公司信息系統安全等級保護技術規劃設計

◆羅 柱

(湖北省仙桃市煙草公司 湖北 433099)

公司信息系統安全等級保護技術規劃設計

◆羅 柱

(湖北省仙桃市煙草公司 湖北 433099)

隨著信息技術的不斷發展，信息系統也成為了公司運營發展中的重要部分。為了進一步實現信息系統的安全性與有效性，需要建設公司信息系統安全等級保護體系，以完善的保護技術去促進公司信息安全，實現社會秩序的穩定。本文將針對公司信息系統安全等級保護技術規劃設計這一課題進行具體分析，從而提出合理的規劃與建議。

信息系統；保護技術；安全等級

0 引言

在公司信息系統安全等級保護技術規劃設計的過程之中，主要需要完成以下幾個部分：除了規定好安全等級之外，也需要根據公司的實際運行狀況進行安全風險評估，然后結合安全技術進行方案的設計，最終經過驗證實現技術規劃設計的合格性以及有效性。本文將以公司信息系統安全等級保護技術規劃設計進行的重要性為著手點，針對目前公司信息系統應用的實際需求，從而提出加強公司信息系統安全等級保護設計的具體措施。

1 公司進行信息系統安全等級保護技術規劃設計的重要意義

隨著信息時代的到來，公司企業在運營過程之中很大程度都要依靠計算機以及信息網絡，所以穩定的信息系統能夠給予公司企業更大的發展動力，避免因為網絡安全保護工作沒能夠落實到位，而致使的信息泄露以及財產損失問題。

同樣加強信息系統的安全保護也是國家發展的需要，我國針對目前的網絡發展現狀頒布了《中華人民共和國計算機信息系統安全保護條例》，強調了安全保護工作對于我國整體計算機信息系統的重要意義，能夠以較為完善的監督與保護管理工作，來實現對于網絡違法犯罪行為的打擊，并且有效維護社會秩序。另外國家也針對我國目前所實行的安全保護進行了相應的等級劃分，實現了等級劃分準則，促進了安全等級保護技術的制度化以及規范化，相關的國家標準文件有《計算機信息系統安全保護等級劃分準則》、《國家信息化領導小組關于加強信息安全保障工作的意見》、《信息系統安全等級保護測評準則》、《信息系統安全保護等級定制指南》[1]等。所以綜合來看促進公司信息系統安全等級保護技術規劃設計不僅僅是公司企業自身的發展需求，同時也是響應國家發展政策、實現信息技術管理規范化、制度化的具體體現。公司必須要在正確認識加強信息系統安全等級保護技術規劃設計重要性的基礎之上，針對目前的發展需求，從而進行相應的改善與規劃，只有這樣才能夠實現公司的網絡信息系統安全，促進公司的整體進步與整體發展。

2 加強公司信息系統安全等級保護技術規劃設計的具體措施

2.1 明確公司信息系統安全等級

在實現對于公司信息系統安全等級保護技術規劃設計的過程之中，首先就需要明確公司信息安全等級，事實上在等級的劃分上，國家有較為明確的評價標準[2]，而具體的劃分標準與安全等級的保護辦法是應該由公安部門以及相關單位進行規范與設立，但是信息技術公司也需要參考目前的國家所給予的等級指導，針對實際運用需求，建立完善的安全等級體系。所以在常規意義上來說會將安全級別劃分成三個級別。第三級的安全技術要求較高，除了需要從根本上保護數據與網絡安全之外，也需要在二級系統的基礎之上再增加相應的安全要求，比如耳機系統中對于硬件破壞以及環境安全方面還不能夠實現完全的保護，但是三級系統已經能夠實現防盜、防破壞等相應的保護行為，既能夠保護主機安全，同時也可以加強對于主機的安全保護以及實際應用的安全保護。一旦發生破壞行為能夠主動預警，沒有得到及時的處理的基礎之上，還會進行報警。

2.2 明確公司信息系統的安全技術框架

安全技術框架是安全技術設計的具體體現，能夠對公司信息系統安全等級保護技術進行優化與補充，并且對于公司的發展起到相應的發展與引導的作用。除了二級系統中已經具備的設計內容之外，還需要進行相應的補充以及調整，比如說數據安全防護、應用安全防護、主機安全防護、物理安全防護等[3]，最后利用綜合的安全管理中心進行安全管理工作，實現系統、審計、安全方面的整體管理。另外安全技術框架的設計之中也要細化設計細節，比如想要加強主機安全防護就可以通過安全審計以及入侵防范行為進行加固，比如說設置網絡安全審計系統、業務審計系統以及日志審計系統之外，還可以去裝載防病毒軟件、防病毒網關以及防火墻[4]，這些都能夠實現網絡的訪問控制，實現對于應用與整體信息系統的安全性。

2.3 明確公司信息系統安全等級保護的保護范圍

公司信息系統在進行安全等級保護設計的過程之中主要涉及四個保護范圍，網絡的互聯范圍內，以相應的數據設備為數據傳輸載體進行相應的接入主機行為、還有安全服務域以及對于信息系統的后續安全管理與安全監督。這是公司信息系統安全等級保護技術規劃設計之中所涉及的四個領域，在不同的領域范圍內有不同的保護內容以及保護需求。比如說安全接入域中物理終端在實現方位的過程之中，必須建立相對明確的保護邊界，從而實現安全等級的一致性，以此加強對于其安全保護工作。另外在安全管理內容上，不能夠僅僅以軟件系統作為唯一的公司信息系統的保護工具，而是應該將監控與管理有機結合起來，實現對于公司信息系統的動態化全面化的相應保證。比如說對于病毒進行相應的監控以及非法入侵行為的監控等，還可以完善安全體系中的不同管理部分，比如可以設立管理平臺以及認證平臺等[5]，都能夠促進公司信息系統安全等級保護范圍的完善。

2.4 明確公司信息系統中可能存在的危險來源

想要實現對于公司安全信息系統的整體設計，就需要從根本上明確設計需求和信息系統的安全發展要求，影響公司信息系統安全的主要因素有內部攻擊因素、分發攻擊因素等，一些威脅的主要來源很可能是由于數據保存不當而致使網絡通信數據被截取、被監聽或者一些敏感信息被盜取等，還有因為系統故障或者病毒軟件入侵，造成不良軟件安裝之后形成主機控制權的剝奪，還有一些攻擊病毒能夠實現自身的偽裝性，進一步進行參數的更改，實現數據的肆意獲取、更改系統的代碼等。但同時還有另一種安全風險是來自于硬件設施，信息系統的物質載體是計算機等，如果設備和線路產生了毀壞，或者因為監管不當而直接進行數據輸入輸出，登錄密碼被不法分子看到，會更為直接地產生危險后果[6]，給予他人更多非法入侵的相應途徑。所以無論是系統內部的攻擊與破壞，還是物理方面的損壞與破壞都能夠給予公司信息系統響應的危險，從而使得企業公司的信息系統遭到破壞，使企業運營造成影響等。

3 結語

在公司信息系統安全等級保護技術規劃設計過程之中，我們需要正確認識公司信息系統安全等級保護技術規劃設計的重要作用，針對目前社會對于信息系統安全的實際需求，通過明確公司信息系統安全等級、公司信息系統的安全技術框架、公司信息系統安全等級保護的保護范圍、公司信息系統中可能存在的危險來源等多種方式，實現對于公司信息系統安全等級保護技術規劃的相應設計。

[1]靳英伯．信息安全等級保護模型評測平臺的設計與實現[D]．山東大學，2015．

[2]陸勤．基于信息安全管理模型的高校信息系統管理平臺研發[D]．上海交通大學，2014．

[3]姚洪磊，張彥．鐵路信息安全等級保護技術體系規劃與設計研究[J]．警察技術，2014．

[4]姚德益．基于等級保護的銀行核心網絡系統安全防護體系的研究與設計[D]．東華大學，2014．

[5]劉太洪．大秦公司信息系統安全等級保護技術規劃設計[D]．河北工業大學，2014．

[6]龔雷．應用安全透明支撐平臺體系結構與模型研究[D]．解放軍信息工程大學，2013．