前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網(wǎng)絡(luò)安全等級保護制度條例范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

網(wǎng)絡(luò)安全等級保護制度條例范文第1篇

［關(guān)鍵詞］等級保護；等級備案；等級測評

doi：10.3969/j.issn.1673 - 0194.2017.04.115

［中圖分類號］TP309 ［文獻(xiàn)標(biāo)識碼］A ［文章編號］1673-0194（2017）02-0-02

0 引　言

隨著全球信息技術(shù)的快速發(fā)展，我國國民經(jīng)濟的繁榮和社會信息化水平的日益提升，信息安全已上升為國家層面的重要內(nèi)容。為進(jìn)一步提高信息安全保障工作的能力和水平，2016年國家網(wǎng)絡(luò)安全宣傳周首次在全國范圍內(nèi)統(tǒng)一舉辦，并首次在地方城市舉行開幕式等重要活動。由此信息安全等級保護制度也越來越成為信息社會必不可少的一項制度，等級測評工作也將隨之逐步成為一項常規(guī)化工作，對保障國家網(wǎng)絡(luò)安全具有重要意義。下文對信息安全等級保護的概念及發(fā)展?fàn)顩r進(jìn)行梳理。

1 信息安全等級保護的概念

信息安全等級保護是對信息及信息載體按照重要性等級分別進(jìn)行保護的一種工作，是國際上很多國家都實施的一項信息安全工作。在中國，信息安全等級保護廣義上是為涉及信息安全工作的標(biāo)準(zhǔn)、產(chǎn)品、系統(tǒng)、信息等依據(jù)等級保護思想確立的安全工作；狹義上一般指信息系統(tǒng)安全等級保護。

2 信息安全等級保護的發(fā)展歷程

全球化網(wǎng)絡(luò)快速發(fā)展的同時其脆弱性和安全性也日益彰顯，西方發(fā)達(dá)國家制定了一系列強化網(wǎng)絡(luò)信息安全建設(shè)的政策和標(biāo)準(zhǔn)，其核心就是將不同重要程度的信息系統(tǒng)劃分為不同的安全等級，以便于對不同領(lǐng)域的信息安全工作進(jìn)行指導(dǎo)。鑒于此，我國相關(guān)部門和專家結(jié)合我國信息領(lǐng)域的實際情況經(jīng)過多年的研究，于1994年由國務(wù)院下發(fā)了《中華人民共和國計算機信息系統(tǒng)安全保護條例》，首次提出了信息安全等級保護的概念，用于解決我國信息安全問題。之后經(jīng)過了十幾年的摸索和探究出臺了一系列從中央到地方的政策法規(guī)，并實施工程。從計算機系統(tǒng)的定級到等級保護測評，信息安全工作逐步完善。詳情見表1。

隨著國家對信息安全工作的重視以及各類等級保護規(guī)范標(biāo)準(zhǔn)的出臺，各行業(yè)及監(jiān)管部門迅速發(fā)文響應(yīng)并落實行業(yè)內(nèi)信息系統(tǒng)安全等級保護工作。建立、健全信息安全管理制度，落實安全保護技術(shù)措施，全面貫徹落實信息安全等級保護制度。目前，國家已出臺70多個國標(biāo)、行標(biāo)及報批標(biāo)準(zhǔn)，展開了對所屬安全系統(tǒng)進(jìn)行先定級后測評的工作。

3 信息安全等級保護具體實施過程

信息安全等級保護具體的實施過程，如圖1所示。

3.1 定級

2007年開始在全國范圍內(nèi)進(jìn)行信息系統(tǒng)等級保護的定級工作。四級以上的定級要求請國家信息安全保護等級專家評審委員會評審定級。此項工作歷時一年基本完成。

定級標(biāo)準(zhǔn)為公安部66號文件。主要依據(jù)是《信息系統(tǒng)安全保護等級定級指南》（國家）或行業(yè)制定的定級指南。對于等級的劃分，見表2。

定級注意事項

第一級信息系統(tǒng)：適用于小型私營、個體企業(yè)、中小學(xué)、鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級單位中一般的信息系統(tǒng)。

第二級信息系統(tǒng)：適用于縣級一些單位中的重要信息系統(tǒng)；地市級以上國家機關(guān)、企事業(yè)單位內(nèi)部一般的信息系統(tǒng)。例如：不涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)，地市級以上國家機關(guān)、企事業(yè)單位網(wǎng)站等。

第三級信息系統(tǒng)：一般適用于地市級以上國家機關(guān)、企事業(yè)單位內(nèi)部重要的信息系統(tǒng)；跨省或全國聯(lián)網(wǎng)運行的用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)及控制等方面的重要信息系統(tǒng)以及這類系統(tǒng)在省、地市的分支系統(tǒng)；中央各部委、省門戶網(wǎng)站和重要網(wǎng)站；跨省連接的網(wǎng)絡(luò)系統(tǒng)等，例如，網(wǎng)上銀行系統(tǒng)、證券集中交易系統(tǒng)、海關(guān)通關(guān)系統(tǒng)、民航離港控制系統(tǒng)等為三級信息系統(tǒng)。

第四級信息系統(tǒng)：一般適用于國家重要領(lǐng)域、部門中涉及國計民生、國家利益、國家安全、影響社會穩(wěn)定的核心系統(tǒng)。例如：電信骨干傳輸網(wǎng)、電力能量管理系統(tǒng)、銀行核心業(yè)務(wù)系統(tǒng)、鐵路票客系統(tǒng)、列車指揮調(diào)度系統(tǒng)等。

第五級信息系統(tǒng)：適用于國家特殊領(lǐng)域的極其重要系統(tǒng)。

3.2 等級備案

已運行的系統(tǒng)在安全保護等級定級后30日內(nèi)，由運營、使用單位到所在地區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。新建的系統(tǒng)，在通過立項申請后30日內(nèi)辦理。將定級情況報各地公安部門備案。

辦理備案手續(xù)時備案單位需向公安機關(guān)網(wǎng)監(jiān)部門提交以下備案材料。①《信息系統(tǒng)安全等級保護備案表》紙質(zhì)材料一式兩份。該表由“等級保護備案端軟件”生成，操作時請詳細(xì)閱讀軟件使用說明書。第二級以上信息系統(tǒng)備案時需提交表中的表一、二、三；第三級以上信息系統(tǒng)還應(yīng)當(dāng)在系統(tǒng)整改、測評完成后30日內(nèi)提交表四及其有關(guān)材料。②《信息系統(tǒng)安全等級保護定級報告》紙質(zhì)材料一式兩份。每個備案的信息系統(tǒng)均需提供對應(yīng)的《信息系統(tǒng)安全等級保護定級報告》。

③備案電子數(shù)據(jù)。每個備案的信息系統(tǒng)，均需通過“等級保護備案端軟件”填寫信息，以壓縮文件（RAR格式）方式保存。

3.3 對照等級標(biāo)準(zhǔn)和要求進(jìn)行安全建設(shè)分析整改

備案工作完成后，需要對照所定的級別對信息系統(tǒng)進(jìn)行安全建設(shè)整改。從滿足政策、滿足標(biāo)準(zhǔn)和滿足用戶需求入手，有條件的單位可以請專業(yè)機構(gòu)幫助給出整改意見，在技術(shù)和管理兩個方面進(jìn)行整體規(guī)劃和設(shè)計。在設(shè)計過程中要考慮近期和遠(yuǎn)期規(guī)劃，從而給出總體和詳細(xì)的方案，特別要把技術(shù)體系、物理安全、管理安全、應(yīng)急與災(zāi)備全面進(jìn)行細(xì)分，細(xì)分為不同的子項，分項完善。之后就可以進(jìn)入具體實施操作階段。

