惠建新 喬德志 婁洪偉

摘 ?要：文章對科研院所安全信息系統(tǒng)運維現(xiàn)狀進(jìn)行了分析研究，依照國家有關(guān)體系規(guī)定的要求，提出了建立科研院所安全運維標(biāo)準(zhǔn)的意見。該標(biāo)準(zhǔn)意見具有可靠性、普適性、穩(wěn)定性，能夠通過技術(shù)和管理手段提高運維和審計水平，降低運維成本，并能提供安全可靠的運行環(huán)境。實現(xiàn)了問題牽引，靶向解決安全信息系統(tǒng)運維要害，可有力支撐科研院所信息化工作。

關(guān)鍵詞：安全信息系統(tǒng);運維體系;三員人員;安全防護(hù)

中圖分類號：TP309 文獻(xiàn)標(biāo)識碼：A文章編號：2096-4706（2021）13-0128-06

Research on Operation and Maintenance Standard of Safety Information System in Scientific Research Institutes

HUI Jianxin1， QIAO Dezhi2， LOU Hongwei3

（1.Purple Mountain Observatory， Chinese Academy of Sciences， Nanjing 210023， China; 2. Dalian Institute of Chemical Physics， Chinese Academy of Sciences， Dalian 116023， China; 3.Changchun Institute of Optics， Fine Mechanics and Physics， Chinese Academy of Sciences， Changchun 130033， China）

Abstract： This paper analyzes and studies the current situation of operation and maintenance of safety information system in scientific research institutes， in accordance with the requirements of relevant national systems， puts forward suggestions on establishing safety operation and maintenance standards for scientific research institutes. The standard opinion is reliability， universality and stability， it can improve the level of operation and maintenance and audit through technical and management means， reduce operation and maintenance costs， and provide a safe and reliable operating environmentin. It realizes problem traction， aims to solve the key points of operation and maintenance of safety information system， and can effectively support the informatization work of scientific research institutes.

Keywords： safety information system; operation and maintenance system; three personnel; safety protection

0 ?引 ?言

承擔(dān)國家安全科研生產(chǎn)任務(wù)的科研院所，是國家科研力量的中堅，在科研過程中，安全信息系統(tǒng)運維工作尤為關(guān)鍵，隨著新一輪體系論證深入開展，面對新問題、新挑戰(zhàn)、新要求，科研院所面對審查認(rèn)定所帶來的巨大壓力，在應(yīng)對標(biāo)準(zhǔn)變化帶來的前期準(zhǔn)備工作倉促、內(nèi)部管理目標(biāo)的單一化，安全管理易偏向“粗放式”和“教條式”，出現(xiàn)為了迎合審查認(rèn)定而開展安全工作，具體表現(xiàn)為：“標(biāo)準(zhǔn)有明確要求的才做”“標(biāo)準(zhǔn)要求做到什么程度就到什么程度”，甚至，個別研究所為了通過審查認(rèn)定而采取“審查認(rèn)定查什么就準(zhǔn)備什么”或者“拿來主義”，不經(jīng)思考、生搬硬套、照搬照抄等方式，由此，完全背離了安全信息系統(tǒng)運維監(jiān)督管理的初衷，本末倒置了研究所內(nèi)部管理對于信息安全管理的需求。

目前對于科研院所而言，在新的認(rèn)定標(biāo)準(zhǔn)中，安全信息系統(tǒng)運維管理建設(shè)是最大的風(fēng)險點，如：責(zé)任制落實不到位、定密不準(zhǔn)確、知悉范圍控制不精確、涉密人員管理有空檔，計算機(jī)及通訊管理未知因素太多，試驗設(shè)備（或工控設(shè)備）管理技術(shù)手段不夠，宣傳報道管理由于定密不準(zhǔn)，審查就會把握尺度不精細(xì)。如果安全信息運維管理與研究所科研管理的實際不能有機(jī)結(jié)合，或者結(jié)合不緊密，仍然形成“兩張皮”。安全信息系統(tǒng)運維外循環(huán)的安全管理，無從落地，紙上空談，漏洞也必然存在，隱患危害巨大。

