序言:寫作是分享個(gè)人見解和探索未知領(lǐng)域的橋梁��,我們?yōu)槟x了8篇的企業(yè)信息安全管理體系樣本�����,期待這些樣本能夠?yàn)槟峁┴S富的參考和啟發(fā)��,請盡情閱讀�。
第1篇
1��、 引言
隨著信息化建設(shè)的發(fā)展����,信息安全越來越多的受到人們的重視,企業(yè)信息安全重點(diǎn)面臨的問題主要表現(xiàn)在[1]:1)網(wǎng)絡(luò)受到外部的惡意攻擊��,部分單位無終端接入控制措施�,使企業(yè)的正常業(yè)務(wù)無法開展或相關(guān)重要數(shù)據(jù)被盜取;2)網(wǎng)站受到黑客攻擊,由于部分掌握網(wǎng)絡(luò)技術(shù)的不法人員查詢到破解網(wǎng)站所存在的漏洞����,加以利用并篡改網(wǎng)站信息及獲取網(wǎng)站管理權(quán)限,使得網(wǎng)站陷入癱瘓;3)信息的監(jiān)管不利產(chǎn)生不良的影響���,通常情況下信息沒有主管部門負(fù)責(zé)審核導(dǎo)致監(jiān)管不到位���,那么不良信息就可能由于工作人員的疏忽而上傳到網(wǎng)站上���,造成不良影響;4)計(jì)算機(jī)病毒的危害,相關(guān)系統(tǒng)不及時(shí)更新補(bǔ)丁和升級�,受到病毒入侵并加以利用,篡改應(yīng)用系統(tǒng)信息或獲取管理權(quán)限���,使得應(yīng)用系統(tǒng)丟失重要信息�����。
當(dāng)前����,有關(guān)信息系統(tǒng)的安全評價(jià)雖然存在著多種多樣的具體實(shí)踐方式��,但在目前還沒有形成系統(tǒng)化和形式化的評價(jià)理論和方法�����。評價(jià)模型基本是基于灰色理論(Gray Theory)或者模糊(Fuzzy)數(shù)學(xué),而評價(jià)方法基本上用層次分析法AHP[2](Analytic Hierarchy Process)或模糊層次分析法Fuzzy AHP[3]將定性因素與定量參數(shù)結(jié)合�,建立了安全評價(jià)體系,并運(yùn)用隸屬函數(shù)和隸屬度確定待評對象的安全狀況�。上述各種安全評估思想都是從信息系統(tǒng)安全的某一個(gè)方面出發(fā),如技術(shù)�、管理、過程����、人員等,著重于評估網(wǎng)絡(luò)系統(tǒng)安全某一方面的實(shí)踐規(guī)范��。在操作上主觀隨意性較強(qiáng)�����,其評估過程主要依靠測試者的技術(shù)水平和對網(wǎng)絡(luò)系統(tǒng)的了解程度���,缺乏統(tǒng)一的、系統(tǒng)化的安全評估框架�����,很多評估準(zhǔn)則和指標(biāo)沒有與被評價(jià)對象的實(shí)際運(yùn)行情況和信息安全保障的效果結(jié)合起來����。
大型企業(yè)信息安全管理體系的研究���,就是為了尋找一個(gè)科學(xué)、合理的管理體系���,并根據(jù)該體系和方法對大型企業(yè)的信息安全狀況和水平進(jìn)行評價(jià)����,對信息安全管理績效進(jìn)行考核�����。
2�����、 大型企業(yè)信息安全管理體系的內(nèi)涵
通過管理體系的應(yīng)用��,將對大型企業(yè)信息安全產(chǎn)生非常重要的作用���。一是可以對企業(yè)信息安全的水平做出客觀的反應(yīng)�����,認(rèn)識企業(yè)信息安全存在的不足之處����,發(fā)揮考評體系的指導(dǎo)作用,引導(dǎo)企業(yè)“信息安全”工作健康科學(xué)發(fā)展;二是可以為企業(yè)信息安全的建設(shè)指明方向���,為信息安全的發(fā)展提供有力支撐;三是可以幫助企業(yè)管理者建立起一套科學(xué)的信息安全管理系統(tǒng)���,有效控制信息化活動(dòng)的進(jìn)程,提高信息安全級別��,減少因信息安全事件引起的損失�����,有利于正確引導(dǎo)和規(guī)范企業(yè)的信息化建設(shè)�����,指導(dǎo)企業(yè)科學(xué)發(fā)展具有重要的意義����。
3����、 大型企業(yè)信息安全管理體系的主要做法
為了大型企業(yè)信息安全管理體系的建立���,提出了管理體系的目標(biāo):對于信息安全方面出現(xiàn)的問題,達(dá)到防范目的;對于信息安全工作進(jìn)行查漏補(bǔ)缺�,加強(qiáng)管理;通過評估體系的考核,落實(shí)相關(guān)信息安全文件���、推進(jìn)信息安全工作�����,為企業(yè)信息安全的建設(shè)指明方向�����,同時(shí)注重管理體系整體的時(shí)效性�����,根據(jù)信息安全發(fā)展的不同階段進(jìn)行及時(shí)更新���。
1) 建立大型企業(yè)信息安全體系
信息安全體系總體設(shè)計(jì)。信息安全體系設(shè)計(jì)共分為三級�����,包含9個(gè)一級指標(biāo),14個(gè)二級指標(biāo)�,27個(gè)三級指標(biāo)。一級指標(biāo)和二級指標(biāo)為共性指標(biāo)�����,三級指標(biāo)為數(shù)據(jù)采集項(xiàng)����。一級指標(biāo)包括:網(wǎng)絡(luò)安全管理、環(huán)境安全管理�����、應(yīng)用系統(tǒng)安全管理���、數(shù)據(jù)安全管理���、終端安全管理�、操作安全管理、網(wǎng)絡(luò)信息安全����、移動(dòng)信息化安全��、服務(wù)器掃描情況����。一級和二級指標(biāo)結(jié)構(gòu)圖如下:
2)信息安全考評指標(biāo)的權(quán)重設(shè)計(jì)
指標(biāo)權(quán)重理論思路���。具體權(quán)重根據(jù)德爾菲法[4]����、層次分析法��,結(jié)合政策導(dǎo)向確定�。
管理體系的指標(biāo)權(quán)重確定方法設(shè)計(jì)過程中,選取兩組技術(shù)�、管理等方面的專家,其中一組專家根據(jù)各指標(biāo)在企業(yè)信息化中的重要程度�����,確定各指標(biāo)的相對重要性�����,采用層次分析法確定各指標(biāo)的權(quán)重。另外一組專家根據(jù)各指標(biāo)在企業(yè)信息化中的重要程度��,對各指標(biāo)按百分制進(jìn)行賦值����,確定各指標(biāo)的權(quán)重。綜合兩組專家的意見���,初步確定各指標(biāo)的權(quán)重����,再組織專家研討會(huì),最終確定各指標(biāo)的權(quán)重���。
企業(yè)信息安全考評指標(biāo)總分計(jì)算方法:
I=Σ(Pi*Wi) (1)
I表示指標(biāo)體系的總得分;Pi表示第i個(gè)指標(biāo)的得分���,各指標(biāo)得滿分都是100分;Wi表示第i個(gè)指標(biāo)的權(quán)重����,所有指標(biāo)權(quán)重的和為100%��。
3)建設(shè)大型企業(yè)信息化評價(jià)管理系統(tǒng)
為了實(shí)施信息安全措施體系���,以信息安全體系�、信息安全文件和考評制度為基礎(chǔ)�����,研發(fā)包括信息安全在內(nèi)的大型企業(yè)信息化評價(jià)管理系統(tǒng)��。通過使用該系統(tǒng)����,將減輕信息化管理部門的負(fù)擔(dān)��,填報(bào)和匯總數(shù)據(jù)的效率顯著提高�����,最為突出的是以上報(bào)數(shù)據(jù)為基礎(chǔ)�����,可以自動(dòng)、實(shí)時(shí)地形成各種統(tǒng)計(jì)�����、分析圖表��,從而完成以往需要信息化管理人員幾天才能完成的大量統(tǒng)計(jì)工作,大大減輕了信息化管理部門的工作強(qiáng)度�����,增加了信息化管理部門對新情況快速反應(yīng)能力���。
系統(tǒng)整體架構(gòu)由數(shù)據(jù)庫層����、框架服務(wù)層、應(yīng)用邏輯層、界面表現(xiàn)層組成�,系統(tǒng)部署了tomcat下運(yùn)行的I@Report和BI@Report作為框架服務(wù)層���,并在此基礎(chǔ)上開發(fā)了業(yè)務(wù)系統(tǒng)���。
系統(tǒng)主要實(shí)現(xiàn)了如下功能:
編碼同步�����、基層權(quán)限管理���、評價(jià)初始化�����、基層初評���、數(shù)據(jù)提交、部門權(quán)限管理(含單位���、指標(biāo)項(xiàng))�����、管理部門復(fù)評�����、信息稽核�����、數(shù)據(jù)計(jì)算、統(tǒng)計(jì)管理、查詢管理、決策模型。
建立統(tǒng)一的數(shù)據(jù)報(bào)送平臺,提高企業(yè)信息整合水平。
建立在線交流及公告平臺�。
系統(tǒng)根據(jù)建立的數(shù)學(xué)模型進(jìn)行綜合分析,可自動(dòng)、實(shí)時(shí)地形成各種統(tǒng)計(jì)分析圖表、報(bào)告等,例如:信息化評級���、信息化水平評測報(bào)告�����。
4�����、 結(jié)束語
通過大型企業(yè)信息安全管理體系的實(shí)施,使企業(yè)信息化水平評估體系更加完善���,在考評信息化建設(shè)水平的同時(shí)���,又對信息安全水平等級有所提升。
第2篇
關(guān)鍵詞:信息安全管理對策
信息安全隨著信息技術(shù)的發(fā)展而產(chǎn)生�����,并且其重要性日益凸現(xiàn)出來,信息安全的內(nèi)涵也隨著計(jì)算機(jī)技術(shù)的發(fā)展而不斷變化���,進(jìn)入二十一世紀(jì)以來,信息安全的重點(diǎn)放在了保護(hù)信息��,確保信息在存儲,處理����,傳輸過程中及信息系統(tǒng)不被破壞,確保對合法用戶的服務(wù)和限制非授權(quán)用戶的服務(wù)���,以及必要的防御攻擊的措施��。即強(qiáng)調(diào)信息的保密性����、完整性�����、可用性�、可控性。
一���、電力企業(yè)信息安全風(fēng)險(xiǎn)分析
隨著企業(yè)的生產(chǎn)指揮���,經(jīng)營管理等經(jīng)營活動(dòng)越來越依賴于計(jì)算機(jī)信息系統(tǒng)���,如果這些系統(tǒng)遭到破壞�����,造成數(shù)據(jù)損壞�����,信息泄漏���,不能提供服務(wù)等問題��,則將對電網(wǎng)的安全運(yùn)行���,電力企業(yè)的生產(chǎn)管理以及經(jīng)濟(jì)效益等造成不可估量的損失,高技術(shù)在帶來便利與效率的同時(shí)�����,也帶來了新的安全風(fēng)險(xiǎn)和問題�。
1、電力公司信息安全的主要風(fēng)險(xiǎn)分析
信息安全風(fēng)險(xiǎn)和信息化應(yīng)用情況密切相關(guān)��,和采用的信息技術(shù)也密切相關(guān)�����,電力公司信息系統(tǒng)面臨的主要風(fēng)險(xiǎn)存在于如下幾個(gè)方面:
(1)計(jì)算機(jī)病毒的威脅最為廣泛:計(jì)算機(jī)病毒自產(chǎn)生以來,一直就是計(jì)算機(jī)系統(tǒng)的頭號敵人�����,在電力企業(yè)信息安全問題中���,計(jì)算機(jī)病毒發(fā)生的頻度大�����,影響的面寬���,并且造成的破壞和損失也列在所有安全威脅之首。病毒感染造成網(wǎng)絡(luò)通信阻塞���,系統(tǒng)數(shù)據(jù)和文件系統(tǒng)破壞���,系統(tǒng)無法提供服務(wù)甚至破壞后無法恢復(fù),特別是系統(tǒng)中多年積累的重要數(shù)據(jù)的丟失��,損失是災(zāi)難性的�。
在目前的局域網(wǎng)建成�����,廣域網(wǎng)聯(lián)通的條件下,計(jì)算機(jī)病毒的傳播更加迅速����,一臺計(jì)算機(jī)感染病毒,在兩三天內(nèi)可以感染到區(qū)域內(nèi)所有單位的計(jì)算機(jī)系統(tǒng)����。病毒傳播速度,感染和破壞規(guī)模與網(wǎng)絡(luò)尚未聯(lián)通之時(shí)相比���,高出幾個(gè)數(shù)量級��。
(2)網(wǎng)絡(luò)安全問題日益突出:企業(yè)網(wǎng)絡(luò)的聯(lián)通為信息傳遞提供了方便的途徑���。企業(yè)有許多應(yīng)用系統(tǒng)如:辦公自動(dòng)化系統(tǒng),用電營銷系統(tǒng)����,遠(yuǎn)程教育培訓(xùn)系統(tǒng)等,通過廣域網(wǎng)傳遞數(shù)據(jù)��。企業(yè)開通了互聯(lián)網(wǎng)專線寬帶上網(wǎng),企業(yè)內(nèi)部職工可以通過互聯(lián)網(wǎng)方便地收集獲取信息��,發(fā)送電子郵件等��。
網(wǎng)絡(luò)聯(lián)通也帶來了網(wǎng)絡(luò)安全問題���。企業(yè)內(nèi)部廣域網(wǎng)上的用戶數(shù)量多且難于進(jìn)行管理�����,互聯(lián)網(wǎng)更是連接到國際上的各個(gè)地方���,什么樣的用戶都有。內(nèi)部網(wǎng)�����,互聯(lián)網(wǎng)上的一些用戶出于好奇的心理�����,或者蓄意破壞的動(dòng)機(jī)���,對電力公司網(wǎng)絡(luò)上的連接的計(jì)算機(jī)系統(tǒng)和設(shè)備進(jìn)行入侵�����,攻擊等��,影響網(wǎng)絡(luò)上信息的傳輸���,破壞軟件系統(tǒng)和數(shù)據(jù),盜取企業(yè)商業(yè)秘密和機(jī)密信息��,非法使用網(wǎng)絡(luò)資源等�����,給企業(yè)造成巨大的損失��。更有極少數(shù)人利用網(wǎng)絡(luò)進(jìn)行非法的�����,影響國家安定團(tuán)結(jié)的活動(dòng)�����,造成很壞的影響�。
