網絡安全等級保護辦法精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網絡安全等級保護辦法主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網絡安全等級保護辦法范文

內網的安全風險

目前，整個信息安全狀況存在日趨復雜和混亂的趨向：誤報率增大，安全投入不斷增加，維護與管理更加復雜和難以實施、信息系統使用效率大大降低，對新的攻擊入侵毫無防御能力，尤其是對內部沒有重視防范。

據美國FBI統計，83%的信息安全事故為內部人員和內外勾結所為，而且呈上升的趨勢。從這一數字可見，內網安全的重要性不容忽視。據公安部最新統計，70%的泄密犯罪來自于內部，電腦應用單位80%未設立相應的安全管理系統、技術措施和制度。

中國科學院研究生院信息安全國家重點實驗室趙戰生教授表示，目前我國信息與網絡安全的防護能力處于發展的初級階段，許多應用系統處于不設防狀態。國防科技大學的一項研究表明，我國與互聯網相連的網絡管理中心有95%都遭到過境內外黑客的攻擊或侵入，其中銀行、金融和證券機構是攻擊重點。

“當前的信息與網絡安全研究，處于忙于封堵現有信息系統安全漏洞的階段。”公安部網絡安全保衛局處長郭啟全認為，“要徹底解決這些迫在眉睫的問題，歸根結底取決于信息安全保障體系的建設。目前，我們迫切需要根據國情，從安全體系整體著手，在建立全方位的防護體系的同時，完善法律體系并加強管理體系。只有這樣，才能保證國家信息化的健康發展，確保國家安全和社會穩定。”

2003年，國家出臺《國家信息化領導小組關于加強信息安全保障工作的意見》（簡稱“27號文件”），明確要求我國信息安全保障工作實行等級保護制度，2007年出臺《信息安全等級保護管理辦法》（簡稱“43號文件”）。隨著兩項標志性文件的下發，2007年被稱為等級保護的啟動元年；由于要對現有信息安全系統進行加固，大量產品和服務采購即將開始，2008年則被普遍視為等級保護采購元年。

等級保護政策是信息安全保障的主要環節。在等級保護解決方案中，內網安全產品主要作用是對終端進行防護。

內網是核心

“事實上，信息安全等級保護的核心思想就是根據不同的信息系統保護需求，構建一個完整的信息安全保護體系。分析《計算機信息系統安全保護等級劃分準則（GB 17859-1999）》可以看出，信息安全等級保護的重點在于內網安全措施的建設和落實。建立一個完整的內網安全體系，是信息系統在安全等級保護工作中的一個重點。”郭啟全說。

內網安全理論的提出主要基于兩個根本要素，一是企事業單位業務工作的高度信息化，二是內網中主機數量的大量增加。由此可見，內網安全從其誕生之日起，對主機系統安全的關注就從來沒有忽略過，采用了包括身份認證、授權管理和系統保護等手段對主機進行了多方面的防護。這與等級保護的思想也是相一致的。

鼎普科技股份有限公司總經理于晴認為，大多數用戶網絡拓撲結構相似，用戶對網絡的安全管理比較一致，但由于用戶使用習慣的不同，對終端的管理則千差萬別。

于晴認為，內網安全領域的關鍵技術主要有內部網絡接入、桌面安全管理和內網安全審計等。這些本質上的問題，應該從系統層面來解決，以信息安全等級保護為基礎。內部網絡接入基于等級保護技術，分別從終端自身的安全性評估，到網絡地址的合法性，讓信息系統“對號入座”。桌面安全管理側重于桌面使用者的行為安全，對終端用戶的電腦行為進行監控、管理與控制，來保障終端的安全。內網安全審計從主機和網絡兩個方面對網絡數據和系統操作進行記錄和恢復，強調出現問題后的案情追溯。

第2篇：網絡安全等級保護辦法范文

關鍵詞：等級保護；測評；信息安全；管理

中圖分類號：TP393

文獻標志碼：C

文章編號：1006-8228(2011)12-60-02

0 引言

信息安全等級保護作為國家信息安全工作的一項基本制度、基本國策，已經在全國實行多年，各信息系統運營使用單位都深刻認識到等級保護制度的重要性。在我國信息安全等級保護制度中，等級保護分五個工作環節――定級、備案、建設整改、等級測評和監督檢查。其中，等級測評是等級測評機構依據國家信息安全等級保護制度規定，受有關單位委托，按照有關管理規范和技術標準，對非涉及國家秘密信息系統安全等級保護狀況進行的檢測評估活動，是信息安全等級保護工作的重要環節。

隨著等級保護工作的不斷推進，等級測評機構的體系建設也在不斷深入，全國等級測評機構的數量在不斷增加，測評機構的品質和能力、測評人員的水平和素質、測評競爭環境等諸多方面的問題將不斷出現。因此，加強對等級測評機構的合理、有效監管，對提升測評行業質量，保證測評數據公正、客觀，以及保障重點行業的重要信息系統安全等至關重要。

1 國家層面對測評機構的監管模式

測評工作作為等級保護制度中最重要工作環節，具有明顯的專業性和技術性恃點，其政策導向性強。因此，僅有相關測評技術標準是不夠的，測評機構的體系化、規范化管理也是關鍵。

2009年7月公安部開始信息安全等級保護測評體系建設試點工作，其目的是探索信息安全等級保護測評體系建設和管理的模式和經驗，保證全國重要信息系統等級保護安全建設工作的順利開展。試點工作主要在浙江、重慶、河南、廣東等省市展開。其主要內容是根據《信息安全等級保護管理辦法》和有關技術標準完成五個方面的工作：一是檢驗并完善等級測評機構應具備的條件；二是檢驗并完善等級測評機構建設的主要內容；三是檢驗并完善等級測評人員管理的主要內容；四是檢驗并完善等級測評工作規范性要求的主要內容；五是檢驗并完善測評機構監督管理的主要內容等。從試點工作情況分析，國家對等級保護測評機構的監管模式采用的是能力評估和政府干預相結合的模式。

從工作程序上分為四個步驟：

(1)各測評機構向設區的市級以上所在地公安網安部門申請，公安網安部門根據《信息安全等級保護測評工作管理規范(試行)》對測評機構所提交的申請材料進行審核，審核通過后，提交給上一級公安網安部門報批，并予以受理。

(2)公安部網絡安全保衛局統一將各地上報的測評機構信息轉發給公安部信息安全等級保護評估中心，由評估中心按照《信息安全等級測評機構能力要求(試行)》對各測評機構進行能力評估。能力評估通過后，由評估中心將能力評估材料遞交公安部網絡安全保衛局審核批準。

(3)各省公安網安部門收到公安部網絡安全保衛局對測評機構審核的意見及相關證書，下發給各地網安部門。

(4)公安部信息安全等級保護評估中心在網站上公布測評機構名單，接受社會監督。

能力評估的內容和要求上，分為組織管理能力、測評實施能力、設施和設備安全與保障能力、質量管理能力、規范性保證能力、風險控制能力、可持續發展能力等七個方面和基本要求、約束性要求等兩個部分。

2 浙江省等級測評機構現有監管模式

浙江省信息等級保護工作一直處于國內前列，2006年就頒布了《浙江省信息安全等級保護管理辦法》(省政府第223號令)，并在同年開展了全國等級保護試點項目。通過多年積累的經驗，2007年浙江省開始在測評機構管理、測評工作模式等方面進行探索，初步形成具有浙江特色的等級保護測評機構監管模式。

(1)以社會協會管理為主，政府監管為輔的管理模式

浙江省結合實際，政府層面出臺了《浙江省信息安全等級保護測評機構管理規定(試行)》，明確了省內從事等級測評工作的單位性質、條件和義務等要素。社會協會層面出臺了《浙江省信息安全測評機構資信等級評定管理辦法(試行)》實現測評機構資信等級一、二級管理，形成測評機構管理行業規范，變政府由市場參與主體向市場監管主體轉變，由管理審批型向管理服務型轉變、由直接行政干預向間接宏觀調控轉變。

