信息安全等級保護解決方案精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的信息安全等級保護解決方案主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：信息安全等級保護解決方案范文

總的來講，我們目前對信息系統(tǒng)的安全保障工作處在初級階段，主要表現(xiàn)在信息系統(tǒng)安全建設(shè)和管理的目標(biāo)不明確，信息安全保障工作的重點不突出，信息安全監(jiān)管體系尚待完善。為了實施信息系統(tǒng)的安全保護，我國制定頒布了《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》(GB17859-1999)和《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則》(GB/T18336-2001)等基本標(biāo)準(zhǔn)，隨后又制定了一系列相關(guān)的國家標(biāo)準(zhǔn)，對信息等級保護工作的定級、建設(shè)、測評、安全管理等進行規(guī)范。信息安全等級保護制度一個很重要的思想就是對各領(lǐng)域的重要信息系統(tǒng)依照其對國家的重要程度進行分類分級，針對不同的安全等級采取不同的保護措施，以此來指導(dǎo)不同領(lǐng)域的信息安全工作[1]。99年頒布的《等級劃分準(zhǔn)則》對計算機信息系統(tǒng)安全保護能力劃分了五個等級[2]，保護能力隨著安全保護等級的增高，逐漸增強。第一級為用戶自主保護級。使用戶具備自主安全保護的能力。第二級為系統(tǒng)審計保護級。在繼承前面安全級別安全功能的基礎(chǔ)上，需要創(chuàng)建和維護訪問的審計跟蹤記錄。第三級為安全標(biāo)記保護級。在繼承前面安全級別安全功能的基礎(chǔ)上，要求依據(jù)訪問安全級別限制訪問權(quán)限。第四級為結(jié)構(gòu)化保護級。繼承前面安全級別安全功能的基礎(chǔ)上，劃分安全保護機制為兩部分，關(guān)鍵部分和非關(guān)鍵部分，對關(guān)鍵部分訪問者直接控制訪問對象的存取。第五級為訪問驗證保護級。按要求增設(shè)訪問驗證的功能，負(fù)責(zé)訪問者對所有訪問對象的訪問活動進行仲裁。

2．企業(yè)信息安全等級保護的實施流程

在實施企業(yè)信息安全等級保護流程時，主要得工作可以分為信息系統(tǒng)定級、規(guī)劃與設(shè)計和實施、等級評估與改進三個主要的階段。

2.1信息系統(tǒng)定級

系統(tǒng)定級是根據(jù)整個系統(tǒng)要求達(dá)到的防護水平，確定信息系統(tǒng)和各個子系統(tǒng)的安全防護等級。需要由專業(yè)人員評估企業(yè)的信息系統(tǒng)、各種軟硬件設(shè)備及企業(yè)業(yè)務(wù)支撐的各個環(huán)節(jié)，根據(jù)其重要性和復(fù)雜性劃分為各個子系統(tǒng)，描述子系統(tǒng)的組成和邊界，以此確定總系統(tǒng)和子系統(tǒng)的安全等級。2.2安全規(guī)劃和設(shè)計安全規(guī)劃和設(shè)計是根據(jù)系統(tǒng)定級的結(jié)果，對信息系統(tǒng)及其子系統(tǒng)制定全套的安全防護解決方案，并根據(jù)方案選取相應(yīng)的軟、硬件防護產(chǎn)品進行具體實施的階段，這個階段的工作主要可以歸納為以下三個方面的內(nèi)容：

2.2.1系統(tǒng)對象的分類劃分及相應(yīng)保護框架的確立。

企業(yè)需要對信息系統(tǒng)進行保護對象進行分類和劃分，建立起一個企業(yè)信息系統(tǒng)保護的框架，根據(jù)系統(tǒng)功能的差異和安全要求不同對系統(tǒng)進行分域、分級防護。

2.2.2選擇安全措施并根據(jù)需要進行調(diào)整。

在確定了企業(yè)信息系統(tǒng)及各個子系統(tǒng)的安全等級以后，根據(jù)需要選擇相應(yīng)的等級安全要求。根據(jù)對系統(tǒng)評估的結(jié)果，確定出主系統(tǒng)、子系統(tǒng)和各保護對象的安全措施，并根據(jù)項目實施過程中的需要進行適當(dāng)?shù)恼{(diào)整。

2.2.3安全措施規(guī)劃和安全方案實施。

確定需要的安全措施以后，定制相應(yīng)安全解決方案和運維管理方案，以此為依據(jù)采購必要的安全保護軟、硬件及安全服務(wù)。

2.3實施、等級評估和改進[4]

依照此前確定的安全措施和解決方案，在企業(yè)中進行方案實施。實施完畢之后，對照“信息安全等級保護”相關(guān)標(biāo)準(zhǔn)，評估所部署的方案是否達(dá)到了預(yù)想的防護要求,如果評估未能通過,則需對部分安全方案進行改進后再進行評估,直至符合等級保護要求。

3.企業(yè)信息安全等級保護體系的主要內(nèi)容

3.1安全體系設(shè)計的原則及設(shè)計目標(biāo)

信息系統(tǒng)安全體系的設(shè)計需要按照合規(guī)可行、全局均衡、體系化和動態(tài)發(fā)展原則，達(dá)到并實現(xiàn)“政策合規(guī)、資源可控、數(shù)據(jù)可信、持續(xù)發(fā)展”的生存管理與安全運維目的。系統(tǒng)安全等級保護體系的技術(shù)指標(biāo),可以分為信息技術(shù)測評指標(biāo)和非信息技術(shù)測評指標(biāo)兩類。所以整個安全等級保護體系應(yīng)包含基本技術(shù)措施和基本管理措施兩個組成部分。

3.2基本技術(shù)措施

3.2.1物理安全

物理安全是信息系統(tǒng)安全的基礎(chǔ)，物理安全主要內(nèi)容包括環(huán)境安全（防火、防水、防雷擊等）、設(shè)備和介質(zhì)的防盜竊、防破壞等方面。

3.2.2網(wǎng)絡(luò)安全

網(wǎng)絡(luò)是若干網(wǎng)絡(luò)設(shè)備組成的可用于數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)環(huán)境，是信息系統(tǒng)安全運行的基礎(chǔ)設(shè)施。對于內(nèi)網(wǎng)未通過準(zhǔn)許聯(lián)到外網(wǎng)的行為，可以使用終端安全管理系統(tǒng)來檢測。對登錄網(wǎng)絡(luò)設(shè)備和服務(wù)器的用戶進行基本的身份識別，使網(wǎng)絡(luò)最基本具備基本的防護能力。[5]

3.2.3主機安全

主機安全主要是指服務(wù)器和終端系統(tǒng)層面的安全風(fēng)險。主機的安全風(fēng)險主要包括兩個方面：一是操作系統(tǒng)的脆弱性，二是來自系統(tǒng)配置管理和使用過程?？梢酝ㄟ^建立一套完善安全審計系統(tǒng)實現(xiàn)系統(tǒng)層、網(wǎng)絡(luò)層以及應(yīng)用層的安全審計。

3.2.4應(yīng)用系統(tǒng)安全

應(yīng)用系統(tǒng)是提供給用戶真正可使用的功能，是以物理層、網(wǎng)絡(luò)層和主機層為基礎(chǔ)的，是用戶與系統(tǒng)底層的接口。應(yīng)用安全首先要考慮身份驗證、通訊加密、信息保護和抗抵賴性等安全風(fēng)險，對應(yīng)用系統(tǒng)方面應(yīng)關(guān)注系統(tǒng)資源控制、應(yīng)用代碼安全、系統(tǒng)安全審計和系統(tǒng)容錯等內(nèi)容，一般需要通過安全審計系統(tǒng)和專業(yè)的安全服務(wù)來實現(xiàn)。

3.2.5數(shù)據(jù)安全

數(shù)據(jù)是指用戶真正的數(shù)據(jù)，信息系統(tǒng)數(shù)據(jù)安全所面臨的主要風(fēng)險包括：數(shù)據(jù)遭到盜竊；數(shù)據(jù)被惡意刪除或篡改。在考慮數(shù)據(jù)安全方案時，除了使用從物理層到應(yīng)用層的各種層次的安全產(chǎn)品，更重要的是考慮對數(shù)據(jù)的實時備份。目前主要使用數(shù)據(jù)庫技術(shù)來保證數(shù)據(jù)私密性和完整性，制定好數(shù)據(jù)存儲與備份方案，來完成日常的數(shù)據(jù)備份與恢復(fù)。這部分工作可以考慮引入專業(yè)安全服務(wù)。

3.3基本管理措施

3.3.1安全管理制度

安全管理制度的制定、、審核和修訂等工作，需要在信息安全領(lǐng)導(dǎo)小組的統(tǒng)籌下，按照安全工作的總體方案，根據(jù)系統(tǒng)應(yīng)用安全的實際情況，組織相關(guān)人員進行，并進行定期的審核和修訂。

3.3.2安全管理機構(gòu)

要根據(jù)要求建立專門的安全職能部門，配置專門的安全管理人員，并對安全管理人員進行日常活動的監(jiān)督指導(dǎo)。同時要對安全職能部門進行全面的設(shè)計，內(nèi)容包括的人員和崗位的配置、日常工作流程、與其他部門的溝通和合作、系統(tǒng)安全的審核和檢查等方面。

3.3.3人員安全管理

人員的入職、離職、績效考核、業(yè)務(wù)培訓(xùn)等環(huán)節(jié)都要考慮安全因素。對第三方人員管理上也要考慮安全風(fēng)險。

3.3.4系統(tǒng)建設(shè)過程管理

要在系統(tǒng)建設(shè)的各個階段貫徹系統(tǒng)安全等級保護體系的思想和內(nèi)容。主要是對系統(tǒng)建設(shè)從方案設(shè)計、采購、開發(fā)、實施、測試驗收、交付到系統(tǒng)備案、安全測評等環(huán)節(jié)進行全流程的監(jiān)控，對所有涉及安全保護的方面提出具體要求。

3.3.5系統(tǒng)運行和維護管理

信息系統(tǒng)運維安全管理涉包括日常管理、安全事件處置、應(yīng)急預(yù)案管理和安管中心等幾方面內(nèi)容，可以是內(nèi)部人員管理維護，也可以根據(jù)需要采用內(nèi)部人員和專業(yè)安全廠商相結(jié)合的方式。

4.總結(jié)

第2篇：信息安全等級保護解決方案范文

從軟件的應(yīng)用領(lǐng)域來看，行業(yè)應(yīng)用軟件尤其是制造、能源、流通、金融等行業(yè)信息化的升級拉動了應(yīng)用的升級，而應(yīng)用的拓展又直接推動了信息安全產(chǎn)品需求的快速增長，嵌入式軟件在從平臺件到中間件的應(yīng)用產(chǎn)業(yè)鏈逐步完善，已然蔚為大觀。

2007年，中國軟件產(chǎn)品市場規(guī)模達(dá)到738.84億元，同比增長17.9％，與2006年增長速度基本持平，中國軟件市場處于平穩(wěn)增長階段。未來5年中國軟件市場將保持16.2％的年均復(fù)合增長率，預(yù)計到2012年中國軟件市場將形成超過1500億元的規(guī)模。在我看來，2008年軟體與服務(wù)市場將出現(xiàn)五大走勢。

SaaS將成為中小企業(yè)IT解決方案應(yīng)用主要途徑。在傳統(tǒng)的產(chǎn)品模式中，軟件產(chǎn)品交付給客戶后在客戶內(nèi)部的IT系統(tǒng)中進行安裝、實施、運營及維護；而在SaaS模式下，軟件以托管的方式由SaaS服務(wù)提供商運營維護，客戶通過Internet租賃并遠(yuǎn)程使用軟件，通常按訂購的功能模塊、Licence數(shù)量和時間長短向廠商支付租賃費用。軟件以及軟件賴以運行的IT基礎(chǔ)設(shè)施的所有權(quán)屬于SaaS服務(wù)提供商，客戶僅在租賃的期間內(nèi)擁有使用權(quán)。SaaS模式正好切合了中小企業(yè)IT應(yīng)用靈活、投入低、快速變化等特點，成為未來中小企業(yè)IT解決方案應(yīng)用的主要途徑。

