【摘要】信息网络涉及到很多是敏感信息,包括个人的、企业的、社会的、甚至国家的机密。信息网络安全管理应全方位管理,包括信息系统的立项阶段,而这个阶段的安全管理往往是信息安全管理的实质性阶段,对以后的信息安全管理有引领作用。
【关键词】信息系统 立项 安全管理
随着信息技术的飞速发展,信息网络已经成为社会发展的重要保证。信息网络涉及到很多是敏感信息,包括个人的、企业的、社会的、甚至国家的机密。所以难免招致各种人为攻击,例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等。同时,网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面的考验。?信息网络安全管理应全方位管理,包括信息系统的立项阶段,而这个阶段的安全管理往往是信息安全管理的实质性阶段,对以后的信息安全管理有引领作用。
如何做好国有企业信息系统立项阶段的安全管理工作,对信息系统项目的建设、运行、管理和维护等等都起着关键作用。因此立项阶段的安全管理必须认真研究。
一、重视项目立项阶段信息系统等级保护定级工作。
1.根据《信息安全等级保护管理办法》规定,国家信息安全等级保护坚持自主定级、自主保护的原则开展信息系统等级保护定级工作。
首先国有企业信息系统业务主管部门确定信息系统等级保护级别、编制定级评审材料。新建信息系统在规划、可行性研究阶段必须确定安全保护等级,对未定级的信息系统,不予立项。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
其次项目主管部门根据等级保护级别组织制定安全方案。项目建设部门是承担信息系统需求分析、系统设计、开发实施和交付的单位,负责根据业务主管部门确定的信息安全需求和信息安全等级保护级别,进行安全方案总体设计。等级保护二级(含)以下信息系统的安全方案由信息处组织审查,报信息部备案;等级保护三级(含)以上信息系统安全方案由信息部组织审查。安全方案审查未通过,不予立项。
第三根据等级保护级别设计的系统安全方案应满足等保相关要求和业务安全需求,安全保护等级三级系统宜同步考虑灾备建设。
2.在信息安全技术等级定级指南中, 对于信息技术的重要性以及遭到破坏的危害性进行了详细的阐述, 从公共安全、社会利益、公民权益等几个方面, 将信息系统的安全等级划分为五个等级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。
二、必须注意项目立项阶段信息系统安全设计
一是收集整理归类安全需求分析:从网络威胁风险、业务风险、数据风险、安全合规要求等方面分析网络系统的安全需求。
二是确定信息项目安全总体架构:根据安全需求分析来构建安全总体架构,安全总体架构应包括安全管理、安全技术和安全服务。安全管理应包括策略、组织和标准规范。安全技术包括区域边界防护、网络通讯、安全计算环境等管理领域,覆盖网络、主机、应用、数据和终端等保护对象。安全服务应包括管理要求和技术规范的服务实现。
三是注意信息项目的区域边界安全:包括边界防护、访问控制、入侵防范、网络架构、恶意代码防范、集中管控。
四是重视信息项目网络通讯安全:包括通讯安全审计、数据传输完整性、数据传输保密性等。
五是注意安全计算环境:包括物理环境、主机安全、应用和数据安全、安全审计等。
六是做好安全服务:包括安全自查、漏洞扫描、渗透测试、安全整改、应急响应、代码安全、安全培训等。
七是重视安全管理:应编制建设相关的安全制度、流程、手册,并保证技术文件的保密性和完整性。
三、做好国有企业信息系统立项过程中的安全集成
国有企业信息系统立项过程中的安全建设应优先考虑与已有安全服务设施集成。
还需要重视用户身份管理和认证,主要包括:内部用户身份管理和认证应使用集团统一的身份管理系统功能。
注意安全日志管理,主要包括:网络日志、主机日志、应用日志、业务日志等的收集、分析、展现应使用安全管控平台SMCC系统功能。
理清数字证书和电子签章的应用,主要包括:电子文档完整性、抗抵赖保护等应使用中国石化CA系统签发的数字证书和电子签章。
做好文档加密,主要包括:电子文档加密与外发控制。
完善灾难备份,主要包括:数据级和系统级备份。
注重互联网应用安全,主要包括:面向互联网的应用应部署在总部或区域中心规划的互联网发布区域,使用统一的IPS/IDS、Web防火墙、网站监控等网络安全防护实施。
四、国有企业信息系统立项要有统一的安全产品
安全产品应优先选用集团框架协议产品或者已用的安全产品,非框架协议内的新购安全类产品应确定安全指标并进行产品选型测试。
安全产品配置应包括类型、参数和技术指标等信息。
5、国有企业信息系统立项需要有良好的安全审核机制。主要包括应建立代码安全检查审核机制,制定代码安全检查计划,重要版本更新应经过代码安全评测。
信息化项目投资中须保证配套的信息安全建设资金,用于信息安全基础设施建设、信息安全专项建设、应用系统的信息安全配套建设、信息安全上线检查及测评等工作。
【参考文献】
甘利杰;孔令信;马亚军.大学计算机基础教程:重庆大学出版社,2017.08