信息安全等級(jí)保護(hù)制度在信息系統(tǒng)建設(shè)中的應(yīng)用分析

鄭紹林

（貴州亨達(dá)集團(tuán)信息安全技術(shù)有限公司，貴州 貴陽(yáng) 550001）

0 引言

隨著電子化、信息化、網(wǎng)絡(luò)化應(yīng)用的不斷深入，信息安全事件的發(fā)生概率也在急劇增加，這也使得人們?cè)絹?lái)越注重對(duì)信息安全的保護(hù)。但要徹底落實(shí)信息安全保護(hù)工作，使其達(dá)到預(yù)期效果，就必須與信息安全等級(jí)保護(hù)制度充分地結(jié)合起來(lái)，并確保其能夠發(fā)揮作用。對(duì)于相關(guān)職能單位和部門(mén)來(lái)說(shuō)，通過(guò)建立和落實(shí)信息安全等級(jí)保護(hù)制度，使其發(fā)揮應(yīng)有的作用，必然能夠在信息安全工作中發(fā)揮更大的價(jià)值。尤其是在計(jì)算機(jī)網(wǎng)絡(luò)搭建前期，信息安全等級(jí)保護(hù)制度就應(yīng)當(dāng)被充分地應(yīng)用和落實(shí)，從而在應(yīng)對(duì)信息安全時(shí)能夠有應(yīng)對(duì)之策。

1 關(guān)于信息安全等級(jí)保護(hù)制度的概述

1.1 信息安全

信息安全等級(jí)保護(hù)是一個(gè)國(guó)家對(duì)于信息安全保障所執(zhí)行并應(yīng)用的基礎(chǔ)操作制度，等級(jí)保護(hù)工作包括了定級(jí)、等級(jí)差距之間的分析、安全規(guī)范建設(shè)、整改以及后續(xù)的等級(jí)評(píng)測(cè)等工作內(nèi)容[1]。

1.2 定級(jí)

定級(jí)是開(kāi)展等級(jí)保護(hù)工作的基礎(chǔ)性工作，依照信息安全等級(jí)保護(hù)制度的相關(guān)文件進(jìn)行落實(shí)。結(jié)合不同的客戶組織架構(gòu)、業(yè)務(wù)應(yīng)用需求以及信息的統(tǒng)計(jì)方式等情況，對(duì)其信息內(nèi)容進(jìn)行進(jìn)一步的層級(jí)劃分，從而制定出符合自身行業(yè)發(fā)展需求和特點(diǎn)的定級(jí)方式。

1.3 整改

完成定級(jí)工作之后，需要結(jié)合相關(guān)規(guī)定和內(nèi)容進(jìn)行規(guī)范和整改。對(duì)定級(jí)內(nèi)容進(jìn)行風(fēng)險(xiǎn)評(píng)估并進(jìn)行等級(jí)差距的保護(hù)分析，使方案更加優(yōu)化，確保定級(jí)方案能夠符合國(guó)家等級(jí)保護(hù)工作的基礎(chǔ)要求。所有的工作內(nèi)容都是建立在以信息數(shù)據(jù)應(yīng)用需求、信息評(píng)估以及安全風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上進(jìn)行的。

1.4 等級(jí)保護(hù)

等級(jí)保護(hù)工作不僅需要投入大量的人力、物力和資源，同時(shí)還需要從整體角度出發(fā)，對(duì)信息進(jìn)行全面的評(píng)測(cè)、咨詢、檢查等[2]。從而促使用戶能夠盡快完成等級(jí)保護(hù)制度的建設(shè)和實(shí)施，提升用戶的信息應(yīng)用安全水平。完成上述各個(gè)階段的工作之后，還需要結(jié)合實(shí)際需求對(duì)等級(jí)保護(hù)進(jìn)行進(jìn)一步的優(yōu)化。

（1）定級(jí)備案。結(jié)合信息系統(tǒng)進(jìn)行劃分，然后結(jié)合信息內(nèi)容對(duì)信息內(nèi)容進(jìn)行價(jià)值確定，并確定相關(guān)的價(jià)值保護(hù)等級(jí)。

（2）差距分析。通過(guò)對(duì)數(shù)據(jù)信息的風(fēng)險(xiǎn)評(píng)估，我們要分析等級(jí)劃分與實(shí)際應(yīng)用過(guò)程中的安全目標(biāo)之間的等級(jí)差異，讓相關(guān)部門(mén)和單位能夠有的放矢地進(jìn)行整改和優(yōu)化，從而確保安全等級(jí)的信息管理更加強(qiáng)化和完善。如此才能夠確保單位自身的信息內(nèi)容得到更好的應(yīng)用。

