摘要：隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展和普及，如今互聯(lián)網(wǎng)技術(shù)的運(yùn)用領(lǐng)域范圍也越加廣泛，并逐步改變?nèi)藗兊娜粘Ｉ顑?nèi)容及習(xí)慣。在此情況下，國(guó)家為能夠有效確保網(wǎng)絡(luò)信息安全，已經(jīng)將網(wǎng)絡(luò)信息安全的相關(guān)內(nèi)容納入到國(guó)家安全之中，并將其視作為國(guó)家安全的重要組成部分?；诖耍疚膶⑻岢鲆环N網(wǎng)絡(luò)安全評(píng)測(cè)信息系統(tǒng)的總體設(shè)計(jì)架構(gòu)，并以某中小企業(yè)為例，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全評(píng)測(cè)信息系統(tǒng)的具體運(yùn)用測(cè)試，進(jìn)一步確定網(wǎng)絡(luò)安全評(píng)測(cè)信息系統(tǒng)的實(shí)際運(yùn)用成效。

關(guān)鍵詞：網(wǎng)絡(luò)安全；系統(tǒng)開(kāi)發(fā)；系統(tǒng)運(yùn)用

近些年來(lái)，隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，我國(guó)在網(wǎng)絡(luò)信息安全保障領(lǐng)域方面也得到了快速發(fā)展。但結(jié)合當(dāng)今實(shí)際情況來(lái)看，我國(guó)網(wǎng)絡(luò)信息安全保障領(lǐng)域中還存在著網(wǎng)絡(luò)信息安全滯后于信息發(fā)展等問(wèn)題，這些問(wèn)題的存在將會(huì)嚴(yán)重影響到我國(guó)的網(wǎng)絡(luò)信息安全。為能夠進(jìn)一步提高網(wǎng)絡(luò)信息安全保障能力，維護(hù)國(guó)家信息安全和公民信息安全，需要在網(wǎng)絡(luò)安全測(cè)評(píng)領(lǐng)域，采用先進(jìn)技術(shù)手段和科學(xué)有效的方法，構(gòu)建相應(yīng)的網(wǎng)絡(luò)安全測(cè)評(píng)信息系統(tǒng)，及時(shí)預(yù)防和抵御網(wǎng)絡(luò)信息安全問(wèn)題，將網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)控制在可接受水平范圍。

1網(wǎng)絡(luò)安全評(píng)測(cè)信息系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

1.1安全漏洞掃描器類(lèi)型。安全漏洞掃描器作為網(wǎng)絡(luò)安全評(píng)測(cè)信息系統(tǒng)重要組成部分，其在市面上常用的類(lèi)型主要分為基于主機(jī)的安全漏洞掃描器、基于網(wǎng)絡(luò)的安全漏洞掃描器、基于目標(biāo)的安全漏洞掃描器以及基于應(yīng)用的安全漏洞掃描器四種。（1）基于主機(jī)的安全漏洞掃描器主要是通過(guò)被動(dòng)式、非破壞性的方法對(duì)網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行全面檢測(cè)，檢測(cè)過(guò)程中會(huì)對(duì)系統(tǒng)配置文件的完整性、正確性、重要文件和程序的實(shí)際權(quán)限以及主機(jī)內(nèi)部安全狀態(tài)等內(nèi)容進(jìn)行檢測(cè)分析，分析文件、程序、主機(jī)中是否存在風(fēng)險(xiǎn)漏洞問(wèn)題[1]；（2）基于網(wǎng)絡(luò)的安全漏洞掃描器則會(huì)采用主動(dòng)性、破壞性的方式來(lái)檢測(cè)系統(tǒng)是否能夠抵御外部攻擊，即通過(guò)一些腳本、病毒來(lái)模擬系統(tǒng)在被攻擊時(shí)的安全性能，進(jìn)而測(cè)定系統(tǒng)的安全水平；（3）基于目標(biāo)的安全漏洞掃描器在運(yùn)行過(guò)程中會(huì)對(duì)系統(tǒng)屬性和文件屬性進(jìn)行全面檢測(cè)，并在檢測(cè)過(guò)程中采用消息加密算法和HASH函數(shù)來(lái)感知系統(tǒng)加密消息的真?zhèn)巫兓闆r；（4）基于應(yīng)用的安全漏洞掃描器是一種被動(dòng)式、非破壞性的安全檢測(cè)方式，在實(shí)際運(yùn)行過(guò)程中會(huì)通過(guò)對(duì)應(yīng)用軟件設(shè)置情況的檢測(cè)來(lái)判斷系統(tǒng)示范存在安全漏洞問(wèn)題。

1.2網(wǎng)絡(luò)安全評(píng)測(cè)信息系統(tǒng)主要架構(gòu)。結(jié)合當(dāng)今實(shí)際情況來(lái)看，常見(jiàn)的網(wǎng)絡(luò)安全評(píng)測(cè)信息系統(tǒng)主要采用B-S、C-S等架構(gòu)，本文在實(shí)際設(shè)計(jì)過(guò)程中，將會(huì)采用C-S架構(gòu)。在網(wǎng)絡(luò)安全評(píng)測(cè)信息系統(tǒng)中主要分為客戶(hù)端和服務(wù)器兩部分，其中客戶(hù)端主要由安全評(píng)估模塊、掃描配置模塊以及結(jié)果報(bào)表整理模塊三部分組成；服務(wù)器主要是由掃描引擎、漏洞庫(kù)以及插件庫(kù)三部分組成[2]。在該些模塊的支持下，客戶(hù)端可以實(shí)現(xiàn)配置模塊的全面掃描，并實(shí)時(shí)將掃描請(qǐng)求發(fā)送到服務(wù)器端。服務(wù)器端在接收到掃描請(qǐng)求后，會(huì)調(diào)用掃描引擎會(huì)基于目標(biāo)配置文件對(duì)目標(biāo)的網(wǎng)絡(luò)進(jìn)行全面掃描，然后將掃描結(jié)果與服務(wù)器漏洞庫(kù)中的預(yù)設(shè)信息進(jìn)行匹配對(duì)比，確定目標(biāo)網(wǎng)絡(luò)是否存在漏洞問(wèn)題，再將判斷后獲取到的匹配結(jié)果返回給客戶(hù)端，客戶(hù)端會(huì)對(duì)返回的匹配結(jié)果進(jìn)行分析，然后對(duì)分析結(jié)果及相關(guān)內(nèi)容進(jìn)行報(bào)表整理，完成整個(gè)網(wǎng)絡(luò)安全評(píng)測(cè)信息系統(tǒng)工作流程。

