网络安全等级保护管理办法范文

导语：如何才能写好一篇网络安全等级保护管理办法，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

张新枫指出，当前，我国信息安全面临的形势仍然十分严峻，维护国家信息安全的任务非常艰巨、繁重。随着我国经济的持续发展和国际地位的不断提高，我国的基础信息网络和重要信息系统面临的安全威胁及安全隐患比较严重，计算机病毒传播和网络非法入侵十分猖獗，网络违法犯罪持续大幅上升，犯罪分子利用一些安全漏洞，使用黑客病毒技术、网络钓鱼技术、木马间谍程序等新技术，进行网络盗窃、网络诈骗、网络赌博等违法犯罪，给用户造成严重损失。特别是“科技奥运”和“数字奥运”是2008年北京奥运会的一大亮点，网络与信息安全已经成为事关北京奥运安全的重大问题之一。

会议由公安部公共信息网络安全监察局局长李昭主持，公安部公共信息网络安全监察局副局长、国家网络与信息安全信息通报中心主任顾建国对定级工作作了具体说明。

关键词：等级保护；测评；信息安全；管理

中图分类号：TP393

文献标志码：C

0引言

信息安全等级保护作为国家信息安全工作的一项基本制度、基本国策，已经在全国实行多年，各信息系统运营使用单位都深刻认识到等级保护制度的重要性。在我国信息安全等级保护制度中，等级保护分五个工作环节――定级、备案、建设整改、等级测评和监督检查。其中，等级测评是等级测评机构依据国家信息安全等级保护制度规定，受有关单位委托，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行的检测评估活动，是信息安全等级保护工作的重要环节。

随着等级保护工作的不断推进，等级测评机构的体系建设也在不断深入，全国等级测评机构的数量在不断增加，测评机构的品质和能力、测评人员的水平和素质、测评竞争环境等诸多方面的问题将不断出现。因此，加强对等级测评机构的合理、有效监管，对提升测评行业质量，保证测评数据公正、客观，以及保障重点行业的重要信息系统安全等至关重要。

1国家层面对测评机构的监管模式

2009年7月公安部开始信息安全等级保护测评体系建设试点工作，其目的是探索信息安全等级保护测评体系建设和管理的模式和经验，保证全国重要信息系统等级保护安全建设工作的顺利开展。试点工作主要在浙江、重庆、河南、广东等省市展开。其主要内容是根据《信息安全等级保护管理办法》和有关技术标准完成五个方面的工作：一是检验并完善等级测评机构应具备的条件；二是检验并完善等级测评机构建设的主要内容；三是检验并完善等级测评人员管理的主要内容；四是检验并完善等级测评工作规范性要求的主要内容；五是检验并完善测评机构监督管理的主要内容等。从试点工作情况分析，国家对等级保护测评机构的监管模式采用的是能力评估和政府干预相结合的模式。

从工作程序上分为四个步骤：

(1)各测评机构向设区的市级以上所在地公安网安部门申请，公安网安部门根据《信息安全等级保护测评工作管理规范(试行)》对测评机构所提交的申请材料进行审核，审核通过后，提交给上一级公安网安部门报批，并予以受理。

(2)公安部网络安全保卫局统一将各地上报的测评机构信息转发给公安部信息安全等级保护评估中心，由评估中心按照《信息安全等级测评机构能力要求(试行)》对各测评机构进行能力评估。能力评估通过后，由评估中心将能力评估材料递交公安部网络安全保卫局审核批准。

(4)公安部信息安全等级保护评估中心在网站上公布测评机构名单，接受社会监督。

能力评估的内容和要求上，分为组织管理能力、测评实施能力、设施和设备安全与保障能力、质量管理能力、规范性保证能力、风险控制能力、可持续发展能力等七个方面和基本要求、约束性要求等两个部分。

2浙江省等级测评机构现有监管模式

浙江省信息等级保护工作一直处于国内前列，2006年就颁布了《浙江省信息安全等级保护管理办法》(省政府第223号令)，并在同年开展了全国等级保护试点项目。通过多年积累的经验，2007年浙江省开始在测评机构管理、测评工作模式等方面进行探索，初步形成具有浙江特色的等级保护测评机构监管模式。

(1)以社会协会管理为主，政府监管为辅的管理模式

浙江省结合实际，政府层面出台了《浙江省信息安全等级保护测评机构管理规定(试行)》，明确了省内从事等级测评工作的单位性质、条件和义务等要素。社会协会层面出台了《浙江省信息安全测评机构资信等级评定管理办法(试行)》实现测评机构资信等级一、二级管理，形成测评机构管理行业规范，变政府由市场参与主体向市场监管主体转变，由管理审批型向管理服务型转变、由直接行政干预向间接宏观调控转变。

(2)建立以行业自律管理为主的监管体系

严格测评机构行业自律管理，测评机构间签署《信息安全等级保护测评机构行业自律公约》，强化机构自律化管理，进一步规范测评机构行为和工作秩序。

(3)建立机构统一管理标准，专控审查机构自身及人员能力建设

全省测评机构必须按照“审核标准统一，管理规范标准统一、技术标准统一、测评工具标准统一、报告样式标准统一”的五统一规范开展测评工作，并由政府组织机构年审，设立准入准出机制。测评机构的能力审查对测评过程中技术人员行为的规范性、合理性和程序标准性，对机构业务范围、管理能力和技术能力要求等给予明确规定，规范申请、审核、查验和推荐流程，组建由公安、保密、密码管理、信息办和安全等部门专家组成的专门审查小组对机构背景、管理水平、资格和技术能力进行量化评价，作为推荐依据。同时，严格规范测评机构工作程序，加强对机构内部管理规范化建设督导，要求健全人员管理、项目管理、文档管理、设备管理、保密制度等各项制度，要求制定《质量手册》、《程序文件》、《作业指导书》、《测评过程记录表单》等测评实施过程文档，完善测评实施规程。

全省机构都已被要求必须获得CMA中国计量认证，并被引导和鼓励去获得CNAS实验室认证、ISO27001认证等。所有从业人员必须获得初级以上“测评师”技术证书，测评工作中持证上岗。对测评从业人员要进行录用考核、备案和背景审查等工作。

