〔摘 要〕美国地调局非常重视其包括网络服务在内的自动信息系统安全,以保护美国地调局所有信息技术设备及其所处理的数据。美国地调局自动信息系统敏感等级分为4个等级,对所有自动信息系统制定了相应的安全管理措施,包括安全规划、风险管理、信息资源的保护、应急计划、敏感应用程序安全、职工安全培训、人事安全及报告制度等。通过研究,对我国国家地质资料数据中心建设安全工作提出了参考性建议。
〔关键词〕美国地调局;自动信息系统;安全;启示
〔中图分类号〕G250.74 〔文献标识码〕B 〔文章编号〕1008-0821(2009)03-0212-04
美国地调局将提供地质信息列入其战略计划或工作计划,强调要利用网络和信息技术及时有效地为用户提供综合、客观的地质信息服务[1],同时非常重视其包括网络服务在内的自动信息系统安全管理[2]。自动信息系统安全管理是指用来保护自动信息系统资源免于丢失、破坏或滥用所做的管理控制和保卫工作。研究美国地调局自动信息系统安全管理,对我国国家地质资料数据中心安全管理具有重要的借鉴和指导作用。
1 美国地调局自动信息系统安全管理
1.1 美国地调局自动信息系统安全管理方针
保护美国地调局所有信息技术设施,避免被损失、破坏、偷窃和滥用;保护所有美国地调局自动信息系统所处理的数据,避免发生未被授权的泄露、修改或破坏;自动信息系统所产生、处理、存储或传输信息受保护的等级与其敏感等级相一致;对违反联邦、部门或局关于自动信息系统安全法规者将受到相应的行政、法律制裁。
1.2 美国地调局自动信息系统敏感等级分类
敏感自动信息系统是指运行处理敏感数据的计算机应用程序的自动信息系统(设施、硬件、操作系统软件、通信系统,等),其中敏感数据是指由于数据的故意或意外泄露、更改或破坏会导致损失或危害的风险及数量较大而要求保护的数据。美国地调局为了给每一个信息系统采取相应的保护措施,对其给定了相应的敏感等级,并要求一、二级敏感信息系统应到美国地调局信息系统管理中备案,而0级敏感信息系统不需备案。0级敏感信息相当于公开信息;一、二级信息系统的信息不属于美国国家规定的保密信息,是根据其工作任务、商业目的及其价值大小等而设定;三级敏感信息系统的信息才是真正的保密信息。
0级(非敏感性)自动信息系统:自动信息系统上的信息不准确、更改、泄露或不能利用对美国地调局的任务、功能、形象或荣誉的影响可以忽略不计。即使有影响,影响也是微不足道,或者导致仅仅很小的有形资产或资源的损失。
一级敏感自动信息系统:自动信息系统上的信息不准确、更改、泄露或不能利用对美国地调局的任务、功能、形象或荣誉影响较小。系统安全方面出现问题可能对有形资产或资源的损失造成潜在的不利影响。
二级敏感自动信息系统:自动信息系统上的信息不准确、更改、泄露或不能利用对美国地调局的任务、功能、形象或荣誉可能产生重要的不利影响。系统安全出现问题可能导致美国地调局不能完成其1个或多个计划任务或商业功能,或者导致重大的有形资产和资源损失。系统生命周期的开支一般超过1千万美元。
三级敏感自动信息系统:自动信息系统处理机密信息。一般由提供美国地调局机密信息的联邦机构制定自动信息处理要求。根据机密信息提供者建立的要求,系统的鉴定及认可应备案。根据其敏感性再分为类似于秘密、机密、绝密3个等级。
1.3 自动信息系统安全规划构成
确定潜在的威胁和薄弱点,并建立全面的安全保护制度减少威胁和薄弱点,才能使自动信息系统安全计划有效,为此美国地调局建立了自动信息系统安全规划。
1.3.1 安全规划
美国地调局认为全面的安全规划是任何一个自动信息系统安全管理的重要部分。美国地调局支持美国地质调查局所有自动信息系统活动,认为安全规划是安全管理实施过程不可分割的部分:(1)安全规划为年度预算的一部分,保证所有自动信息资源有经费支持,使自动信息系统资源得到充分的保护;(2)处理敏感信息的所有自动信息系统(设施和应用程序)应有正式安全规划。在新的敏感自动信息系统开发阶段必须准备初始计划和原系统升级年度计划,以反映系统安全执行情况和/或主要变化。在计划中提供的内容要反映系统的大小和复杂性,规定系统的基本内容和格式应遵守当前最流行的美国国家管理和预算局所提供的指导方针。
1.3.2 风险管理
