2023年信息安全保護【五篇】

臨近防汛期，大堤上俯視江水，滾滾的江水夾雜著從上游帶下的黃沙，匆匆流向東方。原本平靜的江水，開始變得混濁，日夜洗擦著堤岸。見況，“安全”的意識迅間閃現在每人的腦海中……。校園課堂上，校園網內外的信息流下面是小編為大家整理的2023年信息安全保護【五篇】,供大家參考。

信息安全保護范文第1篇

關鍵字：安全保護信息流數據流EDI

臨近防汛期，大堤上俯視江水，滾滾的江水夾雜著從上游帶下的黃沙，匆匆流向東方。原本平靜的江水，開始變得混濁，日夜洗擦著堤岸。見況，“安全”的意識迅間閃現在每人的腦海中……。校園課堂上，校園網內外的信息流不斷，導致局域網內部分機器不能正常工作，信息不能正常在網絡間交換，這些是每個應用網絡的人常遇到的問題。從現實的自然現象，到虛擬環境的現象，均隨況出現各種危險的境況，從“護堤”――“護機”，“凈水”――“完整數據流”不就是急切落實的防預措施的措施嗎？電子商務是傳統商貿發展到網絡數字化階段的新營運模式。架構在網絡中的商貿交流信息不單只關系到“交易”雙方，而且還涉及到參與虛擬市場的各方實體。市場交易是在公開、公平、公正、自愿下進行的，市場的形式拓展為虛擬環境的交易需要滿足用戶身份的確定，內容的完整性，信息保密性，交易不可否認性，訪問控制等安全性的控制要求，才能有效地實現。

作為用戶應用電子商務平臺實現網上商務過程，總是從內到外，從個體到整體，從預防到處理，從流到存等過程是中是個性化的安全環境的構建，保護數據信息流的實現。網上信息總是以物理實體為基本載體，在網絡環境下確保交流的信息不受污染，交換過程暢通無阻，信息存儲與交換的過程中實現信息的加密傳送，信息所屬用戶的認證等功能，實現全方位的安全防護，是保證電子商務交易的安全措施。

1、由內到外，確認控制訪問的用戶身份：

電子商務平臺是網上實現買賣雙方開展商貿活動的接口，虛擬環境中，不存在雙方或多方的會面，且網絡中存在著各種以非法入侵，非法竊取、非法控制的黑客手法，利用網絡監聽，截取信息流，木馬程序駐留系統，獲取系統資源。交易時怎樣保證對方是客觀存在的實體，并且有能力實現協作交易？用戶身份實時有效的唯一性認證成為開展電子商務的首要處理的問題。

A、本地身份校驗：

商家服務器上的電子商務平臺，為用戶提供平臺客戶登錄的入口，利用實時獲取合法用戶的口令、智能卡（加密卡）、生物特征等數據，同時進行服務平臺上合法用戶身份的認證，簡單直接地保證了本地用戶登陸的安全性。

面向CRM管理意識的平臺應用開發，把用戶的需要與網上合作伙伴間關系結合開展商務化活動的電子商務平臺，為合法的用戶提供不同權限功能控制，實現個性化的商務活動界面。以CRM個性化彰顯的系統功能在以用戶登錄為入口展現在平臺上，維護與保證各連接用戶使用功能的合法化與安全性。模擬平臺的實訓學習過程中，學生使用權限與教師使用權限的分類，簡單直接地以選項的選擇為區分，使用戶了解平臺角色應用中功能分類的意義。分角色實現規范性的商務平臺的工作流程中，表現為多連接用戶提供多條訪問的進程，各用戶在個性化工作界面中多線程并行工作下，工作不互相影響，信息不造成網絡礙塞，而運行正常的商務平臺特點。以JavaScript語言為開發網頁依據，提供安全實時的用戶身份驗證，是保證用戶的合法性與系統的資源的安全性訪問的重要前提。

B、遠程身份驗證：

采用向CA認證中心申請X.509數字證書的用戶合法身份數字證書。服務器以數字證書為用戶訪問依據，向合法用戶開放實時連接權限，使訪問方為驗證方提供自身網上的身份資料，并實現網上數字證書的實時的有效性驗證，確定了合法數據交換的雙方身份，為交易提供對象合法有確定性的安全性保證。

信息在網上傳輸過程中，涉及到信息源，信息目的地，信息傳輸協議。交換的信息怎樣保證按統一的標準安全地為源與目的地提供可連接的通道，并進行安全的信息傳遞。針對不同安全性的網絡結構，提供通用性標準化協議的安全連接。利用數字證書為載體為客戶端、服務端的連接提供以SSL、SET為標準的傳輸協議，用戶身份信息通過CA認證中心分層管理、解釋、驗證。數字證書實現實時的網上連接，并對用戶數據實現加密傳輸。

信息的實時驗證與反饋是保證網上服務器的安全連接的前提。綁定服務器數字證書可使用戶在遵守SSL協議標準下，與客戶端建立安全可訪問網絡通道，使合法用戶與服務器間筑構加密傳送的數據通道，實現安全的域訪問。

利用商務模擬平臺，開展B2C、B2B實驗教學過程中，客戶端申請并下載安裝數字證書，實現網上商貿活動的實驗。讓學生認識并理解各種類型的數字證書的用途及其使用方法，進一步理解數字證書應用在網絡中商務平臺功能訪問權限的分配方式及意義，并體現驗證用戶唯一身份，在網絡支付組件間完成的資金流和商流信息流動中，實現系統分權管理用戶數據獨立性與系統協調的安全性應用。

