信息安全保护大全11篇

信息安全保护篇（1）

伴随着档案数字化进程中，档案信息的安全威胁是各种各级全方位的。档案安全不仅影响人民的切身利益，同时直接关系到国家安全。在档案数字化过程中应该确保档案信息的准确性和真实性，在档案信息保存过程中需要对储存介质进行保护。黑客非法窃取档案信息严重影响着档案的安全。档案信息安全保护就是确保在档案从形成起始的所有过程的安全。档案数字化给档案管理工作便捷，同时数字档案面临着与传统有别的新型的威胁。本文阐述了影响数字档案信息安全的因素，探究加强档案信息安全的对策。

 

一、影响数字档案信息安全的因素

 

(一)储存档案信息的介质本身不安全

 

储存档案信息的介质一般包括光盘、磁盘等电子载体。储存档案信息的介质寿命远远比不上纸质档案，普通光盘的寿命也就几年。针对储存介质脆弱性，档案工作者不仅要定期对储存介质进行维护还需对档案信息进行备份。

 

(二)无纸化办公带来的不安全

 

无纸化办公趋势造成档案信息对计算机系统过度依赖。数字档案的使用离不开电子操作设备。无纸化办公造成档案信息存储形式的单一性是影响档案信息的安全的重要因素之一[1]。

 

(三)信息共享、网络互联带来的不安全

 

信息共享、网络互联使任何个人、机构都能在互联网上抓取信息。档案信息信息化之后储存的载体连接在互联网上，因此黑客攻击、网络爬虫等威胁互联网安全的因素严重威胁档案信息的安全。

 

二、应用技术手段确保档案信息安全

 

(一)建设安全操作系统

 

操作系统是网络能够正常工作的重要支撑。操作系统负责文件管理、进程管理、设备分配等基础工作。操作系统的扫描工具时刻检测系统漏洞，能够及时发现问题、防火墙给档案信息增加了一层保护、软件限制策略软件限制策略来限制系统上运行的未授权的可执行程序对档案信息的更改，以防止黑客等不安全人员对机密档案的套取。

 

(二)设置防火墙

 

防火墙给档案信息增加了一层保护。在系统的内、外网之间，设置防火墙是保护数字信息安全最主要的措施之一。防火墙的设置可以实现内、外网之间的隔离、控制访问手段和对档案信息的读写方式。防火墙应该可以控制对档案信息的读写方式、过滤流过网络的数据、禁止非法请求、记录信息内容和进程动态、检测网络攻击。

 

(三)防病毒技术

 

反病毒技术不仅可以检测网络非法行为还可以主动防御网络病毒的攻击。防毒技术具有查毒功能，可以对客户文件进行扫描，检查潜伏的病毒。同时防毒技术的在线功能可以及时监控网络病毒入侵并报警，网络管理人员将根据报警信息及时作出相应的措施。

 

(四)加密技术

 

档案记载着一个人在社会活动中具有一定价值的历史记录，为了保证档案的完整性和真实性，档案在形成之后就是非公开的，除了档案管理机构其他人都没有权利查看档案。采用加密技术可以确保档案信息在数字化储存中不被解密以保证档案信息的非公开性。加密使用的密钥基本决定了加密强度。密钥分为对称密钥与非对称密钥。非对称密钥加密技术具有两个密钥，一个是公钥一个是私钥，公钥是公开的，私钥是非公开的。公共密钥用来进行加密，私钥可以用来解密。发送档案信息时，发送者使用公钥对档案信息进行加密。接收者接受到档案信息时，只有使用密钥才能解密档案信息。秘钥只有接受方才有，因此互联网非法分子很难从截获的加密了的报文中解出完整档案信息，这在档案信息的传输过程中可以有效防止网络爬虫、黑客对档案信息的窃取。

 

(五)数据备份与恢复技术

 

储存档案信息的介质具有脆弱性。进行数据备份，备份的数据在数据丢失情况下就可以被恢复。除此之外，还应该增加的数据存储介质的多样性，如使用磁盘、光盘之后可以使用纸质对主要信息再备份。

 

三、加强档案信息安全保护对策

 

(一)建立健全档案管理制度

 

提高档案管理安全认识能有效确保档案信息的安全。档案信息安全的诸多问题根本上是由于档案管理规章制度的不建全。除了建设安全操作统、设置防火墙、防病毒技术、数据备份与恢复技术等应用技术手段之外，建立健全档案信息安全的管理制度也是加强档案信息安全保护有效对策之一。因此，需要完善现行管理制度、监督制度、赏罚制度、权责界定制度和信息网络病毒防范管理制度等相关制度。

 

(二)完善法规建设，形成规范体系

 

中国互联网分发展起步比较晚，相关互联网立法不健全，致使非法分子得不到惩治作案成本低造成作案更加猖獗。因此制定有效的档案信息安全法规显得尤为重要。立法部门应该联合档案部门制定出符合中国国情的网络安全法，保障网络信息流通的安全，维护数字档案信息安全[3]。

 

(三)提高档案管理人员的综合素质

 

互联网属于新兴行业，中国互联网分发展起步比较晚，因此档案管理人员缺乏信互联网知识、信息安全意识和操作现代化设备的水平。另外，档案工作人员的思想懈怠致使档案管理人员在档案管理过程中粗心大意、缺乏责任意识，因此需要加强档案人员互联网知识培训和思想教育，增强档案人员安全责任意识，提升档案人员的专业技能。

 

四、结束语

 

信息安全保护篇（2）

选拔合格的网络管理人员 网络管理人员首先要有很强的网络信息安全意识，明白网络信息安全的重要性；其次，要有较高的网络信息安全专业知识，能够及时完善系统安全策略、更新系统补丁、查杀木马病毒；最后，需要有认真负责的工作态度，能够认真对待本职工作，对于出现的问题，能在及时进行解决，不影响网络的正常运转。

严格执行网络使用管理规定 办公内网必须与互联网及其他公共信息网络实行物理隔离，并强化身份鉴别、访问控制、安全审计等技术防护措施。严禁通过互联网电子邮箱、即时通信工具等处理、传递、转发涉密和敏感信息。严禁在办公内网使用外部U盘、光盘，点击不明网址，引发病毒木马攻击。

