浅谈政府信息系统安全管理制度
SYS SECURITY浅谈政府信息系统安全管理制度
◆ 王 荟
摘要:政务信息系统是一个较为庞大而复杂的网络信息系统,虽然有一系列技术上的安全措施,还制定针对各个不同安全域严密安全管理制度,同时将各个安全域中实施的安全技术有机的结合起来,才能保证系统的安全。为了有效地把系统的安全管理和信息工作落到实处,必须建立、完善和有效运行的安全管理制度。本文就从安全管理在制度上约束和规范安全工作,使之成为有章可循,有据可依的过程,将安全工作进行有序的操作和合理的分配,从而使政府信息系统整体安全性能达到最优。
一、安全管理制度结构与遵循总则
1.1安全管理制度结构。鉴于一般政府都已建立了管理委员会和有关机构,针对系统的安全管理的主要职责是明确安全管理的责任者、实施者;落实安全管理制度,并依靠行政管理手段,保证整个系统顺利运行。
1.2安全管理遵循总则。信息安全管理的总体原则是“没有明确表述为允许的都被认为是被禁止的”。实行安全等级保护制度,制定安全等级的划分标准和安全等级的保护办法。信息安全管理规范应定期审查,依据各部门所受影响予以变更,确保其持续的适宜性。安全管理由专门的安全管理部门或者人员来负责。与安全有关的活动采取多人负责、任期有限和职责分离、权限随岗原则。
加强人事安全管理。安全人员应包括:系统管理员、安全管理员、安全审计员、办公自动化操作人员、安全设备操作员、软硬件维修人员和警卫人员。其中安全审计员、安全管理员必须由不同人员担当。
3.2外部人员管理。建立要求知会制度,向经常或一段时间内需要进入系统的外部人员(除本单位正式编制和聘用人员之外的其他人员)知会本单位的相关规定,使其认识到自身的责任和安全违规会受到的惩罚。对重要安全区域和要害部门,禁止外部人员进入或接近;设立专门的会客室,用来接待外部来访人员;加强接待国(境)外人员、国(境)外驻华机构和组织以及外资企业人员参观、考察时的管理,预先制定接待预案,经过审查批准后严格按照预定的范围、路线和要求进行接待。禁止外部人员携带与工作无关的具有录音、录像、拍照、信息存储等功能的设备;对于外部人员随身携带的具有无限通信功能设备(如手机和具有无限联网功能的计算机)采取关机断电或屏蔽措施。
对所有进入系统现场进行维修、服务、参观等的外部人员进行全程旁站陪同。
二、安全管理机构
依据BMB17-2006和BMB20-2007中的相应要求,结合系统分析、风险分析和安全需求分析的结果,建立安全管理机构,明确机构的具体组成与职能。
安全管理机构在主管领导的直接管理下开展工作,通过技术人员与管理人员的密切协作,逐步建立安全防范责任体系,将安全防范的责任逐级落实到每个具体操作人员的日常工作中。
将依据行政上的管理体系,建立自上而下的安全管理机构,上一级安全管理机构指导下一级安全管理机构的工作,下一级安全管理机构接受并执行上一级安全管理机构的安全策略。
四、物理环境
根据BMB17-2006中8.1.1“环境安全”和其他相关的安全法规、标准的要求,定期对周边环境情况(如可疑人员、安全距离变化等)进行监控;定期对物理入侵、窃听和窃照等方面进行安全风险评估,并根据评估结果及时调整系统的防护方案。
根据安全等级和安全范围进行分区控制,根据每个工作人员的实际工作需要规定所能进入的区域,无权进入者的跨区域访问和外访者进入机房,必须经过有关安全管理人员的批准。
三、人员管理
3.1内部人员管理。确保政务信息系统的安全,应
79
SYS SECURITY对各机房和区域的进出口应进行严格控制,要根据安全程度和安全等级采取必要的措施,如设置门卫和电子技术报警与控制装置,对人员进入和退出时间及进入理由进行登记等多重限制措施。
5.3 登记备案。对维修、报废的设备和介质进行日志记录,按有关规定办理登记备案等手续;对维修的设备和介质的外移进行记录,返回时做返回记录;对报废设备和介质的密级情况、采取的方法、经手人和最终去向等进行记录。
五、设备管理
5.1 申报审批。建立严格的安全设备和介质维修、报废审批制度;
设备和介质需要维修或报废时,应向主管领导提出申请,经过批准后严格按照BMB17-2006及有关要求进行相应处理。
5.2 数据保护。设备和介质现场维修时,应有相关人员进行全程陪同,严禁维修人员擅自读取和拷贝计算机、数字复印机等安全电子设备中存储的安全信息;需要将设备带离现场维修时,必须将安全存储部件拆除并妥善保管;安全存储部件出现故障,如不能保证安全,必须按照安全载体销毁要求予以销毁,如需恢复其存储信息,必须在国家工作部门指定的具有数据恢复资质的单位进行,并由专人负责送取;需要报废的设备和介质,应激性信息消除和载体销毁处理,所采用的技术、设备和措施应符合相关规定的保准。
六、总结
在大力发展电子政务的今天,政府信息系统的安全性已经变得十分重要。一旦发生安全事故,轻则干扰群众的日常生活,重则造成巨大的经济损失,甚至威胁到国家的安全。因此制定出一套行而有效的信息安全管理制度对政府来说是关键。我们应该在政务安全领域紧密结合实际,探索出一条适合我国政务安全的管理道路,推动并促进电子政务的健康发展。 (作者单位:上海交通大学信息安全工程学院)
(上接70页)手,要保护好自己的商业信息,尽量做到保护好企业有价值的信息。
四、如何才能保障企业的信息安全
信息安全的危险因素有很多,有来自企业内部的,也有来自企业外部的。那么我们应该系统的分析并解决这些危险因素。首先我们了解企业内部的不安全因素有哪些,比如病毒入侵电脑,破坏电脑,黑客的入侵。针对这类因素,我们就要使用有效的杀毒软件,定期对计算机进行杀毒,定期对计算机进行检查清理。企业内部另外一个不安全因素就是人为因素,有的企业员工素质比较低,对企业的一些数据信息保管不善,也不重视信息的安全,随意泄露企业的信息,这对信息安全也是极度危险的。为了防止这些现象的发生,企业应该对员工进行培训和引导他们保护企业的信息。而企业的外部危险因素也是相当重要的,比如企业的一些外部生产活动,自己泄露了一些信息和数据,还有就是竞争对手可能通过很多方法收集企业的信息,这些也是导致企业信息不安全的因素。那我们在生产活动的时候就应该小心谨慎地处理自己的信息数据,以免泄露。针对竞争对
结语
企业信息化建设已经成为这个时代不可或缺的产物,为各个企业信息的传播带来了极大便利,它是企业发展的需要,也是企业稳定的必要前提,但是信息安全的危险因素也越来越多。因此,现在企业的首要任务是建立一个有安全性,有保障性的信息系统,以保证企业的信息安全。 参考文献
[1]罗雪英.企业信息安全的策略[J].中国信息导报,2003(9).[2]闫兵.企业信息安全概述及防范[J].科技资讯,2010(4).
[3]孙博.企业信息安全及相关技术概述[J].科技创新导报,2009(4).
(作者单位:山东中烟工业有限责任公司技术中心)