信息安全系統(tǒng)的建設(shè)與管理分析

孫紅江，趙 靜，王 蕾

（常德電業(yè)局，湖南 常德415100）

信息在國(guó)家經(jīng)濟(jì)發(fā)展的過程中起著重要的作用，是一種關(guān)系到國(guó)家全局發(fā)展的戰(zhàn)略資源。隨著網(wǎng)絡(luò)技術(shù)的不斷進(jìn)步，網(wǎng)絡(luò)入侵、網(wǎng)上盜竊和網(wǎng)絡(luò)犯罪也給網(wǎng)絡(luò)安全帶來了巨大的威脅。因此，信息安全系統(tǒng)的建設(shè)與管理非常重要。

1 什么是信息安全管理

信息安全管理是通過系統(tǒng)安全評(píng)估和分析后，對(duì)企業(yè)信息系統(tǒng)的安全需求和目標(biāo)進(jìn)行確定，然后采取一系列的手段和方式去實(shí)現(xiàn)安全管理目標(biāo)，這些方式和手段包括后續(xù)的檢查、監(jiān)控、響應(yīng)和調(diào)整的過程。

近幾年在國(guó)際上不斷出現(xiàn)了與計(jì)算機(jī)信息安全有關(guān)的事件，這些事件不但種類繁多而且增長(zhǎng)速度和出現(xiàn)的頻率也越來越快。在全球范圍內(nèi)計(jì)算機(jī)網(wǎng)絡(luò)信息安全系統(tǒng)的建設(shè)與管理也逐步成為更加熱門的話題。調(diào)查研究表明計(jì)算機(jī)信息系統(tǒng)安全事件不但數(shù)量多而且方式也轉(zhuǎn)向了多樣化。

信息受到攻擊的類型已經(jīng)出現(xiàn)了20種之多，其中不正確的計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)訪問和設(shè)置占到了58%，位于所有計(jì)算機(jī)信息安全事件的榜首，同時(shí)一些蓄意破壞行為也占到了5%。攻擊的手段也呈現(xiàn)出多樣化和復(fù)雜化的趨勢(shì)，計(jì)算機(jī)安全事件和安全事項(xiàng)也越來越多。如今計(jì)算機(jī)信息安全已經(jīng)成為一個(gè)技術(shù)復(fù)雜、跨領(lǐng)域發(fā)展的新興學(xué)科。

2 信息安全管理體系的建設(shè)

要想做好計(jì)算機(jī)信息的安全體系建設(shè)就必須對(duì)計(jì)算機(jī)信息進(jìn)行有效地管理。做好計(jì)算機(jī)信息系統(tǒng)的安全工作不但需要企業(yè)高管的直接參與，而且還需要聘請(qǐng)具有一定技術(shù)水平的信息安全管理專家。在信息安全責(zé)任管理方面，企業(yè)應(yīng)該把責(zé)任落實(shí)到企業(yè)信息技術(shù)和業(yè)務(wù)專家身上，企業(yè)內(nèi)部凡是與計(jì)算機(jī)信息安全有關(guān)的各個(gè)部門，都要參與到計(jì)算機(jī)安全管理的全過程來，這些人員都應(yīng)該對(duì)企業(yè)的信息安全負(fù)責(zé)，但是企業(yè)信息安全責(zé)任的最終主體還應(yīng)落實(shí)到企業(yè)內(nèi)部高層管理人員身上。

在進(jìn)行企業(yè)信息安全管理建設(shè)時(shí)，要根據(jù)企業(yè)的具體情況對(duì)企業(yè)內(nèi)部信息安全系統(tǒng)建設(shè)進(jìn)行具體的分析。在制定安全策略的過程中，應(yīng)該做到以下幾點(diǎn)：

（1）應(yīng)該結(jié)合企業(yè)實(shí)際進(jìn)行分析。倘若分析不到位，企業(yè)內(nèi)部高管就不能真正感受到這些策略切實(shí)能夠滿足他們的各種需求。

（2）不能只追求過高的理論和制定各種各樣的限制，否則企業(yè)組織對(duì)這些策略就會(huì)采取漠視的態(tài)度。所以要采取簡(jiǎn)易的、符合企業(yè)實(shí)際的、切實(shí)可行的策略。

