網絡安全及信息安全全文(5篇)

隨著信息化快速發展，網絡和信息化應用涉及的領域越來越多，由于系統自身的脆弱性以及外部環境和人為因素綜合造成了信息安全事件頻發，信息安全成了國家發展的一項重要工作。信息安全等級保護是針對信息及其載體按照重要性進行分級保護的一項工作，等級保護標準是等級保護工作中信息系統分級的主要依據。金融行業作為信息化行業的重要組成部分，其信息系統的安全保障能力和水平關系到國家安全、社會穩定和公共利益。金融行業等級保護標準是由中國人民銀行根據國家標準結合金融行業現狀而制定。2017年6月1日，《中華人民共和國網絡安全法》（以下簡稱“網絡安全法”）開始實施，這是我國第一部全面規范網絡空間安全管理方面問題的基礎性法律，為信息安全領域工作的開展提供了法律保障。在網絡安全法實施的新形勢下，為了配合網絡安全法的實施，提高等級保護標準的時效性，等級保護標準也在不斷地發展和完善。

一、國家等級保護標準

我國的信息安全等級保護工作起步于20世紀90年代，隨后相繼頒布了多個等級保護標準，具體可分為基礎性標準、定級標準、建設標準、測評類標準和管理類標準?；A性標準包括《計算機信息系統安全等級保護劃分準則》（GB17859-1999）、《信息系統安全等級保護實施指南》（GB25058-2010）以及《信息安全等級保護管理辦法》（公通字[2007]43號）等；定級標準有《信息系統安全等級保護定級指南》（GB/T22240-2008）等；建設標準包括《信息系統安全等級保護基本要求》（GB/T22239-2008）、《信息系統通用安全技術要求》（GB/T20271-2006）以及《信息系統等級保護安全設計技術要求》（GB/T25070-2010）等；測評類標準主要有《信息系統安全等級保護測評要求》（GB/T28448-2012）和《信息系統安全等級保護測評過程指南》（GB/T28449-2012）等；管理類標準主要有《信息系統安全管理要求》（GB/T20269-2006）以及《信息系統安全工程管理要求》（GB/T20282-2006）等。針對單位的普通信息安全工作人員而言，涉及較多的標準主要有定級標準《信息系統安全等級保護定級指南》（GB/T22240-2008）與建設標準《信息系統安全等級保護基本要求》（GB/T22239-2008）等?！缎畔⑾到y安全等級保護定級指南》主要用于指導信息系統的等級劃分和評定，將信息系統安全保護等級劃分為5級，定級要素有兩個：等級保護對象受到破壞時所侵害的客體以及客體受到侵害程度。定級要素與信息系統安全保護等級的關系見表1。由表1可知，三級及以上系統受到侵害時可能會影響國家安全，而一級、二級系統受到侵害時只會對社會秩序或者個人權益產生影響。在實際系統定級過程中，要從系統的信息安全和服務連續性兩個維度分別定級，最后按就高原則給系統進行定級。《信息系統安全等級保護基本要求》是針對不同安全保護等級信息系統應該具有的基本安全保護能力提出的安全要求，根據實現方式的不同，基本安全要求分為基本技術要求和基本管理要求兩大類等級保護基本要求共有10個部分，技術要求和管理要求各占5個部分。其中，技術類安全要求又細分三個類型。信息安全類（S類）：為保護數據在存儲、傳輸、處理過程中不被泄露、破壞和免受未授權的修改的信息安全類要求。服務保證類（A類）：保護系統連續正常的運行，免受對系統的未授權修改、破壞而導致系統不可用的服務保證類要求。通用安全保護類要求（G類）：既考慮信息安全類，又考慮服務保障類，最后選擇就高原則。

