国家网络信息安全等级

国家网络信息安全等级（通用9篇）

国家网络信息安全等级 篇1

《信息安全等级保护管理办法》 四部委下发公通字[2007]43号文 《信息安全等级保护管理办法》是为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规而制定的办法。由四部委下发，公通字200743号文。2 制定目的 规范信息安全等级保护管理。文号

公通字200743号文 第一章 总则 第一条

为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。第二条

国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。第三条

公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。第四条

信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。第五条

信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。

第二章 等级划分与保护 第六条

国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。第七条

信息系统的安全保护等级分为以下五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造 1

成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。第八条

信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。

第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。第三章等级保护的实施与管理 第九条

信息系统运营、用单位应当按照《信息系统安全等级保护实施指南》 具体实施等级保护工作。第十条

信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护 等级专家评审委员会评审。第十一条

信息系统的安全保护等级确定后，运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，开展信息系统安全建设或者改建工作。第十二条

在信息系统建设过程中，运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护基本要求》等技术标准，参照《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）、《信息安全技术网络基础安全技术要求》（GB/T20270-2006）、《信息安全技术 操作系统安全技术要求》（GB/T20272-2006）、《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006）、《信息安全技术服务器技术要求》、《信息安全技术终端计算机系统安全等级技术要求》（GA/T671-2006）等技术标准同步建设符合该等级要求的信息安全设施。第十三条

运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》（GB/T20269-2006）、《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006）、《信息系统安全等级保护基本要求》等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度。第十四条

信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。

第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每 半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查。经测评或者自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位应当制定方案进行整改。第十五条

已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30 日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。第十六条

办理信息系统安全保护等级备案手续时，应当填写《信息系统安全等级保护备案表》，第三级以上信息系统应当同时提供以下材料：

（一）系统拓扑结构及说明；

（二）系统安全组织机构和管理制度；

（三）系统安全保护设施设计实施方案或者改建实施方案；

（四）系统使用的信息安全产品清单及其认证、销售许可证明；

（五）测评后符合系统安全保护等级的技术检测评估报告；

（六）信息系统安全保护等级专家评审意见；

（七）主管部门审核批准信息系统安全保护等级的意见。

第十七条

信息系统备案后，公安机关应当对信息系统的备案情况进行审核，对符合等级保护要求的，应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明；发现不符合本办法及有关标准的，应当在收到备案材料之日起的10个工作日内通知备案单位予以 纠正；发现定级不准的，应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。运营、使用单位或者主管部门重新确定信息系统等级后，应当按照本办法向公安机关重新备案。第十八条

受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次，对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查，应当会同其主管部门进行。对第五级信息系统，应当由国家指定的专门部门进行检查。公安机关、国家指定的专门部门应当对下列事项进行检查：

（一）系统安全需求是否发生变化，原定保护等级是否准确；

（二）运营、使用单位安全管理制度、措施的落实情况；

（三）运营、使用单位及其主管部门对信息系统安全状况的检查情况；

（四）系统安全等级测评是否符合要求；

（五）信息安全产品使用是否符合要求；

（六）对信息系统开展等级测评的技术测评报告；

（七）信息安全产品使用的变更情况；

（八）信息安全事件应急预案，信息安全事件应急处置结果报告；

（九）信息系统安全建设、整改结果报告。

第二十条

公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的，应当向运营、使用单位发出整改通知。运营、使用单位应当根据整改通知要求，按照管理规范和技术标准进行整改。整改完成后，应当将整改报告向公安机关备案。必要时，公安机关可以对整改情况组织检查。

第二十一条

第三级以上信息系统应当选择使用符合以下条件的信息安全产品：

（一）产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在中华人民 共和国境内具有独立的法人资格；

（二）产品的核心技术、关键部件具有我国自主知识产权；

（三）产品研制、生产单位及其主要业务、技术人员无犯罪记录；

（四）产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能；

（五）对国家安全、社会秩序、公共利益不构成危害；

（六）对已列入信息安全产品认证目录的，应当取得国家信息安全产品认证机构颁发的认证证书。第二十二条

第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评：

（一）在中华人民共和国境内注册成立（港澳台地区除外）；

（二）由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；

（三）从事相关检测评估工作两年以上，无违法记录；

（四）工作人员仅限于中国公民；

（五）法人及主要业务、技术人员无犯罪记录；

（六）使用的技术装备、设施应当符合本办法对信息安全产品的要求；

（七）具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度；

（八）对国家安全、社会秩序、公共利益不构成威胁。第二十三条

从事信息系统安全等级测评的机构，应当履行下列义务：

（一）遵守国家有关法律法规和技术标准，提供安全、客观、公正的检测评估服务，保证测评的质量和效果；

（二）保守在测评活动中知悉的国家秘密、商业秘密和个人隐私，防范测评风险；

（三）对测评人员进行安全保密教育，与其签订安全保密责任书，规定应当履行的安全保密义务和承担的法律责任，并负责检查落实。第四章 涉密信息系统的分级保护管理

第二十四条

涉密信息系统应当依据国家信息安全等级保护的基本要求，按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准，结合系统实际情况进行保护。非涉密信息系统不得处理国家秘密信息。第二十五条

涉密信息系统按照所处理信息的最高密级，由低到高分为秘密、机密、绝密三个等级。涉密信息系统建设使用单位应当在信息规范定密的基础上，依据涉密信息系统分级保护管理办法和国家保密标准BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确 定系统等级。对于包含多个安全域的涉密信息系统，各安全域可以分别确定保护等级。保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。第二十六条

涉密信息系统建设使用单位应当将涉密信息系统定级和建设使用情况，及时上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案，并接受保密部门的监督、检查、指导。

第二十七条

涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准，按照秘密、机密、绝密三级的不同要求，结合系统实际进行方案设计，实施分级保护，其保护水平