如何加強(qiáng)網(wǎng)絡(luò)的安全防護(hù)����,保護(hù)企業(yè)內(nèi)部網(wǎng)上的信息系統(tǒng)和信息資源的安全���,保證對信息網(wǎng)絡(luò)的合法使用����,是目前一個(gè)熱門的安全課題�,也是電力企業(yè)面臨的一個(gè)非常突出的安全問題。
(3)信息傳遞的安全不容忽視:隨著辦公自動(dòng)化���,財(cái)務(wù)管理系統(tǒng)���,用電營銷系統(tǒng)等生產(chǎn),經(jīng)營方面的重要系統(tǒng)投入在線運(yùn)行�����,越來越多的重要數(shù)據(jù)和機(jī)密信息都通過企業(yè)的內(nèi)部廣域網(wǎng)來傳輸����。同時(shí)電力公司和外部的政府,研究院所���,以及國外有關(guān)公司都有著許多的工作聯(lián)系��,日常許多信息�����,數(shù)據(jù)都需要通過互聯(lián)網(wǎng)來傳輸�����。
網(wǎng)絡(luò)中傳輸?shù)倪@些信息面臨著各種安全風(fēng)險(xiǎn)�����,例如被非法用戶截取從而泄露企業(yè)機(jī)密;被非法篡改���,造成數(shù)據(jù)混亂,信息錯(cuò)誤從而造成工作失誤�����。非法用戶還有可能假冒合法身份���,發(fā)送虛假信息����,給正常的生產(chǎn)經(jīng)營秩序帶來混亂,造成破壞和損失�����。因此��,信息傳遞的安全性日益成為企業(yè)信息安全中重要的一環(huán)�����。
(4)用戶身份認(rèn)證和信息系統(tǒng)的訪問控制急需加強(qiáng):企業(yè)中的信息系統(tǒng)一般為特定范圍的用戶使用�,信息系統(tǒng)中包含的信息和數(shù)據(jù),也只對一定范圍的用戶開放���,沒有得到授權(quán)的用戶不能訪問���。為此各個(gè)信息系統(tǒng)中都設(shè)計(jì)了用戶管理功能,在系統(tǒng)中建立用戶���,設(shè)置權(quán)限����,管理和控制用戶對信息系統(tǒng)的訪問。這些措施在一定能夠程度上加強(qiáng)系統(tǒng)的安全性��。但在實(shí)際應(yīng)用中仍然存在一些問題����。
一是部分應(yīng)用系統(tǒng)的用戶權(quán)限管理功能過于簡單,不能靈活實(shí)現(xiàn)更細(xì)的權(quán)限控制�,甚至簡單到要么都能看,要么都不能看�。二是各應(yīng)用系統(tǒng)沒有一個(gè)統(tǒng)一的用戶管理,企業(yè)的一個(gè)員工要使用到好幾個(gè)系統(tǒng)時(shí)�����,在每個(gè)應(yīng)用系統(tǒng)中都要建立用戶賬號���,口令和設(shè)置權(quán)限,用戶自己都記不住眾多的賬號和口令��,使用起來非常不方便�����,更不用說賬號的有效管理和安全了。
如何為各應(yīng)用系統(tǒng)提供統(tǒng)一的用戶管理和身份認(rèn)證服務(wù)�����,是我們開發(fā)建設(shè)應(yīng)用系統(tǒng)時(shí)必須考慮的一個(gè)共性的安全問題�。
(5)實(shí)時(shí)控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)的安全至關(guān)重要:電網(wǎng)的調(diào)度指揮,自動(dòng)控制�,微機(jī)保護(hù)等領(lǐng)域的計(jì)算機(jī)應(yīng)用在電力企業(yè)中起步早,應(yīng)用水平高��,不但實(shí)現(xiàn)了對電網(wǎng)運(yùn)行狀況的實(shí)時(shí)監(jiān)視�����,還實(shí)現(xiàn)了對電網(wǎng)一次設(shè)備的遙控���,遙調(diào)以及保護(hù)設(shè)備的遠(yuǎn)方管理�����。隨著數(shù)據(jù)網(wǎng)的建設(shè)和應(yīng)用�,這些電網(wǎng)監(jiān)視和控制方面的系統(tǒng)逐步從采用專線通道傳輸數(shù)據(jù)轉(zhuǎn)移到通過數(shù)據(jù)網(wǎng)絡(luò)來傳送數(shù)據(jù)和下發(fā)控制指控令�����。由于這些計(jì)算機(jī)系統(tǒng)可以直接管理和操作控制電網(wǎng)一次設(shè)備,系統(tǒng)的安全可靠�����,數(shù)據(jù)網(wǎng)的安全可靠����,信息指令傳輸?shù)膶?shí)時(shí)性等直接關(guān)系著電網(wǎng)的安全,其安全等級要求高于一般的廣域網(wǎng)系統(tǒng)���。
同時(shí)�,這些電網(wǎng)控制和監(jiān)視系統(tǒng)中的許多信息又是生產(chǎn)指揮���,管理決策必不可少的����,需要通過和生產(chǎn)管理局域網(wǎng)互聯(lián)�����,將數(shù)據(jù)傳送生產(chǎn)管理信息系統(tǒng)中���,供各級領(lǐng)導(dǎo)和各專業(yè)管理人員察看,使用。數(shù)據(jù)網(wǎng)和生產(chǎn)管理局域網(wǎng)的互聯(lián)帶來了不同安全等級的網(wǎng)絡(luò)互連的安全問題����。
(6)電子商務(wù)的安全逐步提上議事日程:隨著計(jì)算機(jī)信息系統(tǒng)在電力市場,用電營銷�����,財(cái)務(wù)管理等業(yè)務(wù)中的深入應(yīng)用��,電子商務(wù)在電力企業(yè)的應(yīng)用開始起步�����。例如:電力市場系統(tǒng)中發(fā)電廠和電網(wǎng)公司之間的報(bào)價(jià)���,電力交易�����,電費(fèi)結(jié)算等都將通過計(jì)算機(jī)信息系統(tǒng)來實(shí)現(xiàn)和完成�����,這可以視為電子商務(wù)中常提到的B2B模式���。用電營銷系統(tǒng)中的電費(fèi)計(jì)費(fèi)結(jié)算�����,用戶買電交費(fèi)�����,銀電聯(lián)網(wǎng)代收電費(fèi)等���,是典型的電力公司和用戶之間的電子交易,可以視為電子商務(wù)中的B2C模式;以后還有物資采購等方面的電子商務(wù)系統(tǒng)����。
隨著電子商務(wù)在電力企業(yè)中的應(yīng)用逐步推廣和深入,如何保障電子交易的安全���,可靠�,即電子商務(wù)安全問題也會(huì)越來越突出���。
二����、解決信息安全問題的基本原則
統(tǒng)籌規(guī)劃�����,分步實(shí)施���。要建立完整的信息安全防護(hù)體系�,絕不能一哄而上����,必須分清需求的輕重緩急,根據(jù)信息化建設(shè)的發(fā)展����,結(jié)合信息系統(tǒng)建設(shè)和應(yīng)用的步伐,統(tǒng)一規(guī)劃��,分步建設(shè)�����,逐步投資��。
轉(zhuǎn)貼于 1�、做好安全風(fēng)險(xiǎn)的評估�����。進(jìn)行安全系統(tǒng)的建設(shè)�,首先必須做好安全狀況評估分析����,評估應(yīng)聘請專業(yè)信息安全咨詢公司,并組織企業(yè)內(nèi)部信息人員和專業(yè)人員深度參與�,全面進(jìn)行信息安全風(fēng)險(xiǎn)評估,找出問題���,確定需求��,制定策略�,再來實(shí)施����,實(shí)施完成后還要定期評估和改進(jìn)。
信息安全系統(tǒng)建設(shè)著重點(diǎn)在安全和穩(wěn)定����,應(yīng)盡量采用成熟的技術(shù)和產(chǎn)品,不能過分求全求新�����。
培養(yǎng)信息安全專門人才和加強(qiáng)信息安全管理工作必須與信息安全防護(hù)系統(tǒng)建設(shè)同步進(jìn)行���,才能真正發(fā)揮信息安全防護(hù)系統(tǒng)和設(shè)備的作用����。
2�、采用信息安全新技術(shù),建立信息安全防護(hù)體系
企業(yè)信息安全面臨的問題很多���,我們可以根據(jù)安全需求的輕重緩急���,解決相關(guān)安全問題的信息安全技術(shù)的成熟度綜合考慮,分步實(shí)施���。技術(shù)成熟的�����,能快速見效的安全系統(tǒng)先實(shí)施
3���、計(jì)算機(jī)防病毒系統(tǒng)
計(jì)算機(jī)防病毒系統(tǒng)是發(fā)展時(shí)間最長的信息安全技術(shù)�,從硬件防病毒卡��,單機(jī)版防病毒軟件到網(wǎng)絡(luò)版防病毒軟件��,到企業(yè)版防病毒軟件����,技術(shù)成熟且應(yīng)用效果非常明顯。防病毒軟件系統(tǒng)的應(yīng)用基本上可以防治絕大多數(shù)計(jì)算機(jī)病毒���,保障信息系統(tǒng)的安全��。
在目前的網(wǎng)絡(luò)環(huán)境下�����,能夠提供集中管理����,服務(wù)器自動(dòng)升級���,客戶端病毒定義碼自動(dòng)更新�����,支持多種操作系統(tǒng)平臺�,多種應(yīng)用平臺殺毒的企業(yè)版殺毒軟件,是電網(wǎng)公司這樣的大型企業(yè)的首選��。個(gè)人版本的殺毒軟件適合家庭�����,小規(guī)模用戶����。
4�����、網(wǎng)絡(luò)安全防護(hù)系統(tǒng)
信息資源訪問的安全是信息安全的一個(gè)重要內(nèi)容����,在信息系統(tǒng)建設(shè)的設(shè)計(jì)階段,就必須仔細(xì)分析�,設(shè)計(jì)出合理的,靈活的用戶管理和權(quán)限控制機(jī)制��,明確信息資源的訪問范圍,制定信息資源訪問策略�����。
對于已經(jīng)投入使用的信息系統(tǒng)���,可以通過采用增加安全訪問網(wǎng)關(guān)的方法�,來增強(qiáng)原有系統(tǒng)的用戶管理和對信息資源訪問的控制���,以及實(shí)現(xiàn)單點(diǎn)登陸訪問任意系統(tǒng)等功能����。這種方式基本上不需要改動(dòng)原來的系統(tǒng)��,實(shí)施的技術(shù)難度相對小一些�����。對于新建系統(tǒng)���,則最好采用統(tǒng)一身份認(rèn)證平臺技術(shù)���,來實(shí)現(xiàn)不同系統(tǒng)通過同一個(gè)用戶管理平臺實(shí)現(xiàn)用戶管理和訪問控制�����。
5�、開展信息安全專題研究���,為將來的應(yīng)用做好準(zhǔn)備
電網(wǎng)實(shí)時(shí)監(jiān)視與控制系統(tǒng)的安全問題要求更高�����,技術(shù)難度更大����,應(yīng)開展專題研究�����。
國家有關(guān)部門和電力企業(yè)對電網(wǎng)實(shí)時(shí)監(jiān)視與控制系統(tǒng)的安全問題高度重視��,專門發(fā)文要求確保電網(wǎng)二次系統(tǒng)的計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的安全���,要實(shí)現(xiàn)調(diào)度控制系統(tǒng),數(shù)據(jù)網(wǎng)與其他生產(chǎn)管理系統(tǒng)和網(wǎng)絡(luò)的有效隔離�,甚至是物理隔離。
6、電子商務(wù)安全需要深入研究和逐步應(yīng)用
電子商務(wù)的安全牽涉很多方面�����,包括嚴(yán)格���,安全的身份的認(rèn)證技術(shù)���,對涉及商業(yè)機(jī)密的信息實(shí)現(xiàn)加密傳輸,采取數(shù)字簽名技術(shù)保證合同和交易的完整性及不可否認(rèn)性等�。這些方面又與信息安全基礎(chǔ)技術(shù)平臺密切相關(guān),因此安全基礎(chǔ)平臺的建設(shè)對于電子商務(wù)的安全應(yīng)用是至關(guān)重要的����。目前已經(jīng)有電子商務(wù)的應(yīng)用系統(tǒng)投入在線使用,我們必須加快對電子商務(wù)的安全的研究和應(yīng)用�,否則將來會(huì)出現(xiàn)因電子在線交易不安全,不可靠的而導(dǎo)致電子商務(wù)系統(tǒng)無人敢用的局面����。
7、依據(jù)法規(guī)���,遵循標(biāo)準(zhǔn)���,提高安全管理水平
信息安全的管理包括了法律法規(guī)的規(guī)定�����,責(zé)任的分化����,策略的規(guī)劃�����,政策的制訂���,流程的制作�����,操作的審議等等。雖然信息安全"七分管理���,三分技術(shù)"的說法不是很精確,但管理的作用可見一斑�����。
三、解決信息安全問題的思路與對策
電力企業(yè)的信息安全管理相對來說還是一個(gè)較新的話題��,國內(nèi)其他電力企業(yè)也在積極研究和探討����,以下是一些粗淺的看法。
1��、依據(jù)國家法律���,法規(guī)�����,建立企業(yè)信息安全管理制度
國家在信息安全方面了一系列的法律法規(guī)和技術(shù)標(biāo)準(zhǔn)�����,對信息網(wǎng)絡(luò)安全進(jìn)行了明確的規(guī)定�,并有專門的部門負(fù)責(zé)信息安全的管理和執(zhí)法��。企業(yè)首先必須遵守國家的這些法律法規(guī)和技術(shù)標(biāo)準(zhǔn)�����,企業(yè)也必須依據(jù)這些法律法規(guī),來建立自己的管理標(biāo)準(zhǔn)�����,技術(shù)體系���,指導(dǎo)信息安全工作����。學(xué)習(xí)信息安全管理國際標(biāo)準(zhǔn)�����,提升企業(yè)信息安全管理水平
國際上的信息技術(shù)發(fā)展和應(yīng)用比我們先進(jìn)����,在信息安全領(lǐng)域的研究起步比我們更早,取得了很多的成果和經(jīng)驗(yàn)����,我們可以充分利用國際標(biāo)準(zhǔn)來指導(dǎo)我們的工作�,提高水平�����,少走彎路�����。
信息安全是企業(yè)信息化工作中一項(xiàng)重要而且長期的工作�,為此必須各單位建立一個(gè)信息安全工作的組織體系和常設(shè)機(jī)構(gòu)�,明確領(lǐng)導(dǎo),設(shè)立專責(zé)人長期負(fù)責(zé)信息安全的管理工作和技術(shù)工作����,長能保證信息安全工作長期的,有效的開展�,才能取得好的成績。
