科研院所信息安全策略設(shè)計(jì)實(shí)踐

伴隨著信息技術(shù)的便捷和效率，也帶來(lái)了信息安全的風(fēng)險(xiǎn)和隱患，從公開的失泄密報(bào)道中可以看出，大部分失泄密事件都與網(wǎng)絡(luò)和信息化相關(guān)。科研院所本身就是一個(gè)信息安全失泄密事件的多發(fā)地帶，又加上“兩化融合”、“軍民融合”的深入推進(jìn)，科研院所業(yè)務(wù)觸角伸向了民品產(chǎn)業(yè)和生產(chǎn)領(lǐng)域，信息系統(tǒng)也從單一的涉密信息系統(tǒng)擴(kuò)展到非密信息系統(tǒng)、互聯(lián)網(wǎng)辦公、工業(yè)控制網(wǎng)絡(luò)等多重系統(tǒng)并存的復(fù)雜狀態(tài)，信息安全策略也必然從單一的涉密信息系統(tǒng)安全策略擴(kuò)展到全方面的信息安全防護(hù)。

科研院所信息安全特點(diǎn)

廣義上的信息安全涉及物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、信息內(nèi)容安全、信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全及公共國(guó)家信息安全等多個(gè)方面，安全威脅來(lái)自于自然災(zāi)害、意外事故、人為錯(cuò)誤、黑客行為、內(nèi)部泄密、外部泄密、信息丟失等多方面。在設(shè)計(jì)科研院所的信息安全體系時(shí)，除了考慮以上的安全威脅外，還必須根據(jù)行業(yè)的特殊性，關(guān)注以下幾個(gè)特點(diǎn)。

國(guó)家秘密的信息安全強(qiáng)制性。國(guó)家秘密是科研院所信息安全防護(hù)的最基本特點(diǎn)。保密法中明確定義了“存儲(chǔ)、處理國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)（以下簡(jiǎn)稱涉密信息系統(tǒng)）按照涉密程度實(shí)行分級(jí)保護(hù)”指出了信息安全的強(qiáng)制性要求。

物理隔離的信息系統(tǒng)交換。涉密信息系統(tǒng)物理隔離要求，必然會(huì)產(chǎn)生不同信息系統(tǒng)之間信息交換需求。不同信息系統(tǒng)的安全防護(hù)等級(jí)與能力不一，外部病毒和木馬程序有可能通過(guò)信息交換進(jìn)入涉密網(wǎng)，形成風(fēng)險(xiǎn)漏洞，破壞物理隔離。

涉密人員在非密網(wǎng)絡(luò)中無(wú)意識(shí)失泄密?？蒲性核藛T涉密人員較多，部分涉密人員既從事涉密研發(fā)，也從事民品研制。雖然工作的網(wǎng)絡(luò)進(jìn)行了物理隔離，但由于人員是同一人，較容易在非密網(wǎng)絡(luò)上帶入涉密思維或是涉密研發(fā)成果，造成無(wú)意識(shí)的失泄密事件。因此，科研院所的非密網(wǎng)絡(luò)也是重點(diǎn)防護(hù)對(duì)象。

工控信息安全隱憂。從事軍民品生產(chǎn)業(yè)務(wù)的單位，生產(chǎn)加工設(shè)備一般不會(huì)專門區(qū)分軍用加工和民用加工。工控信息系統(tǒng)的安全防護(hù)手段和方法都較薄弱，如果與涉密信息系統(tǒng)相連，很容易成為“安全短板”，造成失泄密風(fēng)險(xiǎn)。

外場(chǎng)試驗(yàn)環(huán)境安全?？蒲泄ぷ髋c試驗(yàn)息息相關(guān)，由于涉密網(wǎng)絡(luò)物理隔離的特點(diǎn)，外部試驗(yàn)時(shí)計(jì)算機(jī)無(wú)法進(jìn)行網(wǎng)絡(luò)連接，研究人員計(jì)算機(jī)的數(shù)據(jù)交換通過(guò)物理介質(zhì)完成，隨著介質(zhì)的頻繁交換，一方面數(shù)據(jù)版本的有效性控制難度加大，另一方面丟失的風(fēng)險(xiǎn)也會(huì)呈數(shù)量級(jí)上升。

