前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網(wǎng)絡(luò)安全等級劃分范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

網(wǎng)絡(luò)安全等級劃分范文第1篇

關(guān)鍵詞：事業(yè)單位；網(wǎng)絡(luò)安全等級保護(hù)；部署建議

0引言

網(wǎng)絡(luò)安全等級保護(hù)制度是保障各事業(yè)單位網(wǎng)絡(luò)安全的重要方法，通過進(jìn)行網(wǎng)絡(luò)安全分級保護(hù)，可以高效解決目前事業(yè)單位所面臨的網(wǎng)絡(luò)安全問題，按照“重點(diǎn)優(yōu)先”的思想，將資源有的放矢地投入到網(wǎng)絡(luò)安全建設(shè)中，有助于快速夯實(shí)網(wǎng)絡(luò)安全等級保護(hù)的基礎(chǔ)。

1網(wǎng)絡(luò)安全等級保護(hù)定義

網(wǎng)絡(luò)安全等級保護(hù)是指對單位內(nèi)的秘密信息和專有信息以及可以公開的信息進(jìn)行分級保護(hù)，對信息系統(tǒng)中的防火墻進(jìn)行分級設(shè)置，對產(chǎn)生的網(wǎng)絡(luò)安全事件建立不同的響應(yīng)機(jī)制。這種保護(hù)制度共分為五個級別：自主保護(hù)、指導(dǎo)保護(hù)、監(jiān)督保護(hù)、強(qiáng)制保護(hù)、?？乇Ｗo(hù)。不同的信息擁有不同的機(jī)密性，就會有相應(yīng)的安全保護(hù)機(jī)制。近期，網(wǎng)絡(luò)安全等級保護(hù)制度2.0國家標(biāo)準(zhǔn)正式，這對加強(qiáng)網(wǎng)絡(luò)安全保衛(wèi)工作、提升網(wǎng)絡(luò)能力具有重大意義。

2網(wǎng)絡(luò)安全等級保護(hù)現(xiàn)狀分析

按照新的網(wǎng)絡(luò)安全等級保護(hù)要求，絕大多數(shù)單位在網(wǎng)絡(luò)安全技術(shù)和管理方面存在差距和盲點(diǎn)，網(wǎng)絡(luò)安全保障體系仍需完善。主要表現(xiàn)在以下幾個方面：（1）網(wǎng)絡(luò)安全管理工作有待進(jìn)一步加強(qiáng)在網(wǎng)絡(luò)安全管理制度方面存在不夠完善，對信息資產(chǎn)管理、服務(wù)外包管理等缺乏網(wǎng)絡(luò)安全方面有關(guān)要求。未建立體系化的內(nèi)部操作規(guī)程，而且對網(wǎng)絡(luò)安全管理和技術(shù)人員專業(yè)技能培訓(xùn)相對較少，網(wǎng)絡(luò)安全等級保護(hù)的定級、備案及測評等未開展。運(yùn)維工作的部分操作不規(guī)范，隨意性較強(qiáng)，對網(wǎng)絡(luò)、系統(tǒng)安全穩(wěn)定運(yùn)行造成風(fēng)險(xiǎn)。（2）網(wǎng)絡(luò)架構(gòu)存在安全隱患和較為明顯的脆弱性有的內(nèi)網(wǎng)連接，雖部署了防火墻進(jìn)行網(wǎng)絡(luò)訪問控制，但是部分防火墻缺乏安全配置及管理，訪問控制策略不嚴(yán)格，同時(shí)某些單位內(nèi)部網(wǎng)絡(luò)也缺乏分區(qū)和邊界控制措施，無法限制非授權(quán)用戶接入內(nèi)網(wǎng)和授權(quán)用戶濫用授權(quán)違規(guī)外聯(lián)外網(wǎng)的行為，部分單位發(fā)現(xiàn)終端跨接內(nèi)外網(wǎng)的現(xiàn)象，導(dǎo)致整個單位的內(nèi)網(wǎng)存在“一點(diǎn)接入，訪問全網(wǎng)，攻擊全網(wǎng)”的安全風(fēng)險(xiǎn)。（3）主機(jī)計(jì)算環(huán)境抵御攻擊能力較低主機(jī)服務(wù)器未及時(shí)更新系統(tǒng)安全補(bǔ)丁，導(dǎo)致存在比如MS17-010（永恒之藍(lán)）、弱口令等高危漏洞；部分服務(wù)器未部署防病毒軟件、病毒庫未更新，沒有惡意代碼防范措施，部分單位的終端感染木馬病毒，一旦被利用，可能導(dǎo)致內(nèi)部服務(wù)器主機(jī)大面積感染惡意程序等事件發(fā)生。（4）應(yīng)用系統(tǒng)安全防范措施缺失有的運(yùn)行在內(nèi)網(wǎng)應(yīng)用系統(tǒng)，存在高風(fēng)險(xiǎn)安全漏洞；在應(yīng)用系統(tǒng)身份鑒別、數(shù)據(jù)完整性、保密性保護(hù)等方面存在策略配置不足問題，結(jié)合其他安全風(fēng)險(xiǎn)，會帶來系統(tǒng)服務(wù)安全、數(shù)據(jù)安全等較嚴(yán)重的安全問題。（5）數(shù)據(jù)安全保護(hù)能力不足有的未對專網(wǎng)的重要數(shù)據(jù)進(jìn)行分級分類管理，數(shù)據(jù)安全保護(hù)措施缺失，專網(wǎng)中的數(shù)據(jù)庫普遍存在弱口令、遠(yuǎn)程代碼執(zhí)行漏洞等高危安全漏洞，極易被攻擊利用，大量的業(yè)務(wù)數(shù)據(jù)和敏感信息存在較高的安全風(fēng)險(xiǎn)。（6）物理安全基礎(chǔ)保障欠缺有的機(jī)房未對進(jìn)出人員進(jìn)行鑒別登記，易造成機(jī)房遭受惡意人員破壞，存在安全風(fēng)險(xiǎn)。有的機(jī)房未部署門禁系統(tǒng)，未安裝防盜報(bào)警系統(tǒng)等進(jìn)行盜竊防護(hù)。

3網(wǎng)絡(luò)安全等級保護(hù)部署建議

3.1構(gòu)建等保系統(tǒng)框架

根據(jù)安全等級保護(hù)的總體思想，提出如圖1的網(wǎng)絡(luò)安全管理體系架構(gòu)?！翱傮w安全策略”處于網(wǎng)絡(luò)安全管理體系的最高層級，是單位網(wǎng)絡(luò)安全管理體系的首要指導(dǎo)策略。“安全管理組織框架”位于網(wǎng)絡(luò)安全管理體系的第二層，負(fù)責(zé)建立該單位網(wǎng)絡(luò)安全管理組織框架。它既確保了信息系統(tǒng)運(yùn)行時(shí)資料不會被泄露，也塑造了一個能穩(wěn)定運(yùn)行信息系統(tǒng)的管理體系，保證網(wǎng)絡(luò)安全管理活動的有效開展。“安全管理制度框架”位于網(wǎng)絡(luò)安全管理體系的第三層，分別從安全管理機(jī)構(gòu)及崗位職責(zé)、信息系統(tǒng)的硬件設(shè)備的安全管理、系統(tǒng)建設(shè)管理、安全運(yùn)行管理、安全事件處置和應(yīng)急預(yù)案管理等方面提出規(guī)范的安全管理要求。網(wǎng)絡(luò)安全管理體系的第四層描述的是如何進(jìn)行規(guī)范配置和具體的操作流程以及如何對運(yùn)行活動進(jìn)行記錄。從日常安全管理活動的執(zhí)行出發(fā)，對主要安全管理活動的具體配置、操作流程、執(zhí)行規(guī)范等各種各樣的安全管理活動做出具體操作指示，指導(dǎo)安全管理工作的具體執(zhí)行[1]。

