導(dǎo)語：如何才能寫好一篇網(wǎng)絡(luò)安全等級(jí)保護(hù)管理辦法，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

本報(bào)訊 7月20日，公安部、國務(wù)院信息辦等4部門在北京聯(lián)合召開“全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作電視電話會(huì)議”，部署在全國范圍內(nèi)開展重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作(以下簡(jiǎn)稱“定級(jí)工作”)。國家信息安全等級(jí)保護(hù)協(xié)調(diào)小組組長、公安部副部長張新楓，國務(wù)院信息化工作辦公室副主任、國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室主任楊學(xué)山出席會(huì)議并講話。

張新楓指出，當(dāng)前，我國信息安全面臨的形勢(shì)仍然十分嚴(yán)峻，維護(hù)國家信息安全的任務(wù)非常艱巨、繁重。隨著我國經(jīng)濟(jì)的持續(xù)發(fā)展和國際地位的不斷提高，我國的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)面臨的安全威脅及安全隱患比較嚴(yán)重，計(jì)算機(jī)病毒傳播和網(wǎng)絡(luò)非法入侵十分猖獗，網(wǎng)絡(luò)違法犯罪持續(xù)大幅上升，犯罪分子利用一些安全漏洞，使用黑客病毒技術(shù)、網(wǎng)絡(luò)釣魚技術(shù)、木馬間諜程序等新技術(shù)，進(jìn)行網(wǎng)絡(luò)盜竊、網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)賭博等違法犯罪，給用戶造成嚴(yán)重?fù)p失。特別是“科技奧運(yùn)”和“數(shù)字奧運(yùn)”是2008年北京奧運(yùn)會(huì)的一大亮點(diǎn)，網(wǎng)絡(luò)與信息安全已經(jīng)成為事關(guān)北京奧運(yùn)安全的重大問題之一。

張新楓強(qiáng)調(diào)，信息安全等級(jí)保護(hù)制度是國家信息安全保障工作的基本制度。為了加快推進(jìn)信息安全等級(jí)保護(hù)工作，此前，公安部、國務(wù)院信息辦等部門已聯(lián)合出臺(tái)了有關(guān)信息安全等級(jí)保護(hù)工作的實(shí)施意見、管理辦法等相關(guān)文件。定級(jí)是等級(jí)保護(hù)工作的首要環(huán)節(jié)，是開展信息系統(tǒng)建設(shè)、整改、測(cè)評(píng)、備案、監(jiān)督檢查等后續(xù)工作的重要基礎(chǔ)。此次定級(jí)工作的主要內(nèi)容：一是開展信息系統(tǒng)基本情況的摸底調(diào)查，確定定級(jí)對(duì)象。二是信息系統(tǒng)主管部門和運(yùn)營使用單位按照等級(jí)保護(hù)管理辦法和定級(jí)指南，初步確定定級(jí)對(duì)象的安全保護(hù)等級(jí)，請(qǐng)專家進(jìn)行評(píng)審，并報(bào)經(jīng)上級(jí)行業(yè)主管部門審批同意。三是信息系統(tǒng)安全保護(hù)等級(jí)為第二級(jí)以上的信息系統(tǒng)運(yùn)營使用單位或主管部門到公安機(jī)關(guān)備案。公安機(jī)關(guān)和國家有關(guān)部門受理備案后，要對(duì)信息系統(tǒng)的安全保護(hù)等級(jí)和備案情況進(jìn)行審核、管理。

會(huì)議由公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局局長李昭主持，公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局副局長、國家網(wǎng)絡(luò)與信息安全信息通報(bào)中心主任顧建國對(duì)定級(jí)工作作了具體說明。

篇2

關(guān)鍵詞：等級(jí)保護(hù)；測(cè)評(píng)；信息安全；管理

中圖分類號(hào)：TP393

文獻(xiàn)標(biāo)志碼：C

文章編號(hào)：1006-8228(2011)12-60-02

0 引言

信息安全等級(jí)保護(hù)作為國家信息安全工作的一項(xiàng)基本制度、基本國策，已經(jīng)在全國實(shí)行多年，各信息系統(tǒng)運(yùn)營使用單位都深刻認(rèn)識(shí)到等級(jí)保護(hù)制度的重要性。在我國信息安全等級(jí)保護(hù)制度中，等級(jí)保護(hù)分五個(gè)工作環(huán)節(jié)――定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)和監(jiān)督檢查。其中，等級(jí)測(cè)評(píng)是等級(jí)測(cè)評(píng)機(jī)構(gòu)依據(jù)國家信息安全等級(jí)保護(hù)制度規(guī)定，受有關(guān)單位委托，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)非涉及國家秘密信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行的檢測(cè)評(píng)估活動(dòng)，是信息安全等級(jí)保護(hù)工作的重要環(huán)節(jié)。

隨著等級(jí)保護(hù)工作的不斷推進(jìn)，等級(jí)測(cè)評(píng)機(jī)構(gòu)的體系建設(shè)也在不斷深入，全國等級(jí)測(cè)評(píng)機(jī)構(gòu)的數(shù)量在不斷增加，測(cè)評(píng)機(jī)構(gòu)的品質(zhì)和能力、測(cè)評(píng)人員的水平和素質(zhì)、測(cè)評(píng)競(jìng)爭(zhēng)環(huán)境等諸多方面的問題將不斷出現(xiàn)。因此，加強(qiáng)對(duì)等級(jí)測(cè)評(píng)機(jī)構(gòu)的合理、有效監(jiān)管，對(duì)提升測(cè)評(píng)行業(yè)質(zhì)量，保證測(cè)評(píng)數(shù)據(jù)公正、客觀，以及保障重點(diǎn)行業(yè)的重要信息系統(tǒng)安全等至關(guān)重要。

1 國家層面對(duì)測(cè)評(píng)機(jī)構(gòu)的監(jiān)管模式

測(cè)評(píng)工作作為等級(jí)保護(hù)制度中最重要工作環(huán)節(jié)，具有明顯的專業(yè)性和技術(shù)性恃點(diǎn)，其政策導(dǎo)向性強(qiáng)。因此，僅有相關(guān)測(cè)評(píng)技術(shù)標(biāo)準(zhǔn)是不夠的，測(cè)評(píng)機(jī)構(gòu)的體系化、規(guī)范化管理也是關(guān)鍵。

2009年7月公安部開始信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)試點(diǎn)工作，其目的是探索信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和管理的模式和經(jīng)驗(yàn)，保證全國重要信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)工作的順利開展。試點(diǎn)工作主要在浙江、重慶、河南、廣東等省市展開。其主要內(nèi)容是根據(jù)《信息安全等級(jí)保護(hù)管理辦法》和有關(guān)技術(shù)標(biāo)準(zhǔn)完成五個(gè)方面的工作：一是檢驗(yàn)并完善等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)具備的條件；二是檢驗(yàn)并完善等級(jí)測(cè)評(píng)機(jī)構(gòu)建設(shè)的主要內(nèi)容；三是檢驗(yàn)并完善等級(jí)測(cè)評(píng)人員管理的主要內(nèi)容；四是檢驗(yàn)并完善等級(jí)測(cè)評(píng)工作規(guī)范性要求的主要內(nèi)容；五是檢驗(yàn)并完善測(cè)評(píng)機(jī)構(gòu)監(jiān)督管理的主要內(nèi)容等。從試點(diǎn)工作情況分析，國家對(duì)等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)的監(jiān)管模式采用的是能力評(píng)估和政府干預(yù)相結(jié)合的模式。

從工作程序上分為四個(gè)步驟：

(1)各測(cè)評(píng)機(jī)構(gòu)向設(shè)區(qū)的市級(jí)以上所在地公安網(wǎng)安部門申請(qǐng)，公安網(wǎng)安部門根據(jù)《信息安全等級(jí)保護(hù)測(cè)評(píng)工作管理規(guī)范(試行)》對(duì)測(cè)評(píng)機(jī)構(gòu)所提交的申請(qǐng)材料進(jìn)行審核，審核通過后，提交給上一級(jí)公安網(wǎng)安部門報(bào)批，并予以受理。

(2)公安部網(wǎng)絡(luò)安全保衛(wèi)局統(tǒng)一將各地上報(bào)的測(cè)評(píng)機(jī)構(gòu)信息轉(zhuǎn)發(fā)給公安部信息安全等級(jí)保護(hù)評(píng)估中心，由評(píng)估中心按照《信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)能力要求(試行)》對(duì)各測(cè)評(píng)機(jī)構(gòu)進(jìn)行能力評(píng)估。能力評(píng)估通過后，由評(píng)估中心將能力評(píng)估材料遞交公安部網(wǎng)絡(luò)安全保衛(wèi)局審核批準(zhǔn)。

(3)各省公安網(wǎng)安部門收到公安部網(wǎng)絡(luò)安全保衛(wèi)局對(duì)測(cè)評(píng)機(jī)構(gòu)審核的意見及相關(guān)證書，下發(fā)給各地網(wǎng)安部門。

(4)公安部信息安全等級(jí)保護(hù)評(píng)估中心在網(wǎng)站上公布測(cè)評(píng)機(jī)構(gòu)名單，接受社會(huì)監(jiān)督。

能力評(píng)估的內(nèi)容和要求上，分為組織管理能力、測(cè)評(píng)實(shí)施能力、設(shè)施和設(shè)備安全與保障能力、質(zhì)量管理能力、規(guī)范性保證能力、風(fēng)險(xiǎn)控制能力、可持續(xù)發(fā)展能力等七個(gè)方面和基本要求、約束性要求等兩個(gè)部分。

2 浙江省等級(jí)測(cè)評(píng)機(jī)構(gòu)現(xiàn)有監(jiān)管模式

浙江省信息等級(jí)保護(hù)工作一直處于國內(nèi)前列，2006年就頒布了《浙江省信息安全等級(jí)保護(hù)管理辦法》(省政府第223號(hào)令)，并在同年開展了全國等級(jí)保護(hù)試點(diǎn)項(xiàng)目。通過多年積累的經(jīng)驗(yàn)，2007年浙江省開始在測(cè)評(píng)機(jī)構(gòu)管理、測(cè)評(píng)工作模式等方面進(jìn)行探索，初步形成具有浙江特色的等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)監(jiān)管模式。

(1)以社會(huì)協(xié)會(huì)管理為主，政府監(jiān)管為輔的管理模式

浙江省結(jié)合實(shí)際，政府層面出臺(tái)了《浙江省信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)管理規(guī)定(試行)》，明確了省內(nèi)從事等級(jí)測(cè)評(píng)工作的單位性質(zhì)、條件和義務(wù)等要素。社會(huì)協(xié)會(huì)層面出臺(tái)了《浙江省信息安全測(cè)評(píng)機(jī)構(gòu)資信等級(jí)評(píng)定管理辦法(試行)》實(shí)現(xiàn)測(cè)評(píng)機(jī)構(gòu)資信等級(jí)一、二級(jí)管理，形成測(cè)評(píng)機(jī)構(gòu)管理行業(yè)規(guī)范，變政府由市場(chǎng)參與主體向市場(chǎng)監(jiān)管主體轉(zhuǎn)變，由管理審批型向管理服務(wù)型轉(zhuǎn)變、由直接行政干預(yù)向間接宏觀調(diào)控轉(zhuǎn)變。

(2)建立以行業(yè)自律管理為主的監(jiān)管體系

嚴(yán)格測(cè)評(píng)機(jī)構(gòu)行業(yè)自律管理，測(cè)評(píng)機(jī)構(gòu)間簽署《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)行業(yè)自律公約》，強(qiáng)化機(jī)構(gòu)自律化管理，進(jìn)一步規(guī)范測(cè)評(píng)機(jī)構(gòu)行為和工作秩序。

(3)建立機(jī)構(gòu)統(tǒng)一管理標(biāo)準(zhǔn)，?？貙彶闄C(jī)構(gòu)自身及人員能力建設(shè)

全省測(cè)評(píng)機(jī)構(gòu)必須按照“審核標(biāo)準(zhǔn)統(tǒng)一，管理規(guī)范標(biāo)準(zhǔn)統(tǒng)一、技術(shù)標(biāo)準(zhǔn)統(tǒng)一、測(cè)評(píng)工具標(biāo)準(zhǔn)統(tǒng)一、報(bào)告樣式標(biāo)準(zhǔn)統(tǒng)一”的五統(tǒng)一規(guī)范開展測(cè)評(píng)工作，并由政府組織機(jī)構(gòu)年審，設(shè)立準(zhǔn)入準(zhǔn)出機(jī)制。測(cè)評(píng)機(jī)構(gòu)的能力審查對(duì)測(cè)評(píng)過程中技術(shù)人員行為的規(guī)范性、合理性和程序標(biāo)準(zhǔn)性，對(duì)機(jī)構(gòu)業(yè)務(wù)范圍、管理能力和技術(shù)能力要求等給予明確規(guī)定，規(guī)范申請(qǐng)、審核、查驗(yàn)和推薦流程，組建由公安、保密、密碼管理、信息辦和安全等部門專家組成的專門審查小組對(duì)機(jī)構(gòu)背景、管理水平、資格和技術(shù)能力進(jìn)行量化評(píng)價(jià)，作為推薦依據(jù)。同時(shí)，嚴(yán)格規(guī)范測(cè)評(píng)機(jī)構(gòu)工作程序，加強(qiáng)對(duì)機(jī)構(gòu)內(nèi)部管理規(guī)范化建設(shè)督導(dǎo)，要求健全人員管理、項(xiàng)目管理、文檔管理、設(shè)備管理、保密制度等各項(xiàng)制度，要求制定《質(zhì)量手冊(cè)》、《程序文件》、《作業(yè)指導(dǎo)書》、《測(cè)評(píng)過程記錄表單》等測(cè)評(píng)實(shí)施過程文檔，完善測(cè)評(píng)實(shí)施規(guī)程。

全省機(jī)構(gòu)都已被要求必須獲得CMA中國計(jì)量認(rèn)證，并被引導(dǎo)和鼓勵(lì)去獲得CNAS實(shí)驗(yàn)室認(rèn)證、ISO27001認(rèn)證等。所有從業(yè)人員必須獲得初級(jí)以上“測(cè)評(píng)師”技術(shù)證書，測(cè)評(píng)工作中持證上崗。對(duì)測(cè)評(píng)從業(yè)人員要進(jìn)行錄用考核、備案和背景審查等工作。

