信息系统安全基本要求

关键词： 竞争 科技 信息技术 教育

信息系统安全基本要求（精选8篇）

篇1：信息系统安全基本要求

证券期货业信息系统安全等级保护基本要求[试行]

现公布金融行业推荐性标准《证券期货业信息系统安全等级保护基本要求(试行)》(JR/T 0060-2010)，自公布之日起施行。

中国证券监督管理委员会

二○一一年十二月二十二日

附件：《证券期货业信息系统安全等级保护基本要求（试行）》（需要查看附件，请下载查看。）

篇2：信息系统安全基本要求

编制说明

（送审稿）

证券期货业信息系统安全等级保护基本要求》编写组

二〇一〇年五月

I《

目次

一、背景及意义..............1

二、编制目的与原则.................1

三、编制内容................1

四、主要编制过程............2

五、适用范围................2

六、总体框架................2

七、重大分歧意见的处理和依据..............2

八、行业标准属性的建议.............2

九、废止现行有关标准的建议................3

十、其他应予说明的事项.............3一、背景及意义

国家标准《信息系统安全等级保护基本要求》（以下简称《国标》）是证券期货行业各机构开展安全建设整改、测评机构进行安全测评、公安机关开展检查的重要依据。证券期货业具有信息化程度高、业务持续性要求高、对信息系统的容量和处理能力要求高的特点。但由于《国标》是通用性标准，适用范围大，有些规定不够完全适应证券期货行业的实际情况，为了增强标准的可操作性，需要根据行业特点进行明确、细化和调整。公安部文件《关于印送<关于开展信息安全等级保护安全建设整改工作的指导意见>的函》（公信安[2009]1429号）明确要求：“重点行业信息系统主管部门可以按照《信息系统安全等级保护基本要求》等国家标准，结合行业特点，确定《信息系统安全等级保护基本要求》的具体指标；在不低于等级保护基本要求的情况下，结合系统安全保护的特殊需求，在有关部门指导下制定行业标准或细则，指导本行业信息系统安全建设整改工作。”因此，制定《证券期货业信息系统安全等级保护基本要求》（以下简称《行标》）对于全行业开展好信息安全等级保护工作是必要和迫切的。

二、编制目的与原则

（一）编制目的《行标》主要用于指导和规范证券期货行业信息安全等级保护安全建设整改、测评和监督管理工作。

（二）编制原则

本标准的编制遵循以下原则：

1、《行标》严格按照《国标》开展规范的编制工作，在体例、条款上保持一致，不对《国标》条款进行增、删、改。

2、结合行业实际情况，对《国标》安全要求进一步明确、细化和调整，且不低于《国标》要求。

3、根据《国标》附录B的要求，对不同信息系统提出明确的安全要求。

三、编制内容

对《国标》262项安全要求中的195项安全要求进行了细化、明确和调整，其中细化了82项，明确了66项，调整了47项。

细化的内容，主要是对部分安全要求进行分解细化，以便于操作。如，《国标》要求“机房出入应安排专人负责，控制、鉴别和记录进入的人员。”《行标》细化要求为“机房出入应当安排专人负责管理。没有电子门禁系统的机房应当安排专人在机房出入口控制、鉴别和记录人员的进入；有电子门禁系统的机房，应当保存门禁系统的日志记录，应当采用监控设备将机房人员进入情况传输到值班点。”

明确的内容，主要是对定性的词语，给出了明确定义。如，《国标》要求“机房应设置必要的温、湿度控制设施，使机房温、湿度的变化在设备运行所允许的范围之内”，《行标》明确要求“开机时机房温度应控制在18℃-28℃；开机时机房相对湿度应控制在35%-75%；停机时机房温度应控制在5℃-35℃；停机时机房相对湿度应控制在20%-80%。”

调整的内容，主要是针对行业系统特点，对安全要求进行了使用范围的调整。如，《国标》要求“操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并保持系统补丁及时得到更新。”，《行标》调整要求“持续跟踪厂商提供的系统升级更新情况，在经过充分的评估后对必要补丁进行及时更新。”

四、主要编制过程

第一阶段：研究阶段

2008年，中国证监会开始研究《行标》的编制工作，在充分征求行业各类机构意见的基础上，形成了《行标》的最终编写思路，并对标准条款的修改做了大量调研工作。

第二阶段：编写阶段

中国证监会组织10名行业专家（分别来自监管部门、交易所等单位、证券公司、期货公司、基金公司）和5名国家有关安全机构专家（来自于公安部信息安全等级保护评估中心、中国信息安全测评中心和上海市信息安全测评中心）成立了起草小组，集中工作，形成了《行标》初稿。

第三阶段：征求意见阶段

中国证监会2次向市场核心机构和部分经营机构征求意见，共收集了近300条反馈意见，对各单位反馈的意见进行了认真研究，采纳了绝大多数的意见，对未采纳的意见进行了充分讨论。

第四阶段：完善阶段

《行标》起草工作小组根据专家意见，对《行标》的内容进行了2次较大的修改编写形成了《行标》征求意见稿。

第五阶段：证标委征求意见阶段

2010年3月17日，《行标》起草小组将征求意见稿报送给证标委征求专家委员意见，并且同时向中国证监会会内相关业务部门、12家证监局，中国证券业、期货业协会征求意见。返回意见共计242条，其中专家委员意见152条，会内相关部门、证监局和行业协会意见共计90条。经充分吸纳和与各证标委专家委员、各单位充分沟通后，修订形成了《行标》（送审稿）。

第六阶段：国家信息安全等级保护专家评审

2010年5月6日，证监会信息中心邀请了国家信息安全等级保护安全建设指导专家会部分专家对《行标》（送审稿）进行评估，并邀请公安部十一局相关负责同志进行了现场指导。与会专家一致同意《行标》（送审稿）通过评审。

