導(dǎo)語(yǔ)：如何才能寫好一篇企業(yè)信息安全保護(hù)，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

【關(guān)鍵詞】電信企業(yè)、用戶信息、安全

【中圖分類號(hào)】TP393.08 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】1672-5158（2013）01―0131―01

隨著信息爆炸時(shí)代的來(lái)臨和通信技術(shù)的快速發(fā)展，用戶的個(gè)人信息安全問(wèn)題日益嚴(yán)重，信息泄露事件頻發(fā)。用戶信息一旦遭到泄露，將面臨信息曝光、垃圾短信、騷擾電話、電信欺詐甚至資金被盜等一系列風(fēng)險(xiǎn)。在此環(huán)境下，2012年“3.15”國(guó)際消費(fèi)者權(quán)益日的主題即為“消費(fèi)與安全”，新聞媒體也多次曝光了個(gè)別銀行、通信、快遞、醫(yī)院等行業(yè)不法人員泄露和出售客戶信息，給公眾造成巨大安全隱患的問(wèn)題。由此可見(jiàn)，用戶信息安全已成為社會(huì)化和信息化快速發(fā)展進(jìn)程中的一個(gè)重要問(wèn)題。

近年來(lái)國(guó)家也逐步加大了對(duì)個(gè)人信息安全的保護(hù)力度。一方面從立法上逐步加大了對(duì)個(gè)人信息安全的保障，在民事責(zé)任方面認(rèn)定用戶個(gè)人信息屬于個(gè)人隱私范疇，并在2009年通過(guò)的《侵權(quán)責(zé)任法》中明確將隱私權(quán)寫入了法律；在刑事責(zé)任方面，2009年頒布實(shí)施的《刑法修正案七》也新增了“國(guó)家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國(guó)家規(guī)定，將本單位在履行職責(zé)或者提供服務(wù)過(guò)程中獲得的公民個(gè)人信息，出售或者非法提供給他人，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處罰金?！薄案`取或者以其他方法非法獲取上述信息，情節(jié)嚴(yán)重的，依照前款的規(guī)定處罰?！皢挝环盖皟煽钭锏模瑢?duì)單位判處罰金，并對(duì)其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員，依照各該款的規(guī)定處罰?！绷硪环矫?，公安部也在北京、河北等20個(gè)省市區(qū)開(kāi)展嚴(yán)厲打擊侵害公民個(gè)人信息違法犯罪的專項(xiàng)行動(dòng)，抓獲嫌疑人1000余名，挖出信息源頭44個(gè)。

電信行業(yè)一直是客戶信息安全保障的重點(diǎn)行業(yè)。作為電信運(yùn)營(yíng)商，掌握著海量的用戶信息資源，尤其是2010年電話用戶實(shí)名登記工作推廣以來(lái)，運(yùn)營(yíng)商掌握的用戶信息從數(shù)量和質(zhì)量上都得到了進(jìn)一步提升。一方面客戶信息真實(shí)、完善為電信企業(yè)向用戶提供個(gè)性化的服務(wù)提供了條件，也為通信安全提供了保障，但另一方面對(duì)電信運(yùn)營(yíng)企業(yè)保障用戶的信息、通信安全也提出了更高的要求。筆者總結(jié)多年的電信企業(yè)客戶信息管理經(jīng)驗(yàn)，借鑒先進(jìn)企業(yè)的管理方法，從明確電信用戶信鼠的范圍、電信用戶信息泄露的風(fēng)險(xiǎn)途徑、解決電信用戶信息安全的措施三個(gè)層面來(lái)探討如何保障電信用戶信息安全。

一、電信企業(yè)用戶信息包含的內(nèi)容

根據(jù)電信企業(yè)獲取客戶信息和提供通信服務(wù)的特點(diǎn)，電信用戶信息應(yīng)是指?jìng)€(gè)人與單位用戶的姓名或名稱、有效證件類型及證件號(hào)碼、住址（地址）、用戶號(hào)碼、聯(lián)系方式、繳費(fèi)賬戶、通話清單、終端信息以及單位用戶的組織架構(gòu)等基本信息、信息網(wǎng)絡(luò)建設(shè)等非通信的信息內(nèi)容。

二、電信企業(yè)用戶信息泄露的風(fēng)險(xiǎn)途徑

造成電信用戶信息泄露的風(fēng)險(xiǎn)主要是人員風(fēng)險(xiǎn)和系統(tǒng)風(fēng)險(xiǎn)。人員風(fēng)險(xiǎn)是指電信企業(yè)內(nèi)部和外部所有可以接觸到用戶信息的眾多人員泄露用戶信息的風(fēng)險(xiǎn)。企業(yè)內(nèi)部人員如營(yíng)業(yè)人員、銷售人員、維護(hù)人員、客戶信息管理人員等；外部人員包括與電信企業(yè)合作的業(yè)務(wù)商、內(nèi)容提供商以及第三方維護(hù)人員等。

從系統(tǒng)風(fēng)險(xiǎn)上來(lái)講，由于電信企業(yè)IT系統(tǒng)業(yè)務(wù)網(wǎng)絡(luò)存在區(qū)域分散、數(shù)據(jù)分散、系統(tǒng)繁多、環(huán)境復(fù)雜等特點(diǎn)，建設(shè)了包括BSS、客服、CRM等多個(gè)業(yè)務(wù)支撐系統(tǒng)和OA辦公系統(tǒng)，各個(gè)系統(tǒng)上積累了大量的客戶信息和生產(chǎn)數(shù)據(jù)、運(yùn)營(yíng)信息等，每個(gè)系統(tǒng)的人員根據(jù)“使用”和“維護(hù)”又分為不同的角色，這些系統(tǒng)的終端覆蓋了內(nèi)網(wǎng)和外網(wǎng)、計(jì)算機(jī)和移動(dòng)終端等多種形態(tài)的終端設(shè)備。由于這些特征的存在，電信企業(yè)客戶信息數(shù)據(jù)面臨著內(nèi)部和外部網(wǎng)絡(luò)的多重風(fēng)險(xiǎn)。

三、電信企業(yè)用戶信息安全保護(hù)的措施

保護(hù)電信客戶的信息安全，讓客戶享有安全、放心的通信服務(wù)是電信企業(yè)的責(zé)任和義務(wù)。筆者從通信行業(yè)服務(wù)角度來(lái)看，電信企業(yè)信息安全保障的關(guān)鍵需要從加強(qiáng)內(nèi)部管理、提升系統(tǒng)防范能力兩個(gè)方面得到提升。

（一）強(qiáng)化內(nèi)部管理，提升全員信息安全防范意識(shí)

首先作為電信企業(yè)要有大局意識(shí)，應(yīng)自覺(jué)遵守國(guó)家的法律、法規(guī)，嚴(yán)格執(zhí)行《基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法（試行）》。將保障用戶信息安全納入企業(yè)的保密體系，建立完善的用戶信息安全管理制度，規(guī)范從業(yè)務(wù)受理、客戶服務(wù)、運(yùn)行維護(hù)、信息計(jì)費(fèi)、外部合作等涉及客戶信息的各個(gè)關(guān)鍵環(huán)節(jié)的業(yè)務(wù)操作流程和規(guī)章制度，構(gòu)建全面有效的用戶個(gè)人信息安全保護(hù)機(jī)制。比如要求營(yíng)業(yè)和營(yíng)銷人員不允許私自留存客戶信息；要求維護(hù)人員不允許私自下載和修改客戶信息；各系統(tǒng)賬號(hào)權(quán)限嚴(yán)格實(shí)施分級(jí)管理，不允許轉(zhuǎn)讓和越級(jí)使用；規(guī)范各類用戶信息的存儲(chǔ)介質(zhì)、存儲(chǔ)時(shí)限和銷毀方式，完善用戶資料銷毀管理制度和技術(shù)保障手段；針對(duì)外部商、合作單位要明確對(duì)用戶信息保密的業(yè)務(wù)和技術(shù)要求以及泄密后的相關(guān)處罰；定期開(kāi)展用戶信息安全檢查，做到提前防范，最大限度保障用戶信息安全等。

另一方面企業(yè)要加強(qiáng)對(duì)企業(yè)員工的法制教育和思想政治教育，營(yíng)造尊重和保護(hù)用戶信息安全的企業(yè)文化和經(jīng)營(yíng)環(huán)境，提高全員的信息安全意識(shí)和法律意識(shí)。尤其是針對(duì)能夠接觸到用戶信息的員工、外包人員、商及合作單位的從業(yè)人員要與企業(yè)簽訂保密責(zé)任書，經(jīng)常性地組織開(kāi)展案例教育、警示教育、相關(guān)法規(guī)和業(yè)務(wù)規(guī)范的考核等，提高從業(yè)人員的覺(jué)悟和防范意識(shí)。

（二）提高技術(shù)防控手段，提升系統(tǒng)防范能力

完善電信企業(yè)IT系統(tǒng)業(yè)務(wù)網(wǎng)絡(luò)的安全建設(shè)，構(gòu)建用戶信息數(shù)據(jù)保密體系，精確定位用戶信息泄露風(fēng)險(xiǎn)，從外部和內(nèi)部防范兩方面提升系統(tǒng)的防范能力。

首先是做好外部防范，由于電信企業(yè)IT系統(tǒng)業(yè)務(wù)平臺(tái)繁雜，接入終端種類多，要保證各類終端和網(wǎng)絡(luò)安全地接入到業(yè)務(wù)系統(tǒng)中，就要不斷完善信息系統(tǒng)安全設(shè)備如防火墻、入侵檢測(cè)系統(tǒng)、病毒防護(hù)系統(tǒng)、認(rèn)證系統(tǒng)等性能，對(duì)可訪問(wèn)系統(tǒng)的計(jì)算機(jī)及移動(dòng)終端等必須實(shí)施安全認(rèn)證和安全策略防護(hù)，實(shí)現(xiàn)對(duì)用戶信息的“區(qū)域外保護(hù)”，嚴(yán)格防范黑客和外部不法人員竊取用戶信息。其次，由于大部分用戶信息泄露案件都是內(nèi)部人員制造，加強(qiáng)內(nèi)部網(wǎng)絡(luò)的風(fēng)險(xiǎn)防范更加重要。一方面要加強(qiáng)系統(tǒng)的認(rèn)證安全能力和網(wǎng)絡(luò)賬號(hào)權(quán)限分級(jí)管控體系，加強(qiáng)對(duì)登陸人員的身份和權(quán)限核實(shí)，對(duì)于無(wú)論從業(yè)務(wù)平臺(tái)或后臺(tái)數(shù)據(jù)庫(kù)查閱和下載用戶的信息情況系統(tǒng)都要有完整的日志記錄；另一方面，如果用戶信息未經(jīng)加密安全處理，一旦下載存儲(chǔ)到計(jì)算機(jī)上系統(tǒng)將失去監(jiān)控權(quán)，有可能會(huì)造成信息恣意傳播而無(wú)法找到源頭，因此系統(tǒng)應(yīng)自動(dòng)實(shí)現(xiàn)數(shù)據(jù)落地加密及權(quán)限控制，同時(shí)對(duì)下載終端加強(qiáng)安全策略認(rèn)證，提高下載用戶信息的安全度。

篇2

關(guān)鍵詞： 信息系統(tǒng)；等級(jí)保護(hù)；安全域；桌面域

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671－7597（2011）1210043－02

0 前言

隨著信息化建設(shè)不斷深入，信息技術(shù)應(yīng)用已滲透到企業(yè)的每一項(xiàng)業(yè)務(wù)，業(yè)務(wù)對(duì)信息系統(tǒng)的依賴程度越來(lái)越高，其基礎(chǔ)性、全局性、全員性作用日益增強(qiáng)。信息化是一把“雙刃劍”，在為企業(yè)帶來(lái)提高工作效率和管理水平、增強(qiáng)競(jìng)爭(zhēng)能力等益處的同時(shí)，也為企業(yè)帶來(lái)了安全風(fēng)險(xiǎn)，安全風(fēng)險(xiǎn)與信息化水平的提高同步增長(zhǎng)。提升企業(yè)信息系統(tǒng)安全防護(hù)能力，保障系統(tǒng)信息安全，同時(shí)滿足國(guó)家等級(jí)保護(hù)的合規(guī)性要求，成為信息化工作的新任務(wù)。信息系統(tǒng)安全防護(hù)架構(gòu)設(shè)計(jì)思路為“分區(qū)、分層、分級(jí)、分域”的綜合防御體系。將信息管理信息網(wǎng)絡(luò)劃分為信息內(nèi)網(wǎng)和信息外網(wǎng)，根據(jù)業(yè)務(wù)重要和社會(huì)影響劃分了若干三級(jí)保護(hù)系統(tǒng)和二級(jí)保護(hù)系統(tǒng)，三級(jí)系統(tǒng)獨(dú)立分域，其余二級(jí)系統(tǒng)統(tǒng)一成域，不同的安全域，從邊界安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全等方面明確了防護(hù)要求。在防護(hù)體系中，桌面終端域作為一種特殊的域?！翱傮w防護(hù)方案”對(duì)桌面終端域提出了“終端安全管理”和“網(wǎng)絡(luò)準(zhǔn)入控制”的要求，需要重點(diǎn)關(guān)注和分析。

1 獨(dú)立成域業(yè)務(wù)之間的橫向隔離

從等級(jí)保護(hù)建設(shè)的實(shí)際情況來(lái)看，三級(jí)要求的其他技術(shù)手段可以依托于設(shè)備和基礎(chǔ)方案來(lái)實(shí)現(xiàn)合規(guī)性建設(shè)。目前，棘手的問(wèn)題是如何實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)端到端的安全隔離，以及桌面域用戶如何在多個(gè)業(yè)務(wù)域隔離的情況下實(shí)現(xiàn)安全有效的互訪，既要實(shí)現(xiàn)業(yè)務(wù)隔離，確保業(yè)務(wù)的端到端訪問(wèn)路徑有效隔離，又要充分節(jié)省桌面域內(nèi)終端計(jì)算機(jī)的復(fù)用投資。

1.1 隔離的必要性和充分性

從業(yè)務(wù)訪問(wèn)路徑上來(lái)看，主要是桌面主機(jī)通過(guò)網(wǎng)絡(luò)通道訪問(wèn)應(yīng)用系統(tǒng)，通過(guò)網(wǎng)絡(luò)隔離措施對(duì)不同的應(yīng)用、業(yè)務(wù)和群組用戶進(jìn)行安全隔離，提高數(shù)據(jù)傳輸?shù)谋Ｃ苄院桶踩?，為用戶業(yè)務(wù)傳輸提供端到端的安全保證。

