徐洪峰 陶志勇

摘? 要：隨著信息技術(shù)的發(fā)展，信息安全形勢日益嚴(yán)峻，如何做好信息安全的保障工作，是各行各業(yè)的重要課題。技術(shù)和管理是信息安全研究的兩個方向，所謂“三分技術(shù)，七分管理”，單靠技術(shù)難以保障信息的安全，重點還是在管理。文章陳述了信息安全的內(nèi)涵，分析了國內(nèi)外信息安全的研究現(xiàn)狀，提出了從安全意識提升等5個方面構(gòu)建企業(yè)信息安全管理體系，確保企業(yè)的信息安全得到有效保障。

關(guān)鍵詞：信息安全;信息安全管理;安全漏洞掃描;網(wǎng)絡(luò)安全

中圖分類號：TP309? ? ? 文獻(xiàn)標(biāo)識碼：A 文章編號：2096-4706（2020）17-0139-04

Abstract：With the development of information technology，the information security situation is increasingly serious. How to improve the information security is an important topic in all walks of life. Technology and management are the two directions of information security research，just as the saying goes：“30% technology，70% management”，technology alone is difficult to guarantee the security of information，and the focus is still on management. This paper presented the connotation of information security，analyzed the current research status on information security at home and abroad，and puts forward the construction of information security management system of enterprises from five aspects，such as the promotion of security awareness，to ensure the effective protection of enterprise information security.

Keywords：information security;information security management;security vulnerability scanning;network security

0? 引? 言

20世紀(jì)中葉，在信息論、控制論、計算理論的支撐和指導(dǎo)下，信息科學(xué)技術(shù)得到了突飛猛進(jìn)的發(fā)展。當(dāng)前，信息已成為最具活力的生產(chǎn)要素和最重要的戰(zhàn)略資源，以網(wǎng)絡(luò)為核心的信息系統(tǒng)成為國家的重要基礎(chǔ)設(shè)施。

信息安全是信息的影子，哪里有信息，哪里就有信息安全問題[1]。信息技術(shù)的不斷發(fā)展，使得信息安全問題也日益突顯，該問題已對政治、經(jīng)濟(jì)、軍事等各方面造成嚴(yán)重的危機(jī)。2016年美國總統(tǒng)大選系統(tǒng)被俄羅斯黑客入侵，大選結(jié)果受到干擾;2017年5月12日全球爆發(fā)WannaCry勒索病毒，至少150個國家、30萬用戶中招，造成損失達(dá)80億美元;美國在兩次海灣戰(zhàn)爭中實施了信息戰(zhàn)。由此可見，信息安全已成為影響國家安全、社會穩(wěn)定和經(jīng)濟(jì)發(fā)展的決定性因素之一，其也是當(dāng)前世人關(guān)注的社會問題和信息科學(xué)與技術(shù)領(lǐng)域的研究熱點。

國際上對信息安全的研究起步較早，投入力度大，已取得了許多成果。我國也有一批專門從事信息安全基礎(chǔ)研究、技術(shù)開發(fā)與技術(shù)服務(wù)工作的研究機(jī)構(gòu)與高科技企業(yè)，形成了中國信息安全產(chǎn)業(yè)的雛形。2014年2月27日，國家成立了中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，習(xí)近平總書記親自擔(dān)任組長，扎實推進(jìn)網(wǎng)絡(luò)安全和信息化工作，網(wǎng)絡(luò)信息安全進(jìn)入一個新的發(fā)展階段。

筆者從事網(wǎng)絡(luò)與信息安全教學(xué)和研究工作，也為一些企業(yè)提供信息安全相關(guān)的保障服務(wù)，本文根據(jù)自身經(jīng)歷分享心得，希望能起到拋磚引玉的作用。