2���、開展全員信息安全教育和培訓(xùn)活動(dòng)
安全意識和相關(guān)技能的教育是企業(yè)安全管理中重要的內(nèi)容����,信息安全不僅僅是信息部門的事�,它牽涉到企業(yè)所有的員工,為了保證安全的成功和有效,應(yīng)當(dāng)對企業(yè)各級管理人員��,用戶���,技術(shù)人員進(jìn)行安全培訓(xùn)�����,減少人為差錯(cuò)���,失誤造成的安全風(fēng)險(xiǎn)。
開展安全教育和培訓(xùn)還應(yīng)該注意安全知識的層次性�,主管信息安全工作的負(fù)責(zé)人或各級管理人員,重點(diǎn)是了解����,掌握企業(yè)信息安全的整體策略及目標(biāo),信息安全體系的構(gòu)成���,安全管理部門的建立和管理制度的制定等;負(fù)責(zé)信息安全運(yùn)行管理及維護(hù)的技術(shù)人員���,重點(diǎn)是充分理解信息安全管理策略,掌握安全評估的基本方法�����,對安全操作和維護(hù)技術(shù)的合理運(yùn)用等;用戶����,重點(diǎn)是學(xué)習(xí)各種安全操作流程,了解和掌握與其相關(guān)的安全策略����,包括自身應(yīng)該承擔(dān)的安全職責(zé)等。
3��、充分利用企業(yè)網(wǎng)絡(luò)條件�����,提供全面�,及時(shí)和快捷的信息安全服務(wù)
山東省電力公司廣域網(wǎng)聯(lián)通了系統(tǒng)內(nèi)的各個(gè)二級單位,各單位的局域網(wǎng)全部建成���,在這種良好的網(wǎng)絡(luò)條件下���,作為省公司一級的信息安全技術(shù)管理部門應(yīng)建立計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急處理的信息與技術(shù)支持平臺,安全公告����,安全法規(guī)和技術(shù)標(biāo)準(zhǔn)�����,提供安全軟件下載�����,搜集安全問題����,解答用戶疑問���,提供在線的信息安全教育培訓(xùn)��,并為用戶提供一個(gè)相互交流經(jīng)驗(yàn)的場所�����。網(wǎng)絡(luò)方式的信息服務(wù)突破了時(shí)間���,空間和地域的限制,是信息安全管理和服務(wù)的重要方式��。
4、在發(fā)展中求安全
沒有百分之百安全的技術(shù)和防護(hù)系統(tǒng)黑客技術(shù)����,計(jì)算機(jī)病毒等信息安全攻擊技術(shù)在不斷發(fā)展的,人們對它們的認(rèn)識��,掌握也不是完全的���,安全防護(hù)軟件系統(tǒng)由于技術(shù)復(fù)雜,在研制開發(fā)過程中不可避免的會(huì)出現(xiàn)這樣或者那樣的問題�,這勢必決定了安全防護(hù)系統(tǒng)和設(shè)備不可能百分百的防御各種已知的,未知的信息安全威脅���。
不是所有的信息安全問題可以一次解決
人們對信息安全問題的認(rèn)識是隨著技術(shù)和應(yīng)用的發(fā)展而逐步提高的���,不可能一次就發(fā)現(xiàn)所有的安全問題。信息安全生產(chǎn)廠家所生產(chǎn)的系統(tǒng)和設(shè)備���,也僅僅是滿足某一些方面的安全需求���,不是企業(yè)有某一方面的信息安全需求,市場上就有對應(yīng)的成熟產(chǎn)品�����,因此不是所有的安全問題都可以找到有效的解決方案。
第3篇
關(guān)鍵詞:信息安全��;等級保護(hù)��;漏洞掃描
中圖分類號:TP315 文獻(xiàn)標(biāo)識碼:A 文章編號:1007-9599 (2011) 23-0000-02
Use Vulnerability Scanning System to Improve the Level of Power Supply Enterprise Information Security Management
Chen Wan
(Guangdong Power Grid Corporation,Shantou Power Supply Bureau,Shantou 515041,China)
Abstract:The building vulnerability scanning system,and regulate their use of processes,thereby enhancing the power supply enterprise level and effectiveness of information security management.Shantou Power Supply Bureau introduced the use of the IDC deployment vulnerability scanning system,set up the server was added to the process specifications,thereby enhancing the information security management.
Keywords:Information security;Protection Level;Vulnerability scanning
引言:伴隨著信息化的高速發(fā)展����,信息安全的形勢日趨復(fù)雜和嚴(yán)峻。國家政府對信息安全高度關(guān)注�����,信息安全等級保護(hù)是我國在新的信息安全形勢下推行的一項(xiàng)國家制度���,國家相關(guān)部門高度重視等級保護(hù)制度的落實(shí)與執(zhí)行���。信息系統(tǒng)是業(yè)務(wù)系統(tǒng)的支持平臺,信息系統(tǒng)的安全是承載業(yè)務(wù)系統(tǒng)安全的基礎(chǔ)���,而在信息系統(tǒng)等級保護(hù)中�����,安全技術(shù)測評包括五個(gè)部分:分別是物理安全��、網(wǎng)絡(luò)安全��、主機(jī)安全�����、應(yīng)用安全���、數(shù)據(jù)安全及備份恢復(fù)。其中所涉及到的主機(jī)系統(tǒng)安全控制點(diǎn)包括:身份鑒別�����、安全標(biāo)記���、訪問控制���、可信路徑、安全審計(jì)�����、入侵防范、惡意代碼防范和資源控制等九個(gè)控制點(diǎn)�。怎么提前做好風(fēng)險(xiǎn)控制,利用現(xiàn)有的信息安全工具��,規(guī)范信息系統(tǒng)主機(jī)上架前的檢測���,對信息安全的管理是一種創(chuàng)新的嘗試�,也是安全管理中位于未雨綢繆的體現(xiàn)���。
一�����、漏洞掃描系統(tǒng)的構(gòu)建
(一)漏洞掃描工具的作用
漏洞掃描工具采用高效���、智能的漏洞識別技術(shù),第一時(shí)間主動(dòng)對網(wǎng)絡(luò)中的資產(chǎn)進(jìn)行細(xì)致深入的漏洞檢測�����、分析���,并提供專業(yè)�����、有效的漏洞防護(hù)建議���。
我們采用的漏洞掃描工具的管理是基于Web的管理方式�,用戶使用瀏覽器通過SSL加密通道和系統(tǒng)Web界面模塊進(jìn)行交互�,采用模塊化設(shè)計(jì)。具有優(yōu)化的專用安全系統(tǒng)平臺����,具有很高的安全性和穩(wěn)定性。其專用硬件能夠長期穩(wěn)定地運(yùn)行�,很好地保證了任務(wù)的周期性自動(dòng)處理�����。能夠自動(dòng)處理的任務(wù)包括:評估任務(wù)下發(fā)�����、掃描結(jié)果自動(dòng)分析��、處理和發(fā)送���、系統(tǒng)檢測插件的自動(dòng)升級等���。同時(shí)支持多用戶管理模式�����,能夠?qū)τ脩舻臋?quán)限做出嚴(yán)格的限制��,通過權(quán)限的劃分可以實(shí)現(xiàn)一臺設(shè)備多人的虛擬多機(jī)管理����,并且提供了登錄�、操作和異常等日志審計(jì)功能,方便用戶對系統(tǒng)的審計(jì)和控制�����。
在每次安全評估之前�����,用戶需要根據(jù)自己的業(yè)務(wù)系統(tǒng)確定需要進(jìn)行評估的資產(chǎn),并且劃分資產(chǎn)的重要性���。漏洞掃描系統(tǒng)根據(jù)用戶的資產(chǎn)及其重要性會(huì)自動(dòng)在其內(nèi)部對目標(biāo)評估系統(tǒng)建立基于時(shí)間和基于風(fēng)險(xiǎn)等多種安全評估模型。在對目標(biāo)完成評估之后�����,模型輸出的結(jié)果數(shù)據(jù)不但有定性的趨勢分析,而且有定量的風(fēng)險(xiǎn)分析����,用戶能夠清楚地看到單個(gè)資產(chǎn)�����、整個(gè)網(wǎng)絡(luò)的資產(chǎn)存在的風(fēng)險(xiǎn),還能夠看到網(wǎng)絡(luò)中漏洞的分布情況�����、風(fēng)險(xiǎn)級別排名較高的資產(chǎn)�、不同操作系統(tǒng)和不同應(yīng)用漏洞分布等詳細(xì)統(tǒng)計(jì)信息,用戶能夠很直觀地了解自己網(wǎng)絡(luò)安全狀況���。
(二)漏洞掃描工具的部署
針對汕頭供電局的網(wǎng)絡(luò)情況�����,使用獨(dú)立式部署方式。獨(dú)立式部署就是在網(wǎng)絡(luò)中部署一臺漏洞掃描設(shè)備��。在共享式工作模式下�����,只要將設(shè)備接入網(wǎng)絡(luò)并進(jìn)行正確的配置即可正常使用����,其工作范圍通常包含汕頭供電局的整個(gè)網(wǎng)絡(luò)地址,用戶登錄系統(tǒng)并下達(dá)掃描任務(wù)��。下圖是漏洞掃描系統(tǒng)獨(dú)立式部署模式圖��。從圖中可以看出����,無論在汕頭供電局何處接入設(shè)備���,網(wǎng)絡(luò)都能正常工作���,完成對網(wǎng)絡(luò)的安全評估。
圖1:漏洞掃描系統(tǒng)獨(dú)立式部署模式圖
(三)漏洞掃描工具的定位
1.利用漏洞掃描工具定期對網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行掃描�����,以便主動(dòng)發(fā)現(xiàn)存在的安全隱患和防護(hù)漏洞��。
2.巡檢服務(wù)中對操作系統(tǒng)修補(bǔ)�、加固和優(yōu)化�����,根據(jù)提供出來的評估報(bào)告對相關(guān)系統(tǒng)進(jìn)行打補(bǔ)丁、升級���、修補(bǔ)��、加固和優(yōu)化���,提供詳細(xì)操作報(bào)告。
3.巡檢服務(wù)過程中針對網(wǎng)絡(luò)設(shè)備安全加固和優(yōu)化���;進(jìn)行修補(bǔ)和加固�,按照安全策略進(jìn)行安全配置和優(yōu)化���,提供詳細(xì)操作報(bào)告�����。包括:網(wǎng)絡(luò)設(shè)備的安全配置�����,網(wǎng)絡(luò)設(shè)備的安全加固��,網(wǎng)絡(luò)設(shè)備的優(yōu)化配置等��。
4.檢服務(wù)過程中對網(wǎng)絡(luò)安全設(shè)備�����,對所有網(wǎng)絡(luò)邊界進(jìn)行梳理�����,對邊界安全防護(hù)系統(tǒng)的策略進(jìn)行優(yōu)化���。通過綜合應(yīng)用防火墻�����、IPS�����、防病毒網(wǎng)關(guān)等網(wǎng)絡(luò)安全系統(tǒng)���,在區(qū)域邊界實(shí)施嚴(yán)密的控制措施,盡量在邊界阻斷來自區(qū)域外的安全威脅����,從而最大化地提高電力信息數(shù)據(jù)的安全性和電力信息系統(tǒng)的可用性。
5.巡檢服務(wù)過程中在安全評估的基礎(chǔ)上�����,對桌面終端和服務(wù)器系統(tǒng)中存在的安全漏洞進(jìn)行修復(fù)�。對于無法修復(fù)的漏洞,評價(jià)其可能帶來的安全風(fēng)險(xiǎn)�����,并采用周邊網(wǎng)絡(luò)防護(hù)系統(tǒng)(如防火墻�、IPS等)阻斷可能的攻擊,或通過監(jiān)控等手段對該風(fēng)險(xiǎn)進(jìn)行控制管理����。
二、服務(wù)器上架漏洞掃描規(guī)范編寫
按照信息安全工作實(shí)際需要�,以“制度化管理、規(guī)范化操作”為原則���,完善信息安全管理策略規(guī)范����,理順信息工作內(nèi)部安全控制流程規(guī)范,不斷增強(qiáng)網(wǎng)絡(luò)與信息安全整體管控效能��。為更好的保障汕頭供電局信息網(wǎng)絡(luò)的安全��、穩(wěn)定運(yùn)行�����,使得漏洞掃描工具能真正的用到實(shí)處���,特制訂漏洞系統(tǒng)管理流程���。如下圖:
圖2:每季度漏洞掃描流程圖
圖3:新服務(wù)器上架前漏洞掃描流程圖
(一)漏洞掃描管理員的職責(zé)
負(fù)責(zé)漏洞掃描軟件(包括漏洞庫)的管理、更新和公布��;
負(fù)責(zé)查找修補(bǔ)漏洞的補(bǔ)丁程序��,及時(shí)提出漏洞修復(fù)方案�����;
密切注意最新漏洞的發(fā)生���、發(fā)展情況����,關(guān)注和追蹤業(yè)界公布的漏洞疫情;
每季度第一個(gè)月1-4日期間(節(jié)假日順推)進(jìn)行上季度安全掃描復(fù)查�����;
每季度第一個(gè)月5號(節(jié)假日順推)生成上季度匯總報(bào)告���;
新系統(tǒng)上線前,負(fù)責(zé)對系統(tǒng)管理員提出的申請的主機(jī)進(jìn)行漏洞掃描檢查���,并提交漏洞掃描報(bào)告給系統(tǒng)管理員���,并檢查主機(jī)漏洞修補(bǔ)情況。
(二)系統(tǒng)管理員的職責(zé)
負(fù)責(zé)對漏洞掃描系統(tǒng)發(fā)現(xiàn)的漏洞進(jìn)行修補(bǔ)工作�����;
遵守漏洞掃描設(shè)備各項(xiàng)管理規(guī)范��。
新系統(tǒng)上線前�����,提交掃描申請,并負(fù)責(zé)對漏洞掃描系統(tǒng)發(fā)現(xiàn)的漏洞進(jìn)行修補(bǔ)工作��。