現(xiàn)有的網(wǎng)絡(luò)隔離措施在兩個(gè)安全區(qū)域間的有效控制互訪上面較為全面和細(xì)致，但是要完成等級(jí)保護(hù)建設(shè)的要求，必須針對(duì)訪問(wèn)路徑的各個(gè)關(guān)鍵節(jié)點(diǎn)，都能進(jìn)行有效的訪問(wèn)控制。網(wǎng)絡(luò)發(fā)展的趨勢(shì)是資源的集中與基礎(chǔ)設(shè)施的復(fù)用，在此之上虛擬化技術(shù)以1臺(tái)物理設(shè)備對(duì)應(yīng)多個(gè)邏輯設(shè)備的優(yōu)越特點(diǎn)越來(lái)越多地被考慮到，對(duì)應(yīng)到電力等級(jí)保護(hù)的建設(shè)要求，必須針對(duì)多種不同業(yè)務(wù)實(shí)現(xiàn)虛擬化技術(shù)基礎(chǔ)上的多通道隔離，特別是針對(duì)現(xiàn)有的數(shù)據(jù)大集中以后，在數(shù)據(jù)中心層面，如何實(shí)現(xiàn)隔離，也是端到端隔離技術(shù)選擇上需要重點(diǎn)考慮的問(wèn)題。

1.2 幾種隔離技術(shù)的對(duì)比

虛擬局域網(wǎng)VLAN（Virtual Local Area Net-work）是現(xiàn)有局域網(wǎng)中最常用的隔離技術(shù)。VLAN適合小型網(wǎng)絡(luò)用戶邏輯隔離，但VLAN的廣播域占用帶寬資源，鏈路利用率低；二層網(wǎng)絡(luò)不適合大規(guī)模應(yīng)用，網(wǎng)絡(luò)收斂速度慢，需要配置較多的二層特性，配置管理相對(duì)復(fù)雜。是一種最基本最常用的隔離方式，廣泛應(yīng)用于網(wǎng)絡(luò)接入層。

分布式訪問(wèn)控制列表ACL（Access ControlList）是另一種常見(jiàn)的隔離技術(shù)，適合一些規(guī)模不大的組網(wǎng)使用，需要嚴(yán)密地策略控制，配置管理復(fù)雜，無(wú)法提供端到端的隔離，業(yè)務(wù)或網(wǎng)絡(luò)調(diào)整時(shí)需要更改大量配置，并且嚴(yán)格限制可移動(dòng)性。常見(jiàn)的防火墻采用的就是這種方式。

多協(xié)議標(biāo)簽交換MPLS VPN（MultiprotocolLabel Switching Virtual Private Network）是一種在大型園區(qū)網(wǎng)和廣域網(wǎng)內(nèi)被普遍使用的隔離技術(shù)，支持園區(qū)內(nèi)用戶群組互訪應(yīng)用，能夠提供安全的端到端業(yè)務(wù)隔離，接入方式靈活，適合大規(guī)模網(wǎng)絡(luò)應(yīng)用，可擴(kuò)展性好，具有良好的可移動(dòng)性。但其要求設(shè)備支持VRF（VPN Routing Forwarding）/MPLS VPN，實(shí)際上主要依賴于核心交換機(jī)和骨干網(wǎng)路由器實(shí)現(xiàn)。

還有一些隔離技術(shù)本次不會(huì)考慮到，比如說(shuō)，采用網(wǎng)閘進(jìn)行物理隔離，采用入侵防御系統(tǒng)IPS（Intrusion Prevention System）等進(jìn)行應(yīng)用層安全隔離等。上述3種隔離技術(shù)在不同的應(yīng)用場(chǎng)景下，都有不可取代的作用，在選用過(guò)程中，需要綜合考慮部署位置、部署靈活性以及隔離目標(biāo)的達(dá)成性。

1.3 端到端的業(yè)務(wù)邏輯隔離方案

分析現(xiàn)有業(yè)務(wù)域劃分的特點(diǎn)，可以看到，幾個(gè)三級(jí)域都有跨廣域傳輸，且在局域網(wǎng)內(nèi)使用過(guò)程中接入層角色不區(qū)分，數(shù)據(jù)中心級(jí)應(yīng)用業(yè)務(wù)角色不區(qū)分。這就意味著端到端隔離的可行方案必須是一個(gè)綜合性的隔離方案，在原有各自為政的隔離基礎(chǔ)上，要實(shí)現(xiàn)動(dòng)態(tài)配置可調(diào)整，以便適應(yīng)同一個(gè)物理通道被多個(gè)邏輯業(yè)務(wù)所使用。各個(gè)隔離技術(shù)的部署位置如圖1所示。

圖1 獨(dú)立成域的業(yè)務(wù)系統(tǒng)間隔離示意圖

接入層各主機(jī)采用VLAN方式接入，以不同的VLAN號(hào)區(qū)分不同的業(yè)務(wù)，在匯聚層或核心層將VLAN與虛擬路由轉(zhuǎn)發(fā)VRF技術(shù)做一個(gè)映射，在跨廣域傳輸中以VRF來(lái)區(qū)別不同業(yè)務(wù)，在數(shù)據(jù)中心前端，通過(guò)多實(shí)例用戶網(wǎng)絡(luò)邊界設(shè)備MCE（Multi-VPN-Instance Customer Edge）連接技術(shù)，實(shí)現(xiàn)對(duì)不同來(lái)自VRF業(yè)務(wù)的安全策略控制，再以映射VLAN的方式訪問(wèn)服務(wù)器資源。

整個(gè)過(guò)程中，廣域網(wǎng)VPN和數(shù)據(jù)中心VLAN可以一次配置后不需要調(diào)整，只需要調(diào)整映射關(guān)系即可，接入層VLAN作為選擇業(yè)務(wù)的發(fā)起者，需要實(shí)現(xiàn)對(duì)業(yè)務(wù)應(yīng)用的智能識(shí)別和控制。

2 桌面域多用戶角色處理

網(wǎng)絡(luò)縱向邏輯隔離實(shí)現(xiàn)后，桌面域主機(jī)如何有控制地分別接入的不同業(yè)務(wù)域，成為實(shí)現(xiàn)端到端業(yè)務(wù)縱向隔離的關(guān)鍵。

2.1 桌面域接入網(wǎng)絡(luò)面臨的挑戰(zhàn)

等級(jí)保護(hù)屬于強(qiáng)制業(yè)務(wù)分區(qū)方式，三級(jí)業(yè)務(wù)完全隔離雖尚未有強(qiáng)制到桌面主機(jī)多機(jī)隔離的要求，但是必須確保同一個(gè)主機(jī)在滿足三級(jí)接入要求的前提下能夠同時(shí)以多個(gè)業(yè)務(wù)域主機(jī)的角色存在，所以，業(yè)務(wù)域的標(biāo)記和識(shí)別是接入層最重要的工作?，F(xiàn)有的網(wǎng)絡(luò)終端準(zhǔn)入系統(tǒng)常見(jiàn)的功能是用戶終端試圖接入網(wǎng)絡(luò)時(shí)，首先通過(guò)安全客戶端進(jìn)行用戶身份認(rèn)證，非法用戶將被拒絕接入網(wǎng)絡(luò)；合法用戶將被要求進(jìn)行安全狀態(tài)認(rèn)證，由安全策略服務(wù)器驗(yàn)證補(bǔ)丁版本、病毒庫(kù)版本是否合格，不合格用戶將被安全聯(lián)動(dòng)設(shè)備隔離到隔離區(qū)；進(jìn)入隔離區(qū)的用戶可以進(jìn)行補(bǔ)丁、病毒庫(kù)的升級(jí)，直到安全狀態(tài)合格，安全狀態(tài)合格的用戶將實(shí)施由安全策略服務(wù)器下發(fā)的安全設(shè)置，并由安全聯(lián)動(dòng)設(shè)備提供基于身份的網(wǎng)絡(luò)服務(wù)。

分析現(xiàn)有的桌面域準(zhǔn)入控制系統(tǒng)，可以發(fā)現(xiàn)用戶的接入方式802.1x、門戶單點(diǎn)、VPN、無(wú)線局域網(wǎng)等，認(rèn)證因子有用戶名+密碼、軟證書、硬證書等，認(rèn)證可動(dòng)態(tài)下發(fā)的安全策略有VLAN、ACL，其中ACL與接入層設(shè)備強(qiáng)相關(guān)。

由于業(yè)務(wù)接入的方式多種多樣，在接入方式尚不具備區(qū)分性，認(rèn)證因子上如果選擇差異化較大的用戶名及登錄屬性，則會(huì)大大增加主機(jī)側(cè)的難度，需要以一個(gè)合理的方式表示出本次登錄用戶希望使用的是某個(gè)業(yè)務(wù)。

2.2 多角色主機(jī)解決方案

綜合考慮多種實(shí)現(xiàn)方式，選擇用戶名結(jié)合域名拼接的方式進(jìn)行認(rèn)證，由認(rèn)證服務(wù)器配合進(jìn)行用戶名和域名的獨(dú)立解析，然后下發(fā)動(dòng)態(tài)的設(shè)備配置到主機(jī)所接入的交換機(jī)的對(duì)應(yīng)端口，用戶認(rèn)證通過(guò)后即實(shí)現(xiàn)了相應(yīng)業(yè)務(wù)域資源的訪問(wèn)，如圖2所示。

圖2 多角色主機(jī)登錄認(rèn)證示意圖

在圖2中，用戶唯一，但通過(guò)后綴實(shí)現(xiàn)同一賬號(hào)在各個(gè)業(yè)務(wù)域內(nèi)安全接入，通過(guò)身份實(shí)現(xiàn)控制權(quán)限動(dòng)態(tài)下發(fā)ACL或VALN。

無(wú)論是ACL方式下發(fā)的，還是VLAN方式下發(fā)的，最終都可以映射到廣域網(wǎng)縱向隔離的MPLSVPN中去，所以也就完成了端到端業(yè)務(wù)發(fā)起者的業(yè)務(wù)動(dòng)態(tài)識(shí)別和標(biāo)記工作。

3 等級(jí)保護(hù)安全域隔離需考慮的其他問(wèn)題

等級(jí)保護(hù)業(yè)務(wù)安全域隔離的問(wèn)題在具體實(shí)施過(guò)程中應(yīng)注意以下幾個(gè)關(guān)鍵要素。

1）接入層設(shè)備與網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的配合上，必須支持ACL和VLAN的動(dòng)態(tài)下發(fā)。

2）在匯聚設(shè)備或核心設(shè)備上，支持VLAN和ACL到MPLS VPN的VRF的映射的配置，以便能夠?qū)崿F(xiàn)接入層到廣域傳輸層的對(duì)接。

3）在數(shù)據(jù)中心服務(wù)器前端，部署的安全設(shè)備必須支持MPLS VPN組網(wǎng)下的MCE功能，支持虛擬防火墻功能。

4 結(jié)束語(yǔ)

等級(jí)保護(hù)建設(shè)從根本意義上是合規(guī)性建設(shè)，一方面要充分利用現(xiàn)有的設(shè)備和技術(shù)手段解決問(wèn)題；另一方面要針對(duì)多業(yè)務(wù)安全域間條塊化隔離和多角色主機(jī)復(fù)用問(wèn)題，通過(guò)原有技術(shù)手段的進(jìn)一步組合和創(chuàng)新性方案的提出，在生產(chǎn)中解決這些問(wèn)題。虛擬化資源動(dòng)態(tài)分配和桌面終端的一機(jī)多域的解決方案，可充分地利用現(xiàn)有的技術(shù)隔離措施以及設(shè)備，實(shí)現(xiàn)端到端的策略對(duì)接，多角色主機(jī)接入。

參考文獻(xiàn)：

[1]郭護(hù)林，企業(yè)網(wǎng)絡(luò)信息安全分析[J].計(jì)算機(jī)安全，2002.

[2]閆斌、曲俊華、齊林海，電力企業(yè)網(wǎng)絡(luò)信息安全系統(tǒng)建設(shè)方案的研究[J].計(jì)算機(jī)安全，2003.

[3]朱貴強(qiáng)，論企業(yè)網(wǎng)絡(luò)信息安全管理，2005.

篇3

隨著我國(guó)信息化應(yīng)用的深入發(fā)展，信息技術(shù)和設(shè)備在各行各業(yè)中都得到了廣泛應(yīng)用。當(dāng)前，借助信息化手段打造的智能化電網(wǎng)正在我國(guó)電力企業(yè)中發(fā)展壯大，電力企業(yè)已經(jīng)基本上實(shí)現(xiàn)了信息化和自動(dòng)化，而信息安全問(wèn)題在信息化應(yīng)用過(guò)程中也日趨突出。如果電力企業(yè)核心業(yè)務(wù)系統(tǒng)發(fā)生信息安全事件，勢(shì)必會(huì)對(duì)電力系統(tǒng)的穩(wěn)定運(yùn)行造成影響，一旦電力系統(tǒng)癱瘓，就會(huì)給國(guó)家造成不可估量的經(jīng)濟(jì)損失,以及負(fù)面的社會(huì)影響。所以電力企業(yè)必須加強(qiáng)信息安全管理,國(guó)家層面及行業(yè)內(nèi)部均出臺(tái)了相關(guān)的信息安全管理要求,其目的都是確保各類重要信息系統(tǒng)的安全穩(wěn)定運(yùn)行。

1信息安全等級(jí)保護(hù)

1.1信息安全保護(hù)等級(jí)劃分

依據(jù)國(guó)家標(biāo)準(zhǔn)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239-2008），電力行業(yè)內(nèi)部出臺(tái)了《電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（電監(jiān)信息〔2012〕62號(hào)）。從相關(guān)標(biāo)準(zhǔn)中可知信息系統(tǒng)的安全保護(hù)等級(jí)主要有2個(gè)要素決定：一是系統(tǒng)受到破壞后所侵害到的客體范圍，這里的客體主要包括公民、法人和其他組織的合法權(quán)益；社會(huì)秩序、公共利益；國(guó)家安全等。侵害客體范圍越大，級(jí)別越高其保護(hù)等級(jí)也越高。二是系統(tǒng)受到破壞后對(duì)客體造成的損害程度，主要有三種認(rèn)定，即一般損害、嚴(yán)重?fù)p害、特別嚴(yán)重?fù)p害。程度越深保護(hù)等級(jí)越高。根據(jù)定級(jí)要求，安全保護(hù)等級(jí)被分為以下5個(gè)等級(jí)。第一級(jí)：用戶自主保護(hù)級(jí)的信息系統(tǒng)受到破壞,這可能會(huì)在一定程度上造成當(dāng)事人和其所在的組織的利益受損,但是對(duì)于國(guó)家的安全、集體的利益以及社會(huì)穩(wěn)定的發(fā)展并未造成較大的損傷。第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)的信息系統(tǒng)受到破壞，該情況可能會(huì)對(duì)當(dāng)事人所在的組織與人民群眾的切身利益受到較大程度的損失，同時(shí)也影響了集體的利益與社會(huì)的安定團(tuán)結(jié)，但是并未對(duì)國(guó)家安全產(chǎn)生影響。第三級(jí)：安全標(biāo)記保護(hù)級(jí)的信息系統(tǒng)受到破壞，在這種情況下集體利益和整個(gè)社會(huì)的安全穩(wěn)定遭受到了重大程度上的損傷，此外該等級(jí)有著與系統(tǒng)審計(jì)保護(hù)級(jí)相類似的全部信息的保護(hù)功能，它在此基礎(chǔ)上會(huì)強(qiáng)制對(duì)于系統(tǒng)檢查并記錄相關(guān)內(nèi)容，主要監(jiān)控和檢查的是訪問(wèn)者與被訪問(wèn)的對(duì)象。第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)的信息系統(tǒng)受到破壞，該情況可能會(huì)對(duì)人民群眾的切身利益以及一些機(jī)構(gòu)組織帶來(lái)不利的影響，此外還對(duì)國(guó)家的安全、集體的利益以及整個(gè)社會(huì)的安定團(tuán)結(jié)帶來(lái)重大的損失。第五級(jí)：訪問(wèn)驗(yàn)證保護(hù)級(jí)的信息系統(tǒng)受到破壞，在這種情況下的國(guó)家安全將會(huì)受到極其惡劣和嚴(yán)重的影響。

