有朋友提出，能不能ヽ(′ー｀)ノ根據最新的安全等保安全要求，談?wù)勑畔⑾到yヾ(′?｀)?的息系安全性問(wèn)題。確實(shí)，該何構建在安全事故層出不窮的安全今天，系統安全受到前所未有的息系關(guān)注和重視，所以，該何構建小編今天就來(lái)說(shuō)一說(shuō)。安全

一、息系信息系統安全的(de)該何構建重要性

信(′?ω?`)息系統安全本身包括的范圍很大。小到用戶(hù)密碼被盜個(gè)人信息外泄、安全網(wǎng)頁(yè)內容被篡改(′?｀)無(wú)法訪(fǎng)問(wèn)等，息系大到網(wǎng)上支付被劫持??、該何構建國家軍事政治等機密信息泄露等，安全各種信息系統安全事故每年造成(′ω｀)重大經(jīng)濟損失，息系并給個(gè)人、機構帶來(lái)嚴重影響。2018年4月20日至21日，全國網(wǎng)絡(luò )安全和信息化工作會(huì )議在北京召開(kāi)，習近平總書(shū)記出席會(huì )議并發(fā)表重要講話(huà)。他指出，沒(méi)有網(wǎng)絡(luò )安全就沒(méi)有國家安全，就沒(méi)有經(jīng)濟社會(huì )穩定運行，廣大人民群眾利益也難以得到保障。要樹(shù)立正確的網(wǎng)絡(luò )安全觀(guān)，加強信息基礎(chu)設施網(wǎng)絡(luò )安全防護，加強網(wǎng)絡(luò )安全信息統籌機制、手段、平臺建設，加(′?_?`)強網(wǎng)絡(luò )安全事(O_O)件應急指揮能力建設，積極發(fā)展網(wǎng)絡(luò )安全產(chǎn)業(yè)，做到關(guān)口前移，防患于未然。

網(wǎng)絡(luò )環(huán)境下的信息安全體系是保證信(′Д` )息安全的關(guān)鍵，包括計算機安全操作系統、各種安全協(xié)議、安全機制（數字簽名、信息認證、數據加密等），直至安全系統，其中任何一個(gè)安全漏洞便可以威脅全局安全。

近年來(lái)，信息系統安全事故層出不窮，各種網(wǎng)頁(yè)內容被黑客篡改、重要網(wǎng)站被掛馬、旅客住房信息被泄露等新聞頻頻見(jiàn)諸互聯(lián)網(wǎng)?；诖?，構建信息系統時(shí)，安全就變得尤為重要了。

2019年5月13日下午，《網(wǎng)絡(luò )安全等級保護制度》2.0標準（以下簡(jiǎn)稱(chēng)“等保2.0標準”）正式發(fā)布，實(shí)施時(shí)間為2019年12月1日。相較于2007年實(shí)施的《信息(O_O)安全等級保護管理辦法》所確立的等級保護1.0體系（以下簡(jiǎn)稱(chēng)“等保1.0標準”），為了適應現階段網(wǎng)絡(luò )安全的新形勢、新變化以及新技術(shù)、新應用(yong)發(fā)展的要求，2018年公安部正式發(fā)布《網(wǎng)絡(luò )安全等級保護條例（征求意見(jiàn)稿）》，國家對信息安全技術(shù)與網(wǎng)絡(luò )安全保護邁入2.0時(shí)代。其中，GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》將替代原來(lái)的GB/T2239-2008《信息安全技術(shù)信息系統安全等級保護基本要求》。

在近日舉行的等保2.0國家標準宣貫會(huì )上，說(shuō)起等保2.0標準的特點(diǎn)，公安部信息安全等級保護評估中心測評部主任、等級保護國家標準的主要起草者，馬力副研究員表示，相比等保1.0標準，??主要體現在??以下三個(gè)方面：

一是，對象范圍擴大。新標準將云計算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控??制系統等列入標準范圍，構成了“安全通用要求+新型應用安全擴展要求”的要求內容。

