【文章內(nèi)容簡介】 當今，我國關(guān)于實現(xiàn)信息安全的一項重要的舉措就是信息系統(tǒng)安全等級保護。嚴格按照等級保護的規(guī)定，建設安全的信息系統(tǒng)成為了目前面臨的主要問題。本文主要介紹了信息安全等級的劃分以及如何對具體的信息系統(tǒng)實施安全等級保護措施的方法。隨著現(xiàn)在高科技的快速發(fā)展以及當前社會對信息系統(tǒng)需求的不斷增加，信息系統(tǒng)的規(guī)模也在日益擴大，它的諸多應用都給社會創(chuàng)造了巨大的財富，與此同時，信息系統(tǒng)也成為了威脅、攻擊以及破壞的對象。由于信息在網(wǎng)絡上的存儲、傳輸和共享等過程的非法利用，導致目前如何確保信息系統(tǒng)的安全性就成為了我們現(xiàn)階段亟待解決的重點問題。當前，我們正在有計劃的開展信息安全等級保護制度實施工作。為了確保計算機信息系統(tǒng)的安全，一定要系統(tǒng)地、深入地研究和學習信息系統(tǒng)安全技術(shù)和等級保護方法。信息安全等級保護2003年，中辦、國辦轉(zhuǎn)發(fā) 國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)[2003327號)，提出實行信息安全等級保護，建立國家信息安全保障體系的明確要求。信息系統(tǒng)的安全保護等級應當根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。信息系統(tǒng)的安全保護等級分為五級：第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。該級別是用戶自主保護級。完全由用戶自己來決定如何對資源進行保護，以及采用何種方式進行保護。第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。該級別是系統(tǒng)審計保護級。第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。該級別是安全標記保護級。除具有第二級系統(tǒng)審計保護級的所有功能外，它還要求對訪問者和訪問對象實施強制訪問控制，并能夠進行記錄，以便事后的監(jiān)督 審計。第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。該級別是結(jié)構(gòu)化保護級。第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。該級別是訪問驗證保護級。這一個級別除了具備前四級的所有功能外還特別增設了訪問驗證功能，負責管理訪問者對訪問對象的所有訪問活動，管理訪問者能否訪問某些對象從而對訪問對象實行?？?，保護信息不能被非授權(quán)獲取。信息安全等級劃分2．1按相關(guān)政策規(guī)定劃分安全保護等級對于我國中央和國家各級機關(guān)、國家重點科研部門機構(gòu)、國防建設部門等需要對信息系統(tǒng)施行特殊隔離和保護的單位機關(guān)，均應按照相關(guān)政策、相關(guān)法律法規(guī)，實施安全等級保護。2．2按照保護數(shù)據(jù)的價值劃分保護等級不同類別的數(shù)據(jù)信息需要實施不同安全等級的保護，這樣不僅能使信息系統(tǒng)中的數(shù)據(jù)信息的安全得到應有的保證，而且又能縮減一部分不必要的開銷。信息安全等級保護具體方法信息系統(tǒng)安全等級劃分的最優(yōu)的選擇是全方位劃分等級，其最基本的思想為重點保護和適度保護。在此基礎上，投入合理的安全投入，運用以下兩點信息安全等級保護方法，努力使信息系統(tǒng)得到應有的安全保護。3．