壹、內容概述
在信息化建設中進行信息系統安全管理,是壹個新的課題,已經引起各國地調組織的高度重視。信息系統安全管理不單單是管理體制或技術問題,而是策略、管理和技術的有機結合。從安全管理體系的高度來全面構建和規範信息安全,將有效地保障信息系統安全。要利用網絡和信息技術及時有效地為用戶提供綜合、客觀的地質信息服務,就需要重視包括網絡服務在內的自動信息系統安全管理。自動信息系統安全管理是指用來保護自動信息系統資源免於丟失、破壞或濫用所做的管理控制和保衛工作。美國地質調查局在自動信息系統安全管理方面積累了大量經驗,這對我國相關部門制定有針對性的安全管理方法具有重要的借鑒和指導作用。
二、應用範圍及應用實例
美國地質調查局將提供地質信息列入其戰略計劃或工作計劃,強調要利用網絡和信息技術及時有效地為用戶提供綜合、客觀的地質信息服務,同時非常重視其包括網絡服務在內的自動信息系統安全管理。自動信息系統安全管理是指用來保護自動信息系統資源免於丟失、破壞或濫用所做的管理控制和保衛工作(張翠光等,2009)。
1.美國地質調查局自動信息系統安全管理方針
保護美國地質調查局所有信息技術設施,避免被損失、破壞、偷竊和濫用;保護所有美國地質調查局自動信息系統所處理的數據,避免發生未被授權的信息被泄露、修改或破壞;自動信息系統所產生、處理、存儲或傳輸信息受保護的等級與其敏感等級相壹致;對違反聯邦、部門或局關於自動信息系統安全法規者將受到相應的行政、法律制裁。
2.美國地質調查局自動信息系統敏感等級分類
敏感自動信息系統是指運行處理敏感數據的計算機應用程序的自動信息系統(設施、硬件、操作系統軟件、通信系統等),其中敏感數據是指由於數據的故意或意外泄露、更改或破壞會導致損失或危害的風險及數量較大而要求保護的數據。美國地質調查局為了給每壹個信息系統采取相應的保護措施,對其給定了相應的敏感等級,並要求壹、二級敏感信息系統應到美國地質調查局信息系統管理中備案,而0級敏感信息系統不需備案。0級敏感信息相當於公開信息;壹、二級信息系統的信息不屬於美國國家規定的保密信息,是根據其工作任務、商業目的及其價值大小等而設定;三級敏感信息系統的信息才是真正的保密信息。
0級(非敏感性)自動信息系統:自動信息系統上的信息不準確、更改、泄露或不能利用對美國地質調查局的任務、功能、形象或榮譽的影響可以忽略不計。即使有影響,影響也是微不足道,或者導致僅僅很小的有形資產或資源的損失。
壹級敏感自動信息系統:自動信息系統上的信息不準確、更改、泄露或不能利用對美國地質調查局的任務、功能、形象或榮譽影響較小。系統安全方面出現問題可能對有形資產或資源的損失造成潛在的不利影響。
二級敏感自動信息系統:自動信息系統上的信息不準確、更改、泄露或不能利用對美國地質調查局的任務、功能、形象或榮譽可能產生重要的不利影響。系統安全出現問題可能導致美國地質調查局不能完成其1個或多個計劃任務或商業功能,或者導致重大的有形資產和資源損失。系統生命周期的開支壹般超過1000萬美元。
三級敏感自動信息系統:自動信息系統處理機密信息。壹般由提供美國地質調查局機密信息的聯邦機構制定自動信息處理要求。根據機密信息提供者建立的要求,系統的鑒定及認可應備案。根據其敏感性再分為類似於秘密、機密、絕密3個等級。
自動信息系統安全規劃構成
確定潛在的威脅和薄弱點,並建立全面的安全保護制度減少威脅和薄弱點,才能使自動信息系統安全計劃有效,為此美國地質調查局建立了自動信息系統安全規劃。
A.安全規劃
美國地質調查局認為全面的安全規劃是任何壹個自動信息系統安全管理的重要部分。美國地質調查局支持美國地質調查局所有自動信息系統活動,認為安全規劃是安全管理實施過程不可分割的部分:①安全規劃為年度預算的壹部分,保證所有自動信息資源有經費支持,使自動信息系統資源得到充分的保護;②處理敏感信息的所有自動信息系統(設施和應用程序)應有正式安全規劃。在新的敏感自動信息系統開發階段必須準備初始計劃和原系統升級年度計劃,以反映系統安全執行情況和/或主要變化。在計劃中提供的內容要反映系統的大小和復雜性,規定系統的基本內容和格式應遵守當前最流行的美國國家管理和預算局所提供的指導方針。
B.風險管理
