2023年信息安全保護【五篇】

臨近防汛期，大堤上俯視江水，滾滾的江水夾雜著(zhù)從上游帶下的黃沙，匆匆流向東方。原本平靜的江水，開(kāi)始變得混濁，日夜洗擦著(zhù)堤岸。見(jiàn)況，“安全”的意識迅間閃現在每人的腦海中……。校園課堂上，校園網(wǎng)內外的信息流下面是小編為大家整理的2023年信息安全保護【五篇】,供大家參考。

信息安全保護范文第1篇

關(guān)鍵字：安全保護信息流數據流EDI

臨近防汛期，大堤上俯視江水，滾滾的江水夾雜著(zhù)從上游帶下的黃沙，匆匆流向東方。原本平靜的江水，開(kāi)始變得混濁，日夜洗擦著(zhù)堤岸。見(jiàn)況，“安全”的意識迅間閃現在每人的腦海中……。校園課堂上，校園網(wǎng)內外的信息流不斷，導致局域網(wǎng)內部分機器不能正常工作，信息不能正常在網(wǎng)絡(luò )間交換，這些是每個(gè)應用網(wǎng)絡(luò )的人常遇到的問(wèn)題。從現實(shí)的自然現象，到虛擬環(huán)境的現象，均隨況出現各種危險的境況，從“護堤”――“護機”，“凈水”――“完整數據流”不就是急切落實(shí)的防預措施的措施嗎？電子商務(wù)是傳統商貿發(fā)展到網(wǎng)絡(luò )數字化階段的新?tīng)I運模式。架構在網(wǎng)絡(luò )中的商貿交流信息不單只關(guān)系到“交易”雙方，而且還涉及到參與虛擬市場(chǎng)的各方實(shí)體。市場(chǎng)交易是在公開(kāi)、公平、公正、自愿下進(jìn)行的，市場(chǎng)的形式拓展為虛擬環(huán)境的交易需要滿(mǎn)足用戶(hù)身份的確定，內容的完整性，信息保密性，交易不可否認性，訪(fǎng)問(wèn)控制等安全性的控制要求，才能有效地實(shí)現。

作為用戶(hù)應用電子商務(wù)平臺實(shí)現網(wǎng)上商務(wù)過(guò)程，總是從內到外，從個(gè)體到整體，從預防到處理，從流到存等過(guò)程是中是個(gè)性化的安全環(huán)境的構建，保護數據信息流的實(shí)現。網(wǎng)上信息總是以物理實(shí)體為基本載體，在網(wǎng)絡(luò )環(huán)境下確保交流的信息不受污染，交換過(guò)程暢通無(wú)阻，信息存儲與交換的過(guò)程中實(shí)現信息的加密傳送，信息所屬用戶(hù)的認證等功能，實(shí)現全方位的安全防護，是保證電子商務(wù)交易的安全措施。

1、由內到外，確認控制訪(fǎng)問(wèn)的用戶(hù)身份：

電子商務(wù)平臺是網(wǎng)上實(shí)現買(mǎi)賣(mài)雙方開(kāi)展商貿活動(dòng)的接口，虛擬環(huán)境中，不存在雙方或多方的會(huì )面，且網(wǎng)絡(luò )中存在著(zhù)各種以非法入侵，非法竊取、非法控制的黑客手法，利用網(wǎng)絡(luò )監聽(tīng)，截取信息流，木馬程序駐留系統，獲取系統資源。交易時(shí)怎樣保證對方是客觀(guān)存在的實(shí)體，并且有能力實(shí)現協(xié)作交易？用戶(hù)身份實(shí)時(shí)有效的唯一性認證成為開(kāi)展電子商務(wù)的首要處理的問(wèn)題。

A、本地身份校驗：

商家服務(wù)器上的電子商務(wù)平臺，為用戶(hù)提供平臺客戶(hù)登錄的入口，利用實(shí)時(shí)獲取合法用戶(hù)的口令、智能卡（加密卡）、生物特征等數據，同時(shí)進(jìn)行服務(wù)平臺上合法用戶(hù)身份的認證，簡(jiǎn)單直接地保證了本地用戶(hù)登陸的安全性。

面向CRM管理意識的平臺應用開(kāi)發(fā)，把用戶(hù)的需要與網(wǎng)上合作伙伴間關(guān)系結合開(kāi)展商務(wù)化活動(dòng)的電子商務(wù)平臺，為合法的用戶(hù)提供不同權限功能控制，實(shí)現個(gè)性化的商務(wù)活動(dòng)界面。以CRM個(gè)性化彰顯的系統功能在以用戶(hù)登錄為入口展現在平臺上，維護與保證各連接用戶(hù)使用功能的合法化與安全性。模擬平臺的實(shí)訓學(xué)習過(guò)程中，學(xué)生使用權限與教師使用權限的分類(lèi)，簡(jiǎn)單直接地以選項的選擇為區分，使用戶(hù)了解平臺角色應用中功能分類(lèi)的意義。分角色實(shí)現規范性的商務(wù)平臺的工作流程中，表現為多連接用戶(hù)提供多條訪(fǎng)問(wèn)的進(jìn)程，各用戶(hù)在個(gè)性化工作界面中多線(xiàn)程并行工作下，工作不互相影響，信息不造成網(wǎng)絡(luò )礙塞，而運行正常的商務(wù)平臺特點(diǎn)。以JavaScript語(yǔ)言為開(kāi)發(fā)網(wǎng)頁(yè)依據，提供安全實(shí)時(shí)的用戶(hù)身份驗證，是保證用戶(hù)的合法性與系統的資源的安全性訪(fǎng)問(wèn)的重要前提。

B、遠程身份驗證：

采用向CA認證中心申請X.509數字證書(shū)的用戶(hù)合法身份數字證書(shū)。服務(wù)器以數字證書(shū)為用戶(hù)訪(fǎng)問(wèn)依據，向合法用戶(hù)開(kāi)放實(shí)時(shí)連接權限，使訪(fǎng)問(wèn)方為驗證方提供自身網(wǎng)上的身份資料，并實(shí)現網(wǎng)上數字證書(shū)的實(shí)時(shí)的有效性驗證，確定了合法數據交換的雙方身份，為交易提供對象合法有確定性的安全性保證。

信息在網(wǎng)上傳輸過(guò)程中，涉及到信息源，信息目的地，信息傳輸協(xié)議。交換的信息怎樣保證按統一的標準安全地為源與目的地提供可連接的通道，并進(jìn)行安全的信息傳遞。針對不同安全性的網(wǎng)絡(luò )結構，提供通用性標準化協(xié)議的安全連接。利用數字證書(shū)為載體為客戶(hù)端、服務(wù)端的連接提供以SSL、SET為標準的傳輸協(xié)議，用戶(hù)身份信息通過(guò)CA認證中心分層管理、解釋、驗證。數字證書(shū)實(shí)現實(shí)時(shí)的網(wǎng)上連接，并對用戶(hù)數據實(shí)現加密傳輸。

