曲運(yùn)蓮

（太原理工大學(xué)外國(guó)語(yǔ)學(xué)院網(wǎng)絡(luò)中心，山西 太原 030024）

在當(dāng)今的信息社會(huì)，人們廣泛使用計(jì)算機(jī)，因此計(jì)算機(jī)的信息安全非常重要，但是信息安全的防護(hù)能力對(duì)絕大多數(shù)使用計(jì)算機(jī)的用戶還不夠強(qiáng)，甚至許多計(jì)算機(jī)都沒(méi)有設(shè)防護(hù)，更談不上信息安全。目前，我國(guó)的信息安全防護(hù)能力正處于發(fā)展階段，因此重視信息安全的管理，逐步發(fā)展、完善信息安全工程與管理體系是非常重要的。

1 信息安全下的信息環(huán)境

信息安全工程與管理即建立信息安全保障，它包括有關(guān)法律、政策、標(biāo)準(zhǔn)體系、管理體系和技術(shù)體系等。信息安全包括信息資源、信息價(jià)值、信息作用、信息損失、信息載體和信息環(huán)境，其中的信息環(huán)境是與信息有關(guān)的外部環(huán)境，對(duì)信息安全起著非常大的作用。它要求機(jī)房設(shè)置要合理，要有專人看管，防止不良人員搞破壞，以減少不必要的損失。機(jī)房要安裝標(biāo)準(zhǔn)的溫度、濕度計(jì)，安裝空調(diào)，要防止火災(zāi)發(fā)生。機(jī)房專業(yè)人員要定期進(jìn)行理論課培訓(xùn)，定時(shí)參加防火演練培訓(xùn)，定期更換消防滅火器械，定期進(jìn)行防水防漏檢查，計(jì)算機(jī)受潮或進(jìn)水都會(huì)導(dǎo)致電線短路現(xiàn)象，從而將電腦燒壞，后果會(huì)很嚴(yán)重，因此必須嚴(yán)格防范，要有恢復(fù)災(zāi)難發(fā)生后的一套計(jì)劃，確保災(zāi)情發(fā)生時(shí)有控制損失的措施以恢復(fù)丟失的數(shù)據(jù)，重新建立丟失服務(wù)、關(guān)閉程序以保護(hù)系統(tǒng)，建立一種安全、可控的信息系統(tǒng)環(huán)境。在避免風(fēng)險(xiǎn)發(fā)生方面，最重要的還是要靠專業(yè)技術(shù)人員，這些專業(yè)人員要有高度的責(zé)任心，定期進(jìn)行安全意識(shí)和專業(yè)技能培訓(xùn)，寫出安全管理工作責(zé)任計(jì)劃指導(dǎo)書(shū)，制定出一系列切實(shí)可行的防范措施。

2 建立信息安全保障體系

信息安全保障體系主要研究建立一個(gè)能夠防止對(duì)信息系統(tǒng)進(jìn)行攻擊和發(fā)生災(zāi)難時(shí)安全可靠的信息系統(tǒng)。信息安全問(wèn)題隨著信息系統(tǒng)發(fā)展的不斷建立和健全，它經(jīng)過(guò)了三個(gè)階段：第一階段是通信保密，它開(kāi)始于20世紀(jì)40—70年代，主要用于軍隊(duì)指揮系統(tǒng)方面；第二階段是信息系統(tǒng)安全，它是在20世紀(jì)70—80年代，隨著計(jì)算機(jī)的普級(jí)，所有用戶對(duì)信息安全逐漸重視，防止信息不被非法訪問(wèn)和修改；第三階段是20世紀(jì)90年代，這是計(jì)算機(jī)領(lǐng)域大發(fā)展的時(shí)代，還有網(wǎng)絡(luò)技術(shù)的發(fā)展，有網(wǎng)絡(luò)黑客、網(wǎng)絡(luò)病毒的攻擊，要求對(duì)系統(tǒng)安全有全方位保護(hù)，防御來(lái)自各方面的威脅。

