關(guān)于如何實(shí)現(xiàn)信息安全小議

趙桂紅

【摘要】隨著科學(xué)技術(shù)的飛速發(fā)展，信息安全已經(jīng)成為一個(gè)社會(huì)問(wèn)題，關(guān)系著每個(gè)信息接受者、采用者的利益和生活。為了塑造一個(gè)安全、和諧的信息環(huán)境，必須對(duì)目前的信息環(huán)境和問(wèn)題有所認(rèn)識(shí)，只有明白了問(wèn)題的所在，才能采取相應(yīng)的措施對(duì)其進(jìn)行管理。

【關(guān)鍵詞】信息安全：管理；現(xiàn)狀；問(wèn)題：措施

【中圖分類(lèi)號(hào)】TP315 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】1672-5158（2013）04-0077-01

一、信息安全事件的介紹

信息技術(shù)的飛速發(fā)展使信息技術(shù)和信息產(chǎn)業(yè)呈現(xiàn)空前繁榮的景象。與此同時(shí)，信息安全問(wèn)題也愈演愈烈，關(guān)于信息安全的事件不絕于耳，個(gè)人信息泄露、黑客攻擊、網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)謠言等信息安全威脅不僅影響了人們的日常生活，還給社會(huì)安定帶來(lái)一定的影響。從國(guó)家戰(zhàn)略層面看，網(wǎng)絡(luò)戰(zhàn)已經(jīng)成為各國(guó)競(jìng)相發(fā)展的核心安全力量，網(wǎng)絡(luò)空間成為了各國(guó)情報(bào)機(jī)構(gòu)的主要戰(zhàn)場(chǎng)，由此帶來(lái)的信息安全問(wèn)題被提升。

據(jù)統(tǒng)計(jì)，2012年我國(guó)約有4 5億網(wǎng)民遇過(guò)網(wǎng)絡(luò)安全事件；2011年經(jīng)過(guò)CNCERT調(diào)查，僅CNCERT接收到的國(guó)內(nèi)外報(bào)告網(wǎng)絡(luò)安全事件就有15366起，利用木馬或僵尸程序控制服務(wù)器IP總數(shù)為300407個(gè)，受控主機(jī)IP總數(shù)為27275399個(gè)，惡意程序傳播事件多達(dá)35821698次；2011年Apache，MySqI，Linux等多家開(kāi)源系統(tǒng)官網(wǎng)、DigiNotar，Comodo等多家證書(shū)機(jī)構(gòu)以及一些大型金融企業(yè)、公司網(wǎng)站被黑客攻擊，導(dǎo)致多家公司名譽(yù)受損甚至破產(chǎn)；相關(guān)調(diào)查顯示，68%的企業(yè)每年至少發(fā)生6起敏感數(shù)據(jù)泄露事件，CSDN、天涯等國(guó)內(nèi)大型網(wǎng)站用戶(hù)信息泄露事件給廣大用戶(hù)帶來(lái)巨大影響；網(wǎng)絡(luò)水軍隨意散布各種虛假信息，各種虛假的地震謠言等等，嚴(yán)重混淆了人們的視聽(tīng)。

如何應(yīng)對(duì)這些安全挑戰(zhàn)，建立安全防御體系，保障信息安全不受侵犯，保證各個(gè)行業(yè)賴(lài)以生存的信息系統(tǒng)和信息網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn)，成為信息技術(shù)領(lǐng)域必不可少的研究?jī)?nèi)容。

二、信息安全現(xiàn)狀分析

從發(fā)展歷程來(lái)看，除去早期以數(shù)據(jù)加密為主的機(jī)密性防護(hù)階段，安全技術(shù)的發(fā)展可以分為三個(gè)階段。（1）以邊界保護(hù)、主機(jī)防毒為特點(diǎn)的傳統(tǒng)安全防護(hù)階段。該階段基于傳統(tǒng)的攻擊防御的邊界安全防護(hù)思路，利用經(jīng)典的邊界防護(hù)設(shè)備，采取堵漏洞、做高墻、防外攻等防范方法，對(duì)網(wǎng)絡(luò)內(nèi)部提供基本的安全保障。（2）以設(shè)備聯(lián)動(dòng)、功能融合為特點(diǎn)的安全免疫階段。該階段采用“積極防御、綜合防范”的理念，結(jié)合多種安全防護(hù)思路，實(shí)現(xiàn)安全功能與網(wǎng)絡(luò)設(shè)備融合以及不同安全功能的融合，使信息網(wǎng)絡(luò)具備較強(qiáng)的安全免疫能力。（3）以信息資源保障為特點(diǎn)的可信階段。可信網(wǎng)絡(luò)基于信息資源保障的思想，通過(guò)建立統(tǒng)一的信任鏈，完善系統(tǒng)、人員及數(shù)據(jù)接人認(rèn)證機(jī)制，保證設(shè)備、用戶(hù)、應(yīng)用等各個(gè)層面的可信，從而提供一個(gè)可信的網(wǎng)絡(luò)環(huán)境。

