時(shí)間:2023-10-10 10:42:35
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇公司信息安全管理體系,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進(jìn)步。
關(guān)鍵詞:企業(yè)信息化;信息安全管理體系;信息安全保障
1 企業(yè)信息安全需求與目標(biāo)
近年來隨著企業(yè)信息系統(tǒng)建設(shè)的不斷發(fā)展,企業(yè)的信息化安全也面臨著前所未有的挑戰(zhàn)。作為中國高速列車產(chǎn)業(yè)化制造基地和城軌地鐵車輛定點(diǎn)制造企業(yè),公司的發(fā)展對高速動車行業(yè)產(chǎn)生著舉足輕重的作用;從企業(yè)信息安全現(xiàn)狀分析,公司IT部門主管深深意識到,盡管從自身情況來看,在信息安全方面已經(jīng)做了很多工作,如部署了防火墻、SSL VPN、入侵檢測系統(tǒng)、入侵防御系統(tǒng)、防病毒系統(tǒng)、文檔加密、終端安全管理系統(tǒng)等。但是安全系統(tǒng)更多的在于防堵來自某個(gè)方面的安全威脅,無法產(chǎn)生協(xié)同效應(yīng),距離國際同行業(yè)企業(yè)還存在一定的差距。
公司通過可行性研究及論證,決定借助外力,通過知名的咨詢公司協(xié)助企業(yè)發(fā)現(xiàn)存在的信息安全不足點(diǎn),以科研項(xiàng)目方式,通過研究國家安全標(biāo)準(zhǔn)體系及國家對央企和上市企業(yè)的信息化安全要求,分析企業(yè)目前的現(xiàn)狀和國際標(biāo)準(zhǔn)ISO27001之間的差距,繼而完善企業(yè)信息安全體系的規(guī)劃與設(shè)計(jì),最終建立一套適合企業(yè)現(xiàn)狀的信息安全標(biāo)準(zhǔn)和管理體系。目標(biāo)是使公司信息安全從管理到技術(shù)均得到全面加強(qiáng),建立一個(gè)有責(zé)(職責(zé))、有序(秩序)、有效(效率)的信息安全管理體系,預(yù)防信息安全事件的發(fā)生,確保更小的業(yè)務(wù)損失,提供客戶滿意度,獲取更多的管理支持。在行業(yè)內(nèi)樹立標(biāo)桿和示范,提升企業(yè)形象,贏取客戶信任,增強(qiáng)競爭力。同時(shí),使信息安全體系通過信息安全管理體系通過ISO 27001認(rèn)證標(biāo)準(zhǔn)。
2 企業(yè)信息安全管理體系建設(shè)過程
凡事預(yù)則立,不預(yù)則廢。對于信息安全管理建設(shè)的工作也先由計(jì)劃開始。信息安全管理體系建設(shè)分為四個(gè)階段:實(shí)施安全風(fēng)險(xiǎn)評估、規(guī)劃體系建設(shè)方案、建立信息安全管理體系、體系運(yùn)行及改進(jìn)。也符合信息安全管理循環(huán)PDCA(Plan-Do-Check-Action)模型及ISO27001要求,即有效地保護(hù)企業(yè)信息系統(tǒng)的安全,確保信息安全的持續(xù)發(fā)展。本文結(jié)合作者經(jīng)驗(yàn),重點(diǎn)論述上述幾個(gè)方面的內(nèi)容。
2.1 確立范圍
首先是確立項(xiàng)目范圍,從機(jī)構(gòu)層次及系統(tǒng)層次兩個(gè)維度進(jìn)行范圍的劃分。從機(jī)構(gòu)層次上,可以考慮內(nèi)部機(jī)構(gòu):需要覆蓋公司的各個(gè)部門,其包括總部、事業(yè)部、制造本部、技術(shù)本部等;外部機(jī)構(gòu):則包括公司信息系統(tǒng)相連的外部機(jī)構(gòu),包括供應(yīng)商、中間業(yè)務(wù)合作伙伴、及其他合作伙伴等。
從系統(tǒng)層次上,可按照物理環(huán)境:即支撐信息系統(tǒng)的場所、所處的周邊環(huán)境以及場所內(nèi)保障計(jì)算機(jī)系統(tǒng)正常運(yùn)行的設(shè)施。包括機(jī)房環(huán)境、門禁、監(jiān)控等;網(wǎng)絡(luò)系統(tǒng):構(gòu)成信息系統(tǒng)網(wǎng)絡(luò)傳輸環(huán)境的線路介質(zhì),設(shè)備和軟件;服務(wù)器平臺系統(tǒng):支撐所有信息系統(tǒng)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、客戶機(jī)及其操作系統(tǒng)、數(shù)據(jù)庫、中間件和Web系統(tǒng)等軟件平臺系統(tǒng);應(yīng)用系統(tǒng):支撐業(yè)務(wù)、辦公和管理應(yīng)用的應(yīng)用系統(tǒng);數(shù)據(jù):整個(gè)信息系統(tǒng)中傳輸以及存儲的數(shù)據(jù);安全管理:包括安全策略、規(guī)章制度、人員組織、開發(fā)安全、項(xiàng)目安全管理和系統(tǒng)管理人員在日常運(yùn)維過程中的安全合規(guī)、安全審計(jì)等。
2.2 安全風(fēng)險(xiǎn)評估
企業(yè)信息安全是指保障企業(yè)業(yè)務(wù)系統(tǒng)不被非法訪問、利用和篡改,為企業(yè)員工提供安全、可信的服務(wù),保證信息系統(tǒng)的可用性、完整性和保密性。
本次進(jìn)行的安全評估,主要包括兩方面的內(nèi)容:
2.2.1 企業(yè)安全管理類的評估
通過企業(yè)的安全控制現(xiàn)狀調(diào)查、訪談、文檔研讀和ISO27001的最佳實(shí)踐比對,以及在行業(yè)的經(jīng)驗(yàn)上進(jìn)行“差距分析”,檢查企業(yè)在安全控制層面上存在的弱點(diǎn),從而為安全措施的選擇提供依據(jù)。
評估內(nèi)容包括ISO27001所涵蓋的與信息安全管理體系相關(guān)的11個(gè)方面,包括信息安全策略、安全組織、資產(chǎn)分類與控制、人員安全、物理和環(huán)境安全、通信和操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、安全事件管理、業(yè)務(wù)連續(xù)性管理、符合性。
2.2.2 企業(yè)安全技術(shù)類評估
基于資產(chǎn)安全等級的分類,通過對信息設(shè)備進(jìn)行的安全掃描、安全設(shè)備的配置,檢查分析現(xiàn)有網(wǎng)絡(luò)設(shè)備、服務(wù)器系統(tǒng)、終端、網(wǎng)絡(luò)安全架構(gòu)的安全現(xiàn)狀和存在的弱點(diǎn),為安全加固提供依據(jù)。
針對企業(yè)具有代表性的關(guān)鍵應(yīng)用進(jìn)行安全評估。關(guān)鍵應(yīng)用的評估方式采用滲透測試的方法,在應(yīng)用評估中將對應(yīng)用系統(tǒng)的威脅、弱點(diǎn)進(jìn)行識別,分析其和應(yīng)用系統(tǒng)的安全目標(biāo)之間的差距,為后期改造提供依據(jù)。
提到安全評估,一定要有方法論。我們以ISO27001為核心,并借鑒國際常用的幾種評估模型的優(yōu)點(diǎn),同時(shí)結(jié)合企業(yè)自身的特點(diǎn),建立風(fēng)險(xiǎn)評估模型:
在風(fēng)險(xiǎn)評估模型中,主要包含信息資產(chǎn)、弱點(diǎn)、威脅和風(fēng)險(xiǎn)四個(gè)要素。每個(gè)要素有各自的屬性,信息資產(chǎn)的屬性是資產(chǎn)價(jià)值,弱點(diǎn)的屬性是弱點(diǎn)在現(xiàn)有控制措施的保護(hù)下,被威脅利用的可能性以及被威脅利用后對資產(chǎn)帶來影響的嚴(yán)重程度,威脅的屬性是威脅發(fā)生的可能性及其危害的嚴(yán)重程度,風(fēng)險(xiǎn)的屬性是風(fēng)險(xiǎn)級別的高低。風(fēng)險(xiǎn)評估采用定性的風(fēng)險(xiǎn)評估方法,通過分級別的方式進(jìn)行賦值。
2.3 規(guī)劃體系建設(shè)方案
企業(yè)信息安全問題根源分布在技術(shù)、人員和管理等多個(gè)層面,須統(tǒng)一規(guī)劃并建立企業(yè)信息安全體系,并最終落實(shí)到管理措施和技術(shù)措施,才能確保信息安全。
規(guī)劃體系建設(shè)方案是在風(fēng)險(xiǎn)評估的基礎(chǔ)上,對企業(yè)中存在的安全風(fēng)險(xiǎn)提出安全建議,增強(qiáng)系統(tǒng)的安全性和抗攻擊性。
在未來1-2年內(nèi)通過信息安全體系制的建立與實(shí)施,建立安全組織,技術(shù)上進(jìn)行安全審計(jì)、內(nèi)外網(wǎng)隔離的改造、安全產(chǎn)品的部署,實(shí)現(xiàn)以流程為導(dǎo)向的轉(zhuǎn)型。在未來的 3-5 年內(nèi),通過完善的信息安全體系和相應(yīng)的物理環(huán)境改造和業(yè)務(wù)連續(xù)性項(xiàng)目的建設(shè),將企業(yè)建設(shè)成為一個(gè)注重管理,預(yù)防為主,防治結(jié)合的先進(jìn)型企業(yè)。
2.4 企業(yè)信息安全體系建設(shè)
企業(yè)信息安全體系建立在信息安全模型與企業(yè)信息化的基礎(chǔ)上,建立信息安全管理體系核心可以更好的發(fā)揮六方面的能力:即預(yù)警(Warn)、保護(hù)(Protect)、檢測(Detect)、反應(yīng)(Response)、恢復(fù)(Recover)和反擊(Counter-attack),體系應(yīng)該兼顧攘外和安內(nèi)的功能。
安全體系的建設(shè)一是涉及安全管理制度建設(shè)完善;二是涉及到信息安全技術(shù)。首先,針對安全管理制度涉及的主要內(nèi)容包括企業(yè)信息系統(tǒng)的總體安全方針、安全技術(shù)策略和安全管理策略等。安全總體方針涉及安全組織機(jī)構(gòu)、安全管理制度、人員安全管理、安全運(yùn)行維護(hù)等方面的安全制度。安全技術(shù)策略涉及信息域的劃分、業(yè)務(wù)應(yīng)用的安全等級、安全保護(hù)思路、說以及進(jìn)一步的統(tǒng)一管理、系統(tǒng)分級、網(wǎng)絡(luò)互聯(lián)、容災(zāi)備份、集中監(jiān)控等方面的要求。
其次,信息安全技術(shù)按其所在的信息系統(tǒng)層次可劃分為物理安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)、系統(tǒng)安全技術(shù)、應(yīng)用安全技術(shù),以及安全基礎(chǔ)設(shè)施平臺;同時(shí)按照安全技術(shù)所提供的功能又可劃分為預(yù)防保護(hù)類、檢測跟蹤類和響應(yīng)恢復(fù)類三大類技術(shù)。結(jié)合主流的安全技術(shù)以及未來信息系統(tǒng)發(fā)展的要求,規(guī)劃信息安全技術(shù)包括:
2.5 體系運(yùn)行及改進(jìn)
信息安全管理體系文件編制完成以后,由公司企劃部門組織按照文件的控制要求進(jìn)行審核。結(jié)合公司實(shí)際,在體系文件編制階段,將該標(biāo)準(zhǔn)與公司的現(xiàn)有其他體系,如質(zhì)量、環(huán)境保護(hù)等體系文件,改歸并的歸并。該修訂審核的再繼續(xù)修訂審核。最終歷經(jīng)幾個(gè)月的努力,批準(zhǔn)并實(shí)施了信息安全管理系統(tǒng)的文檔。至此,信息安全管理體系將進(jìn)入運(yùn)行階段。
有人說,信息系統(tǒng)的成功靠的是“三分技術(shù),七分管理,十二分執(zhí)行”。“執(zhí)行”是要需要在實(shí)踐中去體會、總結(jié)與提高。對于信息系統(tǒng)安全管理體系建設(shè)更是如此!在此期間,以IT部門牽頭,加強(qiáng)宣傳力度,組織了若干次不同層面的宣導(dǎo)培訓(xùn),充分發(fā)揮體系本身的各項(xiàng)功能,及時(shí)發(fā)現(xiàn)存在的問題,找出問題根源,采取糾正措施,并按照更改控制程序要求對體系予以更改,以達(dá)到進(jìn)一步完善信息安全管理體系的目的。
3 總結(jié)
總結(jié)項(xiàng)目,建立健全的信息安全管理制度是進(jìn)行安全管理的基礎(chǔ)。當(dāng)然,體系建設(shè)過程中還存在不足,如崗位原有職責(zé)與現(xiàn)有安全職責(zé)的界定,員工的認(rèn)知及接受程度還有待提高,體系在各部門領(lǐng)導(dǎo)重視程度、執(zhí)行力度、審核效果存在差距等等。最終,在公司各部門的共同努力下,體系經(jīng)歷了來自國際知名品牌認(rèn)證公司DNV及中國認(rèn)可委(CNAS)的雙重檢驗(yàn),并通過嚴(yán)格的體系審核。確認(rèn)了公司在信息安全管理體系達(dá)到國內(nèi)和國際信息安全管理標(biāo)準(zhǔn),提升公司信息安全管理的水平,從而為企業(yè)向國際化發(fā)展與合作提供有力支撐。
[參考文獻(xiàn)]
[1]沈昌祥.《信息系統(tǒng)安全導(dǎo)論》.電子工業(yè)出版社,2003.7.
