馮阿芳 石 研

(哈爾濱學(xué)院數(shù)學(xué)與計(jì)算機(jī)學(xué)院,黑龍江哈爾濱150080)

隨著計(jì)算機(jī)信息技術(shù)的飛速發(fā)展和廣泛運(yùn)用,政治、經(jīng)濟(jì)、社會(huì)、文化、生活等各個(gè)領(lǐng)域越來(lái)越依靠計(jì)算機(jī)信息網(wǎng)絡(luò)的應(yīng)用。然而互聯(lián)網(wǎng)這柄“雙刃劍”禍福相倚的特性,致使計(jì)算機(jī)信息網(wǎng)絡(luò)的安全形勢(shì)也隨之不斷惡化。以發(fā)生于美國(guó)華爾街花旗集團(tuán)的金融網(wǎng)絡(luò)襲擊案來(lái)說(shuō),一組網(wǎng)絡(luò)犯罪團(tuán)伙的“黑客”攻擊了花旗銀行的計(jì)算機(jī)信息系統(tǒng),席卷了數(shù)千萬(wàn)美元,客戶大筆財(cái)產(chǎn)頃刻損失,同時(shí)帶來(lái)花旗股票應(yīng)聲下跌,整個(gè)金融股票受到嚴(yán)重拖累。如何進(jìn)一步研究包括金融、商業(yè)、軍事等各個(gè)行業(yè)和領(lǐng)域的信息系統(tǒng)安全防護(hù)策略,如何讓單位機(jī)構(gòu)的計(jì)算機(jī)信息系統(tǒng)免受虛擬世界的打擊已成為無(wú)法回避的挑戰(zhàn)。

一、計(jì)算機(jī)信息系統(tǒng)安全策略的概念

金融、商業(yè)等行業(yè)與計(jì)算機(jī)信息系統(tǒng)和互聯(lián)網(wǎng)技術(shù)的相結(jié)合,具有形態(tài)虛擬化、普及大眾化、運(yùn)行網(wǎng)絡(luò)化、使用快捷化等特點(diǎn)。

1.計(jì)算機(jī)信息安全

計(jì)算機(jī)信息安全是保護(hù)計(jì)算機(jī)信息在存儲(chǔ)、處理和傳輸過(guò)程中,一是保持完整性,使之不被修改、不被破壞、不會(huì)丟失,保持原樣性,通常商業(yè)、政府的計(jì)算機(jī)信息更加注重完整性;二是保證保密性,使信息不能泄漏給非授權(quán)的實(shí)體和個(gè)人,軍事信息、金融信息更注重信息的保密性;三是保證信息可用性,即信息的合法使用者能夠保證信息不會(huì)因?yàn)榉欠ü?如病毒等),而造成系統(tǒng)癱瘓或信息的無(wú)法使用。

2.計(jì)算機(jī)信息系統(tǒng)安全

信息系統(tǒng)安全是指連接于互聯(lián)網(wǎng)的計(jì)算機(jī)系統(tǒng),在信息的存儲(chǔ)、處理和傳輸過(guò)程中能夠保證計(jì)算機(jī)安全,數(shù)據(jù)庫(kù)安全和傳輸網(wǎng)絡(luò)安全。

3.計(jì)算機(jī)信息系統(tǒng)安全策略

計(jì)算機(jī)信息系統(tǒng)“安全策略”是人們?yōu)榱吮ＷC連于互聯(lián)網(wǎng)的計(jì)算機(jī)信息系統(tǒng)的安全性,為進(jìn)行防護(hù)而制定的各種計(jì)劃、規(guī)章制度、法規(guī),以及人員的定崗定位和技術(shù)層次的各種措施、技術(shù)手段等。安全策略既包含宏觀和微觀的,也有技術(shù)的和非技術(shù)的,硬件和軟件的,法律和非法律的,系統(tǒng)和單一的等等?？梢哉f(shuō)計(jì)算機(jī)信息系統(tǒng)的安全策略研究是一項(xiàng)復(fù)雜的系統(tǒng)工程,具有科學(xué)性、嚴(yán)肅性、操作性和非二義性。

