導語：如何才能寫好一篇企業(yè)信息安全保護，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

【關鍵詞】電信企業(yè)、用戶信息、安全

【中圖分類號】TP393.08 【文獻標識碼】A 【文章編號】1672-5158（2013）01―0131―01

隨著信息爆炸時代的來臨和通信技術的快速發(fā)展，用戶的個人信息安全問題日益嚴重，信息泄露事件頻發(fā)。用戶信息一旦遭到泄露，將面臨信息曝光、垃圾短信、騷擾電話、電信欺詐甚至資金被盜等一系列風險。在此環(huán)境下，2012年“3.15”國際消費者權益日的主題即為“消費與安全”，新聞媒體也多次曝光了個別銀行、通信、快遞、醫(yī)院等行業(yè)不法人員泄露和出售客戶信息，給公眾造成巨大安全隱患的問題。由此可見，用戶信息安全已成為社會化和信息化快速發(fā)展進程中的一個重要問題。

近年來國家也逐步加大了對個人信息安全的保護力度。一方面從立法上逐步加大了對個人信息安全的保障，在民事責任方面認定用戶個人信息屬于個人隱私范疇，并在2009年通過的《侵權責任法》中明確將隱私權寫入了法律；在刑事責任方面，2009年頒布實施的《刑法修正案七》也新增了“國家機關或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國家規(guī)定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處罰金?！薄案`取或者以其他方法非法獲取上述信息，情節(jié)嚴重的，依照前款的規(guī)定處罰。“單位犯前兩款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照各該款的規(guī)定處罰?！绷硪环矫?，公安部也在北京、河北等20個省市區(qū)開展嚴厲打擊侵害公民個人信息違法犯罪的專項行動，抓獲嫌疑人1000余名，挖出信息源頭44個。

電信行業(yè)一直是客戶信息安全保障的重點行業(yè)。作為電信運營商，掌握著海量的用戶信息資源，尤其是2010年電話用戶實名登記工作推廣以來，運營商掌握的用戶信息從數(shù)量和質量上都得到了進一步提升。一方面客戶信息真實、完善為電信企業(yè)向用戶提供個性化的服務提供了條件，也為通信安全提供了保障，但另一方面對電信運營企業(yè)保障用戶的信息、通信安全也提出了更高的要求。筆者總結多年的電信企業(yè)客戶信息管理經驗，借鑒先進企業(yè)的管理方法，從明確電信用戶信鼠的范圍、電信用戶信息泄露的風險途徑、解決電信用戶信息安全的措施三個層面來探討如何保障電信用戶信息安全。

一、電信企業(yè)用戶信息包含的內容

根據(jù)電信企業(yè)獲取客戶信息和提供通信服務的特點，電信用戶信息應是指個人與單位用戶的姓名或名稱、有效證件類型及證件號碼、住址（地址）、用戶號碼、聯(lián)系方式、繳費賬戶、通話清單、終端信息以及單位用戶的組織架構等基本信息、信息網絡建設等非通信的信息內容。

二、電信企業(yè)用戶信息泄露的風險途徑

造成電信用戶信息泄露的風險主要是人員風險和系統(tǒng)風險。人員風險是指電信企業(yè)內部和外部所有可以接觸到用戶信息的眾多人員泄露用戶信息的風險。企業(yè)內部人員如營業(yè)人員、銷售人員、維護人員、客戶信息管理人員等；外部人員包括與電信企業(yè)合作的業(yè)務商、內容提供商以及第三方維護人員等。

從系統(tǒng)風險上來講，由于電信企業(yè)IT系統(tǒng)業(yè)務網絡存在區(qū)域分散、數(shù)據(jù)分散、系統(tǒng)繁多、環(huán)境復雜等特點，建設了包括BSS、客服、CRM等多個業(yè)務支撐系統(tǒng)和OA辦公系統(tǒng)，各個系統(tǒng)上積累了大量的客戶信息和生產數(shù)據(jù)、運營信息等，每個系統(tǒng)的人員根據(jù)“使用”和“維護”又分為不同的角色，這些系統(tǒng)的終端覆蓋了內網和外網、計算機和移動終端等多種形態(tài)的終端設備。由于這些特征的存在，電信企業(yè)客戶信息數(shù)據(jù)面臨著內部和外部網絡的多重風險。

三、電信企業(yè)用戶信息安全保護的措施

保護電信客戶的信息安全，讓客戶享有安全、放心的通信服務是電信企業(yè)的責任和義務。筆者從通信行業(yè)服務角度來看，電信企業(yè)信息安全保障的關鍵需要從加強內部管理、提升系統(tǒng)防范能力兩個方面得到提升。

（一）強化內部管理，提升全員信息安全防范意識

首先作為電信企業(yè)要有大局意識，應自覺遵守國家的法律、法規(guī)，嚴格執(zhí)行《基礎電信企業(yè)信息安全責任管理辦法（試行）》。將保障用戶信息安全納入企業(yè)的保密體系，建立完善的用戶信息安全管理制度，規(guī)范從業(yè)務受理、客戶服務、運行維護、信息計費、外部合作等涉及客戶信息的各個關鍵環(huán)節(jié)的業(yè)務操作流程和規(guī)章制度，構建全面有效的用戶個人信息安全保護機制。比如要求營業(yè)和營銷人員不允許私自留存客戶信息；要求維護人員不允許私自下載和修改客戶信息；各系統(tǒng)賬號權限嚴格實施分級管理，不允許轉讓和越級使用；規(guī)范各類用戶信息的存儲介質、存儲時限和銷毀方式，完善用戶資料銷毀管理制度和技術保障手段；針對外部商、合作單位要明確對用戶信息保密的業(yè)務和技術要求以及泄密后的相關處罰；定期開展用戶信息安全檢查，做到提前防范，最大限度保障用戶信息安全等。

另一方面企業(yè)要加強對企業(yè)員工的法制教育和思想政治教育，營造尊重和保護用戶信息安全的企業(yè)文化和經營環(huán)境，提高全員的信息安全意識和法律意識。尤其是針對能夠接觸到用戶信息的員工、外包人員、商及合作單位的從業(yè)人員要與企業(yè)簽訂保密責任書，經常性地組織開展案例教育、警示教育、相關法規(guī)和業(yè)務規(guī)范的考核等，提高從業(yè)人員的覺悟和防范意識。

（二）提高技術防控手段，提升系統(tǒng)防范能力

完善電信企業(yè)IT系統(tǒng)業(yè)務網絡的安全建設，構建用戶信息數(shù)據(jù)保密體系，精確定位用戶信息泄露風險，從外部和內部防范兩方面提升系統(tǒng)的防范能力。

首先是做好外部防范，由于電信企業(yè)IT系統(tǒng)業(yè)務平臺繁雜，接入終端種類多，要保證各類終端和網絡安全地接入到業(yè)務系統(tǒng)中，就要不斷完善信息系統(tǒng)安全設備如防火墻、入侵檢測系統(tǒng)、病毒防護系統(tǒng)、認證系統(tǒng)等性能，對可訪問系統(tǒng)的計算機及移動終端等必須實施安全認證和安全策略防護，實現(xiàn)對用戶信息的“區(qū)域外保護”，嚴格防范黑客和外部不法人員竊取用戶信息。其次，由于大部分用戶信息泄露案件都是內部人員制造，加強內部網絡的風險防范更加重要。一方面要加強系統(tǒng)的認證安全能力和網絡賬號權限分級管控體系，加強對登陸人員的身份和權限核實，對于無論從業(yè)務平臺或后臺數(shù)據(jù)庫查閱和下載用戶的信息情況系統(tǒng)都要有完整的日志記錄；另一方面，如果用戶信息未經加密安全處理，一旦下載存儲到計算機上系統(tǒng)將失去監(jiān)控權，有可能會造成信息恣意傳播而無法找到源頭，因此系統(tǒng)應自動實現(xiàn)數(shù)據(jù)落地加密及權限控制，同時對下載終端加強安全策略認證，提高下載用戶信息的安全度。

篇2

關鍵詞： 信息系統(tǒng)；等級保護；安全域；桌面域

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1671－7597（2011）1210043－02

0 前言

隨著信息化建設不斷深入，信息技術應用已滲透到企業(yè)的每一項業(yè)務，業(yè)務對信息系統(tǒng)的依賴程度越來越高，其基礎性、全局性、全員性作用日益增強。信息化是一把“雙刃劍”，在為企業(yè)帶來提高工作效率和管理水平、增強競爭能力等益處的同時，也為企業(yè)帶來了安全風險，安全風險與信息化水平的提高同步增長。提升企業(yè)信息系統(tǒng)安全防護能力，保障系統(tǒng)信息安全，同時滿足國家等級保護的合規(guī)性要求，成為信息化工作的新任務。信息系統(tǒng)安全防護架構設計思路為“分區(qū)、分層、分級、分域”的綜合防御體系。將信息管理信息網絡劃分為信息內網和信息外網，根據(jù)業(yè)務重要和社會影響劃分了若干三級保護系統(tǒng)和二級保護系統(tǒng)，三級系統(tǒng)獨立分域，其余二級系統(tǒng)統(tǒng)一成域，不同的安全域，從邊界安全、網絡安全、主機安全、應用安全等方面明確了防護要求。在防護體系中，桌面終端域作為一種特殊的域?！翱傮w防護方案”對桌面終端域提出了“終端安全管理”和“網絡準入控制”的要求，需要重點關注和分析。

1 獨立成域業(yè)務之間的橫向隔離

從等級保護建設的實際情況來看，三級要求的其他技術手段可以依托于設備和基礎方案來實現(xiàn)合規(guī)性建設。目前，棘手的問題是如何實現(xiàn)業(yè)務系統(tǒng)端到端的安全隔離，以及桌面域用戶如何在多個業(yè)務域隔離的情況下實現(xiàn)安全有效的互訪，既要實現(xiàn)業(yè)務隔離，確保業(yè)務的端到端訪問路徑有效隔離，又要充分節(jié)省桌面域內終端計算機的復用投資。

1.1 隔離的必要性和充分性

從業(yè)務訪問路徑上來看，主要是桌面主機通過網絡通道訪問應用系統(tǒng)，通過網絡隔離措施對不同的應用、業(yè)務和群組用戶進行安全隔離，提高數(shù)據(jù)傳輸?shù)谋Ｃ苄院桶踩裕瑸橛脩魳I(yè)務傳輸提供端到端的安全保證。

