關(guān)于信息安全等級(jí)保護(hù)提升信息系統(tǒng)管理水平的探討

摘 要 當(dāng)今信息化社會(huì)在提供巨大便利的同時(shí)也給智能化企業(yè)帶來了一系列的信息安全故障，這是信息安全工作的等級(jí)管理的巨大挑戰(zhàn)。國(guó)家相關(guān)部門逐漸加強(qiáng)了對(duì)信息安全等級(jí)保護(hù)工作的規(guī)范和引導(dǎo)，這其中涉及的“三同步”原則以及區(qū)別化管理手段對(duì)于不斷推動(dòng)企業(yè)信息系統(tǒng)管理水平具有關(guān)鍵作用，通過對(duì)智能信息系統(tǒng)的安全分級(jí)測(cè)評(píng)以及職責(zé)分配等環(huán)節(jié)，可以逐漸完善企業(yè)信息系統(tǒng)各個(gè)環(huán)節(jié)的生命周期，進(jìn)而有效提升公司整體信息處理技術(shù)的水平和安全效果，為社會(huì)整體發(fā)展提供智力支持。

關(guān)鍵詞 信息安全;等級(jí)保護(hù);系統(tǒng)管理水平;思路與機(jī)制

現(xiàn)代企業(yè)信息系統(tǒng)在取得飛速發(fā)展的過程中，也普遍存在著一系列的安全故障，這些安全問題存在于信息系統(tǒng)運(yùn)行的各個(gè)階段，比如在規(guī)劃階段缺乏對(duì)于信息系統(tǒng)的整體安全保護(hù)意識(shí)，就會(huì)直接影響到設(shè)計(jì)階段安全方案的有效實(shí)行。其次在正式上線運(yùn)行之后，缺乏對(duì)安全測(cè)試機(jī)制的設(shè)置以及各項(xiàng)等級(jí)測(cè)評(píng)和運(yùn)行環(huán)境測(cè)試的忽略，將對(duì)企業(yè)整體信息系統(tǒng)造成危害。因此我們必須從信息系統(tǒng)規(guī)劃的整個(gè)生命周期出發(fā)，不斷加強(qiáng)安全等級(jí)保護(hù)意識(shí)。

1信息安全等級(jí)保護(hù)管理的提升思路

（1）信息安全等級(jí)保護(hù)的管理現(xiàn)狀。隨著現(xiàn)代信息社會(huì)的智能化飛速發(fā)展和人們對(duì)工作高效性的不斷追求，企業(yè)信息系統(tǒng)的發(fā)展取得飛速進(jìn)步，但是不可否認(rèn)的是信息安全等級(jí)相關(guān)措施的設(shè)置仍存在著一定缺陷，主要體現(xiàn)在首先企業(yè)信息系統(tǒng)在規(guī)劃設(shè)計(jì)階段過于側(cè)重專業(yè)應(yīng)用功能的效能發(fā)揮和實(shí)際應(yīng)用，而在很大程度上忽略了信息系統(tǒng)安全保護(hù)和等級(jí)設(shè)置的巨大作用，因此在具體的設(shè)計(jì)方案上也就缺少相關(guān)配套安全措施的同步規(guī)劃設(shè)計(jì)。其次就體現(xiàn)在測(cè)試和正式上線運(yùn)行階段，沒有建立十分完善的安全性測(cè)試機(jī)制，因此關(guān)于一系列的測(cè)評(píng)環(huán)節(jié)也就失去了具體的實(shí)際意義。關(guān)于惡意軟件代碼的審查、源代碼的后門查詢認(rèn)證以及相關(guān)關(guān)系統(tǒng)漏洞的查找和運(yùn)行等級(jí)測(cè)評(píng)等安全隱患環(huán)節(jié)，都難以實(shí)現(xiàn)正常環(huán)節(jié)下的系統(tǒng)維護(hù)。以上關(guān)于企業(yè)信息系統(tǒng)運(yùn)行過程中存在的安全故障，要求相關(guān)技術(shù)人員必須通過安全等級(jí)設(shè)置和維護(hù)不斷提升信息系統(tǒng)的安全建設(shè)，為實(shí)現(xiàn)信息網(wǎng)絡(luò)社會(huì)的長(zhǎng)遠(yuǎn)發(fā)展提供安全保障[1]。