（3）整改建議。單位結(jié)合評(píng)估的結(jié)果、信息系統(tǒng)所確認(rèn)之后的保護(hù)等級(jí)、相關(guān)的信息安全等級(jí)保護(hù)要求、對(duì)應(yīng)的各級(jí)別的信息等級(jí)技術(shù)、管理以及應(yīng)用維護(hù)等方面的具體要求，制定對(duì)應(yīng)的安全保障措施，從而讓安全等級(jí)保護(hù)整改內(nèi)容發(fā)揮最大的效益。

（4）整改實(shí)施。為用戶提供更加詳盡的信息等級(jí)保護(hù)建議，確保對(duì)于信息的保護(hù)等級(jí)能夠達(dá)到互聯(lián)網(wǎng)的應(yīng)用需求，并協(xié)助用戶進(jìn)行等級(jí)保護(hù)地管理工作，針對(duì)承建單位進(jìn)行監(jiān)理審查，確保其等級(jí)保護(hù)應(yīng)用符合相關(guān)設(shè)計(jì)要求。

（5）測(cè)評(píng)咨詢。在完成信息系統(tǒng)的升級(jí)和定級(jí)工作之后，經(jīng)過(guò)評(píng)測(cè)整改，需要對(duì)安全信息技術(shù)以及管理等各個(gè)層面的信息安全應(yīng)用進(jìn)行綜合驗(yàn)證和評(píng)測(cè)，確保安全等級(jí)的應(yīng)用要求與實(shí)際需求相符。

（6）檢查咨詢。在完成等級(jí)制定和整改工作之后，相關(guān)監(jiān)管部門(mén)需要對(duì)安全等級(jí)的技術(shù)應(yīng)用和管理工作的落實(shí)進(jìn)行細(xì)致的查驗(yàn)，企業(yè)必須提供對(duì)應(yīng)的數(shù)據(jù)資料并配合相關(guān)單位進(jìn)行實(shí)地檢查。

1.5 等級(jí)劃分

結(jié)合計(jì)算機(jī)信息系統(tǒng)現(xiàn)行的安全保護(hù)應(yīng)用方案來(lái)說(shuō)，安全等級(jí)從中高低總共劃分為5級(jí)。當(dāng)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)遭到破壞時(shí)，其所帶來(lái)的破壞程度是可以依照等級(jí)進(jìn)行劃分的。從國(guó)家安全等級(jí)到公共安全到個(gè)人安全不同的角度進(jìn)行衡量，如果造成的危害和風(fēng)險(xiǎn)較大，則其等級(jí)劃分必然很高。比如，一個(gè)事業(yè)單位出現(xiàn)了計(jì)算機(jī)信息系統(tǒng)受損的情況，那么與之相關(guān)聯(lián)的公共利益也會(huì)受到影響，那么在等級(jí)定位時(shí)則會(huì)被定義為三級(jí)。但是現(xiàn)行的這種劃分方式和標(biāo)準(zhǔn)從實(shí)際應(yīng)用角度來(lái)看也是存在分歧和矛盾的，其中最關(guān)鍵的就是對(duì)影響的量化衡量存在著一定的難度。

1.6 工作原則

在相關(guān)工作進(jìn)行落實(shí)的過(guò)程中，需要結(jié)合實(shí)際情況進(jìn)行自主定級(jí)，但也要遵循這個(gè)原則，確保等級(jí)制度的有效落實(shí)。一些單位的計(jì)算機(jī)信息系統(tǒng)在建立之后，必須充分地對(duì)其安全性能進(jìn)行核查，了解單位內(nèi)部的信息應(yīng)用與公共利益以及組織權(quán)益之間的相互關(guān)系，然后依照信息安全等級(jí)保護(hù)制度來(lái)進(jìn)行等級(jí)劃分，并開(kāi)展相應(yīng)的安全等級(jí)防護(hù)[3]。

1.7 監(jiān)督管理

結(jié)合目前現(xiàn)行的法律規(guī)范，目前從事安全網(wǎng)絡(luò)管理的相關(guān)工作主要是由網(wǎng)信部門(mén)負(fù)責(zé)，而具體開(kāi)展業(yè)務(wù)的相關(guān)部門(mén)在進(jìn)行監(jiān)督和管理的過(guò)程中也不能忽視信息安全等級(jí)保護(hù)制度。

