文/王 軼

當今社會已是電子化、信息化的時代，其中尤以信息化的特征最為突出。一個國家的信息化和信息化產(chǎn)業(yè)的發(fā)展水平已經(jīng)成為衡量其綜合國力的重要標準。但由于信息資源不可等同于其他資源的本身特性，因此，如何保證信息的安全性已經(jīng)成為我們在信息化建設過程中需要立即解決的重要問題。

信息安全是指信息網(wǎng)絡中的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，信息服務不中斷。信息安全主要就是網(wǎng)絡上的信息安全；但從廣義來說，凡是涉及到網(wǎng)絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是信息安全的范疇。

一、信息安全的分類

信息安全事件可以根據(jù)是故意、過失或非人為原因引起的，就綜合考慮信息安全事件的起因、表現(xiàn)、結果等，對信息安全事件分為以下七個基本類。

1.有害程序事件（MI）是指蓄意制造、傳播有害程序，或是因受到有害程序的影響而導致的信息安全事件。有害程序是指插入到信息系統(tǒng)中的一段程序，有害程序危害系統(tǒng)中數(shù)據(jù)、應用程序或操作系統(tǒng)的保密性、完整性或可用性，或影響信息系統(tǒng)的正常運行。

2.網(wǎng)絡攻擊事件（NAI）是指通過網(wǎng)絡或其他技術手段，利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷或使用暴力攻擊對信息系統(tǒng)實施攻擊，并造成信息系統(tǒng)異?；驅π畔⑾到y(tǒng)當前運行造成潛在危害的信息安全事件。

3.信息破壞事件（IDI）是指通過網(wǎng)絡或其他技術手段，造成信息系統(tǒng)中的信息被篡改、假冒、泄漏、竊取等而導致的信息安全事件。

4.信息內(nèi)容安全事件（ICSI）是指利用信息網(wǎng)絡發(fā)布、傳播危害國家安全、社會穩(wěn)定和公共利益的內(nèi)容的安全事件。

5.設備設施故障（FF）是指由于信息系統(tǒng)自身故障或外圍保障設施故障而導致的信息安全事件，以及人為地使用非技術手段有意或無意地造成信息系統(tǒng)破壞而導致的信息安全事件。

6.災害性事件（DI）是指由于不可抗力對信息系統(tǒng)造成物理破壞而導致的信息安全事件。

7.其他事件（OI）是指不能歸位以上6個基本分類的信息安全事件。

二、“金質工程”中的信息安全

“金質工程”是依托國家電子政務外網(wǎng)和現(xiàn)有信息化資源，通過“一網(wǎng)、一庫、三系統(tǒng)”的建設，逐步實現(xiàn)行政審批網(wǎng)絡化、監(jiān)督管理信息化、決策支持智能化、業(yè)務處理規(guī)范化、信息交互發(fā)布自動化的信息化項目。上海市“金質工程”項目按照國家質檢總局的要求，結合上海地方特點，充分利用原有的應用、網(wǎng)絡、系統(tǒng)與數(shù)據(jù)資源進行開發(fā)建設。堅持標準化、規(guī)范化、科學化的要求，建成能夠體現(xiàn)信息化發(fā)展水平的上海金質工程。通過金質工程的實施，完成了“一網(wǎng)一庫四大系統(tǒng)”，從多個層次實現(xiàn)對質量管理（認證）、質量監(jiān)督、標準化管理、計量管理、特種設備安全監(jiān)察、市場整頓執(zhí)法稽查、食品生產(chǎn)監(jiān)督管理、纖維質量監(jiān)管等業(yè)務的電子化管理和網(wǎng)絡協(xié)同工作，提高了上海市質量技術監(jiān)督部門行政效率和公共服務能力。為實現(xiàn)上海市質量技術監(jiān)督局法定監(jiān)督、管理職責提供了堅實的基礎。

其中，“一網(wǎng)”實現(xiàn)了上海市質量技術監(jiān)督局和18個區(qū)縣質量技術監(jiān)督行政部門9個直屬機構以及100多個相關技術機構的網(wǎng)絡互連互通，為信息互通互用、工作互動協(xié)同建立了信息高速公路；“一庫”建立了數(shù)據(jù)“一方維護、一次采集、多方使用”的數(shù)據(jù)資源注冊管理機制，保證了數(shù)據(jù)采集的準確性、一致性和信息共享的及時性，從而消除信息孤島，實現(xiàn)了行政管理工作動態(tài)化；“四大系統(tǒng)”下的20余個應用子系統(tǒng)，實現(xiàn)了全系統(tǒng)“網(wǎng)上辦事”、“信息公開”和業(yè)務工作的電子化和自動化。隨著“金質工程”電子化、網(wǎng)絡化、信息化的全面推進，雖然有效地解決了沒有適合信息化要求的系統(tǒng)基礎、信息不能有效交換共享、數(shù)據(jù)不能有效利用、信息化跟不上業(yè)務發(fā)展需要等現(xiàn)狀。

保障信息安全首先就要保障網(wǎng)絡安全，網(wǎng)絡安全是信息安全的基石。沒有一個健康、強壯的網(wǎng)絡平臺，又何談信息的安全。通過對“金質工程”網(wǎng)絡以及業(yè)務需求的前期了解后，我們發(fā)現(xiàn)整個工程的網(wǎng)絡情況比較復雜。首先，業(yè)務需求以及信息安全等級的不同導致了網(wǎng)絡的種類較多，其中就涉及到了政務網(wǎng)、公網(wǎng)、總局專線等；其次，業(yè)務終端數(shù)量較大且布局分散，這直接導致了網(wǎng)絡較大的擴散性以及較低的可控性；再次，“金質工程”是一個不斷發(fā)展的項目，本著前瞻性、易用性的原則，在對信息安全的初期規(guī)劃和實施中就要考慮到如何隨著業(yè)務本身的發(fā)展而為信息安全技術的提升預留出一定的空間。至此，如何保障“金質工程”在建設以及運營中的信息安全問題成為了我們的首要任務。