信息保障的對(duì)象是信息以及處理、管理、存儲(chǔ)、傳輸信息的信息系統(tǒng)。要嚴(yán)格管理信息，要求使用者按照操作規(guī)程執(zhí)行，專業(yè)技術(shù)人員要對(duì)設(shè)計(jì)、信息安全系統(tǒng)的使用和維護(hù)徹底了解，要檢測(cè)有無(wú)惡意的攻擊。比如高校機(jī)房學(xué)生每人都有自己登錄的用戶名和密碼，但同學(xué)經(jīng)常發(fā)現(xiàn)登錄不進(jìn)去，專業(yè)人員進(jìn)行檢索時(shí)發(fā)現(xiàn)密碼被人修改，造成嚴(yán)重的后果。我們?cè)O(shè)定對(duì)信息安全管理、安全風(fēng)險(xiǎn)評(píng)估、安全監(jiān)控、檢測(cè)等技術(shù)系統(tǒng)，就是要經(jīng)常注意對(duì)信息系統(tǒng)的安全防護(hù)，樹(shù)立高度的信息安全防護(hù)意識(shí)，必須嚴(yán)格把關(guān)每一個(gè)相關(guān)的防護(hù)環(huán)節(jié)，特別要對(duì)技術(shù)和人員素質(zhì)做到高標(biāo)準(zhǔn)、嚴(yán)要求。我們所使用的機(jī)房由單位管理人員管理，設(shè)備提供者是公司，公司可派出軟件和硬件維護(hù)人員，由公司方面提出控制信息安全要求的措施，制定書(shū)面材料要求機(jī)房管理人員認(rèn)真、嚴(yán)格按照所規(guī)定的措施執(zhí)行。經(jīng)驗(yàn)證明，如果按照制度操作，信息系統(tǒng)的安全性就高。在實(shí)際操作過(guò)程中不要怕麻煩，不要怕浪費(fèi)時(shí)間，不要減少操作流程，有時(shí)往往是因?yàn)椴恢匾曅畔⑾到y(tǒng)的安全問(wèn)題，忽視對(duì)信息系統(tǒng)的安全防范而發(fā)生情況的。

對(duì)系統(tǒng)安全性要做到全面性的防范，即從系統(tǒng)的數(shù)據(jù)、服務(wù)、應(yīng)用程序、操作系統(tǒng)、手機(jī)、網(wǎng)絡(luò)等方面防范，通常采用編制的操作指導(dǎo)書(shū)，它能幫助專業(yè)人員對(duì)崗位進(jìn)行規(guī)范作業(yè)，內(nèi)容則是如何完成具體工作的一些注意事項(xiàng)，其中包括防范信息安全規(guī)范、指南、報(bào)告等。規(guī)范要求對(duì)信息安全的責(zé)任制度做到位，責(zé)任到人，每個(gè)機(jī)房都要掛有責(zé)任人的各種信息，以便有安全情況發(fā)生時(shí)能及時(shí)處理。要求責(zé)任人對(duì)信息系統(tǒng)安全管理現(xiàn)狀作出書(shū)面分析，主要分析當(dāng)前信息安全的運(yùn)行情況的可行性、操作性，了解用戶對(duì)信息系統(tǒng)知識(shí)的掌握度。用戶掌握信息系統(tǒng)安全的知識(shí)越多，對(duì)計(jì)算機(jī)知識(shí)掌握越多，越是有利于對(duì)信息系統(tǒng)安全的防護(hù)。當(dāng)然，不排除有意的人為攻擊，要檢查用戶是否按照措施執(zhí)行操作，與信息系統(tǒng)安全管理要求有無(wú)差距，找出存在的不足，制定出有效可行的整改制度。這并不是一件容易的事情，這需要專業(yè)人員長(zhǎng)時(shí)間的認(rèn)真分析、檢查和測(cè)試，檢測(cè)資產(chǎn)設(shè)備的安全、檢查設(shè)備的運(yùn)行狀態(tài)、設(shè)備是否老化。由于長(zhǎng)時(shí)間、長(zhǎng)期高頻使用計(jì)算機(jī)設(shè)備，所以其損壞程度會(huì)很高，要定期淘汰計(jì)算機(jī)，這樣雖然導(dǎo)致用戶的使用成本增加，但能確保信息系統(tǒng)的安全。

機(jī)房周圍的環(huán)境也需要防護(hù)，如通風(fēng)、防水、防火。這些都離不開(kāi)專業(yè)人員的安全管理，專業(yè)人員要自身先強(qiáng)大，有安全管理的本領(lǐng)，做到技術(shù)過(guò)硬、管理過(guò)硬，把小事看成大事來(lái)做，不能因小失大。

定期自檢，檢查計(jì)算機(jī)運(yùn)行情況，檢查機(jī)房網(wǎng)絡(luò)硬件設(shè)備、設(shè)施是否有損壞、老化等現(xiàn)象，比如交換機(jī)時(shí)好時(shí)壞很不穩(wěn)定，給信息系統(tǒng)安全造成隱患，應(yīng)定期更換交換機(jī)；在軟件系統(tǒng)安全方面，要在確保設(shè)備、設(shè)施、環(huán)境都正常的情況下，保障系統(tǒng)和數(shù)據(jù)庫(kù)的安全。在數(shù)據(jù)庫(kù)的安全環(huán)境中，做到連續(xù)監(jiān)控，及時(shí)備份數(shù)據(jù)。數(shù)據(jù)庫(kù)如果有損壞丟失的數(shù)據(jù)，就會(huì)導(dǎo)致系統(tǒng)無(wú)法正常運(yùn)行；而如果沒(méi)有備份的數(shù)據(jù)，就無(wú)法恢復(fù)數(shù)據(jù)庫(kù)，這造成的損失無(wú)法估算，需要花費(fèi)大量時(shí)間、人力、物力來(lái)建立，重新收集資料信息，重新建立信息數(shù)據(jù)庫(kù)。因此，保護(hù)信息系統(tǒng)安全就要安全操作、及時(shí)備份，確保對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)存儲(chǔ)、傳輸、處理的安全保護(hù)。另外，網(wǎng)絡(luò)要保障網(wǎng)絡(luò)軟件、網(wǎng)絡(luò)協(xié)議的安全，為信息系統(tǒng)的安全運(yùn)行提供保障，確保網(wǎng)絡(luò)傳輸數(shù)據(jù)的保密性、完整性和可用性?？傊?，硬件設(shè)備系統(tǒng)、軟件操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議系統(tǒng)和數(shù)據(jù)庫(kù)的安全管理措施都是保障信息系統(tǒng)安全的有力支持，要不斷提高對(duì)信息系統(tǒng)的安全管理的重視程度，以保護(hù)信息系統(tǒng)不被黑客病毒所攻擊。

