企業信息系統的網絡安全等級保護研究報告

摘? 要：開展網絡安全等級保護工作不僅是實現國家對重要信息系統重點保護的重要措施，也是一項事關國家安全、社會穩定的政治任務。企業信息系統是企業信息化建設、企業信息開放與保護、企業信息開發與利用的 “大腦”和“神經中樞”。企業信息系統的網絡安全關系到企業的職能及效益和國家的戰略安全，影響社會秩序、民眾正常生活。本文分析了當下企業信息系統網絡安全方面的態勢，其所面臨的威脅因素以及企業信息系統進行等級保護測評的重要性，并根據在日常工作中的經驗，歸納總結了開展網絡安全等級保護工作的流程和注意事項。

關鍵詞：企業信息系統;網絡安全;等級保護;測評流程

一、什么是企業信息系統

企業信息系統泛指用于企業的各種信息系統，諸如管理信息系統或決策支持系統、專家系統、各種泛ERP系統或客戶關系管理、人力資源管理這樣的專職化系統等。從不同的角度來觀察信息系統有不同的概念結構。從信息系統的作用觀點來看，它由四個主要部件構成：信息源、信息處理器、信息用戶和信息管理者。從信息系統對信息的處理過程來看，信息系統可以看成是由輸入、處理和輸出這三個基本的行為部件構成的。信息系統收集企業內部和外部環境相關的原始數據，經過適當處理后變成有用的信息輸出，輸出的信息提供給信息使用者和反饋給信息輸入端。信息提供給用戶，用于進行輔助決策或解決工作當中的有關問題;反饋給輸入端可以參與對輸人數據的評價，修正數據輸入階段出現的問題。從信息系統對信息的處理內容及決策層次來看，信息系統可以看成一個金字塔式的結構。

二、什么是網絡安全

在2016年4月19日召開的網絡安全和信息化工作座談會上強調，維護網絡安全“要樹立正確的網絡安全觀”。所謂網絡安全觀，是人們對網絡安全這一重大問題的基本觀點和看法。網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。網絡安全，通常指計算機網絡的安全，實際上也可以指計算機通信網絡的安全。廣義的網絡安全是指網絡系統的硬件、軟件及其系統中的信息受到保護。其中的信息安全需求，是指通信網絡給人們提供信息查詢、網絡服務時，保證服務對象的信息不受監聽、竊取和篡改等威脅，以滿足人們最基本的安全需要（如隱秘性、可用性等）的特性。網絡安全側重于網絡傳輸的安全，信息安全側重于信息自身的安全，網絡安全可以分為以下幾個常見類別：

（一）網絡安全是一種保護計算機網絡免受入侵者（無論是定向攻擊還是條件惡意軟件）攻擊的技術。

（二）應用程序安全側重于保護軟件和設備免受威脅。受到侵害的應用程序可能會對其旨在保護的數據提供訪問權限。并且早在應用程序設計階段而非部署程序或設備之前，就決定了此應用程序能否成功保障安全。

（三）信息安全設計用于在存儲和傳輸過程中保護數據的完整和私密。

（四）運營安全包括處理和保護數據資產的過程和決策。用戶在訪問網絡時所具有的權限與確定存儲或共享數據的時間和位置的步驟均包含在此保護傘下。

（五）災難恢復和業務連續性定義了組織如何應對網絡安全事件或任何其它導致運營或數據損失的事件。災難恢復策略規定了組織如何恢復其運營和信息，以恢復到事件發生之前的等同運營能力。業務連續性指組織在沒有某些資源的情況下嘗試運營時所依靠的計劃。

（六）最終用戶教育解決了最不可預測的網絡安全因素：人。任何人都可能因未遵循良好的安全實踐而意外將病毒引入到其他安全系統中。因此，教會用戶刪除可疑電子郵件附件、不要插入未識別的USB驅動器，以及其他各種重要的課程對于所有組織的安全都至關重要。

三、企業信息系統網絡安全面臨的威脅因素

由于網絡技術的不斷發展，計算機已經成為一個完全開放的、不受控制的網絡系統。目前，網絡所面臨的安全威脅因素主要有病毒攻擊、黑客攻擊和拒絕服務攻擊。在互聯網中，經常會有黑客嘗試各種方式侵入計算機系統，然后盜取計算機中的機密文件和數據或者直接破壞重要信息，使計算機無法正常運行，直至癱瘓。結合企業計算機網絡系統的實際運行情況，深入分析了企業所面臨的網絡安全威脅，主要包括以下幾個方面：

