公司信息系統(tǒng)安全等級保護(hù)技術(shù)規(guī)劃設(shè)計(jì)

◆羅 柱

(湖北省仙桃市煙草公司 湖北 433099)

公司信息系統(tǒng)安全等級保護(hù)技術(shù)規(guī)劃設(shè)計(jì)

◆羅 柱

(湖北省仙桃市煙草公司 湖北 433099)

隨著信息技術(shù)的不斷發(fā)展，信息系統(tǒng)也成為了公司運(yùn)營發(fā)展中的重要部分。為了進(jìn)一步實(shí)現(xiàn)信息系統(tǒng)的安全性與有效性，需要建設(shè)公司信息系統(tǒng)安全等級保護(hù)體系，以完善的保護(hù)技術(shù)去促進(jìn)公司信息安全，實(shí)現(xiàn)社會秩序的穩(wěn)定。本文將針對公司信息系統(tǒng)安全等級保護(hù)技術(shù)規(guī)劃設(shè)計(jì)這一課題進(jìn)行具體分析，從而提出合理的規(guī)劃與建議。

信息系統(tǒng)；保護(hù)技術(shù)；安全等級

0 引言

在公司信息系統(tǒng)安全等級保護(hù)技術(shù)規(guī)劃設(shè)計(jì)的過程之中，主要需要完成以下幾個部分：除了規(guī)定好安全等級之外，也需要根據(jù)公司的實(shí)際運(yùn)行狀況進(jìn)行安全風(fēng)險評估，然后結(jié)合安全技術(shù)進(jìn)行方案的設(shè)計(jì)，最終經(jīng)過驗(yàn)證實(shí)現(xiàn)技術(shù)規(guī)劃設(shè)計(jì)的合格性以及有效性。本文將以公司信息系統(tǒng)安全等級保護(hù)技術(shù)規(guī)劃設(shè)計(jì)進(jìn)行的重要性為著手點(diǎn)，針對目前公司信息系統(tǒng)應(yīng)用的實(shí)際需求，從而提出加強(qiáng)公司信息系統(tǒng)安全等級保護(hù)設(shè)計(jì)的具體措施。

1 公司進(jìn)行信息系統(tǒng)安全等級保護(hù)技術(shù)規(guī)劃設(shè)計(jì)的重要意義

隨著信息時代的到來，公司企業(yè)在運(yùn)營過程之中很大程度都要依靠計(jì)算機(jī)以及信息網(wǎng)絡(luò)，所以穩(wěn)定的信息系統(tǒng)能夠給予公司企業(yè)更大的發(fā)展動力，避免因?yàn)榫W(wǎng)絡(luò)安全保護(hù)工作沒能夠落實(shí)到位，而致使的信息泄露以及財(cái)產(chǎn)損失問題。

同樣加強(qiáng)信息系統(tǒng)的安全保護(hù)也是國家發(fā)展的需要，我國針對目前的網(wǎng)絡(luò)發(fā)展現(xiàn)狀頒布了《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，強(qiáng)調(diào)了安全保護(hù)工作對于我國整體計(jì)算機(jī)信息系統(tǒng)的重要意義，能夠以較為完善的監(jiān)督與保護(hù)管理工作，來實(shí)現(xiàn)對于網(wǎng)絡(luò)違法犯罪行為的打擊，并且有效維護(hù)社會秩序。另外國家也針對我國目前所實(shí)行的安全保護(hù)進(jìn)行了相應(yīng)的等級劃分，實(shí)現(xiàn)了等級劃分準(zhǔn)則，促進(jìn)了安全等級保護(hù)技術(shù)的制度化以及規(guī)范化，相關(guān)的國家標(biāo)準(zhǔn)文件有《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》、《信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)則》、《信息系統(tǒng)安全保護(hù)等級定制指南》[1]等。所以綜合來看促進(jìn)公司信息系統(tǒng)安全等級保護(hù)技術(shù)規(guī)劃設(shè)計(jì)不僅僅是公司企業(yè)自身的發(fā)展需求，同時也是響應(yīng)國家發(fā)展政策、實(shí)現(xiàn)信息技術(shù)管理規(guī)范化、制度化的具體體現(xiàn)。公司必須要在正確認(rèn)識加強(qiáng)信息系統(tǒng)安全等級保護(hù)技術(shù)規(guī)劃設(shè)計(jì)重要性的基礎(chǔ)之上，針對目前的發(fā)展需求，從而進(jìn)行相應(yīng)的改善與規(guī)劃，只有這樣才能夠?qū)崿F(xiàn)公司的網(wǎng)絡(luò)信息系統(tǒng)安全，促進(jìn)公司的整體進(jìn)步與整體發(fā)展。

