信息系统安全运维服务精选(十四篇)

发布时间：2023-10-09 17:41:22

序言：作为思想的载体和知识的探索者，写作是一种独特的艺术，我们为您准备了不同风格的14篇信息系统安全运维服务，期待它们能激发您的灵感。

信息系统安全运维服务

篇1

1引言

地处亚欧大陆地理中心的新疆，不仅是“一带一路”向西开放的桥头堡，而且是“丝绸之路经济带”上的重要节点及核心区。新疆周边同中亚区域8个国家接壤，与周边的中亚国家环境相近、经济相融、人文相亲，具有向西开放的独特优势。作为我国辐射中亚地区政治、经济、科技、教育、交通、医疗科的战略高地，利用北斗导航国家科技重大专项在新疆开展应用示范、合作与服务，不仅能够发挥丝绸之路经济带核心区的特殊作用，更有利于国家建设“丝绸之路经济带”，以点带面，从线到片，逐步形成区域大合作。本文探讨了国产北斗卫星导航系统开发的社会与生产安全过程监控管理服务系统在新疆区域社会与生产安全国产中的应用，为北斗导航系统进一步在西北地区的安全生产应急指挥中的应用奠定了基础。

2北斗导航与位置服务

北斗卫星导航系统（BeiDou（COMPASS）Navigation Satellite System）是我国正在自主研发、独立运行的全球卫星导航系统，始于20世纪80年代，建于90年代，成于21世纪。目前，三号乙运载火箭已成功将我国第4颗“新一代北斗导航卫星”送入太空，系我国第20颗北斗导航卫星。随着北斗导航系统全球组网覆盖面积的进一步提升，其已成为国家重要战略基础设施，是国家科技水平和综合国力的重要体现，是社会信息化、数字化的重要支撑，是国家经济社会安全运行的重要保障。

位置服务（LBS，Location Based Services）又称定位服务，LBS是由移动通信网络和卫星定位系统结合在一起提供的一种增值业务，通过一组定位技术获得移动终端的位置信息（如经纬度坐标数据），提供给移动用户本人或他人以及通信系统，实现各种与位置相关的业务，实质上是一种概念较为宽泛的与空间位置有关的新型服务业务。

3现状概述

新疆交通运输行业具有点多、线长、面广、移动的特点，对新疆安全生产与运输过程的监控管理具有重要的现实意义和典型意义。新疆高速公路和一级公路里程已突破4 000 km，高速公路里程达2 728 km。近3年来，新疆机动车及驾驶人保有量年均增长分别达到17%和15%，新疆公路总里程突破16万km，城乡道路运输完成客运量30.37亿人次，全区经营性道路运输完成货运量达4.65亿t，并以每年6.7%的速度增长。至2015年，预计全区机动车保有量将超过600万辆。

新疆车辆动态监控中心目前运行的系统仅有车辆实时定位（更新频率约8 s/次）、简单报警（信号丢失，超速等）、轨迹存储与回放等较为简单的监控管理功能，需要进一步增强卫星导航定位与位置服务及其增值服务的能力，提升卫星导航应用的综合分析与决策支持水平；另外新疆地域广阔，地形复杂，手机信号差，使用卫星电话成本高，道桥建设、矿山开发、地质勘探、建筑施工等工程区域很多涉及无人区和无线通信盲区，而新疆的野外工程车均未安装卫星定位系统。近年来，新疆已有多起重大生产、运输事故发生在无线通信盲区，由于安全事故信息上报不够及时，难以及时了解事故现场情况，影响了应急救援工作，对安全生产过程和社会稳定造成较大影响。

3.1日常业务的需求

新疆安全生产与运输过程监督管理的主要日常业务对北斗卫星导航系统的具体应用有车辆的日常管理（车辆和人员的基础信息）；定位精度优于15 m、测速精度为1～2 m/s的车辆日常运行状态监控，包括：定车行程跟踪、分组查询、车辆显示状态控制等信息；定位精度优于15 m、测速精度为1～2 m/s的重点车辆运输全程监控，包括：“两客一危”运输车辆、普货载重货运车辆、应急运输保障车辆、野外工程车等运输车辆的重点运输过程日常全程监控与通讯调度；定位精度优于15 m、测速精度为1～2 m/s 的车辆监控中心的日常通信保障，包括：与全疆安全生产与运输过程车辆和人员进行语音和文字通信，包括发送文字信息、单向监听和双向通话；通信记录管理、事务管理（违章、事故、报警）等。

3.2典型业务的需求

新疆安全生产与运输过程监督管理的主要典型业务对北斗卫星导航系统的具体应用有定位精度优于15 m、短报文80个汉字的突发事件实时；定位精度优于15 m、测速精度为1～2 m/s、短报文80个汉字的野外生产态势实时；定位精度优于15 m、测速精度为1～2 m/s的车辆遇险报警与监控管理；定位精度优于15 m、测速精度为1～2 m/s、短报文80个汉字的突发性野外生产事故快速定位与应急指挥等。

4北斗导航与位置服务在安全生产与

运输过程中的应用4.1为重点业务管理部门提供位置管理服务

新疆安全生产与运输过程监督管理示范系统主要是面向各行业需重点监控各型车辆及其主管调度部门的基于位置综合信息服务，其目标是：通过管理控制中心，管理部门能够实时掌握下级管理部门及车辆的位置、速度、行驶状态等信息，通过多种通信手段能够实现调度、遇险报警和求救报警。

4.2为野外安全生产提供信息服务

通过北斗短报文功能和卫星网络，在新疆包括城市、农村、沙漠、戈壁和高原山区在内的广阔疆域实现全天候网络无缝覆盖获取车辆、人员的地理位置、运行方向、运行速度及各种状态信息，对持有终端设备的野外工作个人进行实时监控、调度、服务信息、受理各种类型的报警信息等，实时保持大后方对前方工作人员的监控指挥，从而提升工作效率及保障工作人员的生命安全。

4.3针对重点车辆提供预警、救援信息服务

通过北斗终端可以内设若干区域，当接口目标靠近（或驶出）区域时，向监控中心发送预警或报警信息。当车辆行驶速度超过最高限速的时候，监控中心软件自动发出报警信息，提示中心值班员，并自动向超速的车辆发出超速警告短消息；当车辆运行状态发生异常时，如高等级公路突然停车、发动机温度过高、油量不足时，监控中心软件自动发出报警信息，提示中心值班员，并自动向车辆发出警告短消息。如状态为高等级公路突然停车，监控中心将自动接通司机手机进行询问。

4.4实现安全生产与运输业务的可扩展性

随着新疆安全生产与运输过程监督管理业务需求的不断变化和新业务的出现，可灵活、高效地在原有北斗导航位置信息服务的基础上配置和构建新的信息服务，以满足安全生产与运输过程监督管理的新需求；可为其它相关业务体系提供信息服务接口，通过提升相关业务系统构建效率；可通过北斗短报文信息服务调用、集成、互操作和聚合，有效建立行业内不同业务系统和行业间信息系统间的信息服务互联互通模式。

篇2

【关键词】电力信息系统安全管理

1 管理的目标

1.1 管理理念

通过电力信息系统安全管理来确保信息系统的持续、可靠、稳定运行。随着公司信息系统与各项生产经营业务的紧密融合，信息系统故障停运直接影响公司生产经营业务的正常开展。加强安全管理，防止信息系统故障，及早发现信息系统的各类隐患，及时消缺或阻止各类违章，避免发生故障停运，提升信息系统安全运行风险可控、能控、在控能力。

1.2 管理范围和目标

信息安全管理范围涵盖公司系统各单位人员、设备和各类应用系统。

信息安全管理的目标在于通过对网络安全风险的分析，制定相应的管理制度、安全策略和技术措施，提高使用人员的安全防护意识、运维人员的技能水平和网络自身的安全，不发生系统停运事故和不发生重大信息泄露事故等。

1.3 主要管理指标

通过信息安全管理，以防止信息网络瘫痪、应用系统破坏、业务数据丢失、公司信息泄密、终端病毒感染、有害信息传播和防恶意渗透攻击，旨在降低信息网络的故障率和故障时间、提高人员的安全意识和信息系统运行率。

2 管理方法

2.1人员组织设置

海门市供电公司电力信息系统安全管理组织机构由职能管理部门和生产实施部门相关领导、专职、信息专业人员和部门兼职信息员组成。公司信息系统安全管理由职能公司管理部门统一指挥、统一调度、统一实施。

职能管理部门负责信息系统安全管理工作，主要职责为：1）负责建立公司信息系统安全管理制度、标准和规范体系；2）负责监督信息系统安全理制度的执行情况，协调、督促支撑实施机构及时处理相关信息安全分析、培训、运维等；3）负责信息系统安全管理的监督、检查、考核和评价工作。

生产实施部门负责安全管理的具体工作，主要职责为：1）负责信息系统安全风险分析；2）负责编写安全管理方案、建议，并提交职能部门；3）负责对信息系统安全风险进行处理；4）负责安全风险的整理、反馈汇总、统计、分析工作。4）负责人员的培训。

公司各部门负责协助信息通信职能管理部门做好信息安全管理工作的监督、检查和评价工作。

2.2 信息安全管理流程

信息安全管理流程两个主要流程：1）被动性流程：包含风险的发现和上报、风险的定性、风险的审核和分析、风险的处理、风险处理后验收。2）主动性流程：安全加固、加固处理、安全验收。

1）风险的发现：生产实施部门相关信息专业人员和部门兼职信息员应加强对信息系统的定时巡视，及时发现潜在风险，并根据风险现象进行分类和判别，准确详细地做好风险记录，并通知运维人员。

2）风险的分析和定性：生产实施部门根据上报风险进行初步的分析，并根据实际情况进行风险初步定性，报信息通信职能管理部门备案。

3）风险的审核：信息职能管理部门对上报的风险重新审核，并作出相应的处置意见。

4）风险处理安排：生产实施部门应安排专业人员及时了解、审核相关风险，是设备风险还是人员风险，是一般风险还是紧急风险，对风险处理工作做好及时的安排。对紧急风险应在紧急处理的同时汇报上级领导，必要时可启动应急预案。

5）风险的处理：生产实施部门专业人员在接受务时必须了解清楚信息系统存在的风险，并根据风险准备相关的资料和工具，认真执行相关制度，并及时汇报处理结果风险处理要求闭环管理。

6）验收：生产实施部门根据规定对风险处理进行验收，并填写风险记录中的处理情况，并完成风险流程的终结手续验收。未完全处理的，重新启动风险流程。

2.3 关键工作

（1）生产实施部门关键人员技能培训和员工信息安全知识宣传。信息安全的整个活动过程核心是人员。提高信息安全管理水平，人员是必不可少的环节。为普及员工的信息安全知识，公司编写了《员工操作手册》和《信息设备管理办法》，并进行了宣贯。针对实施机构关键人员，采用送出去和内部培训相结合的方式进行了技能培训，包括：信息设备和系统的安装、网络安全技术、信息系统故障判断、系统加固、系统的调试和配置等，大大提高了关键人员的管理水平。

（2）生产实施部门关键人员运维标准化。公司建立了部门兼职信息员的《标准化工作手册》，分析了系统内可能存在的风险和相关风险的现象，明确了一系列操作流程，建立了操作指导书，对工作中的具体要求和步骤做了具体的文档说明，便于兼职信息员日常运维。

