前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網(wǎng)絡(luò)安全等級測評報告范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

網(wǎng)絡(luò)安全等級測評報告范文第1篇

一、引言

隨著我國信息化建設(shè)的快速發(fā)展與廣泛應(yīng)用，信息安全的重要性愈發(fā)突出。在國家重視信息安全的大背景下，推出了信息安全等級保護制度。為統(tǒng)一管理規(guī)范和技術(shù)標準，公安部等四部委聯(lián)合了《信息安全等級保護管理辦法》（公通字【2007】43號）。隨著等級保護工作的深入開展，原衛(wèi)生部制定了《衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見》（衛(wèi)辦發(fā)【2011】85號），進一步規(guī)范和指導(dǎo)了我國醫(yī)療衛(wèi)生行業(yè)信息安全等級保護工作，并對三級甲等醫(yī)院核心業(yè)務(wù)信息系統(tǒng)的安全等級作了要求，原則上不低于第三級。

從《關(guān)于信息安全等級保護工作的實施意見》中可知信息安全等級保護對象是國家秘密信息、法人和其他組織以及公民的專有信息和公開信息。對信息系統(tǒng)及其安全產(chǎn)品進行等級劃分，并按等級對信息安全事件響應(yīng)。

    二、醫(yī)院信息安全等級保護工作實施步驟

2.1定級與備案。根據(jù)公安部信息安全等級保護評估中心編制的《信息安全等級保護政策培訓(xùn)教程》，有兩個定級要素決定了信息系統(tǒng)的安全保護等級，一個是等級保護對象受到破壞時所侵害的客體，另外一個是對客體造成侵害的程度。表1是根據(jù)定級要素制訂的信息系統(tǒng)等級保護級別。

    對于三級醫(yī)院，門診量與床位相對較多，影響范圍較廣，一旦信息系統(tǒng)遭到破壞，將會給患者造成生命財產(chǎn)損失，對社會秩序帶來重大影響。因此，從影響范圍和侵害程度來看，我們非常認同國家衛(wèi)計委對三級甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)安全等級的限制要求。

在完成定級報告編制工作后，填寫備案表，并按屬地化管理要求到市級公安機關(guān)辦理備案手續(xù)，在取得備案回執(zhí)后才算完成定級備案工作。我院已按照要求向我市公安局網(wǎng)安支隊，同時也是我市信息安全等級保護工作領(lǐng)導(dǎo)小組辦公室，提交了定級報告與備案表。

2.2安全建設(shè)與整改。在完成定級備案后，就要結(jié)合醫(yī)院實際，分析信息安全現(xiàn)狀，進行合理規(guī)劃與整改。

2.2.1等保差距分析與風(fēng)險評估。了解等級保護基本要求?！缎畔⑾到y(tǒng)安全等級保護基本要求》分別從技術(shù)和管理兩方面提出了基本要求?；炯夹g(shù)要求包括五個方面：物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全，主要是由在信息系統(tǒng)中使用的網(wǎng)絡(luò)安全產(chǎn)品（包括硬件和軟件）及安全配置來實現(xiàn)；基本管理要求也包括五個方面：安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理，主要是根據(jù)相關(guān)政策、制度以及規(guī)范流程等方面對人員活動進行約束控制，以期達到安全管理要求。

技術(shù)類安全要求按保護側(cè)重點進一步劃分為三類：業(yè)務(wù)信息安全類（S類）、系統(tǒng)服務(wù)安全類（A類)、通用安全保護類(G類)。如受條件限制，可以逐步完成三級等級保護，A類和S類有一類滿足即可，但G類必須達到三級，最嚴格的G3S3A3控制項共計136條.醫(yī)院可以結(jié)合自身建設(shè)情況，選擇其中一個標準進行差距分析。

管理方面要求很嚴格，只有完成所有的154條控制項，達到管理G3的要求，才能完成三級等級保護要求。這需要我們逐條對照，發(fā)現(xiàn)醫(yī)院安全管理中的不足與漏洞，找出與管理要求的差距。

對于有條件的三甲醫(yī)院，可以先進行風(fēng)險評估，通過分析信息系統(tǒng)的資產(chǎn)現(xiàn)狀、安全脆弱性及潛在安全威脅，形成《風(fēng)險評估報告》。

經(jīng)過與三級基本要求對照，我院還存在一定差距。比如：在物理環(huán)境安全方面，我院機房雖有滅火器，但沒安裝氣體滅火裝置。當前的安全設(shè)備產(chǎn)品較少，不能很好的應(yīng)對網(wǎng)絡(luò)人侵。在運維管理方面，缺乏預(yù)警機制，無法提前判斷系統(tǒng)潛在威脅等。

2.2.2建設(shè)整改方案。根據(jù)差距分析情況，結(jié)合醫(yī)院信息系統(tǒng)安全實際需求和建設(shè)目標，著重于保證業(yè)務(wù)的連續(xù)性與數(shù)據(jù)隱私方面，滿足于臨床的實際需求，避免資金投入的浪費、起不到實際效果。

整改方案制訂應(yīng)遵循以下原則：安全技術(shù)和安全管理相結(jié)合，技術(shù)作保障，管理是更好的落實安全措施；從安全區(qū) 域邊界、安全計算環(huán)境和安全通信網(wǎng)絡(luò)進行三維防護，建立安全管理中心。方案設(shè)計完成后，應(yīng)組織專家或經(jīng)過第三方測評機構(gòu)進行評審，以保證方案的可用性。

整改方案實施。實施過程中應(yīng)注意技術(shù)與管理相結(jié)合，并根據(jù)實際情況適當調(diào)整安全措施，提高整體保護水平。

我院整改方案是先由醫(yī)院內(nèi)部自查，再邀請等級測評#司進行預(yù)測評，結(jié)合醫(yī)院實際最終形成的方案。網(wǎng)絡(luò)技術(shù)義員熟悉系統(tǒng)現(xiàn)狀，易于發(fā)現(xiàn)潛在安全威脅，所以醫(yī)院要先自查，對自身安全進行全面了解。等級測評公司派專業(yè)安全人員進駐醫(yī)院，經(jīng)過與醫(yī)院技術(shù)人員溝通，利用安全工具進行測試，可以形成初步的整改報告，對我院安全整改具有指導(dǎo)意義。

2.3開展等級保護測評。下一步工作就是開展等級測評。在測評機構(gòu)的選擇上，首先要查看其是否具有“DICP”認證，有沒有在當?shù)毓膊块T進行備案，還可以到中國信息安全等級保護網(wǎng)站（網(wǎng)站地址：djbh.net)進行核實。測評周期一般為1至2月，其測評流程如下。

2.3.1測評準備階段。醫(yī)院與測評機構(gòu)共同成立項目領(lǐng)導(dǎo)小組，制定工作任務(wù)與測評計劃等前期準備工作。項目啟動前，為防止醫(yī)院信息泄露，還需要簽訂保密協(xié)議。項目啟動后，測評機構(gòu)要進行前期調(diào)研，主要是了解醫(yī)院信息系統(tǒng)的拓撲結(jié)構(gòu)、設(shè)備運行狀況、信息系統(tǒng)應(yīng)用情況及安全管理等情況，然后再選擇相應(yīng)的測評工具和文檔。

