公務(wù)員期刊網(wǎng) 論文中心 正文

等級(jí)保護(hù)三級(jí)信息系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)

前言:想要寫(xiě)出一篇引人入勝的文章?我們特意為您整理了等級(jí)保護(hù)三級(jí)信息系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)范文,希望能給你帶來(lái)靈感和參考,敬請(qǐng)閱讀。

等級(jí)保護(hù)三級(jí)信息系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)

摘要:基于對(duì)等級(jí)保護(hù)三級(jí)信息系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)的探討研究,文章主要從信息系統(tǒng)安全等級(jí)保護(hù)的概念、等保三級(jí)的設(shè)計(jì)要求以及等保三級(jí)的實(shí)現(xiàn)設(shè)計(jì)策略這方面展開(kāi)研究,希望能為有關(guān)人士提供幫助。

關(guān)鍵詞:等級(jí)保護(hù);三級(jí)信息系統(tǒng);系統(tǒng)設(shè)計(jì)

現(xiàn)如今各方面競(jìng)爭(zhēng)都尤為激烈,信息資源已然成為戰(zhàn)略資源中最關(guān)鍵的構(gòu)成部分,此時(shí)以等級(jí)保護(hù)三級(jí)信息系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)為例的技術(shù)研究,就必須要盡快提上日程,這也是信息安全管理與保護(hù)水平獲得提升的必要途徑。

1信息系統(tǒng)安全等級(jí)保護(hù)的概念

信息系統(tǒng)安全等級(jí)保護(hù)是我國(guó)信息安全保障工作的基本制度和方法,是我國(guó)多年來(lái)信息安全工作經(jīng)驗(yàn)的總結(jié)。根據(jù)相關(guān)法律政策規(guī)定,我國(guó)制定了一系列信息安全管理辦法,為信息安全保護(hù)工作的開(kāi)展提供了法律、政策、標(biāo)準(zhǔn)依據(jù)。作為國(guó)家統(tǒng)一制定并的標(biāo)準(zhǔn),《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中明確指出,應(yīng)將信息系統(tǒng)的重要程度作為根據(jù),將保護(hù)工作有針對(duì)性的合理安排下去,并且應(yīng)對(duì)信息系統(tǒng)展開(kāi)相應(yīng)的保護(hù),國(guó)家也需對(duì)各等級(jí)的信息系統(tǒng),制定強(qiáng)度適中的監(jiān)督管理計(jì)劃[1]。

2等保三級(jí)的設(shè)計(jì)要求

2.1安全計(jì)算環(huán)境設(shè)計(jì)

本文主要從以下幾方面來(lái)論述安全計(jì)算環(huán)境設(shè)計(jì)。首先是身份鑒別,這是達(dá)到三級(jí)安全要求的首要前提,需從用戶標(biāo)識(shí)與用戶鑒別這兩方面來(lái)明確安全機(jī)制。用戶標(biāo)識(shí)安全機(jī)制簡(jiǎn)單來(lái)講,就是用系統(tǒng)中每位用戶注冊(cè)時(shí)填寫(xiě)的用戶標(biāo)識(shí),來(lái)對(duì)用戶身份進(jìn)行標(biāo)注,同時(shí)需保證生存周期內(nèi)用戶標(biāo)識(shí)不能出現(xiàn)重復(fù);而后者則指用戶在每次登錄系統(tǒng)的時(shí)候,通過(guò)安全管理中心控制下的口令、生物特征以及安全強(qiáng)度達(dá)標(biāo)的組合機(jī)制,展開(kāi)的對(duì)用戶身份的鑒別,且鑒‖22‖別后會(huì)保護(hù)好生成數(shù)據(jù)的私密性與完整性。其次是標(biāo)記和強(qiáng)制訪問(wèn)控制。系統(tǒng)需針對(duì)安全管理員,展開(kāi)嚴(yán)格的身份鑒別與權(quán)限控制,并且賦予其主體與客體安全標(biāo)記的權(quán)利。在強(qiáng)制訪問(wèn)控制之下,技術(shù)人員應(yīng)將重點(diǎn)放在全部主體與客體標(biāo)機(jī)信息的一致性上,且強(qiáng)制訪問(wèn)控制規(guī)則也應(yīng)該同樣落實(shí)。最后是安全計(jì)算環(huán)境的嚴(yán)格審計(jì)。系統(tǒng)應(yīng)對(duì)安全事件有明確且完整的記錄,且一般來(lái)講,安全事件的主體、客體、類型、出現(xiàn)節(jié)點(diǎn)、后果等,都應(yīng)納入安全事件記錄的總體范疇。與此同時(shí),審計(jì)記錄還應(yīng)通過(guò)分析、分類等環(huán)節(jié),向系統(tǒng)中存儲(chǔ)保護(hù)。技術(shù)人員還應(yīng)為安全管理中心提供接口,如果某些安全事件系統(tǒng)無(wú)法自行解決,則應(yīng)基于授權(quán)主體調(diào)用要求創(chuàng)設(shè)接口。