三�、結(jié)束語
第4篇
(一)管理使用的系統(tǒng)
ERP、加油站賬冊���、二次物流管理�����、加油卡、辦公自動(dòng)化以及企業(yè)門戶網(wǎng)站等系統(tǒng)是石化銷售企業(yè)首要的應(yīng)用系統(tǒng)����。應(yīng)用系統(tǒng)有以下特征:一是系統(tǒng)應(yīng)用范圍廣,全程參與企業(yè)的經(jīng)營�、管理、對外服務(wù)等�;二是系統(tǒng)用戶眾多,涵蓋企業(yè)各階層員工���;三是系統(tǒng)對持續(xù)運(yùn)轉(zhuǎn)要求高���,因此對應(yīng)用系統(tǒng)的安全運(yùn)轉(zhuǎn)要求較高���。對公司的經(jīng)營管理而言,系統(tǒng)的安全穩(wěn)定運(yùn)行具有重大意義�,系統(tǒng)數(shù)據(jù)是否安全、保密性和供應(yīng)商����、企業(yè)利益有密切關(guān)系。
(二)安全管理
隨著我國經(jīng)濟(jì)水平不斷提高��,石化銷售企業(yè)越來越離不開信息化管理���,世界各地的公司對內(nèi)部成立一個(gè)信息化團(tuán)隊(duì),根據(jù)內(nèi)部的需要制定出具有整體性的管理體系��,并根據(jù)相關(guān)的信息安全規(guī)定對系統(tǒng)內(nèi)部的安全等級做好評估保護(hù)工作���。各企業(yè)制定了詳細(xì)有效的“信息系統(tǒng)應(yīng)急預(yù)案”以應(yīng)付各類突發(fā)事件�。近幾年,中國石化內(nèi)控體系在建設(shè)過程中不斷加強(qiáng)�����、完善自身管理體系,也在IT控制方面占有一定的優(yōu)勢���。當(dāng)前,石化銷售企業(yè)已基本形成一套完整的信息安全防御和管理體系��,從而確保了網(wǎng)絡(luò)信息系統(tǒng)的安全性�����。
二、信息安全風(fēng)險(xiǎn)的評估
衡量安全管理體系的風(fēng)險(xiǎn)主要方法是進(jìn)行信息安全風(fēng)險(xiǎn)的評估,以此保障信息資產(chǎn)清單和風(fēng)險(xiǎn)級別,進(jìn)而確定相應(yīng)的防控措施����。在石化銷售企業(yè)進(jìn)行信息安全風(fēng)險(xiǎn)的評估過程中�����,主要通過資金��、威脅��、安全性等識別美容對風(fēng)險(xiǎn)進(jìn)行安全檢測���,同時(shí)結(jié)合企業(yè)自身的實(shí)際情況,擬定風(fēng)險(xiǎn)控制相應(yīng)的對策,把企業(yè)內(nèi)的信息安全風(fēng)險(xiǎn)竟可能下降到最低水平��。
(一)物理存在的風(fēng)險(xiǎn)
機(jī)房環(huán)境和硬件設(shè)備是主要的的物理風(fēng)險(xiǎn)���。當(dāng)前�,部分企業(yè)存在的風(fēng)險(xiǎn)有:1)企業(yè)機(jī)房使用年限過長,如早期的配電����、布線等設(shè)計(jì)標(biāo)準(zhǔn)陳舊,無法滿足現(xiàn)在的需求;2)機(jī)房使用的裝備年限太長、例如中央空調(diào)老化����,制冷效果不佳導(dǎo)致溫度不達(dá)標(biāo)��,UPS電源續(xù)航能力下降嚴(yán)重,門禁系統(tǒng)損壞等���,存在風(fēng)險(xiǎn)���;3)機(jī)房安全防護(hù)設(shè)施不齊全�����,存在風(fēng)險(xiǎn)���。
(二)網(wǎng)絡(luò)和系統(tǒng)安全存在的風(fēng)險(xiǎn)
石化訪問系統(tǒng)的使用和操作大量存在安全風(fēng)險(xiǎn),其中主要風(fēng)險(xiǎn)包括病毒入侵、黑客襲擊�、防火墻無效�����、端口受阻以及操作系統(tǒng)安全隱患等。即使大部分企業(yè)已安裝統(tǒng)一的網(wǎng)絡(luò)防病毒體系�����、硬件防火墻、按期更新網(wǎng)絡(luò)系統(tǒng)軟件����、安裝上網(wǎng)行為監(jiān)控等,但因?yàn)橄到y(tǒng)漏洞數(shù)目不斷增多網(wǎng)絡(luò)結(jié)構(gòu)和襲擊逐漸減弱或者因?yàn)樾畔⑾到y(tǒng)使用人員操作系統(tǒng)本身的安全機(jī)制不完善�����、也會(huì)產(chǎn)生安全隱患�����。
(三)系統(tǒng)安全風(fēng)險(xiǎn)
沒有經(jīng)過許可進(jìn)行訪問�����、數(shù)據(jù)泄密和被刪改等威脅著系統(tǒng)的安全性�����。提供各類應(yīng)用服務(wù)是企業(yè)信息系統(tǒng)的首要任務(wù)�,而數(shù)據(jù)正是應(yīng)用信息系統(tǒng)的核心,因此�����,實(shí)際應(yīng)用與系統(tǒng)安全風(fēng)險(xiǎn)密切聯(lián)系。當(dāng)前�����,信息應(yīng)用系統(tǒng)存儲了大量的客戶�、交易等重要信息��,一旦泄露�����,造成客戶對企業(yè)信任度影響的同時(shí)也會(huì)影響企業(yè)的市場競爭力���。
(四)安全管理存在的風(fēng)險(xiǎn)
安全管理存在的主要指沒有同體的風(fēng)險(xiǎn)安全管理手段�����,管理制度不完善��、管理標(biāo)準(zhǔn)沒有統(tǒng)一�,人員安全意識薄弱等等都存在管理風(fēng)險(xiǎn)����,因此�����,需要設(shè)立完善的信息系統(tǒng)安全管理體系�����,從嚴(yán)管理�,促使信息安全系統(tǒng)正常運(yùn)作��。一方面要規(guī)范健全信息安全管理手段�����,有效較強(qiáng)內(nèi)控IT管理流程控制力度�����,狠抓落實(shí)管理體系的力度�����,杜絕局部管理不足點(diǎn)�;另一方面���,由于信息安全管理主要以動(dòng)態(tài)發(fā)展的形式存在,要不斷調(diào)整���、完善制度��,以符合信息安全的新環(huán)境需求���。
三、信息安全管理體系框架的主要構(gòu)思
信息安全管理體系的框架主要由監(jiān)管體系��、組織體系和技術(shù)體系形成��,特點(diǎn)是系統(tǒng)化�����、程序化和文件化���,而主要思想以預(yù)防控制為主,以過程和動(dòng)態(tài)控制為條件����。完善安全管理體系�����,使石化銷售企業(yè)信息系統(tǒng)和信息網(wǎng)絡(luò)能夠安全可靠的運(yùn)作���,從機(jī)密性、完整性�、不可否認(rèn)性和可用性等方面確保數(shù)據(jù)安全,提升系統(tǒng)的持續(xù)性��,加強(qiáng)企業(yè)的競爭力�。
(一)組織體系
企業(yè)在完善管理體系過程中應(yīng)設(shè)立信息安全委員會(huì)和相關(guān)管理部門,設(shè)置相應(yīng)的信息安全崗位�,明確各級負(fù)責(zé)的信息安全和人員配置等內(nèi)容。在全面提升企業(yè)人員對信息安全了解的過程中必須進(jìn)行信息安全知識的相關(guān)培訓(xùn)�,使工作人員提高信息安全管理意識,實(shí)現(xiàn)信息安全管理工作人人有責(zé)�����。
(二)制度體系
操作規(guī)范����、安全策略、應(yīng)急預(yù)案等各項(xiàng)管理制度經(jīng)過計(jì)劃和下發(fā)���,讓信息安全管理有據(jù)可依�����。企業(yè)參照合理完善的各項(xiàng)制度進(jìn)一步優(yōu)化業(yè)務(wù)流程��,規(guī)范操作行為���,降低事故風(fēng)險(xiǎn)�����,提升應(yīng)急能力�,以此加強(qiáng)信息安全的管理體系�。
(三)技術(shù)體系
管理技術(shù)、防護(hù)技術(shù)�、控制技術(shù)是信息安全管理體系的主要技術(shù)基礎(chǔ)�����。安全技術(shù)包括物理安全技術(shù)���、網(wǎng)絡(luò)安全技術(shù)����、主機(jī)安全技術(shù)、終端安全技術(shù)���、數(shù)據(jù)安全����、應(yīng)用安全技術(shù)等�。一旦出現(xiàn)信息安全事件,技術(shù)體系會(huì)在最短的時(shí)間內(nèi)降低事件的不良影響�����,依靠相關(guān)的信息安全管理技術(shù)平臺���,以實(shí)現(xiàn)信息安全技術(shù)的有效控制��。管理體系的核心是技術(shù)手段����,先進(jìn)的加密算法和強(qiáng)化密鑰管理構(gòu)成的數(shù)據(jù)加密方式全程控制數(shù)據(jù)傳輸和數(shù)據(jù)存儲��,可以保證數(shù)據(jù)的安全性。采用堡壘機(jī)��、防火墻等安全系統(tǒng)可以過濾掉不安全的服務(wù)和非法用戶�����,防止入侵者接近防御設(shè)備�。IDS作為防火墻的重要功能之一,能夠幫助網(wǎng)絡(luò)系統(tǒng)快速檢測出攻擊的對象�,加強(qiáng)了管理員的安全管理技術(shù)(包括審計(jì)工作、監(jiān)視�、進(jìn)攻識別等技術(shù)),提高了信息安全體系的防范性����。企業(yè)數(shù)據(jù)備份這一塊可以采用雙機(jī)熱本地集群網(wǎng)、異地集群網(wǎng)等各種形式進(jìn)行網(wǎng)絡(luò)備份���,利用體統(tǒng)的可用性和容災(zāi)性加強(qiáng)安全管理能力�����。
近年來各個(gè)企業(yè)的惡意軟件、攻擊行為手法變化多端很難防御�����,在各種壓力下,傳統(tǒng)的的安全防預(yù)技術(shù)受到了嚴(yán)峻的考驗(yàn)���,這時(shí)“云安全”技術(shù)當(dāng)之無愧成為當(dāng)今最熱的安全技術(shù)�����。“云安全”技術(shù)主要使用分部式運(yùn)算功能進(jìn)行防御���,而“云安全”技術(shù)對于企業(yè)用戶而言確實(shí)明顯的保障了信息的安全性以及降低客戶端維護(hù)量。“云安全”技術(shù)是未來安全防護(hù)技術(shù)發(fā)展的必由之路����,且今后“云安全”作為企業(yè)安全管理的核心內(nèi)容為企業(yè)的數(shù)據(jù)、服務(wù)器群組以及端點(diǎn)提供強(qiáng)制的安全防御能力�。”
四、信息安全管理體系相關(guān)步驟
由于管理體系具有靈活性�,企業(yè)可依據(jù)自身的特點(diǎn)和實(shí)際情況,使用最優(yōu)方案�����,結(jié)合石化銷售的特征����,提出以下步驟:1)管理體系的重要目標(biāo)�;2)管理體系的主要范疇��;3)管理體系現(xiàn)狀考察與風(fēng)險(xiǎn)估量�����;4)完善管理體系的制度�����;5)整理管理體系的文檔���;6)管理體系的運(yùn)行方式���;7)信息安全管理體系考核。
五�、結(jié)論
第5篇
【關(guān)鍵詞】信息系統(tǒng) 身份鑒別 漏洞掃描 信息安全管理體系(ISMS)
近年來,“Locky勒索軟件變種”�����、““水牢漏洞””�、“支付寶實(shí)名認(rèn)證信息漏洞”�����、“京東12G用戶數(shù)據(jù)泄露”、“700元買他人隱私信息”等信息安全事件層出不窮���,引起各國領(lǐng)導(dǎo)的重視和社會(huì)關(guān)注��。為提高網(wǎng)絡(luò)安全和互聯(lián)網(wǎng)治理���,2014年,我國成立了以主席為最高領(lǐng)導(dǎo)的信息安全管理機(jī)構(gòu)-中央網(wǎng)信辦�;2016年11月,在中國烏鎮(zhèn)舉行了《第三屆世界互聯(lián)網(wǎng)大會(huì)》�����。通過一系列的行為����,為求現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)能夠提高安全能力,為廣大社會(huì)群眾提供服務(wù)的同時(shí)��,能夠保證人民的利益���。
信息系統(tǒng)是由硬件�、軟件、信息���、規(guī)章制度等組成�,主要以處理信息流為主���,信息系統(tǒng)的網(wǎng)絡(luò)安全備受關(guān)注��。企業(yè)在應(yīng)對外部攻擊���,安全風(fēng)險(xiǎn)的同時(shí),當(dāng)務(wù)之急是建立一套完整的信息安全管理體系���。在統(tǒng)一的體系管控下�����,分布實(shí)施�,開展各項(xiàng)安全工作���。
目前�,大多數(shù)企業(yè)的信息安全工作比較單一,主要是部署安全防護(hù)設(shè)備�,進(jìn)行簡單的配置。信息安全工作不全面����,安全管理相對薄弱����,不足以抵抗來自外部的威脅。
1 信息安全問題
1.1 身份鑒別不嚴(yán)格
考慮到方便記憶和頻繁的登錄操作�����,企業(yè)普遍存在管理員賬號簡單或者直接采用系統(tǒng)的默認(rèn)賬號現(xiàn)象����,并且基本不設(shè)定管理員的權(quán)限,默認(rèn)使用最大權(quán)限�����。一旦攻擊者通過猜測或其他手段獲得管理員賬號�,攻擊者如入無人之境,可以任意妄為�����。最終可造成數(shù)據(jù)泄露,系統(tǒng)癱瘓等不可估量的嚴(yán)重后果�����。注重信息安全的企業(yè)會(huì)修改默認(rèn)管理員賬號�,設(shè)定較為復(fù)雜的口令,并定期進(jìn)行口令更換�����。但是也僅僅使用一種身份鑒別技術(shù)���,不足以抵抗外部攻擊��。
1.2 外部攻擊�����,層出不窮
隨著計(jì)算機(jī)技術(shù)的發(fā)展���,信息系統(tǒng)的外部攻簦層出不窮。攻擊者利用網(wǎng)絡(luò)系統(tǒng)的漏洞和缺陷�����,攻擊系統(tǒng)軟件、硬件和數(shù)據(jù)�����,進(jìn)行非法操作�,造成系統(tǒng)癱瘓或者數(shù)據(jù)丟失。 目前主要存在的攻擊手段包括掃描技術(shù)���、郵件
