◆杨晨柳 方 安 朱 峰 王 蕾

（中国医学科学院医学信息研究所 北京 100020）

信息网络技术与传统领域的融合带来新的发展契机，与此同时，其引起的网络安全问题也日趋严峻。瑞星在《2018年中国网络安全报告》[1]中指出，2018年瑞星“云安全”系统共截获病毒样本总量7，786万个，病毒感染次数11.25亿次，病毒总体数量比2017年同期上涨55.63%。同时，由于利益驱使，更多犯罪分子将注意力投入到挖矿病毒与勒索病毒领域，病毒与杀毒软件的对抗越发激烈，攻击者持续更新迭代病毒，导致病毒数量急剧增长。

信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。基于信息系统的安全建设工作主要涉及物理、网络、主机、应用、数据、管理等多方面内容。

随着互联网技术及其应用的发展，信息系统面临的安全威胁和风险愈发严重，我国已发布相关法律法规，不断强化信息安全等级保护。2017年1月，工信部印发《信息通信网络与信息安全规划（2016－2020）》[2]，提出重点从建立网络数据安全管理体系、强化用户个人信息保护、建立完善数据与个人信息泄露公告和报告机制三个方面大力强化网络数据和用户信息保护。同年6月1日，《中华人民共和国网络安全法》正式施行，该法律明确规定网络空间主权的原则、网络产品和服务提供者的安全义务、网络运营者的安全义务，进一步完善了个人信息保护规则，建立了关键信息基础设施安全保护制度[3]。

本文针对日益严峻的信息网络安全问题，从主观和客观两方面因素分析信息系统安全现状，基于三级等保建设需求，从技术层面和管理层面详细介绍信息安全体系构建思路，保证信息资源和信息系统的安全，提高安全风险管控能力，使信息安全管理更加科学、有效。

1 信息系统安全现状分析

1.1 典型的信息系统安全问题

目前，信息系统安全问题主要源于主观和客观两方面因素。主观方面，部分信息系统设计时重点关注系统功能的实现，忽略了系统的科学性、规范性以及安全性等问题；客观方面，存在着硬件设备配置的不合理性、运行的不稳定性和功能的不完善性等问题。此外，人们信息安全管理意识淡薄、缺乏科学有效的规章管理制度和预警手段、维护与治理力度不够、安全防范意识不强等也是造成信息系统安全问题频繁出现的原因。

典型的信息系统安全问题包括：

（1）网络非法入侵。非法入侵是造成信息系统安全问题频发的原因之一。信息系统设计问题、计算机操作系统漏洞、系统管理制度缺失、管理员权限设定不当、用户密码泄漏等[4]，都会给网络入侵行为提供可乘之机，如数据窃取、篡改、破坏等，造成信息系统安全隐患甚至经济损失。

（2）计算机病毒传播。计算机病毒具有较强的寄生性和自我复制性，在程序编制过程中被插入计算机用以攻击信息系统、破坏数据，病毒程序激活后可以在网络中大肆传播，导致计算机文件被删除或不同程度的损坏、部分或全部数据丢失、系统无法正常运行[5]。同时，由于部分机构没有在其局域网络内安装防火墙及网络入侵防御系统，也会提升信息系统遭受病毒攻击的概率。

（3）管理制度不完善。管理制度对于规范信息系统安全管理行为具有重要意义，如系统操作人员缺乏对安全风险的遏制和防范意识，未能认识到信息安全技术在系统应用中的重要性，则无法在系统遭受攻击时及时采取措施进行防范和抵制。同时，管理权限的不规范也极易带来信息系统安全问题，造成信息的破坏及剽窃。

1.2 三级等保实施现状

等级测评指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，运用科学的手段和方法，对处理特定应用的信息系统，采用安全技术测评和安全管理测评方式，对保护状况进行检测评估，判定受测系统的技术和管理级别与规定安全等级要求的符合程度，针对安全不符合项提出安全整改建议。

测评等级分为1-5级，其中第三级为监督保护级，是国家对非银行机构的最高级安全认证，包含信息保护、安全审计、通信保密等近300项要求。三级等保主要针对涉及国家安全、社会秩序和公共利益的重要信息系统的安全保护，其业务信息安全性或业务服务保证性受到破坏后，会对社会秩序和公共利益造成严重损害，甚至对国家安全造成威胁。

2 基于三级等保的信息安全管理体系

设计基于三级等保的信息安全管理体系，旨在指导如何对网络与信息资产进行管理、保护和分配的规则和指示，明确安全管理的方向、目标和范围。同时，该安全管理体系需要被定期评审和修订，以确保其持续适宜性，特别是在组织结构或技术基础改变、出现新的漏洞和威胁、发生重大安全事件时，可以得到有效保护。

信息安全管理体系（见图1），由三个层面的多个子策略组成，具有分层结构的完整体系，包含了从宏观到微观，从原则方向到具体措施等多方面的内容。

（1）信息安全管理体系总纲（简称“总纲”）位于安全管理体系的第一层，是整个安全管理体系的最高纲领，其主要阐述安全的必要性、基本原则及宏观策略。总纲具有高度的概括性，涵盖了技术和管理两个方面，在各信息系统安全保障工作中具有通用性。

（2）安全管理体系的第二层是一系列的管理规定和技术规范，是对总纲的分解和进一步阐述，侧重于共性问题、操作实施和管理考核，提出具体的要求，对安全工作具有实际指导作用[6]。

（3）安全管理体系的第三层是操作层面，基于上两层的策略要求，操作层面结合具体的网络和应用环境，遵循动态管理和闭环管理原则，制订具体实施的细则、流程，具备最直观的可操作性。

