論信息系統項目的信息安全
摘要：
在信息系統工程建設管理中，信息安全在國家級信息系統工程建設中是極其重要的。本文結合作者的項目實踐，以《2010年國家通信網應急指揮平臺》建設為例，討論了如何做好國家級信息系統工程的信息安全，包括在項目建設過程中應建立怎樣的信息系統架構體系、如何進行信息系統安全風險評估以及制定符合實際需求的安全策略。該項目是以構建工業和信息化部應急指揮平臺為中心，上行與國務院應急平臺相聯，下行與省（自治區、直轄市）通信管理局相聯的上下貫通、信息共享、安全可靠的現代化國家通信網應急指揮平臺。系統建設著重強調系統的安全可靠，要求系統必須符合S2-MIS的體系架構及系統安全級別至少達到國家標準GB17859-99（計算機安全保護等級劃分準則）中第四級結構化保護級或其以上，因此，如何做好信息安全，是項目經理在承擔國家級信息系統工程中的一大難題。
正文：
信息安全一般是指保護信息系統和信息，防止其因為偶然或惡意侵犯而導致信息的破壞、更改和泄漏，從而保障信息系統能夠連續、可靠、正常的運行。通常把它理解為一個動態的管理過程，通過建立安全機制、安全服務，使用安全技術來保證用戶對信息系統的安全需求得到持續滿足，并通過認證、設置各級權限、采用多種數據加密技術等方式來保障信息系統的保密性、完整性、可用性、防抵賴性、可追溯性和真實性。因此，一個有信息安全保障的信息系統是一個在網絡上，集成各種硬件、軟件、密碼設備，以保障其業務應用信息系統能正常運行，以及與之相關的崗位、人員、策略、制度和規程的總和。
2010年2月，筆者參加了《2010年國家通信網應急指揮平臺》的項目建設，擔任承建方項目經理。該項目被劃分成3個子系統：應急指揮基礎設施系統、基礎支撐系統、綜合應用系統，其中綜合應用子系統包括8個組成部分：寬帶VSAT應急網監測預警系統、通信物理網監測預警系統、通信業務網監測預警系統、應急預案管理系統、通信保障應急物資管理系統、多媒體檔案管理系統、通信保障應急事務處理系統、通信保障應急工作決策支持系統。該項目除具有大項目中建設規模大、涉及的項目干系人多、溝通協調管理復雜、工程進度控制難等特征以外，更重要的它是國家級公共建設項目，系統的安全穩定將是本項目能否通過業主及監理單位驗收的關鍵。作為項目經理，為保證系統的信息安全符合S2-MIS系統架構體系以及計算機安全保護等級達到第四級結構化保護級的要求，筆者在本項目的實施過程中采取了如下措施：
1、從系統的開發及硬件產品的購買上，保證系統架構達到S2-MIS標準
眾所周之，信息安全保障系統有三種不同的系統架構：MIS+S、S-MIS和S2-MIS。MIS+S是一個初步的、低級的信息安全保障系統，不能從根本上解決業務應用系統的安全問題，因此不符合本項目的建設要求；S-MIS雖將信息系統直接建立在PKI/CA的安全基礎設施上，且軟硬件都需要通過PKI/CA認證，但軟硬件可通用，一旦軟件或硬件中某一個部件出現BUG問題，都可能導致整個系統的癱瘓，因此也不符合本項目建設要求。只有S2-MIS標準，系統硬件和系統軟件都是專用的，能從多方面對系統進行安全保護和隔離。因此，在本項目的建設中，為避免因操作系統的漏洞而遭受外網過多的黑客攻擊，筆者所在的項目團隊選擇了LINUX操作系統，同時為了實現跨平臺兼容，采用了符合J2EE工業標準的表現層、服務層和持久層的框架，利用Eclipse開發工具，使用Java語言組織項目團隊成員開發了基于Oracle數據庫的綜合應用子系統，并為實現與另兩個子系統互聯提供了中間件。而在采購硬件設備時，筆者所在項目團隊主要從通過國際信息安全標準ISO/IEC27001:2005和具有國內一級保密資質的設備廠家中，通過公開招標方式，最終確定服務器設備廠家為IBM、路由器、交換機設備廠家為華為、防火墻設備廠家為東軟，從而實現了系統軟件與硬件的獨立專用，符合S2-MIS架構體系要求。
