国家安全信息

2024-06-19

国家安全信息（共6篇）

篇1：国家安全信息

国家标准《信息安全技术关键信息基础设施安全检

查评估指南》编制说明

一、工作简况 1.1 任务来源

根据《中华人民共和国网络安全法》要求，关键信息基础设施要求在网络安全等级保护制度的基础上，实行重点保护，具体范围和安全保护办法由国务院制定。网络安全法中明确要求关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，此外规定了国家网信部门应当统筹协调有关部门对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估。

为了落实网络安全法要求，规范关键信息基础设施检测评估相关方法、流程，全国信息安全标准化技术委员会于2016年立项《信息安全技术关键信息基础设施安全检查评估指南》国家标准，2016年7月，中央网信办网络安全协调局下达《<信息安全技术关键信息基础设施安全检查评估指南>国家标准制定》委托任务书，委托中国互联网络信息中心开展该标准的研制工作，并将本项目标识为WG7 组重点标准。

《信息安全技术关键信息基础设施安全检查评估指南》由中国互联网络信息中心牵头，国家计算机网络应急技术处理协调中心，国家信息技术安全研究中心、中国信息安全测评中心，工业和信息化部电子科学技术情报研究所（更名为国家工业信息安全发展研究中心）等单位共同参与起草。1.2 主要工作过程

2017年1月至3月，《信息安全技术关键信息基础设施安全检查评估指南》由中国互联网络信息中心牵头，国家计算机网络应急技术处理协调中心，国家信息技术安全研究中心、中国信息安全测评中心，工业和信息化部电子科学技术情报研究所等单位共同参与讨论，讨论研究指南的编制，并形成标准讨论稿，向中央网信办领导汇报标准编制进展，并向全国信息安全标准化技术委员会提交项目申请。

2017年4月，标准通过全国信息安全标准化技术委员会WG7组会议讨论。2017年4月，本标准获得由全国信息安全标准化技术委员会立项。2017年4月，向中央网信办领导汇报标准进展工作，拟作为中央网信办布置关键信息基础设施安全检查工作的参考标准。

2016年5月，正式成立标准编制组，标准编制组由五家主要参与单位共同组成，集中讨论集中办公，讨论标准的框架、方法论、具体的内容等。

2016年5月25日，召开第一次专家会，地点在中央网信办，由项目组向中央网信办网络安全协调局杨春艳副局长、各相关处室负责同志及WG7专家进行了汇报，5位WG7专家对标准提出了修改意见。

2016年6-7月，标准编制组继续集中办公，集中讨论，并根据第一次专家会意见逐一进行修订，此外与其他安全厂商、科研单位进行交流，就本标准指标方法听取意见，并最终形成标准第二稿。

2016年7月18日，召开第二次WG7专家会，由项目组向专家汇报了标准项目进展，以及根据第一次专家会议的专家意见修订情况，5位WG7专家对标准提出了更进一步的修改意见，随后项目组召开标准讨论封闭会议，根据此次专家会意见对草案作了进一步修订，形成了第三稿。

2017年7月21日，参加WG7组会议，汇报了项目进展和标准修订情况，会议决议最终该标准可以进入征求意见阶段，并根据标准周答辩专家意见对标准草案进行部分修订，完善草案内容。

二、编制原则和主要内容 2.1 编制原则

关键信息基础设施安全检查评估指南是落实网络安全法要求，规范关键信息基础设施检测评估相关方法、流程，定义了检测评估的主要内容，从而提升关键信息基础设施的网络安全防护能力。

本标准提供了关键信息基础设施检查评估工作的方法、流程和内容，定义了关键信息基础设施检查评估所采用的方法，规定了关键信息基础设施检查评估工作准备、实施、总结各环节的流程要求，以及在检查评估具体要求和内容。

本标准适用于指导关键信息基础设施运营者、网络安全服务机构相关的人员开展关键信息基础设施检查评估相关工作。

本标准可用于：

1）关键信息基础设施运营单位自行开展安全检测评估工作参考。2）网络安全服务机构对关键信息基础设施实施检测评估工作参考。3）网络安全检测产品研发机构研发检查工具，创新安全应用参考。本标准适用对象是关键息基础设施运营单位负责信息安全工作的实施者和其他实施安全检测评估工作的相关人员。

2.2 主要内容

关键信息基础设施检查评估工作是依据国家有关法律与法规要求，参考国家和行业安全标准，针对关键信息基础设施安全要求，通过一定的方法和流程，对信息系统安全状况进行评估，最后给出检查评估对象的整体安全状况的报告。

检查评估工作由合规检查、技术检测和分析评估三个主要方法组成，每个方法包含若干内容和项目。

合规检查

合规检查是通过一定的手段验证检查评估对象是否遵从国家相关法律法规、政策标准、行业标准规定的强制要求，输出是否合规的结论，对不合规的具体项目进行说明，采取的方法包括现场资料核实、人员访谈、配置核查等形式。

