陳紹安

摘要：信息服務結(jié)合了網(wǎng)絡、運算、儲存等領(lǐng)域的資源，提供使用者全方位的應用服務，信息安全成為推動信息服務的關(guān)鍵因素，不論信息服務的內(nèi)容為何，都無法離開信息安全為前提的考量因素，目前通過網(wǎng)絡來取得需要的資源或是應用服務已成為主流的趨勢，而行動通訊的普及，將促使信息服務的應用更為多樣化。本文針對信息安全生態(tài)系統(tǒng)及標準化建設(shè)相關(guān)議題進行了探討。

關(guān)鍵詞：信息安全；生態(tài)系統(tǒng)；標準化建設(shè)1信息安全生態(tài)系統(tǒng)傳統(tǒng)的信息安全架構(gòu)與信息服務的安全架構(gòu)是目前經(jīng)常被拿來相比較的議題，大多數(shù)的資料中心發(fā)展成信息服務中心時，傳統(tǒng)安全防護架構(gòu)需要面臨擴充性以及適用性的挑戰(zhàn)，從信息基礎(chǔ)設(shè)施、運作應用程序以及各種不同類型的軟件服務，增加了管理上的復雜度。信息安全生態(tài)系統(tǒng)應用了大自然的生存法則，將相同的理論應用在信息運算所提供的信息服務上，將整個信息架構(gòu)分成了偵測、分析、防御、應變等幾個元件。一是偵測：通過信息安全相關(guān)的設(shè)備，如應用層防火墻、通訊協(xié)定分析設(shè)備、入侵偵測系統(tǒng)、誘捕系統(tǒng)等，建立信息環(huán)境的偵測點，運用特征比對與行為分析的方式，進行異常狀態(tài)的偵測，進行信息的收集，以提供后續(xù)的進行資料探勘與分析使用。二是分析：大尺度的信息環(huán)境，產(chǎn)生大量的系統(tǒng)日志與網(wǎng)絡流量等資料，因為信息服務維運的需求，又必須即時進行資料的探勘，以掌握信息服務的狀態(tài)，若有異常的行為出現(xiàn)，必須進行處置以避免影響信息服務的安全，因此通過建構(gòu)日志系統(tǒng)以提供未來稽核所需要的佐證文件，為規(guī)劃與建構(gòu)信息資料分析平臺不可或缺的考量。三是防御：信息環(huán)境須具備防御的機制，當有異常的行為出現(xiàn)時，必須能夠進行自我的防御，以避免影響其它的信息服務。四是應變：針對異常的行為或是威脅進行應變處置，必須具備自動化應變的能力，通過自主的應變措施，以提供信息環(huán)境掌控風險，并且結(jié)合風險評價與改善規(guī)劃，進行環(huán)境的調(diào)整，以達信息服務的持續(xù)提供。通過偵測、分析、防御與應變程序進行信息服務的管理，面對所遭遇的問題，通過不斷的持續(xù)改善，依據(jù)所發(fā)掘的異常行為進行信息服務的改善，包括了基礎(chǔ)設(shè)施、系統(tǒng)平臺以及應用程序等，增加信息服務的完整性與可靠度。信息生態(tài)系統(tǒng)可應用于公有信息服務、私有信息服務或是混合性的信息服務架構(gòu)中，通過整體的自我防御機制，以維持自然的生態(tài)平衡，能夠?qū)τ诋惓５男袨樘卣鬟M行應對與處置。信息生態(tài)系統(tǒng)，必須擁有自動化的處理能力，面對外來與內(nèi)在的威脅，進行自我的防御與應變，以縮小影響的范圍與處理的時效，面對大量的資源，必須有效掌握現(xiàn)有資源的狀態(tài)，以做為資源的調(diào)配上的參考指標。2生態(tài)信息安全標準化建設(shè)一是實現(xiàn)與維護信息安全計劃。