移動互聯(lián)網(wǎng)信息系統(tǒng)的等級保護測評研究

陳宗明 余福生

摘? ?要：移動智能終端的出現(xiàn)在給廣大移動互聯(lián)網(wǎng)受眾帶來方便快捷的使用體驗的同時，也為移動互聯(lián)網(wǎng)信息系統(tǒng)的等級保護工作帶來了新的挑戰(zhàn)。當前階段，移動互聯(lián)網(wǎng)信息系統(tǒng)的等級保護測評工作還未將移動智能終端所帶來的威脅列入測評范疇。文章從現(xiàn)階段移動互聯(lián)網(wǎng)信息系統(tǒng)的等級保護測評實況出發(fā)，簡要闡述幾點新的測評方法與建議。

關(guān)鍵詞：移動互聯(lián)網(wǎng);信息系統(tǒng);等級保護

現(xiàn)階段，移動互聯(lián)網(wǎng)所采用的信息系統(tǒng)的等級保護測評機制還是沿用常規(guī)的信息等級保護測評方式，比如在測評主機安全性的時候僅關(guān)注PC操作系統(tǒng)以及數(shù)據(jù)庫的配置安全問題，測評網(wǎng)絡(luò)安全時也只關(guān)注使用PC客戶端進行訪問業(yè)務(wù)過程中出現(xiàn)的訪問控制以及數(shù)據(jù)傳輸?shù)陌踩珕栴}等。當前階段，移動互聯(lián)網(wǎng)信息系統(tǒng)的等級保護測評應(yīng)該從網(wǎng)絡(luò)安全、應(yīng)用軟件安全、數(shù)據(jù)庫安全以及終端安全等多個角度綜合進行。

1? ? 移動互聯(lián)網(wǎng)信息系統(tǒng)簡要概述

移動互聯(lián)網(wǎng)信息系統(tǒng)實際上指的是一套建立在手機、iPad等便攜化終端設(shè)備上，作為信息載體進行信息存儲與傳輸?shù)囊苿踊畔⑾到y(tǒng)，將無線網(wǎng)絡(luò)、手機設(shè)備以及辦公系統(tǒng)進行有效結(jié)合，在一定程度上可以實現(xiàn)任何時間與任何地點的辦公，大大提高了人們的工作效率。在通過移動終端進行互聯(lián)網(wǎng)訪問的過程中，可以將移動互聯(lián)網(wǎng)信息系統(tǒng)的訪問流程劃分為不同的區(qū)域，其中包括移動智能用戶終端區(qū)域、互聯(lián)網(wǎng)運營商傳輸區(qū)域、內(nèi)外網(wǎng)接入?yún)^(qū)域以及業(yè)務(wù)內(nèi)網(wǎng)服務(wù)區(qū)域等。除此之外，在進行移動終端內(nèi)網(wǎng)業(yè)務(wù)訪問的過程中還需要針對信息系統(tǒng)內(nèi)的身份鑒別功能、數(shù)據(jù)保密功能、內(nèi)網(wǎng)接入控制、網(wǎng)站邊界防護等對用戶可能會產(chǎn)生威脅的拓撲位置進行嚴格的等級保護測評[1]。

2? ? 移動互聯(lián)網(wǎng)信息系統(tǒng)與傳統(tǒng)互聯(lián)網(wǎng)信息系統(tǒng)的等級保護區(qū)別

在移動互聯(lián)網(wǎng)的信息系統(tǒng)運行過程中，移動終端最先通過建立無線接入通道實現(xiàn)與網(wǎng)絡(luò)運營商的鏈接，然后再通過該通道與企業(yè)內(nèi)部網(wǎng)站的訪問業(yè)務(wù)系統(tǒng)的服務(wù)端進行鏈接，在整個過程中涉及很多信息安全問題，其中包括移動網(wǎng)絡(luò)終端的安全認證問題、訪問用戶的身份認證問題、在訪問過程中的數(shù)據(jù)存儲與數(shù)據(jù)傳輸安全問題以及進行終端移動的用戶權(quán)限問題等。這些問題一般來說不會出現(xiàn)在傳統(tǒng)的互聯(lián)網(wǎng)信息系統(tǒng)的等級保護過程中。因此，移動互聯(lián)網(wǎng)信息系統(tǒng)與傳統(tǒng)互聯(lián)網(wǎng)信息系統(tǒng)的等級保護領(lǐng)域?qū)嶋H上是在不斷擴張的，并且針對不同的信息系統(tǒng)層級也會有不同的等級保護測評體系。