二是，分類(lèi)結構統一。新標準“基本要求、設計(′_ゝ`)要求和測評要求”分類(lèi)框架統一，形成了“安全通信網(wǎng)絡(luò )”、“安全區域邊界”、“安全計算環(huán)境”和“安全管理中心”支持下的三重防護??體系架構ヽ(′ー｀)ノ。

等保2.0標準在對等保1.0標準基本要求進(jìn)行優(yōu)化的同時(shí)，針對云計算、物聯(lián)網(wǎng)(╬ ò﹏ó)、移動(dòng)互聯(lián)網(wǎng)、工業(yè)控制、大數據新技術(shù)提出了新的安全擴展要求。也就是說(shuō)，使用新技術(shù)的信息系統需要同時(shí)滿(mǎn)足“通用要求+安全擴展”的要求。

關(guān)于等保2.0標準，網(wǎng)上有一篇《權威解讀|絡(luò )安全等級保護2(′▽?zhuān)?.0標準體系以及主??要標準》，更詳細的內容感興趣的朋友可參看：

http://n??etsecurity.51cto.com/art/201905/596905.htm

三、信息系統建設的幾個(gè)安全原則

在信息系統建設過(guò)程中，??需要遵循以下幾個(gè)原則：

1、木桶原則

假如(ru)系統中(zhong)有10個(gè)漏ヽ(′ー｀)ノ洞，攻擊者總是???尋找最容易攻破的漏洞進(jìn)行攻擊，這個(gè)最容易被攻破的漏洞就是木桶上最短的那塊木板。其它的安全措施做的再好，但是只要有這一個(gè)漏洞被攻破，系統就不安全了。好比即使買(mǎi)了最安全的防盜門(mén)，但是如果主人出門(mén)時(shí)忘了鎖門(mén)，防盜門(mén)也就形同虛設了。

2、性?xún)r(jià)比適中原則

一般來(lái)說(shuō)，(╬ ò﹏ó)在系統安全建設上投入越多，信息系統越安全。但是，安全投入并不是越多越好，在信息系統建設費用一定的情況下，需要考慮安全和應用系統建設投入的合理分配，即找到最合適的性?xún)r(jià)比，既不能影響應用系統的使用，又要最大限度地保證系統安全。

3、動(dòng)態(tài)更新原則

信息系統安全建( ?ヮ?)設并不是一勞??永逸的，它是一項長(cháng)期的、動(dòng)態(tài)的工作。各種網(wǎng)絡(luò )病毒、系統漏洞、黑客攻擊手段等每天都在發(fā)生變化，安??全建設需要隨著(zhù)外部安全環(huán)境的變化，動(dòng)態(tài)ヽ(′?｀)ノ持續更新，這樣才能及時(shí)發(fā)現信息系統中的安全漏洞，并及時(shí)采取補救措施。

四、信息系統建設過(guò)(′?_?`)程中的安全(quan)措施

現在，越(yue)來(lái)越多的客戶(hù)已??經(jīng)充分認識到信息系統安全的重??要性，但是還有一些客戶(hù)在信息系統曾經(jīng)出現過(guò)安全事故后，“一??朝被蛇咬十年怕井繩”，對新系統的建設畏手畏腳，或者提出近乎苛刻的安全要求，其實(shí)這都是非常(′?_?`)不可(ke)取的，也大可不必。市場(chǎng)上有很多專(zhuān)業(yè)的安全軟硬件設備，從物理層、網(wǎng)絡(luò )層、主機層、數據層等層面，以及通過(guò)安全服務(wù)（安全??評估、安全檢測等），為信?息系統的安全穩定運行保駕護航。拋開(kāi)這些不談，從信息系統軟件本身，在建設過(guò)程中，小編認為可以采取以下安全措施。

所謂的合理的軟件系統架構，其實(shí)就是軟件開(kāi)發(fā)過(guò)程中遵循的一種基本規范。比如MVC框架、微服務(wù)架構等就是其中很好的體現之一。一般來(lái)說(shuō)，我們需要遵循“展示和應用分離，靜態(tài)文件和動(dòng)態(tài)交互分離，應用系統和數據庫分離”等軟件開(kāi)發(fā)理念。