(2)建立以行業自律管理為主的監管體系

嚴格測評機構行業自律管理，測評機構間簽署《信息安全等級保護測評機構行業自律公約》，強化機構自律化管理，進一步規范測評機構行為和工作秩序。

(3)建立機構統一管理標準，專控審查機構自身及人員能力建設

全省測評機構必須按照“審核標準統一，管理規范標準統一、技術標準統一、測評工具標準統一、報告樣式標準統一”的五統一規范開展測評工作，并由政府組織機構年審，設立準入準出機制。測評機構的能力審查對測評過程中技術人員行為的規范性、合理性和程序標準性，對機構業務范圍、管理能力和技術能力要求等給予明確規定，規范申請、審核、查驗和推薦流程，組建由公安、保密、密碼管理、信息辦和安全等部門專家組成的專門審查小組對機構背景、管理水平、資格和技術能力進行量化評價，作為推薦依據。同時，嚴格規范測評機構工作程序，加強對機構內部管理規范化建設督導，要求健全人員管理、項目管理、文檔管理、設備管理、保密制度等各項制度，要求制定《質量手冊》、《程序文件》、《作業指導書》、《測評過程記錄表單》等測評實施過程文檔，完善測評實施規程。

全省機構都已被要求必須獲得CMA中國計量認證，并被引導和鼓勵去獲得CNAS實驗室認證、ISO27001認證等。所有從業人員必須獲得初級以上“測評師”技術證書，測評工作中持證上崗。對測評從業人員要進行錄用考核、備案和背景審查等工作。

3 現有監管模式的不足

在現行的測評機構監管模式中，我們側重于對測評機構應具備條件(包括審核是否在境內注冊成立、注冊資本多少、法人資格、公司已有的資質、測評人員已獲得的技術認證等)的監管；僅關注機構是否已具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等制度，而對這些制度的落實情況及執行情況缺乏有效監督；對測評活動實施過程中的合法性，有效性問題缺乏必要的考量。

4 對測評機構進行有效性監管方法的探討

(1)對測評機構的測評大綱實行報備審核

測評大綱應是等級測評機構的整體測評策略性文件，能綜合反映不同測評機構從事等級測評活動的經驗、知識、測評方法和測評程序。基于對被測評單位的利益保護以及對測評機構的監管要求，測評大綱應具有法律效力，須報公安機關審核備案后使用。測評機構只有按照測評大綱中明確的指標嚴格檢測、測評，其測評結果才能真實地反映被測單位計算機信息

系統的安全狀況，為安全整改建設提供科學的依據和指南。

(2)對等級測評活動的各周期程序實行監督指導

等級測評流程分為四個階段：測評準備、方案編制、現場測評及報告編制，政府部門的督導工作須貫穿其中。如，在測評準備階段，為了避免測評小組成員和委托人之間存在利害關系，影響測評結果的公平、客觀、真實，測評機構在確定測評小組成員名單后讓測評委托人確認簽字，確認書要留檔備查，未經確認開展的項目測評報告不具有法律效力。方案編制中，必須明確測評對象、范圍、依據法律法規和標準、制定具體的測評檢查表，記錄文件要測評雙方簽字確認，方案和測評過程文檔應留檔備查。現場測評中，測評小組必須使用可信、安全等級測評工具采集數據，測評工具要向公安機關報備，現場測評要按照檢測程序全面檢測關鍵測評項，依據測評標準客觀、公正、準確評價，政府主管部門應隨機駐點督查現場測評過程實施情況。測評報告反映的是被測評單位信息系統的安全保護現狀，應具有法律效力，報告要使用標準模板，起草過程中測評機構和測評人員應當遵守國家的有關法律法規，保守被測評單位秘密、保障被測單位利益，政府部門有必要明確測機構及其工作人員的法律責任來規范其職業道德。測評機構的測評結果直接對信息系統運營使用單位的建設、整改和運營成本，以及對監管部門的行政監管成本產生影響，也就是說，測評報告對國家和社會都會產生影響。因此，測評機構要對自身的測評行為負責，政府主管部門將對機構及從業人員違反法律規定的行為予以民事、行政或刑事處罰。

(3)對測評人員實行從錄用到離職的全程監督

等級測評涉及用戶單位的核心業務系統，是一項高技術的專業安全服務，需要具有一定政治素質、道德素質和專業素質的測評人員來支撐。管理應進一步加大對測評人員的政治背景、從業背景、專業背景、技術素養的審查力度，建立完備測評人員檔案庫，考量測評機構測評人員穩定性，重點加大對離職測評人員的管控，明確保密條約，關注人員離職去向。

(4)制定測評機構優劣考量機制，促進誠信服務的企業文化

等級測評的執行主體是測評機構，測評機構的企業文化是否具有凝聚性，企業價值觀是否誠信，內部管理模式是否健康，關乎其市場競爭力，更關乎測評機構能否為信息系統安全等級保護工作提供安全、客觀、公正的檢測評估服務。因此，要求測評企業必須有一定的政治覺悟，要嚴格遵守國家有關法律法規，要承擔社會責任和法律責任，不能唯利是圖。政府部門要定期開展管理評審，制定考量測評機構優劣評判標準，完善被測評單位滿意度反饋機制，建立機構誠信狀況、信用狀況、評級結果等信息公開機制，將政府監管和社會監督結合起來，通過評星評級、市場退出和獎懲機制的建立，鼓勵誠信機構，懲戒不誠信機構，增加機構不規范測評行為的風險成本。

(5)規范價格體系，推動測評機構良性發展

等級測評是近兩年才興起的行業，政府要引導建立良好的測評市場價格體系，借鑒其他行業自律的經驗手段，避免惡性價格競爭，要保障等級測評有一定的利潤空間，以使得測評機構能朝更專業、更具實力方向發展，充分調動測評機構提升品牌建設、服務工作效率、專業能力、測評人員素質的內在動力。

第3篇：網絡安全等級保護辦法范文

【關鍵詞】氣象信息；網絡結構；安全問題

最近幾年以來，隨著經濟的發展和社會的進步，我國的民航氣象事業也取得了較大的進步，很多新的設備和系統都應用在民航氣象系統中，在新的設備和系統不斷應用和發展的情況下，需要建立安全的網絡環境，這對民航氣象系統的發展有著重要的作用。促進網絡運行的重要因素是有效的網絡運行結構和合理的管理措施。

1氣象信息網絡的功能

民航氣象中心能夠給外界提供多種信息，主要向空中的交通管制中心提供一些有關于氣象的信息，除此之外還提供塔臺情況；向國外氣象中心提供大韓、全日空、簽派、東北航等氣象信息。這些氣象信息主要包括幾個方面，有現場的實時播報、對實際情況播報的內容、本場預報、氣象預報。衛星云圖等信息。在播報的時候尤其要求信息的及時和準確，這樣才能夠對相關人員的指揮起著重要的作用。

2計算機網絡的安全問題

計算機網絡安全問題是比較復雜的一個問題，隨著經濟的發展和社會的進步，計算機網絡在很多領域都得到了廣泛的應用，由此產生了網絡的不安全因素，計算機病毒逐漸的產生和傳播，計算機網絡很容易就被一些不法分子入侵，很多重要的資料和文件被竊取，甚至給網絡帶來了系統的崩潰和癱瘓等。從以上可以看出，計算機網絡安全運行的必要性。其實計算機網絡安全的問題主要是由內部用戶和外部用戶共同做成的。目前很多國內的用戶與服務器都處于一個相同的網絡環境中，尤其是在應用服務器時，會存在對網絡環境安全的威脅。

3民航氣象信息網絡安全的分析

3.1設計思想

根據這種情況，可以采用一些特殊的辦法，可以考慮使用安全級別，依據網絡終端與氣象業務相連接，這種方式目前比較常用。根據用戶的實際情況可以分為幾個等級，信任最高等級、較為安全等級和一般安全等級。其中信任最高等級和較為安全等級能夠利用網絡終端直接與氣象業務相聯系，網絡在設計時需要考慮是否與區域有所沖突，考慮網絡流量和功能，劃分區域，減少不必要的數據進行傳播，減少對網絡終端的影響。在較為安全的網絡終端中，為了避免英雄愛那個實際的應用，可以分隔一些業務段，使服務網和業務網分離，或者是不再使用原有的信息提供方式，變成間接的信息提供方式，這樣會減少對網絡運行安全的影響。依據以上的安全等級原則，有利于使我們在工作中有據可循。