3 現(xiàn)有監(jiān)管模式的不足

在現(xiàn)行的測(cè)評(píng)機(jī)構(gòu)監(jiān)管模式中，我們側(cè)重于對(duì)測(cè)評(píng)機(jī)構(gòu)應(yīng)具備條件(包括審核是否在境內(nèi)注冊(cè)成立、注冊(cè)資本多少、法人資格、公司已有的資質(zhì)、測(cè)評(píng)人員已獲得的技術(shù)認(rèn)證等)的監(jiān)管；僅關(guān)注機(jī)構(gòu)是否已具有完備的保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等制度，而對(duì)這些制度的落實(shí)情況及執(zhí)行情況缺乏有效監(jiān)督；對(duì)測(cè)評(píng)活動(dòng)實(shí)施過程中的合法性，有效性問題缺乏必要的考量。

4 對(duì)測(cè)評(píng)機(jī)構(gòu)進(jìn)行有效性監(jiān)管方法的探討

(1)對(duì)測(cè)評(píng)機(jī)構(gòu)的測(cè)評(píng)大綱實(shí)行報(bào)備審核

測(cè)評(píng)大綱應(yīng)是等級(jí)測(cè)評(píng)機(jī)構(gòu)的整體測(cè)評(píng)策略性文件，能綜合反映不同測(cè)評(píng)機(jī)構(gòu)從事等級(jí)測(cè)評(píng)活動(dòng)的經(jīng)驗(yàn)、知識(shí)、測(cè)評(píng)方法和測(cè)評(píng)程序?；趯?duì)被測(cè)評(píng)單位的利益保護(hù)以及對(duì)測(cè)評(píng)機(jī)構(gòu)的監(jiān)管要求，測(cè)評(píng)大綱應(yīng)具有法律效力，須報(bào)公安機(jī)關(guān)審核備案后使用。測(cè)評(píng)機(jī)構(gòu)只有按照測(cè)評(píng)大綱中明確的指標(biāo)嚴(yán)格檢測(cè)、測(cè)評(píng)，其測(cè)評(píng)結(jié)果才能真實(shí)地反映被測(cè)單位計(jì)算機(jī)信息

系統(tǒng)的安全狀況，為安全整改建設(shè)提供科學(xué)的依據(jù)和指南。

(2)對(duì)等級(jí)測(cè)評(píng)活動(dòng)的各周期程序?qū)嵭斜O(jiān)督指導(dǎo)

等級(jí)測(cè)評(píng)流程分為四個(gè)階段：測(cè)評(píng)準(zhǔn)備、方案編制、現(xiàn)場(chǎng)測(cè)評(píng)及報(bào)告編制，政府部門的督導(dǎo)工作須貫穿其中。如，在測(cè)評(píng)準(zhǔn)備階段，為了避免測(cè)評(píng)小組成員和委托人之間存在利害關(guān)系，影響測(cè)評(píng)結(jié)果的公平、客觀、真實(shí)，測(cè)評(píng)機(jī)構(gòu)在確定測(cè)評(píng)小組成員名單后讓測(cè)評(píng)委托人確認(rèn)簽字，確認(rèn)書要留檔備查，未經(jīng)確認(rèn)開展的項(xiàng)目測(cè)評(píng)報(bào)告不具有法律效力。方案編制中，必須明確測(cè)評(píng)對(duì)象、范圍、依據(jù)法律法規(guī)和標(biāo)準(zhǔn)、制定具體的測(cè)評(píng)檢查表，記錄文件要測(cè)評(píng)雙方簽字確認(rèn)，方案和測(cè)評(píng)過程文檔應(yīng)留檔備查。現(xiàn)場(chǎng)測(cè)評(píng)中，測(cè)評(píng)小組必須使用可信、安全等級(jí)測(cè)評(píng)工具采集數(shù)據(jù)，測(cè)評(píng)工具要向公安機(jī)關(guān)報(bào)備，現(xiàn)場(chǎng)測(cè)評(píng)要按照檢測(cè)程序全面檢測(cè)關(guān)鍵測(cè)評(píng)項(xiàng)，依據(jù)測(cè)評(píng)標(biāo)準(zhǔn)客觀、公正、準(zhǔn)確評(píng)價(jià)，政府主管部門應(yīng)隨機(jī)駐點(diǎn)督查現(xiàn)場(chǎng)測(cè)評(píng)過程實(shí)施情況。測(cè)評(píng)報(bào)告反映的是被測(cè)評(píng)單位信息系統(tǒng)的安全保護(hù)現(xiàn)狀，應(yīng)具有法律效力，報(bào)告要使用標(biāo)準(zhǔn)模板，起草過程中測(cè)評(píng)機(jī)構(gòu)和測(cè)評(píng)人員應(yīng)當(dāng)遵守國家的有關(guān)法律法規(guī)，保守被測(cè)評(píng)單位秘密、保障被測(cè)單位利益，政府部門有必要明確測(cè)機(jī)構(gòu)及其工作人員的法律責(zé)任來規(guī)范其職業(yè)道德。測(cè)評(píng)機(jī)構(gòu)的測(cè)評(píng)結(jié)果直接對(duì)信息系統(tǒng)運(yùn)營使用單位的建設(shè)、整改和運(yùn)營成本，以及對(duì)監(jiān)管部門的行政監(jiān)管成本產(chǎn)生影響，也就是說，測(cè)評(píng)報(bào)告對(duì)國家和社會(huì)都會(huì)產(chǎn)生影響。因此，測(cè)評(píng)機(jī)構(gòu)要對(duì)自身的測(cè)評(píng)行為負(fù)責(zé)，政府主管部門將對(duì)機(jī)構(gòu)及從業(yè)人員違反法律規(guī)定的行為予以民事、行政或刑事處罰。

(3)對(duì)測(cè)評(píng)人員實(shí)行從錄用到離職的全程監(jiān)督

等級(jí)測(cè)評(píng)涉及用戶單位的核心業(yè)務(wù)系統(tǒng)，是一項(xiàng)高技術(shù)的專業(yè)安全服務(wù)，需要具有一定政治素質(zhì)、道德素質(zhì)和專業(yè)素質(zhì)的測(cè)評(píng)人員來支撐。管理應(yīng)進(jìn)一步加大對(duì)測(cè)評(píng)人員的政治背景、從業(yè)背景、專業(yè)背景、技術(shù)素養(yǎng)的審查力度，建立完備測(cè)評(píng)人員檔案庫，考量測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)人員穩(wěn)定性，重點(diǎn)加大對(duì)離職測(cè)評(píng)人員的管控，明確保密條約，關(guān)注人員離職去向。

(4)制定測(cè)評(píng)機(jī)構(gòu)優(yōu)劣考量機(jī)制，促進(jìn)誠信服務(wù)的企業(yè)文化

等級(jí)測(cè)評(píng)的執(zhí)行主體是測(cè)評(píng)機(jī)構(gòu)，測(cè)評(píng)機(jī)構(gòu)的企業(yè)文化是否具有凝聚性，企業(yè)價(jià)值觀是否誠信，內(nèi)部管理模式是否健康，關(guān)乎其市場(chǎng)競(jìng)爭(zhēng)力，更關(guān)乎測(cè)評(píng)機(jī)構(gòu)能否為信息系統(tǒng)安全等級(jí)保護(hù)工作提供安全、客觀、公正的檢測(cè)評(píng)估服務(wù)。因此，要求測(cè)評(píng)企業(yè)必須有一定的政治覺悟，要嚴(yán)格遵守國家有關(guān)法律法規(guī)，要承擔(dān)社會(huì)責(zé)任和法律責(zé)任，不能唯利是圖。政府部門要定期開展管理評(píng)審，制定考量測(cè)評(píng)機(jī)構(gòu)優(yōu)劣評(píng)判標(biāo)準(zhǔn)，完善被測(cè)評(píng)單位滿意度反饋機(jī)制，建立機(jī)構(gòu)誠信狀況、信用狀況、評(píng)級(jí)結(jié)果等信息公開機(jī)制，將政府監(jiān)管和社會(huì)監(jiān)督結(jié)合起來，通過評(píng)星評(píng)級(jí)、市場(chǎng)退出和獎(jiǎng)懲機(jī)制的建立，鼓勵(lì)誠信機(jī)構(gòu)，懲戒不誠信機(jī)構(gòu)，增加機(jī)構(gòu)不規(guī)范測(cè)評(píng)行為的風(fēng)險(xiǎn)成本。

(5)規(guī)范價(jià)格體系，推動(dòng)測(cè)評(píng)機(jī)構(gòu)良性發(fā)展

等級(jí)測(cè)評(píng)是近兩年才興起的行業(yè)，政府要引導(dǎo)建立良好的測(cè)評(píng)市場(chǎng)價(jià)格體系，借鑒其他行業(yè)自律的經(jīng)驗(yàn)手段，避免惡性價(jià)格競(jìng)爭(zhēng)，要保障等級(jí)測(cè)評(píng)有一定的利潤空間，以使得測(cè)評(píng)機(jī)構(gòu)能朝更專業(yè)、更具實(shí)力方向發(fā)展，充分調(diào)動(dòng)測(cè)評(píng)機(jī)構(gòu)提升品牌建設(shè)、服務(wù)工作效率、專業(yè)能力、測(cè)評(píng)人員素質(zhì)的內(nèi)在動(dòng)力。

篇3

一、加強(qiáng)本單位網(wǎng)絡(luò)與信息安全工作的組織領(lǐng)導(dǎo)，建立健全網(wǎng)絡(luò)與信息安全工作機(jī)構(gòu)和工作機(jī)制，保證網(wǎng)絡(luò)與信息安全工作渠道的暢通。

二、明確本單位信息安全工作責(zé)任，按照“誰主管，誰負(fù)責(zé);誰運(yùn)營，誰負(fù)責(zé)”的原則，將安全職責(zé)層層落實(shí)到具體部門、具體崗位和具體人員。

三、加強(qiáng)本單位信息系統(tǒng)安全等級(jí)保護(hù)管理工作，在公安機(jī)關(guān)的監(jiān)督、檢查、指導(dǎo)下，自覺、主動(dòng)按照等級(jí)保護(hù)管理規(guī)范的要求完成信息系統(tǒng)定級(jí)、備案，對(duì)存在的安全隱患或未達(dá)到相關(guān)技術(shù)標(biāo)準(zhǔn)的方面進(jìn)行建設(shè)整改，隨信息系統(tǒng)的實(shí)際建設(shè)、應(yīng)用情況對(duì)安全保護(hù)等級(jí)進(jìn)行動(dòng)態(tài)調(diào)整。

四、加強(qiáng)本單位各節(jié)點(diǎn)信息安全應(yīng)急工作。制定信息安全保障方案，加強(qiáng)應(yīng)急隊(duì)伍建設(shè)和人員培訓(xùn)，組織開展安全檢查、安全測(cè)試和應(yīng)急演練。重大節(jié)日及敏感節(jié)點(diǎn)期間，加強(qiáng)對(duì)重要信息系統(tǒng)的安全監(jiān)控，加強(qiáng)值班，嚴(yán)防死守，隨時(shí)應(yīng)對(duì)各類突發(fā)事件。

五、按照《信息安全等級(jí)保護(hù)管理辦法》、《互聯(lián)網(wǎng)信息管理服務(wù)辦法》等規(guī)定，進(jìn)一步加強(qiáng)網(wǎng)絡(luò)與信息安全的監(jiān)督管理，嚴(yán)格落實(shí)信息安全突發(fā)事件“每日零報(bào)告制度”，對(duì)本單位出現(xiàn)信息安全事件隱瞞不報(bào)、謊報(bào)或拖延不報(bào)的，要按照有關(guān)規(guī)定，給予責(zé)任人行政處理;出現(xiàn)重大信息安全事件，造成重大損失和影響的，要依法追究有關(guān)單位和人員的責(zé)任。

六、作為本單位網(wǎng)絡(luò)與信息安全工作的責(zé)任人，如出現(xiàn)重大信息安全事件，對(duì)國家安全、社會(huì)秩序、公共利益、公民法人及其他組織造成影響的，本人承擔(dān)主要領(lǐng)導(dǎo)責(zé)任。違反上述承諾，自愿承擔(dān)相應(yīng)主體責(zé)任和法律后果。

七、本人承諾不從事下列危害計(jì)算機(jī)信息網(wǎng)絡(luò)安全的活動(dòng)：

1、未經(jīng)允許，進(jìn)入計(jì)算機(jī)信息網(wǎng)絡(luò)或者使用計(jì)算機(jī)信息網(wǎng)絡(luò)資源; 2、未經(jīng)允許，對(duì)計(jì)算機(jī)信息網(wǎng)絡(luò)功能進(jìn)行刪除、修改或者增加;

3、未經(jīng)允許，對(duì)計(jì)算機(jī)信息網(wǎng)絡(luò)中存儲(chǔ)或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改或者增加;

4、故意制作、傳播計(jì)算機(jī)病毒以及其它破壞性程序;

5、不盜用別人計(jì)算機(jī)的ip地址、網(wǎng)卡物理地址(mac值)和信息數(shù)據(jù); 6、不做其它危害計(jì)算機(jī)信息網(wǎng)絡(luò)安全行為。

八、本人承諾當(dāng)計(jì)算機(jī)信息系統(tǒng)發(fā)生重大安全事故時(shí)，立即采取應(yīng)急措施，保留有關(guān)原始記錄，并在24小時(shí)內(nèi)向政府監(jiān)管部門報(bào)告，以及知會(huì)公司資訊安全部門，并接受公司停止網(wǎng)絡(luò)資源使用服務(wù)。

九、本人鄭重承諾遵守本承諾書的有關(guān)條款，在使用中認(rèn)真履行職責(zé)，自覺接受監(jiān)督，確保網(wǎng)絡(luò)信息安全;如有違反本承諾書有關(guān)條款和國家相關(guān)法律法規(guī)的行為，本人愿意承擔(dān)由此引起的一切責(zé)任，直至民事、行政和刑事責(zé)任，并接受相應(yīng)處罰﹔對(duì)于造成財(cái)產(chǎn)損失的，由個(gè)人直接賠償。

十、本承諾書自簽署之日起生效。

篇4

【 關(guān)鍵詞 】 等級(jí)保護(hù)；煙草企業(yè)；信息安全體系

1 等級(jí)保護(hù)思想

等級(jí)保護(hù)思想自20世紀(jì)80年代在美國產(chǎn)生以來，對(duì)信息安全的研究和應(yīng)用產(chǎn)生著深遠(yuǎn)的影響。以ITSEC、TCSEC、CC等為代表的一系列安全評(píng)估準(zhǔn)則相繼出臺(tái)，被越來越多的國家和行業(yè)所引入。我國于20世紀(jì)80年代末開始研究信息系統(tǒng)安全防護(hù)問題，1994年國務(wù)院頒布《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國務(wù)院147號(hào)令），明確規(guī)定計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)。至此，等級(jí)保護(hù)思想開始在我國逐漸盛行。

