摘要:信息系统等级保护制度是我国加强信息系统安全防护的重要措施,电子政务外网运行着电子政务的公共服务业务,开展等级保护与等级保护测评非常必要,政务外网[2011]15号文要求开展电子政务外网的等级保护与等级保护测评工作。下面是小编精心推荐的《等级保护技术下信息安全论文(精选3篇)》相关资料,欢迎阅读!
等级保护技术下信息安全论文 篇1:
浅议政府行业信息安全等级保护中的政策理解误区
[摘要]本文介绍了信息系统安全等级保护的起源及中国信息安全等级保护的发展现状;分析了国内政府行业在开展信息安全等级保护过程中存在政策理解误区,包括认识误区、定级对象误区、等级划分误区和实施与测评误区;指出政府行业信息安全等级保护应做到政策理解到位,定级范围合理,等保级别准确,实施过程完整,测评及时有效。
[关键词]政府行业;信息系统;等级保护;误区
doi:10.3969/j.issn.1673-0194.2013.02.040
[
1 前言
等级保护原本是军事领域的安全保密体系,为了在计算机世界中实现这一体系,研究人员苦心奋斗多年。随着网络时代的到来,等级保护有了新的内涵:从保护对象上,不再局限于军事领域的大型主机,而是所有对国计民生有重要影响的信息系统;从实施的安全策略上,不再局限于军事安全保密规则,而是用于各种安全保护策略;从测评角度看,不再限于个别信息安全产品的静态测评,而是考查网络系统在实际运行中表现出的综合保护能力,是涵盖了架构、功能、管理和配置等各方面检查的全面、综合、动态的测评。一句话,等级保护逐步从一种技术思想发展为今天贯穿了信息安全保障各个工作环节的一个过程和一种制度。等级保护标准是等级保护思想进化历史的快照。各个标准的兴衰历史表明,标准必须与时俱进,跟得上用户的需求,才能得到有关各方(政府、用户与厂商等等)的积极响应,而只有得到积极响应的标准才能称得上有生命。
《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)规定,信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,是信息安全保障工作中国家意志的体现。
各级各类政府部门在推行信息安全等级保护工作的过程中,由于对相关政策和要求“吃不透”,在实施过程中出现了多种误读。本文旨在分析政府行业信息安全等级保护中存在的政策理解误区并提出相关建议。
2 国内信息安全等级保护实施现状
2.1 起源
中国早在1984年就开始收集国外等级保护的相关资料。1994年的《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)被视为中国实施等级保护的法律基础。2004年的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和2007年《信息安全等级保护管理办法》(公通字[2007]43号)等文件明确了等级保护的定位、基本内容、流程和工作要求以及相关部门的职责任务,为开展等级保护工作提供了规范保障。简单地说,中国实施等级保护的基本任务是:系统分等级保护、产品分等级管理、事件分等级处置。
随着《信息系统等级保护安全设计技术要求》(GB/T25070)的发布和实施,中国的等级保护国家标准和行业标准已有50多个,等级保护标准体系已初步形成。
2.2 实施现状
《信息安全等级保护管理办法》(公通字[2007]43号)(以下简称43号文件)和《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)的出台,标志我国信息安全等级保护工作进入实质的实施阶段。自从2007年6月份以来,全国范围内的重要系统普遍开展了信息安全等级保护工作,到目前为止,定级工作已经基本结束,将进入整改阶段。回顾我国的等级保护工作,可以看到两大成效,即定级保护的定级备案工作成效显著;各种政策标准体系日趋完善。
目前来看,定级工作已经圆满完成,接下来是建设和整改工作,之后进行一些等级测评工作,工作不断地暴露出一些问题和政策理解误区需要解决。
3 等级保护认识误区
