對教育科研單位信息安全管理現狀的問題分析與研究

賈建輝

中國航天二院二十三所 北京 100854

對教育科研單位信息安全管理現狀的問題分析與研究

賈建輝

中國航天二院二十三所 北京 100854

從教育科研單位存在信息安全管理問題進行探討與分析，用模擬企業的方法和策略，進行信息安全及其管理的實踐教育，以提高信息管理的安全性。

信息安全；管理；策略

隨著信息技術的發展和信息化應用的日趨深入，信息安全建設及其應用正在成為教育科研單位日常教育管理和科研生產不可缺少的工具，教育科研單位對信息安全管理的認識程度也越來越高。

1 教育科研單位存在的信息安全管理問題

近年來人們逐步認識到信息安全對于科研單位的重要性，有些科研單位已經成立了相應的“信息部門”實現統一規范的管理與信息安全教育，其目的就是為了更大限度的保障科研單位的信息安全，從安全技術和管理兩個方面來解決科研單位的信息安全問題，以此提高科研人員的信息安全管理意識和保密工作。

雖然教育科研單位已經認識到了信息安全和信息管理問題的重要性，并在信息安全和管理建設方面取得了一些成績，但教育科研單位內部仍然存在著很多問題。

(1)人員缺乏完備的安全意識，對信息安全的認識和管理水平不高；

(2)忽略了信息安全教育發展戰略和計劃，信息安全的教育投入不夠；

(3)信息安全管理不足，實施教育硬性條件不夠，不能有效的實施和執行相應的信息安全教育措施；

(4)缺乏技術深厚的信息安全專業人才進行實踐教育；

(5)信息安全教育目標不明確，缺乏教育管理制度，導致管理松散等等。

許多教育科研單位對其信息系統不斷增加，對教育基礎設施存在著依賴性，在信息系統運作業務的安全風險、教育效果等問題上，缺乏有效性驗證與評價，沒有充分利用信息安全技術的優勢，反而當成了管理的軀殼。

但是，現實中的任何信息系統都是一串復雜的環節，信息的安全措施必須滲透到信息系統的每一個部位，其中一些問題的解決方案，甚至連信息系統的設計人員、測試人員和使用人員都不知道。因此，信息的不安全因素總是存在的。沒有一個信息系統是絕對安全的，也沒有一個信息管理的方法是絕對的靈丹妙藥。

教育科研單位在認識和教育信息系統安全管理的同時，應該著重加強基層人員的信息安全管理實踐教育。雖然信息安全建設及其應用不是一個能夠創收創效的平臺，但它是一個保障創收創效的平臺。教育者必須做出適合科研單位進行教育實施的信息安全教育發展戰略和計劃，加強信息安全教育在管理實踐上的投入，嚴格有效的實施和執行相應的安全措施、安全策略和安全管理制度，以避免使用和管理信息系統時的固有風險。

原中國工程院院長徐匡迪曾經指出：“沒有安全的工程就是豆腐渣工程”。近年來，我國大型科研單位接連不斷地出現不同程度的泄密事件，其原因就是由于信息安全及其管理的問題而導致的。這些事件不僅僅是簡單的信息安全性的問題，其直接后果是導致了巨大的國防安全問題、經濟損失和不良的社會影響。如果說經濟損失還能彌補，那么由于國防安全問題而引起的騷動事件對整個國家造成的威脅和危機，可就不是在短時期內能夠恢復的了。

雖然各大信息系統工程和信息化程度要求非常高的相關行業，也出臺了對信息安全技術產品的應用標準和規范。但是，沒有一個嚴格的信息安全管理策略，又怎能保障信息真正的安全性呢？

2 用模擬企業的方法和策略，進行信息安全及其管理的實踐教育

假設被教育者都是企業的成員，在信息管理的工作中應用大量的信息系統，時間越久，其安全與保護問題就會日顯重要。沒有安全保障的信息系統，是絕對無法完成信息管理工作的。所以說，進行信息安全管理的實踐教育，也必須將信息系統的安全與管理問題提到戰略性的高度來看待。

(1)國際標準化組織對信息安全提出的建議定義是“為數據處理系統建立和采取的技術和管理的安全保護。保護計算機硬件、軟件、數據不因偶然的或惡意的原因而遭受破壞、更改、泄露”。

信息安全管理教育是當今信息社會應當重視的問題，同樣信息安全也涉及多方面，信息安全一般包括實體安全、運行安全、信息安全、管理安全4個方面的內容：實體安全也就是物理安全，包括環境安全、設備安全和介質安全；運行安全是指為保證計算機網絡信息系統連續不斷地運行所采取的一系列安全措施，包括風險分析、檢測、監控與審計跟蹤、應急計劃和應急措施、計算機病毒檢測與預防等。

(2)信息安全也有廣義與狹義之分，狹義的信息安全也稱計算機網絡信息安全，主要是指計算機網絡系統中的硬件、軟件及系統中的信息資源受到保護，不受偶然的或者惡意的原因而造成的破壞、更改、泄露。