3.2防火墻

防火墻也是保護網絡運行安全的一個重要設置，存在于網絡和網絡之間，是為了保護網絡之間的安全，是一個重要的屏障。這個屏障在網絡環境安全運行中的作用是防止外部網絡對本網絡的入侵，它成為保護本地網絡的一個重要的關卡。防火墻的實現方式分為很多種，在不同的情況起著不同的作用，在物理結構上，防火墻是一種硬件設備，這個硬件設備是由幾個方面組成的，包括路由器和計算機，或者是主機計算機與配有的網絡相組合。在邏輯上，防火墻相當于一種過濾器，對外部入侵網絡的過濾，還是一種限制器和分析器。防火墻在計算機網絡運行中也充當著阻塞點，通過這個阻塞點能夠通過大部分的信息，這也是唯一的信息檢查點，通過這個信息檢查點能夠確保信息的安全，但是防火墻并不是能夠對每個主機都起到很好的保護作用，由此可見對主機的集中管理具有明顯的優勢。此外，防火墻可以在關鍵時刻實行強制的安全策略。可以根據服務器的信息來判斷哪些服務器能夠通過防火墻，阻止一些服務器通過防火墻。例如在氣象中通常會使用填圖系統，填圖系統的設置與其它系統有著很大的區別，一般是需要收集大量的資料，這些資料都是來源于氣象局網絡系統，而氣象局網絡系統具有高度的保密性，對訪問進行了限制，通過防火墻擁有固定的MAC地址IP和地址才能夠進行訪問，這樣的好處是能夠真正的對內部網絡起到保護作用，防止一些外部網絡對內部網絡提供危險的服務。防火墻還有個重要的用途就是能夠記錄網上的一些活動，通過這些活動管理員可以察覺出外來的入侵者，利用防火墻還可以阻止網段之間的病毒傳播。

3.3安全策略

網絡服務訪問策略主要是針對網絡服務中能夠被允許的服務或者是嚴令禁止的服務，限制網絡使用的方法很多，所以每個途徑都是受到保護的。例如目前可以通過電話撥號的形式登陸到內部WEB服務器上，這樣就可能會使網絡受到攻擊。網絡服務的訪問策略對機構的內部網絡資料起著重要的保護作用，這種網絡服務的訪問不僅只是保障站點的安全還有很多的用途，還可以掃描文件中的病毒，還能夠遠程訪問。由此可見，網絡的內部信息對單位來說是十分重要的，應該注重保護信息安全，用最有效的辦法保證信息的機密和完整，確保信息能夠真實有效；這是每個員工義不容辭的責任和義務，保證信息的完整真實是工作的重中之重，每個人都應該認真對待，將所有信息處理的設備統一執行經過授權的任務。

參考文獻

[1]周建華.中國民航新一代航空氣象系統建設構想[J].中國民用航空，2008（09）,

第4篇：網絡安全等級保護辦法范文

一、加強本單位網絡與信息安全工作的組織領導，建立健全網絡與信息安全工作機構和工作機制，保證網絡與信息安全工作渠道的暢通。

二、明確本單位信息安全工作責任，按照“誰主管，誰負責;誰運營，誰負責”的原則，將安全職責層層落實到具體部門、具體崗位和具體人員。

三、加強本單位信息系統安全等級保護管理工作，在公安機關的監督、檢查、指導下，自覺、主動按照等級保護管理規范的要求完成信息系統定級、備案，對存在的安全隱患或未達到相關技術標準的方面進行建設整改，隨信息系統的實際建設、應用情況對安全保護等級進行動態調整。

四、加強本單位各節點信息安全應急工作。制定信息安全保障方案，加強應急隊伍建設和人員培訓，組織開展安全檢查、安全測試和應急演練。重大節日及敏感節點期間，加強對重要信息系統的安全監控，加強值班，嚴防死守，隨時應對各類突發事件。

五、按照《信息安全等級保護管理辦法》、《互聯網信息管理服務辦法》等規定，進一步加強網絡與信息安全的監督管理，嚴格落實信息安全突發事件“每日零報告制度”，對本單位出現信息安全事件隱瞞不報、謊報或拖延不報的，要按照有關規定，給予責任人行政處理;出現重大信息安全事件，造成重大損失和影響的，要依法追究有關單位和人員的責任。

六、作為本單位網絡與信息安全工作的責任人，如出現重大信息安全事件，對國家安全、社會秩序、公共利益、公民法人及其他組織造成影響的，本人承擔主要領導責任。違反上述承諾，自愿承擔相應主體責任和法律后果。

七、本人承諾不從事下列危害計算機信息網絡安全的活動：

1、未經允許，進入計算機信息網絡或者使用計算機信息網絡資源; 2、未經允許，對計算機信息網絡功能進行刪除、修改或者增加;

3、未經允許，對計算機信息網絡中存儲或者傳輸的數據和應用程序進行刪除、修改或者增加;

4、故意制作、傳播計算機病毒以及其它破壞性程序;

5、不盜用別人計算機的ip地址、網卡物理地址(mac值)和信息數據; 6、不做其它危害計算機信息網絡安全行為。

八、本人承諾當計算機信息系統發生重大安全事故時，立即采取應急措施，保留有關原始記錄，并在24小時內向政府監管部門報告，以及知會公司資訊安全部門，并接受公司停止網絡資源使用服務。

九、本人鄭重承諾遵守本承諾書的有關條款，在使用中認真履行職責，自覺接受監督，確保網絡信息安全;如有違反本承諾書有關條款和國家相關法律法規的行為，本人愿意承擔由此引起的一切責任，直至民事、行政和刑事責任，并接受相應處罰﹔對于造成財產損失的，由個人直接賠償。

十、本承諾書自簽署之日起生效。

第5篇：網絡安全等級保護辦法范文

關鍵詞：證券行業信息安全網絡安全體系

近年來，我國資本市場發展迅速，市場規模不斷擴大，社會影響力不斷增強．成為國民經濟巾的重要組成部分，也成為老百姓重要的投資理財渠道。資本市場的穩定健康發展，關系著億萬投資者的切身利益，關系著社會穩定和國家金融安全的大局。證券行業作為金融服務業，高度依賴信息技術，而信息安全是維護資本市場穩定的前提和基礎。沒有信息安全就沒有資本市場的穩定。

目前．國內外網絡信息安全問題日益突出。從資本市場看，近年來，隨著市場快速發展，改革創新深入推進，市場交易模式日趨集巾化，業務處理邏輯日益復雜化，網絡安全事件、公共安全事件以及水災冰災、震災等自然災害都對行業信息系統的連續、穩定運行帶來新的挑戰。資本市場交易實時性和整體性強，交易時問內一刻也不能中斷。加強信息安全應急丁作，積極采取預防、預警措施，快速、穩妥地處置信息安全事件，盡力減少事故損失，全力維護交易正常，對于資本市場來說至關重要。

1證券行業倍息安全現狀和存在的問題

1．1行業信息安全法規和標準體系方面

健全的信息安全法律法規和標準體系是確保證券行業信息安全的基礎。是信息安全的第一道防線。為促進證券市場的平穩運行，中國證監會自1998年先后了一系列信息安全法規和技術標準。其中包括2個信息技術管理規范、2個信息安全等級保護通知、1個信息安全保障辦法、1個信息通報方法和10個行業技術標準。行業信息安全法規和標準體系的初步形成，推動了行業信息化建設和信息安全工作向規范化、標準化邁進。

雖然我國涉及信息安全的規范性文件眾多，但在現行的法律法規中。立法主體較多，法律法規體系龐雜而缺乏統籌規劃。面對新形勢下信息安全保障工作的發展需要，行業信息安全工作在政策法規和標準體系方面的問題也逐漸顯現。一是法規和標準建設滯后，缺乏總體規劃；二是規范和標準互通性和協調性不強，部分規范和標準的可執行性差；三是部分規范和標準已不適應，無法應對某些新型信息安全的威脅；四是部分信息安全規范和標準在行業內難以得到落實。

1．2組織體系與信息安全保障管理模型方面

任何安全管理措施或技術手段都離不開人員的組織和實施，組織體系是信息安全保障工作的核心。目前，證券行業采用“統一組織、分工有序”的信息安全工作體系，分為決策層、管理層、執行層。

為加強證券期貨業信息安全保障工作的組織協調，建立健全信息安全管理制度和運行機制，切實提高行業信息安全保障工作水平，根據證監會頒布的《證券期貨業信息安全保障管理暫行辦法》，參照ISO／IEC27001：2005，提出證券期貨業信息安全保障管理體系框架。該體系框架采用立方體架構．頂面是信息安全保障的7個目標(機密性、完整性、可用性、真實性、可審計性、抗抵賴性、可靠性)，正面是行業組織結構．側面是各個機構為實現信息安全保障目標所采取的措施和方式。

