淺析某系統(tǒng)電子信息輸出安全管控

王亞寧 魯華杰 李 朋 張 建

海軍航空大學(xué)接改裝訓(xùn)練大隊(duì) 山東 煙臺(tái) 264000

隨著現(xiàn)代信息技術(shù)在社會(huì)的廣泛應(yīng)用，許多單位內(nèi)部使用網(wǎng)絡(luò)來(lái)處理相關(guān)信息，并且通過(guò)使用軟件系統(tǒng)進(jìn)行生產(chǎn)和管理活動(dòng)，而在此過(guò)程中需要利用不同的方式進(jìn)行信息交換，在此過(guò)程中就會(huì)產(chǎn)生許多的信息輸入與輸出。我國(guó)在2010年修訂了《保密法》，對(duì)網(wǎng)絡(luò)信息輸入輸出提出了新的要求，要求采取相應(yīng)的防護(hù)措施來(lái)保護(hù)信息的保密性，并且要能夠?qū)崿F(xiàn)對(duì)信息輸入輸出全過(guò)程的有效管理。

1 某系統(tǒng)電子信息輸入輸出安全管理中存在的問(wèn)題

1.1 信息輸入輸出缺乏相應(yīng)的審批管理手段

①用戶在輸入輸出時(shí)由于缺乏審批流程的控制手段，且大部分都是通過(guò)管理來(lái)實(shí)現(xiàn)，使得人員能夠不通過(guò)審批而直接進(jìn)行數(shù)據(jù)的輸入輸出，同時(shí)也沒(méi)有從技術(shù)上對(duì)文檔進(jìn)行打印控制，導(dǎo)致無(wú)法有效控制打印、刻錄等行為的有效控制，也無(wú)法保護(hù)信息的安全性。②人員提交審批通過(guò)之后，能夠進(jìn)行信息修改、替換以及填寫(xiě)等行為，而對(duì)于填寫(xiě)信息的真實(shí)性卻無(wú)法有效控制，導(dǎo)致實(shí)際輸入輸出數(shù)據(jù)與審批提交數(shù)據(jù)存在較大的出入，這也影響了單位的管理有效性。

1.2 管理人員的專業(yè)水平低

部分工作人員整體的管理技能與專業(yè)素養(yǎng)不高，管理人員作為信息系統(tǒng)管理工作的實(shí)施者，肩負(fù)著保護(hù)單位發(fā)展的重要職責(zé)，需要具備較好的專業(yè)技能與服務(wù)意識(shí)，但是在實(shí)際工作中，有許多管理人員沒(méi)有遵循相關(guān)規(guī)范，導(dǎo)致各種安全問(wèn)題的出現(xiàn)，對(duì)系統(tǒng)中的信息安全造成了影響[1]。此外，部分管理人員自身缺乏較好的安全意識(shí)，沒(méi)有認(rèn)識(shí)到違規(guī)徇私的危害，從而引發(fā)了各種安全問(wèn)題。在單位的信息系統(tǒng)管理中，其包含了許多方面內(nèi)容，其中各項(xiàng)風(fēng)險(xiǎn)操作的控制以及工作人員的行為操守等，這些對(duì)于信息安全都有直接的影響。部分單位沒(méi)有注重這方面的管理，沒(méi)有做好實(shí)現(xiàn)的信息安全管理。單位的經(jīng)濟(jì)管理需要通過(guò)科學(xué)、先進(jìn)的風(fēng)險(xiǎn)防范理念，通過(guò)增加風(fēng)險(xiǎn)防控預(yù)測(cè)，并加強(qiáng)工作人員的風(fēng)險(xiǎn)防范意識(shí)，對(duì)信息輸入輸出的各個(gè)環(huán)節(jié)進(jìn)行有效規(guī)劃，避免單位重要信息的泄漏。

1.3 監(jiān)督問(wèn)題

單位缺乏完善的內(nèi)部監(jiān)督控制機(jī)制。內(nèi)部監(jiān)督控制制度是一種有效預(yù)防信息泄漏、實(shí)現(xiàn)自我約束的一種重要機(jī)制，主要是為了對(duì)單位內(nèi)部進(jìn)行控制，通過(guò)對(duì)各種職能進(jìn)行分解，將相應(yīng)的職責(zé)向不同的部門(mén)進(jìn)行分配，并努力尋求各部門(mén)之間的平衡，從而起到相互制約的效果。對(duì)于單位而言，可以通過(guò)建立一個(gè)內(nèi)部控制部門(mén)，讓這個(gè)部門(mén)的管理人員對(duì)信息系統(tǒng)管理工作情況進(jìn)行檢查，并對(duì)一些違規(guī)違法的現(xiàn)象進(jìn)行嚴(yán)格處理[2]。內(nèi)部控制的主要目的就是為了避免信息輸入輸出安全事件的發(fā)生，從而保障單位的信息安全，確保單位的健康發(fā)展。

1.4 缺乏配套的管理方法

雖然目前國(guó)家出臺(tái)了《保密法》，但是卻沒(méi)有出臺(tái)相應(yīng)的管理?xiàng)l例，同時(shí)也缺乏配套的實(shí)施方法，并且在實(shí)際管理中的符合度較低，僅僅停留在政府出臺(tái)的規(guī)范性文件中，信息系統(tǒng)管理方法的建設(shè)水平落后，并且執(zhí)行力度也較低，導(dǎo)致執(zhí)法不嚴(yán)、違法不究等現(xiàn)象的發(fā)生。目前國(guó)家對(duì)于信息安全方面的法律法規(guī)完善水平較低，國(guó)家對(duì)此應(yīng)當(dāng)給予高度關(guān)注，制定相應(yīng)的法律法規(guī)，為單位管理提供法律支持，從而依法處理各種泄漏單位重要信息或篡改重要文件的現(xiàn)象進(jìn)行處理。

