序言：作為思想的載體和知識的探索者，寫作是一種獨(dú)特的藝術(shù)，我們?yōu)槟鷾?zhǔn)備了不同風(fēng)格的5篇企業(yè)信息安全保護(hù)，期待它們能激發(fā)您的靈感。

篇1

總的來講，我們目前對信息系統(tǒng)的安全保障工作處在初級階段，主要表現(xiàn)在信息系統(tǒng)安全建設(shè)和管理的目標(biāo)不明確，信息安全保障工作的重點(diǎn)不突出，信息安全監(jiān)管體系尚待完善。為了實(shí)施信息系統(tǒng)的安全保護(hù)，我國制定頒布了《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》(GB17859-1999)和《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則》(GB/T18336-2001)等基本標(biāo)準(zhǔn)，隨后又制定了一系列相關(guān)的國家標(biāo)準(zhǔn)，對信息等級保護(hù)工作的定級、建設(shè)、測評、安全管理等進(jìn)行規(guī)范。信息安全等級保護(hù)制度一個很重要的思想就是對各領(lǐng)域的重要信息系統(tǒng)依照其對國家的重要程度進(jìn)行分類分級，針對不同的安全等級采取不同的保護(hù)措施，以此來指導(dǎo)不同領(lǐng)域的信息安全工作[1]。99年頒布的《等級劃分準(zhǔn)則》對計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力劃分了五個等級[2]，保護(hù)能力隨著安全保護(hù)等級的增高，逐漸增強(qiáng)。第一級為用戶自主保護(hù)級。使用戶具備自主安全保護(hù)的能力。第二級為系統(tǒng)審計(jì)保護(hù)級。在繼承前面安全級別安全功能的基礎(chǔ)上，需要創(chuàng)建和維護(hù)訪問的審計(jì)跟蹤記錄。第三級為安全標(biāo)記保護(hù)級。在繼承前面安全級別安全功能的基礎(chǔ)上，要求依據(jù)訪問安全級別限制訪問權(quán)限。第四級為結(jié)構(gòu)化保護(hù)級。繼承前面安全級別安全功能的基礎(chǔ)上，劃分安全保護(hù)機(jī)制為兩部分，關(guān)鍵部分和非關(guān)鍵部分，對關(guān)鍵部分訪問者直接控制訪問對象的存取。第五級為訪問驗(yàn)證保護(hù)級。按要求增設(shè)訪問驗(yàn)證的功能，負(fù)責(zé)訪問者對所有訪問對象的訪問活動進(jìn)行仲裁。

2．企業(yè)信息安全等級保護(hù)的實(shí)施流程

在實(shí)施企業(yè)信息安全等級保護(hù)流程時，主要得工作可以分為信息系統(tǒng)定級、規(guī)劃與設(shè)計(jì)和實(shí)施、等級評估與改進(jìn)三個主要的階段。

2.1信息系統(tǒng)定級

系統(tǒng)定級是根據(jù)整個系統(tǒng)要求達(dá)到的防護(hù)水平，確定信息系統(tǒng)和各個子系統(tǒng)的安全防護(hù)等級。需要由專業(yè)人員評估企業(yè)的信息系統(tǒng)、各種軟硬件設(shè)備及企業(yè)業(yè)務(wù)支撐的各個環(huán)節(jié)，根據(jù)其重要性和復(fù)雜性劃分為各個子系統(tǒng)，描述子系統(tǒng)的組成和邊界，以此確定總系統(tǒng)和子系統(tǒng)的安全等級。2.2安全規(guī)劃和設(shè)計(jì)安全規(guī)劃和設(shè)計(jì)是根據(jù)系統(tǒng)定級的結(jié)果，對信息系統(tǒng)及其子系統(tǒng)制定全套的安全防護(hù)解決方案，并根據(jù)方案選取相應(yīng)的軟、硬件防護(hù)產(chǎn)品進(jìn)行具體實(shí)施的階段，這個階段的工作主要可以歸納為以下三個方面的內(nèi)容：

2.2.1系統(tǒng)對象的分類劃分及相應(yīng)保護(hù)框架的確立。

企業(yè)需要對信息系統(tǒng)進(jìn)行保護(hù)對象進(jìn)行分類和劃分，建立起一個企業(yè)信息系統(tǒng)保護(hù)的框架，根據(jù)系統(tǒng)功能的差異和安全要求不同對系統(tǒng)進(jìn)行分域、分級防護(hù)。

2.2.2選擇安全措施并根據(jù)需要進(jìn)行調(diào)整。

在確定了企業(yè)信息系統(tǒng)及各個子系統(tǒng)的安全等級以后，根據(jù)需要選擇相應(yīng)的等級安全要求。根據(jù)對系統(tǒng)評估的結(jié)果，確定出主系統(tǒng)、子系統(tǒng)和各保護(hù)對象的安全措施，并根據(jù)項(xiàng)目實(shí)施過程中的需要進(jìn)行適當(dāng)?shù)恼{(diào)整。

