【正文】 通信交互的主要渠道，無處不在的Internet接入在為國(guó)家某局外網(wǎng)辦公提供使即時(shí)消息、文件下載以及訪問Web網(wǎng)頁(yè)等便利手段的同時(shí)，相伴而來的還有各種各樣的安全風(fēng)險(xiǎn)，例如攻擊、病毒、蠕蟲、木馬、惡意腳本、垃圾信息等，輕則影響外用員工的上網(wǎng)效率，重則破壞系統(tǒng)、竊取隱私。用戶身份假冒的風(fēng)險(xiǎn)來源主要有兩點(diǎn)：一是應(yīng)用系統(tǒng)的身份認(rèn)證機(jī)制比較薄弱，如把用戶信息（用戶名、口令）在網(wǎng)上明文傳輸，造成用戶信息泄漏；二是用戶自身安全意識(shí)不強(qiáng)，如使用簡(jiǎn)單的口令，或把口令記在計(jì)算機(jī)旁邊。 應(yīng)用安全風(fēng)險(xiǎn)由于國(guó)家某局外網(wǎng)現(xiàn)有應(yīng)用系統(tǒng)均為早期開發(fā)，對(duì)應(yīng)用安全的考慮不足，包括身份鑒別機(jī)制、安全審計(jì)機(jī)制等。但由于國(guó)家某局外網(wǎng)的管理與監(jiān)控機(jī)制尚不完善，無法對(duì)用戶訪問行為的合法性作出正確判斷，缺乏對(duì)所采集的數(shù)據(jù)進(jìn)行深入挖掘、詳細(xì)分析和實(shí)時(shí)預(yù)警等功能，一旦發(fā)生了非法的網(wǎng)絡(luò)訪問，也很難及時(shí)發(fā)現(xiàn)和處理。 網(wǎng)絡(luò)邊界的安全風(fēng)險(xiǎn)對(duì)于國(guó)家某局外網(wǎng)而言，主要的網(wǎng)絡(luò)邊界就是政府網(wǎng)站互聯(lián)網(wǎng)邊界，外網(wǎng)互聯(lián)網(wǎng)邊界以及內(nèi)部不同區(qū)域之間的邊界，都存在一定的安全風(fēng)險(xiǎn)。在分析國(guó)家某局外網(wǎng)網(wǎng)絡(luò)所面臨的信息安全風(fēng)險(xiǎn)時(shí)，主要考慮那些對(duì)國(guó)家某局有負(fù)面影響的事件，安全風(fēng)險(xiǎn)的存在來源于兩個(gè)方面，一是信息資產(chǎn)的價(jià)值，所謂信息資產(chǎn)的價(jià)值就是指因信息的泄露、系統(tǒng)的停滯或網(wǎng)絡(luò)的破壞，對(duì)國(guó)家某局正常運(yùn)作所帶來的損失，信息資產(chǎn)價(jià)值越高，那么安全風(fēng)險(xiǎn)也必然越高；二是威脅的來源和威脅轉(zhuǎn)換為攻擊的可能，綜合上述的資產(chǎn)分析，弱點(diǎn)分析，威脅分析。系統(tǒng)服務(wù)受到破壞時(shí)所侵害客體的確定該系統(tǒng)為國(guó)家某某行業(yè)繼續(xù)教育管理的業(yè)務(wù)系統(tǒng)，受到破壞時(shí)將影響國(guó)家某某行業(yè)繼續(xù)教育和培訓(xùn)工作的開展，因此，所侵害的客體為社會(huì)秩序和公共利益類。（一）業(yè)務(wù)信息安全保護(hù)等級(jí)的確定業(yè)務(wù)信息描述該系統(tǒng)的主要業(yè)務(wù)信息包括某某繼續(xù)教育及培訓(xùn)項(xiàng)目申報(bào)、審核和備案信息，以及學(xué)分、證書信息數(shù)據(jù)。信息系統(tǒng)名稱安全保護(hù)等級(jí)業(yè)務(wù)信息安全等級(jí)系統(tǒng)服務(wù)安全等級(jí)國(guó)家某局”十一五”重點(diǎn)某系統(tǒng)第二級(jí)第二級(jí)第二級(jí)表3 系統(tǒng)安全保護(hù)等級(jí)矩陣表通過上述的分析過程，最終確定十一五”重點(diǎn)某系統(tǒng)的定級(jí)為2級(jí)，且對(duì)應(yīng)等級(jí)保護(hù)要求選擇措施為：S2A2G2 繼續(xù)教育管理系統(tǒng)一、國(guó)家某局繼續(xù)教育管理系統(tǒng)描述繼續(xù)教育管理系統(tǒng)承擔(dān)著全國(guó)某某行業(yè)繼續(xù)教育及培訓(xùn)項(xiàng)目的申報(bào)、審核和備案任務(wù)，同時(shí)提供學(xué)分證書查詢服務(wù)。