現(xiàn)有的網絡隔離措施在兩個安全區(qū)域間的有效控制互訪上面較為全面和細致，但是要完成等級保護建設的要求，必須針對訪問路徑的各個關鍵節(jié)點，都能進行有效的訪問控制。網絡發(fā)展的趨勢是資源的集中與基礎設施的復用，在此之上虛擬化技術以1臺物理設備對應多個邏輯設備的優(yōu)越特點越來越多地被考慮到，對應到電力等級保護的建設要求，必須針對多種不同業(yè)務實現(xiàn)虛擬化技術基礎上的多通道隔離，特別是針對現(xiàn)有的數(shù)據(jù)大集中以后，在數(shù)據(jù)中心層面，如何實現(xiàn)隔離，也是端到端隔離技術選擇上需要重點考慮的問題。

1.2 幾種隔離技術的對比

虛擬局域網VLAN（Virtual Local Area Net-work）是現(xiàn)有局域網中最常用的隔離技術。VLAN適合小型網絡用戶邏輯隔離，但VLAN的廣播域占用帶寬資源，鏈路利用率低；二層網絡不適合大規(guī)模應用，網絡收斂速度慢，需要配置較多的二層特性，配置管理相對復雜。是一種最基本最常用的隔離方式，廣泛應用于網絡接入層。

分布式訪問控制列表ACL（Access ControlList）是另一種常見的隔離技術，適合一些規(guī)模不大的組網使用，需要嚴密地策略控制，配置管理復雜，無法提供端到端的隔離，業(yè)務或網絡調整時需要更改大量配置，并且嚴格限制可移動性。常見的防火墻采用的就是這種方式。

多協(xié)議標簽交換MPLS VPN（MultiprotocolLabel Switching Virtual Private Network）是一種在大型園區(qū)網和廣域網內被普遍使用的隔離技術，支持園區(qū)內用戶群組互訪應用，能夠提供安全的端到端業(yè)務隔離，接入方式靈活，適合大規(guī)模網絡應用，可擴展性好，具有良好的可移動性。但其要求設備支持VRF（VPN Routing Forwarding）/MPLS VPN，實際上主要依賴于核心交換機和骨干網路由器實現(xiàn)。

還有一些隔離技術本次不會考慮到，比如說，采用網閘進行物理隔離，采用入侵防御系統(tǒng)IPS（Intrusion Prevention System）等進行應用層安全隔離等。上述3種隔離技術在不同的應用場景下，都有不可取代的作用，在選用過程中，需要綜合考慮部署位置、部署靈活性以及隔離目標的達成性。

1.3 端到端的業(yè)務邏輯隔離方案

分析現(xiàn)有業(yè)務域劃分的特點，可以看到，幾個三級域都有跨廣域傳輸，且在局域網內使用過程中接入層角色不區(qū)分，數(shù)據(jù)中心級應用業(yè)務角色不區(qū)分。這就意味著端到端隔離的可行方案必須是一個綜合性的隔離方案，在原有各自為政的隔離基礎上，要實現(xiàn)動態(tài)配置可調整，以便適應同一個物理通道被多個邏輯業(yè)務所使用。各個隔離技術的部署位置如圖1所示。

圖1 獨立成域的業(yè)務系統(tǒng)間隔離示意圖

接入層各主機采用VLAN方式接入，以不同的VLAN號區(qū)分不同的業(yè)務，在匯聚層或核心層將VLAN與虛擬路由轉發(fā)VRF技術做一個映射，在跨廣域傳輸中以VRF來區(qū)別不同業(yè)務，在數(shù)據(jù)中心前端，通過多實例用戶網絡邊界設備MCE（Multi-VPN-Instance Customer Edge）連接技術，實現(xiàn)對不同來自VRF業(yè)務的安全策略控制，再以映射VLAN的方式訪問服務器資源。

整個過程中，廣域網VPN和數(shù)據(jù)中心VLAN可以一次配置后不需要調整，只需要調整映射關系即可，接入層VLAN作為選擇業(yè)務的發(fā)起者，需要實現(xiàn)對業(yè)務應用的智能識別和控制。

2 桌面域多用戶角色處理

網絡縱向邏輯隔離實現(xiàn)后，桌面域主機如何有控制地分別接入的不同業(yè)務域，成為實現(xiàn)端到端業(yè)務縱向隔離的關鍵。

2.1 桌面域接入網絡面臨的挑戰(zhàn)

等級保護屬于強制業(yè)務分區(qū)方式，三級業(yè)務完全隔離雖尚未有強制到桌面主機多機隔離的要求，但是必須確保同一個主機在滿足三級接入要求的前提下能夠同時以多個業(yè)務域主機的角色存在，所以，業(yè)務域的標記和識別是接入層最重要的工作?，F(xiàn)有的網絡終端準入系統(tǒng)常見的功能是用戶終端試圖接入網絡時，首先通過安全客戶端進行用戶身份認證，非法用戶將被拒絕接入網絡；合法用戶將被要求進行安全狀態(tài)認證，由安全策略服務器驗證補丁版本、病毒庫版本是否合格，不合格用戶將被安全聯(lián)動設備隔離到隔離區(qū)；進入隔離區(qū)的用戶可以進行補丁、病毒庫的升級，直到安全狀態(tài)合格，安全狀態(tài)合格的用戶將實施由安全策略服務器下發(fā)的安全設置，并由安全聯(lián)動設備提供基于身份的網絡服務。

分析現(xiàn)有的桌面域準入控制系統(tǒng)，可以發(fā)現(xiàn)用戶的接入方式802.1x、門戶單點、VPN、無線局域網等，認證因子有用戶名+密碼、軟證書、硬證書等，認證可動態(tài)下發(fā)的安全策略有VLAN、ACL，其中ACL與接入層設備強相關。

由于業(yè)務接入的方式多種多樣，在接入方式尚不具備區(qū)分性，認證因子上如果選擇差異化較大的用戶名及登錄屬性，則會大大增加主機側的難度，需要以一個合理的方式表示出本次登錄用戶希望使用的是某個業(yè)務。

2.2 多角色主機解決方案

綜合考慮多種實現(xiàn)方式，選擇用戶名結合域名拼接的方式進行認證，由認證服務器配合進行用戶名和域名的獨立解析，然后下發(fā)動態(tài)的設備配置到主機所接入的交換機的對應端口，用戶認證通過后即實現(xiàn)了相應業(yè)務域資源的訪問，如圖2所示。

圖2 多角色主機登錄認證示意圖

在圖2中，用戶唯一，但通過后綴實現(xiàn)同一賬號在各個業(yè)務域內安全接入，通過身份實現(xiàn)控制權限動態(tài)下發(fā)ACL或VALN。

無論是ACL方式下發(fā)的，還是VLAN方式下發(fā)的，最終都可以映射到廣域網縱向隔離的MPLSVPN中去，所以也就完成了端到端業(yè)務發(fā)起者的業(yè)務動態(tài)識別和標記工作。

3 等級保護安全域隔離需考慮的其他問題

等級保護業(yè)務安全域隔離的問題在具體實施過程中應注意以下幾個關鍵要素。

1）接入層設備與網絡準入系統(tǒng)的配合上，必須支持ACL和VLAN的動態(tài)下發(fā)。

2）在匯聚設備或核心設備上，支持VLAN和ACL到MPLS VPN的VRF的映射的配置，以便能夠實現(xiàn)接入層到廣域傳輸層的對接。

3）在數(shù)據(jù)中心服務器前端，部署的安全設備必須支持MPLS VPN組網下的MCE功能，支持虛擬防火墻功能。

4 結束語

等級保護建設從根本意義上是合規(guī)性建設，一方面要充分利用現(xiàn)有的設備和技術手段解決問題；另一方面要針對多業(yè)務安全域間條塊化隔離和多角色主機復用問題，通過原有技術手段的進一步組合和創(chuàng)新性方案的提出，在生產中解決這些問題。虛擬化資源動態(tài)分配和桌面終端的一機多域的解決方案，可充分地利用現(xiàn)有的技術隔離措施以及設備，實現(xiàn)端到端的策略對接，多角色主機接入。

參考文獻：

[1]郭護林，企業(yè)網絡信息安全分析[J].計算機安全，2002.

[2]閆斌、曲俊華、齊林海，電力企業(yè)網絡信息安全系統(tǒng)建設方案的研究[J].計算機安全，2003.

[3]朱貴強，論企業(yè)網絡信息安全管理，2005.

篇3

隨著我國信息化應用的深入發(fā)展，信息技術和設備在各行各業(yè)中都得到了廣泛應用。當前，借助信息化手段打造的智能化電網正在我國電力企業(yè)中發(fā)展壯大，電力企業(yè)已經基本上實現(xiàn)了信息化和自動化，而信息安全問題在信息化應用過程中也日趨突出。如果電力企業(yè)核心業(yè)務系統(tǒng)發(fā)生信息安全事件，勢必會對電力系統(tǒng)的穩(wěn)定運行造成影響，一旦電力系統(tǒng)癱瘓，就會給國家造成不可估量的經濟損失,以及負面的社會影響。所以電力企業(yè)必須加強信息安全管理,國家層面及行業(yè)內部均出臺了相關的信息安全管理要求,其目的都是確保各類重要信息系統(tǒng)的安全穩(wěn)定運行。

1信息安全等級保護

1.1信息安全保護等級劃分

依據(jù)國家標準《信息系統(tǒng)安全等級保護基本要求》（GB/T22239-2008），電力行業(yè)內部出臺了《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》（電監(jiān)信息〔2012〕62號）。從相關標準中可知信息系統(tǒng)的安全保護等級主要有2個要素決定：一是系統(tǒng)受到破壞后所侵害到的客體范圍，這里的客體主要包括公民、法人和其他組織的合法權益；社會秩序、公共利益；國家安全等。侵害客體范圍越大，級別越高其保護等級也越高。二是系統(tǒng)受到破壞后對客體造成的損害程度，主要有三種認定，即一般損害、嚴重損害、特別嚴重損害。程度越深保護等級越高。根據(jù)定級要求，安全保護等級被分為以下5個等級。第一級：用戶自主保護級的信息系統(tǒng)受到破壞,這可能會在一定程度上造成當事人和其所在的組織的利益受損,但是對于國家的安全、集體的利益以及社會穩(wěn)定的發(fā)展并未造成較大的損傷。第二級：系統(tǒng)審計保護級的信息系統(tǒng)受到破壞，該情況可能會對當事人所在的組織與人民群眾的切身利益受到較大程度的損失，同時也影響了集體的利益與社會的安定團結，但是并未對國家安全產生影響。第三級：安全標記保護級的信息系統(tǒng)受到破壞，在這種情況下集體利益和整個社會的安全穩(wěn)定遭受到了重大程度上的損傷，此外該等級有著與系統(tǒng)審計保護級相類似的全部信息的保護功能，它在此基礎上會強制對于系統(tǒng)檢查并記錄相關內容，主要監(jiān)控和檢查的是訪問者與被訪問的對象。第四級：結構化保護級的信息系統(tǒng)受到破壞，該情況可能會對人民群眾的切身利益以及一些機構組織帶來不利的影響，此外還對國家的安全、集體的利益以及整個社會的安定團結帶來重大的損失。第五級：訪問驗證保護級的信息系統(tǒng)受到破壞，在這種情況下的國家安全將會受到極其惡劣和嚴重的影響。