信息的實(shí)時(shí)驗證與反饋是保證網(wǎng)上服務(wù)器的安全連接的前提。綁定服務(wù)器數字證書(shū)可使用戶(hù)在遵守SSL協(xié)議標準下，與客戶(hù)端建立安全可訪(fǎng)問(wèn)網(wǎng)絡(luò )通道，使合法用戶(hù)與服務(wù)器間筑構加密傳送的數據通道，實(shí)現安全的域訪(fǎng)問(wèn)。

利用商務(wù)模擬平臺，開(kāi)展B2C、B2B實(shí)驗教學(xué)過(guò)程中，客戶(hù)端申請并下載安裝數字證書(shū)，實(shí)現網(wǎng)上商貿活動(dòng)的實(shí)驗。讓學(xué)生認識并理解各種類(lèi)型的數字證書(shū)的用途及其使用方法，進(jìn)一步理解數字證書(shū)應用在網(wǎng)絡(luò )中商務(wù)平臺功能訪(fǎng)問(wèn)權限的分配方式及意義，并體現驗證用戶(hù)唯一身份，在網(wǎng)絡(luò )支付組件間完成的資金流和商流信息流動(dòng)中，實(shí)現系統分權管理用戶(hù)數據獨立性與系統協(xié)調的安全性應用。

2、網(wǎng)絡(luò )數據安全的預防與實(shí)現：

電子商務(wù)平臺下合法用戶(hù)利用網(wǎng)絡(luò )實(shí)現向服務(wù)器提交單向的數據信息，流動(dòng)的信息以標準格式傳遞商貿中所需單證、憑證、資料等，而雙向的數據交換是實(shí)現網(wǎng)上支付，信息的咨詢(xún)及實(shí)時(shí)反饋，若網(wǎng)絡(luò )傳輸的信息流中夾雜著(zhù)帶傳染性、攻擊性的數字信息，并有直接危害網(wǎng)絡(luò )和系統的情況，不單只造成網(wǎng)上各共享資源受損失，并導致不可估量的商貿經(jīng)濟的重大損失。

A、安全的預防、處理病毒：

以網(wǎng)絡(luò )中各實(shí)體的安全性為防護的主體，是實(shí)現用戶(hù)數據存取安全性，數據信息可靠性，網(wǎng)絡(luò )數據交換的數據完整性，信息不可否認性的保證。對客戶(hù)端單機來(lái)說(shuō)，建立以預防為主的日常維護與管理工作，常采取安裝個(gè)人防火墻軟件，管理網(wǎng)絡(luò )可訪(fǎng)問(wèn)連接端口及訪(fǎng)問(wèn)策略，有效地實(shí)現單機與網(wǎng)絡(luò )數據流的實(shí)時(shí)檢測，阻止網(wǎng)絡(luò )攻擊與不法信息的網(wǎng)絡(luò )傳遞。并在本機系統內安裝查殺病毒軟件，定時(shí)升級更新，實(shí)現防止各存儲介質(zhì)為機器帶來(lái)的病毒信息的有效隔治。

整體的網(wǎng)絡(luò )管理方式來(lái)說(shuō)，實(shí)現局域網(wǎng)內單機的分布管理，不單是用戶(hù)端的應用，而是涉及到以整體網(wǎng)絡(luò )為對象的安全防護應用。網(wǎng)絡(luò )的分層級結構規劃，安排與設置局域網(wǎng)的IP網(wǎng)段，防止網(wǎng)絡(luò )風(fēng)暴，合理分配和使用網(wǎng)絡(luò )中軟、硬件資源；
利用軟、硬件防火墻設置與管理相結合的技術(shù)，實(shí)現整體到個(gè)體的網(wǎng)絡(luò )信息可控性管理。把管理應用在網(wǎng)絡(luò )共享資源組合和用戶(hù)級別的網(wǎng)絡(luò )安全體制上，是有效實(shí)現網(wǎng)絡(luò )信息安全性應用的基礎。

B、網(wǎng)上安全數據交換：

網(wǎng)絡(luò )其實(shí)是內部的連接，外部的聯(lián)接的硬件與軟件功能協(xié)調應用的構件。架構在安全可信的網(wǎng)絡(luò )環(huán)境下的以數字信息為載體的電子貨幣的出現為傳統商貿活動(dòng)開(kāi)拓了新市場(chǎng)，活動(dòng)以電子現金、信用卡、電子支票等多種信息載體的電子貨幣，實(shí)現了網(wǎng)上數字化信息存取，數字化信息管理，助手應用程序工具等，利用服務(wù)器開(kāi)放給合法用戶(hù)的端口，實(shí)現網(wǎng)上電子支付的實(shí)時(shí)數據交換。開(kāi)展B2C的網(wǎng)上交易流程的講解與實(shí)驗時(shí)，把電子貨幣信息載體的管理與使用方法及意義，結合保護與認證雙方應用，貫穿商貿活動(dòng)中的“申請――>定購――>支付――>確認”過(guò)程，有效地把載體、方式、應用相結合起來(lái)，并理解信息流在傳輸標準協(xié)議SET中實(shí)現網(wǎng)上交易過(guò)程，貼近生活中的網(wǎng)上銀行理解支付網(wǎng)關(guān)的接入應用與平臺操作，實(shí)現全面開(kāi)展網(wǎng)上安全數據交換的學(xué)習、應用的教學(xué)與嘗試。

理解在開(kāi)展數據加密與認證技術(shù)中來(lái)確保網(wǎng)上安全交易的意義中，初步建立了理論性的數據加密、CA認證等概念式技術(shù)的認識，但在實(shí)踐應用過(guò)程中，如何解決各類(lèi)不能在虛擬數據傳輸中用直觀(guān)感知出來(lái)的問(wèn)題。（如：管理者如何才能知道傳輸的是誰(shuí)的數據？數據怎樣才能被安全保護？交流信息如何才算驗證正確……？）針對有效的數據加密技術(shù)、認證技術(shù)的手段――數字證書(shū)的應用為例，利用廣泛的電子郵件應用，把加密技術(shù)、算法應用、加密手段、認證過(guò)程的實(shí)現流程知識點(diǎn)，利用圖解展示，借用互動(dòng)軟件操作，結合平臺實(shí)現方法，完成信息被保護的過(guò)程實(shí)現，對比篡改信息后的數字原文的變化，把學(xué)與用關(guān)系應用到認證與保證的可實(shí)現層次里。

建立安全的數據交換通道，以數字證書(shū)作為網(wǎng)上用戶(hù)身份的認證技術(shù)，從申請過(guò)程中確定證書(shū)中使用者的有效身份，以DES的加密算法實(shí)現傳統體制和RAS加密算法實(shí)現公鑰體制的密鑰管理。建立以PKI公鑰基礎設施技術(shù)為基礎的SSL、SET協(xié)議利用以數字證書(shū)為核心的身份認證、數字簽名、數字信封等數字加密技術(shù)實(shí)現網(wǎng)上數據安全交易。以S/MIME協(xié)議為標準的電子郵件是網(wǎng)上交易過(guò)程中最廣泛，最常用的數據交易，其提供了對郵件加密傳送、簽名確認的基本數據安全措施。把個(gè)人郵件數字證書(shū)綁定個(gè)人的Email地址，利用數字證書(shū)提供的以RAS為基礎的加密體制，生成個(gè)人身份標識性的公鑰，把信息實(shí)現網(wǎng)上的私鑰加密傳送，對方獲取公鑰后自動(dòng)解密后實(shí)現發(fā)送方身份的識別，內容的顯示。

