目前，我國(guó)信息化發(fā)展空前迅速，信息安全保障已成為信息化發(fā)展的重要部分，政府部門、企事業(yè)單位及科研院所、大專院校在結(jié)合自身實(shí)際需要建設(shè)網(wǎng)絡(luò)信息系統(tǒng)的同時(shí)，也在配置安全產(chǎn)品、增加安全功能以保證系統(tǒng)的正常運(yùn)行。

        那么，如何考慮信息安全系統(tǒng)的建設(shè)?怎樣選購(gòu)信息安全產(chǎn)品?選購(gòu)信息安全產(chǎn)品時(shí)要考慮那些因素?安全系統(tǒng)建成后怎樣發(fā)揮安全產(chǎn)品的作用?這些問(wèn)題是廣大信息安全系統(tǒng)建設(shè)者所關(guān)心的，本文將就這些問(wèn)題談?wù)剛€(gè)人的一些看法。

        確定安全需求

        建設(shè)信息安全系統(tǒng)的首要問(wèn)題是要搞清楚存在的安全風(fēng)險(xiǎn)，明確安全目標(biāo)，進(jìn)而提出安全需求，并以此為基礎(chǔ)設(shè)計(jì)安全解決方案。安全需求的確定涉及以下幾個(gè)方面：

        政策、標(biāo)準(zhǔn)要全面審查和考慮相關(guān)的政策指令，包含與有關(guān)安全標(biāo)準(zhǔn)或目標(biāo)體系結(jié)構(gòu)相符合的東西以及國(guó)際、國(guó)家、部門、地方等級(jí)別上頒發(fā)的、強(qiáng)制或指導(dǎo)性的各種規(guī)定。

        安全威脅評(píng)估安全威脅分成兩大類，一類是惡意地利用環(huán)境、行動(dòng)或事件，可能給信息或系統(tǒng)造成的損害。另一類包含授權(quán)用戶在內(nèi)的因?yàn)榧兇獾恼`操作或偶爾的誤用不經(jīng)意下所犯下的錯(cuò)誤，以及系統(tǒng)組件的脆弱性和漏洞。

        任務(wù)的安全目標(biāo)安全目標(biāo)是從一種大范圍、長(zhǎng)時(shí)期使用的觀點(diǎn)提出的，從而可以作為系統(tǒng)的安全風(fēng)險(xiǎn)分析以及選擇產(chǎn)品和解決方案的依據(jù)。

        信息流及其功能和價(jià)值了解系統(tǒng)及其所處理信息的性質(zhì)非常重要。要分析由于系統(tǒng)資源或系統(tǒng)處理信息的丟失、泄露或被修改對(duì)國(guó)家、團(tuán)體和個(gè)人在政治影響、社會(huì)影響和經(jīng)濟(jì)利益方面帶來(lái)的損害。為了準(zhǔn)確地定義安全目標(biāo)、安全需求，必須了解和分析系統(tǒng)處理或存貯的信息功能、流向和價(jià)值。

        選擇合適的產(chǎn)品

        信息安全產(chǎn)品按其功能分為幾大類，如訪問(wèn)控制類、加密類、入侵檢測(cè)類等等。每類產(chǎn)品因設(shè)計(jì)思想和實(shí)現(xiàn)模式不同而衍生出各種有特色的產(chǎn)品。對(duì)用戶來(lái)說(shuō)，需要選擇一款最適宜的。首先用戶要搞清楚要保護(hù)什么?達(dá)到什么安全目標(biāo)?

        安全產(chǎn)品并不是功能越全越好，而且每種產(chǎn)品都有其優(yōu)點(diǎn)和缺點(diǎn)，沒(méi)有那家廠商的產(chǎn)品是全方位的冠軍，應(yīng)該以應(yīng)用需求推動(dòng)技術(shù)采購(gòu)決策，另外，要考慮安裝、配置以及管理的方便性。

