信息安全策略的研究

谢振坛，申 伟

(1.山西大学商务学院，山西 太原 030031；2.中国电子科技集团公司第三十三研究所，山西 太原 030032)

随着信息技术的不断发展，信息日益成为一种重要的战略资源。信息的可用性、完整性和机密性是信息安全的基本要素，关系到每个单位正常工作业务的持续运行。因此，必须保护这些资产不受威胁侵害(威胁可能来自各个方面，如网络诈骗、侦探、病毒或黑客，自然灾害等)。定义和监督执行信息安全策略是每个单位必须面对的新课题。

1 信息安全策略的目标

信息安全的目标就是确保一个单位工作业务的连续性，并通过一系列预防措施将业务可能受到的损害降到最低，将安全事故产生的影响降到最低。信息安全管理应在确保信息和计算机资产受到保护的同时，确保信息能够在允许的范围内正常运行使用。对每种资产的保护程度由以下四个基本要素决定：

◆ 机密性

◆ 完整性

◆ 可用性

◆ 可审计性

同样，信息安全策略的目标也是让所有员工能够了解信息安全问题以及他们个人的责任，并严格遵守安全策略。信息安全策略是有关信息安全的行为规范，其保护对象如表1所示。

表1 信息安全策略的保护对象

促进信息安全策略的实现和普及是每个员工应尽的责任和义务。全体职员都应该遵守国家相关的计算机或信息安全法律要求，并明确他们各自的信息安全职责。

2 信息安全策略的主要内容

一个单位在设计信息安全策略时，要采用多种安全措施，分层次有重点地进行防护，在注重防外的同时，也不可轻视防内，做到防内与防外同等重要，从而保证在信息系统遭受攻击、破坏事件的情况下，必须尽可能快速恢复信息系统的运行，减少损失。一般说来，一个完整的信息安全策略包括以下几方面信息:

1) 物理安全策略:制定物理安全策略，针对易受攻击的物理信息和其他用于存储、处理或传输信息的资产，例如硬件、磁介质、电缆等，应该将其放置于恰当的环境中并在物理上保护他们免受安全威胁和环境危害。尤其对支持关键业务过程的设备应该进行特殊保护，以免受电源故障或其他电力异常的损害。对计算机和设备环境应该进行监控，必要的话要检查环境的影响因素如温度和湿度是否超过正常界限。同时，安全规程和控制措施应该覆盖单位主要设备的安全性要求。

2) 网络安全策略:制定网络安全策略，可以控制哪些用户能够连入内部网络，哪些用户能够通过哪种方式登录到服务器并获取网络资源；控制准许用户入网的时间和准许他们在哪台工作站入网。网络的访问权限控制是针对网络非法操作所提出的一种安全保护措施，赋予涉密系统的用户和用户组一定的权限。控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。针对员工通过外网访问内部服务器的安全性方面，需设计虚拟专用网络。为远程用户和分支机构访问内部网络资源提供了安全的途径，同时利用VPN隧道技术、加解密技术，充分保证用户数据的完整性、安全性和可用性。

3) 系统安全策略:制定系统安全策略，系统中应该部署病毒防治系统。全系统的病毒防治系统应该是统一的，病毒库的更新采用集中管理。同时，系统中应该部署终端安全管理系统，实现外网终端的接入管理、桌面安全监管、行为监管、系统监管、非法外联和非法内联监控、补丁管理等。定期对系统内的操作系统、平台软件、应用软件进行安全性检查，关闭不需要的服务，打安全补丁。

4) 数据安全策略:制定数据安全策略，首先应建立相应的系统备份机制，以保证在系统崩溃以后能快速简单完全地恢复系统的运行。其次，应建立相应的用户备份机制，以保证用户备份数据时，为用户提供一个虚拟的安全网络，对最近的数据实施备份。最后，当出现任何问题如误删除某些文件或者硬盘发生故障时，用户可以恢复自己的数据。

5) 管理安全策略:制定管理安全策略，必须建立一套完整的网络管理规定和网络使用方法，并要求网络管理员和网络使用人员必须严格遵守。否则，网络内部的人为因素将会给网络安全造成很大的威胁。同时，这种安全策略必须是一种让网络管理员和网络用户都乐于接受的安全策略，可以让网络用户在使用网络的过程中自觉维护网络的安全。

3 信息安全策略的贯彻执行

信息安全策略的执行，以信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断为总体目标。

首先，成立信息安全管理主要机构或部门，设立安全主管等主要安全角色，依据国家相关标准(要求)，建立信息系统的整体管理办法。分别建立安全管理岗位和机构的职责文件，对机构和人员的职责进行明确。建立信息发布、变更、审批等流程和制度类文件，增强制度的有效性。建立安全审核和检查的相关制度及报告方式。对人员的录用、离岗、考核、培训、安全意识教育等方面应通过制度和操作程序进行明确。定期对已备案的信息系统进行等级保护测评，以保证信息系统运行风险维持在较低水平，不断增强系统的稳定性和安全性。

其次，建立一套关于物理、主机、网络、应用、数据、建设和管理等方面的安全需求、控制措施及执行程序，并在关联制度文档中定义出相关的安全角色，并对其赋予管理职责。“以人为本”，通过对信息安全工作人员的安全意识培训等方法不断加强系统分布的合理性和有效性。依据实际情况建立机房管理制度，明确机房的出入管理办法，机房介质存放方式，机房设备维护周期及维护方式，机房设备信息保密要求，机房温湿度控制方式等等环境要求。通过明确机房责任人、建立机房管理相关办法、对维护和出入等过程建立记录等方式对机房安全进行保护。

最后，对突发安全事件建立应急预案管理制度和相关操作办法，并定期组织人员进行演练，以保证信息系统在面临突发事件时能够在较短时间内恢复正常的使用。根据对系统的等级测评、风险评估等间接问题挖掘，及时改进信息系统的各类弊端，包括业务弊端，应建立相关改进措施或改进办法，以保证对信息系统的业务持续性要求。并建立惩处办法，对违反信息安全总体方针、安全策略、程序流程和管理措施的人员，依照问题的严重性进行惩罚。

4 结束语

由于信息贯穿于单位各项业务运作的整个过程，因此研究信息安全策略既具有很强的理论意义又具备很高的现实意义。当然，安全策略不是一成不变的，随着网络技术的不断向前发展，单位内外环境的改变，安全策略也应该不断更新，尽可能提供全面的、多方位的安全服务，切实满足单位安全需求。

[1] 李辉.计算机网络安全与对策[J].潍坊学院学报，2007,7(2):54-55.

[2] 程昱，余燕熊.信息系统攻防技术[M].北京：清华大学出版社，2009.

[3] 姚华，肖琳.网络安全基础教程[M].北京：北京理工大学出版社，2007.

[4] 张琼，孙论强.中国信息安全战略研究[M].北京：中国人民公安大学，2007.