業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體對(duì)相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)表1 業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣表（二）系統(tǒng)服務(wù)安全保護(hù)等級(jí)的確定系統(tǒng)服務(wù)描述該系統(tǒng)主要為社會(huì)公眾提供“十一五”重點(diǎn)某項(xiàng)目的SSS信息和TTT信息的查詢服務(wù)。由于業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全受到破壞所侵害的客體和對(duì)客體的侵害程度可能會(huì)有所不同，在定級(jí)過程中，分別從業(yè)務(wù)信息安全和信息系統(tǒng)服務(wù)安全兩方面評(píng)定對(duì)客體的侵害程度，確定定級(jí)對(duì)象的安全保護(hù)等級(jí)。根據(jù)表3，最終確定該系統(tǒng)的安全保護(hù)等級(jí)為第二級(jí)。侵害程度為嚴(yán)重?fù)p害，根據(jù)表1，確定該系統(tǒng)的業(yè)務(wù)信息安全保護(hù)等級(jí)為第二級(jí)。其中信息安全是指確保信息系統(tǒng)內(nèi)信息的保密性、完整性和可用性等；系統(tǒng)服務(wù)安全是指確保信息系統(tǒng)可以及時(shí)、有效地提供服務(wù)，以完成預(yù)定的業(yè)務(wù)目標(biāo)。系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體對(duì)相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)表2 系統(tǒng)服務(wù)安全保護(hù)等級(jí)矩陣表（三）安全保護(hù)等級(jí)的確定信息系統(tǒng)的安全保護(hù)等級(jí)由業(yè)務(wù)信息安全等級(jí)和系統(tǒng)服務(wù)安全等級(jí)較高者決定。業(yè)務(wù)信息安全等級(jí)的確定業(yè)務(wù)信息安全受到破壞時(shí)，受到影響的客體是社會(huì)秩序、和公共利益。國(guó)家某局信息辦承擔(dān)著政府網(wǎng)站系統(tǒng)的安全保護(hù)責(zé)任。 確定系統(tǒng)等級(jí) 政府網(wǎng)站系統(tǒng)一、國(guó)家某局政府網(wǎng)站系統(tǒng)描述政府網(wǎng)站系統(tǒng)是國(guó)家某局進(jìn)行信息發(fā)布、某某信息查詢以及與社會(huì)公眾互動(dòng)交流的平臺(tái)。 確定定級(jí)對(duì)象根據(jù)公安部的《信息安全等級(jí)保護(hù)定級(jí)指南》指出作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)具有如下基本特征：n 具有唯一確定的安全責(zé)任單位作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)能夠唯一地確定其安全責(zé)任單位。 網(wǎng)絡(luò)行為審計(jì)系統(tǒng)國(guó)家某局外網(wǎng)的網(wǎng)絡(luò)行為審計(jì)系統(tǒng)采用了天融信公司的千兆網(wǎng)絡(luò)安全審計(jì)系統(tǒng)TopAudit（TA507WATCH），部署在核心交換機(jī)上，對(duì)網(wǎng)絡(luò)中的流量做全面的監(jiān)控與審計(jì)策略，以有效保護(hù)重要數(shù)據(jù)的安全性，并為事后取證提供支持。