前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇信息安全等級(jí)保護(hù)解決方案范文，相信會(huì)為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

信息安全等級(jí)保護(hù)解決方案范文第1篇

關(guān)鍵詞：信息安全；等級(jí)保護(hù)；等級(jí)測(cè)評(píng)；實(shí)踐教學(xué)；綜合實(shí)訓(xùn)

DOIDOI：10.11907/rjdk.161717

中圖分類號(hào)：G434

文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)文章編號(hào)：16727800（2016）009017303

基金項(xiàng)目基金項(xiàng)目：貴州省科技廳社發(fā)攻關(guān)項(xiàng)目（黔科合SY字2012-3050號(hào)）；貴州大學(xué)自然科學(xué)青年基金項(xiàng)目（貴大自青合字2010-026號(hào)）；貴州大學(xué)教育教學(xué)改革研究項(xiàng)目（JG2013097）

作者簡(jiǎn)介作者簡(jiǎn)介：張文勇（1973-），男，貴州臺(tái)江人，碩士，貴州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院講師，研究方向?yàn)榫W(wǎng)絡(luò)與信息安全；李維華（1961-），男，貴州貴陽人，貴州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院高級(jí)實(shí)驗(yàn)師，研究方向?yàn)榫W(wǎng)絡(luò)與信息安全；唐作其（1980-），男，貴州興義人，碩士，貴州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院副教授，研究方向?yàn)樾畔踩Ｕ象w系。

0引言

信息安全等級(jí)保護(hù)是國(guó)家信息安全保障工作的基本制度、基本策略、基本方法，開展信息安全等級(jí)保護(hù)工作是保護(hù)信息化發(fā)展、維護(hù)國(guó)家信息安全的根本保障，是信息安全保障工作中國(guó)家意志的體現(xiàn)。信息安全學(xué)科要求學(xué)生不僅要具備很強(qiáng)的理論知識(shí)，更應(yīng)具備較強(qiáng)的實(shí)踐能力?，F(xiàn)階段很多高校在理論教學(xué)上有較好的培養(yǎng)方法和模式，學(xué)生具備良好的理論基礎(chǔ)，但在實(shí)踐教學(xué)中由于各課程的銜接和關(guān)聯(lián)較少，盡管部分學(xué)校開設(shè)了信息安全實(shí)訓(xùn)或信息安全攻防實(shí)踐等課程，但基本都是做一些單元實(shí)驗(yàn)，僅局限于某一方面的技能訓(xùn)練，沒有從全局、系統(tǒng)的角度去培養(yǎng)學(xué)生綜合運(yùn)用各種信息安全知識(shí)解決實(shí)際問題的能力[15]。從貴州大學(xué)信息安全專業(yè)畢業(yè)生就業(yè)情況調(diào)查反饋信息來看，絕大多數(shù)畢業(yè)生主要從事企事業(yè)單位的信息安全管理、信息安全專業(yè)服務(wù)等工作，少數(shù)畢業(yè)生從事信息安全產(chǎn)品研發(fā)，或繼續(xù)碩士博士深造，從事信息安全理論研究。用人單位普遍反映學(xué)生的基本理論掌握相對(duì)較好，但實(shí)際操作技能、綜合分析能力欠缺。為了解決目前這種狀況，筆者根據(jù)長(zhǎng)期從事信息安全等級(jí)保護(hù)項(xiàng)目實(shí)施工作實(shí)踐，提出在信息安全專業(yè)的實(shí)踐教學(xué)環(huán)節(jié)中引入信息安全等級(jí)保護(hù)相關(guān)內(nèi)容。

1信息安全等級(jí)保護(hù)對(duì)學(xué)生能力培養(yǎng)的作用

信息安全等級(jí)保護(hù)工作包括定級(jí)、備案、安全建設(shè)和整改、信息安全等級(jí)測(cè)評(píng)、信息安全檢查5個(gè)階段，信息系統(tǒng)安全等級(jí)測(cè)評(píng)是驗(yàn)證信息系統(tǒng)是否滿足相應(yīng)安全保護(hù)等級(jí)的評(píng)估過程。信息安全等級(jí)保護(hù)的知識(shí)體系完善，信息安全等級(jí)保護(hù)測(cè)評(píng)人員的技術(shù)要求涵蓋多個(gè)方面，包括物理環(huán)境、主機(jī)、操作系統(tǒng)、應(yīng)用安全、安全設(shè)備等，因此國(guó)家對(duì)于信息安全等級(jí)保護(hù)人員的技術(shù)要求十分綜合和全面[3]。如參照信息安全等級(jí)保護(hù)專業(yè)人員的技術(shù)要求對(duì)學(xué)生開展信息安全綜合實(shí)訓(xùn)將滿足社會(huì)對(duì)信息安全專業(yè)人員的技能和知識(shí)結(jié)構(gòu)要求，主要體現(xiàn)在以下4個(gè)方面：①培養(yǎng)學(xué)生了解國(guó)家關(guān)于非信息系統(tǒng)保護(hù)的基本方針、政策、標(biāo)準(zhǔn)；②培養(yǎng)學(xué)生掌握各種基本信息安全技術(shù)操作技能，熟悉各種信息系統(tǒng)構(gòu)成對(duì)象的基本操作，為將來快速融入到信息安全保護(hù)實(shí)踐工作奠定基礎(chǔ)；③培養(yǎng)學(xué)生具備從綜合、全面的角度去規(guī)劃、設(shè)計(jì)、構(gòu)建符合國(guó)家信息安全保障體系要求的信息安全防護(hù)方案能力；④培養(yǎng)學(xué)生建立信息安全等級(jí)保護(hù)的基本意識(shí)，在工作實(shí)踐中自覺按國(guó)家信息安全等級(jí)保護(hù)要求開展工作，有利于促進(jìn)國(guó)家信息安全等級(jí)保護(hù)政策實(shí)施。

2實(shí)訓(xùn)教學(xué)知識(shí)體系

信息安全等級(jí)保護(hù)的相關(guān)政策和標(biāo)準(zhǔn)是信息安全實(shí)訓(xùn)教學(xué)體系建立的基本依據(jù)，GB/T 22239-2008《信息安全等級(jí)保護(hù)基本要求》在信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系中起基礎(chǔ)性作用。信息安全等級(jí)保護(hù)基本要求充分體現(xiàn)了“全面防御，縱深防御”的理念，遵循了“技術(shù)和管理并重”的基本原則，而不同級(jí)別的業(yè)務(wù)信息系統(tǒng)在控制點(diǎn)要求項(xiàng)上的區(qū)別體現(xiàn)了“適度安全”的根本原則[6]。信息安全保護(hù)測(cè)評(píng)是信息安全等級(jí)保護(hù)的一項(xiàng)重要基礎(chǔ)性工作，GB/T 28449-2012《信息安全等級(jí)保護(hù)測(cè)評(píng)過程指南》是對(duì)等級(jí)測(cè)評(píng)的活動(dòng)、工作任務(wù)以及每項(xiàng)任務(wù)的工作內(nèi)容作出了詳細(xì)建議，等級(jí)測(cè)評(píng)中的單元測(cè)評(píng)、整體測(cè)評(píng)、風(fēng)險(xiǎn)分析、問題處置及建議環(huán)節(jié)體現(xiàn)了測(cè)評(píng)工程師對(duì)等保項(xiàng)目基本安全保障情況的綜合分析能力[610]。信息安全等級(jí)保護(hù)知識(shí)體系龐大，不可能兼顧所有方面，因而在信息安全實(shí)訓(xùn)教學(xué)知識(shí)體系制訂中采用兼顧全局、突出重點(diǎn)的基本原則；在實(shí)訓(xùn)教學(xué)知識(shí)體系的構(gòu)成中重點(diǎn)以《信息安全等級(jí)保護(hù)基本要求》和《信息安全等級(jí)保護(hù)測(cè)評(píng)過程指南》為基礎(chǔ)，包括基本理論培訓(xùn)、基本技能實(shí)訓(xùn)、安全管理培訓(xùn)、能力提高實(shí)訓(xùn)四大模塊；在實(shí)際操作中將重點(diǎn)放在基本技能實(shí)訓(xùn)和能力提高實(shí)訓(xùn)上。各實(shí)訓(xùn)模塊構(gòu)成及關(guān)系如圖1所示。