1.3客戶(hù)端架構(gòu)設(shè)計(jì)。網(wǎng)絡(luò)安全評(píng)測(cè)信息系統(tǒng)的客戶(hù)端主要有掃描配置模塊、評(píng)估模塊、預(yù)警模塊、掃描結(jié)果數(shù)據(jù)庫(kù)以及主機(jī)基本情況數(shù)據(jù)庫(kù)五部分組成，具體內(nèi)容如下：（1）掃描配置模塊：掃描配置模塊的主要作用是對(duì)客戶(hù)端的掃描任務(wù)進(jìn)行合理配置，具體配置內(nèi)容包括掃描目標(biāo)、用戶(hù)名、用戶(hù)密碼、加密方式、輸出格式、掃描范圍、服務(wù)器地址、服務(wù)器端口、使用插件等。（2）評(píng)估模塊：評(píng)估模塊的主要作用是結(jié)合目標(biāo)的實(shí)際情況選用適當(dāng)?shù)乃惴▽?duì)目標(biāo)掃描結(jié)果進(jìn)行分析，然后對(duì)目標(biāo)安全新情況進(jìn)行一個(gè)較為全面、公正的評(píng)估判斷。（3）預(yù)警模塊：預(yù)警模塊的主要作用是在發(fā)現(xiàn)目標(biāo)存在安全風(fēng)險(xiǎn)后，通過(guò)Email或者其他通信方式，及時(shí)告知目標(biāo)存在的安全風(fēng)險(xiǎn)問(wèn)題的實(shí)際情況，具體告知內(nèi)容包括目標(biāo)已發(fā)現(xiàn)的安全漏洞，漏洞相應(yīng)的補(bǔ)救措施等[3]。（4）主機(jī)基本情況數(shù)據(jù)庫(kù)：通常來(lái)說(shuō)，某一系統(tǒng)內(nèi)部的所包含的主機(jī)數(shù)量在一定時(shí)間范圍內(nèi)都是一定的，所以在實(shí)際網(wǎng)絡(luò)安全評(píng)測(cè)過(guò)程中，可以將這些主機(jī)相關(guān)的基本信息存入到主機(jī)基本情況數(shù)據(jù)庫(kù)中，以方便后續(xù)網(wǎng)絡(luò)安全評(píng)測(cè)信息系統(tǒng)檢測(cè)中使用，進(jìn)而有效提高評(píng)測(cè)速度的同時(shí)，增強(qiáng)主機(jī)的管理效果。當(dāng)然，在主機(jī)情況發(fā)生變動(dòng)后，網(wǎng)絡(luò)管理人員需要結(jié)合主機(jī)變動(dòng)情況及時(shí)對(duì)主機(jī)基本情況數(shù)據(jù)庫(kù)中的信息進(jìn)行更新處理，確保數(shù)據(jù)的精準(zhǔn)性和有效性。（5）掃描結(jié)果數(shù)據(jù)庫(kù)：每當(dāng)完成一次網(wǎng)絡(luò)安全掃描后，掃描所獲取到的結(jié)果便會(huì)存儲(chǔ)到掃描結(jié)果數(shù)據(jù)庫(kù)中，以供后續(xù)掃描結(jié)果評(píng)估的匹配參考。

摘要:針對(duì)本地信息安全人才培養(yǎng)的需求，嘗試構(gòu)建基于云計(jì)算的信息安全實(shí)訓(xùn)平臺(tái)。利用虛擬化技術(shù)和云計(jì)算的優(yōu)勢(shì)，彌補(bǔ)了傳統(tǒng)實(shí)訓(xùn)環(huán)節(jié)的薄弱，設(shè)計(jì)了數(shù)據(jù)安全實(shí)訓(xùn)、密碼學(xué)安全實(shí)訓(xùn)、逆向工程實(shí)訓(xùn)、安全運(yùn)維與評(píng)估及信息安全綜合實(shí)訓(xùn)五大實(shí)訓(xùn)環(huán)節(jié)，更好地滿(mǎn)足新疆職業(yè)院校信息安全人才培養(yǎng)的需求。

關(guān)鍵詞:信息安全;實(shí)訓(xùn)平臺(tái);云計(jì)算

近年來(lái)，信息安全成為國(guó)家關(guān)注的重要領(lǐng)域，各高校正在積極開(kāi)設(shè)信息安全類(lèi)課程和專(zhuān)業(yè)，然而信息安全相關(guān)實(shí)驗(yàn)內(nèi)容極不完善，實(shí)驗(yàn)環(huán)境和實(shí)驗(yàn)器材都較為匱乏，開(kāi)發(fā)一種具備實(shí)用性、開(kāi)放性、靈活性的信息安全實(shí)驗(yàn)平臺(tái)成為開(kāi)展相關(guān)課程教學(xué)的基礎(chǔ)條件之一［1］。

