國有企業信息系統立項階段的安全管理研究

發布時間：2020-09-17所屬分類：計算機職稱論文瀏覽：1次

摘 要： 【摘要】信息網絡涉及到很多是敏感信息，包括個人的、企業的、社會的、甚至國家的機密。信息網絡安全管理應全方位管理，包括信息系統的立項階段，而這個階段的安全管理往往是信息安全管理的實質性階段，對以后的信息安全管理有引領作用。 【關鍵詞】信息系統

　　【摘要】信息網絡涉及到很多是敏感信息，包括個人的、企業的、社會的、甚至國家的機密。信息網絡安全管理應全方位管理，包括信息系統的立項階段，而這個階段的安全管理往往是信息安全管理的實質性階段，對以后的信息安全管理有引領作用。

　　【關鍵詞】信息系統 立項 安全管理

　　隨著信息技術的飛速發展，信息網絡已經成為社會發展的重要保證。信息網絡涉及到很多是敏感信息，包括個人的、企業的、社會的、甚至國家的機密。所以難免招致各種人為攻擊，例如信息泄漏、信息竊取、數據篡改、數據刪添、計算機病毒等。同時，網絡實體還要經受諸如水災、火災、地震、電磁輻射等方面的考驗。 信息網絡安全管理應全方位管理，包括信息系統的立項階段，而這個階段的安全管理往往是信息安全管理的實質性階段，對以后的信息安全管理有引領作用。

　　如何做好國有企業信息系統立項階段的安全管理工作，對信息系統項目的建設、運行、管理和維護等等都起著關鍵作用。因此立項階段的安全管理必須認真研究。

　　重視項目立項階段信息系統等級保護定級工作。

　　1.根據《信息安全等級保護管理辦法》規定，國家信息安全等級保護堅持自主定級、自主保護的原則開展信息系統等級保護定級工作。

　　首先國有企業信息系統業務主管部門確定信息系統等級保護級別、編制定級評審材料。新建信息系統在規劃、可行性研究階段必須確定安全保護等級，對未定級的信息系統，不予立項。信息系統的安全保護等級應當根據信息系統在國家安全、經濟建設、社會生活中的重要程度，信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。

　　其次項目主管部門根據等級保護級別組織制定安全方案。項目建設部門是承擔信息系統需求分析、系統設計、開發實施和交付的單位，負責根據業務主管部門確定的信息安全需求和信息安全等級保護級別，進行安全方案總體設計。等級保護二級(含)以下信息系統的安全方案由信息處組織審查，報信息部備案;等級保護三級(含)以上信息系統安全方案由信息部組織審查。安全方案審查未通過，不予立項。

　　第三根據等級保護級別設計的系統安全方案應滿足等保相關要求和業務安全需求，安全保護等級三級系統宜同步考慮災備建設。

　　2.在信息安全技術等級定級指南中, 對于信息技術的重要性以及遭到破壞的危害性進行了詳細的闡述, 從公共安全、社會利益、公民權益等幾個方面, 將信息系統的安全等級劃分為五個等級:

　　第一級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。第一級信息系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護。

　　第二級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。國家信息安全監管部門對該級信息系統安全等級保護工作進行指導。

　　第三級，信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行監督、檢查。

　　相關期刊推薦：《數字通信世界》全面報道我國數字通信產業整個領域，專注產業和技術信息，以“報道先進技術，宣傳名牌產品”為特色，內容覆蓋了與數字應用相關的所有領域，著力把握產業市場的脈搏，關注企業的創新變革，注重技術和產品的報道，幫助企業級用戶進行基礎構建和應用，以推動各行業的信息化進程。

　　第四級，信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行強制監督、檢查。

　　第五級，信息系統受到破壞后，會對國家安全造成特別嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行專門監督、檢查。

　　二、必須注意項目立項階段信息系統安全設計

　　一是收集整理歸類安全需求分析：從網絡威脅風險、業務風險、數據風險、安全合規要求等方面分析網絡系統的安全需求。

　　二是確定信息項目安全總體架構：根據安全需求分析來構建安全總體架構，安全總體架構應包括安全管理、安全技術和安全服務。安全管理應包括策略、組織和標準規范。安全技術包括區域邊界防護、網絡通訊、安全計算環境等管理領域，覆蓋網絡、主機、應用、數據和終端等保護對象。安全服務應包括管理要求和技術規范的服務實現。

　　三是注意信息項目的區域邊界安全：包括邊界防護、訪問控制、入侵防范、網絡架構、惡意代碼防范、集中管控。

　　四是重視信息項目網絡通訊安全：包括通訊安全審計、數據傳輸完整性、數據傳輸保密性等。

　　五是注意安全計算環境：包括物理環境、主機安全、應用和數據安全、安全審計等。

　　六是做好安全服務：包括安全自查、漏洞掃描、滲透測試、安全整改、應急響應、代碼安全、安全培訓等。

　　七是重視安全管理：應編制建設相關的安全制度、流程、手冊，并保證技術文件的保密性和完整性。

　　三、做好國有企業信息系統立項過程中的安全集成

　　國有企業信息系統立項過程中的安全建設應優先考慮與已有安全服務設施集成。

　　還需要重視用戶身份管理和認證，主要包括：內部用戶身份管理和認證應使用集團統一的身份管理系統功能。

　　注意安全日志管理，主要包括：網絡日志、主機日志、應用日志、業務日志等的收集、分析、展現應使用安全管控平臺SMCC系統功能。

　　理清數字證書和電子簽章的應用，主要包括：電子文檔完整性、抗抵賴保護等應使用中國石化CA系統簽發的數字證書和電子簽章。

　　做好文檔加密，主要包括：電子文檔加密與外發控制。

　　完善災難備份，主要包括：數據級和系統級備份。

　　注重互聯網應用安全，主要包括：面向互聯網的應用應部署在總部或區域中心規劃的互聯網發布區域，使用統一的IPS/IDS、Web防火墻、網站監控等網絡安全防護實施。

　　四、國有企業信息系統立項要有統一的安全產品

　　安全產品應優先選用集團框架協議產品或者已用的安全產品，非框架協議內的新購安全類產品應確定安全指標并進行產品選型測試。

　　安全產品配置應包括類型、參數和技術指標等信息。

　　5、國有企業信息系統立項需要有良好的安全審核機制。主要包括應建立代碼安全檢查審核機制，制定代碼安全檢查計劃，重要版本更新應經過代碼安全評測。

　　信息化項目投資中須保證配套的信息安全建設資金，用于信息安全基礎設施建設、信息安全專項建設、應用系統的信息安全配套建設、信息安全上線檢查及測評等工作。——論文作者：陳德良