1全系統(tǒng)的同一安全等級的安全保護全系統(tǒng)同一安全等級安全保護：在一個需要進行安全等級保護的信息系統(tǒng)中，在組成系統(tǒng)的任何部分，所存儲、傳輸和處理的全部數(shù)據(jù)信息，都需進行相同的安全保護等級的保護措施。當有這樣要求，規(guī)定所要保護的數(shù)據(jù)信息，不管處于系統(tǒng)中任何位置，進行任何形式的數(shù)據(jù)處理都需采取相同安全保護等級是，都應嚴格按照全系統(tǒng)同一安全等級安全保護方法開展系統(tǒng)安全性設計，設計出要求所需的安全機制。3．2分系統(tǒng)不同安全等級安全保護所謂分系統(tǒng)不同安全等級安全保護：在一個需要進行安全等級保護的計算機信息系統(tǒng)中，其中所存儲、傳輸和處理的全部數(shù)據(jù)信息，應該按照信息在組成計算機信息系統(tǒng)的每個分系統(tǒng)中的不同保護要求的原則，對其實施不同安全保護等級的安全保護。3．3虛擬系統(tǒng)不同安全等級安全保護絡信息安全進行控制。具體的實施措施可以使用路由器對外界進行控制，將路由器作為網(wǎng)關(guān)的局域網(wǎng)上的諸?~llnternet等網(wǎng)絡服務的信息流量，也可以通過對系統(tǒng)文件權(quán)限的設置來確認訪問是否合法，以此來保證計算機網(wǎng)絡信息的安全。3．4計算機網(wǎng)絡病毒的防范技術(shù)計算機病毒是威脅計算機網(wǎng)絡安全的重大因素，因此應該對常見的計算機病毒知識進行熟練地掌握，對其基本的防治技術(shù)手段有一定的了解，能夠在發(fā)現(xiàn)病毒的第一時間里對其進行及時的處理，將危害降到最低。對于計算機病毒的防范可以采用以下一些技術(shù)手段，可以通過加密執(zhí)行程序，引導區(qū)保護、系統(tǒng)監(jiān)控和讀寫控制等手段，對系統(tǒng)中是否有病毒進行監(jiān)督判斷，進而阻止病毒侵人計算機系統(tǒng)。計算機系統(tǒng)中的漏洞是計算機網(wǎng)絡安全中存在的極大隱患，因此，要定期對計算機進行全方位的系統(tǒng)漏洞掃描，以確認當前的計算機系統(tǒng)中是否存在著系統(tǒng)漏洞。一旦發(fā)現(xiàn)計算機中存在系統(tǒng)漏洞，要及時的對其進行修復，避免被黑客等不放法子利用。漏洞的修復分兩種，有的漏洞系統(tǒng)自身可以進行恢復，而有一部分漏洞則需要手動進行修復。結(jié)語在當前通信與信息產(chǎn)業(yè)高速發(fā)展的形勢下，計算機網(wǎng)絡安全技術(shù)的研究與應用也應該與時俱進，不斷地研究探討更加優(yōu)化的計算機網(wǎng)絡防范技術(shù)，將其應用到計算機網(wǎng)絡系統(tǒng)的運行中，減少計算機網(wǎng)絡使用的安全風險。實現(xiàn)安全的進行信息交流，資源共享的目的，使計算機網(wǎng)絡系統(tǒng)更好的為人們的生活工作服務。第四篇：信息安全等級保護(二級)信息安全等級保護(二級)備注：其中黑色字體為信息安全等級保護第二級系統(tǒng)要求，藍色字體為第三級系統(tǒng)等保要求。一、物理安全應具有機房和辦公場地的設計/驗收文檔（機房場地的選址說明、地線連接要求的描述、建筑材料具有相應的耐火等級說明、接地防靜電措施）應具有有來訪人員進入機房的申請、審批記錄；來訪人員進入機房的登記記錄應配置電子門禁系統(tǒng)(三級明確要求)；電子門禁系統(tǒng)有驗收文檔或產(chǎn)品安全認證資質(zhì)，電子門禁系統(tǒng)運行和維護記錄主要設備或設備的主要部件上應設置明顯的不易除去的標記介質(zhì)有分類標識；介質(zhì)分類存放在介質(zhì)庫或檔案室內(nèi)，磁介質(zhì)、紙介質(zhì)等分類存放應具有攝像、傳感等監(jiān)控報警系統(tǒng)；機房防盜報警設施的安全資質(zhì)材料、安裝測試和驗收報告；機房防盜報警系統(tǒng)的運行記錄、定期檢查和維護記錄；應具有機房監(jiān)控報警設