◆楊晨柳 方 安 朱 峰 王 蕾

（中國醫(yī)學(xué)科學(xué)院醫(yī)學(xué)信息研究所 北京 100020）

信息網(wǎng)絡(luò)技術(shù)與傳統(tǒng)領(lǐng)域的融合帶來新的發(fā)展契機，與此同時，其引起的網(wǎng)絡(luò)安全問題也日趨嚴峻。瑞星在《2018年中國網(wǎng)絡(luò)安全報告》[1]中指出，2018年瑞星“云安全”系統(tǒng)共截獲病毒樣本總量7，786萬個，病毒感染次數(shù)11.25億次，病毒總體數(shù)量比2017年同期上漲55.63%。同時，由于利益驅(qū)使，更多犯罪分子將注意力投入到挖礦病毒與勒索病毒領(lǐng)域，病毒與殺毒軟件的對抗越發(fā)激烈，攻擊者持續(xù)更新迭代病毒，導(dǎo)致病毒數(shù)量急劇增長。

信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置?；谛畔⑾到y(tǒng)的安全建設(shè)工作主要涉及物理、網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)、管理等多方面內(nèi)容。

隨著互聯(lián)網(wǎng)技術(shù)及其應(yīng)用的發(fā)展，信息系統(tǒng)面臨的安全威脅和風(fēng)險愈發(fā)嚴重，我國已發(fā)布相關(guān)法律法規(guī)，不斷強化信息安全等級保護。2017年1月，工信部印發(fā)《信息通信網(wǎng)絡(luò)與信息安全規(guī)劃（2016－2020）》[2]，提出重點從建立網(wǎng)絡(luò)數(shù)據(jù)安全管理體系、強化用戶個人信息保護、建立完善數(shù)據(jù)與個人信息泄露公告和報告機制三個方面大力強化網(wǎng)絡(luò)數(shù)據(jù)和用戶信息保護。同年6月1日，《中華人民共和國網(wǎng)絡(luò)安全法》正式施行，該法律明確規(guī)定網(wǎng)絡(luò)空間主權(quán)的原則、網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者的安全義務(wù)、網(wǎng)絡(luò)運營者的安全義務(wù)，進一步完善了個人信息保護規(guī)則，建立了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度[3]。

本文針對日益嚴峻的信息網(wǎng)絡(luò)安全問題，從主觀和客觀兩方面因素分析信息系統(tǒng)安全現(xiàn)狀，基于三級等保建設(shè)需求，從技術(shù)層面和管理層面詳細介紹信息安全體系構(gòu)建思路，保證信息資源和信息系統(tǒng)的安全，提高安全風(fēng)險管控能力，使信息安全管理更加科學(xué)、有效。

1 信息系統(tǒng)安全現(xiàn)狀分析

1.1 典型的信息系統(tǒng)安全問題

目前，信息系統(tǒng)安全問題主要源于主觀和客觀兩方面因素。主觀方面，部分信息系統(tǒng)設(shè)計時重點關(guān)注系統(tǒng)功能的實現(xiàn)，忽略了系統(tǒng)的科學(xué)性、規(guī)范性以及安全性等問題；客觀方面，存在著硬件設(shè)備配置的不合理性、運行的不穩(wěn)定性和功能的不完善性等問題。此外，人們信息安全管理意識淡薄、缺乏科學(xué)有效的規(guī)章管理制度和預(yù)警手段、維護與治理力度不夠、安全防范意識不強等也是造成信息系統(tǒng)安全問題頻繁出現(xiàn)的原因。

典型的信息系統(tǒng)安全問題包括：

（1）網(wǎng)絡(luò)非法入侵。非法入侵是造成信息系統(tǒng)安全問題頻發(fā)的原因之一。信息系統(tǒng)設(shè)計問題、計算機操作系統(tǒng)漏洞、系統(tǒng)管理制度缺失、管理員權(quán)限設(shè)定不當、用戶密碼泄漏等[4]，都會給網(wǎng)絡(luò)入侵行為提供可乘之機，如數(shù)據(jù)竊取、篡改、破壞等，造成信息系統(tǒng)安全隱患甚至經(jīng)濟損失。

