王晓明 刘万策 黄韧
广东省实验动物监测所信息中心 广东 510260
现在是信息时代,方便快捷的信息共享和信息交换已经成为推动社会发展的动力,各行各业也都希望通过整合信息资源为行业带来更多的竞争优势。行业信息服务平台就是利用现代信息技术,整合行业信息资源,实现信息共享的服务平台。随着行业信息服务平台应用的不断普及,各种网络安全事件不断发生,由于管理水平各异,许多行业信息服务平台的信息安全受到严重威胁。如何进行整体部署,系统的加强安全防范,正是本文要进行探讨的内容。
影响信息服务平台安全的主要因素有物理环境、网络、主机及系统等。
物理环境因素主要指机房环境、电力供应,以及人为的或自然的破坏因素等诸多环境方面的安全因素。如:机房位置、温度、湿度、雷电、火灾、水灾、静电,人为的盗窃、破坏等因素。
设备机房的选址是非常关键的,平台的设备机房就处在一个地势较高且周围较空旷的位置,每年都会受到不同程度的雷电袭击,尽管采取了各种防护措施,但仍然不能完全避免损失,由此可见,设备机房的选址一定要注意自然环境因素的影响。
平台的建设依赖于计算机网络系统,但计算机网络系统自身存在着严重缺陷——网络协议的安全性问题,网络最初主要是考虑互通性和实用性,而对网络攻击的可能性考虑较少,因此,网络协议存在着严重的、不可避免的安全缺陷。除此以外,网络结构、网络设备、网络传输等也都存在着不同程度的引起网络风险的因素。正是由于构成计算机网络的各个要素普遍存在的缺陷和漏洞,使得平台在开放应用的过程中,极大的增加了运行风险,同时也增加了管理的难度。
主机及系统因素是指主机设备、操作系统、数据库系统、应用系统等的安全影响因素。
各种硬件设备故障,如服务器、数据存储设备等关键设备的硬件故障,都会造成系统运行的中断,尤其是磁盘设备的物理性损坏,更将造成信息的损坏和丢失。
操作系统、数据库系统等各种系统的设计漏洞,通常是黑客们进行溢出攻击的最佳选择,通过这种方式,黑客们可以轻松获得被攻击主机的管理员权限,远程操作主机就像想操作自己的电脑一样简单,这对于提供公共信息服务的实验动物信息服务平台来说,危害性非常大。
管理人员受到的安全培训,形成的安全保密意识,以及他们的责任心,网站安全管理制度、安全责任制度的建立和执行等各种人为和管理的因素,也是影响信息安全不可忽视的因素。
信息安全的范畴涉及计算机技术、网络技术、通信技术、密码技术、信息安全技术等综合性技术。在美国国家信息基础设施NII(National Information Infrastructure)的文献中,安全的属性被定义为:可用性、完整性、保密性、可靠性和不可抵赖性。信息安全保障就是要保障信息资源能够满足以上五个属性。
可用性,是指获得授权的用户在任何时候访问信息资源和服务,信息都必须是可用的。
完整性,是指信息不能被未经授权的改变。偶然的或蓄意的删除、修改、伪造、乱序、重放、插入、丢失等,都会造成信息的完整性被破坏。
保密性,是指信息不能被未经授权的获知。确保信息不暴露给未经授权的实体或进程。
可靠性,是指系统在规定条件下和规定时间内,完成规定功能的概率。同样的,还有软件可靠性、人员可靠性、环境可靠性等等。
不可抵赖性,也称作不可否认性。在信息交互过程中,确信参与者的真实同一性。通过使用数字签名等技术,让所有参与者都不可能否认或抵赖曾经完成的操作和承诺。
我们实施信息安全保障的目的,就是要通过采用信息安全技术和信息安全管理措施,保证平台安全稳定的运行,资源信息安全完整的保存,用户访问及时准确的响应。
信息安全是一个在风险和保障之间不断较量的动态的过程。随着时间的变化,技术的不断发展,应用会不断的发生改变,新的风险会不断产生。
单纯使用信息安全设备或技术很难实现全面的信息安全保障。必需通过统一规划,融合技术和管理因素,建立信息安全管理体系和信息安全运行体系,全方位、立体式的保障信息安全。
信息安全管理体系包括组织机构、管理制度、安全教育等管理因素,是保障信息安全的重要基础。
3.1.1 组织机构
实验动物信息服务平台以安全领导小组为核心,网络中心为技术保障。平台安全领导小组是决策层,负责制定平台安全战略、审议平台安全计划项目及重大事项、发布决策、监督规范管理,组织、协调重大安全事故的应急响应。网络中心有一支专业的技术队伍,主要负责落实平台决策层的各项具体工作,制定信息安全相关管理制度并负责实施,对平台进行日常的安全监测和管理。
3.1.2 管理制度
实验动物信息服务平台的管理制度以国家相关的法律法规为依据,结合实验动物行业信息应用的实际情况,以“适度安全”为原则,尽量避免安全制度过于严格、复杂,人员无法操作,信息资源得不到充分利用;也防止了制度过于宽松、简单,信息资源缺乏安全性,遭受不必要的损失。总之,制度制定出来是要能用的,不是摆设。其中主要的一些包括:平台运行维护管理制度、中心机房安全管理制度、信息安全管理制度等等。