图1 基于三级等保的信息安全管理体系

3 建设方案

信息系统三级等保建设主要依据国家标准及行业政策的指导，同时结合信息系统安全管理体系框架、信息系统实际业务及管理情况开展整改与建设工作。

3.1 技术层

3.1.1 物理安全

物理安全包含环境安全、设备和介质的防盗窃防破坏等方面。在具体建设过程中，机房应至少分为主机房和监控区两部分，配备电子门禁系统、防盗报警系统、监控系统，同时满足防盗窃、防破坏、防水、防电等基本安全条件。此外，在机房供电线路上配置UPS，建立发电机备用供电系统，保证机房24小时不间断电力供应。

3.1.2 主机安全

主机安全需要满足包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的需求，重点解决身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等问题。依据管理用户的角色分配权限，包括系统管理员、日志用户、应用用户、数据库管理员，并通过堡垒机实现日志审计功能。同时，采用安全监控运行管理平台软件对重要服务器进行监控，如服务器的CPU、硬盘、内存、网络等资源的使用情况。

3.1.3 网络安全

通过互联网防火墙、专线防火墙、核心交换区防火墙将网络划分成互联网控制区、专线接入控制区、DMZ区、核心交换区、发布区、生产区、业务管理区、运维开发测试区、安全管理区、存储区；同时，通过交换机划分出不同的子网，区域间部署防火墙，配置访问控制策略，实现网络设备、数据库和服务器的逻辑隔离。此外，在局域网络内配置堡垒机、DDoS监控、网络和数据库审计、入侵检测防御设备、漏洞扫描等安全设备，对网络链路、核心网络设备和安全设备进行冗余设计，保证设备正常运行。

3.1.4 应用安全

应用安全包括保护信息系统的各种应用程序运行的安全，在安全评估过程中，需避免中高级风险漏洞，如SQL注入、跨站脚本、网页篡改、敏感信息泄露等，定期进行漏洞扫描工作，及时修复新出现的漏洞威胁。通过统一认证鉴权服务登录系统，采用用户名、静态口令组合的鉴别技术对登录用户进行身份标识和鉴别，并设置用户身份标识唯一和鉴别信息复杂度检查功能、登录失败处理功能、访问控制功能、审计记录的统计分析和报表功能。

3.1.5 数据安全与备份恢复

制定相应机制保证信息传输与存储过程中的机密性和完整性，关键设备设置双路热备，强调数据存储、数据备份、数据运行环境、数据库审计安全，旨在保证业务正常访问、数据库性能优化、备份设备安全及有效性检查，维护系统数据、用户数据、业务数据的完整性、保密性、并且进行备份和恢复。

3.2 管理层

3.2.1 安全管理制度

明确规定信息安全工作总体目标、范围、安全框架和各种安全管理活动的制度以及管理人员或操作人员日常操作的操作规程，具体阐述管理制度的制定和发布、评审和修改等内容，保证信息安全管理活动有序进行。

3.2.2 安全管理机构

基于内部结构建立一整套从领导层到执行管理层以及业务运营层的管理结构来约束和保证各项安全管理措施的执行，具体包含岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等内容。当信息系统进行关键活动时，如设备出入机房、业务数据提取、设备迁入移出、账户开通注销终止、业务系统访问、业务系统投产变更、基础设置变更等需要走审批流程，并明确审批部门及负责人员。

3.2.3 人员安全管理

对内部人员和对外部人员进行安全管理，具体解决人员录用、人员离岗、人员考核、外部人员访问管理等问题，对内部人员进行定期安全培训，对管理人员进行安全技能和安全认知考核，提升安全管理效率。

3.2.4 系统建设管理

从定级、设计建设实施、验收交付方面考虑，制定信息安全建设工作计划，对系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评、服务商选择等安全管理活动进行全程跟踪审计，在发生问题时便于溯源。

3.2.5 系统运维管理

重视对信息系统的日常管理、变更管理、制度化管理、安全事件处置、应急预案管理和安管中心等内容，通过漏洞扫描系统对局域网络中的系统、设备进行扫描，及时对漏洞进行分析处理，避免系统或设备由于病毒感染造成数据受损、丢失等。采用监控软件对网络链路、网络及主机设备的运行状况、流量等进行监控，并对工作日志和结果进行记录。

4 总结与展望

近些年来，由于计算机信息管理技术安全问题频发，对信息系统安全风险成因进行深刻分析和研究变得愈发紧迫。同时，只有针对信息系统具体问题采取有力的防范、整治措施，构建基于等级保护的信息安全防护体系，才能确保信息系统的安全，实现系统安全稳定运行，减少因人为管理问题而产生的漏洞，实现计算机系统的网络安全。

本文基于安全技术和安全管理两方面阐述信息安全体系的构建思路。在安全技术方面，通过使用安全产品和技术，支撑并实现安全策略，保证信息系统的保密性、完整性和可用性；在安全管理方面，通过建立信息安全管理制度，培养信息安全专业管理团队，完善信息安全风险管理流程，制定规范化的管理流程，有效执行安全策略规定的目标和原则。通过建设基于三级等保的信息系统安全体系，保证系统运维有序、有效进行，配合安全管理制度规范提高安全管理效率，支撑信息系统安全、稳定运行。

在信息系统建设过程中，还应加强对系统的安全风险评估，不断完善系统框架、业务流程、访问控制等安全措施，提升系统自身的攻击防御能力，并通过制定行之有效的管理规定，保证信息系统安全工作的持续有效开展，建立信息系统的综合防御体制。此外，随着信息安全管理理念和信息技术的发展变化，信息安全体系也需要与时俱进不断完善，以满足系统安全建设实际需求，保障重要信息资源和重要信息系统的安全，促进维护国家利益、公共利益和社会稳定。