五、适用范围

《行标》适用于适用于指导证券期货行业按照等级保护要求进行安全建设、测评和监督管理。

六、总体框架

《行标》包括前言、引言、9个章节、2个附录，每章包括的具体内容如下：

第1-9章以国际《信息系统安全等级保护基本要求》为基础，针对部分安全要求进行了明确、细化和调整。

附录A为规范性附录，结合证券期货行业特点修订了《信息系统安全等级保护基本要求》附录A。

附录B为规范性附录，根据证券期货行业不同机构、不同系统特点，明确安全要求的选择和使用的原则。

七、重大分歧意见的处理和依据

无。

八、行业标准属性的建议

鉴于国际《信息系统安全等级保护基本要求》是推荐性标准，为保持一致，建议本标准

作为推荐性行业标准。

九、废止现行有关标准的建议

无。

十、其他应予说明的事项

本标准遵守中华人民共和国现行的法律和法规。

篇3：信息系统安全基本要求

我国医院信息系统建设经过10多年的建设和发展,已有长足进步,未来的发展方向无疑就是数字化医院,其重点应建设以下主要内容。

1.1 完善提高医院基本信息系统

新的医院基本信息系统要着重从以下几个方面进行完善和提高:首先,在设计理念上,要按照以人为本、以病人为中心的理念进行设计;其次,把优化就诊流程、提高医疗质量、满足临床业务需求、满足医院管理和卫生决策作为出发点;第三,在设计架构上,要能够提供与临床数据中心(Clinical Data Repository,CDR)、各种临床信息系统、绩效考评与成本核算系统、卫生机关汇总上报和地方医保等系统信息的接口,实现医院信息化全面协调可持续发展。

1.2 完善提高各种临床信息系统

进一步完善医学影像、检验、心电图、移动医护工作站、手术麻醉、重症监护等临床信息系统。一方面要提高这些功能科室的信息化水平,打造信息化影像中心、信息化手术室等;另一方面,这些临床诊疗信息能够非常方便和人性化地在医生工作站得到展示,以提高工作效率和医疗质量;第三,这些临床信息能够以标准的形式归档到CDR中,为构建真正的电子病历奠定基础。

1.3 构建完整的电子病历系统

构建集成病人完整诊疗信息的电子病历系统。完整的电子病历系统主要由以下系统组成:CDR、临床信息服务平台、电子病历集成视图、计算机医嘱录入系统(Computerized Physician Order Entry,CPOE)、医疗文档编辑与管理系统、移动医护工作站、闭环医嘱管理系统、临床知识库管理系统、临床决策支持系统、受控医学术语管理系统和临床路径管理系统等。电子病历系统是医院信息化发展的又一个里程碑,它体现出医院信息化综合发展水平。该系统的实施将全面提升医院医疗质量,提高医护人员工作效率。

1.4 建设以医院经营管理为目标的决策支持系统

现在,信息系统通常都提供功能比较齐全的综合查询等系统,医院的管理和决策水平有了很大的提高,但现有系统辅助决策功能还比较弱。医院管理者特别希望在决策或发现问题时系统能够帮助进一步分析[1]。因此数据仓库等辅助决策系统应该大力发展,逐步建立辅助决策支持和综合绩效考评系统,进一步完善全成本核算系统。

1.5 拓展以居民电子健康档案为核心的区域协同系统

区域医疗信息系统是卫生信息化发展的最高阶段,除了能够建立病人完整的电子健康档案,实现病人诊疗信息区域共享与电子转诊,从而缓解看病难、看病贵外,更重要的是能够提高卫生决策机关的管理和决策水平。通过对医疗机构各种卫生信息的直接提取、汇总,获取医疗卫生机构日常业务工作的重要数据,同时通过对这些海量数据进行有效整合,提取其中有用的信息,挖掘其中新的信息,并对这些信息进行综合分析,为医疗卫生事业的各级管理部门提供科学决策依据。

1.6 实施以病人全程关怀为中心的患者关系管理系统

医院患者关系管理平台是运用于医院的管理服务系统,患者不仅在医院,即使在家中、在工作中也能得到医院或社区的个体化健康服务,保持健康营销链条的完整性,其具体目标归结为“完善患者服务,提高患者满意度和忠诚度,降低患者流失率,提高医院核心竞争力”[2]。

2 数据中心建设是医院信息化发展的必然趋势

上面提出了医院信息系统下一步要发展的几个主要系统,但数字化医院不是各种信息系统的简单堆积,而是有其丰富的内在规律,如智能化与数字化、医嘱系统、收费系统和检查检验系统等都有非常紧密的内在联系,那么多信息系统实施后,信息如何存储、挖掘、利用等需要深层次的设计与思考。而主索引和数据中心概念无疑是解决这一问题的有效途径。

(1)临床数据中心。CDR是所有的病人医疗结果和其他临床数据的一个中心仓库存储,而且是电子病历解决方案的中心。单个病人信息随着时间的增加信息量也随之增长,为了可长期获得该病人的信息,需要对其信息进行长期存储,这时,就出现异构下的数据长期的管理问题。而医疗文档库,就是把医院信息系统中各个业务系统的数据库的信息抽取出去,通过归档的形式形成一个静态的文档,把它放在中间的文档库,不管是多少个系统、多少个厂家建立的,全部收集起来,归到文档库里面。CDR对于电子病历来讲是一个非常核心的部件[2]。

(2)管理数据中心。管理数据中心以管理对象为主索引,如:科室、岗位、人员、设备、财务等,为辅助决策支持、全成本核算和综合绩效评价等系统服务。

(3)影像数据中心。医院80%以上的数据是医学影像数据,因此构建影像数据中心也是数字化医院必须要完成的一个重要任务。

(4)区域数据中心。如果是集团型医院,还应该构架区域数据中心,无论是管理还是诊疗都需要这样一个数据中心[3]。

3 数据中心存储解决方案

3.1 数据中心存储分类

按数据中心管辖的范围,可分为两类:

(1)医院内部数据中心。仅为单一医院提供通信和数据服务。医院内部数据中心是一个医院的内部网、互联网访问、电话服务的核心。Web服务器、内部联网交换机、存储网络以及更多的其他设备一般安置在这里[4]。在目前国内服务的大环境下三级医院应在医院内部建立自己的数据中心。