攻擊、拒絕服務(wù)攻擊��、口令攻擊����、惡意程序等等;入侵常用的步驟包括采用漏洞掃描工具進(jìn)行掃描�����、選擇合適的方式入侵���、獲取系統(tǒng)的一定權(quán)限����、提升為系統(tǒng)最高權(quán)限、安裝系統(tǒng)后門�����、獲取敏感信息或者其他攻擊目的�����。攻擊者會(huì)根據(jù)系統(tǒng)特性和網(wǎng)絡(luò)結(jié)構(gòu)采取不同的手段對網(wǎng)絡(luò)進(jìn)行攻擊���,如果不采取相應(yīng)的防御手段�����,很容易被黑客攻擊����,造成損失�����。
1.3 員工安全意識薄弱
很多互聯(lián)網(wǎng)企業(yè)的員工缺乏信息安全意識,存在離開辦公電腦時(shí)不鎖屏現(xiàn)象����;將重要客戶信息、合同等敏感材料放在辦公桌上或者不及時(shí)取走打印機(jī)房內(nèi)的材料�����;優(yōu)盤未經(jīng)殺毒直接連接公司電腦����;隨意點(diǎn)擊不明郵件的鏈接;更有員工將系統(tǒng)賬號���、密碼粘貼在辦公桌上;在系統(tǒng)建設(shè)階段����,大到管理者,小到開發(fā)人員��、測試人員�,均注重技術(shù)實(shí)現(xiàn)和業(yè)務(wù)要求,而忽略了系統(tǒng)的安全和管理���。由于員工的信息安全意識較為薄弱����,很容易造成公司信息泄露,進(jìn)而導(dǎo)致公司的損失���。
1.4 內(nèi)部管理制度不完善
俗話說����,“不以規(guī)矩��,不能成方圓”�。未形成全面的信息安全管理制度體系,缺失部分安全策略���、管理制度�����、操作規(guī)程��,可能導(dǎo)致信息安全管理制度體系存在疏漏�����,部分管理內(nèi)容無法有效實(shí)施�����。使相關(guān)工作過程缺乏規(guī)范依據(jù)和質(zhì)量保障�����,進(jìn)而影響到信息系統(tǒng)的安全建設(shè)和安全運(yùn)維�����。比如在軟件開發(fā)過程中�����,開發(fā)人員會(huì)因?yàn)楦鞣N原因而忽略安全開發(fā)(存在開發(fā)人員沒有意識到代碼安全開發(fā)的問題��;有些開發(fā)人員不愿意使用邊界檢查��,怕影響系統(tǒng)的效率和性能����;當(dāng)然也存在許多遺留代碼存在問題的現(xiàn)象�����,從而導(dǎo)致二次開發(fā)同樣產(chǎn)生問題),可能導(dǎo)致系統(tǒng)存在后門���,被黑客攻擊����。
2 防范措施
企業(yè)需依據(jù)《信息安全等級保護(hù)管理辦法(公通字[2007]43號)》���、《中華人民共和國網(wǎng)絡(luò)安全法》》���、《ISO/IEC 27001》等標(biāo)準(zhǔn)和法律法規(guī)進(jìn)行信息系統(tǒng)安全建設(shè)工作。測評機(jī)構(gòu)在網(wǎng)安的要求下�,對企業(yè)信息系統(tǒng)的安全進(jìn)行測評,并出具相應(yīng)測評結(jié)果���。根據(jù)測評結(jié)果和整改建議�����,采用相應(yīng)的技術(shù)手段(安全認(rèn)證���、入侵檢測�、漏洞掃描��、監(jiān)控管理�����、數(shù)據(jù)備份與加密等)和管理措施(安全團(tuán)隊(duì)�、教育與培訓(xùn)、管理體系等)對信息系統(tǒng)進(jìn)行整改��。如圖1所示����。
2.1 技術(shù)手段
2.1.1 安全認(rèn)證
身份鑒別是指在計(jì)算機(jī)系統(tǒng)中確認(rèn)執(zhí)行者身份的過程,以確定該用戶是否具有訪問某種資源的權(quán)限�,防止非法用戶訪問系統(tǒng)資源,保障合法用戶訪問授權(quán)的信息系統(tǒng)�����。凡登錄系統(tǒng)的用戶����,均需進(jìn)行身份鑒別和標(biāo)識�����,且標(biāo)識需具有唯一性。用戶身份鑒別機(jī)制一般分為用戶知道的信息�����、用戶持有的信息����、用戶生物特征信息三種。針對不同鑒別機(jī)制�����,常用的鑒別技術(shù)(認(rèn)證技術(shù))如表1所示�。
不同的認(rèn)證技術(shù),在安全性���、便捷性方面存在不同的特性���。比如USB-Key的安全等級較高,但會(huì)遇到各種問題���,導(dǎo)致便捷性較差(比如存在軟硬件適配性問題�,移動(dòng)終端無USB口等)。一般認(rèn)為在相同的便捷性前提下���,選擇安全等級較高的認(rèn)證技術(shù)���。針對重要系統(tǒng)應(yīng)采用雙因子認(rèn)證技術(shù)。
2.1.2 入侵檢測
入侵檢測能夠依據(jù)安全策略����,對網(wǎng)絡(luò)和系統(tǒng)進(jìn)行監(jiān)視,發(fā)現(xiàn)各種攻擊行為��,能夠?qū)崟r(shí)保護(hù)內(nèi)部攻擊����、外部攻擊和誤操作的情況,保證信息系統(tǒng)網(wǎng)絡(luò)資源的安全�。入侵檢測系統(tǒng)(IDS)是一個(gè)旁路監(jiān)聽設(shè)備,需要部署在網(wǎng)絡(luò)內(nèi)部�����。如果信息系統(tǒng)中包含了多個(gè)邏輯隔離的子網(wǎng)���,則需要在整個(gè)信息系統(tǒng)中實(shí)施分布部署�����,從而掌控整個(gè)信息系統(tǒng)安全狀況����。
2.1.3 漏洞掃描
漏洞掃描是指基于漏洞數(shù)據(jù)庫�����,通過掃描等手段對目標(biāo)系統(tǒng)的安全脆弱性進(jìn)行檢測���,發(fā)現(xiàn)可利用的漏洞的一種安全檢測行為�����。常見的漏洞掃描類型主要包括系統(tǒng)安全隱患掃描�����、應(yīng)用安全隱患掃描�����、數(shù)據(jù)庫安全配置隱患掃描等�����。系統(tǒng)安全隱患掃描根據(jù)掃描方式的不同�,分為基于網(wǎng)絡(luò)的和基于主機(jī)的系統(tǒng)安全掃描,可以發(fā)現(xiàn)系統(tǒng)存在的安全漏洞��、安全配置隱患��、弱口令�����、服務(wù)和端口等�����。應(yīng)用安全隱患掃描可以掃描出Web應(yīng)用中的SQL注入�����、Cookie注入��、XPath注入�����、LDAP注入、跨站腳本�����、第三方軟件等大部分漏洞����。數(shù)據(jù)庫安全配置隱患掃描可以檢測出數(shù)據(jù)庫的DBMS漏洞�����、缺省配置�、權(quán)限提升漏洞、緩沖區(qū)溢出�����、補(bǔ)丁未升級等自身漏洞���。
漏洞掃描主要用于評估主機(jī)操作系統(tǒng)���、網(wǎng)絡(luò)和安全設(shè)備操作系統(tǒng)、數(shù)據(jù)庫以及應(yīng)用平臺軟件的安全情況,它能有效避免黑客攻擊行為����,做到防患于未然。
2.1.4 監(jiān)控管理
網(wǎng)絡(luò)監(jiān)控主要包括上網(wǎng)監(jiān)控和內(nèi)網(wǎng)監(jiān)控兩部分�����。目前市場上已做的完整監(jiān)控軟件已包含上述功能���。網(wǎng)絡(luò)監(jiān)控需結(jié)合網(wǎng)絡(luò)拓?fù)?,在網(wǎng)絡(luò)關(guān)鍵點(diǎn)接入監(jiān)控工具監(jiān)測當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)流量��,分析可疑信息流���,通過截包解碼分析的方式驗(yàn)證系統(tǒng)數(shù)據(jù)傳輸?shù)陌踩@鏢olarwinds網(wǎng)絡(luò)監(jiān)控平臺����,它包括Network Performance Monitoring、Network Traffic Analysis����、WAN Performance (IP SLA) ����、IP Address Management�����、Network Configuration Management����、Application Performance Monitoring等?����?梢詧?zhí)行全面的帶寬性能監(jiān)控和故障管理;可以分析網(wǎng)絡(luò)流量�����;可以對服務(wù)器上運(yùn)行的服務(wù)和進(jìn)程進(jìn)行自動(dòng)監(jiān)控�,并在故障發(fā)生時(shí)及時(shí)告警;可對VOIP的相關(guān)參數(shù)進(jìn)行監(jiān)控���;可以通過直觀的網(wǎng)絡(luò)控制臺管理整個(gè)IP架構(gòu);可快速檢測���、診斷及解決虛擬化環(huán)境的網(wǎng)絡(luò)性能;強(qiáng)大的應(yīng)用程序監(jiān)視�、告警�����、報(bào)告功能等����。
2.1.5 數(shù)據(jù)備份與加密
企業(yè)高度重視業(yè)務(wù)信息���、系統(tǒng)數(shù)據(jù)和軟件系統(tǒng)��。數(shù)據(jù)在存儲時(shí)應(yīng)加密存儲�����,防止黑客攻擊系統(tǒng)���,輕易獲得敏感數(shù)據(jù)���,造成公司的重大經(jīng)濟(jì)損失。常用的加密算法包括對稱加密(DES��、AES)和不對稱加密算法(RSA)��。密碼技術(shù)不僅可以防止信息泄露���,同時(shí)可以保證信息的完整性和不可抵賴性�����。例如現(xiàn)在比較成熟的哈希算法�、數(shù)字簽名�、數(shù)字證書等�����。
除了對數(shù)據(jù)進(jìn)行加密存儲外����,由于存在數(shù)據(jù)丟失�����、系統(tǒng)斷電、機(jī)房著火等意外����,需對系統(tǒng)數(shù)據(jù)進(jìn)行備份。按照備份環(huán)境�,備份分為本地備份和異地備份;按照備份數(shù)據(jù)量的多少����,備份分為全備、增備����、差分備份和按需備份。各企業(yè)需根據(jù)自己的業(yè)務(wù)要求和實(shí)際情況���,選取合適的備份方式進(jìn)行備份�。理想的備份是綜合了軟件數(shù)據(jù)備份和硬件冗余設(shè)計(jì)���。
2.2 管理措施
2.2.1 安全團(tuán)隊(duì)
企業(yè)應(yīng)設(shè)立能夠統(tǒng)一指揮����、協(xié)調(diào)有序、組織有力的專業(yè)的安全管理團(tuán)隊(duì)負(fù)責(zé)信息安全工作���,該團(tuán)隊(duì)包括信息安全委員會(huì)��,信息安全部門及其成員�。安全部門負(fù)責(zé)人除了具備極強(qiáng)的業(yè)務(wù)處理能力����,還需要有管理能力、溝通能力���、應(yīng)變能力����。目前安全團(tuán)隊(duì)的從業(yè)人員數(shù)量在逐漸增加�����,話語權(quán)在增多��,肩上的擔(dān)子也越來越大�����。安全團(tuán)隊(duì)需要定好自己的位�����,多檢查少運(yùn)維���,多幫企業(yè)解決問題���。即安全團(tuán)隊(duì)修路,各部門在上面跑自己的需求����。
2.2.2 教育c培訓(xùn)
保護(hù)企業(yè)信息安全,未雨綢繆比亡羊補(bǔ)牢要強(qiáng)���。培養(yǎng)企業(yè)信息安全意識文化����,樹立員工信息安全責(zé)任心���,是解決企業(yè)信息安全的關(guān)鍵手段之一����。企業(yè)的競爭實(shí)際上是人才的競爭,除了定期進(jìn)行技能培訓(xùn)外��,還需對員工的安全意識進(jìn)行教育和培訓(xùn)�。信息安全團(tuán)隊(duì)?wèi)?yīng)制定信息安全意識教育和培訓(xùn)計(jì)劃,包括但不限于在線�、郵件、海報(bào)(標(biāo)語)��、視頻��、專場�����、外培等形式����。通過對員工的安全意識教育,能從內(nèi)部預(yù)防企業(yè)安全事件的發(fā)生����,提高企業(yè)的安全保障能力。
2.2.3 管理體系
隨著計(jì)算機(jī)攻擊技術(shù)的不斷提高����,攻擊事件越來越多,且存在部分攻擊來自公司組織內(nèi)部�。單靠個(gè)人的力量已無法保障信息系統(tǒng)的安全。因此���,企業(yè)需建立自上而下的信息安全管理體系(ISMS�, Information Security Management System)�����,以達(dá)到分工明確�,職責(zé)清晰,安全開發(fā)����,可靠運(yùn)維。安全管理制度作為安全管理體系的綱領(lǐng)性文件�,在信息系統(tǒng)的整個(gè)生命周期中起著至關(guān)重要的作用。不同機(jī)構(gòu)在建立與完善信息安全管理體系時(shí)�,可根據(jù)自身情況,采取不同的方法�,一般經(jīng)過PDCA四個(gè)基本階段(Plan:策劃與準(zhǔn)備;Do文件的編制���;Check運(yùn)行�����;Action審核�����、評審和持續(xù)改進(jìn))��?���?梢罁?jù)ISO27000,信息安全等級保護(hù)等��,從制度���、安全機(jī)構(gòu)�����、人員�、系統(tǒng)建設(shè)和系統(tǒng)運(yùn)維5個(gè)方面去制定信息安全管理體系�。通常�����,信息安全管理體系主要由總體方針和政策、安全管理制度�����、日常操作規(guī)程和記錄文檔組成���,如圖2所示����。
3 結(jié)語
國家不斷加強(qiáng)對各個(gè)互聯(lián)網(wǎng)企業(yè)���、金融�����、銀行等的信息安全工作監(jiān)督����,通過ISO27000�����、信息安全等級保護(hù)測評、電子銀行評估�、互聯(lián)網(wǎng)網(wǎng)站專項(xiàng)安全測評等方式,規(guī)范企業(yè)的信息安全建設(shè)工作����。同樣,信息安全工作長期面臨挑戰(zhàn)����,不能一蹴而就,需要相關(guān)安全工作人員戮力同心�、同舟共濟(jì)、相互扶持���、攜手共建信息安全的共同體����。
參考文獻(xiàn)
[1]沈昌祥�,張煥國,馮登國等.信息安全綜述[J].中國科學(xué)雜志社��,2007(37):129-150.