（3）优化信息系统网络和硬件设施。对信息系统网络进行优化配置，对信息网的链路进行重新设计，采用环路设计来增强冗余和安全性。同时对使用年限长、老化的设备进行更换，对备品备件进行梳理，确保硬件设施的安全。

（4）采用多样化的安全技术。整个过程中，对网络设备和服务器等进行了安全加固和加固检查，进行定期漏洞扫描，安装补丁。终端设备采用专人负责，要求注册率和防病毒安装率为100%，网络端口采用IP/MAC地址绑定。内网设备严禁接入其他网络设备，同时关闭不必要的端口服务，来保证信息系统的安全。

（5）构建风险库。风险管理是信息系统运行维护人员高度关注的工作。然而风险管理经常出现不规范的现象，影响了风险管理，也增加了风险的分析和处理难度。海门市供电公司，从风险分类、风险定性、风险现象、风险原因等4个方面建立初步的标准风险库。覆盖了业务应用系统、网络系统、服务器、数据库、终端设备和人员等，明确相关风险的定性标准，使各级人员对同一风险有唯一定性，便于风险处理，促进风险管理的标准化和规范化。

（6）加强信息设备入网验收管理。在进行信息设备的入网工作上，海门市供电公司在工程建设期间就提前介入，对系统设计和设备选型进行技术建议，并对到货设备进行现场和上电验收，力争在初级阶段减少风险的发生可能性。

（7）加强设备定期、日常巡检和维护管理。根据相关要求制定有效的信息系统运维管理制度，并要求运维人员严格按要求进行巡检和维护，将风险消除在萌芽。

（8）加强风险统计分析。为尽早发现设备风险，预防风险造成的危害，提高信息人员风险管理水平，海门市供电公司定期进行风险分析。对新产生或者预测的信息系统风险产生原因进行分析，重点从设备本身、运行维护、人员、设备运行环境等方面进行主观和客现的分析。对风险举一反三进行分析，让信息运维每个成员清楚风险发生的原因、对设备可能造成的危害、解决的具体方法、哪些设备还可能发生类似风险。根据分析结果有针对性的巡视维护，防患于未然。

（9）信息安全管理考核。把风险管理制度、措施、责任细化到考核考核办法中，在具体考核中体现奖罚并存、激励为主，提高信息人员风险管理积极性。

3 结束语

信息系统安全管理是技术与管理的综合，完善信息安全保障体系，实现信息系统的“可控、能控、在控”，是信息系统安全的根本目标。加强人员培训、制定切实有效的管理制度、完善软硬件技术和风险控制流程是信息系统安全的有效措施。信息运维常态化和流程规范化，通过信息运维的标准化作业、开展定期巡检、维护规范化和风险流程统一化，使信息安全管理工作步入了有序化管理。海门市供电公司将在此基础上继续完善和探索信息系统安全管理的制度和标准化流程，推动公司信息化管理水平的进一步提升。

篇3

作为政府部门的对外服务窗口，政府网站随着电子政务的不断发展，正在扮演着愈来愈重要的角色。同时，网站作为组织信息系统的一种边界，与生俱来就是外部攻击的首选，其面临的安全形势在智慧城市建设阶段更为复杂严峻。2011年底，国务院办公厅和工信部分别了《关于进一步加强政府网站管理工作的通知》（国办函［2011］40号）和《委托开展政府网站安全管理试点工作的通知》（工信厅协函［2011］416号），要求提高政府网站的安全保障水平。据此，上海三零卫士信息安全有限公司在上海市网安办的指导下，在前期参与信安标委《政府网站系统安全指南》国家标准和长期从事信息安全服务的基础上，提出了“三位一体”的政府网站安全保障体系。

所谓“三位一体”，就是从“技术”、“管理”和“运维”三个方面来构建完整的政府网站安全保障体系，主要遵循信息安全“技术与管理并重”、“建设与运维并重”两大原则。从现有的国家《信息系统安全等级保护基本要求》来看，也是分为技术和管理两大类，技术类按信息系统的层次结构再细分，管理类则强调管理体系、建设管理和运维管理。因此，一个有效的信息安全保障体系不是安全产品的堆砌，而是需要建立完善的安全管理体系，并通过专业的安全服务来实现的。就目前政府网站的安全保障而言，管理体系主要应由政府网站主管部门负责，安全服务可以采用可控可信的服务外包的方式实现。

篇4

对于进一步提高信息安全的保障能力和防护水平来说，实行信息安全等级保护无疑是一种好的方法，因为它能充分调动国家、法人和其他组织及公民的积极性，增强安全保护的整体性、针对性和实效性，使信息系统安全建设重点更加突出、规范，更加统一。

但是，电子政务重在政务，由于政务部门的职能不同，信息系统的结构、功能和安全要求也不尽相同，信息安全等级保护工作的侧重点也不同。然而从总体上来说，都需要做好以下几点：

落实好“四个把握”

把握等级保护的建设进程。按照等级保护程序规定，做好定级、备案、整改、评测与监管工作。

把握等级划分的合理性和准确性。要认真分析电子政务系统在国家安全、经济建设、社会生活中的重要性程度，即电子政务系统遭受破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素，合理准确地确定系统安全等级。具体来说，安全等级的确定要根据信息系统的综合价值和综合能力保证的要求不同以及安全性被破坏造成的损失大小，综合考虑信息系统的经济价值、社会价值以及信息服务的服务范围和连续性。

把握好不同等级的基本安全要求。基本要求是针对不同安全保护等级信息系统，应该具有的基本安全保护能力提出的安全要求。例如：第三级信息系统要具有抵御来自外部组织的恶意攻击能力和防内部人员攻击能力，不仅要对安全事件有审计记录，还要能追踪与响应处理，要实现多重保护制度。

把握好基本技术要求和基本管理要求。基本技术要求包括物理安全、网络安全、主机安全、应用安全与数据安全等方面。基本管理要求是通过控制信息系统中各种角色参与的活动，包括安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理等方面，从政策、制度、规范、流程以及记录等方面做出规定。对于电子政务系统要特别关注基础设施监控与管理、网络安全监控与管理、业务应用系统的监控与管理、应急响应与备份恢复管理。

引入风险评估机制

信息安全等级保护必须树立风险管理的思想，而风险评估是风险管理的基础，因此，三级以上电子政务系统必须定期进行信息安全风险评估。风险评估贯穿于等级保护周期的系统定级、安全实施和安全运维三个阶段：

系统定级。由于不同的电子政务系统具有自身的行业和业务特点，且所受到的安全威胁均有所不同。因此，可以依据信息安全风险评估国家标准对所评估资产的重要性、客观威胁发生的频率、系统自身脆弱性的严重程度进行识别和关联分析，判断信息系统应采取什么强度的安全措施，然后将安全事件一旦发生后可能造成的影响控制在可接受的范围内。即将风险评估的结果作为确定信息系统安全措施的保护级别的一个参考依据。

安全实施。安全实施是根据信息安全等级保护国家标准的要求，从管理与技术两个方面选择不同强度的安全措施，来确保建设的安全措施满足相应的等级要求。风险评估在安全实施阶段就可以直接发挥作用，那就是对现有电子政务系统进行评估和加固，然后再进行安全设备部署等。在安全实施过程中也会发生安全事件并可能带来长期的安全隐患，如安全集成过程中设置的超级用户和口令没有完全移交给用户、防火墙部署后长时间保持透明策略等都会带来严重的问题，风险评估能够及早发现并解决这些问题。

安全运维。安全运维是指按照系统等级进行安全实施后开展运行维护的安全工作。安全运维包括两方面：一是维护现有安全措施等级的有效性。二是根据客观情况的变化以及系统内部建设的实际需要，对等级进行定期调整，以防止过度保护或保护不足。在安全运维的过程中，通过信息安全风险评估工作可以对已有信息系统的安全等级保护情况进行评估，依据已确定等级的相关保护要求，对系统的保护效果、潜在风险进行评价，评估是否达到等级保护的要求；当信息系统或外部环境发生变更时，可以通过风险评估工作了解和确定风险的变更，为再次定级和等级保护措施的调整提供依据。

建立有效的信息安全管理组织

信息安全管理组织是建立信息安全保障体系，做好信息安全等级保护工作的必要条件。当前很多政务部门的信息安全工作均有信息化部门兼任，没有足够的权威性。等级保护工作的开展，要求在组织内部建立信息系统安全方面的最高权力组织，并有明确的安全目标，目的是在管理层的承诺和拥有足够资源的情况下开展信息安全工作。因此，建立有效的信息安全管理组织必须明确以下内容：

要遵循分权制衡原则。制度的建立、制度的执行、执行情况的检查与监督要分开考虑。在目前的等级保护测评工作中，时常发现有系统管理员、网络管理员、安全员与审计员兼任的情况，甚至一人包揽所有的信息系统运维工作。但从等级保护的基本要求来看，依据分权制衡的原则，建议在电子政务系统中，系统管理员与审计员不得兼任，审计员不能从事所有日常信息的维护与管理工作，系统管理员不能从事审计日志的查看与处理工作。

要坚持从上而下的垂直管理原则。上一级机关信息系统的安全管理组织指导下一级机关信息系统的安全管理组织的工作，下一级机关信息系统的安全管理组织接受并执行上一级机关信息系统的安全管理组织的安全策略。

应常设信息系统安全管理组织办公机构，负责信息安全的日常事务工作。信息系统安全管理组织应由系统管理、系统分析、软硬件维护、安全保卫、系统稽核、人事与通信等有关方面的人员组成。

信息安全管理组织部门不能隶属于技术部门或运行部门，各级信息系统的安全组织不能隶属于同级信息系统管理和业务机构。信息安全管理组织部门只有不隶属于技术或运维部门，才能站在较高的层次上制定信息安全的整体框架与策略、有效的处理安全事件，启动应急预案。

篇5

银行信息系统安全问题探析

银行信息系统的安全保障要以缜密的分析为前提，制定详细的对策，充分利用安全技术、安全产品来实现安全措施。本文以泰安农村信用社为例阐述银行信息安全问题.

1．信息安全分析银行信息系统具有服务范围广泛，平台复杂多样，业务品种不断更新的特点。因此银行信息系统庞大而复杂，信息安全涉及方面众多，我们大体可以按照安全管理、信息资产与环境、主机系统、网络系统、日常运维五个方面进行分析.

1.1安全管理问题分析.

泰安农村信用社信息系统一贯重视系统安全，但对与系统安全的管理仍处于比较传统的模式，即一种静态的、局部的、少数人负责的、突击式的、事后纠正式的管理方式；安全管理偏重对业务的保障，在内部管理上相对比较松散；一些安全管理策略和制度规范比较宏观，在可操作性和实效性上还值得进一步探讨与改进.

泰安农信信息系统依照相关的规定进行建设。目前还需要改进的问题为包括物理环境的单点故障隐患及不可抗力因素导致的系统安全的风险；对信息资产的保护缺乏信息资产分类体系，无法实现对设备的购置、维修、报废等环节的实时管理.

目前面临维护错误和操作失误、未经授权访问和操作、权限滥用、硬件故障、数据库本身存在的安全漏洞等威胁.

