科技企事業單位如何做好信息安全工作

張積慧

摘 要:計算機與互聯網技術的興起,改變了每一個人的工作狀態?；ヂ摼W因其開放性、交互性,很容易導致泄密?？萍计笫聵I單位如何做好信息安全工作呢?首先以開放、積極防御方式狠抓用戶管理、行為管理、內部控制管理,第二,完善應急響應體系的建設,第三,加大宣傳、明確單位信息安全責任人;第四;科學安全設置和保管密碼等等。論述了個人如何做好信息安全工作。

關鍵詞:信息安全;互聯網與計算機;控制與管理

中圖分類號:TP393

文獻標識碼:B

文章編號:1005-569X(2009)12-0022-03

1 引 言

21世紀,以計算機和因特網技術為主的現代信息技術取得了突飛猛進的發展,為全球各領域的工作帶來了深刻的變革。事實證明,信息與物質、能源共同構成了企業乃至國家生存的三大要素。隨著Internet/Intranet技術的興起,網絡已經逐步成為一個開放的、互聯的“大”網。Internet技術可以說是一把雙刃劍,它為信息化建設、生產效率和服務質量的提高帶來了極大的促進作用,但是它也對傳統的安全體系提出了嚴峻的挑戰。由于計算機信息具有共享和易于擴散等特性,它在處理、存儲、傳輸和使用上有著嚴重的脆弱性,即很容易被干擾、濫用和丟失,甚至被泄漏、竊取、篡改、冒充和破壞,還有可能受到計算機病毒的感染,所以對于網際網絡而言,構筑信息網絡的安全防線事關重大、刻不容緩。

2 信息安全含義和涉及的內容

信息安全是指信息網絡的硬件、軟件及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,使信息服務不中斷。

從廣義來說,凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都屬于信息安全的研究領域。

信息安全涉及到信息的保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、可控性(Controllability)和不可否認性(Non-Repudiation)。綜合起來說,就是要保障電子信息的有效性。保密性就是對抗對手的被動攻擊,保證信息不泄漏給未經授權的人,完整性就是對抗對手主動攻擊,防止信息被未經授權的人篡改,可用性就是保證信息及信息系統確實為授權使用者所用,可控性就是對信息及信息系統實施安全監控。

3 信息安全的現狀

3.1 安全問題多由管理造成

信息安全是國家安全的重要組成部分,保障信息安全是一項關系全局的戰略任務,具有極端的重要性、緊迫性、長期性和復雜性。隨著信息技術在經濟社會活動中的應用廣度和深度的不斷提升,對信息安全保障工作也提出了新的要求。長期以來,人們對保障信息安全的手段偏重于依靠技術,從早期的加密技術、數據備份、防病毒發展到近期網絡環境下的防火墻、入侵檢測、身份認證等等。廠商在安全技術和產品的研發上不遺余力,新的技術和產品不斷涌現;消費者也更加相信安全產品,把僅有的預算也都投入到安全產品的采購上。但事實上,僅僅依靠技術和產品保障信息安全的愿望卻往往難盡人意,許多復雜、多變的安全威脅和隱患靠產品是無法消除的。“三分技術,七分管理”這個在其他領域總結出來的實踐經驗和原則,在信息安全領域也同樣適用。據有關部門統計,在所有的計算機安全事件中,約有52%是人為因素造成的,25%由火災、水災等自然災害引起,技術錯誤占10%,組織內部人員作案占10%,僅有3%左右是由外部不法人員的攻擊造成。簡單歸類,屬于管理方面的原因比重高達70%以上, 而這些安全問題中的95%是可以通過科學的信息安全管理來避免。因此,管理已成為信息安全保障能力的重要基礎。

3.2 制定管理標準,強化信息安全

各企事業單位一定要嚴格按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則,進一步嚴格網絡管理,建立健全各種安全制度,做好網絡的正常運行。

(1)落實領導責任制,一把手親自抓,分管負責人具體抓,一級抓一級,層層抓落實。

(2)落實信息安全事故責任追究制度,各部門指定一個網絡人員對接入網絡的計算機設備進行一次全面安全檢查,對存在的漏洞、防毒軟件配置不到位的計算機堅決斷掉網絡連接,待網絡技術人員處理好后方能使用,對發生重大安全責任事故的,要嚴肅追究相關人員的責任。

(3)建立24小時值班制度,對長期不間斷開機運行條件的小型網絡機房,落實專人堅守24小時值班,負責檢查機房的供電系統、空調系統、防火系統、網絡邊境情況、服務器運行情況、網絡設備運行情況等進行細致檢查,發現問題及時處理,消除安全隱患,確保信息系統的安全運行;

(4)落實信息安全“五禁止”制度,禁止非涉密計算機上處理、存儲、傳遞涉密信息,禁止在國際互聯網上利用電子郵件系統傳遞涉密信息,禁止辦公內網與互聯網相連,采取符合保密要求的邏輯隔離措施,禁止在各種論壇、聊天室、博客等發布、談論國家秘密信息,禁止利用QQ等聊天工具傳遞、談論國家秘密信息。

3.3 建立專門的保密工作小組

成立專門的保密工作小組,負責領導、指導和協調全所保密管理工作,并負責全單位計算機及信息網絡安全的保密管理,提供技術支持和保障。具體工作職責是:

(1)修訂完善相關計算機及信息網絡安全保密制度。

(2)對計算機網絡面臨的信息安全風險、已有的信息安全防范措施開展有針對性的評估和判斷,并有效使用防火墻和入侵檢測設備,保障安全。

(3)定期對信息系統的賬戶、口令、軟件補丁等進行清理檢查,及時更新和升級。

(4)嚴格按照信息安全“五禁止”規定,對計算機進行定期檢查。

(5)進一步完善信息安全應急預案,明確應急處置流程、臨機處置權限,強化技術支撐。

(6)開展應急演練,檢驗應急預案的可操作性,保證相關人員熟悉應急預案,提高應急處置能力。

(7)負責計算機網絡安全的值班值守,重大事項要及時按規定上報。

(8)對沒有刻錄機的涉密部門,需要傳遞電子涉密文件時,由專門部門負責刻制。

4 確保信息安全的技術措施和手段

目前,信息安全問題面臨著前所未有的挑戰,由于Internet本身的開放性,使信息系統面臨著各種各樣的安全威脅。針對當前形勢,我們切實需要采取行之有效的技術措施和手段,確保信息安全。

(1)以開放、發展、積極防御的方式取代過去的以封堵、隔離、被動防御為主的方式,狠抓用戶管理、行為管理、內容控制和應用管理以及存儲管理,堅持“多層保護,主動防護”的方針。

(2)進一步完善應急響應管理體系的建設,實現統一指揮和分工協作,全面提高預案制定水平和處理能力。 由“信息安全工作小組”,專門負責信息網絡方面安全保障、安全監管、安全應急和安全威懾方面的工作。對關鍵設施或系統制定好應急預案,并定期更新和測試信息安全應急預案。

(3)堅持“防內為主,內外兼防”的方針,通過各種會議、展板、專欄、等加大信息安全普法和守法宣傳力度,提高全單位人員信息安全意識,尤其是加強各部門人員的信息安全知識培訓與教育,提高員工的信息安全自律水平。明確地指定信息安全工作的職責,建議一把手作為信息安全工作責任人,形成縱向到底、橫向到邊的領導管理體制。

(4)科學安全設置和保管密碼,完善網絡安全技術。密碼安全可以說是網絡安全中最為重要的一環。一旦密碼被泄漏,非法用戶可以很輕易的進入系統。由于窮舉軟件的流行,Root的密碼要求最少要10位,一般用戶的密碼要求最少要8位,并且應該有英文字母大小寫以及數字和其他符號進行不規則的設置。同時不要選取如生日、名字等熟悉的信息作為密碼。思想意識松懈造成的系統隱患要遠大于系統自身的漏洞,將不知是否有病毒的軟盤隨意的插入計算機中、不當的設置密碼、將密碼寫下來或存入計算機的文件中、長期不改密碼、隨意的從網上下載不明文件或內部合法用戶本身的非法活動等都給信息網絡帶來最大的威脅。

(5)設立信息安全管理專項基金,提高信息安全綜合管理平臺、管理工具、網絡取證、事故恢復等關鍵技術的研究能力與工作水平。

(6)重視和加強信息安全等級保護工作,對重要信息安全產品實行強制性認證,必須通過政府采購,購買通過認證的信息安全產品。

(7)加強信息安全管理人才的建設工作,特別是加大既懂技術又懂管理的復合型人才的培養力度。

(8)加大合作力度,尤其在標準、技術以及應急響應等方面的交流、協作與配合。

5 個人如何做好信息安全工作

安全本身不是目的,它只是一種保障。不管是從技術角度,還是從實際意義角度,信息安全涉及的范圍非常寬廣。個人信息安全是獸醫藥品監察所信息安全的基石,也是針對未來的信息戰來加強自身建設的重要基礎。因此,制定嚴格完備的安全保障制度是實現信息安全的前提,采用高水平的信息安全防護技術是保證,認真地管理落實是關鍵。

5.1 不得利用計算機信息系統從事下列行為

(1)制作、復制、查閱、傳播有害信息;

(2)侵犯他人隱私,竊取他人帳號,假冒他人名義發送信息,或者向他人發送垃圾信息;

(3)以盈利或者非正常使用為目的,未經允許向第三方公開他人電子郵箱地址;

(4)未經允許修改、刪除、增加、破壞計算機信息系統的功能、程序及數據;

(5)危害計算機信息系統安全的其他行為。

5.2 對使用的計算行使保護責任

應當對其所有、使用和管理的計算機信息系統承擔相關的安全保護責任,增強安全防范意識,落實防計算機病毒、防網絡入侵等安全措施。

5.3 發現問題及時報告

發現利用計算機信息系統進行的違法犯罪行為及時向所在地公安網監部門報告。

6 結 語

安全是一個廣泛的主題,它涉及到許多不同的區域(物理、網絡、系統、應用、管理等),每個區域都有其相關的風險、威脅及需要解決方法。僅僅依賴于安全產品的堆積來應對迅速發展變化的各種攻擊手段是不能持續有效的。

信息安全建設是一項復雜的系統工程,要從觀念上進行轉變,規劃、管理、技術等多種因素相結合,使之成為一個可持續的動態發展的過程。絕對的信息安全是不存在的,信息安全問題的解決只能通過一系列的規劃和措施,把風險降低到可被接受的程度,同時采取適當的機制使風險保持在此程度之內。當信息系統發生變化時應當重新規劃和實施來適應新的安全需求。