績效評估將成為企業(yè)用戶IT系統(tǒng)及服務(wù)投資的關(guān)注重點。在中國信息化建設(shè)的20年中，大部分企業(yè)已經(jīng)認(rèn)識到IT的價值并逐步部署了信息化設(shè)施，目前如何清晰的呈現(xiàn)IT為業(yè)務(wù)帶來的價值成為用戶關(guān)注的重點，這也是用戶消費更加理性、市場發(fā)展更加成熟的一個表現(xiàn)。競爭的壓力及環(huán)境的快速變化使得用戶對成本更加敏感，在這樣一種背景下，用戶與IT提供商的關(guān)系也逐漸的從供需關(guān)系轉(zhuǎn)變?yōu)榛锇殛P(guān)系，在提供的內(nèi)容上，產(chǎn)品的重要性逐漸下降，而包括規(guī)劃咨詢、流程梳理、培訓(xùn)等的服務(wù)重要性迅速提升。

統(tǒng)一通信推動解決方案的整合和廠商的聯(lián)盟。當(dāng)我們通過不斷的投資積累起一個龐大的由網(wǎng)絡(luò)、硬件、軟件、IT服務(wù)構(gòu)成的信息化系統(tǒng)，我們就會開始關(guān)注如何發(fā)揮這些組件的整體協(xié)同優(yōu)勢，產(chǎn)品及解決方案的整合成為必然，而在不同領(lǐng)域具有各自專業(yè)性的廠商也就必然要聯(lián)盟，似乎一切都是必然，那么SOA以及標(biāo)準(zhǔn)將為這種“必然”加速。在統(tǒng)一通信藍(lán)圖中，硬件是基礎(chǔ)，軟件及服務(wù)將在其中起到關(guān)鍵性的作用，因此有關(guān)統(tǒng)一通信的競爭與合作一定有軟件及服務(wù)商參與。

通過并購為用戶提供整體解決方案。并購是已經(jīng)延續(xù)幾年的熱點話題，但這毫不影響它繼續(xù)成為熱點話題。我們看到了Oracle、微軟、SAP、IBH等不斷的收購。專業(yè)的軟件廠商，如BI、CAD、PLM等等，或者通過滿足用戶“細(xì)節(jié)專業(yè)管理”的需求存活，或者與綜合性廠商緊密合作為客戶提供整體解決方案，也處于被并購的可能性中。

第3篇：信息安全等級保護解決方案范文

東軟集團副總裁兼安全業(yè)務(wù)線總經(jīng)理賈彥生告訴記者,重新梳理過的信息安全架構(gòu)包括三個層次:專業(yè)級服務(wù)、方案級服務(wù)和產(chǎn)品級服務(wù)。

其中,專業(yè)信息安全服務(wù)包括風(fēng)險評估、等保服務(wù)、滲透測試、安全加固、應(yīng)急響應(yīng)、現(xiàn)場值守、認(rèn)證培訓(xùn)和通告預(yù)警服務(wù)等,這是東軟作為信息安全專家顧問為用戶提供的信息安全服務(wù)。例如,在信息安全風(fēng)險評估方面,東軟是信息安全風(fēng)險評估國家標(biāo)準(zhǔn)的制定者之一,長期以來一直在開展這方面的工作。通過信息安全風(fēng)險評估,用戶能夠客觀真實地了解自身信息系統(tǒng)的安全現(xiàn)狀,合理規(guī)劃安全建設(shè),提高運維效率,避免投資浪費。在等級保護方面,東軟是信息安全等級保護的倡導(dǎo)者,能夠協(xié)助用戶更好地了解和把握國家最新等級保護政策動態(tài),評估現(xiàn)有安全措施與相關(guān)定級要求的合規(guī)程度,合理引導(dǎo)用戶制定后續(xù)的落實及改善策略,在合規(guī)基礎(chǔ)上實現(xiàn)高效。安全加固服務(wù)是指東軟參照國際權(quán)威的信息系統(tǒng)安全配置指南,結(jié)合用戶業(yè)務(wù)系統(tǒng)的實際安全需求,提供量身定制的安全加固及配置優(yōu)化服務(wù),搭建起一套良好的動態(tài)安全保障基線。

解決方案服務(wù)主要是針對行業(yè)大型用戶應(yīng)用系統(tǒng)整體安全需求進行方案咨詢、安全集成、系統(tǒng)調(diào)優(yōu)和服務(wù)外包等服務(wù)。這類服務(wù)更加注重操作層面。

信息安全產(chǎn)品服務(wù)主要體現(xiàn)在產(chǎn)品的定制與開發(fā)、測試與租賃、安裝與維修、升級與更新、技術(shù)與培訓(xùn)、巡檢與回訪等幾個方面。

第4篇：信息安全等級保護解決方案范文

關(guān)鍵詞：漏洞；檢測；計算機信息系統(tǒng)安全

中圖分類號：G203

基于全面的掃描檢測，計算機信息安全管理工作者可以直觀的了解系統(tǒng)內(nèi)的安全配置和運行的應(yīng)用服務(wù)，及時發(fā)現(xiàn)安全漏洞，客觀評估網(wǎng)站風(fēng)險等級。此外，由于計算機信息安全系統(tǒng)問題是綜合性、多元化的問題，包括系統(tǒng)安全、數(shù)據(jù)安全等。全方位解決網(wǎng)站漏洞問題，需要完善的管理機制與技術(shù)保障。

1 信息系統(tǒng)安全等級保護概述

信息安全等級保護是對信息和信息載體按照重要性等級分級別進行保護的一種工作，在中國、美國等很多國家都存在的一種信息安全領(lǐng)域的工作。信息系統(tǒng)安全漏洞指計算機系統(tǒng)存在可以利用的一個缺陷或者一個弱點，它能破壞計算機信息安全系統(tǒng)，威脅系統(tǒng)正常運營。據(jù)統(tǒng)計，有超過80%的計算機信息安全系統(tǒng)存在網(wǎng)站安全漏洞，嚴(yán)重威脅計算機信息系統(tǒng)內(nèi)部重要信息的保密。信息系統(tǒng)安全檢測是一項為了防止計算機信息安全系統(tǒng)被非法入侵，對Web網(wǎng)站進行的授權(quán)漏洞檢測和安全防御工作。通過對系統(tǒng)內(nèi)部的各種漏洞進行有效檢測，將很大程度上確保網(wǎng)站的安全運行。

2 計算機信息系統(tǒng)安全工作重要性

信息安全等級保護工作包括定級、備案、安全建設(shè)和整改、信息安全等級測評、信息安全檢查五個階段，作為公安部授權(quán)的第三方測評機構(gòu)，為企事業(yè)單位提供免費專業(yè)的信息安全等級測評咨詢服務(wù)。信息系統(tǒng)安全等級測評是驗證信息系統(tǒng)是否滿足相應(yīng)安全保護等級的評估過程。信息安全等級保護要求不同安全等級的信息系統(tǒng)應(yīng)具有不同的安全保護能力，一方面通過在安全技術(shù)和安全管理上選用與安全等級相適應(yīng)的安全控制來實現(xiàn)；另一方面分布在信息系統(tǒng)中的安全技術(shù)和安全管理上不同的安全控制，通過連接、交互、依賴、協(xié)調(diào)、協(xié)同等相互關(guān)聯(lián)關(guān)系，共同作用于信息系統(tǒng)的安全功能，使信息系統(tǒng)的整體安全功能與信息系統(tǒng)的結(jié)構(gòu)以及安全控制間、層面間和區(qū)域間的相互關(guān)聯(lián)關(guān)系密切相關(guān)。因此，信息系統(tǒng)安全等級測評在安全控制測評的基礎(chǔ)上，還要包括系統(tǒng)整體測評。

計算機在日趨進步的現(xiàn)代化生活中，愈來愈占據(jù)著日常生活和工作中不可或缺的地位。計算機系統(tǒng)內(nèi)部的數(shù)據(jù)也顯得尤為重要。加強信息系統(tǒng)安全工作這一內(nèi)容不可忽視。除了外部網(wǎng)絡(luò)環(huán)境中各類病毒、黑客等不安全因素可以對計算機系統(tǒng)內(nèi)部做出干擾和破壞，內(nèi)部維護和使用人員在工作中的操作不當(dāng)和不規(guī)范使用，同樣可以導(dǎo)致計算機系統(tǒng)內(nèi)部數(shù)據(jù)的混亂和丟失。諸如這類或那樣的問題，計算機系統(tǒng)不能正常運行會嚴(yán)重影響人們的生活和工作，為人們帶來不便。反之，加強對計算機信息系統(tǒng)安全的保護工作可以更好的方便人們的工作和生活，將人們生活和工作質(zhì)量提上更高的一層。

3 計算機信息系統(tǒng)防護策略

（1）強化信息系統(tǒng)管理，明確安全管理范圍和任務(wù)，確保信息持續(xù)、穩(wěn)定、可靠運行和確保信息內(nèi)容的機密性、完整性、可用性；

（2）全面落實上級公司下發(fā)的各項方案要求，實行信息內(nèi)外網(wǎng)完全隔離，杜絕一機兩用，確保內(nèi)外網(wǎng)出口安全；

（3）建立信息安全管理職責(zé)和管理措施，加強信息系統(tǒng)運行全過程管理，提高全員信息系統(tǒng)安全意識；

（4）設(shè)置防止非法進入及越權(quán)訪問的安全機制，防止網(wǎng)絡(luò)黑客利用網(wǎng)絡(luò)設(shè)備和協(xié)議的安全漏洞進行網(wǎng)絡(luò)攻擊和信息竊??；

（5）對公司內(nèi)部重要和敏感信息實行加密傳輸和存儲，對門戶網(wǎng)站頁面建立防護機制和措施，確保信息系統(tǒng)安全管理；

（6）進一步統(tǒng)一思想、提高認(rèn)識、狠抓落實，全面推進現(xiàn)場標(biāo)準(zhǔn)化作業(yè)，夯實安全生產(chǎn)管理基礎(chǔ)；

（7）是認(rèn)真開展定期和不定期網(wǎng)絡(luò)安全檢查工作，加強安全生產(chǎn)管理，做到責(zé)任落實、措施有力、監(jiān)督到位；

（8）加強電網(wǎng)運行監(jiān)控，對重載、重要設(shè)備和老舊設(shè)備設(shè)施、重點部位進行紅外線測溫工作，及時消除隱患缺陷，確保電網(wǎng)安全穩(wěn)定運行；

（9）建立安全管理制度體系。制定《網(wǎng)絡(luò)管理制度》、《網(wǎng)絡(luò)與信息安全管理制度》、《計算機內(nèi)外網(wǎng)管理規(guī)定》等一整套計算機管理制度和規(guī)定，工作中嚴(yán)格執(zhí)行，形成了計算機網(wǎng)絡(luò)安全的制度保障；

（10）抽調(diào)公司業(yè)務(wù)骨干，組建網(wǎng)絡(luò)與安全工作小組，負(fù)責(zé)公司所有計算機的管理，明確各部門負(fù)責(zé)人是網(wǎng)絡(luò)安全管理第一責(zé)任人，并對重要的或的崗位簽定《保密工作責(zé)任書》；

