前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網(wǎng)絡(luò)安全等級(jí)保護(hù)重要性主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網(wǎng)絡(luò)安全等級(jí)保護(hù)重要性范文

關(guān)鍵詞：政務(wù)外網(wǎng) 等級(jí)保護(hù) 定級(jí) 網(wǎng)絡(luò)安全

為貫徹落實(shí)公安部、國家保密局、國家密碼管理局、原國務(wù)院信息化工作辦公室于2007年7月26日聯(lián)合下發(fā)《關(guān)于開展全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》（公信安[2007]861號(hào)），國家電子政務(wù)外網(wǎng)工程建設(shè)辦公室（以下簡稱“外網(wǎng)工程辦”）在2007年11月啟動(dòng)了中央級(jí)政務(wù)外網(wǎng)定級(jí)專項(xiàng)工作，成立了等級(jí)保護(hù)定級(jí)工作組，根據(jù)政務(wù)外網(wǎng)的實(shí)際情況和特點(diǎn)，經(jīng)過多輪內(nèi)部討論和征求專家意見后，基本完成了政務(wù)外網(wǎng)安全等級(jí)保護(hù)定級(jí)工作，為后續(xù)備案和全面開展、實(shí)施等級(jí)保護(hù)整改和測評(píng)工作奠定了堅(jiān)實(shí)基礎(chǔ)。

一、周密部署，精心組織

為有效貫徹落實(shí)國家信息安全等級(jí)保護(hù)制度，在總結(jié)基礎(chǔ)調(diào)查和試點(diǎn)工作的基礎(chǔ)上，根據(jù)《關(guān)于開展全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》等相關(guān)規(guī)定，2007年11月13日，電子政務(wù)外網(wǎng)工程辦召開等級(jí)保護(hù)工作啟動(dòng)會(huì)，正式啟動(dòng)國家電子政務(wù)外網(wǎng)安全等級(jí)保護(hù)定級(jí)工作。

為確保信息系統(tǒng)等級(jí)保護(hù)工作順利進(jìn)行，外網(wǎng)工程辦領(lǐng)導(dǎo)高度重視，專門成立了由各主要業(yè)務(wù)部門負(fù)責(zé)人為成員的等級(jí)保護(hù)工作小組，全面負(fù)責(zé)工作的規(guī)劃、協(xié)調(diào)和指導(dǎo)，確定了外網(wǎng)工程辦安全組為等級(jí)保護(hù)工作的牽頭部門，各部門分工協(xié)作。同時(shí)，為確保系統(tǒng)劃分和定級(jí)工作的準(zhǔn)確性和合理性，2007年11月22日外網(wǎng)工程辦專門邀請專家，對定級(jí)工作進(jìn)行專項(xiàng)指導(dǎo)。

為統(tǒng)一思想，提高認(rèn)識(shí)，通過召開等級(jí)保護(hù)專題會(huì)議等形式，深入學(xué)習(xí)《信息安全等級(jí)保護(hù)管理辦法》和《關(guān)于開展全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》等文件精神，使相關(guān)人員充分認(rèn)識(shí)和領(lǐng)會(huì)了開展信息安全等級(jí)保護(hù)工作的重要性，進(jìn)一步認(rèn)識(shí)到實(shí)施信息安全等級(jí)保護(hù)不僅是信息安全管理規(guī)范化、標(biāo)準(zhǔn)化、科學(xué)化的需要，也是提高政務(wù)外網(wǎng)安全保障能力與服務(wù)水平的重要途徑，是追求自身發(fā)展與落實(shí)社會(huì)責(zé)任相一致的現(xiàn)實(shí)需要與客觀要求，從而增強(qiáng)了開展此項(xiàng)工作的主動(dòng)性和自覺性。

二、積極做好定級(jí)各項(xiàng)工作

信息安全等級(jí)保護(hù)工作政策性強(qiáng)、技術(shù)要求高，時(shí)間又非常緊迫，為此，政務(wù)外網(wǎng)工程辦從三方面抓好定級(jí)報(bào)備前期準(zhǔn)備工作：一是積極參加公安部組織的等級(jí)保護(hù)培訓(xùn)，領(lǐng)會(huì)與理解開展信息安全等級(jí)保護(hù)工作的目的、意義與技術(shù)要求，系統(tǒng)地掌握信息安全等級(jí)保護(hù)的基礎(chǔ)知識(shí)、實(shí)施過程、定級(jí)方法步驟和備案流程等。二是多次組織人員開展內(nèi)部討論和交流，使人員較全面地了解等級(jí)保護(hù)的意義、基礎(chǔ)知識(shí)和定級(jí)方法。三是開展工程辦各組的業(yè)務(wù)應(yīng)用摸底調(diào)查，摸清系統(tǒng)的系統(tǒng)結(jié)構(gòu)、業(yè)務(wù)類型和應(yīng)用范圍，并匯總整理了政務(wù)外網(wǎng)各組成域的相關(guān)概況。

三、科學(xué)準(zhǔn)確定級(jí)

在開展政務(wù)外網(wǎng)定級(jí)工作的過程中突出重點(diǎn)，全面分析政務(wù)外網(wǎng)網(wǎng)絡(luò)基礎(chǔ)平臺(tái)的特點(diǎn)，力求準(zhǔn)確劃定定級(jí)范圍和定級(jí)對象。在此基礎(chǔ)上，依據(jù)《信息安全等級(jí)保護(hù)管理辦法》，確定政務(wù)外網(wǎng)各組成子系統(tǒng)（網(wǎng)絡(luò)域）的安全保護(hù)等級(jí)。

劃定定級(jí)對象。根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》，外網(wǎng)工程辦多次組織技術(shù)和業(yè)務(wù)骨干召開專題會(huì)議討論信息系統(tǒng)劃分問題，提出了較為科學(xué)合理的信息系統(tǒng)劃分方案。

初步確定了信息系統(tǒng)等級(jí)。根據(jù)系統(tǒng)劃分結(jié)果，組織各業(yè)務(wù)部門參與并初步確定了各系統(tǒng)等級(jí)，完成了自定級(jí)報(bào)告的起草。

組織專家自評(píng)把關(guān)。根據(jù)等級(jí)保護(hù)評(píng)審的標(biāo)準(zhǔn)與要求，專家們對信息系統(tǒng)劃分和定級(jí)報(bào)告進(jìn)行內(nèi)部評(píng)審，并給出了內(nèi)部評(píng)審意見。根據(jù)專家意見重新修改并整理了等級(jí)保護(hù)定級(jí)報(bào)告及其相關(guān)材料。

此外，在定級(jí)過程中，外網(wǎng)工程辦積極與公安部等級(jí)保護(hù)主管部門進(jìn)行溝通，并經(jīng)由相關(guān)專家確認(rèn)定級(jí)對象與等級(jí)保護(hù)方案后，整理好了所有定級(jí)材料，準(zhǔn)備下一步的正式評(píng)審。

四、定級(jí)對象和結(jié)果

根據(jù)政務(wù)外網(wǎng)作為基礎(chǔ)網(wǎng)絡(luò)平臺(tái)的特性，以及其接入系統(tǒng)的不同業(yè)務(wù)類型，政務(wù)外網(wǎng)按管理邊界劃分為中央政務(wù)外網(wǎng)、地方政務(wù)外網(wǎng)兩類管理域。中央政務(wù)外網(wǎng)按業(yè)務(wù)邊界劃分功能區(qū)，即公用網(wǎng)絡(luò)平臺(tái)區(qū)、專用VPN網(wǎng)絡(luò)區(qū)以及互聯(lián)網(wǎng)接入?yún)^(qū)，在各功能區(qū)內(nèi)又根據(jù)業(yè)務(wù)類型和系統(tǒng)服務(wù)的不同，確定了多個(gè)業(yè)務(wù)系統(tǒng)，主要有安全管理系統(tǒng)、應(yīng)用平臺(tái)系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)、郵件系統(tǒng)、VPN業(yè)務(wù)、互聯(lián)網(wǎng)數(shù)據(jù)中心等六個(gè)系統(tǒng)作為本次等級(jí)保護(hù)定級(jí)工作的定

級(jí)對象，分別予以定級(jí)（確定等級(jí)結(jié)果如表1所示）。

作者簡介：

羅海寧，1980年生，男，漢族，工程師，在職碩士，專業(yè)方向：網(wǎng)絡(luò)與信息安全。

郭紅，1966年生，女，漢族，高級(jí)工程師，在職碩士，專業(yè)方向：網(wǎng)絡(luò)安全。

第2篇：網(wǎng)絡(luò)安全等級(jí)保護(hù)重要性范文

信息安全作為國家安全的重要組成部分,是一項(xiàng)關(guān)系全局的戰(zhàn)略任務(wù),具有極端的重要性、緊迫性、長期性和復(fù)雜性。可以說,目前我國信息安全產(chǎn)業(yè)是通過等級(jí)保護(hù)、可信計(jì)算和產(chǎn)業(yè)化發(fā)展相互結(jié)合,實(shí)現(xiàn)網(wǎng)絡(luò)虛擬世界秩序的安全和可信。

產(chǎn)業(yè)化成為重點(diǎn)

中國的信息安全產(chǎn)業(yè)僅有二十多年歷史,快速發(fā)展也只是近十年的事,尚存諸多不足。在互聯(lián)網(wǎng)應(yīng)用與普及方面,我國已經(jīng)進(jìn)入了世界大國的行列,因此我國的信息安全問題與國際上的問題基本一樣。

中國工程院院士方濱興認(rèn)為,我國在網(wǎng)絡(luò)安全方面的解決策略是政府重在行動(dòng),企業(yè)重在引導(dǎo),公眾重在宣傳。就是說,凡是政府信息系統(tǒng),必須接受信息系統(tǒng)安全等級(jí)保護(hù)條例的約束,以行政的手段來強(qiáng)化信息系統(tǒng)的安全。凡是企業(yè)的系統(tǒng),通過對信息安全產(chǎn)品的市場準(zhǔn)入制度,以保證企業(yè)所采用的信息安全防護(hù)手段符合國家的引導(dǎo)思路。公眾方面則通過對網(wǎng)絡(luò)安全方面的廣泛宣傳,讓公眾對網(wǎng)絡(luò)安全具有正確的認(rèn)識(shí),從而提高相應(yīng)的防范能力。

據(jù)悉,教育部、公安部、工業(yè)和信息化部、國家標(biāo)準(zhǔn)化管理委員會(huì)等單位已經(jīng)將“為國家信息化建設(shè)及國家信息安全基礎(chǔ)設(shè)施提供支撐的信息安全產(chǎn)品產(chǎn)業(yè)化”作為2009年信息安全重點(diǎn)工作。其中涉及到四個(gè)方面:

1.重點(diǎn)支持基于國產(chǎn)可信計(jì)算芯片的安全應(yīng)用產(chǎn)品,以及基于自主密碼技術(shù)的高性能集成應(yīng)用產(chǎn)品的產(chǎn)業(yè)化。

2.重點(diǎn)支持移動(dòng)存儲(chǔ)介質(zhì)保密管理、惡意代碼防治、電子文檔安全管理、網(wǎng)絡(luò)數(shù)字版權(quán)保護(hù)、電子數(shù)據(jù)取證、安全保密檢查等產(chǎn)品,移動(dòng)終端、桌面終端安全防護(hù)等計(jì)算機(jī)安全保護(hù)產(chǎn)品,以及面向無線網(wǎng)絡(luò)的安全管理與安全應(yīng)用產(chǎn)品的產(chǎn)業(yè)化。

3.重點(diǎn)支持安全操作系統(tǒng)、安全數(shù)據(jù)庫、安全中間件、安全服務(wù)器、安全接入設(shè)備、安全存儲(chǔ)、容災(zāi)備份軟件、安全辦公軟件等產(chǎn)品的產(chǎn)業(yè)化。

4.重點(diǎn)支持高性能專用安全芯片和專用安全設(shè)備,以及適用于新一代網(wǎng)絡(luò)環(huán)境的具有高性能、多安全功能的軟硬件集成化產(chǎn)品的產(chǎn)業(yè)化。

技術(shù)成果的產(chǎn)業(yè)化過程應(yīng)當(dāng)是一個(gè)市場化、社會(huì)化的過程。將核心技術(shù)產(chǎn)品產(chǎn)業(yè)化地發(fā)展,推動(dòng)產(chǎn)業(yè)結(jié)構(gòu)升級(jí),是提升核心技術(shù)發(fā)展的破局之舉。

可信計(jì)算成為標(biāo)尺

雖然我國的信息化技術(shù)同國際先進(jìn)技術(shù)相比,存在一定的差距。但是,中國和國際上其他組織幾乎是同步在進(jìn)行可信計(jì)算平臺(tái)的研究和部署工作。其中,部署可信計(jì)算體系中,密碼技術(shù)是最重要的核心技術(shù)。

絕對的信息安全是不存在的,但信息安全卻存在著一種終極的理想狀態(tài),那就是:進(jìn)不去、看不見、拿不走和賴不掉。總結(jié)起來,這12字方針的目標(biāo)就是可信計(jì)算。

中國可信計(jì)算工作組組長、中科院軟件所副總工程師馮登國介紹,可信計(jì)算的基礎(chǔ)是在每個(gè)終端平臺(tái)上植入一個(gè)信任根,讓PC從BIOS到操作系統(tǒng)內(nèi)核層,再到應(yīng)用層,均構(gòu)建信任關(guān)系,由此建立一個(gè)能在網(wǎng)絡(luò)上廣泛傳遞的信任鏈。這樣,人們將夢想進(jìn)入一個(gè)計(jì)算免疫的時(shí)代――終端被攻擊時(shí)可以實(shí)現(xiàn)自我保護(hù)、自我管理和自我恢復(fù)。

可以說,可信計(jì)算根就像是一把丈量計(jì)算機(jī)可信度的標(biāo)尺。它會(huì)在啟動(dòng)之初對計(jì)算機(jī)系統(tǒng)上所有的運(yùn)行軟件進(jìn)行可信性(完整性)分析,由此判定它們是否被非授權(quán)篡改。若判定不可信則阻止該軟件運(yùn)行,并自動(dòng)恢復(fù)其合法的版本。所以,計(jì)算機(jī)一旦嵌入了該技術(shù),即可在啟動(dòng)操作系統(tǒng)時(shí)發(fā)現(xiàn)內(nèi)核已改,并根據(jù)用戶需求進(jìn)行阻止和恢復(fù)。

中國可信計(jì)算工作組發(fā)言人劉曉宇說,隨著《可信計(jì)算密碼支撐平臺(tái)功能與接口規(guī)范》等一系列國家政策的出臺(tái)與推動(dòng),以可信密碼模塊為TCM核心的PC、筆記本電腦、服務(wù)器、加密機(jī)等系列產(chǎn)品和解決方案,將逐步被我國政府/軍隊(duì)、制造、金融、企業(yè)/科研、公共機(jī)構(gòu)、航天等行業(yè)在IT領(lǐng)域廣泛采用。

