摘要:信息安全是國家安全的基礎和關鍵。在信息安全保障的三大要素(人員、技術、管理)中,管理要素的地位和作用越來越受到重視。理解並重視管理對信息安全的關鍵作用,對於真正實現信息安全目標來說尤其重要。本文分析了信息安全管理的現狀,並著重討論了加強信息安全管理的策略。
關鍵詞:信息安全;管理;現狀;策略
信息安全管理是隨著信息和信息安金的發展而發展的。在信息社會中,壹方面信息已經成為人類的重要資產,在政治、經濟、軍事、教育、科技、生活等方面發揮著重要作用,另壹方面由於計算機技術的迅猛發展而帶來的信息安全問題正變得日益突出。由於信息具有易傳播、易擴散、易損毀的特點,信息資產比傳統的實物資產更加脆弱,更容易受到損害,這樣將使組織在業務運作過程巾面臨巨大的風險。這種風險主要來源於組織管理、信息系統、信息基礎設施等方面的固有薄弱環節和漏洞, 以及大量存在於組織內外的各種威脅, 因此對信啟、系統需要加以嚴格管理和妥善保護,信息安全管理也隨之產生。
1、國內信息安全管理現狀
1.1在國家宏觀信息安全管理方面的問題
(1)法律法規問題。健全的信息安 法律法規體系是確保國家信息安全的基礎,是信息安全的第壹道防線。我國已建立了法律、行政法規與部門規章及規範性文件等三個層面的有關信息安全的法律法規體系,對組織與個人的信息安全行為提出了安全要求。但是我國的法律法規體系還存在缺陷,壹是現有的法律法規存在不完善的地方,如法律法規之間有內容重復交叉, 同壹行為有多個行政處罰主體,有的規章與行政法規相互抵觸,處罰幅度不?6?8壹致;二是法律法規建設跟不上信息技術發展的需要,這主要涉及網絡規劃與建設、網絡管理與經營、網絡安全、數據的法律保護、電子資金劃轉的法律認證、計算機犯罪、刑事立法、計算機證據的法律效力等方面的法律法規缺乏。
(2)管理問題。管理包括三個層次的內容:組織建設、制度建設和人員意識。組織建設是指有關信息安全管理機構的建設。信息安全的管理包括安全規劃、風險管理、應急計劃、安全教育培訓、安全系統的評估、安全認證等多方面的內容,因此只靠壹個機構是無法解決這些問題的。在各信息安全管理機構之問,要有明確的分工,以避免“政出多門”和“政策拉車”現象的發生。需要建立切實可行的規章制度,即進行制度建設,以保證信息安全。如對人的管理,需要解決多人負責、責仔到人的問題,任期有限的問題,職責分離的問題,最小權限的問題等。有了組織機構和相應的制度,還需要領導的高度重視和群防群治,即強化人員的安全意識,這需要信息安全意識的教育和培訓,以及對信息安傘問題的高度重視。
(3)國家信息基礎設施建設問題。目前構成我國信息基礎設施的網絡、硬件、軟件等產品幾乎完全是建立在外國的核心信息技術之上的。關於國家信息基礎設施方面存在的問題已引起國家的高度重視。如“十五”期問,國家863計劃和科技攻關的重要項目就有“信息安全與電子政務”和“金融信息化”兩個有關信息安全的研究項目;2002年1月1日開始實施的《電信業務經營許可證管理辦法》明確要求:電信產品軟件商不能在軟件上預留“後門”,外國供貨商不能遠程登錄中國電信商的操作系統,高級 管系統要用國內可靠機構開發的軟件產品。
1.2我國在微觀信息安全管理方面存在的問題主要表現
(1)缺乏信息安全意識與明確的信息安全方針。大多數組織的最高管理層對信息資產所面臨威脅的嚴重性認識不足,或者僅局限於IT方面的安全,沒有形成壹個合理的信息安拿方針來指導組織的信息安全管理工作,這表現為缺乏完整的信息安全管理制度,缺乏對員工進行必要的安全法律法規和防範安全風險的教育與培訓,現有的安全規章組織未必能嚴格實施等。
(2)重視安全技術,輕視安全管理。目前組織普遍采用現代通信、計算機和網絡技術來構建信息系統,以提高組織效礙暑與競爭能力,但相應的管理措施不到位,如系統的運行、維護和開發等崗位不清,職責不分,存在壹人身兼數職現象。
(3)安全管理缺乏系統管理的思想。大多數組織現有的安全管理模式仍是傳統的管理方法,出現了問題才去想補救的辦法,是壹種就事論事、靜態的管理,不是建立在安全風險評估基礎上的動態的持續改進管理方法。
2、國外信息安全管理現狀
國際上信息安全管理近幾年的發展主要包括以下幾個方面。
(1)制訂信息安全發展戰略和計劃。制訂發展戰略和計劃是發達國家壹貫的作法。美、俄、日國家都已經或正在制訂自己的信息安全發展戰略和發展計劃,確保信息安全沿著正確的方向發展。
(2)加強信息安全立法,實現統壹和規範管理。以法律的形式規定和規範信息安全工作是有效實施安全措施的最有力保證。制訂網絡信息安全規則的先鋒是各大門戶網站,美國的雅虎和美國在線等網站都在實踐中形成了壹套自己的信息安全管理辦法。2000年1O月5日美參議院通過了《互聯網網絡完備性及關鍵設備保護法案》。2000年9月,俄羅斯實施了關於網絡信息安全的法律。
