徐智剛

（亞信科技(中國)有限公司，浙江 杭州 310003）

隨著國內(nèi)外計算機互聯(lián)網(wǎng)絡(luò)的普及應(yīng)用，網(wǎng)絡(luò)正逐步改變著人們的工作方式和生活方式，網(wǎng)絡(luò)的開放性、互聯(lián)性、共享性給人們帶來極大方便的同時，也帶來了嚴重的安全隱患。特別是隨著政府信息化、企業(yè)信息化、電子商務(wù)等的興起，網(wǎng)絡(luò)安全問題變得越來越重要。

筆者認為，應(yīng)該依據(jù)以下步驟來進行信息網(wǎng)絡(luò)安全體系的建設(shè)：應(yīng)用分析→劃分適當?shù)陌踩颉L(fēng)險分析→以《計算機信息系統(tǒng)安全等級劃分準則》為依據(jù)，確定相應(yīng)的安全等級→以安全保護(PDRR)模型為指導(dǎo)，以保護信息的安全為目標，以計算機安全技術(shù)、加密技術(shù)和安全管理等為方法進行分層保護→構(gòu)建整體的安全保護保障體系。

1 應(yīng)用分析

應(yīng)用分析，應(yīng)該包括二個方面，一是用途分析；二是對信息網(wǎng)絡(luò)上的信息資產(chǎn)進行分析。不同的應(yīng)用，信息資產(chǎn)也是不同的，存在的安全問題也肯定是不同的。試想一個單純的接人互聯(lián)網(wǎng)的信息網(wǎng)絡(luò)(如網(wǎng)吧)與政府的辦公網(wǎng)絡(luò)的安全問題會一樣嗎?實際上，在同一個信息網(wǎng)絡(luò)上，流動的信息也是不一樣的，它們安全性的要求當然也是不同的。

2 風(fēng)險分析

在進行了應(yīng)用分析的基礎(chǔ)上，應(yīng)該對某一用途，或某一級別或類別的信息，或某一安全域進行風(fēng)險分析。這種分析可用一個二維的表格來實現(xiàn)。首先確定某一信息類別，或一個安全域，以可能發(fā)生的風(fēng)險為X 軸，對應(yīng)于每一個風(fēng)險，應(yīng)該有3 個參數(shù)填人到表格中，一個是該風(fēng)險發(fā)生的概率，另一個是該類信息對該風(fēng)險的容忍程度，再一個是該風(fēng)險可能發(fā)生的頻率。

事件止發(fā)生的概率，目前可能很難給出量化值，可以給出一個等級標準，如不易發(fā)生，易發(fā)生和極易發(fā)生，而容忍度也只能給出等級，如無所謂、可以容忍，不能容忍和絕對不能容忍等。實際上我們在風(fēng)險分析時，可以將風(fēng)險列得更細些，更全面些。如火災(zāi)，可分為電氣火災(zāi)，易燃品引起的火災(zāi)，因管理不善導(dǎo)致的火災(zāi)；再如人侵，也可以分出好多人侵的種類和目的，對攻擊的資源目標，也可以分出許多的子項。就是DDOS 攻擊也可以分出好多的種類。筆者在另一篇文章中對電子政務(wù)系統(tǒng)的風(fēng)險進行了分析，列出可能發(fā)生的風(fēng)險有18 類，如果再細分會達到幾十種之多。

事件發(fā)生的概率，應(yīng)該結(jié)合信息網(wǎng)絡(luò)的實際情況進行分析，如水災(zāi)的發(fā)生，對于一個周圍絕對沒有水源，又是在三樓以上的機房來說，發(fā)生的概率就應(yīng)該是極低的，就應(yīng)該是不易發(fā)生。對一個與互聯(lián)網(wǎng)沒有物理聯(lián)結(jié)的內(nèi)部網(wǎng)絡(luò)來說，通過互聯(lián)網(wǎng)發(fā)生的人侵，發(fā)生的病毒災(zāi)害應(yīng)該是不易發(fā)生的.是小概率事件，而對于一個網(wǎng)站來說，這二者且是極易發(fā)生的事件。

