论信息系统项目的信息安全
摘要：
在信息系统工程建设管理中，信息安全在国家级信息系统工程建设中是极其重要的。本文结合作者的项目实践，以《2010年国家通信网应急指挥平台》建设为例，讨论了如何做好国家级信息系统工程的信息安全，包括在项目建设过程中应建立怎样的信息系统架构体系、如何进行信息系统安全风险评估以及制定符合实际需求的安全策略。该项目是以构建工业和信息化部应急指挥平台为中心，上行与国务院应急平台相联，下行与省（自治区、直辖市）通信管理局相联的上下贯通、信息共享、安全可靠的现代化国家通信网应急指挥平台。系统建设着重强调系统的安全可靠，要求系统必须符合S2-MIS的体系架构及系统安全级别至少达到国家标准GB17859-99（计算机安全保护等级划分准则）中第四级结构化保护级或其以上，因此，如何做好信息安全，是项目经理在承担国家级信息系统工程中的一大难题。
正文：
信息安全一般是指保护信息系统和信息，防止其因为偶然或恶意侵犯而导致信息的破坏、更改和泄漏，从而保障信息系统能够连续、可靠、正常的运行。通常把它理解为一个动态的管理过程，通过建立安全机制、安全服务，使用安全技术来保证用户对信息系统的安全需求得到持续满足，并通过认证、设置各级权限、采用多种数据加密技术等方式来保障信息系统的保密性、完整性、可用性、防抵赖性、可追溯性和真实性。因此，一个有信息安全保障的信息系统是一个在网络上，集成各种硬件、软件、密码设备，以保障其业务应用信息系统能正常运行，以及与之相关的岗位、人员、策略、制度和规程的总和。
2010年2月，笔者参加了《2010年国家通信网应急指挥平台》的项目建设，担任承建方项目经理。该项目被划分成3个子系统：应急指挥基础设施系统、基础支撑系统、综合应用系统，其中综合应用子系统包括8个组成部分：宽带VSAT应急网监测预警系统、通信物理网监测预警系统、通信业务网监测预警系统、应急预案管理系统、通信保障应急物资管理系统、多媒体档案管理系统、通信保障应急事务处理系统、通信保障应急工作决策支持系统。该项目除具有大项目中建设规模大、涉及的项目干系人多、沟通协调管理复杂、工程进度控制难等特征以外，更重要的它是国家级公共建设项目，系统的安全稳定将是本项目能否通过业主及监理单位验收的关键。作为项目经理，为保证系统的信息安全符合S2-MIS系统架构体系以及计算机安全保护等级达到第四级结构化保护级的要求，笔者在本项目的实施过程中采取了如下措施：
1、从系统的开发及硬件产品的购买上，保证系统架构达到S2-MIS标准
众所周之，信息安全保障系统有三种不同的系统架构：MIS+S、S-MIS和S2-MIS。MIS+S是一个初步的、低级的信息安全保障系统，不能从根本上解决业务应用系统的安全问题，因此不符合本项目的建设要求；S-MIS虽将信息系统直接建立在PKI/CA的安全基础设施上，且软硬件都需要通过PKI/CA认证，但软硬件可通用，一旦软件或硬件中某一个部件出现BUG问题，都可能导致整个系统的瘫痪，因此也不符合本项目建设要求。只有S2-MIS标准，系统硬件和系统软件都是专用的，能从多方面对系统进行安全保护和隔离。因此，在本项目的建设中，为避免因操作系统的漏洞而遭受外网过多的黑客攻击，笔者所在的项目团队选择了LINUX操作系统，同时为了实现跨平台兼容，采用了符合J2EE工业标准的表现层、服务层和持久层的框架，利用Eclipse开发工具，使用Java语言组织项目团队成员开发了基于Oracle数据库的综合应用子系统，并为实现与另两个子系统互联提供了中间件。而在采购硬件设备时，笔者所在项目团队主要从通过国际信息安全标准ISO/IEC27001:2005和具有国内一级保密资质的设备厂家中，通过公开招标方式，最终确定服务器设备厂家为IBM、路由器、交换机设备厂家为华为、防火墙设备厂家为东软，从而实现了系统软件与硬件的独立专用，符合S2-MIS架构体系要求。