3實(shí)訓(xùn)教學(xué)實(shí)施

教學(xué)實(shí)施依據(jù)實(shí)訓(xùn)教學(xué)知識(shí)體系進(jìn)行，教學(xué)方式采用集中課堂基本理論教學(xué)、在信息系統(tǒng)模擬平臺(tái)實(shí)施現(xiàn)場(chǎng)測(cè)評(píng)數(shù)據(jù)采集的基本操作實(shí)訓(xùn)和以信息安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告的編寫為基礎(chǔ)的數(shù)據(jù)分析、數(shù)據(jù)整理、安全方案編寫實(shí)訓(xùn)。

3.1基本理論教學(xué)

該環(huán)節(jié)采用集中課堂教學(xué)方式，講解的主要內(nèi)容是信息安全等級(jí)保護(hù)政策和標(biāo)準(zhǔn)。講解深度上應(yīng)有所側(cè)重，講解重點(diǎn)包括：①信息安全等級(jí)保護(hù)基本要求中層面的劃分原則和依據(jù)、控制點(diǎn)的構(gòu)成、控制點(diǎn)中要求項(xiàng)的解讀；②信息安全保護(hù)過程指南中單元測(cè)評(píng)、整體測(cè)評(píng)、風(fēng)險(xiǎn)分析、問題處置和建議等部分的解讀。

理論教學(xué)在突出重點(diǎn)的同時(shí)，兼顧全局，讓學(xué)生對(duì)信息安全等級(jí)保護(hù)制度和標(biāo)準(zhǔn)有一個(gè)完整、清晰的認(rèn)識(shí)。

3.2基本技能實(shí)訓(xùn)

基本技能實(shí)訓(xùn)環(huán)節(jié)主要是強(qiáng)化學(xué)生各種信息安全技術(shù)的基本操作訓(xùn)練。首先，應(yīng)根據(jù)最真實(shí)的企業(yè)內(nèi)部環(huán)境搭建符合信息安全等級(jí)保護(hù)要求的模擬信息系統(tǒng)，并編寫好對(duì)應(yīng)的信息安全等級(jí)保護(hù)現(xiàn)場(chǎng)測(cè)評(píng)指導(dǎo)書；然后，指導(dǎo)學(xué)生在模擬系統(tǒng)上進(jìn)行現(xiàn)場(chǎng)測(cè)評(píng)實(shí)訓(xùn)，實(shí)訓(xùn)過程按信息安全等級(jí)保護(hù)現(xiàn)場(chǎng)測(cè)評(píng)指導(dǎo)書要求進(jìn)行，實(shí)訓(xùn)內(nèi)容以獲取信息系統(tǒng)安全配置和運(yùn)行狀態(tài)等原始數(shù)據(jù)為基礎(chǔ)?；炯寄軐?shí)訓(xùn)模塊包括網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)備份及恢復(fù)、自動(dòng)化工具掃描這5個(gè)層面的訓(xùn)練項(xiàng)目。

（1）網(wǎng)絡(luò)安全。學(xué)生在模擬平臺(tái)上開展各種主流的網(wǎng)絡(luò)設(shè)備和安全設(shè)備的基本操作訓(xùn)練，要求學(xué)生理解網(wǎng)絡(luò)設(shè)備和安全設(shè)備的安全功能及安全設(shè)置，掌握設(shè)備的運(yùn)行狀態(tài)和信息數(shù)據(jù)采集方法。

（2）主機(jī)安全。學(xué)生在模擬平臺(tái)上開展各種主流系統(tǒng)軟件基本操作訓(xùn)練，包括操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、中間件等，要求學(xué)生理解各種系統(tǒng)軟件的安全功能和安全設(shè)置。通過本環(huán)節(jié)的實(shí)訓(xùn)，學(xué)生應(yīng)具備系統(tǒng)軟件安全配置核查和運(yùn)行狀態(tài)信息采集能力。

（3）應(yīng)用安全。學(xué)生在模擬平臺(tái)上對(duì)所安裝的主流商用應(yīng)用軟件和自主開發(fā)軟件進(jìn)行安全配置核查和安全功能驗(yàn)證訓(xùn)練，要求學(xué)生理解應(yīng)用軟件的安全功能設(shè)計(jì)要求，掌握應(yīng)用軟件的安全配置核查和安全功能驗(yàn)證方法。

（4） 數(shù)據(jù)備份和回復(fù)。通過模擬系統(tǒng)的磁盤冗余陣列進(jìn)行基本操作訓(xùn)練，讓學(xué)生了解磁盤冗余陣列的驗(yàn)證方法；通過訓(xùn)練學(xué)生在操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)上配置計(jì)劃備份任務(wù)，使其理解系統(tǒng)軟件的數(shù)據(jù)備份安全功能，掌握系統(tǒng)軟件的備份操作計(jì)劃配置和驗(yàn)證方法。

（5）自動(dòng)化工具掃描。學(xué)生利用主流的開源掃描工具和商用的掃描工具對(duì)模擬系統(tǒng)上的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器主機(jī)等進(jìn)行掃描，獲取信息系統(tǒng)主要軟硬件的漏洞，并驗(yàn)證系統(tǒng)的脆弱性。本部分獲取的原始數(shù)據(jù)作為（1）、（2）、（3）部分的補(bǔ)充，通過本環(huán)節(jié)培訓(xùn)學(xué)生整理和分析漏洞掃描結(jié)果以及初步驗(yàn)證漏洞真實(shí)性的能力。

3.3能力提高實(shí)訓(xùn)

在學(xué)生掌握信息系統(tǒng)安全配置和運(yùn)行狀態(tài)數(shù)據(jù)采集的基本技能后實(shí)施能力提高實(shí)訓(xùn)，本模塊主要培訓(xùn)學(xué)生對(duì)原始數(shù)據(jù)的分析、整理，并編寫信息安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告的能力。能力提高實(shí)訓(xùn)模塊主要包括單元測(cè)評(píng)、整體測(cè)評(píng)、風(fēng)險(xiǎn)分析、問題處置和安全建議4個(gè)項(xiàng)目，各項(xiàng)目之間的關(guān)系流程如圖2所示。

（1）通過基本技能實(shí)訓(xùn)獲取到原始數(shù)據(jù)后，根據(jù)信息安全等級(jí)保護(hù)測(cè)評(píng)過程要求整理、分析原始數(shù)據(jù)，開展單元測(cè)評(píng)，并給出各單元層面內(nèi)控制點(diǎn)中檢查項(xiàng)的符合性，分析并給出單元測(cè)評(píng)結(jié)果，按信息安全等級(jí)保護(hù)報(bào)告模板編寫單元測(cè)評(píng)報(bào)告。

（2）在完成單元測(cè)評(píng)后，由于單元測(cè)評(píng)參照的信息相對(duì)獨(dú)立，未考慮原始數(shù)據(jù)間的關(guān)聯(lián)性，而實(shí)際信息系統(tǒng)的最終安全防護(hù)效力和面臨的風(fēng)險(xiǎn)是信息系統(tǒng)安全控制點(diǎn)間、安全層面間、安全區(qū)域間各組成要素共同作用的結(jié)果，因此在完成單元測(cè)評(píng)后還應(yīng)該進(jìn)行整體測(cè)評(píng)。整體測(cè)評(píng)主要是考慮單元測(cè)評(píng)中的各控制點(diǎn)間、安全層面間、安全區(qū)域間存在某種關(guān)聯(lián)性，這種關(guān)聯(lián)會(huì)對(duì)信息系統(tǒng)整體的安全防護(hù)效力、面臨的風(fēng)險(xiǎn)具有降低或增加的作用，應(yīng)從整體角度對(duì)信息系統(tǒng)安全的狀態(tài)進(jìn)行修正。

（3）風(fēng)險(xiǎn)分析結(jié)果是制訂信息安全系統(tǒng)防護(hù)措施的重要依據(jù)，風(fēng)險(xiǎn)分析能力是體現(xiàn)信息安全工程師水平的一項(xiàng)重要指標(biāo)。在風(fēng)險(xiǎn)分析實(shí)訓(xùn)項(xiàng)目中結(jié)合單元測(cè)評(píng)和整體測(cè)評(píng)結(jié)果利用風(fēng)險(xiǎn)分析計(jì)算工具對(duì)信息系統(tǒng)面臨的風(fēng)險(xiǎn)等級(jí)大小進(jìn)行定性或定量的分析計(jì)算，并編寫風(fēng)險(xiǎn)分析報(bào)告。

