关于应对政府机关信息安全事件的几点看法

龙源期刊网关于应对政府机关信息安全事件的几点看法作者：乔晓芬来源：《科技资讯》2013年第17期摘要：笔者通过一次信息安全事件的发生引申出去，介绍了信息安全事件的几种类型，及对信息安全事件分级的想法。同时，为防范政府机关信息安全事件的发生，笔者描述了避免信息安全事件发生可以采取的几项措施。关键词：信息安全事件安全风险生命周期等级保护a中图分类号：F2文献标识码：A文章编码：1672-3791（2013）06（b）-0014-022012年3月15日，上海市税务局发生了一次信息安全事件，由于设备老化和供电异常，机房UPS设备发生严重故障，直接导致全市税务大集中核心业务信息系统全面宕机。虽然相关部门立即开展了应急处置和全力抢修，当天晚上业务信息系统恢复正常运行。但是因为该事件导致全市纳税人无法正常办理涉税事项，且15日是3月法定纳税申报期最后一个工作日，税务部门不得不通过网站、电视、广播、12366税务热线等社会媒体发布公告，宣布延长当月纳税申报期至16日。虽然这件事情已经过去一年多了，但它留给我们的却是深刻地教训。对于信息安全事件我们绝不能掉以轻心。随着信息化的不断发展推广，现在政府机关应用信息系统来开展工作的范围越来越广泛，已经涉及到民生、经济、政治、军事各个领域。我国有这么多关键重要的信息系统在运行，试想如果发生信息安全事件，那么或多或少地会造成社会影响甚至政治影响。所以说，如何避免信息安全事件的产生，已经是摆在政府机关面前必须考虑的问题了。笔者作为一名长期在政府机关信息部门工作的技术人员，将在下面阐述我个人关于应对信息安全事件的一些看法。1信息安全事件的分类为了分析信息安全事件，我们应当对可能发生的信息安全事件进行分类。依据事件发生的原因，我们将信息安全事件分为如下几类。1.1外部环境异常引起的安全事件第一类，是由于物理环境异常导致的安全事件。这里的物理环境主要指的是机房环境，比如承重、电源，空调，水患、鼠患等等。承重设计不达标不仅会造成信息安全事件，甚至可能造成人员伤亡；电源问题包括市电供应、UPS电源、防雷击及静电处理等，电源异常不仅会造成硬件设备的宕机，也可能引发火灾、造成人员伤亡；空调问题会引起硬件设备的运行故障，从而影响信息系统运行；水患是指机房如果建在地势低洼处或有不能密闭的窗户，遇到大水或雨季，会因为雨水进入机房而导致硬件设备的运行故障；鼠患是指乱窜的老鼠会咬断网线、引龙源期刊网起短路、损坏硬件设施，所以灭鼠也是保障信息系统正常运行需要考虑的工作。以上这些都是信息系统稳定运行的基本要素，任何一个环节出现问题都会导致安全事件的发生。1.2网络异常引起的安全事件第二类，网络异常导致的安全事件。现在政府机关的信息系统基本都是运行在网络环境中的，单机运行的应用系统已经鲜有耳闻了，这个时候，网络的重要性就显而易见了。一旦网络通信发生故障，即发生断网、网络拥塞等情况，那么信息系统也就瘫痪了。1.3硬件设施故障引起的安全事件第三类、硬件设施故障引起的安全事件。比如存储设备故障，主机服务器的故障、终端计算机的故障等。政府机关由于资金投入的限制，一方面这些硬件设施多半存在单点故障；另一方面，隐患发生时故障点常常不能被及时发现。举个例子，某台主机有数块硬盘，考虑到数据安全技术人员对硬盘做了RAID5处理，以避免因硬盘损坏引起的数据丢失，但是如果硬盘损坏后未被发现不能被及时更换，那么当故障硬盘达到数量的极限时，系统还是会崩溃数据还是会丢失。在这里我必须指出，某些设备的故障将引起数据丢失或破坏，在数据的价值越来越被认可的今天，这是必须引起警惕的。1.4软件异常引起的事件第四类，软件系统异常引起的故障。这里的软件系统是指操作系统异常、应用软件异常等。引起软件系统异常的原因很多，比如：病毒感染、黑客侵入、升级异常、软件冲突、安装未经测试的补丁和升级包等。