（一）互聯網病毒攻擊。網絡蠕蟲類病毒的流行給網民造成了巨大損失。隨著我國互聯網技術的高速發展，在互聯網環境下，病毒可以很容易進行傳播，并且傳播速度非?？?，病毒可以通過文件或者郵件附件的形式進行傳播，給網民帶來極大的影響。病毒的高效傳播，不僅導致計算機無法正常使用，還將使計算機丟失重要的數據和文件，甚至導致計算機系統癱瘓。

（二）外來入侵情況。企業內部的網絡與互聯網進行連接，雖然網絡中部署了防火墻設置，但是由于沒有其他的安全防范措施，還是比較容易受到網絡上黑客的攻擊。使用補丁，操作系統程序中包含的驅動程序和系統服務可以升級，并實現動態連接，對黑客來說這是一種簡便的方法，也是制造計算機病毒的溫床。除此之外，黑客還經常使用操作系統提供的遠程服務和無密碼入口作為入侵通道。

（三）來自內部人員的威脅。任何網絡系統都離不開人的控制和管理，網絡內部人員的威脅一方面是來自于對企業心生怨憤的內部員工的惡意破壞，企業內部員工特別是有一定權限的管理人員，可以直接接觸到核心服務器等關鍵設備，從而破壞企業內部網絡，會造成嚴重后果。另一方面則是內部員工的操作不規范，或是為了貪圖方便繞過網絡中的安全系統等違規操作，從而給網絡帶來各種威脅和潛在隱患。

四、企業信息系統網絡安全態勢

隨著企業上網的迅猛發展，企業信息安全問題變得尤為重要，因為企業信息安全問題直接關系到企業的生存與發展，確保企業信息安全、以便企業不受損失應該成為各級企業用戶的共識?，F在許多企業沒有意識到互聯網的易受攻擊性，盲目相信國外的加密軟件，對于系統的訪問權限和密鑰缺乏有力度的管理。這樣的系統一旦受到攻擊將十分脆弱，其中的機密數據得不到應有的保護。天災，也叫“不可抗力”的災難，通常指水火無情的自然災害，而在科技越來越發達的今天，企業可能要面臨另一種“天災”，那就是——信息安全威脅。下圖1為企業信息安全隱患餅狀圖，從圖中可以看出如今網絡安全對企業信息系統造成極大威脅。

據調查，目前國內90%的網站存在安全問題，其主要原因是企業管理者缺少或沒有安全意識。某些企業網絡管理員甚至認為其公司規模較小，不會成為黑客的攻擊目標，如此態度，企業信息安全更是無從談起。

五、近年來發生的企業信息系統網絡安全事件

互聯網的應用越來越廣泛，各行業也紛紛建立了信息系統，但是由于受到網絡開放性的影響，容易導致網絡受到攻擊威脅，一旦信息系統被破壞，就會造成嚴重信息流失。一方面會影響到企業信息安全，另一方面會導致嚴重的經濟損失。以下是近年來的一些企業信息系統的網絡安全事件的回顧：

（一）2020年2月，亞馬遜網絡服務（AWS）成為大規模分布式拒絕服務（DDoS）攻擊的目標。該公司經歷并緩解了DDoS攻擊，其規模為每秒2.3兆比特（Tbps）。它的數據包轉發速率為293.1 Mpps，每秒請求速率為694201（rps）。DDoS攻擊在一周內造成了三天的威脅加劇，被認為是歷史上最大的DDoS攻擊之一。

（二）2020年3月19日，，有用戶發現5.38億條微博用戶信息在暗網出售，其中，1.72億條有賬戶基本信息，售價0.177比特幣。涉及到的賬號信息包括用戶ID、賬號發布的微博數、粉絲數、關注數、性別、地理位置等。

（三）2020年4月，世界衛生組織發表聲明稱疫情期間遭受網絡攻擊數量急劇增加，約有450個世衛組織及數千名相關工作人員的郵箱、密碼遭到泄露。據外媒報道，和世衛組織的數據一起泄露的，還有美國國立衛生研究院，美國疾病預防控制中心，蓋茨基金會等機構的數據，共計近25000對郵箱和密碼。

