關于如何實現信息安全小議

趙桂紅

【摘要】隨著科學技術的飛速發展，信息安全已經成為一個社會問題，關系著每個信息接受者、采用者的利益和生活。為了塑造一個安全、和諧的信息環境，必須對目前的信息環境和問題有所認識，只有明白了問題的所在，才能采取相應的措施對其進行管理。

【關鍵詞】信息安全：管理；現狀；問題：措施

【中圖分類號】TP315 【文獻標識碼】A 【文章編號】1672-5158（2013）04-0077-01

一、信息安全事件的介紹

信息技術的飛速發展使信息技術和信息產業呈現空前繁榮的景象。與此同時，信息安全問題也愈演愈烈，關于信息安全的事件不絕于耳，個人信息泄露、黑客攻擊、網絡詐騙、網絡謠言等信息安全威脅不僅影響了人們的日常生活，還給社會安定帶來一定的影響。從國家戰略層面看，網絡戰已經成為各國競相發展的核心安全力量，網絡空間成為了各國情報機構的主要戰場，由此帶來的信息安全問題被提升。

據統計，2012年我國約有4 5億網民遇過網絡安全事件；2011年經過CNCERT調查，僅CNCERT接收到的國內外報告網絡安全事件就有15366起，利用木馬或僵尸程序控制服務器IP總數為300407個，受控主機IP總數為27275399個，惡意程序傳播事件多達35821698次；2011年Apache，MySqI，Linux等多家開源系統官網、DigiNotar，Comodo等多家證書機構以及一些大型金融企業、公司網站被黑客攻擊，導致多家公司名譽受損甚至破產；相關調查顯示，68%的企業每年至少發生6起敏感數據泄露事件，CSDN、天涯等國內大型網站用戶信息泄露事件給廣大用戶帶來巨大影響；網絡水軍隨意散布各種虛假信息，各種虛假的地震謠言等等，嚴重混淆了人們的視聽。

如何應對這些安全挑戰，建立安全防御體系，保障信息安全不受侵犯，保證各個行業賴以生存的信息系統和信息網絡正常運轉，成為信息技術領域必不可少的研究內容。

二、信息安全現狀分析

從發展歷程來看，除去早期以數據加密為主的機密性防護階段，安全技術的發展可以分為三個階段。（1）以邊界保護、主機防毒為特點的傳統安全防護階段。該階段基于傳統的攻擊防御的邊界安全防護思路，利用經典的邊界防護設備，采取堵漏洞、做高墻、防外攻等防范方法，對網絡內部提供基本的安全保障。（2）以設備聯動、功能融合為特點的安全免疫階段。該階段采用“積極防御、綜合防范”的理念，結合多種安全防護思路，實現安全功能與網絡設備融合以及不同安全功能的融合，使信息網絡具備較強的安全免疫能力。（3）以信息資源保障為特點的可信階段。可信網絡基于信息資源保障的思想，通過建立統一的信任鏈，完善系統、人員及數據接人認證機制，保證設備、用戶、應用等各個層面的可信，從而提供一個可信的網絡環境。

當前信息安全技術正在處于第二階段向第三階段的過渡期，信息安全技術和產品具有較大規模，可以實施較為穩固的安全防護。但是，仍然存在較多的問題，主要體現在：

信息安全系統建設與信息系統建設脫節，阻礙了業務的快速發展。長久以來，信息系統發展和信息安全保障被放在了兩個對立面，建設信息系統以促進業務的快速發展，往往就忽視了信息安全；充分考慮信息安全，則在多個方面阻礙了信息系統的正常運行。信息安全防護和信息系統建設，兩張皮的現狀，導致安全防護不合理，不能適應信息系統的快速發展。

信息安全防護重建設、輕管理。隨著各類安全事件的不斷發生，信息安全系統建設受到廣泛重視，信息安全系統建設已經成為單位業務建設過程中必不可少的環節。但是，信息安全防護是一個動態的過程，需要循環往復的運維管理，以應對不斷出現的新風險，這恰恰是目前安全防護系統建設中普遍欠缺的環節。

