淺析網(wǎng)絡(luò)信息系統(tǒng)的安全管理

摘 要：隨著移動互聯(lián)時代的到來，信息化、數(shù)字化的建設(shè)不斷加速，有力推動了各行各業(yè)進步，同時網(wǎng)絡(luò)信息安全問題也越來越突出。本文分析網(wǎng)絡(luò)信息安全威脅來源，結(jié)合日常工作經(jīng)驗，總結(jié)得出，網(wǎng)絡(luò)信息安全管理要以國家現(xiàn)行法律法規(guī)為指導，倡導建設(shè)面向應(yīng)用、面向?qū)崙?zhàn)的綜合安全管理體系；提出以發(fā)展和創(chuàng)新的視角看待新形勢下的網(wǎng)絡(luò)信息安全管理，擯棄只注重技術(shù)防范不注重人的管理模式。

關(guān)鍵詞：信息系統(tǒng)；網(wǎng)絡(luò)安全；安全管理體系

中圖分類號：TN915.08

1 網(wǎng)絡(luò)信息系統(tǒng)安全的需求

隨著移動互聯(lián)時代的到來，各行業(yè)信息化、數(shù)字化的建設(shè)不斷加速。一方面，信息化建設(shè)為人們的工作生活帶來了諸多便利，提高了整個社會的生產(chǎn)效率。另一方面，大規(guī)模信息化建設(shè)也帶來了網(wǎng)絡(luò)信息安全問題。如何保障網(wǎng)絡(luò)信息系統(tǒng)的安全，成為我們需要共同應(yīng)對的課題。一個安全可靠的信息系統(tǒng)需要實現(xiàn)以下目標：（1）保證業(yè)務(wù)不間斷的正常運作。包括構(gòu)成網(wǎng)絡(luò)系統(tǒng)的所有設(shè)施、系統(tǒng)、以及系統(tǒng)所處理的數(shù)據(jù)；（2）保證網(wǎng)絡(luò)的安全性，尤其是服務(wù)器的安全；（3）保證在通訊時，信息在公網(wǎng)上傳輸?shù)陌踩?；?）保證重要信息在可控的范圍內(nèi)傳播，即有效的控制信息傳播的范圍，防止重要信息泄露；（5）整個網(wǎng)絡(luò)具有可控制性、易管理性、可擴展性。

2 網(wǎng)絡(luò)信息系統(tǒng)安全的隱患

威脅網(wǎng)絡(luò)安全，導致系統(tǒng)故障的原因很多，主要分為自然因素和非自然因素兩大類。通過分析我們發(fā)現(xiàn)系統(tǒng)安全隱患主要有以下幾點：（1）信息系統(tǒng)自身缺陷造成的網(wǎng)絡(luò)安全隱患。人們在信息系統(tǒng)建設(shè)之初往往只注重功能的實現(xiàn)而忽視了信息安全的建設(shè)，沒有對信息系統(tǒng)安全給予足夠的重視，隨著網(wǎng)絡(luò)的發(fā)展，新的問題和新的安全威脅不斷出現(xiàn)，導致網(wǎng)絡(luò)信息系統(tǒng)安全隱患層出不窮；（2）未經(jīng)授權(quán)的用戶入侵網(wǎng)絡(luò)系統(tǒng)，這是一種常見的入侵方式。非法用戶入侵系統(tǒng)后，一方面可能竊取用戶信息，另一方面也有可能對用戶信息進行篡改，導致信息失真；（3）使用移動存儲介質(zhì)傳遞信息，導致計算機病毒和木馬等惡意程序的傳播，造成文件丟失、網(wǎng)絡(luò)擁堵乃至整個信息系統(tǒng)癱瘓；（4）由使用人員操作不當造成的信息安全隱患。一方面管理人員或者用戶因為誤操作將系統(tǒng)數(shù)據(jù)刪除；另一方面，用戶因為安全意識薄弱，沒有嚴格遵守相關(guān)的操作規(guī)范，隨意處理數(shù)據(jù)和連接公網(wǎng)，將對信息系統(tǒng)安全造成威脅。

