目前，我國信息化發(fā)展空前迅速，信息安全保障已成為信息化發(fā)展的重要部分，政府部門、企事業(yè)單位及科研院所、大專院校在結(jié)合自身實際需要建設(shè)網(wǎng)絡(luò)信息系統(tǒng)的同時，也在配置安全產(chǎn)品、增加安全功能以保證系統(tǒng)的正常運行。

        那么，如何考慮信息安全系統(tǒng)的建設(shè)?怎樣選購信息安全產(chǎn)品?選購信息安全產(chǎn)品時要考慮那些因素?安全系統(tǒng)建成后怎樣發(fā)揮安全產(chǎn)品的作用?這些問題是廣大信息安全系統(tǒng)建設(shè)者所關(guān)心的，本文將就這些問題談?wù)剛€人的一些看法。

         確定安全需求

        建設(shè)信息安全系統(tǒng)的首要問題是要搞清楚存在的安全風(fēng)險，明確安全目標(biāo)，進(jìn)而提出安全需求，并以此為基礎(chǔ)設(shè)計安全解決方案。安全需求的確定涉及以下幾個方面：

        政策、標(biāo)準(zhǔn)要全面審查和考慮相關(guān)的政策指令，包含與有關(guān)安全標(biāo)準(zhǔn)或目標(biāo)體系結(jié)構(gòu)相符合的東西以及國際、國家、部門、地方等級別上頒發(fā)的、強(qiáng)制或指導(dǎo)性的各種規(guī)定。

        安全威脅評估安全威脅分成兩大類，一類是惡意地利用環(huán)境、行動或事件，可能給信息或系統(tǒng)造成的損害。另一類包含授權(quán)用戶在內(nèi)的因為純粹的誤操作或偶爾的誤用不經(jīng)意下所犯下的錯誤，以及系統(tǒng)組件的脆弱性和漏洞。

        任務(wù)的安全目標(biāo)安全目標(biāo)是從一種大范圍、長時期使用的觀點提出的，從而可以作為系統(tǒng)的安全風(fēng)險分析以及選擇產(chǎn)品和解決方案的依據(jù)。

        信息流及其功能和價值了解系統(tǒng)及其所處理信息的性質(zhì)非常重要。要分析由于系統(tǒng)資源或系統(tǒng)處理信息的丟失、泄露或被修改對國家、團(tuán)體和個人在政治影響、社會影響和經(jīng)濟(jì)利益方面帶來的損害。為了準(zhǔn)確地定義安全目標(biāo)、安全需求，必須了解和分析系統(tǒng)處理或存貯的信息功能、流向和價值。

         選擇合適的產(chǎn)品

        信息安全產(chǎn)品按其功能分為幾大類，如訪問控制類、加密類、入侵檢測類等等。每類產(chǎn)品因設(shè)計思想和實現(xiàn)模式不同而衍生出各種有特色的產(chǎn)品。對用戶來說，需要選擇一款最適宜的。首先用戶要搞清楚要保護(hù)什么?達(dá)到什么安全目標(biāo)?

        安全產(chǎn)品并不是功能越全越好，而且每種產(chǎn)品都有其優(yōu)點和缺點，沒有那家廠商的產(chǎn)品是全方位的冠軍，應(yīng)該以應(yīng)用需求推動技術(shù)采購決策，另外，要考慮安裝、配置以及管理的方便性。

         中國信息安全產(chǎn)品測評認(rèn)證中心代表國家開展對信息安全產(chǎn)品的安全性和可靠性進(jìn)行測評認(rèn)證工作，其認(rèn)證證書具有權(quán)威性。在一些特殊的部門和領(lǐng)域，如：涉密系統(tǒng)和軍方也有本部門的測評認(rèn)證中心，他們將根據(jù)一些特殊要求和標(biāo)準(zhǔn)對產(chǎn)品進(jìn)行測評并頒發(fā)證書。這些都是用戶在選購時可以參考或必須執(zhí)行的。對涉密系統(tǒng)而言，原則上必須選用國產(chǎn)設(shè)備，只有在無相應(yīng)國產(chǎn)設(shè)備時方可選用經(jīng)國家主管部門批準(zhǔn)的國外設(shè)備。涉及密碼技術(shù)的安全保密產(chǎn)品必須獲得國家密碼主管部門的批準(zhǔn)。


 

由于信息安全系統(tǒng)的特殊性，所以不論對安全系統(tǒng)的集成商還是產(chǎn)品的提供商，了解其背景、考察其服務(wù)能力十分必要。最好選擇有成功案例、社會知名度高且信譽(yù)好的企業(yè)和產(chǎn)品，對技術(shù)支持和服務(wù)承諾要落實在協(xié)議中避免發(fā)生糾紛。

安全功能的配置要和當(dāng)前系統(tǒng)的整體應(yīng)用水平配套，對于那些用不到或暫時用不到的功能可以不采購或暫緩采購產(chǎn)品。這樣，一是安全目標(biāo)明確，維護(hù)易行;二是經(jīng)費可以得到有效利用，避免浪費;三是信息技術(shù)發(fā)展日新月異，購置的產(chǎn)品閑置不用很快將被新的技術(shù)產(chǎn)品所取代;四是把下次產(chǎn)品采購的主動權(quán)留給自己。

集成后的測試和維護(hù)

毋庸置疑，信息安全保護(hù)措施不是一勞永逸的。信息技術(shù)不斷發(fā)展，網(wǎng)絡(luò)系統(tǒng)的功能也在不斷完善擴(kuò)充，網(wǎng)絡(luò)攻擊、病毒傳播、惡意破壞的手段不斷翻新，因此，對安全提出新的需求。這就要求網(wǎng)絡(luò)安全管理者及時調(diào)整安全策略，采取安全措施：

一、將所有的安全功能模塊(產(chǎn)品)集成為一個完整的系統(tǒng)后，需要檢查確認(rèn)集成出的系統(tǒng)是否符合要求。包括：測試安全系統(tǒng)在整個系統(tǒng)中的作用;測試安全系統(tǒng)與網(wǎng)絡(luò)系統(tǒng)及應(yīng)用系統(tǒng)的適應(yīng)性和對它們的影響;跟蹤安全保障機(jī)制，包括安全管理機(jī)制，發(fā)現(xiàn)漏洞;完善系統(tǒng)的運行程序和全生命期安全支持計劃;準(zhǔn)備一份現(xiàn)階段的安全風(fēng)險評估報告。

作為一些重要部門可以邀請權(quán)威的測評認(rèn)證機(jī)構(gòu)對安全系統(tǒng)進(jìn)行一次檢查和測試，以確保系統(tǒng)設(shè)計滿足安全目標(biāo)并得到主管部門的認(rèn)可。

二、運行維護(hù)階段要對各種安全問題采取措施，以保證系統(tǒng)的安全水平在運行期間不會下降，具體工作如下：

⑴做好產(chǎn)品的升級和系統(tǒng)打補(bǔ)丁工作。⑵監(jiān)測系統(tǒng)的安全性能，包括事故報告。⑶對用戶進(jìn)行安全培訓(xùn)，并對培訓(xùn)進(jìn)行評估。⑷監(jiān)測新發(fā)現(xiàn)的對系統(tǒng)的安全攻擊、系統(tǒng)所受威脅的變化以及其它與安全風(fēng)險有關(guān)的因素。⑸監(jiān)控配置改動對安全的影響。⑹評估系統(tǒng)改動對安全系統(tǒng)造成的影響。