賈建輝

中國(guó)航天二院二十三所 北京 100854

對(duì)教育科研單位信息安全管理現(xiàn)狀的問題分析與研究

賈建輝

中國(guó)航天二院二十三所 北京 100854

從教育科研單位存在信息安全管理問題進(jìn)行探討與分析，用模擬企業(yè)的方法和策略，進(jìn)行信息安全及其管理的實(shí)踐教育，以提高信息管理的安全性。

信息安全；管理；策略

隨著信息技術(shù)的發(fā)展和信息化應(yīng)用的日趨深入，信息安全建設(shè)及其應(yīng)用正在成為教育科研單位日常教育管理和科研生產(chǎn)不可缺少的工具，教育科研單位對(duì)信息安全管理的認(rèn)識(shí)程度也越來(lái)越高。

1 教育科研單位存在的信息安全管理問題

近年來(lái)人們逐步認(rèn)識(shí)到信息安全對(duì)于科研單位的重要性，有些科研單位已經(jīng)成立了相應(yīng)的“信息部門”實(shí)現(xiàn)統(tǒng)一規(guī)范的管理與信息安全教育，其目的就是為了更大限度的保障科研單位的信息安全，從安全技術(shù)和管理兩個(gè)方面來(lái)解決科研單位的信息安全問題，以此提高科研人員的信息安全管理意識(shí)和保密工作。

雖然教育科研單位已經(jīng)認(rèn)識(shí)到了信息安全和信息管理問題的重要性，并在信息安全和管理建設(shè)方面取得了一些成績(jī)，但教育科研單位內(nèi)部仍然存在著很多問題。

(1)人員缺乏完備的安全意識(shí)，對(duì)信息安全的認(rèn)識(shí)和管理水平不高；

(2)忽略了信息安全教育發(fā)展戰(zhàn)略和計(jì)劃，信息安全的教育投入不夠；

(3)信息安全管理不足，實(shí)施教育硬性條件不夠，不能有效的實(shí)施和執(zhí)行相應(yīng)的信息安全教育措施；

(4)缺乏技術(shù)深厚的信息安全專業(yè)人才進(jìn)行實(shí)踐教育；

(5)信息安全教育目標(biāo)不明確，缺乏教育管理制度，導(dǎo)致管理松散等等。

許多教育科研單位對(duì)其信息系統(tǒng)不斷增加，對(duì)教育基礎(chǔ)設(shè)施存在著依賴性，在信息系統(tǒng)運(yùn)作業(yè)務(wù)的安全風(fēng)險(xiǎn)、教育效果等問題上，缺乏有效性驗(yàn)證與評(píng)價(jià)，沒有充分利用信息安全技術(shù)的優(yōu)勢(shì)，反而當(dāng)成了管理的軀殼。

但是，現(xiàn)實(shí)中的任何信息系統(tǒng)都是一串復(fù)雜的環(huán)節(jié)，信息的安全措施必須滲透到信息系統(tǒng)的每一個(gè)部位，其中一些問題的解決方案，甚至連信息系統(tǒng)的設(shè)計(jì)人員、測(cè)試人員和使用人員都不知道。因此，信息的不安全因素總是存在的。沒有一個(gè)信息系統(tǒng)是絕對(duì)安全的，也沒有一個(gè)信息管理的方法是絕對(duì)的靈丹妙藥。

教育科研單位在認(rèn)識(shí)和教育信息系統(tǒng)安全管理的同時(shí)，應(yīng)該著重加強(qiáng)基層人員的信息安全管理實(shí)踐教育。雖然信息安全建設(shè)及其應(yīng)用不是一個(gè)能夠創(chuàng)收創(chuàng)效的平臺(tái)，但它是一個(gè)保障創(chuàng)收創(chuàng)效的平臺(tái)。教育者必須做出適合科研單位進(jìn)行教育實(shí)施的信息安全教育發(fā)展戰(zhàn)略和計(jì)劃，加強(qiáng)信息安全教育在管理實(shí)踐上的投入，嚴(yán)格有效的實(shí)施和執(zhí)行相應(yīng)的安全措施、安全策略和安全管理制度，以避免使用和管理信息系統(tǒng)時(shí)的固有風(fēng)險(xiǎn)。