關(guān)鍵詞:信息安全管理;ISO/IEC 27001;PDCA;資產(chǎn)識別;風(fēng)險(xiǎn)評估
中圖分類號:TP393 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-2374(2011)30-0034-02
一、項(xiàng)目背景
電力工業(yè)是國民經(jīng)濟(jì)的支柱產(chǎn)業(yè),電力工業(yè)的安全問題直接關(guān)系到各行各業(yè)的發(fā)展和人民的生活水平,關(guān)系到國家安全和社會穩(wěn)定。當(dāng)前流行的信息技術(shù)的廣泛應(yīng)用大大改變了電力企業(yè)傳統(tǒng)的經(jīng)營管理模式和手段,支撐著電力生產(chǎn)、營銷和管理的全過程。如何有效保障信息安全,從而保證整個(gè)電力企業(yè)的生產(chǎn)安全,成為電力行業(yè)目前積極探索的新課題。
在這個(gè)大環(huán)境下,玉溪供電局作為云南電網(wǎng)的改革試點(diǎn)單位,大力進(jìn)行改革創(chuàng)新,引入國際信息安全管理標(biāo)準(zhǔn)ISO/IEC 27001,建立了完整的信息安全管理體系,有效的保證了信息安全,取得了很好的收效。
二、ISO/IEC 27001簡介
ISO/IEC 27001是有關(guān)信息安全管理的國際標(biāo)準(zhǔn)。最初源于英國標(biāo)準(zhǔn)BS7799,經(jīng)過十年的不斷改版,終于在2005年被國際標(biāo)準(zhǔn)化組織(ISO)轉(zhuǎn)化為正式的國際標(biāo)準(zhǔn),于2005年10月15日為ISO/IEC 27001:2005。該標(biāo)準(zhǔn)可用于組織的信息安全管理體系的建立和實(shí)施,保障組織的信息安全。標(biāo)準(zhǔn)的要求主要包括11個(gè)安全控制域、39個(gè)安全控制目標(biāo)和133項(xiàng)安全控制措施。標(biāo)準(zhǔn)采用PDCA過程方法,基于風(fēng)險(xiǎn)評估的風(fēng)險(xiǎn)管理理念,全面系統(tǒng)地持續(xù)改進(jìn)組織的安全管理。其正式名稱為:《ISO/IEC 27001:2005 信息技術(shù)―安全技術(shù)―信息安全管理體系―要求》。
三、項(xiàng)目實(shí)施方法論
玉溪供電局在整個(gè)信息安全體系建設(shè)過程中,根據(jù)安全風(fēng)險(xiǎn)是相對的和動態(tài)的基本概念,遵循P(Plan 計(jì)劃)-D(Do 實(shí)施)-C(Check 檢查)-A(Act 持續(xù)改進(jìn))的方法論,見下圖:
四、項(xiàng)目實(shí)施中若干重要環(huán)節(jié)
標(biāo)準(zhǔn)中只是提出了一些原則性的建議和要求,但是如何按照這些要求建立一套符合局實(shí)際情況,能夠順利推行和實(shí)施的信息安全管理體系是非常具有挑戰(zhàn)性的。局項(xiàng)目組成員與上海天帷公司的同事一起積極探索,緊密結(jié)合局信息安全建設(shè)的現(xiàn)狀和要求,認(rèn)為資產(chǎn)識別、風(fēng)險(xiǎn)評估、文件編制、運(yùn)行實(shí)施、審核等是整個(gè)過程的重要環(huán)節(jié)。
(一)資產(chǎn)識別
資產(chǎn)識別是信息安全管理工作的重要步驟和基礎(chǔ),信息安全就是要保證信息和資產(chǎn)的安全。所謂資產(chǎn)識別就是要識別ISMS管理范圍內(nèi)的信息資產(chǎn)以及這些資產(chǎn)的所有者,形成資產(chǎn)清單。玉溪供電局在資產(chǎn)識別中把資產(chǎn)分為5類:文檔和數(shù)據(jù)、軟件和系統(tǒng)、硬件和設(shè)施、人力資源、其他等。
(二)風(fēng)險(xiǎn)評估
風(fēng)險(xiǎn)評估是信息安全工作的一個(gè)重要步驟,通過風(fēng)險(xiǎn)評估,找到組織在信息安全方面的差距,才能有針對性的制定相應(yīng)的策略和改進(jìn)措施。
通過風(fēng)險(xiǎn)評估,形成《風(fēng)險(xiǎn)評估表》、《風(fēng)險(xiǎn)評估報(bào)告》、《風(fēng)險(xiǎn)處置計(jì)劃》等。為了保證風(fēng)險(xiǎn)評估結(jié)果的客觀性和可操作性,建立了一個(gè)定量的風(fēng)險(xiǎn)評估方法論。
風(fēng)險(xiǎn)值=威脅發(fā)生可能性×影響程度等級×現(xiàn)有控制措施有效性賦值。通過制定風(fēng)險(xiǎn)等級劃分標(biāo)準(zhǔn)來確定風(fēng)險(xiǎn)等級。將等級劃分為五級,等級越高,風(fēng)險(xiǎn)越高。
對于不可接受風(fēng)險(xiǎn)的確定和處理要慎重,不要一味的將所有的風(fēng)險(xiǎn)都?xì)w為不可接受風(fēng)險(xiǎn),要時(shí)刻牢記風(fēng)險(xiǎn)的處理是要付出成本的,所以需要綜合考慮風(fēng)險(xiǎn)控制成本與風(fēng)險(xiǎn)造成的影響來制定風(fēng)險(xiǎn)的可接受準(zhǔn)則。風(fēng)險(xiǎn)的處置有4種方式:規(guī)避風(fēng)險(xiǎn)、降低風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、接受風(fēng)險(xiǎn)。對于不可接受風(fēng)險(xiǎn)應(yīng)根據(jù)選擇的風(fēng)險(xiǎn)處理方式控制殘余風(fēng)險(xiǎn)。
(三)文件編制
為了響應(yīng)云南電網(wǎng)公司的一體化管理制度,在信息安全建設(shè)中將針對信息安全標(biāo)準(zhǔn)ISO/IEC 27001要求的文件進(jìn)行統(tǒng)一整理,對原有《信息安全管理辦法》的修編。形成了新版的《信息安全管理辦法》,覆蓋了27001的11個(gè)安全領(lǐng)域的要求。
另外,為了使新版的《信息安全管理辦法》能夠更好的落地執(zhí)行,在信息安全體系建設(shè)過程中,制定了60多個(gè)操作性很強(qiáng)的記錄表格表單,以輔助各部門能夠更好的執(zhí)行信息安全體系的要求,比如:《機(jī)房巡檢記錄表》、《防范病毒管理表》、《重要應(yīng)用系統(tǒng)權(quán)限評審表》等。
(四)運(yùn)行實(shí)施
我局在信息安全體系運(yùn)行實(shí)施的過程中采取了多種措施來促進(jìn)體系的落地工作,比如進(jìn)行信息安全意識和知識培訓(xùn),張貼宣傳海報(bào),在電梯口液晶電視和LED大屏上播放信息安全宣傳視頻,進(jìn)行模擬審核和安全工作檢查等,真正做到了全員參與。
同時(shí)我局還建立了暢通的意見反饋機(jī)制,任何人對當(dāng)前的信息安全體系有意見和建議,都可以通過局OA系統(tǒng)提交。信息運(yùn)營中心會對所有提交的建議進(jìn)行整理和歸納,以發(fā)現(xiàn)改進(jìn)的機(jī)會,真正實(shí)現(xiàn)了PDCA循環(huán),使局的信息安全管理工作持續(xù)改進(jìn)和螺旋式上升。
五、項(xiàng)目實(shí)施經(jīng)驗(yàn)和注意事項(xiàng)
玉溪供電局按照ISO/IEC 27001的要求建立了符合本局實(shí)際情況的信息安全管理體系,經(jīng)歷了資產(chǎn)識別、風(fēng)險(xiǎn)評估、體系建設(shè)和實(shí)施、內(nèi)審和審核,最后取得了認(rèn)證證書。在這個(gè)過程當(dāng)中,總結(jié)了一些實(shí)施的經(jīng)驗(yàn)和注意事項(xiàng)。
(一)領(lǐng)導(dǎo)重視
信息安全管理工作是一項(xiàng)牽扯到局各部門的工作,需要投入相應(yīng)的人力、物力和財(cái)力,所以必須有局領(lǐng)導(dǎo)的大力支持,才能順利的進(jìn)行和更好的實(shí)施。
(二)全員參與
安全不是某一個(gè)部門或者某一個(gè)人的事情,而是關(guān)乎全局所有部門。需要各個(gè)部門的共同努力和協(xié)調(diào)一致的工作,才能保證真正意義上的信息安全,任何一個(gè)部門出了問題都將對局信息安全構(gòu)成威脅。
(三)持續(xù)改進(jìn)
信息安全工作不是一朝一夕的事情,需要持續(xù)改進(jìn)和不斷完善。而且風(fēng)險(xiǎn)也是動態(tài)的,為了保證信息安全和控制風(fēng)險(xiǎn)始終在可接受的范圍內(nèi),信息安全工作應(yīng)當(dāng)是一件長期的工作。
(四)平衡原則
安全只是相對的,沒有絕對的安全,而且任何降低風(fēng)險(xiǎn)的措施都是需要一定的投資,可能是金錢的,也可能是人力資源的。所以一定要平衡投資和風(fēng)險(xiǎn)降低之間的關(guān)系,不要一味的為了降低風(fēng)險(xiǎn)而作一些不適當(dāng)?shù)耐度搿?/p>
六、結(jié)語
玉溪供電局通過ISO 27001的認(rèn)證并獲得證書,不僅是對前期信息安全體系建設(shè)工作的充分肯定,而且對后續(xù)信息安全管理體系運(yùn)行工作提出了新的更高的要求和目標(biāo)。局信息運(yùn)營中心要在局領(lǐng)導(dǎo)的正確領(lǐng)導(dǎo)和大力支持下,在以后局信息安全工作中,對現(xiàn)有體系進(jìn)行持續(xù)改進(jìn),使本體系更加符合玉溪供電局的實(shí)際情況,為玉溪供電局的信息安全工作保駕
護(hù)航。
參考文獻(xiàn)
[關(guān)鍵詞] ISMS; PDCA; 風(fēng)險(xiǎn)評估; 資產(chǎn)識別; 信息; 安全; 建立; 體系
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 01. 038
[中圖分類號] F270.7; TP309 [文獻(xiàn)標(biāo)識碼] A [文章編號] 1673 - 0194(2014)01- 0074- 03
1 信息安全體系的重要性
隨著信息技術(shù)不斷發(fā)展,信息系統(tǒng)已經(jīng)成為一種不可缺少的信息交換工具,企業(yè)對于信息資源的依賴程度也越來越大。然而,由于計(jì)算機(jī)網(wǎng)絡(luò)具有開放性、互聯(lián)性、連接方式的多樣性及終端分布的不均勻性等特點(diǎn),再加上本身存在技術(shù)弱點(diǎn)和人為的疏忽,導(dǎo)致信息系統(tǒng)容易受到計(jì)算機(jī)病毒、黑客或惡意軟件的入侵,致使信息被破壞或竊取,使得信息系統(tǒng)比傳統(tǒng)的實(shí)物資產(chǎn)顯得更加脆弱。在這種大環(huán)境下,企業(yè)必須加強(qiáng)信息安全管理能力。但企業(yè)不單面臨著信息安全方面問題,同時(shí)還面臨經(jīng)營合規(guī)方面的問題、系統(tǒng)可用性問題以及業(yè)務(wù)可持續(xù)問題等越來越多的問題。因此,要求我們探索建立一套完善的體系,來有效地保障信息系統(tǒng)的全面安全。
2 信息安全體系建設(shè)理論依據(jù)
信息安全管理體系(Information Security Management System, ISMS)是企業(yè)整體管理體系的一個(gè)部分,是企業(yè)在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo),以及完成這些目標(biāo)所用方法的體系。基于對業(yè)務(wù)風(fēng)險(xiǎn)的認(rèn)識,ISMS包括建立、實(shí)施、操作、監(jiān)視、復(fù)查、維護(hù)和改進(jìn)信息安全等一系列的管理活動,并且表現(xiàn)為組織結(jié)構(gòu)、策略方針、計(jì)劃活動、目標(biāo)與原則、人員與責(zé)任、過程與方法、資源等諸多要素的集合。
在建設(shè)信息安全管理體系的方法上,ISO 27001標(biāo)準(zhǔn)為我們提供了指導(dǎo)性建議,即基于PDCA 的持續(xù)改進(jìn)的管理模式。PDCA是一種通用的管理模式,適用于任何管理活動,體現(xiàn)了一種持續(xù)改進(jìn)、維持平衡的思想,但具體到ISMS建立及認(rèn)證項(xiàng)目上,就顯得不夠明確和細(xì)致,組織必須還要有一套切實(shí)可行的方法論,以符合項(xiàng)目過程實(shí)施的要求。在這方面,ISMS 實(shí)施及認(rèn)證項(xiàng)目可以借鑒很多成熟的管理體系實(shí)施方法,比如IS0 9001,ISO/IEC 2700l, ISO/TS 16949 等,大致上說,這些管理體系都遵循所謂的PROC過程方法。
PROC 過程模型 (Preparation-Realization-Operation-Certification)是對PDCA 管理模式的一種細(xì)化,它更富有針對性和實(shí)效性,并且更貼近認(rèn)證審核自身的特點(diǎn)。PROC模型如圖1所示。
3 信息安全體系建設(shè)過程
根據(jù)以往經(jīng)驗(yàn),整個(gè)信息安全管理體系建設(shè)項(xiàng)目可劃分成5個(gè)階段,如果每項(xiàng)內(nèi)容的活動都能很好地完成,最終就能建立起有效的ISMS,實(shí)現(xiàn)信息安全建設(shè)總體目標(biāo),最終通過ISO/IEC 27001認(rèn)證。
調(diào)研階段: 對業(yè)務(wù)范圍內(nèi)所有制度包括內(nèi)部的管理規(guī)定或內(nèi)控相關(guān)規(guī)定,對公司目前的管理狀況進(jìn)行系統(tǒng)、全面的了解和分析。通過技術(shù)人員人工檢查和軟件檢測等方式對組織內(nèi)部分關(guān)鍵網(wǎng)絡(luò)、服務(wù)器等設(shè)備進(jìn)行抽樣漏洞掃描,并形成《漏洞掃描風(fēng)險(xiǎn)評估報(bào)告》。
資產(chǎn)識別與風(fēng)險(xiǎn)評估階段: 針對組織內(nèi)部人員的實(shí)際情況,進(jìn)行信息安全基礎(chǔ)知識的普及和培訓(xùn)工作,讓每位員工對信息安全體系建設(shè)活動有充分的理解和認(rèn)識。對內(nèi)部所有相關(guān)信息安全資產(chǎn)進(jìn)行全面梳理,并且按照ISO/IEC 27001相關(guān)的信息資產(chǎn)識別和風(fēng)險(xiǎn)評估的要求,完成《信息資產(chǎn)清單》、《信息資產(chǎn)風(fēng)險(xiǎn)評估表》和《風(fēng)險(xiǎn)評估報(bào)告》。
設(shè)計(jì)策劃階段:通過分組現(xiàn)場討論、領(lǐng)導(dǎo)訪談等多種方式對各業(yè)務(wù)部門涉及的信息安全相關(guān)內(nèi)容進(jìn)行細(xì)致研究和討論。針對現(xiàn)有信息安全問題和潛在信息安全風(fēng)險(xiǎn)建立有效的防范和檢查機(jī)制,并且形成有持續(xù)改進(jìn)功能的信息安全監(jiān)督審核管理制度,最終形成嚴(yán)格遵守ISO/IEC 27001認(rèn)證審核標(biāo)準(zhǔn)的、符合組織業(yè)務(wù)發(fā)展需要的《信息安全管理體系文件》。體系對文件控制、記錄控制、內(nèi)部審核管理、管理評審、糾正預(yù)防措施控制、信息安全交流管理、信息資產(chǎn)管理、人力資源安全管理、物理環(huán)境安全、通信與操作管理(包括:筆記本電腦管理、變更管理、補(bǔ)丁管理、第三方服務(wù)管理、防范病毒及惡意軟件管理、機(jī)房管理規(guī)定、介質(zhì)管理規(guī)定、軟件管理規(guī)定、數(shù)據(jù)備份管理、系統(tǒng)監(jiān)控管理規(guī)定、電子郵件管理規(guī)定、設(shè)備管理規(guī)定)、訪問控制、信息系統(tǒng)獲取開發(fā)和維護(hù)、信息安全事件管理、業(yè)務(wù)持續(xù)性控制、符合性相關(guān)程序進(jìn)行全面界定和要求。