不少部门和单位对等级保护的认识存在一定误区,较集中的问题是:等级保护的投资较高,对现有投资是一种浪费。用户经常会反映一些问题,历年来在安全建设方面已经进行了大量投资,现在建设等级保护是否要“推倒重来”。
对于是否要“推倒重来”,可以从两方面考虑:
(1)按照国家相关规定,三级以上网络不能采用国外产品。对于这种底线原则,应该毫不含糊地执行,而由此产生的重复投资,只能说明前期的安全建设没有遵循统一的标准。
(2)目前信息系统中存在着大量没有更新、升级,甚至淘汰落后的设备,通过等级保护的实施,需要对原有网络系统进行加固,重新购买某些产品的服务,这种投资不能称之为重复投资。
4 定级备案对象误区
4.1 定级范围
《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)规定了信息安全等级保护的定级范围,包括:
(1)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
(2)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业,部门的生产、调度、管理、办公等重要信息系统。
(3)市(地)级以上党政机关的重要网站和办公信息系统。
(4)涉及国家秘密的信息系统。
4.2 定级对象确定误区
政府行业在实际开展信息安全等级保护定级过程中,由于没有对相关信息系统进行深入的定级对象分析,包括信息系统管理组织机构、业务应用、物理位置和运行环境等,经常会产生以下误区。
4.2.1 定级对象安全责任单位不明确
按照要求,作为定级对象的信息系统应能够唯一确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等工作,则这个下级单位可作为定级对象安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应当是这些下级单位共同所属的上级单位。
而在实际定级对象确定过程中,很多单位和部门存在着安全责任单位确定的随意性,例如对于一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,可能随意指定一家下属单位作为安全责任单位等情况,而其他下属单位认为该系统的安全责任单位并非自己,存在疏忽和大意的情况,导致在定级对象备案、测评、整改过程中产生很多低效率环节。
4.2.2 定级对象不具备信息系统的基本要素
按照要求,作为定级对象的信息系统应该是由相关的或配套的设施设备按照一定的应用目标和规则组合而成的有形实体。
而在实际定级对象确定过程中,则存在将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象的情况,这些单一的系统组件往往不具备信息系统的基本要求,因此不应作为定级对象。
4.2.3 定级对象业务应用不单一或不独立
按照要求,定级对象应承担单一或独立的业务应用,该业务应用的业务流程独立,与其他业务应用没有数据交换且独享所有信息处理设备。
而在实际定级对象确定过程中,有很多应用系统其实是作为其他业务应用系统的一个分支或一部分,而不属于(公信安[2007]861号)文件规定的定级范围。例如船舶过闸收费系统、水情信息监测系统等只是作为一套遥测或监控系统,本质上是为上层业务系统提供数据支撑或实时监控的,与其他业务应用会发生数据交换,不应单独作为定级对象。
5 等保级别确定误区
5.1 安全保护等级划分原则
《信息安全等级保护管理办法》(公通字[2007]43号)规定了信息系统的安全保护等级划分原则,见表1。
5.2 不同级别系统基本要求项的差异
按照要求,应根据“业务信息”和“系统服务”的需求确定整个系统的安全保护等级,不同级别的系统中,信息安全等级保护的基本要求有很大差异,对技术要求和管理要求的级别也不同,见表2。
5.3 定级误区
政府行业在实际开展等级保护定级过程中,经常会因为各种原因造成定级偏高或偏低的情况。
5.3.1 定级偏高
如果系统定级偏高,则会造成该信息系统信息安全过度保护,会增加技术安全防护费用,同时大量增加管理成本。信息系统的测评的频率和要求也相应提高,造成资源浪费。同时由于级别越高,系统的技术和管理要求越高,致使信息系统的易用性受到影响。总的来说,系统定级偏高,会形成“好钢没用在刀刃上”的后果。
