内蒙古自治区计算机信息系统安全保护办法

2024-10-04

内蒙古自治区计算机信息系统安全保护办法（共14篇）（共14篇）

1.内蒙古自治区计算机信息系统安全保护办法篇一

【发布单位】江西省

【发布文号】江西省人民政府令第135号【发布日期】2004-09-23 【生效日期】2004-11-01 【失效日期】【所属类别】地方法规【文件来源】大江网-江西日报

江西省计算机信息系统安全保护办法

(江西省人民政府令第135号)

《江西省计算机信息系统安全保护办法》已经2004年9月7日省人民政府第25次常务会议审议通过，现予公布，自2004年11月1日起施行。

省长黄智权

2004年9月23日

第一条第一条为了保护计算机信息系统的安全，促进计算机的应用和发展，维护国家利益和社会公共利益，根据《中华人民共和国计算机信息系统安全保护条例》等有关规定，结合本省实际，制定本办法。

第二条第二条本办法所称的计算机信息系统，是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

第三条第三条本省行政区域内的计算机信息系统的安全保护，适用本办法。

未联网的微型计算机的安全保护办法，按国家有关规定执行。

第四条第四条计算机信息系统的安全保护工作，重点维护下列涉及国家事务、经济建设、国防建设、尖端科学技术等重要领域、重点单位的计算机信息系统的安全：

（一）县级以上国家机关、国防单位；

（二）银行、保险、证券等金融领域；

（三）邮政、电信、广播、电视领域；

（四）能源、交通领域；

（五）国家及省重点科研单位；

（六）重点网站；

（七）国家规定的其他重要领域、重点单位。

第五条第五条公安机关是计算机信息系统安全保护工作的主管部门，其主要职责是：

（一）宣传计算机信息系统安全保护法律、法规、规章；

（二）监督、检查、指导计算机信息系统安全保护工作；

（三）组织培训计算机信息系统安全管理人员；

（四）查处危害计算机信息系统安全的违法犯罪案件；

（五）对重要领域、重点单位的计算机信息系统的建设工程进行安全指导；

（六）负责计算机病毒和其他有害数据的防治管理工作；

（七）监督、检查计算机信息系统安全专用产品的销售活动；

（八）依法应当履行的其他职责。国家安全机关、国家保密机关和政府其他有关部门，在规定的职责范围内做好计算机信息系统安全保护的有关工作。

第六条第六条计算机信息系统的建设和应用，应当遵守法律、法规和国家其他有关规定。

重要领域、重点单位新建的计算机信息系统，应当在系统建成后30日内由系统建设单位报同级人民政府公安机关备案。

第七条第七条计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，按照国家有关规定执行。

第八条第八条计算机信息系统国际联网实行备案制度。使用计算机信息网络国际联网的公民、法人和其他组织，在接入单位办理入网手续时应当填写用户备案表。接入单位应当自网络正式联通之日起30日内，到省公安机关指定的受理单位办理备案手续，并定期报告本网络中用户的变更情况。

第九条第九条重要领域、重点单位的计算机信息系统使用单位应当建立计算机信息系统安全管理组织，指定安全管理人员。

安全管理组织及安全管理人员负责对计算机信息系统运行情况和运行环境进行检查，编制运行日志，及时消除安全隐患，对可能遭受的侵害和破坏制定应急处置预案。

安全管理人员应当参加公安机关组织的计算机信息系统安全知识培训。

第十条第十条重要领域、重点单位的计算机信息系统使用单位应当建立下列安全保护管理制度：

（一）计算机机房安全管理制度；

（二）信息发布审核、登记制度；

（三）信息监视、保存、清除和备份制度；

（四）病毒检测和网络安全漏洞检测制度；

（五）账号使用登记和操作权限管理制度；

（六）安全教育和培训制度；

（七）违法案件报告和协助查处制度；

（八）其他与安全保护相关的管理制度。

第十一条第十一条重要领域、重点单位的计算机信息系统使用单位应当落实下列安全保护技术措施：

（一）60日以上系统网络运行日志和用户使用日志记录保存措施；

（二）安全审计和预警措施；

（三）垃圾邮件清理措施；

（四）身份登记和识别确认措施；

（五）计算机病毒防治措施；

（六）信息群发限制和有害数据防治措施；

（七）国家规定的其他安全技术措施。

第十二条第十二条互联网上网服务营业场所经营单位在开业前，必须依法经县级以上人民政府公安机关对信息网络安全予以审核合格，并依法取得有关部门颁发的证照。

互联网上网服务营业场所经营单位应当依法履行计算机信息系统安全保护义务，不得擅自停止实施安全技术措施。

第十三条第十三条任何单位和个人不得利用国际联网从事下列危害计算机信息网络安全的活动：

（一）制作、复制、发布、传播有害信息；

（二）未经允许，对计算机信息网络功能进行删除、修改或者增加；

（三）未经允许，对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加；

（四）故意制作、传播计算机病毒等破坏性程序；

（五）危害计算机信息网络安全的其他行为。

第十四条第十四条设区市以上人民政府公安机关应当在网站或者其他媒体上及时发布计算机病毒疫情预报。

其他任何单位和个人不得以任何方式发布计算机病毒疫情。

第十五条第十五条对计算机信息系统中发生的违法案件，使用单位发现后应当迅速采取措施，保护现场和相关资料，并在24小时内向县级以上人民政府公安机关报告。公安机关接到报告后应当立即采取措施进行处置。涉及国家安全的，由国家安全机关依法进行处置。

对计算机信息系统中发生的违法案件和重大安全事故的有关情况，县级以上人民政府公安机关应当及时向使用单位通报。

第十六条第十六条公安机关应当对计算机信息系统进行不定期安全检查，发现安全隐患时，应当及时向使用单位发出《计算机信息系统安全隐患整改通知书》，并提出改进意见，指导、督促使用单位限期整改，消除隐患。

第十七条第十七条公安机关为保护计算机信息系统安全，在下列紧急情况下，可以采取24小时内暂时停机、暂停联网、备份数据等措施，有关单位和个人应当如实提供有关信息和资料，并提供相关技术支持和必要的协助：

（一）计算机信息系统遭恶意攻击导致系统瘫痪的；

（二）计算机信息系统遭病毒感染导致系统瘫痪的；

（三）通过计算机信息系统向外大量发送有害信息的；

（四）在对计算机信息系统中发生的案件进行侦察过程中，证据可能灭失或者以后难以取得的；

（五）其他应当采取紧急措施的情况。

县级以上人民政府公安机关采取前款规定的紧急措施前，应当报经本机关主要负责人批准。

第十八条第十八条计算机信息系统安全专用产品生产者在其产品进入市场销售之前，应当依法取得公安部颁发的《计算机信息系统安全专用产品销售许可证》，并在其产品的固定位置标明“销售许可”标记。

任何单位和个人不得销售无“销售许可”标记的安全专用产品。

从事计算机信息系统安全专用产品经营的，应当在开业后30日内报设区市以上人民政府公安机关备案。

第十九条第十九条设区市以上人民政府公安机关负责计算机信息系统安全专用产品销售许可证的监督检查工作，对销售计算机信息系统安全专用产品的单位和个人，可以采取验证检查和抽样检测等监督措施。

对商用密码的管理，按照国务院《商用密码管理条例》的规定执行。

第二十条第二十条重要领域、重点单位新建的计算机信息系统未在规定期限内备案的，由公安机关责令限期改正；逾期不改正的，处以1000元以下罚款。

第二十一条第二十一条重要领域、重点单位的计算机信息系统使用单位违反本办法第九条规定的，由公安机关责令限期整改；逾期不整改的，公安机关可以处以6个月以内停机整顿。

第二十二条第二十二条重要领域、重点单位的计算机信息系统使用单位违反本办法第十条、第十一条规定的，由公安机关责令限期改正，给予警告；逾期不改正的，对单位直接负责的主管人员和其他直接责任人员可以并处5000元以下罚款，对单位可以并处15000元以下罚款；情节严重的，可以并处6个月以内停止联网、停机整顿。

第二十三条第二十三条利用国际联网从事本办法第十三条所列活动的，由公安机关给予警告，有违法所得的，没收违法所得，对个人可以并处5000元以下罚款，对单位可以并处 15000元以下罚款；情节严重的，可以并处6个月以内停止联网、停机整顿；违反治安管理规定的，依法予以治安处罚；构成犯罪的，依法追究刑事责任。

第二十四条第二十四条计算机信息系统安全专用产品经营者销售无“销售许可”标记的安全专用产品，或者未按照本办法的要求在规定期限内办理备案手续的，由公安机关责令限期改正；逾期不改正的，处以1000元以上5000元以下罚款。

第二十五条第二十五条违反本办法规定的其他行为，国家另有处罚规定的，从其规定。

第二十六条第二十六条公安人员在计算机信息系统安全保护工作中，利用职权索取、收受贿赂或者有其他违法、失职行为，构成犯罪的，依法追究刑事责任；尚不构成犯罪的，依法给予行政处分。

第二十七条第二十七条本办法下列用语的含义为：计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

有害数据，是指计算机信息系统及其存储介质中存在、出现的，危害计算机信息系统安全运行和功能发挥的程序，或者对国家安全和社会公共安全构成危害或者潜在威胁的信息。

接入单位，是指负责接入国际联网的计算机信息网络运行单位。

计算机信息系统安全专用产品，是指用于保护计算机信息系统安全的专用硬件和软件产品。

第二十八条第二十八条军队的计算机信息系统安全保护工作，按照军队的有关法规执行。

第二十九条第二十九条计算机信息系统的保密管理，依照国家和省的有关规定执行。

第三十条第三十条本办法自2004年11月1日起施行。

本内容来源于政府官方网站，如需引用，请以正式文件为准。

2.内蒙古自治区计算机信息系统安全保护办法篇二

科技的高速发展决定了单纯的互联网信息时代已经过去, 人们正在享受着互联网及移动网络带来的全新生活方式。然而近年来, 身处网络的人们正在遭受成为“透明人”的困扰。你的姓名、年龄、电话、职业、家庭住址等重要的个人隐私信息资料, 甚至你的收入、网购习惯、目前所处地理位置、银行存款、投资状况等在内的隐私信息被公然暴露在陌生人面前。从房产中介、银行、保险、医院、到电信部门等, 从CSDN等网站用户资料被盗, 到人寿保单、快递单信息、医院病人信息以及酒店住房信息等频遭泄露;各种“泄密”行为几乎无处不在。于是各种名目的商业推销和宣传, 垃圾短信、垃圾邮件源源不断;骚扰电话接二连三;身份证被他人冒名盗用办卡透支欠款;不法公司前来诈骗;冒充公安要求转账;坑蒙拐骗乘虚而入;账户钱款不翼而飞。信息泄露已经成为影响亿万群众生活新的民生问题。有人曾形容网络是个人隐私信息的终结者[1], 人人都有可能成为所谓的透明人, 甚至裸体化。此话虽有些骇人听闻, 却也揭示了当前大数据时代个人信息日益透明化的严峻事实。在当今一个日益崇尚自由、尊重个人权利的时代, 如何保证个人信息既能有效合理地利用, 又能有效保证其安全, 这是当前急需解决的问题。

现有云环境下的隐私保护方案多是面向用户可用数据的保护[2], 而对云存储环境的个人数据安全保护研究关注不多。本文基于云计算的大环境下, 对涉及个人隐私信息泄露的原因、途径进行分析, 提出了一种云计算环境下的个人信息安全保护的体系框架, 并重点探讨个人数据信息在云存储及其他存储介质安全的研究。

1 个人信息泄露的原因及途径

1.1 人信息泄露的原因

纵观近年来持续发生的一系列个人信息泄露事件, 其原因主要还在于:1网络自身原因造成的信息泄露, 主要在于网络具有虚拟性和匿名性、开放性, 尤其是网络自身的脆弱性, 因为网络操作系统及其它应用软件的漏洞而造成的信息泄露。比如由于Struts2漏洞的存在, 导致2000万条入住酒店的客户信息泄露。2不良商家对个人信息的滥用。网络已应用到各个行业中, 有些网站及数据库管理员、销售代表、手机营运商、酒店人员、医务工作者、保险公司员工等, 利用行业监管不力及法律制度的漏洞, 不顾职业道德和情操, 昧着良心将客户资料偷偷出卖。一些别有用心的人利用窃取或者购买的个人数据信息进行网上盗取用户银行账户和资金。3个人信息保护意识欠缺。几乎每个人都会关注现实生活中的人身安全, 却非常忽视与他相关的信息安全, 比如有些公司在街头利用免费小礼物的诱惑, 要你填写和自己相关的隐私资料信息等。此外由于个人的不良习惯, 在网络上注册邮箱、论坛、社交网站、电商网站等账户信息时, 会注册自己真实的信息, 并使用相同的用户名及密码;一旦一个账户信息被泄露, 相关的其他信息都会受到威胁。