3 安全管理信息使用戶信息安全得到保障

機(jī)房有大量的計(jì)算機(jī)，主要是為計(jì)算機(jī)提供資訊數(shù)據(jù)的服務(wù)器，數(shù)據(jù)庫(kù)存有大量的用戶信息資料，為保障信息的安全，專業(yè)人員要進(jìn)行層層防護(hù)，管理人員要作出書(shū)面保證，以保護(hù)信息不被泄露。同時(shí)嚴(yán)格控制網(wǎng)絡(luò)訪問(wèn)者的身份，對(duì)網(wǎng)絡(luò)訪問(wèn)客戶的身份進(jìn)行注冊(cè)登記，并且進(jìn)行指導(dǎo)，網(wǎng)絡(luò)訪問(wèn)者應(yīng)按照機(jī)房的管理規(guī)則進(jìn)行操作，對(duì)網(wǎng)絡(luò)訪問(wèn)客戶進(jìn)行分類，比如可分為教師類型和學(xué)生類型，這樣便于管理和監(jiān)控，通過(guò)分類管理，實(shí)現(xiàn)對(duì)客戶的保密性和完整性的保護(hù)。由于計(jì)算機(jī)的開(kāi)放程度逐步提高，使計(jì)算機(jī)信息有高度的共享性和擴(kuò)散性，造成計(jì)算機(jī)信息在存儲(chǔ)和傳輸應(yīng)用過(guò)程中出現(xiàn)被泄露、破壞或受病毒感染，因此保護(hù)計(jì)算機(jī)信息安全控制風(fēng)險(xiǎn)，對(duì)信息系統(tǒng)的各個(gè)環(huán)節(jié)進(jìn)行全面的安全管理是非常有用的。

信息安全管理要長(zhǎng)期有效地進(jìn)行，才能使信息系統(tǒng)安全有保障。對(duì)用戶數(shù)據(jù)保護(hù)和個(gè)人信息的保護(hù)是信息系統(tǒng)安全保護(hù)的內(nèi)容之一，要組織所有技術(shù)人員和網(wǎng)絡(luò)管理人員制定出完整的保護(hù)數(shù)據(jù)和個(gè)人信息保護(hù)的規(guī)章制度，應(yīng)該是切實(shí)可行的管理控制措施，比如密碼管理和控制。使用密碼控制策略，可以降低使用密碼技術(shù)時(shí)受到各種破壞因素的風(fēng)險(xiǎn)性，或者由于沒(méi)有正確操作使用而造成的危害，應(yīng)當(dāng)加強(qiáng)對(duì)密碼的保護(hù)力度。當(dāng)前，計(jì)算機(jī)使用者的數(shù)目很廣，計(jì)算機(jī)水平也普通較高，所以防范意識(shí)更要加強(qiáng)，要經(jīng)常更換密碼，以防不測(cè)，同時(shí)應(yīng)該教育人們遵守關(guān)于信息安全保護(hù)等級(jí)的法律和法規(guī)，加強(qiáng)對(duì)計(jì)算機(jī)使用者的教育。從思想上和行動(dòng)上落實(shí)對(duì)信息系統(tǒng)安全保護(hù)法的實(shí)施。

目前，國(guó)家已發(fā)布的信息系統(tǒng)等級(jí)保護(hù)的政策法律有：1994年國(guó)務(wù)院發(fā)布了《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》；2003年發(fā)布了國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)；2004年發(fā)布了關(guān)于信息安全等級(jí)及保護(hù)工作的實(shí)施意見(jiàn)；2005年發(fā)布了關(guān)于開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)基礎(chǔ)調(diào)查工作的通知；2006年發(fā)布了國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā)國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組關(guān)于網(wǎng)絡(luò)信任體系若干意見(jiàn)；在2009年發(fā)布了關(guān)于開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(jiàn)。由此可以說(shuō)明，對(duì)信息系統(tǒng)的安全管理是非常重要的，從國(guó)家到企業(yè)單位及個(gè)人都要重視對(duì)信息系統(tǒng)的安全防護(hù)，從而保證信息化進(jìn)程得以健康發(fā)展，使我國(guó)的計(jì)算機(jī)信息化水平不斷增強(qiáng)。