5.3.2 定级偏低
如果系统定级偏低,则会造成该信息系统安全保护不到位,没有根据系统侵害客体以及侵害客体的实际情况确定系统保护等级,相应的技术防护水平和安全管理要求难以满足安全需求,且系统安全测评的频率和要求也随之降低。系统一旦发生安全问题,会形成管理部门的过度责任。
6 实施和测评误区
6.1 系统定级后就完成了等级保护
很多部门和单位认为系统完成了定级也就完成了等级保护。其实,完成等级保护定级工作并不是万事大吉,而是刚刚开始。套用一句广告词:“你才刚上路呢。”由于对政策的不理解,很多用户认为完成定级就是完成了等级保护。其实,自定级只是等级保护的入门工作。
涉及等级保护的相关文件已经明确提出系统的安全问题遵循“谁建设谁维护”的原则。安全本身是动态的,这就决定了等级保护是长期、持续性的工作。等级保护最大的推动力是每半年或一年一次的系统检查,检查将统一用户对等级保护建设的认识。
6.2 将安全测评等同于等级保护
在我国,目前主管部门安全认可的依据多数是系统安全测评的结果。主管部门根据系统测评结果判断,如果残余风险可以接受,则允许系统投入运行或继续运行,否则信息系统便没有达到特定安全等级的安全要求。没有最终的主管认可过程,等级保护无法落到实处。从这个意义上讲,进行等级保护建设、实施风险管理过程后的系统安全测评及行政认可是等级保护的落脚点。而不能认为系统做了安全测评就是完成了等级保护。
7 结语
当今的信息产业已经成为国民经济重要支柱之一,政府信息系统对于提高政府公共服务能力,建设责任政府、法制政府和服务政府提供着重要支撑和保障。同时,政府信息系统的安全性问题也越来越重要,必然成为我国开展信息系统安全等级保护的重点。在政府部门开展信息系统安全等级保护过程中,必须严格按照等保相关规定和文件的要求,深入剖析政策内涵,做到政策理解到位,定级范围合理,等保级别准确,实施过程完整,测评及时有效。
主要参考文献
[1]朱继锋,赵英杰,杨贺,等.等级保护思想的演化[J].信息安全与通信保密,2011(4).
[2]张戈.等级保护的三大误区[N].电脑商报,2008-03-03.
[3]中华人民共和国国务院.中华人民共和国计算机信息系统安全保护条例[S].1994.
[4]GB17859-1999,计算机信息系统安全等级标准划分准则[S].
[5]中华人民共和国公安部.信息安全等级保护备案实施细则[S].2007.
作者:尉飞新 李静芳
等级保护技术下信息安全论文 篇2:
电子政务外网等级保护测评探讨
摘要:信息系统等级保护制度是我国加强信息系统安全防护的重要措施,电子政务外网运行着电子政务的公共服务业务,开展等级保护与等级保护测评非常必要,政务外网[2011]15号文要求开展电子政务外网的等级保护与等级保护测评工作。该文就政务外网某网络系统开展等级保护测评为例,探讨等级保护的定级、测评对象与测评机构的选择、测评内容与方法的确定、骨干网络系统的漏洞测试、安全整改等内容。本次测评在属地电子政务行业产生了良好的示范效应。
关键词:电子政务外网;等级保护;等级保护测评
Classified Protection Evaluation Investigation of E-government Extranet
CAI Chang-shu1,CAI Chang-shu2
(1.Computer Science & Technology College of Qujing Normal University, Qujing 655011, China; 2. E-Government Network Management Center of Yunnan Province, Kunming 650228, China)
Key words: E-government extranet; classified protection; classified protection evaluation
1 国家电子政务外网等级保护背景
