二、加強管理的必要性
20 世紀90 年代以來,科學(xué)技術(shù)的高度發(fā)展已經(jīng)毋庸置疑地把我們帶進了信息時代,隨著信息以爆炸式的速度不斷在我們生活中的每一個角落中涌現(xiàn),如何管理信息,確保信息的安全為世人矚目,信息安全管理則成為了當前全球的熱門話題。傳統(tǒng)的信息安全著眼于常規(guī)的信息系統(tǒng)安全設(shè)備,諸如防火墻、VPN、入侵檢測系統(tǒng)、防病毒系統(tǒng)、認證系統(tǒng)等,構(gòu)成了信息安全的防護屏障。事實上,要保證信息安全需要有三個方面的工作要做,這就是需要技術(shù)、管理與法制。所以僅僅依靠技術(shù)保障信息安全的做法是不會達到應(yīng)有效果的,“三分技術(shù),七分管理”這個在其他領(lǐng)域總結(jié)出來的實踐經(jīng)驗和原則,在信息領(lǐng)域也同樣適用。因此,在信息安全的重要性日益突出、信息安全手段日新月異的今天,加強信息安全管理工作就顯得尤為重要。
我國歷來非常重視信息安全保密工作,并且從敏感性,特殊性和戰(zhàn)略性的高度把信息安全保密工作自始至終置于黨和國家的絕對領(lǐng)導(dǎo)之下。中央機要管理部門,國家安全機關(guān),公安機關(guān)和國家保密主管部門分工協(xié)作,各司其職,形成了維護國家信息安全的管理體系。
為加強信息安全管理工作,中央批準成立了兩個非常重要的機構(gòu),一個是國家信息安全產(chǎn)品測評認證中心,負責(zé)管理和運行國家信息安全的測評認證體系,對信息安全產(chǎn)品,信息系統(tǒng),對提供信息安全服務(wù)的單位以及提供信息安全服務(wù)的人員進行測試,考試和認證。第二個重要機構(gòu)是國家計算機網(wǎng)絡(luò)與信息安全管理中心,負責(zé)管理和運行國家計算機網(wǎng)絡(luò)的內(nèi)容監(jiān)控和應(yīng)急協(xié)調(diào)工作。這兩個機構(gòu)目前都在國家信息安全管理中發(fā)揮著技術(shù)支撐的作用。
網(wǎng)絡(luò)安全不再僅僅是用戶組網(wǎng)才會思考的問題,如今的網(wǎng)絡(luò)情況紛繁復(fù)雜,網(wǎng)絡(luò)安全更要考慮的詳盡周到。1.必須有本地的安全策略;2.需要批準共享;3.文件許可非常重要;4.加密離線文件;5.評估你的網(wǎng)絡(luò)安全。無論你使用什么工具,要確保實施經(jīng)過身份識別的掃描和未經(jīng)過身份識別的掃描。這會使你了解網(wǎng)絡(luò)的真實狀況,了解哪里配置錯誤了,并且了解不守紀律的內(nèi)部人員或者外部黑客能夠在你的系統(tǒng)里看到什么。這樣我們就可以很好的解決的此項安全問題。
安全是一種“買不到”的東西。打開包裝箱后即插即用并提供足夠安全水平的安全防護體系是不存在的。建立一個有效的信息安全體系首先需要在好的信息安全治理的基礎(chǔ)上,其次要制定出相關(guān)的管理策略和規(guī)章制度,然后才是在安全產(chǎn)品的幫助下搭建起整個架構(gòu)。相反,就不可能得到一個真正意義上的安全防護體系。有些單位可能安裝了一些安全產(chǎn)品,但并沒有一個安全的體系,因為沒有建立它的基礎(chǔ)。
總之,在網(wǎng)絡(luò)技術(shù)十分發(fā)達的今天,任何一臺計算機都不可能孤立于網(wǎng)絡(luò)之外。信息安全是一個系統(tǒng)的工程,不能僅僅依靠防火墻、病毒軟件或各種各樣的安全產(chǎn)品就可以解決安全問題,而需要仔細考慮系統(tǒng)的安全需求,并將各種安全技術(shù),結(jié)合在一起,才能生成一個高效、適用、安全的網(wǎng)絡(luò)系統(tǒng)。
?