信息安全管理论文.docx

课程名称：信息安全概论任课老师：陈兵班级：1611202学号：161120217姓名：金杯关于信息安全管理的几点思考摘要：科学的发展已经使人类社会进入信息化社会，信息安全问题越来越突出，保障信息的安权需要合理的信息安全管理技术，我国信息安全管理的发展存在国家和组织层面的问题，本文针对此提出了一些建议，并对信息安全管理的未来作了一些展望。关键字：信息安全、信息安全管理、我国、问题、建议、展望。一、信息安全管理问题的突出 长期以来，人们保障信息安全的手段偏重于技术，从早期的加密技术、数据备份、病毒防护到近期网络环境下的防火墙、入侵检测和身份认证等。但事实上，“力拓间谍案”、“中国人寿80万客户信息泄露案”等一系列信息安全问题的出现，使人们认识到仅仅依靠技术和产品保障信息安全的愿望却难尽如人意，很多复杂、多变的安全威胁和隐患仅靠产品是无法消除的。对实际发生的信息安全事件的统计也凸现了信息安全管理因素的重要性。据有关部门统计，在所有的计算机安全事件中，约有52%是人为因素造成的，25%是由火灾、水灾等自然灾害引起的，技术错误占10%，组织内部人员作案占10%，仅有3%左右是由外部不法人员攻击造成的。简单归类，属于管理方面的原因比重高达70%以上，而这些安全问题中的95%是可以通过科学的信息安全管理来避免地。因此，人们在信息安全领域总结出了“三分技术，七分管理”的实践经验和原则。二、信息安全管理主要面临的问题 信息安全管理是指把分散的信息安全技术因素和人的因素，通过策略、规则协调整合成为一体，服务于信息安全的目标。根据管理主、管理对象等要素的不同，信息安全管理分为两个层次：一种是国家层次的信息安全管理；另一种则是组织层面的信息安全管理。（1）我国在国家层次宏观信息安全方面主要有以下问题1.法律法规问题 我国已建立了法律、行政法规与部门规章及规范性文件等四个层面的有关信息安全的法律法规体系，对组织与个人的信息安全行为提出了安全要求。但是我国的法律法规体系还存在缺陷：一是现有的法律法规存在不完善的地方，法律法规之间有内容重复交叉，同一行为有多个行政处罚主体，有的规章与行政法规相互抵触，处罚幅度不一致；二是法律法规建设跟不上信息技术发展的需要，这主要涉及网络规划与建设、网络管理与经营、网络安全、数据的法律保护、电子资金划转的法律认证、计算机犯罪与刑事立法、计算机证据的法律效力等方面的法律法规缺乏。2.管理问题 管理包括三个层次的内容：组织建设、制度建设和人员意识。信息安全的管理包括安全规划、风险管理、应急计划、安全教育培训、安全系统的评估、安全认证等多方面的内容，只靠一个机构是无法解决这些问题的。在各信息安全管理机构之间，要有明确的分工，建立切实可行的规章制度，如对人的管理，需要解决多人负责、责任到人的问题，任期有限的问题，职责分离的问题，最小权限的问题等。有了组织机构和相应的制度，还需要领导的高度重视和群防群治。3.国家信息基础设施建设问题 国家信息安全报告指出：我国计算机硬件、通信设备制造业的基础集成芯片，主要依赖进口，系统软件、支撑软件基本上是国外产品。在这种形势下，我们必须清醒地承认一个基本事实：目前构成我国信息基础设施的网络、硬件、软件等产品几乎完全是建立在外国的核心信息技术之上的。4.信息安全管理缺乏科学、全面的规划 没有在IT系统建设过程中充分考虑信息安全的科学规划，导致后期信息安全建设和管理工作比较被动，同时业务的发展及IT的建设与信息安全管理建设不对称。5.管理混乱、缺乏国家层面的整体策略 实际管理力度不够，政策的执行和监督力度不够。部分规定过分强调部门的自身特点，而忽略了在国际政治经济的大环境下体现中国的特色。部分规定没有准确地区分技术、管理和法制之间的关系，以管代法，用行政管技术的做法仍较普遍，造成制度的可操作性较差。6.国家标准的制定 我国自己制定的信息安全管理标准太少，大多沿用国际标准。在标准的实施过程中，缺乏必要的国家监督管理机制和法律保护，致使有标准企业或用户可以不执行，而执行过程中出现的问题得不到及时、妥善的解决。（二）我国在微观信息安全管理方面存在的问题主要变现为以下几点1.缺乏信息安全意识与明确的信息安全方针 大多数组织的最高管理层对信息资产所面临威胁的严重认识不足，或者仅局限于IT方面的安全，没有形成一个合理的信息安全方针来指导组织的信息安全管理工作，主要表现为缺乏完整的信息安全管理制度，据ITGov专家观察，对业务部门人员进行必要的安全法律法规和规范安全风险的教育与培训在很多组织没有开展，即使是信息化比较先进的银行业、电信业也是如此，同时现有的安全规章组织未必能严格实施等。