摘 要：隨著互聯(lián)網(wǎng)的不斷發(fā)展，全球信息化已成為當今時代發(fā)展的大趨勢。近幾年我國信息化建設進程也全面加速，各企事業(yè)單位的信息化建設在提升服務能力、促進業(yè)務創(chuàng)新、加速管理體制改革等方面發(fā)揮著越來越重要的作用，信息管理系統(tǒng)已成為推動社會發(fā)展的重要力量。隨著信息化的發(fā)展，我們也將面臨著的信息安全方面的嚴峻考驗，對信息管理系統(tǒng)進行全面的安全規(guī)劃與建設，已經(jīng)是一個迫在眉睫的問題，也是保證信息安全的及其重要的環(huán)節(jié)。本文從信息系統(tǒng)安全建設原則、安全建設內容和安全制度建設三方面較為詳細的探討了該問題。

關鍵詞：信息管理系統(tǒng) 信息安全 系統(tǒng)安全建設

中圖分類號：TP39 文獻標識碼：A 文章編號：1003-9082（2014）03-0001-02

一、引言

隨著全球信息化不斷在我國深化和發(fā)展，我國各地區(qū)、各行業(yè)使用信息系統(tǒng)開展工作的比例越來越大。一般來說，信息化程度越高，對信息管理系統(tǒng)的依賴性就越強，信息安全問題就越為突顯和嚴重。而信息安全問題也正逐漸成為影響各企事業(yè)單位業(yè)務能否正常運行、生產力能否快速發(fā)展的重要因素之一。但是由于我國信息化建設起步相對較晚，與國外先進國家相比，無論在信息安全意識還是信息安全防護技術等諸多方面都還存在較大差距，各企事業(yè)單位的信息安全基本上均處于一個相對較為薄弱的環(huán)節(jié)。一旦信息管理系統(tǒng)中的個人信息和敏感數(shù)據(jù)發(fā)生丟失或者泄漏，可能會對自身造成無可估量的損失。因此，重點保障信息管理系統(tǒng)安全已成為各行各業(yè)的首要任務。信息管理系統(tǒng)安全建設應該系統(tǒng)地、有條理地進行全面規(guī)劃，充分地、全方位地考慮安全需求和特性，從而達到各種安全產品、安全管理、整體安全策略和外部安全服務的統(tǒng)一，發(fā)揮其最大的效率，給予信息管理系統(tǒng)以最大保障。

二、信息管理系統(tǒng)安全建設原則

1.安全體系兼容性

安全體系有一個重要的思想是安全技術的兼容性，安全措施能夠和目前主流、標準的安全技術和產品兼容。

2.信息管理系統(tǒng)體系架構安全性

系統(tǒng)的系統(tǒng)架構已經(jīng)成為保護系統(tǒng)安全的重要防線，一個優(yōu)秀的系統(tǒng)體系架構除了能夠保證系統(tǒng)的穩(wěn)定性以外，還能夠封裝不同層次的業(yè)務邏輯。各種業(yè)務組件之間的“黑盒子”操作，能夠有效地保護系統(tǒng)邏輯隱蔽性和獨立性。

3.傳輸安全性

由于計算機網(wǎng)絡涉及很多用戶的接入訪問，因此如何保護數(shù)據(jù)在傳輸過程中不被竊聽和撰改就成為重點考慮內的問題，建議采用傳輸協(xié)議的加密保護。

4.軟硬件結合的防護體系

系統(tǒng)應支持和多種軟硬件安全設備結合，構成一個立體防護體系，主要安全軟硬件設備為防火墻系統(tǒng)、防病毒軟件等。

5.可跟蹤審計

系統(tǒng)應內置多粒度的日志系統(tǒng)，能夠按照需要把各種不同操作粒度的動作都記錄在日志中，用于跟蹤和審計用戶的歷史操作。

6.身份確認及操作不可抵賴

身份確認對于系統(tǒng)來說有兩重含義，一是用戶身份的確認，二是服務器身份的確認，兩者在信息安全體系建設中必不可少。

7.數(shù)據(jù)存儲的安全性

系統(tǒng)中數(shù)據(jù)存儲方面可以采取兩道機制進行的保護，一是系統(tǒng)提供的訪問權限控制，二是數(shù)據(jù)的加密存放。

三、信息管理系統(tǒng)安全建設內容

按照系統(tǒng)安全體系結構，結合安全需求、安全策略和安全措施，并充分利用安全設備包括防火墻、入侵檢測、主機審計等，其建設內容主要有：

1.物理安全

機房要求保護計算機設備、設施（含網(wǎng)絡）以及其它媒體免遭地震、水災、火災、有害氣體和其它環(huán)境事故（如電磁污染、電源故障、設備被盜、被毀等）破壞。