二、計(jì)算機(jī)信息系統(tǒng)安全策略需考慮的幾個(gè)關(guān)系

各種行業(yè)機(jī)構(gòu)的計(jì)算機(jī)信息系統(tǒng)的安全策略是不應(yīng)相同的,要不要建立安全策略,就要考慮好信息系統(tǒng)安全度的大小。打個(gè)比方,一個(gè)鄉(xiāng)級(jí)機(jī)構(gòu)的計(jì)算機(jī)信息系統(tǒng)就無(wú)需建立一個(gè)國(guó)家級(jí)機(jī)構(gòu)的信息系統(tǒng)安全策略,應(yīng)考慮到價(jià)值度、應(yīng)用度和風(fēng)險(xiǎn)度等因素。

1.宏觀與微觀的關(guān)系

機(jī)構(gòu)單位的計(jì)算機(jī)信息系統(tǒng)是由一個(gè)個(gè)主體計(jì)算機(jī)組成,要從宏觀考慮整個(gè)單位系統(tǒng)的安全,也要考慮單個(gè)機(jī)體的安全,共同保障單位信息系統(tǒng)的安全。

2.近期與長(zhǎng)遠(yuǎn)的關(guān)系

對(duì)于一個(gè)非線性的人機(jī)智能化相結(jié)合復(fù)雜的龐大系統(tǒng),也許今天的安全策略是顯效的,系統(tǒng)是安全的,明天也許就會(huì)出現(xiàn)新的系統(tǒng)漏洞,黑客就會(huì)研究出新的技術(shù)、新的病毒程序?！暗琅c魔”之間是沒(méi)有盡頭的,要求系統(tǒng)永不停機(jī)、數(shù)據(jù)永不丟失、網(wǎng)絡(luò)永不癱瘓、信息永不泄露是做不到的,安全策略要不斷進(jìn)行糾正修偏,既要考慮近期,也要考慮中遠(yuǎn)期。

3.適度與過(guò)度的關(guān)系

單位機(jī)構(gòu)由于采用了開(kāi)放技術(shù)和共享軟件,極大地降低了商業(yè)、金融等產(chǎn)品的開(kāi)發(fā)費(fèi)用和運(yùn)行費(fèi)用,但應(yīng)用與管理是相互依存的,在創(chuàng)造價(jià)值的同時(shí)也會(huì)出現(xiàn)風(fēng)險(xiǎn),就像金融服務(wù)運(yùn)用互聯(lián)網(wǎng)技術(shù),成本大大降低,交易方式與規(guī)模發(fā)生質(zhì)的飛躍,較之傳統(tǒng)金融服務(wù),更能吸引客戶,但同樣也吸引了大量網(wǎng)絡(luò)罪犯。所以安全策略要適度,需要運(yùn)用風(fēng)險(xiǎn)評(píng)估的方法,圍繞風(fēng)險(xiǎn)、資產(chǎn)、措施、代價(jià)展開(kāi)分析。安全風(fēng)險(xiǎn)低,安全策略就要簡(jiǎn)單些,代價(jià)低一些,反之,安全策略的底價(jià)就要高。具體行業(yè)、具體單位都不能一樣,不同架構(gòu)的信息安全保障系統(tǒng)和網(wǎng)絡(luò)信息安全的等級(jí)保護(hù)的安全理念和安全策略建設(shè)也不應(yīng)一樣。

4.軟環(huán)境與硬環(huán)境的關(guān)系

建立安全策略,不僅是制定方案,還要有設(shè)備保障,不僅要完善各類規(guī)章制度,還要有技術(shù)人員的操作,不僅是理論上的把握,還要有實(shí)踐上的運(yùn)用,不僅有工作流程,還要有技術(shù)上的支撐以及財(cái)力、物力的投入。

5.安全策略的等級(jí)

