科研院所安全信息系統(tǒng)運(yùn)維標(biāo)準(zhǔn)研究

惠建新 喬德志 婁洪偉

摘 ?要：文章對(duì)科研院所安全信息系統(tǒng)運(yùn)維現(xiàn)狀進(jìn)行了分析研究，依照國(guó)家有關(guān)體系規(guī)定的要求，提出了建立科研院所安全運(yùn)維標(biāo)準(zhǔn)的意見(jiàn)。該標(biāo)準(zhǔn)意見(jiàn)具有可靠性、普適性、穩(wěn)定性，能夠通過(guò)技術(shù)和管理手段提高運(yùn)維和審計(jì)水平，降低運(yùn)維成本，并能提供安全可靠的運(yùn)行環(huán)境。實(shí)現(xiàn)了問(wèn)題牽引，靶向解決安全信息系統(tǒng)運(yùn)維要害，可有力支撐科研院所信息化工作。

關(guān)鍵詞：安全信息系統(tǒng);運(yùn)維體系;三員人員;安全防護(hù)

中圖分類(lèi)號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：2096-4706（2021）13-0128-06

Research on Operation and Maintenance Standard of Safety Information System in Scientific Research Institutes

HUI Jianxin1， QIAO Dezhi2， LOU Hongwei3

（1.Purple Mountain Observatory， Chinese Academy of Sciences， Nanjing 210023， China; 2. Dalian Institute of Chemical Physics， Chinese Academy of Sciences， Dalian 116023， China; 3.Changchun Institute of Optics， Fine Mechanics and Physics， Chinese Academy of Sciences， Changchun 130033， China）

Abstract： This paper analyzes and studies the current situation of operation and maintenance of safety information system in scientific research institutes， in accordance with the requirements of relevant national systems， puts forward suggestions on establishing safety operation and maintenance standards for scientific research institutes. The standard opinion is reliability， universality and stability， it can improve the level of operation and maintenance and audit through technical and management means， reduce operation and maintenance costs， and provide a safe and reliable operating environmentin. It realizes problem traction， aims to solve the key points of operation and maintenance of safety information system， and can effectively support the informatization work of scientific research institutes.

Keywords： safety information system; operation and maintenance system; three personnel; safety protection

0 ?引 ?言

承擔(dān)國(guó)家安全科研生產(chǎn)任務(wù)的科研院所，是國(guó)家科研力量的中堅(jiān)，在科研過(guò)程中，安全信息系統(tǒng)運(yùn)維工作尤為關(guān)鍵，隨著新一輪體系論證深入開(kāi)展，面對(duì)新問(wèn)題、新挑戰(zhàn)、新要求，科研院所面對(duì)審查認(rèn)定所帶來(lái)的巨大壓力，在應(yīng)對(duì)標(biāo)準(zhǔn)變化帶來(lái)的前期準(zhǔn)備工作倉(cāng)促、內(nèi)部管理目標(biāo)的單一化，安全管理易偏向“粗放式”和“教條式”，出現(xiàn)為了迎合審查認(rèn)定而開(kāi)展安全工作，具體表現(xiàn)為：“標(biāo)準(zhǔn)有明確要求的才做”“標(biāo)準(zhǔn)要求做到什么程度就到什么程度”，甚至，個(gè)別研究所為了通過(guò)審查認(rèn)定而采取“審查認(rèn)定查什么就準(zhǔn)備什么”或者“拿來(lái)主義”，不經(jīng)思考、生搬硬套、照搬照抄等方式，由此，完全背離了安全信息系統(tǒng)運(yùn)維監(jiān)督管理的初衷，本末倒置了研究所內(nèi)部管理對(duì)于信息安全管理的需求。

目前對(duì)于科研院所而言，在新的認(rèn)定標(biāo)準(zhǔn)中，安全信息系統(tǒng)運(yùn)維管理建設(shè)是最大的風(fēng)險(xiǎn)點(diǎn)，如：責(zé)任制落實(shí)不到位、定密不準(zhǔn)確、知悉范圍控制不精確、涉密人員管理有空檔，計(jì)算機(jī)及通訊管理未知因素太多，試驗(yàn)設(shè)備（或工控設(shè)備）管理技術(shù)手段不夠，宣傳報(bào)道管理由于定密不準(zhǔn)，審查就會(huì)把握尺度不精細(xì)。如果安全信息運(yùn)維管理與研究所科研管理的實(shí)際不能有機(jī)結(jié)合，或者結(jié)合不緊密，仍然形成“兩張皮”。安全信息系統(tǒng)運(yùn)維外循環(huán)的安全管理，無(wú)從落地，紙上空談，漏洞也必然存在，隱患危害巨大。