2.2安全通信網(wǎng)絡(luò)設(shè)計(jì)

安全通信網(wǎng)絡(luò)設(shè)計(jì)工作,基本上都是以通信網(wǎng)絡(luò)的保密要求為基點(diǎn)展開(kāi)的,通常情況下,網(wǎng)絡(luò)加密技術(shù)能滿足等保三級(jí)中涉及的全部要求,技術(shù)人員可通過(guò)對(duì)VPN技術(shù)的合理運(yùn)用,達(dá)成保護(hù)通信網(wǎng)絡(luò)與數(shù)據(jù)的目的[2-3]。

2.3安全管理中心設(shè)計(jì)

(1)系統(tǒng)管理等級(jí)保護(hù)三級(jí)對(duì)系統(tǒng)的要求,主要體現(xiàn)在系統(tǒng)管理員的身份鑒別與授權(quán)上,管理員一般情況下只有特定界面與系統(tǒng)訪問(wèn)的權(quán)利。系統(tǒng)管理員大致可以劃分成網(wǎng)絡(luò)、主機(jī)以及存儲(chǔ)管理這幾種,網(wǎng)絡(luò)管理員的主要職責(zé)在于配置網(wǎng)絡(luò)設(shè)備;主機(jī)管理的配置服務(wù)則主要針對(duì)服務(wù)器展開(kāi);存儲(chǔ)管理員需做好存儲(chǔ)設(shè)備的維護(hù)與管理工作[4]。(2)安全管理等保三級(jí)在管理員身份鑒別與授權(quán)方面的要求也格外嚴(yán)格。雖說(shuō)安全管理員的工作并不復(fù)雜,通常只涉及安全設(shè)備管理,但因?yàn)榘踩O(shè)備是覆蓋到計(jì)算系統(tǒng)各方面的,所以安全管理員的專業(yè)水平、工作狀態(tài)以及綜合素質(zhì)等,都需要得到足夠的重視?,F(xiàn)階段,安全設(shè)備基本上都有l(wèi)og記錄功能,可用于授權(quán)管理的接口使用也很方便。(3)審計(jì)管理安全審計(jì)員也應(yīng)接受嚴(yán)格的身份鑒別和管理,由于其在工作中會(huì)接觸多種設(shè)備,所以對(duì)其行為的控制也要得到充分保證。

