張伯寧

（河北省應(yīng)急管理科學(xué)研究院，河北 石家莊 050000）

1 信息系統(tǒng)管理和信息安全建設(shè)的重要性

中國網(wǎng)絡(luò)安全和信息化邁入了全新的時(shí)代，隨著我國新一代信息技術(shù)的不斷發(fā)展，通信網(wǎng)絡(luò)、物聯(lián)網(wǎng)、三網(wǎng)融合、高性能集成電路和云計(jì)算等技術(shù)不斷創(chuàng)新，做好信息系統(tǒng)管理與信息安全工作成為適應(yīng)社會發(fā)展態(tài)勢的迫切需要新信息技術(shù)的發(fā)展與創(chuàng)新對人們的生產(chǎn)生活方式和思想觀念都產(chǎn)生了巨大影響，也為我國的信息化發(fā)展帶來了新的機(jī)遇。

計(jì)算機(jī)網(wǎng)絡(luò)是在軟件的支持下，通過硬件系統(tǒng)連接若干臺計(jì)算機(jī)組成通信網(wǎng)絡(luò)，計(jì)算機(jī)網(wǎng)絡(luò)的目的在于資源和信息的共享，必須保證計(jì)算機(jī)網(wǎng)絡(luò)處在安全的環(huán)境中并為資源的交換和共享提供保障。信息化和網(wǎng)絡(luò)安全建設(shè)是為貫徹國家決策部署、各級政府機(jī)關(guān)信息化工作要求的迫切需要。黨和國家高度重視網(wǎng)絡(luò)與信息安全工作，并于2014年2月27日成立了中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組。2018年3月，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組改組為中國共產(chǎn)黨中央網(wǎng)絡(luò)安全和信息化委員會。習(xí)近平總書記親自擔(dān)任組長，在領(lǐng)導(dǎo)小組第一次會議上就提出“沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”的戰(zhàn)略論斷。為了保證網(wǎng)絡(luò)安全，捍衛(wèi)國家網(wǎng)絡(luò)主權(quán)，確保社會經(jīng)濟(jì)健康發(fā)展，國家在不斷完善網(wǎng)絡(luò)安全方面的法律法規(guī)。

2016年11月7日，《中華人民共和國網(wǎng)絡(luò)安全法》發(fā)布，共七章七十九條，對網(wǎng)絡(luò)運(yùn)行安全、網(wǎng)絡(luò)信息安全都做了明確的規(guī)定，該法案有效填補(bǔ)了網(wǎng)絡(luò)安全領(lǐng)域的空白，加強(qiáng)了網(wǎng)絡(luò)監(jiān)測預(yù)警與應(yīng)急處置建設(shè)，完善了網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系。

2017年6月1日，《中華人民共和國網(wǎng)絡(luò)安全法》施行。國家網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局負(fù)責(zé)人就相關(guān)問題回答記者提問，針對會制造貿(mào)易壁壘的擔(dān)憂，負(fù)責(zé)人明確表示：“制定和實(shí)施《網(wǎng)絡(luò)安全法》，不是為限制國外企業(yè)、技術(shù)、產(chǎn)品進(jìn)入中國市場，不是為限制數(shù)據(jù)依法有序自由流動(dòng)。各單位應(yīng)該根據(jù)國家大政方針指示，把思想和行動(dòng)統(tǒng)一到一系列相關(guān)決策部署上來，推動(dòng)我國信息系統(tǒng)管理與信息安全工作邁上新臺階?！?/p>

對于信息技術(shù)發(fā)展出現(xiàn)的信息系統(tǒng)和信息安全問題，國家制定的法律法規(guī)起到了關(guān)鍵作用，真正做到了有法可依，規(guī)范了網(wǎng)絡(luò)使用行為，維護(hù)了信息安全。基于以上方面，更應(yīng)加快推進(jìn)系統(tǒng)管理與信息安全工作，進(jìn)一步加強(qiáng)和做好信息系統(tǒng)管理和網(wǎng)絡(luò)安全研究工作。

2 信息系統(tǒng)管理與網(wǎng)絡(luò)信息安全保障

2.1 不斷完善信息系統(tǒng)管理體系

做好信息系統(tǒng)管理工作是社會各界加快推動(dòng)產(chǎn)業(yè)信息化、率先實(shí)現(xiàn)信息現(xiàn)代化的重要任務(wù)。對于信息系統(tǒng)管理安全，需要注重4個(gè)方面內(nèi)容。

