張伯寧

（河北省應急管理科學研究院，河北 石家莊 050000）

1 信息系統(tǒng)管理和信息安全建設的重要性

中國網(wǎng)絡安全和信息化邁入了全新的時代，隨著我國新一代信息技術(shù)的不斷發(fā)展，通信網(wǎng)絡、物聯(lián)網(wǎng)、三網(wǎng)融合、高性能集成電路和云計算等技術(shù)不斷創(chuàng)新，做好信息系統(tǒng)管理與信息安全工作成為適應社會發(fā)展態(tài)勢的迫切需要新信息技術(shù)的發(fā)展與創(chuàng)新對人們的生產(chǎn)生活方式和思想觀念都產(chǎn)生了巨大影響，也為我國的信息化發(fā)展帶來了新的機遇。

計算機網(wǎng)絡是在軟件的支持下，通過硬件系統(tǒng)連接若干臺計算機組成通信網(wǎng)絡，計算機網(wǎng)絡的目的在于資源和信息的共享，必須保證計算機網(wǎng)絡處在安全的環(huán)境中并為資源的交換和共享提供保障。信息化和網(wǎng)絡安全建設是為貫徹國家決策部署、各級政府機關(guān)信息化工作要求的迫切需要。黨和國家高度重視網(wǎng)絡與信息安全工作，并于2014年2月27日成立了中央網(wǎng)絡安全和信息化領(lǐng)導小組。2018年3月，中央網(wǎng)絡安全和信息化領(lǐng)導小組改組為中國共產(chǎn)黨中央網(wǎng)絡安全和信息化委員會。習近平總書記親自擔任組長，在領(lǐng)導小組第一次會議上就提出“沒有網(wǎng)絡安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”的戰(zhàn)略論斷。為了保證網(wǎng)絡安全，捍衛(wèi)國家網(wǎng)絡主權(quán)，確保社會經(jīng)濟健康發(fā)展，國家在不斷完善網(wǎng)絡安全方面的法律法規(guī)。

2016年11月7日，《中華人民共和國網(wǎng)絡安全法》發(fā)布，共七章七十九條，對網(wǎng)絡運行安全、網(wǎng)絡信息安全都做了明確的規(guī)定，該法案有效填補了網(wǎng)絡安全領(lǐng)域的空白，加強了網(wǎng)絡監(jiān)測預警與應急處置建設，完善了網(wǎng)絡安全標準體系。

2017年6月1日，《中華人民共和國網(wǎng)絡安全法》施行。國家網(wǎng)信辦網(wǎng)絡安全協(xié)調(diào)局負責人就相關(guān)問題回答記者提問，針對會制造貿(mào)易壁壘的擔憂，負責人明確表示：“制定和實施《網(wǎng)絡安全法》，不是為限制國外企業(yè)、技術(shù)、產(chǎn)品進入中國市場，不是為限制數(shù)據(jù)依法有序自由流動。各單位應該根據(jù)國家大政方針指示，把思想和行動統(tǒng)一到一系列相關(guān)決策部署上來，推動我國信息系統(tǒng)管理與信息安全工作邁上新臺階。”

對于信息技術(shù)發(fā)展出現(xiàn)的信息系統(tǒng)和信息安全問題，國家制定的法律法規(guī)起到了關(guān)鍵作用，真正做到了有法可依，規(guī)范了網(wǎng)絡使用行為，維護了信息安全。基于以上方面，更應加快推進系統(tǒng)管理與信息安全工作，進一步加強和做好信息系統(tǒng)管理和網(wǎng)絡安全研究工作。

2 信息系統(tǒng)管理與網(wǎng)絡信息安全保障

2.1 不斷完善信息系統(tǒng)管理體系

做好信息系統(tǒng)管理工作是社會各界加快推動產(chǎn)業(yè)信息化、率先實現(xiàn)信息現(xiàn)代化的重要任務。對于信息系統(tǒng)管理安全，需要注重4個方面內(nèi)容。

（1）增強信息系統(tǒng)管理意識。信息系統(tǒng)管理工作既是信息管理部門必要的工作任務，也是統(tǒng)攬一切信息工作的中心和重心。當前，國家信息化發(fā)展已經(jīng)進入新時期，各級系統(tǒng)管理人員必須清醒地認識到當前面臨的新形勢、新問題和新挑戰(zhàn)，切實提高思想認識，尤其管理層更要提高認識，圍繞信息系統(tǒng)管理工作，積極、主動地抓好具體工作落實。

（2）加強組織保障。嚴格按照相關(guān)管理規(guī)定要求，領(lǐng)導層充分發(fā)揮后盾作用，為信息系統(tǒng)管理工作創(chuàng)造有利條件。上級部門定期聽取信息管理部門工作匯報，認真研究解決信息管理部門過程中遇到的問題，抓好信息管理工作，確保信息管理工作正常有序進行。

