信息化建設(shè)中信息安全的定位和構(gòu)筑策略

信息化建設(shè)中信息安全的定位和構(gòu)筑策略摘要：信息安全事件的不斷增多使得在信息化建設(shè)中信息安全受到越來(lái)越多的重視。如何在信息化建設(shè)中更好的規(guī)劃和應(yīng)用信息安全，確保信息化建設(shè)的成功是本文關(guān)注的重點(diǎn)。本文從技術(shù)和管理兩個(gè)方面對(duì)信息安全涉及到的內(nèi)容進(jìn)行了闡述，并結(jié)合信息系統(tǒng)等級(jí)保護(hù)，探討了在信息化建設(shè)中如何從宏觀和微觀兩個(gè)角度進(jìn)行信息安全建設(shè)。 關(guān)鍵詞：信息化建設(shè)；信息安全；信息系統(tǒng)等級(jí)保護(hù) 中圖分類(lèi)號(hào)：P23 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-3695-（2009) 05-19-05 1引言 隨著信息化建設(shè)的不斷深人，信息安全問(wèn)題日益突顯。目前，世界各國(guó)都將信息安全、網(wǎng)絡(luò)安全作為事關(guān)國(guó)家安全的大事來(lái)抓。2009年5月29日，美國(guó)總統(tǒng)奧巴馬公布了一份由安全部門(mén)官員完成的網(wǎng)絡(luò)安全評(píng)估報(bào)告，表示來(lái)自網(wǎng)絡(luò)空間的威脅已經(jīng)成為美國(guó)面臨的最嚴(yán)重的經(jīng)濟(jì)和軍事威脅之一，宣布在白宮成立網(wǎng)絡(luò)安全辦公室。在中共十六屆四中全會(huì)上，中央將信息安全與政治安全、經(jīng)濟(jì)安全、文化安全并列為四大“國(guó)家安全”，明確提出了完善信息安全的戰(zhàn)略目標(biāo)。由此可見(jiàn)，信息安全對(duì)保障一個(gè)國(guó)家的政治、經(jīng)濟(jì)、軍事安全發(fā)揮著越來(lái)越重要的作用。因此，信息化建設(shè)中信息安全問(wèn)題的深入探討很有意義。 2信息安全的定位 我國(guó)的信息化建設(shè)始于20世紀(jì)80年代，最初的建設(shè)主要集中于紙質(zhì)信息的數(shù)字化以及單機(jī)應(yīng)用系統(tǒng)的開(kāi)發(fā)。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，應(yīng)用系統(tǒng)的開(kāi)發(fā)也逐漸轉(zhuǎn)向以網(wǎng)絡(luò)為依托，實(shí)現(xiàn)電子政務(wù)、電子商務(wù)、網(wǎng)上辦公等。不僅節(jié)約了資源，提高了辦事效率，而且擴(kuò)大了資源共享范圍。 由于在微型計(jì)算機(jī)發(fā)展之初，對(duì)安全的考慮不夠，導(dǎo)致微型計(jì)算機(jī)軟、硬件設(shè)計(jì)上的簡(jiǎn)化，致使信息資源及其依托的軟硬件極易遭到破壞，產(chǎn)生了安全隱患。計(jì)算機(jī)網(wǎng)絡(luò)的主要目標(biāo)是實(shí)現(xiàn)資源共享，因此在設(shè)計(jì)之初也未過(guò)多考慮安全問(wèn)題，從而造成網(wǎng)絡(luò)協(xié)議的安全缺陷。而且隨著應(yīng)用軟件功能的不斷完善，代碼量越來(lái)越大，存在的軟件漏洞也越來(lái)越多。正是由于這些原因，導(dǎo)致計(jì)算機(jī)病毒、木馬、后門(mén)泛濫，嚴(yán)重威脅信息的安全。 隨著信息化建設(shè)的不斷推進(jìn)，信息化建設(shè)的重點(diǎn)由只關(guān)注應(yīng)用系統(tǒng)開(kāi)發(fā)，逐漸轉(zhuǎn)變?yōu)橄到y(tǒng)開(kāi)發(fā)與信息安全建設(shè)并重，信息安全被提高到了一個(gè)前所未有的高度。