论信息安全的风险防范和管理措施.docxVIP

论信息安全的风险防范与管措施

本文结合各企事业单位信息安全管现状与本单位的信息安全管实践，重点论述信息安全风险防范措施以及管手段在信息安全建设中的重要性。

随着大数据时代的到来，互联网业务的飞速发展，人们对信息和信息系统依赖程日加深，同时，信

息系统承载业务的风险上升，每天会发生入侵、数据泄、服务瘫痪和黑客攻击等安全事件。因此，信息安全已成为信息系统建设中急需解决的问题，人们对信息安全的需求前所未有地高涨起来。

一、信息安全建设中存在的问题

一直以来，许多企事业、机关政府在信息安全建设中，存在以下 2个方面的问题。

存在重技术轻管， 重产品功能轻安全管的问题。信息安全技术和产品的应用，在一定程上可以解决部分信息安全问题，但却是简单的产品堆砌，即使采购和使用足够先进、数充足的信息安全产品，仍然无法避免一些信息安全事件的发生。如，在网络安全控制方面，如果在机房中部署防火

墙也配备入侵检测设备， 但配置却是 全通 策，

那么防火墙及检测设备形同虚设。因此，安全技术需

要有完备的安全管来支持，否则安全技术发挥其应有的作用。

欠缺信息安全管体系的建设。 有相当一部分单位的最高管层对信息资产所面临威胁的严重性认识足，缺乏信息安全意识及政策方针，以至于信息安全管制完善，安全法法规意识淡薄，防

范安全风险的教育与培训缺失，或者即使有制也执

。大部分单位现有的安全管模式仍是传统的

被动的静态的管方法，缺少未雨绸缪的预见性，是建在安全风险评估基础上的动态的系统管。

二、信息安全管的含义与作用

信息安全管是指整个信息安全体系中，除纯

粹的技术手段以外，为完成一定的信息安全目标，遵循安全策，按照规定的程序，运用恰当的方法而进的规划、组织、指导、协调、控制等活动，既经过管而解决一些安全隐患的手段，信息安全管是信

息安全技术的重要补充。

信息安全管包括三个方面的内容，一是在信息安全问题的解决过程中，针对信息安全技术管内容；二是信息安全问题的解决过程中需要对人进约束和规范的管，如各 ?N规章制、权限控制等内容；三

是在信息安全问题解决过程中，涉及技术和人员的综

合性管，如信息安全解决的总体规划的制定，信息安全策的制定等内容。这些内容共同构成信息安全的防护体系，信息安全管解决宏观问题，核心思想是信息安全风险的管控制，对象是包括人员在内的种类信息相关资产，通过对信息资产的风险管来确保实现安全目标，使这些管对象能够为组织的业务提供保障。

三、信息安全风险防范

信息安全是一项无论做到何种防范，会出现纰的领域，但却可以通过管和技术产品等多方面手

段的提高而到有效的风险防范，其实质就是管住进口与出口。针对信息系统而言，威胁的来源可以分为内部威胁和外部威胁。

内部威胁重点管控的对象主要为办公主机和服务器。具体可以采取如下措施：1、禁止外部设备，尤其是USB设备及WIFI的接入。通过WINDOWS的组合策来实现。2、定期巡检。内部的人为威胁危害尤其严重，人为威胁通过攻击系统的要害或弱点，使得网络

信息的保密性、完整性、可靠性、可控性和可用性等安全属性受到损害，造成可估的经济和政治上的

损失。

外部威胁主要来自于网络威胁，种类很多，防范

需要系统管。首先要部署管控设备，设计可靠的网络结构，将服务器网络、办公网络区分开，同时将IP地址与MAC地址绑定；其次要将网络为分组，根据同组别的特性设置同的为规则；另外要限制

必要的软件和通信协议，还要定期审核为日志。四、信息安全管措施

完善组织机构。一般来讲，应该是一个单位的核心管层来作为安全管负责人，要有权威，负

责人要非常清楚运作程，于风险 /事故的及时处和程的改进。可以通过组建信息化领导小组来实现，明确指导方针与职责分工，领导小组的主要责任在于制定和调整相关安全策，并监督和检查策的执

情况。

完善制和程管。 从企事业的内部管来讲，为应对上述的主要风险，从笔者的实际经验出发，首先需要有完善的制和程，应该完善以下几

个主要制：设备管制、网络管制、网络权限申请程、设备申请程、内网的安全管策、数据管制、用户管制、变制、运维管

记录等。

实现三员分离。在笔者遇到的绝大多数中小

企业中，信息安全基本处于无人关心的状态，最多也

就只是配备1名网管的状态，或者管人员水平无法满足需求。三员分离设计主要是对管员的权限进

控制，设置系统管员、用户管员和安全审计员 3

个角色，采用最小授权原则对系统三员进系统权限赋予，使三者相互间制约。系统管员负责根据用户申请完成系统角色的创建、修改与删除，用户身份标识的生成与删除、初始口的设置及用户信息的录入，并对标识进唯一性检查。用户管员是完成用户与

角色授权、用户审计和应用系统数据备份，对系统进严格的访问控制策，添加用户角色，分派角色权

限，要