（2）計算機病毒傳播。計算機病毒具有較強的寄生性和自我復(fù)制性，在程序編制過程中被插入計算機用以攻擊信息系統(tǒng)、破壞數(shù)據(jù)，病毒程序激活后可以在網(wǎng)絡(luò)中大肆傳播，導(dǎo)致計算機文件被刪除或不同程度的損壞、部分或全部數(shù)據(jù)丟失、系統(tǒng)無法正常運行[5]。同時，由于部分機構(gòu)沒有在其局域網(wǎng)絡(luò)內(nèi)安裝防火墻及網(wǎng)絡(luò)入侵防御系統(tǒng)，也會提升信息系統(tǒng)遭受病毒攻擊的概率。

（3）管理制度不完善。管理制度對于規(guī)范信息系統(tǒng)安全管理行為具有重要意義，如系統(tǒng)操作人員缺乏對安全風(fēng)險的遏制和防范意識，未能認識到信息安全技術(shù)在系統(tǒng)應(yīng)用中的重要性，則無法在系統(tǒng)遭受攻擊時及時采取措施進行防范和抵制。同時，管理權(quán)限的不規(guī)范也極易帶來信息系統(tǒng)安全問題，造成信息的破壞及剽竊。

1.2 三級等保實施現(xiàn)狀

等級測評指測評機構(gòu)依據(jù)國家信息安全等級保護制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標準，運用科學(xué)的手段和方法，對處理特定應(yīng)用的信息系統(tǒng)，采用安全技術(shù)測評和安全管理測評方式，對保護狀況進行檢測評估，判定受測系統(tǒng)的技術(shù)和管理級別與規(guī)定安全等級要求的符合程度，針對安全不符合項提出安全整改建議。

測評等級分為1-5級，其中第三級為監(jiān)督保護級，是國家對非銀行機構(gòu)的最高級安全認證，包含信息保護、安全審計、通信保密等近300項要求。三級等保主要針對涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng)的安全保護，其業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會對社會秩序和公共利益造成嚴重損害，甚至對國家安全造成威脅。

2 基于三級等保的信息安全管理體系

設(shè)計基于三級等保的信息安全管理體系，旨在指導(dǎo)如何對網(wǎng)絡(luò)與信息資產(chǎn)進行管理、保護和分配的規(guī)則和指示，明確安全管理的方向、目標和范圍。同時，該安全管理體系需要被定期評審和修訂，以確保其持續(xù)適宜性，特別是在組織結(jié)構(gòu)或技術(shù)基礎(chǔ)改變、出現(xiàn)新的漏洞和威脅、發(fā)生重大安全事件時，可以得到有效保護。

信息安全管理體系（見圖1），由三個層面的多個子策略組成，具有分層結(jié)構(gòu)的完整體系，包含了從宏觀到微觀，從原則方向到具體措施等多方面的內(nèi)容。

（1）信息安全管理體系總綱（簡稱“總綱”）位于安全管理體系的第一層，是整個安全管理體系的最高綱領(lǐng)，其主要闡述安全的必要性、基本原則及宏觀策略?？偩V具有高度的概括性，涵蓋了技術(shù)和管理兩個方面，在各信息系統(tǒng)安全保障工作中具有通用性。

（2）安全管理體系的第二層是一系列的管理規(guī)定和技術(shù)規(guī)范，是對總綱的分解和進一步闡述，側(cè)重于共性問題、操作實施和管理考核，提出具體的要求，對安全工作具有實際指導(dǎo)作用[6]。

（3）安全管理體系的第三層是操作層面，基于上兩層的策略要求，操作層面結(jié)合具體的網(wǎng)絡(luò)和應(yīng)用環(huán)境，遵循動態(tài)管理和閉環(huán)管理原則，制訂具體實施的細則、流程，具備最直觀的可操作性。

圖1 基于三級等保的信息安全管理體系

3 建設(shè)方案

信息系統(tǒng)三級等保建設(shè)主要依據(jù)國家標準及行業(yè)政策的指導(dǎo)，同時結(jié)合信息系統(tǒng)安全管理體系框架、信息系統(tǒng)實際業(yè)務(wù)及管理情況開展整改與建設(shè)工作。