（3）還要考慮到這些策略應(yīng)該與企業(yè)原有的文化和制度相符合，否則在執(zhí)行的過程中就會(huì)出現(xiàn)麻煩，對(duì)于規(guī)章制度的執(zhí)行還應(yīng)有適當(dāng)?shù)谋O(jiān)督機(jī)制。

（4）在制定新的安全系統(tǒng)之前，對(duì)企業(yè)現(xiàn)有的信息安全系統(tǒng)應(yīng)該有一個(gè)綜合的評(píng)估。進(jìn)行信息評(píng)估時(shí)應(yīng)該根據(jù)國(guó)際標(biāo)準(zhǔn)和公認(rèn)規(guī)范來進(jìn)行，要從這些系統(tǒng)的應(yīng)用效能、效率和安全性進(jìn)行監(jiān)測(cè)、評(píng)估和控制。

3 信息安全技術(shù)基礎(chǔ)構(gòu)架的建設(shè)

信息安全管理不是通過某種工具就能夠解決的，它是一個(gè)自上而下共同面臨的問題。因此在進(jìn)行管理的時(shí)候，只有采用良好的安全技術(shù)基礎(chǔ)構(gòu)架才能為信息安全管理提供一定的保障。國(guó)內(nèi)許多企業(yè)已經(jīng)開始采用了先進(jìn)的管理技術(shù)和配套設(shè)施、建立了自己的信息安全運(yùn)營(yíng)中心，這些運(yùn)營(yíng)中心負(fù)責(zé)對(duì)企業(yè)信息安全管理的流程進(jìn)行制定和實(shí)施。企業(yè)信息安全運(yùn)營(yíng)中心對(duì)信息安全管理的過程一般分為三個(gè)階段，即安全事故發(fā)生前、安全事故發(fā)生中、安全事故發(fā)生后三個(gè)階段。在第一個(gè)階段主要是部署一定的防護(hù)措施，對(duì)信息安全進(jìn)行排兵布陣；第二個(gè)階段是采用相應(yīng)的應(yīng)急監(jiān)控和響應(yīng)措施，這個(gè)過程要防護(hù)預(yù)知危險(xiǎn)，監(jiān)控未知危險(xiǎn)；第三個(gè)階段是安全事故發(fā)生后，要對(duì)事故發(fā)生的前因后果進(jìn)行詳細(xì)的分析，對(duì)于信息安全方面的漏洞要及時(shí)進(jìn)行修補(bǔ)，避免類似事故的發(fā)生。

3.1 企業(yè)信息安全設(shè)備的集中管理

對(duì)企業(yè)安全設(shè)備進(jìn)行集中管理時(shí)應(yīng)該從四個(gè)方面著手。

（1）對(duì)日志進(jìn)行統(tǒng)一管理。各種安全設(shè)備的安全日志要統(tǒng)一進(jìn)行存儲(chǔ)、查詢、分析、過濾和生成報(bào)表，對(duì)這些安全日志要進(jìn)行統(tǒng)一的監(jiān)控、告警和自動(dòng)通知。

（2）對(duì)安全設(shè)備應(yīng)該采取集中管理方法。集中管理包括對(duì)安全配置文件實(shí)行統(tǒng)一的管理，并且對(duì)這些文件要定期進(jìn)行審核和采集，對(duì)于安全產(chǎn)品和屬性的安全策略也要進(jìn)行統(tǒng)一的存儲(chǔ)和查詢，只有這樣才能夠提高安全管理效率和安全管理水平。

（3）對(duì)安全產(chǎn)品和系統(tǒng)要進(jìn)行統(tǒng)一的協(xié)同處理，統(tǒng)一是安全技術(shù)需要達(dá)到的目標(biāo)。整個(gè)安全技術(shù)體系中也包括多層次的控制體系，這些體系包括安全產(chǎn)品和主機(jī)的操作系統(tǒng)、應(yīng)用軟件和路由器以及交換機(jī)設(shè)備等。