按照目前的觀念，信息化建設(shè)涉及的內(nèi)容可劃分為三個(gè)方面：網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)、應(yīng)用系統(tǒng)開(kāi)發(fā)和信息安全保障，這些稱(chēng)為信息化建設(shè)的“三大支柱”，缺一不可。如果把網(wǎng)絡(luò)基礎(chǔ)設(shè)施比喻成高速公路，把應(yīng)用系統(tǒng)看作是高速公路上行駛的車(chē)輛，那么信息安全就是保障道路和車(chē)輛安全所必須遵循的交通法規(guī)。我們都知道在沒(méi)有交通法規(guī)的高速公路上行駛車(chē)輛會(huì)造成什么樣的后果，因而我們不難想象，在沒(méi)有信息安全保障的網(wǎng)絡(luò)基礎(chǔ)設(shè)施上運(yùn)行應(yīng)用系統(tǒng)將會(huì)造成什么樣的后果！信息安全是網(wǎng)絡(luò)基礎(chǔ)設(shè)施和應(yīng)用系統(tǒng)的安全保障，其重要性將隨著信息化建設(shè)的不斷推進(jìn)而更加凸顯。 3信息安全的范圍 信息安全的主要目標(biāo)是實(shí)現(xiàn)機(jī)密性、完整性和可用性。信息技術(shù)安全評(píng)估準(zhǔn)則（ISO/IEC 15408）將信息安全定義為：被評(píng)估的信息系統(tǒng)或產(chǎn)品的安全策略、安全功能、安全管理、安全開(kāi)發(fā)、安全維護(hù)、安全檢測(cè)、安全恢復(fù)和安全評(píng)測(cè)等概念的總稱(chēng)。 信息系統(tǒng)安全保障評(píng)估框架（GB/T 20274）中將信息系統(tǒng)安全保障定義為:在信息系統(tǒng)的整個(gè)生命周期中，通過(guò)對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)分析，制定并執(zhí)行相應(yīng)的安全保障策略，從技術(shù)、管理、工程和人員等方面提出安全保障要求，確保信息系統(tǒng)的保密性、完整性和可用性，降低安全風(fēng)險(xiǎn)到可接受的程度，從而保障系統(tǒng)實(shí)現(xiàn)機(jī)構(gòu)組織的使命。 綜合已有的標(biāo)準(zhǔn)和實(shí)際工作，我們認(rèn)為信息安全涉及到整個(gè)信息化建設(shè)的方方面面，必須融入到信息化建設(shè)的全過(guò)程。只有在整個(gè)信息化建設(shè)過(guò)程中，通過(guò)技術(shù)和管理兩個(gè)方面的考慮，把信息安全作為信息化建設(shè)的一個(gè)重要目標(biāo)，才能保障信息化建設(shè)的成功。 只重視技術(shù)不重視管理，信息安全是無(wú)本之木；只注重管理不注重技術(shù)，信息安全是“空口政治”；只有技術(shù)和管理并重，才能最大程度的提供安全保障。以系統(tǒng)口令為例，口令安全策略要求口令需要定期修改。如果只是把其作為一項(xiàng)安全策略讓各部門(mén)員工熟知，而不從技術(shù)上進(jìn)行控制，則很難達(dá)到效果。因?yàn)闊o(wú)論口令改與不改，我們都無(wú)從知曉，而且對(duì)于大多數(shù)人來(lái)說(shuō)，一般觀念都是怎么方便怎么來(lái)，這樣，這項(xiàng)安全策略根本無(wú)法貫徹。如果我們通過(guò)技術(shù)手段，確保若不定期更改密碼則無(wú)法登陸系統(tǒng)，用戶(hù)只能定期更改密碼。只注重技術(shù)不注重管理同樣很難保證安全。依然以系統(tǒng)口令為例，如果我們只是通過(guò)技術(shù)手段要求員工必須按照要求定期修改口令，而不從管理上進(jìn)行要求，則很多員工會(huì)為了方便，將復(fù)雜的口令寫(xiě)下來(lái)，貼在電腦旁或記在本子上，這同樣不安全。