国家电子政务外网是我国电子政务重要的基础行政设施,开展政务外网的等级保护工作是保证各级政务部门开展电子政务应用,其安全保障关系到国家安全和社会稳定。政务外网的安全保障主要对所承载的电子政务应用系统和数据提供网络承载和安全保护,对来自外部的网络攻击、病毒及异常流量进行监测,并不断提高网络与信息安全突发事件的应急处置和响应能力[1]。
根据《国家信息化领导小组关于加强信息安全保障工作的意见》(中发办[2003]27号)、《信息安全等级保护管理办法》(公通字[2007]43号),以及《关于加快推进国家电子政务外网安全等级保护工作的通知》(政务外网[2011]15号)要求,为进一步做好国家电子政务外网的网络与信息安全工作,提高政务外网的网络安全保障能力和水平,应积极开展电子政务外网等级保护工作,推行等级保护制度,逐步国家信息安全保护制度落实到政务外网的规划、建设、测评、运行维护和应用等各个环节,使得政务外网安全保障能力达到安全保护等级要求[2]。
信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。规定动作:信息系统定级、备案、安全建设整改、等级测评、监督检查[3]。
信息安全等级保护工作的主要内容是将信息系统(包括网络)按照重要性和遭受损坏后的危害性分成五个安全保护等级(从第一级到第五级,逐级增高);等级确定后,第二级(含)以上信息系统到公安机关备案,公安机关审核后颁发备案证明;备案单位选择符合国家规定条件的测评机构开展等级测评,根据信息系统安全等级,按照国家政策、标准开展安全建设整改;公安机关对第二级信息系统进行指导,对第三、四级信息系统定期开展监督、检查[3]。
2 电子政务外网等级保护测评必要性
等级保护测评是测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。是信息安全等级保护工作的重要环节。确定安全等级保护第三级的政务外网要求每年进行一次等级保护测评,国家外网管理中心将配合公安机关对政务外网安全等级保护工作开展情况进行监督检查。开展等级保护测评是提高电子政务服务水平的一个重要措施,通过开展测评一是掌握电子政务网络信息系统安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求;二是能够衡量出信息系统安全保护措施是否符合等级保护的基本要求,是否具备了相应等级的安全保护能力。
3 电子政务外网等级保护测评探讨
3.1 等级保护定级
根据政务外网[2011]15号文件,政务外网等级保护的重点是广域网和各级城域网。定级的对象是网络与安全系统、网管系统、安全管理中心(SOC)、DNS等政务外网重要系统。政务外网中央至省、省至地(市)广域网和中央、省、地(市)城域网应达到安全等级保护第三级要求,地(市)至区县广域网和地(市)以上城域网至少达到等级保护第二级要求。根据国家要求和具体电子政务外网实际,把政务外网某网络系统定级为三级、政务外网某网管系统定级为第二级,到属地公安局机关进行了备案,并把定级方案上报国家信息中心。
3.2 测评对象的确定
根据要求,等级保护三级的系统将一年进行一次等级保护测评,接受一次以上监督检查,将备案为三级的政务外网某网络系统作为测评的对象。测评时机为建设整改前开展等级测评,现状分析。测评项目主要目标是借助投标方的专业资质和安全管理项目实施经验,参照国家标准和行业特点和安全需求,对政务外网某网络系统的等级保护测评,深入挖掘安全隐患及漏洞,提出适宜的安全整改建议,通过相关单位及厂商技术人员的专项加固,建立政务外网的网络系统安全管理制度体系,提升政务外网的安全防范能力和安全管理水平,逐步将政务外网的安全状况达到符合国家政务外网等级保护三级的要求。
评测范围:1) 网络范围及节点:政务外网省级到地市广域骨干网、省级横向城域网(包含省级核心节点、省级汇聚节点和地市级节点);2) 政务外网网管系统;3) 与政务外网某网络系统相关的安全管理系统及安全防护的相关设备(如防火墙、IPS 、安全审计等)。
3.3 测评机构的选择
根据行业测评机构原则上在本行业内开展测评,地方测评机构原则上在本地开展测评的要求,从公安机关公布的《全国信息安全等级保护测评机构推荐目录》中选择国家级、省级等级保护工作协调(领导)小组办公室推荐,且熟悉电子政务的测评机构,并要求参加测评