2、網絡數據安全的預防與實現：

電子商務平臺下合法用戶利用網絡實現向服務器提交單向的數據信息，流動的信息以標準格式傳遞商貿中所需單證、憑證、資料等，而雙向的數據交換是實現網上支付，信息的咨詢及實時反饋，若網絡傳輸的信息流中夾雜著帶傳染性、攻擊性的數字信息，并有直接危害網絡和系統的情況，不單只造成網上各共享資源受損失，并導致不可估量的商貿經濟的重大損失。

A、安全的預防、處理病毒：

以網絡中各實體的安全性為防護的主體，是實現用戶數據存取安全性，數據信息可靠性，網絡數據交換的數據完整性，信息不可否認性的保證。對客戶端單機來說，建立以預防為主的日常維護與管理工作，常采取安裝個人防火墻軟件，管理網絡可訪問連接端口及訪問策略，有效地實現單機與網絡數據流的實時檢測，阻止網絡攻擊與不法信息的網絡傳遞。并在本機系統內安裝查殺病毒軟件，定時升級更新，實現防止各存儲介質為機器帶來的病毒信息的有效隔治。

整體的網絡管理方式來說，實現局域網內單機的分布管理，不單是用戶端的應用，而是涉及到以整體網絡為對象的安全防護應用。網絡的分層級結構規劃，安排與設置局域網的IP網段，防止網絡風暴，合理分配和使用網絡中軟、硬件資源；
利用軟、硬件防火墻設置與管理相結合的技術，實現整體到個體的網絡信息可控性管理。把管理應用在網絡共享資源組合和用戶級別的網絡安全體制上，是有效實現網絡信息安全性應用的基礎。

B、網上安全數據交換：

網絡其實是內部的連接，外部的聯接的硬件與軟件功能協調應用的構件。架構在安全可信的網絡環境下的以數字信息為載體的電子貨幣的出現為傳統商貿活動開拓了新市場，活動以電子現金、信用卡、電子支票等多種信息載體的電子貨幣，實現了網上數字化信息存取，數字化信息管理，助手應用程序工具等，利用服務器開放給合法用戶的端口，實現網上電子支付的實時數據交換。開展B2C的網上交易流程的講解與實驗時，把電子貨幣信息載體的管理與使用方法及意義，結合保護與認證雙方應用，貫穿商貿活動中的“申請――>定購――>支付――>確認”過程，有效地把載體、方式、應用相結合起來，并理解信息流在傳輸標準協議SET中實現網上交易過程，貼近生活中的網上銀行理解支付網關的接入應用與平臺操作，實現全面開展網上安全數據交換的學習、應用的教學與嘗試。

理解在開展數據加密與認證技術中來確保網上安全交易的意義中，初步建立了理論性的數據加密、CA認證等概念式技術的認識，但在實踐應用過程中，如何解決各類不能在虛擬數據傳輸中用直觀感知出來的問題。（如：管理者如何才能知道傳輸的是誰的數據？數據怎樣才能被安全保護？交流信息如何才算驗證正確……？）針對有效的數據加密技術、認證技術的手段――數字證書的應用為例，利用廣泛的電子郵件應用，把加密技術、算法應用、加密手段、認證過程的實現流程知識點，利用圖解展示，借用互動軟件操作，結合平臺實現方法，完成信息被保護的過程實現，對比篡改信息后的數字原文的變化，把學與用關系應用到認證與保證的可實現層次里。

建立安全的數據交換通道，以數字證書作為網上用戶身份的認證技術，從申請過程中確定證書中使用者的有效身份，以DES的加密算法實現傳統體制和RAS加密算法實現公鑰體制的密鑰管理。建立以PKI公鑰基礎設施技術為基礎的SSL、SET協議利用以數字證書為核心的身份認證、數字簽名、數字信封等數字加密技術實現網上數據安全交易。以S/MIME協議為標準的電子郵件是網上交易過程中最廣泛，最常用的數據交易，其提供了對郵件加密傳送、簽名確認的基本數據安全措施。把個人郵件數字證書綁定個人的Email地址，利用數字證書提供的以RAS為基礎的加密體制，生成個人身份標識性的公鑰，把信息實現網上的私鑰加密傳送，對方獲取公鑰后自動解密后實現發送方身份的識別，內容的顯示。

（1）保證數據的完整性，數據在其過程中不被修改，利用數字信封、數字摘要、雙重簽名、數字代碼等加密技術實現對數據內容的不同加密手段，從不同的程度上加強了加密的有效性，保證了數據的安全性。

（2）為保證數據交易時雙方身份的實時確認，數字化數據容易被篡改，且不留痕跡，發送方可利用個性化文本標識為發送的內容進行數字簽名，還可利用以PGP密鑰管理軟件實現個性圖像化的數字簽名。利用數字簽章軟件實現保護電子文檔信息，內容不被篡改。；
為此保證發送與接收方的利益，利用數字時間戳技術實現CA第三方認證電子信息的時間、用戶身份有效性。