2、重要信息進(jìn)行加密處理

有數據表明，用戶(hù)個(gè)人信息泄露，很大一部分是由于??密碼被盜用，而密碼被盜用的主要原因是密碼設置過(guò)于簡(jiǎn)單或加密算法簡(jiǎn)單(′▽?zhuān)?被破解。所以，對于諸如密碼等重要信息，需要采用單向加密算法進(jìn)行存儲，并要求長(cháng)度不少于8位，且應由字符、數字、下劃線(xiàn)等組成。同時(shí)，對ˉ\_(ツ)_/ˉ于需??要傳輸的信息，應基于SSL等方式進(jìn)??行加密傳輸，保證用戶(hù)密碼、傳輸信息的(′ω｀)安全。

3、對特殊字符進(jìn)行處理，防止SQL注入

SQL注入，就是通過(guò)(guo)把SQL命令插入到Web表單提交或輸入域名或頁(yè)面請求的查詢(xún)字符串，最??終達到欺騙服務(wù)器執行惡意的SQL命┐(′ー｀)┌令。我們經(jīng)常在網(wǎng)上看到：輸入某個(gè)字符進(jìn)行查詢(xún)時(shí)，查詢(xún)結果中將很多其它信息顯示出來(lái)，就是通過(guò)這一方式實(shí)現的。

4、通過(guò)細顆粒度權限體系規范人員操作

很多安全事故的調查結果表明，由于內部人員的一些操作，導致信息被修改或刪除。造成這一結果的主要原因是，操(′ω｀)作人員的權限過(guò)大，無(wú)意操作。因(yin)此，應該通過(guò)更細??顆粒度的權限體系，為(wei)不同的操作人員設置相應的操作權限。

5、加強信息發(fā)布審核操作

對于重要信息的發(fā)布，應加強審核操(′ω｀)作。通過(guò)設??置審批工作流程，嚴格進(jìn)行層層審批審核，只有達到可發(fā)布狀態(tài)的信息??，才能正式對外發(fā)布。通過(guò)設置敏感詞庫、涉??密詞庫等措施，對信息發(fā)布過(guò)程中涉及的敏感詞內容進(jìn)(′_｀)行事前監控，避免將敏感、涉密信息發(fā)布到互聯(lián)網(wǎng)上。

6、建立事后審計制度

通過(guò)事后審計制度，將系統使用人員的重要操作進(jìn)行記錄，一旦發(fā)生安全事故，通過(guò)查看日志等措施，追蹤事故發(fā)生的原因和相關(guān)行為人。

7、持續地進(jìn)行安全巡檢服務(wù)

前面說(shuō)過(guò)，信息系統安全建設并不是一勞永逸的，因此需要經(jīng)常進(jìn)行安全巡檢，及時(shí)發(fā)現系統中存在的安全漏洞，并通過(guò)更新補丁包、升級軟件系統等方式，對應用系統進(jìn)行安全加固。

在信息系統的使用過(guò)(′?_?`)程中，要制定安全管理制度，嚴格遵循“上網(wǎng)不涉密，涉密不上網(wǎng)”等原則，通過(guò)不定期組織信息系統安全管理培訓，加強系統使用人員的安全意識，自覺(jué)地將安全管理制度深深植入到思想意識中，并在實(shí)際工作中加以應用。

最后，小編還想說(shuō)一句，沒(méi)有百分之百安全的信息系統，安全問(wèn)題也不應被視作(zuo)洪水猛獸。信息系統出現了安全問(wèn)題，在系統產(chǎn)??生重大影響之前，及時(shí)把問(wèn)題解決并且在以后不再出現同樣的問(wèn)題就可以了。如果要保證系統百分之百安全，那就只能不建設系統了，或者即使建了也不要使用。雖然防盜門(mén)不能百分之百保證住所安全，但是如果沒(méi)有防盜門(mén)，住所安全??性將大大降低。相信通過(guò)以上各種不同的安全措施，可以大大提高信息系統的安全性。