落实等保要求提升信息安全保障能力

曹俊启，黎 伟

（南水北调中线水源有限责任公司，丹江口 442700）

企业对于保护信息安全的工作始终保持着高度重视，通过国家相关部门的科学指导，努力进行信息系统的安全保护整改、测评、定级等工作，对信息安全技术的等保体系进行不断完善与优化，增加信息安全方面的投入，健全管理信息安全的流程，不断提升工作人员的安全技能与安全意识。

1 开展等级保护测评

企业应根据政府监管机构的要求与相关法律法规，积极进行信息系统的等级保护测评工作，邀请相关测评机构来测评已定级信息系统，确保全部备案系统都符合测评要求和国家信息系统的相关安全要求。与此同时，应把公司的最终测评报告进行公示，让公司有关部门根据测评报告给出的建议与意见，对公司信息保护的安全体系进行优化与完善。应颁布信息安全相关文件，根据文件的要求对各个部门的定级备案进行指导，重新定级公司的信息系统，并确保定级结果能被专家组审核通过。此外，公司还应定期对信息系统进行等级保护的测评。

2 做好信息系统建设

要想使信息的安全保障能力得以提高，需要把等级化的需求归纳到非功能的需求规范中，从而对建设信息系统的工作进行指导。公司应制定非功能的需求制度规范，把等级保护的需求当作重中之重，把信息系统的安全策略设计、安全保护需要、定级分类等和不同内容以模板的形式进行编制，加入到项目管理的过程中，对测试环节、设计系统环节、分析需求环节、提出需求等环节的工作进行安全指导[1]。在进行信息系统的安全保护工作时，应从安全监控、安全加固、防泄密、加密、访问控制、身份认证等多方面入手，提出相应安全要求指标。设计信息系统的安全策略时，应从安全审计、安全监控、防恶技术、安全加固、加密技术、访问控制、身份认证、产品管理、建设平台等多方面入手，提出相应安全策略。

3 完善等级保护体系

首先，应设计信息系统的等级定级标准。公司应以信息系统价值为主要的出发点确定定级的要素，量化评级信息系统。定级要求应设计信息系统的业务连续性、服务能力、服务方式、服务范围、服务对象、业务功能等多个方面与评估指标，通过量化的科学方法评估信息系统价值，让公司分级评估信息系统有理有据。其次，应设计等级保护的分级原则。公司在划分信息系统等级时应将自身情况与国家、国际划分等级的制度及方法进行有机结合，将信息系统划分成低保护级、中保护级、高保护级这三个安全保护等级。设计定级要素时，不但要从国家角度出发，加强对侵害国家、社会、公民程度的重视，还应从公司层面加强对信息系统价值的重视，在定级时尽可能量化指标，从而使由于理解差异导致的定级结果差异现象得以减少。

4 搭建安全技术平台

企业应按照信息系统的安全技术结构，对搭建安全技术平台的原则进行明确，将基础平台应用于信息系统的建设，给优化与整合安全技术指明方向，使整个公司应用信息系统的安全技术拥有具体指导细则。应通过集中建设共性任务策略，对安全基础平台进行搭建。应进行用户授权与认证平台的开发，将权限控制服务与身份认证服务提供给整个公司的系统与网络。应对安全服务的加密平台进行统一开发，使加密服务应用于公司的不同应用系统，应设计数据管理的安全系统，使公司的各项数据获得数据防泄漏、访问控制、安全策略等服务。进行信息系统的管理与运维时，应对事件监控、日志管理、管理运维等系统进行建设，为运维提供全面的审计、监控、授权等服务[2]。

公司应按照安全技术的等级化架构，通过纵深防御战略的使用对信息安全运维保障的体系进行建设，和公安、电信等多个部门合作，构建协防的机制，通过国家手段对大范围、恶性攻击行为进行防范。应对外联网与互联网两者的防护安全标准进行合理规划，对行为检测、信息过滤、入侵检测、防火墙等系统进行科学部署，对边界的风险隐患进行防范。应做好网站安全威胁的研究、分析、跟踪等工作，在网站系统中积极使用新产品与新技术，定期检测假冒网站，进行安全渗透的测试。应对内部的网络区域进行科学划分，对测试网、办公网、生产网进行隔离，对桌面防护的安全体系进行部署，使整个公司的计算机终端获得管理漏洞补丁与防范病毒等多种服务。应加快作业调度系统的推进，转变原有的系统与手工命令调度方法，使管理运维平台朝着自动化的方向发展，使重复性工作更加规范化、集约化、自动化，减少信息系统的人为安全隐患，构建一个监控运维系统，动态监控公司的系统设备。

5 结束语

总而言之，做好信息安全保障工作具有十分重要的意义。公司应贯彻落实等级保护的要求，开展等级保护测评，做好信息系统建设，完善等级保护体系，搭建安全技术平台，从而使自身的信息安全保障能力得到提升，有效处理自然因素、系统因素、人为因素对信息系统造成的负面影响，促进公司的可持续发展。