篇6

（1.国网河北省电力公司电力科学研究院，河北石家庄 050021；

2.国网天津电力公司电力科学研究院，中国天津 300384）

【摘要】本文通过研究信息安全基线技术，提出在信息安全基线理论基础上建立安全配置自动化核查的方法和步骤，制定了统一的安全配置规范，形成了一套针对企业快速、有效的信息系统安全配置核查系统，解决了困扰信息运维人员的难题。

关键词安全；基线；配置；核查

0　引言

近年来，随着电力行业飞速发展，以网络、计算机自动控制技术为代表的信息技术已渗透到电力生产、经营的各个方面。随着网络规模日益扩大，重要应用和服务器的数量及种类日益增多，传统的被动式安全防御模式已经很难适应当前信息化发展水平。统计表明，安全事件中19.4%的攻击是来自于利用系统配置错误，15.3%是利用已知的系统漏洞。事实证明，绝大多数的网络攻击事件都是利用厂商已经公布而用户未及时修补的漏洞和产品不安全的配置[1]。

国网河北电科院采用专业的信息系统安全漏洞扫描系统，形成了初步的漏洞管理解决方案。但是针对信息系统配置合规性方面，还没有形成统一的标准来规范运维人员和督查人员的操作行为，无法满足企业信息系统上线安全检查、第三方设备入网安全检查、日常安全检查的业务需求。面对不断增加的信息设备，如何完成系统配置合规性检查和修复，成为一个急需解决的问题。

1　信息安全基线技术

1.1　信息安全基线定义

顾名思义，“信息安全基线”（以下简称安全基线）概念借用了传统的“基线”概念。字典上对“基线”的解释是：一种在测量、计算或定位中的基本参照。如海岸基线，是水位到达的水位线[2]。安全基线是一个信息技术环境下的一组正式的最小安全需求规格集。

1.2　安全木桶理论

“木桶理论”其核心内容为：一只木桶盛水的多少，并不取决于桶壁上最高的那块木块，而恰恰取决于桶壁上最短的那块。在信息安全建设中， “短板”的长度决定了组织整体安全状况，而安全基线正是决定组织整体信息安全程度的那个“木桶中的最短板”。类比于“木桶理论”，可以认为安全基线就是安全木桶的最短板，或者说，是最基本的信息安全要求。

1.3　国内安全基线理论的研究

1999年，公安部组织起草了国家强制性标准《计算机信息系统安全保护等级划分准则》，该标准将计算机信息系统安全保护能力划分为用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级5个等级[2]。该标准的主要目的：一是为了计算机信息系统安全法规的制定和执法部门的监督检查提供依据；二是为安全产品的研制提供技术支持；三是为安全系统的建设和管理提供技术指导。这个标准也成为国内信息安全建设的最基本基线。

1.4　国外安全基线理论的研究

美国FISMA（The Federal Information Security Management Act，联邦信息安全管理法案）定义了一个广泛的框架来保护政府信息、操作和财产来免于自然以及人为的威胁。FISMA在2002年成为美国电子政府法律的一部分，把责任分配到各种各样的机构上来确保联邦政府的数据安全。其提出了一个包含八个步骤的信息安全生命周期模型，这个模型的执行过程涉及面非常广泛且全面，但实施、落地的难度也非常大[3]。经过一系列的研究和改进，延伸出SCAP协议（Security Content Automation Protocol），SCAP协议定义了一套安全基线库，得以将FISMA的信息安全生命周期模型进行落地。SCAP的自动化安全基线理念最重要贡献简单总结在于：第一，制定安全基线；第二，通过工具化和自动化的方式落实。

2　系统目标

通过研究安全基线理论，开发建立安全基线配置规范和核查系统，实现安全基线配置规范化管理，能够自动识别和扫描信息网络中各类设备和应用系统的配置合规性，在此基础之上对系统进行综合评估，得出安全整改加固建议，提高业务系统的防护能力，提高信息系统的安全性和可用性。

3　系统设计

国网河北电科院信息系统安全配置核查系统建设充分吸收了安全基线技术理论经验，严格遵循PDCA管理理念，分三个阶段进行系统开发和实践：

1）安全基线配置规范的建立：根据国家等级保护和国家电网公司信息安全管理要求以及业务系统防护需要，建立了符合企业实际需求的安全基线配置规范。规范包括AIX系统、Windows系统、Juniper防火墙、H3C网络设备、Oracle数据库、WebLogic中间件等20多种主流系统的安全配置检查点、检查标准和整改建议，形成了Checklist表格。

2）自动化检查工具的开发：在安全基线配置规范的基础上，开展了信息系统安全配置核查系统的开发，将规范中定义的检查点和检查方法以系统的形式加以体现，使得信息系统安全基线配置合规性检查从手工检查演进为自动化检查的方式，可以同时进行多个设备和系统的配置检查。

3）实践和完善：在系统使用过程中，不断总结使用经验，发现系统存在的不足，进行系统完善。同时紧跟国家和国家电网公司新的安全管理要求，完善基线配置规范和核查系统。

4　系统功能框架

在研究和业务安全相结合的基准安全标准的基础上，参考国内外的标准、规范，充分考虑了电网行业的现状和最佳实践，继承和吸收了国家等级保护、风险评估的经验成果，形成了一套基于业务系统的基线安全模型[4]，参见图1：

基线安全模型以业务系统为核心，分为业务层、功能架构层、系统实现层等3层架构：

1）第一层是业务层，这个层面中主要是根据不同业务系统的特性，定义不同安全防护的要求，是一个比较宏观的要求。

2）第二层是功能架构层，将业务系统分解为相对应的应用系统、数据库、操作系统、网络设备、安全设备等不同的设备/系统模块，这些模块针对业务层定义的安全防护要求细化为此层不同模块应该具备的要求。

3）第三层是系统实现层，将第二层的模块根据业务系统的特性进一步分解，将操作系统分解为Windows、Solaris等系统模块，网络设备分解为华为路由器、Cisco路由器等系统模块。这些模块把第二层的安全防护要求细化到可执行和实现的要求，称为Windows安全基线，华为路由器安全基线等。

5　系统主要功能

开发的信息系统安全配置核查系统基于WEB管理方式，用户使用浏览器通过SSL加密通道和系统进行信息交互，不仅方便用户使用，安全性也得到提高。系统采用模块化设计思想，将整个系统分为基础平台层、系统服务层、系统核心层、系统接入层。

5.1　基础平台层功能

基础平台层包含专用硬件平台和基础软件平台。专用硬件平台采用经过优化的专用安全系统平台，具有高安全性和稳定性。基础软件平台采用定制的操作系统、硬盘加密解密、应用程序加密解密、输入输出加密解密、内置数据库、Web服务、程序运行环境等。

5.2　系统服务层功能

系统服务层主要包含数据处理引擎和系统服务引擎。数据处理引擎是系统内部的数据接口，提供了数据库访问、数据缓存、数据同步等功能。系统服务引擎是系统内部的功能接口，提供了系统还原点备份与恢复、任务数据导入导出等功能。

5.3　系统核心层功能

系统核心层是产品的核心，包含了基线配置常用的功能模板，具有较强的可扩展功能，主要包括调度引擎、状态引擎、报表引擎等。调度引擎是扫描工作的协调中心，根据用户选择的立即执行的任务、定时执行的任务、周期执行的任务等。状态引擎是系统状态的协调中心，包含系统资源状态、任务执行进度、升级进度信息等。报表引擎主要用于处理报表展示，能够提供HTML、WORD、EXCEL、PDF等多种报表格式。

5.4　系统接入层功能

系统接入层主要用于与用户的信息交流，包含了用户访问的Web页面、系统访问控制台、数据接口等。

6　结束语

通过安全基线技术研究与应用建设，很好地解决了国网河北电科院信息在信息系统安全配置方面的薄弱环节，系统投入使用后，效果明显，查找出了应用系统配置存在的问题，并参考信息系统安全配置核查系统提供的整改建议在被恶意用户攻击造成损失之前主动发现应用系统的漏洞并完成修补；形成了安全基线配置规范，统一了运维人员操作标准，提升了运维人员工作效率和工作水平，从而提高了信息系统的整体的安全性。安全配置核查系统的应用是一个逐步完善提升的过程，需要依据业务系统安全防护需求的变化不断完善配置核查标准，使之适应不断变化的信息安全形势。

参考文献

［1］王罗惠.基于Rails的软件安全漏洞分析管理工具的设计与实现[D].西安:西安电子科技大学,2008:7.

［2］桑梓勤.电信运营企业的安全基线与等级保护[J].电信网技术,2007,9:5-6.

［3］桂永宏.业务系统安全基线的研究及应用[J].计算机安全,2011,10:23.

篇7

1.1信息安全基线定义

顾名思义，“信息安全基线”（以下简称安全基线）概念借用了传统的“基线”概念。字典上对“基线”的解释是：一种在测量、计算或定位中的基本参照。如海岸基线，是水位到达的水位线。安全基线是一个信息技术环境下的一组正式的最小安全需求规格集。

1.2安全木桶理论

“木桶理论”其核心内容为：一只木桶盛水的多少，并不取决于桶壁上最高的那块木块，而恰恰取决于桶壁上最短的那块。在信息安全建设中，“短板”的长度决定了组织整体安全状况，而安全基线正是决定组织整体信息安全程度的那个“木桶中的最短板”。类比于“木桶理论”，可以认为安全基线就是安全木桶的最短板，或者说，是最基本的信息安全要求。

1.3国内安全基线理论的研究

1999年，公安部组织起草了国家强制性标准《计算机信息系统安全保护等级划分准则》，该标准将计算机信息系统安全保护能力划分为用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级5个等级。该标准的主要目的：一是为了计算机信息系统安全法规的制定和执法部门的监督检查提供依据；二是为安全产品的研制提供技术支持；三是为安全系统的建设和管理提供技术指导。这个标准也成为国内信息安全建设的最基本基线。

1.4国外安全基线理论的研究

美国FISMA（TheFederalInformationSecurityManagementAct，联邦信息安全管理法案）定义了一个广泛的框架来保护政府信息、操作和财产来免于自然以及人为的威胁。FISMA在2002年成为美国电子政府法律的一部分，把责任分配到各种各样的机构上来确保联邦政府的数据安全。其提出了一个包含八个步骤的信息安全生命周期模型，这个模型的执行过程涉及面非常广泛且全面，但实施、落地的难度也非常大。经过一系列的研究和改进，延伸出SCAP协议（SecurityContentAutomationProtocol），SCAP协议定义了一套安全基线库，得以将FISMA的信息安全生命周期模型进行落地。SCAP的自动化安全基线理念最重要贡献简单总结在于：第一，制定安全基线；第二，通过工具化和自动化的方式落实。