本文針對(duì)上述問(wèn)題，就安全信息系統(tǒng)運(yùn)維管理，開(kāi)展“做什么”“怎么做”“誰(shuí)來(lái)做”逐一剖析和解答。依國(guó)家規(guī)定要求，建立適合科研機(jī)構(gòu)安全運(yùn)維標(biāo)準(zhǔn)意見(jiàn)，在指導(dǎo)科研單位開(kāi)展信息安全系統(tǒng)運(yùn)維建設(shè)、實(shí)現(xiàn)通過(guò)技術(shù)和管理手段提高運(yùn)維和審計(jì)水平，降低運(yùn)維成本，并能提供安全可靠的運(yùn)行環(huán)境，實(shí)現(xiàn)了問(wèn)題牽引，靶向安全信息系統(tǒng)運(yùn)維要害，支撐科研院所信息化工作。

1 ?安全信息系統(tǒng)運(yùn)行維護(hù)分析

信息系統(tǒng)運(yùn)維涉及工作主要有：

（1）運(yùn)行維護(hù)管理和安全控制，運(yùn)行管理和安全控制的目的是：保證系統(tǒng)不斷變化和種類(lèi)繁多的運(yùn)行管理活動(dòng)得到控制，信息系統(tǒng)的安全運(yùn)行，操作人員應(yīng)對(duì)信息系統(tǒng)實(shí)行正確和安全的操作。

（2）策略變更管理和安全控制，使用標(biāo)準(zhǔn)的方法和步驟，盡快地實(shí)施變更，確保在發(fā)生安全配置、安全設(shè)施、系統(tǒng)結(jié)構(gòu)和業(yè)務(wù)應(yīng)用等變化時(shí)，確保變更所導(dǎo)致的信息資產(chǎn)安全性降低、業(yè)務(wù)中斷或業(yè)務(wù)影響降到最低。

（3）安全狀態(tài)監(jiān)控，安全等級(jí)不同的信息系統(tǒng)，安全監(jiān)控方面要求采用的手段和監(jiān)控內(nèi)容有別。

（4）安全事件處置和應(yīng)急預(yù)案，安全事件采取響應(yīng)分級(jí)對(duì)待與事件處置機(jī)制，可根據(jù)相關(guān)標(biāo)準(zhǔn)建立合適的應(yīng)急響應(yīng)機(jī)制，保障業(yè)務(wù)系統(tǒng)的持續(xù)運(yùn)行。

（5）運(yùn)行檢查和升級(jí)改進(jìn)，在信息系統(tǒng)運(yùn)行維護(hù)過(guò)程中，信息系統(tǒng)變更、安全狀態(tài)改變等，情況常規(guī)事件時(shí)有發(fā)生。故而，定期對(duì)信息系統(tǒng)運(yùn)行狀況安全檢查，并依據(jù)檢查結(jié)果對(duì)信息系統(tǒng)進(jìn)行持續(xù)改進(jìn)。

但是對(duì)于安全信息系統(tǒng)，通常大家知道的就是分級(jí)保護(hù)和BMB標(biāo)準(zhǔn)，對(duì)于其他可能就知之甚少。所以本文研究過(guò)程中就要解決和回答以下一系列的為什么。

1.1 ?信息系統(tǒng)運(yùn)維管理保障

因安全信息系統(tǒng)非普通的公共信息系統(tǒng)，該系統(tǒng)是需要保護(hù)國(guó)家秘密的安全的信息系統(tǒng)，所以安全信息系統(tǒng)必須要按照國(guó)家安全相關(guān)的法律法規(guī)來(lái)進(jìn)行管理，要在組織機(jī)構(gòu)、人員和經(jīng)費(fèi)上得到保障。

信息安全是指：運(yùn)行信息系統(tǒng)中的數(shù)據(jù)以及信息系統(tǒng)的軟件、硬件受到保護(hù)的程度，以及，防止威脅系統(tǒng)正常運(yùn)行以及盜取系統(tǒng)中的知識(shí)、數(shù)據(jù)等信息而采取的措施。誠(chéng)然，信息安全是一種思維方式，非依靠某一種技術(shù)就能實(shí)現(xiàn)的，無(wú)絕對(duì)的信息安全。

1.2 ?信息系統(tǒng)運(yùn)維人員職責(zé)及履職

2013年的“斯諾登事件”提醒我們，大數(shù)據(jù)時(shí)代要以信息安全為主轉(zhuǎn)變?yōu)閿?shù)據(jù)、信息安全并重，制定防范與處置重大失泄密安全事故預(yù)案，自“嚴(yán)防死守”轉(zhuǎn)變?yōu)椤邦A(yù)防為先、攻防結(jié)合”，積極提高信息化管理水平。強(qiáng)化對(duì)網(wǎng)絡(luò)和信息系統(tǒng)安全策略的管理，嚴(yán)密檢測(cè)各種數(shù)據(jù)信息的流向，逐步實(shí)現(xiàn)“事先有措施、事中能監(jiān)視、事后可追蹤”。安全信息系統(tǒng)“三員”必須要認(rèn)真履職，權(quán)限要?jiǎng)澐趾侠?。三員的職責(zé)劃分是：

