浅谈信息安全生态系统及标准化建设

陈绍安

摘要：信息服务结合了网络、运算、储存等领域的资源，提供使用者全方位的应用服务，信息安全成为推动信息服务的关键因素，不论信息服务的内容为何，都无法离开信息安全为前提的考量因素，目前通过网络来取得需要的资源或是应用服务已成为主流的趋势，而行动通讯的普及，将促使信息服务的应用更为多样化。本文针对信息安全生态系统及标准化建设相关议题进行了探讨。

关键词：信息安全；生态系统；标准化建设1信息安全生态系统传统的信息安全架构与信息服务的安全架构是目前经常被拿来相比较的议题，大多数的资料中心发展成信息服务中心时，传统安全防护架构需要面临扩充性以及适用性的挑战，从信息基础设施、运作应用程序以及各种不同类型的软件服务，增加了管理上的复杂度。信息安全生态系统应用了大自然的生存法则，将相同的理论应用在信息运算所提供的信息服务上，将整个信息架构分成了侦测、分析、防御、应变等几个元件。一是侦测：通过信息安全相关的设备，如应用层防火墙、通讯协定分析设备、入侵侦测系统、诱捕系统等，建立信息环境的侦测点，运用特征比对与行为分析的方式，进行异常状态的侦测，进行信息的收集，以提供后续的进行资料探勘与分析使用。二是分析：大尺度的信息环境，产生大量的系统日志与网络流量等资料，因为信息服务维运的需求，又必须即时进行资料的探勘，以掌握信息服务的状态，若有异常的行为出现，必须进行处置以避免影响信息服务的安全，因此通过建构日志系统以提供未来稽核所需要的佐证文件，为规划与建构信息资料分析平台不可或缺的考量。三是防御：信息环境须具备防御的机制，当有异常的行为出现时，必须能够进行自我的防御，以避免影响其它的信息服务。四是应变：针对异常的行为或是威胁进行应变处置，必须具备自动化应变的能力，通过自主的应变措施，以提供信息环境掌控风险，并且结合风险评价与改善规划，进行环境的调整，以达信息服务的持续提供。通过侦测、分析、防御与应变程序进行信息服务的管理，面对所遭遇的问题，通过不断的持续改善，依据所发掘的异常行为进行信息服务的改善，包括了基础设施、系统平台以及应用程序等，增加信息服务的完整性与可靠度。信息生态系统可应用于公有信息服务、私有信息服务或是混合性的信息服务架构中，通过整体的自我防御机制，以维持自然的生态平衡，能够对于异常的行为特征进行应对与处置。信息生态系统，必须拥有自动化的处理能力，面对外来与内在的威胁，进行自我的防御与应变，以缩小影响的范围与处理的时效，面对大量的资源，必须有效掌握现有资源的状态，以做为资源的调配上的参考指标。2生态信息安全标准化建设一是实现与维护信息安全计划。完整的信息安全防护计划，可以确保信息架构的安全，针对风险与威胁都进行管理与控制，并且能够持续维护信息安全计划的有效性，以应对新型态风险与威胁的出现，通过应变策略的拟定，针对信息服务的安全性进行掌握。二是建构与管理信息安全的基础设施。通过完整的基础设施，能够提供信息服务所需的高弹性资源调配，确保服务的可靠性，因此通过基础设施的保护，为提供信息服务的基本要素，同时通过服务供应商，以确保在符合法律、法规以及客户的要求下，有能力满足对于所要求的服务内容。三是确保机密资料安全防护。资料的安全防护为信息服务的核心原则，所有通过信息服务进行传输、存取与保存的资料，必须受到严格的资料安全防护机制，对于企业而言，机敏的资料必须确实受到安全的防护，才会考虑是否采用信息服务模式在其商业营运上，因此无论采用何种方式使用信息服务，所有的资料流均必须考虑到资料安全的防护问题。四是实现严谨的存取控制与身份识别管理。使用者可以由不同的管道使用信息服务，但是不论使用何种方式，均必须确保能够正确的验证使用者的身份，并且能够针对使用者的权限进行有效的管理，以限制能够提供存取的资料范围。五是建立应用程序与环境的配置。当使用者通过信息服务的使用者界面进行服务内容的设定，信息服务的架构必须由一连串的变更进行环境的配置与设定，以确定能够由自动化的程序，建立应用程序与环境的整合。六是实施信息治理与稽核管理规划。对于信息环境的管理，必须配合稽核计划进行，以确保所有的信息服务能够在可被验证与举证的前提下，提供使用者安全上的信赖，其中必须涵盖日志的收集以及需要进行稽核的纪录，整体的管理规划必须同时配合信息服务的推出进行建构。七是实现弱点扫瞄与入侵侦测系统架构。在被信任的的信息服务中，必须实现信息架构中的基础设施、系统平台以及应用程序的弱点管理机制，通过管理机制的建立，以進行严格的弱点管理计划，配合入侵侦测系统、入侵防御系统以及IT资源的管理，其中包括了网络、服务器、基础设施等元件，以确定提供信息服务的内容，不因为存在弱点而造成风险与威胁。3小结传统的信息安全问题，仍然会出现在信息服务的环境中，但伴随着虚拟化的架构、动态资源的调配以及跨越不同地理位置的服务模式，将让信息安全的问题变得更为复杂，而且新型态的安全问题也随着信息服务的提供而出现，因此更需要通过技术的层面以及管理的层面，整体的检视信息服务与相关的架构，方能提供信息服务的使用者在安全防护上的保障，结合信息安全监控中心，对于信息环境内的状态进行掌控，保存相关的系统日志与稽核纪录，可做为信息安全事件分析的重要信息来源。[参考文献][1]胡运清.信息生态环境问题研究[J].图书馆工作与研究,2007(04). [2]胡笑梅.网络信息生态失衡透析[J].科技情报开发与经济,2006(21).