信息安全保护通用12篇

开篇：写作不仅是一种记录，更是一种创造，它让我们能够捕捉那些稍纵即逝的灵感，将它们永久地定格在纸上。下面是小编精心整理的12篇信息安全保护，希望这些内容能成为您创作过程中的良师益友，陪伴您不断探索和进步。

一、前言

二、云计算概念

云计算是将分布式处理、并行处理、虚拟化和网格计算以及互联网相结合的一种先进的资源服务模式，它将计算工作分布在多个的服务器构成的资源池上，使用户能够按所需获取计算能力、存储空间和信息服务。一般由存储与计算机服务器、宽带资源等大型服务器的集群，通过专门的软件进行自动管理，同时也可以进行自我的维护，无需人工参与。云计算中，软件和硬件可以成为资源而提供给用户使用，用户可以动态申请所需资源，云计算对软件和硬件资源可以进行很好的分配，用户能够更加专注自己的业务，提高工作效率和降低成本。由于云计算具备动态扩展、伸缩特性，随着用户的不断增长，云计算可以根据不断对系统进行扩展。

云计算的主要特点有：稳定性：具备良好的容错能力，当某个节点发生故障时，云计算平台能快速找到故障并恢复；高扩展性：云计算平台具有高扩展性和灵活的弹性，能够动态地满足用户规模的增长和需要；虚拟化：云计算通过虚拟化技术将分布式的物理和数字资源进行虚拟化，统一存放在数据中心，用户可以在任何地方使用终端来获取服务；通用性：云计算环境下可以构造出各种功能的应用，满意用户的大部分需求成本低廉：云平台的特殊容错机制可以采用极其廉价物理资源，资源成本低。

三、云平台面临的安全问题

云平台是基于云计算的技术基础上发展起来的，建立安全的云平台，必须要有一个安全的运行构架来保证云平台的安全运行。

现今云平台间来所要面临的问题主要有：

1、安全边界不清晰：虚拟化技术是云计算的关键技术，服务器虚拟化，终端用户数量非常庞大，实现共享的数据存放分散，无法像传统网络那样清楚的定义安全边界和保护措施。

2、数据安全隐患：根据云计算概念的理解，云计算的操作模式是将用户数据和相应的计算任务交给全球运行的服务器网络和数据库系统，用户数据的存储、处理和保护等操作，都是在“云”中完成的，将有更多的业务数据、更详细的个人隐私信息曝露在网络上，也必然存在更大的泄露风险。

3、系统可靠性和稳定性的隐患：云中存储大量数据，很容易受到来自窃取服务或数据的恶意攻击者、滥用资源的云计算用户攻击，当遇到严重攻击时，云系统可能面临崩溃的危险，无法提供高可靠性、稳定的服务。

4、云平台遭受攻击的问题

云计算迅速发展的同时，也面临着信息安全的巨大挑战。目前安全问题已成为困扰云计算更大发展的一个最重要因素。某种程度上，关于云计算安全问题的解决与否及如何解决，将会直接决定云计算在未来的发展走势。目前云计算环境存在以下隐患。

四、云环境信息安全防护解决方案

1、云服务提供商

从云服务提供商角度，安全防护方案：

（一）、基础网络安全

基础网络是指地理位置不同的数据中心和用户终端的互联。采用可信网络连接机制，对检验连接到通信网络的设备进行可信，以防止非法接入设备。基础网络安全设备性能要满足与网络相匹配的性能的需求，可以实现随着业务发展需要，灵活的扩减防火墙、入侵防御、流量监管、负载均衡等安全功能，实现安全和网络设备高度融合。

（二）、虚拟化服务安全

“按需服务”是云计算平台的终极目标，只有借助虚拟化技术，才可能根据需求，提供个性化的应用服务和合理的资源分配。在云计算数据中心内部，采用VLAN和分布式虚拟交换机等技术，通过虚拟化实例间的逻辑划分，实现不同用户系统、网络和数据的安全隔离。采用虚拟防火墙和虚拟设备管理软件为虚拟机环境部署安全防护策略，采用防恶意软件，建立补丁管理和版本管理机制，及时防范因虚拟化带来的潜在安全隐患。

（三）、用户管理

实现用户分级管理和用户鉴权管理。每个虚拟设备都应具备独立的管理员权限，实现用户的分级管理，不同的级别具有不同的管理权限和访问权限。支持用户标识和用户鉴别，采用受安全管理中心控制的令牌、口令及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份的鉴别，对鉴别数据进行保密性和完整性保护。

（四）、数据传输安全

采用在云端部署SSLVPN网关的接入方案，避免云环境下用户的数据信息从终端到云计算环境的传输中，数据信息容易被截获的隐患，以保证用户端到云端数据的安全访问和接入。

2、云服务终端用户

从终端用户角度，安全防护方案：

（一）、选择信誉高的服务商

企业终端用户应做风险评估，清楚数据存在云中和存储在自己内部数据中心的潜在风险，比较各家云服务供应商，取得优选者的服务水平保证。企业终端用户应分清哪些服务和任务由公司内部的IT人员负责、哪些服务和任务交由云服务供应商负责，避免恶意操作带来的损失，也能保证服务的持久化。

（二）、安装防火墙

在用户的终端上部署安全软件，反恶意软件、防病毒、个人防火墙等软件。使用自动更新功能，定期完成浏览器打补丁和更新及杀毒工作，保证计算环境应用的安全。

（三）、应用过滤器

目的在于监视哪些数据离开了用户的网络，自动阻止敏感数据外泄。通过对过滤器系统进行安全配置，防止数据在用户不知情的状态下被泄露，避免用户自身数据的安全性降低。

3、云计算监管方

五、结束语

总之，网络安全保护是一项重要、复杂的工作，目前，云安全还只是在发展阶段，面对的问题较多，因此，我们应始终保持积极的态度，不断的努力，使我国云计算服务朝着可持续的方向健康发展。

参考文献

关键词：

个人数据；大数据；信息安全

1对大数据的看法

大数据的特点：当前大数据时代的主要特点就是数据信息量极大，类型较多并且运算效率高，能够产生一定的价值。就以一个最为常见的案例来说，当前大部分的移动设备，计算机设备的存储上限都由MB发展到了GB，再从GB发展到了TB，统计数据的信息量逐年上升。其次，大数据时代下，不仅数据信息的总量不断上升，数据的类型和样式也变的多样化。以前可能我们身边接触到的数据信息就以文字、图片为主要形式，但是当前视频、音频、电子邮件等的发展大大拓宽了大数据信息的类别。同时在大数据时代下运算的效率速度也明显上升，各种现代化的搜索引擎以及数据挖掘技术都为数据的处理奠定了坚实的基础。

