曲運(yùn)蓮

（太原理工大學(xué)外國語學(xué)院網(wǎng)絡(luò)中心，山西 太原 030024）

在當(dāng)今的信息社會，人們廣泛使用計算機(jī)，因此計算機(jī)的信息安全非常重要，但是信息安全的防護(hù)能力對絕大多數(shù)使用計算機(jī)的用戶還不夠強(qiáng)，甚至許多計算機(jī)都沒有設(shè)防護(hù)，更談不上信息安全。目前，我國的信息安全防護(hù)能力正處于發(fā)展階段，因此重視信息安全的管理，逐步發(fā)展、完善信息安全工程與管理體系是非常重要的。

1 信息安全下的信息環(huán)境

信息安全工程與管理即建立信息安全保障，它包括有關(guān)法律、政策、標(biāo)準(zhǔn)體系、管理體系和技術(shù)體系等。信息安全包括信息資源、信息價值、信息作用、信息損失、信息載體和信息環(huán)境，其中的信息環(huán)境是與信息有關(guān)的外部環(huán)境，對信息安全起著非常大的作用。它要求機(jī)房設(shè)置要合理，要有專人看管，防止不良人員搞破壞，以減少不必要的損失。機(jī)房要安裝標(biāo)準(zhǔn)的溫度、濕度計，安裝空調(diào)，要防止火災(zāi)發(fā)生。機(jī)房專業(yè)人員要定期進(jìn)行理論課培訓(xùn)，定時參加防火演練培訓(xùn)，定期更換消防滅火器械，定期進(jìn)行防水防漏檢查，計算機(jī)受潮或進(jìn)水都會導(dǎo)致電線短路現(xiàn)象，從而將電腦燒壞，后果會很嚴(yán)重，因此必須嚴(yán)格防范，要有恢復(fù)災(zāi)難發(fā)生后的一套計劃，確保災(zāi)情發(fā)生時有控制損失的措施以恢復(fù)丟失的數(shù)據(jù)，重新建立丟失服務(wù)、關(guān)閉程序以保護(hù)系統(tǒng)，建立一種安全、可控的信息系統(tǒng)環(huán)境。在避免風(fēng)險發(fā)生方面，最重要的還是要靠專業(yè)技術(shù)人員，這些專業(yè)人員要有高度的責(zé)任心，定期進(jìn)行安全意識和專業(yè)技能培訓(xùn)，寫出安全管理工作責(zé)任計劃指導(dǎo)書，制定出一系列切實(shí)可行的防范措施。

2 建立信息安全保障體系

信息安全保障體系主要研究建立一個能夠防止對信息系統(tǒng)進(jìn)行攻擊和發(fā)生災(zāi)難時安全可靠的信息系統(tǒng)。信息安全問題隨著信息系統(tǒng)發(fā)展的不斷建立和健全，它經(jīng)過了三個階段：第一階段是通信保密，它開始于20世紀(jì)40—70年代，主要用于軍隊指揮系統(tǒng)方面；第二階段是信息系統(tǒng)安全，它是在20世紀(jì)70—80年代，隨著計算機(jī)的普級，所有用戶對信息安全逐漸重視，防止信息不被非法訪問和修改；第三階段是20世紀(jì)90年代，這是計算機(jī)領(lǐng)域大發(fā)展的時代，還有網(wǎng)絡(luò)技術(shù)的發(fā)展，有網(wǎng)絡(luò)黑客、網(wǎng)絡(luò)病毒的攻擊，要求對系統(tǒng)安全有全方位保護(hù)，防御來自各方面的威脅。