1.2信息安全等級定級

（1）安全保護等級依據(jù)相應的政策與規(guī)定進行定級相應的政策與規(guī)定指的是《信息系統(tǒng)安全等級保護基本要求》的國家標準和《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》的行業(yè)標準，在安全防護信息的過程中，諸如一些國家機關、重點的科研單位以及國防部等特殊機構的信息系統(tǒng)應當進行特殊的保護與相應的隔離。這些系統(tǒng)應該進行特別嚴格的對待，需要依據(jù)防護信息安全等級中的相應法律法規(guī)與政策的規(guī)定，從而對于系統(tǒng)進行監(jiān)控和防護。

（2）安全保護等級依據(jù)需要保護的數(shù)據(jù)的價值進行定級依據(jù)需要被保護的信息類別與所存在價值的不同，進而設置出不同的防護安全等級。這樣可以在保護信息安全的同時還能夠最大程度降低所投入的運作。從信息安全保護等級的劃分情況及電力企業(yè)的屬地等級及重要程度來看，電力企業(yè)中各類業(yè)務信息系統(tǒng)的保護定級一般會在第二級到第四級之間。電力信息系統(tǒng)的安全等級防護及其要求的重點對象是防護信息系統(tǒng)等級在三級和三級以上的系統(tǒng)，其實質主要是監(jiān)督檢查級與強制監(jiān)督檢查級。

2電力信息系統(tǒng)的安全等級防護及其要求

安全等級防護主要具備以下幾個作用：一是幫助企業(yè)有效地防止外部勢力和企業(yè)內部人員對系統(tǒng)造成破壞；二是針對安全事件進行性質審查和等級確認；三是幫助企業(yè)抵制所面對的可能會破壞系統(tǒng)的行為；四是對于違法違規(guī)的行為能夠進行審核和追查。電力信息系統(tǒng)安全等級防護及其要求涉及了電力生產控制系統(tǒng)和管理信息系統(tǒng)，但重點則是以電力生產控制系統(tǒng)的安全防護為主，如若電力生產控制系統(tǒng)遭受攻擊，將引發(fā)電網事故。所以電力企業(yè)在電力生產控制系統(tǒng)的規(guī)劃、設計、建設階段就要加強安全防護審核，新建或改造系統(tǒng)投運前需通過安全等保測評。系統(tǒng)投運后需將安全防護納入日常運行監(jiān)視和管理范圍，建立專項應急機制和預案，當發(fā)生信息安全事件時，采取應急防護措施，防止事態(tài)擴大。

3信息安全等級保護的方式

信息安全等級保護的方式主要有以下三方面：

3.1物理安全保護方面

物理安全保護主要從系統(tǒng)運行環(huán)境進行安全管理控制：對主機房等設備運行環(huán)境進行安全防范管理。利用較為先進的技術和設備實現(xiàn)對重要信息設備進行不間斷電源、防塵、防震、防火、防盜、防雷、防靜電、溫濕度控制、電磁屏蔽防護、數(shù)據(jù)備份及防泄露等方面的防護，確保各類信息設備的安全穩(wěn)定運行。由此可看出，物理安全保護的目標就是為信息系統(tǒng)設備提供安全穩(wěn)定的運行環(huán)境。

3.2主機安全保護方面

主機安全保護主要從主機安全運行進行安全管理配置：主要對主機中運行的操作系統(tǒng)、數(shù)據(jù)庫、中間件及其它應用系統(tǒng)的安全運行進行配置管理。具體要求主要有身份鑒別、訪問控制、安全審計、安全標記、剩余信息保護、入侵防范、惡意代碼防范、可信路徑、資源控制等安全配置要求。主機作為承載信息系統(tǒng)的主體，也是信息系統(tǒng)安全保護的主體。

3.3網絡安全保護方面

網絡安全保護主要對網絡設備及網絡通信（訪問）進行安全管理：主要通過對網絡結構、訪問控制、安全審計、邊界安全管理、入侵防范、惡意代碼防范、網絡設備安全配置等安全管理審查項進行全面審查，從而確保信息網絡的安全可靠運行。

4電力信息系統(tǒng)等級保護策略

電力企業(yè)信息系統(tǒng)安全等級保護工作關系著電力系統(tǒng)的安全穩(wěn)定運行，加強信息系統(tǒng)安全等級保護是電力企業(yè)信息管理工作的工作重點，主要有以下幾項關鍵點，通過相關保護措施、策略加強信息安全等級保護工作：

4.1信息系統(tǒng)分級統(tǒng)一保護措施

電力企業(yè)擁有各種不同業(yè)務功能的業(yè)務系統(tǒng)，這此信息系統(tǒng)大多分屬于第二級到第四級的安全級別，不同的安全級別其安全要求和保護強度都不相同，這就要求電力企業(yè)在每個信息系統(tǒng)新建時便根據(jù)信息系統(tǒng)分級劃分標準進行等級保護定級。根據(jù)各個信息系統(tǒng)的定級情況，將同等級信息系統(tǒng)納入相同的安全管理區(qū)域進行統(tǒng)一管理，確保各個信息系統(tǒng)都能全面按照相應等級保護要求進行安全管控，從而有效提升各信息系統(tǒng)的安全管理水平。

4.2信息安全定期檢查及應急演練

這里的檢查不僅指上級單位的安全檢查，還包括信息系統(tǒng)運營單位的安全自查。對于不同安全等級保護措施的信息系統(tǒng)，需要根據(jù)等級保護的管理規(guī)范進行檢查評估，一旦發(fā)現(xiàn)問題立馬進行整改，從本質上加固信息系統(tǒng)安全配置，提升信息系統(tǒng)安全防護水平。對于不同等級的信息系統(tǒng)，應制定不同時間段的定期檢查計劃及應急演練計劃，通過應急演練模擬突發(fā)安全事件時信息系統(tǒng)可能發(fā)生的各類安全問題，信息系統(tǒng)管理人員按照應急預案開展應急處置，以此驗證應急預案的正確性，并提升信息系統(tǒng)管理人員的應急處置能力，進而確保信息系統(tǒng)在發(fā)生安全事件時，能夠在最短時間內將事件影響降低到盡可能小的范圍內。

4.3信息安全保障體系的建立與落實

通過信息安全保障體系的建設可以用來提高源于人、管理以及技術三方面所形成的預防能力、防護能力等各類提升系統(tǒng)安全的能力，可以使信息系統(tǒng)安全管控作業(yè)實現(xiàn)規(guī)范化、標準化和常態(tài)化的管理，實現(xiàn)對信息系統(tǒng)的安全屬性、功能應用以及服務效率上開展動態(tài)保護，所謂安全屬性指的是信息系統(tǒng)和它的基礎網絡的真實可用性、完整保密性等安全屬性。通過信息安全保障體系的落實，使信息系統(tǒng)安全管理工作以更加具體的作業(yè)操作方式呈現(xiàn)，從而使信息安全管理工作更加具體化，在確保信息系統(tǒng)安全穩(wěn)定運行的同時促進了電力企業(yè)對信息安全作業(yè)的管控。

參考文獻

[1]朱世順.電力生產控制系統(tǒng)信息安全等級保護研究[J].電力信息化，2012.

篇4

    范的遵循、通過一些技術手段能夠給予解決。

    其次是規(guī)范,目前國家對于不同的行業(yè)有分級保護、等級保護制度,明確了對系統(tǒng)及管理的安全保護要求。企業(yè)也有一些合規(guī)性法案要求、在進行系統(tǒng)規(guī)劃和建設的同時,應將信息安全的保護措施作為必要的內容進行考慮。

    最后是技術,當前針對數(shù)據(jù)加密和文檔防泄密保護、行為審計等安全問題都有一些成熟可用的解決方案,無論是政府部門還是企業(yè)都可以采用一些技術手段來和管理需求結合,降低信息安全引發(fā)的風險。

    文檔泄密的主要途徑

    據(jù)了解,大量文檔信息泄密事件的出現(xiàn)主要有兩方面的原因:首先是大量的信息安全事件,呈現(xiàn)出商業(yè)利益驅動的現(xiàn)象。不論是木馬病毒的黑色產業(yè)鏈,還是銀行系統(tǒng)內部人員的儲戶信息主動泄密,都有后面的商業(yè)利益驅動。而且隨著商業(yè)環(huán)境競爭的日益激烈,這種信息安全的威脅還會持續(xù)和加劇。

    其次,信息泄密在向更加專業(yè)化犯罪的趨勢發(fā)展。從木馬病毒、釣魚網站的不斷出現(xiàn),再到運營商后臺密碼被攻破,這些灰色事件的背后,都有專業(yè)的人員和組織。這給信息安全防范帶來更高的要求。

    據(jù)時代億信技術總監(jiān)李兆豐介紹,信息安全威脅不僅成為困擾個人隱私保護和企業(yè)發(fā)展的問題,也成為阻礙我國電子商務產業(yè)繁榮、云計算推廣、移動互聯(lián)網應用的一個關鍵問題。

    根據(jù)時代億信近年來的研究結果顯示,目前文檔泄密的主要途徑有4種:計算機上木馬、病毒的惡意竊取;員工對于網絡、存儲介質的違規(guī)使用;內部員工、管理員的主動泄密;筆記本電腦、移動硬盤維修、丟失過程中導致的泄密。

    針對這些泄密的途徑,時代億信文件盾系列產品采用如下技術有針對性地進行了解決:通過對文檔加密,防止傳輸、存儲過程中的泄密;在計算機上進行可信進程控制,防止木馬、病毒等的惡意竊取;建立安全的身份識別機制,確認對文檔當前操作者的身份;對文檔實現(xiàn)細粒度權限控制,防止內部員工的被動、主動泄密;靈活的離線控制策略,實現(xiàn)對文檔脫離網絡后的控制。