三、信息安全在“金質工程”中的實現(xiàn)方案

信息安全的保障其實就是一場戰(zhàn)爭。而要贏得這場戰(zhàn)爭的基礎就是必須擁有符合以下3個基本要求的“戰(zhàn)士”。

1.有一個強健的身體——硬件保障工作

在整個信息化系統(tǒng)中的硬件就好比是戰(zhàn)士的身體，身體的強壯度是決定戰(zhàn)爭走向的前提之一。其中，數(shù)據(jù)中心的機房就好比是人的肌肉和骨骼保護著各種器官；各種主機服務器、網(wǎng)絡設備、安全設備就好比是戰(zhàn)士的內(nèi)臟、神經(jīng)等器官維持著生命的正常運作；而信息則像是戰(zhàn)士的血液一般連通貫穿著整個身體。

2.擁有完備、強大的各種裝備——技術保障工作

“工欲善其事，必先利其器?！备鞣N技術手段就好比最堅硬的盾和最鋒利的劍。只有不斷地完善、更新自己的“器”才可在信息安全的戰(zhàn)爭中處于不敗之地。

3.有一顆堅定、執(zhí)著、忠誠的心——制度的制定以及實施工作

戰(zhàn)士的堅定、執(zhí)著、忠誠才是贏得戰(zhàn)爭的根本保障。國有國法，家有家規(guī)。只有懂得紀律重要性的戰(zhàn)士才能將勝利堅持到底。因此，我們不但要有詳盡可行的制度，更需要把這些制度充分地落實下去，連每一個戰(zhàn)士的牙齒都不漏過。

“金質工程”的初期規(guī)劃中，我們充分考慮了先前所述的幾個問題。不但要保障信息的安全性，更要考慮到功能實現(xiàn)的經(jīng)濟性。信息安全系統(tǒng)是一個具有收斂性效應的系統(tǒng)，在建設過程中并不是一個簡單的安全產(chǎn)品的堆砌、安裝過程。一個完整的信息安全體系是多種安全措施的有機結合，相互協(xié)助，在提供基礎的技術手段后依靠信息安全管理制度來實現(xiàn)的。我們在“金質工程”的實施過程中充分整合了原有資源，雖然其難度遠遠大于新建一套系統(tǒng)且加大了信息在整個系統(tǒng)中的安全保障難度，但是卻充分體現(xiàn)了工程中安全性與經(jīng)濟性并重的特點。

“金質工程”實施中，首先通過分析系統(tǒng)的基礎安全需求和實施手段，建立起系統(tǒng)最基本的安全機制，包括邊界隔離防護、訪問控制、數(shù)據(jù)加密、入侵防御、漏洞掃描及加固、防病毒等系統(tǒng)，以減少大部分安全威脅；再根據(jù)“金質工程”項目具體業(yè)務系統(tǒng)的要求，通過部署安全審計、防篡改、垃圾郵件防范、認證授權、統(tǒng)一安管平臺等系統(tǒng)，結合相應的運維管理層面的安全規(guī)劃設計，進一步提高系統(tǒng)的安全級別。在了解了系統(tǒng)內(nèi)部業(yè)務需求的有關信息、與外部交換的業(yè)務信息以及向社會發(fā)布的服務信息所面臨的潛在安全風險后，我們結合對需要保護的各類信息進行分析，綜合考慮系統(tǒng)可接受的風險程度，制定了各類信息系統(tǒng)安全需求相應的安全目標、實現(xiàn)安全目標的安全模型以及信息安全保護體系后，通過建立立體化的信息安全體系架構，層層遞推、步步漸進，最終形成了一個安全級別高、兼顧可實施性的信息安全保障系統(tǒng)。在這套安全系統(tǒng)中，我們通過在邊界架設鏈路負載均衡、防火墻、ips、vpn以及在核心區(qū)架設其他相關設備的技術手段實現(xiàn)了邊界安全、數(shù)據(jù)安全、安全認證、終端防護、訪問控制、安全審計、安全評估、病毒防護、網(wǎng)管安管平臺、安全管理等功能，有效地避免了非法的訪問控制請求、業(yè)務數(shù)據(jù)完整性被破壞和傳輸線路信息泄漏、網(wǎng)絡病毒及蠕蟲入侵傳播威脅、非授權訪問和冒充合法用戶、內(nèi)部人員的安全操作的威脅、系統(tǒng)受到入侵、網(wǎng)頁被篡改、服務被干擾、系統(tǒng)恢復能力弱、容易受到自然災難影響等信息安全隱患，切實地在技術手段上做到充分保障信息安全?！敖鹳|工程”信息安全架構如圖所示。

“金質工程”信息安全架構圖

四、結束語

目前，信息化的應用正處于一個幾何式增長的時期，并且隨著規(guī)模迅速擴大、新技術不斷出現(xiàn)和應用，復雜程度也日益加劇。面對如此錯綜復雜的現(xiàn)狀，信息安全的重要性更顯得不言而喻。只有不斷強健自己的體魄、熟練運用各種“器”、時刻保持思想的高度統(tǒng)一，才能充分保障信息安全以及業(yè)務系統(tǒng)高效、安全、穩(wěn)定的運行。

[1]常建平.網(wǎng)絡安全與計算機犯罪[M].中國人民公安大學出版社,2002.

[2]黃小蘇,閔京華,趙戰(zhàn)生等.GB/Z 20986-2007信息安全技術信息安全事件分類分級指南[S].中國標準出版社,2007.