二、金融行業信息安全等級保護標準及必要性分析

1.行業標準金融行業作為信息化行業的一個重要組成部分，金融行業信息系統安全直接關系到國家安全、社會穩定以及公民的利益等。為落實國家對金融行業信息系統信息安全等級保護相關工作要求，加強金融行業信息安全管理和技術風險防范，保障金融行業信息系統信息安全等級保護建設、測評、整改工作順利開展，中國人民銀行針對金融行業的信息安全問題，在2012年了三項行業標準：《金融行業信息系統信息安全等級保護實施指引》、《金融行業信息系統信息安全等級保護測評指南》和《金融行業信息安全等級保護測評服務安全指引》。2.必要性分析網絡安全法明確規定國家實行網絡安全等級保護制度，開展等級保護工作是滿足國家法律法規的合規需求。金融行業開展信息安全等級保護工作的必要性有以下3點。（1）理清安全等級，實現分級保護金融行業各類業務系統眾多，系統用途和服務對象差異性大，依據等級保護根據系統可用性和數據重要性開展分級的定級要求，可以有效梳理和分析現有的信息系統，識別出重要的信息系統，將不同系統按照不同重要等級進行分級，按照等級開展適當的安全防護，有效保證了有限資源充分發揮作用。（2）明確保護標準，實現規范保護金融行業信息系統等級保護標準有效解決了金融行業信息系統保護無標準可依的問題。在信息系統全生命周期中注重落實等級保護相關標準和規范要求，在信息系統需求、信息系統建設和信息系統維護階段參照、依據等級保護的標準和要求，基本實現信息系統安全技術措施的同步規劃、同步建設、同步使用，從而保證重要的信息系統能夠抵御網絡攻擊而不造成重大損失或影響。（3）定期開展測評，實現有效保護按照等級保護要求，每年對三級以上信息系統開展測評工作，使得重要信息系統能夠對系統的安全性實現定期回顧、有效評估，從整體上有效發現信息系統存在的安全問題。通過每年開展等級保護測評工作，持續優化金融行業重要信息系統安全防護措施，有效提高了重要信息系統的安全保障能力，加強了信息系統的安全管理水平，保障信息系統的安全穩定運行以及對外業務服務的正常開展。

三、網絡安全法作用下標準的發展

隨著等保制度上升為法律層面、等保的重要性不斷增加、等保對象也在擴展以及等保的體系也在不斷升級，等級保護的發展已經進入到了2.0時代。為了配合網絡安全法的出臺和實施，滿足行業部門、企事業單位、安全廠商開展云計算、大數據、物聯網、移動互聯等新技術、新應用環境下等級保護工作需求，公安部網絡安全保衛局組織對原有的等保系列標準進行修訂，主要從三個方面進行了修訂：標準的名稱、標準的結構以及標準的內容。1.標準名稱的變化為了與網絡安全法提出的“網絡安全等級保護制度”保持一致性，等級保護標準由原來的“信息系統安全等級”修改為“網絡安全等級”。例如：《信息系統安全等級保護基本要求》修改為《網絡安全等級保護基本要求》，《信息系統安全等級保護定級指南》修改為《網絡安全等級保護定級指南》等。2.標準結構的變化為了適應云計算、物聯網、大數據等新技術、新應用情況下網絡安全等級保護工作的開展，等級保護基本要求標準、等級保護測評要求標準的結構均由原來的一部分變為六部分組成，分別為安全通用要求、云計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求、工業控制系統安全擴展要求與大數據安全擴展要求。3.標準內容的變化各級技術要求分類和管理要求的分類都發生了變化。其中，技術要求“從面到點”提出安全要求，對機房設施、通信網絡、業務應用等提出了要求；管理要求“從元素到活動”，提出了管理必不可少的制度、機構和人員三要素，同時也提出了建設過程和運維過程中的安全活動要求。

摘要：隨著新興信息技術的快速發展和社會信息化的深度普及，一系列網絡信息安全問題對國家安全、經濟穩定、民眾生活造成了嚴重威脅。若想有效降低具備高技術對抗特色的網絡信息安全風險，其關鍵環節是要認真培養各個層次的網絡信息安全人才。該文對美歐各國網絡信息安全人才培養戰略和實踐進行梳理，并從戰略及配套政策、繼續教育、課程體系、信息安全素養等方面對我國的網絡信息安全人才培養提出建議。