我國的安全等級(jí)保護(hù)主要對(duì)國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)。其核心思想就是對(duì)信息系統(tǒng)分等級(jí)、按標(biāo)準(zhǔn)分類指導(dǎo)，分階段實(shí)施建設(shè)、管理和監(jiān)督，以保障信息系統(tǒng)安全正常運(yùn)行和信息安全。信息系統(tǒng)的安全等級(jí)保護(hù)由低到高劃分為五級(jí)，通過分級(jí)分類，以相應(yīng)的技術(shù)和管理為支撐，實(shí)現(xiàn)不同等級(jí)的信息安全防護(hù)。

2 煙草行業(yè)引入等級(jí)保護(hù)思想的意義

煙草行業(yè)高度重視等級(jí)保護(hù)工作，實(shí)施信息安全等級(jí)保護(hù)，能有效地提高煙草行業(yè)信息安全和信息系統(tǒng)安全建設(shè)的整體水平。

2.1 開展安全等級(jí)結(jié)構(gòu)化安全設(shè)計(jì)

安全等級(jí)保護(hù)在注重分級(jí)的同時(shí)，也強(qiáng)調(diào)分類、分區(qū)域防護(hù)。煙草行業(yè)雖強(qiáng)調(diào)分類、分區(qū)域，但存在一定局域性。同時(shí)，由于缺少分級(jí)準(zhǔn)則，差異化保護(hù)尚未深化。引入等級(jí)保護(hù)思想，有助于深化結(jié)構(gòu)化安全設(shè)計(jì)理念，通過細(xì)分類型、劃分區(qū)域，全面梳理安全風(fēng)險(xiǎn)，明晰防護(hù)重點(diǎn)，構(gòu)建統(tǒng)一的安全體系架構(gòu)。

2.2 注重全生命周期安全管理

等級(jí)保護(hù)工作遵循“自主保護(hù)、重點(diǎn)保護(hù)、同步建設(shè)、動(dòng)態(tài)調(diào)整”四大基本原則，其“同步建設(shè)、動(dòng)態(tài)調(diào)整”原則充分體現(xiàn)了全生命周期管理的思想。煙草行業(yè)在全建設(shè)“同步”思想方面體現(xiàn)不深，未在系統(tǒng)的建設(shè)初期將安全需求納入系統(tǒng)的整體階段。引入新思想，明確新建系統(tǒng)安全保護(hù)要求，提升安全管理效率。

3 等級(jí)保護(hù)在煙草行業(yè)的實(shí)施路徑

信息安全等級(jí)保護(hù)工作的內(nèi)容主要涉及系統(tǒng)定級(jí)備案、等級(jí)保護(hù)建設(shè)、風(fēng)險(xiǎn)評(píng)估與等級(jí)安全測(cè)評(píng)、安全建設(shè)整改。煙草行業(yè)推行等級(jí)保護(hù)工作，其實(shí)施路徑主要有幾條。

3.1 信息系統(tǒng)安全定級(jí)

主要包括信息系統(tǒng)識(shí)別、信息系統(tǒng)劃分、安全等級(jí)確定。其中，原有信息系統(tǒng)根據(jù)業(yè)務(wù)信息安全重要性、系統(tǒng)服務(wù)安全重要性等方面綜合判定，合理定級(jí)。

3.2 等級(jí)保護(hù)安全測(cè)評(píng)

在等級(jí)保護(hù)環(huán)境下對(duì)信息系統(tǒng)重要資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估，通過等保測(cè)評(píng)，發(fā)現(xiàn)與等級(jí)保護(hù)技術(shù)、管理要求的不符合項(xiàng)。

3.3 制訂等級(jí)保護(hù)實(shí)施方案

依據(jù)安全建設(shè)總體方案、等級(jí)保護(hù)不符合項(xiàng)，全面梳理存在問題，分類形成各層級(jí)問題清單；并合理評(píng)估安全建設(shè)整改的難易度，全面有效制訂等級(jí)保護(hù)方案，明確安全整改目標(biāo)。

3.4 開展安全整改與評(píng)估

根據(jù)等級(jí)保護(hù)實(shí)施方案開展建設(shè)，具體主要包括安全域劃分、產(chǎn)品采購與部署、安全策略實(shí)施、安全整改加固以及等級(jí)保護(hù)管理建設(shè)等。并不定期開展安全評(píng)估，不斷鞏固信息安全與信息系統(tǒng)安全。

4 基于等級(jí)保護(hù)的煙草企業(yè)信息安全體系建設(shè)

根據(jù)等級(jí)保護(hù)工作的實(shí)施路徑分析得出，等級(jí)保護(hù)與信息安全體系存在許多共性，有較好的融合度。因此，探索基于等級(jí)保護(hù)的行業(yè)信息安全體系具有深刻意義。

信息安全體系的核心是策略，由管理、技術(shù)、運(yùn)維三部分組成。在等級(jí)保護(hù)思想的融合下，信息安全體系建設(shè)更加注重“分級(jí)保護(hù)、分類設(shè)計(jì)、分階段實(shí)施”。根據(jù)等級(jí)保護(hù)思想，煙草行業(yè)信息安全體系概述有幾點(diǎn)。

4.1 分級(jí)保護(hù)

煙草行業(yè)的信息安全體系以信息系統(tǒng)等級(jí)為落腳點(diǎn)，實(shí)行系統(tǒng)關(guān)聯(lián)分級(jí)，具體分為人員分級(jí)、操作權(quán)限分級(jí)、應(yīng)用對(duì)象分級(jí)。首先確定使用對(duì)象的范圍。對(duì)人員實(shí)行不同分級(jí)，即人員、可信人員、不可信人員等；其次，根據(jù)人員分級(jí)，劃分操作權(quán)限，即高權(quán)限、特殊權(quán)限、中權(quán)限、低權(quán)限等；最后根據(jù)業(yè)務(wù)信息安全等級(jí)和應(yīng)用服務(wù)等級(jí)，明確應(yīng)用系統(tǒng)等級(jí)，即一至五級(jí)安全等級(jí)。通過“人員—操作—應(yīng)用”的關(guān)聯(lián)鏈，制訂分級(jí)準(zhǔn)則，從而達(dá)到分級(jí)保護(hù)的目的。

4.2 分類設(shè)計(jì)

信息安全體系分類設(shè)計(jì)，主要涉及不同類型、不同區(qū)域、不同邊界三方面的結(jié)構(gòu)化設(shè)計(jì)。

4.2.1 類型設(shè)計(jì)

根據(jù)安全等級(jí)保護(hù)要求以及安全體系特點(diǎn)，分為技術(shù)、管理和運(yùn)維三大類型，并進(jìn)行類型策略設(shè)計(jì)。其中技術(shù)要求分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等四部分，管理要求分為安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理等四部分。運(yùn)維要求分為系統(tǒng)運(yùn)維管理、系統(tǒng)運(yùn)維評(píng)估等兩部分。

（1）技術(shù)策略注重系統(tǒng)自身安全防護(hù)功能以及系統(tǒng)遭損害后的恢復(fù)功能兩大層面。如主機(jī)管理，其中主機(jī)管理、身份鑒別、訪問控制、安全審計(jì)、入侵方法等標(biāo)準(zhǔn)要按級(jí)體現(xiàn)；而不同的策略同樣也要根據(jù)兩大層面按需設(shè)計(jì)。

（2）管理策略注重管理范圍全面性、資源配置到位性和運(yùn)行機(jī)制順暢性。諸如安全管理機(jī)構(gòu)是否明確了機(jī)構(gòu)組成，崗位設(shè)置是否合理、人員配置是否到位、溝通運(yùn)行機(jī)制是否順暢等。

（3）運(yùn)維策略主要體現(xiàn)運(yùn)維流程的清晰度、運(yùn)維監(jiān)督考核的執(zhí)行度。諸如系統(tǒng)運(yùn)維管理是否明確運(yùn)維流程及運(yùn)維監(jiān)督考核指標(biāo)，諸如重大事件、巡檢管理、故障管理等。通過分類設(shè)計(jì)達(dá)到結(jié)構(gòu)化層級(jí)要求。

4.2.2 區(qū)域設(shè)計(jì)

區(qū)域設(shè)計(jì)主要指安全域。安全域從不同角度可以進(jìn)行劃分，主要分為橫向劃分和縱向劃分，橫向劃分按照業(yè)務(wù)分類將系統(tǒng)劃分為各個(gè)不同的安全域，如硬件系統(tǒng)部分、軟件系統(tǒng)部分等；縱向在各業(yè)務(wù)系統(tǒng)安全域內(nèi)部，綜合考慮其所處位置或連接以及面臨威脅，將它們劃分為計(jì)算域、用戶域和網(wǎng)絡(luò)域。

煙草行業(yè)根據(jù)體系建設(shè)需要，將采用多種安全域劃分方法相結(jié)合的方式進(jìn)行區(qū)域劃分。

（1）以系統(tǒng)功能和服務(wù)對(duì)象劃分煙草重要信息系統(tǒng)安全域和一般應(yīng)用系統(tǒng)安全域。采取嚴(yán)格的訪問控制措施，防止重要信息系統(tǒng)數(shù)據(jù)被其它業(yè)務(wù)系統(tǒng)頻繁訪問。

（2）以網(wǎng)絡(luò)區(qū)域劃分煙草行業(yè)信息系統(tǒng)的數(shù)據(jù)存儲(chǔ)區(qū)、應(yīng)用服務(wù)區(qū)、管理中心、信息系統(tǒng)內(nèi)網(wǎng)、DMZ區(qū)等不同的安全域。數(shù)據(jù)存儲(chǔ)區(qū)的安全保護(hù)級(jí)別要高于應(yīng)用服務(wù)區(qū)，DMZ區(qū)的安全級(jí)別要低于其它所有安全域。

4.2.3 邊界設(shè)計(jì)

要清晰系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用等邊界，通過區(qū)域之間劃分，明晰邊界安全防護(hù)措施。邊界設(shè)計(jì)的理念基于區(qū)域設(shè)計(jì)，在區(qū)域劃分成不同單元的基礎(chǔ)上，實(shí)行最小安全邊界防護(hù)。邊界防護(hù)本著“知所必需、用所必需、共享必需、公開必需、互聯(lián)互通必需”的信息系統(tǒng)安全控制管理原則實(shí)施。

4.3 分階段實(shí)施

煙草信息安全體系建設(shè)要充分體現(xiàn)全生命周期管理思想，從應(yīng)用系統(tǒng)需求開始，分階段推進(jìn)體系建設(shè)。

4.3.1 明確安全需求

為保證信息安全體系建設(shè)能順利開展，行業(yè)新建系統(tǒng)必須在規(guī)劃和設(shè)計(jì)階段，確定系統(tǒng)安全等級(jí)，明確安全需求，并將應(yīng)用系統(tǒng)的安全需求納入到項(xiàng)目規(guī)劃、設(shè)計(jì)、實(shí)施和驗(yàn)證，以避免信息系統(tǒng)后期反復(fù)的整改。

4.3.2 加強(qiáng)安全建設(shè)

要在系統(tǒng)建設(shè)過程中，根據(jù)安全等級(jí)保護(hù)要求，以類型、區(qū)域和邊界的設(shè)計(jì)為著力點(diǎn)，全面加強(qiáng)安全環(huán)節(jié)的監(jiān)督，及時(shí)跟蹤安全功能的“盲點(diǎn)”，使在系統(tǒng)建設(shè)中充分體現(xiàn)安全總體設(shè)計(jì)的要求，穩(wěn)步推進(jìn)安全體系穩(wěn)步開展。

4.3.3 健全安全運(yùn)維機(jī)制

自系統(tǒng)進(jìn)入運(yùn)維期后，要建立健全安全運(yùn)維機(jī)制。梳理運(yùn)維工作事項(xiàng)，理順運(yùn)維業(yè)務(wù)流程，并通過制訂運(yùn)維規(guī)范、運(yùn)維質(zhì)量評(píng)價(jià)標(biāo)準(zhǔn)、運(yùn)維考核標(biāo)準(zhǔn)等，規(guī)范安全運(yùn)維管理，提高安全運(yùn)維執(zhí)行力，以確保系統(tǒng)符合安全等級(jí)要求。

4.3.4 開展全面安全測(cè)評(píng)

在安全建設(shè)階段，對(duì)行業(yè)現(xiàn)狀要全面診斷評(píng)估，尤其是對(duì)已定級(jí)的信息系統(tǒng)，加強(qiáng)安全測(cè)評(píng)，形成安全整改方案，并結(jié)合安全體系設(shè)計(jì)框架，按階段、分步驟落實(shí)，注重整改質(zhì)量與效率，降低安全風(fēng)險(xiǎn)。

4.3.5 落實(shí)檢查與評(píng)估

檢查評(píng)估必須以安全等保要求為檢查內(nèi)容，充分借助第三方力量，準(zhǔn)確評(píng)估行業(yè)安全管理水平，并及時(shí)調(diào)整安全保護(hù)等級(jí)，不斷促進(jìn)行業(yè)信息安全工作上臺(tái)階。

5 結(jié)束語

信息安全體系建設(shè)作為一項(xiàng)長期的系統(tǒng)工程，等級(jí)保護(hù)思想的引入，以其保護(hù)理念的先進(jìn)性和實(shí)施路徑的可行性，為信息安全體系建設(shè)提供了新的思路和方法。煙草行業(yè)將在信息安全等級(jí)保護(hù)工作中切實(shí)提高煙草業(yè)務(wù)核心系統(tǒng)的信息安全，保障行業(yè)系統(tǒng)的安全、穩(wěn)定、優(yōu)質(zhì)運(yùn)行，更好地服務(wù)國家和社會(huì)。

參考文獻(xiàn)

[1] 公安部等.信息安全等級(jí)保護(hù)管理辦法[Z]. 2007-06-22.

[2] 國家煙草專賣局.煙草行業(yè)信息安全保障體系建設(shè)指南[Z].2008-04-25.