實(shí)施階段:項(xiàng)目小組要組織相關(guān)資源,依據(jù)風(fēng)險(xiǎn)評估結(jié)果選擇控制措施,為實(shí)施有效的風(fēng)險(xiǎn)處理做好計(jì)劃,管理者需要正式ISMS 體系并要求開始實(shí)施,通過普遍的培訓(xùn)活動來推廣執(zhí)行。 ISMS 建立起來(體系文件正式實(shí)施) 之后,要通過一定時(shí)間的試運(yùn)行來檢驗(yàn)其有效性和穩(wěn)定性。在此階段,應(yīng)該培訓(xùn)專門人員,建立起內(nèi)部審查機(jī)制,通過內(nèi)部審計(jì)、管理評審和模擬認(rèn)證,來檢查己建立的ISMS是否符合ISO/IEC 27001標(biāo)準(zhǔn)以及企業(yè)規(guī)范的要求。
認(rèn)證階段:經(jīng)過一定時(shí)間運(yùn)行,ISMS 達(dá)到一個(gè)穩(wěn)定的狀態(tài),各項(xiàng)文檔和記錄已經(jīng)建立完備,此時(shí),可以提請進(jìn)行認(rèn)證。
4 信息安全體系建立的意義
通過建立信息安全管理體系,我們對信息安全事件及風(fēng)險(xiǎn)有了較為清楚的認(rèn)識,同時(shí)掌握了一些規(guī)避和處理信息安全風(fēng)險(xiǎn)的方法,更重要的是我們重新梳理了組織內(nèi)信息安全體系范圍,明確了信息安全系統(tǒng)中人員相關(guān)職責(zé),對維護(hù)范圍內(nèi)的各信息系統(tǒng)進(jìn)行了全面的風(fēng)險(xiǎn)評估,并且通過風(fēng)險(xiǎn)評估涉及的內(nèi)容確定了具體的控制目標(biāo)和控制方式,引入了持續(xù)改進(jìn)的戴明環(huán)管理思想,保證了體系運(yùn)轉(zhuǎn)的有效性。具體效果如下:
(1) 制定了信息安全方針和多層次的安全策略,為各項(xiàng)信息安全管理活動提供指引和支持。
(2) 通過信息風(fēng)險(xiǎn)評估挖掘了組織真實(shí)的信息安全需求。
加強(qiáng)了人員安全意識,建立了以預(yù)防為主的信息安全理念。
(3) 根據(jù)信息安全發(fā)展趨勢,建立了動態(tài)管理和持續(xù)改進(jìn)的思想。
5 決定體系建立的重要因素
5.1 加強(qiáng)人員安全意識是推動體系實(shí)施的重要保障
信息安全體系在一個(gè)企業(yè)的成功建立并運(yùn)行,需要整個(gè)企業(yè)從上到下的全體成員都有安全意識,并具備信息安全體系相關(guān)理論基礎(chǔ),才能保障信息安全體系各項(xiàng)活動內(nèi)容順利開展。為保證信息安全體系相關(guān)任務(wù)的執(zhí)行人員能夠盡職盡責(zé),組織要確定體系內(nèi)人員的職責(zé);給予相關(guān)人員適當(dāng)?shù)呐嘤?xùn),必要時(shí),需要為特定任務(wù)招聘有經(jīng)驗(yàn)的人員;評估培訓(xùn)效果。組織必須確保相關(guān)人員能夠意識到其所進(jìn)行的信息安全活動的重要性,并且清楚各自在實(shí)現(xiàn)ISMS 目標(biāo)過程中參與的方式。
ISMS 培訓(xùn)工作應(yīng)該分層次、分階段、循序漸進(jìn)地進(jìn)行。借助培訓(xùn),組織一方面可以向一般員工宣貫安全策略、提升其安全意識;另一方面,也可以向特定人員傳遞專業(yè)技能(例如風(fēng)險(xiǎn)評估方法、策略制定方法、安全操作技術(shù)等)。此外,面向管理人員的培訓(xùn),能夠提升組織整體的信息安全管理水平。通常來講,組織應(yīng)該考慮實(shí)施的培訓(xùn)內(nèi)容包括:
(1) 信息安全意識培訓(xùn)。在ISMS實(shí)施伊始或最終運(yùn)行階段,組織可以為所有人員提供信息安全意識培訓(xùn),目的在于讓所有與ISMS 相關(guān)的人員都了解信息安全管理基本要領(lǐng),理解信息安全策略,知道信息安全問題所在,掌握應(yīng)對和解決問題的方法和途徑。
(2) 信息安全管理基礎(chǔ)培訓(xùn)。在ISMS準(zhǔn)備階段,組織可以向ISMS項(xiàng)目實(shí)施相關(guān)人員 (例如風(fēng)險(xiǎn)評估小組人員、各部門代表等)提供1SO/IEC 27001基礎(chǔ)培訓(xùn),通過短期學(xué)習(xí),幫助大家掌握ISO/IEC 27001標(biāo)準(zhǔn)的精髓,理解自身角色和責(zé)任,從而在ISMS項(xiàng)目實(shí)施過程中起到應(yīng)有的作用。
(3) ISMS實(shí)施培訓(xùn)。組織可以向ISMS項(xiàng)目的核心人員提供ISMS實(shí)施方法的培訓(xùn),包括風(fēng)險(xiǎn)評估方法、策略制定方法等,目的在于協(xié)作配合,共同推動ISMS項(xiàng)目有序且順利地進(jìn)行。
(4) 信息安全綜合技能培訓(xùn)。為了讓ISMS能夠長期穩(wěn)定地運(yùn)行下去,組織可以為相關(guān)人員提供信息安全操作技能的培訓(xùn),目的在于提高其運(yùn)營ISMS的技術(shù)能力,掌握處理問題的思路和方法。
5.2 建立符合企業(yè)需求的ISMS,保障體系順利落地
(1) 根據(jù)業(yè)務(wù)需求明確ISMS范圍。范圍的界定要從組織的業(yè)務(wù)出發(fā),通過分析業(yè)務(wù)流程(尤其是核心業(yè)務(wù)),找到與此相關(guān)的人員、部門和職能,然后確定業(yè)務(wù)流程所依賴的信息系統(tǒng)和場所環(huán)境,最終從邏輯上和物理上對ISMS 的范圍予以明確。需要注意的是,組織確定的ISMS 范圍,必須是適合內(nèi)外部客戶所需的,且包含了與所有對信息安全具有影響的合作伙伴、供貨商和客戶的接觸關(guān)系。為此,組織應(yīng)該通過合同、服務(wù)水平協(xié)議 (SLA)、諒解備忘錄等方式來說明其在與合作伙伴、供貨商以及客戶接觸時(shí)實(shí)施了信息安全管理。
(2) 利用客觀風(fēng)險(xiǎn)評估工具。風(fēng)險(xiǎn)評估應(yīng)盡可能采用客觀的風(fēng)險(xiǎn)評估工具,保證評估的準(zhǔn)確、翔實(shí)。有效利用各種工具,可以幫助評估者更準(zhǔn)確更全面地采集和分析數(shù)據(jù),提升工作的自動化水平,并且最大程度上減少人為失誤。當(dāng)然,風(fēng)險(xiǎn)評估工具并不局限于完全技術(shù)性的產(chǎn)品,事實(shí)上很多評估工具都是評估者經(jīng)驗(yàn)積累的成果,如調(diào)查問卷、掃描工具、風(fēng)險(xiǎn)評估軟件等。
(3) 構(gòu)建合理的ISMS文件體系。文件首先應(yīng)該符合業(yè)務(wù)運(yùn)作和安全控制的實(shí)際情況,應(yīng)該具有可操作性;不同層次的文件之間應(yīng)該保持緊密關(guān)系并且協(xié)調(diào)一致,不能存在相互矛盾的地方;編寫ISMS文件時(shí),除了依據(jù)標(biāo)準(zhǔn)和相關(guān)法律法規(guī)之外,組織還應(yīng)該充分考慮現(xiàn)行的策略、程序、制度和規(guī)范,有所繼承,有所修正。
6 結(jié) 論
企業(yè)的生存和發(fā)展,有賴于企業(yè)各項(xiàng)業(yè)務(wù)、管理活動的健康有序的進(jìn)行,而信息化是企業(yè)一切業(yè)務(wù)、管理活動所依賴的基礎(chǔ)。信息系統(tǒng)是否能夠穩(wěn)定、可靠、有效運(yùn)作,直接關(guān)系到企業(yè)各項(xiàng)業(yè)務(wù)活動是否能夠持續(xù)。因此,我們要對信息系統(tǒng)的保密性、完整性、可控性、可用性等提出全面具體的要求,建立持續(xù)改進(jìn)的信息安全體系運(yùn)行機(jī)制。在信息安全體系的全面應(yīng)用過程中,必須重點(diǎn)關(guān)注以下重要事項(xiàng):安全策略、目標(biāo)和活動應(yīng)該反映業(yè)務(wù)目標(biāo);實(shí)施信息安全的方法應(yīng)該與組織的文化保持一致;來自高級管理層的明確的支持和承諾;向所有管理者和員工有效地推廣安全意識;提供適當(dāng)?shù)呐嘤?xùn)和教育。
主要參考文獻(xiàn)
[1] 王斌君. 信息安全管理體系[M]. 北京:高等教育出版社,2008.
1、河南省濟(jì)源市電子政務(wù)平臺
河南省濟(jì)源市電子政務(wù)平臺建設(shè)中最大的特點(diǎn)就是完全基于互聯(lián)網(wǎng)。互聯(lián)網(wǎng)是信息化的重要基礎(chǔ)設(shè)施,積極利用互聯(lián)網(wǎng)進(jìn)行電子政務(wù)建設(shè),同時(shí)高度重視信息安全問題,是加快信息化發(fā)展,推進(jìn)電子政務(wù)的必然要求,也是信息技術(shù)發(fā)展的趨勢。河南省濟(jì)源市積極開展互聯(lián)網(wǎng)上電子政務(wù)的信息安全保障試點(diǎn)建設(shè)工作,按照“保安全、促應(yīng)用”的思路,根據(jù)信息安全等級保護(hù)的要求,結(jié)合先進(jìn)的安全技術(shù)和管理措施,構(gòu)建了基于互聯(lián)網(wǎng)的電子政務(wù)信息安全保障平臺,有效地推動了電子政務(wù)建設(shè),并大大地縮減了成本,網(wǎng)絡(luò)建設(shè)費(fèi)用僅為182.5萬元。與原來擬采用“專網(wǎng)”的建設(shè)費(fèi)用相比,僅網(wǎng)絡(luò)投資一項(xiàng)就節(jié)約了662萬元,節(jié)約比例達(dá)到47.4%。
獲獎理由:沒拉一條專線,沒建一個(gè)專網(wǎng),完全基于互聯(lián)網(wǎng),這樣的電子政務(wù)平臺,安全問題就成為了重中之重。天融信為其提供的、基于互聯(lián)網(wǎng)的新型電子政務(wù)之安全保障體系,通過對商用密碼、VPN等信息安全技術(shù)的綜合利用,使其實(shí)現(xiàn)了全市120個(gè)黨政部門和全部鄉(xiāng)鎮(zhèn)(辦)的互聯(lián)互通,建成了低成本、可擴(kuò)展的電子政務(wù)網(wǎng)絡(luò)平臺。
2、山西移動按SOA框架構(gòu)建電信BSS/OSS體系架構(gòu)
山西移動通過SOA項(xiàng)目的實(shí)施,使得業(yè)務(wù)流程得到了簡化與優(yōu)化,并構(gòu)建了新的業(yè)務(wù)平臺。新的業(yè)務(wù)平臺提供了統(tǒng)一的信息應(yīng)用模式,使得各個(gè)層次的業(yè)務(wù)人員都能獲取客戶完整、統(tǒng)一的信息,從而讓業(yè)務(wù)人員能加強(qiáng)與客戶的互動。同時(shí),山西移動還建成了流程清晰、響應(yīng)及時(shí)的投訴服務(wù)體系,基于改良后的體系能為客戶提供優(yōu)質(zhì)的服務(wù)。
獲獎理由:通過SOA技術(shù),山西移動用于投訴服務(wù)的核心流程被大量地精減,而且可以通過企業(yè)的服務(wù)總線來隨意調(diào)用這些服務(wù),并讓業(yè)務(wù)流程能根據(jù)業(yè)務(wù)需求的變化自由重組,從而將以前幾天才能解決的投訴問題在5分鐘之內(nèi)就能得到解決。
3、河南省國家稅務(wù)局信息系統(tǒng)安全管理與監(jiān)控平臺
隨著用戶業(yè)務(wù)集中模式的完成,對基礎(chǔ)設(shè)施的安全性、可靠性、穩(wěn)定性、高效性和可信性都提出了更高的要求,河南省國家稅務(wù)局所采用的SecFox安管系統(tǒng)就來源于用戶對信息系統(tǒng)安全管控平臺的強(qiáng)烈需求。
獲獎理由: 網(wǎng)御神州SecFox安管平臺在河南國稅運(yùn)轉(zhuǎn)非常良好,通過安管平臺的使用,極大地提高了用戶運(yùn)維管理的水平,將用戶從24小時(shí)三班倒的工作方式變?yōu)榱穗A段性巡查、接收告警短信、及時(shí)排查故障的常規(guī)流程。并且,在最近一段時(shí)間的用戶反饋中,得到了用戶的好評。
4、信息安全風(fēng)險(xiǎn)評估廣東省地稅局南海數(shù)據(jù)處理中心試點(diǎn)
廣東省地稅局南海信息處理中心在信息安全風(fēng)險(xiǎn)評估試點(diǎn)中的主要業(yè)務(wù)應(yīng)用是,內(nèi)網(wǎng)的稅收征管業(yè)務(wù)與外網(wǎng)的上網(wǎng)業(yè)務(wù)以及相應(yīng)的安全管理體系。另外,廣東省地稅局南海信息處理中心信息系統(tǒng)是稅務(wù)系統(tǒng)信息網(wǎng)的重要組成部分,也是廣東省全省稅收業(yè)務(wù)統(tǒng)一共享的信息處理平臺。
獲獎理由:通過試點(diǎn)工作,在理論和實(shí)踐上積累了開展稅務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評估工作的經(jīng)驗(yàn),為研究稅務(wù)系統(tǒng)風(fēng)險(xiǎn)評估工作的有關(guān)方法、流程和相關(guān)標(biāo)準(zhǔn)規(guī)范提供了依據(jù)。同時(shí),分析了信息系統(tǒng)所面臨的威脅及存在的脆弱性,并針對這些風(fēng)險(xiǎn)提出了有針對性的抵御威脅的防護(hù)對策和措施,為保障系統(tǒng)的信息安全提供了科學(xué)的指導(dǎo)。
5、北京海淀區(qū)信息安全管理體系
北京海淀信息辦在國信辦的統(tǒng)一要求和指導(dǎo)下,與技術(shù)支撐單位北京數(shù)字證書認(rèn)證中心一起,結(jié)合已經(jīng)實(shí)施的ISO9000、等級保護(hù)、風(fēng)險(xiǎn)評估等工作,很好地完成了信息安全管理標(biāo)準(zhǔn)應(yīng)用試點(diǎn)工作。
獲獎理由:通過驗(yàn)證國際上通用的信息安全管理標(biāo)準(zhǔn)(ISO/IEC 27001:2005《信息安全管理體系要求》和ISO/IEC 17799:2005《信息安全管理實(shí)用規(guī)則》),了解和掌握了構(gòu)建信息安全管理體系的程序、步驟和方法,并探索了信息安全管理體系建設(shè)與風(fēng)險(xiǎn)評估、等級保護(hù)等信息安全保障工作之間的關(guān)系,為將來標(biāo)準(zhǔn)的出臺做出很大的貢獻(xiàn),試點(diǎn)獲得了國信辦的高度肯定。
6、深圳證券交易所信息安全管理體系
深圳證券交易所在國信辦的統(tǒng)一要求和指導(dǎo)下,在中國證監(jiān)會的支持下,結(jié)合已經(jīng)實(shí)施或正在實(shí)施的ITMS、BCP、CMMI等工作,很好地完成了信息安全管理標(biāo)準(zhǔn)應(yīng)用試點(diǎn)工作。
獲獎理由:通過驗(yàn)證國際上通用的信息安全管理標(biāo)準(zhǔn)(ISO/IEC 27001:2005《信息安全管理體系要求》和ISO/IEC 17799:2005《信息安全管理實(shí)用規(guī)則》),了解和掌握了構(gòu)建信息安全管理體系的程序、步驟和方法,并探索了信息安全管理體系建設(shè)與風(fēng)險(xiǎn)評估、等級保護(hù)等信息安全保障工作之間的關(guān)系,為將來標(biāo)準(zhǔn)的出臺做出很大的貢獻(xiàn),試點(diǎn)獲得了國信辦的高度肯定。
7、衛(wèi)生部突發(fā)公共衛(wèi)生事件應(yīng)急
指揮與決策系統(tǒng)
作為全國第一個(gè)跨地域部級應(yīng)急決策方案,該系統(tǒng)是衛(wèi)生部信息化規(guī)劃與建設(shè)的重要組成部分,涵蓋了基礎(chǔ)環(huán)境、技術(shù)環(huán)境、網(wǎng)絡(luò)與數(shù)據(jù)平臺、應(yīng)用軟件系統(tǒng)等內(nèi)容。系統(tǒng)投入運(yùn)行后,在突發(fā)事件監(jiān)測、預(yù)警的基礎(chǔ)上,可以完成對事件處理全過程的跟蹤和處理,滿足了突發(fā)事件相關(guān)數(shù)據(jù)采集、危機(jī)判定、決策分析、命令部署、實(shí)時(shí)溝通、聯(lián)動指揮、現(xiàn)場支持等各項(xiàng)要求。