（1）系統(tǒng)管理員職責(zé)為信息系統(tǒng)服務(wù)器設(shè)備、網(wǎng)絡(luò)設(shè)備的安裝及維護(hù)，把握系統(tǒng)運(yùn)行情況，確保物理安全;負(fù)責(zé)網(wǎng)絡(luò)日常監(jiān)控、維護(hù)，負(fù)責(zé)系統(tǒng)設(shè)備的維護(hù)，保證設(shè)備穩(wěn)定運(yùn)行。負(fù)責(zé)編寫(xiě)系統(tǒng)管理、網(wǎng)絡(luò)運(yùn)行部分的審計(jì)報(bào)告內(nèi)容。

（2）安全管理員負(fù)責(zé)部署安全產(chǎn)品，制定和實(shí)施相關(guān)安全策略，負(fù)責(zé)信息系統(tǒng)中的用戶(hù)賬號(hào)管理，定期分析日志，及時(shí)解決和處理相關(guān)安全事件;負(fù)責(zé)編寫(xiě)安全管理系統(tǒng)安全日志、安全事件部分的審計(jì)報(bào)告內(nèi)容。

（3）安全審計(jì)員負(fù)責(zé)根據(jù)安全審計(jì)策略，對(duì)系統(tǒng)的日志進(jìn)行檢查及抽查。對(duì)系統(tǒng)管理員、安全管理員的操作行為進(jìn)行審計(jì)、跟蹤分析和監(jiān)督檢查。根據(jù)系統(tǒng)管理員、安全管理員對(duì)于系統(tǒng)日志的分析，發(fā)現(xiàn)問(wèn)題，及時(shí)糾正。組織定期完成審計(jì)報(bào)告。

1.3 ?安全信息系統(tǒng)的設(shè)備運(yùn)維管理

涉密終端計(jì)算機(jī)的安全防護(hù)體系是一個(gè)比較復(fù)雜的系統(tǒng)，包括無(wú)線(xiàn)設(shè)備拆除、操作系統(tǒng)安裝要求、密碼設(shè)置、系統(tǒng)安全配置、安全產(chǎn)品安裝等方面。如果沒(méi)有制定新增涉密終端計(jì)算機(jī)的安裝操作過(guò)程文件，系統(tǒng)管理人員在新增涉密終端計(jì)算機(jī)時(shí)沒(méi)有可遵守和參考的標(biāo)準(zhǔn)，很容易操作不規(guī)范、遺漏重要的安全設(shè)置。系統(tǒng)管理人員還應(yīng)記錄涉密終端計(jì)算機(jī)的操作具體操作過(guò)程，這樣作為系統(tǒng)管理工作的證據(jù)，同時(shí)也方便后續(xù)檢查是否遺漏了哪些設(shè)置;再有安全信息系統(tǒng)的服務(wù)器、網(wǎng)絡(luò)設(shè)備維修、報(bào)廢和軟硬件安裝、更新，格式化和重裝系統(tǒng)等，如果疏于管理，操作時(shí)不經(jīng)過(guò)審批和記錄，很容易就造成失泄密事件發(fā)生。

1.4 ?安全防護(hù)系統(tǒng)管理

運(yùn)維人員明確各自職責(zé)，在安全防護(hù)系統(tǒng)管理方面，系統(tǒng)管理員應(yīng)負(fù)責(zé)承載安全產(chǎn)品服務(wù)器的安裝、安全防護(hù)系統(tǒng)的網(wǎng)絡(luò)地址分配等任務(wù)。職責(zé)明確、分工具體，管理過(guò)程不能存在交叉、替代，保證操作過(guò)程統(tǒng)一、權(quán)責(zé)明晰。安全產(chǎn)品是安全信息系統(tǒng)的重要安全保障，單位應(yīng)規(guī)范其管理過(guò)程，安全產(chǎn)品管理過(guò)程不規(guī)范容易造成系統(tǒng)安全措施失效，起不到安全防護(hù)的作用，同時(shí)影響到信息系統(tǒng)的正常運(yùn)行。安全管理員具體負(fù)責(zé)安全產(chǎn)品的測(cè)試選型、策略配置、策略下發(fā)、終端計(jì)算機(jī)安全管理系統(tǒng)客戶(hù)端安裝管理等。單位應(yīng)制定安全產(chǎn)品的管理規(guī)定和操作過(guò)程，安全管理員應(yīng)按照制度規(guī)范操作，詳細(xì)記錄操作日志。

1.5 ?應(yīng)用系統(tǒng)管理

應(yīng)用系統(tǒng)是安全信息系統(tǒng)的重要資產(chǎn)，承載信息系統(tǒng)中的主要業(yè)務(wù)。應(yīng)用系統(tǒng)的管理應(yīng)實(shí)現(xiàn)分權(quán)分責(zé)，應(yīng)明確系統(tǒng)管理員和安全員的職責(zé)，避免權(quán)責(zé)不清、工作交叉、替代。系統(tǒng)管理員應(yīng)主要負(fù)責(zé)應(yīng)用系統(tǒng)的服務(wù)器安裝、數(shù)據(jù)庫(kù)安裝配置、基礎(chǔ)數(shù)據(jù)賬號(hào)的配置等工作。系統(tǒng)管理員負(fù)責(zé)具體業(yè)務(wù)功能、包括權(quán)限設(shè)置、業(yè)務(wù)規(guī)則設(shè)置、監(jiān)控分析等。應(yīng)用系統(tǒng)管理不規(guī)范容易造成系統(tǒng)中業(yè)務(wù)混亂，涉密電子文件在信息系統(tǒng)中得不到有效控制，造成涉密文件被非授權(quán)人員非法獲取、通過(guò)非正常途徑輸出涉密信息等。單位應(yīng)制定安全信息系統(tǒng)中應(yīng)用系的管理規(guī)定和操作過(guò)程，運(yùn)維人員應(yīng)按照制度規(guī)范操作，詳細(xì)記錄操作日志。

