我國信息安全管理的現(xiàn)狀�����、問題及其對策
摘要:信息安全是國家安全的基礎(chǔ)和關(guān)鍵。在信息安全保障的三大要素(人員�、技術(shù)、管理)中���,管理要素的地位和作用越來越受到重視����。理解并重視管理對信息安全的關(guān)鍵作用���,對于真正實現(xiàn)信息安全目標來說尤其重要�����。本文分析了信息安全管理的現(xiàn)狀�,并著重討論了加強信息安全管理的策略���。
關(guān)鍵詞:信息安全��;管理���;現(xiàn)狀;策略
信息安全管理是隨著信息和信息安金的發(fā)展而發(fā)展的��。在信息社會中����,一方面信息已經(jīng)成為人類的重要資產(chǎn),在政治�����、經(jīng)濟��、軍事��、教育、科技���、生活等方面發(fā)揮著重要作用,另一方面由于計算機技術(shù)的迅猛發(fā)展而帶來的信息安全問題正變得日益突出��。由于信息具有易傳播�、易擴散、易損毀的特點����,信息資產(chǎn)比傳統(tǒng)的實物資產(chǎn)更加脆弱,更容易受到損害����,這樣將使組織在業(yè)務(wù)運作過程巾面臨巨大的風險。這種風險主要來源于組織管理�、信息系統(tǒng)、信息基礎(chǔ)設(shè)施等方面的固有薄弱環(huán)節(jié)和漏洞����, 以及大量存在于組織內(nèi)外的各種威脅, 因此對信啟���、系統(tǒng)需要加以嚴格管理和妥善保護�,信息安全管理也隨之產(chǎn)生。
1�、國內(nèi)信息安全管理現(xiàn)狀
1.1在國家宏觀信息安全管理方面的問題
(1)法律法規(guī)問題。健全的信息安 法律法規(guī)體系是確保國家信息安全的基礎(chǔ)�,是信息安全的第一道防線。我國已建立了法律���、行政法規(guī)與部門規(guī)章及規(guī)范性文件等三個層面的有關(guān)信息安全的法律法規(guī)體系��,對組織與個人的信息安全行為提出了安全要求����。但是我國的法律法規(guī)體系還存在缺陷�����,一是現(xiàn)有的法律法規(guī)存在不完善的地方�����,如法律法規(guī)之間有內(nèi)容重復(fù)交叉�, 同一行為有多個行政處罰主體,有的規(guī)章與行政法規(guī)相互抵觸�,處罰幅度不?一致;二是法律法規(guī)建設(shè)跟不上信息技術(shù)發(fā)展的需要��,這主要涉及網(wǎng)絡(luò)規(guī)劃與建設(shè)、網(wǎng)絡(luò)管理與經(jīng)營��、網(wǎng)絡(luò)安全����、數(shù)據(jù)的法律保護�����、電子資金劃轉(zhuǎn)的法律認證���、計算機犯罪����、刑事立法�、計算機證據(jù)的法律效力等方面的法律法規(guī)缺乏。
(2)管理問題�����。管理包括三個層次的內(nèi)容:組織建設(shè)�����、制度建設(shè)和人員意識。組織建設(shè)是指有關(guān)信息安全管理機構(gòu)的建設(shè)�。信息安全的管理包括安全規(guī)劃、風險管理����、應(yīng)急計劃、安全教育培訓(xùn)�����、安全系統(tǒng)的評估����、安全認證等多方面的內(nèi)容,因此只靠一個機構(gòu)是無法解決這些問題的����。在各信息安全管理機構(gòu)之問,要有明確的分工��,以避免“政出多門”和“政策拉車”現(xiàn)象的發(fā)生����。需要建立切實可行的規(guī)章制度,即進行制度建設(shè),以保證信息安全���。如對人的管理��,需要解決多人負責�、責仔到人的問題���,任期有限的問題�����,職責分離的問題,最小權(quán)限的問題等�。有了組織機構(gòu)和相應(yīng)的制度,還需要領(lǐng)導(dǎo)的高度重視和群防群治����,即強化人員的安全意識,這需要信息安全意識的教育和培訓(xùn)���,以及對信息安傘問題的高度重視�����。