（11）對公司每臺計算機都安裝了包括防火墻、入侵檢測、漏洞掃描、殺毒軟件等防病毒系統(tǒng)，軟件及時升級，要求公司干部增強病毒防范意識，定期檢測和殺毒；

（12）對能上外網(wǎng)的部室上互聯(lián)網(wǎng)的計算機只設(shè)一個獨立IP，與內(nèi)網(wǎng)進行絕對物理隔離；

（13）實行數(shù)據(jù)本地備份機制和異地容災(zāi)備份，確保各類數(shù)據(jù)安全。

4 計算器信息系統(tǒng)安全工作其他建議

4.1 強化計算機信息系統(tǒng)安全意識：由專業(yè)技術(shù)人員進行安全維護

由于部分計算機系統(tǒng)是交予外包開發(fā)，而計算機系統(tǒng)程序的開發(fā)人員不具備豐富的安全編程經(jīng)驗，極易造成漏洞產(chǎn)生。

4.2 定期進行計算機信息系統(tǒng)安全檢測

通過國內(nèi)最全的計算機系統(tǒng)漏洞檢測庫，強大的蜜罐集群檢測系統(tǒng)，第一時間為高危漏洞提供修復(fù)建議以及完整的解決方案。

4.3 實時監(jiān)控計算機信息系統(tǒng)安全狀況

目前越來越多的黑客利用計算機系統(tǒng)自身存在的安全漏洞進入站點進行掛碼等操作，甚至破壞、篡改、刪除站內(nèi)文件。對計算機系統(tǒng)，特別是盈利企業(yè)的正常運營帶來了極大的影響。在此推薦運用計算機信息系統(tǒng)安全漏洞檢測工具，利用它們，我們可以提前發(fā)現(xiàn)計算機系統(tǒng)存在的安全漏洞，并進行針對性操作以避免由此帶來的計算機信息系統(tǒng)安全隱患。對于進行過計算機系統(tǒng)優(yōu)化操作的站點來講，計算機系統(tǒng)掛馬有可能影響計算機系統(tǒng)打開速度、內(nèi)容以及功能結(jié)構(gòu)。這些都是影響計算機系統(tǒng)排名的重要因素，計算機系統(tǒng)因此被K也不無可能。

5 結(jié)束語

計算機安全系統(tǒng)一旦被掛馬，將會在各種搜索引擎的結(jié)果中被攔截，客戶桌面客戶端的殺毒軟件會阻斷用戶訪問并報警，將會導(dǎo)致網(wǎng)站訪問量急劇下滑及用戶數(shù)據(jù)被竊取的后果。網(wǎng)站設(shè)計者在設(shè)計網(wǎng)站時，一般將大多數(shù)精力都花在考慮滿足用戶應(yīng)用，如何實現(xiàn)業(yè)務(wù)等方面，而很少考慮網(wǎng)站開發(fā)過程中所存在的安全漏洞，這些漏洞在不關(guān)注信息系統(tǒng)安全的用戶眼里幾乎不可見，在正常的網(wǎng)站訪問過程中，這些漏洞也不會被察覺。但對于別有用心的攻擊者而言，這些漏洞很可能會對計算機系統(tǒng)帶來致使的傷害。

新興技術(shù)應(yīng)用范圍日益拓展，網(wǎng)絡(luò)犯罪技術(shù)方式不斷革新，網(wǎng)絡(luò)安全損失日趨嚴(yán)重，計算機信息系統(tǒng)安全威脅將持續(xù)加大。因此，在未來勢必要完善信息安全策略，加強對網(wǎng)絡(luò)安全技術(shù)研發(fā)和人員培養(yǎng)來確保系統(tǒng)安全。

參考文獻(xiàn)：

[1]龔奕.計算機網(wǎng)絡(luò)安全問題和對策研究[J].軟件導(dǎo)刊，2009（02）.

[2]劉陽.淺談計算機網(wǎng)絡(luò)安全問題[J].科教文匯（下旬刊），2009（02）.

[3]周.計算機網(wǎng)絡(luò)安全的防范策略分析[J].電腦知識與技術(shù)，2009（05）.

[4]盧鵬.計算機網(wǎng)絡(luò)安全及其防護策略探析[J].硅谷，2009（12）.

第5篇：信息安全等級保護解決方案范文

【 關(guān)鍵詞 】 椒圖科技；JHSE；安全操作系統(tǒng)；主機安全環(huán)境；操作系統(tǒng)安全子系統(tǒng)（SSOOS）

JOWTO JHSE Established three-class Security Enviroment

Li Ke

（JOWTO Technology company limited GuangdongShenzhen 518057）

【 Abstract 】 Acting as a load-bearing platform for key business applications and important information data, the server operating system is at the core of information security guarantee system. Being different from those security products which have been cognized by the people, JOWTO Host Security Environment System (JHSE) is developed by JOWTO based on multiple national patents of invention and more than 200 brand-new technologies. It is intended to upgrade the security class of the existing server operating system in a dynamic and transparent manner by reconstructing the security subsystem of operating system (SSOOS). The installation and use of JHSE will unlikely affect the service logic and continuity of the original applications, and even does not need to restart the server. Therefore, it is a general purpose security operating system being applicable to various public service sectors such as finance, telecommunication, customs and tax administration.

【 Keywords 】 JOWTO;JHSE;security operating system;host security environment; security subsystem of operating system（SSOOS）

0 引言

椒圖主機安全環(huán)境系統(tǒng)(簡稱：椒圖科技JHSE）擁有多項國家發(fā)明專利和200多項全新技術(shù)，與傳統(tǒng)安全加固產(chǎn)品只能滿足部分系統(tǒng)層安全需求不同，JHSE完全滿足我國等級保護標(biāo)準(zhǔn)《GB/T20272-2006 信息安全技術(shù)-操作系統(tǒng)安全技術(shù)要求》對三級操作系統(tǒng)的要求，大幅地提升用戶信息系統(tǒng)的安全等級。JHSE通過對服務(wù)器操作系統(tǒng)的安全子系統(tǒng)（SSOOS）進行重構(gòu)和擴充，能夠?qū)F(xiàn)有操作系統(tǒng)的安全等級進行動態(tài)、透明地提升，是國內(nèi)首款通過國標(biāo)三級檢測的通用型安全操作系統(tǒng)，填補了我國信息安全領(lǐng)域的一項空白。

椒圖科技JHSE擁有三大安全模型、八項關(guān)鍵技術(shù)及九大核心安全功能，通過對服務(wù)器操作系統(tǒng)的安全子系統(tǒng)進行重構(gòu)和擴充，建立起多維度的安全防護體系，徹底免疫惡意代碼執(zhí)行、越權(quán)訪問、數(shù)據(jù)泄露、破壞數(shù)據(jù)完整性等攻擊行為，為用戶信息系統(tǒng)正常、高效運行保駕護航。

1 三大模型構(gòu)筑安全屏障

根據(jù)國家標(biāo)準(zhǔn)《GB/T20272-2006 信息安全技術(shù)-操作系統(tǒng)安全技術(shù)要求》（簡稱“操作系統(tǒng)安全國標(biāo)”）的等級劃分標(biāo)準(zhǔn)，目前普遍采用的商業(yè)服務(wù)器操作系統(tǒng)如AIX、HP-UX、Solaris、Windows Server、Linux Server等僅達(dá)到第二級系統(tǒng)審計保護級的部分技術(shù)要求，其特點是超級用戶權(quán)力過于集中，并且權(quán)限可以自主地轉(zhuǎn)授，一旦超級用戶賬號被盜竊或者系統(tǒng)中某個應(yīng)用被入侵，將可能導(dǎo)致其他應(yīng)用無法正常運行，甚至給操作系統(tǒng)帶來毀壞。為此，椒圖科技在JHSE產(chǎn)品中設(shè)立了增強型DTE、RBAC、BLP三種訪問控制安全模型，利用DTE生成安全域，并將RBAC模型植入每個安全域，實現(xiàn)資源的動態(tài)隔離和強制訪問控制，增強型BLP的應(yīng)用則確保了數(shù)據(jù)流向的精準(zhǔn)控制。通過三種安全模型相輔相成地協(xié)同運作，使系統(tǒng)本身及其內(nèi)部的業(yè)務(wù)應(yīng)用更加“健壯”。

JHSE提供的DTE可以在系統(tǒng)內(nèi)部構(gòu)建多個虛擬安全域，與傳統(tǒng)DTE不同，增強型DTE能夠同時分配主體和客戶，使不同域內(nèi)的主客體訪問達(dá)到多對多的訪問關(guān)系，解決現(xiàn)有DTE模型存在的安全目標(biāo)不準(zhǔn)確、系統(tǒng)的安全性難以控制等問題。通過配置嚴(yán)格的隔離策略，阻止安全域內(nèi)、外部主體對客體的越權(quán)訪問，從而實現(xiàn)保密性、完整性、最小特權(quán)等安全保護。

RBAC模型是基于角色的訪問控制（Role-Based Access Control），在RBAC中，權(quán)限與角色相關(guān)聯(lián)，用戶通過成為適當(dāng)角色成員而得到這些角色的權(quán)限。增強型RBAC模型支持細(xì)粒度的配置，主體包括用戶、進程、IP等，客體為文件、端口、進程、服務(wù)、網(wǎng)絡(luò)共享、磁盤及注冊表（僅Windows），主體與客體通過訪問策略建立關(guān)系。

BLP模型的基本安全策略是“上讀下寫”，高安全級別主體對低級別客體具有“讀”權(quán)限，低安全級別主體則對高級別客體擁有“寫”權(quán)限，同級別主客體間可讀寫，“上讀下寫”的安全策略保證了數(shù)據(jù)流向中的所有數(shù)據(jù)只能按照安全級別從低到高的流向流動，從而保證了敏感數(shù)據(jù)不泄露。增強型BLP模型更注重對讀和寫的權(quán)限進行細(xì)粒度地控制，讀權(quán)限包括讀數(shù)據(jù)、讀ACL等，寫權(quán)限包括寫數(shù)據(jù)、追加寫、寫ACL等。

正是憑借著增強型DTE、RBAC、BLP三種模型的高效應(yīng)用以及模型間的相互支撐、制約，JHSE才能在服務(wù)器操作系統(tǒng)上構(gòu)筑堅固的安全屏障，使系統(tǒng)能夠免疫病毒、木馬等惡意軟件及黑客的攻擊，確保系統(tǒng)中信息和系統(tǒng)自身的安全性，為操作系統(tǒng)的保密性、完整性、可用性及可靠性提供重要支撐。

2 八項關(guān)鍵技術(shù)聯(lián)動防御

JHSE通過雙重身份認(rèn)證、三權(quán)分立、可視化虛擬安全域等八項關(guān)鍵技術(shù)的聯(lián)動防御，可以支撐服務(wù)器操作系統(tǒng)高效運行。在黑客攻擊技術(shù)飛速發(fā)展和攻擊方式日益多樣的今天，系統(tǒng)管理員賬號、密碼被盜竊的情況頻頻發(fā)生。為此，JHSE采用了USB-Key和密碼雙重身份認(rèn)證，為系統(tǒng)增加了“兩把鎖”。其中，USB-Key是一個硬件設(shè)備，由管理員直接掌控，是無法通過入侵、滲透等技術(shù)手段獲取的。在系統(tǒng)資源控制方面，JHSE設(shè)立了系統(tǒng)管理員、安全管理員、審計管理員三個角色，通過管理員之間的相互獨立、監(jiān)督和制約，實現(xiàn)“三權(quán)分立”的管理機制，最大限度地確保系統(tǒng)安全。

JHSE使用了自主研發(fā)的可視化虛擬安全域技術(shù)（ASVE），在現(xiàn)有操作系統(tǒng)中創(chuàng)建多個虛擬空間（即“安全域”），每個安全域內(nèi)均具備增強型RBAC安全機制，從而實現(xiàn)用戶與用戶、應(yīng)用與應(yīng)用之間的隔離?；诳梢暬摂M安全域技術(shù)構(gòu)建的安全功能及應(yīng)用對原有應(yīng)用來說是完全透明的，不會對原有的業(yè)務(wù)邏輯產(chǎn)生改變，從而實現(xiàn)業(yè)務(wù)應(yīng)用連續(xù)性與信息安全的“兼得”。

