面向等級保護的信息系統(tǒng)運維管理與應(yīng)用實踐

鄒敏

【關(guān)鍵詞】信息系統(tǒng)管理;等級保護;信息安全

對于信息系統(tǒng)安全等級保護而言，屬于國家在信息安全方面構(gòu)建的一項基本國策，主要由公安部進行牽頭。通過多年探索，組建了信息安全等級保護的政策以及標(biāo)準體系，并在全國進行了推廣。等級保護存在于信息系統(tǒng)設(shè)計研發(fā)、上線運維、廢棄等相關(guān)環(huán)境中，運維屬于信息系統(tǒng)的生命周期中的關(guān)鍵環(huán)境，與業(yè)務(wù)應(yīng)用、企業(yè)正常運轉(zhuǎn)和管理之間存在著緊密的聯(lián)系。并且，在《GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》中，立足于技術(shù)以及管理兩個方面，制定了信息系統(tǒng)在運維安全方面需要滿足的相關(guān)要求。其中，技術(shù)層面表現(xiàn)為從主機和網(wǎng)絡(luò)設(shè)備的訪問控制、身份鑒別和權(quán)限管理、帳號管理、安全審計和數(shù)據(jù)保密性、完整性等控制點提出要求，管理層面主要從監(jiān)控管理和安全管理等控制點提出要求，指導(dǎo)運營單位的建設(shè)整改和管理機構(gòu)的監(jiān)督管理。

一、運維階段安全工作要求

（一）做好運行管理控制

該工作在于讓系統(tǒng)實現(xiàn)安全運行，相關(guān)人員既要確保在操作系統(tǒng)的過程中相關(guān)操作動作是安全以及正確的，同時還需要確保相關(guān)運行管理活動能夠始終處于被控制狀態(tài)。

（二）做好變更管理控制

該工作的主要目的在于當(dāng)業(yè)務(wù)應(yīng)用、系統(tǒng)結(jié)構(gòu)、安全設(shè)施、安全配置等可能出現(xiàn)改變的情況下，借助于標(biāo)準規(guī)范的流程來保障變更可能造成的信息資產(chǎn)安全以及將業(yè)務(wù)活動受到影響、業(yè)務(wù)中斷等降至最低[1]。

（三）做好狀態(tài)監(jiān)控工作

在安全監(jiān)控方面，信息系統(tǒng)的安全等級不同，那么所需要采用的監(jiān)控內(nèi)容和手段也是不同的。

（四）做好處置應(yīng)急工作

對安全事件來說，應(yīng)當(dāng)實施分級響應(yīng)處理手段，在構(gòu)建應(yīng)急響應(yīng)系統(tǒng)的過程中必須嚴格遵循既定標(biāo)準規(guī)范，從而保證業(yè)務(wù)系統(tǒng)處于持續(xù)穩(wěn)定的運行狀態(tài)。

（五）做好檢查改進工作

在維護信息系統(tǒng)過程中，考慮到會發(fā)生安全狀態(tài)改變、系統(tǒng)變更等情況，所以定期對系統(tǒng)狀況予以檢查是非常有必要的，同時還需要結(jié)合檢查結(jié)果持續(xù)改進系統(tǒng)。

（六）等級保護安全測評

遵循等級保護的相關(guān)標(biāo)準以及相關(guān)法規(guī)，定期對系統(tǒng)做好安全測評工作。

二、運維階段安全工作

（一）系統(tǒng)運行管理

對于不同的信息系統(tǒng)而言，《信息安全責(zé)任管理制度》的制定是非常有必要的，應(yīng)對運行管理人員的角色加以劃分，同時賦予他們各自不同的權(quán)限，明確每個角色應(yīng)當(dāng)履行的職責(zé)。同時，人員培訓(xùn)方面也不能放松。應(yīng)當(dāng)將不同角色人員使用的操作系統(tǒng)予以記錄，同時要記錄系統(tǒng)的運行狀況。

（二）系統(tǒng)變更管理

對于系統(tǒng)變更問題來說，相關(guān)責(zé)任人需要清楚了解用戶實際需求，嚴格按照具體需求來形成記錄文檔。隨后積極聯(lián)系安全運維和系統(tǒng)運維人員，針對需求變更文檔實施全方位的研究探討，最終明確具體的變更內(nèi)容，制定有針對性的系統(tǒng)變更計劃[2]。針對變更實施工作，應(yīng)當(dāng)制定詳細周到的方案，同時由負責(zé)人、安全運維方評審該方案，然后由系統(tǒng)運維方按照通過評審的方案執(zhí)行，同時應(yīng)當(dāng)記錄在此期間的相關(guān)信息。