本文針對上述問題，就安全信息系統(tǒng)運維管理，開展“做什么”“怎么做”“誰來做”逐一剖析和解答。依國家規(guī)定要求，建立適合科研機(jī)構(gòu)安全運維標(biāo)準(zhǔn)意見，在指導(dǎo)科研單位開展信息安全系統(tǒng)運維建設(shè)、實現(xiàn)通過技術(shù)和管理手段提高運維和審計水平，降低運維成本，并能提供安全可靠的運行環(huán)境，實現(xiàn)了問題牽引，靶向安全信息系統(tǒng)運維要害，支撐科研院所信息化工作。

1 ?安全信息系統(tǒng)運行維護(hù)分析

信息系統(tǒng)運維涉及工作主要有：

（1）運行維護(hù)管理和安全控制，運行管理和安全控制的目的是：保證系統(tǒng)不斷變化和種類繁多的運行管理活動得到控制，信息系統(tǒng)的安全運行，操作人員應(yīng)對信息系統(tǒng)實行正確和安全的操作。

（2）策略變更管理和安全控制，使用標(biāo)準(zhǔn)的方法和步驟，盡快地實施變更，確保在發(fā)生安全配置、安全設(shè)施、系統(tǒng)結(jié)構(gòu)和業(yè)務(wù)應(yīng)用等變化時，確保變更所導(dǎo)致的信息資產(chǎn)安全性降低、業(yè)務(wù)中斷或業(yè)務(wù)影響降到最低。

（3）安全狀態(tài)監(jiān)控，安全等級不同的信息系統(tǒng)，安全監(jiān)控方面要求采用的手段和監(jiān)控內(nèi)容有別。

（4）安全事件處置和應(yīng)急預(yù)案，安全事件采取響應(yīng)分級對待與事件處置機(jī)制，可根據(jù)相關(guān)標(biāo)準(zhǔn)建立合適的應(yīng)急響應(yīng)機(jī)制，保障業(yè)務(wù)系統(tǒng)的持續(xù)運行。

（5）運行檢查和升級改進(jìn)，在信息系統(tǒng)運行維護(hù)過程中，信息系統(tǒng)變更、安全狀態(tài)改變等，情況常規(guī)事件時有發(fā)生。故而，定期對信息系統(tǒng)運行狀況安全檢查，并依據(jù)檢查結(jié)果對信息系統(tǒng)進(jìn)行持續(xù)改進(jìn)。

但是對于安全信息系統(tǒng)，通常大家知道的就是分級保護(hù)和BMB標(biāo)準(zhǔn)，對于其他可能就知之甚少。所以本文研究過程中就要解決和回答以下一系列的為什么。

1.1 ?信息系統(tǒng)運維管理保障

因安全信息系統(tǒng)非普通的公共信息系統(tǒng)，該系統(tǒng)是需要保護(hù)國家秘密的安全的信息系統(tǒng)，所以安全信息系統(tǒng)必須要按照國家安全相關(guān)的法律法規(guī)來進(jìn)行管理，要在組織機(jī)構(gòu)、人員和經(jīng)費上得到保障。

信息安全是指：運行信息系統(tǒng)中的數(shù)據(jù)以及信息系統(tǒng)的軟件、硬件受到保護(hù)的程度，以及，防止威脅系統(tǒng)正常運行以及盜取系統(tǒng)中的知識、數(shù)據(jù)等信息而采取的措施。誠然，信息安全是一種思維方式，非依靠某一種技術(shù)就能實現(xiàn)的，無絕對的信息安全。

1.2 ?信息系統(tǒng)運維人員職責(zé)及履職

2013年的“斯諾登事件”提醒我們，大數(shù)據(jù)時代要以信息安全為主轉(zhuǎn)變?yōu)閿?shù)據(jù)、信息安全并重，制定防范與處置重大失泄密安全事故預(yù)案，自“嚴(yán)防死守”轉(zhuǎn)變?yōu)椤邦A(yù)防為先、攻防結(jié)合”，積極提高信息化管理水平。強(qiáng)化對網(wǎng)絡(luò)和信息系統(tǒng)安全策略的管理，嚴(yán)密檢測各種數(shù)據(jù)信息的流向，逐步實現(xiàn)“事先有措施、事中能監(jiān)視、事后可追蹤”。安全信息系統(tǒng)“三員”必須要認(rèn)真履職，權(quán)限要劃分合理。三員的職責(zé)劃分是：

