◆羅 柱

(湖北省仙桃市煙草公司 湖北 433099)

公司信息系統(tǒng)安全等級保護技術規(guī)劃設計

◆羅 柱

(湖北省仙桃市煙草公司 湖北 433099)

隨著信息技術的不斷發(fā)展，信息系統(tǒng)也成為了公司運營發(fā)展中的重要部分。為了進一步實現(xiàn)信息系統(tǒng)的安全性與有效性，需要建設公司信息系統(tǒng)安全等級保護體系，以完善的保護技術去促進公司信息安全，實現(xiàn)社會秩序的穩(wěn)定。本文將針對公司信息系統(tǒng)安全等級保護技術規(guī)劃設計這一課題進行具體分析，從而提出合理的規(guī)劃與建議。

信息系統(tǒng)；保護技術；安全等級

0 引言

在公司信息系統(tǒng)安全等級保護技術規(guī)劃設計的過程之中，主要需要完成以下幾個部分：除了規(guī)定好安全等級之外，也需要根據(jù)公司的實際運行狀況進行安全風險評估，然后結(jié)合安全技術進行方案的設計，最終經(jīng)過驗證實現(xiàn)技術規(guī)劃設計的合格性以及有效性。本文將以公司信息系統(tǒng)安全等級保護技術規(guī)劃設計進行的重要性為著手點，針對目前公司信息系統(tǒng)應用的實際需求，從而提出加強公司信息系統(tǒng)安全等級保護設計的具體措施。

1 公司進行信息系統(tǒng)安全等級保護技術規(guī)劃設計的重要意義

隨著信息時代的到來，公司企業(yè)在運營過程之中很大程度都要依靠計算機以及信息網(wǎng)絡，所以穩(wěn)定的信息系統(tǒng)能夠給予公司企業(yè)更大的發(fā)展動力，避免因為網(wǎng)絡安全保護工作沒能夠落實到位，而致使的信息泄露以及財產(chǎn)損失問題。

同樣加強信息系統(tǒng)的安全保護也是國家發(fā)展的需要，我國針對目前的網(wǎng)絡發(fā)展現(xiàn)狀頒布了《中華人民共和國計算機信息系統(tǒng)安全保護條例》，強調(diào)了安全保護工作對于我國整體計算機信息系統(tǒng)的重要意義，能夠以較為完善的監(jiān)督與保護管理工作，來實現(xiàn)對于網(wǎng)絡違法犯罪行為的打擊，并且有效維護社會秩序。另外國家也針對我國目前所實行的安全保護進行了相應的等級劃分，實現(xiàn)了等級劃分準則，促進了安全等級保護技術的制度化以及規(guī)范化，相關的國家標準文件有《計算機信息系統(tǒng)安全保護等級劃分準則》、《國家信息化領導小組關于加強信息安全保障工作的意見》、《信息系統(tǒng)安全等級保護測評準則》、《信息系統(tǒng)安全保護等級定制指南》[1]等。所以綜合來看促進公司信息系統(tǒng)安全等級保護技術規(guī)劃設計不僅僅是公司企業(yè)自身的發(fā)展需求，同時也是響應國家發(fā)展政策、實現(xiàn)信息技術管理規(guī)范化、制度化的具體體現(xiàn)。公司必須要在正確認識加強信息系統(tǒng)安全等級保護技術規(guī)劃設計重要性的基礎之上，針對目前的發(fā)展需求，從而進行相應的改善與規(guī)劃，只有這樣才能夠?qū)崿F(xiàn)公司的網(wǎng)絡信息系統(tǒng)安全，促進公司的整體進步與整體發(fā)展。

2 加強公司信息系統(tǒng)安全等級保護技術規(guī)劃設計的具體措施

2.1 明確公司信息系統(tǒng)安全等級

在實現(xiàn)對于公司信息系統(tǒng)安全等級保護技術規(guī)劃設計的過程之中，首先就需要明確公司信息安全等級，事實上在等級的劃分上，國家有較為明確的評價標準[2]，而具體的劃分標準與安全等級的保護辦法是應該由公安部門以及相關單位進行規(guī)范與設立，但是信息技術公司也需要參考目前的國家所給予的等級指導，針對實際運用需求，建立完善的安全等級體系。所以在常規(guī)意義上來說會將安全級別劃分成三個級別。第三級的安全技術要求較高，除了需要從根本上保護數(shù)據(jù)與網(wǎng)絡安全之外，也需要在二級系統(tǒng)的基礎之上再增加相應的安全要求，比如耳機系統(tǒng)中對于硬件破壞以及環(huán)境安全方面還不能夠?qū)崿F(xiàn)完全的保護，但是三級系統(tǒng)已經(jīng)能夠?qū)崿F(xiàn)防盜、防破壞等相應的保護行為，既能夠保護主機安全，同時也可以加強對于主機的安全保護以及實際應用的安全保護。一旦發(fā)生破壞行為能夠主動預警，沒有得到及時的處理的基礎之上，還會進行報警。