篇5

關(guān)鍵詞：證券行業(yè)信息安全網(wǎng)絡(luò)安全體系

近年來，我國資本市場(chǎng)發(fā)展迅速，市場(chǎng)規(guī)模不斷擴(kuò)大，社會(huì)影響力不斷增強(qiáng)．成為國民經(jīng)濟(jì)巾的重要組成部分，也成為老百姓重要的投資理財(cái)渠道。資本市場(chǎng)的穩(wěn)定健康發(fā)展，關(guān)系著億萬投資者的切身利益，關(guān)系著社會(huì)穩(wěn)定和國家金融安全的大局。證券行業(yè)作為金融服務(wù)業(yè)，高度依賴信息技術(shù)，而信息安全是維護(hù)資本市場(chǎng)穩(wěn)定的前提和基礎(chǔ)。沒有信息安全就沒有資本市場(chǎng)的穩(wěn)定。

目前．國內(nèi)外網(wǎng)絡(luò)信息安全問題日益突出。從資本市場(chǎng)看，近年來，隨著市場(chǎng)快速發(fā)展，改革創(chuàng)新深入推進(jìn)，市場(chǎng)交易模式日趨集巾化，業(yè)務(wù)處理邏輯日益復(fù)雜化，網(wǎng)絡(luò)安全事件、公共安全事件以及水災(zāi)冰災(zāi)、震災(zāi)等自然災(zāi)害都對(duì)行業(yè)信息系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行帶來新的挑戰(zhàn)。資本市場(chǎng)交易實(shí)時(shí)性和整體性強(qiáng)，交易時(shí)問內(nèi)一刻也不能中斷。加強(qiáng)信息安全應(yīng)急丁作，積極采取預(yù)防、預(yù)警措施，快速、穩(wěn)妥地處置信息安全事件，盡力減少事故損失，全力維護(hù)交易正常，對(duì)于資本市場(chǎng)來說至關(guān)重要。

1證券行業(yè)倍息安全現(xiàn)狀和存在的問題

1．1行業(yè)信息安全法規(guī)和標(biāo)準(zhǔn)體系方面

健全的信息安全法律法規(guī)和標(biāo)準(zhǔn)體系是確保證券行業(yè)信息安全的基礎(chǔ)。是信息安全的第一道防線。為促進(jìn)證券市場(chǎng)的平穩(wěn)運(yùn)行，中國證監(jiān)會(huì)自1998年先后了一系列信息安全法規(guī)和技術(shù)標(biāo)準(zhǔn)。其中包括2個(gè)信息技術(shù)管理規(guī)范、2個(gè)信息安全等級(jí)保護(hù)通知、1個(gè)信息安全保障辦法、1個(gè)信息通報(bào)方法和10個(gè)行業(yè)技術(shù)標(biāo)準(zhǔn)。行業(yè)信息安全法規(guī)和標(biāo)準(zhǔn)體系的初步形成，推動(dòng)了行業(yè)信息化建設(shè)和信息安全工作向規(guī)范化、標(biāo)準(zhǔn)化邁進(jìn)。

雖然我國涉及信息安全的規(guī)范性文件眾多，但在現(xiàn)行的法律法規(guī)中。立法主體較多，法律法規(guī)體系龐雜而缺乏統(tǒng)籌規(guī)劃。面對(duì)新形勢(shì)下信息安全保障工作的發(fā)展需要，行業(yè)信息安全工作在政策法規(guī)和標(biāo)準(zhǔn)體系方面的問題也逐漸顯現(xiàn)。一是法規(guī)和標(biāo)準(zhǔn)建設(shè)滯后，缺乏總體規(guī)劃；二是規(guī)范和標(biāo)準(zhǔn)互通性和協(xié)調(diào)性不強(qiáng)，部分規(guī)范和標(biāo)準(zhǔn)的可執(zhí)行性差；三是部分規(guī)范和標(biāo)準(zhǔn)已不適應(yīng)，無法應(yīng)對(duì)某些新型信息安全的威脅；四是部分信息安全規(guī)范和標(biāo)準(zhǔn)在行業(yè)內(nèi)難以得到落實(shí)。

1．2組織體系與信息安全保障管理模型方面

任何安全管理措施或技術(shù)手段都離不開人員的組織和實(shí)施，組織體系是信息安全保障工作的核心。目前，證券行業(yè)采用“統(tǒng)一組織、分工有序”的信息安全工作體系，分為決策層、管理層、執(zhí)行層。

為加強(qiáng)證券期貨業(yè)信息安全保障工作的組織協(xié)調(diào)，建立健全信息安全管理制度和運(yùn)行機(jī)制，切實(shí)提高行業(yè)信息安全保障工作水平，根據(jù)證監(jiān)會(huì)頒布的《證券期貨業(yè)信息安全保障管理暫行辦法》，參照ISO／IEC27001：2005，提出證券期貨業(yè)信息安全保障管理體系框架。該體系框架采用立方體架構(gòu)．頂面是信息安全保障的7個(gè)目標(biāo)(機(jī)密性、完整性、可用性、真實(shí)性、可審計(jì)性、抗抵賴性、可靠性)，正面是行業(yè)組織結(jié)構(gòu)．側(cè)面是各個(gè)機(jī)構(gòu)為實(shí)現(xiàn)信息安全保障目標(biāo)所采取的措施和方式。

1．3IT治理方面

整個(gè)證券業(yè)處于高度信息化的背景下，IT治理已直接影響到行業(yè)各公司實(shí)現(xiàn)戰(zhàn)略目標(biāo)的可能性，良好的IT治理有助于增強(qiáng)公司靈活性和創(chuàng)新能力，規(guī)避IT風(fēng)險(xiǎn)。通過建立IT治理機(jī)制，可以幫助最高管理層發(fā)現(xiàn)信息技術(shù)本身的問題。幫助管理者處理IT問題，自我評(píng)估IT管理效果．可以加強(qiáng)對(duì)信息化項(xiàng)目的有效管理，保證信息化項(xiàng)目建設(shè)的質(zhì)量和應(yīng)用效果，使有限的投入取得更大的績效。

2003年lT治理理念引入到我國證券行業(yè)，當(dāng)前我國證券業(yè)企業(yè)的IT治理存在的問題：一是IT資源在公司的戰(zhàn)略資產(chǎn)中的地位受到高層重視，但具體情況不清楚；二是IT治理缺乏明確的概念描述和參數(shù)指標(biāo)；是lT治理的責(zé)任與職能不清晰。

1．4網(wǎng)絡(luò)安全和數(shù)據(jù)安全方面

隨著互聯(lián)網(wǎng)的普及以及網(wǎng)上交易系統(tǒng)功能的不斷豐富、完善和使用的便利性，網(wǎng)上交易正逐漸成為證券投資者交易的主流模式。據(jù)統(tǒng)計(jì)，2008年我同證券網(wǎng)上交易量比重已超過總交易量的80％。雖然交易系統(tǒng)與互聯(lián)網(wǎng)的連接，方便了投資者。但由于互聯(lián)網(wǎng)的開放性，來自互聯(lián)網(wǎng)上的病毒、小馬、黑客攻擊以及計(jì)算機(jī)威脅事件，都時(shí)刻威脅著行業(yè)的信息系統(tǒng)安全，成為制約行業(yè)平穩(wěn)、安全發(fā)展的障礙。此，維護(hù)網(wǎng)絡(luò)和數(shù)據(jù)安全成為行業(yè)信息安全保障工作的重要組成部分。近年來，證券行業(yè)各機(jī)構(gòu)采取了一系列措施，建立了相對(duì)安全的網(wǎng)絡(luò)安全防護(hù)體系和災(zāi)舴備份系統(tǒng)，基木保障了信息系統(tǒng)的安全運(yùn)行。但細(xì)追究起來，我國證券行業(yè)的網(wǎng)絡(luò)安全防護(hù)體系及災(zāi)備系統(tǒng)建設(shè)還不夠完善，還存存以下幾方面的問題：一是網(wǎng)絡(luò)安全防護(hù)體系缺乏統(tǒng)一的規(guī)劃；二是網(wǎng)絡(luò)訪問控制措施有待完善；三是網(wǎng)上交易防護(hù)能力有待加強(qiáng)；四是對(duì)數(shù)據(jù)安全重視不夠，數(shù)據(jù)備份措施有待改進(jìn)；五是技術(shù)人員的專業(yè)能力和信息安全意識(shí)有待提高。

1．5IT人才資源建設(shè)方面

近20年的發(fā)展歷程巾，證券行業(yè)對(duì)信息系統(tǒng)日益依賴，行業(yè)IT隊(duì)伍此不斷發(fā)展壯大。據(jù)統(tǒng)計(jì)，2008年初，在整個(gè)證券行業(yè)中，103家證券公司共有IT人員7325人，占證券行業(yè)從業(yè)總?cè)藬?shù)73990人的9．90％，總體上達(dá)到了行業(yè)協(xié)會(huì)的IT治理工作指引中“IT工作人員總數(shù)原則上應(yīng)不少于公司員工總?cè)藬?shù)的6％”的最低要求。目前，證券行業(yè)的IT隊(duì)伍肩負(fù)著信息系統(tǒng)安全、平穩(wěn)、高效運(yùn)行的重任，IT隊(duì)伍建設(shè)是行業(yè)信息安全I(xiàn)T作的根本保障。但是，IT人才隊(duì)伍依然存在著結(jié)構(gòu)不合理、后續(xù)教育不足等問題，此行業(yè)的人才培養(yǎng)有待加強(qiáng)。

2采取的對(duì)策和措施

2．1進(jìn)一步完善法規(guī)和標(biāo)準(zhǔn)體系

首先，在法規(guī)規(guī)劃上，要統(tǒng)籌兼顧，制定科學(xué)的信息技術(shù)規(guī)范和標(biāo)準(zhǔn)體系框架。一是全面做好立法規(guī)劃；二是建立科學(xué)的行業(yè)信息安全標(biāo)準(zhǔn)和法規(guī)體系層次。行業(yè)信息安全標(biāo)準(zhǔn)和法規(guī)體系初步劃分為3層：第一層是管理辦法等巾同證監(jiān)會(huì)部門規(guī)章；第二層是證監(jiān)會(huì)相關(guān)部門制定的管理規(guī)范等規(guī)范性文件；第三層是技術(shù)指引等自律規(guī)則，一般由交易所、行業(yè)協(xié)會(huì)在證監(jiān)會(huì)總體協(xié)調(diào)下組織制定。其次，在法規(guī)制定上．要兼顧規(guī)范和發(fā)展，重視法規(guī)的可行性。最后，在法規(guī)實(shí)施上．要堅(jiān)持規(guī)范和指引相結(jié)合，重視監(jiān)督檢查和責(zé)任落實(shí)。

2．2深入開展證券行業(yè)IT治理工作

2．2．1提高IT治理意識(shí)

中國證券業(yè)協(xié)會(huì)要進(jìn)一步加強(qiáng)IT治理理念的教育宣傳工作，特別是對(duì)會(huì)員單位高層領(lǐng)導(dǎo)的IT治理培訓(xùn)，將IT治理的定義、工具、模型等理論知識(shí)納入到高管任職資格考試的內(nèi)容之中。通過舉辦論壇、交流會(huì)等形式強(qiáng)化證券經(jīng)營機(jī)構(gòu)的IT治理意識(shí)，提高他們IT治理的積極性。

2．2．2通過設(shè)立IT治理試點(diǎn)形成以點(diǎn)帶面的示范效應(yīng)

根據(jù)IT治理模型的不同特點(diǎn)，建議證券公司在決策層使用CISR模型，通過成立lT治理委員會(huì)，建立各部門之間的協(xié)調(diào)配合、監(jiān)督制衡的責(zé)權(quán)體系；在執(zhí)行層以COBIT模型、ITFL模型等其他模型為補(bǔ)充，規(guī)范信息技術(shù)部門的各項(xiàng)控制和管理流程。同時(shí)，證監(jiān)會(huì)指定一批證券公司和基金公司作為lT試點(diǎn)單位，進(jìn)行IT治理模型選擇、剪裁以及組合的實(shí)踐探索，形成一批成功實(shí)施IT治理的優(yōu)秀范例，以點(diǎn)帶面地提升全行業(yè)的治理水平。

2．3通過制定行業(yè)標(biāo)準(zhǔn)積極落實(shí)信息安全等級(jí)保護(hù)

行業(yè)監(jiān)管部門在推動(dòng)行業(yè)信息安全等級(jí)保護(hù)工作中的作用非常關(guān)鍵．應(yīng)進(jìn)一步明確監(jiān)管部門推動(dòng)行業(yè)信息安全等級(jí)保護(hù)工作的任務(wù)和工作機(jī)制，統(tǒng)一部署、組織行業(yè)的等級(jí)保護(hù)丁作，為該項(xiàng)丁作的順利開展提供組織保證。行業(yè)各機(jī)構(gòu)應(yīng)采取自主貫徹信息系統(tǒng)等級(jí)保護(hù)的行業(yè)要求，對(duì)照標(biāo)準(zhǔn)逐條落實(shí)。同時(shí)，應(yīng)對(duì)各單位實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)情況進(jìn)行測(cè)評(píng)，在測(cè)評(píng)環(huán)節(jié)一旦發(fā)現(xiàn)信息系統(tǒng)的不足，被測(cè)評(píng)單位應(yīng)立即制定相應(yīng)的整改方案并實(shí)施．且南相芙的監(jiān)督機(jī)構(gòu)進(jìn)行督促。

2．4加強(qiáng)網(wǎng)絡(luò)安全體系規(guī)劃以提升網(wǎng)絡(luò)安全防護(hù)水平

2．4．1以等級(jí)保護(hù)為依據(jù)進(jìn)行統(tǒng)籌規(guī)劃

等級(jí)保護(hù)是圍繞信息安全保障全過程的一項(xiàng)基礎(chǔ)性的管理制度，通過將等級(jí)化的方法和安全體系規(guī)劃有效結(jié)合，統(tǒng)籌規(guī)劃證券網(wǎng)絡(luò)安全體系的建設(shè)，建立一套信息安全保障體系，將是系統(tǒng)化地解決證券行業(yè)網(wǎng)絡(luò)安全問題的一個(gè)非常有效的方法。

2．4．2通過加強(qiáng)網(wǎng)絡(luò)訪問控制提高網(wǎng)絡(luò)防護(hù)能力

對(duì)向證券行業(yè)提供設(shè)備、技術(shù)和服務(wù)的IT公司的資質(zhì)和誠信加強(qiáng)管理，確保其符合國家、行業(yè)技術(shù)標(biāo)準(zhǔn)。根據(jù)網(wǎng)絡(luò)隔離要求，要逐步建立業(yè)務(wù)網(wǎng)與辦公網(wǎng)、業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)、網(wǎng)上交易各子系統(tǒng)間有效的網(wǎng)絡(luò)隔離。技術(shù)上可以對(duì)不同的業(yè)務(wù)安全區(qū)域劃分Vlan或者采用網(wǎng)閘設(shè)備進(jìn)行隔離；對(duì)主要的網(wǎng)絡(luò)邊界和各外部進(jìn)口進(jìn)行滲透測(cè)試，進(jìn)行系統(tǒng)和設(shè)備的安全加固．降低系統(tǒng)漏洞帶來的安全風(fēng)險(xiǎn)；在網(wǎng)上交易方面，采取電子簽名或數(shù)字認(rèn)證等高強(qiáng)度認(rèn)證方式，加強(qiáng)訪問控制；針對(duì)現(xiàn)存惡意攻擊網(wǎng)站的事件越來越多的情況，要采取措施加強(qiáng)網(wǎng)站保護(hù)，提高對(duì)惡意代碼的防護(hù)能力，同時(shí)采用技術(shù)手段，提高網(wǎng)上交易客戶端軟件使朋的安全性。