所有擁有或管理自動信息系統的美國地質調查局機構必須執行和維護風險管理計劃,以幫助相應的安全保護措施到位以保護好所有的信息資源。規定管理人員應知道他們信息資源的潛在威脅和薄弱點。壹旦知道潛在威脅、薄弱點和潛在的安全保護選項,管理上就應確定各種安全保護選項的必要措施和經費/利益。風險管理壹般包括風險分析、安全措施的實施和風險分析頻率3個方面的內容:
壹是風險分析。風險分析是設施或敏感應用程序定期檢查或應急計劃處理的組成部分。美國地質調查局要求在現存的計算機設施或敏感應用程序發生主要變化時或在批準敏感自動信息系統設計之前作風險分析。風險分析的範圍、復雜性和頻率與自動信息系統處理數據的敏感性和被保護資源的價值相稱。風險分析過程步驟如下:①估計自動信息系統(硬件、軟件、數據、設備、人員)資產(現存的或計劃的)和系統資源相關的費用(價值),包括數據敏感性的確定;②識別和評定自動信息系統的潛在威脅,包括破壞正常操作、導致系統資產破壞或損失,或其他自然災害或危險因素和人為因素。並根據每壹個潛在威脅產生的可能性分出威脅等級;③找出脆弱點,包括確定或找出在敏感應用程序、自動信息系統或信息技術設備中可能導致安全威脅的弱點或缺點;④評估潛在損失,在確定威脅和脆弱點之後,還應將包括恢復損失和破壞數據的潛在損失定量化;⑤根據遇到的威脅和脆弱點,確定可能的安全保護措施及其相關費用。確定的安全保護費用應與未實施安全保護措施所造成的預期損失的費用相比較。如果安全保護措施花費超過了預期保護利益,那麽不應采取安全保護措施。
二是安全措施的實施。在風險分析完成之後,管理部門必須決定是否執行成本核算的安全保護或接受這種風險。如果風險分析表明接受這種風險不符合聯邦、部門或美國地質調查局的有關規定,那麽必須采取必要的保護措施以最低限度符合這些規定:①利用風險分析結果,設備擁有者和敏感應用程序擁有者應選擇具體的最大限度保護設施和數據的安全措施;②除違反法規問題外,管理部門可以選擇接受與找出威脅或脆弱點相關的風險。如果這樣,自動信息系統所有者必須簽訂壹個聲明,承認他們了解不執行正確的推薦行動相關的風險。
三是風險分析頻率。美國地質調查局對風險分析的次數做了相應的規定:對美國地質調查局所有計算機設施至少5年1次;對敏感應用程序和敏感計算機設施至少3年1次;在敏感應用程序或任何計算機設施進行實質性改變時應進行風險分析;在計劃壹個新的系統或設施開發時,應進行風險分析。
C.信息資源的保護
為了使美國地質調查局信息資源從風險分析中確定的風險和脆弱點得到合理的保護,自動信息系統所有者必須采取具體的保護措施。壹般考慮如下類型的安全保護措施保護信息資源:①物理安全:采取適當的操作和規程減少自動信息系統受到的諸如偷盜、意外或故意破壞、非授權或非法訪問或非授權信息泄露等威脅;②技術安全:使用適當的保護措施(如:密碼、個人ID識別裝置、殺毒軟件、訪問利用控制表、用戶活動監測軟件、加密術或回撥調制解調器)防止非授權的訪問或非法的自動信息系統軟件或數據的使用;③管理安全:制定或分發詳細的指導規程使所有自動信息系統得到正確的保護。
3.應急計劃
為了使服務中斷等故障最小,應對每個計算機設備和敏感應用程序開發壹個應急計劃。定期評估每壹個應急計劃,確定是否需要對其修改以反映系統或人員情況變化。
任何應急計劃的復雜性和範圍要與自動信息系統所處理數據的敏感等級相稱。應急計劃至少包括下列項目:①數據和軟件的備份存儲器和恢復規程;②與緊急事件相對應的處理規程、可選處理能力的說明,在必要情況下轉移操作到另外壹個可選擇操作的程序等恢復操作的過程;③計算機設施應急計劃與任何敏感應用程序應急計劃應具壹致性;④定期檢查應急計劃。
4.敏感應用程序安全