2.2.3安全措施規(guī)劃和安全方案實(shí)施。

確定需要的安全措施以后，定制相應(yīng)安全解決方案和運(yùn)維管理方案，以此為依據(jù)采購必要的安全保護(hù)軟、硬件及安全服務(wù)。

2.3實(shí)施、等級評估和改進(jìn)[4]

依照此前確定的安全措施和解決方案，在企業(yè)中進(jìn)行方案實(shí)施。實(shí)施完畢之后，對照“信息安全等級保護(hù)”相關(guān)標(biāo)準(zhǔn)，評估所部署的方案是否達(dá)到了預(yù)想的防護(hù)要求,如果評估未能通過,則需對部分安全方案進(jìn)行改進(jìn)后再進(jìn)行評估,直至符合等級保護(hù)要求。

3.企業(yè)信息安全等級保護(hù)體系的主要內(nèi)容

3.1安全體系設(shè)計(jì)的原則及設(shè)計(jì)目標(biāo)

信息系統(tǒng)安全體系的設(shè)計(jì)需要按照合規(guī)可行、全局均衡、體系化和動態(tài)發(fā)展原則，達(dá)到并實(shí)現(xiàn)“政策合規(guī)、資源可控、數(shù)據(jù)可信、持續(xù)發(fā)展”的生存管理與安全運(yùn)維目的。系統(tǒng)安全等級保護(hù)體系的技術(shù)指標(biāo),可以分為信息技術(shù)測評指標(biāo)和非信息技術(shù)測評指標(biāo)兩類。所以整個安全等級保護(hù)體系應(yīng)包含基本技術(shù)措施和基本管理措施兩個組成部分。

3.2基本技術(shù)措施

3.2.1物理安全

物理安全是信息系統(tǒng)安全的基礎(chǔ)，物理安全主要內(nèi)容包括環(huán)境安全（防火、防水、防雷擊等）、設(shè)備和介質(zhì)的防盜竊、防破壞等方面。

3.2.2網(wǎng)絡(luò)安全

網(wǎng)絡(luò)是若干網(wǎng)絡(luò)設(shè)備組成的可用于數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)環(huán)境，是信息系統(tǒng)安全運(yùn)行的基礎(chǔ)設(shè)施。對于內(nèi)網(wǎng)未通過準(zhǔn)許聯(lián)到外網(wǎng)的行為，可以使用終端安全管理系統(tǒng)來檢測。對登錄網(wǎng)絡(luò)設(shè)備和服務(wù)器的用戶進(jìn)行基本的身份識別，使網(wǎng)絡(luò)最基本具備基本的防護(hù)能力。[5]

3.2.3主機(jī)安全

主機(jī)安全主要是指服務(wù)器和終端系統(tǒng)層面的安全風(fēng)險。主機(jī)的安全風(fēng)險主要包括兩個方面：一是操作系統(tǒng)的脆弱性，二是來自系統(tǒng)配置管理和使用過程。可以通過建立一套完善安全審計(jì)系統(tǒng)實(shí)現(xiàn)系統(tǒng)層、網(wǎng)絡(luò)層以及應(yīng)用層的安全審計(jì)。

3.2.4應(yīng)用系統(tǒng)安全

應(yīng)用系統(tǒng)是提供給用戶真正可使用的功能，是以物理層、網(wǎng)絡(luò)層和主機(jī)層為基礎(chǔ)的，是用戶與系統(tǒng)底層的接口。應(yīng)用安全首先要考慮身份驗(yàn)證、通訊加密、信息保護(hù)和抗抵賴性等安全風(fēng)險，對應(yīng)用系統(tǒng)方面應(yīng)關(guān)注系統(tǒng)資源控制、應(yīng)用代碼安全、系統(tǒng)安全審計(jì)和系統(tǒng)容錯等內(nèi)容，一般需要通過安全審計(jì)系統(tǒng)和專業(yè)的安全服務(wù)來實(shí)現(xiàn)。

3.2.5數(shù)據(jù)安全

數(shù)據(jù)是指用戶真正的數(shù)據(jù)，信息系統(tǒng)數(shù)據(jù)安全所面臨的主要風(fēng)險包括：數(shù)據(jù)遭到盜竊；數(shù)據(jù)被惡意刪除或篡改。在考慮數(shù)據(jù)安全方案時，除了使用從物理層到應(yīng)用層的各種層次的安全產(chǎn)品，更重要的是考慮對數(shù)據(jù)的實(shí)時備份。目前主要使用數(shù)據(jù)庫技術(shù)來保證數(shù)據(jù)私密性和完整性，制定好數(shù)據(jù)存儲與備份方案，來完成日常的數(shù)據(jù)備份與恢復(fù)。這部分工作可以考慮引入專業(yè)安全服務(wù)。