關鍵詞：信息安全；人才；教育；信息安全素養

1全球網絡信息安全人才培養的時代背景

隨著網絡信息技術的快速發展和社會信息化的深度普及，政府部門、交通、能源、航空、金融、通信、醫療等系統的運營越來越依賴網絡信息系統。在信息社會背景下，信息已經演化成為國家戰略資源，與物質、能源共同組成了人類社會賴以生存和發展的三大基礎要素。由于網絡信息技術的固有缺陷和人為因素，網絡信息基礎設施受損、網絡數據盜竊等一系列網絡信息安全問題對國家安全、經濟穩定、民眾生活造成了嚴重威脅，引發全球社會尤其是歐美各國的高度關注，并已經成為一個全球性的熱點問題。若想有效降低具備高技術對抗特色的網絡信息安全風險，則要大力發展信息產業，彌補信息技術漏洞，降低人為因素可發揮的空間，其關鍵環節是要將各個層次的網絡信息安全人才培養好。網絡信息安全人才主要是指分布在各級行政、企事業單位、信息中心、數據中心、互聯網接入單位、科研院所等機構中從事信息安全或計算機網絡安全技術工作的人員統稱，他們一般要求能夠熟練運用基本技能和專門技能完成較為復雜的網絡信息安全保障工作，能夠獨立處理和維護網絡信息安全保障工作中出現的常見問題[1]。2014年2月，中央網絡安全和信息化領導小組成立，強調，要擁有高素質的網絡安全和信息化人才隊伍，即要把人才資源匯聚起來，建設一支政治強、業務精、作風好的強大隊伍，要培養造就世界水平的科學家、網絡科技領軍人才、卓越工程師、高水平創新團隊。本文將著重分析近年來美國、歐盟、英國和俄羅斯等歐美國家在網絡信息安全人才培養方面的各種努力，以期能為我國更好地培養網絡信息安全人才有所借鑒。鑒于目前國內外學術領域和政府正式報告文本存在網絡安全、網絡信息安全、網絡空間安全、信息安全等多種稱謂，本文主要使用網絡信息安全進行表述，對其他稱謂也不作特意區分。

2歐美各國網絡信息安全人才培養進展

2.1歐美各國網絡信息安全人才培養進展概述

作為全球網絡信息技術最發達、社會信息化程度最高的國家，美國對網絡信息安全領域面臨的巨大挑戰有著清醒的認識，從20世紀90年代后期就開始著手研究各種網絡信息安全人才培養對策，并隨著形勢的發展變化逐步將這一問題上升為國家戰略的高度。美國早在2003年就首次從國家層面將提高網絡安全意識與培訓計劃寫入了《網絡空間安全國家戰略》。歐盟委員會很早就從戰略高度關注網絡信息安全問題，早在2004年就成立了“歐洲網絡與信息安全局”（ENISA），并賦予該部門強制性介入成員國網絡信息安全戰略的角色，負責組織、協調歐盟各成員國的網絡信息安全戰略規劃、實踐、基礎設施保護和應急響應等工作，包括各成員國為了提升國民信息安全素養應當采取的各項措施。英國是所有G20國家中第一個具備抵御網絡攻擊能力的國家，其在2009年6月出臺了首個國家網絡安全戰略，指出要提高各級政府對網絡安全的認識。作為歐洲第一網絡大國的俄羅斯，在《俄羅斯聯邦憲法》中，將信息安全被納入了國家安全管理范圍，并在其信息安全綱領性文件《國家信息安全學說》中指出，信息安全是國家安全的基礎，要著力構建從學歷教育到在職教育的人才培養體系。

摘要：隨著高校信息化建設的逐步深入，大量與教學和管理相關的信息系統上線使用，校園網絡已和師生的日常生活密不可分。但與此同時，互聯網上的網絡攻擊、內部資源濫用、木馬和病毒等不安全因素越來越多，師生卻對網絡安全認識不足、重視程度不夠，因此如何維護網絡與信息安全，保護個人隱私，保障學校的網絡數據資產安全，已經成為高校網絡與信息安全建設的重點?；诖耍疚闹攸c探討了高校網絡與信息安全建設的基本思路，希望能夠為相關研究提供借鑒。

關鍵詞：高校；校園網絡；信息安全；安全建設

1高校網絡與信息安全建設的重要性

隨著信息技術的快速發展和信息手段的不斷更新，網絡已經在不知不覺間融入人們的日常生活中，時刻影響著我國政治、經濟、文化等多方面的建設與發展[1-4]。但與此同時，由于受黑客、計算機病毒、木馬、惡意代碼、信息丟失、釣魚軟件等因素的影響，網絡安全事件不斷出現，網絡和信息安全問題也變得極其重要。2015年北京某學院網站被黑。2017年某大學網站被黑。2017年5月12日，一種名為“想哭”的勒索病毒襲擊全球150多個國家和地區，影響領域包括政府部門、醫療服務、公共交通、郵政、通信和汽車制造業。2018年2月，國內再次發生多起勒索病毒攻擊事件，該勒索病毒將加密后的文件重命名為.GOTHAM、.Techno、.DOC、.CHAK、.FREEMAN、.TRUE、.TECHNO等擴展名，并通過郵件告知受害者付款方式，使其獲利更加容易方便。2019年3月13日，我國部分政府部門和醫院等公立機構遭遇國外黑客攻擊。在此次攻擊中，黑客組織利用勒索病毒對上述機構展開郵件攻擊，運行后將對用戶主機的硬盤數據進行加密，并讓受害用戶訪問網址下載Tor瀏覽器，隨后通過Tor瀏覽器登錄攻擊者的數字貨幣支付窗口，要求受害用戶繳納贖金。以上網絡安全事件舉不勝舉，2020年上半年我國互聯網網絡安全監測數據分析報告指出，捕獲計算機惡意程序樣本數量約1815萬次，國內約有3.59萬個網站植入后門，遭篡改網站約有7.4萬個。由此可見，網絡與信息安全對于國家和人民顯得日益重要，不可忽視。2014年2月27日，在中央網絡安全和信息化領導小組第一次會議上強調：“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化?！?017年6月1日起施行的《中華人民共和國網絡安全法》，其根本目的在于保障網絡安全與國家網絡空間主權，同時維護國家、社會、公民或組織的合法權益，為構建和諧的網絡環境打下基礎。