（1）保證數據的完整性，數據在其過(guò)程中不被修改，利用數字信封、數字摘要、雙重簽名、數字代碼等加密技術(shù)實(shí)現對數據內容的不同加密手段，從不同的程度上加強了加密的有效性，保證了數據的安全性。

（2）為保證數據交易時(shí)雙方身份的實(shí)時(shí)確認，數字化數據容易被篡改，且不留痕跡，發(fā)送方可利用個(gè)性化文本標識為發(fā)送的內容進(jìn)行數字簽名，還可利用以PGP密鑰管理軟件實(shí)現個(gè)性圖像化的數字簽名。利用數字簽章軟件實(shí)現保護電子文檔信息，內容不被篡改。；
為此保證發(fā)送與接收方的利益，利用數字時(shí)間戳技術(shù)實(shí)現CA第三方認證電子信息的時(shí)間、用戶(hù)身份有效性。

3、認識C/S結構，拓展安全空間：

網(wǎng)上安全數據交換為適應不同的電子商務(wù)平臺，兼容不同的數據類(lèi)型傳輸，以專(zhuān)用網(wǎng)絡(luò )或Internet網(wǎng)絡(luò )為基礎實(shí)現標準EDI數據交換，C/S雙方的數據怎樣遵循同一協(xié)議，規范標準的數據格式，實(shí)現標準格式的數據存儲？該過(guò)程的實(shí)現主要依賴(lài)于電子商務(wù)平臺所提供為其他數據交換應用平臺的接口來(lái)實(shí)現。以傳統的軟件開(kāi)發(fā)，實(shí)現服務(wù)器與客戶(hù)端的數據交換，基本只適用于專(zhuān)用網(wǎng)絡(luò )的高級語(yǔ)言應用，而較大規模的平臺兼容性運行與數據標準化傳遞的差別，則是全球化、網(wǎng)絡(luò )化、信息資源共享與應用的主要要解決的問(wèn)題。網(wǎng)絡(luò )不只提供簡(jiǎn)單的信息交與換的方式，其把應用功能以聯(lián)接的方式擴展到職能部分的功能應用平臺中。那么各平臺的連接與信息共享實(shí)現過(guò)程中，怎樣才能把數據自動(dòng)適應地傳遞？問(wèn)題中存在許多技術(shù)與規范的標準的協(xié)調與標準統一。例，在實(shí)現以CGI連接各功能平臺接口的應用中，以屏幕表單的填寫(xiě)為數據收集表現載體，以純文本信息實(shí)現網(wǎng)絡(luò )數據傳遞，使扁平化的數據交換完成在最廣泛連接的不同網(wǎng)絡(luò )平臺的應用中，并進(jìn)一步拓展Internet網(wǎng)絡(luò )在安全性保障前提下標準化數據傳輸的空間。

模擬平臺中實(shí)現信息選擇、對象操作、表單提交、數據交換的操作、理解和應用過(guò)程中，利用網(wǎng)頁(yè)制作工具，幫助學(xué)生學(xué)習與分析理解網(wǎng)頁(yè)腳本語(yǔ)言，認識利用對象行為事件調用JavaScript語(yǔ)言的功能實(shí)現方法。信息在網(wǎng)絡(luò )中以數據庫應用與變量傳遞方式中，實(shí)現網(wǎng)絡(luò )的安全信息流的應用中，如何加密/解密，如何有效存取的實(shí)現措施中，進(jìn)一步實(shí)現網(wǎng)絡(luò )動(dòng)態(tài)數據的交換在學(xué)生學(xué)習認識中理解安全防護的應用。

虛擬世界的交易離不開(kāi)雙方的信任度，架構安全的環(huán)境，保護信息流，是數字化信息得以發(fā)展的基礎，是開(kāi)展電子商務(wù)實(shí)現安全網(wǎng)上商貿的基本要求。網(wǎng)上商務(wù)市場(chǎng)是傳統商務(wù)市場(chǎng)在虛擬網(wǎng)絡(luò )環(huán)境中連動(dòng)網(wǎng)絡(luò )營(yíng)銷(xiāo)與物流專(zhuān)業(yè)等相關(guān)市場(chǎng)的拓展營(yíng)運。全面落實(shí)與發(fā)展專(zhuān)業(yè)化安全信息流，共同維護與構建新型商業(yè)營(yíng)運市場(chǎng)的后盾與保證。

信息安全保護范文第2篇

[關(guān)鍵詞]電信運營(yíng)商 客戶(hù)信息 安全保護

對于電信運營(yíng)商而言，保證其客戶(hù)信息具有較高安全性，能夠相應的提升自身的品牌價(jià)值，亦能夠提高電信在行業(yè)內的核心競爭力。為此，電信運營(yíng)商必須要明確其客戶(hù)敏感信息，并且深入分析其客戶(hù)信息安全保護當中存在的主要問(wèn)題，由此方能夠尋找針對性的有效措施予以積極應對，促使電信運營(yíng)商獲得更良好的發(fā)展。

一、客戶(hù)敏感信息概述

客戶(hù)敏感信息主要指一旦遭到泄露或者被修改，便會(huì )對個(gè)人信息主體造成嚴重不良影響的部分個(gè)人信息。各個(gè)行業(yè)的客戶(hù)敏感信息，根據客戶(hù)意愿、行業(yè)特點(diǎn)等存在相應差別。

二、電信運營(yíng)商客戶(hù)信息安全保護問(wèn)題

1、敏感信息保護工作的重視程度缺失。雖然當前電信運營(yíng)上已經(jīng)認識到了客戶(hù)信息安全存在威脅，但是卻仍舊難以提高客戶(hù)敏感信息保護工作的重視程度?？梢哉f(shuō)，雖然電信運營(yíng)上在客戶(hù)敏感信息安全保障方面已經(jīng)作出了努力，但是卻并不具有針對性，亦缺少完善的安全防護體系，難以解決其中存在的諸多安全隱患。主要表現為電信運營(yíng)商在客戶(hù)敏感信息保護當中的人員能力十分欠缺，其不能夠對自身客戶(hù)信息現狀作出全面的了解，即便知道客戶(hù)信息安全存在問(wèn)題卻難以明確問(wèn)題的嚴重性。

2、敏感信息識別難。敏感信息的識別比較困難，主要原因在于電信運營(yíng)商對客戶(hù)敏感信息的具體分布并未清晰了解。雖然電信運營(yíng)商能夠進(jìn)行文件加密、終端管控和賬號管理，但是在客戶(hù)敏感信息貫穿于整個(gè)運營(yíng)商業(yè)務(wù)流的情況下，其原本所采用的，比較單一的信息安全防護措施并不能夠起到良好的安全保障效果。同時(shí)，電信運營(yíng)上當前并不能夠對其所有業(yè)務(wù)流程當中所產(chǎn)生的客戶(hù)敏感信息分布情況作出清晰的了解，難以作出系統性的、全面性的監控，因而難以識別業(yè)務(wù)流當中的敏感信息，亦難以發(fā)現敏感信息風(fēng)險。