2系统目标

3系统设计

国网河北电科院信息系统安全配置核查系统建设充分吸收了安全基线技术理论经验，严格遵循PDCA管理理念，分三个阶段进行系统开发和实践：1）安全基线配置规范的建立：根据国家等级保护和国家电网公司信息安全管理要求以及业务系统防护需要，建立了符合企业实际需求的安全基线配置规范。规范包括AIX系统、Windows系统、Juniper防火墙、H3C网络设备、Oracle数据库、WebLogic中间件等20多种主流系统的安全配置检查点、检查标准和整改建议，形成了Checklist表格。2）自动化检查工具的开发：在安全基线配置规范的基础上，开展了信息系统安全配置核查系统的开发，将规范中定义的检查点和检查方法以系统的形式加以体现，使得信息系统安全基线配置合规性检查从手工检查演进为自动化检查的方式，可以同时进行多个设备和系统的配置检查。3）实践和完善：在系统使用过程中，不断总结使用经验，发现系统存在的不足，进行系统完善。同时紧跟国家和国家电网公司新的安全管理要求，完善基线配置规范和核查系统。

4系统功能框架

在研究和业务安全相结合的基准安全标准的基础上，参考国内外的标准、规范，充分考虑了电网行业的现状和最佳实践，继承和吸收了国家等级保护、风险评估的经验成果，形成了一套基于业务系统的基线安全模型。基线安全模型以业务系统为核心，分为业务层、功能架构层、系统实现层等3层架构：1）第一层是业务层，这个层面中主要是根据不同业务系统的特性，定义不同安全防护的要求，是一个比较宏观的要求。2）第二层是功能架构层，将业务系统分解为相对应的应用系统、数据库、操作系统、网络设备、安全设备等不同的设备/系统模块，这些模块针对业务层定义的安全防护要求细化为此层不同模块应该具备的要求。3）第三层是系统实现层，将第二层的模块根据业务系统的特性进一步分解，将操作系统分解为Windows、Solaris等系统模块，网络设备分解为华为路由器、Cisco路由器等系统模块。这些模块把第二层的安全防护要求细化到可执行和实现的要求，称为Windows安全基线，华为路由器安全基线等。

5系统主要功能

5.1基础平台层功能

5.2系统服务层功能

5.3系统核心层功能

5.4系统接入层功能

系统接入层主要用于与用户的信息交流，包含了用户访问的Web页面、系统访问控制台、数据接口等。

6结束语

篇8

[关键词] 信息等级保护概述；中国石油；等级保护建设

[中图分类号] TP391；X913.2 [文献标识码] A [文章编号] 1673 - 0194（2013）05- 0057- 02

1 信息等级保护制度概述

信息安全等级保护制度是国家信息安全保障工作的基本制度，是促进信息化健康发展的根本保障。其具体内容包括：①对国家秘密信息，法人和其他组织及公民的专有信息以及公开信息，存储、传输、处理这些信息的信息系统实行分等级安全保护、分等级监管；②对信息系统中使用的信息安全产品实行按等级管理；③对信息系统中发生的信息安全事件分等级响应、处置。信息安全等级保护配套政策体系及标准体系如图1、图2所示。

定条件的测评机构开展等级测评；④建设整改：备案单位根据信息系统安全等级，按照国家政策、标准开展安全建设整改；⑤检查：公安机关定期开展监督、检查、指导。

2 中国石油信息安全等级保护制度建设

中国石油信息化建设处于我国大型企业领先地位，在国资委历年信息化评比中都名列前茅。2007 年全国开展信息安全等级保护工作之后，中国石油认真贯彻国家信息安全等级保护制度各项要求，全面开展信息安全等级保护工作。逐步建成先进实用、完整可靠的信息安全体系，保障信息化建设和应用，支撑公司业务发展和总体战略的实施，使中国石油的信息安全保障能力显著提高。主要采取的措施有以下几个方面：

（1）以信息安全等级保护工作为契机，全面梳理业务系统并定级备案。中国石油根据国家信息安全等级保护制度要求，建立自上而下的工作组织体系，明确信息安全责任部门，对中国石油统一建设的应用系统进行等级保护定级和备案，通过制定《中国石油天然气集团公司重要信息系统安全等级保护定级实施暂行意见》，加强桌面安全、网络安全、身份认证等安全基础防护工作，加快开展重要信息系统的等级测评和安全建设整改工作，进一步提高信息系统的安全防御能力，提高系统的可用性和安全性。在全面组织开展信息系统等级保护定级备案工作之后，聘请专业测评机构，及时开展等级测评、安全检查和风险评估工作，并通过等级测评工作查找系统的不足和安全隐患，制订安全整改方案，开展安全整改和加固改造，保障信息系统持续安全稳定运行。

（2）以信息安全等级保护工作为抓手，全面推动中国石油信息安全体系建设。中国石油以信息安全等级保护工作为抓手，完善信息安全整体解决方案，建立技术保障体系、管理保障体系和控制保障体系。采用分级、分域的纵深防御理念，将桌面安全、身份认证、网络安全、容灾等相关技术相互结合，建立统一的安全监控平台和安全运行中心，实现对应用系统的授权访问、桌面计算机的安全控制、网络流量的异常监控、恶意软件与攻击行为的及时发现与防御、业务与数据安全保障等功能，显著提高抵御外部和内部信息安全威胁的能力。建立了总部、区域网络中心、企事业单位三级信息系统安全运维队伍；采用集中管理、分级维护的管理模式，网络与安全运维人员采用授权方式，持证上岗，建立网络管理员、安全管理员和安全审计员制度；初步建立起中国石油内部信息安全风险评估队伍，并于 2010 年完成地区公司的网络安全风险评估工作。

（3）建立重要信息系统应急处置预案，完善灾难恢复机制。2008 年，中国石油了《网络与信息安全突发事件专项应急预案》，所有业务系统、网络管理、安全管理等都建立了应急响应处置预案和灾备系统，保障业务系统在遭遇突发事件时，能快速反应并恢复业务系统可用性。通过灾难恢复项目研究，形成了现状及风险分析、灾难恢复等级划分、灾备部署策略分析和灾备部署方案四步法，划分了信息系统灾难恢复等级，完善了灾难恢复机制。

（4）规划信息安全运行中心，建立重要信息系统安全监控机制。中国石油规划了信息安全运行中心的建设方案，提出了信息安全运行中心建设目标，通过网络运行状态、安全信息数据汇集、安全监测分析功能和安全管理流程的有机整合，实现中国石油信息安全状况的可感知、可分析、可展示、可管理和可指挥，形成中国石油信息安全事件分析、风险分析、预警管理和应急响应处理一体化的技术支撑能力；通过完善安全运行管理体系，将安全运行管理组织、安全运维管理流程和安全监测预警系统三方面有机结合，实现事前预警防范、事中监控处置、事后追溯定位的信息安全闭环运行机制，形成中国石油统一的应急指挥与协调调度能力，为中国石油信息安全保障奠定良好的基础。

3 信息安全等级保护工作存在的不足及改进建议

信息安全等级保护管理办法（公通字[2007]43号）正式标志着全国范围内的信息安全等级保护工作开始，通过5年的努力，全国信息安全工作形成了以落实信息安全等级保护制度为核心，信息通报、应急处理、技术研究、产业发展、网络信任体系和标准化建设等工作快速发展的良好局面，重要行业部门的信息安全意识、重视程度、工作能力有了显著提高。40余个重要行业出台了100余份行业等级保护政策文件，20余个重要行业出台了40余份行业等级保护标准，但同时存在着以下不足：

（1）对信息安全工作的认识不到位，对重要信息系统安全保护缺乏应有的重视。依据公安部相关资料统计，截至2012年6月，我国有18%的单位未成立信息安全工作领导机构；21%的单位未落实信息安全责任部门，缺乏信息安全整体规划；14个行业重要信息系统底数不清、安全保护状况不明；12个行业未组织全行业信息安全专门业务培训，开展信息安全工作的思路和方法不得当，措施不得力。20%的单位在信息系统规划过程中，没有认真制定安全策略和安全体系规划，导致安全策略不得当；22%的信息系统网络结构划分不合理，核心业务区域部署位置不当，业务应用不合理，容易导致黑客入侵攻击，造成网络瘫痪，数据被窃取和破坏。34.6%的重要信息系统未配置专职安全管理人员，相关岗位设置不完整，安全管理人员身兼多职；48%的单位信息安全建设资金投入不足，导致重要信息系统安全加固和整改经费严重缺乏；27%的单位没有针对安全岗位人员制订相关的培训计划，没有组织开展信息安全教育和培训，安全管理、运维技术人员能力较弱。

（2）重要信息系统未落实关键安全保护技术措施。重要信息系统未落实安全审计措施。在主机层面，有34.9%的信息系统没有保护主机审计记录，34.8%的信息系统没有保护主机审计进程，容易导致事故责任无法认定，无法确定事故（事件）原因，影响应急处理效率。38%的信息系统没有落实对重要系统程序和文件进行完整性检测和自动恢复的技术措施，35%的信息系统没有采取监测重要服务器入侵行为的技术措施，容易使内部网络感染病毒，对攻击行为无法进行有效监测和处置。

（3）我国信息技术与国外存在一定差距，安全专业化服务力量薄弱。具有我国自主知识产权的重要信息技术产品和核心技术水平还有待提高，依赖国外产品的情况还比较普遍；国内信息安全专业化服务力量薄弱，安全服务能力不强，部分重要信息系统的关键产品维护和系统运维依赖国外厂商，给重要信息系统安全留下了隐患。

为了有效提高我国企业信息安全水平，增加等级保护的可行性及执行力，建议：①各企业开展以信息安全等级保护为核心的安全防范工作，提高网络主动防御能力，并制订应急处置预案，加强应急演练，提高网络应急处置能力。②加大人员和资金投入，提高保障能力。③国家层面加快关键技术研究和产品化，重视产品供应链的安全可控。

主要参考文献

[1]中国石油天然气集团公司. 中国石油天然气集团公司全面开展信息安全等级保护工作为信息化建设保驾护航[J].信息网络安全，2012（1）.

