信息安全保護(hù)

開(kāi)篇：寫(xiě)作不僅是一種記錄，更是一種創(chuàng)造，它讓我們能夠捕捉那些稍縱即逝的靈感，將它們永久地定格在紙上。下面是小編精心整理的12篇信息安全保護(hù)，希望這些內(nèi)容能成為您創(chuàng)作過(guò)程中的良師益友，陪伴您不斷探索和進(jìn)步。

第1篇

[關(guān)鍵詞]云平臺(tái)；信息安全；策略

中圖分類(lèi)號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-914X（2016）09-0247-01

一、前言

隨著我國(guó)社會(huì)經(jīng)濟(jì)和科學(xué)技術(shù)的不斷發(fā)展，云計(jì)算也有了長(zhǎng)足的發(fā)展。在云計(jì)算發(fā)展基礎(chǔ)之上而形成的云平臺(tái)，也被各大中企業(yè)所應(yīng)用，云平臺(tái)已成為了互聯(lián)網(wǎng)世界中最大的信息平臺(tái)，本文就云平臺(tái)信息安全保護(hù)策略進(jìn)行探討。

二、云計(jì)算概念

云計(jì)算是將分布式處理、并行處理、虛擬化和網(wǎng)格計(jì)算以及互聯(lián)網(wǎng)相結(jié)合的一種先進(jìn)的資源服務(wù)模式，它將計(jì)算工作分布在多個(gè)的服務(wù)器構(gòu)成的資源池上，使用戶能夠按所需獲取計(jì)算能力、存儲(chǔ)空間和信息服務(wù)。一般由存儲(chǔ)與計(jì)算機(jī)服務(wù)器、寬帶資源等大型服務(wù)器的集群，通過(guò)專門(mén)的軟件進(jìn)行自動(dòng)管理，同時(shí)也可以進(jìn)行自我的維護(hù)，無(wú)需人工參與。云計(jì)算中，軟件和硬件可以成為資源而提供給用戶使用，用戶可以動(dòng)態(tài)申請(qǐng)所需資源，云計(jì)算對(duì)軟件和硬件資源可以進(jìn)行很好的分配，用戶能夠更加專注自己的業(yè)務(wù)，提高工作效率和降低成本。由于云計(jì)算具備動(dòng)態(tài)擴(kuò)展、伸縮特性，隨著用戶的不斷增長(zhǎng)，云計(jì)算可以根據(jù)不斷對(duì)系統(tǒng)進(jìn)行擴(kuò)展。

云計(jì)算的主要特點(diǎn)有：穩(wěn)定性：具備良好的容錯(cuò)能力，當(dāng)某個(gè)節(jié)點(diǎn)發(fā)生故障時(shí)，云計(jì)算平臺(tái)能快速找到故障并恢復(fù)；高擴(kuò)展性：云計(jì)算平臺(tái)具有高擴(kuò)展性和靈活的彈性，能夠動(dòng)態(tài)地滿足用戶規(guī)模的增長(zhǎng)和需要；虛擬化：云計(jì)算通過(guò)虛擬化技術(shù)將分布式的物理和數(shù)字資源進(jìn)行虛擬化，統(tǒng)一存放在數(shù)據(jù)中心，用戶可以在任何地方使用終端來(lái)獲取服務(wù)；通用性：云計(jì)算環(huán)境下可以構(gòu)造出各種功能的應(yīng)用，滿意用戶的大部分需求成本低廉：云平臺(tái)的特殊容錯(cuò)機(jī)制可以采用極其廉價(jià)物理資源，資源成本低。

三、云平臺(tái)面臨的安全問(wèn)題

云平臺(tái)是基于云計(jì)算的技術(shù)基礎(chǔ)上發(fā)展起來(lái)的，建立安全的云平臺(tái)，必須要有一個(gè)安全的運(yùn)行構(gòu)架來(lái)保證云平臺(tái)的安全運(yùn)行。

現(xiàn)今云平臺(tái)間來(lái)所要面臨的問(wèn)題主要有：

1、安全邊界不清晰：虛擬化技術(shù)是云計(jì)算的關(guān)鍵技術(shù)，服務(wù)器虛擬化，終端用戶數(shù)量非常龐大，實(shí)現(xiàn)共享的數(shù)據(jù)存放分散，無(wú)法像傳統(tǒng)網(wǎng)絡(luò)那樣清楚的定義安全邊界和保護(hù)措施。

2、數(shù)據(jù)安全隱患：根據(jù)云計(jì)算概念的理解，云計(jì)算的操作模式是將用戶數(shù)據(jù)和相應(yīng)的計(jì)算任務(wù)交給全球運(yùn)行的服務(wù)器網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)系統(tǒng)，用戶數(shù)據(jù)的存儲(chǔ)、處理和保護(hù)等操作，都是在“云”中完成的，將有更多的業(yè)務(wù)數(shù)據(jù)、更詳細(xì)的個(gè)人隱私信息曝露在網(wǎng)絡(luò)上，也必然存在更大的泄露風(fēng)險(xiǎn)。

3、系統(tǒng)可靠性和穩(wěn)定性的隱患：云中存儲(chǔ)大量數(shù)據(jù)，很容易受到來(lái)自竊取服務(wù)或數(shù)據(jù)的惡意攻擊者、濫用資源的云計(jì)算用戶攻擊，當(dāng)遇到嚴(yán)重攻擊時(shí)，云系統(tǒng)可能面臨崩潰的危險(xiǎn)，無(wú)法提供高可靠性、穩(wěn)定的服務(wù)。

4、云平臺(tái)遭受攻擊的問(wèn)題

云平臺(tái)高度集中了用戶、信息資源等一些重要信息，所以極易成為黑客攻擊的目標(biāo)。近幾年來(lái)，世界各國(guó)頻頻出現(xiàn)黑客攻擊各大公司和政府機(jī)關(guān)的平臺(tái)，盜取信息和篡改安全信息的事件發(fā)生，例如2011年上半年，黑客就有四起“云攻擊”事件，分別是索尼PSN遭系列攻擊事件、Wordpress遭攻擊事件、新浪微博蠕蟲(chóng)攻擊。由于這些網(wǎng)站存儲(chǔ)了大量用戶的資料和相關(guān)的信息，黑客攻擊這些網(wǎng)站，竊取用戶信息，用于不法之途，極大的損害了云平臺(tái)用戶的個(gè)人利益。

云計(jì)算迅速發(fā)展的同時(shí)，也面臨著信息安全的巨大挑戰(zhàn)。目前安全問(wèn)題已成為困擾云計(jì)算更大發(fā)展的一個(gè)最重要因素。某種程度上，關(guān)于云計(jì)算安全問(wèn)題的解決與否及如何解決，將會(huì)直接決定云計(jì)算在未來(lái)的發(fā)展走勢(shì)。目前云計(jì)算環(huán)境存在以下隱患。

四、云環(huán)境信息安全防護(hù)解決方案

1、云服務(wù)提供商

從云服務(wù)提供商角度，安全防護(hù)方案：

（一）、基礎(chǔ)網(wǎng)絡(luò)安全

基礎(chǔ)網(wǎng)絡(luò)是指地理位置不同的數(shù)據(jù)中心和用戶終端的互聯(lián)。采用可信網(wǎng)絡(luò)連接機(jī)制，對(duì)檢驗(yàn)連接到通信網(wǎng)絡(luò)的設(shè)備進(jìn)行可信，以防止非法接入設(shè)備。基礎(chǔ)網(wǎng)絡(luò)安全設(shè)備性能要滿足與網(wǎng)絡(luò)相匹配的性能的需求，可以實(shí)現(xiàn)隨著業(yè)務(wù)發(fā)展需要，靈活的擴(kuò)減防火墻、入侵防御、流量監(jiān)管、負(fù)載均衡等安全功能，實(shí)現(xiàn)安全和網(wǎng)絡(luò)設(shè)備高度融合。

（二）、虛擬化服務(wù)安全

“按需服務(wù)”是云計(jì)算平臺(tái)的終極目標(biāo)，只有借助虛擬化技術(shù)，才可能根據(jù)需求，提供個(gè)性化的應(yīng)用服務(wù)和合理的資源分配。在云計(jì)算數(shù)據(jù)中心內(nèi)部，采用VLAN和分布式虛擬交換機(jī)等技術(shù)，通過(guò)虛擬化實(shí)例間的邏輯劃分，實(shí)現(xiàn)不同用戶系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)的安全隔離。采用虛擬防火墻和虛擬設(shè)備管理軟件為虛擬機(jī)環(huán)境部署安全防護(hù)策略，采用防惡意軟件，建立補(bǔ)丁管理和版本管理機(jī)制，及時(shí)防范因虛擬化帶來(lái)的潛在安全隱患。

（三）、用戶管理

實(shí)現(xiàn)用戶分級(jí)管理和用戶鑒權(quán)管理。每個(gè)虛擬設(shè)備都應(yīng)具備獨(dú)立的管理員權(quán)限，實(shí)現(xiàn)用戶的分級(jí)管理，不同的級(jí)別具有不同的管理權(quán)限和訪問(wèn)權(quán)限。支持用戶標(biāo)識(shí)和用戶鑒別，采用受安全管理中心控制的令牌、口令及其他具有相應(yīng)安全強(qiáng)度的兩種或兩種以上的組合機(jī)制進(jìn)行用戶身份的鑒別，對(duì)鑒別數(shù)據(jù)進(jìn)行保密性和完整性保護(hù)。

（四）、數(shù)據(jù)傳輸安全

采用在云端部署SSLVPN網(wǎng)關(guān)的接入方案，避免云環(huán)境下用戶的數(shù)據(jù)信息從終端到云計(jì)算環(huán)境的傳輸中，數(shù)據(jù)信息容易被截獲的隱患，以保證用戶端到云端數(shù)據(jù)的安全訪問(wèn)和接入。

2、云服務(wù)終端用戶

從終端用戶角度，安全防護(hù)方案：

（一）、選擇信譽(yù)高的服務(wù)商

企業(yè)終端用戶應(yīng)做風(fēng)險(xiǎn)評(píng)估，清楚數(shù)據(jù)存在云中和存儲(chǔ)在自己內(nèi)部數(shù)據(jù)中心的潛在風(fēng)險(xiǎn)，比較各家云服務(wù)供應(yīng)商，取得優(yōu)選者的服務(wù)水平保證。企業(yè)終端用戶應(yīng)分清哪些服務(wù)和任務(wù)由公司內(nèi)部的IT人員負(fù)責(zé)、哪些服務(wù)和任務(wù)交由云服務(wù)供應(yīng)商負(fù)責(zé)，避免惡意操作帶來(lái)的損失，也能保證服務(wù)的持久化。

（二）、安裝防火墻

在用戶的終端上部署安全軟件，反惡意軟件、防病毒、個(gè)人防火墻等軟件。使用自動(dòng)更新功能，定期完成瀏覽器打補(bǔ)丁和更新及殺毒工作，保證計(jì)算環(huán)境應(yīng)用的安全。

（三）、應(yīng)用過(guò)濾器

目的在于監(jiān)視哪些數(shù)據(jù)離開(kāi)了用戶的網(wǎng)絡(luò)，自動(dòng)阻止敏感數(shù)據(jù)外泄。通過(guò)對(duì)過(guò)濾器系統(tǒng)進(jìn)行安全配置，防止數(shù)據(jù)在用戶不知情的狀態(tài)下被泄露，避免用戶自身數(shù)據(jù)的安全性降低。

3、云計(jì)算監(jiān)管方

目前我國(guó)云計(jì)算已經(jīng)發(fā)展到實(shí)質(zhì)應(yīng)用階段，國(guó)家有必要建立健全相關(guān)法律法規(guī)，積極研發(fā)和推廣具有自主技術(shù)的云產(chǎn)品，構(gòu)建中國(guó)自己的云計(jì)算安全防御體系。

五、結(jié)束語(yǔ)

總之，網(wǎng)絡(luò)安全保護(hù)是一項(xiàng)重要、復(fù)雜的工作，目前，云安全還只是在發(fā)展階段，面對(duì)的問(wèn)題較多，因此，我們應(yīng)始終保持積極的態(tài)度，不斷的努力，使我國(guó)云計(jì)算服務(wù)朝著可持續(xù)的方向健康發(fā)展。

參考文獻(xiàn)

第2篇

隨著當(dāng)前科學(xué)技術(shù)的不斷進(jìn)步和發(fā)展，互聯(lián)網(wǎng)技術(shù)的日益推廣和普及，對(duì)人們的傳統(tǒng)生活方式產(chǎn)生了極大的沖擊和影響。大數(shù)據(jù)時(shí)代的到來(lái)使得數(shù)據(jù)分析以及計(jì)算機(jī)功能都打破了傳統(tǒng)地域上的限制。而大數(shù)據(jù)時(shí)代下大部分用戶的機(jī)密信息大多儲(chǔ)存在網(wǎng)絡(luò)平臺(tái)上，這使得一些不法分子有了可乘之機(jī)。作者希望通過(guò)文章來(lái)探究大數(shù)據(jù)時(shí)代下如何能夠保障個(gè)人信息的安全問(wèn)題。

關(guān)鍵詞：

個(gè)人數(shù)據(jù)；大數(shù)據(jù)；信息安全

隨著目前互聯(lián)網(wǎng)技術(shù)的不斷進(jìn)步，城市的智能化水平更加完善，移動(dòng)設(shè)備功能上的健全使得人們的生活水平更加便利。往往足不出戶就能夠購(gòu)買(mǎi)到想要的東西。通過(guò)移動(dòng)智能設(shè)備，人們也能夠完成基本的水電費(fèi)的交付、社交等。同時(shí)通過(guò)互聯(lián)網(wǎng)，人們將大量的個(gè)人信息上傳到各種社交軟件上與他人進(jìn)行分享，在分享信息的過(guò)程中可能就潛移默化的增加了信息被竊取的概率，一些不法分子可能乘機(jī)提取有效的信息進(jìn)而獲得用戶的核心數(shù)據(jù)，最終造成用戶信息被盜取，影響到用戶的正常生活。

1對(duì)大數(shù)據(jù)的看法

大數(shù)據(jù)的特點(diǎn)：當(dāng)前大數(shù)據(jù)時(shí)代的主要特點(diǎn)就是數(shù)據(jù)信息量極大，類(lèi)型較多并且運(yùn)算效率高，能夠產(chǎn)生一定的價(jià)值。就以一個(gè)最為常見(jiàn)的案例來(lái)說(shuō)，當(dāng)前大部分的移動(dòng)設(shè)備，計(jì)算機(jī)設(shè)備的存儲(chǔ)上限都由MB發(fā)展到了GB，再?gòu)腉B發(fā)展到了TB，統(tǒng)計(jì)數(shù)據(jù)的信息量逐年上升。其次，大數(shù)據(jù)時(shí)代下，不僅數(shù)據(jù)信息的總量不斷上升，數(shù)據(jù)的類(lèi)型和樣式也變的多樣化。以前可能我們身邊接觸到的數(shù)據(jù)信息就以文字、圖片為主要形式，但是當(dāng)前視頻、音頻、電子郵件等的發(fā)展大大拓寬了大數(shù)據(jù)信息的類(lèi)別。同時(shí)在大數(shù)據(jù)時(shí)代下運(yùn)算的效率速度也明顯上升，各種現(xiàn)代化的搜索引擎以及數(shù)據(jù)挖掘技術(shù)都為數(shù)據(jù)的處理奠定了堅(jiān)實(shí)的基礎(chǔ)。

2大數(shù)據(jù)時(shí)代下人們信息安全面臨的挑戰(zhàn)

前面我們對(duì)當(dāng)前大數(shù)據(jù)時(shí)代的基本特征簡(jiǎn)單的分析和探究，大數(shù)據(jù)時(shí)代下人們的信息數(shù)據(jù)共享化，很容易在網(wǎng)絡(luò)上泄露一些機(jī)密信息，從而影響到個(gè)人的生活。個(gè)人隱私的泄露：首先在跟前大數(shù)據(jù)時(shí)代下出現(xiàn)個(gè)人隱私的泄露現(xiàn)象是比較常見(jiàn)的，用戶在進(jìn)行一些軟件的使用過(guò)程中一般都會(huì)與自己的手機(jī)號(hào)或者電子郵件綁定，一方面通過(guò)綁定電子郵件與手機(jī)能夠非常便捷的進(jìn)行相關(guān)操作，另一方面有的人認(rèn)為綁定手機(jī)或電子郵件能夠降低賬號(hào)被盜的概率。其實(shí)不然，一旦黑客通過(guò)非法途徑入侵到用戶的計(jì)算機(jī)內(nèi)部，將用戶的信息數(shù)據(jù)盜取，很容易連帶效應(yīng)將用戶的大量數(shù)據(jù)信息泄露。比如說(shuō)，常常有人在瀏覽網(wǎng)頁(yè)的時(shí)候進(jìn)入一些不安全網(wǎng)頁(yè)，網(wǎng)頁(yè)中存在木馬，而這些木馬會(huì)入侵到計(jì)算機(jī)內(nèi)部潛伏一段時(shí)間，一旦木馬爆發(fā)，在短時(shí)間內(nèi)計(jì)算機(jī)不會(huì)出現(xiàn)故障，但是用戶的個(gè)人數(shù)據(jù)信息會(huì)黑客盜取，這種現(xiàn)象對(duì)用戶來(lái)說(shuō)會(huì)產(chǎn)生極大的損失。因此，目前來(lái)看，在大數(shù)據(jù)環(huán)境之下保護(hù)個(gè)人信息安全是非常重要而必要的。