3现有监管模式的不足

4对测评机构进行有效性监管方法的探讨

(1)对测评机构的测评大纲实行报备审核

测评大纲应是等级测评机构的整体测评策略性文件，能综合反映不同测评机构从事等级测评活动的经验、知识、测评方法和测评程序。基于对被测评单位的利益保护以及对测评机构的监管要求，测评大纲应具有法律效力，须报公安机关审核备案后使用。测评机构只有按照测评大纲中明确的指标严格检测、测评，其测评结果才能真实地反映被测单位计算机信息

系统的安全状况，为安全整改建设提供科学的依据和指南。

(2)对等级测评活动的各周期程序实行监督指导

(3)对测评人员实行从录用到离职的全程监督

(4)制定测评机构优劣考量机制，促进诚信服务的企业文化

等级测评的执行主体是测评机构，测评机构的企业文化是否具有凝聚性，企业价值观是否诚信，内部管理模式是否健康，关乎其市场竞争力，更关乎测评机构能否为信息系统安全等级保护工作提供安全、客观、公正的检测评估服务。因此，要求测评企业必须有一定的政治觉悟，要严格遵守国家有关法律法规，要承担社会责任和法律责任，不能唯利是图。政府部门要定期开展管理评审，制定考量测评机构优劣评判标准，完善被测评单位满意度反馈机制，建立机构诚信状况、信用状况、评级结果等信息公开机制，将政府监管和社会监督结合起来，通过评星评级、市场退出和奖惩机制的建立，鼓励诚信机构，惩戒不诚信机构，增加机构不规范测评行为的风险成本。

(5)规范价格体系，推动测评机构良性发展

等级测评是近两年才兴起的行业，政府要引导建立良好的测评市场价格体系，借鉴其他行业自律的经验手段，避免恶性价格竞争，要保障等级测评有一定的利润空间，以使得测评机构能朝更专业、更具实力方向发展，充分调动测评机构提升品牌建设、服务工作效率、专业能力、测评人员素质的内在动力。

一、加强本单位网络与信息安全工作的组织领导，建立健全网络与信息安全工作机构和工作机制，保证网络与信息安全工作渠道的畅通。

二、明确本单位信息安全工作责任，按照“谁主管，谁负责;谁运营，谁负责”的原则，将安全职责层层落实到具体部门、具体岗位和具体人员。

四、加强本单位各节点信息安全应急工作。制定信息安全保障方案，加强应急队伍建设和人员培训，组织开展安全检查、安全测试和应急演练。重大节日及敏感节点期间，加强对重要信息系统的安全监控，加强值班，严防死守，随时应对各类突发事件。

五、按照《信息安全等级保护管理办法》、《互联网信息管理服务办法》等规定，进一步加强网络与信息安全的监督管理，严格落实信息安全突发事件“每日零报告制度”，对本单位出现信息安全事件隐瞒不报、谎报或拖延不报的，要按照有关规定，给予责任人行政处理;出现重大信息安全事件，造成重大损失和影响的，要依法追究有关单位和人员的责任。

六、作为本单位网络与信息安全工作的责任人，如出现重大信息安全事件，对国家安全、社会秩序、公共利益、公民法人及其他组织造成影响的，本人承担主要领导责任。违反上述承诺，自愿承担相应主体责任和法律后果。

七、本人承诺不从事下列危害计算机信息网络安全的活动：

1、未经允许，进入计算机信息网络或者使用计算机信息网络资源;2、未经允许，对计算机信息网络功能进行删除、修改或者增加;

3、未经允许，对计算机信息网络中存储或者传输的数据和应用程序进行删除、修改或者增加;

4、故意制作、传播计算机病毒以及其它破坏性程序;

5、不盗用别人计算机的ip地址、网卡物理地址(mac值)和信息数据;6、不做其它危害计算机信息网络安全行为。

八、本人承诺当计算机信息系统发生重大安全事故时，立即采取应急措施，保留有关原始记录，并在24小时内向政府监管部门报告，以及知会公司资讯安全部门，并接受公司停止网络资源使用服务。

十、本承诺书自签署之日起生效。

【关键词】等级保护；烟草企业；信息安全体系

1等级保护思想

等级保护思想自20世纪80年代在美国产生以来，对信息安全的研究和应用产生着深远的影响。以ITSEC、TCSEC、CC等为代表的一系列安全评估准则相继出台，被越来越多的国家和行业所引入。我国于20世纪80年代末开始研究信息系统安全防护问题，1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》（国务院147号令），明确规定计算机信息系统实行安全等级保护。至此，等级保护思想开始在我国逐渐盛行。

我国的安全等级保护主要对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护。其核心思想就是对信息系统分等级、按标准分类指导，分阶段实施建设、管理和监督，以保障信息系统安全正常运行和信息安全。信息系统的安全等级保护由低到高划分为五级，通过分级分类，以相应的技术和管理为支撑，实现不同等级的信息安全防护。

2烟草行业引入等级保护思想的意义

烟草行业高度重视等级保护工作，实施信息安全等级保护，能有效地提高烟草行业信息安全和信息系统安全建设的整体水平。

2.1开展安全等级结构化安全设计

安全等级保护在注重分级的同时，也强调分类、分区域防护。烟草行业虽强调分类、分区域，但存在一定局域性。同时，由于缺少分级准则，差异化保护尚未深化。引入等级保护思想，有助于深化结构化安全设计理念，通过细分类型、划分区域，全面梳理安全风险，明晰防护重点，构建统一的安全体系架构。

2.2注重全生命周期安全管理

等级保护工作遵循“自主保护、重点保护、同步建设、动态调整”四大基本原则，其“同步建设、动态调整”原则充分体现了全生命周期管理的思想。烟草行业在全建设“同步”思想方面体现不深，未在系统的建设初期将安全需求纳入系统的整体阶段。引入新思想，明确新建系统安全保护要求，提升安全管理效率。

