落實(shí)等保要求提升信息安全保障能力

曹俊啟，黎 偉

（南水北調(diào)中線水源有限責(zé)任公司，丹江口 442700）

企業(yè)對于保護(hù)信息安全的工作始終保持著高度重視，通過國家相關(guān)部門的科學(xué)指導(dǎo)，努力進(jìn)行信息系統(tǒng)的安全保護(hù)整改、測評、定級等工作，對信息安全技術(shù)的等保體系進(jìn)行不斷完善與優(yōu)化，增加信息安全方面的投入，健全管理信息安全的流程，不斷提升工作人員的安全技能與安全意識。

1 開展等級保護(hù)測評

企業(yè)應(yīng)根據(jù)政府監(jiān)管機(jī)構(gòu)的要求與相關(guān)法律法規(guī)，積極進(jìn)行信息系統(tǒng)的等級保護(hù)測評工作，邀請相關(guān)測評機(jī)構(gòu)來測評已定級信息系統(tǒng)，確保全部備案系統(tǒng)都符合測評要求和國家信息系統(tǒng)的相關(guān)安全要求。與此同時，應(yīng)把公司的最終測評報(bào)告進(jìn)行公示，讓公司有關(guān)部門根據(jù)測評報(bào)告給出的建議與意見，對公司信息保護(hù)的安全體系進(jìn)行優(yōu)化與完善。應(yīng)頒布信息安全相關(guān)文件，根據(jù)文件的要求對各個部門的定級備案進(jìn)行指導(dǎo)，重新定級公司的信息系統(tǒng)，并確保定級結(jié)果能被專家組審核通過。此外，公司還應(yīng)定期對信息系統(tǒng)進(jìn)行等級保護(hù)的測評。

2 做好信息系統(tǒng)建設(shè)

要想使信息的安全保障能力得以提高，需要把等級化的需求歸納到非功能的需求規(guī)范中，從而對建設(shè)信息系統(tǒng)的工作進(jìn)行指導(dǎo)。公司應(yīng)制定非功能的需求制度規(guī)范，把等級保護(hù)的需求當(dāng)作重中之重，把信息系統(tǒng)的安全策略設(shè)計(jì)、安全保護(hù)需要、定級分類等和不同內(nèi)容以模板的形式進(jìn)行編制，加入到項(xiàng)目管理的過程中，對測試環(huán)節(jié)、設(shè)計(jì)系統(tǒng)環(huán)節(jié)、分析需求環(huán)節(jié)、提出需求等環(huán)節(jié)的工作進(jìn)行安全指導(dǎo)[1]。在進(jìn)行信息系統(tǒng)的安全保護(hù)工作時，應(yīng)從安全監(jiān)控、安全加固、防泄密、加密、訪問控制、身份認(rèn)證等多方面入手，提出相應(yīng)安全要求指標(biāo)。設(shè)計(jì)信息系統(tǒng)的安全策略時，應(yīng)從安全審計(jì)、安全監(jiān)控、防惡技術(shù)、安全加固、加密技術(shù)、訪問控制、身份認(rèn)證、產(chǎn)品管理、建設(shè)平臺等多方面入手，提出相應(yīng)安全策略。

3 完善等級保護(hù)體系

首先，應(yīng)設(shè)計(jì)信息系統(tǒng)的等級定級標(biāo)準(zhǔn)。公司應(yīng)以信息系統(tǒng)價值為主要的出發(fā)點(diǎn)確定定級的要素，量化評級信息系統(tǒng)。定級要求應(yīng)設(shè)計(jì)信息系統(tǒng)的業(yè)務(wù)連續(xù)性、服務(wù)能力、服務(wù)方式、服務(wù)范圍、服務(wù)對象、業(yè)務(wù)功能等多個方面與評估指標(biāo)，通過量化的科學(xué)方法評估信息系統(tǒng)價值，讓公司分級評估信息系統(tǒng)有理有據(jù)。其次，應(yīng)設(shè)計(jì)等級保護(hù)的分級原則。公司在劃分信息系統(tǒng)等級時應(yīng)將自身情況與國家、國際劃分等級的制度及方法進(jìn)行有機(jī)結(jié)合，將信息系統(tǒng)劃分成低保護(hù)級、中保護(hù)級、高保護(hù)級這三個安全保護(hù)等級。設(shè)計(jì)定級要素時，不但要從國家角度出發(fā)，加強(qiáng)對侵害國家、社會、公民程度的重視，還應(yīng)從公司層面加強(qiáng)對信息系統(tǒng)價值的重視，在定級時盡可能量化指標(biāo)，從而使由于理解差異導(dǎo)致的定級結(jié)果差異現(xiàn)象得以減少。