3、認識C/S結構，拓展安全空間：

網上安全數據交換為適應不同的電子商務平臺，兼容不同的數據類型傳輸，以專用網絡或Internet網絡為基礎實現標準EDI數據交換，C/S雙方的數據怎樣遵循同一協議，規范標準的數據格式，實現標準格式的數據存儲？該過程的實現主要依賴于電子商務平臺所提供為其他數據交換應用平臺的接口來實現。以傳統的軟件開發，實現服務器與客戶端的數據交換，基本只適用于專用網絡的高級語言應用，而較大規模的平臺兼容性運行與數據標準化傳遞的差別，則是全球化、網絡化、信息資源共享與應用的主要要解決的問題。網絡不只提供簡單的信息交與換的方式，其把應用功能以聯接的方式擴展到職能部分的功能應用平臺中。那么各平臺的連接與信息共享實現過程中，怎樣才能把數據自動適應地傳遞？問題中存在許多技術與規范的標準的協調與標準統一。例，在實現以CGI連接各功能平臺接口的應用中，以屏幕表單的填寫為數據收集表現載體，以純文本信息實現網絡數據傳遞，使扁平化的數據交換完成在最廣泛連接的不同網絡平臺的應用中，并進一步拓展Internet網絡在安全性保障前提下標準化數據傳輸的空間。

模擬平臺中實現信息選擇、對象操作、表單提交、數據交換的操作、理解和應用過程中，利用網頁制作工具，幫助學生學習與分析理解網頁腳本語言，認識利用對象行為事件調用JavaScript語言的功能實現方法。信息在網絡中以數據庫應用與變量傳遞方式中，實現網絡的安全信息流的應用中，如何加密/解密，如何有效存取的實現措施中，進一步實現網絡動態數據的交換在學生學習認識中理解安全防護的應用。

虛擬世界的交易離不開雙方的信任度，架構安全的環境，保護信息流，是數字化信息得以發展的基礎，是開展電子商務實現安全網上商貿的基本要求。網上商務市場是傳統商務市場在虛擬網絡環境中連動網絡營銷與物流專業等相關市場的拓展營運。全面落實與發展專業化安全信息流，共同維護與構建新型商業營運市場的后盾與保證。

信息安全保護范文第2篇

[關鍵詞]電信運營商 客戶信息 安全保護

對于電信運營商而言，保證其客戶信息具有較高安全性，能夠相應的提升自身的品牌價值，亦能夠提高電信在行業內的核心競爭力。為此，電信運營商必須要明確其客戶敏感信息，并且深入分析其客戶信息安全保護當中存在的主要問題，由此方能夠尋找針對性的有效措施予以積極應對，促使電信運營商獲得更良好的發展。

一、客戶敏感信息概述

客戶敏感信息主要指一旦遭到泄露或者被修改，便會對個人信息主體造成嚴重不良影響的部分個人信息。各個行業的客戶敏感信息，根據客戶意愿、行業特點等存在相應差別。

二、電信運營商客戶信息安全保護問題

1、敏感信息保護工作的重視程度缺失。雖然當前電信運營上已經認識到了客戶信息安全存在威脅，但是卻仍舊難以提高客戶敏感信息保護工作的重視程度?？梢哉f，雖然電信運營上在客戶敏感信息安全保障方面已經作出了努力，但是卻并不具有針對性，亦缺少完善的安全防護體系，難以解決其中存在的諸多安全隱患。主要表現為電信運營商在客戶敏感信息保護當中的人員能力十分欠缺，其不能夠對自身客戶信息現狀作出全面的了解，即便知道客戶信息安全存在問題卻難以明確問題的嚴重性。

2、敏感信息識別難。敏感信息的識別比較困難，主要原因在于電信運營商對客戶敏感信息的具體分布并未清晰了解。雖然電信運營商能夠進行文件加密、終端管控和賬號管理，但是在客戶敏感信息貫穿于整個運營商業務流的情況下，其原本所采用的，比較單一的信息安全防護措施并不能夠起到良好的安全保障效果。同時，電信運營上當前并不能夠對其所有業務流程當中所產生的客戶敏感信息分布情況作出清晰的了解，難以作出系統性的、全面性的監控，因而難以識別業務流當中的敏感信息，亦難以發現敏感信息風險。

3、網絡安全威脅。首先，在人們對信息安全越來越重視的情況下，IT建設卻比較滯后，電信運營商對于客戶敏感信息體系建設并不清晰，缺少充足的安全保障意識、人才支撐和技術保障。其次，IT網絡的鏈接十分混亂，存在私搭亂建的現象，使得網絡間的訪問難以得到控制。隨著互聯網技術的發展，網絡技術結構逐漸變得復雜，各個不同系統之間的關系十分混亂，接入訪問需求時會出現越來越多的安全威脅，使得接入訪問難以達到客戶敏感信息安全規范需求。最后，由于客戶敏感信息眾多，必須要通過大數據進行分析。但是，大數據所需要分析的敏感信息存在信息量大，要求準確和變化快等特點，使得其對大數據分析具有了更高要求。

三、強化電信運營商客戶信息安全保護效果的相關措施

3.1加強對客戶敏感信息保護工作的重視

在此方面，電信運營商需要全面加強其對客戶敏感信息保護工作的重視程度。首先，應該提升運維操作人員、技術人員等全體人員的信息安全保障意識，可以通過培訓等彌補其安全意識以及技術方面存在的不足。其次，應該配備充足的專職安全崗位人員，明確各個崗位的職責，以便更加具有針對性的負責客戶敏感信息保護。

