以安全技术管理为保障——英国互联网管理经验之三

发表日期：2009-05-09作者：编辑：system出处：

在网络管理的框架中，使用安全技术手段保障网络的安全使用，是基本的和必不可少的手段之一。英国在这一方面，主要是制定了信息安全标准BS7799，以这套完整的安全管理标准加上先进的安全技术控制，来实现对网络技术管理。

1．网络安全技术管理遵循标准——BS7799信息安全标准

BS7799是由英国标准协会BSI制定的信息安全管理体系标准，主要针对较大网络使用者，如企业和组织。这套基于网络安全技术的信息安全标准，在其安全框架内，能有效构建信息安全防护机制，是英国目前可防止骇客入侵网络、将病毒阻绝于外并将整体安全漏洞降至最低的较为有效的方法。它可以帮助企业组织建立一个初步的、易于实施和维护的管理框架，在框架内通过安全管理标准，提供组织在信息安全管理的各环节上一个最佳的实践指导。建立框架后，再通过安全措施—“技术防火墙”和“人力防火墙”，就有可能建立起完备的信息安全管理体系。

BS7799主要包括1995版的BS7799-1《信息安全管理实践规范》、1998版的BS7799-2《信息安全管理体系规范》以及2002版的BS7799-2：2002三种规范。具体内容是：BS7799-1包含10个方面共100多个安全控制措施，可以帮助组织识别在运做过程中对信息安全有影响的元素，是组织实施信息安全管理的实用指南，这十个方面分别是：方针、安全组织、信息分类与控制、人事安全、物理与环境安全、通信与运营安全、访问控制、系统开发与维护、商务可持续运营、法律符合。BS 7799-2是一个体系规范，可以使用该规范对组织的信息安全管理体系进行审核与认证。通过使用该规范能使组织建立信息安全管理体系，包括以下几个主要步骤：（1）建立信息管理框架，设立方向、信息安全目标，定义信息安全方针，同时管理层应承诺该方针；（2）评审组织的信息安全风险，投资控制措施需要在信息的价值、所面临的风险和这些风险对组织运营的影响间保持一个平衡；（3）选择和实施控制措施，使确定的安全风险减少到可接受的程度；（4）不同的组织将选择不同的控制措施。

2．网络安全技术管理的主要手段

（1） “技术防火墙”与“人力防火墙”。英国的大组织先要根据BS7799建立信息安全管理的框架，再通过安全措施“技术防火墙”和“人力防火墙”，建立起一个较完备的信息安全管理体系，这是英国互联网技术管理的最大特色。

所谓“技术防火墙”，是指在风险评估的基础上，综合利用商用密码、防火墙、防病毒、身份识别、网络隔离、可信服务、安全服务、备份恢复、PKI服务、取证、网络入侵陷阱、主动反击等多种技术与产品来保证企业的信息系统的机密性、完整性和可靠性。根据风险评估的结果，综合利用各种信息安全技术与产品，在统一的服务管理平台（ITIL）上，以“适度防范”为原则，建立有效的“技术防火墙”，这是实现信息安全管理的可靠外部保证措施。

技术防火墙的主要特征有三点：第一，以风险评估为基础，以“适度防范”为原则；第二，技术结构方面要具备评估、保护、检测、反应和恢复五种技术能力，以实现国际标准组织7498-2所定义的鉴别、访问控制、数据完整性、数据保密性、抗抵赖五类安全功能；第三，“技术防火墙”的安全产品要建立在统一的服务管理平台上，遵循相同的标准，降低管理的复杂性。

所谓“人力防火墙”，是指信息安全中对人的有效管理。信息安全中最活跃的因素是“人”，站在较高的层次上来看信息和网络安全的全貌，就会发现安全问题实际上都是人的问题，象“黑客”、“病毒”、“防火墙”、“入侵检测系统”这些网络技术问题多半都是由人引起的，而单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的，这仍只有从“人”着手建立“人力防火墙”，才能真正调动信息组织中的内在动力。对人的管理包括法规、安全政策的约束，安全指南的帮助，安全意识的提高，安全技能的培训，以及人力资源的管理等。

（2）著名的网络监管软件——Netintelligence安全软件。Netintelligence安全软件是英国最新的网络监管软件，是由英国电信的BT Wholesale于2005年6月10日大批投放市场的。这个软件设计能满足现今的网络安全要求，方便连结又易于使用，能‘即插即用’，它的主要特点有三：第一，Netintelligence是以宽带形式连结家庭和小企业，为家庭和小企业这些非技术用户提供网上安全保障。能为服务于消费者的ISPs们、SME（制造工程师协会）以及SOHO市场，提供一个理想的互联网安全解决办法。第二，Netintelligence软件向父母和小企业提供完整的监视控制，并且能限制对某个网站的存取。IWF数据被存进Netintelligence中央的数据库，它包含超过30百万不适当的网络站点、文件和图像，家长可以据此阻止不适当的内容。第三，Netintelligence包含唯一的由英国官方机构操作的热线“hotline”，可以联机报导不合法的互联网内容。

（3）网上内容分级过滤技术。对于网上内容控制，由IWF采用称为“网络内容选择平台”（Platform for Internet Content Selections，简称PICS）的系统，对网上内容进行分类过滤。PICS的工作原理是将电子标签植入网页当中，根据色情、裸露、暴力、侮辱等分类标准对网络内容依次分类，做出标记。当用户浏览到这部分信息时，系统会自动询问是否继续，用户可以根据自己的意愿选择需要浏览的信息。

目前PICS系统的分类标准是IWF根据1998年征求了政府部门、互联网业界和网络用户各方的反馈意见后，于2000年12月正式确立的，一整套统一简明的内容分类标准。其指标分别为：裸露、性、辱骂性语言、暴力、个人隐私、网络诈骗、种族主义言论、潜在有害言论或行为以及成人主题（adult themes）。英国过滤软件中比较常用的有互联网过滤器和商业过滤器。互联网过滤器如“Filters”，这是一个被设计来过滤不想要的网页或是其他不应该出现在互联网屏幕上的内容的软件工具。

注：该文节选自华中科技大学姜群的硕士论文《英国互联网管理体制透视》，刊载于《中国期刊网》2008年。

（中国青少年研究中心青年研究所供稿）