科技企事业单位如何做好信息安全工作
2009-01-27张积慧
张积慧
摘 要:计算机与互联网技术的兴起,改变了每一个人的工作状态。互联网因其开放性、交互性,很容易导致泄密。科技企事业单位如何做好信息安全工作呢?首先以开放、积极防御方式狠抓用户管理、行为管理、内部控制管理,第二,完善应急响应体系的建设,第三,加大宣传、明确单位信息安全责任人;第四;科学安全设置和保管密码等等。论述了个人如何做好信息安全工作。
关键词:信息安全;互联网与计算机;控制与管理
中图分类号:TP393
文献标识码:B
文章编号:1005-569X(2009)12-0022-03
1 引 言
21世纪,以计算机和因特网技术为主的现代信息技术取得了突飞猛进的发展,为全球各领域的工作带来了深刻的变革。事实证明,信息与物质、能源共同构成了企业乃至国家生存的三大要素。随着Internet/Intranet技术的兴起,网络已经逐步成为一个开放的、互联的“大”网。Internet技术可以说是一把双刃剑,它为信息化建设、生产效率和服务质量的提高带来了极大的促进作用,但是它也对传统的安全体系提出了严峻的挑战。由于计算机信息具有共享和易于扩散等特性,它在处理、存储、传输和使用上有着严重的脆弱性,即很容易被干扰、滥用和丢失,甚至被泄漏、窃取、篡改、冒充和破坏,还有可能受到计算机病毒的感染,所以对于网际网络而言,构筑信息网络的安全防线事关重大、刻不容缓。
2 信息安全含义和涉及的内容
信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,使信息服务不中断。
从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都属于信息安全的研究领域。
信息安全涉及到信息的保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、可控性(Controllability)和不可否认性(Non-Repudiation)。综合起来说,就是要保障电子信息的有效性。保密性就是对抗对手的被动攻击,保证信息不泄漏给未经授权的人,完整性就是对抗对手主动攻击,防止信息被未经授权的人篡改,可用性就是保证信息及信息系统确实为授权使用者所用,可控性就是对信息及信息系统实施安全监控。
3 信息安全的现状
3.1 安全问题多由管理造成
信息安全是国家安全的重要组成部分,保障信息安全是一项关系全局的战略任务,具有极端的重要性、紧迫性、长期性和复杂性。随着信息技术在经济社会活动中的应用广度和深度的不断提升,对信息安全保障工作也提出了新的要求。长期以来,人们对保障信息安全的手段偏重于依靠技术,从早期的加密技术、数据备份、防病毒发展到近期网络环境下的防火墙、入侵检测、身份认证等等。厂商在安全技术和产品的研发上不遗余力,新的技术和产品不断涌现;消费者也更加相信安全产品,把仅有的预算也都投入到安全产品的采购上。但事实上,仅仅依靠技术和产品保障信息安全的愿望却往往难尽人意,许多复杂、多变的安全威胁和隐患靠产品是无法消除的。“三分技术,七分管理”这个在其他领域总结出来的实践经验和原则,在信息安全领域也同样适用。据有关部门统计,在所有的计算机安全事件中,约有52%是人为因素造成的,25%由火灾、水灾等自然灾害引起,技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成。简单归类,属于管理方面的原因比重高达70%以上, 而这些安全问题中的95%是可以通过科学的信息安全管理来避免。因此,管理已成为信息安全保障能力的重要基础。
3.2 制定管理标准,强化信息安全
各企事业单位一定要严格按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,进一步严格网络管理,建立健全各种安全制度,做好网络的正常运行。
(1)落实领导责任制,一把手亲自抓,分管负责人具体抓,一级抓一级,层层抓落实。
(2)落实信息安全事故责任追究制度,各部门指定一个网络人员对接入网络的计算机设备进行一次全面安全检查,对存在的漏洞、防毒软件配置不到位的计算机坚决断掉网络连接,待网络技术人员处理好后方能使用,对发生重大安全责任事故的,要严肃追究相关人员的责任。
(3)建立24小时值班制度,对长期不间断开机运行条件的小型网络机房,落实专人坚守24小时值班,负责检查机房的供电系统、空调系统、防火系统、网络边境情况、服务器运行情况、网络设备运行情况等进行细致检查,发现问题及时处理,消除安全隐患,确保信息系统的安全运行;
(4)落实信息安全“五禁止”制度,禁止非涉密计算机上处理、存储、传递涉密信息,禁止在国际互联网上利用电子邮件系统传递涉密信息,禁止办公内网与互联网相连,采取符合保密要求的逻辑隔离措施,禁止在各种论坛、聊天室、博客等发布、谈论国家秘密信息,禁止利用QQ等聊天工具传递、谈论国家秘密信息。
