加强专业技术知识促进信息安全管理

发布时间:2010-10-27 15:45 作者:甘培俭赵玉萍来源:中国信息安全博士网点击:加载中...次

    摘要：随着信息技术的迅速发展，网络和信息安全已逐渐渗透在经济安全、政治安全、社区安全、国防安全等各个领域。要做好信息安全工作，必须要有充足的技术知识做后盾，而不是仅靠人的自觉性。
    关键字：技术知识信息安全管理
    引言
    信息安全历来是国内外竞争和关注的焦点，担负着“保安全、保发展”的重任。当今世界是信息经济时代，随着信息技术的快速发展，信息和信息安全在国家政治、经济、文化等领域的作用愈显重要。保密与反窃密的斗争也日趋复杂，信息安全面临着新形势。做好信息安全和信息管理工作，除了严格管理的程序、环节外，更要不断更新信息知识，用新知识提升技术水平，用先进技术手段保障信息安全。在一定程度上，信息安全的应用管理与信息安全研究同等重要。
    保密是一项非常繁琐,具有很强责任心的工作。信息安全工作除了要有责任心外，还需要有一定的专业知识做后盾。事实上，很多工作在理解了它的源由之后，做起来会更加得心应手，也更容易创造成绩，信息安全工作也不例外。近些年来，涉密信息的泄露，除了一些保密相关工作人员利欲熏心，进行非法交易外，大多数是出于不经意的工作失误和恶意攻击。操作或管理程序过于繁杂，光靠机械的记忆,容易使人感到疲劳,难免会出现混乱而遗忘某个环节或某项规定。如果我们能理解遵循这些规定和操作程序的理由，也许会大大减少这种出错的概率。
    1、在选购数据加密产品时，我们要了解产品使用的技术及其安全状况
    信息安全简单说就是保障自己的信息不透露给不该知道它的人，并保证整个信息在使用过程中前后一致。加密仍然是保证信息安全的主要手段，在信息传输、存储、访问控制、安全协议、数字签名等方面都要用到密码技术。密码对我们每个人来说，并不陌生，银行系统、邮件系统以及应用网络的许多领域，都用到密码管理。一般情况下，密码技术对使用者是透明的，使用者并不需要知道系统所采用的何种加密技术,只知道使用密码就会保护自己的数据或信息安全.但一名信息安全、保密管理工作者，仅仅会使用密码产品是不够的，还应对相关的密码技术有较为深入的认识。我们在在购买密码产品时，要对产品所使用的密码算法及其当前的状态有个清楚的了解，才能选购到真正安全的产品。目前密码体制有对称密钥体制和非对称密钥体制。近些年来，随着密码学的进一步发展，涌现了大量的新技术和新概念，如零知识证明技术、盲签名、量子密码技术、混沌密码等，是加密技术领域很好的研究课题，目前并没有广泛的应用。对称密钥体制虽具有加解密速度快和安全强度高的优点，但在密钥的分发中存在很大的风险。DES是对称密钥的一种，有20多年的使用历史，目前存在穷举破解的风险，而被密钥位数更长的3DES和AES替代。不对称密钥体制是使用最广泛的一种密码体制，补充了对称体制在分发上的不足，具有很好的加密性能。另外，具有只加密不解密的散列函数算法MD5、SHA-1等，被我国大学教授破解后，在验证数据的完整性、口令表的认证、数字签名、身份认证等方面就需要用新的算法来代替。我国禁止使用国外的密码算法和安全产品的原因，一是外国出口的所谓安全产品的密码算法一般都有破解手段，另一方面担心国外的算法和安全产品中留有“后门”，关键时刻危害我国信息安全。只要我们对加密技术及其算法的使用情况有所了解，也就会理解我国对安全产品选购方面的限制性规定，才能保证信息安全产品的安全使用。
    2、加密算法在日常密码管理中也能发挥一技之长
    在日常的应用过程中,我们要对密码进行定期更换,以保证系统的相对安全,但经常更换密码很容易遗忘或丢失密码,给我们的工作带来很大的麻烦,如果能从密码算法中得到灵感,将我们平时登录系统的密码与数学函数联系起来,用自己熟悉的数学算法和规则设定系统密码,比如,大整数分解、整数分解，逻辑数学中的移位，甚至简单的取整运算、平方运算等数学方法都可帮助我们设置自己能根据基数推导的密码，从而降低因无规律设密码而带来的遗忘密码的风险。
    3、移动存储介质管理不好可能会成为泄密信息的窗口
    在涉密存储介质的管理方面，也有许多的强制性监督管理，如禁止移动存储介质在涉密与非涉密计算机之间交叉使用，移动存储介质的存放、销毁都有严格的规定。就是因为当前的窃密技术非常先进，间谍或黑客通过网络对目标计算机植入病毒或木马程序，目标计算机被控制后，所有的信息都会暴露给攻击者，如果移动介质在被控制计算机与其它计算机之间交叉使用，即使是在断网的情况下，移动存储介质都会充当船手的角色，将攻击者需要的信息或数据转移到目标计算机，等下次连接网络时，攻击者就会轻而易举地获得自己想要的信息。涉密移动在使用状态下遗失会给我们带来多大的危害不必多说，不按规定销毁的移动存储介质，也会被一些别有用心的人通过技术手段恢复数据，将信息泄露出去。因此，对移动存储介质通过先进技术加密，对需销毁的介质也要通过技术手段保证数据的不可恢复性。
    当然，在信息安全管理工作中，我们会遇到各方面的限制和规定，我们不仅要“知其然”，更要“知其所以然”，用不断更新的专业知识去理解和记忆这些规定，就会发现所有制度、规定都不再是那么晦涩难懂。加强信息安全管理，就要注意研究它的规律和特点，不断地去探索和积累。随着改革开放的深入发展和信息化快速推进，尤其是随着社会交往、流动的加快和网络系统的普及，在各个地方生成和流传的国家秘密数量增多，泄密渠道也相应增多，国家秘密从任何一个地方、任何环节泄露出去，都会对国家安全和利益造成危害。信息安全管理工作正由传统的依靠人的自觉性为主的管理模式，向既依靠自觉性更依靠先进的技术手段为保障的模式转变。只要不断学习信息安全新知识，掌握信息安全防护的新技术，才能真正理解信息安全管理的各项规定、制度，有条不紊地做好信息安全管理工作。