2大数据时代下人们信息安全面临的挑战

3大数据环境下个人信息安全保护的途径

目前随着大数据时代的到来，人们对于个人信息的保护和控制程度远远不如过去，很多时候个人隐私在不知不觉中就会被暴露在网络上，这些数据对于一般人来说可能没有什么作用，但是有的人可能从其中找到一些非法的牟利手段，间接的影响到用户的财产安全。因此我希望能够提出一些有效的个人信息安全保护对策来提高用户对信息的重视思想。

3.1匿名保护

3.2个人提升一定的安全防护意识

3.3政府部门加强监管

第三，政府内部专门的网络监控部门应当实施对网络的有序监管，随着大数据时代的到来，数据信息的容量以及内容逐渐增加，政府部门实施有效的网络监控措施能够对个人信息安全保护起到积极的作用。政府部门可以通过政府专用网络实现对大部分公网、子网的监控和审核，对于存在安全隐患的网址予以严肃的处理，如果存在严重影响到社会安定，人们的财产安全的则应当追究一定的刑事责任，最大化的保证大数据时代下网络系统的安全，保证个人信息安全。

3.4国家构建全面的法律法规

第四，国家也应当逐渐重视大数据时代下的网络信息安全问题，通过构建有效的法律法规体系来避免黑客钻法律的空子。很多情况下黑客之所以敢去窃取用户的信息一方面认为警察无法追捕到自己，所产生的影响不至于受到刑事责任，另一方面非法分子认为即使被抓到，也只是简单的惩罚一些金钱，而不是负刑事责任。因此国家应当严肃处理网络非法事件，对于非法入侵他人用户机的黑客予以严肃处理，不仅应当惩罚金钱，还应当追究刑事责任。

4结束语

总而言之，目前在大数据环境下个人信息安全防护是非常重要的问题，黑客技术的不断上升以及互联网的不断推广和普及都影响到了人们的信息安全。个人应当逐渐提高对网络使用的警惕心理；政府有关部门则应当重视网络的监管，降低黑客入侵现象的发生；最后国家有关部门构建全面系统的法律法规体系，使得黑客不敢如此猖獗。从这三面来提高个人信息安全保护的效果，保证人们能够在一个稳定健康的网络环境中发展。

作者：任凯单位：莱芜市莱城区凤城高级中学

[1]雷善雨.浅析大数据环境下的个人信息安全保护[J].科技创新导报，2015，32：20-21+23.

[2]张宸.大数据环境下个人信息保护研究[D].黑龙江大学，2015.

关键词：社交网络；隐私保护；个人信息安全；信息安全举措

一、社交网络安全性分析

二、隐私保护控制方法

为了在社交网络中保护用户个人信息安全，许多专家学者提出了许多理论研究，常见的有以下几种技术：①Sweeney专家提出的K-匿名技术，该技术将用户信息数据库的部分信息数据进行泛化处理，使得其中包含个人敏感信息的K个位置的信息数据形成匿名集，进而实现对用户隐私的保护；②Chen等人提出的生成虚假信息的隐私保护方法，在用户位置信息的服务器中形成多种不同位置信息，进而使得攻击者难以正确识别用户信息；③MatsuuraK和HuangL提出的基于区域划分的轨迹隐私保护理论，将用户的轨迹进行分析分类，对用户经过的敏感区域进行用户个人信息的保护，防止用户个人信息的泄漏；④Gabrial提出基于分布式协议的prive方法等等。

三、用户个人信息安全保护措施

3.2社交网络企业加强用户信息保护管理

3.3提高社交网络用户安全意识

四、结论

作者:刘伟彦单位:武汉市第六中学

参考文献：

[1]郭祥.基于移动社交网络的隐私保护关键技术研究与应用[D].电子科技大学硕士学位论文,2015.6.

[2]孟晓明.贺敏伟.社交网络大数据商业化开发利用中的个人隐私保护[J].图书馆论坛,2015(6).

一、个人信息安全面临的挑战

二、个人信息安全保护的措施

2.建立个人信息安全保护的法律法规。我国目前现有的法律法规对个人信息的保护虽然有所涉及，但这些规定都还只是零散地分布在各个法律之中，并未形成一个完整的个人信息安全保护的法律体系，而且没有一部明确保护个人信息的专门法律。立法保护个人信息，不仅突出了公民的信息自由权，彰显出以人为本的理念，回应了和谐社会权利有序化的诉求。同时还可保护网上消费者的个人信息安全，促使网络运营有序化，推动全国电子商务和电子政务的健康发展。

3.完善个人信息安全保护的技术措施。在互联网环境下，个人信息的泄露主要是由黑客等机构外部人员获取和网络传输过程中的问题造成的，因此要加强软硬件的技术保障，从而保护用户个人信息安全。在硬件方面主要通过安装防病毒硬盘等硬件设施进行保护。在软件方面主要通过个人隐私安全平台、加密软件、数据备份软件、自动删除个人资料软件等保护措施。针对网络上的个人信息易泄露的问题，网络营运商除了应向用户提供提示信息，还应该使用各种安全技术来保护网络用户的个人信息不被不法分子侵害。

4.建立健全个人信息安全保护与防范机制。个人信息安全的保护不仅要依靠法律，更需要网络主体从业人员的道德意识以及自律意识。加强网络道德建设，用道德标准约束人们在网络上的行为，要让网络道德成为人们在网络中实施行为时的一个标准。对网络运营商而言，除了要对网络从业人员进行道德教育并提高行业自律意识外。

结束语

大数据时代的到来极大地促进整个社会的发展。大数据在各行各业中的运用，使我们精确地了解到过去通过抽样调查很难了解的许多东西，让我们更深刻地认识了这个社会，从而更进一步改善这个社会。我们不应该否认大数据带来的益处，同样我们应该使这种益处最大化。但大数据带来的对个人信息安全的威胁我们也应该有着充分的认识。保护个人信息不仅是对社会每个成员的保护，更是对国家安全以及社会长期持续健康发展的保护。

关键词：信息系统安全等级保护福建

一、引言

信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。我国实施的信息系统安全等级保护制度，根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素,将信息系统的安全保护等级划分为5个级别，从第一级到第五级逐级增高，对不同安全级别的信息系统实施不同的安全管理。

