前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網(wǎng)絡(luò)安全等級保護(hù)測評方法范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

網(wǎng)絡(luò)安全等級保護(hù)測評方法范文第1篇

[關(guān)鍵詞] 信息等級保護(hù)概述；中國石油；等級保護(hù)建設(shè)

[中圖分類號] TP391；X913.2 [文獻(xiàn)標(biāo)識碼] A [文章編號] 1673 - 0194（2013）05- 0057- 02

1 信息等級保護(hù)制度概述

信息安全等級保護(hù)制度是國家信息安全保障工作的基本制度，是促進(jìn)信息化健康發(fā)展的根本保障。其具體內(nèi)容包括：①對國家秘密信息，法人和其他組織及公民的專有信息以及公開信息，存儲、傳輸、處理這些信息的信息系統(tǒng)實(shí)行分等級安全保護(hù)、分等級監(jiān)管；②對信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級管理；③對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。信息安全等級保護(hù)配套政策體系及標(biāo)準(zhǔn)體系如圖1、圖2所示。

定條件的測評機(jī)構(gòu)開展等級測評；④建設(shè)整改：備案單位根據(jù)信息系統(tǒng)安全等級，按照國家政策、標(biāo)準(zhǔn)開展安全建設(shè)整改；⑤檢查：公安機(jī)關(guān)定期開展監(jiān)督、檢查、指導(dǎo)。

2 中國石油信息安全等級保護(hù)制度建設(shè)

中國石油信息化建設(shè)處于我國大型企業(yè)領(lǐng)先地位，在國資委歷年信息化評比中都名列前茅。2007 年全國開展信息安全等級保護(hù)工作之后，中國石油認(rèn)真貫徹國家信息安全等級保護(hù)制度各項(xiàng)要求，全面開展信息安全等級保護(hù)工作。逐步建成先進(jìn)實(shí)用、完整可靠的信息安全體系，保障信息化建設(shè)和應(yīng)用，支撐公司業(yè)務(wù)發(fā)展和總體戰(zhàn)略的實(shí)施，使中國石油的信息安全保障能力顯著提高。主要采取的措施有以下幾個(gè)方面：

（1）以信息安全等級保護(hù)工作為契機(jī) ， 全面梳理業(yè)務(wù)系統(tǒng)并定級備案。中國石油根據(jù)國家信息安全等級保護(hù)制度要求，建立自上而下的工作組織體系，明確信息安全責(zé)任部門，對中國石油統(tǒng)一建設(shè)的應(yīng)用系統(tǒng)進(jìn)行等級保護(hù)定級和備案，通過制定《中國石油天然氣集團(tuán)公司重要信息系統(tǒng)安全等級保護(hù)定級實(shí)施暫行意見》，加強(qiáng)桌面安全、網(wǎng)絡(luò)安全、身份認(rèn)證等安全基礎(chǔ)防護(hù)工作，加快開展重要信息系統(tǒng)的等級測評和安全建設(shè)整改工作，進(jìn)一步提高信息系統(tǒng)的安全防御能力，提高系統(tǒng)的可用性和安全性。在全面組織開展信息系統(tǒng)等級保護(hù)定級備案工作之后，聘請專業(yè)測評機(jī)構(gòu)，及時(shí)開展等級測評、安全檢查和風(fēng)險(xiǎn)評估工作，并通過等級測評工作查找系統(tǒng)的不足和安全隱患，制訂安全整改方案，開展安全整改和加固改造，保障信息系統(tǒng)持續(xù)安全穩(wěn)定運(yùn)行。

（2）以信息安全等級保護(hù)工作為抓手 ， 全面推動中國石油信息安全體系建設(shè)。中國石油以信息安全等級保護(hù)工作為抓手，完善信息安全整體解決方案，建立技術(shù)保障體系、管理保障體系和控制保障體系。采用分級、分域的縱深防御理念，將桌面安全、身份認(rèn)證、網(wǎng)絡(luò)安全、容災(zāi)等相關(guān)技術(shù)相互結(jié)合，建立統(tǒng)一的安全監(jiān)控平臺和安全運(yùn)行中心，實(shí)現(xiàn)對應(yīng)用系統(tǒng)的授權(quán)訪問、桌面計(jì)算機(jī)的安全控制、網(wǎng)絡(luò)流量的異常監(jiān)控、惡意軟件與攻擊行為的及時(shí)發(fā)現(xiàn)與防御、業(yè)務(wù)與數(shù)據(jù)安全保障等功能，顯著提高抵御外部和內(nèi)部信息安全威脅的能力。建立了總部、區(qū)域網(wǎng)絡(luò)中心、企事業(yè)單位三級信息系統(tǒng)安全運(yùn)維隊(duì)伍；采用集中管理、分級維護(hù)的管理模式，網(wǎng)絡(luò)與安全運(yùn)維人員采用授權(quán)方式，持證上崗，建立網(wǎng)絡(luò)管理員、安全管理員和安全審計(jì)員制度；初步建立起中國石油內(nèi)部信息安全風(fēng)險(xiǎn)評估隊(duì)伍，并于 2010 年完成地區(qū)公司的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估工作。

（3）建立重要信息系統(tǒng)應(yīng)急處置預(yù)案，完善災(zāi)難恢復(fù)機(jī)制。2008 年，中國石油了《網(wǎng)絡(luò)與信息安全突發(fā)事件專項(xiàng)應(yīng)急預(yù)案》，所有業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)管理、安全管理等都建立了應(yīng)急響應(yīng)處置預(yù)案和災(zāi)備系統(tǒng)，保障業(yè)務(wù)系統(tǒng)在遭遇突發(fā)事件時(shí)，能快速反應(yīng)并恢復(fù)業(yè)務(wù)系統(tǒng)可用性。通過災(zāi)難恢復(fù)項(xiàng)目研究，形成了現(xiàn)狀及風(fēng)險(xiǎn)分析、災(zāi)難恢復(fù)等級劃分、災(zāi)備部署策略分析和災(zāi)備部署方案四步法，劃分了信息系統(tǒng)災(zāi)難恢復(fù)等級，完善了災(zāi)難恢復(fù)機(jī)制。

