陳宗明 余福生

摘? ?要：移動(dòng)智能終端的出現(xiàn)在給廣大移動(dòng)互聯(lián)網(wǎng)受眾帶來(lái)方便快捷的使用體驗(yàn)的同時(shí)，也為移動(dòng)互聯(lián)網(wǎng)信息系統(tǒng)的等級(jí)保護(hù)工作帶來(lái)了新的挑戰(zhàn)。當(dāng)前階段，移動(dòng)互聯(lián)網(wǎng)信息系統(tǒng)的等級(jí)保護(hù)測(cè)評(píng)工作還未將移動(dòng)智能終端所帶來(lái)的威脅列入測(cè)評(píng)范疇。文章從現(xiàn)階段移動(dòng)互聯(lián)網(wǎng)信息系統(tǒng)的等級(jí)保護(hù)測(cè)評(píng)實(shí)況出發(fā)，簡(jiǎn)要闡述幾點(diǎn)新的測(cè)評(píng)方法與建議。

關(guān)鍵詞：移動(dòng)互聯(lián)網(wǎng);信息系統(tǒng);等級(jí)保護(hù)

現(xiàn)階段，移動(dòng)互聯(lián)網(wǎng)所采用的信息系統(tǒng)的等級(jí)保護(hù)測(cè)評(píng)機(jī)制還是沿用常規(guī)的信息等級(jí)保護(hù)測(cè)評(píng)方式，比如在測(cè)評(píng)主機(jī)安全性的時(shí)候僅關(guān)注PC操作系統(tǒng)以及數(shù)據(jù)庫(kù)的配置安全問(wèn)題，測(cè)評(píng)網(wǎng)絡(luò)安全時(shí)也只關(guān)注使用PC客戶端進(jìn)行訪問(wèn)業(yè)務(wù)過(guò)程中出現(xiàn)的訪問(wèn)控制以及數(shù)據(jù)傳輸?shù)陌踩珕?wèn)題等。當(dāng)前階段，移動(dòng)互聯(lián)網(wǎng)信息系統(tǒng)的等級(jí)保護(hù)測(cè)評(píng)應(yīng)該從網(wǎng)絡(luò)安全、應(yīng)用軟件安全、數(shù)據(jù)庫(kù)安全以及終端安全等多個(gè)角度綜合進(jìn)行。

1? ? 移動(dòng)互聯(lián)網(wǎng)信息系統(tǒng)簡(jiǎn)要概述

移動(dòng)互聯(lián)網(wǎng)信息系統(tǒng)實(shí)際上指的是一套建立在手機(jī)、iPad等便攜化終端設(shè)備上，作為信息載體進(jìn)行信息存儲(chǔ)與傳輸?shù)囊苿?dòng)化信息系統(tǒng)，將無(wú)線網(wǎng)絡(luò)、手機(jī)設(shè)備以及辦公系統(tǒng)進(jìn)行有效結(jié)合，在一定程度上可以實(shí)現(xiàn)任何時(shí)間與任何地點(diǎn)的辦公，大大提高了人們的工作效率。在通過(guò)移動(dòng)終端進(jìn)行互聯(lián)網(wǎng)訪問(wèn)的過(guò)程中，可以將移動(dòng)互聯(lián)網(wǎng)信息系統(tǒng)的訪問(wèn)流程劃分為不同的區(qū)域，其中包括移動(dòng)智能用戶終端區(qū)域、互聯(lián)網(wǎng)運(yùn)營(yíng)商傳輸區(qū)域、內(nèi)外網(wǎng)接入?yún)^(qū)域以及業(yè)務(wù)內(nèi)網(wǎng)服務(wù)區(qū)域等。除此之外，在進(jìn)行移動(dòng)終端內(nèi)網(wǎng)業(yè)務(wù)訪問(wèn)的過(guò)程中還需要針對(duì)信息系統(tǒng)內(nèi)的身份鑒別功能、數(shù)據(jù)保密功能、內(nèi)網(wǎng)接入控制、網(wǎng)站邊界防護(hù)等對(duì)用戶可能會(huì)產(chǎn)生威脅的拓?fù)湮恢眠M(jìn)行嚴(yán)格的等級(jí)保護(hù)測(cè)評(píng)[1]。