1.5人为事件第五类，人为因素引起的安全事件。比如说，管理不善、职责不清、对重要系统设施监控不力，无视信息安全风险，不能将信息安全事件扼杀在萌芽期；误操作，由于责任心不强或技术能力不够，导致操作失误；故意行为，由于人性的弱点，有的员工出于各种原因（对单位不满或对领导同事不满）故意造就信息安全事件以借机发泄，还有人为谋求利益窃取数据，甚或被策反加入间谍组织或与非法组织勾结，破坏国家利益。2信息安全事件的分级不同类型的信息安全事件造成影响的范围有大有小，这时我们应该对信息安全事件有一个分级，分级的原则我们可以参照国家关于信息系统等级保护政策的思路，也就是通过判断影响对象及影响程度来分级。影响对象可以是：公民、法人和其他组织的合法权益；社会秩序、公共利益；国家安全。影响程度可以是：一般损害；严重损害；特别严重损害。（如表1）龙源期刊网只是介绍一种定级的方法，各单位可以根据自身特点定义自己的信息安全事件级别，细化定级标准。在定义了不同的事件级别之后，再设计不同的响应流程，也就是应急响应。这样的话，在发生安全事件时，就可以按照不同级别的信息安全事件启动应急响应流程，关于应急响应这里不作描述。3防患信息安全事件的建议前面我描述了导致信息安全事件的因素及信息安全事件的分级，接下来根据政府机关的特点我将给出预防信息安全事件的几点建议。具体如下。3.1明确职责我认为在谈关于信息系统的任何事之前，首先要明确职责，不仅是明确领导层的职责，也要明确执行者的职责。也就是说，职责必须细化到每个人。换个角度说的话，就是职责本身要进行细化，比如一个信息系统的建设是谁负责、后续运维是谁负责，假如硬件设施由A负责，那么A负责到什么程度呢，是不是只要硬件设施正常运行不发生故障就OK了？日常运维要管到什么程度呢？是不是要建立硬件设施的清单？这份清单是不是要更新？日常的运维操作是否要有记录？在我看来，以上所有都应该在岗责体系中进行细化明确，只有明确了每个人的工作职责才能保证工作被落实，制度被落实。3.2完善制度要想减少信息安全事件的发生，首先要有制度，国有国法家有家规，没有规矩不成方圆，如果没有制度，那就无章可循无法可依，发生信息安全事件之后也无法追究相关人员的责任。但是有些政府机关里的制度常常是只能挂在墙上看、放在会上念，有些单位的制度陈旧落后难操作，不能真正执行的制度是不能发挥其作用的。我认为一套好的信息安全管理制度应该分三个层次，第一层是总体性的制度策略或框架，第二层是具有操作指导意义的制度规范，第三层则是建设方案、运维手册和使用说明等更为细化的文档资料。有了完整的制度体系，我们还要定期对制度进行修订，这样才能让制度始终符合实际状况以便于操作落实。3.3在信息系统生命周期全方位考虑信息安全因为信息系统是有生命周期的，也就是系统的需求设计、建设、更新、运维、废弃5个阶段，为此，我们应该在信息系统的全生命周期考虑信息安全问题，在每个阶段我们都要考虑信息安全风险的规避问题。由于信息安全的概念是近些年才被提及和重视的，在实际工作中我们发现，政府机关的很多信息系统都是很早就开发出来在用的，随着应用需求的不断变化，这些老旧的信息系统不断的在升级在更新在打补丁。由于这些信息系统开发之初还没有信息安全的概念，所以即使发现系统存在这这样那样的安全风险也很难下手修补，常常因为系统性能存在瓶颈、存储空间不够、系统不够稳定等原因不敢解决信息安全漏洞。所以，我们提倡在新建系统的过程中，全面考虑信息安全保障，有能力的单位应该解决在用信息系统的安全漏洞。龙源期刊网安全管理措施的部署为避免信息安全风险，提高安全保障水平，我们必须采取一些安全管理措施。