劉衛(wèi)鋼 李勇

[摘 要] 當(dāng)前，各行業(yè)、各部門都在加快信息化建設(shè)的步伐，人們在享受信息技術(shù)帶來的工作、學(xué)習(xí)和生活方式便捷的同時(shí)，黑客、病毒、計(jì)算機(jī)犯罪等信息安全問題也對信息系統(tǒng)構(gòu)成威脅甚至是破壞。如何在信息化建設(shè)的過程中確保信息系統(tǒng)安全已經(jīng)成為我們不得不研究和探討的問題。

[關(guān)鍵詞] 信息安全； 管理； 重要性； 認(rèn)識

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 06. 054

[中圖分類號] TP309 [文獻(xiàn)標(biāo)識碼] A [文章編號] 1673 - 0194（2014）06- 0089- 02

信息安全不僅是技術(shù)問題也是管理問題，沒有完善的管理，降低安全風(fēng)險(xiǎn)只是空談。所以通過組織工作人員學(xué)習(xí)有關(guān)信息安全知識，要讓大家知道我們使用電腦、網(wǎng)絡(luò)、應(yīng)用軟件該懂得什么，注意什么，或者必須注意什么，自覺按照國家和本單位有關(guān)信息安全的要求積極主動維護(hù)信息安全。

1 信息安全管理存在的主要問題及原因分析

（1） 第一階段建設(shè)的信息系統(tǒng)只進(jìn)行信息系統(tǒng)的建設(shè)，信息安全問題基本沒有考慮，沒有必要的防火墻和防病毒軟件等安全設(shè)備和軟件，只是把本單位的電腦通過網(wǎng)線聯(lián)接起來進(jìn)行簡單的文件傳送。通過這幾年對信息安全方面知識的學(xué)習(xí)和實(shí)踐，本文認(rèn)為處于第一個階段時(shí)，人們對信息安全沒有太多的認(rèn)識，而且工作中對網(wǎng)絡(luò)中有關(guān)存取安全也沒有太多的要求。

（2） 第二階段建設(shè)的信息系統(tǒng)在注重信息系統(tǒng)建設(shè)時(shí)，也考慮到了信息安全問題，但沒有實(shí)質(zhì)性的投入。進(jìn)行信息系統(tǒng)設(shè)計(jì)時(shí)只考慮信息系統(tǒng)的建設(shè)，沒有考慮信息系統(tǒng)安全設(shè)計(jì)，基本是先建設(shè)，遇到信息安全問題，再購置信息安全所需要設(shè)備和軟件，以解決遇到的安全問題，屬于那種“救火式”的被動防御的管理辦法。隨著信息技術(shù)的不斷發(fā)展和工作上對遠(yuǎn)距離傳送數(shù)據(jù)的要求，廣域網(wǎng)的建設(shè)日益普及，遠(yuǎn)距離傳送數(shù)據(jù)既要保證數(shù)據(jù)的準(zhǔn)確性，還要保證數(shù)據(jù)的安全性，不能被竊取和修改。這時(shí)黑客、計(jì)算機(jī)犯罪經(jīng)常出現(xiàn)在網(wǎng)絡(luò)中，病毒更是通過網(wǎng)絡(luò)大面積地傳播，傳播速度之快，其危害性、破壞性更大，尤其是在互聯(lián)網(wǎng)上的傳播。為了保證信息安全就得重新購置設(shè)備，搞重復(fù)建設(shè)，造成極大的浪費(fèi)。

（3） 第三階段建設(shè)的信息系統(tǒng)，信息化建設(shè)和信息安全建設(shè)被置于同等地位，變被動防御為主動防御，相關(guān)人員對信息安全的認(rèn)識也加強(qiáng)了，但信息安全的管理不到位。隨著信息技術(shù)的突飛猛進(jìn)，信息化建設(shè)投入的日益增多，信息系統(tǒng)的建設(shè)和應(yīng)用日益廣泛，人們的工作、學(xué)習(xí)和生活越來越依賴信息系統(tǒng)，同時(shí)信息安全問題離我們越來越近了，信息安全的重要性正在被認(rèn)識，這個階段建設(shè)的信息系統(tǒng)配置了防火墻、網(wǎng)關(guān)等設(shè)備和防病毒軟件，而且選型、配置得也非常合理，但也存在著重建設(shè)，輕管理，重“硬件”輕“軟件”的問題，比如防火墻、網(wǎng)關(guān)等設(shè)備出廠時(shí)都會有個“出廠設(shè)置”的問題。一般來說，這些設(shè)備專業(yè)性比較強(qiáng)，我們的專業(yè)技術(shù)人員對這些設(shè)備的參數(shù)都不是太熟悉，廠商的技術(shù)工作人員會負(fù)責(zé)安裝調(diào)試，沒有問題就算驗(yàn)收了，這樣就存在著信息安全的問題，因?yàn)闆]有及時(shí)更改相關(guān)的數(shù)據(jù)，就為日后的信息安全留下了隱患。