（四）2020年7月，Cybernews研究人員發現上海孝信網絡的一個含有幾十萬用戶數據的數據庫存在安全問題。上海孝信網絡科技有限公司，運用互聯網+科技養老的新理念，致力于提高中國2億老人居家養老的生活質量，為老年人提供不同的app和服務。這個數據庫中含有超過34萬條的GPS位置信息、個人ID、手機號、地址、 用戶親屬和監護人的姓名和手機號、GPS位置、哈希的口令等敏感信息記錄。

（五）2020年3月，萬豪連鎖酒店披露了一起安全漏洞，影響了520多萬的酒店客人的數據。黑客獲得了萬豪員工兩個賬戶的登錄憑證，這些員工獲得了萬豪連鎖酒店客戶信息。大約在漏洞被發現前一個月，他們利用這些信息竊取了數據。被竊取的數據涉及個人詳細信息，如姓名、生日、電話號碼、旅行信息和忠誠計劃信息。

根據Marriot的說法，黑客可能通過偽造證書或網絡釣魚獲得了他們員工的證書。此前，這家酒店巨頭曾宣布在2018年底發生數據泄露事件，多達5億名客人受到影響！

由上述安全事件可以看出，信息系統的網絡安全關系到國家和企業的戰略安全，影響社會秩序、民眾正常生活。

六、企業信息系統進行網絡安全等級保護的重要性

網絡安全等級保護是指對網絡（含信息系統、數據）實施分等級保護、分等級監管、對網絡中使用的網絡安全產品實行按等級管理，對網絡中發生的安全事件分等級響應、處置。其中“網絡”是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統，包括網絡設施、信息系統、數據資源等。開展網絡安全等級保護工作不僅是實現國家對重要信息系統重點保護的重要措施，也是一項事關國家安全、社會穩定的政治任務。

對于企業來說，實施信息安全等級保護測評能夠有效地提高單位信息和信息系統安全建設的整體水平，與國家安全保持一致，有效控制企業信息安全建設成本;有利于明確國家、法人和其他組織、公民的信息安全責任，加強企業信息安全管理。

對于信息系統來說，通過等級保護測評可及時發現信息系統安全狀況并制定方案進行整改，當信息系統完全達到安全保護能力要求時，信息系統就基本可做到“進不來、拿不走、改不了、看不懂、跑不了、可審計、打不垮”。

七、企業信息系統開展網絡安全等級保護工作的依據

在企業信息系統的網絡安全等級保護工作中，涉及到主要的依據為：

《中華人民共和國網絡安全法》

《計算機信息系統安全保護等級劃分準則》（GB17859-1999）

《信息安全技術網絡安全等級保護實施指南》（GB/T25058-2019）

《信息安全技術網絡安全等級保護定級指南》（GB/T22240-2020）

《信息安全技術網絡安全等級保護基本要求》（GB/T22239-2019）

《信息安全技術網絡安全等級保護設計技術要求》（GB/T250702019）

《信息安全技術網絡安全等級保護測評要求》（GB/T28448-2019）

《信息安全技術網絡安全等級保護測評過程指南》（GB/T284492018）

八、網絡安全等級保護工作流程

網絡安全等級保護工作的五個規定基本動作為“定級、備案、安全建設整改、等級測評、監督檢查”，如圖2所示。

（一）定級：確認定級對象，參考《定級指南》等初步確認等級，組織專家評審，主管單位審核，公安機關備案審查。

（二）備案：持定級報告和備案表等材料到公安機關網安部門進行備案。

（三）安全建設整改：以《基本要求》中對應等級的要求為標準，對定級對象當前不滿足要求的進行建設整改。

（四）等級測評：委托具備測評資質的測評機構對定級對象進行等級測評，形成正式的測評報告。

（五）監督檢查：向當地公安機關網安部門提交測評報告，配合完成對網絡安全等級保護實施情況的檢查。

九、定級

《保護條例》在定級階段新增要求，第二級以上必須經過專家評審、行業主管部門核準?？缡』蛘呷珖y一聯網由行業主管部門統一擬定安全保護等級，統一組織定級評審。

定級是等級保護工作的首要環節，是開展信息系統建設、整改、測評、備案、監督檢查等后續工作的重要基礎。信息系統安全級別定不準，系統建設、整改、備案、等級測評等后續工作都失去了針對性。

