《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發(fā)[2003]27號)，明確指出將等級保護制度作為我國信息安全領域的一項基本制度。2010年發(fā)布的《關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知》(公信安[2010] 303號)明確指出，"2011年底前完成第三級(含)以上信息系統(tǒng)的測評工作，2012年底之前完成第三級(含)以上信息系統(tǒng)的安全建設整改工作�！痹谥贫缺ＷC的前提下，各企業(yè)和組織要明確信息系統(tǒng)等級保護建設思路，才能事半功倍，確實提升信息系統(tǒng)安全保障能力。

　　一、信息安全等級保護的情況介紹

　　實施信息安全等級保護，能夠有效地提高我國信息和信息系統(tǒng)安全建設的整體水平，有利于在信息化建設過程中同步建設信息安全設施，保障信息安全與信息化建設相協(xié)調;有利于為信息系統(tǒng)安全建設和管理提供系統(tǒng)性、針對性、可行性的指導和服務，有效控制信息安全建設成本;有利于優(yōu)化信息安全資源的配置，重點保障基礎信息網絡和關系國家安全、經濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)的安全;有利于明確國家、法人和其他組織、公民的信息安全責任，加強信息安全管理;有利于推動信息安全產業(yè)的發(fā)展。

　　國內信息安全等級保護工作的開展是一個隨著計算機技術的發(fā)展和業(yè)務對計算機系統(tǒng)依賴性逐漸增加，不斷發(fā)展和完善起來的�！秶�家信息化領導小組關于加強信息安全保障工作的意見》正式出臺，明確提出非涉密信息系統(tǒng)遵循等級保護思想進行信息安全建設。公安部網絡安全保衛(wèi)局在全國開展等級保護工作試點，先后發(fā)布了信息系統(tǒng)定級、備案、整改建設、等級測評等各重要環(huán)節(jié)的有關文件，指導等級保護工作開展。其中2009年的公信安1429號文《關于開展信息安全等級保護安全建設整改工作的指導意見》明確提出2012年年底前完成已定級信息系統(tǒng)的整改工作。

　　等級保護的技術體系也基本成型，目前涉及到等級保護建設的技術標準和規(guī)范大約有30多個，主要包括了技術、管理、產品、建設流程等各方面的內容，如:定級指南、備案細則、實施指南、安全設計、基本要求、測評過程要求、測評指南，使得等級保護工作在各個環(huán)節(jié)都有具體的技術標準可以參考。

　　二、工作思路與建設原則

　　對于具有分支機構的大型企業(yè)組織來說，信息安全工作已經有等級保護的制度和技術體系做依托，更多的是在實踐中摸索出適合本企業(yè)組織信息系統(tǒng)安全建設的工作思路與建設原則。

　　統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)籌協(xié)調

　　統(tǒng)一規(guī)劃:統(tǒng)一制訂規(guī)劃建設推進方案、等級保護工程建設方法，各信息系統(tǒng)均需要參照規(guī)劃方案實施，不能自行規(guī)劃。

　　統(tǒng)一標準:統(tǒng)一組織制訂等級保護建設的流程、步驟、技術和管理規(guī)范，確保上下銜接、互聯(lián)互通。

　　統(tǒng)籌協(xié)調:統(tǒng)籌全局，協(xié)調各分支機構或各業(yè)務系統(tǒng)之間的資源共享、業(yè)務協(xié)同，聯(lián)合推進等級保護建設。

　　分級建設、分步實施、分類指導

　　分級建設;統(tǒng)一組織等級保護項目建設;各分支機構在總體方案的指導下，負責信息系統(tǒng)在本區(qū)域范圍內的建設和安全運營維護。

　　分步實施根據(jù)目前等級保護項目建設基礎條件和特點，采用分批分期建設方式開展項目建設。

　　分類指導:對干不同的信息系統(tǒng)，采用不同的組織管理模式、工作機制和推進方式。

　　加強管理

　　加強管理:落實等級保護項目建設組織機構、責任部門，科學調度，加強項目過程管理，確保項目取得成功。

　　建設原則

　　法規(guī)遵循:應嚴格執(zhí)行國家法律法規(guī)、相關主管部門的要求。

　　科學管理:嚴謹、先進的技術項目實施與科學、規(guī)范的項目實施管理手段相結合，以提高整體項目實施的效率，保證項目質量，縮短項目工期，降低項目成本。

　　平穩(wěn)過渡項目包含子系統(tǒng)較多，且項目需要進行網絡改造，在項目實施時，采用分項，循序漸進的方式，保證系統(tǒng)改造不影響日常辦公的使用，平穩(wěn)過渡。

