淺談信息系統在安全技術防范系統中的應用
本文主要論述如何按照信息系統成熟的安全管理模式,來管理安全技術防范系統的安全。
信息安全定義及其屬性
根據國際標準ISO/IEC27001:2005《信息技術一安全技術一信息安全管理體系一要求》中的定義,信息安全是:“保護信息的保密性、完整性、可用性;另外也包括其他屬性,如:真實性、可核查性、不可抵賴性和 可靠性。”
一、保密性。它是指信息不被泄漏給未授權的個人、實體和過程或不被其使用的特性。也就是說,確保所傳輸的數據只被其預定的接收者讀取。保密性的破壞有多種可能,例如,信息的故意泄露或松懈的安全管理。 常用的保密技術包括:防偵收(使對手偵收不到有用的信息)、防輻射(防止有用信息以各種途徑輻射出去)、信息加密(在密鑰的控制下,用加密算法對信息進行加密處理)、物理保密(利用各種物理方法保護信息不被泄露)。
二、完整性。它是指“保護資產的正確和完整的特性”。簡單地說,就是確保接收到的數據就是發送的數據。數據不應該被改變,這需要某種方法去進行驗證。確保數據完整性的技術包括:消息源的不可抵賴、防 火墻系統、通信安全、入侵檢測系統。
三、可用性。它是指“需要時,授權實體可以訪問和使用的特性”。它確保數據在需要時可以使用。盡管傳統上認為可用性并不屬于信息安全的范疇,但隨著拒絕服務攻擊的逐漸盛行,要求數據總能保持可用性就 顯得很關鍵了。確保可用性的技術包括:磁盤和系統的容錯及備份、可接受的登錄及進程性能、可靠的功能 性的安全進程和機制。
四、其他屬性及目標。
信息安全也包括一些其他特性:真實性一般是指對信息的來源進行 判斷,能對偽造來源的信息予以鑒別;可核查性是指系統實體的行為可以被獨一無二地追溯到該實體的特性,這個特性就是要求該實體對其行為負責,可核查性也為探測和調查安全違規事件提供了可能性;不可抵賴性是指建立有效的責任機制,防止用戶否認其行為,這一點在電子商務中是極其重要的;可靠性是指系統在規定的時間和給定的條件下,無故障完成規定功能的概率,通常用平均故障間隔時間來度量。
保密性、完整性和可用性是信息安全最為關注的三個屬性,因此這三個特性也經常被稱為信息安全三元組,這也是我們安全技術防范系統安全管理所強調的目標。
安全技術防范,系統安全管理體系
安全管理體系主要涉及安全管理機構、安全管理制度、安全管理技術和安全教育培訓等方面。通過組建完整的信息網絡安全管理機構和設置安全管理人員,規劃安全策略、確定安全管理機制、明確安全管理原則和完善安全管理措施,制定嚴格的安全管理制度,合理地協調法律、技術和管理三種因素,實現對系統安全管理的科學化、系統化和規范化,達到保障安全的目的。
一個完善的安全技術防范系統的安全管理體系通常具體包含以下幾個方面:
一、落實安全管理機構及安全管理人員。
二、制定安全管理政策和制度。
三、實施風險管理,包括風險管理要求和策略、風險分析和評估、風險控制、基于風險的決策及風險評估的管理。其具體要素是評估系統保密要求、系統威脅的識別和分析等。
四、環境和資源管理,包括環境安全管理和資源管理。
五、運行和維護管理,包括用戶管理、運行操作管理、運行維護管理、外包服務管理、有關安全機制保障、安個集中管理。
六、業務持續性管理,包括備份與恢復、安全時間處理、應急處理。
七、監督和檢查管理,包括檢查相關法律要求的落實、依從性管理、 審計及監管控制、責任認定。
八、生存周期管理,包括規劃和立項管理、建設過程管理、系統啟用和終止管理。
人員安全管理
安全技術防范系統的安全管理是一個整體的系統問題,不是僅通過技術手段就可以解決的,它的安全管理同樣適用于常規的人防、物防和技防等安全防范范疇。安全技術防范系統本身的“技防”問題,如防拆、防破壞功能,視頻丟失報警功能、暴力開門報警功能等,這些在一個安全技術防范系統的設計、施工過程中一般已經考慮的非常完善了,而“物防”問題是安全防范的基礎,通常也比較容易實現,因此這兩個問題本文不作具體闡述,在此主要討論如何作好安全技術防范系統的“人防”管理。人員安全管理應主要做好安全組織、崗位考核與培訓、離崗人員安全管理工作。