1．3IT治理方面

整個證券業處于高度信息化的背景下，IT治理已直接影響到行業各公司實現戰略目標的可能性，良好的IT治理有助于增強公司靈活性和創新能力，規避IT風險。通過建立IT治理機制，可以幫助最高管理層發現信息技術本身的問題。幫助管理者處理IT問題，自我評估IT管理效果．可以加強對信息化項目的有效管理，保證信息化項目建設的質量和應用效果，使有限的投入取得更大的績效。

2003年lT治理理念引入到我國證券行業，當前我國證券業企業的IT治理存在的問題：一是IT資源在公司的戰略資產中的地位受到高層重視，但具體情況不清楚；二是IT治理缺乏明確的概念描述和參數指標；是lT治理的責任與職能不清晰。

1．4網絡安全和數據安全方面

隨著互聯網的普及以及網上交易系統功能的不斷豐富、完善和使用的便利性，網上交易正逐漸成為證券投資者交易的主流模式。據統計，2008年我同證券網上交易量比重已超過總交易量的80％。雖然交易系統與互聯網的連接，方便了投資者。但由于互聯網的開放性，來自互聯網上的病毒、小馬、黑客攻擊以及計算機威脅事件，都時刻威脅著行業的信息系統安全，成為制約行業平穩、安全發展的障礙。此，維護網絡和數據安全成為行業信息安全保障工作的重要組成部分。近年來，證券行業各機構采取了一系列措施，建立了相對安全的網絡安全防護體系和災舴備份系統，基木保障了信息系統的安全運行。但細追究起來，我國證券行業的網絡安全防護體系及災備系統建設還不夠完善，還存存以下幾方面的問題：一是網絡安全防護體系缺乏統一的規劃；二是網絡訪問控制措施有待完善；三是網上交易防護能力有待加強；四是對數據安全重視不夠，數據備份措施有待改進；五是技術人員的專業能力和信息安全意識有待提高。

1．5IT人才資源建設方面

近20年的發展歷程巾，證券行業對信息系統日益依賴，行業IT隊伍此不斷發展壯大。據統計，2008年初，在整個證券行業中，103家證券公司共有IT人員7325人，占證券行業從業總人數73990人的9．90％，總體上達到了行業協會的IT治理工作指引中“IT工作人員總數原則上應不少于公司員工總人數的6％”的最低要求。目前，證券行業的IT隊伍肩負著信息系統安全、平穩、高效運行的重任，IT隊伍建設是行業信息安全IT作的根本保障。但是，IT人才隊伍依然存在著結構不合理、后續教育不足等問題，此行業的人才培養有待加強。

2采取的對策和措施

2．1進一步完善法規和標準體系

首先，在法規規劃上，要統籌兼顧，制定科學的信息技術規范和標準體系框架。一是全面做好立法規劃；二是建立科學的行業信息安全標準和法規體系層次。行業信息安全標準和法規體系初步劃分為3層：第一層是管理辦法等巾同證監會部門規章；第二層是證監會相關部門制定的管理規范等規范性文件；第三層是技術指引等自律規則，一般由交易所、行業協會在證監會總體協調下組織制定。其次，在法規制定上．要兼顧規范和發展，重視法規的可行性。最后，在法規實施上．要堅持規范和指引相結合，重視監督檢查和責任落實。

2．2深入開展證券行業IT治理工作

2．2．1提高IT治理意識

中國證券業協會要進一步加強IT治理理念的教育宣傳工作，特別是對會員單位高層領導的IT治理培訓，將IT治理的定義、工具、模型等理論知識納入到高管任職資格考試的內容之中。通過舉辦論壇、交流會等形式強化證券經營機構的IT治理意識，提高他們IT治理的積極性。

2．2．2通過設立IT治理試點形成以點帶面的示范效應

根據IT治理模型的不同特點，建議證券公司在決策層使用CISR模型，通過成立lT治理委員會，建立各部門之間的協調配合、監督制衡的責權體系；在執行層以COBIT模型、ITFL模型等其他模型為補充，規范信息技術部門的各項控制和管理流程。同時，證監會指定一批證券公司和基金公司作為lT試點單位，進行IT治理模型選擇、剪裁以及組合的實踐探索，形成一批成功實施IT治理的優秀范例，以點帶面地提升全行業的治理水平。

2．3通過制定行業標準積極落實信息安全等級保護

行業監管部門在推動行業信息安全等級保護工作中的作用非常關鍵．應進一步明確監管部門推動行業信息安全等級保護工作的任務和工作機制，統一部署、組織行業的等級保護丁作，為該項丁作的順利開展提供組織保證。行業各機構應采取自主貫徹信息系統等級保護的行業要求，對照標準逐條落實。同時，應對各單位實施信息系統安全等級保護情況進行測評，在測評環節一旦發現信息系統的不足，被測評單位應立即制定相應的整改方案并實施．且南相芙的監督機構進行督促。

2．4加強網絡安全體系規劃以提升網絡安全防護水平

2．4．1以等級保護為依據進行統籌規劃

等級保護是圍繞信息安全保障全過程的一項基礎性的管理制度，通過將等級化的方法和安全體系規劃有效結合，統籌規劃證券網絡安全體系的建設，建立一套信息安全保障體系，將是系統化地解決證券行業網絡安全問題的一個非常有效的方法。

2．4．2通過加強網絡訪問控制提高網絡防護能力

對向證券行業提供設備、技術和服務的IT公司的資質和誠信加強管理，確保其符合國家、行業技術標準。根據網絡隔離要求，要逐步建立業務網與辦公網、業務網與互聯網、網上交易各子系統間有效的網絡隔離。技術上可以對不同的業務安全區域劃分Vlan或者采用網閘設備進行隔離；對主要的網絡邊界和各外部進口進行滲透測試，進行系統和設備的安全加固．降低系統漏洞帶來的安全風險；在網上交易方面，采取電子簽名或數字認證等高強度認證方式，加強訪問控制；針對現存惡意攻擊網站的事件越來越多的情況，要采取措施加強網站保護，提高對惡意代碼的防護能力，同時采用技術手段，提高網上交易客戶端軟件使朋的安全性。

2．4．3提高從業人員安全意識和專業水平

目前在證券行業內，從業人員的網絡安全意識比較薄弱．必要時可定期對從業人員進行安全意識考核，從行業內部強化網絡安全工作。要加強網絡安全技術人員的管理能力和專業技能培訓，提高行業網絡安全的管理水平和專業技術水平。

2．5扎實推進行業災難備份建設

數據的安全對證券行業是至關重要的，數據一旦丟失對市場各方的損失是難以估量的。無論是美國的“9·11”事件，還是我國2008年南方冰雪災害和四川汶川大地震，都敲響了災難備份的警鐘。證券業要在學習借鑒國際經驗的基礎上，針對自身需要，對重要系統開展災難備份建設。要繼續推進證券、基金公司同城災難備份建設，以及證券交易所、結算公司等市場核心機構的異地災難備份系統的規劃和建設。制定各類相關的災難應急預案，并加強應急預案的演練，確保災難備份系統應急有效．使應急工作與日常工作有機結合。

2．6抓好人才隊伍建設

證券行業要采取切實可行的措施，建立吸引人才、留住人才、培養人才、發展人才的用人制度和機制。積極吸引有技術專長的人才到行業巾來，加強lT人員的崗位技能培訓和業務培訓，注重培養既懂得技術義懂業務和管理的復合型人才。要促進從業人員提高水平、轉變觀念，行業各機構應采取采取請進來、派出去以及內部講座等多種培訓方式。通過建立規范有效的人才評價體系，對信息技術人員進行科學有效的考評，提升行業人才資源的優化配置和使用效率，促進技術人才結構的涮整和完善。

第6篇：網絡安全等級保護辦法范文

存儲體系建設的原則

安全性原則。安全和保密是信息存儲體系建設的基本要求。電子文件是信息社會中黨務、政務運行的一個重要手段，是信息化條件下文件和檔案的一種新型載體，是我國檔案信息資源的重要組成部分。2000年，王剛同志在全國檔案工作會議上講話指出：“要認真研究和處理信息化帶來的電子文件歸檔和電子檔案管理等新情況，積極探索和解決信息化進程中出現的信息安全等新問題，確保電子檔案的完整與安全。”

方便性原則。存儲是為了利用。安全性與利用的方便性之間往往存在某些沖突。在存儲體系建設中既要考慮安全性，也要考慮信息在服務過程中的方便性。“隨著國家信息化建設的加快推進，電子政務已經成為政府改善服務、強化管理的重要手段”，“以為領導決策服務、為各部門工作服務、為廣大人民群眾服務為目的，積極主動地做好電子文件管理工作，將有利于檔案工作為構建社會主義和諧社會服務的全面開展。”

