張惠

摘 要：本文針對(duì)信息系統(tǒng)在運(yùn)維階段的信息安全工作進(jìn)行詳細(xì)描述，首先分析了信息系統(tǒng)運(yùn)維階段的工作要求，接著針對(duì)性地對(duì)每項(xiàng)工作的開(kāi)展實(shí)施進(jìn)行闡述，并對(duì)相關(guān)的信息安全工作進(jìn)行補(bǔ)充介紹，以期為做好信息系統(tǒng)運(yùn)維過(guò)程中的信息安全工作提供借鑒。

關(guān)鍵詞：信息系統(tǒng)；信息安全；系統(tǒng)運(yùn)維；信息安全等級(jí)保護(hù)；信息安全風(fēng)險(xiǎn)評(píng)估

中圖分類(lèi)號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1003-5168（2018）05-0024-02

Research on Information Security in Operation and

Maintenance of Information System

ZHANG Hui

（Patent Examination Cooperation Center of the Patent Office，SIPO Henan，Zhengzhou Henan 450018）

Abstract： Based on the information system of information security in the operation stage are described in detail， firstly analyzed the information system operation and maintenance phase of the work requirements， then for each work carried out were described， and the information security work related to supplement the introduction， in order to provide reference for information security information in the process of system operation.

Keywords： information system；information security；system operation and maintenance；information security level protection；information security risk assessment

在互聯(lián)網(wǎng)高速發(fā)展的情形下，越來(lái)越多的信息系統(tǒng)開(kāi)始被大家廣泛使用，信息系統(tǒng)的安全問(wèn)題也得到前所未有的重視。信息系統(tǒng)在建設(shè)完成之后，很長(zhǎng)一段時(shí)間內(nèi)都處在運(yùn)維階段，因此，做好信息系統(tǒng)運(yùn)維階段的安全工作變得十分必要[1]。信息系統(tǒng)運(yùn)維階段對(duì)信息安全工作的開(kāi)展究竟有哪些要求，信息系統(tǒng)運(yùn)維階段的信息安全要做哪些工作，本文將進(jìn)行詳細(xì)說(shuō)明。

1 信息安全的相關(guān)概念

1.1 信息系統(tǒng)

2004年下發(fā)的《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》（公通字〔2004〕第66號(hào)）指出：信息系統(tǒng)是指由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行存儲(chǔ)、傳輸、處理的系統(tǒng)或者網(wǎng)絡(luò)；信息是指在信息系統(tǒng)中存儲(chǔ)、傳輸、處理的數(shù)字化信息[2]。

1.2 信息系統(tǒng)安全

《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》第三條指出：計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)，應(yīng)當(dāng)保障計(jì)算機(jī)及其相關(guān)的和配套的設(shè)施、設(shè)施（含網(wǎng)絡(luò)）的安全，運(yùn)行環(huán)境的安全，保障信息的安全，保障計(jì)算機(jī)功能的正常發(fā)揮，以維護(hù)計(jì)算機(jī)信息系統(tǒng)的安全運(yùn)行。

1.3 信息安全的概念

國(guó)際標(biāo)準(zhǔn)化組織（ISO）給出的信息安全的定義是：為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭受破壞、更改、泄露[3]。

1.4 信息安全等級(jí)保護(hù)

信息安全等級(jí)保護(hù)是指對(duì)國(guó)家秘密信息、法人和其他組織及公民的專有信息以及公開(kāi)信息和存儲(chǔ)、傳輸、處理這些信息的系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。

1.5 信息安全風(fēng)險(xiǎn)評(píng)估

信息安全風(fēng)險(xiǎn)評(píng)估是信息安全等級(jí)保護(hù)管理的基礎(chǔ)工作，依據(jù)國(guó)家標(biāo)準(zhǔn)規(guī)范，對(duì)信息系統(tǒng)的完整性、保密性、可用性等安全保障性能進(jìn)行科學(xué)、公正的綜合評(píng)估的活動(dòng)。