2? ? 移動(dòng)互聯(lián)網(wǎng)信息系統(tǒng)與傳統(tǒng)互聯(lián)網(wǎng)信息系統(tǒng)的等級(jí)保護(hù)區(qū)別

在移動(dòng)互聯(lián)網(wǎng)的信息系統(tǒng)運(yùn)行過(guò)程中，移動(dòng)終端最先通過(guò)建立無(wú)線接入通道實(shí)現(xiàn)與網(wǎng)絡(luò)運(yùn)營(yíng)商的鏈接，然后再通過(guò)該通道與企業(yè)內(nèi)部網(wǎng)站的訪問(wèn)業(yè)務(wù)系統(tǒng)的服務(wù)端進(jìn)行鏈接，在整個(gè)過(guò)程中涉及很多信息安全問(wèn)題，其中包括移動(dòng)網(wǎng)絡(luò)終端的安全認(rèn)證問(wèn)題、訪問(wèn)用戶的身份認(rèn)證問(wèn)題、在訪問(wèn)過(guò)程中的數(shù)據(jù)存儲(chǔ)與數(shù)據(jù)傳輸安全問(wèn)題以及進(jìn)行終端移動(dòng)的用戶權(quán)限問(wèn)題等。這些問(wèn)題一般來(lái)說(shuō)不會(huì)出現(xiàn)在傳統(tǒng)的互聯(lián)網(wǎng)信息系統(tǒng)的等級(jí)保護(hù)過(guò)程中。因此，移動(dòng)互聯(lián)網(wǎng)信息系統(tǒng)與傳統(tǒng)互聯(lián)網(wǎng)信息系統(tǒng)的等級(jí)保護(hù)領(lǐng)域?qū)嶋H上是在不斷擴(kuò)張的，并且針對(duì)不同的信息系統(tǒng)層級(jí)也會(huì)有不同的等級(jí)保護(hù)測(cè)評(píng)體系。

3? ? 提高移動(dòng)互聯(lián)網(wǎng)信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)質(zhì)量的策略研究

3.1? 加強(qiáng)對(duì)移動(dòng)互聯(lián)網(wǎng)信息系統(tǒng)中軟件安全的等級(jí)保護(hù)測(cè)評(píng)

對(duì)于移動(dòng)互聯(lián)網(wǎng)信息系統(tǒng)來(lái)說(shuō)，一般系統(tǒng)內(nèi)部的軟件架構(gòu)會(huì)包含幾個(gè)不同的層面：信息接入層、信息展現(xiàn)層、信息應(yīng)用層、基礎(chǔ)技術(shù)支撐層、運(yùn)行環(huán)境層等。首先，針對(duì)信息接入層來(lái)說(shuō)，該層面是由移動(dòng)互聯(lián)網(wǎng)用戶和信息系統(tǒng)搭建的介入媒體雙方所共同構(gòu)成的，具體到該層面的實(shí)際業(yè)務(wù)方面實(shí)際上就是一個(gè)訪問(wèn)入口，對(duì)于該層面的安全等級(jí)保護(hù)需要從減少入口的攻擊性入手，即最大限度地降低接入口對(duì)整個(gè)軟件系統(tǒng)的威脅。一般來(lái)說(shuō)，可以通過(guò)在接入口與出入口等比較關(guān)鍵的核心層面建立可信機(jī)制，對(duì)于部分非指定接口應(yīng)該嚴(yán)格控制其訪問(wèn)權(quán)限。其次，是信息展現(xiàn)層，顧名思義就是進(jìn)行信息內(nèi)容展示的區(qū)域，針對(duì)該層面的等級(jí)保護(hù)，最核心的一點(diǎn)就是確保信息系統(tǒng)所展示信息的準(zhǔn)確性與完成性，在處理測(cè)評(píng)的過(guò)程中主要測(cè)評(píng)信息內(nèi)容是否存在被隨意篡改的風(fēng)險(xiǎn)。再次，信息應(yīng)用層是移動(dòng)互聯(lián)網(wǎng)信息信息系統(tǒng)中進(jìn)行數(shù)據(jù)信息處理的核心部分，也是移動(dòng)互聯(lián)網(wǎng)信息系統(tǒng)等級(jí)保護(hù)的主要測(cè)評(píng)部分。從次，基礎(chǔ)技術(shù)支撐層主要指的是利用互聯(lián)網(wǎng)技術(shù)通用的各類組件、用戶管理與服務(wù)以及組建交換等常用的應(yīng)用服務(wù)，針對(duì)該層面的安全等級(jí)保護(hù)可以從系統(tǒng)組建自身的穩(wěn)定性與安全性入手，加強(qiáng)不同組件鏈接口之間的安全性。最后，針對(duì)信息運(yùn)行環(huán)境層來(lái)說(shuō)，所面臨的最主要的安全問(wèn)題在于惡意代碼、物理攻擊以及軟件或者硬件之間的故障方面，應(yīng)該采取的主要措施就是增強(qiáng)對(duì)移動(dòng)互聯(lián)網(wǎng)信息系統(tǒng)的綜合管理與安全測(cè)評(píng)[2]。