（1）增強(qiáng)信息系統(tǒng)管理意識。信息系統(tǒng)管理工作既是信息管理部門必要的工作任務(wù)，也是統(tǒng)攬一切信息工作的中心和重心。當(dāng)前，國家信息化發(fā)展已經(jīng)進(jìn)入新時(shí)期，各級系統(tǒng)管理人員必須清醒地認(rèn)識到當(dāng)前面臨的新形勢、新問題和新挑戰(zhàn)，切實(shí)提高思想認(rèn)識，尤其管理層更要提高認(rèn)識，圍繞信息系統(tǒng)管理工作，積極、主動(dòng)地抓好具體工作落實(shí)。

（2）加強(qiáng)組織保障。嚴(yán)格按照相關(guān)管理規(guī)定要求，領(lǐng)導(dǎo)層充分發(fā)揮后盾作用，為信息系統(tǒng)管理工作創(chuàng)造有利條件。上級部門定期聽取信息管理部門工作匯報(bào)，認(rèn)真研究解決信息管理部門過程中遇到的問題，抓好信息管理工作，確保信息管理工作正常有序進(jìn)行。

（3）加強(qiáng)系統(tǒng)管理人員培訓(xùn)工作[1-2]，提高信息系統(tǒng)管理人員管理水平。制定培訓(xùn)管理制度，定期組織管理人員進(jìn)行業(yè)務(wù)培訓(xùn)，通過學(xué)習(xí)安全保障案例和新信息系統(tǒng)安全技術(shù)，不斷提高系統(tǒng)管理人員運(yùn)維水平。

（4）要強(qiáng)化責(zé)任追究。建立工作考核和責(zé)任追究機(jī)制，將信息管理工作作為單位年度考核內(nèi)容，對信息管理工作不力、工作出現(xiàn)失誤的，由主管領(lǐng)導(dǎo)對負(fù)責(zé)部門進(jìn)行約談，情節(jié)嚴(yán)重的要給予嚴(yán)肅問責(zé)，取消責(zé)任人及所在部門評先評優(yōu)資格。

2.2 發(fā)展信息網(wǎng)絡(luò)數(shù)據(jù)安全保障體系

發(fā)展信息化，就必須重視信息網(wǎng)絡(luò)和數(shù)據(jù)安全建設(shè)，因?yàn)榘踩切畔⒒l(fā)展的前提和保障。各單位應(yīng)該協(xié)同高等院校、社會力量，共同推進(jìn)信息系統(tǒng)管理與信息安全建設(shè)。目前，信息網(wǎng)絡(luò)數(shù)據(jù)安全危險(xiǎn)主要來自以下3個(gè)方面。

首先，外部攻擊造成的網(wǎng)絡(luò)服務(wù)癱瘓與信息竊取，這也是各類信息系統(tǒng)所面臨的共性問題。面對該問題需要充分利用防火墻安全技術(shù)，用于阻止外部攻擊和惡意入侵等行為，在網(wǎng)絡(luò)數(shù)據(jù)邊界建立一道隔絕屏障，起到保護(hù)數(shù)據(jù)的目的。

其次，計(jì)算機(jī)病毒感染威脅而使系統(tǒng)陷入癱瘓或崩潰。計(jì)算機(jī)病毒對于信息系統(tǒng)和數(shù)據(jù)安全都產(chǎn)生了巨大威脅，通過安裝殺毒軟件，可以解決計(jì)算機(jī)通過各種途徑感染的計(jì)算機(jī)病毒，但以前的殺毒軟件存在共性，登錄軟件后需通過互聯(lián)網(wǎng)下載病毒庫后計(jì)算機(jī)才能自行查殺。隨著信息技術(shù)發(fā)展，世界每小時(shí)都可以產(chǎn)生出幾萬個(gè)新型計(jì)算機(jī)病毒，依托于舊殺毒模式已不能滿足于信息技術(shù)發(fā)展的需要，所以需要依托于“云計(jì)算”等新技術(shù)發(fā)展“云安全”。

