張積慧

摘 要:計算機與互聯(lián)網(wǎng)技術(shù)的興起,改變了每一個人的工作狀態(tài)?；ヂ?lián)網(wǎng)因其開放性、交互性,很容易導致泄密?？萍计笫聵I(yè)單位如何做好信息安全工作呢?首先以開放、積極防御方式狠抓用戶管理、行為管理、內(nèi)部控制管理,第二,完善應急響應體系的建設,第三,加大宣傳、明確單位信息安全責任人;第四;科學安全設置和保管密碼等等。論述了個人如何做好信息安全工作。

關(guān)鍵詞:信息安全;互聯(lián)網(wǎng)與計算機;控制與管理

中圖分類號:TP393

文獻標識碼:B

文章編號:1005-569X(2009)12-0022-03

1 引 言

21世紀,以計算機和因特網(wǎng)技術(shù)為主的現(xiàn)代信息技術(shù)取得了突飛猛進的發(fā)展,為全球各領(lǐng)域的工作帶來了深刻的變革。事實證明,信息與物質(zhì)、能源共同構(gòu)成了企業(yè)乃至國家生存的三大要素。隨著Internet/Intranet技術(shù)的興起,網(wǎng)絡已經(jīng)逐步成為一個開放的、互聯(lián)的“大”網(wǎng)。Internet技術(shù)可以說是一把雙刃劍,它為信息化建設、生產(chǎn)效率和服務質(zhì)量的提高帶來了極大的促進作用,但是它也對傳統(tǒng)的安全體系提出了嚴峻的挑戰(zhàn)。由于計算機信息具有共享和易于擴散等特性,它在處理、存儲、傳輸和使用上有著嚴重的脆弱性,即很容易被干擾、濫用和丟失,甚至被泄漏、竊取、篡改、冒充和破壞,還有可能受到計算機病毒的感染,所以對于網(wǎng)際網(wǎng)絡而言,構(gòu)筑信息網(wǎng)絡的安全防線事關(guān)重大、刻不容緩。

2 信息安全含義和涉及的內(nèi)容

信息安全是指信息網(wǎng)絡的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不因偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運行,使信息服務不中斷。

從廣義來說,凡是涉及到網(wǎng)絡上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都屬于信息安全的研究領(lǐng)域。

信息安全涉及到信息的保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、可控性(Controllability)和不可否認性(Non-Repudiation)。綜合起來說,就是要保障電子信息的有效性。保密性就是對抗對手的被動攻擊,保證信息不泄漏給未經(jīng)授權(quán)的人,完整性就是對抗對手主動攻擊,防止信息被未經(jīng)授權(quán)的人篡改,可用性就是保證信息及信息系統(tǒng)確實為授權(quán)使用者所用,可控性就是對信息及信息系統(tǒng)實施安全監(jiān)控。

3 信息安全的現(xiàn)狀

3.1 安全問題多由管理造成

信息安全是國家安全的重要組成部分,保障信息安全是一項關(guān)系全局的戰(zhàn)略任務,具有極端的重要性、緊迫性、長期性和復雜性。隨著信息技術(shù)在經(jīng)濟社會活動中的應用廣度和深度的不斷提升,對信息安全保障工作也提出了新的要求。長期以來,人們對保障信息安全的手段偏重于依靠技術(shù),從早期的加密技術(shù)、數(shù)據(jù)備份、防病毒發(fā)展到近期網(wǎng)絡環(huán)境下的防火墻、入侵檢測、身份認證等等。廠商在安全技術(shù)和產(chǎn)品的研發(fā)上不遺余力,新的技術(shù)和產(chǎn)品不斷涌現(xiàn);消費者也更加相信安全產(chǎn)品,把僅有的預算也都投入到安全產(chǎn)品的采購上。但事實上,僅僅依靠技術(shù)和產(chǎn)品保障信息安全的愿望卻往往難盡人意,許多復雜、多變的安全威脅和隱患靠產(chǎn)品是無法消除的?！叭旨夹g(shù),七分管理”這個在其他領(lǐng)域總結(jié)出來的實踐經(jīng)驗和原則,在信息安全領(lǐng)域也同樣適用。據(jù)有關(guān)部門統(tǒng)計,在所有的計算機安全事件中,約有52%是人為因素造成的,25%由火災、水災等自然災害引起,技術(shù)錯誤占10%,組織內(nèi)部人員作案占10%,僅有3%左右是由外部不法人員的攻擊造成。簡單歸類,屬于管理方面的原因比重高達70%以上, 而這些安全問題中的95%是可以通過科學的信息安全管理來避免。因此,管理已成為信息安全保障能力的重要基礎。