獲獎理由:太極 SOA技術(shù)在項(xiàng)目中的成功應(yīng)用,極大地提高了衛(wèi)生部應(yīng)對突發(fā)公共衛(wèi)生事件的應(yīng)急處置能力。根據(jù)系統(tǒng)平戰(zhàn)結(jié)合的設(shè)計(jì)理念,在“平時(shí)”運(yùn)用該系統(tǒng)進(jìn)行值班、預(yù)警、預(yù)案管理等日常業(yè)務(wù)的處置與管理;一旦發(fā)生突發(fā)公共衛(wèi)生事件,將使用應(yīng)急指揮系統(tǒng)提供的決策與指揮支持功能,進(jìn)行事態(tài)分析、資源調(diào)配、人員派遣等,從而實(shí)現(xiàn)了對突發(fā)公共衛(wèi)生事件進(jìn)行準(zhǔn)確而迅速的處置。
8、基于流媒體技術(shù)的大型企業(yè)
直播系統(tǒng)
國家電網(wǎng)公司網(wǎng)絡(luò)直播NV-2005系統(tǒng)的研制與應(yīng)用,彌補(bǔ)了傳統(tǒng)信息傳遞方式的缺陷,在提高效率和效益的同時(shí)節(jié)約了成本,并使得各基層單位能在第一時(shí)間接收到總部的有關(guān)精神,真正做到了零延時(shí),還有效地加強(qiáng)了公司的集約化管理。
獲獎理由:基于流媒體技術(shù)的大型企業(yè)直播系統(tǒng),作為常態(tài)化的網(wǎng)絡(luò)應(yīng)用,進(jìn)一步地發(fā)揮了流媒體技術(shù)和信息化在電力系統(tǒng)中的重要作用,同時(shí)也為生產(chǎn)一線帶來了更大的經(jīng)濟(jì)利益和社會效益。
9、GE服務(wù)器整合系統(tǒng)
GE醫(yī)療是國內(nèi)最早使用VMware Infrastructure 3的用戶之一,通過使用VMware VMotion、VMware HA等高級功能,來運(yùn)行Windows 2000/2003和Redhat AS/ES操作系統(tǒng),從而實(shí)現(xiàn)了服務(wù)器和基礎(chǔ)設(shè)施的整合。
獲獎理由:GE服務(wù)器整合系統(tǒng)的運(yùn)行,提高了CPU的利用率、降低了管理成本、加速了新服務(wù)的部署效率,同時(shí)降低了系統(tǒng)的停機(jī)時(shí)間,并成為GE醫(yī)療基礎(chǔ)架構(gòu)的重要支撐。
10、異構(gòu)協(xié)同交通辦公自動化系統(tǒng)
【關(guān)鍵詞】等級保護(hù);虛擬專網(wǎng);VPN
1.引言
隨著因特網(wǎng)技術(shù)應(yīng)用的普及,以及政府、企業(yè)和各部門及其分支結(jié)構(gòu)網(wǎng)絡(luò)建設(shè)和安全互聯(lián)互通需求的不斷增長,VPN技術(shù)為企業(yè)提供了一種低成本的組網(wǎng)方式。同時(shí),我國現(xiàn)行的“計(jì)算機(jī)安全等級保護(hù)”也為企業(yè)在建設(shè)信息系統(tǒng)時(shí)提供了安全整體設(shè)計(jì)思路和標(biāo)準(zhǔn)。如何充分利用VPN技術(shù)和相關(guān)產(chǎn)品,為企業(yè)提供符合安全等級保護(hù)要求、性價(jià)比高的網(wǎng)絡(luò)安全總體解決方案,是當(dāng)前企業(yè)信息系統(tǒng)設(shè)計(jì)中面臨的挑戰(zhàn)。
2.信息安全管理體系發(fā)展軌跡
對于信息安全管理問題,在上世紀(jì)90年代初引起世界主要發(fā)達(dá)國家的注意,并投入大量的資金和人力進(jìn)行分析和研究。英國分別于1995年和1998年出版BS7799標(biāo)準(zhǔn)的第一部分《信息安全管理實(shí)施細(xì)則》和第二部分《信息安全管理體系規(guī)范》,規(guī)定信息安全管理體系與控制要求和實(shí)施規(guī)則,其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一參考基準(zhǔn),是一個(gè)全面信息安全管理體系評估的基礎(chǔ)和正式認(rèn)證方案的根據(jù)。國際標(biāo)準(zhǔn)化組織(ISO)聯(lián)合國際電工委員會(IEC)分別于2000年和2005年將BS7799標(biāo)準(zhǔn)轉(zhuǎn)換為ISO/IEC 17799《信息安全管理體系 實(shí)施細(xì)則》和ISO/IEC 27001《信息安全管理體系 要求》,并向全世界推廣。中國國家標(biāo)準(zhǔn)化管理委員會(SAC)于1999年了GB/T 17859《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》標(biāo)準(zhǔn),把信息安全管理劃分為五個(gè)等級,分別針對不同組織性質(zhì)和對社會、國家危害程度大小進(jìn)行了不同等級的劃分,并提出了監(jiān)管方法。2008年制訂并下發(fā)了與ISO/IEC 17799和ISO/IEC 27001相對應(yīng)的GBT 22081-2008《信息安全管理體系 實(shí)用規(guī)則》和GBT 22080-2008《信息安全管理體系 要求》。
3.信息系統(tǒng)安全的等級
為加快推進(jìn)信息安全等級保護(hù),規(guī)范信息安全等級保護(hù)管理,提高信息安全保障能力和水平,維護(hù)國家安全、社會穩(wěn)定和公共利益,保障和促進(jìn)信息化建設(shè),國家公安部、保密局、密碼管理局和國務(wù)院信息化工作辦公室等,于2007年聯(lián)合了《信息安全等級保護(hù)管理辦法》,就全國機(jī)構(gòu)/企業(yè)的信息安全保護(hù)問題,進(jìn)行了行政法規(guī)方面的規(guī)范,并組織和開展對全國重要信息系統(tǒng)安全等級保護(hù)定級工作。同時(shí),制訂了《信息系統(tǒng)安全等級保護(hù)基本要求》、《信息系統(tǒng)安全等級保護(hù)實(shí)施指南》、《信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)則》和《信息系統(tǒng)安全等級保護(hù)定級指南》等相應(yīng)技術(shù)規(guī)范(國家標(biāo)準(zhǔn)審批稿),來指導(dǎo)國內(nèi)機(jī)構(gòu)/企業(yè)進(jìn)行信息安全保護(hù)。
在《信息系統(tǒng)安全等級保護(hù)基本要求》中,要求從網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、系統(tǒng)運(yùn)維管理、安全管理機(jī)構(gòu)等幾方面,按照身份鑒別、訪問控制、介質(zhì)管理、密碼管理、通信和數(shù)據(jù)的完整、保密性以及數(shù)據(jù)備份與恢復(fù)等具體要求,對信息流進(jìn)行不同等級的劃分,從而達(dá)到有效保護(hù)的目的。信息系統(tǒng)的安全保護(hù)等級分為五級:第一級為自主保護(hù)級,第二級指導(dǎo)保護(hù)級,第三級為監(jiān)督保護(hù)級,第四級為強(qiáng)制保護(hù)級,第五級為專控保護(hù)級。
針對政府、企業(yè)常用的三級安全保護(hù)設(shè)計(jì)中,主要是以三級安全的密碼技術(shù)、系統(tǒng)安全技術(shù)及通信網(wǎng)絡(luò)安全技術(shù)為基礎(chǔ)的具有三級安全的信息安全機(jī)制和服務(wù)支持下,實(shí)現(xiàn)三級安全計(jì)算環(huán)境、三級安全通信網(wǎng)絡(luò)、三級安全區(qū)域邊界防護(hù)和三級安全管理中心的設(shè)計(jì)。
圖1 三級系統(tǒng)安全保護(hù)示意圖
圖2 VPN產(chǎn)品部署示意圖
4.VPN技術(shù)及其發(fā)展趨勢
VPN即虛擬專用網(wǎng),是通過一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通常,VPN是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展,通過它可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。VPN可用于不斷增長的移動用戶的全球因特網(wǎng)接入,以實(shí)現(xiàn)安全連接;可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。
VPN使用三個(gè)方面的技術(shù)保證了通信的安全性:隧道協(xié)議、身份驗(yàn)證和數(shù)據(jù)加密。VPN通道的加密方式成為主要的技術(shù)要求,目前VPN技術(shù)主要包括IPSec VPN,非IPSec VPN(如PPTP,L2TP等),基于WEB的SSL VPN等。
IPSec VPN是基于IPSec協(xié)議的VPN產(chǎn)品,由IPSec協(xié)議提供隧道安全保障,協(xié)議包括AH、ESP、ISAKMP等協(xié)議。其通過對數(shù)據(jù)加密、認(rèn)證、完整性檢查來保證數(shù)據(jù)傳輸?shù)目煽啃浴⑺接行院捅C苄浴Mㄟ^采用加密封裝技術(shù),對所有網(wǎng)絡(luò)層上的數(shù)據(jù)進(jìn)行加密透明保護(hù)。IPSec協(xié)議最適合于LAN到LAN之間的虛擬專用網(wǎng)構(gòu)建。
SSL VPN是基于SSL協(xié)議的VPN產(chǎn)品。在企業(yè)中心部署SSL VPN設(shè)備,無需安裝客戶端軟件,授權(quán)用戶能夠從任何標(biāo)準(zhǔn)的WEB瀏覽器和互聯(lián)網(wǎng)安全地連接到企業(yè)網(wǎng)絡(luò)資源。SSL VPN產(chǎn)品最適合于遠(yuǎn)程單機(jī)用戶與中心之間的虛擬網(wǎng)構(gòu)建。
整個(gè)VPN通信過程可以簡化為以下4個(gè)步驟:
(1)客戶機(jī)向VPN服務(wù)器發(fā)出連接請求。
(2)VPN服務(wù)器響應(yīng)請求并向客戶機(jī)發(fā)出身份認(rèn)證的請求,客戶機(jī)與VPN服務(wù)器通過信息的交換確認(rèn)對方的身份,這種身份確認(rèn)是雙向的。
(3)VPN服務(wù)器與客戶機(jī)在確認(rèn)身份的前提下開始協(xié)商安全隧道以及相應(yīng)的安全參數(shù),形成安全隧道。
(4)最后VPN服務(wù)器將在身份驗(yàn)證過程中產(chǎn)生的客戶機(jī)和服務(wù)器公有密鑰將用來對數(shù)據(jù)進(jìn)行加密,然后通過VPN隧道技術(shù)進(jìn)行封裝、加密、傳輸?shù)侥康膬?nèi)部網(wǎng)絡(luò)。
目前國外公開的相關(guān)VPN產(chǎn)品多數(shù)采用軟件加密的方式,加解密算法也多使用通用的3DES、RSA加解密算法,不符合國家密碼產(chǎn)品管理和應(yīng)用的要求。《商用密碼管理?xiàng)l例》(中華人民共和國國務(wù)院第273號令,1999年10月7日)第四章第十四條規(guī)定:任何單位或者個(gè)人只能使用經(jīng)國家密碼管理機(jī)構(gòu)認(rèn)可的商用密碼產(chǎn)品,不得使用自行研制的或者境外生產(chǎn)的密碼產(chǎn)品。國家密碼管理局在2009年針對VPN產(chǎn)品下發(fā)了《IPSec VPN技術(shù)規(guī)范》和《SSL VPN技術(shù)規(guī)范》,明確要求了VPN產(chǎn)品的技術(shù)體系和算法要求。
5.VPN技術(shù)在等級保護(hù)中的應(yīng)用
在三級防護(hù)四大方面的設(shè)計(jì)要求中,VPN技術(shù)可以說是在四大方面的設(shè)計(jì)要求中都有廣泛的應(yīng)用:
在安全計(jì)算環(huán)境的設(shè)計(jì)要求中:首先在實(shí)現(xiàn)身份鑒別方面,在用戶訪問的中心,系統(tǒng)管理員都統(tǒng)一建立的有用戶的用戶組和用戶名,用戶會通過VPN的設(shè)備登錄訪問中心的應(yīng)用系統(tǒng),當(dāng)身份得到鑒別通過時(shí)才可訪問應(yīng)用系統(tǒng);其次在數(shù)據(jù)的完整性保護(hù)和保密性保護(hù)上都能夠防止用戶的數(shù)據(jù)在傳輸過程中被惡意篡改和盜取。
在安全區(qū)域邊界的設(shè)計(jì)要求中:網(wǎng)絡(luò)邊界子系統(tǒng)的邊界控制與VPN功能一體化實(shí)現(xiàn),在保證傳輸安全性的同時(shí)提高網(wǎng)絡(luò)數(shù)據(jù)包處理效率。
在安全通信網(wǎng)絡(luò)的設(shè)計(jì)要求中:網(wǎng)絡(luò)安全通信的子系統(tǒng)主要是為跨區(qū)域邊界的通信雙方建立安全的通道,通過IPSEC協(xié)議建立安全的VPN隧道傳輸數(shù)據(jù)。完成整個(gè)應(yīng)用系統(tǒng)中邊界或部門服務(wù)器邊界的安全防護(hù),為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的間的信息的安全傳輸提供加密、身份鑒別及訪問控制等安全機(jī)制。在客戶端和應(yīng)用服務(wù)器進(jìn)出的總路由前添加網(wǎng)絡(luò)VPN網(wǎng)關(guān),通過IPSEC協(xié)議或者SSL協(xié)議建立VPN隧道為進(jìn)出的數(shù)據(jù)提供加密傳輸,實(shí)現(xiàn)應(yīng)用數(shù)據(jù)的加密通信。
在安全管理中心的設(shè)計(jì)要求中:系統(tǒng)管理中,VPN技術(shù)在主機(jī)資源和用戶管理能夠?qū)崿F(xiàn)很好的保護(hù),對用戶登錄、外設(shè)接口、網(wǎng)絡(luò)通信、文件操作及進(jìn)程服務(wù)等方面進(jìn)行監(jiān)視機(jī)制,確保重要信息安全可控,滿足對主機(jī)的安全監(jiān)管需要。
在信息系統(tǒng)安全等級保護(hù)設(shè)計(jì)中VPN產(chǎn)品的部署示意圖如圖2所示。