3等保三級(jí)的實(shí)現(xiàn)設(shè)計(jì)策略

(1)安全計(jì)算環(huán)境建設(shè)首先,在安全計(jì)算環(huán)境設(shè)計(jì)的過(guò)程中,多因子身份認(rèn)證系統(tǒng)的應(yīng)用絕對(duì)是重中之重,經(jīng)實(shí)踐證明,如果能確保此身份認(rèn)證系統(tǒng)的合理應(yīng)用,則等保三級(jí)中要求的用戶身份鑒別、強(qiáng)制訪問(wèn)以及自主訪問(wèn)控制等要求均能得到滿足。除此之外,此系統(tǒng)還能有效控制訪問(wèn)的過(guò)程,從而在最大程度上確保訪問(wèn)的有效性。其次,敏感數(shù)據(jù)保護(hù)系統(tǒng)在我國(guó)出現(xiàn)與應(yīng)用的時(shí)間雖然并不長(zhǎng),但在文件驅(qū)動(dòng)管理方面的優(yōu)勢(shì)卻非常顯著,例如穩(wěn)定性與可靠性強(qiáng)等,但同時(shí)此系統(tǒng)的缺陷與弊端也不能忽視,因?yàn)槠鋵?duì)操作系統(tǒng)平臺(tái)的依賴度過(guò)強(qiáng),導(dǎo)致操作系統(tǒng)中的數(shù)據(jù)私密性與完整性很難被保護(hù)?,F(xiàn)階段,也有很多國(guó)內(nèi)企業(yè)通過(guò)國(guó)際先進(jìn)技術(shù),來(lái)保護(hù)存于操作系統(tǒng)內(nèi)部的數(shù)據(jù),但其穩(wěn)定性與實(shí)際效果仍有待觀察,所以就目前的要求來(lái)看,敏感數(shù)據(jù)保護(hù)系統(tǒng)已然可以達(dá)到等保三級(jí)對(duì)用戶數(shù)據(jù)及客體安全保護(hù)的標(biāo)準(zhǔn)和要求[5]。(2)安全區(qū)域邊界建設(shè)防火墻、入侵檢測(cè)設(shè)備以及防病毒網(wǎng)關(guān),即為現(xiàn)如今等保三級(jí)系統(tǒng)中內(nèi)外部網(wǎng)絡(luò)保護(hù)系統(tǒng)的主要構(gòu)成部分。第一,防火墻中只有必要的服務(wù)端才會(huì)開(kāi)放,如果有相應(yīng)的IDS在配置中,則技術(shù)人員必須將二者間的聯(lián)動(dòng)充分考慮在內(nèi),從而在系統(tǒng)受到攻擊時(shí)能及時(shí)檢測(cè)并且報(bào)警。第二,對(duì)于外部網(wǎng)絡(luò)層的保護(hù)而言,入侵檢測(cè)設(shè)備對(duì)攻擊能發(fā)揮良好、穩(wěn)定的分布式拒絕功能。第三,防病毒網(wǎng)關(guān)主要針對(duì)進(jìn)入系統(tǒng)的數(shù)據(jù)信息,展開(kāi)全面的防毒檢測(cè),它是預(yù)防病毒進(jìn)入的最前線,對(duì)于安全區(qū)域邊界建設(shè)而言,有著不能忽視的重要作用。但經(jīng)實(shí)踐證明,僅用防病毒網(wǎng)關(guān)來(lái)保護(hù)系統(tǒng)是遠(yuǎn)遠(yuǎn)不夠的,還應(yīng)將網(wǎng)絡(luò)防病毒軟件安裝于終端,以確保對(duì)入侵病毒的實(shí)時(shí)查殺。此時(shí)相關(guān)人員還需明確意識(shí)到,部分國(guó)外的防毒軟件在染毒文件無(wú)法有效殺毒時(shí),通常會(huì)選擇采取保守策略,即只對(duì)病毒給出警告或把染毒文件移動(dòng)到保護(hù)區(qū);而國(guó)內(nèi)大多數(shù)的防毒軟件則基本上會(huì)直接將文件刪除。在染毒文件尤為重要的情況下,這兩種方法都可能會(huì)為用戶帶來(lái)不可逆轉(zhuǎn)的損失,因此,我們可以采取結(jié)合殺毒軟件與終端管理軟件的方法,確保染毒文件能向相應(yīng)病毒服務(wù)器的制定目錄中移動(dòng),從而由安全管理員展開(kāi)接下來(lái)的人工處理[6]。作為不同網(wǎng)絡(luò)安全域間的訪問(wèn)控制設(shè)備,安全區(qū)域邊界防護(hù)系統(tǒng)通常都以安全計(jì)算環(huán)境邊界為主要設(shè)置點(diǎn),其會(huì)以安全標(biāo)記過(guò)濾與管理標(biāo)準(zhǔn)為根據(jù),實(shí)現(xiàn)對(duì)數(shù)據(jù)包與訪問(wèn)的有效過(guò)濾、檢測(cè)并對(duì)網(wǎng)絡(luò)攻擊發(fā)出警報(bào)等功能。(3)安全通信網(wǎng)絡(luò)建設(shè)實(shí)際上,一臺(tái)可正常運(yùn)行的VP設(shè)備,就能滿足安全通信網(wǎng)絡(luò)的基本要求。具體來(lái)講,在外部終端需訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源的時(shí)候,SSLVPN的效果更加顯著;若出現(xiàn)分支機(jī)構(gòu)的現(xiàn)象,則利用VPN設(shè)備的加速功能,也能促進(jìn)網(wǎng)絡(luò)傳輸效率的大幅度提升;從技術(shù)成熟度的角度上來(lái)看,IPSecVPN略勝一籌,但其配置的復(fù)雜性較強(qiáng),實(shí)際使用也遠(yuǎn)比不過(guò)SSLVPN的便捷性[6]。除此之外,在等級(jí)保護(hù)三級(jí)的要求下,技術(shù)人員必須開(kāi)放VPN數(shù)據(jù)校驗(yàn)與系統(tǒng)審計(jì)的功能。(4)安全管理中心建設(shè)就等級(jí)保護(hù)三級(jí)系統(tǒng)中安全管理中心的建設(shè)而言,很多廠家的SOC產(chǎn)品安全管理平臺(tái)產(chǎn)品,設(shè)計(jì)與配置都是以ITIL規(guī)范為根據(jù)展開(kāi)的,但目前能將規(guī)范中全部要求一一滿足的廠家?guī)缀鯖](méi)有。與此同時(shí),只有少部分的合作伙伴才能接觸到安全產(chǎn)品,產(chǎn)品大量生產(chǎn)及統(tǒng)一管理的目的很難達(dá)成,經(jīng)過(guò)相應(yīng)的分析與研究可知,此問(wèn)題主要是安全產(chǎn)品并未嚴(yán)格遵循規(guī)范導(dǎo)致的。因此,為同時(shí)滿足等保三級(jí)的要求與實(shí)際使用需求,我們應(yīng)基于多個(gè)產(chǎn)品來(lái)建設(shè)安全管理中心,確保其各項(xiàng)功能均能發(fā)揮應(yīng)有的重要作用,也為各被管理系統(tǒng)中管理工具與數(shù)據(jù)的高效融合提供更高程度的保證。具體來(lái)講,技術(shù)人員可按照要求選擇多個(gè)產(chǎn)品,這樣即使在權(quán)限不同的情況下,系統(tǒng)級(jí)別劃分工作也不會(huì)受到影響;同時(shí)各部分的管理人員也應(yīng)分別配置,從而使管理規(guī)范能充分發(fā)揮其約束作用。在各項(xiàng)管理工具獲取到相應(yīng)信息之后,技術(shù)人員即可進(jìn)行最終的數(shù)據(jù)整合工作,一般情況下,需要進(jìn)行數(shù)據(jù)整合的產(chǎn)品數(shù)量很多,尤其被廣泛應(yīng)用于ERP系統(tǒng)里,并且最終用于企業(yè)領(lǐng)導(dǎo)層的重大決策。實(shí)際上,一般企業(yè)都能接受此價(jià)位,價(jià)格也能夠?yàn)橐话闫髽I(yè)所接受,只是傳統(tǒng)方案設(shè)計(jì)中并未考慮過(guò)產(chǎn)品在安全管理中心建設(shè)中的使用,現(xiàn)如今只通過(guò)對(duì)數(shù)據(jù)整合工具的利用,即能實(shí)現(xiàn)對(duì)多個(gè)管理工具間的信息互通[7]。

