【摘要】
计算机信息安全问题非常重要,信息泄露往往会造成涉事企业或个人不可估量的经济损失。因此,非常有必要对计算机信息安全管理体系的设计做进一步的研究。根据或制定一套该行业普遍认可的规范和准则,从而建立一种合理可行的信息安全管理体系。对此,笔者进行了分析和阐述,希望能为广大的相关工作者提供一些参考依据。
【关键词】
涉密;计算机;信息;安全管理;体系;准则
计算机系统的安全建设已经变的越来越重要,因为信息安全直接影响到了人们的切身利益。如果安全建设不到位,就容易造成信息泄露,造成极大的损失。但信息安全建设非常复杂,必须采取合理而有效的方法,如建立信息安全管理体系,简称ISMS。
1信息安全管理的内容
整个计算机系统由这两部分组成:配套设备、设施。根据一定的规则,对相关的信息实施搜集、加工、存储以及传播等。涉密计算机信息系统,指的是利用一系列的网络技术来对机密信息进行搜集、处理以及储藏、传播等。保密的方案需要按照风险分析、脆弱分析、威胁分析的结果,根据一定的准则来进行设计。需要注意的是,必须根据系统能够承受的风险来制定系统的保护重点。设计的时候,要按照保护重点以及相关的环境来进行考虑,具体需要注意这几方面的问题:第一,物理安全问题关系到工作环境的周边安全,网络的布线系统以及安全设计的合理管理。关键在于怎样集中完成重要部分,并且对涉密数据进行合理的保护。第二,网络安全。在安全防护中,网络安全是内容最多的一项,其中主要包括涉密内部网络物理隔绝,对网络进行病毒防护以及审计方式、加密方式等等,最后还包括对使用者行为的监管等等。关于内网,如果要进行信息的共享,那么则应该对其进行控制。同时,控制应该也放在网络安全的不同层次当中,比如链路层安全、应用层安全、终端安全[1]。第三,文件交互,在进行保密的时候,文件的交互是非常薄弱的一个部分。这里所说的文件交互,一般指的是对外和对内两种。但是每一种都要关系到文件的粘贴、复制、传播、修改等。在交互文件的时候,有存储介质以及内部网络交互这两种方式。工作人员需要对其进行管理和控制,这样才能使计算机信息更加的安全。第四是终端防护,终端防护是对体系当中的细粒度进行控制的部分,同时也是安全防护里的弱项。一般有移动终端和固定终端这两种,对这两种终端的管理和控制时,必须对行为进行控制和审查。一般的安全方案只注重对外部侵略进行阻止,从而保证网络数据的安全性。这样的方式能防止内部出现侵略,所以终端防护对于避免内部人员的疏忽,以及内部的攻击有着非常大的作用。第五是加密保护,如今,人们使用计算机的频率越来越高,因此数据泄露的问题也愈发明显。涉密数据是安全防护的关键,不管是内部的介质传播,还是外部的介质传播,都应该有加密保护措施。同时,内部的一些关键数据也要设置访问密码,或者通过加密软件对特定格式的文件进行加密处理,这样才能保护数据的安全性。第六是针对病毒进行防护。病毒、外部攻击、漏洞等都可以造成信息泄露,因此必须采取措施进行集中管控,对病毒进行防护。比如可以实施病毒码、扫描引擎更新,对漏洞进行扫描,并且安装自动报警系统等措施。第七,安全审计。这需要计算机信息系统里的资源进行审计,审计可以记录一部分事件,并且提供给系统管理者,从而作为系统维护的证据,更好的对信息进行保护。如果发生了危险事故,系统管理者还可以根据记录快速的查清楚事件的来源,并且及时采取措施[2]。
2信息安全管理体系的技术措施
2.1物理安全防护措施
为了降低一定的成本,必须将分布式的防护变为集中式,并且把不同部门的关键数据集中放在数据中心机房。合格的中心机房不仅有配套完善的UPS设备,能保证机房始终处于恒温的空调设备。而且机房的接地、防雷、放电措施也应该合乎规范。最后,安装视频监控系统,对机房内的情况进行监视。如果核心设备的安全距离少于200米的时候,就必须增加电磁辐射设备,从而保证设备的电磁辐射的安全。
