構(gòu)建信息安全保密體系

1、構(gòu)建信息平安保密體系摘要：信息平安保密已經(jīng)成為當(dāng)前保密工作的重點。本文從策略和機制的角度出發(fā)，給出了信息平安保密的效勞支持、標準標準、技術(shù)防范、管理保障和工作才能體系，表達了技術(shù)與管理相結(jié)合的信息平安保密原那么。關(guān)鍵詞：信息平安保密體系一、引言構(gòu)建信息平安保密體系，不能僅僅從技術(shù)層面入手，而應(yīng)該將管理和技術(shù)手段有機結(jié)合起來，用標準的制度約束人，同時建立、健全信息平安保密的組織體制，改變現(xiàn)有的管理形式，彌補技術(shù)、制度、體制等方面存在的缺乏，從標準、技術(shù)、管理、效勞、策略等方面形成綜合的信息平安保密才能，如圖1所示。圖1信息平安保密的體系框架該保密體系是以信息平安保密策略和機制為核心，以信息平安保

2、密效勞為支持，以標準標準、平安技術(shù)和組織管理體系為詳細內(nèi)容，最終形成可以滿足信息平安保密需求的工作才能。二、信息平安保密的策略和機制所謂信息平安保密策略，是指為了保護信息系統(tǒng)和信息網(wǎng)絡(luò)中的機密，對使用者及其代理允許什么、制止什么的規(guī)定。從信息資產(chǎn)平安管理的角度出發(fā)，為了保護涉密信息資產(chǎn)，消除或降低泄密風(fēng)險，制訂的各種綱領(lǐng)、制度、標準和操作流程等，都屬于平安保密策略。例如：制止工作或技術(shù)人員將涉密軟盤或挪動存儲設(shè)備帶出涉密場所；嚴禁使用人員將涉密計算機連上互聯(lián)網(wǎng)；不允許參觀人員在涉密場所拍照、錄像等。信息平安保密機制，是指施行信息平安保密策略的一種方法、工具或者規(guī)程。例如，針對前面給出的保密策略

3、，可分別采取以下機制：為涉密挪動存儲設(shè)備安裝射頻標識，為涉密場所安裝門禁和報警系統(tǒng)；登記上網(wǎng)計算機的物理地址，實時監(jiān)控上網(wǎng)設(shè)備；進入涉密場所前，托管所有攝錄像設(shè)備等。根據(jù)信息系統(tǒng)和信息網(wǎng)絡(luò)的平安保密需求，在制定其平安保密策略時，應(yīng)主要從物理平安保密策略，系統(tǒng)或網(wǎng)絡(luò)的訪問控制策略，信息的加密策略，系統(tǒng)及網(wǎng)絡(luò)的平安管理策略，人員平安管理策略，內(nèi)容監(jiān)管策略等方面入手。在平安保密機制方面，應(yīng)主要從組織管理、平安控制和教育培訓(xùn)等方面，針對給出的平安保密策略，確定詳細的操作或運行規(guī)程，技術(shù)標準和平安解決方案。三、信息平安保密的效勞支持體系信息平安保密的效勞支持體系，主要是由技術(shù)檢查效勞、調(diào)查取證效勞、風(fēng)險

4、管理效勞、系統(tǒng)測評效勞、應(yīng)急響應(yīng)效勞和咨詢培訓(xùn)效勞組成的，如圖2所示。其中，風(fēng)險管理效勞必須貫穿到信息平安保密的整個工程中，要在信息系統(tǒng)和信息網(wǎng)絡(luò)規(guī)劃與建立的初期，就進展專業(yè)的平安風(fēng)險評估與分析，并在系統(tǒng)或網(wǎng)絡(luò)的運營管理過程中，經(jīng)常性地開展保密風(fēng)險評估工作，采取有效的措施控制風(fēng)險，只有這樣才能進步信息平安保密的效益和針對性，增強系統(tǒng)或網(wǎng)絡(luò)的平安可觀性、可控性。其次，還要大力加強調(diào)查取證效勞、應(yīng)急響應(yīng)效勞和咨詢培訓(xùn)效勞的建立，對突發(fā)性的失泄密事件可以快速反響，同時盡可能進步信息系統(tǒng)、信息網(wǎng)絡(luò)管理人員的平安技能，以及他們的法規(guī)意識和防范意識，做到“事前有準備，事后有措施，事中有監(jiān)察。加強信息平安保