原中國(guó)工程院院長(zhǎng)徐匡迪曾經(jīng)指出：“沒有安全的工程就是豆腐渣工程”。近年來(lái)，我國(guó)大型科研單位接連不斷地出現(xiàn)不同程度的泄密事件，其原因就是由于信息安全及其管理的問題而導(dǎo)致的。這些事件不僅僅是簡(jiǎn)單的信息安全性的問題，其直接后果是導(dǎo)致了巨大的國(guó)防安全問題、經(jīng)濟(jì)損失和不良的社會(huì)影響。如果說經(jīng)濟(jì)損失還能彌補(bǔ)，那么由于國(guó)防安全問題而引起的騷動(dòng)事件對(duì)整個(gè)國(guó)家造成的威脅和危機(jī)，可就不是在短時(shí)期內(nèi)能夠恢復(fù)的了。

雖然各大信息系統(tǒng)工程和信息化程度要求非常高的相關(guān)行業(yè)，也出臺(tái)了對(duì)信息安全技術(shù)產(chǎn)品的應(yīng)用標(biāo)準(zhǔn)和規(guī)范。但是，沒有一個(gè)嚴(yán)格的信息安全管理策略，又怎能保障信息真正的安全性呢？

2 用模擬企業(yè)的方法和策略，進(jìn)行信息安全及其管理的實(shí)踐教育

假設(shè)被教育者都是企業(yè)的成員，在信息管理的工作中應(yīng)用大量的信息系統(tǒng)，時(shí)間越久，其安全與保護(hù)問題就會(huì)日顯重要。沒有安全保障的信息系統(tǒng)，是絕對(duì)無(wú)法完成信息管理工作的。所以說，進(jìn)行信息安全管理的實(shí)踐教育，也必須將信息系統(tǒng)的安全與管理問題提到戰(zhàn)略性的高度來(lái)看待。

(1)國(guó)際標(biāo)準(zhǔn)化組織對(duì)信息安全提出的建議定義是“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)。保護(hù)計(jì)算機(jī)硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭受破壞、更改、泄露”。

信息安全管理教育是當(dāng)今信息社會(huì)應(yīng)當(dāng)重視的問題，同樣信息安全也涉及多方面，信息安全一般包括實(shí)體安全、運(yùn)行安全、信息安全、管理安全4個(gè)方面的內(nèi)容：實(shí)體安全也就是物理安全，包括環(huán)境安全、設(shè)備安全和介質(zhì)安全；運(yùn)行安全是指為保證計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)連續(xù)不斷地運(yùn)行所采取的一系列安全措施，包括風(fēng)險(xiǎn)分析、檢測(cè)、監(jiān)控與審計(jì)跟蹤、應(yīng)急計(jì)劃和應(yīng)急措施、計(jì)算機(jī)病毒檢測(cè)與預(yù)防等。

(2)信息安全也有廣義與狹義之分，狹義的信息安全也稱計(jì)算機(jī)網(wǎng)絡(luò)信息安全，主要是指計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件及系統(tǒng)中的信息資源受到保護(hù)，不受偶然的或者惡意的原因而造成的破壞、更改、泄露。