(3)國家信息基礎(chǔ)設(shè)施建設(shè)問題�����。目前構(gòu)成我國信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)�����、硬件���、軟件等產(chǎn)品幾乎完全是建立在外國的核心信息技術(shù)之上的�。關(guān)于國家信息基礎(chǔ)設(shè)施方面存在的問題已引起國家的高度重視�����。如“十五”期問�����,國家863計劃和科技攻關(guān)的重要項目就有“信息安全與電子政務(wù)”和“金融信息化”兩個有關(guān)信息安全的研究項目��;2002年1月1日開始實施的《電信業(yè)務(wù)經(jīng)營許可證管理辦法》明確要求:電信產(chǎn)品軟件商不能在軟件上預(yù)留“后門”�����,外國供貨商不能遠程登錄中國電信商的操作系統(tǒng),高級 管系統(tǒng)要用國內(nèi)可靠機構(gòu)開發(fā)的軟件產(chǎn)品�。
1.2我國在微觀信息安全管理方面存在的問題主要表現(xiàn)
(1)缺乏信息安全意識與明確的信息安全方針。大多數(shù)組織的最高管理層對信息資產(chǎn)所面臨威脅的嚴重性認識不足���,或者僅局限于IT方面的安全����,沒有形成一個合理的信息安拿方針來指導(dǎo)組織的信息安全管理工作���,這表現(xiàn)為缺乏完整的信息安全管理制度�,缺乏對員工進行必要的安全法律法規(guī)和防范安全風險的教育與培訓(xùn)�,現(xiàn)有的安全規(guī)章組織未必能嚴格實施等。
(2)重視安全技術(shù)��,輕視安全管理��。目前組織普遍采用現(xiàn)代通信���、計算機和網(wǎng)絡(luò)技術(shù)來構(gòu)建信息系統(tǒng),以提高組織效礙暑與競爭能力����,但相應(yīng)的管理措施不到位,如系統(tǒng)的運行、維護和開發(fā)等崗位不清��,職責不分���,存在一人身兼數(shù)職現(xiàn)象��。
(3)安全管理缺乏系統(tǒng)管理的思想��。大多數(shù)組織現(xiàn)有的安全管理模式仍是傳統(tǒng)的管理方法���,出現(xiàn)了問題才去想補救的辦法,是一種就事論事���、靜態(tài)的管理����,不是建立在安全風險評估基礎(chǔ)上的動態(tài)的持續(xù)改進管理方法��。
2����、國外信息安全管理現(xiàn)狀
國際上信息安全管理近幾年的發(fā)展主要包括以下幾個方面。
(1)制訂信息安全發(fā)展戰(zhàn)略和計劃�。制訂發(fā)展戰(zhàn)略和計劃是發(fā)達國家一貫的作法����。美��、俄���、日國家都已經(jīng)或正在制訂自己的信息安全發(fā)展戰(zhàn)略和發(fā)展計劃�����,確保信息安全沿著正確的方向發(fā)展����。
(2)加強信息安全立法�����,實現(xiàn)統(tǒng)一和規(guī)范管理�。以法律的形式規(guī)定和規(guī)范信息安全工作是有效實施安全措施的最有力保證���。制訂網(wǎng)絡(luò)信息安全規(guī)則的先鋒是各大門戶網(wǎng)站�,美國的雅虎和美國在線等網(wǎng)站都在實踐中形成了一套自己的信息安全管理辦法�����。2000年1O月5日美參議院通過了《互聯(lián)網(wǎng)網(wǎng)絡(luò)完備性及關(guān)鍵設(shè)備保護法案》。2000年9月�����,俄羅斯實施了關(guān)于網(wǎng)絡(luò)信息安全的法律����。
(3)步入標準化與系統(tǒng)化管理時代。隨著2O世紀8O年代IS09000質(zhì)量管理標準的出現(xiàn)及隨后在全世界的推廣應(yīng)用�����,系統(tǒng)管理的思想在其他管理領(lǐng)域也被借鑒與采用�,信息安全管理也同樣在2O世紀9O年代步入了標準化與系統(tǒng)化管理的時代。1995年英國率先推出了BS7799信息安全管理標準����,該標準于2000年被國際標準化組織認可為國際標準ISO/IEC17799。現(xiàn)在該標準已引起許多國家與地區(qū)的重視�����,在一些國家已經(jīng)被推廣與應(yīng)用�����;組織貫徹實施該標準可以對信息安全風險進行全面系統(tǒng)的管理,從而實現(xiàn)組織信息安全��。與此同時�,其他國家以及組織也提出了很多與信息安全管理相關(guān)的標準。
3�����、加強信息安全管理的策略