总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。第二十八条

涉密信息系统使用的信息安全保密产品原则上应当选用国产品，并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测，通过检测的产品由国家保密局审核发布目录。

第二十九条

涉密信息系统建设使用单位在系统工程实施结束后，应当向保密工作部门提出申请，由国家保密局授权的系统测评机构依据国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》，对涉密信息系统进行安全保密测评。涉密信息系统建设使用单位在系统投入使用前，应当按照《涉及国家秘密的信息系统审批管理规定》，向设区的市级以上保密工作部门申请进行系统审批，涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统，其建设使用单位在按照分级保护要求完成系统整改后，应当向保密工作部门备案。

第三十条

涉密信息系统建设使用单位在申请系统审批或者备案时，应当提交以下材料：

（一）系统设计、实施方案及审查论证意见；

（二）系统承建单位资质证明材料；

（三）系统建设和工程监理情况报告；

（四）系统安全保密检测评估报告；

（五）系统安全保密组织机构和管理制度情况；

（六）其他有关材料。第三十一条

涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、安全保密管理责任单位变更时，其建设使用单位应当及时向负责审批的保密工作部门报告。保密工作部门应当根据实际情况，决定是否对其重新进行测评和审批。第三十二条

涉密信息系统建设使用单位应当依据国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》，加强涉密信息系统运行中的保密管理，定期进行风险评估，消除泄密隐患和漏洞。第三十三条

国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理，并做好以下工作：

（一）指导、监督和检查分级保护工作的开展；

（二）指导涉密信息系统建设使用单位规范信息定密，合理确定系统保护等级；

（三）参与涉密信息系统分级保护方案论证，指导建设使用单位做好保密设施的同步规划设计；

（四）依法对涉密信息系统集成资质单位进行监督管理；

（五）严格进行系统测评和审批工作，监督检查涉密信息系统建设使用单位分级保护管理制度和技术措施的落实情况；

（六）加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评，对绝密级信息系统每年至少进行一次保密检查或者系统测评；

（七）了解掌握各级各类涉密信息系统的管理使用情况，及时发现和查处各种违规违法行为和泄密事件。第五章

信息安全等级保护的密码管理 第三十四条

国家密码管理部门对信息安全等级保护的密码实行分类分级管理。

根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度，被保护对象的安全防护要求和涉密程度，被保护对象被破坏后的危害程度以及密码使用部门的性质等，确定密码的等级保护准则。信息系统运营、使用单位采用密码进行等级保护的，应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。第三十五条

信息系统安全等级保护中密码的配备、使用和管理等，应当严格执行国家密码管理的有关规定。

第三十六条

信息系统运营、使用单位应当充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的，应报经国家密码管理局审批，密码的设计、实施、使用、运行维护和日常管理等，应当按照国家密码管理有关规定和相关标准执行；采用密码对不涉及国家秘密的信息和信息系统进行保护的，须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准，其密码的配备使用情况应当向国家密码管理机构备案。第三十七条

运用密码技术对信息系统进行系统等级保护建设和整改的，必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护，不得采用国外引进或者擅自研制的密码产品；未经批准不得采用含有加密功能的进口信息技术产品。第三十八条

信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担，其他任何部门、单位和个人不得对密码进行评测和监控。第三十九条

各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评，对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中，发现存在安全隐患或者违反密码管理相关规定或者未达 到密码相关标准要求的，应当按照国家密码管理的相关规定进行处置。第六章 法律责任 第四十条

第三级以上信息系统运营、使用单位违反本办法规定，有下列行为之一的，由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正；逾期不改正的，给予警告，并向其上级主管部门通报情况，建议对其直接负责的主管人员和其他直接责任人员予以处理，并及时反馈处理结果：

（一）未按本办法规定备案、审批的；

（二）未按本办法规定落实安全管理制度、措施的；

（三）未按本办法规定开展系统安全状况检查的；

（四）未按本办法规定开展系统安全技术测评的；

（五）接到整改通知后，拒不整改的；

（六）未按本办法规定选择使用信息安全产品和测评机构的；

（七）未按本办法规定如实提供有关文件和证明材料的；

（八）违反保密管理规定的；

（九）违反密码管理规定的；

（十）违反本办法其他规定的。

违反前款规定，造成严重损害的，由相关部门依照有关法律、法规予以处理。第四十一条

信息安全监管部门及其工作人员在履行监督管理职责中，玩忽职守、滥用职权、徇私舞弊的，依法给予行政处分；构成犯罪的，依法追究刑事责任。第七章 附则

第四十二条

已运行信息系统的运营、使用单位自本办法施行之日起180日内确定信息系统的安全保护等级；新建信息系统在设计、规划阶段确定安全保护等级。第四十三条本办法所称“以上”包含本数（级）。第四十四条本办法自发布之日起施行，《信息安全等级保护管理办法（试行）》（公通字[2006]7 7

号）同时废止。

国家网络信息安全等级 篇2

沈昌祥:党的十八大报告指出:世界仍然很不安宁。……, 粮食安全、能源资源安全、网络安全等全球性问题更加突出。报告也重点提出了如下要求:建设下一代信息基础设施, 发展现代信息技术产业体系, 健全信息安全保障体系, 推进信息网络技术广泛运用。……高度关注海洋、太空、网络空间安全。

同时, 近期出台的美国网络空间战略表明, 网络空间已经成为陆、海、空、天之后的第五大主权领域空间, 也是国际战略在军事领域的演进。这对我国网络信息安全提出了严峻的挑战。我们应积极应对, 加快建设我国信息安全保障体系, 捍卫我国信息安全国家主权。