權(quán)威機(jī)構(gòu)統(tǒng)計(jì)表明：在所有的信息安全事故中，70以上的信息安全問(wèn)題是由于內(nèi)部員工的疏忽或有意泄密這些管理方面的原因造成的，而這些安全問(wèn)題中的絕大多數(shù)是可以通過(guò)科學(xué)的信息安全管理能夠避免或解決。只有員工都樹(shù)立安全意識(shí)，按照優(yōu)化的技術(shù)流程辦事，發(fā)揮技術(shù)和管理的雙重作用，信息安全事故才能杜絕。下面，我們就詳細(xì)探討一下信息安全所涉及到的這兩方面。 3.1技術(shù) 在技術(shù)上，信息安全主要通過(guò)在信息系統(tǒng)中部署軟硬件并正確的配置其安全功能來(lái)實(shí)現(xiàn)，我們稱(chēng)其為“安全技術(shù)手段”。目前常用的安全技術(shù)手段有以下幾種： 1）身份鑒別：用于對(duì)用戶(hù)的身份進(jìn)行確認(rèn)。常采用的身份鑒別方式有口令、指紋、證書(shū)等。其中使用最為廣泛的為口令，隨著對(duì)信息安全的要求不斷提高，指紋識(shí)別、虹膜識(shí)別等一系列生物認(rèn)證方式得到大范圍應(yīng)用。使用 USBKEY來(lái)存儲(chǔ)用戶(hù)數(shù)字證書(shū)來(lái)達(dá)到身份識(shí)別的方式也在許多企事業(yè)單位得到廣泛應(yīng)用。 2）訪問(wèn)控制：通過(guò)限制只有授權(quán)用戶(hù)才可以訪問(wèn)指定資源，防止非授權(quán)的訪問(wèn)和授權(quán)人員的違規(guī)訪問(wèn)。包括自主訪問(wèn)控制和強(qiáng)制訪問(wèn)控制。自主訪問(wèn)控制可以由用戶(hù)制定安全策略。強(qiáng)制訪問(wèn)控制由系統(tǒng)管理員指定安全策略，用戶(hù)本身無(wú)權(quán)更改自身的安全屬性。 3）標(biāo)記：對(duì)計(jì)算機(jī)系統(tǒng)資源（如用戶(hù)，進(jìn)程，文件，設(shè)備）進(jìn)行標(biāo)記，通過(guò)標(biāo)記來(lái)實(shí)現(xiàn)對(duì)系統(tǒng)資源的訪問(wèn)控制。標(biāo)記是實(shí)施強(qiáng)制訪問(wèn)控制的基礎(chǔ)。 4）可信路徑：提供系統(tǒng)和用戶(hù)之間的可信通信路徑。目前，Windows為部分應(yīng)用提供可信路徑，比如口令的輸人。 5）安全審計(jì)：對(duì)受保護(hù)客體的訪問(wèn)進(jìn)行審計(jì)，阻止非授權(quán)用戶(hù)對(duì)審計(jì)記錄的訪問(wèn)和破壞。安全審計(jì)作為信息安全的一種事后補(bǔ)救或追蹤手段，對(duì)發(fā)現(xiàn)和追蹤違規(guī)操作非常重要。 6）剩余信息保護(hù)：在客體重新被分配給一個(gè)主體前，對(duì)客體所含內(nèi)容進(jìn)行徹底清除，防止新主體獲得原主體活動(dòng)的任何信息。尤其是對(duì)于一些曾經(jīng)存儲(chǔ)過(guò)涉密信息的介質(zhì)，在使用前必須采取一定措施，確保不會(huì)造成涉密信息泄露。 7）數(shù)據(jù)機(jī)密性保護(hù)：防止敏感信息泄露給非授權(quán)用戶(hù)。通常采用加密技術(shù)來(lái)確保信息的機(jī)密性。 8）數(shù)據(jù)完整性保護(hù)：防止非授權(quán)用戶(hù)對(duì)信息進(jìn)行修改或破壞。隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，完整性被破壞所造成的危害已遠(yuǎn)大于機(jī)密性所造成的危害。