李肇亚 张选政 信息安全问题对于一个企业或集团乃至国家尤为重要，对国民经济和社会发展的稳定关系重大。因此，安全对于信息网络是至关重要的，没有安全保障的信息网络存在着潜在的危险。党政信息网的规划和设计必须注重系统的安全性、信息的安全性和管理的即时性。 一、系统安全策略与安全性 安全策略是整个系统安全性的反映。安全策略分两级考虑，即系统的安全性和信息的安全性。系统的安全性应与网络的物理环境、网络结构、操作系统、文件系统结合考虑；信息的安全性则侧重在对系统中存放的各类信息的存取控制，以及信息传递过程中的加密控制。同时，还要通过管理制度的执行来保证安全措施的实施。 系统的安全性应从这几个方面加以考虑： 1网络硬件通信环境的安全控制。 网络硬件安全主要包括防止网络通路的损坏、通路的窃听和对通路的攻击(干扰等)。专用网应使用专用的硬件通信环境构建独立系统，通过屏蔽重要的部位和非光纤连接的通信线路，加之配置上与公共网络完全分离，从而保证了网络硬件部分的安全。对于必须使用的公用广域网信道，应在网络的出口处加装信道加密机。利用密码设备进行机机认证和信息加密传输，构建安全虚拟专网，阻止来自公网上的非法攻击和窃听。 2操作系统的安全控制。选择安全级别较高的操作系统平台是网络安全的重要前提。充分利用系统平台提供的安全保密功能，从系统的准入、目录权限分配、共享授权、文件属性、事件日志等方面实施系统的安全控制。 3网络安全控制和网络监控。按照Intranet的原则构建党政信息网络，系统内只使用本网的IP地址，防止非注册用户进入。重要部位使用经公安部认证的国产安全路由器和安全防护软件，进一步保护网络的安全并随时隔离安全出现问题的网段。 针对具体用户、具体应用的级别差异，在一定范围内设置隔离层、过滤信息流，对网上数据的传输，也采取一定的限制措施，使重要数据不致泄露。 建立安全代理和授权认证系统，保证不同人只能访问安全策略允许其访问的信息，并为信息传输提供安全加密通道。对于存储转发机制或点对点通信，还应采用针对具体应用模式的应用层加密系统，如邮件、文件加密等，对重要的公文信息实现端到端的全程加密以及数字签名，确保数据的完整性和不可否认性。 4数据库和应用系统的安全控制。通过选择安全级别较高的数据库管理系统作为数据库平台和应用系统平台，充分利用其安全保密机制保障信息访问安全。 二、信息的安全性 对于现代信息系统进行信息安全保护，不仅体现在信息传输过程中，而且体现在信息处理的全过程。 信息处理前，需要验证用户的真实性，核实用户拥有的权限和级别。信息处理中，对传输或存储的信息实施加密，验证信息来源的真实性，检验信息的完整性，监督各种密级信息的合理流向，实施对信息流量的分析，实现不同系统间的保密信息资源共享。信息处理后，防止实施行为后的抵赖，审计追踪反安全策略的事件和责任。 由此可见，信息的安全保密已扩大到比从前大得多的范围，只有对信息处理的全过程实施周全的安全保密措施，才能确保信息系统的安全。 除在物理环境、网络和操作系统应用平台上采取安全措施外，如有必要，还可以通过以下几方面对信息安全加以控制： 1采用端口加密传输方式，即对重要信息通过加密机传输。 2利用应用平台的安全特性来控制对某些特定的服务器、数据库、数据库中的文档、表单、视图及文档中某些域的访问权限。根据级别限制使用某些功能，如修改、复制、代理等。 3利用加密算法(采用非对称的公钥密码或对称的密钥密码)对信息加密处理后再进行传输。 4保密信息传输，要求使用者使用系统提供的数字签名功能。 5系统安全审计，系统级安全审计是要充分利用操作系统和应用平台的审计系统，对操作系统和应用服务器(如Web、邮件等)以及数据库平台上的操作进行详细的审计跟踪；对系统级的安全漏洞、安全攻击、危险操作以及病毒和病毒事件进行检查分析，并做出详细的记录，及时封堵安全漏洞和确认安全责任。 6应用级审计，应用层的安全审计是针对用户进行的。由于应用层涉及的是具体的业务系统，应用层的安全审计针对不同应用系统所关心的安全问题和具体安全要求，进行有针对性的审计。 三、安全制度 泄密和系统被破坏的根源，首先是内部工作人员，其次才是“黑客”。内部工作人员能较多地接触设备和内部信息，工作中的任何疏忽都可能给信息安全带来危险，无论是有意攻击，还是操作失误，都会造成巨大的损失，使信息安全问题变得越来越复杂。因此，加强人员管理，制定并严格执行规章制度是非常必要的。首先，应制定各级网络中心的机房管理、网络系统管理、信息管理、用户管理，工作人员保密守则、服务守则等制度。其次，建立信息资源管理、信息类别划分、信息报送要求、使用范围等制度。再次，制定各级用户可访问信息的级别、用户守则、密码使用及更换等制度。 四、业务流程的制约和监控 加强对人的管理是指对人、对物的综合管理，包括对网络设备的安全管理、对操作以及其他系统软件的安全维护管理、对安全服务的管理、审计记录的安全管理，以及对系统中涉及密码应用的安全设备、密钥的管理等。同时，还应在强化安全管理制度上下功夫，这是计算机网络安全的根本保证。（作者单位：陕西省信息中心）★