3.4 等級測評

信息系統(tǒng)完成建O整改實施操作之后就可以進(jìn)行等級保護的測評。等級保護測評工作需要由有“DJCP”（公安部信息安全等級保護測評）認(rèn)證的測評機構(gòu)來完成。有“DJCP”資質(zhì)的機構(gòu)在“中國信息安全等級保護網(wǎng)”可以查詢到。測評時間一般為一個月。測評過程如下。

（1）測評準(zhǔn)備階段：召開項目啟動會布置測評需要準(zhǔn)備的材料（系統(tǒng)拓?fù)鋱D、規(guī)章制度、設(shè)備參數(shù)等），測評機構(gòu)根據(jù)提供的材料準(zhǔn)備下一步的測評工具和表單。

（2）測評方案編制階段：測評機構(gòu)針對測評對象制定測評指標(biāo)，填寫測評內(nèi)容，并編制測評方案書。雙方進(jìn)一步溝通測評時間及測評場地的測評內(nèi)容和測評流程。

（3）現(xiàn)場測評階段：測評機構(gòu)按照測評方案的測評內(nèi)容對項目中的管理和技術(shù)測評項進(jìn)行逐一的測評，記錄測評相關(guān)數(shù)據(jù)。需要注意的是在現(xiàn)場測評過程中盡量不要影響被測系統(tǒng)的正常運行?？梢赃x擇錯開業(yè)務(wù)高峰期或下班后的時間。為了保證被測系統(tǒng)不受影響，系統(tǒng)維護人員應(yīng)在現(xiàn)場進(jìn)行配合。

（4）報告編制階段：測評機構(gòu)根據(jù)測評內(nèi)容和數(shù)據(jù)進(jìn)行整理，給出測評報告，告知風(fēng)險點和測評發(fā)現(xiàn)的問題。

測評結(jié)果有三種：不符合，即未通過測評；部分符合和全部符合，后兩種為通過測評。

在等級保護測評方面，按照要求，三級的信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次安全自查和安全測評；四級的信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次安全自查和安全測評；五級的應(yīng)當(dāng)依據(jù)特殊安全要求進(jìn)行安全自查和安全測評。

4 信息安全等級保護的發(fā)展現(xiàn)狀

隨著信息技術(shù)的不斷發(fā)展，云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制、大數(shù)據(jù)等概念的出現(xiàn)對信息系統(tǒng)等級保護提出了新的要求。在新技術(shù)應(yīng)用背景下，等級保護的標(biāo)準(zhǔn)和規(guī)范也將隨之不斷調(diào)整，信息系統(tǒng)和測評機構(gòu)都需要不斷提高自身的技術(shù)能力以適應(yīng)新技術(shù)發(fā)展的需求。保證信息系統(tǒng)的循序建設(shè)和長期穩(wěn)定的運行，是等級保護建設(shè)的重要意義。

主要參考文獻(xiàn)

網(wǎng)絡(luò)安全等級保護制度條例范文第2篇

 

1信息安全管理系統(tǒng)現(xiàn)狀

 

信息安全管理系統(tǒng)作為信息安全的支撐體系以及實施信息安全維護的落腳點，是信息安全管理中的重要組成部分。目前我國的信息安全管理系統(tǒng)還尚未完善，其不足之處首先表現(xiàn)為缺少統(tǒng)一的存儲平臺來對眾多的文檔進(jìn)行儲存，從而導(dǎo)致大量文檔的丟失;其次，如果信息安全管理系統(tǒng)不完善，就不能降低資產(chǎn)等的風(fēng)險評估以及對資產(chǎn)進(jìn)行集中式的管理;最后，由于信息安全系統(tǒng)中各個報表功能的不完善，文檔信息就無法快速、準(zhǔn)確地透露出信息安全的實際狀況，從而起到有效地保護作用。

 

信息安全管理系統(tǒng)主要能夠通過對關(guān)鍵資產(chǎn)實行定性和定量分析，從而得出資產(chǎn)的精確風(fēng)險值，識別系統(tǒng)中存在的重要因患資產(chǎn)，并進(jìn)一步通知信息管理員采取適當(dāng)?shù)胤椒▉頊p少隱患事件的發(fā)生，通過科學(xué)的管理降低企業(yè)的資產(chǎn)風(fēng)險。由此可見，完善的信息安全管理系統(tǒng)是不可或缺的，它一方面決定著信息安全管理體系的具體實施，另一方面也可以促進(jìn)企業(yè)信息安全管理體系的進(jìn)一步維護與建設(shè)。

 

2信息安全管理系統(tǒng)標(biāo)準(zhǔn)

 

科學(xué)統(tǒng)一的國家信息安全標(biāo)準(zhǔn)，有利于協(xié)調(diào)與融合各個信息安全管理系統(tǒng)的工作，充分促進(jìn)信息安全標(biāo)準(zhǔn)系統(tǒng)的功能發(fā)揮。我國的信息安全管理標(biāo)準(zhǔn)主要分為ISO/IEC27000系列標(biāo)準(zhǔn)與信息安全等級保護標(biāo)準(zhǔn)兩個部分。

 

2.1ISO/IEC27000系列標(biāo)準(zhǔn)

 

1995年，英國標(biāo)準(zhǔn)協(xié)會(BSI)了BS7799-1和BS7799-2兩部標(biāo)準(zhǔn)，隨著時代的進(jìn)步其逐漸發(fā)展為ISO/IEC27001和ISO/IEC27002兩個部分，并進(jìn)一步成為目前信息安全管理體系的主要核心標(biāo)準(zhǔn)。BS7799的最初提出目的主要在于建立起一套能夠用于開發(fā)、實施以及測量的科學(xué)信息安全管理慣例，并作為一種通用框架來促進(jìn)貿(mào)易伙伴之間的信任。ISO/IEC27001重視ISMS的建構(gòu)以及在PDCA基礎(chǔ)之上的進(jìn)一步循環(huán)與完善，這一過程實質(zhì)上就是在宏觀的角度上來指導(dǎo)整個項目的有效實施。它意在風(fēng)險管理的基礎(chǔ)之上，用風(fēng)險分析的途徑，把發(fā)生信息風(fēng)險的概率降到最低程度，同時采取適當(dāng)?shù)卮胧﹣肀Ｕ现黧w業(yè)務(wù)的順利進(jìn)行。ISO/IEC27002主要闡述了133項控制細(xì)則，以及11項需要有效控制的項目，其中包括安全策略、安全組織、信息安全事件管理、人力資源安全、符合性物理與環(huán)境安全、訪問控制、資產(chǎn)管理、系統(tǒng)的開發(fā)與維護、業(yè)務(wù)連續(xù)性管理、通信與操作安全等一系列的安全風(fēng)險評估與控制。

 

2.2信息安全等級保護

 