2 ?安全信息系統(tǒng)運(yùn)維管理

2.1 ?運(yùn)維管理原則

安全信息系統(tǒng)運(yùn)維原則是：穩(wěn)定、安全、安全、可控、高效。

2.2 ?運(yùn)維制度、操作規(guī)程

安全信息系統(tǒng)運(yùn)維工作機(jī)構(gòu)應(yīng)制定運(yùn)維管理制度，并經(jīng)信息化管理部門(mén)審核后簽發(fā)。安全信息系統(tǒng)運(yùn)維工作機(jī)構(gòu)應(yīng)根據(jù)運(yùn)維管理制度建立運(yùn)維操作規(guī)程，規(guī)范具體運(yùn)維工作。

2.3 ?運(yùn)維人員管理

明確信息系統(tǒng)運(yùn)維人員的任職條件，制定考核程序，經(jīng)過(guò)考核后上崗工作，運(yùn)維工作人員應(yīng)簽訂安全承諾書(shū)。定期對(duì)安全信息系統(tǒng)運(yùn)維人員工作情況進(jìn)行考核，根據(jù)考核情況進(jìn)行獎(jiǎng)懲，存在無(wú)法勝任信息系統(tǒng)管理工作的情況應(yīng)及時(shí)調(diào)整。

安全信息系統(tǒng)管理“三員”人員，不能以其他用戶(hù)身份登錄系統(tǒng);不能查看和修改任何業(yè)務(wù)數(shù)據(jù)庫(kù)中的信息;不能增刪改日志內(nèi)容。三員應(yīng)由本單位內(nèi)部人員擔(dān)任，要求政治上可靠，熟悉安全信息系統(tǒng)管理操作流程，具有較強(qiáng)的責(zé)任意識(shí)和風(fēng)險(xiǎn)防控意識(shí);并簽署安全承諾書(shū)。三員管理業(yè)務(wù)范圍及邊界如圖1所示。

安全系統(tǒng)終端登錄身份鑒別：對(duì)于安裝Windows操作系統(tǒng)的安全系統(tǒng)終端，禁止使用遠(yuǎn)程桌面和遠(yuǎn)程登錄功能，對(duì)于本地登錄，不再單純依靠Windows系統(tǒng)本身的登錄認(rèn)證機(jī)制，需在進(jìn)行Windows用戶(hù)認(rèn)證的同時(shí)，采用USB Key對(duì)登錄用戶(hù)進(jìn)行身份認(rèn)證，同時(shí)USB Key使用口令（PIN碼）進(jìn)行使用保護(hù)。

USB Key與安全信息終端連接，在安全信息終端啟動(dòng)時(shí)，必須插入U(xiǎn)SB Key，并輸入正確的訪問(wèn)口令，才能進(jìn)入Windows系統(tǒng)。涉密計(jì)算機(jī)終端本地登錄身份鑒別的處理流程如圖2所示。

2.4 ?應(yīng)用系統(tǒng)管理

應(yīng)用系統(tǒng)管理中各系統(tǒng)管理員職責(zé)和相關(guān)要求如以下所示：

（1）系統(tǒng)管理員職責(zé)是安全系統(tǒng)中應(yīng)用系統(tǒng)服務(wù)器的安裝配備，負(fù)責(zé)安裝部署應(yīng)用系統(tǒng)、安裝配置相關(guān)的數(shù)據(jù)庫(kù)系統(tǒng)、配置應(yīng)用系統(tǒng)賬戶(hù)，如圖3所示。

（2）安全管理員負(fù)責(zé)信息系統(tǒng)中應(yīng)用系統(tǒng)的配置賬號(hào)權(quán)限、設(shè)置業(yè)務(wù)規(guī)則設(shè)置，負(fù)責(zé)監(jiān)控分析應(yīng)用系統(tǒng)運(yùn)行情況。

（3）應(yīng)用系統(tǒng)部署操作規(guī)程。

（4）檢查應(yīng)用系統(tǒng)在身份認(rèn)證、權(quán)限劃分、安全審計(jì)、數(shù)據(jù)安全方面的系統(tǒng)功能是否符合安全要求。

（5）按照信息系統(tǒng)服務(wù)器安裝配置要求安裝與配備應(yīng)用服務(wù)器。

（6）在服務(wù)器上安裝與部署應(yīng)用系統(tǒng)以及相關(guān)的數(shù)據(jù)庫(kù)等系統(tǒng)。

（7）配置系統(tǒng)管理員、安全管理員、安全審計(jì)員權(quán)限。

（8）配置終端用戶(hù)賬號(hào)及默認(rèn)密碼，要求用戶(hù)首次登錄后修改默認(rèn)密碼。

（9）配置應(yīng)用系統(tǒng)數(shù)據(jù)、文件管理流程及策略，保證敏感數(shù)據(jù)的存儲(chǔ)、傳輸、輸出等過(guò)程符合安全要求。