1.2 个人信息泄露的途径

网络时代信息泄露的主要途径有:1通过数据存储终端泄露, 主要以数据存储介质、个人终端电脑系统、智能移动终端等渠道泄露个人信息。2通过社交网络泄露, 主要以移动社交平台、社交网站泄露、第三方应用, 以及被数据收集器所使用的跟踪cookies泄露风险等途径泄露。3搜索引擎泄露个人隐私信息, 主要通过网页快照、用户的注册信息、服务器日志、搜索的语义内容、利用高级操作符等带来的个人信息泄露。4利用数据挖掘技术泄露个人隐私信息, 虽然不占多大比例, 但也对人们的隐私和数据安全构成了威胁。5蓄意截获网络传输中的个人信息。黑客利用木马技术盗取网络传输中的信息, 并对信息来源进行敲诈、勒索、诈骗、诱拐、恐吓等, 严重影响了网络的安全和稳定。

2 云计算下的个人信息安全保护体系

云计算催生了很多如虚拟机隔离、多用户隔离、共享虚拟化资源池的数据保护和自销毁、远程接入云等信息安全技术[3], 针对上述个人信息泄露的原因和途径, 我们将这些信息安全技术融入到本文研究的个人信息安全保护体系中。如图1所示构建的是基于云环境下的个人信息安全保护体系。本文重点关注云计算环境下个人信息在存储载体上的安全研究, 将分别对个人信息在云存储、企业级存储和个人终端存储等三个层面上进行探讨研究。

2.1 基于云存储的个人数据信息安全保护

云存储在云计算概念上延伸和发展出来的一个新的概念, 它是指通过集群应用、网格技术或分布式文件系统等功能, 将网络中大量各种不同类型的存储设备通过应用软件集合起来协同工作, 共同对外提供数据存储和业务访问功能的一个系统[4]。当前已有越来越多的个人将自己的数据中心搬到了各种云上, 虽然云存储可以让用户很方便连上云进行存取数据, 但云存储这种模式目前还有一定的安全问题, 比如身份认证和访问控制、数据存储和传输保密以及数据隔离等问题。针对这些问题我们在云计算三类服务模式的基础上, 提出了几种云存储安全机制, 并构建一种新的云存储安全架构体系。

2.1.1 有关保护个人信息安全的云存储安全机制

主要涉及到有关系统安全、云存储安全管理以及云存储应用安全等机制:

1云平台系统安全机制。这是云存储平台是否安全的首要保障, 也是解决身份认证和访问控制问题的重要手段。通常主要对服务器操作系统内核进行加固, 及时进行账户安全管理, 禁用不必要的服务, 补丁管理, 病毒防护等;以及利用虚拟技术实现对服务器的访问保护, 并实现数据隔离;对系统内的所有对象操作实行透明加密技术;利用主动防御技术保证服务器系统的安全性等。

2云存储安全管理机制。要解决云服务器端安全存储问题, 优秀的企业网络管理员是关键, 并要不断加强企业网络管理员职业道德素质的培养, 尽量做到管理员之间相互独立、相互约束;他们还应当及时对外界的网络攻击做出提前预防并正确响应, 并及时了解各种新生的恶意程序等。管理员还必须经常对服务器进行基础防护、全面防护、备份防护、远程访问防护等, 并跳出常规思维的防护措施, 以确保增加黑客入侵企业数据的困难。

3云存储应用安全机制。主要包括对数据存储加密、备份加密、交换加密、身份认证和访问控制, 以及云端数据库的安全机制等。

在以上三种云存储安全机制基础上, 基于云存储的安全架构体系更是保障个人信息在云端安全存储的重要举措。本文基于目前国际上比较先进的Tru Privacy等云存储技术构建一种新的云存储安全架构, 即使在云系统平台不安全以及周边网络不太安全的环境中, 甚至有可能网络管理员也不可完全信赖的情况下, 可以确保在云服务器端个人隐私数据信息存储的安全。如图2所示。

其中云存储层是最最关键的。在数据存储中心, 我们利用Tru Privacy技术提供有关涉及到个人隐私信息的数据上传、下载、预览、搜索等操作的保护, 并且能够用户对个人隐私信息的私有访问, 即使服务器管理人员也无法有足够的权限看到;利用Sur Cloud软件定义存储技术对数据存储中心文档进行管理, 不需要过多的服务器硬件设备, 只需用软件就可实现智能的操作, 大大减少了机柜、耗电量等资本性支出以及运维成本等。利用Visi Doc技术可以实现用户在线清晰地浏览在云端存储的私有隐私文档等操作。

2.2 基于企业级存储的个人数据信息安全保护

对于企业级数据存储来讲, 其服务器云平台系统安全配置及安全管理是数据存储安全的前提, 在此基础上保证服务器端个人数据信息完整可靠而且不被泄密。采用企业级的数据存储加密技术在目前最安全的, 最大程度上保证了个人隐私数据的机密性。现有企业级对个人隐私信息的数据存储加密技术主要有文件级加密、数据库级加密、存储介质加密、嵌入式加密设备和应用加密等, 为了保证个人隐私数据的机密性, 防止他人窃取或篡改数据信息。我们在构建个人安全保护体系时重点对以下加密技术。

2.2.1 文件级加密

在论文[5]中我们曾设计了一种基于服务器操作系统过滤驱动的文件透明加密系统, 我们将它应用于企业服务器的数据存储安全保护中, 能够自动用指定的加密/解密算法及密钥, 对涉密的私有文件实行加密和解密操作, 起到有效保护私密数据文件。用户在访问自己的隐私数据操作过程中, 根本不用改变对信息的访问习惯, 整个加密/解密操作过程都是自动完成的, 加密中所用到的算法、密钥, 都是事先设定的、存在系统的环境变量中, 而不是在加密/解密过程中指定的。企业服务器系统会根据“加密策略”自动识别什么文件需要进行加密/解密操作, 哪些不需要。

2.2.2 存储介质加密。主要是保证和防止企业服务器上的个人隐私数据被窃取及篡改

1防止个人数据被窃取。当个人隐私信息从个人终端到企业服务器端的数据传输过程中, 企业要利用VPN+SSL协议的方式加密数据传输通道, 以防止个人数据信息在传输过程中被窃取。在企业服务器存储端, 通过采用磁带设备进行加密及备份, 服务器上的个人私密文档将通过SCSI接口备份到磁带设备上, 服务器通过SCSI命令, 控制隐私文档的加密密钥和状态。同时磁带设备会对个人隐私文档进行压缩并加密, 然后写回到磁带上。对于磁带加密设备, 其实就是在物理磁带库中接入具有加密功能的磁带机, 并配有相应的密钥管理工作站, 因此运维成本也无需太高。

2防止数据被篡改。有效防止企业服务器中存储的个人隐私数据被篡改, 目前最有效的方法是对存储介质采用基于磁带技术的WORM技术, 对于终端用户, 只能写入一次同样的个人隐私数据信息到企业服务器存储介质上, 更不能擦除或者再重新写入此数据, 但可以多次读取已写入到企业的, 因此保证了存储在服务器中已加密的数据信息是真正的原始数据, 而不是被篡改过的伪数据。

因此对于企业来讲, 不仅要有良好职业素养、经验丰富的网络数据管理人员, 同时还要拥有技术全面的存储产品线, 并具备先进的身份认证管理、数据加密及防篡改技术, 如果融合到层次化虚拟存储技术解决方案之中, 我们相信企业存储的个人数据信息一定会处于最安全的状态。

2.3 基于云客户端个人数据存储设备的安全保护

基于云客户端个人数据的安全离不开数据存储的终端设备安全, 主要从系统加固及存储介质加密等方面入手。

2.3.1 加固主机系统的安全

1设置账号口令策略, 将登录密码设置为三重加密机制, 即BIOS密码、系统启动密码、系统用户密码, 并且启用强密码策略 (如要求系统的登录密码必须包含大小写字母、数字键、非字母符号键等复杂的组合密码) , 并禁止从网络、光驱、USB存储设备等引导系统。2对系统账户进行优化, 删除不安全的登陆账户信息, 避免登陆账户越多, 漏洞就越大。3关闭非必需服务和信息资源的共享, 设置安全审计策略, 设置合理的日志文件大小, 屏蔽之前登录的用户信息, 关闭默认共享, 设置锁屏保护, 关闭外来设备自动播放功能, 卸载与工作无关的软件等。4禁止非授权用户非法操作:登录终端系统时, 使用电子钥匙验证用户身份;用户离开终端时拔走钥匙, 系统自动锁定;系统启动时禁止进入安全模式;禁止使用USB存储设备 (含U盘、移动硬盘) 、光驱、软驱等外部设备;系统禁止接入其他网络。

2.3.2 加密并隐藏重要存储介质分区及存储的文件 (夹)

根据需要, 对存储有重要信息的硬盘分区进行隐藏, 可以使用Windows组策略或者专用的隐藏工具软件进行隐藏;对重要的个人信息最好进行压缩并加密和隐藏保护 (更能防止有人破解不了而删除加密的信息) 。对于硬盘及U盘中不用的将要删除的文件 (夹) , 除了要加密之外, 还要确保信息的完全删除, 防止重要隐私信息不完全删除遗留硬盘上而被通过一些数据恢复工具进行恢复, 所以不安全。建议硬盘上的资料及时备份, 不需要的垃圾文件加密后使用如360强力删除工具真正删除, 防止被恢复、文件再生等。

3 结论

云计算下的个人信息安全泄露已经不只是一个技术问题, 依靠安全公司做技术上的进步去遏制信息泄露的发生也是不现实的;更需要靠行业自律、从业人员的职业操守以及个人信息安全防范意识的增强。更重要的在于唯有立法才能明确监管责任, 才能明晰处理个人信息的边界和责任, 才能让利用和贩卖个人信息的罪当其罚。立法的完善, 也能阻挡一些不法分子试图利用数据分析来谋取私利, 他们也将面临严惩, 并告诫大家大数据时代并非是盗取他人隐私者的天堂。

参考文献

[1]王芸.网络环境下的个人信息保护研究--以“人肉搜索”案为视角[D].杭州:浙江大学, 2011.

[2]王有刚, 徐勇, 王泽成, 周善英.云环境数据发布服务中隐私保护相关技术研究[J].现代情报.2012.12 (32) :3-7.

[3]姚永晖, 张韬.基于云计算平台设计的一种安全体系架构[J].广播与电视技术.2011.09.

[4]王会波.安全存储与云存储安全[J], 信息安全与通信保密, 2010.12:18-19.

3.内蒙古自治区计算机信息系统安全保护办法篇三

【关键词】危害医院计算机信息网络局域网病毒安全维护

【中图分类号】R197.324 【文献标识码】B【文章编号】1004-4949（2014）03-0356-01

医院计算机信息系统，简称HIS。它是专门储存、维护和应用医院信息的数据库管理系统，是处理医院各种信息和支持医院管理流程的重要组成部分，也是为管理层决策提供真实信息的应用系统，所以，对医院计算机信息系统的维护和安全上的管理是信息科日常工作的重中之重。

我院于2009年开始安装和使用了HIS，选用了江苏南京的飓风医院管理系统，版本为HS4.0。内含门诊和住院部收费系统，护士站管理系统，配药系统，药库，药房管理系统，价表管理系统，报表系统和各种查询系统等等。系统稳定，界面随和，操作简便快捷，比较人性化。其中，门诊各类医保的收费和住院部各类医保的结算系统，都和我市各医保服务器做了接口，可以做到即时结算。所以网络安全十分重要。笔者在实际工作中对一些危害计算机信息网络安全的因素进行分析和应对如下：

1危害因素

1.1计算机病毒

危害计算机网络的首要因素，就是计算机病毒的入侵。在网络环境下，计算机病毒通过各种方式感染局域网。使得单位的网络在短时间里瘫痪，频繁报错，数据丢失，正常工作不能进行。网络环境下，网络病毒具有可传播性，可执行性，破坏性等。它还具有以下特点：

1.1.1 感染速度快在单机环境下，病毒只能通过媒介（软盘，U盘等）从一台计算机带到另一台，而在网络中则可通过网络通讯机制进行迅速扩散。只要有一个工作站有病毒，就可以感染局域网上的所有计算机。

1.1.2 扩散面广，传播形式复杂多样，而且难以清除。计算机病毒在局域网是通过“工作站-服务器-工作站”的途径传播，扩散面在短短几十分钟里，就可以传播局域网里所有计算机，传播的方式复杂多样。如果是单机的计算机病毒，可以通过删除带毒的文件，或格式化硬盘将病毒清除。而在局域网里，只要有一个工作站未能彻底清除病毒，就可使整个网络重新被病毒感染。

1.1.3 破坏性大和可激发性。网络病毒可直接影响网络的工作，轻者降低速度，影响工作效率，重者使网络彻底瘫痪，破坏服务器信息，多年的工作毁于一旦。现在的网络病毒激发条件已经多样化，可以用内部时钟，系统的日期和用户名，甚至可以用网络的一次简单的通讯来激发。一个病毒程序，可以按照病毒设计者的要求，在某个工作站上激发，并连续地攻击。