隨著國民經(jīng)濟和社會信息化進程的全面加快�����,信息安全管理工作面臨著越來越嚴峻的形勢和挑戰(zhàn)�。從總體上看,當前����,我國的信息安全管理工作尚處于起步階段,基礎(chǔ)薄弱�����,水平不高�����,存在許多亟待解決的問題��,我們要以全局性的眼光���,加強信息安全的組織管理工作����。
(1)建立集中統(tǒng)
一��、分工協(xié)作��、各司其職的信息安全管理機制��。信息安傘保障的關(guān)鍵在于組織領(lǐng)導(dǎo)�,要從根本上加強我國的信息安全保障工作,必須建立全國集中統(tǒng)
一�����、分工協(xié)作�����、各司其職的信息安全管理機制。一是國家應(yīng)建立能夠協(xié)調(diào)維護各種安全利益的綜合職能機構(gòu)��,成立有高度權(quán)威的國家信息安全委員會�,作為國務(wù)院信息化領(lǐng)導(dǎo)小組的常設(shè)委員會, 以改變目前在維護國家信息安全中各部門條塊分割�、職責不清、多頭管理�、協(xié)調(diào)不力和政出多門的現(xiàn)狀;二是各個職能部門要形成一個分工明確�����、責任落實��、相互銜接�、有機配合的組織管理體系,按照“誰主管�、誰負責”的原則,共同履行信息安全管理的職責����;三是盡早建立省、市兩級比較完善的信息安全領(lǐng)導(dǎo)管理體系����, 以便積極調(diào)動各種資源主動配合和協(xié)調(diào)信息安全保障工作���,形成縱橫結(jié)合的信息安全協(xié)調(diào)與信息共享機制��; 四是充分調(diào)動政府�����、企業(yè)和個人的積極性����,實現(xiàn)有機聯(lián)動,形成合力�,共同構(gòu)筑國家信息安全保障體系;五是健全和完善信息安全責任體系����,要求各部門、各單位明確信息安全工作負責人���,配備相應(yīng)的信息安全員�,把信息安全責任真正落實到人����。
(2)加強信息安全法制建設(shè)����,為信息安全管理提供執(zhí)法依據(jù)�����。作為信息安全保障體系的重要部分��,相關(guān)法律法規(guī)和標準體系的建設(shè)已經(jīng)勢在必行��。下一步����,應(yīng)著力建立健全信息安全法律法規(guī)體系;同時�,要注重和加強信息安全執(zhí)法隊伍的建設(shè);各信息安全職能部門的執(zhí)法活動必須嚴格按照法律規(guī)定的權(quán)限和程序進行����,正確行使權(quán)力和履行職責,保護企業(yè)和公民的合法權(quán)益�����,打擊網(wǎng)絡(luò)違法犯罪;各有關(guān)主管部門和運營單位要積極支持執(zhí)法機關(guān)工作�,履行應(yīng)盡的義務(wù);社會團體��、企業(yè)和個人要認真履行法律規(guī)定的信息安全責任和義務(wù)�,在信息網(wǎng)絡(luò)環(huán)境中依法開展活動。
(3)采取有效措施����,積極推進信息安全等級保護工作的順利開展�����。實行信息安全等級保護是國家解決信息安全保護問題的基本政策���。信息安全等級保護是信息系統(tǒng)的社會價值和經(jīng)濟價值保護的客觀要求�,即按信息的敏感和重要程度��、系統(tǒng)應(yīng)用性質(zhì)和資嚴價值����、部門重要程度,分級采取科學�����、合理的保護措施;對于涉及國計民生的國家關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)分級加以重點保護��;適度保護���,效費合理�,避免盲目和浪費�����。國家實行信息安全等級保護�,必須從總體戰(zhàn)略角度考慮,把握關(guān)鍵環(huán)節(jié)�����,建立長效保護機制�。當前,信息安全等級保護的試點工作已積累了一定的經(jīng)驗��,為推動信息安全等級保護工作的傘面開展����,應(yīng)著力做好以下幾個方面的工作:明確信息系統(tǒng)等級保護各方責任����;制定各項信息安全等級保護管理制度����;制定、完善信息安全等級保護管理規(guī)范和技術(shù)標準體系�����;依托社會技術(shù)力量�����,組建技術(shù)支撐體系����;研制開發(fā)信息安全等級保護備案����、檢測、評估信息系統(tǒng)和技術(shù)