在測評準備階段，主要是做好組織機構(gòu)建設(shè)工作，配合等級測評公司人員的調(diào)査工作。

2.3.2測評方案編制階段。測評內(nèi)容主要由測評對象與測評指標來確定。我院測評對象包含三級的醫(yī)院信息系統(tǒng)、基礎(chǔ)網(wǎng)絡(luò)和二級的門戶網(wǎng)站。測評機構(gòu)要與醫(yī)院溝通，制定工具測試方法與測評指導(dǎo)書，編制測評方案。在此階段，主要工作由等級測評機構(gòu)來完成。

2.3.3現(xiàn)場測評階段。在經(jīng)過實施準備后，測評機構(gòu)要對上述控制項進行逐一測評，大約需要1至2周，需要信息科人員密切配合與注意。為保障醫(yī)院業(yè)務(wù)正常開展，測評工作應(yīng)盡量減少對業(yè)務(wù)工作的沖擊。當需要占用服務(wù)器和網(wǎng)絡(luò)資源時應(yīng)避免業(yè)務(wù)高峰期，可以選擇下班時間或晚上。為避免對現(xiàn)有業(yè)務(wù)造成影響，測評工具應(yīng)在接人前進行測試，同時要做好應(yīng)急預(yù)案準備，一旦影響醫(yī)院業(yè)務(wù)，應(yīng)立即啟動應(yīng)急預(yù)案、在對209條控制項進行測評后應(yīng)進行結(jié)果確認，并將資料歸還醫(yī)院。

該階段是從真實情況中了解信息系統(tǒng)全面具體的主要工作，也是技術(shù)人員比較辛苦的階段。除了要密切配合測評，還不能影響醫(yī)院業(yè)務(wù)開展，除非必要，不然安全測試工作必須在夜間進行。

2.3.4報告編制階段。通過判定測評單項，測評機構(gòu)對單項測評結(jié)果進行整理，逐項分析，最終得出整體測評報告。測評報告包含了醫(yī)院信息安全存在的潛在威脅點、整改建議與最終測評結(jié)果。對于公安機關(guān)來講，醫(yī)院能否通過等級測評的主要標準就是測評結(jié)果。因此，測評報告的結(jié)果至關(guān)重要。測評結(jié)果分為：不符合、部分符合、全部符合。有的測評機構(gòu)根據(jù)單項測評結(jié)果進行打分，最后給出總分，以分值來判定是否通過測評。為得到理想測評結(jié)果，需要醫(yī)院落實安全整改方案。

2.4安全運維。我們必須清醒地認識到，實施安全等級保護是一項長期工作，它不僅要在信息化建設(shè)規(guī)劃中考慮，還要在日常運維管理中重視，是不斷循環(huán)的過程。按照等級保護制度要求，信息系統(tǒng)等級保護級別定為三級的三甲醫(yī)院每年要自查一次，還要邀請測評機構(gòu)進行測評并進行整改，監(jiān)管部門每年要抽查一次。因此，醫(yī)院要按照PDCA的循環(huán)工作機制，不斷改進安全技術(shù)與管理上，完善安全措施，更好地保障醫(yī)院信息系統(tǒng)持續(xù)穩(wěn)定運行。―     

    三、結(jié)語

網(wǎng)絡(luò)安全等級測評報告范文第2篇

關(guān)鍵詞：政務(wù)外網(wǎng) 等級保護 定級 網(wǎng)絡(luò)安全

為貫徹落實公安部、國家保密局、國家密碼管理局、原國務(wù)院信息化工作辦公室于2007年7月26日聯(lián)合下發(fā)《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公信安[2007]861號），國家電子政務(wù)外網(wǎng)工程建設(shè)辦公室（以下簡稱“外網(wǎng)工程辦”）在2007年11月啟動了中央級政務(wù)外網(wǎng)定級專項工作，成立了等級保護定級工作組，根據(jù)政務(wù)外網(wǎng)的實際情況和特點，經(jīng)過多輪內(nèi)部討論和征求專家意見后，基本完成了政務(wù)外網(wǎng)安全等級保護定級工作，為后續(xù)備案和全面開展、實施等級保護整改和測評工作奠定了堅實基礎(chǔ)。

一、周密部署，精心組織

為有效貫徹落實國家信息安全等級保護制度，在總結(jié)基礎(chǔ)調(diào)查和試點工作的基礎(chǔ)上，根據(jù)《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》等相關(guān)規(guī)定，2007年11月13日，電子政務(wù)外網(wǎng)工程辦召開等級保護工作啟動會，正式啟動國家電子政務(wù)外網(wǎng)安全等級保護定級工作。

為確保信息系統(tǒng)等級保護工作順利進行，外網(wǎng)工程辦領(lǐng)導(dǎo)高度重視，專門成立了由各主要業(yè)務(wù)部門負責人為成員的等級保護工作小組，全面負責工作的規(guī)劃、協(xié)調(diào)和指導(dǎo)，確定了外網(wǎng)工程辦安全組為等級保護工作的牽頭部門，各部門分工協(xié)作。同時，為確保系統(tǒng)劃分和定級工作的準確性和合理性，2007年11月22日外網(wǎng)工程辦專門邀請專家，對定級工作進行專項指導(dǎo)。

為統(tǒng)一思想，提高認識，通過召開等級保護專題會議等形式，深入學(xué)習(xí)《信息安全等級保護管理辦法》和《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》等文件精神，使相關(guān)人員充分認識和領(lǐng)會了開展信息安全等級保護工作的重要性，進一步認識到實施信息安全等級保護不僅是信息安全管理規(guī)范化、標準化、科學(xué)化的需要，也是提高政務(wù)外網(wǎng)安全保障能力與服務(wù)水平的重要途徑，是追求自身發(fā)展與落實社會責任相一致的現(xiàn)實需要與客觀要求，從而增強了開展此項工作的主動性和自覺性。

二、積極做好定級各項工作

信息安全等級保護工作政策性強、技術(shù)要求高，時間又非常緊迫，為此，政務(wù)外網(wǎng)工程辦從三方面抓好定級報備前期準備工作：一是積極參加公安部組織的等級保護培訓(xùn)，領(lǐng)會與理解開展信息安全等級保護工作的目的、意義與技術(shù)要求，系統(tǒng)地掌握信息安全等級保護的基礎(chǔ)知識、實施過程、定級方法步驟和備案流程等。二是多次組織人員開展內(nèi)部討論和交流，使人員較全面地了解等級保護的意義、基礎(chǔ)知識和定級方法。三是開展工程辦各組的業(yè)務(wù)應(yīng)用摸底調(diào)查，摸清系統(tǒng)的系統(tǒng)結(jié)構(gòu)、業(yè)務(wù)類型和應(yīng)用范圍，并匯總整理了政務(wù)外網(wǎng)各組成域的相關(guān)概況。

三、科學(xué)準確定級

在開展政務(wù)外網(wǎng)定級工作的過程中突出重點，全面分析政務(wù)外網(wǎng)網(wǎng)絡(luò)基礎(chǔ)平臺的特點，力求準確劃定定級范圍和定級對象。在此基礎(chǔ)上，依據(jù)《信息安全等級保護管理辦法》，確定政務(wù)外網(wǎng)各組成子系統(tǒng)（網(wǎng)絡(luò)域）的安全保護等級。

劃定定級對象。根據(jù)《信息系統(tǒng)安全等級保護定級指南》，外網(wǎng)工程辦多次組織技術(shù)和業(yè)務(wù)骨干召開專題會議討論信息系統(tǒng)劃分問題，提出了較為科學(xué)合理的信息系統(tǒng)劃分方案。

