信息系統管理與網絡數據安全研究

張伯寧

（河北省應急管理科學研究院，河北 石家莊 050000）

1 信息系統管理和信息安全建設的重要性

中國網絡安全和信息化邁入了全新的時代，隨著我國新一代信息技術的不斷發展，通信網絡、物聯網、三網融合、高性能集成電路和云計算等技術不斷創新，做好信息系統管理與信息安全工作成為適應社會發展態勢的迫切需要新信息技術的發展與創新對人們的生產生活方式和思想觀念都產生了巨大影響，也為我國的信息化發展帶來了新的機遇。

計算機網絡是在軟件的支持下，通過硬件系統連接若干臺計算機組成通信網絡，計算機網絡的目的在于資源和信息的共享，必須保證計算機網絡處在安全的環境中并為資源的交換和共享提供保障。信息化和網絡安全建設是為貫徹國家決策部署、各級政府機關信息化工作要求的迫切需要。黨和國家高度重視網絡與信息安全工作，并于2014年2月27日成立了中央網絡安全和信息化領導小組。2018年3月，中央網絡安全和信息化領導小組改組為中國共產黨中央網絡安全和信息化委員會。習近平總書記親自擔任組長，在領導小組第一次會議上就提出“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化”的戰略論斷。為了保證網絡安全，捍衛國家網絡主權，確保社會經濟健康發展，國家在不斷完善網絡安全方面的法律法規。

2016年11月7日，《中華人民共和國網絡安全法》發布，共七章七十九條，對網絡運行安全、網絡信息安全都做了明確的規定，該法案有效填補了網絡安全領域的空白，加強了網絡監測預警與應急處置建設，完善了網絡安全標準體系。

2017年6月1日，《中華人民共和國網絡安全法》施行。國家網信辦網絡安全協調局負責人就相關問題回答記者提問，針對會制造貿易壁壘的擔憂，負責人明確表示：“制定和實施《網絡安全法》，不是為限制國外企業、技術、產品進入中國市場，不是為限制數據依法有序自由流動。各單位應該根據國家大政方針指示，把思想和行動統一到一系列相關決策部署上來，推動我國信息系統管理與信息安全工作邁上新臺階。”

對于信息技術發展出現的信息系統和信息安全問題，國家制定的法律法規起到了關鍵作用，真正做到了有法可依，規范了網絡使用行為，維護了信息安全。基于以上方面，更應加快推進系統管理與信息安全工作，進一步加強和做好信息系統管理和網絡安全研究工作。

2 信息系統管理與網絡信息安全保障

2.1 不斷完善信息系統管理體系

做好信息系統管理工作是社會各界加快推動產業信息化、率先實現信息現代化的重要任務。對于信息系統管理安全，需要注重4個方面內容。

（1）增強信息系統管理意識。信息系統管理工作既是信息管理部門必要的工作任務，也是統攬一切信息工作的中心和重心。當前，國家信息化發展已經進入新時期，各級系統管理人員必須清醒地認識到當前面臨的新形勢、新問題和新挑戰，切實提高思想認識，尤其管理層更要提高認識，圍繞信息系統管理工作，積極、主動地抓好具體工作落實。

（2）加強組織保障。嚴格按照相關管理規定要求，領導層充分發揮后盾作用，為信息系統管理工作創造有利條件。上級部門定期聽取信息管理部門工作匯報，認真研究解決信息管理部門過程中遇到的問題，抓好信息管理工作，確保信息管理工作正常有序進行。

（3）加強系統管理人員培訓工作[1-2]，提高信息系統管理人員管理水平。制定培訓管理制度，定期組織管理人員進行業務培訓，通過學習安全保障案例和新信息系統安全技術，不斷提高系統管理人員運維水平。

（4）要強化責任追究。建立工作考核和責任追究機制，將信息管理工作作為單位年度考核內容，對信息管理工作不力、工作出現失誤的，由主管領導對負責部門進行約談，情節嚴重的要給予嚴肅問責，取消責任人及所在部門評先評優資格。

2.2 發展信息網絡數據安全保障體系

發展信息化，就必須重視信息網絡和數據安全建設，因為安全是信息化發展的前提和保障。各單位應該協同高等院校、社會力量，共同推進信息系統管理與信息安全建設。目前，信息網絡數據安全危險主要來自以下3個方面。

首先，外部攻擊造成的網絡服務癱瘓與信息竊取，這也是各類信息系統所面臨的共性問題。面對該問題需要充分利用防火墻安全技術，用于阻止外部攻擊和惡意入侵等行為，在網絡數據邊界建立一道隔絕屏障，起到保護數據的目的。

其次，計算機病毒感染威脅而使系統陷入癱瘓或崩潰。計算機病毒對于信息系統和數據安全都產生了巨大威脅，通過安裝殺毒軟件，可以解決計算機通過各種途徑感染的計算機病毒，但以前的殺毒軟件存在共性，登錄軟件后需通過互聯網下載病毒庫后計算機才能自行查殺。隨著信息技術發展，世界每小時都可以產生出幾萬個新型計算機病毒，依托于舊殺毒模式已不能滿足于信息技術發展的需要，所以需要依托于“云計算”等新技術發展“云安全”。

