信息化建設中信息安全的定位和構筑策略

信息化建設中信息安全的定位和構筑策略摘要：信息安全事件的不斷增多使得在信息化建設中信息安全受到越來越多的重視。如何在信息化建設中更好的規(guī)劃和應用信息安全，確保信息化建設的成功是本文關注的重點。本文從技術和管理兩個方面對信息安全涉及到的內(nèi)容進行了闡述，并結合信息系統(tǒng)等級保護，探討了在信息化建設中如何從宏觀和微觀兩個角度進行信息安全建設。 關鍵詞：信息化建設；信息安全；信息系統(tǒng)等級保護 中圖分類號：P23 文獻標識碼：A 文章編號：1674-3695-（2009) 05-19-05 1引言 隨著信息化建設的不斷深人，信息安全問題日益突顯。目前，世界各國都將信息安全、網(wǎng)絡安全作為事關國家安全的大事來抓。2009年5月29日，美國總統(tǒng)奧巴馬公布了一份由安全部門官員完成的網(wǎng)絡安全評估報告，表示來自網(wǎng)絡空間的威脅已經(jīng)成為美國面臨的最嚴重的經(jīng)濟和軍事威脅之一，宣布在白宮成立網(wǎng)絡安全辦公室。在中共十六屆四中全會上，中央將信息安全與政治安全、經(jīng)濟安全、文化安全并列為四大“國家安全”，明確提出了完善信息安全的戰(zhàn)略目標。由此可見，信息安全對保障一個國家的政治、經(jīng)濟、軍事安全發(fā)揮著越來越重要的作用。因此，信息化建設中信息安全問題的深入探討很有意義。 2信息安全的定位 我國的信息化建設始于20世紀80年代，最初的建設主要集中于紙質信息的數(shù)字化以及單機應用系統(tǒng)的開發(fā)。隨著網(wǎng)絡技術的不斷發(fā)展，應用系統(tǒng)的開發(fā)也逐漸轉向以網(wǎng)絡為依托，實現(xiàn)電子政務、電子商務、網(wǎng)上辦公等。不僅節(jié)約了資源，提高了辦事效率，而且擴大了資源共享范圍。 由于在微型計算機發(fā)展之初，對安全的考慮不夠，導致微型計算機軟、硬件設計上的簡化，致使信息資源及其依托的軟硬件極易遭到破壞，產(chǎn)生了安全隱患。計算機網(wǎng)絡的主要目標是實現(xiàn)資源共享，因此在設計之初也未過多考慮安全問題，從而造成網(wǎng)絡協(xié)議的安全缺陷。而且隨著應用軟件功能的不斷完善，代碼量越來越大，存在的軟件漏洞也越來越多。正是由于這些原因，導致計算機病毒、木馬、后門泛濫，嚴重威脅信息的安全。 隨著信息化建設的不斷推進，信息化建設的重點由只關注應用系統(tǒng)開發(fā)，逐漸轉變?yōu)橄到y(tǒng)開發(fā)與信息安全建設并重，信息安全被提高到了一個前所未有的高度。按照目前的觀念，信息化建設涉及的內(nèi)容可劃分為三個方面：網(wǎng)絡基礎設施建設、應用系統(tǒng)開發(fā)和信息安全保障，這些稱為信息化建設的“三大支柱”，缺一不可。如果把網(wǎng)絡基礎設施比喻成高速公路，把應用系統(tǒng)看作是高速公路上行駛的車輛，那么信息安全就是保障道路和車輛安全所必須遵循的交通法規(guī)。我們都知道在沒有交通法規(guī)的高速公路上行駛車輛會造成什么樣的后果，因而我們不難想象，在沒有信息安全保障的網(wǎng)絡基礎設施上運行應用系統(tǒng)將會造成什么樣的后果！信息安全是網(wǎng)絡基礎設施和應用系統(tǒng)的安全保障，其重要性將隨著信息化建設的不斷推進而更加凸顯。 3信息安全的范圍 信息安全的主要目標是實現(xiàn)機密性、完整性和可用性。信息技術安全評估準則（ISO/IEC 15408）將信息安全定義為：被評估的信息系統(tǒng)或產(chǎn)品的安全策略、安全功能、安全管理、安全開發(fā)、安全維護、安全檢測、安全恢復和安全評測等概念的總稱。 