初步確定了信息系統(tǒng)等級。根據(jù)系統(tǒng)劃分結(jié)果，組織各業(yè)務(wù)部門參與并初步確定了各系統(tǒng)等級，完成了自定級報告的起草。

組織專家自評把關(guān)。根據(jù)等級保護評審的標準與要求，專家們對信息系統(tǒng)劃分和定級報告進行內(nèi)部評審，并給出了內(nèi)部評審意見。根據(jù)專家意見重新修改并整理了等級保護定級報告及其相關(guān)材料。

此外，在定級過程中，外網(wǎng)工程辦積極與公安部等級保護主管部門進行溝通，并經(jīng)由相關(guān)專家確認定級對象與等級保護方案后，整理好了所有定級材料，準備下一步的正式評審。

四、定級對象和結(jié)果

根據(jù)政務(wù)外網(wǎng)作為基礎(chǔ)網(wǎng)絡(luò)平臺的特性，以及其接入系統(tǒng)的不同業(yè)務(wù)類型，政務(wù)外網(wǎng)按管理邊界劃分為中央政務(wù)外網(wǎng)、地方政務(wù)外網(wǎng)兩類管理域。中央政務(wù)外網(wǎng)按業(yè)務(wù)邊界劃分功能區(qū)，即公用網(wǎng)絡(luò)平臺區(qū)、專用VPN網(wǎng)絡(luò)區(qū)以及互聯(lián)網(wǎng)接入?yún)^(qū)，在各功能區(qū)內(nèi)又根據(jù)業(yè)務(wù)類型和系統(tǒng)服務(wù)的不同，確定了多個業(yè)務(wù)系統(tǒng)，主要有安全管理系統(tǒng)、應(yīng)用平臺系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)、郵件系統(tǒng)、VPN業(yè)務(wù)、互聯(lián)網(wǎng)數(shù)據(jù)中心等六個系統(tǒng)作為本次等級保護定級工作的定

級對象，分別予以定級（確定等級結(jié)果如表1所示）。

作者簡介：

羅海寧，1980年生，男，漢族，工程師，在職碩士，專業(yè)方向：網(wǎng)絡(luò)與信息安全。

郭紅，1966年生，女，漢族，高級工程師，在職碩士，專業(yè)方向：網(wǎng)絡(luò)安全。

網(wǎng)絡(luò)安全等級測評報告范文第3篇

關(guān)鍵詞：公共衛(wèi)生行業(yè)；計算機網(wǎng)絡(luò)安全管理；安全技術(shù)防范；信息技術(shù)；信息安全等級 文獻標識碼：A

中圖分類號：TP393 文章編號：1009-2374（2015）08- DOI：10.13535/ki.11-4406/n.2015.

1 概述

公共衛(wèi)生行業(yè)承擔的職責主要包括重大傳染病防控、慢性非傳染病防控、衛(wèi)生監(jiān)督、職業(yè)病防制、精神衛(wèi)生管理、健康危險因素評價、突發(fā)公共衛(wèi)生事件處置和兒童免疫接種管理等，在管理過程中要涉及到大量的重要信息數(shù)據(jù)，包括疾病監(jiān)測數(shù)據(jù)、健康危險因素監(jiān)測數(shù)據(jù)和免疫規(guī)劃管理數(shù)據(jù)等，這就對公共衛(wèi)生行業(yè)在信息數(shù)據(jù)管理的方面提出了很高的要求，務(wù)必要將計算機網(wǎng)絡(luò)安全管理防范問題放在重要位置，從網(wǎng)絡(luò)防范技術(shù)和監(jiān)督管理等方面建立健全計算機信息安全保障體系，確保各類信息數(shù)據(jù)安全有效。

2 目前公共衛(wèi)生行業(yè)計算機網(wǎng)絡(luò)安全存在的問題

2.1 數(shù)據(jù)信息安全威脅

信息數(shù)據(jù)面臨的安全威脅來自于多個方面，有通過病毒、非授權(quán)竊取來破壞數(shù)據(jù)保密性的安全威脅，有因為操作系統(tǒng)故障、應(yīng)用系統(tǒng)故障等導(dǎo)致的破壞數(shù)據(jù)完整性的安全威脅，有因為硬盤故障、誤操作等導(dǎo)致的破壞數(shù)據(jù)可用性的安全威脅，還有因為病毒威脅、非授權(quán)篡改導(dǎo)致的破壞數(shù)據(jù)真實性的安全威脅，這些潛在的安全威脅將會導(dǎo)致信息數(shù)據(jù)被刪除、破壞、篡改甚至被竊取，給公共衛(wèi)生行業(yè)帶來無法彌補的損失。

2.2 安全管理缺失

公共衛(wèi)生行業(yè)在信息化建設(shè)工作中，如果存在重應(yīng)用、輕安全的現(xiàn)象，在IT系統(tǒng)建設(shè)過程中沒有充分考慮信息安全的科學(xué)規(guī)劃，將導(dǎo)致后期信息安全建設(shè)和管理工作比較被動，業(yè)務(wù)的發(fā)展及信息系統(tǒng)的建設(shè)與信息安全管理建設(shè)不對稱；或由于重視信息安全技術(shù)，輕視安全管理，雖然采用了比較先進的信息安全技術(shù)，但相應(yīng)的管理措施不到位，如病毒庫不及時升級、變更管理松懈、崗位職責不清、忽視數(shù)據(jù)備份等現(xiàn)象普遍存在，很有可能會導(dǎo)致本不應(yīng)該發(fā)生的信息安全事件發(fā)生。

3 分析問題產(chǎn)生的主要原因

3.1 經(jīng)費投入不足導(dǎo)致的安全防范技術(shù)薄弱

許多公共衛(wèi)生機構(gòu)的信息化基礎(chǔ)設(shè)施和軟硬件設(shè)備，都是在2003年SARS疫情爆發(fā)以后國家投入建設(shè)的，運行至今，很多省級以下的公共衛(wèi)生單位由于領(lǐng)導(dǎo)認識不足或經(jīng)費所限，只重視疾病防控能力和實驗室檢驗檢測能力的建設(shè)，而忽視了對公共衛(wèi)生信息化的投入，很少將經(jīng)費用于信息化建設(shè)和信息安全投入，信息化基礎(chǔ)設(shè)施陳舊、軟硬件設(shè)備老化，信息安全防范技術(shù)比較薄弱，因網(wǎng)絡(luò)設(shè)備損壞、服務(wù)器宕機等故障或無入侵檢測、核心防火墻等安全防護設(shè)備，導(dǎo)致信息數(shù)據(jù)丟失、竊取的現(xiàn)象時有發(fā)生，嚴重影響了重要信息數(shù)據(jù)的保密性、完整性和安全性，一旦發(fā)生信息安全事件后果將不堪設(shè)想。

3.2 專業(yè)技術(shù)人才缺乏

建設(shè)信息化、發(fā)展信息化最大的動力資源是掌握信息化的專業(yè)技術(shù)人才，人才的培養(yǎng)是行業(yè)信息化高速發(fā)展的基礎(chǔ)，然而，公共衛(wèi)生行業(yè)的人才梯隊主要以疾病控制、醫(yī)學(xué)檢驗專業(yè)為主，信息化、信息安全專業(yè)技術(shù)人才缺乏，隊伍力量薄弱，不能很好地利用現(xiàn)有的計算機軟硬件設(shè)備，也很難對本單位現(xiàn)有的信息化、信息安全現(xiàn)狀進行有效的評估，缺乏制定本行業(yè)長期、可持續(xù)信息化建設(shè)發(fā)展規(guī)劃的能力，這也是制約公共衛(wèi)生行業(yè)信息化發(fā)展的重要因數(shù)。

