淺議信息安全管理建設

摘要：隨著社會信息化程度的不斷提高，網絡信息系統的安全與否已成為影響國家安全的重要因素。因此，自主掌握最新的網絡信息系統安全技術，在民族產業的支撐下建立計算機網絡系安全保障體系，建立完善的網絡信息系統安全管理體系已成為當務之急。本文簡略的分析了當前網絡時代計算機系統安全及網絡安全等問題，提出了一些相應的防范措施，并對今后的病毒等防范趨勢作了簡要預測。我國必將建立起一套完整的網絡安全體系，特別是從政策上法律上建立起有中國自己特色的網絡安全體系。

關鍵詞：計算機系統安全 網絡安全 防范 防治

1 需要信息安全工程理念

作為信息時代的先導和主角，Internet絕不僅僅是一個由計算機連結起來的簡單組合體。在Internet上，每一臺主機都在為貫徹人類的意志而工作，可以說Internet是人類社會在數字空間的投影。這樣一種事實使得Internet的某些行為異常復雜，難以捉摸，也反映出網絡安全問題是Internet社會性的顯著標志之一。

就網絡安全的現狀來看，我們的網絡是十分脆弱的，我們在安全體制、安全管理等各個方面存在的問題十分嚴重而突出，且不容樂觀。近年來，隨著經濟水平的不斷提高，信息技術的不斷發展，一些單位、企業將辦公業務的處理、流轉和管理等過程都采用了電子化、信息化，大大提高了辦事效率。然而，正由于網絡技術的廣泛普及和各類信息系統的廣泛應用使得網絡化辦公中必然存在眾多潛在的安全隱患。也即在連結信息能力、流通能力迅速提高的同時，基于網絡連接的安全問題將日益突出。因此，在網絡開放的信息時代為了保護數據的安全，讓網絡辦公系統免受黑客的威脅，就需要考慮網絡化辦公中的安全問題并預以解決。

信息時代既帶給我們無限商機與方便，也充斥著隱患與危險。黑客攻擊已經滲入到政府機關、軍事部門、商業、企業等各個角落，不僅干擾著人們的日常生活，而且造成了巨大的經濟損失，甚至威脅到國家的安全。迄今為止，在安全對抗中，黑客陣營占據了上風，我們總是在遭受攻擊之后再自發地防護，而后茫然地等待下一次攻擊的到來。黑客們的驕人戰線并非絕對依賴高明的技術手段，攻擊得逞的真正原因往往是黑客對于網絡使用者的行為細心揣測，以及用戶自身在安全策略、安全管理機制、安全防范意識等方面存在缺陷或不足。網絡信息安全不單單是技術問題，而是策略、管理和技術的有機結合。

信息安全既不是純粹的技術，也不是簡單的安全產品的堆砌，而是一項復雜的系統工程——這就是信息安全工程。它采用工程的概念、原理、技術和方法，來研究、開發、實施與維護企業級信息與網絡系統安全的過程，它是將經過時間考驗證明是正確的工程實施流程、管理技術和當臆能夠得到的最好的技術方法相結合的過程。信息安全工程生命周期模型ISE-LCM是信息安全工程學的落腳點和支撐點，也是信息安全工程學研究的基礎。

2 信息安全的三大特性

2.1 信息安全具有全面性

信息安全問題需要全面考慮，系統安全程度取決于系統最薄弱的環節。計算機信息系統的安全保護包括計算機的物理組成部分、信息和功能的安全保護。就其物理組成部分的保護而言，應保障計算機及其相關和配套設備、設施的完好，運行環境的安全，從而保障計算機信息系統資源不受自然和人為因素造成的事故的危害，為計算機信息系統的運行和信息處理提供一個良好的安全環境；信息安全保護主要針對信息的完整性、可用性和保密性，防止非法使用、更改，防止竊取、破壞，防止遺失、損害和泄露；功能安全保護主要保障計算機信息系統的控制能力、恢復能力，如防止非法存取信息，防止系統故障影響信息處理的正常工作等。

