淺談?wù)畽C(jī)構(gòu)信息安全的重要性

孫曉晨 李 沁 劉振業(yè) 寧 珊 金 鑫

國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心，北京 100029

政府機(jī)構(gòu)作為國(guó)家信息化過程中信息流的“匯聚節(jié)點(diǎn)”，因此在國(guó)家信息化建設(shè)中政府機(jī)構(gòu)扮演著十分重要的角色，早在2003年溫家寶總理就提出“大力推進(jìn)信息化，是黨中央順應(yīng)時(shí)代進(jìn)步潮流和世界發(fā)展趨勢(shì)做出的重大決策，是我國(guó)實(shí)現(xiàn)工業(yè)化、現(xiàn)代化的必然選擇，是促進(jìn)生產(chǎn)力跨越式發(fā)展、增強(qiáng)綜合國(guó)力和國(guó)際競(jìng)爭(zhēng)力、維護(hù)國(guó)家安全的關(guān)鍵環(huán)節(jié)，是覆蓋現(xiàn)代化建設(shè)全局的戰(zhàn)略舉措”。

伴隨著互聯(lián)網(wǎng)的廣泛使用，信息安全成為專家、學(xué)者、應(yīng)用商所關(guān)注的核心問題之一，作為信息化發(fā)展的主導(dǎo)機(jī)構(gòu)，政府對(duì)于信息安全的要求已經(jīng)成為各級(jí)部門關(guān)注的焦點(diǎn)，信息安全一方面從技術(shù)上可以杜絕一些問題，但其并非單單是一個(gè)技術(shù)可以完全解決的，“三分技術(shù)，七分管理”，只有在技術(shù)防御的基礎(chǔ)上加強(qiáng)信息安全的管理控制能力，才能從根本上解決信息安全問題。本文主要從信息安全常見的一些問題中分析信息安全在技術(shù)和管理層面所面臨的一些問題。

1 信息安全常見問題介紹

伴隨著大數(shù)據(jù)時(shí)代的到來，計(jì)算機(jī)網(wǎng)絡(luò)的重要性更為凸顯出來，信息安全無疑成為了政府機(jī)構(gòu)、企業(yè)、服務(wù)性機(jī)構(gòu)等部門所最為關(guān)注的核心問題。所謂信息安全是指防止非法的攻擊和病毒，以確保計(jì)算機(jī)系統(tǒng)的和通信系統(tǒng)的正常運(yùn)作；它通常包括以下四方面的內(nèi)容，即需要保證信息的保密性、完整性、可用性和可控性，綜合起來就是指保證信息的有效性。

常見的信息安全主要分為設(shè)備技術(shù)安全和管理信息安全。設(shè)備技術(shù)安全方面主要分為設(shè)備硬件安全、網(wǎng)絡(luò)安全、移動(dòng)通信安全、災(zāi)備技術(shù)等方面；管理信息安全主要包括國(guó)家相關(guān)法律法規(guī)的制訂以及相關(guān)管理人員的培訓(xùn)。

1.1 信息安全技術(shù)設(shè)備安全問題介紹

政府機(jī)構(gòu)作為業(yè)務(wù)部門信息匯集的中心節(jié)點(diǎn)，確保信息在網(wǎng)絡(luò)傳輸過程中的安全性是可以通過技術(shù)和安全設(shè)備進(jìn)行控制的，當(dāng)前互聯(lián)網(wǎng)的廣泛應(yīng)用促使電子政務(wù)、電子辦公等互聯(lián)網(wǎng)業(yè)務(wù)的使用，由于政府信息中涉及一些重要的商業(yè)、政府機(jī)密，因此對(duì)政府的網(wǎng)絡(luò)架構(gòu)的安全性提出了很高的要求，當(dāng)前政府機(jī)構(gòu)的網(wǎng)絡(luò)架構(gòu)主要采用分級(jí)架構(gòu)，這就造成在各級(jí)網(wǎng)絡(luò)管理方面存在一定的漏洞，這就給了病毒、蠕蟲等垃圾軟件嵌入計(jì)算機(jī)系統(tǒng)的機(jī)會(huì)；由于計(jì)算機(jī)系統(tǒng)本身的脆弱性，因而構(gòu)成了政府信息安全系統(tǒng)潛在的物理威脅，首先，由于自然災(zāi)害如地震火災(zāi)以及次生災(zāi)害等環(huán)境事故對(duì)網(wǎng)絡(luò)造成的損害；其次，由于不可預(yù)料的原因例如電源故障造成設(shè)備斷電或者操作系統(tǒng)引導(dǎo)失敗等導(dǎo)致的數(shù)據(jù)可信息丟失；還有就是由于外部原因?qū)е碌脑O(shè)備被盜被毀，進(jìn)而致使數(shù)據(jù)丟失或信息泄露以及硬件設(shè)備的不足，如電磁輻射造成的數(shù)據(jù)信息被竊，最后還有就是由于報(bào)警系統(tǒng)漏洞造成的事故[1]。

