对信息安全管理下的信息安全保障分析
2013-08-15曲运莲
曲运莲
(太原理工大学外国语学院网络中心,山西 太原 030024)
在当今的信息社会,人们广泛使用计算机,因此计算机的信息安全非常重要,但是信息安全的防护能力对绝大多数使用计算机的用户还不够强,甚至许多计算机都没有设防护,更谈不上信息安全。目前,我国的信息安全防护能力正处于发展阶段,因此重视信息安全的管理,逐步发展、完善信息安全工程与管理体系是非常重要的。
1 信息安全下的信息环境
信息安全工程与管理即建立信息安全保障,它包括有关法律、政策、标准体系、管理体系和技术体系等。信息安全包括信息资源、信息价值、信息作用、信息损失、信息载体和信息环境,其中的信息环境是与信息有关的外部环境,对信息安全起着非常大的作用。它要求机房设置要合理,要有专人看管,防止不良人员搞破坏,以减少不必要的损失。机房要安装标准的温度、湿度计,安装空调,要防止火灾发生。机房专业人员要定期进行理论课培训,定时参加防火演练培训,定期更换消防灭火器械,定期进行防水防漏检查,计算机受潮或进水都会导致电线短路现象,从而将电脑烧坏,后果会很严重,因此必须严格防范,要有恢复灾难发生后的一套计划,确保灾情发生时有控制损失的措施以恢复丢失的数据,重新建立丢失服务、关闭程序以保护系统,建立一种安全、可控的信息系统环境。在避免风险发生方面,最重要的还是要靠专业技术人员,这些专业人员要有高度的责任心,定期进行安全意识和专业技能培训,写出安全管理工作责任计划指导书,制定出一系列切实可行的防范措施。
2 建立信息安全保障体系
信息安全保障体系主要研究建立一个能够防止对信息系统进行攻击和发生灾难时安全可靠的信息系统。信息安全问题随着信息系统发展的不断建立和健全,它经过了三个阶段:第一阶段是通信保密,它开始于20世纪40—70年代,主要用于军队指挥系统方面;第二阶段是信息系统安全,它是在20世纪70—80年代,随着计算机的普级,所有用户对信息安全逐渐重视,防止信息不被非法访问和修改;第三阶段是20世纪90年代,这是计算机领域大发展的时代,还有网络技术的发展,有网络黑客、网络病毒的攻击,要求对系统安全有全方位保护,防御来自各方面的威胁。
信息保障的对象是信息以及处理、管理、存储、传输信息的信息系统。要严格管理信息,要求使用者按照操作规程执行,专业技术人员要对设计、信息安全系统的使用和维护彻底了解,要检测有无恶意的攻击。比如高校机房学生每人都有自己登录的用户名和密码,但同学经常发现登录不进去,专业人员进行检索时发现密码被人修改,造成严重的后果。我们设定对信息安全管理、安全风险评估、安全监控、检测等技术系统,就是要经常注意对信息系统的安全防护,树立高度的信息安全防护意识,必须严格把关每一个相关的防护环节,特别要对技术和人员素质做到高标准、严要求。我们所使用的机房由单位管理人员管理,设备提供者是公司,公司可派出软件和硬件维护人员,由公司方面提出控制信息安全要求的措施,制定书面材料要求机房管理人员认真、严格按照所规定的措施执行。经验证明,如果按照制度操作,信息系统的安全性就高。在实际操作过程中不要怕麻烦,不要怕浪费时间,不要减少操作流程,有时往往是因为不重视信息系统的安全问题,忽视对信息系统的安全防范而发生情况的。
对系统安全性要做到全面性的防范,即从系统的数据、服务、应用程序、操作系统、手机、网络等方面防范,通常采用编制的操作指导书,它能帮助专业人员对岗位进行规范作业,内容则是如何完成具体工作的一些注意事项,其中包括防范信息安全规范、指南、报告等。规范要求对信息安全的责任制度做到位,责任到人,每个机房都要挂有责任人的各种信息,以便有安全情况发生时能及时处理。要求责任人对信息系统安全管理现状作出书面分析,主要分析当前信息安全的运行情况的可行性、操作性,了解用户对信息系统知识的掌握度。用户掌握信息系统安全的知识越多,对计算机知识掌握越多,越是有利于对信息系统安全的防护。当然,不排除有意的人为攻击,要检查用户是否按照措施执行操作,与信息系统安全管理要求有无差距,找出存在的不足,制定出有效可行的整改制度。这并不是一件容易的事情,这需要专业人员长时间的认真分析、检查和测试,检测资产设备的安全、检查设备的运行状态、设备是否老化。由于长时间、长期高频使用计算机设备,所以其损坏程度会很高,要定期淘汰计算机,这样虽然导致用户的使用成本增加,但能确保信息系统的安全。