1新疆高職院校信息安全專(zhuān)業(yè)實(shí)訓(xùn)建設(shè)意義

“一帶一路”經(jīng)過(guò)五年的建設(shè)發(fā)展，取得了舉世矚目的成績(jī)，烏魯木齊作為絲綢之路經(jīng)濟(jì)帶的橋頭堡，其經(jīng)濟(jì)發(fā)展和信息化建設(shè)將起著決定性作用。在信息化建設(shè)過(guò)程中，信息安全成為維護(hù)國(guó)家安全和社會(huì)穩(wěn)定的一個(gè)焦點(diǎn)［2］。新疆高職院校主要是培養(yǎng)適應(yīng)本地發(fā)展的高素質(zhì)技能型人才，其特點(diǎn)是強(qiáng)調(diào)應(yīng)用型。本文以烏魯木齊職業(yè)大學(xué)(以下簡(jiǎn)稱(chēng)“烏職大”)的信息安全云實(shí)訓(xùn)平臺(tái)構(gòu)建為例，緊緊抓住“實(shí)用”和“應(yīng)用”兩個(gè)關(guān)鍵點(diǎn)，圍繞信息安全云實(shí)訓(xùn)的內(nèi)容及對(duì)應(yīng)的職業(yè)技能和崗位應(yīng)用進(jìn)行探索。目的是加強(qiáng)網(wǎng)絡(luò)發(fā)展變革下的信息安全防范工作，順應(yīng)“一帶一路”的發(fā)展信息網(wǎng)絡(luò)安全新思路，抵御恐怖主義、極端主義的信息及網(wǎng)絡(luò)襲擊，加強(qiáng)新疆信息安全高素質(zhì)應(yīng)用型人才的培養(yǎng)，努力構(gòu)建社會(huì)穩(wěn)定的安全格局。

2實(shí)訓(xùn)平臺(tái)建設(shè)目標(biāo)

信息安全云實(shí)驗(yàn)平臺(tái)對(duì)信息安全人才培養(yǎng)至關(guān)重要。綜合信息安全領(lǐng)域的數(shù)據(jù)安全、密碼學(xué)安全、逆向工程、安全運(yùn)維與評(píng)估等方面，構(gòu)建一個(gè)基于云計(jì)算環(huán)境的虛擬化信息安全綜合實(shí)訓(xùn)平臺(tái)具有迫切性和實(shí)用性。如何構(gòu)建一個(gè)集成網(wǎng)絡(luò)工程、計(jì)算機(jī)科學(xué)與技術(shù)、信息安全、網(wǎng)絡(luò)安全、信息對(duì)抗、信息管理、電子商務(wù)等安全相關(guān)專(zhuān)業(yè)或相關(guān)方向迫切需要開(kāi)設(shè)更多更全的信息安全類(lèi)課程，如“信息安全概論”、“網(wǎng)絡(luò)安全”、“現(xiàn)代密碼學(xué)”、“PKI原理與技術(shù)”、“操作系統(tǒng)安全”、“數(shù)據(jù)安全技術(shù)”、“防火墻”、“入侵檢測(cè)”、“計(jì)算機(jī)病毒分析與防治”、“網(wǎng)絡(luò)攻擊與防護(hù)”、“信息隱藏”、“無(wú)線局域網(wǎng)安全分析與防護(hù)”、“信息安全綜合實(shí)訓(xùn)”等，這些課程的教學(xué)都離不開(kāi)好的實(shí)驗(yàn)實(shí)訓(xùn)平臺(tái)。

［摘要］隨著網(wǎng)絡(luò)信息安全重要性愈發(fā)凸顯，高校信息系統(tǒng)安全等級(jí)保護(hù)工作的實(shí)施勢(shì)在必行。定級(jí)作為等級(jí)保護(hù)工作的第一步，其科學(xué)性、合理性、可行性直接關(guān)系著后續(xù)環(huán)節(jié)的有序進(jìn)行。文章通過(guò)分析定級(jí)工作流程和核心要素，結(jié)合教育行業(yè)特殊性，就高校信息系統(tǒng)定級(jí)工作進(jìn)行分析和歸納。

［關(guān)鍵詞］安全等級(jí)保護(hù)；信息系統(tǒng)；定級(jí)

0引言

在教育部提出《教育信息化2．0行動(dòng)計(jì)劃》后，建設(shè)“數(shù)字化”“智慧化”校園成為實(shí)現(xiàn)教育現(xiàn)代化的重要舉措。然而，由于有些高校信息系統(tǒng)在建設(shè)之初未將等級(jí)保護(hù)作為政策性要求加以考慮，其保護(hù)現(xiàn)狀能否滿(mǎn)足安全基本要求成為管理者們擔(dān)憂(yōu)的問(wèn)題。據(jù)統(tǒng)計(jì)，由于安全觀念薄弱，黑客對(duì)高校攻擊的成功率很高［1］，因此高校實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)勢(shì)在必行。但由于思想認(rèn)識(shí)不到位、資金投入不足、管理機(jī)構(gòu)和制度不健全等因素［2］，部分高校遲遲未實(shí)施等級(jí)保護(hù)工作。而現(xiàn)有的等級(jí)保護(hù)研究成果多從信息系統(tǒng)等級(jí)評(píng)測(cè)技術(shù)角度及整體實(shí)施步驟進(jìn)行，對(duì)于等級(jí)保護(hù)中定級(jí)工作缺乏具體的實(shí)踐指導(dǎo)意義。定級(jí)作為等級(jí)保護(hù)工作的第一步，其能否科學(xué)、合理關(guān)系到后續(xù)環(huán)節(jié)的順利展開(kāi)。本文針對(duì)高校典型信息系統(tǒng)的定級(jí)流程、核心要素進(jìn)行分析，結(jié)合山西某高校網(wǎng)站群信息平臺(tái)定級(jí)實(shí)例，希望對(duì)高校新建或改建信息系統(tǒng)等級(jí)保護(hù)評(píng)測(cè)提供借鑒。