事件發(fā)生的頻率，也不容易用準確的數(shù)字來表示，可以表示為獨立事件和多發(fā)性事件。對象火災(zāi)這樣的災(zāi)害，一般可以認為是獨立事件，而病毒和人侵事件則是多發(fā)性的。對于多發(fā)性事件的防范策略與獨立事件的防范策略就要有不同的考慮。

對某事件的容忍度，應(yīng)該結(jié)合網(wǎng)絡(luò)的用途與信息的安全級別來給出，對于一個只提供互聯(lián)網(wǎng)接人服務(wù)的網(wǎng)絡(luò)來說，信息的泄露風(fēng)險就認為是可以容忍的。這樣的網(wǎng)絡(luò)就不該強調(diào)機房的電磁輻射問題，更不用說需用屏蔽雙絞線了。

3 確定安全等級

在對信息分級和分類基礎(chǔ)上，應(yīng)該依據(jù)《計算機信息系統(tǒng)安全等級劃分準則》(國標17859)確定相應(yīng)的安全保護等級?！稖蕜t》給出了五個等級標準，每個標準等級都相應(yīng)的要求。筆者認為不一定完全的套用某一個級別，可以根據(jù)風(fēng)險分析的結(jié)果，與準則中的要求進行一定的對應(yīng)，確定準則中的某一個級別，或以一個級別為基礎(chǔ)，在某些方面可做加強，而在另一些方面可以相對減弱。再次強調(diào)，保護應(yīng)該是信息分級為基礎(chǔ)，對于不同級別的信息保護強度是不一樣，不同等級信息，最好在不同的安全域中加以保護。這樣不需要保護的信息就可以不加保護，而需要加強保護的信息，就可以采取相對強度較高的保護措施。但這種保護，必須兼顧到應(yīng)用，不能因為保護而造成系統(tǒng)的應(yīng)用障礙不過為了安全犧牲掉一些應(yīng)用的方便性也是必要的。

4 分層保護問題

確定了安全級別之后，在風(fēng)險分析的基礎(chǔ)上，應(yīng)該以計算機安全保護(PDRR)模型為指導(dǎo)，以《計算機信息系統(tǒng)安全等級劃分準則》的依據(jù)，以計算機技術(shù)、計算機安全保護技術(shù)、保密技術(shù)和安全管理等為保護手段，以信息的機密性、完整性、可控性、可審計性、可用性和不可否認性等為安全為保護目標，分層分析和制定保護措施。

所謂分層保護，就是要把所列出的那些較為容易發(fā)生，且又不能容忍的風(fēng)險，分解到各個層面上，然后利用計算機技術(shù)、計算機安全保護技術(shù)、加密技術(shù)和安全管理手段盡量的按一定的強度加以保護，以規(guī)避相應(yīng)的風(fēng)險。如信息抵賴的風(fēng)險，應(yīng)該發(fā)生在用戶層面，可以用對用戶的身份認證技術(shù)來解決這樣的風(fēng)險?；馂?zāi)、水災(zāi)都應(yīng)該在物理層面上加以保護。許多風(fēng)險可能是對應(yīng)于多個層面，那就應(yīng)該在多個層面上加以保護，如信息泄露，在所有的層面上都會發(fā)生，那就應(yīng)該在所有的層面加以保護。就用層的安全應(yīng)該把應(yīng)用軟件開發(fā)中可能產(chǎn)生的風(fēng)險考慮進去，一個是應(yīng)用軟件本身的安全問題，是否有后門，是否有漏洞，本身的BUG 問題等。再有就是應(yīng)用軟件的開發(fā)平臺本身的安全機制如何，如FOX 類數(shù)據(jù)庫與ORACOL 在安全機制上是無法比的。同時還應(yīng)該考慮，應(yīng)用軟件與實際的應(yīng)用環(huán)節(jié)是否匹配，不應(yīng)該產(chǎn)生因為這種軟件與應(yīng)用的脫節(jié)，而產(chǎn)生新應(yīng)用機制上的安全問題。其余各層上的安全問題，在這里不詳細敘述，但應(yīng)該考慮BIOS 的風(fēng)險。BIOS 風(fēng)險一方面是來自主機生產(chǎn)廠家，另一方面也可能來自應(yīng)用單位設(shè)置上的不合理。這里提到的網(wǎng)絡(luò)，與七層協(xié)議模型中所提到的網(wǎng)絡(luò)層不是一個概念。它是指一個完整的網(wǎng)絡(luò)，而不是網(wǎng)絡(luò)層。