3等级保护在烟草行业的实施路径

信息安全等级保护工作的内容主要涉及系统定级备案、等级保护建设、风险评估与等级安全测评、安全建设整改。烟草行业推行等级保护工作，其实施路径主要有几条。

3.1信息系统安全定级

主要包括信息系统识别、信息系统划分、安全等级确定。其中，原有信息系统根据业务信息安全重要性、系统服务安全重要性等方面综合判定，合理定级。

3.2等级保护安全测评

在等级保护环境下对信息系统重要资产进行风险评估，通过等保测评，发现与等级保护技术、管理要求的不符合项。

3.3制订等级保护实施方案

依据安全建设总体方案、等级保护不符合项，全面梳理存在问题，分类形成各层级问题清单；并合理评估安全建设整改的难易度，全面有效制订等级保护方案，明确安全整改目标。

3.4开展安全整改与评估

根据等级保护实施方案开展建设，具体主要包括安全域划分、产品采购与部署、安全策略实施、安全整改加固以及等级保护管理建设等。并不定期开展安全评估，不断巩固信息安全与信息系统安全。

4基于等级保护的烟草企业信息安全体系建设

根据等级保护工作的实施路径分析得出，等级保护与信息安全体系存在许多共性，有较好的融合度。因此，探索基于等级保护的行业信息安全体系具有深刻意义。

信息安全体系的核心是策略，由管理、技术、运维三部分组成。在等级保护思想的融合下，信息安全体系建设更加注重“分级保护、分类设计、分阶段实施”。根据等级保护思想，烟草行业信息安全体系概述有几点。

4.1分级保护

烟草行业的信息安全体系以信息系统等级为落脚点，实行系统关联分级，具体分为人员分级、操作权限分级、应用对象分级。首先确定使用对象的范围。对人员实行不同分级，即人员、可信人员、不可信人员等；其次，根据人员分级，划分操作权限，即高权限、特殊权限、中权限、低权限等；最后根据业务信息安全等级和应用服务等级，明确应用系统等级，即一至五级安全等级。通过“人员—操作—应用”的关联链，制订分级准则，从而达到分级保护的目的。

4.2分类设计

信息安全体系分类设计，主要涉及不同类型、不同区域、不同边界三方面的结构化设计。

4.2.1类型设计

根据安全等级保护要求以及安全体系特点，分为技术、管理和运维三大类型，并进行类型策略设计。其中技术要求分为物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等四部分，管理要求分为安全管理制度、安全管理机构、人员安全管理、系统建设管理等四部分。运维要求分为系统运维管理、系统运维评估等两部分。

（1）技术策略注重系统自身安全防护功能以及系统遭损害后的恢复功能两大层面。如主机管理，其中主机管理、身份鉴别、访问控制、安全审计、入侵方法等标准要按级体现；而不同的策略同样也要根据两大层面按需设计。

（2）管理策略注重管理范围全面性、资源配置到位性和运行机制顺畅性。诸如安全管理机构是否明确了机构组成，岗位设置是否合理、人员配置是否到位、沟通运行机制是否顺畅等。

（3）运维策略主要体现运维流程的清晰度、运维监督考核的执行度。诸如系统运维管理是否明确运维流程及运维监督考核指标，诸如重大事件、巡检管理、故障管理等。通过分类设计达到结构化层级要求。

4.2.2区域设计

区域设计主要指安全域。安全域从不同角度可以进行划分，主要分为横向划分和纵向划分，横向划分按照业务分类将系统划分为各个不同的安全域，如硬件系统部分、软件系统部分等；纵向在各业务系统安全域内部，综合考虑其所处位置或连接以及面临威胁，将它们划分为计算域、用户域和网络域。

烟草行业根据体系建设需要，将采用多种安全域划分方法相结合的方式进行区域划分。

（1）以系统功能和服务对象划分烟草重要信息系统安全域和一般应用系统安全域。采取严格的访问控制措施，防止重要信息系统数据被其它业务系统频繁访问。

（2）以网络区域划分烟草行业信息系统的数据存储区、应用服务区、管理中心、信息系统内网、DMZ区等不同的安全域。数据存储区的安全保护级别要高于应用服务区，DMZ区的安全级别要低于其它所有安全域。

4.2.3边界设计

要清晰系统、网络、应用等边界，通过区域之间划分，明晰边界安全防护措施。边界设计的理念基于区域设计，在区域划分成不同单元的基础上，实行最小安全边界防护。边界防护本着“知所必需、用所必需、共享必需、公开必需、互联互通必需”的信息系统安全控制管理原则实施。

4.3分阶段实施

烟草信息安全体系建设要充分体现全生命周期管理思想，从应用系统需求开始，分阶段推进体系建设。

4.3.1明确安全需求

为保证信息安全体系建设能顺利开展，行业新建系统必须在规划和设计阶段，确定系统安全等级，明确安全需求，并将应用系统的安全需求纳入到项目规划、设计、实施和验证，以避免信息系统后期反复的整改。

4.3.2加强安全建设

要在系统建设过程中，根据安全等级保护要求，以类型、区域和边界的设计为着力点，全面加强安全环节的监督，及时跟踪安全功能的“盲点”，使在系统建设中充分体现安全总体设计的要求，稳步推进安全体系稳步开展。

4.3.3健全安全运维机制

自系统进入运维期后，要建立健全安全运维机制。梳理运维工作事项，理顺运维业务流程，并通过制订运维规范、运维质量评价标准、运维考核标准等，规范安全运维管理，提高安全运维执行力，以确保系统符合安全等级要求。

4.3.4开展全面安全测评

在安全建设阶段，对行业现状要全面诊断评估，尤其是对已定级的信息系统，加强安全测评，形成安全整改方案，并结合安全体系设计框架，按阶段、分步骤落实，注重整改质量与效率，降低安全风险。

4.3.5落实检查与评估

检查评估必须以安全等保要求为检查内容，充分借助第三方力量，准确评估行业安全管理水平，并及时调整安全保护等级，不断促进行业信息安全工作上台阶。

5结束语

信息安全体系建设作为一项长期的系统工程，等级保护思想的引入，以其保护理念的先进性和实施路径的可行性，为信息安全体系建设提供了新的思路和方法。烟草行业将在信息安全等级保护工作中切实提高烟草业务核心系统的信息安全，保障行业系统的安全、稳定、优质运行，更好地服务国家和社会。

参考文献

[1]公安部等.信息安全等级保护管理办法[Z].2007-06-22.

[2]国家烟草专卖局.烟草行业信息安全保障体系建设指南[Z].2008-04-25.