加强网络信息安全教育 光有好的网络安全设备和管理人员还不够，还必须提升所有公司人员的网络信息安全意识和网络安全操作水平，只要所有的人员认识到网络安全的重要性和必要，知道如何操作使用网络会减少安全危胁，才可以真正筑牢网络信息安全的防火墙。

信息安全保护篇（3）

以前，用户需记住5个，甚至15或30个口令，而且还必须弄清楚哪个应用配的是哪个口令，现在，就让我们彻底忘记那些让人感到恼火的事情吧。Password Manager的部署使用户只需一次身份验证，就能以一个口令登录所有受口令保护的应用。它将自动接入受口令保护的信息资源，执行严密的口令策略，监控口令相关事项，自动化最终用户工作，例如口令变更。

单点接入

为了加强IT安全，Password Manager对口令采取了集中化管理，具体事宜由IT机构的专业人员统一负责。这增强了用户的使用安全性及对外部攻击的防御能力。实际上，当用户离开公司后，可以仅关闭惟一的一道门终止他们的应用接入权利（取消主网络登录密码）。

同时，Password Manager加强了对信息接入的内部控制，使公司能轻松应付全球范围的大量法规条款。根据美国的HIPAA及Sarbanes-Oxley法案或European Union Data Protection Directive，安全缺口会让企业受到严厉的惩罚。在信息接入追踪方面，Password Manager执行强口令策略，自动化口令变更，实时抓取用户接入数据以供审查。

根据Forrester Research研究表明，Password Manager的自动口令变更过程使客户不必再为口令问题，尤其是口令重置，支付平均每用户200美元的Help Desk支持费用。利用用户自服务，Password Manager自动化了口令重置，为企业节约了成本。

除了上述几点之外，Password Manager的安装很方便，不需编写脚本，无须应用级别的整合，而且完全不会更改公司的基础架构。另外，它还能透明地直接集成业界先进的多因子认证设备。

主要特性

在应对来自IAM的挑战时，Citrix Password Manager提供了数字式签名，增强型事件记录和集成第三方安全认证来提高安全性、贯彻法律法规要求，另外还提供了一个强大的管理控制台以加强管理控制。此外，它还有更多、更显著的特性：

单点登录――提高生产力，用户仅凭自己的网络凭证进行一次登录。

增强口令策略――基于每个应用实施强口令生成法则，因而消除了用户自创的弱口令。

自动口令更改――用户看不到整个口令变更过程，这使IT人员能随意快速、简单并经常更改口令。

口令重置和账号解锁自服务――允许用户重置网域口令或解锁Windows账号。

Hot Desktop――让共享工作站的用户能在几秒内登录/退出。

用户身份供给机制――将用户的第二身份认证预置于Password Manager的核心存储。

竞争优势

Citrix Password Manager简化了企业用户的接入，为企业节约了成本，为每个人增强了安全性。如果Citrix Password Manager作为Citrix Access Suite的一部分来销售，其价值将大大提升。

Citrix Access Suite是目前安全按需接入领域集成性较好的接入解决方案，用户可在任何地方通过任何设备采用任何网络连接方式接入企业信息资源。Access Suite由Citrix Presentation Server、Citrix Access Gateway和Citrix Password Manager组成，提供了对信息（不管是数据、语音或人）的不间断接入。该套件设计安全，集中化接入，为企业应用奠定了坚实的基础，能自动适应动态的接入场景。

信息安全保护篇（4）

政府部门信息系统和构架的特点，决定了其在网络信息安全性方面存在问题和隐患。目前，网络攻击、信息窃取、运维管理等方面的风险尤为突出。网络攻击。目前的网络攻击，不仅包括利用网络和系统存在的漏洞和安全缺陷对计算机信息系统实施入侵，破坏和干扰系统正常运行的行为，还包括对其存储的数据进行密取、增加、删除和修改的行为，具有跨国性、欺骗性、隐匿性的特征。比较常见的网络攻击方式有：DDOS（拒绝服务式）攻击、计算机病毒程序攻击、数据驱动攻击以及网络欺骗攻击等。以计算机病毒程序攻击为例，攻击者通过网页挂载、邮件附件、软件捆绑、文件伪装、动态链接库和远程线程插入等方式向目标系统植入计算机病毒程序、木马程序，以记录用户操作痕迹（键盘敲击记录、网页浏览记录）或者直接操作计算机系统，并获取、修改系统重要信息数据或干扰计算机系统正常运行。这类攻击，都可以在一定程度上造成信息系统的故障和瘫痪或对网络传输数据和系统内存储处理数据的安全性造成威胁。特别是一些部署在互联网上，且防护措施比较薄弱的，一级架构的政府部门信息系统以及提供互联网服务并进行跨网部署的政府部门信息系统。

信息窃取。对于政府部门的信息系统，主要面临的信息安全来自于一些国家或境内外敌对势力。为了达到颠覆政权、扰乱政治稳定、经济稳定和社会稳定的不法目的，一些国家或敌对势力正通过各种密取手段和信息监控手段对国家秘密、军事秘密等涉及国家安全稳定的重要信息进行密取和截获。通过境外的互联网内容服务商密取信息、通过境外的互联网接入服务商截获信息、利用网络设备及信息系统设备窃取信息等手段屡见不鲜。通过境外的互联网内容服务商密取信息，是通过一些在国外注册并上市的互联网内容服务商获取互联网信息业务和增值业务。这些互联网内容服务商不仅可以向本国乃至全球用户提供互联网内容和应用服务，而且其掌握了大量用户的数据，包括了用户上网的IP地址、上网设备标示、登陆时间、登陆口令以及相关应用的交互等内容，甚至涉及公民隐私及政府国家秘密、企业业务秘密的私密数据。

