論領(lǐng)導(dǎo)決策信息咨詢網(wǎng)絡(luò)安全體系建設(shè)

1、目前，在全球信息化的大環(huán)境下，我國信息化發(fā)展十分迅速，特別是政府上網(wǎng)工程和電子政務(wù)建設(shè)，已經(jīng)成為中國信息化建設(shè)的龍頭。根據(jù)2003年1月17日中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r分析報(bào)告的統(tǒng)計(jì)數(shù)據(jù)，截止~t]2002年12月31日，我國共有wWw站點(diǎn)數(shù)約37160o個(gè)，在CN下注冊的域名數(shù)為179544個(gè)。其中以政府名義注冊govcn結(jié)尾的英文域名總數(shù)為7796個(gè)，占en下注冊域名數(shù)的43％。第l1次CNNIC調(diào)查結(jié)果顯示，國家機(jī)關(guān)、政黨機(jī)關(guān)、社會(huì)團(tuán)體

2、上網(wǎng)占125％，排在第一。隨著電子政務(wù)建設(shè)實(shí)質(zhì)性應(yīng)用的深人，網(wǎng)絡(luò)環(huán)境下的領(lǐng)導(dǎo)決策咨詢服務(wù)系統(tǒng)建設(shè)理應(yīng)先行一步，借助于先進(jìn)、實(shí)用的電子政務(wù)網(wǎng)絡(luò)專用平臺(tái)，解決長期以來困擾我國決策咨詢機(jī)制的諸多薄弱環(huán)節(jié)，理順為領(lǐng)導(dǎo)決策服務(wù)的渠道，提高整個(gè)領(lǐng)導(dǎo)決策過程的效率和質(zhì)量。然而，任何事物都有其兩面性，網(wǎng)絡(luò)環(huán)境在給領(lǐng)導(dǎo)決策咨詢工作環(huán)境帶來方便的同時(shí)，也帶來了網(wǎng)絡(luò)安全的隱患。本文著重探討在網(wǎng)絡(luò)環(huán)境下，領(lǐng)導(dǎo)決策信息咨詢服務(wù)系統(tǒng)安全保障體系建設(shè)解決方案和實(shí)施策

3、略，旨在提供一種解決虛擬決策咨詢網(wǎng)絡(luò)安全保障問題的思路與方法。一、國內(nèi)外信息網(wǎng)絡(luò)安全現(xiàn)狀當(dāng)今世界，信息化浪潮席卷全球，以計(jì)算機(jī)網(wǎng)絡(luò)為核心的規(guī)?；畔⑾到y(tǒng)發(fā)展勢頭強(qiáng)勁，深刻反映了社會(huì)對信息系統(tǒng)的巨大依賴性但當(dāng)人們在全力打造信息系統(tǒng)的跨時(shí)空效能，不斷推出高速計(jì)算機(jī)、高速網(wǎng)絡(luò)，并取得巨大收益的同時(shí)，信息安全的諸多嚴(yán)重問題已經(jīng)明顯地暴露出來。例如：由于lntemet存在的嚴(yán)重的安全漏洞和隱患，導(dǎo)致各國的國家軍事情報(bào)、政府部f1和企業(yè)公司的機(jī)密文

4、件以及個(gè)人隱私等敏感信息，在網(wǎng)絡(luò)環(huán)境中無法得到可靠的安全保障。特別是最近幾年，全球信息網(wǎng)絡(luò)系統(tǒng)面臨著諸如不良信息的入侵和污染、“黑客”和計(jì)算機(jī)犯罪、網(wǎng)絡(luò)病毒、機(jī)要信息的擴(kuò)散、信息間諜的潛入等等嚴(yán)重威脅網(wǎng)絡(luò)安全的致命因素信息網(wǎng)絡(luò)的脆弱性已經(jīng)引起世界各國政府和研究機(jī)構(gòu)的高度重視。國外發(fā)達(dá)國家視建立信息網(wǎng)絡(luò)安全保障體系全意識(shí)淡漠。二、構(gòu)建領(lǐng)導(dǎo)決策信息咨詢網(wǎng)絡(luò)安全保障體系(一)計(jì)算機(jī)網(wǎng)絡(luò)安全體系內(nèi)涵。國際標(biāo)準(zhǔn)化組織(ISO)將計(jì)算機(jī)安全定義為：