3.2強化運營商對敏感信息的識別

電信運營商首先應該建立比較完善的客戶信息安全管理系統，用以明確客戶敏感信息安全管理責任和程序，有效的處理信息安全隱患。其次，應該對客戶敏感信息分類作出明確，促使整個業務流當中各個業務所涉及到的客戶敏感信息均能夠被及時發現且納入到信息安全管理系統中。通過全面的信息安全監控，及時發現信息安全風險，便于制定應對措施。據此，電信運營商將能夠更加良好的加強客戶敏感信息的安全保護，肩負起其不可推卸的信息安全保護社會責任。

3.3加強網絡安全建設

信息安全保護范文第3篇

2007年，原鐵道部成立了鐵路信息安全等級保護工作協調領導小組，印發了《關于開展鐵路重要信息系統安全等級保護定級工作的通知》。多次組織會議研究具體工作，并每年將等級保護工作列入全國鐵路信息化工作要點，提出明確要求，重點督促落實。2012年，了《關于進一步做好鐵路信息安全等級保護工作的通知》，進一步推進鐵路信息安全等級保護工作。截至2012年，鐵路行業已對33個信息系統進行了定級，其中二級8個，三級22個，四級3個，結合系統建設、升級改造、專項工程等，對部分已定級的信息系統進行了相應的信息安全防護改造，起到了一定的防護作用。

2其他行業信息安全等級保護工作現狀

2.1電力行業

電力信息系統包括發電、輸電、變電、配電、用電等環節的生產、調度與控制系統，還包括與生產、營銷等工作相關的管理系統。2004年10月，國家電網公司轉發了公安部的《關于信息安全等級保護工作的實施意見》的通知，要求下屬單位認識信息安全保障體系。2005年，電力行業監管部門頒發了《電力二次系統安全防護規定》，后陸續制定了《電力二次系統安全防護總體方案》、《省級及以上調度中心二次系統安全防護方案》、《變電站二次系統安全防護方案》，高度重視信息安全保護工作[2]。2007年8月，電監會了《關于開展電力行業信息系統安全等級保護定級工作的通知》；
隨后11月下發了《電力行業信息系統安全等級保護定級工作指導意見》，要求貫徹落實國家關于信息安全等級保護工作。2010年6月，電力行業信息安全等級保護測評中心通過國家信息安全等級保護工作協調小組評審，成為國內首個行業信息安全等級保護測評機構，為電力行業信息安全等級保護工作開展提供測評及咨詢等服務。2011年，電力行業按照國家信息安全等級保護相關標準和管理規范，結合自身行業現狀和特點，制定了本行業的等保標準——《電力行業信息系統安全等級保護基本要求》(送審稿)，指導行業信息安全等級保護工作。以國家電網公司為代表，電力行業等級保護工作有序穩步推進，2006年開展了信息系統安全等級保護制度研究與試點工作，2007年進行了試點，2009年全面展開等級保護建設工作。2010年以來，電力行業形成了以網絡隔離、邊界防護和分層分級縱深防御為主要特點的立體化安全防護體系，成為全國首個率先組織開展信息安全等級保護工作并深入應用的行業。

2.2金融行業

金融行業信息系統包括中國人民銀行信息系統和銀行業金融機構信息系統兩大類。中國人民銀行除擁有政府行政管理的各類信息系統外，還有履行金融調控、金融服務、金融市場職能的13類信息系統。銀行業金融機構信息系統分為兩類：各類銀行、各類金融機構。2007年，中國人民銀行印發《中國人民銀行、中國銀行業監督管理委員會關于印發<開展銀行業金融機構重要信息系統安全等級保護定級工作>的通知》，開始在金融行業開展信息安全等級保護工作。2011年1月，經中國人民銀行、公安部國家信息安全等級保護工作協調小組辦公室批準，中國金融電子化公司測評中心成為行業指定的信息安全等級保護測評服務機構，開始了金融行業信息安全等級保護測評和風險評估工作。2012年7月，人民銀行制定出臺了《金融行業信息系統信息安全等級保護實施指引》、《金融行業信息系統信息安全等級保護測評指南》、《金融行業信息安全等級保護測評服務安全指引》3項標準，成為金融行業的等級保護標準。同年，人民銀行了《中國人民銀行關于進一步推進銀行業信息安全等級保護工作的通知》，將等級保護工作長效化、制度化。2013年以來，人民銀行先后了《中國人民銀行信息系統安全等級保護定級和備案流程實施辦法》、《中國人民銀行關于銀行業金融機構信息系統安全等級保護定級的指導意見》，進一步完善了等級保護工作流程，并組織對21家全國性銀行業金融機構信息系統定級情況進行了評審。

