探討三級(jí)信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)的安全防護(hù)措施

◆張 茜

探討三級(jí)信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)的安全防護(hù)措施

◆張 茜

（北京京航計(jì)算通訊研究所 北京 100071）

社會(huì)的進(jìn)一步發(fā)展，促使我國(guó)進(jìn)入信息時(shí)代，信息也成了社會(huì)的重要資源。三級(jí)信息安全等級(jí)保護(hù)是對(duì)信息的一種保護(hù)手段。本文立足于信息安全角度，分析了三級(jí)信息安全的保護(hù)標(biāo)準(zhǔn)，研究了相關(guān)的安全措施，希望可以促進(jìn)我國(guó)信息安全防護(hù)工作的開展。

物理安全；信息系統(tǒng)；信息安全；等級(jí)保護(hù)；防護(hù)措施

0 引言

信息時(shí)代下，我國(guó)法律明確規(guī)定重要信息系統(tǒng)需要經(jīng)過(guò)相關(guān)機(jī)構(gòu)進(jìn)行等級(jí)評(píng)定，其中三級(jí)信息安全等級(jí)為一種較高的保護(hù)標(biāo)準(zhǔn)?，F(xiàn)階段我國(guó)相關(guān)人員對(duì)于該等級(jí)標(biāo)準(zhǔn)的應(yīng)用與保護(hù)措施研究仍然處于初級(jí)階段，無(wú)法促使其真正發(fā)揮作用。因此，對(duì)三級(jí)信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)的安全防護(hù)措施研究有鮮明現(xiàn)實(shí)意義。

1 信息系統(tǒng)安全等級(jí)保護(hù)標(biāo)準(zhǔn)

對(duì)于信息系統(tǒng)的安全等級(jí)而言，國(guó)家相關(guān)標(biāo)準(zhǔn)有三十幾個(gè)，其中較為常見(jiàn)且比較重要的有以下幾種：信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)、實(shí)施、劃分內(nèi)容；信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)、通用技術(shù)等要求；信息系統(tǒng)安全、工程管理內(nèi)容；信息系統(tǒng)安全保護(hù)測(cè)評(píng)以及測(cè)評(píng)指南等內(nèi)容。

本文所研究的三級(jí)信息系統(tǒng)安全保護(hù)等級(jí)，往往被稱作為標(biāo)記保護(hù)等級(jí)，在具體規(guī)范中要求計(jì)算機(jī)信息系統(tǒng)具有系統(tǒng)審計(jì)保護(hù)級(jí)的所有功能，還需提供有關(guān)安全策略模型、數(shù)據(jù)標(biāo)記以及主體對(duì)客體強(qiáng)制訪問(wèn)控制的非形式化描述，具有準(zhǔn)確地標(biāo)記輸出信息的能力。三級(jí)信息系統(tǒng)應(yīng)具備的基本安全保護(hù)能力是：信息系統(tǒng)應(yīng)能夠在統(tǒng)一安全策略下免遭來(lái)自外部有目的的惡意組織發(fā)起的惡意攻擊，對(duì)危害性較大的自然災(zāi)害，以及其他較嚴(yán)重威脅所造成的主要資源損害，能夠及時(shí)發(fā)現(xiàn)安全隱患、短時(shí)間內(nèi)恢復(fù)絕大部分功能。

2 三級(jí)信息系統(tǒng)安全保護(hù)等級(jí)的安全防護(hù)措施

2.1 安全管理

為了促使三級(jí)信息系統(tǒng)可以在日常作業(yè)中發(fā)揮作用，并且信息不會(huì)泄露，首先需要做好相關(guān)設(shè)備的安全管理，如果信息載體發(fā)生故障，信息安全則無(wú)法發(fā)揮作用，具備的管理內(nèi)容可以分為以下幾個(gè)方面：①應(yīng)該在日常工作中建立有效的安全管理機(jī)制，明確設(shè)備使用、設(shè)備運(yùn)維等多個(gè)崗位的具體職責(zé)，對(duì)于信息設(shè)備的存放地，應(yīng)該配備有專門的看管人員，并且根據(jù)企業(yè)內(nèi)部相關(guān)章程，要做好設(shè)備定期巡檢。②信息系統(tǒng)在實(shí)際建設(shè)過(guò)程中，不能一邊開發(fā)一邊測(cè)試，在建設(shè)完成進(jìn)行上線處理之前，應(yīng)該聯(lián)合第三方質(zhì)檢單位進(jìn)行系統(tǒng)運(yùn)行質(zhì)量以及運(yùn)行安全的檢測(cè)，并且檢測(cè)之后的結(jié)果應(yīng)該以報(bào)告的形式呈現(xiàn)。③系統(tǒng)相關(guān)設(shè)備應(yīng)用做好日常運(yùn)維檢修工作，保證任何時(shí)候設(shè)備都可以進(jìn)行高效運(yùn)轉(zhuǎn)。并且在運(yùn)維過(guò)程中，出入機(jī)房的維修人員需要進(jìn)行登記，具體記錄清楚運(yùn)維人員姓名、部門、直屬上級(jí)、工作內(nèi)容、運(yùn)維時(shí)間、結(jié)束時(shí)間等。應(yīng)用到的相關(guān)介質(zhì)需要進(jìn)行本地存儲(chǔ)以及備用異地存儲(chǔ)，并且定期進(jìn)行程序復(fù)檢以及恢復(fù)作業(yè)，保證應(yīng)用介質(zhì)可以長(zhǎng)期有效。④安全管理工作中，還需要針對(duì)網(wǎng)站的應(yīng)用建立一套具有針對(duì)性的規(guī)章制度，制度中需要明確規(guī)定各個(gè)部門相關(guān)職責(zé)，網(wǎng)站的日常更新以及信息傳遞等工作需要按照之前規(guī)定的操作流程進(jìn)行。⑤需要安排專職的人員對(duì)網(wǎng)站安全進(jìn)行定期維護(hù)，同時(shí)應(yīng)該對(duì)技術(shù)類人員進(jìn)行定期考核以及培訓(xùn)，不斷增強(qiáng)安全管理團(tuán)隊(duì)的綜合的素質(zhì)。