2.2 明確公司信息系統(tǒng)的安全技術框架

安全技術框架是安全技術設計的具體體現(xiàn)，能夠?qū)拘畔⑾到y(tǒng)安全等級保護技術進行優(yōu)化與補充，并且對于公司的發(fā)展起到相應的發(fā)展與引導的作用。除了二級系統(tǒng)中已經(jīng)具備的設計內(nèi)容之外，還需要進行相應的補充以及調(diào)整，比如說數(shù)據(jù)安全防護、應用安全防護、主機安全防護、物理安全防護等[3]，最后利用綜合的安全管理中心進行安全管理工作，實現(xiàn)系統(tǒng)、審計、安全方面的整體管理。另外安全技術框架的設計之中也要細化設計細節(jié)，比如想要加強主機安全防護就可以通過安全審計以及入侵防范行為進行加固，比如說設置網(wǎng)絡安全審計系統(tǒng)、業(yè)務審計系統(tǒng)以及日志審計系統(tǒng)之外，還可以去裝載防病毒軟件、防病毒網(wǎng)關以及防火墻[4]，這些都能夠?qū)崿F(xiàn)網(wǎng)絡的訪問控制，實現(xiàn)對于應用與整體信息系統(tǒng)的安全性。

2.3 明確公司信息系統(tǒng)安全等級保護的保護范圍

公司信息系統(tǒng)在進行安全等級保護設計的過程之中主要涉及四個保護范圍，網(wǎng)絡的互聯(lián)范圍內(nèi)，以相應的數(shù)據(jù)設備為數(shù)據(jù)傳輸載體進行相應的接入主機行為、還有安全服務域以及對于信息系統(tǒng)的后續(xù)安全管理與安全監(jiān)督。這是公司信息系統(tǒng)安全等級保護技術規(guī)劃設計之中所涉及的四個領域，在不同的領域范圍內(nèi)有不同的保護內(nèi)容以及保護需求。比如說安全接入域中物理終端在實現(xiàn)方位的過程之中，必須建立相對明確的保護邊界，從而實現(xiàn)安全等級的一致性，以此加強對于其安全保護工作。另外在安全管理內(nèi)容上，不能夠僅僅以軟件系統(tǒng)作為唯一的公司信息系統(tǒng)的保護工具，而是應該將監(jiān)控與管理有機結(jié)合起來，實現(xiàn)對于公司信息系統(tǒng)的動態(tài)化全面化的相應保證。比如說對于病毒進行相應的監(jiān)控以及非法入侵行為的監(jiān)控等，還可以完善安全體系中的不同管理部分，比如可以設立管理平臺以及認證平臺等[5]，都能夠促進公司信息系統(tǒng)安全等級保護范圍的完善。

2.4 明確公司信息系統(tǒng)中可能存在的危險來源

想要實現(xiàn)對于公司安全信息系統(tǒng)的整體設計，就需要從根本上明確設計需求和信息系統(tǒng)的安全發(fā)展要求，影響公司信息系統(tǒng)安全的主要因素有內(nèi)部攻擊因素、分發(fā)攻擊因素等，一些威脅的主要來源很可能是由于數(shù)據(jù)保存不當而致使網(wǎng)絡通信數(shù)據(jù)被截取、被監(jiān)聽或者一些敏感信息被盜取等，還有因為系統(tǒng)故障或者病毒軟件入侵，造成不良軟件安裝之后形成主機控制權的剝奪，還有一些攻擊病毒能夠?qū)崿F(xiàn)自身的偽裝性，進一步進行參數(shù)的更改，實現(xiàn)數(shù)據(jù)的肆意獲取、更改系統(tǒng)的代碼等。但同時還有另一種安全風險是來自于硬件設施，信息系統(tǒng)的物質(zhì)載體是計算機等，如果設備和線路產(chǎn)生了毀壞，或者因為監(jiān)管不當而直接進行數(shù)據(jù)輸入輸出，登錄密碼被不法分子看到，會更為直接地產(chǎn)生危險后果[6]，給予他人更多非法入侵的相應途徑。所以無論是系統(tǒng)內(nèi)部的攻擊與破壞，還是物理方面的損壞與破壞都能夠給予公司信息系統(tǒng)響應的危險，從而使得企業(yè)公司的信息系統(tǒng)遭到破壞，使企業(yè)運營造成影響等。

3 結(jié)語

在公司信息系統(tǒng)安全等級保護技術規(guī)劃設計過程之中，我們需要正確認識公司信息系統(tǒng)安全等級保護技術規(guī)劃設計的重要作用，針對目前社會對于信息系統(tǒng)安全的實際需求，通過明確公司信息系統(tǒng)安全等級、公司信息系統(tǒng)的安全技術框架、公司信息系統(tǒng)安全等級保護的保護范圍、公司信息系統(tǒng)中可能存在的危險來源等多種方式，實現(xiàn)對于公司信息系統(tǒng)安全等級保護技術規(guī)劃的相應設計。

[1]靳英伯．信息安全等級保護模型評測平臺的設計與實現(xiàn)[D]．山東大學，2015．

[2]陸勤．基于信息安全管理模型的高校信息系統(tǒng)管理平臺研發(fā)[D]．上海交通大學，2014．

[3]姚洪磊，張彥．鐵路信息安全等級保護技術體系規(guī)劃與設計研究[J]．警察技術，2014．

[4]姚德益．基于等級保護的銀行核心網(wǎng)絡系統(tǒng)安全防護體系的研究與設計[D]．東華大學，2014．

[5]劉太洪．大秦公司信息系統(tǒng)安全等級保護技術規(guī)劃設計[D]．河北工業(yè)大學，2014．

[6]龔雷．應用安全透明支撐平臺體系結(jié)構與模型研究[D]．解放軍信息工程大學，2013．