3? ? 提高移動互聯(lián)網(wǎng)信息系統(tǒng)等級保護測評質(zhì)量的策略研究

3.1? 加強對移動互聯(lián)網(wǎng)信息系統(tǒng)中軟件安全的等級保護測評

對于移動互聯(lián)網(wǎng)信息系統(tǒng)來說，一般系統(tǒng)內(nèi)部的軟件架構(gòu)會包含幾個不同的層面：信息接入層、信息展現(xiàn)層、信息應(yīng)用層、基礎(chǔ)技術(shù)支撐層、運行環(huán)境層等。首先，針對信息接入層來說，該層面是由移動互聯(lián)網(wǎng)用戶和信息系統(tǒng)搭建的介入媒體雙方所共同構(gòu)成的，具體到該層面的實際業(yè)務(wù)方面實際上就是一個訪問入口，對于該層面的安全等級保護需要從減少入口的攻擊性入手，即最大限度地降低接入口對整個軟件系統(tǒng)的威脅。一般來說，可以通過在接入口與出入口等比較關(guān)鍵的核心層面建立可信機制，對于部分非指定接口應(yīng)該嚴格控制其訪問權(quán)限。其次，是信息展現(xiàn)層，顧名思義就是進行信息內(nèi)容展示的區(qū)域，針對該層面的等級保護，最核心的一點就是確保信息系統(tǒng)所展示信息的準確性與完成性，在處理測評的過程中主要測評信息內(nèi)容是否存在被隨意篡改的風險。再次，信息應(yīng)用層是移動互聯(lián)網(wǎng)信息信息系統(tǒng)中進行數(shù)據(jù)信息處理的核心部分，也是移動互聯(lián)網(wǎng)信息系統(tǒng)等級保護的主要測評部分。從次，基礎(chǔ)技術(shù)支撐層主要指的是利用互聯(lián)網(wǎng)技術(shù)通用的各類組件、用戶管理與服務(wù)以及組建交換等常用的應(yīng)用服務(wù)，針對該層面的安全等級保護可以從系統(tǒng)組建自身的穩(wěn)定性與安全性入手，加強不同組件鏈接口之間的安全性。最后，針對信息運行環(huán)境層來說，所面臨的最主要的安全問題在于惡意代碼、物理攻擊以及軟件或者硬件之間的故障方面，應(yīng)該采取的主要措施就是增強對移動互聯(lián)網(wǎng)信息系統(tǒng)的綜合管理與安全測評[2]。

移動互聯(lián)網(wǎng)信息系統(tǒng)軟件中經(jīng)常出現(xiàn)的“黑客”攻擊，作為一種威脅極大的互聯(lián)網(wǎng)信息系統(tǒng)安全隱患，在處理該類問題時，要在建立合理科學(xué)的等級保護制度的基礎(chǔ)上，在不同類型的軟件信息中心做好可以24小時監(jiān)控預(yù)測的預(yù)警防護機制，包括網(wǎng)站防護、云端防護以及實時預(yù)警等安全保護措施，并且針對可能出現(xiàn)的危險事故，盡量提前做好安全措施與應(yīng)急預(yù)案。相關(guān)人員也應(yīng)該增強對移動互聯(lián)網(wǎng)信息系統(tǒng)的維護工作，盡量縮短維護、排查工作間隔，從而最大限度地提升移動互聯(lián)網(wǎng)信息系統(tǒng)的安全性。另一方面，還可以通過滾動排查和抽樣排查的方式，及時發(fā)現(xiàn)軟件信息系統(tǒng)中存在的安全漏洞，最大限度地避免信息篡改、病毒入侵以及暗鏈等問題的出現(xiàn)。除此之外，針對沒有嚴格按照規(guī)定貫徹落實集約化與規(guī)范化管理的網(wǎng)絡(luò)信息系統(tǒng)，也必須堅持做好24小時的監(jiān)控預(yù)測與報警機制，并進行實時保護，在出現(xiàn)系統(tǒng)漏洞的第一時間就通過后臺系統(tǒng)進行修復(fù)。相關(guān)人員也應(yīng)該對后臺系統(tǒng)進行升級維護，從而提升后臺系統(tǒng)所能夠應(yīng)對的漏洞等級。也應(yīng)該完善專人負責制度，安排專業(yè)人員進行日常維護，當后臺系統(tǒng)所出現(xiàn)的漏洞無法憑借系統(tǒng)內(nèi)部的維修系統(tǒng)處理時，相關(guān)人員就應(yīng)該立即介入，防止出現(xiàn)系統(tǒng)崩潰現(xiàn)象。通過這種方式，一方面有利于提高移動互聯(lián)網(wǎng)軟件信息系統(tǒng)的安全防護，另一方面也有利于提高移動互聯(lián)網(wǎng)信息系統(tǒng)等級保護測評的效率與質(zhì)量，從而使相關(guān)人員更高效地處理信息，方便人們的工作和生活。