3大數(shù)據(jù)環(huán)境下個(gè)人信息安全保護(hù)的途徑

目前隨著大數(shù)據(jù)時(shí)代的到來(lái)，人們對(duì)于個(gè)人信息的保護(hù)和控制程度遠(yuǎn)遠(yuǎn)不如過(guò)去，很多時(shí)候個(gè)人隱私在不知不覺(jué)中就會(huì)被暴露在網(wǎng)絡(luò)上，這些數(shù)據(jù)對(duì)于一般人來(lái)說(shuō)可能沒(méi)有什么作用，但是有的人可能從其中找到一些非法的牟利手段，間接的影響到用戶的財(cái)產(chǎn)安全。因此我希望能夠提出一些有效的個(gè)人信息安全保護(hù)對(duì)策來(lái)提高用戶對(duì)信息的重視思想。

3.1匿名保護(hù)

首先，目前大數(shù)據(jù)匿名技術(shù)應(yīng)當(dāng)?shù)玫礁潞透纳疲谖铱磥?lái)，傳統(tǒng)匿名技術(shù)根本無(wú)法有效的對(duì)用戶的信息數(shù)據(jù)進(jìn)行保護(hù)，用戶在匿名發(fā)送相關(guān)信息數(shù)據(jù)的過(guò)程中依然會(huì)被黑客竊取。換句話說(shuō)傳統(tǒng)匿名技術(shù)往往無(wú)法有效的保護(hù)用戶的信息來(lái)源，黑客能夠通過(guò)發(fā)送的信息數(shù)據(jù)直接搜索到用戶機(jī)上，再通過(guò)移植病毒和木馬的方式對(duì)用戶機(jī)進(jìn)行入侵。因此，首要的保護(hù)個(gè)人信息安全的措施就是相關(guān)部門(mén)能夠加強(qiáng)匿名保護(hù)裝置的建立，使得匿名保護(hù)設(shè)施能夠直接將用戶發(fā)送數(shù)據(jù)的來(lái)源進(jìn)行修改，使得黑客無(wú)法通過(guò)非法手段獲取到用戶機(jī)的具體IP地址，從而實(shí)現(xiàn)對(duì)用戶的個(gè)人信息數(shù)據(jù)保護(hù)。

3.2個(gè)人提升一定的安全防護(hù)意識(shí)

第二點(diǎn)，現(xiàn)在很多人認(rèn)為隨著科學(xué)技術(shù)的不斷進(jìn)步，互聯(lián)網(wǎng)技術(shù)的完善和發(fā)展，互聯(lián)網(wǎng)安全已經(jīng)逐漸完善了，但是實(shí)際上其中的暗流涌動(dòng)現(xiàn)象還是非常普遍，很多潛在的危險(xiǎn)無(wú)法辨別就容易使個(gè)人信息遭到竊取。因此對(duì)于用戶個(gè)人來(lái)說(shuō)，我們首先應(yīng)當(dāng)從自我做起，提升對(duì)互聯(lián)網(wǎng)的警惕心理，提高個(gè)人安全防護(hù)意識(shí)，在建立相關(guān)賬號(hào)的過(guò)程中能夠仔細(xì)辨認(rèn)出網(wǎng)站的安全性，同時(shí)不瀏覽具有安全隱患的網(wǎng)絡(luò)。計(jì)算機(jī)定期的進(jìn)行木馬、病毒的查殺工作，安裝殺毒軟件，保證計(jì)算機(jī)的安全，從而實(shí)現(xiàn)對(duì)個(gè)人信息的安全防護(hù)。

3.3政府部門(mén)加強(qiáng)監(jiān)管

第三，政府內(nèi)部專門(mén)的網(wǎng)絡(luò)監(jiān)控部門(mén)應(yīng)當(dāng)實(shí)施對(duì)網(wǎng)絡(luò)的有序監(jiān)管，隨著大數(shù)據(jù)時(shí)代的到來(lái)，數(shù)據(jù)信息的容量以及內(nèi)容逐漸增加，政府部門(mén)實(shí)施有效的網(wǎng)絡(luò)監(jiān)控措施能夠?qū)€(gè)人信息安全保護(hù)起到積極的作用。政府部門(mén)可以通過(guò)政府專用網(wǎng)絡(luò)實(shí)現(xiàn)對(duì)大部分公網(wǎng)、子網(wǎng)的監(jiān)控和審核，對(duì)于存在安全隱患的網(wǎng)址予以嚴(yán)肅的處理，如果存在嚴(yán)重影響到社會(huì)安定，人們的財(cái)產(chǎn)安全的則應(yīng)當(dāng)追究一定的刑事責(zé)任，最大化的保證大數(shù)據(jù)時(shí)代下網(wǎng)絡(luò)系統(tǒng)的安全，保證個(gè)人信息安全。

3.4國(guó)家構(gòu)建全面的法律法規(guī)

第四，國(guó)家也應(yīng)當(dāng)逐漸重視大數(shù)據(jù)時(shí)代下的網(wǎng)絡(luò)信息安全問(wèn)題，通過(guò)構(gòu)建有效的法律法規(guī)體系來(lái)避免黑客鉆法律的空子。很多情況下黑客之所以敢去竊取用戶的信息一方面認(rèn)為警察無(wú)法追捕到自己，所產(chǎn)生的影響不至于受到刑事責(zé)任，另一方面非法分子認(rèn)為即使被抓到，也只是簡(jiǎn)單的懲罰一些金錢(qián)，而不是負(fù)刑事責(zé)任。因此國(guó)家應(yīng)當(dāng)嚴(yán)肅處理網(wǎng)絡(luò)非法事件，對(duì)于非法入侵他人用戶機(jī)的黑客予以嚴(yán)肅處理，不僅應(yīng)當(dāng)懲罰金錢(qián)，還應(yīng)當(dāng)追究刑事責(zé)任。

4結(jié)束語(yǔ)

總而言之，目前在大數(shù)據(jù)環(huán)境下個(gè)人信息安全防護(hù)是非常重要的問(wèn)題，黑客技術(shù)的不斷上升以及互聯(lián)網(wǎng)的不斷推廣和普及都影響到了人們的信息安全。個(gè)人應(yīng)當(dāng)逐漸提高對(duì)網(wǎng)絡(luò)使用的警惕心理；政府有關(guān)部門(mén)則應(yīng)當(dāng)重視網(wǎng)絡(luò)的監(jiān)管，降低黑客入侵現(xiàn)象的發(fā)生；最后國(guó)家有關(guān)部門(mén)構(gòu)建全面系統(tǒng)的法律法規(guī)體系，使得黑客不敢如此猖獗。從這三面來(lái)提高個(gè)人信息安全保護(hù)的效果，保證人們能夠在一個(gè)穩(wěn)定健康的網(wǎng)絡(luò)環(huán)境中發(fā)展。

作者：任凱 單位：萊蕪市萊城區(qū)鳳城高級(jí)中學(xué)

參考文獻(xiàn)

[1]雷善雨.淺析大數(shù)據(jù)環(huán)境下的個(gè)人信息安全保護(hù)[J].科技創(chuàng)新導(dǎo)報(bào)，2015，32：20-21+23.

[2]張宸.大數(shù)據(jù)環(huán)境下個(gè)人信息保護(hù)研究[D].黑龍江大學(xué)，2015.

第3篇

關(guān)鍵詞：社交網(wǎng)絡(luò)；隱私保護(hù)；個(gè)人信息安全；信息安全舉措

社交網(wǎng)絡(luò)平臺(tái)是互聯(lián)網(wǎng)應(yīng)用中非常重要的組成部分，隨著當(dāng)前科技的發(fā)展，移動(dòng)互聯(lián)終端迅速普及，智能手機(jī)、移動(dòng)電腦等設(shè)備充實(shí)人們的生活。社交平臺(tái)為社會(huì)上的個(gè)人創(chuàng)建了一個(gè)平臺(tái)，在這個(gè)平臺(tái)上，用戶可以逐漸發(fā)展自己的人脈關(guān)系，擴(kuò)充自己的人脈網(wǎng)絡(luò)，尋找曾經(jīng)的朋友；用戶還可以通過(guò)這個(gè)平臺(tái)分享自己的照片等；還有就是近兩年逐漸流行的朋友圈之間互發(fā)紅包等等，通過(guò)該平臺(tái)逐漸拉近了朋友間的友誼。但是，分享的同時(shí)，個(gè)人信息也被上傳到網(wǎng)絡(luò)平臺(tái)，成為一些不法分子注意的對(duì)象，近年來(lái)，網(wǎng)絡(luò)犯罪的比例日益變大，社交網(wǎng)絡(luò)中個(gè)人信息安全的保護(hù)迫在眉睫。

一、社交網(wǎng)絡(luò)安全性分析

社交網(wǎng)絡(luò)是一種基于因特網(wǎng)的網(wǎng)絡(luò)使用方式，它為用戶提供了一個(gè)擴(kuò)充人脈的平臺(tái)，在這個(gè)平臺(tái)上，用戶相當(dāng)于整個(gè)社交網(wǎng)絡(luò)中的節(jié)點(diǎn)，用戶之間通過(guò)交流與溝通，將節(jié)點(diǎn)與節(jié)點(diǎn)之間的連線越來(lái)越復(fù)雜，互聯(lián)溝通面得到不斷擴(kuò)展，社交網(wǎng)絡(luò)普及面越來(lái)越廣闊。當(dāng)前，Android系統(tǒng)和IOS系統(tǒng)中的聊天通訊應(yīng)用更新頻率不斷加快，應(yīng)用軟件層出不窮，因此，為社交網(wǎng)絡(luò)的進(jìn)一步發(fā)展和普及提供了良好的條件基礎(chǔ)。因此，未來(lái)社交網(wǎng)絡(luò)的覆蓋面將會(huì)更加廣泛，用戶活躍度將會(huì)更加高昂。但是，正是由于社交網(wǎng)絡(luò)的開(kāi)放性，使得網(wǎng)絡(luò)上的虛擬人物良莠不齊，相關(guān)用戶很難從表面上去進(jìn)行辨?zhèn)危苋菀咨袭?dāng)受騙；此外，當(dāng)前許多通訊聊天應(yīng)用為了實(shí)現(xiàn)更加精準(zhǔn)化的交友條件選擇，對(duì)用戶的個(gè)人信息完全透明化，雖然在一定程度上使得用戶能夠更加輕松的找到自己需要找的人，但是也為網(wǎng)絡(luò)犯罪創(chuàng)造了絕佳的搜索平臺(tái)；還有，當(dāng)前許多人過(guò)分依賴網(wǎng)絡(luò)，為了讓別人相信自己的真實(shí)存在，對(duì)自己的信息毫無(wú)忌憚地展現(xiàn)在社交網(wǎng)絡(luò)上，希望通過(guò)這種方法來(lái)提高自己的空間瀏覽量和關(guān)注度，用戶在進(jìn)行分享的同時(shí)，用戶個(gè)人的信息有可能會(huì)被不法分子所關(guān)注，進(jìn)而進(jìn)行違法犯罪行為。據(jù)調(diào)查，2014年我國(guó)因網(wǎng)絡(luò)犯罪造成的經(jīng)濟(jì)損失將近萬(wàn)億元人民幣，高達(dá)90%的互聯(lián)網(wǎng)用戶都受到過(guò)網(wǎng)絡(luò)犯罪的攻擊。因此，增強(qiáng)社交網(wǎng)絡(luò)中用戶個(gè)人信息安全保護(hù)勢(shì)在必行。

二、隱私保護(hù)控制方法

為了在社交網(wǎng)絡(luò)中保護(hù)用戶個(gè)人信息安全，許多專家學(xué)者提出了許多理論研究，常見(jiàn)的有以下幾種技術(shù)：①Sweeney專家提出的K-匿名技術(shù)，該技術(shù)將用戶信息數(shù)據(jù)庫(kù)的部分信息數(shù)據(jù)進(jìn)行泛化處理，使得其中包含個(gè)人敏感信息的K個(gè)位置的信息數(shù)據(jù)形成匿名集，進(jìn)而實(shí)現(xiàn)對(duì)用戶隱私的保護(hù)；②Chen等人提出的生成虛假信息的隱私保護(hù)方法，在用戶位置信息的服務(wù)器中形成多種不同位置信息，進(jìn)而使得攻擊者難以正確識(shí)別用戶信息；③MatsuuraK和HuangL提出的基于區(qū)域劃分的軌跡隱私保護(hù)理論，將用戶的軌跡進(jìn)行分析分類(lèi)，對(duì)用戶經(jīng)過(guò)的敏感區(qū)域進(jìn)行用戶個(gè)人信息的保護(hù)，防止用戶個(gè)人信息的泄漏；④Gabrial提出基于分布式協(xié)議的prive方法等等。

三、用戶個(gè)人信息安全保護(hù)措施

3.1建立健全相關(guān)法律條文

在當(dāng)前法制社會(huì)里，通過(guò)建立健全對(duì)用戶個(gè)人信息保護(hù)的法律條文非常必要，通過(guò)法律保護(hù)社交網(wǎng)絡(luò)中用戶個(gè)人信息安全不受侵犯，是立法機(jī)構(gòu)當(dāng)前非常緊要的事務(wù)。對(duì)于當(dāng)前有些不法分子通過(guò)非法手段搜集個(gè)人信息，然后通過(guò)各種渠道用于違法犯罪的行為，相關(guān)法律應(yīng)該給予嚴(yán)懲，對(duì)于一些通過(guò)設(shè)計(jì)開(kāi)發(fā)包含有非法搜集個(gè)人信息漏洞的應(yīng)用軟件，然后用于從事非法商業(yè)活動(dòng)的商家個(gè)人，相關(guān)法律條文也應(yīng)該嚴(yán)厲懲罰。

3.2社交網(wǎng)絡(luò)企業(yè)加強(qiáng)用戶信息保護(hù)管理

社交網(wǎng)絡(luò)企業(yè)應(yīng)用實(shí)名制注冊(cè)，在一定程度上能夠減少不法分子通過(guò)注冊(cè)一些非法賬號(hào)用于網(wǎng)絡(luò)詐騙，防止個(gè)人信息的泄漏，但是，這種情況下，注冊(cè)的用戶需要填寫(xiě)的信息更為透明化，如果賬號(hào)被盜泄漏的信息將會(huì)更嚴(yán)重。在這種矛盾下，這就需要社交網(wǎng)絡(luò)企業(yè)加強(qiáng)對(duì)用戶信息的保護(hù)和管理。通過(guò)不斷優(yōu)化相關(guān)軟件應(yīng)用，對(duì)其中的漏洞進(jìn)行不斷修復(fù)升級(jí)，提升系統(tǒng)穩(wěn)定性，運(yùn)用先進(jìn)手段對(duì)網(wǎng)絡(luò)攻擊者進(jìn)行攔截。

3.3提高社交網(wǎng)絡(luò)用戶安全意識(shí)

除了需要國(guó)家和相關(guān)企業(yè)提高對(duì)用戶個(gè)人信息的保護(hù)以外，用戶個(gè)人也需要了解一些保護(hù)個(gè)人信息的方法。雖然社交網(wǎng)絡(luò)是一個(gè)開(kāi)放性的社交平臺(tái)，但相關(guān)用戶也不能過(guò)于放開(kāi)自己，將自己的全部信息全盤(pán)透露給好友，將自己的一舉一動(dòng)都分享給好友，這樣就會(huì)存在許多安全隱患。所以，作為社交網(wǎng)絡(luò)用戶，需要時(shí)刻提防社交網(wǎng)絡(luò)的局限性，及時(shí)對(duì)自己的軟件進(jìn)行升級(jí)，完善系統(tǒng)漏洞，對(duì)自己的一些敏感性信息有防范保護(hù)意識(shí)，對(duì)自己的信息安全負(fù)責(zé)。

四、結(jié)論

社交網(wǎng)絡(luò)有利有弊，它在拉近朋友間距離的同時(shí)，也拉近了用戶與網(wǎng)絡(luò)犯罪的距離，為了保護(hù)社交網(wǎng)絡(luò)中用戶個(gè)人信息安全，立法機(jī)構(gòu)、相關(guān)網(wǎng)絡(luò)管理企業(yè)、用戶本人都應(yīng)該具備時(shí)刻保護(hù)用戶個(gè)人信息安全的意識(shí)，通過(guò)相應(yīng)的措施不斷完善社交網(wǎng)絡(luò)，使得社交網(wǎng)絡(luò)平臺(tái)更加安全、便捷、實(shí)用。

作者:劉偉彥 單位:武漢市第六中學(xué)

參考文獻(xiàn)：

[1]郭祥.基于移動(dòng)社交網(wǎng)絡(luò)的隱私保護(hù)關(guān)鍵技術(shù)研究與應(yīng)用[D].電子科技大學(xué)碩士學(xué)位論文,2015.6.

