信息管理系統(tǒng)安全建設(shè)探討

摘 要：隨著互聯(lián)網(wǎng)的不斷發(fā)展，全球信息化已成為當(dāng)今時(shí)代發(fā)展的大趨勢。近幾年我國信息化建設(shè)進(jìn)程也全面加速，各企事業(yè)單位的信息化建設(shè)在提升服務(wù)能力、促進(jìn)業(yè)務(wù)創(chuàng)新、加速管理體制改革等方面發(fā)揮著越來越重要的作用，信息管理系統(tǒng)已成為推動(dòng)社會(huì)發(fā)展的重要力量。隨著信息化的發(fā)展，我們也將面臨著的信息安全方面的嚴(yán)峻考驗(yàn)，對信息管理系統(tǒng)進(jìn)行全面的安全規(guī)劃與建設(shè)，已經(jīng)是一個(gè)迫在眉睫的問題，也是保證信息安全的及其重要的環(huán)節(jié)。本文從信息系統(tǒng)安全建設(shè)原則、安全建設(shè)內(nèi)容和安全制度建設(shè)三方面較為詳細(xì)的探討了該問題。

關(guān)鍵詞：信息管理系統(tǒng) 信息安全 系統(tǒng)安全建設(shè)

中圖分類號：TP39 文獻(xiàn)標(biāo)識碼：A 文章編號：1003-9082（2014）03-0001-02

一、引言

隨著全球信息化不斷在我國深化和發(fā)展，我國各地區(qū)、各行業(yè)使用信息系統(tǒng)開展工作的比例越來越大。一般來說，信息化程度越高，對信息管理系統(tǒng)的依賴性就越強(qiáng)，信息安全問題就越為突顯和嚴(yán)重。而信息安全問題也正逐漸成為影響各企事業(yè)單位業(yè)務(wù)能否正常運(yùn)行、生產(chǎn)力能否快速發(fā)展的重要因素之一。但是由于我國信息化建設(shè)起步相對較晚，與國外先進(jìn)國家相比，無論在信息安全意識還是信息安全防護(hù)技術(shù)等諸多方面都還存在較大差距，各企事業(yè)單位的信息安全基本上均處于一個(gè)相對較為薄弱的環(huán)節(jié)。一旦信息管理系統(tǒng)中的個(gè)人信息和敏感數(shù)據(jù)發(fā)生丟失或者泄漏，可能會(huì)對自身造成無可估量的損失。因此，重點(diǎn)保障信息管理系統(tǒng)安全已成為各行各業(yè)的首要任務(wù)。信息管理系統(tǒng)安全建設(shè)應(yīng)該系統(tǒng)地、有條理地進(jìn)行全面規(guī)劃，充分地、全方位地考慮安全需求和特性，從而達(dá)到各種安全產(chǎn)品、安全管理、整體安全策略和外部安全服務(wù)的統(tǒng)一，發(fā)揮其最大的效率，給予信息管理系統(tǒng)以最大保障。

二、信息管理系統(tǒng)安全建設(shè)原則

1.安全體系兼容性

安全體系有一個(gè)重要的思想是安全技術(shù)的兼容性，安全措施能夠和目前主流、標(biāo)準(zhǔn)的安全技術(shù)和產(chǎn)品兼容。

2.信息管理系統(tǒng)體系架構(gòu)安全性

系統(tǒng)的系統(tǒng)架構(gòu)已經(jīng)成為保護(hù)系統(tǒng)安全的重要防線，一個(gè)優(yōu)秀的系統(tǒng)體系架構(gòu)除了能夠保證系統(tǒng)的穩(wěn)定性以外，還能夠封裝不同層次的業(yè)務(wù)邏輯。各種業(yè)務(wù)組件之間的“黑盒子”操作，能夠有效地保護(hù)系統(tǒng)邏輯隱蔽性和獨(dú)立性。

3.傳輸安全性

由于計(jì)算機(jī)網(wǎng)絡(luò)涉及很多用戶的接入訪問，因此如何保護(hù)數(shù)據(jù)在傳輸過程中不被竊聽和撰改就成為重點(diǎn)考慮內(nèi)的問題，建議采用傳輸協(xié)議的加密保護(hù)。

