鄒敏

【關(guān)鍵詞】信息系統(tǒng)管理;等級(jí)保護(hù);信息安全

對(duì)于信息系統(tǒng)安全等級(jí)保護(hù)而言，屬于國(guó)家在信息安全方面構(gòu)建的一項(xiàng)基本國(guó)策，主要由公安部進(jìn)行牽頭。通過(guò)多年探索，組建了信息安全等級(jí)保護(hù)的政策以及標(biāo)準(zhǔn)體系，并在全國(guó)進(jìn)行了推廣。等級(jí)保護(hù)存在于信息系統(tǒng)設(shè)計(jì)研發(fā)、上線運(yùn)維、廢棄等相關(guān)環(huán)境中，運(yùn)維屬于信息系統(tǒng)的生命周期中的關(guān)鍵環(huán)境，與業(yè)務(wù)應(yīng)用、企業(yè)正常運(yùn)轉(zhuǎn)和管理之間存在著緊密的聯(lián)系。并且，在《GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中，立足于技術(shù)以及管理兩個(gè)方面，制定了信息系統(tǒng)在運(yùn)維安全方面需要滿足的相關(guān)要求。其中，技術(shù)層面表現(xiàn)為從主機(jī)和網(wǎng)絡(luò)設(shè)備的訪問(wèn)控制、身份鑒別和權(quán)限管理、帳號(hào)管理、安全審計(jì)和數(shù)據(jù)保密性、完整性等控制點(diǎn)提出要求，管理層面主要從監(jiān)控管理和安全管理等控制點(diǎn)提出要求，指導(dǎo)運(yùn)營(yíng)單位的建設(shè)整改和管理機(jī)構(gòu)的監(jiān)督管理。

一、運(yùn)維階段安全工作要求

（一）做好運(yùn)行管理控制

該工作在于讓系統(tǒng)實(shí)現(xiàn)安全運(yùn)行，相關(guān)人員既要確保在操作系統(tǒng)的過(guò)程中相關(guān)操作動(dòng)作是安全以及正確的，同時(shí)還需要確保相關(guān)運(yùn)行管理活動(dòng)能夠始終處于被控制狀態(tài)。

（二）做好變更管理控制

該工作的主要目的在于當(dāng)業(yè)務(wù)應(yīng)用、系統(tǒng)結(jié)構(gòu)、安全設(shè)施、安全配置等可能出現(xiàn)改變的情況下，借助于標(biāo)準(zhǔn)規(guī)范的流程來(lái)保障變更可能造成的信息資產(chǎn)安全以及將業(yè)務(wù)活動(dòng)受到影響、業(yè)務(wù)中斷等降至最低[1]。

（三）做好狀態(tài)監(jiān)控工作

在安全監(jiān)控方面，信息系統(tǒng)的安全等級(jí)不同，那么所需要采用的監(jiān)控內(nèi)容和手段也是不同的。

（四）做好處置應(yīng)急工作

對(duì)安全事件來(lái)說(shuō)，應(yīng)當(dāng)實(shí)施分級(jí)響應(yīng)處理手段，在構(gòu)建應(yīng)急響應(yīng)系統(tǒng)的過(guò)程中必須嚴(yán)格遵循既定標(biāo)準(zhǔn)規(guī)范，從而保證業(yè)務(wù)系統(tǒng)處于持續(xù)穩(wěn)定的運(yùn)行狀態(tài)。

（五）做好檢查改進(jìn)工作

在維護(hù)信息系統(tǒng)過(guò)程中，考慮到會(huì)發(fā)生安全狀態(tài)改變、系統(tǒng)變更等情況，所以定期對(duì)系統(tǒng)狀況予以檢查是非常有必要的，同時(shí)還需要結(jié)合檢查結(jié)果持續(xù)改進(jìn)系統(tǒng)。

（六）等級(jí)保護(hù)安全測(cè)評(píng)

遵循等級(jí)保護(hù)的相關(guān)標(biāo)準(zhǔn)以及相關(guān)法規(guī)，定期對(duì)系統(tǒng)做好安全測(cè)評(píng)工作。

二、運(yùn)維階段安全工作

（一）系統(tǒng)運(yùn)行管理

對(duì)于不同的信息系統(tǒng)而言，《信息安全責(zé)任管理制度》的制定是非常有必要的，應(yīng)對(duì)運(yùn)行管理人員的角色加以劃分，同時(shí)賦予他們各自不同的權(quán)限，明確每個(gè)角色應(yīng)當(dāng)履行的職責(zé)。同時(shí)，人員培訓(xùn)方面也不能放松。應(yīng)當(dāng)將不同角色人員使用的操作系統(tǒng)予以記錄，同時(shí)要記錄系統(tǒng)的運(yùn)行狀況。

（二）系統(tǒng)變更管理

對(duì)于系統(tǒng)變更問(wèn)題來(lái)說(shuō)，相關(guān)責(zé)任人需要清楚了解用戶實(shí)際需求，嚴(yán)格按照具體需求來(lái)形成記錄文檔。隨后積極聯(lián)系安全運(yùn)維和系統(tǒng)運(yùn)維人員，針對(duì)需求變更文檔實(shí)施全方位的研究探討，最終明確具體的變更內(nèi)容，制定有針對(duì)性的系統(tǒng)變更計(jì)劃[2]。針對(duì)變更實(shí)施工作，應(yīng)當(dāng)制定詳細(xì)周到的方案，同時(shí)由負(fù)責(zé)人、安全運(yùn)維方評(píng)審該方案，然后由系統(tǒng)運(yùn)維方按照通過(guò)評(píng)審的方案執(zhí)行，同時(shí)應(yīng)當(dāng)記錄在此期間的相關(guān)信息。