（三）系統(tǒng)狀態(tài)監(jiān)控

針對監(jiān)控系統(tǒng)狀態(tài)，首先必須清楚了解監(jiān)控具體內(nèi)容，例如說系統(tǒng)資源實際使用狀態(tài)、網(wǎng)絡(luò)流量、TCP連接數(shù)量以及系統(tǒng)涉及的其他硬件設(shè)備;其次應(yīng)當(dāng)合理選擇監(jiān)控手段，例如說依靠網(wǎng)防G01、阿里云以及監(jiān)控寶等相關(guān)軟件工具;最后要做到對監(jiān)控數(shù)據(jù)信息的深入分析，以便信息安全事件能夠被及時發(fā)現(xiàn)，然后快速做出應(yīng)對[3]。

三、運維階段防護工作

（一）網(wǎng)絡(luò)安全防護

互聯(lián)網(wǎng)是信息系統(tǒng)成功構(gòu)建的基礎(chǔ)所在，無論是計算機，又或者其相關(guān)配套設(shè)備均因此得以共享、互聯(lián)，然而也會出現(xiàn)很多安全方面的問題。針對網(wǎng)絡(luò)安全防護來說，涉及的相關(guān)工作不單單要確保網(wǎng)絡(luò)結(jié)構(gòu)安全，同時還需要重視網(wǎng)絡(luò)邊界和內(nèi)部的防護工作。通常情況下依靠子系統(tǒng)劃分以及安全域劃分來實現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)的穩(wěn)定運行;靈活應(yīng)用VPN、邊界防護以及防火墻等，借此來控制或者過濾外部訪問，檢查由內(nèi)向外傳輸?shù)南嚓P(guān)信息的安全性?；诘燃壉Ｗo的安全防護作業(yè)而言，具體來說能夠詳細劃分成如下等級[4]：一是自主保護。這一級網(wǎng)絡(luò)安全信息無測評周期要求，無須在公安機關(guān)進行備案;二是指導(dǎo)保護。這一級建議每兩年組織實施安全評測活動，應(yīng)當(dāng)按照相關(guān)規(guī)定予以備案;三是監(jiān)督保護?？梢远ㄆ诮M織年度網(wǎng)絡(luò)安全評測，應(yīng)當(dāng)按照規(guī)定予以備案;四是強制保護，可以間隔半年時間組織安全評測，應(yīng)當(dāng)按照規(guī)定予以備案;五是專項保護，結(jié)合網(wǎng)絡(luò)信息安全防護的具體情況采取不定期評測的方式，應(yīng)當(dāng)按照規(guī)定予以備案[5]。

（二）環(huán)境安全防護

環(huán)境安全防護應(yīng)當(dāng)借助于相應(yīng)技術(shù)保障用戶信息在進入服務(wù)器和客戶機、駐留服務(wù)器和客戶機等各種情況之下都能夠具備較強的安全性與完整性。一般來說可以使用的系統(tǒng)軟件不單單包含主機數(shù)據(jù)庫，同時也涉及操作系統(tǒng);類似瀏覽器等較為通用的系統(tǒng)軟件程序，以及獨立應(yīng)用程序（主要是指專門開發(fā)的）[6]。

（三）數(shù)據(jù)備份及恢復(fù)

該項工作主要是確保數(shù)據(jù)存儲的安全性，把數(shù)據(jù)復(fù)制多個備份然后予以分開保存?；謴?fù)數(shù)據(jù)的方式目前主要有重定向恢復(fù)、單獨文件恢復(fù)、全盤恢復(fù)等。完整的恢復(fù)方案及數(shù)據(jù)備份應(yīng)當(dāng)包含數(shù)據(jù)恢復(fù)計劃、備份制度、備份軟硬件三部分[7]。

四、結(jié)語

總而言之，企業(yè)的信息系統(tǒng)如果在設(shè)計之初沒有考慮到網(wǎng)絡(luò)安全，那么上線系統(tǒng)后難免會遭受入侵、漏洞以及攻擊等問題，此時再進行整改，將會面臨重重困難，比如代碼重構(gòu)、網(wǎng)絡(luò)調(diào)整、架構(gòu)變更等。因此在設(shè)計之初就要考慮到網(wǎng)絡(luò)安全防護，如此信息系統(tǒng)才能夠?qū)崿F(xiàn)更節(jié)約、更有效地建設(shè)。