【摘要】隨著計算機的廣泛應用，信息安全問題已經成為能夠為有效發(fā)揮計算機作用的關鍵組成部分，這就有必要強化相應的信息安全管理工作。在這種背景下，本文首先探討了計算機信息安全管理工作開展思路，進而分析了計算機信息安全管理系統(tǒng)構建，從而為強化計算機信息安全管理工作提供必要的借鑒與參考。

【關鍵詞】計算機；信息安全；管理工作；強化

一、引言

21世紀是電腦網絡科技的世紀，信息借助網絡傳輸既快速又廣泛的流通與交換，科技進步孕育出全球化社會。隨著網絡的普及化，信息安全的重要性更加凸顯，提升企事業(yè)組織信息安全防御能力，便成當務之急的工作。信息安全維護旨在確保信息的機密性、完整性與可用性，我們應當落實最佳安全實務準則及縱深防御策略，以應對信息網絡安全的威脅。有鑒于此，無論是防護機制建立、法令規(guī)范修訂、教育培訓與人才培養(yǎng)，均須落實執(zhí)行。傳統(tǒng)的信息安全架構與信息服務的安全架構是目前經常被拿來相比較的議題，大多數的資料中心發(fā)展成信息服務中心時，傳統(tǒng)安全防護架構需要面臨擴充性以及適用性的挑戰(zhàn)，從信息基礎設施、運作應用程序以及各種不同類型的軟件服務，增加了管理上的復雜度。信息服務的營運管理，為確保信息服務內容與營運品質的重要因素，信息服務的管理，除了技術面的問題，許多必須注重在政策面的管理。

二、計算機信息安全管理工作開展思路

一是已知的信息安全脆弱性。假如一個公司或機構曾經對其本身的信息系統(tǒng)安全進行評估并研析評估資料，則這一公司或機構將可更有效地確保其信息系統(tǒng)的安全，同時可將其先前所存在的弱點的性質告知其他公司與機構，以節(jié)省彼此的時間及風險。但是，當相關公司擔心因對弱點的矯正不夠徹底而面臨法律問題時，則將影響此種信息分享的方式。舉例而言，若是某一公司或機構只對其系統(tǒng)中經確認的弱點的90﹪加以改進，并將相關信息與其他公司分享，則這一公司可能會因違反管理標準而遭到處罰。

二是有關進行中的IT 方面的攻擊或持續(xù)存在的威脅的預警（但不提及“來源與方法”）。信息系統(tǒng)管理人員與網絡管理人員是最可能首先發(fā)現入侵行動或攻擊行動的人。他們大都不愿意將入侵事件向執(zhí)法單位報告，因為他們擔心業(yè)主所擁有的信息會因而對外泄漏或一旦入侵事件公諸于世會危害機構或該公司的名譽。所以，當執(zhí)法單位接獲有關持續(xù)進行的攻擊事件的報告時，應設法對這一信息加以篩選、分析，然后分送給其他可能會受影響的單位。如此一來，將可不在提及遭受攻擊的機構或公司名稱的情形下，確認潛在的脆弱性或攻擊行動。在另一方面，出現有計劃的攻擊或刺探行動時，因為這等行動通常普遍可能成為國家安全的隱憂或因為該行動是來自于某一特定的外國，故由執(zhí)法單位進行的信息分享方式顯得特別重要。

三是用以對付某種型態(tài)的IT 方面的攻擊的策略。當某一機構發(fā)現了一項弱點或被告知某項弱點，而且也找到了解決辦法，則這一機構可能會抗拒與其他機構分享此方面的信息，因為這種解決辦法對業(yè)主而言極具價值。有關這一方面，政府的職責應在于對相關信息進行事前的篩選后加以分送，這一方面有助于其他機構做好預防工作，一方面又不至于泄漏關鍵信息。我們可要求各個公司提供有關新病毒、網絡蠕蟲與木馬的信息、某一特定黑客所使用的方法、與選定特定攻擊目標的黑客會面所收集到的信息等。這一做法未來將有助于建立與識別相關的軌跡，并有助于提升入侵偵測的能力以發(fā)揮更佳的保護效果。