1.2信息安全等級(jí)定級(jí)

（1）安全保護(hù)等級(jí)依據(jù)相應(yīng)的政策與規(guī)定進(jìn)行定級(jí)相應(yīng)的政策與規(guī)定指的是《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》的國(guó)家標(biāo)準(zhǔn)和《電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》的行業(yè)標(biāo)準(zhǔn)，在安全防護(hù)信息的過(guò)程中，諸如一些國(guó)家機(jī)關(guān)、重點(diǎn)的科研單位以及國(guó)防部等特殊機(jī)構(gòu)的信息系統(tǒng)應(yīng)當(dāng)進(jìn)行特殊的保護(hù)與相應(yīng)的隔離。這些系統(tǒng)應(yīng)該進(jìn)行特別嚴(yán)格的對(duì)待，需要依據(jù)防護(hù)信息安全等級(jí)中的相應(yīng)法律法規(guī)與政策的規(guī)定，從而對(duì)于系統(tǒng)進(jìn)行監(jiān)控和防護(hù)。

（2）安全保護(hù)等級(jí)依據(jù)需要保護(hù)的數(shù)據(jù)的價(jià)值進(jìn)行定級(jí)依據(jù)需要被保護(hù)的信息類別與所存在價(jià)值的不同，進(jìn)而設(shè)置出不同的防護(hù)安全等級(jí)。這樣可以在保護(hù)信息安全的同時(shí)還能夠最大程度降低所投入的運(yùn)作。從信息安全保護(hù)等級(jí)的劃分情況及電力企業(yè)的屬地等級(jí)及重要程度來(lái)看，電力企業(yè)中各類業(yè)務(wù)信息系統(tǒng)的保護(hù)定級(jí)一般會(huì)在第二級(jí)到第四級(jí)之間。電力信息系統(tǒng)的安全等級(jí)防護(hù)及其要求的重點(diǎn)對(duì)象是防護(hù)信息系統(tǒng)等級(jí)在三級(jí)和三級(jí)以上的系統(tǒng)，其實(shí)質(zhì)主要是監(jiān)督檢查級(jí)與強(qiáng)制監(jiān)督檢查級(jí)。

2電力信息系統(tǒng)的安全等級(jí)防護(hù)及其要求

安全等級(jí)防護(hù)主要具備以下幾個(gè)作用：一是幫助企業(yè)有效地防止外部勢(shì)力和企業(yè)內(nèi)部人員對(duì)系統(tǒng)造成破壞；二是針對(duì)安全事件進(jìn)行性質(zhì)審查和等級(jí)確認(rèn)；三是幫助企業(yè)抵制所面對(duì)的可能會(huì)破壞系統(tǒng)的行為；四是對(duì)于違法違規(guī)的行為能夠進(jìn)行審核和追查。電力信息系統(tǒng)安全等級(jí)防護(hù)及其要求涉及了電力生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)，但重點(diǎn)則是以電力生產(chǎn)控制系統(tǒng)的安全防護(hù)為主，如若電力生產(chǎn)控制系統(tǒng)遭受攻擊，將引發(fā)電網(wǎng)事故。所以電力企業(yè)在電力生產(chǎn)控制系統(tǒng)的規(guī)劃、設(shè)計(jì)、建設(shè)階段就要加強(qiáng)安全防護(hù)審核，新建或改造系統(tǒng)投運(yùn)前需通過(guò)安全等保測(cè)評(píng)。系統(tǒng)投運(yùn)后需將安全防護(hù)納入日常運(yùn)行監(jiān)視和管理范圍，建立專項(xiàng)應(yīng)急機(jī)制和預(yù)案，當(dāng)發(fā)生信息安全事件時(shí)，采取應(yīng)急防護(hù)措施，防止事態(tài)擴(kuò)大。

3信息安全等級(jí)保護(hù)的方式

信息安全等級(jí)保護(hù)的方式主要有以下三方面：

3.1物理安全保護(hù)方面

物理安全保護(hù)主要從系統(tǒng)運(yùn)行環(huán)境進(jìn)行安全管理控制：對(duì)主機(jī)房等設(shè)備運(yùn)行環(huán)境進(jìn)行安全防范管理。利用較為先進(jìn)的技術(shù)和設(shè)備實(shí)現(xiàn)對(duì)重要信息設(shè)備進(jìn)行不間斷電源、防塵、防震、防火、防盜、防雷、防靜電、溫濕度控制、電磁屏蔽防護(hù)、數(shù)據(jù)備份及防泄露等方面的防護(hù)，確保各類信息設(shè)備的安全穩(wěn)定運(yùn)行。由此可看出，物理安全保護(hù)的目標(biāo)就是為信息系統(tǒng)設(shè)備提供安全穩(wěn)定的運(yùn)行環(huán)境。

3.2主機(jī)安全保護(hù)方面

主機(jī)安全保護(hù)主要從主機(jī)安全運(yùn)行進(jìn)行安全管理配置：主要對(duì)主機(jī)中運(yùn)行的操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件及其它應(yīng)用系統(tǒng)的安全運(yùn)行進(jìn)行配置管理。具體要求主要有身份鑒別、訪問(wèn)控制、安全審計(jì)、安全標(biāo)記、剩余信息保護(hù)、入侵防范、惡意代碼防范、可信路徑、資源控制等安全配置要求。主機(jī)作為承載信息系統(tǒng)的主體，也是信息系統(tǒng)安全保護(hù)的主體。

3.3網(wǎng)絡(luò)安全保護(hù)方面

網(wǎng)絡(luò)安全保護(hù)主要對(duì)網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)通信（訪問(wèn)）進(jìn)行安全管理：主要通過(guò)對(duì)網(wǎng)絡(luò)結(jié)構(gòu)、訪問(wèn)控制、安全審計(jì)、邊界安全管理、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備安全配置等安全管理審查項(xiàng)進(jìn)行全面審查，從而確保信息網(wǎng)絡(luò)的安全可靠運(yùn)行。

4電力信息系統(tǒng)等級(jí)保護(hù)策略

電力企業(yè)信息系統(tǒng)安全等級(jí)保護(hù)工作關(guān)系著電力系統(tǒng)的安全穩(wěn)定運(yùn)行，加強(qiáng)信息系統(tǒng)安全等級(jí)保護(hù)是電力企業(yè)信息管理工作的工作重點(diǎn)，主要有以下幾項(xiàng)關(guān)鍵點(diǎn)，通過(guò)相關(guān)保護(hù)措施、策略加強(qiáng)信息安全等級(jí)保護(hù)工作：

4.1信息系統(tǒng)分級(jí)統(tǒng)一保護(hù)措施

電力企業(yè)擁有各種不同業(yè)務(wù)功能的業(yè)務(wù)系統(tǒng)，這此信息系統(tǒng)大多分屬于第二級(jí)到第四級(jí)的安全級(jí)別，不同的安全級(jí)別其安全要求和保護(hù)強(qiáng)度都不相同，這就要求電力企業(yè)在每個(gè)信息系統(tǒng)新建時(shí)便根據(jù)信息系統(tǒng)分級(jí)劃分標(biāo)準(zhǔn)進(jìn)行等級(jí)保護(hù)定級(jí)。根據(jù)各個(gè)信息系統(tǒng)的定級(jí)情況，將同等級(jí)信息系統(tǒng)納入相同的安全管理區(qū)域進(jìn)行統(tǒng)一管理，確保各個(gè)信息系統(tǒng)都能全面按照相應(yīng)等級(jí)保護(hù)要求進(jìn)行安全管控，從而有效提升各信息系統(tǒng)的安全管理水平。

4.2信息安全定期檢查及應(yīng)急演練

這里的檢查不僅指上級(jí)單位的安全檢查，還包括信息系統(tǒng)運(yùn)營(yíng)單位的安全自查。對(duì)于不同安全等級(jí)保護(hù)措施的信息系統(tǒng)，需要根據(jù)等級(jí)保護(hù)的管理規(guī)范進(jìn)行檢查評(píng)估，一旦發(fā)現(xiàn)問(wèn)題立馬進(jìn)行整改，從本質(zhì)上加固信息系統(tǒng)安全配置，提升信息系統(tǒng)安全防護(hù)水平。對(duì)于不同等級(jí)的信息系統(tǒng)，應(yīng)制定不同時(shí)間段的定期檢查計(jì)劃及應(yīng)急演練計(jì)劃，通過(guò)應(yīng)急演練模擬突發(fā)安全事件時(shí)信息系統(tǒng)可能發(fā)生的各類安全問(wèn)題，信息系統(tǒng)管理人員按照應(yīng)急預(yù)案開(kāi)展應(yīng)急處置，以此驗(yàn)證應(yīng)急預(yù)案的正確性，并提升信息系統(tǒng)管理人員的應(yīng)急處置能力，進(jìn)而確保信息系統(tǒng)在發(fā)生安全事件時(shí)，能夠在最短時(shí)間內(nèi)將事件影響降低到盡可能小的范圍內(nèi)。

4.3信息安全保障體系的建立與落實(shí)

通過(guò)信息安全保障體系的建設(shè)可以用來(lái)提高源于人、管理以及技術(shù)三方面所形成的預(yù)防能力、防護(hù)能力等各類提升系統(tǒng)安全的能力，可以使信息系統(tǒng)安全管控作業(yè)實(shí)現(xiàn)規(guī)范化、標(biāo)準(zhǔn)化和常態(tài)化的管理，實(shí)現(xiàn)對(duì)信息系統(tǒng)的安全屬性、功能應(yīng)用以及服務(wù)效率上開(kāi)展動(dòng)態(tài)保護(hù)，所謂安全屬性指的是信息系統(tǒng)和它的基礎(chǔ)網(wǎng)絡(luò)的真實(shí)可用性、完整保密性等安全屬性。通過(guò)信息安全保障體系的落實(shí)，使信息系統(tǒng)安全管理工作以更加具體的作業(yè)操作方式呈現(xiàn)，從而使信息安全管理工作更加具體化，在確保信息系統(tǒng)安全穩(wěn)定運(yùn)行的同時(shí)促進(jìn)了電力企業(yè)對(duì)信息安全作業(yè)的管控。

參考文獻(xiàn)

[1]朱世順.電力生產(chǎn)控制系統(tǒng)信息安全等級(jí)保護(hù)研究[J].電力信息化，2012.

篇4

    范的遵循、通過(guò)一些技術(shù)手段能夠給予解決。

    其次是規(guī)范,目前國(guó)家對(duì)于不同的行業(yè)有分級(jí)保護(hù)、等級(jí)保護(hù)制度,明確了對(duì)系統(tǒng)及管理的安全保護(hù)要求。企業(yè)也有一些合規(guī)性法案要求、在進(jìn)行系統(tǒng)規(guī)劃和建設(shè)的同時(shí),應(yīng)將信息安全的保護(hù)措施作為必要的內(nèi)容進(jìn)行考慮。

    最后是技術(shù),當(dāng)前針對(duì)數(shù)據(jù)加密和文檔防泄密保護(hù)、行為審計(jì)等安全問(wèn)題都有一些成熟可用的解決方案,無(wú)論是政府部門還是企業(yè)都可以采用一些技術(shù)手段來(lái)和管理需求結(jié)合,降低信息安全引發(fā)的風(fēng)險(xiǎn)。

    文檔泄密的主要途徑

    據(jù)了解,大量文檔信息泄密事件的出現(xiàn)主要有兩方面的原因:首先是大量的信息安全事件,呈現(xiàn)出商業(yè)利益驅(qū)動(dòng)的現(xiàn)象。不論是木馬病毒的黑色產(chǎn)業(yè)鏈,還是銀行系統(tǒng)內(nèi)部人員的儲(chǔ)戶信息主動(dòng)泄密,都有后面的商業(yè)利益驅(qū)動(dòng)。而且隨著商業(yè)環(huán)境競(jìng)爭(zhēng)的日益激烈,這種信息安全的威脅還會(huì)持續(xù)和加劇。

    其次,信息泄密在向更加專業(yè)化犯罪的趨勢(shì)發(fā)展。從木馬病毒、釣魚網(wǎng)站的不斷出現(xiàn),再到運(yùn)營(yíng)商后臺(tái)密碼被攻破,這些灰色事件的背后,都有專業(yè)的人員和組織。這給信息安全防范帶來(lái)更高的要求。

    據(jù)時(shí)代億信技術(shù)總監(jiān)李兆豐介紹,信息安全威脅不僅成為困擾個(gè)人隱私保護(hù)和企業(yè)發(fā)展的問(wèn)題,也成為阻礙我國(guó)電子商務(wù)產(chǎn)業(yè)繁榮、云計(jì)算推廣、移動(dòng)互聯(lián)網(wǎng)應(yīng)用的一個(gè)關(guān)鍵問(wèn)題。

    根據(jù)時(shí)代億信近年來(lái)的研究結(jié)果顯示,目前文檔泄密的主要途徑有4種:計(jì)算機(jī)上木馬、病毒的惡意竊取;員工對(duì)于網(wǎng)絡(luò)、存儲(chǔ)介質(zhì)的違規(guī)使用;內(nèi)部員工、管理員的主動(dòng)泄密;筆記本電腦、移動(dòng)硬盤維修、丟失過(guò)程中導(dǎo)致的泄密。

    針對(duì)這些泄密的途徑,時(shí)代億信文件盾系列產(chǎn)品采用如下技術(shù)有針對(duì)性地進(jìn)行了解決:通過(guò)對(duì)文檔加密,防止傳輸、存儲(chǔ)過(guò)程中的泄密;在計(jì)算機(jī)上進(jìn)行可信進(jìn)程控制,防止木馬、病毒等的惡意竊取;建立安全的身份識(shí)別機(jī)制,確認(rèn)對(duì)文檔當(dāng)前操作者的身份;對(duì)文檔實(shí)現(xiàn)細(xì)粒度權(quán)限控制,防止內(nèi)部員工的被動(dòng)、主動(dòng)泄密;靈活的離線控制策略,實(shí)現(xiàn)對(duì)文檔脫離網(wǎng)絡(luò)后的控制。