（1）系統(tǒng)管理員職責(zé)為信息系統(tǒng)服務(wù)器設(shè)備、網(wǎng)絡(luò)設(shè)備的安裝及維護(hù)，把握系統(tǒng)運行情況，確保物理安全;負(fù)責(zé)網(wǎng)絡(luò)日常監(jiān)控、維護(hù)，負(fù)責(zé)系統(tǒng)設(shè)備的維護(hù)，保證設(shè)備穩(wěn)定運行。負(fù)責(zé)編寫系統(tǒng)管理、網(wǎng)絡(luò)運行部分的審計報告內(nèi)容。

（2）安全管理員負(fù)責(zé)部署安全產(chǎn)品，制定和實施相關(guān)安全策略，負(fù)責(zé)信息系統(tǒng)中的用戶賬號管理，定期分析日志，及時解決和處理相關(guān)安全事件;負(fù)責(zé)編寫安全管理系統(tǒng)安全日志、安全事件部分的審計報告內(nèi)容。

（3）安全審計員負(fù)責(zé)根據(jù)安全審計策略，對系統(tǒng)的日志進(jìn)行檢查及抽查。對系統(tǒng)管理員、安全管理員的操作行為進(jìn)行審計、跟蹤分析和監(jiān)督檢查。根據(jù)系統(tǒng)管理員、安全管理員對于系統(tǒng)日志的分析，發(fā)現(xiàn)問題，及時糾正。組織定期完成審計報告。

1.3 ?安全信息系統(tǒng)的設(shè)備運維管理

涉密終端計算機(jī)的安全防護(hù)體系是一個比較復(fù)雜的系統(tǒng)，包括無線設(shè)備拆除、操作系統(tǒng)安裝要求、密碼設(shè)置、系統(tǒng)安全配置、安全產(chǎn)品安裝等方面。如果沒有制定新增涉密終端計算機(jī)的安裝操作過程文件，系統(tǒng)管理人員在新增涉密終端計算機(jī)時沒有可遵守和參考的標(biāo)準(zhǔn)，很容易操作不規(guī)范、遺漏重要的安全設(shè)置。系統(tǒng)管理人員還應(yīng)記錄涉密終端計算機(jī)的操作具體操作過程，這樣作為系統(tǒng)管理工作的證據(jù)，同時也方便后續(xù)檢查是否遺漏了哪些設(shè)置;再有安全信息系統(tǒng)的服務(wù)器、網(wǎng)絡(luò)設(shè)備維修、報廢和軟硬件安裝、更新，格式化和重裝系統(tǒng)等，如果疏于管理，操作時不經(jīng)過審批和記錄，很容易就造成失泄密事件發(fā)生。

1.4 ?安全防護(hù)系統(tǒng)管理

運維人員明確各自職責(zé)，在安全防護(hù)系統(tǒng)管理方面，系統(tǒng)管理員應(yīng)負(fù)責(zé)承載安全產(chǎn)品服務(wù)器的安裝、安全防護(hù)系統(tǒng)的網(wǎng)絡(luò)地址分配等任務(wù)。職責(zé)明確、分工具體，管理過程不能存在交叉、替代，保證操作過程統(tǒng)一、權(quán)責(zé)明晰。安全產(chǎn)品是安全信息系統(tǒng)的重要安全保障，單位應(yīng)規(guī)范其管理過程，安全產(chǎn)品管理過程不規(guī)范容易造成系統(tǒng)安全措施失效，起不到安全防護(hù)的作用，同時影響到信息系統(tǒng)的正常運行。安全管理員具體負(fù)責(zé)安全產(chǎn)品的測試選型、策略配置、策略下發(fā)、終端計算機(jī)安全管理系統(tǒng)客戶端安裝管理等。單位應(yīng)制定安全產(chǎn)品的管理規(guī)定和操作過程，安全管理員應(yīng)按照制度規(guī)范操作，詳細(xì)記錄操作日志。