3、網(wǎng)絡(luò )安全威脅。首先，在人們對信息安全越來(lái)越重視的情況下，IT建設卻比較滯后，電信運營(yíng)商對于客戶(hù)敏感信息體系建設并不清晰，缺少充足的安全保障意識、人才支撐和技術(shù)保障。其次，IT網(wǎng)絡(luò )的鏈接十分混亂，存在私搭亂建的現象，使得網(wǎng)絡(luò )間的訪(fǎng)問(wèn)難以得到控制。隨著(zhù)互聯(lián)網(wǎng)技術(shù)的發(fā)展，網(wǎng)絡(luò )技術(shù)結構逐漸變得復雜，各個(gè)不同系統之間的關(guān)系十分混亂，接入訪(fǎng)問(wèn)需求時(shí)會(huì )出現越來(lái)越多的安全威脅，使得接入訪(fǎng)問(wèn)難以達到客戶(hù)敏感信息安全規范需求。最后，由于客戶(hù)敏感信息眾多，必須要通過(guò)大數據進(jìn)行分析。但是，大數據所需要分析的敏感信息存在信息量大，要求準確和變化快等特點(diǎn)，使得其對大數據分析具有了更高要求。

三、強化電信運營(yíng)商客戶(hù)信息安全保護效果的相關(guān)措施

3.1加強對客戶(hù)敏感信息保護工作的重視

在此方面，電信運營(yíng)商需要全面加強其對客戶(hù)敏感信息保護工作的重視程度。首先，應該提升運維操作人員、技術(shù)人員等全體人員的信息安全保障意識，可以通過(guò)培訓等彌補其安全意識以及技術(shù)方面存在的不足。其次，應該配備充足的專(zhuān)職安全崗位人員，明確各個(gè)崗位的職責，以便更加具有針對性的負責客戶(hù)敏感信息保護。

3.2強化運營(yíng)商對敏感信息的識別

電信運營(yíng)商首先應該建立比較完善的客戶(hù)信息安全管理系統，用以明確客戶(hù)敏感信息安全管理責任和程序，有效的處理信息安全隱患。其次，應該對客戶(hù)敏感信息分類(lèi)作出明確，促使整個(gè)業(yè)務(wù)流當中各個(gè)業(yè)務(wù)所涉及到的客戶(hù)敏感信息均能夠被及時(shí)發(fā)現且納入到信息安全管理系統中。通過(guò)全面的信息安全監控，及時(shí)發(fā)現信息安全風(fēng)險，便于制定應對措施。據此，電信運營(yíng)商將能夠更加良好的加強客戶(hù)敏感信息的安全保護，肩負起其不可推卸的信息安全保護社會(huì )責任。

3.3加強網(wǎng)絡(luò )安全建設

信息安全保護范文第3篇

2007年，原鐵道部成立了鐵路信息安全等級保護工作協(xié)調領(lǐng)導小組，印發(fā)了《關(guān)于開(kāi)展鐵路重要信息系統安全等級保護定級工作的通知》。多次組織會(huì )議研究具體工作，并每年將等級保護工作列入全國鐵路信息化工作要點(diǎn)，提出明確要求，重點(diǎn)督促落實(shí)。2012年，了《關(guān)于進(jìn)一步做好鐵路信息安全等級保護工作的通知》，進(jìn)一步推進(jìn)鐵路信息安全等級保護工作。截至2012年，鐵路行業(yè)已對33個(gè)信息系統進(jìn)行了定級，其中二級8個(gè)，三級22個(gè)，四級3個(gè)，結合系統建設、升級改造、專(zhuān)項工程等，對部分已定級的信息系統進(jìn)行了相應的信息安全防護改造，起到了一定的防護作用。

2其他行業(yè)信息安全等級保護工作現狀

2.1電力行業(yè)

電力信息系統包括發(fā)電、輸電、變電、配電、用電等環(huán)節的生產(chǎn)、調度與控制系統，還包括與生產(chǎn)、營(yíng)銷(xiāo)等工作相關(guān)的管理系統。2004年10月，國家電網(wǎng)公司轉發(fā)了公安部的《關(guān)于信息安全等級保護工作的實(shí)施意見(jiàn)》的通知，要求下屬單位認識信息安全保障體系。2005年，電力行業(yè)監管部門(mén)頒發(fā)了《電力二次系統安全防護規定》，后陸續制定了《電力二次系統安全防護總體方案》、《省級及以上調度中心二次系統安全防護方案》、《變電站二次系統安全防護方案》，高度重視信息安全保護工作[2]。2007年8月，電監會(huì )了《關(guān)于開(kāi)展電力行業(yè)信息系統安全等級保護定級工作的通知》；
隨后11月下發(fā)了《電力行業(yè)信息系統安全等級保護定級工作指導意見(jiàn)》，要求貫徹落實(shí)國家關(guān)于信息安全等級保護工作。2010年6月，電力行業(yè)信息安全等級保護測評中心通過(guò)國家信息安全等級保護工作協(xié)調小組評審，成為國內首個(gè)行業(yè)信息安全等級保護測評機構，為電力行業(yè)信息安全等級保護工作開(kāi)展提供測評及咨詢(xún)等服務(wù)。2011年，電力行業(yè)按照國家信息安全等級保護相關(guān)標準和管理規范，結合自身行業(yè)現狀和特點(diǎn)，制定了本行業(yè)的等保標準——《電力行業(yè)信息系統安全等級保護基本要求》(送審稿)，指導行業(yè)信息安全等級保護工作。以國家電網(wǎng)公司為代表，電力行業(yè)等級保護工作有序穩步推進(jìn)，2006年開(kāi)展了信息系統安全等級保護制度研究與試點(diǎn)工作，2007年進(jìn)行了試點(diǎn)，2009年全面展開(kāi)等級保護建設工作。2010年以來(lái)，電力行業(yè)形成了以網(wǎng)絡(luò )隔離、邊界防護和分層分級縱深防御為主要特點(diǎn)的立體化安全防護體系，成為全國首個(gè)率先組織開(kāi)展信息安全等級保護工作并深入應用的行業(yè)。

2.2金融行業(yè)

金融行業(yè)信息系統包括中國人民銀行信息系統和銀行業(yè)金融機構信息系統兩大類(lèi)。中國人民銀行除擁有政府行政管理的各類(lèi)信息系統外，還有履行金融調控、金融服務(wù)、金融市場(chǎng)職能的13類(lèi)信息系統。銀行業(yè)金融機構信息系統分為兩類(lèi)：各類(lèi)銀行、各類(lèi)金融機構。2007年，中國人民銀行印發(fā)《中國人民銀行、中國銀行業(yè)監督管理委員會(huì )關(guān)于印發(fā)<開(kāi)展銀行業(yè)金融機構重要信息系統安全等級保護定級工作>的通知》，開(kāi)始在金融行業(yè)開(kāi)展信息安全等級保護工作。2011年1月，經(jīng)中國人民銀行、公安部國家信息安全等級保護工作協(xié)調小組辦公室批準，中國金融電子化公司測評中心成為行業(yè)指定的信息安全等級保護測評服務(wù)機構，開(kāi)始了金融行業(yè)信息安全等級保護測評和風(fēng)險評估工作。2012年7月，人民銀行制定出臺了《金融行業(yè)信息系統信息安全等級保護實(shí)施指引》、《金融行業(yè)信息系統信息安全等級保護測評指南》、《金融行業(yè)信息安全等級保護測評服務(wù)安全指引》3項標準，成為金融行業(yè)的等級保護標準。同年，人民銀行了《中國人民銀行關(guān)于進(jìn)一步推進(jìn)銀行業(yè)信息安全等級保護工作的通知》，將等級保護工作長(cháng)效化、制度化。2013年以來(lái)，人民銀行先后了《中國人民銀行信息系統安全等級保護定級和備案流程實(shí)施辦法》、《中國人民銀行關(guān)于銀行業(yè)金融機構信息系統安全等級保護定級的指導意見(jiàn)》，進(jìn)一步完善了等級保護工作流程，并組織對21家全國性銀行業(yè)金融機構信息系統定級情況進(jìn)行了評審。