技术检测

技术检测分为主动方式和被动方式，主动方式是采用专业安全工具，配合专业安全人员，选取合适的技术检测接入点，通过漏洞扫描、渗透测试、社会工程学等常用的安全测试手段，采取远程检测和现场检测相结合的方式，发现其安全性和可能存在的风险隐患，也可参考其他安全检测资料和报告，对技术检测结果进行验证。

被动方式是辅助监测分析手段，通过选取合适的监测接入点，部署相应的监测工具，实时监测并分析检查评估对象的安全状况，发现其存在的安全漏洞、安全隐患。

两种技术检测方式最终输出技术检测结果。分析评估

分析评估是围绕关键信息基础设施承载业务特点，对关键信息基础设施的关键属性进行识别和分析，依据技术检测发现的安全隐患和问题，参考风险评估方法，对关键属性面临的风险进行风险分析，进而对关键信息基础设施的整体安全状况的评估。

标准充分考虑了当前已有的等级保护相关标准、风险评估标准、及其他行业安全标准，与正在制定的其他WG7系列标准一起，共同形成了支撑关键信息基础设施安全保障的标准体系。本标准与其他国内标准的关联性分析：

GB/T 22081-2016《信息安全技术信息系统等级保护基本要求》是本标准引用的标准之一，本标准在编制之初就深刻理解网络安全法中“关键信息基础设施要求在网络安全等级保护制度的基础上，实行重点保护，”的要求，在合规检查的内容中重点强调了对等级保护制度落实情况的检查。

GB/T 20984-2007 信息安全技术信息安全风险评估规范也是本标准引用的标准之一，本标准在第9节引入了风险评估的方法论，通过对关键信息基础设施的关键性分析，并根据合规检查和技术检测发现的问题进一步进行风险分析，最后根据风险分析的结果定性分析出整体安全状况的评价。

此外，正在制订的标准草案《信息安全技术关键信息基础设施网络安全保护要求》定义了关键信息基础设施，并对关键信息基础设施保护提出了具体的要求，而本标准中有专门的项是对改要求的验证，强调的是评估流程的标准化、评估内容标准化，以及评估结果的标准化。

此外，正在制定的标准草案《信息安全技术关键信息基础设施安全保障指标体系》与该标准关联，该标准的输出评估结果可以用于标准的量化计算。

三、采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的对比情况，或与测试的国外样品、样机的有关数据对比情况

编制组在标准编制过程中，专门分析了美国NIST的安全评估方法，参考我国已有相关信息安全标准，综合考虑制定了本标准。

四、重大分歧意见的处理经过和依据

本标准编制过程中未出现重大分歧。其他详见意见汇总处理表。

五、国家标准作为强制性国家标准或推荐性国家标准的建议

建议作为推荐性国家标准发布实施。

六、其他事项说明

本标准不涉及专利。

标准编制组 2017年7月

篇2：国家安全信息

编制说明

1.工作简况 1.1.任务来源

根据国家标准化管理委员会2017年下达的国家标准制修订计划，国家标准《信息安全技术关键信息基础设施安全保障评价指标体系》由大唐电信科技产业集团（电信科学技术研究院）主办。

关键信息基础设正常运转，关系国家安全、经济发展、社会稳定，随着关键信息基础设施逐渐向网络化、泛在化、智能化发展，网络安全成为关键信息基础设施的重要目标。世界主要国家和地区高度重视，陆续出台了相关战略、规划、立法以及实施方案等，加大对关键信息基础设施的保护力度。近年来，随着我国网络强国战略的深化和实施，国家关键信息基础设施在国民经济和社会发展中的基础性、重要性、保障性、战略性地位日益突出，构建国家关键信息基础设施安全保障体系已迫在眉睫，是当前一项全局性、战略性任务。

2016年4月19日，总书记在网络安全和信息化工作座谈会上指出，“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，也是可能遭到重点攻击的目标。我们必须深入研究，采取有效措施，切实做好国家关键信息基础设施安全防护。” 2016年8月12日，中央网络安全和信息化领导小组办公室、国家质量监督检验检疫总局、国家标准化管理委员会联合印发《关于加强国家网络安全标准化工作的若干意见》（中网办发文〔2016〕5号），要求“按照深化标准化工作改革方案要求，整合精简强制性标准，在国家关键信息基础设施保护、涉密网络等领域制定强制性国家标准。”2016年11月7日，全国人民代表大会常务委员会发布《中华人民共和国网络安全法》，明确指出“保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序”。2016年12月15日，国务院印发《“十三五”国家信息化规划》（国发〔2016〕73号），明确提出要构建关键信息基础设施安全保障体系。2016年12月27日，国家互联网信息办公室发布《国家网络空间安全战略》，要求“建立实施关键信息基础设施保护制度，从管理、技术、人才、资金等方面加大投入，依法综合施策，切实加强关键信息基础设施安全防护。”2017年7月10日，国家互联网信息办公室就《关键信息基础设施安全保护条例（征求意见稿）》公开征集意见。