3 網(wǎng)絡(luò)信息系統(tǒng)安全體系

網(wǎng)絡(luò)信息系統(tǒng)安全管理的對象是整個網(wǎng)絡(luò)信息系統(tǒng)而不是系統(tǒng)中的某一個元素，一般來說，系統(tǒng)中相關(guān)因素都是管理的內(nèi)容。從系統(tǒng)內(nèi)部看，有通信網(wǎng)絡(luò)安全、設(shè)備硬件安全、系統(tǒng)操作安全、信息資源安全等，從系統(tǒng)外部環(huán)境看，有法律、道德、文化傳統(tǒng)、社會制度等方面的內(nèi)容。網(wǎng)絡(luò)安全管理要以國家現(xiàn)行法律法規(guī)為指導，倡導建設(shè)面向應(yīng)用、面向?qū)崙?zhàn)的綜合安全管理體系；提出以發(fā)展和創(chuàng)新的視角看待新形勢下的網(wǎng)絡(luò)信息安全管理，擯棄只注重技術(shù)防范不注重人的管理模式。網(wǎng)絡(luò)信息系統(tǒng)安全提倡管理的均衡性，各項因素管理要互相協(xié)調(diào)，不能厚此薄彼。

由于網(wǎng)絡(luò)信息系統(tǒng)安全是一個系統(tǒng)工程，任何一個環(huán)節(jié)的安全漏洞都可能帶來全系統(tǒng)的不安全。因此為保證系統(tǒng)的全面安全，我們從系統(tǒng)多個層面入手，采用多種有效的安全措施來實現(xiàn)網(wǎng)絡(luò)系統(tǒng)安全。

3.1 建立主要領(lǐng)導負總責，職能部門抓落實的網(wǎng)絡(luò)信息安全管理體制

各信息系統(tǒng)業(yè)主單位要成立網(wǎng)絡(luò)與信息安全管理委員會，委員會主任由主要領(lǐng)導擔任，委員會成員由各分管領(lǐng)導和系統(tǒng)管理人員組成。其主要職能是：制定、審查信息安全措施；確定實施安全措施的方針、策略和原則；組織實施安全措施并協(xié)調(diào)、監(jiān)督、檢查安全措施的執(zhí)行情況。管理委員會下設(shè)辦公室，辦公室成員具體落實信息安全的各項工作。

3.2 完善安全技術(shù)設(shè)施的配備與應(yīng)用

完善關(guān)鍵技術(shù)設(shè)施的配備，調(diào)整現(xiàn)有設(shè)備的應(yīng)用策略，是消除網(wǎng)絡(luò)安全隱患，保障網(wǎng)絡(luò)安全更加有效也是更加直接的方法。

3.2.1 配備防火墻。防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)用戶的安全政策控制出入網(wǎng)絡(luò)的信息流，能有效地監(jiān)控內(nèi)網(wǎng)和公網(wǎng)之間的任何活動，且本身具有較強的抗攻擊能力，保證內(nèi)網(wǎng)的安全。

3.2.2 部署入侵防御系統(tǒng)（IPS）。防火墻作為安全保障體系的第一道防線，已經(jīng)將大部門的入侵防御在內(nèi)網(wǎng)之外，但是有一些攻擊行為是防火墻所不能防御的，比如說應(yīng)用層的攻擊行為。這就需要將完全協(xié)議分析和在線防御相融合，這就是入侵防御系統(tǒng)（IPS）：在線部署，深層分析網(wǎng)絡(luò)實時數(shù)據(jù)，精確判斷隱含其中的攻擊行為，實施及時的阻斷。這樣入侵防御系統(tǒng)和防火墻互為補充，及時防范各種攻擊。

3.2.3 部署防病毒軟件。內(nèi)網(wǎng)部署網(wǎng)絡(luò)防病毒軟件，為整個網(wǎng)絡(luò)提供防病毒服務(wù)。內(nèi)網(wǎng)安全威脅主要通過移動存儲介質(zhì)、移動數(shù)據(jù)設(shè)備等途徑進入內(nèi)網(wǎng)。內(nèi)部的這些惡意代碼繞過了防火墻，直接或間接的與公網(wǎng)保持接觸。這就為惡性攻擊事件提供了機會，然后以此為基地，對內(nèi)網(wǎng)上其他主機發(fā)起惡性攻擊。網(wǎng)絡(luò)防病毒軟件可進行檢測、防護，并采取行動來解除或刪除惡意軟件程序，同時可對所有終端進行統(tǒng)一的管理和及時病毒庫更新。

