關于應對政府機關信息安全事件的幾點看法

摘 要：筆者通過一次信息安全事件的發生引申出去，介紹了信息安全事件的幾種類型，及對信息安全事件分級的想法。同時，為防范政府機關信息安全事件的發生，筆者描述了避免信息安全事件發生可以采取的幾項措施。

關鍵詞：信息安全事件 安全風險 生命周期 等級保護a

中圖分類號：F2 文獻標識碼：A 文章編碼：1672-3791（2013）06（b）-0014-02

2012年3月15日，上海市稅務局發生了一次信息安全事件，由于設備老化和供電異常，機房UPS設備發生嚴重故障，直接導致全市稅務大集中核心業務信息系統全面宕機。雖然相關部門立即開展了應急處置和全力搶修，當天晚上業務信息系統恢復正常運行。但是因為該事件導致全市納稅人無法正常辦理涉稅事項，且15日是3月法定納稅申報期最后一個工作日，稅務部門不得不通過網站、電視、廣播、12366稅務熱線等社會媒體發布公告，宣布延長當月納稅申報期至16日。

雖然這件事情已經過去一年多了，但它留給我們的卻是深刻地教訓。對于信息安全事件我們絕不能掉以輕心。隨著信息化的不斷發展推廣，現在政府機關應用信息系統來開展工作的范圍越來越廣泛，已經涉及到民生、經濟、政治、軍事各個領域。我國有這么多關鍵重要的信息系統在運行，試想如果發生信息安全事件，那么或多或少地會造成社會影響甚至政治影響。所以說，如何避免信息安全事件的產生，已經是擺在政府機關面前必須考慮的問題了。筆者作為一名長期在政府機關信息部門工作的技術人員，將在下面闡述我個人關于應對信息安全事件的一些看法。

1 信息安全事件的分類

為了分析信息安全事件，我們應當對可能發生的信息安全事件進行分類。依據事件發生的原因，我們將信息安全事件分為如下幾類。

1.1 外部環境異常引起的安全事件

第一類，是由于物理環境異常導致的安全事件。這里的物理環境主要指的是機房環境，比如承重、電源，空調，水患、鼠患等等。承重設計不達標不僅會造成信息安全事件，甚至可能造成人員傷亡；電源問題包括市電供應、UPS電源、防雷擊及靜電處理等，電源異常不僅會造成硬件設備的宕機，也可能引發火災、造成人員傷亡；空調問題會引起硬件設備的運行故障，從而影響信息系統運行；水患是指機房如果建在地勢低洼處或有不能密閉的窗戶，遇到大水或雨季，會因為雨水進入機房而導致硬件設備的運行故障；鼠患是指亂竄的老鼠會咬斷網線、引起短路、損壞硬件設施，所以滅鼠也是保障信息系統正常運行需要考慮的工作。以上這些都是信息系統穩定運行的基本要素，任何一個環節出現問題都會導致安全事件的發生。

1.2 網絡異常引起的安全事件

第二類，網絡異常導致的安全事件。現在政府機關的信息系統基本都是運行在網絡環境中的，單機運行的應用系統已經鮮有耳聞了，這個時候，網絡的重要性就顯而易見了。一旦網絡通信發生故障，即發生斷網、網絡擁塞等情況，那么信息系統也就癱瘓了。

1.3 硬件設施故障引起的安全事件

第三類、硬件設施故障引起的安全事件。比如存儲設備故障，主機服務器的故障、終端計算機的故障等。政府機關由于資金投入的限制，一方面這些硬件設施多半存在單點故障；另一方面，隱患發生時故障點常常不能被及時發現。舉個例子，某臺主機有數塊硬盤，考慮到數據安全技術人員對硬盤做了RAID5處理，以避免因硬盤損壞引起的數據丟失，但是如果硬盤損壞后未被發現不能被及時更換，那么當故障硬盤達到數量的極限時，系統還是會崩潰數據還是會丟失。在這里我必須指出，某些設備的故障將引起數據丟失或破壞，在數據的價值越來越被認可的今天，這是必須引起警惕的。

1.4 軟件異常引起的事件

第四類，軟件系統異常引起的故障。這里的軟件系統是指操作系統異常、應用軟件異常等。引起軟件系統異常的原因很多，比如：病毒感染、黑客侵入、升級異常、軟件沖突、安裝未經測試的補丁和升級包等。