從廣義上說，凡是涉及信息的保密性（未經授權，信息的內容不能被泄露）、完整性（存儲在計算機上或者在網絡上流動的原始信息沒有被破壞和惡意的篡改）、可用性（合法用戶提出訪問時能及時響應）、可控性（信息處理是可以監督和管理的）與不可否認性（在網絡環境下，信息發布者不可否認其發送行為，信息的接受者不可否認其已經接受信息的行為）5個方面與人、網絡、環境有關的技術和管理規程的有機集合都是信息安全所要研究的領域。

在這里，人指信息系統的主體，包括各類用戶、支持人員以及技術管理和行政管理人員；網絡則指以計算機、網絡互連設備、傳輸介質及其操作系統、通信協議和應用程序所構成的物理的和邏輯的完整體系；環境則指系統穩定和可靠運行所需要的保障體系，包括建筑物、機房、動力保障與備份以及應急與恢復系統。

信息安全的最終目標是：在計算機系統提供的信息處理功能的范圍內，通過人力資源和技術資源進行信息保護和提供有效信息服務。

(3)信息安全不僅是一個技術問題，在很大程度上表現為管理問題，如果說能不能對信息實現有效的管理與控制是信息安全的根本問題之一，那么進行信息安全管理實踐教育就是保障對信息實現有效的管理與控制的有效途徑之一。

信息安全管理是對信息系統的生命周期全過程實施符合安全等級責任要求的科學管理，它包括：落實安全組織及安全管理人員，明確角色與職責；制定安全規劃；開發安全策略；實施風險管理；制定業務持續性計劃和災難恢復計劃；選擇實施安全措施；保證配置、變更的正確與安全；進行安全審計；保證維護支持；進行監控、檢查、處理安全事件；安全意識與安全教育；人員安全管理等等。

經過安全管理，可以達到強化信息安全意識，規范信息安全行為；對關鍵信息資產進行全面系統的保護、維持競爭優勢；在信息系統受到侵襲時，確保業務持續開展并將損失降到最低程度，如果再經過信息安全管理的實踐教育，那么對信息的管理又增加了安全的一道防線，也促使了信息安全保障體系的作用。

安全策略的內容非常多，包括各種策略、法律法規、規章制度、管理標準等，他們都是信息安全最核心的問題，也是整個信息安全建設的依據。

但是，究竟采取的信息安全管理實踐教育是否有效呢？而解決這個問題，是需要通過結合目標管理和信息安全管理兩方面的有效性評價來實現的。

所以，信息安全的管理任務，必須轉化為目標，如果沒有目標，這個工作必然被忽視。信息安全需要每個人的參與和管理，當模擬的企業確定了信息安全的目標后，必須定期對其進行有效性評價和考核。這樣才能夠用自我控制的管理來代替受他人支配的管理，最大化的把信息安全管理實踐教育做好。

2009年10月18日，中國信息安全測評中心在北京舉行的新聞發布會上，宣布了信息安全“國家漏洞庫”正式投入運行，并對外開展漏洞分析與風險評估服務的消息。

“國家漏洞庫”的建設是信息安全保障工作中的一項極為關鍵的基礎性和長期性的工作。目前，“國家漏洞庫”已初具規模，開始為政府部門、產業界及社會提供信息安全漏洞分析和風險評估服務，建立的漏洞手機、分析、通報和面向應用的工作機制，運行一年來，收效明顯，必將極大地提高國家信息安全的威脅應對與風險管理的能力和水平。

當然，模擬的企業也可以建立和依托“企業漏洞庫”，利用數據資源和軟件代碼等方面的優勢，進行信息安全產業發展，進行信息安全產品“自主原創”的測評業務，在信息安全領域積極落實國家自主創新政策，確保其信息安全實現自主可控的目標。無論對于個人、科研單位、國家，還是信息安全管理都是非常重要的。它既是行使和保障合法權益的基本手段，也是模擬的企業正常運行的先決條件，信息時代的企業正常運作是離不開信息安全的，要保持可持續的發展，信息安全管理教育問題就不容忽視。

本文只著重強調了信息安全及其管理的模擬企業實踐教育的層面。當然，信息系統安全的風險、病毒防護，人員管理，應用安全策略等也都是對信息的安全性保護。

3 結束語

總而言之，信息安全技術的不斷發展，維護信息安全的方法也在不斷更新。對于信息安全的管理，我們必須綜合多方因素，慎重考慮，盡可能提供全面的、多方位的信息安全策略和信息安全管理與教育，切實滿足對信息安全保障體系的需求，經過合理的配置與管理將各種信息安全風險降低到最低，發揮最高的效率，保障科研生產順利進行，提高信息管理的安全性，促進社會的和諧發展。

[1]張廣欽.信息管理教程[M].北京:北京大學出版社,2005

[2]徐茂智.信息安全概論[M].北京:人民郵電出版社, 2007

Abstract: From the education scientific research unit exist information safety control question conducted to investigate and analyze, simulation enterprise's method and the strategy, carries on the information security and the management practice education, enhances the information management the security.

Key words: information security; management; strategy

On the education scientif i c research units of information security management status's problem analysis and research

Jia Jianhui The 23rd research station of the second research institute of The CASIC company，Beijing, 100854，China

2010-10-31

賈建輝，本科，助理工程師。