陈宗明 余福生
摘 要:移动智能终端的出现在给广大移动互联网受众带来方便快捷的使用体验的同时,也为移动互联网信息系统的等级保护工作带来了新的挑战。当前阶段,移动互联网信息系统的等级保护测评工作还未将移动智能终端所带来的威胁列入测评范畴。文章从现阶段移动互联网信息系统的等级保护测评实况出发,简要阐述几点新的测评方法与建议。
关键词:移动互联网;信息系统;等级保护
现阶段,移动互联网所采用的信息系统的等级保护测评机制还是沿用常规的信息等级保护测评方式,比如在测评主机安全性的时候仅关注PC操作系统以及数据库的配置安全问题,测评网络安全时也只关注使用PC客户端进行访问业务过程中出现的访问控制以及数据传输的安全问题等。当前阶段,移动互联网信息系统的等级保护测评应该从网络安全、应用软件安全、数据库安全以及终端安全等多个角度综合进行。
1 移动互联网信息系统简要概述
移动互联网信息系统实际上指的是一套建立在手机、iPad等便携化终端设备上,作为信息载体进行信息存储与传输的移动化信息系统,将无线网络、手机设备以及办公系统进行有效结合,在一定程度上可以实现任何时间与任何地点的办公,大大提高了人们的工作效率。在通过移动终端进行互联网访问的过程中,可以将移动互联网信息系统的访问流程划分为不同的区域,其中包括移动智能用户终端区域、互联网运营商传输区域、内外网接入区域以及业务内网服务区域等。除此之外,在进行移动终端内网业务访问的过程中还需要针对信息系统内的身份鉴别功能、数据保密功能、内网接入控制、网站边界防护等对用户可能会产生威胁的拓扑位置进行严格的等级保护测评[1]。
2 移动互联网信息系统与传统互联网信息系统的等级保护区别
在移动互联网的信息系统运行过程中,移动终端最先通过建立无线接入通道实现与网络运营商的链接,然后再通过该通道与企业内部网站的访问业务系统的服务端进行链接,在整个过程中涉及很多信息安全问题,其中包括移动网络终端的安全认证问题、访问用户的身份认证问题、在访问过程中的数据存储与数据传输安全问题以及进行终端移动的用户权限问题等。这些问题一般来说不会出现在传统的互联网信息系统的等级保护过程中。因此,移动互联网信息系统与传统互联网信息系统的等级保护领域实际上是在不断扩张的,并且针对不同的信息系统层级也会有不同的等级保护测评体系。
3 提高移动互联网信息系统等级保护测评质量的策略研究
3.1 加强对移动互联网信息系统中软件安全的等级保护测评
对于移动互联网信息系统来说,一般系统内部的软件架构会包含几个不同的层面:信息接入层、信息展现层、信息应用层、基础技术支撑层、运行环境层等。首先,针对信息接入层来说,该层面是由移动互联网用户和信息系统搭建的介入媒体双方所共同构成的,具体到该层面的实际业务方面实际上就是一个访问入口,对于该层面的安全等级保护需要从减少入口的攻击性入手,即最大限度地降低接入口对整个软件系统的威胁。一般来说,可以通过在接入口与出入口等比较关键的核心层面建立可信机制,对于部分非指定接口应该严格控制其访问权限。其次,是信息展现层,顾名思义就是进行信息内容展示的区域,针对该层面的等级保护,最核心的一点就是确保信息系统所展示信息的准确性与完成性,在处理测评的过程中主要测评信息内容是否存在被随意篡改的风险。再次,信息应用层是移动互联网信息信息系统中进行数据信息处理的核心部分,也是移动互联网信息系统等级保护的主要测评部分。从次,基础技术支撑层主要指的是利用互联网技术通用的各类组件、用户管理与服务以及组建交换等常用的应用服务,针对该层面的安全等级保护可以从系统组建自身的稳定性与安全性入手,加强不同组件链接口之间的安全性。最后,针对信息运行环境层来说,所面临的最主要的安全问题在于恶意代码、物理攻击以及软件或者硬件之间的故障方面,应该采取的主要措施就是增强对移动互联网信息系统的综合管理与安全测评[2]。