2.2 物理安全管理

在系統(tǒng)的物理安全管理中，主要是對(duì)外部環(huán)境進(jìn)行合理的規(guī)劃，具體內(nèi)容可以從以下幾個(gè)方面實(shí)現(xiàn)：①系統(tǒng)機(jī)房當(dāng)中應(yīng)該安裝有防盜警報(bào)系統(tǒng)。②機(jī)房的使用需要進(jìn)行合理調(diào)度，出入其中的人員應(yīng)該進(jìn)行登記。③設(shè)備的物理訪問(wèn)需要具有審批。④機(jī)房?jī)?nèi)部應(yīng)該進(jìn)行合理的功能區(qū)劃分，并且按照不同功能區(qū)的特點(diǎn)進(jìn)行管理。⑤系統(tǒng)內(nèi)部為了保證信息安全，應(yīng)該建立聯(lián)網(wǎng)報(bào)警、自動(dòng)銷毀等功能[1]。⑥外部管理過(guò)程中應(yīng)該采用冗余配置方法，保證發(fā)生故障之后，可以在第一時(shí)間進(jìn)行維修，提升信息安全系數(shù)。

2.3 網(wǎng)絡(luò)安全及硬件產(chǎn)品選擇

信息系統(tǒng)的建立必定會(huì)考慮到內(nèi)部網(wǎng)絡(luò)環(huán)境安全，該方面的安全管理主要從以下幾個(gè)方面實(shí)現(xiàn)：一方面，網(wǎng)絡(luò)環(huán)境中應(yīng)該配置有安全審計(jì)功能，目的是為了保證在進(jìn)行重要網(wǎng)絡(luò)操作過(guò)程之前，可以對(duì)網(wǎng)路行為進(jìn)行分析；一方面，網(wǎng)絡(luò)應(yīng)用過(guò)程的中應(yīng)該采用IP/MAC地址綁定的方法進(jìn)行安全管理，同時(shí)對(duì)于網(wǎng)絡(luò)使用中存在的惡意代碼內(nèi)容應(yīng)該進(jìn)行防控，人員在進(jìn)行設(shè)備登錄時(shí)，網(wǎng)絡(luò)系統(tǒng)需要具備信息識(shí)別措施，并且識(shí)別措施最少為兩種。另一方面，相關(guān)設(shè)備的登錄密碼需要進(jìn)行定期更換，系統(tǒng)內(nèi)部應(yīng)該擁有準(zhǔn)入、出機(jī)制的管理軟件。

硬件設(shè)備是信息系統(tǒng)的基礎(chǔ)所在，雖然在日常工作中對(duì)于信息的瀏覽以及傳遞主要依賴于系統(tǒng)內(nèi)部的軟件，但是沒(méi)有硬件設(shè)備，軟件也就沒(méi)有了載體。對(duì)于硬件設(shè)備的選擇需要從多個(gè)角度進(jìn)行分析：一方面，內(nèi)部應(yīng)用到的硬件設(shè)備需要具有自主知識(shí)產(chǎn)權(quán)，這樣硬件設(shè)備的質(zhì)量才可以有一個(gè)良好的保證。另一方面，硬件設(shè)備應(yīng)用過(guò)程中應(yīng)該具有鮮明的穩(wěn)定性以及可靠性。