在用戶數(shù)據(jù)保護方面，椒圖科技JHSE采用的增強型DTE、RBAC、BLP技術(shù)，使出入安全域的主體權(quán)限最小化，并有效控制數(shù)據(jù)流，通過對安全子系統(tǒng)的重構(gòu)和擴充，增加數(shù)據(jù)的安全屬性，可以有效防止數(shù)據(jù)泄露，保證了數(shù)據(jù)的保密性。同時，JHSE還可以對文件、賬戶、服務(wù)提供完整性保護，當(dāng)受保護對象出現(xiàn)增、刪、改等情況時，完整性檢查可報告修改日期和內(nèi)容，提供完整性還原操作，確保了用戶數(shù)據(jù)的完整性。在日志保護方面，JHSE采用了高可信時間戳技術(shù)，增強了日志抗抵賴的能力，確保了日志的完整性和可靠性。此外，JHSE還具備安全運行測試技術(shù)，可以對SSF安全模型（如增強型DTE等）、SFP功能、SSOOS完整性進行測試，確保系統(tǒng)正常運行。同時， JHSE還集成了動態(tài)拓?fù)渖杉夹g(shù)，使用戶能夠更方便地進行分組管理。安全運行測試技術(shù)和動態(tài)拓?fù)渖杉夹g(shù)的應(yīng)用，為JHSE產(chǎn)品和信息系統(tǒng)的正常、高效運行提供了“雙重籌碼”。

3 九大核心功能鑄造多維防護體系

目前等級保護工作已進入全面整改階段，對信息安全產(chǎn)品和服務(wù)有著強烈的需求。椒圖科技JHSE嚴(yán)格按照操作系統(tǒng)安全國標(biāo)的要求，強勢推出了雙重身份鑒別、安全審計、剩余信息保護等九大核心功能，在覆蓋原有加固產(chǎn)品功能的基礎(chǔ)上，大幅擴充安全防護內(nèi)容并細(xì)化防護粒度，構(gòu)建出更加全面的安全防護體系，使服務(wù)器操作系統(tǒng)達(dá)到三級安全標(biāo)準(zhǔn)。根據(jù)操作系統(tǒng)安全國標(biāo)對三級操作系統(tǒng)提出的八項硬性指標(biāo)，JHSE做了相應(yīng)的功能設(shè)計。

首先在身份鑒別上，JHSE采用USB-Key和用戶名密碼雙重身份認(rèn)證鑒別技術(shù)，管理員必須通過全部身份認(rèn)證后，才能對系統(tǒng)進行管理和維護。其次是敏感標(biāo)記方面，JHSE主、客體基于增強型RBAC角色訪問控制，并且遵循BLP的安全模型原則，標(biāo)記主體和客體相應(yīng)的權(quán)限，使數(shù)據(jù)的安全得到有效地保證。訪問控制方面，JHSE實行強制訪問控制，控制的客體范圍包括文件、進程等多種資源客體，主體包括用戶、進程及IP，實現(xiàn)了細(xì)粒度強制訪問控制。在剩余信息保護方面，JHSE提供了“剩余信息保護”模塊，避免用戶數(shù)據(jù)被惡意恢復(fù)，增強了數(shù)據(jù)的保密性。在入侵防范方面，JHSE通過入侵檢測策略管理、分析、響應(yīng)等環(huán)節(jié)，防范和阻止入侵、攻擊等行為。在惡意代碼防范方面，JHSE采用可視化安全域技術(shù)，遏制了惡意代碼的生存空間。在資源控制方面，JHSE采用了強制磁盤、內(nèi)存、外設(shè)等配額訪問控制的方式，對每個用戶的資源使用情況進行跟蹤和控制，避免由于磁盤空間、內(nèi)存、外設(shè)等資源使用失控造成的系統(tǒng)、應(yīng)用程序崩潰等問題。在安全審計方面，JHSE提供違規(guī)日志、系統(tǒng)日志、完整性檢測日志等全面的安全審計功能，有利于追溯威脅產(chǎn)生的原因，并聯(lián)動其他安全模塊全面提升防護水平。

JHSE設(shè)立了“報警工作站”安全模塊，一旦發(fā)生錯誤操作、入侵等行為，將自動觸發(fā)報警機制，并通過郵件、短信及時發(fā)送到報警工作站。JHSE通過雙重身份認(rèn)證、敏感標(biāo)記、強制訪問控制等功能的協(xié)同運作，構(gòu)建出多維度的安全防護體系，大幅提升操作系統(tǒng)的安全等級。

4 總結(jié)

隨著我國信息化建設(shè)的深入推進，信息安全在國民經(jīng)濟和社會發(fā)展中占據(jù)著越來越重要的位置，這就需要信息安全廠商加大對安全產(chǎn)品及技術(shù)創(chuàng)新的投入力度，為用戶提供更完善的信息安全產(chǎn)品及解決方案。椒圖科技JHSE的推出，填補了傳統(tǒng)信息安全解決方案在系統(tǒng)層面的安全短板。通過對安全子系統(tǒng)進行重構(gòu)和擴充，椒圖科技JHSE打造出通用型的三級安全操作系統(tǒng)，使用戶信息系統(tǒng)免疫病毒、木馬等惡意軟件及黑客的攻擊，并解決了操作系統(tǒng)補丁滯后性帶來的安全隱患，為服務(wù)器操作系統(tǒng)提供全方位的立體防護。

參考文獻(xiàn)

[1] 《GB/T20272-2006 信息安全技術(shù)――操作系統(tǒng)安全技術(shù)要求》.

[2] 《信息安全技術(shù)――信息系統(tǒng)安全等級保護基本要求》

（GB/T22239-2008）.

[3] 《信息安全技術(shù)――服務(wù)器安全技術(shù)要求》（GB/T21028-2007）.

第6篇：信息安全等級保護解決方案范文

【 關(guān)鍵詞 】 內(nèi)蒙古電力公司信息系統(tǒng)；信息安全；風(fēng)險評估；探索與思考

The Exploration and Inspiration of Risk Assessment on Information Systems

in Inner Mongolia Power （Group） Co.， Ltd.

Ao Wei 1 Zhuang Su-shuai 2

（1.Information Communication Branch of the Inner Mongolia Power （Group）Co.， Ltd Inner MongoliaHohhot 010020；

2.Beijing Certificate Authority Co.， Ltd Beijing 100080）

【 Abstract 】 Based on the conduct of information security risk assessment in Inner Mongolia Power （Group） Co. Ltd.， we analyzed the general methods of risk assessment on power information systems. Besides， we studied the techniques and overall process of risk assessment on power information systems in Inner Mongolia Power （Group） Co. Ltd.， whose exploration provides valuable inspiration to information security in electric power industry.

【 Keywords 】 information systems of Inner Mongolia Power （Group） Co.， Ltd.； information security； risk assessment； exploration and inspiration

1 引言

目前，電力行業(yè)信息安全的研究只停留于網(wǎng)絡(luò)安全防御框架與防御技術(shù)的應(yīng)用層面，缺少安全評估方法與模型研究。文獻(xiàn)[1]-[3]只初步分析了信息安全防護體系的構(gòu)架與策略，文獻(xiàn)[4]、[5]研究了由防火墻、VPN、PKI和防病毒等多種技術(shù)構(gòu)建的層次式信息安全防護體系。這些成果都局限于單純的信息安全保障技術(shù)的改進與應(yīng)用。少數(shù)文獻(xiàn)對電力信息安全評估模型進行了討論，但對于安全風(fēng)險評估模型的研究都不夠深入。文獻(xiàn)[6]、文獻(xiàn)[7]只定性指出了安全風(fēng)險分析需要考慮的內(nèi)容；文獻(xiàn)[8]討論了一種基于模糊數(shù)學(xué)的電力信息安全評估模型，這種模型本質(zhì)上依賴于專家的經(jīng)驗，帶有主觀性；文獻(xiàn)[9]只提出了一種電力信息系統(tǒng)安全設(shè)計的建模語言和定量化評估方法，但是并未對安全風(fēng)險的評估模型進行具體分析。

本文介紹了內(nèi)蒙古電力信息系統(tǒng)風(fēng)險評估的相關(guān)工作，并探討了內(nèi)蒙古電力信息系統(tǒng)風(fēng)險評估工作在推動行業(yè)信息安全保護方面帶給我們的啟示。

2 內(nèi)蒙古電力信息安全風(fēng)險評估工作

隨著電網(wǎng)規(guī)模的日益擴大，內(nèi)蒙古電力信息系統(tǒng)日益復(fù)雜，電網(wǎng)運行對信息系統(tǒng)的依賴性不斷增加，對電力系統(tǒng)信息安全的要求也越來越高。因此，在電力行業(yè)開展信息安全風(fēng)險評估工作，研究電力信息安全問題，顯得尤為必要。

根據(jù)國家關(guān)于信息安全的相關(guān)標(biāo)準(zhǔn)與政策，并根據(jù)實際業(yè)務(wù)情況，內(nèi)蒙古電力公司委托北京數(shù)字認(rèn)證股份有限公司（BJCA）對信息系統(tǒng)進行了有效的信息安全風(fēng)險評估工作。評估的內(nèi)容主要包括系統(tǒng)面臨的安全威脅與系統(tǒng)脆弱性兩個方面，以解決電力信息系統(tǒng)面臨的的安全風(fēng)險。

3 電力系統(tǒng)信息安全風(fēng)險評估的解決方案

通過對內(nèi)蒙古電力信息系統(tǒng)的風(fēng)險評估工作，我們可以總結(jié)出電力信息系統(tǒng)風(fēng)險評估的解決方案。

4 電力信息系統(tǒng)風(fēng)險評估的流程

電力信息系統(tǒng)風(fēng)險評估的一般流程。

（1） 前期準(zhǔn)備階段。本階段為風(fēng)險評估實施之前的必需準(zhǔn)備工作，包括對風(fēng)險評估進行規(guī)劃、確定評估團隊組成、明確風(fēng)險評估范圍、準(zhǔn)備調(diào)查資料等。

（2） 現(xiàn)場調(diào)查階段：實施人員對評估信息系統(tǒng)進行詳細(xì)調(diào)查，收集數(shù)據(jù)信息，包括信息系統(tǒng)資產(chǎn)組成、系統(tǒng)資產(chǎn)脆弱點、組織管理脆弱點、威脅因素等。

（3） 風(fēng)險分析階段：根據(jù)現(xiàn)場調(diào)查階段獲得的相關(guān)數(shù)據(jù)，選擇適當(dāng)?shù)姆治龇椒▽δ繕?biāo)信息系統(tǒng)的風(fēng)險狀況進行綜合分析。

（4） 策略制定階段：根據(jù)風(fēng)險分析結(jié)果，結(jié)合目標(biāo)信息系統(tǒng)的安全需求制定相應(yīng)的安全策略，包括安全管理策略、安全運行策略和安全體系規(guī)劃。

5 數(shù)據(jù)采集

在風(fēng)險評估實踐中經(jīng)常使用的數(shù)據(jù)采集方式主要有三類。

（1） 調(diào)查表格。根據(jù)一定的采集目的而專門設(shè)計的表格，根據(jù)調(diào)查內(nèi)容、調(diào)查對象、調(diào)查方式、工作計劃的安排而設(shè)計。常用的調(diào)查表有資產(chǎn)調(diào)查表、安全威脅調(diào)查表、安全需求調(diào)查表、安全策略調(diào)查表等。

（2） 技術(shù)分析工具。常用的是一些系統(tǒng)脆弱性分析工具。通過技術(shù)分析工具可以直接了解信息系統(tǒng)目前存在的安全隱患的脆弱性，并確認(rèn)已有安全技術(shù)措施是否發(fā)揮作用。

