信息服務平臺安全保障探討

王曉明 劉萬策 黃韌

廣東省實驗動物監測所信息中心 廣東 510260

0 引言

現在是信息時代，方便快捷的信息共享和信息交換已經成為推動社會發展的動力，各行各業也都希望通過整合信息資源為行業帶來更多的競爭優勢。行業信息服務平臺就是利用現代信息技術，整合行業信息資源，實現信息共享的服務平臺。隨著行業信息服務平臺應用的不斷普及，各種網絡安全事件不斷發生，由于管理水平各異，許多行業信息服務平臺的信息安全受到嚴重威脅。如何進行整體部署，系統的加強安全防范，正是本文要進行探討的內容。

1 影響信息服務平臺安全的主要因素

影響信息服務平臺安全的主要因素有物理環境、網絡、主機及系統等。

1.1 物理環境因素

物理環境因素主要指機房環境、電力供應，以及人為的或自然的破壞因素等諸多環境方面的安全因素。如：機房位置、溫度、濕度、雷電、火災、水災、靜電，人為的盜竊、破壞等因素。

設備機房的選址是非常關鍵的，平臺的設備機房就處在一個地勢較高且周圍較空曠的位置，每年都會受到不同程度的雷電襲擊，盡管采取了各種防護措施，但仍然不能完全避免損失，由此可見，設備機房的選址一定要注意自然環境因素的影響。

1.2 網絡因素

平臺的建設依賴于計算機網絡系統，但計算機網絡系統自身存在著嚴重缺陷——網絡協議的安全性問題，網絡最初主要是考慮互通性和實用性，而對網絡攻擊的可能性考慮較少，因此，網絡協議存在著嚴重的、不可避免的安全缺陷。除此以外，網絡結構、網絡設備、網絡傳輸等也都存在著不同程度的引起網絡風險的因素。正是由于構成計算機網絡的各個要素普遍存在的缺陷和漏洞，使得平臺在開放應用的過程中，極大的增加了運行風險，同時也增加了管理的難度。

1.3 主機及系統因素

主機及系統因素是指主機設備、操作系統、數據庫系統、應用系統等的安全影響因素。

各種硬件設備故障，如服務器、數據存儲設備等關鍵設備的硬件故障，都會造成系統運行的中斷，尤其是磁盤設備的物理性損壞，更將造成信息的損壞和丟失。

操作系統、數據庫系統等各種系統的設計漏洞，通常是黑客們進行溢出攻擊的最佳選擇，通過這種方式，黑客們可以輕松獲得被攻擊主機的管理員權限，遠程操作主機就像想操作自己的電腦一樣簡單，這對于提供公共信息服務的實驗動物信息服務平臺來說，危害性非常大。

1.4 其他因素

管理人員受到的安全培訓，形成的安全保密意識，以及他們的責任心，網站安全管理制度、安全責任制度的建立和執行等各種人為和管理的因素，也是影響信息安全不可忽視的因素。

2 信息安全保障

信息安全的范疇涉及計算機技術、網絡技術、通信技術、密碼技術、信息安全技術等綜合性技術。在美國國家信息基礎設施NII(National Information Infrastructure)的文獻中，安全的屬性被定義為：可用性、完整性、保密性、可靠性和不可抵賴性。信息安全保障就是要保障信息資源能夠滿足以上五個屬性。

可用性，是指獲得授權的用戶在任何時候訪問信息資源和服務，信息都必須是可用的。

完整性，是指信息不能被未經授權的改變。偶然的或蓄意的刪除、修改、偽造、亂序、重放、插入、丟失等，都會造成信息的完整性被破壞。

保密性，是指信息不能被未經授權的獲知。確保信息不暴露給未經授權的實體或進程。

可靠性，是指系統在規定條件下和規定時間內，完成規定功能的概率。同樣的，還有軟件可靠性、人員可靠性、環境可靠性等等。

不可抵賴性，也稱作不可否認性。在信息交互過程中，確信參與者的真實同一性。通過使用數字簽名等技術，讓所有參與者都不可能否認或抵賴曾經完成的操作和承諾。

我們實施信息安全保障的目的，就是要通過采用信息安全技術和信息安全管理措施，保證平臺安全穩定的運行，資源信息安全完整的保存，用戶訪問及時準確的響應。

3 信息服務平臺安全保障

信息安全是一個在風險和保障之間不斷較量的動態的過程。隨著時間的變化，技術的不斷發展，應用會不斷的發生改變，新的風險會不斷產生。

單純使用信息安全設備或技術很難實現全面的信息安全保障。必需通過統一規劃，融合技術和管理因素，建立信息安全管理體系和信息安全運行體系，全方位、立體式的保障信息安全。

3.1 信息安全管理體系

信息安全管理體系包括組織機構、管理制度、安全教育等管理因素，是保障信息安全的重要基礎。

3.1.1 組織機構

實驗動物信息服務平臺以安全領導小組為核心，網絡中心為技術保障。平臺安全領導小組是決策層，負責制定平臺安全戰略、審議平臺安全計劃項目及重大事項、發布決策、監督規范管理，組織、協調重大安全事故的應急響應。網絡中心有一支專業的技術隊伍，主要負責落實平臺決策層的各項具體工作，制定信息安全相關管理制度并負責實施，對平臺進行日常的安全監測和管理。