1994年國務(wù)院出臺了《中華人民共和國計算機信息系統(tǒng)安全保護條例》，該項基本制度的主要目的在于提高信息安全保障能力的水平、保障并促進(jìn)信息化的健康與發(fā)展，從而進(jìn)一步維護國家安全、社會發(fā)展以及人民群眾的利益。它的核心標(biāo)準(zhǔn)《GB17859-1999計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則]是在TCSEC的分級保護思想基礎(chǔ)之上，針對我國信息安全的發(fā)展實際進(jìn)行改善，最終把安全等級縮減成更具可操作性的5個級別?！禛B/T22239-2008信息系統(tǒng)安全等級保護基本要求》則把信息安全控制要求進(jìn)一步整理為管理要求與技術(shù)要求兩類，其中前者主要包括系統(tǒng)建設(shè)管理、安全管理制度、系統(tǒng)運維管理、安全管理機構(gòu)和人員安全管理;后者主要包括應(yīng)用安全、網(wǎng)絡(luò)安全、物理安全、主機安全以及數(shù)據(jù)安全與備份恢復(fù)。此外，信息安全等級保護的系列標(biāo)準(zhǔn)里還包括(〈GB/T20270-2006網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》以及《GB/T20271-2006信息系統(tǒng)安全通用要求》等一些關(guān)于信息安全維護細(xì)則的具體操作要求。

 

3信息安全管理系統(tǒng)的模型設(shè)計

 

根據(jù)信息安全管理系統(tǒng)標(biāo)準(zhǔn)，結(jié)合以往的信息安全管理系統(tǒng)設(shè)計，提出一種新型的四層信息安全管理系統(tǒng)：

 

第一層是數(shù)據(jù)庫層：包括日志、資產(chǎn)庫、異常日志以及資產(chǎn)弱點庫和資產(chǎn)風(fēng)險庫等。該數(shù)據(jù)庫層的主要功能在于對信息安全管理系統(tǒng)中的數(shù)據(jù)進(jìn)行存儲。

 

第二層為功能模塊層：包括資產(chǎn)管理、風(fēng)險管理、弱點管理、信息安全管理規(guī)范下載管理資產(chǎn)等級評估管理、拓補管理以及日志分析。

 

第三層為信息采集：主要包括人工脆弱性檢查、漏洞掃描工具以及日志采集系統(tǒng)三部分。這一信息采集層的主要功能在于采集安全保護對象的漏洞與安全事件。

 

最后一層為展示層：它包含某個具體業(yè)務(wù)系統(tǒng)中的業(yè)務(wù)系統(tǒng)整體安全狀況、資產(chǎn)安全狀況、業(yè)務(wù)系統(tǒng)拓補以及異常安全事件等相關(guān)部分。

 

上述新型信息安全管理系統(tǒng)模型主要體現(xiàn)出以下六點創(chuàng)新之處：

 

(1)所設(shè)計的風(fēng)險模塊管理可以把風(fēng)險評估常態(tài)化、主動化，使其對整個業(yè)務(wù)周期內(nèi)的所有資產(chǎn)風(fēng)險進(jìn)行動態(tài)的跟蹤與準(zhǔn)確分析;另外，該信息安全系統(tǒng)的日志審計功能也可以實現(xiàn)被動式的安全管理，從而使主動管理與被動管理在信息安全管理系統(tǒng)中充分融合。

 

(2)業(yè)務(wù)系統(tǒng)的動態(tài)建模和系統(tǒng)支持資產(chǎn)，可以把業(yè)務(wù)系統(tǒng)和資產(chǎn)二者綁定在一起，由此，整個信息安全系統(tǒng)一方面可以準(zhǔn)確地體現(xiàn)出在一個具體業(yè)務(wù)系統(tǒng)環(huán)境下，其單獨資產(chǎn)的具體安全狀況;另一方面該信息安全系統(tǒng)還能夠根據(jù)IS027001的具體標(biāo)準(zhǔn)，反應(yīng)出整個資產(chǎn)所承載的整體業(yè)務(wù)系統(tǒng)的安全狀況。

 

(3)該新安全管理系統(tǒng)增加并促進(jìn)了拓補管理功能的發(fā)揮。

 

(4)該信息安全管理系統(tǒng)模型提供了統(tǒng)一的知識庫管理，能夠?qū)θ罩?、資產(chǎn)庫、異常日志以及資產(chǎn)弱點庫和資產(chǎn)風(fēng)險庫等部分進(jìn)行更有效的數(shù)據(jù)存儲與管理。

網(wǎng)絡(luò)安全等級保護制度條例范文第3篇

關(guān)鍵詞：計算機；網(wǎng)絡(luò)安全；防護措施

引言

隨著互聯(lián)網(wǎng)的廣泛應(yīng)用，計算機技術(shù)、互聯(lián)網(wǎng)的飛速發(fā)展給社會帶來了便利，如今計算機網(wǎng)絡(luò)已經(jīng)應(yīng)用于我們的各個領(lǐng)域，以網(wǎng)絡(luò)方式獲取和傳播信息己成為現(xiàn)代信息社會的重要特征之一。網(wǎng)絡(luò)技術(shù)的成熟使得網(wǎng)絡(luò)連接更加容易，人們在享受網(wǎng)絡(luò)帶來的信息服務(wù)便利性、靈活性的同時，卻也面臨著諸多的不安全因素，黑客攻擊、計算機病毒擴散、網(wǎng)絡(luò)犯罪等不僅影響了網(wǎng)絡(luò)的穩(wěn)定運行，也給用戶造成經(jīng)濟損失，嚴(yán)重時甚至威脅到國家的信息安全。因此，確保網(wǎng)絡(luò)信息的安全、完整和可用，保障網(wǎng)絡(luò)信息安全已成為一項重要任務(wù)。

1.計算機網(wǎng)絡(luò)安全的定義

國際標(biāo)準(zhǔn)化組織（ISO）將計算機安全定義為： 能夠為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)與管理的安全保護，防止計算機網(wǎng)絡(luò)信息遭到人為破壞、變更、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)正常有序。因此，網(wǎng)絡(luò)安全必須有足夠強的安全保護措施，確保網(wǎng)絡(luò)信息的安全，完整和可用。

2.當(dāng)前計算機網(wǎng)絡(luò)安全面臨的問題

2.1缺乏計算機網(wǎng)絡(luò)安全意識

在日新月異的現(xiàn)代網(wǎng)絡(luò)環(huán)境里，人們每天都享受到計算機網(wǎng)絡(luò)帶來的便捷功能，但人們普遍對網(wǎng)絡(luò)安全的重要性缺乏充分的認(rèn)識，有時被好奇心驅(qū)使或?qū)诳偷钠茐男匀狈ψ銐虻恼J(rèn)識，這些網(wǎng)絡(luò)保護措施不能夠充分發(fā)揮保護作用，互聯(lián)網(wǎng)用戶要有自身網(wǎng)絡(luò)保護意識，還要注意自身的網(wǎng)絡(luò)行為是否給他人造成危害意識，因此加強人們對網(wǎng)絡(luò)安全重要性的認(rèn)識，樹立文明、安全上網(wǎng)、打擊黑客行為的觀念刻不容緩。

2.2 計算機病毒的傳播：當(dāng)前名目繁多的計算機病毒將導(dǎo)致計算機系統(tǒng)癱瘓，計算機程序和數(shù)據(jù)受到嚴(yán)重破壞，使網(wǎng)絡(luò)的效率和作用大大降低，使許多功能無法使用或不敢使用。