3.2? 加強相關(guān)人員對移動互聯(lián)網(wǎng)信息系統(tǒng)等級保護測評的重視

移動互聯(lián)網(wǎng)信息系統(tǒng)的安全等級保護工作主要包括5個方面，分別為安全等級保護定級、等級保護備案、等級保護安全建設(shè)、信息整改與安全測評以及信息安全性檢查。當前階段，在進行移動互聯(lián)網(wǎng)信息系統(tǒng)的安全等級保護測評過程中，具有測評機制的應(yīng)該是由公安部授權(quán)過的具有安全資質(zhì)的第三方信息機構(gòu)，該機構(gòu)可以為各大小企業(yè)單位與事業(yè)單位提供專業(yè)化的信息安全等級保護測評以及等級保護咨詢服務(wù)。因此，作為測評機構(gòu)，在單位內(nèi)部要加強對信息系統(tǒng)安全等級保護與測評工作的重視，通過與運營維護企業(yè)之間建立密切配合關(guān)系，派遣專人專項負責等措施，貫徹落實各項移動互聯(lián)網(wǎng)信息系統(tǒng)等級保護測評機制，并在主管公安部門的監(jiān)督與指導(dǎo)下，以最優(yōu)等級的保護措施與測評工作，確保移動互聯(lián)網(wǎng)信息系統(tǒng)的安全、順暢運行。與此同時，還要加強對移動互聯(lián)網(wǎng)信息系統(tǒng)的日常密碼維護，嚴格按照相關(guān)規(guī)定去定期修改密碼、進行密碼維護。從一定程度上來講，密碼維護也是一項十分關(guān)鍵的信息系統(tǒng)安全管理措施，通過定期的維護與測評可以有效提高移動互聯(lián)網(wǎng)信息系統(tǒng)的安全性與穩(wěn)定性，也可以有效降低系統(tǒng)與服務(wù)器被惡意攻擊的可能性。相關(guān)人員必須要端正對移動互聯(lián)網(wǎng)信息系統(tǒng)等級保護測評的重視態(tài)度，才能采取有效措施對移動互聯(lián)網(wǎng)信息系統(tǒng)進行分等級保護，從而提升移動互聯(lián)網(wǎng)信息系統(tǒng)的安全性與不可攻擊性。只有提升相關(guān)工作人員對安全等級保護的重視程度，才能在此基礎(chǔ)上開展等級保護備案、等級保護安全建設(shè)、信息整改、安全測評以及信息安全性檢查工作。

為了加強相關(guān)工作人員對移動互聯(lián)網(wǎng)信息系統(tǒng)等級保護測評的重視，可以從加大對計算機相關(guān)安全系統(tǒng)與安全保護條例等相關(guān)政策制度的宣傳教育入手，切實做到對相關(guān)工作人員意識普及與職業(yè)素養(yǎng)的培訓(xùn)，幫助相關(guān)人員認識到互聯(lián)網(wǎng)信息系統(tǒng)安全等級保護與保護測評的重要性，從而幫助其端正自己的工作態(tài)度，恪盡職守。其中不僅包括對相關(guān)信息安全等級保護規(guī)章制度的強化學(xué)習，還要針對移動互聯(lián)網(wǎng)信息系統(tǒng)等級保護測評要求與工作流程的嚴格化與規(guī)范化培訓(xùn)，切實將信息系統(tǒng)安全保護工作貫徹落實到每一個細節(jié)。一方面要確保移動互聯(lián)網(wǎng)信息系統(tǒng)的正常高效運轉(zhuǎn)，另一方面還要促進信息系統(tǒng)等級保護測評工作的不斷創(chuàng)新。此外，公安部門也要通過各種類型的宣傳與引導(dǎo)活動，針對信息系統(tǒng)的安全問題及時作出科普，比如可以通過定期開展互聯(lián)網(wǎng)信息安全講座、分發(fā)移動互聯(lián)網(wǎng)宣傳手冊等方式，在潛移默化中加強人們對移動互聯(lián)網(wǎng)信息系統(tǒng)安全保護的認識，必要時可以將法律作為武器懲戒各類破壞移動互聯(lián)網(wǎng)信息系統(tǒng)安全的違法行為。

4? ? 結(jié)語

移動互聯(lián)網(wǎng)信息系統(tǒng)等級保護無論是對于廣大用戶來說還是對于整個行業(yè)的正常運行來說都至關(guān)重要，它既影響著企業(yè)于用戶的正常工作與生活，也間接影響著移動互聯(lián)網(wǎng)信息技術(shù)的長遠發(fā)展。因此，針對移動互聯(lián)網(wǎng)信息系統(tǒng)的等級保護以及等級保護測評不容小覷，需要相關(guān)部門與相關(guān)工作人員從強化信息系統(tǒng)安全保護意識與等級測評意意識入手，以維護移動互聯(lián)網(wǎng)信息系統(tǒng)軟件安全、網(wǎng)絡(luò)安全、數(shù)據(jù)庫安全以及終端設(shè)備安全為著力點，在切實確保移動互聯(lián)網(wǎng)信息系統(tǒng)正常運行的同時，加大對移動互聯(lián)網(wǎng)信息系統(tǒng)等級保護測評機制的不斷健全與完善。

[參考文獻]

[1]馬帥.等級保護設(shè)計要求下的移動業(yè)務(wù)系統(tǒng)安全防御體系[J].保密科學(xué)技術(shù)，2012（1）：24-28.

[2]馮志杰，李紅雙.智能終端安全防護體系設(shè)計[J].電信工程技術(shù)與標準化，2013（2）：18-22.