湖北省煙草公司鄂州市公司 湖北 鄂州 436000

引言

依據(jù)當(dāng)前階段在安全需求的現(xiàn)狀分析,發(fā)現(xiàn)不管是軟件開發(fā)方還是客戶方,在系統(tǒng)安全意識(shí)方面普遍不高,在相關(guān)需求文檔當(dāng)中很少對(duì)安全方面進(jìn)行詳細(xì)的描述,促使系統(tǒng)上線之后經(jīng)常出現(xiàn)安全問題,使得社會(huì)影響極為不良,客戶的信息資產(chǎn)也存在了損失,在后期修復(fù)與維護(hù)階段,投入的成本也在極大程度上得到了增加。因此,在實(shí)際開展軟件系統(tǒng)開發(fā)的過程中,嚴(yán)格依照定級(jí)備案的主要流程來實(shí)施安全建設(shè),促使系統(tǒng)能夠有效提升安全水平。

1 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)備案的主要流程

依據(jù)現(xiàn)行的《信息安全等級(jí)保護(hù)管理辦法》當(dāng)中的相關(guān)規(guī)定,再具體實(shí)施等級(jí)保護(hù)工作的時(shí)候,主要分為5個(gè)環(huán)節(jié)來具體實(shí)施,分別為定級(jí)、備案、建設(shè)整改、登記測(cè)評(píng)以及監(jiān)督檢查這5個(gè)環(huán)節(jié),而定級(jí)與備案這兩個(gè)環(huán)節(jié),在實(shí)際開展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作當(dāng)中屬于首要環(huán)節(jié),那些沒有經(jīng)過備案的項(xiàng)目,各個(gè)網(wǎng)絡(luò)運(yùn)行人員都應(yīng)該對(duì)系統(tǒng)級(jí)別進(jìn)行確認(rèn),然后再去公安機(jī)關(guān)進(jìn)行相應(yīng)的備案,定級(jí)工作在實(shí)際開展的時(shí)候,必須要嚴(yán)格遵循“網(wǎng)絡(luò)運(yùn)營(yíng)者擬定網(wǎng)絡(luò)安全保護(hù)等級(jí)、專家評(píng)審、公安機(jī)關(guān)審核以及主管部門核準(zhǔn)”的各項(xiàng)原則來具體實(shí)施,當(dāng)公安機(jī)關(guān)對(duì)其審核并通過之后,會(huì)下發(fā)相應(yīng)的備案審批號(hào)。而那些已經(jīng)備案的項(xiàng)目相關(guān)運(yùn)營(yíng)者僅需要對(duì)系統(tǒng)的級(jí)別、備案號(hào)、備案材料進(jìn)行確認(rèn)就可以了。而在實(shí)施等級(jí)保護(hù)對(duì)象定級(jí)工作的時(shí)候,一般都需要先對(duì)定級(jí)對(duì)象進(jìn)行確定,然后初步確定相應(yīng)的等級(jí),初步確定完成之后需要經(jīng)過專家的評(píng)審、主管部門的審核、公安機(jī)關(guān)備案審查,最終將等級(jí)進(jìn)行確定。

2 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)策略在安全需求分析中的應(yīng)用研究

2.1 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)對(duì)象的確定 網(wǎng)絡(luò)安全等級(jí)的定級(jí)對(duì)象是多樣化的,尤其是電信、廣播電視傳輸以及互聯(lián)網(wǎng)絡(luò)等各種基礎(chǔ)信息網(wǎng)絡(luò),都需要與各種因素相結(jié)合來實(shí)施相應(yīng)的等級(jí)對(duì)象劃分,比如服務(wù)類型、地域以及安全責(zé)任主體等因素。其中信息系統(tǒng)主要包括工業(yè)控制系統(tǒng)、云計(jì)算平臺(tái)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)技術(shù)下的信息系統(tǒng)以及其他類型的信息系統(tǒng),工業(yè)控制系統(tǒng)的構(gòu)成部分主要有生產(chǎn)管理、現(xiàn)場(chǎng)設(shè)備、現(xiàn)場(chǎng)控制以及過程監(jiān)控這4個(gè)階層,除生產(chǎn)管理層外,其他均可以作為一個(gè)整體的定級(jí)對(duì)象,各層的要素定級(jí)都不需要單獨(dú)進(jìn)行定級(jí)。處于云計(jì)算環(huán)境之中,需要將云計(jì)算平臺(tái)單獨(dú)作為定級(jí)對(duì)象。物聯(lián)網(wǎng)則屬于一個(gè)整體的定級(jí)對(duì)象,包含多層要素,分別為感知層、網(wǎng)絡(luò)傳輸層和處理應(yīng)用層等。移動(dòng)互聯(lián)技術(shù)當(dāng)中的等級(jí)保護(hù)對(duì)象則應(yīng)該作為一個(gè)整體的定級(jí)對(duì)象,主要涵蓋移動(dòng)終端、移動(dòng)應(yīng)用、無線網(wǎng)絡(luò)以及應(yīng)用系統(tǒng)等。