2 如何加強(qiáng)信息技術(shù)投入和信息安全管理確保信息安全

2.1 從信息技術(shù)方面確保信息安全要注意的問題

（1） 物理安全。購置信息安全所需的硬件設(shè)備。進(jìn)行信息化建設(shè)總體設(shè)計(jì)時(shí)就要考慮信息安全，購置安全所需的防火墻、網(wǎng)關(guān)等硬件，這些設(shè)備設(shè)置完成后，需要重新設(shè)置口令，不能用本身默認(rèn)的口令等等，確保不將沒有進(jìn)網(wǎng)許可證的設(shè)備接入網(wǎng)絡(luò)。同時(shí)建議對防火墻、網(wǎng)關(guān)和互聯(lián)網(wǎng)配置進(jìn)行備份，以使發(fā)生故障時(shí)能夠快速獲得這些參數(shù)。

（2） 數(shù)據(jù)庫安全。經(jīng)常備份信息，信息越重要，備份的副本就應(yīng)該越多，應(yīng)該制定備份制度，對數(shù)據(jù)進(jìn)行定期備份。如果可能的話，應(yīng)對敏感信息進(jìn)行加密，始終在安全地點(diǎn)保存不可覆蓋的文件副本。

（3） 操作系統(tǒng)和應(yīng)用系統(tǒng)安全。目前大多數(shù)操作系統(tǒng)都有系統(tǒng)的漏洞，操作系統(tǒng)及網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷、無漏洞，開發(fā)商經(jīng)常會針對發(fā)現(xiàn)的漏洞公布一些補(bǔ)丁程序，要及時(shí)安裝；應(yīng)用系統(tǒng)安全即各行業(yè)自行開發(fā)的業(yè)務(wù)應(yīng)用系統(tǒng)是安全的。

（4） 經(jīng)常防御病毒、黑客、木馬、流氓軟件、電子郵件的入侵和干擾。病毒感染：從蠕蟲病毒開始到CIH病毒、沖擊波病毒，病毒一直是信息系統(tǒng)安全最直接的威脅，網(wǎng)絡(luò)更是為病毒提供了快速傳播的途徑，病毒很容易地通過代理服務(wù)器以軟件下載、郵件方式進(jìn)入網(wǎng)絡(luò)，然后對網(wǎng)絡(luò)進(jìn)行攻擊。黑客攻擊：這也是網(wǎng)絡(luò)面臨的最大威脅，此類攻擊可分為兩種：一種是網(wǎng)絡(luò)攻擊，以各種方式有選擇地破壞對方信息的有效性和完整性；另一類是網(wǎng)絡(luò)偵察，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得對方重要的機(jī)密信息，這兩種攻擊均可對計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害。流氓軟件是最近出現(xiàn)的概念，它是指有些軟件開發(fā)商為宣傳自己的軟件，惡意讓用戶安裝到自己的電腦上，而且還不能刪除，這類軟件目前給用戶造成很大麻煩和損失。對于不明來歷的電子郵件不要接收和查看。

2.2 從信息安全管理方面要注意的問題

全面提升工作人員整體信息安全意識。要高度重視信息安全管理工作，有關(guān)業(yè)務(wù)部門要切實(shí)加強(qiáng)指導(dǎo)，以高度的責(zé)任感進(jìn)一步推進(jìn)信息化建設(shè)和信息安全管理工作。使信息化建設(shè)和信息安全建設(shè)同步進(jìn)行。

2.3 建立健全信息安全管理規(guī)章制度

按照全國信息安全工作會議的要求，全面部署信息安全工作——邁向信息社會，信息安全要重視兩項(xiàng)主要任務(wù)：① 保證基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的可生存性； ② 建立規(guī)范的網(wǎng)絡(luò)秩序。網(wǎng)絡(luò)秩序的規(guī)范從強(qiáng)化執(zhí)行作業(yè)程序、提升應(yīng)變能力、構(gòu)建安全環(huán)境等方面出發(fā)。

3 加強(qiáng)信息安全建設(shè)的設(shè)想

（1） 建立健全信息安全突發(fā)事件應(yīng)急處理預(yù)案。成立負(fù)責(zé)處理突發(fā)信息安全的機(jī)構(gòu)，專人負(fù)責(zé)。當(dāng)發(fā)生信息安全事故時(shí)，要及時(shí)上報(bào)到信息安全部門，相關(guān)機(jī)構(gòu)及時(shí)分析并作出處理辦法。

（2） 轉(zhuǎn)變觀念。當(dāng)考慮網(wǎng)絡(luò)信息系統(tǒng)的安全問題時(shí)，必須依據(jù)信息系統(tǒng)安全工程學(xué)的理論和方法，構(gòu)造全方位防御機(jī)制。首先必須了解潛在的安全威脅以及黑客的入侵方式，然后制定相應(yīng)的安全策略和網(wǎng)絡(luò)安全機(jī)制，選擇符合標(biāo)準(zhǔn)和通過認(rèn)證的安全產(chǎn)品，從而建立，維護(hù)和運(yùn)行機(jī)制一整套網(wǎng)絡(luò)安全評測系統(tǒng)、實(shí)時(shí)網(wǎng)絡(luò)監(jiān)控系統(tǒng)等。一個完善的計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全方案至少應(yīng)該包括以下幾個方面： ① 訪問控制； ② 檢查安全漏洞； ③ 攻擊監(jiān)控； ④ 加密； ⑤ 備份； ⑥ 多層防御； ⑦ 建立必要的管理機(jī)制。