施的安全資質(zhì)材料、安裝測試和驗收報告；機房監(jiān)控報警系統(tǒng)的運行記錄、定期檢查和維護記錄應具有機房建筑的避雷裝置；通過驗收或國家有關(guān)部門的技術(shù)檢測；應在電源和信號線上增加有資質(zhì)的防雷保安器；具有防雷檢測資質(zhì)的檢測部門對防雷裝置的檢測報告應具有自動檢測火情、自動報警、自動滅火的自動消防系統(tǒng)；自動消防系統(tǒng)的運行記錄、檢查和定期維護記錄；消防產(chǎn)品有效期合格；自動消防系統(tǒng)是經(jīng)消防檢測部門檢測合格的產(chǎn)品1應具有除濕裝置；空調(diào)機和加濕器；溫濕度定期檢查和維護記錄1應具有水敏感的檢測儀表或元件；對機房進行防水檢測和報警；防水檢測裝置的運行記錄、定期檢查和維護記錄1應具有溫濕度自動調(diào)節(jié)設施；溫濕度自動調(diào)節(jié)設施的運行記錄、定期檢查和維護記錄1應具有短期備用電力供應設備（如UPS）；短期備用電力供應設備的運行記錄、定期檢查和維護記錄1應具有冗余或并行的電力電纜線路（如雙路供電方式）1應具有備用供電系統(tǒng)（如備用發(fā)電機）；備用供電系統(tǒng)運行記錄、定期檢查和維護記錄二、安全管理制度應具有對重要管理操作的操作規(guī)程，如系統(tǒng)維護手冊和用戶操作規(guī)程應具有安全管理制度的制定程序：應具有專門的部門或人員負責安全管理制度的制定（發(fā)布制度具有統(tǒng)一的格式，并進行版本控制）應對制定的安全管理制度進行論證和審定，論證和審定方式如何（如召開評審會、函審、內(nèi)部審核等），應具有管理制度評審記錄應具有安全管理制度的收發(fā)登記記錄，收發(fā)應通過正式、有效的方式（如正式發(fā)文、領(lǐng)導簽署和單位蓋章等）安全管理制度應注明發(fā)布范圍，并對收發(fā)文進行登記。信息安全領(lǐng)導小組定期對安全管理制度體系的合理性和適用性進行審定，審定周期多長。（安全管理制度體系的評審記錄）系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時應對安全管理制度進行檢查，對需要改進的制度進行修訂。（應具有安全管理制度修訂記錄）三、安全管理機構(gòu)應設立信息安全管理工作的職能部門應設立安全主管、安全管理各個方面的負責人應設立機房管理員、系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等重要崗位（分工明確，各司其職），數(shù)量情況（管理人員名單、崗位與人員對應關(guān)系表）安全管理員應是專職人員關(guān)鍵事物需要配備2人或2人以上共同管理，人員具體配備情況如何。應設立指導和管理信息安全工作的委員會或領(lǐng)導小組（最高領(lǐng)導是否由單位主管領(lǐng)導委任或授權(quán)的人員擔任）應對重要信息系統(tǒng)活動進行審批（如系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓、產(chǎn)品的采購、外部人員的訪問等），審批部門是何部門，審批人是何人。審批程序：應與其它部門之間及內(nèi)部各部門管理人員定期進行溝通（信息安全領(lǐng)導小組或者安全管理委員會應定期召開會議）應組織內(nèi)部機構(gòu)之間以及信息安全職能部門內(nèi)部的安全工作會議文件或會議記錄，定期：信息安全管理委員會或領(lǐng)導小組安全管理工作執(zhí)行情況的文件或工作記錄（如會議記錄/紀要，信息安全工作決策文檔等）1應與公安機關(guān)、電信公司和兄弟單位等的溝通合作（外聯(lián)單位聯(lián)系列表）1應與供應商、業(yè)界專家、專業(yè)的安全公司、安全組織等建立溝通、合作機制。