用户在访问境外网站的过程中，交互数据可能经过这些向用户提供互联网接入服务的境外服务商的数据传输设备。而通过境外的互联网接入服务商截获信息利用的就是该特点，当用户在使用部署于互联网的信息系统终端设备进行互联网访问时，信息就会被中途截获密取。2011年，国外媒体曾报道某知名手机生产商的手机在定位功能关闭后仍在收集用户位置信息的情况，类似的还有打印机缓存打印数据等窃取私密信息的方法。这些设备都有预留或被植入的“后门”，以达到利用网络设备及信息系统设备窃取信息的目的。通过这样的方式可以随时随地收集使用者的各种信息，甚至控制网络和信息系统。运维管理的风险。政府部门的信息系统，按照其应用领域和信息安全要求，都有严格的密级划分，对于系统建设和运维管理的单位也有严格明确的资质规定和保密要求。然而，与政府部门相比，系统建设和运维厂商的人员管理相对不够严格和规范，人员的流动性较大，这就可能存在一些风险，例如窃取系统数据或在系统中预留后门和漏洞等。

二、基于信息安全等级保护的防护模式

随着政府部门网络规模不断扩大、各类政府应用不断扩展、云计算物联网移动互联网等技术不断涌现，网络的脆弱性和面临的安全威胁日益显现。同时，随着网络安全攻防技术动态发展，网络信息安全不再是传统意义上的信息截获、病毒破坏、设施破坏，而是呈现出自动化、智能化和专业化的特点。因此，为了更好地保障政府信息系统稳定、高效运行，在系统整体架构及安全保障模式上应不断进行创新，针对不同的安全防护需求，采取不同的安全机制或措施，提高安全防护能力。结合信息安全等级保护措施，根据政府部门安全防护需求，建设安全防护模型，全方位保障新形势下政府部门信息系统的安全。

信息安全保护篇（5）

一、大数据征信的概念与发展

大数据征信是指对海量在线交易记录、社交网络数据等个人的信息进行收集整理，并运用大数据分析和刻画出信用主体的违约率和信用状况，进而控制金融信用风险。解决了传统征信因信息分散导致的采集成本高，效率低下等问题，与传统征信天然互补。由于大数据采集的覆盖面广、信息维度丰富，评估个人信息的信用风险全面而广泛，成为互联网金融和众多相关行业的基石。

二、大数据征信中个人信息安全保护现状及存在的问题

由于互联网征信企业极度依赖于大数据技术的收集与分析，一切信息皆信用，使得个人信息的安全性受到了空前挑战和威胁。近年来违法倒卖、泄露个人信息事件屡见不鲜，极大地影响了社会正常的经济秩序。由于个人信息在我国立法中仍处于薄弱环节，相关法规的制定存在较大的不足与滞后，商业化的大数据征信可能会成为侵害个人信息的工具，需用法律手段加以规制。

(一)立法保护滞后于现实需要

我国目前尚未出台专门的个人信息保护法，尽管个人信息安全保护不断出现在各种法律法规、司法解释中，但相关法律法规的制定过于分散且层次效力不一，在实践中缺乏可操作性，无法满足当前对个人信息保护的高质量法规的需求。现行的《征信业管理条例》与大数据征信的发展不适配，对于大数据征信中个人信息的采集、整理、保存、加工和公布等环节缺乏明确的界定，条例规范范围过于狭窄，对于涉及网络个人信息保护问题未作出合理规范。

(二)征信信息泄露严重监管缺乏

大数据征信涉及大量用户敏感信息，随着越来越多的数据被采集利用，用户面临着面临的信息安全风险变得更加严峻。与普通个人信息相比，征信信息由于价值和敏感性，泄露的危害更为严重。当前信息泄露已经形成产业链，数据黑市犯罪成本低利润高。再加上互联网征信公司内部管理制度不完善，存在业务操作和人员道德双重风险，近年来许多互联网公司人员存在监守自盗的风险，例如京东泄露了12G的用户数据造成其严重后果。2016年的“5•26信息泄露案”，湖南银行行长非法出售个人信息257万余条，包括身份证号、征信记录、账户明细等众多敏感信息。而在国外全球第一大个人征信机构益博睿涉及2亿的身份信息泄露，涉案金额超过6500万美元。

(三)个人维权法律救济困难

随着未来信息开发和利用的日益成熟，个人信息尤其是信用信息具备相当的商业、社会和法律价值。大数据时代使个人信息的权利边界消失，给个人信用信息主体维护自己合法权益带来巨大的挑战。由于个人信息主体往往处于弱势地位，与征信信息管理机构存在着信息和技术不对称，让受侵害的个人信息举证维权之路难上加难。在个人信息受到非法收集泄露等侵害时，由于通过法律救济途径解决纠纷可能产生的成本和风险过高，只好选择放弃诉讼维权，使得本应该成为最终保障的司法救济渠道起不到应有的保护作用。

三、大数据征信中保护个人信息安全的对策与建议

(一)完善个人信息立法保护

针对大数据征信的特点，以征信业规制和网络个人信息保护的专门立法现有成果出发，通过立法出台统一的个人信息国家技术标准，给已有的普遍分散立法以操作的指引，制定最低标准网络个人信息保护法，明确规定个人隐私的信息、个人信息采集基本原则和使用目的，采集收集的负面清单制度，防止个人信息被滥用。通过构建完善的个人信息保护法律体系，为征信体系安全建设提供更有力的法律支撑。

(二)加强行政监督管理与行业自律

加强数据安全体系和信息监管体系建设，防范非法入侵造成信息泄露，对于信息泄露问题完善危机应急预案和补救措施。加强信息安全执法监管，严厉打击非法泄露、买卖信用数据的行为，加大对泄露个人信息企业的问责和处罚。对征信管理机构开展内部安全认证和行业自律机制建设，充分发挥征信行业协会其协调沟通征信机构与监管机构的作用，加强征信行业业务交流和制定技术标准，开展征信信息保护宣传提高民众意识。

(三)探索多元化个人信息保护救济方法

建立征信机构内部的纠纷处理机制，完善信息异议处理解决机制，缩短错误征信数据信息的更正时限，提高征信信息录入质量。完善个人对征信机构的投诉渠道，引入征信行业调解、仲裁和第三方纠纷非诉解决的法律机制。对于公民维护个人合法权益面临取证难、诉讼难等问题，完善互联网情景中个人信息侵权赔偿制度，并在个人信息保护中引入举证责任倒置和集体诉讼机制，优化个人信息司法保护程序，提供便捷高效的法律救济渠道。

