學(xué)科教育論文-構(gòu)建信息安全保密體系摘要：信息安全保密已經(jīng)成為當(dāng)前保密工作的重點(diǎn)。本文從策略和機(jī)制的角度出發(fā)，給出了信息安全保密的服務(wù)支持、標(biāo)準(zhǔn)規(guī)范、技術(shù)防范、管理保障和工作能力體系，體現(xiàn)了技術(shù)與管理相結(jié)合的信息安全保密原則。關(guān)鍵詞：信息安全保密體系一、引言構(gòu)建信息安全保密體系，不能僅僅從技術(shù)層面入手，而應(yīng)該將管理和技術(shù)手段有機(jī)結(jié)合起來(lái)，用規(guī)范的制度約束人，同時(shí)建立、健全信息安全保密的組織體制，改變現(xiàn)有的管理模式，彌補(bǔ)技術(shù)、制度、體制等方面存在的不足，從標(biāo)準(zhǔn)、技術(shù)、管理、服務(wù)、策略等方面形成綜合的信息安全保密能力，如圖1所示。圖1信息安全保密的體系框架該保密體系是以信息安全保密策略和機(jī)制為核心，以信息安全保密服務(wù)為支持，以標(biāo)準(zhǔn)規(guī)范、安全技術(shù)和組織管理體系為具體內(nèi)容，最終形成能夠滿足信息安全保密需求的工作能力。二、信息安全保密的策略和機(jī)制所謂信息安全保密策略，是指為了保護(hù)信息系統(tǒng)和信息網(wǎng)絡(luò)中的秘密，對(duì)使用者（及其代理）允許什么、禁止什么的規(guī)定。從信息資產(chǎn)安全管理的角度出發(fā)，為了保護(hù)涉密信息資產(chǎn)，消除或降低泄密風(fēng)險(xiǎn)，制訂的各種綱領(lǐng)、制度、規(guī)范和操作流程等，都屬于安全保密策略。例如：禁止（工作或技術(shù)人員）將涉密軟盤或移動(dòng)存儲(chǔ)設(shè)備帶出涉密場(chǎng)所；嚴(yán)禁（使用人員將）涉密計(jì)算機(jī)（連）上互聯(lián)網(wǎng)；不允許（參觀人員）在涉密場(chǎng)所拍照、錄像等。信息安全保密機(jī)制，是指實(shí)施信息安全保密策略的一種方法、工具或者規(guī)程。例如，針對(duì)前面給出的保密策略，可分別采取以下機(jī)制：為涉密移動(dòng)存儲(chǔ)設(shè)備安裝射頻標(biāo)識(shí)，為涉密場(chǎng)所安裝門禁和報(bào)警系統(tǒng)；登記上網(wǎng)計(jì)算機(jī)的（物理）地址，實(shí)時(shí)監(jiān)控上網(wǎng)設(shè)備；進(jìn)入涉密場(chǎng)所前，托管所有攝錄像設(shè)備等。根據(jù)信息系統(tǒng)和信息網(wǎng)絡(luò)的安全保密需求，在制定其安全保密策略時(shí)，應(yīng)主要從物理安全保密策略，系統(tǒng)或網(wǎng)絡(luò)的訪問(wèn)控制策略，信息的加密策略，系統(tǒng)及網(wǎng)絡(luò)的安全管理策略，人員安全管理策略，內(nèi)容監(jiān)管策略等方面入手。在安全保密機(jī)制方面，應(yīng)主要從組織管理、安全控制和教育培訓(xùn)等方面，針對(duì)給出的安全保密策略，確定詳細(xì)的操作或運(yùn)行規(guī)程，技術(shù)標(biāo)準(zhǔn)和安全解決方案。三、信息安全保密的服務(wù)支持體系信息安全保密的服務(wù)支持體系，主要是由技術(shù)檢查服務(wù)、調(diào)查取證服務(wù)、風(fēng)險(xiǎn)管理服務(wù)、系統(tǒng)測(cè)評(píng)服務(wù)、應(yīng)急響應(yīng)服務(wù)和咨詢培訓(xùn)服務(wù)組成的，如圖2所示。其中，風(fēng)險(xiǎn)管理服務(wù)必須貫穿到信息安全保密的整個(gè)工程中，要在信息系統(tǒng)和信息網(wǎng)絡(luò)規(guī)劃與建設(shè)的初期，就進(jìn)行專業(yè)的安全風(fēng)險(xiǎn)評(píng)估與分析，并在系統(tǒng)或網(wǎng)絡(luò)的運(yùn)營(yíng)管理過(guò)程中，經(jīng)常性地開展保密風(fēng)險(xiǎn)評(píng)估工作，采取有效的措施控制風(fēng)險(xiǎn)，只有這樣才能提高信息安全保密的效益和針對(duì)性，增強(qiáng)系統(tǒng)或網(wǎng)絡(luò)的安全可觀性、可控性。