1.2 硬件方面的问题

1.2.1 网络的安装我院网络采取了光纤和双绞线的混合方式。门诊楼因为离服务器较近，我们采取了服务器+双绞线+交换机+工作站的方式。在实际工作中，有时会有网络延迟现象发生。特别是门诊收费工作站，各收费电脑使用互联网和内网HIS有接口，用于即时结算。当局域网发生网络不通，造成数据延迟的时候，会产生收费错误，还得反复退费，影响工作效率。住院部离服务器较远，我们采用了光纤传输，速度较快，没有明显的数据延迟。发生过两次异常，是因为交换机损坏和光纤接收器损坏造成，判断出原因，更换后恢复。

1.2..2 持续供电的问题我院处于一大型企业生活区内，和当地的居民公用一条电路。在盛夏时节，由于附近居民和本院使用空调数量庞大，时常造成变压器跳闸，甚至有烧坏电力线路的事件发生。近几年，经常有电压不稳，突然断电的情况，容易造成服务器数据丢失，工作站的电脑在供电时，主板电路板被来电时的高压击穿损坏。

1.2.3 计算机老化和操作人员使用不当，违规使用外设。我院很多计算机已经出现老化症状。最常见的情况是计算机各零部件的损坏，比如硬盘，内存，主板和显示器的损毁。一旦发生此类情况，如果备件不足，就会影响正常工作，当硬盘損毁的时候，甚至造成单机数据库和医保文件的丢失，损失比较大。局域网用户涉及操作人员，医护人员，管理人员等很多使用者，有些人缺少责任心违规操作，就会造成计算机事故。比如，违规在计算机上玩游戏，使用带互联网的医保电脑浏览不明网页，看电影，购物等。这些，都是危害计算机安全的行为。还有违规使用U盘，usb连接智能手机和大容量的移动外设，拷贝自己的文件或影像制品，这些都会给计算机网络造成极大危害，使全院局域网处于极度风险之中。

2应对办法

2.1完善计算机安全管理制度，制定计算机网络安全预案。网络安全管理必须以制度为保障，通过技术和行政手段强制执行，对违规操作造成严重后果的，课以重惩。情节严重的甚至可以上升到法律惩戒的范畴。只有这样，才能把网络安全做到位。

2.2服务器是医院网络的心脏，必须严加防护。通过安装网络版杀毒软件可以随时监控病毒和清除，并且定期进行在线的病毒库升级。我们一般一个星期进行两次升级，确保杀毒软件的病毒库为最新。服务器的数据库我们每天进行备份，以便当服务器硬件和被病毒损坏时，把数据损失降低到最小。服务器室单独设立，密封性好。并且一个星期清洁，通风一次，减少灰尘。服务器室配温度计，定期巡查室内温度。当发现温度过高的时候，开启空调降温。我们配备了两台空调，轮换使用。当一台空调发生故障的时候，另外一台仍就能正常工作，给服务器散热。

2.3 盛夏时节的供电我们给服务器配备了品牌的UPS不间断电源，同时给门诊收费，住院部结算和门诊药房，各交换机都安装了UPS。这样，在断电的情况下，各UPS电源可以继续工作4个小时以上，保障了数据的安全性。

2.4 加强计算机操作人员的管理和培训。对每一个使用计算机的人员进行岗前培训，让他们熟知操作规程，并且加强网络安全教育，增强安全意识，杜绝使用各类外设，减少病毒的感染几率。

2.5 在争取到院领导重视的情况下，提出合理化建议，更换部分老旧计算机，提高工作质量和效率。另外，配备几台闲置电脑，和一些常用零部件，以备一线重要岗位计算机发生硬件故障，随时更换。

3结语

计算机系统是医院智能化建设中最重要的系统之一，他担负着医院信息的交换和传输，涉及到医院各项管理和服务工作。〔1〕为了保障医院计算机网络的正常运行，必须清醒的认识到网络安全的重要性。在日常的工作中，严格和规范各种操作，对各类设备进行精心维护，保证网络安全万无一失。

参考文献

4.内蒙古自治区计算机信息系统安全保护办法篇四

修订说明工作简要过程 1.1 任务来源

近年来，随着黑客技术的不断发展以及网络非法入侵事件的激增，国内网络安全产品市场也呈现出良好的发展态势，各种品牌的防火墙产品、入侵检测产品等已经达到了相当可观的规模。最近几年，网络脆弱性扫描产品的出现，为网络安全产品厂商提供了一个展现自身技术水平的更高层次舞台，市场上，各种实现脆弱性扫描功能的产品层出不穷，发展迅速，标准《GB/T 20278-2006 信息安全技术网络脆弱性扫描产品技术要求》已不能满足现在产品的发展需求，另一方面，为了更好地配合等级保护工作的开展，为系统等级保护在产品层面上的具体实施提供依据，需要对该标准进行合理的修订，通过对该标准的修订，将更加全面系统的阐述网络脆弱性扫描产品的安全技术要求，并对其进行合理的分级。本标准编写计划由中国国家标准化管理委员会2010年下达，计划号20101497-T-469，由公安部第三研究所负责制定，具体修订工作由公安部计算机信息系统安全产品质量监督检验中心承担。1.2 参考国内外标准情况

该标准修订过程中，主要参考了：

—GB 17859-1999 计算机信息系统安全保护等级划分准则 —GB/T 20271-2006 信息安全技术信息系统安全通用技术要求 —GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求

—GB/T 18336.2-2008 信息技术安全技术信息技术安全性评估准则第二部分：安全功能要求 —GB/T 18336.3-2008 信息技术安全技术信息技术安全性评估准则第三部分：安全保证要求 —GA/T 404-2002 信息技术网络安全漏洞扫描产品技术要求 —GB/T 20278-2006 信息安全技术网络脆弱性扫描产品技术要求 —GB/T 20280-2006信息安全技术网络脆弱性扫描产品测试评价方法 —MSTL_JGF_04-017 信息安全技术主机安全漏洞扫描产品检验规范 1.3 主要工作过程

1）成立修订组

2010年11月在我中心成立了由顾建新具体负责的标准修订组，共由5人组成，包括俞优、顾建新、张笑笑、陆臻、顾健。

2）制定工作计划

修订组首先制定了修订工作计划，并确定了修订组人员例会及时沟通交流工作情况。3）确定修订内容

确定标准主要内容的论据 2.1 修订目标和原则 2.1.1 修订目标

本标准的修订目标是：对网络脆弱性扫描类产品提出产品功能要求、产品自身安全要求以及产品保证要求，使之适用于我国脆弱性扫描产品的研究、开发、测试、评估以及采购。2.1.2 修订原则

为了使我国网络脆弱性扫描产品的开发工作从一开始就与国家标准保持一致，本标准的编写参考了国家有关标准，主要有GA/T 698-2007、GB/T 17859-1999、GB/T 20271-2006、GB/T 22239-2008和GB/T 18336-2008第二、三部分。本标准又要符合我国的实际情况，遵从我国有关法律、法规的规定。具体原则与要求如下：

1）先进性

标准是先进经验的总结，同时也是技术的发展趋势。目前，我国网络脆弱性扫描类产品种类繁多，功能良莠不齐，要制定出先进的信息安全技术标准，必须参考国内外先进技术和标准，吸收其精华，制定出具有先进水平的标准。本标准的编写始终遵循这一原则。

2）实用性

标准必须是可用的，才有实际意义。因此本标准的编写是在对国内外标准的相关技术内容消化、吸收的基础上，结合我国的实际情况，制定出符合我国国情的、可操作性强的标准。

3）兼容性

本标准既要与国际接轨，更要与我国现有的政策、法规、标准、规范等相一致。修订组在对标准起草过程中始终遵循此原则，其内容符合我国已经发布的有关政策、法律和法规。2.2 对网络脆弱性扫描类产品的理解 2.2.1 网络脆弱性扫描产品

脆弱性扫描是一项重要的安全技术，它采用模拟攻击的形式对网络系统组成元素（服务器、工作站、路由器和防火墙等）可能存在的安全漏洞进行逐项检查，根据检查结果提供详细的脆弱性描述和修补方案，形成系统安全性分析报告，从而为网络管理员完善网络系统提供依据。通常，我们将完成脆弱性扫描的软件、硬件或软硬一体的组合称为脆弱性扫描产品。

脆弱性扫描产品的分类

根据工作模式，脆弱性扫描产品分为主机脆弱性扫描产品和网络脆弱性扫描产品。其中前者基于主机，通过在主机系统本地运行代理程序来检测系统脆弱性，例如针对操作系统和数据库的扫描产品。后者基于网络，通过请求/应答方式远程检测目标网络和主机系统的安全脆弱性。例如Satan 和ISS Internet Scanner等。针对检测对象的不同，脆弱性扫描产品还可分为网络扫描产品、操作系统扫描产品、WWW服务扫描产品、数据库扫描产品以及无线网络扫描产品。

这是最基本的TCP扫描。操作系统提供的connect（）系统调用，用来与每一个感兴趣的目标计算机的端口进行连接。如果端口处于侦听状态，那么connect（）就能成功。否则，这个端口是不能用的，即没有提供服务。

FIN+URG+PUSH扫描

向目标主机发送一个FIN、URG和PUSH 分组，根据RFC793，如果目标主机的相应端口是关闭的，那么应该返回一个RST标志。

NULL扫描

通过发送一个没有任何标志位的TCP包，根据RFC793，如果目标主机的相应端口是关闭的，它应该发送回一个RST数据包。

UDP ICMP端口不能到达扫描

在向一个未打开的UDP端口发送一个数据包时，许多主机会返回一个ICMP_PORT_UNREACH 错误。这样就能发现哪个端口是关闭的。UDP和ICMP错误都不保证能到达，因此这种扫描器必须能够重新传输丢失的数据包。这种扫描方法速度很慢，因为RFC对ICMP错误消息的产生速率做了规定。

安全漏洞特征定义

目前，脆弱性扫描产品多数采用基于特征的匹配技术，与基于误用检测技术的入侵检测系统相类似。扫描产品首先通过请求/应答，或通过执行攻击脚本，来搜集目标主机上的信息，然后在获取的信息中寻找漏洞特征库定义的安全漏洞，如果有，则认为安全漏洞存在。可以看到，安全漏洞能否发现很大程度上取决于漏洞特征的定义。

扫描器发现的安全漏洞应该符合国际标准，这是对扫描器的基本要求。但是由于扫描器的开发商大都自行定义标准，使得安全漏洞特征的定义不尽相同。

漏洞特征库通常是在分析网络系统安全漏洞、黑客攻击案例和网络系统安全配置的基础上形成的。对于网络安全漏洞，人们还需要分析其表现形式，检查它在某个连接请求情况下的应答信息；或者通过模式攻击的形式，查看模拟攻击过程中目标的应答信息，从应答信息中提取安全漏洞特征。漏洞特征的定义如同入侵检测系统中对攻击特征的定义，是开发漏洞扫描系统的主要工作，其准确直接关系到漏洞扫描系统性能的好坏。这些漏洞特征，有的存在于单个应答数据包中，有的存在于多个应答数据包中，还有的维持在一个网络连接之中。因此，漏洞特征定义的难度很大，需要反复验证和测试。目前，国内许多漏洞扫描产品直接基于国外的一些源代码进行开发。利用现成的漏洞特征库，使系统的性能基本能够与国外保持同步，省掉不少工作量，但核心内容并不能很好掌握。从长远发展来看，我国需要有自主研究安全漏洞特征库实力的扫描类产品开发商，以掌握漏洞扫描的核心技术。

技术趋势

从最初的专门为UNIX系统编写的具有简单功能的小程序发展到现在，脆弱性扫描系统已经成为能够运行在各种操作系统平台上、具有复杂功能的商业程序。脆弱性扫描产品的发展正呈现出以下趋势。

系统评估愈发重要

目前多数脆弱性扫描产品只能够简单地把各个扫描器测试项的执行结果（目标主机信息、安全漏洞信息和补救建议等）罗列出来提供给测试者，而不对信息进行任何分析处理。少数脆弱性扫描产品能够将扫描结果整理形成报表，依据一些关键词（如IP地址和风险等级等）对扫描结果进行归纳总结，但是仍然没有分析扫描结果，缺乏对网络安全状况的整体评估，也不会提出解决方案。

在系统评估方面，我国的国标已明确提出系统评估分析应包括目标的风险等级评估、同一目标多次扫描形式的趋势分析、多个目标扫描后结果的总体分析、关键脆弱性扫描信息的摘要和主机间的比较分析等等，而不能仅仅将扫描结果进行简单罗列。应该说，脆弱性扫描技术已经对扫描后的评估越来越重视。下一代的脆弱性扫描系统不但能够扫描安全漏洞，还能够智能化地协助管理人员评估网络的安全状况，并给出安全建议。为达这一目的，开发厂商需要在脆弱性扫描产品中集成安全评估专家系统。专家系统应能够从网络安全策略、风险评估、脆弱性评估、脆弱性修补、网络结构和安全体系等多个方面综合对网络系统进行安全评估。