信息保障的對象是信息以及處理、管理、存儲、傳輸信息的信息系統(tǒng)。要嚴(yán)格管理信息，要求使用者按照操作規(guī)程執(zhí)行，專業(yè)技術(shù)人員要對設(shè)計、信息安全系統(tǒng)的使用和維護(hù)徹底了解，要檢測有無惡意的攻擊。比如高校機(jī)房學(xué)生每人都有自己登錄的用戶名和密碼，但同學(xué)經(jīng)常發(fā)現(xiàn)登錄不進(jìn)去，專業(yè)人員進(jìn)行檢索時發(fā)現(xiàn)密碼被人修改，造成嚴(yán)重的后果。我們設(shè)定對信息安全管理、安全風(fēng)險評估、安全監(jiān)控、檢測等技術(shù)系統(tǒng)，就是要經(jīng)常注意對信息系統(tǒng)的安全防護(hù)，樹立高度的信息安全防護(hù)意識，必須嚴(yán)格把關(guān)每一個相關(guān)的防護(hù)環(huán)節(jié)，特別要對技術(shù)和人員素質(zhì)做到高標(biāo)準(zhǔn)、嚴(yán)要求。我們所使用的機(jī)房由單位管理人員管理，設(shè)備提供者是公司，公司可派出軟件和硬件維護(hù)人員，由公司方面提出控制信息安全要求的措施，制定書面材料要求機(jī)房管理人員認(rèn)真、嚴(yán)格按照所規(guī)定的措施執(zhí)行。經(jīng)驗證明，如果按照制度操作，信息系統(tǒng)的安全性就高。在實(shí)際操作過程中不要怕麻煩，不要怕浪費(fèi)時間，不要減少操作流程，有時往往是因為不重視信息系統(tǒng)的安全問題，忽視對信息系統(tǒng)的安全防范而發(fā)生情況的。

對系統(tǒng)安全性要做到全面性的防范，即從系統(tǒng)的數(shù)據(jù)、服務(wù)、應(yīng)用程序、操作系統(tǒng)、手機(jī)、網(wǎng)絡(luò)等方面防范，通常采用編制的操作指導(dǎo)書，它能幫助專業(yè)人員對崗位進(jìn)行規(guī)范作業(yè)，內(nèi)容則是如何完成具體工作的一些注意事項，其中包括防范信息安全規(guī)范、指南、報告等。規(guī)范要求對信息安全的責(zé)任制度做到位，責(zé)任到人，每個機(jī)房都要掛有責(zé)任人的各種信息，以便有安全情況發(fā)生時能及時處理。要求責(zé)任人對信息系統(tǒng)安全管理現(xiàn)狀作出書面分析，主要分析當(dāng)前信息安全的運(yùn)行情況的可行性、操作性，了解用戶對信息系統(tǒng)知識的掌握度。用戶掌握信息系統(tǒng)安全的知識越多，對計算機(jī)知識掌握越多，越是有利于對信息系統(tǒng)安全的防護(hù)。當(dāng)然，不排除有意的人為攻擊，要檢查用戶是否按照措施執(zhí)行操作，與信息系統(tǒng)安全管理要求有無差距，找出存在的不足，制定出有效可行的整改制度。這并不是一件容易的事情，這需要專業(yè)人員長時間的認(rèn)真分析、檢查和測試，檢測資產(chǎn)設(shè)備的安全、檢查設(shè)備的運(yùn)行狀態(tài)、設(shè)備是否老化。由于長時間、長期高頻使用計算機(jī)設(shè)備，所以其損壞程度會很高，要定期淘汰計算機(jī)，這樣雖然導(dǎo)致用戶的使用成本增加，但能確保信息系統(tǒng)的安全。

機(jī)房周圍的環(huán)境也需要防護(hù)，如通風(fēng)、防水、防火。這些都離不開專業(yè)人員的安全管理，專業(yè)人員要自身先強(qiáng)大，有安全管理的本領(lǐng)，做到技術(shù)過硬、管理過硬，把小事看成大事來做，不能因小失大。

定期自檢，檢查計算機(jī)運(yùn)行情況，檢查機(jī)房網(wǎng)絡(luò)硬件設(shè)備、設(shè)施是否有損壞、老化等現(xiàn)象，比如交換機(jī)時好時壞很不穩(wěn)定，給信息系統(tǒng)安全造成隱患，應(yīng)定期更換交換機(jī)；在軟件系統(tǒng)安全方面，要在確保設(shè)備、設(shè)施、環(huán)境都正常的情況下，保障系統(tǒng)和數(shù)據(jù)庫的安全。在數(shù)據(jù)庫的安全環(huán)境中，做到連續(xù)監(jiān)控，及時備份數(shù)據(jù)。數(shù)據(jù)庫如果有損壞丟失的數(shù)據(jù)，就會導(dǎo)致系統(tǒng)無法正常運(yùn)行；而如果沒有備份的數(shù)據(jù)，就無法恢復(fù)數(shù)據(jù)庫，這造成的損失無法估算，需要花費(fèi)大量時間、人力、物力來建立，重新收集資料信息，重新建立信息數(shù)據(jù)庫。因此，保護(hù)信息系統(tǒng)安全就要安全操作、及時備份，確保對操作系統(tǒng)、數(shù)據(jù)庫存儲、傳輸、處理的安全保護(hù)。另外，網(wǎng)絡(luò)要保障網(wǎng)絡(luò)軟件、網(wǎng)絡(luò)協(xié)議的安全，為信息系統(tǒng)的安全運(yùn)行提供保障，確保網(wǎng)絡(luò)傳輸數(shù)據(jù)的保密性、完整性和可用性。總之，硬件設(shè)備系統(tǒng)、軟件操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議系統(tǒng)和數(shù)據(jù)庫的安全管理措施都是保障信息系統(tǒng)安全的有力支持，要不斷提高對信息系統(tǒng)的安全管理的重視程度，以保護(hù)信息系統(tǒng)不被黑客病毒所攻擊。

