隨著網(wǎng)絡(luò)技術(shù)在各行各業(yè)的廣泛應(yīng)用和各行各業(yè)對信息依賴程度的增強(qiáng),建立單位局域網(wǎng)、地區(qū)城域網(wǎng)以及跨地區(qū)的廣域網(wǎng)已是工作所需,但在帶來方便、快捷的同時,也給信息保密工作帶來了新的挑戰(zhàn)。網(wǎng)絡(luò)信息安全保密問題日益凸顯,信息安全保密要求進(jìn)一步提高。
一、加強(qiáng)信息安全保密的必要性
隨著我國政治地位的提高、國防力量的加強(qiáng)、信息技術(shù)的迅速發(fā)展和國際國內(nèi)形勢的復(fù)雜多變,網(wǎng)絡(luò)信息的安全保密工作日益緊迫,已經(jīng)成為影響國家安全的重要因素。十一屆全國人民代表大會確定并審議通過的“中華人民共和國國民經(jīng)濟(jì)和社會發(fā)展第十二個五年規(guī)劃綱要”,描述了今后五年國民經(jīng)濟(jì)發(fā)展的宏偉藍(lán)圖,對信息安全保密作出了戰(zhàn)略規(guī)劃,明確要求“推進(jìn)信息安全保密基礎(chǔ)設(shè)施建設(shè),構(gòu)建信息安全保密防護(hù)體系”。我們一定要充分認(rèn)識當(dāng)前信息安全保密工作面臨的嚴(yán)峻形勢,切實(shí)把思想和行動統(tǒng)一到中央決策部署上來,進(jìn)一步增強(qiáng)政治意識、憂患意識和責(zé)任意識,采取有效措施,確保信息安全。
信息安全保密面臨的威脅是多方面的,主要來源于自然災(zāi)害、意外事故、計算機(jī)犯罪、人為錯誤、“黑客”行為、內(nèi)部泄密、外部泄密、信息丟失,電子諜報、信息竊取,等等。加強(qiáng)信息安全保密管理,提高技術(shù)防護(hù)能力,全面筑牢安全保密防線是落實(shí)胡錦濤總書記和中央領(lǐng)導(dǎo)同志關(guān)于加強(qiáng)保密工作重要指示的有力舉措。
二、信息安全的基本屬性
信息安全的基本屬性涵蓋兩個層次:第一,從信息層次來看,信息安全要保證信息的完整性(Integrity)和保密性(Confidentiality)。完整性即保證信息來源、去向內(nèi)容真實(shí)無誤;保密性即保證信息不會被非法泄露與擴(kuò)散。第二,從網(wǎng)絡(luò)層次來看,要達(dá)到可用性(Availability)、可控性(Con—trollability)和不可否認(rèn)性(Non—repudiation)?捎眯约幢WC網(wǎng)絡(luò)和信息系統(tǒng)隨時可用,運(yùn)行過程中不出現(xiàn)故障,并且在遇到意外情況時盡量減少損失,并盡早恢復(fù)正常;可控性即對網(wǎng)絡(luò)信息的傳播具有控制能力;不可否認(rèn)性是在網(wǎng)絡(luò)信息系統(tǒng)的信息交互過程中,使得所有參與者都不能否認(rèn)和抵賴曾經(jīng)完成的操作。
不同單位和不同的應(yīng)用服務(wù)系統(tǒng),對信息安全的屬性要求是不同的,如軍工科研生產(chǎn)單位對保密性要求很高,金融部門對可用性要求很高,因此對于信息系統(tǒng)安全屬性的保障,要根據(jù)實(shí)際需要區(qū)別對待。
三、建立必要的技術(shù)防護(hù)體系
運(yùn)用信息技術(shù)和信息資源,實(shí)現(xiàn)全方位、多層次的信息服務(wù)和信息資源共享,必須有效解決技術(shù)防護(hù)問題,確保信息安全。確保信息安全,就必須解決好物理傷害、安全漏洞與安全策略問題,網(wǎng)絡(luò)攻擊與攻擊檢測問題,病毒防治問題,數(shù)據(jù)備份號恢復(fù)問題,災(zāi)難恢復(fù)問題,實(shí)體保護(hù)問題,等等。