最后，人為泄露和竊取信息數(shù)據(jù)的情況，可以造成數(shù)據(jù)外泄和財(cái)產(chǎn)損失。傳統(tǒng)的安全防范措施已難以應(yīng)對該問題，再復(fù)雜的技術(shù)防御手段，也難以防止機(jī)密信息被人為從內(nèi)部竊取和轉(zhuǎn)移。所以，還需要國家在法律層面，公司單位在安全規(guī)章制度層面完善制度，建立管理機(jī)構(gòu)，設(shè)立安全管理崗位等。

3 信息管理系統(tǒng)與網(wǎng)絡(luò)數(shù)據(jù)安全性方案

在建立信息管理系統(tǒng)的同時(shí)，有效保證系統(tǒng)安全是系統(tǒng)設(shè)計(jì)的重點(diǎn)之一。設(shè)計(jì)既要能夠滿足各角色用戶使用的靈活性，又要充分考慮數(shù)據(jù)的安全性與穩(wěn)定性。信息管理系統(tǒng)的安全性設(shè)計(jì)時(shí)主要從以下幾個(gè)方面進(jìn)行考慮。

3.1 網(wǎng)絡(luò)及硬件構(gòu)架安全

網(wǎng)絡(luò)防火墻分為網(wǎng)絡(luò)級和應(yīng)用級。網(wǎng)絡(luò)級防火墻的主要功能是對各種信息進(jìn)行包過濾和狀態(tài)檢測，應(yīng)用級防火墻可采用雙網(wǎng)卡結(jié)構(gòu)、屏蔽主機(jī)、屏蔽子網(wǎng)等功能。在服務(wù)器硬件構(gòu)架安全方面，相關(guān)用戶在使用信息系統(tǒng)進(jìn)行訪問時(shí)，用戶訪問須經(jīng)過數(shù)據(jù)中心的防火墻與系統(tǒng)相連。采用多應(yīng)用分布部署方案，盡量做到每個(gè)服務(wù)系統(tǒng)都有防火墻，保證系統(tǒng)安全。

在負(fù)荷承載方面，信息系統(tǒng)各服務(wù)可根據(jù)實(shí)際負(fù)荷情況，考慮一個(gè)應(yīng)用部署多個(gè)服務(wù)器進(jìn)行負(fù)載均衡分配的方式。采用雙機(jī)熱備的方式，保證一臺服務(wù)器出現(xiàn)故障時(shí)，系統(tǒng)立即自動(dòng)切換到備份機(jī)上運(yùn)行，使系統(tǒng)可以繼續(xù)正常提供服務(wù)而不會中斷，提高系統(tǒng)的安全系數(shù)。采用負(fù)載均衡的部署方式，可降低單一應(yīng)用服務(wù)器的負(fù)荷，提高用戶的訪問效率，同時(shí)可降低異常情況或某項(xiàng)服務(wù)無法訪問的風(fēng)險(xiǎn)[3]。如某處服務(wù)宕機(jī)，用戶使用完全不受影響。在硬件構(gòu)架設(shè)計(jì)方面，采用應(yīng)用分離、數(shù)據(jù)不分離的方式，多應(yīng)用數(shù)據(jù)庫集中構(gòu)建。數(shù)據(jù)庫服務(wù)器采用互為熱備的主從服務(wù)器的構(gòu)架方式，同時(shí)可采用讀寫分離的模式。當(dāng)數(shù)據(jù)承載負(fù)荷較大時(shí)，根據(jù)實(shí)際使用情況，可再另行構(gòu)建數(shù)據(jù)庫服務(wù)器集群。

數(shù)據(jù)庫服務(wù)器采用多組具有主從的分布式構(gòu)架方式進(jìn)行擴(kuò)展，同時(shí)可利用負(fù)載均衡的方式進(jìn)行負(fù)載均攤。數(shù)據(jù)庫集中構(gòu)建，消除了多應(yīng)用系統(tǒng)數(shù)據(jù)耦合和一致性問題，同時(shí)降低了數(shù)據(jù)庫維護(hù)難度；采用數(shù)據(jù)庫主從的分布式構(gòu)架方式，提高了數(shù)據(jù)庫的安全性、可靠性和擴(kuò)展性，當(dāng)數(shù)據(jù)庫處理服務(wù)和存儲需求負(fù)荷過重時(shí)，便于擴(kuò)展。

