冯阿芳 石 研

(哈尔滨学院数学与计算机学院,黑龙江哈尔滨150080)

随着计算机信息技术的飞速发展和广泛运用,政治、经济、社会、文化、生活等各个领域越来越依靠计算机信息网络的应用。然而互联网这柄“双刃剑”祸福相倚的特性,致使计算机信息网络的安全形势也随之不断恶化。以发生于美国华尔街花旗集团的金融网络袭击案来说,一组网络犯罪团伙的“黑客”攻击了花旗银行的计算机信息系统,席卷了数千万美元,客户大笔财产顷刻损失,同时带来花旗股票应声下跌,整个金融股票受到严重拖累。如何进一步研究包括金融、商业、军事等各个行业和领域的信息系统安全防护策略,如何让单位机构的计算机信息系统免受虚拟世界的打击已成为无法回避的挑战。

一、计算机信息系统安全策略的概念

金融、商业等行业与计算机信息系统和互联网技术的相结合,具有形态虚拟化、普及大众化、运行网络化、使用快捷化等特点。

1.计算机信息安全

计算机信息安全是保护计算机信息在存储、处理和传输过程中,一是保持完整性,使之不被修改、不被破坏、不会丢失,保持原样性,通常商业、政府的计算机信息更加注重完整性;二是保证保密性,使信息不能泄漏给非授权的实体和个人,军事信息、金融信息更注重信息的保密性;三是保证信息可用性,即信息的合法使用者能够保证信息不会因为非法攻击(如病毒等),而造成系统瘫痪或信息的无法使用。

2.计算机信息系统安全

信息系统安全是指连接于互联网的计算机系统,在信息的存储、处理和传输过程中能够保证计算机安全,数据库安全和传输网络安全。

3.计算机信息系统安全策略

计算机信息系统“安全策略”是人们为了保证连于互联网的计算机信息系统的安全性,为进行防护而制定的各种计划、规章制度、法规,以及人员的定岗定位和技术层次的各种措施、技术手段等。安全策略既包含宏观和微观的,也有技术的和非技术的,硬件和软件的,法律和非法律的,系统和单一的等等。可以说计算机信息系统的安全策略研究是一项复杂的系统工程,具有科学性、严肃性、操作性和非二义性。

二、计算机信息系统安全策略需考虑的几个关系

各种行业机构的计算机信息系统的安全策略是不应相同的,要不要建立安全策略,就要考虑好信息系统安全度的大小。打个比方,一个乡级机构的计算机信息系统就无需建立一个国家级机构的信息系统安全策略,应考虑到价值度、应用度和风险度等因素。

1.宏观与微观的关系

机构单位的计算机信息系统是由一个个主体计算机组成,要从宏观考虑整个单位系统的安全,也要考虑单个机体的安全,共同保障单位信息系统的安全。

2.近期与长远的关系

对于一个非线性的人机智能化相结合复杂的庞大系统,也许今天的安全策略是显效的,系统是安全的,明天也许就会出现新的系统漏洞,黑客就会研究出新的技术、新的病毒程序。“道与魔”之间是没有尽头的,要求系统永不停机、数据永不丢失、网络永不瘫痪、信息永不泄露是做不到的,安全策略要不断进行纠正修偏,既要考虑近期,也要考虑中远期。

3.适度与过度的关系

单位机构由于采用了开放技术和共享软件,极大地降低了商业、金融等产品的开发费用和运行费用,但应用与管理是相互依存的,在创造价值的同时也会出现风险,就像金融服务运用互联网技术,成本大大降低,交易方式与规模发生质的飞跃,较之传统金融服务,更能吸引客户,但同样也吸引了大量网络罪犯。所以安全策略要适度,需要运用风险评估的方法,围绕风险、资产、措施、代价展开分析。安全风险低,安全策略就要简单些,代价低一些,反之,安全策略的底价就要高。具体行业、具体单位都不能一样,不同架构的信息安全保障系统和网络信息安全的等级保护的安全理念和安全策略建设也不应一样。

4.软环境与硬环境的关系

建立安全策略,不仅是制定方案,还要有设备保障,不仅要完善各类规章制度,还要有技术人员的操作,不仅是理论上的把握,还要有实践上的运用,不仅有工作流程,还要有技术上的支撑以及财力、物力的投入。

5.安全策略的等级

根据1999年9月13日国家质量技术监督局制定的强制性国家标准《计算机信息安全保护等级划分准则》,将计算机信息系统的安全保护等级分为五级,可以看作是制定安全策略的五个等级,是实施计算机信息系统安全等级管理的重要依据和基础性标准。第一级别,适用于普通内联网用户,用户自主保护级别;第二级别,适用于通过内联网或Internet网进行商务活动,要求保密的非重要单位,此级别为系统审计保护级;第三级别,适用于地方各级政府机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位,此级别为安全标记保护级;第四级别,适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设等部门,为结构化保护级;第五级别,适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位,为访问验证保护级。

三、制定信息系统安全策略应遵循的重要原则

1.坚持以人为本的原则

信息系统归根结底是要为人服务的,安全策略是通过人来执行的,从国家层面,应加大网络道德建设,要求每个人在从事网络活动中,都要具有良好的品德和高度的自律,努力维护网络资源,保护网络信息安全,不发生违反网络道德的行为。单位机构层面要对信息系统中每个机器的使用人员,加强信息安全培训、教育和管理,强化安全意识和法制观念,强化职业道德,掌握安全技术。

2.坚持谁领导谁负责的原则

主要领导要对本单位信息系统的安全负总责,要专门组织人员制定周密科学的安全方案,培训高素质的技术队伍,调动和统筹好资源和经费,协调安全管理部门与应用部门间的工作,使安全策略能够深入落实。

3.坚持全面防范重点突出的原则

安全管理的综合保障措施必须全面,要从人员、管理、设备、技术等多方面,在预警、保护、检测、反应、恢复和跟踪等诸个环节加以实施,同时要紧紧抓住关键环节,有效做好安全管理工作。

4.坚持特殊安全管理原则

在制定和实施安全策略和技术措施时,要处理好若干特殊原则：一是把握好分权制衡原则。避免操作权力集中;二是坚持最小权利原则。系统中的每一个用户、管理员等仅能够享有该主体需要完成其被指定任务所必须的权利,其他的权利不宜拥有太多,对信息、信息系统的访问要最小特权化;三是坚持使用先进技术原则。提供可靠的、稳定的、科学的技术保证是安全策略达到有效的最重要因素之一;四是故障保护原则,在信息系统出现错误或故障时,非授权人不允许进入内部系统;五是共同参与原则。信息系统的队伍中所有人员都要参与安全保护工作,共同维护保障系统正常安全工作。同时还要坚持审计独立、职责分离、控制社会影响等原则。最终要坚持保护资源和效率的原则,使之成为安全管理的最终目标。

四、信息系统安全策略的主要内容

我们强调的“信息安全保障系统”是一个在网络上,集成软、硬件和密码设备的系统,来保障其他应用信息系统正常运行,以及与之相关岗位人员策略、方案、制度和规程的总和。因此,计算机信息系统的安全策略是建立在一个全局性的安全方案基础之上的,二者相辅相成,又密不可分,没有安全方案就没有安全策略,建立在一个好的安全方案基础之上,才能制定一个好的安全策略。

1.信息系统安全方案的组成因素

包括主要硬件设备、操作系统和数据库、网络拓扑结构、数据存储方案和存储设备、安全设备、应用软件开发平台、应用软件的系统结构、供货商和集成商的选择方案等因素,这些组成因素的确定要科学有效,对整个系统的信息安全方案的确定才具有决定作用。

2.信息系统安全策略的重要内容

安全策略的核心要做到定方案、定岗、定位、定员、定目标、定制度、定流程,即“七定”。

岗位定下来,就能够明确定位和定员,然后要由岗位负责人定下目标,确定如何让安全策略做到使资源和效率达到最优化的目标,在定制度、定流程中,还要明确关键岗位的安全制度和流程。在我国的单位机构一般要设置机房设备安全管理、主机和操作系统安全管理、网络和数据库安全管理、应用和输入输出安全管理、信息审计安全管理,这些管理的职责岗位要配置相应的管理员,如机房设备管理员、应用开发管理员等。随后要根据不同岗位明确相应细则、制度和工作流程,以及由此产生安全策略的组成因素：机房设备安全管理策略;主机和操作系统管理策略;网络和数据库管理策略;应用和输入、输出管理策略;应用开发管理策略;应急事故管理策略;密码和安全设备管理策略;信息审计管理策略等。

[1]张金革.CIO应建立企业计算机信息系统安全策略 .http ：//info.secu.hc360.com.

[2]柳纯录.信息系统项目管理师教程[M].清华大学出版社,2008.

[3]叶晓舟.管理信息系统中安全策略应用研究[D].中南大学,2007.