1.5 ?應(yīng)用系統(tǒng)管理

應(yīng)用系統(tǒng)是安全信息系統(tǒng)的重要資產(chǎn)，承載信息系統(tǒng)中的主要業(yè)務(wù)。應(yīng)用系統(tǒng)的管理應(yīng)實現(xiàn)分權(quán)分責(zé)，應(yīng)明確系統(tǒng)管理員和安全員的職責(zé)，避免權(quán)責(zé)不清、工作交叉、替代。系統(tǒng)管理員應(yīng)主要負(fù)責(zé)應(yīng)用系統(tǒng)的服務(wù)器安裝、數(shù)據(jù)庫安裝配置、基礎(chǔ)數(shù)據(jù)賬號的配置等工作。系統(tǒng)管理員負(fù)責(zé)具體業(yè)務(wù)功能、包括權(quán)限設(shè)置、業(yè)務(wù)規(guī)則設(shè)置、監(jiān)控分析等。應(yīng)用系統(tǒng)管理不規(guī)范容易造成系統(tǒng)中業(yè)務(wù)混亂，涉密電子文件在信息系統(tǒng)中得不到有效控制，造成涉密文件被非授權(quán)人員非法獲取、通過非正常途徑輸出涉密信息等。單位應(yīng)制定安全信息系統(tǒng)中應(yīng)用系的管理規(guī)定和操作過程，運維人員應(yīng)按照制度規(guī)范操作，詳細(xì)記錄操作日志。

2 ?安全信息系統(tǒng)運維管理

2.1 ?運維管理原則

安全信息系統(tǒng)運維原則是：穩(wěn)定、安全、安全、可控、高效。

2.2 ?運維制度、操作規(guī)程

安全信息系統(tǒng)運維工作機(jī)構(gòu)應(yīng)制定運維管理制度，并經(jīng)信息化管理部門審核后簽發(fā)。安全信息系統(tǒng)運維工作機(jī)構(gòu)應(yīng)根據(jù)運維管理制度建立運維操作規(guī)程，規(guī)范具體運維工作。

2.3 ?運維人員管理

明確信息系統(tǒng)運維人員的任職條件，制定考核程序，經(jīng)過考核后上崗工作，運維工作人員應(yīng)簽訂安全承諾書。定期對安全信息系統(tǒng)運維人員工作情況進(jìn)行考核，根據(jù)考核情況進(jìn)行獎懲，存在無法勝任信息系統(tǒng)管理工作的情況應(yīng)及時調(diào)整。

安全信息系統(tǒng)管理“三員”人員，不能以其他用戶身份登錄系統(tǒng);不能查看和修改任何業(yè)務(wù)數(shù)據(jù)庫中的信息;不能增刪改日志內(nèi)容。三員應(yīng)由本單位內(nèi)部人員擔(dān)任，要求政治上可靠，熟悉安全信息系統(tǒng)管理操作流程，具有較強(qiáng)的責(zé)任意識和風(fēng)險防控意識;并簽署安全承諾書。三員管理業(yè)務(wù)范圍及邊界如圖1所示。

安全系統(tǒng)終端登錄身份鑒別：對于安裝Windows操作系統(tǒng)的安全系統(tǒng)終端，禁止使用遠(yuǎn)程桌面和遠(yuǎn)程登錄功能，對于本地登錄，不再單純依靠Windows系統(tǒng)本身的登錄認(rèn)證機(jī)制，需在進(jìn)行Windows用戶認(rèn)證的同時，采用USB Key對登錄用戶進(jìn)行身份認(rèn)證，同時USB Key使用口令（PIN碼）進(jìn)行使用保護(hù)。

USB Key與安全信息終端連接，在安全信息終端啟動時，必須插入USB Key，并輸入正確的訪問口令，才能進(jìn)入Windows系統(tǒng)。涉密計算機(jī)終端本地登錄身份鑒別的處理流程如圖2所示。

2.4 ?應(yīng)用系統(tǒng)管理

應(yīng)用系統(tǒng)管理中各系統(tǒng)管理員職責(zé)和相關(guān)要求如以下所示：

（1）系統(tǒng)管理員職責(zé)是安全系統(tǒng)中應(yīng)用系統(tǒng)服務(wù)器的安裝配備，負(fù)責(zé)安裝部署應(yīng)用系統(tǒng)、安裝配置相關(guān)的數(shù)據(jù)庫系統(tǒng)、配置應(yīng)用系統(tǒng)賬戶，如圖3所示。

（2）安全管理員負(fù)責(zé)信息系統(tǒng)中應(yīng)用系統(tǒng)的配置賬號權(quán)限、設(shè)置業(yè)務(wù)規(guī)則設(shè)置，負(fù)責(zé)監(jiān)控分析應(yīng)用系統(tǒng)運行情況。

（3）應(yīng)用系統(tǒng)部署操作規(guī)程。

（4）檢查應(yīng)用系統(tǒng)在身份認(rèn)證、權(quán)限劃分、安全審計、數(shù)據(jù)安全方面的系統(tǒng)功能是否符合安全要求。