2.3教育行業

教育行業信息系統包括教育行政管理信息系統和學校信息系統兩大類，如教育部全國學前教育管理信息系統、全國中小學校舍信息管理系統、高考報名與招生相關系統；
各高校教師學生管理信息系統、考試與成績管理系統、遠程教育系統等。2009年，教育部辦公廳印發《關于開展信息系統安全等級保護工作的通知》，隨后，教育部批準成立了“教育信息安全等級保護測評中心”，具體承擔相關等級保護工作。2010年～2011年，教育部辦公廳先后印發了《關于開展教育系統信息安全等級保護工作專項檢查的通知》、《關于進一步加強網絡信息系統安全保障工作的通知》，要求做好教育系統網絡信息安全保障工作，加快建立完備的教育網絡信息安全保障體系。2011年6月，國家信息安全等級保護工作協調小組評審并通過了教育信息安全等級保護測評中心作為國家信息安全等級保護測評機構的資質申請，成為繼電力、金融行業之后第三家行業信息安全等級保護測評機構。教育部積極組織開展信息安全等級保護行業標準的制定，研究制定了《教育系統信息安全等級保護定級指南》、《教育系統信息安全等級保護基本要求》等技術標準，進一步規范了教育行業等級保護工作在技術層面的落實。2012年以來，教育行業等級保護工作繼續深入開展，教育部直屬機關100多個系統完成定級及評審工作，國家教育管理信息系統安全保障體系建設完成，行業具備了獨立進行信息安全等級測評、風險評估服務的能力。

2.4廣電行業

廣電行業信息系統可分為3大類：生產業務系統、外網系統、專網系統[11]。鑒于廣電系統的專業特色，無法照搬基于IP網絡的信息安全評估方法，廣電行業進行了一系列的研究工作。2007年，廣電總局以光纜干線網風險評估為切入點，開始了行業內風險評估的探索；
2008年，完成了“廣播電視光纜干線網信息安全風險評估方法研究”項目，探索出一條適用于行業信息安全評估之路；
2009年，在此基礎之上，廣電總局完成了“廣播電視衛星地球站信息安全風險評估方法研究”；
2010年，啟動了電視中心、廣播中心、無線發射3大播出類型的專業風險評估方法研究。2007年，廣電行業下發了相應的定級工作指導意見，開始了重要播出信息系統定級工作。2009年，廣電總局開始著手研究編制適合行業的等級保護標準；
2011年，廣電總局頒布出臺了《廣播電視相關信息系統安全等級保護定級指南》和《廣播電視相關信息系統安全等級保護基本要求》，作為行業內信息安全等級保護標準，為信息系統建設整改提供指導。2012年，國家廣播電影電視總局廣播電視信息安全測評中心通過國家信息安全等級保護工作領導協調小組辦公室評審，獲得廣電行業信息安全等級保護測評機構推薦證書，成為國內第4家行業信息安全等級保護測評機構。目前，按照廣電總局的統一部署和要求，廣電行業已完成主要信息系統的分類和定級，完成了相關系統在公安機關網絡安全保衛部門的備案，并有計劃地開展安全建設整改工作。

3鐵路與其他行業信息安全等級保護工作對比分析

3.1對工作的認識和推進程度

作為關系國計民生的重要運輸系統，早在2007年，鐵路行業即開始了信息安全等級保護工作，與教育等行業相比，信息安全等級保護工作在鐵路行業的起步更早，等級保護工作被列作全國鐵路信息化工作的要點，獲得了較多的關注和重視。然而，與電力等其他行業相比，鐵路信息安全等級保護工作也存在著不足：（1）行業的先行性自我研究欠缺且滯后，沒有在等級保護工作全面開展之前進行行業信息安全工作的調研和考察，這使得本行業對信息安全等級保護工作的認識缺乏良好的理論和實踐基礎；
（2）信息安全等級保護工作在全路的實施力度有待加強，有些行業已將等級保護工作實現了例行化和常態化，而且較早時候即按照等級保護工作的要求完成了本行業信息系統的定級、備案等工作，而鐵路行業內的上述工作尚處于未實現狀態或實現較晚。

3.2行業標準的制定

信息安全等級保護工作的行業標準，是本行業按照信息安全等級保護國家標準的要求、結合行業自身特點而制定的等級保護工作標準。行業標準是行業開展信息安全等級保護工作的依據和指導性文件，其集中體現了本行業信息安全等級保護工作的研究現狀和最高水平，是判斷一個行業信息安全等級保護工作水平的重要依據。當前電力、金融、廣電等行業已按照信息安全等級保護國家標準要求、結合自身行業特點，制定出臺了本行業的等級保護標準，有的結合使用反饋情況，對已有標準進行了重新修訂和完善，形成了第二版的標準。鐵路信息系統的行業特點，決定了鐵路信息系統安全不能完全照搬等級保護國家標準，而應依據國家標準結合行業特點實施信息安全保護工作；
然而，此項工作尚處于空白狀態，鐵路行業亟待出臺行業標準以指導行業信息安全等級保護工作。

3.3行業評測機構的成立

為進一步推進國家信息安全等級保護工作，公安部依據機構信息安全等級保護測評能力，授權第三方機構進行信息安全等級保護測評。等級保護測評機構的主要工作是根據等級保護標準規范，對各信息系統測評；
作為等級保護測評工作的實施者，它推動著等級保護工作的前進，是信息安全等級保護工作的重要組成部分。截至目前，全國已有數十家機構獲得信息安全等級保護測評資質，列入公安部信息安全等級保護評估中心推薦的全國等級保護測評機構目錄。其中，已有7家機構獲得部級測評資質，這包括了電力、金融、教育及廣電等行業的測評機構，另外的機構則獲得了省市級的測評資質。當前，鐵路行業尚無一家具有認可測評資質的第三方測評機構，導致鐵路內信息系統安全等級保護工作的推進，不得不求助于鐵路外的社會評測機構，然而這些機構并不了解鐵路行業的特點，給鐵路等級保護工作的實施帶來了很大被動。另外，鐵路信息系統大多覆蓋全國，實行全國統一管理，省市級測評機構已不能勝任鐵路的需求。因此，成立一家行業內的部級測評機構，是鐵路等級保護工作進一步開展的必然要求。

