基于等級(jí)保護(hù)的財(cái)政信息系統(tǒng)安全建設(shè)探討

古先濤

摘 要

建設(shè)財(cái)政信息的安全系統(tǒng)是財(cái)政管理改革發(fā)展中的要求。當(dāng)下財(cái)政信息化的應(yīng)用在全國各地的財(cái)政系統(tǒng)中正逐漸深入，覆蓋了各級(jí)財(cái)政部門和面向社會(huì)公眾的財(cái)政信息系統(tǒng)。可以說財(cái)政信息系統(tǒng)是各級(jí)財(cái)政系統(tǒng)進(jìn)行信息共享的平臺(tái)，目前由于大量需要保護(hù)的數(shù)據(jù)和信息存儲(chǔ)在財(cái)政信息系統(tǒng)中，所以對(duì)系統(tǒng)中運(yùn)行的安全保障提出了更高的要求。

【關(guān)鍵詞】等級(jí)保護(hù) 財(cái)政信息系統(tǒng) 信息安全

在財(cái)政信息系統(tǒng)安全建設(shè)的過程中，由于系統(tǒng)復(fù)雜、數(shù)據(jù)安全的屬性要求存在著差異，導(dǎo)致系統(tǒng)在不同程度上存在一定的脆弱性；在系統(tǒng)安全的規(guī)劃和設(shè)計(jì)中由于對(duì)策略認(rèn)識(shí)不夠，以致風(fēng)險(xiǎn)延續(xù)到信息系統(tǒng)的運(yùn)行和維護(hù)管理階段。文章從我國信息安全等級(jí)體系的規(guī)范和標(biāo)準(zhǔn)著眼，對(duì)財(cái)政信息系統(tǒng)的安全保護(hù)等級(jí)模型進(jìn)行了分析，并提出了進(jìn)一步完善財(cái)政信息系統(tǒng)安全的措施。

1 信息安全的保護(hù)等級(jí)及其基本流程

目前信息安全技術(shù)和管理水平在不斷地提升和發(fā)展，人們逐漸意識(shí)到要想保障信息系統(tǒng)的安全，就要不斷完善信息安全管理和技術(shù)體系，構(gòu)建完整的信息系統(tǒng)，并且為了把信息和信息系統(tǒng)的殘留風(fēng)險(xiǎn)降低到最小級(jí)別，就要提高信息安全應(yīng)急處置的能力。由于當(dāng)前不同的信息和信息系統(tǒng)，對(duì)其安全級(jí)別的要求也不盡相同，應(yīng)將管理策略、技術(shù)、工程過程等多個(gè)方面相結(jié)合，同時(shí)進(jìn)行客觀的綜合考慮，對(duì)信息系統(tǒng)的安全分類需要充分運(yùn)用信息安全等級(jí)保護(hù)的思想和方式。

1.1 信息系統(tǒng)安全保護(hù)等級(jí)

信息系統(tǒng)安全保護(hù)等級(jí)在《信息安全技術(shù)——信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中劃分為五個(gè)等級(jí)，信息系統(tǒng)安全保護(hù)等級(jí)的第一級(jí)是用戶自主保護(hù)等級(jí)，用戶可根據(jù)自主訪問控制、身份鑒別和數(shù)據(jù)的完整性這三個(gè)條款進(jìn)行判斷；第二級(jí)是系統(tǒng)審計(jì)保護(hù)級(jí)，在第一級(jí)的基礎(chǔ)上增加了兩個(gè)條款，分別是客體重用和審計(jì)；第三級(jí)是安全標(biāo)記保護(hù)級(jí)，在第二級(jí)的基礎(chǔ)上增加了強(qiáng)制訪問控制、標(biāo)記等條款；第四級(jí)是結(jié)構(gòu)化保護(hù)級(jí)，在第三級(jí)的基礎(chǔ)上增加了可信路徑和隱蔽信道分析；第五級(jí)是訪問驗(yàn)證保護(hù)級(jí)，在第四級(jí)的基礎(chǔ)上增加了可信恢復(fù)條款。這五個(gè)等級(jí)的基本內(nèi)容以信息安全的屬性為主，即網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、物理安全以及管理安全等五個(gè)方面，根據(jù)其不同要求，對(duì)安全信息系統(tǒng)的構(gòu)建、測(cè)評(píng)和運(yùn)行過程進(jìn)行管理和掌控，進(jìn)而實(shí)現(xiàn)對(duì)不同信息的類別按照不同的要求進(jìn)行等級(jí)安全保護(hù)的目標(biāo)，盡管不同等級(jí)的條款中有些內(nèi)容是相似的，但在一定程度上仍然存在著差異，安全保護(hù)能力的要求會(huì)隨著保護(hù)等級(jí)的提升而逐漸增強(qiáng)。