(2)主机托管型数据中心。由托管服务提供商所有,并向多个医疗机构提供数据及互联网服务。

对县区级医院,医学影像数据中心可以考虑采用数据与软件托管的方式进行建设,数据直接传到上一级(市级)数据中心或托管数据中心,其它数据中心可参照标准自行建设。

对社区和乡镇卫生院,所有软件和数据中心可以考虑采用数据与软件托管的方式进行建设,可以由上级医院或市级平台进行托管。

3.2 数据中心存储发展趋势

人们对信息的需求是无所不在的。人们把数据存储在数据中心里,但数据的产生和使用可以在任何地方,包括Web、移动应用、分支机构、合作伙伴站点或子公司。由于数据无所不在,因此,网络就成为数据中心的基础平台。

由于网络具有很多内在的性质,因而可以作为提供共享数据中心基础设施的基础。它能够触及到数据中心运作的方方面面,无论是远程还是分布式,都能以统一、一致的方式提供服务。因此无论何种类型的数据中心都必须具备高带宽、高密度、高管理性和高安全可靠性的基本要求。

目前数据中心的最新研究方向是虚拟化。虚拟化就是把物理资源转变为逻辑上可以管理的资源,以打破物理结构之间的壁垒[5]。未来,所有的资源都将透明地运行在各种各样的物理平台上,资源的管理都将按逻辑方式进行,完全实现资源的自动化分配,而虚拟化技术就是实现它的理想工具。

4 医院信息化发展对安全提出新要求

信息系统已成为医院核心的支撑平台,对于像福州总医院这样的大型医院而言,信息系统的安全性已经不言自明。如果没有可靠的保障体系,系统再好也很难正常运行。同时,任何信息系统一点问题不出也是不可能的。问题是怎样用最好的性价比来获得最高的可靠性。

讨论信息安全问题,一定要充分理解什么是安全。现在很多人对信息安全有误区,认为花了很多钱,搞了各种备份,就可以高枕无忧了。实际上,信息安全要建立在安全的体系之上,包括设计一个科学实用的系统方案,建立一支稳定合理的人才梯队,制定一套行之有效的规章制度,实施一套严格规范的操作流程等[6]。

4.1 科学实用的系统方案

要保证整个医院信息系统的安全,首先要有一个科学实用的系统安全方案,包括双机冗余(主服务器、核心交换机和存储设备)、异地备份、防病毒、网络管理、桌面管理、安全审计、安全评估等系统,如果需要与其它网络互联,还必须配置防火墙、网闸、入侵检测等系统,这些系统的实施有效地保证了系统的安全[7]。

4.2 稳定合理的人才梯队

建立一套灵活务实的人才激励机制很重要。很多单位花了很多钱,建立了复杂的IT架构,但是,没有能够驾驭整个系统安全的人才,这显然是不可取的。所以,一定要有一个非常合理的人才梯队,能够胜任信息系统安全性保障的需要。从这个意义看,信息系统的建设固然重要,但是,系统的运营维护人员在很大程度上比软件更重要。尤其是如何细化运维人员的专业分工,对于安全管理非常重要。信息安全的建设,一定要跟人力资源相匹配。否则,一个再好的信息安全系统,驾驭不了,也不可能保证系统安全。

4.3 行之有效的规章制度

信息系统安全建设也是“三分技术、七分管理”的工作[8]。在信息化的建设中,信息化管理制度建设是保障。信息化为我们提供了科学、便捷、智能化的管理工具和手段,但信息化不是万能的,还要靠制度去保障、去规范使用者的操作行为。要用严格的制度去约束人的行为,杜绝随意性,建立设备和资源的保管、维护、使用制度,建立经费投入和保障机制,建立科学评价与反馈机制来确保信息系统的应用,这是信息化建设和推广特别是系统安全的关键。

4.4 严格规范的操作流程

在方案、人才和制度的前提下,还必须有一套严格的操作流程来保证这些措施能够真正得到落实[9]。如我院从服务器操作、交换机管理、软件开发、软件更新、用户授权、数据修改到数据备份等都制定了一整套的操作流程,并有严格的操作日志,确保了整个系统和数据安全。

参考文献

[1]陈金雄.构建智能型数字化医院[J].医疗卫生装备,2010,31(2):1-4.

[2]黄新霆.电子病历:EMR≠HER[EB/OL].(2005-11-28)[2010-01-25].http://media.ccidnet.com/art/2649/20051128/381885_1.html.

[3]陈金雄.新医改条件下福州总医院信息化建设[J].中国数字医学,2009(6):23-25.

[4]母晓莉,等.区域医疗影像数据中心存储系统研究与设计[J].中国数字医学,2010(1):57-59,64.

[5]袁菲.虚拟化技术在信息安全领域的应用[J].计算机安全,2008(10):82-84.

[6]朱小兵.医院信息化以人为本[J].计算机世界,2008(42):34.

[7]赵锦.医院信息系统的安全防范[J].医疗卫生装备,2009,30(3):57.

[8]金晖,等.医院信息系统数据安全防范及其策略[J].现代预防医学,2007,34(14):2698-2699,2703.