2.2 針對(duì)安全保護(hù)等級(jí)的初步確定 在初步實(shí)施定級(jí)的時(shí)候,需要遵循相應(yīng)的定級(jí)方法。⑴針對(duì)受破壞時(shí)的侵害客體進(jìn)行確定:對(duì)于業(yè)務(wù)信息中遭受到破壞時(shí)所侵害的客體進(jìn)行確定,對(duì)系統(tǒng)服務(wù)中受到侵害的客體進(jìn)行確定;⑵針對(duì)客體遭受侵害的程度進(jìn)行確定:需要與各個(gè)侵害客體相結(jié)合,以保證能夠在多個(gè)角度被破壞的業(yè)務(wù)信息安全綜合的進(jìn)行評(píng)定,進(jìn)而確定客體的侵害程度;⑶針對(duì)安全保護(hù)等級(jí)進(jìn)行確定:對(duì)于業(yè)務(wù)信息與系統(tǒng)服務(wù)的安全保護(hù)等級(jí)進(jìn)行確定。在確定受侵害客體的時(shí)候,應(yīng)該先對(duì)其是否對(duì)國(guó)家安全產(chǎn)生侵害進(jìn)行判斷,然后在對(duì)其是否對(duì)社會(huì)秩序、公眾利益等方面進(jìn)行判斷,最后再對(duì)公民、法人以及其他組織所具備的合法權(quán)益進(jìn)行判斷。對(duì)于客體侵害程度的確定需要以客觀角度來思考,通常其外在表現(xiàn)為對(duì)于定級(jí)對(duì)象的破壞,主要是針對(duì)業(yè)務(wù)信息安全、信息系統(tǒng)服務(wù)方面造成的破壞,業(yè)務(wù)信息安全能夠?qū)π畔⑾到y(tǒng)內(nèi)部信息在保密性、完整性以及可用性等方面得到保證,系統(tǒng)服務(wù)安全的定級(jí)對(duì)象能夠確定為客戶提供及時(shí)、有效地服務(wù),進(jìn)而將相應(yīng)的預(yù)定業(yè)務(wù)目標(biāo)得以完成。當(dāng)業(yè)務(wù)信息安全與系統(tǒng)服務(wù)安全遭受到破壞之后,那么將會(huì)產(chǎn)生極大的危害與不良后果,比如工作職能的行使受到影響、業(yè)務(wù)能力下降、法律糾紛、財(cái)產(chǎn)損失以及社會(huì)不良影響等。

2.3 其他安全需求分析的應(yīng)用 通過上述的網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)備案主要流程,我們得知初步確定安全保護(hù)等級(jí)之后,還需要進(jìn)行安全保護(hù)等級(jí)的確定、專家評(píng)審、主管部門審核以及公安機(jī)關(guān)備案審查,在對(duì)安全保護(hù)等級(jí)進(jìn)行確定的時(shí)候,需要與業(yè)務(wù)信息安全被侵害時(shí)的客體以及課題侵害的具體程度相結(jié)合。(如表1、2所示).

表1 業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣表:

表2 系統(tǒng)服務(wù)安全保護(hù)等級(jí)矩陣表:

專家評(píng)審的環(huán)節(jié)中定級(jí)對(duì)象實(shí)施初步定級(jí)評(píng)審的時(shí)候,需要運(yùn)營(yíng)單位、使用單位組織相應(yīng)的信息安全專家、業(yè)務(wù)專家來具體實(shí)施,并出具相應(yīng)的專家評(píng)審意見。主管部門審核需要運(yùn)營(yíng)與使用單位,將初步定級(jí)結(jié)果上報(bào)給行業(yè)主管部門來具體實(shí)施審核的。然后相關(guān)單位需要依照相關(guān)管理規(guī)定,將相應(yīng)的定級(jí)結(jié)果提交給公安機(jī)關(guān),進(jìn)而完成相應(yīng)的備案審查環(huán)節(jié)。

結(jié)束語

綜上所述,網(wǎng)絡(luò)安全等級(jí)定級(jí)備案,在信息系統(tǒng)安全等級(jí)保護(hù)當(dāng)中,僅僅屬于其前期的準(zhǔn)備工作,但是這一環(huán)節(jié)也是極為重要的環(huán)節(jié),必須要通過備案材料公安機(jī)關(guān)的審核,并且將備案編號(hào)下發(fā)之后,處于第三方的測(cè)評(píng)機(jī)構(gòu)才能夠真正實(shí)施相應(yīng)的測(cè)評(píng)環(huán)節(jié)。