    從目前國(guó)內(nèi)文檔安全產(chǎn)品的競(jìng)爭(zhēng)格局來(lái)看,主要有如下三類:第一類是國(guó)外技術(shù)產(chǎn)品,比較典型的是微軟的RMS文檔權(quán)限管理系統(tǒng)以及EMC的Documentum IRM;第二類是國(guó)內(nèi)企業(yè)的DRM文檔安全管理系統(tǒng)產(chǎn)品,這里既有進(jìn)入較早的前沿科技、億賽通等專業(yè)廠商產(chǎn)品,也有老牌信息安全廠商像天融信、啟明星辰、中軟、時(shí)代億信等OEM或自主研發(fā)的文檔安全產(chǎn)品;第三類是針對(duì)CAD、PDM等設(shè)計(jì)類應(yīng)用的專用加密產(chǎn)品。這些大都是專注于CAD應(yīng)用的傳統(tǒng)廠商開(kāi)發(fā)的針對(duì)設(shè)計(jì)軟件的加密產(chǎn)品。

    而從目前我國(guó)文檔安全市場(chǎng)的發(fā)展來(lái)看,國(guó)外的產(chǎn)品由于理念、文化的差異,在國(guó)內(nèi)市場(chǎng)的推廣和實(shí)際應(yīng)用效果并不理想。而國(guó)內(nèi)產(chǎn)品更注重國(guó)內(nèi)企業(yè)的企業(yè)文化,更加貼近國(guó)內(nèi)企業(yè)的需求,由國(guó)內(nèi)廠商提出的基于文件透明過(guò)濾驅(qū)動(dòng)實(shí)現(xiàn)的自動(dòng)加解密技術(shù)成為目前市場(chǎng)的主流產(chǎn)品。隨著一些傳統(tǒng)安全廠商進(jìn)入這個(gè)領(lǐng)域后,能夠結(jié)合其在傳統(tǒng)4A安全領(lǐng)域的優(yōu)勢(shì)技術(shù),形成一整套從外到內(nèi)的信息安全整體解決方案,進(jìn)一步推動(dòng)了文檔安全市場(chǎng)的成熟和發(fā)展。

    文檔加密技術(shù)的優(yōu)勢(shì)與挑戰(zhàn)

    據(jù)李兆豐介紹,目前對(duì)于一般企業(yè)文檔安全的建設(shè),應(yīng)該不單單只是上了一套產(chǎn)品,而是需要建立企業(yè)文檔安全管理的規(guī)范,并且這個(gè)規(guī)范能夠隨著企業(yè)安全需求的變化而變化。評(píng)價(jià)文檔安全建設(shè)是否成功的一個(gè)方面就是所建立的文檔安全管理規(guī)范是否適合企業(yè)。

    他說(shuō),企業(yè)安裝使用文件盾產(chǎn)品的主要優(yōu)勢(shì)在于:既可以根據(jù)用戶需求,提供個(gè)性化、模塊化的產(chǎn)品功能,還創(chuàng)新性的實(shí)現(xiàn)了一些主流第三方應(yīng)用的成功集成,幫助企業(yè)建立整體的文檔安全服務(wù)體系。文件盾按照用戶的需求,劃分為自動(dòng)加密(A)、權(quán)限管理(R)、應(yīng)用集成(M)、加密網(wǎng)關(guān)(G)、外發(fā)控制(S)、文件保險(xiǎn)箱(T)等6個(gè)產(chǎn)品型號(hào),既可以獨(dú)立又能結(jié)合使用。特別是在應(yīng)用集成方便,根據(jù)用戶的實(shí)際需求,能夠和主流的門戶、OA、KM等產(chǎn)品進(jìn)行融合。還創(chuàng)新性的實(shí)現(xiàn)了SVN、虛擬桌面環(huán)境、移動(dòng)終端下的文檔安全保護(hù)。

    2011年民生銀行總行成功實(shí)施了文檔安全管理系統(tǒng)。全行裝機(jī)量10萬(wàn)多客戶終端,其門戶、OA、知識(shí)庫(kù)系統(tǒng)全面和文檔安全進(jìn)行了整合,在一年的時(shí)間里共有加密的文檔300萬(wàn)條,有力的支撐了用戶的信息安全保護(hù)需求。民生銀行最大的特點(diǎn)是把文檔安全系統(tǒng)建設(shè)成為企業(yè)內(nèi)部的文檔安全服務(wù)體系。在后期的建設(shè)過(guò)程中,逐步把SVN服務(wù)器、Citrix虛擬桌面應(yīng)用等一系列應(yīng)用納入文檔安全保護(hù)體系中,實(shí)現(xiàn)了企業(yè)信息安全保護(hù)的可持續(xù)發(fā)展。

篇5

肖波認(rèn)為，當(dāng)前我國(guó)企業(yè)級(jí)信息安全領(lǐng)域尚比較薄弱，管理軟件和信息安全分屬不同領(lǐng)域，兩者平行運(yùn)營(yíng)而無(wú)交集，以太信御在此一背景下，選擇定位于企業(yè)級(jí)信息安全領(lǐng)域，向行業(yè)領(lǐng)軍企業(yè)、平臺(tái)級(jí)公司進(jìn)軍。

肖波對(duì)此雄心勃勃。他強(qiáng)調(diào)，過(guò)去10年全球信息安全產(chǎn)業(yè)的每個(gè)細(xì)分領(lǐng)域都產(chǎn)生了一個(gè)世界級(jí)巨頭，他相信中國(guó)信息安全也會(huì)誕生世界級(jí)巨頭，并帶動(dòng)本土信息安全產(chǎn)業(yè)的發(fā)展?！叭缃裨谙M(fèi)級(jí)市場(chǎng)已經(jīng)有了巨頭，企業(yè)級(jí)市場(chǎng)還沒(méi)有?！毙げㄕf(shuō)，“我就不能想一想嗎？”

據(jù)悉，以太信御推出的SecurityLink系列解決方案將為企業(yè)級(jí)信息安全保駕護(hù)航。以太信御副總經(jīng)理林森介紹，SecurityLink包含基礎(chǔ)架構(gòu)安全A、業(yè)務(wù)應(yīng)用安全X、業(yè)務(wù)數(shù)據(jù)安全D和運(yùn)維安全M這四個(gè)系列產(chǎn)品，在技術(shù)架構(gòu)、業(yè)務(wù)應(yīng)用、業(yè)務(wù)數(shù)據(jù)、運(yùn)維安全四個(gè)領(lǐng)域整合出50個(gè)安全組件，并根據(jù)企業(yè)信息化安全各種需求，將不同的安全組件進(jìn)行組合，為企業(yè)信息安全提供全方位立體化防御。

其中，基礎(chǔ)架構(gòu)安全A系列包含以太信御統(tǒng)一威脅管理（A-USM）、以太信御Web應(yīng)用安全網(wǎng)關(guān)（A-WAG）、以太信御安全虛擬專線系統(tǒng)（A-VPN），、以太信御應(yīng)用交付系統(tǒng)（A-ADC）和以太信御主機(jī)安全衛(wèi)士（A-HSG）五款產(chǎn)品。

業(yè)務(wù)應(yīng)用安全X系列是SecurityLink系列解決方案的核心，以BowlineBox硬件盒子的方式整合了業(yè)務(wù)系統(tǒng)保護(hù)、ERP安全保護(hù)等安全組件，旨在解決用戶核心的業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全。BowlineBox安全盒子針對(duì)應(yīng)用規(guī)模分別推出X1、X3、X5、X6、X9不同系列產(chǎn)品。BowlineBox安全盒子可以為企業(yè)提供全生命周期的業(yè)務(wù)安全保障體系：通過(guò)訪問(wèn)準(zhǔn)入、安全準(zhǔn)入、系統(tǒng)可用性保障、企業(yè)敏感信息防泄漏實(shí)現(xiàn)事前防范，通過(guò)實(shí)時(shí)、全面的監(jiān)控體系和高校、快捷的報(bào)警機(jī)制進(jìn)行事中監(jiān)測(cè)，通過(guò)多樣化分析體系、面向企業(yè)的個(gè)性化安全報(bào)告進(jìn)行事后分析。

業(yè)務(wù)數(shù)據(jù)安全D系列由以太信御敏感信息防泄密系統(tǒng)（D-DLP）進(jìn)行防護(hù)，包含敏感信息泄漏阻斷、敏感信息泄露監(jiān)測(cè)、敏感信息加密、數(shù)據(jù)備份/異地災(zāi)備等防護(hù)措施，保障企業(yè)業(yè)務(wù)數(shù)據(jù)的安全問(wèn)題。

篇6

關(guān)鍵詞:網(wǎng)絡(luò)環(huán)境;企業(yè)信息;安全管理

隨著網(wǎng)絡(luò)的普及和廣泛應(yīng)用，人類生活辦公都越來(lái)越離不開(kāi)網(wǎng)絡(luò)，在信息全球化的影響下，網(wǎng)絡(luò)已經(jīng)對(duì)人們的生活產(chǎn)生出了極為深刻的影響。因此，人們對(duì)網(wǎng)絡(luò)環(huán)境下的信息安全問(wèn)題也開(kāi)始更加關(guān)注。在企業(yè)中運(yùn)用網(wǎng)絡(luò)，在促進(jìn)企業(yè)發(fā)展的同時(shí)，也很容易造成企業(yè)中的信息出現(xiàn)泄漏的現(xiàn)象，且一旦信息泄漏，就會(huì)造成嚴(yán)重的影響。企業(yè)內(nèi)部也是這樣，與此同時(shí)網(wǎng)絡(luò)安全問(wèn)題卻逐漸浮出水面，嚴(yán)重威脅到了網(wǎng)絡(luò)健康和正常運(yùn)行。所以采取相關(guān)安全管理與防范措施很有必要。網(wǎng)絡(luò)化的社會(huì)可以讓天下事盡收眼底，極其方便快捷。企業(yè)內(nèi)部利用網(wǎng)絡(luò)這一優(yōu)勢(shì)將其應(yīng)用到實(shí)處，讓網(wǎng)絡(luò)在企業(yè)運(yùn)營(yíng)中發(fā)揮著重要作用。而有好處的同時(shí)往往也會(huì)存在著壞處這一對(duì)立面，安全隱患就是很棘手的一個(gè)問(wèn)題。文章就是基于此來(lái)分析出切實(shí)可行的安全管理與防范對(duì)策，從而能夠解決這一問(wèn)題。

1信息安全與信息安全管理

（1）信息安全的根本目的是保障企業(yè)內(nèi)部信息不受任何因素的威脅，確保系統(tǒng)能夠連續(xù)可靠正常地運(yùn)行，現(xiàn)代企業(yè)的信息安全是指企業(yè)為確保信息的保密性、真實(shí)性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全性不因偶然或惡意原因遭受破壞、更改和泄露而在計(jì)算機(jī)管理和技術(shù)上對(duì)數(shù)據(jù)處理系統(tǒng)進(jìn)行的安全保護(hù)，保護(hù)企業(yè)的生產(chǎn)運(yùn)營(yíng)安全。（2）一般來(lái)說(shuō)，存儲(chǔ)設(shè)備配置和信息安全管理中的漏洞、網(wǎng)絡(luò)環(huán)境和企業(yè)內(nèi)部局域網(wǎng)潛在的危險(xiǎn)是企業(yè)信息安全的主要隱患。結(jié)合企業(yè)實(shí)際特點(diǎn)和需要，構(gòu)建企業(yè)信息安全管理體系，避免企業(yè)機(jī)密資料外泄，保護(hù)企業(yè)的生產(chǎn)運(yùn)營(yíng)安全是企業(yè)信息安全管理研究的重要課題。企業(yè)信息安全管理是企業(yè)為實(shí)現(xiàn)安全目標(biāo)進(jìn)行的信息安全風(fēng)險(xiǎn)相互協(xié)調(diào)活動(dòng)，其目的在于通過(guò)制定信息安全政策、風(fēng)險(xiǎn)評(píng)估等系列工作盡量做到在有限的成本下保證資產(chǎn)的安全，維護(hù)信息的機(jī)密性、完整性和可用性。（3）隨著科學(xué)技術(shù)的不斷發(fā)展，云計(jì)算、大數(shù)據(jù)以及互聯(lián)網(wǎng)等將引領(lǐng)著未來(lái)IT的發(fā)展。企業(yè)想要實(shí)現(xiàn)發(fā)展，就要做好基礎(chǔ)性的工作，完善基礎(chǔ)設(shè)施建設(shè)，建立出完善的信息安全保障系統(tǒng)，在健康的網(wǎng)絡(luò)環(huán)境下來(lái)實(shí)現(xiàn)長(zhǎng)遠(yuǎn)的發(fā)展。企業(yè)想要實(shí)現(xiàn)長(zhǎng)遠(yuǎn)的發(fā)展，就要保證自身信息上的安全，同時(shí)還要認(rèn)識(shí)到信息安全的重要性，從長(zhǎng)遠(yuǎn)的角度上出發(fā)來(lái)保護(hù)好信息。

2網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全管理存在的問(wèn)題

2.1計(jì)算機(jī)自身的不確定性

網(wǎng)絡(luò)時(shí)代，人人都可以成為信息的制造者、傳播者和接受者，但由于網(wǎng)絡(luò)的開(kāi)放性、匿名性以及網(wǎng)民素質(zhì)的良莠不齊，不僅導(dǎo)致網(wǎng)絡(luò)產(chǎn)生許多虛假信息、表述不明確信息，來(lái)混淆視聽(tīng)。甚至誤導(dǎo)網(wǎng)民，引發(fā)，而且還為不法分子盜取企業(yè)信息提供了便利條件。加之，網(wǎng)絡(luò)資源的共享性為網(wǎng)絡(luò)系統(tǒng)安全的攻擊者提供了破壞企業(yè)信息安全的機(jī)會(huì)，給企業(yè)信息資源帶來(lái)大量的安全漏洞，給企業(yè)發(fā)展帶來(lái)不利的影響。

2.2安全軟件設(shè)計(jì)滯后

進(jìn)入信息化時(shí)代，計(jì)算機(jī)在企業(yè)發(fā)展過(guò)程中扮演著極為重要的角色，而隨著計(jì)算機(jī)與互聯(lián)網(wǎng)技術(shù)的融合，網(wǎng)絡(luò)不僅為企業(yè)提供了極為豐富的信息資源，拓寬了企業(yè)獲取信息的渠道，而且還極大地提高了工作效率，提升了企業(yè)經(jīng)濟(jì)效益和社會(huì)效益。但拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)和各種網(wǎng)絡(luò)設(shè)備的選擇容易感染病毒或被黑客侵略的問(wèn)題，給企業(yè)信息安全帶來(lái)直接的安全隱患。而相關(guān)病毒查殺軟件都是為應(yīng)對(duì)問(wèn)題而設(shè)計(jì)的，也就是說(shuō)，病毒查殺軟件是針對(duì)病毒研發(fā)的一種“見(jiàn)招拆招”的軟件，具有嚴(yán)重的滯后性。合理的安全軟件設(shè)計(jì)能夠?yàn)槠髽I(yè)信息安全提供較好的保護(hù)，不合理的安全軟件設(shè)計(jì)則會(huì)成為企業(yè)信息安全的隱患。此外，由于安全軟件設(shè)計(jì)不合理或維護(hù)工作不完備，也極易造成病毒入侵、系統(tǒng)癱瘓等狀況，影響企業(yè)正常運(yùn)轉(zhuǎn)。

