信息安全策略的研究

謝振壇，申 偉

(1.山西大學(xué)商務(wù)學(xué)院，山西 太原 030031；2.中國電子科技集團(tuán)公司第三十三研究所，山西 太原 030032)

隨著信息技術(shù)的不斷發(fā)展，信息日益成為一種重要的戰(zhàn)略資源。信息的可用性、完整性和機(jī)密性是信息安全的基本要素，關(guān)系到每個(gè)單位正常工作業(yè)務(wù)的持續(xù)運(yùn)行。因此，必須保護(hù)這些資產(chǎn)不受威脅侵害(威脅可能來自各個(gè)方面，如網(wǎng)絡(luò)詐騙、偵探、病毒或黑客，自然災(zāi)害等)。定義和監(jiān)督執(zhí)行信息安全策略是每個(gè)單位必須面對(duì)的新課題。

1 信息安全策略的目標(biāo)

信息安全的目標(biāo)就是確保一個(gè)單位工作業(yè)務(wù)的連續(xù)性，并通過一系列預(yù)防措施將業(yè)務(wù)可能受到的損害降到最低，將安全事故產(chǎn)生的影響降到最低。信息安全管理應(yīng)在確保信息和計(jì)算機(jī)資產(chǎn)受到保護(hù)的同時(shí)，確保信息能夠在允許的范圍內(nèi)正常運(yùn)行使用。對(duì)每種資產(chǎn)的保護(hù)程度由以下四個(gè)基本要素決定：

◆ 機(jī)密性

◆ 完整性

◆ 可用性

◆ 可審計(jì)性

同樣，信息安全策略的目標(biāo)也是讓所有員工能夠了解信息安全問題以及他們個(gè)人的責(zé)任，并嚴(yán)格遵守安全策略。信息安全策略是有關(guān)信息安全的行為規(guī)范，其保護(hù)對(duì)象如表1所示。

表1 信息安全策略的保護(hù)對(duì)象

促進(jìn)信息安全策略的實(shí)現(xiàn)和普及是每個(gè)員工應(yīng)盡的責(zé)任和義務(wù)。全體職員都應(yīng)該遵守國家相關(guān)的計(jì)算機(jī)或信息安全法律要求，并明確他們各自的信息安全職責(zé)。

2 信息安全策略的主要內(nèi)容

一個(gè)單位在設(shè)計(jì)信息安全策略時(shí)，要采用多種安全措施，分層次有重點(diǎn)地進(jìn)行防護(hù)，在注重防外的同時(shí)，也不可輕視防內(nèi)，做到防內(nèi)與防外同等重要，從而保證在信息系統(tǒng)遭受攻擊、破壞事件的情況下，必須盡可能快速恢復(fù)信息系統(tǒng)的運(yùn)行，減少損失。一般說來，一個(gè)完整的信息安全策略包括以下幾方面信息:

1) 物理安全策略:制定物理安全策略，針對(duì)易受攻擊的物理信息和其他用于存儲(chǔ)、處理或傳輸信息的資產(chǎn)，例如硬件、磁介質(zhì)、電纜等，應(yīng)該將其放置于恰當(dāng)?shù)沫h(huán)境中并在物理上保護(hù)他們免受安全威脅和環(huán)境危害。尤其對(duì)支持關(guān)鍵業(yè)務(wù)過程的設(shè)備應(yīng)該進(jìn)行特殊保護(hù)，以免受電源故障或其他電力異常的損害。對(duì)計(jì)算機(jī)和設(shè)備環(huán)境應(yīng)該進(jìn)行監(jiān)控，必要的話要檢查環(huán)境的影響因素如溫度和濕度是否超過正常界限。同時(shí)，安全規(guī)程和控制措施應(yīng)該覆蓋單位主要設(shè)備的安全性要求。

2) 網(wǎng)絡(luò)安全策略:制定網(wǎng)絡(luò)安全策略，可以控制哪些用戶能夠連入內(nèi)部網(wǎng)絡(luò)，哪些用戶能夠通過哪種方式登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源；控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和準(zhǔn)許他們?cè)谀呐_(tái)工作站入網(wǎng)。網(wǎng)絡(luò)的訪問權(quán)限控制是針對(duì)網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施，賦予涉密系統(tǒng)的用戶和用戶組一定的權(quán)限。控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源?？梢灾付ㄓ脩魧?duì)這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。針對(duì)員工通過外網(wǎng)訪問內(nèi)部服務(wù)器的安全性方面，需設(shè)計(jì)虛擬專用網(wǎng)絡(luò)。為遠(yuǎn)程用戶和分支機(jī)構(gòu)訪問內(nèi)部網(wǎng)絡(luò)資源提供了安全的途徑，同時(shí)利用VPN隧道技術(shù)、加解密技術(shù)，充分保證用戶數(shù)據(jù)的完整性、安全性和可用性。

3) 系統(tǒng)安全策略:制定系統(tǒng)安全策略，系統(tǒng)中應(yīng)該部署病毒防治系統(tǒng)。全系統(tǒng)的病毒防治系統(tǒng)應(yīng)該是統(tǒng)一的，病毒庫的更新采用集中管理。同時(shí)，系統(tǒng)中應(yīng)該部署終端安全管理系統(tǒng)，實(shí)現(xiàn)外網(wǎng)終端的接入管理、桌面安全監(jiān)管、行為監(jiān)管、系統(tǒng)監(jiān)管、非法外聯(lián)和非法內(nèi)聯(lián)監(jiān)控、補(bǔ)丁管理等。定期對(duì)系統(tǒng)內(nèi)的操作系統(tǒng)、平臺(tái)軟件、應(yīng)用軟件進(jìn)行安全性檢查，關(guān)閉不需要的服務(wù)，打安全補(bǔ)丁。

4) 數(shù)據(jù)安全策略:制定數(shù)據(jù)安全策略，首先應(yīng)建立相應(yīng)的系統(tǒng)備份機(jī)制，以保證在系統(tǒng)崩潰以后能快速簡單完全地恢復(fù)系統(tǒng)的運(yùn)行。其次，應(yīng)建立相應(yīng)的用戶備份機(jī)制，以保證用戶備份數(shù)據(jù)時(shí)，為用戶提供一個(gè)虛擬的安全網(wǎng)絡(luò)，對(duì)最近的數(shù)據(jù)實(shí)施備份。最后，當(dāng)出現(xiàn)任何問題如誤刪除某些文件或者硬盤發(fā)生故障時(shí)，用戶可以恢復(fù)自己的數(shù)據(jù)。

5) 管理安全策略:制定管理安全策略，必須建立一套完整的網(wǎng)絡(luò)管理規(guī)定和網(wǎng)絡(luò)使用方法，并要求網(wǎng)絡(luò)管理員和網(wǎng)絡(luò)使用人員必須嚴(yán)格遵守。否則，網(wǎng)絡(luò)內(nèi)部的人為因素將會(huì)給網(wǎng)絡(luò)安全造成很大的威脅。同時(shí)，這種安全策略必須是一種讓網(wǎng)絡(luò)管理員和網(wǎng)絡(luò)用戶都樂于接受的安全策略，可以讓網(wǎng)絡(luò)用戶在使用網(wǎng)絡(luò)的過程中自覺維護(hù)網(wǎng)絡(luò)的安全。

3 信息安全策略的貫徹執(zhí)行

信息安全策略的執(zhí)行，以信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷為總體目標(biāo)。

