◆楊晨柳 方 安 朱 峰 王 蕾

（中國(guó)醫(yī)學(xué)科學(xué)院醫(yī)學(xué)信息研究所 北京 100020）

信息網(wǎng)絡(luò)技術(shù)與傳統(tǒng)領(lǐng)域的融合帶來新的發(fā)展契機(jī)，與此同時(shí)，其引起的網(wǎng)絡(luò)安全問題也日趨嚴(yán)峻。瑞星在《2018年中國(guó)網(wǎng)絡(luò)安全報(bào)告》[1]中指出，2018年瑞星“云安全”系統(tǒng)共截獲病毒樣本總量7，786萬個(gè)，病毒感染次數(shù)11.25億次，病毒總體數(shù)量比2017年同期上漲55.63%。同時(shí)，由于利益驅(qū)使，更多犯罪分子將注意力投入到挖礦病毒與勒索病毒領(lǐng)域，病毒與殺毒軟件的對(duì)抗越發(fā)激烈，攻擊者持續(xù)更新迭代病毒，導(dǎo)致病毒數(shù)量急劇增長(zhǎng)。

信息安全等級(jí)保護(hù)是指對(duì)國(guó)家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。基于信息系統(tǒng)的安全建設(shè)工作主要涉及物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)、管理等多方面內(nèi)容。

隨著互聯(lián)網(wǎng)技術(shù)及其應(yīng)用的發(fā)展，信息系統(tǒng)面臨的安全威脅和風(fēng)險(xiǎn)愈發(fā)嚴(yán)重，我國(guó)已發(fā)布相關(guān)法律法規(guī)，不斷強(qiáng)化信息安全等級(jí)保護(hù)。2017年1月，工信部印發(fā)《信息通信網(wǎng)絡(luò)與信息安全規(guī)劃（2016－2020）》[2]，提出重點(diǎn)從建立網(wǎng)絡(luò)數(shù)據(jù)安全管理體系、強(qiáng)化用戶個(gè)人信息保護(hù)、建立完善數(shù)據(jù)與個(gè)人信息泄露公告和報(bào)告機(jī)制三個(gè)方面大力強(qiáng)化網(wǎng)絡(luò)數(shù)據(jù)和用戶信息保護(hù)。同年6月1日，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式施行，該法律明確規(guī)定網(wǎng)絡(luò)空間主權(quán)的原則、網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者的安全義務(wù)、網(wǎng)絡(luò)運(yùn)營(yíng)者的安全義務(wù)，進(jìn)一步完善了個(gè)人信息保護(hù)規(guī)則，建立了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度[3]。

本文針對(duì)日益嚴(yán)峻的信息網(wǎng)絡(luò)安全問題，從主觀和客觀兩方面因素分析信息系統(tǒng)安全現(xiàn)狀，基于三級(jí)等保建設(shè)需求，從技術(shù)層面和管理層面詳細(xì)介紹信息安全體系構(gòu)建思路，保證信息資源和信息系統(tǒng)的安全，提高安全風(fēng)險(xiǎn)管控能力，使信息安全管理更加科學(xué)、有效。

1 信息系統(tǒng)安全現(xiàn)狀分析

1.1 典型的信息系統(tǒng)安全問題

目前，信息系統(tǒng)安全問題主要源于主觀和客觀兩方面因素。主觀方面，部分信息系統(tǒng)設(shè)計(jì)時(shí)重點(diǎn)關(guān)注系統(tǒng)功能的實(shí)現(xiàn)，忽略了系統(tǒng)的科學(xué)性、規(guī)范性以及安全性等問題；客觀方面，存在著硬件設(shè)備配置的不合理性、運(yùn)行的不穩(wěn)定性和功能的不完善性等問題。此外，人們信息安全管理意識(shí)淡薄、缺乏科學(xué)有效的規(guī)章管理制度和預(yù)警手段、維護(hù)與治理力度不夠、安全防范意識(shí)不強(qiáng)等也是造成信息系統(tǒng)安全問題頻繁出現(xiàn)的原因。