2.2 信息安全具有過程性或生命周期性

一個完整的安全過程至少應包括安全目標與原則的確定、風險分析、需求分析、安全策略研究、安全體系結構的研究、安全實施領域的確定、安全技術與產品的測試與選型、安全工程的實施、安全工程的實施監理、安全工程的測試與運行、安全意識的教育與技術培訓、安全稽核與檢查、應急響應等，這一個過程是一個完整的信息安全工程的生命周期，經過安全稽核與檢查后，又形成新一輪的生命周期，是一個不斷往復的不斷上升的螺旋式安全模型。信息技術在發展，黑客水平也在提高，安全策略、安全體系、安全技術也必須動態地調整，在最大程度上使安全系統能夠跟上實際情況的變化發揮效用，使整個安全系統處于不斷更新、不斷完善、不斷進步的動態過程中。

2.3 信息安全具有層次性和相對性

需要用多層次的安全技術、方法與手段，分層次地化解安全風險。計算機網絡安全的目標是在安全性和通信方便性之間建立平衡。要求計算機系統越安全，對通信的限制和使用的難度就越大。而現代信息技術的發展有時通信必不可少，它包括跨組織、跨地區的以及全球的通信，這里計算機安全的重要性顯然是毫無疑問的。但是計算機的安全程度應與所涉及的信息的價值相匹配，應當有一個從低、中到高級的多層次的安全系統，分別對不同重要性的信息資料給與不同級別的保護。安全是相對的，沒有絕對的安全可言。

計算機病毒在形式上越來越難以辨別，造成的危害也日益嚴重，已就要求網絡防毒產品在技術上更先進，功能上更全面。安全措施應該與保護的信息與網絡系統的價值相稱。因此，實施信息安全工程要充分權衡風險威脅與防御措施的利弊與得失，在安全級別與投資代價之間取得一個企業能夠接受的平衡點。這樣實施的安全才是真正的安全。

3 涉及領域廣泛

涉及網絡安全的技術手段包括：過濾、信息分析監控、安全管理、掃描評估、入侵偵測、實時響應、防病毒保護、存取控制等。其措施有：網絡互聯級防火墻、網絡隔離級防火墻、網絡安全漏洞掃描評估系統、操作系統安全漏洞掃描評估系統、信息流捕獲分析系統、安全實時監控系統、入侵偵測與實時響應系統、網絡病毒防護系統、強力存取控制系統等。信息安全指數據的保密性、完整性、真實性、可用性、不可否認性及可控性等安全，技術手段包括加密、數字簽名、身份認證、安全協議(set、ssl)及ca機制等。文化安全主要指有害信息的傳播對我國的政治制度及文化傳統的威脅，主要表現在輿論宣傳方面。主要有：黃色、反動信息泛濫，敵對的意識形態信息涌入，互聯網被利用作為串聯工具等。其技術手段包括：信息過濾、設置網關、監測、控管等，同時要強有力的管理措施配合，才可取得良好的效果。

4 結束語

信息安全問題涉及到國家安全和社會公共安全。目前，世界各國紛紛推出網絡信息系統安全方面的各種計劃和管理措施。要實現網絡信息系統安全，在重視技術措施與手段的同時，必須重視管理制度的建設與完善。關于通過網絡攻擊信息系統，造成經濟損失的報道已有多起。而我國在這方面的技術防護力量更是相當薄弱，相關安全管理措施、制度與法律法規都有待完善。當然，我們還應看到，像其他技術一樣，入侵者的手段也在不斷提高。在安全防范方面沒有一個一勞永逸的措施，只有通過不斷改進和完善安全手段，才能保證不出現漏洞，保證網絡的正常運轉。

參考文獻：

[1]楊波.《網絡安全理論與應用》.北京電子工業出版社.2002.

[2]蔡立軍.《計算機網絡安全技術》.中國水利水電出版社.2005.

[3]鄧文淵，陳惠貞，陳俊榮.《ASP與網絡數據庫技術》.中國鐵道出版社.2007.

[4]馬宜興.《網絡安全與病毒防范》.上海交通大學出版社.2007.