5、“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露?！庇?jì)算機(jī)安全的內(nèi)容包括物理安全和邏輯安全兩個(gè)方面。物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù)，免于破壞、丟失等。邏輯安全包括信息完整性、保密性和可用性：保密性指高級別信息僅在授權(quán)情況下，流向低級別的客體；完整性指信息不會(huì)被非授權(quán)修改，信息保持一致性等；可用性指合法用戶的正常請求能及時(shí)、正確、安全地得到服務(wù)或回應(yīng)。除此之外

6、，信息系統(tǒng)還應(yīng)提供鑒別、訪問控制和抗抵賴安全服務(wù)以及可控性(二)計(jì)算機(jī)網(wǎng)絡(luò)安全體系層次結(jié)構(gòu)。1網(wǎng)絡(luò)層的安全性。其核心問題在于網(wǎng)絡(luò)互聯(lián)設(shè)備以及網(wǎng)絡(luò)接口模塊是否論領(lǐng)導(dǎo)決策信息咨詢網(wǎng)絡(luò)安全體系建設(shè)山東王愛平吳怡青為21世紀(jì)綜合國力、經(jīng)濟(jì)競爭實(shí)力和生存能力的重要組成部分美、德、英、俄、日等國家均投入巨資，將信息安全技術(shù)列為國防、科研和政府資助科研計(jì)劃的重點(diǎn)項(xiàng)目，并已形成相當(dāng)規(guī)模的信息產(chǎn)業(yè)而我國由于網(wǎng)絡(luò)發(fā)展起步較晚，雖然已經(jīng)初步形成了信息安全技術(shù)

7、框架，但從總體來看，我國的信息安全保障體系尚未建成，遠(yuǎn)遠(yuǎn)不能滿足實(shí)際需要。主要表現(xiàn)為：信息網(wǎng)絡(luò)安全的防護(hù)能力差；國家信息安全管理機(jī)構(gòu)缺乏權(quán)威與協(xié)調(diào)；_A社會(huì)的信息安能夠得到有效控制。網(wǎng)絡(luò)管理員通過配置網(wǎng)管軟件或路由器，實(shí)現(xiàn)對整個(gè)子網(wǎng)內(nèi)的所有主機(jī)的傳輸信息和運(yùn)行狀態(tài)進(jìn)行安全監(jiān)測和控制，同時(shí)輔助以身份認(rèn)證、客戶權(quán)限設(shè)置與判別、審計(jì)日志等方法在網(wǎng)絡(luò)環(huán)境下對來自其他機(jī)器的網(wǎng)絡(luò)通信進(jìn)程進(jìn)行安全控制2操作系統(tǒng)的安全性：主要要求把系統(tǒng)內(nèi)核中可能引起安

8、全性問題的部分剔除出去，從而使系統(tǒng)更安全。由于各種操作系統(tǒng)都存在先天缺陷和由于不斷增加新功能而帶來的漏洞。因此，構(gòu)建操作系統(tǒng)級網(wǎng)絡(luò)安全，需要從幾方面著手：采用安全性較高的操作系統(tǒng)；對操作系統(tǒng)進(jìn)行安全配置，盡量改變或減少暴露的服務(wù)端口號及其數(shù)量；利用安全掃描系統(tǒng)檢查操作系統(tǒng)的漏洞；對WWW發(fā)布服務(wù)器的內(nèi)容進(jìn)行數(shù)據(jù)備份，并對Web2003年第9期POLICYRESEARCH&EXPLORATION維普資訊發(fā)布頁進(jìn)行監(jiān)視等。3用戶的安全性。主

9、要確保只有真正被授權(quán)的用戶，才能夠使用系統(tǒng)中的資源和數(shù)據(jù)。在對用戶的管理上，按安全性要求對用戶實(shí)行分組管理，根據(jù)不同的安全級別將用戶分為若干等級，每一等級的用戶只能訪問與其等級相對應(yīng)的系統(tǒng)資源和數(shù)據(jù)。同時(shí)，采取身份認(rèn)證方法，以確保用戶的密碼不會(huì)被他人猜測到。4應(yīng)用程序的安全性。主要解決只有合法的用戶才能夠?qū)μ囟ǖ臄?shù)據(jù)進(jìn)行合法操作的問題。其中主要涉及到應(yīng)用程序?qū)?shù)據(jù)的合法權(quán)限，以及應(yīng)用程序?qū)τ脩舻暮戏?quán)限。例如：在單位內(nèi)部，上級部門的應(yīng)用