其次，還要大力加強(qiáng)調(diào)查取證服務(wù)、應(yīng)急響應(yīng)服務(wù)和咨詢培訓(xùn)服務(wù)的建設(shè)，對(duì)突發(fā)性的失泄密事件能夠快速反應(yīng)，同時(shí)盡可能提高信息系統(tǒng)、信息網(wǎng)絡(luò)管理人員的安全技能，以及他們的法規(guī)意識(shí)和防范意識(shí)，做到“事前有準(zhǔn)備，事后有措施，事中有監(jiān)察”。加強(qiáng)信息安全保密服務(wù)的主要措施包括：借用安全評(píng)估服務(wù)幫助我們了解自身的安全性通過(guò)安全掃描、滲透測(cè)試、問(wèn)卷調(diào)查等方式對(duì)信息系統(tǒng)及網(wǎng)絡(luò)的資產(chǎn)價(jià)值、存在的脆弱性和面臨的威脅進(jìn)行分析評(píng)估，確定失泄密風(fēng)險(xiǎn)的大小，并實(shí)施有效的安全風(fēng)險(xiǎn)控制。采用安全加固服務(wù)來(lái)增強(qiáng)信息系統(tǒng)的自身安全性具體包括操作系統(tǒng)的安全修補(bǔ)、加固和優(yōu)化；應(yīng)用服務(wù)的安全修補(bǔ)、加固和優(yōu)化；網(wǎng)絡(luò)設(shè)備的安全修補(bǔ)、加固和優(yōu)化；現(xiàn)有安全制度和策略的改進(jìn)與完善等。部署專用安全系統(tǒng)及設(shè)備提升安全保護(hù)等級(jí)借助目前成熟的安全技術(shù)和產(chǎn)品來(lái)幫助我們提升整個(gè)系統(tǒng)及網(wǎng)絡(luò)的安全防護(hù)等級(jí)，可采用的產(chǎn)品包括防火墻、IDS、VPN、防病毒網(wǎng)關(guān)等。運(yùn)用安全控制服務(wù)增強(qiáng)信息系統(tǒng)及網(wǎng)絡(luò)的安全可觀性、可控性通過(guò)部署面向終端、服務(wù)器和網(wǎng)絡(luò)邊界的安全控制系統(tǒng)，以及集中式的安全控制平臺(tái)，增強(qiáng)對(duì)整個(gè)信息系統(tǒng)及網(wǎng)絡(luò)的可觀性，以及對(duì)使用網(wǎng)絡(luò)的人員、網(wǎng)絡(luò)中的設(shè)備及其所提供服務(wù)的可控性。加強(qiáng)安全保密教育培訓(xùn)來(lái)減少和避免失泄密事件的發(fā)生加強(qiáng)信息安全基礎(chǔ)知識(shí)及防護(hù)技能的培訓(xùn)，尤其是個(gè)人終端安全技術(shù)的培訓(xùn)，提高使用和管理人員的安全保密意識(shí)，以及檢查入侵、查處失泄密事件的能力。引入應(yīng)急響應(yīng)服務(wù)及時(shí)有效地處理重大失泄密事件具體包括：協(xié)助恢復(fù)系統(tǒng)到正常工作狀態(tài)；協(xié)助檢查入侵來(lái)源、時(shí)間、方法等；對(duì)網(wǎng)絡(luò)進(jìn)行安全評(píng)估，找出存在的安全隱患；做出事件分析報(bào)告；制定并貫徹實(shí)施安全改進(jìn)計(jì)劃。采用安全通告服務(wù)來(lái)對(duì)竊密威脅提前預(yù)警具體包括對(duì)緊急事件的通告，對(duì)安全漏洞和最新補(bǔ)丁的通告，對(duì)最新防護(hù)技術(shù)及措施的通告，對(duì)國(guó)家、軍隊(duì)的安全保密政策法規(guī)和安全標(biāo)準(zhǔn)的通告等。四、信息安全保密的標(biāo)準(zhǔn)規(guī)范體系信息安全保密的標(biāo)準(zhǔn)規(guī)范體系，主要是由國(guó)家和軍隊(duì)相關(guān)安全技術(shù)標(biāo)準(zhǔn)構(gòu)成的，如圖3所示。這些技術(shù)標(biāo)準(zhǔn)和規(guī)范涉及到物理場(chǎng)所、電磁環(huán)境、通信、計(jì)算機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)等不同的對(duì)象，涵蓋信息獲取、存儲(chǔ)、處理、傳輸、利用和銷毀等整個(gè)生命周期。