2．4．3提高從業(yè)人員安全意識(shí)和專業(yè)水平

目前在證券行業(yè)內(nèi)，從業(yè)人員的網(wǎng)絡(luò)安全意識(shí)比較薄弱．必要時(shí)可定期對(duì)從業(yè)人員進(jìn)行安全意識(shí)考核，從行業(yè)內(nèi)部強(qiáng)化網(wǎng)絡(luò)安全工作。要加強(qiáng)網(wǎng)絡(luò)安全技術(shù)人員的管理能力和專業(yè)技能培訓(xùn)，提高行業(yè)網(wǎng)絡(luò)安全的管理水平和專業(yè)技術(shù)水平。

2．5扎實(shí)推進(jìn)行業(yè)災(zāi)難備份建設(shè)

數(shù)據(jù)的安全對(duì)證券行業(yè)是至關(guān)重要的，數(shù)據(jù)一旦丟失對(duì)市場(chǎng)各方的損失是難以估量的。無論是美國的“9·11”事件，還是我國2008年南方冰雪災(zāi)害和四川汶川大地震，都敲響了災(zāi)難備份的警鐘。證券業(yè)要在學(xué)習(xí)借鑒國際經(jīng)驗(yàn)的基礎(chǔ)上，針對(duì)自身需要，對(duì)重要系統(tǒng)開展災(zāi)難備份建設(shè)。要繼續(xù)推進(jìn)證券、基金公司同城災(zāi)難備份建設(shè)，以及證券交易所、結(jié)算公司等市場(chǎng)核心機(jī)構(gòu)的異地災(zāi)難備份系統(tǒng)的規(guī)劃和建設(shè)。制定各類相關(guān)的災(zāi)難應(yīng)急預(yù)案，并加強(qiáng)應(yīng)急預(yù)案的演練，確保災(zāi)難備份系統(tǒng)應(yīng)急有效．使應(yīng)急工作與日常工作有機(jī)結(jié)合。

2．6抓好人才隊(duì)伍建設(shè)

證券行業(yè)要采取切實(shí)可行的措施，建立吸引人才、留住人才、培養(yǎng)人才、發(fā)展人才的用人制度和機(jī)制。積極吸引有技術(shù)專長的人才到行業(yè)巾來，加強(qiáng)lT人員的崗位技能培訓(xùn)和業(yè)務(wù)培訓(xùn)，注重培養(yǎng)既懂得技術(shù)義懂業(yè)務(wù)和管理的復(fù)合型人才。要促進(jìn)從業(yè)人員提高水平、轉(zhuǎn)變觀念，行業(yè)各機(jī)構(gòu)應(yīng)采取采取請(qǐng)進(jìn)來、派出去以及內(nèi)部講座等多種培訓(xùn)方式。通過建立規(guī)范有效的人才評(píng)價(jià)體系，對(duì)信息技術(shù)人員進(jìn)行科學(xué)有效的考評(píng)，提升行業(yè)人才資源的優(yōu)化配置和使用效率，促進(jìn)技術(shù)人才結(jié)構(gòu)的涮整和完善。

篇6

［關(guān)鍵詞］ 信息安全保障體系； 中國石油； 企業(yè)

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 09. 054

［中圖分類號(hào)］ TP309 ［文獻(xiàn)標(biāo)識(shí)碼］ A ［文章編號(hào)］ 1673 - 0194（2012）09- 0089- 02

1 信息安全保障體系概述

信息安全保障（Information Assurance，IA）來源于1996年美國國防部DoD指令5－3600．1（DoDD5－3600．1）。其發(fā)展經(jīng)歷了通信安全、計(jì)算機(jī)安全、信息安全直至現(xiàn)在的信息安全保障。內(nèi)容包括保護(hù)（Protection）、檢測(cè)（Detection）、響應(yīng)（Response）、恢復(fù)（Recovery） 4個(gè)環(huán)節(jié)，即PDRR模型。

信息安全保障體系分為人員體系、技術(shù)體系和管理體系3個(gè)層面，人員體系包括安全人員的崗位與職責(zé)、全體工作人員的安全管理兩部分。技術(shù)體系由本地計(jì)算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)基礎(chǔ)設(shè)施及支撐性基礎(chǔ)設(shè)施組成。管理體系包括建立完善的信息安全管理體系、構(gòu)建自上而下的各級(jí)信息安全管理組織架構(gòu)、制定信息安全方針與信息安全策略及完善信息安全管理制度4個(gè)板塊。通過縱深防御的多層防護(hù)，多處設(shè)置保護(hù)機(jī)制，抵御通過內(nèi)部或外部從多點(diǎn)向信息系統(tǒng)發(fā)起的攻擊，將信息系統(tǒng)的安全風(fēng)險(xiǎn)降低到可以接受的程度。

2 國外信息安全保障體系建設(shè)

美國的信息化程度全球最高，在信息技術(shù)的主導(dǎo)權(quán)和網(wǎng)絡(luò)上的話語權(quán)等方面占據(jù)先天優(yōu)勢(shì)，他們?cè)谛畔踩Ｕ象w系建設(shè)以及政策支持方面也走在全球的前列。美國政府先后了一系列政策戰(zhàn)略報(bào)告，將信息安全由“政策”、“計(jì)劃”上升到“國家戰(zhàn)略”及“國際戰(zhàn)略”的高度。美國國土安全局是美國信息安全管理的最高權(quán)力機(jī)構(gòu)，其他負(fù)責(zé)信息安全管理和執(zhí)行的機(jī)構(gòu)有國家安全局、聯(lián)邦調(diào)查局、國防部、商務(wù)部等，主要根據(jù)相應(yīng)的方針和政策結(jié)合自己部門的情況實(shí)施信息安全保障工作。

其他國家也都非常重視信息安全保障工作。構(gòu)建可信的網(wǎng)絡(luò)，建設(shè)有效的信息安全保障體系，實(shí)施切實(shí)可行的信息安全保障措施已經(jīng)成為世界各國信息化發(fā)展的主要需求。信息化發(fā)展比較好的發(fā)達(dá)國家，如俄、德、日等國家都已經(jīng)或正在制定自己的信息安全發(fā)展戰(zhàn)略和發(fā)展計(jì)劃，確保信息安全沿著正確的方向發(fā)展，在信息安全領(lǐng)域不斷進(jìn)行著積極有益的探索。

3 國內(nèi)信息安全保障體系建設(shè)

我國信息化安全保障體系建設(shè)相對(duì)于發(fā)達(dá)國家起步較晚，2003年9月，中央提出要在5年內(nèi)建設(shè)中國信息安全保障體系。2006年9月，“十一五”發(fā)展綱要提出科技“支撐發(fā)展”的重要思想，提出要提高我國信息產(chǎn)業(yè)核心技術(shù)自主開發(fā)能力和整體水平，初步建立有中國特色的信息安全保障體系。2007年7月20日，“全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作電視電話會(huì)議”召開，標(biāo)志著信息安全等級(jí)保護(hù)工作在全國范圍內(nèi)的開展與實(shí)施。2011年3月《我國國民經(jīng)濟(jì)和社會(huì)發(fā)展十二五規(guī)劃綱要》明確提出加強(qiáng)網(wǎng)絡(luò)與信息安全保障工作。通過一系列的文件要求，不斷完善與提升我國的信息安全體系，強(qiáng)調(diào)信息安全的重要性。

我國信息安全保障體系建設(shè)主要包括：① 加快信息安全立法、建立信息安全法制體系，做到有法可依，有法必依。② 建立國家信息安全組織管理體系，加強(qiáng)國家職能，建立職能高效、職責(zé)分工明確的行政管理和業(yè)務(wù)組織體系，建立信息安全標(biāo)準(zhǔn)和評(píng)價(jià)體系。③ 建立國家信息安全技術(shù)保障體系，使用科學(xué)技術(shù)，實(shí)施安全的防護(hù)保障。④ 在技術(shù)保障體系下，建設(shè)國家信息安全保障基礎(chǔ)設(shè)施。⑤ 建立國家信息安全經(jīng)費(fèi)保障體系，加大信息安全投入。⑥ 高度重視人才培養(yǎng)，建立信息安全人才培養(yǎng)機(jī)制。

我國通過近幾年的努力，信息安體保障體系取得了長足發(fā)展，2002年成立了全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)，不斷完善信息安全標(biāo)準(zhǔn)。同時(shí)在互聯(lián)網(wǎng)管理、信息安全測(cè)評(píng)認(rèn)證、信息安全等級(jí)保護(hù)工作等方面取得了實(shí)質(zhì)性進(jìn)展，但CPU芯片、操作系統(tǒng)與數(shù)據(jù)庫、網(wǎng)關(guān)軟件仍大多依賴進(jìn)口，受制于人。

4 企業(yè)信息安全保障體系建設(shè)

中國石油集團(tuán)公司信息化建設(shè)在我國大型企業(yè)中處于領(lǐng)先地位，在國資委歷年信息化評(píng)比中，都名列前茅，“十一五”期間，公司將企業(yè)信息安全保障體系建設(shè)納入信息化整體規(guī)劃中，并逐步實(shí)施。其中涉及管理類項(xiàng)目3個(gè)，控制類項(xiàng)目3個(gè)，技術(shù)類項(xiàng)目5個(gè)。

管理類項(xiàng)目包括信息安全組織完善、信息安全運(yùn)行能力建設(shè)、風(fēng)險(xiǎn)評(píng)估能力建設(shè)3個(gè)項(xiàng)目。信息安全組織完善是指完善信息安全的決策、管理與技術(shù)服務(wù)組織，合理配置崗位并明確職責(zé)，建立完備的管理流程，為信息安全建設(shè)與運(yùn)行提供組織保障。信息安全運(yùn)行能力建設(shè)內(nèi)容包括建立統(tǒng)一、完備的信息安全運(yùn)行維護(hù)流程及組織IT運(yùn)行維護(hù)人員信息安全技能培訓(xùn)，較快形成基本的信息安全運(yùn)行能力。風(fēng)險(xiǎn)評(píng)估能力建設(shè)是指通過建立風(fēng)險(xiǎn)評(píng)估規(guī)范及實(shí)施團(tuán)隊(duì)，提高信息安全風(fēng)險(xiǎn)自評(píng)估能力和風(fēng)險(xiǎn)管理能力，強(qiáng)化保障體系的有效性。

信息安全控制類項(xiàng)目涉及信息安全制度與標(biāo)準(zhǔn)完善、基礎(chǔ)設(shè)施安全配置規(guī)范開發(fā)、應(yīng)用系統(tǒng)安全合規(guī)性實(shí)施3個(gè)項(xiàng)目。信息安全制度與標(biāo)準(zhǔn)完善包括：① 初步構(gòu)建了制度和標(biāo)準(zhǔn)體系，了《信息系統(tǒng)安全管理辦法》及系統(tǒng)定級(jí)實(shí)施辦法。② 建立和完善了信息系統(tǒng)安全管理員制度，開展了信息安全培訓(xùn)。③ 跟蹤國家信息安全等級(jí)保護(hù)政策，開展信息系統(tǒng)安全測(cè)評(píng)方法研究等，規(guī)范了信息系統(tǒng)安全管理流程，提升安全運(yùn)行能力?；A(chǔ)設(shè)施安全配置規(guī)范開發(fā)目標(biāo)是制定滿足安全域和等級(jí)保護(hù)要求的信息技術(shù)基礎(chǔ)設(shè)施安全配置規(guī)范，提高信息技術(shù)基礎(chǔ)設(shè)施的安全防護(hù)能力。應(yīng)用系統(tǒng)安全合規(guī)性實(shí)施是提供專業(yè)的信息安全指導(dǎo)與服務(wù)，支持國家等級(jí)保護(hù)、中國石油內(nèi)部控制等制度的實(shí)施，使信息化建設(shè)與應(yīng)用滿足合規(guī)性要求。

信息安全技術(shù)類項(xiàng)目由身份管理與認(rèn)證、網(wǎng)絡(luò)安全域?qū)嵤?、桌面安全管理、系統(tǒng)災(zāi)難恢復(fù)、信息安全運(yùn)行中心5個(gè)項(xiàng)目組成。身份管理與認(rèn)證是指建成集中身份管理與統(tǒng)一認(rèn)證平臺(tái)，實(shí)現(xiàn)關(guān)鍵和重要系統(tǒng)的用戶身份認(rèn)證，提高用戶身份管理效率，保證系統(tǒng)訪問的安全性。網(wǎng)絡(luò)安全域包括廣域網(wǎng)邊界防護(hù)、廣域網(wǎng)域間與數(shù)據(jù)中心防護(hù)、廣域網(wǎng)域內(nèi)防護(hù)3項(xiàng)內(nèi)容。廣域網(wǎng)邊界防護(hù)是指將全國各地的中國石油單位的互聯(lián)網(wǎng)集中統(tǒng)一到16個(gè)區(qū)域網(wǎng)絡(luò)中心，員工受控訪問互聯(lián)網(wǎng)資源，并最終實(shí)現(xiàn)實(shí)名制上網(wǎng)。廣域網(wǎng)域間與數(shù)據(jù)中心防護(hù)項(xiàng)目指建立。區(qū)域間訪問與防護(hù)標(biāo)準(zhǔn)、數(shù)據(jù)中心防護(hù)標(biāo)準(zhǔn)。廣域網(wǎng)域內(nèi)防護(hù)將分離其他網(wǎng)絡(luò)并制定訪問策略，完善域內(nèi)安全監(jiān)控手段和技術(shù)，規(guī)范域內(nèi)防護(hù)標(biāo)準(zhǔn)。桌面安全管理項(xiàng)目包括防病毒、補(bǔ)丁分發(fā)、端點(diǎn)準(zhǔn)入、后臺(tái)管理、電子文檔保護(hù)和信息安全等級(jí)保護(hù)綜合管理6個(gè)子系統(tǒng)。系統(tǒng)災(zāi)難恢復(fù)包括：① 對(duì)數(shù)據(jù)中心機(jī)房進(jìn)行了風(fēng)險(xiǎn)評(píng)估，提出了風(fēng)險(xiǎn)防范和改進(jìn)措施。② 對(duì)已上線的18個(gè)信息系統(tǒng)進(jìn)行業(yè)務(wù)影響分析，確定了災(zāi)難恢復(fù)關(guān)鍵指標(biāo)。③ 制定整體的災(zāi)備策略和災(zāi)難恢復(fù)系統(tǒng)方案。信息安全運(yùn)行中心旨在形成安全監(jiān)控信息匯總樞紐和信息安全事件協(xié)調(diào)處理中心，提高對(duì)信息安全事件的預(yù)警和響應(yīng)能力。