关键词：证券行业信息安全网络安全体系

近年来，我国资本市场发展迅速，市场规模不断扩大，社会影响力不断增强．成为国民经济巾的重要组成部分，也成为老百姓重要的投资理财渠道。资本市场的稳定健康发展，关系着亿万投资者的切身利益，关系着社会稳定和国家金融安全的大局。证券行业作为金融服务业，高度依赖信息技术，而信息安全是维护资本市场稳定的前提和基础。没有信息安全就没有资本市场的稳定。

目前．国内外网络信息安全问题日益突出。从资本市场看，近年来，随着市场快速发展，改革创新深入推进，市场交易模式日趋集巾化，业务处理逻辑日益复杂化，网络安全事件、公共安全事件以及水灾冰灾、震灾等自然灾害都对行业信息系统的连续、稳定运行带来新的挑战。资本市场交易实时性和整体性强，交易时问内一刻也不能中断。加强信息安全应急丁作，积极采取预防、预警措施，快速、稳妥地处置信息安全事件，尽力减少事故损失，全力维护交易正常，对于资本市场来说至关重要。

1证券行业倍息安全现状和存在的问题

1．1行业信息安全法规和标准体系方面

健全的信息安全法律法规和标准体系是确保证券行业信息安全的基础。是信息安全的第一道防线。为促进证券市场的平稳运行，中国证监会自1998年先后了一系列信息安全法规和技术标准。其中包括2个信息技术管理规范、2个信息安全等级保护通知、1个信息安全保障办法、1个信息通报方法和10个行业技术标准。行业信息安全法规和标准体系的初步形成，推动了行业信息化建设和信息安全工作向规范化、标准化迈进。

虽然我国涉及信息安全的规范性文件众多，但在现行的法律法规中。立法主体较多，法律法规体系庞杂而缺乏统筹规划。面对新形势下信息安全保障工作的发展需要，行业信息安全工作在政策法规和标准体系方面的问题也逐渐显现。一是法规和标准建设滞后，缺乏总体规划；二是规范和标准互通性和协调性不强，部分规范和标准的可执行性差；三是部分规范和标准已不适应，无法应对某些新型信息安全的威胁；四是部分信息安全规范和标准在行业内难以得到落实。

1．2组织体系与信息安全保障管理模型方面

任何安全管理措施或技术手段都离不开人员的组织和实施，组织体系是信息安全保障工作的核心。目前，证券行业采用“统一组织、分工有序”的信息安全工作体系，分为决策层、管理层、执行层。

为加强证券期货业信息安全保障工作的组织协调，建立健全信息安全管理制度和运行机制，切实提高行业信息安全保障工作水平，根据证监会颁布的《证券期货业信息安全保障管理暂行办法》，参照ISO／IEC27001：2005，提出证券期货业信息安全保障管理体系框架。该体系框架采用立方体架构．顶面是信息安全保障的7个目标(机密性、完整性、可用性、真实性、可审计性、抗抵赖性、可靠性)，正面是行业组织结构．侧面是各个机构为实现信息安全保障目标所采取的措施和方式。

1．3IT治理方面

整个证券业处于高度信息化的背景下，IT治理已直接影响到行业各公司实现战略目标的可能性，良好的IT治理有助于增强公司灵活性和创新能力，规避IT风险。通过建立IT治理机制，可以帮助最高管理层发现信息技术本身的问题。帮助管理者处理IT问题，自我评估IT管理效果．可以加强对信息化项目的有效管理，保证信息化项目建设的质量和应用效果，使有限的投入取得更大的绩效。

2003年lT治理理念引入到我国证券行业，当前我国证券业企业的IT治理存在的问题：一是IT资源在公司的战略资产中的地位受到高层重视，但具体情况不清楚；二是IT治理缺乏明确的概念描述和参数指标；是lT治理的责任与职能不清晰。

1．4网络安全和数据安全方面

随着互联网的普及以及网上交易系统功能的不断丰富、完善和使用的便利性，网上交易正逐渐成为证券投资者交易的主流模式。据统计，2008年我同证券网上交易量比重已超过总交易量的80％。虽然交易系统与互联网的连接，方便了投资者。但由于互联网的开放性，来自互联网上的病毒、小马、黑客攻击以及计算机威胁事件，都时刻威胁着行业的信息系统安全，成为制约行业平稳、安全发展的障碍。此，维护网络和数据安全成为行业信息安全保障工作的重要组成部分。近年来，证券行业各机构采取了一系列措施，建立了相对安全的网络安全防护体系和灾舴备份系统，基木保障了信息系统的安全运行。但细追究起来，我国证券行业的网络安全防护体系及灾备系统建设还不够完善，还存存以下几方面的问题：一是网络安全防护体系缺乏统一的规划；二是网络访问控制措施有待完善；三是网上交易防护能力有待加强；四是对数据安全重视不够，数据备份措施有待改进；五是技术人员的专业能力和信息安全意识有待提高。

1．5IT人才资源建设方面

近20年的发展历程巾，证券行业对信息系统日益依赖，行业IT队伍此不断发展壮大。据统计，2008年初，在整个证券行业中，103家证券公司共有IT人员7325人，占证券行业从业总人数73990人的9．90％，总体上达到了行业协会的IT治理工作指引中“IT工作人员总数原则上应不少于公司员工总人数的6％”的最低要求。目前，证券行业的IT队伍肩负着信息系统安全、平稳、高效运行的重任，IT队伍建设是行业信息安全IT作的根本保障。但是，IT人才队伍依然存在着结构不合理、后续教育不足等问题，此行业的人才培养有待加强。

2采取的对策和措施

2．1进一步完善法规和标准体系

2．2深入开展证券行业IT治理工作

2．2．1提高IT治理意识

中国证券业协会要进一步加强IT治理理念的教育宣传工作，特别是对会员单位高层领导的IT治理培训，将IT治理的定义、工具、模型等理论知识纳入到高管任职资格考试的内容之中。通过举办论坛、交流会等形式强化证券经营机构的IT治理意识，提高他们IT治理的积极性。

2．2．2通过设立IT治理试点形成以点带面的示范效应

根据IT治理模型的不同特点，建议证券公司在决策层使用CISR模型，通过成立lT治理委员会，建立各部门之间的协调配合、监督制衡的责权体系；在执行层以COBIT模型、ITFL模型等其他模型为补充，规范信息技术部门的各项控制和管理流程。同时，证监会指定一批证券公司和基金公司作为lT试点单位，进行IT治理模型选择、剪裁以及组合的实践探索，形成一批成功实施IT治理的优秀范例，以点带面地提升全行业的治理水平。