篇9

为了全面贯彻落实信息安全等级保护制度，公安部会同有关部门在全国范围内组织开展了信息系统安全等级保护工作。该项工作主要分为定级、备案、建设整改、等级测评和监督检查五个环节。其中安全建设整改工作是信息安全等级保护工作的重要组成部分。主要内容包括制定信息系统安全建设整改工作规划并部署；信息系统安全现状分析；确定安全策略，制定安全建设整改方案；开展信息系统安全管理建设整改工作；开展信息系统安全技术建设整改工作；开展安全自查和等级测评。公安部于2009年了《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429号），强调依据信息安全等级保护有关政策和标准，开展信息安全等级保护安全建设整改工作。通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评，落实等级保护制度的各项要求，使信息系统安全管理水平明显提高，安全防范能力明显增强，安全隐患和安全事故明显减少。

本文主要依据信息系统安全等级保护基本要求，结合信息安全等级保护安全技术建设整改工作内容，提出了基于“安全建设整改”的服务器安全加固方案设计、安全加固流程和安全加固方法等。基于“安全建设整改”的服务器安全加固工作贯穿了安全技术建设整改工作的多个方面，主要内容涉及物理安全、主机安全、应用安全和数据安全及备份恢复等。下面重点对基于“安全建设整改”的服务器安全加固可行性分析、方案设计和加固内容进行详细的叙述。

服务器安全加固以实际需求为牵引

首先服务器安全加固是以《信息系统安全等级保护基本要求》为依据，以信息系统为最小加固单位，对信息系统范围内的服务器操作系统、数据库、中间件以及虚拟机集群或小机分区，以技术手段通过更改安全配置、加强审计备份、升级补丁等直接操作方式，从而达到提升服务器自身的安全防护能力的目标。

其次，通过对等保要求类、等保控制点和等保要求项的仔细分析、梳理，确定信息系统服务器加固项目中能够执行的等保要求项，并将这些加固项从技术实现角度分为可以实现的加固项，部分可加固项和安全建议项。

在此基础上，进一步结合实际安全需求，分析现有安全技术和安全策略要求，从加固实施的角度，引入了“等保要求加固子项（简称加固子项）”的概念。所谓“加固子项”是对 “等保要求项”的进一步细分，将每一个检查动作和加固动作相对应，达到每一个“加固子项”可以确定为一个独立的检查动作，并且有一个对应的加固动作，按照等保基本要求，实现每一个加固动作。

表1中列举了适合于进行直接加固的操作项，主要包括了物理安全、主机安全、应用安全和数据安全及备份恢复四个方面。

服务器安全加固方案要构建闭环系统

基于“信息安全等级保护安全建设整改”的服务器安全加固方案设计是服务器安全加固实施过程中的关键环节，是做好服务器安全加固工作的基础，其中的内容主要包括安全加固工作概述、安全加固工作的流程与方法、安全加固工作的准备、安全加固工作实施、安全加固工作总结等方面。

服务器安全加固工作概述主要将加固的目的和意义进行简要的叙述，讲明服务器安全加固需要遵循的原则，对服务器安全加固的依据进行说明，并进一步明确服务器加固的工作范围、工作组织和工作安排等方面的内容。通过工作概述的描述，对服务器安全加固的工作概况有一个全面的了解。

通过对服务器安全加固的流程与方法描述，使得安全加固主线和脉络有较为清晰。其中服务器安全加固的流程如图1所示，主要包括加固准备、加固实施和加固总结三个方面的内容。服务器安全加固的方法主要采用文档清分、人员访谈、信息采集、论证确认、现场加固和验证审核等方式进行。

加固准备工作是以《信息安全等级保护基本要求》为指导形成服务器安全加固总体方案，依据总体方案对基本要求项进行梳理、拆分和论证确认需要加固的项目形成服务器加固可行性分析报告。进一步依据可行性分析报告编制服务器安全加固实施方案，在此基础上依据基本要求编写服务器安全加固操作表单和脚本，并在测试环境中对加固表单进行测试。通过对被加固单位信息系统安全等级保护测评的结果分析与整理，梳理出服务器的安全加固项，初步确认加固范围，经过测试确认可加固项，进一步形成被加固单位服务器加固实施方案，对加固操作表单和脚本进行修改，制定被加固单位现场实施计划。

加固实施工作主要包括加固范围现场确认、加固方法和内容的现场确认、加固现场实施、加固过程中的异常处置、加固结果现场确认、加固后服务器的安全监控、加固后服务器的试运行报告，在安全监控期结束后应对加固的效果进行验证分析。

加固总结工作主要是对加固的结果进行验收和确认，建立较为成熟的加固方法和流程，并对加固工作进行总结。

服务器安全加固的流程把控

通过上述对服务器安全加固的可行性分析以及对服务器安全加固的方案设计的描述，已对服务器安全加固的流程和方式有了初步了解。基于“安全建设整改”的服务器安全加固内容应与安全加固的流程相一致，具体分为三个阶段，即安全加固准备阶段工作内容、安全加固实施阶段的工作内容和安全加固总结阶段的工作内容。下面对服务器安全加固在三个阶段的具体内容进行详细叙述。

1.安全加固准备

成立加固实施团队在完成服务器安全加固实施工作时，实施团队应负责完成服务器操作系统、数据库和中间件等的加固任务，同时还需要信息系统开发、运维人员的配合。需要建立一支由加固实施人员、信息系统开发人员和信息系统运维人员共同组成的加固团队。

加固对象清分依据等级保护测评工作确认的范围，确定实施加固的信息系统，并进一步提取出需要加固信息系统中的服务器信息，服务器信息主要包括操作系统类型及版本号、数据库类型及版本号、中间件类型及版本号、是否采用虚拟技术、应用软件使用服务和端口以及补丁更新情况等。

等保测评结果梳理服务器安全加固主要是依据信息系统安全等级保护测评结果对服务器进行安全配置和补丁更新等操作，需要对等保测评结果进行较为深入的分析，并参照安全加固可行性分析结果梳理服务器加固的内容。

加固内容初步确认由项目实施组对等级保护测评结果梳理中产生表单的内容进行逐项的测试，在测试中排除存在问题的加固项和加固内容，测试的内容主要包括服务器安全配置更改、补丁更新、加固操作后服务器重新启动、加固后补丁卸载和加固异常后系统恢复等。

2.安全加固实施

安全加固内容现场确认服务器安全加固现场确认工作主要是指对准备阶段确定的服务器加固方法、加固内容和操作步骤，由被加固单位的服务器管理员、数据库管理员和应用系统管理员共同确认可加固的内容与可实施的操作步骤。

安全加固现场实施服务器安全加固应依据以下操作顺序进行。首先对服务器操作系统、数据库和中间件的补丁进行更新操作，补丁更新操作完成后重启服务器，监测服务器能否正常运行，如果正常运行则进入安全配置操作，如果运行出现异常则进行补丁回退等操作或启动应急恢复流程。其次，对服务器操作系统、数据库和中间件进行安全配置更新，并重启服务器，监测服务器能否正常运行，如果运行正常则对加固结果进行确认，如果运行出现异常则进行安全配置回退操作或启动应急恢复流程。最后对不能实施加固的内容进行确认并提出安全建议。

安全加固结果分析主要是对安全加固的内容进行的分析和总结，对每个服务器上安装的操作系统、数据库、中间件以及采用虚拟技术中已加固成功的项和未加固的成功项进行区分整理，进一步对照信息系统安全等级保护测评报告中服务器安全测评结果验证加固的效果。

安全运行监控主要是对服务器安全加固后的工作进行监控和确认。安全监控的作用在于服务器进行加固处理后，某些隐藏的问题没有当场暴露，而是运行一定时间后才显露出来，影响业务系统的正常运行。因此加固人员需要在完成现场加固结果确认后，进行一定时间的服务器运行状态监控。

3.安全加固总结

安全加固效果验证安全加固效果验证主要依据信息安全等级保护基本要求，对已经完成操作的加固项是否达到等级保护要求进行判定，对照被加固单位信息系统安全等级保护测评报告的结果，验证原不符合项通过加固后成为符合项或部分符合项，以验证结果为依据编写服务器安全加固效果验证报告。由于被加固单位的加固内容存在差异性，各单位服务器安全加固效果验证应存在不同，安全加固效果验证应在安全监控期结束后进行。

安全加固工作完善对安全加固的文档、安全加固的方法和安全加固的内容进行修订与完善，形成一套完整的安全加固措施。

服务器安全加固提升信息系统防护能力

目前服务器安全加固的方式多种多样，主要包括服务器物理安全保护加固方式、服务器硬盘加固方式、通过第三方软件对服务器操作系统和数据库进行加固的方式、通过更改配置和补丁更新等进行直接加固的方式。

篇10

十几年来，勤劳智慧的蓝盾人凭借高度民族使命感和责任感，自主研发出十个系列、近50个型号的产品，多项产品通过公安、保密、军队等权威主管部门的检测认证。

蓝盾拥有AAA级企业信用等级，在经营活动中始终坚持“诚信服务”，追求细致卓越，高效服务客户，以客户需求为导向，在发展过程中逐步形成了涵盖安全产品研发及销售、安全集成及安全服务的完整业务体系，形成了强大的综合服务能力。蓝盾已成为一家安全产品、安全服务、安全集成多业务齐头并进的综合性信息安全企业。

蓝盾建立了以广州营销总部为中心，以北京、上海、重庆为支点，辐射全国的营销和技术服务体系。作为华南地区信息安全第一品牌，蓝盾目前已拥有覆盖全国，涉及政府、电信、金融、军队、能源、交通、教育、流通、邮政、制造等行业的近千余家客户。蓝盾雄厚的实力和一流的服务为公司赢得了广大客户的高度赞誉。

1.安全产品

蓝盾拥有包括安全网关、安全审计、应用安全在内的三大类、十大系列、50多个品种的安全产品线，可基本满足客户在网络边界安全、安全审计与合规、应用安全等方面的信息安全需求。

2.安全集成

作为主营业务之一，蓝盾安全集成业务包括自有的和第三方的信息系统安全产品销售、基础信息系统建设、应用信息系统开发、信息系统运维服务、信息系统安全运营等。蓝盾已为政府、教育、金融、电力、医疗等行业的多家客户提供了信息安全系统整体解决方案。

有别于传统的系统集成业务，蓝盾安全集成业务以公司自有信息安全产品和业务整合为基础，以信息系统安全运营服务平台为基础结构，建立了覆盖产品研发、方案设计、销售和集成、工程实施、管网建设和运营服务的一整套信息系统安全运营业务支持体系，成功实现了从传统信息系统集成业务到以信息安全产品为基础、提供信息系统安全运营整体服务的战略跨越，从而确立了公司整体解决方案在信息安全市场中的领先地位。

3.安全服务

蓝盾提供的安全服务主要包括安全咨询与评估、专业化安全检测与防护、安全认证培训服务、安全运营及管理、安全技术支持等。经过多年积累，蓝盾已为上百家客户提供了专业化的服务，构建了覆盖不同行业客户及客户不同发展阶段的信息安全服务体系。

信息安全产品的研发、生产和销售是蓝盾业务体系的基础。它对信息安全集成及信息安全服务的发展起着至关重要的作用。安全产品业务能够有效促进公司安全集成与安全服务业务的实现和业务量的提升。安全集成与安全服务业务同时还会促进安全产品技术和应用水平的提升。随着技术实力和安全产品竞争力的提高，蓝盾提供整体解决方案的能力也在逐渐增强。在安全集成业务收入快速增长的同时，蓝盾自有安全产品的销售额也在快速增加。

技术创新缔造优势

蓝盾始终以自主创新为发展原动力，以领先的技术研发抢占市场。经过多年的探索和积累，蓝盾已掌握了信息安全领域内的主要核心技术，并拥有该领域内近百项软件著作权。蓝盾目前掌握的主要技术处于国内领先地位，其中蓝盾DDoS防御网关采用的零积累智能识别技术达到了国际先进水平。

凭借领先的技术实力，蓝盾先后实施了包括公安部科技攻关项目在内的多项国家级、部级、省市区级的重点信息安全科研项目，并在公安部等部委制定服务器安全类产品和安全审计类产品行业技术标准的过程种发挥了重要作用。

此外，蓝盾还成功地为北京奥运会和残奥会提供了信息安全产品和服务，并因此获得了北京奥组委颁发的荣誉奖章。

专业资质彰显实力

安全行业是国家强制性保护的行业，获得资质或许可的多少是衡量信息安全企业竞争实力的重要标准。

蓝盾具有技术优势及综合服务能力，已拥有商用密码产品销售许可证、军队网络采购信息资格认证、信息系统产品检测证书、军用信息安全产品认证证书、产品销售许可证、中国信息安全认证中心产品认证证书、广州市自主创新产品证书，并取得了计算机信息系统安全服务一级资质证书、计算机信息系统集成一级资质证书、计算机信息系统集成乙级证书、信息安全应急处理服务资质、信息安全风险评估服务资质等业务资质，还获得了包括信息安全产品、信息安全集成及信息安全服务在内的所有业务类别的较高级别资质和许可，是业内获得资质和许可最全的企业之一。