（4）確定信息系統(tǒng)存在的風(fēng)險(xiǎn)后，接著應(yīng)分析引起信息系統(tǒng)風(fēng)險(xiǎn)的因素，對(duì)不可接受風(fēng)險(xiǎn)因素或不能滿足等級(jí)保護(hù)要求的安全防護(hù)項(xiàng)提出完整的問題處置和整改建議。問題處置和整改建議環(huán)節(jié)要求信息安全工程技術(shù)人員具備扎實(shí)理論知識(shí)的同時(shí)還具備相當(dāng)豐富的實(shí)踐經(jīng)驗(yàn)，工程技術(shù)人員必須熟悉信息安全的各種防護(hù)技術(shù)和目前市場(chǎng)上相關(guān)的信息安全軟硬件安全產(chǎn)品。因此，本實(shí)訓(xùn)項(xiàng)目主要是訓(xùn)練并提高學(xué)生綜合運(yùn)用信息安全技術(shù)解決實(shí)際問題的能力。

4結(jié)語

在信息安全專業(yè)的實(shí)踐教學(xué)中引入信息安全等級(jí)保護(hù)內(nèi)容，實(shí)訓(xùn)教學(xué)知識(shí)體系完全參照信息安全等級(jí)保護(hù)要求來構(gòu)建，信息安全等級(jí)保護(hù)知識(shí)體系完善，保證了實(shí)訓(xùn)內(nèi)容的廣度和深度。通過信息安全等級(jí)保護(hù)現(xiàn)場(chǎng)測(cè)評(píng)環(huán)節(jié)訓(xùn)練學(xué)生的信息安全技術(shù)基本操作技能，通過信息安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告的編制訓(xùn)練學(xué)生運(yùn)用信息安全等級(jí)保護(hù)基本知識(shí)、理論和方法去分析信息系統(tǒng)存在的漏洞、面臨的安全風(fēng)險(xiǎn)，并編制符合信息安全等級(jí)保護(hù)要求的安全防護(hù)方案，提高學(xué)生綜合運(yùn)用信息安全技術(shù)解決實(shí)際問題的能力，較好地滿足了社會(huì)對(duì)信息安全人才的需求，深受信息安全等級(jí)保護(hù)技術(shù)服務(wù)機(jī)構(gòu)和已開展或擬開展信息系統(tǒng)安全等級(jí)保護(hù)的企事業(yè)及機(jī)關(guān)單位的歡迎，為學(xué)生畢業(yè)后盡快適應(yīng)工作要求奠定了基礎(chǔ)。

由于實(shí)驗(yàn)環(huán)境的限制，所制訂的基于信息安全等級(jí)保護(hù)的實(shí)訓(xùn)教學(xué)知識(shí)體系仍存在以下3點(diǎn)不足：①實(shí)訓(xùn)教學(xué)體系未涉及虛擬化、云計(jì)算、物聯(lián)網(wǎng)安全實(shí)訓(xùn)，而這些是當(dāng)前發(fā)展較快且正被廣泛運(yùn)用的信息技術(shù)；②由于滲透測(cè)試對(duì)測(cè)試環(huán)境搭建和學(xué)生基本技能要求較高，因而實(shí)訓(xùn)教學(xué)體系中并未涉及滲透測(cè)試項(xiàng)目；③信息安全管理在信息安全防護(hù)工作中是非常重要但卻最容易被忽視的工作內(nèi)容，可以說一個(gè)組織的信息安全管理水平高低直接決定其信息系統(tǒng)的安全防護(hù)能力。因?yàn)榘踩芾頊y(cè)評(píng)基本上采用的是制度類、證據(jù)類、記錄類文檔性資料的核查和訪談，而在實(shí)訓(xùn)中難以模擬一個(gè)完整的安全管理體系實(shí)際案例，所以在實(shí)訓(xùn)中安全管理部分更多地是采用課堂教學(xué)講解，沒有操作實(shí)訓(xùn)。 這些在后續(xù)教學(xué)實(shí)踐工作中都有待改進(jìn)。

參考文獻(xiàn)參考文獻(xiàn)：

[1]楊冬曉，嚴(yán)曉浪，于慧敏.信息類特色專業(yè)建設(shè)的若干實(shí)踐[J].中國(guó)電子教育，2010（1）：3945.

[2]田秀霞.創(chuàng)新實(shí)踐項(xiàng)目驅(qū)動(dòng)的信息安全專業(yè)教學(xué)改革[J].計(jì)算機(jī)教育，2015（23）：3033.

[3]張勝生，呂緒銀.基于信息安全場(chǎng)景下的等級(jí)保護(hù)技術(shù)人才培養(yǎng)模式研究[C].第二屆全國(guó)信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)會(huì)議論文集，2012：8385.

[4]李琳，陳東方，李濤，等.信息安全專業(yè)實(shí)踐教學(xué)體系研究[J].電腦知識(shí)與技術(shù).2014，10（35）：85148515.

[5]蔣煒.信息安全等級(jí)保護(hù)培訓(xùn)探討[J].現(xiàn)代企業(yè)研究，2015（2）：64.

[6]公安部信息安全等級(jí)保護(hù)評(píng)估中心.信息安全等級(jí)保護(hù)政策培訓(xùn)教程[M].北京：電子工業(yè)出版社，2015.

[7]公安部信息安全等級(jí)保護(hù)評(píng)估中心.信息安全等級(jí)測(cè)評(píng)師培訓(xùn)教程（中級(jí)） [M].北京：電子工業(yè)出版社，2015.

[8]公安部信息安全等級(jí)保護(hù)評(píng)估中心.信息安全等級(jí)測(cè)評(píng)師培訓(xùn)教程（初級(jí)） [M].北京：電子工業(yè)出版社，2015.

信息安全等級(jí)保護(hù)解決方案范文第2篇

【關(guān)鍵詞】等級(jí)保護(hù)；虛擬專網(wǎng)；VPN

1.引言

隨著因特網(wǎng)技術(shù)應(yīng)用的普及，以及政府、企業(yè)和各部門及其分支結(jié)構(gòu)網(wǎng)絡(luò)建設(shè)和安全互聯(lián)互通需求的不斷增長(zhǎng)，VPN技術(shù)為企業(yè)提供了一種低成本的組網(wǎng)方式。同時(shí)，我國(guó)現(xiàn)行的“計(jì)算機(jī)安全等級(jí)保護(hù)”也為企業(yè)在建設(shè)信息系統(tǒng)時(shí)提供了安全整體設(shè)計(jì)思路和標(biāo)準(zhǔn)。如何充分利用VPN技術(shù)和相關(guān)產(chǎn)品，為企業(yè)提供符合安全等級(jí)保護(hù)要求、性價(jià)比高的網(wǎng)絡(luò)安全總體解決方案，是當(dāng)前企業(yè)信息系統(tǒng)設(shè)計(jì)中面臨的挑戰(zhàn)。

2.信息安全管理體系發(fā)展軌跡

對(duì)于信息安全管理問題，在上世紀(jì)90年代初引起世界主要發(fā)達(dá)國(guó)家的注意，并投入大量的資金和人力進(jìn)行分析和研究。英國(guó)分別于1995年和1998年出版BS7799標(biāo)準(zhǔn)的第一部分《信息安全管理實(shí)施細(xì)則》和第二部分《信息安全管理體系規(guī)范》，規(guī)定信息安全管理體系與控制要求和實(shí)施規(guī)則，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一參考基準(zhǔn)，是一個(gè)全面信息安全管理體系評(píng)估的基礎(chǔ)和正式認(rèn)證方案的根據(jù)。國(guó)際標(biāo)準(zhǔn)化組織（ISO）聯(lián)合國(guó)際電工委員會(huì)（IEC）分別于2000年和2005年將BS7799標(biāo)準(zhǔn)轉(zhuǎn)換為ISO/IEC 17799《信息安全管理體系 實(shí)施細(xì)則》和ISO/IEC 27001《信息安全管理體系 要求》，并向全世界推廣。中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)（SAC）于1999年了GB/T 17859《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》標(biāo)準(zhǔn)，把信息安全管理劃分為五個(gè)等級(jí)，分別針對(duì)不同組織性質(zhì)和對(duì)社會(huì)、國(guó)家危害程度大小進(jìn)行了不同等級(jí)的劃分，并提出了監(jiān)管方法。2008年制訂并下發(fā)了與ISO/IEC 17799和ISO/IEC 27001相對(duì)應(yīng)的GBT 22081-2008《信息安全管理體系 實(shí)用規(guī)則》和GBT 22080-2008《信息安全管理體系 要求》。

