信息安全系統的建設與管理分析

孫紅江，趙 靜，王 蕾

（常德電業局，湖南 常德415100）

信息在國家經濟發展的過程中起著重要的作用，是一種關系到國家全局發展的戰略資源。隨著網絡技術的不斷進步，網絡入侵、網上盜竊和網絡犯罪也給網絡安全帶來了巨大的威脅。因此，信息安全系統的建設與管理非常重要。

1 什么是信息安全管理

信息安全管理是通過系統安全評估和分析后，對企業信息系統的安全需求和目標進行確定，然后采取一系列的手段和方式去實現安全管理目標，這些方式和手段包括后續的檢查、監控、響應和調整的過程。

近幾年在國際上不斷出現了與計算機信息安全有關的事件，這些事件不但種類繁多而且增長速度和出現的頻率也越來越快。在全球范圍內計算機網絡信息安全系統的建設與管理也逐步成為更加熱門的話題。調查研究表明計算機信息系統安全事件不但數量多而且方式也轉向了多樣化。

信息受到攻擊的類型已經出現了20種之多，其中不正確的計算機內部網絡訪問和設置占到了58%，位于所有計算機信息安全事件的榜首，同時一些蓄意破壞行為也占到了5%。攻擊的手段也呈現出多樣化和復雜化的趨勢，計算機安全事件和安全事項也越來越多。如今計算機信息安全已經成為一個技術復雜、跨領域發展的新興學科。

2 信息安全管理體系的建設

要想做好計算機信息的安全體系建設就必須對計算機信息進行有效地管理。做好計算機信息系統的安全工作不但需要企業高管的直接參與，而且還需要聘請具有一定技術水平的信息安全管理專家。在信息安全責任管理方面，企業應該把責任落實到企業信息技術和業務專家身上，企業內部凡是與計算機信息安全有關的各個部門，都要參與到計算機安全管理的全過程來，這些人員都應該對企業的信息安全負責，但是企業信息安全責任的最終主體還應落實到企業內部高層管理人員身上。

在進行企業信息安全管理建設時，要根據企業的具體情況對企業內部信息安全系統建設進行具體的分析。在制定安全策略的過程中，應該做到以下幾點：

（1）應該結合企業實際進行分析。倘若分析不到位，企業內部高管就不能真正感受到這些策略切實能夠滿足他們的各種需求。

（2）不能只追求過高的理論和制定各種各樣的限制，否則企業組織對這些策略就會采取漠視的態度。所以要采取簡易的、符合企業實際的、切實可行的策略。

（3）還要考慮到這些策略應該與企業原有的文化和制度相符合，否則在執行的過程中就會出現麻煩，對于規章制度的執行還應有適當的監督機制。

（4）在制定新的安全系統之前，對企業現有的信息安全系統應該有一個綜合的評估。進行信息評估時應該根據國際標準和公認規范來進行，要從這些系統的應用效能、效率和安全性進行監測、評估和控制。

3 信息安全技術基礎構架的建設

信息安全管理不是通過某種工具就能夠解決的，它是一個自上而下共同面臨的問題。因此在進行管理的時候，只有采用良好的安全技術基礎構架才能為信息安全管理提供一定的保障。國內許多企業已經開始采用了先進的管理技術和配套設施、建立了自己的信息安全運營中心，這些運營中心負責對企業信息安全管理的流程進行制定和實施。企業信息安全運營中心對信息安全管理的過程一般分為三個階段，即安全事故發生前、安全事故發生中、安全事故發生后三個階段。在第一個階段主要是部署一定的防護措施，對信息安全進行排兵布陣；第二個階段是采用相應的應急監控和響應措施，這個過程要防護預知危險，監控未知危險；第三個階段是安全事故發生后，要對事故發生的前因后果進行詳細的分析，對于信息安全方面的漏洞要及時進行修補，避免類似事故的發生。

3.1 企業信息安全設備的集中管理

對企業安全設備進行集中管理時應該從四個方面著手。

（1）對日志進行統一管理。各種安全設備的安全日志要統一進行存儲、查詢、分析、過濾和生成報表，對這些安全日志要進行統一的監控、告警和自動通知。

（2）對安全設備應該采取集中管理方法。集中管理包括對安全配置文件實行統一的管理，并且對這些文件要定期進行審核和采集，對于安全產品和屬性的安全策略也要進行統一的存儲和查詢，只有這樣才能夠提高安全管理效率和安全管理水平。

（3）對安全產品和系統要進行統一的協同處理，統一是安全技術需要達到的目標。整個安全技術體系中也包括多層次的控制體系，這些體系包括安全產品和主機的操作系統、應用軟件和路由器以及交換機設備等。

（4）實現設備的自動發現。設備的自動發現主要對網絡拓撲結構的變化能夠進行及時的調整和基本的探測，并給出探測信息。

3.2 企業安全服務的集中管理

對于企業安全服務的集中管理可以從三個方面進行著手。

（1）對一些相關軟件或補丁的安裝情況的管理，要建立與這些軟件相關的信息庫，并且讓這些信息庫提供查詢、統計、分析和初步的分發功能。

（2）進行安全培訓管理，建立安全預警平臺。這些平臺包括對最新信息安全知識的收集和共享、最新漏洞信息和安全技術，最終實現安全技術的交流和培訓。

（3）實現風險分析的自動化。對于一些系統漏洞信息要盡可能進行自動搜集，并且對于一些外在的入侵能夠提供一定的檢測和預警。對于一些安全風險進行一定的分析，通過系統安全軟件進行統一的信息系統補丁的加載和病毒代碼的更新工作，有效地提高安全工作的效率。

3.3 對業務流程的安全管理

業務流程進行安全管理也要從三個方面著手。

（1）應該對資產進行初步管理。這些資產包括企業的物力和人力，然后對這些信息資產進行統一的管理和匯總，并且建立風險管理的模型，對資產面臨的風險要有一定的提示。

（2）要能夠實現安全管理系統和網絡管理系統的聯動。要把系統和人力資源有效地利用起來，把常用的運營支持系統和網絡管理平臺以及安全管理系統有效地結合起來，提高運營和管理的整體水平。

（3）要讓信息安全管理系統與其他的信息系統高度融合起來，讓這些系統能夠有機融合以提高安全管理的水平。

4 結束語

信息安全系統的建設與管理是一項事關企業信息安全全局的大事。盡管這些建設與管理對于企業來說并沒有明顯的利益收入和投資回報，但作為一項防患于未然的措施，信息安全系統也是企業必不可少的一個組成部分。信息安全系統的建設與管理不但能夠為信息系統的安全運行提供保障，而且能夠保證整個信息系統不會在危機出現時發生巨大的損失。

［1］ 鄭永濤.信息系統安全等級的保護措施［Z］.中國科技網網絡安全應急小組，2006.08.

［2］ 國家計算機病毒應急處理中心.中國計算機病毒疫情調查技術分析報告［Z］.2010.

［3］ Robert Richar dson.2007 CSI co mputer cri me and security survey［Z］.CSI CENTER，2007.