3.1 技術(shù)層

3.1.1 物理安全

物理安全包含環(huán)境安全、設(shè)備和介質(zhì)的防盜竊防破壞等方面。在具體建設(shè)過程中，機房應(yīng)至少分為主機房和監(jiān)控區(qū)兩部分，配備電子門禁系統(tǒng)、防盜報警系統(tǒng)、監(jiān)控系統(tǒng)，同時滿足防盜竊、防破壞、防水、防電等基本安全條件。此外，在機房供電線路上配置UPS，建立發(fā)電機備用供電系統(tǒng)，保證機房24小時不間斷電力供應(yīng)。

3.1.2 主機安全

主機安全需要滿足包括服務(wù)器、終端/工作站等在內(nèi)的計算機設(shè)備在操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)層面的需求，重點解決身份鑒別、訪問控制、安全審計、剩余信息保護、入侵防范、惡意代碼防范、資源控制等問題。依據(jù)管理用戶的角色分配權(quán)限，包括系統(tǒng)管理員、日志用戶、應(yīng)用用戶、數(shù)據(jù)庫管理員，并通過堡壘機實現(xiàn)日志審計功能。同時，采用安全監(jiān)控運行管理平臺軟件對重要服務(wù)器進行監(jiān)控，如服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況。

3.1.3 網(wǎng)絡(luò)安全

通過互聯(lián)網(wǎng)防火墻、專線防火墻、核心交換區(qū)防火墻將網(wǎng)絡(luò)劃分成互聯(lián)網(wǎng)控制區(qū)、專線接入控制區(qū)、DMZ區(qū)、核心交換區(qū)、發(fā)布區(qū)、生產(chǎn)區(qū)、業(yè)務(wù)管理區(qū)、運維開發(fā)測試區(qū)、安全管理區(qū)、存儲區(qū)；同時，通過交換機劃分出不同的子網(wǎng)，區(qū)域間部署防火墻，配置訪問控制策略，實現(xiàn)網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫和服務(wù)器的邏輯隔離。此外，在局域網(wǎng)絡(luò)內(nèi)配置堡壘機、DDoS監(jiān)控、網(wǎng)絡(luò)和數(shù)據(jù)庫審計、入侵檢測防御設(shè)備、漏洞掃描等安全設(shè)備，對網(wǎng)絡(luò)鏈路、核心網(wǎng)絡(luò)設(shè)備和安全設(shè)備進行冗余設(shè)計，保證設(shè)備正常運行。

3.1.4 應(yīng)用安全

應(yīng)用安全包括保護信息系統(tǒng)的各種應(yīng)用程序運行的安全，在安全評估過程中，需避免中高級風(fēng)險漏洞，如SQL注入、跨站腳本、網(wǎng)頁篡改、敏感信息泄露等，定期進行漏洞掃描工作，及時修復(fù)新出現(xiàn)的漏洞威脅。通過統(tǒng)一認證鑒權(quán)服務(wù)登錄系統(tǒng)，采用用戶名、靜態(tài)口令組合的鑒別技術(shù)對登錄用戶進行身份標識和鑒別，并設(shè)置用戶身份標識唯一和鑒別信息復(fù)雜度檢查功能、登錄失敗處理功能、訪問控制功能、審計記錄的統(tǒng)計分析和報表功能。

3.1.5 數(shù)據(jù)安全與備份恢復(fù)

制定相應(yīng)機制保證信息傳輸與存儲過程中的機密性和完整性，關(guān)鍵設(shè)備設(shè)置雙路熱備，強調(diào)數(shù)據(jù)存儲、數(shù)據(jù)備份、數(shù)據(jù)運行環(huán)境、數(shù)據(jù)庫審計安全，旨在保證業(yè)務(wù)正常訪問、數(shù)據(jù)庫性能優(yōu)化、備份設(shè)備安全及有效性檢查，維護系統(tǒng)數(shù)據(jù)、用戶數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)的完整性、保密性、并且進行備份和恢復(fù)。

3.2 管理層

3.2.1 安全管理制度

明確規(guī)定信息安全工作總體目標、范圍、安全框架和各種安全管理活動的制度以及管理人員或操作人員日常操作的操作規(guī)程，具體闡述管理制度的制定和發(fā)布、評審和修改等內(nèi)容，保證信息安全管理活動有序進行。

3.2.2 安全管理機構(gòu)