劉曉宇說,我國自主研發(fā)的可信技術(shù)從芯片到PC硬件到系統(tǒng)/應(yīng)用軟件以及CA認(rèn)證,早已形成了一條初具規(guī)模的完整產(chǎn)業(yè)鏈。

馮登國表示:“2009年將是中國可信計(jì)算蓬勃發(fā)展的一年,為打造更為強(qiáng)大的可信計(jì)算體系,中國可信計(jì)算工作組將優(yōu)化和完善TCM硬件平臺(tái),還將致力于打通產(chǎn)、學(xué)、研之間的一切壁壘,促進(jìn)業(yè)內(nèi)同行實(shí)質(zhì)性的合作交流。”

等級(jí)保護(hù)推力強(qiáng)勁

信息安全等級(jí)保護(hù),是這幾年聽到最多的詞之一。從1994年國務(wù)院147號(hào)令至今,已經(jīng)過去了15年。這些年間我國在信息安全領(lǐng)域已經(jīng)制定了數(shù)十個(gè)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn),初步形成了信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系。

方濱興說,目前,政府在信息系統(tǒng)等級(jí)保護(hù)方面加大了推進(jìn)力度,已經(jīng)完成了等級(jí)保護(hù)的定級(jí)工作,接下來的工作就是采取有效措施來實(shí)施信息系統(tǒng)的安全等級(jí)保護(hù)技術(shù)。等級(jí)保護(hù)的大力推動(dòng),一方面在國際上展示了我國政府對信息安全和網(wǎng)絡(luò)安全的管理決心;另一方面,等級(jí)管理制度的建立,突破了我國慣性思維的管理理念。

隨著工業(yè)和信息化部的成立,公安部與工業(yè)和信息化部在信息系統(tǒng)等級(jí)保護(hù)管理方面出現(xiàn)了職能交叉,因此,等級(jí)保護(hù)工作的進(jìn)一步開展將取決于兩個(gè)部委的有效協(xié)調(diào)和合作。

2003年,國家出臺(tái)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(簡稱“27號(hào)文件”),明確要求我國信息安全保障工作實(shí)行等級(jí)保護(hù)制度,2007年出臺(tái)《信息安全等級(jí)保護(hù)管理辦法》(簡稱“43號(hào)文件”)。隨著兩項(xiàng)標(biāo)志性文件的下發(fā),2007年被稱為等級(jí)保護(hù)的啟動(dòng)元年;由于要對現(xiàn)有信息安全系統(tǒng)進(jìn)行加固,大量產(chǎn)品和服務(wù)采購開始,2008年被普遍視為等級(jí)保護(hù)采購元年;更有業(yè)內(nèi)人士說,2009年等級(jí)保護(hù)的好戲才真正上演。

“當(dāng)前的信息與網(wǎng)絡(luò)安全研究,處在忙于封堵現(xiàn)有信息系統(tǒng)安全漏洞的階段。”公安部網(wǎng)絡(luò)安全保衛(wèi)局處長郭啟全認(rèn)為,“要徹底解決這些迫在眉睫的問題,歸根結(jié)底取決于信息安全保障體系的建設(shè)。目前,我們迫切需要根據(jù)國情,從安全體系整體著手,在建立全方位的防護(hù)體系的同時(shí),完善法律體系,并加強(qiáng)管理體系。只有這樣,才能保證國家信息化的健康發(fā)展,確保國家安全和社會(huì)穩(wěn)定。”

“事實(shí)上,信息安全等級(jí)保護(hù)的核心思想就是根據(jù)不同的信息系統(tǒng)保護(hù)需求,構(gòu)建一個(gè)完整的信息安全保護(hù)體系。分析《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則(GB 17859-1999)》可以看出,信息安全等級(jí)保護(hù)的重點(diǎn)在于內(nèi)網(wǎng)安全措施的建設(shè)和落實(shí)。建立一個(gè)完整的內(nèi)網(wǎng)安全體系,是信息系統(tǒng)在安全等級(jí)保護(hù)工作中的一個(gè)重點(diǎn)。”郭啟全說。

第3篇：網(wǎng)絡(luò)安全等級(jí)保護(hù)重要性范文

【 關(guān)鍵詞 】 等級(jí)保護(hù)；煙草企業(yè)；信息安全體系

1 等級(jí)保護(hù)思想

等級(jí)保護(hù)思想自20世紀(jì)80年代在美國產(chǎn)生以來，對信息安全的研究和應(yīng)用產(chǎn)生著深遠(yuǎn)的影響。以ITSEC、TCSEC、CC等為代表的一系列安全評(píng)估準(zhǔn)則相繼出臺(tái)，被越來越多的國家和行業(yè)所引入。我國于20世紀(jì)80年代末開始研究信息系統(tǒng)安全防護(hù)問題，1994年國務(wù)院頒布《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國務(wù)院147號(hào)令），明確規(guī)定計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)。至此，等級(jí)保護(hù)思想開始在我國逐漸盛行。

我國的安全等級(jí)保護(hù)主要對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)。其核心思想就是對信息系統(tǒng)分等級(jí)、按標(biāo)準(zhǔn)分類指導(dǎo)，分階段實(shí)施建設(shè)、管理和監(jiān)督，以保障信息系統(tǒng)安全正常運(yùn)行和信息安全。信息系統(tǒng)的安全等級(jí)保護(hù)由低到高劃分為五級(jí)，通過分級(jí)分類，以相應(yīng)的技術(shù)和管理為支撐，實(shí)現(xiàn)不同等級(jí)的信息安全防護(hù)。

2 煙草行業(yè)引入等級(jí)保護(hù)思想的意義

煙草行業(yè)高度重視等級(jí)保護(hù)工作，實(shí)施信息安全等級(jí)保護(hù)，能有效地提高煙草行業(yè)信息安全和信息系統(tǒng)安全建設(shè)的整體水平。

2.1 開展安全等級(jí)結(jié)構(gòu)化安全設(shè)計(jì)

安全等級(jí)保護(hù)在注重分級(jí)的同時(shí)，也強(qiáng)調(diào)分類、分區(qū)域防護(hù)。煙草行業(yè)雖強(qiáng)調(diào)分類、分區(qū)域，但存在一定局域性。同時(shí)，由于缺少分級(jí)準(zhǔn)則，差異化保護(hù)尚未深化。引入等級(jí)保護(hù)思想，有助于深化結(jié)構(gòu)化安全設(shè)計(jì)理念，通過細(xì)分類型、劃分區(qū)域，全面梳理安全風(fēng)險(xiǎn)，明晰防護(hù)重點(diǎn)，構(gòu)建統(tǒng)一的安全體系架構(gòu)。

2.2 注重全生命周期安全管理

等級(jí)保護(hù)工作遵循“自主保護(hù)、重點(diǎn)保護(hù)、同步建設(shè)、動(dòng)態(tài)調(diào)整”四大基本原則，其“同步建設(shè)、動(dòng)態(tài)調(diào)整”原則充分體現(xiàn)了全生命周期管理的思想。煙草行業(yè)在全建設(shè)“同步”思想方面體現(xiàn)不深，未在系統(tǒng)的建設(shè)初期將安全需求納入系統(tǒng)的整體階段。引入新思想，明確新建系統(tǒng)安全保護(hù)要求，提升安全管理效率。

3 等級(jí)保護(hù)在煙草行業(yè)的實(shí)施路徑

信息安全等級(jí)保護(hù)工作的內(nèi)容主要涉及系統(tǒng)定級(jí)備案、等級(jí)保護(hù)建設(shè)、風(fēng)險(xiǎn)評(píng)估與等級(jí)安全測評(píng)、安全建設(shè)整改。煙草行業(yè)推行等級(jí)保護(hù)工作，其實(shí)施路徑主要有幾條。

3.1 信息系統(tǒng)安全定級(jí)

主要包括信息系統(tǒng)識(shí)別、信息系統(tǒng)劃分、安全等級(jí)確定。其中，原有信息系統(tǒng)根據(jù)業(yè)務(wù)信息安全重要性、系統(tǒng)服務(wù)安全重要性等方面綜合判定，合理定級(jí)。

3.2 等級(jí)保護(hù)安全測評(píng)

在等級(jí)保護(hù)環(huán)境下對信息系統(tǒng)重要資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估，通過等保測評(píng)，發(fā)現(xiàn)與等級(jí)保護(hù)技術(shù)、管理要求的不符合項(xiàng)。

3.3 制訂等級(jí)保護(hù)實(shí)施方案

依據(jù)安全建設(shè)總體方案、等級(jí)保護(hù)不符合項(xiàng)，全面梳理存在問題，分類形成各層級(jí)問題清單；并合理評(píng)估安全建設(shè)整改的難易度，全面有效制訂等級(jí)保護(hù)方案，明確安全整改目標(biāo)。

3.4 開展安全整改與評(píng)估

根據(jù)等級(jí)保護(hù)實(shí)施方案開展建設(shè)，具體主要包括安全域劃分、產(chǎn)品采購與部署、安全策略實(shí)施、安全整改加固以及等級(jí)保護(hù)管理建設(shè)等。并不定期開展安全評(píng)估，不斷鞏固信息安全與信息系統(tǒng)安全。

4 基于等級(jí)保護(hù)的煙草企業(yè)信息安全體系建設(shè)

根據(jù)等級(jí)保護(hù)工作的實(shí)施路徑分析得出，等級(jí)保護(hù)與信息安全體系存在許多共性，有較好的融合度。因此，探索基于等級(jí)保護(hù)的行業(yè)信息安全體系具有深刻意義。

信息安全體系的核心是策略，由管理、技術(shù)、運(yùn)維三部分組成。在等級(jí)保護(hù)思想的融合下，信息安全體系建設(shè)更加注重“分級(jí)保護(hù)、分類設(shè)計(jì)、分階段實(shí)施”。根據(jù)等級(jí)保護(hù)思想，煙草行業(yè)信息安全體系概述有幾點(diǎn)。

4.1 分級(jí)保護(hù)

煙草行業(yè)的信息安全體系以信息系統(tǒng)等級(jí)為落腳點(diǎn)，實(shí)行系統(tǒng)關(guān)聯(lián)分級(jí)，具體分為人員分級(jí)、操作權(quán)限分級(jí)、應(yīng)用對象分級(jí)。首先確定使用對象的范圍。對人員實(shí)行不同分級(jí)，即人員、可信人員、不可信人員等；其次，根據(jù)人員分級(jí)，劃分操作權(quán)限，即高權(quán)限、特殊權(quán)限、中權(quán)限、低權(quán)限等；最后根據(jù)業(yè)務(wù)信息安全等級(jí)和應(yīng)用服務(wù)等級(jí)，明確應(yīng)用系統(tǒng)等級(jí)，即一至五級(jí)安全等級(jí)。通過“人員—操作—應(yīng)用”的關(guān)聯(lián)鏈，制訂分級(jí)準(zhǔn)則，從而達(dá)到分級(jí)保護(hù)的目的。

4.2 分類設(shè)計(jì)

信息安全體系分類設(shè)計(jì)，主要涉及不同類型、不同區(qū)域、不同邊界三方面的結(jié)構(gòu)化設(shè)計(jì)。

4.2.1 類型設(shè)計(jì)

根據(jù)安全等級(jí)保護(hù)要求以及安全體系特點(diǎn)，分為技術(shù)、管理和運(yùn)維三大類型，并進(jìn)行類型策略設(shè)計(jì)。其中技術(shù)要求分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等四部分，管理要求分為安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理等四部分。運(yùn)維要求分為系統(tǒng)運(yùn)維管理、系統(tǒng)運(yùn)維評(píng)估等兩部分。

（1）技術(shù)策略注重系統(tǒng)自身安全防護(hù)功能以及系統(tǒng)遭損害后的恢復(fù)功能兩大層面。如主機(jī)管理，其中主機(jī)管理、身份鑒別、訪問控制、安全審計(jì)、入侵方法等標(biāo)準(zhǔn)要按級(jí)體現(xiàn)；而不同的策略同樣也要根據(jù)兩大層面按需設(shè)計(jì)。

（2）管理策略注重管理范圍全面性、資源配置到位性和運(yùn)行機(jī)制順暢性。諸如安全管理機(jī)構(gòu)是否明確了機(jī)構(gòu)組成，崗位設(shè)置是否合理、人員配置是否到位、溝通運(yùn)行機(jī)制是否順暢等。

（3）運(yùn)維策略主要體現(xiàn)運(yùn)維流程的清晰度、運(yùn)維監(jiān)督考核的執(zhí)行度。諸如系統(tǒng)運(yùn)維管理是否明確運(yùn)維流程及運(yùn)維監(jiān)督考核指標(biāo)，諸如重大事件、巡檢管理、故障管理等。通過分類設(shè)計(jì)達(dá)到結(jié)構(gòu)化層級(jí)要求。

4.2.2 區(qū)域設(shè)計(jì)

區(qū)域設(shè)計(jì)主要指安全域。安全域從不同角度可以進(jìn)行劃分，主要分為橫向劃分和縱向劃分，橫向劃分按照業(yè)務(wù)分類將系統(tǒng)劃分為各個(gè)不同的安全域，如硬件系統(tǒng)部分、軟件系統(tǒng)部分等；縱向在各業(yè)務(wù)系統(tǒng)安全域內(nèi)部，綜合考慮其所處位置或連接以及面臨威脅，將它們劃分為計(jì)算域、用戶域和網(wǎng)絡(luò)域。

煙草行業(yè)根據(jù)體系建設(shè)需要，將采用多種安全域劃分方法相結(jié)合的方式進(jìn)行區(qū)域劃分。

（1）以系統(tǒng)功能和服務(wù)對象劃分煙草重要信息系統(tǒng)安全域和一般應(yīng)用系統(tǒng)安全域。采取嚴(yán)格的訪問控制措施，防止重要信息系統(tǒng)數(shù)據(jù)被其它業(yè)務(wù)系統(tǒng)頻繁訪問。

（2）以網(wǎng)絡(luò)區(qū)域劃分煙草行業(yè)信息系統(tǒng)的數(shù)據(jù)存儲(chǔ)區(qū)、應(yīng)用服務(wù)區(qū)、管理中心、信息系統(tǒng)內(nèi)網(wǎng)、DMZ區(qū)等不同的安全域。數(shù)據(jù)存儲(chǔ)區(qū)的安全保護(hù)級(jí)別要高于應(yīng)用服務(wù)區(qū)，DMZ區(qū)的安全級(jí)別要低于其它所有安全域。

