河北省質(zhì)量技術(shù)監(jiān)督局信息中心 溫麗云

淺談開(kāi)展質(zhì)監(jiān)信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)的意義與實(shí)踐

河北省質(zhì)量技術(shù)監(jiān)督局信息中心 溫麗云

實(shí)行信息系統(tǒng)等級(jí)保護(hù)意義重大。本文對(duì)開(kāi)展質(zhì)監(jiān)信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)工作的基本原則、測(cè)評(píng)過(guò)程、測(cè)評(píng)結(jié)果進(jìn)行了歸納總結(jié)，對(duì)測(cè)評(píng)發(fā)現(xiàn)的問(wèn)題與不足進(jìn)行了分析研究。實(shí)踐證明，等級(jí)保護(hù)測(cè)評(píng)工作對(duì)全面提升質(zhì)監(jiān)信息化建設(shè)水平具有重要引領(lǐng)推動(dòng)作用。

質(zhì)監(jiān)信息系統(tǒng)；等級(jí)保護(hù)測(cè)評(píng)；基本原則；測(cè)評(píng)過(guò)程；測(cè)評(píng)結(jié)果

1.引言

信息化已成為當(dāng)今世界科技、經(jīng)濟(jì)和社會(huì)發(fā)展的大趨勢(shì)，信息技術(shù)以其高滲透性和高集成性正深刻地影響著人類(lèi)的生活和各類(lèi)經(jīng)濟(jì)活動(dòng)。信息技術(shù)在質(zhì)量技術(shù)監(jiān)督行業(yè)的運(yùn)用實(shí)踐表明，信息化發(fā)展將帶來(lái)標(biāo)準(zhǔn)化、計(jì)量、認(rèn)證認(rèn)可、特種設(shè)備、質(zhì)量信用、產(chǎn)品監(jiān)督、檢驗(yàn)檢測(cè)、執(zhí)法打假等質(zhì)監(jiān)核心業(yè)務(wù)工作效率、監(jiān)管方式、執(zhí)法能力以及服務(wù)水平的整體改進(jìn)和提升。加快信息化建設(shè)步伐，提高質(zhì)監(jiān)信息化水平，是實(shí)現(xiàn)“質(zhì)量強(qiáng)國(guó)”、 開(kāi)創(chuàng)“質(zhì)量時(shí)代”的必經(jīng)之路。

習(xí)近平總書(shū)記指出“網(wǎng)絡(luò)安全和信息化是相輔相成的。安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進(jìn)”，闡述了在信息化的建設(shè)中網(wǎng)絡(luò)安全的意義。而保障國(guó)家網(wǎng)絡(luò)信息安全的基本制度、策略與方法就是開(kāi)展信息安全等級(jí)的等級(jí)保護(hù)工作。開(kāi)展信息安全等級(jí)保護(hù)工作，可以將網(wǎng)絡(luò)信息安全所面臨的威脅和存在的主要問(wèn)題有效的解決，起到了“適度安全、重點(diǎn)保護(hù)”的目的。能夠在開(kāi)展信息化建設(shè)的同時(shí)，有利于部署安全設(shè)施和協(xié)調(diào)同步保障網(wǎng)絡(luò)安全和信息化建設(shè)；有利于對(duì)信息系統(tǒng)安全的建設(shè)和管理兩個(gè)方面提供系統(tǒng)性、針對(duì)性和可行性的指導(dǎo)與服務(wù)，并且能夠有效地將信息安全建設(shè)成本控制到合理范圍內(nèi)；有利于優(yōu)化安全資源配置，構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施，增強(qiáng)網(wǎng)絡(luò)安全防御能力和威懾能力。因此，開(kāi)展信息系統(tǒng)等級(jí)保護(hù)工作意義重大。