典型的信息系統(tǒng)安全問題包括：

（1）網(wǎng)絡(luò)非法入侵。非法入侵是造成信息系統(tǒng)安全問題頻發(fā)的原因之一。信息系統(tǒng)設(shè)計(jì)問題、計(jì)算機(jī)操作系統(tǒng)漏洞、系統(tǒng)管理制度缺失、管理員權(quán)限設(shè)定不當(dāng)、用戶密碼泄漏等[4]，都會(huì)給網(wǎng)絡(luò)入侵行為提供可乘之機(jī)，如數(shù)據(jù)竊取、篡改、破壞等，造成信息系統(tǒng)安全隱患甚至經(jīng)濟(jì)損失。

（2）計(jì)算機(jī)病毒傳播。計(jì)算機(jī)病毒具有較強(qiáng)的寄生性和自我復(fù)制性，在程序編制過程中被插入計(jì)算機(jī)用以攻擊信息系統(tǒng)、破壞數(shù)據(jù)，病毒程序激活后可以在網(wǎng)絡(luò)中大肆傳播，導(dǎo)致計(jì)算機(jī)文件被刪除或不同程度的損壞、部分或全部數(shù)據(jù)丟失、系統(tǒng)無法正常運(yùn)行[5]。同時(shí)，由于部分機(jī)構(gòu)沒有在其局域網(wǎng)絡(luò)內(nèi)安裝防火墻及網(wǎng)絡(luò)入侵防御系統(tǒng)，也會(huì)提升信息系統(tǒng)遭受病毒攻擊的概率。

（3）管理制度不完善。管理制度對(duì)于規(guī)范信息系統(tǒng)安全管理行為具有重要意義，如系統(tǒng)操作人員缺乏對(duì)安全風(fēng)險(xiǎn)的遏制和防范意識(shí)，未能認(rèn)識(shí)到信息安全技術(shù)在系統(tǒng)應(yīng)用中的重要性，則無法在系統(tǒng)遭受攻擊時(shí)及時(shí)采取措施進(jìn)行防范和抵制。同時(shí)，管理權(quán)限的不規(guī)范也極易帶來信息系統(tǒng)安全問題，造成信息的破壞及剽竊。

1.2 三級(jí)等保實(shí)施現(xiàn)狀

等級(jí)測(cè)評(píng)指測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，運(yùn)用科學(xué)的手段和方法，對(duì)處理特定應(yīng)用的信息系統(tǒng)，采用安全技術(shù)測(cè)評(píng)和安全管理測(cè)評(píng)方式，對(duì)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估，判定受測(cè)系統(tǒng)的技術(shù)和管理級(jí)別與規(guī)定安全等級(jí)要求的符合程度，針對(duì)安全不符合項(xiàng)提出安全整改建議。

測(cè)評(píng)等級(jí)分為1-5級(jí)，其中第三級(jí)為監(jiān)督保護(hù)級(jí)，是國(guó)家對(duì)非銀行機(jī)構(gòu)的最高級(jí)安全認(rèn)證，包含信息保護(hù)、安全審計(jì)、通信保密等近300項(xiàng)要求。三級(jí)等保主要針對(duì)涉及國(guó)家安全、社會(huì)秩序和公共利益的重要信息系統(tǒng)的安全保護(hù)，其業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，甚至對(duì)國(guó)家安全造成威脅。

2 基于三級(jí)等保的信息安全管理體系

設(shè)計(jì)基于三級(jí)等保的信息安全管理體系，旨在指導(dǎo)如何對(duì)網(wǎng)絡(luò)與信息資產(chǎn)進(jìn)行管理、保護(hù)和分配的規(guī)則和指示，明確安全管理的方向、目標(biāo)和范圍。同時(shí)，該安全管理體系需要被定期評(píng)審和修訂，以確保其持續(xù)適宜性，特別是在組織結(jié)構(gòu)或技術(shù)基礎(chǔ)改變、出現(xiàn)新的漏洞和威脅、發(fā)生重大安全事件時(shí)，可以得到有效保護(hù)。