　　適當先進:綜合考慮本單位實際情況，在結合實際的基礎上，確保建成的信息系統(tǒng)能夠符合當前網絡技術、信息技術發(fā)展的趨勢，具有一定的先進性，在未來5年內能滿足科研生產任務和國家法律法規(guī)相關要求的實際需要。

　　便于維護:系統(tǒng)應具有良好的可擴展性和可維護性，部署便利、使用簡便、維護集中，并可以實現(xiàn)服務和應用的靈活擴展。

　　重視培訓:系統(tǒng)是按計劃分步實施的，培訓也將隨著項目的各個階段分期進行，并根據(jù)培訓的效果做出相應的調整，以達到更好的培訓的效果。

　　三、信息安全保障體系總體框架

　　信息安全保障體系總體框架

　　在進行信息安全等級保護安全建設工作中，嚴格遵循國家等級保護有關規(guī)定和標準規(guī)范要求，堅持管理和技術并重的原則，將技術措施和管理措施有機結合，建立信息系統(tǒng)綜合防護體系，提高信息系統(tǒng)整體安全保護能力。非涉密信息系統(tǒng)總體安全框架如圖1所示。
 

圖1 信息安全保障體系總體框架 

　　總體安全框架是將等級保護基本要求、技術設計要求與安全防護需求充分融合，采用“一個中心、兩大體系、三重防護”為企業(yè)組織提供體系化的防護能力，確保系統(tǒng)安全運行。

　　四、信息安全管理體系的建設

　　信息安全管理制度是信息安全領域各種規(guī)則的制度化的體現(xiàn)，在信息化相關活動中起著統(tǒng)一目標、規(guī)范流程、保障信息安全實施效果的重要作用。通過對信息安全制度規(guī)范的決策，首先從高層確保企業(yè)組織的信息安全工作“有法可依”，推動信息安全制度建設工作，營造一個積極的信息安全控制環(huán)境。

　　信息安全管理體系的建設，我們要考慮以下幾個方面:一、安全管理制度框架、安全管理制度、規(guī)范、流程及表單;二、信息安全管理機構、崗位;三、人員安全管理;四、系統(tǒng)建設管理;五、系統(tǒng)運維管理。六、合規(guī)性的電子化管理。

　　企業(yè)組織的等級保護工作也需要信息化的手段來進行約束。信息系統(tǒng)合規(guī)性監(jiān)管系統(tǒng)就是將等級保護相關基本要求以及風險管理與控制體系建設方法及過程，按照以重要信息系統(tǒng)為基礎、以等級保護建設工作流為核心、以等級保護基本要求進行建模、加以等級保護控制措施進行分析，通過風險評估看清風險，通過體系建設制定任務，通過體系保障完整建設。從而規(guī)范等級保護建設管理與控制體系的建設過程，提升組織信息安全風險管理與控制體系的完備性及有效性。

　　五、信息安全技術體系的建設

　　信息安全技術體系規(guī)劃設計流程

　　信息安全技術體系規(guī)劃設計流程包括五個階段:系統(tǒng)調研階段、安全域規(guī)劃、系統(tǒng)定級、技術體系設計、技術手段落實。對應的輸出是:業(yè)務系統(tǒng)調研文檔、安全域規(guī)劃方案、業(yè)務系統(tǒng)定級方案、業(yè)務系統(tǒng)安全防護方案、初步設計文檔技術體系部分。

　　信息安全技術體系設計原則

　　設計信息系統(tǒng)技術安全解決方案時，應遵循以下原則:

　　風險(需求)、成本〔投入)及效果(收益)相平衡的原則

　　對任何一個信息系統(tǒng)來說，絕對安全是難以達到的。信息安全技術體系建設的最高原則是風險、成本及效果三原則相結合的結果。

　　綜合性、整體性、一致性原則

　　一個組織的信息系統(tǒng)安全防護是系統(tǒng)工程，必須建立信息安全的完整體系。任何一個新建項目的設計都要遵循該組織有關信息化建設或信息安全建設總體規(guī)劃的要求。

　　可擴展、可發(fā)展性原則

　　信息安全工作是一個螺旋上升的過程。在信息安全技術體系設計時要充分繼承該組織現(xiàn)有的信息安全基礎設施，避免重復投資。同時平衡考慮滿足當前正在建設的業(yè)務應用及未來的業(yè)務發(fā)展要求。

