濰柴動(dòng)力股份有限公司技術(shù)改造部　宋志新

?

涉密計(jì)算機(jī)信息安全管理體系的設(shè)計(jì)與實(shí)現(xiàn)

濰柴動(dòng)力股份有限公司技術(shù)改造部宋志新

【摘要】計(jì)算機(jī)信息安全問題非常重要，信息泄露往往會(huì)造成涉事企業(yè)或個(gè)人不可估量的經(jīng)濟(jì)損失。因此，非常有必要對(duì)計(jì)算機(jī)信息安全管理體系的設(shè)計(jì)做進(jìn)一步的研究。 根據(jù)或制定一套該行業(yè)普遍認(rèn)可的規(guī)范和準(zhǔn)則，從而建立一種合理可行的信息安全管理體系。對(duì)此，筆者進(jìn)行了分析和闡述，希望能為廣大的相關(guān)工作者提供一些參考依據(jù)。

【關(guān)鍵詞】涉密；計(jì)算機(jī)；信息；安全管理；體系；準(zhǔn)則

計(jì)算機(jī)系統(tǒng)的安全建設(shè)已經(jīng)變的越來越重要，因?yàn)樾畔踩苯佑绊懙搅巳藗兊那猩砝?。如果安全建設(shè)不到位，就容易造成信息泄露，造成極大的損失。但信息安全建設(shè)非常復(fù)雜，必須采取合理而有效的方法，如建立信息安全管理體系，簡稱ISMS。

1　信息安全管理的內(nèi)容

整個(gè)計(jì)算機(jī)系統(tǒng)由這兩部分組成：配套設(shè)備、設(shè)施。根據(jù)一定的規(guī)則，對(duì)相關(guān)的信息實(shí)施搜集、加工、存儲(chǔ)以及傳播等。涉密計(jì)算機(jī)信息系統(tǒng)，指的是利用一系列的網(wǎng)絡(luò)技術(shù)來對(duì)機(jī)密信息進(jìn)行搜集、處理以及儲(chǔ)藏、傳播等。保密的方案需要按照風(fēng)險(xiǎn)分析、脆弱分析、威脅分析的結(jié)果，根據(jù)一定的準(zhǔn)則來進(jìn)行設(shè)計(jì)。需要注意的是，必須根據(jù)系統(tǒng)能夠承受的風(fēng)險(xiǎn)來制定系統(tǒng)的保護(hù)重點(diǎn)。

設(shè)計(jì)的時(shí)候，要按照保護(hù)重點(diǎn)以及相關(guān)的環(huán)境來進(jìn)行考慮，具體需要注意這幾方面的問題：

第一，物理安全問題關(guān)系到工作環(huán)境的周邊安全，網(wǎng)絡(luò)的布線系統(tǒng)以及安全設(shè)計(jì)的合理管理。關(guān)鍵在于怎樣集中完成重要部分，并且對(duì)涉密數(shù)據(jù)進(jìn)行合理的保護(hù)。

第二，網(wǎng)絡(luò)安全。在安全防護(hù)中，網(wǎng)絡(luò)安全是內(nèi)容最多的一項(xiàng)，其中主要包括涉密內(nèi)部網(wǎng)絡(luò)物理隔絕，對(duì)網(wǎng)絡(luò)進(jìn)行病毒防護(hù)以及審計(jì)方式、加密方式等等，最后還包括對(duì)使用者行為的監(jiān)管等等。關(guān)于內(nèi)網(wǎng)，如果要進(jìn)行信息的共享，那么則應(yīng)該對(duì)其進(jìn)行控制。同時(shí)，控制應(yīng)該也放在網(wǎng)絡(luò)安全的不同層次當(dāng)中，比如鏈路層安全、應(yīng)用層安全、終端安全[1]。

第三，文件交互，在進(jìn)行保密的時(shí)候，文件的交互是非常薄弱的一個(gè)部分。這里所說的文件交互，一般指的是對(duì)外和對(duì)內(nèi)兩種。但是每一種都要關(guān)系到文件的粘貼、復(fù)制、傳播、修改等。在交互文件的時(shí)候，有存儲(chǔ)介質(zhì)以及內(nèi)部網(wǎng)絡(luò)交互這兩種方式。工作人員需要對(duì)其進(jìn)行管理和控制，這樣才能使計(jì)算機(jī)信息更加的安全。