二、我国信息系统安全等级保护思想的形成

1994年，《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。

1999年，我国公安部组织制定了强制性国家标准――《计算机信息系统安全保护等级划分准则》。

2000年11月10日，国家计委批准公安部开展“计算机信息系统安全保护等级评估体系及互联网络电子身份管理与安全保护平台项目”建设。

2003年，《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发［2003］27号）明确指出“实行信息安全等级保护”，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。这标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。同时中央27号文明确了各级党委和政府在信息安全保障工作中的领导地位，以及“谁主管谁负责，谁运营谁负责”的信息安全保障责任制。

2004年9月，公安部会同国家保密局、国家密码管理局和国务院信息办联合出台了《关于信息安全等级保护工作的实施意见》（公通字［2004］66号），明确了信息安全等级保护制度的原则和基本内容，以及信息安全等级保护工作的职责分工、工作实施的要求等。

2006年1月，公安部、国家保密局、国家密码管理局、国信办联合制定了《信息安全等级保护管理办法（试行）》，并于2007年6月修订。

2007年6月，公安部会同国家保密局、国家密码管理局和国务院信息办联合颁布《信息安全等级保护管理办法》（公通字［2007］43号，以下简称《管理办法》），明确了信息安全等级保护制度的基本内容、流程及工作要求，进一步明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务，为开展信息安全等级保护工作提供了规范保障。

三、开展信息系统安全等级保护工作的必要性和重要性

⒈开展信息系统安全等级保护工作的必要性

随着网络新技术的飞速发展和各类信息系统的广泛应用，网络与信息安全也相应出现了许多新情况、新问题，福建省网络与信息安全防护工作面临的形势十分严峻。这就使得开展信息系统安全等级保护工作成为必然。

一是网上斗争日趋复杂，不确定性增强。由于在互联网上传播信息具备快速便捷、低成本、无国界、易消除痕迹、技术变化快等特点，使互联网成为境内外敌对势力、敌对分子从事各种破坏活动的重要工具。我国将长期面临敌对势力的信息优势、技术优势所带来的信息安全威胁。

二是网络违法犯罪活动迅速增多，造成的后果越来越严重。随着新技术、新应用的发展，暴露出来的网络与信息安全问题也日益增多。

⒉开展信息系统安全等级保护工作的重要性

开展信息安全等级保护工作，就是要解决我国信息安全面临的威胁和存在的主要问题，按标准建设安全保护措施，建立安全保护制度，落实安全责任，加强监督检查，有效保护重要信息系统安全，有效提高我国信息和信息系统安全建设的整体水平。

建立信息安全等级保护制度，开展信息安全等级保护工作，有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调；有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务；有利于优化信息安全资源的配置，重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全；有利于明确国家、法人和其他组织、公民的信息安全责任，加强信息安全管理；有利于推动信息安全产业的发展，逐步探索出一条适应社会主义市场经济发展的信息安全模式。

四、加快推进福建省重要信息系统安全等级保护工作

信息系统安全保护工作的首要环节是定级，定级工作是开展信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。信息系统安全级别定不准，系统建设、整改、备案、等级测评等后续工作都将失去针对性。此次福建省重要信息系统安全等级保护工作将分四个阶段进行。

1.突出重点，全面准确划定定级范围和定级对象

此次重要信息系统定级的范围是国家基础信息网络和重要信息系统，这些网络和系统广泛分布在各级党政机关和电信、广电、铁路、银行、民航、海关、税务、电力、证券、保险等数十个行业。将这些基础信息网络和重要信息系统纳入此次定级的重点范围，体现了统筹规划、突出重点、重点保障基础信息网络和重要信息系统安全的总体要求和原则。

2.依据《管理办法》，准确确定信息系统安全保护等级

福建省各运营使用单位和主管部门在全面分析各自信息网络和信息系统在国家安全、社会秩序、公共利益等方面的作用和影响的基础上，根据信息网络和信息系统被攻击破坏后对国家安全、社会秩序和公共利益等方面可能造成的危害程度等因素，依据《管理办法》，参照《定级指南》所提供的定级方法，综合确定信息系统的安全保护等级。在确定等级的过程中，要最大限度地避免定级的盲目性、随意性，力争做到定级准确、科学、合理。

3.及时备案，加强对定级工作的监督、检查和指导

为全面掌握基础信息网络和重要信息系统的单位和系统的基本情况，保护重点领域的重要信息网络和信息系统，凡是安全保护等级为第二级以上的信息系统运营使用单位或主管部门要按照《管理办法》的要求，到公安机关进行备案。公安机关受理备案后要对备案材料进行审核，加强对重要信息系统安全等级保护定级工作的监督、检查和指导；对定级不准的，要及时通知备案单位重新定级。

4.依据《管理办法》和技术标准，开展整改、测评等工作

信息系统的安全保护等级确定后，运营使用单位要按照信息安全等级保护管理规范和技术标准，使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品，开展信息系统安全建设或者改建工作，建设符合等级要求的信息安全设施；参照信息安全等级保护管理规范，制定并落实安全管理制度；选择符合《管理办法》规定条件的测评机构，依据技术标准对信息系统安全等级状况开展等级测评，使其尽快达到等级要求的安全保护能力和水平。

五、加大力度，确保福省重要信息系统安全等级保护工作任务落到实处

随着北京奥运会的日益临近，特别是“科技奥运”和“数字奥运”是2008年北京奥运会的一大亮点，信息安全等级保护的工作任务艰巨，责任重大。福建省公安、保密、密码工作和信息化等部门要密切配合，及时开展监督、检查，严格审查信息系统所定级别，积极开展备案、整改、测评等工作。同时，充分利用广播电视、报刊杂志、互联网等媒体，加大对国家信息安全等级保护制度的宣传力度，积极开展面向不同层次、不同对象的宣传、培训，以确保福建省重要信息系统安全等级保护工作落到实处。

1.明确职责，落实责任

各级公安机关要积极向当地党委、政府专门汇报，主动争取党委、政府对信息安全等级保护工作的重视和支持；或者成立专门的等级保护工作直辖市领导小组，加强对定级工作的领导，研究制定定级工作实施方案。各运营使用单位及其主管部门要按照“谁主管谁负责、谁运营谁负责”的要求，明确主管领导和责任部门。各信息系统主管部门要切实加强对定级工作的组织、领导，落实等级保护各项责任，督促、指导本行业、本系统开展定级、备案、建设整改等工作。

2.密切配合，通力协作

各级公安机关作为开展等级保护工作的牵头部门，要加强同保密、密码工作、信息办等其他信息安全职能部门的协调、配合，尽快建立健全信息安全等级保护监管工作的协调配合机制；要主动与信息系统主管部门交流沟通，督促配合其组织下属信息系统运营、使用单位建立信息安全责任制，建立并落实等级保护制度，从而确保等级保护工作的顺利、有效实施。

