美國地調局自動信息系統安全管理及其對國家地質資料數據中心建設的啟示

〔摘 要〕美國地調局非常重視其包括網絡服務在內的自動信息系統安全，以保護美國地調局所有信息技術設備及其所處理的數據。美國地調局自動信息系統敏感等級分為4個等級，對所有自動信息系統制定了相應的安全管理措施，包括安全規劃、風險管理、信息資源的保護、應急計劃、敏感應用程序安全、職工安全培訓、人事安全及報告制度等。通過研究，對我國國家地質資料數據中心建設安全工作提出了參考性建議。

〔關鍵詞〕美國地調局；自動信息系統；安全；啟示

〔中圖分類號〕G250.74 〔文獻標識碼〕B 〔文章編號〕1008-0821(2009)03-0212-04

美國地調局將提供地質信息列入其戰略計劃或工作計劃，強調要利用網絡和信息技術及時有效地為用戶提供綜合、客觀的地質信息服務[1]，同時非常重視其包括網絡服務在內的自動信息系統安全管理[2]。自動信息系統安全管理是指用來保護自動信息系統資源免于丟失、破壞或濫用所做的管理控制和保衛工作。研究美國地調局自動信息系統安全管理，對我國國家地質資料數據中心安全管理具有重要的借鑒和指導作用。

1 美國地調局自動信息系統安全管理

1.1 美國地調局自動信息系統安全管理方針

保護美國地調局所有信息技術設施，避免被損失、破壞、偷竊和濫用；保護所有美國地調局自動信息系統所處理的數據，避免發生未被授權的泄露、修改或破壞；自動信息系統所產生、處理、存儲或傳輸信息受保護的等級與其敏感等級相一致；對違反聯邦、部門或局關于自動信息系統安全法規者將受到相應的行政、法律制裁。

1.2 美國地調局自動信息系統敏感等級分類

敏感自動信息系統是指運行處理敏感數據的計算機應用程序的自動信息系統(設施、硬件、操作系統軟件、通信系統，等)，其中敏感數據是指由于數據的故意或意外泄露、更改或破壞會導致損失或危害的風險及數量較大而要求保護的數據。美國地調局為了給每一個信息系統采取相應的保護措施，對其給定了相應的敏感等級，并要求一、二級敏感信息系統應到美國地調局信息系統管理中備案，而0級敏感信息系統不需備案。0級敏感信息相當于公開信息；一、二級信息系統的信息不屬于美國國家規定的保密信息，是根據其工作任務、商業目的及其價值大小等而設定；三級敏感信息系統的信息才是真正的保密信息。

0級(非敏感性)自動信息系統:自動信息系統上的信息不準確、更改、泄露或不能利用對美國地調局的任務、功能、形象或榮譽的影響可以忽略不計。即使有影響，影響也是微不足道，或者導致僅僅很小的有形資產或資源的損失。

一級敏感自動信息系統:自動信息系統上的信息不準確、更改、泄露或不能利用對美國地調局的任務、功能、形象或榮譽影響較小。系統安全方面出現問題可能對有形資產或資源的損失造成潛在的不利影響。

二級敏感自動信息系統:自動信息系統上的信息不準確、更改、泄露或不能利用對美國地調局的任務、功能、形象或榮譽可能產生重要的不利影響。系統安全出現問題可能導致美國地調局不能完成其1個或多個計劃任務或商業功能，或者導致重大的有形資產和資源損失。系統生命周期的開支一般超過1千萬美元。

三級敏感自動信息系統:自動信息系統處理機密信息。一般由提供美國地調局機密信息的聯邦機構制定自動信息處理要求。根據機密信息提供者建立的要求，系統的鑒定及認可應備案。根據其敏感性再分為類似于秘密、機密、絕密3個等級。

1.3 自動信息系統安全規劃構成

確定潛在的威脅和薄弱點，并建立全面的安全保護制度減少威脅和薄弱點，才能使自動信息系統安全計劃有效，為此美國地調局建立了自動信息系統安全規劃。

1.3.1 安全規劃

美國地調局認為全面的安全規劃是任何一個自動信息系統安全管理的重要部分。美國地調局支持美國地質調查局所有自動信息系統活動，認為安全規劃是安全管理實施過程不可分割的部分:(1)安全規劃為年度預算的一部分，保證所有自動信息資源有經費支持，使自動信息系統資源得到充分的保護；(2)處理敏感信息的所有自動信息系統(設施和應用程序)應有正式安全規劃。在新的敏感自動信息系統開發階段必須準備初始計劃和原系統升級年度計劃，以反映系統安全執行情況和/或主要變化。在計劃中提供的內容要反映系統的大小和復雜性，規定系統的基本內容和格式應遵守當前最流行的美國國家管理和預算局所提供的指導方針。