[2]孟曉明.賀敏偉.社交網(wǎng)絡(luò)大數(shù)據(jù)商業(yè)化開(kāi)發(fā)利用中的個(gè)人隱私保護(hù)[J].圖書(shū)館論壇,2015(6).

第4篇

 

大數(shù)據(jù)在本質(zhì)上是一種電子數(shù)據(jù)，它具有自身獨(dú)特的特性。首先，數(shù)據(jù)處理規(guī)模大。現(xiàn)今社會(huì)，全球每天產(chǎn)生的數(shù)據(jù)就已經(jīng)達(dá)到4. 5EB，這個(gè)數(shù)字仍然以驚人的速度高速增長(zhǎng)。其次，數(shù)據(jù)信息快速化。信息產(chǎn)生的速度常常比數(shù)量更加重要，通過(guò)手機(jī)定位數(shù)據(jù)可以計(jì)算出一個(gè)商場(chǎng)當(dāng)天的客流量，從而推斷出該商家的當(dāng)天營(yíng)業(yè)額。最后，數(shù)據(jù)信息具有多樣性。大數(shù)據(jù)的形態(tài)多樣，包括了結(jié)構(gòu)化、半結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)。此外，現(xiàn)代互聯(lián)網(wǎng)應(yīng)用呈現(xiàn)出非結(jié)構(gòu)化數(shù)據(jù)大幅增長(zhǎng)的特點(diǎn)，來(lái)源形式多種多樣，包括各種信息、應(yīng)用更新、社交網(wǎng)絡(luò)的圖片、傳感器讀取的信息、手機(jī)的定位等，而且不少信息來(lái)源的重要方式都是新近才出現(xiàn)的。

 

一、個(gè)人信息安全面臨的挑戰(zhàn)

 

1.個(gè)人隱私安全風(fēng)險(xiǎn)增大。網(wǎng)絡(luò)的浩瀚性意味著數(shù)據(jù)來(lái)源更加寬泛和多元，監(jiān)控?cái)z像頭、交互平臺(tái)、移動(dòng)電話、電子檔案、數(shù)據(jù)庫(kù)等，大量的信息堆積，必然給個(gè)人的信息安全帶來(lái)影響和破壞，增大了個(gè)人信息被泄露的可能。

 

2.大數(shù)據(jù)成為了網(wǎng)絡(luò)攻擊的主要目標(biāo)。在互聯(lián)網(wǎng)時(shí)代，大數(shù)據(jù)能夠反饋出更多、更有價(jià)值的信息，信息的含金量不斷提升，帶來(lái)的豐厚利潤(rùn)不言而喻，因此遭到攻擊和盜取的概率也就越大。同時(shí)，大數(shù)據(jù)的竊取能夠是不法分子獲得大量相關(guān)信息，一次獲取，多重效益，必然讓黑客垂涎欲滴。

 

3.不法分子利用大數(shù)據(jù)精確攻擊。大數(shù)據(jù)對(duì)于企業(yè)來(lái)說(shuō)是財(cái)富是影響，對(duì)于不法分子來(lái)說(shuō)同樣是金錢(qián)是價(jià)值。不法分子在獲取大數(shù)據(jù)的同時(shí)，也會(huì)反其道而行之，利用大數(shù)據(jù)來(lái)檢索、定位，為新一輪的攻擊盜取提供更加快捷的技術(shù)手段和方式。為了提升攻擊的效率和質(zhì)量，黑客往往會(huì)盡最大可能的收集包括社交平臺(tái)、微博微信、通話記錄、電子郵件、消費(fèi)記錄等信息，并加以歸檔整理，方便下次調(diào)用，提高攻擊的精確性和時(shí)效性。

 

二、個(gè)人信息安全保護(hù)的措施

 

1.加強(qiáng)輿論宣傳，提高保護(hù)意識(shí)。國(guó)家網(wǎng)絡(luò)相關(guān)部門(mén)要通過(guò)各種輿論宣傳工具，對(duì)網(wǎng)絡(luò)用戶進(jìn)行個(gè)人信息保護(hù)知識(shí)的宣傳，提高公民對(duì)個(gè)人信息安全的認(rèn)識(shí)和重視，樹(shù)立公民保護(hù)個(gè)人信息、尊重他人個(gè)人信息的理念。個(gè)人在信息保護(hù)上是第一責(zé)任人，負(fù)有維護(hù)個(gè)人信息安全的當(dāng)然義務(wù)。個(gè)人在進(jìn)行網(wǎng)絡(luò)行為時(shí)，盡量避免個(gè)人信息的泄露。同時(shí)，加強(qiáng)對(duì)個(gè)人電腦的安全防護(hù)，安裝并及時(shí)升級(jí)殺毒軟件與防火墻，提高個(gè)人上網(wǎng)設(shè)備的安全性能。

 

2.建立個(gè)人信息安全保護(hù)的法律法規(guī)。我國(guó)目前現(xiàn)有的法律法規(guī)對(duì)個(gè)人信息的保護(hù)雖然有所涉及，但這些規(guī)定都還只是零散地分布在各個(gè)法律之中，并未形成一個(gè)完整的個(gè)人信息安全保護(hù)的法律體系，而且沒(méi)有一部明確保護(hù)個(gè)人信息的專門(mén)法律。立法保護(hù)個(gè)人信息，不僅突出了公民的信息自由權(quán)，彰顯出以人為本的理念，回應(yīng)了和諧社會(huì)權(quán)利有序化的訴求。同時(shí)還可保護(hù)網(wǎng)上消費(fèi)者的個(gè)人信息安全，促使網(wǎng)絡(luò)運(yùn)營(yíng)有序化，推動(dòng)全國(guó)電子商務(wù)和電子政務(wù)的健康發(fā)展。

 

3.完善個(gè)人信息安全保護(hù)的技術(shù)措施。在互聯(lián)網(wǎng)環(huán)境下，個(gè)人信息的泄露主要是由黑客等機(jī)構(gòu)外部人員獲取和網(wǎng)絡(luò)傳輸過(guò)程中的問(wèn)題造成的，因此要加強(qiáng)軟硬件的技術(shù)保障，從而保護(hù)用戶個(gè)人信息安全。在硬件方面主要通過(guò)安裝防病毒硬盤(pán)等硬件設(shè)施進(jìn)行保護(hù)。在軟件方面主要通過(guò)個(gè)人隱私安全平臺(tái)、加密軟件、數(shù)據(jù)備份軟件、自動(dòng)刪除個(gè)人資料軟件等保護(hù)措施。針對(duì)網(wǎng)絡(luò)上的個(gè)人信息易泄露的問(wèn)題，網(wǎng)絡(luò)營(yíng)運(yùn)商除了應(yīng)向用戶提供提示信息，還應(yīng)該使用各種安全技術(shù)來(lái)保護(hù)網(wǎng)絡(luò)用戶的個(gè)人信息不被不法分子侵害。

 

4.建立健全個(gè)人信息安全保護(hù)與防范機(jī)制。個(gè)人信息安全的保護(hù)不僅要依靠法律，更需要網(wǎng)絡(luò)主體從業(yè)人員的道德意識(shí)以及自律意識(shí)。加強(qiáng)網(wǎng)絡(luò)道德建設(shè)，用道德標(biāo)準(zhǔn)約束人們?cè)诰W(wǎng)絡(luò)上的行為，要讓網(wǎng)絡(luò)道德成為人們?cè)诰W(wǎng)絡(luò)中實(shí)施行為時(shí)的一個(gè)標(biāo)準(zhǔn)。對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)商而言，除了要對(duì)網(wǎng)絡(luò)從業(yè)人員進(jìn)行道德教育并提高行業(yè)自律意識(shí)外。

 

許多網(wǎng)絡(luò)運(yùn)營(yíng)企業(yè)掌握著客戶大量的個(gè)人信息，如果沒(méi)有很好的防范機(jī)制就很容易造成信息的丟失。無(wú)論是電信運(yùn)營(yíng)商、電子商務(wù)企業(yè)，還是信息安全企業(yè)都需要對(duì)外來(lái)的技術(shù)攻擊加以防范。因此，企業(yè)必須加強(qiáng)自我約束力，提高保護(hù)客戶信息的意識(shí)，同時(shí)提高技術(shù)手段，完善相關(guān)信息管理系統(tǒng)，并對(duì)用戶個(gè)人信息安全管理制度和流程進(jìn)行梳理和完善，建立健全侵犯用戶個(gè)人信息的各項(xiàng)管理制度與規(guī)范，用戶個(gè)人信息安全管理和保護(hù)機(jī)制、問(wèn)題處理機(jī)制、監(jiān)督機(jī)制和獎(jiǎng)懲機(jī)制等。對(duì)侵犯用戶個(gè)人信息的情況，要做到迅速和準(zhǔn)確處理。

 

結(jié)束語(yǔ)

 

大數(shù)據(jù)時(shí)代的到來(lái)極大地促進(jìn)整個(gè)社會(huì)的發(fā)展。大數(shù)據(jù)在各行各業(yè)中的運(yùn)用，使我們精確地了解到過(guò)去通過(guò)抽樣調(diào)查很難了解的許多東西，讓我們更深刻地認(rèn)識(shí)了這個(gè)社會(huì)，從而更進(jìn)一步改善這個(gè)社會(huì)。我們不應(yīng)該否認(rèn)大數(shù)據(jù)帶來(lái)的益處，同樣我們應(yīng)該使這種益處最大化。但大數(shù)據(jù)帶來(lái)的對(duì)個(gè)人信息安全的威脅我們也應(yīng)該有著充分的認(rèn)識(shí)。保護(hù)個(gè)人信息不僅是對(duì)社會(huì)每個(gè)成員的保護(hù)，更是對(duì)國(guó)家安全以及社會(huì)長(zhǎng)期持續(xù)健康發(fā)展的保護(hù)。

第5篇

關(guān)鍵詞：信息系統(tǒng)安全 等級(jí)保護(hù) 福建

一、引言

信息安全等級(jí)保護(hù)制度是國(guó)家在國(guó)民經(jīng)濟(jì)和社會(huì)信息化的發(fā)展過(guò)程中，提高信息安全保障能力和水平，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)健康發(fā)展的一項(xiàng)基本制度。我國(guó)實(shí)施的信息系統(tǒng)安全等級(jí)保護(hù)制度，根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素,將信息系統(tǒng)的安全保護(hù)等級(jí)劃分為5個(gè)級(jí)別，從第一級(jí)到第五級(jí)逐級(jí)增高，對(duì)不同安全級(jí)別的信息系統(tǒng)實(shí)施不同的安全管理。

二、我國(guó)信息系統(tǒng)安全等級(jí)保護(hù)思想的形成

1994年，《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 》（國(guó)務(wù)院147號(hào)令）規(guī)定，“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)，安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法，由公安部會(huì)同有關(guān)部門(mén)制定”。

20世紀(jì)80年代初，美國(guó)國(guó)防部制定了“國(guó)家計(jì)算機(jī)安全標(biāo)準(zhǔn)”等系列標(biāo)準(zhǔn)，包括《可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則》（TCSEC，即俗稱的“桔皮書(shū)”）及其他近40個(gè)相關(guān)標(biāo)準(zhǔn)，合稱“彩虹系列”。 TCSEC標(biāo)準(zhǔn)是國(guó)際上計(jì)算機(jī)系統(tǒng)安全評(píng)估的第一套大規(guī)模系統(tǒng)標(biāo)準(zhǔn)，具有劃時(shí)代的意義。TCSEC將安全產(chǎn)品的安全功能和可信度綜合在一起，設(shè)立了4類(lèi)7級(jí)。

1999年，我國(guó)公安部組織制定了強(qiáng)制性國(guó)家標(biāo)準(zhǔn)――《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》。

2000年11月10日，國(guó)家計(jì)委批準(zhǔn)公安部開(kāi)展“計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)評(píng)估體系及互聯(lián)網(wǎng)絡(luò)電子身份管理與安全保護(hù)平臺(tái)項(xiàng)目”建設(shè)。

2003年，《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)［2003］27號(hào)）明確指出“實(shí)行信息安全等級(jí)保護(hù)”，“要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級(jí)保護(hù)制度，制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南”。這標(biāo)志著等級(jí)保護(hù)從計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的一項(xiàng)制度提升到國(guó)家信息安全保障一項(xiàng)基本制度。同時(shí)中央27號(hào)文明確了各級(jí)黨委和政府在信息安全保障工作中的領(lǐng)導(dǎo)地位，以及“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”的信息安全保障責(zé)任制。

2004年9月，公安部會(huì)同國(guó)家保密局、國(guó)家密碼管理局和國(guó)務(wù)院信息辦聯(lián)合出臺(tái)了《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》（公通字［2004］66號(hào)），明確了信息安全等級(jí)保護(hù)制度的原則和基本內(nèi)容，以及信息安全等級(jí)保護(hù)工作的職責(zé)分工、工作實(shí)施的要求等。

2006年1月，公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)信辦聯(lián)合制定了《信息安全等級(jí)保護(hù)管理辦法（試行）》，并于2007年6月修訂。

2007年6月，公安部會(huì)同國(guó)家保密局、國(guó)家密碼管理局和國(guó)務(wù)院信息辦聯(lián)合頒布《信息安全等級(jí)保護(hù)管理辦法》（公通字［2007］43號(hào)，以下簡(jiǎn)稱《管理辦法》），明確了信息安全等級(jí)保護(hù)制度的基本內(nèi)容、流程及工作要求，進(jìn)一步明確了信息系統(tǒng)運(yùn)營(yíng)使用單位和主管部門(mén)、監(jiān)管部門(mén)在信息安全等級(jí)保護(hù)工作中的職責(zé)、任務(wù)，為開(kāi)展信息安全等級(jí)保護(hù)工作提供了規(guī)范保障。

三、開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)工作的必要性和重要性

⒈開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)工作的必要性

隨著網(wǎng)絡(luò)新技術(shù)的飛速發(fā)展和各類(lèi)信息系統(tǒng)的廣泛應(yīng)用，網(wǎng)絡(luò)與信息安全也相應(yīng)出現(xiàn)了許多新情況、新問(wèn)題，福建省網(wǎng)絡(luò)與信息安全防護(hù)工作面臨的形勢(shì)十分嚴(yán)峻。這就使得開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)工作成為必然。

一是網(wǎng)上斗爭(zhēng)日趨復(fù)雜，不確定性增強(qiáng)。由于在互聯(lián)網(wǎng)上傳播信息具備快速便捷、低成本、無(wú)國(guó)界、易消除痕跡、技術(shù)變化快等特點(diǎn)，使互聯(lián)網(wǎng)成為境內(nèi)外敵對(duì)勢(shì)力、敵對(duì)分子從事各種破壞活動(dòng)的重要工具。我國(guó)將長(zhǎng)期面臨敵對(duì)勢(shì)力的信息優(yōu)勢(shì)、技術(shù)優(yōu)勢(shì)所帶來(lái)的信息安全威脅。

二是網(wǎng)絡(luò)違法犯罪活動(dòng)迅速增多，造成的后果越來(lái)越嚴(yán)重。隨著新技術(shù)、新應(yīng)用的發(fā)展，暴露出來(lái)的網(wǎng)絡(luò)與信息安全問(wèn)題也日益增多。

三是漏洞數(shù)量居高不下，利用漏洞發(fā)起攻擊仍是互聯(lián)網(wǎng)最大的安全隱患。安全漏洞是指在網(wǎng)絡(luò)系統(tǒng)中硬件、軟件、協(xié)議和系統(tǒng)安全策略等存在的缺陷和錯(cuò)誤，攻擊者利用這些缺陷和錯(cuò)誤可以對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行非授權(quán)的訪問(wèn)或破壞。

四是計(jì)算機(jī)病毒傳播和對(duì)網(wǎng)絡(luò)非法入侵十分嚴(yán)重。據(jù)公安機(jī)關(guān)調(diào)查，2007年1-6月，我國(guó)平均每月截獲計(jì)算機(jī)病毒6.6萬(wàn)個(gè)，累計(jì)感染計(jì)算機(jī)達(dá)1.18億臺(tái)次。2007年初在我國(guó)發(fā)生的“熊貓燒香”病毒案，短時(shí)間內(nèi)就出現(xiàn)病毒變種700余個(gè)，感染了445萬(wàn)臺(tái)計(jì)算機(jī)，大批網(wǎng)民的網(wǎng)上帳號(hào)、口令被竊取。

⒉開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)工作的重要性

開(kāi)展信息安全等級(jí)保護(hù)工作，就是要解決我國(guó)信息安全面臨的威脅和存在的主要問(wèn)題，按標(biāo)準(zhǔn)建設(shè)安全保護(hù)措施，建立安全保護(hù)制度，落實(shí)安全責(zé)任，加強(qiáng)監(jiān)督檢查，有效保護(hù)重要信息系統(tǒng)安全，有效提高我國(guó)信息和信息系統(tǒng)安全建設(shè)的整體水平。