四是通過偵測、分析、防御與應變程序進行信息服務的管理，面對所遭遇的問題，通過不斷的持續(xù)改善，依據所發(fā)掘的異常行為進行信息服務的改善，包括了基礎設施、系統(tǒng)平臺以及應用程序等，增加信息服務的完整性與可靠度。信息安全管理系統(tǒng)可應用于公有信息服務、私有信息服務或是混合性的信息服務架構中，通過整體的自我防御機制，以維持自然的生態(tài)平衡，能夠對于異常的行為特征進行應對與處置。信息安全管理系統(tǒng)，必須擁有自動化的處理能力，面對外來與內在的威脅，進行自我的防御與應變，以縮小影響的范圍與處理的時效，面對大量的資源而言，必須有效的掌握現有資源的狀態(tài)，以做為資源的調配上的參考指標。

三、計算機信息安全管理系統(tǒng)構建

信息運算環(huán)境下的安全威脅，以風險的角度可以分成信息安全技術、流程、程序、法律以及互信模式等項目進行討論，以信息安全技術而言，為符合服務導向的架構，目前進行信息安全的規(guī)劃與設計時，須先確定提供服務的內容與對象，以確定需要導入的信息安全技術為何。信息服務安全的標準化建設，必須具備以下幾項要件。

第一，信息安全管理系統(tǒng)將相同的理論應用在信息運算所提供的信息服務上，將整個信息架構分成了偵測、分析、防御、應變等幾個元件。一是偵測：通過信息安全相關的設備，如應用層防火墻、通訊協(xié)定分析設備、入侵偵測系統(tǒng)、誘捕系統(tǒng)等，建立信息環(huán)境的偵測點，運用特征比對與行為分析的方式，進行異常狀態(tài)的偵測，進行信息的收集，以提供后續(xù)的進行資料探勘與分析使用。二是分析：大尺度的信息環(huán)境，產生大量的系統(tǒng)日志與網絡流量等資料，因為信息服務維運的需求，又必須即時進行資料的探勘，以掌握信息服務的狀態(tài)，若有異常的行為出現，必須進行處置以避免影響信息服務的安全，因此通過建構日志系統(tǒng)以提供未來稽核所需要的佐證文件，為規(guī)劃與建構信息資料分析平臺不可或缺的考量。三是防御：信息環(huán)境須具備防御的機制，當有異常的行為出現時，必須能夠進行自我的防御，以避免影響其它的信息服務。四是應變：針對異常的行為或是威脅進行應變處置，必須具備自動化應變的能力，通過自主的應變措施，以提供信息環(huán)境掌控風險，并且結合風險評價與改善規(guī)劃，進行環(huán)境的調整，以達信息服務的持續(xù)提供。

第二，實現與維護信息安全計劃。完整的信息安全防護計劃，可以確保信息架構的安全，針對風險與威脅都進行管理與控制，并且能夠持續(xù)維護信息安全計劃的有效性，以應對新型態(tài)風險與威脅的出現，通過應變策略的擬定，針對信息服務的安全性進行掌握。另外，還需建構與管理信息安全的基礎設施。通過完整的基礎設施，能夠提供信息服務所需的高彈性資源調配，確保服務的可靠性，因此通過基礎設施的保護，為提供信息服務的基本要素，同時通過服務供應商，以確保在符合法律、法規(guī)以及客戶的要求下，有能力滿足對于所要求的服務內容。除此之外，確保機密資料安全防護。資料的安全防護為信息服務的核心原則，所有通過信息服務進行傳輸、存取與保存的資料，必須受到嚴格的資料安全防護機制，對于企業(yè)而言，機敏的資料必須確實受到安全的防護，才會考慮是否采用信息服務模式在其商業(yè)營運上，因此無論采用何種方式使用信息服務，所有的資料流均必須考慮到資料安全的防護問題。

第三，實現嚴謹的存取控制與身份識別管理。使用者可以由不同的管道使用信息服務，但是不論使用何種方式，均必須確保能夠正確的驗證使用者的身份，并且能夠針對使用者的權限進行有效的管理，以限制能夠提供存取的資料范圍。另外，需建立應用程序與環(huán)境的配置。當使用者通過信息服務的使用者界面進行服務內容的設定，信息服務的架構必須由一連串的變更進行環(huán)境的配置與設定，以確定能夠由自動化的程序，建立應用程序與環(huán)境的整合。