經濟性原則。安全性和經濟性也存在一些矛盾。信息存儲的安全性需要一系列軟、硬件系統的支持，這是一筆不菲的投入。安全設施的投入似乎永遠也沒有足夠的時候。由于安全問題的多樣性和動態性，使我們在進行信息的安全保護中無法找到完美的辦法。在實際工作中我們遵循的是“適度安全準則”，即根據具體情況提出適度的安全目標并加以實現。

可持續發展原則。電子文件中心建設過程中應處理好三個關系：電子文件中心建設與新的檔案館舍建設的關系；電子文件管理與檔案保護工作的關系；電子文件管理與檔案基礎業務建設的關系，從而促進檔案事業整體持續健康發展。長久保存和集中管理要求存儲體系具有分布式的特征，能夠不斷擴展。存儲體系建設應考慮到日后發展，避免“重復投資、重復建設問題”。

存儲體系中安全問題的特點

安全問題是建設存儲體系首先和必須考慮的問題。一般來說，信息安全存儲問題具有以下特點：

多樣性。在絕大多數信息系統中，安全問題包括物理安全、邏輯安全和安全管理等三個方面。物理安全是指關鍵設備的安全和存放地點的安全等內容。例如：有些計算機沒有內外網物理隔離，機房也沒有基本的防雷、防塵、防靜電等措施。邏輯安全方面涉及訪問控制和數據完整性等方面。安全管理包括人員安全管理制度等。

動態性。由于信息技術在不斷地變化，今天的安全問題到明天也許不再成為安全問題，而今天無關緊要的問題，明天可能成為嚴重的安全威脅。電子文件“本身不能被人們直接讀取，必須借助于專門設備，而這些設備的更新又很快，過若干年這些讀取設備可能就會從社會上消失，那時，電子文件就變為無法讀取的死信息”。

對管理的依賴性。管理制度和管理人員是保證信息安全存儲的關鍵因素。安全問題的多樣性和動態性使僅僅采用安全產品來保證信息的安全存儲難以奏效。離開嚴格、合理的管理制度，離開管理人員對系統的正確維護，再先進的安全保護產品也會形同虛設。

存儲體系模型

面對諸多的安全問題，必須根據電子文件的信息特點，建立具備較高安全等級的、面向利用的、可持續發展的存儲體系。電子文件中心存儲體系應具備多層次、多介質、分布式等基本特征，至少應包含管理制度層、在線存儲層、離線存儲層和異地存儲層四個層次。

管理制度層。安全問題具有對管理的依賴性，嚴格的管理制度、合理的管理策略、管理人員的素質是存儲體系的重要保障。一般來說應有如下幾個管理制度：計算機及網絡安全管理制度、信息安全保密規定、網絡安全保護技術措施規定、網絡安全保障應急預案、管理員崗位職責及工作流程等。在這一層中還要明確存儲備份和恢復策略、網絡的安全等級劃分、信息的保密等級劃分、管理人員的權限劃分等。

在線存儲層。在線存儲主要目的是保證信息能在線利用。對于可以在線利用的信息，要按照有關規定，在相應安全等級網絡上傳輸利用；對于不能在網絡上傳輸的信息只能離線存儲。對于高安全等級或信息實時變化的系統，在該層應配備在線備份系統。

離線存儲層。離線存儲是對在線存儲層的安全備份，當在線存儲出現問題時能及時進行數據恢復，例如病毒、磁盤陣列硬件故障等。離線存儲的介質應脫離、遠離網絡并按照有關要求存放在符合溫濕度、磁場、光照等安全要求的庫房或專用設備中。

異地存儲層。異地存儲主要作用是對其他兩種存儲形式進行安全備份，關鍵時候(例如海嘯、地震、火災等災難發生時)用來恢復數據。異地備份介質位置與本檔案館的距離極為重要。有文獻指出：若防火災，距離只需幾百米；防水災，距離應不小于數公里以上；防地震或海嘯，則需幾百公里距離以外。

存儲介質的選擇

一般來說，存儲介質應選用較耐久的材質，減少儲存或利用過程中的損壞可能性：應使用技術壽命長的介質，使數據能在當前技術條件下維持更長的有效讀出時間，減少數據遷移的頻率，降低數據丟失的風險。由于存儲體系的安全系數建立在多層次、多方式、多技術的整體之上，這就給我們在選擇存儲介質的時候提供了一定的自由度。按照三個存儲層次的不同特點和要求，我們可以選擇相應的存儲介質。

在線存儲層的數據是進行信息服務的主要資源，需要經常利用和變化，在該層選擇存儲設備的時候重點要考慮在線服務的要求，利用要方便、擴展要自由；離線存儲層和異地存儲層中存放的數據一般是備份數據，不經常利用，對這類數據的存儲介質選擇，傳送速率、存取速度等就不是主要考慮因素，而應更多考慮數據安全與長期保存過程中的讀取問題。此外，數據恢復的快速性、實施存儲的經濟性等方面也是應該考慮的內容。結合工作實際，我們認為磁盤陣列、光盤和大容量磁帶是存儲體系建設中比較合適的存儲介質。下圖是基于以上考慮的存儲體系結構圖。

備份和恢復

第7篇：網絡安全等級保護辦法范文

一、學校網絡與信息安全工作情況

本次檢查內容主要包含網絡與信息系統安全的管理機構、規章制度、設施設備、網站和信息運行情況、人技防護、隊伍建設等5個方面，同時從物理安全差距、網絡安全差距、主機安全差距、應用安全差距、數據安全及恢復差距等5個方面對主機房和14個信息系統、1個網站進行等級保護安全技術差距分析，通過差距分析，明確各層次安全域相應等級的安全差距，為下一步安全技術解決方案設計和安全管理建設提供依據。

從檢查情況看，我校網絡與信息安全總體運維情況良好，未出現任何一起重大網絡安全與信息安全事件（事故）。近幾年，學校領導重視學校網絡信息安全工作，始終把網絡信息安全作為信息化工作的重點內容；網絡信息安全工作機構健全、責任明確，日常管理維護工作比較規范；管理制度較為完善，技術防護措施得當，信息安全風險得到有效降低；比較重視信息系統（網站）系統管理員和網絡安全技術人員培訓，應急預案與應急處置技術隊伍有落實；加強對學生網絡宣傳引導教育，日常重視微信、微博、QQ群的管理，提倡爭當“綠色網民”；工作經費有一定保障，網絡安全工作經費納入年度預算，在最近一年學校信息化經費投入中，網絡建設與設備購置費用約占56、5%，數字資源與平臺開發費用約占40、6%，培訓費用約占0、6%，運行與維護費用約占1、04%，研究及其他費用約占1、23%，總計投入占學校同期教育總經費支出的比例約1、57%，基本保證了校園網信息系統（網站）持續安全穩定運行。

1、網絡信息安全組織管理

20xx年學校成立網絡與信息安全工作領導小組，校主要領導擔任組長，網絡與信息安全工作辦公室設在黨委工作部，領導小組全面負責學校網絡信息安全工作，教育技術與信息中心作為校園網運維部門承擔信息系統安全技術防護與技術保障工作，對全校網絡信息安全工作進行安全管理和監督責任。各部門承擔本單位信息系統和網站信息內容的直接安全責任。20xx年，由于人動，及時調整網絡安全和信息安全領導小組成員名單，依照“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則，明確各部門負責人為部門網站的具體負責人，建立學校網絡信息員隊伍，同時，還組建網絡文明志愿者隊伍，對網絡出現的熱點問題，及時跟蹤、跟帖、匯報。

2、信息系統（含網站）日常安全管理

學校建有“校園網絡系統安全管理（暫行）條例”、“學生上網管理辦法“、“校園網絡安全保密管理條例（試行）”、“校園網管理制度”、“網絡與信息安全處理預案”、“網上信息監控制度”等系列規章制度。各系統（網站）使用單位基本能按要求，落實責任人，較好地履行網站信息上傳審簽制度、信息系統數據保密與防篡改制度。日常監控對象包括主要網絡設備、安全設備、應用服務器等，其中網絡中的邊界防火墻、網絡核心交換機和路由器、學校站服務器均納入重點監控。日常維護操作較規范，多數單位做到了杜絕弱口令并定期更改，嚴密防護個人電腦，定期備份數據，定期查看安全日志等，隨時掌握系統（網站）狀態，保證正常運行。