2.3教育行業(yè)

教育行業(yè)信息系統包括教育行政管理信息系統和學(xué)校信息系統兩大類(lèi)，如教育部全國學(xué)前教育管理信息系統、全國中小學(xué)校舍信息管理系統、高考報名與招生相關(guān)系統；
各高校教師學(xué)生管理信息系統、考試與成績(jì)管理系統、遠程教育系統等。2009年，教育部辦公廳印發(fā)《關(guān)于開(kāi)展信息系統安全等級保護工作的通知》，隨后，教育部批準成立了“教育信息安全等級保護測評中心”，具體承擔相關(guān)等級保護工作。2010年～2011年，教育部辦公廳先后印發(fā)了《關(guān)于開(kāi)展教育系統信息安全等級保護工作專(zhuān)項檢查的通知》、《關(guān)于進(jìn)一步加強網(wǎng)絡(luò )信息系統安全保障工作的通知》，要求做好教育系統網(wǎng)絡(luò )信息安全保障工作，加快建立完備的教育網(wǎng)絡(luò )信息安全保障體系。2011年6月，國家信息安全等級保護工作協(xié)調小組評審并通過(guò)了教育信息安全等級保護測評中心作為國家信息安全等級保護測評機構的資質(zhì)申請，成為繼電力、金融行業(yè)之后第三家行業(yè)信息安全等級保護測評機構。教育部積極組織開(kāi)展信息安全等級保護行業(yè)標準的制定，研究制定了《教育系統信息安全等級保護定級指南》、《教育系統信息安全等級保護基本要求》等技術(shù)標準，進(jìn)一步規范了教育行業(yè)等級保護工作在技術(shù)層面的落實(shí)。2012年以來(lái)，教育行業(yè)等級保護工作繼續深入開(kāi)展，教育部直屬機關(guān)100多個(gè)系統完成定級及評審工作，國家教育管理信息系統安全保障體系建設完成，行業(yè)具備了獨立進(jìn)行信息安全等級測評、風(fēng)險評估服務(wù)的能力。

2.4廣電行業(yè)

廣電行業(yè)信息系統可分為3大類(lèi)：生產(chǎn)業(yè)務(wù)系統、外網(wǎng)系統、專(zhuān)網(wǎng)系統[11]。鑒于廣電系統的專(zhuān)業(yè)特色，無(wú)法照搬基于IP網(wǎng)絡(luò )的信息安全評估方法，廣電行業(yè)進(jìn)行了一系列的研究工作。2007年，廣電總局以光纜干線(xiàn)網(wǎng)風(fēng)險評估為切入點(diǎn)，開(kāi)始了行業(yè)內風(fēng)險評估的探索；
2008年，完成了“廣播電視光纜干線(xiàn)網(wǎng)信息安全風(fēng)險評估方法研究”項目，探索出一條適用于行業(yè)信息安全評估之路；
2009年，在此基礎之上，廣電總局完成了“廣播電視衛星地球站信息安全風(fēng)險評估方法研究”；
2010年，啟動(dòng)了電視中心、廣播中心、無(wú)線(xiàn)發(fā)射3大播出類(lèi)型的專(zhuān)業(yè)風(fēng)險評估方法研究。2007年，廣電行業(yè)下發(fā)了相應的定級工作指導意見(jiàn)，開(kāi)始了重要播出信息系統定級工作。2009年，廣電總局開(kāi)始著(zhù)手研究編制適合行業(yè)的等級保護標準；
2011年，廣電總局頒布出臺了《廣播電視相關(guān)信息系統安全等級保護定級指南》和《廣播電視相關(guān)信息系統安全等級保護基本要求》，作為行業(yè)內信息安全等級保護標準，為信息系統建設整改提供指導。2012年，國家廣播電影電視總局廣播電視信息安全測評中心通過(guò)國家信息安全等級保護工作領(lǐng)導協(xié)調小組辦公室評審，獲得廣電行業(yè)信息安全等級保護測評機構推薦證書(shū)，成為國內第4家行業(yè)信息安全等級保護測評機構。目前，按照廣電總局的統一部署和要求，廣電行業(yè)已完成主要信息系統的分類(lèi)和定級，完成了相關(guān)系統在公安機關(guān)網(wǎng)絡(luò )安全保衛部門(mén)的備案，并有計劃地開(kāi)展安全建設整改工作。

3鐵路與其他行業(yè)信息安全等級保護工作對比分析

3.1對工作的認識和推進(jìn)程度

作為關(guān)系國計民生的重要運輸系統，早在2007年，鐵路行業(yè)即開(kāi)始了信息安全等級保護工作，與教育等行業(yè)相比，信息安全等級保護工作在鐵路行業(yè)的起步更早，等級保護工作被列作全國鐵路信息化工作的要點(diǎn)，獲得了較多的關(guān)注和重視。然而，與電力等其他行業(yè)相比，鐵路信息安全等級保護工作也存在著(zhù)不足：（1）行業(yè)的先行性自我研究欠缺且滯后，沒(méi)有在等級保護工作全面開(kāi)展之前進(jìn)行行業(yè)信息安全工作的調研和考察，這使得本行業(yè)對信息安全等級保護工作的認識缺乏良好的理論和實(shí)踐基礎；
（2）信息安全等級保護工作在全路的實(shí)施力度有待加強，有些行業(yè)已將等級保護工作實(shí)現了例行化和常態(tài)化，而且較早時(shí)候即按照等級保護工作的要求完成了本行業(yè)信息系統的定級、備案等工作，而鐵路行業(yè)內的上述工作尚處于未實(shí)現狀態(tài)或實(shí)現較晚。

3.2行業(yè)標準的制定

信息安全等級保護工作的行業(yè)標準，是本行業(yè)按照信息安全等級保護國家標準的要求、結合行業(yè)自身特點(diǎn)而制定的等級保護工作標準。行業(yè)標準是行業(yè)開(kāi)展信息安全等級保護工作的依據和指導性文件，其集中體現了本行業(yè)信息安全等級保護工作的研究現狀和最高水平，是判斷一個(gè)行業(yè)信息安全等級保護工作水平的重要依據。當前電力、金融、廣電等行業(yè)已按照信息安全等級保護國家標準要求、結合自身行業(yè)特點(diǎn)，制定出臺了本行業(yè)的等級保護標準，有的結合使用反饋情況，對已有標準進(jìn)行了重新修訂和完善，形成了第二版的標準。鐵路信息系統的行業(yè)特點(diǎn)，決定了鐵路信息系統安全不能完全照搬等級保護國家標準，而應依據國家標準結合行業(yè)特點(diǎn)實(shí)施信息安全保護工作；
然而，此項工作尚處于空白狀態(tài)，鐵路行業(yè)亟待出臺行業(yè)標準以指導行業(yè)信息安全等級保護工作。

