构建信息安全保密体系.docVIP

构建信息安全保密体系 摘要：信息安全保密已经成为当前保密工作的重点。 本文从策略和机制的角度出发，给出了信息安全保密的服 务支持、标准规范、技术防范、管理保障和工作能力体系， 体现了技术与管理相结合的信息安全保密原则。 关键词：信息安全保密体系 一、 引言 构建信息安全保密体系，不能仅仅从技术层面入手， 而应该将管理和技术手段有机结合起来，用规范的制度约 束人，同时建立、健全信息安全保密的组织体制，改变现 有的管理模式，弥补技术、制度、体制等方面存在的不足， 从标准、技术、管理、服务、策略等方面形成综合的信息 安全保密能力，如图1所示。 图1信息安全保密的体系框架 该保密体系是以信息安全保密策略和机制为核心，以 信息安全保密服务为支持，以标准规范、安全技术和组织 管理体系为具体内容，最终形成能够满足信息安全保密需 求的工作能力。 二、 信息安全保密的策略和机制 所谓信息安全保密策略，是指为了保护信息系统和信 息网络中的秘密，对使用者（及其代理）允许什么、禁止 什么的规定。从信息资产安全管理的角度出发，为了保护 涉密信息资产，消除或降低泄密风险，制订的各种纲领、 制度、规范和操作流程等，都属于安全保密策略。例如： 禁止（工作或技术人员）将涉密软盘或移动存储设备带出 涉密场所；严禁（使用人员将）涉密计算机（连）上互联 网；不允许（参观人员）在涉密场所拍照、录像等。 信息安全保密机制，是指实施信息安全保密策略的一 种方法、工具或者规程。例如，针对前面给出的保密策略 可分别采取以下机制：为涉密移动存储设备安装射频标识 为涉密场所安装门禁和报警系统；登记上网计算机的（物 理）地址，实时监控上网设备；进入涉密场所前，托管所 有摄录像设备等。 根据信息系统和信息网络的安全保密需求，在制定其 安全保密策略时，应主要从物理安全保密策略，系统或网 络的访问控制策略，信息的加密策略，系统及网络的安全 管理策略，人员安全管理策略，内容监管策略等方面入 手。在安全保密机制方面，应主要从组织管理、安全控制 和教育培训等方面，针对给出的安全保密策略，确定详细 的操作或运行规程，技术标准和安全解决方案。 三、信息安全保密的服务支持体系 信息安全保密的服务支持体系，主要是由技术检查服 务、调查取证服务、风险管理服务、系统测评服务、应急 响应服务和咨询培训服务组成的，如图2所示。其中，风 险管理服务必须贯穿到信息安全保密的整个工程中，要在 信息系统和信息网络规划与建设的初期，就进行专业的安 全风险评估与分析，并在系统或网络的运营管理过程中， 经常性地开展保密风险评估工作，采取有效的措施控制风 险，只有这样才能提高信息安全保密的效益和针对性，增 强系统或网络的安全可观性、可控性。其次，还要大力加 强调查取证服务、应急响应服务和咨询培训服务的建设， 对突发性的失泄密事件能够快速反应，同时尽可能提高信 息系统、信息网络管理人员的安全技能，以及他们的法规 意识和防范意识，做到“事前有准备，事后有措施，事中 有监察”。 加强信息安全保密服务的主要措施包括： 借用安全评估服务帮助我们了解自身的安全性 通过安全扫描、渗透测试、问卷调查等方式对信息系 统及网络的资产价值、存在的脆弱性和面临的威胁进行分 析评估，确定失泄密风险的大小，并实施有效的安全风险 控制。 采用安全加固服务来增强信息系统的自身安全性 具体包括操作系统的安全修补、加固和优化；应用服 务的安全修补、加固和优化；网络设备的安全修补、加固 和优化；现有安全制度和策略的改进与完善等。 部署专用安全系统及设备提升安全保护等级 借助目前成熟的安全技术和产品来帮助我们提升整个 系统及网络的安全防护等级，可采用的产品包括防火墙、 IDS、VPN、防病毒网关等。 运用安全控制服务增强信息系统及网络的安全可观性、 可控性 通过部署面向终端、服务器和网络边界的安全控制系 统，以及集中式的安全控制平台，增强对整个信息系统及 网络的可观性，以及对使用网络的人员、网络中的设备及 其所提供服务的可控性。 加强安全保密教育培训来减少和避免失泄密事件的发 加强信息安全基础知识及防护技能的培训，尤其是个 人终端安全技术的培训，提高使用和管理人员的安全保密 意识，以及检查入侵、查处失泄密事件的能力。 引入应急响应服务及时有效地处理重大失泄密事件 具体包括：协助恢复系统到正常工作状态；协助检查 入侵来源、时间、方法等；对网络进行安全评估，找出存 在的安全隐患；做出事件分析报告；制定并贯彻实施安全 改进计划。 采用安全通告服务来对窃密威胁提前预警 具体包括对紧急事件的通告，对安全漏洞和最新补丁 的通告，对最新防护技术及措施的通告，对国家、军队的 安全保密政策法规和安全标准的通告等。 四、 信息安全保密的标准规范体系 信息安全保密的标准规范体系，主要