[2]李嘉����,蔡立志�����,張春柳等.信息系統(tǒng)安全等級保護(hù)測評實(shí)踐[M].哈爾濱工程大學(xué)出版社��,2016(01).
[3]蔣欣.計(jì)算機(jī)網(wǎng)絡(luò)戰(zhàn)防御技術(shù)分析[J].指揮控制與仿真��,2006(08),28-4.
作者簡介
康玉婷(1988-)���,女���,上海市人。碩士學(xué)位?�,F(xiàn)為信息安全等級測評師�、初級工程師。主要研究方向?yàn)樾畔踩?/p>
作者單位
第6篇
【關(guān)鍵詞】 傳統(tǒng)行業(yè) 信息安全建設(shè) 問題 策略
【作者簡介】 胡鵬��,中石化湖北石油分公司工程師����,研究方向:網(wǎng)絡(luò)安全�。
【中圖分類號】 X913.2 【文獻(xiàn)標(biāo)識碼】 A 【文章編號】 2095-5103(2015)04-0051-02
信息安全建設(shè)包括三大部分�,即人員、管理和技術(shù)�����,尤其是信息安全管理�,已經(jīng)越發(fā)受到各界的廣泛關(guān)注,并以此為核心來打造信息安全保障體系�����。信息安全對于各行各業(yè)來說���,均具有極其重要的地位����,其不僅關(guān)乎企業(yè)自身信息安全����,也關(guān)乎普通消費(fèi)者信息安全�。因此構(gòu)建信息安全體系��,是企業(yè)未來發(fā)展的重點(diǎn)工作����。
一�����、傳統(tǒng)行業(yè)信息安全建設(shè)現(xiàn)狀分析
(一)對信息安全建設(shè)缺乏足夠認(rèn)識��。就目前國內(nèi)實(shí)際情況來說,傳統(tǒng)行業(yè)對于信息安全建設(shè)尚沒有足夠的認(rèn)識��,導(dǎo)致信息安全建設(shè)難以切實(shí)施行����。具體來說�����,這主要表現(xiàn)在三個(gè)方面。一是傳統(tǒng)行業(yè)的領(lǐng)導(dǎo)者對信息安全建設(shè)缺少必要的認(rèn)識��,在面對信息化浪潮的沖擊時(shí)����,其最先想到的是提升行業(yè)品質(zhì)來面對新挑戰(zhàn)�����,卻忽視了通過信息安全建設(shè)保護(hù)行業(yè)核心信息資源�,導(dǎo)致行業(yè)信息被逐漸泄露,無法與新行業(yè)相抗衡��,以致逐漸失去競爭力����。最典型的就是傳統(tǒng)出版行業(yè)���,在數(shù)字化刊物逐漸普及的情況下,傳統(tǒng)出版行業(yè)已經(jīng)顯得捉襟見肘�����,出版物印刷量與銷售量逐年下降����。二是行業(yè)內(nèi)部員工缺少對信息安全的認(rèn)識����,在日常工作中����,會(huì)在不經(jīng)意間泄露行業(yè)信息����。更有甚者為了一己私利出賣行業(yè)信息�。這些舉動(dòng)都對傳統(tǒng)行業(yè)造成了極其惡劣的影響����。三是普通消費(fèi)者缺少對信息安全的認(rèn)識��,在某些需要消費(fèi)者個(gè)人信息資料的行業(yè)中���,消費(fèi)者往往沒有考慮個(gè)人信息資料是否安全����,是否存在泄露的風(fēng)險(xiǎn)以及相應(yīng)的后果��。忽視這些的結(jié)果就是消費(fèi)者缺少對相關(guān)企業(yè)信息安全的要求�,在發(fā)生意外情況后無法挽回���。
(二)信息安全建設(shè)技術(shù)水平較低。傳統(tǒng)行業(yè)雖然缺乏對信息安全建設(shè)的認(rèn)識����,但也并非沒有進(jìn)行信息安全建設(shè)�����,只是其信息安全建設(shè)技術(shù)水平較低,無法切實(shí)滿足對企業(yè)信息安全的保護(hù)�����。信息安全建設(shè)技術(shù)水平低主要表現(xiàn)在兩個(gè)方面���。一是信息安全管理體系架構(gòu)技術(shù)層次低����,一個(gè)體系架構(gòu)的技術(shù)高低���,決定了該體系所能發(fā)揮的功能高低����。越先進(jìn)越高端的技術(shù)�,其對信息安全的保護(hù)也就越安全�,反之亦然。傳統(tǒng)行業(yè)信息安全管理體系的基礎(chǔ)架構(gòu)以及權(quán)限設(shè)置等信息保障措施���,其技術(shù)相對一些新行業(yè)而言較為落后���,無法符合不斷更新的計(jì)算機(jī)技術(shù)��,更無法有效彌補(bǔ)信息安全漏洞,只能說是徒有其表�。二是人員管理技術(shù)水平較低�,人員管理也是信息安全建設(shè)的重要環(huán)節(jié)�。每一個(gè)員工都攜帶著一定程度的行業(yè)信息�����,只有加強(qiáng)對員工的管理�����,建立科學(xué)人性的管理體系,才能確保企業(yè)人員不會(huì)因?yàn)槭д`或利益泄露行業(yè)信息����。
(三)信息安全建設(shè)覆蓋范圍較窄��。信息安全建設(shè)覆蓋范圍較窄主要可以分為兩個(gè)方面,一是進(jìn)行信息安全建設(shè)的傳統(tǒng)行業(yè)范圍較窄;二是行業(yè)內(nèi)部信息安全建設(shè)的范圍較窄�����。對于所有傳統(tǒng)行業(yè)而言����,已經(jīng)完成信息安全建設(shè)或正在建設(shè)的行業(yè)并不多。根據(jù)相關(guān)統(tǒng)計(jì)資料����,傳統(tǒng)行業(yè)中完成或進(jìn)行中的信息安全建設(shè)的企業(yè),尚不到20%����。這一數(shù)據(jù)說明信息安全建設(shè)率在傳統(tǒng)行業(yè)中來講還很低,還需要加強(qiáng)相關(guān)理念的宣傳��,引導(dǎo)更多的傳統(tǒng)企業(yè)進(jìn)行信息安全建設(shè)��。在行業(yè)內(nèi)部����,信息安全建設(shè)集中在企業(yè)核心機(jī)密,即企業(yè)相關(guān)財(cái)務(wù)數(shù)據(jù)���、產(chǎn)品數(shù)據(jù)和市場數(shù)據(jù)等��,忽視了員工信息安全及一些外在信息安全的構(gòu)建��。雖然此舉能夠保障企業(yè)核心利益��,卻無法保證企業(yè)正常良性的運(yùn)轉(zhuǎn)�����。
二�����、傳統(tǒng)行業(yè)信息安全建設(shè)中的問題及原因
(一)缺少完善的法律法規(guī)����。在信息安全方面,我國尚缺少有效完善的法律法規(guī)來加強(qiáng)信息安全建設(shè)��,這主要表現(xiàn)在兩個(gè)方面��。一方面是缺少對傳統(tǒng)行業(yè)信息安全建設(shè)的強(qiáng)制性法律法規(guī)��。傳統(tǒng)行業(yè)本身對信息安全缺少足夠的認(rèn)識���,再加之缺少必須的法律法規(guī)����,就致使傳統(tǒng)行業(yè)基本忽視了信息安全建設(shè)���。另一方面是缺少對信息安全犯罪的法律法規(guī)���,近年來隨著信息技術(shù)發(fā)展迅猛,各種信息安全犯罪層出不窮���,犯罪性質(zhì)也從經(jīng)濟(jì)犯罪上升到了更加惡劣的性質(zhì)���。各種由于個(gè)人信息泄露而出現(xiàn)的綁架、搶劫等案件��,急需出臺相應(yīng)的信息安全法律法規(guī)來加以制約�。
(二)傳統(tǒng)行業(yè)內(nèi)部信息安全管理不力。信息安全管理主要包括體系建設(shè)�����、制度建設(shè)和人員管理�����。這三個(gè)方面的工作在傳統(tǒng)行業(yè)中來說都并不到位。體系建設(shè)主要是指信息安全管理體系���,一套完整的管理體系���,應(yīng)當(dāng)從上至下,由內(nèi)而外�,將方方面面的信息安全包羅其中,以形成一個(gè)上下一體的信息安全管理系統(tǒng)�。制度建設(shè)主要針對信息安全制定相應(yīng)的信息安全管理制度,通過確實(shí)的規(guī)章制度�����,對企業(yè)員工形成約束�����,避免其出現(xiàn)一些不利企業(yè)信息安全的行為����。人員管理主要是加強(qiáng)對企業(yè)員工的信息安全意識教育,讓其樹立起保護(hù)信息安全的基本意識。
(三)基礎(chǔ)信息安全建設(shè)設(shè)施缺乏����。基礎(chǔ)信息安全建設(shè)設(shè)施缺乏�����,是擺在傳統(tǒng)行業(yè)面前的關(guān)鍵問題����,這主要包括兩個(gè)方面的問題�。一是技術(shù)基礎(chǔ)缺乏,目前我國信息安全建設(shè)的技術(shù)基礎(chǔ)基本源自國外���,這從信息安全的角度來說本身就是一種不安全的行為��。只有創(chuàng)建完全自主的信息安全技術(shù)��,才能杜絕國外技術(shù)可能存在的技術(shù)后門�����。二是硬件基礎(chǔ)缺乏��,這與技術(shù)基礎(chǔ)缺乏對信息安全的不利影響是一致的�。總的來說�����,硬軟件的缺乏��,是傳統(tǒng)行業(yè)信息安全建設(shè)的最大問題�����。
三���、傳統(tǒng)行業(yè)信息安全建設(shè)策略分析
(一)完善信息安全法律法規(guī)���。要做好傳統(tǒng)行業(yè)信息安全建設(shè),最首要的就是完善相應(yīng)的信息安全法律法規(guī)��,從法律層面對信息安全建設(shè)進(jìn)行定性���。首先是明確傳統(tǒng)行業(yè)信息安全建設(shè)的義務(wù)�,通過法律規(guī)定強(qiáng)制傳統(tǒng)行業(yè)進(jìn)行信息安全建設(shè)���,迫使其領(lǐng)導(dǎo)層重視信息安全建設(shè)��,進(jìn)而在行業(yè)全局決策中增加對信息安全建設(shè)的思考與傾斜�����。其次是對信息安全犯罪作出全面的定性與量刑�,加強(qiáng)對信息安全犯罪的打擊力度,通過法律手段減少信息安全威脅�����。
(二)加強(qiáng)行業(yè)內(nèi)部信息安全管理���。加強(qiáng)行業(yè)內(nèi)部信息安全管理,是信息安全建設(shè)的重要環(huán)節(jié)��,其可以從三個(gè)方面來進(jìn)行����。第一是構(gòu)建企業(yè)員工信息梯度,針對企業(yè)不同部門以及不同職位�����,制定不同的信息等級制度,以此改善員工功能與信息的不對等關(guān)系���。第二是構(gòu)建信息管理制度����,針對企業(yè)類型����、企業(yè)所包含信息的類型以及其機(jī)密程度,制定合理的信息管理制度��,加強(qiáng)對內(nèi)部員工的約束��。第三是加強(qiáng)對企業(yè)員工的信息安全建設(shè)培訓(xùn)����,使企業(yè)員工具有一定的信息安全建設(shè)意識,能夠從一些小事上進(jìn)行信息安全建設(shè)�����。
(三)自主化信息安全建設(shè)基礎(chǔ)設(shè)施��。自主化信息安全建設(shè)基礎(chǔ)設(shè)施應(yīng)當(dāng)從基礎(chǔ)技術(shù)與基礎(chǔ)硬件兩個(gè)方面進(jìn)行��。就基礎(chǔ)技術(shù)而言,傳統(tǒng)行業(yè)應(yīng)該大量參考國外相關(guān)技術(shù)����,博采眾長,創(chuàng)建不依賴于國外技術(shù)的信息安全建設(shè)技術(shù)�,真正實(shí)現(xiàn)信息安全建設(shè)技術(shù)國產(chǎn)化,從根源上排除國外技術(shù)對傳統(tǒng)行業(yè)信息安全可能存在的技術(shù)風(fēng)險(xiǎn)��。在基礎(chǔ)硬件方面�����,傳統(tǒng)行業(yè)可以加強(qiáng)與國內(nèi)硬件廠商的合作����,共同研發(fā)具有行業(yè)特點(diǎn)的信息安全建設(shè)硬件,減少國外硬件的引入與應(yīng)用����?���?偟膩碚f,信息安全建設(shè)應(yīng)該在國外硬軟件的基礎(chǔ)上�,開發(fā)自主的硬軟件設(shè)備����,使信息安全建設(shè)完全實(shí)現(xiàn)國產(chǎn)化�。
(四)綜合采取多種有效措施構(gòu)建信息安全大環(huán)境。信息安全建設(shè)并非企業(yè)一己之力就能夠做好����,還需要多方協(xié)作,構(gòu)建信息安全大環(huán)境�,如此才能在整個(gè)行業(yè)中進(jìn)行信息安全建設(shè)。第一�����,加強(qiáng)企業(yè)之間的信息交流與合作管理���。對于同一行業(yè)而言���,企業(yè)的核心信息在一定程度上來說相似甚至相同,即企業(yè)的信息安全建設(shè)在一定程度上形成了交集��。同類型企業(yè)可以加強(qiáng)信息交流����,合作構(gòu)建信息安全管理體系����,加強(qiáng)信息安全管理��。第二����,構(gòu)建企業(yè)信息安全評級制度,由國家相關(guān)部門牽頭��,聯(lián)合行業(yè)內(nèi)的優(yōu)秀企業(yè)����,組建企業(yè)信息安全評級機(jī)構(gòu)�����,對行業(yè)內(nèi)企業(yè)進(jìn)行信息安全評級���,并將評級結(jié)果公布于眾���,讓消費(fèi)者能夠清楚認(rèn)識到企業(yè)的信息安全等級以選擇能夠保障自身信息安全的企業(yè)�����。此舉還可以加強(qiáng)企業(yè)對信息安全建設(shè)的重視程度��,促使企業(yè)進(jìn)行信息安全建設(shè)����。第三,構(gòu)建信息安全犯罪打擊網(wǎng)絡(luò)�����,由公安部牽頭�,聯(lián)合國內(nèi)優(yōu)秀的信息安全商構(gòu)建信息安全犯罪打擊平臺,加強(qiáng)對信息安全的監(jiān)管及信息安全犯罪的打擊�。