1.8 法律制度

目前我國(guó)在進(jìn)行網(wǎng)絡(luò)安全管理工作過(guò)程中主要的依據(jù)還是以信息安全等級(jí)保護(hù)制度為準(zhǔn)，在落實(shí)制度和定級(jí)的過(guò)程中仍延續(xù)著自主定級(jí)和自主保護(hù)的方針，但是如此行事并不代表就不需要承擔(dān)相應(yīng)的法律責(zé)任。國(guó)家已經(jīng)就目前的網(wǎng)絡(luò)應(yīng)用安全工作設(shè)立了《網(wǎng)絡(luò)安全法》，法案中表明網(wǎng)絡(luò)運(yùn)營(yíng)者如果無(wú)法依照信息安全等級(jí)保護(hù)制度中的相關(guān)要求對(duì)網(wǎng)絡(luò)使用者的信息進(jìn)行保護(hù)就需要承擔(dān)對(duì)應(yīng)的責(zé)任，而相關(guān)職能部門(mén)也可以依照相關(guān)制度開(kāi)展行政處罰工作。而在刑法修正案中也明確地指出：相關(guān)網(wǎng)絡(luò)服務(wù)供應(yīng)商如果無(wú)法依照網(wǎng)絡(luò)安全的相關(guān)條例來(lái)履行對(duì)應(yīng)的安全保障服務(wù)，對(duì)應(yīng)的監(jiān)管部門(mén)在要求其進(jìn)行整改后仍存在問(wèn)題則需要承擔(dān)對(duì)應(yīng)的刑事責(zé)任[4]。

2 在計(jì)算機(jī)網(wǎng)絡(luò)中的搭建應(yīng)用

2.1 設(shè)立邊界

網(wǎng)絡(luò)環(huán)境中也是存在邊界的，通過(guò)邊界來(lái)控制訪問(wèn)。在這里主要是依據(jù)網(wǎng)絡(luò)平臺(tái)通過(guò)對(duì)訪問(wèn)控制來(lái)進(jìn)行邊界劃分。目前計(jì)算機(jī)網(wǎng)絡(luò)邊界主要分為三類，第一類是計(jì)算機(jī)網(wǎng)絡(luò)面向互聯(lián)網(wǎng)的邊界，第二類則是物理機(jī)間邊界，第三類就是虛擬機(jī)之間的邊界。如果要確保計(jì)算機(jī)的網(wǎng)絡(luò)系統(tǒng)能夠處于保護(hù)狀態(tài)中，對(duì)于互聯(lián)網(wǎng)中的邊界認(rèn)知是非常重要的工作，網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)分析的重要工作也主要是由邊界所構(gòu)成的，這就要求監(jiān)管工作必須得到有效落實(shí)。而從實(shí)際業(yè)務(wù)的使用需求出發(fā)，對(duì)于網(wǎng)絡(luò)上行、下行數(shù)據(jù)進(jìn)行訪問(wèn)時(shí)必須結(jié)合相關(guān)的標(biāo)準(zhǔn)進(jìn)行，并確保網(wǎng)絡(luò)相關(guān)的模塊之間保持著一定的獨(dú)立性，才能夠提升應(yīng)用的安全性。在不同的網(wǎng)段中其安全等級(jí)也是各有差異的，這是由于所服務(wù)的對(duì)象不同，對(duì)于安全的需求也就變得有所區(qū)別[5]。所以從實(shí)際業(yè)務(wù)角度出發(fā)，來(lái)確保設(shè)備的各方面設(shè)置是否真正滿足應(yīng)用需求，并對(duì)數(shù)據(jù)流量進(jìn)行規(guī)定。