目前国外主要国家对关键信息基础设施的保护起步较早，已出台关键信息基础设施的相关战略、规划、法律、标准、技术、监管等等一系列举措，大力加强关键信息基础设施安全建设，不断提升网络安全保障能力。对于我国而言，一方面，我国在引进外国先进技术、加快产业更新换代的同时，部分关键核心技术和设备受制于他国，存在系统受控、信息泄露发 1

现滞后等隐患，也给关键信息基础设施各领域带来许多安全隐患问题。另一方面，我国关键信息基础设施保护工作起步较晚、发展较慢，缺乏针对性、指导性的标准体系，无法适应新形势下的国际网络安全环境。本标准的制定主要为关键信息基础设施的政府管理部门提供态势判断和决策支持，为关键信息基础设施的管理部门及运营单位的信息安全管理工作提供支持和方法参考。1.2.编制目的

本标准主要解决关键信息基础设施网络安全的评价问题。本标准主要用于：评价我国关键信息基础设施安全保障的现状，包括建设情况、运行情况以及所面临的威胁等；为政府管理层的关键信息基础设施态势判断和宏观决策提供支持；为各关键信息基础设施运营单位及管理部门的信息安全保障工作提供参考。1.3.主要工作过程 1、2014年，项目组完成网络安全保障评价指标体系阶段性研究报告。主要针对以下三个问题进行了深入研究：研究国外特别是美国、欧盟、联合国等国家、地区和国际组织在网络安全保障评价指标研究方面的资料，总结网络安全保障评价的相关方法、指标、规定和标准；研究新形势、新技术条件下我国网络安全保障工作面临的挑战，分析我国网络安全保障工作的新需求，对我国与网络安全保障评价有关的法规、制度、标准进行梳理和总结；在理论研究和实践调研的基础上，研究提出我国网络安全保障评价指标体系和评价方法。2、2014年12月-2015年6月，项目组赶赴电力、民航、电信、中国银行等相关行业（企业）进行调研。3、2015年1月-2015年7月，项目组根据项目要求开展了研讨会，针对调研结果中各行业在网络安全评价中的成功经验和出现的问题进行总结。4、2015年1月-2015年9月，项目组与关键信息设施保护等进行工作对接。5、2015年1月-2015年7月，项目组进行了广泛研讨，并咨询了专家意见：2015年1月，对研究提出的网络安全保障评价指标体系的初步框架，召开专家咨询会，听取了崔书昆、李守鹏等专家的意见；2015年6月，召开专家会，听取了中国电信基于大数据的网络安全态势评价工作的介绍；2015年7月，召开专家会听取了关于民航、电信、互联网领域安全指标体系的研究现状，与会专家对网络安全保障评价指标体系课题提出意见建议。6、2015年8月-2015年9月，与2015年网络安全检查工作、关键信息基础保护工作进行对接。7、2016年1月-2016年2月，与网络安全检查工作进行对接，采用指标体系对相关检查结果进行了统计测算，并撰写评价报告。8、2016年4月-2016年8月，针对指标体系在网络安全检查工作中的成功经验和出现的问题进行总结，进一步更新了指标体系。9、2016年9月-2017年2月，与关键信息设施检查办进行对接，对指标体系的实际应

用进行了深入讨论。10、2017年3月，项目组在草案初稿的基础上，召开行业专家会，形成草案修正稿。11、2017年4月，在全国信息安全标准化技术委员会2017年第一次工作组会议周上，项目组申请国家标准制定项目立项。12、2017年6月，“信息安全技术关键信息基础设施安全保障指标体系”标准制定项目正式立项。13、2017年7月，项目组召开专家咨询会，听取了李守鹏、魏军、闵京华、韩正平、张立武等专家的意见。14、2017年7月，在全国信息安全标准化技术委员会WG7第二次全体会议上，项目组广泛听取专家意见，形成征求意见稿。1.4.承担单位

起草单位：大唐电信科技产业集团（电信科学技术研究院）

协作单位：国家信息中心、北京奇安信科技有限公司、北京国舜科技股份有限公司、北京匡恩网络科技有限责任公司、北京天融信科技有限公司等。

本部分主要起草人：韩晓露吕欣李阳毕钰郭晓萧等。2.编制原则和主要内容 2.1.编制原则

为保证所建立的“关键信息基础设施安全保障评价指标体系”有一个客观、统一的基础，在评价指标体系的设计及指标的选取过程中，主要遵循以下原则：

1、综合性原则

关键信息基础设施安全保障评价指标体系建设是通过从整体和全局上把握我国关键信息基础设施安全保障体系的建设效果、运行状况和整体态势，形成多维的、动态的、综合的关键信息基础设施安全保障评价指标体系。因此，标准设计的首要原则是综合性。

2、科学适用性原则

关键信息基础设施安全保障评价指标体系必须是在符合我国国情、充分认识关键信息基础设施安全保障评价指标体系的科学基础之上建立的。按照国家信息安全保障体系总目标的设计原则，把关键信息基础实施安全各构成要素作为一个有机整体来考虑。指标体系必须符合理论上的完备性、科学性和正确性，即指标概念必须具有明确完整的科学内涵。

