信息安全等级保护暨网络与信息安全通报机制工作会议纪要

信息安全等级保护暨网络与信息安全通报机制工作会议纪要（共13篇）

篇1：信息安全等级保护暨网络与信息安全通报机制工作会议纪要

全市信息安全等级保护暨网络与安全通报机制

工作会议纪要

一、会议时间：2014年9月12日

二、会议地点：齐海大酒店会议中心

三、参会人员：青岛信息安全等级保护领导协调小组成员单位，各党政机关、事业单位、重要企业等重要信息系统运营使用单位及其行业主管部门网络与信息安全工作的分管领导

四、会议内容

由青岛市公安局网警支队队长通报今年上半年及前几年全市信息安全等级保护级网络安全通报机制建设情况及后续工作目标

1、公安部门采取有力措施，推动信息安全等级保护级网络与安全通报机制工作：

依法监督各重要单位“等保”工作的顺利进行；行业主管单位充分发水好牵头作用，使各项工作有序推进；信息系统使用单位高度重视，“等保”工作很好执行；依法加强政务网安全监督工作；积极改善信息安全通报机制，定期分析，对重点网站进行安全扫描，提前发现安全隐患。

2、认清当前安全形势，大力深化“等保”制度

在检查中发现部分单位在信息安全方面还有许多不足，信息网络安全意识淡薄，部分网站网络防范能力差，出现过网页被篡改，被黑客控制，被植入木马的事故；部分单位信息系统等级保护备案尚未开展，或是等级保护定的等级过低，或是未按要求定期进行检测，这里提到了青岛国际机场离港系统原来定为二级过低，要求提升“等保”等级；主动发现问题的能力不足，部分单位领导不重视，专项资金不到位或是挪为它用，单位信息安全专业技术人才缺乏；信息系统水平落后。

3、切实采取信息安全保护措施，扎实开展后续工作

深化工作内容；发挥行业主管单位部门领导工作；增强网络安全意识，对安全隐患进行排查，加快信息安全整改；采取切实措施加强信息安全工作，落实领导责任制，建立信息安全常态化机制；发展网络与信息安全通报机制工作；保密机制要加强。

篇2：信息安全等级保护暨网络与信息安全通报机制工作会议纪要

9月8日上午，公司在一号会议室召开2011信息化座谈会后，紧接着召开了信息安全工作领导小组会议，会议议题为信息安全等级保护工作部署。公司领导、公司相关部（室）主要负责人和业务骨干及信息中心全体人员参加了会议。

结合公安部会同国家保密局、国家密码管理局和国务院信息办下发的《关于开展全国重要信息系统安全等级保护定级工作的通知》、国家局《烟草行业信息系统安全等级保护基本要求》以及8月30日关于开展信息系统安全等级保护工作情况调查建立联络员制度的函（桂公（信安）[2011]12号文）要求，就如何提高信息安全管理水平和保障能力，对下一步对信息系统进行梳理，对业务系统进行定级、备案等提出要求。

会议要求做好信息系统安全等级咨询工作，通过等级保护咨询公司，按照等级保护的要求，结合烟草行业的要求，对信息系统进行定级，信息中心联合各个业务部门，对业务系统的定级情况进行分析论证，最终确定信息系统的等级情况，并报国家局和本地公安部门进行备案。通过定级，差异

篇3：信息安全等级保护暨网络与信息安全通报机制工作会议纪要

会上, 孙耀唯主任传达了2013年电力行业信息安全等级保护测评工作规划及要求, 胡红升副主任宣读了《关于进一步加强电力行业信息安全等级保护工作的意见》和《电力行业信息安全等级保护测评中心暂行管理办法》, 并开展了座谈交流。孙耀唯主任表示, 电力行业信息安全监管工作已经纳入电监会2013年六大监管体系, 网络与信息安全监管也被列为19项安全监管措施之一, 在2012年测评试点的基础上, 2013年将全面开展电力行业信息安全等级保护测评工作, 工控系统的安全防护是今后电力行业信息安全工作的重点, 希望3个实验室能够制定好工作方案, 明确目标和内容, 做好相关工作。

随后, 孙耀唯主任、梁建勇副主任、胡红升副主任为电力行业信息安全等级保护测评中心第一、第二、第三实验室进行授牌。王力科副院长代表中国电科院在讲话中表示, 本次授牌是电力行业等保测评中心对中国电科院多年来在信息安全工作方面做出努力的充分肯定, 实验室将继续尽职尽责完成电监会交与的各项工作任务, 为电力行业信息系统安全稳定做出新的贡献。

篇4：信息安全等级保护暨网络与信息安全通报机制工作会议纪要

省教育技术中心唐连章主任介绍了信息安全工作背景，提出要全面贯彻落实教育部和省教育厅关于加强教育行业网络与信息安全工作的指导意见等文件精神，要求各省属中等职业学校认真部署本校的信息安全等级保护工作、强化信息网络安全责任、明确开展等级保护各项工作的时间节点，增强安全预警和应急处置能力，提高学校整体安全防护水平，形成与教育信息化发展相适应、完备的网络与信息安全保障体系。

省公安厅网警总队蔡旭副总队长以丰富的案例勾勒出当前信息安全工作面临的严峻形势，强调信息安全的重要性和紧迫性，要求各省属中职学校增强网络信息安全意识，选择符合资质的信息安全测评机构进行信息安全等级保护测评工作，建立信息化和安全建设同步机制和应急处置机制，共同维护国家信息安全。

教育信息安全等级保护测评中心广东测评部有关负责人作了专题培训，介绍了教育行业信息安全的形势、等级保护的政策和制度以及信息安全等级保护的工作流程。

广东省民政职业技术学校副校长刘伟峰代表学校作了信息安全建设工作的经验介绍。

篇5：信息网络安全等级保护

自检自查报告

临河人民医院的的信息网络安全建设在上级部门的 关心指导下，近年取得了快速的进步和发展，根据市卫生局《关于开展信息系统等级保护检查工作的通知》文件精神和要求及接到公安局文件后，医院高度重视，及时召开院信息系统安全等级保护工作领导小组会议，积极部署工作、明确责任、具体落实，按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，认真对照信息安全等级保护自查项目表，对我院信息安全等级保护工作进行了一次摸底调查，现将此项工作自查情况汇报如下：

一、等级保护工作组织开展、实施情况：

成立了临河区人民医院信息系统安全等级保护工作领导小组，落实了信息安全责任制；对等级保护责任部门和岗位人员进行了确定，确保专人落实；制定了等级保护工作的文件及相关工作方案；严格按照国家等级保护政策、标准规范和行业主管部门的要求，组织开展各项工作；及时召开了信息系统安全等级保护工作领导小组工作会议；医院主要领导对等级保护工作作出了重要批示，并在工作会议上提出了四点要求。

2信息安全管理制度的建立和落实情况 院信息中心制定了《临河区人民医院信息化建设总体规划》、《临河区人民医院信息系统工作制度与人员岗位职责目录》、《临河区人民医院计算机管理系统应急预案》、《临河区人民医院HIS信息系统工作制度》等相关制度，并在实际工作中对照制度严格执行各项操作流程。

3按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况

遵照有关法律法规，对医院信息服务网遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,对医院信息服务网信息安全保护等级进行了自主定级。

二、信息系统定级备案情况，信息系统变化及定级备案变动情况：

按照《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字，2007‟861号），对本单位维护的医院内网站（医院信息和服务网）安全保护等级级别定位第二级。

三、信息安全设施建设情况和信息安全整改情况：

1安全设施建设情况：我院计算机、公文处理软件和信息系统安全产品均为国产产品，包括使用360、金山安全卫士、金山毒霸、诺顿nod正版软件等安全软件。公文处理软件使用了Microsoft Office系统。单位使用的工资系统、业务系统、数据传输平台系统、数据库等应用软件均为市委、市政府政府相关部门、市财政局和市卫生局统一指定的产品系统。重点信息系统使用的服务器、路由器、交换机等均为国产产品。2信息安全整改情况：

