我与公园安全 论天坛的信息化安全 一直以来但人们谈及“安全”这个话题的时候,脑海中都会出现的是“防火安全”,“生产安全”,“人身安全”等一系列看得见摸得着的实体性安全问题,却忽略了身边的“虚拟安全”——网络安全与信息安全。
习近平总书记曾经说过“网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题。” 作为天坛公园票务部职工,我最关心的是天坛公园票务系统网络信息安全。虽然天坛公园的票务系统仅仅是北京市公园管理中心票务系统的一个子系统,但它是在很多情况下具有相对独立完成相应目标任务的完整的票务体系系统,比如它有独立的数据库需要对每日的入园票务的出账入账进行统计、它要独立的分配售票员出入票务空间、它会对门区闸机入园票务进行低效率监控等等。
考虑到成本与收益的关系,如果是单一的天坛公园票务系统可以采用MIS+S体系架构的信息系统安全方案并在关键位置加入PKI元素即可。考虑到S-MIS以及S²-MIS系统虽然安全性更高但是造价单位是百万与千万计算,而且处级单位的安全保密性要求并没有那么高所以可以排除掉。
我认为的天坛公园票务安全系统应该是一个立体空间化安全系统,应该包含三个方面:安全机制、安全服务、安全服务(以OSI网络参考模型作为形象载体表达)。这三个元素在关系上更像是一个空间直角坐标系的三个坐标轴,他们所围成的区域体积可以直观的衡量 这个安全体系的抗攻击程度,也就是每一项完整程度越高系统就越安全,当然成本也会越高。
首先是安全机制。安全机制共分为九个层级:基础设施实体安全、平台安全、数据安全、通信安全、应用安全、运行安全、管理安全、授权和审计安全、安全防范体系。安全机制的等级实际上就是单位对网络信息安全的重视的表现,安全机制等级越高说明单位对网络信息安全越重视。第一层的基础设施实体安全,包括机房、场地、设施、电源防火等方面,第二层是平台安全,包括操作系统漏洞检测、网络基础安全加装防火墙等等。这两层级通常家用系统安全也需要做到。对于一个单位要求自然要高于一般家庭,何况是天坛公园,一个世界瞩目的五A级景区单位,在态度上应该是最高的标准,因此我认为天坛公园的安全机制应该是最高层的拥有一套完备的安全防范体系(包含前八层内容) 作为最高层的安全防范体系,它的建立可以使得公园具有较强的应急事故处理能力,可以更好地发挥一下六项能力:预警、保护、检测、反应、恢复和反击。这就是综合的WPDRRC信息安全保障体系。公园可以结合WPDRRC能力模型从人员、技术、政策(包括法律、法规、制度、管理)三大要素来构成宏观的信息网络安全保障体系结构的框架,主要包括组织机构的建立、人员的配备、管理制度的制定、安全流程的明确等,同事切实做好物理安全管理、数据库安全管理、网络安全管理、网络终端管理、授权和访问控制管理、审计和追踪管理,确保日常喝一场情况下的信息安全工作持续、有序的开展。
我们再来说说安全服务 。提到安全服务我们就不得不提到“服务实体”。天坛公园票务系统服务的实体是游客,换言之就是“个人”,有些“单位”比如一些网络购物平台在未得到我公园系统的允许情况下也可以提供我公园票务购买服务,这就是实体认证不清的实例表现。这可能造成很多的安全隐患!例如由于一些不规范的平台的不规范操作导致游客入园二维码出票延迟,甚至是不出票,而游客维权时却把这笔账算到了公园头上。又或者一些“黄牛”借机蒙骗消费者绑定一些不必要的服务或直接加价出售,这都会为我公园形象造成极大的负面影响同时也可能会带来不必要的法务纠纷。最可怕的是利用这个漏洞入侵服务器致使系统崩溃、盗取数据库中重要信息等。
因此我们需要有对等实体认证服务,数据保密服务,数据完整性服务,数据源点认证服务,禁止否认服务,犯罪证据提供服务。这样在保护我们自身系统的同时也保护了游客的合法权利,并且在必要的时候对利益侵害者拿起法律的武器捍卫公园的合法权益(包括经济权益和形象权益)。
最后我没来谈谈实际操作——安全技术。
1.加密技术 说到机密技术,我们可以说说两年前的一个社会上最有影响力的计算机病毒,这个病毒利用Windows的漏洞给计算机里的文件加密让人打不开,如果想打开就需要支付比特币向病毒的制造者索取密码。很多人都说为什么不试着自己解开密码而要支付昂贵的比特币或者舍去这些文件重新安装电脑呢?这就要说到我前文提到的PKI—— 公开密钥基础设施。PKI是银行通常使用的秘钥系统,由此可知他的保密性是很强的,同时成本会相对高,他需要第三方提供认证,因此我们采用相近的系统即可,也就是利用自己的服务器提供认证信息,用上文提到的病毒类似的原理对有必要的内容进行加密。
2.数据挖掘技术 这是个多用处技术,通常是大数据系统中必要的环节的技术支持的一部分,运用在安全防护中就是主动防御的一部分,简单来说就是对潜在的威胁进行预判性的报警提供可行性方案,必要时主动攻击消除安全隐患。
其实网络信息安全包含的内容还有很多,真正在我园实施构建起来完整的网络信息安全体系还有很多困难,但是他的必要性也是有目共睹的。在不久的将来应中央要求,各地省政府机关事业单位都将实施数字化管理(大数据、数据冰雹的应用),到那时我园的信息系统会呈现多元化状态,最迫切的是文创数字化系统和管理信息系统的搭建。在很多地方文创已经超越了传统的票务收入,比如伦敦的大英博物馆,故宫等等。以故宫为例,故宫的文创真的很有内涵且货真价实么?当然不是!之所以价格和销量都高居不下最重要的一点就是信息。故宫是个全世界关注的地方,任何风吹草动都会有人关注,因此成本几十的口红经过包装就可以买到好几百,而且供不应求。要达到故宫文创的效果其实并不难,只要天坛也有这样的信息价值就可以了。故宫的信息优势在于不需要任何媒介就可以造成影响,而天坛只需要一套完整的营销信息体系也可以做到。
到那时网络信息安全的地位与作用就会慢慢体现出来。我们可以未雨绸缪为以后的信息化管理做准备,为信息化管理系统量身打造安全体系,为天坛保驾护航。