适用性原则，就是指标体系应该能够在时空上覆盖我国关键信息基础设施安全保障评价的各个层面，满足系统在完整性和全面性方面的客观要求。尤其是必须考虑由于经济、地区等原因造成的各机构间发展状况的差异，尽量做到不对基础数据的收集工作造成困扰。这一原则的关键在于，最精简的指标体系全面反映关键信息基础设施安全保障的整体水平。

3、导向性原则

评价的目的不是单纯评出名次及优劣的程度，更重要的是引导和鼓励被评价对象向正确的方向和目标发展，要引导我国关键信息基础设施安全的健康发展。

4、可操作性强原则

可操作性强直接关系到指标体系的落实与实施，包括数据的易获取性（具有一定的现实统计基础，所选的指标变量必须在现实生活中是可以测量得到的或可通过科学方法聚合生成的）、可靠性（通过规范数据的来源、标准等保证数据的可靠与可信）、易处理性（数据便于统计分析处理）以及结果的可用性（便于实际操作，能够服务于我国涉密信息系统安全评价的）等方面。

5、定性定量结合原则

在众多指标中，有些因素是反映最终效果的定性指标，有些是能够通过项目运行过程得到实际数据的定量指标。对于评价最终效果而言，指标体系中这两方面的因素都不可或缺。但为了使指标体系具有高度的操作性，必须在选取定性指标时，舍弃部分与实施效果关系不大的非关键因素，并且尽量将关键的定性指标融合到对权重分配的影响中去。该指标设计的定性定量结合原则就是将定性分析反映在权重上，定量分析反映在指标数据上。

6、可比性原则

可比性是衡量关键信息基础设施安全保障评价指标体系的实际效果的客观标准，是方案权威性的重要标志。关键信息基础设施安全保障评价指标应该既可以横向对比不同机构信息安全保障水平的差异、又能够纵向反映国家及各地区关键信息基础设施安全保障的历史进程和发展趋势。这一原则主要体现在对各级指标的定义、量化和加权等方面。2.2.主要内容

本标准概述了本标准各部分通用的基础性概念，给出了关键信息基础设施安全保障指标体系设计的指标框架和评价方法。本标准主要用于：评价我国关键信息基础设施安全保障的现状，包括建设情况、运行情况以及所面临的威胁等；为政府管理层的关键信息基础设施态势判断和宏观决策提供支持；为各关键信息基础设施运营单位及管理部门的信息安全保障工作提供参考。本标准主要框架如下：

前言引言 1 范围规范性引用文件 3 术语和定义 4 指标体系 5 指标释义

附录A（规范性附录）指标测量过程参考文献

本标准主要贡献如下：

1、明确了标准的目标读者及其可能感兴趣的内容

指出标准主要由三个相互关联的部分组成：第1部分包括1-3节，描述了本标准的范围和所使用的术语与定义，对关键信息基础设施、关键信息基础设施安全保障、关键信息基础设施安全保障评价等概念进行了阐释；第2部分为第4节，详细描述了关键信息基础设施安全保障指标体系的体系框架和指标；第3部分包括第5节和附录A，给出了关键信息基础设施安全保障指标体系各具体指标的衡量标准和量化方法，为体系的可操作性提供了保证。

2、给出了关键信息基础设施的概念

关键信息基础设施是指关系国家安全、国计民生，一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施。

《中华人民共和国网络安全法》规定：国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

《国家网络空间安全战略》规定：国家关键信息基础设施是指关系国家安全、国计民生，一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施，包括但不限于提供公共通信、广播电视传输等服务的基础信息网络，能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统，重要互联网应用系统等。

3、指出关键信息基础设施安全保障评价围绕三个维度进行

关键信息基础设施安全保障评价围绕三个维度进行，即建设情况、运行能力和安全态势，并依据关键信息基础设施安全保障对象和内容进行分析和分解，一级指标包括战略保障指标、管理保障指标、安全防护指标、安全监测指标、应急处置指标、信息对抗指标、威胁指标、隐患指标、事件指标。

4、给出了指标测量的一般过程

关键信息基础设施安全保障指标测量的一般过程描述了指标如何依据测量对象的相关属性设立基本测度，应用相应的测量方法得出测量值，并通过分析模型将测量值折算成指标值，最终应用于保障指标体系。关键信息基础设施安全保障指标评价测量过程通过定性或定量的方式将测量对象进行量化以实现评价测量对象的目的。3.其他事项说明

a.在关键信息基础设施安全保障指标指标的体系建设和测量过程方面，试图使所提出的指标体系与测量过程具有一定的通用性，以便于指标体系的推广和扩展；

b.考虑到指标设计方面应用的可扩展性，在体系建设和测量过程之中，指标体系可以根据实际评价对象的特性做出相应的指标调整，以完善指标体系并得出合理公正的评价。

《信息安全技术关键信息基础设施安全保障指标体系》标准编写组

篇3：国家安全信息

国网公司现已建成覆盖至基层生产班站及营业站所的信息内网。随着SG186工程的全面投入运行, 从职能部室到一线班组, 电力企业所有的业务数据都依赖网络进行流转, 电网企业生产和经营对信息网络和信息系统的依赖程度越来越高信息安全的重要性日益凸显。国网公司已将网络与信息安全纳入公司安全管理体系。