鐵路信息安全建設(shè)和運(yùn)行必須結(jié)合鐵路信息化實(shí)際情況,從管理和技術(shù)兩個(gè)層面綜合保證鐵路信息系統(tǒng)的運(yùn)行操作安全,保障鐵路信息系統(tǒng)及其安全基礎(chǔ)設(shè)施的運(yùn)行安全,并最終保障鐵路運(yùn)輸業(yè)務(wù)及運(yùn)輸服務(wù)的安全。鐵路信息安全保障體系結(jié)構(gòu)見圖1。管理和技術(shù)是鐵路信息安全保障體系的兩個(gè)要素,是保證鐵路信息系統(tǒng)及其所支撐的鐵路運(yùn)輸業(yè)務(wù)和服務(wù)安全建設(shè)和運(yùn)行的必要條件。在這兩個(gè)安全要素中,管理是核心,是基礎(chǔ),它影響和決定技術(shù)的選擇以及技術(shù)標(biāo)準(zhǔn)規(guī)范;反過來,技術(shù)也會影響到信息安全管理方式和管理制度的具體形式,降低管理成本。在安全管理層面中,國家和鐵路行業(yè)的信息安全方針政策法規(guī)是鐵路信息安全建設(shè)和安全運(yùn)維的管理基礎(chǔ);鐵路信息安全管理制度是信息安全方針政策法規(guī)在鐵路信息安全日常工作中的具體要求體現(xiàn);鐵路信息安全組織保障是落實(shí)鐵路信息安全方針政策法規(guī)、執(zhí)行鐵路信息安全管理制度的崗位職責(zé)基礎(chǔ)和人員保障;信息安全意識培養(yǎng)、培訓(xùn)和教育是鐵路信息安全方針政策法規(guī)和鐵路信息安全管理制度得以高效、準(zhǔn)確地落實(shí)和執(zhí)行的保證。管理安全保證不僅通過方針政策法規(guī)、組織保障、管理制度、意識培養(yǎng)培訓(xùn)教育等形式直接對鐵路業(yè)務(wù)提供安全支持和保障外,還通過對信息安全技術(shù)的影響間接地保護(hù)鐵路業(yè)務(wù)安全。鐵路信息安全方針政策法規(guī)和管理制度等因素是制定鐵路信息安全技術(shù)標(biāo)準(zhǔn)和規(guī)范的重要基礎(chǔ),同時(shí),它們也會對信息安全方案的設(shè)計(jì)、產(chǎn)品選擇和采購方式產(chǎn)生不同程度的影響。在安全管理控制下,只有具備安全資質(zhì)的業(yè)務(wù)人員才可以在已經(jīng)獲得認(rèn)證認(rèn)可的技術(shù)手段支持下,執(zhí)行規(guī)定的操作流程;鐵路信息系統(tǒng)操作流程安全包括鐵路信息系統(tǒng)的建設(shè)、運(yùn)維和災(zāi)備恢復(fù)等活動的流程和操作安全,它旨在保證鐵路信息系統(tǒng)及其安全基礎(chǔ)設(shè)施在安全生命周期中各主要階段的過程安全。鐵路信息系統(tǒng)由鐵路外部服務(wù)網(wǎng)、內(nèi)部服務(wù)網(wǎng)、安全生產(chǎn)網(wǎng)以及若干生產(chǎn)專網(wǎng)組成,鐵路的各種應(yīng)用業(yè)務(wù)都直接運(yùn)行在這些系統(tǒng)之上,為了更好地支撐這些業(yè)務(wù)系統(tǒng)的安全運(yùn)行,支持鐵路統(tǒng)一的安全管理,在鐵路信息系統(tǒng)中還包括災(zāi)備中心、數(shù)字證書系統(tǒng)、集中管理及認(rèn)證授權(quán)中心等安全基礎(chǔ)設(shè)施系統(tǒng)或安全平臺,這些安全基礎(chǔ)設(shè)施及其所服務(wù)的鐵路應(yīng)用業(yè)務(wù)系統(tǒng)的運(yùn)行安全是鐵路運(yùn)輸業(yè)務(wù)及服務(wù)正常安全運(yùn)行的環(huán)境保障。
2安全保障體系要素
在鐵路信息系統(tǒng)中,無論是系統(tǒng)的建設(shè)、運(yùn)行、災(zāi)難恢復(fù)、事件處置等活動,還是其支撐的運(yùn)輸業(yè)務(wù)和服務(wù)等系統(tǒng)目標(biāo),都離不開管理和技術(shù)兩個(gè)安全要素的綜合保證,其中管理是核心,在安全管理措施的控制下,只有具備安全資質(zhì)的業(yè)務(wù)人員才可以在已經(jīng)獲得認(rèn)證認(rèn)可的技術(shù)手段支持下,執(zhí)行規(guī)定的操作流程。
2.1鐵路信息安全管理體系
鐵路信息安全管理體系必須以國家信息安全相關(guān)法規(guī)、政策和標(biāo)準(zhǔn)以及鐵路相關(guān)法規(guī)政策為基礎(chǔ)和依據(jù)。按照GB/T22239—2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》、GB/T22080—2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》和GB/T22081—2008《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》等國家標(biāo)準(zhǔn)和指南,結(jié)合我國鐵路實(shí)際情況,將鐵路信息安全管理體系劃分為11個(gè)安全控制類別,其中包括信息安全政策、信息安全組織、資產(chǎn)業(yè)務(wù)、信息安全環(huán)境、設(shè)備使用、通信網(wǎng)絡(luò)、配置授權(quán)、安全事件處置、安全運(yùn)維、安全合規(guī)和災(zāi)備恢復(fù)等管理內(nèi)容;在11個(gè)安全控制類別的基礎(chǔ)上,建立鐵路信息安全管理制度框架,如鐵路信息資產(chǎn)管理制度、互聯(lián)網(wǎng)訪問管理制度、人員安全培訓(xùn)制度、機(jī)房管理制度、產(chǎn)品準(zhǔn)入制度、系統(tǒng)運(yùn)維制度、安全事件處理流程規(guī)定、介質(zhì)管理制度、電子郵件使用管理規(guī)定、鐵路軟件開發(fā)管理流程規(guī)定等(見圖2)。
2.2鐵路信息安全技術(shù)框架
鐵路信息安全技術(shù)框架是鐵路信息安全保障體系的重要組成內(nèi)容,主要包括安全管理、身份管理、授權(quán)管理、災(zāi)備管理、監(jiān)控審計(jì)、可信保證等技術(shù)機(jī)制(見圖3)。管理安全是統(tǒng)領(lǐng)鐵路信息安全保障的綱領(lǐng),綱舉才能目張,構(gòu)建一個(gè)全路信息系統(tǒng)可視化管理平臺,以便對網(wǎng)絡(luò)、計(jì)算機(jī)設(shè)備、應(yīng)用系統(tǒng)部署、操作用戶及角色、運(yùn)維狀態(tài)等關(guān)鍵信息進(jìn)行全局的監(jiān)控,提高對系統(tǒng)中安全問題及其隱患的發(fā)現(xiàn)、分析和防范能力。由全路統(tǒng)一身份管理平臺、授權(quán)管理機(jī)制和責(zé)任認(rèn)定構(gòu)成的鐵路網(wǎng)絡(luò)信任管理體系是保障鐵路信息安全可信和安全的前提。全路災(zāi)難備份和恢復(fù)策略管理是鐵路信息系統(tǒng)可信、安全和業(yè)務(wù)可持續(xù)性的后盾。以密碼技術(shù)為基礎(chǔ)的可信計(jì)算技術(shù)為軟硬件資源的安全和隔離提供了結(jié)構(gòu)化保證,為計(jì)算環(huán)境的可信可靠(完整性)提供了有效的判別手段,為關(guān)鍵數(shù)據(jù)提供了可信安全存儲,為分布式計(jì)算的安全機(jī)制一致性和網(wǎng)絡(luò)接入控制提供了遠(yuǎn)程可信證明方法。可信計(jì)算技術(shù)是構(gòu)建鐵路信息安全保障體系的基礎(chǔ)支撐。
2.3鐵路信息安全的組織保證
鐵路信息系統(tǒng)安全應(yīng)該在組織上加以保證。在具體組織形式上應(yīng)該由中國鐵路總公司(簡稱總公司)主管領(lǐng)導(dǎo)和部門具體負(fù)責(zé)鐵路信息安全的領(lǐng)導(dǎo)和組織工作,由相關(guān)專業(yè)職能部門分工協(xié)作,在鐵路信息化的整體工作布局中設(shè)置專門機(jī)構(gòu)和崗位、明確相關(guān)職責(zé)、配備信息安全專業(yè)技術(shù)和管理人員,確保信息安全管理制度的有效落實(shí)和信息安全技術(shù)機(jī)制的可操作性。鐵路信息安全組織保證框架見圖4。總公司信息安全主管部門應(yīng)該包括以下職能機(jī)構(gòu):法規(guī)政策標(biāo)準(zhǔn)管理機(jī)構(gòu)負(fù)責(zé)制定鐵路信息安全相關(guān)法規(guī)、政策、標(biāo)準(zhǔn)和規(guī)范,并負(fù)責(zé)鐵路業(yè)務(wù)應(yīng)用密碼的管理工作;安全建設(shè)運(yùn)維管理機(jī)構(gòu)根據(jù)鐵路信息安全相關(guān)法規(guī)、政策、標(biāo)準(zhǔn)和規(guī)范,參與鐵路信息系統(tǒng)及其安全基礎(chǔ)設(shè)施的設(shè)計(jì)、開發(fā)和運(yùn)維審核和監(jiān)管工作;信息安全風(fēng)險(xiǎn)管理機(jī)構(gòu)負(fù)責(zé)對進(jìn)入鐵路信息系統(tǒng)的相關(guān)產(chǎn)品進(jìn)行測評認(rèn)證,對運(yùn)行系統(tǒng)進(jìn)行安全監(jiān)控,負(fù)責(zé)信息系統(tǒng)的安全風(fēng)險(xiǎn)管理工作;安全事件處置管理機(jī)構(gòu)負(fù)責(zé)對系統(tǒng)緊急事件進(jìn)行處理,對輿情進(jìn)行綜合分析,并根據(jù)事件性質(zhì)和處理結(jié)果對事件進(jìn)行通報(bào);安全保密培訓(xùn)服務(wù)中心負(fù)責(zé)全路的信息安全法律法規(guī)、政策標(biāo)準(zhǔn)、安全意識和安全技能的培訓(xùn)提高工作,負(fù)責(zé)組織安排和協(xié)調(diào)社會力量以及高校等培訓(xùn)機(jī)構(gòu)具體實(shí)施常態(tài)化信息安全培訓(xùn)工作;安全災(zāi)備恢復(fù)管理機(jī)構(gòu)負(fù)責(zé)重要信息系統(tǒng)的運(yùn)行和數(shù)據(jù)備份實(shí)施工作,并在系統(tǒng)出現(xiàn)嚴(yán)重故障后,迅速協(xié)調(diào)相關(guān)部門恢復(fù)服務(wù)或業(yè)務(wù)數(shù)據(jù),保障關(guān)鍵業(yè)務(wù)服務(wù)的運(yùn)行連續(xù)性。各鐵路局(公司)應(yīng)該參照總公司信息安全管理組織結(jié)構(gòu),設(shè)置相關(guān)部門或相關(guān)專職崗位,并有鐵路局(公司)領(lǐng)導(dǎo)具體分管信息安全工作。鐵路局(公司)信息安全工作應(yīng)該在總公司統(tǒng)一組織、協(xié)調(diào)和安排下開展具體工作。
2.4鐵路信息系統(tǒng)安全基礎(chǔ)設(shè)施
鐵路信息系統(tǒng)必須依賴于鐵路網(wǎng)絡(luò)與信息安全基礎(chǔ)設(shè)施作為其安全支撐基礎(chǔ)。鐵路網(wǎng)絡(luò)與信息安全基礎(chǔ)設(shè)施不僅可以落實(shí)鐵路集中統(tǒng)一安全管理的要求,提高鐵路信息系統(tǒng)的安全水平,還能有效降低鐵路信息安全的建設(shè)和運(yùn)維成本。鐵路信息安全基礎(chǔ)設(shè)施包括鐵路信息系統(tǒng)災(zāi)備恢復(fù)中心、鐵路業(yè)務(wù)應(yīng)用密碼管理中心、數(shù)字證書系統(tǒng)、集中安全管理及認(rèn)證授權(quán)中心、安全監(jiān)控中心、安全隔離平臺、信息安全培訓(xùn)平臺以及鐵路網(wǎng)絡(luò)輿情分析系統(tǒng)(見圖5)。鐵路信息系統(tǒng)災(zāi)備恢復(fù)中心可以將由于系統(tǒng)重大故障或破壞帶來的業(yè)務(wù)中斷降低到最小程度,提高鐵路的服務(wù)水平;鐵路業(yè)務(wù)應(yīng)用密碼管理中心是保護(hù)鐵路重要數(shù)據(jù)安全和業(yè)務(wù)安全的基礎(chǔ)保證,同時(shí)它也是全路統(tǒng)一信任體系的技術(shù)基礎(chǔ);鐵路數(shù)字證書系統(tǒng)可以在全路范圍內(nèi)建立統(tǒng)一的身份認(rèn)證體系,提高鐵路的信息安全集中管理能力,降低安全管理成本;鐵路集中管理及認(rèn)證授權(quán)中心通過全路集中的信息安全平臺實(shí)現(xiàn)高效、統(tǒng)一的安全管理,保證安全策略的快速一致化部署;鐵路信息系統(tǒng)安全監(jiān)控中心可以對鐵路信息系統(tǒng)的安全運(yùn)行狀態(tài)進(jìn)行監(jiān)控,掌握鐵路信息系統(tǒng)的運(yùn)行態(tài)勢,從而實(shí)現(xiàn)在鐵路信息系統(tǒng)中防患于未然,有效降低系統(tǒng)安全風(fēng)險(xiǎn);鐵路安全隔離平臺是隔離鐵路內(nèi)部服務(wù)網(wǎng)和外部服務(wù)網(wǎng)的安全措施,它保證了鐵路安全生產(chǎn)網(wǎng)絡(luò)的正常運(yùn)行;鐵路信息安全培訓(xùn)平臺對保證提高鐵路員工的信息安全意識、培養(yǎng)安全素養(yǎng)極為重要,是人員安全的必要保證;鐵路網(wǎng)絡(luò)輿情分析系統(tǒng)對鐵路了解社會評價(jià)、改善鐵路社會化服務(wù)水平、提高鐵路形象至為關(guān)鍵。
2.5鐵路信息安全意識培養(yǎng)、培訓(xùn)和教育管理
要搞好鐵路信息系統(tǒng)的信息安全管理,離不開相關(guān)人員的安全意識培養(yǎng)、技能培訓(xùn)和專業(yè)教育。鐵路信息安全意識培養(yǎng)、培訓(xùn)和教育分別針對不同層次和專業(yè)的人員而設(shè)。信息安全意識培養(yǎng)通過對信息安全術(shù)語、議題和基本概念的宣傳、宣導(dǎo),吸引一般人群對信息安全的關(guān)注,幫助人們了解信息安全所關(guān)注的問題,并能因此產(chǎn)生正確的響應(yīng);信息安全培訓(xùn)讓信息系統(tǒng)相關(guān)人員獲得相關(guān)的技能和必備的資質(zhì),使其在信息安全管理、設(shè)計(jì)、開發(fā)、建設(shè)、運(yùn)維、操作、評估和使用等方面滿足與信息安全相關(guān)的崗位職能要求,培訓(xùn)可以分為初級、中級和高級等多個(gè)層次;信息安全教育則從信息安全專業(yè)理論、技術(shù)、經(jīng)驗(yàn)等方面培養(yǎng)信息安全專家,與信息安全培訓(xùn)一樣,這種信息安全教育也應(yīng)分為初級、中級和高級等多個(gè)層次。為降低信息安全意識培養(yǎng)、培訓(xùn)和教育的管理和運(yùn)作成本,鐵路信息安全資質(zhì)認(rèn)證也可以和國家其他部門的資質(zhì)認(rèn)證機(jī)構(gòu)合作,對一些可信度高、有較高權(quán)威的信息安全資質(zhì)證書采取等同認(rèn)可方法。鐵路信息安全意識培養(yǎng)、培訓(xùn)和教育管理框架見圖6。鐵路信息安全意識培養(yǎng)、培訓(xùn)和教育管理可分為兩方面:一方面是針對全部相關(guān)人員的信息安全意識培養(yǎng)。安全意識培養(yǎng)是一個(gè)長期的宣傳和貫導(dǎo)工作,可以通過制度獎懲、危機(jī)教育、標(biāo)語口號等方式建立普遍的信息安全概念,推廣信息安全文化;另一方面是針對崗位定義不同的信息安全資質(zhì)要求,并這對這些資質(zhì)要求建立相對應(yīng)的信息安全技能和專業(yè)培訓(xùn)、教育,為了滿足這些資質(zhì)培訓(xùn)教育工作,總公司必須建立相關(guān)的培訓(xùn)和認(rèn)證機(jī)制,設(shè)置相關(guān)的機(jī)構(gòu)。
2.6系統(tǒng)流程及操作安全保證
系統(tǒng)流程和操作安全是指鐵路信息安全建設(shè)、運(yùn)維和災(zāi)備恢復(fù)等活動的流程和操作安全,它旨在保證鐵路信息系統(tǒng)及其安全基礎(chǔ)設(shè)施在安全生命周期中主要階段的過程安全。在鐵路信息安全建設(shè)和運(yùn)行過程中,要制定并依托相關(guān)的鐵路網(wǎng)絡(luò)與信息安全管理制度、技術(shù)標(biāo)準(zhǔn)規(guī)范和組織部門機(jī)構(gòu),對系統(tǒng)的安全設(shè)計(jì)、產(chǎn)品測評準(zhǔn)入、安全工程等過程進(jìn)行安全管控,從根本上杜絕系統(tǒng)在結(jié)構(gòu)上的安全缺陷、嚴(yán)防不合規(guī)的產(chǎn)品進(jìn)入系統(tǒng)、保證系統(tǒng)建設(shè)施工的安全規(guī)范;在鐵路信息系統(tǒng)的日常運(yùn)行過程中,也必須建立系統(tǒng)風(fēng)險(xiǎn)監(jiān)控、評估和控制的管理和技術(shù)體系,通過專業(yè)專職的機(jī)構(gòu)和部門,對系統(tǒng)的安全狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控、對系統(tǒng)安全風(fēng)險(xiǎn)進(jìn)行定期或不定期的評估;對安全事件進(jìn)行預(yù)案規(guī)劃、演練和應(yīng)急處置,避免重大安全事件的發(fā)生;對系統(tǒng)服務(wù)或重要數(shù)據(jù)實(shí)施安全災(zāi)備,最大程度地減少系統(tǒng)故障帶來的鐵路運(yùn)輸業(yè)務(wù)和服務(wù)中斷時(shí)間,減小風(fēng)險(xiǎn)后果。鐵路信息安全建設(shè)、運(yùn)維和災(zāi)備恢復(fù)流程見圖7。
3結(jié)束語
ISMS的范圍在哪?