3.2劃分安全域

根據(jù)安全等級保護(hù)系統(tǒng)總體架構(gòu)，重新劃分網(wǎng)絡(luò)安全域。各安全域安全管理策略應(yīng)遵循統(tǒng)一的基本要求，具體如下：（1）保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力滿足高峰期業(yè)務(wù)需求，通過網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)，避免存在網(wǎng)絡(luò)單點(diǎn)故障。（2）部署高效的防火墻設(shè)備，防止包括DDOS在內(nèi)的各類網(wǎng)絡(luò)攻擊；在通信網(wǎng)絡(luò)中部署IPS、入侵檢測系統(tǒng)、監(jiān)控探針等，監(jiān)視各種網(wǎng)絡(luò)攻擊行為。（3）在關(guān)鍵位置部署數(shù)據(jù)庫審計(jì)系統(tǒng)，對數(shù)據(jù)庫重要配置、操作、更改進(jìn)行審計(jì)記錄。（4）對于每一個訪問網(wǎng)絡(luò)的用戶將會進(jìn)行身份驗(yàn)證，確保配置管理的操作只有被賦予權(quán)限的網(wǎng)絡(luò)管理員才能進(jìn)行[2]。（5）部署流量檢測設(shè)備，通過Flow采集技術(shù)，建立流量圖式基線，根據(jù)應(yīng)用情況控制和分配流量。（6）增加除口令以外的技術(shù)措施，實(shí)現(xiàn)雙因素認(rèn)證[3]。（7）如需遠(yuǎn)程管理網(wǎng)絡(luò)設(shè)備和安全設(shè)備，應(yīng)采用加密方式，避免身份鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊取。（8）能夠及時(shí)有效阻斷接入網(wǎng)絡(luò)的非授權(quán)設(shè)備。

3.3控制安全邊界

基于部署的網(wǎng)絡(luò)安全軟硬件設(shè)備，設(shè)置相應(yīng)的安全規(guī)則，從而實(shí)現(xiàn)對安全邊界的控制管理。主要安全策略包括：（1）互聯(lián)網(wǎng)區(qū)域應(yīng)用安全：必須經(jīng)過邊界防火墻的邏輯隔離和安全訪問控制。（2）專網(wǎng)區(qū)域應(yīng)用安全：對于訪問身份和訪問權(quán)限有明顯界定，必須經(jīng)過邊界防火墻的邏輯隔離和安全訪問控制，其他區(qū)域和用戶都不允許直接訪問。（3）互聯(lián)網(wǎng)區(qū)域數(shù)據(jù)安全：只允許外部應(yīng)用域的應(yīng)用服務(wù)器訪問，其他區(qū)域用戶不能直接訪問。對數(shù)據(jù)域的訪問受到訪問身份和訪問權(quán)限的約束，必須經(jīng)邊界防火墻的邏輯隔離和安全訪問控制。（4）專網(wǎng)區(qū)域數(shù)據(jù)安全：只允許內(nèi)部應(yīng)用域的應(yīng)用服務(wù)器訪問，其他區(qū)域和用戶都不允許直接訪問。要訪問也必須具有受信的訪問身份和訪問權(quán)限。（5）互聯(lián)網(wǎng)區(qū)域和專網(wǎng)區(qū)域交互安全：對于內(nèi)外部之間的信息交互，采用數(shù)據(jù)擺渡和應(yīng)用協(xié)議相結(jié)合的方式進(jìn)行，嚴(yán)格控制雙網(wǎng)之間存在TCP/IP協(xié)議以及其他網(wǎng)絡(luò)協(xié)議的連接。（6）開發(fā)測試安全：開發(fā)測試域作為非信任區(qū)域，要求只能在受限的前提下進(jìn)行網(wǎng)絡(luò)訪問，必須經(jīng)過邊界防火墻的邏輯隔離和安全訪問控制。（7）密碼應(yīng)用安全：所有涉及密碼應(yīng)用的網(wǎng)絡(luò)安全設(shè)備，所采用的密碼算法必須為國密算法。（8）統(tǒng)一安全管理：防火墻、IDS、IPS、防病毒網(wǎng)關(guān)、網(wǎng)絡(luò)安全審計(jì)和數(shù)據(jù)庫安全審計(jì)系統(tǒng)的日志統(tǒng)一發(fā)送到安全管理區(qū)的安全管理平臺進(jìn)行分析。（9）終端安全管理：辦公設(shè)備統(tǒng)一部署終端安全管理系統(tǒng)，并能夠有效管理終端安全配置，準(zhǔn)入控制、防病毒功能，以及系統(tǒng)補(bǔ)丁升級。（10）設(shè)備知識產(chǎn)權(quán)：所涉及網(wǎng)絡(luò)安全設(shè)備的，必須是具有國產(chǎn)知識產(chǎn)權(quán)。

4總結(jié)

網(wǎng)絡(luò)安全等級保護(hù)工作事關(guān)重大，它是一個系統(tǒng)工程，需要各級人員多方面的協(xié)調(diào)合作。只有盡快補(bǔ)齊安全防護(hù)短板，才能切實(shí)提高一個單位的安全支撐能力、安全檢測能力、安全防護(hù)能力、應(yīng)急響應(yīng)能力和容災(zāi)恢復(fù)能力，從而更好地保障一個單位網(wǎng)絡(luò)安全建設(shè)的可持續(xù)發(fā)展。

參考文獻(xiàn)

[1]歐陽莎茜.運(yùn)用大數(shù)據(jù)制定園區(qū)安全環(huán)保用電策略的實(shí)例分析[D].西南交通大學(xué),2017.

網(wǎng)絡(luò)安全等級劃分范文第2篇

【關(guān)鍵詞】信息安全等級保護(hù) 測評實(shí)施

1 引言

醫(yī)院信息化建設(shè)快速發(fā)展，信息系統(tǒng)應(yīng)用深入到各個環(huán)節(jié)，信息業(yè)務(wù)系統(tǒng)承載了門診收費(fèi)、門診藥房、住院收費(fèi)、住院藥房、醫(yī)保、財(cái)務(wù)、門急診醫(yī)生護(hù)士站、住院醫(yī)生護(hù)士站、電子病歷、病案首頁、檢驗(yàn)LIS系統(tǒng)、檢查PACS系統(tǒng)、體檢系統(tǒng)等。保障重點(diǎn)信息系統(tǒng)的安全，規(guī)范信息安全等級保護(hù)，完善信息保護(hù)機(jī)制，提高信息系統(tǒng)的防護(hù)能力和應(yīng)急水平，有效遏制重大網(wǎng)絡(luò)與信息安全事件的發(fā)生，創(chuàng)造良好的信息系統(tǒng)安全運(yùn)營環(huán)境勢在必要。根據(jù)衛(wèi)生部印發(fā)的《衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見》，衛(wèi)生信息安全工作是我國衛(wèi)生事業(yè)發(fā)展的重要組成部分。做好信息安全等級保護(hù)工作，對于促進(jìn)衛(wèi)生信息化健康發(fā)展，保障醫(yī)藥衛(wèi)生體制改革，維護(hù)公共利益、社會秩序和國家安全具有重要意義。

2 確定測評對象與等級

我院是一所二級甲等綜合醫(yī)院，日門診人次1000人左右，住院日人次400余人。醫(yī)院信息系統(tǒng)HIS、LIS、PACS、電子病歷、體檢等50余個系統(tǒng)無縫結(jié)合，信息雙向交流。按照《信息系統(tǒng)安全等級保護(hù)定級指南》定級原理，確定醫(yī)院信息業(yè)務(wù)系統(tǒng)的安全保護(hù)等級為第2級，其中業(yè)務(wù)信息安全保護(hù)等級為2級，系統(tǒng)服務(wù)安全保護(hù)等級為2級。

2.1 招標(biāo)比選測評公司

醫(yī)院通過四川警察網(wǎng)了解到四川省獲得信息安全等級保護(hù)測評有資質(zhì)的5家公司。醫(yī)院電話通知該5家公司，簡單介紹醫(yī)院信息化情況，其中有3家公司到現(xiàn)場進(jìn)行調(diào)查，掌握了信息系統(tǒng)情況。然后通過招標(biāo)比選確定一家公司為我院測評安全等級保護(hù)。

2.2 測評實(shí)施

2.2.1 準(zhǔn)備階段

醫(yī)院填報(bào)《安全等級保護(hù)備案申報(bào)表》、《安全等級保護(hù)定級報(bào)告》，確定安全主管人員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、審計(jì)管理員、安全管理員。醫(yī)院組織相關(guān)人員到市級計(jì)算機(jī)安全學(xué)會進(jìn)行安全培訓(xùn)學(xué)習(xí)。確定醫(yī)院信息安全主管人員協(xié)助測評公司人員就醫(yī)院信息業(yè)務(wù)系統(tǒng)做調(diào)研，提交準(zhǔn)備資料。調(diào)研內(nèi)容涉及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖、線路鏈接情況、中心機(jī)房位置分布情況、應(yīng)用系統(tǒng)組成情況、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及相應(yīng)的IP地址、網(wǎng)絡(luò)互連設(shè)備的配置、網(wǎng)絡(luò)安全設(shè)備的配置、安全文檔等。

2.2.2 測評主要內(nèi)容

主要針對醫(yī)院信息系統(tǒng)技術(shù)安全和安全管理兩方面實(shí)施測評，其中技術(shù)安全包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用系統(tǒng)安全、數(shù)據(jù)安全及備份恢復(fù)進(jìn)行5；安全管理包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理。