3.3 信息安全培訓(xùn)不足，職工安全保密意識不強

信息安全是一項全員參與的工作，它不僅是信息化管理部門的本職工作，更是整個公共衛(wèi)生行業(yè)的重要工作職責，很多單位沒有將信息安全培訓(xùn)放在重要位置，沒有定期開展信息安全意識教育培訓(xùn)，許多職工對網(wǎng)絡(luò)安全不夠重視，缺乏網(wǎng)絡(luò)安全意識，隨意接收、下載、拷貝未知文件，沒有查殺病毒、木馬的習(xí)慣，經(jīng)常有意無意的傳播病毒，使得單位網(wǎng)絡(luò)系統(tǒng)經(jīng)常遭受ARP、宏病毒等病毒木馬的攻擊，嚴重影響了單位網(wǎng)絡(luò)的安全穩(wěn)定運行；同時，許多職工對于單位的移動介質(zhì)缺乏規(guī)范化管理意識，隨意將拷貝有信息的移動硬盤、優(yōu)盤等介質(zhì)帶出單位，在其他聯(lián)網(wǎng)的計算機上使用，信息容易失竊，存在非常嚴重的信息安全隱患。

4 如何促進公共衛(wèi)生行業(yè)計算機網(wǎng)絡(luò)安全性提升

4.1 強化管理，建立行業(yè)計算機網(wǎng)絡(luò)安全管理制度

為了確保整個計算機網(wǎng)絡(luò)的安全有效運行，建立出一套既符合本行業(yè)工作實際的，又滿足網(wǎng)絡(luò)實際安全需要的、切實可行的安全管理制度勢在必行。主要包括以下三方面的內(nèi)容：

4.1.1 成立信息安全管理機構(gòu)，引進信息安全專業(yè)技術(shù)人才，結(jié)合單位開展的工作特點，從管理、安全等級保護、安全防范、人員管理等方面制定統(tǒng)管全局的網(wǎng)絡(luò)安全管理規(guī)定。

4.1.2 制定信息安全知識培訓(xùn)制度，定期開展全員信息安全知識培訓(xùn)，讓全體員工及時了解計算機網(wǎng)絡(luò)安全知識最新動態(tài)，結(jié)合信息安全事件案列，進一步強化職工對信息安全保密重要性的認識。同時，對信息技術(shù)人員進行專業(yè)知識和操作技能的培訓(xùn)，培養(yǎng)一支具有安全管理意識的隊伍，提高應(yīng)對各種網(wǎng)絡(luò)安全攻擊破壞的能力。

4.1.3 建立信息安全監(jiān)督檢查機制，開展定期或不定期內(nèi)部信息安全監(jiān)督檢查，同時將信息安全檢查納入單位季度、年度綜合目標責任制考核體系，檢查結(jié)果直接與科室和個人的獎勵績效工資、評先評優(yōu)掛鉤，落實獎懲機制，懲防并舉，確保信息安全落實無死角。

4.2 開展信息安全等級保護建設(shè)

開展信息安全等級保護建設(shè)，通過對公共衛(wèi)生行業(yè)處理、存儲重要信息數(shù)據(jù)的信息系統(tǒng)實行分等級安全保護，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置，建立健全信息安全應(yīng)急機制，定期對信息系統(tǒng)安全等保建設(shè)情況進行測評，存在問題及時整改，從制度落實、安全技術(shù)防護、應(yīng)急處置管理等各個方面，進一步提高公共衛(wèi)生行業(yè)信息安全的防護能力、應(yīng)急處置能力和安全隱患發(fā)現(xiàn)能力。

4.3 加強網(wǎng)絡(luò)安全技術(shù)防范

隨著信息技術(shù)的高速發(fā)展，信息網(wǎng)絡(luò)安全需要依托防火墻、入侵檢測、VPN等安全防護設(shè)施，充分運用各個軟硬件網(wǎng)絡(luò)安全技術(shù)特點，建立安全策略層、用戶層、網(wǎng)絡(luò)與信息資源層和安全服務(wù)層4個層次的網(wǎng)絡(luò)安全防護體系，全面增強網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性。

4.3.1 防火墻技術(shù)。防火墻技術(shù)在公共衛(wèi)生行業(yè)網(wǎng)絡(luò)安全建設(shè)體系中發(fā)揮著重要的作用，按照結(jié)構(gòu)和功能通常劃分為濾防火墻、應(yīng)用防火墻和狀態(tài)檢測防火墻三種類型，一般部署在核心網(wǎng)絡(luò)的邊緣，將內(nèi)部網(wǎng)絡(luò)與Internet之間或者與其他外部網(wǎng)絡(luò)互相隔離，有效地記錄Internet上的活動，將網(wǎng)絡(luò)中不安全的服務(wù)進行有效的過濾，并嚴格限制網(wǎng)絡(luò)之間的互相訪問，從而提高網(wǎng)絡(luò)的防毒能力和抗攻擊能力，確保內(nèi)部網(wǎng)絡(luò)安全穩(wěn)定運行。

4.3.2 入侵檢測。入侵檢測是防火墻的合理補充，是一種對網(wǎng)絡(luò)傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備，檢測方法包括基于專家系統(tǒng)入侵檢測方法和基于神經(jīng)網(wǎng)絡(luò)的入侵檢測方法兩種，利用入侵檢測系統(tǒng)，能夠迅速及時地發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象，幫助系統(tǒng)對付內(nèi)部攻擊和外部網(wǎng)絡(luò)攻擊，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵，在安全審計、監(jiān)視、進攻識別等方面進一步擴展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

4.3.3 虛擬專用網(wǎng)絡(luò)（VPN）技術(shù)。VPN技術(shù)因為低成本、高度靈活的特點，在很多行業(yè)信息化建設(shè)中被廣泛應(yīng)用，公共衛(wèi)生行業(yè)也有很多信息系統(tǒng)都是基于VPN進行數(shù)據(jù)傳輸?shù)?，如中國疾病預(yù)防控制信息系統(tǒng)等，通過在公用網(wǎng)絡(luò)上建立VPN，利用VPN網(wǎng)關(guān)將數(shù)據(jù)包進行加密和目標地址轉(zhuǎn)換，以實現(xiàn)遠程訪問。VPN技術(shù)實現(xiàn)方式目前運用的主要有MPLS、IPSEC和SSL三種類型，中國疾病預(yù)防控制信息系統(tǒng)VPN鏈路網(wǎng)絡(luò)采用的就是IPSECVPN模式，利用VPN鏈路隧道，實現(xiàn)國家到省、市、縣四級的互聯(lián)互通和數(shù)據(jù)傳輸共享。VPN通過使用點到點協(xié)議用戶級身份驗證的方法進行驗證，將高度敏感的數(shù)據(jù)地址進行物理分隔，只有授權(quán)用戶才能與VPN服務(wù)器建立連接，進行遠程訪問，避免非授權(quán)用戶接觸或竊取重要數(shù)據(jù)，為用戶信息提供了很高的安全性保護。

5 結(jié)語

在信息化高速發(fā)展的今天，計算機網(wǎng)絡(luò)安全已經(jīng)成為影響公共衛(wèi)生行業(yè)健康穩(wěn)定發(fā)展的重要因數(shù)，只有通過不斷完善網(wǎng)絡(luò)安全制度，加大網(wǎng)絡(luò)安全軟硬件投入、強化安全防范技術(shù)、開展信息安全等級保護建設(shè)、加快信息安全人才培養(yǎng)和網(wǎng)絡(luò)安全知識培訓(xùn)等，才能保障公共衛(wèi)生行業(yè)在良好的環(huán)境中有序、順利的開展工作。

參考文獻

[1] 龐德明.辦公自動化網(wǎng)絡(luò)的安全問題研究[J].電腦知識與技術(shù)，2009，（6）.