［参考文献］

［1］刘红熠，杨妮妮．互联网征信背景下个人信息主体权利保护问题研究［J］．征信，2016(06)．

信息安全保护篇（6）

随着我国信息系统建设的逐步完善，信息安全越来越得到重视，目前，我国已提出实行信息安全等级保护管理，并建立了信息系统分级保护制度。

1 信息安全等级保护

2003年，中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)，提出实行信息安全等级保护，建立国家信息安全保障体系的明确要求。

信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

信息系统的安全保护等级分为五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。该级别是用户自主保护级。完全由用户自己来决定如何对资源进行保护，以及采用何种方式进行保护。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。该级别是系统审计保护级。本级的安全保护机制受到信息系统等级保护的指导，支持用户具有更强的自主保护能力，特别是具有访问审计能力。即能创建、维护受保护对象的访问审计跟踪记录，记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息，所有和安全相关的操作都能够被记录下来，以便当系统发生安全问题时，可以根据审计记录，分析追查事故责任人，使所有的用户对自己行为的合法性负责。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。该级别是安全标记保护级。除具有第二级系统审计保护级的所有功能外，它还要求对访问者和访问对象实施强制访问控制，并能够进行记录，以便事后的监督、审计。通过对访问者和访问对象指定不同安全标记，监督、限制访问者的权限，实现对访问对象的强制访问控制。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。该级别是结构化保护级。将前三级的安全保护能力扩展到所有访问者和访问对象，支持形式化的安全保护策略。其本身构造也是结构化的，将安全保护机制划分为关键部分和非关键部分，对关键部分强制性地直接控制访问者对访问对象的存取，使之具有相当的抗渗透能力。本级的安全保护机制能够使信息系统实施一种系统化的安全保护。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。该级别是访问验证保护级。这一个级别除了具备前四级的所有功能外还特别增设了访问验证功能，负责管理访问者对访问对象的所有访问活动，管理访问者能否访问某些对象从而对访问对象实行专控，保护信息不能被非授权获取。因此，本级的安全保护机制不易被攻击、被篡改，具有极强的抗渗透的保护能力。

2 信息系统分级保护

2004年，中保委下发《关于加强信息安全保障工作中保密管理的若干意见》(中保委发〔2004〕7号)，明确提出建立健全信息系统分级保护制度。

涉及国家秘密的信息系统要按照党和国家有关保密规定进行保护。我国的国家秘密分为秘密、机密、绝密三级，信息系统也按照秘密、机密、绝密三级进行分级管理。

秘密级：信息系统中包含有最高为秘密级的国家秘密，其防护水平不低于国家信息安全等级保护三级的要求，并且还必须符合分级保护的保密技术要求。

机密级：信息系统中包含有最高为机密级的国家秘密，其防护水平不低于国家信息安全等级保护四级的要求，还必须符合分级保护的保密技术要求。属下列情况之一的机密级信息系统应按机密级(增强)要求管理：

(1) 信息系统的使用单位为副省级以上的党政首脑机关，以及国防、外交、国家安全、军工等要害部门；

(2) 信息系统中的机密级信息含量较高或数量较多；

(3) 信息系统使用单位对信息系统的依赖程度较高。

绝密级：信息系统中包含有最高为绝密级的国家秘密，其防护水平不低于国家信息安全等级保护五级的要求，还必须符合分级保护的保密技术要求，绝密级信息系统应限定在封闭的安全可控的独立建筑内，不能与城域网或广域网相联。

信息系统的等级由系统使用单位确定，按照“谁主管、谁负责”的原则进行管理。实现对不同等级的信息系统进行分级保护，对信息系统使用的安全保密产品进行分级管理，对信息系统发生的泄密事件进行分级处置。

3 等级保护与分级保护的关系

信息安全保护篇（7）

【关键词】信息安全 等级保护 建设

随着全球信息化程度的不断提高，人类生活对信息网络的依赖程度不断提高，信息网络科技已经逐步渗透到人们生活的方方面面，对国家安全、社会秩序和公众权益的影响日益突出，各国在信息安全方面的重视程度也日趋提高。我国为了保障国家安全，维护社会秩序和公众利益不受侵害，在2007年制定了信息安全等级保护制度。实施信息安全等级保护工作不仅是提升信息化安全防护水平的重要手段，更是落实国家信息安全保障要求的重要内容。

1 信息安全等级保护综述

“信息安全等级保护”是国家制定的信息安全管理规范和技术标准，是保障和促进信息化建设健康发展的一项基本制度。具体地说，就是对基础信息网络和重要信息系统按其重要程度及实际安全需求，分等级进行保护，按标准进行建设，按要求进行管理和监督，确保信息系统安全正常运行，提高信息系统安全综合防护能力，维护国家安全、社会稳定和公共利益。

2 信息安全等级保护的现状

2.1 各主要行业信息安全等级保护工作开展程度不一

电力、电信、铁路、税务等一些重要行业等级保护工作进展较快，在进行信息安全等级保护工作中结合各行业特点和行业的特殊安全需求制定了行业的等级保护规范或细则。相对而言，银行、交通、文化等行业目前等级保护工作进展缓慢。中国电力财务有限公司（以下简称“公司”）作为电力行业直属的非银行金融机构，按照国家电网公司要求很早已经开展相关工作，但由于公司业务与机构设置对于电力行业主业有很大区别，在信息安全等级保护的建设上只涉及公司总部，对于各分支机构的相关工作并未开展。直到2012年7月中国人民银行正式了《金融行业信息系统信息安全等级保护实施指引》、《金融行业信息系统信息安全等级保护测评指南》、《金融行业信息安全等级保护测评服务安全指引》三个文件，对金融行业信息系统信息安全等级保护建设提出了具体要求，为等级保护实施、测评、整改工作提供了强大的政策支持，并明确了区域性金融机构信息系统安全等级保护工作的具体要求。金融行业等级保护标准依据国家要求和行业特点，细化、补充了大量内容，保留国家等级保护基本要求二级要求、三级要求、四级要求项590项，补充细化要求项193项，新增金融行业特色要求项269项。