2．3通过制定行业标准积极落实信息安全等级保护

行业监管部门在推动行业信息安全等级保护工作中的作用非常关键．应进一步明确监管部门推动行业信息安全等级保护工作的任务和工作机制，统一部署、组织行业的等级保护丁作，为该项丁作的顺利开展提供组织保证。行业各机构应采取自主贯彻信息系统等级保护的行业要求，对照标准逐条落实。同时，应对各单位实施信息系统安全等级保护情况进行测评，在测评环节一旦发现信息系统的不足，被测评单位应立即制定相应的整改方案并实施．且南相芙的监督机构进行督促。

2．4加强网络安全体系规划以提升网络安全防护水平

2．4．1以等级保护为依据进行统筹规划

等级保护是围绕信息安全保障全过程的一项基础性的管理制度，通过将等级化的方法和安全体系规划有效结合，统筹规划证券网络安全体系的建设，建立一套信息安全保障体系，将是系统化地解决证券行业网络安全问题的一个非常有效的方法。

2．4．2通过加强网络访问控制提高网络防护能力

对向证券行业提供设备、技术和服务的IT公司的资质和诚信加强管理，确保其符合国家、行业技术标准。根据网络隔离要求，要逐步建立业务网与办公网、业务网与互联网、网上交易各子系统间有效的网络隔离。技术上可以对不同的业务安全区域划分Vlan或者采用网闸设备进行隔离；对主要的网络边界和各外部进口进行渗透测试，进行系统和设备的安全加固．降低系统漏洞带来的安全风险；在网上交易方面，采取电子签名或数字认证等高强度认证方式，加强访问控制；针对现存恶意攻击网站的事件越来越多的情况，要采取措施加强网站保护，提高对恶意代码的防护能力，同时采用技术手段，提高网上交易客户端软件使朋的安全性。

2．4．3提高从业人员安全意识和专业水平

目前在证券行业内，从业人员的网络安全意识比较薄弱．必要时可定期对从业人员进行安全意识考核，从行业内部强化网络安全工作。要加强网络安全技术人员的管理能力和专业技能培训，提高行业网络安全的管理水平和专业技术水平。

2．5扎实推进行业灾难备份建设

2．6抓好人才队伍建设

证券行业要采取切实可行的措施，建立吸引人才、留住人才、培养人才、发展人才的用人制度和机制。积极吸引有技术专长的人才到行业巾来，加强lT人员的岗位技能培训和业务培训，注重培养既懂得技术义懂业务和管理的复合型人才。要促进从业人员提高水平、转变观念，行业各机构应采取采取请进来、派出去以及内部讲座等多种培训方式。通过建立规范有效的人才评价体系，对信息技术人员进行科学有效的考评，提升行业人才资源的优化配置和使用效率，促进技术人才结构的涮整和完善。

［关键词］信息安全保障体系；中国石油；企业

doi:10.3969/j.issn.1673-0194.2012.09.054

1信息安全保障体系概述

信息安全保障体系分为人员体系、技术体系和管理体系3个层面，人员体系包括安全人员的岗位与职责、全体工作人员的安全管理两部分。技术体系由本地计算环境、区域边界、网络基础设施及支撑性基础设施组成。管理体系包括建立完善的信息安全管理体系、构建自上而下的各级信息安全管理组织架构、制定信息安全方针与信息安全策略及完善信息安全管理制度4个板块。通过纵深防御的多层防护，多处设置保护机制，抵御通过内部或外部从多点向信息系统发起的攻击，将信息系统的安全风险降低到可以接受的程度。

2国外信息安全保障体系建设

美国的信息化程度全球最高，在信息技术的主导权和网络上的话语权等方面占据先天优势，他们在信息安全保障体系建设以及政策支持方面也走在全球的前列。美国政府先后了一系列政策战略报告，将信息安全由“政策”、“计划”上升到“国家战略”及“国际战略”的高度。美国国土安全局是美国信息安全管理的最高权力机构，其他负责信息安全管理和执行的机构有国家安全局、联邦调查局、国防部、商务部等，主要根据相应的方针和政策结合自己部门的情况实施信息安全保障工作。

其他国家也都非常重视信息安全保障工作。构建可信的网络，建设有效的信息安全保障体系，实施切实可行的信息安全保障措施已经成为世界各国信息化发展的主要需求。信息化发展比较好的发达国家，如俄、德、日等国家都已经或正在制定自己的信息安全发展战略和发展计划，确保信息安全沿着正确的方向发展，在信息安全领域不断进行着积极有益的探索。

3国内信息安全保障体系建设

我国信息安全保障体系建设主要包括：①加快信息安全立法、建立信息安全法制体系，做到有法可依，有法必依。②建立国家信息安全组织管理体系，加强国家职能，建立职能高效、职责分工明确的行政管理和业务组织体系，建立信息安全标准和评价体系。③建立国家信息安全技术保障体系，使用科学技术，实施安全的防护保障。④在技术保障体系下，建设国家信息安全保障基础设施。⑤建立国家信息安全经费保障体系，加大信息安全投入。⑥高度重视人才培养，建立信息安全人才培养机制。

我国通过近几年的努力，信息安体保障体系取得了长足发展，2002年成立了全国信息安全标准化技术委员会，不断完善信息安全标准。同时在互联网管理、信息安全测评认证、信息安全等级保护工作等方面取得了实质性进展，但CPU芯片、操作系统与数据库、网关软件仍大多依赖进口，受制于人。

4企业信息安全保障体系建设

中国石油集团公司信息化建设在我国大型企业中处于领先地位，在国资委历年信息化评比中，都名列前茅，“十一五”期间，公司将企业信息安全保障体系建设纳入信息化整体规划中，并逐步实施。其中涉及管理类项目3个，控制类项目3个，技术类项目5个。

管理类项目包括信息安全组织完善、信息安全运行能力建设、风险评估能力建设3个项目。信息安全组织完善是指完善信息安全的决策、管理与技术服务组织，合理配置岗位并明确职责，建立完备的管理流程，为信息安全建设与运行提供组织保障。信息安全运行能力建设内容包括建立统一、完备的信息安全运行维护流程及组织IT运行维护人员信息安全技能培训，较快形成基本的信息安全运行能力。风险评估能力建设是指通过建立风险评估规范及实施团队，提高信息安全风险自评估能力和风险管理能力，强化保障体系的有效性。

