信息化建设中的安全定位和构筑策略

1引言  

随着信息化建设的不断深人,信息安全问题日益突显。目前,世界各国都将信息安全、网络安全作为事关国家安全的大事来抓。2009年5月29日,美国总统奥巴马公布了一份由安全部门官员完成的网络安全评估报告,表示来自网络空间的威胁已经成为美国面临的最严重的经济和军事威胁之一,宣布在白宫成立网络安全办公室。在中共十六届四中全会上,中央将信息安全与政治安全、经济安全、文化安全并列为四大“国家安全”,明确提出了完善信息安全的战略目标。由此可见,信息安全对保障一个国家的政治、经济、军事安全发挥着越来越重要的作用。因此,信息化建设中信息安全问题的深入探讨很有意义。  

2信息安全的定位   

我国的信息化建设始于20世纪80年代,最初的建设主要集中于纸质信息的数字化以及单机应用系统的开发。随着网络技术的不断发展,应用系统的开发也逐渐转向以网络为依托,实现电子政务、电子商务、网上办公等。不仅节约了资源,提高了办事效率,而且扩大了资源共享范围。  

由于在微型计算机发展之初,对安全的考虑不够,导致微型计算机软、硬件设计上的简化,致使信息资源及其依托的软硬件极易遭到破坏,产生了安全隐患。计算机网络的主要目标是实现资源共享,因此在设计之初也未过多考虑安全问题,从而造成网络协议的安全缺陷。而且随着应用软件功能的不断完善,代码量越来越大,存在的软件漏洞也越来越多。正是由于这些原因,导致计算机病毒、木马、后门泛滥,严重威胁信息的安全。

随着信息化建设的不断推进,信息化建设的重点由只关注应用系统开发,逐渐转变为系统开发与信息安全建设并重,信息安全被提高到了一个前所未有的高度。按照目前的观念,信息化建设涉及的内容可划分为三个方面:网络基础设施建设、应用系统开发和信息安全保障,这些称为信息化建设的“三大支柱”,缺一不可。如果把网络基础设施比喻成高速公路,把应用系统看作是高速公路上行驶的车辆,那么信息安全就是保障道路和车辆安全所必须遵循的交通法规。我们都知道在没有交通法规的高速公路上行驶车辆会造成什么样的后果,因而我们不难想象,在没有信息安全保障的网络基础设施上运行应用系统将会造成什么样的后果!信息安全是网络基础设施和应用系统的安全保障,其重要性将随着信息化建设的不断推进而更加凸显。   

3信息安全的范围

信息安全的主要目标是实现机密性、完整性和可用性。信息技术安全评估准则(ISO/IEC 15408)将信息安全定义为:被评估的信息系统或产品的安全策略、安全功能、安全管理、安全开发、安全维护、安全检测、安全恢复和安全评测等概念的总称。

信息系统安全保障评估框架(GB/T 20274)中将信息系统安全保障定义为:在信息系统的整个生命周期中,通过对信息系统的风险分析,制定并执行相应的安全保障策略,从技术、管理、工程和人员等方面提出安全保障要求,确保信息系统的保密性、完整性和可用性,降低安全风险到可接受的程度,从而保障系统实现机构组织的使命。

综合已有的标准和实际工作,我们认为信息安全涉及到整个信息化建设的方方面面,必须融入到信息化建设的全过程。只有在整个信息化建设过程中,通过技术和管理两个方面的考虑,把信息安全作为信息化建设的一个重要目标,才能保障信息化建设的成功。

只重视技术不重视管理,信息安全是无本之木;只注重管理不注重技术,信息安全是“空口政治”;只有技术和管理并重,才能最大程度的提供安全保障。以系统口令为例,口令安全策略要求口令需要定期修改。如果只是把其作为一项安全策略让各部门员工熟知,而不从技术上进行控制,则很难达到效果。因为无论口令改与不改,我们都无从知晓,而且对于大多数人来说,一般观念都是怎么方便怎么来,这样,这项安全策略根本无法贯彻。如果我们通过技术手段,确保若不定期更改密码则无法登陆系统,用户只能定期更改密码。只注重技术不注重管理同样很难保证安全。依然以系统口令为例,如果我们只是通过技术手段要求员工必须按照要求定期修改口令,而不从管理上进行要求,则很多员工会为了方便,将复杂的口令写下来,贴在电脑旁或记在本子上,这同样不安全。权威机构统计表明:在所有的信息安全事故中,70%以上的信息安全问题是由于内部员工的疏忽或有意泄密这些管理方面的原因造成的,而这些安全问题中的绝大多数是可以通过科学的信息安全管理能够避免或解决。只有员工都树立安全意识,按照优化的技术流程办事,发挥技术和管理的双重作用,信息安全事故才能杜绝。下面,我们就详细探讨一下信息安全所涉及到的这两方面。