总而言之, 做好我国信息安全保障, 已成为关系国计民生乃至国家安全与稳定的重大事宜。

必须指出的是, 信息安全等级保护作为我国信息安全保障的基本制度, 需要从技术和管理两个方面进行安全建设, 做到可信、可控、可管;并且, 高安全信息系统要具有抵御来自敌对组织高强度连续攻击 (APT) 的能力, 以及防止内部人员内外勾结攻击的能力。

当然, 我国在信息安全等级保护工作方面, 也早已有了相关文件出台。2004年9月15日由公安部、国家保密局、国家密码管理局和国信办联合下发《关于信息安全等级保护工作的实施意见》明确实施等级保护的基本做法。2007年6月22日又由四单位联合下发《信息安全等级保护管理办法》 (43号文件) , 规范了信息安全等级保护的管理。

记者:我注意到您近期在相关报告中提到了有关“云计算”、“三网融合”以及“物联网”等在内的新型信息技术的发展与应用的话题。您认为, 我国信息安全面临的新问题与新挑战有哪些?您能具体谈谈吗?

沈昌祥:当前, 我国信息化发展正进入全面深化的新阶段, 包括工业控制信息化、三网融合、物联网、云计算在内的多种新型信息技术的发展与应用, 给我国网络与信息安全保障工作提出了新任务, 对信息安全等级保护工作形成了全面挑战。

在工业控制系统方面, 2010年“震网”病毒事件破坏了伊朗核设施, 震惊全球。这标志着网络攻击从传统“软攻击”阶段升级为直接攻击电力、金融、通信、核设施等核心要害系统的“硬摧毁”阶段。应对APT已成为确保国家关键基础设施安全, 保障国家安全、社会稳定、经济发展、人民生活安定的核心问题。而传统的封堵安全防护做法难以解决封闭实时处理的工业控制系统安全问题。

在三网融合方面, 电信网、广电网和互联网三网融合后, 信息安全风险将主要来自于网络开放性、终端复杂性、信息可信性等方面。信息量急剧增加, 信息内容控制将对信息保密防范技术提出更高要求。终端智能化和移动等多接入方式, 使其将面临更复杂的攻击。另外, 大规模的用户数量将给监管带来重大挑战。也存在原有法律与三网融合新要求相冲突的问题。建立新的监管体制和法律体系已迫在眉睫。

在物联网方面, 物联网将传感、通信和信息处理整合成网路系统。把物品与互联网连接起来, 实现智能化识别、定位、跟踪监控和管理, 这必然会成为影响社会稳定、国家安全的重要因素之一。物联网运用大量感知节点 (智能设备和传感器) , 将成为窃取情报、盗窃隐私的攻击对象, 而且庞大节点以集群方式连接将对网络通信的依赖更加敏感, 对分布式的物联网核心网络的管理平台安全性、可信性要求更高。另外, 对数据传输的安全性和身份认证的可信性提出了更高的要求。

最后一个方面是云计算。云计算是一种能够动态伸缩的虚拟化资源, 通过网络以服务的方式提供给用户的计算模式, 用户不需要知道如何管理那些支持云计算的基础设施。类似宾馆服务模式, 其安全风险在于: (1) 由不可控、不可信的云经营商统管IT资源和计算基础设施。 (2) 更大规模异构共享和虚拟动态的运营环境难以控制。如何保证云中IT资源安全、用户隐私保护以及云计算环境的可信可靠, 已成为阻碍云计算进一步发展的主要因素。另外, 制定相应的云计算法律法规, 明确用户和运营商法律责任也是发展云计算必不可少的。

记者:最后, 您认为我国信息安全等级保护工作应遵循什么原则展开?如何构建等级保护技术框架, 您能给我们举个例子简单说一说吗?

沈昌祥:总的来说, 我国信息安全等级保护工作要坚持正确的技术路线, 从国情出发, 按需适度安全, 逐步发展完善。具体来讲, 我认为要做到以下五点:首先, 要加强定级对象信息系统整体防护, 建设管理中心支持下的计算环境、区域边界、通信网络三重防护体系结构。第二, 要重点做好操作人员使用的终端防护, 把住攻击发起的源头关, 做到操作使用安全。第三, 防内为主, 内外兼防, 提高计算节点自身防护能力, 减少从外部入口上的封堵。第四, 加强技术平台支持下的安全管理, 应与业务处理、监控及日常安全管理制度相结合。第五, 为便于技术方案实施, 整改时不改或少改原有的应用系统。以信息处理流程制定安全策略, 实施访问控制。

信息网络与国家安全 篇3

客观上说，网络自身不可克服的漏洞，加上网络攻击的高度隐蔽性，给网络作战提供了可乘之机。网络安全的漏洞是由网络系统的高度复杂性所决定的。从网络通信平台、网络协议到网络应用服务，从操作系统、系统软件、程序设计语言到应用软件，从系统安全配置、用户操作到安全管理等都可能存在这样或那样的安全漏洞。尽管已发现的安全漏洞可以被修补，但几乎每天总会有新的安全漏洞被发现；操作系统和应用软件在不断更新的同时也在产生着新的漏洞。可以说，组成网络系统的硬件和软件越多样化、异构化，那么存在安全漏洞的可能性就越大，每一个网络系统都有已被发现的或潜在的、未被发现的各种安全漏洞，不存在绝对安全的网络系统。随着各国对网络战研究的深入，网络战所发挥的作用已与核武器等同甚至超过核武器。像美国重要智库兰德公司提出了“战略战”的概念，认为战略战是一种破坏性极大的“顶级”作战形式，它实施的成败关系到国家的安危与存亡。兰德公司指出，工业时代的战略战是核战争，信息时代的战略战主要是网络战。

