基于等级保护的财政信息系统安全建设探讨
2014-11-05古先涛
古先涛
摘 要
建设财政信息的安全系统是财政管理改革发展中的要求。当下财政信息化的应用在全国各地的财政系统中正逐渐深入,覆盖了各级财政部门和面向社会公众的财政信息系统。可以说财政信息系统是各级财政系统进行信息共享的平台,目前由于大量需要保护的数据和信息存储在财政信息系统中,所以对系统中运行的安全保障提出了更高的要求。
【关键词】等级保护 财政信息系统 信息安全
在财政信息系统安全建设的过程中,由于系统复杂、数据安全的属性要求存在着差异,导致系统在不同程度上存在一定的脆弱性;在系统安全的规划和设计中由于对策略认识不够,以致风险延续到信息系统的运行和维护管理阶段。文章从我国信息安全等级体系的规范和标准着眼,对财政信息系统的安全保护等级模型进行了分析,并提出了进一步完善财政信息系统安全的措施。
1 信息安全的保护等级及其基本流程
目前信息安全技术和管理水平在不断地提升和发展,人们逐渐意识到要想保障信息系统的安全,就要不断完善信息安全管理和技术体系,构建完整的信息系统,并且为了把信息和信息系统的残留风险降低到最小级别,就要提高信息安全应急处置的能力。由于当前不同的信息和信息系统,对其安全级别的要求也不尽相同,应将管理策略、技术、工程过程等多个方面相结合,同时进行客观的综合考虑,对信息系统的安全分类需要充分运用信息安全等级保护的思想和方式。
1.1 信息系统安全保护等级
信息系统安全保护等级在《信息安全技术——信息系统安全等级保护基本要求》中划分为五个等级,信息系统安全保护等级的第一级是用户自主保护等级,用户可根据自主访问控制、身份鉴别和数据的完整性这三个条款进行判断;第二级是系统审计保护级,在第一级的基础上增加了两个条款,分别是客体重用和审计;第三级是安全标记保护级,在第二级的基础上增加了强制访问控制、标记等条款;第四级是结构化保护级,在第三级的基础上增加了可信路径和隐蔽信道分析;第五级是访问验证保护级,在第四级的基础上增加了可信恢复条款。这五个等级的基本内容以信息安全的属性为主,即网络安全、系统安全、应用安全、物理安全以及管理安全等五个方面,根据其不同要求,对安全信息系统的构建、测评和运行过程进行管理和掌控,进而实现对不同信息的类别按照不同的要求进行等级安全保护的目标,尽管不同等级的条款中有些内容是相似的,但在一定程度上仍然存在着差异,安全保护能力的要求会随着保护等级的提升而逐渐增强。
1.2 信息系统安全等级保护实施的流程
信息系统安全等级保护实施的基本流程包括五个阶段,分别是定级阶段、备案阶段、测评阶段、整改阶段、运行和维护阶段。其中等级保护工作的基本前提是系统划分和定级工作,定级工作必须要首先确定,否则后面的工作将会无从做起;备案阶段中,当专家评审与自定级不同时,要重新定级,才能够进行备案工作;测评阶段中指定的第三方测评机构必须是权威机构,需要公正公平地对系统进行测评;整改和复测阶段中对于整改的项目要通过等级保护测评和风险评估的方法进行分析。等级保护工作要随着信息系统建设的变化和发展而做出不断循环的工作。
2 财政信息系统的等级保护
2.1 财政信息系统安全的架构
在财政信息系统安全的架构模式中,既包含计算机网络通信和环境平台、又有多种相关的业务平台,并且这些应用的安全等级各不相同,所以采取的安全保护策略也有所不同。财政信息系统规模大、系统复杂,按照系统的功能可以分为核心数据中心、采购管理、预算管理、业务门户网站等多个子系统,要按照业务应用数据的不同性质进行不同安全等级的保护。总之要根据财政信息系统的实际情况,构建一个相对完善的财政信息系统模型。
2.2 财政信息系统安全的等级区域的划分
财政信息系统安全等级保护要根据系统的特点和性质进行不同区域的安全划分,以实现不同强度下的安全保护。针对财政信息系统中不同子系统的实际情况,可以将财政信息网络划分为不同的安全保密等级区域,分别为业务核心区,办公用户区域、专线用户区域、内部网与互联网信息交换的区域等。
3 财政信息系统的等级的保护措施
在财政信息系统安全等级保护的建设工作中,目前采取内网与外网物理隔离的方式,从物理上把财政业务中各个子系统与对外服务区进行划分,分别划分到不同的子网,在财政业务的防火墙上可以设置权限为允许的策略,源地址是内部桌面,目的地址是业务服务器,对于其他服务的子系统,同样需要防火墙进行隔离,使各子系统都有充分的隔离和清晰的界限,同时可以配置漏洞扫描设备的检测设备,不定期对各个服务器进行扫描。
数据备份能够进一步保障财政信息系统的安全,在财政信息系统应用中需要配备存储备份设备以实现数据自动备份,一旦系统出现故障,通过数据备份即可恢复。为了进一步支持财政信息系统的稳步运行,可建立一个异地财政信息数据备份中心,以防财政信息系统发生灾难性故障时实现异地远程恢复的功能。
在财政信息系统安全保障体系建立的过程中,要严格依照等级保护下的安全管理制度、系统建设制度和相关财政系信息管理的法律及标准,在建立完善的网络安全管理机制的同时明确管理人员的职责。
4 结论
综上所述,文章从我国信息安全等级体系的规范和标准着眼,对财政信息系统的安全保护等级模型进行了分析,并提出了进一步完善财政信息系统安全的有效措施。在财政信息建设的过程中,设计出一个科学合理、全面的信息安全解决方案是一个关键的任务,要从我国信息安全等级体系的规范和标准着眼,对财政信息系统安全保障的体系进行深入的探讨,以达到切实保护财政信息系统安全的目的。
参考文献
[1]龚雷.应用安全透明支撑平台体系结构与模型研究[D].郑州:解放军信息工程大学,2013.
[2]王会.基于等级保护的党校网络安全体系的研究与应用[D].广州:中山大学,2012.
[3]刘莎莎.NN市委办政务信息系统安全等级保护策略研究[D].南宁:广西大学,2012.
[4]高朝勤.信息系统等级保护中的多级安全技术研究[D].北京:北京工业大学,2012.
作者单位
重庆市中冉信息产业有限公司 重庆市 400041endprint