一信息系统安全工作还需要继续完善和提高相应的维护能力。随着移动护理查房的展开，信息工作人员还需要继续提高信息系统安全管理和管护工作的水平。二设备维护、更新有待加强。科室的正版nod杀毒软件维护能够自动更新升级，并进行了定时扫描，确保不存在系统漏洞，偶尔更换新主机ip地址会有冲突，IP网络地址也进行了统一管理。今后将对线路、系统等的及时维护和保养，及时更新升级软件和管理网络地址。

三信息系统安全工作机制还有待完善。部门信息系统安全相关工作机制制度、应急预案等还不健全，还要完善信息系统安全工作机制，建立完善信息系统安全应急响应机制，以提高医院网络信息工作的运行效率，促进医疗、办公秩序的进一步规范，防范风险。

四、信息安全管理制度建设和落实情况：

1制定了医院信息服务网信息安全管理制度，按照“谁主管谁负责”的原则开展工作，我单位负责人为第一责任人，对医院信息服务网信息安全管理负直接责任，并接受上级单位的监管。

2对医院信息服务网机房实施了24小时值班，操作系统、数据库系统、防病毒系统、网站软件系统实时升级，3发现安全隐患，第一时间由技术人员解决。

五、信息安全产品选择和使用情况：

医院内部服务器使用了IBM和戴尔的服务器，交换机使用了H3C.六、聘请测评机构按规范要求开展技术测评工作情况，根据测评结果开展整改情况：暂无聘请测评机构开展技术测评工作。

七、自行定期开展自查情况：

篇6：信息安全等级保护工作计划

信息安全等级保护工作实施方案

为加强信息安全等级保护，规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进我校信息化建设。根据商教发【2011】321号文件精神，结合我校实际，制订本实施方案。

一、指导思想

以科学发展观为指导，以党的十七大、十七届五中全会精神为指针，深入贯彻执行《信息安全等级保护管理办法》等文件精神，全面推进信息安全等级保护工作，维护我校基础信息网络和重要信息系统安全稳定运行。

二、定级范围

学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。

三、组织领导

（一）工作分工。定级工作由电教组牵头，会同学校办公室、安全保卫处等共同组织实施。学校办公室负责定级工作的部门间协调。安全保卫处负责定级工作的监督。

电教组负责定级工作的检查、指导、评审。

各部门依据《信息安全等级保护管理办法》和本方案要求，开展信息系统自评工作。

（二）协调领导机制。

1、成立领导小组，校长任组长，副校长任副组长、各部门负责人为成员，负责我校信息安全等级保护工作的领导、协调工作。督促各部门按照总体方案落实工作任务和责任，对等级保护工作整体推进情况进行检查监督，指导安全保密方案制定。

2、成立由电教组牵头的工作机构，主要职责：在领导小组的领导下，切实抓好我校定级保护工作的日常工作。做好组织各信息系统运营使用部门参加信息系统安全等级保护定级相关会议；组织开展政策和技术培训，掌握定级工作规范和技术要求，为定级工作打好基础；全面掌握学校各部门定级保护工作的进展情况和存在的问题，对存在的问题及时协调解决，形成定级工作总结并按时上报领导小组。

3、成立由赴省参加过计算机培训的教师组成的评审组，主要负责：一是为我校信息与网络安全提供技术支持与服务咨询；二是参与信息安全等级保护定级评审工作；三是参与重要信息与网络安全突发公共事件的分析研判和为领导决策提供依据。

四、主要内容、工作步骤

（一）开展信息系统基本情况的摸底调查。各部门要组织开展对所属信息系统的摸底调查，全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况，按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求，确定定级对象。

（二）初步确定安全保护等级。各使用部门要按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》，初步确定定级对象的安全保护等级，起草定级报告。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。

（三）评审。初步确定信息系统安全保护等级后，上报学校信息系统安全等级保护评审组进行评审。

（四）备案。根据《信息安全等级保护管理办法》，信息系统安全保护等级为第二级以上的信息系统统一由电教组负责备案工作。

五、定级工作要求

（一）加强领导，落实保障。各部门要落实责任，并于12月15日前将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》上报九年制学校。

（二）加强培训，严格定级。为切实落实评审工作，保证定级准确，备案及时，全面提高我校基础信息网络和重要信息系统的信息安全保护能力和水平，保证定级工作顺利进行，各部门要认真学习《信息安全等级保护管理办法》、《文保处教育系统单位信息分级培训材料》、《信息系统安全保护等级定级指南（国标）》、《信息系统安全等级保护基本要求（报批）》、《信息系统安全等级保护实施指南（报批）》等材料。

（三）积极配合、认真整改。各部门要认真按照评级要求，组织开展等级保护工作，切实做好重要信息系统的安全等级保护。

（四）自查自纠、完善制度。此次定级工作完成后，请各部门按照《信息安全等级保护管理办法》和有关技术标准，依据系统所定保护等级的要求，定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查，并不断完善安全管理制度，今后，若信息系统备案资料发生变化，应及时进行变更备案篇二：医院信息系统安全等级保护工作实施方案 医院信息系统安全等级 保护工作实施方案

医院信息系统是医疗服务的重要支撑体系。为确保我院信息系统安全可靠运行，根据公安部等四部、局、办印发的《关于信息安全等级保护工作的实施意见》公通字【2004】66号、《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》卫办综函【2011】1126号、卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知 卫办发【2011】85号和省市有关文件精神，并结合我院信息化建设的工作实际，特制定《德江县民族中医院信息系统安全等级保护工作实施方案》确保我院信息系统安全。

一、组织领导 组 长： 副组长： 组 员：

领导小组办公室设在xx科，由xx同志兼任主任，xx等同志负责具体工作。

二、工作任务

1、做好系统定级工作。定级系统包括基础支撑系统，面向患者服务信息系统，内部行政管理信息系统、网络直报系统及门户网站，定级方法由市卫生局统一与市公安局等信息安全相关部门协商。

2、做好系统备案工作。按照市卫生系统信息安全等级保护划分定级要求，对信息系统进行定级后，将本单位《信息系统安全等级保护备案表》《信息系统定级报告》和备案电子数据报卫生局，由卫生局报属地公安机关办理备案手续。

3、做好系统等级测评工作。完成定级备案后，选择市卫生局推荐的等级测评机构，对已确定安全保护等级信息系统，按照国家信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等国家标准开展等级测评，信息系统测评后，及时将测评机构出具的《信息系统等级测评报告》向属地公安机关报备。

4、完善等级保护体系建设做好整改工作。按照测评报告评测结果，对照《信息系统安全等级保护基本要求》（gb/t22239-2008）等有关标准，结合医院工作实际，组织开展等级保护安全建设整改工作，具体要求如下：

三、工作要求

1、建立安全管理组织机构。成立信息安全工作组，网络办负责人为安全责任人，拟定实施医院信息系统安全等级保护的具体方案，并制定相应的岗位责任制，确保信息安全等级保护工作顺利实施。

2、建立健全信息系统安全管理制度。根据信息安全等级保护的要求，制定各项信息系统安全管理制度，对安全管理人员或操作人员执行的重要管理操作建立操作规程和执行记录文档。

3、制定保障医疗活动不中断的应急预案。应急预案是安全等级保护的重要组成部分，按可能出现问题的不同情形制定相应的应急措施，在系统出现故障和意外且无法短时间恢复的情况下能确保医疗活动持续进行。

4、严格执行安全事故报告和处置管理制度。医院信息系统所有使用或管理人员均有责任发现和报告信息安全可疑事件，应视情况及时以口头或书面的形式报告院网络办。对重大信息网络安全事件、安全事故和计算机违法犯罪案件，应在24小时内向公安机关报告，并保护好现场。篇三：2013年信息安全等级保护工作汇报 2013年信息安全等级保护工作汇报

一、加强领导

二、完善制度

为贯彻落实全市加强和改进互联网建设与管理工作会议和市委办公室、市政府办公室《扬州市深入推进信息安全等级保护工作的实施意见》（扬办发[2012]57号）文件精神，对集团信息系统安全等级保护工作做出了具体的要求，根据等级保护要求，开展了信息安全制度的前期完善工作。陆续制定了“增加扬州网一些网站新闻发布审核的制度”、《外部人员访问机房审批管理制度》、《中心机房管理办法》、《机房消防安全管理制度》等制度。