3.信息系統(tǒng)安全的等級(jí)

為加快推進(jìn)信息安全等級(jí)保護(hù)，規(guī)范信息安全等級(jí)保護(hù)管理，提高信息安全保障能力和水平，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)，國(guó)家公安部、保密局、密碼管理局和國(guó)務(wù)院信息化工作辦公室等，于2007年聯(lián)合了《信息安全等級(jí)保護(hù)管理辦法》，就全國(guó)機(jī)構(gòu)/企業(yè)的信息安全保護(hù)問題，進(jìn)行了行政法規(guī)方面的規(guī)范，并組織和開展對(duì)全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作。同時(shí)，制訂了《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》、《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則》和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》等相應(yīng)技術(shù)規(guī)范（國(guó)家標(biāo)準(zhǔn)審批稿），來指導(dǎo)國(guó)內(nèi)機(jī)構(gòu)/企業(yè)進(jìn)行信息安全保護(hù)。

在《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中，要求從網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、系統(tǒng)運(yùn)維管理、安全管理機(jī)構(gòu)等幾方面，按照身份鑒別、訪問控制、介質(zhì)管理、密碼管理、通信和數(shù)據(jù)的完整、保密性以及數(shù)據(jù)備份與恢復(fù)等具體要求，對(duì)信息流進(jìn)行不同等級(jí)的劃分，從而達(dá)到有效保護(hù)的目的。信息系統(tǒng)的安全保護(hù)等級(jí)分為五級(jí)：第一級(jí)為自主保護(hù)級(jí)，第二級(jí)指導(dǎo)保護(hù)級(jí)，第三級(jí)為監(jiān)督保護(hù)級(jí)，第四級(jí)為強(qiáng)制保護(hù)級(jí)，第五級(jí)為?？乇Ｗo(hù)級(jí)。

針對(duì)政府、企業(yè)常用的三級(jí)安全保護(hù)設(shè)計(jì)中，主要是以三級(jí)安全的密碼技術(shù)、系統(tǒng)安全技術(shù)及通信網(wǎng)絡(luò)安全技術(shù)為基礎(chǔ)的具有三級(jí)安全的信息安全機(jī)制和服務(wù)支持下，實(shí)現(xiàn)三級(jí)安全計(jì)算環(huán)境、三級(jí)安全通信網(wǎng)絡(luò)、三級(jí)安全區(qū)域邊界防護(hù)和三級(jí)安全管理中心的設(shè)計(jì)。

圖1 三級(jí)系統(tǒng)安全保護(hù)示意圖

圖2 VPN產(chǎn)品部署示意圖

4.VPN技術(shù)及其發(fā)展趨勢(shì)

VPN即虛擬專用網(wǎng)，是通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通常，VPN是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展，通過它可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。VPN可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

VPN使用三個(gè)方面的技術(shù)保證了通信的安全性：隧道協(xié)議、身份驗(yàn)證和數(shù)據(jù)加密。VPN通道的加密方式成為主要的技術(shù)要求，目前VPN技術(shù)主要包括IPSec VPN，非IPSec VPN（如PPTP，L2TP等），基于WEB的SSL VPN等。

IPSec VPN是基于IPSec協(xié)議的VPN產(chǎn)品，由IPSec協(xié)議提供隧道安全保障，協(xié)議包括AH、ESP、ISAKMP等協(xié)議。其通過對(duì)數(shù)據(jù)加密、認(rèn)證、完整性檢查來保證數(shù)據(jù)傳輸?shù)目煽啃?、私有性和保密性。通過采用加密封裝技術(shù)，對(duì)所有網(wǎng)絡(luò)層上的數(shù)據(jù)進(jìn)行加密透明保護(hù)。IPSec協(xié)議最適合于LAN到LAN之間的虛擬專用網(wǎng)構(gòu)建。

SSL VPN是基于SSL協(xié)議的VPN產(chǎn)品。在企業(yè)中心部署SSL VPN設(shè)備，無需安裝客戶端軟件，授權(quán)用戶能夠從任何標(biāo)準(zhǔn)的WEB瀏覽器和互聯(lián)網(wǎng)安全地連接到企業(yè)網(wǎng)絡(luò)資源。SSL VPN產(chǎn)品最適合于遠(yuǎn)程單機(jī)用戶與中心之間的虛擬網(wǎng)構(gòu)建。

整個(gè)VPN通信過程可以簡(jiǎn)化為以下4個(gè)步驟：

（1）客戶機(jī)向VPN服務(wù)器發(fā)出連接請(qǐng)求。

（2）VPN服務(wù)器響應(yīng)請(qǐng)求并向客戶機(jī)發(fā)出身份認(rèn)證的請(qǐng)求，客戶機(jī)與VPN服務(wù)器通過信息的交換確認(rèn)對(duì)方的身份，這種身份確認(rèn)是雙向的。

（3）VPN服務(wù)器與客戶機(jī)在確認(rèn)身份的前提下開始協(xié)商安全隧道以及相應(yīng)的安全參數(shù)，形成安全隧道。

（4）最后VPN服務(wù)器將在身份驗(yàn)證過程中產(chǎn)生的客戶機(jī)和服務(wù)器公有密鑰將用來對(duì)數(shù)據(jù)進(jìn)行加密，然后通過VPN隧道技術(shù)進(jìn)行封裝、加密、傳輸?shù)侥康膬?nèi)部網(wǎng)絡(luò)。

目前國(guó)外公開的相關(guān)VPN產(chǎn)品多數(shù)采用軟件加密的方式，加解密算法也多使用通用的3DES、RSA加解密算法，不符合國(guó)家密碼產(chǎn)品管理和應(yīng)用的要求。《商用密碼管理?xiàng)l例》（中華人民共和國(guó)國(guó)務(wù)院第273號(hào)令，1999年10月7日）第四章第十四條規(guī)定：任何單位或者個(gè)人只能使用經(jīng)國(guó)家密碼管理機(jī)構(gòu)認(rèn)可的商用密碼產(chǎn)品，不得使用自行研制的或者境外生產(chǎn)的密碼產(chǎn)品。國(guó)家密碼管理局在2009年針對(duì)VPN產(chǎn)品下發(fā)了《IPSec VPN技術(shù)規(guī)范》和《SSL VPN技術(shù)規(guī)范》，明確要求了VPN產(chǎn)品的技術(shù)體系和算法要求。

5.VPN技術(shù)在等級(jí)保護(hù)中的應(yīng)用

在三級(jí)防護(hù)四大方面的設(shè)計(jì)要求中，VPN技術(shù)可以說是在四大方面的設(shè)計(jì)要求中都有廣泛的應(yīng)用：

在安全計(jì)算環(huán)境的設(shè)計(jì)要求中：首先在實(shí)現(xiàn)身份鑒別方面，在用戶訪問的中心，系統(tǒng)管理員都統(tǒng)一建立的有用戶的用戶組和用戶名，用戶會(huì)通過VPN的設(shè)備登錄訪問中心的應(yīng)用系統(tǒng)，當(dāng)身份得到鑒別通過時(shí)才可訪問應(yīng)用系統(tǒng)；其次在數(shù)據(jù)的完整性保護(hù)和保密性保護(hù)上都能夠防止用戶的數(shù)據(jù)在傳輸過程中被惡意篡改和盜取。

在安全區(qū)域邊界的設(shè)計(jì)要求中：網(wǎng)絡(luò)邊界子系統(tǒng)的邊界控制與VPN功能一體化實(shí)現(xiàn)，在保證傳輸安全性的同時(shí)提高網(wǎng)絡(luò)數(shù)據(jù)包處理效率。

