論信息安全的風(fēng)險(xiǎn)防范與管理措施

論信息安全的風(fēng)險(xiǎn)防范與管理措施本文結(jié)合各企事業(yè)單位信息安全管理現(xiàn)狀與本單位的信息安全管理實(shí)踐，重點(diǎn)論述了信息安全風(fēng)險(xiǎn)防范措施以及管理手段在信息安全建設(shè)中的重要性。隨著大數(shù)據(jù)時(shí)代的到來(lái)，互聯(lián)網(wǎng)業(yè)務(wù)的飛速發(fā)展，人們對(duì)信息和信息系統(tǒng)依賴(lài)程度日益加深，同時(shí)，信息系統(tǒng)承載業(yè)務(wù)的風(fēng)險(xiǎn)上升，每天都會(huì)發(fā)生入侵、數(shù)據(jù)泄露、服務(wù)癱瘓和黑客攻擊等安全事件。因此，信息安全已成為信息系統(tǒng)建設(shè)中急需解決的問(wèn)題，人們對(duì)信息安全的需求前所未有地高漲起來(lái)。一、信息安全建設(shè)中存在的問(wèn)題一直以來(lái)，許多企事業(yè)、機(jī)關(guān)政府在信息安全建設(shè)中，都存在以下2個(gè)方面的問(wèn)題。（1）存在重技術(shù)輕管理，重產(chǎn)品功能輕安全管理的問(wèn)題。信息安全技術(shù)和產(chǎn)品的應(yīng)用，在一定程度上可以解決部分信息安全問(wèn)題，但卻不是簡(jiǎn)單的產(chǎn)品堆砌，即使采購(gòu)和使用了足夠先進(jìn)、數(shù)量充足的信息安全產(chǎn)品，仍然無(wú)法避免一些信息安全事件的發(fā)生。例如，在網(wǎng)絡(luò)安全控制方面，如果在機(jī)房中部署了防火墻也配備了入侵檢測(cè)設(shè)備，但配置卻是”全通”策略，那么防火墻及檢測(cè)設(shè)備形同虛設(shè)。因此，安全技術(shù)需要有完備的安全管理來(lái)支持，否則安全技術(shù)發(fā)揮不了其應(yīng)有的作用。（2）欠缺信息安全管理體系的建設(shè)。有相當(dāng)一部分單位的最高管理層對(duì)信息資產(chǎn)所面臨威脅的嚴(yán)重性認(rèn)識(shí)不足，缺乏信息安全意識(shí)及政策方針，以至于信息安全管理制度不完善，安全法律法規(guī)意識(shí)淡薄，防范安全風(fēng)險(xiǎn)的教育與培訓(xùn)缺失，或者即使有制度也執(zhí)行不利。大部分單位現(xiàn)有的安全管理模式仍是傳統(tǒng)的被動(dòng)的靜態(tài)的管理方法，缺少未雨綢繆的預(yù)見(jiàn)性，不是建立在安全風(fēng)險(xiǎn)評(píng)估基礎(chǔ)上的動(dòng)態(tài)的系統(tǒng)管理。二、信息安全管理的含義與作用信息安全管理是指整個(gè)信息安全體系中，除了純粹的技術(shù)手段以外，為完成一定的信息安全目標(biāo)，遵循安全策略，按照規(guī)定的程序，運(yùn)用恰當(dāng)?shù)姆椒ǘM(jìn)行的規(guī)劃、組織、指導(dǎo)、協(xié)調(diào)、控制等活動(dòng)，既經(jīng)過(guò)管理而解決一些安全隱患的手段，信息安全管理是信息安全技術(shù)的重要補(bǔ)充。信息安全管理包括三個(gè)方面的內(nèi)容，一是在信息安全問(wèn)題的解決過(guò)程中，針對(duì)信息安全技術(shù)管理內(nèi)容；二是信息安全問(wèn)題的解決過(guò)程中需要對(duì)人進(jìn)行約束和規(guī)范的管理，如各?N規(guī)章制度、權(quán)限控制等內(nèi)容；三企業(yè)中，信息安全基本處于無(wú)人關(guān)心的狀態(tài)，最多也就只是配備1名網(wǎng)管的狀態(tài)，或者管理人員水平無(wú)法滿(mǎn)足需求。三員分離設(shè)計(jì)主要是對(duì)管理員的權(quán)限進(jìn)行控制，設(shè)置系統(tǒng)管理員、用戶(hù)管理員和安全審計(jì)員3個(gè)角色，采用最小授權(quán)原則對(duì)系統(tǒng)三員進(jìn)行系統(tǒng)權(quán)限賦予，使三者相互間制約。系統(tǒng)管理員負(fù)責(zé)根據(jù)用戶(hù)申請(qǐng)完成系統(tǒng)角色的創(chuàng)建、修改與刪除，用戶(hù)身份標(biāo)識(shí)的生成與刪除、初始口令的設(shè)置及用戶(hù)信息的錄入，并對(duì)標(biāo)識(shí)進(jìn)行唯一性檢查。用戶(hù)管理員是完成用戶(hù)與角色授權(quán)、用戶(hù)審計(jì)和應(yīng)用系統(tǒng)數(shù)據(jù)備份，對(duì)系統(tǒng)進(jìn)行嚴(yán)格的訪(fǎng)問(wèn)控制策略，添加用戶(hù)角色，分派角色權(quán)限，要求用戶(hù)定期更換口令，保障系統(tǒng)安全。安全審計(jì)員主要完成與安全有關(guān)的活動(dòng)的相關(guān)信息的識(shí)別、記錄、存儲(chǔ)與分析。通過(guò)采集審計(jì)數(shù)據(jù)，分析結(jié)果。（4）定期進(jìn)行風(fēng)險(xiǎn)評(píng)估與等級(jí)保護(hù)測(cè)評(píng)。風(fēng)險(xiǎn)評(píng)估是信息安全管理的關(guān)鍵環(huán)節(jié)，就是對(duì)信息系統(tǒng)面臨的威脅、受到的影響、存在的弱點(diǎn)以及威脅發(fā)生的可能性評(píng)估，風(fēng)險(xiǎn)管理就是用可以接受的代價(jià)，識(shí)別、控制、減少或消除可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)的過(guò)程并達(dá)到安全目標(biāo)與安全成本的平衡。信息安全等級(jí)保護(hù)是對(duì)信息和信息載體按照重要性等級(jí)分級(jí)別進(jìn)行保護(hù)的一種工作，是在中國(guó)、美國(guó)等很多國(guó)家都存在的一種信息安全領(lǐng)域的工作，單位重要的信息系統(tǒng)應(yīng)該每年都要進(jìn)行一次系統(tǒng)的等保測(cè)評(píng)，這本身就是一種動(dòng)態(tài)式的信息安全管理模式。以上只是筆者一些信息安全管理經(jīng)驗(yàn)，實(shí)際工作中還要更加細(xì)致深入地加強(qiáng)防范，并且要不斷進(jìn)行相關(guān)人員的知識(shí)更新，尤其