    從目前國內文檔安全產品的競爭格局來看,主要有如下三類:第一類是國外技術產品,比較典型的是微軟的RMS文檔權限管理系統(tǒng)以及EMC的Documentum IRM;第二類是國內企業(yè)的DRM文檔安全管理系統(tǒng)產品,這里既有進入較早的前沿科技、億賽通等專業(yè)廠商產品,也有老牌信息安全廠商像天融信、啟明星辰、中軟、時代億信等OEM或自主研發(fā)的文檔安全產品;第三類是針對CAD、PDM等設計類應用的專用加密產品。這些大都是專注于CAD應用的傳統(tǒng)廠商開發(fā)的針對設計軟件的加密產品。

    而從目前我國文檔安全市場的發(fā)展來看,國外的產品由于理念、文化的差異,在國內市場的推廣和實際應用效果并不理想。而國內產品更注重國內企業(yè)的企業(yè)文化,更加貼近國內企業(yè)的需求,由國內廠商提出的基于文件透明過濾驅動實現(xiàn)的自動加解密技術成為目前市場的主流產品。隨著一些傳統(tǒng)安全廠商進入這個領域后,能夠結合其在傳統(tǒng)4A安全領域的優(yōu)勢技術,形成一整套從外到內的信息安全整體解決方案,進一步推動了文檔安全市場的成熟和發(fā)展。

    文檔加密技術的優(yōu)勢與挑戰(zhàn)

    據(jù)李兆豐介紹,目前對于一般企業(yè)文檔安全的建設,應該不單單只是上了一套產品,而是需要建立企業(yè)文檔安全管理的規(guī)范,并且這個規(guī)范能夠隨著企業(yè)安全需求的變化而變化。評價文檔安全建設是否成功的一個方面就是所建立的文檔安全管理規(guī)范是否適合企業(yè)。

    他說,企業(yè)安裝使用文件盾產品的主要優(yōu)勢在于:既可以根據(jù)用戶需求,提供個性化、模塊化的產品功能,還創(chuàng)新性的實現(xiàn)了一些主流第三方應用的成功集成,幫助企業(yè)建立整體的文檔安全服務體系。文件盾按照用戶的需求,劃分為自動加密(A)、權限管理(R)、應用集成(M)、加密網關(G)、外發(fā)控制(S)、文件保險箱(T)等6個產品型號,既可以獨立又能結合使用。特別是在應用集成方便,根據(jù)用戶的實際需求,能夠和主流的門戶、OA、KM等產品進行融合。還創(chuàng)新性的實現(xiàn)了SVN、虛擬桌面環(huán)境、移動終端下的文檔安全保護。

    2011年民生銀行總行成功實施了文檔安全管理系統(tǒng)。全行裝機量10萬多客戶終端,其門戶、OA、知識庫系統(tǒng)全面和文檔安全進行了整合,在一年的時間里共有加密的文檔300萬條,有力的支撐了用戶的信息安全保護需求。民生銀行最大的特點是把文檔安全系統(tǒng)建設成為企業(yè)內部的文檔安全服務體系。在后期的建設過程中,逐步把SVN服務器、Citrix虛擬桌面應用等一系列應用納入文檔安全保護體系中,實現(xiàn)了企業(yè)信息安全保護的可持續(xù)發(fā)展。

篇5

肖波認為，當前我國企業(yè)級信息安全領域尚比較薄弱，管理軟件和信息安全分屬不同領域，兩者平行運營而無交集，以太信御在此一背景下，選擇定位于企業(yè)級信息安全領域，向行業(yè)領軍企業(yè)、平臺級公司進軍。

肖波對此雄心勃勃。他強調，過去10年全球信息安全產業(yè)的每個細分領域都產生了一個世界級巨頭，他相信中國信息安全也會誕生世界級巨頭，并帶動本土信息安全產業(yè)的發(fā)展。“如今在消費級市場已經有了巨頭，企業(yè)級市場還沒有?！毙げㄕf，“我就不能想一想嗎？”

據(jù)悉，以太信御推出的SecurityLink系列解決方案將為企業(yè)級信息安全保駕護航。以太信御副總經理林森介紹，SecurityLink包含基礎架構安全A、業(yè)務應用安全X、業(yè)務數(shù)據(jù)安全D和運維安全M這四個系列產品，在技術架構、業(yè)務應用、業(yè)務數(shù)據(jù)、運維安全四個領域整合出50個安全組件，并根據(jù)企業(yè)信息化安全各種需求，將不同的安全組件進行組合，為企業(yè)信息安全提供全方位立體化防御。

其中，基礎架構安全A系列包含以太信御統(tǒng)一威脅管理（A-USM）、以太信御Web應用安全網關（A-WAG）、以太信御安全虛擬專線系統(tǒng)（A-VPN），、以太信御應用交付系統(tǒng)（A-ADC）和以太信御主機安全衛(wèi)士（A-HSG）五款產品。

業(yè)務應用安全X系列是SecurityLink系列解決方案的核心，以BowlineBox硬件盒子的方式整合了業(yè)務系統(tǒng)保護、ERP安全保護等安全組件，旨在解決用戶核心的業(yè)務系統(tǒng)數(shù)據(jù)安全。BowlineBox安全盒子針對應用規(guī)模分別推出X1、X3、X5、X6、X9不同系列產品。BowlineBox安全盒子可以為企業(yè)提供全生命周期的業(yè)務安全保障體系：通過訪問準入、安全準入、系統(tǒng)可用性保障、企業(yè)敏感信息防泄漏實現(xiàn)事前防范，通過實時、全面的監(jiān)控體系和高校、快捷的報警機制進行事中監(jiān)測，通過多樣化分析體系、面向企業(yè)的個性化安全報告進行事后分析。

業(yè)務數(shù)據(jù)安全D系列由以太信御敏感信息防泄密系統(tǒng)（D-DLP）進行防護，包含敏感信息泄漏阻斷、敏感信息泄露監(jiān)測、敏感信息加密、數(shù)據(jù)備份/異地災備等防護措施，保障企業(yè)業(yè)務數(shù)據(jù)的安全問題。

篇6

關鍵詞:網絡環(huán)境;企業(yè)信息;安全管理

隨著網絡的普及和廣泛應用，人類生活辦公都越來越離不開網絡，在信息全球化的影響下，網絡已經對人們的生活產生出了極為深刻的影響。因此，人們對網絡環(huán)境下的信息安全問題也開始更加關注。在企業(yè)中運用網絡，在促進企業(yè)發(fā)展的同時，也很容易造成企業(yè)中的信息出現(xiàn)泄漏的現(xiàn)象，且一旦信息泄漏，就會造成嚴重的影響。企業(yè)內部也是這樣，與此同時網絡安全問題卻逐漸浮出水面，嚴重威脅到了網絡健康和正常運行。所以采取相關安全管理與防范措施很有必要。網絡化的社會可以讓天下事盡收眼底，極其方便快捷。企業(yè)內部利用網絡這一優(yōu)勢將其應用到實處，讓網絡在企業(yè)運營中發(fā)揮著重要作用。而有好處的同時往往也會存在著壞處這一對立面，安全隱患就是很棘手的一個問題。文章就是基于此來分析出切實可行的安全管理與防范對策，從而能夠解決這一問題。

1信息安全與信息安全管理

（1）信息安全的根本目的是保障企業(yè)內部信息不受任何因素的威脅，確保系統(tǒng)能夠連續(xù)可靠正常地運行，現(xiàn)代企業(yè)的信息安全是指企業(yè)為確保信息的保密性、真實性、完整性、未授權拷貝和所寄生系統(tǒng)的安全性不因偶然或惡意原因遭受破壞、更改和泄露而在計算機管理和技術上對數(shù)據(jù)處理系統(tǒng)進行的安全保護，保護企業(yè)的生產運營安全。（2）一般來說，存儲設備配置和信息安全管理中的漏洞、網絡環(huán)境和企業(yè)內部局域網潛在的危險是企業(yè)信息安全的主要隱患。結合企業(yè)實際特點和需要，構建企業(yè)信息安全管理體系，避免企業(yè)機密資料外泄，保護企業(yè)的生產運營安全是企業(yè)信息安全管理研究的重要課題。企業(yè)信息安全管理是企業(yè)為實現(xiàn)安全目標進行的信息安全風險相互協(xié)調活動，其目的在于通過制定信息安全政策、風險評估等系列工作盡量做到在有限的成本下保證資產的安全，維護信息的機密性、完整性和可用性。（3）隨著科學技術的不斷發(fā)展，云計算、大數(shù)據(jù)以及互聯(lián)網等將引領著未來IT的發(fā)展。企業(yè)想要實現(xiàn)發(fā)展，就要做好基礎性的工作，完善基礎設施建設，建立出完善的信息安全保障系統(tǒng)，在健康的網絡環(huán)境下來實現(xiàn)長遠的發(fā)展。企業(yè)想要實現(xiàn)長遠的發(fā)展，就要保證自身信息上的安全，同時還要認識到信息安全的重要性，從長遠的角度上出發(fā)來保護好信息。

2網絡環(huán)境下企業(yè)信息安全管理存在的問題

2.1計算機自身的不確定性

網絡時代，人人都可以成為信息的制造者、傳播者和接受者，但由于網絡的開放性、匿名性以及網民素質的良莠不齊，不僅導致網絡產生許多虛假信息、表述不明確信息，來混淆視聽。甚至誤導網民，引發(fā)，而且還為不法分子盜取企業(yè)信息提供了便利條件。加之，網絡資源的共享性為網絡系統(tǒng)安全的攻擊者提供了破壞企業(yè)信息安全的機會，給企業(yè)信息資源帶來大量的安全漏洞，給企業(yè)發(fā)展帶來不利的影響。

2.2安全軟件設計滯后

進入信息化時代，計算機在企業(yè)發(fā)展過程中扮演著極為重要的角色，而隨著計算機與互聯(lián)網技術的融合，網絡不僅為企業(yè)提供了極為豐富的信息資源，拓寬了企業(yè)獲取信息的渠道，而且還極大地提高了工作效率，提升了企業(yè)經濟效益和社會效益。但拓撲結構的設計和各種網絡設備的選擇容易感染病毒或被黑客侵略的問題，給企業(yè)信息安全帶來直接的安全隱患。而相關病毒查殺軟件都是為應對問題而設計的，也就是說，病毒查殺軟件是針對病毒研發(fā)的一種“見招拆招”的軟件，具有嚴重的滯后性。合理的安全軟件設計能夠為企業(yè)信息安全提供較好的保護，不合理的安全軟件設計則會成為企業(yè)信息安全的隱患。此外，由于安全軟件設計不合理或維護工作不完備，也極易造成病毒入侵、系統(tǒng)癱瘓等狀況，影響企業(yè)正常運轉。