综合服务铸就品牌

蓝盾的各业务模块能相互促进，共同发展，从而形成了较强的综合服务能力。

蓝盾的信息安全产品可满足客户在网络边界安全、安全审计与合规、应用安全等方面的信息安全需求，并能为客户设计和实施信息安全方面的整体解决方案，满足客户系统化、个性化的安全需求。

此外，蓝盾还可以为客户提供安全咨询与评估、安全检测与防护、安全认证培训服务等专业化的安全服务。蓝盾完整的业务体系及丰富的产品种类可满足不同行业客户的信息安全需求，增强公司的综合竞争力。

蓝盾建立了辐射全国的营销和技术服务体系，这为公司掌握信息安全领域的最新市场动态、及时响应客户需求提供了重要保证。

客户稳定促进增长

信息安全行业的特殊性决定了下游客户对信息安全提供商存在一定的依赖性。随着社会各界对信息安全要求的逐步提高，下游客户在信息安全系统建设和升级的过程中会对安全产品、安全集成及安全服务产生交叉消费和重复消费。

因此，下游用户对信息安全领域的投入是持续性的。蓝盾现有的客户资源既是稳定的业务来源，也是宣传品牌、扩大影响力的最好载体，这有利于新市场及新客户的开拓，也为公司的持续盈利提供了重要保障。

精英汇聚引领成功

篇11

【关键词】信息安全；信息安全保障体系；国家大剧院

Exploration of Information Security Framework for National Center for the Performing Arts

Liu Zhen-yu

（National Center for the Performing Arts BeiJing 100031）

【 Abstract 】 The status of information security of National Center for the Performing Arts is explored. After that， information security problems and risks that National Center for the Performing Arts faced with are analysed. The information security framework which includes technique， management and operating is followed. The paper ends up with the elaboration of the effectiveness of the information security framework.

【 Keywords 】 information security； information security framework； national center for the performing arts

1 背景

随着信息技术的飞速发展，人类正以前所未有的速度进入以网络为主的信息时代，网络的快速发展不仅促进了人们的通信和交流，同时也带来了商业和经济模式的巨大变革。

国家大剧院是国家新建的重要文化设施，也是一处别具特色的景观胜地。作为北京市国家级标志性文化设施，国家大剧院的建设与运行体现了正在迅速崛起和复兴的中国在精神文化领域的追求，因此，依托信息化手段宣传和服务于广大文化艺术爱好者是国家大剧院电子商务网站建设的宗旨，使之成为“国家表演艺术最高殿堂、艺术普及教育的引领者、中外艺术交流最大平台、文化创意产业重要基地”。

国家大剧院网络及信息系统从2007开始逐步建设，建设初期主要满足国家大剧院演出宣传、文艺教育、演出票务、公众服务、内部办公和访问互联网的需求，官方网站电子商务平台承担着对外宣传及网上售票业务。随着国家大剧院近几年影响力和地位的不断提升以及业务的发展壮大，对信息化建设提出了更高要求，同时对信息安全的需求也越来越迫切，结合国家等级保护制度来进行安全保障建设成为国家大剧院信息化建设的有益补充。

2 现状及问题

目前国家大剧院局域网骨干带宽为千兆，双核心。已部署的安全设施，如在整个局域网的出口均部署了防火墙，内网服务器域边界部署了防火墙；在门户网站出口部署了流量控制和入侵防御设备；内部终端还广泛部署了防病毒软件，以防范计算机病毒在局域网内传播和破坏。国家大剧院正在运行的业务系统主要包括网站系统、票务系统、艺术资料管理系统、OA系统、财务系统及邮件系统等。

根据对国家大剧院信息化及信息安全现状的分析，结合国内外信息安全发展态势，发现国家大剧院面临着一些信息安全问题及风险。

假冒网站、网站挂马等安全风险。据权威统计，2011年下半年，检测新增挂马网站独立网址246万，平均每日100万人次访问此类挂马链接，新增钓鱼盗号欺诈类网站独立网址492万，共拦截10亿余次钓鱼盗号欺诈类网址，平均每日600万人次访问此类欺诈类链接。假冒网站独占鳌头的是电商网购类，而且仿冒范围不断扩散，通过国家大剧院运维人员统计观察，越来越多的黑客、病毒、不法机构和人员对国家大剧院电子商务网站系统的正常运行产生威胁，网站业务系统随时都可能遭受恶意攻击。

系统入侵或网络攻击风险。由于系统保护措施不到位，可能导致国家大剧院票务等对外网站系统的域名劫持、DDoS攻击等安全风险。同时，也可能由于软件漏洞或者安全意识单薄等造成内部邮件等信息泄露。

非授权访问风险。由于国家大剧院内部办公等信息系统边界缺乏访问控制设施，并且在网络可信接入、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷，未授权者可通过网络非法访问网站及系统服务器，并进行非法读取、篡改和破坏数据等不良行为，构成对内部数据及信息系统的重大隐患。

数据安全风险。媒资库建设完成后将承载大量的媒体资料，这些有艺术价值的音像资料是国家大剧院的宝贵资产，一旦由于自然灾害、人员非法入侵、内部人员误操作等造成数据丢失损坏，将对国家大剧院造成重大损失。

媒体资源库音像资料版权风险。目前，剧院已经为视频在线传播及直播提供服务平台，然而提供的音视频服务面临版权盗用、盗链和恶意下载等问题，容易对剧院和公众利益带来损害。

内控管理风险。据权威调查报告显示，内部员工的粗心大意是企业信息安全的最大威胁，由此造成的安全事故高达78%。目前，由于国家大剧院内部员工的安全意识还相对淡薄，存在进入业务系统的登录口令设置过于简单，私自访问不安全网站，私自接入不安全设备等问题，这些都给大剧院信息系统造成了极大的安全隐患和威胁。

3 信息安全保障体系探索

3.1 总体目标

通过对国家大剧院信息安全现状、问题以及信息安全建设需求的分析，可知国家大剧院信息安全保障体系建设的总体目标是按照国家信息安全等级保护相关要求，从风险控制、技术设施、管理体制及运维服务等方面入手，基于成熟的安全技术，借鉴先进可行的管理理念，加强外御威胁防护、构建内控管理机制、强化数据保护措施，建立和完善信息安全管理体制，加强安全服务保障，设计适合国家大剧院信息化发展的安全保障体系，从而确保业务流程可控、业务状态可视，保障业务整体安全。

3.2 设计思路

针对国家大剧院安全保障目标，在信息安全保障体系设计上基于几种设计思路。

3.2.1构建网站可信机制

通过第三方网站身份诚信认证来确保网站真实性，可帮助网民判断网站的真实性。同时，基于可信证书类产品，确保系统管理用户身份的真实性。其次，借助社会力量来实现假冒网站的定位、侵权取证等服务，从而有效打击防范欺诈类网站并且协助维权。

3.2.2建设安全可靠的办公网络平台

积极推进信息安全等级保护建设，通过制定安全策略、部署安全设备，完善安全保密管理制度，加强安全运维支撑建设，从物理安全、网络安全、主机安全、应用安全、数据安全、流程安全、人员安全等多方面保障系统的安全稳定运行。

3.2.3建立网络信任服务

通过为网络管理员、网站维护人员颁发数字证书，部署网络可信接入及远程安全接入设施来构建剧院内部的网络信任服务体系，保证信息系统及媒资库资源的可靠访问，确保我院信息资源安全。

3.3 体系框架

在国家大剧院信息系统安全保障体系设计以及实现中，将在国家相关的安全政策、法规、标准、要求的指导下，制定可具体操作的安全策略，构建国家大剧院网站系统安全技术系统、安全管理体系以及安全运行体系，形成集防护、检测、评估、响应、恢复于一体的整体安全保障体系，从而实现物理安全、网络安全、主机安全、数据安全和应用安全，以满足国家大剧院网站系统全方位的安全保护需求。国家大剧院信息系统整体安全保障体系模型如图1所示。

国家大剧院信息系统整体安全保障体系模型主要由三个方面组成。

3.3.1安全技术体系

参考国家标准《信息安全技术信息系统等级保护安全设计技术要求》按照威胁分析，将信息资产划分为若干保护对象，并按照“一个中心”管理下的“三重保护”的设计框架，构建国家大剧院信息安全技术体系保障机制和策略，为国家大剧院信息系统的运行提供安全保护环境。该环境共包括四部分：安全计算环境、安全区域边界、安全通信网络和安全管理中心。

3.3.2安全管理体系

以国家大剧院现有业务系统所服务对象为基础，建立完善的安全管理体系，建立信息安全管理机构、制定信息安全管理制度、设置信息安全管理岗位。

3.3.3安全运维服务体系

针对业务安全运行的需要，以日常巡检、咨询、评估等建立有效的运维服务机制，加强对资产管理的分析、隐患发现、策略审核考评等，不断发现平台在运行中的安全隐患，降低系统脆弱性和面临潜在的威胁带来的影响及损失，以及时对安全策略实现完善和防护措施的改进提升。

3.4 信息安全体系建设实践

国家大剧院信息安全保障工作经过长期的努力，已经初见成效。在安全体系的建设实践中，总结出几点实践经验。

3.4.1制定标准规范，奠定保障基础

信息安全保障建设的一项重要工作之一是参照国家等级保护的技术要求完成相应的合规性检查。因此，国家大剧院应据此建立适合国家大剧院的信息安全管理基线，坚持常态化管理和动态控制，达到并保持国家相关安全主管部门的安全审计要求。

3.4.2重视管理，制度先行

信息安全是一个动态发展的过程，每年随着业务发展变化而变化，同时随着信息安全技术的不断演变，都会出现新的安全防护技术的使用。经过多年实践证明，每个系统或者防护设备上线前，都必须在遵守总体防护规范的前提下，编制好具有针对性的管理要求，才有有效降低安全风险引入的可能。

3.4.3定期组织代码审计和渗透测试等系统检测

代码安全审计是通过人工分析和工具扫描的方式检验应用程序的源代码，利用大量的代码安全规则，来分析源代码中的违反规则部分，进而确定可能存在的安全漏洞和隐患。应用系统生命周期安全的从SDL实践上看，安全做的越早效果越好（但开发模式改动的成本也相对比较大），代码审计作为保证代码安全的最低低线，其作用是不可取代的。

另外，除了从代码开发过程中保证开发出安全的应用系统以外，针对已开发的系统，国家大剧院还组织第三方测试机构，从攻击者视角检测信息系统安全防护能力是否达到，是否存在成功攻入系统的途径。

4 信息安全建设意义

通过构建信息安全保障平台，保障我剧院信息系统可安全合规运行。基于国家信息安全等级保护制度要求，建设国家大剧院信息系统整体安全保障体系模型信息安全保障基础设施，制定安全策略，为国家大剧院系统提供安全可靠的运行环境。

提高国家大剧院电子票务等信息系统的安全运行平稳度。通过在信息安全技术、信息安全保密管理等多维度的体系保障建设，保障网站真实性、打击假冒网站，大大提高国家大剧院信息系统安全稳定运行的平稳度。

提高用户的安全便捷以及系统安全管理能力。通过构建可信的电子票务运营环境，为用户提供身份认证及网络信任机制，加强用户的身份、资金安全保障，并且提高系统安全管理能力。

提升安全隐患发现能力。安全隐患的发现能力是信息安全管理中的关键能力，关系到能否将风险消除在事件发生之前。通过建立入侵监测系统、防病毒系统以及定期的安全脆弱性检测等，大大提升我剧院信息系统的安全隐患发现能力。

5 结束语

建设和完善信息安全保障体系是为了保证国家大剧院的业务在今后发展过程中对信息安全建设的要求。

信息安全保障体系建设涵盖安全管理体系、安全技术体系、安全运维体系的复杂系统工程，是一项长期性的专业的细致的认为，需要以信息安全技术为基础，持续投入大量的人力和物力。为使国家大剧院建设成为国际化、现代化的大剧院提供有力的信息安全保障。

参考文献

[1] 关于大力推进信息化发展和切实保障信息安全的若干意见（国发[2012]23号）.