三、信息等级安全保护基本情况

目前，集团已有扬州网、扬州晚报网、扬州汽车网、艺术在线网和多个内部信息系统根据等级保护的要求进行了整改优化，积极加强信息系统安全环境建设，消除安全管理中的薄弱环节。在物理安全方面，机房安装门禁系统，严格管理机房人员进出，消防设施完善，所有设备通过ups供电。关键网络设备和服务器做到有主有备，确保在发生物理故障时可以及时更换。

在网络安全方面，我们严格按照内、外网物理隔离的标准建设网络系统，并采用虚拟局域网技术，通过交换机端口的ip绑定，防止非法网络接入；在网络出口以及不同网络互联边界全面部署硬件防火墙，部署日志服务器，记录并留存使用互联网和内部网络地址对应关系； 在集团互联网出口部署网络行为管理系统，规范和记录上网行为，合理控制不同应用的网络流量，实现网络带宽动态分配，保障了信息系统正常应用的网络环境。

在主机安全方面，终端计算机采用双硬盘及物理隔离互联网及内网应用，通过部署趋势网络防毒墙网络版，安装联软安全管理软件保障客户机系统安全，并且做到漏洞补丁及时更新，重要的应用系统安装了计算机监控与审计系统，实现对主机的usb等外设接口的控制管理，采用key用户名密码等方式控制用户登陆行为。

对于应用安全，严格做好系统安全测试，配备了专门的漏洞 扫描仪定期扫描应用系统漏洞，并按测试结果做好安全修复和加固工作；在网站区，部属入侵防御系统，监测、记录安全事件，及时阻断入侵行为，自部署起已多次成功检测出sql注入，ftp匿名登录，网站目录遍历，探测主机地址漏洞等。

在数据安全方面，数据库通过备份系统定期备份，关键数据库服务器采用双机热备份，保证数据库服务器的可用性和高效性，在出现故障时可以快速恢复；数据库的访问按不同用户身份进行严格的权限控制。

四、建议

信息系统安全等级保护工作责任重大，技术性强，工作量巨大，集团在该项工作上虽然取得一些进展，但是与市里要求还有相当的差距，在等级保护意识、宣传力度、技术人才的培养和制度的建立上仍然存在问题。

篇7：信息安全等级保护暨网络与信息安全通报机制工作会议纪要

2010年1月20日

一、加强领导 2009年，根据部里的总体部署，我厅高度重视非涉密重要信息系统的信息安全保护工作。我厅交通信息安全等级保护工作由厅信息安全领导小组负总责，具体工作由厅信息安全领导小组办公室承担，负责厅机关信息系统等级保护工作，并开展对厅直单位的监督指导。根据安排，我厅自2007年以来就开展了信息系统安全等级保护基础调查工作等相关工作，全面开展信息系统安全等级保护，同时通过组织培训等方式，不断提高技术人员的培养，强化信息安全保护能力。

二、完善制度 为了做好信息系统等级保护工作，根据《信息安全等级保护管理办法》（公通字200743号）的要求，结合我省实际，我厅制定并印发了《福建省交通运输厅信息系统等级保护管理制度》，对交通信息系统安全等级保护工作做出了具体的要求，同时在我厅开展的资源整合和服务工程建设中，根据等级保护要求，编制《厅网络安全系统建设方案》，制订了分步实施计划，并开展了数据库审计测试等前期工作。2

三、信息等级安全保护基本情况 目前，厅机关已有办公自动化、门户网站及交通地理信息系统等3个系统完成了等级保护备案和测评工作，并根据测评中心的评估报告进行了整改优化，积极加强信息系统安全环境建设，消除安全管理中的薄弱环节。在物理安全方面，机房安装门禁系统，严格管理机房人员进出，消防设施完善，所有设备通过UPS供电。关键网络设备和服务器做到有主有备，确保在发生物理故障时可以及时更换。

在网络安全方面，我们严格按照内、外网物理隔离的标准建设网络系统，并采用虚拟局域网技术，通过交换机端口的IP绑定，防止非法网络接入；在网络出口以及不同网络互联边界全面部署硬件防火墙，部署日志服务器，记录并留存使用互联网和内部网络地址对应关系；在厅互联网出口部署网络行为管理（智能网关）系统，规范和记录上网行为，合理控制不同应用的网络流量，实现网络带宽动态分配，保障了信息系统正常应用的网络环境。部署入侵防御系统监测、记录网络安全事件。在主机安全方面，终端计算机采用双硬盘及物理隔离卡隔离互联网及政务内网应用，通过部署趋势网络防毒墙网络版，安装360安全卫士等安全软件保障主机系统安全，并且做到系统漏洞补丁及时更新，内网终端全部在政务网注册，重要的应用系统安装了计算机监控与审计系统，实现对主机的USB等外设接口的控制管理，采用KEY用户名密码等方式控制用户登陆行为。对于应用安全，严格做好系统安全测试，配备了专门的漏洞 3 扫描仪定期扫描应用系统漏洞，并按测试结果做好安全修复和加固工作；在网站区，部属入侵防御系统，监测、记录安全事件，及时阻断入侵行为，自部署起已多次成功检测出SQL注入，FTP匿名登录，网站目录遍历，探测主机地址漏洞等。同时还安装网页防篡改系统，保障网站正常运行。在数据安全方面，数据库通过备份系统定期备份，关键数据库服务器采用双机热备份，保证数据库服务器的可用性和高效性，在出现故障时可以快速恢复；数据库的访问按不同用户身份进行严格的权限控制。此外，2009年我厅新建成的福建省卫星定位安全服务等4个系统也

及时向省网安办履行了申请备案和测评手续，具体测评正在实施中。

篇8：信息安全等级保护暨网络与信息安全通报机制工作会议纪要

信息安全等级保护采用了纵深防御的思想[1], 通过将网络划分为不同的安全域, 按照各安全域的重要程度进行不同程度的防护。从物理、网络、主机、应用、数据、管理等方面逐层设防, 以保证重要信息的CIA属性, 即机密性、完整性和可用性[2]。

下面将针对新建信息系统, 介绍等级保护三级纵深防御的实施步骤。

第一, 划分安全域, 明确信息系统的边界, 从而进行有针对性的防护。安全域是由在同一工作环境中、具有相同或相似的安全保护需求和保护策略、相互信任、相互关联或相互作用的IT要素集合。可根据职能、重要性、安全防护等级等方面对当前网络划分安全域。

第二, 根据各区域的重要性, 制定各区域的安全策略和各区域之间的安全策略。区域内的安全策略可参考区域的重要程度、访问对象、软硬件平台等因素, 从而为不同区域制定合适的策略。区域间的安全策略可参考区域间数据通信的特点、整个IT环境的安全性等因素, 确定合适的区域间安全防护策略。

第三, 对现有IT环境进行风险评估。找出当前机房及办公环境、网络、主机、应用、数据、管理等方面现存的风险, 从而确定当前的安全现状与第二步制定的安全策略之间存在的差距。

第四, 制定整改方案及实施。一旦确定当前的安全现状与制定的安全策略的差距, 即可确定哪些安全策略是可通过现有设备实现, 哪些可以使用开源产品实现, 哪些需要采购设备实现以及哪些需要通过人员管理实现。

第五, 测评。委托专业的测评机构对整改建设后的系统进行等级保护三级测评, 以验证是否确实达到了三级防护要求, 如果存在不可接受的风险, 还应继续整改。

第六, 运维管理。应严格按照制定的运维管理制度执行, 并定期进行风险评估。

2网络架构

2.1案例分析

等级保护测评过程中, 许多单位现有的网络架构并不满足等级保护三级的要求。下面将列举应用案例。

某单位的网络拓扑如图1所示:

网络结构说明:该网络目前使用天元龙马防火墙实现访问控制;使用天元龙马IDS对外部入侵行为进行检测;使用H3C 9508交换机作为核心交换实现快速转发;所有交换机上均已按照楼层划分VLAN[3];所有的服务器和客户端均未安装防病毒软件;目前未采取措施限制外来人员接入网络;所有设备均无冗余备份。