既有對(duì)信息載體的相關(guān)安全保密防護(hù)規(guī)定，也有對(duì)人員的管理和操作要求。因此，它們是設(shè)計(jì)信息安全保密解決方案，提供各種安全保密服務(wù)，檢查與查處失泄密事件的準(zhǔn)則和依據(jù)。各部門應(yīng)該根據(jù)本單位信息系統(tǒng)、信息網(wǎng)絡(luò)的安全保密需求，以及組織結(jié)構(gòu)和使用維護(hù)人員的配置情況，制定相應(yīng)的，操作性和針對(duì)性更強(qiáng)的技術(shù)和管理標(biāo)準(zhǔn)。五、信息安全保密的技術(shù)防范體系信息安全保密的技術(shù)防范體系，主要是由電磁防護(hù)技術(shù)、信息終端防護(hù)技術(shù)、通信安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)和其他安全技術(shù)組成的。這些技術(shù)措施的目的，是為了從信息系統(tǒng)和信息網(wǎng)絡(luò)的不同層面保護(hù)信息的機(jī)密性、完整性、可用性、可控性和不可否認(rèn)性，進(jìn)而保障信息及信息系統(tǒng)的安全，提高信息系統(tǒng)和信息網(wǎng)絡(luò)的抗攻擊能力和安全可靠性。安全保密技術(shù)是隨著信息技術(shù)、網(wǎng)絡(luò)技術(shù)，以及各種入侵與攻擊技術(shù)的發(fā)展不斷完善和提高的，一些最新的安全防護(hù)技術(shù)，如可信計(jì)算技術(shù)、內(nèi)網(wǎng)監(jiān)控技術(shù)等，可以極大地彌補(bǔ)傳統(tǒng)安全防護(hù)手段存在的不足，這就為我們降低安全保密管理的難度和成本，提高信息系統(tǒng)和信息網(wǎng)絡(luò)的安全可控性和可用性，奠定了技術(shù)基礎(chǔ)。因此，信息安全保密的技術(shù)防范體系，是構(gòu)建信息安全保密體系的一個(gè)重要組成部分，應(yīng)該在資金到位和技術(shù)可行的情況下，盡可能采用最新的、先進(jìn)的技術(shù)防護(hù)手段，這樣才能有效抵御不斷出現(xiàn)的安全威脅。六、信息安全保密的管理保障體系俗話說(shuō)，信息安全是“三分靠技術(shù)，七分靠管理”。信息安全保密的管理保障體系，主要是從技術(shù)管理、制度管理、資產(chǎn)管理和風(fēng)險(xiǎn)管理等方面，加強(qiáng)安全保密管理的力度，使管理成為信息安全保密工作的重中之重。技術(shù)管理主要包括對(duì)泄密隱患的技術(shù)檢查，對(duì)安全產(chǎn)品、系統(tǒng)的技術(shù)測(cè)評(píng)，對(duì)各種失泄密事件的技術(shù)取證；制度管理主要是指各種信息安全保密制度的制定、審查、監(jiān)督執(zhí)行與落實(shí)；資產(chǎn)管理主要包括涉密人員的管理，重要信息資產(chǎn)的備份恢復(fù)管理，涉密場(chǎng)所、計(jì)算機(jī)和網(wǎng)絡(luò)的管理，涉密移動(dòng)通信設(shè)備和存儲(chǔ)設(shè)備的管理等；風(fēng)險(xiǎn)管理主要是指保密安全風(fēng)險(xiǎn)的評(píng)估與控制?，F(xiàn)有的安全管理，重在保密技術(shù)管理，而極大地忽視了保密風(fēng)險(xiǎn)管理，同時(shí)在制度管理和資產(chǎn)管理等方面也存在很多問(wèn)題，要么是管理制度不健全，落實(shí)不到位；要么是一些重要的資產(chǎn)監(jiān)管不利，這就給失竊密和遭受網(wǎng)絡(luò)攻擊帶來(lái)了人為的隱患。加強(qiáng)安全管理，不但能改進(jìn)和提高現(xiàn)有安全保密措施的效益，還能充分發(fā)揮人員的主動(dòng)性和積極性，使信息安全保密工作從被動(dòng)接受變成自覺(jué)履行。七、信息安全保密的工作能力體系將技術(shù)、管理與標(biāo)準(zhǔn)規(guī)范結(jié)合起來(lái)，