淺析信息系統(tǒng)安全的因素及管理

陳銀鑄

[摘要] 隨著社會信息化程度的提高,信息系統(tǒng)安全的重要性也越發(fā)重要。本文分析了計(jì)算機(jī)信息系統(tǒng)安全的威脅因素以及管理。

[關(guān)鍵詞] 計(jì)算機(jī)信息系統(tǒng)安全安全管理

隨著信息化進(jìn)程的不斷深入,也出現(xiàn)了信息技術(shù)的負(fù)面效應(yīng)和影響網(wǎng)上不良信息屢禁不絕,計(jì)算機(jī)病毒時(shí)有泛濫,網(wǎng)絡(luò)化犯罪日益增多,失、泄密及竊密事件時(shí)有發(fā)生,社會不安定因素也在網(wǎng)上的反應(yīng)也在增多。日益突出的信息安全隱患和威脅,不僅對信息化建設(shè)產(chǎn)生了不利影響,而且影響到了我國政治、經(jīng)濟(jì)、文化、軍事和意識形態(tài)各個(gè)方面。當(dāng)社會各個(gè)重要領(lǐng)域進(jìn)人信息化后,為了保證關(guān)鍵信息系統(tǒng)的安全,系統(tǒng)的安全性和系統(tǒng)的可靠性作為安全的重要內(nèi)涵引起人們的高度重視。

一、威脅計(jì)算機(jī)系統(tǒng)安全的因素

根據(jù)計(jì)算機(jī)信息系統(tǒng)由多種設(shè)備、設(shè)施構(gòu)成,由于種種原因面臨的威脅是多方面的?？傮w而言,這些威脅可以歸結(jié)為三大類:一是對信息系統(tǒng)設(shè)備的威脅;二是對業(yè)務(wù)處理過程的威脅;三是對數(shù)據(jù)的威脅。信息系統(tǒng)與人們的現(xiàn)實(shí)經(jīng)濟(jì)生活的關(guān)系日益密切,這些威脅或早或晚、或大或小都可能轉(zhuǎn)化為對人們現(xiàn)實(shí)經(jīng)濟(jì)生活的威脅。

要加強(qiáng)計(jì)算機(jī)信息系統(tǒng)的安全防范,就要研究上述威脅,查找影響系統(tǒng)安全的因素。

1.計(jì)算機(jī)信息系統(tǒng)軟硬件的內(nèi)在缺陷

這些缺陷不僅直接造成系統(tǒng)停止運(yùn)行,還會為一些人為的惡意攻擊提供機(jī)會。最典型的例子就是微軟的操作系統(tǒng),相當(dāng)比例的惡意攻擊就是利用微軟操作系統(tǒng)的缺陷設(shè)計(jì)和展開的,一些病毒、木馬程序也是盯住其破綻興風(fēng)作浪,由此造成的損失實(shí)難估量。應(yīng)用軟件的缺陷也可能造成計(jì)算機(jī)信息系統(tǒng)的故障,降低系統(tǒng)的安全性能。

2.惡意攻擊

惡意攻擊的種類有多種,有的是對硬件設(shè)施的干擾或破壞,可能導(dǎo)致計(jì)算機(jī)信息系統(tǒng)的硬件一次性或永久性的故障或損壞;有的是對數(shù)據(jù)的攻擊,可破壞數(shù)據(jù)的有效性和完整性,也可能導(dǎo)致敏感數(shù)據(jù)的泄漏、濫用;有的是對應(yīng)用的攻擊,其后果會導(dǎo)致系統(tǒng)運(yùn)行效率的下降,嚴(yán)重者會使應(yīng)用異常,甚至中斷。

3.使用不當(dāng)

如誤操作、關(guān)鍵數(shù)據(jù)采集質(zhì)量存在缺陷、系統(tǒng)管理員安全配置不當(dāng)、用戶安全意識不強(qiáng)、用戶口令選擇不慎,甚至多個(gè)角色共用一個(gè)用戶口令等。由于使用不當(dāng)而導(dǎo)致系統(tǒng)安全性能下降,甚至系統(tǒng)異常、停機(jī)的事件也時(shí)有報(bào)道。

4.自然災(zāi)害

對計(jì)算機(jī)信息系統(tǒng)安全構(gòu)成嚴(yán)重威脅的自然災(zāi)害主要有雷電、鼠害、火災(zāi)、水災(zāi)、地震等。此外,停電、盜竊、違章施工也對計(jì)算機(jī)信息系統(tǒng)安全構(gòu)成現(xiàn)實(shí)的威脅。