3.3行業(yè)評測機構的成立

為進(jìn)一步推進(jìn)國家信息安全等級保護工作，公安部依據機構信息安全等級保護測評能力，授權第三方機構進(jìn)行信息安全等級保護測評。等級保護測評機構的主要工作是根據等級保護標準規范，對各信息系統測評；
作為等級保護測評工作的實(shí)施者，它推動(dòng)著(zhù)等級保護工作的前進(jìn)，是信息安全等級保護工作的重要組成部分。截至目前，全國已有數十家機構獲得信息安全等級保護測評資質(zhì)，列入公安部信息安全等級保護評估中心推薦的全國等級保護測評機構目錄。其中，已有7家機構獲得部級測評資質(zhì)，這包括了電力、金融、教育及廣電等行業(yè)的測評機構，另外的機構則獲得了省市級的測評資質(zhì)。當前，鐵路行業(yè)尚無(wú)一家具有認可測評資質(zhì)的第三方測評機構，導致鐵路內信息系統安全等級保護工作的推進(jìn)，不得不求助于鐵路外的社會(huì )評測機構，然而這些機構并不了解鐵路行業(yè)的特點(diǎn)，給鐵路等級保護工作的實(shí)施帶來(lái)了很大被動(dòng)。另外，鐵路信息系統大多覆蓋全國，實(shí)行全國統一管理，省市級測評機構已不能勝任鐵路的需求。因此，成立一家行業(yè)內的部級測評機構，是鐵路等級保護工作進(jìn)一步開(kāi)展的必然要求。

4結束語(yǔ)

信息安全保護范文第4篇

關(guān)鍵詞：等級保護；
信息安全；
風(fēng)險評估

中圖分類(lèi)號：TP309 文獻標識碼：A文章編號：1007-9599 (2011) 13-0000-01

Applied Research of Classified Protection in Information Security

Lv Chunmei,Han Shuai,Hu Chaoju

(School of Control and Computer Engineering,North China Electric Power University,Baoding071003,China)

Abstract:Information security classified protection is a basic institution,strategy and method of national information security system.This paper describes the importance and theory of classified protection,and describes the application of classified protection in some industries.

Keywords:Classified protection;Information security;Risk assessment

隨著(zhù)信息化的快速發(fā)展，計算機網(wǎng)絡(luò )與信息技術(shù)在各個(gè)行業(yè)都得到了廣泛應用，對信息系統進(jìn)行風(fēng)險分析和等級評估，找出信息系統中存在的問(wèn)題，對其進(jìn)行控制和管理，己成為信息系統安全運行的重點(diǎn)。

一、信息系統安全

信息安全的發(fā)展大致為以下幾個(gè)階段，20世紀40-70年代，人們通過(guò)密碼技術(shù)解決通信保密，保證數據的保密性和完整性；
到了70-90年代，為確保信息系統資產(chǎn)保密性、完整性和可用性的措施和控制，采取安全操作系統設計技術(shù)；
90年代后，要求綜合通信安全和信息系統安全，確保信息在存儲、處理和傳輸過(guò)程中免受非授權的訪(fǎng)問(wèn)，防止授權用戶(hù)的拒絕服務(wù)，以及包括檢測、記錄和對抗此類(lèi)威脅的措施，代表是安全評估保障CC；
今天，要保障信息和信息系統資產(chǎn)，保障組織機構使命的執行，綜合技術(shù)、管理、過(guò)程、人員等，需要更加完善的管理機制和更加先進(jìn)的技術(shù)，出臺的有BS7799/ISO17799管理文件[1]。

二、信息安全等級保護

信息安全等級保護是指對信息系統分等級實(shí)行安全保護，對信息系統中發(fā)生的信息安全事件等分等級響應、處置，對設備設施、運行環(huán)境、系統軟件以及網(wǎng)絡(luò )系統按等級管理。風(fēng)險評估按照風(fēng)險范疇中設定的相關(guān)準則進(jìn)行評估計算，同時(shí)結合信息安全管理和等級保護要求來(lái)實(shí)施?，F在越來(lái)越注重將安全等級策略和風(fēng)險評估技術(shù)相結合的辦法進(jìn)行信息系統安全管理，國內2007年下發(fā)《信息安全等級保護管理辦法》，規范了信息安全等級保護的管理。ISO/IEC 27000是英國標準協(xié)會(huì )的一個(gè)關(guān)于信息安全管理的標準[2]。

三、等級保護劃分

完整正確地理解安全保護等級的安全要求，并合理地確定目標系統的保護等級，是將等級保護合理地運用于具體信息系統的重要前提[3]。國家計算機等級保護總體原則《計算機信息系統安全保護等級劃分準則》（GB 17859）將我國信息系統安全等級分為5個(gè)級別，以第1級用戶(hù)自主保護級為基礎，各級逐漸增強。

第一級：用戶(hù)自主保護級，通過(guò)隔離用戶(hù)和數據，實(shí)施訪(fǎng)問(wèn)控制，以免其他用戶(hù)對數據的非法讀寫(xiě)和破壞。

第二級：系統審計保護級，使用機制來(lái)鑒別用戶(hù)身份，阻止非授權用戶(hù)訪(fǎng)問(wèn)用戶(hù)身份鑒別數據。

第三級：安全標記保護級，提供有關(guān)安全策略模型、數據標記以及主體對客體強制訪(fǎng)問(wèn)控制的非形式化描述。

第四級：結構化保護級，將第三級的自主和強制訪(fǎng)問(wèn)控制擴展到所有的主體和客體。加強鑒別機制，系統具有相當的抗滲透能力。

第五級：訪(fǎng)問(wèn)驗證保護級，訪(fǎng)問(wèn)監控器仲裁主體對客體的全部訪(fǎng)問(wèn)，具有極強的抗滲透能力。

四、信息系統定級

為提高我國基礎信息網(wǎng)絡(luò )和重要信息系統的信息安全保護能力和水平，公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室定于2007年7月至10月在全國范圍內組織開(kāi)展重要信息系統安全等級保護定級工作[4]，定級范圍包含：

1.電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎信息網(wǎng)絡(luò )，經(jīng)營(yíng)性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數據中心等單位的重要信息系統。

2.鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險、外交、科技、發(fā)展改革、國防科技、公安、人事勞動(dòng)和社會(huì )保障、財政、審計、商務(wù)、水利、國土資源、能源、交通等重要信息系統。