2.3網(wǎng)絡(luò)黑客的破壞：黑客往往通過網(wǎng)絡(luò)系統(tǒng)的漏洞、網(wǎng)絡(luò)偵查攻入其他人員的計算機系統(tǒng)或者網(wǎng)絡(luò)系統(tǒng)，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得重要機密信息，做一些獲取機密信息，或者刪除數(shù)據(jù)等破壞性的事情，或有選擇地破壞信息的有效性和完整性。

2.4網(wǎng)絡(luò)軟件的缺陷和漏洞：計算機軟件包括網(wǎng)絡(luò)軟件不可能沒有缺陷和漏洞的，而黑客正是首選這些漏洞和缺陷進(jìn)行攻擊的。

3.計算機網(wǎng)絡(luò)安全的防范措施

3.1加強提高網(wǎng)絡(luò)安全的防范意識

對于計算機網(wǎng)絡(luò)管理員而言，他們的安全意識以及職業(yè)道德的高低、安全責(zé)任心的強弱、專業(yè)技能和管理水平的高低，將直接影響到網(wǎng)絡(luò)系統(tǒng)的安全等級。要從根本上防范網(wǎng)絡(luò)安全威脅，就要對網(wǎng)絡(luò)技術(shù)人員進(jìn)行網(wǎng)絡(luò)安全意識教育，進(jìn)行規(guī)范化管理，要掌握基本的網(wǎng)絡(luò)安全威脅防范技術(shù)，管理好用戶口令密碼等重要信息，更重要的是提高他們的道德素質(zhì)，提高網(wǎng)絡(luò)安全防范意識。同時要加強網(wǎng)絡(luò)安全條例的制定與執(zhí)行，建立健全網(wǎng)絡(luò)安全管理制度。

3.2安裝計算機殺毒軟件

殺毒軟件是保障網(wǎng)絡(luò)系統(tǒng)安全的必要手段，能夠有效的清理主機中的病毒和木馬程序，有效的防止計算機病毒、木馬程序帶來的一些網(wǎng)絡(luò)安全隱患，甚至于造成計算機系統(tǒng)崩潰、重要信息的損壞、丟失等，因此在日常使用計算機的過程中，應(yīng)該養(yǎng)成定期查殺病毒的習(xí)慣，并要隨時升級殺毒軟件和防火墻，要及時更新操作系統(tǒng)的安裝補丁等。

3.3加強網(wǎng)絡(luò)隔離、入侵檢測技術(shù)

網(wǎng)絡(luò)隔離技術(shù)（DMZ， Demilitarized Zone）是在網(wǎng)絡(luò)安全系統(tǒng)與非安全系統(tǒng)之間建立一個緩沖區(qū)，用來解決計算機網(wǎng)絡(luò)在安裝防火墻以后出現(xiàn)的網(wǎng)絡(luò)內(nèi)部和外部不能訪問的問題。通過設(shè)置網(wǎng)絡(luò)隔離區(qū)，可以更加有效地保護內(nèi)部網(wǎng)絡(luò)，因為相比普通的防火墻技術(shù)，網(wǎng)絡(luò)攻擊者又要多面對一個防衛(wèi)關(guān)卡，DMZ通過檢測、限制跨越緩沖區(qū)的數(shù)據(jù)流，盡可能地提高對計算機網(wǎng)絡(luò)的安全保護。而人侵檢側(cè)系統(tǒng)（intrusion detectionsystem， IDS）則是在傳統(tǒng)的計算機網(wǎng)絡(luò)安全防范技術(shù)之上構(gòu)建的，主要包括數(shù)據(jù)收集技術(shù)、攻擊檢測技術(shù)和響應(yīng)技術(shù)等，對計算機網(wǎng)絡(luò)中用戶的各種行為進(jìn)行分析、檢測、歸類，并對用戶使用計算機網(wǎng)絡(luò)信息與資源的過程中隱藏或包含的惡意攻擊行為做出識別，既可以對外部網(wǎng)絡(luò)環(huán)境、用戶行為進(jìn)行監(jiān)測，也可以對內(nèi)網(wǎng)用戶行為進(jìn)行監(jiān)測、判斷，能夠?qū)θ饲值漠惓Ｐ盘柡陀脩粜袨檫M(jìn)行識別，并快速做出反應(yīng)。在獲得授權(quán)的情況下，可以對外部入侵威脅直接進(jìn)行響應(yīng)和處理，從而有效降低了網(wǎng)絡(luò)外部威脅和破壞程度。

3.4防火墻技術(shù)的使用。防火墻是一種確保信息安全的設(shè)備及軟件，處在內(nèi)網(wǎng)和外網(wǎng)之間，所有內(nèi)網(wǎng)和外網(wǎng)的通信數(shù)據(jù)都要經(jīng)過防火墻，應(yīng)用過濾防火墻技術(shù)能實現(xiàn)對數(shù)據(jù)包的包頭進(jìn)行檢查，根據(jù)其IP源地址和目標(biāo)地址做出放行或丟棄決定，但對其攜帶的內(nèi)容不作檢查，能夠有效保護內(nèi)網(wǎng)的安全。所以，應(yīng)用防火墻技術(shù)，能夠有效的防范網(wǎng)絡(luò)安全威脅。

4.結(jié)語

在網(wǎng)絡(luò)信息化時代，計算機網(wǎng)絡(luò)的安全問題日益重要了，網(wǎng)絡(luò)安全時刻面臨著挑戰(zhàn)。因此計算機網(wǎng)絡(luò)安全工作是一項長期任務(wù)，計算機網(wǎng)絡(luò)安全不僅是技術(shù)問題，同時也是管理問題。我們只要從技術(shù)上及管理上建立嚴(yán)密的網(wǎng)絡(luò)安全防范體系，綜合運用各種網(wǎng)絡(luò)安全技術(shù)并進(jìn)行規(guī)范化管理.就能為我們的網(wǎng)絡(luò)上的各種應(yīng)用保駕護航。（作者單位：江西新干縣社會保障事業(yè)管理局）

參考文獻(xiàn)

[1]王東霞，趙剛.安全體系結(jié)構(gòu)與安全標(biāo)準(zhǔn)體系[J].計算機工程與應(yīng)用，2005，（8）：149-152.

[2]范偉林.關(guān)于計算機網(wǎng)絡(luò)安全問題的研究和探討[J].科技風(fēng)，2009.（2）.

