摘 要：隨著移動(dòng)互聯(lián)時(shí)代的到來，信息化、數(shù)字化的建設(shè)不斷加速，有力推動(dòng)了各行各業(yè)進(jìn)步，同時(shí)網(wǎng)絡(luò)信息安全問題也越來越突出。本文分析網(wǎng)絡(luò)信息安全威脅來源，結(jié)合日常工作經(jīng)驗(yàn)，總結(jié)得出，網(wǎng)絡(luò)信息安全管理要以國家現(xiàn)行法律法規(guī)為指導(dǎo)，倡導(dǎo)建設(shè)面向應(yīng)用、面向?qū)崙?zhàn)的綜合安全管理體系；提出以發(fā)展和創(chuàng)新的視角看待新形勢下的網(wǎng)絡(luò)信息安全管理，擯棄只注重技術(shù)防范不注重人的管理模式。

關(guān)鍵詞：信息系統(tǒng)；網(wǎng)絡(luò)安全；安全管理體系

中圖分類號(hào)：TN915.08

1 網(wǎng)絡(luò)信息系統(tǒng)安全的需求

隨著移動(dòng)互聯(lián)時(shí)代的到來，各行業(yè)信息化、數(shù)字化的建設(shè)不斷加速。一方面，信息化建設(shè)為人們的工作生活帶來了諸多便利，提高了整個(gè)社會(huì)的生產(chǎn)效率。另一方面，大規(guī)模信息化建設(shè)也帶來了網(wǎng)絡(luò)信息安全問題。如何保障網(wǎng)絡(luò)信息系統(tǒng)的安全，成為我們需要共同應(yīng)對(duì)的課題。一個(gè)安全可靠的信息系統(tǒng)需要實(shí)現(xiàn)以下目標(biāo)：（1）保證業(yè)務(wù)不間斷的正常運(yùn)作。包括構(gòu)成網(wǎng)絡(luò)系統(tǒng)的所有設(shè)施、系統(tǒng)、以及系統(tǒng)所處理的數(shù)據(jù)；（2）保證網(wǎng)絡(luò)的安全性，尤其是服務(wù)器的安全；（3）保證在通訊時(shí)，信息在公網(wǎng)上傳輸?shù)陌踩?；?）保證重要信息在可控的范圍內(nèi)傳播，即有效的控制信息傳播的范圍，防止重要信息泄露；（5）整個(gè)網(wǎng)絡(luò)具有可控制性、易管理性、可擴(kuò)展性。

2 網(wǎng)絡(luò)信息系統(tǒng)安全的隱患

威脅網(wǎng)絡(luò)安全，導(dǎo)致系統(tǒng)故障的原因很多，主要分為自然因素和非自然因素兩大類。通過分析我們發(fā)現(xiàn)系統(tǒng)安全隱患主要有以下幾點(diǎn)：（1）信息系統(tǒng)自身缺陷造成的網(wǎng)絡(luò)安全隱患。人們在信息系統(tǒng)建設(shè)之初往往只注重功能的實(shí)現(xiàn)而忽視了信息安全的建設(shè)，沒有對(duì)信息系統(tǒng)安全給予足夠的重視，隨著網(wǎng)絡(luò)的發(fā)展，新的問題和新的安全威脅不斷出現(xiàn)，導(dǎo)致網(wǎng)絡(luò)信息系統(tǒng)安全隱患層出不窮；（2）未經(jīng)授權(quán)的用戶入侵網(wǎng)絡(luò)系統(tǒng)，這是一種常見的入侵方式。非法用戶入侵系統(tǒng)后，一方面可能竊取用戶信息，另一方面也有可能對(duì)用戶信息進(jìn)行篡改，導(dǎo)致信息失真；（3）使用移動(dòng)存儲(chǔ)介質(zhì)傳遞信息，導(dǎo)致計(jì)算機(jī)病毒和木馬等惡意程序的傳播，造成文件丟失、網(wǎng)絡(luò)擁堵乃至整個(gè)信息系統(tǒng)癱瘓；（4）由使用人員操作不當(dāng)造成的信息安全隱患。一方面管理人員或者用戶因?yàn)檎`操作將系統(tǒng)數(shù)據(jù)刪除；另一方面，用戶因?yàn)榘踩庾R(shí)薄弱，沒有嚴(yán)格遵守相關(guān)的操作規(guī)范，隨意處理數(shù)據(jù)和連接公網(wǎng)，將對(duì)信息系統(tǒng)安全造成威脅。

