等級保護三級信息系統設計實現

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了等級保護三級信息系統設計實現范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：基于對等級保護三級信息系統設計與實現的探討研究，文章主要從信息系統安全等級保護的概念、等保三級的設計要求以及等保三級的實現設計策略這方面展開研究，希望能為有關人士提供幫助。

關鍵詞：等級保護；三級信息系統；系統設計

現如今各方面競爭都尤為激烈，信息資源已然成為戰略資源中最關鍵的構成部分，此時以等級保護三級信息系統設計與實現為例的技術研究，就必須要盡快提上日程，這也是信息安全管理與保護水平獲得提升的必要途徑。

1信息系統安全等級保護的概念

信息系統安全等級保護是我國信息安全保障工作的基本制度和方法，是我國多年來信息安全工作經驗的總結。根據相關法律政策規定，我國制定了一系列信息安全管理辦法，為信息安全保護工作的開展提供了法律、政策、標準依據。作為國家統一制定并的標準，《信息系統安全等級保護基本要求》中明確指出，應將信息系統的重要程度作為根據，將保護工作有針對性的合理安排下去，并且應對信息系統展開相應的保護，國家也需對各等級的信息系統，制定強度適中的監督管理計劃[1]。

2等保三級的設計要求

2.1安全計算環境設計

本文主要從以下幾方面來論述安全計算環境設計。首先是身份鑒別，這是達到三級安全要求的首要前提，需從用戶標識與用戶鑒別這兩方面來明確安全機制。用戶標識安全機制簡單來講，就是用系統中每位用戶注冊時填寫的用戶標識，來對用戶身份進行標注，同時需保證生存周期內用戶標識不能出現重復；而后者則指用戶在每次登錄系統的時候，通過安全管理中心控制下的口令、生物特征以及安全強度達標的組合機制，展開的對用戶身份的鑒別，且鑒‖22‖別后會保護好生成數據的私密性與完整性。其次是標記和強制訪問控制。系統需針對安全管理員，展開嚴格的身份鑒別與權限控制，并且賦予其主體與客體安全標記的權利。在強制訪問控制之下，技術人員應將重點放在全部主體與客體標機信息的一致性上，且強制訪問控制規則也應該同樣落實。最后是安全計算環境的嚴格審計。系統應對安全事件有明確且完整的記錄，且一般來講，安全事件的主體、客體、類型、出現節點、后果等，都應納入安全事件記錄的總體范疇。與此同時，審計記錄還應通過分析、分類等環節，向系統中存儲保護。技術人員還應為安全管理中心提供接口，如果某些安全事件系統無法自行解決，則應基于授權主體調用要求創設接口。

2.2安全通信網絡設計

安全通信網絡設計工作，基本上都是以通信網絡的保密要求為基點展開的，通常情況下，網絡加密技術能滿足等保三級中涉及的全部要求，技術人員可通過對VPN技術的合理運用，達成保護通信網絡與數據的目的[2-3]。

2.3安全管理中心設計

（1）系統管理等級保護三級對系統的要求，主要體現在系統管理員的身份鑒別與授權上，管理員一般情況下只有特定界面與系統訪問的權利。系統管理員大致可以劃分成網絡、主機以及存儲管理這幾種，網絡管理員的主要職責在于配置網絡設備；主機管理的配置服務則主要針對服務器展開；存儲管理員需做好存儲設備的維護與管理工作[4]。（2）安全管理等保三級在管理員身份鑒別與授權方面的要求也格外嚴格。雖說安全管理員的工作并不復雜，通常只涉及安全設備管理，但因為安全設備是覆蓋到計算系統各方面的，所以安全管理員的專業水平、工作狀態以及綜合素質等，都需要得到足夠的重視。現階段，安全設備基本上都有log記錄功能，可用于授權管理的接口使用也很方便。（3）審計管理安全審計員也應接受嚴格的身份鑒別和管理，由于其在工作中會接觸多種設備，所以對其行為的控制也要得到充分保證。