[2] 信息安全管理实用规则（GB/T 22081-2008）.

[3] 信息系统等级保护安全设计技术要求（GBT25070-2010）.

[4] 信息系统安全等级保护体系框架（GA/T 708-2007）.

[5] 国家大剧院电子商务网站系统安全保障方案.内部资料，2010.

[6] 国家大剧院安全服务保障方案.内部资料，2011.

篇12

【关键词】信息系统；信息安全；安全风险；安全防护

引言

随着信息化的发展及互联网的普及，各种信息系统也逐渐出现在我们的生活及工作学习中，改善着我们的生活品质，提高了我们的工作学习效率。如我们通过信息系统可获取更多的工作及学习资源，为我们更好的开展工作学习创造良好的条件。但在我们使用系统的过程中，伴随而来的是各种各样的安全风险，如果我们存有置之不理、掉以轻心或者侥幸心理，这些风险将诱发各种安全事件，将可能带给我们难以估量的损失。如何做好系统的风险分析及安全防护，对我们系统的安全使用将起着至关重要的作用。

1信息系统风险分析的重要性

信息系统的风险存在于系统的整个生命周期过程中，共包括五个阶段：系统规划和启动、设计开发或采购、集成实现、运行和维护、废弃。在《信息安全技术信息安全风险评估规范》（GB/T20984-2007）中对风险分析在信息系统生命周期中的规范要求进行了充分的阐述，如在设计阶段要进行风险分析以确定系统的安全目标；在建设验收阶段要进行风险分析以确定系统的安全目标达到与否；在运行维护阶段要不断进行风险分析以确定系统安全措施的有效性，确保安全保障目标始终如一得以坚持。在系统规划和启动阶段，主要是提出信息系统的目的、需求、规模和安全要求，通过风险分析可用于确定信息系统的安全需求。在设计开发或采购阶段，主要是进行信息系统设计、购买、开发或建造。通过风险分析可为信息系统的安全分析提供支持，这可能会影响到系统在开发过程中要对体系结构和设计方案进行权衡。在集成实现阶段，信息系统的安全特性应该被配置、激活、测试并得到验证。通过风险分析可支持对系统实现效果的评价，考察其是否能满足要求，并考察系统所运行的环境是否是预期设计的。有关风险的一系列决策必须在系统运行之前做出。在运行和维护阶段，信息系统开始执行其功能，一般情况下系统要不断修改，添加硬件和软件，或改变机构的运行规则策略或流程等。通过风险分析可对系统进行重新评估，或者做出重大变更，以更好得保证系统能满足需求的进行稳定运行或使用。在废弃阶段，主要涉及对信息、硬件和软件的废弃。这些活动可能包括信息的转移、备份、丢弃、销毁以及对软硬件进行的密级处理。通过风险分析，在废弃或替换系统组件时，能确保硬件和软件得到了适当的废弃处置，且残留信息也恰当地进行了处理，并且能确保系统的更新换代能以一个安全和系统化的方式完成。

2信息系统的安全风险及影响

系统的安全风险在信息系统生命周期的各个阶段都存在，在系统规划和启动，如果未对系统进行全面的安全方案设计及详细方案设计，从系统的数据安全及功能服务进行统筹考虑分析，可能导致系统在设计上存在安全隐患及漏洞，可能在系统投入运行之后暴露出各种风险或问题，如设备性能的不合理配置、系统功能的不合理设置、数据库表结构的不合理设计等都可能导致系统出现响应缓慢、数据出错等问题。在设计开发或采购阶段，如果不按照当初的规划及需求开展系统设计开发或采购，存在随意变更修改等行为，将导致系统的功能等无法满足当初的设计需求或规划，或因为方案的不合理变更导致系统无法满足原有的功能需求，从而给系统维护及使用者带来更多的不稳定因素。在集成实现阶段，如果不按照已审定并允许实施的方案进行系统建设，可能导致系统的功能及性能造成偏差，或者带来人力、财力或物力上的浪费及损失。同时未按方案进行建设，可能导致系统存在未知的安全漏洞或隐患，给系统的使用造成潜在的安全影响。在运行和维护阶段，如果未按照管理规定或操作使用说明书对系统软硬件进行维护使用，将容易对系统硬件设备设施造成损坏，同时造成系统被攻击破坏等风险。如设备的开关机、日常维护等未按规定进行操作，导致设备易损坏，影响设备使用寿命。如系统软件的使用、升级更新等未按各安全管理制度进行落实，导致系统易被攻击，易被非授权使用等。在废弃阶段，如果未按照相关要求对系统软硬件进行处理，可能导致设备或系统中的重要或敏感数据泄露，可能给系统维护或使用者带来严重影响，如果有些敏感数据被恶意向社会公开或泄露，可能带来社会的不良影响。如上所述，安全风险在信息系统的整个生命周期中都存在，在各个阶段所存在的安全风险也不尽相同，因此造成的影响也根据系统特性的不同、系统周期的不同而有所区别。在《计算机信息安全保护等级划分准则》（GB17859-1999）中根据信息系统安全保护能力的不同划分了5个等级，分别为用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级及访问验证保护级。每个级别所需达到的安全防护能力也各不相同，用户可根据系统的重要程度采取不同的安全防护能力。对应这个系统的等级划分准则，在《信息安全技术信息系统安全等级保护定级指南》（GB/T22240-2008）中根据系统受到破坏时侵害的客体（国家安全、社会秩序/公共利益、公民/法人和其他组织的合法权益）和对客体造成侵害的程度（特别严重损害、严重损害、一般损害），从数据安全及服务安全两方面将系统进行了5级划分，从一级到五级逐级递增。同时在《信息安全技术信息系统安全等级保护定级指南》（GB/T22240-2008）已对这些的影响进行了系统的描述，如在国家安全层面的影响包括影响国家政权稳固和国防实力，影响国家统一、民族团结和社会安定，影响国家对外活动中的政治、经济利益，影响国家经济竞争力和科技实力等；在社会秩序层面的影响包括影响国家机关社会管理和公共服务的工作秩序，影响各种类型的经济活动秩序，影响各行业的科研、生产秩序等；在公共利益层面的影响包括影响社会成员使用公共设施，影响社会成员获取公开信息资源，影响社会成员接受公共服务等；在公民、法人和其他组织的合法权益层面的影响包括影响法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。

3信息系统安全防护

信息系统在使用过程中存在着各种网络攻击、信息泄露等风险，如用户标识截取、伪装、重放攻击、数据截取、非法使用、病毒、拒绝服务、数据库文件丢失、系统损坏、系统源文件泄露、管理账户口令暴漏、恶意代码攻击等。针对信息系统存在的这些风险，我们应采取各种防护及加固措施将风险控制在可控范围内，为系统的安全稳定运行提供保障。在《信息系统安全等级保护基本要求》（GB/T22239-2008）中根据《定级指南》中的系统级别，明确了各级别系统满足相应等级安全要求的基本条款。在《基本要求》中，从人防、物防、技防、制防等方面对系统的运行维护提供了参考标准，基本涵盖了系统的整个生命周期。为保障系统的安全稳定运行使用，主要包括技术和管理两方面。在技术层面，主要包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等；在管理层面，主要包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等。结合这两方面内容，我们可从人防、物防、技防、制防等方面对系统进行安全防护及加固。人防，在系统的整个生命周期中，人起着最重要的作用，也是最核心的一个因素。①人要具备相应的技术技能，在系统整个过程中解决处理发生的各种情况，充足的理论知识结合丰富的处理能力，能给系统的稳定运行带来事半功倍的效果。②人在系统的运维过程中，需严格按照相关的规章制度进行操作，并能生成各类记录，同时重大的操作需有详细的操作方案或步骤及回退措施，且方案需通过审定确认。③对运维人员的管理及培训，各重要信息运维人员需签署保密协议及安全责任书，并定期或不定期得开展各类培训以提高技术技能，从而满足系统的维护需要。在此，还有一个重要的先决条件，就是单位的负责人要对系统的安全重视，能支持各岗位工作人员的工作，把信息安全当作一件重大事情对待。只有领导的充分重视与关注，各人员的工作才能得到充分得支持，才能更有利得维护系统安全稳定运行。物防，信息系统的运行离不开各种软硬件设施设备，从基础的机房设施设备，到网络设备、安全设备、主机设备、应用软件及各种辅助软件、线路线缆等。因此一个完整的运行环境是系统得以稳定运行的大提前，机房的设计及建设可根据系统的需求按照国家的机房建设标准进行建设。网络及设备的部署需采用冗余方式进行落实，提供设备及线路的硬件冗余，同时需配备各类相应的安全防护设备及软件，从防火墙、WAF、IDS/IPS、防毒墙、恶意代码防范软件、机房监控平台、网络主机监控平台等。一定需求的软硬件产品部署能给系统保驾护航，能满足系统的稳定运行。信息系统的安全稳定运行离不开各设备的支持，“巧妇难为无米之炊”，如果没有合理的设备配置，再好的管理和技术也无法保障系统的安全稳定运行。技防，设备的投入需要合理的安全策略部署，才能起到安全防护作用。因此在配备了相应安全设备的同时，我们需要根据系统的需求设置合理的安全策略，如合理的访问控制策略、路由策略、升级更新策略、恶意代码查杀策略、数据备份策略、安全访问规则等。策略结合设备才能起到关键的防护作用，给系统的稳定运行提供保障。同时策略要结合系统运行的环境及情况进行设置，包括网络环境、使用环境等。如网络出入的流量及带宽限制要考虑系统的日常访问量及网络的带宽等。最合理的策略才是最重要的，要系统的应用与安全相结合，应能保证系统即可用又安全。在当前现状下，各种网络攻击防不胜防，只要我们能结合各安全设备，充分利用各设备的安全防护能力，遵循最小授权原则、最小服务原则，关闭多余的服务和端口，设置合理的安全策略，就能将安全风险降到最低，保持在可控范围内。制防，没有规矩不成方圆，信息安全管理制度的制定及完善是系统稳定运行的一道关口。我们的操作行为应严格按照相关制度及规章规程执行。因此制度的合理及可执行将显得尤其重要。在整个制度体系中，应建立由信息安全方针策略、安全管理制度及操作规章规程构成的体系化的制度。各方针策略、制度及操作规章规程需由相关负责人员讨论审定通过，并通过PDCA循环不断得修订及完善，应保证整个体系文件适用系统的运行维护需求。一旦制度确定落实，各人员将必须严格遵从执行。通过制度管理人的方式将我们的运维工作规范落实，以防工作人员按各自处事习惯进行运维工作，给系统带来不确定的隐患。一套完整的适用的制度是需要通过几年实践才逐步完善的，只有适用的、真正落实到地的制度才能给系统的安全稳定运行带来保障，制度不应停留于纸面，用于对付各类检查。只有将制度真正贯穿在整个系统管理过程中，才能真正看到制度所带得的真实意义所在。在人防、物防、技防、制防中，各个环节是相辅相成的，彼此穿插，从制度落实，由人将设备及技术相结合，以保证系统的稳定运行，降低安全风险系数，让风险在可控范围之内。

4结束语

信息系统的安全风险是客观存在的，只要我们做好风险的控制，就能确保系统稳定安全的运行。本文针对信息系统的安全风险进行了描述分析，并结合风险提出了安全防护的描述，通过人防、物防、技防、制防等方式加强系统的稳定运行，希望各信息系统能更安全稳定的运行，同时给我们的生活、工作及学习带来更多的便捷及享受。

参考文献

[1]《信息安全技术信息安全风险评估规范》（GB/T20984-2007）[S].

