信息安全的分與分

隨著計算機的廣泛應用和信息安全問題的嚴重性越來越明顯。無論是政府機關還是企事業單位,乃至更多的普通百姓,都面臨著如何應對日益嚴峻的網絡攻擊、信息泄密、信息丟失等信息安全方面問題的考驗。世界各國以及眾多從事IT安全產品的廠家在產品的研發方面投入了巨大的人力和財力,本文試圖通過對信息安全技術的綜合分析,談談政府機關和企事業單位在信息安全防范方面應采取的方針和措施。一、信息安全的分類對于信息安全的分類,可以從不同的角度進行,從安全主體角度劃分,可把信息安全分為網絡安全和計算機安全兩大類。早期的信息安全主要表現為個體的計算機安全,如今的信息安全則更多的表現為整個網絡的群體安全,網絡的規模越大,安全問題就越突出,防范的難度也就越大。從表現形式來看,信息安全又可分為被動攻擊、主動泄密、病毒入侵等類別,實際上,這三種形式有時又是融為一體,兼而有之的。另外,網絡(包括計算機)的可靠性也可列入信息安全的范疇。二、正確處理“使用與監督”的關系,維護“人的合信息安全防范的措施可采取人防和技防兩種手段來實現。所謂人防,就是通過建立一系列的條例和制度來規范約束網絡和計算機的使用者,從而達到減少乃至杜絕信息安全事件的發生。通常這些制度包括入網審批、外網訪問權限審批、敏感類信息儲存和瀏覽的規定、敏感類信息對外發布的規定、重要設備的管理維護規定、計算機房管理規定、重要信息系統的管理規定、黑客類軟件的禁用規定、安全類軟件的使用規定、涉密信息管理規定等等。除上述規定外,還應加強日常的信息安全培訓、法規宣傳、警示教育和定期檢查,這些都是提高內部職員信息安全意識的有效手段。所謂技防,就是通過安裝不同功能的安防設備或者軟件系統,把各種可能發生的信息安全事件攔截在醞釀和萌發階段。IT業界有一種說法叫做“三分技術,七分管理”,意為技防不是萬能的,更多的是要靠人防、靠制度,持有這種觀點的人不在少數,包括相當一部分的IT技術人員,然而,在筆者看來,應當反過來講,改為“七分技術,三分管理”。誠然,世上任何事情的結果最終都取決于人,人的重要性自不待言,任何一個管理者都不會否認這一點,無論是政府機關還是企業,沒有一套科學完善的管理制度,沒有一批訓練有素的職員,它的信息安全就不可能得到保證。但信息安全不同于其它安全,有其特殊的一面,以消防安全為例,只要人們充分認識到火災的嚴重性,具有較強的防范意識,火災的避免是比較容易做到的,即使發生了火災,往往在火災初期也能夠將其控制,進而被迅速撲滅。而信息安全則不然,由于信息技術的飛速發展以及操作系統的天生缺陷,給各種“怪才”和居心叵測者提供了施展“才能”的空間,盡管建立了完備的管理制度,但是,我們不可能要求每一個計算機使用者都具備較高的專業素質,正是由于信息技術的特殊性和信息安全事件的隱蔽性,使得當事人往往在不知不覺中就已經中招,甚至成為“被犯罪”。對于內部授權人員刻意的非法行為,任何制度、任何技防措施都是無力的,但是,完備的技防措施可以有效地阻止非授權人員的惡意行為。所以說,“三七”說是欠妥當的,至少也要“五五”開。之所以有IT人士也堅持“三七”說,不排除這是在為自己開脫責任,作為專業人士,應當站在高層管理者的角度,從技術、成本、可行性等方面綜合考慮,為網絡信息系統設計一個合乎要求的安防體系,不給或者減少使用者犯錯誤的機會。三、單一功能產品信息安防產品的種類繁多,各有千秋,大致可分為基于網絡和基于桌面兩大類型。前者主要用于對整個網絡系統的安防,多采取網關的形式,如網絡防火墻、VPN網關、安全網關、防病毒網關等。后者則主要用于單機的防護,安裝在個人計算機上,如桌面安全系統、個人防火墻、防病毒軟件、隔離卡等。事實上,安全產品的趨勢正在逐漸地向融合的方向發展,當前市場上的安全產品往往是你中有我,我中有你,單一功能的產品并不多見。以防火墻為例,傳統的防火墻是基于包過濾技術,工作在網絡層和傳輸層,無法識別控制應用層的惡意攻擊,另外,由于硬件技術制約,傳統的防火墻不能滿足建立精細規則的要求。