當(dāng)前信息安全技術(shù)正在處于第二階段向第三階段的過(guò)渡期，信息安全技術(shù)和產(chǎn)品具有較大規(guī)模，可以實(shí)施較為穩(wěn)固的安全防護(hù)。但是，仍然存在較多的問(wèn)題，主要體現(xiàn)在：

信息安全系統(tǒng)建設(shè)與信息系統(tǒng)建設(shè)脫節(jié)，阻礙了業(yè)務(wù)的快速發(fā)展。長(zhǎng)久以來(lái)，信息系統(tǒng)發(fā)展和信息安全保障被放在了兩個(gè)對(duì)立面，建設(shè)信息系統(tǒng)以促進(jìn)業(yè)務(wù)的快速發(fā)展，往往就忽視了信息安全；充分考慮信息安全，則在多個(gè)方面阻礙了信息系統(tǒng)的正常運(yùn)行。信息安全防護(hù)和信息系統(tǒng)建設(shè)，兩張皮的現(xiàn)狀，導(dǎo)致安全防護(hù)不合理，不能適應(yīng)信息系統(tǒng)的快速發(fā)展。

信息安全防護(hù)重建設(shè)、輕管理。隨著各類(lèi)安全事件的不斷發(fā)生，信息安全系統(tǒng)建設(shè)受到廣泛重視，信息安全系統(tǒng)建設(shè)已經(jīng)成為單位業(yè)務(wù)建設(shè)過(guò)程中必不可少的環(huán)節(jié)。但是，信息安全防護(hù)是一個(gè)動(dòng)態(tài)的過(guò)程，需要循環(huán)往復(fù)的運(yùn)維管理，以應(yīng)對(duì)不斷出現(xiàn)的新風(fēng)險(xiǎn)，這恰恰是目前安全防護(hù)系統(tǒng)建設(shè)中普遍欠缺的環(huán)節(jié)。

信息安全防護(hù)重手段、輕評(píng)估。當(dāng)前，針對(duì)各類(lèi)威脅、攻擊的新型信息安全防護(hù)手段層出不窮，日新月異。為有效防止可能出現(xiàn)的漏洞，安全防護(hù)系統(tǒng)在建設(shè)過(guò)程中，往往將大量的手段簡(jiǎn)單堆砌。但是，防護(hù)手段建設(shè)并不能靠數(shù)量取勝，該類(lèi)手段是否符合風(fēng)險(xiǎn)防護(hù)需求，各類(lèi)手段之間是否存在相互妨礙、相互影響或者相互重疊的現(xiàn)象，防護(hù)手段在建設(shè)完成后是否運(yùn)行正常，是否能夠應(yīng)對(duì)新風(fēng)險(xiǎn)的發(fā)生，這些都需要建立長(zhǎng)效的評(píng)估機(jī)制。

安全狀態(tài)的不可見(jiàn)與未知成為最大的管理風(fēng)險(xiǎn)。在實(shí)施安全防護(hù)系統(tǒng)建設(shè)過(guò)程中，往往過(guò)度關(guān)注手段防護(hù)，而缺乏安全監(jiān)管和動(dòng)態(tài)運(yùn)維流程管理，不能及時(shí)發(fā)現(xiàn)安全事件。例如，網(wǎng)絡(luò)設(shè)備的非法接人、非法外聯(lián)難以發(fā)現(xiàn)和控制；對(duì)一些應(yīng)用系統(tǒng)監(jiān)控不到位，缺乏安全審計(jì)和評(píng)估手段；網(wǎng)絡(luò)監(jiān)察手段較少，安全效能難以評(píng)估。這些情況都導(dǎo)致網(wǎng)絡(luò)安全狀態(tài)的“不可視”，形成網(wǎng)絡(luò)安全管理最大的風(fēng)險(xiǎn)。

從以上問(wèn)題可以看出，信息安全系統(tǒng)建設(shè)并不是簡(jiǎn)單的防護(hù)手段建設(shè)，傳統(tǒng)的“查漏補(bǔ)缺”已經(jīng)難以適應(yīng)信息系統(tǒng)的發(fā)展現(xiàn)狀。必須實(shí)現(xiàn)體系化、動(dòng)態(tài)化的循環(huán)過(guò)程，實(shí)施統(tǒng)一的設(shè)計(jì)規(guī)劃、統(tǒng)一的策略配置、統(tǒng)一的運(yùn)行維護(hù)，才能進(jìn)行有效的管控。信息安全縱深防御思想，能夠合理地避免上述問(wèn)題，是進(jìn)行信息網(wǎng)絡(luò)安全防護(hù)的有效方法。