一直以来, 信息安全防御理念常局限于常规的网关级别 (防火墙等) 、网络边界 (漏洞扫描、安全审计) 等方面的防御, 重要的安全设施大多集中于核心机房、网络入口处, 在这些设备的严密监控下, 来自网络外部的安全威胁已大大减少, 尤其实行内外网隔离、双网双机后, 来自于互联网的威胁微乎其微。而内网办公终端由于分布地点广泛, 管控难度大, 加之现在无线上网卡、无线wifi和智能手机的兴起, 内网计算机接入互联网的事件时有发生, 一旦使用人员将内网计算机通过以上方式接入互联网, 即造成违规外联事件。由于违规外联开通了一条无任何保护措施进出内外网的通道, 一旦遭遇黑客袭击, 就可能造成信息泄露、重要数据丢失、病毒入侵、网络瘫痪等信息安全事故, 给企业信息安全带来重大的安全隐患和风险。

二、强化管理、落实责任, 监培并进

1、将违规外联明确写入公司各项规章制度, 并纳入经济责任考核。

在《公司信息系统安全管理办法》中, 对杜绝违规外联事件进行了明确的要求:所有内网计算机必须粘贴防止违规外联提示卡, 严禁将接入过互联网未经处理的计算机接入内网, 严禁在普通计算机上安装双网卡, 严禁将智能设备 (3G手机、无线网卡等) 插入内网计算机USB端口, 严禁在办公区通过路由器连接外网, 杜绝违规外联行为。一旦发生违规外联事件, 依据《企业信息化工作评级实施细则》, 按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则对事件责任人进行严肃处理和经济考核, 并在全公司通报批评。将信息安全责任落实到人。

2、加大违规外联宣贯和培训力度。

信息安全工作, 重在预防, 将一切安全事件消灭在萌芽状态, 才能确保信息系统安全稳定运行。分层次组织开展公司在岗员工, 尤其是新员工的信息安全教育培训工作, 即重点培训各部门信息化管理人员, 各级管理人员培训本部门技术人员, 本部门技术人员培训一线员工。通过分层式培训, 提高了培训效果, 同时各级管理人员、技术人员作为下级培训对象讲师提高了自身素质, 强化了信息安全关键点的作用。确保违规外联事件的严重性、危害性和工作机理已宣贯至公司每一位员工, 实现全员重视、全员掌握, 做到内网计算机“离座就锁屏, 下班就关机”的工作习惯。

3、加强外来工作人员管控。

加强外来工作人员信息安全教育, 并签订《第三方人员现场安全合同书》, 严禁外来工作人员计算机接入公司内外网。对第三方人员工作过程全程监控, 防止因外来工作人员擅自操作造成违规外联事件。

二、加强技术管控, 从源头杜绝安全事件的发生

2.1严格执行“双网双机”

严禁在信息内网和外网交叉使用计算机。对要求接入信息内、外网的计算机, 需向本人核实该计算机之前网络接入情况, 对内外网络接入方式有变化、或者是不清楚的情况, 需对计算机进行硬盘格式化并重装系统后方可接入网络。

2.2安装桌面终端, 设置强口令, 防止违规外联

实时监控全公司内网终端桌面终端系统安装率, 确保所有内网计算机桌面终端安装率达100%。设置桌面终端策略, 一旦发生违规外联, 系统立即采取断网措施, 并对终端用户进行警示。要求全部内网计算机设置开机强口令 (数字+字母+特殊符号, 且大于8位) , 防止非本人操作的违规外联行为。通过桌面终端系统对内网计算机开机强口令进行实时监控。

2.3做好温馨提示, 明确内外网设备, 防止违规外联

做到每一台内网计算机均粘贴信息安全提示标签提示员工切勿内网计算机接入外网网络, 无线网卡及智能手机切勿接入内网。内外网网络端口模块、网线端口都要有明显标识, 防止员工误接网络。

2.4实行内网计算机IP、MAC绑定和外网计算机IP、认证账号绑定

加强IP地址绑定, 从交换机端口对接入内网的计算机进行IP、MAC地址绑定, 确保除本计算机外, 其余计算机无法通过该端口接入内网。

通过外网审计 (网康科技) 对外网IP和用户认证账户进行绑定, 完善外网用户和计算机基础资料, 做到全局外网终端和用户可控。

三、信息安全前景:

篇4：国家安全信息

关键词:信息;安全;加强;管理

中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2010) 09-0000-01

Enhance Information SecurityAwareness Strengthen Information Security Management

Liu Yunan,Ren Xiujuan

(Pulandian Statistics Bureau of Liaoning,Dalian116200,China)

Abstract:Network security technologies,especially network information security,related to Internet users,businesses and even national information security.Improving information security awareness, enhance information security management,variety of security technologies will be combined,to build an efficient,applicable and secure network system.

