信息系统安全研究

信息系统安全研究

随着信息技术的发展与广泛应用，信息安全的范畴在不断地扩大延伸，从开始的信息保密发展到信息的完整性、可用性、可控性和不可否认性，进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术．信息安全是一个综合又交叉学科，与其它学科相比，信息安全的研究更强调自主性和创新性，自主性可以避免“陷门”，体现国家主权；而创新性可以抵抗各种攻击，适应技术发展的需求。

1 工作单位管理信息系统的安全性现狀及存在问题

1.1安全系统定义及作用

计算机系统也称计算机信息系统，是由计算机及其相关的和配套的设备、设施(含网络)构成的，并按一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。是以战略择优、提高效率效益、帮助决策、控制、基层运作的集成化的人机系统。

计算机信息安全中的“安全”一词是指将服务与资源的脆弱性降到最低限度，脆弱性是指计算机系统的任何弱点。国际标准化组织将“计算机安全”定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。”此概念偏重于静态信息保护。也有人将“计算机安全”定义为：“计算机的硬件、软件和数据受到保护，不因偶然和恶意的原因而遭到破坏、更改和泄露，系统连续正常运行。”该定义着重于动态意义描述。

随着计算机在各领域的大规模应用，计算机系统全面管理着的诸多重要信息，信息处理系统在计算机网络的支持下的得到了迅速的发展，因此，别有目的的人对他们认为有价值的计算机系统做为他们的攻击目标，计算机系统性能可靠安全成为评估计算机系统安全的重要指标，也成为各个管理人员关注的重要问题。

1.2信息安全管理现狀及存在问题

我国信息化程度由于地区差异的原因水平极不平衡。沿海地区观念先进、经济发达、对外交流畅通，信息化进程较快，基础设施建设、电子商务的发展及认知度等方面都明显好于其他地区，其次是行业差异明显。第三是大中小单位差异明显。

2009年国家某权威机构开展的一项信息安全专题抽查调查表明：59%的单位发生过信息安全事件。造成此现狀的主要原因为安全防范意识薄弱和安全管理制度落实不到位。未及时修补或防范软件有漏洞占29％，因登录密码过简单不及时修改的占18％。此项调查中，近年来单位对信息网络安全管理工作的重视程度普遍提高，有专、兼职的安全管理人员占82%；成立单位安全组织的占13%；单位聘用信息安全服务提供专业化的安全服务有2%；普遍存在用户安全观念薄弱、安全管理员缺乏培训、安全经费投入不足和安全产品不能满足要求等问题，表明目前安全管理水平和社会化服务的程度还比较低。

综上主要为(1)认识不足。多数管理层认识不到信息资产所面临的严重威胁，缺乏安全意识与明确的信息安全政策方针、组织实施。(2) 轻视安全措施的管理，重视硬件的安全技术。(3)缺乏系统安全管理的前瞻性思想。只顾眼前出现问题解决问题，缺少在安全风险评估基础上的动态发展的思维管理方式。

1.3信息安全对策

管理信息系统安全建设是一项系统工程，安全本身含义是多样化的。内部存在着诸多方面影响信息安全的因素。为了达到的管理信息的最大可能安全，必须在技术基础之上加入管理作用。借用国际上先进信息安全管理观念，制订发展战略和计划是发达国家比较先进的作法，加强信息安全立法，实现统一标准和规范管理，步入标准化与系统化管理模式。针对存在的问题，可从以下几个方面来进一步加强食业管理信息系统安全建设。

1.3.1 行业要求

机房中心周围 100米内没有危险建筑，温度、湿度和洁净度都有具体要求；设有防火、防水、防盗、防雷和防静电设施，有监控系统；有备用电源等。

1.3.2 网络通信安全

通信设备场所设有标志；重要的通信线路及通信控制装置有备份；有加密措施；网络运行狀态应有安全审计跟踪措施；网络系统有访问措施和有工作站身份识别措施。

1.3.3 软件与信息安全

操作系统及数据库要有访问控制措施；应用软件、系统信息能防止恶意攻击和非法存取；对数据库及系统狀态要有监控、防护措施。

1.3.4 管理组织于制度安全

有专门的安全防范组织和计算机安全员；有健全的安全管理规章制度、有详尽的工作手册和守则。

2安全技术的对应使用

计算机硬件及其运行环境是计算机网络信息系统运行的基础，它们的安全直接影响着网络信息的安全，计算机硬件安全是所有单机计算机系统和计算机网络系统安全的基础，所以要采取硬件访问控制、文件加密、防复制技术、防电磁泄露等技术，对计算机硬件进行保护。环境对计算机的影响也非常大，主要有温度、湿度、灰尘、腐蚀、电气与电磁干扰等。所以，要遵循国家对计算机机房设计标准《计算站场地技术要求》

1）网络安全包含互联网接入安全、局域网接入安全等内容，可采用防火墙、VPN、入侵检测、网络扫描和用户管理等安全技术。

2）主机安全包含服务器安全、桌面安全和邮件系统安全等内容，可采用安全加固、主机扫描和病毒防御等技术。

3）应用系统的安全性可采用VPN和加密。

4）数据安全方面，可以基于网络的数据备份和恢复系统，通过可靠先进的技术提供安全，自动和高效的数据备份和管理解决方案，接触关键数据安全问题。

5）对包括安全事件、安全策略和安全事故的管理可通过事件和策略管理安全技术实现。

6）对一些未知内容则可以通过认证权限(Certificate Authority)。

3结语

随着信息化建设和信息技术的普及和发展，要想在不断竞争的市场环境及信息安全中处于有利之地，就要对网络及计算机信息系统的安全给予足够的重视。信息化安全问题是一项系统工程，因此，仅仅提供一个安全问题解决方案是不能满足需求的，所以在计算机硬件与环境、操作系统、网络、数据库和应用系统等方面，应制定正确方法和采取适当的安全策略和安全机制，建设高可用性网络，部署安全防护系统，建立安全保障体系，保证安全体系处于应有的健康狀态。