（3） 信息系統(tǒng)資料。風(fēng)險評估還需要通過查閱、分析、整理信息系統(tǒng)相關(guān)資料來收集相關(guān)資料。如：系統(tǒng)規(guī)劃資料、建設(shè)資料、運行記錄、事故處理記錄、升級記錄、管理制度等。

a） 分析方法

風(fēng)險評估的關(guān)鍵在于根據(jù)所收集的資料，采取一定的分析方法，得出信息系統(tǒng)安全風(fēng)險的結(jié)論，因此，分析方法的正確選擇是風(fēng)險評估的核心。

結(jié)合內(nèi)蒙電力信息系統(tǒng)風(fēng)險評估工作的實踐，我們認(rèn)為電力行業(yè)信息安全風(fēng)險分析的方法可以分為三類。

定量分析方法是指運用數(shù)量指標(biāo)來對風(fēng)險進行評估，在風(fēng)險評估與成本效益分析期間收集的各個組成部分計算客觀風(fēng)險值，典型的定量分析方法有因子分析法、聚類分析法、時序模型、回歸模型、等風(fēng)險圖法等。

定性分析方法主要依據(jù)評估者的知識、經(jīng)驗、歷史教訓(xùn)、政策走向及特殊案例等非量化資料對系統(tǒng)風(fēng)險狀況做出判斷的過程。在實踐中，可以通過調(diào)查表和合作討論會的形式進行風(fēng)險分析，分析活動會涉及來自信息系統(tǒng)運行和使用相關(guān)的各個部門的人員。

綜合分析方法中的安全風(fēng)險管理的定性方法和定量方法都具有各自的優(yōu)點與缺點。在某些情況下會要求采用定量方法，而在其他情況下定性的評估方法更能滿足組織需求。

表1概括介紹了定量和定性方法的優(yōu)點與缺點。

b） 質(zhì)量保證

鑒于風(fēng)險評估項目具有一定的復(fù)雜性和主觀性，只有進行完善的質(zhì)量控制和嚴(yán)格的流程管理，才能保證風(fēng)險評估項目的最終質(zhì)量。風(fēng)險評估項目的質(zhì)量保障主要體現(xiàn)在實施流程的透明性以及對整體項目的可控性，質(zhì)量保障活動需要在評估項目實施中提供足夠的可見性，確保項目實施按照規(guī)定的標(biāo)準(zhǔn)流程進行。在內(nèi)蒙古電力風(fēng)險評估的實踐中，設(shè)立質(zhì)量監(jiān)督員（或聘請獨立的項目監(jiān)理擔(dān)任）是一個有效的方法。質(zhì)量監(jiān)督員依照相應(yīng)各階段的實施標(biāo)準(zhǔn)，通過記錄審核、流程監(jiān)理、組織評審、異常報告等方式對項目的進度、質(zhì)量進行控制。

6 內(nèi)蒙古電力信息安全風(fēng)險評估的啟示

為了更好地開展風(fēng)險評估工作，可以采取以下安全措施及管理辦法。

6.1 建立定期風(fēng)險評估制度

信息安全風(fēng)險管理是發(fā)達(dá)國家信息安全保障工作的通行做法。按照風(fēng)險管理制度，適時開展風(fēng)險評估工作，或建立風(fēng)險評估的長效機制，將風(fēng)險評估工作與信息系統(tǒng)的生命周期和安全建設(shè)聯(lián)系起來，讓風(fēng)險評估成為信息安全保障工作運行機制的基石。

6.2 編制電力信息系統(tǒng)風(fēng)險評估實施細(xì)則

由于所有的信息安全風(fēng)險評估標(biāo)準(zhǔn)給出的都是指導(dǎo)性文件，并沒有給出具體實施過程、風(fēng)險要素識別方法、風(fēng)險分析方法、風(fēng)險計算方法、風(fēng)險定級方法等，因此建議在國標(biāo)《信息安全風(fēng)險評估指南》的框架下，編制適合電力公司業(yè)務(wù)特色的實施細(xì)則，根據(jù)選用的或自定義的風(fēng)險計算方法，，制各種模板，以在電力信息系統(tǒng)實現(xiàn)評估過程和方法的統(tǒng)一。

6.3 加強風(fēng)險評估基礎(chǔ)設(shè)施建設(shè)，統(tǒng)一選配風(fēng)險評估工具

風(fēng)險評估工具是保障風(fēng)險評估結(jié)果可信度的重要因素。應(yīng)根據(jù)選用的評估標(biāo)準(zhǔn)和評估方法，選擇配套的專業(yè)風(fēng)險評估工具，向分支機構(gòu)配發(fā)或推薦。如漏洞掃描、滲透測試等評估輔助工具，及向評估人員提供幫助的資產(chǎn)分類庫、威脅參考庫、脆弱性參考庫、可能性定義庫、算法庫等評估輔助專家系統(tǒng)。

6.4 統(tǒng)一組織實施核心業(yè)務(wù)系統(tǒng)的評估

由于評估過程本身的風(fēng)險性，對于重要的實時性強、社會影響大的核心業(yè)務(wù)系統(tǒng)的評估，由電力公司統(tǒng)一制定評估方案、組織實施、指導(dǎo)加固整改工作。

6.5 以自評估為主，自評估和檢查評估相結(jié)合

自評估和檢查評估各有優(yōu)缺點，要發(fā)揮各自優(yōu)勢，配合實施，使評估的過程、方法和風(fēng)險控制措施更科學(xué)合理。自評估時，通過對實施過程、風(fēng)險要素識別、風(fēng)險分析、風(fēng)險計算方法、評估結(jié)果、風(fēng)險控制措施等重要環(huán)節(jié)的科學(xué)性、合理性進行分析，得出風(fēng)險判斷。

6.6 風(fēng)險評估與信息系統(tǒng)等級保護應(yīng)結(jié)合起來

信息系統(tǒng)等級保護若與風(fēng)險評估結(jié)合起來，則可相互促進，相互依托。等級保護的級別是依據(jù)系統(tǒng)的重要程度和安全三性來定義，而風(fēng)險評估中的風(fēng)險等級則是綜合考慮了信息的重要性、安全三性、現(xiàn)有安全控制措施的有效性及運行現(xiàn)狀后的綜合結(jié)果。通過風(fēng)險評估為信息系統(tǒng)確定安全等級提供依據(jù)。確定安全等級后，根據(jù)風(fēng)險評估的結(jié)果作為實施等級保護、安全等級建設(shè)的出發(fā)點和參考，檢驗網(wǎng)絡(luò)與信息系統(tǒng)的防護水平是否符合等級保護的要求。

參考文獻(xiàn)

[1] 魏曉菁， 柳英楠， 來風(fēng)剛. 國家電力信息網(wǎng)信息安全防護體系框架與策略. 計算機安全，2004，6.

[2] 魏曉菁，柳英楠，來風(fēng)剛. 國家電力信息網(wǎng)信息安全防護體系框架與策略研究. 電力信息化，2004，2（1）.

[3] 沈亮. 構(gòu)建電力信息網(wǎng)安全防護框架. 電力信息化，2004，2（7）.

[4] 梁運華，李明，談順濤. 電力企業(yè)信息網(wǎng)網(wǎng)絡(luò)安全層次式防護體系探究. 電力信息化，2003，2（1）.

[5] 周亮，劉開培，李俊娥. 一種安全的電力系統(tǒng)計算機網(wǎng)絡(luò)構(gòu)建方案. 電網(wǎng)技術(shù)，2004，28（23）.

[6] 陳其，陳鐵，姚林等. 電力系統(tǒng)信息安全風(fēng)險評估策略研究. 計算機安全，2007，6.

[7] 阮文峰. 電力企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險分析和評估. 計算機安全，2003（4）.

[8] 叢林，李志民，潘明惠等. 基于模糊綜合評判法的電力系統(tǒng)信息安全評估. 電力系統(tǒng)自動化，2004，28（12）.

[9] 胡炎，謝小榮，辛耀中. 電力信息系統(tǒng)建模和定量安全評估. 電力系統(tǒng)自動化，2005，29（10）.

作者簡介：

第7篇：信息安全等級保護解決方案范文

關(guān)鍵詞:稅務(wù)系統(tǒng);信息安全;安全策略

中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2009)36-10406-02

On the Information Security Policy and Management of Tax Information Management System

HUANG Jian-qun

(Xi'an Shiyou University, Xi'an 710065, China)

Abstract: In this paper, first, points out that information on the importance of the tax system through the presentation of tax information management systems, Concludes with the tax information security and management solutions, The program in improving safety and reliability of tax information has some referential significance.

Key words: tax systems; information security; security policy

稅收是國家財政收入的重要途徑,相關(guān)的稅務(wù)系業(yè)務(wù)要求其具有準(zhǔn)確性、公證性和完整性的特點,因此保證稅務(wù)信息系統(tǒng)的安全性意義重大。稅務(wù)系統(tǒng)作為電子政務(wù)系統(tǒng)的一部分,屬國家基礎(chǔ)信息建設(shè),其基本特點是:網(wǎng)絡(luò)地域廣、信息系統(tǒng)服務(wù)對象復(fù)雜;稅務(wù)信息具有數(shù)據(jù)集中、安全性要求高;應(yīng)用系統(tǒng)的種類較多,網(wǎng)絡(luò)系統(tǒng)安全設(shè)備數(shù)量大,種類多,管理難度大。

稅務(wù)系統(tǒng)是一個及其龐大復(fù)雜的系統(tǒng),從業(yè)務(wù)上有國稅、地稅之分,從地域來說又有國家級、省級、地市級、區(qū)縣四級。網(wǎng)絡(luò)結(jié)點眾多、網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)出口不計其數(shù)、操作系統(tǒng)種類繁多、應(yīng)用系統(tǒng)五花八門、網(wǎng)絡(luò)機構(gòu)極其復(fù)雜。面對如此復(fù)雜的系統(tǒng),其內(nèi)部安全隱患隨處可見,經(jīng)過不斷的研究和探索,目前已經(jīng)積累了大量解決稅務(wù)系統(tǒng)信息基礎(chǔ)設(shè)施安全的方法和經(jīng)驗,形成一整套稅務(wù)系統(tǒng)的安全保障方法,相關(guān)安全保障的體系也在不斷完善和發(fā)展中。

1 網(wǎng)絡(luò)信息安全在稅務(wù)系統(tǒng)中的重要性

計算機軟硬件技術(shù)的發(fā)展和互聯(lián)網(wǎng)技術(shù)的普及,為電子稅務(wù)的發(fā)展奠定了基礎(chǔ)。尤其是國家金稅工程的建設(shè)和應(yīng)用,使稅務(wù)部門在遏止騙稅和稅款流失上取得了顯著成效。電子稅務(wù)可以最大限度地確保國家的稅收收入,但卻面臨著系統(tǒng)安全性的難題。

雖然我國稅務(wù)信息化建設(shè)自開始金稅工程以來,取得了長足進步,極大提高了稅務(wù)工作效率和質(zhì)量。但稅務(wù)系統(tǒng)本身也暴露出了一系列要改進的問題,各種應(yīng)用軟件自成體系、重復(fù)開發(fā)、信息集中程度低。隨著信息化水平的不斷提高,基于信息網(wǎng)絡(luò)及計算機的犯罪事件也日益增加。稅務(wù)系統(tǒng)所面臨的信息網(wǎng)絡(luò)安全威脅不容忽視。建立稅務(wù)管理信息化網(wǎng)絡(luò)安全體系,要求人們必須提高對網(wǎng)絡(luò)安全重要性的認(rèn)識,增強防范意識,加強網(wǎng)絡(luò)安全管理,采取先進有效的技術(shù)防范措施。

2 稅務(wù)系統(tǒng)安全建設(shè)