篇4：实训安全基本要求

实训既是职业教育的重要教学环节,也是职业教育的主要特色。中等职业学校的实训是提高职业能力的重要途径,中职生不但要在生产实习、模拟仿真实训中强化技能训练,更要在实训操作中强化安全意识,养成遵守安全规程的习惯,为今后的职业生涯做好准备。

中等职业学校专业多样,多数专业对应一个职业群,中职生实训岗位的种类更多。虽然每一种职业都有特定的安全要求,但其中有些要求是一致的。

注意安全、防止事故是

劳动者素质的重要内涵

尊重人、尊重劳动,首先要从珍爱自己、他人的生命做起。注意安全是一种文明,让每个人在合理有序的环境里生活劳动,是以人为本的文明。注意安全是一种仁爱之心,爱人爱己,爱护每一个人的生命。注意安全是一种素质,是高素质劳动者必须具备的素质。

构建和谐社会需要安全。安全生产关系人民群众生命财产安全,关系改革发展稳定的大局,是全面建设小康社会、加快推进社会主义现代化的需要。安全发展是实现可持续发展的重要内容,安全生产状况进一步好转是我国构建和谐社会取得新进步的重要指标。《中共中央关于制定国民经济和社会发展第十一个五年计划的建议》在论及“推进社会主义和谐社会建设”时,不但“倡导人与人和睦相处,增强社会和谐基础”,而且强调“保障人民群众生命财产安全生产监督体制,严格安全执法,加强安全生产设施建设。切实抓好煤矿等高危行业的安全生产,有效防止重特大事故。加强交通安全监管,减少交通事故。加强各种自然灾害预测预报,提高防灾减灾能力。强化对食品、药品、餐饮卫生等的监督,保障人民群众健康安全。”胡锦涛总书记在中共中央政治局第三十次集体学习时强调:“人的生命是最宝贵的。我国是社会主义国家,我们的发展不能以牺牲精神文明为代价”,“是构建社会主义和谐社会的必然要求。”

技术人才和高素质劳动者的工作岗位主要在生产第一线,如果安全意识淡薄,不懂安全知识,没有养成注重安全的习惯,就有发生伤亡事故的可能。

安全意识是《中等职业学校德育大纲》规定的德育目标之一。中职生的实训岗位在一线,发生事故的机会比在教师里学文化、专业知识大得多。一旦发生事故,小到擦破皮,大到断骨截肢甚至失去生命。这些事故有些是意外,但是多数是中职生在实训中违反操作规程和安全规定、疏忽大意造成的。发生意外,既给国家、社会带来危害,也给学校带来损失,更害了自己、害了父母。

职业教育是培养技能人才和高素质劳动者的教育,而珍爱生命和遵守安全生产要求是技能人才和高素质劳动者的最重要的基本素质之一。温家宝总理在2005年召开的全国职教工作会上指出:“国民经济的各行各业不但需要一大批科学家、工程师和经营管理人才,而且需要数以万计的高技能人才和数以亿计的高素质劳动者。没有这样一支高技能、专业化的劳动大军,再先进的科学技术和机器设备也很难转化为现实生产力。”他在讲话中谈及我国还不是制造业强国时,强调我国制造业面临的主要问题“是生产结构不合理,技术创新能力不强,产品以低端为主、附加值低,资源消耗大,而且安全生产事故也多,这些都与从业人员技术素质偏低、高技能人才匮乏有很大关系。”从业人员的技术素质绝非只是掌握专业知识和具有娴熟的专业技能,还必须包括安全素质,即具有浓重的安全意识,掌握所从事职业的专门安全知识,养成符合该职业要求的安全行为习惯。“珍爱生命、安全第一”的安全素质,是国民素质的重要组成部分,更是从业人员必须具备的基本素质。

愚者用自己的鲜血换来教训,智者用别人的教训避免流血。每种岗位的安全制度、操作规程,是人们在多年生产实践的经验总结,是多少劳动者用血与泪甚至生命为代价换来的。缺乏安全意识和安全知识,违反规章制度、操作规程,是实训中发生事故的重要原因。珍惜生命不空谈,安全要从我做起,从点滴做起。为了自己,为了家人,为了社会,中职生要对实训中违规违章可能出现的严重后果引起足够的重视。除了在专业课学习过程中,十分留意其中渗透的安全要领外,要在实训前认真学习有关安全制度、操作规程,在实训中认真遵守有关安全制度、操作规程。

中职生在实训以及今后的工作岗位上,注重安全、防止事故、避免伤害是珍爱生命的具体体现,是联合国教科文组织职业教育组织倡导的“尊重人、尊重劳动”基础价值观以及“尊重生命和自然”等核心价值观在职业行为中的具体体现。中职生应该充分利用在校学习的大好时光,根据自己所学专业和即将从事的职业的特点,认真学习有关安全知识、养成注重安全的习惯。为在今后的职业生涯中及时发现安全隐患做好准备,为在即将开始的职业生活中争取保障自己生命应有的权力创造条件,为在今后漫长的职业劳动中一丝不苟地遵守安全操作规程奠定基础。

必须做到的基本要求

实训期间,必须树立“安全第一”的思想,必须服从领导、指导教师、带训师傅的指挥,必须严格遵守劳动纪律,必须严格执行有关安全规定。

进入实训场地,必须按要求穿戴好劳动保护用品,必须勤瞭望、勤联系、勤汇报、勤求教、及时报告安全隐患,严禁抽烟、聊天、打闹和乱走乱动。

进入岗位后,必须坚守岗位,必须严格按照规程操作,必须把工具放在指定位置、对号入座,必须保持岗位以及周边卫生,必须经批准后再动电源或其他开关,必须做到不动其他设备和工具。

离开岗位时,必须严格执行交接班制度,必须按要求拉闸断电或关闭液流开关,必须清点并归位工具和材料,必须按规定清扫实训场地,必须关严、锁牢工具箱和门窗。

特殊作业岗位实训安全

有更严格的要求

特种作业人员是指容易发生人员伤亡事故,对操作者本人、他人及周围设施的安全可能造成重大危害的作业,直接从事特种作业的人员成为特种作业人员。按照国家标准《特种作业人员安全技术考核管理规则》规定,电工作业人员、锅炉司炉、操作压力容器者、起重机械作业人员、爆破作业人员、金属焊接(气割)作业人员、煤矿井下瓦斯检验者、机动车辆驾驶人员、机动船舶驾驶人员及轮机操作人员、建筑登高架设作业者,以及符合特种作业人员定义的其他作业人员,均属特种作业人员。