教育部辦公廳關于印發《2019年教育信息化和網絡安全工作要點》的通知，再次強調網絡安全建設內容：提升網絡安全人才培養能力和質量，強化網絡安全宣傳教育，開展網絡空間國際治理研究，深入貫徹落實《網絡安全法》，加強教育系統數據安全防護能力，推進關鍵信息基礎設施保障工作，建立常態化的網絡安全保障機制。2019年12月1日開始實施的等保2.0相關的《信息安全技術網絡安全等級保護基本要求》《信息安全技術網絡安全等級保護測評要求》《信息安全技術網絡安全等級保護安全設計技術要求》等國家標準，適應了現階段網絡安全的新形勢、新變化以及新技術、新應用發展的要求，發現企業網絡和信息系統與國家安全標準之間存在的差距，找到目前系統存在的安全隱患和不足，通過安全整改提高信息系統的信息安全防護能力，降低系統被各種攻擊的風險。從以上分析可以看出，隨著國家對網絡安全的不斷關注和重視，網絡與信息安全已經提到一個非常高的高度，已經上升到國家安全的層面。而在高校，校園網作為學校的重要基礎設施，作為對外信息和交流的主要通道，為教學、科研和管理等工作提供服務。高校學生作為互聯網上一個比較大的群體，時刻使用校園網獲取知識和資訊[5-8]。但在校園網內也存在不少的網絡與信息安全問題，如業務信息系統眾多、代碼不規范、安全漏洞多、師生的網絡安全意識薄弱、對網絡安全不重視、網絡安全防護手段不足等，嚴重影響了師生的正常上網體驗和學校的信息安全。因此，為保障校園網絡安全，為師生提供更好的網絡服務，讓師生借助網絡和信息化技術手段開展教學及管理工作，校園網絡與信息安全建設尤為重要。

2高校網絡與信息安全建設的基本思路

在互聯網高速發展的今天，網絡和信息安全工作不可能一蹴而就。如何建設一個高效、高速、穩定和安全的校園網絡；如何為數據中心的各個信息系統構建一套完善的防御機制，實現內外部網絡隔離和訪問控制，保護內部業務系統免受非法侵入；如何對潛在風險威脅提前預警，從被動防御變為主動防御；如何增強師生的網絡安全意識，需要高校一步步落實。高校網絡與信息安全建設，可以從以下5個方面入手。

摘要：文章簡要闡述了當前我國醫院網絡安全的現狀，在此基礎上，分析了互聯網時代醫院網絡安全面臨的挑戰，并就新形勢下醫院網絡安全管理與防護措施進行了探討。

關鍵詞：醫院信息化建設；網絡安全管理；安全防護

引言

近年來，我國醫院信息化建設取得了飛速的發展，尤其是在“互聯網+醫療健康”發展的推動下，醫院信息化建設正朝著網絡化、數據化、智能化方向不斷邁進，信息化建設正成為醫院現代化發展的重要支撐，推動著醫療服務向更加人性化、更加智能化、智能化的方向發展。在我國醫院信息化建設取得豐碩成果的同時，醫院醫療信息安全問題也面臨著新的安全風險和挑戰，網絡安全管理和防護正成為醫院信息化建設中至關重要的組成部分，某種程度上甚至關系到醫院信息化建設的成敗。根據相關統計結果，目前各類信息化系統的安全漏洞數量每年都有較大范圍的增長，2017年的數量同比增長了47%，2018年同比增長了40%，截至2019年12月，國家信息安全漏洞共享平臺收集整理信息系統安全漏洞16193個，較2018年（14201個）增長14.0%。windows是各類信息化系統中應用最多的系統平臺，同時也是被不法之徒們重點關注的對象。針對windows系統安全漏洞的各類病毒的大范圍傳播對醫院信息化系統的網絡安全造成了重大威脅。如何在醫院信息化建設過程中，既充分發揮信息化系統的優勢特點，服務于醫院各項業務開展，又能夠有效保障系統的信息安全，成為當前醫院信息化建設的重要課題。