3 網(wǎng)絡(luò)信息系統(tǒng)安全體系

網(wǎng)絡(luò)信息系統(tǒng)安全管理的對(duì)象是整個(gè)網(wǎng)絡(luò)信息系統(tǒng)而不是系統(tǒng)中的某一個(gè)元素，一般來說，系統(tǒng)中相關(guān)因素都是管理的內(nèi)容。從系統(tǒng)內(nèi)部看，有通信網(wǎng)絡(luò)安全、設(shè)備硬件安全、系統(tǒng)操作安全、信息資源安全等，從系統(tǒng)外部環(huán)境看，有法律、道德、文化傳統(tǒng)、社會(huì)制度等方面的內(nèi)容。網(wǎng)絡(luò)安全管理要以國家現(xiàn)行法律法規(guī)為指導(dǎo)，倡導(dǎo)建設(shè)面向應(yīng)用、面向?qū)崙?zhàn)的綜合安全管理體系；提出以發(fā)展和創(chuàng)新的視角看待新形勢下的網(wǎng)絡(luò)信息安全管理，擯棄只注重技術(shù)防范不注重人的管理模式。網(wǎng)絡(luò)信息系統(tǒng)安全提倡管理的均衡性，各項(xiàng)因素管理要互相協(xié)調(diào)，不能厚此薄彼。

由于網(wǎng)絡(luò)信息系統(tǒng)安全是一個(gè)系統(tǒng)工程，任何一個(gè)環(huán)節(jié)的安全漏洞都可能帶來全系統(tǒng)的不安全。因此為保證系統(tǒng)的全面安全，我們從系統(tǒng)多個(gè)層面入手，采用多種有效的安全措施來實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)安全。

3.1 建立主要領(lǐng)導(dǎo)負(fù)總責(zé)，職能部門抓落實(shí)的網(wǎng)絡(luò)信息安全管理體制

各信息系統(tǒng)業(yè)主單位要成立網(wǎng)絡(luò)與信息安全管理委員會(huì)，委員會(huì)主任由主要領(lǐng)導(dǎo)擔(dān)任，委員會(huì)成員由各分管領(lǐng)導(dǎo)和系統(tǒng)管理人員組成。其主要職能是：制定、審查信息安全措施；確定實(shí)施安全措施的方針、策略和原則；組織實(shí)施安全措施并協(xié)調(diào)、監(jiān)督、檢查安全措施的執(zhí)行情況。管理委員會(huì)下設(shè)辦公室，辦公室成員具體落實(shí)信息安全的各項(xiàng)工作。

3.2 完善安全技術(shù)設(shè)施的配備與應(yīng)用

完善關(guān)鍵技術(shù)設(shè)施的配備，調(diào)整現(xiàn)有設(shè)備的應(yīng)用策略，是消除網(wǎng)絡(luò)安全隱患，保障網(wǎng)絡(luò)安全更加有效也是更加直接的方法。

3.2.1 配備防火墻。防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)用戶的安全政策控制出入網(wǎng)絡(luò)的信息流，能有效地監(jiān)控內(nèi)網(wǎng)和公網(wǎng)之間的任何活動(dòng)，且本身具有較強(qiáng)的抗攻擊能力，保證內(nèi)網(wǎng)的安全。

3.2.2 部署入侵防御系統(tǒng)（IPS）。防火墻作為安全保障體系的第一道防線，已經(jīng)將大部門的入侵防御在內(nèi)網(wǎng)之外，但是有一些攻擊行為是防火墻所不能防御的，比如說應(yīng)用層的攻擊行為。這就需要將完全協(xié)議分析和在線防御相融合，這就是入侵防御系統(tǒng)（IPS）：在線部署，深層分析網(wǎng)絡(luò)實(shí)時(shí)數(shù)據(jù)，精確判斷隱含其中的攻擊行為，實(shí)施及時(shí)的阻斷。這樣入侵防御系統(tǒng)和防火墻互為補(bǔ)充，及時(shí)防范各種攻擊。

3.2.3 部署防病毒軟件。內(nèi)網(wǎng)部署網(wǎng)絡(luò)防病毒軟件，為整個(gè)網(wǎng)絡(luò)提供防病毒服務(wù)。內(nèi)網(wǎng)安全威脅主要通過移動(dòng)存儲(chǔ)介質(zhì)、移動(dòng)數(shù)據(jù)設(shè)備等途徑進(jìn)入內(nèi)網(wǎng)。內(nèi)部的這些惡意代碼繞過了防火墻，直接或間接的與公網(wǎng)保持接觸。這就為惡性攻擊事件提供了機(jī)會(huì)，然后以此為基地，對(duì)內(nèi)網(wǎng)上其他主機(jī)發(fā)起惡性攻擊。網(wǎng)絡(luò)防病毒軟件可進(jìn)行檢測、防護(hù)，并采取行動(dòng)來解除或刪除惡意軟件程序，同時(shí)可對(duì)所有終端進(jìn)行統(tǒng)一的管理和及時(shí)病毒庫更新。