3.3基本管理措施

3.3.1安全管理制度

安全管理制度的制定、、審核和修訂等工作，需要在信息安全領(lǐng)導(dǎo)小組的統(tǒng)籌下，按照安全工作的總體方案，根據(jù)系統(tǒng)應(yīng)用安全的實(shí)際情況，組織相關(guān)人員進(jìn)行，并進(jìn)行定期的審核和修訂。

3.3.2安全管理機(jī)構(gòu)

要根據(jù)要求建立專門的安全職能部門，配置專門的安全管理人員，并對安全管理人員進(jìn)行日常活動的監(jiān)督指導(dǎo)。同時要對安全職能部門進(jìn)行全面的設(shè)計(jì)，內(nèi)容包括的人員和崗位的配置、日常工作流程、與其他部門的溝通和合作、系統(tǒng)安全的審核和檢查等方面。

3.3.3人員安全管理

人員的入職、離職、績效考核、業(yè)務(wù)培訓(xùn)等環(huán)節(jié)都要考慮安全因素。對第三方人員管理上也要考慮安全風(fēng)險。

3.3.4系統(tǒng)建設(shè)過程管理

要在系統(tǒng)建設(shè)的各個階段貫徹系統(tǒng)安全等級保護(hù)體系的思想和內(nèi)容。主要是對系統(tǒng)建設(shè)從方案設(shè)計(jì)、采購、開發(fā)、實(shí)施、測試驗(yàn)收、交付到系統(tǒng)備案、安全測評等環(huán)節(jié)進(jìn)行全流程的監(jiān)控，對所有涉及安全保護(hù)的方面提出具體要求。

3.3.5系統(tǒng)運(yùn)行和維護(hù)管理

信息系統(tǒng)運(yùn)維安全管理涉包括日常管理、安全事件處置、應(yīng)急預(yù)案管理和安管中心等幾方面內(nèi)容，可以是內(nèi)部人員管理維護(hù)，也可以根據(jù)需要采用內(nèi)部人員和專業(yè)安全廠商相結(jié)合的方式。

4.總結(jié)

篇2

關(guān)鍵詞：商業(yè)秘密；信息安全；保護(hù)；資產(chǎn)；大數(shù)據(jù)

1信息安全工作的本質(zhì)是商業(yè)秘密保護(hù)

商業(yè)秘密保護(hù)一直是企業(yè)內(nèi)部管理的薄弱環(huán)節(jié)，企業(yè)也是信息安全泄密事件的高發(fā)群體，受到商業(yè)秘密侵權(quán)的損害也最大。其原因在于企業(yè)的創(chuàng)始人基本沒有商業(yè)秘密的意識，也沒有在機(jī)構(gòu)上設(shè)立保密部門，更沒有建立有效的商業(yè)秘密保護(hù)管理機(jī)制，因此導(dǎo)致商業(yè)秘密容易被侵權(quán)。按照我國《反不正當(dāng)競爭法》的規(guī)定，屬于商業(yè)秘密范疇的信息須具備以下三個條件：不為公眾所知悉、能帶來經(jīng)濟(jì)利益、采取保密措施。根據(jù)商業(yè)秘密的特點(diǎn)，可以發(fā)現(xiàn)商業(yè)秘密屬于具有經(jīng)濟(jì)價值且被保護(hù)的企業(yè)信息資源，這種資源在企業(yè)內(nèi)部有限范圍內(nèi)共享。當(dāng)下，有關(guān)商業(yè)秘密的法律訴訟已不是新鮮事。2017年，安徽一橡塑制品公司員工辭職后入股競爭對手,不僅帶走老東家的技術(shù)資料,還“搶了”老顧客生意。法院采取“實(shí)質(zhì)性相同加接觸”規(guī)則推定其與新東家構(gòu)成侵權(quán),判賠80萬元。據(jù)德國《經(jīng)濟(jì)周刊》網(wǎng)站2017年12日報(bào)道，荷蘭警方日前逮捕了一名65歲男子，該男子為西門子員工，涉嫌將西門子商業(yè)機(jī)密泄露給中國企業(yè)，荷蘭檢察院目前正對此案展開調(diào)查。以上兩個案例中的企業(yè)商業(yè)秘密保護(hù)的一個側(cè)面。大數(shù)據(jù)時代的核心是資源共享，任何企業(yè)都不是一個封閉的組織，任何組織和個人都可以有償或者無償獲得他們所需要的信息。因此，要做好企業(yè)的信息安全工作，必須厘清商業(yè)秘密保護(hù)與信息安全之間的關(guān)系。商業(yè)秘密保護(hù)的對象是企業(yè)的技術(shù)或經(jīng)營信息，因此商業(yè)秘密保護(hù)的本質(zhì)也是保護(hù)信息安全。泄密事件層出不窮，泄密手段越來越高科技。大部分企業(yè)在信息安全工作中，存在一些典型的誤區(qū)：業(yè)務(wù)部門認(rèn)為沒有商業(yè)秘密可言，搞信息安全只是IT部門的事情；業(yè)務(wù)部門不知道哪些信息屬于商業(yè)秘密，信息安全工作推進(jìn)沒有依據(jù)；業(yè)務(wù)部門的海量信息都需要保護(hù)，保護(hù)范圍無限擴(kuò)大，見圖1。