瑞星網(wǎng)絡(luò)版防病毒系統(tǒng)服務(wù)器瑞星網(wǎng)絡(luò)版防病毒系統(tǒng)安裝在一臺(tái)機(jī)架式服務(wù)器上，設(shè)備型號(hào)為HP DL165，操作系統(tǒng)為WINDOWS 2003 Server，服務(wù)器的管理認(rèn)證方式為用戶名/口令方式；利用WINDOWS自帶的口令加密方式進(jìn)行保護(hù)；在管理上服務(wù)器采取高強(qiáng)度口令，刪除或禁用無關(guān)帳號(hào)，開啟了日志審計(jì)功能，審計(jì)重點(diǎn)是用戶登錄日志；管理維護(hù)方式采用遠(yuǎn)程桌面和現(xiàn)場(chǎng)相結(jié)合的方式，有專人負(fù)責(zé)相關(guān)工作。互聯(lián)網(wǎng)接入?yún)^(qū)域路由器采用華為AR4640，數(shù)量為一臺(tái)，部署在六層外網(wǎng)機(jī)房，配置如下：l 配備兩個(gè)10/100M以太網(wǎng)口，分別連接互聯(lián)網(wǎng)出口和邊界防火墻。國(guó)家某局信息辦承擔(dān)著“十一五”重點(diǎn)某系統(tǒng)的安全保護(hù)責(zé)任。繼續(xù)教育管理系統(tǒng)由一臺(tái)服務(wù)器組成，數(shù)據(jù)庫(kù)與系統(tǒng)服務(wù)器安裝部署在同一臺(tái)HP服務(wù)器上。 電子政務(wù)信息交換系統(tǒng)電子政務(wù)信息交換系統(tǒng)始建于06年，由飛狐靈通公司開發(fā)，承擔(dān)著國(guó)家某局與下屬某某局進(jìn)行電子公文交換的任務(wù)。網(wǎng)站提供權(quán)威、準(zhǔn)確、全面、快速的信息服務(wù)、業(yè)務(wù)申請(qǐng)及公眾互動(dòng)功能，起到政令快速發(fā)布、下情及時(shí)上達(dá)的作用。機(jī)房中的電源線和通信線纜采用了隔離布線方式。機(jī)房?jī)?nèi)所有線纜均采用隱蔽走線方式，并對(duì)主要部件進(jìn)行了固定和標(biāo)記。隨著國(guó)家某局信息化程度的不斷提高，使對(duì)外網(wǎng)信息系統(tǒng)的依賴程度不斷增加，網(wǎng)上信息價(jià)值不斷增大，信息安全問題也日漸凸現(xiàn)。伴隨著信息系統(tǒng)的快速發(fā)展，信息系統(tǒng)所面臨的安全威脅日益復(fù)雜，用戶對(duì)信息安全系統(tǒng)的需求與日俱增。同樣對(duì)于國(guó)家某局，各層領(lǐng)導(dǎo)對(duì)安全工作非常重視，從建設(shè)初始逐年加大在安全建設(shè)方面的投資，進(jìn)行了一系列的安全組織、制度、管理和技術(shù)方面的安全建設(shè)工作。國(guó)家某局外網(wǎng)信息安全體系是某局外網(wǎng)的重要組成部分，是某局信息化業(yè)務(wù)開展的重要安全屏障，它是一個(gè)包含技術(shù)（物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)等五個(gè)技術(shù)層面）和管理（制度、機(jī)構(gòu)、人員、建設(shè)和運(yùn)維等五個(gè)管理層面）兩大方面，通過技術(shù)保障和規(guī)章制度建立起來的可靠有效的安全體系。機(jī)房配備了防盜報(bào)警系統(tǒng)和監(jiān)控報(bào)警系統(tǒng)。 網(wǎng)絡(luò)架構(gòu)描述國(guó)家某局外網(wǎng)與互聯(lián)網(wǎng)相連，主要承載了外網(wǎng)辦公系統(tǒng)、政府網(wǎng)站、數(shù)據(jù)下載等業(yè)務(wù)。網(wǎng)站主要由機(jī)構(gòu)介紹、政務(wù)公開、公眾參與、某某服務(wù)、某某文化、醫(yī)療質(zhì)量監(jiān)測(cè)等模塊組成。電子政務(wù)信息交換系統(tǒng)部署在某某管理外網(wǎng)機(jī)房的HP 服務(wù)器上，通過外網(wǎng)局域網(wǎng)供醫(yī)藥管理局局機(jī)關(guān)外網(wǎng)用戶訪問，通過互聯(lián)網(wǎng)供下屬某某局用戶訪問。