3.3 建立专门的保密工作小组
成立专门的保密工作小组,负责领导、指导和协调全所保密管理工作,并负责全单位计算机及信息网络安全的保密管理,提供技术支持和保障。具体工作职责是:
(1)修订完善相关计算机及信息网络安全保密制度。
(2)对计算机网络面临的信息安全风险、已有的信息安全防范措施开展有针对性的评估和判断,并有效使用防火墙和入侵检测设备,保障安全。
(3)定期对信息系统的账户、口令、软件补丁等进行清理检查,及时更新和升级。
(4)严格按照信息安全“五禁止”规定,对计算机进行定期检查。
(5)进一步完善信息安全应急预案,明确应急处置流程、临机处置权限,强化技术支撑。
(6)开展应急演练,检验应急预案的可操作性,保证相关人员熟悉应急预案,提高应急处置能力。
(7)负责计算机网络安全的值班值守,重大事项要及时按规定上报。
(8)对没有刻录机的涉密部门,需要传递电子涉密文件时,由专门部门负责刻制。
4 确保信息安全的技术措施和手段
目前,信息安全问题面临着前所未有的挑战,由于Internet本身的开放性,使信息系统面临着各种各样的安全威胁。针对当前形势,我们切实需要采取行之有效的技术措施和手段,确保信息安全。
(1)以开放、发展、积极防御的方式取代过去的以封堵、隔离、被动防御为主的方式,狠抓用户管理、行为管理、内容控制和应用管理以及存储管理,坚持“多层保护,主动防护”的方针。
(2)进一步完善应急响应管理体系的建设,实现统一指挥和分工协作,全面提高预案制定水平和处理能力。 由“信息安全工作小组”,专门负责信息网络方面安全保障、安全监管、安全应急和安全威慑方面的工作。对关键设施或系统制定好应急预案,并定期更新和测试信息安全应急预案。
(3)坚持“防内为主,内外兼防”的方针,通过各种会议、展板、专栏、等加大信息安全普法和守法宣传力度,提高全单位人员信息安全意识,尤其是加强各部门人员的信息安全知识培训与教育,提高员工的信息安全自律水平。明确地指定信息安全工作的职责,建议一把手作为信息安全工作责任人,形成纵向到底、横向到边的领导管理体制。
(4)科学安全设置和保管密码,完善网络安全技术。密码安全可以说是网络安全中最为重要的一环。一旦密码被泄漏,非法用户可以很轻易的进入系统。由于穷举软件的流行,Root的密码要求最少要10位,一般用户的密码要求最少要8位,并且应该有英文字母大小写以及数字和其他符号进行不规则的设置。同时不要选取如生日、名字等熟悉的信息作为密码。思想意识松懈造成的系统隐患要远大于系统自身的漏洞,将不知是否有病毒的软盘随意的插入计算机中、不当的设置密码、将密码写下来或存入计算机的文件中、长期不改密码、随意的从网上下载不明文件或内部合法用户本身的非法活动等都给信息网络带来最大的威胁。
(5)设立信息安全管理专项基金,提高信息安全综合管理平台、管理工具、网络取证、事故恢复等关键技术的研究能力与工作水平。
(6)重视和加强信息安全等级保护工作,对重要信息安全产品实行强制性认证,必须通过政府采购,购买通过认证的信息安全产品。
(7)加强信息安全管理人才的建设工作,特别是加大既懂技术又懂管理的复合型人才的培养力度。
(8)加大合作力度,尤其在标准、技术以及应急响应等方面的交流、协作与配合。
5 个人如何做好信息安全工作
安全本身不是目的,它只是一种保障。不管是从技术角度,还是从实际意义角度,信息安全涉及的范围非常宽广。个人信息安全是兽医药品监察所信息安全的基石,也是针对未来的信息战来加强自身建设的重要基础。因此,制定严格完备的安全保障制度是实现信息安全的前提,采用高水平的信息安全防护技术是保证,认真地管理落实是关键。
5.1 不得利用计算机信息系统从事下列行为
(1)制作、复制、查阅、传播有害信息;
(2)侵犯他人隐私,窃取他人帐号,假冒他人名义发送信息,或者向他人发送垃圾信息;
(3)以盈利或者非正常使用为目的,未经允许向第三方公开他人电子邮箱地址;
(4)未经允许修改、删除、增加、破坏计算机信息系统的功能、程序及数据;
(5)危害计算机信息系统安全的其他行为。
5.2 对使用的计算行使保护责任
应当对其所有、使用和管理的计算机信息系统承担相关的安全保护责任,增强安全防范意识,落实防计算机病毒、防网络入侵等安全措施。
5.3 发现问题及时报告
发现利用计算机信息系统进行的违法犯罪行为及时向所在地公安网监部门报告。
6 结 语
安全是一个广泛的主题,它涉及到许多不同的区域(物理、网络、系统、应用、管理等),每个区域都有其相关的风险、威胁及需要解决方法。仅仅依赖于安全产品的堆积来应对迅速发展变化的各种攻击手段是不能持续有效的。
信息安全建设是一项复杂的系统工程,要从观念上进行转变,规划、管理、技术等多种因素相结合,使之成为一个可持续的动态发展的过程。绝对的信息安全是不存在的,信息安全问题的解决只能通过一系列的规划和措施,把风险降低到可被接受的程度,同时采取适当的机制使风险保持在此程度之内。当信息系统发生变化时应当重新规划和实施来适应新的安全需求。