（4）規(guī)劃信息安全運(yùn)行中心，建立重要信息系統(tǒng)安全監(jiān)控機(jī)制。中國石油規(guī)劃了信息安全運(yùn)行中心的建設(shè)方案，提出了信息安全運(yùn)行中心建設(shè)目標(biāo)，通過網(wǎng)絡(luò)運(yùn)行狀態(tài)、安全信息數(shù)據(jù)匯集、安全監(jiān)測分析功能和安全管理流程的有機(jī)整合，實(shí)現(xiàn)中國石油 信息安全狀況的可感知、可分析、可展示、可管理和可指揮，形成中國石油信息安全事件分析、風(fēng)險(xiǎn)分析、預(yù)警管理和應(yīng)急響應(yīng)處理一體化的技術(shù)支撐能力；通過完善安全運(yùn)行管理體系，將安全運(yùn)行管理組織、安全運(yùn)維管理流程和安全監(jiān)測預(yù)警系統(tǒng)三方面有機(jī)結(jié)合，實(shí)現(xiàn)事前預(yù)警防范、事中監(jiān)控處置、事后追溯定位的信息安全閉環(huán)運(yùn)行機(jī)制，形成中國石油統(tǒng)一的應(yīng)急指揮與協(xié)調(diào)調(diào)度能力，為中國石油信息安全保障奠定良好的基礎(chǔ)。

3 信息安全等級保護(hù)工作存在的不足及改進(jìn)建議

信息安全等級保護(hù)管理辦法 （公通字[2007]43號）正式標(biāo)志著全國范圍內(nèi)的信息安全等級保護(hù)工作開始，通過5年的努力，全國信息安全工作形成了以落實(shí)信息安全等級保護(hù)制度為核心，信息通報(bào)、應(yīng)急處理、技術(shù)研究、產(chǎn)業(yè)發(fā)展、網(wǎng)絡(luò)信任體系和標(biāo)準(zhǔn)化建設(shè)等工作快速發(fā)展的良好局面，重要行業(yè)部門的信息安全意識、重視程度、工作能力有了顯著提高。40余個(gè)重要行業(yè)出臺了100余份行業(yè)等級保護(hù)政策文件，20余個(gè)重要行業(yè)出臺了40余份行業(yè)等級保護(hù)標(biāo)準(zhǔn)，但同時(shí)存在著以下不足：

（1）對信息安全工作的認(rèn)識不到位，對重要信息系統(tǒng)安全保護(hù)缺乏應(yīng)有的重視。依據(jù)公安部相關(guān)資料統(tǒng)計(jì)，截至2012年6月，我國有18%的單位未成立信息安全工作領(lǐng)導(dǎo)機(jī)構(gòu)；21%的單位未落實(shí)信息安全責(zé)任部門，缺乏信息安全整體規(guī)劃；14個(gè)行業(yè)重要信息系統(tǒng)底數(shù)不清、安全保護(hù)狀況不明；12個(gè)行業(yè)未組織全行業(yè)信息安全專門業(yè)務(wù)培訓(xùn)，開展信息安全工作的思路和方法不得當(dāng)，措施不得力。20%的單位在信息系統(tǒng)規(guī)劃過程中，沒有認(rèn)真制定安全策略和安全體系規(guī)劃，導(dǎo)致安全策略不得當(dāng)；22%的信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)劃分不合理，核心業(yè)務(wù)區(qū)域部署位置不當(dāng)，業(yè)務(wù)應(yīng)用不合理，容易導(dǎo)致黑客入侵攻擊，造成網(wǎng)絡(luò)癱瘓，數(shù)據(jù)被竊取和破壞。34.6%的重要信息系統(tǒng)未配置專職安全管理人員，相關(guān)崗位設(shè)置不完整，安全管理人員身兼多職；48%的單位信息安全建設(shè)資金投入不足，導(dǎo)致重要信息系統(tǒng)安全加固和整改經(jīng)費(fèi)嚴(yán)重缺乏；27%的單位沒有針對安全崗位人員制訂相關(guān)的培訓(xùn)計(jì)劃，沒有組織開展信息安全教育和培訓(xùn)，安全管理、運(yùn)維技術(shù)人員能力較弱。

（2）重要信息系統(tǒng)未落實(shí)關(guān)鍵安全保護(hù)技術(shù)措施。重要信息系統(tǒng)未落實(shí)安全審計(jì)措施。在主機(jī)層面，有34.9%的信息系統(tǒng)沒有保護(hù)主機(jī)審計(jì)記錄，34.8%的信息系統(tǒng)沒有保護(hù)主機(jī)審計(jì)進(jìn)程，容易導(dǎo)致事故責(zé)任無法認(rèn)定，無法確定事故（事件）原因，影響應(yīng)急處理效率。38%的信息系統(tǒng)沒有落實(shí)對重要系統(tǒng)程序和文件進(jìn)行完整性檢測和自動恢復(fù)的技術(shù)措施，35%的信息系統(tǒng)沒有采取監(jiān)測重要服務(wù)器入侵行為的技術(shù)措施，容易使內(nèi)部網(wǎng)絡(luò)感染病毒，對攻擊行為無法進(jìn)行有效監(jiān)測和處置。

（3）我國信息技術(shù)與國外存在一定差距，安全專業(yè)化服務(wù)力量薄弱。具有我國自主知識產(chǎn)權(quán)的重要信息技術(shù)產(chǎn)品和核心技術(shù)水平還有待提高，依賴國外產(chǎn)品的情況還比較普遍；國內(nèi)信息安全專業(yè)化服務(wù)力量薄弱，安全服務(wù)能力不強(qiáng)，部分重要信息系統(tǒng)的關(guān)鍵產(chǎn)品維護(hù)和系統(tǒng)運(yùn)維依賴國外廠商，給重要信息系統(tǒng)安全留下了隱患。

為了有效提高我國企業(yè)信息安全水平，增加等級保護(hù)的可行性及執(zhí)行力，建議：①各企業(yè)開展以信息安全等級保護(hù)為核心的安全防范工作，提高網(wǎng)絡(luò)主動防御能力，并制訂應(yīng)急處置預(yù)案，加強(qiáng)應(yīng)急演練，提高網(wǎng)絡(luò)應(yīng)急處置能力。②加大人員和資金投入，提高保障能力。③國家層面加快關(guān)鍵技術(shù)研究和產(chǎn)品化，重視產(chǎn)品供應(yīng)鏈的安全可控。

主要參考文獻(xiàn)

[1]中國石油天然氣集團(tuán)公司. 中國石油天然氣集團(tuán)公司全面開展信息安全等級保護(hù)工作為信息化建設(shè)保駕護(hù)航[J].信息網(wǎng)絡(luò)安全，2012（1）.

