賈建輝

中國航天二院二十三所 北京 100854

對教育科研單位信息安全管理現(xiàn)狀的問題分析與研究

賈建輝

中國航天二院二十三所 北京 100854

從教育科研單位存在信息安全管理問題進行探討與分析，用模擬企業(yè)的方法和策略，進行信息安全及其管理的實踐教育，以提高信息管理的安全性。

信息安全；管理；策略

隨著信息技術(shù)的發(fā)展和信息化應(yīng)用的日趨深入，信息安全建設(shè)及其應(yīng)用正在成為教育科研單位日常教育管理和科研生產(chǎn)不可缺少的工具，教育科研單位對信息安全管理的認識程度也越來越高。

1 教育科研單位存在的信息安全管理問題

近年來人們逐步認識到信息安全對于科研單位的重要性，有些科研單位已經(jīng)成立了相應(yīng)的“信息部門”實現(xiàn)統(tǒng)一規(guī)范的管理與信息安全教育，其目的就是為了更大限度的保障科研單位的信息安全，從安全技術(shù)和管理兩個方面來解決科研單位的信息安全問題，以此提高科研人員的信息安全管理意識和保密工作。

雖然教育科研單位已經(jīng)認識到了信息安全和信息管理問題的重要性，并在信息安全和管理建設(shè)方面取得了一些成績，但教育科研單位內(nèi)部仍然存在著很多問題。

(1)人員缺乏完備的安全意識，對信息安全的認識和管理水平不高；

(2)忽略了信息安全教育發(fā)展戰(zhàn)略和計劃，信息安全的教育投入不夠；

(3)信息安全管理不足，實施教育硬性條件不夠，不能有效的實施和執(zhí)行相應(yīng)的信息安全教育措施；

(4)缺乏技術(shù)深厚的信息安全專業(yè)人才進行實踐教育；

(5)信息安全教育目標不明確，缺乏教育管理制度，導(dǎo)致管理松散等等。

許多教育科研單位對其信息系統(tǒng)不斷增加，對教育基礎(chǔ)設(shè)施存在著依賴性，在信息系統(tǒng)運作業(yè)務(wù)的安全風(fēng)險、教育效果等問題上，缺乏有效性驗證與評價，沒有充分利用信息安全技術(shù)的優(yōu)勢，反而當成了管理的軀殼。

但是，現(xiàn)實中的任何信息系統(tǒng)都是一串復(fù)雜的環(huán)節(jié)，信息的安全措施必須滲透到信息系統(tǒng)的每一個部位，其中一些問題的解決方案，甚至連信息系統(tǒng)的設(shè)計人員、測試人員和使用人員都不知道。因此，信息的不安全因素總是存在的。沒有一個信息系統(tǒng)是絕對安全的，也沒有一個信息管理的方法是絕對的靈丹妙藥。

教育科研單位在認識和教育信息系統(tǒng)安全管理的同時，應(yīng)該著重加強基層人員的信息安全管理實踐教育。雖然信息安全建設(shè)及其應(yīng)用不是一個能夠創(chuàng)收創(chuàng)效的平臺，但它是一個保障創(chuàng)收創(chuàng)效的平臺。教育者必須做出適合科研單位進行教育實施的信息安全教育發(fā)展戰(zhàn)略和計劃，加強信息安全教育在管理實踐上的投入，嚴格有效的實施和執(zhí)行相應(yīng)的安全措施、安全策略和安全管理制度，以避免使用和管理信息系統(tǒng)時的固有風(fēng)險。

原中國工程院院長徐匡迪曾經(jīng)指出：“沒有安全的工程就是豆腐渣工程”。近年來，我國大型科研單位接連不斷地出現(xiàn)不同程度的泄密事件，其原因就是由于信息安全及其管理的問題而導(dǎo)致的。這些事件不僅僅是簡單的信息安全性的問題，其直接后果是導(dǎo)致了巨大的國防安全問題、經(jīng)濟損失和不良的社會影響。如果說經(jīng)濟損失還能彌補，那么由于國防安全問題而引起的騷動事件對整個國家造成的威脅和危機，可就不是在短時期內(nèi)能夠恢復(fù)的了。