4.軟硬件結(jié)合的防護(hù)體系

系統(tǒng)應(yīng)支持和多種軟硬件安全設(shè)備結(jié)合，構(gòu)成一個(gè)立體防護(hù)體系，主要安全軟硬件設(shè)備為防火墻系統(tǒng)、防病毒軟件等。

5.可跟蹤審計(jì)

系統(tǒng)應(yīng)內(nèi)置多粒度的日志系統(tǒng)，能夠按照需要把各種不同操作粒度的動(dòng)作都記錄在日志中，用于跟蹤和審計(jì)用戶的歷史操作。

6.身份確認(rèn)及操作不可抵賴

身份確認(rèn)對于系統(tǒng)來說有兩重含義，一是用戶身份的確認(rèn)，二是服務(wù)器身份的確認(rèn)，兩者在信息安全體系建設(shè)中必不可少。

7.數(shù)據(jù)存儲(chǔ)的安全性

系統(tǒng)中數(shù)據(jù)存儲(chǔ)方面可以采取兩道機(jī)制進(jìn)行的保護(hù)，一是系統(tǒng)提供的訪問權(quán)限控制，二是數(shù)據(jù)的加密存放。

三、信息管理系統(tǒng)安全建設(shè)內(nèi)容

按照系統(tǒng)安全體系結(jié)構(gòu)，結(jié)合安全需求、安全策略和安全措施，并充分利用安全設(shè)備包括防火墻、入侵檢測、主機(jī)審計(jì)等，其建設(shè)內(nèi)容主要有：

1.物理安全

機(jī)房要求保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及其它媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其它環(huán)境事故（如電磁污染、電源故障、設(shè)備被盜、被毀等）破壞。

2.網(wǎng)絡(luò)安全

利用現(xiàn)有的防火墻、路由器，實(shí)行訪問控制，按用戶與系統(tǒng)間的訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進(jìn)行資源訪問。同時(shí)加強(qiáng)端口、拒絕服務(wù)攻擊、網(wǎng)絡(luò)蠕蟲等的監(jiān)控，保障系統(tǒng)網(wǎng)絡(luò)運(yùn)行的暢通。

2.1使用防火墻技術(shù)

通過使用防火墻技術(shù)，建立系統(tǒng)的第二道安全屏障。例如，防止外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的未授權(quán)訪問，建立系統(tǒng)的對外安全屏障。最好是采用不同技術(shù)的防火墻，增加黑客擊穿防火墻的難度。

2.2使用入侵監(jiān)測系統(tǒng)

使用入侵監(jiān)測系統(tǒng)，建立系統(tǒng)的第三道安全屏障，提高系統(tǒng)的安全性能，主要包括：監(jiān)測分析用戶和系統(tǒng)的活動(dòng)、核查系統(tǒng)配置和漏洞、評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性、識別已知的攻擊行為、統(tǒng)計(jì)分析異常行為、操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動(dòng)等功能。

3.主機(jī)安全

系統(tǒng)主機(jī)安全從主機(jī)身份鑒別、訪問控制、安全審計(jì)、入侵防范、惡意代碼防范和資源控制等方面考慮。

3.1主機(jī)身份鑒別

對登錄操作系統(tǒng)的用戶進(jìn)行身份設(shè)別和鑒別，對操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)設(shè)置復(fù)雜的登錄口令，并且定期進(jìn)行更換。同時(shí)對操作系統(tǒng)和數(shù)據(jù)庫用戶分配不同的用戶分配不同用戶名。

3.2訪問控制

通過三層交換機(jī)和防火墻設(shè)置對系統(tǒng)服務(wù)器的訪問控制權(quán)限。對服務(wù)器實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離，限制默認(rèn)賬號的訪問權(quán)限，重命名系統(tǒng)默認(rèn)賬戶，修改默認(rèn)密碼。

3.3安全審計(jì)

服務(wù)器操作系統(tǒng)本身帶有審計(jì)功能，要求審計(jì)范圍覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶，審計(jì)內(nèi)容包括重要用戶行為、系統(tǒng)資源異常使用并進(jìn)行記錄。

