0 引言

    近年来，随着信息化的迅猛发展，信息安全的问题显得越来越突出，信息安全事件频发。如何建好．管好涉密信息系统。确保国家秘密和企业秘密安全，保障信息化工作的顺利开展，成为一项亟待解决的难题。信息安全体系建设是一项系统工程，由管理者(信息安全的管理机构)、使用者、建设者(集成商、软硬件提供商)，管理对象(IT资产)、管理工具(技术、管理、策略)等要素组成。因此，要从技术、策略、管理，人员等各个方面综合考虑，抓住重点，协同发展。

    1 IT资产管理是信息安全的基础

    同样、如果信息系统的管理者对所管理的对象，即IT资产的范围、数量、状态都不清楚，就不可能管好，更谈不上安全。管理员对IT资产的管理状态，是判断网络是否安全的基本要素。很多单位的管理员只管理机房的设备，面对用户终端缺乏管理手段，是很难真正管好的。可能有人认为资产管理是固定资产管理部门的事情，但IT资产管理与固定资产管理无论从管理的范围。部门，角度、粒度都是有区别的：从管理的范围来看，一个是管理与计算机信息系统相关的资产，包括软件和信息，一个是管理一定价值之上的资产，两者既有重合，也有区别；管理的部门不同，一个是IT管理部门，一个是固定资产管理部门；管理的角度不同。一个从应用价值和安全保密角度来管理，一个从资产的保管和货币价值角度来管理：管理的力度不同的，如果把固定资产管理比作管理一个设备的壳，那么IT资产管理不仅要管壳，更要管到壳里面的东西，如配置、运行状态等。因此，IT资产管理是非常有必要的，IT部门要担负起IT资产管理的责任。

    IT资产管理仅做到建立台帐，给设备粘贴标签是远远不够的，可通过以下几个步骤来实现IT资产全生命周期的管理。

 

    在管理中，应对一些部门和人员的不规范行为加强管理和监督，防止例外情况发生。由于这项工作涉及的部门和人员较多，尽可能采用信息系统辅助管理，提高管理效率和准确性。

    2 风险分析是构建信息安全体系的前提

    风险分析是进行信息系统安全方案设计、建设以及策略配置的前提和基础。在进行风险分析时，应注意以下几点。

    2．1深刻理解和运用标准

    由于标准不可能太细，太具体，实现标准的方法、手段也不是唯一的，因此要深刻地、准确地理解标准，同时结合自身情况，提出适宜的解决方案。例如，由于密级的标识、标识的识别以及信息过滤等相关的技术尚未成熟，在对网络和计算机进行定级的时候。可采取就高不就低的原则，避免出现低密级计算机处理高密级信息的情况。

  2．2风险分析要全面精细

    大多数单位在进行风险分析时，一般是针对标准逐条对照，确保符合标准要求。这种方法从合规性的角度来看是必要的，但要注意标准—般都比较概括、原则，一些具体的要求需要自己去解读、分析。另外，对同一项资产的要求分散在不同的条款里，从防护体系的完整性来看不一定很完善。另一种方法是针对被保护的IT资产，如存储信息的服务器、终端、介质，传输信息的网络等，从资产的脆弱性，面临的风险等方面进行全面细致的风险分析。这两种办法结合起来可以比较完善地分析面临的风险。针对风险，再研究采取哪些技术的、管理的手段去解决，这些手段通过哪些产品、哪些制度去实现，最终形成完善的防护体系。

    以计算机终端为例，它面临的风险主要包括：通过获取账号、光盘引导等方式非法登录；通过系统漏洞和不安全设置入侵通过病毒和木马入侵非法设备接入网络进行攻击内网计算机接入外网造成泄密；通过存储介质泄密；通过电子邮件泄密涉密文件管理无序；通过对存储介质进行盗取、文件恢复窃密；通过网络进行监听；通过电磁辐射窃密；由于意外灾害、硬件损坏等造成数据丢失等。

    以上这些问题有的通过防病毒软件实现，有的通过及时更新系统补丁、下发域策略来实现，有的通过防盗、防电磁辐射技术实现。有的通过对网络设备的配置来实现，有的通过身份认证系统来实现，有的通过主机审计系统来实现，有的则通过严格的管理制度和日常的检查，监督来实现。

    2．3风险分析应由用户主导进行

    风险分析是后续方案设计、工程建设和日常管理的基础，直接影响到建设和管理的效果，用户必须主导进行。有些用户将工作委托给厂商来做，效果往往不好，因为厂商不了解用户的情况，也不会花费很大的力气去调研、分析，只有用户对自身的情况最了解，能够真正地做好这项工作。