加強(qiáng)信息體系防護(hù),建立信息安全保密的技術(shù)防護(hù)體系,應(yīng)著眼于物理安全、運(yùn)行安全、信息安全等方面,借助電磁防護(hù)技術(shù)、信息終端防護(hù)技術(shù)、通信安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)和其他安全技術(shù)共同構(gòu)成技術(shù)防護(hù)體系。采取這些技術(shù)措施的目的,是為了從信息系統(tǒng)和信息網(wǎng)絡(luò)的不同層面保護(hù)信息的機(jī)密性、完整性、可用性、可控性和不可否認(rèn)性,進(jìn)而保障信息及信息系統(tǒng)的安全,提高信息系統(tǒng)和信息網(wǎng)絡(luò)的抗攻擊能力和安全可靠性。
1.物理安全
物理安全主要是指一個單位的物理設(shè)施、設(shè)備和物理區(qū)域的安全,防止其受到非授權(quán)的訪問以及因誤操作、過失操作造成的危害。物理安全包括環(huán)境安全、設(shè)備安全、介質(zhì)安全、電磁輻射等。
(1)環(huán)境安全
地震、雷電、火災(zāi)、水災(zāi)等不可抗拒的環(huán)境事故的影響,應(yīng)按照GB50348中3.8和3.9條規(guī)定執(zhí)行。系統(tǒng)環(huán)境要求配備專用的機(jī)房,保持通風(fēng)良好、潔凈、恒溫、恒濕,有良好的采光照明和噪聲控制,機(jī)房還要有防雷系統(tǒng),具有防潮、防震、防火、防盜、防塵的安全設(shè)施。
(2)設(shè)施設(shè)備安全
網(wǎng)絡(luò)中的設(shè)備,特別是安全類產(chǎn)品在使用過程中,必須能夠從生產(chǎn)廠家或供貨單位得到迅速的技術(shù)支持服務(wù),設(shè)施設(shè)備生產(chǎn)廠家的資質(zhì)應(yīng)符合相關(guān)要求。對一些關(guān)鍵設(shè)備和系統(tǒng),應(yīng)設(shè)置備份系統(tǒng),配備專用電源、過電保護(hù)、備用UPS電源和良好的接地系統(tǒng),確保設(shè)備正常運(yùn)行。同時加強(qiáng)防盜和防毀管理,保護(hù)有價值的程序和數(shù)據(jù),可通過在關(guān)鍵部位和區(qū)域配備入侵報警系統(tǒng)、入口控制系統(tǒng)、視頻安防監(jiān)控系統(tǒng)、聲音復(fù)核系統(tǒng)、電子巡查系統(tǒng),以及在計算機(jī)等網(wǎng)絡(luò)設(shè)備中設(shè)置鎖定裝置等來實(shí)現(xiàn)。
(3)介質(zhì)安全
文件、磁盤、光盤、u盤等介質(zhì),須根據(jù)需要配備必要的密碼文件柜、密 碼保險柜等,介質(zhì)報廢,應(yīng)到有資質(zhì)的單位進(jìn)行處理。介質(zhì)的管理,可結(jié)合單位的實(shí)際情況,實(shí)行集中管理和專人管理,建立管理臺賬,同時對介質(zhì)進(jìn)行編號或標(biāo)識,確保介質(zhì)身份的唯一性,必要時還需及時清理介質(zhì)上儲存的信息和對儲存的信息進(jìn)行備份,以保護(hù)信息的安全和保證介質(zhì)不被非法使用。
(4)電磁輻射
迅馳技術(shù)和無線聯(lián)網(wǎng)功能模塊,使電磁輻射成為泄密的一個重要環(huán)節(jié),具有保密性要求的計算機(jī)、交換機(jī)等網(wǎng)絡(luò)設(shè)備必須拆除具有無線功能的模塊,并根據(jù)需要建立電磁屏蔽室、電磁屏蔽門、電磁屏蔽柜、電波暗室等;同時為降低信號傳輸過程中的泄密隱患,可設(shè)置視頻信號干擾器、電源濾波插座和線路干擾器等。手機(jī)具有互聯(lián)網(wǎng)功能,設(shè)置手機(jī)信號干擾器,避免傳遞涉密信息。
2.運(yùn)行安全
運(yùn)行安全是為保證系統(tǒng)功能的實(shí)現(xiàn)和系統(tǒng)中硬件、軟件及其中的數(shù)據(jù)不受偶然或惡意原因而遭受更改、破壞、泄露,系統(tǒng)連續(xù)可靠正常運(yùn)行,網(wǎng)絡(luò)不中斷。
(1)配備必要的技術(shù)人員和管理人員