3.加强宣传，强化培训

一、工作目标

通过深入开展此次专项活动，确保全市重要信息系统能够全面进行准确定级和审核备案；全面组织等级测评和风险评估；全面开展监督检查和建设整改；全面落实管理制度和安全责任，努力实现我市信息安全等级保护工作规范化、制度化、常态化的管理目标，不断提高重要信息系统安全防范能力和应急处置能力，为建国周年庆典活动创造一个良好的网络环境。

二、工作任务

（一）全面进行准确定级和审核备案。各部门、各单位要参照国家机关、中央企事业单位及省直机关、省属企事业单位已审核的信息系统安全保护等级，对本单位信息系统全面进行定级和审核备案。对于已经定级、备案的系统，凡符合上级国家机关、企事业单位安全保护等级的，可不再重新定级和审核备案，否则均要重新定级和审核备案；对于尚未定级和审核备案的系统，都要比照上级部门信息系统安全保护等级逐一进行定级备案。其中，安全保护等级确定为一级的信息系统，公安机关应做好登记工作。安全保护等级确定为二级以上的信息系统，各信息系统运营使用单位要在公安机关办理审核备案手续，填写《信息安全等级保护备案表》，实行审核备案管理。全市重要信息系统定级和审核备案率要达到100%。

（二）全面组织等级测评和风险评估。关系到我市国计民生或影响面较大的二级信息系统和三级以上(含三级)的重要信息系统都要按照《信息安全等级保护管理办法》及省发改委、省公安厅、省国家保密局《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》要求，全面开展等级测评及风险评估工作。其初次测评及风险评估率应达到61%以上（其他尚未开展初次测评的系统应于年上半年完成）。

（三）全面开展监督检查和建设整改。关系到我市国计民生或影响面较大的二级信息系统和三级以上(含三级)的重要信息系统都要按照《公安机关信息安全等级保护检查工作规范》规定的检查内容、检查项目、检查要求等，全面组织开展安全等级保护监督检查和限期整改工作，其监督检查率应达到100%，限期整改率应达到80%以上。其他被定为二级（含二级）以下的信息系统，可由信息系统运营使用单位进行自查和整改。

三、工作步骤

（一）定级与备案阶段（8月18日至9月15日）。市专项活动领导小组在8月31日前进行组织动员和工作部署，开展信息系统普查，全面摸清底数，掌握基本情况，确定定级对象。9月15日前，各重要信息系统运营使用单位要对照上级国家机关、企事业单位已审核备案的信息系统安全保护等级，对应确定本单位信息系统安全保护等级，并做好申报备案。对审核符合安全保护等级要求的，由市专项活动领导小组颁发信息安全等级保护备案证明。凡审核定级不准的，应重新评审确定，为等级测评和检查整改奠定基础。

（二）测评与检查阶段（9月15日至11月30日）。市专项活动领导小组将对关系我市国计民生的二级信息系统及三级以上（含三级）信息系统开展安全等级测评和风险评估。市专项活动领导小组督促、指导各单位积极做好信息安全等级保护和监督检查工作。各重要信息系统运营使用单位要按照国家《信息安全等级保护管理办法》和省发改委、省公安厅、省国家保密局《转发国家有关部门关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》精神，提前做好人员、技术、经费等各项准备工作，按时完成信息系统等级测评和风险评估。

（三）总结与整改阶段（12月1日至12月31日）。市专项活动领导小组根据信息系统安全等级测评和风险评估中发现的安全隐患和问题，向运营使用单位下发《整改通知书》，要求该单位限期对安全设施、技术措施、管理制度、安全产品、管理人员等方面存在的问题进行全面整改。各单位要制定相应的建设整改方案，认真搞好安全隐患的整改工作。

四、工作要求

（一）统一思想认识，切实加强领导。各地各有关部门要充分认识当前重要信息系统安全面临的严峻形势，进一步增强做好信息安全等级保护工作的责任感和紧迫感，务必把此项工作作为事关国家安全和社会稳定，特别是国庆61周年安全保卫的一项重要政治任务，纳入议事日程，摆在应有位置。为切实加强领导，成立荆州市深入开展全市重要信息系统安全等级保护管理专项活动领导小组（名单附后），领导小组在本次专项活动完成后，继续担负我市重要信息等级保护工作的组织领导职责。要建立健全信息安全等级保护协调领导体制和工作机制，精心组织实施信息安全等级保护管理工作。各地各有关部门分管领导要亲自挂帅指挥，按照“谁主管，谁负责，谁使用，谁负责”的原则，成立领导小组，建立工作专班，确立联络人员，迅速行动、全力以赴，大张旗鼓地组织开展等级保护工作。

《中国标准导报杂志》2015年第四期

1信息系统安全等级保护测评依据的标准

GB/T28449—2012《信息安全技术信息系统安全等级保护测评过程指南》规定了信息系统安全等级保护测评工作的测评过程，既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价，也适用于信息系统的运营使用单位在信息系统定级工作完成之后，对信息系统的安全保护现状进行的测试评价，获取信息系统的全面保护需求。GB/T28448—2012《信息安全技术信息系统安全等级保护测评要求》针对信息系统中的单项安全措施和多个安全措施的综合防范，对应地提出单元测评和整体测评的技术要求，用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。GB/T22239—2008《信息安全技术信息系统安全等级保护基本要求》根据现有技术的发展水平，提出和规定了不同安全保护等级信息系统的最低保护要求，即基本安全要求，包括基本技术要求和基本管理要求，该标准适用于指导不同安全保护等级信息系统的安全建设和监督管理。

2整合实施的思路

2.1审核与测评的过程整合整合是为了在组织内部建立一套信息安全管理体系及制度，而且该制度既符合信息安全管理体系又符合信息系统安全等级保护的管理要求，并给组织带来收益，避免不必要的冲突和资源浪费。根据对审核和测评的过程分析得知审核从表面上执行了测评的管理内容，但从整个审核和测评活动可得出，两者的活动内容和组织方式非常相似，因此具备很强的整合条件，两者的具体活动如表1所示。

2.2审核与测评的控制措施整合整合GB/T22239—2008中的控制措施部分与GB/T22080—2008的附录A完全可行，且整合后可避免多余、重复的管理资源。如GB/T22239—2008三级信息系统对资产管理的要求和GB/T22080—2008中的“A.7资产管理”基本保持了一致，具体标准条款映射如表2所示。若组织内存在等级保护三级或三级以上的信息系统，则该组织应建立信息安全管理制度体系，这与组织单独建立ISMS所达到的目标基本一样，从整合的角度来看，通过实施整合，可以取得“一举两得”的效果。具体的整合检查表如表3所示。

