信息管理系統安全建設探討

摘 要：隨著互聯網的不斷發展，全球信息化已成為當今時代發展的大趨勢。近幾年我國信息化建設進程也全面加速，各企事業單位的信息化建設在提升服務能力、促進業務創新、加速管理體制改革等方面發揮著越來越重要的作用，信息管理系統已成為推動社會發展的重要力量。隨著信息化的發展，我們也將面臨著的信息安全方面的嚴峻考驗，對信息管理系統進行全面的安全規劃與建設，已經是一個迫在眉睫的問題，也是保證信息安全的及其重要的環節。本文從信息系統安全建設原則、安全建設內容和安全制度建設三方面較為詳細的探討了該問題。

關鍵詞：信息管理系統 信息安全 系統安全建設

中圖分類號：TP39 文獻標識碼：A 文章編號：1003-9082（2014）03-0001-02

一、引言

隨著全球信息化不斷在我國深化和發展，我國各地區、各行業使用信息系統開展工作的比例越來越大。一般來說，信息化程度越高，對信息管理系統的依賴性就越強，信息安全問題就越為突顯和嚴重。而信息安全問題也正逐漸成為影響各企事業單位業務能否正常運行、生產力能否快速發展的重要因素之一。但是由于我國信息化建設起步相對較晚，與國外先進國家相比，無論在信息安全意識還是信息安全防護技術等諸多方面都還存在較大差距，各企事業單位的信息安全基本上均處于一個相對較為薄弱的環節。一旦信息管理系統中的個人信息和敏感數據發生丟失或者泄漏，可能會對自身造成無可估量的損失。因此，重點保障信息管理系統安全已成為各行各業的首要任務。信息管理系統安全建設應該系統地、有條理地進行全面規劃，充分地、全方位地考慮安全需求和特性，從而達到各種安全產品、安全管理、整體安全策略和外部安全服務的統一，發揮其最大的效率，給予信息管理系統以最大保障。

二、信息管理系統安全建設原則

1.安全體系兼容性

安全體系有一個重要的思想是安全技術的兼容性，安全措施能夠和目前主流、標準的安全技術和產品兼容。

2.信息管理系統體系架構安全性

系統的系統架構已經成為保護系統安全的重要防線，一個優秀的系統體系架構除了能夠保證系統的穩定性以外，還能夠封裝不同層次的業務邏輯。各種業務組件之間的“黑盒子”操作，能夠有效地保護系統邏輯隱蔽性和獨立性。

3.傳輸安全性

由于計算機網絡涉及很多用戶的接入訪問，因此如何保護數據在傳輸過程中不被竊聽和撰改就成為重點考慮內的問題，建議采用傳輸協議的加密保護。

4.軟硬件結合的防護體系

系統應支持和多種軟硬件安全設備結合，構成一個立體防護體系，主要安全軟硬件設備為防火墻系統、防病毒軟件等。

5.可跟蹤審計

系統應內置多粒度的日志系統，能夠按照需要把各種不同操作粒度的動作都記錄在日志中，用于跟蹤和審計用戶的歷史操作。

6.身份確認及操作不可抵賴

身份確認對于系統來說有兩重含義，一是用戶身份的確認，二是服務器身份的確認，兩者在信息安全體系建設中必不可少。

7.數據存儲的安全性

系統中數據存儲方面可以采取兩道機制進行的保護，一是系統提供的訪問權限控制，二是數據的加密存放。

三、信息管理系統安全建設內容

按照系統安全體系結構，結合安全需求、安全策略和安全措施，并充分利用安全設備包括防火墻、入侵檢測、主機審計等，其建設內容主要有：

1.物理安全

機房要求保護計算機設備、設施（含網絡）以及其它媒體免遭地震、水災、火災、有害氣體和其它環境事故（如電磁污染、電源故障、設備被盜、被毀等）破壞。

2.網絡安全

利用現有的防火墻、路由器，實行訪問控制，按用戶與系統間的訪問規則，決定允許或拒絕用戶對受控系統進行資源訪問。同時加強端口、拒絕服務攻擊、網絡蠕蟲等的監控，保障系統網絡運行的暢通。

2.1使用防火墻技術

通過使用防火墻技術，建立系統的第二道安全屏障。例如，防止外部網絡對內部網絡的未授權訪問，建立系統的對外安全屏障。最好是采用不同技術的防火墻，增加黑客擊穿防火墻的難度。

2.2使用入侵監測系統

使用入侵監測系統，建立系統的第三道安全屏障，提高系統的安全性能，主要包括：監測分析用戶和系統的活動、核查系統配置和漏洞、評估系統關鍵資源和數據文件的完整性、識別已知的攻擊行為、統計分析異常行為、操作系統日志管理，并識別違反安全策略的用戶活動等功能。

3.主機安全

系統主機安全從主機身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范和資源控制等方面考慮。

3.1主機身份鑒別

對登錄操作系統的用戶進行身份設別和鑒別，對操作系統和數據庫系統設置復雜的登錄口令，并且定期進行更換。同時對操作系統和數據庫用戶分配不同的用戶分配不同用戶名。

3.2訪問控制

通過三層交換機和防火墻設置對系統服務器的訪問控制權限。對服務器實現操作系統和數據庫系統特權用戶的權限分離，限制默認賬號的訪問權限，重命名系統默認賬戶，修改默認密碼。