4結(jié)束語(yǔ)

本文通過(guò)對(duì)等保三級(jí)的概述與分析,闡述了等保三級(jí)所需要的要求,結(jié)合現(xiàn)在網(wǎng)絡(luò)環(huán)境下的實(shí)際情況,做出相應(yīng)的設(shè)計(jì)以及策略,希望能夠?yàn)榈缺H?jí)的實(shí)現(xiàn)作出貢獻(xiàn)。

參考文獻(xiàn):

[1]吳文剛.中間件Tomcat在等保三級(jí)系統(tǒng)中的安全加固[J].山西能源學(xué)院學(xué)報(bào),2017,121(04):216-218.

[2]秦道祥,高潤(rùn)生,秦銳.基于S3A3G3三級(jí)等保標(biāo)準(zhǔn)的Linux系統(tǒng)主機(jī)安全加固[J].中國(guó)教育信息化,2018(15):88-91.

[3]陳志賓.基于等級(jí)保護(hù)思想的信息平臺(tái)安全研究與實(shí)現(xiàn)[D].河北工業(yè)大學(xué),2012.

[4]蘭荊濤,潘衛(wèi),何啟兵.三級(jí)等級(jí)保護(hù)下的信息系統(tǒng)安全加固[J].電子技術(shù)與軟件工程,2019,000(005):195-196.

[5]王棟,劉識(shí),王懷宇,等.電力行業(yè)三級(jí)信息系統(tǒng)等級(jí)保護(hù)典型設(shè)計(jì)研究[J].電力信息化,2012.

[6]許戰(zhàn)戰(zhàn).等級(jí)保護(hù)綜合管理信息系統(tǒng)的設(shè)計(jì)與開(kāi)發(fā)[D].西安建筑科技大學(xué),2015.

[7]賈君君,曹雙有,楊揚(yáng).大型企業(yè)移動(dòng)辦公系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].信息系統(tǒng)工程,2015,263(11):98-99.

作者:熊楊 單位:中國(guó)地質(zhì)調(diào)查局應(yīng)用地質(zhì)調(diào)查研究中心