參考文獻(xiàn):
第7篇
隨著企業(yè)信息化水平的提升,大多數(shù)企業(yè)在信息安全建設(shè)上逐步添加了上網(wǎng)行為管理����、內(nèi)網(wǎng)安全管理等新的安全設(shè)備,但信息安全防護(hù)理念還停留在防的階段����,信息安全策略都是在安全事件發(fā)生后再補(bǔ)救����,導(dǎo)致了企業(yè)信息防范的主動(dòng)性和意識不高�,信息安全防護(hù)水平已經(jīng)越來越不適應(yīng)當(dāng)今企業(yè)IT運(yùn)維環(huán)境和企業(yè)發(fā)展的需求。
2企業(yè)信息系統(tǒng)安全防護(hù)的構(gòu)建原則
企業(yè)信息化安全建設(shè)的目標(biāo)是在保障企業(yè)數(shù)字化成果的安全性和可靠性���。在構(gòu)建企業(yè)信息安全體系時(shí)應(yīng)該遵循以下幾個(gè)原則:
2.1建立企業(yè)完善的信息化安全管理體系
企業(yè)信息安全管理體系首先要建立完善的組織架構(gòu)���、制定信息安全管理規(guī)范,來保障信息安全制度的落實(shí)以及企業(yè)信息化安全體系的不斷完善��?;酒髽I(yè)信息安全管理過程包括:分析企業(yè)數(shù)字化資產(chǎn)評估和風(fēng)險(xiǎn)分析、規(guī)劃信息系統(tǒng)動(dòng)態(tài)安全模型����、建立可靠嚴(yán)謹(jǐn)?shù)膱?zhí)行策略、選用安全可靠的的防護(hù)產(chǎn)品等��。
2.2提高企業(yè)員工自身的信息安全防范意識
在企業(yè)信息化系統(tǒng)安全管理中���,防護(hù)設(shè)備和防護(hù)策略只是其中的一部分�,企業(yè)員工的行為也是維護(hù)企業(yè)數(shù)字化成果不可忽略的組成。所以企業(yè)在實(shí)施信息化安全管理時(shí)��,絕對不能忽視對人的行為規(guī)范和績效管理�����。在企業(yè)實(shí)施企業(yè)信息安全前�����,應(yīng)制定企業(yè)員工信息安全行為規(guī)范���,有效地實(shí)現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全、可靠�、穩(wěn)定運(yùn)行,保證企業(yè)信息安全��。其次階段遞進(jìn)的培訓(xùn)信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施���。企業(yè)對員工進(jìn)行逐次的安全培訓(xùn)�����,強(qiáng)化企業(yè)員工對信息安全的概念����,提升員工的安全意識。使員工的行為符合整個(gè)企業(yè)信息安全的防范要求�。
2.3及時(shí)優(yōu)化更新企業(yè)信息安全防護(hù)技術(shù)
當(dāng)企業(yè)對自身信息安全做出了一套整體完善的防護(hù)規(guī)劃時(shí),就應(yīng)當(dāng)考慮采用何種安全防護(hù)技術(shù)來支撐整個(gè)信息安全防護(hù)體系�。對于安全防護(hù)技術(shù)來說可以分為身份識別、網(wǎng)絡(luò)隔離�����、網(wǎng)絡(luò)安全掃描���、實(shí)時(shí)監(jiān)控與入侵發(fā)現(xiàn)���、安全備份恢復(fù)等。比如身份識別的目的在于防止非企業(yè)人員訪問企業(yè)資源���,并且可以根據(jù)員工級別分配人員訪問權(quán)限�,達(dá)到企業(yè)敏感信息的安全保障��。
3企業(yè)信息安全體系部署的建議
根據(jù)企業(yè)信息安全建設(shè)架構(gòu)�����,在滿足終端安全、網(wǎng)絡(luò)安全���、應(yīng)用安全��、數(shù)據(jù)安全等安全防護(hù)體系時(shí)����,我們需要重點(diǎn)關(guān)注以下幾個(gè)方面:
3.1實(shí)施終端安全��,規(guī)范終端用戶行為
在企業(yè)信息安全事件中,數(shù)字化成果泄漏是屬于危害最為嚴(yán)重的一種行為�。企業(yè)信息安全體系建立前,企業(yè)員工對自己的個(gè)人行為不規(guī)范��,造成了員工可以通過很多方式實(shí)現(xiàn)信息外漏�����。比如通過U盤等存儲介質(zhì)拷貝或者通過聊天軟件傳遞企業(yè)的核心數(shù)字化成果。對于這類高危的行為����,我們在建設(shè)安全防護(hù)體系時(shí),僅僅靠上網(wǎng)行為管理控制是不能完全杜絕的��。應(yīng)該當(dāng)用戶接入企業(yè)信息化平臺前���,就對用戶的終端系統(tǒng)進(jìn)行安全規(guī)范檢查�����,符合企業(yè)制定的終端安全要求后再接入企業(yè)內(nèi)網(wǎng)�����。同時(shí)配合上網(wǎng)行為管理的策略對員工的上網(wǎng)行為進(jìn)行審計(jì)�,使得企業(yè)員工的操作行為符合企業(yè)制定的上網(wǎng)行為規(guī)范����,從終端用戶提升企業(yè)的防護(hù)水平�����。
3.2建設(shè)安全完善的VPN接入平臺
企業(yè)在信息化建設(shè)中�����,考慮總部和分支機(jī)構(gòu)的信息化需要���,必然會(huì)采用VPN方式來解決企業(yè)的需求��。不論是采用SSLVPN還是IPSecVPN�����,VPN加密傳輸都是通用的選擇�����。對于分支機(jī)構(gòu)可以考慮專用的VPN設(shè)備和總部進(jìn)行IPSec連接�����,這種方式更安全可靠穩(wěn)定。對于移動(dòng)終端的接入可以考慮SSLVPN方式�。在這種情況下����,就必須做好對于移動(dòng)終端的身份認(rèn)證識別。其實(shí)我們在設(shè)備采購時(shí)���,可以要求設(shè)備商做好多種接入方式的需求���,并且?guī)椭髽I(yè)搭建認(rèn)證方式����。這將有利于企業(yè)日常維護(hù)����,提升企業(yè)信息系統(tǒng)的VPN接入水平���。
3.3優(yōu)化企業(yè)網(wǎng)絡(luò)的隔離性和控制性
在規(guī)劃企業(yè)網(wǎng)絡(luò)安全邊際時(shí)���,要面對多個(gè)部門和分支結(jié)構(gòu)�,合理的規(guī)劃安全網(wǎng)絡(luò)邊際將是關(guān)鍵����。企業(yè)的網(wǎng)絡(luò)體系可以分為:物理層��;數(shù)據(jù)鏈路層;網(wǎng)絡(luò)層���;傳輸層���;會(huì)話層;表示層��;應(yīng)用層。各體系之間的相互隔離和訪問策略是防止企業(yè)信息安全風(fēng)險(xiǎn)的重要環(huán)節(jié)。在企業(yè)多樣化網(wǎng)絡(luò)環(huán)境的背景下�,根據(jù)企業(yè)安全優(yōu)先級及面臨的風(fēng)險(xiǎn)程度�,做出適合企業(yè)信息安全的防護(hù)策略和訪問控制策略。根據(jù)相應(yīng)防護(hù)設(shè)備進(jìn)行深層次的安全防護(hù)���,真正實(shí)現(xiàn)OSI的L2~L7層的安全防護(hù)��。
3.4實(shí)現(xiàn)企業(yè)信息安全防護(hù)體系的統(tǒng)一管理
為企業(yè)信息安全構(gòu)建統(tǒng)一的安全防護(hù)體系��,重要的優(yōu)勢就是能實(shí)現(xiàn)對全網(wǎng)安全設(shè)備及安全事件的統(tǒng)一管理,做到對整個(gè)網(wǎng)絡(luò)安全事件的“可視��、可控和可管”。企業(yè)采購的各種安全設(shè)備工作時(shí)會(huì)產(chǎn)生大量的安全日志����,如果單靠相關(guān)人員的識別日志既費(fèi)時(shí)效率又低��。而且不同安全廠商的日志報(bào)表還存在很大差異�。所以當(dāng)安全事件發(fā)生時(shí)�����,企業(yè)管理員很難實(shí)現(xiàn)對信息安全的統(tǒng)一分析和管理����。所以在企業(yè)在構(gòu)建信息安全體系時(shí)���,就必須要考慮安全設(shè)備日志之間的統(tǒng)一化�,設(shè)定相應(yīng)的訪問控制和安全策略實(shí)現(xiàn)日志的歸類分析�����。這樣才能做到對全網(wǎng)安全事件的“可視、可控和可管”���。
4結(jié)束語
第8篇
關(guān)鍵詞 信息安全事故�����;安全管理�;事故致因理論
中圖分類號 F49
文獻(xiàn)標(biāo)識碼 A
文章編號 1006-5024(2013)01-0055-04
一、引言
在信息化浪潮席卷全球的今天�����,信息的重要性不言而喻。我國國民經(jīng)濟(jì)和社會(huì)信息化建設(shè)進(jìn)程全面加快,網(wǎng)絡(luò)與信息系統(tǒng)的基礎(chǔ)性��、全局性作用日益增強(qiáng)��,信息技術(shù)在提高企業(yè)服務(wù)水平����、促進(jìn)業(yè)務(wù)創(chuàng)新��、提升核心競爭力等方面發(fā)揮了重要作用�����。但是,在進(jìn)行信息化建設(shè)的同時(shí)��,各種信息安全事故卻頻繁發(fā)生����。據(jù)普華永道2010年度全球信息安全調(diào)查報(bào)告顯示,中國企業(yè)信息安全事故發(fā)生率遠(yuǎn)遠(yuǎn)高于世界平均水平。網(wǎng)絡(luò)事故�、數(shù)據(jù)事故及系統(tǒng)事故是中國企業(yè)常見的三大信息安全事故����,發(fā)生率分別為51%����、45%和40%���,而相同事故在全球范圍內(nèi)的發(fā)生率則為25%���、27%與23%����。
大量文獻(xiàn)和事實(shí)表明,信息的特殊性決定了信息安全事故的高發(fā)性�。信息具有易傳播�、易擴(kuò)散、易毀損的特點(diǎn)�,信息資產(chǎn)比傳統(tǒng)的實(shí)物資產(chǎn)更加脆弱,而其運(yùn)作的風(fēng)險(xiǎn)�、收益和機(jī)會(huì)卻比實(shí)物資產(chǎn)大得多����。企業(yè)對信息系統(tǒng)不斷增強(qiáng)的依賴性也增大了重要信息受到嚴(yán)重侵?jǐn)_和破壞的風(fēng)險(xiǎn),而這些風(fēng)險(xiǎn)常導(dǎo)致企業(yè)資產(chǎn)受損或業(yè)務(wù)中斷�����。
目前����,對于信息安全的研究大多集中于技術(shù)層面��,從早期的加密技術(shù)、數(shù)據(jù)備份����、防病毒到近期網(wǎng)絡(luò)環(huán)境下的防火墻����、入侵檢測���、身份認(rèn)證等��,而從管理方面和流程優(yōu)化方面研究的較少�。Ross Anderson(2001)認(rèn)為,信息安全的經(jīng)濟(jì)管理研究在某種程度上比技術(shù)研究更為重要���。傅毓敏(2010)認(rèn)為��,中國企業(yè)對信息安全管理人員和流程的重視不足是導(dǎo)致相關(guān)安全事故率居高不下的主要原因����。因此����,有必要系統(tǒng)分析企業(yè)信息安全事故發(fā)生的機(jī)理���,以管理因素研究為核心���,找出事故發(fā)生的根本原因。通過控制事故致因因素預(yù)防企業(yè)信息安全事故的發(fā)生����,將對企業(yè)的信息安全管理有一定的指導(dǎo)意義。
本文將生產(chǎn)領(lǐng)域的事故致因理論應(yīng)用到信息安全事故分析中,系統(tǒng)分析企業(yè)信息安全事故的形成機(jī)理�����,將信息安全事故致因因素分為四部分����,即環(huán)境因素、人員因素���、技術(shù)因素和設(shè)備因素�,分析各因素對信息安全事故的影響���,構(gòu)建信息安全事故致因因素魚刺圖�����,并提出針對性的防范措施�����。
二��、理論基礎(chǔ)
(一)國內(nèi)外從管理角度對信息安全事故的研究