1.5 人為事件

第五類，人為因素引起的安全事件。比如說，管理不善、職責不清、對重要系統設施監控不力，無視信息安全風險，不能將信息安全事件扼殺在萌芽期；誤操作，由于責任心不強或技術能力不夠，導致操作失誤；故意行為，由于人性的弱點，有的員工出于各種原因（對單位不滿或對領導同事不滿）故意造就信息安全事件以借機發泄，還有人為謀求利益竊取數據，甚或被策反加入間諜組織或與非法組織勾結，破壞國家利益。

2 信息安全事件的分級

不同類型的信息安全事件造成影響的范圍有大有小，這時我們應該對信息安全事件有一個分級，分級的原則我們可以參照國家關于信息系統等級保護政策的思路，也就是通過判斷影響對象及影響程度來分級。影響對象可以是：公民、法人和其他組織的合法權益；社會秩序、公共利益；國家安全。影響程度可以是：一般損害；嚴重損害；特別嚴重損害。（如表1）

表1只是介紹一種定級的方法，各單位可以根據自身特點定義自己的信息安全事件級別，細化定級標準。在定義了不同的事件級別之后，再設計不同的響應流程，也就是應急響應。這樣的話，在發生安全事件時，就可以按照不同級別的信息安全事件啟動應急響應流程，關于應急響應這里不作描述。

3 防患信息安全事件的建議

前面我描述了導致信息安全事件的因素及信息安全事件的分級，接下來根據政府機關的特點我將給出預防信息安全事件的幾點建議。具體如下。

3.1 明確職責

我認為在談關于信息系統的任何事之前，首先要明確職責，不僅是明確領導層的職責，也要明確執行者的職責。也就是說，職責必須細化到每個人。換個角度說的話，就是職責本身要進行細化，比如一個信息系統的建設是誰負責、后續運維是誰負責，假如硬件設施由A負責，那么A負責到什么程度呢，是不是只要硬件設施正常運行不發生故障就OK了？日常運維要管到什么程度呢？是不是要建立硬件設施的清單？這份清單是不是要更新？日常的運維操作是否要有記錄？在我看來，以上所有都應該在崗責體系中進行細化明確，只有明確了每個人的工作職責才能保證工作被落實，制度被落實。

3.2 完善制度

要想減少信息安全事件的發生，首先要有制度，國有國法家有家規，沒有規矩不成方圓，如果沒有制度，那就無章可循無法可依，發生信息安全事件之后也無法追究相關人員的責任。但是有些政府機關里的制度常常是只能掛在墻上看、放在會上念，有些單位的制度陳舊落后難操作，不能真正執行的制度是不能發揮其作用的。我認為一套好的信息安全管理制度應該分三個層次，第一層是總體性的制度策略或框架，第二層是具有操作指導意義的制度規范，第三層則是建設方案、運維手冊和使用說明等更為細化的文檔資料。有了完整的制度體系，我們還要定期對制度進行修訂，這樣才能讓制度始終符合實際狀況以便于操作落實。

3.3 在信息系統生命周期全方位考慮信息安全

因為信息系統是有生命周期的，也就是系統的需求設計、建設、更新、運維、廢棄5個階段，為此，我們應該在信息系統的全生命周期考慮信息安全問題，在每個階段我們都要考慮信息安全風險的規避問題。由于信息安全的概念是近些年才被提及和重視的，在實際工作中我們發現，政府機關的很多信息系統都是很早就開發出來在用的，隨著應用需求的不斷變化，這些老舊的信息系統不斷的在升級在更新在打補丁。由于這些信息系統開發之初還沒有信息安全的概念，所以即使發現系統存在這這樣那樣的安全風險也很難下手修補，常常因為系統性能存在瓶頸、存儲空間不夠、系統不夠穩定等原因不敢解決信息安全漏洞。所以，我們提倡在新建系統的過程中，全面考慮信息安全保障，有能力的單位應該解決在用信息系統的安全漏洞。

3.4 安全管理措施的部署

為避免信息安全風險，提高安全保障水平，我們必須采取一些安全管理措施。比如使用虛擬機技術提升主機服務器的運行性能；網絡雙線路鏈接、重要設備雙機熱備、雙路供電、管理員AB角，以避免單點故障；對系統進行安全加固，關閉不需要的服務進程及端口使服務最少化、啟用密碼策略、安裝重要補丁、開啟審計策略等等；為不同的管理員開啟不同的訪問權限，使用戶權限最小化；為不同的用戶開啟不同的網絡訪問鏈路，以進行訪問控制；在軟件系統進行運行前，對軟件系統開展源代碼審計，對準備安裝的升級包或補丁包進行測試；建立審計環節，對信息系統的建設運維開展審計；對重要的運維操作進行授權，以限制管理員權限的濫用等等。安全管理措施的全方位執行是減少信息安全事件發生的有力保障。

