關(guān)于強(qiáng)化計算機(jī)信息安全管理工作的研究

【摘要】隨著計算機(jī)的廣泛應(yīng)用，信息安全問題已經(jīng)成為能夠為有效發(fā)揮計算機(jī)作用的關(guān)鍵組成部分，這就有必要強(qiáng)化相應(yīng)的信息安全管理工作。在這種背景下，本文首先探討了計算機(jī)信息安全管理工作開展思路，進(jìn)而分析了計算機(jī)信息安全管理系統(tǒng)構(gòu)建，從而為強(qiáng)化計算機(jī)信息安全管理工作提供必要的借鑒與參考。

【關(guān)鍵詞】計算機(jī)；信息安全；管理工作；強(qiáng)化

一、引言

21世紀(jì)是電腦網(wǎng)絡(luò)科技的世紀(jì)，信息借助網(wǎng)絡(luò)傳輸既快速又廣泛的流通與交換，科技進(jìn)步孕育出全球化社會。隨著網(wǎng)絡(luò)的普及化，信息安全的重要性更加凸顯，提升企事業(yè)組織信息安全防御能力，便成當(dāng)務(wù)之急的工作。信息安全維護(hù)旨在確保信息的機(jī)密性、完整性與可用性，我們應(yīng)當(dāng)落實最佳安全實務(wù)準(zhǔn)則及縱深防御策略，以應(yīng)對信息網(wǎng)絡(luò)安全的威脅。有鑒于此，無論是防護(hù)機(jī)制建立、法令規(guī)范修訂、教育培訓(xùn)與人才培養(yǎng)，均須落實執(zhí)行。傳統(tǒng)的信息安全架構(gòu)與信息服務(wù)的安全架構(gòu)是目前經(jīng)常被拿來相比較的議題，大多數(shù)的資料中心發(fā)展成信息服務(wù)中心時，傳統(tǒng)安全防護(hù)架構(gòu)需要面臨擴(kuò)充性以及適用性的挑戰(zhàn)，從信息基礎(chǔ)設(shè)施、運(yùn)作應(yīng)用程序以及各種不同類型的軟件服務(wù)，增加了管理上的復(fù)雜度。信息服務(wù)的營運(yùn)管理，為確保信息服務(wù)內(nèi)容與營運(yùn)品質(zhì)的重要因素，信息服務(wù)的管理，除了技術(shù)面的問題，許多必須注重在政策面的管理。

二、計算機(jī)信息安全管理工作開展思路

一是已知的信息安全脆弱性。假如一個公司或機(jī)構(gòu)曾經(jīng)對其本身的信息系統(tǒng)安全進(jìn)行評估并研析評估資料，則這一公司或機(jī)構(gòu)將可更有效地確保其信息系統(tǒng)的安全，同時可將其先前所存在的弱點的性質(zhì)告知其他公司與機(jī)構(gòu)，以節(jié)省彼此的時間及風(fēng)險。但是，當(dāng)相關(guān)公司擔(dān)心因?qū)θ觞c的矯正不夠徹底而面臨法律問題時，則將影響此種信息分享的方式。舉例而言，若是某一公司或機(jī)構(gòu)只對其系統(tǒng)中經(jīng)確認(rèn)的弱點的90﹪加以改進(jìn)，并將相關(guān)信息與其他公司分享，則這一公司可能會因違反管理標(biāo)準(zhǔn)而遭到處罰。

二是有關(guān)進(jìn)行中的IT 方面的攻擊或持續(xù)存在的威脅的預(yù)警（但不提及“來源與方法”）。信息系統(tǒng)管理人員與網(wǎng)絡(luò)管理人員是最可能首先發(fā)現(xiàn)入侵行動或攻擊行動的人。他們大都不愿意將入侵事件向執(zhí)法單位報告，因為他們擔(dān)心業(yè)主所擁有的信息會因而對外泄漏或一旦入侵事件公諸于世會危害機(jī)構(gòu)或該公司的名譽(yù)。所以，當(dāng)執(zhí)法單位接獲有關(guān)持續(xù)進(jìn)行的攻擊事件的報告時，應(yīng)設(shè)法對這一信息加以篩選、分析，然后分送給其他可能會受影響的單位。如此一來，將可不在提及遭受攻擊的機(jī)構(gòu)或公司名稱的情形下，確認(rèn)潛在的脆弱性或攻擊行動。在另一方面，出現(xiàn)有計劃的攻擊或刺探行動時，因為這等行動通常普遍可能成為國家安全的隱憂或因為該行動是來自于某一特定的外國，故由執(zhí)法單位進(jìn)行的信息分享方式顯得特別重要。