4結束語

信息安全保護范文第4篇

關鍵詞：等級保護；
信息安全；
風險評估

中圖分類號：TP309 文獻標識碼：A文章編號：1007-9599 (2011) 13-0000-01

Applied Research of Classified Protection in Information Security

Lv Chunmei,Han Shuai,Hu Chaoju

(School of Control and Computer Engineering,North China Electric Power University,Baoding071003,China)

Abstract:Information security classified protection is a basic institution,strategy and method of national information security system.This paper describes the importance and theory of classified protection,and describes the application of classified protection in some industries.

Keywords:Classified protection;Information security;Risk assessment

隨著信息化的快速發展，計算機網絡與信息技術在各個行業都得到了廣泛應用，對信息系統進行風險分析和等級評估，找出信息系統中存在的問題，對其進行控制和管理，己成為信息系統安全運行的重點。

一、信息系統安全

信息安全的發展大致為以下幾個階段，20世紀40-70年代，人們通過密碼技術解決通信保密，保證數據的保密性和完整性；
到了70-90年代，為確保信息系統資產保密性、完整性和可用性的措施和控制，采取安全操作系統設計技術；
90年代后，要求綜合通信安全和信息系統安全，確保信息在存儲、處理和傳輸過程中免受非授權的訪問，防止授權用戶的拒絕服務，以及包括檢測、記錄和對抗此類威脅的措施，代表是安全評估保障CC；
今天，要保障信息和信息系統資產，保障組織機構使命的執行，綜合技術、管理、過程、人員等，需要更加完善的管理機制和更加先進的技術，出臺的有BS7799/ISO17799管理文件[1]。

二、信息安全等級保護

信息安全等級保護是指對信息系統分等級實行安全保護，對信息系統中發生的信息安全事件等分等級響應、處置，對設備設施、運行環境、系統軟件以及網絡系統按等級管理。風險評估按照風險范疇中設定的相關準則進行評估計算，同時結合信息安全管理和等級保護要求來實施?，F在越來越注重將安全等級策略和風險評估技術相結合的辦法進行信息系統安全管理，國內2007年下發《信息安全等級保護管理辦法》，規范了信息安全等級保護的管理。ISO/IEC 27000是英國標準協會的一個關于信息安全管理的標準[2]。

三、等級保護劃分

完整正確地理解安全保護等級的安全要求，并合理地確定目標系統的保護等級，是將等級保護合理地運用于具體信息系統的重要前提[3]。國家計算機等級保護總體原則《計算機信息系統安全保護等級劃分準則》（GB 17859）將我國信息系統安全等級分為5個級別，以第1級用戶自主保護級為基礎，各級逐漸增強。

第一級：用戶自主保護級，通過隔離用戶和數據，實施訪問控制，以免其他用戶對數據的非法讀寫和破壞。

第二級：系統審計保護級，使用機制來鑒別用戶身份，阻止非授權用戶訪問用戶身份鑒別數據。

第三級：安全標記保護級，提供有關安全策略模型、數據標記以及主體對客體強制訪問控制的非形式化描述。

第四級：結構化保護級，將第三級的自主和強制訪問控制擴展到所有的主體和客體。加強鑒別機制，系統具有相當的抗滲透能力。

第五級：訪問驗證保護級，訪問監控器仲裁主體對客體的全部訪問，具有極強的抗滲透能力。

四、信息系統定級

為提高我國基礎信息網絡和重要信息系統的信息安全保護能力和水平，公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室定于2007年7月至10月在全國范圍內組織開展重要信息系統安全等級保護定級工作[4]，定級范圍包含：

1.電信、廣電行業的公用通信網、廣播電視傳輸網等基礎信息網絡，經營性公眾互聯網信息服務單位、互聯網接入服務單位、數據中心等單位的重要信息系統。

2.鐵路、銀行、海關、稅務、民航、電力、證券、保險、外交、科技、發展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務、水利、國土資源、能源、交通等重要信息系統。

3.市（地）級以上黨政機關的重要網站和辦公信息系統。

4.涉及國家秘密的信息系統。各行業根據行業特點指導本地區、本行業進行定級工作，保障行業內的信息系統安全。

五、等級保護在行業中應用

（一）等級保護在電力行業信息安全中的應用

國家電網公司承擔著為國家發展電力保障的基本使命，對電力系統的信息安全非常重視，已經把信息安全提升到電力生產安全的高度，并陸續下發了《關于網絡信息安全保障工作的指導意見》和《國家電網公司與信息安全管理暫行規定》。

（二）電信網安全防護體系研究及標準化進展

《國家信息化領導小組關于加強信息安全保障工作的意見》和《2006~2020年國家信息化發展戰略》的出臺，明確了我國信息安全保障工作的發展戰略[5]。文中也明確了“國家公用通信網”包括通常所指“基礎電信網絡”、“移動通信網”、“公用互聯網”和“衛星通信網”等基礎電信網絡。將安全保障的工作落實到電信網絡，充分研究安全等級保護、安全風險評估以及災難備份及恢復三部分內容，將三部分工作有機結合，互為依托和補充，共同構成了電信網安全防護體系。