網(wǎng)絡(luò)安全等級保護制度條例范文第4篇

【關(guān)鍵詞】互聯(lián)網(wǎng) 金融 犯罪 防控

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，互聯(lián)網(wǎng)正逐步滲透進(jìn)經(jīng)濟、金融、社會、民生等領(lǐng)域，改變?nèi)藗兊乃季S、行為習(xí)慣及投資、消費方式。與其他借助互聯(lián)網(wǎng)技術(shù)進(jìn)行行業(yè)革新的領(lǐng)域類似，互聯(lián)網(wǎng)金融也隨著互聯(lián)網(wǎng)技術(shù)的不斷演進(jìn)，經(jīng)歷了不同的發(fā)展階段。從最早的各大商業(yè)銀行的“網(wǎng)上銀行”到如今以大數(shù)據(jù)、云計算、社交網(wǎng)絡(luò)和搜索引擎為基礎(chǔ)的互聯(lián)網(wǎng)金融業(yè)務(wù)全面勃發(fā)，互聯(lián)網(wǎng)金融實現(xiàn)了從單純的互聯(lián)網(wǎng)技術(shù)支持到互聯(lián)網(wǎng)業(yè)務(wù)的轉(zhuǎn)變。

可以預(yù)見的是，在國家戰(zhàn)略層面實施“互聯(lián)網(wǎng)+”行動計劃的驅(qū)使下，具有人群覆蓋優(yōu)勢、數(shù)據(jù)挖掘、分析優(yōu)勢和平臺操作便利、無門檻等優(yōu)勢的互聯(lián)網(wǎng)金融將實現(xiàn)進(jìn)一步的發(fā)展，并迫使傳統(tǒng)金融行業(yè)進(jìn)行革新。同時，由于自身處于方興未艾的探索階段，存在著從運營到監(jiān)管層面的諸多風(fēng)險。近來頻發(fā)的泛亞、e租寶、大大集團等p2p網(wǎng)絡(luò)借貸平臺的著名案件，只是互聯(lián)網(wǎng)金融存在風(fēng)險的冰山一隅，全國3464家被監(jiān)測的P2P借貸平臺，正常運營的僅有1876家，問題平臺約占46%，加之網(wǎng)絡(luò)金融詐騙手段翻新，案件層出不窮等現(xiàn)象，則為加強互聯(lián)網(wǎng)金融犯罪防控敲響了警鐘。

一、大數(shù)據(jù)時代互聯(lián)網(wǎng)金融犯罪的類型

所謂大數(shù)據(jù)，是指對信息爆炸時代產(chǎn)生的海量數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘、分析，并為之所用的技術(shù)革新，它所承載的平臺主要集中于互聯(lián)網(wǎng)平臺?；ヂ?lián)網(wǎng)金融是最為典型的數(shù)據(jù)驅(qū)動型產(chǎn)業(yè)，它通過大數(shù)據(jù)實現(xiàn)信息挖掘、信用風(fēng)險管理和資金轉(zhuǎn)移管理上的需求。但由于信息的無界性，一旦使用大數(shù)據(jù)的用戶懷有惡意目的，那么很可能釀成金融犯罪，目前我國典型的互聯(lián)網(wǎng)金融犯罪類型主要有以下3種：

一是金融詐騙?；ヂ?lián)網(wǎng)金融詐騙主要有三類。第一類是網(wǎng)絡(luò)釣魚詐騙。這是互聯(lián)網(wǎng)金融犯罪最傳統(tǒng)也是最常見的犯罪方式。不法分子利用大數(shù)據(jù)盜取、收買用戶信息，通過傳播木馬、偽造釣魚網(wǎng)站、發(fā)送含有欺詐信息的電子郵件等引誘上當(dāng)?shù)姆绞剑扇≌T騙用戶自己劃轉(zhuǎn)資金或盜取用戶的賬戶密碼劃轉(zhuǎn)資金等手段對用戶實施網(wǎng)絡(luò)詐騙。由于第三方支付平臺在社會層面的廣為運用，目前，第三方支付已取代銀行卡詐騙成為網(wǎng)絡(luò)詐騙的最新作案工具。第二類是假造借錢行為。利用p2p網(wǎng)絡(luò)借貸平臺信用審核不嚴(yán)的漏洞，通過偽造個人身份信息、工作證明、銀行交易流水、資金用途、聯(lián)系方式等手段騙取借款，然后攜款潛逃。第三類是信用卡金額套取詐騙。通過虛構(gòu)交易的方式，套取信用卡內(nèi)金額。這兩類案件也層出不窮。

二是網(wǎng)絡(luò)洗錢。不法分子一方面可以利用第三方支付平臺等進(jìn)行洗錢和轉(zhuǎn)移贓款，而由于基于大數(shù)據(jù)的第三方支付平臺具有門檻低、高頻交易的特點，使贓款可以通過一系列復(fù)雜、快速的往來交易與資金轉(zhuǎn)移，混淆資金來源，實現(xiàn)資金的快速洗白；另一方面利用大量p2p借貸平臺對出借人審查不嚴(yán)格、游離于主流監(jiān)管體系之外的漏洞，向p2p平臺大量出借贓款，再借由p2p平臺之手，將贓款轉(zhuǎn)移，脫離監(jiān)管視線。值得注意的是，隨著國家有關(guān)部門逐漸加強對第三方支付平臺的監(jiān)管，不法分子p2p網(wǎng)絡(luò)借貸平臺正在成為隱秘、安全、快捷的洗錢通道。

三是非法集資。隨著p2p借貸平臺的紛紛涌現(xiàn)，以p2p為名義進(jìn)行非法集資的案例近來呈高發(fā)態(tài)勢，主要表現(xiàn)為擅自成立金融機構(gòu)進(jìn)行非法吸收公眾存款等。一些不法分子未經(jīng)過國家有關(guān)部門批準(zhǔn)，組建p2p網(wǎng)絡(luò)借貸平臺，擅自開展向社會公眾融資業(yè)務(wù)。在業(yè)務(wù)開展過程中，偽造信用評級和資金托管平臺，許以高額利潤回報，吸取大量公眾資金，進(jìn)行自我融資或期限錯配吸儲放貸，且產(chǎn)生的信貸存量沒有存貸比、準(zhǔn)備金等“防火墻”設(shè)置，杠桿極度放大，一旦投融資失敗或發(fā)生客戶大量擠兌，大量客戶的資金血本無歸。2014年及之前的杭州國臨創(chuàng)投、深圳中貸信創(chuàng)、上海鋒逸信投，2015年的E租寶、大大集團，均因涉嫌非法集資而站在了輿論的風(fēng)口浪尖。

二、引起犯罪的風(fēng)險原因

一是隱私風(fēng)險導(dǎo)致用戶信息容易泄漏?！按髷?shù)據(jù)時代沒有隱私”，雖然是一句夸大的用語，但卻真實反映了互聯(lián)網(wǎng)上的海量信息在增加便利的同時給個人生活造成的負(fù)面影響。由于當(dāng)前互聯(lián)網(wǎng)與現(xiàn)實世界的無縫銜接及網(wǎng)絡(luò)信息擴散的迅速化和無界性，用戶在現(xiàn)實世界及網(wǎng)絡(luò)上的每一次消費行為及個人所在地、行徑位置、健康和財務(wù)情況等基本信息都可以被挖掘和利用。而在大數(shù)據(jù)時代的互聯(lián)網(wǎng)金融環(huán)境中，隱私問題遠(yuǎn)遠(yuǎn)超出了常規(guī)身份確認(rèn)風(fēng)險的范疇，一旦被別有用心的人攫取，就可能為實施網(wǎng)絡(luò)詐騙提供前提條件。

二是安全風(fēng)險導(dǎo)致金融系統(tǒng)易受攻擊。由于互聯(lián)網(wǎng)金融服務(wù)基本上是利用計算機程序和軟件系統(tǒng)在萬維網(wǎng)平臺進(jìn)行控制的，因此一旦承載網(wǎng)絡(luò)的物理平臺或網(wǎng)絡(luò)本身出現(xiàn)安全漏洞，就可能對金融系統(tǒng)或用戶財產(chǎn)安全造成致命影響。事實上，當(dāng)前互聯(lián)網(wǎng)安全技術(shù)雖已趨于成熟，但遠(yuǎn)不完美，加之網(wǎng)絡(luò)黑客活動的增長率居高不下，使得包括惡意攻擊和木馬病毒等其他安全隱患仍是當(dāng)前互聯(lián)網(wǎng)金融系統(tǒng)的主要風(fēng)險之一。在網(wǎng)絡(luò)黑客的攻擊行為中，既有針對用戶個人的盜取賬戶、密碼等犯罪行為，也有針對金融系統(tǒng)的入侵行為，輕則損失錢財，重則對金融秩序穩(wěn)定造成危害。