如何保證信息在傳遞過程中的安全性對稅務(wù)系統(tǒng)來說至關(guān)重要,任何網(wǎng)絡(luò)設(shè)備或者解決方案的漏洞都會對稅務(wù)系統(tǒng)造成很大影響。如何成功處理信息安全問題,使國家稅務(wù)系統(tǒng)在充分利用信息技術(shù)的同時,保障系統(tǒng)的安全,對稅務(wù)系統(tǒng)建設(shè)具有極大意義。信息安全的建設(shè)涉及到信息賴以存在和傳遞的一切設(shè)施和環(huán)境。構(gòu)筑這個體系的目的是保證信息的安全,不僅需要信息技術(shù)的努力與突破,還需要相關(guān)政策、法律、管理等方面提供的有力保障,同時也需要提高操作信息系統(tǒng)的工作人員的安全意識。

2.1 稅務(wù)系統(tǒng)安全防護體系

稅務(wù)系統(tǒng)安全防護體系保證了系統(tǒng)在生命期內(nèi)處于動態(tài)的安全狀態(tài),確保系統(tǒng)功能正確,不受系統(tǒng)規(guī)模變化的影響,性能滿意,具有良好的互操作性和強有力的生存能力等。

稅務(wù)信息系統(tǒng)安全模型提供了必要的安全服務(wù)和措施,增加了動態(tài)特性,強調(diào)了各因素之間關(guān)系的重要性。該模型是一種實時的、動態(tài)的安全理論模型,是實施信息安全保障的基礎(chǔ)。在模型基礎(chǔ)上建立安全體系架構(gòu)隨著環(huán)境和時間改變,框架和技術(shù)將會主動實時動態(tài)的調(diào)整,從而確保稅務(wù)系統(tǒng)的信息安全。

2.2 稅務(wù)系統(tǒng)風(fēng)險評估

稅務(wù)系統(tǒng)信息安全保障的目的是確保系統(tǒng)的信息免受威脅,但絕對的安全并不可能實現(xiàn),只能通過一定的控制措施將系統(tǒng)受到威脅的可能性降到一個可接受的范圍內(nèi)。風(fēng)險評估是對信息及信息處理設(shè)施的威脅、影響、脆弱性及三者發(fā)生的可能性的評估。風(fēng)險評估用來確認(rèn)稅務(wù)系統(tǒng)的安全風(fēng)險及大小,即利用適當(dāng)?shù)娘L(fēng)險評估技術(shù),確定稅務(wù)系統(tǒng)資產(chǎn)的風(fēng)險等級和優(yōu)先風(fēng)險控制順序。

風(fēng)險評估是信息安全管理體系的基礎(chǔ),為降低網(wǎng)絡(luò)的風(fēng)險、實施風(fēng)險管理及風(fēng)險控制提供了直接依據(jù)。系統(tǒng)風(fēng)險評估貫穿于系統(tǒng)整個生命期的始終,是系統(tǒng)安全保障討論最為重要的一個環(huán)節(jié)。

3 稅務(wù)信息系統(tǒng)整體安全構(gòu)架

一般稅務(wù)信息系統(tǒng)所采用的安全架構(gòu)模型如圖1所示。

從安全結(jié)構(gòu)模型可以看出,該安全架構(gòu)主要分為三部分:網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)防御體系、應(yīng)用安全體系和安全管理體系。網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)防御體系是一個最基本的安全體系,主要從物理級、網(wǎng)絡(luò)級、系統(tǒng)級幾個層次采取一系列統(tǒng)一的安全措施,為信息系統(tǒng)的所有應(yīng)用提供一個基礎(chǔ)的、安全的網(wǎng)絡(luò)系統(tǒng)運行環(huán)境。

該體系的主要安全建設(shè)范圍如下:

1) 物理級安全:主要提供對系統(tǒng)內(nèi)部關(guān)鍵設(shè)備、線路、存儲介質(zhì)的物理運行環(huán)境安全,確保系統(tǒng)能正常工作。

2) 網(wǎng)絡(luò)級安全:在網(wǎng)絡(luò)層上,提供對系統(tǒng)內(nèi)部網(wǎng)絡(luò)系統(tǒng)、廣域網(wǎng)連接和遠(yuǎn)程訪問網(wǎng)絡(luò)的運行安全保障,確保各類應(yīng)用系統(tǒng)能在統(tǒng)一的網(wǎng)絡(luò)安全平臺上可靠地運作。

3) 系統(tǒng)級安全:主要是從操作系統(tǒng)的角度考慮系統(tǒng)安全措施,防止不法分子利用操作系統(tǒng)的一些BUG、后門取得對系統(tǒng)的非法操作權(quán)限。

4 信息安全管理策略

4.1 安全管理平臺

信息安全管理的總體原則是“沒有明確表述為允許的都被認(rèn)為是被禁止的”。信息安全管理實行安全等級保護制度,制定安全等級劃分標(biāo)準(zhǔn)和安全等級的保護辦法。從管理的角度,將系統(tǒng)中的各類安全管理工具統(tǒng)一到一個平臺,并對各種安全事件、報警、監(jiān)控做統(tǒng)一處理,發(fā)現(xiàn)各類安全問題的相關(guān)性,按照預(yù)定義的安全策略,進行自動的流程化處理,從而大為縮短發(fā)現(xiàn)問題、解決問題的時間,減少了人工操作的工作量,提高安全管理工作的效率。

通過技術(shù)手段,構(gòu)建一個專門的安全管理平臺,將各類安全管理工具集成在這個統(tǒng)一的平臺上,對信息系統(tǒng)整體安全架構(gòu)的實施進行實時監(jiān)視并對發(fā)現(xiàn)的問題或安全漏洞從技術(shù)角度進行分析,為安全管理策略的調(diào)整提供建議和反饋信息。統(tǒng)一的安全管理平臺將有助于各種安全管理技術(shù)手段的相互補充和有效發(fā)揮,也便于從系統(tǒng)整體的角度來進行安全的監(jiān)視和管理,從而提高安全管理工作的效率。

4.2 物理安全策略

物理安全是對計算機網(wǎng)絡(luò)系統(tǒng)中的設(shè)備、設(shè)施及相關(guān)的數(shù)據(jù)存儲介質(zhì)提供的安全保護,使其免受各類自然災(zāi)害及人為導(dǎo)致的破壞。物理安全防范是系統(tǒng)安全架構(gòu)的基礎(chǔ),對系統(tǒng)的正常運行具有重要的作用。

當(dāng)然,信息系統(tǒng)安全不是一成不變的,它是一個動態(tài)的過程。隨著安全攻擊和防范技術(shù)的發(fā)展,安全策略也必須分階段進行調(diào)整。日常的安全工作要靠合理的制度和對制度的遵守來實現(xiàn)。只有建立良好的信息安全管理機制,做到技術(shù)與管理良好配合,才能長期、有效地防范信息系統(tǒng)的風(fēng)險。

5 網(wǎng)絡(luò)信息安全所采取的主要措施

目前網(wǎng)絡(luò)信息安全所采取的主要措施是使用一系列的安全技術(shù)來防止對信息系統(tǒng)的非授權(quán)使用。討論稅務(wù)系統(tǒng)安全策略問題時,相關(guān)人員往往傾向于防火墻、入侵檢測系統(tǒng)等實際的安全設(shè)備。其實,造成系統(tǒng)安全問題的本質(zhì)是稅務(wù)信息系統(tǒng)本身存在脆弱性。任何信息系統(tǒng)都不可避免的存在或多或少的脆弱性,而且這些脆弱性都是潛在的,無法預(yù)知。系統(tǒng)出現(xiàn)脆弱性的根本原因是由于系統(tǒng)的復(fù)雜性使得系統(tǒng)存在脆弱性的風(fēng)險成正比,系統(tǒng)越復(fù)雜,系統(tǒng)存在的脆弱性的風(fēng)險就越大,反之亦然。

安全防御的總策略為:1)建立網(wǎng)絡(luò)邊界和安全域防護系統(tǒng),防止來自系統(tǒng)外部的攻擊和對內(nèi)部安全訪問域進行控制;2)建立基于整個網(wǎng)絡(luò)和全部應(yīng)用的安全基礎(chǔ)設(shè)施,實現(xiàn)系統(tǒng)的內(nèi)部的身份認(rèn)證、權(quán)限劃分、訪問控制和安全審計;3)建立全系統(tǒng)網(wǎng)絡(luò)范圍內(nèi)的安全管理與響應(yīng)中心,強化網(wǎng)絡(luò)可管理、安全可維護、事件可響應(yīng);4)進行分級縱深安全保護,構(gòu)成系統(tǒng)網(wǎng)絡(luò)統(tǒng)一的防范與保護、監(jiān)控與檢查、響應(yīng)與處置機制。

6 結(jié)束語

解決信息系統(tǒng)的安全不是一個獨立的項目問題,安全策略包括各種安全方案、法律法規(guī)、規(guī)章制度、技術(shù)標(biāo)準(zhǔn)、管理規(guī)范等,是整個信息系統(tǒng)安全建設(shè)的依據(jù)?，F(xiàn)有的安全保障體系一般基于深度防御技術(shù)框架,若能進一步利用現(xiàn)代信息處理技術(shù)中的人工智能技術(shù)、嵌入式技術(shù)、主動技術(shù)、實時技術(shù)等,將形成更加完善的信息安全管理體系。

稅務(wù)信息安全直接關(guān)系到稅收信息化建設(shè)的成敗,必須引起稅務(wù)機關(guān)和每一位稅務(wù)人的重視?？茖W(xué)技術(shù)的發(fā)展不一定能對任何事物的本質(zhì)和現(xiàn)象都產(chǎn)生影響,技術(shù)只有與先進的管理思想、管理體制相結(jié)合,才能產(chǎn)生巨大的效益。

參考文獻(xiàn):

[1] 蔡皖東.信息安全工程與管理[M].西安:西安電子科技大學(xué)出版社,2004.

[2] 譚思亮.網(wǎng)絡(luò)與信息安全[M].北京:人民郵電出版社,2002.

[3] 譚榮華.稅務(wù)信息化簡明教程[M].北京:中國人民大學(xué)出版社,2001.

[4] 李濤.網(wǎng)絡(luò)安全概論[M].北京:電子工業(yè)出版社,2004.

[5] 朱建軍,熊兵.網(wǎng)絡(luò)安全防范手冊[M].北京:人民郵電出版社,2007.

[6] 戴英俠,連一峰,王航.系統(tǒng)安全與入侵檢測[M].北京:清華大學(xué)出版社,2002.

第8篇：信息安全等級保護解決方案范文

關(guān)鍵詞：中小型企業(yè)；信息網(wǎng)絡(luò)安全；網(wǎng)絡(luò)安全架構(gòu)

Abstract; network security problem to the small and medium-sized enterprise universal existence as the background, analyzes the main network security problems of small and medium enterprises, aiming at these problems, a small and medium enterprises to solve their own problems of network security are the road. And put forward the concept of the rate of return on investment, according to this concept, can be a preliminary estimate of the enterprise investment in network security.

