張惠

摘 要：本文針對信息系統(tǒng)在運(yùn)維階段的信息安全工作進(jìn)行詳細(xì)描述，首先分析了信息系統(tǒng)運(yùn)維階段的工作要求，接著針對性地對每項工作的開展實施進(jìn)行闡述，并對相關(guān)的信息安全工作進(jìn)行補(bǔ)充介紹，以期為做好信息系統(tǒng)運(yùn)維過程中的信息安全工作提供借鑒。

關(guān)鍵詞：信息系統(tǒng)；信息安全；系統(tǒng)運(yùn)維；信息安全等級保護(hù)；信息安全風(fēng)險評估

中圖分類號：TP309 文獻(xiàn)標(biāo)識碼：A 文章編號：1003-5168（2018）05-0024-02

Research on Information Security in Operation and

Maintenance of Information System

ZHANG Hui

（Patent Examination Cooperation Center of the Patent Office，SIPO Henan，Zhengzhou Henan 450018）

Abstract： Based on the information system of information security in the operation stage are described in detail， firstly analyzed the information system operation and maintenance phase of the work requirements， then for each work carried out were described， and the information security work related to supplement the introduction， in order to provide reference for information security information in the process of system operation.

Keywords： information system；information security；system operation and maintenance；information security level protection；information security risk assessment

在互聯(lián)網(wǎng)高速發(fā)展的情形下，越來越多的信息系統(tǒng)開始被大家廣泛使用，信息系統(tǒng)的安全問題也得到前所未有的重視。信息系統(tǒng)在建設(shè)完成之后，很長一段時間內(nèi)都處在運(yùn)維階段，因此，做好信息系統(tǒng)運(yùn)維階段的安全工作變得十分必要[1]。信息系統(tǒng)運(yùn)維階段對信息安全工作的開展究竟有哪些要求，信息系統(tǒng)運(yùn)維階段的信息安全要做哪些工作，本文將進(jìn)行詳細(xì)說明。

1 信息安全的相關(guān)概念

1.1 信息系統(tǒng)

2004年下發(fā)的《關(guān)于信息安全等級保護(hù)工作的實施意見》（公通字〔2004〕第66號）指出：信息系統(tǒng)是指由計算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行存儲、傳輸、處理的系統(tǒng)或者網(wǎng)絡(luò)；信息是指在信息系統(tǒng)中存儲、傳輸、處理的數(shù)字化信息[2]。

1.2 信息系統(tǒng)安全

《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》第三條指出：計算機(jī)信息系統(tǒng)的安全保護(hù)，應(yīng)當(dāng)保障計算機(jī)及其相關(guān)的和配套的設(shè)施、設(shè)施（含網(wǎng)絡(luò)）的安全，運(yùn)行環(huán)境的安全，保障信息的安全，保障計算機(jī)功能的正常發(fā)揮，以維護(hù)計算機(jī)信息系統(tǒng)的安全運(yùn)行。

1.3 信息安全的概念

國際標(biāo)準(zhǔn)化組織（ISO）給出的信息安全的定義是：為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計算機(jī)硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭受破壞、更改、泄露[3]。

1.4 信息安全等級保護(hù)

信息安全等級保護(hù)是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的系統(tǒng)分等級實行安全保護(hù)，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。

1.5 信息安全風(fēng)險評估

信息安全風(fēng)險評估是信息安全等級保護(hù)管理的基礎(chǔ)工作，依據(jù)國家標(biāo)準(zhǔn)規(guī)范，對信息系統(tǒng)的完整性、保密性、可用性等安全保障性能進(jìn)行科學(xué)、公正的綜合評估的活動。

2 信息系統(tǒng)運(yùn)維階段安全工作要求

2.1 運(yùn)行管理和控制

運(yùn)行管理和控制的目的是確保信息系統(tǒng)的安全運(yùn)行，操作人員應(yīng)對信息系統(tǒng)實行正確和安全的操作，并且保證系統(tǒng)不斷變化和種類繁多的運(yùn)行管理活動得到控制。

2.2 變更管理和控制

變更管理和控制的目的是確保在發(fā)生安全配置、安全設(shè)施、系統(tǒng)結(jié)構(gòu)和業(yè)務(wù)應(yīng)用等變化時，使用標(biāo)準(zhǔn)的方法和步驟，盡快地實施變更，并確保變更所導(dǎo)致的信息資產(chǎn)安全性降低、業(yè)務(wù)中斷或業(yè)務(wù)影響降到最低。

2.3 安全狀態(tài)監(jiān)控

不同安全等級的信息系統(tǒng)在安全監(jiān)控方面要求采用的手段和監(jiān)控內(nèi)容不同。

2.4 安全事件處置和應(yīng)急預(yù)案

安全事件采取分級響應(yīng)與處置機(jī)制，可根據(jù)相關(guān)標(biāo)準(zhǔn)建立合適的應(yīng)急響應(yīng)機(jī)制，保障業(yè)務(wù)系統(tǒng)的持續(xù)運(yùn)行。

2.5 安全檢查和持續(xù)改進(jìn)

在信息系統(tǒng)安全運(yùn)行維護(hù)過程中，會發(fā)生信息系統(tǒng)變更、安全狀態(tài)改變等情況。因此，必須定期對信息系統(tǒng)狀況進(jìn)行安全檢查，并依據(jù)檢查結(jié)果對信息系統(tǒng)進(jìn)行持續(xù)改進(jìn)。