（5）按照信息系統(tǒng)服務(wù)器安裝配置要求安裝與配備應(yīng)用服務(wù)器。

（6）在服務(wù)器上安裝與部署應(yīng)用系統(tǒng)以及相關(guān)的數(shù)據(jù)庫等系統(tǒng)。

（7）配置系統(tǒng)管理員、安全管理員、安全審計員權(quán)限。

（8）配置終端用戶賬號及默認(rèn)密碼，要求用戶首次登錄后修改默認(rèn)密碼。

（9）配置應(yīng)用系統(tǒng)數(shù)據(jù)、文件管理流程及策略，保證敏感數(shù)據(jù)的存儲、傳輸、輸出等過程符合安全要求。

（10）安全審計員職責(zé)是審計系統(tǒng)管理員和安全管理員操作。

（11）應(yīng)用系統(tǒng)安裝部署、變更、廢止應(yīng)履行審批手續(xù)，經(jīng)信息化管理部門審批。系統(tǒng)管理員和安全管理員接到《應(yīng)用系統(tǒng)管理審批表》后，進(jìn)行操作，安全審計員負(fù)責(zé)審計系統(tǒng)管理員和安全管理員操作，詳細(xì)記錄操作內(nèi)容。

2.5 ?應(yīng)用軟件管理

系統(tǒng)管理員在應(yīng)用軟件管理中應(yīng)負(fù)責(zé)的主要事項如下：

（1）系統(tǒng)管理員負(fù)責(zé)信息系統(tǒng)用戶終端計算機(jī)各種應(yīng)用軟件的安裝與卸載。

（2）信息系統(tǒng)內(nèi)用戶終端計算機(jī)常用軟件可建立軟件白名單，終端用戶可下載并安裝白名單內(nèi)軟件，無須進(jìn)行審批。

（3）系統(tǒng)管理員負(fù)責(zé)信息系統(tǒng)應(yīng)用軟件白名單管理，將白名單內(nèi)軟件上傳至信息系統(tǒng)公共下載網(wǎng)站，提供下載服務(wù)。

（4）上傳、變更白名單軟件應(yīng)履行審批手續(xù)，經(jīng)信息化管理部門審批。安全管理員《軟件審批表》后，負(fù)責(zé)對上傳的軟件進(jìn)行安全檢查，確保沒有敏感信息，系統(tǒng)管理員負(fù)責(zé)上傳文件。安全審計員負(fù)責(zé)審計系統(tǒng)管理員和安全管理員操作。

3 ?安全信息系統(tǒng)運維標(biāo)準(zhǔn)的意見

3.1 ?信息系統(tǒng)運維管理是一個系統(tǒng)性管理

安全信息系統(tǒng)運維管理水平直接影響安全信息系統(tǒng)的使用效果，面對復(fù)雜的運維內(nèi)容和類型繁多的軟硬件設(shè)備，通過明確歸口管理，從制度上確定運維管理體系;通過健全組織機(jī)構(gòu)、配備合適人員來“強(qiáng)身體”;通過執(zhí)行法律法規(guī)和規(guī)章制度來“正思想”，增強(qiáng)人員能力素質(zhì);通過配置運維工具、保證正常運維經(jīng)費，按程序和規(guī)范做“正確事”，并以加強(qiáng)安全防護(hù)體系完善和技術(shù)創(chuàng)新提升運維“攻防”能力，共同協(xié)作推動安全信息系統(tǒng)運維工作向更全面、更迅速、更專業(yè)、更智能的方向發(fā)展。

提出工作重點是安全信息系統(tǒng)運維管理應(yīng)重點圍繞制度建設(shè)、組織機(jī)構(gòu)、管理責(zé)任、運維管理人員、運維工具、設(shè)備和信息交換等可能存在的重大風(fēng)險和問題，總體要求是要充分認(rèn)識安全信息系統(tǒng)運維管理和節(jié)點安全的重要意義，堅持底線思維，加強(qiáng)風(fēng)險管理，建設(shè)和完善預(yù)警監(jiān)測體系，防范和化解安全信息系統(tǒng)運維中發(fā)現(xiàn)的重大安全風(fēng)險。

（1）圍繞信息領(lǐng)域安全和關(guān)鍵核心技術(shù)開展安全信息系統(tǒng)安全風(fēng)險研究，向國家有關(guān)部門提出對策建議，著力解決國家安全信息系統(tǒng)安全急需的重大科技問題。