1.2 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施的流程

信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施的基本流程包括五個(gè)階段，分別是定級(jí)階段、備案階段、測(cè)評(píng)階段、整改階段、運(yùn)行和維護(hù)階段。其中等級(jí)保護(hù)工作的基本前提是系統(tǒng)劃分和定級(jí)工作，定級(jí)工作必須要首先確定，否則后面的工作將會(huì)無從做起；備案階段中，當(dāng)專家評(píng)審與自定級(jí)不同時(shí)，要重新定級(jí)，才能夠進(jìn)行備案工作；測(cè)評(píng)階段中指定的第三方測(cè)評(píng)機(jī)構(gòu)必須是權(quán)威機(jī)構(gòu)，需要公正公平地對(duì)系統(tǒng)進(jìn)行測(cè)評(píng)；整改和復(fù)測(cè)階段中對(duì)于整改的項(xiàng)目要通過等級(jí)保護(hù)測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估的方法進(jìn)行分析。等級(jí)保護(hù)工作要隨著信息系統(tǒng)建設(shè)的變化和發(fā)展而做出不斷循環(huán)的工作。

2 財(cái)政信息系統(tǒng)的等級(jí)保護(hù)

2.1 財(cái)政信息系統(tǒng)安全的架構(gòu)

在財(cái)政信息系統(tǒng)安全的架構(gòu)模式中，既包含計(jì)算機(jī)網(wǎng)絡(luò)通信和環(huán)境平臺(tái)、又有多種相關(guān)的業(yè)務(wù)平臺(tái)，并且這些應(yīng)用的安全等級(jí)各不相同，所以采取的安全保護(hù)策略也有所不同。財(cái)政信息系統(tǒng)規(guī)模大、系統(tǒng)復(fù)雜，按照系統(tǒng)的功能可以分為核心數(shù)據(jù)中心、采購管理、預(yù)算管理、業(yè)務(wù)門戶網(wǎng)站等多個(gè)子系統(tǒng)，要按照業(yè)務(wù)應(yīng)用數(shù)據(jù)的不同性質(zhì)進(jìn)行不同安全等級(jí)的保護(hù)。總之要根據(jù)財(cái)政信息系統(tǒng)的實(shí)際情況，構(gòu)建一個(gè)相對(duì)完善的財(cái)政信息系統(tǒng)模型。

2.2 財(cái)政信息系統(tǒng)安全的等級(jí)區(qū)域的劃分

財(cái)政信息系統(tǒng)安全等級(jí)保護(hù)要根據(jù)系統(tǒng)的特點(diǎn)和性質(zhì)進(jìn)行不同區(qū)域的安全劃分，以實(shí)現(xiàn)不同強(qiáng)度下的安全保護(hù)。針對(duì)財(cái)政信息系統(tǒng)中不同子系統(tǒng)的實(shí)際情況，可以將財(cái)政信息網(wǎng)絡(luò)劃分為不同的安全保密等級(jí)區(qū)域，分別為業(yè)務(wù)核心區(qū)，辦公用戶區(qū)域、專線用戶區(qū)域、內(nèi)部網(wǎng)與互聯(lián)網(wǎng)信息交換的區(qū)域等。