3结语

信息系统安全等级保护测评和信息安全管理体系审核，都是为实现和强化信息安全管理，做到分清责任机构，确认安全制度，预防和应对可能发生或者已经发生的信息系统管理问题。因此随着信息化工作的不断发展，信息安全管理体系审核和信息系统安全等级保护测评必将走上一条能够融合的道路。

作者：胡娟谢宗晓单位：公安部第三研究所南开大学商学院

【关键词】电力；信息系统；信息安全；等级保护

随着科学技术的快速提高，我国的信息化发展迅速，信息化在各行各业都得到广泛应用。城市电网是经济社会发展的重要基础设施，是能源产业链的重要环节。随着信息、通信技术的广泛应用，智能化已成为世界电网发展的新趋势。电力企业网络建立信息安全等级保护制度旨在为国家信息安全保护工作建立起一个长久有效的安全机制，保障信息化建设的健康发展。然而目前我国电网的信息安全等级保护政策的实施处于初步进行阶段，还有很多工作需要完成。这需要业内外人士的共同参与，为保障信息安全尽最大的努力。同时伴随着计算机技术的发展，信息安全等级保护技术和水平也要不断优化升级，确保能够及时解决安全保护中遇到的问题，让信息安全等级保护政策的实施畅行无阻。

1电力信息安全等级保护

信息系统等级保护制度是我国信息安全领域一项重要政策，信息系统安全等级保护是指对信息安全实行等级化保护和等级化管理。根据信息系统实用业务重要程度及其安全实际需求，实行分级、分类、分阶段实施保护，保障信息安全和系统安全稳定运行，维护国家利益、公共利益和社会稳定，等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度，保障重要信息资源和重要信息系统的安全。

1.1等级保护定级

信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度，其中等级保护对象受到破坏时所侵害的客体包括三方面：公民、法人和其他组织的合法权益，社会秩序、公民利益，国家安全。等级保护对象受到破坏后对客体造成侵害的程度分为三种：一般损害，严重损害，特别严重损害。定级要素与信息系统定级的关系见下表所示。

1.2基本要求与主要流程

等级保护的基本要求是：各基础信息网络和重要信息系统，按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。公安机关和保密、密码工作部门要及时开展监督检查，严格审查信息系统所定级别，严格检查信息系统开展备案、整改、测评等工作。等级保护的主要流程包括6项内容。

（1）自主定级与审批：信息系统运营使用单位按照等级保护管理办法和定级指南，自主确定信息系统的安全保护等级。有上级主管部门的，应当经上级主管部门审批。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。

（2）评审：在信息系统确定安全保护等级过程中，可以组织专家进行评审。对拟确定为第4级以上信息系统的，运营使用单位或主管部门应当邀请国家信息安全等级专家评审委员会评审。

（3）备案：第2级以上信息系统定级单位到所在地的市级以上公安机关办理备案手续。

（4）系统安全建设：信息系统安全保护等级确定后，运营使用单位按照惯例规范和技术标准，选择管理办法要求的信息安全产品，建设符合等级要求的信息安全设施，建立安全组织，制定并落实信息安全管理制度。

（5）等级测评：信息系统建设完成后，运营使用单位选择符合管理办法要求的检测机构，对信息系统安全等级状况开展等级测评。

（6）监督检查：公安机关依据信息安全等级保护管理规范，监督检查运营使用单位开展等级保护工作，定期对第3级以上的信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导，如实向公安机关提供有关材料。

2电力信息系统等级保护工作开展

2.1信息系统定级及审批

2007年7月，公安部、国家保密局、国家密码管理局、国务院信息办联合下发《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号），按照有关工作要求，国家电力监管委员会开展了电力行业等级保护定级工作，并印发《关于开展电力行业信息系统安全等级保护定级工作的通知》（电监信息[2007]34号），电力公司按照《国家电网公司信息系统安全保护等级定级指南（试行）》（信息技术[2007]60号）对公司信息系统进行定级，按照要求填写定级报告和备案表，并报送国家电力监管委员会组织评审和审批。主要涉及4个3级系统、11个二级系统，具体见表2。

2.2信息系统等级保护备案

公司完成信息系统的定级工作后，开始对信息系统进行等级保护备案，认真填写《信息系统安全等级保护备案表》，梳理完成所有资料准备后，于2011年向省公安厅提交了等级保护备案材料，最终公司15个管理信息系统完成了等级保护备案工作。

2.3等级保护测评及整改工作

2011-2012年，按照国家电力监管委员会要求，北京华电卓识信息安全测评技术中心相继完成对公司电力市场交易系统、ERP系统、财务管理系统、营销管理等15个系统的等级保护测评工作。

公司积极组织、协调、配合测评队伍，遵循“流程规范、方法科学、结论公正”的原则，按照国家等级保护测评工作的有关标准、规范的要求，根据《电力行业信息系统安全等级保护要求（试行）》开展测评工作，公司信息系统等级保护测评符合率达到95%以上，顺利通过了等级保护测评，但是测评中还是发现了部分问题，主要包括：

（1）网络设备不具备双因子验证

根据国家《信息系统安全等级保护基本要求》规定，第2级以上（不含）信息系统网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别，按照此项基本要求，限于硬件条件，公司三级信息系统尚达不到安全防护要求。

（2）数据库审计功能未开启

根据国家《信息系统安全等级保护基本要求》规定，第2级及以上信息系统审计范围应覆盖到服务器上的每个操作系统用户和数据库用户；系统不支持该要求的，应以系统运行安全和效率为前提。按照此项工作要求，公司部分系统未开启数据库审计功能，亦未部署第三方审计产品。

测评工作结束后测评人员对测评过程结果及以上问题进行了反馈，公司根据测评中发现的各类问题做好问题整改工作，确保公司信息系统安全稳定运行。整改工作如下：

1）网络设备未设置双因子认证。对于不具备双因子验证条件的问题，公司正在加快建设统一数字认证系统，系统上线后可实现双因子验证。

2）数据库审计功能未开启。因开启数据库审计功能会对系统性能产生较大影响，公司近期计划购置部署第三方审计产品。

3结束语

电力公司近年来高度重视信息安全工作，信息安全等级保护工作卓有成效，通过落实信息安全等级保护制度，开展管理制度建设、技术措施建设、落实等级保护各项工作要求，使信息系统安全管理水平明显提高，安全防护能力显著增强，安全隐患和安全事故明显减少，有效保障公司信息化工作健康发展，公司下一步工作重点应着手对等级保护测评发现的各项问题进行整改，保障公司网络及信息系统安全稳定运行。

[1]王雪莉.浅谈信息安全等级保护问题[J].数字技术与应用，2012.