建立信息安全等級(jí)保護(hù)制度，開(kāi)展信息安全等級(jí)保護(hù)工作，有利于在信息化建設(shè)過(guò)程中同步建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相協(xié)調(diào)；有利于為信息系統(tǒng)安全建設(shè)和管理提供系統(tǒng)性、針對(duì)性、可行性的指導(dǎo)和服務(wù)；有利于優(yōu)化信息安全資源的配置，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)的安全；有利于明確國(guó)家、法人和其他組織、公民的信息安全責(zé)任，加強(qiáng)信息安全管理；有利于推動(dòng)信息安全產(chǎn)業(yè)的發(fā)展，逐步探索出一條適應(yīng)社會(huì)主義市場(chǎng)經(jīng)濟(jì)發(fā)展的信息安全模式。

四、加快推進(jìn)福建省重要信息系統(tǒng)安全等級(jí)保護(hù)工作

2007年7月20日，公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息化工作辦公室在北京聯(lián)合召開(kāi)“全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作電視電話會(huì)議”，部署在全國(guó)范圍內(nèi)開(kāi)展重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作。8月13日，福建省公安廳、省保密局、省委機(jī)要局、數(shù)字福建建設(shè)領(lǐng)導(dǎo)小組辦公室等四家單位也聯(lián)合召開(kāi)“福建省重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作電視電話會(huì)議”。這標(biāo)志著福建省重要信息系統(tǒng)安全等級(jí)保護(hù)工作正式啟動(dòng)。

信息系統(tǒng)安全保護(hù)工作的首要環(huán)節(jié)是定級(jí)，定級(jí)工作是開(kāi)展信息系統(tǒng)建設(shè)、整改、測(cè)評(píng)、備案、監(jiān)督檢查等后續(xù)工作的重要基礎(chǔ)。信息系統(tǒng)安全級(jí)別定不準(zhǔn)，系統(tǒng)建設(shè)、整改、備案、等級(jí)測(cè)評(píng)等后續(xù)工作都將失去針對(duì)性。此次福建省重要信息系統(tǒng)安全等級(jí)保護(hù)工作將分四個(gè)階段進(jìn)行。

1.突出重點(diǎn)，全面準(zhǔn)確劃定定級(jí)范圍和定級(jí)對(duì)象

此次重要信息系統(tǒng)定級(jí)的范圍是國(guó)家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)，這些網(wǎng)絡(luò)和系統(tǒng)廣泛分布在各級(jí)黨政機(jī)關(guān)和電信、廣電、鐵路、銀行、民航、海關(guān)、稅務(wù)、電力、證券、保險(xiǎn)等數(shù)十個(gè)行業(yè)。將這些基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)納入此次定級(jí)的重點(diǎn)范圍，體現(xiàn)了統(tǒng)籌規(guī)劃、突出重點(diǎn)、重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全的總體要求和原則。

2.依據(jù)《管理辦法》，準(zhǔn)確確定信息系統(tǒng)安全保護(hù)等級(jí)

福建省各運(yùn)營(yíng)使用單位和主管部門(mén)在全面分析各自信息網(wǎng)絡(luò)和信息系統(tǒng)在國(guó)家安全、社會(huì)秩序、公共利益等方面的作用和影響的基礎(chǔ)上，根據(jù)信息網(wǎng)絡(luò)和信息系統(tǒng)被攻擊破壞后對(duì)國(guó)家安全、社會(huì)秩序和公共利益等方面可能造成的危害程度等因素，依據(jù)《管理辦法》，參照《定級(jí)指南》所提供的定級(jí)方法，綜合確定信息系統(tǒng)的安全保護(hù)等級(jí)。在確定等級(jí)的過(guò)程中，要最大限度地避免定級(jí)的盲目性、隨意性，力爭(zhēng)做到定級(jí)準(zhǔn)確、科學(xué)、合理。

3.及時(shí)備案，加強(qiáng)對(duì)定級(jí)工作的監(jiān)督、檢查和指導(dǎo)

為全面掌握基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的單位和系統(tǒng)的基本情況，保護(hù)重點(diǎn)領(lǐng)域的重要信息網(wǎng)絡(luò)和信息系統(tǒng)，凡是安全保護(hù)等級(jí)為第二級(jí)以上的信息系統(tǒng)運(yùn)營(yíng)使用單位或主管部門(mén)要按照《管理辦法》的要求，到公安機(jī)關(guān)進(jìn)行備案。公安機(jī)關(guān)受理備案后要對(duì)備案材料進(jìn)行審核，加強(qiáng)對(duì)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的監(jiān)督、檢查和指導(dǎo)；對(duì)定級(jí)不準(zhǔn)的，要及時(shí)通知備案單位重新定級(jí)。

4.依據(jù)《管理辦法》和技術(shù)標(biāo)準(zhǔn)，開(kāi)展整改、測(cè)評(píng)等工作

信息系統(tǒng)的安全保護(hù)等級(jí)確定后，運(yùn)營(yíng)使用單位要按照信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，使用符合國(guó)家有關(guān)規(guī)定、滿足信息系統(tǒng)安全保護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品，開(kāi)展信息系統(tǒng)安全建設(shè)或者改建工作，建設(shè)符合等級(jí)要求的信息安全設(shè)施；參照信息安全等級(jí)保護(hù)管理規(guī)范，制定并落實(shí)安全管理制度；選擇符合《管理辦法》規(guī)定條件的測(cè)評(píng)機(jī)構(gòu)，依據(jù)技術(shù)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)安全等級(jí)狀況開(kāi)展等級(jí)測(cè)評(píng)，使其盡快達(dá)到等級(jí)要求的安全保護(hù)能力和水平。

五、加大力度，確保福省重要信息系統(tǒng)安全等級(jí)保護(hù)工作任務(wù)落到實(shí)處

隨著北京奧運(yùn)會(huì)的日益臨近，特別是“科技奧運(yùn)”和“數(shù)字奧運(yùn)”是2008年北京奧運(yùn)會(huì)的一大亮點(diǎn)，信息安全等級(jí)保護(hù)的工作任務(wù)艱巨，責(zé)任重大。福建省公安、保密、密碼工作和信息化等部門(mén)要密切配合，及時(shí)開(kāi)展監(jiān)督、檢查，嚴(yán)格審查信息系統(tǒng)所定級(jí)別，積極開(kāi)展備案、整改、測(cè)評(píng)等工作。同時(shí)，充分利用廣播電視、報(bào)刊雜志、互聯(lián)網(wǎng)等媒體，加大對(duì)國(guó)家信息安全等級(jí)保護(hù)制度的宣傳力度，積極開(kāi)展面向不同層次、不同對(duì)象的宣傳、培訓(xùn)，以確保福建省重要信息系統(tǒng)安全等級(jí)保護(hù)工作落到實(shí)處。

1.明確職責(zé)，落實(shí)責(zé)任

各級(jí)公安機(jī)關(guān)要積極向當(dāng)?shù)攸h委、政府專門(mén)匯報(bào)，主動(dòng)爭(zhēng)取黨委、政府對(duì)信息安全等級(jí)保護(hù)工作的重視和支持；或者成立專門(mén)的等級(jí)保護(hù)工作直轄市領(lǐng)導(dǎo)小組，加強(qiáng)對(duì)定級(jí)工作的領(lǐng)導(dǎo)，研究制定定級(jí)工作實(shí)施方案。各運(yùn)營(yíng)使用單位及其主管部門(mén)要按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”的要求，明確主管領(lǐng)導(dǎo)和責(zé)任部門(mén)。各信息系統(tǒng)主管部門(mén)要切實(shí)加強(qiáng)對(duì)定級(jí)工作的組織、領(lǐng)導(dǎo)，落實(shí)等級(jí)保護(hù)各項(xiàng)責(zé)任，督促、指導(dǎo)本行業(yè)、本系統(tǒng)開(kāi)展定級(jí)、備案、建設(shè)整改等工作。

2.密切配合，通力協(xié)作

各級(jí)公安機(jī)關(guān)作為開(kāi)展等級(jí)保護(hù)工作的牽頭部門(mén)，要加強(qiáng)同保密、密碼工作、信息辦等其他信息安全職能部門(mén)的協(xié)調(diào)、配合，盡快建立健全信息安全等級(jí)保護(hù)監(jiān)管工作的協(xié)調(diào)配合機(jī)制；要主動(dòng)與信息系統(tǒng)主管部門(mén)交流溝通，督促配合其組織下屬信息系統(tǒng)運(yùn)營(yíng)、使用單位建立信息安全責(zé)任制，建立并落實(shí)等級(jí)保護(hù)制度，從而確保等級(jí)保護(hù)工作的順利、有效實(shí)施。

3.加強(qiáng)宣傳，強(qiáng)化培訓(xùn)

第6篇

一、工作目標(biāo)

通過(guò)深入開(kāi)展此次專項(xiàng)活動(dòng)，確保全市重要信息系統(tǒng)能夠全面進(jìn)行準(zhǔn)確定級(jí)和審核備案；全面組織等級(jí)測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估；全面開(kāi)展監(jiān)督檢查和建設(shè)整改；全面落實(shí)管理制度和安全責(zé)任，努力實(shí)現(xiàn)我市信息安全等級(jí)保護(hù)工作規(guī)范化、制度化、常態(tài)化的管理目標(biāo)，不斷提高重要信息系統(tǒng)安全防范能力和應(yīng)急處置能力，為建國(guó)周年慶典活動(dòng)創(chuàng)造一個(gè)良好的網(wǎng)絡(luò)環(huán)境。

二、工作任務(wù)

（一）全面進(jìn)行準(zhǔn)確定級(jí)和審核備案。各部門(mén)、各單位要參照國(guó)家機(jī)關(guān)、中央企事業(yè)單位及省直機(jī)關(guān)、省屬企事業(yè)單位已審核的信息系統(tǒng)安全保護(hù)等級(jí)，對(duì)本單位信息系統(tǒng)全面進(jìn)行定級(jí)和審核備案。對(duì)于已經(jīng)定級(jí)、備案的系統(tǒng)，凡符合上級(jí)國(guó)家機(jī)關(guān)、企事業(yè)單位安全保護(hù)等級(jí)的，可不再重新定級(jí)和審核備案，否則均要重新定級(jí)和審核備案；對(duì)于尚未定級(jí)和審核備案的系統(tǒng)，都要比照上級(jí)部門(mén)信息系統(tǒng)安全保護(hù)等級(jí)逐一進(jìn)行定級(jí)備案。其中，安全保護(hù)等級(jí)確定為一級(jí)的信息系統(tǒng)，公安機(jī)關(guān)應(yīng)做好登記工作。安全保護(hù)等級(jí)確定為二級(jí)以上的信息系統(tǒng)，各信息系統(tǒng)運(yùn)營(yíng)使用單位要在公安機(jī)關(guān)辦理審核備案手續(xù)，填寫(xiě)《信息安全等級(jí)保護(hù)備案表》，實(shí)行審核備案管理。全市重要信息系統(tǒng)定級(jí)和審核備案率要達(dá)到100%。

（二）全面組織等級(jí)測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估。關(guān)系到我市國(guó)計(jì)民生或影響面較大的二級(jí)信息系統(tǒng)和三級(jí)以上(含三級(jí))的重要信息系統(tǒng)都要按照《信息安全等級(jí)保護(hù)管理辦法》及省發(fā)改委、省公安廳、省國(guó)家保密局《關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》要求，全面開(kāi)展等級(jí)測(cè)評(píng)及風(fēng)險(xiǎn)評(píng)估工作。其初次測(cè)評(píng)及風(fēng)險(xiǎn)評(píng)估率應(yīng)達(dá)到61%以上（其他尚未開(kāi)展初次測(cè)評(píng)的系統(tǒng)應(yīng)于年上半年完成）。

（三）全面開(kāi)展監(jiān)督檢查和建設(shè)整改。關(guān)系到我市國(guó)計(jì)民生或影響面較大的二級(jí)信息系統(tǒng)和三級(jí)以上(含三級(jí))的重要信息系統(tǒng)都要按照《公安機(jī)關(guān)信息安全等級(jí)保護(hù)檢查工作規(guī)范》規(guī)定的檢查內(nèi)容、檢查項(xiàng)目、檢查要求等，全面組織開(kāi)展安全等級(jí)保護(hù)監(jiān)督檢查和限期整改工作，其監(jiān)督檢查率應(yīng)達(dá)到100%，限期整改率應(yīng)達(dá)到80%以上。其他被定為二級(jí)（含二級(jí)）以下的信息系統(tǒng)，可由信息系統(tǒng)運(yùn)營(yíng)使用單位進(jìn)行自查和整改。

三、工作步驟

（一）定級(jí)與備案階段（8月18日至9月15日）。市專項(xiàng)活動(dòng)領(lǐng)導(dǎo)小組在8月31日前進(jìn)行組織動(dòng)員和工作部署，開(kāi)展信息系統(tǒng)普查，全面摸清底數(shù)，掌握基本情況，確定定級(jí)對(duì)象。9月15日前，各重要信息系統(tǒng)運(yùn)營(yíng)使用單位要對(duì)照上級(jí)國(guó)家機(jī)關(guān)、企事業(yè)單位已審核備案的信息系統(tǒng)安全保護(hù)等級(jí)，對(duì)應(yīng)確定本單位信息系統(tǒng)安全保護(hù)等級(jí)，并做好申報(bào)備案。對(duì)審核符合安全保護(hù)等級(jí)要求的，由市專項(xiàng)活動(dòng)領(lǐng)導(dǎo)小組頒發(fā)信息安全等級(jí)保護(hù)備案證明。凡審核定級(jí)不準(zhǔn)的，應(yīng)重新評(píng)審確定，為等級(jí)測(cè)評(píng)和檢查整改奠定基礎(chǔ)。

（二）測(cè)評(píng)與檢查階段（9月15日至11月30日）。市專項(xiàng)活動(dòng)領(lǐng)導(dǎo)小組將對(duì)關(guān)系我市國(guó)計(jì)民生的二級(jí)信息系統(tǒng)及三級(jí)以上（含三級(jí)）信息系統(tǒng)開(kāi)展安全等級(jí)測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估。市專項(xiàng)活動(dòng)領(lǐng)導(dǎo)小組督促、指導(dǎo)各單位積極做好信息安全等級(jí)保護(hù)和監(jiān)督檢查工作。各重要信息系統(tǒng)運(yùn)營(yíng)使用單位要按照國(guó)家《信息安全等級(jí)保護(hù)管理辦法》和省發(fā)改委、省公安廳、省國(guó)家保密局《轉(zhuǎn)發(fā)國(guó)家有關(guān)部門(mén)關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》精神，提前做好人員、技術(shù)、經(jīng)費(fèi)等各項(xiàng)準(zhǔn)備工作，按時(shí)完成信息系統(tǒng)等級(jí)測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估。

（三）總結(jié)與整改階段（12月1日至12月31日）。市專項(xiàng)活動(dòng)領(lǐng)導(dǎo)小組根據(jù)信息系統(tǒng)安全等級(jí)測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估中發(fā)現(xiàn)的安全隱患和問(wèn)題，向運(yùn)營(yíng)使用單位下發(fā)《整改通知書(shū)》，要求該單位限期對(duì)安全設(shè)施、技術(shù)措施、管理制度、安全產(chǎn)品、管理人員等方面存在的問(wèn)題進(jìn)行全面整改。各單位要制定相應(yīng)的建設(shè)整改方案，認(rèn)真搞好安全隱患的整改工作。

四、工作要求

（一）統(tǒng)一思想認(rèn)識(shí)，切實(shí)加強(qiáng)領(lǐng)導(dǎo)。各地各有關(guān)部門(mén)要充分認(rèn)識(shí)當(dāng)前重要信息系統(tǒng)安全面臨的嚴(yán)峻形勢(shì)，進(jìn)一步增強(qiáng)做好信息安全等級(jí)保護(hù)工作的責(zé)任感和緊迫感，務(wù)必把此項(xiàng)工作作為事關(guān)國(guó)家安全和社會(huì)穩(wěn)定，特別是國(guó)慶61周年安全保衛(wèi)的一項(xiàng)重要政治任務(wù)，納入議事日程，擺在應(yīng)有位置。為切實(shí)加強(qiáng)領(lǐng)導(dǎo)，成立荊州市深入開(kāi)展全市重要信息系統(tǒng)安全等級(jí)保護(hù)管理專項(xiàng)活動(dòng)領(lǐng)導(dǎo)小組（名單附后），領(lǐng)導(dǎo)小組在本次專項(xiàng)活動(dòng)完成后，繼續(xù)擔(dān)負(fù)我市重要信息等級(jí)保護(hù)工作的組織領(lǐng)導(dǎo)職責(zé)。要建立健全信息安全等級(jí)保護(hù)協(xié)調(diào)領(lǐng)導(dǎo)體制和工作機(jī)制，精心組織實(shí)施信息安全等級(jí)保護(hù)管理工作。各地各有關(guān)部門(mén)分管領(lǐng)導(dǎo)要親自掛帥指揮，按照“誰(shuí)主管，誰(shuí)負(fù)責(zé)，誰(shuí)使用，誰(shuí)負(fù)責(zé)”的原則，成立領(lǐng)導(dǎo)小組，建立工作專班，確立聯(lián)絡(luò)人員，迅速行動(dòng)、全力以赴，大張旗鼓地組織開(kāi)展等級(jí)保護(hù)工作。