信息系統(tǒng)安全保障評估框架（GB/T 20274）中將信息系統(tǒng)安全保障定義為:在信息系統(tǒng)的整個生命周期中，通過對信息系統(tǒng)的風險分析，制定并執(zhí)行相應的安全保障策略，從技術、管理、工程和人員等方面提出安全保障要求，確保信息系統(tǒng)的保密性、完整性和可用性，降低安全風險到可接受的程度，從而保障系統(tǒng)實現(xiàn)機構組織的使命。 綜合已有的標準和實際工作，我們認為信息安全涉及到整個信息化建設的方方面面，必須融入到信息化建設的全過程。只有在整個信息化建設過程中，通過技術和管理兩個方面的考慮，把信息安全作為信息化建設的一個重要目標，才能保障信息化建設的成功。 只重視技術不重視管理，信息安全是無本之木；只注重管理不注重技術，信息安全是“空口政治”；只有技術和管理并重，才能最大程度的提供安全保障。以系統(tǒng)口令為例，口令安全策略要求口令需要定期修改。如果只是把其作為一項安全策略讓各部門員工熟知，而不從技術上進行控制，則很難達到效果。因為無論口令改與不改，我們都無從知曉，而且對于大多數(shù)人來說，一般觀念都是怎么方便怎么來，這樣，這項安全策略根本無法貫徹。如果我們通過技術手段，確保若不定期更改密碼則無法登陸系統(tǒng)，用戶只能定期更改密碼。只注重技術不注重管理同樣很難保證安全。依然以系統(tǒng)口令為例，如果我們只是通過技術手段要求員工必須按照要求定期修改口令，而不從管理上進行要求，則很多員工會為了方便，將復雜的口令寫下來，貼在電腦旁或記在本子上，這同樣不安全。權威機構統(tǒng)計表明：在所有的信息安全事故中，70以上的信息安全問題是由于內(nèi)部員工的疏忽或有意泄密這些管理方面的原因造成的，而這些安全問題中的絕大多數(shù)是可以通過科學的信息安全管理能夠避免或解決。只有員工都樹立安全意識，按照優(yōu)化的技術流程辦事，發(fā)揮技術和管理的雙重作用，信息安全事故才能杜絕。下面，我們就詳細探討一下信息安全所涉及到的這兩方面。 3.1技術 在技術上，信息安全主要通過在信息系統(tǒng)中部署軟硬件并正確的配置其安全功能來實現(xiàn)，我們稱其為“安全技術手段”。目前常用的安全技術手段有以下幾種： 1）身份鑒別：用于對用戶的身份進行確認。常采用的身份鑒別方式有口令、指紋、證書等。其中使用最為廣泛的為口令，隨著對信息安全的要求不斷提高，指紋識別、虹膜識別等一系列生物認證方式得到大范圍應用。使用 USBKEY來存儲用戶數(shù)字證書來達到身份識別的方式也在許多企事業(yè)單位得到廣泛應用。 2）訪問控制：通過限制只有授權用戶才可以訪問指定資源，防止非授權的訪問和授權人員的違規(guī)訪問。包括自主訪問控制和強制訪問控制。自主訪問控制可以由用戶制定安全策略。強制訪問控制由系統(tǒng)管理員指定安全策略，用戶本身無權更改自身的安全屬性。 3）標記：對計算機系統(tǒng)資源（如用戶，進程，文件，設備）進行標記，通過標記來實現(xiàn)對系統(tǒng)資源的訪問控制。標記是實施強制訪問控制的基礎。 4）可信路徑：提供系統(tǒng)和用戶之間的可信通信路徑。目前，Windows為部分應用提供可信路徑，比如口令的輸人。 5）安全審計：對受保護客體的訪問進行審計，阻止非授權用戶對審計記錄的訪問和破壞。安全審計作為信息安全的一種事后補救或追蹤手段，對發(fā)現(xiàn)和追蹤違規(guī)操作非常重要。 6）剩余信息保護：在客體重新被分配給一個主體前，對客體所含內(nèi)容進行徹底清除，防止新主體獲得原主體活動的任何信息。尤其是對于一些曾經(jīng)存儲過涉密信息的介質，在使用前必須采取一定措施，確保不會造成涉密信息泄露。 7）數(shù)據(jù)機密性保護：防止敏感信息泄露給非授權用戶。通常采用加密技術來確保信息的機密性。 8）數(shù)據(jù)完整性保護：防止非授權用戶對信息進行修改或破壞。隨著計算機技術的不斷發(fā)展，完整性被破壞所造成的危害已遠大于機密性所造成的危害。