[2] 陳棠暉.淺析疾控系統(tǒng)的網(wǎng)絡(luò)安全[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2011，（4）.

網(wǎng)絡(luò)安全等級測評報告范文第4篇

本文針對新疆電力營銷系統(tǒng)的現(xiàn)狀，給出了一種多層次的安全防護方案，對保障營銷系統(tǒng)網(wǎng)絡(luò)穩(wěn)定運行，保護用戶信息安全，傳輸安全、存儲安全和有效安全管理方面給出了建設(shè)意見。

2新疆營銷網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀

新疆電力營銷業(yè)務(wù)應(yīng)用經(jīng)過了多年的建設(shè)，目前大部分地區(qū)在業(yè)擴報裝、電費計算、客戶服務(wù)等方面的營銷信息化都基本達到實用化程度，在客戶服務(wù)層、業(yè)務(wù)處理層、管理監(jiān)控層三個層次上實現(xiàn)了相應(yīng)的基本功能。結(jié)合新疆電力公司的實際情況，主要分析了管理現(xiàn)狀和網(wǎng)絡(luò)現(xiàn)狀。

2.1管理現(xiàn)狀

根據(jù)公司總部提出的“集團化運作、集約化發(fā)展、精細化管理”的工作思路，從管理的需求上來說，數(shù)據(jù)越集中，管理的力度越細，越能夠達到精細化的管理的要求。但由于目前各地市公司的管理水平現(xiàn)狀、IT現(xiàn)狀、人員現(xiàn)狀等制約因素的限制，不可能使各地市公司的管理都能夠一步到位，尤其是邊遠地區(qū)。因此，營銷業(yè)務(wù)應(yīng)用管理在基于現(xiàn)狀的基礎(chǔ)上逐步推進。根據(jù)對當前各地市公司的營銷管理現(xiàn)狀和管理目標需求的分析，管理現(xiàn)狀可分為如下三類：實時化、精細化管理；準實時、可控的管理；非實時、粗放式管理。目前大部分管理集中在第二類和第三類。

2.2網(wǎng)絡(luò)現(xiàn)狀

網(wǎng)絡(luò)建設(shè)水平將直接影響營銷業(yè)務(wù)應(yīng)用的系統(tǒng)架構(gòu)部署，目前新疆公司信息網(wǎng)已經(jīng)形成，實現(xiàn)了公司總部到網(wǎng)省公司、網(wǎng)省公司本部到下屬地市公司的信息網(wǎng)絡(luò)互連互通，但是各地市公司在地市公司到下屬基層供電單位的之間的信息網(wǎng)絡(luò)建設(shè)情況差別較大，部分地市公司已經(jīng)全部建成光纖網(wǎng)絡(luò)，并且有相應(yīng)的備用通道，能夠滿足實時通信的要求，部分地市公司通過租用專線方式等實現(xiàn)連接，還有一些地市公司由于受地域條件的限制，尚存在一些信息網(wǎng)絡(luò)無法到達的地方，對大批量、實時的數(shù)據(jù)傳輸要求無法有效保證，通道的可靠性相對較差。

2.3需求分析

營銷業(yè)務(wù)系統(tǒng)通常部署在國家電網(wǎng)公司內(nèi)部信息網(wǎng)絡(luò)的核心機房，為國家電網(wǎng)公司內(nèi)部信息網(wǎng)絡(luò)和國家電網(wǎng)公司外部信息網(wǎng)絡(luò)的用戶提供相關(guān)業(yè)務(wù)支持。該網(wǎng)絡(luò)涉及業(yè)務(wù)工作和業(yè)務(wù)應(yīng)用環(huán)境復(fù)雜，與外部/內(nèi)部單位之間存在大量敏感數(shù)據(jù)交換，使用人員涵蓋國家電網(wǎng)公司內(nèi)部人員，外部廠商人員，公網(wǎng)用戶等。因此，在網(wǎng)絡(luò)身份認證、數(shù)據(jù)存儲、網(wǎng)絡(luò)邊界防護與管理等層面上都有很高的安全需求。[2]

3關(guān)鍵技術(shù)和架構(gòu)

3.1安全防護體系架構(gòu)

營銷網(wǎng)絡(luò)系統(tǒng)安全防護體系的總體目標是保障營銷系統(tǒng)安全有序的運行，規(guī)范國家電網(wǎng)公司內(nèi)部信息網(wǎng)員工和外部信息網(wǎng)用戶的行為，對違規(guī)行為進行報警和處理。營銷網(wǎng)絡(luò)系統(tǒng)安全防護體系由3個系統(tǒng)（3維度）接入終端安全、數(shù)據(jù)傳輸安全和應(yīng)用系統(tǒng)安全三個方面內(nèi)容，以及其多個子系統(tǒng)組成。

3.2接入終端安全

接入營銷網(wǎng)的智能終端形式多樣，包括PC終端、智能電表和移動售電終端等。面臨協(xié)議不統(tǒng)一，更新?lián)Q代快，網(wǎng)絡(luò)攻擊日新月異，黑客利用安全漏洞的速度越來越快，形式越來越隱蔽等安全問題。傳統(tǒng)的基于特征碼被動防護的反病毒軟件遠遠不能滿足需求。需要加強終端的安全改造和監(jiān)管，建立完善的認證、準入和監(jiān)管機制，對違規(guī)行為及時報警、處理和備案，減小終端接入給系統(tǒng)帶來的安全隱患。

3.3數(shù)據(jù)傳輸安全

傳統(tǒng)的數(shù)據(jù)傳輸未采取加密和完整性校驗等保護措施，電力營銷數(shù)據(jù)涉及國家電網(wǎng)公司和用戶信息，安全等級較高，需要更有效的手段消除數(shù)據(jù)泄露、非法篡改信息等風(fēng)險。市場上常見的安全網(wǎng)關(guān)、防火墻、漏洞檢測設(shè)備等，都具有數(shù)據(jù)加密傳輸?shù)墓δ埽軌蛴行ПＷC數(shù)據(jù)傳輸?shù)陌踩?。但僅僅依靠安全設(shè)備來保證數(shù)據(jù)通道的安全也是不夠的。一旦設(shè)備被穿透，將可能造成營銷系統(tǒng)數(shù)據(jù)和用戶信息的泄露。除此之外，還需要采用更加安全可靠的協(xié)議和通信通道保證數(shù)據(jù)通信的安全。

3.4應(yīng)用系統(tǒng)安全

目前營銷系統(tǒng)已經(jīng)具有針對應(yīng)用層的基于對象權(quán)限和用戶角色概念的認證和授權(quán)機制，但是這種機制還不能在網(wǎng)絡(luò)層及以下層對接入用戶進行細粒度的身份認證和訪問控制，營銷系統(tǒng)仍然面臨著安全風(fēng)險。增強網(wǎng)絡(luò)層及以下層，比如接入層、鏈路層等的細粒度訪問控制，從而提高應(yīng)用系統(tǒng)的安全性。

