第PAGE\*Arabic\*MERGEFORMAT7页共NUMPAGES\*MERGEFORMAT7页海委信息安全等级保护分析1信息系统等级保护信息系统等级保护[1]的发展经历了如下几个阶段。1999年国家发布并于2001年1月1日开始实施《计算机信息系统安全保护等级划分准则》（gb17859）。2003年，中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》，提出实行信息安全等级保护、建立国家信息安全保障体系的明确要求。2004年9月17日，公安部、国家保密局、国家密码管理委员会办公室、国务院信息办下发了《关于信息安全等级保护工作的实施意见》，明确了信息安全等级保护的重要意义、原则、基本内容、工作职责分工、要求和实施计划。2006年1月17日，四部门又下发了《信息安全等级保护管理办法（试行）》，进一步确定职责分工，各司其责。由于信息系统是应社会发展、生活和工作的需求而设计建立的，是社会构成、行政组织体系的反映，因此这种信息系统是分层次和分级别的，而其中的各种系统具有不同的社会和经济价值。系统的基础资源及信息资源的价值大小、用户访问权限大小的区别等级即是信息系统级别的客观体现。信息安全等级保护必须符合客观存在的发展规律，其分级、分区域、分类和分阶段是做好信息安全保护的重要前提。信息安全等级保护根据信息在国家安全、经济建设、人们的工作生活中的重要程度而划分等级。《国家信息化领导小组关于加强信息安全保障工作意见》中明确了建立国家信息安全保障体系的要求，将信息安全等级划分为五级。第一级为用户自主保护级。该级别完全由用户自己来判断如何以及用何种方式对信息资源进行保护。第二级为系统审计保护级。该级别具有更强的自主保护能力，特别具有访问审计能力。用户可以收集安全事件发生的时间、地点、涉及到的人员、时间类型等所有与安全相关的操作都被记录下来，以便当系统发生安全问题时，可以根据审计记录，分析追查事故责任人，以督促所有用户对自己的行为和操作负责。第三级为安全标记保护级。该级别除了第二级的审计保护系统外，它将用户设置为不同的访问权限，通过权限来限制用户的访问范围和行为，从而保护信息安全。第四级为结构化保护级。该级别采用形式化的保护体系，具有很强的抗渗透能力。它将整个保护机制分为关键部分和非关键部分，并采取不同的保证措施，对关键部分强制性地直接控制访问者对访问对象的存取。第五级为访问验证保护级。与前4个级别相比，该级别具有更强的抗渗透能力，保护措施更强硬，同时增加了访问验证功能。该级别负责管理所有访问活动，并对访问对象实行专控，保证信息不被篡改、攻击。2海委信息系统等级保护海委信息化建设起步比较早，但是随着信息化产业的飞速发展病毒传播、网络攻击、数据破坏等安全风险增加。信息安全登记保护相关法规、政策文件、国家标准和公共安全行业标准的出台，为信息安全等级保护工作的开展提供了法律、政策、标准的保障。2009年全国水利信息化工作座谈会“高度重视信息安全和保密，积极预防、综合防范，建立科学完备的技术安全体系和严密规范的安全管理制度，切实保障网络安全、系统运行安全和信息安全”的精神及2010年全国水利信息化工作座谈会关于2012年底前完成安全保护等级三级及以上信息系统的安全防护建设、逐步完善全国各级水利部门信息安全防护体系的要求，加快了水利信息安全整改的步伐。通过2010年海委信息办对海委系统进行的信息安全检查及海委机关信息系统安全评估工作，发现海委信息安全防护体系和管理手段相对落后和匮乏，这就迫切要求进行整改，以保证海委水利信息化稳步健康发展。2013年，海委启动项目建设，完成海委机关与各直属管理局物理安全及网络安全系统建设以及三级信息系统整改工作；2014年度，完成身份认证系统及主机、系统安全建设；2015年，完成安全管理系统建设及三级系统的等级保护测评工作。2.1海委等级保护整改内容海委机关及下属局机关采用1+4模式从政务外网物理安全、网络安全、主机安全、业务系统应用安全、外网数据安全以及安全管理制度5个方面进行整改。2.2海委信息系统现状海委机关申报批复的三级系统3个，二级系统8个。漳卫南局申报三级系统2个，二级系统10个；引滦局申报三级系统2个，二级系统5个；海河下游局申报三级系统2个，二级系统3个；漳河上游局申报三级系统1个，二级系统2个。海委机关数据中心机房基本具备等级保护三级要求，但机房服务器设备数量较多，维护手段形式复杂需要整改。海委直属四局机房的地板、布线、ups供电系统已完全老化，不符合机房要求。海委机关及委属四局的网络均未按照等级保护要求进行分区域防护，缺少安全审计、恶意代码防范等防护措施；主机安全方面缺乏主机安全审计、漏洞扫描等技术手段，仅部署网络防病毒系统，主要通过密码管理、手动升级系统补