5、密效勞的主要措施包括：借用平安評估效勞幫助我們理解自身的平安性通過平安掃描、浸透測試、問卷調(diào)查等方式對信息系統(tǒng)及網(wǎng)絡(luò)的資產(chǎn)價值、存在的脆弱性和面臨的威脅進展分析評估，確定失泄密風(fēng)險的大小，并施行有效的平安風(fēng)險控制。采用平安加固效勞來增強信息系統(tǒng)的自身平安性詳細包括操作系統(tǒng)的平安修補、加固和優(yōu)化；應(yīng)用效勞的平安修補、加固和優(yōu)化；網(wǎng)絡(luò)設(shè)備的平安修補、加固和優(yōu)化；現(xiàn)有平安制度和策略的改進與完善等。部署專用平安系統(tǒng)及設(shè)備提升平安保護等級借助目前成熟的平安技術(shù)和產(chǎn)品來幫助我們提升整個系統(tǒng)及網(wǎng)絡(luò)的平安防護等級，可采用的產(chǎn)品包括防火墻、IDS、VPN、防病毒網(wǎng)關(guān)等。運用平安控制效勞增強信息系統(tǒng)及網(wǎng)絡(luò)的平安可

6、觀性、可控性通過部署面向終端、效勞器和網(wǎng)絡(luò)邊界的平安控制系統(tǒng)，以及集中式的平安控制平臺，增強對整個信息系統(tǒng)及網(wǎng)絡(luò)的可觀性，以及對使用網(wǎng)絡(luò)的人員、網(wǎng)絡(luò)中的設(shè)備及其所提供效勞的可控性。轉(zhuǎn)貼于論文聯(lián)盟.ll.加強平安保密教育培訓(xùn)來減少和防止失泄密事件的發(fā)生加強信息平安根底知識及防護技能的培訓(xùn)，尤其是個人終端平安技術(shù)的培訓(xùn)，進步使用和管理人員的平安保密意識，以及檢查入侵、查處失泄密事件的才能。引入應(yīng)急響應(yīng)效勞及時有效地處理重大失泄密事件詳細包括：協(xié)助恢復(fù)系統(tǒng)到正常工作狀態(tài)；協(xié)助檢查入侵來源、時間、方法等；對網(wǎng)絡(luò)進展平安評估，找出存在的平安隱患；做出事件分析報告；制定并貫徹施行平安改進方案。采用平安通告

7、效勞來對竊密威脅提早預(yù)警詳細包括對緊急事件的通告，對平安破綻和最新補丁的通告，對最新防護技術(shù)及措施的通告，對國家、軍隊的平安保密政策法規(guī)和平安標準的通告等。四、信息平安保密的標準標準體系信息平安保密的標準標準體系，主要是由國家和軍隊相關(guān)平安技術(shù)標準構(gòu)成的，如圖3所示。這些技術(shù)標準和標準涉及到物理場所、電磁環(huán)境、通信、計算機、網(wǎng)絡(luò)、數(shù)據(jù)等不同的對象，涵蓋信息獲娶存儲、處理、傳輸、利用和銷毀等整個生命周期。既有對信息載體的相關(guān)平安保密防護規(guī)定，也有對人員的管理和操作要求。因此，它們是設(shè)計信息平安保密解決方案，提供各種平安保密效勞，檢查與查處失泄密事件的準那么和根據(jù)。各部門應(yīng)該根據(jù)本單位信息系統(tǒng)、信