（二）深入動(dòng)員部署，精心組織實(shí)施。各重要信息系統(tǒng)運(yùn)營(yíng)使用單位要制定好本單位信息系統(tǒng)安全等級(jí)保護(hù)工作實(shí)施方案，準(zhǔn)確定級(jí)，并將相關(guān)資料上報(bào)市專項(xiàng)活動(dòng)領(lǐng)導(dǎo)小組辦公室。在定級(jí)完成后，要積極做好測(cè)評(píng)準(zhǔn)備工作，在人力、財(cái)力上給予充分保障。對(duì)檢測(cè)出來(lái)的問(wèn)題要及時(shí)向主管領(lǐng)導(dǎo)和上級(jí)部門(mén)報(bào)告，立即整改，把專項(xiàng)活動(dòng)的各項(xiàng)要求落到實(shí)處。

第7篇

《中國(guó)標(biāo)準(zhǔn)導(dǎo)報(bào)雜志》2015年第四期

1信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)依據(jù)的標(biāo)準(zhǔn)

GB/T28449—2012《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》規(guī)定了信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)工作的測(cè)評(píng)過(guò)程，既適用于測(cè)評(píng)機(jī)構(gòu)、信息系統(tǒng)的主管部門(mén)及運(yùn)營(yíng)使用單位對(duì)信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行的安全測(cè)試評(píng)價(jià)，也適用于信息系統(tǒng)的運(yùn)營(yíng)使用單位在信息系統(tǒng)定級(jí)工作完成之后，對(duì)信息系統(tǒng)的安全保護(hù)現(xiàn)狀進(jìn)行的測(cè)試評(píng)價(jià)，獲取信息系統(tǒng)的全面保護(hù)需求。GB/T28448—2012《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》針對(duì)信息系統(tǒng)中的單項(xiàng)安全措施和多個(gè)安全措施的綜合防范，對(duì)應(yīng)地提出單元測(cè)評(píng)和整體測(cè)評(píng)的技術(shù)要求，用以指導(dǎo)測(cè)評(píng)人員從信息安全等級(jí)保護(hù)的角度對(duì)信息系統(tǒng)進(jìn)行測(cè)試評(píng)估。GB/T22239—2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》根據(jù)現(xiàn)有技術(shù)的發(fā)展水平，提出和規(guī)定了不同安全保護(hù)等級(jí)信息系統(tǒng)的最低保護(hù)要求，即基本安全要求，包括基本技術(shù)要求和基本管理要求，該標(biāo)準(zhǔn)適用于指導(dǎo)不同安全保護(hù)等級(jí)信息系統(tǒng)的安全建設(shè)和監(jiān)督管理。

2整合實(shí)施的思路

2.1審核與測(cè)評(píng)的過(guò)程整合整合是為了在組織內(nèi)部建立一套信息安全管理體系及制度，而且該制度既符合信息安全管理體系又符合信息系統(tǒng)安全等級(jí)保護(hù)的管理要求，并給組織帶來(lái)收益，避免不必要的沖突和資源浪費(fèi)。根據(jù)對(duì)審核和測(cè)評(píng)的過(guò)程分析得知審核從表面上執(zhí)行了測(cè)評(píng)的管理內(nèi)容，但從整個(gè)審核和測(cè)評(píng)活動(dòng)可得出，兩者的活動(dòng)內(nèi)容和組織方式非常相似，因此具備很強(qiáng)的整合條件，兩者的具體活動(dòng)如表1所示。

2.2審核與測(cè)評(píng)的控制措施整合整合GB/T22239—2008中的控制措施部分與GB/T22080—2008的附錄A完全可行，且整合后可避免多余、重復(fù)的管理資源。如GB/T22239—2008三級(jí)信息系統(tǒng)對(duì)資產(chǎn)管理的要求和GB/T22080—2008中的“A.7資產(chǎn)管理”基本保持了一致，具體標(biāo)準(zhǔn)條款映射如表2所示。若組織內(nèi)存在等級(jí)保護(hù)三級(jí)或三級(jí)以上的信息系統(tǒng)，則該組織應(yīng)建立信息安全管理制度體系，這與組織單獨(dú)建立ISMS所達(dá)到的目標(biāo)基本一樣，從整合的角度來(lái)看，通過(guò)實(shí)施整合，可以取得“一舉兩得”的效果。具體的整合檢查表如表3所示。

3結(jié)語(yǔ)

信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)和信息安全管理體系審核，都是為實(shí)現(xiàn)和強(qiáng)化信息安全管理，做到分清責(zé)任機(jī)構(gòu)，確認(rèn)安全制度，預(yù)防和應(yīng)對(duì)可能發(fā)生或者已經(jīng)發(fā)生的信息系統(tǒng)管理問(wèn)題。因此隨著信息化工作的不斷發(fā)展，信息安全管理體系審核和信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)必將走上一條能夠融合的道路。

作者：胡娟 謝宗曉 單位：公安部第三研究所 南開(kāi)大學(xué)商學(xué)院

第8篇

【關(guān)鍵詞】電力；信息系統(tǒng)；信息安全；等級(jí)保護(hù)

隨著科學(xué)技術(shù)的快速提高，我國(guó)的信息化發(fā)展迅速，信息化在各行各業(yè)都得到廣泛應(yīng)用。城市電網(wǎng)是經(jīng)濟(jì)社會(huì)發(fā)展的重要基礎(chǔ)設(shè)施，是能源產(chǎn)業(yè)鏈的重要環(huán)節(jié)。隨著信息、通信技術(shù)的廣泛應(yīng)用，智能化已成為世界電網(wǎng)發(fā)展的新趨勢(shì)。電力企業(yè)網(wǎng)絡(luò)建立信息安全等級(jí)保護(hù)制度旨在為國(guó)家信息安全保護(hù)工作建立起一個(gè)長(zhǎng)久有效的安全機(jī)制，保障信息化建設(shè)的健康發(fā)展。然而目前我國(guó)電網(wǎng)的信息安全等級(jí)保護(hù)政策的實(shí)施處于初步進(jìn)行階段，還有很多工作需要完成。這需要業(yè)內(nèi)外人士的共同參與，為保障信息安全盡最大的努力。同時(shí)伴隨著計(jì)算機(jī)技術(shù)的發(fā)展，信息安全等級(jí)保護(hù)技術(shù)和水平也要不斷優(yōu)化升級(jí)，確保能夠及時(shí)解決安全保護(hù)中遇到的問(wèn)題，讓信息安全等級(jí)保護(hù)政策的實(shí)施暢行無(wú)阻。

1 電力信息安全等級(jí)保護(hù)

信息系統(tǒng)等級(jí)保護(hù)制度是我國(guó)信息安全領(lǐng)域一項(xiàng)重要政策，信息系統(tǒng)安全等級(jí)保護(hù)是指對(duì)信息安全實(shí)行等級(jí)化保護(hù)和等級(jí)化管理。根據(jù)信息系統(tǒng)實(shí)用業(yè)務(wù)重要程度及其安全實(shí)際需求，實(shí)行分級(jí)、分類(lèi)、分階段實(shí)施保護(hù)，保障信息安全和系統(tǒng)安全穩(wěn)定運(yùn)行，維護(hù)國(guó)家利益、公共利益和社會(huì)穩(wěn)定，等級(jí)保護(hù)的核心是對(duì)信息系統(tǒng)特別是對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)安全分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。國(guó)家對(duì)信息安全等級(jí)保護(hù)工作運(yùn)用法律和技術(shù)規(guī)范逐級(jí)加強(qiáng)監(jiān)管力度，保障重要信息資源和重要信息系統(tǒng)的安全。

1.1 等級(jí)保護(hù)定級(jí)

信息系統(tǒng)的安全保護(hù)等級(jí)由兩個(gè)定級(jí)要素決定：等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體和對(duì)客體造成侵害的程度，其中等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體包括三方面：公民、法人和其他組織的合法權(quán)益，社會(huì)秩序、公民利益，國(guó)家安全。等級(jí)保護(hù)對(duì)象受到破壞后對(duì)客體造成侵害的程度分為三種：一般損害，嚴(yán)重?fù)p害，特別嚴(yán)重?fù)p害。定級(jí)要素與信息系統(tǒng)定級(jí)的關(guān)系見(jiàn)下表所示。

1.2 基本要求與主要流程

等級(jí)保護(hù)的基本要求是：各基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)，按照“準(zhǔn)確定級(jí)、嚴(yán)格審批、及時(shí)備案、認(rèn)真整改、科學(xué)測(cè)評(píng)”的要求完成等級(jí)保護(hù)的定級(jí)、備案、整改、測(cè)評(píng)等工作。公安機(jī)關(guān)和保密、密碼工作部門(mén)要及時(shí)開(kāi)展監(jiān)督檢查，嚴(yán)格審查信息系統(tǒng)所定級(jí)別，嚴(yán)格檢查信息系統(tǒng)開(kāi)展備案、整改、測(cè)評(píng)等工作。等級(jí)保護(hù)的主要流程包括6項(xiàng)內(nèi)容。

（1）自主定級(jí)與審批：信息系統(tǒng)運(yùn)營(yíng)使用單位按照等級(jí)保護(hù)管理辦法和定級(jí)指南，自主確定信息系統(tǒng)的安全保護(hù)等級(jí)。有上級(jí)主管部門(mén)的，應(yīng)當(dāng)經(jīng)上級(jí)主管部門(mén)審批。跨省或全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由其主管部門(mén)統(tǒng)一確定安全保護(hù)等級(jí)。

（2）評(píng)審：在信息系統(tǒng)確定安全保護(hù)等級(jí)過(guò)程中，可以組織專家進(jìn)行評(píng)審。對(duì)擬確定為第4級(jí)以上信息系統(tǒng)的，運(yùn)營(yíng)使用單位或主管部門(mén)應(yīng)當(dāng)邀請(qǐng)國(guó)家信息安全等級(jí)專家評(píng)審委員會(huì)評(píng)審。

（3）備案：第2級(jí)以上信息系統(tǒng)定級(jí)單位到所在地的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。

（4）系統(tǒng)安全建設(shè)：信息系統(tǒng)安全保護(hù)等級(jí)確定后，運(yùn)營(yíng)使用單位按照慣例規(guī)范和技術(shù)標(biāo)準(zhǔn)，選擇管理辦法要求的信息安全產(chǎn)品，建設(shè)符合等級(jí)要求的信息安全設(shè)施，建立安全組織，制定并落實(shí)信息安全管理制度。

（5）等級(jí)測(cè)評(píng)：信息系統(tǒng)建設(shè)完成后，運(yùn)營(yíng)使用單位選擇符合管理辦法要求的檢測(cè)機(jī)構(gòu)，對(duì)信息系統(tǒng)安全等級(jí)狀況開(kāi)展等級(jí)測(cè)評(píng)。

（6）監(jiān)督檢查：公安機(jī)關(guān)依據(jù)信息安全等級(jí)保護(hù)管理規(guī)范，監(jiān)督檢查運(yùn)營(yíng)使用單位開(kāi)展等級(jí)保護(hù)工作，定期對(duì)第3級(jí)以上的信息系統(tǒng)進(jìn)行安全檢查。運(yùn)營(yíng)使用單位應(yīng)當(dāng)接受公安機(jī)關(guān)的安全監(jiān)督、檢查、指導(dǎo)，如實(shí)向公安機(jī)關(guān)提供有關(guān)材料。

2 電力信息系統(tǒng)等級(jí)保護(hù)工作開(kāi)展

2.1 信息系統(tǒng)定級(jí)及審批

2007年7月，公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息辦聯(lián)合下發(fā)《關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》（公信安[2007]861號(hào)），按照有關(guān)工作要求，國(guó)家電力監(jiān)管委員會(huì)開(kāi)展了電力行業(yè)等級(jí)保護(hù)定級(jí)工作，并印發(fā)《關(guān)于開(kāi)展電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》（電監(jiān)信息[2007]34號(hào)），電力公司按照《國(guó)家電網(wǎng)公司信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南（試行）》（信息技術(shù)[2007]60號(hào)）對(duì)公司信息系統(tǒng)進(jìn)行定級(jí)，按照要求填寫(xiě)定級(jí)報(bào)告和備案表，并報(bào)送國(guó)家電力監(jiān)管委員會(huì)組織評(píng)審和審批。主要涉及4個(gè)3級(jí)系統(tǒng)、11個(gè)二級(jí)系統(tǒng)，具體見(jiàn)表2。

2.2 信息系統(tǒng)等級(jí)保護(hù)備案

公司完成信息系統(tǒng)的定級(jí)工作后，開(kāi)始對(duì)信息系統(tǒng)進(jìn)行等級(jí)保護(hù)備案，認(rèn)真填寫(xiě)《信息系統(tǒng)安全等級(jí)保護(hù)備案表》，梳理完成所有資料準(zhǔn)備后，于2011年向省公安廳提交了等級(jí)保護(hù)備案材料，最終公司15個(gè)管理信息系統(tǒng)完成了等級(jí)保護(hù)備案工作。

2.3 等級(jí)保護(hù)測(cè)評(píng)及整改工作

2011-2012年，按照國(guó)家電力監(jiān)管委員會(huì)要求，北京華電卓識(shí)信息安全測(cè)評(píng)技術(shù)中心相繼完成對(duì)公司電力市場(chǎng)交易系統(tǒng)、ERP系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、營(yíng)銷(xiāo)管理等15個(gè)系統(tǒng)的等級(jí)保護(hù)測(cè)評(píng)工作。

公司積極組織、協(xié)調(diào)、配合測(cè)評(píng)隊(duì)伍，遵循“流程規(guī)范、方法科學(xué)、結(jié)論公正”的原則，按照國(guó)家等級(jí)保護(hù)測(cè)評(píng)工作的有關(guān)標(biāo)準(zhǔn)、規(guī)范的要求，根據(jù)《電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)要求（試行）》開(kāi)展測(cè)評(píng)工作，公司信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)符合率達(dá)到95%以上，順利通過(guò)了等級(jí)保護(hù)測(cè)評(píng)，但是測(cè)評(píng)中還是發(fā)現(xiàn)了部分問(wèn)題，主要包括：

（1）網(wǎng)絡(luò)設(shè)備不具備雙因子驗(yàn)證

根據(jù)國(guó)家《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》規(guī)定，第2級(jí)以上（不含）信息系統(tǒng)網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來(lái)進(jìn)行身份鑒別，按照此項(xiàng)基本要求，限于硬件條件，公司三級(jí)信息系統(tǒng)尚達(dá)不到安全防護(hù)要求。

（2）數(shù)據(jù)庫(kù)審計(jì)功能未開(kāi)啟

根據(jù)國(guó)家《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》規(guī)定，第2級(jí)及以上信息系統(tǒng)審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶；系統(tǒng)不支持該要求的，應(yīng)以系統(tǒng)運(yùn)行安全和效率為前提。按照此項(xiàng)工作要求，公司部分系統(tǒng)未開(kāi)啟數(shù)據(jù)庫(kù)審計(jì)功能，亦未部署第三方審計(jì)產(chǎn)品。

測(cè)評(píng)工作結(jié)束后測(cè)評(píng)人員對(duì)測(cè)評(píng)過(guò)程結(jié)果及以上問(wèn)題進(jìn)行了反饋，公司根據(jù)測(cè)評(píng)中發(fā)現(xiàn)的各類(lèi)問(wèn)題做好問(wèn)題整改工作，確保公司信息系統(tǒng)安全穩(wěn)定運(yùn)行。整改工作如下：

1）網(wǎng)絡(luò)設(shè)備未設(shè)置雙因子認(rèn)證。對(duì)于不具備雙因子驗(yàn)證條件的問(wèn)題，公司正在加快建設(shè)統(tǒng)一數(shù)字認(rèn)證系統(tǒng)，系統(tǒng)上線后可實(shí)現(xiàn)雙因子驗(yàn)證。

2）數(shù)據(jù)庫(kù)審計(jì)功能未開(kāi)啟。因開(kāi)啟數(shù)據(jù)庫(kù)審計(jì)功能會(huì)對(duì)系統(tǒng)性能產(chǎn)生較大影響，公司近期計(jì)劃購(gòu)置部署第三方審計(jì)產(chǎn)品。

3 結(jié)束語(yǔ)

電力公司近年來(lái)高度重視信息安全工作，信息安全等級(jí)保護(hù)工作卓有成效，通過(guò)落實(shí)信息安全等級(jí)保護(hù)制度，開(kāi)展管理制度建設(shè)、技術(shù)措施建設(shè)、落實(shí)等級(jí)保護(hù)各項(xiàng)工作要求，使信息系統(tǒng)安全管理水平明顯提高，安全防護(hù)能力顯著增強(qiáng)，安全隱患和安全事故明顯減少，有效保障公司信息化工作健康發(fā)展，公司下一步工作重點(diǎn)應(yīng)著手對(duì)等級(jí)保護(hù)測(cè)評(píng)發(fā)現(xiàn)的各項(xiàng)問(wèn)題進(jìn)行整改，保障公司網(wǎng)絡(luò)及信息系統(tǒng)安全穩(wěn)定運(yùn)行。

參考文獻(xiàn)：

[1]王雪莉.淺談信息安全等級(jí)保護(hù)問(wèn)題[J].數(shù)字技術(shù)與應(yīng)用，2012.