4.2.3 邊界設(shè)計(jì)

要清晰系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用等邊界，通過區(qū)域之間劃分，明晰邊界安全防護(hù)措施。邊界設(shè)計(jì)的理念基于區(qū)域設(shè)計(jì)，在區(qū)域劃分成不同單元的基礎(chǔ)上，實(shí)行最小安全邊界防護(hù)。邊界防護(hù)本著“知所必需、用所必需、共享必需、公開必需、互聯(lián)互通必需”的信息系統(tǒng)安全控制管理原則實(shí)施。

4.3 分階段實(shí)施

煙草信息安全體系建設(shè)要充分體現(xiàn)全生命周期管理思想，從應(yīng)用系統(tǒng)需求開始，分階段推進(jìn)體系建設(shè)。

4.3.1 明確安全需求

為保證信息安全體系建設(shè)能順利開展，行業(yè)新建系統(tǒng)必須在規(guī)劃和設(shè)計(jì)階段，確定系統(tǒng)安全等級(jí)，明確安全需求，并將應(yīng)用系統(tǒng)的安全需求納入到項(xiàng)目規(guī)劃、設(shè)計(jì)、實(shí)施和驗(yàn)證，以避免信息系統(tǒng)后期反復(fù)的整改。

4.3.2 加強(qiáng)安全建設(shè)

要在系統(tǒng)建設(shè)過程中，根據(jù)安全等級(jí)保護(hù)要求，以類型、區(qū)域和邊界的設(shè)計(jì)為著力點(diǎn)，全面加強(qiáng)安全環(huán)節(jié)的監(jiān)督，及時(shí)跟蹤安全功能的“盲點(diǎn)”，使在系統(tǒng)建設(shè)中充分體現(xiàn)安全總體設(shè)計(jì)的要求，穩(wěn)步推進(jìn)安全體系穩(wěn)步開展。

4.3.3 健全安全運(yùn)維機(jī)制

自系統(tǒng)進(jìn)入運(yùn)維期后，要建立健全安全運(yùn)維機(jī)制。梳理運(yùn)維工作事項(xiàng)，理順運(yùn)維業(yè)務(wù)流程，并通過制訂運(yùn)維規(guī)范、運(yùn)維質(zhì)量評(píng)價(jià)標(biāo)準(zhǔn)、運(yùn)維考核標(biāo)準(zhǔn)等，規(guī)范安全運(yùn)維管理，提高安全運(yùn)維執(zhí)行力，以確保系統(tǒng)符合安全等級(jí)要求。

4.3.4 開展全面安全測評(píng)

在安全建設(shè)階段，對行業(yè)現(xiàn)狀要全面診斷評(píng)估，尤其是對已定級(jí)的信息系統(tǒng)，加強(qiáng)安全測評(píng)，形成安全整改方案，并結(jié)合安全體系設(shè)計(jì)框架，按階段、分步驟落實(shí)，注重整改質(zhì)量與效率，降低安全風(fēng)險(xiǎn)。

4.3.5 落實(shí)檢查與評(píng)估

檢查評(píng)估必須以安全等保要求為檢查內(nèi)容，充分借助第三方力量，準(zhǔn)確評(píng)估行業(yè)安全管理水平，并及時(shí)調(diào)整安全保護(hù)等級(jí)，不斷促進(jìn)行業(yè)信息安全工作上臺(tái)階。

5 結(jié)束語

信息安全體系建設(shè)作為一項(xiàng)長期的系統(tǒng)工程，等級(jí)保護(hù)思想的引入，以其保護(hù)理念的先進(jìn)性和實(shí)施路徑的可行性，為信息安全體系建設(shè)提供了新的思路和方法。煙草行業(yè)將在信息安全等級(jí)保護(hù)工作中切實(shí)提高煙草業(yè)務(wù)核心系統(tǒng)的信息安全，保障行業(yè)系統(tǒng)的安全、穩(wěn)定、優(yōu)質(zhì)運(yùn)行，更好地服務(wù)國家和社會(huì)。

參考文獻(xiàn)

[1] 公安部等.信息安全等級(jí)保護(hù)管理辦法[Z]. 2007-06-22.

[2] 國家煙草專賣局.煙草行業(yè)信息安全保障體系建設(shè)指南[Z].2008-04-25.

第4篇：網(wǎng)絡(luò)安全等級(jí)保護(hù)重要性范文

該文對供水企業(yè)信息集成系統(tǒng)安全進(jìn)行分析，并探討了可以針對性改進(jìn)的安全防護(hù)措施。首先對當(dāng)前供水信息系統(tǒng)安全現(xiàn)狀做具體分析，然后研究了在“自主定級(jí)，自主保護(hù)”的原則下改進(jìn)和提高供水企業(yè)集成信息系統(tǒng)安全具體的執(zhí)行方案，最終實(shí)現(xiàn)供水企業(yè)信息集成系統(tǒng)的信息安全防護(hù)。

關(guān)鍵詞：

供水企業(yè)信息集成系統(tǒng)；等級(jí)保護(hù)；信息安全

供水行業(yè)對國計(jì)民生很重要的一個(gè)行業(yè)，供水企業(yè)的業(yè)務(wù)性質(zhì)要求以信息的整體化為基本立足點(diǎn)，集中管理所有涉及運(yùn)營的相關(guān)數(shù)據(jù)，針對供水企業(yè)運(yùn)行的特殊要求，進(jìn)行集中的規(guī)劃和架構(gòu)，將不同專業(yè)的應(yīng)用系統(tǒng)進(jìn)行整合，最終形成完整的供水企業(yè)綜合信息平臺(tái)。[1]而集成系統(tǒng)中最重要的一個(gè)要求就是信息安全。

隨著大數(shù)據(jù)時(shí)代的到來，網(wǎng)格、分布式計(jì)算、云計(jì)算、物聯(lián)網(wǎng)等新技術(shù)相繼推出，對供水企業(yè)信息集成與應(yīng)用也提出了更高的要求。而隨著應(yīng)用的擴(kuò)展，應(yīng)用中存在著大量的安全隱患，網(wǎng)絡(luò)黑客、木馬、病毒和人為的破壞等將大量的安全威脅帶給信息系統(tǒng)。根據(jù)美國Radicati公司于2015年3月的調(diào)查報(bào)告，截至2014年12月，網(wǎng)絡(luò)攻擊已經(jīng)為全球計(jì)算機(jī)網(wǎng)絡(luò)安全造成高達(dá)上萬億美元的損失。而且隨著網(wǎng)絡(luò)應(yīng)用的規(guī)模進(jìn)一步上升，計(jì)算機(jī)網(wǎng)絡(luò)信息安全威脅造成的損失正在呈幾何級(jí)數(shù)增長。根據(jù)2015年的中國網(wǎng)絡(luò)安全分析報(bào)告，2014年報(bào)告的網(wǎng)絡(luò)安全攻擊事件比2013年增加了100多倍。2014年，搜狗由于網(wǎng)絡(luò)黑客攻擊導(dǎo)致搜索服務(wù)在全國各地都出現(xiàn)了長達(dá)25分鐘無法使用。2014年7月，某域名服務(wù)商的域名解析服務(wù)器發(fā)生了網(wǎng)絡(luò)黑客的集中式攻擊，造成在其公司注冊的13%的網(wǎng)站無法訪問，時(shí)間長達(dá)17個(gè)小時(shí)，經(jīng)濟(jì)損失不可估量。因此，從信息安全的角度，要對供水企業(yè)信息集成系統(tǒng)進(jìn)行防護(hù)，降低信息安全事故的發(fā)生的概率，降低其危害，是本文需要研究的內(nèi)容。

1當(dāng)前供水企業(yè)信息集成系統(tǒng)安全防護(hù)的現(xiàn)狀和存在的問題

伴隨著科技的不斷發(fā)展，供水企業(yè)的信息化建設(shè)也得到了很大的發(fā)展，主要是從深度和廣度兩個(gè)層面做進(jìn)一步拓展。典型的供水企業(yè)信息集成系統(tǒng)涵蓋了生產(chǎn)調(diào)度系統(tǒng)、銷售系統(tǒng)、管網(wǎng)信息系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、人事管理系統(tǒng)、辦公自動(dòng)化系統(tǒng)等子系統(tǒng)。其中多個(gè)系統(tǒng)數(shù)據(jù)需要接受外部訪問，存在大量的安全隱患。目前，威脅到供水企業(yè)信息安全的風(fēng)險(xiǎn)因素主要分為三個(gè)大類：1）人為原因，如惡意的黑客攻擊、不懷好意的內(nèi)部人員造成的信息外泄、操作中出現(xiàn)低級(jí)錯(cuò)誤等。2）數(shù)據(jù)存儲(chǔ)位置位置的風(fēng)險(xiǎn)。可能由自然災(zāi)害引發(fā)的問題，缺乏數(shù)據(jù)備份和恢復(fù)能力。3）不斷增長的數(shù)據(jù)交互放大了數(shù)據(jù)丟失或泄漏的風(fēng)險(xiǎn)。包括未知的安全漏洞、軟件版本、安全實(shí)踐和代碼更改等。

2有關(guān)分級(jí)防護(hù)的要求

尤其是供水企業(yè)信息集成系統(tǒng)中，存在大量涉及公民個(gè)人隱私的信息，也存在像生產(chǎn)調(diào)度這樣涉及國計(jì)民生的信息。因此，需要按照國家有關(guān)信息安全的法律法規(guī)，明確企業(yè)的信息安全責(zé)任。提升供水企業(yè)信息管理區(qū)內(nèi)的業(yè)務(wù)系統(tǒng)信息安全防護(hù)。依據(jù)《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）第十四條，信息系統(tǒng)建設(shè)完成后，運(yùn)營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測評(píng)機(jī)構(gòu)，依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)要求》等技術(shù)標(biāo)準(zhǔn)，定期對信息系統(tǒng)安全等級(jí)狀況開展等級(jí)測評(píng)。定級(jí)標(biāo)準(zhǔn)按照國家標(biāo)準(zhǔn)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（GB/T22240—2008）實(shí)施，根據(jù)等級(jí)保護(hù)相關(guān)管理文件，信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)：第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會(huì)秩序和公共利益。

第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會(huì)秩序和公共利益造成損害，但不損害國家安全。第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對國家安全造成特別嚴(yán)重?fù)p害。等級(jí)保護(hù)對象受到破壞后對客體造成侵害的程度歸結(jié)為以下三種：1）造成一般損害；2）造成嚴(yán)重?fù)p害；3）造成特別嚴(yán)重?fù)p害。

3分別防護(hù)實(shí)施步驟

根據(jù)有關(guān)法律法規(guī)，建設(shè)完成并投入使用的信息系統(tǒng)，其有關(guān)使用此系統(tǒng)的單位需要對其系統(tǒng)的等級(jí)狀況做定期的測評(píng)。供水企業(yè)要遵照要求選擇具有資質(zhì)的測評(píng)機(jī)構(gòu)來對管理信息區(qū)的業(yè)務(wù)系統(tǒng)做等級(jí)保護(hù)的測評(píng)工作。其所得到的結(jié)果如下表1所示：通常情況下，供水企業(yè)信息系統(tǒng)中不會(huì)出現(xiàn)第四級(jí)和第五級(jí)的系統(tǒng)。根據(jù)測評(píng)結(jié)果，有必要對供水企業(yè)內(nèi)部的局域網(wǎng)進(jìn)行系統(tǒng)化整改。具體的整改內(nèi)容包括兩項(xiàng)主要內(nèi)容：細(xì)化各業(yè)務(wù)系統(tǒng)服務(wù)器的物理位置；按照需求設(shè)置信息安全區(qū)域。根據(jù)供水企業(yè)信息集成系統(tǒng)的具體實(shí)際，主要有等級(jí)包括三個(gè)業(yè)務(wù)區(qū)域，以及一個(gè)公共業(yè)務(wù)區(qū)和測評(píng)業(yè)務(wù)區(qū)。按照上述原則對供水企業(yè)信息集成系統(tǒng)服務(wù)器做物理劃分如圖1所示。不同等級(jí)的系統(tǒng)服務(wù)器針對不同級(jí)別的信息安全區(qū)進(jìn)行設(shè)置。等級(jí)為一、二、三的業(yè)務(wù)區(qū)分別安裝著對應(yīng)的服務(wù)器，而公共業(yè)務(wù)區(qū)域的服務(wù)器主要是DNS服務(wù)器或者是域服務(wù)器。公共業(yè)務(wù)區(qū)服務(wù)器主要為基礎(chǔ)服務(wù)提供非業(yè)務(wù)系統(tǒng)服務(wù)，不需要進(jìn)行保護(hù)分級(jí)。測評(píng)業(yè)務(wù)區(qū)提供是投入正式使用前的測試服務(wù)器。

依據(jù)表1的測評(píng)結(jié)果，將安全區(qū)域進(jìn)行細(xì)化表2所示的就是企業(yè)管理信息區(qū)，其主要業(yè)務(wù)系統(tǒng)對安全區(qū)域存放問題的展示。根據(jù)表2得到的結(jié)果，可以將信息安全設(shè)備存放在不同信息區(qū)域邊界內(nèi)，以此達(dá)到服務(wù)器分級(jí)防護(hù)目的。信息安全設(shè)備設(shè)置在信息安全區(qū)域邊界，也就是局域網(wǎng)與信息安全區(qū)域之間的連接部。信息安全設(shè)備主要是防火墻、查殺病毒、攻擊防護(hù)、服務(wù)防護(hù)禁止、授權(quán)等。對于不同區(qū)域邊界的信息安全的部署建議，供水企業(yè)要遵照各自的實(shí)際情況做周密的設(shè)置。供水企業(yè)管理信息安全區(qū)域邊界防護(hù)表見表3。將信息安全防護(hù)設(shè)備部署在所在的區(qū)域邊界內(nèi)，如此可以初步實(shí)現(xiàn)對供水企業(yè)管理信息區(qū)的信息安全防護(hù)。

4結(jié)束語

隨著大數(shù)據(jù)的發(fā)展，對供水企業(yè)信息集成系統(tǒng)在數(shù)據(jù)的交互和應(yīng)用方面會(huì)提出更高的要求，也大大加強(qiáng)了安全防護(hù)措施的重要性和迫切性。在安全防護(hù)措施基本到位的前提下，還需要加強(qiáng)信息審計(jì)，及時(shí)發(fā)現(xiàn)和補(bǔ)救系統(tǒng)缺陷，加強(qiáng)數(shù)據(jù)庫安全防護(hù)，維護(hù)管理系統(tǒng)的隱患。

參考文獻(xiàn)：

[1]孫鋒.基于多agent技術(shù)的供水企業(yè)信息集成系統(tǒng)研究[J].供水技術(shù),2015(10).