3.2.4 部署上網(wǎng)認證系統(tǒng)。在前面的設(shè)備中：防火墻保證了未經(jīng)授權(quán)的用戶無法訪問相應(yīng)的端口或使用相應(yīng)的協(xié)議；入侵檢測系統(tǒng)能夠發(fā)現(xiàn)未經(jīng)授權(quán)用戶攻擊系統(tǒng)的企圖；安全網(wǎng)關(guān)保證了用戶無法進入未經(jīng)授權(quán)的網(wǎng)段。這些安全產(chǎn)品只解決了數(shù)字身份的認證。上網(wǎng)認證系統(tǒng)能解決用戶的物理身份和數(shù)字身份相對應(yīng)的問題，如采用IP地址+MAC地址+用戶名和密碼的認證方式，讓其成為網(wǎng)絡(luò)安全管理一道有力的防線。

3.3 加強制度建設(shè)，進一步規(guī)范人防技防兩方面工作

網(wǎng)絡(luò)信息安全歸納起來最主要就是人和技術(shù)兩方面的因素，除了做好技術(shù)設(shè)備的配備外，在管理上要有一套完整、嚴格的工作標準和執(zhí)行規(guī)范，有健全的安全管理制度。對設(shè)備的臺賬、安裝部署、維護保養(yǎng)和報廢處理都要有一整套詳細規(guī)定，對設(shè)備日常運維要有嚴格的執(zhí)行程序。對于網(wǎng)絡(luò)管理人員的日常操作、日常維護都要有嚴格的操作規(guī)范和完整日志留存。人事部門在員工考核錄用、工作績效評價以及調(diào)動、免職等方面應(yīng)有具體的安全措施。

3.4 加強法律法規(guī)宣傳，提高用戶的安全意識

加強信息系統(tǒng)各級使用人員網(wǎng)絡(luò)安全法律法規(guī)的普及教育，提高用戶的網(wǎng)絡(luò)安全意識，是提升網(wǎng)絡(luò)信息系統(tǒng)安全的有效辦法。管理人員有必要在每個部門設(shè)置若干網(wǎng)絡(luò)安全員，針對網(wǎng)絡(luò)安全問題定期對安全員進行知識教育和技能培訓，然后安全員再指導本部門員工安全使用信息系統(tǒng)，這樣大大提高了員工的安全意識和操作水平。此外，管理人員還需要定期發(fā)布信息安全事件通告和信息安全宣傳資料，為大家敲響網(wǎng)絡(luò)安全警鐘。

4 結(jié)束語

網(wǎng)絡(luò)信息系統(tǒng)安全管理必須綜合考慮各方面的安全問題，全面分析整個系統(tǒng)，信息系統(tǒng)本身存在著來自人文環(huán)境、技術(shù)環(huán)境和物理自然環(huán)境的安全風險，其安全威脅無時無處不在。對于任何信息系統(tǒng)的安全問題而言，不可能試圖單憑利用網(wǎng)絡(luò)安全設(shè)備來解決，而必須考慮制度、技術(shù)和管理的因素，全方位地、綜合解決系統(tǒng)安全問題，建立有效的信息系統(tǒng)安全保障體系。信息系統(tǒng)的安全管理工作應(yīng)當由一個高效負責的管理機構(gòu)來領(lǐng)導，依托配備相對完善的技術(shù)設(shè)施和配置得當?shù)陌踩珣?yīng)用策略，在一套行之有效的操作規(guī)范和管理規(guī)范的約束下，靠整個信息系統(tǒng)的所有參與者共同努力來完成。安全管理的目標是使信息系統(tǒng)在一個預期的時間內(nèi)能正常地發(fā)揮其應(yīng)有的作用，產(chǎn)生其應(yīng)有的效益。

參考文獻：

[1]福建省公安廳福建省人事廳.網(wǎng)絡(luò)與信息安全基礎(chǔ)[M].北京：北京理工大學出版社，2009.

[2]岳劍波.信息管理基礎(chǔ)[M].北京：清華大學出版社，1999.

作者簡介：黃登權(quán)（1982.08-），福建尤溪人，行政科負責人，軟件設(shè)計師，工學學士，研究方向：計算機網(wǎng)絡(luò)安全。

作者單位：福州廣播電視集團，福州 350000