是研究他們的網(wǎng)絡(luò)安全問題、網(wǎng)站安全問題，這就有針對性，搞等級保護、風險評估非常有針對性。這使得我們的風險找得準，漏洞找得準，問題找得準，因此相關(guān)措施就有針對性?！?/p>

2009年的新工作

中國工程院院士沈昌祥指出，目前我國信息與網(wǎng)絡(luò)安全的防護能力還處于發(fā)展的初級階段，有些應(yīng)用系統(tǒng)處于不設(shè)防狀態(tài)。國防科技大學的一項研究表明，我國與互聯(lián)網(wǎng)相連的網(wǎng)絡(luò)管理中心有95%都遭到過境內(nèi)外黑客的攻擊或侵入，其中銀行、金融和證券機構(gòu)是攻擊重點。

由于奧運網(wǎng)絡(luò)和信息系統(tǒng)開展了等級保護工作，并對等級保護工作的政策標準、工作環(huán)節(jié)進行了檢驗，所以等級保護下一步的工作部署將充分借鑒北京奧運會的經(jīng)驗，健全完善等級保護領(lǐng)導(dǎo)體制和協(xié)調(diào)配合機制，例如等級保護原來有些領(lǐng)導(dǎo)體制可能還要進行補充，明確重點工作對象，比如說拿三級系統(tǒng)作為重點工作對象。

郭啟全說：“我們會嚴格落實責任制，認真抓好三點工作，計劃三年內(nèi)完成安全系統(tǒng)的整改工作，總的目標就是：能力提高，事故降低，等級保護制度得到落實，國家信息網(wǎng)絡(luò)安全基本得到保障。”

開展的重點工作主要分為三個方面。第一個方面是全面開展等級保護安全建設(shè)整改工作，要建設(shè)安全設(shè)施，落實安全措施，建立并落實安全管理制度，落實責任制。第二個方面是各單位建立安全整改工作規(guī)劃，完成定級系統(tǒng)整改規(guī)劃和制定具體實施方案。第三個方面是以三級以上系統(tǒng)為重點，確定安全需求，制定安全方案?！爱斎?，一些單位可能不太明白具體的操作辦法，屆時我們會選擇有代表性的信息系統(tǒng)進行安全建設(shè)試點、示范，結(jié)合行業(yè)特點制定行業(yè)標準規(guī)范，按照有關(guān)工作實施的規(guī)范要求組織實施信息系統(tǒng)安全建設(shè)工程?！?/p>