（10）安全審計(jì)員職責(zé)是審計(jì)系統(tǒng)管理員和安全管理員操作。

（11）應(yīng)用系統(tǒng)安裝部署、變更、廢止應(yīng)履行審批手續(xù)，經(jīng)信息化管理部門(mén)審批。系統(tǒng)管理員和安全管理員接到《應(yīng)用系統(tǒng)管理審批表》后，進(jìn)行操作，安全審計(jì)員負(fù)責(zé)審計(jì)系統(tǒng)管理員和安全管理員操作，詳細(xì)記錄操作內(nèi)容。

2.5 ?應(yīng)用軟件管理

系統(tǒng)管理員在應(yīng)用軟件管理中應(yīng)負(fù)責(zé)的主要事項(xiàng)如下：

（1）系統(tǒng)管理員負(fù)責(zé)信息系統(tǒng)用戶(hù)終端計(jì)算機(jī)各種應(yīng)用軟件的安裝與卸載。

（2）信息系統(tǒng)內(nèi)用戶(hù)終端計(jì)算機(jī)常用軟件可建立軟件白名單，終端用戶(hù)可下載并安裝白名單內(nèi)軟件，無(wú)須進(jìn)行審批。

（3）系統(tǒng)管理員負(fù)責(zé)信息系統(tǒng)應(yīng)用軟件白名單管理，將白名單內(nèi)軟件上傳至信息系統(tǒng)公共下載網(wǎng)站，提供下載服務(wù)。

（4）上傳、變更白名單軟件應(yīng)履行審批手續(xù)，經(jīng)信息化管理部門(mén)審批。安全管理員《軟件審批表》后，負(fù)責(zé)對(duì)上傳的軟件進(jìn)行安全檢查，確保沒(méi)有敏感信息，系統(tǒng)管理員負(fù)責(zé)上傳文件。安全審計(jì)員負(fù)責(zé)審計(jì)系統(tǒng)管理員和安全管理員操作。

3 ?安全信息系統(tǒng)運(yùn)維標(biāo)準(zhǔn)的意見(jiàn)

3.1 ?信息系統(tǒng)運(yùn)維管理是一個(gè)系統(tǒng)性管理

安全信息系統(tǒng)運(yùn)維管理水平直接影響安全信息系統(tǒng)的使用效果，面對(duì)復(fù)雜的運(yùn)維內(nèi)容和類(lèi)型繁多的軟硬件設(shè)備，通過(guò)明確歸口管理，從制度上確定運(yùn)維管理體系;通過(guò)健全組織機(jī)構(gòu)、配備合適人員來(lái)“強(qiáng)身體”;通過(guò)執(zhí)行法律法規(guī)和規(guī)章制度來(lái)“正思想”，增強(qiáng)人員能力素質(zhì);通過(guò)配置運(yùn)維工具、保證正常運(yùn)維經(jīng)費(fèi)，按程序和規(guī)范做“正確事”，并以加強(qiáng)安全防護(hù)體系完善和技術(shù)創(chuàng)新提升運(yùn)維“攻防”能力，共同協(xié)作推動(dòng)安全信息系統(tǒng)運(yùn)維工作向更全面、更迅速、更專(zhuān)業(yè)、更智能的方向發(fā)展。

提出工作重點(diǎn)是安全信息系統(tǒng)運(yùn)維管理應(yīng)重點(diǎn)圍繞制度建設(shè)、組織機(jī)構(gòu)、管理責(zé)任、運(yùn)維管理人員、運(yùn)維工具、設(shè)備和信息交換等可能存在的重大風(fēng)險(xiǎn)和問(wèn)題，總體要求是要充分認(rèn)識(shí)安全信息系統(tǒng)運(yùn)維管理和節(jié)點(diǎn)安全的重要意義，堅(jiān)持底線(xiàn)思維，加強(qiáng)風(fēng)險(xiǎn)管理，建設(shè)和完善預(yù)警監(jiān)測(cè)體系，防范和化解安全信息系統(tǒng)運(yùn)維中發(fā)現(xiàn)的重大安全風(fēng)險(xiǎn)。

（1）圍繞信息領(lǐng)域安全和關(guān)鍵核心技術(shù)開(kāi)展安全信息系統(tǒng)安全風(fēng)險(xiǎn)研究，向國(guó)家有關(guān)部門(mén)提出對(duì)策建議，著力解決國(guó)家安全信息系統(tǒng)安全急需的重大科技問(wèn)題。

（2）開(kāi)展安全信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)價(jià)工作，建立評(píng)價(jià)、審核、防范措施落實(shí)、監(jiān)督檢查和評(píng)價(jià)警示機(jī)制，建設(shè)并運(yùn)行安全信息系統(tǒng)管理的預(yù)警監(jiān)測(cè)體系，實(shí)現(xiàn)安全信息系統(tǒng)運(yùn)維安全，風(fēng)險(xiǎn)全過(guò)程監(jiān)測(cè)預(yù)警。