網(wǎng)絡(luò)安全等級保護(hù)測評方法范文第2篇

關(guān)鍵詞：事業(yè)單位；網(wǎng)絡(luò)安全等級保護(hù)；部署建議

0引言

網(wǎng)絡(luò)安全等級保護(hù)制度是保障各事業(yè)單位網(wǎng)絡(luò)安全的重要方法，通過進(jìn)行網(wǎng)絡(luò)安全分級保護(hù)，可以高效解決目前事業(yè)單位所面臨的網(wǎng)絡(luò)安全問題，按照“重點(diǎn)優(yōu)先”的思想，將資源有的放矢地投入到網(wǎng)絡(luò)安全建設(shè)中，有助于快速夯實(shí)網(wǎng)絡(luò)安全等級保護(hù)的基礎(chǔ)。

1網(wǎng)絡(luò)安全等級保護(hù)定義

網(wǎng)絡(luò)安全等級保護(hù)是指對單位內(nèi)的秘密信息和專有信息以及可以公開的信息進(jìn)行分級保護(hù)，對信息系統(tǒng)中的防火墻進(jìn)行分級設(shè)置，對產(chǎn)生的網(wǎng)絡(luò)安全事件建立不同的響應(yīng)機(jī)制。這種保護(hù)制度共分為五個(gè)級別：自主保護(hù)、指導(dǎo)保護(hù)、監(jiān)督保護(hù)、強(qiáng)制保護(hù)、?？乇Ｗo(hù)。不同的信息擁有不同的機(jī)密性，就會有相應(yīng)的安全保護(hù)機(jī)制。近期，網(wǎng)絡(luò)安全等級保護(hù)制度2.0國家標(biāo)準(zhǔn)正式，這對加強(qiáng)網(wǎng)絡(luò)安全保衛(wèi)工作、提升網(wǎng)絡(luò)能力具有重大意義。

2網(wǎng)絡(luò)安全等級保護(hù)現(xiàn)狀分析

按照新的網(wǎng)絡(luò)安全等級保護(hù)要求，絕大多數(shù)單位在網(wǎng)絡(luò)安全技術(shù)和管理方面存在差距和盲點(diǎn)，網(wǎng)絡(luò)安全保障體系仍需完善。主要表現(xiàn)在以下幾個(gè)方面：（1）網(wǎng)絡(luò)安全管理工作有待進(jìn)一步加強(qiáng)在網(wǎng)絡(luò)安全管理制度方面存在不夠完善，對信息資產(chǎn)管理、服務(wù)外包管理等缺乏網(wǎng)絡(luò)安全方面有關(guān)要求。未建立體系化的內(nèi)部操作規(guī)程，而且對網(wǎng)絡(luò)安全管理和技術(shù)人員專業(yè)技能培訓(xùn)相對較少，網(wǎng)絡(luò)安全等級保護(hù)的定級、備案及測評等未開展。運(yùn)維工作的部分操作不規(guī)范，隨意性較強(qiáng)，對網(wǎng)絡(luò)、系統(tǒng)安全穩(wěn)定運(yùn)行造成風(fēng)險(xiǎn)。（2）網(wǎng)絡(luò)架構(gòu)存在安全隱患和較為明顯的脆弱性有的內(nèi)網(wǎng)連接，雖部署了防火墻進(jìn)行網(wǎng)絡(luò)訪問控制，但是部分防火墻缺乏安全配置及管理，訪問控制策略不嚴(yán)格，同時(shí)某些單位內(nèi)部網(wǎng)絡(luò)也缺乏分區(qū)和邊界控制措施，無法限制非授權(quán)用戶接入內(nèi)網(wǎng)和授權(quán)用戶濫用授權(quán)違規(guī)外聯(lián)外網(wǎng)的行為，部分單位發(fā)現(xiàn)終端跨接內(nèi)外網(wǎng)的現(xiàn)象，導(dǎo)致整個(gè)單位的內(nèi)網(wǎng)存在“一點(diǎn)接入，訪問全網(wǎng)，攻擊全網(wǎng)”的安全風(fēng)險(xiǎn)。（3）主機(jī)計(jì)算環(huán)境抵御攻擊能力較低主機(jī)服務(wù)器未及時(shí)更新系統(tǒng)安全補(bǔ)丁，導(dǎo)致存在比如MS17-010（永恒之藍(lán)）、弱口令等高危漏洞；部分服務(wù)器未部署防病毒軟件、病毒庫未更新，沒有惡意代碼防范措施，部分單位的終端感染木馬病毒，一旦被利用，可能導(dǎo)致內(nèi)部服務(wù)器主機(jī)大面積感染惡意程序等事件發(fā)生。（4）應(yīng)用系統(tǒng)安全防范措施缺失有的運(yùn)行在內(nèi)網(wǎng)應(yīng)用系統(tǒng)，存在高風(fēng)險(xiǎn)安全漏洞；在應(yīng)用系統(tǒng)身份鑒別、數(shù)據(jù)完整性、保密性保護(hù)等方面存在策略配置不足問題，結(jié)合其他安全風(fēng)險(xiǎn)，會帶來系統(tǒng)服務(wù)安全、數(shù)據(jù)安全等較嚴(yán)重的安全問題。（5）數(shù)據(jù)安全保護(hù)能力不足有的未對專網(wǎng)的重要數(shù)據(jù)進(jìn)行分級分類管理，數(shù)據(jù)安全保護(hù)措施缺失，專網(wǎng)中的數(shù)據(jù)庫普遍存在弱口令、遠(yuǎn)程代碼執(zhí)行漏洞等高危安全漏洞，極易被攻擊利用，大量的業(yè)務(wù)數(shù)據(jù)和敏感信息存在較高的安全風(fēng)險(xiǎn)。（6）物理安全基礎(chǔ)保障欠缺有的機(jī)房未對進(jìn)出人員進(jìn)行鑒別登記，易造成機(jī)房遭受惡意人員破壞，存在安全風(fēng)險(xiǎn)。有的機(jī)房未部署門禁系統(tǒng)，未安裝防盜報(bào)警系統(tǒng)等進(jìn)行盜竊防護(hù)。

3網(wǎng)絡(luò)安全等級保護(hù)部署建議

3.1構(gòu)建等保系統(tǒng)框架

根據(jù)安全等級保護(hù)的總體思想，提出如圖1的網(wǎng)絡(luò)安全管理體系架構(gòu)?！翱傮w安全策略”處于網(wǎng)絡(luò)安全管理體系的最高層級，是單位網(wǎng)絡(luò)安全管理體系的首要指導(dǎo)策略。“安全管理組織框架”位于網(wǎng)絡(luò)安全管理體系的第二層，負(fù)責(zé)建立該單位網(wǎng)絡(luò)安全管理組織框架。它既確保了信息系統(tǒng)運(yùn)行時(shí)資料不會被泄露，也塑造了一個(gè)能穩(wěn)定運(yùn)行信息系統(tǒng)的管理體系，保證網(wǎng)絡(luò)安全管理活動的有效開展?！鞍踩芾碇贫瓤蚣堋蔽挥诰W(wǎng)絡(luò)安全管理體系的第三層，分別從安全管理機(jī)構(gòu)及崗位職責(zé)、信息系統(tǒng)的硬件設(shè)備的安全管理、系統(tǒng)建設(shè)管理、安全運(yùn)行管理、安全事件處置和應(yīng)急預(yù)案管理等方面提出規(guī)范的安全管理要求。網(wǎng)絡(luò)安全管理體系的第四層描述的是如何進(jìn)行規(guī)范配置和具體的操作流程以及如何對運(yùn)行活動進(jìn)行記錄。從日常安全管理活動的執(zhí)行出發(fā)，對主要安全管理活動的具體配置、操作流程、執(zhí)行規(guī)范等各種各樣的安全管理活動做出具體操作指示，指導(dǎo)安全管理工作的具體執(zhí)行[1]。

