摘要:本文首先对信息化安全防护存在的问题进行分析,并以信息系统安全等级保护制度为指南,结合单位现状、需求和发展方向,提出了通过实现等级保护工作常态化,不断完善优化信息系统的运维管理机制。
关键词:等级保护;信息化安全防护;运维管理
1引言
现在随着企业发展越来越依赖信息化,信息化已成为各单位发展的重要技术支撑和必要工作手段,同时也是实现可持续化发展和提高竞争力的重要保障。然而在信息化带来便捷的同时, 网络与信息系统安全风险也在增加,尤其是移动互联网、物联网、云计算、大数据等新技术的应用带来了信息安全方面新的严峻挑战。与此同时,信息系统安全防护体系的防护水平仍处于较低水平,普遍存在防护基础设施薄弱、防护技术落后等问题,因此落后的安全防护与新技术快速应用之间的矛盾成为阻碍企业信息化发展的主要阻力之一。
2信息化安全防护关键问题分析
尽管信息化发展迅速,然而信息化建设却比较分散,由于缺乏顶层设计和总体策划,诸如不同建设时期、不同需求导向、不同开发工具、不同系统架构技术路线等建设而成的网络与信息系统形成了异构、复杂的系统状态,从而导致 “安全产品部署了一堆、安全制度制订了一批,安全问题和隐患却没有得到很好地改善”的现象,其主要表现在以下几个方面:
(1)基础环境及设施落后
计算机机房设施和网络系统布线不规范, 未按照《电子计算机机房设计规范》及其他相关设计标准中的有关要求建设,造成安全隐患。
(2)网络建设各自为政,利用率不高
经过多年信息化建设,单位内部构建了多个局域网,如信息专网、 视频专网等, 网络互不相连,自成体系,资源不能共享,网络结构复杂,难以有效管理,从而难以确保数据安全。
(3)各个网络之间缺乏有效数据交换手段
由于各个网络互不相连,网络之间需要经常进行数据交换,现在多数单位都采取使用移动存储介质或刻盘等方式来实现数据交换,缺乏有效方法进行监控审计,同时存在移动存储介质交叉使用现象,甚至部分用户为了方便,直接在各个网络终端使用无线网卡,这些都会造成严重信息安全隐患。
(4)缺乏终端安全防护措施,防病毒和防木马的意识薄弱
部分计算机终端的防病毒和防木马软件无法正常升级, 部分终端携带病毒和木马使用, 同时计算机中存储大量敏感文件,极易造成泄密等安全事件。
(5)缺乏完善的计算机入网监管手段
终端防护安全注重阻止外部入侵,缺乏入网监管手段,新增及外接设备未经过安全检查和处理接入内部网络,极易导致病毒传播、黑客入侵等不安全因素的产生。
(6)安全产品之间的缺乏兼容联动
信息化发展越来越快,应用复杂度也越来越高。目前许多安全产品的防护力度只侧重网络层的防护,且功能单一、缺乏兼容联动,难以检测各种复杂的信息安全事件,无法保障信息系统的安全运行。
信息化建设随着需求的改变不断变更,信息化安全也是一个动态的体系,如何在现有复杂异构的信息系统中建立一个涵盖信息化各层面的安全防护体系,及时有效的保障当前的信息化安全是亟待解决的难题。
3信息化安全防护体系优化
信息化安全防护体系,是由信息系统、信息安全技术、人、管理、操作等元素有机结合,能够对信息系统进行综合防护,保障信息系统安全可靠运行,保障信息的“保密性、完整性、可用性、可控性、抗抵赖性”。传统的信息化安全防护只限于技术防护手段上,普遍重技术、轻管理,甚至有的单位还存在以事故推动的现象。本文以信息系统安全等级保护制度为指南,结合单位现状、需求和主营业务发展方向,提出优化安全防护体系,通过常态化的等级保护制度,不断完善优化运维管理机制。
信息等级保护根据各行业信息系统的重要性和危害性按等级进行划分,并进行差异化等级管理,从技术和管理两个方面提出了各个级别的信息系统应当具备的安全保护能力和具体的措施要求。其中技术部分说明在信息安全保护过程中要采取的安全技术措施,使系统具备对抗外来威胁和受到破坏后自我修复的能力,主要涉及到物理、网络、主机、应用安全和数据恢复功能等技术的应用。管理部分主要说明在信息系统的全部运行环节中对各运行环节采取控制措施,对制度、政策、人员和机构都提出要求,涉及到安全保护等级管理、工程建设管理、系统的运行与维护管理以及应急预案管理等管理环节。
根据安全等级保护要求以及安全体系特点,从人员、物理设施、安全技术、管理制度四个方面建立一套适合自身建设规范与信息化安全管理规范的安全防护体系。
与此同时,保障信息安全与信息化建设相适应,只有不间断的信息化投入(包括知识技术、专业人才、专项资金等),才能实现持续、有效的信息化安全防护。信息化安全防护是一项不断发展变化的过程,只有充分熟悉信息安全等级保护制度的基础,对系统正确的定级,准确的风险评估,才能实现信息系统安全持续的建设和运维。
结语
本文简要介绍了现有信息化安全防护存在的问题,并以信息系统安全等级保护制度为指南,结合单位现状、需求和主营业务发展方向,提出优化安全防护体系,通过常态化的等级保护制度,不断完善优化运维管理机制,保障信息安全资源的最优利用,最大可能实现重要业务的可连续性。
参考文献
[1] 徐 锐.浅谈金融业信息系统等级保护工作的常态化[J]. 网络安全技术与应用 2014(1):179-180.
[2] 廖 渊. 等级保护制度构建银行信息安全防线[J]. 金融电子化. 2013 (10):63-64.
[3] 张 原,刘 颖. 信息安全等级保护的安全技术分析[J]. 电子测试,2014(16):242-243.
[4] 侯继江.中国电信网络安全防护工作开展思路及经验总结[J]. 《电信网技术》2011 3(03): 19-24.
[5] 黎春武,巫建文. 基于等级保护的信息系统综合监控及评估系统设计[J]. 信息网络安全.2012 (05):92-95.