（3）建立和完善安全信息系統(tǒng)安全風(fēng)險(xiǎn)隱患及事件事故處置流程，制定落實(shí)獎(jiǎng)懲制度，壓實(shí)安全信息系統(tǒng)運(yùn)維安全風(fēng)險(xiǎn)管理工作責(zé)任。

3.2 ?規(guī)范安全信息系統(tǒng)“三員”的職責(zé)和工作標(biāo)準(zhǔn)

安全信息系統(tǒng)的運(yùn)維工作是由使用者發(fā)現(xiàn)系統(tǒng)故障后，提出申請(qǐng)聯(lián)系安全信息系統(tǒng)管理員，系統(tǒng)管理員對(duì)故障進(jìn)行初步判斷并開(kāi)始處理，如需要安全員參與，則安全員按權(quán)限完成相應(yīng)工作，最終解決問(wèn)題完成該次安全信息系統(tǒng)的運(yùn)維動(dòng)作，安全審計(jì)員隨后對(duì)上述“兩員”工作進(jìn)行審計(jì)。一些研究所由于體量較小，“三員”可能不能完全專(zhuān)職，或兼任其他崗位，所以對(duì)“三員”的崗位職責(zé)和工作標(biāo)準(zhǔn)必須有清楚的界定和要求。

明確了安全信息系統(tǒng)“三員”的崗位職責(zé)。

3.2.1 ?系統(tǒng)管理員

相關(guān)職責(zé)：安全系統(tǒng)相關(guān)參數(shù)的制定、配置與監(jiān)控管理;如運(yùn)行條件、技術(shù)性能、空間分配、參數(shù)設(shè)置等。

（1）負(fù)責(zé)網(wǎng)絡(luò)系統(tǒng)、服務(wù)器系統(tǒng)等的日常運(yùn)行管理和維護(hù)技術(shù)支持。

（2）在安全管理員的配合下，定期升級(jí)安全設(shè)備及其規(guī)則庫(kù)。

（3）配合安全管理員定期進(jìn)行病毒查殺、處理。

（4）對(duì)系統(tǒng)日志、策略配置文件等數(shù)據(jù)定期備份。

（5）負(fù)責(zé)定期分析網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)等的系統(tǒng)日志，發(fā)現(xiàn)系統(tǒng)異常、錯(cuò)誤或報(bào)警等分析原因，提出解決辦法并加以實(shí)施。

（6）負(fù)責(zé)網(wǎng)絡(luò)與系統(tǒng)運(yùn)行狀況的統(tǒng)計(jì)分析，定期編寫(xiě)安全運(yùn)行報(bào)告。

（7）根據(jù)安全系統(tǒng)需求變化，不斷優(yōu)化系統(tǒng)運(yùn)行環(huán)境。

3.2.2 ?安全管理員

負(fù)責(zé)安全信息系統(tǒng)絡(luò)的安全評(píng)價(jià)，安全策略、用戶(hù)權(quán)限以及有關(guān)參數(shù)設(shè)置等日常安全管理工作。

（1）主要職責(zé)是提出文檔化的安全系統(tǒng)、安全策略文件編制建議，實(shí)施各類(lèi)安全設(shè)備的安全策略。

（2）負(fù)責(zé)實(shí)施安全系統(tǒng)用戶(hù)權(quán)限分配和調(diào)整。

（3）協(xié)助系統(tǒng)管理員完成操作系統(tǒng)的各項(xiàng)配置，制定和實(shí)施安全策略。

（4）檢查分析安全設(shè)備、操作系統(tǒng)和應(yīng)用系統(tǒng)用戶(hù)操作日志，負(fù)責(zé)對(duì)用戶(hù)及安全審計(jì)員的操作行為進(jìn)行審計(jì)。

（5）負(fù)責(zé)對(duì)安全管理系統(tǒng)日志審計(jì)、異常事件和行為進(jìn)行統(tǒng)計(jì)分析，定期形成審計(jì)報(bào)告。

（6）負(fù)責(zé)網(wǎng)絡(luò)安全日志、事件統(tǒng)計(jì)分析，定期開(kāi)展風(fēng)險(xiǎn)評(píng)價(jià)和形成風(fēng)險(xiǎn)評(píng)價(jià)報(bào)告。

3.2.3 ?安全審計(jì)員

其職責(zé)是對(duì)安全管理員的操作行為進(jìn)行審計(jì)、跟蹤、分析和監(jiān)督檢查，及時(shí)發(fā)現(xiàn)違規(guī)行為和異常行為，包括系統(tǒng)日志分析、安全事件的分析、取證等。

（1）對(duì)系統(tǒng)管理員和安全管理員制定和更改操作系統(tǒng)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的安全策略、用戶(hù)權(quán)限以及參數(shù)設(shè)置等進(jìn)行審核和監(jiān)督。