Keywords:Information;Security;Strengthened;Management

当前,随着计算机技术的飞速发展,利用因特网高科技手段进行经济商业犯罪的现象已经屡见不鲜了。网络环境的复杂性、多变性以及信息系统的脆弱性,决定了网络安全威胁的客观存在。因此,如何采用更加安全的数据保护及加密技术,成为当前计算机工作者的研究热点与重点。网络安全技术,尤其是网络信息的安全,关系到网民、企业甚至是国家的信息安全。因此,发展更加安全的网络安全技术,是关系到社会经济稳定繁荣发展的关键,成为当前计算机安全工作的重点。提高信息安全意识是各种信息安全管理体系标准中共同的要求,提高办公人员的信息安全意识的要求,无非就是从实质上提高全体工作人员的信息安全意识。提高工作人员的信息安全意识又是安全项目中很容易被忽视的环节。

一、信息安全的重要性

信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。根据国际标准化组织的定义,信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何国家、政府、部门、行业都必须十分重视的问题,是一个不容忽视的国家安全战略。但是,对于不同的部门和行业来说,其对信息安全的要求和重点却是有区别的。

我国的改革开放带来了各方面信息量的急剧增加,并要求大容量、高效率地传输这些信息。为了适应这一形势,通信技术发生了前所未有的爆炸性发展。目前,除有线通信外,短波、超短波、微波、卫星等无线电通信也正在越来越广泛地应用。与此同时,国外敌对势力为了窃取我国的政治、军事、经济、科学技术等方面的秘密信息,运用侦察台、侦察船、卫星等手段,形成固定与移动、远距离与近距离、空中与地面相结合的立体侦察网,截取我通信传输中的信息。

传输信息的方式很多,有局域计算机网、互联网和分布式数据库,有蜂窝式无线、分组交换式无线、卫星电视会议、电子邮件及其它各种传输技术。信息在存储、处理和交换过程中,都存在泄密或被截收、窃听、窜改和伪造的可能性。不难看出,单一的保密措施已很难保证通信和信息的安全,必须综合应用各种保密措施,即通过技术的、管理的、行政的手段,实现信源、信号、信息三个环节的保护,藉以达到秘密信息安全的目的。

二、加强管理的必要性

20世纪90年代以来,科学技术的高度发展已经毋庸置疑地把我们带进了信息时代,随着信息以爆炸式的速度不断在我们生活中的每一个角落中涌现,如何管理信息,确保信息的安全为世人瞩目,信息安全管理则成为了当前全球的热门话题。传统的信息安全着眼于常规的信息系统安全设备,诸如防火墙、VPN、入侵检测系统、防病毒系统、认证系统等,构成了信息安全的防护屏障。事实上,要保证信息安全需要有三个方面的工作要做,这就是需要技术、管理与法制。所以仅仅依靠技术保障信息安全的做法是不会达到应有效果的,“三分技术,七分管理”这个在其他领域总结出来的实践经验和原则,在信息领域也同样适用。因此,在信息安全的重要性日益突出、信息安全手段日新月异的今天,加强信息安全管理工作就显得尤为重要。

我国历来非常重视信息安全保密工作,并且从敏感性,特殊性和战略性的高度把信息安全保密工作自始至终置于党和国家的绝对领导之下。中央机要管理部门,国家安全机关,公安机关和国家保密主管部门分工协作,各司其职,形成了维护国家信息安全的管理体系。

为加强信息安全管理工作,中央批准成立了两个非常重要的机构,一个是国家信息安全产品测评认证中心,负责管理和运行国家信息安全的测评认证体系,对信息安全产品,信息系统,对提供信息安全服务的单位以及提供信息安全服务的人员进行测试,考试和认证。第二个重要机构是国家计算机网络与信息安全管理中心,负责管理和运行国家计算机网络的内容监控和应急协调工作。这两个机构目前都在国家信息安全管理中发挥着技术支撑的作用。

网络安全不再仅仅是用户组网才会思考的问题,如今的网络情况纷繁复杂,网络安全更要考虑的详尽周到。1.必须有本地的安全策略;2.需要批准共享;3.文件许可非常重要;4.加密离线文件;5.评估你的网络安全。无论你使用什么工具,要确保实施经过身份识别的扫描和未经过身份识别的扫描。这会使你了解网络的真实状况,了解哪里配置错误了,并且了解不守纪律的内部人员或者外部黑客能够在你的系统里看到什么。這样我们就可以很好的解决的此项安全问题。

安全是一种“买不到”的东西。打开包装箱后即插即用并提供足够安全水平的安全防护体系是不存在的。建立一个有效的信息安全体系首先需要在好的信息安全治理的基础上,其次要制定出相关的管理策略和规章制度,然后才是在安全产品的帮助下搭建起整个架构。相反,就不可能得到一个真正意义上的安全防护体系。有些单位可能安装了一些安全产品,但并没有一个安全的体系,因为没有建立它的基础。