信息领域的技术失衡正在加剧

目前，在信息网络飞速发展的同时，也必须看到，信息领域的技术失衡正在加剧。根据联合国的资料，全球收入最高的人口占全世界总人口的20％，但他们却拥有全球国内生产总值的86％，其互联网用户总数占世界互联网用户总数的93％；而在收入最低国家中生活的同样数量的人口仅拥有全球国内生产总值的1％，其互联网用户总数仅占全球互联网用户总数的0．2％。

目前网络上的经济、政治失衡现象已经非常严重。美国作为因特网的诞生地，也是目前因特网运用最深入、最广泛的国家。目前在全球信息产业中，CPU的产量美国占到92％，系统软件的产量占86％，微软的WINDOWS系统占全球操作系统份额的95％以上。美国的电子商务占全球总量的3／4，商业网站占全球总数的90％。世界性的大型数据库有3000个，70％设在美国；全球13台顶极域名服务器，10台设在美国，仅有3台分别设在伦敦、斯德哥尔摩和东京。这些数据，均大大超过美国GDP占世界总量的份额。

目前，美国信息产业对经济增长的贡献率为33％以上，比钢铁、汽车、建筑三大支柱产业的总和还要多。从事科研管理、金融、流通和服务等非物质生产的人数，已大大超过从事物质生产的人数，约占社会总劳力的4／5。由于在CPU、网络和应用软件的垄断地位，美国能够主导有利于美国的因特网产业技术标准，并可以较自由地通过网络进行高技术管制，通过网络进行全球谍报监控。

同时，为了迟滞其他国家的发展步伐，西方国家还有一个“反跨越机制”。所谓反跨越机制是指西方军事强国为了最大限度地拉开与落后者的差距，采取技术封锁、控制技术转让、全面垄断最新军事科技和武器装备等措施，使落后者减缓跨越步伐和降低跨越幅度。美国国防部颁布的《2020年联合构想》明确提出：“美国在军事技术关键领域要与中小国家保持1-2个时代的差距；与其他西方大国也要保、持1个时代内的1-2代的武器装备差距。”

为此，发展中国家如果想要在信息安全领域有所作为的话，必须发展自己的信息产业。

应对网络安全的思考

网络攻击，作为一种具有威慑力的全新的作战手段，它在一定程度上改变了弱守强攻的传统的作战法则，为劣势一方开辟了一条进攻的新途径。所以，从一定意义上说，越是信息网络发达的国家，越惧怕网络攻击。网络技术是一把双刃剑，它要求人们研究网络进攻手段战法，提高己方的网络攻击能力的同时，还要着力增强己方信息系统的安全防御能力，也就是信息防御。

网络防御，是守护“信息边疆”的盾牌。据统计，美军在没有采取防御措施前，闯入信息系统的成功率为46％(23％完全成功)，报告发现只有13％。使用监控防护手段后，闯入成功率下降到近12％，完全成功的只有2％。而现在为止，还没有完成侵入美国核心网的成功先例。

现在世界各国特别是一些发达国家，都把培养高智能和多知识的网络战方面的人才作为一项重要的战略任务，大家都知道，你要不懂网络技术，你就没有办法从事网络战。有时把这类人称为“黑客”，但过去我们对“黑客”在认识上有点偏差，以为黑客就是一些专门在网上捣蛋的人，实际上这是一个误区，黑客其实就是网络战或者网络技术里面的一些高手，在战争或者网络战中，他既是网络安全一种潜在的危险，同时也是网络攻击的一种武器，问题是看这些黑客掌握在谁的手里，为谁服务。

进入20世纪90年代后，美国军方竟然开出55万美元来悬赏新型病毒的发明者，并要求新病毒产品比当前流行的更精巧，应对敌方有线和无线的计算机系统具有感染、潜伏、预定和需要时激活的破坏能力，同时美国国防部还公开招募黑客入伍。当今，世界各军事强国都在紧锣密鼓地抓紧培养未来的“网络战士”。英国、法国和俄罗斯等国也相继提出了本国“未来战士系统”和“先进战斗士兵系统”等计划；日本、韩国、以色列等国则成立了网络战分队。1995年，美军第一代16名“网络战士”从美国国防大学信息资源管理学院毕业。美国国防部已把掌握高技巧的黑客和具有广博计算机知识的人组织起来，成立了信息战“红色小组”，并参加了1997年6月由美国国家安全局举行的“合格接收者”秘密演习，其结果使美国国防部的高级官员深感震惊。几名黑客小组4天之内就成功闯入了美军驻太平洋司令部以及华盛顿、芝加哥、圣路易斯和科罗拉多洲部分地区的军用计算机网络，并控制了全国的电力网系统。可以预见，信息网络时代必然引出新的作战方式和新的兵种，网络战部队必将成为未来战场上的新军。

国家网络信息安全等级 篇4

2017年4月28日，91金融旗下91旺财正式通过国家“信息系统安全等级保护”测试，获得公安部核准颁发国家信息安全等级保护备案证明三级证明，安全标准达到国家非银机构最高评级，成为《网络借贷信息中介机构业务活动管理暂行办法》正式出台后，在网络信息安全方面完成信息系统定级备案的平台之一。

安全标准达到国家非银机构最高评级

据了解，信息安全等级保护是依据《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》和《信息安全等级保护管理办法》对信息系统安全等级保护状况进行检测评估的活动。从公开信息得知，公安部信息系统安全等级保护共分为五级，级别越高越安全。现有评选标准上，第三级属于“监管级别”，是非银行金融机构能够获得的最高级别信息安全认证。据统计，截至目前，我国仅有120余家网贷平台通过等级保护测评，约占总运营平台的5.6%。

本次测评中，公安部对91旺财网贷核心系统承载业务、网络结构、系统资产、安全服务、安全环境威胁评估等多项内容进行了严格审查，最终予以备案。这说明了91旺财在技术安全、系统管理、应急保障等方面已经达到了国家标准，建立了完备的网络信息安全保护体系。