第5篇：網(wǎng)絡(luò)安全等級(jí)保護(hù)重要性范文

［關(guān)鍵詞］現(xiàn)代醫(yī)院；管理制度；信息管理制度

引言

2017年7月國務(wù)院辦公廳印發(fā)《關(guān)于建立現(xiàn)代醫(yī)院管理制度的指導(dǎo)意見》（［2017］67號(hào)）（簡稱“67號(hào)文”），對建立現(xiàn)代醫(yī)院管理制度做了系統(tǒng)安排。67號(hào)文指出：現(xiàn)代醫(yī)院管理制度是中國特色基本醫(yī)療衛(wèi)生制度的重要組成部分。要加快醫(yī)療服務(wù)供給側(cè)結(jié)構(gòu)性改革，實(shí)現(xiàn)醫(yī)院治理體系和管理能力現(xiàn)代化，為推進(jìn)健康中國建設(shè)奠定堅(jiān)實(shí)基礎(chǔ)。可見，作為醫(yī)改主體和主責(zé)的公立醫(yī)院，改革核心逐漸聚焦到現(xiàn)代醫(yī)院管理制度的建立上。

1現(xiàn)代醫(yī)院管理制度架構(gòu)與對醫(yī)院信息化建設(shè)的要求

1．1現(xiàn)代醫(yī)院管理制度的政策框架

67號(hào)文是我國建立現(xiàn)代醫(yī)院管理制度的頂層設(shè)計(jì)文件，整個(gè)制度通過宏觀層面和微觀層面兩個(gè)維度，勾畫出現(xiàn)代醫(yī)院管理的結(jié)構(gòu)框架［1］，如圖1所示。從宏觀層面看，該頂層設(shè)計(jì)理清了三方面的關(guān)系，即明晰了政府與醫(yī)院、社會(huì)與醫(yī)院、黨與醫(yī)院之間的關(guān)系。明確了政府舉辦職能、落實(shí)公立醫(yī)院經(jīng)營管理自主權(quán)、政府監(jiān)管職能三份權(quán)力清單。也明確了兩種監(jiān)督力量：加強(qiáng)社會(huì)監(jiān)督和行業(yè)自律。并明確了一個(gè)方向：加強(qiáng)醫(yī)院黨建。從微觀層面看，該頂層設(shè)計(jì)對醫(yī)院內(nèi)部治理也進(jìn)行了制度安排：首先，以醫(yī)院章程為基礎(chǔ)明確了醫(yī)院的運(yùn)行規(guī)范；其次，明晰了醫(yī)院內(nèi)部決策機(jī)制；第三，明確了保障醫(yī)院正常運(yùn)轉(zhuǎn)的八項(xiàng)核心制度，信息管理制度是核心制度之一；最后，強(qiáng)調(diào)通過健全民主管理制度、加強(qiáng)醫(yī)院文化建設(shè)、實(shí)施全面便民惠民服務(wù)三種軟性力量來加強(qiáng)醫(yī)院內(nèi)部治理。該頂層設(shè)計(jì)第一次把信息管理制度作為醫(yī)院內(nèi)部治理的核心制度之一，彰顯了醫(yī)院信息管理制度建設(shè)的重要性。

1．2現(xiàn)代醫(yī)院管理制度對醫(yī)院信息化建設(shè)的要求

該頂層設(shè)計(jì)指出，現(xiàn)代醫(yī)院管理制度建設(shè)的主要目標(biāo)是：到2020年，要基本形成維護(hù)公益性、調(diào)動(dòng)積極性、保障可持續(xù)的公立醫(yī)院運(yùn)行新機(jī)制和決策、執(zhí)行、監(jiān)督相互協(xié)調(diào)、相互制衡、相互促進(jìn)的治理機(jī)制，促進(jìn)社會(huì)辦醫(yī)健康發(fā)展，推動(dòng)各級(jí)各類醫(yī)院管理規(guī)范化、精細(xì)化、科學(xué)化，基本建立權(quán)責(zé)清晰、管理科學(xué)、治理完善、運(yùn)行高效、監(jiān)督有力的現(xiàn)代醫(yī)院管理制度。現(xiàn)代醫(yī)院必須要有現(xiàn)代化的治理體系和管理能力［2］，該主要目標(biāo)中提到的“管理科學(xué)，運(yùn)行高效，監(jiān)督有力”的實(shí)現(xiàn)都需要建立在強(qiáng)大的醫(yī)院信息系統(tǒng)之上。首先是管理科學(xué)，管理科學(xué)諸多先進(jìn)管理理念的落地，基本都需要通過現(xiàn)代化的醫(yī)院信息系統(tǒng)來實(shí)現(xiàn)。其次是運(yùn)行高效，評(píng)價(jià)醫(yī)院是否運(yùn)行高效的3E指標(biāo)［3］，即“效益指標(biāo)、效率指標(biāo)、經(jīng)濟(jì)指標(biāo)，同樣需要強(qiáng)大的醫(yī)院信息系統(tǒng)支持。第三是監(jiān)督有力，更需要拿數(shù)據(jù)說話，比如上海申康對所屬市級(jí)三級(jí)醫(yī)院的監(jiān)督，非常有力，主要是依靠醫(yī)聯(lián)信息平臺(tái)上的真實(shí)數(shù)據(jù)［4］。67號(hào)文第十一部分對醫(yī)院信息化建設(shè)特別提出：醫(yī)院要強(qiáng)化信息系統(tǒng)標(biāo)準(zhǔn)化和規(guī)范化建設(shè)，要與醫(yī)保、預(yù)算管理、藥品電子監(jiān)管等系統(tǒng)有效對接。信息化建設(shè)要完善醫(yī)療服務(wù)管理、醫(yī)療質(zhì)量安全、藥品耗材管理、績效考核、財(cái)務(wù)運(yùn)行、成本核算、內(nèi)部審計(jì)、廉潔風(fēng)險(xiǎn)防控等功能。信息化建設(shè)要加強(qiáng)醫(yī)院網(wǎng)絡(luò)和信息安全建設(shè)管理，要完善患者個(gè)人信息保護(hù)制度和技術(shù)措施。如上要求可知，現(xiàn)代醫(yī)院管理需要醫(yī)院信息化全方位介入。醫(yī)院最重要的醫(yī)療安全保障，越來越依賴醫(yī)院信息系統(tǒng)的先進(jìn)性。24小時(shí)連續(xù)運(yùn)行的醫(yī)院業(yè)務(wù)，對醫(yī)院信息系統(tǒng)的穩(wěn)定性要求也越來越高。另外由于“云大物移智”等先進(jìn)技術(shù)的使用而導(dǎo)致的內(nèi)外網(wǎng)融合，對醫(yī)院信息系統(tǒng)的安全性要求也越來越高。醫(yī)院信息系統(tǒng)需要提供給越來越多的內(nèi)部和外部人員使用，這對醫(yī)院信息系統(tǒng)的集成化要求也越來越高，也對醫(yī)院信息系統(tǒng)建設(shè)中臨床信息的標(biāo)準(zhǔn)化和規(guī)范化建設(shè)提出了越來越高的要求。研究表明，信息系統(tǒng)應(yīng)用是否成熟，一個(gè)重要指標(biāo)就是其集成化水平的高低。信息系統(tǒng)越集成，就越能發(fā)揮出信息系統(tǒng)在存儲(chǔ)資料、傳遞資料和檢索資料三方面的驚人能力。當(dāng)醫(yī)院信息系統(tǒng)的集成化水平越高的時(shí)候，醫(yī)院的現(xiàn)代化管理水平也越高［5］。如圖2米歇模型所示，醫(yī)院信息系統(tǒng)集成化的發(fā)展方向是“最終用戶的集成化技術(shù)”，但目前大部分醫(yī)院尚處在“管理信息系統(tǒng)”走向“集成化系統(tǒng)和技術(shù)”的階段，離“最終用戶的集成化技術(shù)”尚有距離，醫(yī)院信息部門還有很多的信息化、集成化的工作需要做。從現(xiàn)代管理的角度講，所有這些信息化、集成化工作的推進(jìn)都需要有一個(gè)好的制度保障———信息管理制度。沒有規(guī)矩不成方圓，再加上《GB∕T22239－2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（以下簡稱“等保2．0”）對安全的新要求，醫(yī)院需要重新思考符合現(xiàn)代醫(yī)院管理制度的信息管理制度的建設(shè)和健全問題。

2醫(yī)院信息管理制度的主體架構(gòu)

醫(yī)院信息管理制度包含的內(nèi)容很多，目前各家醫(yī)院并沒有統(tǒng)一的命名規(guī)范，同樣命名的制度在不同的醫(yī)院其內(nèi)容也不太一致。為構(gòu)建醫(yī)院信息管理制度的主體架構(gòu)，需要有一個(gè)好的視角。鑒于醫(yī)院信息安全變得越來越重要，從信息安全等級(jí)保護(hù)的角度來分析和構(gòu)建信息管理制度的主體架構(gòu)，可能更容易理解醫(yī)院信息管理制度的體系框架。以下結(jié)合2019年5月1日最新的等保2．0，來構(gòu)建信息管理制度的主體架構(gòu)。

2．1信息安全等級(jí)保護(hù)的基本框架

2019年5月1日信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求正式，標(biāo)志信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)由1．0邁入2．0，和等保1．0相比較，等保2．0的安全通用要求的框架已做調(diào)整，相關(guān)的技術(shù)細(xì)節(jié)要求也有不少變化［6］。醫(yī)院信息化建設(shè)，信息管理制度構(gòu)建也需要重新對標(biāo)思考。總體來說，醫(yī)院信息管理制度的建設(shè)應(yīng)該覆蓋等保2．0安全通用要求所提及的所有相關(guān)內(nèi)容，包括安全物理環(huán)境，安全通信網(wǎng)絡(luò)，安全區(qū)域邊界，安全計(jì)算環(huán)境，安全管理中心，安全管理制度，安全管理機(jī)構(gòu)，安全管理人員，安全建設(shè)管理，安全系統(tǒng)運(yùn)維。等保2．0安全擴(kuò)展要求主要是技術(shù)方面的考量，在信息管理制度建設(shè)上可以和安全通用要求一致。

2．2醫(yī)院信息管理制度建設(shè)的策略路徑

如同現(xiàn)代醫(yī)院管理制度構(gòu)建醫(yī)院內(nèi)部治理體系，強(qiáng)調(diào)首先需要建立醫(yī)院章程一樣，等保2．0和等保1．0一樣，針對醫(yī)院信息管理制度建設(shè)和健全首先提到三點(diǎn)建設(shè)總則，具體如下：①應(yīng)對安全管理活動(dòng)中的各類管理內(nèi)容建立安全管理制度；②應(yīng)對管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程；③應(yīng)形成由安全策略、管理制度、操作規(guī)程、記錄表單等構(gòu)成的全面的安全管理制度體系。上述原則特別重要，一般來說很多醫(yī)院只注意制度建設(shè)，而不太重視相應(yīng)的操作規(guī)程的建立以及記錄表單的設(shè)計(jì)。上述原則作為醫(yī)院信息管理制度建設(shè)的策略路徑，嚴(yán)格遵照執(zhí)行可以提升醫(yī)院信息管理制度建設(shè)的規(guī)范性、全面性和一致性。2．3醫(yī)院信息管理制度建設(shè)的主體框架根據(jù)等保2．0新的基本框架和安全要求，可以勾勒出醫(yī)院信息管理制度主體框架。相應(yīng)制度的具體條款及制度的建設(shè)邊界的編制，需參考等保2．0中各部分的具體內(nèi)容描述。另外也要部分參考《中華人民共和國網(wǎng)絡(luò)安全法》，確保制度的建立符合法律法規(guī)的要求。

3持續(xù)改進(jìn)健全醫(yī)院信息管理制度

3．1大型三級(jí)醫(yī)院信息管理制度健全

大型三級(jí)醫(yī)院近幾年通過三級(jí)等保測評(píng)或者電子病歷測評(píng)等，逐步建立了相應(yīng)的醫(yī)院信息管理制度，但現(xiàn)有的信息管理制度建設(shè)也存在一些問題：（1）部分制度不太健全。很多制度有了，但可能沒有明確的操作規(guī)程，也缺少相應(yīng)的記錄表單，需要健全。（2）部分制度需要更新。信息技術(shù)發(fā)展很快，很多的硬件技術(shù)、軟件技術(shù)都在快速更替，制度中的少部分描述會(huì)顯得陳舊，需要考慮予以及時(shí)更新并進(jìn)行版本控制。（3）部分制度得不到有效執(zhí)行。部分制度是為了應(yīng)對某些測評(píng)建立的，實(shí)際工作中并沒有得到有效執(zhí)行。需要結(jié)合等保2．0的規(guī)范要求和醫(yī)院的實(shí)際情況，對制度進(jìn)行相應(yīng)修訂，以確保制度制定的合理性和適用性，并在實(shí)際醫(yī)院信息管理工作中得到落實(shí)。