    3 技术与管理并重构建信息安全体系

    有些单位简单地认为可以“花钱买安全”，在采购了许多信息安全产品后，却发现仍然存在很多问题。信息安全体系建设是一项系统工程，必须全面考虑技术、管理、策略和人员等各方面的因素，缺少哪个环节都会产生不利的影响。限于篇幅，这里只重点介绍要必须处理好的几个关系。

    3.1安全产品和安全策略的关系

    是不是买了标准上要求的产品就可以高枕无忧了?显然不是。只有根据自身的风险，选择适宜的产品、合理地配置策略，才能达到效果。

    首先不是花钱多的产品就管用，往往一些花钱少、甚至是免费的产品起了非常大的作用。还以计算机终端为例，由于大量的信息都存储在计算机终端上，因此终端安全非常重要，但终端相对分散，策略配置非常麻烦，用户水平参差不齐，管理员工作量很大，很难管到位。这个问题在很多方案中都被有意无意地忽视了。其实，通过域服务器和SUS服务器，利用操作系统本身的功能，就可以对终端的安全策略进行统一配置，补丁能够及时地修补。

    其次，购买安全产品后，要根据自身情况对安全策略进行个性化的配置，发挥出应有的作用。

    最后，必须对每个产品的功能非常清楚，并明确每个产品应发挥的作用，分工协作，相应地配置合适的策略。

    3.2技术与管理的关系

    技术永远无法代替管理的作用。尤其对于内网的防护，往往是防内重于防外，对内部人员来讲，管理的作用更大，因为技术措施永远不可能把人完全管住，通过技术措旌去限制一个人非法窃取别人的信息是可能的，但是要想防止一个人拿走自己的信息基本上是不可能的。所以规范化管理是信息安全的关键。做好信息安全管理，包括以下几个方面：
 

    很多单位在进行信息安全建设时，多依赖集成商或产品提供商，笔者参加过一些安全保密方案的评审，甲方能讲清楚需求和方案的很少，而集成商的往往对甲方的情况并不了解，方案也是放之四海而皆准，产品配的很全，经费花得很多，但对如何利用不花钱的办法、如何设安全策略，如何配合管理手段却一笔带过。在信息安全体系建设中，甲乙双方应相互配合。信息安全事关重大，责任归根结底要由甲方自已来承担，不能将命运交于他人之手。甲方从项目建设之初就应介入，在风险分析，方案设计、产品的选型测试，策略的配置等方面，发挥主导作用，这样既对整体的防御体系有深刻的理解，也为今后的运行维护打下基础，防止初期考虑不周、选型不当给今后带来的麻烦。乙方对技术和产品更为精通，经验丰富的集成商可为甲方提供客观公正的信息和咨询服务，甚至很好的设计方案。

    3.4管理部门之间的关系

    信息安全管理涉及到保密，信息化，密码、保卫，人事、业务等多个部门，应各司其职，协同工作，不能一提起信息安全就认为是信息化部门的事。尤其是保密部门和信息化部门的配合更为重要，因为技术和管理是不可分的，哪些需要技术来解决，哪些需要管理来解决，需要共周协商，发挥不同部门的优势。信息化部门不能只考虑信息化应用和建设，不考虑安全管理，保密部门也不能只管检查、监督，只当“裁判员”。

    3.5安全与应用的关系

    信息安全无止境，没有绝对的安全，那么如何来平衡安全与应用的关系就成为一个难题。如果没有网络、没有信息化应用，当然可以不考虑信息安全，用得越少，问题越少。有的业务部门出于安全考虑。计算机不联网，给日常工作带来了极大的不便，而单机的管理也存在很大的问题。各军工集团花费大量经费建立的广域网。却不能和各单位相连，造成巨大的浪费。因此如何去把握两者的平衡，就非常重要。更何况安全问题是动态的，新的问题会不断出现，只有积极地去面对问题、解决闯题。才能促进我们的水乎不断提高，不能出了问题就堵，这样只能暂时解决问题，无益于增强自身的能力。

    4 结语

    以上就信息安全体系建设中的几个重点进行了阐述，但是．做好这项工作还涉及到政策、法律，核心技术研发等方方面面的因素，需要全社会营造良好的信息安全生态环境，也需要从事信息安全工作的人员本着高度的责任感，认真细致地去不断完善技术防护和管理体系，不断提高信息安全的水平。