机房周围的环境也需要防护,如通风、防水、防火。这些都离不开专业人员的安全管理,专业人员要自身先强大,有安全管理的本领,做到技术过硬、管理过硬,把小事看成大事来做,不能因小失大。
定期自检,检查计算机运行情况,检查机房网络硬件设备、设施是否有损坏、老化等现象,比如交换机时好时坏很不稳定,给信息系统安全造成隐患,应定期更换交换机;在软件系统安全方面,要在确保设备、设施、环境都正常的情况下,保障系统和数据库的安全。在数据库的安全环境中,做到连续监控,及时备份数据。数据库如果有损坏丢失的数据,就会导致系统无法正常运行;而如果没有备份的数据,就无法恢复数据库,这造成的损失无法估算,需要花费大量时间、人力、物力来建立,重新收集资料信息,重新建立信息数据库。因此,保护信息系统安全就要安全操作、及时备份,确保对操作系统、数据库存储、传输、处理的安全保护。另外,网络要保障网络软件、网络协议的安全,为信息系统的安全运行提供保障,确保网络传输数据的保密性、完整性和可用性。总之,硬件设备系统、软件操作系统、网络协议系统和数据库的安全管理措施都是保障信息系统安全的有力支持,要不断提高对信息系统的安全管理的重视程度,以保护信息系统不被黑客病毒所攻击。
3 安全管理信息使用户信息安全得到保障
机房有大量的计算机,主要是为计算机提供资讯数据的服务器,数据库存有大量的用户信息资料,为保障信息的安全,专业人员要进行层层防护,管理人员要作出书面保证,以保护信息不被泄露。同时严格控制网络访问者的身份,对网络访问客户的身份进行注册登记,并且进行指导,网络访问者应按照机房的管理规则进行操作,对网络访问客户进行分类,比如可分为教师类型和学生类型,这样便于管理和监控,通过分类管理,实现对客户的保密性和完整性的保护。由于计算机的开放程度逐步提高,使计算机信息有高度的共享性和扩散性,造成计算机信息在存储和传输应用过程中出现被泄露、破坏或受病毒感染,因此保护计算机信息安全控制风险,对信息系统的各个环节进行全面的安全管理是非常有用的。
信息安全管理要长期有效地进行,才能使信息系统安全有保障。对用户数据保护和个人信息的保护是信息系统安全保护的内容之一,要组织所有技术人员和网络管理人员制定出完整的保护数据和个人信息保护的规章制度,应该是切实可行的管理控制措施,比如密码管理和控制。使用密码控制策略,可以降低使用密码技术时受到各种破坏因素的风险性,或者由于没有正确操作使用而造成的危害,应当加强对密码的保护力度。当前,计算机使用者的数目很广,计算机水平也普通较高,所以防范意识更要加强,要经常更换密码,以防不测,同时应该教育人们遵守关于信息安全保护等级的法律和法规,加强对计算机使用者的教育。从思想上和行动上落实对信息系统安全保护法的实施。
目前,国家已发布的信息系统等级保护的政策法律有:1994年国务院发布了《中华人民共和国计算机信息系统安全保护条例》;2003年发布了国家信息化领导小组关于加强信息安全保障工作的意见;2004年发布了关于信息安全等级及保护工作的实施意见;2005年发布了关于开展信息系统安全等级保护基础调查工作的通知;2006年发布了国务院办公厅转发国家网络与信息安全协调小组关于网络信任体系若干意见;在2009年发布了关于开展信息安全等级保护安全建设整改工作的指导意见。由此可以说明,对信息系统的安全管理是非常重要的,从国家到企业单位及个人都要重视对信息系统的安全防护,从而保证信息化进程得以健康发展,使我国的计算机信息化水平不断增强。