摘要：信息安全保密已經(jīng)成為當(dāng)前保密工作的重點(diǎn)。本文從策略和機(jī)制的角度出發(fā)，給出了信息安全保密的服務(wù)支持、標(biāo)準(zhǔn)規(guī)范、技術(shù)防范、管理保障和工作能力體系，體現(xiàn)了技術(shù)與管理相結(jié)合的信息安全保密原則。 關(guān)鍵詞：信息安全保密體系

一、引言 構(gòu)建信息安全保密體系，不能僅僅從技術(shù)層面入手，而應(yīng)該將管理和技術(shù)手段有機(jī)結(jié)合起來(lái)，用規(guī)范的制度約束人，同時(shí)建立、健全信息安全保密的組織體制，改變現(xiàn)有的管理模式，彌補(bǔ)技術(shù)、制度、體制等方面存在的不足，從標(biāo)準(zhǔn)、技術(shù)、管理、服務(wù)、策略等方面形成綜合的信息安全保密能力，如圖1所示。 圖 1 信息安全保密的體系框架 該保密體系是以信息安全保密策略和機(jī)制為核心，以信息安全保密服務(wù)為支持，以標(biāo)準(zhǔn)規(guī)范、安全技術(shù)和組織管理體系為具體內(nèi)容，最終形成能夠滿(mǎn)足信息安全保密需求的工作能力。 二、信息安全保密的策略和機(jī)制 所謂信息安全保密策略，是指為了保護(hù)信息系統(tǒng)和信息網(wǎng)絡(luò)中的秘密，對(duì)使用者（及其代理）允許什么、禁止什么的規(guī)定。從信息資產(chǎn)安全管理的角度出發(fā)，為了保護(hù)涉密信息資產(chǎn)，消除或降低泄密風(fēng)險(xiǎn)，制訂的各種綱領(lǐng)、制度、規(guī)范和操作流程等，都屬于安全保密策略。例如：禁止（工作或技術(shù)人員）將涉密軟盤(pán)或移動(dòng)存儲(chǔ)設(shè)備帶出涉密場(chǎng)所；嚴(yán)禁（使用人員將）涉密計(jì)算機(jī)（連）上互聯(lián)網(wǎng)；不允許（參觀人員）在涉密場(chǎng)所拍照、錄像等。 信息安全保密機(jī)制，是指實(shí)施信息安全保密策略的一種方法、工具或者規(guī)程。例如，針對(duì)前面給出的保密策略，可分別采取以下機(jī)制：為涉密移動(dòng)存儲(chǔ)設(shè)備安裝射頻標(biāo)識(shí)，為涉密場(chǎng)所安裝門(mén)禁和報(bào)警系統(tǒng)；登記上網(wǎng)計(jì)算機(jī)的（物理）地址，實(shí)時(shí)監(jiān)控上網(wǎng)設(shè)備；進(jìn)入涉密場(chǎng)所前，托管所有攝錄像設(shè)備等。 根據(jù)信息系統(tǒng)和信息網(wǎng)絡(luò)的安全保密需求，在制定其安全保密策略時(shí)，應(yīng)主要從物理安全保密策略，系統(tǒng)或網(wǎng)絡(luò)的訪問(wèn)控制策略，信息的加密策略，系統(tǒng)及網(wǎng)絡(luò)的安全管理策略，人員安全管理策略，內(nèi)容監(jiān)管策略等方面入手。在安全保密機(jī)制方面，應(yīng)主要從組織管理、安全控制和教育培訓(xùn)等方面，針對(duì)給出的安全保密策略，確定詳細(xì)的操作或運(yùn)行規(guī)程，技術(shù)標(biāo)準(zhǔn)和安全解決方案。 三、信息安全保密的服務(wù)支持體系 信息安全保密的服務(wù)支持體系，主要是由技術(shù)檢查服務(wù)、調(diào)查取證服務(wù)、風(fēng)險(xiǎn)管理服務(wù)、系統(tǒng)測(cè)評(píng)服務(wù)、應(yīng)急響應(yīng)服務(wù)和咨詢(xún)培訓(xùn)服務(wù)組成的，如圖2所示。