1? 信息安全的內(nèi)涵

信息作為一種資源，具有普遍性、共享性、多效應(yīng)性等特點，對于人類有著特別重要的意義，因此信息安全的保障問題備受社會的關(guān)注。信息安全的實踐幾千年前就已出現(xiàn)，如手工階段密碼技術(shù)應(yīng)用[2]，20世紀(jì)50年代，科技文獻(xiàn)中開始出現(xiàn)“信息安全”一詞[3]，時至今日，信息安全的定義仍沒有統(tǒng)一的標(biāo)準(zhǔn)，但人們對信息安全的理解大致相同。美國將信息安全的宣言寫入法典，定義了信息安全，指保護(hù)信息和信息系統(tǒng)免受未經(jīng)授權(quán)的訪問、使用、泄露、修改或破壞，以確保信息的完整性、機(jī)密性和有效性[4]。在國內(nèi)，比較認(rèn)可的信息安全定義是指信息系統(tǒng)（包括硬件、軟件、數(shù)據(jù)、人、物理環(huán)境及其基礎(chǔ)設(shè)施）受到保護(hù)，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運行，信息服務(wù)不中斷，最終實現(xiàn)業(yè)務(wù)的連續(xù)性。信息安全主要包括信息設(shè)備安全、數(shù)據(jù)安全、內(nèi)容安全和行為安全4個方面[5]，在不是很嚴(yán)格的情況下，信息安全也指網(wǎng)絡(luò)安全。

2? 信息安全研究現(xiàn)狀

信息安全關(guān)乎國家興亡、社會穩(wěn)定、經(jīng)濟(jì)發(fā)展、人民安居樂業(yè)，其重要性不言而喻。信息安全是一個新興的領(lǐng)域，但已有大量專家學(xué)者從事該研究，且成果顯著。歸結(jié)起來，當(dāng)前信息安全的研究集中在技術(shù)和管理兩個層面。

2.1? 信息安全技術(shù)研究

從理論上來看，技術(shù)越強(qiáng)，越能擺脫對國外技術(shù)的依賴，掌握話語權(quán)。擁有先進(jìn)的技術(shù)，能防范風(fēng)險、抵御攻擊，避免信息泄露，保障信息安全。相當(dāng)一部分專家學(xué)者從事信息安全相關(guān)技術(shù)的研究，如從技術(shù)層面實現(xiàn)信息隱藏、信息加密、數(shù)字簽名、身份認(rèn)證、防火墻、入侵檢測、入侵防御等等[5-7]。這些研究從技術(shù)的角度出發(fā)，以達(dá)到保證信息的完整性、機(jī)密性、有效性、可控性和可審計性的目的。

2.2? 信息安全管理研究

英國標(biāo)準(zhǔn)協(xié)會（BSI）于1993年立項、1995年出版了BS7799標(biāo)準(zhǔn)[8]，作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的參考基準(zhǔn)，后經(jīng)國際標(biāo)準(zhǔn)化組織（ISO）修改為國際標(biāo)準(zhǔn)，其目的在于為信息安全管理提供建議，旨在為一個機(jī)構(gòu)提供用來制定安全標(biāo)準(zhǔn)、實施有效的安全管理時的通用要素，并使跨機(jī)構(gòu)的交易得到互信。不少專家學(xué)者及團(tuán)隊在國際標(biāo)準(zhǔn)的基礎(chǔ)上，研究政府、企業(yè)、事業(yè)單位的信息安全管理體系[9]，通過管理確保信息的安全。

隨著云計算、物聯(lián)網(wǎng)等技術(shù)的發(fā)展，云安全、物聯(lián)網(wǎng)安全的概念也孕育而出，這其實是信息安全在云計算和物聯(lián)網(wǎng)領(lǐng)域中的具體體現(xiàn)，研究內(nèi)容也屬于技術(shù)和管理兩個方面。