網(wǎng)絡(luò)信息系統(tǒng)安全防護(hù)的組織建設(shè)是安全管理的根本保證,在網(wǎng)絡(luò)運(yùn)行中應(yīng)根據(jù)工作需要成立專門的安全防護(hù)機(jī)構(gòu)和安全管理機(jī)構(gòu),做到領(lǐng)導(dǎo)、技術(shù)人員和管理人員三結(jié)合。技術(shù)人員應(yīng)采用必要的技術(shù)手段,對各種安全設(shè)施設(shè)備定期進(jìn)行檢查,保證其功能的正常發(fā)揮,并對當(dāng)前易遭受的攻擊進(jìn)行分析和預(yù)測,采取適當(dāng)措施進(jìn)行防護(hù)。管理人員應(yīng)定期組織對本單位計算機(jī)信息管理制度執(zhí)行情況的監(jiān)督檢查,發(fā)現(xiàn)問題及時解決,并組織建立健全各項(xiàng)管理制度。
(2)系統(tǒng)備份和應(yīng)急響應(yīng)
系統(tǒng)備份包括關(guān)鍵設(shè)備備份、設(shè)備主要配件備份、電源備份、軟件備份及數(shù)據(jù)備份(其他備份在前面物理安全的時候均有描述,這里的備份主要指軟件和數(shù)據(jù)備份)。為了防止存儲設(shè)備的異常損壞,可采用由熱插拔SCSI硬盤所組成的磁盤容錯陣列,以RAID5的方式進(jìn)行系統(tǒng)的實(shí)時熱備份,同時建立強(qiáng)大的數(shù)據(jù)庫觸發(fā)器和恢復(fù)重要數(shù)據(jù)的操作以及更新任務(wù),確保在任何情況下使重要軟件和數(shù)據(jù)均能最大限度地得到恢復(fù);還可以采取數(shù)據(jù)容災(zāi)即通過IP容災(zāi)技術(shù)來保證軟件和重要數(shù)據(jù)的安全,數(shù)據(jù)容災(zāi)使用兩個存儲器,在兩者之間建立復(fù)制關(guān)系,一個放在本地,另一個放在異地,本地存儲器供本地備份系統(tǒng)使用,異地容災(zāi)備份存儲器實(shí)時復(fù)制本地備份存儲器的關(guān)鍵數(shù)據(jù)。二者通過IP相連,構(gòu)成完整的數(shù)據(jù)容災(zāi)系統(tǒng),也能提供數(shù)據(jù)庫容災(zāi)功能。一旦事故發(fā)生,應(yīng)立即啟動備份和應(yīng)急預(yù)案,完成應(yīng)急響應(yīng),使計算機(jī)和信息系統(tǒng)盡快恢復(fù)至正常工作狀態(tài)。
(3)安全審計和風(fēng)險分析
安全審計是網(wǎng)絡(luò)信息系統(tǒng)中用來監(jiān)視、記錄和控制網(wǎng)絡(luò)用戶行為的一種手段,它的主要作用是檢測和阻止非法用戶對計算機(jī)系統(tǒng)的入侵并顯示合法用戶的誤操作。網(wǎng)絡(luò)安全審計主要包括對終端計算機(jī)操作進(jìn)行記錄、對網(wǎng)外設(shè)施設(shè)備連接進(jìn)行記錄、對網(wǎng)絡(luò)流量和網(wǎng)絡(luò)設(shè)備的工作狀態(tài)進(jìn)行記錄以及對重要數(shù)據(jù)庫、重要應(yīng)用系統(tǒng)、重要網(wǎng)絡(luò)區(qū)域客戶機(jī)和重要服務(wù)器的主機(jī)操作訪問和操作進(jìn)行記錄。通過定期對審計日志文件進(jìn)行分析,及時發(fā)現(xiàn)操作系統(tǒng)、數(shù)據(jù)庫、Web、郵件系統(tǒng)、網(wǎng)絡(luò)設(shè)備和防火墻等項(xiàng)目存在的風(fēng)險,采取措施排除隱患,阻止非法訪問,并為事后分析和追查責(zé)任提供依據(jù)。可采用非法外聯(lián)監(jiān)控軟件、互聯(lián)網(wǎng)行為安全審計軟件對違規(guī)連接互聯(lián)網(wǎng)的事件、連接互聯(lián)網(wǎng)的設(shè)備、人員的操作行為和操作內(nèi)容進(jìn)行審計,采用終端安全設(shè)計系統(tǒng),對硬件設(shè)備、文件輸出、可移動存儲進(jìn)行審計,形成審計日志。
3.信息安全
信息安全是針對信息系統(tǒng)的脆弱性、可擴(kuò)散性和智能性、隱蔽性而采用的補(bǔ)丁管理、病毒防范、訪問控制、身份鑒別以及防火墻技術(shù),確保信息來源真實(shí)可靠、信息內(nèi)容完整可用,并確保用戶對其行為負(fù)責(zé)。
