论文部分内容阅读
【关键词】信息系统管理;等级保护;信息安全
对于信息系统安全等级保护而言,属于国家在信息安全方面构建的一项基本国策,主要由公安部进行牵头。通过多年探索,组建了信息安全等级保护的政策以及标准体系,并在全国进行了推广。等级保护存在于信息系统设计研发、上线运维、废弃等相关环境中,运维属于信息系统的生命周期中的关键环境,与业务应用、企业正常运转和管理之间存在着紧密的联系。并且,在《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》中,立足于技术以及管理两个方面,制定了信息系统在运维安全方面需要满足的相关要求。其中,技术层面表现为从主机和网络设备的访问控制、身份鉴别和权限管理、帐号管理、安全审计和数据保密性、完整性等控制点提出要求,管理层面主要从监控管理和安全管理等控制点提出要求,指导运营单位的建设整改和管理机构的监督管理。
(一)做好运行管理控制
該工作在于让系统实现安全运行,相关人员既要确保在操作系统的过程中相关操作动作是安全以及正确的,同时还需要确保相关运行管理活动能够始终处于被控制状态。
(二)做好变更管理控制
该工作的主要目的在于当业务应用、系统结构、安全设施、安全配置等可能出现改变的情况下,借助于标准规范的流程来保障变更可能造成的信息资产安全以及将业务活动受到影响、业务中断等降至最低[1]。
(三)做好状态监控工作
在安全监控方面,信息系统的安全等级不同,那么所需要采用的监控内容和手段也是不同的。
(四)做好处置应急工作
对安全事件来说,应当实施分级响应处理手段,在构建应急响应系统的过程中必须严格遵循既定标准规范,从而保证业务系统处于持续稳定的运行状态。
(五)做好检查改进工作
在维护信息系统过程中,考虑到会发生安全状态改变、系统变更等情况,所以定期对系统状况予以检查是非常有必要的,同时还需要结合检查结果持续改进系统。
(六)等级保护安全测评
遵循等级保护的相关标准以及相关法规,定期对系统做好安全测评工作。
(一)系统运行管理
对于不同的信息系统而言,《信息安全责任管理制度》的制定是非常有必要的,应对运行管理人员的角色加以划分,同时赋予他们各自不同的权限,明确每个角色应当履行的职责。同时,人员培训方面也不能放松。应当将不同角色人员使用的操作系统予以记录,同时要记录系统的运行状况。
(二)系统变更管理
对于系统变更问题来说,相关责任人需要清楚了解用户实际需求,严格按照具体需求来形成记录文档。随后积极联系安全运维和系统运维人员,针对需求变更文档实施全方位的研究探讨,最终明确具体的变更内容,制定有针对性的系统变更计划[2]。针对变更实施工作,应当制定详细周到的方案,同时由负责人、安全运维方评审该方案,然后由系统运维方按照通过评审的方案执行,同时应当记录在此期间的相关信息。
(三)系统状态监控
针对监控系统状态,首先必须清楚了解监控具体内容,例如说系统资源实际使用状态、网络流量、TCP连接数量以及系统涉及的其他硬件设备;其次应当合理选择监控手段,例如说依靠网防G01、阿里云以及监控宝等相关软件工具;最后要做到对监控数据信息的深入分析,以便信息安全事件能够被及时发现,然后快速做出应对[3]。
(一)网络安全防护
互联网是信息系统成功构建的基础所在,无论是计算机,又或者其相关配套设备均因此得以共享、互联,然而也会出现很多安全方面的问题。针对网络安全防护来说,涉及的相关工作不单单要确保网络结构安全,同时还需要重视网络边界和内部的防护工作。通常情况下依靠子系统划分以及安全域划分来实现网络结构的稳定运行;灵活应用VPN、边界防护以及防火墙等,借此来控制或者过滤外部访问,检查由内向外传输的相关信息的安全性。基于等级保护的安全防护作业而言,具体来说能够详细划分成如下等级[4]:一是自主保护。这一级网络安全信息无测评周期要求,无须在公安机关进行备案;二是指导保护。这一级建议每两年组织实施安全评测活动,应当按照相关规定予以备案;三是监督保护。可以定期组织年度网络安全评测,应当按照规定予以备案;四是强制保护,可以间隔半年时间组织安全评测,应当按照规定予以备案;五是专项保护,结合网络信息安全防护的具体情况采取不定期评测的方式,应当按照规定予以备案[5]。
(二)环境安全防护
环境安全防护应当借助于相应技术保障用户信息在进入服务器和客户机、驻留服务器和客户机等各种情况之下都能够具备较强的安全性与完整性。一般来说可以使用的系统软件不单单包含主机数据库,同时也涉及操作系统;类似浏览器等较为通用的系统软件程序,以及独立应用程序(主要是指专门开发的)[6]。
(三)数据备份及恢复
该项工作主要是确保数据存储的安全性,把数据复制多个备份然后予以分开保存。恢复数据的方式目前主要有重定向恢复、单独文件恢复、全盘恢复等。完整的恢复方案及数据备份应当包含数据恢复计划、备份制度、备份软硬件三部分[7]。
总而言之,企业的信息系统如果在设计之初没有考虑到网络安全,那么上线系统后难免会遭受入侵、漏洞以及攻击等问题,此时再进行整改,将会面临重重困难,比如代码重构、网络调整、架构变更等。因此在设计之初就要考虑到网络安全防护,如此信息系统才能够实现更节约、更有效地建设。