第6篇：網(wǎng)絡(luò)安全等級(jí)保護(hù)重要性范文

醫(yī)療系統(tǒng)信息安全需求與安全風(fēng)險(xiǎn)分析

安全是一種需要，是人們生存的需要，生活質(zhì)量提高的需要。安全是一個(gè)目標(biāo)，它需要人們?yōu)榇俗龀雠ΑＰ畔踩繕?biāo)是指防止意外事故和惡意攻擊對信息及信息系統(tǒng)安全屬性的破壞，安全屬性包括保密性、完整性、可用性、真實(shí)性、不可否認(rèn)性、可核查性、可靠性[2]和可控性等。對醫(yī)療衛(wèi)生行業(yè)來說，患者生命安全是第一位的，因此，臨床診療信息系統(tǒng)的可用性(可靠性)需求是最重要的。另外，個(gè)人醫(yī)療健康信息是患者的隱私內(nèi)容，隨著《個(gè)人隱私法》的出臺(tái)，對醫(yī)療信息系統(tǒng)的保密性提出了更高的要求。醫(yī)療衛(wèi)生行業(yè)的信息安全需求主要源于兩方面的驅(qū)動(dòng)：一是內(nèi)部自身信息安全需求，二是法律法規(guī)要求。醫(yī)療機(jī)構(gòu)的患者具有隱私權(quán)，為維護(hù)患者的隱私權(quán)，醫(yī)生、護(hù)士和其他員工都有為病人保密的責(zé)任。《中華人民共和國護(hù)士管理辦法》、《中華人民共和國執(zhí)業(yè)醫(yī)師法》、《醫(yī)務(wù)人員醫(yī)德規(guī)范及實(shí)施辦法》、《母嬰保健法》、《傳染病防治法》、《電子病歷基本規(guī)范》，以及即將出臺(tái)的《個(gè)人隱私法》等相關(guān)法規(guī)中都對保護(hù)患者隱私提出了相應(yīng)的要求和規(guī)定。2.1醫(yī)療衛(wèi)生行業(yè)信息安全現(xiàn)狀隨著信息環(huán)境越來越復(fù)雜，以及醫(yī)療衛(wèi)生行業(yè)對信息系統(tǒng)的依賴程度越來越強(qiáng)，信息安全問題越來越突出，患者信息泄露事件、數(shù)據(jù)泄漏、知識(shí)產(chǎn)權(quán)與醫(yī)療機(jī)構(gòu)科研成果被盜用現(xiàn)象頻頻發(fā)生，大規(guī)模的DoS侵入、信息系統(tǒng)遭黑客攻擊、蠕蟲病毒與垃圾郵件泛濫等安全事件逐漸增多，不僅嚴(yán)重影響到醫(yī)療業(yè)務(wù)系統(tǒng)的正常運(yùn)行，還直接威脅到患者的隱私，甚至是患者的生命安危。與其他行業(yè)相比，中國的醫(yī)療衛(wèi)生行業(yè)在信息安全保障領(lǐng)域的工作剛剛起步，雖然部署了一些安全產(chǎn)品，但仍處于“頭疼醫(yī)頭，腳痛醫(yī)腳”的階段，信息安全意識(shí)相對落后，沒有專門的信息安全組織機(jī)構(gòu)，更沒有建立規(guī)范成套的管理制度。從醫(yī)療衛(wèi)生行業(yè)內(nèi)部管理來看，醫(yī)療信息系統(tǒng)面臨著多方面的信息安全風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)主要在于：1)醫(yī)務(wù)工作者信息安全意識(shí)淡薄，領(lǐng)導(dǎo)不夠重視，認(rèn)識(shí)不夠全面，信息安全保障措施投入嚴(yán)重不足，醫(yī)療信息化建設(shè)中，醫(yī)療機(jī)構(gòu)高投入地進(jìn)行信息系統(tǒng)及其網(wǎng)絡(luò)基礎(chǔ)設(shè)施等的建設(shè)，而在信息安全管理與技術(shù)方面考慮、投入?yún)s嚴(yán)重不足，管理措施嚴(yán)重滯后，相關(guān)信息安全規(guī)章制度與操作手冊嚴(yán)重缺乏。2)信息安全需求分析不夠全面，信息安全風(fēng)險(xiǎn)估計(jì)不足。業(yè)務(wù)信息系統(tǒng)、設(shè)備的獲取、采購與檢測程序不夠健全與重視，以及在與第三方的合作時(shí)也沒有識(shí)別出相關(guān)的風(fēng)險(xiǎn)，對第三方人員(如軟件外包人員、工程建設(shè)總包)的審查和管理方面做得不夠，沒有采取措施進(jìn)行相應(yīng)的控制。3)醫(yī)療信息系統(tǒng)的運(yùn)營缺少有效的安全保護(hù)措施和審計(jì)機(jī)制，存在賬號(hào)濫用、業(yè)務(wù)數(shù)據(jù)被非法讀取的風(fēng)險(xiǎn)。另外，醫(yī)療信息系統(tǒng)不是一個(gè)孤立的系統(tǒng)，與合作單位甚至互聯(lián)網(wǎng)都存在接口，存在被黑客入侵、網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。4)醫(yī)療衛(wèi)生行業(yè)內(nèi)外網(wǎng)劃分不清晰，內(nèi)外網(wǎng)隔離安全防范措施缺失，網(wǎng)絡(luò)安全漏洞比其他行業(yè)更加嚴(yán)重，導(dǎo)致可能存在醫(yī)療信息系統(tǒng)的核心業(yè)務(wù)信息通過互聯(lián)網(wǎng)泄密與被黑客入侵的風(fēng)險(xiǎn)。隨著醫(yī)療手段越來越依賴網(wǎng)絡(luò)，網(wǎng)絡(luò)故障可以像電源故障那樣導(dǎo)致醫(yī)生手術(shù)的中斷，直接危及患者的生命。2.2醫(yī)療衛(wèi)生行業(yè)信息安全風(fēng)險(xiǎn)分析醫(yī)療衛(wèi)生行業(yè)信息安全風(fēng)險(xiǎn)分析是指對醫(yī)療衛(wèi)生行業(yè)信息系統(tǒng)及重要信息資產(chǎn)面臨的安全風(fēng)險(xiǎn)進(jìn)行分析與評(píng)價(jià)的過程，在該過程中要識(shí)別信息系統(tǒng)的價(jià)值、內(nèi)在的脆弱性及所面臨的外部威脅，進(jìn)而確定威脅利用弱點(diǎn)導(dǎo)致安全事件發(fā)生的概率，最終確定風(fēng)險(xiǎn)的大小或等級(jí)。為了便于實(shí)際分析工作，根據(jù)醫(yī)療衛(wèi)生行業(yè)信息系統(tǒng)功能的不同，依次劃分為幾個(gè)方面，分別是綜合管理系統(tǒng)、醫(yī)療診斷信息系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、硬件信息系統(tǒng)(包含網(wǎng)絡(luò)設(shè)備)、重要信息載體以及掌握重要信息的醫(yī)務(wù)工作者等。雖然由于醫(yī)療系統(tǒng)各系統(tǒng)獨(dú)立性強(qiáng)的特點(diǎn)，孤立地分析單個(gè)信息系統(tǒng)所面臨的風(fēng)險(xiǎn)對醫(yī)療機(jī)構(gòu)而言意義重大，但同時(shí)更要綜合考慮整體業(yè)務(wù)的正常運(yùn)營。醫(yī)療結(jié)構(gòu)的重要業(yè)務(wù)是患者的健康安全，因此應(yīng)考慮以患者健康安全為中心來進(jìn)行信息安全風(fēng)險(xiǎn)分析工作。醫(yī)療機(jī)構(gòu)的整體信息安全風(fēng)險(xiǎn)是各個(gè)業(yè)務(wù)的風(fēng)險(xiǎn)與其相應(yīng)的業(yè)務(wù)重要性加權(quán)值之積的和。信息安全風(fēng)險(xiǎn)分析結(jié)果可以作為信息安全等級(jí)保護(hù)工作有力的支持與依據(jù)。

醫(yī)療衛(wèi)生行業(yè)信息系統(tǒng)等級(jí)保護(hù)體系化實(shí)施

(1)等級(jí)保護(hù)實(shí)施計(jì)劃階段即信息系統(tǒng)識(shí)別定級(jí)與備案，在此階段：1)要明確的是醫(yī)療機(jī)構(gòu)的信息安全需求與國家針對醫(yī)療行業(yè)等級(jí)保護(hù)的要求。2)要明確醫(yī)療機(jī)構(gòu)等級(jí)保護(hù)的范圍或要保護(hù)的對象，談到信息安全時(shí)，許多人的視野往往停留在數(shù)據(jù)化的信息本身，這無疑過于狹窄。醫(yī)療系統(tǒng)信息安全保障的對象是應(yīng)用業(yè)務(wù)信息系統(tǒng)、主機(jī)與主機(jī)系統(tǒng)、網(wǎng)絡(luò)與通信設(shè)備、環(huán)境與設(shè)備、患者信息數(shù)據(jù)、科研成果與知識(shí)專利等。3)針對各醫(yī)療系統(tǒng)進(jìn)行科學(xué)的定級(jí)，應(yīng)根據(jù)各科室的工作職能、重要性、所涉及信息的重要程度等因素進(jìn)行科學(xué)定級(jí)，在信息系統(tǒng)的定級(jí)過程中可以參考信息安全風(fēng)險(xiǎn)分析的情況，確定系統(tǒng)的安全等級(jí)，并找出系統(tǒng)安全現(xiàn)狀與等級(jí)要求的差距，形成完整準(zhǔn)確的信息安全需求。信息系統(tǒng)定級(jí)針對不同的安全域確定不同的等級(jí)，在同一個(gè)系統(tǒng)里，還允許劃分不同的安全域，在每個(gè)安全域可以分別定級(jí)，遵循“誰建設(shè)、誰定級(jí)”的原則。安全技術(shù)框架包括：安全技術(shù)設(shè)施體系、信息系統(tǒng)的獲取開發(fā)維護(hù)體系、安全運(yùn)維體系、數(shù)據(jù)系統(tǒng)安全體系、網(wǎng)絡(luò)與通信安全體系、訪問控制安全體系以及計(jì)算機(jī)環(huán)境安全體系等。安全管理框架包括：安全策略體系、安全組織體系、物理環(huán)境安全體系、合規(guī)性安全體系、安全事件管理體系、安全風(fēng)險(xiǎn)分析體系以及信息安全人才培養(yǎng)體系等，并使用符合國家有關(guān)規(guī)定的信息安全技術(shù)與產(chǎn)品。安全檢查階段的主要工作是對信息安全技術(shù)與管理兩方面工作的落實(shí)程度與效果進(jìn)行分析和評(píng)價(jià)，判斷建立的信息安全保障體系是否符合相關(guān)的標(biāo)準(zhǔn)要求，是否滿足預(yù)期的效果，及對信息安全保障工作的符合性、有效性、充分性與適宜性進(jìn)行評(píng)價(jià)，包括信息系統(tǒng)主機(jī)審計(jì)與應(yīng)用審計(jì)。檢查的目的是為了更好的改進(jìn)，信息安全等級(jí)保護(hù)措施在改進(jìn)過程中要嚴(yán)格按照國家的相關(guān)標(biāo)準(zhǔn)，結(jié)合信息系統(tǒng)的實(shí)際情況，逐項(xiàng)進(jìn)行安全風(fēng)險(xiǎn)分析。根據(jù)安全風(fēng)險(xiǎn)分析的結(jié)果，對部分保護(hù)要求進(jìn)行適當(dāng)?shù)恼{(diào)整和整改。調(diào)整應(yīng)以不降低信息系統(tǒng)整體安全保護(hù)強(qiáng)度，確保患者生命安全為原則。

作者：陳曉雷 單位：北京網(wǎng)御星云信息技術(shù)有限公司

第7篇：網(wǎng)絡(luò)安全等級(jí)保護(hù)重要性范文

關(guān)鍵詞：高效便捷；醫(yī)院計(jì)算機(jī)；安全問題；防御結(jié)構(gòu)

前言

隨著網(wǎng)絡(luò)時(shí)代的到來，各項(xiàng)科技技術(shù)獲得了極大的突破，也在實(shí)際生活中得以應(yīng)用。而在現(xiàn)代醫(yī)院運(yùn)行管理中，計(jì)算機(jī)網(wǎng)絡(luò)信息技術(shù)的綜合運(yùn)用便是極為明顯的可靠實(shí)例。通過加強(qiáng)改進(jìn)醫(yī)院計(jì)算機(jī)系統(tǒng)管理與風(fēng)險(xiǎn)控制，改善醫(yī)療整體服務(wù)質(zhì)量與業(yè)務(wù)能力。通過對現(xiàn)代醫(yī)院計(jì)算機(jī)信息系統(tǒng)重要性分析闡述，并對其風(fēng)險(xiǎn)控制方法提出建議。

1醫(yī)院計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)建立的重要性

由于網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，已經(jīng)對現(xiàn)代社會(huì)，生活，政治，經(jīng)濟(jì)等各方面產(chǎn)生深遠(yuǎn)影響，深入滲透。尤其在醫(yī)院現(xiàn)代化管理中，醫(yī)院信息網(wǎng)絡(luò)化管理，資源數(shù)據(jù)化帶來了非常大的便利，也是現(xiàn)代化醫(yī)院建立的必要條件。借助計(jì)算機(jī)網(wǎng)絡(luò)工具，提高服務(wù)質(zhì)量，醫(yī)療水平，促進(jìn)醫(yī)療事業(yè)的發(fā)展。通過信息網(wǎng)絡(luò)管理后，使醫(yī)院運(yùn)營得更加規(guī)范科學(xué)。不僅推動(dòng)了醫(yī)院現(xiàn)代化改革，也對整個(gè)醫(yī)療事業(yè)的發(fā)展提供了助力，其意義與作用不言而喻。傳統(tǒng)的醫(yī)院管理中，由于缺乏網(wǎng)絡(luò)信息，往往花費(fèi)大量的財(cái)力物力人力對進(jìn)行日常維護(hù)。隨著醫(yī)院計(jì)算機(jī)信息系統(tǒng)的引入，不斷地智能化科學(xué)化，在很大程度上對醫(yī)院的資源配置進(jìn)行合理優(yōu)化，提高了整體的醫(yī)療競爭力。而在信息分析處理中，因?yàn)橛?jì)算機(jī)的決策整合，使得最終處理結(jié)果更加合理精確。例如在對患者病情記錄分析中，職員考察考核等等，都可以高速便捷的展開研究。

2計(jì)算機(jī)軟件信息安全維護(hù)

在醫(yī)院計(jì)算機(jī)使用過程中，要做到醫(yī)院計(jì)算機(jī)自身終端完全不受干擾破壞是不可能的，只有通過提高免疫防御能力，才能減少被感染可能性。但是由于有的高危病毒，傳播速度驚人，破壞力極大，并且頑固復(fù)雜，難以徹底清除，在短時(shí)間內(nèi)就能造成大量客戶計(jì)算機(jī)無法工作，對醫(yī)院日常的工作帶來了極大的影響。應(yīng)用系統(tǒng)在數(shù)據(jù)交換過程中可以對其進(jìn)行審計(jì)，其中記錄的事件內(nèi)容，可能包括客戶機(jī)地址，具體操作時(shí)間，與其他用戶結(jié)果信息數(shù)據(jù)。在日常維護(hù)處理中，就可以對報(bào)告結(jié)果導(dǎo)出分析。對于用戶私人數(shù)據(jù)，也應(yīng)該建立嚴(yán)格的保護(hù)機(jī)制，安全性，只有通過權(quán)限授予才能訪問讀取相關(guān)的信息數(shù)據(jù)。同時(shí)為了保證關(guān)聯(lián)性，可以對用戶設(shè)置多個(gè)角色。系統(tǒng)根據(jù)角色類別進(jìn)行權(quán)限操作限制，不僅可以越權(quán)操作，還可以設(shè)置角色屬性限制期的功能，權(quán)限的多樣化和靈活性大大保證了醫(yī)院計(jì)算機(jī)信息系統(tǒng)的安全性。