许多行业对特种作业人员还有更细致的规定。例如,《建设工程安全生产管理条例》规定“垂直运输机械作业人员、安装拆卸工、爆破作业人员、起重信号工、登高架设作业人员等特种作业人员,必须按照国家有关规定经过专门的安全技术培训,并取得特种作业操作资格证书后,方可上岗”。进一步明确了特种作业及人员范围:电工作业,含发电、送电、变电、配电工,电气设备的安装、运行、检修(维修)、试验工,矿山井下电钳工;金属焊接。切割作业,含焊接工、切割工;起重机械(含电梯)作业,含起重机械(含电梯)司机、司索工、信号指挥工、安装与维修工;企业内机动车辆驾驶,含在企业内及码头、货场等生产区域和施工现场行驶的;等等。

《特种作业人员操作证》不同于一般的职业资格证书或技术等级证书。两类证书分别从操作安全资格和职业技能水平两个不同方面,按各自不同的培训、考核大纲要求,对劳动者进行培训,两者不可相互替代。

一般的职业资格标准或技术等级标准,对安全也有要求。为此,国家有专门规定:“用人单位招用从事技术复杂以及涉及到国家财产、人民生命安全和消费者利益工种(职业)(以下简称技术工种)的劳动者,必须从取得相应职业资格证书的人员中录用。”“技工学校、职业(技术)学校、就业训练中心及各类鹅培训机构的毕(结)业生,必须取得相应职业资格证书后,才能到技术工种岗位就业。”然而,部分技术工种因其特殊危险性而被国家定义为特种作业,其操作人员持证上岗是国家劳动安全监察的一项重要措施。按《劳动法》第五十五条规定,凡从事特种作业人员必须按相应大纲要求进行专门培训,取得《特种作业人员操作证》方可上岗作业。

篇5：信息系统安全基本要求

修订说明 工作简要过程 1.1 任务来源

近年来，随着黑客技术的不断发展以及网络非法入侵事件的激增，国内网络安全产品市场也呈现出良好的发展态势，各种品牌的防火墙产品、入侵检测产品等已经达到了相当可观的规模。最近几年，网络脆弱性扫描产品的出现，为网络安全产品厂商提供了一个展现自身技术水平的更高层次舞台，市场上，各种实现脆弱性扫描功能的产品层出不穷，发展迅速，标准《GB/T 20278-2006 信息安全技术 网络脆弱性扫描产品技术要求》已不能满足现在产品的发展需求，另一方面，为了更好地配合等级保护工作的开展，为系统等级保护在产品层面上的具体实施提供依据，需要对该标准进行合理的修订，通过对该标准的修订，将更加全面系统的阐述网络脆弱性扫描产品的安全技术要求，并对其进行合理的分级。本标准编写计划由中国国家标准化管理委员会2010年下达，计划号20101497-T-469，由公安部第三研究所负责制定，具体修订工作由公安部计算机信息系统安全产品质量监督检验中心承担。1.2 参考国内外标准情况

该标准修订过程中，主要参考了：

—GB 17859-1999 计算机信息系统安全保护等级划分准则 —GB/T 20271-2006 信息安全技术 信息系统安全通用技术要求 —GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求

—GB/T 18336.2-2008 信息技术 安全技术 信息技术安全性评估准则 第二部分：安全功能要求 —GB/T 18336.3-2008 信息技术 安全技术 信息技术安全性评估准则 第三部分：安全保证要求 —GA/T 404-2002 信息技术 网络安全漏洞扫描产品技术要求 —GB/T 20278-2006 信息安全技术 网络脆弱性扫描产品技术要求 —GB/T 20280-2006信息安全技术 网络脆弱性扫描产品测试评价方法 —MSTL_JGF_04-017 信息安全技术 主机安全漏洞扫描产品检验规范 1.3 主要工作过程

1）成立修订组

2010年11月在我中心成立了由顾建新具体负责的标准修订组，共由5人组成，包括俞优、顾建新、张笑笑、陆臻、顾健。

2）制定工作计划

修订组首先制定了修订工作计划，并确定了修订组人员例会及时沟通交流工作情况。3）确定修订内容

确定标准主要内容的论据 2.1 修订目标和原则 2.1.1 修订目标

本标准的修订目标是：对网络脆弱性扫描类产品提出产品功能要求、产品自身安全要求以及产品保证要求，使之适用于我国脆弱性扫描产品的研究、开发、测试、评估以及采购。2.1.2 修订原则

为了使我国网络脆弱性扫描产品的开发工作从一开始就与国家标准保持一致，本标准的编写参考了国家有关标准，主要有GA/T 698-2007、GB/T 17859-1999、GB/T 20271-2006、GB/T 22239-2008和GB/T 18336-2008第二、三部分。本标准又要符合我国的实际情况，遵从我国有关法律、法规的规定。具体原则与要求如下：

1）先进性

标准是先进经验的总结，同时也是技术的发展趋势。目前，我国网络脆弱性扫描类产品种类繁多，功能良莠不齐，要制定出先进的信息安全技术标准，必须参考国内外先进技术和标准，吸收其精华，制定出具有先进水平的标准。本标准的编写始终遵循这一原则。

2）实用性

标准必须是可用的，才有实际意义。因此本标准的编写是在对国内外标准的相关技术内容消化、吸收的基础上，结合我国的实际情况，制定出符合我国国情的、可操作性强的标准。

3）兼容性

本标准既要与国际接轨，更要与我国现有的政策、法规、标准、规范等相一致。修订组在对标准起草过程中始终遵循此原则，其内容符合我国已经发布的有关政策、法律和法规。2.2 对网络脆弱性扫描类产品的理解 2.2.1 网络脆弱性扫描产品

脆弱性扫描是一项重要的安全技术，它采用模拟攻击的形式对网络系统组成元素（服务器、工作站、路由器和防火墙等）可能存在的安全漏洞进行逐项检查，根据检查结果提供详细的脆弱性描述和修补方案，形成系统安全性分析报告，从而为网络管理员完善网络系统提供依据。通常，我们将完成脆弱性扫描的软件、硬件或软硬一体的组合称为脆弱性扫描产品。