1定級(jí)依據(jù)

信息系統(tǒng)安全等級(jí)評(píng)測(cè)制度對(duì)涉及國(guó)家安全，社會(huì)安全、公共利益，公民、法人和其他組織的專(zhuān)有和公開(kāi)信息以及對(duì)這些信息存儲(chǔ)、傳輸、處理的信息系統(tǒng)分等級(jí)進(jìn)行安全保護(hù)［3］。截至2018年底，國(guó)家公開(kāi)的信息安全技術(shù)、網(wǎng)絡(luò)安全等級(jí)標(biāo)準(zhǔn)共14條。高校信息系統(tǒng)定級(jí)主要依據(jù)《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南（GB／T22240－2008）》以及教育部下發(fā)的《教育行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南（試行）》。根據(jù)業(yè)務(wù)信息和信息系統(tǒng)在國(guó)家安全、社會(huì)秩序和公共利益、公民及相關(guān)組織合法權(quán)益中的重要程度以及在遭到破壞后對(duì)國(guó)家、社會(huì)、公民合法權(quán)益的危害程度，將業(yè)務(wù)信息和信息系統(tǒng)的安全保護(hù)等級(jí)分為五級(jí)［4］，安全級(jí)別由高到低分別為專(zhuān)控保護(hù)級(jí)、強(qiáng)制保護(hù)級(jí)、監(jiān)督保護(hù)級(jí)、指導(dǎo)保護(hù)級(jí)、自主保護(hù)級(jí)。同時(shí)依據(jù)安全等級(jí)保護(hù)管理辦法，信息安全等級(jí)保護(hù)評(píng)測(cè)的主要環(huán)節(jié)分為定級(jí)、備案、建設(shè)整改、等級(jí)評(píng)測(cè)和監(jiān)督檢查五個(gè)環(huán)節(jié)。

2定級(jí)流程

[摘要]本文探討電子政務(wù)信息系統(tǒng)質(zhì)量監(jiān)督的主要內(nèi)容及其面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，重點(diǎn)討論電子政務(wù)信息系統(tǒng)網(wǎng)絡(luò)安全檢測(cè)的內(nèi)容，以及網(wǎng)絡(luò)安全檢測(cè)在電子政務(wù)信息系統(tǒng)質(zhì)量監(jiān)督中的重要性及意義。

[關(guān)鍵詞]電子政務(wù)；質(zhì)量監(jiān)督；網(wǎng)絡(luò)安全檢測(cè)

電子政務(wù)是指政府相關(guān)部門(mén)利用信息技術(shù)、網(wǎng)絡(luò)技術(shù)等現(xiàn)代技術(shù)手段重新梳理、優(yōu)化組織架構(gòu)和辦公流程，利用電子化方式替代傳統(tǒng)的人工服務(wù)，為社會(huì)提供更高效、簡(jiǎn)便、透明、廉潔的公共服務(wù)的一種全新的運(yùn)作模式。其網(wǎng)絡(luò)安全能否得到有效保障，直接影響到政務(wù)信息資產(chǎn)的安全。

一、電子政務(wù)信息系統(tǒng)質(zhì)量監(jiān)督的主要內(nèi)容

依照《中華人民共和國(guó)政府采購(gòu)法》第四十一條：“大型或復(fù)雜的政府采購(gòu)項(xiàng)目，應(yīng)當(dāng)邀請(qǐng)國(guó)家認(rèn)可的質(zhì)量檢測(cè)機(jī)構(gòu)參加驗(yàn)收工作。”圍繞采購(gòu)方需求，制定出科學(xué)完善的測(cè)評(píng)方案，通過(guò)性能測(cè)試、漏洞掃描、云計(jì)算服務(wù)安全評(píng)估等專(zhuān)業(yè)檢測(cè)方法，為采購(gòu)方采購(gòu)的業(yè)務(wù)系統(tǒng)、軟件應(yīng)用、云計(jì)算平臺(tái)等開(kāi)展安全檢測(cè)。相關(guān)評(píng)測(cè)標(biāo)準(zhǔn)主要有：《GB/T25000.51-2016系統(tǒng)與軟件工程系統(tǒng)與軟件質(zhì)量要求和評(píng)價(jià)(SQuaRE)第51部分:就緒可用軟件產(chǎn)品(RUSP)的質(zhì)量要求和測(cè)試細(xì)則》《GB50462-2015數(shù)據(jù)中心基礎(chǔ)設(shè)施施工及驗(yàn)收規(guī)范》。

二、網(wǎng)絡(luò)安全檢測(cè)在質(zhì)量監(jiān)督中的重要性

電子政務(wù)信息系統(tǒng)存儲(chǔ)著大量涉及國(guó)計(jì)民生的有效信息，若遭到不法分子竊取，將對(duì)個(gè)人、社會(huì)甚至國(guó)家安全造成嚴(yán)重威脅?；诖?，對(duì)電子政務(wù)信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全檢測(cè)，保障其安全穩(wěn)定地運(yùn)行，是非常必要且需高度重視的。政務(wù)信息網(wǎng)絡(luò)安全檢測(cè)主要是針對(duì)系統(tǒng)可能存在的安全漏洞進(jìn)行識(shí)別、分析，采取措施應(yīng)對(duì)發(fā)現(xiàn)的安全問(wèn)題，以保障電子政務(wù)信息系統(tǒng)安全穩(wěn)定運(yùn)行。