雖然各大信息系統(tǒng)工程和信息化程度要求非常高的相關(guān)行業(yè)，也出臺了對信息安全技術(shù)產(chǎn)品的應(yīng)用標準和規(guī)范。但是，沒有一個嚴格的信息安全管理策略，又怎能保障信息真正的安全性呢？

2 用模擬企業(yè)的方法和策略，進行信息安全及其管理的實踐教育

假設(shè)被教育者都是企業(yè)的成員，在信息管理的工作中應(yīng)用大量的信息系統(tǒng)，時間越久，其安全與保護問題就會日顯重要。沒有安全保障的信息系統(tǒng)，是絕對無法完成信息管理工作的。所以說，進行信息安全管理的實踐教育，也必須將信息系統(tǒng)的安全與管理問題提到戰(zhàn)略性的高度來看待。

(1)國際標準化組織對信息安全提出的建議定義是“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護。保護計算機硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭受破壞、更改、泄露”。

信息安全管理教育是當今信息社會應(yīng)當重視的問題，同樣信息安全也涉及多方面，信息安全一般包括實體安全、運行安全、信息安全、管理安全4個方面的內(nèi)容：實體安全也就是物理安全，包括環(huán)境安全、設(shè)備安全和介質(zhì)安全；運行安全是指為保證計算機網(wǎng)絡(luò)信息系統(tǒng)連續(xù)不斷地運行所采取的一系列安全措施，包括風(fēng)險分析、檢測、監(jiān)控與審計跟蹤、應(yīng)急計劃和應(yīng)急措施、計算機病毒檢測與預(yù)防等。

(2)信息安全也有廣義與狹義之分，狹義的信息安全也稱計算機網(wǎng)絡(luò)信息安全，主要是指計算機網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件及系統(tǒng)中的信息資源受到保護，不受偶然的或者惡意的原因而造成的破壞、更改、泄露。

從廣義上說，凡是涉及信息的保密性（未經(jīng)授權(quán)，信息的內(nèi)容不能被泄露）、完整性（存儲在計算機上或者在網(wǎng)絡(luò)上流動的原始信息沒有被破壞和惡意的篡改）、可用性（合法用戶提出訪問時能及時響應(yīng)）、可控性（信息處理是可以監(jiān)督和管理的）與不可否認性（在網(wǎng)絡(luò)環(huán)境下，信息發(fā)布者不可否認其發(fā)送行為，信息的接受者不可否認其已經(jīng)接受信息的行為）5個方面與人、網(wǎng)絡(luò)、環(huán)境有關(guān)的技術(shù)和管理規(guī)程的有機集合都是信息安全所要研究的領(lǐng)域。

在這里，人指信息系統(tǒng)的主體，包括各類用戶、支持人員以及技術(shù)管理和行政管理人員；網(wǎng)絡(luò)則指以計算機、網(wǎng)絡(luò)互連設(shè)備、傳輸介質(zhì)及其操作系統(tǒng)、通信協(xié)議和應(yīng)用程序所構(gòu)成的物理的和邏輯的完整體系；環(huán)境則指系統(tǒng)穩(wěn)定和可靠運行所需要的保障體系，包括建筑物、機房、動力保障與備份以及應(yīng)急與恢復(fù)系統(tǒng)。

信息安全的最終目標是：在計算機系統(tǒng)提供的信息處理功能的范圍內(nèi)，通過人力資源和技術(shù)資源進行信息保護和提供有效信息服務(wù)。

(3)信息安全不僅是一個技術(shù)問題，在很大程度上表現(xiàn)為管理問題，如果說能不能對信息實現(xiàn)有效的管理與控制是信息安全的根本問題之一，那么進行信息安全管理實踐教育就是保障對信息實現(xiàn)有效的管理與控制的有效途徑之一。

信息安全管理是對信息系統(tǒng)的生命周期全過程實施符合安全等級責(zé)任要求的科學(xué)管理，它包括：落實安全組織及安全管理人員，明確角色與職責(zé)；制定安全規(guī)劃；開發(fā)安全策略；實施風(fēng)險管理；制定業(yè)務(wù)持續(xù)性計劃和災(zāi)難恢復(fù)計劃；選擇實施安全措施；保證配置、變更的正確與安全；進行安全審計；保證維護支持；進行監(jiān)控、檢查、處理安全事件；安全意識與安全教育；人員安全管理等等。