3、信息系統（網站）技術防護

學校網絡信息安全前期的防控主要是基于山石防火墻、深信服防火墻及行為管理軟件，20xx年為加強校園網絡安全管理，購置了“網頁防篡改、教師行為管理、負載均衡”等相關安全設備，20xx年二月中旬完成校園信息系統（含網站）等級保護的定級和備案，并上報xxx市網安支隊。同時，按二級等保要求，約投資110萬元，完成“網絡入侵防御系統、網絡安全審計系統、運維審計-堡壘機系統、服務及測評及機房改造（物理安全）”等網絡安全設備的采購工作，目前，方案已經通過專家論證。

20xx年4月-6月及20xx年3月對網站系統進行安全測評，特別對系統層和應用層漏洞掃描，發現（教務管理系統、教學資源庫）出現漏洞，及時整改，并將結果上報省教育廳、省網安大隊、xxx市網安支隊。同時，對各防火墻軟件7個庫進行升級，對服務器操作系統存在的漏洞及時補丁和修復，做好網站的備份工作等。

4、網絡信息安全應急管理

20xx年學校制定了《xxx職業技術學校網絡與信息安全處理預案》、《xxx職業技術學校網絡安全和學生校內聚集事件應急處置預案》。教育技術與信息中心為應急技術支持單位，在重大節日及敏感時期，采用24小時值班制度，對網絡安全問題即知即改，確保網絡安全事件快速有效處置。

二、檢查發現的主要問題

對照《通知》中的具體檢查項目，我校在網絡與信息安全技術和安全管理建設上還存在一定的問題：

1、由于學校信息化建設尚處于起步階段，學院數據中心建設相對薄弱，未建成完善的數據中心共享體系，各應用系統的數據資源安全及災備均由相關使用部門獨自管理。同時，網絡安全保障平臺（校園網絡安全及信息安全等級保護）尚在建設中。

2、部分系統（網站）日常管理維護不夠規范，仍存在管理員弱口令、數據備份重視不夠、信息保密意識較差等問題；學校子網頁網管員為兼職，投入精力難以保證，而且未取得相應資格證書；由于經費問題，個別應用系統未能及時升級，容易發生安全事故。

3、目前尚未開展網絡安全預案演練，還未真正組建一支校內外聯合的網絡安全專家隊伍，未與社會企業簽訂應急支持協議和完成應急隊伍建設規劃。

三、整改措施

針對存在的問題，學校網絡與信息安全工作領導小組專門進行了研究部署。

1、全面開展信息系統等級保護工作。按照相關《通知》要求，20xx年8月底全面完成網絡安全保障平臺建設，根據系統在不同階段的需求、業務特性及應用重點，采用等級化與體系化相結合的安全體系設計方案，形成整體的等級化的安全保障體系，同時根據安全技術建設和安全管理建設，保障信息系統整體的安全。

2、完善網絡安全管理制度。根據等級保護要求,進行信息安全策略總綱設計、信息安全各項管理制度設計、信息安全技術規范設計等，保障信息系統整體安全。

第8篇：網絡安全等級保護辦法范文

本文針對新疆電力營銷系統的現狀，給出了一種多層次的安全防護方案，對保障營銷系統網絡穩定運行，保護用戶信息安全，傳輸安全、存儲安全和有效安全管理方面給出了建設意見。

2新疆營銷網絡系統現狀

新疆電力營銷業務應用經過了多年的建設，目前大部分地區在業擴報裝、電費計算、客戶服務等方面的營銷信息化都基本達到實用化程度，在客戶服務層、業務處理層、管理監控層三個層次上實現了相應的基本功能。結合新疆電力公司的實際情況，主要分析了管理現狀和網絡現狀。

2.1管理現狀

根據公司總部提出的“集團化運作、集約化發展、精細化管理”的工作思路，從管理的需求上來說，數據越集中，管理的力度越細，越能夠達到精細化的管理的要求。但由于目前各地市公司的管理水平現狀、IT現狀、人員現狀等制約因素的限制，不可能使各地市公司的管理都能夠一步到位，尤其是邊遠地區。因此，營銷業務應用管理在基于現狀的基礎上逐步推進。根據對當前各地市公司的營銷管理現狀和管理目標需求的分析，管理現狀可分為如下三類：實時化、精細化管理；準實時、可控的管理；非實時、粗放式管理。目前大部分管理集中在第二類和第三類。

2.2網絡現狀

網絡建設水平將直接影響營銷業務應用的系統架構部署，目前新疆公司信息網已經形成，實現了公司總部到網省公司、網省公司本部到下屬地市公司的信息網絡互連互通，但是各地市公司在地市公司到下屬基層供電單位的之間的信息網絡建設情況差別較大，部分地市公司已經全部建成光纖網絡，并且有相應的備用通道，能夠滿足實時通信的要求，部分地市公司通過租用專線方式等實現連接，還有一些地市公司由于受地域條件的限制，尚存在一些信息網絡無法到達的地方，對大批量、實時的數據傳輸要求無法有效保證，通道的可靠性相對較差。

2.3需求分析

營銷業務系統通常部署在國家電網公司內部信息網絡的核心機房，為國家電網公司內部信息網絡和國家電網公司外部信息網絡的用戶提供相關業務支持。該網絡涉及業務工作和業務應用環境復雜，與外部/內部單位之間存在大量敏感數據交換，使用人員涵蓋國家電網公司內部人員，外部廠商人員，公網用戶等。因此，在網絡身份認證、數據存儲、網絡邊界防護與管理等層面上都有很高的安全需求。[2]

3關鍵技術和架構

3.1安全防護體系架構

營銷網絡系統安全防護體系的總體目標是保障營銷系統安全有序的運行，規范國家電網公司內部信息網員工和外部信息網用戶的行為，對違規行為進行報警和處理。營銷網絡系統安全防護體系由3個系統（3維度）接入終端安全、數據傳輸安全和應用系統安全三個方面內容，以及其多個子系統組成。

3.2接入終端安全

接入營銷網的智能終端形式多樣，包括PC終端、智能電表和移動售電終端等。面臨協議不統一，更新換代快，網絡攻擊日新月異，黑客利用安全漏洞的速度越來越快，形式越來越隱蔽等安全問題。傳統的基于特征碼被動防護的反病毒軟件遠遠不能滿足需求。需要加強終端的安全改造和監管，建立完善的認證、準入和監管機制，對違規行為及時報警、處理和備案，減小終端接入給系統帶來的安全隱患。

3.3數據傳輸安全

傳統的數據傳輸未采取加密和完整性校驗等保護措施，電力營銷數據涉及國家電網公司和用戶信息，安全等級較高，需要更有效的手段消除數據泄露、非法篡改信息等風險。市場上常見的安全網關、防火墻、漏洞檢測設備等，都具有數據加密傳輸的功能，能夠有效保證數據傳輸的安全性。但僅僅依靠安全設備來保證數據通道的安全也是不夠的。一旦設備被穿透，將可能造成營銷系統數據和用戶信息的泄露。除此之外，還需要采用更加安全可靠的協議和通信通道保證數據通信的安全。

3.4應用系統安全

目前營銷系統已經具有針對應用層的基于對象權限和用戶角色概念的認證和授權機制，但是這種機制還不能在網絡層及以下層對接入用戶進行細粒度的身份認證和訪問控制，營銷系統仍然面臨著安全風險。增強網絡層及以下層，比如接入層、鏈路層等的細粒度訪問控制，從而提高應用系統的安全性。

4安全建設

營銷系統安全建設涉及安全網絡安全、主機操作系統安全、數據庫安全、應用安全以及終端安全幾個層面的安全防護方案，用以解決營銷系統網絡安全目前存在的主要問題。

4.1終端安全加固

終端作為營銷系統使用操作的發起設備，其安全性直接關系到數據傳輸的安全，乃至內網應用系統的安全。終端不僅是創建和存放重要數據的源頭，而且是攻擊事件、數據泄密和病毒感染的源頭。這需要加強終端自身的安全防護策略的制定，定期檢測被攻擊的風險，對安全漏洞甚至病毒及時處理。對終端設備進行完善的身份認證和權限管理，限制和阻止非授權訪問、濫用、破壞行為。目前公司主要的接入終端有PC、PDA、無線表計、配變檢測設備、應急指揮車等。由于不同終端采用的操作系統不同，安全防護要求和措施也不同，甚至需要根據不同的終端定制相應的安全模塊和安全策略，主要包括：針對不同終端（定制）的操作系統底層改造加固；終端接入前下載安裝可信任插件；采用兩種以上認證技術驗證用戶身份；嚴格按權限限制用戶的訪問；安裝安全通信模塊，保障加密通訊及連接；安裝監控系統，監控終端操作行為；安裝加密卡/認證卡，如USBKEY/PCMCIA/TF卡等。