脆弱性扫描产品的分类

根据工作模式，脆弱性扫描产品分为主机脆弱性扫描产品和网络脆弱性扫描产品。其中前者基于主机，通过在主机系统本地运行代理程序来检测系统脆弱性，例如针对操作系统和数据库的扫描产品。后者基于网络，通过请求/应答方式远程检测目标网络和主机系统的安全脆弱性。例如Satan 和ISS Internet Scanner等。针对检测对象的不同，脆弱性扫描产品还可分为网络扫描产品、操作系统扫描产品、WWW服务扫描产品、数据库扫描产品以及无线网络扫描产品。

这是最基本的TCP扫描。操作系统提供的connect（）系统调用，用来与每一个感兴趣的目标计算机的端口进行连接。如果端口处于侦听状态，那么connect（）就能成功。否则，这个端口是不能用的，即没有提供服务。

FIN+URG+PUSH扫描

向目标主机发送一个FIN、URG和PUSH 分组，根据RFC793，如果目标主机的相应端口是关闭的，那么应该返回一个RST标志。

NULL扫描

通过发送一个没有任何标志位的TCP包，根据RFC793，如果目标主机的相应端口是关闭的，它应该发送回一个RST数据包。

UDP ICMP端口不能到达扫描

在向一个未打开的UDP端口发送一个数据包时，许多主机会返回一个ICMP_PORT_UNREACH 错误。这样就能发现哪个端口是关闭的。UDP和ICMP错误都不保证能到达，因此这种扫描器必须能够重新传输丢失的数据包。这种扫描方法速度很慢，因为RFC对ICMP错误消息的产生速率做了规定。

安全漏洞特征定义

目前，脆弱性扫描产品多数采用基于特征的匹配技术，与基于误用检测技术的入侵检测系统相类似。扫描产品首先通过请求/应答，或通过执行攻击脚本，来搜集目标主机上的信息，然后在获取的信息中寻找漏洞特征库定义的安全漏洞，如果有，则认为安全漏洞存在。可以看到，安全漏洞能否发现很大程度上取决于漏洞特征的定义。

扫描器发现的安全漏洞应该符合国际标准，这是对扫描器的基本要求。但是由于扫描器的开发商大都自行定义标准，使得安全漏洞特征的定义不尽相同。

漏洞特征库通常是在分析网络系统安全漏洞、黑客攻击案例和网络系统安全配置的基础上形成的。对于网络安全漏洞，人们还需要分析其表现形式，检查它在某个连接请求情况下的应答信息；或者通过模式攻击的形式，查看模拟攻击过程中目标的应答信息，从应答信息中提取安全漏洞特征。漏洞特征的定义如同入侵检测系统中对攻击特征的定义，是开发漏洞扫描系统的主要工作，其准确直接关系到漏洞扫描系统性能的好坏。这些漏洞特征，有的存在于单个应答数据包中，有的存在于多个应答数据包中，还有的维持在一个网络连接之中。因此，漏洞特征定义的难度很大，需要反复验证和测试。目前，国内许多漏洞扫描产品直接基于国外的一些源代码进行开发。利用现成的漏洞特征库，使系统的性能基本能够与国外保持同步，省掉不少工作量，但核心内容并不能很好掌握。从长远发展来看，我国需要有自主研究安全漏洞特征库实力的扫描类产品开发商，以掌握漏洞扫描的核心技术。

技术趋势

从最初的专门为UNIX系统编写的具有简单功能的小程序发展到现在，脆弱性扫描系统已经成为能够运行在各种操作系统平台上、具有复杂功能的商业程序。脆弱性扫描产品的发展正呈现出以下趋势。

系统评估愈发重要

目前多数脆弱性扫描产品只能够简单地把各个扫描器测试项的执行结果（目标主机信息、安全漏洞信息和补救建议等）罗列出来提供给测试者，而不对信息进行任何分析处理。少数脆弱性扫描产品能够将扫描结果整理形成报表，依据一些关键词（如IP地址和风险等级等）对扫描结果进行归纳总结，但是仍然没有分析扫描结果，缺乏对网络安全状况的整体评估，也不会提出解决方案。

在系统评估方面，我国的国标已明确提出系统评估分析应包括目标的风险等级评估、同一目标多次扫描形式的趋势分析、多个目标扫描后结果的总体分析、关键脆弱性扫描信息的摘要和主机间的比较分析等等，而不能仅仅将扫描结果进行简单罗列。应该说，脆弱性扫描技术已经对扫描后的评估越来越重视。下一代的脆弱性扫描系统不但能够扫描安全漏洞，还能够智能化地协助管理人员评估网络的安全状况，并给出安全建议。为达这一目的，开发厂商需要在脆弱性扫描产品中集成安全评估专家系统。专家系统应能够从网络安全策略、风险评估、脆弱性评估、脆弱性修补、网络结构和安全体系等多个方面综合对网络系统进行安全评估。

插件技术和专用脚本语言

插件就是信息收集或模拟攻击的脚本，每个插件都封装着一个或者多个漏洞的测试手段。通常，脆弱性扫描产品是借助于主扫描程序通过用插件的方法来执行扫描，通过添加新的插件就可以使扫描产品增加新的功能，扫描更多的脆弱性。如果能够格式化插件的编写规范并予以公布，用户或者第三方就可以自己编写插件来扩展扫描器的功能。插件技术可使扫描产品的结构清晰，升级维护变的相对简单，并具有非常强的扩展性。目前，大多数扫描产品其实已采用了基于插件的技术，但各开发商自行规定接口规范，还没有达到严格的规范水平。

专用脚本语言是一种更高级的插件技术，用户使用专用脚本语言可以大大扩展扫描器的功能。这些脚本语言语法通常比较简单直观，十几行代码就可以定制一个安全漏洞的检测，为扫描器添加新的检测项目。专用脚本语言的使用，简化了编写新插件的编程工作，使扩展扫描产品功能的工作变的更加方便，能够更快跟上安全漏洞出现的速度。

网络拓扑扫描

网络拓扑扫描目前还被大多数扫描器所忽略。随着系统评估的愈发重要，网络拓扑结构正成为安全体系中的一个重要因素。拓扑扫描能够识别网络上的各种设备以及设备的连接关系，能够识别子网或