        中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心代表國(guó)家開(kāi)展對(duì)信息安全產(chǎn)品的安全性和可靠性進(jìn)行測(cè)評(píng)認(rèn)證工作，其認(rèn)證證書(shū)具有權(quán)威性。在一些特殊的部門和領(lǐng)域，如：涉密系統(tǒng)和軍方也有本部門的測(cè)評(píng)認(rèn)證中心，他們將根據(jù)一些特殊要求和標(biāo)準(zhǔn)對(duì)產(chǎn)品進(jìn)行測(cè)評(píng)并頒發(fā)證書(shū)。這些都是用戶在選購(gòu)時(shí)可以參考或必須執(zhí)行的。對(duì)涉密系統(tǒng)而言，原則上必須選用國(guó)產(chǎn)設(shè)備，只有在無(wú)相應(yīng)國(guó)產(chǎn)設(shè)備時(shí)方可選用經(jīng)國(guó)家主管部門批準(zhǔn)的國(guó)外設(shè)備。涉及密碼技術(shù)的安全保密產(chǎn)品必須獲得國(guó)家密碼主管部門的批準(zhǔn)。

        由于信息安全系統(tǒng)的特殊性，所以不論對(duì)安全系統(tǒng)的集成商還是產(chǎn)品的提供商，了解其背景、考察其服務(wù)能力十分必要。最好選擇有成功案例、社會(huì)知名度高且信譽(yù)好的企業(yè)和產(chǎn)品，對(duì)技術(shù)支持和服務(wù)承諾要落實(shí)在協(xié)議中避免發(fā)生糾紛。

        安全功能的配置要和當(dāng)前系統(tǒng)的整體應(yīng)用水平配套，對(duì)于那些用不到或暫時(shí)用不到的功能可以不采購(gòu)或暫緩采購(gòu)產(chǎn)品。這樣，一是安全目標(biāo)明確，維護(hù)易行;二是經(jīng)費(fèi)可以得到有效利用，避免浪費(fèi);三是信息技術(shù)發(fā)展日新月異，購(gòu)置的產(chǎn)品閑置不用很快將被新的技術(shù)產(chǎn)品所取代;四是把下次產(chǎn)品采購(gòu)的主動(dòng)權(quán)留給自己。

        集成后的測(cè)試和維護(hù)

        毋庸置疑，信息安全保護(hù)措施不是一勞永逸的。信息技術(shù)不斷發(fā)展，網(wǎng)絡(luò)系統(tǒng)的功能也在不斷完善擴(kuò)充，網(wǎng)絡(luò)攻擊、病毒傳播、惡意破壞的手段不斷翻新，因此，對(duì)安全提出新的需求。這就要求網(wǎng)絡(luò)安全管理者及時(shí)調(diào)整安全策略，采取安全措施：

        一、將所有的安全功能模塊(產(chǎn)品)集成為一個(gè)完整的系統(tǒng)后，需要檢查確認(rèn)集成出的系統(tǒng)是否符合要求。包括：測(cè)試安全系統(tǒng)在整個(gè)系統(tǒng)中的作用;測(cè)試安全系統(tǒng)與網(wǎng)絡(luò)系統(tǒng)及應(yīng)用系統(tǒng)的適應(yīng)性和對(duì)它們的影響;跟蹤安全保障機(jī)制，包括安全管理機(jī)制，發(fā)現(xiàn)漏洞;完善系統(tǒng)的運(yùn)行程序和全生命期安全支持計(jì)劃;準(zhǔn)備一份現(xiàn)階段的安全風(fēng)險(xiǎn)評(píng)估報(bào)告。

        作為一些重要部門可以邀請(qǐng)權(quán)威的測(cè)評(píng)認(rèn)證機(jī)構(gòu)對(duì)安全系統(tǒng)進(jìn)行一次檢查和測(cè)試，以確保系統(tǒng)設(shè)計(jì)滿足安全目標(biāo)并得到主管部門的認(rèn)可。

        二、運(yùn)行維護(hù)階段要對(duì)各種安全問(wèn)題采取措施，以保證系統(tǒng)的安全水平在運(yùn)行期間不會(huì)下降，具體工作如下：

        ⑴做好產(chǎn)品的升級(jí)和系統(tǒng)打補(bǔ)丁工作。⑵監(jiān)測(cè)系統(tǒng)的安全性能，包括事故報(bào)告。⑶對(duì)用戶進(jìn)行安全培訓(xùn)，并對(duì)培訓(xùn)進(jìn)行評(píng)估。⑷監(jiān)測(cè)新發(fā)現(xiàn)的對(duì)系統(tǒng)的安全攻擊、系統(tǒng)所受威脅的變化以及其它與安全風(fēng)險(xiǎn)有關(guān)的因素。⑸監(jiān)控配置改動(dòng)對(duì)安全的影響。⑹評(píng)估系統(tǒng)改動(dòng)對(duì)安全系統(tǒng)造成的影響。