探討三級信息安全等級保護標準的安全防護措施

◆張 茜

探討三級信息安全等級保護標準的安全防護措施

◆張 茜

（北京京航計算通訊研究所 北京 100071）

社會的進一步發展，促使我國進入信息時代，信息也成了社會的重要資源。三級信息安全等級保護是對信息的一種保護手段。本文立足于信息安全角度，分析了三級信息安全的保護標準，研究了相關的安全措施，希望可以促進我國信息安全防護工作的開展。

物理安全；信息系統；信息安全；等級保護；防護措施

0 引言

信息時代下，我國法律明確規定重要信息系統需要經過相關機構進行等級評定，其中三級信息安全等級為一種較高的保護標準。現階段我國相關人員對于該等級標準的應用與保護措施研究仍然處于初級階段，無法促使其真正發揮作用。因此，對三級信息安全等級保護標準的安全防護措施研究有鮮明現實意義。

1 信息系統安全等級保護標準

對于信息系統的安全等級而言，國家相關標準有三十幾個，其中較為常見且比較重要的有以下幾種：信息系統安全等級保護定級、實施、劃分內容；信息系統等級保護安全設計技術、通用技術等要求；信息系統安全、工程管理內容；信息系統安全保護測評以及測評指南等內容。

本文所研究的三級信息系統安全保護等級，往往被稱作為標記保護等級，在具體規范中要求計算機信息系統具有系統審計保護級的所有功能，還需提供有關安全策略模型、數據標記以及主體對客體強制訪問控制的非形式化描述，具有準確地標記輸出信息的能力。三級信息系統應具備的基本安全保護能力是：信息系統應能夠在統一安全策略下免遭來自外部有目的的惡意組織發起的惡意攻擊，對危害性較大的自然災害，以及其他較嚴重威脅所造成的主要資源損害，能夠及時發現安全隱患、短時間內恢復絕大部分功能。

2 三級信息系統安全保護等級的安全防護措施

2.1 安全管理

為了促使三級信息系統可以在日常作業中發揮作用，并且信息不會泄露，首先需要做好相關設備的安全管理，如果信息載體發生故障，信息安全則無法發揮作用，具備的管理內容可以分為以下幾個方面：①應該在日常工作中建立有效的安全管理機制，明確設備使用、設備運維等多個崗位的具體職責，對于信息設備的存放地，應該配備有專門的看管人員，并且根據企業內部相關章程，要做好設備定期巡檢。②信息系統在實際建設過程中，不能一邊開發一邊測試，在建設完成進行上線處理之前，應該聯合第三方質檢單位進行系統運行質量以及運行安全的檢測，并且檢測之后的結果應該以報告的形式呈現。③系統相關設備應用做好日常運維檢修工作，保證任何時候設備都可以進行高效運轉。并且在運維過程中，出入機房的維修人員需要進行登記，具體記錄清楚運維人員姓名、部門、直屬上級、工作內容、運維時間、結束時間等。應用到的相關介質需要進行本地存儲以及備用異地存儲，并且定期進行程序復檢以及恢復作業，保證應用介質可以長期有效。④安全管理工作中，還需要針對網站的應用建立一套具有針對性的規章制度，制度中需要明確規定各個部門相關職責，網站的日常更新以及信息傳遞等工作需要按照之前規定的操作流程進行。⑤需要安排專職的人員對網站安全進行定期維護，同時應該對技術類人員進行定期考核以及培訓，不斷增強安全管理團隊的綜合的素質。

2.2 物理安全管理

在系統的物理安全管理中，主要是對外部環境進行合理的規劃，具體內容可以從以下幾個方面實現：①系統機房當中應該安裝有防盜警報系統。②機房的使用需要進行合理調度，出入其中的人員應該進行登記。③設備的物理訪問需要具有審批。④機房內部應該進行合理的功能區劃分，并且按照不同功能區的特點進行管理。⑤系統內部為了保證信息安全，應該建立聯網報警、自動銷毀等功能[1]。⑥外部管理過程中應該采用冗余配置方法，保證發生故障之后，可以在第一時間進行維修，提升信息安全系數。

