由台湾信息间谍案引发的思考（2）

——网络和信息安全控制措施的实效性

如何提高安全措施的实效性？首先我们需要了解什么是安全措施的实效性。安全措施的实效性即目前的安全控制体系的运行状况，是需要通过对网络和信息安全体系的绩效评估来进行衡量的。这个衡量的过程需要结合用户的业务目标，对目前实施的信息安全控制体系进行效率和效果的分析，最终得出一系列结论。比如承载重要保密信息的信息系统的业务目标之一就是对重要信息进行机密性控制。如果没有对网络恶意代码进行检测和拦截，那么信息间谍就有可能通过种植木马的手段窃取机密信息，即该系统的控制实效性是欠缺的。

首先，从管理方面分析。信息系统的所有者和运营者必须要对网络和信息安全建设给予充分的重视。在此基础上，用户应该具有一套层次化的、可操作性强的策略和规程。其中的关键点需要设置指标要求，并且对评估方法进行具体化。在每一次评估后，管理层需要重点对不符合项进行分析，并且实施行之有效的补救措施。只有具备了良性的反馈机制，信息安全控制措施才能够真正发挥其保障作用，而不是仅仅给用户一种虚假的安全感。

其次，从技术方面分析。从本次台湾信息间谍案的情况看，植入木马的方式是信息间谍窃取机密信息的重要渠道。我们有两个控制点可以对这种入侵进行有效地控制。其一是网络边界；其二是终端计算机。

在网络边界处，一般的信息系统仅仅使用了防火墙进行隔离，而缺乏应用层的保护手段。事实上，基于应用层的恶意代码是往往是网络入侵者广泛利用的工具。因此，在重要网络中的网络边界和关键网段处进行网络恶意代码的检测和清除，已经成为安全建设的一项重要内容。

在终端计算机上，可移动存储介质比如U盘等已经成为一个入侵者关注的薄弱环节。所以，不仅仅要从管理制度上规定在重要网络中使用这些可移动存储介质的正确方式，而且一定要从技术上加以落实。比如除了在终端计算机上统一部署防病毒软件之外，还需要进行终端计算机的全面安全技术控制，合理实施移动介质的使用规范。

除了上述的两种控制手段，机密信息在存储和传输过程中的加密、以及数据泄漏防范控制措施也是很重要的。前者已经广泛应用，而后者正在成为安全控制措施的热点之一。

当前，我国正在推行的安全等级保护政策对于国家重要信息系统的保护是至关重要的。比如，等级保护制度对第三级信息系统的安全保护要求是：“应能够在统一安全策略下防护系统免受来自外部有组织的团体（如一个商业情报组织或犯罪组织等），拥有较为丰富资源（包括人员能力、计算能力等）的威胁源发起的恶意攻击、较为严重的自然灾难以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。” 通过实施等级保护，重要信息系统将会从管理和技术两个层面得到有效的保障，从而有效防御类似的信息间谍渗透活动。