信息管理系統(tǒng)也應(yīng)考慮安全審計(jì)功能，記錄系統(tǒng)用戶行為，系統(tǒng)用戶操作事件日期、時(shí)間、類型、操作結(jié)果等。

3.4入侵防范

利用入侵檢測系統(tǒng)和防火墻相應(yīng)功能，檢測對服務(wù)器入侵行為，記錄入侵源IP、攻擊的類型、攻擊的目標(biāo)、攻擊時(shí)間，并在發(fā)生嚴(yán)重的入侵事件時(shí)提供報(bào)警。

3.5惡意代碼防范

在服務(wù)器上安裝服務(wù)器端防病毒系統(tǒng)，以提供對病毒的檢測、清除、免疫和對抗能力。

3.6資源控制

在核心交換機(jī)與防火墻配置詳細(xì)訪問控制策略，限制非法訪問。

4.應(yīng)用安全

4.1安全審計(jì)

信息管理系統(tǒng)應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能，對應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)，審計(jì)記錄內(nèi)容至少包括事件的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等，保證無法刪除、修改或覆蓋審計(jì)記錄。

4.2資源控制

信息管理系統(tǒng)應(yīng)限制用戶對系統(tǒng)的最大并發(fā)會(huì)話連接數(shù)、限制單個(gè)賬戶的多重并發(fā)會(huì)話、限制某一時(shí)間段內(nèi)可能的并發(fā)會(huì)話連接數(shù)。

5.數(shù)據(jù)安全

系統(tǒng)數(shù)據(jù)安全要求確保管理數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)等重要信息在傳輸過程和存儲(chǔ)過程中的完整性和保密性。對于數(shù)據(jù)庫中的敏感數(shù)據(jù)，需對數(shù)據(jù)項(xiàng)進(jìn)行加密，保證管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程與存儲(chǔ)過程中完整性不受到破壞。

對數(shù)據(jù)進(jìn)行定期備份，確保存儲(chǔ)過程中檢測到數(shù)據(jù)完整性錯(cuò)誤時(shí)，具有數(shù)據(jù)恢復(fù)能力。必須采用至少兩種手段進(jìn)行備份，備份手段以整體安全備份系統(tǒng)為主，配合其他備份手段，如GHOST、TRUE IMAGE或操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)本身的備份服務(wù)等。備份具體要求如下：

5.1各服務(wù)器專職管理員根據(jù)所管服務(wù)器的具體情況與整體安全備份系統(tǒng)專職管理員協(xié)調(diào)制訂好所管服務(wù)器的備份計(jì)劃及備份策略。

5.2整體安全備份系統(tǒng)專職管理人員必須組織各服務(wù)器專職管理員對各服務(wù)器每個(gè)季度進(jìn)行一次整體災(zāi)備（冷備）。若某臺(tái)服務(wù)器的配置需要發(fā)生較大變更，該服務(wù)器的專職管理員應(yīng)在對該服務(wù)器實(shí)施變更前和圓滿完成變更后，分別對該服務(wù)器做一次整體災(zāi)備，必要時(shí)整體安全備份系統(tǒng)專職管理員需對整體災(zāi)備提供協(xié)助。

5.3數(shù)據(jù)備份主要分為月備份、周備份、日備份及日志（增量）備份。月備份每月對各服務(wù)器的所有系統(tǒng)、目錄及數(shù)據(jù)庫做一次全備（熱備）。周備份每周對各服務(wù)器的所有系統(tǒng)、目錄及數(shù)據(jù)庫做一次全備（熱備）。日備份每天對各服務(wù)器的重要目錄及數(shù)據(jù)庫做一次備份。日志（增量）備份針對數(shù)據(jù)更新較頻繁的服務(wù)器，每天進(jìn)行多次增量備份。