3 財(cái)政信息系統(tǒng)的等級(jí)的保護(hù)措施

在財(cái)政信息系統(tǒng)安全等級(jí)保護(hù)的建設(shè)工作中，目前采取內(nèi)網(wǎng)與外網(wǎng)物理隔離的方式，從物理上把財(cái)政業(yè)務(wù)中各個(gè)子系統(tǒng)與對(duì)外服務(wù)區(qū)進(jìn)行劃分，分別劃分到不同的子網(wǎng)，在財(cái)政業(yè)務(wù)的防火墻上可以設(shè)置權(quán)限為允許的策略，源地址是內(nèi)部桌面，目的地址是業(yè)務(wù)服務(wù)器，對(duì)于其他服務(wù)的子系統(tǒng)，同樣需要防火墻進(jìn)行隔離，使各子系統(tǒng)都有充分的隔離和清晰的界限，同時(shí)可以配置漏洞掃描設(shè)備的檢測(cè)設(shè)備，不定期對(duì)各個(gè)服務(wù)器進(jìn)行掃描。

數(shù)據(jù)備份能夠進(jìn)一步保障財(cái)政信息系統(tǒng)的安全，在財(cái)政信息系統(tǒng)應(yīng)用中需要配備存儲(chǔ)備份設(shè)備以實(shí)現(xiàn)數(shù)據(jù)自動(dòng)備份，一旦系統(tǒng)出現(xiàn)故障，通過數(shù)據(jù)備份即可恢復(fù)。為了進(jìn)一步支持財(cái)政信息系統(tǒng)的穩(wěn)步運(yùn)行，可建立一個(gè)異地財(cái)政信息數(shù)據(jù)備份中心，以防財(cái)政信息系統(tǒng)發(fā)生災(zāi)難性故障時(shí)實(shí)現(xiàn)異地遠(yuǎn)程恢復(fù)的功能。

在財(cái)政信息系統(tǒng)安全保障體系建立的過程中，要嚴(yán)格依照等級(jí)保護(hù)下的安全管理制度、系統(tǒng)建設(shè)制度和相關(guān)財(cái)政系信息管理的法律及標(biāo)準(zhǔn)，在建立完善的網(wǎng)絡(luò)安全管理機(jī)制的同時(shí)明確管理人員的職責(zé)。

4 結(jié)論

綜上所述，文章從我國信息安全等級(jí)體系的規(guī)范和標(biāo)準(zhǔn)著眼，對(duì)財(cái)政信息系統(tǒng)的安全保護(hù)等級(jí)模型進(jìn)行了分析，并提出了進(jìn)一步完善財(cái)政信息系統(tǒng)安全的有效措施。在財(cái)政信息建設(shè)的過程中，設(shè)計(jì)出一個(gè)科學(xué)合理、全面的信息安全解決方案是一個(gè)關(guān)鍵的任務(wù)，要從我國信息安全等級(jí)體系的規(guī)范和標(biāo)準(zhǔn)著眼，對(duì)財(cái)政信息系統(tǒng)安全保障的體系進(jìn)行深入的探討，以達(dá)到切實(shí)保護(hù)財(cái)政信息系統(tǒng)安全的目的。

參考文獻(xiàn)

[1]龔雷.應(yīng)用安全透明支撐平臺(tái)體系結(jié)構(gòu)與模型研究[D].鄭州：解放軍信息工程大學(xué)，2013.

[2]王會(huì).基于等級(jí)保護(hù)的黨校網(wǎng)絡(luò)安全體系的研究與應(yīng)用[D].廣州：中山大學(xué)，2012.

[3]劉莎莎.NN市委辦政務(wù)信息系統(tǒng)安全等級(jí)保護(hù)策略研究[D].南寧：廣西大學(xué)，2012.

[4]高朝勤.信息系統(tǒng)等級(jí)保護(hù)中的多級(jí)安全技術(shù)研究[D].北京：北京工業(yè)大學(xué)，2012.

作者單位

重慶市中冉信息產(chǎn)業(yè)有限公司 重慶市 400041endprint