其中，風(fēng)險(xiǎn)管理服務(wù)必須貫穿到信息安全保密的整個(gè)工程中，要在信息系統(tǒng)和信息網(wǎng)絡(luò)規(guī)劃與建設(shè)的初期，就進(jìn)行專(zhuān)業(yè)的安全風(fēng)險(xiǎn)評(píng)估與分析，并在系統(tǒng)或網(wǎng)絡(luò)的運(yùn)營(yíng)管理過(guò)程中，經(jīng)常性地開(kāi)展保密風(fēng)險(xiǎn)評(píng)估工作，采取有效的措施控制風(fēng)險(xiǎn)，只有這樣才能提高信息安全保密的效益和針對(duì)性，增強(qiáng)系統(tǒng)或網(wǎng)絡(luò)的安全可觀性、可控性。其次，還要大力加強(qiáng)調(diào)查取證服務(wù)、應(yīng)急響應(yīng)服務(wù)和咨詢(xún)培訓(xùn)服務(wù)的建設(shè)，對(duì)突發(fā)性的失泄密事件能夠快速反應(yīng)，同時(shí)盡可能提高信息系統(tǒng)、信息網(wǎng)絡(luò)管理人員的安全技能，以及他們的法規(guī)意識(shí)和防范意識(shí)，做到“事前有準(zhǔn)備，事后有措施，事中有監(jiān)察”。 加強(qiáng)信息安全保密服務(wù)的主要措施包括： 借用安全評(píng)估服務(wù)幫助我們了解自身的安全性 通過(guò)安全掃描、滲透測(cè)試、問(wèn)卷調(diào)查等方式對(duì)信息系統(tǒng)及網(wǎng)絡(luò)的資產(chǎn)價(jià)值、存在的脆弱性和面臨的威脅進(jìn)行分析評(píng)估，確定失泄密風(fēng)險(xiǎn)的大小，并實(shí)施有效的安全風(fēng)險(xiǎn)控制。 采用安全加固服務(wù)來(lái)增強(qiáng)信息系統(tǒng)的自身安全性 具體包括操作系統(tǒng)的安全修補(bǔ)、加固和優(yōu)化；應(yīng)用服務(wù)的安全修補(bǔ)、加固和優(yōu)化；網(wǎng)絡(luò)設(shè)備的安全修補(bǔ)、加固和優(yōu)化；現(xiàn)有安全制度和策略的改進(jìn)與完善等。 部署專(zhuān)用安全系統(tǒng)及設(shè)備提升安全保護(hù)等級(jí) 借助目前成熟的安全技術(shù)和產(chǎn)品來(lái)幫助我們提升整個(gè)系統(tǒng)及網(wǎng)絡(luò)的安全防護(hù)等級(jí)，可采用的產(chǎn)品包括防火墻、IDS、VPN、防病毒網(wǎng)關(guān)等。 運(yùn)用安全控制服務(wù)增強(qiáng)信息系統(tǒng)及網(wǎng)絡(luò)的安全可觀性、可控性 通過(guò)部署面向終端、服務(wù)器和網(wǎng)絡(luò)邊界的安全控制系統(tǒng)，以及集中式的安全控制平臺(tái)，增強(qiáng)對(duì)整個(gè)信息系統(tǒng)及網(wǎng)絡(luò)的可觀性，以及對(duì)使用網(wǎng)絡(luò)的人員、網(wǎng)絡(luò)中的設(shè)備及其所提供服務(wù)的可控性。

參考文獻(xiàn)： [1]信息與網(wǎng)絡(luò)安全研究新進(jìn)展．全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集．第二十二卷[C]．合肥：中國(guó)科技大學(xué)出版社， 2007 [2]中國(guó)計(jì)算機(jī)學(xué)會(huì)信息保密專(zhuān)業(yè)委員會(huì)論文集．第十六卷[C]．合肥：中國(guó)科技大學(xué)出版社， 2006 [3]胡建偉．網(wǎng)絡(luò)安全與保密[M]．西安：西安電子科技大學(xué)出版社， 2003