对于信息系统安全等级保护而言,属于国家在信息安全方面构建的一项基本国策,主要由公安部进行牵头。通过多年探索,组建了信息安全等级保护的政策以及标准体系,并在全国进行了推广。等级保护存在于信息系统设计研发、上线运维、废弃等相关环境中,运维属于信息系统的生命周期中的关键环境,与业务应用、企业正常运转和管理之间存在着紧密的联系。并且,在《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》中,立足于技术以及管理两个方面,制定了信息系统在运维安全方面需要满足的相关要求。其中,技术层面表现为从主机和网络设备的访问控制、身份鉴别和权限管理、帐号管理、安全审计和数据保密性、完整性等控制点提出要求,管理层面主要从监控管理和安全管理等控制点提出要求,指导运营单位的建设整改和管理机构的监督管理。
一、运维阶段安全工作要求
(一)做好运行管理控制
該工作在于让系统实现安全运行,相关人员既要确保在操作系统的过程中相关操作动作是安全以及正确的,同时还需要确保相关运行管理活动能够始终处于被控制状态。
(二)做好变更管理控制
该工作的主要目的在于当业务应用、系统结构、安全设施、安全配置等可能出现改变的情况下,借助于标准规范的流程来保障变更可能造成的信息资产安全以及将业务活动受到影响、业务中断等降至最低[1]。
(三)做好状态监控工作
在安全监控方面,信息系统的安全等级不同,那么所需要采用的监控内容和手段也是不同的。
(四)做好处置应急工作
对安全事件来说,应当实施分级响应处理手段,在构建应急响应系统的过程中必须严格遵循既定标准规范,从而保证业务系统处于持续稳定的运行状态。
(五)做好检查改进工作
在维护信息系统过程中,考虑到会发生安全状态改变、系统变更等情况,所以定期对系统状况予以检查是非常有必要的,同时还需要结合检查结果持续改进系统。
(六)等级保护安全测评
遵循等级保护的相关标准以及相关法规,定期对系统做好安全测评工作。
二、运维阶段安全工作
(一)系统运行管理
对于不同的信息系统而言,《信息安全责任管理制度》的制定是非常有必要的,应对运行管理人员的角色加以划分,同时赋予他们各自不同的权限,明确每个角色应当履行的职责。同时,人员培训方面也不能放松。应当将不同角色人员使用的操作系统予以记录,同时要记录系统的运行状况。
(二)系统变更管理
对于系统变更问题来说,相关责任人需要清楚了解用户实际需求,严格按照具体需求来形成记录文档。随后积极联系安全运维和系统运维人员,针对需求变更文档实施全方位的研究探讨,最终明确具体的变更内容,制定有针对性的系统变更计划[2]。针对变更实施工作,应当制定详细周到的方案,同时由负责人、安全运维方评审该方案,然后由系统运维方按照通过评审的方案执行,同时应当记录在此期间的相关信息。
(三)系统状态监控
针对监控系统状态,首先必须清楚了解监控具体内容,例如说系统资源实际使用状态、网络流量、TCP连接数量以及系统涉及的其他硬件设备;其次应当合理选择监控手段,例如说依靠网防G01、阿里云以及监控宝等相关软件工具;最后要做到对监控数据信息的深入分析,以便信息安全事件能够被及时发现,然后快速做出应对[3]。
三、运维阶段防护工作
(一)网络安全防护
互联网是信息系统成功构建的基础所在,无论是计算机,又或者其相关配套设备均因此得以共享、互联,然而也会出现很多安全方面的问题。针对网络安全防护来说,涉及的相关工作不单单要确保网络结构安全,同时还需要重视网络边界和内部的防护工作。通常情况下依靠子系统划分以及安全域划分来实现网络结构的稳定运行;灵活应用VPN、边界防护以及防火墙等,借此来控制或者过滤外部访问,检查由内向外传输的相关信息的安全性。基于等级保护的安全防护作业而言,具体来说能够详细划分成如下等级[4]:一是自主保护。这一级网络安全信息无测评周期要求,无须在公安机关进行备案;二是指导保护。这一级建议每两年组织实施安全评测活动,应当按照相关规定予以备案;三是监督保护。可以定期组织年度网络安全评测,应当按照规定予以备案;四是强制保护,可以间隔半年时间组织安全评测,应当按照规定予以备案;五是专项保护,结合网络信息安全防护的具体情况采取不定期评测的方式,应当按照规定予以备案[5]。
(二)环境安全防护
环境安全防护应当借助于相应技术保障用户信息在进入服务器和客户机、驻留服务器和客户机等各种情况之下都能够具备较强的安全性与完整性。一般来说可以使用的系统软件不单单包含主机数据库,同时也涉及操作系统;类似浏览器等较为通用的系统软件程序,以及独立应用程序(主要是指专门开发的)[6]。
(三)数据备份及恢复
该项工作主要是确保数据存储的安全性,把数据复制多个备份然后予以分开保存。恢复数据的方式目前主要有重定向恢复、单独文件恢复、全盘恢复等。完整的恢复方案及数据备份应当包含数据恢复计划、备份制度、备份软硬件三部分[7]。
四、结语
总而言之,企业的信息系统如果在设计之初没有考虑到网络安全,那么上线系统后难免会遭受入侵、漏洞以及攻击等问题,此时再进行整改,将会面临重重困难,比如代码重构、网络调整、架构变更等。因此在设计之初就要考虑到网络安全防护,如此信息系统才能够实现更节约、更有效地建设。