2.2 金融机构对信息安全等级保护的认识不足

由于对信息安全的理解不够，在对于信息安全的资金投入，往往用于购买硬件安全设备，认为有了这些看得见摸得着的安全产品就可以确保安全了。但是根据人民银行颁布的《金融行业信息系统信息安全等级保护实施指引》中以国家等级保护要求为原则，以金融行业特点为基础，提出了构建“两项要求”和“两个体系”的金融行业信息安全保障总体框架。

该框架通过技术要求与管理要求的交融以及技术体系与管理体系的互补，从安全保障要求和安全保障方法两方面体现技术与管理并重的基本思想。也就是说必须是管理制度体系和技术防护体系互相融合，仅仅靠技术防护体系是无法构建完善的安全保障体系。同时，管理体系是遵照“建立、实施、执行、监控、审计、保持、改进”的过程进行类似生命周期的思路形成生命环的管理方法，而公司在这方面的认知还有待提高。与此同时金融行业从业人员以为财务及管理人员为主，而具有计算机、信息安全等级保护知识的人非常少，加强信息化人才与金融人才相结合的复合型人才培养，是推进金融行业信息化建设和信息安全等级保护工作的重点。

2.3 缺少信息安全等级保护相关知识经验

目前信息安全等级保护工作采用自主定级的方法，缺乏精确参考的标准和考量值。如果负责信息安全工作的人员对等级保护的概念不明晰，对等级保护的适用范围把握不准确，就会导致对信息系统的定级备案不合适，同时对于信息系统的升级或者调整导致需要重新定级备案的，如未能及时将信息上报备案，也将影响信息安全等级保护后续工作的顺利开展。如果信息安全定级过高，大于本单位要需要的等级，也将导致本单位资源浪费，降低系统运行效率，增加日常管理负担；如定级过低，将导致系统得不到必要安全保护，也容易引发系统安全问题。

3 开展信息安全等级保护的必要性

开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障。实行信息安全等级保护是在借鉴国外先进经验和结合我国国情的基础上，解决我国信息网络安全的必然选择。

3.1 落实国家政策标准和要求

对信息系统实行等级保护是国家法定制度和基本国策，是开展信息安全工作的有效办法，是信息安全工作的发展方向。我国政府对基础架构的安全一直非常重视，在“十二五规划”中首次将“加强网络与信息安全保障”作为重要章节突出，这充分显示了国家对信息安全的重视程度。国家态度明确了，信息安全等级保护制度作为国家信息安全保障领域的一项基本制度，必须在各单位得到有效贯彻落实。

3.2 有效降低信息化建设成本

等级保护测评的核心思想就是按照信息系统的重要程度及实际安全需求，合理投入，分级进行保护，将有限的资源最大化的投入到重要信息系统的建设中，更加有效的保障重要信息系统安全可靠运行，促进信息化建设健康发展。按照定级标准对信息系统进行符合性测评，根据测评结果，有针对性的在建设整改时，对造成信息系统高风险的漏洞和问题进行建设整改，能有效的控制信息化建设成本，既促进了信息化建设的健康发展，也保证了系统的可靠运行。

3.3 切实提高信息安全整体水平

信息系统安全等级保护作为对信息安全系统分级分类保护的一项国家标准，对于完善信息安全标准体系，提高信息安全的整体水平，以及增强信息系统安全保护的整体性、针对性和时效性都具有非常重要的意义。在信息化建设过程中同步建设信息安全设施，可以有效保障信息安全与信息化建设相协调；通过加强对重要信息系统的安全保护和管理监督，可以明确信息系统的安全责任，强化管理职能，有效落实各项安全建设和安全管理措施，最终切实提高信息安全整体防护能力。

作者简介

信息安全保护篇（8）

2海委信息系统等级保护

海委信息化建设起步比较早，但是随着信息化产业的飞速发展病毒传播、网络攻击、数据破坏等安全风险增加。信息安全登记保护相关法规、政策文件、国家标准和公共安全行业标准的出台，为信息安全等级保护工作的开展提供了法律、政策、标准的保障。2009年全国水利信息化工作座谈会“高度重视信息安全和保密，积极预防、综合防范，建立科学完备的技术安全体系和严密规范的安全管理制度，切实保障网络安全、系统运行安全和信息安全”的精神及2010年全国水利信息化工作座谈会关于2012年底前完成安全保护等级三级及以上信息系统的安全防护建设、逐步完善全国各级水利部门信息安全防护体系的要求，加快了水利信息安全整改的步伐。通过2010年海委信息办对海委系统进行的信息安全检查及海委机关信息系统安全评估工作，发现海委信息安全防护体系和管理手段相对落后和匮乏，这就迫切要求进行整改，以保证海委水利信息化稳步健康发展。2013年，海委启动项目建设，完成海委机关与各直属管理局物理安全及网络安全系统建设以及三级信息系统整改工作；2014年度，完成身份认证系统及主机、系统安全建设；2015年，完成安全管理系统建设及三级系统的等级保护测评工作。2.1海委等级保护整改内容海委机关及下属局机关采用1+4模式从政务外网物理安全、网络安全、主机安全、业务系统应用安全、外网数据安全以及安全管理制度5个方面进行整改。2.2海委信息系统现状海委机关申报批复的三级系统3个，二级系统8个。漳卫南局申报三级系统2个，二级系统10个；引滦局申报三级系统2个，二级系统5个；海河下游局申报三级系统2个，二级系统3个；漳河上游局申报三级系统1个，二级系统2个。海委机关数据中心机房基本具备等级保护三级要求，但机房服务器设备数量较多，维护手段形式复杂需要整改。海委直属四局机房的地板、布线、UPS供电系统已完全老化，不符合机房要求。海委机关及委属四局的网络均未按照等级保护要求进行分区域防护，缺少安全审计、恶意代码防范等防护措施；主机安全方面缺乏主机安全审计、漏洞扫描等技术手段，仅部署网络防病毒系统，主要通过密码管理、手动升级系统补丁等管理手段进行防护；海委机关已建立存储备份系统，但海委离线备份容量小，委属四局无存储备份系统；安全管理方面都制定了部分管理办法和操作规程，仍不全面。2.3海委信息系统等级保护建设成果根据国家信息系统安全等级保护要求和《水利网络与信息安全体系建设基本技术要求》，海委对委机关及直属各局物理安全、网络安全、主机安全、系统安全、数据安全和安全管理6个方面内容进行整改，通过国家信息安全等级保护测评，进一步完善了海委信息安全防护体系，整体提高了海委机关及直属各局政务外网信息系统的安全保障能力和防护水平，确保了网络与信息系统的安全运行。