2.3網絡操作系統(tǒng)的漏洞

隨著網絡技術的發(fā)展，作為網絡服務得以實現(xiàn)的載體，網絡操作系統(tǒng)不可避免地會存在一些漏洞，這些漏洞作為一種伴生性漏洞不僅一直存在，而且還為病毒的滋生和入侵提供了機會。不斷更新?lián)Q代的網絡軟件在設計時考慮到便于軟件的擴展和維護，常會為編程人員設置后門，但網絡協(xié)議實現(xiàn)的復雜性使得操作系統(tǒng)的缺陷和漏洞成為網絡安全的硬傷，這些后門一旦被不法分子發(fā)現(xiàn)，會對企業(yè)信息安全造成很大的威脅。如黑客攻擊就是基于網絡操作系統(tǒng)漏洞而產生的一種難以防范的、人為惡意攻擊，對企業(yè)造成無法彌補的損失。

2.4人為因素造成的安全問題

隨著市場經濟體制的不斷完善，企業(yè)之間的競爭日趨激烈，很多企業(yè)只重視利益的發(fā)展，將全部精力集中于企業(yè)生產經營，并沒有認識到企業(yè)信息保護的重要性，造成企業(yè)信息在存儲過程中沒有適當?shù)闹萍s機制，造成企業(yè)信息安全保障系統(tǒng)存在漏洞和隱患。加之網絡作為一種新生事物，企業(yè)對信息安全管理投入不足，員工普遍安全意識缺乏，信息安全管理規(guī)章制度不完善，這不僅浪費了企業(yè)的網絡資源，而且還極易出現(xiàn)安全隱患和漏洞。

3網絡環(huán)境下企業(yè)信息安全管理建設的措施

3.1通過對目前的應用系統(tǒng)進行分析與評估等工作是實際

可行的辦法安全風險評估。因此,在實際中企業(yè)中的信息系統(tǒng)根據(jù)風險管理的方法來對可能存在的風險以及需要進行保護的信息進行分析，以風險評估為最終結果來選擇出適當?shù)拇胧?應對好可能出現(xiàn)的風險。企業(yè)只有對安全風險進行有效的評估,才能夠結合實際問題進行科學合理的分析，采取有效的措施避免風險出現(xiàn)。

3.2要做好技術上的創(chuàng)新。對于網絡的正常運行來說，安全是最基礎的，想要保證網絡的安全，就要從多個層面上出發(fā)來進行立體保護。將監(jiān)督檢查機制落實到實際中去。時代的發(fā)展是建立在創(chuàng)新基礎之上的，只有實現(xiàn)不斷的創(chuàng)新，才能實現(xiàn)更好的發(fā)展。因此，在技術不斷創(chuàng)新的影響下，就要提高其質量，保證效益，建立出以市場發(fā)展為基礎的創(chuàng)新機制。同時還要保證財力上的支持，實現(xiàn)技術的改進與創(chuàng)新。通過對各項制度的實際情況進行檢查，可以保證企業(yè)中信息的安全。想要保證信息的安全，就要制定出信息的搶救措施，如進行數(shù)據(jù)恢復、備份以及銷毀等安全預防措施。

3.3充分運用防火墻技術

在網絡信息安全的管理中，防火墻技術屬于一項較為有效的安全技術，能夠按照特定的規(guī)則，從而來允許以及限制數(shù)據(jù)的通過。防火墻能夠有效防止黑客訪問用戶的及其，以此來組織黑客拷貝篡改用戶的信息，以此來保證信息的安全。現(xiàn)今很多企業(yè)都廣泛應用防火墻技術，以此來保證自身企業(yè)的信息安全。并且防火墻自身具有很強的抗攻擊性，不會被病毒所控制。同時防火墻技術能夠將內部的網絡進行劃分，從而來將重點的網段進行隔離，以此來對其進行保護。

4結語

總之，想要保證企業(yè)中的信息安全，就要堅持從信息安全技術與做好內部管理工作上出發(fā)，企業(yè)網絡辦公不僅可以將各個部門緊密聯(lián)系在一起，工作溝通起來還可以更方便，極大地提高了工作效率，創(chuàng)造了更多的經濟效益。這是新時代、網絡時期給企業(yè)帶來的難得一遇的機會和福音。通過安全技術的支撐來提高內部管理工作的效果，同時還要落實管理與監(jiān)控工作，加強信息安全教育，建立出完善的管理制度，提高安全管理的水平。還竭盡全力做好企業(yè)內部網絡的安全管理和防范對策，兩者結合、相輔相成，這樣一來企業(yè)的發(fā)展會更美好，更有希望。

作者:于倩 單位:淄博信息工程學校 淄博建筑工程學校

參考文獻:

篇7

對于知識型企業(yè)來說，人才是最大的財富，智力成果是他們的競爭優(yōu)勢，而知識產權和信息安全保護就是它們的生命。如果是只有三五個人的小公司，老板一個人把所有資料放在自己的電腦里，所有的商業(yè)機密和設計成果就保護住了?？蓪τ谝粋€上千人的大公司來說，保護好公司的知識產權就會面臨巨大的挑戰(zhàn)。這樣的挑戰(zhàn)，是懸在每個知識型企業(yè)CIO甚至CEO頭上的一把利劍。

有沒有辦法來免除這樣的煩惱呢?

中冶南方工程技術有陽公司(以下簡稱中冶南方)找到了解決這一問題的途徑。據(jù)了解，中冶南方的前身為冶金工業(yè)部武漢鋼鐵設計研究總院，是由中國冶金科工集團公司、武漢鋼鐵(集團)公司、鞍鋼股份有限公司等共同出資組建的高新企業(yè)，注冊資本20000萬元，擁有3000人規(guī)模的大型知識型企業(yè)，業(yè)務范圍廣泛，是華中地區(qū)的龍頭企業(yè)。

在尋找如何防止商業(yè)機密泄露的過程中，公司通過實施文印管理服務MPS系統(tǒng)，從硬件到電子化文件，再到紙質文件……有效地確保了公司商業(yè)機密不被泄漏，也給國內企業(yè)的知識產權保護提供了一個新的思路。

10％的疏漏

“行百里者，半九十?！边@句古諺充分說明了一個道理，一件事做到90％，實際上成效只能算達到一半。因為剩下的那10％會成為一個巨大的漏洞，影響整件事的進程和最終結果。

如何解決好紙質文件的安全管理，同時又提高員工的工作效率成為信息中心亟待解決的課題。

2007年的9月，中冶南方信息中心主任黃湘武就站在這個“九十里”處徘徊。對于中冶南方來說，知識產權的重要性顯而易見。像中冶南方這樣的智力輸出型企業(yè)，設計圖紙信息是公司最重要的智力資源，要保證這些資料不被輕易地帶出公司，電子文件和紙質文件的管理和安全保護至關重要。

據(jù)了解，中冶南方為防止商業(yè)泄密，早就建立了一套基于數(shù)字化加解密技術的信息安全體系，可以對現(xiàn)有的電子文檔實現(xiàn)全面的保護，對企業(yè)信息達到90％的保護度。這些措施雖然很好地保護了電子文件的外泄，可是紙質文件的信息安全保護一直做得不理想，讓整體信息安全工作的效果大打折扣。

當時，為了保證紙質文件安全，公司里所有的文件復印必須到領導辦公室去，所有的掃描要到文印中心經過登記才可以掃描，圖紙的復印掃描則由專人負責。這樣繁瑣的流程，浪費了員工許多工作時間。

身份識別立功

如何既解決好紙質文件的安全管理，同時提高員工的工作效率和滿意度成為中冶南方信息中心亟待解決的課題。中冶南方和惠普IPG合作，進行了文印系統(tǒng)的全面規(guī)劃。

公司給每個部門標配的設備上都可以實現(xiàn)員工身份識別。一期項目中，這種身份識別是通過輸入用戶名和密碼來實現(xiàn)；二期項目則給員工帶來更多便利，直接刷員工門禁卡就能完成打印。

這種方式對于員工的好處是，日常的文印作業(yè)，員工可以在部門內就近完成打印、復印、掃描等文印操作，再也不用那么麻煩地去領導辦公室復印，去文印中心登記了，省去了幾棟樓之間的奔波，大家在自己的辦公室里可以完成工作。

據(jù)公司內部的一項員工調查顯示，大家對信息中心工作的滿意度，由原來的90％左右提高到99％以上。同時，由于所有的文印操作均記錄在審計數(shù)據(jù)庫中，公司可以對每個環(huán)節(jié)的文印行為進行事后審計，從而使得公司的電子文件和紙質文件都處于中冶南方全信息體系中，高效、安全地保護了公司的知識產權。

篇8

關鍵詞：智能電網 信息安全 防護體系 可信平臺

中圖分類號：F49 文獻標識碼：A 文章編號：1007-3973（2013）012-212-02

1 引言

隨著智能電網建設步伐的推進，更多的設備和用戶接入電力系統(tǒng)，例如，智能電表、分布式電源、數(shù)字化保護裝置、先進網絡等，這些設備的應用使電網的信息化、自動化、互動化程度比傳統(tǒng)電網大大提高，它們在提升電網監(jiān)測與管理方面發(fā)揮了重要作用，但同時也給數(shù)據(jù)與信息的安全帶來了隱患。比如黑客通過竊取技術訪問電網公司數(shù)據(jù)中心的服務器，有可能造成客戶信息泄露或數(shù)據(jù)安全問題，嚴重時有可能造成國家的重大損失。因此，如何使眾多的用戶能在一個安全的環(huán)境下使用電網的服務，成了當前電網信息安全建設的重要內容之一。

2 電力企業(yè)信息安全建設的關鍵問題

云計算技術在電力企業(yè)的業(yè)務管理中已經逐步得到應用，另外，隨著技術的成熟和商業(yè)成本的降低，基于可信計算平臺的網絡應用獲得了迅猛發(fā)展。如果在電網業(yè)務管理體系中將可信計算與云計算結合起來，將會使電網的管理水平如虎添翼。圖1為構建可信平臺模塊間的安全通道示意圖。