三是用以對付某種型態(tài)的IT 方面的攻擊的策略。當(dāng)某一機(jī)構(gòu)發(fā)現(xiàn)了一項弱點或被告知某項弱點，而且也找到了解決辦法，則這一機(jī)構(gòu)可能會抗拒與其他機(jī)構(gòu)分享此方面的信息，因為這種解決辦法對業(yè)主而言極具價值。有關(guān)這一方面，政府的職責(zé)應(yīng)在于對相關(guān)信息進(jìn)行事前的篩選后加以分送，這一方面有助于其他機(jī)構(gòu)做好預(yù)防工作，一方面又不至于泄漏關(guān)鍵信息。我們可要求各個公司提供有關(guān)新病毒、網(wǎng)絡(luò)蠕蟲與木馬的信息、某一特定黑客所使用的方法、與選定特定攻擊目標(biāo)的黑客會面所收集到的信息等。這一做法未來將有助于建立與識別相關(guān)的軌跡，并有助于提升入侵偵測的能力以發(fā)揮更佳的保護(hù)效果。

四是通過偵測、分析、防御與應(yīng)變程序進(jìn)行信息服務(wù)的管理，面對所遭遇的問題，通過不斷的持續(xù)改善，依據(jù)所發(fā)掘的異常行為進(jìn)行信息服務(wù)的改善，包括了基礎(chǔ)設(shè)施、系統(tǒng)平臺以及應(yīng)用程序等，增加信息服務(wù)的完整性與可靠度。信息安全管理系統(tǒng)可應(yīng)用于公有信息服務(wù)、私有信息服務(wù)或是混合性的信息服務(wù)架構(gòu)中，通過整體的自我防御機(jī)制，以維持自然的生態(tài)平衡，能夠?qū)τ诋惓５男袨樘卣鬟M(jìn)行應(yīng)對與處置。信息安全管理系統(tǒng)，必須擁有自動化的處理能力，面對外來與內(nèi)在的威脅，進(jìn)行自我的防御與應(yīng)變，以縮小影響的范圍與處理的時效，面對大量的資源而言，必須有效的掌握現(xiàn)有資源的狀態(tài)，以做為資源的調(diào)配上的參考指標(biāo)。

三、計算機(jī)信息安全管理系統(tǒng)構(gòu)建

信息運(yùn)算環(huán)境下的安全威脅，以風(fēng)險的角度可以分成信息安全技術(shù)、流程、程序、法律以及互信模式等項目進(jìn)行討論，以信息安全技術(shù)而言，為符合服務(wù)導(dǎo)向的架構(gòu)，目前進(jìn)行信息安全的規(guī)劃與設(shè)計時，須先確定提供服務(wù)的內(nèi)容與對象，以確定需要導(dǎo)入的信息安全技術(shù)為何。信息服務(wù)安全的標(biāo)準(zhǔn)化建設(shè)，必須具備以下幾項要件。

第一，信息安全管理系統(tǒng)將相同的理論應(yīng)用在信息運(yùn)算所提供的信息服務(wù)上，將整個信息架構(gòu)分成了偵測、分析、防御、應(yīng)變等幾個元件。一是偵測：通過信息安全相關(guān)的設(shè)備，如應(yīng)用層防火墻、通訊協(xié)定分析設(shè)備、入侵偵測系統(tǒng)、誘捕系統(tǒng)等，建立信息環(huán)境的偵測點，運(yùn)用特征比對與行為分析的方式，進(jìn)行異常狀態(tài)的偵測，進(jìn)行信息的收集，以提供后續(xù)的進(jìn)行資料探勘與分析使用。二是分析：大尺度的信息環(huán)境，產(chǎn)生大量的系統(tǒng)日志與網(wǎng)絡(luò)流量等資料，因為信息服務(wù)維運(yùn)的需求，又必須即時進(jìn)行資料的探勘，以掌握信息服務(wù)的狀態(tài)，若有異常的行為出現(xiàn)，必須進(jìn)行處置以避免影響信息服務(wù)的安全，因此通過建構(gòu)日志系統(tǒng)以提供未來稽核所需要的佐證文件，為規(guī)劃與建構(gòu)信息資料分析平臺不可或缺的考量。三是防御：信息環(huán)境須具備防御的機(jī)制，當(dāng)有異常的行為出現(xiàn)時，必須能夠進(jìn)行自我的防御，以避免影響其它的信息服務(wù)。四是應(yīng)變：針對異常的行為或是威脅進(jìn)行應(yīng)變處置，必須具備自動化應(yīng)變的能力，通過自主的應(yīng)變措施，以提供信息環(huán)境掌控風(fēng)險，并且結(jié)合風(fēng)險評價與改善規(guī)劃，進(jìn)行環(huán)境的調(diào)整，以達(dá)信息服務(wù)的持續(xù)提供。