對ISMS范圍的正確確定是整個(gè)實(shí)施的基礎(chǔ)和成敗關(guān)鍵。它涵蓋了業(yè)務(wù)流程、信息流和相關(guān)資產(chǎn),因而也確定了BS7799信息安全管理體系的邊界和目標(biāo),這對于實(shí)施周期、實(shí)施受益的信息管理環(huán)節(jié)都將產(chǎn)生影響。
僅就認(rèn)證目的而言,企業(yè)可以選擇任何部門和系統(tǒng),但顯然只有與業(yè)務(wù)目標(biāo)一致的范圍定義才有助于體現(xiàn)安全管理對于核心業(yè)務(wù)的促進(jìn)作用。
在本項(xiàng)目中,最終選擇了企業(yè)的核心業(yè)務(wù)系統(tǒng)作為此次認(rèn)證的范圍,其ISMS邊界包括數(shù)據(jù)安全實(shí)驗(yàn)室及所有與“數(shù)據(jù)銷毀和數(shù)據(jù)恢復(fù)服務(wù)”相關(guān)的信息資產(chǎn),從而確保了BS 7799實(shí)施與預(yù)期目標(biāo)的一致性。
評估風(fēng)險(xiǎn)
風(fēng)險(xiǎn)評估被公認(rèn)為是ISMS實(shí)施過程最關(guān)鍵和難以操作環(huán)節(jié)。因此,BS7799實(shí)施并不限定客戶使用風(fēng)險(xiǎn)評估的方法。
風(fēng)險(xiǎn)評估成功與否關(guān)鍵不在于技術(shù)問題,而在于良好的客戶溝通和會議組織技巧,包括讓管理層和業(yè)務(wù)人員理解風(fēng)險(xiǎn)評估的重要性和方法,提供必要的配合和支持,并通過高效的會議組織獲得較全面的和客觀的調(diào)查反饋信息。
應(yīng)避免風(fēng)險(xiǎn)評估僅限于IT部門和安全專家的參與。風(fēng)險(xiǎn)評估既然服務(wù)于企業(yè)的業(yè)務(wù)目標(biāo),就應(yīng)當(dāng)?shù)玫綐I(yè)務(wù)部門的支持。事實(shí)上,只有他們最理解需要保護(hù)什么、保護(hù)的程度如何,哪些是安全問題,發(fā)生過什么安全事件,是否值得以特定成本實(shí)施安全控制而降低某項(xiàng)風(fēng)險(xiǎn)。
因此,在一開始就應(yīng)把業(yè)務(wù)骨干納入到風(fēng)險(xiǎn)評估小組,通過培訓(xùn)讓所有成員理解風(fēng)險(xiǎn)評估的目的、流程和方法。
風(fēng)險(xiǎn)評估應(yīng)始終圍繞企業(yè)的目標(biāo)和方針進(jìn)行。比如說,在評估資產(chǎn)和威脅的影響時(shí),都要做BIA(業(yè)務(wù)影響分析),其中制定的參考指標(biāo)就應(yīng)當(dāng)依據(jù)企業(yè)安全目標(biāo)。當(dāng)發(fā)生各成員評估結(jié)果不一致的情況時(shí),項(xiàng)目經(jīng)理也應(yīng)參照安全目標(biāo)的定義進(jìn)行裁決。
成功的風(fēng)險(xiǎn)評估應(yīng)避免片面性、主觀性,避免與漏洞掃描或穿透測試混為一談。客戶可能認(rèn)為只有后者才是值得尊重的專業(yè)服務(wù),但事實(shí)上風(fēng)險(xiǎn)不僅來自技術(shù)弱點(diǎn),還包括組織弱點(diǎn),如業(yè)務(wù)流程、人員和資產(chǎn)管理等。
此外,完整的風(fēng)險(xiǎn)評估應(yīng)涵蓋物理和邏輯兩方面的因素,我們這個(gè)案例就很明顯地體現(xiàn)了這點(diǎn)。
由于既定的范圍不包括復(fù)雜的網(wǎng)絡(luò)和IT資產(chǎn),因此在進(jìn)行弱點(diǎn)分析時(shí)主要考慮組織和物理方面的技術(shù)弱點(diǎn),例如客戶介質(zhì)在交遞、保管、處理、返還等環(huán)節(jié)的安全隱患,以及安全實(shí)驗(yàn)室的實(shí)物與環(huán)境安全等。
企業(yè)應(yīng)和客戶詳細(xì)討論各種細(xì)微的業(yè)務(wù)流程隱患,甚至以用戶身份參觀公司,以了解這項(xiàng)服務(wù)存在的外部隱患,例如客戶交來介質(zhì)時(shí)如何接待,對包裝如何檢查、標(biāo)記、存放,當(dāng)實(shí)驗(yàn)室工作人員暫時(shí)離開,如何確保環(huán)境和客戶介質(zhì)的安全等。
我們還檢查了實(shí)驗(yàn)室的裝修環(huán)境,與其他區(qū)域的分隔,以及門禁、監(jiān)控等措施的有效性。弱點(diǎn)識別往往包括內(nèi)、外兩方面不同的觀點(diǎn),但在資產(chǎn)和威脅分析時(shí),顧問公司只是教給客戶標(biāo)準(zhǔn)和方法,讓客戶自己分析、判斷、紀(jì)錄和整理最終的結(jié)果。
評斷風(fēng)險(xiǎn)評估的好壞不局限于采用定性或定量的風(fēng)險(xiǎn)評估方法,還在于能否為安全控制決策提供足夠的參考依據(jù)。
如果將資產(chǎn)價(jià)值、安全威脅和弱點(diǎn)對企業(yè)業(yè)務(wù)的影響等評估活動結(jié)果嚴(yán)格數(shù)字化,不僅可能導(dǎo)致實(shí)施進(jìn)度的失控,而且可能因?yàn)槿狈ψ銐虻膮⒖紭?biāo)準(zhǔn)和過于繁復(fù)的過程導(dǎo)致不可操作。在此情況下,基于特定的指標(biāo)進(jìn)行范圍分級往往是值得推薦的評估方法。
此外,為了提高評估的效率,還可以采用專業(yè)化評估軟件以減少評估的人為失誤和文檔編制時(shí)間。
人是安全管理體系的靈魂
安全管理體系的良好運(yùn)作依賴于制度和組織機(jī)制,更依賴于各種角色的安全意識和對安全方針的理解與遵守程度。所有這些,需要有有效的培訓(xùn)和管理層的支持。
辦好培訓(xùn)最好的方式是案例分析,其次是高層動員。如果在安全手冊的扉頁有CEO對安全的評論和簽名,顯然會增加該文檔的權(quán)威性。
至去年“棱鏡門”事件后,國內(nèi)連續(xù)爆出一系列數(shù)據(jù)泄密事件:如家等快捷酒店開房記錄泄露、中國人壽80萬保單信息泄露、搜狗手機(jī)輸入法漏洞、315晚會上央視也曝光了二維碼等網(wǎng)銀支付的安全漏洞,近日又曝光攜程用戶信息泄露,導(dǎo)致信用卡被盜刷的惡性事件,再次讓互聯(lián)網(wǎng)用戶數(shù)據(jù)安全成為關(guān)注焦點(diǎn)。為企業(yè)在數(shù)據(jù)防泄密建設(shè)方面敲響警鐘。
據(jù)烏云平臺披露:攜程將用于處理用戶支付的服務(wù)接口開啟了調(diào)試功能,使所有向銀行驗(yàn)證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接保存在本地服務(wù)器。同時(shí)因?yàn)楸4嬷Ц度罩镜姆?wù)器未做校嚴(yán)格的基線安全配置,存在目錄遍歷漏洞,導(dǎo)致所有支付過程中的調(diào)試信息可被任意駭客讀取。這些信息包括持卡人姓名、身份證、銀行卡類別、銀行卡號、CVV碼和6位Bin。
根據(jù)CNNIC最新數(shù)據(jù)顯示,2013年因網(wǎng)上數(shù)據(jù)泄露發(fā)生的安全問題涉及的網(wǎng)民數(shù)占整體上網(wǎng)人數(shù)的4.0%以上,影響人數(shù)達(dá)2010.6萬人。其中,個(gè)人信息泄露比例達(dá)42.9%,賬號密碼被盜比例達(dá)23.8%。在享受互聯(lián)網(wǎng)與手機(jī)帶來的便捷之時(shí),人已經(jīng)“透明”了。層出不窮的新型騙術(shù)、花樣翻新的黑客木馬,無一不在拷問著網(wǎng)絡(luò)數(shù)據(jù)安全問題。“創(chuàng)新永遠(yuǎn)伴隨著風(fēng)險(xiǎn),相關(guān)機(jī)構(gòu)應(yīng)提高自身安全技術(shù)業(yè)務(wù);同時(shí),希望更多宣傳和普及用戶安全意識教育。”某互聯(lián)網(wǎng)公司首席知識管理專家趙煥焱強(qiáng)調(diào)。在他看來,幾乎每次數(shù)據(jù)泄露的安全事件都是對商業(yè)公司的督促,而各個(gè)商業(yè)公司的安全意識也在逐漸加強(qiáng)。
事實(shí)上,目前,政府、企業(yè)等各方面都已經(jīng)認(rèn)識到信息安全建設(shè)的重要性和緊迫性。怎樣避免數(shù)據(jù)泄密風(fēng)險(xiǎn)成為每位CIO迫切希望解決的問題。從眾多數(shù)據(jù)泄密事件看,數(shù)據(jù)泄密途徑主要有數(shù)據(jù)非授權(quán)使用、內(nèi)部人員有意或無意泄密、離職雇員盜取信息及第三方合作人員數(shù)據(jù)竊取、數(shù)據(jù)被隨意拷貝等。從本質(zhì)上講,數(shù)據(jù)加密技術(shù)是確保數(shù)據(jù)安全的治本之法,核心信息資產(chǎn)只用通過加密技術(shù)實(shí)現(xiàn)權(quán)限管理:知道核心數(shù)據(jù)哪些人能看,在哪兒能看,看的環(huán)境是否安全,才能建立完善的數(shù)據(jù)安全管理體系,實(shí)現(xiàn)對數(shù)據(jù)的安全管控。采用多種加密技術(shù),結(jié)合用戶身份和權(quán)限控制等技術(shù)實(shí)現(xiàn)對數(shù)據(jù)全生命周期的安全管理。構(gòu)建以信息防泄密為核心的數(shù)據(jù)安全管理體系。對數(shù)據(jù)產(chǎn)生、交換、使用和存儲全生命周期實(shí)現(xiàn)權(quán)限控制和安全管理,讓核心信息牢牢掌握在內(nèi)部,從而保護(hù)信息資產(chǎn)安全。
聯(lián)系到中央網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組成立,全國兩會上信息安全焦點(diǎn)問題備受關(guān)注都充分說明國家信息安全建設(shè)高度重視。大數(shù)據(jù)時(shí)代,信息資產(chǎn)成為企業(yè)發(fā)展的命脈,如果數(shù)據(jù)信息被泄密,后果將不堪設(shè)想。(姜姝)
1.1電子信息的加密技術(shù)
所謂電子信息的加密技術(shù)也就是對于所傳送的電子信息能夠起到一定的保密作用,也能夠使信息、數(shù)據(jù)的傳遞變得更加安全和完整。電子信息的加密技術(shù)是保障電子科技企業(yè)信息安全的重要保證。加密技術(shù)也主要分為對稱以及非對稱兩類,對稱的加密技術(shù)一般都是通過序列密碼或是分組機(jī)密的方式來實(shí)現(xiàn)的。這其中還包括了明文、密鑰、加密算法以及解密算法五個(gè)基本的組成部分。而非對稱加密與對稱加密也存在一定的差異,非對稱加密必須要具備公開密鑰和私有密鑰兩個(gè)密鑰,同時(shí),這兩種密鑰只有配對使用,這樣才能解密。因此加密技術(shù)對于電子信息的安全具有很大的保障。如果在發(fā)送電子信息的時(shí)候,發(fā)送人是使用加密技術(shù)來發(fā)送郵件的,那么有人竊取信息的時(shí)候,也只能夠得到密文,不能得到具體的信息。這樣就大大加強(qiáng)了信息傳送的安全性。加快推進(jìn)國內(nèi)關(guān)鍵行業(yè)領(lǐng)域信息系統(tǒng)的安全評估測試。在安全評估方面,主要針對主機(jī)安全保密檢查與信息監(jiān)管,采取文件內(nèi)容檢索、惡意代碼檢查、數(shù)據(jù)恢復(fù)技術(shù)、網(wǎng)絡(luò)漏洞掃描、互聯(lián)網(wǎng)網(wǎng)站檢測、語意分析等技術(shù),評估分析重要信息是否發(fā)生泄漏,并找出泄漏的原因和渠道。
1.2防火墻技術(shù)
隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,雖然對于信息安全問題已經(jīng)不斷的得到加強(qiáng),但是一些信息的不安全因素也在逐級的提高。有一些黑客或者是病毒木馬也在不斷的入侵,而這些不安全的因素會極大的威脅到電子科技企業(yè)信息的安全。而針對這種情況,一種比較有效的防護(hù)措施就是防火墻技術(shù)的使用。這種技術(shù)可以有效的防止黑客的入侵以及電腦中的信息被篡改等情況的發(fā)生。這樣就能夠有效的保障電子科技企業(yè)信息的安全。加強(qiáng)企業(yè)信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)建設(shè),建設(shè)面向企業(yè)的信息安全專業(yè)服務(wù)平臺。重點(diǎn)開展等級保護(hù)設(shè)計(jì)咨詢、風(fēng)險(xiǎn)評估、安全咨詢、安全測評、快速預(yù)警響應(yīng)、第三方資源共享的容災(zāi)備份、標(biāo)準(zhǔn)驗(yàn)證等服務(wù);建設(shè)企業(yè)信息安全數(shù)據(jù)庫,為廣大企業(yè)提供快速、高效的信息安全咨詢、預(yù)警、應(yīng)急處理等服務(wù),實(shí)現(xiàn)企業(yè)信息安全公共資源的共享共用,提高信息安全保障能力。
二、解決電子科技企業(yè)信息安全問題的方法
2.1構(gòu)建電子科技企業(yè)信息安全的管理體系
如果要想有效的保障電子科技企業(yè)的信息安全,除了要不斷的提高安全技術(shù)水平,還要建立起一套比較完善的信息安全管理體系。這樣才能使整個(gè)信息安全工作更加有條不紊的進(jìn)行。在很多電子科技企業(yè)當(dāng)中,最初所建立的相關(guān)信息制度在很大程度上都制約著信息系統(tǒng)的安全性。如果一旦安全管理制度出現(xiàn)了問題,那么一系列的安全技術(shù)都無法發(fā)揮出來。很多信息安全工作也無法正常進(jìn)行下去。因此,嚴(yán)格的信息安全管理體系對于信息安全的保障具有十分重要的作用。只有當(dāng)信息安全管理形成了一個(gè)完善的體系,那么信息安全工作才能夠更加順利的進(jìn)行,同時(shí)也能夠大大的提升信息安全的系數(shù)。
2.2利用電子科技企業(yè)自身的網(wǎng)絡(luò)條件來提供信息安全服務(wù)
一般來說,電子科技企業(yè)都擁有自己的局域網(wǎng),很多企業(yè)也可以通過局域網(wǎng)來相互連通。因此,電子科技企業(yè)應(yīng)該充分的利用這一特點(diǎn)為自身的企業(yè)提供良好地信息安全服務(wù)。通過局域網(wǎng)的連通,不僅能夠在這個(gè)平臺上及時(shí)的公布一些安全公告以及安全法規(guī),同時(shí)還可以進(jìn)行一些安全軟件的下載,為員工提供一些關(guān)于信息安全的培訓(xùn)。這樣不僅能夠?yàn)槠髽I(yè)之間的員工提供一個(gè)安全的互相交流的平臺,同時(shí)還能夠很好的保障企業(yè)信息安全。針對企業(yè)主機(jī)安全保密檢查與信息監(jiān)管,采取文件內(nèi)容檢索、惡意代碼檢查、數(shù)據(jù)恢復(fù)技術(shù)、網(wǎng)絡(luò)漏洞掃描、互聯(lián)網(wǎng)網(wǎng)站檢測、語意分析等技術(shù),評估分析重要信息是否發(fā)生泄漏,并找出泄漏的原因和渠道。