（2）提升信息系統(tǒng)安全等級(jí)保護(hù)的具體思路。眾所周知企業(yè)信息系統(tǒng)的生命周期包括規(guī)劃、設(shè)計(jì)、開發(fā)、測(cè)試、實(shí)施和應(yīng)用上線與上架以及運(yùn)行維護(hù)等環(huán)節(jié)，而要想不斷提升信息系統(tǒng)安全等級(jí)保護(hù)水平，就必須將其五個(gè)工作階段，也就是定級(jí)、備案、安全建設(shè)和整改信息、安全等級(jí)測(cè)評(píng)以及信息安全檢查融入信息系統(tǒng)的生命周期中。還要根據(jù)目前信息系統(tǒng)管理過程中存在的一系列問題，設(shè)置安全等級(jí)保護(hù)的重點(diǎn)內(nèi)容，最大程度上降低安全隱患，為信息系統(tǒng)的安全穩(wěn)定運(yùn)行提供基礎(chǔ)保障。

首先是企業(yè)信息系統(tǒng)的規(guī)劃階段，技術(shù)人員要從企業(yè)具體實(shí)際情況出發(fā)，計(jì)算相應(yīng)的信息安全等級(jí)開發(fā)和維護(hù)的費(fèi)用清單，為后續(xù)的規(guī)劃設(shè)計(jì)和運(yùn)行維護(hù)提供物質(zhì)上的保障。還要對(duì)相應(yīng)的信息系統(tǒng)安全等級(jí)管理的整體體系和工作任務(wù)以及具體流程進(jìn)行宏觀上的規(guī)劃，為后續(xù)的等級(jí)設(shè)計(jì)和系統(tǒng)維護(hù)提供保障。接下來是設(shè)計(jì)階段，系統(tǒng)建設(shè)部門要根據(jù)公司的具體要求組織設(shè)計(jì)方案，并提交相關(guān)部門審核通過。對(duì)于需要設(shè)置安全等級(jí)保護(hù)的系統(tǒng)來說，在定級(jí)之后系統(tǒng)建設(shè)部門人員要對(duì)系統(tǒng)運(yùn)維和開發(fā)單位進(jìn)行合理組織，科學(xué)設(shè)計(jì)安全等級(jí)保護(hù)總體方案和相關(guān)的運(yùn)行維護(hù)規(guī)劃。在開發(fā)階段，系統(tǒng)建設(shè)部門作為用戶方必須嚴(yán)格遵守相關(guān)的規(guī)范來進(jìn)行等級(jí)設(shè)置和運(yùn)行維護(hù)。在具體過程中要絕對(duì)使用正版合格的操作系統(tǒng)、并嚴(yán)格檢測(cè)強(qiáng)口令和系統(tǒng)測(cè)試的合格證明，從而有效保證信息安全和等級(jí)管理過程中的有效性和實(shí)用性。在測(cè)試階段，主要側(cè)重于對(duì)安全等級(jí)保護(hù)管理工作和安全測(cè)評(píng)進(jìn)行合理有效的評(píng)估。在這一過程中仍然涉及對(duì)國(guó)家相關(guān)法律規(guī)定的遵守和行業(yè)標(biāo)準(zhǔn)的執(zhí)行，在必要條件下要向當(dāng)?shù)毓矙C(jī)關(guān)進(jìn)行備案。接下來是安全等級(jí)保護(hù)的實(shí)施和上線運(yùn)行階段，在工作過程中系統(tǒng)介紹部門要合理敦促有關(guān)機(jī)構(gòu)和部門合理維護(hù)等級(jí)保護(hù)管理工作的進(jìn)行，對(duì)測(cè)評(píng)整改的工作成果進(jìn)行合理驗(yàn)收。并且還要在最大程度上實(shí)現(xiàn)安全等級(jí)工作對(duì)信息系統(tǒng)整體的安全維護(hù)和故障排查，為實(shí)現(xiàn)企業(yè)信息管理的科學(xué)性提供基礎(chǔ)的智力保障[2]。最后是關(guān)于信息系統(tǒng)的運(yùn)行維護(hù)階段，運(yùn)維階段是安全等級(jí)保護(hù)的關(guān)鍵輸出階段，要本著“誰主管誰負(fù)責(zé)，誰運(yùn)行誰負(fù)責(zé)”的原則，對(duì)相關(guān)的安全隱患進(jìn)行分配和整改。此外對(duì)于信息安全等級(jí)保護(hù)中的關(guān)鍵環(huán)節(jié)，也就是數(shù)據(jù)備份、安全隱患分析排查等要分配專門的技術(shù)人員進(jìn)行跟蹤，確保企業(yè)運(yùn)行的長(zhǎng)遠(yuǎn)性。