2 信息系統(tǒng)運(yùn)維階段安全工作要求

2.1 運(yùn)行管理和控制

運(yùn)行管理和控制的目的是確保信息系統(tǒng)的安全運(yùn)行，操作人員應(yīng)對(duì)信息系統(tǒng)實(shí)行正確和安全的操作，并且保證系統(tǒng)不斷變化和種類(lèi)繁多的運(yùn)行管理活動(dòng)得到控制。

2.2 變更管理和控制

變更管理和控制的目的是確保在發(fā)生安全配置、安全設(shè)施、系統(tǒng)結(jié)構(gòu)和業(yè)務(wù)應(yīng)用等變化時(shí)，使用標(biāo)準(zhǔn)的方法和步驟，盡快地實(shí)施變更，并確保變更所導(dǎo)致的信息資產(chǎn)安全性降低、業(yè)務(wù)中斷或業(yè)務(wù)影響降到最低。

2.3 安全狀態(tài)監(jiān)控

不同安全等級(jí)的信息系統(tǒng)在安全監(jiān)控方面要求采用的手段和監(jiān)控內(nèi)容不同。

2.4 安全事件處置和應(yīng)急預(yù)案

安全事件采取分級(jí)響應(yīng)與處置機(jī)制，可根據(jù)相關(guān)標(biāo)準(zhǔn)建立合適的應(yīng)急響應(yīng)機(jī)制，保障業(yè)務(wù)系統(tǒng)的持續(xù)運(yùn)行。

2.5 安全檢查和持續(xù)改進(jìn)

在信息系統(tǒng)安全運(yùn)行維護(hù)過(guò)程中，會(huì)發(fā)生信息系統(tǒng)變更、安全狀態(tài)改變等情況。因此，必須定期對(duì)信息系統(tǒng)狀況進(jìn)行安全檢查，并依據(jù)檢查結(jié)果對(duì)信息系統(tǒng)進(jìn)行持續(xù)改進(jìn)。

2.6 等級(jí)保護(hù)安全測(cè)評(píng)

按照等級(jí)保護(hù)的相關(guān)法規(guī)和標(biāo)準(zhǔn)，定期對(duì)信息系統(tǒng)進(jìn)行安全測(cè)評(píng)。

3 信息系統(tǒng)運(yùn)維階段安全工作開(kāi)展

3.1 運(yùn)行管理和控制

針對(duì)不同的信息系統(tǒng)，制定《信息安全責(zé)任管理制度》，劃分運(yùn)行管理人員的角色、賦予各種角色不同的管理權(quán)限、明確各個(gè)角色的職責(zé)。同時(shí)，加強(qiáng)對(duì)管理人員信息系統(tǒng)各項(xiàng)操作的培訓(xùn)；信息系統(tǒng)對(duì)不同角色人員的操作進(jìn)行記錄，同時(shí)記錄系統(tǒng)的正?；虍惓５刃畔ⅰ?/p>

3.2 變更管理和控制

對(duì)于信息系統(tǒng)發(fā)生變更的情況，系統(tǒng)變更負(fù)責(zé)人會(huì)明確用戶需求，形成需求變更文檔。之后，會(huì)和系統(tǒng)運(yùn)維方、安全運(yùn)維方對(duì)需求變更文檔進(jìn)行評(píng)審分析，確定變更內(nèi)容，形成變更方案文檔。

對(duì)于變更實(shí)施工作，需要制訂詳細(xì)的變更實(shí)施方案，并由系統(tǒng)變更負(fù)責(zé)人會(huì)同安全運(yùn)維方對(duì)實(shí)施方案進(jìn)行評(píng)審，系統(tǒng)運(yùn)維方根據(jù)評(píng)審后的方案完成變更工作，并在此過(guò)程中根據(jù)實(shí)施方案做好相關(guān)記錄工作。

3.3 安全狀態(tài)監(jiān)控

對(duì)于信息系統(tǒng)安全狀態(tài)的監(jiān)控，首先，要確定監(jiān)控哪些內(nèi)容，如信息系統(tǒng)的可訪問(wèn)性，系統(tǒng)的資源使用情況，內(nèi)存、硬盤(pán)、CPU、TCP連接數(shù)、網(wǎng)絡(luò)流量等；其次，確定監(jiān)控工具，如阿里云的態(tài)勢(shì)感知、安全預(yù)警、政府網(wǎng)站綜合防護(hù)系統(tǒng)（網(wǎng)防G01）和監(jiān)控寶等工具；最后，定期對(duì)監(jiān)控?cái)?shù)據(jù)進(jìn)行分析，及時(shí)發(fā)現(xiàn)信息安全事件，并做出響應(yīng)。