的工程师具备公安部信息安全等级保护评估中心认定的信息安全等级中、高级资质测评师资质。
3.4 测评内容与方法
政务外网等级保护的重点是广域网和各级城域网。定级的对象是网络与安全系统、网管系统、安全管理中心(SOC)等。本次测评选择的对象为机房、网络互连设备、安全设备、安全管理系统等。根据信息系统安全等级保护测评准则,现场测评的方法包括检查、访谈和测试等三类,各种测评方法各有优势,各有侧重点,本次测评综合使用了三类测评方法。
访谈是测评人员通过与信息系统有关人员(个人/群体)进行交流、讨论等活动,获取证据以证明信息系统安全等级保护措施是否有效的一种方法;检查不同于行政执法意义上的监督检查,是指测评人员通过对测评对象进行观察、查验、分析等活动,获取证据以证明信息系统安全等级保护措施是否有效的一种方法;测试是测评人员通过对测评对象按照预定的方法/工具使其产生特定的行为等活动,查看、分析输出结果,获取证据以证明信息系统安全等级保护措施是否有效的一种方法。
配置核查列表用于人工评估系统存在的各种安全弱点/脆弱性,它针对不同的系统列出待评估的条目,以保证人工评估结果数据的完备性。自动化测试工具自动检测系统存在的脆弱性,具有效率高、准确快速的特点。
具体的测评内容分为物理安全、网络安全、主机系统安全、数据安全、应用安全、安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等几个方面。
3.5 骨干网络系统漏洞测试
电子政务外网存在不同的安全域,不同级别的安全域之间对外暴露的安全漏洞不同,测试不同安全域之间暴露的漏洞是必要的。为了测试政务外网某网络系统骨干网络的漏洞,需进行渗透性测试,在相同安全域之间、低安全域向高安全域、高安全域向低安全域之间进行漏洞暴露情况测试,设计了如下的测试路径:
在地市A节点扫描其他地市B节点网络互联设备,能够检验相同级别不同安全域间的网络设备漏洞暴露情况。
在地市C节点对省级核心网络设备D节点进行扫描是从较低级安全域向高等级安全域设备进行扫描,能够检验核心层设备对外部攻击的防护能力。
在省级核心骨干设备E节点对地市节点F进行扫描是在核心层直接测试各被测网络设备对核心网络暴露的安全漏洞情况。该点扫描探测出的漏洞数应该是最多的,它说明网络设备在没有网络安全保护措施下的安全状况。
3.7 安全整改与备案
通过现场评估、风险分析、编写评估报告阶段,测评机构应提供了初步的测评报告。安全整改是一个循序渐进的过程,不可能一次就完成所有安全漏洞的修补与系统的加固,根据初步的测评报告与安全整改建议,可以对网络与安全系统配置漏洞、主机系统配置漏洞,操作系统漏洞、数据库系统漏洞、安全管理制度方面的问题进行了安全整改,并多次要求测评机构进行安全整改效果的评估,检验安全整改是否达到了预期的目标。经过多次安全整改与检验后,完成《XX政务外网某网络系统等级保护测评报告》及《XX政务外网某网络系统等级保护测评安全建议》,等级保护测评项目通过专家组验收后,将测评报告报属地公安机关备案。
参考文献:
[1] 国家电子政务外网管理中心. 国家电子政务外网安全等级保护实施指南( 试行),2013.
[2] 国家电子政务外网管理中心. 关于加快推进国家电子政务外网安全等级保护工作的通知(政务外网[2011]15号),2011.
[3] 郭启全. 国家信息安全等级保护制度的主要内容和要求,http://wenku.baidu.com/view/5a4ef8c54028915f804dc279.html,2013.
作者:蔡昌许 蔡昌曙
等级保护技术下信息安全论文 篇3:
移动互联网信息系统的等级保护测评研究
摘 要:移动智能终端的出现在给广大移动互联网受众带来方便快捷的使用体验的同时,也为移动互联网信息系统的等级保护工作带来了新的挑战。当前阶段,移动互联网信息系统的等级保护测评工作还未将移动智能终端所带来的威胁列入测评范畴。文章从现阶段移动互联网信息系统的等级保护测评实况出发,简要阐述几点新的测评方法与建议。
关键词:移动互联网;信息系统;等级保护