根據《信息安全等級保護管理辦法》中的規定，信息系統的安全保護等級應當根據信息系統的國家安全、經濟建設、社會生活中的重要程度，信息系統遭到破壞后，對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危險程度等因素確定。

《保護條例》第十六條規定，網絡運營者應當在規劃設計階段確定網絡的安全保護等級。意味著系統使用前須先定級。定級的流程見圖3所示：

（一）確定定級對象

作為定級對象的系統信息應具有如下基本特征：①具有確定的主要安全責任體;②承載相對獨立的業務應用;③包含相互關聯的多個資源。

為了達到各級的安全保護能力要求，國家等級保護基本安全要求提出了技術要求和管理要求兩大類，涵蓋了安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理十個方面的內容。

（二）確定等級保護對象受到破壞時所侵害的客體和侵害的程度

決定信息系統的安全保護等級由兩個定級要素組成：①等級保護對象受到破壞時所侵害的客體;②對客體造成侵害的程度。

客體包括以下三方面：

1、公民、法人和其他組織的合法權益。影響公民、法人和其他組織的合法權益是指由法律確認的并受法律保護的公民、法人和其他組織所享有的一定的社會權利和利益。

2、社會秩序、公共利益。侵害社會秩序、公共利益的事項包括以下方面：①影響國家機關社會管理和公共服務的工作秩序;②影響各種類型的經濟活動按秩序;③影響各行業的科研、生產秩序;④影響各行業的科研、生產秩序;⑤影響公眾在法律約束和道德規范下的正常生活秩序等;⑥其他影響社會秩序的事項侵害公共利益的事項包括以下方面：①影響社會成員使用公共設施;②影響社會成員獲取公開信息資源;③影響社會成員授受公共服務等方面;④其他影響公共利益的事項

3、國家安全。侵害國家安全的事項包括以下方面：①影響國家政權穩固和國防實力;②影響國家統一、民族團結和社會安定影響國家對外活動中的政治、經濟利益;③影響國家重要的安全保衛工作;④影響國家經濟競爭力和科技實力;⑤其他影響國家安全的事項確定作為定級對象的企業信息系統受到破壞后所侵害的客體時，應首先判斷是否侵害國家安全，然后判斷是否侵害社會秩序或公眾利益，最后判斷是否侵害公民、法人和其他組織的合法權益。（三）確定安全保護等級等級保護對象受到破壞后對客體造成侵害的程度歸結為以下三種：①造成一般損害;②造成嚴重損害;③造成特別嚴重損害。

十、企業信息管理系統受破壞后產生的危害后果

企業信息管理系統受破壞后，可能產生以下危害后果：企業內部職工隱私泄露、企業客戶隱私泄露、影響企業各部門工作職能降低業務能力、引起法律糾紛、導致財務損失、對社會秩序和公共利益造成損害、對國家安全造成損害。

十一、網絡安全等級保護備案辦理流程

（一）定級

企業信息管理系統的等級保護定級常定級為第二級或第三級。第二級以上網絡運營者在定級、撤銷或者變更調整網絡安全保護等級時，需在10個工作日內到縣級以上公安機關備案。

一般備案需準備以下材料：①信息系統安全等級保護備案表;②信息系統安全等級保護定級報告;③信息系統安全保護等級專家評審意見;④主管部門審核批準信息系統安全保護等級的意見。

三級系統還需提供以下材料（部分地方要求二級系統也需要提供）：①系統拓撲結構及說明;②系統安全組織機構和管理制度;③系統安全保護設施設計實施方案或改建實施方案;④系統使用的信息安全產品清單及其認證、銷售許可證明。

（二）審核

由公安機關對備案材料進行審核，并在10個工作日內出具網絡安全等級保護備案證明。發現不符合有關標準的，應當在收到備案材料之日起的10個工作日內通知備案單位予以糾正;發現定級不準的，應當在收到備案材料之日起的10個工作日內通知備案單位重新審核確定。