從廣義上說，凡是涉及信息的保密性（未經(jīng)授權(quán)，信息的內(nèi)容不能被泄露）、完整性（存儲(chǔ)在計(jì)算機(jī)上或者在網(wǎng)絡(luò)上流動(dòng)的原始信息沒有被破壞和惡意的篡改）、可用性（合法用戶提出訪問時(shí)能及時(shí)響應(yīng)）、可控性（信息處理是可以監(jiān)督和管理的）與不可否認(rèn)性（在網(wǎng)絡(luò)環(huán)境下，信息發(fā)布者不可否認(rèn)其發(fā)送行為，信息的接受者不可否認(rèn)其已經(jīng)接受信息的行為）5個(gè)方面與人、網(wǎng)絡(luò)、環(huán)境有關(guān)的技術(shù)和管理規(guī)程的有機(jī)集合都是信息安全所要研究的領(lǐng)域。

在這里，人指信息系統(tǒng)的主體，包括各類用戶、支持人員以及技術(shù)管理和行政管理人員；網(wǎng)絡(luò)則指以計(jì)算機(jī)、網(wǎng)絡(luò)互連設(shè)備、傳輸介質(zhì)及其操作系統(tǒng)、通信協(xié)議和應(yīng)用程序所構(gòu)成的物理的和邏輯的完整體系；環(huán)境則指系統(tǒng)穩(wěn)定和可靠運(yùn)行所需要的保障體系，包括建筑物、機(jī)房、動(dòng)力保障與備份以及應(yīng)急與恢復(fù)系統(tǒng)。

信息安全的最終目標(biāo)是：在計(jì)算機(jī)系統(tǒng)提供的信息處理功能的范圍內(nèi)，通過人力資源和技術(shù)資源進(jìn)行信息保護(hù)和提供有效信息服務(wù)。

(3)信息安全不僅是一個(gè)技術(shù)問題，在很大程度上表現(xiàn)為管理問題，如果說能不能對(duì)信息實(shí)現(xiàn)有效的管理與控制是信息安全的根本問題之一，那么進(jìn)行信息安全管理實(shí)踐教育就是保障對(duì)信息實(shí)現(xiàn)有效的管理與控制的有效途徑之一。

信息安全管理是對(duì)信息系統(tǒng)的生命周期全過程實(shí)施符合安全等級(jí)責(zé)任要求的科學(xué)管理，它包括：落實(shí)安全組織及安全管理人員，明確角色與職責(zé)；制定安全規(guī)劃；開發(fā)安全策略；實(shí)施風(fēng)險(xiǎn)管理；制定業(yè)務(wù)持續(xù)性計(jì)劃和災(zāi)難恢復(fù)計(jì)劃；選擇實(shí)施安全措施；保證配置、變更的正確與安全；進(jìn)行安全審計(jì)；保證維護(hù)支持；進(jìn)行監(jiān)控、檢查、處理安全事件；安全意識(shí)與安全教育；人員安全管理等等。

經(jīng)過安全管理，可以達(dá)到強(qiáng)化信息安全意識(shí)，規(guī)范信息安全行為；對(duì)關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)、維持競(jìng)爭(zhēng)優(yōu)勢(shì)；在信息系統(tǒng)受到侵襲時(shí)，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度，如果再經(jīng)過信息安全管理的實(shí)踐教育，那么對(duì)信息的管理又增加了安全的一道防線，也促使了信息安全保障體系的作用。

安全策略的內(nèi)容非常多，包括各種策略、法律法規(guī)、規(guī)章制度、管理標(biāo)準(zhǔn)等，他們都是信息安全最核心的問題，也是整個(gè)信息安全建設(shè)的依據(jù)。

但是，究竟采取的信息安全管理實(shí)踐教育是否有效呢？而解決這個(gè)問題，是需要通過結(jié)合目標(biāo)管理和信息安全管理兩方面的有效性評(píng)價(jià)來(lái)實(shí)現(xiàn)的。

所以，信息安全的管理任務(wù)，必須轉(zhuǎn)化為目標(biāo)，如果沒有目標(biāo)，這個(gè)工作必然被忽視。信息安全需要每個(gè)人的參與和管理，當(dāng)模擬的企業(yè)確定了信息安全的目標(biāo)后，必須定期對(duì)其進(jìn)行有效性評(píng)價(jià)和考核。這樣才能夠用自我控制的管理來(lái)代替受他人支配的管理，最大化的把信息安全管理實(shí)踐教育做好。