[2]《计算机信息安全保护等级划分准则》（GB17859-1999）[S].

[3]《信息安全技术信息系统安全等级保护定级指南》（GB/T22240-2008）[S].

篇13

【关键词】虚拟；信息系统；节能

1.现状调查及主要问题

信息化的发展给企业带来效益和便利的同时，也随之带来一些负面影响，业务应用的电子化对网络和主机系统稳定性的依赖越来越高，一旦信息系统出现问题，将极大的影响业务的正常开展。由于各信息系统的建设通常采用服务器集中的方式，因此服务器运行不稳定，将直接导致整个应用业务无法处理，给运行维护工作带来了巨大的挑战。

1.1应用系统不断增加，机房机满为患

在同一个场地上，放置了UPS、空调、小型机、服务器、交换机、存储设备等，满满当当。在中心机房部署运维的系统已有30多个。另外，由于机房对电源、温度、湿度等环境要求很高，机房UPS电源、空调系统能耗巨大。

1.2服务器数量不断增加，但是使用效率却比较低

在传统的运作方式下，为避免信息系统之间相互干扰，每当有一个新的信息系统上线，至少要增加一台至两台服务器。另一方面，通过对服务器使用性能的监测，发现很多服务器CPU的利用率都不超过30%，有的甚至只有10%。

1.3信息系统运维复杂，专业人员短缺

众多的应用系统，由于使用不同的物理机器，不同的操作系统，运维人员在操作系统的安装、应用系统的部署、以及后期的运维和备份工作中都需要一个一个地去做，费时费力，而且系统安全性无法保证。

2.对策措施

2.1降低信息系统直接成本

对策：减少服务器硬件、操作系统、备份软件、备份认证序列号等购买。

目标：减少75%服务器、操作系统的购买，部署应用时停止购买备份认证序列号。

措施：利用服务器虚拟化技术，搭建了服务器虚拟化平台。虚拟化平台搭建之后，一台物理机的资源可以虚拟出5台甚至更多虚拟机。预配置的虚拟机能被快速创建和立即在任何位置，解决系统备份的问题。

2.2提高信息系统安全性

对策：加强一般应用系统稳定性。

目标：在不增加硬件的前提下，将一般系统部署双机。

措施：利用服务器虚拟化技术，用一台性能较好的服务器，就可以建立约5台服务器的备机，有效的解决备机不足的问题。

3.实施解决

服务器虚拟化技术——服务器虚拟化技术是近些年比较热门的信息技术，它能够将服务器物理资源抽象成逻辑资源，让一台服务器变成几台甚至几十台相互隔离的虚拟服务器，不再受限于物理上的界限，让CPU、内存、磁盘、I/O等硬件变成可以动态管理的资源池，从而提高资源的利用率，简化系统管理，实现服务器整合。

采用1想万全R525G2　服务器，利用VMware虚拟化技术搭建了虚拟化平台，实施步骤如下：

3.1　VMWARE　主机安装环境

硬件环境：联想万全R525G2服务器，　XEON　2.4G　双内核，双　CPU，　16G　内存，140G　SCSI　硬盘，100/1000M　内置网卡。

软件环境：WIN2003　企业版，VMware。

3.2在　VMWARE　中创建虚拟机

运行　VMware创建虚拟机，Vmware　为了保证系统的兼容性和稳定性，把现有的设备都虚拟成了最标准的、兼容性最好的设备。由于实际驱动设备的程序仍是在宿主机上运行的驱动程序，实际上的效率并没有多少降低。虚拟机操作系统安装完成后，安装　VMware　tools　还可以使虚拟机更有效的“继承”（识别）宿主机的硬件，如显卡、网卡，　鼠标在宿主机和虚拟之间平滑切换等。如果把虚拟机全屏显示，你甚至感觉不到和操作一台普遍的电脑有什么差别。用鼠标在VMware的窗口中点一下就可以进入相应的虚拟机。

3.3创建虚拟应用系统

在不增加新服务器的情况下，将原占用3台不同服务器物理机的网络管理系统、补丁更新系统、DHCP系统通过重新部署的方式分别放置到同一物理机的不同虚拟化平台上。经测试各信息系统运行正常。

同时可将此物理服务器上配置完毕的3个虚拟机快速创建在其他服务器上作为备用。当主用服务器出现故障或需要升级时，再启动该虚拟机。备机到主机的切换只需更改　IP　地址和启动应用服务即可。单台虚拟服务器的备份只需点击虚拟平台的镜像备份，即可产生服务器的操作系统和部署应用的全镜像备份，无需单独安装备份软件和购买认证序列号，每台虚拟服务器的安装、维护也比一台单独的　PC　更加方便快捷，且信息系统安全性更高。

4.实施效果

经过近一年的应用，事实证明应用服务器虚拟化技术“一举多得”：

4.1减少硬件投入成本，降低能源消耗，节省机房空间面积

虚拟化平台搭建之后，一台物理机的资源可以虚拟出4台甚至更多虚拟机的时候，虚拟化软件投入的成本立刻得到了回报。首先减少服务器的购买，同时由于减少了服务器的使用，按照一台服务器一年需要使用6300度电来计算，节约10台物理机，总共可以节约用电6.3万度，一年可以减少电费约5万元。另外机房空间资源、UPS资源紧张的矛盾也能够得到缓解。

4.2降低信息系统安装和运维的繁杂程度，使得系统的安装部署简单易行

传统的服务器部署模式下，不同品牌、不同型号的服务器，在安装部署过程中，会产生很多硬件相关的问题，过程费时费力，非常繁杂。虚拟化平台搭建好之后，安装有常用的操作系统，并制作成相应的模板，新的应用系统安装时只要通过模板复制就可以轻松完成，整个过程可能不会超过几分钟，非常地轻松简便。

4.3提高信息系统安全性，随时备份随时恢复

只需简单的操作变更，就可以对信息系统进行备用切换，特别的对于实时性要求不高的信息系统效果显著。　[科]

【参考文献】

［1］李新苗.虚拟化是把双刃剑[J].通信世界，2009，（26）.

篇14

港口信息安全保障应贯穿在港口信息系统的整个生命周期中。港口信息安全保障的工作者应针对港口信息系统的发展特点，通过对港口信息系统的风险分析，制定并执行相应的安全保障策略，从多角度、多层面提出港口信息安全保障要求，确保港口信息系统的保密性、完整性和可用性，将安全风险降至最低或可接受的程度。港口信息化发展重点主要在于对外的数据交换和服务。港口信息安全风险主要来自于港口信息系统自身存在的漏洞和系统外部的威胁。为最大化控制该风险，港口信息系统安全保障工作者应在信息安全保障策略体系的指导下，设计并实现港口信息安全评价体系架构或模型，港口信息安全评价体系的制定应反映港口企业对信息系统安全保障及其目标的理解，其制定和贯彻执行对信息系统安全保障起着纲领性指导作用。港口信息安全评价体系应选用一种折中的机制，在有限资源前提下实现最优选择。防范不足会造成直接的损失，防范过多又会造成间接的损失，在解决或预防安全问题时，要从经济、技术、管理的可行性和有效性上做出权衡和取舍。从现代港口企业信息安全保障工作者的视角出发，其工作层面无外乎对港口信息安全保障的战略管理、常态监管和应急响应。战略管理体现其信息安全战略的先进性，表现在港口企业对信息安全战略规划的制定情况、港口信息安全管理部门的战略地位和港口企业对信息安全工作的资金保障力度等。这些评价能反映港口企业对信息安全的重视程度，预见港口企业信息安全工作未来的发展前景。常态监管主要指港口信息安全战略的具体执行情况，包括基于对港口业务风险的认识，建立、实施、操作、监视、复查、维护和改进信息安全等一系列管理活动，具体表现为计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。应急响应主要包括在一些紧急、无预测的危机下，快速应对、解决问题的能力，度过危机以减少损失或者把损失降低到最低程度。

2现代港口信息安全评价指标体系框架

为了让指标体系更加科学、全面、综合，力争每个门类的指标定量、定性相结合，笔者选用了工作层面、保障要素、指标类型作为现代港口企业信息安全保障指标体系框架的3个维度。

3评价指标

按照评价指标体系框架，采用第一维度、第二维度、第三维度逐个相交的方式，对各评价点进行分解，可以设计出适应现代港口企业信息安全保障工作的评价指标体系。为了让指标体系更加科学、可操作，笔者在对上海港、黄骅港等大中型港口调研的基础上，梳理分析，设计出一套普适性较强的评价指标体系。该体系能够较客观、准确、全面地反映港口信息安全工作水平，供港口企业信息安全保障工作者参考。

4结语

1)信息安全评价体系对于现代港口评价信息安全保障工作的完备性，最大化降低、控制信息安全风险，减少技术故障、网络攻击等安全问题对业务带来的影响具有十分重要的作用。

2)以现代港口企业信息安全保障工作为研究对象，遵循科学全面、简单可操作、向导性原则，从工作层面、保障要素、指标类型出发，设计了一套三维评价指标体系框架，并结合国家对港口企业信息安全的相关要求，分析出56个具体指标，提出了评价指标的量化方法和计算方法，可为港口企业信息安全自评价提供参考。

其它优质范文

友情链接

信息系统安全运维服务精选(十四篇)

篇1

篇2

篇3

篇4

篇5

篇6

篇7

篇8

篇9

篇10

篇11

篇12

篇13

篇14

其它优质范文

财务内控信息化方法探索

会计信息质量对投资者决策的影响

国有企业档案信息安全管理现状

信息素养的培养原则与路径研究

企业信息化内部控制分析

信息技术与远程教育的教学结合

推荐阅读

推荐期刊

四川建筑

国际木业

电信技术

新一代信息技术