提升“金质工程”信息安全水平

文/王 轶

当今社会已是电子化、信息化的时代，其中尤以信息化的特征最为突出。一个国家的信息化和信息化产业的发展水平已经成为衡量其综合国力的重要标准。但由于信息资源不可等同于其他资源的本身特性，因此，如何保证信息的安全性已经成为我们在信息化建设过程中需要立即解决的重要问题。

信息安全是指信息网络中的硬件、软件及其系统中的数据，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。信息安全主要就是网络上的信息安全；但从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是信息安全的范畴。

一、信息安全的分类

信息安全事件可以根据是故意、过失或非人为原因引起的，就综合考虑信息安全事件的起因、表现、结果等，对信息安全事件分为以下七个基本类。

1.有害程序事件（MI）是指蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的信息安全事件。有害程序是指插入到信息系统中的一段程序，有害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性，或影响信息系统的正常运行。

2.网络攻击事件（NAI）是指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。

3.信息破坏事件（IDI）是指通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。

4.信息内容安全事件（ICSI）是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。

5.设备设施故障（FF）是指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件，以及人为地使用非技术手段有意或无意地造成信息系统破坏而导致的信息安全事件。

6.灾害性事件（DI）是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。

7.其他事件（OI）是指不能归位以上6个基本分类的信息安全事件。

二、“金质工程”中的信息安全

“金质工程”是依托国家电子政务外网和现有信息化资源，通过“一网、一库、三系统”的建设，逐步实现行政审批网络化、监督管理信息化、决策支持智能化、业务处理规范化、信息交互发布自动化的信息化项目。上海市“金质工程”项目按照国家质检总局的要求，结合上海地方特点，充分利用原有的应用、网络、系统与数据资源进行开发建设。坚持标准化、规范化、科学化的要求，建成能够体现信息化发展水平的上海金质工程。通过金质工程的实施，完成了“一网一库四大系统”，从多个层次实现对质量管理（认证）、质量监督、标准化管理、计量管理、特种设备安全监察、市场整顿执法稽查、食品生产监督管理、纤维质量监管等业务的电子化管理和网络协同工作，提高了上海市质量技术监督部门行政效率和公共服务能力。为实现上海市质量技术监督局法定监督、管理职责提供了坚实的基础。

其中，“一网”实现了上海市质量技术监督局和18个区县质量技术监督行政部门9个直属机构以及100多个相关技术机构的网络互连互通，为信息互通互用、工作互动协同建立了信息高速公路；“一库”建立了数据“一方维护、一次采集、多方使用”的数据资源注册管理机制，保证了数据采集的准确性、一致性和信息共享的及时性，从而消除信息孤岛，实现了行政管理工作动态化；“四大系统”下的20余个应用子系统，实现了全系统“网上办事”、“信息公开”和业务工作的电子化和自动化。随着“金质工程”电子化、网络化、信息化的全面推进，虽然有效地解决了没有适合信息化要求的系统基础、信息不能有效交换共享、数据不能有效利用、信息化跟不上业务发展需要等现状。

保障信息安全首先就要保障网络安全，网络安全是信息安全的基石。没有一个健康、强壮的网络平台，又何谈信息的安全。通过对“金质工程”网络以及业务需求的前期了解后，我们发现整个工程的网络情况比较复杂。首先，业务需求以及信息安全等级的不同导致了网络的种类较多，其中就涉及到了政务网、公网、总局专线等；其次，业务终端数量较大且布局分散，这直接导致了网络较大的扩散性以及较低的可控性；再次，“金质工程”是一个不断发展的项目，本着前瞻性、易用性的原则，在对信息安全的初期规划和实施中就要考虑到如何随着业务本身的发展而为信息安全技术的提升预留出一定的空间。至此，如何保障“金质工程”在建设以及运营中的信息安全问题成为了我们的首要任务。