虛擬機(jī)的通信不同于其他的設(shè)備，具有一定的獨(dú)立性，尤其是在數(shù)據(jù)進(jìn)行交換的過(guò)程中，如果外界想要對(duì)其進(jìn)行檢查或查證則是行不通的，所以其在安全性方面也更加凸顯，同時(shí)也給信息之間的攻擊提供了更多的便利。如果從虛擬機(jī)的角度出發(fā)，利用信息安全技術(shù)則會(huì)提升信息安全的保障作用，結(jié)合AUI網(wǎng)絡(luò)接口的方式能夠讓交換式的流量在進(jìn)入到虛擬機(jī)之前就可以使用二次保障軟件來(lái)對(duì)信息進(jìn)行檢查。這時(shí)候會(huì)對(duì)網(wǎng)絡(luò)中的實(shí)際需求進(jìn)行確認(rèn)，并對(duì)虛擬機(jī)進(jìn)行歸類處理，從而劃分其安全區(qū)域，做好對(duì)應(yīng)的隔離保護(hù)措施。對(duì)于信息相互訪問(wèn)的邊界必須嚴(yán)格進(jìn)行把控。在進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)搭建的過(guò)程中，需要充分做好虛擬化保護(hù)的應(yīng)用工作，這樣能夠更好地實(shí)現(xiàn)虛擬化信息的安全性。而對(duì)于邊緣的虛擬橋、以太網(wǎng)接入端口等技術(shù)則需要通過(guò)虛擬機(jī)的方式將其內(nèi)部的流量進(jìn)入外部的交換機(jī)中，在這個(gè)過(guò)程中則需要對(duì)這些流量進(jìn)行二次傳輸，并在此之前通過(guò)鏡像過(guò)濾、重新定位等方式進(jìn)行流量的安全疏導(dǎo)，提升其應(yīng)用的安全性，確保信息沒(méi)有問(wèn)題之后才可以上傳到其他的設(shè)備，具體如表1所示。

表1 等級(jí)保護(hù)中數(shù)據(jù)鏈路層與安全要素之間的關(guān)聯(lián)

2.2 提升存儲(chǔ)的安全保密性

在我們的日常生活中，數(shù)據(jù)信息可以利用計(jì)算機(jī)等硬件進(jìn)行網(wǎng)絡(luò)上傳，從而對(duì)這些信息進(jìn)行保存。而這些信息的安全性則是通過(guò)密碼保護(hù)的方式來(lái)實(shí)現(xiàn)的。這就要求密碼系統(tǒng)必須嚴(yán)謹(jǐn)有效，并能夠支持加密保護(hù)目標(biāo)，確保網(wǎng)絡(luò)應(yīng)用的分配能夠?qū)崿F(xiàn)。在這里我們可以將網(wǎng)絡(luò)編碼定義的相關(guān)規(guī)則作為基礎(chǔ)依據(jù)，從而對(duì)相關(guān)的信息數(shù)據(jù)進(jìn)行進(jìn)一步的分配應(yīng)用，將無(wú)用且多余的數(shù)據(jù)進(jìn)行清理。這樣就能夠確保數(shù)據(jù)不僅不會(huì)出現(xiàn)泄露的問(wèn)題，而且能夠提升數(shù)據(jù)的安全性。在進(jìn)行網(wǎng)絡(luò)化數(shù)據(jù)審查的過(guò)程中，無(wú)論是防火墻還是路由器其安全審查的應(yīng)用水平都需要得到進(jìn)一步的提升，尤其是計(jì)算機(jī)應(yīng)用系統(tǒng)，要實(shí)現(xiàn)安全防護(hù)的目標(biāo)，就必須嚴(yán)格依照既定的規(guī)則進(jìn)行數(shù)據(jù)傳輸和錄入，也就是結(jié)合實(shí)際的業(yè)務(wù)需求來(lái)進(jìn)行數(shù)據(jù)訪問(wèn)?？v觀目前我國(guó)的網(wǎng)絡(luò)環(huán)境，我們可以看出外部網(wǎng)絡(luò)所帶來(lái)的安全攻擊并沒(méi)有得到足夠的重視。在訪問(wèn)控制的執(zhí)行作業(yè)應(yīng)用之后，針對(duì)網(wǎng)絡(luò)入侵的檢查也是不能忽視的問(wèn)題，簡(jiǎn)單來(lái)說(shuō)就是對(duì)局域網(wǎng)絡(luò)中的數(shù)據(jù)流量信息進(jìn)行全程監(jiān)控，尤其是針對(duì)數(shù)據(jù)流。當(dāng)數(shù)據(jù)流和內(nèi)部數(shù)據(jù)規(guī)則相符，那么就會(huì)自行對(duì)數(shù)據(jù)進(jìn)行記錄并發(fā)出警報(bào)，如此就能夠確保實(shí)現(xiàn)信息安全保護(hù)的目標(biāo)。

2.3 編碼計(jì)算機(jī)的安全等級(jí)