2.等級(jí)保護(hù)重要性

2.1 從政策角度看

近年來(lái)，國(guó)家有關(guān)部門(mén)越來(lái)越重視信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和應(yīng)用推進(jìn)工作。國(guó)家先后頒布了多條條例、準(zhǔn)則來(lái)規(guī)范信息安全等級(jí)保護(hù)工作。1994年《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國(guó)務(wù)院第147號(hào)令）。1999年，《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB17859)發(fā)布，國(guó)家對(duì)信息安全等級(jí)保護(hù)工作制定了強(qiáng)制性標(biāo)準(zhǔn)。在《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[200327號(hào)]）明確指出“實(shí)行信息安全等級(jí)保護(hù)。要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級(jí)保護(hù)制度，制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南。” 2008年以來(lái)，相繼發(fā)布了《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239）等涵蓋等級(jí)保護(hù)基本要求、系統(tǒng)定級(jí)、實(shí)施指導(dǎo)、系統(tǒng)備案、建設(shè)整改、測(cè)評(píng)評(píng)估、監(jiān)督檢查各環(huán)節(jié)的系列標(biāo)準(zhǔn)。

2017年6月1日，在網(wǎng)絡(luò)安全歷史上是重要里程碑的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式實(shí)施，《網(wǎng)絡(luò)安全法》第21條明確提出“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”，第31條明確提出“國(guó)家對(duì)公共通信……關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)”。

相關(guān)法律法規(guī)、政策標(biāo)準(zhǔn)的出臺(tái)和實(shí)施，為開(kāi)展質(zhì)監(jiān)信息系統(tǒng)等級(jí)保護(hù)工作提出了依據(jù)和要求，為提升質(zhì)監(jiān)信息化工作水平，尤其是提升網(wǎng)絡(luò)信息安全保障能力奠定了基礎(chǔ)。

2.2 從發(fā)展形勢(shì)看

“十二五”以來(lái)，河北質(zhì)監(jiān)信息化建設(shè)迅速發(fā)展，先后開(kāi)發(fā)建設(shè)了機(jī)關(guān)標(biāo)準(zhǔn)化管理系統(tǒng)、行政許可電子政務(wù)系統(tǒng)、特種設(shè)備綜合管理平臺(tái)、工業(yè)企業(yè)產(chǎn)品質(zhì)量分類(lèi)監(jiān)管及風(fēng)險(xiǎn)預(yù)警系統(tǒng)、行政執(zhí)法信息系統(tǒng)、計(jì)量標(biāo)準(zhǔn)管理系統(tǒng)、標(biāo)準(zhǔn)化綜合信息管理系統(tǒng)等十余套質(zhì)監(jiān)核心業(yè)務(wù)信息化系統(tǒng)?！笆濉逼陂g，河北質(zhì)監(jiān)提出了建設(shè)以開(kāi)展信息資源規(guī)劃、制定標(biāo)準(zhǔn)管控體系、建設(shè)數(shù)據(jù)中心、搭建綜合應(yīng)用平臺(tái)、建設(shè)核心業(yè)務(wù)應(yīng)用系統(tǒng)和建立數(shù)據(jù)分析與決策支持系統(tǒng)等六方面內(nèi)容的河北質(zhì)監(jiān)信息化應(yīng)用體系。隨著信息化業(yè)務(wù)系統(tǒng)和數(shù)據(jù)中心的建設(shè)使用，業(yè)務(wù)信息量的日益增大，系統(tǒng)內(nèi)用戶、社會(huì)公眾和政府管理部門(mén)對(duì)信息化建設(shè)中機(jī)房安全、設(shè)備安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全的建設(shè)、規(guī)范和管理能力有了新的更高的要求。信息化建設(shè)的考量也逐步由以“業(yè)務(wù)系統(tǒng)建設(shè)為主”確定信息化水平，轉(zhuǎn)變?yōu)橐浴熬W(wǎng)絡(luò)信息安全為主”確定信息化水平。這一轉(zhuǎn)變對(duì)開(kāi)展信息系統(tǒng)等級(jí)保護(hù)具有重要的引導(dǎo)和實(shí)踐價(jià)值。