[2]易振宇.电力信息系统等级保护实施浅谈[J].信息安全与通信保密，2011.

一、指导思想

信息安全等级保护制度是全区信息安全保障工作的一项基本制度，实施信息安全等级保护是社会信息化进程中的一件大事，是维护国家基础信息网络和重要信息系统安全最直接、有效的措施。通过深化信息安全等级保护，全面推动重要信息系统安全整改和测评工作，增强信息系统安全保护的整体性、针对性和实效性，提高信息安全保障能力，维护国家安全、社会稳定和公共利益，保障和促进信息化建设。

二、组织领导

成立区信息安全等级保护工作领导小组。由区政府副区长李彦侠担任组长，区政府电子政务办、公安分局、区国家保密局为成员单位，领导小组下设办公室，办公室设在公安分局网监大队，由网监大队大队长韩迎飞兼任领导小组办公室主任，具体负责日常事务。

三、职责分工

公安分局负责信息安全等级保护工作的监督、检查、指导。区国家保密局负责等级保护工作中有关保密工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。区政府电子政务办负责等级保护工作部门间的协调工作。

四、工作目标

通过开展信息安全等级保护工作，使全区重要信息系统能够全面进行准确定级和审核备案，建立健全信息安全等级保护职能部门、行业主管部门、信息系统运营使用单位渠道畅通、责任明确、运作协调、通力合作的信息系统安全等级保护工作机制。

五、定级范围

（一）基础信息网络、互联网接入服务单位、互联网数据中心、大型互联网信息服务单位重要信息系统。

（二）铁路、银行、海关、税务、民航、电力、证劵、保险、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、卫生、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。

主要单位包括：区法院、区检察院、公安分局、区科协、区教育局、区住建局、区农业局、区卫生局、区计生局、区商务局、区工业办、区果业局、国土分局、国税分局、环保分局、工商分局、区人才交流中心。

（三）党政机关的重要网站和办公信息系统。

（四）涉及国家秘密的信息系统。

（五）其它重要信息系统。

六、工作内容

（一）开展信息系统基本情况的摸底调查。区信息安全等级保护工作领导小组对全区各行业、各单位所属信息系统进行摸底调查，全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况，按照《信息安全等级保护管理办法》的要求，确定定级对象。

（四）备案管理。信息系统备案后，网监大队对信息系统的备案情况进行审核，发现不符合《信息安全等级保护管理办法》及有关标准的，应当通知备案单位予以纠正。

（五）监督检查。区政府电子政务办、公安分局、区国家保密局等单位将从今年起联合对各重要信息系统行业主管部门、运营使用单位开展的等级保护工作进行监督、检查、整改，对拒不落实安全等级保护工作的单位，将依法予以严肃处理。

七、工作要求

（二）明确责任，密切配合。定级工作由区政府牵头，组织区政府电子政务办、公安分局、区国家保密局、共同实施。各单位必须各司其职，加强联系，切实做好重要信息系统的安全等级保护。

[关键词]企业发展信息化发展网络安全策略

引言

现代信息技术的发展和应用，促进了我国社会的快速发展，现代信息技术的应用领域在不断扩大，在人们的工作、生活、学习等过程中都有所应用，尤其是在企业信息化过程中，扮演的角色越来越重要。信息技术的应用给我们的生活带来了很大的变化，在企业的发展过程中，也积极加强了对信息系统的应用。随着计算机信息技术为越来越多的人所接受，各种信息的泄露、不良信息的传播成为人们使用网络时的安全忧患。尤其是各种信息的泄露，导致当前很多人的生活受到影响，企业管理过程中应该要加强对安全隐患的防范，可以使得企业的管理水平得到提升。

一、企业信息化过程中的安全隐患

二、企业网络信息安全隐患的防护

在新形势下，企业的信息化发展是一个必然的趋势，在这个过程中，必须要加强对网络信息安全的保护，加强对计算机系统的安全保护，从而使得企业发展过程中能够对各种信息进行加密处理，确保企业的健康发展。

（一）加强工作人员对信息安全工作的重视

在企业的发展过程中，工作人员对信息安全工作的重视程度如何，将会对企业的发展带来十分重要的影响，只有不断提高工作人员的信息安全意识，才能从根本上杜绝一些危害的出现。比如引导企业的工作人员形成安全意识，使得他们在使用计算机以及网络的时候可以注意不要去点一些不安全的网站，不会下载一些非法的东西，从而确保企业的信息系统的运营环境的安全性，确保企业的各种信息数据可以得到有效的保护。

（二）采用技术手段对各种安全隐患进行控制

（三）加强企业网络信息安全管理体制的建立

在企业网络信息安全防护过程中，应该要对管理制度进行完善，首先要定期修改管理制度，加强对技术人员安全的培训，以更好地适应现代化信息社会。其次，要开发计算机信息与网络安全的监督管理系统，并且对安全监管系统的管理责任进行细分，落实到具体的责任人身上，一旦出现网络信息安全时要及时找到相应的责任人，对网络和信息安全应用与管理工作实行“谁主管、谁负责、预防为主、综合治理、人员防范与技术防范相结合”的原则，实现安全保护责任制，逐渐实现企业网络信息完全管理的科学化和规范化发展。第三，在管理的过程中，要对企业的安全技术管理人员的责任进行确定，一旦企业的信息系统出现了安全问题，则应该要按照相应的责任关系找到责任人，对具体的责任进行承担，从而使得企业的信息安全系统管理更加科学。

结语

综上所述，在信息技术时代，信息网络系统在企业管理过程中的应用越来越多，同时也产生了较大的信息安全隐患。对此要积极加强信息安全工作，从人员安全意识的提升以及应用安全防护技术手段角度着手，对企业的信息安全保护工作进行加强，并且建立相应的严密的管理制度，从而使得企业的网络信息安全管理工作水平可以得到有效的提升，促进企业在信息化过程中的健康发展。

[1]余人杰.浅谈网络设备的安全隐患及其防范措施[J].计算机光盘软件与应用，2014（12）.