政府部門作為國(guó)家涉密機(jī)構(gòu)，存在一些關(guān)系國(guó)家安全的信息，當(dāng)前成熟的一些信息安全技術(shù)從物理層面能夠攔截一些潛在的危險(xiǎn)，但是當(dāng)前的漏洞攻擊者往往會(huì)采用一些非規(guī)則性的手段逃過防火墻、安全管控軟件的檢測(cè)，當(dāng)然這個(gè)問題的前提往往是由于業(yè)務(wù)人員的不當(dāng)操作造成的，這個(gè)詳細(xì)描述將在下一個(gè)問題中提出。當(dāng)前主流的信息安全技術(shù)包括內(nèi)容檢測(cè)、數(shù)字簽名、水印、行為監(jiān)控等等。由于當(dāng)前多數(shù)機(jī)構(gòu)均使用Windows、Linux、MAC等主流操作系統(tǒng)，這些系統(tǒng)的核心主要是由國(guó)外的公司掌握，往往會(huì)存在一定的后臺(tái)漏洞，這些主要是從軟防御方面介紹的；防火墻、加密交換機(jī)、入侵防御（IP）等方式從物理角度保護(hù)了計(jì)算機(jī)系統(tǒng)的安全，這些內(nèi)容本文將不作介紹，災(zāi)備技術(shù)作為當(dāng)前信息安全的一個(gè)流行的解決方案，北京郵電大學(xué)災(zāi)備技術(shù)國(guó)家工程實(shí)驗(yàn)室在災(zāi)備技術(shù)方面有較強(qiáng)的理論實(shí)踐。

1.2 信息安全管理問題介紹

管理疏忽是導(dǎo)致信息泄露的重要原因之一，據(jù)統(tǒng)計(jì)80%的安全問題是因?yàn)閮?nèi)部人員的操作不當(dāng)造成的，各個(gè)單位雖然都制定了相應(yīng)的計(jì)算機(jī)安全操作規(guī)定，但是由于主客觀原因往往會(huì)使得操作人員在操作過程中出現(xiàn)誤操作、信息外泄等問題，還有就是信息管理人員的法律意識(shí)淡薄，容易造成關(guān)鍵數(shù)據(jù)以及信息的泄漏。

2 政府機(jī)構(gòu)面對(duì)信息安全問題所需采取的手段

安全的信息管理體系確保了政府在提高信息服務(wù)的基礎(chǔ)上避免安全管理風(fēng)險(xiǎn)發(fā)生的幾率，只有建立了一套制度化的管理體系，才能提高電子政務(wù)、內(nèi)部信息化管控的服務(wù)水平，健全的信息安全管理體系可以從以下幾點(diǎn)說明。

2.1 建立健全管控體系

信息安全的建設(shè)需要靠操作人員加強(qiáng)自身的安全意識(shí)，這就需要單位機(jī)構(gòu)健全自身的安全管理體系，一般主要從領(lǐng)導(dǎo)問責(zé)、組織管理等方面入手。首先要建立健全完善的領(lǐng)導(dǎo)問責(zé)制，要明確逐級(jí)的責(zé)任人，在政府信息化建設(shè)中要加強(qiáng)領(lǐng)導(dǎo)的信息安全的意識(shí)，避免常見的領(lǐng)導(dǎo)授權(quán)他人操作等現(xiàn)象，對(duì)出現(xiàn)信息安全的問題要追究相應(yīng)責(zé)任人的相關(guān)責(zé)任，決不能以大事化小、小事化了的方式處理；其次，政府機(jī)構(gòu)設(shè)立專門的信息安全管理人員，負(fù)責(zé)網(wǎng)絡(luò)的相關(guān)維護(hù)和安全管理，在某些信息安全要求較高的單位設(shè)立專門的信息安全管理部門，由該單位的一把手兼任該部門的主管，這樣從組織架構(gòu)上就將信息安全問題提高到了一個(gè)較高的層面，一個(gè)很明顯的案例是在20世紀(jì)80年代的美國(guó)政府投入了1萬億美元建設(shè)信息化，但是沒有取得預(yù)期的效果，只有變革了組織架構(gòu)后，才發(fā)揮出了應(yīng)有的效應(yīng)；最后就是政府機(jī)構(gòu)要設(shè)立專門的信息安全專項(xiàng)資金以確保信息化建設(shè)的順利推進(jìn)。