2.6 等級保護(hù)安全測評

按照等級保護(hù)的相關(guān)法規(guī)和標(biāo)準(zhǔn)，定期對信息系統(tǒng)進(jìn)行安全測評。

3 信息系統(tǒng)運(yùn)維階段安全工作開展

3.1 運(yùn)行管理和控制

針對不同的信息系統(tǒng)，制定《信息安全責(zé)任管理制度》，劃分運(yùn)行管理人員的角色、賦予各種角色不同的管理權(quán)限、明確各個角色的職責(zé)。同時，加強(qiáng)對管理人員信息系統(tǒng)各項操作的培訓(xùn)；信息系統(tǒng)對不同角色人員的操作進(jìn)行記錄，同時記錄系統(tǒng)的正?；虍惓５刃畔?。

3.2 變更管理和控制

對于信息系統(tǒng)發(fā)生變更的情況，系統(tǒng)變更負(fù)責(zé)人會明確用戶需求，形成需求變更文檔。之后，會和系統(tǒng)運(yùn)維方、安全運(yùn)維方對需求變更文檔進(jìn)行評審分析，確定變更內(nèi)容，形成變更方案文檔。

對于變更實施工作，需要制訂詳細(xì)的變更實施方案，并由系統(tǒng)變更負(fù)責(zé)人會同安全運(yùn)維方對實施方案進(jìn)行評審，系統(tǒng)運(yùn)維方根據(jù)評審后的方案完成變更工作，并在此過程中根據(jù)實施方案做好相關(guān)記錄工作。

3.3 安全狀態(tài)監(jiān)控

對于信息系統(tǒng)安全狀態(tài)的監(jiān)控，首先，要確定監(jiān)控哪些內(nèi)容，如信息系統(tǒng)的可訪問性，系統(tǒng)的資源使用情況，內(nèi)存、硬盤、CPU、TCP連接數(shù)、網(wǎng)絡(luò)流量等；其次，確定監(jiān)控工具，如阿里云的態(tài)勢感知、安全預(yù)警、政府網(wǎng)站綜合防護(hù)系統(tǒng)（網(wǎng)防G01）和監(jiān)控寶等工具；最后，定期對監(jiān)控數(shù)據(jù)進(jìn)行分析，及時發(fā)現(xiàn)信息安全事件，并做出響應(yīng)。

4 信息系統(tǒng)運(yùn)維階段其他防護(hù)工作

4.1 網(wǎng)絡(luò)安全防護(hù)

網(wǎng)絡(luò)是信息系統(tǒng)構(gòu)建的基礎(chǔ)，其使計算機(jī)及相關(guān)配套設(shè)備能夠互聯(lián)、共享，但同時也帶來了相應(yīng)的安全問題。網(wǎng)絡(luò)安全防護(hù)內(nèi)容包括網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)邊界防護(hù)和信息系統(tǒng)內(nèi)部深度防護(hù)。

通常通過安全域的劃分、子系統(tǒng)劃分保障網(wǎng)絡(luò)結(jié)構(gòu)安全；在網(wǎng)絡(luò)邊界設(shè)置安全設(shè)備，如防火墻、邊界隔離防護(hù)（IPS、網(wǎng)閘）和VPN，對外部的訪問進(jìn)行過濾和控制，對內(nèi)部向外部傳輸?shù)臄?shù)據(jù)信息進(jìn)行安全檢查。

4.2 信息系統(tǒng)環(huán)境安全防護(hù)

信息系統(tǒng)環(huán)境安全防護(hù)關(guān)注的是采用信息保障技術(shù)確保用戶信息在進(jìn)入、離開或駐留客戶機(jī)與服務(wù)器時具有可用性、完整性和保密性。主要涉及主機(jī)上的操作系統(tǒng)、數(shù)據(jù)庫等系統(tǒng)軟件；應(yīng)用層的一些通用應(yīng)用程序，如瀏覽器；專門開發(fā)的獨(dú)立應(yīng)用程序；錄入或生成的各類數(shù)據(jù)的安全。

4.3 備份與數(shù)據(jù)恢復(fù)

數(shù)據(jù)備份是指為保障數(shù)據(jù)存儲的安全性，將數(shù)據(jù)復(fù)制成若干份分開保存的處理方法。數(shù)據(jù)恢復(fù)的方式目前有全盤恢復(fù)、個別文件恢復(fù)和重定向恢復(fù)等。完整的數(shù)據(jù)備份及恢復(fù)方案應(yīng)包括備份硬件、備份軟件、備份制度和數(shù)據(jù)恢復(fù)計劃4部分。

5 結(jié)語

本文根據(jù)當(dāng)前的文獻(xiàn)資料，結(jié)合筆者自身的工作經(jīng)驗，對信息系統(tǒng)運(yùn)維過程中信息安全工作要求進(jìn)行了詳細(xì)的分類說明，同時針對性地對每項工作的開展實施進(jìn)行了闡述，并對相關(guān)的信息安全工作進(jìn)行了補(bǔ)充介紹。本文中提到的信息安全工作開展的內(nèi)容，可作為企事業(yè)單位在信息系統(tǒng)運(yùn)維階段信息安全工作的參照。

參考文獻(xiàn)：

[1]石志國，賀也平，趙悅.信息安全概論[M].北京：清華大學(xué)出版社，2008.

[2]沈昌祥，左曉棟.信息安全[M].杭州：浙江大學(xué)出版社，2007.

[3]公安部信息安全等級保護(hù)評估中心.信息安全等級保護(hù)政策培訓(xùn)教程[M].北京：電子工業(yè)出版社，2016.