邱敏：浅谈信息系统的安全保密

随着数字化城市的热潮在上海掀起，市政行业信息化建设也加快了实施步伐，近几年来，得益于网络技术的成熟发展，地理信息系统、办公自动化系统、交通监控系统、电子政务系统等各信息系统发展迅猛，基于网络的信息系统的发展为提高管理效率，增强信息共享，实现政务公开提供了良好的途径，但是，基于网络的信息系统，其信息的载体形式、传输方式与传统的信息媒介有很大的变化。国家广电总局552台邱敏就从办公自动化工作中的保密问题入手，对计算机保密问题进行了分析，并对信息系统安全保密工作提出了对策和引发的思考。

　　1.信息系统安全保密存在的问题

　　1.1保密观念有待更新

　　信息技术的发展日新月异，信息系统的安全保密问题迫在眉睫。然而，相当一部分人对保密工作的认识停留在对传统的纸质载体的安全保密上。认为只要把电脑关好了，数据保存好，电脑里的信息没有丢失，就是做了保密工作了。也有一部分人对信息系统的保密持比较放松的态度，认为有些信息，数据无关紧要，不会泄密。情报往往获取在偶然之中，而泄密往往在无意之间。

　　1.2保密法落实力度有待加大

　　针对信息系统的保密，各部门都制定和颁布了相应的规定和办法。如市政府制定的《上海市行政机关计算机信息系统安全保密管理暂行办法》，市政局也制定了《上海市市政工程管理局计算机信息系统保密管理暂行规定》，对组织机构，gis等涉密系统管理，涉密信息的管理等都提出了具体要求。由于种种原因，法规在基层落实的情况不尽相同。重系统，轻保密的现象在一定范围内存在。

　　1.3信息系统保密难度加大

　　计算机网络系统的建立，使众多的用户可以共享信息系统的信息资源，但这种共享系统也为非法用户从外界访问、窃取系统内部秘密信息资料提供了便利条件。从而使网络系统出现了对非法用户的身份鉴别问题，对合法用户访问权限的鉴定问题，对信息数据传输的加密问题和对系统工作过程的安全检测问题。例如，市政局的各监控中心都是通过光纤物理相连的，而各监控中心的连网也都是基于内部局域网的，只要有一个单位的局域网与因特网相连接，理论上，所有单位的局域网终端等于与因特网连接，给信息系统的保密留下隐患。而且上海政府部门普遍使用的处理器都是奔腾芯片，操作系统和软件都是微软的windows和office软件，从国家信息安全的角度，等于给别人许多秘密通道。

　　1.4存储介质、信息资料销毁中的泄漏问题

　　信息系统使用的过程中，通过光盘、磁盘等存储介质存储大量保密数据和资料。存储在存储介质中的秘密信息很容易被复制，且在复制过程中可以不留下任何痕迹。对于涉密的介质，如打印修正稿和磁盘、计算机等的销毁和淘汰，如果销毁不及时或管理不严，很容易造成涉密信息资料的泄漏。

　　2、信息系统窃密和泄密的特点

　　2.1技术性强

　　信息系统中的硬件和软件中通常采用了大量高精尖的技术成果，因此，即使把整个系统的软件和硬件都偷去，没有事实上的技术水平和专业知识是无法取得系统内的信息资料，因此，信息系统的窃密和泄密人员，通常具有较强的计算机水平和专业知识，其中不乏技术高超的黑客，轻而易举的获取信息系统的数据或破坏系统。

　　2.2隐蔽性好

　　信息系统中的各种信息资料的表现形式都是电磁信息，而电磁信息的窃取和泄漏对原始信息资料不会产生任何影响，只是对原始信息资料的复制，因此，窃密和泄密活动一般不会留下任何痕迹，发生泄密事件后，找到幕后元凶并不是容易的事。

　　2.3危害性大

　　信息系统中的蕴藏着的重要信息和数据资料，一旦泄密，可通过网络迅速传播其速度比sars有过之而无不及。我军某型装备的资料泄密，通过互联网上军事迷之间的交流不慎传出，美国人踏破铁鞋寻觅的东西，轻易纳入囊中，给国家利益带来巨大损失，影响面之大，后果之严重，无法估量。正是由于信息系统窃密和泄密技术性强、隐蔽性好、危害性大的特点，信息系统的保密工作显得尤为重要，也为落实过程增加了难度。

　　3、信息系统安全保密的对策与思考

　　3.1严格遵守有关保密规定

　　保密制度一经制定，就必须严格执行，不能有丝毫大意。已有规章和制度，对信息系统的建设，使用与管理提出了明确的要求。如涉密网络与因特网物理隔离，gis按涉密系统要求进行管理等等，有些规定看起来很苛刻，但在目前我们的技术防范手段尚不完备的条件下，还是十分有必要的。

　　3.2加强信息系统的安全管理

　　要想保证信息系统的安全，在做好外界防护的同时，更要做好内部安全的管理。安全的最高境界不是产品，也不是服务，而是管理。没有好的管理思想，严格的管理制度，负责的管理人员和实施到位的管理程序，就没有真正的安全。信息系统的安全管理包括人员管理、设备管理和使用管理等诸多方面。人员的管理是信息系统保密的关键，要加强对信息系统管理人员的教育培训，严格按照有关要求选拔使用信息系统管理人员。设备的管理也是很重要的一个方面，信息系统软硬件设备的选用应充分考虑其保密性能，最好选用国产的产品。设备的维修、更新、淘汰、应在确保涉密信息资料安全的条件下进行，机房的建设和管理要符合安全保密标准。在使用中，要加强对口令的管理，防止管理员帐号、密码的泄漏，口令最好设8位以上，数字和字符相结合，不要轻易告诉别人自己的密码，以杜绝未经授权的用户存取系统中的重要信息。

　　3.3加强技术防范

　　在信息系统的日常管理和维护中，可以采用多种技术防范手段来提高系统的安全保密性能。可以经常使用安全扫描工具，增强系统的安全防护和抗破坏能力，加强网络和系统自身的安全性。对系统进行定期备份，确保信息系统遭破坏时，数据可以完全恢复。对于重要信息的传输，可采用加密传送方式，这样，即使被窃取也很难解密。信息系统的安全永远是道高一尺，魔高一丈，系统管理人员要肩负保密的技术责任，不断了解最新技术动态，使系统和网络得到最新的安全技术支持。