2.3 網絡安全及硬件產品選擇

信息系統的建立必定會考慮到內部網絡環境安全，該方面的安全管理主要從以下幾個方面實現：一方面，網絡環境中應該配置有安全審計功能，目的是為了保證在進行重要網絡操作過程之前，可以對網路行為進行分析；一方面，網絡應用過程的中應該采用IP/MAC地址綁定的方法進行安全管理，同時對于網絡使用中存在的惡意代碼內容應該進行防控，人員在進行設備登錄時，網絡系統需要具備信息識別措施，并且識別措施最少為兩種。另一方面，相關設備的登錄密碼需要進行定期更換，系統內部應該擁有準入、出機制的管理軟件。

硬件設備是信息系統的基礎所在，雖然在日常工作中對于信息的瀏覽以及傳遞主要依賴于系統內部的軟件，但是沒有硬件設備，軟件也就沒有了載體。對于硬件設備的選擇需要從多個角度進行分析：一方面，內部應用到的硬件設備需要具有自主知識產權，這樣硬件設備的質量才可以有一個良好的保證。另一方面，硬件設備應用過程中應該具有鮮明的穩定性以及可靠性。

2.4 主機安全

信息系統的主機相當于人類的大腦，對于信息安全以及系統正常運行有著重要意義。主機的安全管理可以從以下幾個方面進行論述：首先，主機內部應該設置有身份鑒別功能，并且至少需要應用兩種鑒別方法。其次，主機應該根據不同賬戶的實際工作需求進行使用權限的劃分，并且劃分原則應該是業務正常進行所需要的最小權限。最后，對于已經不存在的業務需要進行刪除，而且過期賬戶也需要進行刪除，長時間不進行應用端口需要關閉。

2.5 應用軟件安全

除去信息系統的硬件以及主機安全之外，信息軟件的安全管理十分重要，因為在信息系統發揮作用時，幾乎所有指令都需要經由軟件實現。對于該方面內容的安全管理工作可以從以下角度實現：①網站的使用者身份信息應該具有兩種以上鑒別方式，常見的鑒別方法有網絡證書鑒別、動態口令鑒別以及UKey等方法。并且，網絡的登錄密碼長度應該具有一定的限制，通常情況下會被規定為8位數字+字母，同時系統還需要對密碼進行定期更換提醒。當多次登錄失敗之后，需要對賬戶進行限制，進一步降低密碼猜測以及暴力破解等問題的發生。②系統內部應該具有針對性的審計功能，并且審計功能需要覆蓋所有用戶。例如在實際應用過程中對管理員增加用戶以及刪除用戶行為進行審計，同時內部審計所產生的審計行為以及審計記錄需要具有準確性與不可修改性，可以在階段性審計完成之后自動生成審計報表等內容[2]。③信息數據在網絡環境下進行傳輸時，需要對其進行合理的加密，保證信息數據的安全以及完整性，并且系統內部需要具有數據原發證據和接收證據的功能，同時無論是數據的人機接口或者是通信接口都應該具有數據格式以及長度的限制，防止網絡中其他無效的信息進入到系統中，危害系統安全。④系統內部需要對應用到的文件格式以及大小進行設置，進一步增強系統對于信息內容的處理能力，當網絡環境出現異常，需要將網頁直接定義在錯誤頁面。并且還需要應用監控手段，對設備應用主機、CPU以及內存等進行多方位監督。

3 結論

綜上所述，三級信息安全標準的確立需要從多個角度進行綜合分析，并且應該立足于信息系統管理、信息系硬件設備、信息系統軟件等諸多方面進行完善，希望本文以上研究內容可以為現階段的網站建設提供一定參考，特別是對于已經測評為三級信息的企業單位而言，可以在網站建立、設備運維等方面提供必要幫助。

[1]武美茹,張冉,梁建姝,鄧永梅.基于信息系統的三級審核模式對改善腦卒中風險表單評估準確性的研究[J].護士進修雜志, 2019,34(03):203-206.

[2]李軍偉,程詠梅,陳克喆.基于三級多源信息融合結構的SINS性能測試綜合評估算法[J].中國慣性技術學報, 2014,22(02):177-184.