三、加強(qiáng)信息安全管理的應(yīng)對(duì)措施

第一點(diǎn)是要不斷完善信息安全管理框架體系，一定要按照適當(dāng)?shù)某绦蜻M(jìn)行相應(yīng)的管理，不能忽略任何一個(gè)環(huán)節(jié)，每一組成部分都要依據(jù)自身的發(fā)展情況，建設(shè)有利于自身發(fā)展的各種業(yè)務(wù)平臺(tái)，科學(xué)制定相關(guān)的信息管理制度，通過(guò)對(duì)日常業(yè)務(wù)的科學(xué)管理，組建好與數(shù)據(jù)信息相一致的管理框架系統(tǒng)，包括各類(lèi)的文檔信息、文件儲(chǔ)存信息等，同時(shí)要仔細(xì)記錄在管理過(guò)程中出現(xiàn)的各種安全信息事件，嚴(yán)格控制安全管理水平，建立相應(yīng)的風(fēng)險(xiǎn)評(píng)價(jià)機(jī)制，提高信息安全管理體系的主動(dòng)性。發(fā)生問(wèn)題后及時(shí)采取高效的補(bǔ)救措施，以便將損失降到最低限度。

第二點(diǎn)是要對(duì)信息安全管理框架中的內(nèi)容進(jìn)行有效分析，將每一具體環(huán)節(jié)都落到實(shí)處。信息安全管理體系的落實(shí)效果必然會(huì)受到各種因素的影響，要綜合全面地進(jìn)行考慮。例如信息安全管理在實(shí)施的過(guò)程中產(chǎn)生的費(fèi)用包括培訓(xùn)費(fèi)、報(bào)告費(fèi)等的支出就要協(xié)調(diào)好每一部門(mén)的工作。另外還有一些影響因素包括不同的管理部門(mén)之間在實(shí)際操作中的相互協(xié)調(diào)問(wèn)題，不僅要不斷提高管理的效率，同時(shí)也要加強(qiáng)各機(jī)構(gòu)組織之間的聯(lián)系，共同將管理工作落到實(shí)處。

第三點(diǎn)是要建立和完善信息安全管理的相關(guān)文檔。信息安全管理所涉及的范圍比較廣，涉及的文檔類(lèi)型也比較多樣，包括對(duì)信息安全管理所指定的政策、管理標(biāo)準(zhǔn)、適用范圍、具體操作步驟等。文檔內(nèi)容的豐富性決定了其形式的多樣性，所以在保存的時(shí)候盡量要按照其原來(lái)的形式，為了管理和讀取的便利性，可以按照不同的等級(jí)進(jìn)行分類(lèi)，或者是可以按照類(lèi)型來(lái)分類(lèi)，這樣在以后的信息安全工作管理中，文檔就很容易被認(rèn)證審核員等為代表的第三方訪問(wèn)和理解，達(dá)到了應(yīng)用的目的。

第四點(diǎn)是要做好信息安全事件的及時(shí)記錄，并將信息進(jìn)行有效地回饋，便于建立有效的信息安全應(yīng)對(duì)機(jī)制。信息安全事故的準(zhǔn)確記錄可以為組織進(jìn)行相關(guān)安全政策定義、管理方式的選擇、管理措施的落實(shí)等工作提供可靠的依據(jù)。所以在實(shí)際的管理中，信息安全事件的記錄工作一定要做到清楚明了，清晰準(zhǔn)確記錄與之相關(guān)的管理人員在當(dāng)時(shí)當(dāng)?shù)氐木唧w行為活動(dòng)，記錄的材料要進(jìn)行妥善保管。

四、結(jié)束語(yǔ)

在上文之中，可以看到信息安全問(wèn)題已經(jīng)成為一個(gè)困擾社會(huì)發(fā)展、經(jīng)濟(jì)和安全的重大問(wèn)題，但是在對(duì)信息的管理上還存在管理漏洞，致使產(chǎn)生了信息安全事件，造成了個(gè)人或企業(yè)的損失。面對(duì)信息安全的現(xiàn)狀需要從實(shí)際出發(fā)完善信息安全管理體系并增加技術(shù)保障，使其為社會(huì)經(jīng)濟(jì)的健康發(fā)展和人們的便捷生活做出積極貢獻(xiàn)。

參考文獻(xiàn)：

[1]邴戈華.計(jì)算機(jī)網(wǎng)絡(luò)信息安全問(wèn)題探究[J].信息與電腦（理論版），2012，（12）：3-4

[2]吳昱.淺析信息安全保障體系[J].江西通信科技，2012，（03）：45-49