篇5：信息安全风险与信息安全体系论文

信息安全风险与信息安全体系论文【1】

摘要：信息概念是由信息论的创立者申农提出的，他把信息定义为在信宿中用来消除对于在信源中发出的消息的不确定性的东西。

它包含的两个特质也揭示了成熟的信息的存在与能动主体的目的性行为是不可分的，本文就信息安全进行讨论主要包括信息安全风险与体系结构、漏洞扫描技术与信息安全管理等。

关键词：信息;安全

信息是客观世界中物质和能量存在和变动的有序形式，和组织系统对这个形式的能动的反映及改组。

其中前一个表语表述了信息概念的广义内涵，后一个表语表述了信息概念的狭义内涵。

一、信息的概述

信息是物质的普遍性，是物质运动的状态与方式。

信息的一般属性主要包括普遍性、客观性、无限性、动态性、异步性、共享性、可传递性等。

信息的功能是信息属性的体现，主要可以分为两个层次：基本功能和社会功能。

信息的功能主要体现在以下几个方面：信息是一切生物进化的导向资源，是知识的来源，是决策的依据，是控制的灵魂，是思维的材料。

二、信息安全的重要性

在当今的信息时代，必须保护对其发展壮大至关重要的信息资产，因此，保护信息的私密性、完整性、真实性和可靠性的需求已经成为企业和消费者的最优先的需求之一。

安全漏洞会大大降低公司的市场价值，甚至威胁企业的生存。

当今世界已进入信息社会，随着计算机、通信技术的迅猛发展，计算机信息系统的广泛应用，促使它渗透到社会各个行业和部门，人们对它的依赖性越来越大。

在军事、经济、科学技术、文化教育商业等行业中，重要的信息资源是通过计算机网络进行输入、处理、存储、传递、输出，给人们提供迅速、高效的各种信息服务，因此如果不重视计算机信息系统的保护，国家的机要信息资源如不加保护，势必容易被非法窃取、更改、毁坏，将会造成国民经济的巨大损失，国家安全的严重危害。

三、信息安全体系结构

(1)息安全的保护机制

信息安全保护存在的主要问题与政策：正确的信息安全政策和策略是搞好国家信息安全保护工作的关键，引发信息安全问题的因素有有外部因素和内部两方面，主要的因素在于内部如信息安全政策不确定;信息安全保护工作组织管理制度不健全，安全责任制不落实，导致管理混乱、安全管理与技术规范不统一;信息安全市场和服务混乱、不规范;国家监管机制不健全，监管手段缺乏等。

信息安全等级保护要贯彻国家保护重点和基础信息网络与重要信息系统内分区重点兼顾一般的原则。

(2)信息安全体系框架

依据信息安全的多重保护机制，信息安全系统的总要求是物理安全、网络安全、信息内容安全、应用系统安全的总和，安全的最终目标是确保信息的机密性、完整性、可用性、可空性和抗抵赖性，以及信息系统主体对信息资源的控制。

完整的信息系统安全体系框架由技术体系、组织机构体系和管理体系共同构建。

为了适应信息技术的迅速发展以及信息安全的突出需求，国际上许多标准化组织和机构很早就开始了信息安全标准的研究和制定工作，如美国的国防部DOD(Department Of Defense)，国际标准化组织ISO，英国标准化协会BSI(British Standards Institute)等。

四、漏洞扫描技术与信息安全管理

(1)漏洞扫描技术

一般认为，漏洞是指硬件、软件或策略上存在的安全缺陷，从而使得攻击者能够在未授权的情况下访问、控制系统。

随着Internet的不断发展，信息技术已经对经济发展、社会进步产生了巨大的推动力。

不管是存储在工作站、服务器中还是流通于Internet上的信息，都已转变成为一个关系事业成败的策略点，因此，保证信息资源的安全就显得格外重要。

目前，国内网络安全产品主要是以硬件为主，防火墙、入侵检测系统、VPN应用较为广泛。

漏洞扫描系统也是网络安全产品中不可缺少的一部分，有效的安全扫描是增强计算机系统安全性的重要措施之一，它能够预先评估和分析系统中存在的各种安全隐患。

换言之，漏洞扫描就是对系统中重要的数据、文件等进行检查，发现其中可被黑客所利用的漏洞。

随着黑客入侵手段的日益复杂和通用系统不断发现的安全缺陷，预先评估和分析网络系统中存在的安全问题已经成为网络管理员们的重要需求。

漏洞扫描的结果实际上就是系统安全性能的一个评估报告，因此成为网络安全解决方案中的一个重要组成部分。

(2)信息安全管理

随着社会信息化的深入和竞争的日益激烈，信息安全问题备受关注。

制定信息安全管理策略及制度才能有效的保证信息的安全性。

制定信息安全管理策略及制度

目前关于信息安全的理论研究，一个是信息安全问题不仅仅是保密问题，信息安全是指信息的保密性、完整性和可用性的保持，其最终目标是降低组织的业务风险，保持可持续发展;另一个观点是，信息安全问题不单纯是技术问题，它是涉及很多方面如历史，文化，道德，法律，管理，技术等方面的综合性问题，单纯从技术角度考虑是不可能得到很好解决的。