國(guó)家某局的維護(hù)工作人員通過網(wǎng)絡(luò)登陸后臺(tái)、維護(hù)信息及數(shù)據(jù)。該系統(tǒng)的基本情況為：n 應(yīng)用系統(tǒng)對(duì)數(shù)據(jù)庫(kù)的訪問采用ODBC方式；n 數(shù)據(jù)庫(kù)認(rèn)證采取用戶名/口令的方式；n 數(shù)據(jù)庫(kù)能夠?qū)B接數(shù)進(jìn)行控制；n 數(shù)據(jù)在網(wǎng)絡(luò)中傳輸沒有任何加密措施；n 應(yīng)用系統(tǒng)啟用了日志審計(jì)的功能；n 應(yīng)用系統(tǒng)采取的備份措施為：由人工定期備份到終端的方式；n 由于應(yīng)用系統(tǒng)為定制開發(fā)軟件，沒有定期進(jìn)行維護(hù)的服務(wù)。 服務(wù)器設(shè)備情況國(guó)家某局外網(wǎng)服務(wù)器包括兩種類型：應(yīng)用系統(tǒng)服務(wù)器和安全管理服務(wù)器。網(wǎng)絡(luò)入侵檢測(cè)設(shè)備管理服務(wù)器網(wǎng)絡(luò)入侵檢測(cè)設(shè)備管理系統(tǒng)安裝在一臺(tái)機(jī)架式服務(wù)器上，設(shè)備型號(hào)為HP DL165，操作系統(tǒng)為WINDOWS 2003 Server，服務(wù)器的管理認(rèn)證方式為用戶名/口令方式；利用WINDOWS自帶的口令加密方式進(jìn)行保護(hù)；在管理上服務(wù)器采取高強(qiáng)度口令，刪除或禁用無關(guān)帳號(hào)，開啟了日志審計(jì)功能，審計(jì)重點(diǎn)是用戶登錄日志；管理維護(hù)方式采用遠(yuǎn)程桌面和現(xiàn)場(chǎng)相結(jié)合的方式，有專人負(fù)責(zé)相關(guān)工作。 終端安全管理系統(tǒng)國(guó)家某局外網(wǎng)的終端安全管理產(chǎn)品采用了北信源公司的內(nèi)網(wǎng)安全及補(bǔ)丁分發(fā)管理系統(tǒng)，客戶端部署在所有外網(wǎng)的終端設(shè)備上，管理服務(wù)器部署在外網(wǎng)的安全管理區(qū)域。如果一個(gè)單位的某個(gè)下級(jí)單位負(fù)責(zé)信息系統(tǒng)安全建設(shè)、運(yùn)行維護(hù)等過程的全部安全責(zé)任，則這個(gè)下級(jí)單位可以成為信息系統(tǒng)的安全責(zé)任單位；如果一個(gè)單位中的不同下級(jí)單位分別承擔(dān)信息系統(tǒng)不同方面的安全責(zé)任，則該信息系統(tǒng)的安全責(zé)任單位應(yīng)是這些下級(jí)單位共同所屬的單位。網(wǎng)站提供權(quán)威、準(zhǔn)確、全面、快速的信息服務(wù)和公眾互動(dòng)功能，起到政令快速發(fā)布、下情及時(shí)上達(dá)的作用。二、國(guó)家某局政府網(wǎng)站系統(tǒng)安全保護(hù)等級(jí)確定國(guó)家某局政府網(wǎng)站系統(tǒng)受到破壞時(shí)，對(duì)信息安全的危害方式表現(xiàn)為對(duì)其業(yè)務(wù)信息安全的破壞和對(duì)信息系統(tǒng)服務(wù)的破壞。侵害程度為嚴(yán)重?fù)p害，根據(jù)表1，確定該系統(tǒng)的信息安全保護(hù)等級(jí)為第三級(jí)。根據(jù)表3，最終確定該系統(tǒng)的安全保護(hù)等級(jí)為第三級(jí)。由于業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全受到破壞所侵害的客體和對(duì)客體的侵害程度可能會(huì)有所不同，在定級(jí)過程中，分別從業(yè)務(wù)信息安全和信息系統(tǒng)服務(wù)安全兩方面評(píng)定對(duì)客體的侵害程度，確定定級(jí)對(duì)象的安全保護(hù)等級(jí)。