问题分析:从以上描述可以看出, 当前架构存在以下问题:

2.2参考架构

根据信息安全等级保护基本要求GB/T22239-2008中关于等级保护三级的要求, 三级信息系统的网络结构可参考图2等级保护三级防护模型。

网络结构说明:

(1) 以上网络结构仅供参考, 可根据建设使用单位的实际情况进行规划。

(2) 关于设备的冗余部署, 可结合建设使用单位各设备的性能、稳定性、历史故障等因素有选择的实现冗余备份。

(3) 区域间的防护力度应结合建设使用单位网络的实际情况, 如可参考区域的重要性、整个环境的安全性、区域间数据通信的特点等选择安全产品或安全技术。

2.3防护能力

以下将以等级保护三级防护模型为例, 介绍其防护能力。

该网络划分了外网服务器区、内网服务器区、安全管理区、终端接入区和互联网接入区5个区域。互联网接入区使用负载均衡设备在电信和联通两个运营商之间进行负载均衡;使用防火墙进行访问控制;使用核心交换机实现流量的快速转发;为避免单点故障, 负载均衡设备、防火墙、核心交换机均具有冗余备份。外网服务器区使用入侵检测系统对服务器的访问行为进行检测分析;使用网页防篡改对web应用进行防护;所有关键服务器均通过群集技术实现高可用。安全管理区使用入侵检测系统对内网服务器的访问行为进行检测分析;使用漏洞扫描系统对全网进行漏洞扫描;使用杀毒软件服务器实现全网杀毒软件的统一管理, 包括病毒库更新、策略的修改;使用补丁服务器实现全网服务器和客户端的补丁更新;使用堡垒机实现所有设备的单点登录和操作行为审计;使用审计系统对内部用户的网络访问行为进行审计记录;使用IT运维管理服务器实现对所有服务器和客户端的运行状况监视。内网服务器区使用防火墙进行区域间访问控制;所有关键服务器均实现了冗余备份。终端接入区的交换机已按部门划分VLAN;所有用户终端安装有桌面管理系统对用户的行为进行管控;所有用户终端安装有防病毒软件进行病毒查杀[5]。

3参考配置

为实现等级保护三级防护要求, 所有的设备都应合理配置, 下面为推荐配置, 可根据建设使用单位网络的实际情况进行适当调整。

3.1路由器

3.2防火墙

3.3核心交换机

3.4接入交换机

4结论

本文主要基于等级保护纵深防御思想, 介绍了等级保护三级网络模型, 其中包括符合三级要求的网络结构、推荐的配置、常见问题及解决措施。

信息安全是动态变化的, 需要不断对信息系统进行评估, 如定期对所有设备进行漏洞扫描、时刻关注最新安全动态和定期进行风险评估。发现问题, 及时整改加固。

参考文献

[1]胡朝龙.浅谈计算机网络安全对策及其纵深防御思想[J].科技创新导报, 2007 (35) .

[2]张象朱.利用纵深防御思想构筑信息安全体系[J].中国计算机用户, 2004 (36) .

[3]Eric Vyncke, Christopher Paggen.局域网交换机安全, ISBN:9787115229908, 人民邮电出版社, 2010年07月.

[4]蔡立军.网络安全技术, ISBN:9787810828758, 北方交通大学出版社, 2006年09月.

篇9：信息系统安全等级保护研究与实践

安全防护需求

《信息安全技术一信息系统安全等级保护基本要求》(GB／T22239-2008)明确了基本要求，电网作为重点行业信息安全领域，充分结合自身安全的特殊要求，在对国家标准消化基础上进行深化、扩充，将二级系统技术要求项由79个扩充至134个，三级系统技术要求项由136个扩充至184个，形成了企业信息系统安全等级保护要求，见表1。

安全防护架构与策略

按照纵深防御的思想设计安全防护总体架构，核心内容是“分区、分级、分域”，如图1所示。分区就是按照《电力二次系统安全防护规定》(电监会5号令)将信息系统划分为生产控制大区和管理信息大区两个相对独立区域进行安全防护。分级就是将部署于大区的各系统分别确定安全保护级别实现等级化防护。分域就是将部署于大区的各系统，依据系统级别及业务系统类型划分不同的安全域，实现不同安全域的独立化、差异化防护。总体上形成了“区、级、域”多梯次大纵深的安全防护构架。

生产控制大区和管理信息大区的系统特性不同，安全防护策略也不尽不同。本文仅描述管理信息大区的安全防护策略。管理信息大区部署管理类业务的系统，安全防护遵循以下策略：

(1)双网双机。将管理信息大区网络划分为信息内网和信息外网，内外网间采用逻辑强隔离装置进行隔离，内外网分别采用独立的服务器及桌面主机；

(2)分区分域。将管理信息大区的系统，依据定级情况及业务系统类型，进行安全域划分，以实现不同安全域的独立化、差异化防护；

(3)等级防护。管理信息系统以实现等级保护为基本出发点进行安全防护体系建设，并参照国家等级保护基本要求进行安全防护措施设计；

(4)多层防御。在分域防护的基础上，将各安全域的信息系统划分为边界、网络、主机、应用四个层次进行安全防护设计，以实现层层递进，纵深防御。

安全防护设计

信息系统安全防护按照边界安全防护、网络环境安全防护、主机系统安全防护、应用安全防护四个层次进行防护措施设计。

(一)边界安全防护

边界安全防护目标是使边界的内部不受来自外部的攻击，同时也用于防止恶意的内部人员跨越边界对外实施攻击，或外部人员通过开放接口、隐通道进入内部网络；在发生安全事件前期能够通过对安全日志及入侵检测时间的分析发现攻击企图，安全事件发生后可以提供入侵事件记录以进行审计追踪。

边界安全防护关注对进出该边界的数据流进行有效的检测和控制，有效的检测机制包括基于网络的入侵检测(IDs)、对流经边界的信息进行内容过滤，有效的控制措施包括网络访问控制、入侵防护、虚拟专用网(VPN)以及对于远程用户的标识与认证／访问权限控制。上述边界安全防护机制与其它层面安全措施可协同使用以提供对系统的防护。

信息系统边界归为信息外网第三方边界、信息内网第三方边界、信息内外网边界、信息内网纵向上下级单位边界及横向域间边界五类，安全防护设计见表2

(二)网络安全防护

网络环境安全防护的目标是防范恶意人员通过网络对应用系统进行攻击，同时阻止恶意人员对网络设备发动的攻击，在安全事件发生前可以通过集中的日志审计、入侵检测事件分析等手段发现攻击意图，在安全事件发生后可以通过集中的事件审计系统及入侵检测系统进行事件跟踪、事件源定位以发现恶意人员位置或及时制定相应的安全策略防止事件再次发生。

网络安全防护面向企业整体支撑性网络，以及为各安全域提供网络支撑平台的网络环境设施，网络环境具体包括网络中提供连接的路由器、交换设备及安全防护体系建设所引入的安全设备。安全防护设计见表3。

(三)主机安全防护

主机系统安全的目标是确保业务数据在进入、离开或驻留服务器时保持可用性、完整性和保密性，采用相应的身份认证、访问控制等手段阻止未授权访问，采用主机防火墙、入侵检测等技术确保主机系统的安全，进行事件日志审核以发现入侵企图，在安全事件发生后通过对事件日志的分析进行审计追踪，确认事件对主机的影响以进行后续处理。

主机系统安全防护包括对服务器及桌面终端的安全防护。服务器包括业务应用服务器、网络服务器、WEB服务器、文件与通信等；桌面终端是作为终端用户工作站的台式机与笔记本计算机。安全防护设计见表4。

(四)应用防护

应用安全防护的目标是保证应用系统自身的安全性，以及与其他系统进行数据交互时所传输数据的安全性；在安全事件发生前发现入侵企图或在安全事件发生后进行审计追踪。

应用安全防护包括对于应用系统本身的防护、用户接口安全防护和对于系统间数据接口的安全防护。安全防护设计见表5。

安全防护实施

信息系统安全等级保护实施涉及到系统定级、现状测评、安全建设改造方案编写及实施、等保符合度测评、备案等工作。依据《信息安全技术一信息系统安全等级保护定级指南》(GB／T22240-2008)开展定级工作，定级结果报政府主管部门审批确认。现状测评委托专业机构进行，测评结果作为安全建设方案编写的主要依据。安全域是安全防护总体架构的关键环节，是方案制定的关键内容之一。

