信息安全等級保護(hù)制度在信息系統(tǒng)建設(shè)中的應(yīng)用分析

鄭紹林

（貴州亨達(dá)集團(tuán)信息安全技術(shù)有限公司，貴州 貴陽 550001）

0 引言

隨著電子化、信息化、網(wǎng)絡(luò)化應(yīng)用的不斷深入，信息安全事件的發(fā)生概率也在急劇增加，這也使得人們越來越注重對信息安全的保護(hù)。但要徹底落實(shí)信息安全保護(hù)工作，使其達(dá)到預(yù)期效果，就必須與信息安全等級保護(hù)制度充分地結(jié)合起來，并確保其能夠發(fā)揮作用。對于相關(guān)職能單位和部門來說，通過建立和落實(shí)信息安全等級保護(hù)制度，使其發(fā)揮應(yīng)有的作用，必然能夠在信息安全工作中發(fā)揮更大的價(jià)值。尤其是在計(jì)算機(jī)網(wǎng)絡(luò)搭建前期，信息安全等級保護(hù)制度就應(yīng)當(dāng)被充分地應(yīng)用和落實(shí)，從而在應(yīng)對信息安全時(shí)能夠有應(yīng)對之策。

1 關(guān)于信息安全等級保護(hù)制度的概述

1.1 信息安全

信息安全等級保護(hù)是一個國家對于信息安全保障所執(zhí)行并應(yīng)用的基礎(chǔ)操作制度，等級保護(hù)工作包括了定級、等級差距之間的分析、安全規(guī)范建設(shè)、整改以及后續(xù)的等級評測等工作內(nèi)容[1]。

1.2 定級

定級是開展等級保護(hù)工作的基礎(chǔ)性工作，依照信息安全等級保護(hù)制度的相關(guān)文件進(jìn)行落實(shí)。結(jié)合不同的客戶組織架構(gòu)、業(yè)務(wù)應(yīng)用需求以及信息的統(tǒng)計(jì)方式等情況，對其信息內(nèi)容進(jìn)行進(jìn)一步的層級劃分，從而制定出符合自身行業(yè)發(fā)展需求和特點(diǎn)的定級方式。

1.3 整改

完成定級工作之后，需要結(jié)合相關(guān)規(guī)定和內(nèi)容進(jìn)行規(guī)范和整改。對定級內(nèi)容進(jìn)行風(fēng)險(xiǎn)評估并進(jìn)行等級差距的保護(hù)分析，使方案更加優(yōu)化，確保定級方案能夠符合國家等級保護(hù)工作的基礎(chǔ)要求。所有的工作內(nèi)容都是建立在以信息數(shù)據(jù)應(yīng)用需求、信息評估以及安全風(fēng)險(xiǎn)評估的基礎(chǔ)上進(jìn)行的。

1.4 等級保護(hù)

等級保護(hù)工作不僅需要投入大量的人力、物力和資源，同時(shí)還需要從整體角度出發(fā)，對信息進(jìn)行全面的評測、咨詢、檢查等[2]。從而促使用戶能夠盡快完成等級保護(hù)制度的建設(shè)和實(shí)施，提升用戶的信息應(yīng)用安全水平。完成上述各個階段的工作之后，還需要結(jié)合實(shí)際需求對等級保護(hù)進(jìn)行進(jìn)一步的優(yōu)化。

（1）定級備案。結(jié)合信息系統(tǒng)進(jìn)行劃分，然后結(jié)合信息內(nèi)容對信息內(nèi)容進(jìn)行價(jià)值確定，并確定相關(guān)的價(jià)值保護(hù)等級。

（2）差距分析。通過對數(shù)據(jù)信息的風(fēng)險(xiǎn)評估，我們要分析等級劃分與實(shí)際應(yīng)用過程中的安全目標(biāo)之間的等級差異，讓相關(guān)部門和單位能夠有的放矢地進(jìn)行整改和優(yōu)化，從而確保安全等級的信息管理更加強(qiáng)化和完善。如此才能夠確保單位自身的信息內(nèi)容得到更好的應(yīng)用。

（3）整改建議。單位結(jié)合評估的結(jié)果、信息系統(tǒng)所確認(rèn)之后的保護(hù)等級、相關(guān)的信息安全等級保護(hù)要求、對應(yīng)的各級別的信息等級技術(shù)、管理以及應(yīng)用維護(hù)等方面的具體要求，制定對應(yīng)的安全保障措施，從而讓安全等級保護(hù)整改內(nèi)容發(fā)揮最大的效益。

（4）整改實(shí)施。為用戶提供更加詳盡的信息等級保護(hù)建議，確保對于信息的保護(hù)等級能夠達(dá)到互聯(lián)網(wǎng)的應(yīng)用需求，并協(xié)助用戶進(jìn)行等級保護(hù)地管理工作，針對承建單位進(jìn)行監(jiān)理審查，確保其等級保護(hù)應(yīng)用符合相關(guān)設(shè)計(jì)要求。