插件技术和专用脚本语言

插件就是信息收集或模拟攻击的脚本，每个插件都封装着一个或者多个漏洞的测试手段。通常，脆弱性扫描产品是借助于主扫描程序通过用插件的方法来执行扫描，通过添加新的插件就可以使扫描产品增加新的功能，扫描更多的脆弱性。如果能够格式化插件的编写规范并予以公布，用户或者第三方就可以自己编写插件来扩展扫描器的功能。插件技术可使扫描产品的结构清晰，升级维护变的相对简单，并具有非常强的扩展性。目前，大多数扫描产品其实已采用了基于插件的技术，但各开发商自行规定接口规范，还没有达到严格的规范水平。

专用脚本语言是一种更高级的插件技术，用户使用专用脚本语言可以大大扩展扫描器的功能。这些脚本语言语法通常比较简单直观，十几行代码就可以定制一个安全漏洞的检测，为扫描器添加新的检测项目。专用脚本语言的使用，简化了编写新插件的编程工作，使扩展扫描产品功能的工作变的更加方便，能够更快跟上安全漏洞出现的速度。

网络拓扑扫描

网络拓扑扫描目前还被大多数扫描器所忽略。随着系统评估的愈发重要，网络拓扑结构正成为安全体系中的一个重要因素。拓扑扫描能够识别网络上的各种设备以及设备的连接关系，能够识别子网或

和增强级两个级别，且与“基本要求”和“通用要求”中的划分没有对应关系，不利于该类产品在系统等级保护推行中产品选择方面的有效对应。《GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求》的网络安全管理，从第一级就要求“定期进行网络系统漏洞扫描，对发现的网络系统安全漏洞进行及时的修补”，《GB/T 20271-2006 信息安全技术信息系统通用安全技术要求》中的信息系统安全性检测分析，从第二级开始要求“操作系统安全性检测分析、数据库管理系统安全性检测分析、网络系统安全性检测分析、应用系统安全性检测分析和硬件系统安全性检测分析的要求，运用有关工具，检测所选用和/或开发的操作系统、数据库管理系统、网络系统、应用系统、硬件系统的安全性，并通过对检测结果的分析，按系统审计保护级的要求，对存在的安全问题加以改进。”

本次在对原标准的修订过程中，对于产品本身的安全保护要求，主要参考了GB/T 17859-1999、GB/T 20271-2006、GB/T 18336-2008、GB/T 22239-2008等，以等级保护的思路编写制定了自身安全功能要求和保证要求。对于产品提供服务功能的安全保护能力方面，现阶段是以产品功能强弱以及配合等级保护安全、审计等要素进行分级的。通过对标准意见的不断收集以及修改，将产品提供的功能与等级保护安全要素产生更密切的联系，以便有能力参与到系统等级保护相关要素的保护措施中去。2.2.3 与原标准的区别

1)标准结构更加清晰规范，全文按照产品安全功能要求、自身安全功能要求和安全保证要求三部分进行整理修订，与其他信息安全产品标准的编写结构保持一致。

2）删除原标准中性能部分的要求，将原来有关扫描速度、稳定性和容错性，以及脆弱性发现能力等重新整理，作为功能部分予以要求，同时，考虑到原来对于误报率和漏报滤的模糊描述以及实际测试的操作性较差，删除了这两项内容的要求。

3）对于产品功能要求的逻辑结构进行重新整理，按照信息获取，端口扫描，脆弱性扫描，报告的先后顺序进行修订，使得产品的功能要求在描述上逐步递进，易于读者的理解，并且结合产品的功能强弱进行分级。

4)对于产品的自身安全功能要求和安全保证要求，充分参考了等级保护的要求，对其进行了重新分级，使得该标准在应用时更能有效指导产品的开发和检测，使得产品能更加有效的应用于系统的等级保护工作。

5）将标准名称修改为《信息安全技术网络脆弱性扫描产品安全技术要求》，增加了“安全”二字，体现出这个标准的内容是规定了产品的安全要求，而非其它电器、尺寸、环境等标准要求。

6）将原标准中“网络脆弱性扫描”的定义修改为“通过网络对目标网络系统安全隐患进行远程探测的过程，它对网络系统进行安全脆弱性检测和分析，从而发现可能被入侵者利用的漏洞，并可以提出一定的防范和补救措施建议。”作为扫描类产品，在发现系统脆弱性的同时，还要求“能够采取一定的准，结合当前国内外网络脆弱性扫描产品的发展情况，系统地描述了产品的功能要求、自身安全要求和保证要求。这些技术是在对国内外现有技术及标准进行吸收、消化的基础上，考虑了我国国情制定的。

本次是对原有国标《GB/T 20278-2006 信息安全技术网络脆弱性扫描产品技术要求》的修订，在修订过程中，重新整理了内容和结构，结合等级保护的要求重新进行了分级，在内容和结构上趋于完整化、可行化和系统化。4 贯彻标准的要求和实施建议

本标准是对网络脆弱性扫描产品安全技术要求的详细描述，为生产、测试和评估信息过滤产品提供指导性意见。建议将本标准作为国家标准在全国推荐实施。

《信息安全技术网络脆弱性扫描产品安全技术要求》修订组

5.浙江省信息安全等级保护管理办法篇五

第一条为加强和规范信息安全等级保护管理，提高信息安全保障能力，维护国家安全、公共利益和社会稳定，促进信息化建设，根据国家有关规定，结合本省实际，制定本办法。

第二条本省行政区域内建设、运营、使用信息系统的单位，均须遵守本办法。

第三条本办法所称信息安全等级保护，是指按国家规定对需要实行安全等级保护的各类信息的存储、传输、处理的信息系统进行相应的等级保护，对信息系统中发生的信息安全突发公共事件实行分等级响应和处置的安全保障制度。

第四条本办法所称信息，是指通过信息系统进行存储、传输、处理的语言、文字、声音、图像、数字等资料。

本办法所称信息系统，是指由计算机、信息网络及其配套的设施、设备构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的运行体系。

第五条信息安全等级保护应当遵循分级实施、明确责任、确保安全的原则;重点保障基础信息网络和重要信息系统各类信息的安全性和信息处理的连续性。

信息系统应当按照信息安全等级保护的要求，实行同步建设、动态调整、谁运行谁负责的原则。

第六条县级以上人民政府应当加强对信息安全等级保护工作的领导，把信息安全等级保护纳入信息化建设规划，协调、解决有关重大问题，建立必要的资金和技术的保障机制。

第七条县级以上人民政府公安、国家安全、保密、密码、信息化等行政主管部门应当按照国家和本办法规定，履行监督管理职责。

县级以上人民政府其他相关部门，应当按照职责分工，落实信息安全等级保护管理的责任，配合做好相关工作。

第二章等级保护的分级与实施

第八条根据信息系统承载的信息的重要性、业务处理对系统的依赖性以及系统遭到破坏后对经济、社会的危害程度，确定信息系统相应的保护等级。

信息系统的保护等级分为以下五级：

(一)信息系统承载的信息涉及公民、法人和其他组织的权益，信息系统遭到破坏后，业务可以直接用其他方式替代处理，对公民、法人和其他组织的权益有一定影响，但不损害国家安全、社会秩序、经济建设和公共利益的，为一级保护，由运营单位自主保护;

(二)信息系统承载的信息直接涉及公民、法人和其他组织的权益，信息系统遭到破坏后，会影响业务的正常处理，并对国家安全、社会秩序、经济建设和公共利益造成一定损害的，为二级保护，由运营单位在信息安全等级保护工作监管部门的指导下进行保护;

(三)信息系统承载的信息涉及国家、社会和公共利益，信息系统遭到破坏后，会严重影响业务的正常处理，并对国家安全、社会秩序、经济建设和公共利益造成较大损害的，为三级保护，由运营单位在信息安全等级保护工作监管部门的监督下进行保护;

(四)信息系统承载的信息直接涉及国家、社会和公共利益，信息系统遭到破坏后，业务无法正常处理，并对国家安全、社会秩序、经济建设和公共利益造成严重损害的，为四级保护，由运营单位按照信息安全等级保护工作监管部门的强制要求进行保护;

(五)信息系统承载的信息直接关系国家安全、社会稳定、经济建设和运行，信息系统遭到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害的，为五级保护，由运营单位在国家指定的专门部门、专门机构的专控下进行保护。

第九条信息系统的建设、运营、使用单位，应当按照国家有关技术规范、标准和本办法第八条规定自行选定其信息系统相应的保护等级。

基础信息网络和重要信息系统的保护等级，建设单位应当在信息系统规划设计时，按照本办法第十条规定报经审定。

第十条基础信息网络和重要信息系统保护等级，实行专家评审制度。

省、设区的市信息化行政主管部门应当分别建立省、市信息系统保护等级专家评审组，并分别组织对关系全省和关系全市的基础信息网络和重要信息系统的保护等级进行审定。申报与审定的具体细则，由省信息化行政主管部门会同省公安部门制定，并报省人民政府备案。

第十一条对于包含多个子系统的信息系统，应当根据各子系统的重要程度分别确定保护等级。

第十二条信息系统建设完成后，其运营、使用单位应当按照国家有关技术规范和标准进行安全测评，符合要求的，方可投入使用。

第十三条信息系统投入运行或者系统变更之日起三十日内，运营、使用单位应当将信息系统保护等级选定或者审定情况报所在地县级以上人民政府公安部门备案。备案的具体细则由省公安部门制定。

信息系统涉及国家秘密的，运营、使用单位应当按照有关保密法律、法规、规章的规定执行。

第十四条信息系统的运营、使用单位，应当按照国家有关技术规范和标准，建立信息安全等级保护管理制度，落实安全保护责任，采取相应的安全保护措施，切实保障信息系统正常安全运行。

第十五条信息系统的运营、使用单位，应当建立信息系统安全状况日常检测工作制度，加强对信息系统的日常维护和安全管理，及时消除安全隐患，确保信息的安全和系统的正常运行。

基础信息网络和重要信息系统的运营、使用单位，应当按照国家有关技术规范和标准，每年对系统的信息安全状况进行一次全面的测评，也可以委托有相应资质的单位进行安全测评。

第十六条信息系统发生信息安全突发公共事件时，应当根据事件的可控性、地域影响范围和信息系统遭到破坏的严重程度，实行分级响应和应急处置。分级响应和应急处置按照省有关网络与信息安全应急预案的规定执行。

通信基础网络发生突发公共事件时，应当按照省有关通信保障应急预案的规定执行。

第三章监督管理

第十七条县级以上人民政府公安部门依法对运营、使用信息系统的单位的信息安全等级保护工作实施监督管理，并做好下列工作：

(一)督促、指导信息安全等级保护工作;

(二)监督、检查信息系统运营、使用单位的安全等级保护管理制度和技术措施的落实情况;

(三)受理信息系统保护等级的备案;

(四)依法查处信息系统运营、使用单位和个人的违法行为;

(五)信息安全等级保护的其他相关工作。

第十八条保密工作部门依照职责分工，依法做好下列工作：

(一)督促、指导涉及国家秘密的信息安全等级保护工作;

(二)受理涉及国家秘密的信息系统保护等级的备案;

(三)依法查处信息泄密、失密事件;

(四)信息安全等级保护中涉及国家秘密的其他相关工作。

第十九条密码管理部门应当按照职责分工依法做好相关工作，加强对涉及密码管理的信息安全等级保护工作的监督、检查和指导，查处信息安全等级保护工作中违反密码管理的行为和事件。

第二十条信息化行政主管部门应当加强对信息安全等级保护工作的指导、服务、协调和管理，并做好下列工作：

(一)指导、协调信息安全等级保护工作;

(二)组织制定信息安全等级保护工作规范;

(三)组织专家审定信息系统的保护等级;

(四)为相关单位提供信息安全等级保护的有关资讯和技术咨询;

(五)根据预案规定，组织落实信息安全突发公共事件的应急处置工作;

(六)信息安全等级保护的其他相关工作。

第二十一条信息系统建设、运营、使用单位，应当按照国家和本办法有关规定，开展信息安全等级保护工作，接受有关部门的指导、检查和监督管理。

信息系统运营、使用单位，在运营、使用中发生信息安全突发公共事件、泄密失密事件的，应当按照应急预案要求，及时采取有效措施，防止事态扩大，并立即报告有关主管部门，配合做好应急处置工作。

第四章法律责任

第二十二条违反本办法规定的行为，有关法律、法规已有行政处罚规定的，从其规定。

第二十三条信息系统运营、使用单位违反本办法规定，不建立信息系统保护等级或者自行选定的保护等级不符合国家有关技术规范和标准的，由公安部门责令限期改正，并给予警告;逾期拒不改正的，处一千元以上二千元以下罚款。