在安全通信網(wǎng)絡(luò)的設(shè)計(jì)要求中：網(wǎng)絡(luò)安全通信的子系統(tǒng)主要是為跨區(qū)域邊界的通信雙方建立安全的通道，通過IPSEC協(xié)議建立安全的VPN隧道傳輸數(shù)據(jù)。完成整個(gè)應(yīng)用系統(tǒng)中邊界或部門服務(wù)器邊界的安全防護(hù)，為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的間的信息的安全傳輸提供加密、身份鑒別及訪問控制等安全機(jī)制。在客戶端和應(yīng)用服務(wù)器進(jìn)出的總路由前添加網(wǎng)絡(luò)VPN網(wǎng)關(guān)，通過IPSEC協(xié)議或者SSL協(xié)議建立VPN隧道為進(jìn)出的數(shù)據(jù)提供加密傳輸，實(shí)現(xiàn)應(yīng)用數(shù)據(jù)的加密通信。

在安全管理中心的設(shè)計(jì)要求中：系統(tǒng)管理中，VPN技術(shù)在主機(jī)資源和用戶管理能夠?qū)崿F(xiàn)很好的保護(hù)，對(duì)用戶登錄、外設(shè)接口、網(wǎng)絡(luò)通信、文件操作及進(jìn)程服務(wù)等方面進(jìn)行監(jiān)視機(jī)制，確保重要信息安全可控，滿足對(duì)主機(jī)的安全監(jiān)管需要。

在信息系統(tǒng)安全等級(jí)保護(hù)設(shè)計(jì)中VPN產(chǎn)品的部署示意圖如圖2所示。

信息安全等級(jí)保護(hù)解決方案范文第3篇

動(dòng)聯(lián)作為中央國(guó)家機(jī)關(guān)政府集中采購(gòu)入圍企業(yè)，同時(shí)也是上海市高新技術(shù)企業(yè)、軟件企業(yè)、商用密碼產(chǎn)品生產(chǎn)定點(diǎn)單位和銷售單位、ISO9001國(guó)際質(zhì)量體系和ISO27001信息安全管理體系認(rèn)證企業(yè)，產(chǎn)品擁有“計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證”、“商用密碼產(chǎn)品型號(hào)證書”、“信息系統(tǒng)安全產(chǎn)品認(rèn)證”、“軍用信息安全產(chǎn)品認(rèn)證證書”、“產(chǎn)品信息安全認(rèn)證證書”等完善的資質(zhì)，并獲得數(shù)十項(xiàng)發(fā)明專利和實(shí)用新型專利。產(chǎn)品主要應(yīng)用領(lǐng)域有：為企業(yè)、政府、金融、電信、教育、公共的IT信息系統(tǒng)如計(jì)算機(jī)主機(jī)、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、中間件、數(shù)據(jù)庫(kù)、OA、ERP、SCM、CRM等應(yīng)用軟件提供登錄保護(hù)，滿足國(guó)家《信息安全等級(jí)保護(hù)條例》等政策性要求，為客戶提供安全又方便的動(dòng)態(tài)密碼身份安全保護(hù)服務(wù)。目前動(dòng)聯(lián)的客戶已經(jīng)覆蓋了中國(guó)主要的銀行、證券、政府、電信、公共事業(yè)部門和電力、汽車、零售、設(shè)備制造、軟件的著名品牌。

動(dòng)聯(lián)身份認(rèn)證產(chǎn)品

動(dòng)聯(lián)動(dòng)態(tài)密碼身份認(rèn)證軟件是由動(dòng)聯(lián)自主研發(fā)的一種安全可靠、簡(jiǎn)單易用的身份認(rèn)證軟件。該軟件基于動(dòng)態(tài)密碼技術(shù)，采用雙因素認(rèn)證機(jī)制，可以為網(wǎng)絡(luò)設(shè)備登錄（如IT設(shè)備的賬號(hào)）、操作系統(tǒng)登錄（如Windows、Linux、Unix等）、各種信息系統(tǒng)應(yīng)用軟件登錄（如OA 、ERP、CRM、SCM等）以及各類Web應(yīng)用賬號(hào)登錄提供高強(qiáng)度的身份認(rèn)證保護(hù)，保障信息系統(tǒng)和業(yè)務(wù)系統(tǒng)的安全。

動(dòng)聯(lián)動(dòng)態(tài)密碼身份認(rèn)證軟件支持多種動(dòng)態(tài)密碼認(rèn)證技術(shù)形式，為用戶的賬號(hào)提供全面的保護(hù)。通過動(dòng)態(tài)密碼保護(hù)賬號(hào)，可以有效防止盜號(hào)木馬攻擊；通過主機(jī)認(rèn)證，可以有效防止網(wǎng)絡(luò)釣魚；通過簽名動(dòng)態(tài)密碼，可以有效保護(hù)用戶交易的真實(shí)性和安全性，防止中間人攻擊。動(dòng)聯(lián)身份認(rèn)證軟件支持多種的動(dòng)態(tài)密碼認(rèn)證終端，并支持多種終端混合使用。支持的終端形式包括多種品牌的多個(gè)型號(hào)的硬件動(dòng)碼令、軟件動(dòng)碼令、手機(jī)動(dòng)碼令、SIM動(dòng)碼令和短信動(dòng)碼令等?？蛻艨梢愿鶕?jù)自己的實(shí)際需求和預(yù)算選擇適合自己的認(rèn)證終端。

動(dòng)聯(lián)身份認(rèn)證軟件具備極高的性能，只需采用一套動(dòng)聯(lián)身份認(rèn)證軟件就可以為企業(yè)主要信息資產(chǎn)提供全面的動(dòng)態(tài)密碼保護(hù)，保護(hù)的范圍包括多個(gè)應(yīng)用系統(tǒng)、VPN訪問、大型數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、服務(wù)器和計(jì)算機(jī)終端。

動(dòng)聯(lián)提供全面的接口調(diào)用，包括Socket方式（可提供Jar包、動(dòng)態(tài)鏈接庫(kù)或Socket編程方式）、支持WebServices，支持Radius協(xié)議。與應(yīng)用系統(tǒng)的集成開發(fā)極為方便，在實(shí)際的應(yīng)用案例中，往往1～3天內(nèi)即可完成。

動(dòng)碼令用戶終端

動(dòng)聯(lián)電子政務(wù)身份認(rèn)證解決方案是動(dòng)聯(lián)結(jié)合電子政務(wù)的實(shí)際需求，采用動(dòng)態(tài)密碼認(rèn)證機(jī)制來鑒別用戶的身份合法性。只允許提供了動(dòng)態(tài)密碼的用戶接入系統(tǒng)，最大程度地保證登錄用戶確實(shí)為授權(quán)的個(gè)體，大大降低了攻擊和非法訪問的風(fēng)險(xiǎn)。

完全兼容現(xiàn)有電子政務(wù)系統(tǒng)的基礎(chǔ)認(rèn)證體系，包括公務(wù)員內(nèi)部辦公認(rèn)證、外部公眾身份認(rèn)證等。在認(rèn)證過程中，不影響電子政務(wù)系統(tǒng)的原業(yè)務(wù)邏輯，與電子政務(wù)系統(tǒng)應(yīng)用服務(wù)器之間的通信過程中采取雙向身份認(rèn)證的機(jī)制，能夠保證整個(gè)認(rèn)證過程不被繞過。

動(dòng)聯(lián)電子政務(wù)解決方案符合國(guó)家“信息安全等級(jí)保護(hù)條例”等政策性要求，從物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全等各方面提供了身份鑒別保護(hù)，幫助政府提高政務(wù)工作的效率，提升電子政務(wù)系統(tǒng)的安全等級(jí)。

網(wǎng)上銀行解決方案

隨著我國(guó)銀行業(yè)及網(wǎng)絡(luò)技術(shù)的發(fā)展，各大銀行分別推出不同的網(wǎng)銀業(yè)務(wù)，網(wǎng)上銀行已經(jīng)越來越普遍地出現(xiàn)在我們的生活之中。網(wǎng)上銀行的安全隨著業(yè)務(wù)普及，逐漸就成為人們關(guān)注的焦點(diǎn)，隨之而來的安全需求被銀行提上議程。

某銀行網(wǎng)上銀行面臨的風(fēng)險(xiǎn)來自如下方面：假銀行網(wǎng)站欺詐，騙取用戶賬號(hào)及密碼信息；通過種植木馬等程序進(jìn)行密碼竊取。為保障網(wǎng)銀用戶的安全，該行采用了數(shù)字證書作為保障用戶登錄安全的主要手段。但是由于使用數(shù)字證書需要簽約，下載證書，安裝驅(qū)動(dòng)程序，有問題更換麻煩且需要額外開支，銀行面臨需要提供一種使用戶感覺安全又方便使用的解決辦法。