（3）加強系統(tǒng)管理人員培訓工作[1-2]，提高信息系統(tǒng)管理人員管理水平。制定培訓管理制度，定期組織管理人員進行業(yè)務培訓，通過學習安全保障案例和新信息系統(tǒng)安全技術(shù)，不斷提高系統(tǒng)管理人員運維水平。

（4）要強化責任追究。建立工作考核和責任追究機制，將信息管理工作作為單位年度考核內(nèi)容，對信息管理工作不力、工作出現(xiàn)失誤的，由主管領(lǐng)導對負責部門進行約談，情節(jié)嚴重的要給予嚴肅問責，取消責任人及所在部門評先評優(yōu)資格。

2.2 發(fā)展信息網(wǎng)絡數(shù)據(jù)安全保障體系

發(fā)展信息化，就必須重視信息網(wǎng)絡和數(shù)據(jù)安全建設，因為安全是信息化發(fā)展的前提和保障。各單位應該協(xié)同高等院校、社會力量，共同推進信息系統(tǒng)管理與信息安全建設。目前，信息網(wǎng)絡數(shù)據(jù)安全危險主要來自以下3個方面。

首先，外部攻擊造成的網(wǎng)絡服務癱瘓與信息竊取，這也是各類信息系統(tǒng)所面臨的共性問題。面對該問題需要充分利用防火墻安全技術(shù)，用于阻止外部攻擊和惡意入侵等行為，在網(wǎng)絡數(shù)據(jù)邊界建立一道隔絕屏障，起到保護數(shù)據(jù)的目的。

其次，計算機病毒感染威脅而使系統(tǒng)陷入癱瘓或崩潰。計算機病毒對于信息系統(tǒng)和數(shù)據(jù)安全都產(chǎn)生了巨大威脅，通過安裝殺毒軟件，可以解決計算機通過各種途徑感染的計算機病毒，但以前的殺毒軟件存在共性，登錄軟件后需通過互聯(lián)網(wǎng)下載病毒庫后計算機才能自行查殺。隨著信息技術(shù)發(fā)展，世界每小時都可以產(chǎn)生出幾萬個新型計算機病毒，依托于舊殺毒模式已不能滿足于信息技術(shù)發(fā)展的需要，所以需要依托于“云計算”等新技術(shù)發(fā)展“云安全”。

最后，人為泄露和竊取信息數(shù)據(jù)的情況，可以造成數(shù)據(jù)外泄和財產(chǎn)損失。傳統(tǒng)的安全防范措施已難以應對該問題，再復雜的技術(shù)防御手段，也難以防止機密信息被人為從內(nèi)部竊取和轉(zhuǎn)移。所以，還需要國家在法律層面，公司單位在安全規(guī)章制度層面完善制度，建立管理機構(gòu)，設立安全管理崗位等。

3 信息管理系統(tǒng)與網(wǎng)絡數(shù)據(jù)安全性方案

在建立信息管理系統(tǒng)的同時，有效保證系統(tǒng)安全是系統(tǒng)設計的重點之一。設計既要能夠滿足各角色用戶使用的靈活性，又要充分考慮數(shù)據(jù)的安全性與穩(wěn)定性。信息管理系統(tǒng)的安全性設計時主要從以下幾個方面進行考慮。

3.1 網(wǎng)絡及硬件構(gòu)架安全

網(wǎng)絡防火墻分為網(wǎng)絡級和應用級。網(wǎng)絡級防火墻的主要功能是對各種信息進行包過濾和狀態(tài)檢測，應用級防火墻可采用雙網(wǎng)卡結(jié)構(gòu)、屏蔽主機、屏蔽子網(wǎng)等功能。在服務器硬件構(gòu)架安全方面，相關(guān)用戶在使用信息系統(tǒng)進行訪問時，用戶訪問須經(jīng)過數(shù)據(jù)中心的防火墻與系統(tǒng)相連。采用多應用分布部署方案，盡量做到每個服務系統(tǒng)都有防火墻，保證系統(tǒng)安全。