2 加強(qiáng)信息系統(tǒng)輸入輸出安全的措施

2.1 加強(qiáng)信息系統(tǒng)管理的完善

單位要結(jié)合單位的發(fā)展目標(biāo)制定科學(xué)的單位管理信息化建設(shè)方案。在新形勢(shì)背景下，雖然信息化發(fā)展是單位管理的必然趨勢(shì)，但是不能盲目建設(shè)。在應(yīng)用信息系統(tǒng)之前，需要合理進(jìn)行規(guī)劃并做好相應(yīng)的管理辦法，并一步一步的推進(jìn)安全管理措施的落實(shí)。規(guī)劃需要結(jié)合單位實(shí)際情況，制定單位信息系統(tǒng)建設(shè)的短期目標(biāo)與長(zhǎng)遠(yuǎn)目標(biāo)，這樣才能夠循序漸進(jìn)的開(kāi)展信息輸入輸出安全管理活動(dòng)，保障信息管理系統(tǒng)的有效運(yùn)用。有力的監(jiān)督能夠確保單位信息管理系統(tǒng)的合理運(yùn)用，并且保障信息管理系統(tǒng)的運(yùn)行效率[3]。通過(guò)加強(qiáng)監(jiān)督管理，能夠提高工作人員的主動(dòng)性與熱情，也有助于保障信息不被泄露。信息系統(tǒng)可以限定不同級(jí)別操作者的審批范圍，對(duì)于修改信息的權(quán)限進(jìn)行控制，將領(lǐng)導(dǎo)者作為修改信息的審批者，并對(duì)修改信息的準(zhǔn)確性負(fù)責(zé)。

2.2 提高單位管理工作人員的專業(yè)素質(zhì)

隨著現(xiàn)代科學(xué)技術(shù)的不斷進(jìn)步，單位信息系統(tǒng)應(yīng)用需要掌握信息技術(shù)的工作人員，因此要重視單位管理專業(yè)人才的選拔，并不斷加強(qiáng)現(xiàn)有工作人員的職業(yè)培訓(xùn)，單位管理需要以提高單位工作效率為主要目標(biāo)，進(jìn)而開(kāi)展相應(yīng)的培訓(xùn)工作，從而構(gòu)建一個(gè)精良的管理團(tuán)隊(duì)。單位需要重視管理人人員作能力的培養(yǎng)，提高信息管理系統(tǒng)方法與知識(shí)的掌握水平，從而實(shí)現(xiàn)工作人員綜合能力的提升。隨著信息化管理模式在現(xiàn)代單位管理中的廣泛應(yīng)用，利用信息化管理模式進(jìn)行單位管理成為眾多單位的共識(shí)。管理部門(mén)可以通過(guò)系統(tǒng)為單位內(nèi)部人員提供相應(yīng)的信息服務(wù)，從而便于查找單位信息，有助于提高單位信息的使用效率和使用價(jià)值，更好地為單位發(fā)展提供幫助。在信息應(yīng)用的過(guò)程中，需要對(duì)系統(tǒng)管理者、安全管理者以及使用人員的權(quán)限與范圍進(jìn)行明確劃分，系統(tǒng)管理者負(fù)責(zé)系統(tǒng)管理、用戶操作審計(jì)等方面的工作；安全管理者則是對(duì)組織結(jié)構(gòu)、用戶權(quán)限、信息瀏覽權(quán)限以及系統(tǒng)安全管理等方面進(jìn)行管理；而使用者要想修改信息需要經(jīng)過(guò)多方面的審批與控制，避免輸入虛假信息。此外，還可以加入操作跟蹤記錄技術(shù)，對(duì)不同人員的操作日志進(jìn)行匯總、分析，從而為決策提供數(shù)據(jù)支持。

2.3 完善信息安全管理中的規(guī)章制度

根據(jù)國(guó)家發(fā)布的政策，結(jié)合單位信息系統(tǒng)建設(shè)規(guī)劃，制定相應(yīng)的信息系統(tǒng)管理辦法等，并借鑒國(guó)外先進(jìn)的經(jīng)驗(yàn)，制定信息輸入輸出管理?xiàng)l例，包括流程、規(guī)范、管理等方面，完善工作人員守則、績(jī)效考核等方面的制度。在內(nèi)外環(huán)境監(jiān)督中多下功夫，建立健全交易全過(guò)程的監(jiān)督機(jī)制，主動(dòng)配合管理部門(mén)、監(jiān)督部門(mén)的工作。對(duì)信息輸入輸出過(guò)程中的每個(gè)環(huán)節(jié)職責(zé)進(jìn)行細(xì)化，保障各工作人員能夠清楚自身的工作職責(zé)。

3 結(jié)束語(yǔ)

隨著現(xiàn)代單位信息系統(tǒng)建設(shè)的不斷完善，信息系統(tǒng)的整體性能和安全性也有所提升，但是在單位秘密信息輸入輸出安全管理方面仍存在許多的問(wèn)題，因此需要不斷的完善和優(yōu)化，保障單位信息的安全性與完整性。

[1]袁萌.一種提高單位內(nèi)部文檔輸出安全性的途徑——文檔輸出監(jiān)控與審計(jì)系統(tǒng)綜述[J].信息安全與通信保密，2015,9(7):26-27.

[2]郭秀清,陳永生.聯(lián)鎖控制系統(tǒng)故障-安全保障體系[J].工程與應(yīng)用,2012,38(8):226-229.

[3]嚴(yán)霄鳳.基本輸入輸出系統(tǒng)安全研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013,23(32):67-71.