现阶段,移动互联网所采用的信息系统的等级保护测评机制还是沿用常规的信息等级保护测评方式,比如在测评主机安全性的时候仅关注PC操作系统以及数据库的配置安全问题,测评网络安全时也只关注使用PC客户端进行访问业务过程中出现的访问控制以及数据传输的安全问题等。当前阶段,移动互联网信息系统的等级保护测评应该从网络安全、应用软件安全、数据库安全以及终端安全等多个角度综合进行。
1 移动互联网信息系统简要概述
移动互联网信息系统实际上指的是一套建立在手机、iPad等便携化终端设备上,作为信息载体进行信息存储与传输的移动化信息系统,将无线网络、手机设备以及办公系统进行有效结合,在一定程度上可以实现任何时间与任何地点的办公,大大提高了人们的工作效率。在通过移动终端进行互联网访问的过程中,可以将移动互联网信息系统的访问流程划分为不同的区域,其中包括移动智能用户终端区域、互联网运营商传输区域、内外网接入区域以及业务内网服务区域等。除此之外,在进行移动终端内网业务访问的过程中还需要针对信息系统内的身份鉴别功能、数据保密功能、内网接入控制、网站边界防护等对用户可能会产生威胁的拓扑位置进行严格的等级保护测评[1]。
2 移动互联网信息系统与传统互联网信息系统的等级保护区别
在移动互联网的信息系统运行过程中,移动终端最先通过建立无线接入通道实现与网络运营商的链接,然后再通过该通道与企业内部网站的访问业务系统的服务端进行链接,在整个过程中涉及很多信息安全问题,其中包括移动网络终端的安全认证问题、访问用户的身份认证问题、在访问过程中的数据存储与数据传输安全问题以及进行终端移动的用户权限问题等。这些问题一般来说不会出现在传统的互联网信息系统的等级保护过程中。因此,移动互联网信息系统与传统互联网信息系统的等级保护领域实际上是在不断扩张的,并且针对不同的信息系统层级也会有不同的等级保护测评体系。
3 提高移动互联网信息系统等级保护测评质量的策略研究
3.1 加强对移动互联网信息系统中软件安全的等级保护测评
对于移动互联网信息系统来说,一般系统内部的软件架构会包含几个不同的层面:信息接入层、信息展现层、信息应用层、基础技术支撑层、运行环境层等。首先,针对信息接入层来说,该层面是由移动互联网用户和信息系统搭建的介入媒体双方所共同构成的,具体到该层面的实际业务方面实际上就是一个访问入口,对于该层面的安全等级保护需要从减少入口的攻击性入手,即最大限度地降低接入口对整个软件系统的威胁。一般来说,可以通过在接入口与出入口等比较关键的核心层面建立可信机制,对于部分非指定接口应该严格控制其访问权限。其次,是信息展现层,顾名思义就是进行信息内容展示的区域,针对该层面的等级保护,最核心的一点就是确保信息系统所展示信息的准确性与完成性,在处理测评的过程中主要测评信息内容是否存在被随意篡改的风险。再次,信息应用层是移动互联网信息信息系统中进行数据信息处理的核心部分,也是移动互联网信息系统等级保护的主要测评部分。从次,基础技术支撑层主要指的是利用互联网技术通用的各类组件、用户管理与服务以及组建交换等常用的应用服务,针对该层面的安全等级保护可以从系统组建自身的稳定性与安全性入手,加强不同组件链接口之间的安全性。最后,针对信息运行环境层来说,所面临的最主要的安全问题在于恶意代码、物理攻击以及软件或者硬件之间的故障方面,应该采取的主要措施就是增强对移动互联网信息系统的综合管理与安全测评[2]。
移动互联网信息系统软件中经常出现的“黑客”攻击,作为一种威胁极大的互联网信息系统安全隐患,在处理该类问题时,要在建立合理科学的等级保护制度的基础上,在不同类型的软件信息中心做好可以24小时监控预测的预警防护机制,包括网站防护、云端防护以及实时预警等安全保护措施,并且针对可能出现的危险事故,尽量提前做好安全措施与应急预案。相关人员也应该增强对移动互联网信息系统的维护工作,尽量缩短维护、排查工作间隔,从而最大限度地提升移动互联网信息系统的安全性。另一方面,还可以通过滚动排查和抽样排查的方式,及时发现软件信息系统中存在的安全漏洞,最大限度地避免信息篡改、病毒入侵以及暗链等问题的出现。除此之外,针对没有严格按照规定贯彻落实集约化与规范化管理的网络信息系统,也必须坚持做好24小时的监控预测与报警机制,并进行实时保护,在出现系统漏洞的第一时间就通过后台系统进行修复。相关人员也应该对后台系统进行升级维护,从而提升后台系统所能够应对的漏洞等级。也应该完善专人负责制度,安排专业人员进行日常维护,当后台系统所出现的漏洞无法凭借系统内部的维修系统处理时,相关人员就应该立即介入,防止出现系统崩溃现象。通过这种方式,一方面有利于提高移动互联网软件信息系统的安全防护,另一方面也有利于提高移动互联网信息系统等级保护测评的效率与质量,从而使相关人员更高效地处理信息,方便人们的工作和生活。