5.4除日志（增量）備份外，其它各種備份以每一次獨(dú)立執(zhí)行的備份作為一個(gè)獨(dú)立版本。每個(gè)獨(dú)立版本的備份必須存儲(chǔ)在獨(dú)立的備份介質(zhì)上，不能混合存儲(chǔ)在同一套備份介質(zhì)。整體災(zāi)備（冷備）和月備份一般要求保留至少能覆蓋當(dāng)年及上一年全年時(shí)間的所有版本，周備份要求保留至少最近5個(gè)版本，日備份要求保留至少最近4個(gè)版本，日志（增量）備份保留至少自上一次周備份以來的所有版本。

5.5備份介質(zhì)應(yīng)放在機(jī)房以外安全的地方保管。所有備份介質(zhì)必須有明確、詳盡的標(biāo)簽文字說明。

5.6整體安全備份系統(tǒng)專職管理員必須定時(shí)檢查備份作業(yè)的運(yùn)行情況，備份異常情況應(yīng)盡快查明原因，解決問題并在值班登記本上詳細(xì)記錄。

四、安全制度建設(shè)

建設(shè)嚴(yán)格、完整的基本管理制度包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理機(jī)制幾個(gè)方面。

安全管理制度：包括安全策略、安全制度、操作規(guī)程等的管理制度；管理制度的制定和發(fā)布；管理制度的評審和修訂。

安全管理機(jī)構(gòu)：包括職能部門崗位設(shè)置；系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員的人員配備；授權(quán)和審批；管理人員、內(nèi)部機(jī)構(gòu)和職能部門間的溝通和合作；定期的安全審核和安全檢查。

人員安全管理：包括人員錄用；人員離崗；人員考核；安全意識教育和培訓(xùn)；外部人員訪問管理。

系統(tǒng)建設(shè)管理：包括系統(tǒng)定級；安全方案設(shè)計(jì)；產(chǎn)品采購和使用；自行軟件開發(fā)；外包軟件開發(fā)；工程實(shí)施；測試驗(yàn)收；系統(tǒng)交付；系統(tǒng)備案；等級測評；安全服務(wù)商選擇。

系統(tǒng)運(yùn)維管理：包括機(jī)房環(huán)境管理；信息資產(chǎn)管理；介質(zhì)管理；設(shè)備管理；監(jiān)控管理和安全管理中心；網(wǎng)絡(luò)安全管理；系統(tǒng)安全管理；惡意代碼防范管理；密碼管理；變更管理；備份與恢復(fù)管理；安全事件處置；應(yīng)急預(yù)案管理。

五、結(jié)束語

信息化建設(shè)已經(jīng)涉及到國民經(jīng)濟(jì)和社會(huì)生活的各個(gè)領(lǐng)域，信息管理系統(tǒng)也成為各行各業(yè)信息化建設(shè)發(fā)展中的重要工具。如何保障信息管理系統(tǒng)安全從而保證信息安全是關(guān)系到國家安全、社會(huì)安全和行業(yè)安全的大問題。我們只有在實(shí)現(xiàn)信息安全的條件下，才能有效利用信息管理系統(tǒng)這個(gè)有力的工具提高生產(chǎn)力，推動(dòng)社會(huì)的發(fā)展。本文通過對信息系統(tǒng)安全建設(shè)原則、安全建設(shè)內(nèi)容和安全制度建設(shè)三方面較為詳細(xì)的探討，應(yīng)該對于各企事業(yè)單位信息管理系統(tǒng)的安全建設(shè)有所幫助和借鑒。

參考文獻(xiàn)

[1] 林國恩，李建彬，信息系統(tǒng)安全，電子工業(yè)出版社，2010-03

[2] Dieter Gollmann， Computer Security 2 edition， Wiley， 2006

[3]《信息系統(tǒng)安全等級保護(hù)基本要求》，中華人民共和國國家標(biāo)準(zhǔn)，GB/T 22239-2008

[4] 尚邦治等，做好信息安全等級保護(hù)工作，中國衛(wèi)生信息管理雜志，2012.5

[5] 王起全，企業(yè)安全生產(chǎn)信息管理系統(tǒng)構(gòu)建研究，中國安全科學(xué)學(xué)報(bào)，2010.5

作者簡介： 羅光明，（1981.6—），講師，四川水利職業(yè)技術(shù)學(xué)院，主要研究方向計(jì)算機(jī)網(wǎng)絡(luò)、軟件工程。