信息安全管理建设论文

浅议信息安全管理建设

摘要：随着社会信息化程度的不断提高，网络信息系统的安全与否已成为影响国家安全的重要因素。因此，自主掌握最新的网络信息系统安全技术，在民族产业的支撑下建立计算机网络系安全保障体系，建立完善的网络信息系统安全管理体系已成为当务之急。本文简略的分析了当前网络时代计算机系统安全及网络安全等问题，提出了一些相应的防范措施，并对今后的病毒等防范趋势作了简要预测。我国必将建立起一套完整的网络安全体系，特别是从政策上法律上建立起有中国自己特色的网络安全体系。

关键词：计算机系统安全网络安全防范防治

1 需要信息安全工程理念

作为信息时代的先导和主角，internet绝不仅仅是一个由计算机连结起来的简单组合体。在internet上，每一台主机都在为贯彻人类的意志而工作，可以说internet是人类社会在数字空间的投影。这样一种事实使得internet的某些行为异常复杂，难以捉摸，也反映出网络安全问题是internet社会性的显著标志之一。

就网络安全的现状来看，我们的网络是十分脆弱的，我们在安全体制、安全管理等各个方面存在的问题十分严重而突出，且不容乐观。近年来，随着经济水平的不断提高，信息技术的不断发展，一些单位、企业将办公业务的处理、流转和管理等过程都采用了电子化、信息化，大大提高了办事效率。然而，正由于网络技术的广泛普及和各类信息系统的广泛应用使得网络化办公中必然存在众

多潜在的安全隐患。也即在连结信息能力、流通能力迅速提高的同时，基于网络连接的安全问题将日益突出。因此，在网络开放的信息时代为了保护数据的安全，让网络办公系统免受黑客的威胁，就需要考虑网络化办公中的安全问题并预以解决。

信息时代既带给我们无限商机与方便，也充斥着隐患与危险。黑客攻击已经渗入到政府机关、军事部门、商业、企业等各个角落，不仅干扰着人们的日常生活，而且造成了巨大的经济损失，甚至威胁到国家的安全。迄今为止，在安全对抗中，黑客阵营占据了上风，我们总是在遭受攻击之后再自发地防护，而后茫然地等待下一次攻击的到来。黑客们的骄人战线并非绝对依赖高明的技术手段，攻击得逞的真正原因往往是黑客对于网络使用者的行为细心揣测，以及用户自身在安全策略、安全管理机制、安全防范意识等方面存在缺陷或不足。网络信息安全不单单是技术问题，而是策略、管理和技术的有机结合。

信息安全既不是纯粹的技术，也不是简单的安全产品的堆砌，而是一项复杂的系统工程——这就是信息安全工程。它采用工程的概念、原理、技术和方法，来研究、开发、实施与维护企业级信息与网络系统安全的过程，它是将经过时间考验证明是正确的工程实施流程、管理技术和当臆能够得到的最好的技术方法相结合的过程。信息安全工程生命周期模型ise-lcm是信息安全工程学的落脚点和支撑点，也是信息安全工程学研究的基础。

2 信息安全的三大特性

2.1 信息安全具有全面性

信息安全问题需要全面考虑，系统安全程度取决于系统最薄弱的环节。计算机信息系统的安全保护包括计算机的物理组成部分、信息和功能的安全保护。就其物理组成部分的保护而言，应保障计算机及其相关和配套设备、设施的完好，运行环境的安全，从而保障计算机信息系统资源不受自然和人为因素造成的事故的危害，为计算机信息系统的运行和信息处理提供一个良好的安全环境；信息安全保护主要针对信息的完整性、可用性和保密性，防止非法使用、更改，防止窃取、破坏，防止遗失、损害和泄露；功能安全保护主要保障计算机信息系统的控制能力、恢复能力，如防止非法存取信息，防止系统故障影响信息处理的正常工作等。

2.2 信息安全具有过程性或生命周期性

一个完整的安全过程至少应包括安全目标与原则的确定、风险分析、需求分析、安全策略研究、安全体系结构的研究、安全实施领域的确定、安全技术与产品的测试与选型、安全工程的实施、安全工程的实施监理、安全工程的测试与运行、安全意识的教育与技术培训、安全稽核与检查、应急响应等，这一个过程是一个完整的信息安全工程的生命周期，经过安全稽核与检查后，又形成新一轮的生命周期，是一个不断往复的不断上升的螺旋式安全模型。信息技术在发展，黑客水平也在提高，安全策略、安全体系、安全技术也必须动态地调整，在最大程度上使安全系统能够跟上实际情况的变化发挥效用，使整个安全系统处于不断更新、不断完善、不断进

步的动态过程中。

2.3 信息安全具有层次性和相对性

需要用多层次的安全技术、方法与手段，分层次地化解安全风险。计算机网络安全的目标是在安全性和通信方便性之间建立平衡。要求计算机系统越安全，对通信的限制和使用的难度就越大。而现代信息技术的发展有时通信必不可少，它包括跨组织、跨地区的以及全球的通信，这里计算机安全的重要性显然是毫无疑问的。但是计算机的安全程度应与所涉及的信息的价值相匹配，应当有一个从低、中到高级的多层次的安全系统，分别对不同重要性的信息资料给与不同级别的保护。安全是相对的，没有绝对的安全可言。

计算机病毒在形式上越来越难以辨别，造成的危害也日益严重，已就要求网络防毒产品在技术上更先进，功能上更全面。安全措施应该与保护的信息与网络系统的价值相称。因此，实施信息安全工程要充分权衡风险威胁与防御措施的利弊与得失，在安全级别与投资代价之间取得一个企业能够接受的平衡点。这样实施的安全才是真正的安全。

3 涉及领域广泛

涉及网络安全的技术手段包括：过滤、信息分析监控、安全管理、扫描评估、入侵侦测、实时响应、防病毒保护、存取控制等。其措施有：网络互联级防火墙、网络隔离级防火墙、网络安全漏洞扫描评估系统、操作系统安全漏洞扫描评估系统、信息流捕获分析系统、安全实时监控系统、入侵侦测与实时响应系统、网络病毒防

护系统、强力存取控制系统等。信息安全指数据的保密性、完整性、真实性、可用性、不可否认性及可控性等安全，技术手段包括加密、数字签名、身份认证、安全协议(set、ssl)及ca机制等。文化安全主要指有害信息的传播对我国的政治制度及文化传统的威胁，主要表现在舆论宣传方面。主要有：黄色、反动信息泛滥，敌对的意识形态信息涌入，互联网被利用作为串联工具等。其技术手段包括：信息过滤、设置网关、监测、控管等，同时要强有力的管理措施配合，才可取得良好的效果。

4 结束语

信息安全问题涉及到国家安全和社会公共安全。目前，世界各国纷纷推出网络信息系统安全方面的各种计划和管理措施。要实现网络信息系统安全，在重视技术措施与手段的同时，必须重视管理制度的建设与完善。关于通过网络攻击信息系统，造成经济损失的报道已有多起。而我国在这方面的技术防护力量更是相当薄弱，相关安全管理措施、制度与法律法规都有待完善。当然，我们还应看到，像其他技术一样，入侵者的手段也在不断提高。在安全防范方面没有一个一劳永逸的措施，只有通过不断改进和完善安全手段，才能保证不出现漏洞，保证网络的正常运转。

参考文献：

[1]杨波.《网络安全理论与应用》.北京电子工业出版社.2002.

[2]蔡立军.《计算机网络安全技术》.中国水利水电出版

社.2005.