經(jīng)過安全管理，可以達到強化信息安全意識，規(guī)范信息安全行為；對關(guān)鍵信息資產(chǎn)進行全面系統(tǒng)的保護、維持競爭優(yōu)勢；在信息系統(tǒng)受到侵襲時，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度，如果再經(jīng)過信息安全管理的實踐教育，那么對信息的管理又增加了安全的一道防線，也促使了信息安全保障體系的作用。

安全策略的內(nèi)容非常多，包括各種策略、法律法規(guī)、規(guī)章制度、管理標準等，他們都是信息安全最核心的問題，也是整個信息安全建設(shè)的依據(jù)。

但是，究竟采取的信息安全管理實踐教育是否有效呢？而解決這個問題，是需要通過結(jié)合目標管理和信息安全管理兩方面的有效性評價來實現(xiàn)的。

所以，信息安全的管理任務(wù)，必須轉(zhuǎn)化為目標，如果沒有目標，這個工作必然被忽視。信息安全需要每個人的參與和管理，當模擬的企業(yè)確定了信息安全的目標后，必須定期對其進行有效性評價和考核。這樣才能夠用自我控制的管理來代替受他人支配的管理，最大化的把信息安全管理實踐教育做好。

2009年10月18日，中國信息安全測評中心在北京舉行的新聞發(fā)布會上，宣布了信息安全“國家漏洞庫”正式投入運行，并對外開展漏洞分析與風(fēng)險評估服務(wù)的消息。

“國家漏洞庫”的建設(shè)是信息安全保障工作中的一項極為關(guān)鍵的基礎(chǔ)性和長期性的工作。目前，“國家漏洞庫”已初具規(guī)模，開始為政府部門、產(chǎn)業(yè)界及社會提供信息安全漏洞分析和風(fēng)險評估服務(wù)，建立的漏洞手機、分析、通報和面向應(yīng)用的工作機制，運行一年來，收效明顯，必將極大地提高國家信息安全的威脅應(yīng)對與風(fēng)險管理的能力和水平。

當然，模擬的企業(yè)也可以建立和依托“企業(yè)漏洞庫”，利用數(shù)據(jù)資源和軟件代碼等方面的優(yōu)勢，進行信息安全產(chǎn)業(yè)發(fā)展，進行信息安全產(chǎn)品“自主原創(chuàng)”的測評業(yè)務(wù)，在信息安全領(lǐng)域積極落實國家自主創(chuàng)新政策，確保其信息安全實現(xiàn)自主可控的目標。無論對于個人、科研單位、國家，還是信息安全管理都是非常重要的。它既是行使和保障合法權(quán)益的基本手段，也是模擬的企業(yè)正常運行的先決條件，信息時代的企業(yè)正常運作是離不開信息安全的，要保持可持續(xù)的發(fā)展，信息安全管理教育問題就不容忽視。

本文只著重強調(diào)了信息安全及其管理的模擬企業(yè)實踐教育的層面。當然，信息系統(tǒng)安全的風(fēng)險、病毒防護，人員管理，應(yīng)用安全策略等也都是對信息的安全性保護。

3 結(jié)束語

總而言之，信息安全技術(shù)的不斷發(fā)展，維護信息安全的方法也在不斷更新。對于信息安全的管理，我們必須綜合多方因素，慎重考慮，盡可能提供全面的、多方位的信息安全策略和信息安全管理與教育，切實滿足對信息安全保障體系的需求，經(jīng)過合理的配置與管理將各種信息安全風(fēng)險降低到最低，發(fā)揮最高的效率，保障科研生產(chǎn)順利進行，提高信息管理的安全性，促進社會的和諧發(fā)展。

[1]張廣欽.信息管理教程[M].北京:北京大學(xué)出版社,2005

[2]徐茂智.信息安全概論[M].北京:人民郵電出版社, 2007

Abstract: From the education scientific research unit exist information safety control question conducted to investigate and analyze, simulation enterprise's method and the strategy, carries on the information security and the management practice education, enhances the information management the security.

Key words: information security; management; strategy

On the education scientif i c research units of information security management status's problem analysis and research

Jia Jianhui The 23rd research station of the second research institute of The CASIC company，Beijing, 100854，China

2010-10-31

賈建輝，本科，助理工程師。