目前常用的完整性保護(hù)是通過(guò)對(duì)被保護(hù)信息計(jì)算哈希值，通過(guò)將被保護(hù)信息的哈希值和預(yù)先存儲(chǔ)的哈希值進(jìn)行比較來(lái)確定信息是否被篡改。 上述技術(shù)手段主要通過(guò)一些安全產(chǎn)品來(lái)實(shí)現(xiàn)。常用的安全產(chǎn)品有：VPN設(shè)備，安全路由器，安全防火墻，入侵檢測(cè)系統(tǒng)，入侵防御系統(tǒng)，CA系統(tǒng)，防病毒網(wǎng)關(guān)，漏洞掃描系統(tǒng)，抗拒絕服務(wù)系統(tǒng)，流量控制系統(tǒng)等。只有按照制定的安全策略，正確的配置安全產(chǎn)品，才能最大程度提供信息安全保障。 3.2管理 在管理上，與信息系統(tǒng)中各種角色參與的活動(dòng)有關(guān)，主要通過(guò)控制各種角色的活動(dòng)，從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來(lái)實(shí)現(xiàn)。一個(gè)完善的信息安全管理體系，主要涉及以下幾方面的內(nèi)容： 1）策略和制度 安全策略是對(duì)允許做什么，禁止做什么的規(guī)定。安全策略可以定義成一種文檔，用于陳述如何保護(hù)有形和無(wú)形的信息資產(chǎn)。建立信息安全管理體系既要制定說(shuō)明信息系統(tǒng)安全的總體目標(biāo)、范圍和安全框架的總體安全策略，也要制定包含風(fēng)險(xiǎn)管理策略、業(yè)務(wù)連續(xù)性策略、安全培訓(xùn)與教育策略、審計(jì)策略、規(guī)劃策略、機(jī)構(gòu)策略、人員策略等具體的安全策略。 安全策略屬于安全戰(zhàn)略范疇，它不需指定所使用的技術(shù)。因此，還需要在安全策略指導(dǎo)下，根據(jù)機(jī)構(gòu)的總體安全策略和業(yè)務(wù)應(yīng)用需求，制定信息系統(tǒng)安全管理的規(guī)程和制度。如網(wǎng)絡(luò)安全管理規(guī)定，系統(tǒng)安全管理規(guī)定，數(shù)據(jù)安全管理規(guī)定等。 2）機(jī)構(gòu)和人員 建立信息安全管理體系，需要建全安全管理機(jī)構(gòu)，配置不同層次和類(lèi)型的安全管理人員，明確各層各類(lèi)安全管理機(jī)構(gòu)和人員的職責(zé)與分工，建立人員錄用、離崗、考核和審查制度，定期對(duì)信息系統(tǒng)相關(guān)工作人員進(jìn)行教育和培訓(xùn)，制定第三方人員管理要求。 3）風(fēng)險(xiǎn)管理 信息安全的實(shí)質(zhì)是通過(guò)對(duì)信息系統(tǒng)分析，了解所存在的安全風(fēng)險(xiǎn)，通過(guò)相應(yīng)的安全技術(shù)和措施，將安全風(fēng)險(xiǎn)降低到可接受的程度。風(fēng)險(xiǎn)管理包括威脅管理和脆弱性管理。進(jìn)行風(fēng)險(xiǎn)評(píng)估，分析資產(chǎn)價(jià)值/重要性，分析信息系統(tǒng)面臨的威脅及信息系統(tǒng)的脆弱性，進(jìn)而了解系統(tǒng)存在的風(fēng)險(xiǎn)，采取相應(yīng)的安全措施避免風(fēng)險(xiǎn)的發(fā)生。要定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，并確定安全對(duì)策。 4）環(huán)境和資源管理 需要對(duì)機(jī)房、辦公環(huán)境、資產(chǎn)、介質(zhì)和設(shè)備進(jìn)行管理，保障其安全可靠、穩(wěn)定運(yùn)行。如機(jī)房要防水、防火、防潮、防靜電、防雷擊、防磁等；設(shè)備、介質(zhì)、資產(chǎn)要防盜、防毀，確保其安全可用。