3.市（地）級以上黨政機關(guān)的重要網(wǎng)站和辦公信息系統。

4.涉及國家秘密的信息系統。各行業(yè)根據行業(yè)特點(diǎn)指導本地區、本行業(yè)進(jìn)行定級工作，保障行業(yè)內的信息系統安全。

五、等級保護在行業(yè)中應用

（一）等級保護在電力行業(yè)信息安全中的應用

國家電網(wǎng)公司承擔著(zhù)為國家發(fā)展電力保障的基本使命，對電力系統的信息安全非常重視，已經(jīng)把信息安全提升到電力生產(chǎn)安全的高度，并陸續下發(fā)了《關(guān)于網(wǎng)絡(luò )信息安全保障工作的指導意見(jiàn)》和《國家電網(wǎng)公司與信息安全管理暫行規定》。

（二）電信網(wǎng)安全防護體系研究及標準化進(jìn)展

《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見(jiàn)》和《2006~2020年國家信息化發(fā)展戰略》的出臺，明確了我國信息安全保障工作的發(fā)展戰略[5]。文中也明確了“國家公用通信網(wǎng)”包括通常所指“基礎電信網(wǎng)絡(luò )”、“移動(dòng)通信網(wǎng)”、“公用互聯(lián)網(wǎng)”和“衛星通信網(wǎng)”等基礎電信網(wǎng)絡(luò )。將安全保障的工作落實(shí)到電信網(wǎng)絡(luò )，充分研究安全等級保護、安全風(fēng)險評估以及災難備份及恢復三部分內容，將三部分工作有機結合，互為依托和補充，共同構成了電信網(wǎng)安全防護體系。

六、結束語(yǔ)

安全等級保護是指導信息系統安全防護工作的基礎管理原則，其核心內容是根據信息系統的重要程度進(jìn)行安全等級劃分，并針對不同的等級，提出安全要求。我國信息安全等級保護正在不斷地完善中，相信信息保護工作會(huì )越做越好。

參考文獻：

[1]徐超漢.計算機信息安全管理[M].北京:電子工業(yè)出版社,2006,36-89

[2]ISO27001.信息安全管理標準[S].2005

[3]GB17859計算機信息系統安全保護等級劃分準則[S].1999

[4]關(guān)于開(kāi)展全國重要信息系統安全等級保護定級工作的通知［EB/OL］.公信安[2007]861號,20070716.

信息安全保護范文第5篇

隨著(zhù)信息安全等級保護工作的不斷深化，已延伸到醫療衛生行業(yè)。衛計委要求三級醫院核心業(yè)務(wù)系統定級不低于第三級。本文結合醫院實(shí)際，介紹了醫院信息安全等級保護工作的建設，闡明了信息系統的定級、備案、整改、測評四個(gè)實(shí)施步驟，以供大家探討。

關(guān)鍵詞：

醫院信息安全；
等級保護工作；
等級測評

一、引言

隨著(zhù)我國信息化建設的快速發(fā)展與廣泛應用，信息安全的重要性愈發(fā)突出。在國家重視信息安全的大背景下，推出了信息安全等級保護制度。為統一管理規范和技術(shù)標準，公安部等四部委聯(lián)合了《信息安全等級保護管理辦法》（公通字[2007]43號）。隨著(zhù)等級保護工作的深入開(kāi)展，原衛生部制定了《衛生行業(yè)信息安全等級保護工作的指導意見(jiàn)》（衛辦發(fā)[2011]85號），進(jìn)一步規范和指導了我國醫療衛生行業(yè)信息安全等級保護工作，并對三級甲等醫院核心業(yè)務(wù)信息系統的安全等級作了要求，原則上不低于第三級。從《關(guān)于信息安全等級保護工作的實(shí)施意見(jiàn)》中可知信息安全等級保護對象是國家秘密信息、法人和其他組織以及公民的專(zhuān)有信息和公開(kāi)信息。對信息系統及其安全產(chǎn)品進(jìn)行等級劃分，并按等級對信息安全事件響應[1]。

二、醫院信息安全等級保護工作實(shí)施步驟

2.1定級與備案[2]。

根據公安部信息安全等級保護評估中心編制的《信息安全等級保護政策培訓教程》，有兩個(gè)定級要素決定了信息系統的安全保護等級，一個(gè)是等級保護對象受到破壞時(shí)所侵害的客體，另外一個(gè)是對客體造成侵害的程度。對于三級醫院，門(mén)診量與床位相對較多，影響范圍較廣，一旦信息系統遭到破壞，將會(huì )給患者造成生命財產(chǎn)損失，對社會(huì )秩序帶來(lái)重大影響。因此，從影響范圍和侵害程度來(lái)看，我們非常認同國家衛計委對三級甲等醫院的核心業(yè)務(wù)信息系統安全等級的限制要求。在完成定級報告編制工作后，填寫(xiě)備案表，并按屬地化管理要求到市級公安機關(guān)辦理備案手續，在取得備案回執后才算完成定級備案工作。我院已按照要求向我市公安局網(wǎng)安支隊，同時(shí)也是我市信息安全等級保護工作領(lǐng)導小組辦公室，提交了定級報告與備案表。

2.2安全建設與整改[3]。

在完成定級備案后，就要結合醫院實(shí)際，分析信息安全現狀，進(jìn)行合理規劃與整改。

2.2.1等保差距分析與風(fēng)險評估。

了解等級保護基本要求?！缎畔⑾到y安全等級保護基本要求》分別從技術(shù)和管理兩方面提出了基本要求?；炯夹g(shù)要求包括五個(gè)方面：物理安全、網(wǎng)絡(luò )安全、主機安全、應用安全和數據安全，主要是由在信息系統中使用的網(wǎng)絡(luò )安全產(chǎn)品（包括硬件和軟件）及安全配置來(lái)實(shí)現；
基本管理要求也包括五個(gè)方面：安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理，主要是根據相關(guān)政策、制度以及規范流程等方面對人員活動(dòng)進(jìn)行約束控制，以期達到安全管理要求[4]。技術(shù)類(lèi)安全要求按保護側重點(diǎn)進(jìn)一步劃分為三類(lèi)：業(yè)務(wù)信息安全類(lèi)（S類(lèi)）、系統服務(wù)安全類(lèi)（A類(lèi)）、通用安全保護類(lèi)（G類(lèi)）。如受條件限制，可以逐步完成三級等級保護，A類(lèi)和S類(lèi)有一類(lèi)滿(mǎn)足即可，但G類(lèi)必須達到三級，最嚴格的G3S3A3控制項共計136條[5]。醫院可以結合自身建設情況，選擇其中一個(gè)標準進(jìn)行差距分析。管理方面要求很?chē)栏?，只有完成所有?54條控制項，達到管理G3的要求，才能完成三級等級保護要求。這需要我們逐條對照，發(fā)現醫院安全管理中的不足與漏洞，找出與管理要求的差距。對于有條件的三甲醫院，可以先進(jìn)行風(fēng)險評估，通過(guò)分析信息系統的資產(chǎn)現狀、安全脆弱性及潛在安全威脅，形成《風(fēng)險評估報告》。經(jīng)過(guò)與三級基本要求對照，我院還存在一定差距。比如：在物理環(huán)境安全方面，我院機房雖有滅火器，但沒(méi)安裝氣體滅火裝置。當前的安全設備產(chǎn)品較少，不能很好的應對網(wǎng)絡(luò )入侵。在運維管理方面，缺乏預警機制，無(wú)法提前判斷系統潛在威脅等。