2.4 主機(jī)安全

信息系統(tǒng)的主機(jī)相當(dāng)于人類的大腦，對(duì)于信息安全以及系統(tǒng)正常運(yùn)行有著重要意義。主機(jī)的安全管理可以從以下幾個(gè)方面進(jìn)行論述：首先，主機(jī)內(nèi)部應(yīng)該設(shè)置有身份鑒別功能，并且至少需要應(yīng)用兩種鑒別方法。其次，主機(jī)應(yīng)該根據(jù)不同賬戶的實(shí)際工作需求進(jìn)行使用權(quán)限的劃分，并且劃分原則應(yīng)該是業(yè)務(wù)正常進(jìn)行所需要的最小權(quán)限。最后，對(duì)于已經(jīng)不存在的業(yè)務(wù)需要進(jìn)行刪除，而且過(guò)期賬戶也需要進(jìn)行刪除，長(zhǎng)時(shí)間不進(jìn)行應(yīng)用端口需要關(guān)閉。

2.5 應(yīng)用軟件安全

除去信息系統(tǒng)的硬件以及主機(jī)安全之外，信息軟件的安全管理十分重要，因?yàn)樵谛畔⑾到y(tǒng)發(fā)揮作用時(shí)，幾乎所有指令都需要經(jīng)由軟件實(shí)現(xiàn)。對(duì)于該方面內(nèi)容的安全管理工作可以從以下角度實(shí)現(xiàn)：①網(wǎng)站的使用者身份信息應(yīng)該具有兩種以上鑒別方式，常見(jiàn)的鑒別方法有網(wǎng)絡(luò)證書鑒別、動(dòng)態(tài)口令鑒別以及UKey等方法。并且，網(wǎng)絡(luò)的登錄密碼長(zhǎng)度應(yīng)該具有一定的限制，通常情況下會(huì)被規(guī)定為8位數(shù)字+字母，同時(shí)系統(tǒng)還需要對(duì)密碼進(jìn)行定期更換提醒。當(dāng)多次登錄失敗之后，需要對(duì)賬戶進(jìn)行限制，進(jìn)一步降低密碼猜測(cè)以及暴力破解等問(wèn)題的發(fā)生。②系統(tǒng)內(nèi)部應(yīng)該具有針對(duì)性的審計(jì)功能，并且審計(jì)功能需要覆蓋所有用戶。例如在實(shí)際應(yīng)用過(guò)程中對(duì)管理員增加用戶以及刪除用戶行為進(jìn)行審計(jì)，同時(shí)內(nèi)部審計(jì)所產(chǎn)生的審計(jì)行為以及審計(jì)記錄需要具有準(zhǔn)確性與不可修改性，可以在階段性審計(jì)完成之后自動(dòng)生成審計(jì)報(bào)表等內(nèi)容[2]。③信息數(shù)據(jù)在網(wǎng)絡(luò)環(huán)境下進(jìn)行傳輸時(shí)，需要對(duì)其進(jìn)行合理的加密，保證信息數(shù)據(jù)的安全以及完整性，并且系統(tǒng)內(nèi)部需要具有數(shù)據(jù)原發(fā)證據(jù)和接收證據(jù)的功能，同時(shí)無(wú)論是數(shù)據(jù)的人機(jī)接口或者是通信接口都應(yīng)該具有數(shù)據(jù)格式以及長(zhǎng)度的限制，防止網(wǎng)絡(luò)中其他無(wú)效的信息進(jìn)入到系統(tǒng)中，危害系統(tǒng)安全。④系統(tǒng)內(nèi)部需要對(duì)應(yīng)用到的文件格式以及大小進(jìn)行設(shè)置，進(jìn)一步增強(qiáng)系統(tǒng)對(duì)于信息內(nèi)容的處理能力，當(dāng)網(wǎng)絡(luò)環(huán)境出現(xiàn)異常，需要將網(wǎng)頁(yè)直接定義在錯(cuò)誤頁(yè)面。并且還需要應(yīng)用監(jiān)控手段，對(duì)設(shè)備應(yīng)用主機(jī)、CPU以及內(nèi)存等進(jìn)行多方位監(jiān)督。

3 結(jié)論

綜上所述，三級(jí)信息安全標(biāo)準(zhǔn)的確立需要從多個(gè)角度進(jìn)行綜合分析，并且應(yīng)該立足于信息系統(tǒng)管理、信息系硬件設(shè)備、信息系統(tǒng)軟件等諸多方面進(jìn)行完善，希望本文以上研究?jī)?nèi)容可以為現(xiàn)階段的網(wǎng)站建設(shè)提供一定參考，特別是對(duì)于已經(jīng)測(cè)評(píng)為三級(jí)信息的企業(yè)單位而言，可以在網(wǎng)站建立、設(shè)備運(yùn)維等方面提供必要幫助。

[1]武美茹,張冉,梁建姝,鄧永梅.基于信息系統(tǒng)的三級(jí)審核模式對(duì)改善腦卒中風(fēng)險(xiǎn)表單評(píng)估準(zhǔn)確性的研究[J].護(hù)士進(jìn)修雜志, 2019,34(03):203-206.

[2]李軍偉,程詠梅,陳克喆.基于三級(jí)多源信息融合結(jié)構(gòu)的SINS性能測(cè)試綜合評(píng)估算法[J].中國(guó)慣性技術(shù)學(xué)報(bào), 2014,22(02):177-184.