2 加強(qiáng)公司信息系統(tǒng)安全等級保護(hù)技術(shù)規(guī)劃設(shè)計(jì)的具體措施

2.1 明確公司信息系統(tǒng)安全等級

在實(shí)現(xiàn)對于公司信息系統(tǒng)安全等級保護(hù)技術(shù)規(guī)劃設(shè)計(jì)的過程之中，首先就需要明確公司信息安全等級，事實(shí)上在等級的劃分上，國家有較為明確的評價標(biāo)準(zhǔn)[2]，而具體的劃分標(biāo)準(zhǔn)與安全等級的保護(hù)辦法是應(yīng)該由公安部門以及相關(guān)單位進(jìn)行規(guī)范與設(shè)立，但是信息技術(shù)公司也需要參考目前的國家所給予的等級指導(dǎo)，針對實(shí)際運(yùn)用需求，建立完善的安全等級體系。所以在常規(guī)意義上來說會將安全級別劃分成三個級別。第三級的安全技術(shù)要求較高，除了需要從根本上保護(hù)數(shù)據(jù)與網(wǎng)絡(luò)安全之外，也需要在二級系統(tǒng)的基礎(chǔ)之上再增加相應(yīng)的安全要求，比如耳機(jī)系統(tǒng)中對于硬件破壞以及環(huán)境安全方面還不能夠?qū)崿F(xiàn)完全的保護(hù)，但是三級系統(tǒng)已經(jīng)能夠?qū)崿F(xiàn)防盜、防破壞等相應(yīng)的保護(hù)行為，既能夠保護(hù)主機(jī)安全，同時也可以加強(qiáng)對于主機(jī)的安全保護(hù)以及實(shí)際應(yīng)用的安全保護(hù)。一旦發(fā)生破壞行為能夠主動預(yù)警，沒有得到及時的處理的基礎(chǔ)之上，還會進(jìn)行報警。

2.2 明確公司信息系統(tǒng)的安全技術(shù)框架

安全技術(shù)框架是安全技術(shù)設(shè)計(jì)的具體體現(xiàn)，能夠?qū)拘畔⑾到y(tǒng)安全等級保護(hù)技術(shù)進(jìn)行優(yōu)化與補(bǔ)充，并且對于公司的發(fā)展起到相應(yīng)的發(fā)展與引導(dǎo)的作用。除了二級系統(tǒng)中已經(jīng)具備的設(shè)計(jì)內(nèi)容之外，還需要進(jìn)行相應(yīng)的補(bǔ)充以及調(diào)整，比如說數(shù)據(jù)安全防護(hù)、應(yīng)用安全防護(hù)、主機(jī)安全防護(hù)、物理安全防護(hù)等[3]，最后利用綜合的安全管理中心進(jìn)行安全管理工作，實(shí)現(xiàn)系統(tǒng)、審計(jì)、安全方面的整體管理。另外安全技術(shù)框架的設(shè)計(jì)之中也要細(xì)化設(shè)計(jì)細(xì)節(jié)，比如想要加強(qiáng)主機(jī)安全防護(hù)就可以通過安全審計(jì)以及入侵防范行為進(jìn)行加固，比如說設(shè)置網(wǎng)絡(luò)安全審計(jì)系統(tǒng)、業(yè)務(wù)審計(jì)系統(tǒng)以及日志審計(jì)系統(tǒng)之外，還可以去裝載防病毒軟件、防病毒網(wǎng)關(guān)以及防火墻[4]，這些都能夠?qū)崿F(xiàn)網(wǎng)絡(luò)的訪問控制，實(shí)現(xiàn)對于應(yīng)用與整體信息系統(tǒng)的安全性。

2.3 明確公司信息系統(tǒng)安全等級保護(hù)的保護(hù)范圍

公司信息系統(tǒng)在進(jìn)行安全等級保護(hù)設(shè)計(jì)的過程之中主要涉及四個保護(hù)范圍，網(wǎng)絡(luò)的互聯(lián)范圍內(nèi)，以相應(yīng)的數(shù)據(jù)設(shè)備為數(shù)據(jù)傳輸載體進(jìn)行相應(yīng)的接入主機(jī)行為、還有安全服務(wù)域以及對于信息系統(tǒng)的后續(xù)安全管理與安全監(jiān)督。這是公司信息系統(tǒng)安全等級保護(hù)技術(shù)規(guī)劃設(shè)計(jì)之中所涉及的四個領(lǐng)域，在不同的領(lǐng)域范圍內(nèi)有不同的保護(hù)內(nèi)容以及保護(hù)需求。比如說安全接入域中物理終端在實(shí)現(xiàn)方位的過程之中，必須建立相對明確的保護(hù)邊界，從而實(shí)現(xiàn)安全等級的一致性，以此加強(qiáng)對于其安全保護(hù)工作。另外在安全管理內(nèi)容上，不能夠僅僅以軟件系統(tǒng)作為唯一的公司信息系統(tǒng)的保護(hù)工具，而是應(yīng)該將監(jiān)控與管理有機(jī)結(jié)合起來，實(shí)現(xiàn)對于公司信息系統(tǒng)的動態(tài)化全面化的相應(yīng)保證。比如說對于病毒進(jìn)行相應(yīng)的監(jiān)控以及非法入侵行為的監(jiān)控等，還可以完善安全體系中的不同管理部分，比如可以設(shè)立管理平臺以及認(rèn)證平臺等[5]，都能夠促進(jìn)公司信息系統(tǒng)安全等級保護(hù)范圍的完善。