3.2劃分安全域

根據(jù)安全等級保護(hù)系統(tǒng)總體架構(gòu)，重新劃分網(wǎng)絡(luò)安全域。各安全域安全管理策略應(yīng)遵循統(tǒng)一的基本要求，具體如下：（1）保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力滿足高峰期業(yè)務(wù)需求，通過網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)，避免存在網(wǎng)絡(luò)單點(diǎn)故障。（2）部署高效的防火墻設(shè)備，防止包括DDOS在內(nèi)的各類網(wǎng)絡(luò)攻擊；在通信網(wǎng)絡(luò)中部署IPS、入侵檢測系統(tǒng)、監(jiān)控探針等，監(jiān)視各種網(wǎng)絡(luò)攻擊行為。（3）在關(guān)鍵位置部署數(shù)據(jù)庫審計(jì)系統(tǒng)，對數(shù)據(jù)庫重要配置、操作、更改進(jìn)行審計(jì)記錄。（4）對于每一個(gè)訪問網(wǎng)絡(luò)的用戶將會進(jìn)行身份驗(yàn)證，確保配置管理的操作只有被賦予權(quán)限的網(wǎng)絡(luò)管理員才能進(jìn)行[2]。（5）部署流量檢測設(shè)備，通過Flow采集技術(shù)，建立流量圖式基線，根據(jù)應(yīng)用情況控制和分配流量。（6）增加除口令以外的技術(shù)措施，實(shí)現(xiàn)雙因素認(rèn)證[3]。（7）如需遠(yuǎn)程管理網(wǎng)絡(luò)設(shè)備和安全設(shè)備，應(yīng)采用加密方式，避免身份鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊取。（8）能夠及時(shí)有效阻斷接入網(wǎng)絡(luò)的非授權(quán)設(shè)備。

3.3控制安全邊界

基于部署的網(wǎng)絡(luò)安全軟硬件設(shè)備，設(shè)置相應(yīng)的安全規(guī)則，從而實(shí)現(xiàn)對安全邊界的控制管理。主要安全策略包括：（1）互聯(lián)網(wǎng)區(qū)域應(yīng)用安全：必須經(jīng)過邊界防火墻的邏輯隔離和安全訪問控制。（2）專網(wǎng)區(qū)域應(yīng)用安全：對于訪問身份和訪問權(quán)限有明顯界定，必須經(jīng)過邊界防火墻的邏輯隔離和安全訪問控制，其他區(qū)域和用戶都不允許直接訪問。（3）互聯(lián)網(wǎng)區(qū)域數(shù)據(jù)安全：只允許外部應(yīng)用域的應(yīng)用服務(wù)器訪問，其他區(qū)域用戶不能直接訪問。對數(shù)據(jù)域的訪問受到訪問身份和訪問權(quán)限的約束，必須經(jīng)邊界防火墻的邏輯隔離和安全訪問控制。（4）專網(wǎng)區(qū)域數(shù)據(jù)安全：只允許內(nèi)部應(yīng)用域的應(yīng)用服務(wù)器訪問，其他區(qū)域和用戶都不允許直接訪問。要訪問也必須具有受信的訪問身份和訪問權(quán)限。（5）互聯(lián)網(wǎng)區(qū)域和專網(wǎng)區(qū)域交互安全：對于內(nèi)外部之間的信息交互，采用數(shù)據(jù)擺渡和應(yīng)用協(xié)議相結(jié)合的方式進(jìn)行，嚴(yán)格控制雙網(wǎng)之間存在TCP/IP協(xié)議以及其他網(wǎng)絡(luò)協(xié)議的連接。（6）開發(fā)測試安全：開發(fā)測試域作為非信任區(qū)域，要求只能在受限的前提下進(jìn)行網(wǎng)絡(luò)訪問，必須經(jīng)過邊界防火墻的邏輯隔離和安全訪問控制。（7）密碼應(yīng)用安全：所有涉及密碼應(yīng)用的網(wǎng)絡(luò)安全設(shè)備，所采用的密碼算法必須為國密算法。（8）統(tǒng)一安全管理：防火墻、IDS、IPS、防病毒網(wǎng)關(guān)、網(wǎng)絡(luò)安全審計(jì)和數(shù)據(jù)庫安全審計(jì)系統(tǒng)的日志統(tǒng)一發(fā)送到安全管理區(qū)的安全管理平臺進(jìn)行分析。（9）終端安全管理：辦公設(shè)備統(tǒng)一部署終端安全管理系統(tǒng)，并能夠有效管理終端安全配置，準(zhǔn)入控制、防病毒功能，以及系統(tǒng)補(bǔ)丁升級。（10）設(shè)備知識產(chǎn)權(quán)：所涉及網(wǎng)絡(luò)安全設(shè)備的，必須是具有國產(chǎn)知識產(chǎn)權(quán)。

4總結(jié)

網(wǎng)絡(luò)安全等級保護(hù)工作事關(guān)重大，它是一個(gè)系統(tǒng)工程，需要各級人員多方面的協(xié)調(diào)合作。只有盡快補(bǔ)齊安全防護(hù)短板，才能切實(shí)提高一個(gè)單位的安全支撐能力、安全檢測能力、安全防護(hù)能力、應(yīng)急響應(yīng)能力和容災(zāi)恢復(fù)能力，從而更好地保障一個(gè)單位網(wǎng)絡(luò)安全建設(shè)的可持續(xù)發(fā)展。

參考文獻(xiàn)

[1]歐陽莎茜.運(yùn)用大數(shù)據(jù)制定園區(qū)安全環(huán)保用電策略的實(shí)例分析[D].西南交通大學(xué),2017.