坚守安全，既是底线，更是责任

近年来，互联网金融迅猛发展，安全问题一直是网贷行业的痛点，特别是在用户信息泄露，平台稳定安全方面，拥有一个安全的信息保密、安全交易环境是互联网金融平台发展的根本。

随着《网络借贷信息中介机构业务活动管理暂行办法》的发布，网络安全已经上升为网贷平台合规的必要条件。《办法》明确要求：网贷平台应当按照国家网络安全相关规定和国家信息安全等级保护制度的要求，开展信息系统定级备案和等级测试，具有完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度。

91投资、91众创空间、91金融创始人、董事长、CEO许泽玮表示，安全问题不仅是监管层要求网贷平台坚守的底线，更是平台对用户的一种责任。只有确保用户资金与信息安全，才能建立相互间的信任，推动公司长远发展。

国家网络信息安全等级 篇5

如何保护隐私构建一个安全的信息网络，其实方法很多，比如对于每一个数据的使用都要有告知和许可的过程，一旦出现问题，使用数据者需要负责任等。但最关键的还是政策法规要有可操作性，否则制定了实施效果不好，会大打折扣。——英特尔(中国)研究院首席工程师 吴甘沙

安全性已成为限制我国电子商务进一步发展的瓶颈问题，既需要国家加强网络安全建设，加大对互联网黑色产业链的打击，保障网络安全，也需要进一步完善电子支付的制度环境和基础设施，保障网上交易的安全便捷。——全国人大代表、腾讯董事局主席 马化腾

个人信息是个人权益的组成部分，需要长效机制来保护。要真正实现有效保护个人信息，需要加快个人信息保护的立法进程，制订互联网个人信息保护法，从民事的角度出发，全面地保护个人信息。

——全国政协委员、苏宁云商董事长 张近东

我们要提高安全意识，提高警惕性。要重视自主安全，建立自主可控的信息产业体系。这需要政府的支持，科研院所、科技企业的共同努力。建立自主可控的技术平台，采用“应用牵引、系统优化、形成体系”的措施建立技术产业根据地，建立有威慑力的知识产权体系。——中国科学院计算技术研究所研究员 胡伟武

为了维护国家网络空间安全，政府有关方面承担着重大的责任。与发达国家相比，我们在 观念认识、战略制定、组织保障、规章制度、技术手段等方面都有很大差距。同时，我们从事信息安全业务的企业也普遍规模较小、创新能力不足，当前要维护国家 信息安全还是一个很大的挑战。当然，这也是一个发展的机遇。——中国工程院院士 倪光南

‘棱镜’事件凸显出我们对国家级攻击的应对能力不足，因此未来要努力改进的不只是某个点上的技术措施，还有综合安全能力的提升。应尽快出台国家整体战略，通过政策法规、技术建设、产业发展、外交战略等各方面的明确与配合，才有可能从根本性的角度使问题有所改善。

国家网络信息安全等级 篇6

摘要：随着科技的进步，企业办公信息化、智能化程度显著提升，随之而来的信息安全问题日益突出。企业经营考虑信息化设备创造的利益时，需兼顾互联网开放性造成的风险。针对以上问题，国家严格规范信息系统等级保护工作流程，根据系统的重要性和影响范围划分定级，按照系统级别的不同实施区别化管理。此外，依照信息系统等级保护工作的“三同步”原则（同步规划、同步设计、同步投入运行），在信息系统应用建设的各环节进行标准化管理，规范了信息系统事件的定级、测评、备案、安全整改以及职责等工作标准，同时，明确了检查考核、管理与技术措施，促进供电企业信息专业能力不断提升，充分调动公司各专业的积极性和协调性，有效提高公司信息系统安全管理水平和保护能力。

关键词：信息安全；等级保护；信息系统管理背景简介

通常情况下，企业信息系统管理普遍存在以下问题：（1）信息系统规划阶段侧重于系统功能应用，未提出信息系统安全保护；（2）信息系统设计阶段缺少安全方案的同步设计；（3）信息系统上线运行阶段，未建立安全性测试机制，投运前缺少系统软件恶意代码检测、源代码后门审查、漏洞查找、渗透测试、运行环境测试和等级测评等安全性测评环节。针对以上问题，信息安全等级保护在企业信息系统管理工作中发挥至关重要的作用。信息安全等级保护工作包括定级、备案、安全建设与整改、信息安全等级测评以及信息安全检查五个阶段，覆盖信息系统规划—设计—开发—测试—实施—应用上线与上架—运维的整个生命周期[1]。信息安全等级保护工作的管理思路

根据目前信息系统管理的暴露的缺点，公司将信息系统安全建设作为安全等级保护工作的重点，围绕信息系统应用建设的各个阶段，结合等级保护要求，实现信息系统建设过程的安全管理，有效降低了信息系统上线后的安全隐患，保障了信息系统的安全稳定运行。

2.1 规划阶段

信息系统规划初期，通过建立合理的信息系统安全管理体系、工作要求和工作流程，结合公司实际情况，将系统测评费用纳入其中。

2.2 设计阶段

系统设计阶段，公司要求系统建设部门提交信息系统的安全防护总体方案。对于需要开展安全方案设计的信息系统，在系统定级后，系统建设项目负责部门应组织系统运维单位和系统开发实施单位，根据系统安全防护等级，遵照相关行业信息安全等级保护基本要求和公司信息安全防护总体方案等，制定系统安全防护方案。

2.3 开发阶段

各系统建设部门是信息系统的用户方，必须严格要求系统开发部门遵守相应原则，如使用正版的操作系统、配置强口令、信息系统测试合格正式书等，从而保证系统投运时的实用性和效率。

