政府采购理论探索-政府采购信息网

打造军队采购信息安全利剑

作者:冯武建 俞满丰 汪鑫 发布于:2010-01-12 09:49:00 来源:政府采购信息网

  信息是资产,是资产就有被窃取被破坏的可能。信息储存、流通的系统和设备,接触信息的人,管理信息的方式……凡与信息相关的环节,都存在威胁信息安全的因素,都需要用多重手段精心防范--  
  
  随着军队物资采购机构信息化建设的不断推进,信息系统已经成为当前采办系统的核心组成部分。信息安全风险直接影响到军队物资采购系统为军队用户提供服务和对各类供应商等采购实体进行管理的能力。而在关键时刻,个别重大的信息系统发生故障或瘫痪,还可能给整个军队后勤保障带来不可挽回的损失。
  
  当前,军队物资采购系统根据总后关于信息化建设的精神,建立了依托于军队内部的指挥自动化网、军队综合信息网等内部指挥控制网络、办公网络、业务管理网络等信息服务和指挥网络,为军队采购管理单位、采购业务单位、科研和教学单位、军内终端客户提供广泛的信息服务。实施信息安全管理,不仅能够有效地提高信息系统的安全性、完整性、可用性以及相关应急采购任务的快速反应能力,同时也是保障军队物资采购系统科学发展、为军队提供最优保障力的重要手段。
  
  面对信息安全三大风险
  
  在军队物资采购活动中,存在各种各样的风险,都对采办的结果产生不同程度的影响。根据风险产生对象的不同,将风险分为人为风险、系统风险、数据风险等三个方面。
  
  人为风险 人是信息安全最主要的风险因素。不适当的信息系统授权,会导致未经授权的人获取不适当的信息。采购人员操作失误或疏忽会导致信息系统的错误动作或产生垃圾信息;违规篡改数据、修改系统时间、修改系统配置、违规导入或删除信息系统的数据,可能导致各种重大采购事故的发生。有令不行、有禁不止等人为因素形成的风险,是军队物资采购信息安全的最大风险。
  
  系统风险 系统风险包括系统开发风险和系统运行风险。在采购项目开发过程中没有考虑到必要的信息系统安全设计,或安全设计存在缺陷,都会导致采办信息系统安全免疫能力不足。没有完善、严格的生产系统运行管理体制,会导致机房管理、口令管理、授权管理、用户管理、服务器管理、网络管理、备份管理、病毒管理等方面出现问题,轻则产生垃圾信息,重则发生系统中断或信息被非法获取等问题。
  
  当前的采购信息系统已是一个庞大的网络化系统,在网络内存在众多的中小型机、服务器、前置机、路由器、终端设备,也包括数据库、操作系统、中间件、应用系统等软件系统。网络系统中的任何一个环节都有可能出现故障,一旦出现故障便有可能造成系统中断,影响业务正常运作。同时,由于自然灾害、战争等突发事件造成的系统崩溃、数据载体不可修复性损失等等,都会给采购信息系统带来很大的影响。
  
  数据风险 数据是信息的载体,也是军队物资采购系统最重要的资产。对数据的存储、处理、获取、发布和共享均需要有一套完整的流程和审批制度,没有健全的数据管理制度,便存在导致数据信息泄露的风险。
  
  做好信息安全工作三项内容
  
  信息安全的含义在不同的环境情况下各不相同。在国际标准ISO17799信息安全标准中,信息安全是指:使信息避免一系列威胁,保障商务的连续性,尽量减少业务损失,从而最大限度地获取投资和商务的回报。
  
  对于军队物资采购系统,信息安全管理则应该坚持系统和全局的观念,基于平战结合、立足应急保障的思想来建立起安全管理体系。通过系统、全面、科学的安全风险评估,体现“积极预防、综合防范”的方针,强调遵守国家有关信息安全的法律法规及其他合同方要求,透过全过程和动态控制,本着控制费用与风险平衡的原则,合理选择安全控制方式,保护关键信息资产,使信息风险的发生概率降低到可接受的水平,确保信息的保密性、完整性和可用性,保持组织业务运作的持续性。
  
  保密性 信息安全的保密性,在确保遵守军队保密守则规定的前提下,确保涉密信息仅可让授权获取的相关人员访问。结合当前的状况,军队物资采购系统的信息安全保密应当做到:严格分岗授权制衡机制,杜绝不相容岗位兼岗现象;严格用户管理和授权管理,防止非法用户、用户冗余和用户授权不当;加强密码管理,防止不设口令或者口令过于简单;加强病毒防范管理,防范病毒损害;控制访问信息,阻止非法访问信息系统;确保对外网络服务得到保护,阻止非法访问网络;检测非法行为,防范道德风险;保证在使用移动电脑和远程网络设备时的信息安全,防止非法攻击。
  
  完备性 信息安全的完备性,是指系统信息准确且具备完善的处理方法。具体要求是:严格采购业务流程管理,确保采购业务流程与采购信息系统操作流程完备一致;严格控制生产系统数据修改,防止数据丢失。防止不正确修改,减少误操作;严格数据管理,确保数据得到完整积累与保全,使系统数据能够真实、完整地反映采购业务信息;严格按照军队关于物资采购的规定和要求操作,减少或杜绝非招标业务;避免任何违反法令、法规、合同约定及易导致业务信息与数据信息不一致、不完整的行为。
  