科研院所信息安全策略設(shè)計(jì)依據(jù)

1.信息安全設(shè)計(jì)依據(jù)

我國(guó)在制度層面規(guī)定了不同的信息系統(tǒng)保護(hù)要求。其中涉密信息系統(tǒng)主要依據(jù)《中華人民共和國(guó)保守國(guó)家秘密法》及《武器裝備科研生產(chǎn)單位保密資格認(rèn)定辦法》、《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理辦法》及技術(shù)要求和管理規(guī)范進(jìn)行安全策略設(shè)計(jì)。非密信息系統(tǒng)和互聯(lián)網(wǎng)辦公主要依據(jù)《信息安全等級(jí)保護(hù)管理辦法》及《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》進(jìn)行安全策略設(shè)計(jì)。工業(yè)控制系統(tǒng)主要依據(jù)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》進(jìn)行安全策略設(shè)計(jì)。

2.信息安全評(píng)價(jià)標(biāo)準(zhǔn)

信息安全是全球性的概念，在設(shè)計(jì)信息安全體系和策略時(shí)可以參考國(guó)際信息安全評(píng)價(jià)標(biāo)準(zhǔn)，如美國(guó)的信息安全評(píng)價(jià)標(biāo)準(zhǔn)TCSEC、國(guó)際通用信息安全評(píng)價(jià)標(biāo)準(zhǔn)（CC）、我國(guó)信息安全評(píng)價(jià)標(biāo)準(zhǔn)GB/T18336-2001，其中我國(guó)信息安全評(píng)價(jià)標(biāo)準(zhǔn)等同于CC。

表1 安全策略防護(hù)對(duì)象列表

3.信息安全策略設(shè)計(jì)準(zhǔn)則

全面性原則：信息安全的問題遵循“木桶原理”，短板就是最危險(xiǎn)的安全邊界。在信息安全策略設(shè)計(jì)時(shí)必須全方位地考慮企業(yè)或組織面臨的全部威脅，根據(jù)全部威脅設(shè)計(jì)預(yù)防和解決方案。

最小化原則：網(wǎng)絡(luò)系統(tǒng)提供的服務(wù)越多，安全漏洞和威脅也就越多。因此，應(yīng)當(dāng)關(guān)閉信息安全策略中沒有規(guī)定的網(wǎng)絡(luò)服務(wù)，以最小限度原則配置滿足安全策略定義的用戶權(quán)限。

均衡性原則：由于軟件漏洞、協(xié)議漏洞、管理漏洞和網(wǎng)絡(luò)威脅不可能被徹底消除，夸大信息安全漏洞和威脅會(huì)浪費(fèi)投資、降低信息系統(tǒng)易用性；但忽視信息安全有可能造成組織損失，甚至威脅國(guó)家安全。信息安全策略需要在安全需求、易用性、效能和安全成本之間保持相對(duì)平衡，均衡的信息安全策略是成本約束和充分發(fā)揮網(wǎng)絡(luò)及信息系統(tǒng)效能的關(guān)鍵。

時(shí)效性原則：由于影響信息安全的因素隨時(shí)間變化，導(dǎo)致信息安全問題具有顯著和時(shí)效性。例如信息系統(tǒng)用戶增加、信任關(guān)系發(fā)生變化、網(wǎng)絡(luò)規(guī)模擴(kuò)大、新安全漏洞和攻擊方法不斷暴露都是影響信息安全的重要因素，安全策略必須有確定的維護(hù)與更新機(jī)制。

信息安全策略設(shè)計(jì)與實(shí)例

1.安全策略分類

科研院所信息安全策略根據(jù)防護(hù)對(duì)象不同，可分為涉密信息系統(tǒng)安全策略、國(guó)際互聯(lián)網(wǎng)安全策略、工業(yè)控制設(shè)備和系統(tǒng)安全策略、涉密單機(jī)安全策略、輸入輸出安全策略等。每一類安全策略對(duì)應(yīng)的防護(hù)對(duì)象見表1。

除了以上安全策略外，根據(jù)信息系統(tǒng)特點(diǎn)，也可以增加非密信息系統(tǒng)、通訊、辦公自動(dòng)化設(shè)備和聲像設(shè)備等不同對(duì)象的安全策略。

2.安全策略體系及內(nèi)容層級(jí)

科研院所信息安全策略按體系分可分三層：頂層為信息安全總體策略，針對(duì)安全問題提出對(duì)策和總體解決方案；制度規(guī)范層為信息安全制度、信息安全操作規(guī)程和安全產(chǎn)品配置策略，其中管理制度保障安全策略提出的對(duì)策和解決方案能夠正確執(zhí)行，操作規(guī)程和安全產(chǎn)品配置策略是安全策略在信息系統(tǒng)和設(shè)備上具體實(shí)現(xiàn)的操作步驟，屬于更細(xì)致的業(yè)務(wù)指導(dǎo)；操作層由不同的記錄表單組成，通過(guò)記錄表單來(lái)體現(xiàn)痕跡管理。這幾個(gè)部分既相互獨(dú)立又相互關(guān)聯(lián)，缺一不可。

科研院所信息安全策略按內(nèi)容分可為兩類：管理策略和技術(shù)防護(hù)策略，管理策略重點(diǎn)闡述本單位的安全保密目標(biāo)、方針、組織機(jī)構(gòu)、人員、文件體系、系統(tǒng)過(guò)程管理等內(nèi)容；技術(shù)防護(hù)策略圍繞不同信息系統(tǒng)特點(diǎn)進(jìn)行分類，可依據(jù)分級(jí)保護(hù)要求或等級(jí)保護(hù)要求統(tǒng)一格式，表2是涉密信息系統(tǒng)的安全策略內(nèi)容，其他信息系統(tǒng)也可參考使用。

表2 涉密信息系統(tǒng)安全策略內(nèi)容

表3 安全策略體系設(shè)計(jì)示例

3.安全策略體系設(shè)計(jì)實(shí)例

本章就運(yùn)行安全的“病毒與惡意代碼查殺”防護(hù)內(nèi)容的策略設(shè)計(jì)進(jìn)行示例，表3說(shuō)明了信息系統(tǒng)安全策略不同層級(jí)闡述內(nèi)容的不同點(diǎn)。

總體策略是需要面向全體員工的，必須簡(jiǎn)潔明了。內(nèi)容不宜太專業(yè)，闡述不能太長(zhǎng)，以說(shuō)明要點(diǎn)為主。

規(guī)章制度應(yīng)明確信息系統(tǒng)和設(shè)備的管理、使用、維護(hù)，以及保障安全策略相關(guān)的各項(xiàng)規(guī)定和要求。應(yīng)在總體策略的基礎(chǔ)上加以擴(kuò)充說(shuō)明，使全體員工明確誰(shuí)做，誰(shuí)監(jiān)督，做什么，違反后果等關(guān)鍵內(nèi)容。

操作規(guī)程明確實(shí)施安全策略的資源、設(shè)備、工具和人員，確定安全配置管理權(quán)限的劃分和變更流程，明確實(shí)施安全策略時(shí)應(yīng)當(dāng)履行的規(guī)定程序和具體步驟。

安全產(chǎn)品配置策略是提供給專業(yè)信息系統(tǒng)安全管理和運(yùn)維人員使用，明確安全產(chǎn)品的配置和操作，明確實(shí)施安全產(chǎn)品策略時(shí)應(yīng)當(dāng)履行的規(guī)定程序和具體步驟。安全產(chǎn)品配置策略樣表設(shè)計(jì)可參考操作規(guī)程設(shè)計(jì)樣表。

記錄表單是體現(xiàn)使用人員的痕跡的，在設(shè)計(jì)時(shí)重點(diǎn)要考慮操作人、時(shí)間、操作內(nèi)容、審批人、操作依據(jù)等要素，可根據(jù)不同業(yè)務(wù)場(chǎng)景設(shè)計(jì)。

結(jié)論

三分技術(shù)，七分管理，安全問題很大程度上是對(duì)面臨的威脅和風(fēng)險(xiǎn)認(rèn)識(shí)不足，缺乏明確的安全方針、完整的信息安全管理制度和嚴(yán)格的落實(shí)執(zhí)行造成的。本文初步總結(jié)了工作實(shí)踐中的體會(huì)，提出了全方位的安全策略設(shè)計(jì)方法，分享了具體的操作實(shí)例，以期有益于讀者。