第四，實施信息治理與稽核管理規(guī)劃。對于信息環(huán)境的管理，必須配合稽核計劃進行，以確保所有的信息服務能夠在可被驗證與舉證的前提下，提供使用者安全上的信賴，其中必須涵蓋日志的收集以及需要進行稽核的紀錄，整體的管理規(guī)劃必須同時配合信息服務的推出進行建構。另外，需要實現弱點掃瞄與入侵偵測系統(tǒng)架構。在被信任的的信息服務中，必須實現信息架構中的基礎設施、系統(tǒng)平臺以及應用程序的弱點管理機制，通過管理機制的建立，以進行嚴格的弱點管理計劃，配合入侵偵測系統(tǒng)、入侵防御系統(tǒng)以及IT資源的管理，其中包括了網絡、服務器、基礎設施等元件，以確定提供信息服務的內容，不因為存在弱點而造成風險與威脅。

第五，采用對稱與非對稱式的信息加密防護策略。該加密過程至少包含以下元素：明文、加密演算法、加密鑰匙及密文。明文代表未加密內容，密文代表加密后內容，演算法代表加密規(guī)則、鑰匙代表加密時所要定義的參數。以替代加密法的例子為例，選定凱撒加密法為演算法，而決定字母要位移幾位，就是鑰匙，加解密雙方都必須知道這只鑰匙，才能順利加解密。加解密時使用同一把鑰匙，是一直以來的概念，也即密碼學發(fā)展到此時，均屬對稱式加密，諸如DES、RC2、Blowfish等。于是在加密法強化到難以破解后，鑰匙的交換與保護，便成為重要課題。無論資料如何加密保護，鑰匙的傳遞都必須曝露在相對公開的環(huán)境下傳送，非對稱式加密，即是為了解決這樣的困境而誕生的。

四、結語

信息安全研究中一項重要的目標是發(fā)展高度安全、可靠及彈性的信息系統(tǒng)，確保未來使用電腦、網絡與其他網絡系統(tǒng)變得和打開電燈或水龍頭一樣的安全及可靠。美國等發(fā)達國家十分重視保障未來各種信息系統(tǒng)安全的基礎建設，要求各種信息設備在出廠時即具有使用者可以信賴的安全性以及可靠度。在預算范圍內發(fā)展高度安全與可靠的系統(tǒng)將是未來追求的目標，并需通過全國性的網絡安全研究發(fā)展程序來達成。

我國開始關心數字社會信息安全的作業(yè)，時間尚短經驗的累積不多，許多應建立的價值、觀念、制度，大家都還在摸索之中。隨著信息技術的一日千里，在“運籌于虛擬實境之外，決勝在網頁方寸之中”的數字社會信息系統(tǒng)安全的環(huán)境下，如何應對我國民生息息相關的信息系統(tǒng)安全作業(yè)等議題，值得展開更深入的思考與討論。傳統(tǒng)的信息安全問題，仍然會出現在信息服務的環(huán)境中，但伴隨著虛擬化的架構、動態(tài)資源的調配以及跨越不同地理位置的服務模式，將讓信息安全的問題變得更為復雜，而且新型態(tài)的安全問題也隨著信息服務的提供而出現，因此更需要通過技術的層面以及管理的層面，整體的檢視信息服務與相關的架構，方能提供信息服務的使用者在安全防護上的保障，結合信息安全監(jiān)控中心，對于信息環(huán)境內的狀態(tài)進行掌控，保存相關的系統(tǒng)日志與稽核紀錄，可做為信息安全事件分析的重要信息來源。

參考文獻

[1]張昱.對計算機網絡技術安全與網絡防御的分析[J].廣東科技，2011（10）.

[2]譚濤.淺談計算機網絡安全與防范[J].科技信息，2009（29）.

[3]潘紅英.計算機網絡安全的威脅及安全防范[J].科技信息，2009（12）.

[4]郭永.企業(yè)計算機網絡安全防御體系的構建[J].科技情報開發(fā)與經濟，2009（26）.