3.2 加强相关人员对移动互联网信息系统等级保护测评的重视
移动互联网信息系统的安全等级保护工作主要包括5个方面,分别为安全等级保护定级、等级保护备案、等级保护安全建设、信息整改与安全测评以及信息安全性检查。当前阶段,在进行移动互联网信息系统的安全等级保护测评过程中,具有测评机制的应该是由公安部授权过的具有安全资质的第三方信息机构,该机构可以为各大小企业单位与事业单位提供专业化的信息安全等级保护测评以及等级保护咨询服务。因此,作为测评机构,在单位内部要加强对信息系统安全等级保护与测评工作的重视,通过与运营维护企业之间建立密切配合关系,派遣专人专项负责等措施,贯彻落实各项移动互联网信息系统等级保护测评机制,并在主管公安部门的监督与指导下,以最优等级的保护措施与测评工作,确保移动互联网信息系统的安全、顺畅运行。与此同时,还要加强对移动互联网信息系统的日常密码维护,严格按照相关规定去定期修改密码、进行密码维护。从一定程度上来讲,密码维护也是一项十分关键的信息系统安全管理措施,通过定期的维护与测评可以有效提高移动互联网信息系统的安全性与稳定性,也可以有效降低系统与服务器被恶意攻击的可能性。相关人员必须要端正对移动互联网信息系统等级保护测评的重视态度,才能采取有效措施对移动互联网信息系统进行分等级保护,从而提升移动互联网信息系统的安全性与不可攻击性。只有提升相关工作人员对安全等级保护的重视程度,才能在此基础上开展等级保护备案、等级保护安全建设、信息整改、安全测评以及信息安全性检查工作。
为了加强相关工作人员对移动互联网信息系统等级保护测评的重视,可以从加大对计算机相关安全系统与安全保护条例等相关政策制度的宣传教育入手,切实做到对相关工作人员意识普及与职业素养的培训,帮助相关人员认识到互联网信息系统安全等级保护与保护测评的重要性,从而帮助其端正自己的工作态度,恪尽职守。其中不仅包括对相关信息安全等级保护规章制度的强化学习,还要针对移动互联网信息系统等级保护测评要求与工作流程的严格化与规范化培训,切实将信息系统安全保护工作贯彻落实到每一个细节。一方面要确保移动互联网信息系统的正常高效运转,另一方面还要促进信息系统等级保护测评工作的不断创新。此外,公安部门也要通过各种类型的宣传与引导活动,针对信息系统的安全问题及时作出科普,比如可以通过定期开展互联网信息安全讲座、分发移动互联网宣传手册等方式,在潜移默化中加强人们对移动互联网信息系统安全保护的认识,必要时可以将法律作为武器惩戒各类破坏移动互联网信息系统安全的违法行为。
4 结语
移动互联网信息系统等级保护无论是对于广大用户来说还是对于整个行业的正常运行来说都至关重要,它既影响着企业于用户的正常工作與生活,也间接影响着移动互联网信息技术的长远发展。因此,针对移动互联网信息系统的等级保护以及等级保护测评不容小觑,需要相关部门与相关工作人员从强化信息系统安全保护意识与等级测评意意识入手,以维护移动互联网信息系统软件安全、网络安全、数据库安全以及终端设备安全为着力点,在切实确保移动互联网信息系统正常运行的同时,加大对移动互联网信息系统等级保护测评机制的不断健全与完善。
[参考文献]
[1]马帅.等级保护设计要求下的移动业务系统安全防御体系[J].保密科学技术,2012(1):24-28.
[2]冯志杰,李红双.智能终端安全防护体系设计[J].电信工程技术与标准化,2013(2):18-22.
作者:陈宗明 余福生
相关文章:
安全技术保护措施01-06
超高压输电公司“反事故措施及安全技术劳动保护措施”管理办法01-06
保护学生安全制度01-06
自身安全保护措施01-06
网络安全技术保护措施01-06
系统安全保护等级01-06
设施安全保护协议01-06
做好安全保护工作01-06
安全保护系统分析论文01-06
学奥数之路作文01-06