3計(jì)算機(jī)信息安全管理制度建立

在安全管理中，可以實(shí)施責(zé)任制度。例如成立醫(yī)院信息安全管理組，醫(yī)院相關(guān)負(fù)責(zé)人，以職能為參考標(biāo)準(zhǔn)，負(fù)責(zé)安全線的各項(xiàng)工作，定期安排任務(wù)與會(huì)議總結(jié)，發(fā)現(xiàn)問題，總結(jié)問題，進(jìn)而深化部署醫(yī)院計(jì)算機(jī)信息安全管理工作。在制度的建立中，可以參考服務(wù)器，網(wǎng)絡(luò)設(shè)備，技術(shù)人員，數(shù)據(jù)文檔相關(guān)系列的安全管理制度體系。指定人員定期維護(hù)，保存記錄，做好應(yīng)急預(yù)案與應(yīng)急措施，做到日志化管理。對于信息安全操作規(guī)范，也需要加強(qiáng)管理。指定系統(tǒng)軟件，數(shù)據(jù)操作規(guī)范流程，沒有授權(quán)不能進(jìn)行文件復(fù)制，數(shù)據(jù)共享，系統(tǒng)的修改增刪。定期維護(hù)服務(wù)器狀態(tài)檢查，分析日志，并且觀測數(shù)據(jù)是否存在問題，及時(shí)發(fā)現(xiàn)異常點(diǎn)，做好日志記錄，保證完整性與可靠性。可以制定培訓(xùn)計(jì)劃，在整個(gè)培訓(xùn)中，目標(biāo)，流程，結(jié)果應(yīng)該清晰有效，如果信息安全管理小組發(fā)生變化可以及時(shí)跟進(jìn)培訓(xùn)配合，建立獨(dú)立操作局域網(wǎng)，模擬真實(shí)的信息系統(tǒng)環(huán)境，幫助相關(guān)人員快速準(zhǔn)確掌握方法。

4信息系統(tǒng)安全管理控制升級(jí)

4.1信息安全細(xì)節(jié)化設(shè)計(jì)

醫(yī)院網(wǎng)絡(luò)安全數(shù)字化是一個(gè)長期整體的系統(tǒng)工程，主要圍繞防護(hù)警示，檢測檢查，修改恢復(fù)這一過程循環(huán)運(yùn)行。如果這一程序鏈中出現(xiàn)錯(cuò)誤，某個(gè)環(huán)節(jié)沒有按照預(yù)定設(shè)置完成，將會(huì)產(chǎn)生諸多負(fù)面影響。控制好每一個(gè)環(huán)節(jié)的處理，并且嚴(yán)格落實(shí)，通過一系列的管理制度與措施，監(jiān)督責(zé)任到位，確保整個(gè)信息安全系統(tǒng)安全高效，持續(xù)穩(wěn)定的工作。由于網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，漏洞與不足暴露得越來越多，對于新應(yīng)用新技術(shù)推廣的同時(shí)，還需要加強(qiáng)培訓(xùn)，以滿足業(yè)務(wù)工作需要。就信息網(wǎng)絡(luò)系統(tǒng)自身而言，采用符合實(shí)際操作情況與工作狀態(tài)的結(jié)構(gòu)系統(tǒng)，安全等級(jí)與維護(hù)難度都將能夠降低難度，易于操作。構(gòu)建多層次，體系化的設(shè)計(jì)使用戶角色等級(jí)，權(quán)限操作，優(yōu)先等級(jí)分布到更多層次，更多日志記錄。那么后續(xù)維護(hù)，控制分配也將更加靈敏。結(jié)合具體的業(yè)務(wù)情況，在可用性與安全性之間尋找平衡點(diǎn)，在符合安全的大前提下，開拓業(yè)務(wù)，提升服務(wù)質(zhì)量。

4.2醫(yī)院計(jì)算機(jī)信息安全風(fēng)險(xiǎn)控制升級(jí)

在某些醫(yī)院中，計(jì)算機(jī)網(wǎng)絡(luò)防御等級(jí)較低，需要通過加強(qiáng)安全性對整個(gè)系統(tǒng)進(jìn)行升級(jí)。首先需要確保醫(yī)院計(jì)算機(jī)信息網(wǎng)絡(luò)服務(wù)器保持正常。要確定系統(tǒng)的長期安全。注意機(jī)房服務(wù)供電情況，布線合理，溫度濕度，雷電預(yù)防等問題。保證醫(yī)院服務(wù)器不間斷供電，保持電源線路通暢。同時(shí)主要設(shè)備與核心設(shè)備固定器維護(hù)與檢查，及時(shí)發(fā)現(xiàn)問題與前兆，快速有效處理。保證計(jì)算機(jī)中心溫控與散熱條件良好，使得整個(gè)服務(wù)器中心環(huán)境到達(dá)理想狀態(tài)。保持清潔，除塵保潔，重視物理環(huán)境的維護(hù)，并且確保數(shù)據(jù)的及時(shí)正確備份。另外，對于醫(yī)院計(jì)算機(jī)信息主要管理人員的素質(zhì)，仍然需要加強(qiáng)，明確權(quán)力責(zé)任，落實(shí)到點(diǎn)。這也關(guān)系到醫(yī)院信息安全工作能否安全運(yùn)行。對于網(wǎng)絡(luò)用戶也應(yīng)該嚴(yán)格限制管理，分清患者、醫(yī)務(wù)職員、管理人員的角色職能。對用戶和密碼加強(qiáng)管理，這樣可以有效的避免危險(xiǎn)數(shù)據(jù)與不明軟件對服務(wù)器的攻擊與傷害。同時(shí)重視日常計(jì)算機(jī)系統(tǒng)相關(guān)記錄數(shù)據(jù)。在常規(guī)服務(wù)日志的檢測基礎(chǔ)上，加以分析預(yù)判，進(jìn)而實(shí)施下一步相關(guān)措施。例如服務(wù)器啟動(dòng)停止，異常運(yùn)行數(shù)等等，都可以有助于信息系統(tǒng)管理者對醫(yī)院計(jì)算機(jī)信息系統(tǒng)的全面了解，從而進(jìn)行評(píng)估，得出相關(guān)結(jié)論。依托數(shù)據(jù)對系統(tǒng)的安全等級(jí)展開定級(jí)，制定有效制度措施防范解決問題，確保整個(gè)信息系統(tǒng)的安全和高效，達(dá)到風(fēng)險(xiǎn)管理控制的目的。

5結(jié)束語

提高安全防范意識(shí)，完善制度，對于醫(yī)院計(jì)算機(jī)信息安全風(fēng)險(xiǎn)管理控制方法不僅僅需要從技術(shù)角度入手，自身也需要意識(shí)到它的重要性。這不僅關(guān)系到醫(yī)院的整體協(xié)作與工作效率，還影響所有部門員工統(tǒng)一性。需要全面了解當(dāng)前信息系統(tǒng)中的安全問題，并積極應(yīng)對。因此在提高技術(shù)的同時(shí)，依靠建立制度對員工進(jìn)行規(guī)范管理，提高防范意識(shí)，確保醫(yī)院計(jì)算機(jī)信息系統(tǒng)安全。

參考文獻(xiàn)

[1]馮成志.淺談現(xiàn)代醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)的安全與可靠性[J].科技與創(chuàng)新，2014（7）：143-144.

[2]燕磊.淺談醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)安全策略[J].網(wǎng)友世界，2014（2）：10.

第8篇：網(wǎng)絡(luò)安全等級(jí)保護(hù)重要性范文

關(guān)鍵詞：民航 信息網(wǎng)絡(luò) 系統(tǒng)安

一、民航信息網(wǎng)絡(luò)系統(tǒng)安全問題分析

近年來，隨著我國經(jīng)濟(jì)水平的不斷提升，大幅度推動(dòng)民航領(lǐng)域的發(fā)展，在這一背景下，民航的信息網(wǎng)絡(luò)系統(tǒng)隨之進(jìn)入建設(shè)高峰期，該系統(tǒng)除與飛機(jī)的飛行安全有關(guān)之外，還與空防和運(yùn)行安全有著極為密切的關(guān)聯(lián)，一旦系統(tǒng)出現(xiàn)問題，輕則會(huì)影響民航的正常運(yùn)營，嚴(yán)重時(shí)將會(huì)危及到飛機(jī)的飛行安全，極有可能造成巨大的經(jīng)濟(jì)損失。如某機(jī)場的空管飛行數(shù)據(jù)處理系統(tǒng)發(fā)生故障，致使機(jī)場的空管雷達(dá)無法提供正常的數(shù)據(jù)，直接導(dǎo)致70余架航班不能按時(shí)起落降，數(shù)千名乘客的出行受到影響；又如，某航空公司的電子客票系統(tǒng)被黑客入侵，導(dǎo)致多名乘客的機(jī)票信息泄露，媒體報(bào)道后，造成嚴(yán)重的社會(huì)影響，諸如此類事件不勝枚舉。

通過對國內(nèi)一些航空公司進(jìn)行調(diào)查后發(fā)現(xiàn)，絕大部分都曾經(jīng)發(fā)生過信息網(wǎng)絡(luò)安全事件，在誘發(fā)安全事件的原因中，計(jì)算機(jī)病毒、木馬、電腦蠕蟲等所占的比例較大，約為70-80%左右，網(wǎng)頁被惡意篡改、端口掃描等網(wǎng)絡(luò)攻擊約為20-30%左右。上述安全事件之所以會(huì)頻繁發(fā)生，主要是因?yàn)槊窈叫畔⒕W(wǎng)絡(luò)系統(tǒng)的安全防護(hù)水平不高，給惡意入侵、黑客攻擊提供了可能。鑒于此，必須從管理和技術(shù)兩個(gè)方面著手，加強(qiáng)民航信息網(wǎng)絡(luò)安全建設(shè)。

二、民航信息網(wǎng)絡(luò)安全建設(shè)策略

為確保民航信息網(wǎng)絡(luò)系統(tǒng)安全，必須建立起一套科學(xué)合理、切實(shí)可行的安全管理制度，并采取先進(jìn)的技術(shù)措施，提高系統(tǒng)的安全等級(jí)。

（一）加強(qiáng)安全管理

1.構(gòu)建完善的制度體系。民航信息網(wǎng)絡(luò)系統(tǒng)的安全離不開管理，而想要使管理發(fā)揮出應(yīng)有的成效，就必須構(gòu)建起一套較為完整的制度體系。各大航空公司應(yīng)當(dāng)結(jié)合自身的實(shí)際情況，并總結(jié)以往的經(jīng)驗(yàn)教訓(xùn)，量身定制安全計(jì)劃和方案，如網(wǎng)絡(luò)信息安全等級(jí)保護(hù)與分級(jí)保護(hù)、安全通報(bào)制度等等，確保所有的安全管理工作都能有制度可依。與此同時(shí)，還應(yīng)不斷加強(qiáng)對相關(guān)人員的管理，提高他們的安全意識(shí)，從根本上保證信息網(wǎng)絡(luò)系統(tǒng)的安全性。

2.做好管理維護(hù)工作。民航信息網(wǎng)絡(luò)系統(tǒng)是由諸多設(shè)備組成，想要保證系統(tǒng)的安全，就必須做好運(yùn)行設(shè)備的維護(hù)管理。鑒于民航信息網(wǎng)絡(luò)系統(tǒng)的特點(diǎn)，即啟動(dòng)后不能隨意關(guān)閉，因此，可從如下幾個(gè)方面保證系統(tǒng)安全、穩(wěn)定運(yùn)行：①控制主機(jī)溫度。可在信息網(wǎng)絡(luò)系統(tǒng)建設(shè)時(shí)，為相關(guān)的硬件設(shè)施配備一套雙機(jī)熱備加磁盤陣列，這樣能夠確保網(wǎng)絡(luò)信息系統(tǒng)的安全性，同時(shí)可以選用小型機(jī)作為民航運(yùn)營數(shù)據(jù)庫或是離港系統(tǒng)的服務(wù)器，該服務(wù)器采用的是分布式架構(gòu)，其能夠在確保安全的基礎(chǔ)上，提高系統(tǒng)的可用性。②定期檢查。民航信息網(wǎng)絡(luò)系統(tǒng)中，有一些軟件的可靠性相對較低，若是大量用戶同時(shí)上線可能會(huì)導(dǎo)致系統(tǒng)死機(jī)的問題發(fā)生，通過定期的檢查，能及時(shí)發(fā)現(xiàn)問題，并進(jìn)行升級(jí)維護(hù)，由此不但能夠提高系統(tǒng)運(yùn)行效率，而且還能確保\行安全。

（二）安全技術(shù)措施

民航在進(jìn)行信息網(wǎng)絡(luò)系統(tǒng)安全建設(shè)的過程中，要采取合理可行的技術(shù)措施，為信息網(wǎng)絡(luò)系統(tǒng)的安全保駕護(hù)航。

1.入侵檢測技術(shù)。該技術(shù)是近年來興起的一種網(wǎng)絡(luò)信息安全防范技術(shù)，其能夠通過對網(wǎng)絡(luò)信息系統(tǒng)的審計(jì)數(shù)據(jù)、安全日志等進(jìn)行檢測，找出入侵以及入侵企圖，這種技術(shù)最為主要的作用是對網(wǎng)絡(luò)信息系統(tǒng)的入侵和攻擊進(jìn)行監(jiān)控，進(jìn)而采取相應(yīng)的措施加以應(yīng)對，從而確保系統(tǒng)的安全。民航可基于該技術(shù)構(gòu)建一套相對完善的IDS系統(tǒng)，運(yùn)用該系統(tǒng)對外部的非法入侵以及內(nèi)部用戶的非授權(quán)行為進(jìn)行檢測，發(fā)現(xiàn)并報(bào)告網(wǎng)絡(luò)信息系統(tǒng)中的異常現(xiàn)象，對針對信息網(wǎng)絡(luò)系統(tǒng)安全的行為做出及時(shí)有效地應(yīng)對。

2.身份認(rèn)證技術(shù)。該技術(shù)具體是對系統(tǒng)操作者身份的確認(rèn)，其能夠借助網(wǎng)絡(luò)防火墻、安全網(wǎng)關(guān)等，對信息網(wǎng)絡(luò)系統(tǒng)的用戶身份權(quán)限進(jìn)行管理，民航的信息網(wǎng)絡(luò)系統(tǒng)一般只能對操作者的數(shù)字身份信息進(jìn)行識(shí)別，而通過身份認(rèn)證技術(shù)的應(yīng)用，則可有效解決系統(tǒng)操作者物理與數(shù)字身份的對應(yīng)問題，由此為系統(tǒng)的權(quán)限管理提供了可靠依據(jù)。民航在進(jìn)行信息網(wǎng)絡(luò)系統(tǒng)建設(shè)時(shí)，可以采用以下幾種方式對系統(tǒng)操作者的身份進(jìn)行認(rèn)證：用戶名+密碼；用戶基本信息驗(yàn)證，如證件號(hào)碼、信用卡號(hào)等；特征識(shí)別，如視網(wǎng)膜、指紋、聲音等。此外，還可以采用USB key，這樣可以進(jìn)一步提升系統(tǒng)的安全性能。