（三）安全建設整改

新建的信息系統需根據其安全保護等級的相應基本要求，結合其特殊安全需求，自項目立項之初，同步開展安全建設方案規劃設計和系統集成實施工作。

已有信息系統需根據等級測評結果，結合其特殊安全需求，有針對性的從安全通信網絡、安全區域邊界、安全計算環境和安全管理中心等方面進行安全技術整改實施工作。

建設整改工作是網絡安全等級保護制度的核心和落腳點，定級備案、等級測評和監督檢查最終都要服從和服務于建設整改工作。

安全建設整改是為了保證當建立新的企業信息管理系統時，能讓系統在滿足自身需求的同時，保障系統的安全保護能力，使系統達到相應等級的基本保護水平。

企業在開展安全技術建設整改之前，通過開展安全保護技術現狀分析，查找等級保護對象安全保護技術建設整改需要解決的問題，明確其安全保護技術建設整改的需求;遵從“一個中心、三重防護”的安全架構（其中，“一個中心”即安全管理中心，“三重防護”指的是安全計算環境、安全區域邊界、安全通信網絡），設計信息系統的安全建設方案，保證安全措施同步規劃、同步建設、同步使用。實際工作中，應該秉承“三分技術、七分管理”的理念，設計建設方案時需要將技術措施和管理措施有機結合，建立信息系統綜合防護體系，提高信息系統整體安全保護能力。安全管理是指在信息系統中對需要人員參與的活動采取必要的管理控制措施，對信息系統的生命周期全過程實施科學管理。安全技術主要通過在信息系統中合理部署軟硬件并正確配置其安全功能實現。

等級保護上的管理分為“安全管理制度”、“安全管理機構”、“安全管理人員”、“安全建設管理”、“安全運維管理”五個方面。

安全管理制度：是指確定安全管理策略，制定安全管理制度。確定安全管理目標和安全策略，針對信息系統的各類管理活動，制定人員安全管理制度、系統建設管理制度、系統運維管理制度、定期檢查制度等，規范安全管理人員或操作人員的操作規程等，形成安全管理體系。

安全管理機構：主要是要設立或明確信息安全領導機構，明確主管領導，落實責任部門，建立崗位和人員管理制度，明確每個崗位的職責與任務，落實安全管理責任制。

安全管理人員：是指加強人員的安全管理。規范人員錄用、離崗過程，關鍵崗位簽署保密協議，對各類人員進行安全意識教育、崗位技術培訓和相關安全技術培訓，對關鍵崗位的人員進行全面、嚴格的安全審查和技術考核。對外部人員允許訪問的區域、系統、設備、信息等進行控制。

安全建設管理：是指加強系統建設過程的管理。制定系統建設相關的管理制度，明確系統定級、備案、方案設計、產品采購使用、軟件開發、工程實施、驗收交付、等級測評、安全服務等內容的管理責任部門，具體管理內容和控制方法，并按照管理制度落實各項管理措施。

安全運維管理：是指加強系統運維過程的管理。制定系統運維相關的管理制度，明確環境管理、資產管理、介質管理、設備管理、監控管理、網絡安全管理、系統安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理等內容的管理責任部門、具體管理內容和控制方法，并按照管理制度落實各項管理措施

GBT22239-2019《信息安全技術網絡安全等級保護基本要求》中劃分為安全通用要求和安全擴展要求。其中《GB/T 22239-2019》相較于《GB/T 22239-2008》， 無論是在總體結構方面還是在細節內容方面均發生了變化?！禛B/T 22239-2019》采用安全通用要求和安全擴展要求的劃分使得標準的使用更加具有靈活性和針對性。不同等級保護對象由于采用的信息技術不同， 所采用的保護措施也會不同。安全通用要求針對共性化保護需求提出， 無論等級保護對象以何種形式出現， 需要根據安全保護等級實現相應級別的安全通用要求。安全擴展要求針對個性化保護需求提出， 等級保護對象需要根據安全保護等級、使用的特定技術或特定的應用場景實現安全擴展要求。等級保護對象的安全保護措施需要同時實現安全通用要求和安全擴展要求， 從而更加有效地保護等級保護對象。例如， 傳統的信息系統可能只需要采用安全通用要求提出的保護措施即可， 而云計算平臺不僅需要采用安全通用要求提出的保護措施， 還要針對云計算平臺的技術特點采用云計算安全擴展要求提出的保護措施

（四）等級測評

新建二級系統上線前按照相關標準進行安全性測試。

新建三級以上系統上線前優先進行等保測評，通過等級測評后方可投入運行。第三級以上系統每年進行一次等保測評。要求運營單位每年進行一次自查，并向備案的公安機關報告。三級網絡每年做等保測評可以看做一次自查。對二級網絡來說，可能需要每年向公安機關提交一份自查報告。