10、程序能夠讀取下級部門的數(shù)據(jù)，而下級部門的應(yīng)用程序則一般不應(yīng)該允許讀取上級部門的數(shù)據(jù)。同級部門的應(yīng)用程序的讀取權(quán)限則要根據(jù)工作性質(zhì)確定權(quán)限，以盡可能避免數(shù)據(jù)的意外損壞。5數(shù)據(jù)的安全性。就是要保證機(jī)密數(shù)據(jù)始終處于機(jī)密狀態(tài)。在數(shù)據(jù)的保存過程中，機(jī)密的數(shù)據(jù)即使處于安全的空間，也要對其進(jìn)行加密處理，以防數(shù)據(jù)失竊。需要指出的是，在網(wǎng)絡(luò)建設(shè)中，除綜合考慮以上5個(gè)層次外，還應(yīng)該根據(jù)信息網(wǎng)絡(luò)安全存在著動(dòng)態(tài)性和整體性的特點(diǎn)，跟蹤最新的網(wǎng)絡(luò)安全技術(shù)，在原有安

11、全系統(tǒng)的基礎(chǔ)上調(diào)整網(wǎng)絡(luò)安全策略，添加相應(yīng)的網(wǎng)絡(luò)安全產(chǎn)品，給網(wǎng)絡(luò)安全提供強(qiáng)有力的保障。(三)領(lǐng)導(dǎo)決策咨詢網(wǎng)絡(luò)安全保障體系構(gòu)建。1構(gòu)建目的。領(lǐng)導(dǎo)決策信息咨詢網(wǎng)絡(luò)系統(tǒng)是由各級決策咨詢機(jī)構(gòu)和信息情報(bào)系統(tǒng)組成的為領(lǐng)導(dǎo)決策服務(wù)的網(wǎng)絡(luò)保障體系。主要包含兩項(xiàng)任務(wù)：一是在網(wǎng)上為領(lǐng)導(dǎo)決策提供全方位信息咨詢服務(wù)，形成網(wǎng)上的智力支持；二是將決策方案的執(zhí)行情況，由監(jiān)督系統(tǒng)通過互聯(lián)網(wǎng)傳送到?jīng)Q策信息咨詢系統(tǒng)，必要時(shí)再將信息系統(tǒng)收集的“反饋”信息和智囊系統(tǒng)的新一輪“會(huì)

12、診”情況“反饋”到?jīng)Q策系統(tǒng)，在計(jì)算機(jī)網(wǎng)絡(luò)的支持下實(shí)現(xiàn)廣義上的決策咨詢支持，達(dá)到領(lǐng)導(dǎo)決策科學(xué)化、民主化的目的。2構(gòu)建步驟。(1)系統(tǒng)安全風(fēng)險(xiǎn)分析。由于安全保障體系分決策信息咨詢服務(wù)層、黨政內(nèi)部決策層等層次，各網(wǎng)絡(luò)之間存在著信息資源、服務(wù)對象、數(shù)據(jù)通信方式等方面的不同，因此，信息網(wǎng)絡(luò)所面臨的安全風(fēng)險(xiǎn)有很大差異。而在風(fēng)險(xiǎn)分析與評估時(shí)，既要確定應(yīng)用層各層次的安全風(fēng)險(xiǎn)范圍，又要確定信息和系統(tǒng)的風(fēng)險(xiǎn)級別，為有效地防范與控制提供有益的參考依據(jù)。(2)

13、系統(tǒng)安全策略。安全策略的實(shí)質(zhì)是：當(dāng)系統(tǒng)在進(jìn)行一般操作時(shí)，要判斷清楚安全的范圍和內(nèi)容，目的是力求以最小的代價(jià)，保證信息系統(tǒng)的安全，使信息系統(tǒng)發(fā)揮最大的效益。安全策略分為兩大類：一是基于身份的安全策略。這種安全策略的基礎(chǔ)是用戶的身份和屬性以及被訪問的資源或客體的身份和屬性。二是基于規(guī)則的安全策略，包括技術(shù)策略和管理策略。安全策略同樣要通過資源安全級別分類、風(fēng)險(xiǎn)級別的分析與評估、決策保護(hù)內(nèi)容等步驟形成：(3)應(yīng)具備的功能：應(yīng)具備的主要功能有：

14、訪問控制；檢查安全漏洞；加密通信信息；身份認(rèn)證；隱藏內(nèi)部信息；設(shè)立安全監(jiān)控中心，為信息系統(tǒng)提供安全體系管理、監(jiān)控、保護(hù)及緊急情況服務(wù)；攻擊監(jiān)控，如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等；備份和恢復(fù)，幫助系統(tǒng)盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。三、安全保障體系實(shí)施策略(一)樹立優(yōu)先使用自主信息系統(tǒng)與技術(shù)的意識(shí)。為了保證領(lǐng)導(dǎo)決策咨詢服務(wù)系統(tǒng)安全可靠，必須強(qiáng)調(diào)擁有自主知識(shí)產(chǎn)權(quán)的安全體系的重要性。所以，建設(shè)領(lǐng)導(dǎo)決策咨詢安全保障體系，一定要把握優(yōu)先使用國