網(wǎng)絡(luò)安全等級保護(hù)測評方法范文第3篇

關(guān)鍵詞：電子政務(wù)外網(wǎng)；等級保護(hù)測評；風(fēng)險(xiǎn)評估；風(fēng)險(xiǎn)評估模型

中圖分類號：TP311 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2014）34-8337-02

1 等級保護(hù)背景下的電子政務(wù)外網(wǎng)風(fēng)險(xiǎn)評估

電子政務(wù)外網(wǎng)提供非的社會公共服務(wù)業(yè)務(wù)，全國從中央各部委、到省、市、縣，已經(jīng)形成了一張大龐大的網(wǎng)絡(luò)系統(tǒng)，有的地方甚至覆蓋到了鄉(xiāng)鎮(zhèn)、社區(qū)村委會，有效提高了政府從事行政管理和社會公共服務(wù)效率。今后凡屬社會管理和公共服務(wù)范疇及不需在國家電子政務(wù)內(nèi)網(wǎng)上部署的業(yè)務(wù)應(yīng)用，原則上應(yīng)納入國家政務(wù)外網(wǎng)運(yùn)行，它按照國家政務(wù)外網(wǎng)統(tǒng)一規(guī)劃，建立網(wǎng)絡(luò)安全防護(hù)體系、統(tǒng)一的網(wǎng)絡(luò)信任體系和信息安全等級保護(hù)措施。

隨著政務(wù)外網(wǎng)的網(wǎng)絡(luò)覆蓋的擴(kuò)大及接入的政務(wù)單位越來越多、政務(wù)外網(wǎng)應(yīng)用的不斷增加，各級政務(wù)移動接入政務(wù)外網(wǎng)的需求也在增加，對政務(wù)外網(wǎng)的要求和期望越大，網(wǎng)絡(luò)安全和運(yùn)維的壓力也越大，責(zé)任也更大。由于政務(wù)外網(wǎng)與互聯(lián)網(wǎng)邏輯隔離，主要滿足各級政務(wù)部門社會管理、公共服務(wù)、市場監(jiān)管和經(jīng)濟(jì)調(diào)節(jié)等業(yè)務(wù)應(yīng)用及公務(wù)人員移動辦公、現(xiàn)場執(zhí)法等各類的需要，網(wǎng)絡(luò)和電子政務(wù)應(yīng)用也成為境外敵對勢力、黑客等攻擊目標(biāo)。隨著新技術(shù)的不斷涌現(xiàn)和大量使用，也對電子政務(wù)外網(wǎng)網(wǎng)絡(luò)的安全防護(hù)、監(jiān)控、管理等帶來新的挑戰(zhàn)。按照國家政務(wù)外網(wǎng)統(tǒng)一規(guī)劃，建立網(wǎng)絡(luò)安全防護(hù)體系、統(tǒng)一的網(wǎng)絡(luò)信任體系和信息安全等級保護(hù)措施是必須的。

為保障電子政務(wù)外網(wǎng)的安全有效運(yùn)行，我們應(yīng)以風(fēng)險(xiǎn)管理理念來統(tǒng)籌建設(shè)網(wǎng)絡(luò)和信息安全保障體系。在國家信息系統(tǒng)安全等級保護(hù)的大背景下，2011年國家信息中心下發(fā)了《關(guān)于加快推進(jìn)國家電子政務(wù)外網(wǎng)安全等級保護(hù)工作的通知》，強(qiáng)化了電子政務(wù)外網(wǎng)的等級保護(hù)制度以及等級測評要求，要求對政務(wù)外網(wǎng)開展等級測評，全面了解和掌握安全問題、安全保護(hù)狀況及與國家安全等級保護(hù)制度相關(guān)要求存在的差距，分析其中存在的安全風(fēng)險(xiǎn)，并根據(jù)風(fēng)險(xiǎn)進(jìn)行整改[1]。

系統(tǒng)安全測評、風(fēng)險(xiǎn)評估、等級測評都是信息系統(tǒng)安全的評判方法[2，3]，其實(shí)它們本沒有本質(zhì)的區(qū)別，目標(biāo)都是一樣的，系統(tǒng)安全測評從系統(tǒng)整體來對系統(tǒng)的安全進(jìn)行判斷，風(fēng)險(xiǎn)評估從風(fēng)險(xiǎn)管理的角度來對系統(tǒng)的安全狀況進(jìn)行評判，而等級測評則是從等級保護(hù)的角度對系統(tǒng)的安全進(jìn)行評判。不管是系統(tǒng)安全測評[1]、風(fēng)險(xiǎn)評估、等級測評，風(fēng)險(xiǎn)的風(fēng)險(xiǎn)與計(jì)算都是三者必不可少的部分。

2 電子政務(wù)主要風(fēng)險(xiǎn)評估方法簡介

電子政務(wù)外網(wǎng)風(fēng)險(xiǎn)評估有自評估、檢查評估、第三方評估（認(rèn)證）評估模式，都需利用一定的風(fēng)險(xiǎn)評估方法來進(jìn)行相關(guān)風(fēng)險(xiǎn)的評估。從總體上來講，主要有定量評估、定性評估兩類。在進(jìn)行電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評估過程中，采用的主要風(fēng)險(xiǎn)評估方法有：OCTAVE、SSE-CMM、FAT（故障樹方法）、AHP （層次分析）以及因素分析法、邏輯分析法、德爾菲法、聚類分析法、決策樹法、時(shí)許模型、回歸模型等方法。研究風(fēng)險(xiǎn)評估模型的方法可以運(yùn)用馬爾可夫法、神經(jīng)網(wǎng)絡(luò)、模糊數(shù)學(xué)、決策樹、小波分析等[4-6]。OCTAVE 方法是一個(gè)系統(tǒng)的方法，它從系統(tǒng)的高度來進(jìn)行信息安全的安全防護(hù)工作，評估系統(tǒng)的安全管理風(fēng)險(xiǎn)、安全技術(shù)風(fēng)險(xiǎn)，它提高了利用自評估的方式制定安全防范措施的能力。它通過分析重要資產(chǎn)的安全價(jià)值、脆弱性、威脅的情況，制定起風(fēng)險(xiǎn)削減計(jì)劃，降低重要資產(chǎn)的安全風(fēng)險(xiǎn)。電子政務(wù)外網(wǎng)需要從實(shí)際出發(fā)，不能照搬其它評估方法，根據(jù)電子政務(wù)外網(wǎng)實(shí)際，本設(shè)計(jì)基于OCTAVE 評估模型，設(shè)計(jì)了一個(gè)電子政務(wù)外網(wǎng)風(fēng)險(xiǎn)分析計(jì)算模型。

3 基于OCTAVE模型的一個(gè)電子政務(wù)外網(wǎng)風(fēng)險(xiǎn)計(jì)算模型設(shè)計(jì)

3.1 風(fēng)險(xiǎn)評估中的資產(chǎn)、威脅、脆弱性賦值的設(shè)計(jì)

保密性、完整性和可用性是評價(jià)資產(chǎn)的三個(gè)安全屬性。風(fēng)險(xiǎn)評估中的資產(chǎn)價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來衡量，而是由資產(chǎn)在這三個(gè)安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度來決定的。