基于內(nèi)部結(jié)構(gòu)建立一整套從領(lǐng)導(dǎo)層到執(zhí)行管理層以及業(yè)務(wù)運營層的管理結(jié)構(gòu)來約束和保證各項安全管理措施的執(zhí)行，具體包含崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查等內(nèi)容。當信息系統(tǒng)進行關(guān)鍵活動時，如設(shè)備出入機房、業(yè)務(wù)數(shù)據(jù)提取、設(shè)備遷入移出、賬戶開通注銷終止、業(yè)務(wù)系統(tǒng)訪問、業(yè)務(wù)系統(tǒng)投產(chǎn)變更、基礎(chǔ)設(shè)置變更等需要走審批流程，并明確審批部門及負責(zé)人員。

3.2.3 人員安全管理

對內(nèi)部人員和對外部人員進行安全管理，具體解決人員錄用、人員離崗、人員考核、外部人員訪問管理等問題，對內(nèi)部人員進行定期安全培訓(xùn)，對管理人員進行安全技能和安全認知考核，提升安全管理效率。

3.2.4 系統(tǒng)建設(shè)管理

從定級、設(shè)計建設(shè)實施、驗收交付方面考慮，制定信息安全建設(shè)工作計劃，對系統(tǒng)定級、安全方案設(shè)計、產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付、系統(tǒng)備案、等級測評、服務(wù)商選擇等安全管理活動進行全程跟蹤審計，在發(fā)生問題時便于溯源。

3.2.5 系統(tǒng)運維管理

重視對信息系統(tǒng)的日常管理、變更管理、制度化管理、安全事件處置、應(yīng)急預(yù)案管理和安管中心等內(nèi)容，通過漏洞掃描系統(tǒng)對局域網(wǎng)絡(luò)中的系統(tǒng)、設(shè)備進行掃描，及時對漏洞進行分析處理，避免系統(tǒng)或設(shè)備由于病毒感染造成數(shù)據(jù)受損、丟失等。采用監(jiān)控軟件對網(wǎng)絡(luò)鏈路、網(wǎng)絡(luò)及主機設(shè)備的運行狀況、流量等進行監(jiān)控，并對工作日志和結(jié)果進行記錄。

4 總結(jié)與展望

近些年來，由于計算機信息管理技術(shù)安全問題頻發(fā)，對信息系統(tǒng)安全風(fēng)險成因進行深刻分析和研究變得愈發(fā)緊迫。同時，只有針對信息系統(tǒng)具體問題采取有力的防范、整治措施，構(gòu)建基于等級保護的信息安全防護體系，才能確保信息系統(tǒng)的安全，實現(xiàn)系統(tǒng)安全穩(wěn)定運行，減少因人為管理問題而產(chǎn)生的漏洞，實現(xiàn)計算機系統(tǒng)的網(wǎng)絡(luò)安全。

本文基于安全技術(shù)和安全管理兩方面闡述信息安全體系的構(gòu)建思路。在安全技術(shù)方面，通過使用安全產(chǎn)品和技術(shù)，支撐并實現(xiàn)安全策略，保證信息系統(tǒng)的保密性、完整性和可用性；在安全管理方面，通過建立信息安全管理制度，培養(yǎng)信息安全專業(yè)管理團隊，完善信息安全風(fēng)險管理流程，制定規(guī)范化的管理流程，有效執(zhí)行安全策略規(guī)定的目標和原則。通過建設(shè)基于三級等保的信息系統(tǒng)安全體系，保證系統(tǒng)運維有序、有效進行，配合安全管理制度規(guī)范提高安全管理效率，支撐信息系統(tǒng)安全、穩(wěn)定運行。

在信息系統(tǒng)建設(shè)過程中，還應(yīng)加強對系統(tǒng)的安全風(fēng)險評估，不斷完善系統(tǒng)框架、業(yè)務(wù)流程、訪問控制等安全措施，提升系統(tǒng)自身的攻擊防御能力，并通過制定行之有效的管理規(guī)定，保證信息系統(tǒng)安全工作的持續(xù)有效開展，建立信息系統(tǒng)的綜合防御體制。此外，隨著信息安全管理理念和信息技術(shù)的發(fā)展變化，信息安全體系也需要與時俱進不斷完善，以滿足系統(tǒng)安全建設(shè)實際需求，保障重要信息資源和重要信息系統(tǒng)的安全，促進維護國家利益、公共利益和社會穩(wěn)定。