工具�;加強宣傳、培訓(xùn)工作等等�����。
(4)努力探索,創(chuàng)立新形勢下的信息網(wǎng)絡(luò)違法犯罪防范打擊體系����。近年來,我國在打擊網(wǎng)絡(luò)違法犯罪方面做了大量的工作�,也取得了很火的成績,但是隨著信息技術(shù)的不斷發(fā)展���,網(wǎng)絡(luò)違法犯罪的形式更加多樣化��,技術(shù)手段更加先進�,這就要求我們不斷建立健全信息網(wǎng)絡(luò)違法犯罪防范打擊體系�����, 以執(zhí)法職能部門為主體��,動員社會各方力量�,運用網(wǎng)絡(luò)技術(shù)手段在信息網(wǎng)絡(luò)領(lǐng)域建立系統(tǒng)、完整�����、有機銜接的預(yù)防、控制��、偵查���、懲處信息網(wǎng)絡(luò)違法犯罪的行政執(zhí)法和刑事執(zhí)法體系�����,提高對信息網(wǎng)絡(luò)違法犯罪的防范���、控制和偵查、打擊能力�。重點要做好以下四方面機制建設(shè):一是全社會防范控制機制。二是統(tǒng)一指揮���、快速反應(yīng)的偵查機制。三是有關(guān)部門���、單位的支持�����、配合機制�。四是公檢法三機關(guān)的協(xié)調(diào)、協(xié)作機制���。
答案補充
(5)政策面上采取各種措施�,創(chuàng)造良好的信息安全發(fā)展環(huán)境�。一是加大對信息安全工作的資金投入。在政府層面�����,財政應(yīng)拿出專門的資金���,用于機關(guān)及相關(guān)事業(yè)單位����、公益性等信息網(wǎng)絡(luò)的安全建設(shè)及維護��;在企業(yè)層面��,在必須明確建設(shè)網(wǎng)絡(luò)的真正需求�,加強安全資金投入,針對自身的網(wǎng)絡(luò)建立安全防御體系����;另外���,科研管理部門應(yīng)當加大對信息安全技術(shù)研究的科研投入,對若干前瞻性��、基礎(chǔ)性的信息安全核心技術(shù)�,統(tǒng)一部署,組織攻關(guān)����,力爭有所突破。二是加快信息安全人才培養(yǎng)����。要從信息安全建設(shè)和管理對信息安全人才的實際需求出發(fā),加強信息安全學科��、專業(yè)和培訓(xùn)機構(gòu)建設(shè)���,加快信息安全人才培養(yǎng)�。要采取積極措施����,吸引并用好高素質(zhì)的信息安全管理和技術(shù)人才�����,最大限度的發(fā)揮人才效益。三是要大力支持信息網(wǎng)絡(luò)安全服務(wù)行業(yè)的發(fā)展�����。建議出臺支持信息安全服務(wù)行業(yè)發(fā)展的相關(guān)政策��,加強對信息安全服務(wù)行業(yè)的監(jiān)管����,積極引導(dǎo)信息網(wǎng)絡(luò)使用單位借助信息安全服務(wù)單位提高其安全管理水平和能力。
答案補充
四是要增強全民信息安全意識�。要充分利用新聞媒體和互聯(lián)網(wǎng),加大信息安全宣傳力度�,增強全民信息安全意識。要開展全社會特別是對青少年的信息安全教育和法律法規(guī)教育����,使其掌握必要的信息安全知識與技能。
4�、結(jié)語
信息安全管理是保護國家、組織���、個人等各個層面上信息安全的重要基礎(chǔ)����。只有以有效的信息安全管理體系為基礎(chǔ),完善信息安全管理結(jié)構(gòu)�����,綜合應(yīng)用信息安全管理策略和信息安全技術(shù)產(chǎn)品�����,才可能建立起一個真正意義上的信息安全防護體系��。
參考文獻:
[1]劉文艷.社會信息化環(huán)境下的信息安全管理研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用���,2007����,3.
[2]李振汕.現(xiàn)代電子商務(wù)系統(tǒng)安全技術(shù)研究[J].中國管理信息
化���,2007��,10.
[3]張紅旗等.信息安全管理[M].北京:人民郵電出版社����,2007����,11.