目前常用的完整性保護是通過對被保護信息計算哈希值，通過將被保護信息的哈希值和預先存儲的哈希值進行比較來確定信息是否被篡改。 上述技術手段主要通過一些安全產(chǎn)品來實現(xiàn)。常用的安全產(chǎn)品有：VPN設備，安全路由器，安全防火墻，入侵檢測系統(tǒng)，入侵防御系統(tǒng)，CA系統(tǒng)，防病毒網(wǎng)關，漏洞掃描系統(tǒng)，抗拒絕服務系統(tǒng)，流量控制系統(tǒng)等。只有按照制定的安全策略，正確的配置安全產(chǎn)品，才能最大程度提供信息安全保障。 3.2管理 在管理上，與信息系統(tǒng)中各種角色參與的活動有關，主要通過控制各種角色的活動，從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實現(xiàn)。一個完善的信息安全管理體系，主要涉及以下幾方面的內(nèi)容： 1）策略和制度 安全策略是對允許做什么，禁止做什么的規(guī)定。安全策略可以定義成一種文檔，用于陳述如何保護有形和無形的信息資產(chǎn)。建立信息安全管理體系既要制定說明信息系統(tǒng)安全的總體目標、范圍和安全框架的總體安全策略，也要制定包含風險管理策略、業(yè)務連續(xù)性策略、安全培訓與教育策略、審計策略、規(guī)劃策略、機構策略、人員策略等具體的安全策略。 安全策略屬于安全戰(zhàn)略范疇，它不需指定所使用的技術。因此，還需要在安全策略指導下，根據(jù)機構的總體安全策略和業(yè)務應用需求，制定信息系統(tǒng)安全管理的規(guī)程和制度。如網(wǎng)絡安全管理規(guī)定，系統(tǒng)安全管理規(guī)定，數(shù)據(jù)安全管理規(guī)定等。 2）機構和人員 建立信息安全管理體系，需要建全安全管理機構，配置不同層次和類型的安全管理人員，明確各層各類安全管理機構和人員的職責與分工，建立人員錄用、離崗、考核和審查制度，定期對信息系統(tǒng)相關工作人員進行教育和培訓，制定第三方人員管理要求。 3）風險管理 信息安全的實質是通過對信息系統(tǒng)分析，了解所存在的安全風險，通過相應的安全技術和措施，將安全風險降低到可接受的程度。風險管理包括威脅管理和脆弱性管理。進行風險評估，分析資產(chǎn)價值/重要性，分析信息系統(tǒng)面臨的威脅及信息系統(tǒng)的脆弱性，進而了解系統(tǒng)存在的風險，采取相應的安全措施避免風險的發(fā)生。要定期進行風險評估，并確定安全對策。 4）環(huán)境和資源管理 需要對機房、辦公環(huán)境、資產(chǎn)、介質和設備進行管理，保障其安全可靠、穩(wěn)定運行。如機房要防水、防火、防潮、防靜電、防雷擊、防磁等；設備、介質、資產(chǎn)要防盜、防毀，確保其安全可用。對資產(chǎn)的增加、減少和轉移要進行記錄。 5）運行和維護管理 運行和維護涉及的內(nèi)容較多，包括系統(tǒng)用戶管理，終端系統(tǒng)、服務器、設備管理，運行狀況監(jiān)控，軟硬件維護，外包服務管理等。還包括對采用的各種技術手段進行管理，對安全機制和安全信息進行集中管理和整合。 6）業(yè)務連續(xù)性管理 對數(shù)據(jù)備份的內(nèi)容和周期進行管理，對介質、系統(tǒng)和設備進行冗余備份，制定應急響應機制和預案，在災難發(fā)生時能夠進行應急處理和災難恢復，保障業(yè)務的連續(xù)性。 7）監(jiān)督和檢查管理 對系統(tǒng)進行審計、監(jiān)管、檢查。對建立的規(guī)章制度，定期進行監(jiān)督和檢查，確保制度落到實處。同時，需要結合審計，對安全事件進行記錄，對違規(guī)操作進行報告，按照審計結果進行責任認定，并據(jù)此對機構和員工進行獎懲。 8）生命周期管理 建立信息系統(tǒng)安全管理體系，還要對應用系統(tǒng)的整個生命周期進行全過程管理。