1.3.2 風險管理

所有擁有或管理自動信息系統的美國地調局機構必須執行和維護風險管理計劃，以幫助相應的安全保護措施到位以保護好所有的信息資源。規定管理人員應知道他們信息資源的潛在威脅和薄弱點。一旦知道潛在威脅、薄弱點和潛在的安全保護選項，管理上就應確定各種安全保護選項的必要措施和經費/利益。風險管理一般包括風險分析、安全措施的實施和風險分析頻率3個方面的內容:

(1)風險分析

風險分析是設施或敏感應用程序定期檢查或應急計劃處理的組成部分。美國地調局要求在現存的計算機設施或敏感應用程序發生主要變化時或在批準敏感自動信息系統設計之前作風險分析。風險分析的范圍、復雜性和頻率與自動信息系統處理數據的敏感性和被保護資源的價值相稱。風險分析過程步驟如下:(a)估計自動信息系統(硬件、軟件、數據、設備、人員)資產(現存的或計劃的)和系統資源相關的費用(價值)，包括數據敏感性的確定；(b)識別和評定自動信息系統的潛在威脅，包括破壞正常操作、導致系統資產破壞或損失，或其他自然災害或危險因素和人為因素。并根據每一個潛在威脅產生的可能性分出威脅等級；(c)找出脆弱點，包括確定或找出在敏感應用程序、自動信息系統或信息技術設備中可能導致安全威脅的弱點或缺點；(d)評估潛在損失，在確定威脅和脆弱點之后，還應將包括恢復損失和破壞數據的潛在損失定量化；(e)根據遇到的威脅和脆弱點，確定可能的安全保護措施及其相關費用。確定的安全保護費用應與未實施安全保護措施所造成的預期損失的費用相比較。如果安全保護措施花費超過了預期保護利益，那么不應采取安全保護措施。

(2)安全措施的實施

在風險分析完成之后，管理部門必須決定是否執行成本合算的安全保護或接受這種風險。如果風險分析表明接受這種風險不符合聯邦、部門或美國地調局的有關規定，那么必須采取必要的保護措施以最低限度符合這些規定:(a)利用風險分析結果，設備擁有者和敏感應用程序擁有者應選擇具體的最大限度保護設施和數據的安全措施；(b)除違反法規問題外，管理部門可以選擇接受與找出的威脅或脆弱點相關的風險。如果這樣，自動信息系統所有者必須簽訂一個聲明，承認他們了解不執行正確的推薦行動相關的風險。

(3)風險分析頻率

美國地調局對風險分析的次數做了相應的規定:對美國地調局所有計算機設施至少5年1次；對敏感應用程序和敏感計算機設施至少3年1次；在敏感應用程序或任何計算機設施進行實質性改變時應進行風險分析；在計劃一個新的系統或設施開發時，應進行風險分析。

1.3.3 信息資源的保護

為了使美國地調局信息資源從風險分析中確定的風險和脆弱點得到合理的保護，自動信息系統所有者必須采取具體的保護措施。一般考慮如下類型的安全保護措施保護信息資源:(1)物理安全:采取適當的操作和規程減少自動信息系統受到的諸如偷盜、意外或故意破壞、非授權或非法訪問或非授權信息泄露等威脅；(2)技術安全:使用適當的保護措施(如:密碼、個人ID識別裝置、殺毒軟件、訪問利用控制表、用戶活動監測軟件、加密術或回撥調制調節器)防止非授權的訪問或非法的自動信息系統軟件或數據的使用；(3)管理安全:制定或分發詳細的指導規程使所有自動信息系統得到正確的保護。

1.3.4 應急計劃

為了使服務中斷等故障最小，應對每個計算機設備和敏感應用程序開發一個應急計劃。定期評估每一個應急計劃，確定是否需要對其修改以反映系統或人員情況變化。任何應急計劃的復雜性和范圍要與自動信息系統所處理數據的敏感等級相稱。應急計劃至少包括下列項目:(1)數據和軟件的備份存儲器和恢復規程；(2)與緊急事件相對應的處理規程、可選處理能力的說明，在必要情況下轉移操作到另外一個可選擇操作的程序等恢復操作的過程；(3)計算機設施應急計劃與任何敏感應用程序應急計劃應具一致性；(4)定期檢查應急計劃。