對(duì)資產(chǎn)的增加、減少和轉(zhuǎn)移要進(jìn)行記錄。 5）運(yùn)行和維護(hù)管理 運(yùn)行和維護(hù)涉及的內(nèi)容較多，包括系統(tǒng)用戶(hù)管理，終端系統(tǒng)、服務(wù)器、設(shè)備管理，運(yùn)行狀況監(jiān)控，軟硬件維護(hù)，外包服務(wù)管理等。還包括對(duì)采用的各種技術(shù)手段進(jìn)行管理，對(duì)安全機(jī)制和安全信息進(jìn)行集中管理和整合。 6）業(yè)務(wù)連續(xù)性管理 對(duì)數(shù)據(jù)備份的內(nèi)容和周期進(jìn)行管理，對(duì)介質(zhì)、系統(tǒng)和設(shè)備進(jìn)行冗余備份，制定應(yīng)急響應(yīng)機(jī)制和預(yù)案，在災(zāi)難發(fā)生時(shí)能夠進(jìn)行應(yīng)急處理和災(zāi)難恢復(fù)，保障業(yè)務(wù)的連續(xù)性。 7）監(jiān)督和檢查管理 對(duì)系統(tǒng)進(jìn)行審計(jì)、監(jiān)管、檢查。對(duì)建立的規(guī)章制度，定期進(jìn)行監(jiān)督和檢查，確保制度落到實(shí)處。同時(shí)，需要結(jié)合審計(jì)，對(duì)安全事件進(jìn)行記錄，對(duì)違規(guī)操作進(jìn)行報(bào)告，按照審計(jì)結(jié)果進(jìn)行責(zé)任認(rèn)定，并據(jù)此對(duì)機(jī)構(gòu)和員工進(jìn)行獎(jiǎng)懲。 8）生命周期管理 建立信息系統(tǒng)安全管理體系，還要對(duì)應(yīng)用系統(tǒng)的整個(gè)生命周期進(jìn)行全過(guò)程管理。確保開(kāi)發(fā)的應(yīng)用系統(tǒng)符合安全要求。應(yīng)用系統(tǒng)的生命周期可以劃分為規(guī)劃組織階段、開(kāi)發(fā)采購(gòu)階段、實(shí)施交付階段、運(yùn)行維護(hù)階段、變更和反饋階段和廢棄階段。在每一個(gè)階段中，信息安全管理貫穿始終。我們認(rèn)為，如果能夠在每個(gè)階段進(jìn)行類(lèi)似于等級(jí)保護(hù)制度的備案，可以為系統(tǒng)的成功開(kāi)發(fā)提供一定的監(jiān)督和指導(dǎo)作用。 在規(guī)劃組織階段，需要在應(yīng)用系統(tǒng)建設(shè)和使用的決策中考慮應(yīng)用系統(tǒng)的風(fēng)險(xiǎn)及策略；在開(kāi)發(fā)采購(gòu)階段，需要基于系統(tǒng)需求和風(fēng)險(xiǎn)、策略將信息安全作為一個(gè)整體進(jìn)行系統(tǒng)體系的設(shè)計(jì)和建設(shè)，并對(duì)建設(shè)的系統(tǒng)進(jìn)行評(píng)估，以確保符合國(guó)家相關(guān)要求，如等級(jí)保護(hù)的要求；在實(shí)施交付階段，需要對(duì)承建方進(jìn)行安全服務(wù)資格要求和信息安全專(zhuān)業(yè)人員資格要求，以確保施工組織的服務(wù)能力，確保交付系統(tǒng)的安全性；在運(yùn)行維護(hù)階段，需要對(duì)信息系統(tǒng)的管理、運(yùn)行維護(hù)、使用人員等進(jìn)行管理，保障系統(tǒng)安全正常運(yùn)行；在變更和反饋階段需要對(duì)外界提出的新的安全需求進(jìn)行反饋，變更要求或增強(qiáng)原有的要求，重新進(jìn)入信息系統(tǒng)的規(guī)劃階段；若信息系統(tǒng)無(wú)法滿足已有的業(yè)務(wù)需求或安全需求，系統(tǒng)進(jìn)人廢棄階段。 4信息安全的建設(shè)過(guò)程 信息安全建設(shè)可以從宏觀和微觀兩方面來(lái)考慮。