第四是終端防護(hù)，終端防護(hù)是對(duì)體系當(dāng)中的細(xì)粒度進(jìn)行控制的部分，同時(shí)也是安全防護(hù)里的弱項(xiàng)。一般有移動(dòng)終端和固定終端這兩種，對(duì)這兩種終端的管理和控制時(shí)，必須對(duì)行為進(jìn)行控制和審查。一般的安全方案只注重對(duì)外部侵略進(jìn)行阻止，從而保證網(wǎng)絡(luò)數(shù)據(jù)的安全性。這樣的方式能防止內(nèi)部出現(xiàn)侵略，所以終端防護(hù)對(duì)于避免內(nèi)部人員的疏忽，以及內(nèi)部的攻擊有著非常大的作用。

第五是加密保護(hù)，如今，人們使用計(jì)算機(jī)的頻率越來越高，因此數(shù)據(jù)泄露的問題也愈發(fā)明顯。涉密數(shù)據(jù)是安全防護(hù)的關(guān)鍵，不管是內(nèi)部的介質(zhì)傳播，還是外部的介質(zhì)傳播，都應(yīng)該有加密保護(hù)措施。同時(shí)，內(nèi)部的一些關(guān)鍵數(shù)據(jù)也要設(shè)置訪問密碼，或者通過加密軟件對(duì)特定格式的文件進(jìn)行加密處理，這樣才能保護(hù)數(shù)據(jù)的安全性。

第六是針對(duì)病毒進(jìn)行防護(hù)。病毒、外部攻擊、漏洞等都可以造成信息泄露，因此必須采取措施進(jìn)行集中管控，對(duì)病毒進(jìn)行防護(hù)。比如可以實(shí)施病毒碼、掃描引擎更新，對(duì)漏洞進(jìn)行掃描，并且安裝自動(dòng)報(bào)警系統(tǒng)等措施。

第七，安全審計(jì)。這需要計(jì)算機(jī)信息系統(tǒng)里的資源進(jìn)行審計(jì)，審計(jì)可以記錄一部分事件，并且提供給系統(tǒng)管理者，從而作為系統(tǒng)維護(hù)的證據(jù)，更好的對(duì)信息進(jìn)行保護(hù)。如果發(fā)生了危險(xiǎn)事故，系統(tǒng)管理者還可以根據(jù)記錄快速的查清楚事件的來源，并且及時(shí)采取措施[2]。

2　信息安全管理體系的技術(shù)措施

2.1物理安全防護(hù)措施

為了降低一定的成本，必須將分布式的防護(hù)變?yōu)榧惺?，并且把不同部門的關(guān)鍵數(shù)據(jù)集中放在數(shù)據(jù)中心機(jī)房。合格的中心機(jī)房不僅有配套完善的UPS設(shè)備，能保證機(jī)房始終處于恒溫的空調(diào)設(shè)備。而且機(jī)房的接地、防雷、放電措施也應(yīng)該合乎規(guī)范。最后，安裝視頻監(jiān)控系統(tǒng)，對(duì)機(jī)房內(nèi)的情況進(jìn)行監(jiān)視。如果核心設(shè)備的安全距離少于200米的時(shí)候，就必須增加電磁輻射設(shè)備，從而保證設(shè)備的電磁輻射的安全。

2.2網(wǎng)絡(luò)安全防護(hù)

當(dāng)前采取的方式是通過無線網(wǎng)卡、有線網(wǎng)、藍(lán)牙或者USB端口來進(jìn)行網(wǎng)絡(luò)連接。所以，要進(jìn)行網(wǎng)絡(luò)安全防護(hù)，就需要在終端口實(shí)施阻斷非法外聯(lián)行為。終端安全管理系統(tǒng)聯(lián)動(dòng)網(wǎng)絡(luò)交換機(jī)實(shí)時(shí)搜索非法用戶，如果檢測到?jīng)]有安裝終端安全管理軟件，那么就可以對(duì)非法接入機(jī)器實(shí)施阻攔。

網(wǎng)絡(luò)根據(jù)IP網(wǎng)段，可以被分成不同的安全級(jí)別，然后再實(shí)施不同的保護(hù)方式，從而產(chǎn)生不同等級(jí)的防護(hù)措施。進(jìn)行了劃分后，同一個(gè)等級(jí)的VLAN不能進(jìn)行相互的訪問，要進(jìn)行訪問，就必須通過核心交換機(jī)訪問重要服務(wù)區(qū)，這樣可以更好的進(jìn)行管理。需要設(shè)置防火墻，對(duì)訪問進(jìn)行控制，將可疑的訪問阻隔在外，并且對(duì)關(guān)鍵區(qū)域進(jìn)行重點(diǎn)管控。在核心交換機(jī)里，把每一個(gè)端口中的數(shù)據(jù)包放進(jìn)入侵檢測系統(tǒng)內(nèi)，如果防火墻和入侵檢測同時(shí)啟動(dòng)，那么就可以更好的對(duì)不合理的訪問進(jìn)行控制。另外還有身份認(rèn)證，建立在PKI系統(tǒng)內(nèi)的身份認(rèn)證系統(tǒng)，可以對(duì)訪問進(jìn)行控制。