3海委信息系统的分级保护

[2]根据国家保密法的规定，国家秘密按信息的重要程度分为秘密、机密、绝密3个级别，同样的信息系统也相应地采取分级管理的方式。随着《中华人民共和国保密法》的颁布，我国建成了完善的信息保密体系和法律依据。信息系统实行分级保护，不同信息的划分依据是信息的重要性、保密程度以及一旦泄露后对国家、社会、个人或组织造成的危害等。（1）秘密级。如果信息系统中包括有国家秘密，那么对信息系统的保护级别就是秘密级，对这些信息的保护措施至少要达到国家信息安全等级的三级要求和相应的技术规范。（2）机密级。如果信息系统中包括有国家机密信息，那么对信息系统的保护至少要达到信息安全四级的要求和相应的技术规范。当出现特殊情况时，要适当提高信息保护中的级别，保证信息的安全。（3）绝密级。这是级别最高的一种保护水平，主要保护的对象是绝密级的秘密信息，对这些信息的保护水平至少要达到等级保护的五级水平和相应的技术规范。信息按照“谁主管、谁负责”的原则进行管理，严格控制信息的访问行为，当信息泄露时要追究相关人员的责任，并进行分级处理。绝密级信息系统不能与城域网或广域网相连，应限定在封闭的安全可控的独立建筑内。海委于2010年开始建立物理隔离的保密内网，以实现政务内网与政务外网的物理隔离、保证数据传输的安全保密性。2010年底建成，2012年经过测评并获国家保密局颁发的测评证书。

4海委信息系统的等级保护与分级保护关系

海委对信息系统的分级保护是等级保护在领域的具体体现，也是海委信息安全等级保护的重要组成部分。可以说，海委信息系统分级保护与海委信息安全等级保护是两个既有区别又有联系的概念。海委信息安全等级保护的对象主要是涉及海委安全、稳定和工作的信息系统，而不管它是否；而海委信息系统主要保护的是海河流域水利秘密信息等。只要是信息，对其的保护级别都不能小于等级保护中的三、四、五级的要求和相应的技术规范。对于一些涉及到水利安全和公共利益的信息，还必须增加防护措施，提高保护的水平和级别，确保信息安全。对信息系统的保护，既要反对不从实际出发，防护措施“一刀切”，造成“过保护”的现象；还要防止出现保护不到位的现象，造成信息的安全受到威胁，甚至信息泄露的情况，给单位和个人造成一定的损失。海委信息安全等级保护制度为海委的信息安全提供了保障和具体的保护措施，指明了信息系统发展的方向和道路。对信息系统实行等级保护是实现信息安全的重要途径和渠道，在一定程度上保护了信息的安全。由于公开信息和秘密信息在内容和特性上有着明显的区别，对信息系统的分级保护是海委信息安全等级保护在信息系统中的特殊保护措施与方法，二者在保障安全的方法、原则等方面也有着不同的要求。

5结论

海委安全等级保护是保障海委信息系统安全的基本要求，对信息系统进行分级保护，解决了信息系统建设使用中网络互联与安全保密的问题，提高了海委信息的保密性和安全性。

作者:宗华丽 秦娜 朱宏 单位:海河水利委员会水利信息网络中心

信息安全保护篇（9）

中图分类号：TP3 文献标识码：A

文中以云安全服务模型为研究依据，从云计算信息系统的安全特性入手，提出建立云安全服务模型及管理中心，介绍了云安全等级保护模型的建立情况。

1简述云计算信息系统安全特性

以传统的互联网信息系统相比较，云计算信息系统把全部数据的处理与存储都放在服务端，终端用户根据网络可以及时获取需要的信息和服务，没有必须在本地配置的情况下进行数据的处理和存储。根据网络中所设置的网络安全防护设施，可以在服务端设置统一的身份兼备与安全审计系统，确保多数系统出现的安全问题得到有效解决，但此时新的设计服务模式又会带来新的安全问题，例如：滥用云计算、不安全的服务接口、数据泄露、安全管理等多个方面的问题。

2建立云安全服务模型及管理中心

现实中的不同云产品，在部署模型、资源位置、服务模型等各个方面都展现出不一样的形态和模式，进而形成各不相同的安全风险特征及安全控制范围。所以，必须从安全控制的角度创建云计算的模型，对各个属性组合的云服务架构进行描述，从而确保云服务架构到安全架构的合理映射，为设备的安全控制和风险识别提供有效依据。建立的云安全服务模型如图1所示。

3云安全模型的信息安全等级测评办法

云安全信息安全保护测评的办法就是根据云安全服务模型与云安全中心模型，考察用户在云安全方面的不同需求，安全模型处在安全等级保护体系下的不同位置。安全模型一端连接着等级保护技术，另一端连接着等级保护管理的要求。根据云安全信息中心的建模情况，对云安全模型下的核心基础、支撑安全展开分析，获取企业在云安全领域的信息安全等级测评模型，依照模型开展下一步的测评工作。