清晰明了等级保护制度

毕马宁认为要开展信息安全等级保护工作，首先应该弄明白什么是等级保护，“等级保护是我们国家以法律形式固定下来的一个关于国家信息安全保障体系建设和保护关键基础设施的基本国家制度”，而信息安全等级保护制度的法律依据则是1994年国务院的《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）。

其次，还应该明白信息安全等级保护的等级概念。“等级保护简单地说，等级是手段，目的是保护”，而等级的划分是根据信息系统在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度，将信息系统划分为不同的安全保护等级并对其实施不同的保护和监管。毕马宁强调：“信息系统的重要程度不是由系统的技术性所决定，而是由这个系统的社会属性所决定的。”比如，同样是财务系统，银行的财务系统与某小型企事业单位的财务系统所承载的应用对社会秩序、国家安全的影响是不一样的，一旦遭到破坏，银行财务系统对社会秩序和国家安全的负面影响更重大。“所以，原卫生部才会要求全国的三级甲等医院的核心系统通过第三级测评。”他说。

一体之两翼

其实信息安全等级保护并非我国独创，而是借鉴国际已有的信息安全风险管理理论和方法，并结合我国信息安全管理的特色，制定的具有中国特色的信息安全等级保护制度。现阶段整个人民生活、社会运行，包括政府的运行，都跟信息化密不可分。信息化已经从原来的辅助作用变成支撑作用，成为机构、企业发展，获得价值或者改善自身生存，为社会做贡献的一个利器、一个支撑平台。“正如所说的，一个国家的发展，一个民族的发展，需要‘一体两翼’，‘一体’是发展；‘两翼’，则是信息化和信息安全保障。想要发展就缺一不可。”毕马宁说，“等级保护制度是对信息系统做风险控制，是一种国家风险管理行为。可以说等级保护制度就是国家风险管控手段。它虽然不能完全保证信息系统不出事，但起码能够保证信息系统少出事，或者是风险可控的，而且一旦出了事我们知道如何去应对。”

等级测评工作的目的和意义

等级保护是要通过定级、备案、建设整改来提升信息系统安全防护能力，安全建设整改工作完成后，如何检验效果？这就是等级测评工作的目的和意义。等级测评是检测评估信息系统安全保护状况是否达到相应等级能力要求的过程，是落实信息安全等级保护制度的重要环节。

毕马宁认为，“等级测评是等级保护工作推进过程中的一项能力技术判断活动，它是一个必备的环节。”他还建议：“不要把等级测评工作当作是考试，应该是把等级保护工作重点放在准确定级、建设整改上，逐步提升信息系统的安全防护能力，通过等级测评来发现自己的问题，再明确下一步的方向，这是最关键的。”

等级测评工作也可以在定级备案之后，安全建设或整改之前开展，因为“公安机关赋予了等级测评机构提供咨询的权利和义务，可以站在用户的角度帮他们做咨询服务”，毕马宁解释：“作为评估中心，我们不仅要发现问题，还要跟用户共同商量解决问题，这也是服务型政府的一个特点。”

对医疗卫生行业信息安全等级保护工作的建议

关键词：项目预算监控；中医药；信息安全

DOI：10.3969/j.issn.1005-5304.2016.11.002

Abstract：Withconstantdevelopmentandapplicationofnewgenerationinformationtechnologysuchasbigdata，cloudcomputingandInternetofThings，traditionalmanagementstyleandthoughtpatternsofTCMarebeingchanged.ItisparticularlyimportanttointroduceinformationsecurityintobudgetmanagementofTCMprojects.ThisarticlediscussedsecurityfactorsinTCMbudgetmonitoringplatform，organizedkeycontentsofinformationsecurityconstruction，builtinformationsecuritymodelformonitoringplatform，andanalyzedsecuritystrategiesfortheconstructionofTCMbudgetmonitoringplatform，withapurposetoguaranteeeffectiveimplementationofbudgetinformationmanagementmeasuresofTCMprojects.

Keywords：projectbudgetmonitor；traditionalChinesemedicine；informationsecurity

信息化是经济与社会发展的创新驱动力。大数据、云计算、物联网等新一代信息技术的不断发展和应用，加快了我国中医药信息化建设的步伐，改变着传统中医药管理方式和思维模式。随着信息技术在中医药行业各业务的深入应用，信息加密、病毒防护、身份鉴别、访问控制、入侵防范、数据保护等安全问题越来越突出。中医药项目预算监控平台（以下简称“监控平台”）作为中医药重点信息化工程，构建了国家、省级、基层单位三级信息网络平台，覆盖全国31个省、3000余家基层单位，对信息安全工作提出了更高的要求。为此，笔者以监控平台安全建设为基础，深入分析影响监控平台的安全因素，从安全保护等级确定、信息安全模型构建、物理环境和网络体系创建、自身安全策略制定、数据传输通道建立、安全管理制度、人员培养等方面探讨信息安全的应用。

1中医药项目预算监控平台安全隐患分析

1.1项目预算信息

中医药项目预算是反映中医药事业发展政策的具体措施，主要涉及项目经费分配、预算执行、组织实施、项目绩效等信息，若预算经费信息被篡改，将影响中医药行政部门的权威性和可信度，易造成基层单位项目经费下达与执行数据不符[1]。预算执行是反映项目建设单位经费使用和任务完成的具体体现，若执行数据被篡改，将影响预算执行过程监管的精准性，造成对项目建设单位执行能力和效率的决策失准。

1.2监控平台

监控平台的数据中心承载着中医药项目预算监控数据的计算、信息资源管理与服务等主要功能，支持数据安全存储，提供持续可靠的信息服务，其安全对信息服务和运行能力提升至关重要。

1.2.1物理因素监控平台所应用的服务器、交换机和路由器等网络设备，以及防火墙、入侵检测、漏洞扫描等安全设备都运行在数据中心，保证这些设备的安全是监控平台稳定运行的前提。若遇盗窃、突然断电等，监控平台将无法运行。

1.2.2网络体系监控平台网络体系设计不规范、不能满足业务发展需求，交换机、路由器等网络设施和防火墙、网络审计、行为管理等安全设备的选型、部署、使用、管理与中医药项目管理业务处理能力和安全需求不协调，安全策略规则不符合中医药项目预算管理流程，安全设备不能有效监测和防御，易出现中医药项目经费监控数据不准确、监控手段不灵敏、监控时效性不强，使中医药管理部门科学决策受影响。

1.2.3系统服务器监控平台服务器运行着数据库、系统软件及电子签章等，存储了所有中医药项目预算实时监控数据，是监控平台运行的关键设备。其操作系统和数据库易存在默认的、多余的、长期不使用的、共享的账户，用户口令长度和复杂度不符合等级保护要求，各类补丁未能及时更新，这些均容易给网络黑客破坏监控平台服务器创造条件，导致监控数据丢失、数据库信息被篡改等。