2.4 测试阶段

系统建设部门组织定级系统，通过具有国家资质的测评机构对系

统进行安全测评，并在当地公安机关网监部门进行定级和备案工作。

2.5 实施阶段和应用上线

各级信息通信职能管理部门，督促检查本单位及下属单位等级保护工作，同时，要求各系统建设部门在信息系统实施阶段，确保系统完成测评整改工作。

2.6 运维阶段

根据“谁主管谁负责，谁运行谁负责”的工作原则，各系统主管部门合理分配部门人员的管理和运维工作，制定所管辖区域的系统安全隐患整改、数据备份以及其他相关安全加固措施。信息系统管理的工作机制

通过信息系统等级保护方案，公司要在系统应用建设全过程中加入安全防护机制，规范信息系统事件的定级、测评、备案、安全整改以及职责等工作标准。此外，为进一步促进等级保护工作的有效执行，公司明确了相应的检查考核管理措施，完善信息系统安全工作的全面管理。

3.1 考评机制

建立相关考评机制。由信息化职能管理部门负责对公司信息专业工作进行标准化管理考评、考核工作，即检查各相关单位网络与信息安全工作的开展情况，并根据上级部门的实时反馈进行整改，从公司信息系统正常运行到信息内外网安全，实施监督和管控，纳入各单位年度绩效指标考核。

3.2 协同机制

成立信息化领导小组及办公室，开展协同控制工作。建立关于信息安全工作的协调机制，明确公司各部门网络与信息安全工作职责，具体负责组织开展信息系统安全等级保护工作，协调、督导信息系统建设部门进行定级、备案、等级测评和安全整改等工作。另外，针对信息系统测评和评估所发现的问题，责任单位制定完善的安全整改方案并认真落实。

3.3 例会机制

例会机制主要通过信息系统等级保护集中工作实现，定期召开信息专业网络安全会议，通过会议通报各单位存在的问题和下一步改进措施。结语

本文提出了一种基于等级保护的信息系统管理工作思路。一方面，从信息系统全生命周期着手，在系统应用建设的各环节加入安全管理工作；另一方面，完善信息系统管理工作机制，通过建立合理的考评机制、协同机制和例会机制，优化系统管理手段。根据以上管理思路，不仅在工作流程上对信息系统进行了安全防护加固，而且制定了相应的管理手段，促进企业信息系统管理工作水平的提升。

参考文献

国家网络信息安全等级 篇7

关键词：信息化,网络安全,职业教育,人才培训

习近平指出:“没有网络安全就没有国家安全, 没有信息化就没有现代化。”这再次体现了中国最高层全面深化改革、加强顶层设计的意志, 显示出在保障网络安全、维护国家利益、推动信息化发展的决心。

1 加强网络安全职业教育人才培训的必要性

我国网络安全与信息化整体将进入一个新的发展阶段。截止2014年6月, 中国网民达6.32亿, 手机网民达5.27亿, 占比达83.4%, 人均上网达25.9小时/周, 同比增加了0.9小时。中国已是名副其实的“网络大国”, 但还不是“网络强国”, 因为中国是网络被攻击的主要国。腾讯安全在2014年新发现电脑病毒1.35亿个, 同比增加31.9%;手机端上新增病毒包100.33万个, 同比增长31.4%, 网民们面临的病毒威胁有增无减。从地域分布来看, 省级城市和直辖市等城市的网民被骗率最高。

2014年2月27日, 中央网络安全和信息化领导小组成立, 习近平任组长, 亲自主持召开第一次会议并指出:“没有网络安全就没有国家安全”。该领导小组从表面上看, 与20世纪90年代设置的国家信息化领导小组的总体格局差不多, 但实际上却发生了重大变化:第一, 新组建的中央网络安全与信息化领导小组, 已经不是国家层面上的, 而是在党中央层面上设置的一个高层议事协调机构。第二, 过去担任组长的已经是政府的最高首脑——总理, 现在是党的最高领导——总书记, 这将从根本上改变以前国务院总理担任国家信息化领导小组组长时, 难以协调党中央、军委、人大等的一些弊端, 大大提高了小组总体的整体规划能力和高层协调能力。第三, 该小组把网络安全放在更突出的位置。

2 网络安全职业教育人才培训存在的问题

十六次院校会议在十五次院校会议的基础上进一步对职业院校教育进行了规划, 这次院校会议给职业教育带来了许多新的变化, 很多院校都处于改革转型中, 有关网络安全职业教育人才的培训目前主要存在两个问题, 一是缺乏专业培训机构。目前院校职业教育人才有关网络安全培训基本依托计算机网络等相关专业开展, 没有网络安全的职业教育人才专业;二是培训任务不明晰。职业教育人才教育的规模和层次进一步扩大, 越来越多的院校开始承担职业教育人才教育, 职业教育人才学校数量在原有基础上增加了一倍, 很多院校正由学历教育培训转型为职业教育培训, 教学内容也在做相关变化, 但有关二者之间的区别目前不够明晰。

3 信息化条件下网络安全职业教育人才的培训

3.1 加强教育训练转型, 不断提高人才队伍的培育质量

教育训练的转型关键在于要转变学校领导和全体教职工的思想观念, 要实现教育教学转型, 要从以下几点做抓手:第一, 要转型教学培养目标。要根据职业教育和人才培育的特点, 以基础够用、专业管用的原则, 能力培养的主线, 把实践教学作为重点, 科学合理的确定培养目标。第二, 要转型教学培训内容。教学内容的转型是实现学员目标实现转型的核心。第三, 要转型教学方法手段。教学方式转型是实现教学目标转型的保障。第四, 要转型考评的方式。积极探索实施院校与企业共同考评的方式, 才能确保人才培训质量的全程可控、扎实有效。第五, 要转型科研需求。科研是理论创新和技术突破的根本方法, 按照院校转型的要求, 院校应是人才培养基地和未来战争的实验室。