1聘請信息安全專家作為常年的安全顧問（具有安全顧問名單或者聘請安全顧問的證明文件、具有安全顧問參與評審的文檔或記錄）1應組織人員定期對信息系統(tǒng)進行安全檢查（查看檢查內(nèi)容是否包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況）1應定期進行全面安全檢查（安全檢查是否包含現(xiàn)行技術(shù)措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格，安全檢查報告，檢查結(jié)果通告記錄）四、人員安全管理何部門/何人負責安全管理和技術(shù)人員的錄用工作（錄用過程）應對被錄用人的身份、背景、專業(yè)資格和資質(zhì)進行審查，對技術(shù)人員的技術(shù)技能進行考核，技能考核文檔或記錄應與錄用后的技術(shù)人員簽署保密協(xié)議（協(xié)議中有保密范圍、保密責任、違約責任、協(xié)議的有效期限和責任人的簽字等內(nèi)容）應設定關(guān)鍵崗位，對從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔，是否要求其簽署崗位安全協(xié)議。應及時終止離崗人員的所有訪問權(quán)限（離崗人員所有訪問權(quán)限終止的記錄）應及時取回離崗人員的各種身份證件、鑰匙、徽章等以及機構(gòu)提供的軟硬件設備等（交還身份證件和設備等的登記記錄）人員離崗應辦理調(diào)離手續(xù)，是否要求關(guān)鍵崗位調(diào)離人員承諾相關(guān)保密義務后方可離開（具有按照離崗程序辦理調(diào)離手續(xù)的記錄，調(diào)離人員的簽字）對各個崗位人員應定期進行安全技能考核；具有安全技能考核記錄，考核內(nèi)容要求包含安全知識、安全技能等。對關(guān)鍵崗位人員的安全審查和考核與一般崗位人員有何不同，審查內(nèi)容是否包括操作行為和社會關(guān)系等。應對各類人員（普通用戶、運維人員、單位領(lǐng)導等）進行安全教育、崗位技能和安全技術(shù)培訓。1應針對不同崗位制定不同的培訓計劃，并按照計劃對各個崗位人員進行安全教育和培訓（安全教育和培訓的結(jié)果記錄，記錄應與培訓計劃一致）1外部人員進入條件（對哪些重要區(qū)域的訪問須提出書面申請批準后方可進入），外部人員進入的訪問控制（由專人全程陪同或監(jiān)督等）1應具有外部人員訪問重要區(qū)域的書面申請1應具有外部人員訪問重要區(qū)域的登記記錄（記錄描述了外部人員訪問重要區(qū)域的進入時間、離開時間、訪問區(qū)域、訪問設備或信息及陪同人等）五、系統(tǒng)建設管理應明確信息系統(tǒng)的邊界和安全保護等級（具有定級文檔，明確信息系統(tǒng)安全保護等級）應具有系統(tǒng)建設/整改方案應授權(quán)專門的部門對信息系統(tǒng)的安全建設進行總體規(guī)劃，由何部門/何人負責應具有系統(tǒng)的安全建設工作計劃（系統(tǒng)安全建設工作計劃中明確了近期和遠期的安全建設計劃）應組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件進行論證和審定（配套文件的論證評審記錄或文檔）應對總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件應定期進行調(diào)整和修訂應具有總體安全策略、安全技術(shù)框架、安全管理策略、總體建設規(guī)劃、詳細設計方案等相關(guān)配套文件的維護記錄或修訂版本應按照國家的相關(guān)規(guī)定進行采購和使用系統(tǒng)信息安全產(chǎn)品安全產(chǎn)品的相關(guān)憑證，如銷售許可等，應使用符合國家有關(guān)規(guī)定產(chǎn)品應具有專門的部門負責產(chǎn)品的采購1采購產(chǎn)品前應預先對產(chǎn)品進行選型測試確定產(chǎn)品的候選范圍，形成