2.2 加快相關(guān)法律法規(guī)的建立

政府作為國(guó)家戰(zhàn)略發(fā)展的支柱基礎(chǔ)，要以方便大眾作為出發(fā)點(diǎn)，同時(shí)也要把握國(guó)際化發(fā)展的大趨勢(shì)，結(jié)合本國(guó)的國(guó)情建立相關(guān)的法律法規(guī)以確保國(guó)家信息化發(fā)展過程中信息安全的順利保障。國(guó)家要規(guī)范信息化標(biāo)準(zhǔn)法律法規(guī)的建立，當(dāng)前傳統(tǒng)的法律法規(guī)已經(jīng)不適合當(dāng)前信息化技術(shù)發(fā)展的需要，因此政府在創(chuàng)建相關(guān)信息化法律的時(shí)候要保證法律的開發(fā)性、兼容性以及可操作性，同時(shí)還需要考慮同國(guó)際信息化法律的融合，這是由于信息化發(fā)展是基于互聯(lián)網(wǎng)的發(fā)展，而互聯(lián)網(wǎng)安全是一個(gè)國(guó)際化的課題[2，3，5]。

2.3 相關(guān)人員的專業(yè)培訓(xùn)

解決信息安全的關(guān)鍵問題之一就是人員的問題，信息安全問題與人的相關(guān)性最大，當(dāng)前國(guó)內(nèi)信息安全相關(guān)的高校、研究所還是比較缺乏的，因此信息安全的相關(guān)專業(yè)人員也就相對(duì)缺失，因此政府應(yīng)對(duì)不同的機(jī)構(gòu)人員制定不同的培訓(xùn)計(jì)劃，提高管理技術(shù)人員的職業(yè)素質(zhì)，加強(qiáng)保密安全培訓(xùn)提高人員的責(zé)任意識(shí)，簽訂相關(guān)保密協(xié)議，以確保有據(jù)可依、有法可循[4]。

2.4 加強(qiáng)信息安全相關(guān)技術(shù)的研究

當(dāng)前國(guó)內(nèi)外信息安全技術(shù)的相關(guān)研究十分的活躍，政府機(jī)構(gòu)作為科技發(fā)展的倡導(dǎo)者應(yīng)加大相關(guān)的科技投入。云計(jì)算、物聯(lián)網(wǎng)技術(shù)的發(fā)展對(duì)信息安全技術(shù)提出了更高的要求，政務(wù)信息化、電子商務(wù)、移動(dòng)辦公等已成為政府辦公的主流手段，尤其當(dāng)前流行的移動(dòng)辦公業(yè)務(wù)方便了政府工作人員的業(yè)務(wù)處理，同時(shí)對(duì)信息安全有了更高的要求，這就要求科研機(jī)構(gòu)、相關(guān)技術(shù)公司對(duì)相關(guān)業(yè)務(wù)作更深的研究，以確保政府辦公業(yè)務(wù)的安全性。

3 結(jié)語

信息安全作為當(dāng)前國(guó)家信息化建設(shè)中所關(guān)注的重要問題之一，政府作為信息化建設(shè)的主導(dǎo)機(jī)構(gòu)，如何有效利用信息安全技術(shù)保證信息的安全是政府機(jī)構(gòu)需要考慮的關(guān)鍵問題之一。本文主要從當(dāng)前流行的信息安全技術(shù)以及管理方面所面臨的一些問題分析了當(dāng)前政府信息安全的現(xiàn)狀，并且提出一些相關(guān)的解決處理形式，對(duì)信息安全所需解決的問題作了介紹。

[1]史先進(jìn). 政府機(jī)構(gòu)信息網(wǎng)絡(luò)系統(tǒng)安全管理策略[J]. 商丘師范學(xué)院學(xué)報(bào)，2012，28（3）.

[2]孫凱. 我國(guó)電子政府信息安全問題與對(duì)策研究[D]. 南京師范大學(xué). 碩士論文，2012.

[3]周志田，楊多貴，趙一禎. 基于電子政府的知識(shí)管理模型研究[J]. 中國(guó)科技信息，2007（17）

[4]董海欣.政府信息資源共享的機(jī)制研究[J].情報(bào)資料工作，2008（06）.

[5]王雅飛.信息安全立法的理論問題一訪中國(guó)社會(huì)科學(xué)知識(shí)產(chǎn)權(quán)中心唐廣良教授[J]. 信息安全與通訊保密，2003（02）.