如圖1： 從宏觀上，包括風(fēng)險(xiǎn)評(píng)估與等級(jí)保護(hù)、災(zāi)難備份和應(yīng)急響應(yīng)機(jī)制的建設(shè)。我國(guó)著名信息安全專(zhuān)家方濱興院士指出“風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)，兩者相輔相成，需要一體化考慮。因?yàn)轱L(fēng)險(xiǎn)評(píng)估是出發(fā)點(diǎn)，等級(jí)劃分是判斷點(diǎn)，安全控制是落腳點(diǎn)，所以風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)這兩件事兒是相輔相成的，只有知道了系統(tǒng)的脆弱性有多大，等級(jí)保護(hù)才能跟上去”。災(zāi)難備份是指利用技術(shù)、管理手段以及相關(guān)資源，確保已有的關(guān)鍵數(shù)據(jù)和關(guān)鍵業(yè)務(wù)在災(zāi)難發(fā)生后在確定的時(shí)間內(nèi)可以恢復(fù)和繼續(xù)運(yùn)營(yíng)的過(guò)程。應(yīng)急響應(yīng)機(jī)制用于確保在緊急事件發(fā)生時(shí)，能夠盡快響應(yīng)，將系統(tǒng)損失降低到最小。在平時(shí)，還需要進(jìn)行安全演練或演習(xí)，模擬可能發(fā)生的安全事故，開(kāi)展應(yīng)急響應(yīng)。 從微觀上，進(jìn)行信息安全建設(shè)主要包括以下幾個(gè)步驟： （1）制定安全策略。根據(jù)單位具體情況，依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果和等級(jí)保護(hù)要求，確定具體安全需求，制定安全策略。如：環(huán)境安全策略、數(shù)據(jù)訪問(wèn)控制安全策略、數(shù)據(jù)加密與數(shù)據(jù)備份策略、身份認(rèn)證及授權(quán)策略、災(zāi)難恢復(fù)及事故處理策略、緊急響應(yīng)策略、安全教育策略、審計(jì)策略等。安全策略對(duì)于整個(gè)系統(tǒng)安全方面的設(shè)計(jì)，安全制度的制定，安全相關(guān)功能的開(kāi)發(fā)等都有著重要的指導(dǎo)意義。 （2）根據(jù)安全策略，確定安全機(jī)制。安全策略通過(guò)安全機(jī)制來(lái)保障和實(shí)施。安全機(jī)制是實(shí)施安全策略的技術(shù)、制度和標(biāo)準(zhǔn)。比如，我們制定了一項(xiàng)安全策略：“所有的通訊都必須經(jīng)過(guò)加密”。為了保障這個(gè)策略的實(shí)施，我們需要確定采取何種技術(shù)來(lái)實(shí)現(xiàn)，比如我們可以依據(jù)此條策略確定所需要使用的技術(shù)：“所有的通訊都必須采用3DES（一種加密方案）進(jìn)行加密”。 （3）制定業(yè)務(wù)流程。在安全機(jī)制的實(shí)施過(guò)程中，具體操作必須按照規(guī)定的流程進(jìn)行才能夠確保不發(fā)生違反安全策略的事件。制定業(yè)務(wù)流程可以使操作過(guò)程更加清晰。 （4）設(shè)計(jì)表單。將所有的操作細(xì)節(jié)落實(shí)到表單上，對(duì)操作的結(jié)果進(jìn)行記錄。 下面以機(jī)房巡檢為例，對(duì)信息安全建設(shè)過(guò)程進(jìn)行說(shuō)明。 在機(jī)房管理方面，首先根據(jù)單位具體要求，確定必須定期進(jìn)行安全巡檢（安全策略）；然后需要制定安全巡檢規(guī)則、巡檢內(nèi)容等（安全機(jī)制）；接著確定巡檢步驟，巡檢具體內(nèi)容（業(yè)務(wù)流程）；最后確定每次巡檢時(shí)需要記錄的巡檢結(jié)果（表單）。如