早期,為了實現安全目的,往往要在網絡邊界部署防火墻、VPN、上網行為管理、防病毒網關等一系列的產品,從專業角度講,術有專攻,單一功能的產品,其防護效果最好,但是多個單一功能產品疊加后,有許多操作都是重復的,對網絡影響較大,會形成多個瓶頸。隨著硬件技術的突破,系統的處理能力大幅提高,新的防火墻產品正在向下一代防火墻(NGFW)(也有稱統一安全網關(UTM))的方向發展,它克服了傳統防火墻的不足,將VPN、入侵防御、流量控制和上網行為管理等多項功能集成,減少了大量的重復操作,使網絡的整體性能得以改觀。四、網絡安全問題網絡信息安全防護的重要性和必要性已成為共識,對于個人電腦和家用電腦,可以肯定的說幾乎百分之百地都安裝了殺毒軟件,但對于政府機關和企業的網絡,由于其結構復雜,應用內容繁多,規模不同,以及安全防護的投入成本較高,使得一些信息主管在采用什么樣的安全策略上猶豫不決。據國家互聯網應急中心的統計,2010年中國內地共有近3.5萬家網站被黑客篡改,其中被篡改的政府網站達4635個,占全國政府網站的十分之一,比2009年上升了67.6%。由此可見,黨政機關網站的安全防護措施薄弱是一個較為普遍的現象。相對而言,省部級黨政機關的網站,由于領導重視,資金投入有保障,其安全性要好得多,市縣一級的網站,由于缺少資金投入和維護力量的原因,網站的安全性十分堪憂。一些黨政機關網站,由于建站人員安全意識差,技術一般,使網站存在許多漏洞和隱患,致使一些黑客使用很簡單的入侵手段即可得手,甚至發生過黑客以攻擊政府網站來要挾敲詐政府的案件。隨著政府執政理念的轉變,網上辦公、網上便民服務、網上與民眾溝通的應用也將越來越多,如果網絡安全不能得到保障,很有可能造成意想不到的嚴重后果,因此,黨政機關今后應當也必然會加大信息安全方面的投入,配備必要的網絡安全設備和網絡維護人員。一般來講,黨政機關的內部網絡結構和業務需求都不是很復雜,工作人員素質較高,安全防護措施比較容易實施。需要注意的是,黨政機關的一些計算機中存儲有含有密級的敏感信息,對于這部分計算機是絕對不允許與公網有任何的物理連接,目前,許多地方的保密部門都已建立了涉密計算機違規外聯監管系統,從而能夠有效地對涉密計算機實施監管。與政府網相比,企業網絡就要復雜得多,尤其是規模較大的央企行業網絡,入網計算機動輒幾百臺、幾千臺,最多的甚至可達幾十萬臺,計算機的數量越多,出現問題的幾率就越高,管理的難度也越大。此外,企業由于經營上的需要,往往在外地設有眾多的分支機構,出于成本考慮,這些分支機構與總部之間不可能都采用專線連接,通常是采取VPN技術,通過公網實現連接,這又使網絡安全管理的難度進一步增大。目前,占上網企業大多數的中小企業中,有相當一部分企業是通過ADSL或一條光纜專線直接接入互聯網的,在網絡出口處沒有采取任何網絡安防措施,只是在每臺計算機上安裝了殺毒軟件,這種幾乎不設防的做法無異于使企業的內部網在互聯網上“裸奔”,企業的信息毫無安全可言。在這方面,大型企業尤其是大型國企做得比較好,以中石油為例,它的網絡規模達到了6位數,2011年,中石油聘請權威機構對整個網絡進行檢查和評估,采取強制措施,將原來大大小小,多如牛毛的互聯網出口全部關閉,僅保留了少數幾個區域中心的出口,并在出口處部署了一系列高端的網絡安防設備,在網絡內部,它們部署了桌面安全、端點準入、病毒防護和身份認證等多個系統,使中石油網絡的安全性得以提升。目前在信息安全方面,已經有越來越多的黨政機關和企業認識到保證信息安全的重要性,舍得在信息安全方面花錢了,這對于從事信息工作的專業人員來說,無疑是個好現象,但是,也應看到,由于不懂專業和貪大求洋,在信息安全建設方面存在著盲目崇拜國外品牌的現象,這一點應當引起有關部門的重視。不可否認,國外的IT產品在功能和性能方面確實比國內品牌具有優