管理與技術(shù)并重的信息安全綜合治理

◆王皓然

管理與技術(shù)并重的信息安全綜合治理

◆王皓然

（貴州電網(wǎng)有限責(zé)任公司信息中心 貴州 550002）

對(duì)于管理與技術(shù)并重信息安全的綜合治理，本文首先是分析了目前電力行業(yè)常見的信息安全的問題，然后分析了已有的各個(gè)方面的信息安全管理實(shí)踐，最后提出了當(dāng)下如何綜合性治理信息安全工作的思路。

管理；技術(shù)；信息安全；綜合治理

0 前言

眾所周知，當(dāng)前在信息技術(shù)應(yīng)用和推廣當(dāng)中存在最為廣泛并且普遍的問題就是信息安全的問題。如今飛速發(fā)展和應(yīng)用廣泛應(yīng)用的信息技術(shù)，由于信息安全管理人員工作不到位又或信息安全體制建設(shè)不夠全面而引發(fā)的安全事件層出不窮。如何有效的預(yù)防和治理新形式下的信息安全問題已然成為當(dāng)前信息安全管理人員的重要挑戰(zhàn)。

隨著電力行業(yè)信息化建設(shè)的穩(wěn)步發(fā)展，中國南方電網(wǎng)公司下屬的貴州電網(wǎng)有限責(zé)任公司在國家相關(guān)政策和中國南方電網(wǎng)公司的指導(dǎo)下，圍繞公司信息安全管理體系完成了貴州電網(wǎng)有限責(zé)任公司信息安全管理制度的制定、修編和落實(shí)工作。但隨著信息安全工作的深入開展，如全省信息安全檢查、信息系統(tǒng)一體化風(fēng)險(xiǎn)評(píng)估、信息系統(tǒng)入網(wǎng)安全測試發(fā)現(xiàn),日常安全管理中還是存在管理制度落實(shí)不到位或者技術(shù)規(guī)范落實(shí)不到位的情況發(fā)生。在信息安全問題日益嚴(yán)峻的今天,如何在新形勢、新環(huán)境、新挑戰(zhàn)下完成信息安全保障工作是每一個(gè)信息安全管理人員需要面臨的問題。

1 產(chǎn)生信息安全風(fēng)險(xiǎn)的來源

1.1 關(guān)于信息安全風(fēng)險(xiǎn)的根源性問題

每個(gè)事情的發(fā)生覺得不是單向的，而是眾多東西作用與合力的結(jié)果，比如說事故的意外發(fā)生、自然災(zāi)害的出現(xiàn)以及泄露的信息和對(duì)信息的不當(dāng)使用。但是主要的還是技術(shù)和管理機(jī)制的缺陷才導(dǎo)致了安全的風(fēng)險(xiǎn)。其實(shí)這種風(fēng)險(xiǎn)在一定程度上都可以規(guī)避，主要還是在細(xì)節(jié)上。

我們從技術(shù)方面進(jìn)行分析，主要是缺陷性的技術(shù)和不正當(dāng)使用技術(shù)。但是不斷發(fā)展和進(jìn)步的技術(shù)也有著各種各樣的問題，這些問題持續(xù)性的存在并發(fā)展著，在不斷克服舊問題的時(shí)候又會(huì)產(chǎn)生新的問題。在應(yīng)用技術(shù)的時(shí)候應(yīng)該充分的認(rèn)識(shí)這些問題，并且正確的使用技術(shù)，要不然就很容易引起風(fēng)險(xiǎn)性的問題，從而發(fā)生一系列的安全風(fēng)險(xiǎn)。

而信息技術(shù)安全問題則是一直存在的，技術(shù)風(fēng)險(xiǎn)是并沒有永久性根除性解決方式，我們雖然無法找到一勞永逸的解決方式，但是我們可以不斷的進(jìn)化這些解決方式，從而更好的解決問題。

不夠健全的管理體制是管理方面重要的風(fēng)險(xiǎn)來源。這些包括很多方面，或者是架構(gòu)組織的問題，或者是分工職責(zé)的問題。沒有落實(shí)的管理要求，也就出現(xiàn)在了執(zhí)行上，所以應(yīng)該好好的執(zhí)行這些問題，才能夠保證安全。