首先，成立信息安全管理主要機(jī)構(gòu)或部門，設(shè)立安全主管等主要安全角色，依據(jù)國家相關(guān)標(biāo)準(zhǔn)(要求)，建立信息系統(tǒng)的整體管理辦法。分別建立安全管理崗位和機(jī)構(gòu)的職責(zé)文件，對(duì)機(jī)構(gòu)和人員的職責(zé)進(jìn)行明確。建立信息發(fā)布、變更、審批等流程和制度類文件，增強(qiáng)制度的有效性。建立安全審核和檢查的相關(guān)制度及報(bào)告方式。對(duì)人員的錄用、離崗、考核、培訓(xùn)、安全意識(shí)教育等方面應(yīng)通過制度和操作程序進(jìn)行明確。定期對(duì)已備案的信息系統(tǒng)進(jìn)行等級(jí)保護(hù)測評(píng)，以保證信息系統(tǒng)運(yùn)行風(fēng)險(xiǎn)維持在較低水平，不斷增強(qiáng)系統(tǒng)的穩(wěn)定性和安全性。

其次，建立一套關(guān)于物理、主機(jī)、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)、建設(shè)和管理等方面的安全需求、控制措施及執(zhí)行程序，并在關(guān)聯(lián)制度文檔中定義出相關(guān)的安全角色，并對(duì)其賦予管理職責(zé)?！耙匀藶楸尽保ㄟ^對(duì)信息安全工作人員的安全意識(shí)培訓(xùn)等方法不斷加強(qiáng)系統(tǒng)分布的合理性和有效性。依據(jù)實(shí)際情況建立機(jī)房管理制度，明確機(jī)房的出入管理辦法，機(jī)房介質(zhì)存放方式，機(jī)房設(shè)備維護(hù)周期及維護(hù)方式，機(jī)房設(shè)備信息保密要求，機(jī)房溫濕度控制方式等等環(huán)境要求。通過明確機(jī)房責(zé)任人、建立機(jī)房管理相關(guān)辦法、對(duì)維護(hù)和出入等過程建立記錄等方式對(duì)機(jī)房安全進(jìn)行保護(hù)。

最后，對(duì)突發(fā)安全事件建立應(yīng)急預(yù)案管理制度和相關(guān)操作辦法，并定期組織人員進(jìn)行演練，以保證信息系統(tǒng)在面臨突發(fā)事件時(shí)能夠在較短時(shí)間內(nèi)恢復(fù)正常的使用。根據(jù)對(duì)系統(tǒng)的等級(jí)測評(píng)、風(fēng)險(xiǎn)評(píng)估等間接問題挖掘，及時(shí)改進(jìn)信息系統(tǒng)的各類弊端，包括業(yè)務(wù)弊端，應(yīng)建立相關(guān)改進(jìn)措施或改進(jìn)辦法，以保證對(duì)信息系統(tǒng)的業(yè)務(wù)持續(xù)性要求。并建立懲處辦法，對(duì)違反信息安全總體方針、安全策略、程序流程和管理措施的人員，依照問題的嚴(yán)重性進(jìn)行懲罰。

4 結(jié)束語

由于信息貫穿于單位各項(xiàng)業(yè)務(wù)運(yùn)作的整個(gè)過程，因此研究信息安全策略既具有很強(qiáng)的理論意義又具備很高的現(xiàn)實(shí)意義。當(dāng)然，安全策略不是一成不變的，隨著網(wǎng)絡(luò)技術(shù)的不斷向前發(fā)展，單位內(nèi)外環(huán)境的改變，安全策略也應(yīng)該不斷更新，盡可能提供全面的、多方位的安全服務(wù)，切實(shí)滿足單位安全需求。

[1] 李輝.計(jì)算機(jī)網(wǎng)絡(luò)安全與對(duì)策[J].濰坊學(xué)院學(xué)報(bào)，2007,7(2):54-55.

[2] 程昱，余燕熊.信息系統(tǒng)攻防技術(shù)[M].北京：清華大學(xué)出版社，2009.

[3] 姚華，肖琳.網(wǎng)絡(luò)安全基礎(chǔ)教程[M].北京：北京理工大學(xué)出版社，2007.

[4] 張瓊，孫論強(qiáng).中國信息安全戰(zhàn)略研究[M].北京：中國人民公安大學(xué)，2007.