第二十四条信息系统运营、使用单位违反本办法第十二条、第十三条第一款规定的，由公安部门责令限期改正，并给予警告;逾期不改正的，处二千元罚款。

第二十五条信息系统运营、使用单位违反本办法第十四条规定，未建立信息安全等级保护管理制度、落实安全保护责任和措施的，由公安部门责令限期改正，并给予警告;

逾期拒不改正的，对经营性的处五千元以上五万元以下罚款，对非经营性的处二千元罚款。

第二十六条违反本办法第十五条第一款规定，信息系统运营、使用单位未建立信息系统安全状况日常检测工作制度的，由公安部门责令限期改正，并给予警告;逾期拒不改正的，处一千元以上二千元以下罚款。

违反本办法第十五条第二款规定，基础信息网络与重要信息系统的运营、使用单位，未定期对系统的信息安全状况进行测评的，由公安部门责令限期改正，并给予警告;逾期拒不改正的，对经营性的处二千元以上二万元以下罚款，对非经营性的处二千元罚款。

第二十七条信息系统运营、使用单位违反本办法第二十一条第二款规定的，由县级以上人民政府信息化行政主管部门责令改正，给予警告，对经营性的并处五千元以上三万元以下罚款，对非经营性的并处二千元罚款;涉及泄密、失密的，按照有关保密法律、法规、规章的规定处理。

第二十八条有关信息安全等级保护监管部门及其工作人员有下列行为之一的，由其主管部门或者监察部门对直接负责的主管人员和其他直接责任人依法给予行政或者纪律处分。

(一)未按照本办法规定履行监督管理职责的;

(二)违反国家和本办法规定审定信息系统保护等级的;

(三)违反法定程序和权限实施行政处罚的;

(四)在履行监督管理职责中，玩忽职守、滥用职权、徇私舞弊的;

(五)其他应当依法给予行政或者纪律处分的行为。

第二十九条违反本办法规定，构成犯罪的，依法追究刑事责任。

第五章附则

第三十条在本办法施行前已经建成的信息系统，运营、使用单位应当依照本办法规定建立相应的保护等级。

6.内蒙古自治区计算机信息系统安全保护办法篇六

国家电网公司办公计算机信息安全管理办法

第一章总则

第一条为加强国家电网公司（以下简称“公司”）办公计算机信息安全管理，依据《中华人民共和国保守国家秘密法》、《中华人民共和国保守国家秘密法实施条例》、《中华人民共和国计算机信息系统安全保护条例》、《信息系统安全等级保护基本要求》和《中央企业商业秘密信息系统安全技术指引》制定本办法。

第二条本办法是对公司信息内外网办公用台式机、笔记本和云终端等办公计算机及其外设信息安全管理的职责及管理要求做出的具体规定。

（一）信息内外网办公计算机分别运行于信息内网和信息外网；

（二）信息内网定位为公司信息业务应用承载网络和内部办公网络；

（三）信息外网定位为对外业务应用网络和访问互联网用户终端网络；

（四）公司信息内外网执行等级防护、分区分域、逻辑强隔离、双网双机策略。

第三条本办法适用于公司总（分）部、各单位及所属各级单位（含全资、控股、代管单位）（以下简称“公司各级单位”）。

第四条国家电网公司办公计算机信息安全管理遵循“涉密不上网、上网不涉密”的原则。

严禁将涉及国家秘密的计算机、存储设备与信息内外网和其他公共信息网络连接，严禁在信息内网办公计算机上处理、存储国家秘密信息，严禁在信息外网办公计算机上处理、存储涉及国家秘密和企业秘密信息，严禁信息内网和信息外网办公计算机交叉使用。

第二章职责分工

第五条公司办公计算机信息安全工作按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”原则，公司各级单位负责人为本部门和本单位办公计算机信息安全工作主要责任人。

第六条公司各级单位信息通信管理部门负责办公计算机的信息安全工作，按照公司要求做好办公计算机信息安全技术措施指导、落实与检查工作。

第七条办公计算机使用人员为办公计算机的第一安全责任人，未经本单位运行维护人员同意并授权，不允许私自卸载公司安装的安全防护与管理软件，确保本人办公计算机的信息安全和内容安全。

第八条公司各级单位信息通信运行维护部门负责办公计

算机信息安全措施的落实、检查实施与日常维护工作。

第三章办公计算机管理要求

第九条办公计算机要按照国家信息安全等级保护的要求实行分类分级管理，根据确定的等级，实施必要的安全防护措施。信息内网办公计算机部署于信息内网桌面终端安全域，信息外网办公计算机部署于信息外网桌面终端安全域，桌面终端安全域要采取安全准入管理、访问控制、入侵监测、病毒防护、恶意代码过滤、补丁管理、事件审计、桌面资产管理、保密检测、数据保护与监控等措施进行安全防护。

第十条加强办公计算机信息安全管理：

（一）办公计算机、外设及软件安装情况要登记备案并定期进行核查，信息内外网办公计算机要明显标识；

（二）严禁办公计算机“一机两用”（同一台计算机既上信息内网，又上信息外网或互联网）；

（三）办公计算机不得安装、运行、使用与工作无关的软件，不得安装盗版软件；

（四）办公计算机要妥善保管，严禁将办公计算机带到与工作无关的场所；

（五）禁止开展移动协同办公业务；

（六）信息内网办公计算机不能配置、使用无线上网卡等无线设备，严禁通过电话拨号、无线等各种方式与信息外网和互联

网络互联，应对信息内网办公计算机违规外连情况进行监控；

（七）公司办公区域内信息外网办公计算机应通过本单位统一互联网出口接入互联网；严禁将公司办公区域内信息外网办公计算机作为无线共享网络节点，为其它网络设备提供接入互联网服务，如通过随身Wifi等为手机等移动设备提供接入互联网服务；

（八）接入信息内外网的办公计算机 IP 地址由运行维护部门统一分配，并与办公计算机的MAC地址进行绑定；

（九）定期对办公计算机企业防病毒软件、木马防范软件的升级和使用情况进行检查，不得随意卸载统一安装的防病毒（木马）软件；

（十）定期对办公计算机补丁更新情况进行检查，确保补丁更新及时；

（十一）定期检查办公计算机是否安装盗版办公软件；

（十二）定期对办公计算机及应用系统口令设置情况进行检查，避免空口令，弱口令；

（十三）采取措施对信息外网办公计算机的互联网访问情况进行记录，记录要可追溯，并保存六个月以上；

（十四）采取数据保护与监管措施对存储于信息内网办公计算机的企业秘密信息、敏感信息进行加解密保护、水印保护、文件权限控制和外发控制，同时对文件的生成、存储、操作、传输、外发等各环节进行监管；

（十五）加强对公司云终端安全防护，做好云终端用户数据信息访问控制，访问权限应由运行维护部门统一管理，避免信息泄露；

（十六）采用保密检查工具定期对办公计算机和邮件收发中的信息是否涉及国家秘密和企业秘密的情况进行检查；

（十七）加强对办公计算机桌面终端安全运行状态和数据级联状态的监管，确保运行状态正常和数据级联贯通，按照公司相关要求及时上报运行指标数据；

（十八）加强数据接口规范，严禁修改、替换或阻拦防病毒（木马）、桌面终端管理等报送监控数据接口程序。

第十一条公司各级单位要使用公司统一推广的计算机桌面终端管理系统，加强对办公计算机的安全准入、补丁管理、运行异常、违规接入安全防护等的管理，部署安全管理策略，进行安全信息采集和统计分析。

第四章外设管理要求

第十二条严禁扫描仪、打印机等计算机外设在信息内网和信息外网上交叉使用；严禁采用非公司安全移动存储介质拷贝信息内网信息。

第十三条计算机外设要统一管理，统一登记和配置属性参数。第十四条严禁私自修改计算机外设的配置属性参数。如需修改，必须报知运行维护部门，按照相关流程进行维护。

第十五条计算机外设的存储部件要定期进行检查和清除。第十六条加强安全移动存储介质管理

（一）公司安全移动存储介质主要用于涉及公司企业秘密信息的存储和内部传递，也可用于信息内网非涉密信息与外部计算机的交互，不得用于涉及国家秘密信息的存储和传递；

（二）安全移动存储介质的申请、注册及策略变更应由人员所在部门负责人进行审核后交由本单位运行维护部门办理相关手续；

（三）应严格控制安全移动存储介质的发放范围及安全控制策略，并指定专人负责管理；

（四）安全移动存储介质应当用于存储工作信息，不得用于其它用途。涉及公司企业秘密的信息必须存放在安全移动存储介质的保密区，不得使用普通存储介质存储涉及公司企业秘密的信息；

（五）禁止将安全移动存储介质中涉及公司企业秘密的信息拷贝到信息外网或外部存储设备；

（六）应定期对安全移动存储介质进行清理、核对；

（七）安全移动存储介质的维护和变更应遵循本办法的第五章相关条款执行。

第十七条涉及国家秘密安全移动存储介质的安全管理按照公司有关保密规定执行。

第五章维护和变更要求

第十八条办公计算机及外设需进行维护时，应由本单位对办公计算机和外设中存储的信息进行审核，通过本单位负责人的审批后报送运行维护部门进行维护。

第十九条办公计算机及外设在变更用途，或不再用于处理信息内网信息，或不再使用，或需要数据恢复时，要报运行维护部门，由运行维护部门负责采取安全可靠的手段恢复、销毁和擦除存储部件中的信息，原则上禁止通过外部单位进行数据恢复、销毁和擦除工作。

第六章人员管理要求

第二十条加强对办公计算机使用人员的管理，开展经常性的信息安全教育培训，提高办公计算机使用人员的信息安全意识与技能。

第二十一条加强外来人员和第三方人员对办公计算机使用的管理，对外来人员和第三方人员使用办公计算机进行审批，加强外来人员和第三方人员使用办公计算机的监督与审计。

第二十二条办公计算机及外设使用人员离岗离职，人员所在原部门不得对其办公计算机及外设擅自进行处理，要及时报运行维护部门对存储的企业秘密信息、敏感信息进行清理后清退至固定资产管理部门，并取消离岗离职人员办公计算机及应用系统的访问权限。

第七章检查考核

第二十三条应建立常态检查机制，同时辅以不定期抽查，及时发现问题并督促整改。

第二十四条违反本办法情节较轻的由本单位予以批评教育，情节严重的按公司相关规定进行处理。

第八章附则

7.内蒙古自治区计算机信息系统安全保护办法篇七

电力行业作为国家重要能源工业, 是国民经济的基础产业, 与工农业生产和人民生活息息相关, 因此, 在电力系统中实施等级保护, 从管理和技术两大方面提高电力信息系统的安全防护能力, 有效降低电力信息系统的安全风险, 将对电力信息系统的正常、稳定和可靠运行, 乃至国民经济的平稳运行产生重大意义。

1 信息系统安全等级保护概述

根据等级保护要求, 信息系统根据其重要性不同, 由低到高被划分为1至5级。在电力系统中, 管理信息系统主要为2级、3级系统, 生产控制系统主要为3级、4级系统。

(1) 开展定级备案。由信息系统运营、使用单位依据《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级, 并报公安部备案。

(2) 进行等级保护符合性测评, 发现与《信息安全技术信息系统安全等级保护基本要求》 (GB/T22239—2008) 中技术、管理要求的不符合项。

(3) 依据公司整体安全方针、等级保护符合性测评报告, 编制符合本单位实际情况的等级保护实施方案。

(4) 根据等级保护实施方案开展建设, 主要包括:安全域划分与实现、安全产品采购与部署、边界防护、安全配置加固、应用改造、机房物理环境整改、完善信息安全管理工作。

(5) 进行等级保护测评, 验证建设效果。

2 具有电力行业特色的等级保护建设

2.1 电力信息系统的安全防护现状

电力行业应用信息化技术比较广泛, 也较早重视信息系统安全问题, 在信息安全方面开展了一系列的工作, 形成了以网络隔离、边界防护和分层分级纵深防御为主要特点的立体化安全防护体系, 为开展等级保护工作奠定了扎实的基础。

2.2 电力信息系统等级保护建设历程

2007年7月16日, 公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合签发《关于开展全国重要信息系统安全等级保护定级工作的通知》 (公信安[2007]861号) , 正式启动了2007年7月至10月在全国范围内组织开展的重要信息系统安全等级保护定级工作。

电力行业作为国家基础性行业之一, 一直积极贯彻执行国家的方针政策。2007年11月, 国家电监会下发了《电力行业信息系统安全等级保护定级工作指导意见》。国家电网公司率先启动了等级保护工作, 2006年开展了信息系统安全等级保护制度研究与试点工作, 2007年进行了试点, 2008年涉奥单位完成了等级保护建设的主体工作, 2009年全面展开等级保护建设工作。