3.2 创建特色课程体系, 突出实践特色

一是明确主干课程, 扩大选修课, 压缩必修课。开设覆盖多个学科领域的“概论课”、融合相邻学科的“集成课”、同一学科不同分支的“系列课”、跨学科的交叉“边缘课”。二是在教育训练中培养学员专业训练素质。打破陈旧的教学模式, 解放思想, 开拓思路, 培养学员的研究创新意识, 为培养未来信息化网络安全核心技能人才探索科学发展的道路。

3.3 注重人才培养, 培养特色教师队伍

要积极构建一支特色的“双师型”教师队伍, 逐步实现单一型向符合型转变。一是教师队伍结构要体现合理性。立足现有教学队伍, 充分发挥老教师教学经验丰富、中年教师技术水平高、青年教师创新能力强的特点, 不断提高教师队伍的教学、科研活力和创造力。二是教师岗前培训要体现针对性。对于高职院校毕业的教师应注意实际操作能力的培训, 通过参加短以训班、专业知识强化班、调研等, 使之尽快适应教师岗位, 力争在较短时间内达到“双师型”教师的要求。

3.4 强化信息模拟器在教学训练的作用

合理构建一个或若干个小范围的计算机网络环境, 并依托其进行网络对抗技能和战法训练, 构建科学合理的课程体系, 充实信息化要素, 整合专业课教学内容, 规范实践性教学, 搭建更加优质的教育平台, 对开展信息化条件下网络安全职业教育人才教育训练的转型进行理论探索和运行机制研究, 从而完善职业教育培训体系。

参考文献

[1]卢莉娜.信息化条件下军械职业教育人才教育训练的转型[J].科技创新导报, 2013 (11) :170.

国家网络信息安全等级 篇8

近年来，随着信息安全等级保护工作机制的不断完善，主管部门监督检查力度的不断加大，信息系统开展等级测评的数量稳步增长，测评覆盖率显著提升。通过统计分析本单位近些年测评的数百个信息系统的数据，可以得出以下结论：一是较早开展等级测评的行业，经过测评和整改建设，测评符合率逐年提高；二是随着等级测评工作的持续推进，近期才开展首次测评的行业特别是基层单位的信息安全工作基础较薄弱，测评得分明显偏低。通过对物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等10个层面的测评结果进行统计，其中网络安全、主机安全、应用安全、系统运维管理等方面的不符合率相对较高，信息系统的建设、使用、运维阶段存在一些较普遍的问题。

信息系统安全保护措施落实情况分析

整体而言，随着等级测评工作的持续推进，党政机关、企事业单位对信息系统安全等级保护的认识和重视程度得到普遍提升，在管理和技术两方面主要采取了以下安全措施：

信息安全管理措施落实情况

在信息安全管理方面呈现出两级分化的特点。一些重点行业的业务信息化程度高、自身信息技术队伍力量足、信息安全投入经费有保障，其安全管理措施一般也能得到有效落实，在机构、人员、制度、建设管理、运维管理等方面均能较好地符合相关标准的要求。这一类的典型包括银行、证券、电力等行业主管部门对信息安全监管严格的几大行业。相反，部分对信息系统管控相对松散的单位如大专院校、在信息安全投入方面得不到充分保障的单位如基层政府部门，其信息安全专业人员的配备达不到标准规范的要求，安全责任部门地位偏低权限不足，很难制定并有效贯彻落实结合本单位实际的信息安全管理制度。

信息安全技术措施落实情况

多数单位通过部署边界安全设备，强化入侵防范措施来提高网络的安全性；通过加固操作系统和数据库的安全策略，启用安全审计，安装杀毒软件等措施，来提高主机安全防护水平；通过开发应用系统的安全模块，从身份鉴别、访问控制、日志记录等方面，强化业务应用的安全性；通过部署数据备份设备、加密措施，加强对数据安全的保护。

信息系统常见安全问题分析

随着等级测评工作的覆盖面进一步扩大，近年来初次测评的单位和基层部门仍发现一些典型问题。

信息安全意识有待提高

很多单位对当前日趋严峻的网络安全形势认识不足，将信息安全工作视为被动应付上级检查、被动应对安全事件的任务来消极对待。一些单位认为取得“基本符合”的测评结论就高枕无忧，完成测评备案就完成了等级保护。由此造成对信息安全合规的落实不够、资金和人员投入不足、重建设轻运维、有制度无执行、有预案不演练等问题，根源还是安全意识薄弱。

信息安全管理有待加强

信息安全管理不到位主要表现在安全管理制度、系统建设管理、系统运维管理等方面。

信息安全管理制度不完善。基层单位信息安全管理制度不全、人员配备不足、授权审批流于形式、执行记录缺失等问题较为常见。部分单位的信息安全管理制度照搬模版，未结合本单位实际进行修订，导致缺乏可操作性。

系统建设管理不到位。系统建设过程中落实信息安全“同步建设”原则不到位。在软件开发阶段较普遍未遵循安全编码规范，导致安全功能缺失、应用层漏洞频现。在系统验收阶段，很多单位仅注重业务功能验收，缺乏专门的安全性测试；电子政务类项目较普遍未按规定在项目验收环节完成“一证两报告”（即等级测评报告、风险评估报告和系统备案证明）。

系统运维管理不到位。在系统运维管理方面，部分单位运维和开发岗位不分，职责不清，存在一人身兼数职现象。很多单位在信息资产管理、介质管理、变更管理等方面缺乏操作规程和相关记录，数据备份策略不明，应急预案不完善并缺乏演练。

