科研院所信息安全策略設(shè)計實踐

伴隨著信息技術(shù)的便捷和效率，也帶來了信息安全的風(fēng)險和隱患，從公開的失泄密報道中可以看出，大部分失泄密事件都與網(wǎng)絡(luò)和信息化相關(guān)。科研院所本身就是一個信息安全失泄密事件的多發(fā)地帶，又加上“兩化融合”、“軍民融合”的深入推進，科研院所業(yè)務(wù)觸角伸向了民品產(chǎn)業(yè)和生產(chǎn)領(lǐng)域，信息系統(tǒng)也從單一的涉密信息系統(tǒng)擴展到非密信息系統(tǒng)、互聯(lián)網(wǎng)辦公、工業(yè)控制網(wǎng)絡(luò)等多重系統(tǒng)并存的復(fù)雜狀態(tài)，信息安全策略也必然從單一的涉密信息系統(tǒng)安全策略擴展到全方面的信息安全防護。

科研院所信息安全特點

廣義上的信息安全涉及物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、信息內(nèi)容安全、信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全及公共國家信息安全等多個方面，安全威脅來自于自然災(zāi)害、意外事故、人為錯誤、黑客行為、內(nèi)部泄密、外部泄密、信息丟失等多方面。在設(shè)計科研院所的信息安全體系時，除了考慮以上的安全威脅外，還必須根據(jù)行業(yè)的特殊性，關(guān)注以下幾個特點。

國家秘密的信息安全強制性。國家秘密是科研院所信息安全防護的最基本特點。保密法中明確定義了“存儲、處理國家秘密的計算機信息系統(tǒng)（以下簡稱涉密信息系統(tǒng)）按照涉密程度實行分級保護”指出了信息安全的強制性要求。

物理隔離的信息系統(tǒng)交換。涉密信息系統(tǒng)物理隔離要求，必然會產(chǎn)生不同信息系統(tǒng)之間信息交換需求。不同信息系統(tǒng)的安全防護等級與能力不一，外部病毒和木馬程序有可能通過信息交換進入涉密網(wǎng)，形成風(fēng)險漏洞，破壞物理隔離。

涉密人員在非密網(wǎng)絡(luò)中無意識失泄密。科研院所人員涉密人員較多，部分涉密人員既從事涉密研發(fā)，也從事民品研制。雖然工作的網(wǎng)絡(luò)進行了物理隔離，但由于人員是同一人，較容易在非密網(wǎng)絡(luò)上帶入涉密思維或是涉密研發(fā)成果，造成無意識的失泄密事件。因此，科研院所的非密網(wǎng)絡(luò)也是重點防護對象。

工控信息安全隱憂。從事軍民品生產(chǎn)業(yè)務(wù)的單位，生產(chǎn)加工設(shè)備一般不會專門區(qū)分軍用加工和民用加工。工控信息系統(tǒng)的安全防護手段和方法都較薄弱，如果與涉密信息系統(tǒng)相連，很容易成為“安全短板”，造成失泄密風(fēng)險。

外場試驗環(huán)境安全。科研工作與試驗息息相關(guān)，由于涉密網(wǎng)絡(luò)物理隔離的特點，外部試驗時計算機無法進行網(wǎng)絡(luò)連接，研究人員計算機的數(shù)據(jù)交換通過物理介質(zhì)完成，隨著介質(zhì)的頻繁交換，一方面數(shù)據(jù)版本的有效性控制難度加大，另一方面丟失的風(fēng)險也會呈數(shù)量級上升。

科研院所信息安全策略設(shè)計依據(jù)

1.信息安全設(shè)計依據(jù)

我國在制度層面規(guī)定了不同的信息系統(tǒng)保護要求。其中涉密信息系統(tǒng)主要依據(jù)《中華人民共和國保守國家秘密法》及《武器裝備科研生產(chǎn)單位保密資格認定辦法》、《涉及國家秘密的信息系統(tǒng)分級保護管理辦法》及技術(shù)要求和管理規(guī)范進行安全策略設(shè)計。非密信息系統(tǒng)和互聯(lián)網(wǎng)辦公主要依據(jù)《信息安全等級保護管理辦法》及《計算機信息系統(tǒng)安全保護等級劃分準則》進行安全策略設(shè)計。工業(yè)控制系統(tǒng)主要依據(jù)《工業(yè)控制系統(tǒng)信息安全防護指南》進行安全策略設(shè)計。

2.信息安全評價標準

信息安全是全球性的概念，在設(shè)計信息安全體系和策略時可以參考國際信息安全評價標準，如美國的信息安全評價標準TCSEC、國際通用信息安全評價標準（CC）、我國信息安全評價標準GB/T18336-2001，其中我國信息安全評價標準等同于CC。

表1 安全策略防護對象列表

3.信息安全策略設(shè)計準則

全面性原則：信息安全的問題遵循“木桶原理”，短板就是最危險的安全邊界。在信息安全策略設(shè)計時必須全方位地考慮企業(yè)或組織面臨的全部威脅，根據(jù)全部威脅設(shè)計預(yù)防和解決方案。