（5）測評咨詢。在完成信息系統(tǒng)的升級和定級工作之后，經(jīng)過評測整改，需要對安全信息技術(shù)以及管理等各個層面的信息安全應(yīng)用進(jìn)行綜合驗(yàn)證和評測，確保安全等級的應(yīng)用要求與實(shí)際需求相符。

（6）檢查咨詢。在完成等級制定和整改工作之后，相關(guān)監(jiān)管部門需要對安全等級的技術(shù)應(yīng)用和管理工作的落實(shí)進(jìn)行細(xì)致的查驗(yàn)，企業(yè)必須提供對應(yīng)的數(shù)據(jù)資料并配合相關(guān)單位進(jìn)行實(shí)地檢查。

1.5 等級劃分

結(jié)合計(jì)算機(jī)信息系統(tǒng)現(xiàn)行的安全保護(hù)應(yīng)用方案來說，安全等級從中高低總共劃分為5級。當(dāng)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)遭到破壞時(shí)，其所帶來的破壞程度是可以依照等級進(jìn)行劃分的。從國家安全等級到公共安全到個人安全不同的角度進(jìn)行衡量，如果造成的危害和風(fēng)險(xiǎn)較大，則其等級劃分必然很高。比如，一個事業(yè)單位出現(xiàn)了計(jì)算機(jī)信息系統(tǒng)受損的情況，那么與之相關(guān)聯(lián)的公共利益也會受到影響，那么在等級定位時(shí)則會被定義為三級。但是現(xiàn)行的這種劃分方式和標(biāo)準(zhǔn)從實(shí)際應(yīng)用角度來看也是存在分歧和矛盾的，其中最關(guān)鍵的就是對影響的量化衡量存在著一定的難度。

1.6 工作原則

在相關(guān)工作進(jìn)行落實(shí)的過程中，需要結(jié)合實(shí)際情況進(jìn)行自主定級，但也要遵循這個原則，確保等級制度的有效落實(shí)。一些單位的計(jì)算機(jī)信息系統(tǒng)在建立之后，必須充分地對其安全性能進(jìn)行核查，了解單位內(nèi)部的信息應(yīng)用與公共利益以及組織權(quán)益之間的相互關(guān)系，然后依照信息安全等級保護(hù)制度來進(jìn)行等級劃分，并開展相應(yīng)的安全等級防護(hù)[3]。

1.7 監(jiān)督管理

結(jié)合目前現(xiàn)行的法律規(guī)范，目前從事安全網(wǎng)絡(luò)管理的相關(guān)工作主要是由網(wǎng)信部門負(fù)責(zé)，而具體開展業(yè)務(wù)的相關(guān)部門在進(jìn)行監(jiān)督和管理的過程中也不能忽視信息安全等級保護(hù)制度。

1.8 法律制度

目前我國在進(jìn)行網(wǎng)絡(luò)安全管理工作過程中主要的依據(jù)還是以信息安全等級保護(hù)制度為準(zhǔn)，在落實(shí)制度和定級的過程中仍延續(xù)著自主定級和自主保護(hù)的方針，但是如此行事并不代表就不需要承擔(dān)相應(yīng)的法律責(zé)任。國家已經(jīng)就目前的網(wǎng)絡(luò)應(yīng)用安全工作設(shè)立了《網(wǎng)絡(luò)安全法》，法案中表明網(wǎng)絡(luò)運(yùn)營者如果無法依照信息安全等級保護(hù)制度中的相關(guān)要求對網(wǎng)絡(luò)使用者的信息進(jìn)行保護(hù)就需要承擔(dān)對應(yīng)的責(zé)任，而相關(guān)職能部門也可以依照相關(guān)制度開展行政處罰工作。而在刑法修正案中也明確地指出：相關(guān)網(wǎng)絡(luò)服務(wù)供應(yīng)商如果無法依照網(wǎng)絡(luò)安全的相關(guān)條例來履行對應(yīng)的安全保障服務(wù)，對應(yīng)的監(jiān)管部門在要求其進(jìn)行整改后仍存在問題則需要承擔(dān)對應(yīng)的刑事責(zé)任[4]。