5 存在問題及建議

中國石油作為國資委超大型企業(yè)和能源工業(yè)龍頭企業(yè)，集團(tuán)領(lǐng)導(dǎo)和各級(jí)領(lǐng)導(dǎo)，一貫重視信息安全工作，在落實(shí)等級(jí)保護(hù)制度，加強(qiáng)信息安全基礎(chǔ)設(shè)施建設(shè)，深入開展信息安全戰(zhàn)略、策略研究等方面，都取得的豐碩成果，值得其他企業(yè)借鑒。公司在信息安全保障體系建設(shè)中還存在以下問題：

（1） 信息安全組織體系不夠健全，不能較好地落實(shí)安全管理責(zé)任制。目前，部分二級(jí)單位沒有獨(dú)立的信息部門，更沒有負(fù)責(zé)安全體系建設(shè)、運(yùn)行和管理的專職機(jī)構(gòu)，安全的組織保障職能分散在各個(gè)部門，兼職安全管理員有責(zé)無權(quán)的現(xiàn)象普遍存在，制約了中國石油信息安全保障體系建設(shè)的發(fā)展。需強(qiáng)制建立從上至下完善的管理體系，明確直屬二級(jí)單位的信息部門建設(shè)，崗位設(shè)定、人員配備滿足對(duì)信息系統(tǒng)管理的需求。

篇7

關(guān)鍵詞：

校園網(wǎng)安全系統(tǒng)的建設(shè)目標(biāo)是根據(jù)學(xué)校信息網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用模式，針對(duì)可能存在的安全漏洞和安全需求，在不同層次上提出安全級(jí)別要求，并提出相應(yīng)的解決方案，制訂相應(yīng)的安全策略，編制安全規(guī)劃，采用合理、先進(jìn)的技術(shù)實(shí)施安全工程，加強(qiáng)安全管理，保證系統(tǒng)的安全性。

對(duì)于這樣規(guī)模龐大、結(jié)構(gòu)復(fù)雜、涉及人員眾多的網(wǎng)絡(luò)體系需要建立全網(wǎng)安全保障系統(tǒng)，針對(duì)不同的業(yè)務(wù)特征進(jìn)行合理的安全保障，確保業(yè)務(wù)系統(tǒng)的安全運(yùn)行。

我們?cè)谠O(shè)計(jì)學(xué)校信息安全保障體系的過程中，借鑒IATF的信息安全保障體系模型構(gòu)建學(xué)校信息安全保障體系的技術(shù)體系和管理體系，這些體系構(gòu)成學(xué)校所需的安全體系。在技術(shù)體系和管理體系中的安全控制和對(duì)策的選擇和定制中，采用“最佳實(shí)施”方法，通過列舉滿足實(shí)際需求和實(shí)際應(yīng)用來構(gòu)造安全保障體系。

在學(xué)校安全保障體系設(shè)計(jì)過程中，整體性一直是最核心的問題，因此為了保障安全體系具有一定的完整性，避免對(duì)安全問題的遺漏，需要在方法論中引入了安全框架模型。

安全保障體系框架示意圖

上圖中，最下層是安全體系要保護(hù)的對(duì)象，根據(jù)信息資產(chǎn)邏輯圖，將保護(hù)對(duì)象分成計(jì)算區(qū)域、區(qū)域邊界、通信網(wǎng)絡(luò)和基礎(chǔ)設(shè)施（指PKI/PMI/KMI中心和應(yīng)急響應(yīng)中心）等。計(jì)算區(qū)域部分主要指提供業(yè)務(wù)的網(wǎng)絡(luò)服務(wù)，計(jì)算區(qū)域內(nèi)部可以根據(jù)學(xué)校信息化的實(shí)際需求進(jìn)一步細(xì)分為子區(qū)域，邊界和通信網(wǎng)絡(luò)。對(duì)不同區(qū)域、邊界和通信網(wǎng)絡(luò)，其安全需求是不同的。保護(hù)對(duì)象框架將學(xué)校信息系統(tǒng)的安全問題細(xì)分為一組結(jié)構(gòu)化的安全需求。

通過將對(duì)策框架中的所有安全控制中的策略，組織，技術(shù)和運(yùn)作分別提煉，組成相應(yīng)的策略體系、組織體系、技術(shù)體系和運(yùn)作體系。每個(gè)體系由對(duì)策框架組成，對(duì)策框架由一組安全控制組成，這些安全控制是根據(jù)保護(hù)對(duì)象中的安全需求設(shè)計(jì)和選擇出來的。每一條安全控制都包含策略，組織，技術(shù)和運(yùn)作四個(gè)要素。

在校園網(wǎng)的信息系統(tǒng)安全等級(jí)保護(hù)方面，國內(nèi)尚未制定相關(guān)標(biāo)準(zhǔn)，但可以參考公安部制定的《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》進(jìn)行設(shè)計(jì)?；景踩蠓譃榛炯夹g(shù)要求和基本管理要求兩大類。技術(shù)類安全要求與信息系統(tǒng)提供的技術(shù)安全機(jī)制有關(guān)，主要通過在信息系統(tǒng)中部署軟硬件并正確的配置其安全功能來實(shí)現(xiàn)；管理類安全要求與信息系統(tǒng)中各種角色參與的活動(dòng)有關(guān)，主要通過控制各種角色的活動(dòng)，從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實(shí)現(xiàn)。

基本技術(shù)要求從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全幾個(gè)層面提出；基本管理要求從安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理幾個(gè)方面提出，基本技術(shù)要求和基本管理要求是確保信息系統(tǒng)安全不可分割的兩個(gè)部分。

根據(jù)公安部《信息系統(tǒng)等級(jí)保護(hù)技術(shù)要求》中相應(yīng)技術(shù)要求，以滿足物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及存?zhèn)浞莼謴?fù)等幾方面的基本要求為前提。

在基于人、技術(shù)及運(yùn)行的信息安全縱深防御體系中，對(duì)人的行為的控制是信息安全保障最主要的方面。下圖所示為信息安全管理體系框架，該體系包括安全方針、安全策略、安全組織、人員安全、物理安全、安全制度與管理辦法、安全標(biāo)準(zhǔn)與規(guī)范、安全政策、安全法律法規(guī)與標(biāo)準(zhǔn)、安全培訓(xùn)以及安全規(guī)范。

安全管理體系框架圖

安全策略作為建立安全機(jī)制必須首要考慮的核心，它對(duì)安全措施的具體實(shí)踐提供指導(dǎo)和支持。制定一套系統(tǒng)、科學(xué)的安全策略是指導(dǎo)學(xué)校等級(jí)化信息安全保障體系安全建設(shè)的重要內(nèi)容。

建立安全組織機(jī)構(gòu)、完善安全管理制度，建立有效的工作機(jī)制，做到事有人管，職責(zé)分工明確是有效防范由于內(nèi)部人員有意無意對(duì)系統(tǒng)造成破壞的有效保障措施。

在組織安全方針、安全策略、安全制度與管理方法、安全標(biāo)準(zhǔn)與規(guī)范的建設(shè)過程中充分體現(xiàn)國家安全政策、安全法律法規(guī)與標(biāo)準(zhǔn)是組織充分保障信息系統(tǒng)安全的基礎(chǔ)。國家安全政策、安全法律法規(guī)與標(biāo)準(zhǔn)從國家和行業(yè)的角度制約信息安全，組織必須遵循國家和相關(guān)主管部門關(guān)于信息系統(tǒng)安全方面的法律法規(guī)、政策和制度。

對(duì)內(nèi)部人員進(jìn)行有組織的安全培訓(xùn)、安全教育，規(guī)范人員行為、制定相關(guān)章程等對(duì)保障學(xué)校信息系統(tǒng)安全尤為重要。

篇8

【關(guān)鍵詞】 電力施工 信息系統(tǒng) 安全

筆者就職于四川電力建設(shè)三公司（以下簡(jiǎn)稱為“公司”），從事企業(yè)信息化管理工作。四川電力建設(shè)三公司是一家典型的電力施工企業(yè)，擁有眾多的施工項(xiàng)目，分散在國內(nèi)外各地。隨著信息技術(shù)的飛速發(fā)展，公司也緊跟時(shí)代的腳步，開發(fā)并使用了一系列信息系統(tǒng)，包括公司OA辦公系統(tǒng)、數(shù)據(jù)報(bào)表系統(tǒng)、人事管理系統(tǒng)、財(cái)務(wù)資金管理系統(tǒng)、資產(chǎn)管理系統(tǒng)、郵件系統(tǒng)等。由于公司是一家大型電力施工企業(yè)，主營業(yè)務(wù)為電源建設(shè)，項(xiàng)目投資金額大、項(xiàng)目周期長、生產(chǎn)環(huán)節(jié)繁雜、參與人員較多，因此信息系統(tǒng)的數(shù)據(jù)流鏈條較長、信息采集點(diǎn)較多，且包含大量公司商業(yè)秘密，信息系統(tǒng)的安全保障是公司異常關(guān)注的重點(diǎn)工作。本人在多年的工作實(shí)踐中，積累了一定的信息系統(tǒng)保障工作經(jīng)驗(yàn)，現(xiàn)對(duì)此項(xiàng)工作進(jìn)行全面總結(jié)。信息系統(tǒng)安全保障工作，從宏觀角度可以分為信息安全管理體系建設(shè)、信息安全組織與管理、信息安全法規(guī)與標(biāo)準(zhǔn)化工作、信息安全技術(shù)工程幾個(gè)方面。

信息安全體系建設(shè)主要指信息安全管理體系ISMS的建立與運(yùn)行。信息安全管理體系ISMS是目前國際上使用較廣泛的信息安全管理方法，其認(rèn)證標(biāo)準(zhǔn)對(duì)企業(yè)進(jìn)行信息安全保障工作具有較強(qiáng)的指導(dǎo)意義。公司作為一家大型電力施工企業(yè)，未雨綢繆，在本世紀(jì)初就開始了相關(guān)的體系建設(shè)工作。信息安全管理體系ISMS的相關(guān)標(biāo)準(zhǔn)有ISO/IEC27001和GB/ T22080，主要有規(guī)劃建立、實(shí)施運(yùn)行、監(jiān)視評(píng)審、保持改進(jìn)四個(gè)過程。

1、在規(guī)劃建立階段，公司參照國際國內(nèi)先進(jìn)企業(yè)經(jīng)驗(yàn)，確定了公司ISMS組織結(jié)構(gòu)范圍、業(yè)務(wù)范圍、信息系統(tǒng)范圍和物理范圍，制訂了ISMS方針，確定了風(fēng)險(xiǎn)評(píng)估方法。2、在實(shí)施運(yùn)行階段，公司制定了風(fēng)險(xiǎn)處理計(jì)劃、實(shí)施風(fēng)險(xiǎn)處理計(jì)劃、開發(fā)有效測(cè)量程序、實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃、管理ISMS運(yùn)行。其中，工作重點(diǎn)是對(duì)具體風(fēng)險(xiǎn)的有效應(yīng)對(duì)與控制。公司針對(duì)面臨的各項(xiàng)風(fēng)險(xiǎn)制定了專門的風(fēng)險(xiǎn)管理計(jì)劃，對(duì)每一項(xiàng)風(fēng)險(xiǎn)的處理優(yōu)先順序、處理措施、所需資源、責(zé)任人、驗(yàn)證方式進(jìn)行了詳細(xì)定義，確保風(fēng)險(xiǎn)管理的可執(zhí)行性。3、在監(jiān)視評(píng)審階段，公司通過日常監(jiān)視與檢查、內(nèi)部審核、風(fēng)險(xiǎn)評(píng)估、管理評(píng)審等活動(dòng)確保整體監(jiān)控水平。4、保持改進(jìn)階段，公司主要活動(dòng)為實(shí)施糾正和預(yù)防措施，消除各個(gè)管理不符合項(xiàng)，確保在發(fā)生信息安全事件時(shí)，能夠從容應(yīng)對(duì)、科學(xué)分析，并采取最優(yōu)的處理措施。

信息安全組織與管理是對(duì)公司信息系統(tǒng)參與者的針對(duì)性管理，主要分為內(nèi)部組織管理與外部管理兩個(gè)方面。其中，內(nèi)部組織管理是該項(xiàng)工作的核心。公司的信息系統(tǒng)由于信息采集點(diǎn)較為分散，信息傳送路徑較長，因此信息安全的潛在威脅也較大。如何保證信息系統(tǒng)中大量的商業(yè)秘密數(shù)據(jù)不被泄漏、不被竊取、不被篡改，是公司信息安全組織管理的核心目標(biāo)。為此，公司進(jìn)行了業(yè)務(wù)梳理，將各項(xiàng)數(shù)據(jù)的報(bào)送流程進(jìn)行了明確規(guī)定，將數(shù)據(jù)的處理權(quán)限同公司組織架構(gòu)有效結(jié)合、綜合考慮，做好了合理分配。比如，工程進(jìn)度報(bào)表，就被限定了填報(bào)人員為各項(xiàng)目部工程部進(jìn)度管理專責(zé)人員，審核者被限定為各項(xiàng)目部工程部經(jīng)理，簽發(fā)者為各項(xiàng)目部項(xiàng)目經(jīng)理，匯總者為公司總部工程管理專責(zé)。這樣，不管具體人員如何變動(dòng)，信息處理參與者都只與限定的崗位有關(guān)聯(lián)，確保了數(shù)據(jù)信息的保密性、可用性和有效性。信息安全法規(guī)與標(biāo)準(zhǔn)化工作對(duì)于信息系統(tǒng)安全保障具有較大的指導(dǎo)意義。只有嚴(yán)格遵從國家信息安全法律法規(guī)、行業(yè)規(guī)定及相關(guān)標(biāo)準(zhǔn)，才能確保企業(yè)信息安全保障工作有法可依、有章可循。我國相關(guān)的法律法規(guī)有《中華人民共和國保守國家秘密法》、《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《信息安全等級(jí)保護(hù)管理辦法》、《計(jì)算機(jī)信息系統(tǒng)國際互聯(lián)網(wǎng)保密管理規(guī)定》、《計(jì)算機(jī)病毒防治管理辦法》、《電子簽名法》等。我國制定的信息安全相關(guān)標(biāo)準(zhǔn)有GB 17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》、GB/T 25058-2010《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》、GB/ T 20269-2006《信息系統(tǒng)安全管理要求》、GB/T 21052-2007《信息系統(tǒng)物理安全技術(shù)要求》等。這些標(biāo)準(zhǔn)從工作、管理、技術(shù)方面對(duì)企業(yè)信息安全保護(hù)活動(dòng)進(jìn)行了標(biāo)準(zhǔn)化約束，為公司進(jìn)行信息系統(tǒng)安全保護(hù)工作提供了文件支持。