信息安全等級(jí)保護(hù)解決方案范文第4篇

關(guān)鍵詞:電子政務(wù) 信息安全

0 引言

隨著電子政務(wù)不斷推進(jìn)，社會(huì)各階層對(duì)電子政務(wù)的依賴程度越來越高，信息安全的重要性日益突出，在電子政務(wù)的信息安全管理問題中，基于現(xiàn)實(shí)特點(diǎn)的電子政務(wù)信息安全體系設(shè)計(jì)和風(fēng)險(xiǎn)評(píng)估[1]模型是突出的熱點(diǎn)和難點(diǎn)問題。本文試圖就這兩個(gè)問題給出分析和建議。

1 電子政務(wù)信息安全的總體要求

隨著電子政務(wù)應(yīng)用的不斷深入，信息安全問題日益凸顯，為了高效安全的進(jìn)行電子政務(wù)，迫切需要搞好信息安全保障工作。電子政務(wù)系統(tǒng)采取的網(wǎng)絡(luò)安全措施[2][3]不僅要保證業(yè)務(wù)與辦公系統(tǒng)和網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，另一方面要保護(hù)運(yùn)行在內(nèi)部網(wǎng)上的敏感數(shù)據(jù)與信息的安全，因此應(yīng)充分保證以下幾點(diǎn)：

1.1 基礎(chǔ)設(shè)施的可用性：運(yùn)行于內(nèi)部專網(wǎng)的各主機(jī)、數(shù)據(jù)庫(kù)、應(yīng)用服務(wù)器系統(tǒng)的安全運(yùn)行十分關(guān)鍵，網(wǎng)絡(luò)安全體系必須保證這些系統(tǒng)不會(huì)遭受來自網(wǎng)絡(luò)的非法訪問、惡意入侵和破壞。

1.2 數(shù)據(jù)機(jī)密性：對(duì)于內(nèi)部網(wǎng)絡(luò)，保密數(shù)據(jù)的泄密將直接帶來政府機(jī)構(gòu)以及國(guó)家利益的損失。網(wǎng)絡(luò)安全系統(tǒng)應(yīng)保證內(nèi)網(wǎng)機(jī)密信息在存儲(chǔ)與傳輸時(shí)的保密性。

1.3 網(wǎng)絡(luò)域的可控性:電子政務(wù)的網(wǎng)絡(luò)應(yīng)該處于嚴(yán)格的控制之下，只有經(jīng)過認(rèn)證的設(shè)備可以訪問網(wǎng)絡(luò)，并且能明確地限定其訪問范圍，這對(duì)于電子政務(wù)的網(wǎng)絡(luò)安全十分重要。

1.4 數(shù)據(jù)備份與容災(zāi):任何的安全措施都無法保證數(shù)據(jù)萬無一失，硬件故障、自然災(zāi)害以及未知病毒的感染都有可能導(dǎo)致政府重要數(shù)據(jù)的丟失。因此，在電子政務(wù)安全體系中必須包括數(shù)據(jù)的容災(zāi)與備份，并且最好是異地備份。

2 電子政務(wù)信息安全體系模型設(shè)計(jì)

完整的電子政務(wù)安全保障體系從技術(shù)層面上來講，必須建立在一個(gè)強(qiáng)大的技術(shù)支撐平臺(tái)之上，同時(shí)具有完備的安全管理機(jī)制，并針對(duì)物理安全，數(shù)據(jù)存儲(chǔ)安全，數(shù)據(jù)傳輸安全和應(yīng)用安全制定完善的安全策略

在技術(shù)支撐平臺(tái)方面，核心是要解決好權(quán)限控制問題。為了解決授權(quán)訪問的問題， 通常是將基于公鑰證書（PKC）的PKI（Public Key Infrastructure）與基于屬性證書（AC）的PMI（Privilege Management Infrastructure)結(jié)合起來進(jìn)行安全性設(shè)計(jì)，然而由于一個(gè)終端用戶可以有許多權(quán)限， 許多用戶也可能有相同的權(quán)限集， 這些權(quán)限都必須寫入屬性證書的屬性中， 這樣就增加了屬性證書的復(fù)雜性和存儲(chǔ)空間， 從而也增加了屬性證書的頒發(fā)和驗(yàn)證的復(fù)雜度。為了解決這個(gè)問題，作者建議根據(jù)X.509標(biāo)準(zhǔn)建立基于角色PMI的電子政務(wù)安全模型。該模型由客戶端、驗(yàn)證服務(wù)器、應(yīng)用服務(wù)器、資源數(shù)據(jù)庫(kù)和LDAP 目錄服務(wù)器等實(shí)體組成，在該模型中：

2.1 終端用戶：向驗(yàn)證服務(wù)器發(fā)送請(qǐng)求和證書， 并與服務(wù)器雙向驗(yàn)證。

2.2 驗(yàn)證服務(wù)器：由身份認(rèn)證模塊和授權(quán)驗(yàn)證模塊組成提供身份認(rèn)證和訪問控制，是安全模型的關(guān)鍵部分。

2.3 應(yīng)用服務(wù)器： 與資源數(shù)據(jù)庫(kù)連接， 根據(jù)驗(yàn)證通過的用戶請(qǐng)求，對(duì)資源數(shù)據(jù)庫(kù)的數(shù)據(jù)進(jìn)行處理， 并把處理結(jié)果通過驗(yàn)證服務(wù)器返回給用戶以響應(yīng)用戶請(qǐng)求。

2.4 LDAP目錄服務(wù)器：該模型中采用兩個(gè)LDAP目錄服務(wù)器， 一個(gè)存放公鑰證書（PKC）和公鑰證書吊銷列表（CRL），另一個(gè)LDAP 目錄服務(wù)器存放角色指派和角色規(guī)范屬性證書以及屬性吊銷列表ACRL。

安全管理策略也是電子政務(wù)安全體系的重要組成部分。安全的核心實(shí)際上是管理，安全技術(shù)實(shí)際上只是實(shí)現(xiàn)管理的一種手段，再好的技術(shù)手段都必須配合合理的制度才能發(fā)揮作用。需要制訂的制度包括安全行政管理和安全技術(shù)管理。安全行政管理應(yīng)包括組織機(jī)構(gòu)和責(zé)任制度等的制定和落實(shí)；安全技術(shù)管理的內(nèi)容包括對(duì)硬件實(shí)體和軟件系統(tǒng)、密鑰的管理。

3 電子政務(wù)信息安全管理體系中的風(fēng)險(xiǎn)評(píng)估

電子政務(wù)信息安全等級(jí)保護(hù)是根據(jù)電子政務(wù)系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)安全、社會(huì)穩(wěn)定和保護(hù)公共利益等方面的重要程度。等級(jí)保護(hù)工作的要點(diǎn)是對(duì)電子政務(wù)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析，構(gòu)建電子政務(wù)系統(tǒng)的風(fēng)險(xiǎn)因素集。

3.1 信息系統(tǒng)的安全定級(jí) 信息系統(tǒng)的安全等級(jí)從低到高依次包括自主保護(hù)級(jí)、指導(dǎo)保護(hù)級(jí)、監(jiān)督保護(hù)級(jí)、強(qiáng)制保護(hù)級(jí)、?？乇Ｗo(hù)級(jí)五個(gè)安全等級(jí)。對(duì)電子政務(wù)的五個(gè)安全等級(jí)定義，結(jié)合系統(tǒng)面臨的風(fēng)險(xiǎn)、系統(tǒng)特定安全保護(hù)要求和成本開銷等因素，采取相應(yīng)的安全保護(hù)措施以保障信息和信息系統(tǒng)的安全。

3.2 采用全面的風(fēng)險(xiǎn)評(píng)估辦法 風(fēng)險(xiǎn)評(píng)估具有不同的方法。在ISO/IEC TR13335-3《信息技術(shù)IT安全管理指南:IT安全管理技術(shù)》中描述了風(fēng)險(xiǎn)評(píng)估方法的例子，其他文獻(xiàn)，例如NIST SP800-30、AS/NZS 4360等也介紹了風(fēng)險(xiǎn)評(píng)估的步驟及方法，另外，一些組織還提出了自己的風(fēng)險(xiǎn)評(píng)估工具，例如OCTAVE、CRAMM等。