3.1.3 安全教育
实验动物信息服务平台的管理制度及安全技术,最终需要由相关的技术人员加以实施,因此,安全教育和培训也是管理体系建设的重要组成部分。定期组织安全培训,结合社会上最新发生的安全事件,提出解决方案,落实防范措施。同时,积极走出去,参加专业的安全技术培训,学习掌握新的安全管理技术。
信息安全运行体系是信息安全的重要保障,包括安全评估、安全防护、灾难响应及恢复等。
3.2.1 安全评估
安全评估是安全策略制定的依据,是对安全风险因素的评估及报告,安全风险因素的评估需要由具有专业资质的机构来进行。在进行风险评估的时候,关键是要确定评估范围和评估项目,尽量考虑周到,不要遗漏,最终将确定出平台的安全和风险等级,并给出安全解决方案,安全评估需要周期性进行。
实验动物信息服务平台根据专业的安全解决方案,适时对已有的安全策略和安全防护措施进行调整,最大限度的保证平台的安全性。
3.2.2 安全防护
安全防护主要是针对前面提到的影响信息安全的三道大类因素:物理环境、网络、主机及系统,进行有针对性的防护。
提高信息服务平台运行所处的物理环境的安全,就是给平台的安全筑起了一道坚实的屏障。例如:将中心机房与办公区域隔离开来,使用指纹门禁系统对进出人员进行身份鉴别和控制出入;为关键设备配备稳压不间断电源,保障平台系统不会因为断电而暂停服务;中心机房进行防雷、恒温、防潮、防静电等环境控制,减少设备故障,等等。可以根据安全评估的建议,尽量做好安全防范,减少物理环境因素引起的故障。
信息服务平台的网络系统安全防护,主要是通过部署路由器、交换机、防火墙、入侵检测/防御系统等网络运行及安全设备,有效地在内部网络和外部网络之间进行安全隔离和防范,制定访问控制策略、使用虚拟专网、数据传输加密等方式对网络传输数据进行安全防护。通过一系列网络安全设备和技术的部署,为网络系统和信息传输的安全提供保障。入侵防御系统就是一个非常有效的网络安全设备,在服务器群的前端部署入侵防御系统,及时的检测出入侵威胁,在报警的同时迅速终止入侵行为,保护信息服务平台的安全。
主机及系统的安全,一方面通过制定详细的系统安全策略,严格管理用户及访问许可,安装病毒及木马检测软件、漏洞扫描软件,及时升级系统安全补丁等;另一方面,定期检查系统日志文件,分析异常事件,定期进行硬件设备检测,从主机到系统都做到防微杜渐,消除安全隐患。
3.2.3 应急响应与灾难恢复
任何安全措施都无法保证信息平台和数据万无一失,制定应急响应机制和业务连续性计划,能够在灾难发生时及时响应,采取措施,控制灾难损失,尽快恢复系统,确保业务连续。
实验动物信息服务平台的应急响应包括:建立有效的事件报告机制,及时发现问题;明确应急事件处理人员的岗位和职责,做到责任到人;制定应急响应各项工作的处理流程,进行经常性的培训和演练;制定各项保障措施,使设备、经费和后勤工作得到有效的保障。通过建立完善的应急响应机制,有序的运作,使灾难事件变得可以控制,大大降低灾难的危害性。
业务连续性计划的关键是要制定数据的容灾备份计划。首先,要确定目标,比如:需要保障的资源内容、最大可允许中断时间、数据损失最远回溯时点等;然后,根据目标制定备份方案。备份方案有许多种:磁带备份、磁盘镜像、双机热备、异地镜像、异地容灾备份等等,根据需要保障的安全等级选择可行的备份方案。平台采用异地镜像的备份方式,同时,定期进行磁盘备份。业务连续性计划的目的就是确保信息平台和数据的快速恢复。
信息安全保障遵循短板理论:圆木桶上最短的那块板决定了这个木桶可以装水的多少。在信息安全保障工作中,安全防范最薄弱的环节,通常会给整个系统带来灾难性的后果,信息安全保障需要进行全方位的衡量。
总而言之,信息安全保障是一项涉及面广、内容复杂的系统工程,需要建立完善的机制,有效地监督执行,适时的动态调整,并且需要整个管理机构上下一条心、团结协作才能真正保障信息服务平台安全、稳定的运行,这是我们在信息服务平台安全建设中最深刻的体会。
[1]黄韧,薛成.中国实验动物生物学特性数据库的建设与共享[J].实验动物科学.2008.
[2]贺争鸣,邢瑞昌,岳秉飞.实验动物生物学特性数据化表达的规范化与数据共享[J].实验动物与比较医学.2008.
[3]黄韧,薛成.行业信息网站建设与中国实验动物信息网[J].中国科技成果.2009.
[4]张维华.我国电子政务信息资源安全保障体系研究[J].图书情报工作.2007.
[5]王谦,陈放.电子政务的信息安全保障及体系构建[J].信息网络安全.2008.