2.3 等级保护在电力信息系统中的应用

等级保护建设分为管理和技术两大方面, 其中管理包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理5个部分, 技术包括物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等。以下按照等级保护3级系统标准为例探讨等级保护在电力信息系统中的应用。

(1) 管理方面。

等级保护管理建设包括的内容非常多, 很多单位经过多年的建设已经形成了较为完善的管理体系, 比较容易满足等级保护的要求。易出现不符合项的主要有以下方面:管理制度的评审和修订不及时;人员离岗后相应系统权限、各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等撤销或收回不及时;关键岗位的人员未签署保密协议;外部人员管控不到位;介质的分类、维修和销毁等管理不完善。

其中, 特别需要引起重视的是对内部员工和外部研发及技术支持人员的管控, 这些人员往往接触和掌握公司大量敏感信息, 对公司资产造成的威胁最大。除了加强安全教育外, 还应签署保密协议, 从法律上对可能出现的违约行为加以限制和威慑。

(2) 物理环境安全。

一些物理安全问题往往受限于多种因素而难以整改, 或整改成本过高, 在等级保护应用中一般选择接受现状, 如机房位置的选择、机房布局与区域划分、电磁防护。

出现概率较高且相对容易整改的不符合项主要有:无电子门禁系统;机房出入管理不严格, 出入登记缺失或记录不详细;无防感应雷措施;强弱电线缆未隔离铺设;设备无标签或标签信息不完备;无防水检测和报警设施;未使用精密空调或由于水质过硬等原因而导致湿度调节功能不完善。

近些年电力信息化建设突飞猛进, 信息系统规模愈来愈庞大, 从而直接导致机房设备数量的大幅增加, 对机房空间、空调、供电乃至机房承重都造成了很大挑战, 再加上一些机房原本就是通过办公室等改建而成, 因此很多单位的机房物理安全难以全面满足等级保护要求, 通常需要借助新建或搬迁机房才能得到根本的解决。

(3) 网络安全。

基础网络是承载电力信息系统运行的平台, 其安全性直接决定了整个信息系统的安全等级, 是等级保护建设的重点之一。

网络安全防护主要包括:1) 安全域划分:根据等级保护定级结果, 对高安全等级系统, 如4级系统、3级系统划分独立的安全域, 对安全性要求相对较低的2级系统可统一划分为1个安全域, 同时结合电力系统自身的特点, 将互联网接入区与办公网络分离, 并实施强边界隔离, 通过层层设防, 提高关键业务系统和数据的安全性。2) 确定网络边界:确保所有的网络边界都纳入公司统一的管理之中, 常见的边界有:与Internet互联网的边界、银企互联边界、与其他社会代收机构的边界 (专线连接) 、公共服务通道 (专线、GPRS、CDMA、3G等) 与其他社会代收机构连接 (VPN) 等。3) 实施边界安全防护:明确了网络边界后, 对边界进行分类汇总, 通过部署防火墙或者网络设备上设置访问控制策略, 严格控制不同安全域之间的访问行为, 尤其是低安全域访问高安全域的行为。4) 网络设备安全防护:网络设备的远程管理都要采取SSH、HTTPS等加密方式, 且限制管理员登录地址;网络设备口令的加密强度、SNMP服务的默认口令串等也是网络设备防护的薄弱点。

等级保护3级系统要求网络设备支持2种或2种以上组合的鉴别技术来进行身份鉴别, 对此, 应根据实际情况区别对待, 老旧设备可能难以实现, 而对于新设备可在采购过程中作为必需满足项或通过配置启用相应的功能, 同时也要适当考虑经济性。

在严密的边界防护基础上, 结合严格的访问控制策略和口令管理流程也可有效降低此不符合项所带来的风险。等级保护3级系统对主机安全和应用安全方面也有同样的要求, 可采取类似的措施。

网络安全中除边界防护外, 还必须加强终端安全, 多年的实践表明, 尽管投入很大, 部署了物理隔离装置、防火墙、防病毒系统、补丁升级系统、入侵检测系统、入侵防御系统等众多的安全设备, 但安全态势仍无法令人满意, 很重要的一点就是未对终端防护给予足够的重视。

一方面, 终端往往是病毒木马的传播者和攻击的发起者;另一方面, 终端的非法外联也带来很大的安全风险, 如通过拨号、无线等方式绕过边界防护, 使得来自互联网的攻击者可直接访问内部系统。针对终端的安全问题, 可以通过部署桌面终端管理系统来进行管控, 注意必须覆盖所有的终端, 并设置严格的安全策略, 使得只有满足一定安全要求的终端才能接入公司网络, 并对非法外联行为进行阻断及定位, 做到严格的接入管控, 从而在根本上解决终端的安全防护问题。

除此之外, 移动存储介质的管控也不可忽视, 移动存储介质已成为传播摆渡型病毒木马和泄密的重要途径, 目前大部分桌面终端安全管理软件均可做到对USB、光驱等外设接口的有效管控。

(4) 主机安全。

主机系统的安全状况历来比较受重视, 在防病毒、补丁升级、弱口令、入侵检测等方面均有较完善的安全措施。根据等级保护3级要求, 需完善的方面如下:1) 采用SSH、HTTPS等加密方式进行远程管理;2) 监控重要服务器的CPU、硬盘、内存、网络等资源的使用情况, 并对系统的服务水平降低到预先规定的最小值进行检测和报警。

相比主机系统, 数据库系统存在问题较多, 需完善的方面如下:1) 数据库监听器空口令 (Oracle10g以前版本) 、系统内置账户的默认口令、安装了多余的组件;2) 默认的账户口令策略和日志审计策略;3) 补丁升级迟滞。

关于剩余信息保护的要求, 由于主要依赖于操作系统和数据库系统自身的实现, 通常选择接受现状。

(5) 应用安全。

早期的的应用程序设计对安全关注较少, 近年来国家电网公司倡行信息标准化, 推行典型设计, 从需求分析、设计、开发、上线前测评等多个环节中引入安全要求, 应用系统的安全性得到了很大改观, 尚待继续提升的方面有:1) 采用加密技术确保数据传输过程中的机密性和完整性;2) 采用数字证书等技术确保抗抵赖性。

(6) 数据安全及备份恢复。

数据安全的重点是保护数据存储、处理和传输过程中的机密性、完整性。

数据的备份与恢复包括2方面, 一是设备和链路等的冗余设计, 避免关键节点出现单点故障;二是数据的本地备份与恢复及异地备份。

数据备份与恢复应考虑经济性, 尤其是异地灾备中心的建设, 通常进行全局考虑, 建设区域性的灾备中心, 即满足异地备份的需要, 又可节约投资。

3 结语

8.内蒙古自治区计算机信息系统安全保护办法篇八

关键词云安全模型信息系统保护测评

中图分类号：TP3 文献标识码：A

文中以云安全服务模型为研究依据，从云计算信息系统的安全特性入手，提出建立云安全服务模型及管理中心，介绍了云安全等级保护模型的建立情况。

1简述云计算信息系统安全特性

以传统的互联网信息系统相比较，云计算信息系统把全部数据的处理与存储都放在服务端，终端用户根据网络可以及时获取需要的信息和服务，没有必须在本地配置的情况下进行数据的处理和存储。根据网络中所设置的网络安全防护设施，可以在服务端设置统一的身份兼备与安全审计系统，确保多数系统出现的安全问题得到有效解决，但此时新的设计服务模式又会带来新的安全问题，例如：滥用云计算、不安全的服务接口、数据泄露、安全管理等多个方面的问题。

2建立云安全服务模型及管理中心

现实中的不同云产品，在部署模型、资源位置、服务模型等各个方面都展现出不一样的形态和模式，进而形成各不相同的安全风险特征及安全控制范围。所以，必须从安全控制的角度创建云计算的模型，对各个属性组合的云服务架构进行描述，从而确保云服务架构到安全架构的合理映射，为设备的安全控制和风险识别提供有效依据。建立的云安全服务模型如图1所示。

3云安全模型的信息安全等级测评办法

云安全信息安全保护测评的办法就是根据云安全服务模型与云安全中心模型，考察用户在云安全方面的不同需求，安全模型处在安全等级保护体系下的不同位置。安全模型一端连接着等级保护技术，另一端连接着等级保护管理的要求。根据云安全信息中心的建模情况，对云安全模型下的核心基础、支撑安全展开分析，获取企业在云安全领域的信息安全等级测评模型，依照模型开展下一步的测评工作。

3.1分析等级测评云安全模型下的控制项

根据上述分析情况，可以把云安全模型嵌套在云安全等级保护模式中，从而展开与云安全有关的信息安全等级评价，并对安全模型下的有关控制项展开分析。首先察看云认证及授权情况，对是否存在登陆认证、程序授权、敏感文件授权等进行测评。依照不同的访问控制模型，选择访问控制的目标是强制性访问、自主性访问、角色型访问，进而采取与之相对应的方法。为了确保网络访问资源可以有效的控制和分配，需要创建统一、可靠的执行办法和解决策略。自由具备统一、可靠地方式才可以保障安全策略达到自动执行的目的。测试网络数据的加密情况，要对标准的加密功能及服务类型，做到静态和动态的安全保护。探测数据的备份与恢复情况，就必须查看云备份是否安全、数据销毁情况、磁带是否加密及密码钥匙的管理，检查的重点是供应商的数据备份情况。查看对管理用户的身份是否可以控制管理，是否可以管理用户角色的访问内容。查看用户的安全服务及审计日志，其中包括网络设备的监控管理、主机的维护、告警管理与维护等。

3.2分析等级测评云安全模型的风险性

依照等级保护的有关要求，运用风险分析的办法，对信息系统展开分析时必须重视下面的内容。

（1）云身份认证、授权及访问控制

云安全对于选择用户身份的认证、授权和访问控制尤为重要，但它所发挥的实际效果必须依赖具体的实施情况。

（2）设置云安全边界

云安全内部的网络设备运用防火墙这系列的措施展开安全防护。但外部的云用户只能运用虚拟技术，该技术自身携带安全风险，所以必须对其设置高效的安全隔离。

（3）云安全储存及数据信息备份

一般情况下，云供应商采用数据备份的方式是最为安全的保护模式，即使供应商进行数据备份更加安全，仍然会发生数据丢失的情况。所以，如果有条件的，公司应该采用云技术共享的所有数据进行备份，或在保留数据发生彻底丢失事件时提出诉讼，从而获取有效的赔偿。云计算中一直存在因数据的交互放大而导致数据丢失或泄露的情况。如果出现安全时间，导致用户数据丢失，系统应该快速把发生的安全时间通报给用户，防止出现大的损失。

4结束语

综上所述，随着云计算技术的发展，云计算信息系统会成为日后信息化建设的重要组成部分。文中从云安全等级保护测试为研究依据，简述了云计算信息系统安全特性，对云安全服务模型及管理中心的建立情况进行分析，提出云安全模型的信息安全等级测评办法。

参考文献

[1] 赵继军，陈伟.一种基于云安全模型的信息系统安全等级保护测评方法[J].信息网络安全，2013，（z1）：43-45.

[2] 潘一飞.基于云安全模型的信息系统安全等级保护测评策略[J].中国新通信，2014，（3）：7-7.