2.4 明確公司信息系統(tǒng)中可能存在的危險來源

想要實(shí)現(xiàn)對于公司安全信息系統(tǒng)的整體設(shè)計(jì)，就需要從根本上明確設(shè)計(jì)需求和信息系統(tǒng)的安全發(fā)展要求，影響公司信息系統(tǒng)安全的主要因素有內(nèi)部攻擊因素、分發(fā)攻擊因素等，一些威脅的主要來源很可能是由于數(shù)據(jù)保存不當(dāng)而致使網(wǎng)絡(luò)通信數(shù)據(jù)被截取、被監(jiān)聽或者一些敏感信息被盜取等，還有因?yàn)橄到y(tǒng)故障或者病毒軟件入侵，造成不良軟件安裝之后形成主機(jī)控制權(quán)的剝奪，還有一些攻擊病毒能夠?qū)崿F(xiàn)自身的偽裝性，進(jìn)一步進(jìn)行參數(shù)的更改，實(shí)現(xiàn)數(shù)據(jù)的肆意獲取、更改系統(tǒng)的代碼等。但同時還有另一種安全風(fēng)險是來自于硬件設(shè)施，信息系統(tǒng)的物質(zhì)載體是計(jì)算機(jī)等，如果設(shè)備和線路產(chǎn)生了毀壞，或者因?yàn)楸O(jiān)管不當(dāng)而直接進(jìn)行數(shù)據(jù)輸入輸出，登錄密碼被不法分子看到，會更為直接地產(chǎn)生危險后果[6]，給予他人更多非法入侵的相應(yīng)途徑。所以無論是系統(tǒng)內(nèi)部的攻擊與破壞，還是物理方面的損壞與破壞都能夠給予公司信息系統(tǒng)響應(yīng)的危險，從而使得企業(yè)公司的信息系統(tǒng)遭到破壞，使企業(yè)運(yùn)營造成影響等。

3 結(jié)語

在公司信息系統(tǒng)安全等級保護(hù)技術(shù)規(guī)劃設(shè)計(jì)過程之中，我們需要正確認(rèn)識公司信息系統(tǒng)安全等級保護(hù)技術(shù)規(guī)劃設(shè)計(jì)的重要作用，針對目前社會對于信息系統(tǒng)安全的實(shí)際需求，通過明確公司信息系統(tǒng)安全等級、公司信息系統(tǒng)的安全技術(shù)框架、公司信息系統(tǒng)安全等級保護(hù)的保護(hù)范圍、公司信息系統(tǒng)中可能存在的危險來源等多種方式，實(shí)現(xiàn)對于公司信息系統(tǒng)安全等級保護(hù)技術(shù)規(guī)劃的相應(yīng)設(shè)計(jì)。

[1]靳英伯．信息安全等級保護(hù)模型評測平臺的設(shè)計(jì)與實(shí)現(xiàn)[D]．山東大學(xué)，2015．

[2]陸勤．基于信息安全管理模型的高校信息系統(tǒng)管理平臺研發(fā)[D]．上海交通大學(xué)，2014．

[3]姚洪磊，張彥．鐵路信息安全等級保護(hù)技術(shù)體系規(guī)劃與設(shè)計(jì)研究[J]．警察技術(shù)，2014．

[4]姚德益．基于等級保護(hù)的銀行核心網(wǎng)絡(luò)系統(tǒng)安全防護(hù)體系的研究與設(shè)計(jì)[D]．東華大學(xué)，2014．

[5]劉太洪．大秦公司信息系統(tǒng)安全等級保護(hù)技術(shù)規(guī)劃設(shè)計(jì)[D]．河北工業(yè)大學(xué)，2014．

[6]龔雷．應(yīng)用安全透明支撐平臺體系結(jié)構(gòu)與模型研究[D]．解放軍信息工程大學(xué)，2013．