　　信息安全技術建設工作步驟

　　信息安全技術體系建設涉及業(yè)務領域的各個環(huán)節(jié)，在風險評估的基礎上，結合實際業(yè)務應用，根據(jù)各系統(tǒng)訪問控制需求，科學、合理的劃分“安全域”，是整個信息安全技術體系建設的首要工作。

　　安全域劃分

　　通過劃分安全域，明確網絡邊界，才能便于實現(xiàn)網絡區(qū)域、物理區(qū)域之間的有效隔離和訪問控制。安全域劃分的目的是把一個大規(guī)模復雜系統(tǒng)的安全問題，化解為更小區(qū)域的安全保護問題，是實現(xiàn)大規(guī)模復雜信息系統(tǒng)安全等級保護的有效方法。

　　在企業(yè)或組織中，我們通常會看到這樣的區(qū)域互聯(lián)網業(yè)務發(fā)布區(qū)、企業(yè)內網工作區(qū)和數(shù)據(jù)交換區(qū)。具體到一個重要的信息系統(tǒng)，比如視頻業(yè)務系統(tǒng)就可以細化為生產制作區(qū)域、共享區(qū)域、播出區(qū)域、安全管理區(qū)域。

　　明確安全域的防護手段

　　信息安全技術體系是利用各種安全技術、產品以及工具作為安全管理和運行落實的重要手段、最終支撐信息安全體系的建設。防護手段分了五個方面:身份認證、訪問控制、內容安全、監(jiān)控審計與備份恢復。這里我們要重點強調身份認證，統(tǒng)一的身份管理和統(tǒng)一的認證管理是技術體系的前提保障，有了完善的身份認證的基礎架構，我們的業(yè)務才能夠順暢開展，才有可能回答這樣一個安全問題“什么人、什么時間、做了什么事情?”

　　確保防護手段的合規(guī)性

　　在選擇安全防護技術時，我們應充分考慮遵循國家等級保護的相關技術標準，以確保合規(guī)性。圖2為信息系統(tǒng)等級保護二、三、四級技術要求。
 

圖2 信息系統(tǒng)等級保護等級要求

　　確保防護手段的適應性

　　結合企業(yè)或組織的現(xiàn)狀、經費預算、建設階段和實際需求，在各安全域的防護設計過程中充分考慮適應性。

　　計算環(huán)境的安全防護設計

　　計算環(huán)境包含了重要應用系統(tǒng)的核心主機或服務器、數(shù)據(jù)庫服務器、存儲系統(tǒng)等。我們重點考慮的是身份鑒別、訪問控制、資源控制數(shù)據(jù)完整性、數(shù)據(jù)保密性與備份恢復。在這里我們要強調應用開發(fā)環(huán)節(jié)在安全防護設計中的重要性，如編碼安全、基于用戶身份的資源訪問控制和行為審計、基于應用設計的流量控制方法，這些都可以有效減少硬件安全產品的部署，提升業(yè)務連續(xù)性能力。

　　邊界接入與網絡設施安全防護設計

　　網絡設施主要包括了網絡骨干區(qū)域、網絡接人區(qū)域。我們可以把它看成公共的基礎性區(qū)域，是企業(yè)各個應用系統(tǒng)出口的高速公路，是企業(yè)連續(xù)性要求的重要依托。我們強調的是結構化的安全、安全審計與網絡設備自身的防護。

　　終端接入安全防護設計

　　隨著企業(yè)和組織的業(yè)務發(fā)展，組網技術的發(fā)展，終端的定義越來越寬泛，接人的形式也越來越多樣化。信息安全問題直接延伸到企業(yè)人員使用的端點設備上。我們應重點強調身份鑒別、惡意代碼防范和用戶行為控制，同時也要意識到易用性與安全的平衡。

　　六、信息安全運維體系的建設

　　企業(yè)和組織的信息化過程已經從大規(guī)模建設階段逐步轉型為“建設和運維”并舉的階段。我們可以看到大多數(shù)的信息安全運維體系的服務水平處在一個被動的階段。主要表現(xiàn)在信息技術和設備的應用越來越多，但運維人員在信息系統(tǒng)出現(xiàn)安全事件的時候卻茫然不知所措。因此，行之有效的信息安全運維體系，是信息安全管理體系與信息安全技術體系落地的根本之道。