3? 企業(yè)信息安全管理體系構(gòu)建

所謂“三分技術(shù)，七分管理”，技術(shù)是關(guān)鍵，管理是核心。因此，要保證信息安全，技術(shù)不可忽視，管理更要加強(qiáng)。根據(jù)筆者的切身經(jīng)歷，很多企業(yè)在信息安全方面存在諸多問題，如很多員工將設(shè)備密碼設(shè)置為簡單的“1”“123”等弱密碼，比較復(fù)雜的密碼卻用紙條貼在顯示屏上，他們覺得信息安全工作增加了麻煩，妨礙了正常工作;安全管理員工作在幕后，得不到領(lǐng)導(dǎo)的重視;有些企業(yè)信息安全技術(shù)力量薄弱，滿足不了基本的防御工作需要;企業(yè)缺乏考核機(jī)制，存在的信息安全問題得不到及時有效的處理。根據(jù)上述問題，從安全意識提升、網(wǎng)絡(luò)安全掃描、加強(qiáng)技術(shù)培訓(xùn)、加強(qiáng)制度管理和成立領(lǐng)導(dǎo)小組五個方面考慮構(gòu)建信息安全管理體系，如圖1所示。

3.1? 安全意識提升

意識具有能動性，正確的意識能夠指導(dǎo)人們有效地開展實踐活動，促進(jìn)客觀事物的發(fā)展。加強(qiáng)宣傳，提升員工信息安全意識，充分利用主觀能動性，使員工自覺地關(guān)注信息安全，養(yǎng)成良好的生活和工作習(xí)慣。

信息安全管理員可以借助微信、短信、郵件等平臺和工具，提醒全體員工“人走電腦要鎖定，賬戶密碼需加強(qiáng);文件儲存要加密，資料備份莫忘記”，提升員工預(yù)防信息泄露和破壞的意識。2017年WannaCry勒索病毒等事件對社會和經(jīng)濟(jì)造成了巨大的無法挽回的損失，信息安全管理員應(yīng)該及時向全體員工分享諸如此類的病毒入侵等信息安全案例、信息安全知識及防護(hù)措施，提醒大家不能掉以輕心、需時刻保持警惕;同時需要大家支持信息安全管理人員的工作，配合他們共同保障企業(yè)的信息安全。

3.2? 網(wǎng)絡(luò)安全掃描

網(wǎng)絡(luò)安全掃描是一種基于Internet遠(yuǎn)程檢測目標(biāo)網(wǎng)絡(luò)或本地主機(jī)安全性和脆弱性的技術(shù)。借助于第三方安全掃描工具和系統(tǒng)，如網(wǎng)絡(luò)嗅探（Network Mapper，Nmap）[10]、心臟出血漏洞檢測（CrowdStrike Heartbleed Scanner）等工具定期對全網(wǎng)進(jìn)行安全掃描，以發(fā)現(xiàn)終端設(shè)備存在的弱口令、Web服務(wù)器開放的端口和服務(wù)、操作系統(tǒng)和應(yīng)用軟件的版本及呈現(xiàn)出的安全漏洞。對存在的問題，按“誰主管誰負(fù)責(zé)、誰運營誰負(fù)責(zé)、誰使用誰負(fù)責(zé)、誰接入誰負(fù)責(zé)”的原則，通過郵件、電話通知相關(guān)部門、人員進(jìn)行處理。

在信息化趨勢的驅(qū)動下，企業(yè)建設(shè)的信息系統(tǒng)結(jié)構(gòu)復(fù)雜、設(shè)備種類較多，為方便管理，將設(shè)備按服務(wù)器、存儲設(shè)備、核心網(wǎng)絡(luò)設(shè)備、一般網(wǎng)絡(luò)設(shè)備和終端設(shè)備分類，信息安全管理員應(yīng)定期對系統(tǒng)的漏洞、弱口令、病毒進(jìn)行掃描，對存在有安全隱患的設(shè)備及時通知，督促具體部門按要求完成整改工作;并通過復(fù)核機(jī)制，檢查安全漏洞整改結(jié)果，確保安全漏洞真正得到有效修復(fù)。如圖2所示，使用CrowdStrike Heartbleed Scanner對網(wǎng)段10.155.225.48、10.155.227.180和10.155.227.181三臺主機(jī)的5091和5826端口進(jìn)行掃描，發(fā)現(xiàn)10.155.225.48和10.155.227.180分別開放了5091和5826端口，存在OpenSSL TLS心跳擴(kuò)展協(xié)議包遠(yuǎn)程信息泄露漏洞。