管理信息大区划分为内网和外网，内网部署为公司内部员工服务的系统，外网部署对外服务的系统。安全域是由一组具有相同安全保障要求、并相互信任的系统组成的逻辑区域，同一安全域的系统共享相同的安全保障策略。按照等级保护的思想，安全域按照“二级系统统一成域，三级系统独立分域”原则划分。将等级保护较高的三级系统按独立的安全域进行安全防护，以实现三级系统的独立安全防护，将所有二级系统作为一个安全域进行安全防护可降低成本。定级和安全域划分见表6。

限于篇幅，系统建设改造方案细节、等保符合度测评等内容不在此赘述。

篇10：信息安全等级保护暨网络与信息安全通报机制工作会议纪要

第2期

如何理解信息安全等级保护

与分级保护

徐 苏

（电信科学技术第十研究所

陕西

西安

710061）

摘 要：信息安全保护分级、分区域、分类、分阶段是做好国家信息安全保护应遵循的准则。国家信息安全等级保护与涉密信息系统分级保护是两个既联系又有区别的概念。国家安全信息等级保护，重点保护的对象是非涉密的涉及国计民生的重要信息系统和通信基础信息系统；涉密信息系统分级保护是国家信息安全等级保护的重要组成部分，是等级保护在涉密领域的具体体现。

关键字：国家信息安全 公众信息 国家秘密信息 等级保护 分级保护 在日常工作中和为用户提供服务的过程中，什么是信息系统等级保护？什么是涉密信息系统分级保护？这两者之间有什么关系？那些系统需要进行等级保护？涉密信息系统如何分级？这是时常困扰我们的问题。

一、信息系统等级保护

1999年国家发布并于2001年1月1日开始实施GB17859《计算机信息系统安全保护等级划分准则》。2003年，中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)，提出实行信息安全等级保护，建立国家信息安全保障体系的明确要求。2004年9月17日，公安部、国家保密局、国家密码管理委员会办公室、国务院信息办下发了《关于信息安全等级保护工作的实施意见》，明确了信息安全等级保护的重要意义、原则、基本内容、工作职责分工、要求和实施计划。2006年1月17日，四部门又下发了《信息安全等级保护管理办法（试行）》，进一步确定职责分工，明确了公安机关负责全面工作、国家保密工作部门负责涉密信息系统、国家密码管理部门负责密码工作、国务院信息办负责的管理职责和要求。涉及国家秘密的信息系统应当依据国家信息安全等级保护的基本要求，按照国家保密工作部门涉密信息系统分级保护的管理规定和技术标准，结合系统实际情况进行保护。

由于信息系统结构是应社会发展、社会生活和工作的需要而设计、建立的，是社会构成、行政组织体系的反映，因而这种系统结构是分层次和级别的，而其中的各种信息系统具有重要的社会和经济价值，不同的系统具有不同的价值。系统基础资源和信息资源的价值大小、徐苏：如何理解信息安全等级保护与分级保护

用户访问权限的大小、大系统中各子系统重要程度的区别等就是级别的客观体现。信息安全保护必须符合客观存在和发展规律，其分级、分区域、分类和分阶段是做好国家信息安全保护的前提。

信息系统安全等级保护将安全保护的监管级别划分为五个级别：

第一级：用户自主保护级

完全由用户自己来决定如何对资源进行保护，以及采用何种方式进行保护。

第二级：系统审计保护级

本级的安全保护机制受到信息系统等级保护的指导，支持用户具有更强的自主保护能力，特别是具有访问审计能力。即能创建、维护受保护对象的访问审计跟踪记录，记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息，所有和安全相关的操作都能够被记录下来，以便当系统发生安全问题时，可以根据审计记录，分析追查事故责任人，使所有的用户对自己行为的合法性负责。

第三级：安全标记保护级

除具有第二级系统审计保护级的所有功能外，还它要求对访问者和访问对象实施强制访问控制，并能够进行记录，以便事后的监督、审计。通过对访问者和访问对象指定不同安全标记，监督、限制访问者的权限，实现对访问对象的强制访问控制。

第四级：结构化保护级

将前三级的安全保护能力扩展到所有访问者和访问对象，支持形式化的安全保护策略。其本身构造也是结构化的，将安全保护机制划分为关键部分和非关键部分，对关键部分强制性地直接控制访问者对访问对象的存取，使之具有相当的抗渗透能力。本级的安全保护机制能够使信息系统实施一种系统化的安全保护。

第五级：访问验证保护级

这一个级别除了具备前四级的所有功能外还特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动，仲裁访问者能否访问某些对象从而对访问对象实行专控，保护信息不能被非授权获取。因此，本级的安全保护机制不易被攻击、被篡改，具有极强的抗渗透的保护能力。

在等级保护的实际操作中，强调从五个部分进行保护，即：

物理部分：包括周边环境，门禁检查，防火、防水、防潮、防鼠、虫害和防雷，防电磁泄漏和干扰，电源备份和管理，设备的标识、使用、存放和管理等；

支撑系统：包括计算机系统、操作系统、数据库系统和通信系统；

网络部分：包括网络的拓扑结构、网络的布线和防护、网络设备的管理和报警，网络攻击的监察和处理；

应用系统：包括系统登录、权限划分与识别、数据备份与容灾处理，运行管理和访问控

徐苏：如何理解信息安全等级保护与分级保护

制，密码保护机制和信息存储管理；

管理制度：包括管理的组织机构和各级的职责、权限划分和责任追究制度，人员的管理和培训、教育制度，设备的管理和引进、退出制度，环境管理和监控，安防和巡查制度，应急响应制度和程序，规章制度的建立、更改和废止的控制程序。

由这五部分的安全控制机制构成系统整体安全控制机制。

二、涉密信息系统分级保护

1997年《中共中央关于加强新形势下保密工作的决定》明确了在新形势下保密工作的指导思想和基本任务，提出要建立与《保密法》相配套的保密法规体系和执法体系，建立现代化的保密技术防范体系。中央保密委员会于2004年12月23日下发了《关于加强信息安全保障工作中保密管理若干意见》明确提出要建立健全涉密信息系统分级保护制度。2005年12月28日，国家保密局下发了《涉及国家秘密的信息系统分级保护管理办法》，同时，《保密法》修订草案也增加了网络安全保密管理的条款。随着《保密法》的贯彻实施，国家已经基本形成了完善的保密法规体系。

涉密信息系统实行分级保护，先要根据涉密信息的涉密等级，涉密信息系统的重要性，遭到破坏后对国计民生造成的危害性，以及涉密信息系统必须达到的安全保护水平来确定信息安全的保护等级；涉密信息系统分级保护的核心是对信息系统安全进行合理分级、按标准进行建设、管理和监督。国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理办法和技术标准，目前，正在执行的两个分级保护的国家保密标准是BMB17《涉及国家秘密的信息系统分级保护技术要求》和BMB20《涉及国家秘密的信息系统分级保护管理规范》。从物理安全、信息安全、运行安全和安全保密管理等方面，对不同级别的涉密信息系统有明确的分级保护措施，从技术要求和管理标准两个层面解决涉密信息系统的分级保护问题。

涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级，可以划分为秘密级、机密级和机密级（增强）、绝密级三个等级：

秘密级：信息系统中包含有最高为秘密级的国家秘密，其防护水平不低于国家信息安全等级保护三级的要求，并且还必须符合分级保护的保密技术要求。

机密级：信息系统中包含有最高为机密级的国家秘密，其防护水平不低于国家信息安全等级保护四级的要求，还必须符合分级保护的保密技术要求。属于下列情况之一的机密级信息系统应选择机密级（增强）的要求：

