浅谈信息系统上线后的信息安全管理

浅谈信息系统上线后的信息安全管理

作者：张颖

来源：《消费导刊》2011年第08期

一、信息安全的涵义及重要性

2010年的IT安全领域面临的形势较以往更加严峻。美国某医院80万份文件被窃，内容涉及患者、合作伙伴和医院职员的信息，时间跨度为15年；谷歌因“极光”漏洞导致许多重要知识产权被网络非常入侵所窃取；著名的“维基解密”事件中，25万份美国密传电报遭维基解密网站泄漏，美军有关阿富汗、伊拉克战争的机密文件被公之于众，波及范围之广、涉及文件之众，均史无前例，是美国乃至世界历史上最大规模的一次泄密事件。

以上事例从个人私密信息的曝光到商业企业知识产权的被窃，乃至国家安全机密的泄漏，均可称作信息安全事件。信息安全作为一种新型安全，超越了传统意义上的财产和实物安全，是一种战略安全。信息安全事关企业生存和个人隐私，事关社会和谐和人类文明，事关国家安全和国民经济。信息安全是国家安全的重要内容，在网络越来越发达的今天，信息安全具有头等重要的地位，加强信息安全成为当务之急。

二、国内企业信息安全现状

21世纪，信息技术正以前所未有的速度快速渗透到各个领域当中。随着行业竞争的加剧，不只国内大型企业，就连中小企业也都在思考如何利用信息系统助企业一臂之力。众多企业全方位应用财务、业务、商务、日常办公等各类信息系统，近几年又纷纷引进ERP系统，想以此为突破口，引进国际化先进的管理理念，寻求企业重生的解决方案。信息系统中包含企业各方面数据，事关企业的经济命脉，一旦出现信息安全问题将导致企业失去竞争力，甚至走向灭亡。

美、日等一些发达国家信息建设起步较早，现在信息安全管理已经步入标准化和系统化时代。相比之下，我国信息安全起步较晚，近些年才得到有效重视。具体现状如下：

(一)已初步建成国家信息安全组织保障体系，但缺乏统一的、专门的管理机构进行有效组织、规划和协调，信息安全管理体系还未建立起来。

龙源期刊网 http://www.qikan.com.cn

(二)近年，我国制定了部分重要的信息安全管理标准，同时开展了信息安全风险评估工作，但缺乏系统、全面的信息安全风险评估体系以及信息安全保障体系。 (三)国民的信息安全意识还有待于进一步提高。

三、潜在的信息安全威胁因素

为了有效地保护信息安全，必须明确信息安全所面临的威胁，其威胁大体可分为两类：一类是信息泄漏、另一类是信息破坏，主要来自于以下几个方面：

(一)自然灾害和设备故障等非人为因素

我国因占地面积广因而自然灾害频发，而且随着社会发展和人类进步，自然灾害所造成的损失和负面影响也不断扩大，尤其对信息安全影响极大。洪水、地震、台风、海啸等自然灾害都可能摧毁计算机硬件和存储介质，此外因存储设备自身老化或故障造成瘫痪，都有可能导致数据丢失，使信息安全受到威胁。

(二)计算机病毒、黑客等人为攻击

1.病毒与恶意攻击。2.网络缺陷。3.系统漏洞。

四、应该如何加强信息安全

在进行信息化总体规划时要充分考虑信息安全问题，制定全面、系统的安全策略，这样才能最大限度地保证信息安全。

(一)物理安全。在硬件配备上，配备防火墙、安全网关等硬件设备。防火墙可以完成网络层次中单层和多层次的安全功能，如进行过滤以达到网络层的安全控制，根据地址信息允许或阻断信息包的流通；而应用网关的代理服务器在应用层一级进行安全控制，设定允许进行的服务。

龙源期刊网 http://www.qikan.com.cn

(二)操作系统安全。操作系统是计算机各项应用和服务的依托，几乎每隔几天就有新的安全漏洞被发现，用户要及时检测是否有系统漏洞，如有漏洞必须及时升级修复，不给不法分子以可乘之机。

(三)应用系统安全。以用户名和口令来识别用户是最简单、初级的方式，安全性远远不够。对一些安全性要求较高的重要信息系统，可以采用智能卡、U-KEY、以及指纹识别等准入方式，再配合身份认证协议，将使系统的安全性得到大幅提升。

(四)养成良好的使用习惯。要想充分保证信息安全，光靠技术手段是不够的，必须在工作和生活中保持良好的计算机使用习惯。

五、结束语