2.3 從工作實(shí)際看

質(zhì)監(jiān)信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)是遵循國(guó)家等級(jí)保護(hù)有關(guān)規(guī)定的要求，對(duì)信息系統(tǒng)安全建設(shè)從技術(shù)和管理兩方面進(jìn)行符合性測(cè)評(píng)，技術(shù)類(lèi)測(cè)評(píng)指標(biāo)包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全，管理類(lèi)測(cè)評(píng)指標(biāo)包括安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理，可以為質(zhì)監(jiān)網(wǎng)絡(luò)信息安全建設(shè)提供一個(gè)綜合、科學(xué)、全面的評(píng)價(jià)結(jié)果和指導(dǎo)建議，對(duì)開(kāi)展實(shí)際工作具有十分重要的意義。

第一，可以幫助單位梳理當(dāng)前到底有哪些應(yīng)用系型、網(wǎng)絡(luò)拓?fù)涫窃鯓拥?，各個(gè)系統(tǒng)由哪些網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備和應(yīng)用組成，同時(shí)理清各個(gè)信息系統(tǒng)安全邊界在哪里；了解清楚系統(tǒng)狀況后，根據(jù)國(guó)家標(biāo)準(zhǔn)，分析系統(tǒng)的安全保護(hù)現(xiàn)狀，找出存在問(wèn)題，提出更合理的信息系統(tǒng)安全規(guī)劃，從而有效提升系統(tǒng)的抗攻擊能力和恢復(fù)能力。

第二，有利于同步建設(shè)、協(xié)調(diào)發(fā)展。我國(guó)信息系統(tǒng)初期建設(shè)存在重建設(shè)、輕安全的問(wèn)題，同時(shí)建設(shè)過(guò)程不規(guī)范、不全面，基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全隱患嚴(yán)重，通過(guò)等級(jí)保護(hù)可以促進(jìn)信息安全建設(shè)和信息化建設(shè)同步發(fā)展。

第三，可以優(yōu)化信息安全資源的配置，包括設(shè)備自身的安全配置和安全硬件的協(xié)調(diào)工作，同時(shí)根據(jù)國(guó)家標(biāo)準(zhǔn)，統(tǒng)一規(guī)范、科學(xué)規(guī)劃、重點(diǎn)突出，從而構(gòu)建系統(tǒng)的立體防御體系。

第四，實(shí)行等級(jí)保護(hù)制度，能夠充分調(diào)動(dòng)國(guó)家、法人和其他組織及公民的積極性，發(fā)揮各方面的作用，增強(qiáng)國(guó)家整體的安全保護(hù)的能力。

3.等級(jí)保護(hù)測(cè)評(píng)

3.1 等級(jí)保護(hù)防護(hù)體系

安全防護(hù)體系包括物理環(huán)境安全、網(wǎng)絡(luò)安全防護(hù)、系統(tǒng)安全防護(hù)和應(yīng)用安全防護(hù)等多個(gè)方面。防護(hù)體系以保護(hù)信息系統(tǒng)為核心，嚴(yán)格參考等級(jí)保護(hù)的思路和標(biāo)準(zhǔn)，從多個(gè)層面進(jìn)行建設(shè)，滿足信息系統(tǒng)在物理層面、網(wǎng)絡(luò)層面、系統(tǒng)層面、應(yīng)用層面和管理層面的安全需求。建成后的安全保障體系將充分符合國(guó)家等級(jí)保護(hù)標(biāo)準(zhǔn)，能夠?yàn)楸締挝恍畔⑾到y(tǒng)穩(wěn)定運(yùn)行提供有力保障。