（4）實(shí)現(xiàn)設(shè)備的自動(dòng)發(fā)現(xiàn)。設(shè)備的自動(dòng)發(fā)現(xiàn)主要對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的變化能夠進(jìn)行及時(shí)的調(diào)整和基本的探測(cè)，并給出探測(cè)信息。

3.2 企業(yè)安全服務(wù)的集中管理

對(duì)于企業(yè)安全服務(wù)的集中管理可以從三個(gè)方面進(jìn)行著手。

（1）對(duì)一些相關(guān)軟件或補(bǔ)丁的安裝情況的管理，要建立與這些軟件相關(guān)的信息庫，并且讓這些信息庫提供查詢、統(tǒng)計(jì)、分析和初步的分發(fā)功能。

（2）進(jìn)行安全培訓(xùn)管理，建立安全預(yù)警平臺(tái)。這些平臺(tái)包括對(duì)最新信息安全知識(shí)的收集和共享、最新漏洞信息和安全技術(shù)，最終實(shí)現(xiàn)安全技術(shù)的交流和培訓(xùn)。

（3）實(shí)現(xiàn)風(fēng)險(xiǎn)分析的自動(dòng)化。對(duì)于一些系統(tǒng)漏洞信息要盡可能進(jìn)行自動(dòng)搜集，并且對(duì)于一些外在的入侵能夠提供一定的檢測(cè)和預(yù)警。對(duì)于一些安全風(fēng)險(xiǎn)進(jìn)行一定的分析，通過系統(tǒng)安全軟件進(jìn)行統(tǒng)一的信息系統(tǒng)補(bǔ)丁的加載和病毒代碼的更新工作，有效地提高安全工作的效率。

3.3 對(duì)業(yè)務(wù)流程的安全管理

業(yè)務(wù)流程進(jìn)行安全管理也要從三個(gè)方面著手。

（1）應(yīng)該對(duì)資產(chǎn)進(jìn)行初步管理。這些資產(chǎn)包括企業(yè)的物力和人力，然后對(duì)這些信息資產(chǎn)進(jìn)行統(tǒng)一的管理和匯總，并且建立風(fēng)險(xiǎn)管理的模型，對(duì)資產(chǎn)面臨的風(fēng)險(xiǎn)要有一定的提示。

（2）要能夠?qū)崿F(xiàn)安全管理系統(tǒng)和網(wǎng)絡(luò)管理系統(tǒng)的聯(lián)動(dòng)。要把系統(tǒng)和人力資源有效地利用起來，把常用的運(yùn)營(yíng)支持系統(tǒng)和網(wǎng)絡(luò)管理平臺(tái)以及安全管理系統(tǒng)有效地結(jié)合起來，提高運(yùn)營(yíng)和管理的整體水平。

（3）要讓信息安全管理系統(tǒng)與其他的信息系統(tǒng)高度融合起來，讓這些系統(tǒng)能夠有機(jī)融合以提高安全管理的水平。

4 結(jié)束語

信息安全系統(tǒng)的建設(shè)與管理是一項(xiàng)事關(guān)企業(yè)信息安全全局的大事。盡管這些建設(shè)與管理對(duì)于企業(yè)來說并沒有明顯的利益收入和投資回報(bào)，但作為一項(xiàng)防患于未然的措施，信息安全系統(tǒng)也是企業(yè)必不可少的一個(gè)組成部分。信息安全系統(tǒng)的建設(shè)與管理不但能夠?yàn)樾畔⑾到y(tǒng)的安全運(yùn)行提供保障，而且能夠保證整個(gè)信息系統(tǒng)不會(huì)在危機(jī)出現(xiàn)時(shí)發(fā)生巨大的損失。

［1］ 鄭永濤.信息系統(tǒng)安全等級(jí)的保護(hù)措施［Z］.中國(guó)科技網(wǎng)網(wǎng)絡(luò)安全應(yīng)急小組，2006.08.

［2］ 國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心.中國(guó)計(jì)算機(jī)病毒疫情調(diào)查技術(shù)分析報(bào)告［Z］.2010.

［3］ Robert Richar dson.2007 CSI co mputer cri me and security survey［Z］.CSI CENTER，2007.