比如使用虚拟机技术提升主机服务器的运行性能；网络双线路链接、重要设备双机热备、双路供电、管理员AB角，以避免单点故障；对系统进行安全加固，关闭不需要的服务进程及端口使服务最少化、启用密码策略、安装重要补丁、开启审计策略等等；为不同的管理员开启不同的访问权限，使用户权限最小化；为不同的用户开启不同的网络访问链路，以进行访问控制；在软件系统进行运行前，对软件系统开展源代码审计，对准备安装的升级包或补丁包进行测试；建立审计环节，对信息系统的建设运维开展审计；对重要的运维操作进行授权，以限制管理员权限的滥用等等。安全管理措施的全方位执行是减少信息安全事件发生的有力保障。3.5加强监控分析信息安全的发生有时好像地震，地震在发生前可能有一些征兆，只是由于我们人力技术的限制无法探知。信息安全事件发生前也会有一些蛛丝马迹，如果我们能采取某些措施进行监控，提前得知相关信息，那么我们就能更早地掌握信息安全风险，并采取措施避免事件的发生。现在信息安全领域的很多产品已经很成熟，像IDS、IPS、防火墙、防病毒、桌面安全管理、主机性能监控等等，我们应该选择合适的产品或服务来监控我们的信息系统，同时，要注重对监控信息加以分析，以便及早发现风险并消灭隐患。3.6引入“等级保护”和安全评估近几年来，我国对信息安全的关注度越来越高，相关的管理部门也纷纷出台了关于加强信息安全的文件要求，其中，等级保护制度是较为重要的政策。信息安全等级保护就是对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护。等级保护政策的出台对于政府机关的信息安全工作有很强的指导意义，我们把信息系统按重要程度的不同进行划分，把有限的财力和人力集中到重要信息系统的保障中。另外，安全评估工作是了解政府机关信息系统安全程度的重要途径，只有明白自身的风险点并进行安全整改才能不断巩固信息系统的安全，以避免信息安全事件的发生。3.7应急演练要想提高信息安全事件的应对能力，我们不得不提到应急演练的重要性。应急演练就是模拟事件的发生，演练事件发生后的补救措施。所以做好应急演练是极其必要的。不管做不做应急演练，应急方案是必须要有的，我认为应急方案也应该有几个层次，首先要有一个总体方案，接着应该是对总体方案细化建立子方案，也就是不同类型的信息安全事件要有各自的应急方案。比如：机房环境应急方案、网络应急方案、应用系统应急方案等。其中，不同的应用系统应该有不同的应急方案。有了应急方案之后，我们应该定期进行演练，以便熟悉应急操作程序，将信息安全事件产生的影响尽力减少。龙源期刊网备份重要数据及系统为了避免信息安全事件带来的影响，有条件的政府机关可以建立自己的容灾备份系统，对重要信息系统建立双套系统，建立热备份或冷备份，如果有可能的话物理地址可以选取异地，以避免单点故障，提高自己应对风险的能力。如果财力有限，我们可以采用定期手工备份重要数据及系统的方法，并做好备份介质的管理工作。3.9加强人员管控谈到信息安全，有时候我们会忽略最重要的一个环节，就是人员的管控。大家知道，所有的信息系统都是人开发出发的，要提升信息安全能力，就应该增强人力资源，现在政府机关面临的问题很多都是人手紧张，人员素质不高之类的问题，由于政府机关的人员工资都是由国家规定的，不能享受像外企或民企甚或国企那样的高薪酬，很多高水平的技术人才都不愿意留在政府机关。很多技术骨干在遇到升职加薪的瓶颈后选择离职跳槽，使人才流失情况也很严重。那么如何来盘活机关内部的计算机人才就是人事部门的一道难题了。很多时候，好不容易招聘过来的计算机人才，都被抢到业务部门做一线工作去了。因为现在的业务部门全是通过信息系统来操作工作的，有些上了年纪的员工对信息系统不熟练，导致很多业务部门都喜欢要懂计算机技术的人才。我认为考虑到现在信息化技术的使用程度和依赖程度，适当提高信息技术人员的福利待遇并保证信息部门的人才供给是应当被考虑的。另外，适当增加一些工会活动或团体活动，增加单位凝聚力，也能让信息技术人员更热爱自己的单位和岗位，愿意尽全力付出努力，以保证技术人员管理信息系统的稳定和安全。4结语我国的政府机关承载着方方面面的国计民生，政府机关的信息系统运行