公司信息系统安全等级保护技术规划设计

◆罗 柱

(湖北省仙桃市烟草公司 湖北 433099)

公司信息系统安全等级保护技术规划设计

◆罗 柱

(湖北省仙桃市烟草公司 湖北 433099)

随着信息技术的不断发展，信息系统也成为了公司运营发展中的重要部分。为了进一步实现信息系统的安全性与有效性，需要建设公司信息系统安全等级保护体系，以完善的保护技术去促进公司信息安全，实现社会秩序的稳定。本文将针对公司信息系统安全等级保护技术规划设计这一课题进行具体分析，从而提出合理的规划与建议。

信息系统；保护技术；安全等级

0 引言

在公司信息系统安全等级保护技术规划设计的过程之中，主要需要完成以下几个部分：除了规定好安全等级之外，也需要根据公司的实际运行状况进行安全风险评估，然后结合安全技术进行方案的设计，最终经过验证实现技术规划设计的合格性以及有效性。本文将以公司信息系统安全等级保护技术规划设计进行的重要性为着手点，针对目前公司信息系统应用的实际需求，从而提出加强公司信息系统安全等级保护设计的具体措施。

1 公司进行信息系统安全等级保护技术规划设计的重要意义

随着信息时代的到来，公司企业在运营过程之中很大程度都要依靠计算机以及信息网络，所以稳定的信息系统能够给予公司企业更大的发展动力，避免因为网络安全保护工作没能够落实到位，而致使的信息泄露以及财产损失问题。

同样加强信息系统的安全保护也是国家发展的需要，我国针对目前的网络发展现状颁布了《中华人民共和国计算机信息系统安全保护条例》，强调了安全保护工作对于我国整体计算机信息系统的重要意义，能够以较为完善的监督与保护管理工作，来实现对于网络违法犯罪行为的打击，并且有效维护社会秩序。另外国家也针对我国目前所实行的安全保护进行了相应的等级划分，实现了等级划分准则，促进了安全等级保护技术的制度化以及规范化，相关的国家标准文件有《计算机信息系统安全保护等级划分准则》、《国家信息化领导小组关于加强信息安全保障工作的意见》、《信息系统安全等级保护测评准则》、《信息系统安全保护等级定制指南》[1]等。所以综合来看促进公司信息系统安全等级保护技术规划设计不仅仅是公司企业自身的发展需求，同时也是响应国家发展政策、实现信息技术管理规范化、制度化的具体体现。公司必须要在正确认识加强信息系统安全等级保护技术规划设计重要性的基础之上，针对目前的发展需求，从而进行相应的改善与规划，只有这样才能够实现公司的网络信息系统安全，促进公司的整体进步与整体发展。

2 加强公司信息系统安全等级保护技术规划设计的具体措施

2.1 明确公司信息系统安全等级

在实现对于公司信息系统安全等级保护技术规划设计的过程之中，首先就需要明确公司信息安全等级，事实上在等级的划分上，国家有较为明确的评价标准[2]，而具体的划分标准与安全等级的保护办法是应该由公安部门以及相关单位进行规范与设立，但是信息技术公司也需要参考目前的国家所给予的等级指导，针对实际运用需求，建立完善的安全等级体系。所以在常规意义上来说会将安全级别划分成三个级别。第三级的安全技术要求较高，除了需要从根本上保护数据与网络安全之外，也需要在二级系统的基础之上再增加相应的安全要求，比如耳机系统中对于硬件破坏以及环境安全方面还不能够实现完全的保护，但是三级系统已经能够实现防盗、防破坏等相应的保护行为，既能够保护主机安全，同时也可以加强对于主机的安全保护以及实际应用的安全保护。一旦发生破坏行为能够主动预警，没有得到及时的处理的基础之上，还会进行报警。