(1)補(bǔ)丁管理和漏洞掃描
漏洞掃描是自動檢測遠(yuǎn)端或本地主機(jī)安全的技術(shù),它查詢TCP/IP各種服務(wù)的端口,并記錄目標(biāo)主機(jī)的響應(yīng),收集關(guān)于某些特定項(xiàng)目的有用信息。這項(xiàng)技術(shù)的具體實(shí)現(xiàn)就是安全掃描程序。掃描程序可以在很短的時間內(nèi)查出系統(tǒng)、數(shù)據(jù)庫其他網(wǎng)絡(luò)設(shè)備現(xiàn)存的安全脆弱點(diǎn),以查找安全隱患和可能被攻擊者利用的漏洞。掃描程序開發(fā)者利用可得到的攻擊方法,并把它們集成到整個掃描中,掃描后以統(tǒng)計的格式輸出,便于參考和分析,排除隱患,防止攻擊者入侵。
(2)訪問控制和防火墻
對信息的非授權(quán)訪問、非法使用無權(quán)使用的網(wǎng)管軟件或修改重要的網(wǎng)絡(luò)數(shù)據(jù)是這一安全隱患的具體表現(xiàn),是導(dǎo)致信息泄露的主要手段。通過控制主體對網(wǎng)絡(luò)的訪問,在識別身份的基礎(chǔ)上,根據(jù)身份控制對資源的訪問,對內(nèi)外網(wǎng)通信實(shí)施訪問控制,阻止網(wǎng)絡(luò)黑客或間諜通過網(wǎng)絡(luò)技術(shù)避開系統(tǒng)訪問控制的目的。
防火墻技術(shù)是指網(wǎng)絡(luò)之間通過預(yù)定義的安全策略,采用包過濾、應(yīng)用層網(wǎng)關(guān)及虛擬網(wǎng)技術(shù)防止諸如協(xié)議實(shí)現(xiàn)漏洞、源路由、地址仿冒等多種攻擊手段;通過安全過濾規(guī)則嚴(yán)格控制外網(wǎng)用戶非法訪問,并只打開必需的服務(wù),防范外部的拓絕服務(wù)攻擊;同時,防火墻可以支持安全規(guī)則的變化,控制內(nèi)網(wǎng)用戶訪問外網(wǎng)時間,并通過設(shè)置IP地址與MAC地址綁定,防止目的IP地址的欺騙。更重要的是,防火墻不但將大量的惡意攻擊直接進(jìn)行阻擋,同時也屏蔽來自網(wǎng)絡(luò)內(nèi)部的不良行為,讓其不能把某些保密的信息散播到外部的公共網(wǎng)絡(luò)上去。
(3)身份鑒別
身份鑒別技術(shù)主要包括以下幾種方式:個人識別碼與密碼身份鑒別,感應(yīng)式的IC卡證件身份鑒別、USB key+密碼身份鑒別、生理特征識別身份鑒別。各種鑒別方式有它自己優(yōu)越性和局限性,成本也各有不同,各單位應(yīng)根據(jù)實(shí)際情況選擇適合自己的身份鑒別方式。
(4)入侵檢測和網(wǎng)絡(luò)誘騙
入侵檢測規(guī)則包括在庫規(guī)則,對連續(xù)行為進(jìn)行實(shí)時的檢測和報警,詳細(xì)記錄入侵行為并進(jìn)行行為日志數(shù)據(jù)庫備份,為事后的追查提供必要的線索和證據(jù)。入侵檢測的軟件和硬件共同組成了入侵檢測系統(tǒng)。強(qiáng)大的、完整的入侵檢測系統(tǒng)可以彌補(bǔ)網(wǎng)絡(luò)防火墻相對靜態(tài)防御的不足,可以對內(nèi)部攻擊、外部攻擊和誤操作進(jìn)行實(shí)時防護(hù),在計算機(jī)網(wǎng)絡(luò)和系統(tǒng)受到危害之前進(jìn)行攔截和響應(yīng),為系統(tǒng)及時消除威脅。網(wǎng)絡(luò)誘騙系統(tǒng)是通過構(gòu)建與欺騙環(huán)境真實(shí)的網(wǎng)絡(luò)、主機(jī),或用軟件模擬的網(wǎng)絡(luò)和主機(jī),誘騙入侵者對其進(jìn)行攻擊或在檢測出對實(shí)際系統(tǒng)的攻擊行為后,將攻擊定向到該嚴(yán)格控制的環(huán)境中,從而保護(hù)實(shí)際運(yùn)行的系統(tǒng);同時收集入侵信息,借以觀察入侵者的行為,記錄其活動,以便分析入侵者的水平、目的、所用工具、入侵手段等,并對入侵者的破壞行為保留證據(jù)。