3.5 加強監控分析

信息安全的發生有時好像地震，地震在發生前可能有一些征兆，只是由于我們人力技術的限制無法探知。信息安全事件發生前也會有一些蛛絲馬跡，如果我們能采取某些措施進行監控，提前得知相關信息，那么我們就能更早地掌握信息安全風險，并采取措施避免事件的發生。現在信息安全領域的很多產品已經很成熟，像IDS、IPS、防火墻、防病毒、桌面安全管理、主機性能監控等等，我們應該選擇合適的產品或服務來監控我們的信息系統，同時，要注重對監控信息加以分析，以便及早發現風險并消滅隱患。

3.6 引入“等級保護”和安全評估

近幾年來，我國對信息安全的關注度越來越高，相關的管理部門也紛紛出臺了關于加強信息安全的文件要求，其中，等級保護制度是較為重要的政策。信息安全等級保護就是對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護。等級保護政策的出臺對于政府機關的信息安全工作有很強的指導意義，我們把信息系統按重要程度的不同進行劃分，把有限的財力和人力集中到重要信息系統的保障中。另外，安全評估工作是了解政府機關信息系統安全程度的重要途徑，只有明白自身的風險點并進行安全整改才能不斷鞏固信息系統的安全，以避免信息安全事件的發生。

3.7 應急演練

要想提高信息安全事件的應對能力，我們不得不提到應急演練的重要性。應急演練就是模擬事件的發生，演練事件發生后的補救措施。所以做好應急演練是極其必要的。不管做不做應急演練，應急方案是必須要有的，我認為應急方案也應該有幾個層次，首先要有一個總體方案，接著應該是對總體方案細化建立子方案，也就是不同類型的信息安全事件要有各自的應急方案。比如：機房環境應急方案、網絡應急方案、應用系統應急方案等。其中，不同的應用系統應該有不同的應急方案。有了應急方案之后，我們應該定期進行演練，以便熟悉應急操作程序，將信息安全事件產生的影響盡力減少。

3.8 備份重要數據及系統

為了避免信息安全事件帶來的影響，有條件的政府機關可以建立自己的容災備份系統，對重要信息系統建立雙套系統，建立熱備份或冷備份，如果有可能的話物理地址可以選取異地，以避免單點故障，提高自己應對風險的能力。如果財力有限，我們可以采用定期手工備份重要數據及系統的方法，并做好備份介質的管理工作。

3.9 加強人員管控

談到信息安全，有時候我們會忽略最重要的一個環節，就是人員的管控。大家知道，所有的信息系統都是人開發出發的，要提升信息安全能力，就應該增強人力資源，現在政府機關面臨的問題很多都是人手緊張，人員素質不高之類的問題，由于政府機關的人員工資都是由國家規定的，不能享受像外企或民企甚或國企那樣的高薪酬，很多高水平的技術人才都不愿意留在政府機關。很多技術骨干在遇到升職加薪的瓶頸后選擇離職跳槽，使人才流失情況也很嚴重。那么如何來盤活機關內部的計算機人才就是人事部門的一道難題了。很多時候，好不容易招聘過來的計算機人才，都被搶到業務部門做一線工作去了。因為現在的業務部門全是通過信息系統來操作工作的，有些上了年紀的員工對信息系統不熟練，導致很多業務部門都喜歡要懂計算機技術的人才。我認為考慮到現在信息化技術的使用程度和依賴程度，適當提高信息技術人員的福利待遇并保證信息部門的人才供給是應當被考慮的。另外，適當增加一些工會活動或團體活動，增加單位凝聚力，也能讓信息技術人員更熱愛自己的單位和崗位，愿意盡全力付出努力，以保證技術人員管理信息系統的穩定和安全。

4 結語

我國的政府機關承載著方方面面的國計民生，政府機關的信息系統運行的穩定與否直接影響我國政治、經濟、民生領域。信息安全事件是一種可能性，是一種隱患，我們不希望發生信息安全事件，那我們就要正確面對信息化事業，了解信息安全事件產生的根源，想辦法去避免它、解決它、應對它。希望本文所述的觀點能帶給讀者一些啟示。

參考文獻

[1]公安部信息安全等級保護評估中心編著.信息安全等級保護政策培訓教程[M].電子工業出版社出版.