1.2.5 安全管理_信息犯罪与计算机取证-QQ阅读男生玄幻网

上QQ阅读APP看书，第一时间看更新

1.2.5 安全管理

在整个信息系统安全体系构架中，有一部分并不涉及具体的技术，而是安全管理。它可以看作系统中“软”的部分。安全管理中有相当一部分内容与传统的安全管理是相同的，如防火、防盗等。因此当谈到信息系统安全时，这部分往往被忽视，或者没有意识到其重要性。在信息系统的安全框架中，安全管理主要包括以下几个方面：人员培训，规章制度的制订、执行与监管，意识领域，现行法律法规。

1. 人员培训

信息领域的技术更新速度极快，系统的管理人员如果知识老化或跟不上技术发展的形势，他们不仅难以很好地胜任管理员的工作，更为重要的是会使系统的安全性能大打折扣。在前面的论述中曾提到，由于配置不当或人为使用不当会使信息系统处在危险之中。在这种情形下，单纯地靠提高产品质量已经没有用处，关键是要提高系统使用者、维护者的素质和技能。

企业定期对人员进行安全方面的培训，提升其知识水平和应用技能是不可或缺的一个环节，也是以较少的投入提高或增进系统安全性能的一种方法。人员的培训应该具有系统性和持续性。针对企业中需要解决和加强的安全问题，系统地对员工进行培训。根据技术发展的快慢，适当安排培训的频度。一般，对于信息安全领域的培训，最好能保证一年一次。如果实在有困难，可以安排相关人员自学或进行自我提升。

2. 规章制度

安全管理中的一项重要内容就是制订相关的制度与规范，让系统中的所有人员都按照既定的规章制度办事，然而制度的制订、执行和监管是一系列环环相扣的过程。企业应在充分考虑了各方面因素后，制订出符合企业需求和发展的规章制度。规章制度应该具有相对的稳定性。尽管信息技术发展很快，但是相关制度不能经常修改，因此在制订时需要考虑一定的前瞻性和指导性，不宜过于细化和技术化。

在制订好规章制度的前提下，需要推行制度的执行和实施。有时候制度虽好，但是执行力度不够或者被束之高阁，也无法发挥其应有作用。在制度的执行过程中，需要企业的管理者和具体的执行者相互配合。规章制度推行的程度以及执行的好坏，都需要有及时的反馈信息，以便让管理层更清楚地了解制度是否适合、执行是否顺利、效果是否良好。

任何系统要想保证良好的运行，就必须配有有效的安全监管体系。安全监管应该体现在各个层面上，不但对具体的人员需要对其执行安全相关事务进行监管，对上层管理者也同样需要执行安全监管，否则整个系统的安全性将无法保证。日常工作中经常会听到这样的例子：高级领导者直接向系统管理员要超级用户密码，声称有急事要办，而这一请求通常发生在系统管理员在休假或休息日期间。囿于上下级的领导关系，管理员通常会将口令告诉高级领导者。而有些攻击者就抓住了这种人际关系的心态和制度监管的疏漏，通过社会工程学的方法，假冒领导骗取重要账号的口令或密码。尽管已有前车之鉴，但该方法在相当大的范围内还是屡试不爽。这比任何一项密码破译技术都要快，而且成本低廉。

因此，严格的监管制度是保证安全管理能够落实，并且卓有成效的一个必不可少的环节。要做到这一点需要企业从上到下的协同合作与相互支持。

3. 意识观念

在安全管理中，意识上认识到安全的重要性十分重要。在各项安全措施、安全管理制度下达后，如要每个人都能配合执行，首先在思想上要让企业的员工认识安全管理的重要性。如果意识上没有理解或认同这个理念，那么在执行过程中一定会遇到阻力。即使制度制订得严密合理，但是不认真照章执行仍然起不到其应有的作用。因此，在安全管理中，建立安全意识是一项十分重要的工作，它可以渗透在培训、企业文化等各个环节中。

安全意识的建立要从上到下做到全企业覆盖。在有的企业中，由于领导层对信息安全领域缺乏了解，因此对安全产品和服务的购买、使用和维护等工作的支持力度不够，甚至认为这是一项只花钱而没有回报的工作。因此，在这一点上尤其应当注意，特别是如何取得上层领导的认可是至关重要的。

其次，要加强培养员工的安全意识。让他们知道安全的重要性，以及安全性的缺失会引起的后果，并且对于经常容易被忽视和就范的安全问题进行专门教育和培训。在不断的提醒和强调中强化安全意识观念。

4. 法律法规

了解现行法律在信息安全领域的相关规定对维护企业利益有重要的作用和意义。任何一个信息系统的安全体系结构都无法保证百分之百的安全性，总会发生这样或那样的安全事件。尽管我国法律法规在这一领域还存在很多不完善的地方，但是有些条款和规范已经修改、出台和颁布。当出现问题和纠纷时，可以通过法律的途径加以解决。

另外，了解现行法律法规在信息安全领域的规定，企业可以规避一些风险。例如，若企业建立了一个电子商务平台，并且在该平台上与其他企业进行商业上的往来。当出现经济纠纷时，电子商务平台上的一些文档和记录有可能成为电子数据证据而被法庭采纳。但是若电子商务平台属于第三方托管，且与纠纷双方没有利害关系，那么在其上取得的电子文档具有证据效力；若该平台隶属于某个当事人，那么其上获得的电子文档是否属于证据还需进一步的探讨。企业在涉及类似业务和事件时，如果能够多了解一些相关法律法规，既能提醒自身不要违规，同时也能最大限度地保障自身利益不受侵犯。

从上面的叙述中可见，安全管理是一个系统工程，需要各方面的支持与配合。乍看上去，安全管理可能更“虚”一些，有的是看不见摸不着的，不像具体的技术和产品看上去那么实在。但是安全管理却在系统的安全体系中起着重要的承上启下、相互关联的作用。

在安全管理中，核心是对人的管理。这也是管理中最困难的部分。比起技术革新和培训，安全意识的建立以及对规章制度的认同，进而不折不扣地执行显得更为重要，这些都需要有一个过程，并且需要一定的时间，并不是在短期内就可以一蹴而就的。认识到安全管理的重要性和复杂性，对于更好建立一个信息安全系统有着良好的促进作用。