(5)可信介質(zhì)管理
通過可信介質(zhì)管理系統(tǒng),對各種介質(zhì)和計算機(jī)系統(tǒng)采用不同的策略進(jìn)行綁定,以實(shí)現(xiàn)介質(zhì)的有效控制和防止非法使用。
(6)病毒防護(hù)
配置瑞星、金山、諾頓等防病毒軟件,定期更新病毒庫,對網(wǎng)絡(luò)終端進(jìn)行防護(hù)。通過開機(jī)查殺、定時查殺和實(shí)時監(jiān)控對文件、網(wǎng)頁、郵件進(jìn)行病毒查殺;通過啟用主動防御,完成系統(tǒng)加固、應(yīng)用程序控制、木馬行為防御、木馬行為攔截等。配備中間機(jī),外來盤先經(jīng)過中間機(jī)進(jìn)行病毒查殺再進(jìn)行數(shù)據(jù)交換。
(7)密碼技術(shù)
密碼技術(shù)按作用不同可分為數(shù)據(jù)存儲、數(shù)據(jù)傳輸、數(shù)據(jù)完整性的鑒別以及密匙管理技術(shù)4種。數(shù)據(jù)存儲加密技術(shù)是以防止存儲環(huán)節(jié)上的數(shù)據(jù)失密為目的,可分為密文存儲和存取控制兩種;數(shù)據(jù)傳輸加密技術(shù)的目的是對傳輸中的數(shù)據(jù)流加密,常用的有線路加密和端口加密兩種方法;數(shù)據(jù)完整性鑒別技術(shù)的目的是對介入信息的傳送、存取、處理人的身份和相關(guān)數(shù)據(jù)內(nèi)容進(jìn)行驗(yàn)證,達(dá)到保密的要求,系統(tǒng)通過對比驗(yàn)證對象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù),實(shí)現(xiàn)對數(shù)據(jù)的安全保護(hù)。數(shù)據(jù)加密在許多場合集中表現(xiàn)為密匙的應(yīng)用,密匙管理技術(shù)事實(shí)上是為了數(shù)據(jù)使用方便。密匙的管理技術(shù)包括密匙的產(chǎn)生、分配保存、更換與銷毀等各環(huán)節(jié)上的保密措施。
四、信息安全保密的管理保障體系
信息安全“三分靠技術(shù),七分靠管理”。信息安全保密的管理保障體系,主要是從技術(shù)管理、制度管理、資產(chǎn)管理和風(fēng)險管理等方面,加強(qiáng)安全保密管理的力度,使管理成為信息安全保密工作的重中之重。技術(shù)管理主要包括對泄密隱患的技術(shù)檢查,對安全產(chǎn)品、系統(tǒng)的技術(shù)測評和對各種失泄密事件的技術(shù)取證;制度管理主要是指各種信息安全保密制度的制定、審查、監(jiān)督執(zhí)行與落實(shí);資產(chǎn)管理主要包括人員的管理,重要信息資產(chǎn)的備份恢復(fù)管理,涉密場所、計算機(jī)和網(wǎng)絡(luò)的管理,移動通信設(shè)備和存儲設(shè)備的管理等;風(fēng)險管理主要是指保密安全風(fēng)險的評估與控制。
五、結(jié)語
技術(shù)與管理相結(jié)合,是確保信息安全保密應(yīng)該把握的核心原則。為了增強(qiáng)ERP信息系統(tǒng)和信息網(wǎng)絡(luò)的綜合安全保密能力,重點(diǎn)應(yīng)該在健全上述保密體系,尤其是組織體系、管理體系、服務(wù)體系和制度(技術(shù)標(biāo)準(zhǔn)及規(guī)范)體系的基礎(chǔ)上,規(guī)范數(shù)據(jù)備份、密鑰管理、訪問授權(quán)、風(fēng)險控制、身份認(rèn)汪、應(yīng)急響應(yīng)、系統(tǒng)及應(yīng)用安全等管理方案,努力提高系統(tǒng)漏洞掃描、信息內(nèi)容監(jiān)控、安全風(fēng)險評估、入侵事件檢測、病毒預(yù)防治理、系統(tǒng)安全審計、網(wǎng)絡(luò)邊界防護(hù)等方面的技術(shù)水平。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:筑牢安全防線 確保信息保密