同時，在實施綜合應用子系統過程中，為了保障PKI/CA安全基礎設施的安全穩定，筆者采用了X.509 V3證書標準，將PKI中的數字證書、認證中心（CA）、數字證書注冊審批等權限與管理完全集中在工業和信息化部的中心機房，并對證書數據庫實現雙向存儲備份，對各省（自治區、直轄市）通信管理局在本平臺上的權限設置按照業主的組織結構來實現權限的分級管理。
2、采用風險評估方法對系統安全薄弱環節進行鑒定，判斷系統是否達到國標GB17859-99中的第四級結構化保護級
信息系統的安全風險主要來源包括自然事件風險、人為事件風險、軟件系統風險、項目管理風險、用戶使用風險等。而對于本項目的信息安全是否達到結構化保護級的要求，筆者主要采取數學模型計量風險（風險=威脅*弱點*影響）的方法，對于公式中威脅、弱點、影響的量化值是通過項目干系人之間進行頭腦風暴、設備及系統進行超負荷測試、專家咨詢等方式獲得，本系統的安全薄弱環節主要有：設備是否防震、是否能在斷電下使用，以及軟件是否有自我容錯功能和出錯報警等，通過這種方法，我們判斷出設備斷電是項目最大的風險，它將會導致整個系統無法實現正常互聯，為了避免這樣的風險，我們對設備采取兩種供電方式:一是通過大樓的市電接入，另一種是通過UPS供電；其他薄弱環節也采取了相應的保護措施。其次，采用了類比法，通過與現已建成的、達到結構化保護級安全標準的系統進行各種信息安全性能參數對比，來判斷是否達到國標的結構化保護級。本系統的信息安全主要是與我國財務部的“金稅二期工程”的系統進行了對比，對比結果顯示，本系統的各項指標都明顯優于財務部的系統。再則，筆者邀請了工信部專門從事信息安全保護等級評審的專家團對本系統進行了評審、驗證。評審中，發現了IBM服務器與華為路由器設備在互通時有時存在較大延時，后經咨詢IBM、華為的技術人員，通過排查法，發現是IBM服務器與華為路由器NE80E中主板兼容問題，于是更換能與之實現兼容的華為主板后，問題解決。
3、根據我國通信管理局各級行政組織結構，制定本系統的安全管理策略
信息系統的安全管理策略，一般是指人們為保護因為使用計算機業務應用系統可能招致來的對單位資產造成損失而進行保護的各種措施、手段、以及建立各種管理制度及法規等。對于本系統，筆者除了在技術上采用加密、PKI/CA等方式外，還幫助業主建立了以行政組織結構為系統權限基石的安全管理策略。通過對不同省（自治區、直轄市）的各級管理者進行定崗、定位、定員、定目標、定制度、定工作流程來確定其“責、權、利”。如在本系統中，筆者幫助業主建立了機房設備安全管理制度、主機和操作系統管理指南、網絡和數據庫管理手冊、應急事故預警方案、信息安全審計及人員培訓上崗管理辦法等。
最后，本系統在2011年2月完工，并通過了業主驗收委員會的驗收，我公司于2011年3月11日，在合同規定工期內，將系統及有關交付物移交給了業主。
結論語：
信息系統的信息安全，大到關系國家安危、民族利益，小到關系一個公司商業機密，個人隱私，因此，無論是信息系統的建設者，還是參與者，都不可忽視其重要性。
同時，在看待任何一個系統的信息安全，不是沒有發現信息安全問題，就意味著系統本身就不存在安全問題，而是它本身就強調一個持續的動態管理，就像產品的質量管理一樣，需要持續改進。因此，本系統雖然完成了建設，但系統的所有者或使用者需要對系統的信息安全采用類似PDCA循環方法來對系統的信息安全進行持續改進，只有這樣，才能保障系統長期的安全穩定。