2.2网络安全防护
当前采取的方式是通过无线网卡、有线网、蓝牙或者USB端口来进行网络连接。所以,要进行网络安全防护,就需要在终端口实施阻断非法外联行为。终端安全管理系统联动网络交换机实时搜索非法用户,如果检测到没有安装终端安全管理软件,那么就可以对非法接入机器实施阻拦。网络根据IP网段,可以被分成不同的安全级别,然后再实施不同的保护方式,从而产生不同等级的防护措施。进行了划分后,同一个等级的VLAN不能进行相互的访问,要进行访问,就必须通过核心交换机访问重要服务区,这样可以更好的进行管理。需要设置防火墙,对访问进行控制,将可疑的访问阻隔在外,并且对关键区域进行重点管控。在核心交换机里,把每一个端口中的数据包放进入侵检测系统内,如果防火墙和入侵检测同时启动,那么就可以更好的对不合理的访问进行控制。另外还有身份认证,建立在PKI系统内的身份认证系统,可以对访问进行控制。
2.3系统软件安全
这里说的系统软件安全,指的是操作系统、数据库等一系列系统的安全性。不管是什么系统,它的系统内部都可能存在不安全的因素[3]。终端的操作系统可以采用一样的版本,更加方便管理。同时还可以建立保护秘密以及PIN值,这样可以形成双重保护效果。终端安全管理系统可以实现对软件的监管,还可以屏蔽不安全软件运行,同时也可以阻拦不安全的端口。另外还需要安装病毒防护程序,以及系统补丁更新系统,从而更好的防病毒,更新补丁。
2.4数据安全
如果是加密的数据,那么可以存储到安全加密文件里,并且根据身份证书对其加密,这样便可以增加安全性,同时也不用担心数据丢失问题。关于移动存储硬件,可以进行统一的加密。如果没有安装安全终端管理软件,那么就不能识别和拷贝数据。但是,这样的方式只能够在内网的可信终端里面被使用。如果是用于外部交流的数据,那么就可以通过集中管理终端来设计加密存储的文件格式。也就是说,用户只有输入正确的密码,才能够看到文件内的信息。
2.5应用安全
其一般用于完成单点登陆,以及对信息系统的访问进行控制。此外,也要实施对安全管理设备和应用的日志审计[4]。这些功能需要靠身份认证系统、防火墙系统来完成,从而对非法访问进行控制,对行为进行审核。实验结果表明,上面提出的计算机信息安全管理体系符合实际需求,能够在一定程度上保障了计算机信息的安全性,是一种高效而合理的计算机安全防护体系,因此值得推广和使用[5]。
3总结与体会
随着计算机的不断普及,信息的安全性已经越来越重要。为了能够全方位的提高信息的安全性,必须根据一定的要求和准则,从不同的层次出发,采取多联动的方式,全方位的保障信息的安全性。同时也要不断的更新管理理念、技术手段,这样才能更好的实现信息安全管理目标。
作者:宋志新 单位:潍柴动力股份有限公司技术改造部
参考文献
[1]王璐.涉密计算机信息安全管理体系在国土资源局中的设计与实现[J].网络安全技术与应用,2014,(3):143-144.
[2]权晶晶.计算机信息安全管理体系的有效实现[J].电子游戏软件,2012,(13):42-43.
[3]陈果.计算机信息安全管理体系的设计规划[J].计算机光盘软件与应用,2011,(18):29-29.
[4]唐平.计算机信息安全管理体系的有效实现[J].计算机光盘软件与应用,2011,(16):23-23.
[5]王越,杨平利,李卫军.涉密计算机信息安全管理体系的设计与实现[J].计算机工程与设计,2010,(18):3964-3967.