（2）定期檢查維護(hù)記錄，“檢查有痕”通過(guò)記錄，實(shí)施監(jiān)督。

（3）負(fù)責(zé)對(duì)系統(tǒng)管理員和安全管理員的異常操作和行為進(jìn)行統(tǒng)計(jì)分析，定期形成審計(jì)報(bào)告。

3.3 ?引入安全信息系統(tǒng)信息設(shè)備接入和應(yīng)用管理的操作規(guī)范

信息設(shè)備是安全信息系統(tǒng)的“骨架”，涉及設(shè)備種類(lèi)、型號(hào)、功能等較為復(fù)雜，按照運(yùn)維場(chǎng)景區(qū)分為服務(wù)端運(yùn)維和用戶(hù)端運(yùn)維。其中，服務(wù)端運(yùn)維主要針對(duì)服務(wù)器、路由器、交換機(jī)、磁盤(pán)陣列等機(jī)房設(shè)備;用戶(hù)端運(yùn)維主要針對(duì)計(jì)算機(jī)、顯示器、集線(xiàn)器、簽字板等接入終端設(shè)備;系統(tǒng)運(yùn)維工作包括設(shè)備的接入維護(hù)、保養(yǎng)、更新、升級(jí)、故障檢測(cè)及排除;系統(tǒng)安全運(yùn)維包括應(yīng)用系統(tǒng)、賬號(hào)、訪問(wèn)控制、數(shù)據(jù)備份、應(yīng)急預(yù)案等，這些工作需要明確的操作規(guī)范。

提出了上述系統(tǒng)運(yùn)維工作的技術(shù)標(biāo)準(zhǔn)和操作規(guī)范，如：服務(wù)器、網(wǎng)絡(luò)設(shè)備運(yùn)維管理;安全防護(hù)系統(tǒng)管理;應(yīng)用系統(tǒng)管理;應(yīng)用軟件管理;賬號(hào)及權(quán)限管理;數(shù)據(jù)備份與恢復(fù)管理;防病毒系統(tǒng)、系統(tǒng)補(bǔ)丁管理;訪問(wèn)控制管理;機(jī)房管理維護(hù);應(yīng)急響應(yīng)管理;安全審計(jì)和風(fēng)險(xiǎn)評(píng)價(jià)管理等，以及工作中所使用的表格。

4 ?結(jié) ?論

安全信息系統(tǒng)運(yùn)維管理和節(jié)點(diǎn)安全有著重要意義，為堅(jiān)持底線(xiàn)思維，加強(qiáng)風(fēng)險(xiǎn)管理，建設(shè)和完善預(yù)警監(jiān)測(cè)體系，防范和化解安全信息系統(tǒng)運(yùn)維中發(fā)現(xiàn)的重大安全風(fēng)險(xiǎn)，采取的主要措施有：

（1）開(kāi)展安全信息系統(tǒng)預(yù)警體系，建立評(píng)價(jià)、審核、防范措施落實(shí)、監(jiān)督檢查和評(píng)價(jià)警示機(jī)制，建設(shè)并運(yùn)行維護(hù)系統(tǒng)安全預(yù)警監(jiān)測(cè)體系，實(shí)現(xiàn)系統(tǒng)安全風(fēng)險(xiǎn)全過(guò)程監(jiān)測(cè)預(yù)警。

（2）建立和完善安全信息系統(tǒng)安全風(fēng)險(xiǎn)隱患及事件事故處置流程，制定落實(shí)獎(jiǎng)懲制度，壓實(shí)安全信息系統(tǒng)運(yùn)維安全風(fēng)險(xiǎn)管理工作責(zé)任。

（3）根據(jù)我們?cè)谘芯抗芾磉^(guò)程中發(fā)現(xiàn)重大難點(diǎn)與問(wèn)題，圍繞信息領(lǐng)域安全和關(guān)鍵核心技術(shù)開(kāi)展安全信息系統(tǒng)安全風(fēng)險(xiǎn)研究，向國(guó)家有關(guān)部門(mén)提出對(duì)策建議，著力解決國(guó)家安全信息系統(tǒng)安全急需的重大科技問(wèn)題。

安全信息系統(tǒng)運(yùn)維管理應(yīng)重點(diǎn)圍繞制度建設(shè)、組織機(jī)構(gòu)、管理責(zé)任、運(yùn)維管理人員、運(yùn)維工具、設(shè)備和信息交換等可能存在的重大風(fēng)險(xiǎn)和問(wèn)題，開(kāi)展風(fēng)險(xiǎn)辨識(shí)、分析、監(jiān)測(cè)和評(píng)價(jià)，提出意見(jiàn)建議，前瞻部署和防范;在制度建設(shè)方面，要制定管理標(biāo)準(zhǔn)規(guī)范和運(yùn)維制度，涉及運(yùn)維外包的要有針對(duì)外包運(yùn)維的管理和考核制度;在組織機(jī)構(gòu)方面，要高度關(guān)注運(yùn)維工作，建立運(yùn)維工作領(lǐng)導(dǎo)機(jī)構(gòu)和工作機(jī)構(gòu)，嚴(yán)格落實(shí)防范措施;在管理責(zé)任方面，要明確業(yè)務(wù)部門(mén)在運(yùn)維管理體系中的職責(zé)，各負(fù)其責(zé);在人員管理方面，要合理配備運(yùn)維管理人員、明確職責(zé)，嚴(yán)格考核;在運(yùn)維工具方面，選取上先進(jìn)的信息化應(yīng)用充分提高運(yùn)維效率和運(yùn)維水平;在設(shè)備管理方面，要標(biāo)識(shí)清晰、準(zhǔn)確，存放位置相對(duì)固定，專(zhuān)人管理;在信息交換方面，要準(zhǔn)確區(qū)分安全域，確保信息安全可控;在風(fēng)險(xiǎn)監(jiān)測(cè)方面，建立系統(tǒng)監(jiān)控平臺(tái)，及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)隱患，提高運(yùn)維效率。