2009年10月18日，中國(guó)信息安全測(cè)評(píng)中心在北京舉行的新聞發(fā)布會(huì)上，宣布了信息安全“國(guó)家漏洞庫(kù)”正式投入運(yùn)行，并對(duì)外開展漏洞分析與風(fēng)險(xiǎn)評(píng)估服務(wù)的消息。

“國(guó)家漏洞庫(kù)”的建設(shè)是信息安全保障工作中的一項(xiàng)極為關(guān)鍵的基礎(chǔ)性和長(zhǎng)期性的工作。目前，“國(guó)家漏洞庫(kù)”已初具規(guī)模，開始為政府部門、產(chǎn)業(yè)界及社會(huì)提供信息安全漏洞分析和風(fēng)險(xiǎn)評(píng)估服務(wù)，建立的漏洞手機(jī)、分析、通報(bào)和面向應(yīng)用的工作機(jī)制，運(yùn)行一年來(lái)，收效明顯，必將極大地提高國(guó)家信息安全的威脅應(yīng)對(duì)與風(fēng)險(xiǎn)管理的能力和水平。

當(dāng)然，模擬的企業(yè)也可以建立和依托“企業(yè)漏洞庫(kù)”，利用數(shù)據(jù)資源和軟件代碼等方面的優(yōu)勢(shì)，進(jìn)行信息安全產(chǎn)業(yè)發(fā)展，進(jìn)行信息安全產(chǎn)品“自主原創(chuàng)”的測(cè)評(píng)業(yè)務(wù)，在信息安全領(lǐng)域積極落實(shí)國(guó)家自主創(chuàng)新政策，確保其信息安全實(shí)現(xiàn)自主可控的目標(biāo)。無(wú)論對(duì)于個(gè)人、科研單位、國(guó)家，還是信息安全管理都是非常重要的。它既是行使和保障合法權(quán)益的基本手段，也是模擬的企業(yè)正常運(yùn)行的先決條件，信息時(shí)代的企業(yè)正常運(yùn)作是離不開信息安全的，要保持可持續(xù)的發(fā)展，信息安全管理教育問題就不容忽視。

本文只著重強(qiáng)調(diào)了信息安全及其管理的模擬企業(yè)實(shí)踐教育的層面。當(dāng)然，信息系統(tǒng)安全的風(fēng)險(xiǎn)、病毒防護(hù)，人員管理，應(yīng)用安全策略等也都是對(duì)信息的安全性保護(hù)。

3 結(jié)束語(yǔ)

總而言之，信息安全技術(shù)的不斷發(fā)展，維護(hù)信息安全的方法也在不斷更新。對(duì)于信息安全的管理，我們必須綜合多方因素，慎重考慮，盡可能提供全面的、多方位的信息安全策略和信息安全管理與教育，切實(shí)滿足對(duì)信息安全保障體系的需求，經(jīng)過合理的配置與管理將各種信息安全風(fēng)險(xiǎn)降低到最低，發(fā)揮最高的效率，保障科研生產(chǎn)順利進(jìn)行，提高信息管理的安全性，促進(jìn)社會(huì)的和諧發(fā)展。

[1]張廣欽.信息管理教程[M].北京:北京大學(xué)出版社,2005

[2]徐茂智.信息安全概論[M].北京:人民郵電出版社, 2007

Abstract: From the education scientific research unit exist information safety control question conducted to investigate and analyze, simulation enterprise's method and the strategy, carries on the information security and the management practice education, enhances the information management the security.

Key words: information security; management; strategy

On the education scientif i c research units of information security management status's problem analysis and research

Jia Jianhui The 23rd research station of the second research institute of The CASIC company，Beijing, 100854，China

2010-10-31

賈建輝，本科，助理工程師。