2.重视安全技术，轻视安全管理 目前组织普遍采用现代通信、计算机和网络技术来构建信息系统，以提高组织效率与竞争能力，但相应的管理措施不到位，如病毒库不及时升级、变更管理松懈、系统的运行、维护和开发等岗位不清，职责不分，存在一人身兼数职现象。而大约70%以上的信息安全问题是由管理方面的原因造成的。3.安全管理缺乏系统管理的思想 大多数组织现有的安全管理模式仍是传统的管理方法，出现了问题才去想补救的办法，是一种就事论事、静态的管理，不是建立在安全风险评估基础上的动态的持续改进管理方法。三、对我国信息安全管理的一些对策1.国家策略 在领导体系方面，建议建立“国家信息安全管理委员会”，做为国家机构和地方政府及企业之间合作的主要联络人和推动者，负责对跨部门保护工作做全面协调，尽快建立具有信息安全防护能力、隐患发现能力、网络应急反应能力和信息对抗能力的国家信息安全保障体系。2.体高信息安全管理水平 以开放、发展、积极防御的方式取代过去的以封堵、隔离、被动防御为主的方式，狠抓内网的用户管理、行为管理、内容控制和应用管理以及存储管理，坚持“多层保护，主动防护”的方针。加强信息安全策略的研究、制定和执行工作。国家信息安全主管部门和标准委员会应该为组织制定信息安全策略提供支持，保证组织能够以很低的费用制定出专业的信息安全策略，提高我国的整体信息安全管理水平。3.完善国家互联网应急响应管理体系的建设 进一步完善国家互联网应急响应管理体系的建设，实现全国范围内的统一指挥和分工协作，全面提高预案制定水平和处理能力。在建立象SARS一样的信息分级汇报制度的同时，在现有公安系统中建立一支象现在的“110”和“119”一样的“信息安全部队”，专门负责信息网络方面安全保障、安全监督、安全应急和安全威慑方面的工作。对关键设施或系统制定好应急预案，并定期更新和测信息安全应急预案。4.立法和监督 加快信息安全立法和实施监督工作，建议成立一个统一、权威、专门的信息安全立法组织与管理机构，对我国信息法律体系进行全面规划、设计与实施监督与协调，加快具有我国特点的信息安全法律体系的建设，并按信息安全的要求修补已颁布的各项法律法规。尤其是为配合电子签名法的实施和落实国务院办公厅关于加快电子商务发展的若干意见，应抓紧研究电子交易、信用管理、安全认证、在线支付、税收、市场准入、隐私权保护、信息资源管理等方面的法律法规问题，尽快提出制定相关法律法规；推动网络仲裁、网络公正等法律服务与保障体系的建设。5.信息安全标准的制定 加快信息安全标准化的制定和实施工作，尽早制定出基于ISO/IEC 17799国际标准的，并适合我国的信息安全管理标准体系，尤其是建立与完善信息安全风险评估规范标准和管理机制，对国家一些关键基础设施和重要信息系统，如经济、科技、统计、银行、铁路、民航、海关等，要依法按国家标准实行定期的自评估和强制性检查评估。6.加强信息安全管理教育 在信息化比较先进的行业，如银行、民航、铁路等行业，开展信息安全管理教育和培训，使信息安全管理的概念深入人心，加强行业从业人员对于信息安全的认识度，提高员工的信息安全自律水平。通过各种会议、网站、广播、电视、报纸等媒体加大信息安全普法和守法宣传力度，提高全民信息安全意识。7.政府支持 建议政府制定优惠政策，设立信息安全管理专项基金，鼓励风险投资，提高信息安全管理平台、管理工具、网络取证、事故恢复等关键技术的自主研究能力与产品开发水平。8.加大保护工作和国际合作力度 重视和加强信息安全等级保护工作，对重要信息安全产品实行强制性认证，特定领域用户必须明确采购通过认证的信息安全产品。加大国际和作力度，尤其在标准、技术和取证以及应急响应等方面的国际交流、协作与配合。9.加强管理人才与执法队伍的建设 加强信息安全管理人才与执法队伍的建设工作，特别是加大即懂技术又懂管理的复合型人才的培养力度。四、对信息安全管理的展望 科学技术的发展使现代社会已经进入信息化社会，电子计算机在现代社会扮演着不可缺少的角色，信息已经成为继能量、物质之后世界的第三大组成成分。随着信息化社会的发展，信息安全的问题越来越突出，然而仅靠信息安全技术来保障信息的安全，实践证明这是不可行的，信息的安全保障必须依靠合理的信息安全管理措施。尽管现在信息安全管理技术的发展仍不尽如人意，但信息安全管理技术正在高速发展，信息安全必将发展成为一门保障人类社会进步的不可缺少的重要技术。我们相信经过发展，信息安全管理技术必将和信息安全技术一起保障信息的安全。参考文献：1刘文艳.社会信息化环境下的信息安全管理研究.网络安全技术与应用.2007.3.2