篇9

隨著全球信息化程度的加深，CDN已經(jīng)成為互聯(lián)網(wǎng)上向用戶提供服務(wù)的重要系統(tǒng)之一，一方面由于CDN位于內(nèi)容源站和終端用戶之間的特殊物理位置，能夠抵御一部分對(duì)源站的安全攻擊，從而提高源站的安全性；另外一方面，隨著CDN越來越多地服務(wù)于重要國家部門、金融機(jī)構(gòu)、網(wǎng)絡(luò)媒體、商業(yè)大型網(wǎng)站，并經(jīng)常承擔(dān)奧運(yùn)會(huì)、國慶等重大活動(dòng)，保障CDN自身的安全性、確保源站信息內(nèi)容安全準(zhǔn)確地分發(fā)給用戶也非常重要。一旦CDN出現(xiàn)業(yè)務(wù)中斷、數(shù)據(jù)被篡改等安全問題，可能對(duì)用戶使用互聯(lián)網(wǎng)服務(wù)造成大范圍嚴(yán)重影響，甚至可能影響社會(huì)穩(wěn)定。

標(biāo)準(zhǔn)工作開展背景

一直以來，國際國內(nèi)缺乏專門的標(biāo)準(zhǔn)明確CDN應(yīng)滿足的安全要求，今年《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)要求》和《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)檢測(cè)要求》在中國通信標(biāo)準(zhǔn)化協(xié)會(huì)（CCSA：ChinaCommunications StandardsAssociation）立項(xiàng)，“電信網(wǎng)安全防護(hù)標(biāo)準(zhǔn)起草組”討論了征求意見稿，相信CDN安全的標(biāo)準(zhǔn)化工作，能對(duì)促進(jìn)CDN服務(wù)商規(guī)范安全地提供服務(wù)，從整體上提高CDN行業(yè)的安全防護(hù)水平提供指導(dǎo)。

美英等國家從20世紀(jì)70年代就開始研究等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估的相關(guān)內(nèi)容，制訂了彩虹系列、BS7799、ISO27001等具有世界影響力的安全標(biāo)準(zhǔn)。隨著通信網(wǎng)絡(luò)在國家政治、經(jīng)濟(jì)和社會(huì)發(fā)展過程中的基礎(chǔ)性和全局性作用與日俱增，這些發(fā)達(dá)國家越來越重視通信網(wǎng)絡(luò)安全，并上升到國家安全高度。我國也越來越重視網(wǎng)絡(luò)與信息安全保障，相繼了中辦【2003】27號(hào)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》、中辦發(fā)【2006】11號(hào)《2006―2020年國家信息化發(fā)展戰(zhàn)略》等文件指導(dǎo)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全保障體系建設(shè)。

近五年通信網(wǎng)絡(luò)安全防護(hù)工作取得很大成效，指導(dǎo)通信網(wǎng)絡(luò)從業(yè)務(wù)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全、設(shè)備安全、物理環(huán)境安全、管理安全等各方面加固，提高了通信網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性和安全性、基礎(chǔ)電信運(yùn)營企業(yè)安全管理的規(guī)范性，也促進(jìn)了通信行業(yè)安全服務(wù)產(chǎn)業(yè)的快速發(fā)展。

隨著通信網(wǎng)絡(luò)安全防護(hù)工作逐步深入規(guī)范開展，2011年工業(yè)和信息化部組織開展了增值運(yùn)營企業(yè)的安全防護(hù)試點(diǎn)，率先對(duì)新浪、騰訊、百度、阿里巴巴、萬網(wǎng)、空中信使運(yùn)營管理的網(wǎng)絡(luò)單元進(jìn)行定級(jí)備案、安全符合性評(píng)測(cè)和風(fēng)險(xiǎn)評(píng)估。

2011年，“電信網(wǎng)安全防護(hù)標(biāo)準(zhǔn)起草組”組織研究起草《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)要求》和《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)檢測(cè)要求》等8項(xiàng)安全防護(hù)標(biāo)準(zhǔn)，工業(yè)和信息化部電信研究院、藍(lán)汛、網(wǎng)宿、清華大學(xué)、中國移動(dòng)、中國電信、華為、中國互聯(lián)網(wǎng)協(xié)會(huì)等單位研究人員參與了標(biāo)準(zhǔn)的起草，目前這兩項(xiàng)標(biāo)準(zhǔn)的征求意見稿已經(jīng)在CCSA討論通過。

根據(jù)《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》，按照各通信網(wǎng)絡(luò)單元遭到破壞后可能對(duì)國家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)秩序、公眾利益的危害程度，由低到高可劃分為一級(jí)、二級(jí)、三級(jí)、四級(jí)、五級(jí)。因此《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)要求》明確了一級(jí)至五級(jí)CDN系統(tǒng)應(yīng)該滿足的安全等級(jí)保護(hù)要求，級(jí)別越高，CDN需滿足的安全要求越多或越嚴(yán)格。《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)檢測(cè)要求》明確了對(duì)CDN進(jìn)行安全符合性評(píng)測(cè)的方法、內(nèi)容、評(píng)價(jià)原則等，有助于深入檢查企業(yè)是否落實(shí)了安全防護(hù)要求。

CDN安全防護(hù)內(nèi)容

CDN位于內(nèi)容源站與終端用戶之間，主要通過內(nèi)容的分布式存儲(chǔ)和就近服務(wù)提高內(nèi)容分發(fā)的效率，改善互聯(lián)網(wǎng)絡(luò)的擁塞狀況，進(jìn)而提升服務(wù)質(zhì)量。通常CDN內(nèi)部由請(qǐng)求路由系統(tǒng)、邊緣服務(wù)器、運(yùn)營管理系統(tǒng)、監(jiān)控系統(tǒng)組成，CDN外部與內(nèi)容源站以及終端用戶相連。CDN是基于開放互聯(lián)網(wǎng)的重疊網(wǎng)，與承載網(wǎng)松耦合。

CDN主要是為互聯(lián)網(wǎng)上的各種業(yè)務(wù)應(yīng)用提供內(nèi)容分發(fā)服務(wù)，以顯著提高互聯(lián)網(wǎng)用戶的訪問速度，所以保障CDN分發(fā)的數(shù)據(jù)內(nèi)容安全和CDN業(yè)務(wù)系統(tǒng)安全至關(guān)重要，保障CDN的基礎(chǔ)設(shè)施安全、管理安全，有效實(shí)施災(zāi)難備份及恢復(fù)等也是CDN安全防護(hù)應(yīng)該考慮的重要內(nèi)容。因此CDN的安全防護(hù)可從數(shù)據(jù)內(nèi)容安全、業(yè)務(wù)系統(tǒng)安全、基礎(chǔ)設(shè)施安全、管理安全、災(zāi)難備份及恢復(fù)幾方面考慮。

（1）CDN數(shù)據(jù)內(nèi)容安全

為保障CDN分發(fā)的數(shù)據(jù)內(nèi)容安全，需要確保CDN與源站數(shù)據(jù)內(nèi)容一致，并進(jìn)行版權(quán)保護(hù)，記錄管理員的操作維護(hù)并定期審計(jì)，一旦發(fā)現(xiàn)不良信息能夠及時(shí)清除，同時(shí)提供防御來自互聯(lián)網(wǎng)的網(wǎng)絡(luò)攻擊并對(duì)源站進(jìn)行保護(hù)的能力。

數(shù)據(jù)一致性：CDN企業(yè)提供對(duì)內(nèi)容污染的防御能力，識(shí)別和丟棄污染的內(nèi)容，保障重要數(shù)據(jù)內(nèi)容的一致性和完整性；保證CDN平臺(tái)內(nèi)部傳輸數(shù)據(jù)的一致性；防止分發(fā)的內(nèi)容被非法引用（即防盜鏈）。

版權(quán)保護(hù)：按照源站要求提供內(nèi)容鑒權(quán)、用戶鑒權(quán)、IP地址鑒權(quán)、終端鑒別以及組合鑒權(quán)等方式對(duì)源站內(nèi)容進(jìn)行版權(quán)保護(hù)。

安全審計(jì)：記錄管理員（含源站管理員和CDN系統(tǒng)內(nèi)部管理員）對(duì)CDN系統(tǒng)的管理操作，留存日志記錄并定期審計(jì)。

不良信息清除：一旦發(fā)現(xiàn)CDN系統(tǒng)內(nèi)部含不良信息，應(yīng)在內(nèi)容源站或主管部門要求時(shí)間內(nèi)，完成全網(wǎng)服務(wù)器屏蔽或清除不良信息。

防攻擊和源站保護(hù)：引入CDN后不應(yīng)降低內(nèi)容源站的安全水平，同時(shí)CDN在一定程度上提供對(duì)內(nèi)容源站的抗攻擊保護(hù)。

（2）CDN業(yè)務(wù)系統(tǒng)安全

為保障CDN的業(yè)務(wù)系統(tǒng)安全，需要從結(jié)構(gòu)安全、訪問控制、入侵防范等方面進(jìn)行安全保護(hù)，另外鑒于請(qǐng)求路由系統(tǒng)（即DNS系統(tǒng)）在CDN系統(tǒng)中的重要性以及目前DNS系統(tǒng)存在脆弱性，需要保障請(qǐng)求路由系統(tǒng)的安全。

結(jié)構(gòu)安全：CDN企業(yè)在節(jié)點(diǎn)部署時(shí)應(yīng)考慮防范安全攻擊，如為服務(wù)器單節(jié)點(diǎn)服務(wù)能力留出足夠的冗余度、配置實(shí)時(shí)備份節(jié)點(diǎn)等。

訪問控制：對(duì)管理員操作維護(hù)進(jìn)行身份認(rèn)證并進(jìn)行最小權(quán)限分配，從IP地址等方面限制訪問。

入侵防范：關(guān)閉不必要的端口和服務(wù)，CDN能夠抵御一定的安全攻擊并快速恢復(fù)。

請(qǐng)求路由系統(tǒng)安全：部署多個(gè)內(nèi)部DNS節(jié)點(diǎn)進(jìn)行冗余備份，并對(duì)DNS進(jìn)行安全配置。

（3）CDN基礎(chǔ)設(shè)施安全

保障CDN的基礎(chǔ)設(shè)施安全，可從主機(jī)安全、物理環(huán)境安全、網(wǎng)絡(luò)及安全設(shè)備防護(hù)等方面進(jìn)行保護(hù)。

主機(jī)安全：企業(yè)對(duì)CDN的操作系統(tǒng)和數(shù)據(jù)庫的訪問進(jìn)行訪問控制，記錄操作并定期進(jìn)行安全審計(jì)；操作系統(tǒng)遵循最小授權(quán)原則，及時(shí)更新補(bǔ)丁，防止入侵；對(duì)服務(wù)器的CPU、硬盤、內(nèi)存等使用情況進(jìn)行監(jiān)控，及時(shí)處置告警信息。

物理環(huán)境安全：機(jī)房應(yīng)選擇合適的地理位置，對(duì)機(jī)房訪問應(yīng)進(jìn)行控制，防盜竊、防破壞、防雷擊、防火、防水、防潮、防靜電、溫濕度控制、防塵、電磁防護(hù)等方面均應(yīng)采取一定的防護(hù)措施，并確保電力持續(xù)供應(yīng)。

網(wǎng)絡(luò)及安全設(shè)備防護(hù)：IP承載網(wǎng)需要從網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)保護(hù)與恢復(fù)、網(wǎng)絡(luò)攻擊防范等方面進(jìn)行保護(hù)。

（4）CDN管理安全

規(guī)范有效的管理對(duì)于保障信息系統(tǒng)的安全具有重要作用，可從機(jī)構(gòu)、人員、制度等方面進(jìn)行保障，同時(shí)應(yīng)將安全管理措施貫穿系統(tǒng)建設(shè)、系統(tǒng)運(yùn)維全過程。

機(jī)構(gòu)：通過加強(qiáng)崗位設(shè)置、人員配備、授權(quán)審批、溝通合作等形成強(qiáng)有力的安全管理機(jī)構(gòu)。

人員：在人員錄用、離崗、考核、安全意識(shí)教育和培訓(xùn)、外部人員訪問等環(huán)節(jié)加強(qiáng)對(duì)人員的管理。

制度：對(duì)重要的安全工作制訂管理制度，確保制度貫徹執(zhí)行，根據(jù)安全形勢(shì)的變化和管理需要及時(shí)修訂完善安全制度。

安全建設(shè)：在系統(tǒng)定級(jí)備案、方案設(shè)計(jì)、產(chǎn)品采購、系統(tǒng)研發(fā)、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付、選擇安全服務(wù)商等環(huán)節(jié)進(jìn)行安全管理，分析安全需求、落實(shí)安全措施。CDN企業(yè)在新建、改建、擴(kuò)建CDN時(shí)，應(yīng)當(dāng)同步建設(shè)安全保障設(shè)施，并與主體工程同時(shí)驗(yàn)收和投入運(yùn)行。安全保障設(shè)施的新建、改建、擴(kuò)建費(fèi)用，需納入建設(shè)項(xiàng)目概算。

安全運(yùn)維：在系統(tǒng)運(yùn)行維護(hù)過程中對(duì)物理環(huán)境、介質(zhì)、網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)、安全監(jiān)測(cè)、密碼、備份與恢復(fù)等加強(qiáng)安全管理，提高對(duì)惡意代碼防范、安全事件處置、應(yīng)急預(yù)案制訂與演練的管理。

（5）災(zāi)難備份及恢復(fù)

可通過配置足夠的冗余系統(tǒng)、設(shè)備及鏈路，備份數(shù)據(jù)，提高人員和技術(shù)支持能力、運(yùn)行維護(hù)管理能力，制訂完善的災(zāi)難恢復(fù)預(yù)案，提高CDN企業(yè)的抗災(zāi)難和有效恢復(fù)CDN的能力。