1.3.5 敏感應用程序安全

美國國家管理和預算局A-130通告要求，負責開發和維護處理敏感數據的美國地調局計算機應用程序的管理者應建立管理控制方法，對所有新的應用程序和現存應用程序的重大變化應采取相應的物理、技術和管理安全保護措施。敏感應用程序管理控制至少包括:(1)安全技術條件:根據預先的風險分析結果，在應用程序獲取或正式開發之前，應規定或批準安全要求和安全技術條件。為一個應用程序規定和批準安全規程時，應把對處理敏感應用程序的計算機設施進行的風險分析和管理控制檢查的結果考慮進去；(2)設計審查和系統測試:在執行敏感應用程序之前應進行設計評審和系統測試，使安全保護符合批準的安全技術條件；(3)認證:在執行應用程序之前，新的或實質性改進的敏感應用程序的所有者或管理者應向局自動信息系統安全行政主管書面證明，證明其符合所有現行的自動信息系統方針、法規、標準，同時系統測試的結果證實配備的安全保護措施充分。認證過程包括對應用程序管理和安全控制的評價；(4)定期重新認證:所有敏感應用程序必須每3年認證1次。

1.3.6 計算機安全知識培訓活動

對所有涉及在美國地質調查局之內或監督之下的每一個敏感聯邦信息系統管理、使用或操作的職員，美國地質調查局為他們提供定期計算機安全知識強制性的培訓和公認的計算機安全鍛煉。所有使用、管理和操作敏感自動信息系統的新職員在他們上崗60天之內必須接受計算機安全知識培訓。培訓用來增強職員了解計算機系統的威脅和薄弱點，強調保護美國地調局自動信息資源和正確使用他們的資源的責任。計算機安全培訓應有證明文件，并保留在每一個職工的正式個人檔案中。計算機安全知識培訓包括:(1)基本知識培訓:使職工對威脅和薄弱點產生敏感性，認識保護數據、信息的必要性和處理他們的方法；(2)高級培訓:為敏感自動信息系統所有者/管理者、管理員、信息技術人員和計算機安全管理員提供相關能力，使他們能履行風險分析、制定自動信息系統保護計劃、執行安全措施或評價現存安全系統的有效性。

1.3.7 報告安全事故

對造成自動信息系統技術、數據和服務設施網的破壞，或導致敏感自動信息系統欺騙、或非授權的泄露等安全事故，所有職員和協議人員有責任向上級報告相關事故:(1)包括自動信息系統設備的偷竊或惡意破壞、欺騙、擾亂國家安全、或其他濫用自動信息資源的事故必須立即依據所處環境和位置向局安全官員和/或其他地方執法人員報告；(2)包括試圖非法訪問利用任何美國地調局自動信息資源、惡意密碼事故或敏感信息的非法泄露等事故必須立即向自動信息系統安全管理人員和向局自動信息系統安全行政主管官員報告。

1.4 人事安全

美國地調局規定各部門建立方針或規程，屏蔽所有參與敏感計算機系統設計、開發、操作或維護人員及可以使用敏感數據的人員。屏蔽等級根據數據敏感等級以及由個人造成的風險等級、損失或危害大小而定。所有負有管理、設計、開發、操作、維護或使用美國地調局任何計算機系統的任何職位的人員必須賦予與數據敏感等級、風險大小及由個人導致的損失或危害程度大小相匹配的風險責任。美國地調局所有計算機系統使用者必須有適當的背景調查，所要求的調查必須與所設定崗位的敏感等級相匹配。

1.5 年度報告制度

美國地調局規定了自動信息安全管理規定的年度報告制度。每一個分機構自動信息系統安全官員每年應向局自動信息系統安全管理行政官員報告現行設備及敏感應用程序安全職員名單。對每一個設施或敏感應用程序至少必須提供以下信息:安全職員及候選人姓名和電話號碼、設施和敏感應用程序的名稱及地址、每一職員所要求安全培訓的水平。這些最新列表每年9月交給局自動信息系統安全行政管理官員。

人事人員要向局自動信息系統安全行政管理者提供以經濟年度為基礎的美國地調局安全知識培訓情況。報告將包括如下信息:在財政年度期間，接受基本知識和/或全面計算機安全培訓的職員和協議人員(非管理)的數量、在財政年度期間接收計算機安全知識培訓的管理人員數量。另外，每分機構自動信息安全官員應向局自動信息系統安全管理者提供下一個財政年度里在上述類目中需要接受培訓職員和協議人員的數量。每年九月一日將報告交到局自動信息系統安全行政管理部門。

敏感自動信息系統所有者有責任維護他們的敏感信息系統安全規劃。敏感自動信息系統所有者每年對他們分機構自動信息系統安全管理人員的更新材料及信息系統更新情況上報局自動信息系統安全管理部門。更新計劃應反映自動信息系統硬件、軟件或功能的主要變化、安全執行情況，系統認證或重新認證計劃、應急計劃的檢查計劃。