Keywords: small and medium-sized enterprises; network security; network security architecture

中圖分類號：TN915.08文獻(xiàn)標(biāo)識碼：A文章編號：2095-2104（2013）

1、中小型企業(yè)網(wǎng)絡(luò)安全問題的研究背景

隨著企業(yè)信息化的推廣和計算機網(wǎng)絡(luò)的成熟和擴大，企業(yè)的發(fā)展越來越離不開網(wǎng)絡(luò)，而伴隨著企業(yè)對網(wǎng)絡(luò)的依賴性與日俱增，企業(yè)網(wǎng)絡(luò)的安全性問題越來越嚴(yán)重，大量的入侵、蠕蟲、木馬、后門、拒絕服務(wù)、垃圾郵件、系統(tǒng)漏洞、間諜軟件等花樣繁多的安全隱患開始一一呈現(xiàn)在企業(yè)面前。近些年來頻繁出現(xiàn)在媒體報道中的網(wǎng)絡(luò)安全案例無疑是為我們敲響了警鐘，在信息網(wǎng)絡(luò)越來越發(fā)達(dá)的今天，企業(yè)要發(fā)展就必須重視自身網(wǎng)絡(luò)的安全問題。網(wǎng)絡(luò)安全不僅關(guān)系到企業(yè)的發(fā)展，甚至關(guān)乎到了企業(yè)的存亡。

2 、中小型企業(yè)網(wǎng)絡(luò)安全的主要問題

2.1什么是網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全的一個通用定義：網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)中的軟、硬件設(shè)施及其系統(tǒng)中的數(shù)據(jù)受到保護，不會由于偶然的或是惡意的原因而遭受到破壞、更改和泄露。系統(tǒng)能夠連續(xù)、可靠地正常運行，網(wǎng)絡(luò)服務(wù)不被中斷。網(wǎng)絡(luò)安全從本質(zhì)上說就是網(wǎng)絡(luò)上的信息安全。廣義地說，凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性（抗抵賴性）和可控性的相關(guān)技術(shù)和理論，都是網(wǎng)絡(luò)安全主要研究的領(lǐng)域。

2.2網(wǎng)絡(luò)安全架構(gòu)的基本功能

網(wǎng)絡(luò)信息的保密性、完整性、可用性、真實性（抗抵賴性）和可控性又被稱為網(wǎng)絡(luò)安全目標(biāo)，對于任何一個企業(yè)網(wǎng)絡(luò)來講，都應(yīng)該實現(xiàn)這五個網(wǎng)絡(luò)安全基本目標(biāo)，這就需要企業(yè)的網(wǎng)絡(luò)應(yīng)用架構(gòu)具備防御、監(jiān)測、應(yīng)急、恢復(fù)等基本功能。

2.3中小型企業(yè)的主要網(wǎng)絡(luò)安全問題

中小型企業(yè)主要的網(wǎng)絡(luò)安全問題主要體現(xiàn)在3個方面.

1、木馬和病毒

計算機木馬和病毒是最常見的一類安全問題。木馬和病毒會嚴(yán)重破壞企業(yè)業(yè)務(wù)的連續(xù)性和有效性，某些木馬和病毒甚至能在片刻之間感染整個辦公場所從而導(dǎo)致企業(yè)業(yè)務(wù)徹底癱瘓。與此同時，公司員工也可能通過訪問惡意網(wǎng)站、下載未知的資料或者打開含有病毒代碼的電子郵件附件等方式，在不經(jīng)意間將病毒和木馬帶入企業(yè)網(wǎng)絡(luò)并進行傳播，進而給企業(yè)造成巨大的經(jīng)濟損失。由此可見，網(wǎng)絡(luò)安全系統(tǒng)必須能夠在網(wǎng)絡(luò)的每一點對蠕蟲、病毒和間諜軟件進行檢測和防范。這里提到的每一點，包括網(wǎng)絡(luò)的邊界位置以及內(nèi)部網(wǎng)絡(luò)環(huán)境。

2、信息竊取

信息竊取是企業(yè)面臨的一個重大問題，也可以說是企業(yè)最急需解決的問題。網(wǎng)絡(luò)黑客通過入侵企業(yè)網(wǎng)絡(luò)盜取企業(yè)信息和企業(yè)的客戶信息而牟利。解決這一問題，僅僅靠在網(wǎng)絡(luò)邊緣位置加強防范還遠(yuǎn)遠(yuǎn)不夠，因為黑客可能會伙同公司內(nèi)部人員（如員工或承包商）一起作案。信息竊取會對中小型企業(yè)的發(fā)展造成嚴(yán)重影響，它不僅會破壞中小型企業(yè)賴以生存的企業(yè)商譽和客戶關(guān)系。還會令企業(yè)陷入面臨負(fù)面報道、政府罰金和法律訴訟等問題的困境。

3、業(yè)務(wù)有效性

計算機木馬和病毒并不是威脅業(yè)務(wù)有效性的唯一因素。隨著企業(yè)發(fā)展與網(wǎng)絡(luò)越來越密不可分，網(wǎng)絡(luò)開始以破壞公司網(wǎng)站和電子商務(wù)運行為威脅條件，對企業(yè)進行敲詐勒索。其中，以DoS(拒絕服務(wù))攻擊為代表的網(wǎng)絡(luò)攻擊占用企業(yè)網(wǎng)絡(luò)的大量帶寬，使其無法正常處理用戶的服務(wù)請求。而這一現(xiàn)象的結(jié)果是災(zāi)難性的：數(shù)據(jù)和訂單丟失，客戶請求被拒絕……同時，當(dāng)被攻擊的消息公之于眾后，企業(yè)的聲譽也會隨之受到影響。

3如何打造安全的中小型企業(yè)網(wǎng)絡(luò)架構(gòu)

通過對中小型企業(yè)網(wǎng)絡(luò)存在的安全問題的分析，同時考慮到中小型企業(yè)資金有限的情況，我認(rèn)為打造一個安全的中小型企業(yè)網(wǎng)絡(luò)架構(gòu)應(yīng)遵循以下的過程：首先要建立企業(yè)自己的網(wǎng)絡(luò)安全策略；其次根據(jù)企業(yè)現(xiàn)有網(wǎng)絡(luò)環(huán)境對企業(yè)可能存在的網(wǎng)絡(luò)隱患進行網(wǎng)絡(luò)安全風(fēng)險評估，確定企業(yè)需要保護的重點；最后選擇合適的設(shè)備。

3.1建立網(wǎng)絡(luò)安全策略

一個企業(yè)的網(wǎng)絡(luò)絕不能簡簡單單的就定義為安全或者是不安全，每個企業(yè)在建立網(wǎng)絡(luò)安全體系的第一步應(yīng)該是定義安全策略，該策略不會去指導(dǎo)如何獲得安全，而是將企業(yè)需要的應(yīng)用清單羅列出來，再針對不同的信息級別給予安全等級定義。針對不同的信息安全級別和信息流的走向來給予不同的安全策略，企業(yè)需要制定合理的安全策略及安全方案來確保網(wǎng)絡(luò)系統(tǒng)的機密性、完整性、可用性、可控性與可審查性。對關(guān)鍵數(shù)據(jù)的防護要采取包括“進不來、出不去、讀不懂、改不了、走不脫”的五不原則。

“五不原則”：

1.“進不來”——可用性： 授權(quán)實體有權(quán)訪問數(shù)據(jù)，讓非法的用戶不能夠進入企業(yè)網(wǎng)。

2.“出不去”——可控性： 控制授權(quán)范圍內(nèi)的信息流向及操作方式，讓企業(yè)網(wǎng)內(nèi)的商業(yè)機密不被泄密。

3.“讀不懂”——機密性： 信息不暴露給未授權(quán)實體或進程，讓未被授權(quán)的人拿到信息也看不懂。

4.“改不了”——完整性： 保證數(shù)據(jù)不被未授權(quán)修改。

5.“走不脫”——可審查性：對出現(xiàn)的安全問題提供依據(jù)與手段。

在“五不原則”的基礎(chǔ)上，再針對企業(yè)網(wǎng)絡(luò)內(nèi)的不同環(huán)節(jié)采取不同的策略。

3.2 信息安全等級劃分

根據(jù)我國《信息安全等級保護管理辦法》，我國所有的企業(yè)都必須對信息系統(tǒng)分等級實行安全保護，對等級保護工作的實施進行監(jiān)督、管理。具體劃分情況如下：

第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。

第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。

第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。

因此，中小型企業(yè)在構(gòu)建企業(yè)信息網(wǎng)絡(luò)安全架構(gòu)之前，都應(yīng)該根據(jù)《信息安全等級保護管理辦法》，經(jīng)由相關(guān)部門確定企業(yè)的信息安全等級，并依據(jù)界定的企業(yè)信息安全等級對企業(yè)可能存在的網(wǎng)絡(luò)安全問題進行網(wǎng)絡(luò)安全風(fēng)險評估。

3.3 網(wǎng)絡(luò)安全風(fēng)險評估

根據(jù)國家信息安全保護管理辦法,網(wǎng)絡(luò)安全風(fēng)險是指由于網(wǎng)絡(luò)系統(tǒng)所存在的脆弱性，因人為或自然的威脅導(dǎo)致安全事件發(fā)生所造成的可能性影響。網(wǎng)絡(luò)安全風(fēng)險評估就是指依據(jù)有關(guān)信息安全技術(shù)和管理標(biāo)準(zhǔn)，對網(wǎng)絡(luò)系統(tǒng)的保密性、完整想、可控性和可用性等安全屬性進行科學(xué)評價的過程。

網(wǎng)絡(luò)安全風(fēng)險評估對企業(yè)的網(wǎng)絡(luò)安全意義重大。首先，網(wǎng)絡(luò)安全風(fēng)險評估是網(wǎng)絡(luò)安全的基礎(chǔ)工作，它有利于網(wǎng)絡(luò)安全的規(guī)劃和設(shè)計以及明確網(wǎng)絡(luò)安全的保障需求；另外，網(wǎng)絡(luò)安全風(fēng)險評估有利于網(wǎng)絡(luò)的安全防護，使得企業(yè)能夠?qū)ψ约旱木W(wǎng)絡(luò)做到突出防護重點，分級保護。

3.4確定企業(yè)需要保護的重點

針對不同的企業(yè)，其需要保護的網(wǎng)絡(luò)設(shè)備和節(jié)點是不同的。但是企業(yè)信息網(wǎng)絡(luò)中需要保護的重點在大體上是相同的，我認(rèn)為主要包括以下幾點：

1.要著重保護服務(wù)器、存儲的安全，較輕保護單機安全。

企業(yè)的運作中，信息是靈魂，一般來說，大量有用的信息都保存在服務(wù)器或者存儲設(shè)備上。在實際工作中，企業(yè)應(yīng)該要求員工把相關(guān)的資料存儲在企業(yè)服務(wù)器中。企業(yè)可以對服務(wù)器采取統(tǒng)一的安全策略，如果管理策略定義的好的話，在服務(wù)器上文件的安全性比單機上要高的多。所以在安全管理中，企業(yè)應(yīng)該把管理的重心放到這些服務(wù)器中，要采用一切必要的措施，讓員工把信息存儲在文件服務(wù)器上。在投資上也應(yīng)著重考慮企業(yè)服務(wù)器的防護。

2.邊界防護是重點。

當(dāng)然著重保護服務(wù)器、存儲設(shè)備的安全并不是說整體的防護并不需要，相反的邊界防護是網(wǎng)絡(luò)防護的重點。網(wǎng)絡(luò)邊界是企業(yè)網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的分界線，對網(wǎng)絡(luò)邊界進行安全防護，首先必須明確到底哪些網(wǎng)絡(luò)邊界需要防護，這可以通過網(wǎng)絡(luò)安全風(fēng)險評估來確定。網(wǎng)絡(luò)邊界是一個網(wǎng)絡(luò)的重要組成部分，負(fù)責(zé)對網(wǎng)絡(luò)流量進行最初及最后的過濾，對一些公共服務(wù)器區(qū)進行保護，VPN技術(shù)也是在網(wǎng)絡(luò)邊界設(shè)備建立和終結(jié)的，因此邊界安全的有效部署對整網(wǎng)安全意義重大。

3.“”保護。

企業(yè)還要注意到，對于某些極其重要的部門，要將其劃為，例如一些研發(fā)部門。類似的部門一旦發(fā)生網(wǎng)絡(luò)安全事件，往往很難估量損失。在這些區(qū)域可以采用虛擬局域網(wǎng)技術(shù)或者干脆做到物理隔離。

4.終端計算機的防護。

最后作者還是要提到終端計算機的防護，雖然對比服務(wù)器、存儲和邊界防護，終端計算機的安全級別相對較低，但最基本的病毒防護，和策略審計是必不可少的。

3.5選擇合適的網(wǎng)絡(luò)安全設(shè)備

企業(yè)應(yīng)該根據(jù)自身的需求和實際情況選擇適合的網(wǎng)絡(luò)安全設(shè)備，并不是越貴越好，或者是越先進越好。在這里作者重點介紹一下邊界防護產(chǎn)品——防火墻的性能參數(shù)的實際應(yīng)用。

作為網(wǎng)絡(luò)安全重要的一環(huán)，防火墻是在任何整體網(wǎng)絡(luò)安全建設(shè)中都是不能缺少的主角之一，并且?guī)缀跛械木W(wǎng)絡(luò)安全公司都會推出自己品牌的防火墻。在防火墻的參數(shù)中，最?？吹降氖遣l(fā)連接數(shù)、網(wǎng)絡(luò)吞吐量兩個指標(biāo).