这里讨论的组织是指在既定法律环境下的盈利组织和非盈利组织，其规模和性质不足以直接改变所在国家或地区的信息安全法律法规。

作为这样一个组织实体应该有一个完整的信息安全策略。

信息安全策略也叫信息安全方针，是组织对信息和信息处理设施进行管理，保护和分配的原则，以及使信息系统免遭入侵和破坏而必须采取的措施，它告诉组织成员在日常的工作中哪里是安全区，哪里是敏感区，就像交通规则之于车辆和行人，信息安全策略是有关信息安全的行为规范。

制定信息安全管理制度应遵循如下统一的安全管理原则：

(1)规范化原则。

各阶段都应遵循安全规范要求，根据组织安全信息需求，制定安全策略。

(2)系统化原则。

根据安全工程的要求，对系统个阶段，包括以后的升级、换代和功能扩展进行全面统一地考虑。

(3)综合保障原则。

人员、资金、技术等多方面综合保障。

(4)以人为本原则。

技术是关键，管理是核心，要不断提高管理人员的技术素养和道德水平。

(5)首长负责原则。

(6)预防原则。

安全管理以预防为主，并要有一定的超前意识。

(7)风险评估原则。

根据实践对系统定期进行风险评估以改进系统的安全状况。

(8)动态原则。

根据环境的改变和技术的进步，提高系统的保护能力。

(9)成本效益原则。

根据资源价值和风险评估结果，采用适度的保护措施。

(10)均衡防护原则。

信息安全系统工程

安全系统工程运用系统论的观点和方法，结合工程学原理及有关专业知识来研究生产安全管理和工程的新学科，是系统工程学的一个分支。

其研究内容主要有危险的识别、分析与事故预测;消除、控制导致事故的危险;分析构成安全系统各单元间的关系和相互影响，协调各单元之间的关系，取得系统安全的最佳设计等。

目的是使生产条件安全化，使事故减少到可接受的水平。

安全系统工程不仅从生产现场的管理方法来预防事故，而且是从机器设备的设计、制造和研究操作方法阶段就采取预防措施，并着眼于人——机系统运行的稳定性，保障系统的安全。

信息安全风险评估与安全预算【2】

随着我国信息化建设进程不断加速，各类企事业都在积极运用网络带来的便利，对各种信息系统的依赖性也在不断增强，但是信息系统的脆弱性也日益暴露，如何通过有效的手段，保证有限的安全预算发挥出最大的效果，以保证信息安全，成为大家共同面临的问题。

篇6：国家安全信息

管理制度

根据《中华人民共和国计算机信息系统安全保护条例（国务院）》、《中华人民共和国计算机信息网络国际联网管理暂行规定（国务院）》、《计算机信息网络国际联网安全保护管理办法（公安部）》等规定，陕西秦韵医药有限公司将认真开展网络与信息安全工作，明确安全责任，建立健全的管理制度，落实技术防范措施，保证必要的经费和条件，对一切不良、有毒、违法等信息进行过滤、对用户信息进行保密，确保网络信息和用户信息的安全。

一、网站安全保障措施

1、网站服务器和其他计算机之间设置防火墙，拒绝外来恶意程序的攻击，保障网站正常运行。

2、在网站的服务器及工作站上安装相应的防病毒软件，对计算机病毒、有害电子邮件有效防范，防止有害信息对网站系统的干扰和破坏。

3、做好访问日志的留存。网站具有保存三个月以上的系统运行日志和用户使用日志记录功能，内容包括IP地址及使用情况，主页维护者、对应的IP地址情况等。

4、交互式栏目具备由IP地址、身份登记和识别确认功能，对非法帖子或留言做到及时删除并根据需要将重要信息向相关部门汇报。

5、网站信息服务系统建立多种备份机制，一旦主系统遇到故障或受到攻击导致不能正常运行，可以在最短的时间内替换主系统提供服务。

6、关闭网站系统中暂不使用的服务功能及相关端口，并及时修复系统漏洞，定期查杀病毒。

7、服务器平时处于锁定状态，并保管好登录密码；后台管理界面设置超级用户名、密码和验证码并绑定IP，以防他人非法登录。

8、网站提供集中管理、多级审核的管理模式，针对不同的应用系统、终端、操作人员，由网站系统管理员设置共享数据库信息的访问权限，并设置相应的密码及口令。

9、不同的操作人员设定不同的用户名和操作口令，且定期更换操作口令，严禁操作人员泄露自己的口令；对操作人员的权限严格按照岗位职责设定，并由网站系统管理员定期检查操作人员的操作记录。

二、信息安全保密管理制度

1、充分发挥和有效利用陕西秦韵医药有限公司业务信息资源，保障企业门户网站的正常运行，对网络信息及时、有效、规范的管理。