3.3安全審計

服務器操作系統本身帶有審計功能，要求審計范圍覆蓋到服務器上的每個操作系統用戶，審計內容包括重要用戶行為、系統資源異常使用并進行記錄。

信息管理系統也應考慮安全審計功能，記錄系統用戶行為，系統用戶操作事件日期、時間、類型、操作結果等。

3.4入侵防范

利用入侵檢測系統和防火墻相應功能，檢測對服務器入侵行為，記錄入侵源IP、攻擊的類型、攻擊的目標、攻擊時間，并在發生嚴重的入侵事件時提供報警。

3.5惡意代碼防范

在服務器上安裝服務器端防病毒系統，以提供對病毒的檢測、清除、免疫和對抗能力。

3.6資源控制

在核心交換機與防火墻配置詳細訪問控制策略，限制非法訪問。

4.應用安全

4.1安全審計

信息管理系統應提供覆蓋到每個用戶的安全審計功能，對應用系統重要安全事件進行審計，審計記錄內容至少包括事件的日期、時間、發起者信息、類型、描述和結果等，保證無法刪除、修改或覆蓋審計記錄。

4.2資源控制

信息管理系統應限制用戶對系統的最大并發會話連接數、限制單個賬戶的多重并發會話、限制某一時間段內可能的并發會話連接數。

5.數據安全

系統數據安全要求確保管理數據和業務數據等重要信息在傳輸過程和存儲過程中的完整性和保密性。對于數據庫中的敏感數據，需對數據項進行加密，保證管理數據、鑒別信息和重要業務數據在傳輸過程與存儲過程中完整性不受到破壞。

對數據進行定期備份，確保存儲過程中檢測到數據完整性錯誤時，具有數據恢復能力。必須采用至少兩種手段進行備份，備份手段以整體安全備份系統為主，配合其他備份手段，如GHOST、TRUE IMAGE或操作系統和數據庫管理系統本身的備份服務等。備份具體要求如下：

5.1各服務器專職管理員根據所管服務器的具體情況與整體安全備份系統專職管理員協調制訂好所管服務器的備份計劃及備份策略。

5.2整體安全備份系統專職管理人員必須組織各服務器專職管理員對各服務器每個季度進行一次整體災備（冷備）。若某臺服務器的配置需要發生較大變更，該服務器的專職管理員應在對該服務器實施變更前和圓滿完成變更后，分別對該服務器做一次整體災備，必要時整體安全備份系統專職管理員需對整體災備提供協助。

5.3數據備份主要分為月備份、周備份、日備份及日志（增量）備份。月備份每月對各服務器的所有系統、目錄及數據庫做一次全備（熱備）。周備份每周對各服務器的所有系統、目錄及數據庫做一次全備（熱備）。日備份每天對各服務器的重要目錄及數據庫做一次備份。日志（增量）備份針對數據更新較頻繁的服務器，每天進行多次增量備份。

5.4除日志（增量）備份外，其它各種備份以每一次獨立執行的備份作為一個獨立版本。每個獨立版本的備份必須存儲在獨立的備份介質上，不能混合存儲在同一套備份介質。整體災備（冷備）和月備份一般要求保留至少能覆蓋當年及上一年全年時間的所有版本，周備份要求保留至少最近5個版本，日備份要求保留至少最近4個版本，日志（增量）備份保留至少自上一次周備份以來的所有版本。

5.5備份介質應放在機房以外安全的地方保管。所有備份介質必須有明確、詳盡的標簽文字說明。

5.6整體安全備份系統專職管理員必須定時檢查備份作業的運行情況，備份異常情況應盡快查明原因，解決問題并在值班登記本上詳細記錄。

四、安全制度建設

建設嚴格、完整的基本管理制度包括安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理機制幾個方面。

安全管理制度：包括安全策略、安全制度、操作規程等的管理制度；管理制度的制定和發布；管理制度的評審和修訂。

安全管理機構：包括職能部門崗位設置；系統管理員、網絡管理員、安全管理員的人員配備；授權和審批；管理人員、內部機構和職能部門間的溝通和合作；定期的安全審核和安全檢查。

人員安全管理：包括人員錄用；人員離崗；人員考核；安全意識教育和培訓；外部人員訪問管理。

系統建設管理：包括系統定級；安全方案設計；產品采購和使用；自行軟件開發；外包軟件開發；工程實施；測試驗收；系統交付；系統備案；等級測評；安全服務商選擇。

系統運維管理：包括機房環境管理；信息資產管理；介質管理；設備管理；監控管理和安全管理中心；網絡安全管理；系統安全管理；惡意代碼防范管理；密碼管理；變更管理；備份與恢復管理；安全事件處置；應急預案管理。

五、結束語

信息化建設已經涉及到國民經濟和社會生活的各個領域，信息管理系統也成為各行各業信息化建設發展中的重要工具。如何保障信息管理系統安全從而保證信息安全是關系到國家安全、社會安全和行業安全的大問題。我們只有在實現信息安全的條件下，才能有效利用信息管理系統這個有力的工具提高生產力，推動社會的發展。本文通過對信息系統安全建設原則、安全建設內容和安全制度建設三方面較為詳細的探討，應該對于各企事業單位信息管理系統的安全建設有所幫助和借鑒。

參考文獻

[1] 林國恩，李建彬，信息系統安全，電子工業出版社，2010-03

[2] Dieter Gollmann， Computer Security 2 edition， Wiley， 2006

[3]《信息系統安全等級保護基本要求》，中華人民共和國國家標準，GB/T 22239-2008

[4] 尚邦治等，做好信息安全等級保護工作，中國衛生信息管理雜志，2012.5

[5] 王起全，企業安全生產信息管理系統構建研究，中國安全科學學報，2010.5

作者簡介： 羅光明，（1981.6—），講師，四川水利職業技術學院，主要研究方向計算機網絡、軟件工程。