8、息網(wǎng)絡(luò)的平安保密需求，以及組織構(gòu)造和使用維護人員的配置情況，制定相應(yīng)的，操作性和針對性更強的技術(shù)和管理標準。五、信息平安保密的技術(shù)防范體系信息平安保密的技術(shù)防范體系，主要是由電磁防護技術(shù)、信息終端防護技術(shù)、通信平安技術(shù)、網(wǎng)絡(luò)平安技術(shù)和其他平安技術(shù)組成的。這些技術(shù)措施的目的，是為了從信息系統(tǒng)和信息網(wǎng)絡(luò)的不同層面保護信息的機密性、完好性、可用性、可控性和不可否認性，進而保障信息及信息系統(tǒng)的平安，進步信息系統(tǒng)和信息網(wǎng)絡(luò)的抗攻擊才能和平安可靠性。平安保密技術(shù)是隨著信息技術(shù)、網(wǎng)絡(luò)技術(shù)，以及各種入侵與攻擊技術(shù)的開展不斷完善和進步的，一些最新的平安防護技術(shù)，如可信計算技術(shù)、內(nèi)網(wǎng)監(jiān)控技術(shù)等，可以極大地彌補傳統(tǒng)

9、平安防護手段存在的缺乏，這就為我們降低平安保密管理的難度和本錢，進步信息系統(tǒng)和信息網(wǎng)絡(luò)的平安可控性和可用性，奠定了技術(shù)基矗因此，信息平安保密的技術(shù)防范體系，是構(gòu)建信息平安保密體系的一個重要組成部分，應(yīng)該在資金到位和技術(shù)可行的情況下，盡可能采用最新的、先進的技術(shù)防護手段，這樣才能有效抵御不斷出現(xiàn)的平安威脅。六、信息平安保密的管理保障體系俗話說，信息平安是“三分靠技術(shù)，七分靠管理。信息平安保密的管理保障體系，主要是從技術(shù)管理、制度管理、資產(chǎn)管理和風(fēng)險管理等方面，加強平安保密管理的力度，使管理成為信息平安保密工作的重中之重。技術(shù)管理主要包括對泄密隱患的技術(shù)檢查，對平安產(chǎn)品、系統(tǒng)的技術(shù)測評，對各種失泄

10、密事件的技術(shù)取證；制度管理主要是指各種信息平安保密制度的制定、審查、監(jiān)視執(zhí)行與落實；資產(chǎn)管理主要包括涉密人員的管理，重要信息資產(chǎn)的備份恢復(fù)管理，涉密場所、計算機和網(wǎng)絡(luò)的管理，涉密挪動通信設(shè)備和存儲設(shè)備的管理等；風(fēng)險管理主要是指保密平安風(fēng)險的評估與控制?，F(xiàn)有的平安管理，重在保密技術(shù)管理，而極大地?zé)o視了保密風(fēng)險管理，同時在制度管理和資產(chǎn)管理等方面也存在很多問題，要么是管理制度不健全，落實不到位；要么是一些重要的資產(chǎn)監(jiān)管不利，這就給失竊密和遭受網(wǎng)絡(luò)攻擊帶來了人為的隱患。加強平安管理，不但能改進和進步現(xiàn)有平安保密措施的效益，還能充分發(fā)揮人員的主動性和積極性，使信息平安保密工作從被動承受變成自覺履行。七

11、、信息平安保密的工作才能體系將技術(shù)、管理與標準標準結(jié)合起來，以平安保密策略和效勞為支持，就能合力形成信息平安保密工作的才能體系，如圖4所示。該才能體系既是信息平安保密工作效益與效率的表達，也能反映出當(dāng)前信息平安保密工作是否到位。它以防護、檢測、響應(yīng)、恢復(fù)為核心，對信息平安保密的相關(guān)組織和個人進展工作考評，并通過標準化、流程化的方式加以持續(xù)改進，使信息平安保密才能隨著信息化建立的進展不斷進步。八、結(jié)論技術(shù)與管理相結(jié)合，是構(gòu)建信息平安保密體系應(yīng)該把握的核心原那么。為了增強信息系統(tǒng)和信息網(wǎng)絡(luò)的綜合平安保密才能，重點應(yīng)該在健全上述保密體系，尤其是組織體系、管理體系、效勞體系和制度技術(shù)標準及標準體系的根底上，標準數(shù)據(jù)備份、密鑰管理、訪問授權(quán)、風(fēng)險控制、身份認證、應(yīng)急響應(yīng)、系統(tǒng)及應(yīng)用平安等管理方案，努力進步系統(tǒng)破綻掃描、信息內(nèi)容監(jiān)控、平安風(fēng)