2.3網(wǎng)絡(luò)操作系統(tǒng)的漏洞

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，作為網(wǎng)絡(luò)服務(wù)得以實(shí)現(xiàn)的載體，網(wǎng)絡(luò)操作系統(tǒng)不可避免地會(huì)存在一些漏洞，這些漏洞作為一種伴生性漏洞不僅一直存在，而且還為病毒的滋生和入侵提供了機(jī)會(huì)。不斷更新?lián)Q代的網(wǎng)絡(luò)軟件在設(shè)計(jì)時(shí)考慮到便于軟件的擴(kuò)展和維護(hù)，常會(huì)為編程人員設(shè)置后門，但網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的復(fù)雜性使得操作系統(tǒng)的缺陷和漏洞成為網(wǎng)絡(luò)安全的硬傷，這些后門一旦被不法分子發(fā)現(xiàn)，會(huì)對(duì)企業(yè)信息安全造成很大的威脅。如黑客攻擊就是基于網(wǎng)絡(luò)操作系統(tǒng)漏洞而產(chǎn)生的一種難以防范的、人為惡意攻擊，對(duì)企業(yè)造成無(wú)法彌補(bǔ)的損失。

2.4人為因素造成的安全問(wèn)題

隨著市場(chǎng)經(jīng)濟(jì)體制的不斷完善，企業(yè)之間的競(jìng)爭(zhēng)日趨激烈，很多企業(yè)只重視利益的發(fā)展，將全部精力集中于企業(yè)生產(chǎn)經(jīng)營(yíng)，并沒(méi)有認(rèn)識(shí)到企業(yè)信息保護(hù)的重要性，造成企業(yè)信息在存儲(chǔ)過(guò)程中沒(méi)有適當(dāng)?shù)闹萍s機(jī)制，造成企業(yè)信息安全保障系統(tǒng)存在漏洞和隱患。加之網(wǎng)絡(luò)作為一種新生事物，企業(yè)對(duì)信息安全管理投入不足，員工普遍安全意識(shí)缺乏，信息安全管理規(guī)章制度不完善，這不僅浪費(fèi)了企業(yè)的網(wǎng)絡(luò)資源，而且還極易出現(xiàn)安全隱患和漏洞。

3網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全管理建設(shè)的措施

3.1通過(guò)對(duì)目前的應(yīng)用系統(tǒng)進(jìn)行分析與評(píng)估等工作是實(shí)際

可行的辦法安全風(fēng)險(xiǎn)評(píng)估。因此,在實(shí)際中企業(yè)中的信息系統(tǒng)根據(jù)風(fēng)險(xiǎn)管理的方法來(lái)對(duì)可能存在的風(fēng)險(xiǎn)以及需要進(jìn)行保護(hù)的信息進(jìn)行分析，以風(fēng)險(xiǎn)評(píng)估為最終結(jié)果來(lái)選擇出適當(dāng)?shù)拇胧?應(yīng)對(duì)好可能出現(xiàn)的風(fēng)險(xiǎn)。企業(yè)只有對(duì)安全風(fēng)險(xiǎn)進(jìn)行有效的評(píng)估,才能夠結(jié)合實(shí)際問(wèn)題進(jìn)行科學(xué)合理的分析，采取有效的措施避免風(fēng)險(xiǎn)出現(xiàn)。

3.2要做好技術(shù)上的創(chuàng)新。對(duì)于網(wǎng)絡(luò)的正常運(yùn)行來(lái)說(shuō)，安全是最基礎(chǔ)的，想要保證網(wǎng)絡(luò)的安全，就要從多個(gè)層面上出發(fā)來(lái)進(jìn)行立體保護(hù)。將監(jiān)督檢查機(jī)制落實(shí)到實(shí)際中去。時(shí)代的發(fā)展是建立在創(chuàng)新基礎(chǔ)之上的，只有實(shí)現(xiàn)不斷的創(chuàng)新，才能實(shí)現(xiàn)更好的發(fā)展。因此，在技術(shù)不斷創(chuàng)新的影響下，就要提高其質(zhì)量，保證效益，建立出以市場(chǎng)發(fā)展為基礎(chǔ)的創(chuàng)新機(jī)制。同時(shí)還要保證財(cái)力上的支持，實(shí)現(xiàn)技術(shù)的改進(jìn)與創(chuàng)新。通過(guò)對(duì)各項(xiàng)制度的實(shí)際情況進(jìn)行檢查，可以保證企業(yè)中信息的安全。想要保證信息的安全，就要制定出信息的搶救措施，如進(jìn)行數(shù)據(jù)恢復(fù)、備份以及銷毀等安全預(yù)防措施。

3.3充分運(yùn)用防火墻技術(shù)

在網(wǎng)絡(luò)信息安全的管理中，防火墻技術(shù)屬于一項(xiàng)較為有效的安全技術(shù)，能夠按照特定的規(guī)則，從而來(lái)允許以及限制數(shù)據(jù)的通過(guò)。防火墻能夠有效防止黑客訪問(wèn)用戶的及其，以此來(lái)組織黑客拷貝篡改用戶的信息，以此來(lái)保證信息的安全?，F(xiàn)今很多企業(yè)都廣泛應(yīng)用防火墻技術(shù)，以此來(lái)保證自身企業(yè)的信息安全。并且防火墻自身具有很強(qiáng)的抗攻擊性，不會(huì)被病毒所控制。同時(shí)防火墻技術(shù)能夠?qū)?nèi)部的網(wǎng)絡(luò)進(jìn)行劃分，從而來(lái)將重點(diǎn)的網(wǎng)段進(jìn)行隔離，以此來(lái)對(duì)其進(jìn)行保護(hù)。

4結(jié)語(yǔ)

總之，想要保證企業(yè)中的信息安全，就要堅(jiān)持從信息安全技術(shù)與做好內(nèi)部管理工作上出發(fā)，企業(yè)網(wǎng)絡(luò)辦公不僅可以將各個(gè)部門緊密聯(lián)系在一起，工作溝通起來(lái)還可以更方便，極大地提高了工作效率，創(chuàng)造了更多的經(jīng)濟(jì)效益。這是新時(shí)代、網(wǎng)絡(luò)時(shí)期給企業(yè)帶來(lái)的難得一遇的機(jī)會(huì)和福音。通過(guò)安全技術(shù)的支撐來(lái)提高內(nèi)部管理工作的效果，同時(shí)還要落實(shí)管理與監(jiān)控工作，加強(qiáng)信息安全教育，建立出完善的管理制度，提高安全管理的水平。還竭盡全力做好企業(yè)內(nèi)部網(wǎng)絡(luò)的安全管理和防范對(duì)策，兩者結(jié)合、相輔相成，這樣一來(lái)企業(yè)的發(fā)展會(huì)更美好，更有希望。

作者:于倩 單位:淄博信息工程學(xué)校 淄博建筑工程學(xué)校

參考文獻(xiàn):

篇7

對(duì)于知識(shí)型企業(yè)來(lái)說(shuō)，人才是最大的財(cái)富，智力成果是他們的競(jìng)爭(zhēng)優(yōu)勢(shì)，而知識(shí)產(chǎn)權(quán)和信息安全保護(hù)就是它們的生命。如果是只有三五個(gè)人的小公司，老板一個(gè)人把所有資料放在自己的電腦里，所有的商業(yè)機(jī)密和設(shè)計(jì)成果就保護(hù)住了。可對(duì)于一個(gè)上千人的大公司來(lái)說(shuō)，保護(hù)好公司的知識(shí)產(chǎn)權(quán)就會(huì)面臨巨大的挑戰(zhàn)。這樣的挑戰(zhàn)，是懸在每個(gè)知識(shí)型企業(yè)CIO甚至CEO頭上的一把利劍。

有沒(méi)有辦法來(lái)免除這樣的煩惱呢?

中冶南方工程技術(shù)有陽(yáng)公司(以下簡(jiǎn)稱中冶南方)找到了解決這一問(wèn)題的途徑。據(jù)了解，中冶南方的前身為冶金工業(yè)部武漢鋼鐵設(shè)計(jì)研究總院，是由中國(guó)冶金科工集團(tuán)公司、武漢鋼鐵(集團(tuán))公司、鞍鋼股份有限公司等共同出資組建的高新企業(yè)，注冊(cè)資本20000萬(wàn)元，擁有3000人規(guī)模的大型知識(shí)型企業(yè)，業(yè)務(wù)范圍廣泛，是華中地區(qū)的龍頭企業(yè)。

在尋找如何防止商業(yè)機(jī)密泄露的過(guò)程中，公司通過(guò)實(shí)施文印管理服務(wù)MPS系統(tǒng)，從硬件到電子化文件，再到紙質(zhì)文件……有效地確保了公司商業(yè)機(jī)密不被泄漏，也給國(guó)內(nèi)企業(yè)的知識(shí)產(chǎn)權(quán)保護(hù)提供了一個(gè)新的思路。

10％的疏漏

“行百里者，半九十?！边@句古諺充分說(shuō)明了一個(gè)道理，一件事做到90％，實(shí)際上成效只能算達(dá)到一半。因?yàn)槭Ｏ碌哪?0％會(huì)成為一個(gè)巨大的漏洞，影響整件事的進(jìn)程和最終結(jié)果。

如何解決好紙質(zhì)文件的安全管理，同時(shí)又提高員工的工作效率成為信息中心亟待解決的課題。

2007年的9月，中冶南方信息中心主任黃湘武就站在這個(gè)“九十里”處徘徊。對(duì)于中冶南方來(lái)說(shuō)，知識(shí)產(chǎn)權(quán)的重要性顯而易見(jiàn)。像中冶南方這樣的智力輸出型企業(yè)，設(shè)計(jì)圖紙信息是公司最重要的智力資源，要保證這些資料不被輕易地帶出公司，電子文件和紙質(zhì)文件的管理和安全保護(hù)至關(guān)重要。

據(jù)了解，中冶南方為防止商業(yè)泄密，早就建立了一套基于數(shù)字化加解密技術(shù)的信息安全體系，可以對(duì)現(xiàn)有的電子文檔實(shí)現(xiàn)全面的保護(hù)，對(duì)企業(yè)信息達(dá)到90％的保護(hù)度。這些措施雖然很好地保護(hù)了電子文件的外泄，可是紙質(zhì)文件的信息安全保護(hù)一直做得不理想，讓整體信息安全工作的效果大打折扣。

當(dāng)時(shí)，為了保證紙質(zhì)文件安全，公司里所有的文件復(fù)印必須到領(lǐng)導(dǎo)辦公室去，所有的掃描要到文印中心經(jīng)過(guò)登記才可以掃描，圖紙的復(fù)印掃描則由專人負(fù)責(zé)。這樣繁瑣的流程，浪費(fèi)了員工許多工作時(shí)間。

身份識(shí)別立功

如何既解決好紙質(zhì)文件的安全管理，同時(shí)提高員工的工作效率和滿意度成為中冶南方信息中心亟待解決的課題。中冶南方和惠普IPG合作，進(jìn)行了文印系統(tǒng)的全面規(guī)劃。

公司給每個(gè)部門標(biāo)配的設(shè)備上都可以實(shí)現(xiàn)員工身份識(shí)別。一期項(xiàng)目中，這種身份識(shí)別是通過(guò)輸入用戶名和密碼來(lái)實(shí)現(xiàn)；二期項(xiàng)目則給員工帶來(lái)更多便利，直接刷員工門禁卡就能完成打印。

這種方式對(duì)于員工的好處是，日常的文印作業(yè)，員工可以在部門內(nèi)就近完成打印、復(fù)印、掃描等文印操作，再也不用那么麻煩地去領(lǐng)導(dǎo)辦公室復(fù)印，去文印中心登記了，省去了幾棟樓之間的奔波，大家在自己的辦公室里可以完成工作。

據(jù)公司內(nèi)部的一項(xiàng)員工調(diào)查顯示，大家對(duì)信息中心工作的滿意度，由原來(lái)的90％左右提高到99％以上。同時(shí)，由于所有的文印操作均記錄在審計(jì)數(shù)據(jù)庫(kù)中，公司可以對(duì)每個(gè)環(huán)節(jié)的文印行為進(jìn)行事后審計(jì)，從而使得公司的電子文件和紙質(zhì)文件都處于中冶南方全信息體系中，高效、安全地保護(hù)了公司的知識(shí)產(chǎn)權(quán)。

篇8

關(guān)鍵詞：智能電網(wǎng) 信息安全 防護(hù)體系 可信平臺(tái)

中圖分類號(hào)：F49 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-3973（2013）012-212-02

1 引言

隨著智能電網(wǎng)建設(shè)步伐的推進(jìn)，更多的設(shè)備和用戶接入電力系統(tǒng)，例如，智能電表、分布式電源、數(shù)字化保護(hù)裝置、先進(jìn)網(wǎng)絡(luò)等，這些設(shè)備的應(yīng)用使電網(wǎng)的信息化、自動(dòng)化、互動(dòng)化程度比傳統(tǒng)電網(wǎng)大大提高，它們?cè)谔嵘娋W(wǎng)監(jiān)測(cè)與管理方面發(fā)揮了重要作用，但同時(shí)也給數(shù)據(jù)與信息的安全帶來(lái)了隱患。比如黑客通過(guò)竊取技術(shù)訪問(wèn)電網(wǎng)公司數(shù)據(jù)中心的服務(wù)器，有可能造成客戶信息泄露或數(shù)據(jù)安全問(wèn)題，嚴(yán)重時(shí)有可能造成國(guó)家的重大損失。因此，如何使眾多的用戶能在一個(gè)安全的環(huán)境下使用電網(wǎng)的服務(wù)，成了當(dāng)前電網(wǎng)信息安全建設(shè)的重要內(nèi)容之一。

2 電力企業(yè)信息安全建設(shè)的關(guān)鍵問(wèn)題

云計(jì)算技術(shù)在電力企業(yè)的業(yè)務(wù)管理中已經(jīng)逐步得到應(yīng)用，另外，隨著技術(shù)的成熟和商業(yè)成本的降低，基于可信計(jì)算平臺(tái)的網(wǎng)絡(luò)應(yīng)用獲得了迅猛發(fā)展。如果在電網(wǎng)業(yè)務(wù)管理體系中將可信計(jì)算與云計(jì)算結(jié)合起來(lái)，將會(huì)使電網(wǎng)的管理水平如虎添翼。圖1為構(gòu)建可信平臺(tái)模塊間的安全通道示意圖。