2信息安全工作不能奔走救火

市場經(jīng)濟(jì)競爭越來越激烈，泄密風(fēng)險越來越多，商業(yè)秘密的價值越來越高。泄密的途徑和方式多種多樣，要想做好信息安全工作，我們必須要了解主要的泄密途徑。(1)內(nèi)部泄密。堡壘最容易從內(nèi)部被攻破，在企業(yè)商業(yè)秘密泄密事件中，由于核心員工跳槽帶走商業(yè)秘密而造成的泄密事件時有發(fā)生而且占有很大的比例。據(jù)統(tǒng)計(jì)，企業(yè)內(nèi)部人員侵犯商業(yè)秘密案件占全部案例的82.5%。人員流動是企業(yè)發(fā)展過程中所面臨的并且是無法回避的問題，在企業(yè)的商業(yè)秘密保護(hù)工作中，如何防止核心員工跳槽帶走商業(yè)秘密，人員管理固然是很重要的一個環(huán)節(jié)，但還應(yīng)伴隨著一系列的管理措施。對于企業(yè)來說，證明商業(yè)秘密的存在本身就很困難，要證明企業(yè)員工是否利用了這種信息難度更大，尤其是難以區(qū)分一般信息與商業(yè)秘密信息的差別。所以，應(yīng)通過競業(yè)限制條款以盡可能地避免員工利用商業(yè)秘密。(2)商業(yè)秘密信息管理不善。一些企業(yè)中存在著很多這樣的情況，企業(yè)一邊將一些技術(shù)文件、客戶資料和信息不分級別隨意管理，任何員工甚至未經(jīng)任何手續(xù)就能隨意使用和得到這些信息，另一邊聲稱自己的商業(yè)秘密被泄露要加強(qiáng)管理甚至要進(jìn)行索賠等，這種狀況是很難尋求到法律支持和保護(hù)的。所以，我們強(qiáng)調(diào)確定企業(yè)的商業(yè)秘密范圍，明確商業(yè)秘密保護(hù)的對象是商業(yè)秘密保護(hù)工作的關(guān)鍵環(huán)節(jié)。(3)接待外來人員采訪、參觀、考察、實(shí)習(xí)中疏忽大意。這樣的實(shí)例很多,我國一些具有“獨(dú)特工藝”的傳統(tǒng)產(chǎn)品企業(yè)就是在接待參觀和考察中，被人竊取“機(jī)密”。改革開放之初，日本人借著我國地方官員和民眾熱情迎接外賓，毫無商業(yè)保密頭腦的機(jī)會，來涇縣“參觀考察”中國宣紙制造，官員和工廠負(fù)責(zé)及技術(shù)人員陪同參觀，每一道制作工藝詳細(xì)講解，從而日本人輕而易舉獲取了宣紙制造的整個流程，以及“紙藥”的配方。如果企業(yè)能重視到商業(yè)秘密的保護(hù)，此種損失完全可以避免或降低。參觀應(yīng)避開敏感區(qū)域，勿作詳細(xì)解釋，勿對生產(chǎn)制造工藝進(jìn)行演示，并要求來訪者參觀商業(yè)秘密設(shè)備時簽訂保密協(xié)議。(4)對外信息。競爭對手通過公開的信息收集的合法途徑同樣能夠獲取企業(yè)商業(yè)秘密。還有一些企業(yè)甚至盯著對手公司經(jīng)常使用的垃圾箱，從垃圾箱中翻閱廢棄資料，從而檢索有用信息。對此，企業(yè)一定要引起注意，最好建立嚴(yán)格的信息審批規(guī)章制度和辦事程序。比如信息公布、報(bào)廢產(chǎn)品、實(shí)驗(yàn)廢品和產(chǎn)品的處理，展覽、新聞和廣告等，均需通過嚴(yán)密的信息處理和審批，以防無意中泄密。為了解決一個個具體的問題而立即行動，效果不會很好，久而久之，信息安全保護(hù)措施會流于形式、奔走救火。企業(yè)要防止自己的商業(yè)秘密被競爭對手竊取，必要采取各種保護(hù)措施。保護(hù)措施越多，保護(hù)效果越好，但同時保護(hù)成本也會增大，消耗企業(yè)的財(cái)富。但如果企業(yè)對商業(yè)秘密投入不足，會使保護(hù)能力欠缺，導(dǎo)致重要的商業(yè)秘密資產(chǎn)被泄密，企業(yè)面臨的損失可能會更大。因此，企業(yè)必須使投入的保護(hù)成本與需要保護(hù)的商業(yè)秘密資產(chǎn)價值相適應(yīng)。