測評目的：一是掌握信息系統安全狀態、排查系統安全隱患和薄弱環節、明確信息系統安全建設整改需求;二是能夠衡量出信息系統安全保護措施是否符合等級保護基本要求，是否具備了相應等級的安全保護能力。

在取得網絡安全等級保護備案證明后，選擇具有國家或行業認可資質的第三方測評機構對系統進行等級測評。等級保護測評圍繞著技術要求和管理要求兩個大類進行測評。

測評機構的工作流程

①項目啟動，與客戶溝通，收集系統基本信息，確定測評范圍;②進場后與運營單位開項目啟動會議，明確現場測評的工作計劃并落實配合人員信息;③現場測評，通過工具測試、問卷調查、人員訪談、現場查看等方式進行數據采集;④整理現場采集的數據，采集的記錄由配合測評的工作人員確認簽字;⑤對采集數據進行初步分析，對照測評標準量化系統現狀與標準的差距;⑥與運營單位開結項會，匯報在現場測評工作中發現的問題;⑦對采集數據進行綜合分析，根據評估模型得到評估結果，提出合理的整改建議，完成測評報告的編寫、報告評審等工作。

在進行測評時，也存在一定的風險，由于企業信息系統的特殊性，數據傳輸、信息處理的實時性要求高，業務需要一直持續，不能中斷服務，不可預料的中斷會造成經濟損失或者災難。在進行等保測評中與傳統的IT系統的風險有所不同，有一些特殊的方面需要引起注意：

使用在線的漏洞掃描方式有可能導致數據采集服務器宕機，從而造成關鍵生產數據丟失。而在滲透測試的過程中，如果滲透人員對企業的信息管理系統了解不足，進行了誤操作，那么很可能將測試變成了攻擊。因此評估設備在使用過程中，需要做好充分的風險識別和處置預案，如漏洞掃描原則上不能直接應用于信息管理系統，而是通過在備用系統或者停產系統上漏掃的方式進行。同時，對于一些重要、尤其是核心基礎設施的企業信息管理系統，打補丁、軟件版本更新必須慎之又慎，最好能在備用系統上先做測試，確保補丁及更新不會對系統產生不良影響后再在正在運行的系統中進行相應的操作！

（五）測評結論

根據現場采集的數據，參照測評標準，得出各個測評項的得分情況，經過特定的公式進行加權計算，得出被測系統的綜合得分，并根據表X得出其測評結論

綜合得分計算公式：

q為被測對象涉及的安全類，p（j）為某安全類對應的總測評項數，不含不適用的測評項，m（k）為測評項k對應的測評對象數，0.5為部分符合測評項的得分，如果存在高風險安全問題則直接判定等級測評結論為“差”。

（六）監督檢查

公安、保密、密碼部門對運營使用單位和主管部門開展等級保護工作進行監督、檢查、指導，對重要信息系統安全負監管責任。對故意將信息系統安全級別定低逃避公安、保密、密碼部門監管造成信息系統出現重大安全事故的要追究單位和人員的責任。

結語

企業信息系統的網絡安全防護和保護是一個極其復雜的系統工程，需要從軟件、硬件、網絡以及人員管理、制度規范等多方面同時著手，做好等級保護等級測評工作，找出企業信息系統的安全現狀與系統所屬等級的安全基線的差距點，制定妥善的整改方案，并落實整改措施，提高系統的安全防護能力，才能真正有效的對企業的關鍵設施和關鍵信息安全進行保護，保障企業的職能與效益，進一步鞏固國家的經濟戰略安全等。

參考文獻

[1]GBT22239-2019《信息安全技術網絡安全等級保護基本要求》

[2]GBT28448-2019《信息安全技術網絡安全等級保護測評要求》

[3]劉謙.基于企業環境的網絡安全分析[J].現代工業經濟和信息化，2021，11（12）：107-108+133.

[4]余琪，劉趁，王輝，劉飛.企業信息系統數據安全研究[J].信息技術與信息化，2021（08）：211-214.

[5]張宗安.淺談企業信息系統的發展及趨勢[J].計算機與網絡，2021，47（11）：46.

作者簡介：鄭紹林（1992.03），男，漢族，廣東興寧人，本科學歷，研究方向：網絡安全