2.3定期對信息安全防護(hù)軟件進(jìn)行及時(shí)的更新
1信息化數(shù)據(jù)體系
未來卷煙工廠的數(shù)據(jù)體系采用分層架構(gòu),如圖3所示。1)操作支撐層:這一層的數(shù)據(jù)集主要用于支撐企業(yè)的運(yùn)營,是典型的操作型數(shù)據(jù)環(huán)境,一般是各業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫,包括卷煙生產(chǎn)、物流、MES等。其主要職能在于支撐日常業(yè)務(wù)管理活動的運(yùn)營需要。2)公共數(shù)據(jù)庫層:該層的數(shù)據(jù)起著承上啟下的作用,定位為運(yùn)營數(shù)據(jù)存儲。各系統(tǒng)中的數(shù)據(jù)統(tǒng)一匯總到公共數(shù)據(jù)庫(ODS)中,作為共享數(shù)據(jù)集散地。通過采集各系統(tǒng)的業(yè)務(wù)數(shù)據(jù),公共數(shù)據(jù)庫(ODS)對源系統(tǒng)的數(shù)據(jù)質(zhì)量進(jìn)行審計(jì)監(jiān)控,同時(shí)按照統(tǒng)一的主題域數(shù)據(jù)模型對數(shù)據(jù)進(jìn)行整合轉(zhuǎn)換,以此為基礎(chǔ)建立數(shù)據(jù)倉庫(DW),并為其它業(yè)務(wù)應(yīng)用系統(tǒng)提供跨域的數(shù)據(jù)共享。3)數(shù)據(jù)倉庫層:<卷煙工業(yè)企業(yè)的數(shù)據(jù)倉庫構(gòu)建方法_華勇.caj>該部分整合所有數(shù)據(jù)源,集成公共數(shù)據(jù)庫層的數(shù)據(jù),做到數(shù)入一庫。4)分析支撐層:該層的數(shù)據(jù)集主要用于支撐管理和決策需要,是典型的分析型數(shù)據(jù)環(huán)境。它從數(shù)據(jù)倉庫中提取數(shù)據(jù)并整合管理決策所需要的數(shù)據(jù)集,做到數(shù)出一門。
2信息化集成體系
卷煙工廠經(jīng)過近年來的信息化建設(shè),初步形成了以MES核心的業(yè)務(wù)支撐系統(tǒng)環(huán)境。隨著業(yè)務(wù)協(xié)同設(shè)計(jì)的日益深入,各體系之間需要進(jìn)行深度集成,以滿足數(shù)字化卷煙工廠為實(shí)現(xiàn)管控一體化對信息化的要求。從總體上,未來卷煙工廠的集成體系包含數(shù)據(jù)集成框架和應(yīng)用集成框架:(1)數(shù)據(jù)集成框架數(shù)據(jù)集成框架主要完成業(yè)務(wù)系統(tǒng)的數(shù)據(jù)發(fā)現(xiàn)、結(jié)構(gòu)識別、抽取、傳輸和加載。橫向?qū)崿F(xiàn)各業(yè)務(wù)系統(tǒng)之間的數(shù)據(jù)交換,實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)數(shù)據(jù)向生產(chǎn)分析系統(tǒng)的抽取、清洗和裝載,為輔助決策支持應(yīng)用提供基礎(chǔ)。縱向?qū)崿F(xiàn)各生產(chǎn)系統(tǒng)業(yè)務(wù)數(shù)據(jù)向卷煙工廠生產(chǎn)分析系統(tǒng)的上傳和部分?jǐn)?shù)據(jù)的下傳,同時(shí)滿足中煙公司數(shù)據(jù)交換的需求。同時(shí),通過數(shù)據(jù)集成框架的建設(shè)為今后的業(yè)務(wù)系統(tǒng)建設(shè)提供統(tǒng)一的數(shù)據(jù)源和集成環(huán)境。(2)應(yīng)用集成框架應(yīng)用集成框架以系統(tǒng)之間的互聯(lián)互通為重點(diǎn),通過開放的SOA架構(gòu)搭建卷煙工廠的系統(tǒng)之間協(xié)作的應(yīng)用環(huán)境。針對目前卷煙工廠多種集成方式(WebService、文件、數(shù)據(jù)庫中間表)并存的現(xiàn)狀,建議按照如下思路進(jìn)行逐步整合:建設(shè)集成接口的統(tǒng)一注冊管理系統(tǒng),實(shí)現(xiàn)對現(xiàn)有系統(tǒng)的集成接口的統(tǒng)一注冊、維護(hù)及查詢,構(gòu)建未來卷煙工廠統(tǒng)一的集成接口視圖。梳理現(xiàn)有集成接口情況,根據(jù)不同的業(yè)務(wù)需求確定適應(yīng)的接口規(guī)范,使以后應(yīng)用系統(tǒng)的集成建設(shè)有據(jù)可依。基于集成平臺的應(yīng)用現(xiàn)狀,對于未來在建的業(yè)務(wù)系統(tǒng),原則上不應(yīng)新增集成平臺,并且建議逐步過渡到統(tǒng)一的數(shù)據(jù)交換平臺上,統(tǒng)一卷煙工廠的集成接口形式。在實(shí)現(xiàn)了上述集成的規(guī)范管理后,可以進(jìn)一步建立以符合業(yè)界標(biāo)準(zhǔn)的工作流平臺為核心的業(yè)務(wù)流程管理引擎,對各業(yè)務(wù)系統(tǒng)的流程進(jìn)行重整和優(yōu)化,將相同作用的功能進(jìn)行合并,利用信息系統(tǒng)功能的調(diào)整促使業(yè)務(wù)流程進(jìn)行變更使得業(yè)務(wù)的流轉(zhuǎn)更為流暢和高效。
3信息安全體系
整體安全體系分為安全策略、安全管理體系、安全技術(shù)體系、安全運(yùn)維體系四部分,如圖5所示。1)安全策略的組成包含總體方針和分項(xiàng)策略兩個(gè)部分。2)安全管理體系的作用是通過建立健全組織機(jī)構(gòu)、規(guī)章制度,以及通過人員安全管理、安全教育與培訓(xùn)和各項(xiàng)管理制度的有效執(zhí)行,來落實(shí)人員職責(zé),確定行為規(guī)范,保證技術(shù)措施真正發(fā)揮效用,與技術(shù)體系共同保障安全策略的有效貫徹和落實(shí)。3)信息安全技術(shù)體系的重點(diǎn)是為卷煙工廠網(wǎng)絡(luò)架構(gòu)劃分安全域,如網(wǎng)絡(luò)核心區(qū)、外聯(lián)接入?yún)^(qū)、上聯(lián)接入?yún)^(qū),辦公接入?yún)^(qū)、服務(wù)器接入?yún)^(qū)、生產(chǎn)現(xiàn)場接入?yún)^(qū)等。4)信息安全運(yùn)維體系著重立足以下方面建設(shè):建立常態(tài)化安全風(fēng)險(xiǎn)評估機(jī)制、開展等級保護(hù)整改工作、采購與實(shí)施過程管理、外包運(yùn)維服務(wù)管理、應(yīng)急計(jì)劃和事件響應(yīng)、績效評估與改進(jìn)。
4信息化管理體系
信息化建設(shè)和運(yùn)維的整個(gè)過程中,都需要IT部門與業(yè)務(wù)部門緊密聯(lián)系,所以IT部門與業(yè)務(wù)部門的職責(zé)界定,必然會影響整體信息化建設(shè)的思路。IT部門與業(yè)務(wù)部門在信息化建設(shè)方面的職責(zé)劃分如下:IT運(yùn)營管理主要涉及信息化相關(guān)制度與流程的制定與完善。未來卷煙工廠應(yīng)在中煙公司整體IT運(yùn)營管理體系指導(dǎo)下,隨著信息化建設(shè)的逐步深入,不斷建立與細(xì)化。信息化管理制度應(yīng)該根據(jù)管控模式、業(yè)務(wù)流程和績效管理的相關(guān)內(nèi)容,涵蓋從規(guī)劃、建設(shè)到運(yùn)維的全生命周期各環(huán)節(jié)。
5結(jié)束語
現(xiàn)階段行業(yè)內(nèi)各卷煙工廠實(shí)施信息化的程度不一,該設(shè)計(jì)的提出給未來煙草卷煙工廠的信息化提供了指導(dǎo)性建議,有助卷煙工廠信息化建設(shè)實(shí)現(xiàn)行業(yè)內(nèi)的統(tǒng)一。后續(xù)階段,可結(jié)合該設(shè)計(jì)在卷煙工廠信息化中的實(shí)踐情況,并通過進(jìn)一步提煉和總結(jié),形成一系列未來卷煙工廠信息化建設(shè)的標(biāo)準(zhǔn)規(guī)范,解決行業(yè)內(nèi)卷煙工廠信息化建設(shè)標(biāo)準(zhǔn)缺失這一難題。
作者:虞文進(jìn)黎 勇王文娟徐培富張成挺單位:寧波卷煙廠信息中心
為加強(qiáng)證券期貨業(yè)信息安全保障工作的組織協(xié)調(diào),建立健全信息安全管理制度和運(yùn)行機(jī)制,切實(shí)提高行業(yè)信息安全保障工作水平,根據(jù)中國證券監(jiān)督管理委員會頒布的《證券期貨業(yè)信息安全保障管理暫行辦法》,制定《證券期貨業(yè)信息安全保障管理體系框架》。
在保障安全的前提下,兼顧不同主體單位的差別,強(qiáng)制滿足最低標(biāo)準(zhǔn),充分保留發(fā)展空間。
參照 ISO/IEC 27001:2005中提出的證券期貨業(yè)信息安全保障管理模型(簡稱模型),采用立方體架構(gòu)。頂面是信息安全保障的7個(gè)目標(biāo)(機(jī)密性、完整性、可用性、真實(shí)性、可審計(jì)性、抗抵賴性、可靠性),正面是行業(yè)組織結(jié)構(gòu),側(cè)面是各個(gè)機(jī)構(gòu)為實(shí)現(xiàn)信息安全保障目標(biāo)所采取的措施和方式(組織、管理及技術(shù)體系)。
本管理體系框架遵循如下基本原則:責(zé)任制原則,依據(jù)“誰主管,誰負(fù)責(zé)”、“誰運(yùn)營,誰負(fù)責(zé)”的基本原則,明確行業(yè)內(nèi)各主體單位信息安全保障的管理責(zé)任;系統(tǒng)性原則,以動態(tài)保障的安全觀為指導(dǎo),體現(xiàn)安全與發(fā)展并進(jìn)、管理與技術(shù)并重、長效機(jī)制與應(yīng)急防御相結(jié)合的綜合保障體系;適用性原則,在保障安全的前提下,兼顧不同主體單位的差別,強(qiáng)制滿足最低標(biāo)準(zhǔn),充分保留發(fā)展空間。
信息安全目標(biāo)
證券期貨業(yè)信息安全保障管理體系的目標(biāo)是保障網(wǎng)絡(luò)與信息系統(tǒng)的機(jī)密性、完整性、可用性、真實(shí)性、可審計(jì)性、抗抵賴性、可靠性。機(jī)密性是數(shù)據(jù)所具有的特性,即表示數(shù)據(jù)所達(dá)到的未提供或未泄露給未授權(quán)的個(gè)人、過程或其他實(shí)體的程度。完整性是保證信息及信息系統(tǒng)不會被非授權(quán)更改或破壞的特性,包括數(shù)據(jù)完整性和系統(tǒng)完整性。可用性是數(shù)據(jù)或資源的特性,被授權(quán)實(shí)體按要求能訪問和使用數(shù)據(jù)或資源。真實(shí)性即信息接收者能夠通過有效的手段來識別信息是否是聲稱者所發(fā)送。可審計(jì)性即每個(gè)經(jīng)授權(quán)用戶的活動都是唯一標(biāo)識和監(jiān)控的,以便對其所做的操作內(nèi)容進(jìn)行審計(jì)和跟蹤。抗抵賴性即保證發(fā)送信息的行為人不能否認(rèn)自己的行為,使發(fā)送行為具有可信度。可靠性即保證合法用戶對信息能夠進(jìn)行讀取和修改,防止非法用戶對信息進(jìn)行惡意篡改和破壞。
行業(yè)組織結(jié)構(gòu)
證券期貨業(yè)安全保障管理組織結(jié)構(gòu)采用 “統(tǒng)一組織、分層管理、交叉協(xié)調(diào)”的管理結(jié)構(gòu),劃分為三層:決策層、管理層、執(zhí)行層。
決策層
決策層由證券期貨業(yè)網(wǎng)絡(luò)與信息安全保障協(xié)調(diào)小組(以下簡稱協(xié)調(diào)小組)構(gòu)成,協(xié)調(diào)小組由中國證券監(jiān)督管理委員會及“5(交易所)+1(登記結(jié)算公司)+2(行業(yè)協(xié)會)”組成,是證券期貨行業(yè)信息安全的最高決策機(jī)構(gòu),以建立安全的信息系統(tǒng)、保障投資者利益為目標(biāo),制定框架性的信息系統(tǒng)安全指導(dǎo)方針,明確信息安全保障工作的基本方向和主要內(nèi)容,頒布信息安全保障工作的行業(yè)條例與規(guī)定。
協(xié)調(diào)小組還將根據(jù)證券期貨行業(yè)信息系統(tǒng)發(fā)展趨勢和信息安全發(fā)展趨勢,定期對指導(dǎo)方針做出調(diào)整,研究和分析信息安全建設(shè)對證券期貨行業(yè)發(fā)展的價(jià)值和影響,確定信息安全保障工作的發(fā)展方向和基本工作節(jié)奏。審定并頒布行業(yè)信息安全保障工作的規(guī)定和制度,協(xié)調(diào)行業(yè)內(nèi)部及外部資源,具體包括,信息安全保障工作指導(dǎo)方針、信息安全保障工作管理體系、信息安全保障工作管理流程、信息安全保障工作監(jiān)督規(guī)定。審定并頒布信息安全保障工作的監(jiān)督機(jī)制,并頒布相關(guān)監(jiān)督制度和管理流程。
管理層
管理層由行業(yè)主管職能部門、行業(yè)自律組織和行業(yè)相關(guān)的管理與促進(jìn)機(jī)構(gòu)構(gòu)成。行業(yè)主管職能部門包括中國證監(jiān)會信息安全管理職能部門及其派出機(jī)構(gòu)(各地的證監(jiān)局、證管辦),行業(yè)自律組織包括中國證券業(yè)協(xié)會、中國期貨業(yè)協(xié)會、技術(shù)標(biāo)準(zhǔn)委員會,相關(guān)的管理與促進(jìn)機(jī)構(gòu)成員包括證券交易所(上海證券交易所、深圳證券交易所)、期貨交易所(上海期貨交易所、鄭州商品交易所、大連商品交易所)、登記結(jié)算公司。
行業(yè)主管職能部門負(fù)責(zé)起草并報(bào)批行業(yè)信息安全保障工作的規(guī)章和制度,協(xié)調(diào)專家顧問、行業(yè)成員等各方面的資源,對協(xié)調(diào)小組頒發(fā)的信息安全指導(dǎo)方針做技術(shù)與標(biāo)準(zhǔn)的支持,為其他成員執(zhí)行指導(dǎo)性方針提供支持,并及時(shí)了解業(yè)務(wù)發(fā)展對信息安全的新需求,反映給協(xié)調(diào)小組,并根據(jù)證監(jiān)會的信息安全保障工作相關(guān)規(guī)定,提出技術(shù)標(biāo)準(zhǔn)與實(shí)施細(xì)則。協(xié)調(diào)專家、顧問和行業(yè)標(biāo)桿企業(yè)為各個(gè)安全主體進(jìn)行信息安全保障工作的咨詢。
