1、信息平安等级保护的分析 1信息平安等级保护 1.1信息平安保护等级的划分 此级别功能最全,除具备上述所有级别功能外,对系统加设了访问验证保护,以此不但记录访问者对系统的访问历史,还对访问者的访问权限进行设置,确保信息被平安使用,保障信息不外泄。 1.2信息平安等级的划分 对于一些需要特殊保护和隔离的信息系统,如我国的国防部、国家机关以及重点科研机构等特殊机构的信息系统,在进行信息平安保护时,要严格按照国家公布的关于信息平安等级保护的相关政策制度以及法律法规的规定要求对信息系统进行等级保护。根据需被保护的信息的类别和价值的不同,通常其受到保护的平安等级也不同。此举目的为在保护信息平安的同时降低运
2、作本钱。 2信息平安等级保护的根本要求 信息平安等级保护的根本要求分为技术和管理两大类。技术局部是要求在信息平安保护过程中采取平安技术措施,使系统具备对抗外来威胁和受到破坏后自我修复的能力,主要涉及到物理、网络、主机、应用平安和数据恢复功能等技术的应用。管理局部是要求在信息系统的全部运行环节中对各运行环节采取控制措施。管理过程要求对制度、政策、人员和机构都提出要求,涉及到平安保护等级管理、工程建设管理、系统的运行与维护管理以及应急预案管理等管理环节。 3信息平安等级保护的方法 3.1信息平安等级保护流程 信息平安等级保护涉及到多个环节,需要各相关部门共同参与,合力完成。平安等级保护的环节大体上
3、分为以下九步:(1)确定系统等级作为实现信息等级保护的前提,确定信息系统的平安保护等级是必不可缺的步骤。用户要严格按照国家标准标准给所使用的信息系统科学确定等级。(2)等级审批信息系统主管部门对信息系统的平安等级进行审批调整,但调整时要按照规定,只能将等级调高。(3)确定平安需求信息系统的平安需求可反映出该等级的信息系统普遍存在的平安需求。信息系统在确定平安需求时要依赖该系统的平安等级,但因为信息系统普遍存在可变性,因此用户在确定平安需求时还要根据自身实际情况确定自己系统的平安需求。(4)制定安保方案当信息系统的等级和平安需求确定后,针对已掌握情况制定出包括技术平安和管理平安在内的最正确平安保
4、护方案。(5)平安产品选型平安产品的选择直接决定了平安保护工作是否能够成功实现。因此在平安产品的选择过程中,不仅要对产品的可信度和功能进行认真审查,还要求国家相关部门监管产品的使用情况。(6)平安测评测评的目的在于确定系统平安保护的实现,以保证信息平安。假设测评不能到达预期目标,要及时进行重新调整。(7)等级备案平安保护等级在三级以上的信息系统,其用户和运营商需要向地市级以上公安机关备案。跨地域的信息系统的备案由其主管部门在当地同级公安机关完成,分系统的备案由其用户和运营商完成。(8)监督管理信息系统的监管工作主要是监督平安产品的使用情况,并对测评机构和信息系统的登记备案进行监管。(9)运行维
5、护该环节主要目的在于通过运行确定系统的信息平安,还可以重新确定对产生变化的信息系统的平安保护等级。以上环节在实现信息系统的平安等级保护过程中极其重要,不可跨环节、漏环节操作。 3.2信息平安等级保护的方法 信息平安等级保护分为物理平安保护和网络系统平安保护两类。对于物理平安保护,又分为必要考虑和需要考虑两个平安层面。对于必要考虑的物理平安方面:对于主机房等场所设施来说,要做好平安防范工作。采用先进的技术设备做到室内监控、使用用户信息登记、以及自动报警系统等。记录用户及其访问情况,方便随时查看。对于需要考虑的物理平安方面:对于主机房以及重要信息存储设备来说,要通过采用多路电源同时接入的方式保障电
6、源的可持续供给,谨防因断电给入侵者制造入侵的时机。根据平安保护对象的不同,有不同的保护方法。具体方法如下:(1)已确定平安等级系统的平安保护对于全系统中同一平安等级的信息系统,对于任何局部、任何信息都要按照国家标准采取统一平安保护方法给其设计完整的平安机制。对于不同平安等级的分系统,对其上不同的局部及信息按照不同的平安要求设计平安保护。(2)网络病毒的防范方法计算机病毒严重威胁到计算机网络平安,所以防范病毒的入侵在信息系统平安保护过程中是非常重要的步骤。运用防火墙机制阻挡病毒入侵,或者给程序加密、监控系统运行情况、设置访问权限,判断是否存在病毒入侵,及时发现入侵的病毒并予以去除,保障计算机信息
7、系统的平安。(3)漏洞扫描与修复方法系统存在漏洞是系统的平安隐患,不法分子常会利用系统中的漏洞对系统进行攻击破坏。因此要经常对计算机进行全面的漏洞扫描,找出系统中存在的漏洞并及时修复漏洞,防止给不法分子留下入侵时机。漏洞的修复分为系统自动修复和人工手动修复两种,由于多种原因,绝对完善的系统几乎不存在,因此要定期对系统进行漏洞扫描修复,确保系统的平安。 4结束语 建立信息平安等级保护制度旨在为国家信息平安保护工作建立起一个长久有效的平安机制,保障信息化建设的健康开展。然而目前我国信息平安等级保护政策的实施处于初步进行阶段,还有很多工作需要完成。这需要业内外人士的共同参与,为保障信息平安尽最大的努力。同时伴随着计算机技术的开展,信息平安等级保护技术和水平也要不断优化升级,确保能够及时解决平安保护中遇到的问题,让信息平安等级保护政策的实施畅行无阻。 第5页 共5页