3等保三級的實現設計策略

（1）安全計算環境建設首先，在安全計算環境設計的過程中，多因子身份認證系統的應用絕對是重中之重，經實踐證明，如果能確保此身份認證系統的合理應用，則等保三級中要求的用戶身份鑒別、強制訪問以及自主訪問控制等要求均能得到滿足。除此之外，此系統還能有效控制訪問的過程，從而在最大程度上確保訪問的有效性。其次，敏感數據保護系統在我國出現與應用的時間雖然并不長，但在文件驅動管理方面的優勢卻非常顯著，例如穩定性與可靠性強等，但同時此系統的缺陷與弊端也不能忽視，因為其對操作系統平臺的依賴度過強，導致操作系統中的數據私密性與完整性很難被保護。現階段，也有很多國內企業通過國際先進技術，來保護存于操作系統內部的數據，但其穩定性與實際效果仍有待觀察，所以就目前的要求來看，敏感數據保護系統已然可以達到等保三級對用戶數據及客體安全保護的標準和要求[5]。（2）安全區域邊界建設防火墻、入侵檢測設備以及防病毒網關，即為現如今等保三級系統中內外部網絡保護系統的主要構成部分。第一，防火墻中只有必要的服務端才會開放，如果有相應的IDS在配置中，則技術人員必須將二者間的聯動充分考慮在內，從而在系統受到攻擊時能及時檢測并且報警。第二，對于外部網絡層的保護而言，入侵檢測設備對攻擊能發揮良好、穩定的分布式拒絕功能。第三，防病毒網關主要針對進入系統的數據信息，展開全面的防毒檢測，它是預防病毒進入的最前線，對于安全區域邊界建設而言，有著不能忽視的重要作用。但經實踐證明，僅用防病毒網關來保護系統是遠遠不夠的，還應將網絡防病毒軟件安裝于終端，以確保對入侵病毒的實時查殺。此時相關人員還需明確意識到，部分國外的防毒軟件在染毒文件無法有效殺毒時，通常會選擇采取保守策略，即只對病毒給出警告或把染毒文件移動到保護區；而國內大多數的防毒軟件則基本上會直接將文件刪除。在染毒文件尤為重要的情況下，這兩種方法都可能會為用戶帶來不可逆轉的損失，因此，我們可以采取結合殺毒軟件與終端管理軟件的方法，確保染毒文件能向相應病毒服務器的制定目錄中移動，從而由安全管理員展開接下來的人工處理[6]。作為不同網絡安全域間的訪問控制設備，安全區域邊界防護系統通常都以安全計算環境邊界為主要設置點，其會以安全標記過濾與管理標準為根據，實現對數據包與訪問的有效過濾、檢測并對網絡攻擊發出警報等功能。（3）安全通信網絡建設實際上，一臺可正常運行的VP設備，就能滿足安全通信網絡的基本要求。具體來講，在外部終端需訪問內部網絡資源的時候，SSLVPN的效果更加顯著；若出現分支機構的現象，則利用VPN設備的加速功能，也能促進網絡傳輸效率的大幅度提升；從技術成熟度的角度上來看，IPSecVPN略勝一籌，但其配置的復雜性較強，實際使用也遠比不過SSLVPN的便捷性[6]。除此之外，在等級保護三級的要求下，技術人員必須開放VPN數據校驗與系統審計的功能。（4）安全管理中心建設就等級保護三級系統中安全管理中心的建設而言，很多廠家的SOC產品安全管理平臺產品，設計與配置都是以ITIL規范為根據展開的，但目前能將規范中全部要求一一滿足的廠家幾乎沒有。與此同時，只有少部分的合作伙伴才能接觸到安全產品，產品大量生產及統一管理的目的很難達成，經過相應的分析與研究可知，此問題主要是安全產品并未嚴格遵循規范導致的。因此，為同時滿足等保三級的要求與實際使用需求，我們應基于多個產品來建設安全管理中心，確保其各項功能均能發揮應有的重要作用，也為各被管理系統中管理工具與數據的高效融合提供更高程度的保證。具體來講，技術人員可按照要求選擇多個產品，這樣即使在權限不同的情況下，系統級別劃分工作也不會受到影響；同時各部分的管理人員也應分別配置，從而使管理規范能充分發揮其約束作用。在各項管理工具獲取到相應信息之后，技術人員即可進行最終的數據整合工作，一般情況下，需要進行數據整合的產品數量很多，尤其被廣泛應用于ERP系統里，并且最終用于企業領導層的重大決策。實際上，一般企業都能接受此價位，價格也能夠為一般企業所接受，只是傳統方案設計中并未考慮過產品在安全管理中心建設中的使用，現如今只通過對數據整合工具的利用，即能實現對多個管理工具間的信息互通[7]。

4結束語

本文通過對等保三級的概述與分析，闡述了等保三級所需要的要求，結合現在網絡環境下的實際情況，做出相應的設計以及策略，希望能夠為等保三級的實現作出貢獻。

參考文獻：

[1]吳文剛.中間件Tomcat在等保三級系統中的安全加固[J].山西能源學院學報，2017，121（04）：216-218.

[2]秦道祥，高潤生，秦銳.基于S3A3G3三級等保標準的Linux系統主機安全加固[J].中國教育信息化，2018（15）：88-91.

[3]陳志賓.基于等級保護思想的信息平臺安全研究與實現[D].河北工業大學，2012.

[4]蘭荊濤，潘衛，何啟兵.三級等級保護下的信息系統安全加固[J].電子技術與軟件工程，2019，000（005）：195-196.

[5]王棟，劉識，王懷宇，等.電力行業三級信息系統等級保護典型設計研究[J].電力信息化，2012.

[6]許戰戰.等級保護綜合管理信息系統的設計與開發[D].西安建筑科技大學，2015.

[7]賈君君，曹雙有，楊揚.大型企業移動辦公系統設計與實現[J].信息系統工程，2015，263（11）：98-99.

作者：熊楊 單位：中國地質調查局應用地質調查研究中心