安全策略屬于安全戰(zhàn)略范疇���,它不需指定所使用的技術。因此�����,還需要在安全策略指導下�����,根據機構的總體安全策略和業(yè)務應用需求����,制定信息系統(tǒng)安全管理的規(guī)程和制度。如網絡安全管理規(guī)定���,系統(tǒng)安全管理規(guī)定����,數據安全管理規(guī)定等����。
2)機構和人員
建立信息安全管理體系,需要建全安全管理機構����,配置不同層次和類型的安全管理人員�,明確各層各類安全管理機構和人員的職責與分工����,建立人員錄用、離崗����、考核和審查制度,定期對信息系統(tǒng)相關工作人員進行教育和培訓���,制定第三方人員管理要求��。
3)風險管理
信息安全的實質是通過對信息系統(tǒng)分析�����,了解所存在的安全風險�,通過相應的安全技術和措施�����,將安全風險降低到可接受的程度。風險管理包括威脅管理和脆弱性管理����。進行風險評估,分析資產價值/重要性����,分析信息系統(tǒng)面臨的威脅及信息系統(tǒng)的脆弱性��,進而了解系統(tǒng)存在的風險�����,采取相應的安全措施避免風險的發(fā)生����。要定期進行風險評估,并確定安全對策�。
4)環(huán)境和資源管理
需要對機房、辦公環(huán)境���、資產����、介質和設備進行管理�,保障其安全可靠�、穩(wěn)定運行����。如機房要防水、防火��、防潮��、防靜電��、防雷擊���、防磁等�;設備�����、介質�����、資產要防盜�����、防毀,確保其安全可用��。對資產的增加����、減少和轉移要進行記錄。
5)運行和維護管理
運行和維護涉及的內容較多��,包括系統(tǒng)用戶管理��,終端系統(tǒng)���、服務器、設備管理�,運行狀況監(jiān)控,軟硬件維護�����,外包服務管理等�。還包括對采用的各種技術手段進行管理,對安全機制和安全信息進行集中管理和整合����。
6)業(yè)務連續(xù)性管理
對數據備份的內容和周期進行管理���,對介質、系統(tǒng)和設備進行冗余備份����,制定應急響應機制和預案,在災難發(fā)生時能夠進行應急處理和災難恢復�����,保障業(yè)務的連續(xù)性�����。
7)監(jiān)督和檢查管理
對系統(tǒng)進行審計���、監(jiān)管��、檢查�。對建立的規(guī)章制度��,定期進行監(jiān)督和檢查���,確保制度落到實處��。同時�����,需要結合審計�����,對安全事件進行記錄�����,對違規(guī)操作進行報告���,按照審計結果進行責任認定,并據此對機構和員工進行獎懲�。
8)生命周期管理
建立信息系統(tǒng)安全管理體系,還要對應用系統(tǒng)的整個生命周期進行全過程管理��。確保開發(fā)的應用系統(tǒng)符合安全要求���。應用系統(tǒng)的生命周期可以劃分為規(guī)劃組織階段�����、開發(fā)采購階段�����、實施交付階段��、運行維護階段�����、變更和反饋階段和廢棄階段��。在每一個階段中�����,信息安全管理貫穿始終��。我們認為�����,如果能夠在每個階段進行類似于等級保護制度的備案��,可以為系統(tǒng)的成功開發(fā)提供一定的監(jiān)督和指導作用。
在規(guī)劃組織階段���,需要在應用系統(tǒng)建設和使用的決策中考慮應用系統(tǒng)的風險及策略����;在開發(fā)采購階段�����,需要基于系統(tǒng)需求和風險��、策略將信息安全作為一個整體進行系統(tǒng)體系的設計和建設���,并對建設的系統(tǒng)進行評估��,以確保符合國家相關要求����,如等級保護的要求�;在實施交付階段���,需要對承建方進行安全服務資格要求和信息安全專業(yè)人員資格要求��,以確保施工組織的服務能力�,確保交付系統(tǒng)的安全性;在運行維護階段��,需要對信息系統(tǒng)的管理���、運行維護���、使用人員等進行管理,保障系統(tǒng)安全正常運行�;在變更和反饋階段需要對外界提出的新的安全需求進行反饋,變更要求或增強原有的要求��,重新進入信息系統(tǒng)的規(guī)劃階段���;若信息系統(tǒng)無法滿足已有的業(yè)務需求或安全需求�����,系統(tǒng)進人廢棄階段���。
4信息安全的建設過程
信息安全建設可以從宏觀和微觀兩方面來考慮。如圖1:
從宏觀上�,包括風險評估與等級保護����、災難備份和應急響應機制的建設��。我國著名信息安全專家方濱興院士指出“風險評估和等級保護���,兩者相輔相成���,需要一體化考慮。因為風險評估是出發(fā)點���,等級劃分是判斷點�����,安全控制是落腳點�,所以風險評估和等級保護這兩件事兒是相輔相成的���,只有知道了系統(tǒng)的脆弱性有多大�,等級保護才能跟上去”��。災難備份是指利用技術��、管理手段以及相關資源��,確保已有的關鍵數據和關鍵業(yè)務在災難發(fā)生后在確定的時間內可以恢復和繼續(xù)運營的過程��。應急響應機制用于確保在緊急事件發(fā)生時����,能夠盡快響應,將系統(tǒng)損失降低到最小���。在平時����,還需要進行安全演練或演習����,模擬可能發(fā)生的安全事故,開展應急響應��。
從微觀上����,進行信息安全建設主要包括以下幾個步驟:
(1)制定安全策略。根據單位具體情況,依據風險評估的結果和等級保護要求�����,確定具體安全需求����,制定安全策略。如:環(huán)境安全策略����、數據訪問控制安全策略、數據加密與數據備份策略�����、身份認證及授權策略����、災難恢復及事故處理策略、緊急響應策略��、安全教育策略�、審計策略等。安全策略對于整個系統(tǒng)安全方面的設計����,安全制度的制定��,安全相關功能的開發(fā)等都有著重要的指導意義�����。
(2)根據安全策略,確定安全機制��。安全策略通過安全機制來保障和實施�。安全機制是實施安全策略的技術、制度和標準����。比如,我們制定了一項安全策略:“所有的通訊都必須經過加密”����。為了保障這個策略的實施,我們需要確定采取何種技術來實現�,比如我們可以依據此條策略確定所需要使用的技術:“所有的通訊都必須采用3DES(一種加密方案)進行加密”。
(3)制定業(yè)務流程��。在安全機制的實施過程中�,具體操作必須按照規(guī)定的流程進行才能夠確保不發(fā)生違反安全策略的事件。制定業(yè)務流程可以使操作過程更加清晰。
(4)設計表單���。將所有的操作細節(jié)落實到表單上��,對操作的結果進行記錄�����。
下面以機房巡檢為例����,對信息安全建設過程進行說明����。
在機房管理方面,首先根據單位具體要求�,確定必須定期進行安全巡檢(安全策略);然后需要制定安全巡檢規(guī)則�����、巡檢內容等(安全機制)���;接著確定巡檢步驟�����,巡檢具體內容(業(yè)務流程)�;最后確定每次巡檢時需要記錄的巡檢結果(表單)。如圖2所示��。
5結束語
信息安全是信息化建設中的重要一環(huán)�,對于保證信息化建設的成功起著非常重要的作用。本文結合筆者的實際工作經驗����,對信息安全在信息化建設中的地位�,信息安全所涉及到的范圍以及信息安全的建設過程進行了闡述,希望可以為信息化建設過程中信息安全工作提供一定的指導���。