二、信息系統(tǒng)安全管理的重點(diǎn)

在計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作的任務(wù),就是不斷地發(fā)現(xiàn)、堵塞系統(tǒng)安全漏洞,預(yù)防、發(fā)現(xiàn)、制止利用或者針對系統(tǒng)進(jìn)行的不法活動,預(yù)防、處置各種安全事件和事故,提高系統(tǒng)安全系數(shù),確保計(jì)算機(jī)信息系統(tǒng)的安全可靠。要實(shí)現(xiàn)上述任務(wù),需要結(jié)合本單位、各項(xiàng)業(yè)務(wù)及其計(jì)算機(jī)信息系統(tǒng)的實(shí)際,制訂確保信息系統(tǒng)安全的管理與策略。

1.網(wǎng)絡(luò)安全

旨在防范和抵御網(wǎng)絡(luò)資源可能受到的攻擊,保證網(wǎng)絡(luò)資源不被非法使用和訪問,保護(hù)網(wǎng)內(nèi)流轉(zhuǎn)的數(shù)據(jù)安全。訪問控制是維護(hù)網(wǎng)絡(luò)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段,是網(wǎng)絡(luò)安全核心策略之一。

訪問控制包括入網(wǎng)訪問控制、網(wǎng)絡(luò)授權(quán)控制、目錄級安全控制、屬性安全控制、網(wǎng)絡(luò)服務(wù)器安全控制、網(wǎng)絡(luò)監(jiān)測和鎖定控制、網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制以及防火墻控制等。安全檢查(身份認(rèn)證)、內(nèi)容檢查也是保護(hù)網(wǎng)絡(luò)安全的有效措施。

在加強(qiáng)訪問控制的同時(shí),可考慮對網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)進(jìn)行加密。網(wǎng)絡(luò)加密手段包括鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密。鏈路加密是保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路數(shù)據(jù)安全;端到端加密是對從源端用戶到目的端用戶之間傳輸?shù)臄?shù)據(jù)提供保護(hù);節(jié)點(diǎn)加密是對源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供保護(hù)。數(shù)字認(rèn)證在一定程度上保證了網(wǎng)上交易信息的安全。

2.物理安全

旨在保護(hù)計(jì)算機(jī)服務(wù)器、數(shù)據(jù)存貯、系統(tǒng)終端、網(wǎng)絡(luò)交換等硬件設(shè)備免受自然災(zāi)害和人為破壞,使其安全可靠。制定物理安全策略,要重點(diǎn)關(guān)注存放計(jì)算機(jī)服務(wù)器、數(shù)據(jù)存貯設(shè)備、核心網(wǎng)絡(luò)交換設(shè)備等機(jī)房的安全防范,其選址與規(guī)劃建改要遵循GB9361計(jì)算機(jī)場地安全要求和GB2887計(jì)算機(jī)場地技術(shù)條件,保證恒溫、恒濕,防雷、防水、防火、防鼠、防磁、防靜電,加裝防盜報(bào)警裝置,提供良好的接地和供電環(huán)境,為核心設(shè)備配置與其功耗相匹配的穩(wěn)壓及UPS不間斷電源。

根據(jù)計(jì)算機(jī)信息系統(tǒng)應(yīng)用需求,要兼顧系統(tǒng)的可靠性和經(jīng)濟(jì)性,設(shè)計(jì)和配備必要的冗余設(shè)備。對那些可靠性要求高的系統(tǒng),可考慮采用服務(wù)器主機(jī)雙機(jī)設(shè)備、磁盤陣列,甚至配備備用網(wǎng)絡(luò),建立異地容災(zāi)備份中心。中小企、事業(yè)單位的一些信息系統(tǒng),也可考慮以較少的投人,實(shí)現(xiàn)冗余設(shè)計(jì)。當(dāng)然,加強(qiáng)計(jì)算機(jī)硬件設(shè)備的日常維修保養(yǎng)也很必要。

3.數(shù)據(jù)安全

旨在防止數(shù)據(jù)被偶然或故意地非法泄露、變更、破壞,或是被非法識別和控制,以確保數(shù)據(jù)完整、保密、可用。數(shù)據(jù)安全包括數(shù)據(jù)的存儲安全和傳輸安全兩個(gè)方面。