所有拥有或管理自动信息系统的美国地调局机构必须执行和维护风险管理计划,以帮助相应的安全保护措施到位以保护好所有的信息资源。规定管理人员应知道他们信息资源的潜在威胁和薄弱点。一旦知道潜在威胁、薄弱点和潜在的安全保护选项,管理上就应确定各种安全保护选项的必要措施和经费/利益。风险管理一般包括风险分析、安全措施的实施和风险分析频率3个方面的内容:
(1)风险分析
风险分析是设施或敏感应用程序定期检查或应急计划处理的组成部分。美国地调局要求在现存的计算机设施或敏感应用程序发生主要变化时或在批准敏感自动信息系统设计之前作风险分析。风险分析的范围、复杂性和频率与自动信息系统处理数据的敏感性和被保护资源的价值相称。风险分析过程步骤如下:(a)估计自动信息系统(硬件、软件、数据、设备、人员)资产(现存的或计划的)和系统资源相关的费用(价值),包括数据敏感性的确定;(b)识别和评定自动信息系统的潜在威胁,包括破坏正常操作、导致系统资产破坏或损失,或其他自然灾害或危险因素和人为因素。并根据每一个潜在威胁产生的可能性分出威胁等级;(c)找出脆弱点,包括确定或找出在敏感应用程序、自动信息系统或信息技术设备中可能导致安全威胁的弱点或缺点;(d)评估潜在损失,在确定威胁和脆弱点之后,还应将包括恢复损失和破坏数据的潜在损失定量化;(e)根据遇到的威胁和脆弱点,确定可能的安全保护措施及其相关费用。确定的安全保护费用应与未实施安全保护措施所造成的预期损失的费用相比较。如果安全保护措施花费超过了预期保护利益,那么不应采取安全保护措施。
(2)安全措施的实施
在风险分析完成之后,管理部门必须决定是否执行成本合算的安全保护或接受这种风险。如果风险分析表明接受这种风险不符合联邦、部门或美国地调局的有关规定,那么必须采取必要的保护措施以最低限度符合这些规定:(a)利用风险分析结果,设备拥有者和敏感应用程序拥有者应选择具体的最大限度保护设施和数据的安全措施;(b)除违反法规问题外,管理部门可以选择接受与找出的威胁或脆弱点相关的风险。如果这样,自动信息系统所有者必须签订一个声明,承认他们了解不执行正确的推荐行动相关的风险。
(3)风险分析频率
美国地调局对风险分析的次数做了相应的规定:对美国地调局所有计算机设施至少5年1次;对敏感应用程序和敏感计算机设施至少3年1次;在敏感应用程序或任何计算机设施进行实质性改变时应进行风险分析;在计划一个新的系统或设施开发时,应进行风险分析。
1.3.3 信息资源的保护
为了使美国地调局信息资源从风险分析中确定的风险和脆弱点得到合理的保护,自动信息系统所有者必须采取具体的保护措施。一般考虑如下类型的安全保护措施保护信息资源:(1)物理安全:采取适当的操作和规程减少自动信息系统受到的诸如偷盗、意外或故意破坏、非授权或非法访问或非授权信息泄露等威胁;(2)技术安全:使用适当的保护措施(如:密码、个人ID识别装置、杀毒软件、访问利用控制表、用户活动监测软件、加密术或回拨调制调节器)防止非授权的访问或非法的自动信息系统软件或数据的使用;(3)管理安全:制定或分发详细的指导规程使所有自动信息系统得到正确的保护。
1.3.4 应急计划
为了使服务中断等故障最小,应对每个计算机设备和敏感应用程序开发一个应急计划。定期评估每一个应急计划,确定是否需要对其修改以反映系统或人员情况变化。任何应急计划的复杂性和范围要与自动信息系统所处理数据的敏感等级相称。应急计划至少包括下列项目:(1)数据和软件的备份存储器和恢复规程;(2)与紧急事件相对应的处理规程、可选处理能力的说明,在必要情况下转移操作到另外一个可选择操作的程序等恢复操作的过程;(3)计算机设施应急计划与任何敏感应用程序应急计划应具一致性;(4)定期检查应急计划。
1.3.5 敏感应用程序安全
美国国家管理和预算局A-130通告要求,负责开发和维护处理敏感数据的美国地调局计算机应用程序的管理者应建立管理控制方法,对所有新的应用程序和现存应用程序的重大变化应采取相应的物理、技术和管理安全保护措施。敏感应用程序管理控制至少包括:(1)安全技术条件:根据预先的风险分析结果,在应用程序获取或正式开发之前,应规定或批准安全要求和安全技术条件。为一个应用程序规定和批准安全规程时,应把对处理敏感应用程序的计算机设施进行的风险分析和管理控制检查的结果考虑进去;(2)设计审查和系统测试:在执行敏感应用程序之前应进行设计评审和系统测试,使安全保护符合批准的安全技术条件;(3)认证:在执行应用程序之前,新的或实质性改进的敏感应用程序的所有者或管理者应向局自动信息系统安全行政主管书面证明,证明其符合所有现行的自动信息系统方针、法规、标准,同时系统测试的结果证实配备的安全保护措施充分。认证过程包括对应用程序管理和安全控制的评价;(4)定期重新认证:所有敏感应用程序必须每3年认证1次。