（2）開展安全信息系統(tǒng)安全風(fēng)險評價工作，建立評價、審核、防范措施落實、監(jiān)督檢查和評價警示機(jī)制，建設(shè)并運行安全信息系統(tǒng)管理的預(yù)警監(jiān)測體系，實現(xiàn)安全信息系統(tǒng)運維安全，風(fēng)險全過程監(jiān)測預(yù)警。

（3）建立和完善安全信息系統(tǒng)安全風(fēng)險隱患及事件事故處置流程，制定落實獎懲制度，壓實安全信息系統(tǒng)運維安全風(fēng)險管理工作責(zé)任。

3.2 ?規(guī)范安全信息系統(tǒng)“三員”的職責(zé)和工作標(biāo)準(zhǔn)

安全信息系統(tǒng)的運維工作是由使用者發(fā)現(xiàn)系統(tǒng)故障后，提出申請聯(lián)系安全信息系統(tǒng)管理員，系統(tǒng)管理員對故障進(jìn)行初步判斷并開始處理，如需要安全員參與，則安全員按權(quán)限完成相應(yīng)工作，最終解決問題完成該次安全信息系統(tǒng)的運維動作，安全審計員隨后對上述“兩員”工作進(jìn)行審計。一些研究所由于體量較小，“三員”可能不能完全專職，或兼任其他崗位，所以對“三員”的崗位職責(zé)和工作標(biāo)準(zhǔn)必須有清楚的界定和要求。

明確了安全信息系統(tǒng)“三員”的崗位職責(zé)。

3.2.1 ?系統(tǒng)管理員

相關(guān)職責(zé)：安全系統(tǒng)相關(guān)參數(shù)的制定、配置與監(jiān)控管理;如運行條件、技術(shù)性能、空間分配、參數(shù)設(shè)置等。

（1）負(fù)責(zé)網(wǎng)絡(luò)系統(tǒng)、服務(wù)器系統(tǒng)等的日常運行管理和維護(hù)技術(shù)支持。

（2）在安全管理員的配合下，定期升級安全設(shè)備及其規(guī)則庫。

（3）配合安全管理員定期進(jìn)行病毒查殺、處理。

（4）對系統(tǒng)日志、策略配置文件等數(shù)據(jù)定期備份。

（5）負(fù)責(zé)定期分析網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)等的系統(tǒng)日志，發(fā)現(xiàn)系統(tǒng)異常、錯誤或報警等分析原因，提出解決辦法并加以實施。

（6）負(fù)責(zé)網(wǎng)絡(luò)與系統(tǒng)運行狀況的統(tǒng)計分析，定期編寫安全運行報告。

（7）根據(jù)安全系統(tǒng)需求變化，不斷優(yōu)化系統(tǒng)運行環(huán)境。

3.2.2 ?安全管理員

負(fù)責(zé)安全信息系統(tǒng)絡(luò)的安全評價，安全策略、用戶權(quán)限以及有關(guān)參數(shù)設(shè)置等日常安全管理工作。

（1）主要職責(zé)是提出文檔化的安全系統(tǒng)、安全策略文件編制建議，實施各類安全設(shè)備的安全策略。

（2）負(fù)責(zé)實施安全系統(tǒng)用戶權(quán)限分配和調(diào)整。

（3）協(xié)助系統(tǒng)管理員完成操作系統(tǒng)的各項配置，制定和實施安全策略。

（4）檢查分析安全設(shè)備、操作系統(tǒng)和應(yīng)用系統(tǒng)用戶操作日志，負(fù)責(zé)對用戶及安全審計員的操作行為進(jìn)行審計。

（5）負(fù)責(zé)對安全管理系統(tǒng)日志審計、異常事件和行為進(jìn)行統(tǒng)計分析，定期形成審計報告。

（6）負(fù)責(zé)網(wǎng)絡(luò)安全日志、事件統(tǒng)計分析，定期開展風(fēng)險評價和形成風(fēng)險評價報告。

3.2.3 ?安全審計員

其職責(zé)是對安全管理員的操作行為進(jìn)行審計、跟蹤、分析和監(jiān)督檢查，及時發(fā)現(xiàn)違規(guī)行為和異常行為，包括系統(tǒng)日志分析、安全事件的分析、取證等。