資產(chǎn)價(jià)值應(yīng)依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級，經(jīng)過綜合評定得出。綜合評定方法可以根據(jù)自身的特點(diǎn)，選擇對資產(chǎn)保密性、完整性和可用性最為重要的一個(gè)屬性的賦值等級作為資產(chǎn)的最終賦值結(jié)果；也可以根據(jù)資產(chǎn)保密性、完整性和可用性的不同等級對其賦值進(jìn)行加權(quán)計(jì)算得到資產(chǎn)的最終賦值結(jié)果。本設(shè)計(jì)模型根據(jù)電子政務(wù)外網(wǎng)的業(yè)務(wù)特點(diǎn)，依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級進(jìn)行加權(quán)計(jì)算（保密性α+完整性β+和可用性γ），α、β、γ為權(quán)重系數(shù)，權(quán)重系數(shù)的確定可以采用專家咨詢法、信息商權(quán)法、獨(dú)立性權(quán)數(shù)等。本設(shè)計(jì)方案采用專家咨詢法。資產(chǎn)、威脅、脆弱性的賦值可以從0-10，賦值越高，等級越高。

脆弱性識別是風(fēng)險(xiǎn)評估中最重要的一個(gè)環(huán)節(jié)。脆弱性是資產(chǎn)本身存在的，如果沒有被相應(yīng)的威脅利用，單純的脆弱性本身不會對資產(chǎn)造成損害。脆弱性識別的依據(jù)可以是國際或國家安全標(biāo)準(zhǔn)，也可以是行業(yè)規(guī)范等，如國家信息安全漏洞共享平臺（CNVD）漏洞通報(bào)、CVE漏洞、微軟漏洞通報(bào)等。

資產(chǎn)、威脅、脆弱性的識別與賦值依賴于專家對三者的理解，不同的人員對三者的賦值可能不同，甚至差別很大，可能會不能真實(shí)的反映實(shí)際情況。為了識別與賦值能準(zhǔn)確反映實(shí)際情況，可以采用一定的方法來進(jìn)行修正。本設(shè)計(jì)采用頭腦風(fēng)暴法、德爾菲法去獲取資產(chǎn)、威脅、脆弱性并賦值、最后采用群體決策方法確定資產(chǎn)、威脅、脆弱性的識別與賦值。這樣發(fā)揮了三個(gè)方法的特點(diǎn)，得到的賦值準(zhǔn)確性大大提高。

判斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容，評估者應(yīng)根據(jù)經(jīng)驗(yàn)和（或）有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來進(jìn)行判斷[7]。判斷威脅出現(xiàn)的頻率是可能性分析的重要內(nèi)容，如果僅僅從近一兩年來各種國內(nèi)、國際組織的對于整個(gè)社會或特定行業(yè)的威脅及其頻率統(tǒng)計(jì)，以及的威脅預(yù)警等來判斷是不太準(zhǔn)確的，因?yàn)樗鼪]有與具體的電子政務(wù)外網(wǎng)應(yīng)用實(shí)際聯(lián)系起來，實(shí)際環(huán)境中通過檢測工具（如IPS等）以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計(jì)也應(yīng)該考慮進(jìn)去。

本設(shè)計(jì)模型采用綜根據(jù)經(jīng)驗(yàn)和（或）有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來進(jìn)行判斷，并結(jié)合具體電子政務(wù)外網(wǎng)實(shí)際，從歷史生產(chǎn)系統(tǒng)的IPS等獲取各種威脅及其頻率的統(tǒng)計(jì)，并采用馬兒可夫方法計(jì)算出某個(gè)時(shí)段內(nèi)某個(gè)威脅發(fā)生的概率。馬爾可夫方法是一種定量的方法，具有無后效性的特點(diǎn)，適用于計(jì)算實(shí)時(shí)的動態(tài)信息系統(tǒng)威脅發(fā)生概率。它利用IPS等統(tǒng)計(jì)某一時(shí)段的發(fā)生了哪些威脅，構(gòu)建出各種威脅之間的狀態(tài)轉(zhuǎn)移圖，使用馬爾可夫方法計(jì)算出該時(shí)段內(nèi)某個(gè)威脅發(fā)生的概率。計(jì)算出的威脅發(fā)生概率結(jié)果可以進(jìn)行適當(dāng)?shù)奈⒄{(diào)，該方法要求記錄的樣本具有代表性。

3.2 風(fēng)險(xiǎn)計(jì)算模型設(shè)計(jì)

通常風(fēng)險(xiǎn)值計(jì)算涉及的風(fēng)險(xiǎn)要素為資產(chǎn)、威脅、和脆弱性。 在完成了資產(chǎn)識別、威脅識別、脆弱性識別，以及已有安全措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，并綜合安全事件所作用的資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度，判斷安全事件造成的損失對組織的影響，即安全風(fēng)險(xiǎn)計(jì)算。

風(fēng)險(xiǎn)值=R（資產(chǎn)，威脅，脆弱性）= R（可能性（威脅，脆弱性），損失（資產(chǎn)價(jià)值，脆弱性嚴(yán)重程度））?？筛鶕?jù)自身電子政務(wù)外網(wǎng)實(shí)際情況選擇相應(yīng)的風(fēng)險(xiǎn)計(jì)算方法計(jì)算風(fēng)險(xiǎn)值，如目前最常用的矩陣法或相乘法等。矩陣法主要用于兩個(gè)要素值確定一個(gè)要素值的情形，相乘法主要用于兩個(gè)或多個(gè)要素值確定一個(gè)要素值的情形。

本設(shè)計(jì)模型采用風(fēng)險(xiǎn)計(jì)算矩陣方法。矩陣法通過構(gòu)造一個(gè)二維矩陣，形成安全事件的可能性與安全事件造成的損失之間的二維關(guān)系；相乘法通過構(gòu)造經(jīng)驗(yàn)函數(shù)，將安全事件的可能性與安全事件造成的損失進(jìn)行運(yùn)算得到風(fēng)險(xiǎn)值。

在使用矩陣法分別計(jì)算出某個(gè)資產(chǎn)對應(yīng)某個(gè)威脅i，某個(gè)脆弱性j的風(fēng)險(xiǎn)系數(shù)[Ri，j]，還應(yīng)對某個(gè)資產(chǎn)的總體安全威脅風(fēng)險(xiǎn)值進(jìn)行計(jì)算，某個(gè)資產(chǎn)總體風(fēng)險(xiǎn)威脅風(fēng)險(xiǎn)=Max（[Ri，j]），i，j=1，2，3…。組織所有資產(chǎn)的威脅風(fēng)險(xiǎn)值為所有資產(chǎn)的風(fēng)險(xiǎn)值之和。

3.3 對風(fēng)險(xiǎn)計(jì)算模型的改進(jìn)