現(xiàn)實情況下，企業(yè)信息安全技術(shù)力量薄弱，對于管理人員使用各種工具的能力，需要通過適當(dāng)?shù)呐嘤?xùn)加以提升。

3.3? 加強(qiáng)技術(shù)培訓(xùn)

培訓(xùn)是企業(yè)提高員工素質(zhì)并增強(qiáng)企業(yè)核心競爭力的重要手段。對于企業(yè)結(jié)構(gòu)龐大、人員眾多的企業(yè)，負(fù)責(zé)信息安全的員工可以劃分成不同的層級，各司其職，共同完成企業(yè)的信息安全工作。當(dāng)然，對不同層級的信息安全管理員，要區(qū)別對待，組織不同內(nèi)容、不同深度的培訓(xùn)。公司層面的信息安全管理人員學(xué)歷高、基礎(chǔ)好，可以安排系統(tǒng)的專業(yè)的培訓(xùn)，學(xué)習(xí)新技術(shù)、熟悉新產(chǎn)品，如防火墻、入侵檢測系統(tǒng)（IDS）、入侵防御系統(tǒng)（IPS）等設(shè)備或系統(tǒng)的部署和配置，并能將新技術(shù)、新產(chǎn)品應(yīng)用到企業(yè)實際系統(tǒng)當(dāng)中，從宏觀層面建設(shè)安全的信息安全防護(hù)體系，達(dá)到保障信息安全的效果;對于部門層面的信息安全管理人員，不需要過于專業(yè)和深入的培訓(xùn)，可以通過視頻會議講授一些基礎(chǔ)的操作技術(shù)，節(jié)約員工時間和企業(yè)成本，使他們在實際工作中具備系統(tǒng)漏洞掃描、終端安全加固等的能力即可，從微觀層面避免給外界攻擊、入侵提供可乘之機(jī)，如學(xué)習(xí)使用簡單的Nmap等掃描工具，對操作系統(tǒng)進(jìn)行端口禁用等等。

3.4? 加強(qiáng)制度管理

無規(guī)矩不成方圓，制度的制定為管理工作提供有效的保障。信息安全制度有利于規(guī)范網(wǎng)絡(luò)信息安全管理工作，降低安全風(fēng)險，提升防護(hù)能力，實現(xiàn)網(wǎng)絡(luò)信息安全管理的可知、可控、可管理。明確信息安全的重要性，規(guī)定維護(hù)人員的責(zé)任和義務(wù)，規(guī)范安全管理原則，做到各項生產(chǎn)環(huán)節(jié)嚴(yán)格按照信息安全管理辦法執(zhí)行，以保障信息安全為前提，開展各項生產(chǎn)工作。如常態(tài)化信息安全巡查工作，定時進(jìn)行網(wǎng)絡(luò)信息系統(tǒng)安全自查，建立應(yīng)急突發(fā)事故應(yīng)急機(jī)制，確保在最短的時間內(nèi)解決問題，保持網(wǎng)絡(luò)暢通。通信網(wǎng)絡(luò)的特殊性，決定了信息安全是一個動態(tài)的防護(hù)過程，要做好信息安全工作的日常監(jiān)督管理，形成良好的監(jiān)督管理模式，促進(jìn)信息安全工作貫穿于“事前預(yù)防、事中控制、事后處理”過程。

沒有制度的約束，廣大員工不支持、不配合、甚至不理會，安全管理員也就沒有動力和激情甚至不作為，安全管理工作自然不能落地。筆者所接觸的企業(yè)基本如此，弱密碼和密碼貼在顯示屏上的問題反復(fù)出現(xiàn)，可謂屢教不改。事實證明，制定管理制度，如通過績效考核機(jī)制強(qiáng)制員工各司其職，信息安全管理工作開展起來就更為順利。