[2]易振宇.電力信息系統(tǒng)等級(jí)保護(hù)實(shí)施淺談[J].信息安全與通信保密，2011.

第9篇

一、指導(dǎo)思想

信息安全等級(jí)保護(hù)制度是全區(qū)信息安全保障工作的一項(xiàng)基本制度，實(shí)施信息安全等級(jí)保護(hù)是社會(huì)信息化進(jìn)程中的一件大事，是維護(hù)國(guó)家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全最直接、有效的措施。通過(guò)深化信息安全等級(jí)保護(hù)，全面推動(dòng)重要信息系統(tǒng)安全整改和測(cè)評(píng)工作，增強(qiáng)信息系統(tǒng)安全保護(hù)的整體性、針對(duì)性和實(shí)效性，提高信息安全保障能力，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)。

二、組織領(lǐng)導(dǎo)

成立區(qū)信息安全等級(jí)保護(hù)工作領(lǐng)導(dǎo)小組。由區(qū)政府副區(qū)長(zhǎng)李彥俠擔(dān)任組長(zhǎng)，區(qū)政府電子政務(wù)辦、公安分局、區(qū)國(guó)家保密局為成員單位，領(lǐng)導(dǎo)小組下設(shè)辦公室，辦公室設(shè)在公安分局網(wǎng)監(jiān)大隊(duì)，由網(wǎng)監(jiān)大隊(duì)大隊(duì)長(zhǎng)韓迎飛兼任領(lǐng)導(dǎo)小組辦公室主任，具體負(fù)責(zé)日常事務(wù)。

三、職責(zé)分工

公安分局負(fù)責(zé)信息安全等級(jí)保護(hù)工作的監(jiān)督、檢查、指導(dǎo)。區(qū)國(guó)家保密局負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)。涉及其他職能部門(mén)管轄范圍的事項(xiàng)，由有關(guān)職能部門(mén)依照國(guó)家法律法規(guī)的規(guī)定進(jìn)行管理。區(qū)政府電子政務(wù)辦負(fù)責(zé)等級(jí)保護(hù)工作部門(mén)間的協(xié)調(diào)工作。

四、工作目標(biāo)

通過(guò)開(kāi)展信息安全等級(jí)保護(hù)工作，使全區(qū)重要信息系統(tǒng)能夠全面進(jìn)行準(zhǔn)確定級(jí)和審核備案，建立健全信息安全等級(jí)保護(hù)職能部門(mén)、行業(yè)主管部門(mén)、信息系統(tǒng)運(yùn)營(yíng)使用單位渠道暢通、責(zé)任明確、運(yùn)作協(xié)調(diào)、通力合作的信息系統(tǒng)安全等級(jí)保護(hù)工作機(jī)制。

五、定級(jí)范圍

（一）基礎(chǔ)信息網(wǎng)絡(luò)、互聯(lián)網(wǎng)接入服務(wù)單位、互聯(lián)網(wǎng)數(shù)據(jù)中心、大型互聯(lián)網(wǎng)信息服務(wù)單位重要信息系統(tǒng)。

（二）鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證劵、保險(xiǎn)、科技、發(fā)展改革、國(guó)防科技、公安、人事勞動(dòng)和社會(huì)保障、財(cái)政、審計(jì)、商務(wù)、水利、國(guó)土資源、能源、交通、文化、教育、衛(wèi)生、統(tǒng)計(jì)、工商行政管理、郵政等行業(yè)、部門(mén)的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)。

主要單位包括：區(qū)法院、區(qū)檢察院、公安分局、區(qū)科協(xié)、區(qū)教育局、區(qū)住建局、區(qū)農(nóng)業(yè)局、區(qū)衛(wèi)生局、區(qū)計(jì)生局、區(qū)商務(wù)局、區(qū)工業(yè)辦、區(qū)果業(yè)局、國(guó)土分局、國(guó)稅分局、環(huán)保分局、工商分局、區(qū)人才交流中心。

（三）黨政機(jī)關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)。

（四）涉及國(guó)家秘密的信息系統(tǒng)。

（五）其它重要信息系統(tǒng)。

六、工作內(nèi)容

（一）開(kāi)展信息系統(tǒng)基本情況的摸底調(diào)查。區(qū)信息安全等級(jí)保護(hù)工作領(lǐng)導(dǎo)小組對(duì)全區(qū)各行業(yè)、各單位所屬信息系統(tǒng)進(jìn)行摸底調(diào)查，全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務(wù)類(lèi)型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)等基本情況，按照《信息安全等級(jí)保護(hù)管理辦法》的要求，確定定級(jí)對(duì)象。

（二）召開(kāi)區(qū)信息安全等級(jí)保護(hù)工作會(huì)議。召集全區(qū)信息系統(tǒng)運(yùn)營(yíng)使用單位或主管部門(mén)召開(kāi)一次專門(mén)的會(huì)議，在會(huì)議上宣布信息安全等級(jí)保護(hù)工作的相關(guān)情況，并印發(fā)《信息系統(tǒng)安全等級(jí)保護(hù)備案表》，要求信息系統(tǒng)運(yùn)營(yíng)使用單位或主管部門(mén)在規(guī)定的時(shí)間內(nèi)報(bào)送到領(lǐng)導(dǎo)小組辦公室。

（三）備案。根據(jù)《信息安全等級(jí)保護(hù)管理辦法》，信息系統(tǒng)運(yùn)營(yíng)使用單位或主管部門(mén)持《信息系統(tǒng)安全等級(jí)保護(hù)備案表》及相關(guān)手續(xù)到網(wǎng)監(jiān)大隊(duì)辦理備案手續(xù)，提交有關(guān)備案材料。跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，向市公安局網(wǎng)安支隊(duì)備案。信息系統(tǒng)建設(shè)使用單位依據(jù)《信息安全等級(jí)保護(hù)管理辦法》和國(guó)家保密局的有關(guān)規(guī)定，按照屬地管理原則，地方單位的信息系統(tǒng)向所在地的區(qū)保密局備案。

（四）備案管理。信息系統(tǒng)備案后，網(wǎng)監(jiān)大隊(duì)對(duì)信息系統(tǒng)的備案情況進(jìn)行審核，發(fā)現(xiàn)不符合《信息安全等級(jí)保護(hù)管理辦法》及有關(guān)標(biāo)準(zhǔn)的，應(yīng)當(dāng)通知備案單位予以糾正。

（五）監(jiān)督檢查。區(qū)政府電子政務(wù)辦、公安分局、區(qū)國(guó)家保密局等單位將從今年起聯(lián)合對(duì)各重要信息系統(tǒng)行業(yè)主管部門(mén)、運(yùn)營(yíng)使用單位開(kāi)展的等級(jí)保護(hù)工作進(jìn)行監(jiān)督、檢查、整改，對(duì)拒不落實(shí)安全等級(jí)保護(hù)工作的單位，將依法予以嚴(yán)肅處理。

七、工作要求

（一）加強(qiáng)領(lǐng)導(dǎo)，落實(shí)保障。各行業(yè)主管部門(mén)、各重要信息系統(tǒng)運(yùn)營(yíng)使用單位要落實(shí)責(zé)任部門(mén)、責(zé)任人員，并于4月20日前將《信息系統(tǒng)安全等級(jí)保護(hù)備案表》及相關(guān)備案資料報(bào)送領(lǐng)導(dǎo)小組辦公室備案，保障定級(jí)工作順利進(jìn)行。

（二）明確責(zé)任，密切配合。定級(jí)工作由區(qū)政府牽頭，組織區(qū)政府電子政務(wù)辦、公安分局、區(qū)國(guó)家保密局、共同實(shí)施。各單位必須各司其職，加強(qiáng)聯(lián)系，切實(shí)做好重要信息系統(tǒng)的安全等級(jí)保護(hù)。

第10篇

[關(guān)鍵詞]企業(yè)發(fā)展 信息化發(fā)展 網(wǎng)絡(luò)安全 策略

中圖分類(lèi)號(hào)：TU758.7 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-914X（2016）04-0071-01

引言

現(xiàn)代信息技術(shù)的發(fā)展和應(yīng)用，促進(jìn)了我國(guó)社會(huì)的快速發(fā)展，現(xiàn)代信息技術(shù)的應(yīng)用領(lǐng)域在不斷擴(kuò)大，在人們的工作、生活、學(xué)習(xí)等過(guò)程中都有所應(yīng)用，尤其是在企業(yè)信息化過(guò)程中，扮演的角色越來(lái)越重要。信息技術(shù)的應(yīng)用給我們的生活帶來(lái)了很大的變化，在企業(yè)的發(fā)展過(guò)程中，也積極加強(qiáng)了對(duì)信息系統(tǒng)的應(yīng)用。隨著計(jì)算機(jī)信息技術(shù)為越來(lái)越多的人所接受，各種信息的泄露、不良信息的傳播成為人們使用網(wǎng)絡(luò)時(shí)的安全憂患。尤其是各種信息的泄露，導(dǎo)致當(dāng)前很多人的生活受到影響，企業(yè)管理過(guò)程中應(yīng)該要加強(qiáng)對(duì)安全隱患的防范，可以使得企業(yè)的管理水平得到提升。

一、企業(yè)信息化過(guò)程中的安全隱患

在新的時(shí)代背景下，企業(yè)管理過(guò)程中加強(qiáng)對(duì)信息化的應(yīng)用，可以使得企業(yè)的各項(xiàng)資料、信息管理更加井然有序，并且可以提高信息資料傳遞的速率，使得企業(yè)的管理效率不斷提升。但是由于信息系統(tǒng)本身就面臨一些威脅，所以企業(yè)網(wǎng)絡(luò)信息安全在進(jìn)行傳遞、存儲(chǔ)以及使用的過(guò)程中，都面臨著較大的危害。一些企業(yè)網(wǎng)絡(luò)信息安全系統(tǒng)存在軟件和硬件的漏洞，比如一個(gè)惡意的數(shù)據(jù)包就有可能導(dǎo)致各種設(shè)備出現(xiàn)癱瘓，最終使得各種信息出現(xiàn)泄漏。這些危害很有可能導(dǎo)致企業(yè)網(wǎng)絡(luò)信息的安全受到威脅，嚴(yán)重時(shí)還有可能導(dǎo)致整個(gè)信息系統(tǒng)出現(xiàn)癱瘓。比如一些企業(yè)中存儲(chǔ)有關(guān)于國(guó)家歷史的文件資料，一旦出現(xiàn)了信息安全危害，嚴(yán)重時(shí)還會(huì)對(duì)整個(gè)國(guó)家造成影響。在企業(yè)的發(fā)展和管理過(guò)程中加強(qiáng)對(duì)信息系統(tǒng)的應(yīng)用，常常出現(xiàn)的一個(gè)嚴(yán)重的問(wèn)題就是信息泄露。信息泄露主要有幾個(gè)方面，第一，失密、泄密。失密、泄密指的是非法的用戶在使用過(guò)程中采用各種違法的手段獲取企業(yè)的信息從而導(dǎo)致信息出現(xiàn)泄漏的現(xiàn)象。企業(yè)網(wǎng)絡(luò)信息的失密和泄密的途徑主要有幾種，即磁泄漏、傳輸泄漏、偵收破譯泄密、存儲(chǔ)不利泄露等。這種泄密方式具有不可見(jiàn)性和不易察覺(jué)性，危害比較嚴(yán)重、持續(xù)時(shí)間也比較長(zhǎng)。這種對(duì)于企業(yè)以及各種機(jī)構(gòu)組織產(chǎn)生的影響比較大，很有可能會(huì)導(dǎo)致一些機(jī)密信息的出現(xiàn)。第二，數(shù)據(jù)遭受破壞。企業(yè)在日常管理過(guò)程中往往會(huì)利用計(jì)算機(jī)技術(shù)、互聯(lián)網(wǎng)等對(duì)各種信息進(jìn)行傳遞，在這個(gè)過(guò)程中也會(huì)對(duì)信息進(jìn)行相應(yīng)的處理，比如企業(yè)的工作人員在利用網(wǎng)絡(luò)上傳或者下載信息的時(shí)候，有些資源會(huì)被壓縮，在信息處理過(guò)程中最容易出現(xiàn)數(shù)據(jù)破壞的現(xiàn)象，這種信息的破壞往往是不可逆轉(zhuǎn)的，也就是修改之后的數(shù)據(jù)恢復(fù)起來(lái)難度比較大。第三，網(wǎng)絡(luò)入侵威脅。由于當(dāng)前的時(shí)代是信息網(wǎng)絡(luò)時(shí)代，企業(yè)網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)是互聯(lián)網(wǎng)，沒(méi)有網(wǎng)絡(luò)，企業(yè)的網(wǎng)絡(luò)系統(tǒng)不能正常工作。但是企業(yè)網(wǎng)絡(luò)系統(tǒng)應(yīng)用的過(guò)程中，往往會(huì)存在很多惡意的侵犯，最終使得信息受損。

二、 企業(yè)網(wǎng)絡(luò)信息安全隱患的防護(hù)

在新形勢(shì)下，企業(yè)的信息化發(fā)展是一個(gè)必然的趨勢(shì)，在這個(gè)過(guò)程中，必須要加強(qiáng)對(duì)網(wǎng)絡(luò)信息安全的保護(hù)，加強(qiáng)對(duì)計(jì)算機(jī)系統(tǒng)的安全保護(hù)，從而使得企業(yè)發(fā)展過(guò)程中能夠?qū)Ω鞣N信息進(jìn)行加密處理，確保企業(yè)的健康發(fā)展。

（一）加強(qiáng)工作人員對(duì)信息安全工作的重視

在企業(yè)的發(fā)展過(guò)程中，工作人員對(duì)信息安全工作的重視程度如何，將會(huì)對(duì)企業(yè)的發(fā)展帶來(lái)十分重要的影響，只有不斷提高工作人員的信息安全意識(shí)，才能從根本上杜絕一些危害的出現(xiàn)。比如引導(dǎo)企業(yè)的工作人員形成安全意識(shí)，使得他們?cè)谑褂糜?jì)算機(jī)以及網(wǎng)絡(luò)的時(shí)候可以注意不要去點(diǎn)一些不安全的網(wǎng)站，不會(huì)下載一些非法的東西，從而確保企業(yè)的信息系統(tǒng)的運(yùn)營(yíng)環(huán)境的安全性，確保企業(yè)的各種信息數(shù)據(jù)可以得到有效的保護(hù)。

（二）采用技術(shù)手段對(duì)各種安全隱患進(jìn)行控制

在企業(yè)的發(fā)展過(guò)程中，為了對(duì)各種信息進(jìn)行安全保護(hù)，則必須要從技術(shù)手段加強(qiáng)安全保護(hù)，比如對(duì)于企業(yè)的電腦，要安裝防病毒系統(tǒng)，購(gòu)買(mǎi)一些正版的殺毒軟件，安裝防火墻等，使得企業(yè)的信息系統(tǒng)可以得到有效的保護(hù)，加強(qiáng)對(duì)病毒的預(yù)防，從而不斷提高企業(yè)的信息安全水平。其次，對(duì)于企業(yè)發(fā)展過(guò)程中的各種重要的信息要進(jìn)行加密處理，尤其是在各種商業(yè)信息，是企業(yè)發(fā)展過(guò)程中的重要內(nèi)容，為了防止信息被黑客竊取，則可以使用相應(yīng)的數(shù)據(jù)加密技術(shù)，使得密碼破譯的難度增大，從而對(duì)一些違法的入侵行為進(jìn)行規(guī)避，這種方法可以規(guī)避數(shù)據(jù)破壞、竊聽(tīng)等惡意行為。另外，在企業(yè)內(nèi)部應(yīng)該要建立一個(gè)相對(duì)獨(dú)立的網(wǎng)絡(luò)，從而可以對(duì)企業(yè)發(fā)展過(guò)程中的各種信息進(jìn)行有效的傳遞，使得信息傳遞的網(wǎng)絡(luò)環(huán)境是健康的，相關(guān)的技術(shù)人員應(yīng)該要定期對(duì)該網(wǎng)絡(luò)進(jìn)行檢查，確定內(nèi)部網(wǎng)絡(luò)的健康性。