在風(fēng)險(xiǎn)值=R（A，T，V）的計(jì)算模型中，由資產(chǎn)賦值、危險(xiǎn)、脆弱性三元組計(jì)算出風(fēng)險(xiǎn)值， 并沒有把安全防護(hù)措施因素對風(fēng)險(xiǎn)計(jì)算的影響考慮在內(nèi)，該文把風(fēng)險(xiǎn)值=R（A，T，V）改進(jìn)為風(fēng)險(xiǎn)值=R（A，T，V，P），其中P為安全防護(hù)措施因素。P因素不僅影響安全事件的可能性，也影響安全事件造成的損失，把上面的公式改進(jìn)為風(fēng)險(xiǎn)值=R（L（T，V，P），F(xiàn)（Ia，Va，P ））。對于L（T，V，P），F(xiàn)（Ia，Va，P ）的計(jì)算可以采用相乘法等。如果采用矩陣法，對L（T，V，P）的可以拆分計(jì)算L（T，V，P）=L（L（T，V），L（V，P））。

在計(jì)算出單個(gè)資產(chǎn)對應(yīng)某個(gè)脆弱性、某個(gè)威脅、某個(gè)防護(hù)措施后的風(fēng)險(xiǎn)值后，還應(yīng)總體上計(jì)算組織內(nèi)整體資產(chǎn)面臨的整體風(fēng)險(xiǎn)。單個(gè)風(fēng)險(xiǎn)（一組風(fēng)險(xiǎn)）對其它風(fēng)險(xiǎn)（一組風(fēng)險(xiǎn)）的影響是必須考慮的，風(fēng)險(xiǎn)之間的影響有風(fēng)險(xiǎn)之間的疊加、消減等。有必要對風(fēng)險(xiǎn)的疊加效應(yīng)、疊加原理、疊加模型進(jìn)行研究。

3.4 風(fēng)險(xiǎn)結(jié)果判定

為實(shí)現(xiàn)對風(fēng)險(xiǎn)的控制與管理，可以對風(fēng)險(xiǎn)評估的結(jié)果進(jìn)行等級化處理?？蓪L(fēng)險(xiǎn)劃分為10，等級越高，風(fēng)險(xiǎn)越高。

風(fēng)險(xiǎn)等級處理的目的是為風(fēng)險(xiǎn)管理過程中對不同風(fēng)險(xiǎn)的直觀比較，以確定組織安全策略。組織應(yīng)當(dāng)綜合考慮風(fēng)險(xiǎn)控制成本與風(fēng)險(xiǎn)造成的影響，提出一個(gè)可接受的風(fēng)險(xiǎn)范圍。對某些資產(chǎn)面臨的安全風(fēng)險(xiǎn)，如果風(fēng)險(xiǎn)計(jì)算值在可接受的范圍內(nèi)，則該風(fēng)險(xiǎn)是可接受的，應(yīng)保持已有的安全措施；如果風(fēng)險(xiǎn)計(jì)算值高于可接受范圍的上限值，則該風(fēng)險(xiǎn)是不可接受的，需要采取安全措施以降低、控制或轉(zhuǎn)移風(fēng)險(xiǎn)。另一種確定不可接受的風(fēng)險(xiǎn)的辦法是根據(jù)等級化處理的結(jié)果，不設(shè)定可接受風(fēng)險(xiǎn)值的基準(zhǔn)，對達(dá)到相應(yīng)等級的風(fēng)險(xiǎn)都進(jìn)行處理。

參考文獻(xiàn)：

[1] 國家電子政務(wù)外網(wǎng)管理中心.關(guān)于加快推進(jìn)國家電子政務(wù)外網(wǎng)安全等級保護(hù)工作的通知[政務(wù)外網(wǎng)[2011]15號][Z].2011.

[2] 等級保護(hù)、風(fēng)險(xiǎn)評估和安全測評三者之間的區(qū)別與聯(lián)系[EB/OL].http：///faq/faq.php？lang=cn&itemid=23.

[3] 趙瑞穎.等級保護(hù)、風(fēng)險(xiǎn)評估、安全測評三者的內(nèi)在聯(lián)系及實(shí)施建議[C].第二十次全國計(jì)算機(jī)安全學(xué)術(shù)交流會論文集，2005.

[4] 李煜川.電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評估研究――以數(shù)字檔案館為例[D].蘇州：蘇州大學(xué)，2011.

[5] 陳濤，馮平，朱多剛.基于威脅分析的電子政務(wù)信息安全風(fēng)險(xiǎn)評估模型研究[J].情報(bào)雜志，2011（8）：94-99.

網(wǎng)絡(luò)安全等級保護(hù)測評方法范文第4篇

對系統(tǒng)自我定級

長城資產(chǎn)管理公司是國有獨(dú)資的金融企業(yè)，在業(yè)務(wù)高速發(fā)展的同時(shí)，一直非常重視信息安全體系的建設(shè)，早期已經(jīng)部署了 “老三樣”信息安全產(chǎn)品，即網(wǎng)絡(luò)防病毒、防火墻和網(wǎng)絡(luò)入侵檢測產(chǎn)品，對保障業(yè)務(wù)系統(tǒng)的安全正常運(yùn)轉(zhuǎn)起到了重要作用。

公司綜合經(jīng)營管理系統(tǒng)經(jīng)過四期建設(shè)，實(shí)現(xiàn)了數(shù)據(jù)集中和管理集中，為公司收購、管理與處置政策性不良資產(chǎn)以及商業(yè)化經(jīng)營等業(yè)務(wù)的順利開展提供了完整的業(yè)務(wù)操作平臺。

根據(jù)《信息系統(tǒng)安全等級保護(hù)定級指南》中對信息系統(tǒng)的要求，長城資產(chǎn)管理公司考慮到綜合經(jīng)營管理系統(tǒng)是公司的核心業(yè)務(wù)系統(tǒng)，一旦受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害，因此，公司確定首要的工作是設(shè)定系統(tǒng)的保護(hù)級別。經(jīng)過綜合審核，最終將系統(tǒng)保護(hù)級別定為3級，并形成了等級保護(hù)定級報(bào)告，這在資產(chǎn)管理公司里屬于首家。

對定級進(jìn)行測評

系統(tǒng)定級之后，公司做了備案，同時(shí)申請等級保護(hù)的主管單位進(jìn)行現(xiàn)場測評。北京等級保護(hù)辦公室作為這次測評的主管和實(shí)施單位，根據(jù)等級保護(hù)3級基本要求對綜合經(jīng)營管理系統(tǒng)進(jìn)行測評?，F(xiàn)場測評工作主要包括跟綜合經(jīng)營管理系統(tǒng)相關(guān)的各個(gè)層面，在網(wǎng)絡(luò)層面進(jìn)行網(wǎng)絡(luò)設(shè)備安全配置檢查和安全系統(tǒng)部署；在主機(jī)層面進(jìn)行主機(jī)系統(tǒng)的安全配置檢查和數(shù)據(jù)庫系統(tǒng)安全檢查；在數(shù)據(jù)安全方面進(jìn)行了數(shù)據(jù)完整性、機(jī)密性和可用性的檢查;在管理方面進(jìn)行安全策略、安全組織以及人員的檢查，同時(shí)對信息部門領(lǐng)導(dǎo)和相關(guān)人員以及公司的人力資源部門相關(guān)人員做了詳細(xì)的訪談。涉及方面之廣，檢查粒度之細(xì)都是其他專門的安全項(xiàng)目所無法比擬的，對公司整個(gè)信息安全建設(shè)指明了方向，細(xì)化了要求，加強(qiáng)了安全體系建設(shè)，提升了人員的信息安全意識，規(guī)范了信息安全工作流程。

