淺析網(wǎng)絡(luò)信息安全管理的體系建設(shè)

摘要：隨著網(wǎng)絡(luò)和信息技術(shù)的發(fā)展，信息安全建設(shè)已經(jīng)成為信息化建設(shè)的重要組成部分。網(wǎng)絡(luò)信息安全問題已經(jīng)上升為一個關(guān)系到國家前途的戰(zhàn)略高度的問題，必須引起我們足夠的重視。信息安全這門處于蓬勃發(fā)展中的科學，將會越來越密切地關(guān)系到社會的各行各業(yè)。

關(guān)鍵詞：信息安全安全屬性安全建設(shè)

我國信息化安全建設(shè)任務(wù)非常艱巨，主要包括各種業(yè)務(wù)的社會公網(wǎng)、行業(yè)專網(wǎng)、互聯(lián)網(wǎng)等信息基礎(chǔ)設(shè)施運營、管理和服務(wù)的安全自主保障、安全監(jiān)管、安全應(yīng)急和打擊信息犯罪為核心的威懾體系的建設(shè)，其內(nèi)容包括網(wǎng)絡(luò)系統(tǒng)安全建設(shè)、領(lǐng)域和企業(yè)的業(yè)務(wù)信息化安全建設(shè)、網(wǎng)絡(luò)內(nèi)容與行為的安全建設(shè)和用戶關(guān)注的網(wǎng)絡(luò)安全建設(shè)等方面。這些安全建設(shè)對于不同的領(lǐng)域和領(lǐng)導層面關(guān)注的內(nèi)容、對象和程度各不相同。網(wǎng)絡(luò)信息安全是一個完整的、系統(tǒng)的概念。它既是一個理論問題，同時又是一個工程實踐問題。由于互聯(lián)網(wǎng)的開發(fā)性、復雜性和多樣性，使得網(wǎng)絡(luò)安全系統(tǒng)需要有一個完整的、嚴謹?shù)捏w系結(jié)構(gòu)來保證網(wǎng)絡(luò)中信息的安全。

1 信息安全的定義及目標

信息的定義，從廣義上講，信息是任何一個事物的運動狀態(tài)以及運動狀態(tài)形式的變化，它是一種客觀存在。狹義的信息的含義是指信息接受主體所感覺到并能理解的東西。ISO 13335《信息技術(shù)安全管理指南》定義：信息是通過在數(shù)據(jù)上施加某此約定而賦予這此數(shù)據(jù)的特殊含義。信息是無形的，借助于信息媒體以多種形式存在和傳播，同時。信息也是一種重要資產(chǎn)，具有價值，需要保護。信息安全的目標是信息資產(chǎn)被泄露意味著保密性受到影響，被更改意味著完整性受到影響，被破壞意味著可用性受到影響。而保密性、完整性和可用性三個基本屬性是信息安全的最終目標。信息安全的保護對象包括了計算機硬件、軟件和數(shù)據(jù)。就本質(zhì)而言，信息安全所針對的均是“信息”這種資源的“安全”，對信息安全的理解應(yīng)從信息化背景出發(fā)，最終落實在信息的安全屬性上。

2 構(gòu)建網(wǎng)絡(luò)信息化安全的意義

能否有效地保護信息資源，保護信息化進程健康、有序、可持續(xù)發(fā)展，直接關(guān)乎國家安危，關(guān)乎民族興亡，是國家、民族的頭等大事。沒有信息安全，就沒有真正意義上的政治安全，就沒有穩(wěn)固的經(jīng)濟安全和軍事安全，更沒有完整意義上的國家安全。信息安全是信息技術(shù)發(fā)展過程之中提出的課題，在信息化的大背景下被推上了歷史舞臺。信息安全不是最終目的，它只是服務(wù)于信息化的一種手段，其針對的是信息化這種戰(zhàn)略資源的安全，其主旨在于為信息化保駕護航。

3 網(wǎng)絡(luò)信息化的安全屬性

信息安全的概念與信息的本質(zhì)屬性有著必然的聯(lián)系，它是信息的本質(zhì)屬性所體現(xiàn)的安全意義。說安全屬性研究首先要從安全定義講起，安全定義分很多的層次，為什么分層次，我們隨著它的演變來看的，信息安全最初目標，叫數(shù)據(jù)安全，它關(guān)心的是數(shù)據(jù)自身，所以是一個狹義的數(shù)據(jù)安全，是保護信息自身的安全。

3.1 保密性（Confidentiality）

在傳統(tǒng)信息環(huán)境中，普通人通過郵政系統(tǒng)發(fā)信件時，為了個人隱私要裝上信封。可是到了信息化時代，信息在網(wǎng)上傳播時，如果沒有這個“信封”，那么所有的信息都是“明信片”，不再有秘密可言，這便是信息安全中的保密性需求。保密性是指信息不被泄露給非授權(quán)的用戶、實體或進程，或被其利用的特性。保密性不但包括信息內(nèi)容的保密，還包括信息狀態(tài)的保密。