3.2 制定管理標準,強化信息安全

各企事業(yè)單位一定要嚴格按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則,進一步嚴格網(wǎng)絡管理,建立健全各種安全制度,做好網(wǎng)絡的正常運行。

(1)落實領(lǐng)導責任制,一把手親自抓,分管負責人具體抓,一級抓一級,層層抓落實。

(2)落實信息安全事故責任追究制度,各部門指定一個網(wǎng)絡人員對接入網(wǎng)絡的計算機設備進行一次全面安全檢查,對存在的漏洞、防毒軟件配置不到位的計算機堅決斷掉網(wǎng)絡連接,待網(wǎng)絡技術(shù)人員處理好后方能使用,對發(fā)生重大安全責任事故的,要嚴肅追究相關(guān)人員的責任。

(3)建立24小時值班制度,對長期不間斷開機運行條件的小型網(wǎng)絡機房,落實專人堅守24小時值班,負責檢查機房的供電系統(tǒng)、空調(diào)系統(tǒng)、防火系統(tǒng)、網(wǎng)絡邊境情況、服務器運行情況、網(wǎng)絡設備運行情況等進行細致檢查,發(fā)現(xiàn)問題及時處理,消除安全隱患,確保信息系統(tǒng)的安全運行;

(4)落實信息安全“五禁止”制度,禁止非涉密計算機上處理、存儲、傳遞涉密信息,禁止在國際互聯(lián)網(wǎng)上利用電子郵件系統(tǒng)傳遞涉密信息,禁止辦公內(nèi)網(wǎng)與互聯(lián)網(wǎng)相連,采取符合保密要求的邏輯隔離措施,禁止在各種論壇、聊天室、博客等發(fā)布、談論國家秘密信息,禁止利用QQ等聊天工具傳遞、談論國家秘密信息。

3.3 建立專門的保密工作小組

成立專門的保密工作小組,負責領(lǐng)導、指導和協(xié)調(diào)全所保密管理工作,并負責全單位計算機及信息網(wǎng)絡安全的保密管理,提供技術(shù)支持和保障。具體工作職責是:

(1)修訂完善相關(guān)計算機及信息網(wǎng)絡安全保密制度。

(2)對計算機網(wǎng)絡面臨的信息安全風險、已有的信息安全防范措施開展有針對性的評估和判斷,并有效使用防火墻和入侵檢測設備,保障安全。

(3)定期對信息系統(tǒng)的賬戶、口令、軟件補丁等進行清理檢查,及時更新和升級。

(4)嚴格按照信息安全“五禁止”規(guī)定,對計算機進行定期檢查。

(5)進一步完善信息安全應急預案,明確應急處置流程、臨機處置權(quán)限,強化技術(shù)支撐。

(6)開展應急演練,檢驗應急預案的可操作性,保證相關(guān)人員熟悉應急預案,提高應急處置能力。

(7)負責計算機網(wǎng)絡安全的值班值守,重大事項要及時按規(guī)定上報。

(8)對沒有刻錄機的涉密部門,需要傳遞電子涉密文件時,由專門部門負責刻制。

4 確保信息安全的技術(shù)措施和手段

目前,信息安全問題面臨著前所未有的挑戰(zhàn),由于Internet本身的開放性,使信息系統(tǒng)面臨著各種各樣的安全威脅。針對當前形勢,我們切實需要采取行之有效的技術(shù)措施和手段,確保信息安全。

(1)以開放、發(fā)展、積極防御的方式取代過去的以封堵、隔離、被動防御為主的方式,狠抓用戶管理、行為管理、內(nèi)容控制和應用管理以及存儲管理,堅持“多層保護,主動防護”的方針。

(2)進一步完善應急響應管理體系的建設,實現(xiàn)統(tǒng)一指揮和分工協(xié)作,全面提高預案制定水平和處理能力。 由“信息安全工作小組”,專門負責信息網(wǎng)絡方面安全保障、安全監(jiān)管、安全應急和安全威懾方面的工作。對關(guān)鍵設施或系統(tǒng)制定好應急預案,并定期更新和測試信息安全應急預案。