3.加密與數(shù)字簽名。這是目前保障網(wǎng)絡(luò)信息系統(tǒng)及數(shù)據(jù)安全最為常用的一種技術(shù)，它能夠有效防止各種機(jī)密數(shù)據(jù)被外部竊取、更改，對于信息安全具有極強(qiáng)的保證。具體應(yīng)用時(shí)，可對一些重要的文件進(jìn)行加密，這樣即便有非法用戶入侵到系統(tǒng)當(dāng)中也無法查看加密文件的內(nèi)容，加密后等于給文件上鎖，其安全性自然會(huì)獲得保證。而數(shù)字簽名則可確保用戶收到的郵件均為所需用戶發(fā)送而來，可有效防止垃圾郵件。民航在信息網(wǎng)絡(luò)系統(tǒng)安全建設(shè)時(shí)，可合理運(yùn)用加密和數(shù)字簽名技術(shù)，為各類重要信息提供安全保障。

4.網(wǎng)路防火墻。民航在進(jìn)行信息網(wǎng)絡(luò)安全建設(shè)時(shí)，應(yīng)當(dāng)選用高端的防火墻產(chǎn)品，除要具備防火墻的基本功能之外，還應(yīng)兼具VPN網(wǎng)關(guān)功能，建議采用分組過濾式防火墻或是雙穴網(wǎng)關(guān)防火墻，同時(shí)要考慮不同接入方式的適應(yīng)性。需要注意的是，防火墻要選用正版的，并定期進(jìn)行升級(jí)，這樣才能使其作用得以最大限度地發(fā)揮。

三、結(jié)語

綜上所述，民航信息網(wǎng)絡(luò)安全的重要性不言而喻，因此，必須做好信息網(wǎng)絡(luò)系統(tǒng)的安全建設(shè)工作，民航企業(yè)可以結(jié)合自身的實(shí)際情況，制定科學(xué)的管理制度，并采取先進(jìn)的技術(shù)措施，提高系統(tǒng)的安全性，這樣不但能減少或是杜絕各類安全事件的發(fā)生，而且還有利于促進(jìn)我國民航事業(yè)的持續(xù)發(fā)展。

參考文獻(xiàn)：

[1]余焰，余凱.以空管信息為核心，建立民航信息集成共享系統(tǒng)空管系統(tǒng)信息網(wǎng)絡(luò)建設(shè)需求分析[J].黑龍江科技信息，2015，（04）.

[2]梁有程.分組交換技術(shù)在民航數(shù)據(jù)通信網(wǎng)絡(luò)中的應(yīng)用探析[J].電信網(wǎng)技術(shù)，2015，（07）.

[3]趙航.以安全保障為前提的民航空管信息系統(tǒng)安全體系的研究[J].科技經(jīng)濟(jì)市場，2014，（07）.

第9篇：網(wǎng)絡(luò)安全等級(jí)保護(hù)重要性范文

 

隨著云計(jì)算、大數(shù)據(jù)等新興技術(shù)的不斷發(fā)展，企業(yè)信息化、智能化程度、網(wǎng)絡(luò)化、數(shù)字化程度越來越高，人類社會(huì)進(jìn)入到以大數(shù)據(jù)為主要特征的知識(shí)文明時(shí)代。大數(shù)據(jù)是企業(yè)的重要財(cái)富，正在成為企業(yè)一種重要的生產(chǎn)資料，成為企業(yè)創(chuàng)新、競爭、業(yè)務(wù)提升的前沿。大數(shù)據(jù)正在成為企業(yè)未來業(yè)務(wù)發(fā)展的重要戰(zhàn)略方向，大數(shù)據(jù)將引領(lǐng)企業(yè)實(shí)現(xiàn)業(yè)務(wù)跨越式發(fā)展;同時(shí)，由此帶來的信息安全風(fēng)險(xiǎn)挑戰(zhàn)前所未有，遠(yuǎn)遠(yuǎn)超出了傳統(tǒng)意義上信息安全保障的內(nèi)涵，對于眾多大數(shù)據(jù)背景下涉及的信息安全問題，很難通過一套完整的安全產(chǎn)品和服務(wù)從根本上解決安全隱患。

 

自2008年國際綜合性期刊《Nature》發(fā)表有關(guān)大數(shù)據(jù)(Big Data)的專刊以來，面向各應(yīng)用領(lǐng)域的大數(shù)據(jù)分析更成為各行業(yè)及信息技術(shù)方向關(guān)注的焦點(diǎn)。大數(shù)據(jù)的固有特征使得傳統(tǒng)安全機(jī)制和方法顯示出不足。本文系統(tǒng)分析了大數(shù)據(jù)時(shí)代背景下的企業(yè)信息系統(tǒng)存在的主要信息安全脆弱性、信息安全威脅以及信息安全風(fēng)險(xiǎn)問題，并有針對性地提出相應(yīng)的信息安全保障策略，為大數(shù)據(jù)背景下的企業(yè)信息安全保障提供一定指導(dǎo)的作用。

 

1 大數(shù)據(jù)基本內(nèi)涵

 

大數(shù)據(jù)(Big Data)，什么是大數(shù)據(jù)，目前還沒有形成統(tǒng)一的共識(shí)。網(wǎng)絡(luò)企業(yè)普遍將大數(shù)據(jù)定義為數(shù)據(jù)量與數(shù)據(jù)類型復(fù)雜到在合理時(shí)間內(nèi)無法通過當(dāng)前的主流數(shù)據(jù)庫管理軟件生成、獲取、傳輸、存儲(chǔ)、處理，管理、分析挖掘、應(yīng)用決策以及銷毀等的大型數(shù)據(jù)集。大數(shù)據(jù)具有4V特征(Volume，Varity，Value，Velocity)，即數(shù)據(jù)量大、數(shù)據(jù)類型多、數(shù)據(jù)價(jià)值密度低、數(shù)據(jù)處理速度快。

 

2011年麥肯錫咨詢公司了《大數(shù)據(jù)：下一個(gè)創(chuàng)新、競爭和生產(chǎn)力的變革領(lǐng)域》[1]的研究報(bào)告，引起了信息產(chǎn)業(yè)界的廣泛關(guān)注。美國谷歌公司(Google)、國際商業(yè)機(jī)器公司(IBM)、美國易安信公司(EMC)、臉書(Facebook)等公司相繼開始了大數(shù)據(jù)應(yīng)用、分析、存儲(chǔ)、管理等相關(guān)技術(shù)的研究，并推出各自的大數(shù)據(jù)解決框架、方案以及產(chǎn)品。例如，阿帕奇軟件基金會(huì)(Apache)組織推出的Hadoop大數(shù)據(jù)分析框架，谷歌公司推出的BigTable、GFS(Google File System)、MapReduce等技術(shù)框架等，這些研究成果為隨后的大數(shù)據(jù)應(yīng)用迅猛發(fā)展提供了便利的條件。2012年3月，美國奧巴馬總統(tǒng)了2億美元的“Big Data Initiative”(大數(shù)據(jù)研究和發(fā)展計(jì)劃)，該計(jì)劃涉及能源、國防、醫(yī)療、基礎(chǔ)科學(xué)等領(lǐng)域的155個(gè)項(xiàng)目種類，該計(jì)劃極大地推動(dòng)了大數(shù)據(jù)技術(shù)的創(chuàng)新與應(yīng)用，標(biāo)志著奧巴馬政府將大數(shù)據(jù)戰(zhàn)略從起初的政策層提升到國家戰(zhàn)略層。

 

同時(shí)，我國對大數(shù)據(jù)的認(rèn)識(shí)、應(yīng)用及相關(guān)技術(shù)服務(wù)等也在不斷提高，企業(yè)界一致認(rèn)同大數(shù)據(jù)在降低企業(yè)經(jīng)營運(yùn)營成本、提升管理層決策效率、提高企業(yè)經(jīng)濟(jì)效益等方面具有廣闊的應(yīng)用前景，相繼大數(shù)據(jù)相關(guān)戰(zhàn)略文件，同時(shí)國家組織在民生、國防等重要領(lǐng)域投入大量的人力物力進(jìn)行相關(guān)技術(shù)研究與創(chuàng)新實(shí)踐。

 

中國移動(dòng)通信公司在已有的云計(jì)算平臺(tái)基礎(chǔ)上，開展了大量大數(shù)據(jù)應(yīng)用研究，力圖將數(shù)據(jù)信息轉(zhuǎn)化為商業(yè)價(jià)值，促進(jìn)業(yè)務(wù)創(chuàng)新。例如，通過挖掘用戶的移動(dòng)互聯(lián)網(wǎng)行為特征，助力市場決策;利用信令數(shù)據(jù)支撐終端、網(wǎng)絡(luò)、業(yè)務(wù)平臺(tái)關(guān)聯(lián)分析，優(yōu)化網(wǎng)絡(luò)質(zhì)量。商業(yè)銀行也相繼開展了經(jīng)融大數(shù)據(jù)研究，提升銀行的競爭力。例如，通過對用戶數(shù)據(jù)分析開展信用評(píng)估，降低企業(yè)風(fēng)險(xiǎn);從細(xì)粒度的級(jí)別進(jìn)行客戶數(shù)據(jù)分析，為不同客戶提供個(gè)性化的產(chǎn)品與服務(wù)，提升銀行的服務(wù)效率。總而言之，大數(shù)據(jù)正在帶來一場顛覆性的革命，將會(huì)推動(dòng)整個(gè)社會(huì)取得全面進(jìn)步。

 

2 大數(shù)據(jù)安全研究現(xiàn)狀

 

在大數(shù)據(jù)計(jì)算和分析過程中，安全是不容忽視的。大數(shù)據(jù)的固有特征對現(xiàn)有的安全標(biāo)準(zhǔn)、安全體系架構(gòu)、安全機(jī)制等都提出了新的挑戰(zhàn)。目前對大數(shù)據(jù)完整性的研究主要包括兩方面，一是對數(shù)據(jù)完整性的檢測;二是對完整性被破壞的數(shù)據(jù)的恢復(fù)。在完整性檢測方面，數(shù)據(jù)量的增大使傳統(tǒng)的MD5、SHA1等效率較低的散列校驗(yàn)方法不再適用，驗(yàn)證者也無法將全部數(shù)據(jù)下載到本地主機(jī)后再進(jìn)行驗(yàn)證。

 

面向大數(shù)據(jù)的高效隱私保護(hù)方法方面，高效、輕量級(jí)的數(shù)據(jù)加密已有多年研究，雖然可用于大數(shù)據(jù)加密，但加密后數(shù)據(jù)不具可用性。保留數(shù)據(jù)可用性的非密碼學(xué)的隱私保護(hù)方法因而得到了廣泛的研究和應(yīng)用。這些方法包括數(shù)據(jù)隨機(jī)化、k-匿名化、差分隱私等。

 

這些方法在探究隱私泄漏的風(fēng)險(xiǎn)、提高隱私保護(hù)的可信度方面還有待深入，也不能適應(yīng)大數(shù)據(jù)的海量性、異構(gòu)性和時(shí)效性。在隱私保護(hù)下大數(shù)據(jù)的安全計(jì)算方面，很多應(yīng)用領(lǐng)域中的安全多方計(jì)算問題都在半誠實(shí)模型中得到了充分的研究，采用的方法包括電路賦值(Circuit Evaluation)、遺忘傳輸(Oblivious Transfer)、同態(tài)加密等。通過構(gòu)造零知識(shí)證明，可以將半誠實(shí)模型中的解決方法轉(zhuǎn)換到惡意模型中。而在多方參與、涉及大量數(shù)據(jù)處理的計(jì)算問題，目前研究的主要缺陷是惡意模型中方法的復(fù)雜度過高，不適應(yīng)多方參與、多協(xié)議執(zhí)行的復(fù)雜網(wǎng)絡(luò)環(huán)境。

 

企業(yè)大數(shù)據(jù)技術(shù)是指大數(shù)據(jù)相關(guān)技術(shù)在企業(yè)的充分應(yīng)用，即對企業(yè)業(yè)務(wù)、生產(chǎn)、監(jiān)控、監(jiān)測等信息系統(tǒng)在運(yùn)行過程中涉及的海量數(shù)據(jù)進(jìn)行抽取、傳輸、存儲(chǔ)、處理，管理、分析挖掘、應(yīng)用決策以及銷毀等，實(shí)現(xiàn)大數(shù)據(jù)對企業(yè)效率的提升、效益的增值以及風(fēng)險(xiǎn)的預(yù)測等。

 

企業(yè)的大數(shù)據(jù)類型通常主要包括業(yè)務(wù)經(jīng)營數(shù)據(jù)即客戶信息數(shù)據(jù)、企業(yè)的生產(chǎn)運(yùn)營與管理數(shù)據(jù)以及企業(yè)的設(shè)備運(yùn)行數(shù)據(jù)等，即客戶信息數(shù)據(jù)、員工信息數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)、物資數(shù)據(jù)、系統(tǒng)日志、設(shè)備監(jiān)測數(shù)據(jù)、調(diào)度數(shù)據(jù)、檢修數(shù)據(jù)、狀態(tài)數(shù)據(jù)等。企業(yè)大數(shù)據(jù)具有3V、3E特征[2]，3V即數(shù)據(jù)體量大(Volume)、數(shù)據(jù)類型多(Varity)與數(shù)據(jù)速度快(Velocity)，3E即數(shù)據(jù)即能量(Energy)、數(shù)據(jù)即交互(Exchange)與數(shù)據(jù)即共情(Empathy)。

 

3 大數(shù)據(jù)時(shí)代企業(yè)信息安全漏洞與風(fēng)險(xiǎn)并存

 

大數(shù)據(jù)時(shí)代，大數(shù)據(jù)在推動(dòng)企業(yè)向著更為高效、優(yōu)質(zhì)、精準(zhǔn)的服務(wù)前行的同時(shí)，其重要性與特殊性也給企業(yè)帶來新的信息安全風(fēng)險(xiǎn)與挑戰(zhàn)。如何針對大數(shù)據(jù)的重要性與特殊性構(gòu)建全方位多層次的信息安全保障體系，是企業(yè)發(fā)展中面臨的重要課題。大數(shù)據(jù)背景下，結(jié)合大數(shù)據(jù)時(shí)代的企業(yè)工作模式，企業(yè)可能存在的信息安全風(fēng)險(xiǎn)主要表現(xiàn)在以下三個(gè)方面：

 