1.2 關(guān)于信息安全風(fēng)險(xiǎn)的類別性問題

電力行業(yè)中的信息技術(shù)和產(chǎn)品的應(yīng)用規(guī)模已經(jīng)相當(dāng)?shù)凝嫶?，能夠?qū)⑿畔⒓夹g(shù)廣泛的應(yīng)用則是一個(gè)很好的方式。對(duì)于電力行業(yè)的信息安全風(fēng)險(xiǎn)則是主要體現(xiàn)在以下幾個(gè)方面。首先是生產(chǎn)安全風(fēng)險(xiǎn)，對(duì)于部分電力系統(tǒng)來說，系統(tǒng)的可持續(xù)運(yùn)行顯得非常重要，需要有所保障，而不間斷的服務(wù)也是如此。其次則是信息安全風(fēng)險(xiǎn)的問題，面臨的風(fēng)險(xiǎn)不僅有敏感的信息，也有安全保護(hù)重要交易所面臨的風(fēng)險(xiǎn)，具有保密性，可以訪問性并且可以防止抵賴性的重要交易，以及加密、電子簽名還有身份認(rèn)證的問題等等。

當(dāng)然，這些風(fēng)險(xiǎn)僅僅是主要風(fēng)險(xiǎn)，其它的風(fēng)險(xiǎn)也不可忽視，例如外包的風(fēng)險(xiǎn)，也是一個(gè)很重要的考慮方面作為信息安全管理中的問題。集中性的外包是否可靠，以及一個(gè)外包公司應(yīng)該具有的運(yùn)營性問題，我們都不能忽視這些問題，因?yàn)樵绞羌?xì)節(jié)就越是會(huì)出現(xiàn)問題。

1.3 安全信息管理需要考題的其它問題

管理和技術(shù)是信息安全管理中兩者都需要兼顧的方面，兩者都起到相輔相成的作用。首先是對(duì)于信息的安全管理，需要具備合理的法規(guī)和合理的進(jìn)行，并且作為指導(dǎo)思想應(yīng)該圍繞著整個(gè)信息安全區(qū)開展。對(duì)于落實(shí)信息安全的規(guī)章制度能夠及時(shí)的提出、修改并且落實(shí)下去，不斷的完善并且進(jìn)行信息管理。第三則是安全可以控制，它不僅作為一種國家戰(zhàn)略存在，也是企業(yè)的一種安全所需，所以安全策略必須是有效可以實(shí)施的。

2 電力方面的信息安全管理實(shí)踐

信息技術(shù)一直是電網(wǎng)行業(yè)非常重要的一個(gè)內(nèi)容，在公司“十二五”期間，完成了公司網(wǎng)絡(luò)重要節(jié)點(diǎn)的相關(guān)安全設(shè)備如入侵防御（IPS）、應(yīng)用防火墻（WAF）、防病毒網(wǎng)關(guān)的部署和建設(shè)工作；通過信息安全工作的深入開展，各類業(yè)務(wù)系統(tǒng)的安全問題逐漸暴露出來如SQL注入、XSS跨站腳本攻擊、未授權(quán)訪問等等，面對(duì)日益繁多的安全問題，貴州電網(wǎng)從實(shí)際出發(fā)，結(jié)合已有的安全手段和技術(shù)力量，基本完成了信息系統(tǒng)的安全保障工作。盡管這樣，我們還是無法忽視現(xiàn)階段電力系統(tǒng)面臨的嚴(yán)峻的安全問題；“居安思?！?、“危機(jī)意識(shí)”、“時(shí)刻準(zhǔn)備著”才是一個(gè)合格的信息安全管理人員應(yīng)用的態(tài)度和意識(shí)。

縱觀信息安全行業(yè)的發(fā)展趨勢，結(jié)合已有的安全工作經(jīng)驗(yàn)，加強(qiáng)內(nèi)部信息安全管理制度落實(shí)、強(qiáng)化員工信息安全防范意識(shí)、常態(tài)化開展信息安全巡檢工作是目前增強(qiáng)企業(yè)內(nèi)部網(wǎng)絡(luò)安全防護(hù)能力行之有效的方式和方法。但說到如何將管理與技術(shù)有效的結(jié)合起來，綜合治理當(dāng)前企業(yè)遇到的各類信息安全問題依然是眼下很長一段時(shí)間作為信息安全管理人員的首要任務(wù)。

3 綜合性治理信息安全工作

3.1 綜合性的治理信息安全

兼顧住管理與技術(shù)，并有擁有較硬的思路:兩手抓兩手。這些都是很重要的信息安全工作。而綜合管理信息安全和綜合運(yùn)用信息安全技術(shù)都是綜合治理主要表現(xiàn)的兩個(gè)方面。

首先是綜合管理信息安全。信息科技部門以及風(fēng)險(xiǎn)管理部分還有稽查檢查部門都是信息安全管理涉及的一個(gè)個(gè)部門，這些部門有著各自的職責(zé)，并且它們的管理應(yīng)該具有獨(dú)立性。想要有效的將風(fēng)險(xiǎn)降低就應(yīng)該讓各部門之間顯得獨(dú)立但是又具有合作性，這樣才能更好的管理各個(gè)信息部門。比較好的方式是將聯(lián)席會(huì)議建立起來，聯(lián)合工作組也是一個(gè)比較好的方式，這樣就能更好的溝通信息并且將工作做以更好的總結(jié)和改善。當(dāng)然信息部門也要建立一個(gè)加好的合作機(jī)制，將工作研討與交流放在固定的時(shí)間內(nèi)進(jìn)行，這樣就能夠更好的改進(jìn)工作。