3保護(hù)信息安全的目標(biāo)是降低風(fēng)險

就商業(yè)秘密而言，沒有絕對的安全，只有相對的安全。信息安全的目的是，保護(hù)信息免受各種威脅的損害，以確保業(yè)務(wù)連續(xù)性，業(yè)務(wù)風(fēng)險最小化，投資回報(bào)和商業(yè)機(jī)遇最大化。泄密風(fēng)險只能降低，不可能杜絕。商業(yè)秘密范圍的確定是商業(yè)秘密保護(hù)最基礎(chǔ)的工作，只有準(zhǔn)確的定義、識別并確定自己企業(yè)需要保護(hù)的商業(yè)秘密范圍，才有可能采取有效措施對范圍之內(nèi)的商業(yè)秘密進(jìn)行保護(hù)，如果范圍確定的不準(zhǔn)確，就可能使商業(yè)秘密面臨缺乏保護(hù)或保護(hù)過度的風(fēng)險。在明確商業(yè)秘密的范圍和定義的前提下，首先要做好“定密”工作，其次要做好“分級”工作，最后在采用各種手段去做“保密”工作。

參考文獻(xiàn)

[1]魏亮.云計(jì)算安全風(fēng)險及對策研究[J].郵電設(shè)計(jì)技術(shù),2011(10).

[2]徐祖哲.企業(yè)信息化與商業(yè)秘密保護(hù)[J].中國科技投資,2009(2).

[3]歐陽有慧.商業(yè)秘密的企業(yè)應(yīng)對[J].商場現(xiàn)代化,2009(1).

[4]王紅一.免予公開的商業(yè)秘密的界定問題[J].暨南學(xué)報(bào),2005(5).

[5]馮曉青.試論商業(yè)秘密法的目的與利益平衡[J].天中學(xué)刊,2004(12).

篇3

【關(guān)鍵詞】電力；信息系統(tǒng)；信息安全；等級保護(hù)

隨著科學(xué)技術(shù)的快速提高，我國的信息化發(fā)展迅速，信息化在各行各業(yè)都得到廣泛應(yīng)用。城市電網(wǎng)是經(jīng)濟(jì)社會發(fā)展的重要基礎(chǔ)設(shè)施，是能源產(chǎn)業(yè)鏈的重要環(huán)節(jié)。隨著信息、通信技術(shù)的廣泛應(yīng)用，智能化已成為世界電網(wǎng)發(fā)展的新趨勢。電力企業(yè)網(wǎng)絡(luò)建立信息安全等級保護(hù)制度旨在為國家信息安全保護(hù)工作建立起一個長久有效的安全機(jī)制，保障信息化建設(shè)的健康發(fā)展。然而目前我國電網(wǎng)的信息安全等級保護(hù)政策的實(shí)施處于初步進(jìn)行階段，還有很多工作需要完成。這需要業(yè)內(nèi)外人士的共同參與，為保障信息安全盡最大的努力。同時伴隨著計(jì)算機(jī)技術(shù)的發(fā)展，信息安全等級保護(hù)技術(shù)和水平也要不斷優(yōu)化升級，確保能夠及時解決安全保護(hù)中遇到的問題，讓信息安全等級保護(hù)政策的實(shí)施暢行無阻。

1 電力信息安全等級保護(hù)

信息系統(tǒng)等級保護(hù)制度是我國信息安全領(lǐng)域一項(xiàng)重要政策，信息系統(tǒng)安全等級保護(hù)是指對信息安全實(shí)行等級化保護(hù)和等級化管理。根據(jù)信息系統(tǒng)實(shí)用業(yè)務(wù)重要程度及其安全實(shí)際需求，實(shí)行分級、分類、分階段實(shí)施保護(hù)，保障信息安全和系統(tǒng)安全穩(wěn)定運(yùn)行，維護(hù)國家利益、公共利益和社會穩(wěn)定，等級保護(hù)的核心是對信息系統(tǒng)特別是對業(yè)務(wù)應(yīng)用系統(tǒng)安全分等級、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。國家對信息安全等級保護(hù)工作運(yùn)用法律和技術(shù)規(guī)范逐級加強(qiáng)監(jiān)管力度，保障重要信息資源和重要信息系統(tǒng)的安全。

1.1 等級保護(hù)定級

信息系統(tǒng)的安全保護(hù)等級由兩個定級要素決定：等級保護(hù)對象受到破壞時所侵害的客體和對客體造成侵害的程度，其中等級保護(hù)對象受到破壞時所侵害的客體包括三方面：公民、法人和其他組織的合法權(quán)益，社會秩序、公民利益，國家安全。等級保護(hù)對象受到破壞后對客體造成侵害的程度分為三種：一般損害，嚴(yán)重?fù)p害，特別嚴(yán)重?fù)p害。定級要素與信息系統(tǒng)定級的關(guān)系見下表所示。