1.3.6 计算机安全知识培训活动
对所有涉及在美国地质调查局之内或监督之下的每一个敏感联邦信息系统管理、使用或操作的职员,美国地质调查局为他们提供定期计算机安全知识强制性的培训和公认的计算机安全锻炼。所有使用、管理和操作敏感自动信息系统的新职员在他们上岗60天之内必须接受计算机安全知识培训。培训用来增强职员了解计算机系统的威胁和薄弱点,强调保护美国地调局自动信息资源和正确使用他们的资源的责任。计算机安全培训应有证明文件,并保留在每一个职工的正式个人档案中。计算机安全知识培训包括:(1)基本知识培训:使职工对威胁和薄弱点产生敏感性,认识保护数据、信息的必要性和处理他们的方法;(2)高级培训:为敏感自动信息系统所有者/管理者、管理员、信息技术人员和计算机安全管理员提供相关能力,使他们能履行风险分析、制定自动信息系统保护计划、执行安全措施或评价现存安全系统的有效性。
1.3.7 报告安全事故
对造成自动信息系统技术、数据和服务设施网的破坏,或导致敏感自动信息系统欺骗、或非授权的泄露等安全事故,所有职员和协议人员有责任向上级报告相关事故:(1)包括自动信息系统设备的偷窃或恶意破坏、欺骗、扰乱国家安全、或其他滥用自动信息资源的事故必须立即依据所处环境和位置向局安全官员和/或其他地方执法人员报告;(2)包括试图非法访问利用任何美国地调局自动信息资源、恶意密码事故或敏感信息的非法泄露等事故必须立即向自动信息系统安全管理人员和向局自动信息系统安全行政主管官员报告。
1.4 人事安全
美国地调局规定各部门建立方针或规程,屏蔽所有参与敏感计算机系统设计、开发、操作或维护人员及可以使用敏感数据的人员。屏蔽等级根据数据敏感等级以及由个人造成的风险等级、损失或危害大小而定。所有负有管理、设计、开发、操作、维护或使用美国地调局任何计算机系统的任何职位的人员必须赋予与数据敏感等级、风险大小及由个人导致的损失或危害程度大小相匹配的风险责任。美国地调局所有计算机系统使用者必须有适当的背景调查,所要求的调查必须与所设定岗位的敏感等级相匹配。
1.5 年度报告制度
美国地调局规定了自动信息安全管理规定的年度报告制度。每一个分机构自动信息系统安全官员每年应向局自动信息系统安全管理行政官员报告现行设备及敏感应用程序安全职员名单。对每一个设施或敏感应用程序至少必须提供以下信息:安全职员及候选人姓名和电话号码、设施和敏感应用程序的名称及地址、每一职员所要求安全培训的水平。这些最新列表每年9月交给局自动信息系统安全行政管理官员。
人事人员要向局自动信息系统安全行政管理者提供以经济年度为基础的美国地调局安全知识培训情况。报告将包括如下信息:在财政年度期间,接受基本知识和/或全面计算机安全培训的职员和协议人员(非管理)的数量、在财政年度期间接收计算机安全知识培训的管理人员数量。另外,每分机构自动信息安全官员应向局自动信息系统安全管理者提供下一个财政年度里在上述类目中需要接受培训职员和协议人员的数量。每年九月一日将报告交到局自动信息系统安全行政管理部门。
敏感自动信息系统所有者有责任维护他们的敏感信息系统安全规划。敏感自动信息系统所有者每年对他们分机构自动信息系统安全管理人员的更新材料及信息系统更新情况上报局自动信息系统安全管理部门。更新计划应反映自动信息系统硬件、软件或功能的主要变化、安全执行情况,系统认证或重新认证计划、应急计划的检查计划。
2 对我国国家地质资料数据中心建设安全管理的启示
笔者认为美国地调局自动信息系统安全管理中好的方法对我国国家地质资料数据中心建设中安全管理有借鉴意义。国家地质资料数据中心的安全管理应采取如下的安全管理措施:
2.1 建立国家地质资料数据中心安全规划
安全规划是国家地质资料数据中心建设方案中不可分割的部分,同时安全规划应是地质资料管理年度预算的一部分,安全管理需要有稳定的项目经费支持,使信息资源可以得到充分的保护。
