论信息安全的风险防范与管理措施

吴志红

本文结合各企事业单位信息安全管理现状与本单位的信息安全管理实践，重点论述了信息安全风险防范措施以及管理手段在信息安全建设中的重要性。

随着大数据时代的到来，互联网业务的飞速发展，人们对信息和信息系统依赖程度日益加深，同时，信息系统承载业务的风险上升，每天都会发生入侵、数据泄露、服务瘫痪和黑客攻击等安全事件。因此，信息安全已成为信息系统建设中急需解决的问题，人们对信息安全的需求前所未有地高涨起来。

一、信息安全建设中存在的问题

一直以来，许多企事业、机关政府在信息安全建设中，都存在以下2个方面的问题。

（1）存在重技术轻管理，重产品功能轻安全管理的问题。信息安全技术和产品的应用，在一定程度上可以解决部分信息安全问题，但却不是简单的产品堆砌，即使采购和使用了足够先进、数量充足的信息安全产品，仍然无法避免一些信息安全事件的发生。例如，在网络安全控制方面，如果在机房中部署了防火墙也配备了入侵检测设备，但配置却是”全通”策略，那么防火墙及检测设备形同虚设。因此，安全技术需要有完备的安全管理来支持，否则安全技术发挥不了其应有的作用。

（2）欠缺信息安全管理体系的建设。有相当一部分单位的最高管理层对信息资产所面临威胁的严重性认识不足，缺乏信息安全意识及政策方针，以至于信息安全管理制度不完善，安全法律法规意识淡薄，防范安全风险的教育与培训缺失，或者即使有制度也执行不利。大部分单位现有的安全管理模式仍是传统的被动的静态的管理方法，缺少未雨绸缪的预见性，不是建立在安全风险评估基础上的动态的系统管理。

二、信息安全管理的含义与作用

信息安全管理是指整个信息安全体系中，除了纯粹的技术手段以外，为完成一定的信息安全目标，遵循安全策略，按照规定的程序，运用恰当的方法而进行的规划、组织、指导、协调、控制等活动，既经过管理而解决一些安全隐患的手段，信息安全管理是信息安全技术的重要补充。

信息安全管理包括三个方面的内容，一是在信息安全问题的解决过程中，针对信息安全技术管理内容；二是信息安全问题的解决过程中需要对人进行约束和规范的管理，如各種规章制度、权限控制等内容；三是在信息安全问题解决过程中，涉及技术和人员的综合性管理，如信息安全解决的总体规划的制定，信息安全策略的制定等内容。这些内容共同构成了信息安全的防护体系，信息安全管理解决宏观问题，核心思想是信息安全风险的管理控制，对象是包括人员在内的种类信息相关资产，通过对信息资产的风险管理来确保实现安全目标，使这些管理对象能够为组织的业务提供保障。

三、信息安全风险防范

信息安全是一项无论做到何种防范，都会出现纰漏的领域，但却可以通过管理和技术产品等多方面手段的提高而到有效的风险防范，其实质就是管住进口与出口。针对信息系统而言，威胁的来源可以分为内部威胁和外部威胁。

内部威胁重点管控的对象主要为办公主机和服务器。具体可以采取如下措施：1、禁止外部设备，尤其是USB设备及WIFI的接入。通过WINDOWS的组合策略来实现。2、定期巡检。内部的人为威胁危害尤其严重，人为威胁通过攻击系统暴露的要害或弱点，使得网络信息的保密性、完整性、可靠性、可控性和可用性等安全属性受到损害，造成不可估量的经济和政治上的损失。

外部威胁主要来自于网络威胁，种类很多，防范需要系统管理。首先要部署管控设备，设计可靠的网络结构，将服务器网络、办公网络区分开，同时将IP地址与MAC地址绑定；其次要将网络行为分组，根据不同组别的特性设置不同的行为规则；另外要限制不必要的软件和通信协议，还要定期审核行为日志。

四、信息安全管理措施

（1）完善组织机构。一般来讲，应该是一个单位的核心管理层来作为安全管理负责人，要有权威，负责人要非常清楚运作流程，便于风险/事故的及时处理和流程的改进。可以通过组建信息化领导小组来实现，明确指导方针与职责分工，领导小组的主要责任在于制定和调整相关安全策略，并监督和检查策略的执行情况。

（2）完善制度和流程管理。从企事业的内部管理来讲，为应对上述的主要风险，从笔者的实际经验出发，首先需要有完善的制度和流程，应该完善以下几个主要制度：设备管理制度、网络管理制度、网络权限申请流程、设备申请流程、内网的安全管理策略、数据管理制度、用户管理制度、变更制度、运维管理记录等。

（3）实现三员分离。在笔者遇到的绝大多数中小企业中，信息安全基本处于无人关心的状态，最多也就只是配备1名网管的状态，或者管理人员水平无法满足需求。三员分离设计主要是对管理员的权限进行控制，设置系统管理员、用户管理员和安全审计员3个角色，采用最小授权原则对系统三员进行系统权限赋予，使三者相互间制约。系统管理员负责根据用户申请完成系统角色的创建、修改与删除，用户身份标识的生成与删除、初始口令的设置及用户信息的录入，并对标识进行唯一性检查。用户管理员是完成用户与角色授权、用户审计和应用系统数据备份，对系统进行严格的访问控制策略，添加用户角色，分派角色权限，要求用户定期更换口令，保障系统安全。安全审计员主要完成与安全有关的活动的相关信息的识别、记录、存储与分析。通过采集审计数据，分析结果。

（4）定期进行风险评估与等级保护测评。风险评估是信息安全管理的关键环节，就是对信息系统面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性评估，风险管理就是用可以接受的代价，识别、控制、减少或消除可能影响信息系统的安全风险的过程并达到安全目标与安全成本的平衡。信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作，是在中国、美国等很多国家都存在的一种信息安全领域的工作，单位重要的信息系统应该每年都要进行一次系统的等保测评，这本身就是一种动态式的信息安全管理模式。

以上只是笔者一些信息安全管理经验，实际工作中还要更加细致深入地加强防范，并且要不断进行相关人员的知识更新，尤其是近两年大数据平台、云计算的各种业务都要求用户信息集中存储与协同应用，这也带来的新的风险，这就要求我们信息安全领域的人员要不断地应对变化的信息安全形势，迎难而上。