根據(jù)1999年9月13日國(guó)家質(zhì)量技術(shù)監(jiān)督局制定的強(qiáng)制性國(guó)家標(biāo)準(zhǔn)《計(jì)算機(jī)信息安全保護(hù)等級(jí)劃分準(zhǔn)則》,將計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)等級(jí)分為五級(jí),可以看作是制定安全策略的五個(gè)等級(jí),是實(shí)施計(jì)算機(jī)信息系統(tǒng)安全等級(jí)管理的重要依據(jù)和基礎(chǔ)性標(biāo)準(zhǔn)。第一級(jí)別,適用于普通內(nèi)聯(lián)網(wǎng)用戶,用戶自主保護(hù)級(jí)別;第二級(jí)別,適用于通過(guò)內(nèi)聯(lián)網(wǎng)或Internet網(wǎng)進(jìn)行商務(wù)活動(dòng),要求保密的非重要單位,此級(jí)別為系統(tǒng)審計(jì)保護(hù)級(jí);第三級(jí)別,適用于地方各級(jí)政府機(jī)關(guān)、金融單位機(jī)構(gòu)、郵電通信、能源與水源供給部門、交通運(yùn)輸、大型工商與信息技術(shù)企業(yè)、重點(diǎn)工程建設(shè)等單位,此級(jí)別為安全標(biāo)記保護(hù)級(jí);第四級(jí)別,適用于中央級(jí)國(guó)家機(jī)關(guān)、廣播電視部門、重要物資儲(chǔ)備單位、社會(huì)應(yīng)急服務(wù)部門、尖端科技企業(yè)集團(tuán)、國(guó)家重點(diǎn)科研單位機(jī)構(gòu)和國(guó)防建設(shè)等部門,為結(jié)構(gòu)化保護(hù)級(jí);第五級(jí)別,適用于國(guó)防關(guān)鍵部門和依法需要對(duì)計(jì)算機(jī)信息系統(tǒng)實(shí)施特殊隔離的單位,為訪問(wèn)驗(yàn)證保護(hù)級(jí)。

三、制定信息系統(tǒng)安全策略應(yīng)遵循的重要原則

1.堅(jiān)持以人為本的原則

信息系統(tǒng)歸根結(jié)底是要為人服務(wù)的,安全策略是通過(guò)人來(lái)執(zhí)行的,從國(guó)家層面,應(yīng)加大網(wǎng)絡(luò)道德建設(shè),要求每個(gè)人在從事網(wǎng)絡(luò)活動(dòng)中,都要具有良好的品德和高度的自律,努力維護(hù)網(wǎng)絡(luò)資源,保護(hù)網(wǎng)絡(luò)信息安全,不發(fā)生違反網(wǎng)絡(luò)道德的行為。單位機(jī)構(gòu)層面要對(duì)信息系統(tǒng)中每個(gè)機(jī)器的使用人員,加強(qiáng)信息安全培訓(xùn)、教育和管理,強(qiáng)化安全意識(shí)和法制觀念,強(qiáng)化職業(yè)道德,掌握安全技術(shù)。

2.堅(jiān)持誰(shuí)領(lǐng)導(dǎo)誰(shuí)負(fù)責(zé)的原則

主要領(lǐng)導(dǎo)要對(duì)本單位信息系統(tǒng)的安全負(fù)總責(zé),要專門組織人員制定周密科學(xué)的安全方案,培訓(xùn)高素質(zhì)的技術(shù)隊(duì)伍,調(diào)動(dòng)和統(tǒng)籌好資源和經(jīng)費(fèi),協(xié)調(diào)安全管理部門與應(yīng)用部門間的工作,使安全策略能夠深入落實(shí)。

3.堅(jiān)持全面防范重點(diǎn)突出的原則

安全管理的綜合保障措施必須全面,要從人員、管理、設(shè)備、技術(shù)等多方面,在預(yù)警、保護(hù)、檢測(cè)、反應(yīng)、恢復(fù)和跟蹤等諸個(gè)環(huán)節(jié)加以實(shí)施,同時(shí)要緊緊抓住關(guān)鍵環(huán)節(jié),有效做好安全管理工作。