9.内蒙古自治区计算机信息系统安全保护办法篇九

随着计算机应用系统不断在我单位的投入使用，各车间部门办公、生产已经离不开计算机系统设备的支持，计算机用电安全已是不可忽视的问题，因此针对计算机系统及机房用电安全制定此管理办法，希望车间部门认真组织传达落实。

一、各车间部门24小时生产用机房和应用系统，双路电切换装置要有专人负责倒切，各车间部门根据本车间部门实际制定相应措施，针对停电要有应急办法，并协调电力部门查明停电原因及影响时间、范围等上报值班室。

二、各车间部门无人职守机房，各车间部门要安排人员定时进行巡视，并建立巡视记录，并保持机房内卫生。发现停电或网络、设备、UPS不间断电源异常声响或状态不对，要及时向值班人员上报，并进行详实记录。

三、计算机设备用电的插座严禁接其他设备，如空调、电钻、饮水机等，一经发现严肃处理。

四、对于没有双路电的车间部门，停电后一定要先按规程关闭计算机及系统设备，然后将UPS电源关闭，等来电后在开UPS电源和系统设备，以防UPS电源及计算机设备、程序损坏。

五、各车间部门根椐自站实际，成立非正常停电应急小组，备好长电源线及足够插座，确定好临时取电点，并予以标明，以备线路、设备发生问题时可最短时间恢复生产，并做好应急演练。

10.内蒙古自治区计算机信息系统安全保护办法篇十

摘要：随着科技的进步，企业办公信息化、智能化程度显著提升，随之而来的信息安全问题日益突出。企业经营考虑信息化设备创造的利益时，需兼顾互联网开放性造成的风险。针对以上问题，国家严格规范信息系统等级保护工作流程，根据系统的重要性和影响范围划分定级，按照系统级别的不同实施区别化管理。此外，依照信息系统等级保护工作的“三同步”原则（同步规划、同步设计、同步投入运行），在信息系统应用建设的各环节进行标准化管理，规范了信息系统事件的定级、测评、备案、安全整改以及职责等工作标准，同时，明确了检查考核、管理与技术措施，促进供电企业信息专业能力不断提升，充分调动公司各专业的积极性和协调性，有效提高公司信息系统安全管理水平和保护能力。

关键词：信息安全；等级保护；信息系统管理背景简介

通常情况下，企业信息系统管理普遍存在以下问题：（1）信息系统规划阶段侧重于系统功能应用，未提出信息系统安全保护；（2）信息系统设计阶段缺少安全方案的同步设计；（3）信息系统上线运行阶段，未建立安全性测试机制，投运前缺少系统软件恶意代码检测、源代码后门审查、漏洞查找、渗透测试、运行环境测试和等级测评等安全性测评环节。针对以上问题，信息安全等级保护在企业信息系统管理工作中发挥至关重要的作用。信息安全等级保护工作包括定级、备案、安全建设与整改、信息安全等级测评以及信息安全检查五个阶段，覆盖信息系统规划—设计—开发—测试—实施—应用上线与上架—运维的整个生命周期[1]。信息安全等级保护工作的管理思路

根据目前信息系统管理的暴露的缺点，公司将信息系统安全建设作为安全等级保护工作的重点，围绕信息系统应用建设的各个阶段，结合等级保护要求，实现信息系统建设过程的安全管理，有效降低了信息系统上线后的安全隐患，保障了信息系统的安全稳定运行。

2.1 规划阶段

信息系统规划初期，通过建立合理的信息系统安全管理体系、工作要求和工作流程，结合公司实际情况，将系统测评费用纳入其中。

2.2 设计阶段

系统设计阶段，公司要求系统建设部门提交信息系统的安全防护总体方案。对于需要开展安全方案设计的信息系统，在系统定级后，系统建设项目负责部门应组织系统运维单位和系统开发实施单位，根据系统安全防护等级，遵照相关行业信息安全等级保护基本要求和公司信息安全防护总体方案等，制定系统安全防护方案。

2.3 开发阶段

各系统建设部门是信息系统的用户方，必须严格要求系统开发部门遵守相应原则，如使用正版的操作系统、配置强口令、信息系统测试合格正式书等，从而保证系统投运时的实用性和效率。

2.4 测试阶段

系统建设部门组织定级系统，通过具有国家资质的测评机构对系

统进行安全测评，并在当地公安机关网监部门进行定级和备案工作。

2.5 实施阶段和应用上线

各级信息通信职能管理部门，督促检查本单位及下属单位等级保护工作，同时，要求各系统建设部门在信息系统实施阶段，确保系统完成测评整改工作。

2.6 运维阶段

根据“谁主管谁负责，谁运行谁负责”的工作原则，各系统主管部门合理分配部门人员的管理和运维工作，制定所管辖区域的系统安全隐患整改、数据备份以及其他相关安全加固措施。信息系统管理的工作机制

通过信息系统等级保护方案，公司要在系统应用建设全过程中加入安全防护机制，规范信息系统事件的定级、测评、备案、安全整改以及职责等工作标准。此外，为进一步促进等级保护工作的有效执行，公司明确了相应的检查考核管理措施，完善信息系统安全工作的全面管理。

3.1 考评机制

建立相关考评机制。由信息化职能管理部门负责对公司信息专业工作进行标准化管理考评、考核工作，即检查各相关单位网络与信息安全工作的开展情况，并根据上级部门的实时反馈进行整改，从公司信息系统正常运行到信息内外网安全，实施监督和管控，纳入各单位年度绩效指标考核。

3.2 协同机制

成立信息化领导小组及办公室，开展协同控制工作。建立关于信息安全工作的协调机制，明确公司各部门网络与信息安全工作职责，具体负责组织开展信息系统安全等级保护工作，协调、督导信息系统建设部门进行定级、备案、等级测评和安全整改等工作。另外，针对信息系统测评和评估所发现的问题，责任单位制定完善的安全整改方案并认真落实。

3.3 例会机制

例会机制主要通过信息系统等级保护集中工作实现，定期召开信息专业网络安全会议，通过会议通报各单位存在的问题和下一步改进措施。结语

本文提出了一种基于等级保护的信息系统管理工作思路。一方面，从信息系统全生命周期着手，在系统应用建设的各环节加入安全管理工作；另一方面，完善信息系统管理工作机制，通过建立合理的考评机制、协同机制和例会机制，优化系统管理手段。根据以上管理思路，不仅在工作流程上对信息系统进行了安全防护加固，而且制定了相应的管理手段，促进企业信息系统管理工作水平的提升。

参考文献

11.内蒙古自治区计算机信息系统安全保护办法篇十一

关键词：等级保护,财政信息系统,信息安全

在财政信息系统安全建设的过程中, 由于系统复杂、数据安全的属性要求存在着差异, 导致系统在不同程度上存在一定的脆弱性;在系统安全的规划和设计中由于对策略认识不够, 以致风险延续到信息系统的运行和维护管理阶段。文章从我国信息安全等级体系的规范和标准着眼, 对财政信息系统的安全保护等级模型进行了分析, 并提出了进一步完善财政信息系统安全的措施。

1 信息安全的保护等级及其基本流程

目前信息安全技术和管理水平在不断地提升和发展, 人们逐渐意识到要想保障信息系统的安全, 就要不断完善信息安全管理和技术体系, 构建完整的信息系统, 并且为了把信息和信息系统的残留风险降低到最小级别, 就要提高信息安全应急处置的能力。由于当前不同的信息和信息系统, 对其安全级别的要求也不尽相同, 应将管理策略、技术、工程过程等多个方面相结合, 同时进行客观的综合考虑, 对信息系统的安全分类需要充分运用信息安全等级保护的思想和方式。

1.1 信息系统安全保护等级

信息系统安全保护等级在《信息安全技术——信息系统安全等级保护基本要求》中划分为五个等级, 信息系统安全保护等级的第一级是用户自主保护等级, 用户可根据自主访问控制、身份鉴别和数据的完整性这三个条款进行判断;第二级是系统审计保护级, 在第一级的基础上增加了两个条款, 分别是客体重用和审计;第三级是安全标记保护级, 在第二级的基础上增加了强制访问控制、标记等条款;第四级是结构化保护级, 在第三级的基础上增加了可信路径和隐蔽信道分析;第五级是访问验证保护级, 在第四级的基础上增加了可信恢复条款。这五个等级的基本内容以信息安全的属性为主, 即网络安全、系统安全、应用安全、物理安全以及管理安全等五个方面, 根据其不同要求, 对安全信息系统的构建、测评和运行过程进行管理和掌控, 进而实现对不同信息的类别按照不同的要求进行等级安全保护的目标, 尽管不同等级的条款中有些内容是相似的, 但在一定程度上仍然存在着差异, 安全保护能力的要求会随着保护等级的提升而逐渐增强。

1.2 信息系统安全等级保护实施的流程

信息系统安全等级保护实施的基本流程包括五个阶段, 分别是定级阶段、备案阶段、测评阶段、整改阶段、运行和维护阶段。其中等级保护工作的基本前提是系统划分和定级工作, 定级工作必须要首先确定, 否则后面的工作将会无从做起;备案阶段中, 当专家评审与自定级不同时, 要重新定级, 才能够进行备案工作;测评阶段中指定的第三方测评机构必须是权威机构, 需要公正公平地对系统进行测评;整改和复测阶段中对于整改的项目要通过等级保护测评和风险评估的方法进行分析。等级保护工作要随着信息系统建设的变化和发展而做出不断循环的工作。

2 财政信息系统的等级保护

2.1 财政信息系统安全的架构

在财政信息系统安全的架构模式中, 既包含计算机网络通信和环境平台、又有多种相关的业务平台, 并且这些应用的安全等级各不相同, 所以采取的安全保护策略也有所不同。财政信息系统规模大、系统复杂, 按照系统的功能可以分为核心数据中心、采购管理、预算管理、业务门户网站等多个子系统, 要按照业务应用数据的不同性质进行不同安全等级的保护。总之要根据财政信息系统的实际情况, 构建一个相对完善的财政信息系统模型。

2.2 财政信息系统安全的等级区域的划分

财政信息系统安全等级保护要根据系统的特点和性质进行不同区域的安全划分, 以实现不同强度下的安全保护。针对财政信息系统中不同子系统的实际情况, 可以将财政信息网络划分为不同的安全保密等级区域, 分别为业务核心区, 办公用户区域、专线用户区域、内部网与互联网信息交换的区域等。

3 财政信息系统的等级的保护措施

在财政信息系统安全等级保护的建设工作中, 目前采取内网与外网物理隔离的方式, 从物理上把财政业务中各个子系统与对外服务区进行划分, 分别划分到不同的子网, 在财政业务的防火墙上可以设置权限为允许的策略, 源地址是内部桌面, 目的地址是业务服务器, 对于其他服务的子系统, 同样需要防火墙进行隔离, 使各子系统都有充分的隔离和清晰的界限, 同时可以配置漏洞扫描设备的检测设备, 不定期对各个服务器进行扫描。

数据备份能够进一步保障财政信息系统的安全, 在财政信息系统应用中需要配备存储备份设备以实现数据自动备份, 一旦系统出现故障, 通过数据备份即可恢复。为了进一步支持财政信息系统的稳步运行, 可建立一个异地财政信息数据备份中心, 以防财政信息系统发生灾难性故障时实现异地远程恢复的功能。

在财政信息系统安全保障体系建立的过程中, 要严格依照等级保护下的安全管理制度、系统建设制度和相关财政系信息管理的法律及标准, 在建立完善的网络安全管理机制的同时明确管理人员的职责。

4 结论

综上所述, 文章从我国信息安全等级体系的规范和标准着眼, 对财政信息系统的安全保护等级模型进行了分析, 并提出了进一步完善财政信息系统安全的有效措施。在财政信息建设的过程中, 设计出一个科学合理、全面的信息安全解决方案是一个关键的任务, 要从我国信息安全等级体系的规范和标准着眼, 对财政信息系统安全保障的体系进行深入的探讨, 以达到切实保护财政信息系统安全的目的。

参考文献

[1]龚雷.应用安全透明支撑平台体系结构与模型研究[D].郑州:解放军信息工程大学, 2013.

[2]王会.基于等级保护的党校网络安全体系的研究与应用[D].广州:中山大学, 2012.

[3]刘莎莎.NN市委办政务信息系统安全等级保护策略研究[D].南宁:广西大学, 2012.

12.信息系统安全等级保护备案表篇十二

信息系统安全等级保护备案表
单位名称信息系统名称信息系统类别系统域名系统 IP 地址系统服务情况系统网络平台服务器情况存储设备情况服务范围服务对象覆盖范围网络性质是否有服务器服务器位置服务器操作系统是否有专用存储存储设备位置 □MySQL □windows □linux □是 □否品牌及容量 □Access □SQLServer 年 □Oracle □其它_______ 月日 □全国 □全（市、区）□全校 □全校师生员工 □三者均包括 □广域网 □互联网 □否是否在学校机房寄存 □unix □是 □否 □Solaris □其它_______ □本单位 □其它__________ □其它__________ □单位内部人员 □社会公众人员 □局域网 □业务专网 □是 □校园网 □业务管理系统 □网站 □其他

□其它___________

系统数据库情况系统何时投入运行使用系统主要承建单位系统目前维护单位系统责任人姓管理员情况办公电话系统是否是分系统上级系统名称信息系统安全保护等级系统密级（涉及保密的信息系统需要填写本项）系统分级保护实施情况填表人：名

联系方式 E-mail 手 □是机

□否（如选择是请填下两项）所属单位

□第一级 □秘密 □ 已经实施

□第二级 □机密

□第三级 □绝密

□第四级

□第五级

□正在实施填表日期：

□计划________年实施年月日

填报单位：（盖章）

13.内蒙古自治区计算机信息系统安全保护办法篇十三

发布管理办法

（试行）

第一章总则

第一条为了规范自治区突发事件预警信息（以下简称预警信息）发布工作，及时、准确地向公众提供权威、公正的预警信息，预防和减少突发事件发生及其造成的危害，保障公众生命财产安全，维护公共安全和社会稳定，根据《中华人民共和国突发事件应对法》、《中华人民共和国政府信息公开条例》等法律法规和《内蒙古自治区突发公共事件总体应急预案》有关规定，结合自治区实际，制定本办法。

第二条自治区行政区域内预警信息的采集、审核、签发、复核、发布、传播和管理适用本办法。

《中华人民共和国突发事件应对法》、《内蒙古自治区突发公共事件总体应急预案》、专项应急预案、部门应急预案及法律、法规、规章另有规定的从其规定。

第三条本办法所称预警信息是指发生或可能发生，造成或可能造成严重社会危害，可以预警的自然灾害、事故灾难、公共卫生等信息。社会安全的预警信息发布适用相关法律法规的规定。预警信息应包括突发事件的类别、预警级别、起始时间、可能影响范围、预警时效、警示事项、应采取的措施和发布单位等。