2.2 应进行国家地质资料数据中心风险分析
国家地质资料数据中心风险分析的范围、频率应根据地质资料密级及所保护资源的价值而定。风险分析内容包括:(1)估计系统资产及资源的价值;(2)找出存在的威胁及脆弱点;(3)根据存在的威胁及弱点确定相应的保护措施及经费;(4)制定应急计划,一旦出现紧急情况,采用应急方案使服务正常进行。应急计划的复杂性和范围应与所处理资料的密级相称。
2.3 采取措施保护国家地质资料数据中心的数据资源
地质资料数据中心的信息资源是我国的基础地质信息,应采取类似美国地调局相似的物理安全、技术安全及管理安全措施保护数据资源。需要引起重视的是在网络服务时也应像美国地调局那样防止非授权的访问或非法的数据资源的使用,作为国家基础地质信息的地质资料很多信息是属于内部资料范畴,同时还存在知识产权等相关问题,在用户范围无法控制的情况下通过外网向全世界提供实为不妥。美国地调局重视自身利益的保护,大部分数据资源需要一定费用才提供[3]。美国地调局网络服务时用户(单位或个人)需要申请,经审查同意后授予用户ID、密码及有效期,同时对于部分用户根据情况签订相应的协议[4]。对于网上公开的免费数据资源,美国内务部及美国地调局宣称他们不能控制和不能保证所连网址包含数据的准确性、可靠性、相关性、及时性及完整性;也不授权所连接网址材料的版权使用,用户必须从所连网址的主办者那里得到相关权限才能使用[5]。美国地调局的这些措施值得我们借鉴。
2.4 应加强计算机安全知识培训
应对国家地质资料数据中心工作人员制定相应的计算机安全教育与培训计划,让他们知道计算机系统的威胁和薄弱点,知道如何保护数据中心资源和正确履行岗位职责。同时培训经费应纳入管理预算之中。
2.5 重视国家地质资料数据中心的人事安全
数据库管理人员根据管理资料密级及价值应有相应等级的个人知识和其他方面的背景调查,应改变任何背景的人员都可以从事数据管理的观念,尤其是重要数据库的管理。在外网中地质资料目录里应屏蔽参与涉密数据管理、开发人员的姓名及单位,尤其参与重要数据库建设人员名单。地质资料形成单位资料目录上网,方便了地质资料服务,但是从信息安全看,提供资料单位多反而不利于信息安全管理,同时各地质资料形成单位资料目录上外网,有可能助长形成单位为了自身利益不保质保量地按《地质资料管理条例》向国家汇交地质资料等负面影响,因此笔者认为资料形成单位目录上外网及可能产生的负面影响需要进行深入研究。
2.6 建立国家地质资料数据中心安全管理年报制度
在国家地质资料数据中心管理年报中增加安全管理的内容,报告安全培训情况及经费预算、管理人员情况、设备和应用程序的重要变化情况及安全管理计划。同时对于数据和设施破坏,欺骗或非授权的数据泄露、恶意密码事故、非法访问数据或涉密资料泄露等安全事故应立即向上级主管部门及当地司法机关报告。
参考文献
[1]姜作勤,马智民,杨东来,等.地质信息服务体系框架研究[J].中国地质,2007,34(1):173-178.
[2]U.S.Geological Survey.Automated Information Systems Security-General Requirements[EB/OL].http:∥www.usgs.gov/usgs-manual/600/600-5.html,2007-04-12.
[3]马智民,吕艳红,张岱琼,等.主要发达国家地质调查机构信息化跟踪报告——美国地调局[R].北京:中国地质调查局发展研究中心,2007:51-90.
[4]U.S.Geological Survey.Control of the Registration and Deletion of Computer User Identifications(User IDs)[EB/OL].http:∥www.usgs.gov/usgs-manual/600/600-2.html,2007-04-12.
[5]Geodata.gov Policies[EB/OL].http:∥gos2.geodata.gov/gos/static/default/policies.htm,2007-04-12.