3.2 信息系統(tǒng)應(yīng)用安全

在信息系統(tǒng)應(yīng)用安全方面，用戶在通過基于瀏覽器/服務(wù)器模式（Browser/Server，B/S）架構(gòu)互聯(lián)網(wǎng)或客戶機(jī)和服務(wù)器結(jié)構(gòu)（Client/Server Structs，C/S）架構(gòu)客戶端信息系統(tǒng)時(shí)，都應(yīng)采用認(rèn)證機(jī)制，對其身份進(jìn)行合法性認(rèn)證，并發(fā)布獨(dú)立的查詢數(shù)據(jù)庫，限制其訪問數(shù)據(jù)的范圍，防止惡意竊取信息。

在數(shù)據(jù)權(quán)限控制方面，應(yīng)嚴(yán)格按用戶綁定人員的組織機(jī)構(gòu)控制其數(shù)據(jù)訪問范圍。對使用信息系統(tǒng)保密信息范圍的用戶采用硬件加密，例如密鑰（User Key）嚴(yán)格認(rèn)證用戶身份的合法性與有效性。無硬件密鑰的人員將不能訪問本系統(tǒng)未公開發(fā)布的信息[4]。

在數(shù)據(jù)存儲方面，將對用戶信息、應(yīng)用信息、證件等信息核心數(shù)據(jù)信息進(jìn)行加密存儲。為防止注入性黑客攻擊，還應(yīng)建立有效數(shù)據(jù)存取邏輯。建立入侵檢測系統(tǒng)，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流，分析連接狀態(tài)，通過信息系統(tǒng)內(nèi)置的網(wǎng)絡(luò)攻擊數(shù)據(jù)庫，查詢網(wǎng)絡(luò)事件并進(jìn)行響應(yīng)。根據(jù)發(fā)生的網(wǎng)絡(luò)事件，啟用配置好的報(bào)警方式，提供網(wǎng)絡(luò)數(shù)據(jù)流量統(tǒng)計(jì)功能，為事件分析提供支持，配合數(shù)據(jù)庫支持多種協(xié)議和全面內(nèi)容恢復(fù)，支持分布式結(jié)構(gòu)，提供黑名單快速查看功能[5]。

3.3 系統(tǒng)運(yùn)行管理安全

首先，加強(qiáng)系統(tǒng)運(yùn)行安全應(yīng)急機(jī)制管理。依據(jù)系統(tǒng)的運(yùn)行狀況，針對不同的系統(tǒng)，制定不同的應(yīng)急管理方案。整合相關(guān)信息制定相應(yīng)的安全管理方法，保障系統(tǒng)的正常運(yùn)行。針對可能發(fā)生的信息安全問題制定出應(yīng)急預(yù)案，在發(fā)生突發(fā)事件時(shí)，系統(tǒng)內(nèi)應(yīng)急機(jī)制和系統(tǒng)外人員同時(shí)做出應(yīng)急響應(yīng)。

其次，加強(qiáng)系統(tǒng)管理人員的培訓(xùn)工作。必須要配備專門的系統(tǒng)管理人員，針對系統(tǒng)規(guī)模大小配備相應(yīng)數(shù)量的且明確邊界責(zé)任的管理人員，上級部門定期組織系統(tǒng)管理人員進(jìn)行業(yè)務(wù)相關(guān)培訓(xùn)，制定好應(yīng)急預(yù)案。針對系統(tǒng)管理人員由于各種原因可能發(fā)生的違規(guī)操作等問題或?qū)е滦畔⑻幱谖ｋU(xiǎn)的情況，定期進(jìn)行系統(tǒng)安全風(fēng)險(xiǎn)評估。由于計(jì)算機(jī)信息系統(tǒng)在使用的過程中會由于不當(dāng)?shù)牟僮髟斐傻陌踩L(fēng)險(xiǎn)，系統(tǒng)管理人員或機(jī)構(gòu)有義務(wù)定期評估和識別計(jì)算機(jī)信息系統(tǒng)風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)劃分等級，制定相應(yīng)的規(guī)定，明確工作人員的操作范圍。系統(tǒng)管理人員對風(fēng)險(xiǎn)較高的威脅及時(shí)處理，防止風(fēng)險(xiǎn)在信息系統(tǒng)中進(jìn)一步擴(kuò)散。