在可信計(jì)算環(huán)境下，每臺(tái)主機(jī)嵌入一個(gè)可信平臺(tái)模塊。由于可信平臺(tái)模塊內(nèi)置密鑰，在模塊間能夠構(gòu)成一個(gè)天然的安全通信信道。因此，可以將廣播的內(nèi)容放在可信平臺(tái)模塊中，通過(guò)安全通信信道來(lái)進(jìn)行廣播，這樣可以極大地節(jié)約通信開(kāi)銷。

智能電網(wǎng)的體系架構(gòu)從設(shè)備功能上可以分為基礎(chǔ)硬件層、感知測(cè)量層、信息通信層和調(diào)度運(yùn)維層四個(gè)層次。那么，智能電網(wǎng)的信息安全就必須包括物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全及備份恢復(fù)等方面。因此，其涉及到的關(guān)鍵問(wèn)題可從CA體系建設(shè)、桌面安全部署、等級(jí)防護(hù)方案等方面入手。

3 智能電網(wǎng)信息防護(hù)體系框架

3.1 數(shù)字證書體系

數(shù)字證書體系CA是建設(shè)一套符合國(guó)家政策要求的電子認(rèn)證系統(tǒng)，并作為電力企業(yè)信息化建設(shè)的重要基礎(chǔ)設(shè)施，實(shí)現(xiàn)各實(shí)體身份在網(wǎng)絡(luò)上的真實(shí)映射，滿足各應(yīng)用系統(tǒng)中關(guān)于身份認(rèn)證、信息保密性、完整性和抗抵賴性等安全性要求。該系統(tǒng)主要包括根CA系統(tǒng)、CA簽發(fā)系統(tǒng)、RA注冊(cè)管理系統(tǒng)、KM系統(tǒng)、證書狀態(tài)查詢系統(tǒng)和LDAP目錄服務(wù)系統(tǒng)，總體結(jié)構(gòu)如圖2所示。

3.2 桌面安全管理體系

該體系可為電力企業(yè)提供集中的終端（桌面）綜合安全管理的桌面管理產(chǎn)品，打造一個(gè)安全、可信、規(guī)范、健康的內(nèi)網(wǎng)環(huán)境，如圖3所示。

該體系能滿足用戶：確保入網(wǎng)終端符合要求；全面監(jiān)測(cè)終端健康狀況；保證終端信息安全可控；動(dòng)態(tài)監(jiān)測(cè)內(nèi)網(wǎng)安全態(tài)勢(shì)；快速定位解決終端故障；規(guī)范員工網(wǎng)絡(luò)行為；統(tǒng)一內(nèi)網(wǎng)用戶身份管理等。

3.3 等級(jí)防護(hù)體系

此外，在設(shè)計(jì)信息安全體系時(shí)，還需要針對(duì)電力企業(yè)的業(yè)務(wù)應(yīng)用系統(tǒng)，按照不同的安全保護(hù)等級(jí)，設(shè)計(jì)信息系統(tǒng)安全等級(jí)保護(hù)方案，如圖4所示。

根據(jù)國(guó)家關(guān)于《信息系統(tǒng)等級(jí)保護(hù)基本要求》中關(guān)于信息安全管理的規(guī)定，該體系應(yīng)該包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全等方面。

4 結(jié)論與展望

本文將電力云技術(shù)與可信計(jì)算結(jié)合起來(lái)，設(shè)計(jì)了面向智能電網(wǎng)的信息安全防護(hù)體系框架，從CA體系建設(shè)、桌面安全部署、等級(jí)防護(hù)方案等方面闡述了該框架的內(nèi)涵。但信息安全是一個(gè)沒(méi)有盡頭的工作，需要及時(shí)與最新的方法相結(jié)合，不斷完善信息安全方案，使電網(wǎng)做到真正的智能、堅(jiān)強(qiáng)。

（基金項(xiàng)目：中央高校基本科研業(yè)務(wù)費(fèi)專項(xiàng)資金項(xiàng)目（11MG50）；河北省高等學(xué)校科學(xué)研究項(xiàng)目（Z2013007））

參考文獻(xiàn)：

[1] 陳樹(shù)勇，宋書芳，李蘭欣，等.智能電網(wǎng)技術(shù)綜述[J].電網(wǎng)技術(shù)，2009，33（8）：1-7.

[2] 國(guó)家電網(wǎng).關(guān)于加快推進(jìn)堅(jiān)強(qiáng)智能電網(wǎng)建設(shè)的意見(jiàn)[N].國(guó)家電網(wǎng)報(bào)，2010-01-12（2）.

[3] 曹軍威，萬(wàn)宇鑫，涂國(guó)煜，等.智能電網(wǎng)信息系統(tǒng)體系結(jié)構(gòu)研究[J].計(jì)算機(jī)學(xué)報(bào)，2013，36（1）：143-167.

[4] 陳康，鄭緯民.云計(jì)算：系統(tǒng)實(shí)例與研究現(xiàn)狀[J].軟件學(xué)報(bào)，2009（5）：1337-1348.

篇9

飛速發(fā)展的社會(huì)經(jīng)濟(jì)將企業(yè)管理投入到信息技術(shù)的海洋之中，大中型企業(yè)管理的自動(dòng)化水平正在不斷提高?，F(xiàn)代企業(yè)的核心管理手段是將計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)應(yīng)用于業(yè)務(wù)管理系統(tǒng)，實(shí)現(xiàn)企業(yè)管理理念的宏觀化、管理手段的智能化、管理方式的網(wǎng)絡(luò)化，從而帶來(lái)的是管理效率的高速化。具體的管理系統(tǒng)包括外門戶網(wǎng)站系統(tǒng)、內(nèi)部門戶網(wǎng)站系統(tǒng)、辦公自動(dòng)化系統(tǒng)、營(yíng)銷管理系統(tǒng)、配網(wǎng)管理系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、生產(chǎn)管理系統(tǒng)等[ 1 ]。

1 企業(yè)網(wǎng)絡(luò)信息安全概述

1.1 網(wǎng)絡(luò)信息安全面臨的威脅

網(wǎng)絡(luò)信息的安全主要是系統(tǒng)漏洞帶來(lái)的病毒和黑客侵襲。漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問(wèn)或破壞系統(tǒng)[ 2 ]。系統(tǒng)漏洞是危害網(wǎng)絡(luò)安全的最主要因素，特別是軟件系統(tǒng)的各種漏洞。黑客的攻擊行為都是利用系統(tǒng)的安全漏洞來(lái)進(jìn)行的。許多系統(tǒng)都有這樣那樣的安全漏洞（Bugs），其中有些是操作系統(tǒng)或應(yīng)用軟件由于設(shè)計(jì)缺陷本身所具有的，這些漏洞在補(bǔ)丁未被開(kāi)發(fā)出來(lái)之前一般很難防御黑客的破壞，除非你不接入網(wǎng)絡(luò)。還有就是程序員在設(shè)計(jì)一些功能復(fù)雜的程序時(shí)，預(yù)留的用于測(cè)試和維護(hù)的程序入口，由于疏忽或者其他原因（如將它留在程序中，便于日后訪問(wèn)、測(cè)試或維護(hù)）沒(méi)有去掉，這就可能被一些黑客發(fā)現(xiàn)并利用作為后門。到目前為止，還沒(méi)有出現(xiàn)真正安全無(wú)漏洞的產(chǎn)品，這也是當(dāng)前黑客肆虐的主要原因[ 3 ]。

1.2 造成企業(yè)網(wǎng)絡(luò)信息安全威脅的原因

1.2.1 計(jì)算機(jī)系統(tǒng)原生漏洞

目前計(jì)算機(jī)所依賴的依然是普遍通用的微軟Windows系統(tǒng)。為了適應(yīng)用戶的需求，這一系統(tǒng)的研發(fā)進(jìn)展不斷進(jìn)步，系統(tǒng)升級(jí)較為頻繁，每?jī)赡曜笥冶銜?huì)有新系統(tǒng)推出面世。許多計(jì)算機(jī)用戶，特別是企業(yè)用戶，如果對(duì)新系統(tǒng)沒(méi)有全面、專業(yè)、深入的了解而盲目進(jìn)行了系統(tǒng)更新，有可能造成安裝設(shè)置過(guò)程中缺陷導(dǎo)致的新系統(tǒng)帶來(lái)的弊端，從而埋下漏洞隱患，給信息安全造成威脅。

1.2.2 計(jì)算機(jī)軟件應(yīng)用不當(dāng)遭遇惡意軟件

在企業(yè)管理計(jì)算機(jī)軟件應(yīng)用過(guò)程中，如果沒(méi)有專業(yè)的識(shí)別和下載安裝經(jīng)驗(yàn)，極有可能遇到惡意軟件。惡意軟件常常故意不對(duì)用戶做明確提示（如選項(xiàng)提示、退出安裝提示等）或者在未經(jīng)用戶許可的情況下，在用戶的計(jì)算機(jī)上強(qiáng)行安裝；有的軟件難以卸載（設(shè)置卸載障礙）；還有的軟件通過(guò)瀏覽器劫持行為，肆意：指未經(jīng)用戶許可，修改用戶瀏覽器或設(shè)置，迫使用戶訪問(wèn)特定網(wǎng)站或?qū)е掠脩魺o(wú)法正常上網(wǎng)等。惡意軟件造成的計(jì)算機(jī)病毒感染，黑客的乘虛而入將嚴(yán)重威脅企業(yè)網(wǎng)絡(luò)信息安全，甚至導(dǎo)致系統(tǒng)崩潰，數(shù)據(jù)丟失。有的惡意軟件甚至自帶網(wǎng)絡(luò)數(shù)據(jù)運(yùn)行監(jiān)視裝置，被惡意使用后可以直接用于竊取商業(yè)數(shù)據(jù)和信息，給企業(yè)造成巨大損失。

1.2.3 企業(yè)網(wǎng)絡(luò)信息系統(tǒng)維護(hù)規(guī)范欠缺

企業(yè)網(wǎng)絡(luò)信息系統(tǒng)在運(yùn)行過(guò)程中無(wú)論何種原因都難以避免可能產(chǎn)生的漏洞，而對(duì)信息系統(tǒng)的規(guī)范維護(hù)是信息安全保護(hù)的重要手段。但部分企業(yè)沒(méi)有對(duì)系統(tǒng)維護(hù)規(guī)范作出規(guī)定，如系統(tǒng)維護(hù)工程師、助理工程師的職責(zé)與權(quán)限并不明確，生產(chǎn)或銷售應(yīng)用系統(tǒng)的監(jiān)控記錄不能定期建檔，生產(chǎn)或辦公系統(tǒng)主機(jī)的日常故障處理不做登記，應(yīng)用系統(tǒng)的數(shù)據(jù)庫(kù)啟動(dòng)情況和數(shù)據(jù)庫(kù)設(shè)置得不到及時(shí)觀察，重要數(shù)據(jù)庫(kù)的變更操作，定期清理過(guò)期備份不能正常進(jìn)行，應(yīng)用數(shù)據(jù)庫(kù)癱瘓后的異地備份恢復(fù)記錄不完整等，都有可能造成企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的安全隱患。

2 企業(yè)信息系統(tǒng)安全管理存在的問(wèn)題

2.1 企業(yè)對(duì)信息系統(tǒng)管理重視不足

許多企業(yè)頂層決策缺乏長(zhǎng)久觀念，比較重視信息網(wǎng)絡(luò)的建設(shè)而較易忽視信息網(wǎng)絡(luò)和系統(tǒng)的管理。在企業(yè)網(wǎng)絡(luò)建設(shè)初期往往偏重于硬件設(shè)施的投資和技術(shù)成本的投入，盲目追求管理系統(tǒng)的高性能、高配置，忽略了硬件設(shè)施與實(shí)際應(yīng)用的差距，認(rèn)為高層次的網(wǎng)絡(luò)系統(tǒng)一旦建成便萬(wàn)事大吉。這種認(rèn)識(shí)不但造成了不必要的資金浪費(fèi)，更容易形成輕視系統(tǒng)維護(hù)管理工作的狀況。由于缺乏管理意識(shí)，許多企業(yè)在規(guī)章制度、人事安排、專業(yè)培訓(xùn)、技術(shù)隊(duì)伍等幾方面沒(méi)有形成企業(yè)信息系統(tǒng)的專業(yè)團(tuán)隊(duì)，更沒(méi)有針對(duì)系統(tǒng)癱瘓、數(shù)據(jù)丟失等突發(fā)事件的應(yīng)急預(yù)案，往往是問(wèn)題發(fā)生后臨時(shí)應(yīng)急解決，“頭痛治頭足痛治足”，致使現(xiàn)代化信息系統(tǒng)不能充分發(fā)揮在企業(yè)運(yùn)行管理中應(yīng)有的作用。

2.2 企業(yè)網(wǎng)絡(luò)信息安全性難以保障

由于信息安全管理意識(shí)淡薄，部分企業(yè)沒(méi)有專業(yè)的網(wǎng)絡(luò)管理團(tuán)隊(duì)?，F(xiàn)有網(wǎng)管人員維護(hù)、管理網(wǎng)聯(lián)絡(luò)信息技術(shù)沒(méi)有保障，或者責(zé)任心不強(qiáng)。例如，民營(yíng)生產(chǎn)銷售企業(yè)由于操作不規(guī)范銷售報(bào)表和潛在客戶資料數(shù)據(jù)丟失現(xiàn)象時(shí)有發(fā)生；部分縣級(jí)以上醫(yī)院分科或多或少都存在體統(tǒng)停滯現(xiàn)象；中小型企業(yè)中財(cái)務(wù)資料的誤刪時(shí)有發(fā)生。雖然這些單位有的也具備系統(tǒng)維護(hù)應(yīng)急預(yù)案，部分?jǐn)?shù)據(jù)得到恢復(fù)，但依然給企業(yè)造成一定損失。

3 企業(yè)網(wǎng)絡(luò)信息安全防范措施

3.1 建立系統(tǒng)安全檢查制度

企業(yè)的規(guī)章制度要重視系統(tǒng)安全的保護(hù)，對(duì)重要信息系統(tǒng)的安全檢查要建章立制，不能松懈。首先要對(duì)系統(tǒng)安全負(fù)責(zé)的團(tuán)隊(duì)人員構(gòu)成和崗位職責(zé)進(jìn)行明文規(guī)定。其次要確定具體的安全檢查目標(biāo)，如企業(yè)的基礎(chǔ)網(wǎng)絡(luò)是否完善、主服務(wù)器配置是否異常，對(duì)外門戶網(wǎng)站防火墻是否堅(jiān)固，數(shù)據(jù)中心的設(shè)置是否可靠，內(nèi)部辦公系統(tǒng)（包括財(cái)務(wù)、銷售、服務(wù)等）更新是否正常等等。第三，信息安全檢查規(guī)章制度中要具化檢點(diǎn)內(nèi)容，如安全管理保障系統(tǒng)方面，對(duì)崗位制度是否建全，人員負(fù)責(zé)是否落實(shí)，信息數(shù)據(jù)是否安全，應(yīng)急響應(yīng)是否穩(wěn)妥等項(xiàng)目要做出詳細(xì)檢查記錄。技術(shù)保障方面：服務(wù)器（包括操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)）的各項(xiàng)指標(biāo)，網(wǎng)絡(luò)設(shè)備和安全設(shè)備的各種配置，網(wǎng)站建設(shè)和終端等組織策略和運(yùn)行維護(hù)等內(nèi)容都要落實(shí)到檢查實(shí)處。

