提升“金質(zhì)工程”信息安全水平

文/王 軼

當(dāng)今社會已是電子化、信息化的時(shí)代，其中尤以信息化的特征最為突出。一個(gè)國家的信息化和信息化產(chǎn)業(yè)的發(fā)展水平已經(jīng)成為衡量其綜合國力的重要標(biāo)準(zhǔn)。但由于信息資源不可等同于其他資源的本身特性，因此，如何保證信息的安全性已經(jīng)成為我們在信息化建設(shè)過程中需要立即解決的重要問題。

信息安全是指信息網(wǎng)絡(luò)中的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷。信息安全主要就是網(wǎng)絡(luò)上的信息安全；但從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是信息安全的范疇。

一、信息安全的分類

信息安全事件可以根據(jù)是故意、過失或非人為原因引起的，就綜合考慮信息安全事件的起因、表現(xiàn)、結(jié)果等，對信息安全事件分為以下七個(gè)基本類。

1.有害程序事件（MI）是指蓄意制造、傳播有害程序，或是因受到有害程序的影響而導(dǎo)致的信息安全事件。有害程序是指插入到信息系統(tǒng)中的一段程序，有害程序危害系統(tǒng)中數(shù)據(jù)、應(yīng)用程序或操作系統(tǒng)的保密性、完整性或可用性，或影響信息系統(tǒng)的正常運(yùn)行。

2.網(wǎng)絡(luò)攻擊事件（NAI）是指通過網(wǎng)絡(luò)或其他技術(shù)手段，利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷或使用暴力攻擊對信息系統(tǒng)實(shí)施攻擊，并造成信息系統(tǒng)異?；?qū)π畔⑾到y(tǒng)當(dāng)前運(yùn)行造成潛在危害的信息安全事件。

3.信息破壞事件（IDI）是指通過網(wǎng)絡(luò)或其他技術(shù)手段，造成信息系統(tǒng)中的信息被篡改、假冒、泄漏、竊取等而導(dǎo)致的信息安全事件。

4.信息內(nèi)容安全事件（ICSI）是指利用信息網(wǎng)絡(luò)發(fā)布、傳播危害國家安全、社會穩(wěn)定和公共利益的內(nèi)容的安全事件。

5.設(shè)備設(shè)施故障（FF）是指由于信息系統(tǒng)自身故障或外圍保障設(shè)施故障而導(dǎo)致的信息安全事件，以及人為地使用非技術(shù)手段有意或無意地造成信息系統(tǒng)破壞而導(dǎo)致的信息安全事件。

6.災(zāi)害性事件（DI）是指由于不可抗力對信息系統(tǒng)造成物理破壞而導(dǎo)致的信息安全事件。

7.其他事件（OI）是指不能歸位以上6個(gè)基本分類的信息安全事件。

二、“金質(zhì)工程”中的信息安全

“金質(zhì)工程”是依托國家電子政務(wù)外網(wǎng)和現(xiàn)有信息化資源，通過“一網(wǎng)、一庫、三系統(tǒng)”的建設(shè)，逐步實(shí)現(xiàn)行政審批網(wǎng)絡(luò)化、監(jiān)督管理信息化、決策支持智能化、業(yè)務(wù)處理規(guī)范化、信息交互發(fā)布自動(dòng)化的信息化項(xiàng)目。上海市“金質(zhì)工程”項(xiàng)目按照國家質(zhì)檢總局的要求，結(jié)合上海地方特點(diǎn)，充分利用原有的應(yīng)用、網(wǎng)絡(luò)、系統(tǒng)與數(shù)據(jù)資源進(jìn)行開發(fā)建設(shè)。堅(jiān)持標(biāo)準(zhǔn)化、規(guī)范化、科學(xué)化的要求，建成能夠體現(xiàn)信息化發(fā)展水平的上海金質(zhì)工程。通過金質(zhì)工程的實(shí)施，完成了“一網(wǎng)一庫四大系統(tǒng)”，從多個(gè)層次實(shí)現(xiàn)對質(zhì)量管理（認(rèn)證）、質(zhì)量監(jiān)督、標(biāo)準(zhǔn)化管理、計(jì)量管理、特種設(shè)備安全監(jiān)察、市場整頓執(zhí)法稽查、食品生產(chǎn)監(jiān)督管理、纖維質(zhì)量監(jiān)管等業(yè)務(wù)的電子化管理和網(wǎng)絡(luò)協(xié)同工作，提高了上海市質(zhì)量技術(shù)監(jiān)督部門行政效率和公共服務(wù)能力。為實(shí)現(xiàn)上海市質(zhì)量技術(shù)監(jiān)督局法定監(jiān)督、管理職責(zé)提供了堅(jiān)實(shí)的基礎(chǔ)。