業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體對(duì)相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)表1 業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣表（二）系統(tǒng)服務(wù)安全保護(hù)等級(jí)的確定系統(tǒng)服務(wù)描述該系統(tǒng)主要為國(guó)家某局與下屬某某局之間提供電子公文交換服務(wù)。信信息系統(tǒng)名稱安安全保護(hù)等級(jí)業(yè)業(yè)務(wù)信息安全等級(jí)系系統(tǒng)服務(wù)安全等級(jí)國(guó)國(guó)家某局電子政務(wù)信息交換系統(tǒng)第二級(jí)第二級(jí)第二級(jí)表3 系統(tǒng)安全保護(hù)等級(jí)矩陣表通過上述的分析過程，最終確定電子政務(wù)信息交換系統(tǒng)的定級(jí)為2級(jí)，且對(duì)應(yīng)等級(jí)保護(hù)要求選擇措施為：S2A2G2 “十一五”重點(diǎn)某系統(tǒng)一、國(guó)家某局“十一五”重點(diǎn)某系統(tǒng)描述“十一五”重點(diǎn)某系統(tǒng)承擔(dān)著為社會(huì)公眾提供全國(guó)范圍內(nèi)重點(diǎn)某SSS信息和TTT信息的查詢服務(wù)工作。（一）業(yè)務(wù)信息安全保護(hù)等級(jí)的確定業(yè)務(wù)信息描述該系統(tǒng)的主要業(yè)務(wù)信息為國(guó)家某局“十一五”重點(diǎn)某項(xiàng)目的SSS信息和TTT信息。系統(tǒng)服務(wù)受到破壞時(shí)所侵害客體的確定該系統(tǒng)為國(guó)家某局“十一五”重點(diǎn)某服務(wù)信息的業(yè)務(wù)系統(tǒng)，受到破壞時(shí)將影響國(guó)家某局該項(xiàng)服務(wù)工作的開展，因此，所侵害的客體為社會(huì)秩序和公共利益類。繼續(xù)教育管理系統(tǒng)部署在國(guó)家某局機(jī)房的HP 服務(wù)器上，通過外網(wǎng)局域網(wǎng)供醫(yī)藥管理局局機(jī)關(guān)外網(wǎng)用戶訪問，通過互聯(lián)網(wǎng)供全國(guó)某某繼續(xù)教育及培訓(xùn)項(xiàng)目的申報(bào)單位、管理單位及社會(huì)公眾訪問。業(yè)務(wù)信息受到破壞時(shí)所侵害客體的確定該系統(tǒng)為某某繼續(xù)教育相關(guān)機(jī)構(gòu)及社會(huì)公眾提供服務(wù)，主要承擔(dān)著全國(guó)某某行業(yè)繼續(xù)教育及培訓(xùn)項(xiàng)目的申報(bào)、審核和備案任務(wù)，同時(shí)提供學(xué)分證書查詢服務(wù)。系統(tǒng)服務(wù)受到破壞后對(duì)侵害客體侵害程度的確定該系統(tǒng)為國(guó)家某某行業(yè)繼續(xù)教育管理的業(yè)務(wù)系統(tǒng)，當(dāng)遭到破壞時(shí)將對(duì)國(guó)家某某行業(yè)繼續(xù)教育管理工作的順利進(jìn)行造成一定的損害。為了全面地對(duì)安全風(fēng)險(xiǎn)進(jìn)行分析和歸類，參考信息資產(chǎn)的分類，對(duì)安全風(fēng)險(xiǎn)將從物理（主要指設(shè)備運(yùn)行故障帶來的安全風(fēng)險(xiǎn)）、網(wǎng)絡(luò)（主要指?jìng)鬏斁€路、網(wǎng)絡(luò)設(shè)備方面存在的安全風(fēng)險(xiǎn)）、系統(tǒng)（主要指操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、通用應(yīng)用平臺(tái)系統(tǒng)方面存在的安全風(fēng)險(xiǎn)）、應(yīng)用（主要指實(shí)現(xiàn)業(yè)務(wù)的專有應(yīng)用系統(tǒng)自身及應(yīng)用交互過程中的安全風(fēng)險(xiǎn)）、數(shù)據(jù)（主要指威脅到信息數(shù)據(jù)的安全風(fēng)險(xiǎn)）、管理（主要指網(wǎng)絡(luò)和系統(tǒng)管理不善帶來的安全風(fēng)險(xiǎn)）六個(gè)層面進(jìn)行。 