根據(jù)《信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)技術(shù)方案設(shè)計(jì)規(guī)范》，信息安全等級(jí)保護(hù)解決方案在總體架構(gòu)上須按照分域、分級(jí)的原則進(jìn)行規(guī)劃和設(shè)計(jì)，本規(guī)劃參考IATF信息安全技術(shù)框架縱深防御體系以及《信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)技術(shù)方案設(shè)計(jì)規(guī)范》“一個(gè)中心、三重防護(hù)”思想，將信息系統(tǒng)從結(jié)構(gòu)上劃分為不同的安全區(qū)域，各個(gè)安全區(qū)域內(nèi)部的網(wǎng)絡(luò)設(shè)備、服務(wù)器、終端、應(yīng)用系統(tǒng)形成單獨(dú)的計(jì)算環(huán)境、各個(gè)安全區(qū)域之間的訪問(wèn)形成邊界、各個(gè)安全區(qū)域之間的連接鏈路和網(wǎng)絡(luò)設(shè)備構(gòu)成了網(wǎng)絡(luò)基礎(chǔ)設(shè)施。因此方案架構(gòu)設(shè)計(jì)將從保護(hù)計(jì)算環(huán)境、保護(hù)邊界、保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施三個(gè)層面進(jìn)行設(shè)計(jì)，應(yīng)制定整體安全策略，對(duì)安全薄弱環(huán)節(jié)預(yù)先保護(hù)，對(duì)安全事件能夠?qū)崟r(shí)監(jiān)控，并能針對(duì)遭受到的威脅進(jìn)行實(shí)時(shí)響應(yīng)，保證信息的安全和系統(tǒng)連續(xù)正常的運(yùn)行。

具體體系防護(hù)策略有：

3.1.1 合理劃分區(qū)域、域間互通管控：應(yīng)根據(jù)系統(tǒng)或設(shè)備所處的物理位置、功能特性、網(wǎng)絡(luò)拓?fù)涞葎澐职踩?，區(qū)域之間要形成數(shù)據(jù)流互通和管控策略；外聯(lián)接入?yún)^(qū)和重要區(qū)域（服務(wù)器區(qū)）前段應(yīng)部署安全設(shè)備，保護(hù)內(nèi)部重要計(jì)算資源。

3.1.2 計(jì)算機(jī)安全方面：采用主機(jī)加固、加強(qiáng)安全配置等措施，部署防病毒軟件、運(yùn)維審計(jì)系統(tǒng)、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)、SSL卸載產(chǎn)品，建立服務(wù)器備份、異地容災(zāi)。

3.1.3 邊界安全控制：外聯(lián)邊界部署下一代防火墻、入侵防御系統(tǒng)、防惡意代碼網(wǎng)關(guān)、上網(wǎng)行為管理系統(tǒng)，重要區(qū)域前部署下一代防火墻，應(yīng)用服務(wù)器區(qū)域前部署WEB應(yīng)用防火墻，內(nèi)外網(wǎng)交互邊界部署網(wǎng)閘設(shè)備等。

3.1.4 通訊網(wǎng)絡(luò)安全：網(wǎng)絡(luò)拓?fù)洳捎脧椥约軜?gòu)，網(wǎng)絡(luò)設(shè)備自身采用部件冗余技術(shù)，終端設(shè)備做好準(zhǔn)入和非法外聯(lián)控制，對(duì)外發(fā)布系統(tǒng)與內(nèi)部數(shù)據(jù)交互采用VPN等加密技術(shù)，網(wǎng)絡(luò)內(nèi)部做好流量和用戶行為監(jiān)控，核心旁路部署入侵檢測(cè)設(shè)備等。

3.1.5 安全管理中心：部署日志審計(jì)系統(tǒng)、IT運(yùn)維管理系統(tǒng)、漏洞掃描系統(tǒng)、安全管理平臺(tái)、堡壘機(jī)等安全管理系統(tǒng)。

3.1.6 物理環(huán)境安全：物理基礎(chǔ)建設(shè)完善，做好避雷措施，做好機(jī)房訪問(wèn)控制，部署空調(diào)、視頻監(jiān)控、紅外入侵報(bào)警系統(tǒng)、火災(zāi)自動(dòng)滅火系統(tǒng)、防靜電地板、UPS和備用供電設(shè)備、動(dòng)力環(huán)境設(shè)備等設(shè)施。