(3)堅持“防內(nèi)為主,內(nèi)外兼防”的方針,通過各種會議、展板、專欄、等加大信息安全普法和守法宣傳力度,提高全單位人員信息安全意識,尤其是加強各部門人員的信息安全知識培訓與教育,提高員工的信息安全自律水平。明確地指定信息安全工作的職責,建議一把手作為信息安全工作責任人,形成縱向到底、橫向到邊的領(lǐng)導管理體制。

(4)科學安全設置和保管密碼,完善網(wǎng)絡安全技術(shù)。密碼安全可以說是網(wǎng)絡安全中最為重要的一環(huán)。一旦密碼被泄漏,非法用戶可以很輕易的進入系統(tǒng)。由于窮舉軟件的流行,Root的密碼要求最少要10位,一般用戶的密碼要求最少要8位,并且應該有英文字母大小寫以及數(shù)字和其他符號進行不規(guī)則的設置。同時不要選取如生日、名字等熟悉的信息作為密碼。思想意識松懈造成的系統(tǒng)隱患要遠大于系統(tǒng)自身的漏洞,將不知是否有病毒的軟盤隨意的插入計算機中、不當?shù)脑O置密碼、將密碼寫下來或存入計算機的文件中、長期不改密碼、隨意的從網(wǎng)上下載不明文件或內(nèi)部合法用戶本身的非法活動等都給信息網(wǎng)絡帶來最大的威脅。

(5)設立信息安全管理專項基金,提高信息安全綜合管理平臺、管理工具、網(wǎng)絡取證、事故恢復等關(guān)鍵技術(shù)的研究能力與工作水平。

(6)重視和加強信息安全等級保護工作,對重要信息安全產(chǎn)品實行強制性認證,必須通過政府采購,購買通過認證的信息安全產(chǎn)品。

(7)加強信息安全管理人才的建設工作,特別是加大既懂技術(shù)又懂管理的復合型人才的培養(yǎng)力度。

(8)加大合作力度,尤其在標準、技術(shù)以及應急響應等方面的交流、協(xié)作與配合。

5 個人如何做好信息安全工作

安全本身不是目的,它只是一種保障。不管是從技術(shù)角度,還是從實際意義角度,信息安全涉及的范圍非常寬廣。個人信息安全是獸醫(yī)藥品監(jiān)察所信息安全的基石,也是針對未來的信息戰(zhàn)來加強自身建設的重要基礎。因此,制定嚴格完備的安全保障制度是實現(xiàn)信息安全的前提,采用高水平的信息安全防護技術(shù)是保證,認真地管理落實是關(guān)鍵。

5.1 不得利用計算機信息系統(tǒng)從事下列行為

(1)制作、復制、查閱、傳播有害信息;

(2)侵犯他人隱私,竊取他人帳號,假冒他人名義發(fā)送信息,或者向他人發(fā)送垃圾信息;

(3)以盈利或者非正常使用為目的,未經(jīng)允許向第三方公開他人電子郵箱地址;

(4)未經(jīng)允許修改、刪除、增加、破壞計算機信息系統(tǒng)的功能、程序及數(shù)據(jù);

(5)危害計算機信息系統(tǒng)安全的其他行為。

5.2 對使用的計算行使保護責任

應當對其所有、使用和管理的計算機信息系統(tǒng)承擔相關(guān)的安全保護責任,增強安全防范意識,落實防計算機病毒、防網(wǎng)絡入侵等安全措施。

5.3 發(fā)現(xiàn)問題及時報告

發(fā)現(xiàn)利用計算機信息系統(tǒng)進行的違法犯罪行為及時向所在地公安網(wǎng)監(jiān)部門報告。

6 結(jié) 語

安全是一個廣泛的主題,它涉及到許多不同的區(qū)域(物理、網(wǎng)絡、系統(tǒng)、應用、管理等),每個區(qū)域都有其相關(guān)的風險、威脅及需要解決方法。僅僅依賴于安全產(chǎn)品的堆積來應對迅速發(fā)展變化的各種攻擊手段是不能持續(xù)有效的。

信息安全建設是一項復雜的系統(tǒng)工程,要從觀念上進行轉(zhuǎn)變,規(guī)劃、管理、技術(shù)等多種因素相結(jié)合,使之成為一個可持續(xù)的動態(tài)發(fā)展的過程。絕對的信息安全是不存在的,信息安全問題的解決只能通過一系列的規(guī)劃和措施,把風險降低到可被接受的程度,同時采取適當?shù)臋C制使風險保持在此程度之內(nèi)。當信息系統(tǒng)發(fā)生變化時應當重新規(guī)劃和實施來適應新的安全需求。