2設(shè)置安全等級(jí)保護(hù)管理下的信息系統(tǒng)工作機(jī)制

首先是信息安全考評(píng)機(jī)制的設(shè)置，這一環(huán)節(jié)的工作過程指的是由信息職能部門對(duì)公司的各項(xiàng)信息專業(yè)工作進(jìn)行合理的檢查和考核，根據(jù)具體的安全等級(jí)分配實(shí)施效果和開展情況，對(duì)相關(guān)部門和機(jī)構(gòu)進(jìn)行評(píng)估。并將評(píng)估結(jié)果進(jìn)行反饋和整改，這樣就建立了完善的信息管理系統(tǒng)的監(jiān)督和評(píng)估制度，更有利于企業(yè)合理的績(jī)效分配和長(zhǎng)遠(yuǎn)的發(fā)展。其次是信息安全等級(jí)的協(xié)同機(jī)制，這個(gè)主要通過建立明確的信息化領(lǐng)導(dǎo)小組來協(xié)調(diào)實(shí)現(xiàn)。通過具體文件來明確信息安全工作的職責(zé)和具體環(huán)節(jié)的任務(wù)分配，不斷明確信息系統(tǒng)測(cè)評(píng)和評(píng)估過程中所發(fā)現(xiàn)的問題，通過協(xié)調(diào)配合不斷建立完善的安全整改方案，并交由相關(guān)部門進(jìn)行落實(shí)。最后是例會(huì)機(jī)制，通過開展定期例會(huì)的形式來對(duì)信息系統(tǒng)安全等級(jí)保護(hù)過程中存在的相關(guān)問題進(jìn)行系統(tǒng)探討，集中開展相關(guān)的信息保護(hù)提升會(huì)議，為最大程度上改善企業(yè)信息管理系統(tǒng)運(yùn)行過程中存在的故障問題提供解決方案[3]。

3結(jié)束語

安全等級(jí)管理需要相關(guān)的工作機(jī)制來進(jìn)行維持和保障，比如相應(yīng)的例會(huì)機(jī)制、協(xié)同機(jī)制和考評(píng)機(jī)制就在很大程度上優(yōu)化了等級(jí)保護(hù)的整體水平。通過過程滲透和機(jī)制維護(hù)，不但加固了信息系統(tǒng)的安全防護(hù)水平，而且還有助于企業(yè)整體管理效率和質(zhì)量的提升，從而為企業(yè)經(jīng)濟(jì)收益和社會(huì)影響力的提升提供了基礎(chǔ)保障。

參考文獻(xiàn)

[1] 周寅晴，歐陽資春.淺談信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)的實(shí)施管理[J].數(shù)字通信世界，2018（8）：155-156.

[2] 王丙飛. 信息系統(tǒng)安全等級(jí)保護(hù)綜合管理系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].北京：電子科技大學(xué)，2017.

[3] 龍華.大型企業(yè)資金信息系統(tǒng)安全保障策略及設(shè)計(jì)[J].中小企業(yè)管理與科技（中旬刊），2017（6）：27-29.

作者簡(jiǎn)介

鄭興江（1981-），男，江蘇阜寧人;學(xué)歷：大學(xué)本科，職稱：工程師，研究方向：網(wǎng)絡(luò)與信息安全。