1.2 基本要求與主要流程

等級保護(hù)的基本要求是：各基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)，按照“準(zhǔn)確定級、嚴(yán)格審批、及時備案、認(rèn)真整改、科學(xué)測評”的要求完成等級保護(hù)的定級、備案、整改、測評等工作。公安機(jī)關(guān)和保密、密碼工作部門要及時開展監(jiān)督檢查，嚴(yán)格審查信息系統(tǒng)所定級別，嚴(yán)格檢查信息系統(tǒng)開展備案、整改、測評等工作。等級保護(hù)的主要流程包括6項(xiàng)內(nèi)容。

（1）自主定級與審批：信息系統(tǒng)運(yùn)營使用單位按照等級保護(hù)管理辦法和定級指南，自主確定信息系統(tǒng)的安全保護(hù)等級。有上級主管部門的，應(yīng)當(dāng)經(jīng)上級主管部門審批。跨省或全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由其主管部門統(tǒng)一確定安全保護(hù)等級。

（2）評審：在信息系統(tǒng)確定安全保護(hù)等級過程中，可以組織專家進(jìn)行評審。對擬確定為第4級以上信息系統(tǒng)的，運(yùn)營使用單位或主管部門應(yīng)當(dāng)邀請國家信息安全等級專家評審委員會評審。

（3）備案：第2級以上信息系統(tǒng)定級單位到所在地的市級以上公安機(jī)關(guān)辦理備案手續(xù)。

（4）系統(tǒng)安全建設(shè)：信息系統(tǒng)安全保護(hù)等級確定后，運(yùn)營使用單位按照慣例規(guī)范和技術(shù)標(biāo)準(zhǔn)，選擇管理辦法要求的信息安全產(chǎn)品，建設(shè)符合等級要求的信息安全設(shè)施，建立安全組織，制定并落實(shí)信息安全管理制度。

（5）等級測評：信息系統(tǒng)建設(shè)完成后，運(yùn)營使用單位選擇符合管理辦法要求的檢測機(jī)構(gòu)，對信息系統(tǒng)安全等級狀況開展等級測評。

（6）監(jiān)督檢查：公安機(jī)關(guān)依據(jù)信息安全等級保護(hù)管理規(guī)范，監(jiān)督檢查運(yùn)營使用單位開展等級保護(hù)工作，定期對第3級以上的信息系統(tǒng)進(jìn)行安全檢查。運(yùn)營使用單位應(yīng)當(dāng)接受公安機(jī)關(guān)的安全監(jiān)督、檢查、指導(dǎo)，如實(shí)向公安機(jī)關(guān)提供有關(guān)材料。

2 電力信息系統(tǒng)等級保護(hù)工作開展

2.1 信息系統(tǒng)定級及審批

2007年7月，公安部、國家保密局、國家密碼管理局、國務(wù)院信息辦聯(lián)合下發(fā)《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》（公信安[2007]861號），按照有關(guān)工作要求，國家電力監(jiān)管委員會開展了電力行業(yè)等級保護(hù)定級工作，并印發(fā)《關(guān)于開展電力行業(yè)信息系統(tǒng)安全等級保護(hù)定級工作的通知》（電監(jiān)信息[2007]34號），電力公司按照《國家電網(wǎng)公司信息系統(tǒng)安全保護(hù)等級定級指南（試行）》（信息技術(shù)[2007]60號）對公司信息系統(tǒng)進(jìn)行定級，按照要求填寫定級報(bào)告和備案表，并報(bào)送國家電力監(jiān)管委員會組織評審和審批。主要涉及4個3級系統(tǒng)、11個二級系統(tǒng)，具體見表2。

2.2 信息系統(tǒng)等級保護(hù)備案

公司完成信息系統(tǒng)的定級工作后，開始對信息系統(tǒng)進(jìn)行等級保護(hù)備案，認(rèn)真填寫《信息系統(tǒng)安全等級保護(hù)備案表》，梳理完成所有資料準(zhǔn)備后，于2011年向省公安廳提交了等級保護(hù)備案材料，最終公司15個管理信息系統(tǒng)完成了等級保護(hù)備案工作。

2.3 等級保護(hù)測評及整改工作

2011-2012年，按照國家電力監(jiān)管委員會要求，北京華電卓識信息安全測評技術(shù)中心相繼完成對公司電力市場交易系統(tǒng)、ERP系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、營銷管理等15個系統(tǒng)的等級保護(hù)測評工作。

公司積極組織、協(xié)調(diào)、配合測評隊(duì)伍，遵循“流程規(guī)范、方法科學(xué)、結(jié)論公正”的原則，按照國家等級保護(hù)測評工作的有關(guān)標(biāo)準(zhǔn)、規(guī)范的要求，根據(jù)《電力行業(yè)信息系統(tǒng)安全等級保護(hù)要求（試行）》開展測評工作，公司信息系統(tǒng)等級保護(hù)測評符合率達(dá)到95%以上，順利通過了等級保護(hù)測評，但是測評中還是發(fā)現(xiàn)了部分問題，主要包括：