4安全建設(shè)

營銷系統(tǒng)安全建設(shè)涉及安全網(wǎng)絡(luò)安全、主機操作系統(tǒng)安全、數(shù)據(jù)庫安全、應(yīng)用安全以及終端安全幾個層面的安全防護方案，用以解決營銷系統(tǒng)網(wǎng)絡(luò)安全目前存在的主要問題。

4.1終端安全加固

終端作為營銷系統(tǒng)使用操作的發(fā)起設(shè)備，其安全性直接關(guān)系到數(shù)據(jù)傳輸?shù)陌踩?，乃至?nèi)網(wǎng)應(yīng)用系統(tǒng)的安全。終端不僅是創(chuàng)建和存放重要數(shù)據(jù)的源頭，而且是攻擊事件、數(shù)據(jù)泄密和病毒感染的源頭。這需要加強終端自身的安全防護策略的制定，定期檢測被攻擊的風(fēng)險，對安全漏洞甚至病毒及時處理。對終端設(shè)備進行完善的身份認證和權(quán)限管理，限制和阻止非授權(quán)訪問、濫用、破壞行為。目前公司主要的接入終端有PC、PDA、無線表計、配變檢測設(shè)備、應(yīng)急指揮車等。由于不同終端采用的操作系統(tǒng)不同，安全防護要求和措施也不同，甚至需要根據(jù)不同的終端定制相應(yīng)的安全模塊和安全策略，主要包括：針對不同終端（定制）的操作系統(tǒng)底層改造加固；終端接入前下載安裝可信任插件；采用兩種以上認證技術(shù)驗證用戶身份；嚴格按權(quán)限限制用戶的訪問；安裝安全通信模塊，保障加密通訊及連接；安裝監(jiān)控系統(tǒng)，監(jiān)控終端操作行為；安裝加密卡/認證卡，如USBKEY/PCMCIA/TF卡等。

4.2網(wǎng)絡(luò)環(huán)境安全

網(wǎng)絡(luò)環(huán)境安全防護是針對網(wǎng)絡(luò)的軟硬件環(huán)境、網(wǎng)絡(luò)內(nèi)的信息傳輸情況以及網(wǎng)絡(luò)自身邊界的安全狀況進行安全防護。確保軟硬件設(shè)備整體在營銷網(wǎng)絡(luò)系統(tǒng)中安全有效工作。

4.2.1網(wǎng)絡(luò)設(shè)備安全

網(wǎng)絡(luò)設(shè)備安全包括國家電網(wǎng)公司信息內(nèi)、外網(wǎng)營銷管理系統(tǒng)域中的網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全防護。主要防護措施包括，對網(wǎng)絡(luò)設(shè)備進行加固，及時安裝殺毒軟件和補丁，定期更新弱點掃描系統(tǒng)，并對掃描出的弱點及時進行處理。采用身份認證、IP、MAC地址控制外來設(shè)備的接入安全，采用較為安全的SSH、HTTPS等進行遠程管理。對網(wǎng)絡(luò)設(shè)備配置文件進行備份。對網(wǎng)絡(luò)設(shè)備安全事件進行定期或?qū)崟r審計。采用硬件雙機、冗余備份等方式保證關(guān)鍵網(wǎng)絡(luò)及設(shè)備正常安全工作，保證營銷管理系統(tǒng)域中的關(guān)鍵網(wǎng)絡(luò)鏈路冗余。

4.2.2網(wǎng)絡(luò)傳輸安全

營銷系統(tǒng)數(shù)據(jù)經(jīng)由網(wǎng)絡(luò)傳輸時可能會被截獲、篡改、刪除，因此應(yīng)當建立安全的通信傳輸網(wǎng)絡(luò)以保證網(wǎng)絡(luò)信息的安全傳輸。在非邊遠地方建立專用的電力通信網(wǎng)絡(luò)方便營銷系統(tǒng)的用戶安全使用、在邊遠的沒有覆蓋電力局和供電營業(yè)所的地方，采用建立GPRS、GSM，3G專線或租用運營商ADSL、ISDN網(wǎng)絡(luò)專網(wǎng)專用的方式，保障電力通信安全。電力營銷技術(shù)系統(tǒng)與各個銀行網(wǎng)上銀行、郵政儲蓄網(wǎng)點、電費代繳機構(gòu)進行合作繳費，極大方便電力客戶繳費。為了提高通道的安全性，形成了營銷系統(tǒng)信息內(nèi)網(wǎng)、銀行郵政等儲蓄系統(tǒng)、internet公網(wǎng)、供電中心網(wǎng)絡(luò)的一個封閉環(huán)路，利用專網(wǎng)或VPN、加密隧道等技術(shù)提高數(shù)據(jù)傳輸?shù)陌踩院涂煽啃?。在?shù)據(jù)傳輸之前需要進行設(shè)備間的身份認證，在認證過程中網(wǎng)絡(luò)傳輸?shù)目诹钚畔⒔姑魑膫魉停赏ㄟ^哈希（HASH）單向運算、SSL加密、SecureShel（lSSH）加密、公鑰基礎(chǔ)設(shè)施（PublicKeyInfrastructure簡稱PKI）等方式實現(xiàn)。此外，為保證所傳輸數(shù)據(jù)的完整性需要對傳輸數(shù)據(jù)加密處理。系統(tǒng)可采用校驗碼等技術(shù)以檢測和管理數(shù)據(jù)、鑒別數(shù)據(jù)在傳輸過程中完整性是否受到破壞。在檢測到數(shù)據(jù)完整性被破壞時，采取有效的恢復(fù)措施。

4.2.3網(wǎng)絡(luò)邊界防護

網(wǎng)絡(luò)邊界防護主要基于根據(jù)不同安全等級網(wǎng)絡(luò)的要求劃分安全區(qū)域的安全防護思想。營銷系統(tǒng)安全域邊界，分為同一安全域內(nèi)部各個子系統(tǒng)之間的內(nèi)部邊界，和跨不同安全域之間的網(wǎng)絡(luò)外部邊界兩類。依據(jù)安全防護等級、邊界防護和深度防護標準，具有相同安全保護需求的網(wǎng)絡(luò)或系統(tǒng)，相互信任，具有相同的訪問和控制策略，安全等級相同，被劃分在同一安全域內(nèi)[3]，采用相同的安全防護措施。加強外部網(wǎng)絡(luò)邊界安全，可以采用部署堡壘機、入侵檢測、審計管理系統(tǒng)等硬件加強邊界防護，同時規(guī)范系統(tǒng)操作行為，分區(qū)域分級別加強系統(tǒng)保護，減少系統(tǒng)漏洞，提高系統(tǒng)內(nèi)部的安全等級，從根本上提高系統(tǒng)的抗攻擊性?？绨踩騻鬏?shù)臄?shù)據(jù)傳輸需要進行加密處理。實現(xiàn)數(shù)據(jù)加密，啟動系統(tǒng)的加密功能或增加相應(yīng)模塊實現(xiàn)數(shù)據(jù)加密，也可采用第三方VPN等措施實現(xiàn)數(shù)據(jù)加密。