在可信計算環(huán)境下，每臺主機嵌入一個可信平臺模塊。由于可信平臺模塊內置密鑰，在模塊間能夠構成一個天然的安全通信信道。因此，可以將廣播的內容放在可信平臺模塊中，通過安全通信信道來進行廣播，這樣可以極大地節(jié)約通信開銷。

智能電網的體系架構從設備功能上可以分為基礎硬件層、感知測量層、信息通信層和調度運維層四個層次。那么，智能電網的信息安全就必須包括物理安全、網絡安全、數(shù)據(jù)安全及備份恢復等方面。因此，其涉及到的關鍵問題可從CA體系建設、桌面安全部署、等級防護方案等方面入手。

3 智能電網信息防護體系框架

3.1 數(shù)字證書體系

數(shù)字證書體系CA是建設一套符合國家政策要求的電子認證系統(tǒng)，并作為電力企業(yè)信息化建設的重要基礎設施，實現(xiàn)各實體身份在網絡上的真實映射，滿足各應用系統(tǒng)中關于身份認證、信息保密性、完整性和抗抵賴性等安全性要求。該系統(tǒng)主要包括根CA系統(tǒng)、CA簽發(fā)系統(tǒng)、RA注冊管理系統(tǒng)、KM系統(tǒng)、證書狀態(tài)查詢系統(tǒng)和LDAP目錄服務系統(tǒng)，總體結構如圖2所示。

3.2 桌面安全管理體系

該體系可為電力企業(yè)提供集中的終端（桌面）綜合安全管理的桌面管理產品，打造一個安全、可信、規(guī)范、健康的內網環(huán)境，如圖3所示。

該體系能滿足用戶：確保入網終端符合要求；全面監(jiān)測終端健康狀況；保證終端信息安全可控；動態(tài)監(jiān)測內網安全態(tài)勢；快速定位解決終端故障；規(guī)范員工網絡行為；統(tǒng)一內網用戶身份管理等。

3.3 等級防護體系

此外，在設計信息安全體系時，還需要針對電力企業(yè)的業(yè)務應用系統(tǒng)，按照不同的安全保護等級，設計信息系統(tǒng)安全等級保護方案，如圖4所示。

根據(jù)國家關于《信息系統(tǒng)等級保護基本要求》中關于信息安全管理的規(guī)定，該體系應該包括物理安全、網絡安全、主機安全、應用安全、數(shù)據(jù)安全等方面。

4 結論與展望

本文將電力云技術與可信計算結合起來，設計了面向智能電網的信息安全防護體系框架，從CA體系建設、桌面安全部署、等級防護方案等方面闡述了該框架的內涵。但信息安全是一個沒有盡頭的工作，需要及時與最新的方法相結合，不斷完善信息安全方案，使電網做到真正的智能、堅強。

（基金項目：中央高?；究蒲袠I(yè)務費專項資金項目（11MG50）；河北省高等學?？茖W研究項目（Z2013007））

參考文獻：

[1] 陳樹勇，宋書芳，李蘭欣，等.智能電網技術綜述[J].電網技術，2009，33（8）：1-7.

[2] 國家電網.關于加快推進堅強智能電網建設的意見[N].國家電網報，2010-01-12（2）.

[3] 曹軍威，萬宇鑫，涂國煜，等.智能電網信息系統(tǒng)體系結構研究[J].計算機學報，2013，36（1）：143-167.

[4] 陳康，鄭緯民.云計算：系統(tǒng)實例與研究現(xiàn)狀[J].軟件學報，2009（5）：1337-1348.

篇9

飛速發(fā)展的社會經濟將企業(yè)管理投入到信息技術的海洋之中，大中型企業(yè)管理的自動化水平正在不斷提高?，F(xiàn)代企業(yè)的核心管理手段是將計算機網絡技術應用于業(yè)務管理系統(tǒng)，實現(xiàn)企業(yè)管理理念的宏觀化、管理手段的智能化、管理方式的網絡化，從而帶來的是管理效率的高速化。具體的管理系統(tǒng)包括外門戶網站系統(tǒng)、內部門戶網站系統(tǒng)、辦公自動化系統(tǒng)、營銷管理系統(tǒng)、配網管理系統(tǒng)、財務管理系統(tǒng)、生產管理系統(tǒng)等[ 1 ]。

1 企業(yè)網絡信息安全概述

1.1 網絡信息安全面臨的威脅

網絡信息的安全主要是系統(tǒng)漏洞帶來的病毒和黑客侵襲。漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統(tǒng)[ 2 ]。系統(tǒng)漏洞是危害網絡安全的最主要因素，特別是軟件系統(tǒng)的各種漏洞。黑客的攻擊行為都是利用系統(tǒng)的安全漏洞來進行的。許多系統(tǒng)都有這樣那樣的安全漏洞（Bugs），其中有些是操作系統(tǒng)或應用軟件由于設計缺陷本身所具有的，這些漏洞在補丁未被開發(fā)出來之前一般很難防御黑客的破壞，除非你不接入網絡。還有就是程序員在設計一些功能復雜的程序時，預留的用于測試和維護的程序入口，由于疏忽或者其他原因（如將它留在程序中，便于日后訪問、測試或維護）沒有去掉，這就可能被一些黑客發(fā)現(xiàn)并利用作為后門。到目前為止，還沒有出現(xiàn)真正安全無漏洞的產品，這也是當前黑客肆虐的主要原因[ 3 ]。

1.2 造成企業(yè)網絡信息安全威脅的原因

1.2.1 計算機系統(tǒng)原生漏洞

目前計算機所依賴的依然是普遍通用的微軟Windows系統(tǒng)。為了適應用戶的需求，這一系統(tǒng)的研發(fā)進展不斷進步，系統(tǒng)升級較為頻繁，每兩年左右便會有新系統(tǒng)推出面世。許多計算機用戶，特別是企業(yè)用戶，如果對新系統(tǒng)沒有全面、專業(yè)、深入的了解而盲目進行了系統(tǒng)更新，有可能造成安裝設置過程中缺陷導致的新系統(tǒng)帶來的弊端，從而埋下漏洞隱患，給信息安全造成威脅。

1.2.2 計算機軟件應用不當遭遇惡意軟件

在企業(yè)管理計算機軟件應用過程中，如果沒有專業(yè)的識別和下載安裝經驗，極有可能遇到惡意軟件。惡意軟件常常故意不對用戶做明確提示（如選項提示、退出安裝提示等）或者在未經用戶許可的情況下，在用戶的計算機上強行安裝；有的軟件難以卸載（設置卸載障礙）；還有的軟件通過瀏覽器劫持行為，肆意：指未經用戶許可，修改用戶瀏覽器或設置，迫使用戶訪問特定網站或導致用戶無法正常上網等。惡意軟件造成的計算機病毒感染，黑客的乘虛而入將嚴重威脅企業(yè)網絡信息安全，甚至導致系統(tǒng)崩潰，數(shù)據(jù)丟失。有的惡意軟件甚至自帶網絡數(shù)據(jù)運行監(jiān)視裝置，被惡意使用后可以直接用于竊取商業(yè)數(shù)據(jù)和信息，給企業(yè)造成巨大損失。

1.2.3 企業(yè)網絡信息系統(tǒng)維護規(guī)范欠缺

企業(yè)網絡信息系統(tǒng)在運行過程中無論何種原因都難以避免可能產生的漏洞，而對信息系統(tǒng)的規(guī)范維護是信息安全保護的重要手段。但部分企業(yè)沒有對系統(tǒng)維護規(guī)范作出規(guī)定，如系統(tǒng)維護工程師、助理工程師的職責與權限并不明確，生產或銷售應用系統(tǒng)的監(jiān)控記錄不能定期建檔，生產或辦公系統(tǒng)主機的日常故障處理不做登記，應用系統(tǒng)的數(shù)據(jù)庫啟動情況和數(shù)據(jù)庫設置得不到及時觀察，重要數(shù)據(jù)庫的變更操作，定期清理過期備份不能正常進行，應用數(shù)據(jù)庫癱瘓后的異地備份恢復記錄不完整等，都有可能造成企業(yè)網絡信息系統(tǒng)的安全隱患。

2 企業(yè)信息系統(tǒng)安全管理存在的問題

2.1 企業(yè)對信息系統(tǒng)管理重視不足

許多企業(yè)頂層決策缺乏長久觀念，比較重視信息網絡的建設而較易忽視信息網絡和系統(tǒng)的管理。在企業(yè)網絡建設初期往往偏重于硬件設施的投資和技術成本的投入，盲目追求管理系統(tǒng)的高性能、高配置，忽略了硬件設施與實際應用的差距，認為高層次的網絡系統(tǒng)一旦建成便萬事大吉。這種認識不但造成了不必要的資金浪費，更容易形成輕視系統(tǒng)維護管理工作的狀況。由于缺乏管理意識，許多企業(yè)在規(guī)章制度、人事安排、專業(yè)培訓、技術隊伍等幾方面沒有形成企業(yè)信息系統(tǒng)的專業(yè)團隊，更沒有針對系統(tǒng)癱瘓、數(shù)據(jù)丟失等突發(fā)事件的應急預案，往往是問題發(fā)生后臨時應急解決，“頭痛治頭足痛治足”，致使現(xiàn)代化信息系統(tǒng)不能充分發(fā)揮在企業(yè)運行管理中應有的作用。

2.2 企業(yè)網絡信息安全性難以保障

由于信息安全管理意識淡薄，部分企業(yè)沒有專業(yè)的網絡管理團隊?，F(xiàn)有網管人員維護、管理網聯(lián)絡信息技術沒有保障，或者責任心不強。例如，民營生產銷售企業(yè)由于操作不規(guī)范銷售報表和潛在客戶資料數(shù)據(jù)丟失現(xiàn)象時有發(fā)生；部分縣級以上醫(yī)院分科或多或少都存在體統(tǒng)停滯現(xiàn)象；中小型企業(yè)中財務資料的誤刪時有發(fā)生。雖然這些單位有的也具備系統(tǒng)維護應急預案，部分數(shù)據(jù)得到恢復，但依然給企業(yè)造成一定損失。

