I信息化建设中信息安全的定位和构筑策略.docVIP

信息化建设中信息安全的定位和构筑策略 摘要：信息安全事件的不断增多使得在信息化建设中信息安全受到越来越多的重视。如何在信息化建设中更好的规划和应用信息安全，确保信息化建设的成功是本文关注的重点。本文从技术和管理两个方面对信息安全涉及到的内容进行了阐述，并结合信息系统等级保护，探讨了在信息化建设中如何从宏观和微观两个角度进行信息安全建设。 关键词：信息化建设；信息安全；信息系统等级保护 中图分类号：P23 文献标识码：A 文章编号：1674-3695-（2009) 05-19-05 随着信息化建设的不断深人，信息安全问题日益突显。目前，世界各国都将信息安全、网络安全作为事关国家安全的大事来抓。2009年5月29日，美国总统奥巴马公布了一份由安全部门官员完成的网络安全评估报告，表示来自网络空间的威胁已经成为美国面临的最严重的经济和军事威胁之一，宣布在白宫成立网络安全办公室。在中共十六届四中全会上，中央将信息安全与政治安全、经济安全、文化安全并列为四大“国家安全”，明确提出了完善信息安全的战略目标。由此可见，信息安全对保障一个国家的政治、经济、军事安全发挥着越来越重要的作用。因此，信息化建设中信息安全问题的深入探讨很有意义。 我国的信息化建设始于20世纪80年代，最初的建设主要集中于纸质信息的数字化以及单机应用系统的开发。随着网络技术的不断发展，应用系统的开发也逐渐转向以网络为依托，实现电子政务、电子商务、网上办公等。不仅节约了资源，提高了办事效率，而且扩大了资源共享范围。 由于在微型计算机发展之初，对安全的考虑不够，导致微型计算机软、硬件设计上的简化，致使信息资源及其依托的软硬件极易遭到破坏，产生了安全隐患。计算机网络的主要目标是实现资源共享，因此在设计之初也未过多考虑安全问题，从而造成网络协议的安全缺陷。而且随着应用软件功能的不断完善，代码量越来越大，存在的软件漏洞也越来越多。正是由于这些原因，导致计算机病毒、木马、后门泛滥，严重威胁信息的安全。 随着信息化建设的不断推进，信息化建设的重点由只关注应用系统开发，逐渐转变为系统开发与信息安全建设并重，信息安全被提高到了一个前所未有的高度。按照目前的观念，信息化建设涉及的内容可划分为三个方面：网络基础设施建设、应用系统开发和信息安全保障，这些称为信息化建设的“三大支柱”，缺一不可。如果把网络基础设施比喻成高速公路，把应用系统看作是高速公路上行驶的车辆，那么信息安全就是保障道路和车辆安全所必须遵循的交通法规。我们都知道在没有交通法规的高速公路上行驶车辆会造成什么样的后果，因而我们不难想象，在没有信息安全保障的网络基础设施上运行应用系统将会造成什么样的后果！信息安全是网络基础设施和应用系统的安全保障，其重要性将随着信息化建设的不断推进而更加凸显。 信息安全的主要目标是实现机密性、完整性和可用性。信息技术安全评估准则（ISO/IEC 15408）将信息安全定义为：被评估的信息系统或产品的安全策略、安全功能、安全管理、安全开发、安全维护、安全检测、安全恢复和安全评测等概念的总称。 信息系统安全保障评估框架（GB/T 20274）中将信息系统安全保障定义为:在信息系统的整个生命周期中，通过对信息系统的风险分析，制定并执行相应的安全保障策略，从技术、管理、工程和人员等方面提出安全保障要求，确保信息系统的必威体育官网网址性、完整性和可用性，降低安全风险到可接受的程度，从而保障系统实现机构组织的使命。 综合已有的标准和实际工作，我们认为信息安全涉及到整个信息化建设的方方面面，必须融入到信息化建设的全过程。只有在整个信息化建设过程中，通过技术和管理两个方面的考虑，把信息安全作为信息化建设的一个重要目标，才能保障信息化建设的成功。 只重视技术不重视管理，信息安全是无本之木；只注重管理不注重技术，信息安全是“空口政治”；只有技术和管理并重，才能最大程度的提供安全保障。以系统口令为例，口令安全策略要求口令需要定期修改。如果只是把其作为一项安全策略让各部门员工熟知，而不从技术上进行控制，则很难达到效果。因为无论口令改与不改，我们都无从知晓，而且对于大多数人来说，一般观念都是怎么方便怎么来，这样，这项安全策略根本无法贯彻。如果我们通过技术手段，确保若不定期更改密码则无法登陆系统，用户只能定期更改密码。只注重技术不注重管理同样很难保证安全。依然以系统口令为例，如果我们只是通过技术手段要求员工必须按照要求定期修改口令，而不从管理上进行要求，则很多员工会为了方便，将复杂的口令写下来，贴在电脑旁或记在本子上，这同样不安全。权威机构统计表明：在所有的信息安全事故中，7