最小化原則：網(wǎng)絡(luò)系統(tǒng)提供的服務(wù)越多，安全漏洞和威脅也就越多。因此，應(yīng)當(dāng)關(guān)閉信息安全策略中沒有規(guī)定的網(wǎng)絡(luò)服務(wù)，以最小限度原則配置滿足安全策略定義的用戶權(quán)限。

均衡性原則：由于軟件漏洞、協(xié)議漏洞、管理漏洞和網(wǎng)絡(luò)威脅不可能被徹底消除，夸大信息安全漏洞和威脅會浪費投資、降低信息系統(tǒng)易用性；但忽視信息安全有可能造成組織損失，甚至威脅國家安全。信息安全策略需要在安全需求、易用性、效能和安全成本之間保持相對平衡，均衡的信息安全策略是成本約束和充分發(fā)揮網(wǎng)絡(luò)及信息系統(tǒng)效能的關(guān)鍵。

時效性原則：由于影響信息安全的因素隨時間變化，導(dǎo)致信息安全問題具有顯著和時效性。例如信息系統(tǒng)用戶增加、信任關(guān)系發(fā)生變化、網(wǎng)絡(luò)規(guī)模擴大、新安全漏洞和攻擊方法不斷暴露都是影響信息安全的重要因素，安全策略必須有確定的維護與更新機制。

信息安全策略設(shè)計與實例

1.安全策略分類

科研院所信息安全策略根據(jù)防護對象不同，可分為涉密信息系統(tǒng)安全策略、國際互聯(lián)網(wǎng)安全策略、工業(yè)控制設(shè)備和系統(tǒng)安全策略、涉密單機安全策略、輸入輸出安全策略等。每一類安全策略對應(yīng)的防護對象見表1。

除了以上安全策略外，根據(jù)信息系統(tǒng)特點，也可以增加非密信息系統(tǒng)、通訊、辦公自動化設(shè)備和聲像設(shè)備等不同對象的安全策略。

2.安全策略體系及內(nèi)容層級

科研院所信息安全策略按體系分可分三層：頂層為信息安全總體策略，針對安全問題提出對策和總體解決方案；制度規(guī)范層為信息安全制度、信息安全操作規(guī)程和安全產(chǎn)品配置策略，其中管理制度保障安全策略提出的對策和解決方案能夠正確執(zhí)行，操作規(guī)程和安全產(chǎn)品配置策略是安全策略在信息系統(tǒng)和設(shè)備上具體實現(xiàn)的操作步驟，屬于更細致的業(yè)務(wù)指導(dǎo)；操作層由不同的記錄表單組成，通過記錄表單來體現(xiàn)痕跡管理。這幾個部分既相互獨立又相互關(guān)聯(lián)，缺一不可。

科研院所信息安全策略按內(nèi)容分可為兩類：管理策略和技術(shù)防護策略，管理策略重點闡述本單位的安全保密目標、方針、組織機構(gòu)、人員、文件體系、系統(tǒng)過程管理等內(nèi)容；技術(shù)防護策略圍繞不同信息系統(tǒng)特點進行分類，可依據(jù)分級保護要求或等級保護要求統(tǒng)一格式，表2是涉密信息系統(tǒng)的安全策略內(nèi)容，其他信息系統(tǒng)也可參考使用。

表2 涉密信息系統(tǒng)安全策略內(nèi)容

表3 安全策略體系設(shè)計示例

3.安全策略體系設(shè)計實例

本章就運行安全的“病毒與惡意代碼查殺”防護內(nèi)容的策略設(shè)計進行示例，表3說明了信息系統(tǒng)安全策略不同層級闡述內(nèi)容的不同點。

總體策略是需要面向全體員工的，必須簡潔明了。內(nèi)容不宜太專業(yè)，闡述不能太長，以說明要點為主。

規(guī)章制度應(yīng)明確信息系統(tǒng)和設(shè)備的管理、使用、維護，以及保障安全策略相關(guān)的各項規(guī)定和要求。應(yīng)在總體策略的基礎(chǔ)上加以擴充說明，使全體員工明確誰做，誰監(jiān)督，做什么，違反后果等關(guān)鍵內(nèi)容。

操作規(guī)程明確實施安全策略的資源、設(shè)備、工具和人員，確定安全配置管理權(quán)限的劃分和變更流程，明確實施安全策略時應(yīng)當(dāng)履行的規(guī)定程序和具體步驟。

安全產(chǎn)品配置策略是提供給專業(yè)信息系統(tǒng)安全管理和運維人員使用，明確安全產(chǎn)品的配置和操作，明確實施安全產(chǎn)品策略時應(yīng)當(dāng)履行的規(guī)定程序和具體步驟。安全產(chǎn)品配置策略樣表設(shè)計可參考操作規(guī)程設(shè)計樣表。

記錄表單是體現(xiàn)使用人員的痕跡的，在設(shè)計時重點要考慮操作人、時間、操作內(nèi)容、審批人、操作依據(jù)等要素，可根據(jù)不同業(yè)務(wù)場景設(shè)計。

結(jié)論

三分技術(shù)，七分管理，安全問題很大程度上是對面臨的威脅和風(fēng)險認識不足，缺乏明確的安全方針、完整的信息安全管理制度和嚴格的落實執(zhí)行造成的。本文初步總結(jié)了工作實踐中的體會，提出了全方位的安全策略設(shè)計方法，分享了具體的操作實例，以期有益于讀者。