六、結束語

安全等級保護是指導信息系統安全防護工作的基礎管理原則，其核心內容是根據信息系統的重要程度進行安全等級劃分，并針對不同的等級，提出安全要求。我國信息安全等級保護正在不斷地完善中，相信信息保護工作會越做越好。

參考文獻：

[1]徐超漢.計算機信息安全管理[M].北京:電子工業出版社,2006,36-89

[2]ISO27001.信息安全管理標準[S].2005

[3]GB17859計算機信息系統安全保護等級劃分準則[S].1999

[4]關于開展全國重要信息系統安全等級保護定級工作的通知［EB/OL］.公信安[2007]861號,20070716.

信息安全保護范文第5篇

隨著信息安全等級保護工作的不斷深化，已延伸到醫療衛生行業。衛計委要求三級醫院核心業務系統定級不低于第三級。本文結合醫院實際，介紹了醫院信息安全等級保護工作的建設，闡明了信息系統的定級、備案、整改、測評四個實施步驟，以供大家探討。

關鍵詞：

醫院信息安全；
等級保護工作；
等級測評

一、引言

隨著我國信息化建設的快速發展與廣泛應用，信息安全的重要性愈發突出。在國家重視信息安全的大背景下，推出了信息安全等級保護制度。為統一管理規范和技術標準，公安部等四部委聯合了《信息安全等級保護管理辦法》（公通字[2007]43號）。隨著等級保護工作的深入開展，原衛生部制定了《衛生行業信息安全等級保護工作的指導意見》（衛辦發[2011]85號），進一步規范和指導了我國醫療衛生行業信息安全等級保護工作，并對三級甲等醫院核心業務信息系統的安全等級作了要求，原則上不低于第三級。從《關于信息安全等級保護工作的實施意見》中可知信息安全等級保護對象是國家秘密信息、法人和其他組織以及公民的專有信息和公開信息。對信息系統及其安全產品進行等級劃分，并按等級對信息安全事件響應[1]。

二、醫院信息安全等級保護工作實施步驟

2.1定級與備案[2]。

根據公安部信息安全等級保護評估中心編制的《信息安全等級保護政策培訓教程》，有兩個定級要素決定了信息系統的安全保護等級，一個是等級保護對象受到破壞時所侵害的客體，另外一個是對客體造成侵害的程度。對于三級醫院，門診量與床位相對較多，影響范圍較廣，一旦信息系統遭到破壞，將會給患者造成生命財產損失，對社會秩序帶來重大影響。因此，從影響范圍和侵害程度來看，我們非常認同國家衛計委對三級甲等醫院的核心業務信息系統安全等級的限制要求。在完成定級報告編制工作后，填寫備案表，并按屬地化管理要求到市級公安機關辦理備案手續，在取得備案回執后才算完成定級備案工作。我院已按照要求向我市公安局網安支隊，同時也是我市信息安全等級保護工作領導小組辦公室，提交了定級報告與備案表。

2.2安全建設與整改[3]。

在完成定級備案后，就要結合醫院實際，分析信息安全現狀，進行合理規劃與整改。

2.2.1等保差距分析與風險評估。

了解等級保護基本要求?！缎畔⑾到y安全等級保護基本要求》分別從技術和管理兩方面提出了基本要求?；炯夹g要求包括五個方面：物理安全、網絡安全、主機安全、應用安全和數據安全，主要是由在信息系統中使用的網絡安全產品（包括硬件和軟件）及安全配置來實現；
基本管理要求也包括五個方面：安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理，主要是根據相關政策、制度以及規范流程等方面對人員活動進行約束控制，以期達到安全管理要求[4]。技術類安全要求按保護側重點進一步劃分為三類：業務信息安全類（S類）、系統服務安全類（A類）、通用安全保護類（G類）。如受條件限制，可以逐步完成三級等級保護，A類和S類有一類滿足即可，但G類必須達到三級，最嚴格的G3S3A3控制項共計136條[5]。醫院可以結合自身建設情況，選擇其中一個標準進行差距分析。管理方面要求很嚴格，只有完成所有的154條控制項，達到管理G3的要求，才能完成三級等級保護要求。這需要我們逐條對照，發現醫院安全管理中的不足與漏洞，找出與管理要求的差距。對于有條件的三甲醫院，可以先進行風險評估，通過分析信息系統的資產現狀、安全脆弱性及潛在安全威脅，形成《風險評估報告》。經過與三級基本要求對照，我院還存在一定差距。比如：在物理環境安全方面，我院機房雖有滅火器，但沒安裝氣體滅火裝置。當前的安全設備產品較少，不能很好的應對網絡入侵。在運維管理方面，缺乏預警機制，無法提前判斷系統潛在威脅等。

