论信息安全的风险防范与管理措施

论信息安全的风险防范与管理措施本文结合各企事业单位信息安全管理现状与本单位的信息安全管理实践，重点论述了信息安全风险防范措施以及管理手段在信息安全建设中的重要性。随着大数据时代的到来，互联网业务的飞速发展，人们对信息和信息系统依赖程度日益加深，同时，信息系统承载业务的风险上升，每天都会发生入侵、数据泄露、服务瘫痪和黑客攻击等安全事件。因此，信息安全已成为信息系统建设中急需解决的问题，人们对信息安全的需求前所未有地高涨起来。一、信息安全建设中存在的问题一直以来，许多企事业、机关政府在信息安全建设中，都存在以下2个方面的问题。（1）存在重技术轻管理，重产品功能轻安全管理的问题。信息安全技术和产品的应用，在一定程度上可以解决部分信息安全问题，但却不是简单的产品堆砌，即使采购和使用了足够先进、数量充足的信息安全产品，仍然无法避免一些信息安全事件的发生。例如，在网络安全控制方面，如果在机房中部署了防火墙也配备了入侵检测设备，但配置却是”全通”策略，那么防火墙及检测设备形同虚设。因此，安全技术需要有完备的安全管理来支持，否则安全技术发挥不了其应有的作用。（2）欠缺信息安全管理体系的建设。有相当一部分单位的最高管理层对信息资产所面临威胁的严重性认识不足，缺乏信息安全意识及政策方针，以至于信息安全管理制度不完善，安全法律法规意识淡薄，防范安全风险的教育与培训缺失，或者即使有制度也执行不利。大部分单位现有的安全管理模式仍是传统的被动的静态的管理方法，缺少未雨绸缪的预见性，不是建立在安全风险评估基础上的动态的系统管理。二、信息安全管理的含义与作用信息安全管理是指整个信息安全体系中，除了纯粹的技术手段以外，为完成一定的信息安全目标，遵循安全策略，按照规定的程序，运用恰当的方法而进行的规划、组织、指导、协调、控制等活动，既经过管理而解决一些安全隐患的手段，信息安全管理是信息安全技术的重要补充。信息安全管理包括三个方面的内容，一是在信息安全问题的解决过程中，针对信息安全技术管理内容；二是信息安全问题的解决过程中需要对人进行约束和规范的管理，如各?N规章制度、权限控制等内容；三企业中，信息安全基本处于无人关心的状态，最多也就只是配备1名网管的状态，或者管理人员水平无法满足需求。三员分离设计主要是对管理员的权限进行控制，设置系统管理员、用户管理员和安全审计员3个角色，采用最小授权原则对系统三员进行系统权限赋予，使三者相互间制约。系统管理员负责根据用户申请完成系统角色的创建、修改与删除，用户身份标识的生成与删除、初始口令的设置及用户信息的录入，并对标识进行唯一性检查。用户管理员是完成用户与角色授权、用户审计和应用系统数据备份，对系统进行严格的访问控制策略，添加用户角色，分派角色权限，要求用户定期更换口令，保障系统安全。安全审计员主要完成与安全有关的活动的相关信息的识别、记录、存储与分析。通过采集审计数据，分析结果。（4）定期进行风险评估与等级保护测评。风险评估是信息安全管理的关键环节，就是对信息系统面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性评估，风险管理就是用可以接受的代价，识别、控制、减少或消除可能影响信息系统的安全风险的过程并达到安全目标与安全成本的平衡。信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作，是在中国、美国等很多国家都存在的一种信息安全领域的工作，单位重要的信息系统应该每年都要进行一次系统的等保测评，这本身就是一种动态式的信息安全管理模式。以上只是笔者一些信息安全管理经验，实际工作中还要更加细致深入地加强防范，并且要不断进行相关人员的知识更新，尤其