計(jì)算機(jī)數(shù)據(jù)雖然是由簡(jiǎn)單的字節(jié)構(gòu)成，但是卻能夠產(chǎn)生大量的信息。如果要保障信息的安全性和規(guī)范性，則必須從源頭做好相應(yīng)的設(shè)計(jì)工作。比如IPSO的長(zhǎng)度有25個(gè)字節(jié)，所以在安全等級(jí)標(biāo)記時(shí)則也要達(dá)到25個(gè)字節(jié)。這就要求在安全等級(jí)標(biāo)記時(shí)必須能夠攜帶符合實(shí)際的需要。安全標(biāo)記的主要因素方向包括了安全等級(jí)、信任閾值等一些內(nèi)容。在整個(gè)過(guò)程中會(huì)存在一定的可信任選項(xiàng)，針對(duì)計(jì)算機(jī)信息主體在進(jìn)行安全標(biāo)記的過(guò)程中，其所能進(jìn)行識(shí)別的唯一對(duì)象便是ID，當(dāng)客戶設(shè)置了安全標(biāo)記之后則會(huì)以空格的方式呈現(xiàn)。

通過(guò)對(duì)數(shù)據(jù)格式地分析我們可以得出：（1）要對(duì)類型字段進(jìn)行關(guān)注，通過(guò)這個(gè)特征來(lái)對(duì)不同的網(wǎng)絡(luò)信息進(jìn)行區(qū)分；（2）長(zhǎng)度標(biāo)記，通常情況下會(huì)采用不同的長(zhǎng)度對(duì)其進(jìn)行標(biāo)記；（3）安全等級(jí)的字段應(yīng)用，在主體內(nèi)容進(jìn)行安全標(biāo)記的過(guò)程中，主體內(nèi)容的安全等級(jí)才是安全等級(jí)的主要依據(jù)；（4）在規(guī)定范圍的字段內(nèi)，通過(guò)數(shù)據(jù)的流經(jīng)領(lǐng)域進(jìn)行識(shí)別標(biāo)記；（5）信任度閾值，可以通過(guò)對(duì)數(shù)據(jù)進(jìn)行標(biāo)記，對(duì)標(biāo)記內(nèi)容進(jìn)行信任度識(shí)別也可以利用閾值進(jìn)行識(shí)別；（6）特殊策略，這種方式只針對(duì)長(zhǎng)字段，用于對(duì)一些特殊數(shù)據(jù)進(jìn)行標(biāo)記。通過(guò)對(duì)其進(jìn)行分析我們可以了解到安全等級(jí)應(yīng)用能夠?qū)τ?jì)算機(jī)的數(shù)據(jù)元素進(jìn)行安全等級(jí)劃分。結(jié)合實(shí)際應(yīng)用需求則會(huì)被劃分為五個(gè)不同的安全等級(jí)類別，具體可見(jiàn)表2。這種劃分方式具有一定的優(yōu)點(diǎn)，不僅易于理解和記錄，同時(shí)在網(wǎng)絡(luò)識(shí)別過(guò)程中也不會(huì)出現(xiàn)混淆，當(dāng)然在這個(gè)過(guò)程中安全標(biāo)記也能夠準(zhǔn)確無(wú)誤地執(zhí)行。

表2 安全等級(jí)表

3 結(jié)語(yǔ)

信息安全等級(jí)制度的應(yīng)用和落實(shí)對(duì)于計(jì)算機(jī)在應(yīng)用中的價(jià)值和作用都是非常直觀且影響巨大的，這也是保障安全管理工作能夠順利落實(shí)的基本依據(jù)。而在搭建計(jì)算機(jī)網(wǎng)絡(luò)的過(guò)程中，必須將對(duì)應(yīng)的管理制度進(jìn)行充分的落實(shí)，不斷地進(jìn)行驗(yàn)證和分析，做好相關(guān)數(shù)據(jù)的反饋，確保設(shè)計(jì)目標(biāo)能夠得以實(shí)現(xiàn)。為了能夠進(jìn)一步落實(shí)計(jì)算機(jī)網(wǎng)絡(luò)搭建工作的目標(biāo)，需要對(duì)信息安全等級(jí)保護(hù)制度的內(nèi)容進(jìn)行充分分析，真正地將其與計(jì)算機(jī)網(wǎng)絡(luò)搭建工作融合起來(lái)，使其發(fā)揮出真正的價(jià)值和作用。