4.2網絡環境安全

網絡環境安全防護是針對網絡的軟硬件環境、網絡內的信息傳輸情況以及網絡自身邊界的安全狀況進行安全防護。確保軟硬件設備整體在營銷網絡系統中安全有效工作。

4.2.1網絡設備安全

網絡設備安全包括國家電網公司信息內、外網營銷管理系統域中的網絡基礎設施的安全防護。主要防護措施包括，對網絡設備進行加固，及時安裝殺毒軟件和補丁，定期更新弱點掃描系統，并對掃描出的弱點及時進行處理。采用身份認證、IP、MAC地址控制外來設備的接入安全，采用較為安全的SSH、HTTPS等進行遠程管理。對網絡設備配置文件進行備份。對網絡設備安全事件進行定期或實時審計。采用硬件雙機、冗余備份等方式保證關鍵網絡及設備正常安全工作，保證營銷管理系統域中的關鍵網絡鏈路冗余。

4.2.2網絡傳輸安全

營銷系統數據經由網絡傳輸時可能會被截獲、篡改、刪除，因此應當建立安全的通信傳輸網絡以保證網絡信息的安全傳輸。在非邊遠地方建立專用的電力通信網絡方便營銷系統的用戶安全使用、在邊遠的沒有覆蓋電力局和供電營業所的地方，采用建立GPRS、GSM，3G專線或租用運營商ADSL、ISDN網絡專網專用的方式，保障電力通信安全。電力營銷技術系統與各個銀行網上銀行、郵政儲蓄網點、電費代繳機構進行合作繳費，極大方便電力客戶繳費。為了提高通道的安全性，形成了營銷系統信息內網、銀行郵政等儲蓄系統、internet公網、供電中心網絡的一個封閉環路，利用專網或VPN、加密隧道等技術提高數據傳輸的安全性和可靠性。在數據傳輸之前需要進行設備間的身份認證，在認證過程中網絡傳輸的口令信息禁止明文傳送，可通過哈希（HASH）單向運算、SSL加密、SecureShel（lSSH）加密、公鑰基礎設施（PublicKeyInfrastructure簡稱PKI）等方式實現。此外，為保證所傳輸數據的完整性需要對傳輸數據加密處理。系統可采用校驗碼等技術以檢測和管理數據、鑒別數據在傳輸過程中完整性是否受到破壞。在檢測到數據完整性被破壞時，采取有效的恢復措施。

4.2.3網絡邊界防護

網絡邊界防護主要基于根據不同安全等級網絡的要求劃分安全區域的安全防護思想。營銷系統安全域邊界，分為同一安全域內部各個子系統之間的內部邊界，和跨不同安全域之間的網絡外部邊界兩類。依據安全防護等級、邊界防護和深度防護標準，具有相同安全保護需求的網絡或系統，相互信任，具有相同的訪問和控制策略，安全等級相同，被劃分在同一安全域內[3]，采用相同的安全防護措施。加強外部網絡邊界安全，可以采用部署堡壘機、入侵檢測、審計管理系統等硬件加強邊界防護，同時規范系統操作行為，分區域分級別加強系統保護，減少系統漏洞，提高系統內部的安全等級，從根本上提高系統的抗攻擊性。跨安全域傳輸的數據傳輸需要進行加密處理。實現數據加密，啟動系統的加密功能或增加相應模塊實現數據加密，也可采用第三方VPN等措施實現數據加密。

4.3主機安全

從增強主機安全的層面來增強營銷系統安全，采用虛擬專用網絡（VirtualPrivateNetwork簡稱VPN）等技術，在用戶網頁（WEB）瀏覽器和服務器之間進行安全數據通信，提高主機自身安全性，監管主機行，減小用戶錯誤操作對系統的影響。首先，掃描主機操作系統評估出配置錯誤項，按照系統廠商或安全組織提供的加固列表對操作系統進行安全加固，以達到相關系統安全標準。安裝第三方安全組件加強主機系統安全防護。采用主機防火墻系統、入侵檢測/防御系統（IDS/IPS）、監控軟件等。在服務器和客戶端上部署專用版或網絡版防病毒軟件系統或病毒防護系統等。此外，還需要制定用戶安全策略，系統用戶管理策略，定義用戶口令管理策略[4]。根據管理用戶角色分配用戶權限，限制管理員使用權限，實現不同管理用戶的權限分離。對資源訪問進行權限控制。依據安全策略對敏感信息資源設置敏感標記，制定訪問控制策略嚴格管理用戶對敏感信息資源的訪問和操作。

4.4數據庫安全

數據庫安全首要是數據存儲安全，包括敏感口令數據非明文存儲，對關鍵敏感業務數據加密存儲，本地數據備份與恢復，關鍵數據定期備份，備份介質場外存放和異地備份。當環境發生變更時，定期進行備份恢復測試，以保證所備份數據安全可靠。數據安全管理用于數據庫管理用戶的身份認證，制定用戶安全策略，數據庫系統用戶管理策略，口令管理的相關安全策略，用戶管理策略、用戶訪問控制策略，合理分配用戶權限。數據庫安全審計采用數據庫內部審計機制或第三方數據庫審計系統進行安全審計，并定期對審計結果進行分析處理。對較敏感的存儲過程加以管理，限制對敏感存儲過程的使用。及時更新數據庫程序補丁。經過安全測試后加載數據庫系統補丁，提升數據庫安全。數據庫安全控制、在數據庫安裝前，必須創建數據庫的管理員組，服務器進行訪問限制，制定監控方案的具體步驟。工具配置參數，實現同遠程數據庫之間的連接[5]。數據庫安全恢復，在數據庫導入時，和數據庫發生故障時，數據庫數據冷備份恢復和數據庫熱備份恢復。

4.5應用安全

應用安全是用戶對營銷系統應用的安全問題。包括應用系統安全和系統的用戶接口和數據接口的安全防護。

4.5.1應用系統安全防護

應用系統安全防護首先要對應用系統進行安全測評、安全加固，提供系統資源控制功能以保證業務正常運行。定期對應用程序軟件進行弱點掃描，掃描之前應更新掃描器特征代碼；弱點掃描應在非核心業務時段進行，并制定回退計劃。依據掃描結果，及時修復所發現的漏洞，確保系統安全運行。

4.5.2用戶接口安全防護

對于用戶訪問應用系統的用戶接口需采取必要的安全控制措施，包括對同一用戶采用兩種以上的鑒別技術鑒別用戶身份，如采用用戶名/口令、動態口令、物理識別設備、生物識別技術、數字證書身份鑒別技術等的組合使用。對于用戶認證登陸采用包括認證錯誤及超時鎖定、認證時間超出強制退出、認證情況記錄日志等安全控制措施。采用用戶名/口令認證時，應當對口令長度、復雜度、生存周期進行強制要求。同時，為保證用戶訪問重要業務數據過程的安全保密，用戶通過客戶端或WEB方式訪問應用系統重要數據應當考慮進行加密傳輸，如網上營業廳等通過Internet等外部公共網絡進行業務系統訪問必須采用SSL等方式對業務數據進行加密傳輸。杜絕經網絡傳輸的用戶名、口令等認證信息應當明文傳輸和用戶口令在應用系統中明文存儲。

4.5.3數據接口安全防護

數據接口的安全防護分為安全域內數據接口的安全防護和安全域間數據接口的安全防護。安全域內數據接口在同一安全域內部不同應用系統之間，需要通過網絡交換或共享數據而設置的數據接口；安全域間數據接口是跨不同安全域的不同應用系統間，需要交互或共享數據而設置的數據接口。

5安全管理

安全管理是安全建設的各項技術和措施得以實現不可缺少的保障，從制度和組織機構到安全運行、安全服務和應急安全管理，是一套標準化系統的流程規范，主要包括以下方面。

5.1安全組織機構

建立營銷業務應用安全防護的組織機構，并將安全防護的責任落實到人，安全防護組織機構可以由專職人員負責，也可由運維人員兼職。

5.2安全規章制度

建立安全規章制度，加強安全防護策略管理，軟件系統安全生命周期的管理，系統安全運維管理，安全審計與安全監控管理，以及口令管理、權限管理等。確保安全規章制度能夠有效落實執行。