三是平臺風(fēng)險導(dǎo)致金融行為缺乏規(guī)范。在互聯(lián)網(wǎng)金融體系中，以p2p網(wǎng)絡(luò)借貸平臺為代表的小微企業(yè)占據(jù)了半壁江山。這些企業(yè)普遍存在法律意識不強、運營管理不規(guī)范、信用不高等問題。很多企業(yè)由于沒有足夠的底線意識，在資格條件不具備、各項配套措施不完善的前提下，開展互聯(lián)網(wǎng)金融業(yè)務(wù)，游走于非法集資的邊緣，較易構(gòu)成犯罪，大多數(shù)小微企業(yè)在用戶信用審核上做得不夠，為了迅速達(dá)成交易，缺乏正規(guī)的審查流程，合同的簽訂也不規(guī)范，而人民銀行征信體系又未覆蓋到位，使一些不法分子有可乘之機，進(jìn)行網(wǎng)絡(luò)洗錢和惡意借錢的犯罪行為。

四是監(jiān)管缺位導(dǎo)致金融風(fēng)險缺乏監(jiān)控。目前，我國針對互聯(lián)網(wǎng)金融領(lǐng)域的法律制度建設(shè)嚴(yán)重滯后，行業(yè)準(zhǔn)入的標(biāo)準(zhǔn)不清晰，金融監(jiān)管的部門和相關(guān)權(quán)力不明確，互聯(lián)網(wǎng)金融企業(yè)開展具體金融業(yè)務(wù)的規(guī)范性要求也不明晰，導(dǎo)致違法邊際過大，產(chǎn)生了大量灰色地帶。這些灰色地帶由于監(jiān)管缺位，被一些不法分子利用，不僅縱容了網(wǎng)絡(luò)洗錢、非法集資、網(wǎng)絡(luò)詐騙等犯罪行為，而且使互聯(lián)網(wǎng)金融行業(yè)出現(xiàn)了大量亂象，互聯(lián)網(wǎng)金融企業(yè)信譽、資質(zhì)良莠不齊，影響了金融秩序的穩(wěn)定運行和互聯(lián)網(wǎng)金融的健康發(fā)展。

三、互聯(lián)網(wǎng)金融風(fēng)險的防控對策

一是加強立法立規(guī)，完善監(jiān)管、樹立標(biāo)準(zhǔn)。梳理完善現(xiàn)行互聯(lián)網(wǎng)金融法律法規(guī)，國家層面出臺進(jìn)一步促進(jìn)互聯(lián)網(wǎng)金融發(fā)展的指導(dǎo)意見，省級層面出臺具體實施細(xì)則，在鼓勵各類市場主體運用互聯(lián)網(wǎng)、大數(shù)據(jù)、云計算等技術(shù)，對接各類金融資源，開展產(chǎn)品創(chuàng)新、技術(shù)創(chuàng)新、服務(wù)創(chuàng)新、管理創(chuàng)新和模式創(chuàng)新，打造互聯(lián)網(wǎng)金融品牌的同時，界定互聯(lián)網(wǎng)金融的范疇、準(zhǔn)入門檻、運營規(guī)范、進(jìn)出機制、監(jiān)管主體及職責(zé)等問題，并構(gòu)建多部門聯(lián)動的互聯(lián)網(wǎng)金融協(xié)同監(jiān)管機制，切實加強監(jiān)管。同時進(jìn)一步完善相關(guān)法律，對互聯(lián)網(wǎng)金融在第三方支付、網(wǎng)絡(luò)金融理財、p2p網(wǎng)絡(luò)借貸、眾籌可能觸犯法律的行為特別是對互聯(lián)網(wǎng)金融技術(shù)的創(chuàng)新抵觸現(xiàn)行法律的行為，如涉嫌非法集資、非法證券交易等的行為，作出明確規(guī)定，出臺司法解釋。同時，修正完善個人信息保護、等互聯(lián)網(wǎng)金融配套法律體系，包括合同簽訂規(guī)范等在內(nèi)的互聯(lián)網(wǎng)金融行為指引和國家標(biāo)準(zhǔn)等規(guī)范性文件，規(guī)范資本運作，保障金融秩序。

二是加強網(wǎng)絡(luò)安全技術(shù)研發(fā)與管理。修訂完善《計算機軟件保護條例》、《計算機病毒控制條例》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》等相關(guān)網(wǎng)絡(luò)安全法律，擴大適用范圍和調(diào)整對象，使之與大數(shù)據(jù)時代下的互聯(lián)網(wǎng)環(huán)境相適應(yīng)，同時建立健全網(wǎng)絡(luò)信息安全管理體系，嚴(yán)格落實信息安全等級保護制度，加強互聯(lián)網(wǎng)金融企業(yè)網(wǎng)站規(guī)范管理，保障互聯(lián)網(wǎng)金融環(huán)境安全。進(jìn)一步加強網(wǎng)絡(luò)金融基礎(chǔ)設(shè)施建設(shè)，以統(tǒng)一的標(biāo)準(zhǔn)和規(guī)范加強網(wǎng)絡(luò)安全系統(tǒng)的開發(fā)，以監(jiān)測、預(yù)防、查殺可能的黑客攻擊行為及病毒程序，并在各互聯(lián)網(wǎng)金融企業(yè)強制安裝。此外，還要做好網(wǎng)絡(luò)安全及網(wǎng)絡(luò)行為風(fēng)險的社會宣傳與教育，使社會公眾逐步建立良好的安全意識。

三是利用大數(shù)據(jù)構(gòu)建完善的信用風(fēng)險機制。人民銀行利用大數(shù)據(jù)技術(shù)，進(jìn)一步加強征信體系建設(shè)，擴大人群覆蓋范圍，特別是對小微互聯(lián)網(wǎng)金融企業(yè)服務(wù)對象的信用評級覆蓋?；ヂ?lián)網(wǎng)金融企業(yè)要利用大數(shù)據(jù)的挖掘、分析，對客戶的社交網(wǎng)絡(luò)信息、用戶申請信息等網(wǎng)絡(luò)行為進(jìn)行深度的信息調(diào)查，同時加強客戶的信貸歷史挖掘，加強客戶信用數(shù)據(jù)的審核，對于有網(wǎng)絡(luò)洗錢、惡意借貸行為的對象，進(jìn)行有效攔截。同時，要打通線上線下，采用先進(jìn)的預(yù)測模型等策略，進(jìn)行數(shù)據(jù)挖掘和信息分析，提高信用評估的決策效率，建立完備和科學(xué)的風(fēng)控體系，降低違約風(fēng)險，為客戶投資安全提供堅實保障，解決國內(nèi)互聯(lián)網(wǎng)金融的信用風(fēng)險管理問題。