在負荷承載方面，信息系統(tǒng)各服務可根據(jù)實際負荷情況，考慮一個應用部署多個服務器進行負載均衡分配的方式。采用雙機熱備的方式，保證一臺服務器出現(xiàn)故障時，系統(tǒng)立即自動切換到備份機上運行，使系統(tǒng)可以繼續(xù)正常提供服務而不會中斷，提高系統(tǒng)的安全系數(shù)。采用負載均衡的部署方式，可降低單一應用服務器的負荷，提高用戶的訪問效率，同時可降低異常情況或某項服務無法訪問的風險[3]。如某處服務宕機，用戶使用完全不受影響。在硬件構(gòu)架設計方面，采用應用分離、數(shù)據(jù)不分離的方式，多應用數(shù)據(jù)庫集中構(gòu)建。數(shù)據(jù)庫服務器采用互為熱備的主從服務器的構(gòu)架方式，同時可采用讀寫分離的模式。當數(shù)據(jù)承載負荷較大時，根據(jù)實際使用情況，可再另行構(gòu)建數(shù)據(jù)庫服務器集群。

數(shù)據(jù)庫服務器采用多組具有主從的分布式構(gòu)架方式進行擴展，同時可利用負載均衡的方式進行負載均攤。數(shù)據(jù)庫集中構(gòu)建，消除了多應用系統(tǒng)數(shù)據(jù)耦合和一致性問題，同時降低了數(shù)據(jù)庫維護難度；采用數(shù)據(jù)庫主從的分布式構(gòu)架方式，提高了數(shù)據(jù)庫的安全性、可靠性和擴展性，當數(shù)據(jù)庫處理服務和存儲需求負荷過重時，便于擴展。

3.2 信息系統(tǒng)應用安全

在信息系統(tǒng)應用安全方面，用戶在通過基于瀏覽器/服務器模式（Browser/Server，B/S）架構(gòu)互聯(lián)網(wǎng)或客戶機和服務器結(jié)構(gòu)（Client/Server Structs，C/S）架構(gòu)客戶端信息系統(tǒng)時，都應采用認證機制，對其身份進行合法性認證，并發(fā)布獨立的查詢數(shù)據(jù)庫，限制其訪問數(shù)據(jù)的范圍，防止惡意竊取信息。

在數(shù)據(jù)權(quán)限控制方面，應嚴格按用戶綁定人員的組織機構(gòu)控制其數(shù)據(jù)訪問范圍。對使用信息系統(tǒng)保密信息范圍的用戶采用硬件加密，例如密鑰（User Key）嚴格認證用戶身份的合法性與有效性。無硬件密鑰的人員將不能訪問本系統(tǒng)未公開發(fā)布的信息[4]。

在數(shù)據(jù)存儲方面，將對用戶信息、應用信息、證件等信息核心數(shù)據(jù)信息進行加密存儲。為防止注入性黑客攻擊，還應建立有效數(shù)據(jù)存取邏輯。建立入侵檢測系統(tǒng)，實時監(jiān)控網(wǎng)絡數(shù)據(jù)流，分析連接狀態(tài)，通過信息系統(tǒng)內(nèi)置的網(wǎng)絡攻擊數(shù)據(jù)庫，查詢網(wǎng)絡事件并進行響應。根據(jù)發(fā)生的網(wǎng)絡事件，啟用配置好的報警方式，提供網(wǎng)絡數(shù)據(jù)流量統(tǒng)計功能，為事件分析提供支持，配合數(shù)據(jù)庫支持多種協(xié)議和全面內(nèi)容恢復，支持分布式結(jié)構(gòu)，提供黑名單快速查看功能[5]。

3.3 系統(tǒng)運行管理安全

首先，加強系統(tǒng)運行安全應急機制管理。依據(jù)系統(tǒng)的運行狀況，針對不同的系統(tǒng)，制定不同的應急管理方案。整合相關(guān)信息制定相應的安全管理方法，保障系統(tǒng)的正常運行。針對可能發(fā)生的信息安全問題制定出應急預案，在發(fā)生突發(fā)事件時，系統(tǒng)內(nèi)應急機制和系統(tǒng)外人員同時做出應急響應。

其次，加強系統(tǒng)管理人員的培訓工作。必須要配備專門的系統(tǒng)管理人員，針對系統(tǒng)規(guī)模大小配備相應數(shù)量的且明確邊界責任的管理人員，上級部門定期組織系統(tǒng)管理人員進行業(yè)務相關(guān)培訓，制定好應急預案。針對系統(tǒng)管理人員由于各種原因可能發(fā)生的違規(guī)操作等問題或?qū)е滦畔⑻幱谖ｋU的情況，定期進行系統(tǒng)安全風險評估。由于計算機信息系統(tǒng)在使用的過程中會由于不當?shù)牟僮髟斐傻陌踩L險，系統(tǒng)管理人員或機構(gòu)有義務定期評估和識別計算機信息系統(tǒng)風險，將風險劃分等級，制定相應的規(guī)定，明確工作人員的操作范圍。系統(tǒng)管理人員對風險較高的威脅及時處理，防止風險在信息系統(tǒng)中進一步擴散。