王曉明 劉萬(wàn)策 黃韌

廣東省實(shí)驗(yàn)動(dòng)物監(jiān)測(cè)所信息中心 廣東 510260

0 引言

現(xiàn)在是信息時(shí)代，方便快捷的信息共享和信息交換已經(jīng)成為推動(dòng)社會(huì)發(fā)展的動(dòng)力，各行各業(yè)也都希望通過(guò)整合信息資源為行業(yè)帶來(lái)更多的競(jìng)爭(zhēng)優(yōu)勢(shì)。行業(yè)信息服務(wù)平臺(tái)就是利用現(xiàn)代信息技術(shù)，整合行業(yè)信息資源，實(shí)現(xiàn)信息共享的服務(wù)平臺(tái)。隨著行業(yè)信息服務(wù)平臺(tái)應(yīng)用的不斷普及，各種網(wǎng)絡(luò)安全事件不斷發(fā)生，由于管理水平各異，許多行業(yè)信息服務(wù)平臺(tái)的信息安全受到嚴(yán)重威脅。如何進(jìn)行整體部署，系統(tǒng)的加強(qiáng)安全防范，正是本文要進(jìn)行探討的內(nèi)容。

1 影響信息服務(wù)平臺(tái)安全的主要因素

影響信息服務(wù)平臺(tái)安全的主要因素有物理環(huán)境、網(wǎng)絡(luò)、主機(jī)及系統(tǒng)等。

1.1 物理環(huán)境因素

物理環(huán)境因素主要指機(jī)房環(huán)境、電力供應(yīng)，以及人為的或自然的破壞因素等諸多環(huán)境方面的安全因素。如：機(jī)房位置、溫度、濕度、雷電、火災(zāi)、水災(zāi)、靜電，人為的盜竊、破壞等因素。

設(shè)備機(jī)房的選址是非常關(guān)鍵的，平臺(tái)的設(shè)備機(jī)房就處在一個(gè)地勢(shì)較高且周?chē)^空曠的位置，每年都會(huì)受到不同程度的雷電襲擊，盡管采取了各種防護(hù)措施，但仍然不能完全避免損失，由此可見(jiàn)，設(shè)備機(jī)房的選址一定要注意自然環(huán)境因素的影響。

1.2 網(wǎng)絡(luò)因素

平臺(tái)的建設(shè)依賴(lài)于計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，但計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)自身存在著嚴(yán)重缺陷——網(wǎng)絡(luò)協(xié)議的安全性問(wèn)題，網(wǎng)絡(luò)最初主要是考慮互通性和實(shí)用性，而對(duì)網(wǎng)絡(luò)攻擊的可能性考慮較少，因此，網(wǎng)絡(luò)協(xié)議存在著嚴(yán)重的、不可避免的安全缺陷。除此以外，網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)傳輸?shù)纫捕即嬖谥煌潭鹊囊鹁W(wǎng)絡(luò)風(fēng)險(xiǎn)的因素。正是由于構(gòu)成計(jì)算機(jī)網(wǎng)絡(luò)的各個(gè)要素普遍存在的缺陷和漏洞，使得平臺(tái)在開(kāi)放應(yīng)用的過(guò)程中，極大的增加了運(yùn)行風(fēng)險(xiǎn)，同時(shí)也增加了管理的難度。

1.3 主機(jī)及系統(tǒng)因素

主機(jī)及系統(tǒng)因素是指主機(jī)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng)等的安全影響因素。

各種硬件設(shè)備故障，如服務(wù)器、數(shù)據(jù)存儲(chǔ)設(shè)備等關(guān)鍵設(shè)備的硬件故障，都會(huì)造成系統(tǒng)運(yùn)行的中斷，尤其是磁盤(pán)設(shè)備的物理性損壞，更將造成信息的損壞和丟失。

操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)等各種系統(tǒng)的設(shè)計(jì)漏洞，通常是黑客們進(jìn)行溢出攻擊的最佳選擇，通過(guò)這種方式，黑客們可以輕松獲得被攻擊主機(jī)的管理員權(quán)限，遠(yuǎn)程操作主機(jī)就像想操作自己的電腦一樣簡(jiǎn)單，這對(duì)于提供公共信息服務(wù)的實(shí)驗(yàn)動(dòng)物信息服務(wù)平臺(tái)來(lái)說(shuō)，危害性非常大。

1.4 其他因素

管理人員受到的安全培訓(xùn)，形成的安全保密意識(shí)，以及他們的責(zé)任心，網(wǎng)站安全管理制度、安全責(zé)任制度的建立和執(zhí)行等各種人為和管理的因素，也是影響信息安全不可忽視的因素。