四是加強行業(yè)自律。建立遍布各省的互聯(lián)網(wǎng)金融協(xié)會，吸收省內(nèi)有一定資質(zhì)的互聯(lián)網(wǎng)金融企業(yè)成為會員，充分發(fā)揮互聯(lián)網(wǎng)金融協(xié)會的行業(yè)規(guī)范與自律作用，構(gòu)建約束機制，組織會員簽訂行業(yè)自律公約，推動機構(gòu)之間的業(yè)務(wù)交流和信息共享，營造公平的市場競爭環(huán)境。同時，完善互聯(lián)網(wǎng)金融企業(yè)信用信息公示和準(zhǔn)入退出機制，一方面建立互聯(lián)網(wǎng)金融企業(yè)定期向社會、投資人信息披露制度，公布惡意行為人的黑名單，并開展投資者教育和金融消費者權(quán)益保護工作，引導(dǎo)社會公眾增強投資風(fēng)險意識，另一方面，制定經(jīng)營管理規(guī)則和業(yè)務(wù)標(biāo)準(zhǔn)，開展互聯(lián)網(wǎng)金融企業(yè)信用等級評定和公示工作，引導(dǎo)互聯(lián)網(wǎng)金融企業(yè)依法合規(guī)開展業(yè)務(wù)，對違法違規(guī)的互聯(lián)網(wǎng)金融企業(yè)進(jìn)行社會公示并取消其協(xié)會會員資格。在此基礎(chǔ)上，互聯(lián)網(wǎng)金融企業(yè)樹立底線思維，深入了解與互聯(lián)網(wǎng)金融相關(guān)的法律法規(guī)問題，對違法違規(guī)行為堅決不觸及，并嚴(yán)格執(zhí)行相關(guān)行業(yè)標(biāo)準(zhǔn)，規(guī)范運營管理的各個環(huán)節(jié)，共同促進(jìn)互聯(lián)網(wǎng)金融的健康發(fā)展。

五是加強對互聯(lián)網(wǎng)金融犯罪的偵防。公安經(jīng)偵部門要跟蹤了解互聯(lián)網(wǎng)金融犯罪的主要類型和發(fā)展動態(tài)，對互聯(lián)網(wǎng)金融體現(xiàn)出來的涉案人員范圍廣，涉案金額高，犯罪主體專業(yè)化、手段智能化、反偵查意識強，電子數(shù)據(jù)成為主要的證據(jù)形式，衍生犯罪特點顯著等特點予以警惕，建立互聯(lián)網(wǎng)金融犯罪風(fēng)險監(jiān)測、預(yù)警和管控工作機制，利用大數(shù)據(jù)等新型技偵手段，努力發(fā)現(xiàn)、挖掘、提煉深層次、預(yù)警性信息，及時提出防范涉及互聯(lián)網(wǎng)金融經(jīng)濟犯罪活動的工作意見，助力犯罪防控。同時，加強情報信息的收集和分析研判，做好電子數(shù)據(jù)證據(jù)收集、網(wǎng)絡(luò)信息查證和犯罪嫌疑人員追蹤等工作，打擊具體犯罪人員。此外，要對互聯(lián)網(wǎng)金融經(jīng)濟犯罪的常見類型、慣用手法和動態(tài)特征開展多層面、多角度宣傳，提醒公眾理性投資，提升社會公眾防范意識和能力。

參考文獻(xiàn)

[1]劉坤，高春興.互聯(lián)網(wǎng)金融犯罪的特點與偵防對策研究[J].山東警察學(xué)院.2015（9）.

[2]中國人民銀行.中國金融穩(wěn)定報告（2014）[EB/OL]. http：///a/20140429/1320967.shtml.

[3]姚國章，趙剛.互聯(lián)網(wǎng)金融及其風(fēng)險研究[J].《南京郵電大學(xué)學(xué)報.自然科學(xué)版》.2015（2）.

網(wǎng)絡(luò)安全等級保護制度條例范文第5篇

【關(guān)鍵詞】信息安全管理；保險企業(yè)；體系構(gòu)建

0.引言

保險企業(yè)的計算機信息安全管理給企業(yè)自身的發(fā)展帶來了非常多的好處，不僅能夠?qū)崿F(xiàn)企業(yè)辦公的自動化和信息化，同時也提高了企業(yè)的運營效率。保險企業(yè)的信息化主要是保險企業(yè)以業(yè)務(wù)流程的優(yōu)化和重構(gòu)為基礎(chǔ)，在一定的深度和廣度上利用計算機技術(shù)、網(wǎng)絡(luò)技術(shù)和數(shù)據(jù)庫技術(shù)，控制和集成化管理企業(yè)生產(chǎn)經(jīng)營活動中的各種信息，實現(xiàn)企業(yè)內(nèi)外部信息的共享和有效利用，以提高企業(yè)的經(jīng)濟效益和市場競爭力。從目前的保險企業(yè)來看，很多企業(yè)都已經(jīng)開發(fā)了適合自己企業(yè)的計算機信息系統(tǒng)來滿足企業(yè)的運轉(zhuǎn)，企業(yè)通過開發(fā)計算機信息系統(tǒng)平臺，提高了自身產(chǎn)品、經(jīng)營、管理、決策的效率和水平，進(jìn)而提高了企業(yè)的經(jīng)濟效益和競爭力。同時，我們也要注意到，保險企業(yè)開發(fā)計算機信息系統(tǒng)是好事情，但是如果忽略了對計算機信息安全的管理，就將是個大問題。在如今，計算機信息安全性對于保險企業(yè)來說比開發(fā)系統(tǒng)更為重要，企業(yè)一旦出現(xiàn)信息安全問題，后果不堪設(shè)想。有最新的數(shù)據(jù)表明，計算機病毒和黑客攻擊已經(jīng)給國民經(jīng)濟和企業(yè)造成了難以估量的損失。所以，保險企業(yè)計算機信息安全管理的體系構(gòu)建迫在眉睫，必須要引起高度重視。

1.保險企業(yè)信息安全管理的現(xiàn)狀

計算機信息安全問題不是保險企業(yè)才存在的問題，是全球企業(yè)都存在的普遍問題，越發(fā)達(dá)的地區(qū)，信息安全存在的隱患越多。一方面，現(xiàn)在互聯(lián)網(wǎng)的發(fā)展速度非常快，信息技術(shù)的日趨完善，出現(xiàn)了很多的惡意攻擊工具，再加上信息系統(tǒng)本身的漏洞，讓一些破壞分子更是有機可乘；從另外一個角度來看，企業(yè)自身對信息安全管理不重視，也是導(dǎo)致出現(xiàn)信息安全問題的首要原因之一。近年來，保險行業(yè)處于高速發(fā)展的時期，暴露出的問題也相對比較多，我們應(yīng)該重視起來。下面列出了當(dāng)前的保險企業(yè)在信息安全管理上存在的主要幾點問題：

1.1沒有相關(guān)的法規(guī)來約束

與信息的安全有關(guān)的分散于各種法律、法規(guī)、標(biāo)準(zhǔn)、道德規(guī)范和管理辦法的條文較多，但尚未形成一個較為規(guī)范完整的保障信息安全的法律制度、道德規(guī)范及管理體系。同時現(xiàn)有的法規(guī)，由于相關(guān)安全技術(shù)和手段還沒有成熟和標(biāo)準(zhǔn)化，法規(guī)也不能很好地被執(zhí)行。因此，保險行業(yè)的信息安全標(biāo)準(zhǔn)和規(guī)范的缺少和無體系化，導(dǎo)致保險企業(yè)不能很好的制定合理的安全策略并確保此策略能被有效執(zhí)行。