徐苏：如何理解信息安全等级保护与分级保护

（1）信息系统的使用单位为副省级以上的党政首脑机关，以及国防、外交、国家安全、军工等要害部门；

（2）信息系统中的机密级信息含量较高或数量较多；（3）信息系统使用单位对信息系统的依赖程度较高。

绝密级：信息系统中包含有最高为绝密级的国家秘密，其防护水平不低于国家信息安全等级保护五级的要求，还必须符合分级保护的保密技术要求，绝密级信息系统应限定在封闭的安全可控的独立建筑内，不能与城域网或广域网相联。

涉密信息系统分级保护的管理过程分为八个阶段，即系统定级阶段、安全规划方案设计阶段、安全工程实施阶段、信息系统测评阶段、系统审批阶段、安全运行及维护阶段、定期评测与检查阶段和系统隐退终止阶段等。在实际工作中，涉密信息系统的定级、安全规划方案设计的实施与调整、安全运行及维护三个阶段，尤其要引起重视。

系统定级决定了系统方案的设计实施、安全措施、运行维护等涉密信息系统建设的各个环节，因此如何准确地对涉密信息系统进行定级在涉密信息系统实施分级保护中尤为重要。涉密信息系统定级遵循“谁建设、谁定级"的原则，可以根据信息密级、系统重要性和安全策略划分为不同的安全域，针对不同的安全域确定不同的等级，并进行相应的保护。在涉密信息系统定级时，可以综合考虑涉密信息系统中资产、威胁、受到损害后的影响，以及使用单位对涉密信息系统的信赖性等因素对涉密信息系统进行整体定级;同时，在同一个系统里，还允许划分不同的安全域，在每个安全域可以分别定级，不同的级别采取不同的安全措施，更加科学地实施分级保护，在一定程度上可以解决保重点，保核心的问题，也可以有效地避免因过度保护而造成应用系统运行效能降低以及投资浪费等问题。涉密信息系统建设单位在定级的同时，必须报主管部门审批。

涉密信息系统要按照分级保护的标准，结合涉密信息系统应用的实际情况进行方案设计。设计时要逐项进行安全风险分析，并根据安全风险分析的结果，对部分保护要求进行适当的调整和改造，调整应以不降低涉密信息系统整体安全保护强度，确保国家秘密安全为原则。当保护要求不能满足实际安全需求时，应适当选择采用部分较高的保护要求，当保护要求明显高于实际安全需求时，可适当选择采用部分较低的保护要求。对于安全策略的调整以及改造方案进行论证，综合考虑修改项和其他保护要求之间的相关性，综合分析，改造方案的实施以及后续测评要按照国家的标准执行，并且要求文档化。在设计完成之后要进行方案论证，由建设使用单位组织有关的专家和部门进行方案设计论证，确定总体方案达到分级保护技术的要求后再开始实施；在工程建设实施过程中注意工程监理的要求；建设完成之后应

徐苏：如何理解信息安全等级保护与分级保护

该进行审批；审批前由国家保密局授权的涉密信息系统测评机构进行系统测评，确定在技术层面是否达到了涉密信息系统分级保护的要求。

运行及维护过程的不可控性以及随意性，往往是涉密信息系统安全运行的重大隐患。通过运行管理和控制、变更管理和控制，对安全状态进行监控，对发生的安全事件及时响应，在流程上对系统的运行维护进行规范，从而确保涉密信息系统正常运行。通过安全检查和持续改进，不断跟踪涉密信息系统的变化，并依据变化进行调整，确保涉密信息系统满足相应分级的安全要求，并处于良好安全状态。由于运行维护的规范化能够大幅度地提高系统运行及维护的安全级别，所以在运行维护中应尽可能地实现流程固化，操作自动化，减少人员参与带来的风险。还需要注意的是在安全运行及维护中保持系统安全策略的准确性以及与安全目标的一致性，使安全策略作为安全运行的驱动力以及重要的制约规则，从而保持整个涉密信息系统能够按照既定的安全策略运行。在安全运行及维护阶段，当局部调整等原因导致安全措施变化时，如果不影响系统的安全分级，应从安全运行及维护阶段进入安全工程实施阶段，重新调整和实施安全措施，确保满足分级保护的要求；当系统发生重大变更影响系统的安全分级时，应从安全运行及维护阶段进入系统定级阶段，重新开始一次分级保护实施过程。

随着我们国家民主与法制建设进程的不断推进，保密的范围和事项正在逐步减少，致使一些涉密人员保密意识和敌情观念淡化，对保密工作的必要性和重要性认识不足。虽然长期处于和平时期，但并不意味着无密可保。事实上，政府部门掌握着大量重要甚至核心的机密，已成为各种窃密活动的重点目标。我党政机关和军工单位也是国家秘密非常集中的领域，一直是窃密与反窃密，渗透与反渗透的主战场。据国家有关部门统计，在全国泄密事件中，军工系统占有很大比例。境内外敌对势力和情报机构以我党政军机关和军工单位为主要目标的窃密活动更加突出，渗透与反渗透、窃密与反窃密的斗争更加激烈。由于一些单位涉密信息系统安全保障能力不够、管理不力，导致涉密信息系统泄密案件的比例逐年上升，安全保密形势非常严峻。因此严格按照涉密信息系统分级保护的要求，加强涉密信息系统建设意义重大。

三、等级保护和分级保护之间的关系

国家信息安全等级保护与涉密信息系统分级保护是两个既有联系又有区别的概念。涉密信息系统分级保护是国家信息安全等级保护的重要组成部分，是等级保护在涉密领域的具体体现。

国家安全信息等级保护重点保护的对象是涉及国计民生的重要信息系统和通信基础信 5

徐苏：如何理解信息安全等级保护与分级保护

息系统，而不论它是否涉密。如：

(1)国家事务处理信息系统（党政机关办公系统）；

(2)金融、税务、工商、海关、能源、交通运输、社会保障、教育等基础设施的信息系统；

(3)国防工业企业、科研等单位的信息系统；

(4)公用通信、广播电视传输等基础信息网络中的计算机信息系统；(5)互联网网络管理中心、关键节点、重要网站以及重要应用系统；(6)其他领域的重要信息系统。

国家实行信息安全等级保护制度，有利于建立长效机制，保证安全保护工作稳固、持久地进行下去；有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调；有利于突出重点，加强对涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统的安全保护和管理监督；有利于明确国家、企业、个人的安全责任，强化政府监管职能，共同落实各项安全建设和安全管理措施；有利于提高安全保护的科学性、针对性，推动网络安全服务机制的建立和完善；有利于采取系统、规范、经济有效、科学的管理和技术保障措施，提高整体安全保护水平，保障信息系统安全正常运行，保障信息安全，进而保障各行业、部门和单位的职能与业务安全、高速、高效地运转；有利于根据所保护的信息的重要程度，决定保护等级，防止“过保护”和“欠保护”的情况发生；有利于信息安全保护科学技术和产业化发展。

涉密信息系统分级保护保护的对象是所有涉及国家秘密的信息系统，重点是党政机关、军队和军工单位，由各级保密工作部门根据涉密信息系统的保护等级实施监督管理，确保系统和信息安全，确保国家秘密不被泄漏。国家秘密信息是国家主权的重要内容，关系到国家的安全和利益，一旦泄露，必将直接危害国家的政治安全、经济安全、国防安全、科技安全和文化安全。没有国家秘密的信息安全，国家就会丧失信息主权和信息控制权，所以国家秘密的信息安全是国家信息安全保障体系中的重要组成部分。

因为不同类别、不同层次的国家秘密信息，对于维护国家安全和利益具有不同的价值，所以需要不同的保护强度种措施。对不同密级的信息，应当合理平衡安全风险与成本，采取不同强度的保护措施，这就是分级保护的核心思想。对涉密信息系统的保护，既要反对只重应用不讲安全，防护措施不到位造成各种泄密隐患和漏洞的“弱保护”现象；同时也要反对不从实际出发，防护措施“一刀切”，造成经费与资源浪费的“过保护”现象。对涉密信息系统实行分级保护，就是要使保护重点更加突出，保护方法更加科学，保护的投入产出比更加合理，徐苏：如何理解信息安全等级保护与分级保护