信息安全控制类项目涉及信息安全制度与标准完善、基础设施安全配置规范开发、应用系统安全合规性实施3个项目。信息安全制度与标准完善包括：①初步构建了制度和标准体系，了《信息系统安全管理办法》及系统定级实施办法。②建立和完善了信息系统安全管理员制度，开展了信息安全培训。③跟踪国家信息安全等级保护政策，开展信息系统安全测评方法研究等，规范了信息系统安全管理流程，提升安全运行能力。基础设施安全配置规范开发目标是制定满足安全域和等级保护要求的信息技术基础设施安全配置规范，提高信息技术基础设施的安全防护能力。应用系统安全合规性实施是提供专业的信息安全指导与服务，支持国家等级保护、中国石油内部控制等制度的实施，使信息化建设与应用满足合规性要求。

5存在问题及建议

中国石油作为国资委超大型企业和能源工业龙头企业，集团领导和各级领导，一贯重视信息安全工作，在落实等级保护制度，加强信息安全基础设施建设，深入开展信息安全战略、策略研究等方面，都取得的丰硕成果，值得其他企业借鉴。公司在信息安全保障体系建设中还存在以下问题：

（1）信息安全组织体系不够健全，不能较好地落实安全管理责任制。目前，部分二级单位没有独立的信息部门，更没有负责安全体系建设、运行和管理的专职机构，安全的组织保障职能分散在各个部门，兼职安全管理员有责无权的现象普遍存在，制约了中国石油信息安全保障体系建设的发展。需强制建立从上至下完善的管理体系，明确直属二级单位的信息部门建设，岗位设定、人员配备满足对信息系统管理的需求。

关键词：

校园网安全系统的建设目标是根据学校信息网络结构和应用模式，针对可能存在的安全漏洞和安全需求，在不同层次上提出安全级别要求，并提出相应的解决方案，制订相应的安全策略，编制安全规划，采用合理、先进的技术实施安全工程，加强安全管理，保证系统的安全性。

对于这样规模庞大、结构复杂、涉及人员众多的网络体系需要建立全网安全保障系统，针对不同的业务特征进行合理的安全保障，确保业务系统的安全运行。

我们在设计学校信息安全保障体系的过程中，借鉴IATF的信息安全保障体系模型构建学校信息安全保障体系的技术体系和管理体系，这些体系构成学校所需的安全体系。在技术体系和管理体系中的安全控制和对策的选择和定制中，采用“最佳实施”方法，通过列举满足实际需求和实际应用来构造安全保障体系。

在学校安全保障体系设计过程中，整体性一直是最核心的问题，因此为了保障安全体系具有一定的完整性，避免对安全问题的遗漏，需要在方法论中引入了安全框架模型。

安全保障体系框架示意图

上图中，最下层是安全体系要保护的对象，根据信息资产逻辑图，将保护对象分成计算区域、区域边界、通信网络和基础设施（指PKI/PMI/KMI中心和应急响应中心）等。计算区域部分主要指提供业务的网络服务，计算区域内部可以根据学校信息化的实际需求进一步细分为子区域，边界和通信网络。对不同区域、边界和通信网络，其安全需求是不同的。保护对象框架将学校信息系统的安全问题细分为一组结构化的安全需求。

通过将对策框架中的所有安全控制中的策略，组织，技术和运作分别提炼，组成相应的策略体系、组织体系、技术体系和运作体系。每个体系由对策框架组成，对策框架由一组安全控制组成，这些安全控制是根据保护对象中的安全需求设计和选择出来的。每一条安全控制都包含策略，组织，技术和运作四个要素。

基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出；基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出，基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。

根据公安部《信息系统等级保护技术要求》中相应技术要求，以满足物理安全、网络安全、主机安全、应用安全、数据安全及存备份恢复等几方面的基本要求为前提。

在基于人、技术及运行的信息安全纵深防御体系中，对人的行为的控制是信息安全保障最主要的方面。下图所示为信息安全管理体系框架，该体系包括安全方针、安全策略、安全组织、人员安全、物理安全、安全制度与管理办法、安全标准与规范、安全政策、安全法律法规与标准、安全培训以及安全规范。

安全管理体系框架图

安全策略作为建立安全机制必须首要考虑的核心，它对安全措施的具体实践提供指导和支持。制定一套系统、科学的安全策略是指导学校等级化信息安全保障体系安全建设的重要内容。

建立安全组织机构、完善安全管理制度，建立有效的工作机制，做到事有人管，职责分工明确是有效防范由于内部人员有意无意对系统造成破坏的有效保障措施。

【关键词】电力施工信息系统安全

1、在规划建立阶段，公司参照国际国内先进企业经验，确定了公司ISMS组织结构范围、业务范围、信息系统范围和物理范围，制订了ISMS方针，确定了风险评估方法。2、在实施运行阶段，公司制定了风险处理计划、实施风险处理计划、开发有效测量程序、实施培训和意识教育计划、管理ISMS运行。其中，工作重点是对具体风险的有效应对与控制。公司针对面临的各项风险制定了专门的风险管理计划，对每一项风险的处理优先顺序、处理措施、所需资源、责任人、验证方式进行了详细定义，确保风险管理的可执行性。3、在监视评审阶段，公司通过日常监视与检查、内部审核、风险评估、管理评审等活动确保整体监控水平。4、保持改进阶段，公司主要活动为实施纠正和预防措施，消除各个管理不符合项，确保在发生信息安全事件时，能够从容应对、科学分析，并采取最优的处理措施。

随着全球信息化程度的加深，CDN已经成为互联网上向用户提供服务的重要系统之一，一方面由于CDN位于内容源站和终端用户之间的特殊物理位置，能够抵御一部分对源站的安全攻击，从而提高源站的安全性；另外一方面，随着CDN越来越多地服务于重要国家部门、金融机构、网络媒体、商业大型网站，并经常承担奥运会、国庆等重大活动，保障CDN自身的安全性、确保源站信息内容安全准确地分发给用户也非常重要。一旦CDN出现业务中断、数据被篡改等安全问题，可能对用户使用互联网服务造成大范围严重影响，甚至可能影响社会稳定。