參考文獻(xiàn)：

[1] 王伊然，于奇平，劉奧祥.云計(jì)算信息系統(tǒng)安全整體防護(hù)策略研究 [J].河南科技，2018（7）：7-9.

[2] 李英.集團(tuán)級(jí)管理的標(biāo)準(zhǔn)化管理信息系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) [D].西安：西安工業(yè)大學(xué)，2014.

[3] 劉文慧.信息安全風(fēng)險(xiǎn)評(píng)估量化方法研究 [J].數(shù)字通信世界，2018（5）：252+104.

[4] 康冉.公安網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn) [D].濟(jì)南：山東大學(xué)，2010.

[5] 王連海.中船重工財(cái)務(wù)公司綜合信息平臺(tái)設(shè)計(jì)與實(shí)現(xiàn) [D].成都：電子科技大學(xué)，2011.

[6] 蔣斌.如何做好大數(shù)據(jù)時(shí)代的保密工作 [J].保密工作，2019（9）：64-65.

[7] 俞航.信息系統(tǒng)安全等級(jí)保護(hù)制度實(shí)施中存在的問(wèn)題及其對(duì)策 [D].蘇州：蘇州大學(xué)，2016.

[8] 張惠.信息系統(tǒng)運(yùn)維階段信息安全風(fēng)險(xiǎn)評(píng)估工作研究 [J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（6）：15-17.

[9] 張紅衛(wèi)，惠建新.Web Service構(gòu)架下的多語(yǔ)種構(gòu)件庫(kù)系統(tǒng)及實(shí)現(xiàn) [J].計(jì)算機(jī)與數(shù)字工程，2014，42（4）：616-622+728.

[10] 焦迪.有關(guān)構(gòu)建政務(wù)信息系統(tǒng)密碼應(yīng)用管理體系的建議 [J].信息安全與通信保密，2021（1）：70-76.

[11] 李忠俊，張永峰，宋波.企業(yè)信息安全應(yīng)對(duì)策略探討 [J].電腦知識(shí)與技術(shù)，2017，13（21）：36-37.

[12] 劉志勛.企業(yè)信息安全風(fēng)險(xiǎn)及控制策略探究 [J].信息系統(tǒng)工程，2016（3）：74.

[13] 章建聰，沈曄.淺析通信設(shè)計(jì)企業(yè)保密管理體系的構(gòu)建 [J].保密科學(xué)與技術(shù)，2020（12）：63-66.

[14] 王洪元，劉曉飛，李曉杰.基于醫(yī)院信息系統(tǒng)探究醫(yī)院信息管理體系的構(gòu)建 [J].數(shù)字通信世界，2020（4）：196-197.

[15] 桂若柏.信息安全風(fēng)險(xiǎn)評(píng)估模型的研究及其應(yīng)用 [D].重慶：重慶大學(xué)，2004.

[16] 學(xué)習(xí)《國(guó)家安全法》百問(wèn)百答 [EB/OL].（2017-04-18）.http：//www.gdqy.gov.cn/xxgk/zzjg/zfjg/qysszbgs/zwgk/zcfg/content/post_86778.html.

[17] 三員職責(zé) [EB/OL].（2017-10-16）.https：//max.book118.com/html/2017/0911/133408498.shtm.

[18] IT治理信息安全管理：標(biāo)準(zhǔn)、理解與實(shí)施 [EB/OL].（2004-11-19）.http：//www.itgov.org.cn/Item/469.aspx.

作者簡(jiǎn)介：惠建新（1978—），男，漢族，江蘇鹽城人，工程師，碩士，主要研究方向：應(yīng)用系統(tǒng)開(kāi)發(fā)，系統(tǒng)分析與集成，信息系統(tǒng)管理;喬德志（1979—），男，漢族，遼寧大連人，高級(jí)工程師，碩士，主要研究方向：安全信息系統(tǒng)設(shè)計(jì)與開(kāi)發(fā)，涉密網(wǎng)運(yùn)維;婁洪偉（1982—），男，漢族，吉林長(zhǎng)春人，正高級(jí)工程師，碩士，主要研究方向：網(wǎng)絡(luò)安全架構(gòu)研究，涉密網(wǎng)建設(shè)與維護(hù)。