15、產(chǎn)軟件、硬件，注重積極添置使用自主創(chuàng)新的信息系統(tǒng)和技術(shù)，如：安全信息系統(tǒng)的構(gòu)作集成技術(shù)；信息的加解密保護(hù)技術(shù)；密鑰管理技術(shù)；安全審計(jì)跟蹤技術(shù)等，利用國內(nèi)外先進(jìn)的技術(shù)和資源，形成有自己技術(shù)含量的、集成的信息系統(tǒng)，特別是對核心技術(shù)的掌握這樣才可以避免被別人調(diào)控的局面，使信息安全防護(hù)達(dá)到一個(gè)新高度。(二)建立統(tǒng)一的安全支持體系。建立統(tǒng)一的安全體系貫穿于從網(wǎng)絡(luò)層、系統(tǒng)層乃至應(yīng)片層的所有環(huán)節(jié)，將各種安全應(yīng)用技術(shù)綜合應(yīng)用于安全支持體系之中，設(shè)立隔離

16、結(jié)構(gòu)網(wǎng)絡(luò)使用戶依據(jù)相應(yīng)的權(quán)限在安全可靠的環(huán)境下，實(shí)現(xiàn)資源共享、業(yè)務(wù)聯(lián)動(dòng)等作業(yè)。例如：領(lǐng)導(dǎo)決策咨詢安全保障體系分成政府內(nèi)網(wǎng)的領(lǐng)導(dǎo)決策系統(tǒng)和外網(wǎng)的決策信息咨詢系統(tǒng)兩部分，內(nèi)外兩網(wǎng)可以通過Intemet互聯(lián)，建立虛擬的領(lǐng)導(dǎo)決策信息咨詢服務(wù)專用網(wǎng)絡(luò)，虛擬專用網(wǎng)可以在兩個(gè)系統(tǒng)之間建立安全的信道，通過虛擬專用網(wǎng)上設(shè)立的專用加密技術(shù)和認(rèn)證技術(shù)，保證交互訪問時(shí)系統(tǒng)的安全性。(三)建立統(tǒng)一的安全操作系統(tǒng)。統(tǒng)一的安全操作系統(tǒng)主要規(guī)范系統(tǒng)內(nèi)身份標(biāo)識(shí)與驗(yàn)證、細(xì)

17、化的自主訪問控制、特權(quán)用戶職責(zé)劃分、強(qiáng)制訪問控制、審計(jì)跟蹤以及安全管理等方面措施，增強(qiáng)對基本安全功能的支持。例如：按照國標(biāo)GB17859—1999“計(jì)算機(jī)信息系統(tǒng)等級保護(hù)劃分準(zhǔn)則”，規(guī)定了5個(gè)不同等級的保護(hù)要求，關(guān)系領(lǐng)導(dǎo)決策咨詢方面的重要信息資源網(wǎng)絡(luò)必須達(dá)到3級以上保護(hù)要求。在3級保護(hù)標(biāo)準(zhǔn)中，最重要的安全功能就是引入強(qiáng)制訪問的控制。安全操作系統(tǒng)，必須把應(yīng)用系統(tǒng)內(nèi)的重要信息資源，按照系統(tǒng)訪問控制中設(shè)置安全策略的固有法則，實(shí)行強(qiáng)制保護(hù)。(四

18、)技術(shù)支持措施。在技術(shù)上要求適應(yīng)網(wǎng)絡(luò)動(dòng)態(tài)變化，建立白適應(yīng)的安全保障體系。安全平臺(tái)可以采取虛擬局域網(wǎng)(VPN)技術(shù)、防火墻、加密技術(shù)、系統(tǒng)控制、程序順序控制、SSL安全控制、數(shù)據(jù)庫訪問控制和反病毒技術(shù)等技術(shù)支持措施。(五)安全管理措施。首先，建立法律政策、安全教育等內(nèi)部軟環(huán)境，依法管理。其次，建立嚴(yán)格的管理制度。包括：安全負(fù)責(zé)制度、運(yùn)行審批制度、日志管理制度、災(zāi)難恢復(fù)||度、賬戶和密碼管理制度、有害數(shù)據(jù)及計(jì)算機(jī)病毒的預(yù)防和發(fā)現(xiàn)及清除的管理