（1）網(wǎng)絡(luò)設(shè)備不具備雙因子驗(yàn)證

根據(jù)國家《信息系統(tǒng)安全等級保護(hù)基本要求》規(guī)定，第2級以上（不含）信息系統(tǒng)網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別，按照此項(xiàng)基本要求，限于硬件條件，公司三級信息系統(tǒng)尚達(dá)不到安全防護(hù)要求。

（2）數(shù)據(jù)庫審計(jì)功能未開啟

根據(jù)國家《信息系統(tǒng)安全等級保護(hù)基本要求》規(guī)定，第2級及以上信息系統(tǒng)審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；系統(tǒng)不支持該要求的，應(yīng)以系統(tǒng)運(yùn)行安全和效率為前提。按照此項(xiàng)工作要求，公司部分系統(tǒng)未開啟數(shù)據(jù)庫審計(jì)功能，亦未部署第三方審計(jì)產(chǎn)品。

測評工作結(jié)束后測評人員對測評過程結(jié)果及以上問題進(jìn)行了反饋，公司根據(jù)測評中發(fā)現(xiàn)的各類問題做好問題整改工作，確保公司信息系統(tǒng)安全穩(wěn)定運(yùn)行。整改工作如下：

1）網(wǎng)絡(luò)設(shè)備未設(shè)置雙因子認(rèn)證。對于不具備雙因子驗(yàn)證條件的問題，公司正在加快建設(shè)統(tǒng)一數(shù)字認(rèn)證系統(tǒng)，系統(tǒng)上線后可實(shí)現(xiàn)雙因子驗(yàn)證。

2）數(shù)據(jù)庫審計(jì)功能未開啟。因開啟數(shù)據(jù)庫審計(jì)功能會對系統(tǒng)性能產(chǎn)生較大影響，公司近期計(jì)劃購置部署第三方審計(jì)產(chǎn)品。

3 結(jié)束語

電力公司近年來高度重視信息安全工作，信息安全等級保護(hù)工作卓有成效，通過落實(shí)信息安全等級保護(hù)制度，開展管理制度建設(shè)、技術(shù)措施建設(shè)、落實(shí)等級保護(hù)各項(xiàng)工作要求，使信息系統(tǒng)安全管理水平明顯提高，安全防護(hù)能力顯著增強(qiáng)，安全隱患和安全事故明顯減少，有效保障公司信息化工作健康發(fā)展，公司下一步工作重點(diǎn)應(yīng)著手對等級保護(hù)測評發(fā)現(xiàn)的各項(xiàng)問題進(jìn)行整改，保障公司網(wǎng)絡(luò)及信息系統(tǒng)安全穩(wěn)定運(yùn)行。

參考文獻(xiàn)：

[1]王雪莉.淺談信息安全等級保護(hù)問題[J].數(shù)字技術(shù)與應(yīng)用，2012.

[2]易振宇.電力信息系統(tǒng)等級保護(hù)實(shí)施淺談[J].信息安全與通信保密，2011.

篇4

在辦公室里指疾如風(fēng)地在鍵盤上敲打數(shù)據(jù)、處理工作的時候,你是不是也曾經(jīng)一次又一次對電腦屏幕右下角浮現(xiàn)的更新圖標(biāo)視而不見呢?即使已經(jīng)有提示框跳到屏幕中央,你是不是也會不耐煩地點(diǎn)擊“忽略”、“下次再提醒我”呢?除了升級本身會導(dǎo)致的電腦運(yùn)行緩慢,升級完成后必需的電腦重啟工作也讓人不勝其煩,而本來習(xí)慣的軟件界面和功能選項(xiàng)的不斷修訂也需要時間重新適應(yīng),在手頭業(yè)務(wù)繁忙的時候,一般的軟件更新簡直就是一場噩夢!

不過數(shù)據(jù)證明,逃避軟件更新雖然暫時保證了工作的流暢,卻為日后的信息安全埋下了隱患。知名信息安全廠商卡巴斯基實(shí)驗(yàn)室日前在報(bào)告中指出: 2010年第三季度在用戶計(jì)算機(jī)中檢測出的10個分布最廣泛的漏洞中,有多個是其供應(yīng)商在2007至2009年間就提供過相應(yīng)補(bǔ)丁程序的。造成這一局面的原因,就是很多用戶不經(jīng)常升級計(jì)算機(jī)中的軟件。