3.1技术

在技术上,信息安全主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现,我们称其为“安全技术手段”。目前常用的安全技术手段有以下几种:

1)身份鉴别:用于对用户的身份进行确认。常采用的身份鉴别方式有口令、指纹、证书等。其中使用最为广泛的为口令,随着对信息安全的要求不断提高,指纹识别、虹膜识别等一系列生物认证方式得到大范围应用。使用 USBKEY来存储用户数字证书来达到身份识别的方式也在许多企事业单位得到广泛应用。

2)访问控制:通过限制只有授权用户才可以访问指定资源,防止非授权的访问和授权人员的违规访问。包括自主访问控制和强制访问控制。自主访问控制可以由用户制定安全策略。强制访问控制由系统管理员指定安全策略,用户本身无权更改自身的安全属性。

3)标记:对计算机系统资源(如用户,进程,文件,设备)进行标记,通过标记来实现对系统资源的访问控制。标记是实施强制访问控制的基础。

4)可信路径:提供系统和用户之间的可信通信路径。目前,Windows为部分应用提供可信路径,比如口令的输人。

5)安全审计:对受保护客体的访问进行审计,阻止非授权用户对审计记录的访问和破坏。安全审计作为信息安全的一种事后补救或追踪手段,对发现和追踪违规操作非常重要。

6)剩余信息保护:在客体重新被分配给一个主体前,对客体所含内容进行彻底清除,防止新主体获得原主体活动的任何信息。尤其是对于一些曾经存储过涉密信息的介质,在使用前必须采取一定措施,确保不会造成涉密信息泄露。

7)数据机密性保护:防止敏感信息泄露给非授权用户。通常采用加密技术来确保信息的机密性。

8)数据完整性保护:防止非授权用户对信息进行修改或破坏。随着计算机技术的不断发展,完整性被破坏所造成的危害已远大于机密性所造成的危害。目前常用的完整性保护是通过对被保护信息计算哈希值,通过将被保护信息的哈希值和预先存储的哈希值进行比较来确定信息是否被篡改。

上述技术手段主要通过一些安全产品来实现。常用的安全产品有:VPN设备,安全路由器,安全防火墙,入侵检测系统,入侵防御系统,CA系统,防病毒网关,漏洞扫描系统,抗拒绝服务系统,流量控制系统等。只有按照制定的安全策略,正确的配置安全产品,才能最大程度提供信息安全保障。

3.2管理

在管理上,与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。一个完善的信息安全管理体系,主要涉及以下几方面的内容:

1)策略和制度

安全策略是对允许做什么,禁止做什么的规定。安全策略可以定义成一种文档,用于陈述如何保护有形和无形的信息资产。建立信息安全管理体系既要制定说明信息系统安全的总体目标、范围和安全框架的总体安全策略,也要制定包含风险管理策略、业务连续性策略、安全培训与教育策略、审计策略、规划策略、机构策略、人员策略等具体的安全策略。
安全策略属于安全战略范畴,它不需指定所使用的技术。因此,还需要在安全策略指导下,根据机构的总体安全策略和业务应用需求,制定信息系统安全管理的规程和制度。如网络安全管理规定,系统安全管理规定,数据安全管理规定等。

2)机构和人员

建立信息安全管理体系,需要建全安全管理机构,配置不同层次和类型的安全管理人员,明确各层各类安全管理机构和人员的职责与分工,建立人员录用、离岗、考核和审查制度,定期对信息系统相关工作人员进行教育和培训,制定第三方人员管理要求。

3)风险管理

信息安全的实质是通过对信息系统分析,了解所存在的安全风险,通过相应的安全技术和措施,将安全风险降低到可接受的程度。风险管理包括威胁管理和脆弱性管理。进行风险评估,分析资产价值/重要性,分析信息系统面临的威胁及信息系统的脆弱性,进而了解系统存在的风险,采取相应的安全措施避免风险的发生。要定期进行风险评估,并确定安全对策。

 4)环境和资源管理

需要对机房、办公环境、资产、介质和设备进行管理,保障其安全可靠、稳定运行。如机房要防水、防火、防潮、防静电、防雷击、防磁等;设备、介质、资产要防盗、防毁,确保其安全可用。对资产的增加、减少和转移要进行记录。

5)运行和维护管理

运行和维护涉及的内容较多,包括系统用户管理,终端系统、服务器、设备管理,运行状况监控,软硬件维护,外包服务管理等。还包括对采用的各种技术手段进行管理,对安全机制和安全信息进行集中管理和整合。