并發(fā)連接數(shù)：是指防火墻或服務(wù)器對其業(yè)務(wù)信息流的處理能力，是防火墻能夠同時處理的點對點連接的最大數(shù)目，它反映出防火墻設(shè)備對多個連接的訪問控制能力和連接狀態(tài)跟蹤能力，這個參數(shù)的大小直接影響到防火墻所能支持的最大信息點數(shù)。由于計算機用戶訪問頁面中有可能包含較多的其他頁面的連接，按每個臺計算機發(fā)生20個并發(fā)連接數(shù)計算（很多文章中提到一個經(jīng)驗數(shù)據(jù)是15，但這個數(shù)值在集中辦公的地方往往會出現(xiàn)不足），假設(shè)企業(yè)中的計算機用戶為500人，這個企業(yè)需要的防火墻的并發(fā)連接數(shù)是：20*500*3/4=7500，也就是說在其他指標(biāo)符合的情況下，購買一臺并發(fā)連接數(shù)在10000~15000之間的防火墻就已經(jīng)足夠了，如果再規(guī)范了終端用戶的瀏覽限制，甚至可以更低。

網(wǎng)絡(luò)吞吐量：是指在沒有幀丟失的情況下，設(shè)備能夠接受的最大速率。隨著Internet的日益普及，內(nèi)部網(wǎng)用戶訪問Internet的需求在不斷增加，一些企業(yè)也需要對外提供諸如WWW頁面瀏覽、FTP文件傳輸、DNS域名解析等服務(wù)，這些因素會導(dǎo)致網(wǎng)絡(luò)流量的急劇增加，而防火墻作為內(nèi)外網(wǎng)之間的唯一數(shù)據(jù)通道，如果吞吐量太小，就會成為網(wǎng)絡(luò)瓶頸，給整個網(wǎng)絡(luò)的傳輸效率帶來負(fù)面影響。因此，考察防火墻的吞吐能力有助于企業(yè)更好的評價其性能表現(xiàn)。這也是測量防火墻性能的重要指標(biāo)。

吞吐量的大小主要由防火墻內(nèi)網(wǎng)卡，及程序算法的效率決定，尤其是程序算法，會使防火墻系統(tǒng)進行大量運算，通信量大打折扣。因此，大多數(shù)防火墻雖號稱100M防火墻，由于其算法依靠軟件實現(xiàn)，通信量遠(yuǎn)遠(yuǎn)沒有達(dá)到100M,實際只有10M-20M。純硬件防火墻，由于采用硬件進行運算，因此吞吐量可以達(dá)到線性90-95M,才是真正的100M防火墻。

從實際情況來看，中小型企業(yè)由于企業(yè)規(guī)模和人數(shù)的原因，一般選擇百兆防火墻就已經(jīng)足夠了。

3.6投資回報率

在之前作者曾提到的中小企業(yè)的網(wǎng)絡(luò)特點中資金少是最重要的一個問題。不論企業(yè)如何做安全策略以及劃分保護重點，最終都要落實到一個實際問題上——企業(yè)網(wǎng)絡(luò)安全的投資資金。這里就涉及到了一個名詞——投資回報率。在網(wǎng)絡(luò)安全的投資上，是看不到任何產(chǎn)出的，那么網(wǎng)絡(luò)安全的投資回報率該如何計算呢?

首先，企業(yè)要確定公司內(nèi)部員工在使用電子郵件和進行WEB瀏覽時，可能會違反公司網(wǎng)絡(luò)行為規(guī)范的概率。可以將這個概率稱為暴光值(exposure value (EV))。根據(jù)一些機構(gòu)對中小企業(yè)做的調(diào)查報告可知，通常有25%—30%的員工會違反企業(yè)的使用策略，作者在此選擇25%作為計算安全投資回報率的暴光值。那么，一個擁有100名員工的企業(yè)就有100x 25% = 25名違反者。

下一步，必需確定一個因素——當(dāng)發(fā)現(xiàn)單一事件時將損失多少人民幣?？梢詫⑺Q為預(yù)期單一損失(single loss expectancy (SLE))。由于公司中的100個員工都有可能會違反公司的使用規(guī)定，因此，可以用這100個員工的平均小時工資作為每小時造成工作站停機的預(yù)期單一最小損失值。例如，作者在此可以用每小時10元人民幣作為預(yù)期單一最小損失值。然后，企業(yè)需要確定在一周的工作時間之內(nèi)，處理25名違規(guī)員工帶來的影響需要花費多少時間。這個時間可以用每周總工作量40小時乘以暴光值25%可以得出為10小時。這樣，就可以按下列公式來計算單一預(yù)期損失值：

25x ￥10 x 10/ h = ￥2500 (SLE)

最后，企業(yè)要確定這樣的事情在一年中可能會發(fā)生多少次?？梢越兴鼮轭A(yù)期年均損失(annualized loss expectancy (ALE))。這樣的損失事件可能每一個星期都會發(fā)生，一年有52周，如果除去我國的春節(jié)和十一黃金周的兩個假期，這意味著一個企業(yè)在一年中可能會發(fā)生50次這樣的事件，可以將它稱之為年發(fā)生率(annual rate of occurrence (ARO))。預(yù)期的年均損失(ALE)就等于年發(fā)生率(ARO)乘以預(yù)期單一損失(SLE)：

￥2500 x 50 = ￥125,000 (ALE)

這就是說，該公司在沒有使用安全技術(shù)防范措施的情況下，內(nèi)部員工的違規(guī)網(wǎng)絡(luò)操作行為可能會給公司每年造成12.5萬元人民幣的損失。從這里就可以知道，如果公司只需要花費10000元人民幣來實施一個具體的網(wǎng)絡(luò)行為監(jiān)控解決方案，就可能讓企業(yè)每年減少12.5萬元人民幣的損失，這個安全防范方案當(dāng)然是值得去做的。

當(dāng)然，事實卻并不是這么簡單的。這是由于安全并不是某種安全技術(shù)就可以解決的，安全防范是一個持續(xù)過程，其中必然會牽扯到人力和管理成本等因素。而且，任何一種安全技術(shù)或安全解決方案并不能保證絕對的安全，因為這是不可能完成的任務(wù)。

就拿本例來說，實施這個網(wǎng)絡(luò)行為監(jiān)控方案之后，能夠?qū)⑵髽I(yè)內(nèi)部員工的違規(guī)行為，也就是暴光值(EV)降低到2%就已經(jīng)相當(dāng)不錯了。而這，需要在此安全防范方案實施一段時間之后，例如半年或一年，企業(yè)才可能知道實施此安全方案后的最終效果，也就是此次安全投資的具體投資回報率是多少。

有數(shù)據(jù)表明在國外，安全投入一般占企業(yè)基礎(chǔ)投入的5%～20%，在國內(nèi)一般很少超過2%，而網(wǎng)絡(luò)安全事件不論在國內(nèi)外都層出不窮，企業(yè)可能在安全方面投入了很多，但是仍然頻頻發(fā)生網(wǎng)絡(luò)安全事故。很多企業(yè)的高層管理者對于這個問題都比較頭疼。其實網(wǎng)絡(luò)安全理論中著名的木桶理論，很好的解釋了這種現(xiàn)象。企業(yè)在信息安全方面的預(yù)算不夠進而導(dǎo)致了投資報酬不成比例，另外很多企業(yè)每年在安全產(chǎn)品上投入大量資金，但是卻不關(guān)注內(nèi)部人員的考察、安全產(chǎn)品有效性的審核等安全要素。缺乏系統(tǒng)的、科學(xué)的管理體系的支持，也是導(dǎo)致這種結(jié)果產(chǎn)生的原因。

第9篇：信息安全等級保護解決方案范文

中標(biāo)軟件旗下?lián)碛兄袠?biāo)麒麟、中標(biāo)凌巧、中標(biāo)普華三大產(chǎn)品品牌?！白灾骺煽?、安全可靠”是中標(biāo)軟件系列產(chǎn)品重點打造的核心特性。旗下產(chǎn)品包括：中標(biāo)麒麟安全操作系統(tǒng)、中標(biāo)麒麟安全云操作系統(tǒng)、中標(biāo)麒麟安全郵件服務(wù)器、中標(biāo)麒麟高可用集群軟件、中標(biāo)麒麟高級服務(wù)器操作系統(tǒng)、中標(biāo)麒麟通用服務(wù)器操作系統(tǒng)、中標(biāo)麒麟桌面操作系統(tǒng)等核心產(chǎn)品。

中標(biāo)麒麟（NeoKylin）是“核高基”國家重大科技專項支持的、由國內(nèi)操作系統(tǒng)兩強中標(biāo)軟件有限公司與國防科學(xué)技術(shù)大學(xué)共同推出的國產(chǎn)操作系統(tǒng)旗艦品牌。作為中國操作系統(tǒng)第一品牌，中標(biāo)麒麟致力于提供值得信賴的自主可控操作系統(tǒng)產(chǎn)品。中標(biāo)麒麟操作系統(tǒng)產(chǎn)品榮獲“國家重點新產(chǎn)品”稱號，并進入國家信息產(chǎn)業(yè)部產(chǎn)品推薦目錄。

目前中標(biāo)麒麟操作系統(tǒng)產(chǎn)品已在國防、政府、金融、電力、醫(yī)衛(wèi)等重點行業(yè)進行全面推廣。根據(jù)賽迪顧問統(tǒng)計，2012年中標(biāo)麒麟產(chǎn)品在國內(nèi)Linux操作系統(tǒng)市場占有率排名第一。

中標(biāo)麒麟安全操作系統(tǒng)是為滿足政府、國防、電力、金融、證券、等領(lǐng)域，以及針對企業(yè)電子商務(wù)和互聯(lián)網(wǎng)應(yīng)用對操作系統(tǒng)平臺的安全需求，由中標(biāo)軟件有限公司和國防科學(xué)技術(shù)大學(xué)聯(lián)合研發(fā)的安全可控、高安全等級的服務(wù)器操作系統(tǒng)平臺產(chǎn)品。中標(biāo)麒麟安全操作系統(tǒng)通過了公安部信息安全產(chǎn)品檢測中心基于《GB/T20272-2006信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》第四級（結(jié)構(gòu)化保護級）技術(shù)要求認(rèn)證。

中標(biāo)麒麟安全操作系統(tǒng)所獲資質(zhì)或認(rèn)可：公安部信息安全產(chǎn)品檢測中心GB/T 20272-2006第四級（結(jié)構(gòu)化保護級）檢測報告、公安部公共信息安全網(wǎng)絡(luò)安全監(jiān)察局-計算機信息安全專用產(chǎn)品銷售許可、中國人民軍用信息安全產(chǎn)品認(rèn)證（軍B+級）、國家電網(wǎng)信息系統(tǒng)安全實驗室測評報告、中標(biāo)麒麟安全操作系統(tǒng)V5-計算機軟件產(chǎn)品登記、中標(biāo)麒麟安全套件軟件V5-計算機軟件著作權(quán)登記、中標(biāo)麒麟安全操作系統(tǒng)V5-兼容性測試報告、中標(biāo)麒麟安全操作系統(tǒng)V5-LSB3.1認(rèn)證、中標(biāo)麒麟安全操作系統(tǒng)V5-CGL4.0認(rèn)證。