1.2沒有引起足夠的重視

很多保險企業(yè)的管理層對信息安全管理不太關(guān)注，不夠重視，沒有投入足夠的人力、物力和財力去管理。大部分保險企業(yè)在公司治理上重點關(guān)注的是企業(yè)的業(yè)務(wù)規(guī)模發(fā)展，銷售策略調(diào)整，組織結(jié)構(gòu)和運營流程的優(yōu)化等，對信息安全管理不太重視，不太相信信息安全問題能給企業(yè)會帶來嚴(yán)重危機，直到發(fā)生了信息安全事件后之后才開始重視。因此，保險企業(yè)必須在公司日常治理中投入足夠的時間和精力去完善企業(yè)的信息安全管理體系。

1.3對存在的風(fēng)險評估不夠

很多保險企業(yè)在設(shè)計搭建相關(guān)信息系統(tǒng)的時候?qū)Υ嬖诘娘L(fēng)險評估不夠，沒有充分考慮到信息化所帶來的安全風(fēng)險，通常只是考慮到信息技術(shù)問題，對于信息系統(tǒng)應(yīng)用后出現(xiàn)的信息安全問題欠缺考慮。其實對信息系統(tǒng)安全風(fēng)險不做評估或評估不充分，都會帶來嚴(yán)重的后果，一旦信息系統(tǒng)出現(xiàn)嚴(yán)重缺陷或漏洞的時，系統(tǒng)受到破壞，正常的業(yè)務(wù)操作無法進(jìn)行，嚴(yán)重的可能會導(dǎo)致企業(yè)內(nèi)部機密、客戶個人信息的泄露或者重要數(shù)據(jù)被盜、被篡改等。所以，保險企業(yè)面臨解決諸如系統(tǒng)本身缺陷、操作失誤等帶來的安全問題的。

1.4沒有制定相應(yīng)的安全管理條例，無明確責(zé)任劃分

保險企業(yè)相關(guān)的信息技術(shù)安全之所以存在一系列的問題，和企業(yè)沒有制定相應(yīng)的安全管理制度，沒有明確責(zé)任劃分等有很大的關(guān)系。沒有相關(guān)的信息安全管理制度去制約，出了信息安全問題以后的責(zé)任劃分不清晰，長此以往，信息安全問題的監(jiān)管就會出很大的漏洞，也很難形成一個可控的信息安全管理體系。保險企業(yè)的信息安全管理應(yīng)該是整個企業(yè)員工共同面對的問題，而不是企業(yè)某個部門或者某些個人能夠決定的事情。保險企業(yè)的信息安全管理應(yīng)該有相應(yīng)的制度和明確的責(zé)任劃分，每個部門都應(yīng)該有信息安全的負(fù)責(zé)人，出了問題要做到有人承擔(dān)，如果不這樣的話就會影響到信息安全管理體系的構(gòu)建，成為企業(yè)信息安全管理的絆腳石。

所以，針對以上種種問題和現(xiàn)狀，保險企業(yè)必須要形成一個良好的信息安全管理體系，這樣才能從根本上解決問題，發(fā)揮信息化建設(shè)的作用，保障企業(yè)的計算機信息安全。

2.保險企業(yè)計算機信息安全管理的體系構(gòu)建

2.1掌握安全管理標(biāo)準(zhǔn)，構(gòu)建安全管理基本框架

要熟悉掌握信息安全管理標(biāo)準(zhǔn)，對信息技術(shù)的安全管理標(biāo)準(zhǔn)要進(jìn)行不斷深入的理解，不能僅僅考慮到信息技術(shù)，而忽視了信息安全管理。國際上對安全管理研究已經(jīng)取得了一定的成果，推出了信息安全標(biāo)準(zhǔn)，成立了信息安全標(biāo)準(zhǔn)化組織，搭建了信息安全標(biāo)準(zhǔn)體系框架。在我國，雖然信息安全的研究起步比較晚，但是也在不斷的完善中，已經(jīng)制定了適合我國國情的信息安全管理標(biāo)準(zhǔn)。我國提出的關(guān)于《計算機信息安全保護等級劃分準(zhǔn)則》中就明確了安全管理的標(biāo)準(zhǔn)，主要把信息安全劃分成自主保護級、系統(tǒng)審核保護級、安全標(biāo)記保護級、結(jié)構(gòu)化保護級和訪問驗證保護級等五個安全程度不同的安全等級，根據(jù)這五級標(biāo)準(zhǔn)，也分別提出了關(guān)于建立安全管理體系的相關(guān)措施。所以，保險企業(yè)應(yīng)該參考這些標(biāo)準(zhǔn)，構(gòu)建適合自身行業(yè)、企業(yè)信息的安全管理基本框架，這對于企業(yè)的健康穩(wěn)健發(fā)展是非常有意義的。

2.2實現(xiàn)科學(xué)的信息安全管理

保險企業(yè)要實現(xiàn)科學(xué)的信息安全管理，不能不考慮信息安全影響而隨意的進(jìn)行信息管理。保險企業(yè)的信息安全管理應(yīng)該要包括對機構(gòu)安全管理和人員安全管理以及技術(shù)安全管理和場地設(shè)施安全管理。保險企業(yè)需要采用一些科學(xué)的方法，如科學(xué)化企業(yè)信息資產(chǎn)評估和風(fēng)險分析模型法、設(shè)計完備的信息系統(tǒng)動態(tài)安全模型等，建立科學(xué)的可實施的計算機系統(tǒng)安全策略，采取規(guī)范的安全防范措施，選用可靠穩(wěn)定的安全產(chǎn)品，設(shè)計完善的安全評估標(biāo)準(zhǔn)和等級，實施有效的審核措施等來實現(xiàn)對信息的安全管理。

2.3進(jìn)行有效的安全風(fēng)險評估

保險企業(yè)在搭建信息化平臺的時候，必須要進(jìn)行安全風(fēng)險的評估，沒有風(fēng)險的評估是很難實現(xiàn)信息安全管理的。同時，還需要在對信息安全風(fēng)險的評估中制定出風(fēng)險的應(yīng)對方案，便于應(yīng)對突發(fā)問題，從最大程度上保證信息的安全。

2.4合理配置安全產(chǎn)品

對于評估出來的風(fēng)險，保險企業(yè)可以對信息系統(tǒng)配置一些安全產(chǎn)品來規(guī)避信息安全風(fēng)險。比如說系統(tǒng)存在一些漏洞，這些漏洞很容易受病毒的攻擊，那么企業(yè)可以配置一些能夠定期更新的殺毒軟件和防火墻來防止病毒的侵入。在配置產(chǎn)品的時候需要注意配置的合理性，不能什么安全產(chǎn)品都去配置，要通過最優(yōu)化的安全產(chǎn)品配置達(dá)到企業(yè)信息的安全管理。

【參考文獻(xiàn)】

[1]許雅娟.網(wǎng)絡(luò)攻擊分類研究[J].硅谷，2011（06）.

[2]宋曉萍.TDCS網(wǎng)絡(luò)安全防護方案的研究[J].鐵道運輸與經(jīng)濟，2006（11）.

[3]苗亮.計算機網(wǎng)絡(luò)可靠性的研究[J].機械工程與自動化，2010（03）.