4 搭建安全技術(shù)平臺

企業(yè)應(yīng)按照信息系統(tǒng)的安全技術(shù)結(jié)構(gòu)，對搭建安全技術(shù)平臺的原則進(jìn)行明確，將基礎(chǔ)平臺應(yīng)用于信息系統(tǒng)的建設(shè)，給優(yōu)化與整合安全技術(shù)指明方向，使整個公司應(yīng)用信息系統(tǒng)的安全技術(shù)擁有具體指導(dǎo)細(xì)則。應(yīng)通過集中建設(shè)共性任務(wù)策略，對安全基礎(chǔ)平臺進(jìn)行搭建。應(yīng)進(jìn)行用戶授權(quán)與認(rèn)證平臺的開發(fā)，將權(quán)限控制服務(wù)與身份認(rèn)證服務(wù)提供給整個公司的系統(tǒng)與網(wǎng)絡(luò)。應(yīng)對安全服務(wù)的加密平臺進(jìn)行統(tǒng)一開發(fā)，使加密服務(wù)應(yīng)用于公司的不同應(yīng)用系統(tǒng)，應(yīng)設(shè)計(jì)數(shù)據(jù)管理的安全系統(tǒng)，使公司的各項(xiàng)數(shù)據(jù)獲得數(shù)據(jù)防泄漏、訪問控制、安全策略等服務(wù)。進(jìn)行信息系統(tǒng)的管理與運(yùn)維時，應(yīng)對事件監(jiān)控、日志管理、管理運(yùn)維等系統(tǒng)進(jìn)行建設(shè)，為運(yùn)維提供全面的審計(jì)、監(jiān)控、授權(quán)等服務(wù)[2]。

公司應(yīng)按照安全技術(shù)的等級化架構(gòu)，通過縱深防御戰(zhàn)略的使用對信息安全運(yùn)維保障的體系進(jìn)行建設(shè)，和公安、電信等多個部門合作，構(gòu)建協(xié)防的機(jī)制，通過國家手段對大范圍、惡性攻擊行為進(jìn)行防范。應(yīng)對外聯(lián)網(wǎng)與互聯(lián)網(wǎng)兩者的防護(hù)安全標(biāo)準(zhǔn)進(jìn)行合理規(guī)劃，對行為檢測、信息過濾、入侵檢測、防火墻等系統(tǒng)進(jìn)行科學(xué)部署，對邊界的風(fēng)險(xiǎn)隱患進(jìn)行防范。應(yīng)做好網(wǎng)站安全威脅的研究、分析、跟蹤等工作，在網(wǎng)站系統(tǒng)中積極使用新產(chǎn)品與新技術(shù)，定期檢測假冒網(wǎng)站，進(jìn)行安全滲透的測試。應(yīng)對內(nèi)部的網(wǎng)絡(luò)區(qū)域進(jìn)行科學(xué)劃分，對測試網(wǎng)、辦公網(wǎng)、生產(chǎn)網(wǎng)進(jìn)行隔離，對桌面防護(hù)的安全體系進(jìn)行部署，使整個公司的計(jì)算機(jī)終端獲得管理漏洞補(bǔ)丁與防范病毒等多種服務(wù)。應(yīng)加快作業(yè)調(diào)度系統(tǒng)的推進(jìn)，轉(zhuǎn)變原有的系統(tǒng)與手工命令調(diào)度方法，使管理運(yùn)維平臺朝著自動化的方向發(fā)展，使重復(fù)性工作更加規(guī)范化、集約化、自動化，減少信息系統(tǒng)的人為安全隱患，構(gòu)建一個監(jiān)控運(yùn)維系統(tǒng)，動態(tài)監(jiān)控公司的系統(tǒng)設(shè)備。

5 結(jié)束語

總而言之，做好信息安全保障工作具有十分重要的意義。公司應(yīng)貫徹落實(shí)等級保護(hù)的要求，開展等級保護(hù)測評，做好信息系統(tǒng)建設(shè)，完善等級保護(hù)體系，搭建安全技術(shù)平臺，從而使自身的信息安全保障能力得到提升，有效處理自然因素、系統(tǒng)因素、人為因素對信息系統(tǒng)造成的負(fù)面影響，促進(jìn)公司的可持續(xù)發(fā)展。