移動(dòng)互聯(lián)網(wǎng)信息系統(tǒng)軟件中經(jīng)常出現(xiàn)的“黑客”攻擊，作為一種威脅極大的互聯(lián)網(wǎng)信息系統(tǒng)安全隱患，在處理該類問(wèn)題時(shí)，要在建立合理科學(xué)的等級(jí)保護(hù)制度的基礎(chǔ)上，在不同類型的軟件信息中心做好可以24小時(shí)監(jiān)控預(yù)測(cè)的預(yù)警防護(hù)機(jī)制，包括網(wǎng)站防護(hù)、云端防護(hù)以及實(shí)時(shí)預(yù)警等安全保護(hù)措施，并且針對(duì)可能出現(xiàn)的危險(xiǎn)事故，盡量提前做好安全措施與應(yīng)急預(yù)案。相關(guān)人員也應(yīng)該增強(qiáng)對(duì)移動(dòng)互聯(lián)網(wǎng)信息系統(tǒng)的維護(hù)工作，盡量縮短維護(hù)、排查工作間隔，從而最大限度地提升移動(dòng)互聯(lián)網(wǎng)信息系統(tǒng)的安全性。另一方面，還可以通過(guò)滾動(dòng)排查和抽樣排查的方式，及時(shí)發(fā)現(xiàn)軟件信息系統(tǒng)中存在的安全漏洞，最大限度地避免信息篡改、病毒入侵以及暗鏈等問(wèn)題的出現(xiàn)。除此之外，針對(duì)沒(méi)有嚴(yán)格按照規(guī)定貫徹落實(shí)集約化與規(guī)范化管理的網(wǎng)絡(luò)信息系統(tǒng)，也必須堅(jiān)持做好24小時(shí)的監(jiān)控預(yù)測(cè)與報(bào)警機(jī)制，并進(jìn)行實(shí)時(shí)保護(hù)，在出現(xiàn)系統(tǒng)漏洞的第一時(shí)間就通過(guò)后臺(tái)系統(tǒng)進(jìn)行修復(fù)。相關(guān)人員也應(yīng)該對(duì)后臺(tái)系統(tǒng)進(jìn)行升級(jí)維護(hù)，從而提升后臺(tái)系統(tǒng)所能夠應(yīng)對(duì)的漏洞等級(jí)。也應(yīng)該完善專人負(fù)責(zé)制度，安排專業(yè)人員進(jìn)行日常維護(hù)，當(dāng)后臺(tái)系統(tǒng)所出現(xiàn)的漏洞無(wú)法憑借系統(tǒng)內(nèi)部的維修系統(tǒng)處理時(shí)，相關(guān)人員就應(yīng)該立即介入，防止出現(xiàn)系統(tǒng)崩潰現(xiàn)象。通過(guò)這種方式，一方面有利于提高移動(dòng)互聯(lián)網(wǎng)軟件信息系統(tǒng)的安全防護(hù)，另一方面也有利于提高移動(dòng)互聯(lián)網(wǎng)信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)的效率與質(zhì)量，從而使相關(guān)人員更高效地處理信息，方便人們的工作和生活。