标准工作开展背景

一直以来，国际国内缺乏专门的标准明确CDN应满足的安全要求，今年《互联网内容分发网络安全防护要求》和《互联网内容分发网络安全防护检测要求》在中国通信标准化协会（CCSA：ChinaCommunicationsStandardsAssociation）立项，“电信网安全防护标准起草组”讨论了征求意见稿，相信CDN安全的标准化工作，能对促进CDN服务商规范安全地提供服务，从整体上提高CDN行业的安全防护水平提供指导。

近五年通信网络安全防护工作取得很大成效，指导通信网络从业务安全、网络安全、系统安全、数据安全、设备安全、物理环境安全、管理安全等各方面加固，提高了通信网络运行的稳定性和安全性、基础电信运营企业安全管理的规范性，也促进了通信行业安全服务产业的快速发展。

随着通信网络安全防护工作逐步深入规范开展，2011年工业和信息化部组织开展了增值运营企业的安全防护试点，率先对新浪、腾讯、百度、阿里巴巴、万网、空中信使运营管理的网络单元进行定级备案、安全符合性评测和风险评估。

2011年，“电信网安全防护标准起草组”组织研究起草《互联网内容分发网络安全防护要求》和《互联网内容分发网络安全防护检测要求》等8项安全防护标准，工业和信息化部电信研究院、蓝汛、网宿、清华大学、中国移动、中国电信、华为、中国互联网协会等单位研究人员参与了标准的起草，目前这两项标准的征求意见稿已经在CCSA讨论通过。

根据《通信网络安全防护管理办法》，按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度，由低到高可划分为一级、二级、三级、四级、五级。因此《互联网内容分发网络安全防护要求》明确了一级至五级CDN系统应该满足的安全等级保护要求，级别越高，CDN需满足的安全要求越多或越严格。《互联网内容分发网络安全防护检测要求》明确了对CDN进行安全符合性评测的方法、内容、评价原则等，有助于深入检查企业是否落实了安全防护要求。

CDN安全防护内容

CDN位于内容源站与终端用户之间，主要通过内容的分布式存储和就近服务提高内容分发的效率，改善互联网络的拥塞状况，进而提升服务质量。通常CDN内部由请求路由系统、边缘服务器、运营管理系统、监控系统组成，CDN外部与内容源站以及终端用户相连。CDN是基于开放互联网的重叠网，与承载网松耦合。

CDN主要是为互联网上的各种业务应用提供内容分发服务，以显著提高互联网用户的访问速度，所以保障CDN分发的数据内容安全和CDN业务系统安全至关重要，保障CDN的基础设施安全、管理安全，有效实施灾难备份及恢复等也是CDN安全防护应该考虑的重要内容。因此CDN的安全防护可从数据内容安全、业务系统安全、基础设施安全、管理安全、灾难备份及恢复几方面考虑。

（1）CDN数据内容安全

数据一致性：CDN企业提供对内容污染的防御能力，识别和丢弃污染的内容，保障重要数据内容的一致性和完整性；保证CDN平台内部传输数据的一致性；防止分发的内容被非法引用（即防盗链）。

安全审计：记录管理员（含源站管理员和CDN系统内部管理员）对CDN系统的管理操作，留存日志记录并定期审计。

防攻击和源站保护：引入CDN后不应降低内容源站的安全水平，同时CDN在一定程度上提供对内容源站的抗攻击保护。

（2）CDN业务系统安全

为保障CDN的业务系统安全，需要从结构安全、访问控制、入侵防范等方面进行安全保护，另外鉴于请求路由系统（即DNS系统）在CDN系统中的重要性以及目前DNS系统存在脆弱性，需要保障请求路由系统的安全。

结构安全：CDN企业在节点部署时应考虑防范安全攻击，如为服务器单节点服务能力留出足够的冗余度、配置实时备份节点等。

访问控制：对管理员操作维护进行身份认证并进行最小权限分配，从IP地址等方面限制访问。

入侵防范：关闭不必要的端口和服务，CDN能够抵御一定的安全攻击并快速恢复。

请求路由系统安全：部署多个内部DNS节点进行冗余备份，并对DNS进行安全配置。

（3）CDN基础设施安全

保障CDN的基础设施安全，可从主机安全、物理环境安全、网络及安全设备防护等方面进行保护。

物理环境安全：机房应选择合适的地理位置，对机房访问应进行控制，防盗窃、防破坏、防雷击、防火、防水、防潮、防静电、温湿度控制、防尘、电磁防护等方面均应采取一定的防护措施，并确保电力持续供应。

网络及安全设备防护：IP承载网需要从网络拓扑结构、网络保护与恢复、网络攻击防范等方面进行保护。

（4）CDN管理安全

规范有效的管理对于保障信息系统的安全具有重要作用，可从机构、人员、制度等方面进行保障，同时应将安全管理措施贯穿系统建设、系统运维全过程。

人员：在人员录用、离岗、考核、安全意识教育和培训、外部人员访问等环节加强对人员的管理。

制度：对重要的安全工作制订管理制度，确保制度贯彻执行，根据安全形势的变化和管理需要及时修订完善安全制度。

安全建设：在系统定级备案、方案设计、产品采购、系统研发、工程实施、测试验收、系统交付、选择安全服务商等环节进行安全管理，分析安全需求、落实安全措施。CDN企业在新建、改建、扩建CDN时，应当同步建设安全保障设施，并与主体工程同时验收和投入运行。安全保障设施的新建、改建、扩建费用，需纳入建设项目概算。

安全运维：在系统运行维护过程中对物理环境、介质、网络、业务系统、安全监测、密码、备份与恢复等加强安全管理，提高对恶意代码防范、安全事件处置、应急预案制订与演练的管理。

（5）灾难备份及恢复

可通过配置足够的冗余系统、设备及链路，备份数据，提高人员和技术支持能力、运行维护管理能力，制订完善的灾难恢复预案，提高CDN企业的抗灾难和有效恢复CDN的能力。

冗余系统、设备及链路：运营管理系统、请求路由系统等核心系统应具备冗余能力，在多个省份备份，发生故障后能及时切换；CDN设备的处理能力应有足够的冗余度；核心系统间的链路应有冗余备份。