美國國家管理和預算局A 130通告要求,負責開發和維護處理敏感數據的美國地質調查局計算機應用程序的管理者應建立管理控制方法,對所有新的應用程序和現存應用程序的重大變化應采取相應的物理、技術和管理安全保護措施。敏感應用程序管理控制至少包括:①安全技術條件:根據預先的風險分析結果,在應用程序獲取或正式開發之前,應規定或批準安全要求和安全技術條件。為壹個應用程序規定和批準安全規程時,應把對處理敏感應用程序的計算機設施進行的風險分析和管理控制檢查的結果考慮進去;②設計審查和系統測試。在執行敏感應用程序之前應進行設計評審和系統測試,使安全保護符合批準的安全技術條件。③認證:在執行應用程序之前,新的或實質性改進的敏感應用程序的所有者或管理者應向美國地質調查局自動信息系統安全行政主管書面證明,證明其符合所有現行的自動信息系統方針、法規、標準,同時系統測試的結果證實配備的安全保護措施充分。認證過程包括對應用程序管理和安全控制的評價。④定期重新認證:所有敏感應用程序必須每3年認證1次。
5.計算機安全知識培訓活動
對所有涉及在美國地質調查局之內或監督之下的每壹個敏感聯邦信息系統管理、使用或操作的職員,美國地質調查局為他們提供定期計算機安全知識強制性的培訓和公認的計算機安全鍛煉。所有使用、管理和操作敏感自動信息系統的新職員在他們上崗60天之內必須接受計算機安全知識培訓。培訓用來增強職員了解計算機系統的威脅和薄弱點,強調保護美國地質調查局自動信息資源和正確使用他們的資源的責任。計算機安全培訓應有證明文件,並保留在每壹個職工的正式個人檔案中。計算機安全知識培訓包括:①基本知識培訓:使職工對威脅和薄弱點產生敏感性,認識保護數據、信息的必要性和處理他們的方法;②高級培訓:為敏感自動信息系統所有者/管理者、管理員、信息技術人員和計算機安全管理員提供相關能力,使他們能履行風險分析、制定自動信息系統保護計劃、執行安全措施或評價現存安全系統的有效性。
6.報告安全事故
對造成自動信息系統技術、數據和服務設施網的破壞,或導致敏感自動信息系統欺騙、或非授權的泄露等安全事故,所有職員和協議人員有責任向上級報告相關事故:①包括自動信息系統設備的偷竊或惡意破壞、欺騙、擾亂國家安全或其他濫用自動信息資源的事故必須立即依據所處環境和位置向美國地質調查局安全官員和/或其他地方執法人員報告;②包括試圖非法訪問利用任何美國地質調查局自動信息資源、惡意密碼事故或敏感信息的非法泄露等事故必須立即向自動信息系統安全管理人員和向美國地質調查局自動信息系統安全行政主管官員報告。
7.人事安全
美國地質調查局規定各部門建立方針或規程,屏蔽所有參與敏感計算機系統設計、開發、操作或維護人員及可以使用敏感數據的人員。屏蔽等級根據數據敏感等級以及由個人造成的風險等級、損失或危害大小而定。所有負有管理、設計、開發、操作、維護或使用美國地質調查局任何計算機系統的任何職位的人員必須賦予與數據敏感等級、風險大小及由個人導致的損失或危害程度大小相匹配的風險責任。美國地質調查局所有計算機系統使用者必須有適當的背景調查,所要求的調查必須與所設定崗位的敏感等級相匹配。
8.年度報告制度
美國地質調查局規定了自動信息安全管理規定的年度報告制度。每壹個分機構自動信息系統安全官員每年應向美國地質調查局自動信息系統安全管理行政官員報告現行設備及敏感應用程序安全職員名單。對每壹個設施或敏感應用程序至少必須提供以下信息:安全職員及候選人姓名和電話號碼、設施和敏感應用程序的名稱及地址、每壹職員所要求安全培訓的水平。這些最新列表每年9月交給美國地質調查局自動信息系統安全行政管理官員。
人事人員要向美國地質調查局自動信息系統安全行政管理者提供以經濟年度為基礎的美國地質調查局安全知識培訓情況。報告將包括如下信息:在財政年度期間,接受基本知識和/或全面計算機安全培訓的職員和協議人員(非管理)的數量,在財政年度期間接收計算機安全知識培訓的管理人員數量。另外,每分機構自動信息安全官員應向美國地質調查局自動信息系統安全管理者提供下壹個財政年度裏在上述類目中需要接受培訓職員和協議人員的數量。每年九月壹日將報告交到美國地質調查局自動信息系統安全行政管理部門。
敏感自動信息系統所有者有責任維護他們的敏感信息系統安全規劃。敏感自動信息系統所有者每年對他們分機構自動信息系統安全管理人員的更新材料及信息系統更新情況上報美國地質調查局自動信息系統安全管理部門。更新計劃應反映自動信息系統硬件、軟件或功能的主要變化、安全執行情況,系統認證或重新認證計劃、應急計劃的檢查計劃。
三、資料來源
張翠光,小平等.2009.美國地質調查局自動信息系統安全管理及其對國家地質資料數據中心建設的啟示.現代情報,29(3):212~215