2 在計(jì)算機(jī)網(wǎng)絡(luò)中的搭建應(yīng)用

2.1 設(shè)立邊界

網(wǎng)絡(luò)環(huán)境中也是存在邊界的，通過邊界來控制訪問。在這里主要是依據(jù)網(wǎng)絡(luò)平臺通過對訪問控制來進(jìn)行邊界劃分。目前計(jì)算機(jī)網(wǎng)絡(luò)邊界主要分為三類，第一類是計(jì)算機(jī)網(wǎng)絡(luò)面向互聯(lián)網(wǎng)的邊界，第二類則是物理機(jī)間邊界，第三類就是虛擬機(jī)之間的邊界。如果要確保計(jì)算機(jī)的網(wǎng)絡(luò)系統(tǒng)能夠處于保護(hù)狀態(tài)中，對于互聯(lián)網(wǎng)中的邊界認(rèn)知是非常重要的工作，網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)分析的重要工作也主要是由邊界所構(gòu)成的，這就要求監(jiān)管工作必須得到有效落實(shí)。而從實(shí)際業(yè)務(wù)的使用需求出發(fā)，對于網(wǎng)絡(luò)上行、下行數(shù)據(jù)進(jìn)行訪問時(shí)必須結(jié)合相關(guān)的標(biāo)準(zhǔn)進(jìn)行，并確保網(wǎng)絡(luò)相關(guān)的模塊之間保持著一定的獨(dú)立性，才能夠提升應(yīng)用的安全性。在不同的網(wǎng)段中其安全等級也是各有差異的，這是由于所服務(wù)的對象不同，對于安全的需求也就變得有所區(qū)別[5]。所以從實(shí)際業(yè)務(wù)角度出發(fā)，來確保設(shè)備的各方面設(shè)置是否真正滿足應(yīng)用需求，并對數(shù)據(jù)流量進(jìn)行規(guī)定。

虛擬機(jī)的通信不同于其他的設(shè)備，具有一定的獨(dú)立性，尤其是在數(shù)據(jù)進(jìn)行交換的過程中，如果外界想要對其進(jìn)行檢查或查證則是行不通的，所以其在安全性方面也更加凸顯，同時(shí)也給信息之間的攻擊提供了更多的便利。如果從虛擬機(jī)的角度出發(fā)，利用信息安全技術(shù)則會提升信息安全的保障作用，結(jié)合AUI網(wǎng)絡(luò)接口的方式能夠讓交換式的流量在進(jìn)入到虛擬機(jī)之前就可以使用二次保障軟件來對信息進(jìn)行檢查。這時(shí)候會對網(wǎng)絡(luò)中的實(shí)際需求進(jìn)行確認(rèn)，并對虛擬機(jī)進(jìn)行歸類處理，從而劃分其安全區(qū)域，做好對應(yīng)的隔離保護(hù)措施。對于信息相互訪問的邊界必須嚴(yán)格進(jìn)行把控。在進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)搭建的過程中，需要充分做好虛擬化保護(hù)的應(yīng)用工作，這樣能夠更好地實(shí)現(xiàn)虛擬化信息的安全性。而對于邊緣的虛擬橋、以太網(wǎng)接入端口等技術(shù)則需要通過虛擬機(jī)的方式將其內(nèi)部的流量進(jìn)入外部的交換機(jī)中，在這個過程中則需要對這些流量進(jìn)行二次傳輸，并在此之前通過鏡像過濾、重新定位等方式進(jìn)行流量的安全疏導(dǎo)，提升其應(yīng)用的安全性，確保信息沒有問題之后才可以上傳到其他的設(shè)備，具體如表1所示。

表1 等級保護(hù)中數(shù)據(jù)鏈路層與安全要素之間的關(guān)聯(lián)

2.2 提升存儲的安全保密性

在我們的日常生活中，數(shù)據(jù)信息可以利用計(jì)算機(jī)等硬件進(jìn)行網(wǎng)絡(luò)上傳，從而對這些信息進(jìn)行保存。而這些信息的安全性則是通過密碼保護(hù)的方式來實(shí)現(xiàn)的。這就要求密碼系統(tǒng)必須嚴(yán)謹(jǐn)有效，并能夠支持加密保護(hù)目標(biāo)，確保網(wǎng)絡(luò)應(yīng)用的分配能夠?qū)崿F(xiàn)。在這里我們可以將網(wǎng)絡(luò)編碼定義的相關(guān)規(guī)則作為基礎(chǔ)依據(jù)，從而對相關(guān)的信息數(shù)據(jù)進(jìn)行進(jìn)一步的分配應(yīng)用，將無用且多余的數(shù)據(jù)進(jìn)行清理。這樣就能夠確保數(shù)據(jù)不僅不會出現(xiàn)泄露的問題，而且能夠提升數(shù)據(jù)的安全性。在進(jìn)行網(wǎng)絡(luò)化數(shù)據(jù)審查的過程中，無論是防火墻還是路由器其安全審查的應(yīng)用水平都需要得到進(jìn)一步的提升，尤其是計(jì)算機(jī)應(yīng)用系統(tǒng)，要實(shí)現(xiàn)安全防護(hù)的目標(biāo)，就必須嚴(yán)格依照既定的規(guī)則進(jìn)行數(shù)據(jù)傳輸和錄入，也就是結(jié)合實(shí)際的業(yè)務(wù)需求來進(jìn)行數(shù)據(jù)訪問。縱觀目前我國的網(wǎng)絡(luò)環(huán)境，我們可以看出外部網(wǎng)絡(luò)所帶來的安全攻擊并沒有得到足夠的重視。在訪問控制的執(zhí)行作業(yè)應(yīng)用之后，針對網(wǎng)絡(luò)入侵的檢查也是不能忽視的問題，簡單來說就是對局域網(wǎng)絡(luò)中的數(shù)據(jù)流量信息進(jìn)行全程監(jiān)控，尤其是針對數(shù)據(jù)流。當(dāng)數(shù)據(jù)流和內(nèi)部數(shù)據(jù)規(guī)則相符，那么就會自行對數(shù)據(jù)進(jìn)行記錄并發(fā)出警報(bào)，如此就能夠確保實(shí)現(xiàn)信息安全保護(hù)的目標(biāo)。