3.2 完整性（Integrality）

完整性是指信息未經(jīng)授權(quán)不能進行更改的特性。即信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。完整性與機密性不同，機密性要求信息不被泄露給未授權(quán)的人，而完整性則要求信息不致受到各種原因的破壞。

3.3 易用性（Availability）

易用性是信息可被授權(quán)實體訪問并按需求使用的特性。在授權(quán)用戶或?qū)嶓w需要信息服務(wù)時，信息服務(wù)應(yīng)該可以使用，或者是信息系統(tǒng)部分受損或需要降級使用時，仍能為授權(quán)用戶提供有效服務(wù)。易用性一般用系統(tǒng)正常使用時間和整個工作時間之比來度量。

4 構(gòu)建網(wǎng)絡(luò)信息化安全管理體系

在面向網(wǎng)絡(luò)信息的安全系統(tǒng)中，安全管理是應(yīng)得到高度重視的。這是因為，據(jù)相關(guān)部門統(tǒng)計，在所有的計算機安全事件中，約有52％是人為因素造成的，25％是由火災(zāi)、水災(zāi)等自然災(zāi)害引起的，技術(shù)錯誤占10％，組織內(nèi)部人員作案占10％，僅有3％左右是由外部不法人員攻擊造成的。簡單歸類，屬于管理方面的原因比重高達70％以上，這正應(yīng)了人們常說的“三分技術(shù)，七分管理”的箋言。因此，解決網(wǎng)絡(luò)與信息安全問題，不僅應(yīng)從技術(shù)方面著手，更應(yīng)加強網(wǎng)絡(luò)住所的管理工作。

好的網(wǎng)絡(luò)信息化安全管理體現(xiàn)在以下幾個方面：在組織內(nèi)部建立全面的信息安全管理體系，強調(diào)信息安全是一個管理過程，而非技術(shù)過程；強調(diào)信息保密性、完整性、易用性三者在關(guān)鍵流程中運用的平衡；把信息提高到組織資產(chǎn)的高度，強調(diào)對組織信息資產(chǎn)進行價值及影響評估，對信息資產(chǎn)的脆弱性及其面臨的威脅進行分析，運用風險評估、風險管理手段管理信息安全，使組織風險降低到可接受的水平；從法律和最好的實踐經(jīng)驗角度，實施全面的控制措施，使組織信息安全威脅的方方面面置于嚴密控制之下；強調(diào)領(lǐng)導在信息安全管理中的作用；強調(diào)信息安全方針在管理體系中的作用；強調(diào)對信息技術(shù)及工具的實時和有效管理；強調(diào)組織運作的連續(xù)性及業(yè)務(wù)連續(xù)性的管理；強調(diào)信息安全管理水平的不斷提高及對流程的策劃、實施、檢查和改進的過程；信息安全應(yīng)該是一個以“價值”為基礎(chǔ)的過程，即信息安全管理應(yīng)是一個有附加價值，并講究投入產(chǎn)出比的過程。

5 關(guān)注信息化安全服務(wù)的綜合性、高技術(shù)性和對策性特點

信息安全產(chǎn)業(yè)有其鮮明的特點，雖然產(chǎn)生于信息化和信息系統(tǒng)，依然與通常的IT服務(wù)有許多區(qū)別。信息化安全的基本特征是服務(wù)性的。這種服務(wù)性與一般軟件的服務(wù)性是不同的。一般應(yīng)用系統(tǒng)或產(chǎn)品的服務(wù)主要是維護和培訓，通常服務(wù)是非對策性的、非動態(tài)的和比較固定的。信息化安全服務(wù)是對策性的、動態(tài)性的、不斷產(chǎn)生新內(nèi)容的和似乎永遠不能成熟等特性。信息化安全服務(wù)范疇幾乎包括了整個信息化所包括的所有產(chǎn)品和系統(tǒng)，其服務(wù)的綜合性和復雜性是顯而易見的。信息化安全服務(wù)是最高技術(shù)的服務(wù)，無論從設(shè)計角度和使用的角度都要求深入、熟練和非常專業(yè)。我們可以驕傲地說，信息化安全服務(wù)是世界上最偉大的服務(wù)業(yè)，也是最困難的服務(wù)業(yè)。信息化安全服務(wù)的復雜性、高成本特性要求信息化安全企業(yè)必須在安全服務(wù)的遠程化和代理化的推進方面做出不懈努力，不斷降低服務(wù)成本。

6 結(jié)語

網(wǎng)絡(luò)信息安全不僅僅是一個純技術(shù)層面的問題，單靠技術(shù)因素不足以保證網(wǎng)絡(luò)中信息的安全。網(wǎng)絡(luò)信息安全還涉及到法律、管理、標準等多方面的問題。因此，信息安全是一個相當復雜的問題，只有協(xié)調(diào)好這些體系之間的關(guān)系，才能有效保證系統(tǒng)的安全。

參考文獻

[1] 王寶會，王大印.計算機信息安全教程[M].電子工業(yè)出版社，2006，1.

[2] 陳斌.計算機網(wǎng)絡(luò)安全與防御[J].信息技術(shù)與網(wǎng)絡(luò)服務(wù)，2006，(4).