信息安全管理體系（見圖1），由三個(gè)層面的多個(gè)子策略組成，具有分層結(jié)構(gòu)的完整體系，包含了從宏觀到微觀，從原則方向到具體措施等多方面的內(nèi)容。

（1）信息安全管理體系總綱（簡(jiǎn)稱“總綱”）位于安全管理體系的第一層，是整個(gè)安全管理體系的最高綱領(lǐng)，其主要闡述安全的必要性、基本原則及宏觀策略?？偩V具有高度的概括性，涵蓋了技術(shù)和管理兩個(gè)方面，在各信息系統(tǒng)安全保障工作中具有通用性。

（2）安全管理體系的第二層是一系列的管理規(guī)定和技術(shù)規(guī)范，是對(duì)總綱的分解和進(jìn)一步闡述，側(cè)重于共性問題、操作實(shí)施和管理考核，提出具體的要求，對(duì)安全工作具有實(shí)際指導(dǎo)作用[6]。

（3）安全管理體系的第三層是操作層面，基于上兩層的策略要求，操作層面結(jié)合具體的網(wǎng)絡(luò)和應(yīng)用環(huán)境，遵循動(dòng)態(tài)管理和閉環(huán)管理原則，制訂具體實(shí)施的細(xì)則、流程，具備最直觀的可操作性。

圖1 基于三級(jí)等保的信息安全管理體系

3 建設(shè)方案

信息系統(tǒng)三級(jí)等保建設(shè)主要依據(jù)國(guó)家標(biāo)準(zhǔn)及行業(yè)政策的指導(dǎo)，同時(shí)結(jié)合信息系統(tǒng)安全管理體系框架、信息系統(tǒng)實(shí)際業(yè)務(wù)及管理情況開展整改與建設(shè)工作。

3.1 技術(shù)層

3.1.1 物理安全

物理安全包含環(huán)境安全、設(shè)備和介質(zhì)的防盜竊防破壞等方面。在具體建設(shè)過程中，機(jī)房應(yīng)至少分為主機(jī)房和監(jiān)控區(qū)兩部分，配備電子門禁系統(tǒng)、防盜報(bào)警系統(tǒng)、監(jiān)控系統(tǒng)，同時(shí)滿足防盜竊、防破壞、防水、防電等基本安全條件。此外，在機(jī)房供電線路上配置UPS，建立發(fā)電機(jī)備用供電系統(tǒng)，保證機(jī)房24小時(shí)不間斷電力供應(yīng)。

3.1.2 主機(jī)安全

主機(jī)安全需要滿足包括服務(wù)器、終端/工作站等在內(nèi)的計(jì)算機(jī)設(shè)備在操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)層面的需求，重點(diǎn)解決身份鑒別、訪問控制、安全審計(jì)、剩余信息保護(hù)、入侵防范、惡意代碼防范、資源控制等問題。依據(jù)管理用戶的角色分配權(quán)限，包括系統(tǒng)管理員、日志用戶、應(yīng)用用戶、數(shù)據(jù)庫(kù)管理員，并通過堡壘機(jī)實(shí)現(xiàn)日志審計(jì)功能。同時(shí)，采用安全監(jiān)控運(yùn)行管理平臺(tái)軟件對(duì)重要服務(wù)器進(jìn)行監(jiān)控，如服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況。