電子政務(wù)信息安全建設(shè)中采用的風(fēng)險(xiǎn)評(píng)估方法可以參考ISO17799、OCTAVE、CSE、《信息安全風(fēng)險(xiǎn)評(píng)估指南》等標(biāo)準(zhǔn)和指南，從資產(chǎn)評(píng)估、威脅評(píng)估、脆弱性評(píng)估、安全措施有效性評(píng)估四個(gè)方面建立風(fēng)險(xiǎn)評(píng)估模型。其中，資產(chǎn)的評(píng)估主要是對(duì)資產(chǎn)進(jìn)行相對(duì)估價(jià)，其估價(jià)準(zhǔn)則依賴于對(duì)其影響的分析，主要從保密性、完整性、可用性三方面進(jìn)行影響分析;威脅評(píng)估是對(duì)資產(chǎn)所受威脅發(fā)生可能性的評(píng)估，主要從威脅的能力和動(dòng)機(jī)兩個(gè)方面進(jìn)行分析;脆弱性評(píng)估是對(duì)資產(chǎn)脆弱程度的評(píng)估，主要從脆弱性被利用的難易程度、被成功利用后的嚴(yán)重性兩方面進(jìn)行分析;安全措施有效性評(píng)估是對(duì)保障措施的有效性進(jìn)行的評(píng)估活動(dòng)，主要對(duì)安全措施防范威脅、減少脆弱性的有效狀況進(jìn)行分析;安全風(fēng)險(xiǎn)評(píng)估就是通過綜合分析評(píng)估后的資產(chǎn)信息、威脅信息、脆弱性信息、安全措施信息，最終生成風(fēng)險(xiǎn)信息。

在確定風(fēng)險(xiǎn)評(píng)估方法后，還應(yīng)確定接受風(fēng)險(xiǎn)的準(zhǔn)則，識(shí)別可接受的風(fēng)險(xiǎn)級(jí)別。

4 結(jié)語

電子政務(wù)與傳統(tǒng)政務(wù)相比有顯著區(qū)別，包括:辦公手段不同，信息資源的數(shù)字化和信息交換的網(wǎng)絡(luò)化是電子政務(wù)與傳統(tǒng)政務(wù)的最顯著區(qū)別;行政業(yè)務(wù)流程不同，實(shí)現(xiàn)行政業(yè)務(wù)流程的集約化、標(biāo)準(zhǔn)化和高效化是電子政務(wù)的核心;與公眾溝通方式不同，直接與公眾溝通是實(shí)施電子政務(wù)的目的之一，也是與傳統(tǒng)政務(wù)的重要區(qū)別。在電子政務(wù)的信息安全管理中，要抓住其特點(diǎn)，從技術(shù)、管理、策略角度設(shè)計(jì)完整的信息安全模型并通過科學(xué)量化的風(fēng)險(xiǎn)評(píng)估方法識(shí)別風(fēng)險(xiǎn)和制定風(fēng)險(xiǎn)應(yīng)急預(yù)案，這樣才能達(dá)到全方位實(shí)施信息安全管理的目的。

參考文獻(xiàn)：

[1]范紅，馮國(guó)登，吳亞非.信息安全風(fēng)險(xiǎn)評(píng)估方法與應(yīng)用.清華大學(xué)出版社.2006.

信息安全等級(jí)保護(hù)解決方案范文第5篇

提起《指導(dǎo)意見》的背景，印·希爾咨詢高級(jí)咨詢師劉秀麗認(rèn)為，經(jīng)過近幾年的發(fā)展，我國(guó)物聯(lián)網(wǎng)在技術(shù)研發(fā)、標(biāo)準(zhǔn)研制、產(chǎn)業(yè)培育和行業(yè)應(yīng)用等方面初步具備了一定基礎(chǔ)。2012年我國(guó)物聯(lián)網(wǎng)產(chǎn)業(yè)市場(chǎng)規(guī)模達(dá)到3650億元，比2011年增長(zhǎng)了38.6%。不過在迅速發(fā)展的同時(shí)，產(chǎn)業(yè)基礎(chǔ)薄弱、關(guān)鍵核心技術(shù)有待突破、網(wǎng)絡(luò)信息安全存在潛在隱患等問題依然突出，亟需加強(qiáng)引導(dǎo)和加快解決。

從物聯(lián)網(wǎng)全球競(jìng)爭(zhēng)形勢(shì)來看，物聯(lián)網(wǎng)目前仍處于起步階段，在全球還沒有成熟的技術(shù)和標(biāo)準(zhǔn)，發(fā)達(dá)國(guó)家一方面加大力度發(fā)展傳感器節(jié)點(diǎn)核心芯片、嵌入式操作系統(tǒng)、智能計(jì)算等核心技術(shù)，另一方面不斷加快標(biāo)準(zhǔn)制定和產(chǎn)業(yè)化進(jìn)程，積極謀求在未來的物聯(lián)網(wǎng)大規(guī)模發(fā)展及國(guó)際競(jìng)爭(zhēng)中占據(jù)有利位置?；谖锫?lián)網(wǎng)的戰(zhàn)略地位及其在國(guó)內(nèi)的發(fā)展現(xiàn)狀，我國(guó)政府亟需大力推動(dòng)行業(yè)標(biāo)準(zhǔn)制定。因此，在此前頒布的政策的基礎(chǔ)上，細(xì)化和明確產(chǎn)業(yè)發(fā)展指導(dǎo)規(guī)范，是物聯(lián)網(wǎng)發(fā)展的當(dāng)務(wù)之急。

“物聯(lián)網(wǎng)產(chǎn)業(yè)鏈分布廣，具有很強(qiáng)的行業(yè)示范作用，在政策支持下，這一新興行業(yè)將吸引眾多投資者進(jìn)入，此次《指導(dǎo)意見》出臺(tái)，物聯(lián)網(wǎng)產(chǎn)業(yè)鏈上的行業(yè)，如無線通信、有線通信、設(shè)備和芯片等都會(huì)成為受益者，這無疑會(huì)推動(dòng)中國(guó)物聯(lián)網(wǎng)市場(chǎng)快速發(fā)展?！眲⑿沱惾绱嗽u(píng)價(jià)《指導(dǎo)意見》。

物聯(lián)網(wǎng)促終端融合

以長(zhǎng)虹為代表的家電企業(yè)，近年在以“智能家居系統(tǒng)”為代表的物聯(lián)網(wǎng)智能技術(shù)研發(fā)及重大應(yīng)用等領(lǐng)域，持續(xù)發(fā)力，走在行業(yè)的前列。

“和iPhone和iPad的風(fēng)靡一樣，智能電視為人們提供了一種全新的生活理念，也代表了未來智能家居的發(fā)展方向”，長(zhǎng)虹相關(guān)負(fù)責(zé)人介紹，“目前長(zhǎng)虹做的就是將智能家電整合為一個(gè)開放性的應(yīng)用平臺(tái)，不僅能夠提供硬件終端，還可以提供應(yīng)用軟件、內(nèi)容和服務(wù)等整體解決方案?！币劳袩o線網(wǎng)絡(luò)這一平臺(tái)，一舉實(shí)現(xiàn)了3C產(chǎn)品、智能家居系統(tǒng)的互聯(lián)、管理以及數(shù)字媒體信息的共享?！罢麄€(gè)家電行業(yè)已經(jīng)表現(xiàn)出互通、互聯(lián)、共享的趨勢(shì)，物聯(lián)網(wǎng)冰箱肯定是未來大型家電企業(yè)必爭(zhēng)的領(lǐng)域之一?！毕M(fèi)電子產(chǎn)業(yè)觀察家梁振鵬認(rèn)為。

長(zhǎng)虹還將物聯(lián)網(wǎng)技術(shù)應(yīng)用到智慧家庭中，使新一代的信息技術(shù)與消費(fèi)者的生活需求緊密結(jié)合起來，集中反映了我國(guó)物聯(lián)網(wǎng)產(chǎn)業(yè)在應(yīng)用示范、技術(shù)研發(fā)等方面所取得的階段成果和未來發(fā)展的考慮。長(zhǎng)虹表示，未來將以智能家電為基礎(chǔ)，逐漸開展智能小區(qū)和智能家居系統(tǒng)方案設(shè)計(jì)服務(wù)，提供成套解決方案，并建設(shè)運(yùn)營(yíng)維護(hù)E家平臺(tái)，為消費(fèi)者提供各種個(gè)性化服務(wù)，如遠(yuǎn)程教育、團(tuán)購(gòu)、繳費(fèi)等服務(wù)。