最后，人為泄露和竊取信息數據的情況，可以造成數據外泄和財產損失。傳統的安全防范措施已難以應對該問題，再復雜的技術防御手段，也難以防止機密信息被人為從內部竊取和轉移。所以，還需要國家在法律層面，公司單位在安全規章制度層面完善制度，建立管理機構，設立安全管理崗位等。

3 信息管理系統與網絡數據安全性方案

在建立信息管理系統的同時，有效保證系統安全是系統設計的重點之一。設計既要能夠滿足各角色用戶使用的靈活性，又要充分考慮數據的安全性與穩定性。信息管理系統的安全性設計時主要從以下幾個方面進行考慮。

3.1 網絡及硬件構架安全

網絡防火墻分為網絡級和應用級。網絡級防火墻的主要功能是對各種信息進行包過濾和狀態檢測，應用級防火墻可采用雙網卡結構、屏蔽主機、屏蔽子網等功能。在服務器硬件構架安全方面，相關用戶在使用信息系統進行訪問時，用戶訪問須經過數據中心的防火墻與系統相連。采用多應用分布部署方案，盡量做到每個服務系統都有防火墻，保證系統安全。

在負荷承載方面，信息系統各服務可根據實際負荷情況，考慮一個應用部署多個服務器進行負載均衡分配的方式。采用雙機熱備的方式，保證一臺服務器出現故障時，系統立即自動切換到備份機上運行，使系統可以繼續正常提供服務而不會中斷，提高系統的安全系數。采用負載均衡的部署方式，可降低單一應用服務器的負荷，提高用戶的訪問效率，同時可降低異常情況或某項服務無法訪問的風險[3]。如某處服務宕機，用戶使用完全不受影響。在硬件構架設計方面，采用應用分離、數據不分離的方式，多應用數據庫集中構建。數據庫服務器采用互為熱備的主從服務器的構架方式，同時可采用讀寫分離的模式。當數據承載負荷較大時，根據實際使用情況，可再另行構建數據庫服務器集群。

數據庫服務器采用多組具有主從的分布式構架方式進行擴展，同時可利用負載均衡的方式進行負載均攤。數據庫集中構建，消除了多應用系統數據耦合和一致性問題，同時降低了數據庫維護難度；采用數據庫主從的分布式構架方式，提高了數據庫的安全性、可靠性和擴展性，當數據庫處理服務和存儲需求負荷過重時，便于擴展。

3.2 信息系統應用安全

在信息系統應用安全方面，用戶在通過基于瀏覽器/服務器模式（Browser/Server，B/S）架構互聯網或客戶機和服務器結構（Client/Server Structs，C/S）架構客戶端信息系統時，都應采用認證機制，對其身份進行合法性認證，并發布獨立的查詢數據庫，限制其訪問數據的范圍，防止惡意竊取信息。

在數據權限控制方面，應嚴格按用戶綁定人員的組織機構控制其數據訪問范圍。對使用信息系統保密信息范圍的用戶采用硬件加密，例如密鑰（User Key）嚴格認證用戶身份的合法性與有效性。無硬件密鑰的人員將不能訪問本系統未公開發布的信息[4]。

在數據存儲方面，將對用戶信息、應用信息、證件等信息核心數據信息進行加密存儲。為防止注入性黑客攻擊，還應建立有效數據存取邏輯。建立入侵檢測系統，實時監控網絡數據流，分析連接狀態，通過信息系統內置的網絡攻擊數據庫，查詢網絡事件并進行響應。根據發生的網絡事件，啟用配置好的報警方式，提供網絡數據流量統計功能，為事件分析提供支持，配合數據庫支持多種協議和全面內容恢復，支持分布式結構，提供黑名單快速查看功能[5]。

3.3 系統運行管理安全

首先，加強系統運行安全應急機制管理。依據系統的運行狀況，針對不同的系統，制定不同的應急管理方案。整合相關信息制定相應的安全管理方法，保障系統的正常運行。針對可能發生的信息安全問題制定出應急預案，在發生突發事件時，系統內應急機制和系統外人員同時做出應急響應。

其次，加強系統管理人員的培訓工作。必須要配備專門的系統管理人員，針對系統規模大小配備相應數量的且明確邊界責任的管理人員，上級部門定期組織系統管理人員進行業務相關培訓，制定好應急預案。針對系統管理人員由于各種原因可能發生的違規操作等問題或導致信息處于危險的情況，定期進行系統安全風險評估。由于計算機信息系統在使用的過程中會由于不當的操作造成的安全風險，系統管理人員或機構有義務定期評估和識別計算機信息系統風險，將風險劃分等級，制定相應的規定，明確工作人員的操作范圍。系統管理人員對風險較高的威脅及時處理，防止風險在信息系統中進一步擴散。