[摘要]本文探討電子政務(wù)信息系統(tǒng)質(zhì)量監(jiān)督的主要內(nèi)容及其面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，重點(diǎn)討論電子政務(wù)信息系統(tǒng)網(wǎng)絡(luò)安全檢測(cè)的內(nèi)容，以及網(wǎng)絡(luò)安全檢測(cè)在電子政務(wù)信息系統(tǒng)質(zhì)量監(jiān)督中的重要性及意義。

[關(guān)鍵詞]電子政務(wù);質(zhì)量監(jiān)督;網(wǎng)絡(luò)安全檢測(cè)

電子政務(wù)是指政府相關(guān)部門(mén)利用信息技術(shù)、網(wǎng)絡(luò)技術(shù)等現(xiàn)代技術(shù)手段重新梳理、優(yōu)化組織架構(gòu)和辦公流程，利用電子化方式替代傳統(tǒng)的人工服務(wù)，為社會(huì)提供更高效、簡(jiǎn)便、透明、廉潔的公共服務(wù)的一種全新的運(yùn)作模式。其網(wǎng)絡(luò)安全能否得到有效保障，直接影響到政務(wù)信息資產(chǎn)的安全。

一、電子政務(wù)信息系統(tǒng)質(zhì)量監(jiān)督的主要內(nèi)容

依照《中華人民共和國(guó)政府采購(gòu)法》第四十一條：“大型或復(fù)雜的政府采購(gòu)項(xiàng)目，應(yīng)當(dāng)邀請(qǐng)國(guó)家認(rèn)可的質(zhì)量檢測(cè)機(jī)構(gòu)參加驗(yàn)收工作。”圍繞采購(gòu)方需求，制定出科學(xué)完善的測(cè)評(píng)方案，通過(guò)性能測(cè)試、漏洞掃描、云計(jì)算服務(wù)安全評(píng)估等專(zhuān)業(yè)檢測(cè)方法，為采購(gòu)方采購(gòu)的業(yè)務(wù)系統(tǒng)、軟件應(yīng)用、云計(jì)算平臺(tái)等開(kāi)展安全檢測(cè)。相關(guān)評(píng)測(cè)標(biāo)準(zhǔn)主要有：《GB/T25000.51-2016系統(tǒng)與軟件工程系統(tǒng)與軟件質(zhì)量要求和評(píng)價(jià)(SQuaRE)第51部分:就緒可用軟件產(chǎn)品(RUSP)的質(zhì)量要求和測(cè)試細(xì)則》《GB50462-2015數(shù)據(jù)中心基礎(chǔ)設(shè)施施工及驗(yàn)收規(guī)范》。

二、網(wǎng)絡(luò)安全檢測(cè)在質(zhì)量監(jiān)督中的重要性

電子政務(wù)信息系統(tǒng)存儲(chǔ)著大量涉及國(guó)計(jì)民生的有效信息，若遭到不法分子竊取，將對(duì)個(gè)人、社會(huì)甚至國(guó)家安全造成嚴(yán)重威脅?；诖?，對(duì)電子政務(wù)信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全檢測(cè)，保障其安全穩(wěn)定地運(yùn)行，是非常必要且需高度重視的。政務(wù)信息網(wǎng)絡(luò)安全檢測(cè)主要是針對(duì)系統(tǒng)可能存在的安全漏洞進(jìn)行識(shí)別、分析，采取措施應(yīng)對(duì)發(fā)現(xiàn)的安全問(wèn)題，以保障電子政務(wù)信息系統(tǒng)安全穩(wěn)定運(yùn)行。

1定級(jí)的標(biāo)準(zhǔn)及其依據(jù)

根據(jù)《基本要求》的規(guī)定，二級(jí)要求的系統(tǒng)防護(hù)能力為：信息系統(tǒng)具有抵御一般攻擊的能力，能防范常見(jiàn)計(jì)算機(jī)病毒和惡意代碼危害的能力，系統(tǒng)遭受破壞后，具有恢復(fù)系統(tǒng)主要功能的能力。數(shù)據(jù)恢復(fù)的能力要求為：系統(tǒng)具有一定的數(shù)據(jù)備份功能和設(shè)備冗余，在遭受破壞后能夠在有限的時(shí)間內(nèi)恢復(fù)部分功能。按照二級(jí)的要求，一般情況下分為技術(shù)層面和管理層面的兩個(gè)層面對(duì)信息系統(tǒng)安全進(jìn)行全面衡量，技術(shù)層面主要針對(duì)機(jī)房的物理?xiàng)l件、安全審計(jì)、入侵防范、邊界、主機(jī)安全審計(jì)、主機(jī)資源控制、應(yīng)用資源控制、應(yīng)用安全審計(jì)、通信完整性和數(shù)據(jù)保密性等多個(gè)控制點(diǎn)進(jìn)行測(cè)評(píng)，而管理層面主要針對(duì)管理制度評(píng)審修訂、安全管理機(jī)構(gòu)的審核和檢查、人員安全管理、系統(tǒng)運(yùn)維管理、應(yīng)急預(yù)案等方面進(jìn)行綜合評(píng)測(cè)。其中技術(shù)類(lèi)安全要求按照其保護(hù)的側(cè)重點(diǎn)不同分為業(yè)務(wù)信息安全類(lèi)（S類(lèi)）、系統(tǒng)服務(wù)安全類(lèi)（A類(lèi)）、通用安全防護(hù)類(lèi)（G類(lèi)）三類(lèi)。水利信息系統(tǒng)通常以S和G類(lèi)防護(hù)為主，既關(guān)注保護(hù)業(yè)務(wù)信息的安全性，又關(guān)注保護(hù)系統(tǒng)的連續(xù)可用性。