3.2? 加強(qiáng)相關(guān)人員對(duì)移動(dòng)互聯(lián)網(wǎng)信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)的重視

移動(dòng)互聯(lián)網(wǎng)信息系統(tǒng)的安全等級(jí)保護(hù)工作主要包括5個(gè)方面，分別為安全等級(jí)保護(hù)定級(jí)、等級(jí)保護(hù)備案、等級(jí)保護(hù)安全建設(shè)、信息整改與安全測(cè)評(píng)以及信息安全性檢查。當(dāng)前階段，在進(jìn)行移動(dòng)互聯(lián)網(wǎng)信息系統(tǒng)的安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程中，具有測(cè)評(píng)機(jī)制的應(yīng)該是由公安部授權(quán)過(guò)的具有安全資質(zhì)的第三方信息機(jī)構(gòu)，該機(jī)構(gòu)可以為各大小企業(yè)單位與事業(yè)單位提供專業(yè)化的信息安全等級(jí)保護(hù)測(cè)評(píng)以及等級(jí)保護(hù)咨詢服務(wù)。因此，作為測(cè)評(píng)機(jī)構(gòu)，在單位內(nèi)部要加強(qiáng)對(duì)信息系統(tǒng)安全等級(jí)保護(hù)與測(cè)評(píng)工作的重視，通過(guò)與運(yùn)營(yíng)維護(hù)企業(yè)之間建立密切配合關(guān)系，派遣專人專項(xiàng)負(fù)責(zé)等措施，貫徹落實(shí)各項(xiàng)移動(dòng)互聯(lián)網(wǎng)信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)機(jī)制，并在主管公安部門(mén)的監(jiān)督與指導(dǎo)下，以最優(yōu)等級(jí)的保護(hù)措施與測(cè)評(píng)工作，確保移動(dòng)互聯(lián)網(wǎng)信息系統(tǒng)的安全、順暢運(yùn)行。與此同時(shí)，還要加強(qiáng)對(duì)移動(dòng)互聯(lián)網(wǎng)信息系統(tǒng)的日常密碼維護(hù)，嚴(yán)格按照相關(guān)規(guī)定去定期修改密碼、進(jìn)行密碼維護(hù)。從一定程度上來(lái)講，密碼維護(hù)也是一項(xiàng)十分關(guān)鍵的信息系統(tǒng)安全管理措施，通過(guò)定期的維護(hù)與測(cè)評(píng)可以有效提高移動(dòng)互聯(lián)網(wǎng)信息系統(tǒng)的安全性與穩(wěn)定性，也可以有效降低系統(tǒng)與服務(wù)器被惡意攻擊的可能性。相關(guān)人員必須要端正對(duì)移動(dòng)互聯(lián)網(wǎng)信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)的重視態(tài)度，才能采取有效措施對(duì)移動(dòng)互聯(lián)網(wǎng)信息系統(tǒng)進(jìn)行分等級(jí)保護(hù)，從而提升移動(dòng)互聯(lián)網(wǎng)信息系統(tǒng)的安全性與不可攻擊性。只有提升相關(guān)工作人員對(duì)安全等級(jí)保護(hù)的重視程度，才能在此基礎(chǔ)上開(kāi)展等級(jí)保護(hù)備案、等級(jí)保護(hù)安全建設(shè)、信息整改、安全測(cè)評(píng)以及信息安全性檢查工作。