3 企業(yè)網絡信息安全防范措施

3.1 建立系統(tǒng)安全檢查制度

企業(yè)的規(guī)章制度要重視系統(tǒng)安全的保護，對重要信息系統(tǒng)的安全檢查要建章立制，不能松懈。首先要對系統(tǒng)安全負責的團隊人員構成和崗位職責進行明文規(guī)定。其次要確定具體的安全檢查目標，如企業(yè)的基礎網絡是否完善、主服務器配置是否異常，對外門戶網站防火墻是否堅固，數(shù)據(jù)中心的設置是否可靠，內部辦公系統(tǒng)（包括財務、銷售、服務等）更新是否正常等等。第三，信息安全檢查規(guī)章制度中要具化檢點內容，如安全管理保障系統(tǒng)方面，對崗位制度是否建全，人員負責是否落實，信息數(shù)據(jù)是否安全，應急響應是否穩(wěn)妥等項目要做出詳細檢查記錄。技術保障方面：服務器（包括操作系統(tǒng)、數(shù)據(jù)庫、應用系統(tǒng)）的各項指標，網絡設備和安全設備的各種配置，網站建設和終端等組織策略和運行維護等內容都要落實到檢查實處。

3.2 加大企業(yè)網絡信息安全的管理力度

第一，要增強網絡信息管理人員的技術培訓，使企業(yè)信息系統(tǒng)得到可靠的技術維護和管理，組件一只責任心強、分工明確、技術精湛的網管團隊，以保障企業(yè)網絡信息系統(tǒng)正常運轉不出紕漏。

第二，提高企業(yè)核心機密資料的加密層次，在這方面要投入資金購買保密程度較有保障的計算機軟件裝備，防止黑客攻擊和病毒感染。

第三，對企業(yè)信息管理和維護工作進行定期記錄、責任到人，記錄保護存檔以備可查。

第四，要建立安全可靠的計算機數(shù)據(jù)異地備案和應急預案機制，有專門制定人員負責，定期檢測數(shù)據(jù)，嚴格管理制度，以確保企業(yè)網絡信息系統(tǒng)出現(xiàn)異常時得到有效維護和修復。

篇10

【 關鍵詞 】 信息安全；等級保護；現(xiàn)狀及問題；建議

【 中圖分類號 】 TP393.08 【 文獻標識碼 】 A

Discussion the Status of Information Security base on Graded Protection

Zhang Wei-li

（CCID Think tank， China Center of Information Industry Development Beijing100048）

【 Abstract 】 Information Security base on Graded Protection is a basic regime of the construction of information security in our country， and is an important means to guarantee the healthy development of information technology. Information Security base on Graded Protection ，development both at home and abroad were introduced in this paper， as well as the status quo of Graded Protection in China. On this basis， the paper analyzes the problems existing in the Graded Protection in China， and put forward some Suggestions for bettering Graded Protection work.

【 Keywords 】 information security； graded protection； status and problems； suggestion

1 引言

目前對信息及信息系統(tǒng)實行分等級保護是各國保護關鍵基礎設施的通行做法。在我國信息安全等級保護是保障國家信息安全的一項基本制度。通過信息安全等級保護工作，實現(xiàn)信息安全資源的優(yōu)化配置，重點保障基礎信息網絡和關系國家安全、經濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)的安全，有效提高我國信息和信息系統(tǒng)安全建設的整體水平。

1.1 信息安全等級保護的概念及等級劃分

信息系統(tǒng)安全等級保護是指對信息以及信息系統(tǒng)分等級進行安全保護和監(jiān)管；對信息安全產品的使用進行分等級管理；對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置的綜合性工作制度。

根據(jù)信息系統(tǒng)在國家安全、經濟建設、社會生活中的重要程度，以及信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益，以及公民、法人和其他組織的合法權益的危害程度等因素，將信息系統(tǒng)安全等級由低到高分為五個等級：第一級，自主保護級；第二級，指導保護級；第三級，監(jiān)督保護級；第四級，強制保護級；第五級，?？乇Ｗo級。依據(jù)安全保護能力也劃分為五個等級：第一級，用戶自主保護級；第二級，系統(tǒng)審計保護級；第三級，安全標記保護級；第四級結構化保護級；第五級訪問驗證保護級。

1.2 國外信息安全等級保護的發(fā)展歷程

等級保護思想最早源于20世紀60年代的美軍文件保密制度，其中第一個比較成熟并且具有重大影響的是1985年的《可信計算機系統(tǒng)評估準則》（TCSEC），該準則是當時美國國防部為適應軍事計算機的保密需要提出的，主要是針對沒有外部連接的多用戶系統(tǒng)提出。

受美國等級保護思想的影響，歐盟和加拿大也分別制定自己的等級保護評估準則。英、法、德、荷等四國于1991年提出了包含保密性、完整性、可用性等概念的歐共體的《信息技術安全評估準則》（ITSEC）。ITSEC 作為多國安全評估標準的綜合產物，適用于軍隊、政府和商業(yè)部門。1993年加拿大公布《可信計算機產品評估準則》（CTCPEC）3.0版本。CTCPEC作為TCSEC和ITSEC的結合，將安全分為功能性要求和保證性要求兩部分。功能性要求分為機密性、完整性、可用性、可控性等四個大類。

為解決原各自標準中出現(xiàn)的概念和技術上的差異，1996年美國、歐盟、加拿大聯(lián)合起來將各自評估準則合為一體，形成通用評估準則（Common Criteria）。1999年出臺的CC2.1版本被ISO采納，作為ISO15408。在CC中定義了評估信息技術產品和系統(tǒng)安全性所需要的基礎準則，是度量信息技術安全性的基準。

1.3 我國信息安全等級保護的發(fā)展歷程

在國際信息安全等級保護發(fā)展的同時，隨著信息化建設的發(fā)展，我國的等級保護工作也被提上日程。其發(fā)展主要經歷了四個階段。

1994-2003年是政策環(huán)境營造階段。國務院于1994年頒布《中華人民共和國計算機信息系統(tǒng)安全保護條例》，規(guī)定計算機信息系統(tǒng)實行安全等級保護。2003年，中央辦公廳、國務院辦公廳頒發(fā)《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）明確指出“實行信息安全等級保護”。此文件的出臺標志著等級保護從計算機信息系統(tǒng)安全保護的一項制度提升到國家信息安全保障一項基本制度。

2004-2006年是等保工作開展準備階段。2004年至2006年期間，公安部聯(lián)合四部委開展了涉及65117家單位，共115319個信息系統(tǒng)的等級保護基礎調查和等級保護試點工作。通過摸底調查和試點，探索了開展等級保護工作領導、組織、協(xié)調的模式和辦法，為全面開展等級保護工作奠定了堅實的基礎。

2007-2010年是等保工作正式啟動階段。2007年6月，四部門聯(lián)合出臺了《信息安全等級保護管理辦法》。7月四部門聯(lián)合頒布了《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》，并于7月20日召開了全國重要信息系統(tǒng)安全等級保護定級工作部署專題電視電話會議，標志著我國信息安全等級保護制度歷經十多年的探索正式開始實施。

2010年至今是等保工作規(guī)模推進階段。2010年4月，公安部出臺了《關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知》，提出等級保護工作的階段性目標。2010年12月，公安部和國務院國有資產監(jiān)督管理委員會聯(lián)合出臺了《關于進一步推進中央企業(yè)信息安全等級保護工作的通知》，要求中央企業(yè)貫徹執(zhí)行等級保護工作。至此我國信息安全等級保護工作全面展開，等保工作進入規(guī)模化推進階段。

2 我國信息安全等級保護的現(xiàn)狀

2.1 等級保護的組織架構初步形成

截止目前，除了國家信息安全等級保護協(xié)調小組辦公室外，在大陸31個省、自治區(qū)、直轄市當中除天津、黑龍江、河南、重慶、陜西外，有26個行政區(qū)成立了省級的信息安全等級保護協(xié)調小組辦公室。22個省、自治區(qū)、直轄市建立了信息安全等級保護聯(lián)絡員制度，共確定1598名聯(lián)絡員。獲得信息安全等級保護測評機構推薦資質的測評機構共121家，除新疆外各省均有獲得資質的等級保護測評機構，其中國家的測評機構有7家，北京市有10家，江蘇省有14家，浙江省、山東省各有7家，廣東省有6家，其他省、自治區(qū)、直轄市有1-5家不等。25個行政區(qū)建立了等級保護專家組，共確定441名專家。

2.2 信息安全等級保護的政策體系初步形成

為組織開展信息安全等級保護工作，國家相關部委（主要是公安部牽頭組織，會同國家保密局、國家密碼管理局、原國務院信息辦和發(fā)改委等部門）相繼出臺了一系列文件，對具體工作提供了指導意見和規(guī)范，這些文件初步構成了信息安全等級保護政策體系。具體關系如圖1。

《中華人民共和國計算機信息系統(tǒng)安全保護條例》和《國家信息化領導小組關于加強信息安全保障工作的意見》分別是開展信息安全等級保護工作的法律依據(jù)和政策依據(jù)?！蛾P于信息安全等級保護工作的實施意見》和《信息安全等級保護管理辦法》是在法律依據(jù)和政策依據(jù)的基礎上制定的政策文件，其為等級保護工作的開展提供宏觀指導。在上述基礎上，針對信息安全等級保護工作的定級、備案、安全建設整改、等級測評、監(jiān)督檢查的各工作環(huán)節(jié)制定具有操作性的指導文件。政策體系的形成，為組織開展等級保護工作、建設整改工作和等級測評工作提供了指導，明確了各環(huán)節(jié)的工作目標、工作要求和工作流程。

2.3 信息安全等級保護的標準體系基本完善

為推動信息安全等級保護工作，全國信息安全標準化技術委員會和公安部信息系統(tǒng)安全標準化技術委員會組織制訂了信息安全等級保護工作需要的一系列標準，匯集成《信息安全等級保護標準匯編》，為開展等級保護工作提供了標準指導。這些標準與等保各環(huán)節(jié)的工作關系如圖2所示。

《計算機信息系統(tǒng)安全保護等級劃分準則》及配套標準是《信息系統(tǒng)安全等級保護基本要求》的基礎?！缎畔⑾到y(tǒng)安全等級保護基本要求》是信息系統(tǒng)安全建設整改的依據(jù)，信息系統(tǒng)安全建設整改應以落實《基本要求》為主要目標?！缎畔⑾到y(tǒng)安全等級保護定級指南》是定級工作的指導性文件，為信息系統(tǒng)定級工作提供了技術支持?！缎畔⑾到y(tǒng)安全等級保護測評要求》等標準規(guī)范了等級測評活動，為等級測評機構開展等級測評活動提供了測評方法和綜合評價方法?！缎畔⑾到y(tǒng)安全等級保護實施指南》是信息系統(tǒng)安全等級保護建設實施的過程控制標準，用于指導信息系統(tǒng)運營使用單位了解和掌握信息安全等級保護工作的方法、主要工作內容以及不同的角色在不同階段的作用。