关键技术措施有待落实

分析近年来的测评结果，安全技术措施不足问题主要体现在以下几个方面：

在物理安全方面，随着电子政务集约化建设的推进，大量信息系统已经集中到高规格的专业机房，但仍有部分单位自有机房条件简陋，位置选择不规范，出入管理较随意，防盗防破坏、防雷防火防潮能力较差，环境监控措施不足。

在网络安全方面，常见网络和安全设备的配置不到位，如未合理划分区域、未精细配置访问控制策略、未对重要设备做地址绑定等；较普遍缺少专业审计系统。部分单位设备老旧，安全产品本身存在一定缺陷导致无法满足等级保护要求。个别单位用于生产控制的重要信息系统在网络层面未采取必要安全措施的同时，还违规接通互联网，存在极大的安全隐患。

在主机安全方面，部分单位存在弱口令、不启用登录失败处理和安全审计功能、不及时更新补丁、不关闭非必要服务等问题。此外，由于主流操作系统和数据库很少支持强制访问控制机制，相关要求普遍未落实。

在应用安全方面，很多应用软件安全功能不足，缺少身份鉴别、审计日志、信息加密等能力。由于很少进行安全扫描、渗透测试，相当一部分系统存在高危风险，如SQL注入、跨站脚本、文件上传等漏洞，以及弱口令、网页木马等问题。

在数据安全方面，较常见的是数据保密性和完整性措施薄弱。此外，部分信息系统的备份和恢复措施欠完善，缺乏有效的灾难恢复手段。

针对新技术的等级保护测评标准有待出台

随着浙江政务服务网的大力推进，省内各级政务云平台的建设使用已全面开展，有相当数量的电子政务系统已迁移上云。同时涉及城市公共设施、水电气等工控系统密集的行业对等级保护工作越来越重视，对云计算、工控系统、移动APP等的测评需求不断加大。但现有的《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》未涉及云计算、工业控制、移动互联等领域，在测评实践中已遇到诸多不适应情况。针对这些新技术新应用的等级保护测评标准需求已非常迫切。

重要信息系统安全保护对策建议

针对上述存在的问题，本文提出以下对策建议，以供参考。

提高信息安全意识

提高全员信息安全意识是全面提升信息安全保障水平的根本解决之道。要树立全体人员的安全观念，加强信息安全培训。除了通过强化工作考核和安全检查来督促信息安全工作的深入开展，还应通过多种方式开展信息安全政策解读和信息安全标准宣贯，强化对全员的安全意识教育和考查。建议结合一些合适的安全职业技能培训，落实信息安全相关岗位“持证上岗”的要求。

加强信息安全管理

“三分技术，七分管理”，各单位应转变观念，将“信息安全”与“系统稳定、功能正常”同等重视起来，将安全管理要求与自身业务紧密结合，制订完善的体系化的安全管理制度。

在系统建设管理过程中，应要求开发人员遵循安全编码规范进行开发；在系统验收环节，应认真做好安全性验收测试。在电子政务领域应落实国家对电子政务项目管理的制度要求，验收阶段完成等级测评，未通过测评的应不予验收。

在系统运维管理方面，应加强制定信息系统日常管理操作的详细规范，明确定义工作流程和操作步骤，使日常运行管理制度化、规范化。对信息资产按重要性进行分类梳理，建立完善应急灾备措施，定期开展演练，确保备份的有效性。

落实关键技术措施

针对测评发现的问题，各单位应根据系统所定级别，结合自身条件，综合考虑问题的影响范围、严重程度、整改难度等因素，制定整改计划，有步骤地落实相关技术措施。对于策略配置类的问题及时纠正；对于整改难度大、需要添置硬件或修改代码的问题，应在充分测试和试运行的基础上实施整改。对于强制访问控制、敏感标记、双因子鉴别等难点问题，建议国家加强相关产业政策的引导，促进安全厂商研发技术、推出产品，解决市场供应问题。各级主管部门应通过测评、整改、监督检查、再测评的闭环管理，督促关键技术措施的落实。

加快新技术的等级保护测评标准编制工作

目前公安部信息安全等级保护评估中心在牵头起草针对云计算安全的等级保护标准，尚处于征求意见阶段。其余新技术领域的等级保护标准制定工作进度更晚，随着智慧城市、云计算、大数据、移动互联、工业控制等新技术的快速应用，安全标准相对滞后的问题更加突出，应进一步加快相关新标准的制定。

信息系统安全等级保护备案表 篇9

信息系统安全等级保护备案表
单位名称 信息系统名称 信息系统类别 系统域名 系统 IP 地址 系统服务 情 况 系统网络平台 服务器情况 存储设备 情 况 服务范围 服务对象 覆盖范围 网络性质 是否有服务器 服务器位置 服务器操作系统 是否有专用存储 存储设备位置 □MySQL □windows □linux □是 □否 品牌及容量 □Access □SQLServer 年 □Oracle □其它_______ 月 日 □全国 □全（市、区）□全校 □全校师生员工 □三者均包括 □广域网 □互联网 □否 是否在学校机房寄存 □unix □是 □否 □Solaris □其它_______ □本单位 □其它__________ □其它__________ □单位内部人员 □社会公众人员 □局域网 □业务专网 □是 □校园网 □业务管理系统 □网站 □其他

□其它___________

系统数据库情况 系统何时投入运行使用 系统主要承建单位 系统目前维护单位 系统责任人 姓 管理员情况 办公电话 系统是否是分系统 上级系统名称 信息系统安全保护等级 系统密级（涉及保密的信息系统 需要填写本项）系统分级保护实施情况 填表人： 名

联系方式 E-mail 手 □是 机

□否（如选择是请填下两项）所属单位

□第一级 □秘密 □ 已经实施

□第二级 □机密

□第三级 □绝密

□第四级

□第五级

□正在实施 填表日期：

□计划________年实施 年 月 日

填报单位：（盖章）