4 信息系統(tǒng)運(yùn)維階段其他防護(hù)工作

4.1 網(wǎng)絡(luò)安全防護(hù)

網(wǎng)絡(luò)是信息系統(tǒng)構(gòu)建的基礎(chǔ)，其使計(jì)算機(jī)及相關(guān)配套設(shè)備能夠互聯(lián)、共享，但同時(shí)也帶來(lái)了相應(yīng)的安全問(wèn)題。網(wǎng)絡(luò)安全防護(hù)內(nèi)容包括網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)邊界防護(hù)和信息系統(tǒng)內(nèi)部深度防護(hù)。

通常通過(guò)安全域的劃分、子系統(tǒng)劃分保障網(wǎng)絡(luò)結(jié)構(gòu)安全；在網(wǎng)絡(luò)邊界設(shè)置安全設(shè)備，如防火墻、邊界隔離防護(hù)（IPS、網(wǎng)閘）和VPN，對(duì)外部的訪問(wèn)進(jìn)行過(guò)濾和控制，對(duì)內(nèi)部向外部傳輸?shù)臄?shù)據(jù)信息進(jìn)行安全檢查。

4.2 信息系統(tǒng)環(huán)境安全防護(hù)

信息系統(tǒng)環(huán)境安全防護(hù)關(guān)注的是采用信息保障技術(shù)確保用戶信息在進(jìn)入、離開(kāi)或駐留客戶機(jī)與服務(wù)器時(shí)具有可用性、完整性和保密性。主要涉及主機(jī)上的操作系統(tǒng)、數(shù)據(jù)庫(kù)等系統(tǒng)軟件；應(yīng)用層的一些通用應(yīng)用程序，如瀏覽器；專門(mén)開(kāi)發(fā)的獨(dú)立應(yīng)用程序；錄入或生成的各類(lèi)數(shù)據(jù)的安全。

4.3 備份與數(shù)據(jù)恢復(fù)

數(shù)據(jù)備份是指為保障數(shù)據(jù)存儲(chǔ)的安全性，將數(shù)據(jù)復(fù)制成若干份分開(kāi)保存的處理方法。數(shù)據(jù)恢復(fù)的方式目前有全盤(pán)恢復(fù)、個(gè)別文件恢復(fù)和重定向恢復(fù)等。完整的數(shù)據(jù)備份及恢復(fù)方案應(yīng)包括備份硬件、備份軟件、備份制度和數(shù)據(jù)恢復(fù)計(jì)劃4部分。

5 結(jié)語(yǔ)

本文根據(jù)當(dāng)前的文獻(xiàn)資料，結(jié)合筆者自身的工作經(jīng)驗(yàn)，對(duì)信息系統(tǒng)運(yùn)維過(guò)程中信息安全工作要求進(jìn)行了詳細(xì)的分類(lèi)說(shuō)明，同時(shí)針對(duì)性地對(duì)每項(xiàng)工作的開(kāi)展實(shí)施進(jìn)行了闡述，并對(duì)相關(guān)的信息安全工作進(jìn)行了補(bǔ)充介紹。本文中提到的信息安全工作開(kāi)展的內(nèi)容，可作為企事業(yè)單位在信息系統(tǒng)運(yùn)維階段信息安全工作的參照。

參考文獻(xiàn)：

[1]石志國(guó)，賀也平，趙悅.信息安全概論[M].北京：清華大學(xué)出版社，2008.

[2]沈昌祥，左曉棟.信息安全[M].杭州：浙江大學(xué)出版社，2007.

[3]公安部信息安全等級(jí)保護(hù)評(píng)估中心.信息安全等級(jí)保護(hù)政策培訓(xùn)教程[M].北京：電子工業(yè)出版社，2016.