但是，在現(xiàn)場的測評工作當(dāng)中也出現(xiàn)了一些問題，主要來自兩方面：一是發(fā)現(xiàn)了公司在信息安全建設(shè)中的“短板”，明確了工作重點(diǎn)和方向；二是發(fā)現(xiàn)基本要求中的個(gè)別條款的要求過于“苛刻”――單純從技術(shù)上來看是可行的，但是如果結(jié)合公司的業(yè)務(wù)，就不是特別合理，因?yàn)樾枰獙ΜF(xiàn)有運(yùn)行的業(yè)務(wù)進(jìn)行很大的改造,甚至涉及到對底層操作系統(tǒng)的改造。

最后，在北京等級保護(hù)辦公室的監(jiān)督、指導(dǎo)下，公司加強(qiáng)了安全管理，調(diào)整個(gè)別不符合項(xiàng)目，最終通過了等級保護(hù)3級測評。

建設(shè)等級保護(hù)平臺

網(wǎng)絡(luò)安全等級保護(hù)測評方法范文第5篇

近年來，國家對信息安全高度重視，各有關(guān)方面協(xié)調(diào)配合、共同努力，我國信息安全保障工作取得了很大進(jìn)展。根據(jù)原衛(wèi)生部的《關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級保護(hù)工作的通知》（衛(wèi)辦綜函[2011]1126號文）指示精神，阜外醫(yī)院作為衛(wèi)生行業(yè)開展信息安全等級保護(hù)工作的試點(diǎn)單位，依據(jù)國家相關(guān)信息安全政策及技術(shù)標(biāo)準(zhǔn)，對醫(yī)院的重要信息系統(tǒng)進(jìn)行等級保護(hù)整改建設(shè)，切實(shí)提高了自身的信息安全防護(hù)水平。

通過對阜外醫(yī)院的信息系統(tǒng)業(yè)務(wù)流程的梳理，并根據(jù)業(yè)務(wù)數(shù)據(jù)的重要程度和業(yè)務(wù)安全需求，準(zhǔn)確劃分系統(tǒng)邊界，阜外醫(yī)院信息系統(tǒng)共有6個(gè)定級對象，其定級情況如下：HIS系統(tǒng)為第三級信息系統(tǒng)，LIS系統(tǒng)、PACS系統(tǒng)、電子病歷系統(tǒng)、阜外醫(yī)院網(wǎng)站和財(cái)務(wù)為第二級信息系統(tǒng)。由于信息系統(tǒng)彼此間業(yè)務(wù)關(guān)聯(lián)較大，所以總體上按照第三級進(jìn)行整體防護(hù)體系建設(shè)。

本次阜外醫(yī)院的信息系統(tǒng)安全等級保護(hù)工程的建設(shè)，主要是根據(jù)四部委的《信息安全等級保護(hù)管理辦法》（公通字[2007]43號文）以及衛(wèi)生部 [2011]1126號文的指示精神，從信息安全技術(shù)體系、信息安全管理體系、信息安全運(yùn)行體系等三個(gè)方面入手，建設(shè)完整的醫(yī)療行業(yè)信息安全等級保護(hù)保障體系：

1. 建立阜外醫(yī)院信息安全技術(shù)體系，從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全等方面進(jìn)行整改建設(shè)。通過對內(nèi)外網(wǎng)網(wǎng)絡(luò)層面的安全整改建設(shè)，達(dá)到等級保護(hù)第三級信息系統(tǒng)的基本技術(shù)要求；

2. 建立阜外醫(yī)院信息安全管理體系，通過安全管理策略和制度、人員安全管理、安全事件管理、系統(tǒng)建設(shè)管理以及系統(tǒng)運(yùn)維管理等五個(gè)方面的建設(shè)，達(dá)到了等級保護(hù)第三級信息系統(tǒng)的安全管理要求；

3. 建立阜外醫(yī)院安全運(yùn)維體系，通過綜合運(yùn)維系統(tǒng)、安全管理中心、信息安全服務(wù)等內(nèi)容的建設(shè)，實(shí)現(xiàn)了日常安全運(yùn)維管理，使阜外醫(yī)院的信息系統(tǒng)安全保障體系能夠有效落實(shí)。

信息安全等級保護(hù)保建設(shè)，使阜外醫(yī)院信息安全保障體系成功通過了等級保護(hù)第三級信息系統(tǒng)的安全測評。因此，本次阜外醫(yī)院信息安全保障工程的建設(shè)，具有以下三個(gè)方面的重大意義：

一、有效落實(shí)了國家政策要求。首先是完成了國家信息安全等級保護(hù)的的工作部署，使阜外醫(yī)院重要信息系統(tǒng)安全防護(hù)能力達(dá)到規(guī)定要求，確保業(yè)務(wù)工作有效開展。

通過本次工程建設(shè)，確保阜外醫(yī)院重要信息系統(tǒng)安全防護(hù)工作符合國家等級保護(hù)制度要求，確保方向正確、方法得當(dāng)、結(jié)果合規(guī)，使信息安全建設(shè)工作不偏離國家監(jiān)管的大方向，這是阜外醫(yī)院作為國家三甲級醫(yī)療機(jī)構(gòu)的地位決定的，是確保阜外醫(yī)院的權(quán)威性、嚴(yán)肅性的有力保障，具有重要的政治意義。

二、能夠有效推動行業(yè)安全建設(shè)。有利于形成阜外醫(yī)院信息安全工作統(tǒng)一規(guī)劃、統(tǒng)一指導(dǎo)、統(tǒng)一要求的工作機(jī)制，為國家衛(wèi)計(jì)委指導(dǎo)各醫(yī)療單位進(jìn)行等級保護(hù)建設(shè)方面起到試點(diǎn)示范效應(yīng)。

通過本次工程建設(shè)，可以分析清楚阜外醫(yī)院信息系統(tǒng)數(shù)量、分布、安全防護(hù)程度等基本情況，研究清楚系統(tǒng)信息安全的各自特點(diǎn)，通過調(diào)研和分析，提出全院信息安全工作“一盤棋”的管理思路，統(tǒng)一管理、統(tǒng)一指導(dǎo)、統(tǒng)一具體要求，實(shí)質(zhì)性推動行業(yè)信息安全建設(shè)工作。