學科教育論文-構(gòu)建信息安全保密體系.doc

學科教育論文-構(gòu)建信息安全保密體系摘要：信息安全保密已經(jīng)成為當前保密工作的重點。本文從策略和機制的角度出發(fā)，給出了信息安全保密的服務支持、標準規(guī)范、技術(shù)防范、管理保障和工作能力體系，體現(xiàn)了技術(shù)與管理相結(jié)合的信息安全保密原則。關(guān)鍵詞：信息安全保密體系一、引言構(gòu)建信息安全保密體系，不能僅僅從技術(shù)層面入手，而應該將管理和技術(shù)手段有機結(jié)合起來，用規(guī)范的制度約束人，同時建立、健全信息安全保密的組織體制，改變現(xiàn)有的管理模式，彌補技術(shù)、制度、體制等方面存在的不足，從標準、技術(shù)、管理、服務、策略等方面形成綜合的信息安全保密能力，如圖1所示。圖1信息安全保密的體系框架該保密體系是以信息安全保密策略和機制為核心，以信息安全保密服務為支持，以標準規(guī)范、安全技術(shù)和組織管理體系為具體內(nèi)容，最終形成能夠滿足信息安全保密需求的工作能力。二、信息安全保密的策略和機制所謂信息安全保密策略，是指為了保護信息系統(tǒng)和信息網(wǎng)絡中的秘密，對使用者（及其代理）允許什么、禁止什么的規(guī)定。從信息資產(chǎn)安全管理的角度出發(fā)，為了保護涉密信息資產(chǎn)，消除或降低泄密風險，制訂的各種綱領(lǐng)、制度、規(guī)范和操作流程等，都屬于安全保密策略。例如：禁止（工作或技術(shù)人員）將涉密軟盤或移動存儲設(shè)備帶出涉密場所；嚴禁（使用人員將）涉密計算機（連）上互聯(lián)網(wǎng)；不允許（參觀人員）在涉密場所拍照、錄像等。信息安全保密機制，是指實施信息安全保密策略的一種方法、工具或者規(guī)程。例如，針對前面給出的保密策略，可分別采取以下機制：為涉密移動存儲設(shè)備安裝射頻標識，為涉密場所安裝門禁和報警系統(tǒng)；登記上網(wǎng)計算機的（物理）地址，實時監(jiān)控上網(wǎng)設(shè)備；進入涉密場所前，托管所有攝錄像設(shè)備等。根據(jù)信息系統(tǒng)和信息網(wǎng)絡的安全保密需求，在制定其安全保密策略時，應主要從物理安全保密策略，系統(tǒng)或網(wǎng)絡的訪問控制策略，信息的加密策略，系統(tǒng)及網(wǎng)絡的安全管理策略，人員安全管理策略，內(nèi)容監(jiān)管策略等方面入手。在安全保密機制方面，應主要從組織管理、安全控制和教育培訓等方面，針對給出的安全保密策略，確定詳細的操作或運行規(guī)程，技術(shù)標準和安全解決方案。三、信息安全保密的服務支持體系信息安全保密的服務支持體系，主要是由技術(shù)檢查服務、調(diào)查取證服務、風險管理服務、系統(tǒng)測評服務、應急響應服務和咨詢培訓服務組成的，如圖2所示。其中，風險管理服務必須貫穿到信息安全保密的整個工程中，要在信息系統(tǒng)和信息網(wǎng)絡規(guī)劃與建設(shè)的初期，就進行專業(yè)的安全風險評估與分析，并在系統(tǒng)或網(wǎng)絡的運營管理過程中，經(jīng)常性地開展保密風險評估工作，采取有效的措施控制風險，只有這樣才能提高信息安全保密的效益和針對性，增強系統(tǒng)或網(wǎng)絡的安全可觀性、可控性。其次，還要大力加強調(diào)查取證服務、應急響應服務和咨詢培訓服務的建設(shè)，對突發(fā)性的失泄密事件能夠快速反應，同時盡可能提高信息系統(tǒng)、信息網(wǎng)絡管理人員的安全技能，以及他們的法規(guī)意識和防范意識，做到“事前有準備，事后有措施，事中有監(jiān)察”。加強信息安全保密服務的主要措施包括：借用安全評估服務幫助我們了解自身的安全性通過安全掃描、滲透測試、問卷調(diào)查等方式對信息系統(tǒng)及網(wǎng)絡的資產(chǎn)價值、存在的脆弱性和面臨的威脅進行分析評估，確定失泄密風險的大小，并實施有效的安全風險控制。采用安全加固服務來增強信息系統(tǒng)的自身安全性具體包括操作系統(tǒng)的安全修補、加固和優(yōu)化；應用服務的安全修補、加固和優(yōu)化；網(wǎng)絡設(shè)備的安全修補、加固和優(yōu)化；現(xiàn)有安全制度和策略的改進與完善等。部署專用安全系統(tǒng)及設(shè)備提升安全保護等級借助目前成熟的安全技術(shù)和產(chǎn)品來幫助我們提升整個系統(tǒng)及網(wǎng)絡的安全防護等級，可采用的產(chǎn)品包括防火墻、IDS、VPN、防病毒網(wǎng)關(guān)等。