移动互联网信息系统软件中经常出现的“黑客”攻击,作为一种威胁极大的互联网信息系统安全隐患,在处理该类问题时,要在建立合理科学的等级保护制度的基础上,在不同类型的软件信息中心做好可以24小时监控预测的预警防护机制,包括网站防护、云端防护以及实时预警等安全保护措施,并且针对可能出现的危险事故,尽量提前做好安全措施与应急预案。相关人员也应该增强对移动互联网信息系统的维护工作,尽量缩短维护、排查工作间隔,从而最大限度地提升移动互联网信息系统的安全性。另一方面,还可以通过滚动排查和抽样排查的方式,及时发现软件信息系统中存在的安全漏洞,最大限度地避免信息篡改、病毒入侵以及暗链等问题的出现。除此之外,针对没有严格按照规定贯彻落实集约化与规范化管理的网络信息系统,也必须坚持做好24小时的监控预测与报警机制,并进行实时保护,在出现系统漏洞的第一时间就通过后台系统进行修复。相关人员也应该对后台系统进行升级维护,从而提升后台系统所能够应对的漏洞等级。也应该完善专人负责制度,安排专业人员进行日常维护,当后台系统所出现的漏洞无法凭借系统内部的维修系统处理时,相关人员就应该立即介入,防止出现系统崩溃现象。通过这种方式,一方面有利于提高移动互联网软件信息系统的安全防护,另一方面也有利于提高移动互联网信息系统等级保护测评的效率与质量,从而使相关人员更高效地处理信息,方便人们的工作和生活。
3.2 加强相关人员对移动互联网信息系统等级保护测评的重视
移动互联网信息系统的安全等级保护工作主要包括5个方面,分别为安全等级保护定级、等级保护备案、等级保护安全建设、信息整改与安全测评以及信息安全性检查。当前阶段,在进行移动互联网信息系统的安全等级保护测评过程中,具有测评机制的应该是由公安部授权过的具有安全资质的第三方信息机构,该机构可以为各大小企业单位与事业单位提供专业化的信息安全等级保护测评以及等级保护咨询服务。因此,作为测评机构,在单位内部要加强对信息系统安全等级保护与测评工作的重视,通过与运营维护企业之间建立密切配合关系,派遣专人专项负责等措施,贯彻落实各项移动互联网信息系统等级保护测评机制,并在主管公安部门的监督与指导下,以最优等级的保护措施与测评工作,确保移动互联网信息系统的安全、顺畅运行。与此同时,还要加强对移动互联网信息系统的日常密码维护,严格按照相关规定去定期修改密码、进行密码维护。从一定程度上来讲,密码维护也是一项十分关键的信息系统安全管理措施,通过定期的维护与测评可以有效提高移动互联网信息系统的安全性与稳定性,也可以有效降低系统与服务器被恶意攻击的可能性。相关人员必须要端正对移动互联网信息系统等级保护测评的重视态度,才能采取有效措施对移动互联网信息系统进行分等级保护,从而提升移动互联网信息系统的安全性与不可攻击性。只有提升相关工作人员对安全等级保护的重视程度,才能在此基础上开展等级保护备案、等级保护安全建设、信息整改、安全测评以及信息安全性检查工作。
为了加强相关工作人员对移动互联网信息系统等级保护测评的重视,可以从加大对计算机相关安全系统与安全保护条例等相关政策制度的宣传教育入手,切实做到对相关工作人员意识普及与职业素养的培训,帮助相关人员认识到互联网信息系统安全等级保护与保护测评的重要性,从而帮助其端正自己的工作态度,恪尽职守。其中不仅包括对相关信息安全等级保护规章制度的强化学习,还要针对移动互联网信息系统等级保护测评要求与工作流程的严格化与规范化培训,切实将信息系统安全保护工作贯彻落实到每一个细节。一方面要确保移动互联网信息系统的正常高效运转,另一方面还要促进信息系统等级保护测评工作的不断创新。此外,公安部门也要通过各种类型的宣传与引导活动,针对信息系统的安全问题及时作出科普,比如可以通过定期开展互联网信息安全讲座、分发移动互联网宣传手册等方式,在潜移默化中加强人们对移动互联网信息系统安全保护的认识,必要时可以将法律作为武器惩戒各类破坏移动互联网信息系统安全的违法行为。
4 结语
移动互联网信息系统等级保护无论是对于广大用户来说还是对于整个行业的正常运行来说都至关重要,它既影响着企业于用户的正常工作與生活,也间接影响着移动互联网信息技术的长远发展。因此,针对移动互联网信息系统的等级保护以及等级保护测评不容小觑,需要相关部门与相关工作人员从强化信息系统安全保护意识与等级测评意意识入手,以维护移动互联网信息系统软件安全、网络安全、数据库安全以及终端设备安全为着力点,在切实确保移动互联网信息系统正常运行的同时,加大对移动互联网信息系统等级保护测评机制的不断健全与完善。
[参考文献]
[1]马帅.等级保护设计要求下的移动业务系统安全防御体系[J].保密科学技术,2012(1):24-28.
[2]冯志杰,李红双.智能终端安全防护体系设计[J].电信工程技术与标准化,2013(2):18-22.