信息化建设中信息安全的定位和构筑策略

摘要。信息安全事件的不断增多使得在信息化建设中信息安全受到越来越多的重视。如何在信息化建设中更好的规划和应用信息安全，确保信息化建设的成功是本文关注的重点。本文从技术和管理两个方面对信息安全涉及到的内容进行了阐述，并结合信息系统等级保护，探讨了在信息化建设中如何从宏观和微观两个角度进行信息安全建设。

关键词：信息化建设；信息安全；信息系统等级保护

中图分类号：p23

文献标识码：a

文章编号：1674-3695-（2009）05-19-05

1引言

随着信息化建设的不断深人，信息安全问题日益突显。目前，世界各国都将信息安全、网络安全作为事关国家安全的大事来抓。2009年5月29日，美国总统奥巴马公布了一份由安全部门官员完成的网络安全评估报告，表示来自网络空间的威胁已经成为美国面临的最严重的经济和军事威胁之一，宣布在白宫成立网络安全办公室。在中共十六届四中全会上，中央将信息安全与政治安全、经济安全、文化安全并列为四大“国家安全”，明确提出了完善信息安全的战略目标。由此可见，信息安全对保障一个国家的政治、经济、军事安全发挥着越来越重要的作用。因此，信息化建设中信息安全问题的深入探讨很有意义。

2信息安全的定位

我国的信息化建设始于20世纪80年代，最初的建设主要集中于纸质信息的数字化以及单机应用系统的开发。随着网络技术的不断发展，应用系统的开发也逐渐转向以网络为依托，实现电子政务、电子商务、网上办公等。不仅节约了资源，提高了办事效率，而且扩大了资源共享范围。

由于在微型计算机发展之初，对安全的考虑不够，导致微型计算机软、硬件设计上的简化，致使信息资源及其依托的软硬件极易遭到破坏，产生了安全隐患。计算机网络的主要目标是实现资源共享，因此在设计之初也未过多考虑安全问题，从而造成网络协议的安全缺陷。而且随着应用软件功能的不断完善，代码量越来越大，存在的软件漏洞也越来越多。正是由于这些原因，导致计算机病毒、木马、后门泛滥，严重威胁信息的安全。

随着信息化建设的不断推进，信息化建设的重点由只关注应用系统开发，逐渐转变为系统开发与信息安全建设并重，信息安全被提高到了一个前所未有的高度。按照目前的观念，信息化建设涉及的内容可划分为三个方面：网络基础设施建设、应用系统开发和信息安全保障，这些称为信息化建设的“三大支柱”，缺一不可。如果把网络基础设施比喻成高速公路，把应用系统看作是高速公路上行驶的车辆，那么信息安全就是保障道路和车辆安全所必须遵循的交通法规。我们都知道在没有交通法规的高速公路上行驶车辆会造成什么样的后果，因而我们不难想象，在没有信息安全保障的网络基础设施上运行应用系统将会造成什么样的后果。信息安全是网络基础设施和应用系统的安全保障，其重要性将随着信息化建设的不断推进而更加凸显。3信息安全的范围

信息安全的主要目标是实现机密性、完整性和可用性。信息技术安全评估准则（iso/iec15408）将信息安全定义为：被评估的信息系统或产品的安全策略、安全功能、安全管理、安全开发、安全维护、安全检测、安全恢复和安全评测等概念的总称。