2.網(wǎng)絡安全

利用現(xiàn)有的防火墻、路由器，實行訪問控制，按用戶與系統(tǒng)間的訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問。同時加強端口、拒絕服務攻擊、網(wǎng)絡蠕蟲等的監(jiān)控，保障系統(tǒng)網(wǎng)絡運行的暢通。

2.1使用防火墻技術

通過使用防火墻技術，建立系統(tǒng)的第二道安全屏障。例如，防止外部網(wǎng)絡對內部網(wǎng)絡的未授權訪問，建立系統(tǒng)的對外安全屏障。最好是采用不同技術的防火墻，增加黑客擊穿防火墻的難度。

2.2使用入侵監(jiān)測系統(tǒng)

使用入侵監(jiān)測系統(tǒng)，建立系統(tǒng)的第三道安全屏障，提高系統(tǒng)的安全性能，主要包括：監(jiān)測分析用戶和系統(tǒng)的活動、核查系統(tǒng)配置和漏洞、評估系統(tǒng)關鍵資源和數(shù)據(jù)文件的完整性、識別已知的攻擊行為、統(tǒng)計分析異常行為、操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動等功能。

3.主機安全

系統(tǒng)主機安全從主機身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范和資源控制等方面考慮。

3.1主機身份鑒別

對登錄操作系統(tǒng)的用戶進行身份設別和鑒別，對操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)設置復雜的登錄口令，并且定期進行更換。同時對操作系統(tǒng)和數(shù)據(jù)庫用戶分配不同的用戶分配不同用戶名。

3.2訪問控制

通過三層交換機和防火墻設置對系統(tǒng)服務器的訪問控制權限。對服務器實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權用戶的權限分離，限制默認賬號的訪問權限，重命名系統(tǒng)默認賬戶，修改默認密碼。

3.3安全審計

服務器操作系統(tǒng)本身帶有審計功能，要求審計范圍覆蓋到服務器上的每個操作系統(tǒng)用戶，審計內容包括重要用戶行為、系統(tǒng)資源異常使用并進行記錄。

信息管理系統(tǒng)也應考慮安全審計功能，記錄系統(tǒng)用戶行為，系統(tǒng)用戶操作事件日期、時間、類型、操作結果等。

3.4入侵防范

利用入侵檢測系統(tǒng)和防火墻相應功能，檢測對服務器入侵行為，記錄入侵源IP、攻擊的類型、攻擊的目標、攻擊時間，并在發(fā)生嚴重的入侵事件時提供報警。

3.5惡意代碼防范

在服務器上安裝服務器端防病毒系統(tǒng)，以提供對病毒的檢測、清除、免疫和對抗能力。

3.6資源控制

在核心交換機與防火墻配置詳細訪問控制策略，限制非法訪問。

4.應用安全

4.1安全審計

信息管理系統(tǒng)應提供覆蓋到每個用戶的安全審計功能，對應用系統(tǒng)重要安全事件進行審計，審計記錄內容至少包括事件的日期、時間、發(fā)起者信息、類型、描述和結果等，保證無法刪除、修改或覆蓋審計記錄。

4.2資源控制

信息管理系統(tǒng)應限制用戶對系統(tǒng)的最大并發(fā)會話連接數(shù)、限制單個賬戶的多重并發(fā)會話、限制某一時間段內可能的并發(fā)會話連接數(shù)。

5.數(shù)據(jù)安全

系統(tǒng)數(shù)據(jù)安全要求確保管理數(shù)據(jù)和業(yè)務數(shù)據(jù)等重要信息在傳輸過程和存儲過程中的完整性和保密性。對于數(shù)據(jù)庫中的敏感數(shù)據(jù)，需對數(shù)據(jù)項進行加密，保證管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)在傳輸過程與存儲過程中完整性不受到破壞。

對數(shù)據(jù)進行定期備份，確保存儲過程中檢測到數(shù)據(jù)完整性錯誤時，具有數(shù)據(jù)恢復能力。必須采用至少兩種手段進行備份，備份手段以整體安全備份系統(tǒng)為主，配合其他備份手段，如GHOST、TRUE IMAGE或操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)本身的備份服務等。備份具體要求如下：