第二，實現(xiàn)與維護(hù)信息安全計劃。完整的信息安全防護(hù)計劃，可以確保信息架構(gòu)的安全，針對風(fēng)險與威脅都進(jìn)行管理與控制，并且能夠持續(xù)維護(hù)信息安全計劃的有效性，以應(yīng)對新型態(tài)風(fēng)險與威脅的出現(xiàn)，通過應(yīng)變策略的擬定，針對信息服務(wù)的安全性進(jìn)行掌握。另外，還需建構(gòu)與管理信息安全的基礎(chǔ)設(shè)施。通過完整的基礎(chǔ)設(shè)施，能夠提供信息服務(wù)所需的高彈性資源調(diào)配，確保服務(wù)的可靠性，因此通過基礎(chǔ)設(shè)施的保護(hù)，為提供信息服務(wù)的基本要素，同時通過服務(wù)供應(yīng)商，以確保在符合法律、法規(guī)以及客戶的要求下，有能力滿足對于所要求的服務(wù)內(nèi)容。除此之外，確保機(jī)密資料安全防護(hù)。資料的安全防護(hù)為信息服務(wù)的核心原則，所有通過信息服務(wù)進(jìn)行傳輸、存取與保存的資料，必須受到嚴(yán)格的資料安全防護(hù)機(jī)制，對于企業(yè)而言，機(jī)敏的資料必須確實受到安全的防護(hù)，才會考慮是否采用信息服務(wù)模式在其商業(yè)營運(yùn)上，因此無論采用何種方式使用信息服務(wù)，所有的資料流均必須考慮到資料安全的防護(hù)問題。

第三，實現(xiàn)嚴(yán)謹(jǐn)?shù)拇嫒】刂婆c身份識別管理。使用者可以由不同的管道使用信息服務(wù)，但是不論使用何種方式，均必須確保能夠正確的驗證使用者的身份，并且能夠針對使用者的權(quán)限進(jìn)行有效的管理，以限制能夠提供存取的資料范圍。另外，需建立應(yīng)用程序與環(huán)境的配置。當(dāng)使用者通過信息服務(wù)的使用者界面進(jìn)行服務(wù)內(nèi)容的設(shè)定，信息服務(wù)的架構(gòu)必須由一連串的變更進(jìn)行環(huán)境的配置與設(shè)定，以確定能夠由自動化的程序，建立應(yīng)用程序與環(huán)境的整合。

第四，實施信息治理與稽核管理規(guī)劃。對于信息環(huán)境的管理，必須配合稽核計劃進(jìn)行，以確保所有的信息服務(wù)能夠在可被驗證與舉證的前提下，提供使用者安全上的信賴，其中必須涵蓋日志的收集以及需要進(jìn)行稽核的紀(jì)錄，整體的管理規(guī)劃必須同時配合信息服務(wù)的推出進(jìn)行建構(gòu)。另外，需要實現(xiàn)弱點掃瞄與入侵偵測系統(tǒng)架構(gòu)。在被信任的的信息服務(wù)中，必須實現(xiàn)信息架構(gòu)中的基礎(chǔ)設(shè)施、系統(tǒng)平臺以及應(yīng)用程序的弱點管理機(jī)制，通過管理機(jī)制的建立，以進(jìn)行嚴(yán)格的弱點管理計劃，配合入侵偵測系統(tǒng)、入侵防御系統(tǒng)以及IT資源的管理，其中包括了網(wǎng)絡(luò)、服務(wù)器、基礎(chǔ)設(shè)施等元件，以確定提供信息服務(wù)的內(nèi)容，不因為存在弱點而造成風(fēng)險與威脅。