预警信息级别分为Ⅰ级(特大)、Ⅱ级(重大)、Ⅲ级(较大)和Ⅳ级(一般)，分别用红色、橙色、黄色和蓝色标示，Ⅰ级为最高级别。

第四条预警信息发布工作实行分级分类管理，按照政府统一管理、部门分工负责、对外统一发布的原则进行。预警信息发布与传播坚持及时、准确、无偿的原则。

第五条旗县级以上人民政府负责本行政区域内预警信息发布工作的监督与管理，应当加强对预警信息发布工作的领导，建立健全预警信息快速传播工作机制，组织开展预警信息发布、传播、接收等基础设施建设，组建突发事件预警信息发布中心（以下简称预警信息发布中心），建设本行政区域预警信息发布系统。

第六条旗县级以上人民政府应急管理机构负责本行政区域预警信息发布工作的检查、评估等工作。

第七条各级各类应急预案牵头实施机构，或者经政府授权承担有关类别突发事件预警信息发布机构，负责建立和完善预警信息发布制度；规范预警信息采集（包括首发、调整和解除）、审核、签发流程，并对预警信息的真实性、准确性、有效性负责；承担本行业接收预警信息用户数据的维护；根据本办法制定相应实施细则。依据国家及自治区相关应急预案和实际情况，编制面向公众预警提示信息，有效引导公众防灾避险。

第八条各级预警信息发布中心按照本办法接收拟发预警信息、重要提示性信息和国家相关预警信息，审核预警信息发布流程，并负责本级预警信息及其他重要提示性信息的发布，以及发布系统的日常维护。

第九条各级传播媒体部门负责做好与预警信息发布中心的工作衔接，建立快速传播“绿色通道”，确保多途径多手段及时、准确、无偿、安全地向社会公众传播预警信息。

第十条各地区、各部门、各单位和公民、法人、社会组织等有责任和义务接收、传播和宣传预警信息，积极提高预警信息传播实效。

第十一条各级人民政府及有关部门应广泛开展预警信息相关知识的科普和宣传工作，增强公众的防灾减灾意识，教育引导公众通过各种途径主动获取、有效利用预警信息，提高自救、互救能力。

第二章发布流程

第十二条各预警信息发布单位负责预警信息的采集，包括预警信息的首发、调整和解除。各级政府应急管理机构和发布单位应根据重大活动保障和应急处置工作需要，起草重要提示性信息。第十三条各发布单位采集的涉及Ⅰ级、Ⅱ级预警信息，需经本单位审核人员审核后，提交本级人民政府分管该类突发事件的负责人签发；涉及Ⅲ级、Ⅳ级预警信息或重要提示性信息，需经本单位审核人员审核后，提交本单位主要负责人签发。

审核和签发后的预警信息或重要提示性信息报送预警信息发布中心。

第十四条跨区域的Ⅰ级、Ⅱ级预警信息或重要提示性信息，需经本级人民政府分管该类突发事件的负责人审核，报上一级人民政府分管该类突发事件的负责人签发。

第十五条具有签发权限的人员名单应提前报自治区预警信息发布中心备案。如有人员变动，应及时更改。

第十六条各级预警信息发布中心在接到本级政府应急管理机构或发布单位签发的预警信息后，复核预警信息或重要提示性信息采集、审核和签发流程，及时向指定的可能受影响区域发布。

第十七条预警信息发布单位应当根据事态发展，适时调整预警级别，按照流程报送本级预警信息发布中心进行发布。

第十八条有事实证明不可能发生突发事件或者危险已经解除的、或者突发事件预警已达到解除标准的，预警信息发布单位应及时制作解除信息，按照流程报送本级预警信息发布中心进行发布。第十九条预警信息发布单位应按照规定时效将预警信息或重要提示性信息通报各相关部门和单位，以便提前做好各项应对准备工作。

第三章保障措施

第二十条预警信息发布后，旗县级以上人民政府及相关职能部门应当组织落实预警信息接收和传播工作，充分利用各种信息传播手段，快速、及时、准确地将预警信息传播给公众，并根据有关法律、法规、规章和应急预案规定，实施与预警级别相应的响应措施。

旗县级以上人民政府要督促落实学校、医院、社区、工矿企业、建筑工地等指定专人负责预警信息接收传播工作，重点健全向基层社区传递机制，加强农村牧区偏远地区预警信息接收终端建设，形成直通到户的预警信息传播渠道。对于通信、广播、电视盲区和偏远地区人群，要充分发挥基层信息员作用，并督促居委会、村委会等有关单位和基层组织采取走街串巷、进村入户、鸣锣吹哨、组织人员逐户逐人告知等传统方式作为必要补充手段传递预警信息，强化预警信息传播。

第二十一条各级宣传、广电、新闻出版、通信等主管部门，要协调指导广播、电视、报刊、互联网等媒体及通信运营企业和其他信息载体，做好与预警信息发布中心的工作衔接，建立和完善预警信息发布机制和流程。第二十二条根据各种信息发布载体的性质和特点，向预警区域内用户播发预警信息分三类：

（一）时效内始终滚动发布，如网站、电子显示屏、电视滚动字幕等；

（二）时效内每小时连续播出或插播3至5分钟，如电视台、广播电台、农村大喇叭等；

（三）时效内开始时一次性发布，如报纸、手机短信、电话外呼等。

第二十三条预警信息发布单位应与预警区域内的属地政府、负责应急抢险的单位与队伍保持密切联系，加强动态监测信息的报送与共享，同时向社会公布咨询联系电话。

第二十四条完善军地信息通报机制，实现军地预警信息共享。旗县级以上人民政府应急管理机构及时向本地驻军、驻地部队及有关部门通报预警信息，共同做好预警响应工作。

第二十五条旗县级以上预警信息发布中心要完善管理体制，加强队伍建设与人员培训，配备专业技术与管理人员，推进预警信息发布系统的升级改造，不断提高预警信息发布时效和覆盖面。旗县级以上人民政府要对预警信息发布中心业务维持经费予以必要的支持。

第四章法律责任

第二十六条旗县级以上人民政府有关部门及单位违反本办法规定，不履行法定职责的，由其上级行政机关责令改正。造成严重后果的，根据情节和有关规定对直接负责的主管人员和直接责任人员给予行政处分；涉嫌犯罪的，依法追究刑事责任。

第二十七条

第五章附则

14.内蒙古自治区计算机信息系统安全保护办法篇十四

江苏省工业控制系统信息安全监督管理实施办法（试行）

省经济和信息化委

第一条为规范和加强我省范围内工业控制系统信息安全管理工作，提高信息安全防护和应急响应能力，确保工业生产运行、国民经济和人民生命财产安全，依据《工业和信息化部关于加强工业控制系统信息安全管理的通知》（工信部协„2011‟451号）、《江苏省网络与信息安全事件应急预案》（苏政办发„2009‟51号）等文件精神，结合工作实际，制定本办法。

第二条本办法所称工业控制系统，指采用数据采集监控、分布式控制、过程控制、可编程逻辑控制等技术控制生产设备运行的系统。本办法所称重点领域，主要指核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关的领域。

第三条本省行政区域内工业控制系统的信息安全管理及监督检查活动，适用于本办法。第四条各级信息化主管部门负责行政区域内工业控制系统信息安全工作指导和监督检查。有关行业主管或监管部门、国有资产监督管理部门负责协调、督促工业控制系统主管单位开展信息安全管理及落实安全整改等工作。

第五条工业控制系统信息安全按照属地化原则进行监督管理。各地区、各部门和各有关单位要按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，加强对工业控制系统信息安全管理工作的领导，明确责任部门和人员，建立并落实信息安全责任制和事件通报制度，健全完善相关管理技术措施，接受信息化主管部门的监督检查并配合做好安全整改工作。

第六条各地区、各部门和各有关单位要结合实际，明确加强工业控制系统信息安全管理的重点领域和重点环节，切实落实以下要求：

（一）组织制度要求。明确信息安全主管领导、管理机构和管理人员，健全工作机制，严格落实责任制，将重要工业控制系统信息安全责任逐一落实到具体部门、岗位和人员，确保领导到位、机构到位、人员到位、措施到位、资金到位。

（二）网络连接要求。断开工业控制系统同公共网络之间的所有不必要连接。对确实需要的连接，系统运营单位要逐一进行登记，采取设臵防火墙、单向隔离等措施加以防护，并定期进行风险评估，不断完善防范措施。

（三）组网管理要求。工业控制系统组网时要同步规划、同步建设、同步运行安全防护措施。采取虚拟专用网络（VPN）、线路冗余备份、数据加密等措施，加强对关键工业控制系统远程通信的保护。对无线组网采取严格的身份认证、安全监测等防护措施，防止经无线网络进行恶意入侵，尤其要防止通过侵入远程终端单元（RTU）进而控制部分或整个工业控制系统。

（四）配臵管理要求。建立控制服务器等工业控制系统关键设备安全配臵和审计制度。严格账户管理，根据工作需要合理分类设臵账户权限。严格口令管理，及时更改产品安装时的预设口令，杜绝弱口令、空口令。定期对账户、口令、端口、服务等进行检查，及时清理不必要的用户和管理员账户，停止无用的后台程序和进程，关闭无关的端口和服务。

（五）设备选择与升级管理要求。慎重选择工业控制系统设备，在供货合同中或以其他方式明确供应商承担的信息安全责任和义务，确保产品安全可控。加强对技术服务的信息安全管理，在安全得不到保证的情况下禁止采取远程在线服务。密切关注产品漏洞和补丁发布，严格软件升级、补丁安装管理，严防病毒、木马等恶意代码侵入。关键工业控制系统软件升级、补丁安装前须请专业技术机构进行安全评估和验证。

（六）数据管理要求。地理、矿产、原材料等国家基础数据以及其他重要敏感数据的采集、传输、存储、利用等，要采取访问权限控制、数据加密、安全审计、灾难备份等措施加以保护，切实维护个人权益、企业利益和国家信息资源安全。

（七）应急管理要求。制定工业控制系统信息安全应急预案，明确应急处臵流程和临机处臵权限，落实应急技术支撑队伍，根据实际情况采取必要的备机、备件等容灾备份措施。

第七条工业控制系统主管单位应定期组织开展信息安全检查。请专业技术机构对所使用的工业控制系统关键设备进行安全测评，检测安全漏洞，评估安全风险。重点领域的工业控制系统每年至少进行1次全面的安全检查。对检查中发现的问题要及时采取措施进行安全整改，并报告所在地信息化主管部门。

各级信息化主管部门应重视工业控制系统信息安全漏洞信息的收集、汇总和分析研判工作，及时向上级主管部门和相关部门报告发现的问题，及时发布有关漏洞、风险和预警信息。第八条省级信息化主管部门应会同行业主管或监管部门、国有资产监督管理部门以及其他信息安全管理部门，每年至少组织1次全省重点领域工业控制系统信息安全状况抽查、关键设备抽检，排查安全隐患，堵塞安全漏洞，通报发现问题并敦促整改。

工业控制系统主管单位对抽查、抽检发现的问题，应认真落实整改意见，并在3个月内向工业控制系统所在地信息化主管部门报告整改情况。

第九条参与抽查、抽检的技术检测机构与人员，应具有由国家权威机构认定的信息安全服务能力和水平，获省级以上信息化主管部门备案，并接受省级以上信息化主管部门监督管理。

委托技术检测机构检查前，委托部门或单位应与技术检测机构签订安全保密协议，明确保密责任和保密期限。必要时，应对参与检测人员的背景进行安全审查。

第十条实施安全技术检测的机构及人员应严格遵守检查工作纪律，周密制定检测方案，对技术检测可能引发的安全风险进行认真评估，采取规避或控制安全风险措施，保证被检查工业控制系统的安全正常运行。

对技术检测结果及过程文档、信息应加强保密管理，除按规定报送外，不得以任何方式提供给其他单位或个人；未经委托部门或单位同意不得用于任何用途。对于违反信息安全和保密管理制度造成信息安全事故或泄密事件的，依法追究当事人和有关负责人的责任。

第十一条对于工业控制系统主管单位拒绝接受检查或不履行信息安全管理职责、义务而发生安全事故的，应呈报其上级部门并追究其负责人的相应责任。

【内蒙古自治区计算机信息系统安全保护办法】推荐阅读：

内蒙古出台意见进一步强化生态环境保护06-15

内蒙古自治区牛羊屠宰管理办法08-27

内蒙古自治区工伤职工停工留薪期暂行办法07-15

内蒙古自治区正高级会计师资格评审(试行)办法09-23

内蒙古大学团委与内蒙古大兴安岭林管局09-26