2.4 信息安全等級保護的工作取得一定進展

各重點行業(yè)根據(jù)等級保護的政策要求開展了本系統(tǒng)內的等級保護工作。為落實相關等級保護政策有關行業(yè)制定了自己的行業(yè)標準，例如《廣播電視相關信息系統(tǒng)安全等級保護等級指南》、《水利網絡與信息安全體系建設基本技術要求》等。金融領域，人民銀行出臺了《中國人民銀行關于銀行業(yè)金融機構信息系統(tǒng)安全等級保護等級的指導意見》，并于2012年了金融行業(yè)的《金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引》、《金融行業(yè)信息安全等級保護測評服務安全指引》、《金融行業(yè)信息系統(tǒng)信息安全等級保護測評指南》等三項行業(yè)標準，在采用《信息系統(tǒng)信息安全等級保護基本要求》的590項基本要求的基礎上，補充細化基本要求項193項，新增行業(yè)特色要求項269項，為金融行業(yè)開展關鍵信息系統(tǒng)信息安全等級保護實施工作具奠定了堅實基礎。

測評和安全建設工作有序開展。截止到2012年底，全國已經開展了5萬多個第二級信息系統(tǒng)和4萬多個三級系統(tǒng)的等級測評，并完成了相應的信息系統(tǒng)的等級保護安全建設整改。2012年底，全國性銀行業(yè)金融機構完成了880個二級以上信息系統(tǒng)的定級評審。2012年對反洗錢中心、征信中心、清算中心和金融中心的48個重要信息系統(tǒng)進行了測評，共發(fā)現(xiàn)4284項安全問題，整改完整3451向，通過整改后其信息系統(tǒng)的整改測評率達到了90%以上。

3 我國信息安全等級保護存在的問題

3.1 信息系統(tǒng)運營使用單位對等級保護工作的重視程度還不夠

近年來信息安全等級保護主管部門高度重視等級保護工作，制定相關政策和標準，舉辦等級測評師培訓等，但信息系統(tǒng)主管部門以及全社會對信息安全等級保護在信息安全保障體系中的基礎性地位認識還不到位，難以將等級保護制度和已有信息安全防護體系相銜接，工作方式簡單，手段缺乏，甚至出現(xiàn)以其他工作代替信息安全等級保護工作的消極傾向。同時，在工作中，一些企業(yè)還存在不愿投資，不愿受監(jiān)管的思想，為節(jié)省人力、物力、財力將本該定為三級的重要信息系統(tǒng)定位二級，這些都影響信息安全等級保護制度的全面落實。

3.2 等級保護屬于合規(guī)性被動防護與目前信息安全主動防御需求還有差距

信息安全等級保護屬于政策性驅動的合規(guī)性保護，這種合規(guī)性保護只關注通用信息安全需求，并且屬于被動保護，對于當前信息安全保護中的主動防御要求還有差距。例如，中國鐵路客戶服務中心12306網站定義為等級保護四級，2012年，曾暴露出被黑客拖庫，以及因機房空調問題停止服務等問題，而這兩項內容都在等級保護規(guī)范中有明確的要求。所以，認為通過等級保護的評測就不會出問題顯然是一種誤區(qū)。

另外，2010年“震網”病毒事件破壞了伊朗核設施，表明網絡攻擊由傳統(tǒng)“軟攻擊”上升為直接攻擊要害系統(tǒng)的“硬摧毀”。2013年曝出的棱鏡門事件，2014年曝出的美國國安局入侵華為服務器等，這些事件表明當今信息安全的主要特征是要建立主動防御體系，例如建立授權管理機制、行為控制機制以及信息的加密存儲機制，即使信息得到泄露也不會被黑客輕易獲得。而等級保護是一種被動的、前置的保護手段，與當前信息安全保護所要求的實時的、主動防御還有一定的差距。

3.3 現(xiàn)有防護手段難以滿足新技術發(fā)展應用中的信息安全需求

信息安全等級保護政策標準的滯后，難以滿足新技術應用的信息安全需求。例如，當前的物聯(lián)網、云計算、移動互聯(lián)網的應用呈現(xiàn)出新特點，提出了新的安全需求，在網絡層面原本相對比較封閉的政府、金融、能源、制造系統(tǒng)開始越來越多的與互聯(lián)網相連接；計算資源層面，云計算的應用，呈現(xiàn)出邊界的消失、服務的分散、數(shù)據(jù)的遷移等特點，使得業(yè)務應用和信息數(shù)據(jù)面臨的安全風險愈發(fā)復雜化。用戶終端層面，移動互聯(lián)、智能終端大行其道，BYOD的應用等，都為企業(yè)信息安全管理提出新挑戰(zhàn)。

大數(shù)據(jù)的應用，很可能會出現(xiàn)將某些敏感業(yè)務數(shù)據(jù)放在相對開放的數(shù)據(jù)存儲位置的情況。針對這些邊界逐漸消失，服務較為分散，應用呈現(xiàn)虛擬化，敏感業(yè)務數(shù)據(jù)放在相對開放的數(shù)據(jù)存儲位置，等級保護的“分區(qū)、分級、分域”保護的原則已無法有效應用。如何有效滿足新技術應用下的信息安全需求，也是等級保護下一步需要考慮的內容。

4 進一步做好信息安全等級保護的相關建議

4.1 擴大宣傳力度，提高全社會對等保的重視程度

等級保護是我國信息安全建設的基本制度，需提高全社會對等級保護的重視程度，尤其是要提高信息系統(tǒng)主管部門對信息安全等級保護工作重要性的認識。在工作中，可以通過重要信息系統(tǒng)之間的項目依賴性分析，關鍵部門影響性分析等方法，來增強信息系統(tǒng)主管部門以及全社對信息系統(tǒng)信息安全重要性的認識。在各行業(yè)、企業(yè)內部，應當通過加強宣傳教育培訓，提高信息系統(tǒng)使用和運維人員的對信息安全等級保護的重視程度。在等級保護工作推進工作中，對故意將信息系統(tǒng)安全級別定低現(xiàn)象進行嚴查。

4.2 引入可信計算等主動防御理念，充分發(fā)揮等保在信息安全建設中的作用

要充分發(fā)揮等保在國家信息安全建設中的作用，需要從技術和管理兩個方面進行安全建設，做到可信、可控、可管；并且應當具有抵御來自敵對組織高強度連續(xù)攻擊（APT）的能力，以滿足當前信息安全形勢的需求。而可信計算技術可以實現(xiàn)計算處理結果與預期的相一致，中間過程可控制管理、可度量驗證。因此，可在信息安全等級保護基本要求等技術標準中引入可信計算的理念，將傳統(tǒng)的三重防護上升為可信計算環(huán)境、可信邊界、可信通信網絡組成的可信環(huán)境下的三重防護，從而實現(xiàn)主體的可信計算安全，進一步實現(xiàn)等級保護主動防御功能，充分發(fā)揮等級保護在信息安全建設中的作用。

4.3 完善等保技術標準體系，推進等級保護在云計算中的應用

針對當前的物聯(lián)網、工業(yè)控制系統(tǒng)、移動互聯(lián)網，云計算應用中帶來的數(shù)據(jù)高度集中、高虛擬化等的特點，信息安全等級保護應當在等級保護建設時必須加入對終端安全更高的基本需求。例如，在業(yè)務終端與業(yè)務服務器之間進行路由控制建立安全的訪問路徑；通過設定終端接入方式、網絡地址范圍等條件限制終端登錄等。同時在虛擬環(huán)境下，要求安全設備能識別網絡虛擬標簽，區(qū)分每臺虛擬機主機。針對云計算中邊界模糊化的特點，可以通過軟件安全實現(xiàn)對動態(tài)邊界的監(jiān)測，保證其安全。具體推進中，可以通過完善等級保護相關整改建設指南，等級測評工作指南以及相關技術標準等，以指導具體工作的開展，從而以推進等級保護在云計算、物聯(lián)網、工控領域的等中的應用。

4.4 借鑒經驗，完善等級保護制度設計和體系建設

目前《信息安全等級保護定級指南》確定的對象是信息系統(tǒng)，《信息安全等級保護基本要求》也是針對自身具備運行的物理環(huán)境、網絡環(huán)境、系統(tǒng)環(huán)境和應用以及相關人員和管理體系等完整、標準的意義上的信息系統(tǒng)而提出的，而對于重要信息系統(tǒng)運行所依賴的網絡系統(tǒng)、IDC（互聯(lián)網數(shù)據(jù)中心）、災備中心等這樣的對象，無論是定級方法、保護要求還是測評結果判定方面等都還存在不合適的地方。

對此可以在定級過程中，參考美國經驗，引入系統(tǒng)法（特別是相互依賴性分析）和象征法，加深對定級對象的認識，通過仿真建模等分析技術進行定級合理性的驗證。在等級測評過程可以引入風險分析、威脅評價、系統(tǒng)分析等過程加強測評結果的可量化性。同時研究國外相關信息安全建設中的法律體系、標準體系、組織保障體系等，并在此基礎上進行自主創(chuàng)新，以改進我們等級保護實踐中發(fā)展的制度設計問題，提高政策、理論和技術水平。

5 結束語

當前信息技術發(fā)展迅速，信息安全面臨的國際形勢日益嚴峻，信息安全等級保護作為貫穿信息系統(tǒng)整個生命周期的信息安全保障措施，應當不斷完善其法律體系、技術標準體系以及實施保障機制等，以適應滿足新形勢下的信息安全需求。

參考文獻

[1] 《信息安全等級保護管理辦法》（公通字[2007] 43 號）.公安部，2007.

[2] 《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859）.

[3] DoD ，Trusted Computer System Evaluation Criteria（Orange Book）， 26 December 1985.

[4] Information Technology Security Evaluation Criteria；1994.

[5] The Canadian Trusted Computer Product Evaluation Criteria；Version 3 ；1993.

[6] Common Criteria Project Sponsoring Organisations. Common Criteria for Information Security Evaluation Part 1-3， Version2.1. Augest 1999.

[7] ISO/IEC 15408-1：2005 Information technology ―― Security techniques ―― Evaluation criteria for IT security.

[8] 國務院.《中華人民共和國計算機信息系統(tǒng)安全保護條例》. 1994.

[9] 公安部、國家保密局、國家密碼管理委員會和國家信息辦.《信息安全等級保護的實施意見》（公信安[2007] 861 號）. 2007.

[10] 宋言偉，馬欽德，張健.信息安全等級保護政策和標準體系綜述.信息通信技術，2010（6）：59-61.