2 信息安全保障

信息安全的范疇涉及計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)等綜合性技術(shù)。在美國(guó)國(guó)家信息基礎(chǔ)設(shè)施NII(National Information Infrastructure)的文獻(xiàn)中，安全的屬性被定義為：可用性、完整性、保密性、可靠性和不可抵賴(lài)性。信息安全保障就是要保障信息資源能夠滿(mǎn)足以上五個(gè)屬性。

可用性，是指獲得授權(quán)的用戶(hù)在任何時(shí)候訪問(wèn)信息資源和服務(wù)，信息都必須是可用的。

完整性，是指信息不能被未經(jīng)授權(quán)的改變。偶然的或蓄意的刪除、修改、偽造、亂序、重放、插入、丟失等，都會(huì)造成信息的完整性被破壞。

保密性，是指信息不能被未經(jīng)授權(quán)的獲知。確保信息不暴露給未經(jīng)授權(quán)的實(shí)體或進(jìn)程。

可靠性，是指系統(tǒng)在規(guī)定條件下和規(guī)定時(shí)間內(nèi)，完成規(guī)定功能的概率。同樣的，還有軟件可靠性、人員可靠性、環(huán)境可靠性等等。

不可抵賴(lài)性，也稱(chēng)作不可否認(rèn)性。在信息交互過(guò)程中，確信參與者的真實(shí)同一性。通過(guò)使用數(shù)字簽名等技術(shù)，讓所有參與者都不可能否認(rèn)或抵賴(lài)曾經(jīng)完成的操作和承諾。

我們實(shí)施信息安全保障的目的，就是要通過(guò)采用信息安全技術(shù)和信息安全管理措施，保證平臺(tái)安全穩(wěn)定的運(yùn)行，資源信息安全完整的保存，用戶(hù)訪問(wèn)及時(shí)準(zhǔn)確的響應(yīng)。

3 信息服務(wù)平臺(tái)安全保障

信息安全是一個(gè)在風(fēng)險(xiǎn)和保障之間不斷較量的動(dòng)態(tài)的過(guò)程。隨著時(shí)間的變化，技術(shù)的不斷發(fā)展，應(yīng)用會(huì)不斷的發(fā)生改變，新的風(fēng)險(xiǎn)會(huì)不斷產(chǎn)生。

單純使用信息安全設(shè)備或技術(shù)很難實(shí)現(xiàn)全面的信息安全保障。必需通過(guò)統(tǒng)一規(guī)劃，融合技術(shù)和管理因素，建立信息安全管理體系和信息安全運(yùn)行體系，全方位、立體式的保障信息安全。

3.1 信息安全管理體系

信息安全管理體系包括組織機(jī)構(gòu)、管理制度、安全教育等管理因素，是保障信息安全的重要基礎(chǔ)。

3.1.1 組織機(jī)構(gòu)

實(shí)驗(yàn)動(dòng)物信息服務(wù)平臺(tái)以安全領(lǐng)導(dǎo)小組為核心，網(wǎng)絡(luò)中心為技術(shù)保障。平臺(tái)安全領(lǐng)導(dǎo)小組是決策層，負(fù)責(zé)制定平臺(tái)安全戰(zhàn)略、審議平臺(tái)安全計(jì)劃項(xiàng)目及重大事項(xiàng)、發(fā)布決策、監(jiān)督規(guī)范管理，組織、協(xié)調(diào)重大安全事故的應(yīng)急響應(yīng)。網(wǎng)絡(luò)中心有一支專(zhuān)業(yè)的技術(shù)隊(duì)伍，主要負(fù)責(zé)落實(shí)平臺(tái)決策層的各項(xiàng)具體工作，制定信息安全相關(guān)管理制度并負(fù)責(zé)實(shí)施，對(duì)平臺(tái)進(jìn)行日常的安全監(jiān)測(cè)和管理。

3.1.2 管理制度

實(shí)驗(yàn)動(dòng)物信息服務(wù)平臺(tái)的管理制度以國(guó)家相關(guān)的法律法規(guī)為依據(jù)，結(jié)合實(shí)驗(yàn)動(dòng)物行業(yè)信息應(yīng)用的實(shí)際情況，以“適度安全”為原則，盡量避免安全制度過(guò)于嚴(yán)格、復(fù)雜，人員無(wú)法操作，信息資源得不到充分利用；也防止了制度過(guò)于寬松、簡(jiǎn)單，信息資源缺乏安全性，遭受不必要的損失?？傊?，制度制定出來(lái)是要能用的，不是擺設(shè)。其中主要的一些包括：平臺(tái)運(yùn)行維護(hù)管理制度、中心機(jī)房安全管理制度、信息安全管理制度等等。