(3)步入標準化與系統化管理時代。隨著2O世紀8O年代IS09000質量管理標準的出現及隨後在全世界的推廣應用,系統管理的思想在其他管理領域也被借鑒與采用,信息安全管理也同樣在2O世紀9O年代步入了標準化與系統化管理的時代。1995年英國率先推出了BS7799信息安全管理標準,該標準於2000年被國際標準化組織認可為國際標準ISO/IEC17799。現在該標準已引起許多國家與地區的重視,在壹些國家已經被推廣與應用;組織貫徹實施該標準可以對信息安全風險進行全面系統的管理,從而實現組織信息安全。與此同時,其他國家以及組織也提出了很多與信息安全管理相關的標準。
3、加強信息安全管理的策略
隨著國民經濟和社會信息化進程的全面加快,信息安全管理工作面臨著越來越嚴峻的形勢和挑戰。從總體上看,當前,我國的信息安全管理工作尚處於起步階段,基礎薄弱,水平不高,存在許多亟待解決的問題,我們要以全局性的眼光,加強信息安全的組織管理工作。
(1)建立集中統壹、分工協作、各司其職的信息安全管理機制。信息安傘保障的關鍵在於組織領導,要從根本上加強我國的信息安全保障工作,必須建立全國集中統壹、分工協作、各司其職的信息安全管理機制。壹是國家應建立能夠協調維護各種安全利益的綜合職能機構,成立有高度權威的國家信息安全委員會,作為國務院信息化領導小組的常設委員會, 以改變目前在維護國家信息安全中各部門條塊分割、職責不清、多頭管理、協調不力和政出多門的現狀;二是各個職能部門要形成壹個分工明確、責任落實、相互銜接、有機配合的組織管理體系,按照“誰主管、誰負責”的原則,***同履行信息安全管理的職責;三是盡早建立省、市兩級比較完善的信息安全領導管理體系, 以便積極調動各種資源主動配合和協調信息安全保障工作,形成縱橫結合的信息安全協調與信息***享機制; 四是充分調動政府、企業和個人的積極性,實現有機聯動,形成合力,***同構築國家信息安全保障體系;五是健全和完善信息安全責任體系,要求各部門、各單位明確信息安全工作負責人,配備相應的信息安全員,把信息安全責任真正落實到人。
(2)加強信息安全法制建設,為信息安全管理提供執法依據。作為信息安全保障體系的重要部分,相關法律法規和標準體系的建設已經勢在必行。下壹步,應著力建立健全信息安全法律法規體系;同時,要註重和加強信息安全執法隊伍的建設;各信息安全職能部門的執法活動必須嚴格按照法律規定的權限和程序進行,正確行使權力和履行職責,保護企業和公民的合法權益,打擊網絡違法犯罪;各有關主管部門和運營單位要積極支持執法機關工作,履行應盡的義務;社會團體、企業和個人要認真履行法律規定的信息安全責任和義務,在信息網絡環境中依法開展活動。
(3)采取有效措施,積極推進信息安全等級保護工作的順利開展。實行信息安全等級保護是國家解決信息安全保護問題的基本政策。信息安全等級保護是信息系統的社會價值和經濟價值保護的客觀要求,即按信息的敏感和重要程度、系統應用性質和資嚴價值、部門重要程度,分級采取科學、合理的保護措施;對於涉及國計民生的國家關鍵信息基礎設施應分級加以重點保護;適度保護,效費合理,避免盲目和浪費。國家實行信息安全等級保護,必須從總體戰略角度考慮,把握關鍵環節,建立長效保護機制。當前,信息安全等級保護的試點工作已積累了壹定的經驗,為推動信息安全等級保護工作的傘面開展,應著力做好以下幾個方面的工作:明確信息系統等級保護各方責任;制定各項信息安全等級保護管理制度;制定、完善信息安全等級保護管理規範和技術標準體系;依托社會技術力量,組建技術支撐體系;研制開發信息安全等級保護備案、檢測、評估信息系統和技術
工具;加強宣傳、培訓工作等等。
(4)努力探索,創立新形勢下的信息網絡違法犯罪防範打擊體系。近年來,我國在打擊網絡違法犯罪方面做了大量的工作,也取得了很火的成績,但是隨著信息技術的不斷發展,網絡違法犯罪的形式更加多樣化,技術手段更加先進,這就要求我們不斷建立健全信息網絡違法犯罪防範打擊體系, 以執法職能部門為主體,動員社會各方力量,運用網絡技術手段在信息網絡領域建立系統、完整、有機銜接的預防、控制、偵查、懲處信息網絡違法犯罪的行政執法和刑事執法體系,提高對信息網絡違法犯罪的防範、控制和偵查、打擊能力。重點要做好以下四方面機制建設:壹是全社會防範控制機制。二是統壹指揮、快速反應的偵查機制。三是有關部門、單位的支持、配合機制。四是公檢法三機關的協調、協作機制。