二十大过后,信息系统安全被提到的次数越来越多,那么如何做好信息系统安全管理工作,帮助客户进行安全等级划分?
首先有一个正确的认知,把信息系统的安全目标定位于“系统永不停机、数据永不丢失、网络永不瘫痪、信息永不泄密”,是错误的,是不现实的,也是不可能的。在我们接触客户的过程中,由于客户对信息系统安全没有专业判断和充实的安全知识储备,对信息系统安全项目的定位往往会停留在静态的处置方式中,把问题放到一切都是可以一次性解决的闭塞思想里,所以首先我们要给予客户一个正确的认知,避免在后续项目中产生需求冲突,影响项目进度的开展。
接着确立安全策略,即“七定”核心内容。包括定方案、定岗、定位、定员、定目标、定制度、定工作流程。“七定”的结果就是确定了该单位组织的计算机业务应用信息系统的安全如何具体地实现和保证。安全策略对客户而言具有重要的安全指导意义,是进行安全工作的重要流程,做好七定工作可以让信息系统安全管理更加科学有效率。
最后帮助客户确定安全等级,安全等级一共分为五级,分别是:
第一级:用户自主保护级;由用户来决定如何对资源进行保护,以及采用何种方式进行保护。
第二级:系统审计保护级;本级的安全保护机制支持用户具有更强的自主保护能力。特别是具有访问审记能力,即它能创建、维护受保护对象的访问审计跟踪记录,记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息,所有和安全相关的操作都能够被记录下来,以便当系统发生安全问题时,可以根据审记记录,分析追查事故责任人。
第三级:安全标记保护级;具有第二级系统审计保护级的所有功能,并对访问者及其访问对象实施强制访问控制。通过对访问者和访问对象指定不同安全标记,限制访问者的权限。
第四级:结构化保护级;将前三级的安全保护能力扩展到所有访问者和访问对象,支持形式化的安全保护策略。其本身构造也是结构化的,以使之具有相当的抗渗透能力。本级的安全保护机制能够使信息系统实施一种系统化的安全保护。
第五级:访问验证保护级;具备第四级的所有功能,还具有仲裁访问者能否访问某些对象的能力。本级的安全保护机制不能被攻击、被篡改的,具有极强的抗渗透能力。
所以我们要根据客户的主体性质,帮助客户确认等级后,进行方案设计,避免定位不准确造成预算不够和超支。
网信科技专注网络信息安全领域10余年以上,具备国家网络信息安全主管部门颁发的保密认证资质及国际权威认证资质,拥有大量智慧城市及信息安全项目建设经验,欢迎大家致电合作。
END
编辑:吉荧
审核:刘海娜
IT综合服务商
智慧城市规划设计与实施