3.5? 成立領(lǐng)導(dǎo)小組

組織建設(shè)的核心是團(tuán)隊的建設(shè)，包括明確團(tuán)隊的領(lǐng)導(dǎo)者、管理者、執(zhí)行者，確定各級組織的職責(zé)和分工。讓各員工在團(tuán)隊中各執(zhí)其責(zé)，做好各自工作，提高團(tuán)隊的凝聚力和戰(zhàn)斗力，以此力量指導(dǎo)信息安全管理工作。

某公司分級成立信息安全領(lǐng)導(dǎo)小組，借助領(lǐng)導(dǎo)的響應(yīng)力和號召力，以總經(jīng)理為組長，設(shè)立信息安全辦公室，配備信息安全管理人員和技術(shù)人員，組織搭建公司信息安全“保護(hù)網(wǎng)”，開展信息安全各項管理及生產(chǎn)職能工作。每次績效會上，該企業(yè)相關(guān)領(lǐng)導(dǎo)都會通報信息安全工作情況，強(qiáng)調(diào)信息安全的重要性，進(jìn)一步提升員工的信息安全意識。受領(lǐng)導(dǎo)影響，信息安全工作在全企業(yè)得到貫徹落實。

4? 結(jié)? 論

企業(yè)為了生存和追求利益，會有或多或少的商業(yè)機(jī)密，還會有以各種方式獲取的消費者信息，信息安全管理工作必須落到實處。企業(yè)要履行好社會責(zé)任，落實好信息安全的保障工作，努力維護(hù)國家安全、社會穩(wěn)定和客戶合法權(quán)益。當(dāng)然，信息安全管理工作是一個長期的過程，需不斷研究和探索符合企業(yè)自身發(fā)展的新方法、新思路。

參考文獻(xiàn)：

[1] 張煥國，韓文報，來學(xué)嘉，等.網(wǎng)絡(luò)空間安全綜述 [J].中國科學(xué)：信息科學(xué)，2016，46（2）：125-164.

[2] 鄭東，趙慶蘭，張應(yīng)輝.密碼學(xué)綜述 [J].西安郵電大學(xué)學(xué)報，2013，18（6）：1-10.

[3] 王世偉.論信息安全、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)空間安全 [J].中國圖書館學(xué)報，2015（2）：72-84.

[4] Legal Information Institute. 44 U.S. Code § 3552. Definitions [EB/OL].（2014-12-18）.https：//www.law.cornell.edu/uscode/text/44/ 3552.

[5] 沈昌祥，張煥國，馮登國，等.信息安全綜述 [J].中國科學(xué)（E輯：信息科學(xué)），2007（2）：129-150.

[6] 蹇詩婕，盧志剛，杜丹，等.網(wǎng)絡(luò)入侵檢測技術(shù)綜述 [J].信息安全學(xué)報，2020，5（4）：96-122.

[7] 韋小剛.基于nDPI的輕量級入侵檢測與防御系統(tǒng)的設(shè)計與實現(xiàn) [J].計算機(jī)應(yīng)用與軟件，2019，36（8）：317-319+333.

[8] 張敏情，周能，劉蒙蒙，等.同態(tài)加密域可逆信息隱藏技術(shù)研究 [J].信息網(wǎng)絡(luò)安全，2020，20（8）：25-36.

[9] 秦天保，方芳.基于BS7799構(gòu)建企業(yè)信息安全管理體系 [J].情報雜志，2004（2）：18-20.

[10] 曹雪峰，尚宇輝，傅冬穎.基于虛擬網(wǎng)絡(luò)的入侵防御系統(tǒng)實驗設(shè)計與實現(xiàn) [J].實驗技術(shù)與管理，2017（5）：109-114.

作者簡介：徐洪峰（1985—），男，漢族，湖南耒陽人，網(wǎng)絡(luò)工程師，信息安全工程師，碩士研究生，研究方向：計算機(jī)網(wǎng)絡(luò)、網(wǎng)絡(luò)與信息安全;陶志勇（1980—），男，漢族，湖南寧鄉(xiāng)人，副教授，高級工程師，碩士，主要研究方向：網(wǎng)絡(luò)通信、企業(yè)信息化、教學(xué)改革。