總之通過(guò)設(shè)備部署、安全加固配置和應(yīng)用軟件開(kāi)發(fā)安全多種方式互為補(bǔ)充，最終滿足第三級(jí)系統(tǒng)應(yīng)的安全防護(hù)要求。

3.2 等級(jí)劃分

依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（GB/T22240-2008），按照自主保護(hù)、重點(diǎn)保護(hù)、同步建設(shè)和動(dòng)態(tài)調(diào)整的原則，并結(jié)合工作實(shí)際，將機(jī)關(guān)標(biāo)準(zhǔn)化管理系統(tǒng)、行政許可電子政務(wù)系統(tǒng)和門(mén)戶網(wǎng)站的安全保護(hù)等級(jí)確定為三級(jí)，對(duì)其進(jìn)行等級(jí)保護(hù)測(cè)評(píng)。

3.3 測(cè)評(píng)過(guò)程

河北賽克普泰計(jì)算機(jī)咨詢服務(wù)有限公司受委托于2016年1月至2017年5月對(duì)河北省質(zhì)量技術(shù)監(jiān)督局機(jī)關(guān)標(biāo)準(zhǔn)化管理系統(tǒng)、行政許可電子政務(wù)系統(tǒng)和門(mén)戶網(wǎng)站進(jìn)行了系統(tǒng)安全等級(jí)測(cè)評(píng)工作。通過(guò)靜態(tài)評(píng)估、現(xiàn)場(chǎng)測(cè)試、綜合評(píng)估等相關(guān)環(huán)節(jié)和階段，從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全與備份恢復(fù)、安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理十個(gè)方面對(duì)系統(tǒng)進(jìn)行了綜合測(cè)評(píng)。

測(cè)評(píng)范圍涵蓋了被測(cè)系統(tǒng)的主機(jī)房、網(wǎng)絡(luò)設(shè)備和安全設(shè)備、服務(wù)器、數(shù)據(jù)備份與恢復(fù)、管理制度、管理機(jī)構(gòu)、人員配備、系統(tǒng)建設(shè)、系統(tǒng)運(yùn)維。

3.4 測(cè)評(píng)結(jié)果

通過(guò)對(duì)信息系統(tǒng)按照國(guó)家基本要求規(guī)范進(jìn)行合規(guī)性安全保護(hù)狀態(tài)的分析，測(cè)評(píng)結(jié)論認(rèn)為：被測(cè)系統(tǒng)面臨著部分安全威脅，但質(zhì)監(jiān)局均采取了相應(yīng)的安全機(jī)制，基本達(dá)到保護(hù)信息系統(tǒng)重要資產(chǎn)的作用。測(cè)評(píng)結(jié)論為基本符合。標(biāo)準(zhǔn)化管理系統(tǒng)、行政許可電子政務(wù)系統(tǒng)和門(mén)戶網(wǎng)綜合得分分別為82.90、82.90和81.70。

3.5 問(wèn)題與不足

本次測(cè)評(píng)在肯定了現(xiàn)有安全機(jī)制的同時(shí)，仍發(fā)現(xiàn)了許多問(wèn)題與不足，為今后有針對(duì)性地部署安全防護(hù)策略，進(jìn)一步提升安全防護(hù)能力明確了方向。主要體現(xiàn)在：

物理環(huán)境方面：機(jī)房?jī)?nèi)未安裝防盜報(bào)警設(shè)施，沒(méi)有配備類(lèi)似發(fā)電機(jī)的備用供電系統(tǒng)，未配備具有電磁屏蔽功能的機(jī)柜。

網(wǎng)絡(luò)安全方面：重要網(wǎng)段未采取技術(shù)手段防止地址欺騙；未采用其他雙因子鑒別技術(shù)進(jìn)行身份鑒別，增加了鑒別信息或管理信息被網(wǎng)絡(luò)截取進(jìn)行攻擊的風(fēng)險(xiǎn)。

