◆张 茜

探讨三级信息安全等级保护标准的安全防护措施

◆张 茜

（北京京航计算通讯研究所 北京 100071）

社会的进一步发展，促使我国进入信息时代，信息也成了社会的重要资源。三级信息安全等级保护是对信息的一种保护手段。本文立足于信息安全角度，分析了三级信息安全的保护标准，研究了相关的安全措施，希望可以促进我国信息安全防护工作的开展。

物理安全；信息系统；信息安全；等级保护；防护措施

0 引言

信息时代下，我国法律明确规定重要信息系统需要经过相关机构进行等级评定，其中三级信息安全等级为一种较高的保护标准。现阶段我国相关人员对于该等级标准的应用与保护措施研究仍然处于初级阶段，无法促使其真正发挥作用。因此，对三级信息安全等级保护标准的安全防护措施研究有鲜明现实意义。

1 信息系统安全等级保护标准

对于信息系统的安全等级而言，国家相关标准有三十几个，其中较为常见且比较重要的有以下几种：信息系统安全等级保护定级、实施、划分内容；信息系统等级保护安全设计技术、通用技术等要求；信息系统安全、工程管理内容；信息系统安全保护测评以及测评指南等内容。

本文所研究的三级信息系统安全保护等级，往往被称作为标记保护等级，在具体规范中要求计算机信息系统具有系统审计保护级的所有功能，还需提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述，具有准确地标记输出信息的能力。三级信息系统应具备的基本安全保护能力是：信息系统应能够在统一安全策略下免遭来自外部有目的的恶意组织发起的恶意攻击，对危害性较大的自然灾害，以及其他较严重威胁所造成的主要资源损害，能够及时发现安全隐患、短时间内恢复绝大部分功能。

2 三级信息系统安全保护等级的安全防护措施

2.1 安全管理

为了促使三级信息系统可以在日常作业中发挥作用，并且信息不会泄露，首先需要做好相关设备的安全管理，如果信息载体发生故障，信息安全则无法发挥作用，具备的管理内容可以分为以下几个方面：①应该在日常工作中建立有效的安全管理机制，明确设备使用、设备运维等多个岗位的具体职责，对于信息设备的存放地，应该配备有专门的看管人员，并且根据企业内部相关章程，要做好设备定期巡检。②信息系统在实际建设过程中，不能一边开发一边测试，在建设完成进行上线处理之前，应该联合第三方质检单位进行系统运行质量以及运行安全的检测，并且检测之后的结果应该以报告的形式呈现。③系统相关设备应用做好日常运维检修工作，保证任何时候设备都可以进行高效运转。并且在运维过程中，出入机房的维修人员需要进行登记，具体记录清楚运维人员姓名、部门、直属上级、工作内容、运维时间、结束时间等。应用到的相关介质需要进行本地存储以及备用异地存储，并且定期进行程序复检以及恢复作业，保证应用介质可以长期有效。④安全管理工作中，还需要针对网站的应用建立一套具有针对性的规章制度，制度中需要明确规定各个部门相关职责，网站的日常更新以及信息传递等工作需要按照之前规定的操作流程进行。⑤需要安排专职的人员对网站安全进行定期维护，同时应该对技术类人员进行定期考核以及培训，不断增强安全管理团队的综合的素质。

2.2 物理安全管理

在系统的物理安全管理中，主要是对外部环境进行合理的规划，具体内容可以从以下几个方面实现：①系统机房当中应该安装有防盗警报系统。②机房的使用需要进行合理调度，出入其中的人员应该进行登记。③设备的物理访问需要具有审批。④机房内部应该进行合理的功能区划分，并且按照不同功能区的特点进行管理。⑤系统内部为了保证信息安全，应该建立联网报警、自动销毁等功能[1]。⑥外部管理过程中应该采用冗余配置方法，保证发生故障之后，可以在第一时间进行维修，提升信息安全系数。

