贾建辉

中国航天二院二十三所 北京 100854

对教育科研单位信息安全管理现状的问题分析与研究

贾建辉

中国航天二院二十三所 北京 100854

从教育科研单位存在信息安全管理问题进行探讨与分析，用模拟企业的方法和策略，进行信息安全及其管理的实践教育，以提高信息管理的安全性。

信息安全；管理；策略

随着信息技术的发展和信息化应用的日趋深入，信息安全建设及其应用正在成为教育科研单位日常教育管理和科研生产不可缺少的工具，教育科研单位对信息安全管理的认识程度也越来越高。

1 教育科研单位存在的信息安全管理问题

近年来人们逐步认识到信息安全对于科研单位的重要性，有些科研单位已经成立了相应的“信息部门”实现统一规范的管理与信息安全教育，其目的就是为了更大限度的保障科研单位的信息安全，从安全技术和管理两个方面来解决科研单位的信息安全问题，以此提高科研人员的信息安全管理意识和保密工作。

虽然教育科研单位已经认识到了信息安全和信息管理问题的重要性，并在信息安全和管理建设方面取得了一些成绩，但教育科研单位内部仍然存在着很多问题。

(1)人员缺乏完备的安全意识，对信息安全的认识和管理水平不高；

(2)忽略了信息安全教育发展战略和计划，信息安全的教育投入不够；

(3)信息安全管理不足，实施教育硬性条件不够，不能有效的实施和执行相应的信息安全教育措施；

(4)缺乏技术深厚的信息安全专业人才进行实践教育；

(5)信息安全教育目标不明确，缺乏教育管理制度，导致管理松散等等。

许多教育科研单位对其信息系统不断增加，对教育基础设施存在着依赖性，在信息系统运作业务的安全风险、教育效果等问题上，缺乏有效性验证与评价，没有充分利用信息安全技术的优势，反而当成了管理的躯壳。

但是，现实中的任何信息系统都是一串复杂的环节，信息的安全措施必须渗透到信息系统的每一个部位，其中一些问题的解决方案，甚至连信息系统的设计人员、测试人员和使用人员都不知道。因此，信息的不安全因素总是存在的。没有一个信息系统是绝对安全的，也没有一个信息管理的方法是绝对的灵丹妙药。

教育科研单位在认识和教育信息系统安全管理的同时，应该着重加强基层人员的信息安全管理实践教育。虽然信息安全建设及其应用不是一个能够创收创效的平台，但它是一个保障创收创效的平台。教育者必须做出适合科研单位进行教育实施的信息安全教育发展战略和计划，加强信息安全教育在管理实践上的投入，严格有效的实施和执行相应的安全措施、安全策略和安全管理制度，以避免使用和管理信息系统时的固有风险。

原中国工程院院长徐匡迪曾经指出：“没有安全的工程就是豆腐渣工程”。近年来，我国大型科研单位接连不断地出现不同程度的泄密事件，其原因就是由于信息安全及其管理的问题而导致的。这些事件不仅仅是简单的信息安全性的问题，其直接后果是导致了巨大的国防安全问题、经济损失和不良的社会影响。如果说经济损失还能弥补，那么由于国防安全问题而引起的骚动事件对整个国家造成的威胁和危机，可就不是在短时期内能够恢复的了。

虽然各大信息系统工程和信息化程度要求非常高的相关行业，也出台了对信息安全技术产品的应用标准和规范。但是，没有一个严格的信息安全管理策略，又怎能保障信息真正的安全性呢？

2 用模拟企业的方法和策略，进行信息安全及其管理的实践教育

假设被教育者都是企业的成员，在信息管理的工作中应用大量的信息系统，时间越久，其安全与保护问题就会日显重要。没有安全保障的信息系统，是绝对无法完成信息管理工作的。所以说，进行信息安全管理的实践教育，也必须将信息系统的安全与管理问题提到战略性的高度来看待。

(1)国际标准化组织对信息安全提出的建议定义是“为数据处理系统建立和采取的技术和管理的安全保护。保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭受破坏、更改、泄露”。

信息安全管理教育是当今信息社会应当重视的问题，同样信息安全也涉及多方面，信息安全一般包括实体安全、运行安全、信息安全、管理安全4个方面的内容：实体安全也就是物理安全，包括环境安全、设备安全和介质安全；运行安全是指为保证计算机网络信息系统连续不断地运行所采取的一系列安全措施，包括风险分析、检测、监控与审计跟踪、应急计划和应急措施、计算机病毒检测与预防等。

(2)信息安全也有广义与狭义之分，狭义的信息安全也称计算机网络信息安全，主要是指计算机网络系统中的硬件、软件及系统中的信息资源受到保护，不受偶然的或者恶意的原因而造成的破坏、更改、泄露。