2 對我國國家地質資料數據中心建設安全管理的啟示

筆者認為美國地調局自動信息系統安全管理中好的方法對我國國家地質資料數據中心建設中安全管理有借鑒意義。國家地質資料數據中心的安全管理應采取如下的安全管理措施:

2.1 建立國家地質資料數據中心安全規劃

安全規劃是國家地質資料數據中心建設方案中不可分割的部分，同時安全規劃應是地質資料管理年度預算的一部分，安全管理需要有穩定的項目經費支持，使信息資源可以得到充分的保護。

2.2 應進行國家地質資料數據中心風險分析

國家地質資料數據中心風險分析的范圍、頻率應根據地質資料密級及所保護資源的價值而定。風險分析內容包括:(1)估計系統資產及資源的價值；(2)找出存在的威脅及脆弱點；(3)根據存在的威脅及弱點確定相應的保護措施及經費；(4)制定應急計劃，一旦出現緊急情況，采用應急方案使服務正常進行。應急計劃的復雜性和范圍應與所處理資料的密級相稱。

2.3 采取措施保護國家地質資料數據中心的數據資源

地質資料數據中心的信息資源是我國的基礎地質信息，應采取類似美國地調局相似的物理安全、技術安全及管理安全措施保護數據資源。需要引起重視的是在網絡服務時也應像美國地調局那樣防止非授權的訪問或非法的數據資源的使用，作為國家基礎地質信息的地質資料很多信息是屬于內部資料范疇，同時還存在知識產權等相關問題，在用戶范圍無法控制的情況下通過外網向全世界提供實為不妥。美國地調局重視自身利益的保護，大部分數據資源需要一定費用才提供[3]。美國地調局網絡服務時用戶(單位或個人)需要申請，經審查同意后授予用戶ID、密碼及有效期，同時對于部分用戶根據情況簽訂相應的協議[4]。對于網上公開的免費數據資源，美國內務部及美國地調局宣稱他們不能控制和不能保證所連網址包含數據的準確性、可靠性、相關性、及時性及完整性；也不授權所連接網址材料的版權使用，用戶必須從所連網址的主辦者那里得到相關權限才能使用[5]。美國地調局的這些措施值得我們借鑒。

2.4 應加強計算機安全知識培訓

應對國家地質資料數據中心工作人員制定相應的計算機安全教育與培訓計劃，讓他們知道計算機系統的威脅和薄弱點，知道如何保護數據中心資源和正確履行崗位職責。同時培訓經費應納入管理預算之中。

2.5 重視國家地質資料數據中心的人事安全

數據庫管理人員根據管理資料密級及價值應有相應等級的個人知識和其他方面的背景調查，應改變任何背景的人員都可以從事數據管理的觀念，尤其是重要數據庫的管理。在外網中地質資料目錄里應屏蔽參與涉密數據管理、開發人員的姓名及單位，尤其參與重要數據庫建設人員名單。地質資料形成單位資料目錄上網，方便了地質資料服務，但是從信息安全看，提供資料單位多反而不利于信息安全管理，同時各地質資料形成單位資料目錄上外網，有可能助長形成單位為了自身利益不保質保量地按《地質資料管理條例》向國家匯交地質資料等負面影響，因此筆者認為資料形成單位目錄上外網及可能產生的負面影響需要進行深入研究。

2.6 建立國家地質資料數據中心安全管理年報制度

在國家地質資料數據中心管理年報中增加安全管理的內容，報告安全培訓情況及經費預算、管理人員情況、設備和應用程序的重要變化情況及安全管理計劃。同時對于數據和設施破壞，欺騙或非授權的數據泄露、惡意密碼事故、非法訪問數據或涉密資料泄露等安全事故應立即向上級主管部門及當地司法機關報告。

參考文獻

[1]姜作勤，馬智民，楊東來，等.地質信息服務體系框架研究[J].中國地質，2007，34(1):173-178.

[2]U.S.Geological Survey.Automated Information Systems Security-General Requirements[EB/OL].http:∥www.usgs.gov/usgs-manual/600/600-5.html，2007-04-12.

[3]馬智民，呂艷紅，張岱瓊，等.主要發達國家地質調查機構信息化跟蹤報告——美國地調局[R].北京:中國地質調查局發展研究中心，2007:51-90.

[4]U.S.Geological Survey.Control of the Registration and Deletion of Computer User Identifications(User IDs)[EB/OL].http:∥www.usgs.gov/usgs-manual/600/600-2.html，2007-04-12.

[5]Geodata.gov Policies[EB/OL].http:∥gos2.geodata.gov/gos/static/default/policies.htm，2007-04-12.