信息安全管理工作重要性认识初探

刘卫钢 李勇

[摘 要] 当前，各行业、各部门都在加快信息化建设的步伐，人们在享受信息技术带来的工作、学习和生活方式便捷的同时，黑客、病毒、计算机犯罪等信息安全问题也对信息系统构成威胁甚至是破坏。如何在信息化建设的过程中确保信息系统安全已经成为我们不得不研究和探讨的问题。

[关键词] 信息安全； 管理； 重要性； 认识

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 06. 054

[中圖分类号] TP309 [文献标识码] A [文章编号] 1673 - 0194（2014）06- 0089- 02

信息安全不仅是技术问题也是管理问题，没有完善的管理，降低安全风险只是空谈。所以通过组织工作人员学习有关信息安全知识，要让大家知道我们使用电脑、网络、应用软件该懂得什么，注意什么，或者必须注意什么，自觉按照国家和本单位有关信息安全的要求积极主动维护信息安全。

1 信息安全管理存在的主要问题及原因分析

（1） 第一阶段建设的信息系统只进行信息系统的建设，信息安全问题基本没有考虑，没有必要的防火墙和防病毒软件等安全设备和软件，只是把本单位的电脑通过网线联接起来进行简单的文件传送。通过这几年对信息安全方面知识的学习和实践，本文认为处于第一个阶段时，人们对信息安全没有太多的认识，而且工作中对网络中有关存取安全也没有太多的要求。

（2） 第二阶段建设的信息系统在注重信息系统建设时，也考虑到了信息安全问题，但没有实质性的投入。进行信息系统设计时只考虑信息系统的建设，没有考虑信息系统安全设计，基本是先建设，遇到信息安全问题，再购置信息安全所需要设备和软件，以解决遇到的安全问题，属于那种“救火式”的被动防御的管理办法。随着信息技术的不断发展和工作上对远距离传送数据的要求，广域网的建设日益普及，远距离传送数据既要保证数据的准确性，还要保证数据的安全性，不能被窃取和修改。这时黑客、计算机犯罪经常出现在网络中，病毒更是通过网络大面积地传播，传播速度之快，其危害性、破坏性更大，尤其是在互联网上的传播。为了保证信息安全就得重新购置设备，搞重复建设，造成极大的浪费。

（3） 第三阶段建设的信息系统，信息化建设和信息安全建设被置于同等地位，变被动防御为主动防御，相关人员对信息安全的认识也加强了，但信息安全的管理不到位。随着信息技术的突飞猛进，信息化建设投入的日益增多，信息系统的建设和应用日益广泛，人们的工作、学习和生活越来越依赖信息系统，同时信息安全问题离我们越来越近了，信息安全的重要性正在被认识，这个阶段建设的信息系统配置了防火墙、网关等设备和防病毒软件，而且选型、配置得也非常合理，但也存在着重建设，轻管理，重“硬件”轻“软件”的问题，比如防火墙、网关等设备出厂时都会有个“出厂设置”的问题。一般来说，这些设备专业性比较强，我们的专业技术人员对这些设备的参数都不是太熟悉，厂商的技术工作人员会负责安装调试，没有问题就算验收了，这样就存在着信息安全的问题，因为没有及时更改相关的数据，就为日后的信息安全留下了隐患。

2 如何加强信息技术投入和信息安全管理确保信息安全

2.1 从信息技术方面确保信息安全要注意的问题

（1） 物理安全。购置信息安全所需的硬件设备。进行信息化建设总体设计时就要考虑信息安全，购置安全所需的防火墙、网关等硬件，这些设备设置完成后，需要重新设置口令，不能用本身默认的口令等等，确保不将没有进网许可证的设备接入网络。同时建议对防火墙、网关和互联网配置进行备份，以使发生故障时能够快速获得这些参数。

（2） 数据库安全。经常备份信息，信息越重要，备份的副本就应该越多，应该制定备份制度，对数据进行定期备份。如果可能的话，应对敏感信息进行加密，始终在安全地点保存不可覆盖的文件副本。

（3） 操作系统和应用系统安全。目前大多数操作系统都有系统的漏洞，操作系统及网络软件不可能是百分之百的无缺陷、无漏洞，开发商经常会针对发现的漏洞公布一些补丁程序，要及时安装；应用系统安全即各行业自行开发的业务应用系统是安全的。

（4） 经常防御病毒、黑客、木马、流氓软件、电子邮件的入侵和干扰。病毒感染：从蠕虫病毒开始到CIH病毒、冲击波病毒，病毒一直是信息系统安全最直接的威胁，网络更是为病毒提供了快速传播的途径，病毒很容易地通过代理服务器以软件下载、邮件方式进入网络，然后对网络进行攻击。黑客攻击：这也是网络面临的最大威胁，此类攻击可分为两种：一种是网络攻击，以各种方式有选择地破坏对方信息的有效性和完整性；另一类是网络侦察，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得对方重要的机密信息，这两种攻击均可对计算机网络造成极大的危害。流氓软件是最近出现的概念，它是指有些软件开发商为宣传自己的软件，恶意让用户安装到自己的电脑上，而且还不能删除，这类软件目前给用户造成很大麻烦和损失。对于不明来历的电子邮件不要接收和查看。

2.2 从信息安全管理方面要注意的问题

全面提升工作人员整体信息安全意识。要高度重视信息安全管理工作，有关业务部门要切实加强指导，以高度的责任感进一步推进信息化建设和信息安全管理工作。使信息化建设和信息安全建设同步进行。

2.3 建立健全信息安全管理规章制度

按照全国信息安全工作会议的要求，全面部署信息安全工作——迈向信息社会，信息安全要重视两项主要任务：① 保证基础信息网络和重要信息系统的可生存性； ② 建立规范的网络秩序。网络秩序的规范从强化执行作业程序、提升应变能力、构建安全环境等方面出发。

3 加强信息安全建设的设想

（1） 建立健全信息安全突发事件应急处理预案。成立负责处理突发信息安全的机构，专人负责。当发生信息安全事故时，要及时上报到信息安全部门，相关机构及时分析并作出处理办法。

（2） 转变观念。当考虑网络信息系统的安全问题时，必须依据信息系统安全工程学的理论和方法，构造全方位防御机制。首先必须了解潜在的安全威胁以及黑客的入侵方式，然后制定相应的安全策略和网络安全机制，选择符合标准和通过认证的安全产品，从而建立，维护和运行机制一整套网络安全评测系统、实时网络监控系统等。一个完善的计算机网络信息系统安全方案至少应该包括以下几个方面： ① 访问控制； ② 检查安全漏洞； ③ 攻击监控； ④ 加密； ⑤ 备份； ⑥ 多层防御； ⑦ 建立必要的管理机制。