从广义上说，凡是涉及信息的保密性（未经授权，信息的内容不能被泄露）、完整性（存储在计算机上或者在网络上流动的原始信息没有被破坏和恶意的篡改）、可用性（合法用户提出访问时能及时响应）、可控性（信息处理是可以监督和管理的）与不可否认性（在网络环境下，信息发布者不可否认其发送行为，信息的接受者不可否认其已经接受信息的行为）5个方面与人、网络、环境有关的技术和管理规程的有机集合都是信息安全所要研究的领域。

在这里，人指信息系统的主体，包括各类用户、支持人员以及技术管理和行政管理人员；网络则指以计算机、网络互连设备、传输介质及其操作系统、通信协议和应用程序所构成的物理的和逻辑的完整体系；环境则指系统稳定和可靠运行所需要的保障体系，包括建筑物、机房、动力保障与备份以及应急与恢复系统。

信息安全的最终目标是：在计算机系统提供的信息处理功能的范围内，通过人力资源和技术资源进行信息保护和提供有效信息服务。

(3)信息安全不仅是一个技术问题，在很大程度上表现为管理问题，如果说能不能对信息实现有效的管理与控制是信息安全的根本问题之一，那么进行信息安全管理实践教育就是保障对信息实现有效的管理与控制的有效途径之一。

信息安全管理是对信息系统的生命周期全过程实施符合安全等级责任要求的科学管理，它包括：落实安全组织及安全管理人员，明确角色与职责；制定安全规划；开发安全策略；实施风险管理；制定业务持续性计划和灾难恢复计划；选择实施安全措施；保证配置、变更的正确与安全；进行安全审计；保证维护支持；进行监控、检查、处理安全事件；安全意识与安全教育；人员安全管理等等。

经过安全管理，可以达到强化信息安全意识，规范信息安全行为；对关键信息资产进行全面系统的保护、维持竞争优势；在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度，如果再经过信息安全管理的实践教育，那么对信息的管理又增加了安全的一道防线，也促使了信息安全保障体系的作用。

安全策略的内容非常多，包括各种策略、法律法规、规章制度、管理标准等，他们都是信息安全最核心的问题，也是整个信息安全建设的依据。

但是，究竟采取的信息安全管理实践教育是否有效呢？而解决这个问题，是需要通过结合目标管理和信息安全管理两方面的有效性评价来实现的。

所以，信息安全的管理任务，必须转化为目标，如果没有目标，这个工作必然被忽视。信息安全需要每个人的参与和管理，当模拟的企业确定了信息安全的目标后，必须定期对其进行有效性评价和考核。这样才能够用自我控制的管理来代替受他人支配的管理，最大化的把信息安全管理实践教育做好。

2009年10月18日，中国信息安全测评中心在北京举行的新闻发布会上，宣布了信息安全“国家漏洞库”正式投入运行，并对外开展漏洞分析与风险评估服务的消息。

“国家漏洞库”的建设是信息安全保障工作中的一项极为关键的基础性和长期性的工作。目前，“国家漏洞库”已初具规模，开始为政府部门、产业界及社会提供信息安全漏洞分析和风险评估服务，建立的漏洞手机、分析、通报和面向应用的工作机制，运行一年来，收效明显，必将极大地提高国家信息安全的威胁应对与风险管理的能力和水平。

当然，模拟的企业也可以建立和依托“企业漏洞库”，利用数据资源和软件代码等方面的优势，进行信息安全产业发展，进行信息安全产品“自主原创”的测评业务，在信息安全领域积极落实国家自主创新政策，确保其信息安全实现自主可控的目标。无论对于个人、科研单位、国家，还是信息安全管理都是非常重要的。它既是行使和保障合法权益的基本手段，也是模拟的企业正常运行的先决条件，信息时代的企业正常运作是离不开信息安全的，要保持可持续的发展，信息安全管理教育问题就不容忽视。

本文只着重强调了信息安全及其管理的模拟企业实践教育的层面。当然，信息系统安全的风险、病毒防护，人员管理，应用安全策略等也都是对信息的安全性保护。

3 结束语

总而言之，信息安全技术的不断发展，维护信息安全的方法也在不断更新。对于信息安全的管理，我们必须综合多方因素，慎重考虑，尽可能提供全面的、多方位的信息安全策略和信息安全管理与教育，切实满足对信息安全保障体系的需求，经过合理的配置与管理将各种信息安全风险降低到最低，发挥最高的效率，保障科研生产顺利进行，提高信息管理的安全性，促进社会的和谐发展。

[1]张广钦.信息管理教程[M].北京:北京大学出版社,2005

[2]徐茂智.信息安全概论[M].北京:人民邮电出版社, 2007

Abstract: From the education scientific research unit exist information safety control question conducted to investigate and analyze, simulation enterprise's method and the strategy, carries on the information security and the management practice education, enhances the information management the security.

Key words: information security; management; strategy

On the education scientif i c research units of information security management status's problem analysis and research

Jia Jianhui The 23rd research station of the second research institute of The CASIC company，Beijing, 100854，China

2010-10-31

贾建辉，本科，助理工程师。