3.1.2 管理制度

實驗動物信息服務平臺的管理制度以國家相關的法律法規為依據，結合實驗動物行業信息應用的實際情況，以“適度安全”為原則，盡量避免安全制度過于嚴格、復雜，人員無法操作，信息資源得不到充分利用；也防止了制度過于寬松、簡單，信息資源缺乏安全性，遭受不必要的損失。總之，制度制定出來是要能用的，不是擺設。其中主要的一些包括：平臺運行維護管理制度、中心機房安全管理制度、信息安全管理制度等等。

3.1.3 安全教育

實驗動物信息服務平臺的管理制度及安全技術，最終需要由相關的技術人員加以實施，因此，安全教育和培訓也是管理體系建設的重要組成部分。定期組織安全培訓，結合社會上最新發生的安全事件，提出解決方案，落實防范措施。同時，積極走出去，參加專業的安全技術培訓，學習掌握新的安全管理技術。

3.2 信息安全運行體系

信息安全運行體系是信息安全的重要保障，包括安全評估、安全防護、災難響應及恢復等。

3.2.1 安全評估

安全評估是安全策略制定的依據，是對安全風險因素的評估及報告，安全風險因素的評估需要由具有專業資質的機構來進行。在進行風險評估的時候，關鍵是要確定評估范圍和評估項目，盡量考慮周到，不要遺漏，最終將確定出平臺的安全和風險等級，并給出安全解決方案，安全評估需要周期性進行。

實驗動物信息服務平臺根據專業的安全解決方案，適時對已有的安全策略和安全防護措施進行調整，最大限度的保證平臺的安全性。

3.2.2 安全防護

安全防護主要是針對前面提到的影響信息安全的三道大類因素：物理環境、網絡、主機及系統，進行有針對性的防護。

提高信息服務平臺運行所處的物理環境的安全，就是給平臺的安全筑起了一道堅實的屏障。例如：將中心機房與辦公區域隔離開來，使用指紋門禁系統對進出人員進行身份鑒別和控制出入；為關鍵設備配備穩壓不間斷電源，保障平臺系統不會因為斷電而暫停服務；中心機房進行防雷、恒溫、防潮、防靜電等環境控制，減少設備故障，等等。可以根據安全評估的建議，盡量做好安全防范，減少物理環境因素引起的故障。

信息服務平臺的網絡系統安全防護，主要是通過部署路由器、交換機、防火墻、入侵檢測/防御系統等網絡運行及安全設備，有效地在內部網絡和外部網絡之間進行安全隔離和防范，制定訪問控制策略、使用虛擬專網、數據傳輸加密等方式對網絡傳輸數據進行安全防護。通過一系列網絡安全設備和技術的部署，為網絡系統和信息傳輸的安全提供保障。入侵防御系統就是一個非常有效的網絡安全設備，在服務器群的前端部署入侵防御系統，及時的檢測出入侵威脅，在報警的同時迅速終止入侵行為，保護信息服務平臺的安全。

主機及系統的安全，一方面通過制定詳細的系統安全策略，嚴格管理用戶及訪問許可，安裝病毒及木馬檢測軟件、漏洞掃描軟件，及時升級系統安全補丁等；另一方面，定期檢查系統日志文件，分析異常事件，定期進行硬件設備檢測，從主機到系統都做到防微杜漸，消除安全隱患。

3.2.3 應急響應與災難恢復

任何安全措施都無法保證信息平臺和數據萬無一失，制定應急響應機制和業務連續性計劃，能夠在災難發生時及時響應，采取措施，控制災難損失，盡快恢復系統，確保業務連續。

實驗動物信息服務平臺的應急響應包括：建立有效的事件報告機制，及時發現問題；明確應急事件處理人員的崗位和職責，做到責任到人；制定應急響應各項工作的處理流程，進行經常性的培訓和演練；制定各項保障措施，使設備、經費和后勤工作得到有效的保障。通過建立完善的應急響應機制，有序的運作，使災難事件變得可以控制，大大降低災難的危害性。

業務連續性計劃的關鍵是要制定數據的容災備份計劃。首先，要確定目標，比如：需要保障的資源內容、最大可允許中斷時間、數據損失最遠回溯時點等；然后，根據目標制定備份方案。備份方案有許多種：磁帶備份、磁盤鏡像、雙機熱備、異地鏡像、異地容災備份等等，根據需要保障的安全等級選擇可行的備份方案。平臺采用異地鏡像的備份方式，同時，定期進行磁盤備份。業務連續性計劃的目的就是確保信息平臺和數據的快速恢復。

4 結束語

信息安全保障遵循短板理論：圓木桶上最短的那塊板決定了這個木桶可以裝水的多少。在信息安全保障工作中，安全防范最薄弱的環節，通常會給整個系統帶來災難性的后果，信息安全保障需要進行全方位的衡量。

總而言之，信息安全保障是一項涉及面廣、內容復雜的系統工程，需要建立完善的機制，有效地監督執行，適時的動態調整，并且需要整個管理機構上下一條心、團結協作才能真正保障信息服務平臺安全、穩定的運行，這是我們在信息服務平臺安全建設中最深刻的體會。

[1]黃韌,薛成.中國實驗動物生物學特性數據庫的建設與共享[J].實驗動物科學.2008.

[2]賀爭鳴,邢瑞昌,岳秉飛.實驗動物生物學特性數據化表達的規范化與數據共享[J].實驗動物與比較醫學.2008.

[3]黃韌,薛成.行業信息網站建設與中國實驗動物信息網[J].中國科技成果.2009.

[4]張維華.我國電子政務信息資源安全保障體系研究[J].圖書情報工作.2007.

[5]王謙,陳放.電子政務的信息安全保障及體系構建[J].信息網絡安全.2008.