2水利科研院所信息安全現(xiàn)狀分析

水利科研院所信息系統(tǒng)結(jié)構(gòu)相對(duì)簡(jiǎn)單，在管理制度上基本建立了機(jī)房管控制度、人員安全管理制度等，技術(shù)上也都基本達(dá)到了一級(jí)防護(hù)的要求。下面以某水利科研單位為例分析。某水利科研單位主機(jī)房選址為大樓低層(3層以下)，且不臨街。機(jī)房大門(mén)為門(mén)禁電磁防盜門(mén)，機(jī)房?jī)?nèi)安裝多部監(jiān)控探頭。機(jī)房?jī)?nèi)部劃分為多個(gè)獨(dú)立功能區(qū)，每個(gè)功能區(qū)均安裝門(mén)禁隔離。機(jī)房鋪設(shè)防靜電地板，且已與大樓防雷接地連接。機(jī)房?jī)?nèi)按照面積匹配自動(dòng)氣體消防，能夠?qū)馂?zāi)發(fā)生進(jìn)行自動(dòng)報(bào)警，人工干預(yù)滅火。機(jī)房?jī)?nèi)已安裝溫度濕度監(jiān)控探頭，對(duì)機(jī)房?jī)?nèi)溫濕度自動(dòng)監(jiān)控并具有報(bào)警功能，機(jī)房配備較大功率UPS電源，能夠保障關(guān)鍵業(yè)務(wù)系統(tǒng)在斷電后2小時(shí)正常工作。機(jī)房采用通信線路上走線，動(dòng)力電路下走線方式。以上物理?xiàng)l件均滿(mǎn)足二級(jí)要求。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分為外聯(lián)區(qū)、對(duì)外服務(wù)區(qū)、業(yè)務(wù)處理區(qū)和接入?yún)^(qū)4大板塊，對(duì)外服務(wù)區(qū)部署有VPN網(wǎng)關(guān)，外部人員可通過(guò)VPN網(wǎng)關(guān)進(jìn)入加密SSL通道訪問(wèn)業(yè)務(wù)處理區(qū)，接入?yún)^(qū)用戶(hù)通過(guò)認(rèn)證網(wǎng)關(guān)訪問(wèn)互聯(lián)網(wǎng)。整個(gè)網(wǎng)絡(luò)系統(tǒng)未部署入侵檢測(cè)（IDS）系統(tǒng)、非法外聯(lián)檢測(cè)系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)系統(tǒng)以及流量控制系統(tǒng)。由上述拓?fù)浣Y(jié)構(gòu)可以看出，現(xiàn)有的安全防護(hù)手段可基本保障信息網(wǎng)絡(luò)系統(tǒng)的安全，但按照二級(jí)要求，系統(tǒng)內(nèi)缺少I(mǎi)DS系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)系統(tǒng)和非法外聯(lián)檢測(cè)系統(tǒng)，且沒(méi)有獨(dú)立的數(shù)據(jù)備份區(qū)域，給整個(gè)信息網(wǎng)安全帶來(lái)一定的隱患。新的網(wǎng)絡(luò)系統(tǒng)在外聯(lián)區(qū)邊界防火墻下接入了入侵檢測(cè)系統(tǒng)（IDS），新規(guī)劃了獨(dú)立的數(shù)據(jù)備份區(qū)域，在核心交換機(jī)上部署了網(wǎng)絡(luò)審計(jì)系統(tǒng)，并在接入?yún)^(qū)安裝了非法外聯(lián)檢測(cè)系統(tǒng)。形成了較為完整的信息網(wǎng)絡(luò)安全防護(hù)體系。

3信息系統(tǒng)安全等級(jí)測(cè)評(píng)的內(nèi)容

3.1信息系統(tǒng)等級(jí)保護(hù)的總體規(guī)劃

信息系統(tǒng)從規(guī)劃到建立是一個(gè)復(fù)雜漫長(zhǎng)的過(guò)程，需要做好規(guī)劃。一般情況下,信息系統(tǒng)的安全規(guī)劃分為計(jì)算機(jī)系統(tǒng)、邊界區(qū)域、通信系統(tǒng)的安全設(shè)計(jì)。相應(yīng)的技術(shù)測(cè)評(píng)工作也主要圍繞這3個(gè)模塊展開(kāi)。

摘要:文章分析了新形勢(shì)下網(wǎng)絡(luò)攻擊的模式和手段，列舉了支付行業(yè)所面臨的威脅和挑戰(zhàn)，剖析了加強(qiáng)支付行業(yè)信息系統(tǒng)安全建設(shè)的緊迫性和必要性，提出縱深安全防御體系建設(shè)的目標(biāo)和路線圖，從而為企業(yè)的網(wǎng)絡(luò)安全建設(shè)提供思路和方向。

關(guān)鍵詞:第三方支付；網(wǎng)絡(luò)安全；關(guān)鍵信息基礎(chǔ)設(shè)施

2018年4月全國(guó)網(wǎng)絡(luò)安全和信息化工作會(huì)議上，再次強(qiáng)調(diào)“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，就沒(méi)有經(jīng)濟(jì)社會(huì)穩(wěn)定運(yùn)行”。明確提出鑄牢安全屏障，就要“加強(qiáng)網(wǎng)絡(luò)安全信息統(tǒng)籌機(jī)制、手段、平臺(tái)建設(shè)，做到關(guān)口前移，防患于未然”。“關(guān)口前移”實(shí)際上就是要知道風(fēng)險(xiǎn)到底在哪里，才能有的放矢。攻防雙方的輸贏取決于信息是否對(duì)稱(chēng)，技術(shù)是否對(duì)等，投入產(chǎn)出是否合理。要以技術(shù)對(duì)技術(shù)，以技術(shù)管技術(shù)，做到魔高一尺、道高一丈。