　　運維服務的發(fā)展趨勢與階段劃分

　　安全運維服務通�？梢苑譃槲鍌�階段:混亂、被動、主動、服務和價值階段。"NSM一ITSM-}BSM”將是IT管理逐步提升的經典路線模型，反映了IT的運營作為一個新興的企業(yè)活動逐步成熟，持續(xù)提升。NSM(針對IT技術設施的網絡系統(tǒng)管理)、ITSM(針對流程、人員管理的IT服務管理)，BSM(業(yè)務服務管理)這些目前己經被廣泛應用的理念，在IT管理的發(fā)展過程中，發(fā)揮了巨大的作用。

　　安全運維體系的構建

　　目前條件下的安全運維體系可以分三個階段構建:

　　第一階段從“被動響應”到“主動管理”，是采用NSM實現(xiàn)管理提升的階段。通過實現(xiàn)對技術元素的數(shù)據(jù)收集和分析，獲得從整個IT信息環(huán)境到每個計算實體元素的運行狀態(tài)信息，因此也能夠在故障發(fā)生時或者發(fā)生之前采取主動的管理操作，實現(xiàn)對工T技術設施的有效掌控和管理，有效提高IT環(huán)境的運行質量。建立安全運維監(jiān)控中心實現(xiàn)第一階段目標

　　第二階段:從“主動管理”到“服務導向”，采用ITSM實現(xiàn)管理提升。在實現(xiàn)了對所有IT技術元素的全面監(jiān)控以后，IT技術設施的運行質量有了明顯改善，但仍未從根本上解決“意外問題”的發(fā)生。全球范圍內的調查表明，IT問題的出現(xiàn)，除了和設備元素本身的可靠性、性能等密切相關以外，更多的問題(超過80%)是由于IT運維人員沒有按照規(guī)范的操作流程來進行日常的維護管理，缺乏有效的協(xié)同機制等造成的。也就是說，管理的缺位，而不是技術設施本身的問題阻礙了企業(yè)IT部門工作效率的提高。借鑒并融合ITIL(信息系統(tǒng)基礎設施庫)/ITSM  (IT服務管理)建立安全運維事件響應中心，借助圖形化、可配置的工作流程管理系統(tǒng)，將運維管理工作以任務和工作單傳遞的方式，通過科學的、符合用戶運維管理規(guī)范的工作流程進行處置，處理過程電子化流轉、減少人工錯誤，實現(xiàn)對事件、問題處理過程中的各個環(huán)節(jié)的追蹤、監(jiān)督和審計。

　　第三階段:從“服務管理”到“業(yè)務價值”，采用BSM實現(xiàn)管理提升。在信息時代，企業(yè)的發(fā)展和IT環(huán)境的成熟是一個互相驅動、交替上升的過程。商業(yè)社會中，企業(yè)作為一個經濟運行實體，其所有的活動和投人都是圍繞利益產出的目標進行的。在當前激烈的商業(yè)競爭環(huán)境中，企業(yè)正不斷地進行變革，以適應市場和用戶的需求。作為業(yè)務重要支撐元素的IT正面臨著越來越大的挑戰(zhàn)。如何充分利用已有的IT資源并持續(xù)優(yōu)化資源配置，如何實現(xiàn)IT和業(yè)務目標相統(tǒng)一、持續(xù)推動業(yè)務發(fā)展、創(chuàng)造商業(yè)價值，己經成為眾多企業(yè)信息部門主管、CIO、甚至更高層管理人員的重要難題。建立以信息資產管理為核心的安全運維審核評估中心是這一階段的工作目標。能夠實現(xiàn)信息系統(tǒng)運行質量、服務水平、運維管理工作績效的綜合評估、考核、審計:能夠實現(xiàn)關鍵業(yè)務的配置管理、關鍵業(yè)務與基礎設施的關聯(lián)、關鍵業(yè)務的綜合運行態(tài)勢的把握。

　　七、結束語

　　在信息安全保障體系總體框架的指導下，注重信息安全管理體系、技術體系和運維體系的建設。充分意識到等級保護建設整改過程中的政策和技術發(fā)展的風險，注重安全技術手段的適用性，就可以有效地解決企業(yè)和組織面臨的安全問題，按照“明確重點、突出重點、保護重點”的原則，將有限的財力、物力、人力投人到重要信息系統(tǒng)的安全保護中，逐步推進企業(yè)信息系統(tǒng)安全保障水平。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.zudvwvb.cn/

本文標題：信息系統(tǒng)等級保護建設思路

本文網址：http://www.zudvwvb.cn/html/support/1112154486.html