1醫院網絡安全現狀

隨著我國醫院信息化建設進程的不斷加快，各級醫院對各類信息系統的依賴程度也不斷加深，與此同時，網絡安全問題也日益突顯。就目前而言，我國醫療系統的網絡安全現狀大致表現在以下幾個方面，一是網絡安全組織機構建設；二是日常信息安全管理制度建設與落實；三是應急管理工作的開展情況；四是網絡信息安全保障投入情況；五是信息安全事件及應對。在網絡安全組織機構建設方面，我國醫院大多都建立了以院級領導分管的醫院信息化建設管理部門，但設立專門的網絡安全管理部門及專職網絡安全管理人員的醫院并不多，通常是由醫院信息科來負責相關工作。此外，大多數醫院并沒有明確的網絡信息安全體系建設規劃，即便一些有這樣的規劃，在具體實施方面，落實情況也并不理想。在此方面，二級醫院同樣落后于三級醫院。在日常網絡信息安全管理制度建設方面，各級醫院都建立了信息化管理方面的制度，但也有一些在網絡信息安全方面不夠重視，沒有建立完善的信息系統安全管理制度，相較于信息化系統的安全管理制度，醫院對數據安全管理制度方面更為積極。在應急管理工作的開展情況方面，多數醫院都建立了較為完善的應急管理預案，但開展過應急演練的醫院還是比較少。多數醫院都對信息化系統的數據進行了安全備份，但在內、外部技術支援建立方面不盡如人意，在很大程度上影響了醫院的應急管理工作的實際效率。在網絡信息安全保障投入方面，雖然我國很多醫院對于信息化系統的建設都比較重視，在經費投入方面都具有明確的預算，但對于網絡信息安全保障投入方面的卻差強人意，很多醫院的網絡信息安全保障經費預算在整個信息化建設經費投入中的占比不足5%，很多醫院在信息化系統新建、改建、擴建過程中，沒有將網絡信息安全防護措施同步設計、同步建設及同步使用，新建信息化系統項目中不少醫院都沒有將網絡信息安全納入技術方案審核。在網絡信息安全事件和應對情況方面，80%以上的醫院都發生過病毒感染、木馬以及內部人員濫用網絡端口和系統資源等網絡安全事件，由此造成的數據丟失、系統崩潰、網絡無法使用等事件多有發生。一般醫院具備一定的網絡信息安全事件應對能力，但發現手段單一、應對能力與不足，多數情況下，需要請網絡安全服務單位及網絡開發維護單位協助解決。總的來說，我國醫院網絡信息安全現狀并不很理想，與醫院信息化系統建設的發展速度相比較，網絡信息安全管理與防護工作明顯滯后，整體上亟待加強。

2互聯網時代醫院網絡安全面臨的挑戰

摘要：隨著我國現代信息化建設水平的不斷提升，民航企業信息化建設過程中也開始更多地關注信息安全技術應用，本文就民航企業信息化建設及信息安全技術進行分析與探討，促進民航企業信息安全水平的有效提升，保證民航事業的健康發展。

關鍵詞：民航企業；信息化建設；信息安全技術

0引言

互聯網時代的到來，信息技術與網絡技術已然成為人們生產生活的重要技術支撐，在民航領域中，信息化建設的進程也得以高效發展。與此同時，民航企業信息系統的安全隱患及安全防護問題也逐漸暴露，成為信息化建設過程中亟須應對與解決的問題。

1網絡信息安全制度的建設

1.1建設網絡信息安全制度

據調查，民航信息系統安全事件的發生，問題的主要成因在于未充分明確相關責任以確保網絡信息安全管理工作的全面落實?；诖?，民航企業需要充分結合自身的是情況，對網絡信息安全管理責任制的健全及完善，充分明確人員相關責任，促進民航信息化建設水平的提升，促進民航的健康發展。民航企業應當搭建內部網絡信息安全規范體系，以之為基礎開展企業網絡信息安全管理及部署工作，確保民航信息安全水平的有效提升。民航企業應當時刻緊隨時展步伐，對網絡信息安全保障體系加以完善，建立網絡信息安全防范體系，采取合理的等級保護與分級保護措施，維護網絡信息安全。民航企業應當將網絡信息安全作為信息化建設的發展方向，積極配合并響應國防部、網絡安全部門、公安機關等行政機關部門的規定與要求，實時更新并優化安全防護措施，實現網絡安全整體覆蓋范圍的擴大。