（三）加強(qiáng)企業(yè)網(wǎng)絡(luò)信息安全管理體制的建立

在企業(yè)網(wǎng)絡(luò)信息安全防護(hù)過(guò)程中，應(yīng)該要對(duì)管理制度進(jìn)行完善，首先要定期修改管理制度，加強(qiáng)對(duì)技術(shù)人員安全的培訓(xùn)，以更好地適應(yīng)現(xiàn)代化信息社會(huì)。其次，要開(kāi)發(fā)計(jì)算機(jī)信息與網(wǎng)絡(luò)安全的監(jiān)督管理系統(tǒng)，并且對(duì)安全監(jiān)管系統(tǒng)的管理責(zé)任進(jìn)行細(xì)分，落實(shí)到具體的責(zé)任人身上，一旦出現(xiàn)網(wǎng)絡(luò)信息安全時(shí)要及時(shí)找到相應(yīng)的責(zé)任人，對(duì)網(wǎng)絡(luò)和信息安全應(yīng)用與管理工作實(shí)行“誰(shuí)主管、誰(shuí)負(fù)責(zé)、預(yù)防為主、綜合治理、人員防范與技術(shù)防范相結(jié)合”的原則，實(shí)現(xiàn)安全保護(hù)責(zé)任制，逐漸實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)信息完全管理的科學(xué)化和規(guī)范化發(fā)展。第三，在管理的過(guò)程中，要對(duì)企業(yè)的安全技術(shù)管理人員的責(zé)任進(jìn)行確定，一旦企業(yè)的信息系統(tǒng)出現(xiàn)了安全問(wèn)題，則應(yīng)該要按照相應(yīng)的責(zé)任關(guān)系找到責(zé)任人，對(duì)具體的責(zé)任進(jìn)行承擔(dān)，從而使得企業(yè)的信息安全系統(tǒng)管理更加科學(xué)。

結(jié)語(yǔ)

綜上所述，在信息技術(shù)時(shí)代，信息網(wǎng)絡(luò)系統(tǒng)在企業(yè)管理過(guò)程中的應(yīng)用越來(lái)越多，同時(shí)也產(chǎn)生了較大的信息安全隱患。對(duì)此要積極加強(qiáng)信息安全工作，從人員安全意識(shí)的提升以及應(yīng)用安全防護(hù)技術(shù)手段角度著手，對(duì)企業(yè)的信息安全保護(hù)工作進(jìn)行加強(qiáng)，并且建立相應(yīng)的嚴(yán)密的管理制度，從而使得企業(yè)的網(wǎng)絡(luò)信息安全管理工作水平可以得到有效的提升，促進(jìn)企業(yè)在信息化過(guò)程中的健康發(fā)展。

參考文獻(xiàn)

[1] 余人杰.淺談網(wǎng)絡(luò)設(shè)備的安全隱患及其防范措施[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用，2014（12）.

第11篇

清晰明了等級(jí)保護(hù)制度

畢馬寧認(rèn)為要開(kāi)展信息安全等級(jí)保護(hù)工作，首先應(yīng)該弄明白什么是等級(jí)保護(hù)，“等級(jí)保護(hù)是我們國(guó)家以法律形式固定下來(lái)的一個(gè)關(guān)于國(guó)家信息安全保障體系建設(shè)和保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的基本國(guó)家制度”，而信息安全等級(jí)保護(hù)制度的法律依據(jù)則是1994年國(guó)務(wù)院的《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國(guó)務(wù)院147號(hào)令）。

其次，還應(yīng)該明白信息安全等級(jí)保護(hù)的等級(jí)概念。“等級(jí)保護(hù)簡(jiǎn)單地說(shuō)，等級(jí)是手段，目的是保護(hù)”，而等級(jí)的劃分是根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度，將信息系統(tǒng)劃分為不同的安全保護(hù)等級(jí)并對(duì)其實(shí)施不同的保護(hù)和監(jiān)管。畢馬寧強(qiáng)調(diào)：“信息系統(tǒng)的重要程度不是由系統(tǒng)的技術(shù)性所決定，而是由這個(gè)系統(tǒng)的社會(huì)屬性所決定的。”比如，同樣是財(cái)務(wù)系統(tǒng)，銀行的財(cái)務(wù)系統(tǒng)與某小型企事業(yè)單位的財(cái)務(wù)系統(tǒng)所承載的應(yīng)用對(duì)社會(huì)秩序、國(guó)家安全的影響是不一樣的，一旦遭到破壞，銀行財(cái)務(wù)系統(tǒng)對(duì)社會(huì)秩序和國(guó)家安全的負(fù)面影響更重大。“所以，原衛(wèi)生部才會(huì)要求全國(guó)的三級(jí)甲等醫(yī)院的核心系統(tǒng)通過(guò)第三級(jí)測(cè)評(píng)。”他說(shuō)。

一體之兩翼

其實(shí)信息安全等級(jí)保護(hù)并非我國(guó)獨(dú)創(chuàng)，而是借鑒國(guó)際已有的信息安全風(fēng)險(xiǎn)管理理論和方法，并結(jié)合我國(guó)信息安全管理的特色，制定的具有中國(guó)特色的信息安全等級(jí)保護(hù)制度。現(xiàn)階段整個(gè)人民生活、社會(huì)運(yùn)行，包括政府的運(yùn)行，都跟信息化密不可分。信息化已經(jīng)從原來(lái)的輔助作用變成支撐作用，成為機(jī)構(gòu)、企業(yè)發(fā)展，獲得價(jià)值或者改善自身生存，為社會(huì)做貢獻(xiàn)的一個(gè)利器、一個(gè)支撐平臺(tái)。“正如所說(shuō)的，一個(gè)國(guó)家的發(fā)展，一個(gè)民族的發(fā)展，需要‘一體兩翼’，‘一體’是發(fā)展；‘兩翼’，則是信息化和信息安全保障。想要發(fā)展就缺一不可。”畢馬寧說(shuō)，“等級(jí)保護(hù)制度是對(duì)信息系統(tǒng)做風(fēng)險(xiǎn)控制，是一種國(guó)家風(fēng)險(xiǎn)管理行為。可以說(shuō)等級(jí)保護(hù)制度就是國(guó)家風(fēng)險(xiǎn)管控手段。它雖然不能完全保證信息系統(tǒng)不出事，但起碼能夠保證信息系統(tǒng)少出事，或者是風(fēng)險(xiǎn)可控的，而且一旦出了事我們知道如何去應(yīng)對(duì)。”

等級(jí)測(cè)評(píng)工作的目的和意義

等級(jí)保護(hù)是要通過(guò)定級(jí)、備案、建設(shè)整改來(lái)提升信息系統(tǒng)安全防護(hù)能力，安全建設(shè)整改工作完成后，如何檢驗(yàn)效果？這就是等級(jí)測(cè)評(píng)工作的目的和意義。等級(jí)測(cè)評(píng)是檢測(cè)評(píng)估信息系統(tǒng)安全保護(hù)狀況是否達(dá)到相應(yīng)等級(jí)能力要求的過(guò)程，是落實(shí)信息安全等級(jí)保護(hù)制度的重要環(huán)節(jié)。

畢馬寧認(rèn)為，“等級(jí)測(cè)評(píng)是等級(jí)保護(hù)工作推進(jìn)過(guò)程中的一項(xiàng)能力技術(shù)判斷活動(dòng)，它是一個(gè)必備的環(huán)節(jié)。”他還建議：“不要把等級(jí)測(cè)評(píng)工作當(dāng)作是考試，應(yīng)該是把等級(jí)保護(hù)工作重點(diǎn)放在準(zhǔn)確定級(jí)、建設(shè)整改上，逐步提升信息系統(tǒng)的安全防護(hù)能力，通過(guò)等級(jí)測(cè)評(píng)來(lái)發(fā)現(xiàn)自己的問(wèn)題，再明確下一步的方向，這是最關(guān)鍵的。”

等級(jí)測(cè)評(píng)工作也可以在定級(jí)備案之后，安全建設(shè)或整改之前開(kāi)展，因?yàn)椤肮矙C(jī)關(guān)賦予了等級(jí)測(cè)評(píng)機(jī)構(gòu)提供咨詢的權(quán)利和義務(wù)，可以站在用戶的角度幫他們做咨詢服務(wù)”，畢馬寧解釋：“作為評(píng)估中心，我們不僅要發(fā)現(xiàn)問(wèn)題，還要跟用戶共同商量解決問(wèn)題，這也是服務(wù)型政府的一個(gè)特點(diǎn)。”

對(duì)醫(yī)療衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的建議

第12篇

關(guān)鍵詞：項(xiàng)目預(yù)算監(jiān)控；中醫(yī)藥；信息安全

DOI：10.3969/j.issn.1005-5304.2016.11.002

中圖分類(lèi)號(hào)：R2-05 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1005-5304（2016）11-0004-04

Abstract： With constant development and application of new generation information technology such as big data， cloud computing and Internet of Things， traditional management style and thought patterns of TCM are being changed. It is particularly important to introduce information security into budget management of TCM projects. This article discussed security factors in TCM budget monitoring platform， organized key contents of information security construction， built information security model for monitoring platform， and analyzed security strategies for the construction of TCM budget monitoring platform， with a purpose to guarantee effective implementation of budget information management measures of TCM projects.

Key words： project budget monitor； traditional Chinese medicine； information security

信息化是經(jīng)濟(jì)與社會(huì)發(fā)展的創(chuàng)新驅(qū)動(dòng)力。大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)等新一代信息技術(shù)的不斷發(fā)展和應(yīng)用，加快了我國(guó)中醫(yī)藥信息化建設(shè)的步伐，改變著傳統(tǒng)中醫(yī)藥管理方式和思維模式。隨著信息技術(shù)在中醫(yī)藥行業(yè)各業(yè)務(wù)的深入應(yīng)用，信息加密、病毒防護(hù)、身份鑒別、訪問(wèn)控制、入侵防范、數(shù)據(jù)保護(hù)等安全問(wèn)題越來(lái)越突出。中醫(yī)藥項(xiàng)目預(yù)算監(jiān)控平臺(tái)（以下簡(jiǎn)稱“監(jiān)控平臺(tái)”）作為中醫(yī)藥重點(diǎn)信息化工程，構(gòu)建了國(guó)家、省級(jí)、基層單位三級(jí)信息網(wǎng)絡(luò)平臺(tái)，覆蓋全國(guó)31個(gè)省、3000余家基層單位，對(duì)信息安全工作提出了更高的要求。為此，筆者以監(jiān)控平臺(tái)安全建設(shè)為基礎(chǔ)，深入分析影響監(jiān)控平臺(tái)的安全因素，從安全保護(hù)等級(jí)確定、信息安全模型構(gòu)建、物理環(huán)境和網(wǎng)絡(luò)體系創(chuàng)建、自身安全策略制定、數(shù)據(jù)傳輸通道建立、安全管理制度、人員培養(yǎng)等方面探討信息安全的應(yīng)用。

1 中醫(yī)藥項(xiàng)目預(yù)算監(jiān)控平臺(tái)安全隱患分析

1.1 項(xiàng)目預(yù)算信息

中醫(yī)藥項(xiàng)目預(yù)算是反映中醫(yī)藥事業(yè)發(fā)展政策的具體措施，主要涉及項(xiàng)目經(jīng)費(fèi)分配、預(yù)算執(zhí)行、組織實(shí)施、項(xiàng)目績(jī)效等信息，若預(yù)算經(jīng)費(fèi)信息被篡改，將影響中醫(yī)藥行政部門(mén)的權(quán)威性和可信度，易造成基層單位項(xiàng)目經(jīng)費(fèi)下達(dá)與執(zhí)行數(shù)據(jù)不符[1]。預(yù)算執(zhí)行是反映項(xiàng)目建設(shè)單位經(jīng)費(fèi)使用和任務(wù)完成的具體體現(xiàn)，若執(zhí)行數(shù)據(jù)被篡改，將影響預(yù)算執(zhí)行過(guò)程監(jiān)管的精準(zhǔn)性，造成對(duì)項(xiàng)目建設(shè)單位執(zhí)行能力和效率的決策失準(zhǔn)。

1.2 監(jiān)控平臺(tái)

監(jiān)控平臺(tái)的數(shù)據(jù)中心承載著中醫(yī)藥項(xiàng)目預(yù)算監(jiān)控?cái)?shù)據(jù)的計(jì)算、信息資源管理與服務(wù)等主要功能，支持?jǐn)?shù)據(jù)安全存儲(chǔ)，提供持續(xù)可靠的信息服務(wù)，其安全對(duì)信息服務(wù)和運(yùn)行能力提升至關(guān)重要。

1.2.1 物理因素 監(jiān)控平臺(tái)所應(yīng)用的服務(wù)器、交換機(jī)和路由器等網(wǎng)絡(luò)設(shè)備，以及防火墻、入侵檢測(cè)、漏洞掃描等安全設(shè)備都運(yùn)行在數(shù)據(jù)中心，保證這些設(shè)備的安全是監(jiān)控平臺(tái)穩(wěn)定運(yùn)行的前提。若遇盜竊、突然斷電等，監(jiān)控平臺(tái)將無(wú)法運(yùn)行。

1.2.2 網(wǎng)絡(luò)體系 監(jiān)控平臺(tái)網(wǎng)絡(luò)體系設(shè)計(jì)不規(guī)范、不能滿足業(yè)務(wù)發(fā)展需求，交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)施和防火墻、網(wǎng)絡(luò)審計(jì)、行為管理等安全設(shè)備的選型、部署、使用、管理與中醫(yī)藥項(xiàng)目管理業(yè)務(wù)處理能力和安全需求不協(xié)調(diào)，安全策略規(guī)則不符合中醫(yī)藥項(xiàng)目預(yù)算管理流程，安全設(shè)備不能有效監(jiān)測(cè)和防御，易出現(xiàn)中醫(yī)藥項(xiàng)目經(jīng)費(fèi)監(jiān)控?cái)?shù)據(jù)不準(zhǔn)確、監(jiān)控手段不靈敏、監(jiān)控時(shí)效性不強(qiáng)，使中醫(yī)藥管理部門(mén)科學(xué)決策受影響。

1.2.3 系統(tǒng)服務(wù)器 監(jiān)控平臺(tái)服務(wù)器運(yùn)行著數(shù)據(jù)庫(kù)、系統(tǒng)軟件及電子簽章等，存儲(chǔ)了所有中醫(yī)藥項(xiàng)目預(yù)算實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)，是監(jiān)控平臺(tái)運(yùn)行的關(guān)鍵設(shè)備。其操作系統(tǒng)和數(shù)據(jù)庫(kù)易存在默認(rèn)的、多余的、長(zhǎng)期不使用的、共享的賬戶，用戶口令長(zhǎng)度和復(fù)雜度不符合等級(jí)保護(hù)要求，各類(lèi)補(bǔ)丁未能及時(shí)更新，這些均容易給網(wǎng)絡(luò)黑客破壞監(jiān)控平臺(tái)服務(wù)器創(chuàng)造條件，導(dǎo)致監(jiān)控?cái)?shù)據(jù)丟失、數(shù)據(jù)庫(kù)信息被篡改等。

1.2.4 信息系統(tǒng) 監(jiān)控平臺(tái)除依賴于網(wǎng)絡(luò)安全、操作系統(tǒng)、數(shù)據(jù)庫(kù)等安全措施外，其自身也需部署相應(yīng)安全策略，如用戶身份識(shí)別、口令長(zhǎng)度和復(fù)雜度控制、用戶訪問(wèn)權(quán)限和粒度設(shè)置、用戶登錄與操作痕跡的不可否認(rèn)性、最大并發(fā)會(huì)話連接數(shù)等，這些因素均是監(jiān)控平臺(tái)信息系統(tǒng)在開(kāi)發(fā)設(shè)計(jì)階段需要考慮的。

1.3 監(jiān)控信息傳輸

監(jiān)控平臺(tái)在互聯(lián)網(wǎng)和局域網(wǎng)中同時(shí)應(yīng)用，互聯(lián)網(wǎng)傳輸易遭受黑客和惡意軟件攻擊，存在諸多人為因素破壞的潛在威脅。監(jiān)控平臺(tái)在國(guó)家層面、省級(jí)、基層單位之間的數(shù)據(jù)傳輸依托互聯(lián)網(wǎng)，如何保證數(shù)據(jù)的完整性、抗否認(rèn)性、準(zhǔn)確性，需要重點(diǎn)考慮，如采用加密、訪問(wèn)控制、安全認(rèn)證等措施；國(guó)家級(jí)平臺(tái)和省級(jí)平臺(tái)內(nèi)部使用的安全性取決于單位內(nèi)部網(wǎng)絡(luò)體系安全建設(shè)[2]。

1.4 用戶終端

監(jiān)控平臺(tái)采用B/S模式，用戶終端涉及全國(guó)中醫(yī)藥項(xiàng)目建設(shè)單位，且無(wú)需運(yùn)行任何程序，但終端的安全短板效應(yīng)依然會(huì)影響監(jiān)控平臺(tái)整體安全防護(hù)能力，如操作系統(tǒng)漏洞、防病毒軟件缺失、USB Key丟失、帳號(hào)/密碼泄露等，易給攻擊者假冒合法用戶進(jìn)行某些破壞動(dòng)作留下可乘之機(jī)。

