加急见刊

构建信息安全保密体系

杜志秀 王宇  2008-07-23

摘要:信息安全保密已经成为当前保密工作的重点。本文从策略和机制的角度出发,给出了信息安全保密的服务支持、标准规范、技术防范、管理保障和工作能力体系,体现了技术与管理相结合的信息安全保密原则。 关键词:信息安全保密体系

一、引言 构建信息安全保密体系,不能仅仅从技术层面入手,而应该将管理和技术手段有机结合起来,用规范的制度约束人,同时建立、健全信息安全保密的组织体制,改变现有的管理模式,弥补技术、制度、体制等方面存在的不足,从标准、技术、管理、服务、策略等方面形成综合的信息安全保密能力,如图1所示。 图 1 信息安全保密的体系框架 该保密体系是以信息安全保密策略和机制为核心,以信息安全保密服务为支持,以标准规范、安全技术和组织管理体系为具体内容,最终形成能够满足信息安全保密需求的工作能力。 二、信息安全保密的策略和机制 所谓信息安全保密策略,是指为了保护信息系统和信息网络中的秘密,对使用者(及其代理)允许什么、禁止什么的规定。从信息资产安全管理的角度出发,为了保护涉密信息资产,消除或降低泄密风险,制订的各种纲领、制度、规范和操作流程等,都属于安全保密策略。例如:禁止(工作或技术人员)将涉密软盘或移动存储设备带出涉密场所;严禁(使用人员将)涉密计算机(连)上互联网;不允许(参观人员)在涉密场所拍照、录像等。 信息安全保密机制,是指实施信息安全保密策略的一种方法、工具或者规程。例如,针对前面给出的保密策略,可分别采取以下机制:为涉密移动存储设备安装射频标识,为涉密场所安装门禁和报警系统;登记上网计算机的(物理)地址,实时监控上网设备;进入涉密场所前,托管所有摄录像设备等。 根据信息系统和信息网络的安全保密需求,在制定其安全保密策略时,应主要从物理安全保密策略,系统或网络的访问控制策略,信息的加密策略,系统及网络的安全管理策略,人员安全管理策略,内容监管策略等方面入手。在安全保密机制方面,应主要从组织管理、安全控制和教育培训等方面,针对给出的安全保密策略,确定详细的操作或运行规程,技术标准和安全解决方案。 三、信息安全保密的服务支持体系 信息安全保密的服务支持体系,主要是由技术检查服务、调查取证服务、风险管理服务、系统测评服务、应急响应服务和咨询培训服务组成的,如图2所示。其中,风险管理服务必须贯穿到信息安全保密的整个工程中,要在信息系统和信息网络规划与建设的初期,就进行专业的安全风险评估与分析,并在系统或网络的运营管理过程中,经常性地开展保密风险评估工作,采取有效的措施控制风险,只有这样才能提高信息安全保密的效益和针对性,增强系统或网络的安全可观性、可控性。其次,还要大力加强调查取证服务、应急响应服务和咨询培训服务的建设,对突发性的失泄密事件能够快速反应,同时尽可能提高信息系统、信息网络管理人员的安全技能,以及他们的法规意识和防范意识,做到“事前有准备,事后有措施,事中有监察”。 加强信息安全保密服务的主要措施包括: 借用安全评估服务帮助我们了解自身的安全性 通过安全扫描、渗透测试、问卷调查等方式对信息系统及网络的资产价值、存在的脆弱性和面临的威胁进行分析评估,确定失泄密风险的大小,并实施有效的安全风险控制。 采用安全加固服务来增强信息系统的自身安全性 具体包括操作系统的安全修补、加固和优化;应用服务的安全修补、加固和优化;网络设备的安全修补、加固和优化;现有安全制度和策略的改进与完善等。 部署专用安全系统及设备提升安全保护等级 借助目前成熟的安全技术和产品来帮助我们提升整个系统及网络的安全防护等级,可采用的产品包括防火墙、IDS、VPN、防病毒网关等。 运用安全控制服务增强信息系统及网络的安全可观性、可控性 通过部署面向终端、服务器和网络边界的安全控制系统,以及集中式的安全控制平台,增强对整个信息系统及网络的可观性,以及对使用网络的人员、网络中的设备及其所提供服务的可控性。

参考文献: [1]信息与网络安全研究新进展.全国计算机安全学术交流会论文集.第二十二卷[C].合肥:中国科技大学出版社, 2007 [2]中国计算机学会信息保密专业委员会论文集.第十六卷[C].合肥:中国科技大学出版社, 2006 [3]胡建伟.网络安全与保密[M].西安:西安电子科技大学出版社, 2003

下载