6)业务连续性管理

对数据备份的内容和周期进行管理,对介质、系统和设备进行冗余备份,制定应急响应机制和预案,在灾难发生时能够进行应急处理和灾难恢复,保障业务的连续性。

7)监督和检查管理

对系统进行审计、监管、检查。对建立的规章制度,定期进行监督和检查,确保制度落到实处。同时,需要结合审计,对安全事件进行记录,对违规操作进行报告,按照审计结果进行责任认定,并据此对机构和员工进行奖惩。

8)生命周期管理

建立信息系统安全管理体系,还要对应用系统的整个生命周期进行全过程管理。确保开发的应用系统符合安全要求。应用系统的生命周期可以划分为规划组织阶段、开发采购阶段、实施交付阶段、运行维护阶段、变更和反馈阶段和废弃阶段。在每一个阶段中,信息安全管理贯穿始终。我们认为,如果能够在每个阶段进行类似于等级保护制度的备案,可以为系统的成功开发提供一定的监督和指导作用。

在规划组织阶段,需要在应用系统建设和使用的决策中考虑应用系统的风险及策略;在开发采购阶段,需要基于系统需求和风险、策略将信息安全作为一个整体进行系统体系的设计和建设,并对建设的系统进行评估,以确保符合国家相关要求,如等级保护的要求;在实施交付阶段,需要对承建方进行安全服务资格要求和信息安全专业人员资格要求,以确保施工组织的服务能力,确保交付系统的安全性;在运行维护阶段,需要对信息系统的管理、运行维护、使用人员等进行管理,保障系统安全正常运行;在变更和反馈阶段需要对外界提出的新的安全需求进行反馈,变更要求或增强原有的要求,重新进入信息系统的规划阶段;若信息系统无法满足已有的业务需求或安全需求,系统进人废弃阶段。

4信息安全的建设过程

信息安全建设可以从宏观和微观两方面来考虑。如图1:

从宏观上,包括风险评估与等级保护、灾难备份和应急响应机制的建设。我国著名信息安全专家方滨兴院士指出“风险评估和等级保护,两者相辅相成,需要一体化考虑。因为风险评估是出发点,等级划分是判断点,安全控制是落脚点,所以风险评估和等级保护这两件事儿是相辅相成的,只有知道了系统的脆弱性有多大,等级保护才能跟上去”。灾难备份是指利用技术、管理手段以及相关资源,确保已有的关键数据和关键业务在灾难发生后在确定的时间内可以恢复和继续运营的过程。应急响应机制用于确保在紧急事件发生时,能够尽快响应,将系统损失降低到最小。在平时,还需要进行安全演练或演习,模拟可能发生的安全事故,开展应急响应。

从微观上,进行信息安全建设主要包括以下几个步骤:

(1)制定安全策略。根据单位具体情况,依据风险评估的结果和等级保护要求,确定具体安全需求,制定安全策略。如:环境安全策略、数据访问控制安全策略、数据加密与数据备份策略、身份认证及授权策略、灾难恢复及事故处理策略、紧急响应策略、安全教育策略、审计策略等。安全策略对于整个系统安全方面的设计,安全制度的制定,安全相关功能的开发等都有着重要的指导意义。

(2)根据安全策略,确定安全机制。安全策略通过安全机制来保障和实施。安全机制是实施安全策略的技术、制度和标准。比如,我们制定了一项安全策略:“所有的通讯都必须经过加密”。为了保障这个策略的实施,我们需要确定采取何种技术来实现,比如我们可以依据此条策略确定所需要使用的技术:“所有的通讯都必须采用3DES(一种加密方案)进行加密”。

(3)制定业务流程。在安全机制的实施过程中,具体操作必须按照规定的流程进行才能够确保不发生违反安全策略的事件。制定业务流程可以使操作过程更加清晰。

(4)设计表单。将所有的操作细节落实到表单上,对操作的结果进行记录。

下面以机房巡检为例,对信息安全建设过程进行说明。

在机房管理方面,首先根据单位具体要求,确定必须定期进行安全巡检(安全策略);然后需要制定安全巡检规则、巡检内容等(安全机制);接着确定巡检步骤,巡检具体内容(业务流程);最后确定每次巡检时需要记录的巡检结果(表单)。如图2所示。

5结束语

信息安全是信息化建设中的重要一环,对于保证信息化建设的成功起着非常重要的作用。本文结合笔者的实际工作经验,对信息安全在信息化建设中的地位,信息安全所涉及到的范围以及信息安全的建设过程进行了阐述,希望可以为信息化建设过程中信息安全工作提供一定的指导。