5.1各服務器專職管理員根據(jù)所管服務器的具體情況與整體安全備份系統(tǒng)專職管理員協(xié)調制訂好所管服務器的備份計劃及備份策略。

5.2整體安全備份系統(tǒng)專職管理人員必須組織各服務器專職管理員對各服務器每個季度進行一次整體災備（冷備）。若某臺服務器的配置需要發(fā)生較大變更，該服務器的專職管理員應在對該服務器實施變更前和圓滿完成變更后，分別對該服務器做一次整體災備，必要時整體安全備份系統(tǒng)專職管理員需對整體災備提供協(xié)助。

5.3數(shù)據(jù)備份主要分為月備份、周備份、日備份及日志（增量）備份。月備份每月對各服務器的所有系統(tǒng)、目錄及數(shù)據(jù)庫做一次全備（熱備）。周備份每周對各服務器的所有系統(tǒng)、目錄及數(shù)據(jù)庫做一次全備（熱備）。日備份每天對各服務器的重要目錄及數(shù)據(jù)庫做一次備份。日志（增量）備份針對數(shù)據(jù)更新較頻繁的服務器，每天進行多次增量備份。

5.4除日志（增量）備份外，其它各種備份以每一次獨立執(zhí)行的備份作為一個獨立版本。每個獨立版本的備份必須存儲在獨立的備份介質上，不能混合存儲在同一套備份介質。整體災備（冷備）和月備份一般要求保留至少能覆蓋當年及上一年全年時間的所有版本，周備份要求保留至少最近5個版本，日備份要求保留至少最近4個版本，日志（增量）備份保留至少自上一次周備份以來的所有版本。

5.5備份介質應放在機房以外安全的地方保管。所有備份介質必須有明確、詳盡的標簽文字說明。

5.6整體安全備份系統(tǒng)專職管理員必須定時檢查備份作業(yè)的運行情況，備份異常情況應盡快查明原因，解決問題并在值班登記本上詳細記錄。

四、安全制度建設

建設嚴格、完整的基本管理制度包括安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理機制幾個方面。

安全管理制度：包括安全策略、安全制度、操作規(guī)程等的管理制度；管理制度的制定和發(fā)布；管理制度的評審和修訂。

安全管理機構：包括職能部門崗位設置；系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員的人員配備；授權和審批；管理人員、內部機構和職能部門間的溝通和合作；定期的安全審核和安全檢查。

人員安全管理：包括人員錄用；人員離崗；人員考核；安全意識教育和培訓；外部人員訪問管理。

系統(tǒng)建設管理：包括系統(tǒng)定級；安全方案設計；產品采購和使用；自行軟件開發(fā)；外包軟件開發(fā)；工程實施；測試驗收；系統(tǒng)交付；系統(tǒng)備案；等級測評；安全服務商選擇。

系統(tǒng)運維管理：包括機房環(huán)境管理；信息資產管理；介質管理；設備管理；監(jiān)控管理和安全管理中心；網(wǎng)絡安全管理；系統(tǒng)安全管理；惡意代碼防范管理；密碼管理；變更管理；備份與恢復管理；安全事件處置；應急預案管理。

五、結束語

信息化建設已經(jīng)涉及到國民經(jīng)濟和社會生活的各個領域，信息管理系統(tǒng)也成為各行各業(yè)信息化建設發(fā)展中的重要工具。如何保障信息管理系統(tǒng)安全從而保證信息安全是關系到國家安全、社會安全和行業(yè)安全的大問題。我們只有在實現(xiàn)信息安全的條件下，才能有效利用信息管理系統(tǒng)這個有力的工具提高生產力，推動社會的發(fā)展。本文通過對信息系統(tǒng)安全建設原則、安全建設內容和安全制度建設三方面較為詳細的探討，應該對于各企事業(yè)單位信息管理系統(tǒng)的安全建設有所幫助和借鑒。

參考文獻

[1] 林國恩，李建彬，信息系統(tǒng)安全，電子工業(yè)出版社，2010-03

[2] Dieter Gollmann， Computer Security 2 edition， Wiley， 2006

[3]《信息系統(tǒng)安全等級保護基本要求》，中華人民共和國國家標準，GB/T 22239-2008

[4] 尚邦治等，做好信息安全等級保護工作，中國衛(wèi)生信息管理雜志，2012.5

[5] 王起全，企業(yè)安全生產信息管理系統(tǒng)構建研究，中國安全科學學報，2010.5

作者簡介： 羅光明，（1981.6—），講師，四川水利職業(yè)技術學院，主要研究方向計算機網(wǎng)絡、軟件工程。