3.1分析等级测评云安全模型下的控制项

根据上述分析情况，可以把云安全模型嵌套在云安全等级保护模式中，从而展开与云安全有关的信息安全等级评价，并对安全模型下的有关控制项展开分析。首先察看云认证及授权情况，对是否存在登陆认证、程序授权、敏感文件授权等进行测评。依照不同的访问控制模型，选择访问控制的目标是强制性访问、自主性访问、角色型访问，进而采取与之相对应的方法。为了确保网络访问资源可以有效的控制和分配，需要创建统一、可靠的执行办法和解决策略。自由具备统一、可靠地方式才可以保障安全策略达到自动执行的目的。测试网络数据的加密情况，要对标准的加密功能及服务类型，做到静态和动态的安全保护。探测数据的备份与恢复情况，就必须查看云备份是否安全、数据销毁情况、磁带是否加密及密码钥匙的管理，检查的重点是供应商的数据备份情况。查看对管理用户的身份是否可以控制管理，是否可以管理用户角色的访问内容。查看用户的安全服务及审计日志，其中包括网络设备的监控管理、主机的维护、告警管理与维护等。

3.2分析等级测评云安全模型的风险性

依照等级保护的有关要求，运用风险分析的办法，对信息系统展开分析时必须重视下面的内容。

（1）云身份认证、授权及访问控制

云安全对于选择用户身份的认证、授权和访问控制尤为重要，但它所发挥的实际效果必须依赖具体的实施情况。

（2）设置云安全边界

云安全内部的网络设备运用防火墙这系列的措施展开安全防护。但外部的云用户只能运用虚拟技术，该技术自身携带安全风险，所以必须对其设置高效的安全隔离。

（3）云安全储存及数据信息备份

一般情况下，云供应商采用数据备份的方式是最为安全的保护模式，即使供应商进行数据备份更加安全，仍然会发生数据丢失的情况。所以，如果有条件的，公司应该采用云技术共享的所有数据进行备份，或在保留数据发生彻底丢失事件时提出诉讼，从而获取有效的赔偿。云计算中一直存在因数据的交互放大而导致数据丢失或泄露的情况。如果出现安全时间，导致用户数据丢失，系统应该快速把发生的安全时间通报给用户，防止出现大的损失。

4结束语

综上所述，随着云计算技术的发展，云计算信息系统会成为日后信息化建设的重要组成部分。文中从云安全等级保护测试为研究依据，简述了云计算信息系统安全特性，对云安全服务模型及管理中心的建立情况进行分析，提出云安全模型的信息安全等级测评办法。

信息安全保护篇（10）

面对日新月异的科学技术发展现状与人类社会不断增加的信息系统需求，信息系统规模也在不断扩大，它在社会发展中做出了巨大贡献，但也引发了众多信息泄露、失真的问题，给社会经济的发展与人们生活构成了威胁。因此，信息安全问题已成为人类社会发展中亟待解决的问题，更是当今工作中需要研讨的重点，等级保护技术便是在这种背景下产生的信息安全保护新方法，它已经被广泛的应用于世界多个国家。

1.1等级保护制度内涵

保障系统正常运行,保障信息的保密性、完整性、可用性、可控性、不可否认性等。其中,保密性、完整性、可用性为基本安全特性要求。计算机信息系统安全的外延:保障由计算机信息系统控制和管理的部门职能和业务的正常运转,保障国家的政治、经济、军事安全的关键。我国于2003年提出了实行信息安全等级保护的概念，并有关政府和机构建立了明确的信息安全保证体系，为信息安全工作的开展提供了政策支持。信息安全保护等级是根据信息内容对国家安全、经济建设、社会生活的重要性划分的，它是信息系统受到破坏之后对国家安全、社会秩序、公共利益以及市民等组织构成危害程度来确定的，是目前信息安全防范的主要手段。

1.2等级保护制度划分依据

近年来，随着我国信息技术的迅速发展，人们在生产与生活中对网络环境的依赖性越来越强烈，只有更好的保证信息安全，才能让信息技术为人类社会健康、持续、稳定发展做出应有的贡献。在这种背景下，做好等级保护技术不容忽视，目前我国常见的等级保护制度主要可以归纳为五种。

1.2.1用户自主保护级

这一等级主要是信息系统受到破坏之后，由此导致了组织机构、人民群众利益受到一定的影响，但是它在整个社会范围内却是可以忽略不计的，对社会稳定性、国家安全以及集体利益并没有直接影响，因此这类等级保护的重要性全部取决于用户自己的选择。

1.2.2系统审计保护级

这类信息在受到外界攻击、威胁和破坏之后，不仅造成了人民群众利益受到损害，而且还给社会稳定、集体利益构成威胁，但是并没有直接影响到国家安全。

1.2.3安全标记保护级

此类信息系统在受到攻击破坏之后，遭受损失的不仅是人民群众、集体利益，甚至很大程度上对社会稳定、繁荣以及国家安全构成威胁。这一等级的信息安全保护工作不仅要具备系统审计保护的全部信息功能，而且还要强化系统访问者、被访问者的信息登记，对其访问工作的各种行为进行监督与审计。

1.2.4结构化保护级

这一等级可谓是保护工作的重点，由于此类信息一旦受到攻击和破坏，必然会导致相关机构、人民群众、社会稳定以及集体利益受到损害，甚至在很大程度上威胁到国家安全。

1.2.5访问验证保护级

此类信息一旦受到攻击和破坏，不仅给社会稳定、集体利益造成严重损失，还给国家安全造成重大危害。因此，这一级别的信息保护除了要具备上述种种保护要求之外，还要设定相关的访问验证保护码，对进入系统使用信息的人员不但要记录访问，还要对其权限进行设定，由此保护信息安全，确保信息不被泄露。