（1）對系統(tǒng)管理員和安全管理員制定和更改操作系統(tǒng)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的安全策略、用戶權(quán)限以及參數(shù)設(shè)置等進(jìn)行審核和監(jiān)督。

（2）定期檢查維護(hù)記錄，“檢查有痕”通過記錄，實施監(jiān)督。

（3）負(fù)責(zé)對系統(tǒng)管理員和安全管理員的異常操作和行為進(jìn)行統(tǒng)計分析，定期形成審計報告。

3.3 ?引入安全信息系統(tǒng)信息設(shè)備接入和應(yīng)用管理的操作規(guī)范

信息設(shè)備是安全信息系統(tǒng)的“骨架”，涉及設(shè)備種類、型號、功能等較為復(fù)雜，按照運維場景區(qū)分為服務(wù)端運維和用戶端運維。其中，服務(wù)端運維主要針對服務(wù)器、路由器、交換機(jī)、磁盤陣列等機(jī)房設(shè)備;用戶端運維主要針對計算機(jī)、顯示器、集線器、簽字板等接入終端設(shè)備;系統(tǒng)運維工作包括設(shè)備的接入維護(hù)、保養(yǎng)、更新、升級、故障檢測及排除;系統(tǒng)安全運維包括應(yīng)用系統(tǒng)、賬號、訪問控制、數(shù)據(jù)備份、應(yīng)急預(yù)案等，這些工作需要明確的操作規(guī)范。

提出了上述系統(tǒng)運維工作的技術(shù)標(biāo)準(zhǔn)和操作規(guī)范，如：服務(wù)器、網(wǎng)絡(luò)設(shè)備運維管理;安全防護(hù)系統(tǒng)管理;應(yīng)用系統(tǒng)管理;應(yīng)用軟件管理;賬號及權(quán)限管理;數(shù)據(jù)備份與恢復(fù)管理;防病毒系統(tǒng)、系統(tǒng)補(bǔ)丁管理;訪問控制管理;機(jī)房管理維護(hù);應(yīng)急響應(yīng)管理;安全審計和風(fēng)險評價管理等，以及工作中所使用的表格。

4 ?結(jié) ?論

安全信息系統(tǒng)運維管理和節(jié)點安全有著重要意義，為堅持底線思維，加強(qiáng)風(fēng)險管理，建設(shè)和完善預(yù)警監(jiān)測體系，防范和化解安全信息系統(tǒng)運維中發(fā)現(xiàn)的重大安全風(fēng)險，采取的主要措施有：

（1）開展安全信息系統(tǒng)預(yù)警體系，建立評價、審核、防范措施落實、監(jiān)督檢查和評價警示機(jī)制，建設(shè)并運行維護(hù)系統(tǒng)安全預(yù)警監(jiān)測體系，實現(xiàn)系統(tǒng)安全風(fēng)險全過程監(jiān)測預(yù)警。

（2）建立和完善安全信息系統(tǒng)安全風(fēng)險隱患及事件事故處置流程，制定落實獎懲制度，壓實安全信息系統(tǒng)運維安全風(fēng)險管理工作責(zé)任。

（3）根據(jù)我們在研究管理過程中發(fā)現(xiàn)重大難點與問題，圍繞信息領(lǐng)域安全和關(guān)鍵核心技術(shù)開展安全信息系統(tǒng)安全風(fēng)險研究，向國家有關(guān)部門提出對策建議，著力解決國家安全信息系統(tǒng)安全急需的重大科技問題。

安全信息系統(tǒng)運維管理應(yīng)重點圍繞制度建設(shè)、組織機(jī)構(gòu)、管理責(zé)任、運維管理人員、運維工具、設(shè)備和信息交換等可能存在的重大風(fēng)險和問題，開展風(fēng)險辨識、分析、監(jiān)測和評價，提出意見建議，前瞻部署和防范;在制度建設(shè)方面，要制定管理標(biāo)準(zhǔn)規(guī)范和運維制度，涉及運維外包的要有針對外包運維的管理和考核制度;在組織機(jī)構(gòu)方面，要高度關(guān)注運維工作，建立運維工作領(lǐng)導(dǎo)機(jī)構(gòu)和工作機(jī)構(gòu)，嚴(yán)格落實防范措施;在管理責(zé)任方面，要明確業(yè)務(wù)部門在運維管理體系中的職責(zé)，各負(fù)其責(zé);在人員管理方面，要合理配備運維管理人員、明確職責(zé)，嚴(yán)格考核;在運維工具方面，選取上先進(jìn)的信息化應(yīng)用充分提高運維效率和運維水平;在設(shè)備管理方面，要標(biāo)識清晰、準(zhǔn)確，存放位置相對固定，專人管理;在信息交換方面，要準(zhǔn)確區(qū)分安全域，確保信息安全可控;在風(fēng)險監(jiān)測方面，建立系統(tǒng)監(jiān)控平臺，及時發(fā)現(xiàn)風(fēng)險隱患，提高運維效率。