和增强级两个级别，且与“基本要求”和“通用要求”中的划分没有对应关系，不利于该类产品在系统等级保护推行中产品选择方面的有效对应。《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》的网络安全管理，从第一级就要求“定期进行网络系统漏洞扫描，对发现的网络系统安全漏洞进行及时的修补”，《GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求》中的信息系统安全性检测分析，从第二级开始要求“操作系统安全性检测分析、数据库管理系统安全性检测分析、网络系统安全性检测分析、应用系统安全性检测分析和硬件系统安全性检测分析的要求，运用有关工具，检测所选用和/或开发的操作系统、数据库管理系统、网络系统、应用系统、硬件系统的安全性，并通过对检测结果的分析，按系统审计保护级的要求，对存在的安全问题加以改进。”

本次在对原标准的修订过程中，对于产品本身的安全保护要求，主要参考了GB/T 17859-1999、GB/T 20271-2006、GB/T 18336-2008、GB/T 22239-2008等，以等级保护的思路编写制定了自身安全功能要求和保证要求。对于产品提供服务功能的安全保护能力方面，现阶段是以产品功能强弱以及配合等级保护安全、审计等要素进行分级的。通过对标准意见的不断收集以及修改，将产品提供的功能与等级保护安全要素产生更密切的联系，以便有能力参与到系统等级保护相关要素的保护措施中去。2.2.3 与原标准的区别

1)标准结构更加清晰规范，全文按照产品安全功能要求、自身安全功能要求和安全保证要求三部分进行整理修订，与其他信息安全产品标准的编写结构保持一致。

2）删除原标准中性能部分的要求，将原来有关扫描速度、稳定性和容错性，以及脆弱性发现能力等重新整理，作为功能部分予以要求，同时，考虑到原来对于误报率和漏报滤的模糊描述以及实际测试的操作性较差，删除了这两项内容的要求。

3）对于产品功能要求的逻辑结构进行重新整理，按照信息获取，端口扫描，脆弱性扫描，报告的先后顺序进行修订，使得产品的功能要求在描述上逐步递进，易于读者的理解，并且结合产品的功能强弱进行分级。

4)对于产品的自身安全功能要求和安全保证要求，充分参考了等级保护的要求，对其进行了重新分级，使得该标准在应用时更能有效指导产品的开发和检测，使得产品能更加有效的应用于系统的等级保护工作。

5）将标准名称修改为《信息安全技术 网络脆弱性扫描产品安全技术要求》，增加了“安全”二字，体现出这个标准的内容是规定了产品的安全要求，而非其它电器、尺寸、环境等标准要求。

6）将原标准中“网络脆弱性扫描”的定义修改为“通过网络对目标网络系统安全隐患进行远程探测的过程，它对网络系统进行安全脆弱性检测和分析，从而发现可能被入侵者利用的漏洞，并可以提出一定的防范和补救措施建议。”作为扫描类产品，在发现系统脆弱性的同时，还要求“能够采取一定的准，结合当前国内外网络脆弱性扫描产品的发展情况，系统地描述了产品的功能要求、自身安全要求和保证要求。这些技术是在对国内外现有技术及标准进行吸收、消化的基础上，考虑了我国国情制定的。

本次是对原有国标《GB/T 20278-2006 信息安全技术 网络脆弱性扫描产品技术要求》的修订，在修订过程中，重新整理了内容和结构，结合等级保护的要求重新进行了分级，在内容和结构上趋于完整化、可行化和系统化。4 贯彻标准的要求和实施建议

本标准是对网络脆弱性扫描产品安全技术要求的详细描述，为生产、测试和评估信息过滤产品提供指导性意见。建议将本标准作为国家标准在全国推荐实施。

《信息安全技术 网络脆弱性扫描产品安全技术要求》修订组

篇6：安全检查基本要求

2.每种安全检查都应有明确的检查目的、检查项目、内容及标准。特殊过程、关键部位应重点检查。检查时应尽量采用检测工具，以便收集监测数据。对现场管理人员和操作人员要检查是否有违章指挥和违章作业的行为，还应进行应知应会知识的抽查，以便了解管理人员及操作工人的安全素质。

3.做好检查记录。检查记录是安全评价的依据，要做到认真详细，真实可靠，特别是对隐患的检查记录要具体，如隐患的部位、危险程度及处理意见等。

4.对安全检查的结果要用定性与定量相结合的方法，认真进行系统分析安全评价。哪些检查项目已达标，哪些项目没有达标，哪些方面需要进行改进，哪些问题需要进行整改，受检单位应根据安全检查评价及时制定改进的对策和措施。

5.整改是安全检查工作重要的组成部分，也是检查结果的归宿。

1.安全检查管理制度范本

2.安全工作的基础条件是什么?如何做到规范化?

3.电气安全检查的主要内容是什么

4.安全生产大检查方案

5.安全生产报告怎么写

6.安全大检查工作汇报

7.安全检查企业工作汇报

8.消防安全检查工作汇报

篇7：安全用电的基本要求

１、电池箱、控制箱及电机必须要有可靠接地。

２、从事电器安装调试人员必须持证上岗。

３、电气设备上必须防止危险的静电积聚，或采取专门安全技术手段使其无危害或释放。

４、电器线路应避免尖角、棱以及粗糙的表面造成伤害。

５、电池、电机所连接的导线必须紧固可靠，防止电器及线路发烫而烧坏。

６、不要将电池放在火上或电池加热。

７、如果电池在使用、充电或存储过程中发出异味、过热（请注意电池发热是正常现象）、颜色或形状发生改变或出现其他不正常现象，则应立即停止电池使用。

常用安全电压（４２伏）36v、24v、12v

通过人身的安全直流电流规定在多少以下？(50ma)