（三）系統(tǒng)狀態(tài)監(jiān)控

針對(duì)監(jiān)控系統(tǒng)狀態(tài)，首先必須清楚了解監(jiān)控具體內(nèi)容，例如說(shuō)系統(tǒng)資源實(shí)際使用狀態(tài)、網(wǎng)絡(luò)流量、TCP連接數(shù)量以及系統(tǒng)涉及的其他硬件設(shè)備;其次應(yīng)當(dāng)合理選擇監(jiān)控手段，例如說(shuō)依靠網(wǎng)防G01、阿里云以及監(jiān)控寶等相關(guān)軟件工具;最后要做到對(duì)監(jiān)控?cái)?shù)據(jù)信息的深入分析，以便信息安全事件能夠被及時(shí)發(fā)現(xiàn)，然后快速做出應(yīng)對(duì)[3]。

三、運(yùn)維階段防護(hù)工作

（一）網(wǎng)絡(luò)安全防護(hù)

互聯(lián)網(wǎng)是信息系統(tǒng)成功構(gòu)建的基礎(chǔ)所在，無(wú)論是計(jì)算機(jī)，又或者其相關(guān)配套設(shè)備均因此得以共享、互聯(lián)，然而也會(huì)出現(xiàn)很多安全方面的問(wèn)題。針對(duì)網(wǎng)絡(luò)安全防護(hù)來(lái)說(shuō)，涉及的相關(guān)工作不單單要確保網(wǎng)絡(luò)結(jié)構(gòu)安全，同時(shí)還需要重視網(wǎng)絡(luò)邊界和內(nèi)部的防護(hù)工作。通常情況下依靠子系統(tǒng)劃分以及安全域劃分來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)的穩(wěn)定運(yùn)行;靈活應(yīng)用VPN、邊界防護(hù)以及防火墻等，借此來(lái)控制或者過(guò)濾外部訪問(wèn)，檢查由內(nèi)向外傳輸?shù)南嚓P(guān)信息的安全性。基于等級(jí)保護(hù)的安全防護(hù)作業(yè)而言，具體來(lái)說(shuō)能夠詳細(xì)劃分成如下等級(jí)[4]：一是自主保護(hù)。這一級(jí)網(wǎng)絡(luò)安全信息無(wú)測(cè)評(píng)周期要求，無(wú)須在公安機(jī)關(guān)進(jìn)行備案;二是指導(dǎo)保護(hù)。這一級(jí)建議每?jī)赡杲M織實(shí)施安全評(píng)測(cè)活動(dòng)，應(yīng)當(dāng)按照相關(guān)規(guī)定予以備案;三是監(jiān)督保護(hù)?？梢远ㄆ诮M織年度網(wǎng)絡(luò)安全評(píng)測(cè)，應(yīng)當(dāng)按照規(guī)定予以備案;四是強(qiáng)制保護(hù)，可以間隔半年時(shí)間組織安全評(píng)測(cè)，應(yīng)當(dāng)按照規(guī)定予以備案;五是專項(xiàng)保護(hù)，結(jié)合網(wǎng)絡(luò)信息安全防護(hù)的具體情況采取不定期評(píng)測(cè)的方式，應(yīng)當(dāng)按照規(guī)定予以備案[5]。

（二）環(huán)境安全防護(hù)

環(huán)境安全防護(hù)應(yīng)當(dāng)借助于相應(yīng)技術(shù)保障用戶信息在進(jìn)入服務(wù)器和客戶機(jī)、駐留服務(wù)器和客戶機(jī)等各種情況之下都能夠具備較強(qiáng)的安全性與完整性。一般來(lái)說(shuō)可以使用的系統(tǒng)軟件不單單包含主機(jī)數(shù)據(jù)庫(kù)，同時(shí)也涉及操作系統(tǒng);類似瀏覽器等較為通用的系統(tǒng)軟件程序，以及獨(dú)立應(yīng)用程序（主要是指專門開(kāi)發(fā)的）[6]。

（三）數(shù)據(jù)備份及恢復(fù)

該項(xiàng)工作主要是確保數(shù)據(jù)存儲(chǔ)的安全性，把數(shù)據(jù)復(fù)制多個(gè)備份然后予以分開(kāi)保存?；謴?fù)數(shù)據(jù)的方式目前主要有重定向恢復(fù)、單獨(dú)文件恢復(fù)、全盤恢復(fù)等。完整的恢復(fù)方案及數(shù)據(jù)備份應(yīng)當(dāng)包含數(shù)據(jù)恢復(fù)計(jì)劃、備份制度、備份軟硬件三部分[7]。

四、結(jié)語(yǔ)

總而言之，企業(yè)的信息系統(tǒng)如果在設(shè)計(jì)之初沒(méi)有考慮到網(wǎng)絡(luò)安全，那么上線系統(tǒng)后難免會(huì)遭受入侵、漏洞以及攻擊等問(wèn)題，此時(shí)再進(jìn)行整改，將會(huì)面臨重重困難，比如代碼重構(gòu)、網(wǎng)絡(luò)調(diào)整、架構(gòu)變更等。因此在設(shè)計(jì)之初就要考慮到網(wǎng)絡(luò)安全防護(hù)，如此信息系統(tǒng)才能夠?qū)崿F(xiàn)更節(jié)約、更有效地建設(shè)。