从而彻底解决长期困扰涉密单位在涉密信息系统建设使用中的网络互联与安全保密问题。

篇11：信息安全等级保护暨网络与信息安全通报机制工作会议纪要

（一）开展信息系统安全等级测评，为信息系统安全提供保障。选择由省级（含）以上信息安全等级保护工作协调小组办公室审核并备案的测评机构，对第三级（含）以上信息系统开展等级测评工作。等级测评机构依据《信息系统安全等级保护测评要求》等标准对信息系统进行测评，对照相应等级安全保护要求进行差距分析，排查系统安全漏洞和隐患并分析其风险，提出改进建议，按照公安部制订的信息系统安全等级测评报告格式编制等级测评报告。经测评未达到安全保护要求的，要根据测评报告中的改进建议，制定整改方案并进一步进行整改。各部门要及时向受理备案的公安机关提交等级测评报告。对于重要部门的第二级信息系统，可以参照上述要求开展等级测评工作。

（二）开展信息安全等级保护安全管理制度建设，提高信息系统安全管理水平。按照《管理办法》、《信息系统安全等级保护基本要求》，参照《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准规范要求，建立健全并落实符合相应等级要求的安全管理制度：一是信息安全责任制，明确信息安全工作的主管领导、责任部门、人员及有关岗位的信息安全责任；二是人员安全管理制度，明确人员录用、离岗、考核、教育培训等管理内容；三是系统建设管理制度，明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理内容；四是系统运维管理制度，明确机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置、应急预案等管理内容。建立并落实监督检查机制，定期对各项制度的落实情况进行自查和监督检查。

（三）开展信息安全等级保护安全技术措施建设，提高信息系统安全防护能力。按照《管理办法》、《信息系统安全等级保护基本要求》，参照《信息系统安全等级保护实施指南》、《信息系统通用安全技术要求》、《信息系统安全工程管理要求》、《信息系统等级保护安全设计技术要求》等标准规范要求，结合行业特点和安全需求，制定符合相应等级要求的信息系统安全技术建设整改方案，开展信息安全等级保护安全技术措施建设，落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施，建立并完善信息系统综合防护体系，提高信息系统的安全防护能力和水平。

篇12：谈我院信息安全等级保护建设工作

随着我国信息化建设的快速发展与广泛应用, 信息安全的重要性愈发突出。在国家重视信息安全的大背景下, 推出了信息安全等级保护制度。为统一管理规范和技术标准, 公安部等四部委联合发布了《信息安全等级保护管理办法》 (公通字[2007]43 号) 。随着等级保护工作的深入开展, 原卫生部制定了《卫生行业信息安全等级保护工作的指导意见》 (卫办发[2011]85 号) , 进一步规范和指导了我国医疗卫生行业信息安全等级保护工作, 并对三级甲等医院核心业务信息系统的安全等级作了要求, 原则上不低于第三级。

从《关于信息安全等级保护工作的实施意见》中可知信息安全等级保护对象是国家秘密信息、法人和其他组织以及公民的专有信息和公开信息。对信息系统及其安全产品进行等级划分, 并按等级对信息安全事件响应[1]。

二、医院信息安全等级保护工作实施步骤

2.1 定级与备案[2]。根据公安部信息安全等级保护评估中心编制的《信息安全等级保护政策培训教程》, 有两个定级要素决定了信息系统的安全保护等级, 一个是等级保护对象受到破坏时所侵害的客体, 另外一个是对客体造成侵害的程度。表1 是根据定级要素制订的信息系统等级保护级别。

对于三级医院, 门诊量与床位相对较多, 影响范围较广, 一旦信息系统遭到破坏, 将会给患者造成生命财产损失, 对社会秩序带来重大影响。因此, 从影响范围和侵害程度来看, 我们非常认同国家卫计委对三级甲等医院的核心业务信息系统安全等级的限制要求。

在完成定级报告编制工作后, 填写备案表, 并按属地化管理要求到市级公安机关办理备案手续, 在取得备案回执后才算完成定级备案工作。我院已按照要求向我市公安局网安支队, 同时也是我市信息安全等级保护工作领导小组办公室, 提交了定级报告与备案表。

2.2 安全建设与整改[3]。在完成定级备案后, 就要结合医院实际, 分析信息安全现状, 进行合理规划与整改。

2.2.1等保差距分析与风险评估。了解等级保护基本要求。《信息系统安全等级保护基本要求》分别从技术和管理两方面提出了基本要求。基本技术要求包括五个方面:物理安全、网络安全、主机安全、应用安全和数据安全, 主要是由在信息系统中使用的网络安全产品 (包括硬件和软件) 及安全配置来实现;基本管理要求也包括五个方面:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理, 主要是根据相关政策、制度以及规范流程等方面对人员活动进行约束控制, 以期达到安全管理要求[4]。

技术类安全要求按保护侧重点进一步划分为三类:业务信息安全类 (S类) 、系统服务安全类 (A类) 、通用安全保护类 (G类) 。如受条件限制, 可以逐步完成三级等级保护, A类和S类有一类满足即可, 但G类必须达到三级, 最严格的G3S3A3 控制项共计136 条[5]。医院可以结合自身建设情况, 选择其中一个标准进行差距分析。

管理方面要求很严格, 只有完成所有的154 条控制项, 达到管理G3 的要求, 才能完成三级等级保护要求。这需要我们逐条对照, 发现医院安全管理中的不足与漏洞, 找出与管理要求的差距。

对于有条件的三甲医院, 可以先进行风险评估, 通过分析信息系统的资产现状、安全脆弱性及潜在安全威胁, 形成《风险评估报告》。

经过与三级基本要求对照, 我院还存在一定差距。比如:在物理环境安全方面, 我院机房虽有灭火器, 但没安装气体灭火装置。当前的安全设备产品较少, 不能很好的应对网络入侵。在运维管理方面, 缺乏预警机制, 无法提前判断系统潜在威胁等。

2.2.2 建设整改方案。根据差距分析情况, 结合医院信息系统安全实际需求和建设目标, 着重于保证业务的连续性与数据隐私方面, 满足于临床的实际需求, 避免资金投入的浪费、起不到实际效果。

整改方案制订应遵循以下原则:安全技术和安全管理相结合, 技术作保障, 管理是更好的落实安全措施;从安全区域边界、安全计算环境和安全通信网络进行三维防护, 建立安全管理中心[6]。方案设计完成后, 应组织专家或经过第三方测评机构进行评审, 以保证方案的可用性。

整改方案实施。实施过程中应注意技术与管理相结合, 并根据实际情况适当调整安全措施, 提高整体保护水平。

我院整改方案是先由医院内部自查, 再邀请等级测评公司进行预测评, 结合医院实际最终形成的方案。网络技术人员熟悉系统现状, 易于发现潜在安全威胁, 所以医院要先自查, 对自身安全进行全面了解。等级测评公司派专业安全人员进驻医院, 经过与医院技术人员沟通, 利用安全工具进行测试, 可以形成初步的整改报告, 对我院安全整改具有指导意义。

2.3 开展等级保护测评[7]。下一步工作就是开展等级测评。在测评机构的选择上, 首先要查看其是否具有“DICP”认证, 有没有在当地公安部门进行备案, 还可以到中国信息安全等级保护网站 (网站地址:www.djbh.net) 进行核实。测评周期一般为1 至2 月, 其测评流程如下。

2.3.1 测评准备阶段。医院与测评机构共同成立项目领导小组, 制定工作任务与测评计划等前期准备工作。项目启动前, 为防止医院信息泄露, 还需要签订保密协议。项目启动后, 测评机构要进行前期调研, 主要是了解医院信息系统的拓扑结构、设备运行状况、信息系统应用情况及安全管理等情况, 然后再选择相应的测评工具和文档。

在测评准备阶段, 主要是做好组织机构建设工作, 配合等级测评公司人员的调查工作。

2.3.2 测评方案编制阶段。测评内容主要由测评对象与测评指标来确定。我院测评对象包含三级的医院信息系统、基础网络和二级的门户网站。测评机构要与医院沟通, 制定工具测试方法与测评指导书, 编制测评方案。在此阶段, 主要工作由等级测评机构来完成。