4.3主機安全

從增強主機安全的層面來增強營銷系統(tǒng)安全，采用虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwork簡稱VPN）等技術(shù)，在用戶網(wǎng)頁（WEB）瀏覽器和服務(wù)器之間進行安全數(shù)據(jù)通信，提高主機自身安全性，監(jiān)管主機行，減小用戶錯誤操作對系統(tǒng)的影響。首先，掃描主機操作系統(tǒng)評估出配置錯誤項，按照系統(tǒng)廠商或安全組織提供的加固列表對操作系統(tǒng)進行安全加固，以達到相關(guān)系統(tǒng)安全標準。安裝第三方安全組件加強主機系統(tǒng)安全防護。采用主機防火墻系統(tǒng)、入侵檢測/防御系統(tǒng)（IDS/IPS）、監(jiān)控軟件等。在服務(wù)器和客戶端上部署專用版或網(wǎng)絡(luò)版防病毒軟件系統(tǒng)或病毒防護系統(tǒng)等。此外，還需要制定用戶安全策略，系統(tǒng)用戶管理策略，定義用戶口令管理策略[4]。根據(jù)管理用戶角色分配用戶權(quán)限，限制管理員使用權(quán)限，實現(xiàn)不同管理用戶的權(quán)限分離。對資源訪問進行權(quán)限控制。依據(jù)安全策略對敏感信息資源設(shè)置敏感標記，制定訪問控制策略嚴格管理用戶對敏感信息資源的訪問和操作。

4.4數(shù)據(jù)庫安全

數(shù)據(jù)庫安全首要是數(shù)據(jù)存儲安全，包括敏感口令數(shù)據(jù)非明文存儲，對關(guān)鍵敏感業(yè)務(wù)數(shù)據(jù)加密存儲，本地數(shù)據(jù)備份與恢復(fù)，關(guān)鍵數(shù)據(jù)定期備份，備份介質(zhì)場外存放和異地備份。當環(huán)境發(fā)生變更時，定期進行備份恢復(fù)測試，以保證所備份數(shù)據(jù)安全可靠。數(shù)據(jù)安全管理用于數(shù)據(jù)庫管理用戶的身份認證，制定用戶安全策略，數(shù)據(jù)庫系統(tǒng)用戶管理策略，口令管理的相關(guān)安全策略，用戶管理策略、用戶訪問控制策略，合理分配用戶權(quán)限。數(shù)據(jù)庫安全審計采用數(shù)據(jù)庫內(nèi)部審計機制或第三方數(shù)據(jù)庫審計系統(tǒng)進行安全審計，并定期對審計結(jié)果進行分析處理。對較敏感的存儲過程加以管理，限制對敏感存儲過程的使用。及時更新數(shù)據(jù)庫程序補丁。經(jīng)過安全測試后加載數(shù)據(jù)庫系統(tǒng)補丁，提升數(shù)據(jù)庫安全。數(shù)據(jù)庫安全控制、在數(shù)據(jù)庫安裝前，必須創(chuàng)建數(shù)據(jù)庫的管理員組，服務(wù)器進行訪問限制，制定監(jiān)控方案的具體步驟。工具配置參數(shù)，實現(xiàn)同遠程數(shù)據(jù)庫之間的連接[5]。數(shù)據(jù)庫安全恢復(fù)，在數(shù)據(jù)庫導(dǎo)入時，和數(shù)據(jù)庫發(fā)生故障時，數(shù)據(jù)庫數(shù)據(jù)冷備份恢復(fù)和數(shù)據(jù)庫熱備份恢復(fù)。

4.5應(yīng)用安全

應(yīng)用安全是用戶對營銷系統(tǒng)應(yīng)用的安全問題。包括應(yīng)用系統(tǒng)安全和系統(tǒng)的用戶接口和數(shù)據(jù)接口的安全防護。

4.5.1應(yīng)用系統(tǒng)安全防護

應(yīng)用系統(tǒng)安全防護首先要對應(yīng)用系統(tǒng)進行安全測評、安全加固，提供系統(tǒng)資源控制功能以保證業(yè)務(wù)正常運行。定期對應(yīng)用程序軟件進行弱點掃描，掃描之前應(yīng)更新掃描器特征代碼；弱點掃描應(yīng)在非核心業(yè)務(wù)時段進行，并制定回退計劃。依據(jù)掃描結(jié)果，及時修復(fù)所發(fā)現(xiàn)的漏洞，確保系統(tǒng)安全運行。

4.5.2用戶接口安全防護

對于用戶訪問應(yīng)用系統(tǒng)的用戶接口需采取必要的安全控制措施，包括對同一用戶采用兩種以上的鑒別技術(shù)鑒別用戶身份，如采用用戶名/口令、動態(tài)口令、物理識別設(shè)備、生物識別技術(shù)、數(shù)字證書身份鑒別技術(shù)等的組合使用。對于用戶認證登陸采用包括認證錯誤及超時鎖定、認證時間超出強制退出、認證情況記錄日志等安全控制措施。采用用戶名/口令認證時，應(yīng)當對口令長度、復(fù)雜度、生存周期進行強制要求。同時，為保證用戶訪問重要業(yè)務(wù)數(shù)據(jù)過程的安全保密，用戶通過客戶端或WEB方式訪問應(yīng)用系統(tǒng)重要數(shù)據(jù)應(yīng)當考慮進行加密傳輸，如網(wǎng)上營業(yè)廳等通過Internet等外部公共網(wǎng)絡(luò)進行業(yè)務(wù)系統(tǒng)訪問必須采用SSL等方式對業(yè)務(wù)數(shù)據(jù)進行加密傳輸。杜絕經(jīng)網(wǎng)絡(luò)傳輸?shù)挠脩裘?、口令等認證信息應(yīng)當明文傳輸和用戶口令在應(yīng)用系統(tǒng)中明文存儲。

4.5.3數(shù)據(jù)接口安全防護

數(shù)據(jù)接口的安全防護分為安全域內(nèi)數(shù)據(jù)接口的安全防護和安全域間數(shù)據(jù)接口的安全防護。安全域內(nèi)數(shù)據(jù)接口在同一安全域內(nèi)部不同應(yīng)用系統(tǒng)之間，需要通過網(wǎng)絡(luò)交換或共享數(shù)據(jù)而設(shè)置的數(shù)據(jù)接口；安全域間數(shù)據(jù)接口是跨不同安全域的不同應(yīng)用系統(tǒng)間，需要交互或共享數(shù)據(jù)而設(shè)置的數(shù)據(jù)接口。

5安全管理

安全管理是安全建設(shè)的各項技術(shù)和措施得以實現(xiàn)不可缺少的保障，從制度和組織機構(gòu)到安全運行、安全服務(wù)和應(yīng)急安全管理，是一套標準化系統(tǒng)的流程規(guī)范，主要包括以下方面。

5.1安全組織機構(gòu)

建立營銷業(yè)務(wù)應(yīng)用安全防護的組織機構(gòu)，并將安全防護的責任落實到人，安全防護組織機構(gòu)可以由專職人員負責，也可由運維人員兼職。

5.2安全規(guī)章制度

建立安全規(guī)章制度，加強安全防護策略管理，軟件系統(tǒng)安全生命周期的管理，系統(tǒng)安全運維管理，安全審計與安全監(jiān)控管理，以及口令管理、權(quán)限管理等。確保安全規(guī)章制度能夠有效落實執(zhí)行。