3.1.3 網(wǎng)絡(luò)安全

通過互聯(lián)網(wǎng)防火墻、專線防火墻、核心交換區(qū)防火墻將網(wǎng)絡(luò)劃分成互聯(lián)網(wǎng)控制區(qū)、專線接入控制區(qū)、DMZ區(qū)、核心交換區(qū)、發(fā)布區(qū)、生產(chǎn)區(qū)、業(yè)務(wù)管理區(qū)、運(yùn)維開發(fā)測(cè)試區(qū)、安全管理區(qū)、存儲(chǔ)區(qū)；同時(shí)，通過交換機(jī)劃分出不同的子網(wǎng)，區(qū)域間部署防火墻，配置訪問控制策略，實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)和服務(wù)器的邏輯隔離。此外，在局域網(wǎng)絡(luò)內(nèi)配置堡壘機(jī)、DDoS監(jiān)控、網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)審計(jì)、入侵檢測(cè)防御設(shè)備、漏洞掃描等安全設(shè)備，對(duì)網(wǎng)絡(luò)鏈路、核心網(wǎng)絡(luò)設(shè)備和安全設(shè)備進(jìn)行冗余設(shè)計(jì)，保證設(shè)備正常運(yùn)行。

3.1.4 應(yīng)用安全

應(yīng)用安全包括保護(hù)信息系統(tǒng)的各種應(yīng)用程序運(yùn)行的安全，在安全評(píng)估過程中，需避免中高級(jí)風(fēng)險(xiǎn)漏洞，如SQL注入、跨站腳本、網(wǎng)頁(yè)篡改、敏感信息泄露等，定期進(jìn)行漏洞掃描工作，及時(shí)修復(fù)新出現(xiàn)的漏洞威脅。通過統(tǒng)一認(rèn)證鑒權(quán)服務(wù)登錄系統(tǒng)，采用用戶名、靜態(tài)口令組合的鑒別技術(shù)對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別，并設(shè)置用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能、登錄失敗處理功能、訪問控制功能、審計(jì)記錄的統(tǒng)計(jì)分析和報(bào)表功能。

3.1.5 數(shù)據(jù)安全與備份恢復(fù)

制定相應(yīng)機(jī)制保證信息傳輸與存儲(chǔ)過程中的機(jī)密性和完整性，關(guān)鍵設(shè)備設(shè)置雙路熱備，強(qiáng)調(diào)數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)備份、數(shù)據(jù)運(yùn)行環(huán)境、數(shù)據(jù)庫(kù)審計(jì)安全，旨在保證業(yè)務(wù)正常訪問、數(shù)據(jù)庫(kù)性能優(yōu)化、備份設(shè)備安全及有效性檢查，維護(hù)系統(tǒng)數(shù)據(jù)、用戶數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)的完整性、保密性、并且進(jìn)行備份和恢復(fù)。

3.2 管理層

3.2.1 安全管理制度

明確規(guī)定信息安全工作總體目標(biāo)、范圍、安全框架和各種安全管理活動(dòng)的制度以及管理人員或操作人員日常操作的操作規(guī)程，具體闡述管理制度的制定和發(fā)布、評(píng)審和修改等內(nèi)容，保證信息安全管理活動(dòng)有序進(jìn)行。

3.2.2 安全管理機(jī)構(gòu)

基于內(nèi)部結(jié)構(gòu)建立一整套從領(lǐng)導(dǎo)層到執(zhí)行管理層以及業(yè)務(wù)運(yùn)營(yíng)層的管理結(jié)構(gòu)來約束和保證各項(xiàng)安全管理措施的執(zhí)行，具體包含崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查等內(nèi)容。當(dāng)信息系統(tǒng)進(jìn)行關(guān)鍵活動(dòng)時(shí)，如設(shè)備出入機(jī)房、業(yè)務(wù)數(shù)據(jù)提取、設(shè)備遷入移出、賬戶開通注銷終止、業(yè)務(wù)系統(tǒng)訪問、業(yè)務(wù)系統(tǒng)投產(chǎn)變更、基礎(chǔ)設(shè)置變更等需要走審批流程，并明確審批部門及負(fù)責(zé)人員。

3.2.3 人員安全管理

對(duì)內(nèi)部人員和對(duì)外部人員進(jìn)行安全管理，具體解決人員錄用、人員離崗、人員考核、外部人員訪問管理等問題，對(duì)內(nèi)部人員進(jìn)行定期安全培訓(xùn)，對(duì)管理人員進(jìn)行安全技能和安全認(rèn)知考核，提升安全管理效率。