2.3系統(tǒng)軟件安全

這里說的系統(tǒng)軟件安全，指的是操作系統(tǒng)、數(shù)據(jù)庫等一系列系統(tǒng)的安全性。不管是什么系統(tǒng)，它的系統(tǒng)內(nèi)部都可能存在不安全的因素[3]。

終端的操作系統(tǒng)可以采用一樣的版本，更加方便管理。同時(shí)還可以建立保護(hù)秘密以及PIN值，這樣可以形成雙重保護(hù)效果。

終端安全管理系統(tǒng)可以實(shí)現(xiàn)對(duì)軟件的監(jiān)管，還可以屏蔽不安全軟件運(yùn)行，同時(shí)也可以阻攔不安全的端口。另外還需要安裝病毒防護(hù)程序，以及系統(tǒng)補(bǔ)丁更新系統(tǒng)，從而更好的防病毒，更新補(bǔ)丁。

2.4數(shù)據(jù)安全

如果是加密的數(shù)據(jù)，那么可以存儲(chǔ)到安全加密文件里，并且根據(jù)身份證書對(duì)其加密，這樣便可以增加安全性，同時(shí)也不用擔(dān)心數(shù)據(jù)丟失問題。

關(guān)于移動(dòng)存儲(chǔ)硬件，可以進(jìn)行統(tǒng)一的加密。如果沒有安裝安全終端管理軟件，那么就不能識(shí)別和拷貝數(shù)據(jù)。但是，這樣的方式只能夠在內(nèi)網(wǎng)的可信終端里面被使用。

如果是用于外部交流的數(shù)據(jù)，那么就可以通過集中管理終端來設(shè)計(jì)加密存儲(chǔ)的文件格式。也就是說，用戶只有輸入正確的密碼，才能夠看到文件內(nèi)的信息。

2.5應(yīng)用安全

其一般用于完成單點(diǎn)登陸，以及對(duì)信息系統(tǒng)的訪問進(jìn)行控制。此外，也要實(shí)施對(duì)安全管理設(shè)備和應(yīng)用的日志審計(jì)[4]。這些功能需要靠身份認(rèn)證系統(tǒng)、防火墻系統(tǒng)來完成，從而對(duì)非法訪問進(jìn)行控制，對(duì)行為進(jìn)行審核。

實(shí)驗(yàn)結(jié)果表明，上面提出的計(jì)算機(jī)信息安全管理體系符合實(shí)際需求，能夠在一定程度上保障了計(jì)算機(jī)信息的安全性，是一種高效而合理的計(jì)算機(jī)安全防護(hù)體系，因此值得推廣和使用[5]。

3　總結(jié)與體會(huì)

隨著計(jì)算機(jī)的不斷普及，信息的安全性已經(jīng)越來越重要。為了能夠全方位的提高信息的安全性，必須根據(jù)一定的要求和準(zhǔn)則，從不同的層次出發(fā)，采取多聯(lián)動(dòng)的方式，全方位的保障信息的安全性。同時(shí)也要不斷的更新管理理念、技術(shù)手段，這樣才能更好的實(shí)現(xiàn)信息安全管理目標(biāo)。

參考文獻(xiàn)

[1]王璐.涉密計(jì)算機(jī)信息安全管理體系在國土資源局中的設(shè)計(jì)與實(shí)現(xiàn)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2014,(3):143-144.

[2]權(quán)晶晶.計(jì)算機(jī)信息安全管理體系的有效實(shí)現(xiàn)[J].電子游戲軟件,2012,(13):42-43.

[3]陳果.計(jì)算機(jī)信息安全管理體系的設(shè)計(jì)規(guī)劃[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2011,(18):29-29.

[4]唐平.計(jì)算機(jī)信息安全管理體系的有效實(shí)現(xiàn)[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2011,(16):23-23.

[5]王越,楊平利,李衛(wèi)軍.涉密計(jì)算機(jī)信息安全管理體系的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì),2010,(18):3964-3967.