完整的信息安全防護計劃，可以確保信息架構(gòu)的安全，針對風險與威脅都進行管理與控制，并且能夠持續(xù)維護信息安全計劃的有效性，以應對新型態(tài)風險與威脅的出現(xiàn)，通過應變策略的擬定，針對信息服務的安全性進行掌握。二是建構(gòu)與管理信息安全的基礎(chǔ)設(shè)施。通過完整的基礎(chǔ)設(shè)施，能夠提供信息服務所需的高彈性資源調(diào)配，確保服務的可靠性，因此通過基礎(chǔ)設(shè)施的保護，為提供信息服務的基本要素，同時通過服務供應商，以確保在符合法律、法規(guī)以及客戶的要求下，有能力滿足對于所要求的服務內(nèi)容。三是確保機密資料安全防護。資料的安全防護為信息服務的核心原則，所有通過信息服務進行傳輸、存取與保存的資料，必須受到嚴格的資料安全防護機制，對于企業(yè)而言，機敏的資料必須確實受到安全的防護，才會考慮是否采用信息服務模式在其商業(yè)營運上，因此無論采用何種方式使用信息服務，所有的資料流均必須考慮到資料安全的防護問題。四是實現(xiàn)嚴謹?shù)拇嫒】刂婆c身份識別管理。使用者可以由不同的管道使用信息服務，但是不論使用何種方式，均必須確保能夠正確的驗證使用者的身份，并且能夠針對使用者的權(quán)限進行有效的管理，以限制能夠提供存取的資料范圍。五是建立應用程序與環(huán)境的配置。當使用者通過信息服務的使用者界面進行服務內(nèi)容的設(shè)定，信息服務的架構(gòu)必須由一連串的變更進行環(huán)境的配置與設(shè)定，以確定能夠由自動化的程序，建立應用程序與環(huán)境的整合。六是實施信息治理與稽核管理規(guī)劃。對于信息環(huán)境的管理，必須配合稽核計劃進行，以確保所有的信息服務能夠在可被驗證與舉證的前提下，提供使用者安全上的信賴，其中必須涵蓋日志的收集以及需要進行稽核的紀錄，整體的管理規(guī)劃必須同時配合信息服務的推出進行建構(gòu)。七是實現(xiàn)弱點掃瞄與入侵偵測系統(tǒng)架構(gòu)。在被信任的的信息服務中，必須實現(xiàn)信息架構(gòu)中的基礎(chǔ)設(shè)施、系統(tǒng)平臺以及應用程序的弱點管理機制，通過管理機制的建立，以進行嚴格的弱點管理計劃，配合入侵偵測系統(tǒng)、入侵防御系統(tǒng)以及IT資源的管理，其中包括了網(wǎng)絡、服務器、基礎(chǔ)設(shè)施等元件，以確定提供信息服務的內(nèi)容，不因為存在弱點而造成風險與威脅。3小結(jié)傳統(tǒng)的信息安全問題，仍然會出現(xiàn)在信息服務的環(huán)境中，但伴隨著虛擬化的架構(gòu)、動態(tài)資源的調(diào)配以及跨越不同地理位置的服務模式，將讓信息安全的問題變得更為復雜，而且新型態(tài)的安全問題也隨著信息服務的提供而出現(xiàn)，因此更需要通過技術(shù)的層面以及管理的層面，整體的檢視信息服務與相關(guān)的架構(gòu)，方能提供信息服務的使用者在安全防護上的保障，結(jié)合信息安全監(jiān)控中心，對于信息環(huán)境內(nèi)的狀態(tài)進行掌控，保存相關(guān)的系統(tǒng)日志與稽核紀錄，可做為信息安全事件分析的重要信息來源。[參考文獻][1]胡運清.信息生態(tài)環(huán)境問題研究[J].圖書館工作與研究,2007(04). [2]胡笑梅.網(wǎng)絡信息生態(tài)失衡透析[J].科技情報開發(fā)與經(jīng)濟,2006(21).