1.5 系統(tǒng)管理維護(hù)

監(jiān)控平臺(tái)覆蓋范圍廣，用戶復(fù)雜、水平參差不齊，若無(wú)健全的安全管理制度，特別是安全管理或使用人員操作手冊(cè)缺失，易產(chǎn)生人為的誤操作等；系統(tǒng)管理員、安全保密管理員、安全審計(jì)員的職責(zé)不清、人員不明，安全策略管理手段缺乏，易造成監(jiān)控平臺(tái)運(yùn)行維護(hù)的混亂；數(shù)據(jù)備份與恢復(fù)管理缺乏，易引起備份數(shù)據(jù)的不可恢復(fù)、監(jiān)控?cái)?shù)據(jù)的永久丟失；系統(tǒng)應(yīng)急預(yù)案和演練缺乏，一個(gè)很小系統(tǒng)安全問(wèn)題可能出現(xiàn)監(jiān)控平臺(tái)長(zhǎng)時(shí)間癱瘓、數(shù)據(jù)丟失等。

2 中醫(yī)藥項(xiàng)目預(yù)算監(jiān)控平臺(tái)的安全措施

2.1 確定監(jiān)控平臺(tái)安全保護(hù)等級(jí)

監(jiān)控平臺(tái)建設(shè)初期，我們分析中醫(yī)藥項(xiàng)目預(yù)算管理的信息化和安全防護(hù)需求，邀請(qǐng)中醫(yī)藥財(cái)務(wù)、信息安全、信息技術(shù)等領(lǐng)域?qū)＜乙?guī)劃和設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和體系框架，確定監(jiān)控平臺(tái)的應(yīng)用覆蓋面、預(yù)算管理業(yè)務(wù)依賴性、系統(tǒng)數(shù)據(jù)敏感度、平臺(tái)服務(wù)范圍等。監(jiān)控平臺(tái)業(yè)務(wù)信息和系統(tǒng)服務(wù)受到破壞時(shí)，所侵害客體是國(guó)家和各級(jí)中醫(yī)藥管理部門(mén)、中醫(yī)藥項(xiàng)目建設(shè)單位，中醫(yī)藥項(xiàng)目預(yù)算管理和執(zhí)行信息篡改、不準(zhǔn)確，將會(huì)嚴(yán)重影響國(guó)家和各級(jí)中醫(yī)藥管理部門(mén)的公信力和權(quán)威性，業(yè)務(wù)信息破壞達(dá)到嚴(yán)重?fù)p害程度，所以，業(yè)務(wù)信息安全保護(hù)等級(jí)確定為第三級(jí)。監(jiān)控平臺(tái)主要為國(guó)家和各級(jí)中醫(yī)藥管理部門(mén)、中醫(yī)藥項(xiàng)目建設(shè)單位提供系統(tǒng)服務(wù)，當(dāng)其遭到破壞時(shí)對(duì)使用人員損害程度比較有限，所以，系統(tǒng)服務(wù)安全保護(hù)等級(jí)確定為第二級(jí)。根據(jù)信息系統(tǒng)安全保護(hù)等級(jí)由業(yè)務(wù)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)較高者決定的原則，最終確定監(jiān)控平臺(tái)安全保護(hù)等級(jí)為第三級(jí)[3]。

2.2 構(gòu)建監(jiān)控平整安全防線

2.2.1 監(jiān)控平臺(tái)信息安全 模型在監(jiān)控平臺(tái)信息安全等級(jí)第三級(jí)的基礎(chǔ)上，我們結(jié)合開(kāi)放式系統(tǒng)互聯(lián)（OSI）安全體系結(jié)構(gòu)、分布式動(dòng)態(tài)主動(dòng)模型PPDR（策略、保護(hù)、檢測(cè)、響應(yīng)）等信息安全模型結(jié)構(gòu)，從中醫(yī)藥項(xiàng)目預(yù)算管理業(yè)務(wù)的需求出發(fā)，保障預(yù)算管理與執(zhí)行信息的安全可靠，建立了一套較為完善的中醫(yī)藥項(xiàng)目預(yù)算監(jiān)控平臺(tái)信息安全模型。在系統(tǒng)部署層面，采用B/S/S服務(wù)器級(jí)連接模式，通過(guò)WEB服務(wù)器將外部終端與數(shù)據(jù)服務(wù)器隔離，防止非法入侵者通過(guò)系統(tǒng)漏洞直接獲取預(yù)算數(shù)據(jù)。在數(shù)據(jù)傳輸層面，在平臺(tái)服務(wù)器端與客戶端之間部署防火墻和基于SSL協(xié)議的VPN通道，引用電子簽章、數(shù)字認(rèn)證等數(shù)據(jù)加密手段。在數(shù)據(jù)存儲(chǔ)層面，采用安全性較為完善的SQL Server數(shù)據(jù)庫(kù)系統(tǒng)，所有預(yù)算相關(guān)數(shù)據(jù)存儲(chǔ)均進(jìn)行加密，采用磁帶機(jī)等進(jìn)行數(shù)據(jù)的自動(dòng)備份，防止數(shù)據(jù)庫(kù)服務(wù)器遭受意外攻擊或損壞后可能產(chǎn)生的安全隱患。在表示應(yīng)用層面，運(yùn)用S-HTTP協(xié)議分離CA認(rèn)證與應(yīng)用界面，嚴(yán)格區(qū)分前后臺(tái)系統(tǒng)，應(yīng)用層數(shù)據(jù)須經(jīng)加密認(rèn)證后再由傳輸層傳輸。在平臺(tái)內(nèi)部網(wǎng)絡(luò)層面，配備安全管理平臺(tái)，采用防火墻、入侵檢測(cè)、漏洞掃描、網(wǎng)絡(luò)審計(jì)、防病毒等安全技術(shù)，實(shí)現(xiàn)實(shí)時(shí)全方位監(jiān)控[4]。詳見(jiàn)圖1。

2.2.2 創(chuàng)造安全的物理環(huán)境和網(wǎng)絡(luò)體系 國(guó)家級(jí)、省級(jí)監(jiān)控平臺(tái)分別部署在國(guó)家中醫(yī)藥管理局和各省中醫(yī)藥管理部門(mén)機(jī)房，均具備一定的安全物理環(huán)境，按照三級(jí)等級(jí)保護(hù)要求完善安全措施，如為國(guó)家級(jí)監(jiān)控平臺(tái)數(shù)據(jù)專門(mén)配備氣體滅火器，增裝機(jī)房專用空調(diào)，國(guó)家級(jí)和省級(jí)監(jiān)控平臺(tái)使用的所有服務(wù)器、安全設(shè)備等粘貼統(tǒng)一的監(jiān)控平臺(tái)專用標(biāo)識(shí)。

針對(duì)中醫(yī)藥項(xiàng)目預(yù)算管理需求，基于互聯(lián)網(wǎng)建立國(guó)家、省、項(xiàng)目建設(shè)單位3級(jí)信息網(wǎng)絡(luò)架構(gòu)，劃分國(guó)家級(jí)、省級(jí)等不同安全域，統(tǒng)一制定安全管理策略。在國(guó)家級(jí)監(jiān)控?cái)?shù)據(jù)中心部署防火墻、入侵檢測(cè)、漏洞掃描、主機(jī)監(jiān)控與審計(jì)、網(wǎng)絡(luò)安全審計(jì)等；在省級(jí)監(jiān)控?cái)?shù)據(jù)中心部署防火墻、網(wǎng)絡(luò)安全審計(jì)、防病毒系統(tǒng)等，共同監(jiān)測(cè)、抵御和防范病毒木馬和黑客等各種攻擊、入侵行為及非法訪問(wèn)和操作等，做到非監(jiān)控平臺(tái)使用人員進(jìn)不來(lái)、看不到、看不懂。在服務(wù)器和數(shù)據(jù)庫(kù)安全防護(hù)方面，及時(shí)更新操作系統(tǒng)和數(shù)據(jù)庫(kù)的補(bǔ)丁、漏洞，刪除或停用默認(rèn)、多余和共享的賬戶，特別是測(cè)試階段所使用的賬戶和已經(jīng)撤銷(xiāo)的機(jī)構(gòu)賬戶，只開(kāi)放監(jiān)控系統(tǒng)用到的服務(wù)器端口，數(shù)據(jù)庫(kù)帳號(hào)由監(jiān)控平臺(tái)數(shù)據(jù)庫(kù)管理員負(fù)責(zé)。在數(shù)據(jù)保護(hù)方面，國(guó)家級(jí)平臺(tái)采取磁帶庫(kù)和服務(wù)器備份雙備份方式，省級(jí)平臺(tái)采取服務(wù)器備份方式。

2.2.3 實(shí)施監(jiān)控平臺(tái)自身安全策略 監(jiān)控平臺(tái)采用基于角色的訪問(wèn)控制（RBAC）安全模型，做到信息操作軌跡可追溯。用戶管理員將監(jiān)控平臺(tái)用戶分別授予國(guó)家級(jí)用戶、省級(jí)用戶、基層單位用戶、系統(tǒng)管理員、安全保密管理員、安全審計(jì)員等角色組，各角色組和角色之間具有角色互斥關(guān)系；角色管理員針對(duì)不同角色分配給監(jiān)控平臺(tái)數(shù)據(jù)的查詢、增加、修改、刪除、退回等操作權(quán)限。如國(guó)家中醫(yī)藥管理局人員被授予國(guó)家級(jí)用戶角色，只能操作國(guó)家級(jí)平臺(tái)，授予查詢和退回各省報(bào)送數(shù)據(jù)，不能修改和增加省級(jí)、項(xiàng)目建設(shè)單位報(bào)送的數(shù)據(jù)。針對(duì)監(jiān)控平臺(tái)財(cái)務(wù)數(shù)據(jù)的高保密性，用戶身份驗(yàn)證采用基于數(shù)字證書(shū)的雙向認(rèn)證并結(jié)合靜態(tài)口令認(rèn)證的USB Key，口令要求字母、數(shù)字、符號(hào)兩者以上組成的8位以上長(zhǎng)度。嚴(yán)格監(jiān)控平臺(tái)賬戶訪問(wèn)和操作規(guī)則，口令輸入錯(cuò)誤超過(guò)5次立即鎖定，30 min后方可再次登錄，30 min無(wú)操作監(jiān)控平臺(tái)的賬戶自動(dòng)退出，避免無(wú)關(guān)人員攻擊或操作監(jiān)控平臺(tái)。

2.2.4 建立安全可信的數(shù)據(jù)傳輸通道 監(jiān)控平臺(tái)是基于互聯(lián)網(wǎng)進(jìn)行數(shù)據(jù)傳輸和通信，如何確保預(yù)算數(shù)據(jù)下達(dá)、預(yù)算執(zhí)行數(shù)據(jù)上報(bào)、預(yù)警信息通報(bào)等過(guò)程中信息不被泄露或篡改，監(jiān)控平臺(tái)通過(guò)部署SSL VPN設(shè)備和PKI系統(tǒng)，利用SSL安全套接層協(xié)議對(duì)監(jiān)控平臺(tái)預(yù)算信息進(jìn)行加密，在服務(wù)器端和客戶端建立虛擬專用網(wǎng)絡(luò)，應(yīng)用數(shù)字證書(shū)和私鑰進(jìn)行用戶數(shù)字認(rèn)證和身份確認(rèn)，從而保護(hù)在互聯(lián)網(wǎng)上預(yù)算數(shù)據(jù)傳輸?shù)陌踩浴⑼暾浴C(jī)密性。同時(shí)，搭建基于CA認(rèn)證的統(tǒng)一身份管理平臺(tái)，在PKI系統(tǒng)的基礎(chǔ)上，將電子簽章、電子簽名技術(shù)與CA數(shù)字認(rèn)證技術(shù)相結(jié)合，統(tǒng)一將用戶信息存儲(chǔ)在身份認(rèn)證服務(wù)器，實(shí)現(xiàn)各級(jí)各類(lèi)用戶身份的統(tǒng)一強(qiáng)鑒別認(rèn)證和訪問(wèn)控制，保證監(jiān)控平臺(tái)數(shù)據(jù)的真實(shí)性和使用人員的不可否認(rèn)性[5]。

2.3 建立監(jiān)控平臺(tái)安全管理制度

信息安全“三分技術(shù)、七分管理”。在監(jiān)控平臺(tái)建設(shè)過(guò)程中，成立監(jiān)控平臺(tái)信息安全管理領(lǐng)導(dǎo)小組，統(tǒng)籌規(guī)劃監(jiān)控平臺(tái)的信息安全，設(shè)立信息安全工作小組，全面負(fù)責(zé)監(jiān)控平臺(tái)信息安全措施的執(zhí)行和監(jiān)督，要求省級(jí)監(jiān)控平臺(tái)由專人負(fù)責(zé)信息安全維護(hù)。制定監(jiān)控平臺(tái)操作手冊(cè)、安全設(shè)備管理、賬戶與密碼管理、用戶訪問(wèn)控制、監(jiān)控?cái)?shù)據(jù)存儲(chǔ)管理、監(jiān)控?cái)?shù)據(jù)分析與利用規(guī)范、運(yùn)行維護(hù)手冊(cè)、數(shù)據(jù)備份與恢復(fù)方案、應(yīng)急預(yù)案、風(fēng)險(xiǎn)評(píng)估等一系列25個(gè)安全管理制度，編制防火墻、入侵檢測(cè)、漏洞掃描、VPN設(shè)備等安全策略，做到監(jiān)控平臺(tái)的每個(gè)環(huán)節(jié)、每個(gè)操作都有據(jù)可依、有章可循，最大限度地降低安全風(fēng)險(xiǎn)。設(shè)立監(jiān)控平臺(tái)系統(tǒng)管理員、安全保密管理員、安全審計(jì)員，定期開(kāi)展國(guó)家級(jí)和省級(jí)監(jiān)控平臺(tái)信息安全事件應(yīng)急預(yù)案演練，創(chuàng)造信息安全應(yīng)急技術(shù)支撐隊(duì)伍和保障條件。

2.4 加強(qiáng)信息安全管理技術(shù)人員培養(yǎng)

高素質(zhì)的信息安全技術(shù)隊(duì)伍是信息安全保障體系的智力支撐。開(kāi)展監(jiān)控平臺(tái)管理和使用人員的操作培訓(xùn)，將監(jiān)控平臺(tái)信息安全建設(shè)和后期運(yùn)行維護(hù)納入監(jiān)控平臺(tái)管理與技術(shù)人員培訓(xùn)主要內(nèi)容，建立多層次、多形式、多途徑、重實(shí)效的信息安全人才培養(yǎng)機(jī)制，培養(yǎng)監(jiān)控平臺(tái)管理和使用人員安全意識(shí)、職業(yè)道德和責(zé)任心，規(guī)范用戶合法合規(guī)操作。委托監(jiān)控平臺(tái)開(kāi)發(fā)單位和信息安全專業(yè)機(jī)構(gòu)定期舉辦培訓(xùn)班，開(kāi)展系統(tǒng)安全使用、電子簽章、CA認(rèn)證等專業(yè)技術(shù)培訓(xùn)。

3 結(jié)語(yǔ)

中醫(yī)藥項(xiàng)目預(yù)算監(jiān)控平臺(tái)是“中醫(yī)藥信息化建設(shè)‘十二五’規(guī)劃”的重要任務(wù)之一，其信息安全保護(hù)不容忽視，信息安全管理與技術(shù)體系建設(shè)已成為不可或缺的重要組成部分。作為管理者和使用者，應(yīng)充分認(rèn)識(shí)信息安全的重要性，在設(shè)計(jì)、開(kāi)發(fā)、建設(shè)、運(yùn)維的各個(gè)階段，強(qiáng)化信息安全技術(shù)和管理措施的落實(shí)，建立完善的信息安全策略和管理制度，做到事前預(yù)防、事中監(jiān)控、事后應(yīng)急，保障監(jiān)控平臺(tái)的安全穩(wěn)定運(yùn)行，有效提高中醫(yī)藥項(xiàng)目經(jīng)費(fèi)預(yù)算管理的科學(xué)性，為中醫(yī)藥行業(yè)其他應(yīng)用系統(tǒng)信息安全建設(shè)提供借鑒和參考。

參考文獻(xiàn)：

[1] 田雙桂，沈紹武.中醫(yī)藥項(xiàng)目預(yù)算管理信息化需求探討[J].中醫(yī)藥管理雜志，2013，21（8）：802-803.

[2] 李繼珍.重視中醫(yī)藥發(fā)展時(shí)期信息安全問(wèn)題的探討[J].中醫(yī)藥管理雜志，2012，20（4）：391-392.

[3] 肖勇，沈紹武，田雙桂，等.中醫(yī)藥項(xiàng)目預(yù)算監(jiān)控平臺(tái)信息安全等級(jí)保護(hù)實(shí)踐[J].醫(yī)學(xué)信息學(xué)雜志，2014，35（9）：7-11.