4.堅(jiān)持特殊安全管理原則

在制定和實(shí)施安全策略和技術(shù)措施時(shí),要處理好若干特殊原則：一是把握好分權(quán)制衡原則。避免操作權(quán)力集中;二是堅(jiān)持最小權(quán)利原則。系統(tǒng)中的每一個(gè)用戶、管理員等僅能夠享有該主體需要完成其被指定任務(wù)所必須的權(quán)利,其他的權(quán)利不宜擁有太多,對(duì)信息、信息系統(tǒng)的訪問(wèn)要最小特權(quán)化;三是堅(jiān)持使用先進(jìn)技術(shù)原則。提供可靠的、穩(wěn)定的、科學(xué)的技術(shù)保證是安全策略達(dá)到有效的最重要因素之一;四是故障保護(hù)原則,在信息系統(tǒng)出現(xiàn)錯(cuò)誤或故障時(shí),非授權(quán)人不允許進(jìn)入內(nèi)部系統(tǒng);五是共同參與原則。信息系統(tǒng)的隊(duì)伍中所有人員都要參與安全保護(hù)工作,共同維護(hù)保障系統(tǒng)正常安全工作。同時(shí)還要堅(jiān)持審計(jì)獨(dú)立、職責(zé)分離、控制社會(huì)影響等原則。最終要堅(jiān)持保護(hù)資源和效率的原則,使之成為安全管理的最終目標(biāo)。

四、信息系統(tǒng)安全策略的主要內(nèi)容

我們強(qiáng)調(diào)的“信息安全保障系統(tǒng)”是一個(gè)在網(wǎng)絡(luò)上,集成軟、硬件和密碼設(shè)備的系統(tǒng),來(lái)保障其他應(yīng)用信息系統(tǒng)正常運(yùn)行,以及與之相關(guān)崗位人員策略、方案、制度和規(guī)程的總和。因此,計(jì)算機(jī)信息系統(tǒng)的安全策略是建立在一個(gè)全局性的安全方案基礎(chǔ)之上的,二者相輔相成,又密不可分,沒(méi)有安全方案就沒(méi)有安全策略,建立在一個(gè)好的安全方案基礎(chǔ)之上,才能制定一個(gè)好的安全策略。

1.信息系統(tǒng)安全方案的組成因素

包括主要硬件設(shè)備、操作系統(tǒng)和數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、數(shù)據(jù)存儲(chǔ)方案和存儲(chǔ)設(shè)備、安全設(shè)備、應(yīng)用軟件開(kāi)發(fā)平臺(tái)、應(yīng)用軟件的系統(tǒng)結(jié)構(gòu)、供貨商和集成商的選擇方案等因素,這些組成因素的確定要科學(xué)有效,對(duì)整個(gè)系統(tǒng)的信息安全方案的確定才具有決定作用。

2.信息系統(tǒng)安全策略的重要內(nèi)容

安全策略的核心要做到定方案、定崗、定位、定員、定目標(biāo)、定制度、定流程,即“七定”。

崗位定下來(lái),就能夠明確定位和定員,然后要由崗位負(fù)責(zé)人定下目標(biāo),確定如何讓安全策略做到使資源和效率達(dá)到最優(yōu)化的目標(biāo),在定制度、定流程中,還要明確關(guān)鍵崗位的安全制度和流程。在我國(guó)的單位機(jī)構(gòu)一般要設(shè)置機(jī)房設(shè)備安全管理、主機(jī)和操作系統(tǒng)安全管理、網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)安全管理、應(yīng)用和輸入輸出安全管理、信息審計(jì)安全管理,這些管理的職責(zé)崗位要配置相應(yīng)的管理員,如機(jī)房設(shè)備管理員、應(yīng)用開(kāi)發(fā)管理員等。隨后要根據(jù)不同崗位明確相應(yīng)細(xì)則、制度和工作流程,以及由此產(chǎn)生安全策略的組成因素：機(jī)房設(shè)備安全管理策略;主機(jī)和操作系統(tǒng)管理策略;網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)管理策略;應(yīng)用和輸入、輸出管理策略;應(yīng)用開(kāi)發(fā)管理策略;應(yīng)急事故管理策略;密碼和安全設(shè)備管理策略;信息審計(jì)管理策略等。

[1]張金革.CIO應(yīng)建立企業(yè)計(jì)算機(jī)信息系統(tǒng)安全策略 .http ：//info.secu.hc360.com.

[2]柳純錄.信息系統(tǒng)項(xiàng)目管理師教程[M].清華大學(xué)出版社,2008.

[3]葉曉舟.管理信息系統(tǒng)中安全策略應(yīng)用研究[D].中南大學(xué),2007.