1新形勢(shì)下網(wǎng)絡(luò)安全所面臨的挑戰(zhàn)

近年來(lái)，國(guó)內(nèi)外病毒事件和信息泄露事件層出不窮，“勒索病毒”“某酒店上億條客戶(hù)信息泄露”“某快遞公司數(shù)千萬(wàn)條客戶(hù)信息泄露”等事件的余溫尚未退去，這給我們網(wǎng)絡(luò)安全的建設(shè)敲響了警鐘?；仡櫧陙?lái)經(jīng)歷的網(wǎng)絡(luò)安全和信息泄露事件，威脅手段已由原來(lái)的腳本攻擊、掃描注入攻擊演變成勒索病毒攻擊、僵尸網(wǎng)絡(luò)攻擊，攻擊目標(biāo)也由針對(duì)普通用戶(hù)攻擊轉(zhuǎn)向針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊。隨著互聯(lián)網(wǎng)技術(shù)和通信技術(shù)的發(fā)展，支付行業(yè)的信息化程度越來(lái)越高，由于支付場(chǎng)景的極大豐富，給人們生活帶了各種便利，繳納話(huà)費(fèi)、水電煤費(fèi)用等均可在網(wǎng)上完成。但是隨著支付場(chǎng)景的多元化，個(gè)人信息和其他支付類(lèi)敏感數(shù)據(jù)在互聯(lián)網(wǎng)上傳輸越來(lái)越頻繁，意外泄露和被非法竊取的可能性增加，因此保障信息的安全性至關(guān)重要。由于互聯(lián)網(wǎng)的開(kāi)放性和共享特征及信息系統(tǒng)自身安全漏洞和某些應(yīng)用框架的先天缺陷，使得敏感信息被非法獲取成為可能，因此構(gòu)建合適的網(wǎng)絡(luò)安全體系來(lái)保障信息的保密性、完整性和可用性變得尤為重要[1]。

2加強(qiáng)網(wǎng)絡(luò)安全建設(shè)的必要性

支付系統(tǒng)是國(guó)家金融體系的重要組成部分，與公共交通、水電煤行業(yè)一樣屬于關(guān)鍵信息基礎(chǔ)設(shè)施，支付系統(tǒng)的安全穩(wěn)定運(yùn)行是社會(huì)穩(wěn)定的重要基礎(chǔ)。對(duì)于支付行業(yè)而言，攻擊者目的是要獲取系統(tǒng)內(nèi)部敏感數(shù)據(jù)，導(dǎo)致敏感數(shù)據(jù)泄露和企業(yè)聲譽(yù)受損。隨著外部攻擊形式越來(lái)越隱蔽、攻擊層次越來(lái)越高級(jí)、攻擊維度越來(lái)越多樣化，企業(yè)需要依賴(lài)健全的安全架構(gòu)體系才能識(shí)別各種類(lèi)型的攻擊來(lái)源、辨識(shí)不同的攻擊手段和方式，勾畫(huà)出全面的風(fēng)險(xiǎn)威脅視圖，進(jìn)而制定多層“水閘式”縱深安全防御措施。在DT時(shí)代，數(shù)據(jù)是各種信息的載體，支付行業(yè)的數(shù)據(jù)尤為敏感，除了職能部門(mén)數(shù)據(jù)外，更多的敏感數(shù)據(jù)為商戶(hù)和持卡人信息。任何數(shù)據(jù)泄漏都將導(dǎo)致客戶(hù)或商戶(hù)利益受損，支付企業(yè)自身名譽(yù)遭受重創(chuàng)?！毒W(wǎng)絡(luò)安全法》等相關(guān)法律法規(guī)的出臺(tái)，對(duì)數(shù)據(jù)安全保護(hù)提出了更高的要求[3]。數(shù)據(jù)是核心的信息資產(chǎn)，企業(yè)必須做好動(dòng)靜態(tài)數(shù)據(jù)的安全防護(hù)，落實(shí)各項(xiàng)法規(guī)和監(jiān)管政策的要求，只有嚴(yán)格按照各項(xiàng)安全標(biāo)準(zhǔn)和監(jiān)管要求，在不斷加強(qiáng)安全防護(hù)的同時(shí)，做到最小化的信息收集、傳輸和存儲(chǔ)，才是防止動(dòng)態(tài)和靜態(tài)數(shù)據(jù)外泄的行之有效的辦法?，F(xiàn)在的網(wǎng)絡(luò)安全概念區(qū)別于以前的信息安全的概念，不僅僅只涵蓋信息系統(tǒng)層面，也涉及到業(yè)務(wù)系統(tǒng)的安全。將安全管控觸角延伸到業(yè)務(wù)流程之中，對(duì)業(yè)務(wù)操作過(guò)程實(shí)時(shí)監(jiān)控，依托安全大數(shù)據(jù)態(tài)勢(shì)感知，做到防患于未然。

