1电子信息安全管理概述
1.1电子信息安全管理概念
从当前经济社会发展情况来看,信息安全问题主要来源于信息技术,随着信息技术在现代经济、社会生活中应用范围进一步扩大,其对经济、社会发展的影响也是十分明显的。人们很早就已经开始了对电子信息安全的研究,但从研究结果来看,单独依靠技术手段是难以实现电子信息安全管理的。例如,在当前电脑防护中,防火墙、网络安全控制系统被大范围使用,但电子信息安全现象依然屡见不鲜,对技术人员而言,为获得更好的电子信息安全管理效果,需要重点考虑防火墙安全策略设计以及其物理保护控制问题,通过适当的程序支持来充分发挥信息系统作用。总体而言,信息安全管理=信息安全技术+信息安全管理支持。
1.2电子信息安全管理模型分析
在当前电子信息安全管理模型设置中,主要坚持传统PDCA模式如图1所示进行优化,其具体内容为:①P(策划):根据组织业务运足要求与相关法律,确定本次电子信息安全管理的范围与要求,并通过相应的安全风险评估,确定控制目标与方式,并明确业务持续性计划。②D(实施):在安全管理实施过程中,技术人员根据既定的组织计划对所选目标进行安全控制。③C(检查):根据质量控制目标与法律法规要求,监视、验证安全管理过程与信息系统安全系数,及时总结安全现象并收集其中参数变化信息。④A(行动):根据检查结果,分析安全管理措施的有效性,并持续改进。
2电子信息安全管理风险评估
2.1风险评估概念及模型
2.1.1风险评估概念
风险评估的核心就是对风险源的分析,在电子信息安全管理中,风险评估的作用十分明显。以企业为例,企业电子信息安全问题表现是多方面的,并且相互之间的作用、联系各不相同,若不能正确认识各个安全问题对企业电子信息安全问题的影响,将会对企业造成大量损伤。而在进行风险评估后,所有影响企业电子信息安全的要素都将被罗列出来,并根据本企业的实际情况、类似企业情况等,判断易诱发电子信息安全问题的要素,确保后续电子信息安全管理的科学性。
2.1.2风险评估模型
风险评估作为一个系统性工程,其具备相应的理论基础,并能根据相关理论对风险进行评价,常见的原理形式主要表现为:大数定律、惯性原理、统计推断原理等。当前在风险评估模型设计中,已经被研发出很多成熟的模型,包括人们所熟知的基于时间的PDR模型、动态安全APPDER模型等。
2.2风险计算模型
在确定其风险内容后,要对其风险值进行计算。本文结合威胁识别的相关内容,确定其计算模型为:R=f(AWT)式中:R代表风险;A代表资产;W代表脆薄弱点;T代表目标主体所面临的风险现象。
3电子信息安全管理技术分析
3.1技术维
技术维的核心就是进一步强化技术手段的安全保障作用,其所涵盖的内容主要包括计算机系统安全、网络安全等。
3.1.1计算机系统安全
(1)硬件安全。在电子信息安全管理中,硬件安全主要处理设备故障对系统安全造成的影响,建立容错系统是硬件安全的关键。采用双机容错模式,两台计算机上设置相同的系统,分别设置两个服务器处理系统运行,保证在某台计算机出现故障后,另一台计算机能有效承担所有工作。同时,要针对系统重要运行设备设置电源,必要时可以对整个机房建立单独供电室,并以多种线路的方式提供电源。(2)软件安全。系统设置:以C++语言编写设备多串口控制驱动,并通过Java中的JNI技术显示系统调用。在条件允许情况下,在后台数据库建设中以Oracle技术实现系统构造,并通过传统的数据库建立模型进行构建,该技术的要点为:①在主程序中建设数据库,并实现数据库的链接;②通过SQL语言操作获数据,并根据既定的操作要求进行数据处理;③链接数据库。在经过上述三个环节处理后,即可建立一次连接数据库。但要注意的是,按照上述步骤建立的数据库只能接受低频次的操作要求,一旦频次过高,系统所面临的运行压力增大,最终影响系统运行效果。安全管理:在软件安全管理中,主要通过权限认证进行角色访问控制,以企业为例,对其安全管理内容进行确定。①角色分配:建立用户管理模块,该模块主要具备用户信息增加、删除、修改等功能,并建立用户管理员与一般用户。在系统功能实现中,将功能代码布添加至管理角色权限中,并保存操作数据;创建用户账号,使用户登录系统能浏览器权限内部的内容。②加入身份信息:系统登录过程中先查询相关用户是否存在,若提示用户存在,则按照其权限为其提供信息,并统计员工权限。
3.1.2网络控制措施
(1)安全协议:安全协议对电子信息安全性产生重要影响。目前,TCP/IP协议已经被广泛使用,但协议中依然存在漏洞。其改进措施主要为:修改、补充原有协议或在传输层与网络应用层之间设置安全子层。(2)网间隔离技术:网间隔离技术是一种成熟的网域连接技术,其具体技术内容表现为:①服务器。控制两个网域之间的直接通讯行为,所有防火墙外的计算机主要通过服务器实现访问过程。在此过程中,服务器能控制对方访问级别,根据防火墙要求控制对方访问行为,当对方访问行为超出限制范围时,服务器将会组织。②路由器与过滤器。路由器能通过特定端口控制过滤器数据,通过对其加以路由实现控制;过滤器能选择通过网络层数据包,并以数据包为基础,确定IP目标地址与IP源信息,判断数据包能否通过。
3.1.3信息保护措施
保密技术是常见的信息保护措施,其操作要点主要包括:①通过网络操作系统提供的保密技术进行保密处理;②重视对数据库信息保密。针对可读形式的数据库,需要控制数据库访问权限,必要时可以建立监控系统监督数据库浏览服务情况。针对安全服务器支持访问情况,采取强制控制措施,实现多级授权描述;③通过现代加密技术,实现信息重组,只有信息发送、接受双方才能还原原有信息。
3.2管理维
(1)计算机场地安全管理。计算机场地是整个信息系统的核心,要将主机房选址于日常安全管理作为整个工作的核心。在计算机场地选址中,要综合考虑地震、台风等多种自然因素对房屋结构的要求,施工过程应满足国家《计算机场地安全要求》的相关内容。在主机房设备环境控制中,重视防尘、防火处理。(2)信息系统资料管理。信息系统资料管理主要针对系统信息进行控制。这些需要保护的资料可分为两类:软件系统记录资料与系统设备档案。在管理过程中,技术人员根据上述资料的种类与使用范围对其进行整理。(3)紧急恢复管理。紧急恢复管理又被成为灾难恢复,是指灾难发生后迅速采取处理措施,以降低电子安全问题造成的损失。在紧急恢复管理中,应该以明确的保护等级为前提,计划内容主要针对具体应急方案,能清晰明了讲述恢复的方法与步骤。(4)设立信息安全检查表。信息安全检查表的主要功能是针对对象日常工作信息进行安全管理,在该检查表中,主要内容包括信息安全通知、信息安全检查工作、信息安全检查表格等。
4结束语
主要讨论了信息时代背景下的电子信息安全管理的相关问题。对相关工作人员而言,在开展电子信息安全管理中,要正确认识本单位在信息安全管理中可能出现的风险现象,并在充分掌握各个安全因素的基础上,进一步完善电子信息安全管理方法,为获得更好的电子信息安全管理效果奠定基础。
作者:陈越我 单位:中国电子科技集团公司第十八研究所