2.2.3 測評方式與測評范圍

測評公司綜合采用了現(xiàn)場測評與風(fēng)險(xiǎn)分析方法測評、單元測評與整體測評。單元測評實(shí)施過程中采用現(xiàn)場訪談、檢查和測試等測評方法。就各類崗位人員進(jìn)行訪談，了解醫(yī)院業(yè)務(wù)運(yùn)作以及網(wǎng)絡(luò)運(yùn)行狀況；查看主機(jī)房、應(yīng)用系統(tǒng)軟件、主機(jī)操作系統(tǒng)及安全相關(guān)軟件、數(shù)據(jù)庫管理系統(tǒng)、安全設(shè)備管理系統(tǒng)、安全文檔、網(wǎng)絡(luò)分布鏈接情況。檢查物理安全、主機(jī)安全、網(wǎng)絡(luò)安全、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)等技術(shù)類測評任務(wù)，以及安全管理類測評任務(wù)；查閱分析文檔、核查安全配置、監(jiān)聽與分析網(wǎng)絡(luò)等檢查方法查證防火墻、路由器、交換機(jī)部署及其配置情況、端口開放情況等；測評人員采用手工驗(yàn)證和工具測試進(jìn)行漏洞掃描、系統(tǒng)滲透測試，檢查系統(tǒng)的安全有效性。

整體測評主要應(yīng)用于安全控制間、層面間和區(qū)域間等三個方面。主要就是針對同一區(qū)域內(nèi)、同一層面上或不同層面上的不同安全控制間存在的安全問題以及不同區(qū)域間的互連互通時(shí)的安全性。

醫(yī)院信息系統(tǒng)運(yùn)用了身份鑒別措施、軟件容錯機(jī)制、用戶權(quán)限分組管理、密碼賬戶登錄、數(shù)據(jù)庫表中記錄用戶操作、對重要事件進(jìn)行審計(jì)并留存記錄。網(wǎng)絡(luò)邊界處部署防火墻防御入侵，終端使用了趨勢網(wǎng)絡(luò)版本防病毒產(chǎn)品，抵御惡意代碼。開啟系統(tǒng)審計(jì)日志，制定和實(shí)施有效安全管理制度，加強(qiáng)安全管理，降低系統(tǒng)安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)進(jìn)行了有效的區(qū)域劃分，區(qū)域之間通過訪問控制列表實(shí)現(xiàn)安全控制，與社保局、醫(yī)管辦等第三方外聯(lián)區(qū)之間通過防火墻嚴(yán)格限制訪問端口。

2.2.5 差距分析與測評整改

通過測評，測評公司寫出測評報(bào)告，提出整改建議。按照《信息系統(tǒng)安全等級保護(hù)基本要求》要求6，測評公司人員根據(jù)醫(yī)院當(dāng)前安全管理需要和管理特點(diǎn)，針對等級保護(hù)所要求的安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理，從人員、制度、運(yùn)作、規(guī)范等角度，進(jìn)行全面的建設(shè)7，提供技術(shù)建設(shè)措施，落實(shí)等級保護(hù)制度的各項(xiàng)要求，就各類人員進(jìn)行安全培訓(xùn)，提升醫(yī)院信息系統(tǒng)管理的能力。醫(yī)院分期逐步投入防網(wǎng)絡(luò)入侵系統(tǒng)、數(shù)據(jù)庫審計(jì)系統(tǒng)等。

2.2.6 編制報(bào)告，成功備案

測評公司編制報(bào)告，上報(bào)市公安局備案成功，獲得二級信息系統(tǒng)備案證書。二級信息系統(tǒng)，每兩年進(jìn)行一次信息安全等級測評。實(shí)施安全等級保護(hù)測評備案使醫(yī)院信息系統(tǒng)安全管理水平提高，安全保護(hù)能力增強(qiáng)，有效保障信息化健康發(fā)展。

3 結(jié)語

網(wǎng)絡(luò)安全問題是一個集技術(shù)、管理和法規(guī)于一體的長期系統(tǒng)工程，始終有其動態(tài)性，醫(yī)院需要不斷進(jìn)行完善，加強(qiáng)管理，持續(xù)增加安全設(shè)備以保障醫(yī)院數(shù)據(jù)安全有效，保障信息系統(tǒng)安全穩(wěn)定運(yùn)行。醫(yī)院信息安全建設(shè)要切合自身?xiàng)l件特點(diǎn)，分期分批循序建設(shè)，保證醫(yī)院各系統(tǒng)長期穩(wěn)定安全運(yùn)行，以適應(yīng)醫(yī)院不斷擴(kuò)展的業(yè)務(wù)應(yīng)用和管理需求8。

參考文獻(xiàn)

[1]衛(wèi)辦發(fā).〔2011〕85號，衛(wèi)生部關(guān)于印發(fā)“衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見”的通知，2011.

[2]尚邦治.做好信息安全等級保護(hù)工作[J].中國衛(wèi)生信息管理雜志，2005.

[3]王建英，陳文霞，胡雯，張鵬.醫(yī)院信息安全分析及措施[J].中國病案，2013.

[4]王俊.醫(yī)院信息安全等級保護(hù)管理體系的構(gòu)建[J].醫(yī)學(xué)信息，2013.

[5]韓作為.醫(yī)院信息安全等級保護(hù)三級建設(shè)流程與要點(diǎn)[J].中國數(shù)字醫(yī)學(xué)，2006.

網(wǎng)絡(luò)安全等級劃分范文第3篇

1.1物理環(huán)境安全分析

信息中心機(jī)房安全對醫(yī)院信息系統(tǒng)異常重要,它是承載整個信息系統(tǒng)的基礎(chǔ)條件,直接影響信息系統(tǒng)能否正常工作。同時(shí),中心機(jī)房工作環(huán)境影響設(shè)備能否長期正常工作。根據(jù)調(diào)查,機(jī)房環(huán)境溫度每上升1度,計(jì)算機(jī)系統(tǒng)壽命減少一半;機(jī)房濕度低容易產(chǎn)生靜電,大量靜電容易損壞電路芯片,濕度太高容易腐蝕元器件等。從信息系統(tǒng)安全等級保護(hù)要求來看,物理環(huán)境安全分為設(shè)備物理安全、環(huán)境物理安全、系統(tǒng)物理安全三大方面。其中,設(shè)備物理安全主要包括靜電放電、電磁輻射騷擾、電源適應(yīng)能力等21項(xiàng)具體要求;物理環(huán)境安全主要包括場地選擇、機(jī)房防火、機(jī)房屏蔽、供電系統(tǒng)、溫濕度控制等19項(xiàng)具體要求;系統(tǒng)物理安全主要包括:災(zāi)難備份與恢復(fù)、防止非法設(shè)備接入、防止設(shè)備非法外聯(lián)等6項(xiàng)具體要求。

1.2網(wǎng)絡(luò)安全分析

在醫(yī)療行業(yè)中大家對網(wǎng)絡(luò)安全普遍的認(rèn)識是以防火墻加防病毒來進(jìn)行網(wǎng)絡(luò)安全防護(hù),但事實(shí)上網(wǎng)絡(luò)安全問題涉及的內(nèi)容很多。隨著醫(yī)院網(wǎng)絡(luò)整體應(yīng)用規(guī)模的不斷擴(kuò)大,大規(guī)模DOS侵入、黑客攻擊、蠕蟲病毒、外來工作人員等因素導(dǎo)致網(wǎng)絡(luò)安全環(huán)境日益惡化,現(xiàn)有安全技術(shù)手段逐漸暴露出安全防護(hù)力度不夠,強(qiáng)度不高等問題,由于網(wǎng)絡(luò)安全引發(fā)重要數(shù)據(jù)的丟失、破壞,將造成難以彌補(bǔ)的損失,嚴(yán)重影響到醫(yī)院網(wǎng)絡(luò)的正常運(yùn)行。從等級保護(hù)要求方面,網(wǎng)絡(luò)安全應(yīng)該從身份鑒別、自主訪問控制、強(qiáng)制訪問控制、安全審計(jì)、可行路徑、防抵賴等11個方面的進(jìn)行安全防護(hù)建設(shè)和防護(hù)。

1.3主機(jī)安全分析

主機(jī)是醫(yī)院信息系統(tǒng)的主要承載硬件設(shè)備,其安全性不言而喻,主機(jī)安全主要涉及:身份鑒別、訪問控制、審計(jì)安全、入侵防范、資源控制等。影響主機(jī)安全的主要因素來源于兩方面:一方面是針對操作系統(tǒng)的后門、木馬與病毒攻擊、黑客攻擊、信息篡改、信息泄露、拒絕服務(wù)攻擊等方面;另一方面是針對數(shù)據(jù)庫的審計(jì)記錄不足、拒絕服務(wù)、數(shù)據(jù)庫通訊協(xié)議泄露、身份驗(yàn)證問題等方面。