運用安全控制服務增強信息系統(tǒng)及網(wǎng)絡的安全可觀性、可控性通過部署面向終端、服務器和網(wǎng)絡邊界的安全控制系統(tǒng)，以及集中式的安全控制平臺，增強對整個信息系統(tǒng)及網(wǎng)絡的可觀性，以及對使用網(wǎng)絡的人員、網(wǎng)絡中的設(shè)備及其所提供服務的可控性。加強安全保密教育培訓來減少和避免失泄密事件的發(fā)生加強信息安全基礎(chǔ)知識及防護技能的培訓，尤其是個人終端安全技術(shù)的培訓，提高使用和管理人員的安全保密意識，以及檢查入侵、查處失泄密事件的能力。引入應急響應服務及時有效地處理重大失泄密事件具體包括：協(xié)助恢復系統(tǒng)到正常工作狀態(tài)；協(xié)助檢查入侵來源、時間、方法等；對網(wǎng)絡進行安全評估，找出存在的安全隱患；做出事件分析報告；制定并貫徹實施安全改進計劃。采用安全通告服務來對竊密威脅提前預警具體包括對緊急事件的通告，對安全漏洞和最新補丁的通告，對最新防護技術(shù)及措施的通告，對國家、軍隊的安全保密政策法規(guī)和安全標準的通告等。四、信息安全保密的標準規(guī)范體系信息安全保密的標準規(guī)范體系，主要是由國家和軍隊相關(guān)安全技術(shù)標準構(gòu)成的，如圖3所示。這些技術(shù)標準和規(guī)范涉及到物理場所、電磁環(huán)境、通信、計算機、網(wǎng)絡、數(shù)據(jù)等不同的對象，涵蓋信息獲取、存儲、處理、傳輸、利用和銷毀等整個生命周期。既有對信息載體的相關(guān)安全保密防護規(guī)定，也有對人員的管理和操作要求。因此，它們是設(shè)計信息安全保密解決方案，提供各種安全保密服務，檢查與查處失泄密事件的準則和依據(jù)。各部門應該根據(jù)本單位信息系統(tǒng)、信息網(wǎng)絡的安全保密需求，以及組織結(jié)構(gòu)和使用維護人員的配置情況，制定相應的，操作性和針對性更強的技術(shù)和管理標準。五、信息安全保密的技術(shù)防范體系信息安全保密的技術(shù)防范體系，主要是由電磁防護技術(shù)、信息終端防護技術(shù)、通信安全技術(shù)、網(wǎng)絡安全技術(shù)和其他安全技術(shù)組成的。這些技術(shù)措施的目的，是為了從信息系統(tǒng)和信息網(wǎng)絡的不同層面保護信息的機密性、完整性、可用性、可控性和不可否認性，進而保障信息及信息系統(tǒng)的安全，提高信息系統(tǒng)和信息網(wǎng)絡的抗攻擊能力和安全可靠性。安全保密技術(shù)是隨著信息技術(shù)、網(wǎng)絡技術(shù)，以及各種入侵與攻擊技術(shù)的發(fā)展不斷完善和提高的，一些最新的安全防護技術(shù)，如可信計算技術(shù)、內(nèi)網(wǎng)監(jiān)控技術(shù)等，可以極大地彌補傳統(tǒng)安全防護手段存在的不足，這就為我們降低安全保密管理的難度和成本，提高信息系統(tǒng)和信息網(wǎng)絡的安全可控性和可用性，奠定了技術(shù)基礎(chǔ)。因此，信息安全保密的技術(shù)防范體系，是構(gòu)建信息安全保密體系的一個重要組成部分，應該在資金到位和技術(shù)可行的情況下，盡可能采用最新的、先進的技術(shù)防護手段，這樣才能有效抵御不斷出現(xiàn)的安全威脅。六、信息安全保密的管理保障體系俗話說，信息安全是“三分靠技術(shù)，七分靠管理”。信息安全保密的管理保障體系，主要是從技術(shù)管理、制度管理、資產(chǎn)管理和風險管理等方面，加強安全保密管理的力度，使管理成為信息安全保密工作的重中之重。技術(shù)管理主要包括對泄密隱患的技術(shù)檢查，對安全產(chǎn)品、系統(tǒng)的技術(shù)測評，對各種失泄密事件的技術(shù)取證；制度管理主要是指各種信息安全保密制度的制定、審查、監(jiān)督執(zhí)行與落實；資產(chǎn)管理主要包括涉密人員的管理，重要信息資產(chǎn)的備份恢復管理，涉密場所、計算機和網(wǎng)絡的管理，涉密移動通信設(shè)備和存儲設(shè)備的管理等；風險管理主要是指保密安全風險的評估與控制?，F(xiàn)有的安全管理，重在保密技術(shù)管理，而極大地忽視了保密風險管理，同時在制度管理和資產(chǎn)管理等方面也存在很多問題，要么是管理制度不健全，落實不到位；要么是一些重要的資產(chǎn)監(jiān)管不利，這就給失竊密和遭受網(wǎng)絡攻擊帶來了人為的隱患。加強安全管理，不但能改進和提高現(xiàn)有安全保密措施的效益，還能充分發(fā)揮人員的主動性和積極性，使信息安全保密工作從被動接受變成自覺履行。七、信息安全保密的工作能力體系將技術(shù)、管理與標準規(guī)范結(jié)合起來，