當(dāng)然,要規(guī)避這些危險并不是不可能的,如果出于節(jié)省時間和精力的目的不愿意經(jīng)常進(jìn)行常規(guī)軟件的更新和打補(bǔ)丁,那么就一定要配備具備超強(qiáng)時效性的安全解決方案,以應(yīng)對隨時可能出現(xiàn)的針對性漏洞攻擊。在這一方面,作為業(yè)內(nèi)唯一能做到每小時更新病毒庫的卡巴斯基無疑是相當(dāng)不錯的選擇。第一時間對新生惡意程序進(jìn)行響應(yīng),是無數(shù)企業(yè)的首要需求,也符合患有“更新恐懼癥”的員工們最迫切的需要。但是每小時更新是不是與用戶對不斷更新重啟這一軟件行為的排斥相矛盾呢?對于這一問題,卡巴斯基相關(guān)負(fù)責(zé)人表示,卡巴斯基企業(yè)版產(chǎn)品不會給用戶帶來這一方面的困擾,無論是病毒庫,還是反病毒模塊,只要是一般情況下的常規(guī)更新,都無需進(jìn)行計(jì)算機(jī)重啟,可大大減少對用戶日常工作的影響;而更新過程中亦不會降低電腦的運(yùn)行速度,除了因?yàn)榭ò退够捎玫男录夹g(shù)使用了更小的下載安裝包以外,還因?yàn)楦鲁绦蛲耆梢杂晒芾韱T統(tǒng)一設(shè)置為后臺運(yùn)行,用戶幾乎完全感覺不到這一過程。

俗話說:一物降一物。卡巴斯基前瞻性的防御技術(shù)、實(shí)時更新的反病毒數(shù)據(jù)庫和獨(dú)到的“后臺無干擾升級”,就是 “更新恐懼癥”的一大克星。而解決了這一看似不起眼的細(xì)節(jié)問題,才能確保反病毒數(shù)據(jù)庫的實(shí)時更新,從根本上保證企業(yè)的信息數(shù)據(jù)安全。

篇5

(訊)我們對二季度對計(jì)算機(jī)板塊表現(xiàn)持謹(jǐn)慎觀點(diǎn)，較高估值水平需要更多積極因素支撐。

回顧年初至今計(jì)算機(jī)行業(yè)運(yùn)行格局，與我們對2016年行業(yè)總基調(diào)的預(yù)期“振幅趨緩的鐘擺”之比喻相印證，長周期的下行趨勢是對前期計(jì)算機(jī)互聯(lián)網(wǎng)公司估值泡沫的持續(xù)擠壓，而近期反彈則是在注冊制暫緩、匯率走勢趨穩(wěn)、貨幣政策寬松等利好因素下對之前過快下行的修復(fù)，目前時點(diǎn)我們認(rèn)為行業(yè)整體估值再度回到合理估值中樞的上沿(2次鐘擺周期的上部)，在二季度可預(yù)見的諸因素中，市場對計(jì)算機(jī)行業(yè)盈利增速預(yù)期不斷下調(diào)、流動性繼續(xù)寬松的空間漸小及對美聯(lián)儲加息預(yù)期再度升溫的可能諸因素作用下，我們認(rèn)為行業(yè)再度向上的空間已然有限，故而對二季度行業(yè)總體表現(xiàn)持謹(jǐn)慎態(tài)度，機(jī)會來自于對結(jié)構(gòu)性機(jī)會的把握，重點(diǎn)看好在線教育、信息安全、企業(yè)云服務(wù)等細(xì)分領(lǐng)域。

關(guān)注結(jié)構(gòu)性投資機(jī)會，重點(diǎn)推薦在線教育、信息安全和企業(yè)服務(wù)等細(xì)分領(lǐng)域的投資機(jī)會。

在線教育：行業(yè)進(jìn)入洗牌期，回歸教育本質(zhì)的模式是最好的模式。之前處于風(fēng)口的在線平臺、題庫、家教020等領(lǐng)域已經(jīng)進(jìn)入洗牌期，行業(yè)格局逐漸清晰，未來我們看好深耕B端(公立學(xué)校、教育行政部門)并引導(dǎo)C端變現(xiàn)的模式，短期來看線下渠道資源是核心，后續(xù)產(chǎn)品和內(nèi)容端的優(yōu)勢將逐漸凸顯，資源整合是關(guān)鍵，看好拓維信息、科大訊飛、立思辰等公司的成長空間。

信息安全：根據(jù)我們多行業(yè)比較研究及調(diào)研情況看，信息安全行業(yè)作為計(jì)算機(jī)行業(yè)中最具成長性的細(xì)分領(lǐng)域之一，未來在國家強(qiáng)力政策推動及下游黨政軍、金融、電信、工控等領(lǐng)域訂單快速提升的雙重作用下，正逐步進(jìn)入成長提速期，行業(yè)具備較高中長期投資價值，且首個國家安全教育日來臨，有望成為提振行業(yè)短期表現(xiàn)的催化劑，故我們給予此細(xì)分領(lǐng)域重點(diǎn)推薦。標(biāo)的選擇方面，我們重點(diǎn)推薦啟明星辰(信息安全綜合解決方案龍頭)、立思辰(內(nèi)容及數(shù)據(jù)安全領(lǐng)域新貴)和優(yōu)炫軟件(操作系統(tǒng)、數(shù)據(jù)庫安全細(xì)分領(lǐng)域龍頭)。(來源：中泰證券 文/李振亞 編選：中國電子商務(wù)研究中心）