3.2.4 部署上網(wǎng)認(rèn)證系統(tǒng)。在前面的設(shè)備中：防火墻保證了未經(jīng)授權(quán)的用戶無法訪問相應(yīng)的端口或使用相應(yīng)的協(xié)議；入侵檢測系統(tǒng)能夠發(fā)現(xiàn)未經(jīng)授權(quán)用戶攻擊系統(tǒng)的企圖；安全網(wǎng)關(guān)保證了用戶無法進(jìn)入未經(jīng)授權(quán)的網(wǎng)段。這些安全產(chǎn)品只解決了數(shù)字身份的認(rèn)證。上網(wǎng)認(rèn)證系統(tǒng)能解決用戶的物理身份和數(shù)字身份相對(duì)應(yīng)的問題，如采用IP地址+MAC地址+用戶名和密碼的認(rèn)證方式，讓其成為網(wǎng)絡(luò)安全管理一道有力的防線。

3.3 加強(qiáng)制度建設(shè)，進(jìn)一步規(guī)范人防技防兩方面工作

網(wǎng)絡(luò)信息安全歸納起來最主要就是人和技術(shù)兩方面的因素，除了做好技術(shù)設(shè)備的配備外，在管理上要有一套完整、嚴(yán)格的工作標(biāo)準(zhǔn)和執(zhí)行規(guī)范，有健全的安全管理制度。對(duì)設(shè)備的臺(tái)賬、安裝部署、維護(hù)保養(yǎng)和報(bào)廢處理都要有一整套詳細(xì)規(guī)定，對(duì)設(shè)備日常運(yùn)維要有嚴(yán)格的執(zhí)行程序。對(duì)于網(wǎng)絡(luò)管理人員的日常操作、日常維護(hù)都要有嚴(yán)格的操作規(guī)范和完整日志留存。人事部門在員工考核錄用、工作績效評(píng)價(jià)以及調(diào)動(dòng)、免職等方面應(yīng)有具體的安全措施。

3.4 加強(qiáng)法律法規(guī)宣傳，提高用戶的安全意識(shí)

加強(qiáng)信息系統(tǒng)各級(jí)使用人員網(wǎng)絡(luò)安全法律法規(guī)的普及教育，提高用戶的網(wǎng)絡(luò)安全意識(shí)，是提升網(wǎng)絡(luò)信息系統(tǒng)安全的有效辦法。管理人員有必要在每個(gè)部門設(shè)置若干網(wǎng)絡(luò)安全員，針對(duì)網(wǎng)絡(luò)安全問題定期對(duì)安全員進(jìn)行知識(shí)教育和技能培訓(xùn)，然后安全員再指導(dǎo)本部門員工安全使用信息系統(tǒng)，這樣大大提高了員工的安全意識(shí)和操作水平。此外，管理人員還需要定期發(fā)布信息安全事件通告和信息安全宣傳資料，為大家敲響網(wǎng)絡(luò)安全警鐘。

4 結(jié)束語

網(wǎng)絡(luò)信息系統(tǒng)安全管理必須綜合考慮各方面的安全問題，全面分析整個(gè)系統(tǒng)，信息系統(tǒng)本身存在著來自人文環(huán)境、技術(shù)環(huán)境和物理自然環(huán)境的安全風(fēng)險(xiǎn)，其安全威脅無時(shí)無處不在。對(duì)于任何信息系統(tǒng)的安全問題而言，不可能試圖單憑利用網(wǎng)絡(luò)安全設(shè)備來解決，而必須考慮制度、技術(shù)和管理的因素，全方位地、綜合解決系統(tǒng)安全問題，建立有效的信息系統(tǒng)安全保障體系。信息系統(tǒng)的安全管理工作應(yīng)當(dāng)由一個(gè)高效負(fù)責(zé)的管理機(jī)構(gòu)來領(lǐng)導(dǎo)，依托配備相對(duì)完善的技術(shù)設(shè)施和配置得當(dāng)?shù)陌踩珣?yīng)用策略，在一套行之有效的操作規(guī)范和管理規(guī)范的約束下，靠整個(gè)信息系統(tǒng)的所有參與者共同努力來完成。安全管理的目標(biāo)是使信息系統(tǒng)在一個(gè)預(yù)期的時(shí)間內(nèi)能正常地發(fā)揮其應(yīng)有的作用，產(chǎn)生其應(yīng)有的效益。

參考文獻(xiàn)：

[1]福建省公安廳福建省人事廳.網(wǎng)絡(luò)與信息安全基礎(chǔ)[M].北京：北京理工大學(xué)出版社，2009.

[2]岳劍波.信息管理基礎(chǔ)[M].北京：清華大學(xué)出版社，1999.

作者簡介：黃登權(quán)（1982.08-），福建尤溪人，行政科負(fù)責(zé)人，軟件設(shè)計(jì)師，工學(xué)學(xué)士，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)安全。

作者單位：福州廣播電視集團(tuán)，福州 350000