2.2.2建設整改方案。

根據差距分析情況，結合醫院信息系統安全實(shí)際需求和建設目標，著(zhù)重于保證業(yè)務(wù)的連續性與數據隱私方面，滿(mǎn)足于臨床的實(shí)際需求，避免資金投入的浪費、起不到實(shí)際效果。整改方案制訂應遵循以下原則：安全技術(shù)和安全管理相結合，技術(shù)作保障，管理是更好的落實(shí)安全措施；
從安全區域邊界、安全計算環(huán)境和安全通信網(wǎng)絡(luò )進(jìn)行三維防護，建立安全管理中心[6]。方案設計完成后，應組織專(zhuān)家或經(jīng)過(guò)第三方測評機構進(jìn)行評審，以保證方案的可用性。整改方案實(shí)施。實(shí)施過(guò)程中應注意技術(shù)與管理相結合，并根據實(shí)際情況適當調整安全措施，提高整體保護水平。我院整改方案是先由醫院內部自查，再邀請等級測評公司進(jìn)行預測評，結合醫院實(shí)際最終形成的方案。網(wǎng)絡(luò )技術(shù)人員熟悉系統現狀，易于發(fā)現潛在安全威脅，所以醫院要先自查，對自身安全進(jìn)行全面了解。等級測評公司派專(zhuān)業(yè)安全人員進(jìn)駐醫院，經(jīng)過(guò)與醫院技術(shù)人員溝通，利用安全工具進(jìn)行測試，可以形成初步的整改報告，對我院安全整改具有指導意義。

2.3開(kāi)展等級保護測評[7]。

下一步工作就是開(kāi)展等級測評。在測評機構的選擇上，首先要查看其是否具有“DICP”認證，有沒(méi)有在當地公安部門(mén)進(jìn)行備案，還可以到中國信息安全等級保護網(wǎng)站進(jìn)行核實(shí)。測評周期一般為1至2月，其測評流程如下。

2.3.1測評準備階段。

醫院與測評機構共同成立項目領(lǐng)導小組，制定工作任務(wù)與測評計劃等前期準備工作。項目啟動(dòng)前，為防止醫院信息泄露，還需要簽訂保密協(xié)議。項目啟動(dòng)后，測評機構要進(jìn)行前期調研，主要是了解醫院信息系統的拓撲結構、設備運行狀況、信息系統應用情況及安全管理等情況，然后再選擇相應的測評工具和文檔。在測評準備階段，主要是做好組織機構建設工作，配合等級測評公司人員的調查工作。

2.3.2測評方案編制階段。

測評內容主要由測評對象與測評指標來(lái)確定。我院測評對象包含三級的醫院信息系統、基礎網(wǎng)絡(luò )和二級的門(mén)戶(hù)網(wǎng)站。測評機構要與醫院溝通，制定工具測試方法與測評指導書(shū)，編制測評方案。在此階段，主要工作由等級測評機構來(lái)完成。

2.3.3現場(chǎng)測評階段。

在經(jīng)過(guò)實(shí)施準備后，測評機構要對上述控制項進(jìn)行逐一測評，大約需要1至2周，需要信息科人員密切配合與注意。為保障醫院業(yè)務(wù)正常開(kāi)展，測評工作應盡量減少對業(yè)務(wù)工作的沖擊。當需要占用服務(wù)器和網(wǎng)絡(luò )資源時(shí)應避免業(yè)務(wù)高峰期，可以選擇下班時(shí)間或晚上。為避免對現有業(yè)務(wù)造成影響，測評工具應在接入前進(jìn)行測試，同時(shí)要做好應急預案準備，一旦影響醫院業(yè)務(wù)，應立即啟動(dòng)應急預案[8]。在對209條控制項進(jìn)行測評后應進(jìn)行結果確認，并將資料歸還醫院。該階段是從真實(shí)情況中了解信息系統全面具體的主要工作，也是技術(shù)人員比較辛苦的階段。除了要密切配合測評，還不能影響醫院業(yè)務(wù)開(kāi)展，除非必要，不然安全測試工作必須在夜間進(jìn)行。

2.3.4報告編制階段。

通過(guò)判定測評單項，測評機構對單項測評結果進(jìn)行整理，逐項分析，最終得出整體測評報告。測評報告包含了醫院信息安全存在的潛在威脅點(diǎn)、整改建議與最終測評結果[9]。對于公安機關(guān)來(lái)講，醫院能否通過(guò)等級測評的主要標準就是測評結果。因此，測評報告的結果至關(guān)重要。測評結果分為：不符合、部分符合、全部符合。有的測評機構根據單項測評結果進(jìn)行打分，最后給出總分，以分值來(lái)判定是否通過(guò)測評。為得到理想測評結果，需要醫院落實(shí)安全整改方案。

2.4安全運維。

我們必須清醒地認識到，實(shí)施安全等級保護是一項長(cháng)期工作，它不僅要在信息化建設規劃中考慮，還要在日常運維管理中重視，是不斷循環(huán)的過(guò)程。按照等級保護制度要求，信息系統等級保護級別定為三級的三甲醫院每年要自查一次，還要邀請測評機構進(jìn)行測評并進(jìn)行整改，監管部門(mén)每年要抽查一次。因此，醫院要按照PDCA的循環(huán)工作機制，不斷改進(jìn)安全技術(shù)與管理上，完善安全措施，更好地保障醫院信息系統持續穩定運行[10]。

三、結語(yǔ)

醫院信息安全工作是信息化建設的一部分，是一項長(cháng)期的系統工程，需要分批分期的循序改建。還要結合醫院實(shí)際，考慮安全產(chǎn)品的實(shí)用性，不能盲目的進(jìn)行投資。醫院通過(guò)實(shí)施等級保護工作，可以有效增強網(wǎng)絡(luò )與信息系統整體安全性，有力保障醫院各項業(yè)務(wù)的持續開(kāi)展，適應醫院信息化不斷發(fā)展的需求。

作者：王磊 單位：蚌埠醫學(xué)院第二附屬醫院

參考文獻

[1]公安部,國家保密局,國家密碼管理局,國務(wù)院信息化辦公室文件.關(guān)于信息安全等級保護工作的實(shí)施意見(jiàn)（公通字[2004]66號）[R],2004-9-15.

[2]GB/T22240-2008．信息安全技術(shù)信息系統安全等級保護定級指南[S],2008-06-19.

[3]GB/T25058-2010．信息安全技術(shù)信息系統安全等級保護實(shí)施指南[S],2010-09-02.

[4]GB/T22239-2008．信息安全技術(shù)信息系統安全等級保護基本要求[S],2008-06-19.

[5]魏世杰.醫院信息安全等級保護三級建設思路[J].科技傳播,2013,5(99):208-209.

[6]張濱.構建醫院信息安全等級保護縱深防護體系[J].信息通信,2014(141):148-149.

[7]GB/T28449-2012.信息安全技術(shù)信息系統安全等級保護測評過(guò)程指南[S],2012-06-29.

[8]姚紅磊,楊文.三級系統信息安全等級保護測評指標體系研究[J].鐵路計算機應用,2015,24(2):59-61.