2.3 編碼計(jì)算機(jī)的安全等級

計(jì)算機(jī)數(shù)據(jù)雖然是由簡單的字節(jié)構(gòu)成，但是卻能夠產(chǎn)生大量的信息。如果要保障信息的安全性和規(guī)范性，則必須從源頭做好相應(yīng)的設(shè)計(jì)工作。比如IPSO的長度有25個字節(jié)，所以在安全等級標(biāo)記時(shí)則也要達(dá)到25個字節(jié)。這就要求在安全等級標(biāo)記時(shí)必須能夠攜帶符合實(shí)際的需要。安全標(biāo)記的主要因素方向包括了安全等級、信任閾值等一些內(nèi)容。在整個過程中會存在一定的可信任選項(xiàng)，針對計(jì)算機(jī)信息主體在進(jìn)行安全標(biāo)記的過程中，其所能進(jìn)行識別的唯一對象便是ID，當(dāng)客戶設(shè)置了安全標(biāo)記之后則會以空格的方式呈現(xiàn)。

通過對數(shù)據(jù)格式地分析我們可以得出：（1）要對類型字段進(jìn)行關(guān)注，通過這個特征來對不同的網(wǎng)絡(luò)信息進(jìn)行區(qū)分；（2）長度標(biāo)記，通常情況下會采用不同的長度對其進(jìn)行標(biāo)記；（3）安全等級的字段應(yīng)用，在主體內(nèi)容進(jìn)行安全標(biāo)記的過程中，主體內(nèi)容的安全等級才是安全等級的主要依據(jù)；（4）在規(guī)定范圍的字段內(nèi)，通過數(shù)據(jù)的流經(jīng)領(lǐng)域進(jìn)行識別標(biāo)記；（5）信任度閾值，可以通過對數(shù)據(jù)進(jìn)行標(biāo)記，對標(biāo)記內(nèi)容進(jìn)行信任度識別也可以利用閾值進(jìn)行識別；（6）特殊策略，這種方式只針對長字段，用于對一些特殊數(shù)據(jù)進(jìn)行標(biāo)記。通過對其進(jìn)行分析我們可以了解到安全等級應(yīng)用能夠?qū)τ?jì)算機(jī)的數(shù)據(jù)元素進(jìn)行安全等級劃分。結(jié)合實(shí)際應(yīng)用需求則會被劃分為五個不同的安全等級類別，具體可見表2。這種劃分方式具有一定的優(yōu)點(diǎn)，不僅易于理解和記錄，同時(shí)在網(wǎng)絡(luò)識別過程中也不會出現(xiàn)混淆，當(dāng)然在這個過程中安全標(biāo)記也能夠準(zhǔn)確無誤地執(zhí)行。

表2 安全等級表

3 結(jié)語

信息安全等級制度的應(yīng)用和落實(shí)對于計(jì)算機(jī)在應(yīng)用中的價(jià)值和作用都是非常直觀且影響巨大的，這也是保障安全管理工作能夠順利落實(shí)的基本依據(jù)。而在搭建計(jì)算機(jī)網(wǎng)絡(luò)的過程中，必須將對應(yīng)的管理制度進(jìn)行充分的落實(shí)，不斷地進(jìn)行驗(yàn)證和分析，做好相關(guān)數(shù)據(jù)的反饋，確保設(shè)計(jì)目標(biāo)能夠得以實(shí)現(xiàn)。為了能夠進(jìn)一步落實(shí)計(jì)算機(jī)網(wǎng)絡(luò)搭建工作的目標(biāo)，需要對信息安全等級保護(hù)制度的內(nèi)容進(jìn)行充分分析，真正地將其與計(jì)算機(jī)網(wǎng)絡(luò)搭建工作融合起來，使其發(fā)揮出真正的價(jià)值和作用。