確保開發(fā)的應用系統(tǒng)符合安全要求。應用系統(tǒng)的生命周期可以劃分為規(guī)劃組織階段、開發(fā)采購階段、實施交付階段、運行維護階段、變更和反饋階段和廢棄階段。在每一個階段中，信息安全管理貫穿始終。我們認為，如果能夠在每個階段進行類似于等級保護制度的備案，可以為系統(tǒng)的成功開發(fā)提供一定的監(jiān)督和指導作用。 在規(guī)劃組織階段，需要在應用系統(tǒng)建設和使用的決策中考慮應用系統(tǒng)的風險及策略；在開發(fā)采購階段，需要基于系統(tǒng)需求和風險、策略將信息安全作為一個整體進行系統(tǒng)體系的設計和建設，并對建設的系統(tǒng)進行評估，以確保符合國家相關要求，如等級保護的要求；在實施交付階段，需要對承建方進行安全服務資格要求和信息安全專業(yè)人員資格要求，以確保施工組織的服務能力，確保交付系統(tǒng)的安全性；在運行維護階段，需要對信息系統(tǒng)的管理、運行維護、使用人員等進行管理，保障系統(tǒng)安全正常運行；在變更和反饋階段需要對外界提出的新的安全需求進行反饋，變更要求或增強原有的要求，重新進入信息系統(tǒng)的規(guī)劃階段；若信息系統(tǒng)無法滿足已有的業(yè)務需求或安全需求，系統(tǒng)進人廢棄階段。 4信息安全的建設過程 信息安全建設可以從宏觀和微觀兩方面來考慮。如圖1： 從宏觀上，包括風險評估與等級保護、災難備份和應急響應機制的建設。我國著名信息安全專家方濱興院士指出“風險評估和等級保護，兩者相輔相成，需要一體化考慮。因為風險評估是出發(fā)點，等級劃分是判斷點，安全控制是落腳點，所以風險評估和等級保護這兩件事兒是相輔相成的，只有知道了系統(tǒng)的脆弱性有多大，等級保護才能跟上去”。災難備份是指利用技術、管理手段以及相關資源，確保已有的關鍵數(shù)據(jù)和關鍵業(yè)務在災難發(fā)生后在確定的時間內(nèi)可以恢復和繼續(xù)運營的過程。應急響應機制用于確保在緊急事件發(fā)生時，能夠盡快響應，將系統(tǒng)損失降低到最小。在平時，還需要進行安全演練或演習，模擬可能發(fā)生的安全事故，開展應急響應。 從微觀上，進行信息安全建設主要包括以下幾個步驟： （1）制定安全策略。根據(jù)單位具體情況，依據(jù)風險評估的結果和等級保護要求，確定具體安全需求，制定安全策略。如：環(huán)境安全策略、數(shù)據(jù)訪問控制安全策略、數(shù)據(jù)加密與數(shù)據(jù)備份策略、身份認證及授權策略、災難恢復及事故處理策略、緊急響應策略、安全教育策略、審計策略等。安全策略對于整個系統(tǒng)安全方面的設計，安全制度的制定，安全相關功能的開發(fā)等都有著重要的指導意義。 （2）根據(jù)安全策略，確定安全機制。安全策略通過安全機制來保障和實施。安全機制是實施安全策略的技術、制度和標準。比如，我們制定了一項安全策略：“所有的通訊都必須經(jīng)過加密”。為了保障這個策略的實施，我們需要確定采取何種技術來實現(xiàn)，比如我們可以依據(jù)此條策略確定所需要使用的技術：“所有的通訊都必須采用3DES（一種加密方案）進行加密”。 （3）制定業(yè)務流程。在安全機制的實施過程中，具體操作必須按照規(guī)定的流程進行才能夠確保不發(fā)生違反安全策略的事件。制定業(yè)務流程可以使操作過程更加清晰。 （4）設計表單。將所有的操作細節(jié)落實到表單上，對操作的結果進行記錄。 下面以機房巡檢為例，對信息安全建設過程進行說明。 在機房管理方面，首先根據(jù)單位具體要求，確定必須定期進行安全巡檢（安全策略）；然后需要制定安全巡檢規(guī)則、巡檢內(nèi)容等（安全機制）；接著確定巡檢步驟，巡檢具體內(nèi)容（業(yè)務流程）；最后確定每次巡檢時需要記錄的巡檢結果（表單）。如