(1)企業(yè)業(yè)務(wù)大數(shù)據(jù)信息安全風(fēng)險(xiǎn)：由于缺乏針對大數(shù)據(jù)相關(guān)的政策法規(guī)、標(biāo)準(zhǔn)與管理規(guī)章制度，導(dǎo)致企業(yè)對客戶信息大數(shù)據(jù)的“開放度”難以掌握，大數(shù)據(jù)開放和隱私之間難以平衡;企業(yè)缺乏清晰的數(shù)據(jù)需求導(dǎo)致數(shù)據(jù)資產(chǎn)流失的風(fēng)險(xiǎn);企業(yè)數(shù)據(jù)孤島，數(shù)據(jù)質(zhì)量差可用性低，導(dǎo)致數(shù)據(jù)無法充分利用以及數(shù)據(jù)價(jià)值不能充分挖掘的風(fēng)險(xiǎn);大數(shù)據(jù)安全能力和防范意識(shí)差，大數(shù)據(jù)人才缺乏導(dǎo)致大數(shù)據(jù)分析、處理等工作難以開展的風(fēng)險(xiǎn);管理技術(shù)和架構(gòu)相對滯后，導(dǎo)致數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

 

(2)企業(yè)基礎(chǔ)設(shè)施信息安全風(fēng)險(xiǎn)：2010年，震網(wǎng)病毒[3]通過網(wǎng)絡(luò)與預(yù)制的系統(tǒng)漏洞對伊朗核電站發(fā)起攻擊，導(dǎo)致伊朗濃縮鈾工程的部分離心機(jī)出現(xiàn)故障，極大的延緩了伊朗核進(jìn)程。從此開啟了世界各國對工業(yè)控制系統(tǒng)安全的重視與管控。對于生產(chǎn)企業(yè)，工業(yè)生產(chǎn)設(shè)備是企業(yè)的命脈，其控制系統(tǒng)的安全性必須得到企業(yè)的高度重視。隨著物理設(shè)備管理控制系統(tǒng)與大數(shù)據(jù)采集系統(tǒng)在企業(yè)的不斷應(yīng)用，監(jiān)控與數(shù)據(jù)采集系統(tǒng)必將成為是物理攻擊的重點(diǎn)方向，越來越多的安全問題隨之出現(xiàn)。

 

設(shè)備“接入點(diǎn)”范圍的不斷擴(kuò)大，傳統(tǒng)的邊界防護(hù)概念被改變; 2013年初，美國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)緊急響應(yīng)小組(ICS-CERT)預(yù)警，發(fā)現(xiàn)美國兩家電廠的發(fā)電控制設(shè)備在2012年10月至12月期間感染了USB設(shè)備中的惡意軟件。該軟件能夠遠(yuǎn)程控制開關(guān)閘門、旋轉(zhuǎn)儀表表盤、大壩控制等重要操作，對電力設(shè)備及企業(yè)安全造成了極大的威脅。

 

(3)企業(yè)平臺(tái)信息安全風(fēng)險(xiǎn)： 應(yīng)用層安全風(fēng)險(xiǎn)主要是指網(wǎng)絡(luò)給用戶提供服務(wù)所采用的應(yīng)用軟件存在的漏洞所帶來的安全風(fēng)險(xiǎn)，包括： Web服務(wù)、郵件系統(tǒng)、數(shù)據(jù)庫軟件、域名系統(tǒng)、路由與交換系統(tǒng)、防火墻及網(wǎng)管系統(tǒng)、業(yè)務(wù)應(yīng)用軟件以及其他網(wǎng)絡(luò)服務(wù)系統(tǒng)等;操作系統(tǒng)層的安全風(fēng)險(xiǎn)主要是指網(wǎng)絡(luò)運(yùn)行的操作系統(tǒng)存在的漏洞帶來的安全風(fēng)險(xiǎn)，例如Windows NT、UNIX、Linux系列以及專用操作系統(tǒng)本身安全漏洞，主要包括訪問控制、身份認(rèn)證、系統(tǒng)漏洞以及操作系統(tǒng)的安全配置等;網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)主要指網(wǎng)絡(luò)層身份認(rèn)證，網(wǎng)絡(luò)資源的訪問控制，數(shù)據(jù)傳輸?shù)谋Ｃ苄耘c完整性、路由系統(tǒng)的安全、遠(yuǎn)程接入、域名系統(tǒng)、入侵檢測的手段等網(wǎng)絡(luò)信息漏洞帶來的安全性。

 

4 企業(yè)大數(shù)據(jù)信息安全保障策略

 

針對大數(shù)據(jù)時(shí)代下企業(yè)可能存在的信息安全漏洞與風(fēng)險(xiǎn)，本文從企業(yè)的網(wǎng)絡(luò)邊界信息安全保障、應(yīng)用終端信息安全保障、應(yīng)用平臺(tái)信息安全保障、網(wǎng)絡(luò)安全信息安全保障、數(shù)據(jù)安全信息安全保障等多方面提出如下信息安全保障策略，形成具有層次特性的企業(yè)信息安全保障體系，提升大數(shù)據(jù)時(shí)代下的企業(yè)信息安全保障能力。

 

4.1企業(yè)系統(tǒng)終端——信息安全保障策略

 

對企業(yè)計(jì)算機(jī)終端進(jìn)行分類，依照國家信息安全等級(jí)保護(hù)的要求實(shí)行分級(jí)管理，根據(jù)確定的等級(jí)要求采取相應(yīng)的安全保障策略。企業(yè)擁有多種類型終端設(shè)備，對于不同終端，根據(jù)具體終端的類型、通信方式以及應(yīng)用環(huán)境等選擇適宜的保障策略。確保移動(dòng)終端的接入安全，移動(dòng)作業(yè)類終端嚴(yán)格執(zhí)行企業(yè)制定的辦公終端嚴(yán)禁“內(nèi)外網(wǎng)機(jī)混用”原則，移動(dòng)終端接入內(nèi)網(wǎng)需采用軟硬件相結(jié)合的加密方式接入。配子站終端需配置安全模塊，對主站系統(tǒng)的參數(shù)設(shè)置指令和控制命令采取數(shù)據(jù)完整性驗(yàn)證和安全鑒別措施，以防范惡意操作電氣設(shè)備，冒充主站對子站終端進(jìn)行攻擊。

 

4.2企業(yè)網(wǎng)絡(luò)邊界——信息安全保障策略

 

企業(yè)網(wǎng)絡(luò)具有分區(qū)分層的特點(diǎn)，使邊界不受外部的攻擊，防止惡意的內(nèi)部人員跨越邊界對外實(shí)施攻擊，在不同區(qū)的網(wǎng)絡(luò)邊界加強(qiáng)安全防護(hù)策略，或外部人員通過開放接口、隱蔽通道進(jìn)入內(nèi)部網(wǎng)絡(luò)。在管理信息內(nèi)部，審核不同業(yè)務(wù)安全等級(jí)與網(wǎng)絡(luò)密級(jí)，在網(wǎng)絡(luò)邊界進(jìn)行相應(yīng)的隔離保護(hù)。按照業(yè)務(wù)網(wǎng)絡(luò)的安全等級(jí)、實(shí)時(shí)性需求以及用途等評(píng)價(jià)指標(biāo)，采用防火墻隔離技術(shù)、協(xié)議隔離技術(shù)、物理隔離技術(shù)等[4]對關(guān)鍵核心業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行安全隔離，實(shí)現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)訪問資源限制。

 

4.3企業(yè)網(wǎng)絡(luò)安全——信息安全保障策略

 

網(wǎng)絡(luò)是企業(yè)正常運(yùn)轉(zhuǎn)的重要保障，是連接物理設(shè)備、應(yīng)用平臺(tái)與數(shù)據(jù)的基礎(chǔ)環(huán)境。生產(chǎn)企業(yè)主要采用公共網(wǎng)絡(luò)和專用網(wǎng)絡(luò)相結(jié)合的網(wǎng)絡(luò)結(jié)構(gòu)，專用網(wǎng)絡(luò)支撐企業(yè)的生產(chǎn)管理、設(shè)備管理、調(diào)度管理、資源管理等核心業(yè)務(wù)，不同業(yè)務(wù)使用的專用網(wǎng)絡(luò)享有不同安全等級(jí)與密級(jí)，需要采取不同的保障策略。網(wǎng)絡(luò)彈性是指基礎(chǔ)網(wǎng)絡(luò)在遇到突發(fā)事件時(shí)繼續(xù)運(yùn)行與快速恢復(fù)的能力。采用先進(jìn)的網(wǎng)絡(luò)防護(hù)技術(shù)，建立基礎(chǔ)網(wǎng)一體化感知、響應(yīng)、檢測、恢復(fù)與溯源機(jī)制，采取網(wǎng)絡(luò)虛擬化、硬件冗余、疊加等方法提高企業(yè)網(wǎng)絡(luò)彈性與安全性;對網(wǎng)絡(luò)基礎(chǔ)服務(wù)、網(wǎng)絡(luò)業(yè)務(wù)、信息流、網(wǎng)絡(luò)設(shè)備等基礎(chǔ)網(wǎng)絡(luò)環(huán)境采用監(jiān)控審計(jì)、安全加固、訪問控制、身份鑒別、備份恢復(fù)、入侵檢測、資源控制等措施增強(qiáng)網(wǎng)絡(luò)環(huán)境安全防護(hù);在企業(yè)網(wǎng)絡(luò)中，重要信息數(shù)據(jù)需要安全通信。針對信息數(shù)字資源的安全交換需求，構(gòu)建企業(yè)的業(yè)務(wù)虛擬專用網(wǎng)。在已有基礎(chǔ)網(wǎng)絡(luò)中采用訪問控制、用戶認(rèn)證、信息加密等相關(guān)技術(shù)，防止企業(yè)敏感數(shù)據(jù)被竊取，采取建立數(shù)據(jù)加密虛擬網(wǎng)絡(luò)隧道進(jìn)行信息傳輸安全通信機(jī)制。

 

4.4企業(yè)應(yīng)用系統(tǒng)平臺(tái)——信息安全保障策略

 

應(yīng)用系統(tǒng)平臺(tái)安全直接關(guān)系到企業(yè)各業(yè)務(wù)應(yīng)用的穩(wěn)定運(yùn)行，對應(yīng)用平臺(tái)進(jìn)行信息安全保障，可以有效避免企業(yè)業(yè)務(wù)被阻斷、擾亂、欺騙等破壞行為，本文建議給每個(gè)應(yīng)用平臺(tái)建立相應(yīng)的日志系統(tǒng)，可以對用戶的操作記錄、訪問記錄等信息進(jìn)行歸檔存儲(chǔ)，為安全事件分析提供取證與溯源數(shù)據(jù)，防范內(nèi)部人員進(jìn)行異常操作。企業(yè)應(yīng)用平臺(tái)的用戶類型多樣，不同的應(yīng)用主體享有不同的功能與應(yīng)用權(quán)限，考慮到系統(tǒng)的靈活性與安全性，采用基于屬性權(quán)限訪問控制[5]、基于動(dòng)態(tài)和控制中心訪問權(quán)限控制[6]、基于域訪問權(quán)限控制[7]、基于角色訪問控制等訪問控制技術(shù);確保企業(yè)應(yīng)用平臺(tái)系統(tǒng)安全可靠，在應(yīng)用平臺(tái)上線前，應(yīng)邀請第三方權(quán)威機(jī)構(gòu)對其進(jìn)行信息安全測評(píng)，即對應(yīng)用平臺(tái)系統(tǒng)進(jìn)行全面、系統(tǒng)的安全漏洞分析與風(fēng)險(xiǎn)評(píng)估[8]，并制定相應(yīng)的信息安全保障策略。

 

4.5企業(yè)大數(shù)據(jù)安全——信息保障策略

 

大數(shù)據(jù)時(shí)代下，大數(shù)據(jù)是企業(yè)的核心資源。企業(yè)客戶數(shù)據(jù)可能不僅包含個(gè)人的隱私信息，而且還包括個(gè)人、家庭的消費(fèi)行為信息，如果針對客戶大數(shù)據(jù)不妥善處理，會(huì)對用戶造成極大的危害，進(jìn)而失信于客戶。目前感知大數(shù)據(jù)(數(shù)據(jù)追蹤溯源)、應(yīng)用大數(shù)據(jù)(大數(shù)據(jù)的隱私保護(hù)[9]與開放)、管控大數(shù)據(jù)(數(shù)據(jù)訪問安全、數(shù)據(jù)存儲(chǔ)安全)等問題，仍然制約與困擾著大數(shù)據(jù)的發(fā)展。大數(shù)據(jù)主要采用分布式文件系統(tǒng)技術(shù)在云端存儲(chǔ)，在對云存儲(chǔ)環(huán)境進(jìn)行安全防護(hù)的前提下，對關(guān)鍵核心數(shù)據(jù)進(jìn)行冗余備份，強(qiáng)化數(shù)據(jù)存儲(chǔ)安全，提高企業(yè)大數(shù)據(jù)安全存儲(chǔ)能力。為了保護(hù)企業(yè)數(shù)據(jù)的隱私安全、提高企業(yè)大數(shù)據(jù)的安全性的同時(shí)提升企業(yè)的可信度，可采用數(shù)據(jù)分享、分析、時(shí)進(jìn)行匿名保護(hù)已經(jīng)隱私數(shù)據(jù)存儲(chǔ)加密保護(hù)措施來加強(qiáng)企業(yè)數(shù)據(jù)的隱私安全，對大數(shù)據(jù)用戶進(jìn)行分類與角色劃分，嚴(yán)格控制、明確各角色數(shù)據(jù)訪問權(quán)限，規(guī)范各級(jí)用戶的訪問行為，確保不同等級(jí)密級(jí)數(shù)據(jù)的讀、寫操作，有效抵制外部惡意行為，有效管理云存儲(chǔ)環(huán)境下的企業(yè)大數(shù)據(jù)安全。

 

5 結(jié)束語

 

隨著信息技術(shù)的快速革新，數(shù)據(jù)正以驚人的速度積累，大數(shù)據(jù)時(shí)代已經(jīng)來臨了;智能終端和數(shù)據(jù)傳感器成為大數(shù)據(jù)時(shí)代的數(shù)據(jù)主要來源。大數(shù)據(jù)在推動(dòng)企業(yè)不斷向前發(fā)展給企業(yè)提供了更多機(jī)遇的同時(shí)，也給企業(yè)的應(yīng)用創(chuàng)新與轉(zhuǎn)型發(fā)展帶來了新的信息安全威脅、信息安全漏洞以及信息安全風(fēng)險(xiǎn)。傳統(tǒng)的信息安全保障策略已經(jīng)無法滿足大數(shù)據(jù)時(shí)代的信息安全保障需求。怎樣做好企業(yè)大數(shù)據(jù)信息安全保障、加強(qiáng)信息安全防護(hù)、建設(shè)相關(guān)法律法規(guī)將是大數(shù)據(jù)時(shí)代長期研究的問題。