為了加強(qiáng)相關(guān)工作人員對(duì)移動(dòng)互聯(lián)網(wǎng)信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)的重視，可以從加大對(duì)計(jì)算機(jī)相關(guān)安全系統(tǒng)與安全保護(hù)條例等相關(guān)政策制度的宣傳教育入手，切實(shí)做到對(duì)相關(guān)工作人員意識(shí)普及與職業(yè)素養(yǎng)的培訓(xùn)，幫助相關(guān)人員認(rèn)識(shí)到互聯(lián)網(wǎng)信息系統(tǒng)安全等級(jí)保護(hù)與保護(hù)測(cè)評(píng)的重要性，從而幫助其端正自己的工作態(tài)度，恪盡職守。其中不僅包括對(duì)相關(guān)信息安全等級(jí)保護(hù)規(guī)章制度的強(qiáng)化學(xué)習(xí)，還要針對(duì)移動(dòng)互聯(lián)網(wǎng)信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)要求與工作流程的嚴(yán)格化與規(guī)范化培訓(xùn)，切實(shí)將信息系統(tǒng)安全保護(hù)工作貫徹落實(shí)到每一個(gè)細(xì)節(jié)。一方面要確保移動(dòng)互聯(lián)網(wǎng)信息系統(tǒng)的正常高效運(yùn)轉(zhuǎn)，另一方面還要促進(jìn)信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)工作的不斷創(chuàng)新。此外，公安部門(mén)也要通過(guò)各種類型的宣傳與引導(dǎo)活動(dòng)，針對(duì)信息系統(tǒng)的安全問(wèn)題及時(shí)作出科普，比如可以通過(guò)定期開(kāi)展互聯(lián)網(wǎng)信息安全講座、分發(fā)移動(dòng)互聯(lián)網(wǎng)宣傳手冊(cè)等方式，在潛移默化中加強(qiáng)人們對(duì)移動(dòng)互聯(lián)網(wǎng)信息系統(tǒng)安全保護(hù)的認(rèn)識(shí)，必要時(shí)可以將法律作為武器懲戒各類破壞移動(dòng)互聯(lián)網(wǎng)信息系統(tǒng)安全的違法行為。

4? ? 結(jié)語(yǔ)

移動(dòng)互聯(lián)網(wǎng)信息系統(tǒng)等級(jí)保護(hù)無(wú)論是對(duì)于廣大用戶來(lái)說(shuō)還是對(duì)于整個(gè)行業(yè)的正常運(yùn)行來(lái)說(shuō)都至關(guān)重要，它既影響著企業(yè)于用戶的正常工作與生活，也間接影響著移動(dòng)互聯(lián)網(wǎng)信息技術(shù)的長(zhǎng)遠(yuǎn)發(fā)展。因此，針對(duì)移動(dòng)互聯(lián)網(wǎng)信息系統(tǒng)的等級(jí)保護(hù)以及等級(jí)保護(hù)測(cè)評(píng)不容小覷，需要相關(guān)部門(mén)與相關(guān)工作人員從強(qiáng)化信息系統(tǒng)安全保護(hù)意識(shí)與等級(jí)測(cè)評(píng)意意識(shí)入手，以維護(hù)移動(dòng)互聯(lián)網(wǎng)信息系統(tǒng)軟件安全、網(wǎng)絡(luò)安全、數(shù)據(jù)庫(kù)安全以及終端設(shè)備安全為著力點(diǎn)，在切實(shí)確保移動(dòng)互聯(lián)網(wǎng)信息系統(tǒng)正常運(yùn)行的同時(shí)，加大對(duì)移動(dòng)互聯(lián)網(wǎng)信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)機(jī)制的不斷健全與完善。

[參考文獻(xiàn)]

[1]馬帥.等級(jí)保護(hù)設(shè)計(jì)要求下的移動(dòng)業(yè)務(wù)系統(tǒng)安全防御體系[J].保密科學(xué)技術(shù)，2012（1）：24-28.

[2]馮志杰，李紅雙.智能終端安全防護(hù)體系設(shè)計(jì)[J].電信工程技術(shù)與標(biāo)準(zhǔn)化，2013（2）：18-22.