2.3.3 现场测评阶段。在经过实施准备后, 测评机构要对上述控制项进行逐一测评, 大约需要1 至2 周, 需要信息科人员密切配合与注意。为保障医院业务正常开展, 测评工作应尽量减少对业务工作的冲击。当需要占用服务器和网络资源时应避免业务高峰期, 可以选择下班时间或晚上。为避免对现有业务造成影响, 测评工具应在接入前进行测试, 同时要做好应急预案准备, 一旦影响医院业务, 应立即启动应急预案[8]。在对209 条控制项进行测评后应进行结果确认, 并将资料归还医院。

该阶段是从真实情况中了解信息系统全面具体的主要工作, 也是技术人员比较辛苦的阶段。除了要密切配合测评, 还不能影响医院业务开展, 除非必要, 不然安全测试工作必须在夜间进行。

2.3.4 报告编制阶段。通过判定测评单项, 测评机构对单项测评结果进行整理, 逐项分析, 最终得出整体测评报告。测评报告包含了医院信息安全存在的潜在威胁点、整改建议与最终测评结果[9]。对于公安机关来讲, 医院能否通过等级测评的主要标准就是测评结果。因此, 测评报告的结果至关重要。测评结果分为:不符合、部分符合、全部符合。有的测评机构根据单项测评结果进行打分, 最后给出总分, 以分值来判定是否通过测评。为得到理想测评结果, 需要医院落实安全整改方案。

2.4 安全运维。我们必须清醒地认识到, 实施安全等级保护是一项长期工作, 它不仅要在信息化建设规划中考虑, 还要在日常运维管理中重视, 是不断循环的过程。按照等级保护制度要求, 信息系统等级保护级别定为三级的三甲医院每年要自查一次, 还要邀请测评机构进行测评并进行整改, 监管部门每年要抽查一次。因此, 医院要按照PDCA的循环工作机制, 不断改进安全技术与管理上, 完善安全措施, 更好地保障医院信息系统持续稳定运行[10]。

三、结语

医院信息安全工作是信息化建设的一部分, 是一项长期的系统工程, 需要分批分期的循序改建。还要结合医院实际, 考虑安全产品的实用性, 不能盲目的进行投资。医院通过实施等级保护工作, 可以有效增强网络与信息系统整体安全性, 有力保障医院各项业务的持续开展, 适应医院信息化不断发展的需求。

参考文献

[1]公安部, 国家保密局, 国家密码管理局, 国务院信息化办公室文件.关于信息安全等级保护工作的实施意见 (公通字[2004]66号) [R], 2004-9-15.

[2]GB/T 22240-2008.信息安全技术信息系统安全等级保护定级指南[S], 2008-06-19.

[3]GB/T 25058-2010.信息安全技术信息系统安全等级保护实施指南[S], 2010-09-02.

[4]GB/T 22239-2008.信息安全技术信息系统安全等级保护基本要求[S], 2008-06-19.

[5]魏世杰.医院信息安全等级保护三级建设思路[J].科技传播, 2013, 5 (99) :208-209.

[6]张滨.构建医院信息安全等级保护纵深防护体系[J].信息通信, 2014 (141) :148-149.

[7]GB/T 28449-2012.信息安全技术信息系统安全等级保护测评过程指南[S], 2012-06-29.

[8]姚红磊, 杨文.三级系统信息安全等级保护测评指标体系研究[J].铁路计算机应用, 2015, 24 (2) :59-61.

[9]廉明, 郭浩, 蒋凡.等级测评报告管理系统研究与设计[A].第二届全国信息安全等级保护技术大会会议论文集[C], 2013.

篇13：信息安全等级保护暨网络与信息安全通报机制工作会议纪要

【关键词】 等级保护 电子政务 应用

近几年我国电子政务高速发展，同时安全防护问题日益凸显，黑客入侵、信息泄露等危害信息安全事件频发，这严重影响到国民经济和社会信息化的健康发展，应依据电子政务等级保护这一信息安全系统规范对这些安全问题进行认真分析和研究，探讨应对策略和实施等级保护的方式。综合平衡成本和风险，优化信息安全资源的配置，从而对高效、安全防护的方法进行应用和部署，最终实现提高电子政务信息安全保障能力和水平，维护国家安全、社会稳定和公共利益的目标。

一、电子政务等级保护

1、电子政务。电子政务实际上就是政务信息化，运用先进的信息技术打破原来政府各个部门之间的界限，将电子政务网络延伸到省、市、县以及乡镇之中，建设一个电子化的虚拟政府，这可以方便政府办公，提高政府公信力，让公众一起来监督政府的工作；还可以进行网络服务，建设服务型政府，利用电子政务改变行政的管理方式，达到优化政府业务处理流程的目的，从而提高政府的办事效率，保证民情、社会热点信息、经济运行信息以及城市运行管理信息能够及时的上传到信息系统中。

2、等级保护。等级保护是电子政务中至关重要的一种保障方式，在国家经济和社会信息化的发展道路上，提高了信息的安全保障能力和水平，能够在最大限度上维护国家的信息安全。等级保护的核心思路就是等级化，根据电子政务在国家安全、社会稳定、经济安全以及公共利益等方面的重要程度进行划分，同时，结合网络系统面临的安全问题、系统要求和成本开销等因素，划分成不一样的安全保护等级，从而采用相应的安全保护方法，来保证信息或信息系统的保密性和完整性。其主要分为管理层面和技术层面。前者的主要工作是制定电子政务信息安全等级保护的管理方法、基本安全要求以及对电子政务等级保护工作的管理等方面，还可分为安全管理机构、人员安全管理、系统建设管理和系统运维管理。后者的工作主要就是依照管理层的要求对电子政务系统进行网络安全、应用安全、主机安全以及数据安全的确认，然后，确定系统要采取的保障措施，接着就是进行系统的安全设计和建设，最后进行监控和改进。

二、等级保护的技术应用

等级保护的基本原理是按照电子政务系统的使命、目标和重要程度，对系统的保护程度进行划分，设计合理的安全保护措施。

1、基础设施安全。基础设施指为电子政务业务应用提供可靠安全系统服务的一组工程设施，其中有物理机房、设备设施和场地环境等等。可以分为两类：数据中心机房、机房环境；其中要保障数据中心机房的安全，首先要做到机房访问控制，也就是进入机房的人员一定要经过申请或审批，监督访问者，记录进出时间，并且仅允许他们访问已授权的目标；其次在机房重要的区域需要配置电子门禁系统，用来控制、鉴别和记录进入的人员。然后机房环境的安全问题要注意机房的门、墙壁和天花板，以及装修应当参照电子信息系统机房设计的相关标准进行实施；并且要安装防雷系统和防雷的保安器；安装精密空调；电源线路和通信线路隔离铺设，避免发生故障，最后一定要安装机房环境监护系统。

2、通信网络安全。首先要保证网络结构的安全，依照业务系统服务的重要次序来分配带宽的优先级，比如网络拥塞的时候要优先保障重要业务数据流。所以，应当根据各部门的工作职能、重要性和业务流程等重要的因素进行划分。若是重要的业务系统及数据，其网段就不能直接与外部进行连接，要单独划分区域，注意要与其他网段隔离开。其次，网络安全审计主要是用来监控和记录网络中的各类操作的，并检测网络中是否存在现有的或潜在的威胁。这时要安装网络入侵检测系统和网络审计系统，从而保障通信网络的安全。最后要想保证通信的完整性和保密性，一定要利用安全隧道，然后进行认证以及访问权限的控制，从而保障政务网络互联安全、移动办公安全、重点区域的边界防护安全。

3、计算机环境安全。第一，要统一身份管理和授予管理系统。第二，对主机入侵防范要布置漏洞扫描系统，进行系统安全的监测。第三，要防范主机的恶意代码。终端主机和服务器上都要部署防病毒系统，将系统扼杀在源头上。同时，不但要制定防病毒策略，还要及时的更新升级病毒库。第四，一定要保证数据的完整性和保密性。要想检验存储的信息是否具有完整性和保密性，可以采用校验码技术、密码检验函数、消息鉴别码等相关技术。