3.2 加大企業(yè)網(wǎng)絡(luò)信息安全的管理力度

第一，要增強(qiáng)網(wǎng)絡(luò)信息管理人員的技術(shù)培訓(xùn)，使企業(yè)信息系統(tǒng)得到可靠的技術(shù)維護(hù)和管理，組件一只責(zé)任心強(qiáng)、分工明確、技術(shù)精湛的網(wǎng)管團(tuán)隊(duì)，以保障企業(yè)網(wǎng)絡(luò)信息系統(tǒng)正常運(yùn)轉(zhuǎn)不出紕漏。

第二，提高企業(yè)核心機(jī)密資料的加密層次，在這方面要投入資金購(gòu)買保密程度較有保障的計(jì)算機(jī)軟件裝備，防止黑客攻擊和病毒感染。

第三，對(duì)企業(yè)信息管理和維護(hù)工作進(jìn)行定期記錄、責(zé)任到人，記錄保護(hù)存檔以備可查。

第四，要建立安全可靠的計(jì)算機(jī)數(shù)據(jù)異地備案和應(yīng)急預(yù)案機(jī)制，有專門制定人員負(fù)責(zé)，定期檢測(cè)數(shù)據(jù)，嚴(yán)格管理制度，以確保企業(yè)網(wǎng)絡(luò)信息系統(tǒng)出現(xiàn)異常時(shí)得到有效維護(hù)和修復(fù)。

篇10

【 關(guān)鍵詞 】 信息安全；等級(jí)保護(hù)；現(xiàn)狀及問(wèn)題；建議

【 中圖分類號(hào) 】 TP393.08 【 文獻(xiàn)標(biāo)識(shí)碼 】 A

Discussion the Status of Information Security base on Graded Protection

Zhang Wei-li

（CCID Think tank， China Center of Information Industry Development Beijing100048）

【 Abstract 】 Information Security base on Graded Protection is a basic regime of the construction of information security in our country， and is an important means to guarantee the healthy development of information technology. Information Security base on Graded Protection ，development both at home and abroad were introduced in this paper， as well as the status quo of Graded Protection in China. On this basis， the paper analyzes the problems existing in the Graded Protection in China， and put forward some Suggestions for bettering Graded Protection work.

【 Keywords 】 information security； graded protection； status and problems； suggestion

1 引言

目前對(duì)信息及信息系統(tǒng)實(shí)行分等級(jí)保護(hù)是各國(guó)保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的通行做法。在我國(guó)信息安全等級(jí)保護(hù)是保障國(guó)家信息安全的一項(xiàng)基本制度。通過(guò)信息安全等級(jí)保護(hù)工作，實(shí)現(xiàn)信息安全資源的優(yōu)化配置，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)的安全，有效提高我國(guó)信息和信息系統(tǒng)安全建設(shè)的整體水平。

1.1 信息安全等級(jí)保護(hù)的概念及等級(jí)劃分

信息系統(tǒng)安全等級(jí)保護(hù)是指對(duì)信息以及信息系統(tǒng)分等級(jí)進(jìn)行安全保護(hù)和監(jiān)管；對(duì)信息安全產(chǎn)品的使用進(jìn)行分等級(jí)管理；對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置的綜合性工作制度。

根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，以及信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益，以及公民、法人和其他組織的合法權(quán)益的危害程度等因素，將信息系統(tǒng)安全等級(jí)由低到高分為五個(gè)等級(jí)：第一級(jí)，自主保護(hù)級(jí)；第二級(jí)，指導(dǎo)保護(hù)級(jí)；第三級(jí)，監(jiān)督保護(hù)級(jí)；第四級(jí)，強(qiáng)制保護(hù)級(jí)；第五級(jí)，?？乇Ｗo(hù)級(jí)。依據(jù)安全保護(hù)能力也劃分為五個(gè)等級(jí)：第一級(jí)，用戶自主保護(hù)級(jí)；第二級(jí)，系統(tǒng)審計(jì)保護(hù)級(jí)；第三級(jí)，安全標(biāo)記保護(hù)級(jí)；第四級(jí)結(jié)構(gòu)化保護(hù)級(jí)；第五級(jí)訪問(wèn)驗(yàn)證保護(hù)級(jí)。

1.2 國(guó)外信息安全等級(jí)保護(hù)的發(fā)展歷程

等級(jí)保護(hù)思想最早源于20世紀(jì)60年代的美軍文件保密制度，其中第一個(gè)比較成熟并且具有重大影響的是1985年的《可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則》（TCSEC），該準(zhǔn)則是當(dāng)時(shí)美國(guó)國(guó)防部為適應(yīng)軍事計(jì)算機(jī)的保密需要提出的，主要是針對(duì)沒(méi)有外部連接的多用戶系統(tǒng)提出。

受美國(guó)等級(jí)保護(hù)思想的影響，歐盟和加拿大也分別制定自己的等級(jí)保護(hù)評(píng)估準(zhǔn)則。英、法、德、荷等四國(guó)于1991年提出了包含保密性、完整性、可用性等概念的歐共體的《信息技術(shù)安全評(píng)估準(zhǔn)則》（ITSEC）。ITSEC 作為多國(guó)安全評(píng)估標(biāo)準(zhǔn)的綜合產(chǎn)物，適用于軍隊(duì)、政府和商業(yè)部門。1993年加拿大公布《可信計(jì)算機(jī)產(chǎn)品評(píng)估準(zhǔn)則》（CTCPEC）3.0版本。CTCPEC作為TCSEC和ITSEC的結(jié)合，將安全分為功能性要求和保證性要求兩部分。功能性要求分為機(jī)密性、完整性、可用性、可控性等四個(gè)大類。

為解決原各自標(biāo)準(zhǔn)中出現(xiàn)的概念和技術(shù)上的差異，1996年美國(guó)、歐盟、加拿大聯(lián)合起來(lái)將各自評(píng)估準(zhǔn)則合為一體，形成通用評(píng)估準(zhǔn)則（Common Criteria）。1999年出臺(tái)的CC2.1版本被ISO采納，作為ISO15408。在CC中定義了評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全性所需要的基礎(chǔ)準(zhǔn)則，是度量信息技術(shù)安全性的基準(zhǔn)。

1.3 我國(guó)信息安全等級(jí)保護(hù)的發(fā)展歷程

在國(guó)際信息安全等級(jí)保護(hù)發(fā)展的同時(shí)，隨著信息化建設(shè)的發(fā)展，我國(guó)的等級(jí)保護(hù)工作也被提上日程。其發(fā)展主要經(jīng)歷了四個(gè)階段。

1994-2003年是政策環(huán)境營(yíng)造階段。國(guó)務(wù)院于1994年頒布《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，規(guī)定計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)。2003年，中央辦公廳、國(guó)務(wù)院辦公廳頒發(fā)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)）明確指出“實(shí)行信息安全等級(jí)保護(hù)”。此文件的出臺(tái)標(biāo)志著等級(jí)保護(hù)從計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的一項(xiàng)制度提升到國(guó)家信息安全保障一項(xiàng)基本制度。

2004-2006年是等保工作開(kāi)展準(zhǔn)備階段。2004年至2006年期間，公安部聯(lián)合四部委開(kāi)展了涉及65117家單位，共115319個(gè)信息系統(tǒng)的等級(jí)保護(hù)基礎(chǔ)調(diào)查和等級(jí)保護(hù)試點(diǎn)工作。通過(guò)摸底調(diào)查和試點(diǎn)，探索了開(kāi)展等級(jí)保護(hù)工作領(lǐng)導(dǎo)、組織、協(xié)調(diào)的模式和辦法，為全面開(kāi)展等級(jí)保護(hù)工作奠定了堅(jiān)實(shí)的基礎(chǔ)。

2007-2010年是等保工作正式啟動(dòng)階段。2007年6月，四部門聯(lián)合出臺(tái)了《信息安全等級(jí)保護(hù)管理辦法》。7月四部門聯(lián)合頒布了《關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》，并于7月20日召開(kāi)了全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作部署專題電視電話會(huì)議，標(biāo)志著我國(guó)信息安全等級(jí)保護(hù)制度歷經(jīng)十多年的探索正式開(kāi)始實(shí)施。

2010年至今是等保工作規(guī)模推進(jìn)階段。2010年4月，公安部出臺(tái)了《關(guān)于推動(dòng)信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和開(kāi)展等級(jí)測(cè)評(píng)工作的通知》，提出等級(jí)保護(hù)工作的階段性目標(biāo)。2010年12月，公安部和國(guó)務(wù)院國(guó)有資產(chǎn)監(jiān)督管理委員會(huì)聯(lián)合出臺(tái)了《關(guān)于進(jìn)一步推進(jìn)中央企業(yè)信息安全等級(jí)保護(hù)工作的通知》，要求中央企業(yè)貫徹執(zhí)行等級(jí)保護(hù)工作。至此我國(guó)信息安全等級(jí)保護(hù)工作全面展開(kāi)，等保工作進(jìn)入規(guī)?；七M(jìn)階段。

2 我國(guó)信息安全等級(jí)保護(hù)的現(xiàn)狀

2.1 等級(jí)保護(hù)的組織架構(gòu)初步形成

截止目前，除了國(guó)家信息安全等級(jí)保護(hù)協(xié)調(diào)小組辦公室外，在大陸31個(gè)省、自治區(qū)、直轄市當(dāng)中除天津、黑龍江、河南、重慶、陜西外，有26個(gè)行政區(qū)成立了省級(jí)的信息安全等級(jí)保護(hù)協(xié)調(diào)小組辦公室。22個(gè)省、自治區(qū)、直轄市建立了信息安全等級(jí)保護(hù)聯(lián)絡(luò)員制度，共確定1598名聯(lián)絡(luò)員。獲得信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦資質(zhì)的測(cè)評(píng)機(jī)構(gòu)共121家，除新疆外各省均有獲得資質(zhì)的等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)，其中國(guó)家的測(cè)評(píng)機(jī)構(gòu)有7家，北京市有10家，江蘇省有14家，浙江省、山東省各有7家，廣東省有6家，其他省、自治區(qū)、直轄市有1-5家不等。25個(gè)行政區(qū)建立了等級(jí)保護(hù)專家組，共確定441名專家。

2.2 信息安全等級(jí)保護(hù)的政策體系初步形成

為組織開(kāi)展信息安全等級(jí)保護(hù)工作，國(guó)家相關(guān)部委（主要是公安部牽頭組織，會(huì)同國(guó)家保密局、國(guó)家密碼管理局、原國(guó)務(wù)院信息辦和發(fā)改委等部門）相繼出臺(tái)了一系列文件，對(duì)具體工作提供了指導(dǎo)意見(jiàn)和規(guī)范，這些文件初步構(gòu)成了信息安全等級(jí)保護(hù)政策體系。具體關(guān)系如圖1。

《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》和《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》分別是開(kāi)展信息安全等級(jí)保護(hù)工作的法律依據(jù)和政策依據(jù)。《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》和《信息安全等級(jí)保護(hù)管理辦法》是在法律依據(jù)和政策依據(jù)的基礎(chǔ)上制定的政策文件，其為等級(jí)保護(hù)工作的開(kāi)展提供宏觀指導(dǎo)。在上述基礎(chǔ)上，針對(duì)信息安全等級(jí)保護(hù)工作的定級(jí)、備案、安全建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查的各工作環(huán)節(jié)制定具有操作性的指導(dǎo)文件。政策體系的形成，為組織開(kāi)展等級(jí)保護(hù)工作、建設(shè)整改工作和等級(jí)測(cè)評(píng)工作提供了指導(dǎo)，明確了各環(huán)節(jié)的工作目標(biāo)、工作要求和工作流程。

2.3 信息安全等級(jí)保護(hù)的標(biāo)準(zhǔn)體系基本完善

為推動(dòng)信息安全等級(jí)保護(hù)工作，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)和公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)組織制訂了信息安全等級(jí)保護(hù)工作需要的一系列標(biāo)準(zhǔn)，匯集成《信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)匯編》，為開(kāi)展等級(jí)保護(hù)工作提供了標(biāo)準(zhǔn)指導(dǎo)。這些標(biāo)準(zhǔn)與等保各環(huán)節(jié)的工作關(guān)系如圖2所示。

《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》及配套標(biāo)準(zhǔn)是《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》的基礎(chǔ)?！缎畔⑾到y(tǒng)安全等級(jí)保護(hù)基本要求》是信息系統(tǒng)安全建設(shè)整改的依據(jù)，信息系統(tǒng)安全建設(shè)整改應(yīng)以落實(shí)《基本要求》為主要目標(biāo)。《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》是定級(jí)工作的指導(dǎo)性文件，為信息系統(tǒng)定級(jí)工作提供了技術(shù)支持?！缎畔⑾到y(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》等標(biāo)準(zhǔn)規(guī)范了等級(jí)測(cè)評(píng)活動(dòng)，為等級(jí)測(cè)評(píng)機(jī)構(gòu)開(kāi)展等級(jí)測(cè)評(píng)活動(dòng)提供了測(cè)評(píng)方法和綜合評(píng)價(jià)方法?！缎畔⑾到y(tǒng)安全等級(jí)保護(hù)實(shí)施指南》是信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)實(shí)施的過(guò)程控制標(biāo)準(zhǔn)，用于指導(dǎo)信息系統(tǒng)運(yùn)營(yíng)使用單位了解和掌握信息安全等級(jí)保護(hù)工作的方法、主要工作內(nèi)容以及不同的角色在不同階段的作用。

2.4 信息安全等級(jí)保護(hù)的工作取得一定進(jìn)展

各重點(diǎn)行業(yè)根據(jù)等級(jí)保護(hù)的政策要求開(kāi)展了本系統(tǒng)內(nèi)的等級(jí)保護(hù)工作。為落實(shí)相關(guān)等級(jí)保護(hù)政策有關(guān)行業(yè)制定了自己的行業(yè)標(biāo)準(zhǔn)，例如《廣播電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)等級(jí)指南》、《水利網(wǎng)絡(luò)與信息安全體系建設(shè)基本技術(shù)要求》等。金融領(lǐng)域，人民銀行出臺(tái)了《中國(guó)人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)安全等級(jí)保護(hù)等級(jí)的指導(dǎo)意見(jiàn)》，并于2012年了金融行業(yè)的《金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施指引》、《金融行業(yè)信息安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)安全指引》、《金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)測(cè)評(píng)指南》等三項(xiàng)行業(yè)標(biāo)準(zhǔn)，在采用《信息系統(tǒng)信息安全等級(jí)保護(hù)基本要求》的590項(xiàng)基本要求的基礎(chǔ)上，補(bǔ)充細(xì)化基本要求項(xiàng)193項(xiàng)，新增行業(yè)特色要求項(xiàng)269項(xiàng)，為金融行業(yè)開(kāi)展關(guān)鍵信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施工作具奠定了堅(jiān)實(shí)基礎(chǔ)。