鼓勵(lì)民間資本進(jìn)入物聯(lián)網(wǎng)

《意見》明確，到2015年，要實(shí)現(xiàn)物聯(lián)網(wǎng)在經(jīng)濟(jì)社會(huì)重要領(lǐng)域的規(guī)模示范應(yīng)用，突破一批核心技術(shù)，初步形成物聯(lián)網(wǎng)產(chǎn)業(yè)體系。意見提出多項(xiàng)保障措施，要求加強(qiáng)財(cái)稅政策扶持，支持符合條件的物聯(lián)網(wǎng)企業(yè)按規(guī)定享受相關(guān)稅收優(yōu)惠政策。鼓勵(lì)金融資本、風(fēng)險(xiǎn)投資及民間資本投向物聯(lián)網(wǎng)應(yīng)用和產(chǎn)業(yè)發(fā)展。加快建立包括財(cái)政出資和社會(huì)資金投入在內(nèi)的多層次擔(dān)保體系。積極支持符合條件的物聯(lián)網(wǎng)企業(yè)在海內(nèi)外資本市場(chǎng)直接融資。

新蘭德首席投資顧問徐充認(rèn)為，物聯(lián)網(wǎng)概念是這個(gè)時(shí)代一個(gè)特有的產(chǎn)物。國(guó)務(wù)院此次支持鼓勵(lì)民間資本投向物聯(lián)網(wǎng)應(yīng)用，是對(duì)物聯(lián)網(wǎng)企業(yè)的重要支持，或?qū)⒊霈F(xiàn)一批具有相當(dāng)實(shí)力的上市公司。金融界資深分析師馬小東認(rèn)為，有了財(cái)稅政策以及資金等必要條件支持，物聯(lián)網(wǎng)產(chǎn)業(yè)有望真正進(jìn)入高速發(fā)展期，相關(guān)子行業(yè)將蘊(yùn)含巨大創(chuàng)新空間。

對(duì)于此次投資策略，徐充表示，物聯(lián)網(wǎng)概念具備極強(qiáng)的題材和炒作性，建議投資者關(guān)注具有核心競(jìng)爭(zhēng)力的企業(yè)，如遠(yuǎn)望谷、新大陸、軟控股份、同方股份、東信和平、新開普等?？芍攸c(diǎn)關(guān)注國(guó)民技術(shù)，該公司具備高研發(fā)、高自主的特點(diǎn)，并涉足多方面的物聯(lián)網(wǎng)技術(shù)。二級(jí)市場(chǎng)上，在本輪大反彈中并未完全釋放出其題材本身的獨(dú)特性，具備明顯補(bǔ)漲需求。

馬小東認(rèn)為，在具體投資方面，相關(guān)關(guān)鍵設(shè)備需求規(guī)模較大，其中傳感器、芯片處于產(chǎn)業(yè)鏈上游，是物聯(lián)網(wǎng)金字塔的塔座，在物聯(lián)網(wǎng)發(fā)展初期受益比較明顯，將是整個(gè)物聯(lián)網(wǎng)產(chǎn)業(yè)中需求量最大和最基礎(chǔ)的環(huán)節(jié)。在傳感器、RFID方面，可關(guān)注遠(yuǎn)望谷。遠(yuǎn)望谷是國(guó)內(nèi)RFID產(chǎn)業(yè)的龍頭企業(yè)，公司在超高頻及微波芯片設(shè)計(jì)方面優(yōu)勢(shì)明顯，符合“十二五”規(guī)劃的技術(shù)重點(diǎn)。另外，隨著城鎮(zhèn)化、城市的快速發(fā)展，相關(guān)交通、安防等需求將大幅增加。在智能交通方面，可關(guān)注銀江股份、賽為智能等。公共安全方面，可關(guān)注大華股份、?？低暤?。

安全問題較突出

值得注意的是，本次《指導(dǎo)意見》重點(diǎn)提及了安全保護(hù)?！皬?qiáng)化安全意識(shí)，注重信息系統(tǒng)安全管理和數(shù)據(jù)保護(hù)。加強(qiáng)物聯(lián)網(wǎng)重大應(yīng)用和系統(tǒng)的安全測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估和安全防護(hù)工作，保障物聯(lián)網(wǎng)重大基礎(chǔ)設(shè)施、重要業(yè)務(wù)系統(tǒng)和重點(diǎn)領(lǐng)域應(yīng)用的安全可控?！薄吨笇?dǎo)意見》這樣提及。

對(duì)于物聯(lián)網(wǎng)安全問題的重要性，中國(guó)聯(lián)通物聯(lián)網(wǎng)辦公室主任馬彥這樣認(rèn)為，物聯(lián)網(wǎng)的某些應(yīng)用，如車聯(lián)網(wǎng)和移動(dòng)醫(yī)療等，可能會(huì)涉及人生安全，一旦出現(xiàn)安全問題，后果將不堪想象。因此物聯(lián)網(wǎng)的安全標(biāo)準(zhǔn)要遠(yuǎn)遠(yuǎn)高于互聯(lián)網(wǎng)的安全標(biāo)準(zhǔn)。

不過，現(xiàn)實(shí)情況是，目前國(guó)內(nèi)外的物聯(lián)網(wǎng)安全都還處于起步階段，雖然在無線傳感器網(wǎng)絡(luò)和射頻識(shí)別領(lǐng)域有一些針對(duì)性的研發(fā)工作，但是統(tǒng)一標(biāo)準(zhǔn)的物聯(lián)網(wǎng)安全體系尚未正式形成。國(guó)內(nèi)外較為流行的無線通信協(xié)議均采用為不同安全等級(jí)應(yīng)用配置不同加密等級(jí)策略的思路，對(duì)如何為物聯(lián)網(wǎng)劃分安全等級(jí)的研究還較少。

“從物聯(lián)網(wǎng)安全需求和特點(diǎn)可以看出，物聯(lián)網(wǎng)安全將是其能否真正普及的決定性因素，物聯(lián)網(wǎng)的發(fā)展已經(jīng)開始加速，對(duì)安全的需求日益迫切?！眲⑿沱惐硎?。

網(wǎng)絡(luò)層和應(yīng)用層應(yīng)區(qū)別對(duì)待

對(duì)于如何構(gòu)建物聯(lián)網(wǎng)安全保障體系，《指導(dǎo)意見》提出：“完善安全等級(jí)保護(hù)制度，建立健全物聯(lián)網(wǎng)安全測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估、安全防范、應(yīng)急處置等機(jī)制，增強(qiáng)物聯(lián)網(wǎng)基礎(chǔ)設(shè)施、重大系統(tǒng)、重要信息等的安全保障能力，形成系統(tǒng)安全可用、數(shù)據(jù)安全可信的物聯(lián)網(wǎng)應(yīng)用系統(tǒng)?！?/p>

對(duì)于安全等級(jí)保護(hù)制度，中國(guó)移動(dòng)研究院首席科學(xué)家楊景認(rèn)為，首先是應(yīng)用層和網(wǎng)絡(luò)層建立不同的安全等級(jí)保護(hù)制度。因?yàn)榫W(wǎng)絡(luò)的應(yīng)用層面跟傳統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估差距不大，但是網(wǎng)絡(luò)傳輸使用到專用網(wǎng)關(guān)設(shè)備與網(wǎng)絡(luò)環(huán)境，所以物聯(lián)網(wǎng)安全保障體系的重點(diǎn)應(yīng)該是物聯(lián)網(wǎng)專網(wǎng)及相關(guān)協(xié)議。其次，計(jì)算體系和信息存儲(chǔ)體系的可用性，以及對(duì)生命周期中各種活動(dòng)的安全評(píng)估和處理，也都是物聯(lián)網(wǎng)安全運(yùn)營(yíng)所必須考慮的。

劉秀麗認(rèn)為，與互聯(lián)網(wǎng)安全相比，物聯(lián)網(wǎng)安全呈現(xiàn)出平民化、輕量級(jí)、非對(duì)稱和復(fù)雜性等特點(diǎn)。