2信息等级保护技术的应用要点

信息安全等级保护工作是一个多方面、多内容的流程，它涉及工作的多个环节，需要相关管理部门在工作中共同参与。我部门在技术方面采取相对措施，工作场所计算机系统和通用工具均使用统一的软件，办公计算机必需安装指定的防病毒软件客户端，接受防病毒企业版软件服务端管理。传送内部资料时，点对点传送资料时使用RTX（腾讯通）传送，一对多或多对多传送资料时，使用FTP传送，不得使用移动存储介质作为信息相互传递的媒介等，利用技术手段让信息不再受其他攻击。管理方面以“谁主管谁负责、谁使用谁负责、谁保管谁负责”的三负责原则，与办公有关的计算机、笔记本等电脑硬件、移动硬盘等，办公室传真机，OA网络打印机，复印机划为信息设备，工作人员在使用信息设备时，均需严格遵守此原则规定。计算机不得使用无线键盘、无线鼠标、和无线网卡等无线设备，必需设置必要的密码，防止泄漏信息。严禁所有接入局域网的计算机、路由器、交换机、防护墙与互联网物理连接；不允许用于互联网的计算机与用于局域网的计算机交叉使用，不允许用于办公子网的计算机与用于技术子网的计算机交叉使用。未经专业销密，不得将计算机和移动存储介质淘汰处理。技术手段和严格管理不断优化和促进，确保每一个环节开展的科学、有效。信息安全工作中包含了物理、网络、主机以及数据等多方面的内容。

2.1信息安全等级保护技术流程

信息安全等级保护技术工作流程为：确定系统等级等级审批确定安全需求制定安保方案安全产品选择安全等级测评等级备案监督管理运行维护。

2.2等级保护制度建设

信息安全保护篇（11）

此级别功能最全，除具备上述所有级别功能外，对系统加设了访问验证保护，以此不但记录访问者对系统的访问历史，还对访问者的访问权限进行设置，确保信息被安全使用，保障信息不外泄。

1.2信息安全等级的划分

对于一些需要特殊保护和隔离的信息系统，如我国的国防部、国家机关以及重点科研机构等特殊机构的信息系统，在进行信息安全保护时，要严格按照国家颁布的关于信息安全等级保护的相关政策制度以及法律法规的规定要求对信息系统进行等级保护。根据需被保护的信息的类别和价值的不同，通常其受到保护的安全等级也不同。此举目的为在保护信息安全的同时降低运作成本。

2信息安全等级保护的基本要求

信息安全等级保护的基本要求分为技术和管理两大类。技术部分是要求在信息安全保护过程中采取安全技术措施，使系统具备对抗外来威胁和受到破坏后自我修复的能力，主要涉及到物理、网络、主机、应用安全和数据恢复功能等技术的应用。管理部分是要求在信息系统的全部运行环节中对各运行环节采取控制措施。管理过程要求对制度、政策、人员和机构都提出要求，涉及到安全保护等级管理、工程建设管理、系统的运行与维护管理以及应急预案管理等管理环节。

3信息安全等级保护的方法

3.1信息安全等级保护流程

信息安全等级保护涉及到多个环节，需要各相关部门共同参与，合力完成。安全等级保护的环节大体上分为以下九步：（1）确定系统等级作为实现信息等级保护的前提，确定信息系统的安全保护等级是必不可缺的步骤。用户要严格按照国家规范标准给所使用的信息系统科学确定等级。（2）等级审批信息系统主管部门对信息系统的安全等级进行审批调整，但调整时要按照规定，只能将等级调高。（3）确定安全需求信息系统的安全需求可反映出该等级的信息系统普遍存在的安全需求。信息系统在确定安全需求时要依赖该系统的安全等级，但因为信息系统普遍存在可变性，因此用户在确定安全需求时还要根据自身实际情况确定自己系统的安全需求。（4）制定安保方案当信息系统的等级和安全需求确定后，针对已掌握情况制定出包括技术安全和管理安全在内的最佳安全保护方案。（5）安全产品选型安全产品的选择直接决定了安全保护工作是否能够成功实现。因此在安全产品的选择过程中，不仅要对产品的可信度和功能进行认真审查，还要求国家相关部门监管产品的使用情况。（6）安全测评测评的目的在于确定系统安全保护的实现，以保证信息安全。若测评不能达到预期目标，要及时进行重新调整。（7）等级备案安全保护等级在三级以上的信息系统，其用户和运营商需要向地市级以上公安机关备案。跨地域的信息系统的备案由其主管部门在当地同级公安机关完成，分系统的备案由其用户和运营商完成。（8）监督管理信息系统的监管工作主要是监督安全产品的使用情况，并对测评机构和信息系统的登记备案进行监管。（9）运行维护该环节主要目的在于通过运行确定系统的信息安全，还可以重新确定对产生变化的信息系统的安全保护等级。以上环节在实现信息系统的安全等级保护过程中极其重要，不可跨环节、漏环节操作。

3.2信息安全等级保护的方法

信息安全等级保护分为物理安全保护和网络系统安全保护两类。对于物理安全保护，又分为必要考虑和需要考虑两个安全层面。对于必要考虑的物理安全方面：对于主机房等场所设施来说，要做好安全防范工作。采用先进的技术设备做到室内监控、使用用户信息登记、以及自动报警系统等。记录用户及其访问情况，方便随时查看。对于需要考虑的物理安全方面：对于主机房以及重要信息存储设备来说，要通过采用多路电源同时接入的方式保障电源的可持续供给，谨防因断电给入侵者制造入侵的机会。根据安全保护对象的不同，有不同的保护方法。具体方法如下：（1）已确定安全等级系统的安全保护对于全系统中同一安全等级的信息系统，对于任何部分、任何信息都要按照国家标准采取统一安全保护方法给其设计完整的安全机制。对于不同安全等级的分系统，对其上不同的部分及信息按照不同的安全要求设计安全保护。（2）网络病毒的防范方法计算机病毒严重威胁到计算机网络安全，所以防范病毒的入侵在信息系统安全保护过程中是非常重要的步骤。运用防火墙机制阻挡病毒入侵，或者给程序加密、监控系统运行情况、设置访问权限，判断是否存在病毒入侵，及时发现入侵的病毒并予以清除，保障计算机信息系统的安全。（3）漏洞扫描与修复方法系统存在漏洞是系统的安全隐患，不法分子常会利用系统中的漏洞对系统进行攻击破坏。因此要经常对计算机进行全面的漏洞扫描，找出系统中存在的漏洞并及时修复漏洞，避免给不法分子留下入侵机会。漏洞的修复分为系统自动修复和人工手动修复两种，由于多种原因，绝对完善的系统几乎不存在，因此要定期对系统进行漏洞扫描修复，确保系统的安全。