3.1.3 安全教育

實(shí)驗(yàn)動(dòng)物信息服務(wù)平臺(tái)的管理制度及安全技術(shù)，最終需要由相關(guān)的技術(shù)人員加以實(shí)施，因此，安全教育和培訓(xùn)也是管理體系建設(shè)的重要組成部分。定期組織安全培訓(xùn)，結(jié)合社會(huì)上最新發(fā)生的安全事件，提出解決方案，落實(shí)防范措施。同時(shí)，積極走出去，參加專(zhuān)業(yè)的安全技術(shù)培訓(xùn)，學(xué)習(xí)掌握新的安全管理技術(shù)。

3.2 信息安全運(yùn)行體系

信息安全運(yùn)行體系是信息安全的重要保障，包括安全評(píng)估、安全防護(hù)、災(zāi)難響應(yīng)及恢復(fù)等。

3.2.1 安全評(píng)估

安全評(píng)估是安全策略制定的依據(jù)，是對(duì)安全風(fēng)險(xiǎn)因素的評(píng)估及報(bào)告，安全風(fēng)險(xiǎn)因素的評(píng)估需要由具有專(zhuān)業(yè)資質(zhì)的機(jī)構(gòu)來(lái)進(jìn)行。在進(jìn)行風(fēng)險(xiǎn)評(píng)估的時(shí)候，關(guān)鍵是要確定評(píng)估范圍和評(píng)估項(xiàng)目，盡量考慮周到，不要遺漏，最終將確定出平臺(tái)的安全和風(fēng)險(xiǎn)等級(jí)，并給出安全解決方案，安全評(píng)估需要周期性進(jìn)行。

實(shí)驗(yàn)動(dòng)物信息服務(wù)平臺(tái)根據(jù)專(zhuān)業(yè)的安全解決方案，適時(shí)對(duì)已有的安全策略和安全防護(hù)措施進(jìn)行調(diào)整，最大限度的保證平臺(tái)的安全性。

3.2.2 安全防護(hù)

安全防護(hù)主要是針對(duì)前面提到的影響信息安全的三道大類(lèi)因素：物理環(huán)境、網(wǎng)絡(luò)、主機(jī)及系統(tǒng)，進(jìn)行有針對(duì)性的防護(hù)。

提高信息服務(wù)平臺(tái)運(yùn)行所處的物理環(huán)境的安全，就是給平臺(tái)的安全筑起了一道堅(jiān)實(shí)的屏障。例如：將中心機(jī)房與辦公區(qū)域隔離開(kāi)來(lái)，使用指紋門(mén)禁系統(tǒng)對(duì)進(jìn)出人員進(jìn)行身份鑒別和控制出入；為關(guān)鍵設(shè)備配備穩(wěn)壓不間斷電源，保障平臺(tái)系統(tǒng)不會(huì)因?yàn)閿嚯姸鴷和７?wù)；中心機(jī)房進(jìn)行防雷、恒溫、防潮、防靜電等環(huán)境控制，減少設(shè)備故障，等等?？梢愿鶕?jù)安全評(píng)估的建議，盡量做好安全防范，減少物理環(huán)境因素引起的故障。

信息服務(wù)平臺(tái)的網(wǎng)絡(luò)系統(tǒng)安全防護(hù)，主要是通過(guò)部署路由器、交換機(jī)、防火墻、入侵檢測(cè)/防御系統(tǒng)等網(wǎng)絡(luò)運(yùn)行及安全設(shè)備，有效地在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行安全隔離和防范，制定訪問(wèn)控制策略、使用虛擬專(zhuān)網(wǎng)、數(shù)據(jù)傳輸加密等方式對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行安全防護(hù)。通過(guò)一系列網(wǎng)絡(luò)安全設(shè)備和技術(shù)的部署，為網(wǎng)絡(luò)系統(tǒng)和信息傳輸?shù)陌踩峁┍Ｕ?。入侵防御系統(tǒng)就是一個(gè)非常有效的網(wǎng)絡(luò)安全設(shè)備，在服務(wù)器群的前端部署入侵防御系統(tǒng)，及時(shí)的檢測(cè)出入侵威脅，在報(bào)警的同時(shí)迅速終止入侵行為，保護(hù)信息服務(wù)平臺(tái)的安全。

主機(jī)及系統(tǒng)的安全，一方面通過(guò)制定詳細(xì)的系統(tǒng)安全策略，嚴(yán)格管理用戶(hù)及訪問(wèn)許可，安裝病毒及木馬檢測(cè)軟件、漏洞掃描軟件，及時(shí)升級(jí)系統(tǒng)安全補(bǔ)丁等；另一方面，定期檢查系統(tǒng)日志文件，分析異常事件，定期進(jìn)行硬件設(shè)備檢測(cè)，從主機(jī)到系統(tǒng)都做到防微杜漸，消除安全隱患。