一、成立安全組織。單位應成立安全領導小組,負責本單位的安全保衛工作,并履行相應職能。
(一)安全管理的領導職能:依據國家有關法律、法規、政策及規范,對本單位安全負全面領導責任,制定安全管理制度,組織落實各級安全責任 制。
(二)安全監督的管理職能:領導并支持安全管理人員或部門的監督檢查工作。
二、崗位考核與培訓。安全技術防范系統的各崗位人員的安全管理,應根據其關鍵程度建立相應的管理要求。
(一)所有管理、操作人員應具有基本條件與較高的素質。
(二)應經過安全教育、培訓,包括知識、技能、意識三個階段的教育,不僅要使操作者掌握安全操作知識, 而且能正確、認真地在操作過程中,表現出安全的行為。
(三)在培訓中應將相關專業知識融合于安全教育中,讓相關崗位人員理解整個系統的架構與基本功能、 系統管理和維護、重要設備的使用和維護、系統故障應急措施,還應注重系統操作上機實踐。
(四)安全技術防范系統竣工交接時,應向業主提供完整的工程驗收報告、完工圖紙,軟、硬件文檔,操作、 維護手冊,設備清單等,應將這部分 資料的理解作為重點培訓內容。
三、離崗人員安全管理。工作人員離職之后仍對其在任職期間接觸、知悉的屬于本單位或者雖屬于第三方但本單位承諾或負有保密義務的秘密信息,承擔如同任職期間一樣的保密義務和不擅自使用的義務,直到該秘密信息成為公開信息,而無論離職人員因何種原因離職。國家行政機關、金融行業等重要、敏感單位,可依據 《保守國家秘密法》規定,根據涉密崗位及涉密程度,按照核心涉密人員、重要涉密人員和一般涉密人員,實行分類管理,逐步脫密。
筆者在多年從事安全技術防范工作中,經常碰到泄密案件,總結后發現一個安裝了安全技術防范系統的單位,單純的從外部入侵是極少數的,而且外部入侵都是暴力入侵,純技術入侵微乎其微,多數是內外勾結,或 者內部工作人員獨立實施。如某地某工廠百萬現金被盜案,就是工廠內保暴力破壞了財務室的聯網防盜報警系統監守自盜。這對我們從業者有極大的警示作用。經調看該廠聯網報警系統歷史報警事件記錄,詢問應急隊員和當班保安員后,發現該報警系統數日前就有2次警號故障信息、1次防拆報警信息,當晚應急隊員接到聯網報警中心警情后趕到該廠門口,但該廠保安員未讓其入廠檢查,告知其保安隊長就在報警現場,沒有警情發生,應急隊員隨之撤離,案情頓時明了,辦案民警立即控制整個保安隊。經審訊后案犯交待,該廠保安隊長長期在該廠工作,得到工廠領導和員工信任,但其一直存有盜取工資款的預謀,案發前數日曾兩次嘗試剪斷報警系統的警號,發現剪斷線后警號不響,以為警號故障,案發前日其隨財務人員從銀行取到現金后,一直在財務室負責發放工資時的現場安全保衛工作,知道當天工資沒有全部發放完,現金晚上會存放在財務室保險柜中,便決定當晚盜取現金。該案犯剪斷警號線后進入財務室,馬上將報警系統的紅外線探測器控制線扯斷,以為報警系統已經被破壞,當晚財務室的報警系統沒有開機布防,本不會發生報警,但是他一扯斷線,殊不知報警系統的防拆功能啟動了,立即將警情傳到了聯網報警中心,中心通知應急隊員出警后,因未能進入現場檢查,該隊長最終得逞。
此案例中該廠安全管理方面存在多處重大漏洞:財務室未做好物理隔斷,墻壁僅修到吊頂處,未修到樓板; 財務人員違例將巨額現金存放在無人值守的財務室;財務室當晚的報警 系統未開機布防;應急隊員和該廠門 衛警惕性不高,當晚未能進入現場檢查;報警系統的警號未使用防剪警號等。此案例中的聯網報警系統未充分 發揮作用,如果不是最后關頭防拆功能啟動,我們會連案發時的具體時間都不會知道,更別說出警和控制警情 了,由此可見,本文論述的建立完善的安全管理體系的重要性,以及“人 技結合”是管理和使用好安全技術防范系統的必然選擇。
無數案例告訴我們,信息安全不僅是技術問題,更主要的是管理問題,俗話說:“三分技術,七分管理”,任何技術措施只能起到增強信息安全防范能力的作用,只有管理到位,也就是說管好“人”,包括是否建立了動態的閉環管理流程,能否對系統實施有效的管理和控制,才是保障系統安全的關鍵。
◎ 上一篇:如何緩解保安人員流失,提高保安人員素質
◎ 下一篇:門衛保安員要守法,不能一味聽從上級指揮