行業(yè)自律組織針對行業(yè)特性制訂信息安全保障相關(guān)自律性公約、標(biāo)準(zhǔn)、規(guī)范與指引等,并要求其會員單位嚴(yán)格遵守自律公約,并對違反公約的行為進(jìn)行處理。相關(guān)的管理與促進(jìn)機(jī)構(gòu)作為市場網(wǎng)絡(luò)與信息系統(tǒng)的核心,其信息系統(tǒng)運(yùn)行狀態(tài)很大程度上依賴于會員單位的信息安全級別,應(yīng)對其會員單位進(jìn)行嚴(yán)格要求,依據(jù)行業(yè)信息安全保障管理相關(guān)管理規(guī)范,制定相應(yīng)的管理細(xì)則和技術(shù)標(biāo)準(zhǔn),督促其會員單位落實(shí),并對安全邊界進(jìn)行嚴(yán)格管理。
執(zhí)行層
執(zhí)行層指市場各個(gè)參與主體,包括交易所、登記結(jié)算公司、通信公司、證券公司、期貨公司、基金管理公司、投資咨詢機(jī)構(gòu)等。
安全保障領(lǐng)導(dǎo)小組是各主體單位信息安全最高領(lǐng)導(dǎo)機(jī)構(gòu),對協(xié)調(diào)小組關(guān)于信息安全建設(shè)的指導(dǎo)方針進(jìn)行目標(biāo)分解,結(jié)合本單位業(yè)務(wù)發(fā)展需求及信息系統(tǒng)現(xiàn)狀制定具體的信息安全建設(shè)策略、計(jì)劃、流程,并授權(quán)執(zhí)行機(jī)構(gòu)進(jìn)行信息系統(tǒng)安全建設(shè)與運(yùn)維。主要工作內(nèi)容包括制定符合監(jiān)管機(jī)構(gòu)規(guī)定的信息安全保障方針政策,根據(jù)企業(yè)自身信息安全保障工作的方針政策建立信息安全保障工作的策略體系,監(jiān)督并指導(dǎo)企業(yè)自身的信息安全組織、管理、技術(shù)體系建設(shè)。
安全保障工作小組是各主體單位執(zhí)行信息安全保障的具體機(jī)構(gòu),根據(jù)安全保障領(lǐng)導(dǎo)小組制定的信息安全建設(shè)策略、計(jì)劃、流程執(zhí)行信息安全保障工作。主體單位對自身信息安全現(xiàn)狀的評估,建設(shè)信息安全組織、管理、技術(shù)體系,完善信息安全組織、管理、技術(shù)體系,對出現(xiàn)的安全事件進(jìn)行處理。
在組織體系上,決策層進(jìn)行法規(guī)頒布,對管理層和執(zhí)行層進(jìn)行工作指導(dǎo),管理層對決策層制定的相關(guān)法規(guī)進(jìn)行細(xì)化,執(zhí)行層根據(jù)行業(yè)規(guī)則進(jìn)行信息安全保障體系建設(shè),并將組織信息上報(bào)管理層和決策層。在管理體系上,決策層對管理層進(jìn)行監(jiān)督管理,管理層對執(zhí)行層進(jìn)行評估檢查,執(zhí)行層將信息進(jìn)行上報(bào)給決策層和管理層。在技術(shù)體系上,由執(zhí)行層將技術(shù)實(shí)現(xiàn)方案和實(shí)施結(jié)果上報(bào)給管理層,管理層對成功經(jīng)驗(yàn)在執(zhí)行層進(jìn)行推廣。
信息安全保障實(shí)現(xiàn)方式
【關(guān)鍵詞】信息安全:管理;現(xiàn)狀;問題:措施
【中圖分類號】TP315 【文獻(xiàn)標(biāo)識碼】A 【文章編號】1672-5158(2013)04-0077-01
一、信息安全事件的介紹
信息技術(shù)的飛速發(fā)展使信息技術(shù)和信息產(chǎn)業(yè)呈現(xiàn)空前繁榮的景象。與此同時(shí),信息安全問題也愈演愈烈,關(guān)于信息安全的事件不絕于耳,個(gè)人信息泄露、黑客攻擊、網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)謠言等信息安全威脅不僅影響了人們的日常生活,還給社會安定帶來一定的影響。從國家戰(zhàn)略層面看,網(wǎng)絡(luò)戰(zhàn)已經(jīng)成為各國競相發(fā)展的核心安全力量,網(wǎng)絡(luò)空間成為了各國情報(bào)機(jī)構(gòu)的主要戰(zhàn)場,由此帶來的信息安全問題被提升。
據(jù)統(tǒng)計(jì),2012年我國約有4 5億網(wǎng)民遇過網(wǎng)絡(luò)安全事件;2011年經(jīng)過CNCERT調(diào)查,僅CNCERT接收到的國內(nèi)外報(bào)告網(wǎng)絡(luò)安全事件就有15366起,利用木馬或僵尸程序控制服務(wù)器IP總數(shù)為300407個(gè),受控主機(jī)IP總數(shù)為27275399個(gè),惡意程序傳播事件多達(dá)35821698次;2011年Apache,MySqI,Linux等多家開源系統(tǒng)官網(wǎng)、DigiNotar,Comodo等多家證書機(jī)構(gòu)以及一些大型金融企業(yè)、公司網(wǎng)站被黑客攻擊,導(dǎo)致多家公司名譽(yù)受損甚至破產(chǎn);相關(guān)調(diào)查顯示,68%的企業(yè)每年至少發(fā)生6起敏感數(shù)據(jù)泄露事件,CSDN、天涯等國內(nèi)大型網(wǎng)站用戶信息泄露事件給廣大用戶帶來巨大影響;網(wǎng)絡(luò)水軍隨意散布各種虛假信息,各種虛假的地震謠言等等,嚴(yán)重混淆了人們的視聽。
如何應(yīng)對這些安全挑戰(zhàn),建立安全防御體系,保障信息安全不受侵犯,保證各個(gè)行業(yè)賴以生存的信息系統(tǒng)和信息網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn),成為信息技術(shù)領(lǐng)域必不可少的研究內(nèi)容。
二、信息安全現(xiàn)狀分析
從發(fā)展歷程來看,除去早期以數(shù)據(jù)加密為主的機(jī)密性防護(hù)階段,安全技術(shù)的發(fā)展可以分為三個(gè)階段。(1)以邊界保護(hù)、主機(jī)防毒為特點(diǎn)的傳統(tǒng)安全防護(hù)階段。該階段基于傳統(tǒng)的攻擊防御的邊界安全防護(hù)思路,利用經(jīng)典的邊界防護(hù)設(shè)備,采取堵漏洞、做高墻、防外攻等防范方法,對網(wǎng)絡(luò)內(nèi)部提供基本的安全保障。(2)以設(shè)備聯(lián)動、功能融合為特點(diǎn)的安全免疫階段。該階段采用“積極防御、綜合防范”的理念,結(jié)合多種安全防護(hù)思路,實(shí)現(xiàn)安全功能與網(wǎng)絡(luò)設(shè)備融合以及不同安全功能的融合,使信息網(wǎng)絡(luò)具備較強(qiáng)的安全免疫能力。(3)以信息資源保障為特點(diǎn)的可信階段。可信網(wǎng)絡(luò)基于信息資源保障的思想,通過建立統(tǒng)一的信任鏈,完善系統(tǒng)、人員及數(shù)據(jù)接人認(rèn)證機(jī)制,保證設(shè)備、用戶、應(yīng)用等各個(gè)層面的可信,從而提供一個(gè)可信的網(wǎng)絡(luò)環(huán)境。
當(dāng)前信息安全技術(shù)正在處于第二階段向第三階段的過渡期,信息安全技術(shù)和產(chǎn)品具有較大規(guī)模,可以實(shí)施較為穩(wěn)固的安全防護(hù)。但是,仍然存在較多的問題,主要體現(xiàn)在:
信息安全系統(tǒng)建設(shè)與信息系統(tǒng)建設(shè)脫節(jié),阻礙了業(yè)務(wù)的快速發(fā)展。長久以來,信息系統(tǒng)發(fā)展和信息安全保障被放在了兩個(gè)對立面,建設(shè)信息系統(tǒng)以促進(jìn)業(yè)務(wù)的快速發(fā)展,往往就忽視了信息安全;充分考慮信息安全,則在多個(gè)方面阻礙了信息系統(tǒng)的正常運(yùn)行。信息安全防護(hù)和信息系統(tǒng)建設(shè),兩張皮的現(xiàn)狀,導(dǎo)致安全防護(hù)不合理,不能適應(yīng)信息系統(tǒng)的快速發(fā)展。
信息安全防護(hù)重建設(shè)、輕管理。隨著各類安全事件的不斷發(fā)生,信息安全系統(tǒng)建設(shè)受到廣泛重視,信息安全系統(tǒng)建設(shè)已經(jīng)成為單位業(yè)務(wù)建設(shè)過程中必不可少的環(huán)節(jié)。但是,信息安全防護(hù)是一個(gè)動態(tài)的過程,需要循環(huán)往復(fù)的運(yùn)維管理,以應(yīng)對不斷出現(xiàn)的新風(fēng)險(xiǎn),這恰恰是目前安全防護(hù)系統(tǒng)建設(shè)中普遍欠缺的環(huán)節(jié)。
信息安全防護(hù)重手段、輕評估。當(dāng)前,針對各類威脅、攻擊的新型信息安全防護(hù)手段層出不窮,日新月異。為有效防止可能出現(xiàn)的漏洞,安全防護(hù)系統(tǒng)在建設(shè)過程中,往往將大量的手段簡單堆砌。但是,防護(hù)手段建設(shè)并不能靠數(shù)量取勝,該類手段是否符合風(fēng)險(xiǎn)防護(hù)需求,各類手段之間是否存在相互妨礙、相互影響或者相互重疊的現(xiàn)象,防護(hù)手段在建設(shè)完成后是否運(yùn)行正常,是否能夠應(yīng)對新風(fēng)險(xiǎn)的發(fā)生,這些都需要建立長效的評估機(jī)制。
安全狀態(tài)的不可見與未知成為最大的管理風(fēng)險(xiǎn)。在實(shí)施安全防護(hù)系統(tǒng)建設(shè)過程中,往往過度關(guān)注手段防護(hù),而缺乏安全監(jiān)管和動態(tài)運(yùn)維流程管理,不能及時(shí)發(fā)現(xiàn)安全事件。例如,網(wǎng)絡(luò)設(shè)備的非法接人、非法外聯(lián)難以發(fā)現(xiàn)和控制;對一些應(yīng)用系統(tǒng)監(jiān)控不到位,缺乏安全審計(jì)和評估手段;網(wǎng)絡(luò)監(jiān)察手段較少,安全效能難以評估。這些情況都導(dǎo)致網(wǎng)絡(luò)安全狀態(tài)的“不可視”,形成網(wǎng)絡(luò)安全管理最大的風(fēng)險(xiǎn)。
從以上問題可以看出,信息安全系統(tǒng)建設(shè)并不是簡單的防護(hù)手段建設(shè),傳統(tǒng)的“查漏補(bǔ)缺”已經(jīng)難以適應(yīng)信息系統(tǒng)的發(fā)展現(xiàn)狀。必須實(shí)現(xiàn)體系化、動態(tài)化的循環(huán)過程,實(shí)施統(tǒng)一的設(shè)計(jì)規(guī)劃、統(tǒng)一的策略配置、統(tǒng)一的運(yùn)行維護(hù),才能進(jìn)行有效的管控。信息安全縱深防御思想,能夠合理地避免上述問題,是進(jìn)行信息網(wǎng)絡(luò)安全防護(hù)的有效方法。
三、加強(qiáng)信息安全管理的應(yīng)對措施
第一點(diǎn)是要不斷完善信息安全管理框架體系,一定要按照適當(dāng)?shù)某绦蜻M(jìn)行相應(yīng)的管理,不能忽略任何一個(gè)環(huán)節(jié),每一組成部分都要依據(jù)自身的發(fā)展情況,建設(shè)有利于自身發(fā)展的各種業(yè)務(wù)平臺,科學(xué)制定相關(guān)的信息管理制度,通過對日常業(yè)務(wù)的科學(xué)管理,組建好與數(shù)據(jù)信息相一致的管理框架系統(tǒng),包括各類的文檔信息、文件儲存信息等,同時(shí)要仔細(xì)記錄在管理過程中出現(xiàn)的各種安全信息事件,嚴(yán)格控制安全管理水平,建立相應(yīng)的風(fēng)險(xiǎn)評價(jià)機(jī)制,提高信息安全管理體系的主動性。發(fā)生問題后及時(shí)采取高效的補(bǔ)救措施,以便將損失降到最低限度。
第二點(diǎn)是要對信息安全管理框架中的內(nèi)容進(jìn)行有效分析,將每一具體環(huán)節(jié)都落到實(shí)處。信息安全管理體系的落實(shí)效果必然會受到各種因素的影響,要綜合全面地進(jìn)行考慮。例如信息安全管理在實(shí)施的過程中產(chǎn)生的費(fèi)用包括培訓(xùn)費(fèi)、報(bào)告費(fèi)等的支出就要協(xié)調(diào)好每一部門的工作。另外還有一些影響因素包括不同的管理部門之間在實(shí)際操作中的相互協(xié)調(diào)問題,不僅要不斷提高管理的效率,同時(shí)也要加強(qiáng)各機(jī)構(gòu)組織之間的聯(lián)系,共同將管理工作落到實(shí)處。
第三點(diǎn)是要建立和完善信息安全管理的相關(guān)文檔。信息安全管理所涉及的范圍比較廣,涉及的文檔類型也比較多樣,包括對信息安全管理所指定的政策、管理標(biāo)準(zhǔn)、適用范圍、具體操作步驟等。文檔內(nèi)容的豐富性決定了其形式的多樣性,所以在保存的時(shí)候盡量要按照其原來的形式,為了管理和讀取的便利性,可以按照不同的等級進(jìn)行分類,或者是可以按照類型來分類,這樣在以后的信息安全工作管理中,文檔就很容易被認(rèn)證審核員等為代表的第三方訪問和理解,達(dá)到了應(yīng)用的目的。
第四點(diǎn)是要做好信息安全事件的及時(shí)記錄,并將信息進(jìn)行有效地回饋,便于建立有效的信息安全應(yīng)對機(jī)制。信息安全事故的準(zhǔn)確記錄可以為組織進(jìn)行相關(guān)安全政策定義、管理方式的選擇、管理措施的落實(shí)等工作提供可靠的依據(jù)。所以在實(shí)際的管理中,信息安全事件的記錄工作一定要做到清楚明了,清晰準(zhǔn)確記錄與之相關(guān)的管理人員在當(dāng)時(shí)當(dāng)?shù)氐木唧w行為活動,記錄的材料要進(jìn)行妥善保管。
四、結(jié)束語
在上文之中,可以看到信息安全問題已經(jīng)成為一個(gè)困擾社會發(fā)展、經(jīng)濟(jì)和安全的重大問題,但是在對信息的管理上還存在管理漏洞,致使產(chǎn)生了信息安全事件,造成了個(gè)人或企業(yè)的損失。面對信息安全的現(xiàn)狀需要從實(shí)際出發(fā)完善信息安全管理體系并增加技術(shù)保障,使其為社會經(jīng)濟(jì)的健康發(fā)展和人們的便捷生活做出積極貢獻(xiàn)。
參考文獻(xiàn):