1.3监控信息传输

监控平台在互联网和局域网中同时应用，互联网传输易遭受黑客和恶意软件攻击，存在诸多人为因素破坏的潜在威胁。监控平台在国家层面、省级、基层单位之间的数据传输依托互联网，如何保证数据的完整性、抗否认性、准确性，需要重点考虑，如采用加密、访问控制、安全认证等措施；国家级平台和省级平台内部使用的安全性取决于单位内部网络体系安全建设[2]。

1.4用户终端

监控平台采用B/S模式，用户终端涉及全国中医药项目建设单位，且无需运行任何程序，但终端的安全短板效应依然会影响监控平台整体安全防护能力，如操作系统漏洞、防病毒软件缺失、USBKey丢失、帐号/密码泄露等，易给攻击者假冒合法用户进行某些破坏动作留下可乘之机。

1.5系统管理维护

2中医药项目预算监控平台的安全措施

2.1确定监控平台安全保护等级

监控平台建设初期，我们分析中医药项目预算管理的信息化和安全防护需求，邀请中医药财务、信息安全、信息技术等领域专家规划和设计网络拓扑结构和体系框架，确定监控平台的应用覆盖面、预算管理业务依赖性、系统数据敏感度、平台服务范围等。监控平台业务信息和系统服务受到破坏时，所侵害客体是国家和各级中医药管理部门、中医药项目建设单位，中医药项目预算管理和执行信息篡改、不准确，将会严重影响国家和各级中医药管理部门的公信力和权威性，业务信息破坏达到严重损害程度，所以，业务信息安全保护等级确定为第三级。监控平台主要为国家和各级中医药管理部门、中医药项目建设单位提供系统服务，当其遭到破坏时对使用人员损害程度比较有限，所以，系统服务安全保护等级确定为第二级。根据信息系统安全保护等级由业务和系统服务安全保护等级较高者决定的原则，最终确定监控平台安全保护等级为第三级[3]。

2.2构建监控平整安全防线

2.2.2创造安全的物理环境和网络体系国家级、省级监控平台分别部署在国家中医药管理局和各省中医药管理部门机房，均具备一定的安全物理环境，按照三级等级保护要求完善安全措施，如为国家级监控平台数据专门配备气体灭火器，增装机房专用空调，国家级和省级监控平台使用的所有服务器、安全设备等粘贴统一的监控平台专用标识。

针对中医药项目预算管理需求，基于互联网建立国家、省、项目建设单位3级信息网络架构，划分国家级、省级等不同安全域，统一制定安全管理策略。在国家级监控数据中心部署防火墙、入侵检测、漏洞扫描、主机监控与审计、网络安全审计等；在省级监控数据中心部署防火墙、网络安全审计、防病毒系统等，共同监测、抵御和防范病毒木马和黑客等各种攻击、入侵行为及非法访问和操作等，做到非监控平台使用人员进不来、看不到、看不懂。在服务器和数据库安全防护方面，及时更新操作系统和数据库的补丁、漏洞，删除或停用默认、多余和共享的账户，特别是测试阶段所使用的账户和已经撤销的机构账户，只开放监控系统用到的服务器端口，数据库帐号由监控平台数据库管理员负责。在数据保护方面，国家级平台采取磁带库和服务器备份双备份方式，省级平台采取服务器备份方式。

2.2.4建立安全可信的数据传输通道监控平台是基于互联网进行数据传输和通信，如何确保预算数据下达、预算执行数据上报、预警信息通报等过程中信息不被泄露或篡改，监控平台通过部署SSLVPN设备和PKI系统，利用SSL安全套接层协议对监控平台预算信息进行加密，在服务器端和客户端建立虚拟专用网络，应用数字证书和私钥进行用户数字认证和身份确认，从而保护在互联网上预算数据传输的安全性、完整性、机密性。同时，搭建基于CA认证的统一身份管理平台，在PKI系统的基础上，将电子签章、电子签名技术与CA数字认证技术相结合，统一将用户信息存储在身份认证服务器，实现各级各类用户身份的统一强鉴别认证和访问控制，保证监控平台数据的真实性和使用人员的不可否认性[5]。

2.3建立监控平台安全管理制度

信息安全“三分技术、七分管理”。在监控平台建设过程中，成立监控平台信息安全管理领导小组，统筹规划监控平台的信息安全，设立信息安全工作小组，全面负责监控平台信息安全措施的执行和监督，要求省级监控平台由专人负责信息安全维护。制定监控平台操作手册、安全设备管理、账户与密码管理、用户访问控制、监控数据存储管理、监控数据分析与利用规范、运行维护手册、数据备份与恢复方案、应急预案、风险评估等一系列25个安全管理制度，编制防火墙、入侵检测、漏洞扫描、VPN设备等安全策略，做到监控平台的每个环节、每个操作都有据可依、有章可循，最大限度地降低安全风险。设立监控平台系统管理员、安全保密管理员、安全审计员，定期开展国家级和省级监控平台信息安全事件应急预案演练，创造信息安全应急技术支撑队伍和保障条件。

2.4加强信息安全管理技术人员培养

高素质的信息安全技术队伍是信息安全保障体系的智力支撑。开展监控平台管理和使用人员的操作培训，将监控平台信息安全建设和后期运行维护纳入监控平台管理与技术人员培训主要内容，建立多层次、多形式、多途径、重实效的信息安全人才培养机制，培养监控平台管理和使用人员安全意识、职业道德和责任心，规范用户合法合规操作。委托监控平台开发单位和信息安全专业机构定期举办培训班，开展系统安全使用、电子签章、CA认证等专业技术培训。

中医药项目预算监控平台是“中医药信息化建设‘十二五’规划”的重要任务之一，其信息安全保护不容忽视，信息安全管理与技术体系建设已成为不可或缺的重要组成部分。作为管理者和使用者，应充分认识信息安全的重要性，在设计、开发、建设、运维的各个阶段，强化信息安全技术和管理措施的落实，建立完善的信息安全策略和管理制度，做到事前预防、事中监控、事后应急，保障监控平台的安全稳定运行，有效提高中医药项目经费预算管理的科学性，为中医药行业其他应用系统信息安全建设提供借鉴和参考。

[1]田双桂，沈绍武.中医药项目预算管理信息化需求探讨[J].中医药管理杂志，2013，21（8）：802-803.

[2]李继珍.重视中医药发展时期信息安全问题的探讨[J].中医药管理杂志，2012，20（4）：391-392.

[3]肖勇，沈绍武，田双桂，等.中医药项目预算监控平台信息安全等级保护实践[J].医学信息学杂志，2014，35（9）：7-11.