5 構(gòu)建完整的保障體系

對信息網(wǎng)絡(luò)進行了分層次的安全保護，好像我們的任務(wù)就已經(jīng)完成了，實際上則不然。信息網(wǎng)絡(luò)是一個整體，對它的保護也應(yīng)該是一個整體。

首先，在進行分層保護的策略制定以后，首先應(yīng)該在整體上進行評估，特別是結(jié)合部安全是還存在著問題。如，通過數(shù)據(jù)庫可以獲得系統(tǒng)的超級用戶權(quán)限。其次，我們是以不同的信息資產(chǎn)或不同的安全域來進行分層保護的，而不是整個網(wǎng)絡(luò)。此時我們應(yīng)該對不同的信息資產(chǎn)或不同的安全域的分層保護方案進行比較和綜合并進行適當?shù)恼{(diào)整，考慮信息網(wǎng)絡(luò)整體的保護方案。第三是應(yīng)該選擇適當?shù)陌踩a(chǎn)品或安全技術(shù)。

建立安全體系，選用安全產(chǎn)品是必然的，但是這個體系不應(yīng)該是安全產(chǎn)品的堆砌。特別是選用的安全產(chǎn)品是否符合國家相關(guān)部門的要求。還要考慮這些產(chǎn)品是否符合所制定的安全策略，并且要考慮是否符合自己信息網(wǎng)絡(luò)的發(fā)展要求和安全產(chǎn)品本身的發(fā)展要求。在安全產(chǎn)品的選擇上即要考慮產(chǎn)品本身的先進性，還應(yīng)該考慮安全產(chǎn)品本身的成熟性，對一些非常重要的信息網(wǎng)絡(luò)，不要第一個去吃螃蟹。最后還應(yīng)該考慮對網(wǎng)絡(luò)中的安全產(chǎn)品實現(xiàn)統(tǒng)一的動態(tài)管理和聯(lián)動，使之能成為一個動態(tài)的防范體系，成為一個有機的整體。動態(tài)管理應(yīng)該考慮，安全策略發(fā)生錯誤和失效的修改，以及對安全產(chǎn)品失效的對策，應(yīng)該有預(yù)案。聯(lián)動，就是使所有使用的安全產(chǎn)品，在發(fā)生安全事件時，能夠成為一個防范的整體。

整體的安全體系的建立，還應(yīng)該對安全的措施成本進行核算，國外的信息網(wǎng)絡(luò)在安全方面的投人可達到系統(tǒng)建設(shè)費用的15%-30%，這個費用標準我們可以用來參考。核算措施成本后，還應(yīng)該對成本效益進行評估，對于保護費用與效益在同一數(shù)量級上的花費，則應(yīng)該考慮是否有必要進行這樣的保護。

6 結(jié)束語

以上論述，是筆者依據(jù)《計算機信息系統(tǒng)安全保護條例》的要求，對重點單位信息網(wǎng)絡(luò)安全的保護工作進行監(jiān)督、檢查、指導(dǎo)的體會總結(jié)。由于文章的篇幅有限，許多細節(jié)無法列舉，只作拋磚引玉。

[1]劉占全.著網(wǎng)絡(luò)管理與防火墻技術(shù)[M].北京:人民郵電出版社，2005.

[2]王有遠.計算機網(wǎng)絡(luò)安全機制的實現(xiàn)計算機應(yīng)用[M].2006.

[3]計算機信息系統(tǒng)安全等級劃分準則[S].1999.