论信息安全建设中管理措施的重要性
时间:2022-05-12 06:55:42
摘 要
在对当前信息安全工作开展情况进行调研的基础上,与信息系统的信息安全等级保护工作相结合,阐述了在实施信息安全工作中管理措施的重要性和紧迫性。
【关键词】风险 管理 等级保护
在现实的工作生活中,大家对计算机病毒、黑客攻击这些词汇都很熟悉,因为这些安全事件是我们经常听说,也经常遇到的。但是安全事件的范围其实远远不止上述两个词汇。
1 前言
随着我国经济的快速发展和社会信息化进程的全面加快,网络和信息系统的基础性、全局性作用日益增强,各行各业都在充分享受着信息系统带来的方便和快捷。随之而来的安全事件也因为各行各业的不同存在着千变万化。例如经常在网上冲浪的朋友都知道,维护不善的网站经常会被挂马;还有就是在网购风靡的今天,网上交易经常因为域名劫持,而将个人的金融信息暴露。为了防止这些层出不穷的安全事件,信息系统的管理者们是绞尽脑汁,不惜花费重金聘请安全服务机构制定详细的安全建设方案,并且采购了大量含有最新技术的安全产品。很多人都认为,在这样的努力下,安全事件应该就此杜绝了吧。但现实却给了我们一个很遗憾的答案。为什么会这样呢?是安全服务机构技术力量不足,还是安全产品功能不够强大?从我们对多个信息系统的调查上来看,两者都没有明显的不足,而是很多信息系统的管理者忽视了信息安全中的管理措施。
在科技高速发展的如今,追求技术已成为一种时髦,无论是作为卖家的产品制造商还是作为买家的信息系统管理者,大家谈的最多的是新技术的新优势、新特点等等。当然注重技术的更新是无可指责的,也是很有必要的。但是无论是何种新技术,最后落实到的使用者还是我们一线的技术人员和管理人员。对这些人员的有效管理往往决定了是否能最大化实现既定安全方案的预期成果。
2 信息泄露实例分析
举一个简单的例子,现在大部分的信息系统在网络边界上均部署有防火墙、IDS或IPS设备,以阻止外部的非授权访问,来达到保护内部资源的目的。凡是对防火墙和入侵检测设备有一定了解的朋友都知道,只要对防火墙和入侵检测设备进行合理的配置,从外部获取内部资源的可能性是很低的。但是为什么现在还有很多敏感信息泄露的现象存在呢?其实很多的信息系统管理者都有一个错误的判定,就是“风险都来自于系统外部,内部是绝对安全的。”据公安机关和安全机构的多年调查发现,其实很多安全事件的真正发生原因来自于内部,由于对内部资源访问控制不够严密,导致一些并无访问权限的内部人员获取到了部分资源,同时对移动介质管理的空白,最终导致内部资源外流。
还有一个典型的案例就是网络设备的防护,很多信息系统的管理部门在对网络设备的防护方面采取了很多的技术手段,比如将登陆网络设备的管理终端设置在中心机房内,并和其他网络进行完全的物理隔离来避免网络上的黑客行为和恶意代码。但在机房出入的地方却没有进行严格的控制,虽然设置了门禁,但是常年开放,对出入机房的人员也没有进行记录。管理上的疏忽对网络设备的防护带来了很大的风险。
另一个证明管理措施重要性的例子就是我国目前在实施的信息安全等级保护制度。
我国政府针对信息安全这个大课题,早在1994年就由国务院颁布了《中华人民共和国计算机信息系统安全保护条例》。2003年又出台了《国家信息化领导小组关于加强信息安全保障工作的意见》。最近又于2004年由公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合转发了《关于信息安全等级保护工作的实施意见》,这一系列的国家层面的文件的制定,逐步明确了信息系统安全等级保护将作为我国信息系统安全建设的基本要求。
那到底什么是信息系统安全等级保护呢?通俗的讲,就是信息系统根据其重要性进行分级,并且根据其安全级别进行相应的安全建设。我们知道,一个完整的信息系统涵盖了网络、主机、应用、数据等多种技术层面,事实上等级保护也是根据了信息系统组成的特点,分别在物理安全、网络安全、主机安全、应用安全、数据安全以及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理十个层面对信息系统的安全建设提出了要求。等级保护的相关要求是在听取众多信息安全专家的意见和建议,并结合大量安全事件的经验教训的基础上制定的,具有广泛的代表性和严密的科学性。从安全等级保护要求的内容上我们可以看出,管理措施竟然占到了总体内容50%的比例,足以说明管理措施在信息安全建设中的重要性。
3 小结
依照国家目前对信息系统建设的要求,每个信息系统都要按照等级保护的要求建设,还要按照等级保护的要求进行测评。笔者作为全国众多测评人员中的一员,参加了很多个大型信息系统的安全等级保护测评工作。在多个测评项目中,发现被测评的很多信息系统在管理方面的措施与等级保护的相关要求有着一定的差距。在与信息系统的管理者们访谈时,很多管理人员对管理措施重要性的认识还停留在满足当前情况的基础上,缺乏风险的预见性。对于这个被忽视的另一半,笔者深深地体会到了信息安全建设任务的任重而道远。也在此呼吁信息系统的管理者们在重视技术更新的同时,能将更多的目光能够投到管理措施的建设上来,并严格按照管理制度执行。当技术和管理两者相辅相成的时候,相信我们今后的工作生活中将越来越少碰到因为安全事件而带来的不愉快,信息安全建设工作也将跃上一个新的台阶。
作者单位
浙江省电子信息产品检验所 浙江省杭州市 310007