信息安全防護重手段、輕評估。當前，針對各類威脅、攻擊的新型信息安全防護手段層出不窮，日新月異。為有效防止可能出現的漏洞，安全防護系統在建設過程中，往往將大量的手段簡單堆砌。但是，防護手段建設并不能靠數量取勝，該類手段是否符合風險防護需求，各類手段之間是否存在相互妨礙、相互影響或者相互重疊的現象，防護手段在建設完成后是否運行正常，是否能夠應對新風險的發生，這些都需要建立長效的評估機制。

安全狀態的不可見與未知成為最大的管理風險。在實施安全防護系統建設過程中，往往過度關注手段防護，而缺乏安全監管和動態運維流程管理，不能及時發現安全事件。例如，網絡設備的非法接人、非法外聯難以發現和控制；對一些應用系統監控不到位，缺乏安全審計和評估手段；網絡監察手段較少，安全效能難以評估。這些情況都導致網絡安全狀態的“不可視”，形成網絡安全管理最大的風險。

從以上問題可以看出，信息安全系統建設并不是簡單的防護手段建設，傳統的“查漏補缺”已經難以適應信息系統的發展現狀。必須實現體系化、動態化的循環過程，實施統一的設計規劃、統一的策略配置、統一的運行維護，才能進行有效的管控。信息安全縱深防御思想，能夠合理地避免上述問題，是進行信息網絡安全防護的有效方法。

三、加強信息安全管理的應對措施

第一點是要不斷完善信息安全管理框架體系，一定要按照適當的程序進行相應的管理，不能忽略任何一個環節，每一組成部分都要依據自身的發展情況，建設有利于自身發展的各種業務平臺，科學制定相關的信息管理制度，通過對日常業務的科學管理，組建好與數據信息相一致的管理框架系統，包括各類的文檔信息、文件儲存信息等，同時要仔細記錄在管理過程中出現的各種安全信息事件，嚴格控制安全管理水平，建立相應的風險評價機制，提高信息安全管理體系的主動性。發生問題后及時采取高效的補救措施，以便將損失降到最低限度。

第二點是要對信息安全管理框架中的內容進行有效分析，將每一具體環節都落到實處。信息安全管理體系的落實效果必然會受到各種因素的影響，要綜合全面地進行考慮。例如信息安全管理在實施的過程中產生的費用包括培訓費、報告費等的支出就要協調好每一部門的工作。另外還有一些影響因素包括不同的管理部門之間在實際操作中的相互協調問題，不僅要不斷提高管理的效率，同時也要加強各機構組織之間的聯系，共同將管理工作落到實處。

第三點是要建立和完善信息安全管理的相關文檔。信息安全管理所涉及的范圍比較廣，涉及的文檔類型也比較多樣，包括對信息安全管理所指定的政策、管理標準、適用范圍、具體操作步驟等。文檔內容的豐富性決定了其形式的多樣性，所以在保存的時候盡量要按照其原來的形式，為了管理和讀取的便利性，可以按照不同的等級進行分類，或者是可以按照類型來分類，這樣在以后的信息安全工作管理中，文檔就很容易被認證審核員等為代表的第三方訪問和理解，達到了應用的目的。

第四點是要做好信息安全事件的及時記錄，并將信息進行有效地回饋，便于建立有效的信息安全應對機制。信息安全事故的準確記錄可以為組織進行相關安全政策定義、管理方式的選擇、管理措施的落實等工作提供可靠的依據。所以在實際的管理中，信息安全事件的記錄工作一定要做到清楚明了，清晰準確記錄與之相關的管理人員在當時當地的具體行為活動，記錄的材料要進行妥善保管。

四、結束語

在上文之中，可以看到信息安全問題已經成為一個困擾社會發展、經濟和安全的重大問題，但是在對信息的管理上還存在管理漏洞，致使產生了信息安全事件，造成了個人或企業的損失。面對信息安全的現狀需要從實際出發完善信息安全管理體系并增加技術保障，使其為社會經濟的健康發展和人們的便捷生活做出積極貢獻。

參考文獻：

[1]邴戈華.計算機網絡信息安全問題探究[J].信息與電腦（理論版），2012，（12）：3-4

[2]吳昱.淺析信息安全保障體系[J].江西通信科技，2012，（03）：45-49