3.2.4 系統(tǒng)建設(shè)管理

從定級(jí)、設(shè)計(jì)建設(shè)實(shí)施、驗(yàn)收交付方面考慮，制定信息安全建設(shè)工作計(jì)劃，對(duì)系統(tǒng)定級(jí)、安全方案設(shè)計(jì)、產(chǎn)品采購(gòu)和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付、系統(tǒng)備案、等級(jí)測(cè)評(píng)、服務(wù)商選擇等安全管理活動(dòng)進(jìn)行全程跟蹤審計(jì)，在發(fā)生問題時(shí)便于溯源。

3.2.5 系統(tǒng)運(yùn)維管理

重視對(duì)信息系統(tǒng)的日常管理、變更管理、制度化管理、安全事件處置、應(yīng)急預(yù)案管理和安管中心等內(nèi)容，通過漏洞掃描系統(tǒng)對(duì)局域網(wǎng)絡(luò)中的系統(tǒng)、設(shè)備進(jìn)行掃描，及時(shí)對(duì)漏洞進(jìn)行分析處理，避免系統(tǒng)或設(shè)備由于病毒感染造成數(shù)據(jù)受損、丟失等。采用監(jiān)控軟件對(duì)網(wǎng)絡(luò)鏈路、網(wǎng)絡(luò)及主機(jī)設(shè)備的運(yùn)行狀況、流量等進(jìn)行監(jiān)控，并對(duì)工作日志和結(jié)果進(jìn)行記錄。

4 總結(jié)與展望

近些年來，由于計(jì)算機(jī)信息管理技術(shù)安全問題頻發(fā)，對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)成因進(jìn)行深刻分析和研究變得愈發(fā)緊迫。同時(shí)，只有針對(duì)信息系統(tǒng)具體問題采取有力的防范、整治措施，構(gòu)建基于等級(jí)保護(hù)的信息安全防護(hù)體系，才能確保信息系統(tǒng)的安全，實(shí)現(xiàn)系統(tǒng)安全穩(wěn)定運(yùn)行，減少因人為管理問題而產(chǎn)生的漏洞，實(shí)現(xiàn)計(jì)算機(jī)系統(tǒng)的網(wǎng)絡(luò)安全。

本文基于安全技術(shù)和安全管理兩方面闡述信息安全體系的構(gòu)建思路。在安全技術(shù)方面，通過使用安全產(chǎn)品和技術(shù)，支撐并實(shí)現(xiàn)安全策略，保證信息系統(tǒng)的保密性、完整性和可用性；在安全管理方面，通過建立信息安全管理制度，培養(yǎng)信息安全專業(yè)管理團(tuán)隊(duì)，完善信息安全風(fēng)險(xiǎn)管理流程，制定規(guī)范化的管理流程，有效執(zhí)行安全策略規(guī)定的目標(biāo)和原則。通過建設(shè)基于三級(jí)等保的信息系統(tǒng)安全體系，保證系統(tǒng)運(yùn)維有序、有效進(jìn)行，配合安全管理制度規(guī)范提高安全管理效率，支撐信息系統(tǒng)安全、穩(wěn)定運(yùn)行。

在信息系統(tǒng)建設(shè)過程中，還應(yīng)加強(qiáng)對(duì)系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估，不斷完善系統(tǒng)框架、業(yè)務(wù)流程、訪問控制等安全措施，提升系統(tǒng)自身的攻擊防御能力，并通過制定行之有效的管理規(guī)定，保證信息系統(tǒng)安全工作的持續(xù)有效開展，建立信息系統(tǒng)的綜合防御體制。此外，隨著信息安全管理理念和信息技術(shù)的發(fā)展變化，信息安全體系也需要與時(shí)俱進(jìn)不斷完善，以滿足系統(tǒng)安全建設(shè)實(shí)際需求，保障重要信息資源和重要信息系統(tǒng)的安全，促進(jìn)維護(hù)國(guó)家利益、公共利益和社會(huì)穩(wěn)定。