三、信息安全在“金质工程”中的实现方案

信息安全的保障其实就是一场战争。而要赢得这场战争的基础就是必须拥有符合以下3个基本要求的“战士”。

1.有一个强健的身体——硬件保障工作

在整个信息化系统中的硬件就好比是战士的身体，身体的强壮度是决定战争走向的前提之一。其中，数据中心的机房就好比是人的肌肉和骨骼保护着各种器官；各种主机服务器、网络设备、安全设备就好比是战士的内脏、神经等器官维持着生命的正常运作；而信息则像是战士的血液一般连通贯穿着整个身体。

2.拥有完备、强大的各种装备——技术保障工作

“工欲善其事，必先利其器。”各种技术手段就好比最坚硬的盾和最锋利的剑。只有不断地完善、更新自己的“器”才可在信息安全的战争中处于不败之地。

3.有一颗坚定、执着、忠诚的心——制度的制定以及实施工作

战士的坚定、执着、忠诚才是赢得战争的根本保障。国有国法，家有家规。只有懂得纪律重要性的战士才能将胜利坚持到底。因此，我们不但要有详尽可行的制度，更需要把这些制度充分地落实下去，连每一个战士的牙齿都不漏过。

“金质工程”的初期规划中，我们充分考虑了先前所述的几个问题。不但要保障信息的安全性，更要考虑到功能实现的经济性。信息安全系统是一个具有收敛性效应的系统，在建设过程中并不是一个简单的安全产品的堆砌、安装过程。一个完整的信息安全体系是多种安全措施的有机结合，相互协助，在提供基础的技术手段后依靠信息安全管理制度来实现的。我们在“金质工程”的实施过程中充分整合了原有资源，虽然其难度远远大于新建一套系统且加大了信息在整个系统中的安全保障难度，但是却充分体现了工程中安全性与经济性并重的特点。

“金质工程”实施中，首先通过分析系统的基础安全需求和实施手段，建立起系统最基本的安全机制，包括边界隔离防护、访问控制、数据加密、入侵防御、漏洞扫描及加固、防病毒等系统，以减少大部分安全威胁；再根据“金质工程”项目具体业务系统的要求，通过部署安全审计、防篡改、垃圾邮件防范、认证授权、统一安管平台等系统，结合相应的运维管理层面的安全规划设计，进一步提高系统的安全级别。在了解了系统内部业务需求的有关信息、与外部交换的业务信息以及向社会发布的服务信息所面临的潜在安全风险后，我们结合对需要保护的各类信息进行分析，综合考虑系统可接受的风险程度，制定了各类信息系统安全需求相应的安全目标、实现安全目标的安全模型以及信息安全保护体系后，通过建立立体化的信息安全体系架构，层层递推、步步渐进，最终形成了一个安全级别高、兼顾可实施性的信息安全保障系统。在这套安全系统中，我们通过在边界架设链路负载均衡、防火墙、ips、vpn以及在核心区架设其他相关设备的技术手段实现了边界安全、数据安全、安全认证、终端防护、访问控制、安全审计、安全评估、病毒防护、网管安管平台、安全管理等功能，有效地避免了非法的访问控制请求、业务数据完整性被破坏和传输线路信息泄漏、网络病毒及蠕虫入侵传播威胁、非授权访问和冒充合法用户、内部人员的安全操作的威胁、系统受到入侵、网页被篡改、服务被干扰、系统恢复能力弱、容易受到自然灾难影响等信息安全隐患，切实地在技术手段上做到充分保障信息安全。“金质工程”信息安全架构如图所示。

“金质工程”信息安全架构图

四、结束语

目前，信息化的应用正处于一个几何式增长的时期，并且随着规模迅速扩大、新技术不断出现和应用，复杂程度也日益加剧。面对如此错综复杂的现状，信息安全的重要性更显得不言而喻。只有不断强健自己的体魄、熟练运用各种“器”、时刻保持思想的高度统一，才能充分保障信息安全以及业务系统高效、安全、稳定的运行。

[1]常建平.网络安全与计算机犯罪[M].中国人民公安大学出版社,2002.

[2]黄小苏,闵京华,赵战生等.GB/Z 20986-2007信息安全技术信息安全事件分类分级指南[S].中国标准出版社,2007.