第五，采用對稱與非對稱式的信息加密防護(hù)策略。該加密過程至少包含以下元素：明文、加密演算法、加密鑰匙及密文。明文代表未加密內(nèi)容，密文代表加密后內(nèi)容，演算法代表加密規(guī)則、鑰匙代表加密時所要定義的參數(shù)。以替代加密法的例子為例，選定凱撒加密法為演算法，而決定字母要位移幾位，就是鑰匙，加解密雙方都必須知道這只鑰匙，才能順利加解密。加解密時使用同一把鑰匙，是一直以來的概念，也即密碼學(xué)發(fā)展到此時，均屬對稱式加密，諸如DES、RC2、Blowfish等。于是在加密法強(qiáng)化到難以破解后，鑰匙的交換與保護(hù)，便成為重要課題。無論資料如何加密保護(hù)，鑰匙的傳遞都必須曝露在相對公開的環(huán)境下傳送，非對稱式加密，即是為了解決這樣的困境而誕生的。

四、結(jié)語

信息安全研究中一項重要的目標(biāo)是發(fā)展高度安全、可靠及彈性的信息系統(tǒng)，確保未來使用電腦、網(wǎng)絡(luò)與其他網(wǎng)絡(luò)系統(tǒng)變得和打開電燈或水龍頭一樣的安全及可靠。美國等發(fā)達(dá)國家十分重視保障未來各種信息系統(tǒng)安全的基礎(chǔ)建設(shè)，要求各種信息設(shè)備在出廠時即具有使用者可以信賴的安全性以及可靠度。在預(yù)算范圍內(nèi)發(fā)展高度安全與可靠的系統(tǒng)將是未來追求的目標(biāo)，并需通過全國性的網(wǎng)絡(luò)安全研究發(fā)展程序來達(dá)成。

我國開始關(guān)心數(shù)字社會信息安全的作業(yè)，時間尚短經(jīng)驗的累積不多，許多應(yīng)建立的價值、觀念、制度，大家都還在摸索之中。隨著信息技術(shù)的一日千里，在“運(yùn)籌于虛擬實境之外，決勝在網(wǎng)頁方寸之中”的數(shù)字社會信息系統(tǒng)安全的環(huán)境下，如何應(yīng)對我國民生息息相關(guān)的信息系統(tǒng)安全作業(yè)等議題，值得展開更深入的思考與討論。傳統(tǒng)的信息安全問題，仍然會出現(xiàn)在信息服務(wù)的環(huán)境中，但伴隨著虛擬化的架構(gòu)、動態(tài)資源的調(diào)配以及跨越不同地理位置的服務(wù)模式，將讓信息安全的問題變得更為復(fù)雜，而且新型態(tài)的安全問題也隨著信息服務(wù)的提供而出現(xiàn)，因此更需要通過技術(shù)的層面以及管理的層面，整體的檢視信息服務(wù)與相關(guān)的架構(gòu)，方能提供信息服務(wù)的使用者在安全防護(hù)上的保障，結(jié)合信息安全監(jiān)控中心，對于信息環(huán)境內(nèi)的狀態(tài)進(jìn)行掌控，保存相關(guān)的系統(tǒng)日志與稽核紀(jì)錄，可做為信息安全事件分析的重要信息來源。

參考文獻(xiàn)

[1]張昱.對計算機(jī)網(wǎng)絡(luò)技術(shù)安全與網(wǎng)絡(luò)防御的分析[J].廣東科技，2011（10）.

[2]譚濤.淺談計算機(jī)網(wǎng)絡(luò)安全與防范[J].科技信息，2009（29）.

[3]潘紅英.計算機(jī)網(wǎng)絡(luò)安全的威脅及安全防范[J].科技信息，2009（12）.

[4]郭永.企業(yè)計算機(jī)網(wǎng)絡(luò)安全防御體系的構(gòu)建[J].科技情報開發(fā)與經(jīng)濟(jì)，2009（26）.