數(shù)據(jù)的存儲安全是指數(shù)據(jù)存放狀態(tài)下的安全,包括是否會被非法調(diào)用等,可借助數(shù)據(jù)異地容災(zāi)備份、密文存儲、設(shè)置訪問權(quán)限、身份識別、局部隔離等策略,提高安全防范水平。

4.軟件安全

旨在防止由于軟件質(zhì)量缺陷或安全漏洞使信息系統(tǒng)被非法控制,或使其性能下降、拒絕服務(wù)、停機(jī)。軟件安全策略分為系統(tǒng)軟件安全策略和應(yīng)用軟件安全策略兩類。

系統(tǒng)軟件包括操作系統(tǒng)和數(shù)據(jù)庫軟件。當(dāng)前,主流操作系統(tǒng)軟件均存在漏洞,在設(shè)計(jì)信息系統(tǒng)時(shí),選用相對成熟、穩(wěn)定和安全的系統(tǒng)軟件固然重要,更重要的是保持與其提供商的密切接觸,通過其官方網(wǎng)站或合法渠道,密切關(guān)注其漏洞及補(bǔ)丁發(fā)布情況,爭取“第一時(shí)間”下載補(bǔ)丁軟件,彌補(bǔ)不足。

無論是通用的應(yīng)用軟件,還是量身定做的應(yīng)用軟件,都存在安全風(fēng)險(xiǎn)。對前者,可參照前款作法,通過加強(qiáng)與軟件提供商的溝通,及時(shí)發(fā)現(xiàn)、堵塞安全漏洞。對后者,可考慮優(yōu)選,通過質(zhì)量控制體系認(rèn)證、富有行業(yè)軟件開發(fā)和市場推廣經(jīng)驗(yàn)的軟件公司,加強(qiáng)軟件開發(fā)質(zhì)量控制,加強(qiáng)容錯(cuò)設(shè)計(jì),安排較長時(shí)間的試運(yùn)行等策略,以規(guī)避風(fēng)險(xiǎn),提高安全防范水平。

5.系統(tǒng)管理

旨在加強(qiáng)計(jì)算機(jī)信息系統(tǒng)運(yùn)行管理,提高系統(tǒng)安全性、可靠性。俗話說,“三分建設(shè),七分管理”,要確保系統(tǒng)穩(wěn)健運(yùn)行,減少惡意攻擊、各類故障帶來的負(fù)面效應(yīng),有必要建立行之有效的系統(tǒng)運(yùn)行維護(hù)機(jī)制和相關(guān)制度。比如,建立健全中心機(jī)房管理制度、信息設(shè)備操作使用規(guī)程、信息系統(tǒng)維護(hù)制度、網(wǎng)絡(luò)通訊管理制度和應(yīng)急響應(yīng)制度等。

要根據(jù)分工落實(shí)系統(tǒng)使用與運(yùn)行維護(hù)工作責(zé)任制;加強(qiáng)對相關(guān)人員的培訓(xùn)和安全教育,減少由于誤操作給系統(tǒng)安全帶來的沖擊;妥善保存系統(tǒng)運(yùn)行、維護(hù)資料,做好相關(guān)記錄;要定期組織應(yīng)急演練,以備不時(shí)之需。

信息系統(tǒng)相對復(fù)雜并對其依存度較高的用戶,與系統(tǒng)集成商簽訂系統(tǒng)服務(wù)外包合同,由其提供專業(yè)化的、一攬子的安全護(hù)航服務(wù),是個(gè)不錯(cuò)的策略,節(jié)省了資金和人力資源的投入,收效良好。

6.設(shè)備遠(yuǎn)程管理

目前,對設(shè)備的遠(yuǎn)程管理主要采用Telnet、Web等方式,而Telnet、H1TI1P協(xié)議本身都沒有提供安全功能,用戶數(shù)據(jù)、用戶賬號和口令等都是明文傳送,很容易被監(jiān)聽竊取,也很容易受到中間人(ManIntheMiddle)的攻擊。

解決網(wǎng)絡(luò)設(shè)備遠(yuǎn)程管理問題主要依靠SSH和SSL協(xié)議。SSH(SecureShel1)是目前比較可靠的為遠(yuǎn)程登錄會話和其他網(wǎng)絡(luò)服務(wù)提供安全性的協(xié)議,利用SSH協(xié)議可以有效防止遠(yuǎn)程管理過程中的信息泄露問題;SSL(secureSocketLayer)協(xié)議可以在使用Web方式進(jìn)行遠(yuǎn)程管理時(shí)對瀏覽器和Web服務(wù)器之間的通信進(jìn)行加密。