國內(nèi)外的學(xué)者從不同角度對信息安全事故原因進(jìn)行了研究��。Van Niekerk(2010)認(rèn)為企業(yè)信息安全文化氛圍是減少人為因素所導(dǎo)致的信息安全事故的關(guān)鍵���;Knapp(2009)等先后對信息安全政策和信息安全事故之間的關(guān)系進(jìn)行了研究���;Herath(2009)通過問卷調(diào)研的實(shí)證研究驗(yàn)證了懲罰力度、壓力和員工的效果認(rèn)知會(huì)對其安全行為產(chǎn)生影響��;Albrechtsen(2010)發(fā)現(xiàn)員工參與�、集體反思和群體作用可以提高員工的信息安全意識,并改善其安全行為���;Stanton(2005)研究發(fā)現(xiàn)終端用戶的安全行為會(huì)對企業(yè)信息安全管理產(chǎn)生影響�����;Ashenden(2008)通過實(shí)證研究發(fā)現(xiàn)信息安全管理人員�、高層管理者和終端用戶之間存在信息鴻溝����,雙方在理解上的差異會(huì)對企業(yè)的信息安全管理產(chǎn)生不利影響�,增加了信息安全事故發(fā)生的幾率。此外�,Vroom(2004)、Flowerday(2005)等學(xué)者也先后對此進(jìn)行了研究。
與國外相比�,國內(nèi)對于信息安全的研究多集中于技術(shù)層面,涉及管理層面的研究較少���。沈昌祥����、張煥國�����、馮登國(2007)系統(tǒng)地闡述了信息安全理論及相關(guān)技術(shù)的發(fā)展���;官巍�����、胡若(2007)從社會(huì)環(huán)境�、商業(yè)����、組織和個(gè)人的角度分析了電子商務(wù)的信息安全問題;劉福來(2010)對中小企業(yè)信息化管理中存在的安全隱患和原因進(jìn)行了分析�。
通過閱讀文獻(xiàn)發(fā)現(xiàn)�,國外學(xué)者大多通過實(shí)證研究驗(yàn)證了一個(gè)或幾個(gè)因素對信息安全事故的影響���,但是缺乏對信息安全事故的系統(tǒng)分析�����。國內(nèi)的研究多用于構(gòu)建信息安全管理體系��,對信息安全事故的分析則鮮有研究���。
(二)事故致因理論
在信息安全事故分析方法的選擇上,本文選擇了在生產(chǎn)領(lǐng)域廣泛應(yīng)用的事故致因理論��。事故致因理論是研究分析導(dǎo)致事故發(fā)生原因因素的科學(xué)理論���。它是描述事故成因�、經(jīng)過和后果的理論���,是研究人�����、物��、環(huán)境���、管理及事故處置等基本因素如何起作用而形成事故并造成損失的理論。
在早期的事故致因理論中�,海因里希(W.H.Heinrich)的事故因果連鎖論最具代表性,它最先提出了物的不安全狀態(tài)和人的不安全行為是導(dǎo)致傷亡事故發(fā)生的兩個(gè)直接因素����。在海因里希事故因果連鎖論的基礎(chǔ)上,博德(F.Bird)等又進(jìn)一步提出了把安全管理作為背后深層次的間接事故致因因素的現(xiàn)代安全科學(xué)觀點(diǎn)�����,認(rèn)為任何安全事故發(fā)生的深層次原因�,都可以歸結(jié)為管理的失誤,人的不安全行為或物的不安全狀態(tài)不過是其背后的深層原因的征兆和管理失誤的反映�。
本文依據(jù)博德(F.Bird)的現(xiàn)代安全科學(xué)觀點(diǎn),提出如圖1所示的信息安全事故模型���。信息安全事故的發(fā)生是由于人的不安全行為和物的不安全狀態(tài)作用在能量物質(zhì)/載體上的結(jié)果�,而企業(yè)的管理因素是導(dǎo)致物的不安全狀態(tài)和人的不安全行為發(fā)生作用的直接因素��。
三��、信息安全事故分析
通過對各類型信息安全事故致因因素的分析,企業(yè)信息安全事故的致因因素大體可分為兩類�,即人的因素和物的因素。其中����,物的因素可進(jìn)一步分為環(huán)境因素、技術(shù)因素����、設(shè)備因素等。根據(jù)實(shí)地調(diào)研和文獻(xiàn)梳理可以得出�����,企業(yè)文化的缺失��、安全規(guī)章制度的不完善等環(huán)境因素是造成事故的深層原因�。因此,本文將企業(yè)信息安全事故的可控致因因素整理歸納后分為四類���,即環(huán)境因素���、人員因素、技術(shù)因素和設(shè)備因素�����,并構(gòu)建了信息安全事故魚刺圖(見圖2)�����。
(一)環(huán)境因素分析
在信息化建設(shè)過程中�����,很多企業(yè)由于急需開展業(yè)務(wù)��,往往出現(xiàn)“先業(yè)務(wù)��,后安全”的現(xiàn)象���,安全管理嚴(yán)重滯后于業(yè)務(wù)的發(fā)展�。在企業(yè)的內(nèi)部環(huán)境中�����,企業(yè)業(yè)務(wù)的符合性直接決定了信息系統(tǒng)的設(shè)計(jì)����、運(yùn)行����、試用和管理是否超出法律規(guī)定和合同規(guī)定的安全要求的約束范圍���。另外�����,很多企業(yè)安裝了一定的安全設(shè)備���,但缺乏統(tǒng)一的安全體系規(guī)劃和安全防范機(jī)制,企業(yè)安全責(zé)任不明確�����,這些都大大增加了信息安全事故發(fā)生的風(fēng)險(xiǎn)�。由于缺乏業(yè)務(wù)連續(xù)性計(jì)劃和事故處理機(jī)制,發(fā)生信息安全事故之后��,企業(yè)的業(yè)務(wù)往往會(huì)出現(xiàn)中斷����,此時(shí),信息管理人員又變成“救火員”恢復(fù)業(yè)務(wù),最終信息安全建設(shè)變成一種“頭痛醫(yī)頭�����,腳痛醫(yī)腳”的亡羊補(bǔ)牢式的行為�。此外���,企業(yè)懲戒措施和審計(jì)機(jī)制的缺乏也是導(dǎo)致信息安全事故頻繁發(fā)生或重復(fù)發(fā)生的重要因素�。
在信息安全管理的外部環(huán)境中����,與企業(yè)密切相關(guān)的是第三方服務(wù)機(jī)構(gòu)或個(gè)人。企業(yè)選擇第三方服務(wù)機(jī)構(gòu)為企業(yè)提供服務(wù)���,就意味著將企業(yè)的部分信息轉(zhuǎn)移至第三方�。企業(yè)與第三方的外包合約不完善�����、第三方的服務(wù)質(zhì)量不高以及對第三方數(shù)據(jù)訪問權(quán)限的不明確易導(dǎo)致企業(yè)關(guān)鍵數(shù)據(jù)的泄露���,容易引發(fā)外部攻擊�����。
(二)人員因素分析
人員是信息安全管理中最為活躍的因素����,不同類別的人員對信息安全事故的影響不盡相同。(1)管理人員���。高層管理者是企業(yè)資源投入的決策者�����,也是企業(yè)信息安全管理的核心���,高層對信息安全的支持和重視不夠是導(dǎo)致企業(yè)信息安全文化欠缺和員工信息安全意識淡漠的關(guān)鍵因素。中層管理者作為銜接企業(yè)高層和基層的橋梁�����,其對上級決策的執(zhí)行力度直接決定了企業(yè)信息安全管理實(shí)施的效果��。(2)技術(shù)人員�。在企業(yè)中,技術(shù)人員可以保證企業(yè)信息系統(tǒng)的日常運(yùn)營和維護(hù)����。但大多數(shù)企業(yè)�����,尤其是中小企業(yè)缺乏信息技術(shù)人才和安全監(jiān)察��、審計(jì)人員�����。由于受人員及技術(shù)的限制,往往一個(gè)管理員既要負(fù)責(zé)系統(tǒng)的配置����,又要負(fù)責(zé)系統(tǒng)的安全管理,安全設(shè)置和安全監(jiān)督都是“一肩挑”��。這種情況使得管理權(quán)限過于集中���,一旦管理員的權(quán)限失控�����,極易導(dǎo)致重要信息泄露��。(3)基層人員���。目前�����,我國企業(yè)的基層員工普遍缺乏信息安全的教育��、培訓(xùn)�,對信息安全意識淡漠����,每天都在以不安全的方式處理著企業(yè)的大量重要信息,如隨意使用移動(dòng)設(shè)備�����、上網(wǎng)不限制等�����,這些不安全的行為都對企業(yè)的信息系統(tǒng)構(gòu)成了潛在的威脅�。
(三)技術(shù)因素分析
信息安全技術(shù)是企業(yè)防范信息安全事故的基本因素,也是我國企業(yè)在信息安全管理中投入較多的一部分���。具體而言�����,導(dǎo)致信息安全事故技術(shù)方面的因素可以分為兩大類:(1)軟件因素��,包括軟件設(shè)計(jì)缺陷或存在技術(shù)漏洞����、殺毒軟件不及時(shí)更新以及突發(fā)的軟件故障等。(2)信息系統(tǒng)設(shè)計(jì)因素����,包括信息系統(tǒng)設(shè)計(jì)時(shí)沒有以風(fēng)險(xiǎn)評估為基礎(chǔ)、業(yè)務(wù)流程描述錯(cuò)誤或遺漏���、前期測試不充分、數(shù)據(jù)訪問權(quán)限設(shè)置不清晰����、關(guān)鍵數(shù)據(jù)沒有備份、信息資產(chǎn)安全等級不明確以及信息資產(chǎn)沒有保護(hù)措施等因素����。這些不安全的技術(shù)因素導(dǎo)致了信息安全漏洞存在的必然性和普遍性�����。在目前互聯(lián)網(wǎng)普及的開放網(wǎng)絡(luò)環(huán)境中��,這些漏洞無疑會(huì)給外部攻擊者留下可乘之機(jī)�����,導(dǎo)致信息安全事故的發(fā)生�����。
(四)設(shè)備因素分析
企業(yè)信息安全管理的設(shè)備主要包括中心機(jī)房����、服務(wù)器���、網(wǎng)絡(luò)設(shè)備���、線路等方面,這些是企業(yè)信息安全保障系統(tǒng)的基礎(chǔ)���。由于設(shè)備因素引起的信息安全事故包括硬件自身故障�、保障設(shè)施故障、人為破壞事故�、其他設(shè)備設(shè)施故障等四種,其致因因素可以歸納為三類:(1)物理安全方面��,包括物理安全邊界不明確�����、非授權(quán)的物理訪問�、設(shè)備或存儲介質(zhì)缺乏安全措施、設(shè)施設(shè)備的非授權(quán)使用或移動(dòng)����、硬件失效等。(2)保障設(shè)施方面����,包括供電或空調(diào)中斷、電氣故障�、電纜損壞等���。(3)外界不可抗力�,包括水災(zāi)��、臺風(fēng)、地震等自然災(zāi)害和恐怖襲擊�����、戰(zhàn)爭等外界不可抗力因素���。這些因素往往會(huì)造成設(shè)施設(shè)備硬件的損壞�,導(dǎo)致存儲于設(shè)備上的數(shù)據(jù)受到干擾和破壞��,容易引發(fā)企業(yè)業(yè)務(wù)的中斷�����。
四��、防范措施
針對上述造成信息安全事故的因素分析����,可以從人員培訓(xùn)、制度完善以及硬件改進(jìn)三個(gè)方面進(jìn)行防范����。具體而言:
(一)建立有效的“人力防火墻”,減少人為因素導(dǎo)致的信息安全事故
信息安全是企業(yè)每個(gè)員工都要面對的問題,通過建立“人力防火墻”能真正調(diào)動(dòng)企業(yè)實(shí)現(xiàn)長治久安的內(nèi)在動(dòng)力����。因此,必須加強(qiáng)信息安全宣傳工作����,增強(qiáng)所有員工對信息安全重要性的認(rèn)識。通過增強(qiáng)管理人員對信息安全的重視�����,營造企業(yè)的安全文化氛圍��,提高企業(yè)員工的信息安全意識����;通過對員工進(jìn)行安全教育與培訓(xùn),增強(qiáng)員工的安全技能��;通過法律法規(guī)�����、安全政策���、訪問權(quán)限與懲戒措施來約束員工的行為���,減少不安全行為的發(fā)生。最終在企業(yè)內(nèi)部形成一種“信息安全�,人人有責(zé)”的企業(yè)文化氛圍,減少人為因素導(dǎo)致的信息安全事故����。
(二)完善企業(yè)信息安全管理體系,減少由于環(huán)境��、技術(shù)因素導(dǎo)致的信息安全事故
信息安全管理體系是依據(jù)企業(yè)信息安全需求��、業(yè)務(wù)流程分析和風(fēng)險(xiǎn)評估的結(jié)果����,綜合利用各種信息安全技術(shù)與產(chǎn)品,在統(tǒng)一的綜合管理平臺上建立的信息安全管理機(jī)制和防范體系��。建立并完善信息安全管理體系�����,可以為企業(yè)的信息管理提供來自策略���、設(shè)計(jì)以及運(yùn)行等各個(gè)層面和階段的安全保障�,有效減少由于環(huán)境因素和技術(shù)因素引起的信息安全事故。建立災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)性計(jì)劃����,強(qiáng)化重要信息數(shù)據(jù)備份,在信息安全事故發(fā)生時(shí)能確保業(yè)務(wù)持續(xù)開展���,將損失降到最低程度��;建立集中化的管理控制機(jī)制���,將數(shù)據(jù)安全控制進(jìn)行集中化管理,建立一個(gè)具有全局性的網(wǎng)絡(luò)管理平臺�����,以確保安全防范策略能夠由上至下全面貫徹執(zhí)行�����,減少數(shù)據(jù)安全風(fēng)險(xiǎn)����;以“適度防范”為原則�,選擇合適的安全技術(shù)與產(chǎn)品���,制定相應(yīng)的訪問控制策略,在考慮成本和投資回報(bào)的基礎(chǔ)上滿足企業(yè)業(yè)務(wù)安全的需求�。