其次則是綜合運(yùn)用的信息安全技術(shù)。良好的運(yùn)用信息安全技作為一種重要的手段能夠跟更好的提高信息安全的保障能力。不過更加復(fù)雜和多樣的金融服務(wù)導(dǎo)致后后來的信息技術(shù)安全也有其它的特點(diǎn)，例如多樣化。不同的信息安全保障手段和不同的手段間的不同特點(diǎn)都需要一定的應(yīng)用和保障。所以說，按照統(tǒng)一的信息安全策略進(jìn)行綜合的使用是信息安全技術(shù)的良好手段。

3.2 關(guān)于信息安全工作的運(yùn)用的重要方針

信息安全工作的首先應(yīng)該具有能合理實(shí)施性的基本方針，而主要體現(xiàn)在以下幾個(gè)方面。首先是依據(jù)法律并且符合規(guī)范，核心是國家的法律，而依據(jù)則是政策法規(guī)，抓手是內(nèi)控制度，基礎(chǔ)又是標(biāo)準(zhǔn)規(guī)范。其次是綜合治理，應(yīng)該兼得技術(shù)和管理，達(dá)到相輔相成的結(jié)果。第三是對(duì)于落實(shí)的狠狠掌控，制度的建設(shè)和落實(shí)需要重要制度的掌握，而技術(shù)的體系設(shè)計(jì)與實(shí)施也很重要。最后則是可以控制的安全范疇，應(yīng)該很好的結(jié)合引進(jìn)吸收和自主研發(fā)，并且更好的結(jié)合起來外購產(chǎn)品與國產(chǎn)化。

具有方法性的做好信息安全工作非常重要，而其中體現(xiàn)在一下四個(gè)方面。首先是管理，落實(shí)是管理的重點(diǎn)，將風(fēng)險(xiǎn)意識(shí)有所強(qiáng)化，并且將規(guī)章條例嚴(yán)格執(zhí)行，從而采取不同角度的多方位管理。其次則是技術(shù)，將技術(shù)有所保障，有效的規(guī)范這些行為，并且達(dá)到安全可以控制的方面，采用更多的手段進(jìn)行整治，能夠看到一定的前瞻性。第三則體現(xiàn)在技術(shù)方面，能夠?qū)⒋朔诸惙旨?jí)，針對(duì)不同的信息安全等級(jí)與要求能夠進(jìn)行不同實(shí)施性質(zhì)的安全措施。最后一點(diǎn)是策略，應(yīng)該制定具有可行性和合理性的方針政策。綜合評(píng)估一些時(shí)間、成本和利益與代價(jià)方面的東西，能夠選擇較為合適的并且實(shí)施下去。

4 結(jié)束語

“三分技術(shù)，七分管理”，做好信息安全工作的前提就是強(qiáng)烈的安全意識(shí)，沒有基本的安全意識(shí)，一切就都是空談。通過不斷的實(shí)踐和例子，可以明顯的看出缺乏安全意識(shí)就會(huì)導(dǎo)致很多安全問題的產(chǎn)生，也就會(huì)產(chǎn)生眾多的安全問題。而本文談到的綜合性治理信息安全工作，綜合性的治理信息安全和關(guān)于信息安全工作的運(yùn)用的重要方針。安全工作需要努力，否則一切就是空談。

[1]陳榮卓.“草根”法律服務(wù)組織:屬性變遷與進(jìn)路選擇[D].華中師范大學(xué)，2008.

[2]張化冰.互聯(lián)網(wǎng)內(nèi)容規(guī)制的比較研究[D].中國社會(huì)科學(xué)院研究生院，2011.

[3]李鷹.行政主導(dǎo)型社會(huì)治理模式之邏輯與路徑[D].武漢大學(xué)，2012.

[4]閆辰.現(xiàn)代國家治理視野下中國執(zhí)政黨決策機(jī)制的變革與優(yōu)化[D].吉林大學(xué)，2015.

[5]胡鞍鋼，王亞華.如何看待黃河斷流與流域水治理——黃河水利委員會(huì)調(diào)研報(bào)告[A].國情報(bào)告第五卷2002年（上）[C]，2012.

[6]趙大鵬.中國智慧城市建設(shè)問題研究[D].吉林大學(xué)，201 3.