2.2 明确公司信息系统的安全技术框架

安全技术框架是安全技术设计的具体体现，能够对公司信息系统安全等级保护技术进行优化与补充，并且对于公司的发展起到相应的发展与引导的作用。除了二级系统中已经具备的设计内容之外，还需要进行相应的补充以及调整，比如说数据安全防护、应用安全防护、主机安全防护、物理安全防护等[3]，最后利用综合的安全管理中心进行安全管理工作，实现系统、审计、安全方面的整体管理。另外安全技术框架的设计之中也要细化设计细节，比如想要加强主机安全防护就可以通过安全审计以及入侵防范行为进行加固，比如说设置网络安全审计系统、业务审计系统以及日志审计系统之外，还可以去装载防病毒软件、防病毒网关以及防火墙[4]，这些都能够实现网络的访问控制，实现对于应用与整体信息系统的安全性。

2.3 明确公司信息系统安全等级保护的保护范围

公司信息系统在进行安全等级保护设计的过程之中主要涉及四个保护范围，网络的互联范围内，以相应的数据设备为数据传输载体进行相应的接入主机行为、还有安全服务域以及对于信息系统的后续安全管理与安全监督。这是公司信息系统安全等级保护技术规划设计之中所涉及的四个领域，在不同的领域范围内有不同的保护内容以及保护需求。比如说安全接入域中物理终端在实现方位的过程之中，必须建立相对明确的保护边界，从而实现安全等级的一致性，以此加强对于其安全保护工作。另外在安全管理内容上，不能够仅仅以软件系统作为唯一的公司信息系统的保护工具，而是应该将监控与管理有机结合起来，实现对于公司信息系统的动态化全面化的相应保证。比如说对于病毒进行相应的监控以及非法入侵行为的监控等，还可以完善安全体系中的不同管理部分，比如可以设立管理平台以及认证平台等[5]，都能够促进公司信息系统安全等级保护范围的完善。

2.4 明确公司信息系统中可能存在的危险来源

想要实现对于公司安全信息系统的整体设计，就需要从根本上明确设计需求和信息系统的安全发展要求，影响公司信息系统安全的主要因素有内部攻击因素、分发攻击因素等，一些威胁的主要来源很可能是由于数据保存不当而致使网络通信数据被截取、被监听或者一些敏感信息被盗取等，还有因为系统故障或者病毒软件入侵，造成不良软件安装之后形成主机控制权的剥夺，还有一些攻击病毒能够实现自身的伪装性，进一步进行参数的更改，实现数据的肆意获取、更改系统的代码等。但同时还有另一种安全风险是来自于硬件设施，信息系统的物质载体是计算机等，如果设备和线路产生了毁坏，或者因为监管不当而直接进行数据输入输出，登录密码被不法分子看到，会更为直接地产生危险后果[6]，给予他人更多非法入侵的相应途径。所以无论是系统内部的攻击与破坏，还是物理方面的损坏与破坏都能够给予公司信息系统响应的危险，从而使得企业公司的信息系统遭到破坏，使企业运营造成影响等。

3 结语

在公司信息系统安全等级保护技术规划设计过程之中，我们需要正确认识公司信息系统安全等级保护技术规划设计的重要作用，针对目前社会对于信息系统安全的实际需求，通过明确公司信息系统安全等级、公司信息系统的安全技术框架、公司信息系统安全等级保护的保护范围、公司信息系统中可能存在的危险来源等多种方式，实现对于公司信息系统安全等级保护技术规划的相应设计。

[1]靳英伯．信息安全等级保护模型评测平台的设计与实现[D]．山东大学，2015．

[2]陆勤．基于信息安全管理模型的高校信息系统管理平台研发[D]．上海交通大学，2014．

[3]姚洪磊，张彦．铁路信息安全等级保护技术体系规划与设计研究[J]．警察技术，2014．

[4]姚德益．基于等级保护的银行核心网络系统安全防护体系的研究与设计[D]．东华大学，2014．

[5]刘太洪．大秦公司信息系统安全等级保护技术规划设计[D]．河北工业大学，2014．

[6]龚雷．应用安全透明支撑平台体系结构与模型研究[D]．解放军信息工程大学，2013．