备份数据：系统配置数据、源站托管数据等关键数据应定期同步备份。

人员和技术支持能力：应为用户提供7×24小时技术支持，员工应经过培训并通过考核才能上岗。

运行维护管理能力：运维人员应能及时发现系统异常事件，在规定事件内上报企业管理人员、客服人员，做好对客户的解释工作。

灾难恢复预案：应根据可能发生的系统故障情况制订详细的灾难恢复预案，组织对预案的教育、培训和演练。

CDN标准展望

2011年制订的CDN标准还只是一个尝试，目前《互联网内容分发网络安全防护要求》和《互联网内容分发网络安全防护检测要求》仅对作为第三方对外提供互联网内容分发服务的CDN提出安全防护要求和检测要求，随着后续CDN安全防护工作的深入开展、CDN面临的安全风险不断变化，CDN安全防护标准还会不断修订完善。

关键词：安全域；安全域划分；边界整合

中图分类号：TP312文献标识码：A

在新闻报道中各种网络犯罪已经屡见不鲜，电子科技的发展极大地推动了社会生产力的发展，改善了人们的生活水平，但是在另一个方面，这也给了不法之徒以可乘之机，并且近几年的网络犯罪呈现出犯罪影响范围逐渐扩大、造成经济损失逐渐增多的趋势，这就要求各个部门、单位要充分地重视网络安全性，并采取多种形式进行有效的安全防护。

1.网络安全防护发展的现状

为落实工业与信息化部11号令《通信网络安全防护管理办法》，完善安全防护工作基础工作，提供安全系统建设规划指导。主要包括安全策略体系建设，组织和人员建设、管理制度推进以及策略体系完善等层面，并明确在未来3～5年内通过建立全方位的安全防护体系，逐步落实可管阶段、可控阶段和可信的阶段任务目标。

2.1现行划分方案

安全域的划分采用了向日葵结构，即：花心：统一的核心承载网，提供IP可达性及受限IP可达性；花环：IP承载网边界；花萼：业务模块与承载网的交互区域；花瓣：明确单一的业务功能模块。

2.2安全域划分

2.3划分步骤

2.3.1明确安全域基本拓扑：网络拓扑是了解系统网络状况和系统组成的必要工具，网络拓扑中应包括系统的组成网络要素和的网络要素之间的连接方式。

2.3.2明确安全域网络出口：梳理当前网络出口情况，明确各业务系统所使用的服务、端口，明确目标地址。

2.3.3梳理当前业务流程：对系统的数据流和处理活动进行调查和访谈，明确系统资产主机的明确归属。

2.3.4安全策略采集：安全策略采集主要是为了进行边界整合及调整时，了解现有系统了安全防护策略。

2.3.5制定网络划分方案：通过对业务系统的网络进行划分，重点梳理出各区域的资产归属和区域划分。

2.4对安全域进行相应的边界调整合并

2.4.1进行物理调整合并

对安全域进行物理整合，也就是对于当前系统或者说多个系统以及相应的安全域进行物理方面的调整合并，其目的在于通过行之有效的物理层面调整合并，能够使整个体系的安全等级有所提升，同时也更加方便对整个体系的管理，从根本上防止网络危害的产生。在实际工作中常会出现一些资源浪费的情况，并且这种情况也不利于系统的整体安全，比如，一个系统在正常运行的时候，有时会有多个系统内部的节点需要和系统外部的网络进行联通，而在联通的时候由于各系统所使用的通信端口不同，也就需要另外的辅助设备进行协调联通，这样不仅增加工作量，同时也不利于系统的安全。针对这种情况就要及时进行层面的端口调整合并，在这个过程中首先就要将各种类型的端口进行统一，并且其使用的系统设备的也应该进行相应的统一。并且通过进一步的整合使得有着同一个类型的安全域的不同系统实现调整合并，通过这样的合并能够有效地降低不同端口建设的投资费用，并且整合之后也能够将安全域统一在一起，在这个基础上也就更方便工作人员，将防护力量集中到一起，从而实现防护等级的提升。

2.4.2进行逻辑调整合并

2.4.3其他边界的整合

安全子域边界整合：除了安全域的边界整合，安全子域之间也存在相应的边界整合，如计算域、服务域、维护域之间的整合。

3.安全域防护

3.1边界防护要求

安全域防护整体原则可根据安全域等级划分和边界保护进行，不同等级间必须采取相应的安全防护策略。维护域：对于维护域的安全需求，以加强认证和计、限制权限，以及严格遵守配置标准的技术手段为主，同时采取安全防护工具，如：部署防病毒系统、口令管理等保护措施。另外还应加强对终端的安全管理。

3.2边界互联防护措施

3.2.1预防与检测相结合的方式

互联网信息技术发展到现今阶段，网络病毒的入侵不仅具有速度快的特征，并且还具有潜伏期长的特点。所谓为了能够更好地实现网络安全的防护，首先就要在系统中设置有效的防火墙，并且因为病毒更新速度快，所以相应的防火墙也要进行及时更新。另一方面，要注意到病毒潜伏期长的特点，现在的电子病毒在没有触发的情况下能够在系统中以10年为单位的进行潜伏，而一旦触发源出现，病毒就会立即启动，并对系统产生危害，所以在进行安全防护的同时还能够进行系统自身的清查工作，将所有的病毒清除出去，从根源上做到预防。

3.2.2当安全域接入各类网络时，在使用通用防护手段的基础上，还可根据各安全域面临风险的特点，部署专业的安全技术防护系统，如DNS防护、反垃圾邮件系统、异常流量分析等。

3.2.3安全工作依靠“三分技术、七分管理”，除了必要的安全保障措施外，加强安全管理也是重要环节。

结语

安全域划分后，网络结构清晰化，建立相应的安全防护策略及安全基线配置，更有利于安全防护部署及日常操作维护。总之，以开展安全域划分为基础，逐步将安全策略体系的管理和技术规范落实到网络安全运行维护的实际工作中，并通过实际工作的经验积累和数据分析，完成对安全策略体系持续完善过程。另外，建立安全维护管理队伍，是安全策略体系实施的重要保障。最终实现“网络安全运营的专业化、网络安全工作的制度化、全网安全的可视可管”的总体目标。