摘要：隨著科學(xué)技術(shù)的不斷發(fā)展，社會(huì)經(jīng)濟(jì)與網(wǎng)絡(luò)的關(guān)系越來(lái)越密切，但是網(wǎng)絡(luò)安全的形勢(shì)也是愈加嚴(yán)峻，網(wǎng)絡(luò)安全問(wèn)題不斷地出現(xiàn)在大眾的視野，國(guó)家安全機(jī)關(guān)、相關(guān)的監(jiān)督部門(mén)也針對(duì)這一系列問(wèn)題制定了一些新的方案。在這種情況下，基礎(chǔ)電信運(yùn)營(yíng)企業(yè)就需要將網(wǎng)絡(luò)安全防護(hù)工作作為相關(guān)工作的重點(diǎn)，加大投入的力度，全方位地確保通信行業(yè)網(wǎng)絡(luò)安全防護(hù)工作的正確、嚴(yán)謹(jǐn)、規(guī)范。

關(guān)鍵詞：基礎(chǔ)電信；網(wǎng)絡(luò)問(wèn)題；保護(hù)

0前言

當(dāng)今社會(huì)，網(wǎng)絡(luò)安全顯然已經(jīng)是一個(gè)每天都能聽(tīng)到的話(huà)題，無(wú)論是國(guó)家安全，亦或是各個(gè)行業(yè)、企業(yè)，還是個(gè)人的學(xué)習(xí)、家庭，和網(wǎng)絡(luò)都是離不開(kāi)的。所以通信網(wǎng)絡(luò)的這種特性保證了通信的網(wǎng)絡(luò)安全工作處在最根本的地位上，而且通信網(wǎng)絡(luò)安全不單單只是通信行業(yè)自己的發(fā)展，還會(huì)干涉到其他行業(yè)的發(fā)展，通信網(wǎng)絡(luò)承載著各種行業(yè)的發(fā)展和安全。從基礎(chǔ)電信運(yùn)營(yíng)企業(yè)來(lái)看，網(wǎng)絡(luò)安全工作的核心就是做好網(wǎng)絡(luò)安全防護(hù)。

1網(wǎng)絡(luò)安全問(wèn)題刻不容緩

國(guó)際網(wǎng)絡(luò)安全問(wèn)題不斷出現(xiàn)在大眾視野，也給國(guó)家給個(gè)人造成了不可彌補(bǔ)的損失。最讓民眾感到恐慌的就是2013年3月20日韓國(guó)的大范圍網(wǎng)絡(luò)癱瘓事件，該次網(wǎng)絡(luò)安全問(wèn)題導(dǎo)致了韓國(guó)的一些節(jié)目播放和金融行業(yè)產(chǎn)生一系列的問(wèn)題。不只是在韓國(guó)，其他的國(guó)家和地區(qū)也是如此，此類(lèi)的網(wǎng)絡(luò)安全事件也是經(jīng)常發(fā)生，但此類(lèi)問(wèn)題如果在特殊的地區(qū)和時(shí)間下發(fā)生區(qū)，難免會(huì)造成民眾恐慌等負(fù)面的影響。通過(guò)對(duì)這些已經(jīng)發(fā)生的案例分析來(lái)看，我們可以感覺(jué)到網(wǎng)絡(luò)正在逐漸演變成當(dāng)今社會(huì)國(guó)家與國(guó)之間的競(jìng)爭(zhēng)主戰(zhàn)場(chǎng)。從上次的韓國(guó)網(wǎng)絡(luò)癱瘓事件我們不難得到這樣的結(jié)論，網(wǎng)絡(luò)戰(zhàn)爭(zhēng)和傳統(tǒng)戰(zhàn)爭(zhēng)最大的不同點(diǎn)就是空間距離在這一戰(zhàn)略上已經(jīng)完全消失，替代的是網(wǎng)絡(luò)安全防護(hù)組成的新的框架結(jié)構(gòu)。就目前來(lái)說(shuō)，網(wǎng)絡(luò)安全防護(hù)工作者身上背負(fù)著巨大的責(zé)任和使命。由于國(guó)內(nèi)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全形式越來(lái)越不如人意，后期的工作任務(wù)變得更加困難。根據(jù)CNCERT前一段時(shí)間發(fā)表的《2012年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述》數(shù)據(jù)顯示，包括信息系統(tǒng)或設(shè)備的bug、網(wǎng)站植入后門(mén)、網(wǎng)絡(luò)釣魚(yú)、移動(dòng)互聯(lián)網(wǎng)惡意程序方面。這些問(wèn)題從某種程度是在說(shuō)明國(guó)內(nèi)互聯(lián)網(wǎng)安全問(wèn)題已經(jīng)到刻不容緩的地步。在信息系統(tǒng)或設(shè)備的漏洞方面，2012年基礎(chǔ)電信運(yùn)營(yíng)企業(yè)總共接到CNVD的漏洞風(fēng)險(xiǎn)報(bào)告多達(dá)339個(gè)，包括系統(tǒng)網(wǎng)站、應(yīng)用、業(yè)務(wù)系統(tǒng)等各種應(yīng)用。就目前出現(xiàn)的問(wèn)題從數(shù)量上來(lái)看，明年肯定還會(huì)有進(jìn)一步增加的新問(wèn)題在等著我們。通過(guò)2008年到現(xiàn)在通信行業(yè)實(shí)施了不少的網(wǎng)絡(luò)安全防護(hù)措施，比如《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》頒布以來(lái)，基礎(chǔ)電信運(yùn)營(yíng)企業(yè)的網(wǎng)絡(luò)安全防護(hù)工作有了較大程度的提升，但是想要快速達(dá)到西方發(fā)達(dá)國(guó)家的水平還需要一段時(shí)間，我們需要改進(jìn)的地方涉及體系完善、規(guī)章制度、人員素質(zhì)、方式手段和技術(shù)及管理等方面，這就要求我們?nèi)ケ３謱W(xué)習(xí)，不斷保持進(jìn)步。

2監(jiān)管要求不斷深化