參考文獻(xiàn)：

[1] 王伊然，于奇平，劉奧祥.云計算信息系統(tǒng)安全整體防護(hù)策略研究 [J].河南科技，2018（7）：7-9.

[2] 李英.集團(tuán)級管理的標(biāo)準(zhǔn)化管理信息系統(tǒng)設(shè)計與實現(xiàn) [D].西安：西安工業(yè)大學(xué)，2014.

[3] 劉文慧.信息安全風(fēng)險評估量化方法研究 [J].數(shù)字通信世界，2018（5）：252+104.

[4] 康冉.公安網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計與實現(xiàn) [D].濟(jì)南：山東大學(xué)，2010.

[5] 王連海.中船重工財務(wù)公司綜合信息平臺設(shè)計與實現(xiàn) [D].成都：電子科技大學(xué)，2011.

[6] 蔣斌.如何做好大數(shù)據(jù)時代的保密工作 [J].保密工作，2019（9）：64-65.

[7] 俞航.信息系統(tǒng)安全等級保護(hù)制度實施中存在的問題及其對策 [D].蘇州：蘇州大學(xué)，2016.

[8] 張惠.信息系統(tǒng)運維階段信息安全風(fēng)險評估工作研究 [J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（6）：15-17.

[9] 張紅衛(wèi)，惠建新.Web Service構(gòu)架下的多語種構(gòu)件庫系統(tǒng)及實現(xiàn) [J].計算機(jī)與數(shù)字工程，2014，42（4）：616-622+728.

[10] 焦迪.有關(guān)構(gòu)建政務(wù)信息系統(tǒng)密碼應(yīng)用管理體系的建議 [J].信息安全與通信保密，2021（1）：70-76.

[11] 李忠俊，張永峰，宋波.企業(yè)信息安全應(yīng)對策略探討 [J].電腦知識與技術(shù)，2017，13（21）：36-37.

[12] 劉志勛.企業(yè)信息安全風(fēng)險及控制策略探究 [J].信息系統(tǒng)工程，2016（3）：74.

[13] 章建聰，沈曄.淺析通信設(shè)計企業(yè)保密管理體系的構(gòu)建 [J].保密科學(xué)與技術(shù)，2020（12）：63-66.

[14] 王洪元，劉曉飛，李曉杰.基于醫(yī)院信息系統(tǒng)探究醫(yī)院信息管理體系的構(gòu)建 [J].數(shù)字通信世界，2020（4）：196-197.

[15] 桂若柏.信息安全風(fēng)險評估模型的研究及其應(yīng)用 [D].重慶：重慶大學(xué)，2004.

[16] 學(xué)習(xí)《國家安全法》百問百答 [EB/OL].（2017-04-18）.http：//www.gdqy.gov.cn/xxgk/zzjg/zfjg/qysszbgs/zwgk/zcfg/content/post_86778.html.

[17] 三員職責(zé) [EB/OL].（2017-10-16）.https：//max.book118.com/html/2017/0911/133408498.shtm.

[18] IT治理信息安全管理：標(biāo)準(zhǔn)、理解與實施 [EB/OL].（2004-11-19）.http：//www.itgov.org.cn/Item/469.aspx.

作者簡介：惠建新（1978—），男，漢族，江蘇鹽城人，工程師，碩士，主要研究方向：應(yīng)用系統(tǒng)開發(fā)，系統(tǒng)分析與集成，信息系統(tǒng)管理;喬德志（1979—），男，漢族，遼寧大連人，高級工程師，碩士，主要研究方向：安全信息系統(tǒng)設(shè)計與開發(fā)，涉密網(wǎng)運維;婁洪偉（1982—），男，漢族，吉林長春人，正高級工程師，碩士，主要研究方向：網(wǎng)絡(luò)安全架構(gòu)研究，涉密網(wǎng)建設(shè)與維護(hù)。