信息服务中心安全保障问题初探

信息服务中心安全保障问题初探

张强 ,杜广雷 ,陈功, 易卓

31308部队，

一、引言

信息技术的迅速发展和广泛应用，推动着信息系统朝着架构网络化、服务综合化、信息融合化、保障集约化的方向发展。随着各地信息服务中心逐步建立，以信息服务中心为平台，利用现代信息技术，整合各类信息资源，实现信息共享利用，发挥信息的最大效能，将成为信息服务的主要模式。当下信息安全问题层出不穷，没有安全保障的信息服务中心将不能发挥应有的作用，研究信息服务中心的安全保障问题迫在眉睫。

二、影响信息服务中心安全的主要因素

（一）物理因素

物理因素主要包括机房环境、电力供应等人为的或自然的破坏因素。如：机房位置、温度、湿度、雷电、火灾、水灾、静电，人为的盗窃、破坏等。信息服务中心机房的选址非常关键，一定要注意自然环境、气候水文、供电等条件等是否适宜机房建设，选址不当可能造成后期高昂的安全维护成本。

（二）主机因素

主机因素是指主机设备、操作系统、数据库系统、应用系统等的安全影响因素。各种硬件设备故障，如服务器、数据存储设备等关键设备的硬件故障，都会造成系统运行的中断，尤其是磁盘设备的物理性损坏，更将造成信息的损坏和丢失。操作系统、数据库系统等各种系统的设计漏洞，通常是黑客们进行攻击的最佳选择，通过这种方式，黑客们可以轻松获得被攻击主机的管理员权限，远程操作主机就像操作自己的电脑一样简单，这对存有大量高密级数据的信息服务中心而言，危害巨大。

（三）网络因素

信息中心对外提供服务依赖于计算机网络系统，但计算机网络系统自身存在着严重缺陷，支撑网络系统运行的网络协议自身就不安全。网络最初主要是考虑互通性和实用性，而对网络攻击的可能性考虑较少，因此网络协议存在着严重的、不可避免的安全缺陷。除此以外，网络结构、网络设备、网络传输等也都存在着不同程度的安全风险。正是由于构成计算机网络的各个要素普遍存在的缺陷和漏洞，使得信息服务中心在通过网络提供服务的过程中，存在极大的风险，同时也增加了管理的难度。

（四）管理因素

管理维护人员个人的安全意思以及安全技术能力，以及他们的责任心，信息服务中心的安全管理制度等各种人为和管理的因素，也是影响安全不可忽视的因素。再好的安全设备，再多的安全措施，归根结底还是要由人来实施，所以在影响安全的因素中要包括人，而且实践还告诉我们在在决定战争胜负的因素中人往往还要起决定性作用。

三、保障信息服务中心安全的主要措施

（一）物理措施

信息服务中心机房应选择建在无洪水、地震等重大自然灾害，供电有良好保障的地区。机房应安装精密空调等温湿度控制装置，具备防雷、防潮、防火、防电磁辐射、UPS电源等设施。机房应与其他区域隔离，使用指纹或其他安全认证系统对进出人员进行身份鉴别和控制。机房还应具备接入主干网络的高速信道，保证信息访问的速度。同时还应在异地建设容灾备份中心，为保证灾害发生时仍能提供可靠服务，可将容灾备份中心建在“三防”设施内。

（二）主机措施

一方面要制定详细的操作系统安全策略，严格管理用户及访问许可，安装防病毒软件、主机防火墙，及时升级系统安全补丁；另一方面，要定期检查系统日志文件，分析异常事件，定期进行硬件设备检测，从主机到系统都做到防微杜渐，消除安全隐患。

（三）网络措施

信息服务中心的网络系统安全防护，主要是通过在网络边界部署防火墙、网络保密机等网络安全设备，有效地在内部网络和外部网络之间进行安全隔离和防范，并通过数据传输加密等方式对网络传输数据进行安全防护。在服务器群的前端部署入侵防御系统，及时的检测出入侵威胁，在报警的同时迅速终止入侵行为，保护信息服务的安全。

（四）管理措施

定期进行安全评估。安全评估是安全策略制定的依据，是对安全风险因素的评估及报告，安全风险因素的评估需要由具有专业资质的机构来进行。在进行风险评估的时候，关键是要确定评估范围和评估项目，尽量考虑周到，不要遗漏，最终将确定安全风险等级，并给出解决办案。因为安全情况不断变化，所以安全评估需要周期性进行。

抓好安全保密培训。由于信息中心的高密级特性，每个管理人员都要通过安全保密培训，确保其政治合格、思想过硬。由于安全技术日新月异，还要积极组织人员参加专业的安全培训，不断学习掌握新的安全技术，同时结合最新发生的安全事件，提出解决方案，落实防范措施。

定期组织组织应急响应与灾难恢复演练。要保证灾害发生时信息服务的延续性，必须要制定应急响应与灾难恢复方案，并通过经常性的演练，使相关人员明确岗位职责，熟悉操作流程，使灾难事件变得可以控制，确保服务的持续性。

四、结束语

信息安全遵循水桶理论：水桶上最短的那块板决定了这个水桶可以装多少水。安全防范最薄弱的环节，会给整个信息服务中心带来灾难性的后果，需要全方位的考量安全保障工作。总而言之，信息服务中心安全保障是一项涉及面广、内容复杂的系统工程，需要建立完善的机制，有效地监督执行，适时的动态调整，并且需要整个管理机构上下一条心、团结协作才能真正确保信息服务中心安全、稳定的运行。