同时，在实施综合应用子系统过程中，为了保障PKI/CA安全基础设施的安全稳定，笔者采用了X.509 V3证书标准，将PKI中的数字证书、认证中心（CA）、数字证书注册审批等权限与管理完全集中在工业和信息化部的中心机房，并对证书数据库实现双向存储备份，对各省（自治区、直辖市）通信管理局在本平台上的权限设置按照业主的组织结构来实现权限的分级管理。
2、采用风险评估方法对系统安全薄弱环节进行鉴定，判断系统是否达到国标GB17859-99中的第四级结构化保护级
信息系统的安全风险主要来源包括自然事件风险、人为事件风险、软件系统风险、项目管理风险、用户使用风险等。而对于本项目的信息安全是否达到结构化保护级的要求，笔者主要采取数学模型计量风险（风险=威胁*弱点*影响）的方法，对于公式中威胁、弱点、影响的量化值是通过项目干系人之间进行头脑风暴、设备及系统进行超负荷测试、专家咨询等方式获得，本系统的安全薄弱环节主要有：设备是否防震、是否能在断电下使用，以及软件是否有自我容错功能和出错报警等，通过这种方法，我们判断出设备断电是项目最大的风险，它将会导致整个系统无法实现正常互联，为了避免这样的风险，我们对设备采取两种供电方式:一是通过大楼的市电接入，另一种是通过UPS供电；其他薄弱环节也采取了相应的保护措施。其次，采用了类比法，通过与现已建成的、达到结构化保护级安全标准的系统进行各种信息安全性能参数对比，来判断是否达到国标的结构化保护级。本系统的信息安全主要是与我国财务部的“金税二期工程”的系统进行了对比，对比结果显示，本系统的各项指标都明显优于财务部的系统。再则，笔者邀请了工信部专门从事信息安全保护等级评审的专家团对本系统进行了评审、验证。评审中，发现了IBM服务器与华为路由器设备在互通时有时存在较大延时，后经咨询IBM、华为的技术人员，通过排查法，发现是IBM服务器与华为路由器NE80E中主板兼容问题，于是更换能与之实现兼容的华为主板后，问题解决。
3、根据我国通信管理局各级行政组织结构，制定本系统的安全管理策略
信息系统的安全管理策略，一般是指人们为保护因为使用计算机业务应用系统可能招致来的对单位资产造成损失而进行保护的各种措施、手段、以及建立各种管理制度及法规等。对于本系统，笔者除了在技术上采用加密、PKI/CA等方式外，还帮助业主建立了以行政组织结构为系统权限基石的安全管理策略。通过对不同省（自治区、直辖市）的各级管理者进行定岗、定位、定员、定目标、定制度、定工作流程来确定其“责、权、利”。如在本系统中，笔者帮助业主建立了机房设备安全管理制度、主机和操作系统管理指南、网络和数据库管理手册、应急事故预警方案、信息安全审计及人员培训上岗管理办法等。
最后，本系统在2011年2月完工，并通过了业主验收委员会的验收，我公司于2011年3月11日，在合同规定工期内，将系统及有关交付物移交给了业主。
结论语：
信息系统的信息安全，大到关系国家安危、民族利益，小到关系一个公司商业机密，个人隐私，因此，无论是信息系统的建设者，还是参与者，都不可忽视其重要性。
同时，在看待任何一个系统的信息安全，不是没有发现信息安全问题，就意味着系统本身就不存在安全问题，而是它本身就强调一个持续的动态管理，就像产品的质量管理一样，需要持续改进。因此，本系统虽然完成了建设，但系统的所有者或使用者需要对系统的信息安全采用类似PDCA循环方法来对系统的信息安全进行持续改进，只有这样，才能保障系统长期的安全稳定。