3.2.3 應(yīng)急響應(yīng)與災(zāi)難恢復(fù)

任何安全措施都無(wú)法保證信息平臺(tái)和數(shù)據(jù)萬(wàn)無(wú)一失，制定應(yīng)急響應(yīng)機(jī)制和業(yè)務(wù)連續(xù)性計(jì)劃，能夠在災(zāi)難發(fā)生時(shí)及時(shí)響應(yīng)，采取措施，控制災(zāi)難損失，盡快恢復(fù)系統(tǒng)，確保業(yè)務(wù)連續(xù)。

實(shí)驗(yàn)動(dòng)物信息服務(wù)平臺(tái)的應(yīng)急響應(yīng)包括：建立有效的事件報(bào)告機(jī)制，及時(shí)發(fā)現(xiàn)問(wèn)題；明確應(yīng)急事件處理人員的崗位和職責(zé)，做到責(zé)任到人；制定應(yīng)急響應(yīng)各項(xiàng)工作的處理流程，進(jìn)行經(jīng)常性的培訓(xùn)和演練；制定各項(xiàng)保障措施，使設(shè)備、經(jīng)費(fèi)和后勤工作得到有效的保障。通過(guò)建立完善的應(yīng)急響應(yīng)機(jī)制，有序的運(yùn)作，使災(zāi)難事件變得可以控制，大大降低災(zāi)難的危害性。

業(yè)務(wù)連續(xù)性計(jì)劃的關(guān)鍵是要制定數(shù)據(jù)的容災(zāi)備份計(jì)劃。首先，要確定目標(biāo)，比如：需要保障的資源內(nèi)容、最大可允許中斷時(shí)間、數(shù)據(jù)損失最遠(yuǎn)回溯時(shí)點(diǎn)等；然后，根據(jù)目標(biāo)制定備份方案。備份方案有許多種：磁帶備份、磁盤(pán)鏡像、雙機(jī)熱備、異地鏡像、異地容災(zāi)備份等等，根據(jù)需要保障的安全等級(jí)選擇可行的備份方案。平臺(tái)采用異地鏡像的備份方式，同時(shí)，定期進(jìn)行磁盤(pán)備份。業(yè)務(wù)連續(xù)性計(jì)劃的目的就是確保信息平臺(tái)和數(shù)據(jù)的快速恢復(fù)。

4 結(jié)束語(yǔ)

信息安全保障遵循短板理論：圓木桶上最短的那塊板決定了這個(gè)木桶可以裝水的多少。在信息安全保障工作中，安全防范最薄弱的環(huán)節(jié)，通常會(huì)給整個(gè)系統(tǒng)帶來(lái)災(zāi)難性的后果，信息安全保障需要進(jìn)行全方位的衡量。

總而言之，信息安全保障是一項(xiàng)涉及面廣、內(nèi)容復(fù)雜的系統(tǒng)工程，需要建立完善的機(jī)制，有效地監(jiān)督執(zhí)行，適時(shí)的動(dòng)態(tài)調(diào)整，并且需要整個(gè)管理機(jī)構(gòu)上下一條心、團(tuán)結(jié)協(xié)作才能真正保障信息服務(wù)平臺(tái)安全、穩(wěn)定的運(yùn)行，這是我們?cè)谛畔⒎?wù)平臺(tái)安全建設(shè)中最深刻的體會(huì)。

[1]黃韌,薛成.中國(guó)實(shí)驗(yàn)動(dòng)物生物學(xué)特性數(shù)據(jù)庫(kù)的建設(shè)與共享[J].實(shí)驗(yàn)動(dòng)物科學(xué).2008.

[2]賀爭(zhēng)鳴,邢瑞昌,岳秉飛.實(shí)驗(yàn)動(dòng)物生物學(xué)特性數(shù)據(jù)化表達(dá)的規(guī)范化與數(shù)據(jù)共享[J].實(shí)驗(yàn)動(dòng)物與比較醫(yī)學(xué).2008.

[3]黃韌,薛成.行業(yè)信息網(wǎng)站建設(shè)與中國(guó)實(shí)驗(yàn)動(dòng)物信息網(wǎng)[J].中國(guó)科技成果.2009.

[4]張維華.我國(guó)電子政務(wù)信息資源安全保障體系研究[J].圖書(shū)情報(bào)工作.2007.

[5]王謙,陳放.電子政務(wù)的信息安全保障及體系構(gòu)建[J].信息網(wǎng)絡(luò)安全.2008.