2.2.2建設整改方案。

根據差距分析情況，結合醫院信息系統安全實際需求和建設目標，著重于保證業務的連續性與數據隱私方面，滿足于臨床的實際需求，避免資金投入的浪費、起不到實際效果。整改方案制訂應遵循以下原則：安全技術和安全管理相結合，技術作保障，管理是更好的落實安全措施；
從安全區域邊界、安全計算環境和安全通信網絡進行三維防護，建立安全管理中心[6]。方案設計完成后，應組織專家或經過第三方測評機構進行評審，以保證方案的可用性。整改方案實施。實施過程中應注意技術與管理相結合，并根據實際情況適當調整安全措施，提高整體保護水平。我院整改方案是先由醫院內部自查，再邀請等級測評公司進行預測評，結合醫院實際最終形成的方案。網絡技術人員熟悉系統現狀，易于發現潛在安全威脅，所以醫院要先自查，對自身安全進行全面了解。等級測評公司派專業安全人員進駐醫院，經過與醫院技術人員溝通，利用安全工具進行測試，可以形成初步的整改報告，對我院安全整改具有指導意義。

2.3開展等級保護測評[7]。

下一步工作就是開展等級測評。在測評機構的選擇上，首先要查看其是否具有“DICP”認證，有沒有在當地公安部門進行備案，還可以到中國信息安全等級保護網站進行核實。測評周期一般為1至2月，其測評流程如下。

2.3.1測評準備階段。

醫院與測評機構共同成立項目領導小組，制定工作任務與測評計劃等前期準備工作。項目啟動前，為防止醫院信息泄露，還需要簽訂保密協議。項目啟動后，測評機構要進行前期調研，主要是了解醫院信息系統的拓撲結構、設備運行狀況、信息系統應用情況及安全管理等情況，然后再選擇相應的測評工具和文檔。在測評準備階段，主要是做好組織機構建設工作，配合等級測評公司人員的調查工作。

2.3.2測評方案編制階段。

測評內容主要由測評對象與測評指標來確定。我院測評對象包含三級的醫院信息系統、基礎網絡和二級的門戶網站。測評機構要與醫院溝通，制定工具測試方法與測評指導書，編制測評方案。在此階段，主要工作由等級測評機構來完成。

2.3.3現場測評階段。

在經過實施準備后，測評機構要對上述控制項進行逐一測評，大約需要1至2周，需要信息科人員密切配合與注意。為保障醫院業務正常開展，測評工作應盡量減少對業務工作的沖擊。當需要占用服務器和網絡資源時應避免業務高峰期，可以選擇下班時間或晚上。為避免對現有業務造成影響，測評工具應在接入前進行測試，同時要做好應急預案準備，一旦影響醫院業務，應立即啟動應急預案[8]。在對209條控制項進行測評后應進行結果確認，并將資料歸還醫院。該階段是從真實情況中了解信息系統全面具體的主要工作，也是技術人員比較辛苦的階段。除了要密切配合測評，還不能影響醫院業務開展，除非必要，不然安全測試工作必須在夜間進行。

2.3.4報告編制階段。

通過判定測評單項，測評機構對單項測評結果進行整理，逐項分析，最終得出整體測評報告。測評報告包含了醫院信息安全存在的潛在威脅點、整改建議與最終測評結果[9]。對于公安機關來講，醫院能否通過等級測評的主要標準就是測評結果。因此，測評報告的結果至關重要。測評結果分為：不符合、部分符合、全部符合。有的測評機構根據單項測評結果進行打分，最后給出總分，以分值來判定是否通過測評。為得到理想測評結果，需要醫院落實安全整改方案。

2.4安全運維。

我們必須清醒地認識到，實施安全等級保護是一項長期工作，它不僅要在信息化建設規劃中考慮，還要在日常運維管理中重視，是不斷循環的過程。按照等級保護制度要求，信息系統等級保護級別定為三級的三甲醫院每年要自查一次，還要邀請測評機構進行測評并進行整改，監管部門每年要抽查一次。因此，醫院要按照PDCA的循環工作機制，不斷改進安全技術與管理上，完善安全措施，更好地保障醫院信息系統持續穩定運行[10]。

三、結語

醫院信息安全工作是信息化建設的一部分，是一項長期的系統工程，需要分批分期的循序改建。還要結合醫院實際，考慮安全產品的實用性，不能盲目的進行投資。醫院通過實施等級保護工作，可以有效增強網絡與信息系統整體安全性，有力保障醫院各項業務的持續開展，適應醫院信息化不斷發展的需求。

作者：王磊 單位：蚌埠醫學院第二附屬醫院

參考文獻

[1]公安部,國家保密局,國家密碼管理局,國務院信息化辦公室文件.關于信息安全等級保護工作的實施意見（公通字[2004]66號）[R],2004-9-15.

[2]GB/T22240-2008．信息安全技術信息系統安全等級保護定級指南[S],2008-06-19.

[3]GB/T25058-2010．信息安全技術信息系統安全等級保護實施指南[S],2010-09-02.

[4]GB/T22239-2008．信息安全技術信息系統安全等級保護基本要求[S],2008-06-19.

[5]魏世杰.醫院信息安全等級保護三級建設思路[J].科技傳播,2013,5(99):208-209.

[6]張濱.構建醫院信息安全等級保護縱深防護體系[J].信息通信,2014(141):148-149.

[7]GB/T28449-2012.信息安全技術信息系統安全等級保護測評過程指南[S],2012-06-29.

[8]姚紅磊,楊文.三級系統信息安全等級保護測評指標體系研究[J].鐵路計算機應用,2015,24(2):59-61.