1.4數(shù)據(jù)安全分析

數(shù)據(jù)庫是醫(yī)院信息系統(tǒng)數(shù)據(jù)存儲的核心,從某種意義上說,醫(yī)療數(shù)據(jù)安全是醫(yī)院信息安全的最主要防護(hù)重點(diǎn),是整個安全防護(hù)的最重要核心。數(shù)據(jù)涉及到信息覆蓋面廣,數(shù)據(jù)量大,信息種類繁多,要保持每天24小時(shí)不間斷運(yùn)行[2],一旦數(shù)據(jù)破壞或丟失,都會給醫(yī)院造成不可估量的損失。

1.5應(yīng)用安全分析

眾所周知,我國信息安全采用信息安全等級保護(hù)制度,按照應(yīng)用系統(tǒng)的安全等級進(jìn)行劃分,應(yīng)用系統(tǒng)是等級保護(hù)的核心,所處的IT環(huán)境包括主機(jī)、數(shù)據(jù)庫、網(wǎng)絡(luò)傳輸、物理等,這些因素從客觀上增加了應(yīng)用系統(tǒng)的安全風(fēng)險(xiǎn),這些風(fēng)險(xiǎn)是必然存在的。應(yīng)用系統(tǒng)從自身架構(gòu)上基本包含數(shù)據(jù)采集、數(shù)據(jù)處理與匯總分析、人機(jī)界面以及各層之間的API接口,這些組成部分從主觀上增加了應(yīng)用系統(tǒng)本身的安全風(fēng)險(xiǎn),而應(yīng)用系統(tǒng)本身安全又包括應(yīng)用系統(tǒng)架構(gòu)設(shè)計(jì)安全、模塊間數(shù)據(jù)通訊安全、數(shù)據(jù)存儲安全設(shè)計(jì)、訪問控制、身份認(rèn)證等主要方面,因此每個層面都需要在系統(tǒng)設(shè)計(jì)時(shí)進(jìn)行安全考慮和設(shè)計(jì)。

2醫(yī)院信息安全防護(hù)措施

2.1加強(qiáng)安全意識教育

人是信息安全環(huán)節(jié)中最重要的因素[3],既是信息安全最大的防護(hù)者,也是信息安全問題的制造者。不僅要加強(qiáng)醫(yī)務(wù)人員和信息管理人員自身的信息安全教育,同時(shí)也要提高信息安全意識。要做到思想上認(rèn)識到信息安全工作的重要性,進(jìn)一步確立信息化條件下醫(yī)院信息安全防護(hù)的指導(dǎo)思想。通過開展信息安全教育,把人員思想與單位制定的信息安全標(biāo)準(zhǔn)、規(guī)范、制度等緊密結(jié)合,高度統(tǒng)一。建立健全信息安全教育相關(guān)培訓(xùn)制度和機(jī)制。

2.2建立完善的安全管理體系

加強(qiáng)醫(yī)院信息系統(tǒng)安全防護(hù)制度建設(shè)、加強(qiáng)和建立技術(shù)防護(hù)規(guī)劃和體系建設(shè)、建立人員安全防護(hù)體系、建立資產(chǎn)管理體系。形成制度、技術(shù)、人員管理和資產(chǎn)管理相結(jié)合的立體安全防護(hù)體系。信息安全工作要根據(jù)醫(yī)療行業(yè)、軍隊(duì)、國家的相關(guān)信息安全要求,從信息安全工作的宏觀出發(fā),著手微觀。宏觀上要制定總體方針和安全策略,建立起整套的信息安全管理機(jī)構(gòu)。微觀上要制定信息安全管理機(jī)構(gòu)的工作目標(biāo)、工作的邊界、工作的原則、建立信息系統(tǒng)安全域以及信息系統(tǒng)的安全框架。完善安全管理活動中的各類安全防護(hù)標(biāo)準(zhǔn)、制度、規(guī)范以及工作流程。應(yīng)設(shè)立專門的安全崗位并確定職責(zé),應(yīng)成立指導(dǎo)和管理信息安全工作的領(lǐng)導(dǎo)小組,其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或者授權(quán)。同時(shí),應(yīng)根據(jù)國家和行業(yè)的信息安全要求,例如:信息安全等級保護(hù)、風(fēng)險(xiǎn)評估等建立起適合本醫(yī)院的信息安全等級保護(hù)制度基線。從應(yīng)用系統(tǒng)定級到測評和改造建立起一套行之有效、適合自身的等級保護(hù)測評制度和流程,形成完善的信息安全生命周期環(huán),使醫(yī)院信息安全建設(shè)能夠伴隨著應(yīng)用系統(tǒng)建設(shè)不斷滾動健全。

2.3建立完善的安全技術(shù)體系

我國信息安全等級保護(hù)要求,以信息系統(tǒng)作為定級和保護(hù)對象,從物理安全、網(wǎng)絡(luò)安全等5個層面進(jìn)行了不同等級間、細(xì)顆粒度的具體要求。醫(yī)院信息系統(tǒng)按照信息安全等級保護(hù)標(biāo)準(zhǔn)進(jìn)行安全防護(hù)建設(shè),從機(jī)房和網(wǎng)絡(luò)的公共基礎(chǔ)安全防護(hù)到數(shù)據(jù)和應(yīng)用的系統(tǒng)化安全防護(hù),醫(yī)院信息系統(tǒng)安全防護(hù)主要分為以下幾個環(huán)節(jié)進(jìn)行防護(hù):

2.3.1物理防護(hù)層面

機(jī)房屬于信息安全等級保護(hù)中規(guī)定的物理部分,它承載著應(yīng)用系統(tǒng)所依賴的IT硬件環(huán)境,因此機(jī)房位置的選擇至關(guān)重要,從等級保護(hù)測評細(xì)項(xiàng)上要求機(jī)房所在樓宇需要對防震、防雨、防風(fēng)等進(jìn)行強(qiáng)度要求。同時(shí)為避免內(nèi)澇和雷擊的危險(xiǎn),機(jī)房要求避免設(shè)置在地下或者頂層。同時(shí),機(jī)房是IT資產(chǎn)的重要區(qū)域,要求相關(guān)人員進(jìn)出要有門禁控制和相應(yīng)的音視頻監(jiān)控,對出入人員進(jìn)行鑒別、控制、記錄。在物理機(jī)房防護(hù)上還應(yīng)注意防火、防盜竊和防破壞等。具體措施可根據(jù)醫(yī)院實(shí)際情況進(jìn)行整改建設(shè)。

2.3.2網(wǎng)絡(luò)防護(hù)層面

網(wǎng)絡(luò)是整個信息化工作的高速公路,承載著各種業(yè)務(wù)。目前各醫(yī)院醫(yī)療工作基本實(shí)現(xiàn)無紙化,醫(yī)療數(shù)據(jù)傳遞依靠網(wǎng)絡(luò)系統(tǒng),一套業(yè)務(wù)處理能力強(qiáng)、帶寬高且有冗余的網(wǎng)絡(luò)系統(tǒng)才能夠滿足醫(yī)療業(yè)務(wù)高峰需求。應(yīng)根據(jù)應(yīng)用需求建立網(wǎng)絡(luò)安全訪問路徑,對客戶端和核心服務(wù)器間進(jìn)行路由控制,對不同醫(yī)療部門根據(jù)工作職能、重要程度和信息敏感性等要素劃分不同的網(wǎng)段,并對不同網(wǎng)段按照重要程度劃分安全域。根據(jù)醫(yī)療業(yè)務(wù)、管理業(yè)務(wù)等系統(tǒng)進(jìn)行數(shù)據(jù)流向的訪問控制,建立端口級的細(xì)粒度控制。應(yīng)能夠?qū)W(wǎng)絡(luò)系統(tǒng)中的流量、設(shè)備狀態(tài),用戶訪問行為進(jìn)行控制和記錄,并能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析,生成審計(jì)報(bào)表。對非授權(quán)設(shè)備私自連到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查,并確定位置,進(jìn)行有效阻斷。應(yīng)能夠在檢測到攻擊行為時(shí),記錄攻擊源IP、攻擊類型、目的、時(shí)間等,在發(fā)生嚴(yán)重入侵事件時(shí)進(jìn)行入侵報(bào)警進(jìn)行防范。同時(shí),還要在網(wǎng)絡(luò)邊界處對惡意代碼進(jìn)行檢測和清除,做到邊界層的惡意代碼防范。