5.3安全運行管理

在系統(tǒng)上線運行過程中，遵守國家電網(wǎng)公司的安全管理規(guī)定，嚴格遵守業(yè)務(wù)數(shù)據(jù)安全保密、網(wǎng)絡(luò)資源使用、辦公環(huán)境等的安全規(guī)定。首先，系統(tǒng)正式上線前應(yīng)進行專門的系統(tǒng)安全防護測試，應(yīng)確認軟件系統(tǒng)安全配置項目準確，以使得已經(jīng)設(shè)計、開發(fā)的安全防護功能正常工作。在上線運行維護階段，應(yīng)定期對系統(tǒng)運行情況進行全面審計，包括網(wǎng)絡(luò)審計、主機審計、數(shù)據(jù)庫審計，業(yè)務(wù)應(yīng)用審計等。每次審計應(yīng)記入審計報告，發(fā)現(xiàn)問題應(yīng)進入問題處理流程。建立集中日志服務(wù)器對營銷交易安全域中網(wǎng)絡(luò)及安全設(shè)備日志進行集中收集存儲和管理。軟件升級改造可能會對原來的系統(tǒng)做出調(diào)整或更改，此時也應(yīng)從需求、分析、設(shè)計、實施上線等的整個生命周期對運行執(zhí)行新的安全管理。

5.4安全服務(wù)

安全服務(wù)的目的是保障系統(tǒng)建設(shè)過程中的各個階段的有效執(zhí)行，問題、變更和偏差有效反饋，及時解決和糾正。從項目層面進行推進和監(jiān)控系統(tǒng)建設(shè)的進展，確保項目建設(shè)質(zhì)量和實現(xiàn)各項指標。從項目立項、調(diào)研、開發(fā)到實施、驗收、運維等各個不同階段，可以階段性開展不同的安全服務(wù)，包括安全管理、安全評審、安全運維、安全訪談、安全培訓(xùn)、安全測試、安全認證等安全服務(wù)。

5.5安全評估

安全評估是對營銷系統(tǒng)潛在的風(fēng)險進行評估（RiskAssessment），在風(fēng)險尚未發(fā)生或產(chǎn)生嚴重后果之前對其造成后果的危險程度進行分析，制定相應(yīng)的策略減少或杜絕風(fēng)險的發(fā)生概率。營銷系統(tǒng)的安全評估主要是針對第三方使用人員，評估內(nèi)容涵蓋，終端安全和接入網(wǎng)絡(luò)安全。根據(jù)國家電網(wǎng)公司安全等級標準，對核心業(yè)務(wù)系統(tǒng)接入網(wǎng)絡(luò)安全等級進行測評，并給出測評報告和定期加固改造辦法，如安裝終端加固軟件/硬件，安裝監(jiān)控軟件、增加網(wǎng)絡(luò)安全設(shè)備、增加安全策略，包括禁止違規(guī)操作、禁止越權(quán)操作等。

5.6應(yīng)急管理

為了營銷系統(tǒng)7×24小時安全運行，必須建立健全快速保障體系，在系統(tǒng)出現(xiàn)突發(fā)事件時，有效處理和解決問題，最大限度減小不良影響和損失，制定合理可行的應(yīng)急預(yù)案，主要內(nèi)容包括：明確目標或要求，設(shè)立具有專門的部門或工作小組對突發(fā)事件能夠及時反應(yīng)和處理。加強規(guī)范的應(yīng)急流程管理，明確應(yīng)急處理的期限和責任人。對于一定安全等級的事件，要及時或上報。

6實施部署

營銷系統(tǒng)為多級部署系統(tǒng)。根據(jù)國家電網(wǎng)信息網(wǎng)絡(luò)分區(qū)域安全防護的指導(dǎo)思想原則，結(jié)合新疆多地市不同安全級別需求的實際情況，營銷系統(tǒng)網(wǎng)絡(luò)整體安全部署如圖2所示。在營銷系統(tǒng)部署中，對安全需求不同的地市子網(wǎng)劃分不同的安全域，網(wǎng)省管控平臺部署在網(wǎng)省信息內(nèi)網(wǎng)，負責對所有安全防護措施的管控和策略的下發(fā)，它是不同安全級別地市子系統(tǒng)信息的管理控制中心，也是聯(lián)接總部展示平臺的橋梁，向國網(wǎng)總公司提交營銷系統(tǒng)安全運行的數(shù)據(jù)和報表等信息。

7結(jié)束語

網(wǎng)絡(luò)安全等級測評報告范文第5篇

中標軟件旗下?lián)碛兄袠索梓?、中標凌巧、中標普華三大產(chǎn)品品牌?！白灾骺煽?、安全可靠”是中標軟件系列產(chǎn)品重點打造的核心特性。旗下產(chǎn)品包括：中標麒麟安全操作系統(tǒng)、中標麒麟安全云操作系統(tǒng)、中標麒麟安全郵件服務(wù)器、中標麒麟高可用集群軟件、中標麒麟高級服務(wù)器操作系統(tǒng)、中標麒麟通用服務(wù)器操作系統(tǒng)、中標麒麟桌面操作系統(tǒng)等核心產(chǎn)品。

中標麒麟（NeoKylin）是“核高基”國家重大科技專項支持的、由國內(nèi)操作系統(tǒng)兩強中標軟件有限公司與國防科學(xué)技術(shù)大學(xué)共同推出的國產(chǎn)操作系統(tǒng)旗艦品牌。作為中國操作系統(tǒng)第一品牌，中標麒麟致力于提供值得信賴的自主可控操作系統(tǒng)產(chǎn)品。中標麒麟操作系統(tǒng)產(chǎn)品榮獲“國家重點新產(chǎn)品”稱號，并進入國家信息產(chǎn)業(yè)部產(chǎn)品推薦目錄。

目前中標麒麟操作系統(tǒng)產(chǎn)品已在國防、政府、金融、電力、醫(yī)衛(wèi)等重點行業(yè)進行全面推廣。根據(jù)賽迪顧問統(tǒng)計，2012年中標麒麟產(chǎn)品在國內(nèi)Linux操作系統(tǒng)市場占有率排名第一。

中標麒麟安全操作系統(tǒng)是為滿足政府、國防、電力、金融、證券、等領(lǐng)域，以及針對企業(yè)電子商務(wù)和互聯(lián)網(wǎng)應(yīng)用對操作系統(tǒng)平臺的安全需求，由中標軟件有限公司和國防科學(xué)技術(shù)大學(xué)聯(lián)合研發(fā)的安全可控、高安全等級的服務(wù)器操作系統(tǒng)平臺產(chǎn)品。中標麒麟安全操作系統(tǒng)通過了公安部信息安全產(chǎn)品檢測中心基于《GB/T20272-2006信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》第四級（結(jié)構(gòu)化保護級）技術(shù)要求認證。

中標麒麟安全操作系統(tǒng)所獲資質(zhì)或認可：公安部信息安全產(chǎn)品檢測中心GB/T 20272-2006第四級（結(jié)構(gòu)化保護級）檢測報告、公安部公共信息安全網(wǎng)絡(luò)安全監(jiān)察局-計算機信息安全專用產(chǎn)品銷售許可、中國人民軍用信息安全產(chǎn)品認證（軍B+級）、國家電網(wǎng)信息系統(tǒng)安全實驗室測評報告、中標麒麟安全操作系統(tǒng)V5-計算機軟件產(chǎn)品登記、中標麒麟安全套件軟件V5-計算機軟件著作權(quán)登記、中標麒麟安全操作系統(tǒng)V5-兼容性測試報告、中標麒麟安全操作系統(tǒng)V5-LSB3.1認證、中標麒麟安全操作系統(tǒng)V5-CGL4.0認證。