低压验电笔一般适用于交、直流电压为（５00）V 以下。

被电击的人能否获救，关键在于能否尽快脱离电源和施行紧急救护

篇8：浅谈信息技术授课的基本要求

《中小学信息技术课程指导纲要 (试行) 》指出:“中学信息技术课的主要任务是培养学生对信息技术的兴趣和意识, 让学生了解和掌握信息技术基本知识和技能。通过信息技术课程使学生具有获取信息、传输信息、处理信息和应用信息的能力及应用能力、创造能力, 培养学生良好的信息素养, 把信息技术作为支持终身学习和合作学习的手段, 为适应信息社会的学习、工作和生活打下必要的基础。”为了更好地完成课程的教学任务, 我们做了如下努力。

一、立足实践, 精选内容, 激发兴趣

当今时代, 知识的总量激增, 更新的速度越来越快, 尤其是现代信息技术飞速发展。在我们上大学的时候还在学习dos命令, 连“因特网”这个词语都没有听说过, 几年的时间过来, 网络和电脑成为老幼皆知的的事物, 电脑操作系统不断更新, 人们对信息技术的需求也越来越多。在信息技术普及的今天, 我们信息技术教师也要立足实践, 精选教学内容, 这样才不至于让我们的学生跑在时代后面, 才能够学以致用。网络世界让好多学生为之着迷, 那绚丽多彩、千变万化的网页真是变幻莫测。那如画的风景、优美的旋律、可爱的动画把很多学生迷住了, 不禁说:“太美了, 如果我能做出这么好的作品, 该多好啊!”为了满足学生的好奇心和求知欲, 帮助学生掌握这项技能, 这个学期我们成立了制作小组, 把网页制作的系统知识进行了深入的讲解, 并引导学生尝试着制作, 极大地调动了学生学习的积极性, 进一步激发了学生对信息技术课的学习兴趣。经过我们的精心指导, 同学间的合作交流, 学生们掌握了利用Potoshop制作图片的技能, 还有很多学生能利用Potoshop和Flash结合制作出动感十足的动画作品。看着自己制作的精美作品, 有个同学非常兴奋地说:“人的潜能是无限的, 关键在于我们肯不肯去挖掘!”通过实践, 学生的自信心得到了增强, 学习的兴趣也更加浓厚了, 知识面也得到了拓展, 更为主要的是学生更加自觉地、积极主动地学习了。

二、发挥学生的主观能动性

我们现在实施素质教育, 要以学生为主体, 发挥每个学生个体的主观能动性, 让学生在自我发展的路上走得更快更远。信息技术课尤为重要, 在电脑教学中, 我们教师尊重教学规律, 尊重学生的个性差异, 因材施教, 积极启发, 充分发挥学生的能动性。在计算机应用教学中我们的目的是解决问题, 事实上, 解决问题的方法是多种多样的, 任课教师要引导学生在解决同一个问题时有不同的解决方案, 解决不同的问题可以用到同一个方案。引导学生努力寻找方法, 不要用教师的经验, 束缚了学生的想象力, 把学生的思维框死在一个胡同。再利用工具软件的作业的时侯, 比如用“画笔”中的图画功能, 我们可以规定学生作业的大致内容, 具体细节需要学生自己去处理。学生可以异想天开自由地去想象, 在作业的同时学生有一种成功的喜悦感, 作业没有完成的也会意犹未尽, 自己主动完成剩余的作业。在这样的即兴训练中我们的任课教师应该及时引导和肯定, 让学生收获成功的喜悦。总之, 我们要以学生为主体, 在计算机教学中教师只是灯塔, 学生才是航船。

三、加强程序设计教学

许多人认为, 现在让我们的中学生编写程序没有任何必要, 只是白费功夫。我不敢苟同。无论是哪一种计算机语言, 都有其极为丰富的内涵, 对于锻炼学生的思维, 培养学生的创新能力, 都有很深远的意义。一个程序看似简单, 可是做起来要费好多心思, 甚至是挫折, 这其中包括设想、画框图、编写程序、调试、修改, 成功的一个循环往复的过程, 在这个过程中我们的教师要及时地进行点拨, 在学生丧失信心时要及时给与鼓励, 让学生体会到“山重水复疑无路, 柳暗花明又一村”的感受。在这种油然而生成就感的激励下, 会大大地激发学生的学习兴趣, 会促进思维能力得到跳跃式的发展;会充分发挥学生的主动性和创造性, 能力得到明显的提高。这不正是我们发展素质教育的真正目的吗?

四、激发学生的创新精神

学生是学习的主人, 教师只是学生学习的合作者、指导者, 在整个教学活动中, 教师的主导作用的目的是让学生更好地发挥主体作用, 因此只有教师导得有新意, 才能迎来学生学得有特色。例如, 在进行XP教学时, 在指导学生掌握了基本的编辑方法后, 对一些修饰性操作, 我们教师就没有必要多加讲解, 面面俱到了, 而要大胆地放手给学生, 让他们自己动手尝试, 适当为学生的自我拓展和提高留下一定的空间。这样学生在实践中摸索体会, 主动求知探索的习惯就会慢慢地养成, 创新精神就会得到不断激发, 创新能力就会得到进一步的提高。

五、注重教学形式的灵活

在信息技术课的教学中我们要具体问题具体分析, 因为信息技术教学不同于别的学科有固定的课堂模式可以遵循, 我们应该以多样的课堂模式来达到我们的预期效果。1.边讲边演示。这种教学模式应该有事先的教学设计和一定的教学设备, 如投影仪、网络教室等。而且这种教学模式适合于软件操作的教学教程, 如Windows、Word等。2.注重实践, 以上机操作为主的教学模式。我们每上一节信息技术理论基础课, 就要以此为基础布置好上机的作业和练习, 让每个学生独立去完成。教师在学生上机操作中发现学生的实践问题, 以待下一节课进行解释说明。3.以网络为主的机房里上课, 对操作性比较强的教学内容教师要在讲解后, 让学生马上上机实践操作。效果较好, 学生掌握很快。4.善于运用计算机辅助教学。借助于CAI和软件嵌于教学过程中, 起到辅助作用。其关键是合适的软件和课件, 比如指法训练和鼠标训练等。教师也可以尝试使用市面上使用的教学演示光盘, 如开天辟地和洪恩等。