面向等級保護的信息系統運維管理與應用實踐

鄒敏

【關鍵詞】信息系統管理;等級保護;信息安全

對于信息系統安全等級保護而言，屬于國家在信息安全方面構建的一項基本國策，主要由公安部進行牽頭。通過多年探索，組建了信息安全等級保護的政策以及標準體系，并在全國進行了推廣。等級保護存在于信息系統設計研發、上線運維、廢棄等相關環境中，運維屬于信息系統的生命周期中的關鍵環境，與業務應用、企業正常運轉和管理之間存在著緊密的聯系。并且，在《GB/T 22239-2008 信息安全技術 信息系統安全等級保護基本要求》中，立足于技術以及管理兩個方面，制定了信息系統在運維安全方面需要滿足的相關要求。其中，技術層面表現為從主機和網絡設備的訪問控制、身份鑒別和權限管理、帳號管理、安全審計和數據保密性、完整性等控制點提出要求，管理層面主要從監控管理和安全管理等控制點提出要求，指導運營單位的建設整改和管理機構的監督管理。

一、運維階段安全工作要求

（一）做好運行管理控制

該工作在于讓系統實現安全運行，相關人員既要確保在操作系統的過程中相關操作動作是安全以及正確的，同時還需要確保相關運行管理活動能夠始終處于被控制狀態。

（二）做好變更管理控制

該工作的主要目的在于當業務應用、系統結構、安全設施、安全配置等可能出現改變的情況下，借助于標準規范的流程來保障變更可能造成的信息資產安全以及將業務活動受到影響、業務中斷等降至最低[1]。

（三）做好狀態監控工作

在安全監控方面，信息系統的安全等級不同，那么所需要采用的監控內容和手段也是不同的。

（四）做好處置應急工作

對安全事件來說，應當實施分級響應處理手段，在構建應急響應系統的過程中必須嚴格遵循既定標準規范，從而保證業務系統處于持續穩定的運行狀態。

（五）做好檢查改進工作

在維護信息系統過程中，考慮到會發生安全狀態改變、系統變更等情況，所以定期對系統狀況予以檢查是非常有必要的，同時還需要結合檢查結果持續改進系統。

（六）等級保護安全測評

遵循等級保護的相關標準以及相關法規，定期對系統做好安全測評工作。

二、運維階段安全工作

（一）系統運行管理

對于不同的信息系統而言，《信息安全責任管理制度》的制定是非常有必要的，應對運行管理人員的角色加以劃分，同時賦予他們各自不同的權限，明確每個角色應當履行的職責。同時，人員培訓方面也不能放松。應當將不同角色人員使用的操作系統予以記錄，同時要記錄系統的運行狀況。

（二）系統變更管理

對于系統變更問題來說，相關責任人需要清楚了解用戶實際需求，嚴格按照具體需求來形成記錄文檔。隨后積極聯系安全運維和系統運維人員，針對需求變更文檔實施全方位的研究探討，最終明確具體的變更內容，制定有針對性的系統變更計劃[2]。針對變更實施工作，應當制定詳細周到的方案，同時由負責人、安全運維方評審該方案，然后由系統運維方按照通過評審的方案執行，同時應當記錄在此期間的相關信息。

（三）系統狀態監控

針對監控系統狀態，首先必須清楚了解監控具體內容，例如說系統資源實際使用狀態、網絡流量、TCP連接數量以及系統涉及的其他硬件設備;其次應當合理選擇監控手段，例如說依靠網防G01、阿里云以及監控寶等相關軟件工具;最后要做到對監控數據信息的深入分析，以便信息安全事件能夠被及時發現，然后快速做出應對[3]。

三、運維階段防護工作

（一）網絡安全防護

互聯網是信息系統成功構建的基礎所在，無論是計算機，又或者其相關配套設備均因此得以共享、互聯，然而也會出現很多安全方面的問題。針對網絡安全防護來說，涉及的相關工作不單單要確保網絡結構安全，同時還需要重視網絡邊界和內部的防護工作。通常情況下依靠子系統劃分以及安全域劃分來實現網絡結構的穩定運行;靈活應用VPN、邊界防護以及防火墻等，借此來控制或者過濾外部訪問，檢查由內向外傳輸的相關信息的安全性。基于等級保護的安全防護作業而言，具體來說能夠詳細劃分成如下等級[4]：一是自主保護。這一級網絡安全信息無測評周期要求，無須在公安機關進行備案;二是指導保護。這一級建議每兩年組織實施安全評測活動，應當按照相關規定予以備案;三是監督保護?？梢远ㄆ诮M織年度網絡安全評測，應當按照規定予以備案;四是強制保護，可以間隔半年時間組織安全評測，應當按照規定予以備案;五是專項保護，結合網絡信息安全防護的具體情況采取不定期評測的方式，應當按照規定予以備案[5]。

（二）環境安全防護

環境安全防護應當借助于相應技術保障用戶信息在進入服務器和客戶機、駐留服務器和客戶機等各種情況之下都能夠具備較強的安全性與完整性。一般來說可以使用的系統軟件不單單包含主機數據庫，同時也涉及操作系統;類似瀏覽器等較為通用的系統軟件程序，以及獨立應用程序（主要是指專門開發的）[6]。

（三）數據備份及恢復

該項工作主要是確保數據存儲的安全性，把數據復制多個備份然后予以分開保存?；謴蛿祿姆绞侥壳爸饕兄囟ㄏ蚧謴?、單獨文件恢復、全盤恢復等。完整的恢復方案及數據備份應當包含數據恢復計劃、備份制度、備份軟硬件三部分[7]。

四、結語

總而言之，企業的信息系統如果在設計之初沒有考慮到網絡安全，那么上線系統后難免會遭受入侵、漏洞以及攻擊等問題，此時再進行整改，將會面臨重重困難，比如代碼重構、網絡調整、架構變更等。因此在設計之初就要考慮到網絡安全防護，如此信息系統才能夠實現更節約、更有效地建設。