測(cè)評(píng)和安全建設(shè)工作有序開(kāi)展。截止到2012年底，全國(guó)已經(jīng)開(kāi)展了5萬(wàn)多個(gè)第二級(jí)信息系統(tǒng)和4萬(wàn)多個(gè)三級(jí)系統(tǒng)的等級(jí)測(cè)評(píng)，并完成了相應(yīng)的信息系統(tǒng)的等級(jí)保護(hù)安全建設(shè)整改。2012年底，全國(guó)性銀行業(yè)金融機(jī)構(gòu)完成了880個(gè)二級(jí)以上信息系統(tǒng)的定級(jí)評(píng)審。2012年對(duì)反洗錢中心、征信中心、清算中心和金融中心的48個(gè)重要信息系統(tǒng)進(jìn)行了測(cè)評(píng)，共發(fā)現(xiàn)4284項(xiàng)安全問(wèn)題，整改完整3451向，通過(guò)整改后其信息系統(tǒng)的整改測(cè)評(píng)率達(dá)到了90%以上。

3 我國(guó)信息安全等級(jí)保護(hù)存在的問(wèn)題

3.1 信息系統(tǒng)運(yùn)營(yíng)使用單位對(duì)等級(jí)保護(hù)工作的重視程度還不夠

近年來(lái)信息安全等級(jí)保護(hù)主管部門高度重視等級(jí)保護(hù)工作，制定相關(guān)政策和標(biāo)準(zhǔn)，舉辦等級(jí)測(cè)評(píng)師培訓(xùn)等，但信息系統(tǒng)主管部門以及全社會(huì)對(duì)信息安全等級(jí)保護(hù)在信息安全保障體系中的基礎(chǔ)性地位認(rèn)識(shí)還不到位，難以將等級(jí)保護(hù)制度和已有信息安全防護(hù)體系相銜接，工作方式簡(jiǎn)單，手段缺乏，甚至出現(xiàn)以其他工作代替信息安全等級(jí)保護(hù)工作的消極傾向。同時(shí)，在工作中，一些企業(yè)還存在不愿投資，不愿受監(jiān)管的思想，為節(jié)省人力、物力、財(cái)力將本該定為三級(jí)的重要信息系統(tǒng)定位二級(jí)，這些都影響信息安全等級(jí)保護(hù)制度的全面落實(shí)。

3.2 等級(jí)保護(hù)屬于合規(guī)性被動(dòng)防護(hù)與目前信息安全主動(dòng)防御需求還有差距

信息安全等級(jí)保護(hù)屬于政策性驅(qū)動(dòng)的合規(guī)性保護(hù)，這種合規(guī)性保護(hù)只關(guān)注通用信息安全需求，并且屬于被動(dòng)保護(hù)，對(duì)于當(dāng)前信息安全保護(hù)中的主動(dòng)防御要求還有差距。例如，中國(guó)鐵路客戶服務(wù)中心12306網(wǎng)站定義為等級(jí)保護(hù)四級(jí)，2012年，曾暴露出被黑客拖庫(kù)，以及因機(jī)房空調(diào)問(wèn)題停止服務(wù)等問(wèn)題，而這兩項(xiàng)內(nèi)容都在等級(jí)保護(hù)規(guī)范中有明確的要求。所以，認(rèn)為通過(guò)等級(jí)保護(hù)的評(píng)測(cè)就不會(huì)出問(wèn)題顯然是一種誤區(qū)。

另外，2010年“震網(wǎng)”病毒事件破壞了伊朗核設(shè)施，表明網(wǎng)絡(luò)攻擊由傳統(tǒng)“軟攻擊”上升為直接攻擊要害系統(tǒng)的“硬摧毀”。2013年曝出的棱鏡門事件，2014年曝出的美國(guó)國(guó)安局入侵華為服務(wù)器等，這些事件表明當(dāng)今信息安全的主要特征是要建立主動(dòng)防御體系，例如建立授權(quán)管理機(jī)制、行為控制機(jī)制以及信息的加密存儲(chǔ)機(jī)制，即使信息得到泄露也不會(huì)被黑客輕易獲得。而等級(jí)保護(hù)是一種被動(dòng)的、前置的保護(hù)手段，與當(dāng)前信息安全保護(hù)所要求的實(shí)時(shí)的、主動(dòng)防御還有一定的差距。

3.3 現(xiàn)有防護(hù)手段難以滿足新技術(shù)發(fā)展應(yīng)用中的信息安全需求

信息安全等級(jí)保護(hù)政策標(biāo)準(zhǔn)的滯后，難以滿足新技術(shù)應(yīng)用的信息安全需求。例如，當(dāng)前的物聯(lián)網(wǎng)、云計(jì)算、移動(dòng)互聯(lián)網(wǎng)的應(yīng)用呈現(xiàn)出新特點(diǎn)，提出了新的安全需求，在網(wǎng)絡(luò)層面原本相對(duì)比較封閉的政府、金融、能源、制造系統(tǒng)開(kāi)始越來(lái)越多的與互聯(lián)網(wǎng)相連接；計(jì)算資源層面，云計(jì)算的應(yīng)用，呈現(xiàn)出邊界的消失、服務(wù)的分散、數(shù)據(jù)的遷移等特點(diǎn)，使得業(yè)務(wù)應(yīng)用和信息數(shù)據(jù)面臨的安全風(fēng)險(xiǎn)愈發(fā)復(fù)雜化。用戶終端層面，移動(dòng)互聯(lián)、智能終端大行其道，BYOD的應(yīng)用等，都為企業(yè)信息安全管理提出新挑戰(zhàn)。

大數(shù)據(jù)的應(yīng)用，很可能會(huì)出現(xiàn)將某些敏感業(yè)務(wù)數(shù)據(jù)放在相對(duì)開(kāi)放的數(shù)據(jù)存儲(chǔ)位置的情況。針對(duì)這些邊界逐漸消失，服務(wù)較為分散，應(yīng)用呈現(xiàn)虛擬化，敏感業(yè)務(wù)數(shù)據(jù)放在相對(duì)開(kāi)放的數(shù)據(jù)存儲(chǔ)位置，等級(jí)保護(hù)的“分區(qū)、分級(jí)、分域”保護(hù)的原則已無(wú)法有效應(yīng)用。如何有效滿足新技術(shù)應(yīng)用下的信息安全需求，也是等級(jí)保護(hù)下一步需要考慮的內(nèi)容。

4 進(jìn)一步做好信息安全等級(jí)保護(hù)的相關(guān)建議

4.1 擴(kuò)大宣傳力度，提高全社會(huì)對(duì)等保的重視程度

等級(jí)保護(hù)是我國(guó)信息安全建設(shè)的基本制度，需提高全社會(huì)對(duì)等級(jí)保護(hù)的重視程度，尤其是要提高信息系統(tǒng)主管部門對(duì)信息安全等級(jí)保護(hù)工作重要性的認(rèn)識(shí)。在工作中，可以通過(guò)重要信息系統(tǒng)之間的項(xiàng)目依賴性分析，關(guān)鍵部門影響性分析等方法，來(lái)增強(qiáng)信息系統(tǒng)主管部門以及全社對(duì)信息系統(tǒng)信息安全重要性的認(rèn)識(shí)。在各行業(yè)、企業(yè)內(nèi)部，應(yīng)當(dāng)通過(guò)加強(qiáng)宣傳教育培訓(xùn)，提高信息系統(tǒng)使用和運(yùn)維人員的對(duì)信息安全等級(jí)保護(hù)的重視程度。在等級(jí)保護(hù)工作推進(jìn)工作中，對(duì)故意將信息系統(tǒng)安全級(jí)別定低現(xiàn)象進(jìn)行嚴(yán)查。

4.2 引入可信計(jì)算等主動(dòng)防御理念，充分發(fā)揮等保在信息安全建設(shè)中的作用

要充分發(fā)揮等保在國(guó)家信息安全建設(shè)中的作用，需要從技術(shù)和管理兩個(gè)方面進(jìn)行安全建設(shè)，做到可信、可控、可管；并且應(yīng)當(dāng)具有抵御來(lái)自敵對(duì)組織高強(qiáng)度連續(xù)攻擊（APT）的能力，以滿足當(dāng)前信息安全形勢(shì)的需求。而可信計(jì)算技術(shù)可以實(shí)現(xiàn)計(jì)算處理結(jié)果與預(yù)期的相一致，中間過(guò)程可控制管理、可度量驗(yàn)證。因此，可在信息安全等級(jí)保護(hù)基本要求等技術(shù)標(biāo)準(zhǔn)中引入可信計(jì)算的理念，將傳統(tǒng)的三重防護(hù)上升為可信計(jì)算環(huán)境、可信邊界、可信通信網(wǎng)絡(luò)組成的可信環(huán)境下的三重防護(hù)，從而實(shí)現(xiàn)主體的可信計(jì)算安全，進(jìn)一步實(shí)現(xiàn)等級(jí)保護(hù)主動(dòng)防御功能，充分發(fā)揮等級(jí)保護(hù)在信息安全建設(shè)中的作用。

4.3 完善等保技術(shù)標(biāo)準(zhǔn)體系，推進(jìn)等級(jí)保護(hù)在云計(jì)算中的應(yīng)用

針對(duì)當(dāng)前的物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、移動(dòng)互聯(lián)網(wǎng)，云計(jì)算應(yīng)用中帶來(lái)的數(shù)據(jù)高度集中、高虛擬化等的特點(diǎn)，信息安全等級(jí)保護(hù)應(yīng)當(dāng)在等級(jí)保護(hù)建設(shè)時(shí)必須加入對(duì)終端安全更高的基本需求。例如，在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問(wèn)路徑；通過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄等。同時(shí)在虛擬環(huán)境下，要求安全設(shè)備能識(shí)別網(wǎng)絡(luò)虛擬標(biāo)簽，區(qū)分每臺(tái)虛擬機(jī)主機(jī)。針對(duì)云計(jì)算中邊界模糊化的特點(diǎn)，可以通過(guò)軟件安全實(shí)現(xiàn)對(duì)動(dòng)態(tài)邊界的監(jiān)測(cè)，保證其安全。具體推進(jìn)中，可以通過(guò)完善等級(jí)保護(hù)相關(guān)整改建設(shè)指南，等級(jí)測(cè)評(píng)工作指南以及相關(guān)技術(shù)標(biāo)準(zhǔn)等，以指導(dǎo)具體工作的開(kāi)展，從而以推進(jìn)等級(jí)保護(hù)在云計(jì)算、物聯(lián)網(wǎng)、工控領(lǐng)域的等中的應(yīng)用。

4.4 借鑒經(jīng)驗(yàn)，完善等級(jí)保護(hù)制度設(shè)計(jì)和體系建設(shè)

目前《信息安全等級(jí)保護(hù)定級(jí)指南》確定的對(duì)象是信息系統(tǒng)，《信息安全等級(jí)保護(hù)基本要求》也是針對(duì)自身具備運(yùn)行的物理環(huán)境、網(wǎng)絡(luò)環(huán)境、系統(tǒng)環(huán)境和應(yīng)用以及相關(guān)人員和管理體系等完整、標(biāo)準(zhǔn)的意義上的信息系統(tǒng)而提出的，而對(duì)于重要信息系統(tǒng)運(yùn)行所依賴的網(wǎng)絡(luò)系統(tǒng)、IDC（互聯(lián)網(wǎng)數(shù)據(jù)中心）、災(zāi)備中心等這樣的對(duì)象，無(wú)論是定級(jí)方法、保護(hù)要求還是測(cè)評(píng)結(jié)果判定方面等都還存在不合適的地方。

對(duì)此可以在定級(jí)過(guò)程中，參考美國(guó)經(jīng)驗(yàn)，引入系統(tǒng)法（特別是相互依賴性分析）和象征法，加深對(duì)定級(jí)對(duì)象的認(rèn)識(shí)，通過(guò)仿真建模等分析技術(shù)進(jìn)行定級(jí)合理性的驗(yàn)證。在等級(jí)測(cè)評(píng)過(guò)程可以引入風(fēng)險(xiǎn)分析、威脅評(píng)價(jià)、系統(tǒng)分析等過(guò)程加強(qiáng)測(cè)評(píng)結(jié)果的可量化性。同時(shí)研究國(guó)外相關(guān)信息安全建設(shè)中的法律體系、標(biāo)準(zhǔn)體系、組織保障體系等，并在此基礎(chǔ)上進(jìn)行自主創(chuàng)新，以改進(jìn)我們等級(jí)保護(hù)實(shí)踐中發(fā)展的制度設(shè)計(jì)問(wèn)題，提高政策、理論和技術(shù)水平。

5 結(jié)束語(yǔ)

當(dāng)前信息技術(shù)發(fā)展迅速，信息安全面臨的國(guó)際形勢(shì)日益嚴(yán)峻，信息安全等級(jí)保護(hù)作為貫穿信息系統(tǒng)整個(gè)生命周期的信息安全保障措施，應(yīng)當(dāng)不斷完善其法律體系、技術(shù)標(biāo)準(zhǔn)體系以及實(shí)施保障機(jī)制等，以適應(yīng)滿足新形勢(shì)下的信息安全需求。

參考文獻(xiàn)

[1] 《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007] 43 號(hào)）.公安部，2007.

[2] 《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859）.

[3] DoD ，Trusted Computer System Evaluation Criteria（Orange Book）， 26 December 1985.

[4] Information Technology Security Evaluation Criteria；1994.

[5] The Canadian Trusted Computer Product Evaluation Criteria；Version 3 ；1993.

[6] Common Criteria Project Sponsoring Organisations. Common Criteria for Information Security Evaluation Part 1-3， Version2.1. Augest 1999.

[7] ISO/IEC 15408-1：2005 Information technology ―― Security techniques ―― Evaluation criteria for IT security.

[8] 國(guó)務(wù)院.《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》. 1994.

[9] 公安部、國(guó)家保密局、國(guó)家密碼管理委員會(huì)和國(guó)家信息辦.《信息安全等級(jí)保護(hù)的實(shí)施意見(jiàn)》（公信安[2007] 861 號(hào)）. 2007.

[10] 宋言偉，馬欽德，張健.信息安全等級(jí)保護(hù)政策和標(biāo)準(zhǔn)體系綜述.信息通信技術(shù)，2010（6）：59-61.