政府網(wǎng)站系統(tǒng)互聯(lián)網(wǎng)邊界的安全風(fēng)險(xiǎn)對(duì)于國(guó)家某局托管的政府網(wǎng)站的互聯(lián)網(wǎng)邊界，可能存在的安全風(fēng)險(xiǎn)包括：l 非法訪問：外部用戶或托管機(jī)房?jī)?nèi)其他網(wǎng)絡(luò)區(qū)域的用戶試圖訪問國(guó)家某局政府網(wǎng)站系統(tǒng)所開放服務(wù)之外的信息和服務(wù)；l 非法入侵：黑客通過身份假冒、應(yīng)用層攻擊等方式，穿透訪問控制機(jī)制，進(jìn)入國(guó)家某局政府網(wǎng)站系統(tǒng)內(nèi)部進(jìn)行非法操作； l 惡意攻擊：包括各種常規(guī)攻擊和DoS/DDoS攻擊； l 病毒和蠕蟲：計(jì)算機(jī)病毒和網(wǎng)絡(luò)蠕蟲的傳播和爆發(fā)，將可能使整個(gè)政府網(wǎng)站系統(tǒng)處于癱瘓狀態(tài)。 主機(jī)安全風(fēng)險(xiǎn)主機(jī)安全通常是指服務(wù)器和客戶機(jī)的操作系統(tǒng)及運(yùn)行在其上的應(yīng)用支撐平臺(tái)系統(tǒng)的安全。目前，應(yīng)用層安全的解決目前往往依賴于網(wǎng)絡(luò)層、操作系統(tǒng)、數(shù)據(jù)庫(kù)的安全，由于應(yīng)用系統(tǒng)復(fù)雜多樣，沒有特定的安全技術(shù)能夠完全解決一些特殊應(yīng)用系統(tǒng)的安全問題。（2）非授權(quán)訪問由于許多員工安全意識(shí)比較淡薄，對(duì)一些非法網(wǎng)頁(yè)或來歷不明的即時(shí)信息，沒有警惕性，給入侵者提供機(jī)會(huì)，讓黑客掌握了系統(tǒng)的主動(dòng)權(quán)，給系統(tǒng)帶來不安全因素。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理的安全風(fēng)險(xiǎn)，即使采用了各種先進(jìn)的安全技術(shù)手段，信息系統(tǒng)仍然無法有效抵御所受到的各種安全威脅。l 國(guó)家某局信息管理部門對(duì)安全的認(rèn)識(shí)相對(duì)較高，但在安全策略的具體執(zhí)行和落實(shí)、安全防范的技能等方面還有待加強(qiáng)。 符合等級(jí)保護(hù)管理要求的需求根據(jù)對(duì)等級(jí)保護(hù)管理要求，分析而得到的差異性需求包括：防護(hù)層面要求選擇差異性需求管理機(jī)構(gòu)崗位設(shè)置（G3）應(yīng)補(bǔ)充設(shè)置安全管理員、安全審計(jì)員職位；并定義其崗位的工作職責(zé)和技術(shù)能力要求。發(fā)布和執(zhí)行過程中除了要得到管理層的大力支持和推動(dòng)外，還必須要有合適的、可行的發(fā)布和推動(dòng)手段。國(guó)家某局發(fā)布新的安全管理策略體系時(shí)，應(yīng)對(duì)全體員工進(jìn)行制度的培訓(xùn)。216。 明確了系統(tǒng)遠(yuǎn)期安全建設(shè)計(jì)劃n 為各系統(tǒng)制定總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等配套文件，并得到國(guó)家某局管理層批準(zhǔn)。外部人員訪問管理（G3）應(yīng)該針對(duì)外部人員訪問制定相應(yīng)的管理規(guī)定，執(zhí)行正規(guī)的申請(qǐng)審批和記錄，訪問過程中須由專人陪同和監(jiān)督。網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)不需要全部