2.3 网络安全及硬件产品选择

信息系统的建立必定会考虑到内部网络环境安全，该方面的安全管理主要从以下几个方面实现：一方面，网络环境中应该配置有安全审计功能，目的是为了保证在进行重要网络操作过程之前，可以对网路行为进行分析；一方面，网络应用过程的中应该采用IP/MAC地址绑定的方法进行安全管理，同时对于网络使用中存在的恶意代码内容应该进行防控，人员在进行设备登录时，网络系统需要具备信息识别措施，并且识别措施最少为两种。另一方面，相关设备的登录密码需要进行定期更换，系统内部应该拥有准入、出机制的管理软件。

硬件设备是信息系统的基础所在，虽然在日常工作中对于信息的浏览以及传递主要依赖于系统内部的软件，但是没有硬件设备，软件也就没有了载体。对于硬件设备的选择需要从多个角度进行分析：一方面，内部应用到的硬件设备需要具有自主知识产权，这样硬件设备的质量才可以有一个良好的保证。另一方面，硬件设备应用过程中应该具有鲜明的稳定性以及可靠性。

2.4 主机安全

信息系统的主机相当于人类的大脑，对于信息安全以及系统正常运行有着重要意义。主机的安全管理可以从以下几个方面进行论述：首先，主机内部应该设置有身份鉴别功能，并且至少需要应用两种鉴别方法。其次，主机应该根据不同账户的实际工作需求进行使用权限的划分，并且划分原则应该是业务正常进行所需要的最小权限。最后，对于已经不存在的业务需要进行删除，而且过期账户也需要进行删除，长时间不进行应用端口需要关闭。

2.5 应用软件安全

除去信息系统的硬件以及主机安全之外，信息软件的安全管理十分重要，因为在信息系统发挥作用时，几乎所有指令都需要经由软件实现。对于该方面内容的安全管理工作可以从以下角度实现：①网站的使用者身份信息应该具有两种以上鉴别方式，常见的鉴别方法有网络证书鉴别、动态口令鉴别以及UKey等方法。并且，网络的登录密码长度应该具有一定的限制，通常情况下会被规定为8位数字+字母，同时系统还需要对密码进行定期更换提醒。当多次登录失败之后，需要对账户进行限制，进一步降低密码猜测以及暴力破解等问题的发生。②系统内部应该具有针对性的审计功能，并且审计功能需要覆盖所有用户。例如在实际应用过程中对管理员增加用户以及删除用户行为进行审计，同时内部审计所产生的审计行为以及审计记录需要具有准确性与不可修改性，可以在阶段性审计完成之后自动生成审计报表等内容[2]。③信息数据在网络环境下进行传输时，需要对其进行合理的加密，保证信息数据的安全以及完整性，并且系统内部需要具有数据原发证据和接收证据的功能，同时无论是数据的人机接口或者是通信接口都应该具有数据格式以及长度的限制，防止网络中其他无效的信息进入到系统中，危害系统安全。④系统内部需要对应用到的文件格式以及大小进行设置，进一步增强系统对于信息内容的处理能力，当网络环境出现异常，需要将网页直接定义在错误页面。并且还需要应用监控手段，对设备应用主机、CPU以及内存等进行多方位监督。

3 结论

综上所述，三级信息安全标准的确立需要从多个角度进行综合分析，并且应该立足于信息系统管理、信息系硬件设备、信息系统软件等诸多方面进行完善，希望本文以上研究内容可以为现阶段的网站建设提供一定参考，特别是对于已经测评为三级信息的企业单位而言，可以在网站建立、设备运维等方面提供必要帮助。

[1]武美茹,张冉,梁建姝,邓永梅.基于信息系统的三级审核模式对改善脑卒中风险表单评估准确性的研究[J].护士进修杂志, 2019,34(03):203-206.

[2]李军伟,程咏梅,陈克喆.基于三级多源信息融合结构的SINS性能测试综合评估算法[J].中国惯性技术学报, 2014,22(02):177-184.