其中，“一網(wǎng)”實(shí)現(xiàn)了上海市質(zhì)量技術(shù)監(jiān)督局和18個(gè)區(qū)縣質(zhì)量技術(shù)監(jiān)督行政部門9個(gè)直屬機(jī)構(gòu)以及100多個(gè)相關(guān)技術(shù)機(jī)構(gòu)的網(wǎng)絡(luò)互連互通，為信息互通互用、工作互動(dòng)協(xié)同建立了信息高速公路；“一庫”建立了數(shù)據(jù)“一方維護(hù)、一次采集、多方使用”的數(shù)據(jù)資源注冊管理機(jī)制，保證了數(shù)據(jù)采集的準(zhǔn)確性、一致性和信息共享的及時(shí)性，從而消除信息孤島，實(shí)現(xiàn)了行政管理工作動(dòng)態(tài)化；“四大系統(tǒng)”下的20余個(gè)應(yīng)用子系統(tǒng)，實(shí)現(xiàn)了全系統(tǒng)“網(wǎng)上辦事”、“信息公開”和業(yè)務(wù)工作的電子化和自動(dòng)化。隨著“金質(zhì)工程”電子化、網(wǎng)絡(luò)化、信息化的全面推進(jìn)，雖然有效地解決了沒有適合信息化要求的系統(tǒng)基礎(chǔ)、信息不能有效交換共享、數(shù)據(jù)不能有效利用、信息化跟不上業(yè)務(wù)發(fā)展需要等現(xiàn)狀。

保障信息安全首先就要保障網(wǎng)絡(luò)安全，網(wǎng)絡(luò)安全是信息安全的基石。沒有一個(gè)健康、強(qiáng)壯的網(wǎng)絡(luò)平臺，又何談信息的安全。通過對“金質(zhì)工程”網(wǎng)絡(luò)以及業(yè)務(wù)需求的前期了解后，我們發(fā)現(xiàn)整個(gè)工程的網(wǎng)絡(luò)情況比較復(fù)雜。首先，業(yè)務(wù)需求以及信息安全等級的不同導(dǎo)致了網(wǎng)絡(luò)的種類較多，其中就涉及到了政務(wù)網(wǎng)、公網(wǎng)、總局專線等；其次，業(yè)務(wù)終端數(shù)量較大且布局分散，這直接導(dǎo)致了網(wǎng)絡(luò)較大的擴(kuò)散性以及較低的可控性；再次，“金質(zhì)工程”是一個(gè)不斷發(fā)展的項(xiàng)目，本著前瞻性、易用性的原則，在對信息安全的初期規(guī)劃和實(shí)施中就要考慮到如何隨著業(yè)務(wù)本身的發(fā)展而為信息安全技術(shù)的提升預(yù)留出一定的空間。至此，如何保障“金質(zhì)工程”在建設(shè)以及運(yùn)營中的信息安全問題成為了我們的首要任務(wù)。

三、信息安全在“金質(zhì)工程”中的實(shí)現(xiàn)方案

信息安全的保障其實(shí)就是一場戰(zhàn)爭。而要贏得這場戰(zhàn)爭的基礎(chǔ)就是必須擁有符合以下3個(gè)基本要求的“戰(zhàn)士”。

1.有一個(gè)強(qiáng)健的身體——硬件保障工作

在整個(gè)信息化系統(tǒng)中的硬件就好比是戰(zhàn)士的身體，身體的強(qiáng)壯度是決定戰(zhàn)爭走向的前提之一。其中，數(shù)據(jù)中心的機(jī)房就好比是人的肌肉和骨骼保護(hù)著各種器官；各種主機(jī)服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備就好比是戰(zhàn)士的內(nèi)臟、神經(jīng)等器官維持著生命的正常運(yùn)作；而信息則像是戰(zhàn)士的血液一般連通貫穿著整個(gè)身體。

2.擁有完備、強(qiáng)大的各種裝備——技術(shù)保障工作

“工欲善其事，必先利其器?！备鞣N技術(shù)手段就好比最堅(jiān)硬的盾和最鋒利的劍。只有不斷地完善、更新自己的“器”才可在信息安全的戰(zhàn)爭中處于不敗之地。

3.有一顆堅(jiān)定、執(zhí)著、忠誠的心——制度的制定以及實(shí)施工作

戰(zhàn)士的堅(jiān)定、執(zhí)著、忠誠才是贏得戰(zhàn)爭的根本保障。國有國法，家有家規(guī)。只有懂得紀(jì)律重要性的戰(zhàn)士才能將勝利堅(jiān)持到底。因此，我們不但要有詳盡可行的制度，更需要把這些制度充分地落實(shí)下去，連每一個(gè)戰(zhàn)士的牙齒都不漏過。

“金質(zhì)工程”的初期規(guī)劃中，我們充分考慮了先前所述的幾個(gè)問題。不但要保障信息的安全性，更要考慮到功能實(shí)現(xiàn)的經(jīng)濟(jì)性。信息安全系統(tǒng)是一個(gè)具有收斂性效應(yīng)的系統(tǒng)，在建設(shè)過程中并不是一個(gè)簡單的安全產(chǎn)品的堆砌、安裝過程。一個(gè)完整的信息安全體系是多種安全措施的有機(jī)結(jié)合，相互協(xié)助，在提供基礎(chǔ)的技術(shù)手段后依靠信息安全管理制度來實(shí)現(xiàn)的。我們在“金質(zhì)工程”的實(shí)施過程中充分整合了原有資源，雖然其難度遠(yuǎn)遠(yuǎn)大于新建一套系統(tǒng)且加大了信息在整個(gè)系統(tǒng)中的安全保障難度，但是卻充分體現(xiàn)了工程中安全性與經(jīng)濟(jì)性并重的特點(diǎn)。

“金質(zhì)工程”實(shí)施中，首先通過分析系統(tǒng)的基礎(chǔ)安全需求和實(shí)施手段，建立起系統(tǒng)最基本的安全機(jī)制，包括邊界隔離防護(hù)、訪問控制、數(shù)據(jù)加密、入侵防御、漏洞掃描及加固、防病毒等系統(tǒng)，以減少大部分安全威脅；再根據(jù)“金質(zhì)工程”項(xiàng)目具體業(yè)務(wù)系統(tǒng)的要求，通過部署安全審計(jì)、防篡改、垃圾郵件防范、認(rèn)證授權(quán)、統(tǒng)一安管平臺等系統(tǒng)，結(jié)合相應(yīng)的運(yùn)維管理層面的安全規(guī)劃設(shè)計(jì)，進(jìn)一步提高系統(tǒng)的安全級別。在了解了系統(tǒng)內(nèi)部業(yè)務(wù)需求的有關(guān)信息、與外部交換的業(yè)務(wù)信息以及向社會發(fā)布的服務(wù)信息所面臨的潛在安全風(fēng)險(xiǎn)后，我們結(jié)合對需要保護(hù)的各類信息進(jìn)行分析，綜合考慮系統(tǒng)可接受的風(fēng)險(xiǎn)程度，制定了各類信息系統(tǒng)安全需求相應(yīng)的安全目標(biāo)、實(shí)現(xiàn)安全目標(biāo)的安全模型以及信息安全保護(hù)體系后，通過建立立體化的信息安全體系架構(gòu)，層層遞推、步步漸進(jìn)，最終形成了一個(gè)安全級別高、兼顧可實(shí)施性的信息安全保障系統(tǒng)。在這套安全系統(tǒng)中，我們通過在邊界架設(shè)鏈路負(fù)載均衡、防火墻、ips、vpn以及在核心區(qū)架設(shè)其他相關(guān)設(shè)備的技術(shù)手段實(shí)現(xiàn)了邊界安全、數(shù)據(jù)安全、安全認(rèn)證、終端防護(hù)、訪問控制、安全審計(jì)、安全評估、病毒防護(hù)、網(wǎng)管安管平臺、安全管理等功能，有效地避免了非法的訪問控制請求、業(yè)務(wù)數(shù)據(jù)完整性被破壞和傳輸線路信息泄漏、網(wǎng)絡(luò)病毒及蠕蟲入侵傳播威脅、非授權(quán)訪問和冒充合法用戶、內(nèi)部人員的安全操作的威脅、系統(tǒng)受到入侵、網(wǎng)頁被篡改、服務(wù)被干擾、系統(tǒng)恢復(fù)能力弱、容易受到自然災(zāi)難影響等信息安全隱患，切實(shí)地在技術(shù)手段上做到充分保障信息安全?！敖鹳|(zhì)工程”信息安全架構(gòu)如圖所示。

“金質(zhì)工程”信息安全架構(gòu)圖

四、結(jié)束語

目前，信息化的應(yīng)用正處于一個(gè)幾何式增長的時(shí)期，并且隨著規(guī)模迅速擴(kuò)大、新技術(shù)不斷出現(xiàn)和應(yīng)用，復(fù)雜程度也日益加劇。面對如此錯(cuò)綜復(fù)雜的現(xiàn)狀，信息安全的重要性更顯得不言而喻。只有不斷強(qiáng)健自己的體魄、熟練運(yùn)用各種“器”、時(shí)刻保持思想的高度統(tǒng)一，才能充分保障信息安全以及業(yè)務(wù)系統(tǒng)高效、安全、穩(wěn)定的運(yùn)行。

[1]常建平.網(wǎng)絡(luò)安全與計(jì)算機(jī)犯罪[M].中國人民公安大學(xué)出版社,2002.

[2]黃小蘇,閔京華,趙戰(zhàn)生等.GB/Z 20986-2007信息安全技術(shù)信息安全事件分類分級指南[S].中國標(biāo)準(zhǔn)出版社,2007.