5.3安全運行管理

在系統上線運行過程中，遵守國家電網公司的安全管理規定，嚴格遵守業務數據安全保密、網絡資源使用、辦公環境等的安全規定。首先，系統正式上線前應進行專門的系統安全防護測試，應確認軟件系統安全配置項目準確，以使得已經設計、開發的安全防護功能正常工作。在上線運行維護階段，應定期對系統運行情況進行全面審計，包括網絡審計、主機審計、數據庫審計，業務應用審計等。每次審計應記入審計報告，發現問題應進入問題處理流程。建立集中日志服務器對營銷交易安全域中網絡及安全設備日志進行集中收集存儲和管理。軟件升級改造可能會對原來的系統做出調整或更改，此時也應從需求、分析、設計、實施上線等的整個生命周期對運行執行新的安全管理。

5.4安全服務

安全服務的目的是保障系統建設過程中的各個階段的有效執行，問題、變更和偏差有效反饋，及時解決和糾正。從項目層面進行推進和監控系統建設的進展，確保項目建設質量和實現各項指標。從項目立項、調研、開發到實施、驗收、運維等各個不同階段，可以階段性開展不同的安全服務，包括安全管理、安全評審、安全運維、安全訪談、安全培訓、安全測試、安全認證等安全服務。

5.5安全評估

安全評估是對營銷系統潛在的風險進行評估（RiskAssessment），在風險尚未發生或產生嚴重后果之前對其造成后果的危險程度進行分析，制定相應的策略減少或杜絕風險的發生概率。營銷系統的安全評估主要是針對第三方使用人員，評估內容涵蓋，終端安全和接入網絡安全。根據國家電網公司安全等級標準，對核心業務系統接入網絡安全等級進行測評，并給出測評報告和定期加固改造辦法，如安裝終端加固軟件/硬件，安裝監控軟件、增加網絡安全設備、增加安全策略，包括禁止違規操作、禁止越權操作等。

5.6應急管理

為了營銷系統7×24小時安全運行，必須建立健全快速保障體系，在系統出現突發事件時，有效處理和解決問題，最大限度減小不良影響和損失，制定合理可行的應急預案，主要內容包括：明確目標或要求，設立具有專門的部門或工作小組對突發事件能夠及時反應和處理。加強規范的應急流程管理，明確應急處理的期限和責任人。對于一定安全等級的事件，要及時或上報。

6實施部署

營銷系統為多級部署系統。根據國家電網信息網絡分區域安全防護的指導思想原則，結合新疆多地市不同安全級別需求的實際情況，營銷系統網絡整體安全部署如圖2所示。在營銷系統部署中，對安全需求不同的地市子網劃分不同的安全域，網省管控平臺部署在網省信息內網，負責對所有安全防護措施的管控和策略的下發，它是不同安全級別地市子系統信息的管理控制中心，也是聯接總部展示平臺的橋梁，向國網總公司提交營銷系統安全運行的數據和報表等信息。

7結束語

第9篇：網絡安全等級保護辦法范文

1加強設備安全性設計

AFC系統具有數目眾多的站級終端設備，因此設備的安全性不容忽視，設備安全性主要表現在兩個方面。1)作為與乘客交互最多的設備，首先需要保障維修維護人員以及乘客的人身安全，為了達到這一點，需要在AFC系統終端設備設計制造時遵循一定的原則:如所有設備應具備相應的安全保護，設備防水性能良好，設備內各模塊應固定防止隨意移動，所有接頭應具有固定措施;所有設備應有良好的接地措施保證設備金屬外殼不帶電，所有設備及通信線路應具備相應的電源保護措施，所有設備都應配有UPS電源，以防止突然斷電帶來的系統威脅;閘機通道具有人員通過安全保護機制，扇門需要剛柔適中能夠承受乘客的猛烈撞擊對設備帶來的損害，同時也能讓乘客在強制闖過扇門時不受到傷害。另外，設備內部結構設計需要合理，便于人員維修操作，不應有尖利部位導致人員的劃傷。2)作為與現金收益有直接關系的系統設備應該重視收益安全的設計，錢箱和票箱都應加鎖，且所有錢箱在設備中具有密封性，操作人員不能直接接觸到TVM內找零用的現金、錢箱內的現金和車票，在設備發售車票或者車票回收的過程中，即使是設備的某些部件發生故障，車票只能按設定的路徑進入取票口或者回收箱中，不應散落在設備的其他部位。設備中經常需要更換的票箱與錢箱，由于經常搬運和卸載，因此需要有較寬的接觸面不易傾斜，西安地鐵2號線就是由于票箱立面較窄，易傾斜磕碰而造成票箱的損壞。涉及錢款的部件在拆卸和更換過程中必須經系統授權和身份認證，系統中錢箱的更換都應有日志記錄，可明確顯示卸載人以及卸載時間，卸載時錢箱中錢款的情況，比如西安地鐵現在使用的TVM和檢票機錢箱、票箱都配置唯一的電子標志，TVM和檢票機還配備了電子儲存模塊，對錢箱使用情況進行記錄，進入該錢箱的可累計現金金額、最后一次裝入設備和從設備取出的時間、最后一次取出時的該錢箱內的現金金額以及最后一次取出時的操作人員號碼等內容。

2實現網絡安全性

目前，世界上有65%以上的網站癱瘓是源于病毒、黑客的入侵與攻擊。防火墻和入侵檢測系統是防御這類攻擊的有效辦法，西安地鐵2號線AFC系統處于獨立的專網中(網絡結構見圖1)，僅在小清分系統與西安市一卡通系統留有外部接口，并在此處安裝防火墻，隔離AFC網絡系統和外部網絡，此處的防火墻配置了DOS/DDOS功能，可實現對各種拒絕服務攻擊的有效防范，還配置了ARP欺騙攻擊防范，以及超大ICMP報文攻擊防范，設置了防火墻的告警策略，啟動了防火墻日志功能。除此之外，采用基于狀態的特征檢測技術，基于協議異常分析的檢測技術和基于流量異常分析的檢測，對付來自外網和內網的攻擊，縮短發現黑客入侵的時間。入侵檢測技術與防火墻共同協作，對AFC系統網絡入口進行多層次安全保護，形成整體縱深的安全防護體系。雖然AFC系統處于專網環境中，但由于系統升級等需求不可避免地會與外界存儲設備存在交互，因此對于內網的管理，除了應用網絡防病毒體系外，還可以采用漏洞掃描和日志告警功能，使得系統在遭受攻擊之前，可以了解和修復自身網絡安全問題，提早發現漏洞，阻斷病毒傳播。另外，系統還應該具備外部存儲設備的認證功能，即只有被認證過的設備才可以在系統中使用，防止外界存儲設備給系統感染病毒。

3關注軟件和數據安全性

在整個AFC系統中，乘客應用AFC系統在不同層次將產生各種類型的數據，這些海量的數據存在丟失、損壞、被篡改的風險，因此各層次下設備需要根據其自身的需求對相應的數據進行保護，主要工作如圖2所示。對這些安全需求系統應該采取以下措施:1)需要有安全產品的應用，即涉及數據的設備都需要有防病毒軟件，以保護系統數據不被外界損壞，硬件采用專用的Unix操作系統，采用Oracle數據庫產品系列。2)需要安全密鑰系統的應用，通過ISAM和PSAM卡保證所有設備的合法性，通過TAC碼來確保終端交易數據的合法性。西安地鐵2號線采用了3DES對稱密鑰算法，確保數據的加密與外界的隔離，有效地達到了認證的安全性。3)為了防止數據在闡述過程中被篡改，系統需要應用CRC碼進行校驗。4)系統需要提供細致的權限管理，在運營過程中由于維護人員眾多，角色不一，因此對系統的誤操作很容易破壞系統的數據，因此，系統需要提供細致的權限管理功能，維護人員為不同角色的人員提供相應權限，防止誤操作和數據的惡意破壞。5)為了保證系統數據的安全性，系統提供數據冗余功能和數據跟蹤功能。西安地鐵2號線SLE設備中的數據在打包向上層設備傳輸前，將數據保存在設備的兩個不同物理空間上，SC、CC將數據再向上層傳輸前，保存4份數據，系統數據根據不同設備分別保存數據的期限為15天或者30天不等，并且提供專門的票卡跟蹤模塊。6)系統需要提供數據審計功能，系統各個層級不但要對數據的連續性進行審計跟蹤，還要將累計數據進行檢查，防止數據的重復或者丟失。

4完善策略安全性制度