3 安全管理信息使用戶信息安全得到保障

機(jī)房有大量的計算機(jī)，主要是為計算機(jī)提供資訊數(shù)據(jù)的服務(wù)器，數(shù)據(jù)庫存有大量的用戶信息資料，為保障信息的安全，專業(yè)人員要進(jìn)行層層防護(hù)，管理人員要作出書面保證，以保護(hù)信息不被泄露。同時嚴(yán)格控制網(wǎng)絡(luò)訪問者的身份，對網(wǎng)絡(luò)訪問客戶的身份進(jìn)行注冊登記，并且進(jìn)行指導(dǎo)，網(wǎng)絡(luò)訪問者應(yīng)按照機(jī)房的管理規(guī)則進(jìn)行操作，對網(wǎng)絡(luò)訪問客戶進(jìn)行分類，比如可分為教師類型和學(xué)生類型，這樣便于管理和監(jiān)控，通過分類管理，實(shí)現(xiàn)對客戶的保密性和完整性的保護(hù)。由于計算機(jī)的開放程度逐步提高，使計算機(jī)信息有高度的共享性和擴(kuò)散性，造成計算機(jī)信息在存儲和傳輸應(yīng)用過程中出現(xiàn)被泄露、破壞或受病毒感染，因此保護(hù)計算機(jī)信息安全控制風(fēng)險，對信息系統(tǒng)的各個環(huán)節(jié)進(jìn)行全面的安全管理是非常有用的。

信息安全管理要長期有效地進(jìn)行，才能使信息系統(tǒng)安全有保障。對用戶數(shù)據(jù)保護(hù)和個人信息的保護(hù)是信息系統(tǒng)安全保護(hù)的內(nèi)容之一，要組織所有技術(shù)人員和網(wǎng)絡(luò)管理人員制定出完整的保護(hù)數(shù)據(jù)和個人信息保護(hù)的規(guī)章制度，應(yīng)該是切實(shí)可行的管理控制措施，比如密碼管理和控制。使用密碼控制策略，可以降低使用密碼技術(shù)時受到各種破壞因素的風(fēng)險性，或者由于沒有正確操作使用而造成的危害，應(yīng)當(dāng)加強(qiáng)對密碼的保護(hù)力度。當(dāng)前，計算機(jī)使用者的數(shù)目很廣，計算機(jī)水平也普通較高，所以防范意識更要加強(qiáng)，要經(jīng)常更換密碼，以防不測，同時應(yīng)該教育人們遵守關(guān)于信息安全保護(hù)等級的法律和法規(guī)，加強(qiáng)對計算機(jī)使用者的教育。從思想上和行動上落實(shí)對信息系統(tǒng)安全保護(hù)法的實(shí)施。

目前，國家已發(fā)布的信息系統(tǒng)等級保護(hù)的政策法律有：1994年國務(wù)院發(fā)布了《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》；2003年發(fā)布了國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見；2004年發(fā)布了關(guān)于信息安全等級及保護(hù)工作的實(shí)施意見；2005年發(fā)布了關(guān)于開展信息系統(tǒng)安全等級保護(hù)基礎(chǔ)調(diào)查工作的通知；2006年發(fā)布了國務(wù)院辦公廳轉(zhuǎn)發(fā)國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組關(guān)于網(wǎng)絡(luò)信任體系若干意見；在2009年發(fā)布了關(guān)于開展信息安全等級保護(hù)安全建設(shè)整改工作的指導(dǎo)意見。由此可以說明，對信息系統(tǒng)的安全管理是非常重要的，從國家到企業(yè)單位及個人都要重視對信息系統(tǒng)的安全防護(hù)，從而保證信息化進(jìn)程得以健康發(fā)展，使我國的計算機(jī)信息化水平不斷增強(qiáng)。