2.3.3主機(jī)安全防護(hù)層面

應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒別,要有防假冒和偽裝的功能,針對登錄失敗要具有結(jié)束會話、限制非法登陸次數(shù)和自動退出等措施。應(yīng)對管理用戶進(jìn)行三權(quán)分立設(shè)置,根據(jù)管理用戶的角色分派權(quán)限,實(shí)現(xiàn)管理用戶的權(quán)限分離。應(yīng)能夠?qū)Ψ?wù)器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶進(jìn)行審計(jì),進(jìn)行防抵賴等功能設(shè)計(jì),杜絕管理人員帶來的安全風(fēng)險(xiǎn),應(yīng)能對主機(jī)進(jìn)行入侵防范,在遭到攻擊時(shí)能夠記錄入侵源IP、攻擊類型等。應(yīng)對主機(jī)進(jìn)行惡意代碼防護(hù),并與網(wǎng)絡(luò)惡意代碼防護(hù)采用不同的惡意代碼庫。應(yīng)對服務(wù)器主機(jī)資源包括CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源使用情況進(jìn)行監(jiān)視。

2.3.4數(shù)據(jù)安全層面

應(yīng)能夠保證數(shù)據(jù)的完整性、保密性、可用性。對醫(yī)療數(shù)據(jù)在傳輸和存儲過程中能夠檢測到數(shù)據(jù)完整性是否受到破壞。應(yīng)對重要業(yè)務(wù)數(shù)據(jù)進(jìn)行時(shí)間小顆粒度的數(shù)據(jù)備份,同時(shí)要做到異地?cái)?shù)據(jù)備份和備份介質(zhì)場外存放。要采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)?避免關(guān)鍵節(jié)點(diǎn)、數(shù)據(jù)節(jié)點(diǎn)存在單點(diǎn)故障[4]。同時(shí)應(yīng)對數(shù)據(jù)所承載網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)進(jìn)行硬件冗余,保證系統(tǒng)的高可用性。

2.3.5應(yīng)用安全層面

網(wǎng)絡(luò)安全等級劃分范文第4篇

關(guān)鍵詞： 云計(jì)算； 云安全； 信息安全； 等級保護(hù)測評； 局限性

中圖分類號：TP309 文獻(xiàn)標(biāo)志碼：A 文章編號：1006-8228（2016）11-35-03

Discussion on the testing and evaluating of cloud computing security level protection

Liu Xiaoli， Shen Xiaohui

（Zhejiang Provincial Testing Institute of Electronic & Information Products， Hangzhou， Zhejiang 310007， China）

Abstract： Cloud computing has recently attracted extensive attention since Internet has accessed Web 2.0 with more freedom and flexibility. However， the cloud security has become the biggest challenge for cloud promotion. Combined with the problems of the actual testing and evaluation in cloud computing security， the limitations of the application of the current information security level protection evaluation standard to the cloud environment are analyzed， and the contents that cloud security should focus on are proposed.

Key words： cloud computing； cloud security； information security； testing and evaluation of security level protection； limitations

0 引言

近年來，隨著網(wǎng)絡(luò)進(jìn)入更加自由和靈活的Web2.0時(shí)代，云計(jì)算的概念風(fēng)起云涌。美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）定義云計(jì)算是一種按使用量付費(fèi)的模式，這種模式提供可用的、便捷的、按需的網(wǎng)絡(luò)訪問，進(jìn)入可配置的計(jì)算資源共享池（資源包括網(wǎng)絡(luò)，服務(wù)器，存儲，應(yīng)用軟件，服務(wù)），這些資源能夠被快速提供，只需投入很少的管理工作，或與服務(wù)供應(yīng)商進(jìn)行很少的交互。云計(jì)算因其節(jié)約成本、維護(hù)方便、配置靈活已經(jīng)成為各國政府優(yōu)先推進(jìn)發(fā)展的一項(xiàng)服務(wù)。美、英、澳大利亞等國家紛紛出臺了相關(guān)發(fā)展政策，有計(jì)劃地促進(jìn)政府部門信息系統(tǒng)向云計(jì)算平臺遷移。但是也應(yīng)該看到，政府部門采用云計(jì)算服務(wù)也給其敏感數(shù)據(jù)和重要業(yè)務(wù)的安全帶來了挑戰(zhàn)。美國作為云計(jì)算服務(wù)應(yīng)用的倡導(dǎo)者，一方面推出“云優(yōu)先戰(zhàn)略”，要求大量聯(lián)邦政府信息系統(tǒng)遷移到“云端”，另一方面為確保安全，要求為聯(lián)邦政府提供的云計(jì)算服務(wù)必須通過安全審查[1]。我國也先后出臺了一系列云計(jì)算服務(wù)安全的國家標(biāo)準(zhǔn)，如GB/T 31167-2014《信息安全技術(shù)云計(jì)算服務(wù)安全指南》、GB/T 31168-2014 《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》等。本文關(guān)注的是云計(jì)算安全，包括云計(jì)算應(yīng)用系統(tǒng)安全、云計(jì)算應(yīng)用服務(wù)安全、云計(jì)算用戶信息安全等[2]。

當(dāng)前，等級保護(hù)測評的依據(jù)主要有GB/T 22239-

2008《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求》、GB/T 28448-2012《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)測評要求》和GB/T 28449-2012《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)測評過程指南》等。然而，這些標(biāo)準(zhǔn)應(yīng)用于傳統(tǒng)計(jì)算模式下的信息系統(tǒng)安全測評具有普適性，對于采用云計(jì)算服務(wù)模式下的信息系統(tǒng)卻有一定的局限性。

本文結(jié)合實(shí)際云計(jì)算服務(wù)安全測評中的問題，首先討論現(xiàn)行信息安全等級保護(hù)測評標(biāo)準(zhǔn)應(yīng)用到云環(huán)境的一些局限性，其次對于云計(jì)算安全特別需要關(guān)注的測評項(xiàng)進(jìn)行分析。

1 云計(jì)算安全

正如一件新鮮事物在帶給我們好處的同時(shí)，也會帶來問題一樣，云計(jì)算的推廣也遇到了諸多困難，其中安全問題已成為阻礙云計(jì)算推廣的最大障礙。

云計(jì)算安全面臨著七大風(fēng)險(xiǎn)，主要包括客戶對數(shù)據(jù)和業(yè)務(wù)系統(tǒng)的控制能力減弱、客戶與云服務(wù)商之間的責(zé)任難以界定、可能產(chǎn)生司法管轄權(quán)問題、數(shù)據(jù)所有權(quán)保障面臨風(fēng)險(xiǎn)、數(shù)據(jù)保護(hù)更加困難、數(shù)據(jù)殘留和容易產(chǎn)生對云服務(wù)商的過度依賴等。文獻(xiàn)[3]提出了云計(jì)算安全測評框架，與傳統(tǒng)信息系統(tǒng)安全測評相比，云計(jì)算安全測評應(yīng)重點(diǎn)關(guān)注虛擬化安全、數(shù)據(jù)安全和應(yīng)用安全等層面。

虛擬化作為云計(jì)算最重要的技術(shù)，其安全性直接關(guān)系到云環(huán)境的安全。虛擬化安全涉及虛擬化軟件安全和虛擬化服務(wù)器安全，其中虛擬化服務(wù)器安全包括虛擬化服務(wù)器隔離、虛擬化服務(wù)器監(jiān)控、虛擬化服務(wù)器遷移等。云計(jì)算的虛擬化安全問題主要集中在VM Hopping（一臺虛擬機(jī)可能監(jiān)控另一臺虛擬機(jī)甚至?xí)尤氲剿拗鳈C(jī)）、VM Escape（VM Escape攻擊獲得Hypervisor的訪問權(quán)限，從而對其他虛擬機(jī)進(jìn)行攻擊）/遠(yuǎn)程管理缺陷（Hypervisor通常由管理平臺來為管理員管理虛擬機(jī)，而這些控制臺可能會引起一些新的缺陷）、遷移攻擊（可以將虛擬機(jī)從一臺主機(jī)移動到另一臺，也可以通過網(wǎng)絡(luò)或USB復(fù)制虛擬機(jī)）等[4]。

數(shù)據(jù)實(shí)際存儲位置往往不受客戶控制，且數(shù)據(jù)存放在云平臺上，數(shù)據(jù)的所有權(quán)難以界定，多租戶共享計(jì)算資源，可能導(dǎo)致客戶數(shù)據(jù)被授權(quán)訪問、篡改等。另外當(dāng)客戶退出云服務(wù)時(shí)，客戶數(shù)據(jù)是否被完全刪除等是云計(jì)算模式下數(shù)據(jù)安全面臨的主要問題。

在云計(jì)算中對于應(yīng)用安全，特別需要注意的是Web應(yīng)用的安全。云計(jì)算應(yīng)用安全主要包括云用戶身份管理、云訪問控制、云安全審計(jì)、云安全加密、抗抵賴、軟件代碼安全等[3]。

2 云計(jì)算下等級保護(hù)測評的局限性

信息系統(tǒng)安全等級保護(hù)是國家信息安全保障工作的基本制度、基本策略、基本方法。開展信息系統(tǒng)安全等級保護(hù)工作不僅是加強(qiáng)國家信息安全保障工作的重要內(nèi)容，也是一項(xiàng)事關(guān)國家安全、社會穩(wěn)定的政治任務(wù)。信息系統(tǒng)安全等級保護(hù)測評工作是指測評機(jī)構(gòu)依據(jù)國家信息安全等級保護(hù)制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對未涉及國家秘密的信息系統(tǒng)安全等級保護(hù)狀況進(jìn)行檢測評估的活動。與之對應(yīng)的是涉及國家秘密的信息系統(tǒng)安全測評，就是通常所說的分級保護(hù)測評。

信息系統(tǒng)安全等級保護(hù)的基本要求包括技術(shù)要求和管理要求兩大類。其中技術(shù)要求包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等五個層面；管理要求包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個層面。

傳統(tǒng)的安全已不足以保護(hù)現(xiàn)代云計(jì)算工作負(fù)載。換言之，將現(xiàn)行的等級保護(hù)相關(guān)標(biāo)準(zhǔn)生搬硬套到云計(jì)算模式存在局限性，具體體現(xiàn)在以下方面。

⑴ 物理安全

傳統(tǒng)模式的信息系統(tǒng)數(shù)據(jù)中心或者在本單位，或者托管在第三方機(jī)構(gòu)，用戶可以掌握自身數(shù)據(jù)和副本存儲在設(shè)備和數(shù)據(jù)中心的具置。然而，由于云服務(wù)商的數(shù)據(jù)中心可能分布在不同的地區(qū)，甚至不同的國家，GB/T 31167-2014明確了存儲、處理客戶數(shù)據(jù)的數(shù)據(jù)中心和云計(jì)算基礎(chǔ)設(shè)施不得設(shè)在境外。

⑵ 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全主要包括結(jié)構(gòu)安全、邊界防護(hù)、訪問控制、入侵防范、惡意代碼防范、安全審計(jì)、網(wǎng)絡(luò)設(shè)備防護(hù)等測評項(xiàng)。網(wǎng)絡(luò)邊界是網(wǎng)絡(luò)信息安全的第一道防線，因此在網(wǎng)絡(luò)邊界采取安全防護(hù)措施就顯得尤為重要。但在云計(jì)算模式下，多個系統(tǒng)同時(shí)運(yùn)行在同一個物理機(jī)上，突破了傳統(tǒng)的網(wǎng)絡(luò)邊界。由此可見，網(wǎng)絡(luò)邊界的界定、安全域的劃分成為了云計(jì)算模式下網(wǎng)絡(luò)邊界安全面臨的新挑戰(zhàn)[5]。

⑶ 主機(jī)安全

主機(jī)安全主要包括身份鑒別、訪問控制、安全審計(jì)等測評項(xiàng)。但在云計(jì)算模式下，虛擬化技術(shù)能夠?qū)崿F(xiàn)在一臺物理機(jī)上運(yùn)行多臺虛擬機(jī)。盡管虛擬機(jī)之間具有良好的隔離性，但在云計(jì)算平臺，尤其是私有云和社區(qū)云中，虛擬機(jī)之間通常需要進(jìn)行交互和通信，正是這種交互為攻擊和惡意軟件的傳播提供了可能。因此，虛擬機(jī)之間的安全隔離、用戶權(quán)限劃分、數(shù)據(jù)殘留、跨虛擬機(jī)的非授權(quán)訪問是云計(jì)算環(huán)境下虛擬機(jī)安全需要重點(diǎn)關(guān)注的內(nèi)容。

⑷ 應(yīng)用安全

應(yīng)用系統(tǒng)作為承載數(shù)據(jù)的主要載體，其安全性直接關(guān)系到信息系統(tǒng)的整體安全，因此對整個系統(tǒng)的安全保密性至關(guān)重要。然而，當(dāng)前絕大多數(shù)單位的應(yīng)用系統(tǒng)在設(shè)計(jì)開發(fā)過程中，僅僅考慮到應(yīng)用需求、系統(tǒng)的性能及技術(shù)路線的選擇等問題，缺少了應(yīng)用系統(tǒng)自身的安全性。客戶的應(yīng)用托管在云計(jì)算平臺，面臨著安全與隱私雙重風(fēng)險(xiǎn)，主要包括多租戶環(huán)境下來自云計(jì)算服務(wù)商和其他用戶的未授權(quán)訪問、隱私保護(hù)、內(nèi)容安全管理、用戶認(rèn)證和身份管理問題[6]。

⑸ 數(shù)據(jù)安全及備份恢復(fù)

在云計(jì)算模式下，客戶的數(shù)據(jù)和業(yè)務(wù)遷移至云服務(wù)商的云平臺中，數(shù)據(jù)的處理、存儲均在“云端”完成，用戶一端只具有較少的計(jì)算處理能力，數(shù)據(jù)的安全性依賴于云平臺的安全。如何確保數(shù)據(jù)遠(yuǎn)程傳輸安全、數(shù)據(jù)集中存儲安全以及多租戶之間的數(shù)據(jù)隔離是云計(jì)算環(huán)境下迫切需要解決的問題。

3 云安全之等級保護(hù)測評

參照等級保護(hù)測評的要求，結(jié)合上述分析，云安全之等級保護(hù)測評應(yīng)重點(diǎn)關(guān)注以下方面。

⑴ 數(shù)據(jù)中心物理與環(huán)境安全：用于業(yè)務(wù)運(yùn)行和數(shù)據(jù)處理及存儲的物理設(shè)備是否位于中國境內(nèi)，從而避免產(chǎn)生司法管轄權(quán)的問題。

⑵ 虛擬網(wǎng)絡(luò)安全邊界訪問控制：是否在虛擬網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，設(shè)置有效的訪問控制規(guī)則，從而控制虛機(jī)間的互訪。

⑶ 遠(yuǎn)程訪問監(jiān)控：是否能實(shí)時(shí)監(jiān)視云服務(wù)遠(yuǎn)程連接，并在發(fā)現(xiàn)未授權(quán)訪問時(shí)，及時(shí)采取恰當(dāng)?shù)姆雷o(hù)措施。

⑷ 網(wǎng)絡(luò)邊界安全：是否采取了網(wǎng)絡(luò)邊界安全防護(hù)措施，如在整個云計(jì)算網(wǎng)絡(luò)的邊界部署安全防護(hù)設(shè)備等。

⑸ 虛擬機(jī)安全：虛擬機(jī)之間的是否安全隔離，當(dāng)租戶退出云服務(wù)時(shí)是否有數(shù)據(jù)殘留，是否存在跨虛擬機(jī)的非授權(quán)訪問等。

⑹ 接口安全：是否采取有效措施確保云計(jì)算服務(wù)對外接口的安全性。

⑺ 數(shù)據(jù)安全：多租戶間的數(shù)據(jù)是否安全隔離，遠(yuǎn)程傳輸時(shí)是否有措施確保數(shù)據(jù)的完整性和保密性，租戶業(yè)務(wù)或數(shù)據(jù)進(jìn)行遷移時(shí)是否具有可移植性和互操作性。

4 結(jié)束語

云計(jì)算因其高效化、集約化和節(jié)約化的特點(diǎn)，受到越來越多黨政機(jī)關(guān)、企事業(yè)單位的青睞，與此同時(shí)云計(jì)算帶來的風(fēng)險(xiǎn)也是不容忽視的。本文結(jié)合云計(jì)算的特點(diǎn)分析了云計(jì)算模式下現(xiàn)行等級保護(hù)測評標(biāo)準(zhǔn)的一些局限性，并提出了云計(jì)算下等級保護(hù)測評需要特別關(guān)注的測評項(xiàng)，對云服務(wù)商、租戶和測評機(jī)構(gòu)提供借鑒。值得注意的是，租戶在進(jìn)行云遷移之前，首先應(yīng)確定自身遷移業(yè)務(wù)的等級，其次是租用的云計(jì)算平臺等級不能低于業(yè)務(wù)系統(tǒng)的等級。

參考文獻(xiàn)（References）：

[1] 尹麗波.美國云計(jì)算服務(wù)安全審查值得借鑒.中國日報(bào)網(wǎng).

[2] 陳軍，薄明霞，王渭清.云安全研究進(jìn)展及技術(shù)解決方案發(fā)展

趨勢[J].技術(shù)廣角，2011：50-54

[3] 潘小明，張向陽，沈錫鏞，嚴(yán)丹.云計(jì)算信息安全測評框架研究[J].

計(jì)算機(jī)時(shí)代，2013.10：22-25

[4] 房晶，吳昊，白松林.云計(jì)算的虛擬化安全問題[J].電信科學(xué)，

2012.28（4）：135-140

[5] 陳文捷，蔡立志.云環(huán)境中網(wǎng)絡(luò)邊界安全的等級保護(hù)研究[C].

第二屆全國信息安全等級保護(hù)技術(shù)大會會議論文集，2013.

網(wǎng)絡(luò)安全等級劃分范文第5篇

關(guān)鍵詞：財(cái)稅部門 網(wǎng)絡(luò) 信息安全 調(diào)查研究

中圖分類號：TP3 文獻(xiàn)標(biāo)識碼：A 文章編號：1672-3791（2014）02（a）-0035-02

隨著財(cái)政、地稅和國資業(yè)務(wù)的不斷應(yīng)用和發(fā)展，我局的財(cái)稅網(wǎng)絡(luò)已從最初的純內(nèi)部系統(tǒng)的局域網(wǎng)，逐步擴(kuò)大到上聯(lián)省財(cái)政廳、省地稅局，下聯(lián)各稅務(wù)分局、各鄉(xiāng)鎮(zhèn)財(cái)政所的三級縱向網(wǎng)絡(luò)；從財(cái)稅系統(tǒng)內(nèi)部網(wǎng)絡(luò)，逐步擴(kuò)大到各預(yù)算單位、非稅執(zhí)收單位、各銀行和工商國稅社保等數(shù)據(jù)共享交換部門的橫向互聯(lián)互通的開放型網(wǎng)絡(luò)。開放型的網(wǎng)絡(luò)，對于我們的財(cái)稅工作帶來便捷的同時(shí)，也使我們的信息安全面臨嚴(yán)峻的考驗(yàn)。如何有效的建設(shè)和管理我局的財(cái)稅網(wǎng)絡(luò)，提高系統(tǒng)的可靠性、安全性和完整性，確保網(wǎng)絡(luò)與信息安全，是我們要考慮的首要問題。

1 我局網(wǎng)絡(luò)與信息安全建設(shè)現(xiàn)狀

在網(wǎng)絡(luò)設(shè)備和架構(gòu)方面：我局的財(cái)稅內(nèi)部網(wǎng)絡(luò)以一臺思科4006三層交換機(jī)為核心（如圖1所示），通過三臺防火墻將整個網(wǎng)絡(luò)劃分為服務(wù)器區(qū)、內(nèi)聯(lián)區(qū)、辦公區(qū)和外聯(lián)區(qū)。服務(wù)器區(qū)主要為各類財(cái)政、地稅和國資信息系統(tǒng)服務(wù)器，通過一臺防火墻進(jìn)行安全防護(hù)；內(nèi)聯(lián)區(qū)為連接省財(cái)政廳、省地稅局、各基層分局、便民中心和部分銀行區(qū)域；外聯(lián)區(qū)通過百兆防火墻連接財(cái)務(wù)專網(wǎng)、政務(wù)網(wǎng)等，并增設(shè)一道防火墻，用以通過VPN設(shè)備接入我局內(nèi)部網(wǎng)絡(luò)的二級行政事業(yè)單位（如圖1）。

在信息安全制度和管理方面：一是信息安全組織機(jī)構(gòu)健全，成立以局長為組長的網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組，設(shè)立單位專職信息安全員且設(shè)置AB崗。二是制度建設(shè)較為完備，制定出臺了《計(jì)算機(jī)機(jī)房管理制度》等制度，并實(shí)現(xiàn)《計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理責(zé)任狀》的全覆蓋簽訂。三是信息安全防護(hù)管理較為規(guī)范。通過雙主機(jī)方式實(shí)現(xiàn)因特網(wǎng)和內(nèi)網(wǎng)的物理隔離，部署防火墻、入侵檢測系統(tǒng)和漏洞掃描等系統(tǒng)，定期對安全產(chǎn)品進(jìn)行巡檢和開展應(yīng)急演練等工作。

2 網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)分析

盡管我局的網(wǎng)絡(luò)與信息安全建設(shè)在近幾年扎實(shí)有效推進(jìn)，但由于財(cái)政、地稅和國資業(yè)務(wù)的迅速發(fā)展，對網(wǎng)絡(luò)的性能和擴(kuò)展性要求越來越高，再加上核心設(shè)備比較陳舊，現(xiàn)有資源瀕于耗盡，來自各方面的網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)形勢嚴(yán)峻。

2.1 來自設(shè)備環(huán)境方面的風(fēng)險(xiǎn)

一是核心設(shè)備存在單點(diǎn)故障且使用年限已久。核心交換機(jī)、內(nèi)網(wǎng)防火墻和服務(wù)器防火墻都是單機(jī)單鏈路配置，任何上述設(shè)備的故障都會導(dǎo)致整個網(wǎng)絡(luò)崩潰。部分核心設(shè)備使用年限已久，遠(yuǎn)遠(yuǎn)超出維保期限，出現(xiàn)故障概率較大。二是核心設(shè)備性能和擴(kuò)展性存在嚴(yán)重瓶頸。核心交換機(jī)思科 4006購置于2003年，整體性能已無法承受我局系統(tǒng)業(yè)務(wù)處理的需求。三是網(wǎng)絡(luò)機(jī)房UPS供電和溫濕度環(huán)境方面的風(fēng)險(xiǎn)。我局網(wǎng)絡(luò)機(jī)房均為單路UPS供電和單臺空調(diào)控溫，未配備環(huán)境監(jiān)控系統(tǒng)，一旦出現(xiàn)故障，將會延誤處理。

2.2 來自網(wǎng)絡(luò)結(jié)構(gòu)方面的風(fēng)險(xiǎn)

目前內(nèi)聯(lián)和外聯(lián)單位均接在同一個防火墻下，與內(nèi)網(wǎng)未嚴(yán)格隔離，不少銀行單位更是直接與核心交換機(jī)直連，給我局內(nèi)網(wǎng)安全構(gòu)成嚴(yán)重的安全威脅。

一是來自政務(wù)網(wǎng)等外聯(lián)單位的風(fēng)險(xiǎn)。目前我局網(wǎng)絡(luò)與政務(wù)網(wǎng)、國稅、社保、便民中心和市內(nèi)11家銀行均有專網(wǎng)互聯(lián)，由于網(wǎng)絡(luò)設(shè)備資源問題，甚至有部分銀行臨時(shí)接在了核心交換機(jī)上，這些外聯(lián)單位對我局的網(wǎng)絡(luò)安全帶來較大的風(fēng)險(xiǎn)。二是來自財(cái)務(wù)專網(wǎng)接入單位的風(fēng)險(xiǎn)。因國庫集中支付和鄉(xiāng)鎮(zhèn)財(cái)務(wù)管理的需要，我局財(cái)務(wù)專網(wǎng)延伸到了各行政事業(yè)單位和鄉(xiāng)鎮(zhèn)財(cái)辦，專網(wǎng)點(diǎn)數(shù)達(dá)100多個，這些專網(wǎng)接入單位的終端計(jì)算機(jī)等同于我局內(nèi)網(wǎng)終端計(jì)算機(jī)，可通過核心交換機(jī)訪問我局服務(wù)器資源，但由于其分散在各個部門和鄉(xiāng)鎮(zhèn)，給我們的管理帶來較大的困難。三是來自VPN撥號接入單位的風(fēng)險(xiǎn)。為解決專網(wǎng)建設(shè)成本高的問題，我局于2009年購置天融信SSL VPN設(shè)備，作為部分二級行政事業(yè)單位的財(cái)務(wù)專網(wǎng)接入，該設(shè)備一旦出現(xiàn)故障，將直接影響通過該設(shè)備接入單位的系統(tǒng)應(yīng)用，存在較大的單點(diǎn)風(fēng)險(xiǎn)。

2.3 來自網(wǎng)絡(luò)管理方面的風(fēng)險(xiǎn)

一是操作人員安全意識和技術(shù)缺乏帶來的風(fēng)險(xiǎn)。操作人員對于信息安全沒有太多的認(rèn)識和技能，有的甚至認(rèn)為網(wǎng)絡(luò)與信息安全僅僅是技術(shù)部門的事，于己無關(guān)。二是制度不完善和執(zhí)行不到位帶來的風(fēng)險(xiǎn)。由于信息技術(shù)的不斷發(fā)展，出現(xiàn)了很多新技術(shù)和新產(chǎn)品，容易出現(xiàn)制度文件的漏洞和執(zhí)行不到位情況。三是技術(shù)防護(hù)策略不嚴(yán)密帶來的風(fēng)險(xiǎn)。我局在網(wǎng)絡(luò)安全方面投入了較多的設(shè)備，如防火墻、VPN、防病毒軟件，IDS等，但這些產(chǎn)品的功能比較分散，形成了相互沒有關(guān)聯(lián)的、隔離的安全孤島，相互之間沒有有效統(tǒng)一的管理調(diào)度機(jī)制，從而使其應(yīng)用效能無法得到充分的發(fā)揮。