  可用性 信息安全的可用性,要求确保被授权人可以获取所需信息。具体要求是:加强生产系统运行管理,确保生产系统安全、稳定、可靠运行;加强生产机房建设与管理,保障机房工作环境所必需的湿度、温度、电源、防火、防水、防静电、防雷、限制进入等要求;加强生产系统日常检查管理,及早发现故障苗头;加强系统备份,防止数据损失;严格生产系统时间管理,禁止随意修改生产系统时间;保障系统持续运行;实施灾难备份,防止关键业务处理在灾难发生时受到影响。
  
  信息安全管理需专门制度和机构
  
  信息安全机构 军队物资采购系统应分出专人专职来负责信息安全管理工作,并协同上级业务管理单位制定信息安全管理制度和工作程序,设定安全等级,评估安全风险程度,落实防范措施,提出内控体系整改方案与措施,监督和评估信息安全管理成效。在与上级总部和军区、军兵种物资油料部管理机构之间还要有一个快速响应的信息安全事故收集、汇总、处理及反馈体系。
  
  信息安全管理制度与策略 信息安全管理制度应针对军队物资采购系统现状与发展方向来制定,要充分考虑可操作性。现阶段可根据“积极防御、综合防范”的方针,制定内部网、OA网、外部网的管理办法,明确用户的访问权限。制定生产系统运行管理办法,严格实行分岗制衡、分级授权,严格执行生产系统时间管理、备份管理、数据管理和口令管理。
  
  信息安全分级管理 信息安全分级管理,是将信息资产根据重要性进行分级,对不同级别的信息资产采用不同级别的信息安全保护措施。国家已将信息安全等级保护监督分级,分别为自主性保护、指导性保护、专控性保护等,军队物资采购系统可以结合实际情况,将信息资产分为“三级”或“五级”保护,目的在于突出重点,抓住关键,兼顾一般,合理保护。分级管理的方法是分析危险源或危险点,评估其重要性,再分设等级,从而采取不同的保护措施。比如,对于采购机构业务机房,可采取门禁与限制进入等方式进行保护;针对采购中相关数据的提供,可设计一定的审判流程,根据数据的重要程度,分类为公开信息、优先共享信息、内部一般信息、内部控制信息、内部关键信息和内部核心信息,实施严格的授权控制;对于信息安全事故,可分为重大事故、一般事故、轻微事故等,采取不同的处置方案。
  
  信息安全集中监控与处置 设立集中运行的信息安全监控处置中心,及时监控、发现安全事故,做到响应快速、处置果断,并实施应急恢复。结合军队物资采购系统当前实际情况,可对网络、服务器等运行设备进行集中监控,开展服务器容量管理、网络流量监控;对应用系统采取防范与监控相结合的方式,对信息系统的数据设置校验码,防止非法修改;在开发应用系统的同时,还应开发相应的审计检查监控程序,由各单位分别运行和维护,由上级采购管理机构定期查验和监督,及时发现数据信息存在的风险。
  
  科学构建信息安全管理系统
  
  实现信息安全管理的集中运行,需借助信息安全管理系统。各军队采购机构和部门可以按照上级下达的统一标准,构建基于同一操作平台的信息安全管理系统,帮助安全管理中心实现系统的监控、分析、预警等功能,实现信息安全事故处理的收集、存储、分析等功能,及时对信息风险作出反馈。
  
  监控功能 为采办机构和部门的相关信息处理和传输设备配置专人管理,并设置机房日志管理、服务器性能日志管理、服务器容量日志管理、数据修改日志管理、流量监控日志等功能,并酌情设置数据检测结果日志管理功能。通过对存储、传输和删改的操作进行管理,达到监督控制的目的。
  
  处理功能 根据采办单位所在环境和情况,自主设置安全事故报告、响应、处置等采办信息管理功能,对于高级别信息,也可以采用每天零报告措施。通过信息处理的简化、优化和快速反应,提高信息安全保障能力,从而保证军队采购的正常进行。
  
  安全等级管理功能 针对采办单位自身特点,设置信息资产、危险源、危险点定义与分级功能,对于不同级别的信息安全危机设定不同的保护等级,并采取不同的保护措施、监控措施、事故响应与处置措施,保证系统的稳定性和完好性。
  
  安全预警改进功能 根据日常监控的结果和事故处理经验,设置灵活细分的预警指标,由系统自动分析提出预警,从而建立信息安全监控、分析、预警、处置、改进等不断循环优化的信息安全管理体系。
  

 

更多精彩内容请登录理论实务频道

 


 政府采购信息网版权与免责声明:
 ① 凡本网注明“来源:“政府采购信息网”、“政府采购信息报”的所有作品,版权均属于政府采购信息网,转载请注明“来源:政府采购信息网”或“来源:政府采购信息报”。违反上述声明者,本报将追究其相关法律责任。
 ② 凡本网注明“来源:XXX(非政府采购信息报、政府采购信息网)”的作品,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。
本网拥有此文版权,若需转载或复制,请注明来源于政府采购信息网,标注作者,并保持文章的完整性。否则,将追究法律责任。
相关新闻
网友评论
  • 验证码: