【 摘要 】 结合IT项目在涉密工程中的信息安全管理为研究对象,明确信息安全管理的范围,对信息安全的风险进行识别与分析,在此基础上,制定出信息系统风险应对的措施,从而进行风险控制,降低信息系统风险,以保障信息系统的安全。
【 关键词 】 IT 项目;信息安全管理;措施
The Analysis of Information Safety Management for IT Program
Lin Ting
(Chaina Unionpay Data Services Co.,Ltd Shanghai 200001)
【 Abstract 】 Based on the information safety management of IT program in the confidential engineering, the analysis scope of information safety is defined, and the risk of the program is researched. According to the study, the control measurement is established so that it is effective to control and reduce the risk for the safety of information system.
【 Keywords 】 IT program; information safety management; measurement
1 引言
公司与军方合作比较广泛,有一个关于武器设计的项目。由于项目的特殊性,整个项目的安全要求高,本着“安全第一,应用第二”的原则,对内部网络的建设从发展的眼光出发,将前瞻性与实用性相结合,在分析信息系统风险的基础上,制定出信息系统风险应对措施,进行风险控制,降低信息系统的风险,保障信息系统的安全。
2 安全需求分析
2.1信息安全范围需求
确保整个系统在建设之中和建设之后的维护的安全性同,所涉及的范围包括内容有:1)信息,包括数据、资料等; 2)硬件、软件;3)环境及支持设备;4)参与人员的管理;5)网络通讯设备;6)存储设备。
2.2信息安全优先级需求
按由高到低的顺序,依次是关键岗位人员的管理、重要涉密信息、存储涉密信息的存储设备、网络通讯设备、服务、软件、硬件、环境支持设备。
3 风险识别与分析
风险识别与分析从潜在的危险和系统的安全威胁等方面进行。
3.1潜在的威胁
潜在威胁主要来自内部和外部。其中来自内部的犯罪主要是其一:纯粹出于经济目的,或其他目的,利用自己可能的手段窃取信息,破坏信息系统;其二则是在外部罪犯的指使、收买下,在可能获得外部技术支持的情况下,对信息系统实施攻击。信息网络系统对两种内部人员的犯罪都应有所防备;该项目信息安全保密实施的重点是防止系统的破坏和信息的损失。
3.2系统的安全威胁
该单位系统与外界是物理隔离,所以通信数据被窃听的概率很小。但仍然存在如下威胁:非法访问、电磁泄漏、假冒;抵赖、破坏网络的可用性、失误操作、病毒侵害、自然灾害和环境事故、电力中断。
4 风险响应规划
根据上面风险识别与风险分析结果,制定以下风险应对措施。
4.1涉密信息传输与存储方案
该单位信息网络系统是一个涉密级别达到机密级的信息网络,因此,按照国家保密局的规定,秘密、机密信息在所科研区等封闭区域内的传输可采用光缆或屏蔽电缆,如果采用非屏蔽电缆而又不能满足与其他并行线的线间距要求时,必须采用远程加密传输。该单位的信息加密必须采用国家指定的算法,不得使用国外算法;该单位的信息加密可采用密文存储和存取控制两种方式;加密算法每三年必须更换,算法提供单位必须是同一家单位。
4.2物理安全管理方案
对于出入存放机密级和机密级以上信息的设备地方,必须建立严格的审查登记制度,保证所有出入存放地的人员必须留有书面纪录,包括姓名,证件,部门,进入时间和离开时间;
处理机密级和机密级以上信息的设备必须放在有铁门、铁窗、铁柜的“三铁”保护措施的地方:涉密系统中心机房应采取安全防范措施,确保非授权人员无法进入。处理秘密级、机密级信息的系统中心机房应采用有效的电子门控系统。处理绝密级信息和重要信息的系统中心机房门控系统应进行身份鉴别,应有电视监视系统,并建立磁屏蔽区域保护设施。
4.3信息涉密级别管理方案
所有信息处理、传输、存储、输入、输出设备均应按照保密部门所规定的密级确定相应的最高涉密级别。密级的变化由保密部门确定后及时通知网管中心。设备的使用人必须清楚了解该级别的规定,并熟悉对该级别信息处理的要求。
4.4涉密介质安全使用管理方案
U盘、硬盘、光盘、磁带等涉密介质应标明级别,并按相应密级管理。存储过涉密信息的介质不能降低密级使用。不再使用的介质应及时销毁。涉密介质的维修应保证所存储的涉密信息不被泄露,维修应在本单位进行,维修点需由单位保密委员会指定或认可;必须在单位外维修的,必须指派专人全程跟踪负责,保证所存储的涉密信息不被泄露。
4.5身份管理方案
处理秘密级信息的涉密系统可采用口令进行身份鉴别,口令长度不得少于8个字符,口令更换周期不得长于一个月;处理机密级信息的涉密系统应采用IC卡(或USB-KEY)进行身份鉴别,也可采用口令或其他措施加口令的方式进行身份鉴别,口令长度不得少于10个字符,口令更换周期不得长于一周:涉密系统所使用的口令不得由用户产生,应当由系统安全管理员集中产生供用户选用,并且应当有口令更换记录;应采用组成复杂、不易猜测的口令,一般应是大小写英文字母、数字、特殊字符中两者以上的组合。
4.6数据备份与恢复方案
在内部网络系统中,主要设备、软件、数据、电源等应有备份,并具有在较短时间内恢复系统运行的能力。该单位信息系统中关键服务器系统均需要进行系统备份,尽量在系统崩溃以后能快速、简单、完全地恢复系统的运行。进行备份的最有效的方法是只备份那些对于系统崩溃恢复所必需的数据。核心服务器上的数据文件必须每周备份,而且必须每天进行文件增量备份;每天业务结束时进行增量备份。周备份的介质必须实行异地存储。异地存储要求包含多种备份介质。
4.7防黑客方案
防火墙是用在网络出入口上的一种访问控制技术,是对付黑客的一种主要手段。防火墙技术的核心思想是在不安全的网络环境中构造一个相对安全的子网环境。
防火墙在内部网络中发挥上述作用主要是通过两个层次的访问控制实现的,一个是由状态包过滤提供的基于IP地址的访问控制功能,另一个是由代理防火墙提供的基于应用协议的访问控制功能。另外,部分防火墙还提供地址映射服务,以隔离高涉密子网。
4.8事故应急方案
该单位制定了在该所内部网络发生安全事故时的应急响应步骤。安全事故包括失窃、用户口令丢失、可疑的系统访问(包括共享口令)、内部网络的入侵行为、计算机病毒等。以上安全事故被分为三个级别:
(1)一级安全事故损失最小,事故发生后需要在一个工作日内得到控制。此类安全事故只需与网络管理中心联系即可。该类事故包括:个人口令丢失或遗忘、可疑的共享行为等;(2)二级安全事故损失稍大,事故发生后需要在2h-4h内得到控制;此类安全事故需要通知所网络管理中心和所安全保密办公室。该类事故包括:可疑人员进入涉密机房,使用涉密计算机(或本所职工出现可疑行为);未授权的访问等;(3)三级安全事故发生后,必须立即防止事故危害扩散,同时必须立即通知所保密办、保密委,并视情况严重程度逐级上报。
4.9风险监控的策略
(1)建立合理的、科学的信息安全工作体系:设立所决策层、管理层、执行层三层组织机构,制定各种管理制度与流程,采取相应的信息安全技术措施。
(2)风险控制主要途径:根据控制成本与风险平衡的原则,通过以下途径及主要措施将风险控制在可接受的范围。
1)避免风险:所内部网络与其他网络物理隔离,可以避免所内涉密信息系统遭受来自外部的威胁。在公共信息网上采取适当的安全措施,降低来自外部的威胁。严禁在公共信息网上处理涉密信息,降低外部威胁对所信息资产的影响;2)减少威胁:通过身份认证、访问控制、网络监控、入侵监测、审计和安装防病毒软件等技术措施,建立黑客防范系统和恶意代码防范系统,减少信息系统受到内部员工黑客行为和恶意代码攻击的机会;3)减少薄弱点:通过教育和培训强化员工的安全意识和安全操作技能;建立和完善信息安全管理制度,强化安全制度的检查和落实;4)减少威胁可能的影响程度:应用密码技术对信息的存储和传输进行加密处理;建立并实时业务系统的应急响应计划,此计划包括备份保护、应急响应、测试维护等活动的安全要求。
(3)安全解决方案动态调整:安全解决方案的基础是风险分析,应该根据风险的变化,进行动态调整。风险的变化来自两个方面:一是信息系统的脆弱性以及威胁技术发生变化;二是信息系统发生变更后可能产生的新的安全风险和风险变化。一成不变的静态风险管理,在风险发生变化时不仅起不到应有的安全作用,相反会产生负面影响。因此,风险管理应该动态进行,达到风险预测、实时响应、降低风险的良性循环能力。
5 案例实施结果
已经完成的项目的每一个阶段,实施风险措施后,进行动态监测,发现新的风险,及时调整风险应对措施,实施措施后,动态监测。如此反复循坏,达到了降低风险,减少威胁的目的,项目进展顺利,初步实现项目的目标。
参考文献
[1] 罗布·托姆塞特.极限项目管理.电子工业出版社,2005.
[2] 索威基.有效的项目管理.电子工业出版社,2002.1.
[3] 拉里·康斯坦丁.超越混沌:有效管理软件开发项目.电子工业出版社,2002.4.
作者简介:
林挺(1981-),男,上海大学计算机专业学士学位,现在任职于银联数据服务有限公司,主要从事银行贷记卡系统的产品设计;主要研究领域:金融支付和移动支付。