冗余系統(tǒng)、設(shè)備及鏈路：運(yùn)營管理系統(tǒng)、請(qǐng)求路由系統(tǒng)等核心系統(tǒng)應(yīng)具備冗余能力，在多個(gè)省份備份，發(fā)生故障后能及時(shí)切換；CDN設(shè)備的處理能力應(yīng)有足夠的冗余度；核心系統(tǒng)間的鏈路應(yīng)有冗余備份。

備份數(shù)據(jù)：系統(tǒng)配置數(shù)據(jù)、源站托管數(shù)據(jù)等關(guān)鍵數(shù)據(jù)應(yīng)定期同步備份。

人員和技術(shù)支持能力：應(yīng)為用戶提供7×24小時(shí)技術(shù)支持，員工應(yīng)經(jīng)過培訓(xùn)并通過考核才能上崗。

運(yùn)行維護(hù)管理能力：運(yùn)維人員應(yīng)能及時(shí)發(fā)現(xiàn)系統(tǒng)異常事件，在規(guī)定事件內(nèi)上報(bào)企業(yè)管理人員、客服人員，做好對(duì)客戶的解釋工作。

災(zāi)難恢復(fù)預(yù)案：應(yīng)根據(jù)可能發(fā)生的系統(tǒng)故障情況制訂詳細(xì)的災(zāi)難恢復(fù)預(yù)案，組織對(duì)預(yù)案的教育、培訓(xùn)和演練。

CDN標(biāo)準(zhǔn)展望

2011年制訂的CDN標(biāo)準(zhǔn)還只是一個(gè)嘗試，目前《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)要求》和《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)檢測(cè)要求》僅對(duì)作為第三方對(duì)外提供互聯(lián)網(wǎng)內(nèi)容分發(fā)服務(wù)的CDN提出安全防護(hù)要求和檢測(cè)要求，隨著后續(xù)CDN安全防護(hù)工作的深入開展、CDN面臨的安全風(fēng)險(xiǎn)不斷變化，CDN安全防護(hù)標(biāo)準(zhǔn)還會(huì)不斷修訂完善。

篇10

關(guān)鍵詞：安全域；安全域劃分；邊界整合

中圖分類號(hào)：TP312 文獻(xiàn)標(biāo)識(shí)碼：A

在新聞報(bào)道中各種網(wǎng)絡(luò)犯罪已經(jīng)屢見不鮮，電子科技的發(fā)展極大地推動(dòng)了社會(huì)生產(chǎn)力的發(fā)展，改善了人們的生活水平，但是在另一個(gè)方面，這也給了不法之徒以可乘之機(jī)，并且近幾年的網(wǎng)絡(luò)犯罪呈現(xiàn)出犯罪影響范圍逐漸擴(kuò)大、造成經(jīng)濟(jì)損失逐漸增多的趨勢(shì)，這就要求各個(gè)部門、單位要充分地重視網(wǎng)絡(luò)安全性，并采取多種形式進(jìn)行有效的安全防護(hù)。

1.網(wǎng)絡(luò)安全防護(hù)發(fā)展的現(xiàn)狀

為落實(shí)工業(yè)與信息化部11號(hào)令《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》，完善安全防護(hù)工作基礎(chǔ)工作，提供安全系統(tǒng)建設(shè)規(guī)劃指導(dǎo)。主要包括安全策略體系建設(shè)，組織和人員建設(shè)、管理制度推進(jìn)以及策略體系完善等層面，并明確在未來3～5年內(nèi)通過建立全方位的安全防護(hù)體系，逐步落實(shí)可管階段、可控階段和可信的階段任務(wù)目標(biāo)。

安全域劃分是極其必要的。進(jìn)行層次化、有重點(diǎn)的保護(hù)是保證系統(tǒng)與網(wǎng)絡(luò)和信息安全的有效手段。目前互聯(lián)網(wǎng)及相關(guān)網(wǎng)絡(luò)主要存在以下問題：

隨著網(wǎng)絡(luò)規(guī)模和各相關(guān)應(yīng)用系統(tǒng)的不斷更新?lián)Q代，電子計(jì)算機(jī)的硬件系統(tǒng)和軟件系統(tǒng)都在發(fā)生著巨大的變化，并且系統(tǒng)的體系結(jié)構(gòu)本身就極其復(fù)雜，所以在系統(tǒng)的建設(shè)過程中出現(xiàn)種類不一的網(wǎng)絡(luò)終端以及相應(yīng)的網(wǎng)絡(luò)部件。這些情況也就導(dǎo)致網(wǎng)絡(luò)使用過程中邊界不清晰的情況出現(xiàn)，并且也存在著網(wǎng)絡(luò)端口較為混亂的情況，上述情況的綜合也就造成了企業(yè)部之間、部門和客戶之間的數(shù)據(jù)傳輸受到阻礙，這種互相聯(lián)通之間的阻礙不僅會(huì)給企業(yè)運(yùn)營帶來虧損，還會(huì)使企業(yè)網(wǎng)絡(luò)安全得不到保證。

2.系統(tǒng)相關(guān)安全域的劃分

2.1 現(xiàn)行劃分方案

安全域的劃分采用了向日葵結(jié)構(gòu)，即：花心：統(tǒng)一的核心承載網(wǎng)，提供IP可達(dá)性及受限IP可達(dá)性；花環(huán)：IP承載網(wǎng)邊界；花萼：業(yè)務(wù)模塊與承載網(wǎng)的交互區(qū)域；花瓣：明確單一的業(yè)務(wù)功能模塊。

2.2 安全域劃分

安全域劃分為安全防護(hù)基礎(chǔ)工作，主要針對(duì)于各業(yè)務(wù)系統(tǒng)進(jìn)行，梳理出業(yè)務(wù)系統(tǒng)安全域劃分方案及防護(hù)策略要求，其流程主要包括安全域劃分、相關(guān)邊界整合及防護(hù)策略實(shí)施等，在安全域劃分前期重點(diǎn)梳理業(yè)務(wù)流程，明確系統(tǒng)功能、模塊及相關(guān)業(yè)務(wù)網(wǎng)元，最終確定業(yè)務(wù)系統(tǒng)的安全域。

2.3 劃分步驟

2.3.1 明確安全域基本拓?fù)洌壕W(wǎng)絡(luò)拓?fù)涫橇私庀到y(tǒng)網(wǎng)絡(luò)狀況和系統(tǒng)組成的必要工具，網(wǎng)絡(luò)拓?fù)渲袘?yīng)包括系統(tǒng)的組成網(wǎng)絡(luò)要素和的網(wǎng)絡(luò)要素之間的連接方式。

2.3.2 明確安全域網(wǎng)絡(luò)出口：梳理當(dāng)前網(wǎng)絡(luò)出口情況，明確各業(yè)務(wù)系統(tǒng)所使用的服務(wù)、端口，明確目標(biāo)地址。

2.3.3 梳理當(dāng)前業(yè)務(wù)流程：對(duì)系統(tǒng)的數(shù)據(jù)流和處理活動(dòng)進(jìn)行調(diào)查和訪談，明確系統(tǒng)資產(chǎn)主機(jī)的明確歸屬。

2.3.4 安全策略采集：安全策略采集主要是為了進(jìn)行邊界整合及調(diào)整時(shí)，了解現(xiàn)有系統(tǒng)了安全防護(hù)策略。

2.3.5 制定網(wǎng)絡(luò)劃分方案：通過對(duì)業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)進(jìn)行劃分，重點(diǎn)梳理出各區(qū)域的資產(chǎn)歸屬和區(qū)域劃分。

2.3.6 實(shí)施改造方案討論：在明確要進(jìn)行相關(guān)的安全域改造后，要對(duì)具體的安全改造方案進(jìn)行討論，確認(rèn)實(shí)施改造方案相關(guān)參與人員及單位。

2.4 對(duì)安全域進(jìn)行相應(yīng)的邊界調(diào)整合并

2.4.1 進(jìn)行物理調(diào)整合并

對(duì)安全域進(jìn)行物理整合，也就是對(duì)于當(dāng)前系統(tǒng)或者說多個(gè)系統(tǒng)以及相應(yīng)的安全域進(jìn)行物理方面的調(diào)整合并，其目的在于通過行之有效的物理層面調(diào)整合并，能夠使整個(gè)體系的安全等級(jí)有所提升，同時(shí)也更加方便對(duì)整個(gè)體系的管理，從根本上防止網(wǎng)絡(luò)危害的產(chǎn)生。在實(shí)際工作中常會(huì)出現(xiàn)一些資源浪費(fèi)的情況，并且這種情況也不利于系統(tǒng)的整體安全，比如，一個(gè)系統(tǒng)在正常運(yùn)行的時(shí)候，有時(shí)會(huì)有多個(gè)系統(tǒng)內(nèi)部的節(jié)點(diǎn)需要和系統(tǒng)外部的網(wǎng)絡(luò)進(jìn)行聯(lián)通，而在聯(lián)通的時(shí)候由于各系統(tǒng)所使用的通信端口不同，也就需要另外的輔助設(shè)備進(jìn)行協(xié)調(diào)聯(lián)通，這樣不僅增加工作量，同時(shí)也不利于系統(tǒng)的安全。針對(duì)這種情況就要及時(shí)進(jìn)行層面的端口調(diào)整合并，在這個(gè)過程中首先就要將各種類型的端口進(jìn)行統(tǒng)一，并且其使用的系統(tǒng)設(shè)備的也應(yīng)該進(jìn)行相應(yīng)的統(tǒng)一。并且通過進(jìn)一步的整合使得有著同一個(gè)類型的安全域的不同系統(tǒng)實(shí)現(xiàn)調(diào)整合并，通過這樣的合并能夠有效地降低不同端口建設(shè)的投資費(fèi)用，并且整合之后也能夠?qū)踩蚪y(tǒng)一在一起，在這個(gè)基礎(chǔ)上也就更方便工作人員，將防護(hù)力量集中到一起，從而實(shí)現(xiàn)防護(hù)等級(jí)的提升。

2.4.2 進(jìn)行邏輯調(diào)整合并

通常來說邏輯調(diào)整合并，指的就是對(duì)現(xiàn)行的系統(tǒng)的單個(gè)邏輯邊界進(jìn)行充分整合，以期能夠通過有效的邊界調(diào)整合并使系統(tǒng)的邊界能夠保持較高的完整性以及條理性。在系統(tǒng)中還會(huì)存在著一些特定的安全區(qū)域，對(duì)于這一類的區(qū)域要靈活地根據(jù)具體的相關(guān)要求，對(duì)邊界進(jìn)行處理，使其能夠有機(jī)地統(tǒng)一起來。安全域的交互網(wǎng)絡(luò)域與互聯(lián)網(wǎng)、專線和內(nèi)網(wǎng)的邊界為網(wǎng)絡(luò)邊界，它是安全域的重要邊界。

2.4.3 其他邊界的整合

安全子域邊界整合：除了安全域的邊界整合，安全子域之間也存在相應(yīng)的邊界整合，如計(jì)算域、服務(wù)域、維護(hù)域之間的整合。

3.安全域防護(hù)

3.1 邊界防護(hù)要求

安全域防護(hù)整體原則可根據(jù)安全域等級(jí)劃分和邊界保護(hù)進(jìn)行，不同等級(jí)間必須采取相應(yīng)的安全防護(hù)策略。維護(hù)域：對(duì)于維護(hù)域的安全需求，以加強(qiáng)認(rèn)證和計(jì)、限制權(quán)限，以及嚴(yán)格遵守配置標(biāo)準(zhǔn)的技術(shù)手段為主，同時(shí)采取安全防護(hù)工具，如：部署防病毒系統(tǒng)、口令管理等保護(hù)措施。另外還應(yīng)加強(qiáng)對(duì)終端的安全管理。

3.2 邊界互聯(lián)防護(hù)措施

3.2.1 預(yù)防與檢測(cè)相結(jié)合的方式

互聯(lián)網(wǎng)信息技術(shù)發(fā)展到現(xiàn)今階段，網(wǎng)絡(luò)病毒的入侵不僅具有速度快的特征，并且還具有潛伏期長的特點(diǎn)。所謂為了能夠更好地實(shí)現(xiàn)網(wǎng)絡(luò)安全的防護(hù)，首先就要在系統(tǒng)中設(shè)置有效的防火墻，并且因?yàn)椴《靖滤俣瓤?，所以相?yīng)的防火墻也要進(jìn)行及時(shí)更新。另一方面，要注意到病毒潛伏期長的特點(diǎn)，現(xiàn)在的電子病毒在沒有觸發(fā)的情況下能夠在系統(tǒng)中以10年為單位的進(jìn)行潛伏，而一旦觸發(fā)源出現(xiàn)，病毒就會(huì)立即啟動(dòng)，并對(duì)系統(tǒng)產(chǎn)生危害，所以在進(jìn)行安全防護(hù)的同時(shí)還能夠進(jìn)行系統(tǒng)自身的清查工作，將所有的病毒清除出去，從根源上做到預(yù)防。

3.2.2 當(dāng)安全域接入各類網(wǎng)絡(luò)時(shí)，在使用通用防護(hù)手段的基礎(chǔ)上，還可根據(jù)各安全域面臨風(fēng)險(xiǎn)的特點(diǎn)，部署專業(yè)的安全技術(shù)防護(hù)系統(tǒng)，如DNS防護(hù)、反垃圾郵件系統(tǒng)、異常流量分析等。

3.2.3 安全工作依靠“三分技術(shù)、七分管理”，除了必要的安全保障措施外，加強(qiáng)安全管理也是重要環(huán)節(jié)。

結(jié)語

安全域劃分后，網(wǎng)絡(luò)結(jié)構(gòu)清晰化，建立相應(yīng)的安全防護(hù)策略及安全基線配置，更有利于安全防護(hù)部署及日常操作維護(hù)?？傊?，以開展安全域劃分為基礎(chǔ)，逐步將安全策略體系的管理和技術(shù)規(guī)范落實(shí)到網(wǎng)絡(luò)安全運(yùn)行維護(hù)的實(shí)際工作中，并通過實(shí)際工作的經(jīng)驗(yàn)積累和數(shù)據(jù)分析，完成對(duì)安全策略體系持續(xù)完善過程。另外，建立安全維護(hù)管理隊(duì)伍，是安全策略體系實(shí)施的重要保障。最終實(shí)現(xiàn)“網(wǎng)絡(luò)安全運(yùn)營的專業(yè)化、網(wǎng)絡(luò)安全工作的制度化、全網(wǎng)安全的可視可管”的總體目標(biāo)。

參考文獻(xiàn)