3 網(wǎng)絡(luò)與信息安全建設(shè)的對策與措施

針對我局的網(wǎng)絡(luò)現(xiàn)狀和存在的上述網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)，提出如下對策和措施，以全面提升我局的網(wǎng)絡(luò)與信息安全整體保障水平。

3.1 加強(qiáng)安全宣傳和培訓(xùn)，提升防范意識和技術(shù)能力

（1）加強(qiáng)全員宣傳培訓(xùn)，增強(qiáng)防范意識和責(zé)任意識。進(jìn)一步加強(qiáng)網(wǎng)絡(luò)與信息安全知識的宣傳和培訓(xùn)，完善培訓(xùn)機(jī)制、拓展培訓(xùn)內(nèi)容、豐富培訓(xùn)和宣傳的方式，使系統(tǒng)廣大干部掌握常見的網(wǎng)絡(luò)與信息安全知識和防范技能，提高信息安全問題的處置能力。

（2）加強(qiáng)網(wǎng)絡(luò)技術(shù)人員培養(yǎng)和激勵，提升專業(yè)技術(shù)能力和工作積極性。如果沒有專業(yè)技術(shù)人員進(jìn)行安全策略配置、日常監(jiān)控管理，安全產(chǎn)品即使再多再先進(jìn)，也只能是一種擺設(shè)，技術(shù)人員的水平高低將直接影響一個單位的網(wǎng)絡(luò)防護(hù)能力，因此，需要進(jìn)一步加強(qiáng)專業(yè)技術(shù)人員的引進(jìn)和培養(yǎng)，使其掌握較強(qiáng)的專業(yè)技能。同時(shí)，由于專業(yè)技術(shù)人員工作的特殊性，需要其經(jīng)常犧牲休息時(shí)間加班加點(diǎn)進(jìn)行系統(tǒng)調(diào)試和配置優(yōu)化等工作，有必要進(jìn)一步完善針對技術(shù)人員的激勵制度，以增加其工作的積極性。

3.2 加強(qiáng)網(wǎng)絡(luò)規(guī)劃和投入，提升系統(tǒng)自身免疫能力

針對我局網(wǎng)絡(luò)設(shè)備和架構(gòu)現(xiàn)狀，我們提出如下改造目標(biāo)：消除核心設(shè)備單點(diǎn)故障，實(shí)現(xiàn)核心交換設(shè)備的虛擬化，架設(shè)千兆基礎(chǔ)的主干網(wǎng)絡(luò)，合理劃分安全等級區(qū)域，滿足可預(yù)期內(nèi)視頻等各種高數(shù)據(jù)流量信號的網(wǎng)絡(luò)運(yùn)行要求，提高網(wǎng)絡(luò)總體運(yùn)行水平和故障應(yīng)對能力（見圖2）。

通過加大硬件設(shè)備的投入，并整合利用現(xiàn)有資源，對整個內(nèi)網(wǎng)網(wǎng)絡(luò)作如下改造（改造后的網(wǎng)絡(luò)拓?fù)淙鐖D2所示）：根據(jù)各區(qū)域安全防護(hù)級別不同，分別設(shè)置核心區(qū)、外聯(lián)區(qū)、內(nèi)聯(lián)區(qū)、服務(wù)器區(qū)和辦公區(qū)等區(qū)域。一是在核心區(qū)新購置2臺核心交換機(jī)（含防火墻模塊）做虛擬化方案，替代原有的思科4006交換機(jī)，消除核心設(shè)備單點(diǎn)故障；同時(shí)在該區(qū)域部署IDS、IPS、漏洞掃描和桌面終端管理平臺等安全產(chǎn)品。二是在外聯(lián)區(qū)新購置2臺千兆防火墻通過雙機(jī)熱備作為外聯(lián)區(qū)防火墻，并在網(wǎng)閘的配合下，隔離外聯(lián)單位，新增一臺VPN設(shè)備做雙機(jī)熱備。三是在辦公區(qū)新購置4臺二層交換機(jī)作為機(jī)關(guān)大院各樓宇的匯聚層交換機(jī)，實(shí)現(xiàn)主干網(wǎng)絡(luò)的千兆架構(gòu)。通過合理的規(guī)劃、設(shè)備的投入和安全產(chǎn)品的整合，建立一個完整的、立體的、多層次的網(wǎng)絡(luò)安全防御體系，進(jìn)一步提升網(wǎng)絡(luò)系統(tǒng)自身的免疫能力。

3.3 加強(qiáng)制度建設(shè)和執(zhí)行，建立信息安全運(yùn)維體系

信息安全防護(hù)“三分靠技術(shù)，七分靠管理”，再好的信息安全防護(hù)系統(tǒng)，如果沒有好的管理制度、管理策略和運(yùn)維體系相配套，也是形同虛設(shè)。

一是建立健全網(wǎng)絡(luò)安全制度體系。要針對網(wǎng)絡(luò)與信息安全的薄弱環(huán)節(jié)、關(guān)鍵環(huán)節(jié)和容易忽視的環(huán)節(jié)，制定、修改和完善具有較強(qiáng)操作性的制度，通過制度來強(qiáng)化信息安全。建立健全機(jī)房安全、系統(tǒng)運(yùn)行、人員管理、密碼口令、網(wǎng)絡(luò)通信、數(shù)據(jù)管理等網(wǎng)絡(luò)與信息安全管理制度，提高安全防范水平。

二是建立網(wǎng)絡(luò)安全管理聯(lián)動機(jī)制。實(shí)行網(wǎng)絡(luò)安全管理的“三級聯(lián)動模式”，即計(jì)算機(jī)使用人員、分局計(jì)算機(jī)管理員和市局專業(yè)技術(shù)人員三者聯(lián)動，充分發(fā)揮分局計(jì)算機(jī)管理員作用，使其做好所在單位的網(wǎng)絡(luò)與信息安全日常維護(hù)工作，縮短計(jì)算機(jī)和網(wǎng)絡(luò)故障的處理時(shí)間。

三是強(qiáng)化日常維護(hù)和監(jiān)督管理。加強(qiáng)網(wǎng)絡(luò)設(shè)備的日常運(yùn)行維護(hù)，定期開展設(shè)備保養(yǎng)，對設(shè)備運(yùn)行中存在的隱患及時(shí)了解和掌握，排除存在的不安全因素和故障，變運(yùn)行維護(hù)工作由“事后救火”為“日常保健”。加強(qiáng)網(wǎng)絡(luò)與信息安全的日常監(jiān)督管理，定期或不定期的開展網(wǎng)絡(luò)巡查，及時(shí)發(fā)現(xiàn)干部職工在網(wǎng)絡(luò)與信息安全方面的違規(guī)行為，防微杜漸，變“事后處理”為“事先預(yù)防”。

3.4 加強(qiáng)等級保護(hù)定級和整改，全面提升系統(tǒng)安全等級

開展等級保護(hù)工作，對于進(jìn)一步完善我局信息安全制度體系，規(guī)范信息安全管理，增強(qiáng)信息系統(tǒng)安全保護(hù)的整體性、針對性具有非常重要的意義。

一是合理劃分信息系統(tǒng)等級。針對我局各類信息系統(tǒng)種類多的特點(diǎn)，根據(jù)不同信息系統(tǒng)的業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍和系統(tǒng)結(jié)構(gòu)等基本情況，合理確定信息系統(tǒng)的安全等級并向公安機(jī)關(guān)備案。

二是認(rèn)真做好等級保護(hù)測評和整改工作。根據(jù)公安部門備案審核結(jié)果，選擇具有國家相關(guān)資質(zhì)的測評機(jī)構(gòu)，對我局的信息系統(tǒng)進(jìn)行等保測評，并根據(jù)測評結(jié)果進(jìn)行整改落實(shí)。

三是定期開展自查和接受公安部門檢查。定期對信息系統(tǒng)安全狀況、安全保護(hù)制度及措施落實(shí)情況開展自查和接受檢查，對未達(dá)到相應(yīng)等級保護(hù)要求的，及時(shí)進(jìn)行整改。通過信息安全等級保護(hù)工作，全面提升我局的信息安全保障能力和整體水平。

參考文獻(xiàn)

[1] 高長永.計(jì)算機(jī)網(wǎng)絡(luò)安全問題及其防范措施[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013（11）.