主機(jī)安全方面：訪問(wèn)控制方面，操作系統(tǒng)未修改默認(rèn)用戶名，沒(méi)有采取措施對(duì)重要信息資源設(shè)置敏感標(biāo)記；入侵防范方面，未使用第三方工具對(duì)重要程序完整性進(jìn)行檢測(cè)。

應(yīng)用安全方面：在通信保密性和完整性方面，系統(tǒng)未提供完善的通信加密和完整性驗(yàn)證功能；在資源控制方面，系統(tǒng)未對(duì)超時(shí)響應(yīng)時(shí)間、資源分配、系統(tǒng)服務(wù)水平等方面采取控制措施。

數(shù)據(jù)安全方面：未實(shí)現(xiàn)傳輸線路、網(wǎng)絡(luò)拓?fù)浜完P(guān)鍵網(wǎng)絡(luò)設(shè)備以及服務(wù)器等數(shù)據(jù)處理系統(tǒng)的硬件冗余；未講異地備份措施落到實(shí)處，無(wú)法保證將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場(chǎng)地。

安全管理機(jī)構(gòu)方面：未聘請(qǐng)信息安全領(lǐng)域的專家作為單位長(zhǎng)期的規(guī)劃顧問(wèn)；現(xiàn)實(shí)建設(shè)中一些專業(yè)性的指導(dǎo)規(guī)劃未能有效應(yīng)用；安全檢查制度不完善，不利于提高安全管理制度的執(zhí)行力。

人員安全管理方面：關(guān)鍵崗位人員未簽署崗位安全協(xié)議，可能導(dǎo)致人員保密意識(shí)淡薄，造成泄密事件；未對(duì)安全教育和培訓(xùn)情況進(jìn)行記錄并歸檔保存，可能導(dǎo)致安全教育和培訓(xùn)情況無(wú)法有效掌握。

系統(tǒng)建設(shè)管理方面：未對(duì)系統(tǒng)開(kāi)發(fā)軟件源代碼進(jìn)行源代碼安全審查，對(duì)于軟件中可能存在的后門(mén)不能及時(shí)發(fā)現(xiàn)；缺少對(duì)工程過(guò)程的控制和人員行為準(zhǔn)則的規(guī)定，存在工程實(shí)施過(guò)程不規(guī)范、控制內(nèi)容不夠全面，對(duì)組織的信息系統(tǒng)安全穩(wěn)定運(yùn)行造成風(fēng)險(xiǎn)。

系統(tǒng)運(yùn)維管理方面：訪問(wèn)控制策略不完善，可能導(dǎo)致用戶訪問(wèn)權(quán)限過(guò)大，出現(xiàn)未經(jīng)授權(quán)訪問(wèn)的風(fēng)險(xiǎn)；未保存運(yùn)維培訓(xùn)記錄，應(yīng)急預(yù)案不完善，可能給信息系統(tǒng)造成較嚴(yán)重的風(fēng)險(xiǎn)。

4.結(jié)論

實(shí)行信息系統(tǒng)等級(jí)保護(hù)意義重大。本文對(duì)開(kāi)展質(zhì)監(jiān)信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)工作的基本原則、測(cè)評(píng)過(guò)程、測(cè)評(píng)結(jié)果進(jìn)行了歸納總結(jié)，對(duì)測(cè)評(píng)發(fā)現(xiàn)的問(wèn)題與不足進(jìn)行了分析研究。實(shí)踐證明，等級(jí)保護(hù)測(cè)評(píng)工作對(duì)全面提升質(zhì)監(jiān)信息化建設(shè)水平具有重要引領(lǐng)推動(dòng)作用。

溫麗云（1976-），女，河北省質(zhì)量技術(shù)監(jiān)督局信息中心高級(jí)工程師，理學(xué)碩士，長(zhǎng)期從事質(zhì)量管理、質(zhì)監(jiān)信息化發(fā)展規(guī)劃與應(yīng)用工作。