時間:2023-10-11 10:13:02
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇信息安全管理策略,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
在社會經濟發展的沖擊下,電子信息技術在社會生活與生產中已被廣泛應用,給社會生產注入了新的力量。電子信息技術在為人們的生活帶來便利的同時,其發展也面臨一定的挑戰。在科學技術快速發展的沖擊下,電子信息安全管理成為電子信息技術發展中的重點,也成為發展需要重點解決的問題。因此,研究電子信息安全管理具有很大的現實意義,可以為電子信息技術更好的發展提供有利條件。
1電子信息、信息安全的相關概念
電子信息技術是時展下一門新型的計算機技術,主要負責對電子信息進行處理與控制,是對計算機現代化技術的靈活應用。電子信息技術需要收集、存儲與傳輸信息,實現對信息數據的傳輸與共享,對電子設備的運行也發揮著很大的作用,充分發揮信息數據的優勢。電子信息技術在應用過程中,需要形成一個體系完善的信息系統,設計與開發信息系統,使得電子信息可以更好發揮作用。信息安全主要是指利用一種加密技術,對電子信息進行管理,并且保持信息的保密性、完整性和有效性,從而更好保證電子信息的安全。電子信息在收集、存儲與傳輸的過程中,易受到外界條件的影響與一些不法侵害而導致信息的流失,因此,就需要重點加強電子信息安全管理,對信息進行安全管理,更好地保護信息。
2電子信息的安全因素
2.1完整性
在電子信息技術的發展中,電子信息的完整性是其中較為重要的部分,也是電子信息發展的關鍵。在電子信息的收集、存儲與傳輸過程中,電子信息會被隨意篡改,從而使得電子信息的完整性遭到破壞。在電子信息收集、存儲與傳輸的過程中,還需要重點注意電子信息的流失問題,避免電子信息被盜取,而對電子信息造成不好的影響。電子信息的完整性是電子信息發展的基礎,可以為電子信息更好發展提供有利條件。
2.2機密性
電子信息的機密性是電子信息發展的核心所在,也是發展中不可忽視的問題。在企業與各部門之間的信息傳輸與交流過程中,一些電子信息的機密性是比較強的,信息的泄露對其生存與發展有著直接的影響,嚴重的還會導致企業與部門發展停滯。為了保證電子信息的機密性,就需要重點應用電子信息安全管理技術,通過一些技術手段來對電子信息進行加密,從而防止出現一些篡改、破壞、竊取信息的行為,增強電子信息的安全性。
2.3有效性
電子信息的傳播價值就在于電子信息的有效性,為各方面工作更好進行提供更好的條件。電子信息的傳輸是為了更好實現信息的傳遞與共享,從而為一些社會生活與生產中的交易提供優勢,也可以充分發揮信息傳輸的作用。對于信息傳輸的有效性,就需要強化電子設備,保證硬件與網絡的安全,使得信息的傳輸更加安全,保證信息的有效性的同時,也為信息傳輸的時效性提供保障。
3電子信息安全的隱患
3.1竊取信息
在信息傳輸的過程中,會有一些竊取信息的行為,會導致信息泄露與流失,從而對電子信息保密性與完整性造成影響。一些技術手段較高的黑客可以在信息傳輸過程中攔截信息,就可以獲取一定的信息量。信息數據是有一定的規律的,黑客往往通過所盜取的信息就可以分析出全部的信息,進而完成對信息的竊取。黑客竊取電子信息是有一定手段的,對電子信息的安全影響比較大,一些信息的泄露與流失會對企業造成很大的影響,甚至會威脅到企業的生存與發展。
3.2篡改信息
在信息傳輸的過程中,除了盜取信息外,還會隨意篡改信息。隨意篡改信息,在很大程度上會破壞信息的完整性。信息被隨意篡改,就會使得信息不準確,接收者就會接收到錯誤的信息,從而對接收者造成很大的影響,接收者可能會作出一些錯誤的判斷與決策。隨意篡改信息,主要對接收者造成影響,不能充分發揮信息的優勢。
3.3信息假冒
信息假冒是冒充合法用戶接收與傳輸信息,向接收者發送自己編造的信息,從而對接收者造成誤導。信息假冒一般是攔截合法的信息,然后再以信息傳輸的合法用戶的身份編造信息,繼而將假的信息傳輸給接收者。或者可以不用攔截信息,可以直接冒充身份編造信息,例如偽造用戶或商戶的收、定貨單據等。
3.4信息破壞
信息破壞是一種破壞性較大的行為,一般破壞者會直接侵入用戶的網絡,通過一些病毒來控制用戶的網絡,從而可以修改權限,對用戶的網絡造成較為嚴重的破壞。信息破壞所造成的影響是比較大的,嚴重的會造成網絡癱瘓,后期的網絡修復工作難度也比較大,極不利于電子信息的傳輸。
4電子信息安全技術
4.1防火墻技術
隨著社會的進步、科學技術的發展,網絡成為人們社會生活與生產中較為重要的部分,在社會生活與生產中也發揮著很大的作用。防火墻技術在網絡中的應用比較廣泛,主要用于防止黑客與病毒對網絡安全造成威脅與破壞。網絡黑客與病毒會入侵網絡,而防火墻技術在一定程度上可以對其進行攔截,這是網絡安全運行最基礎的保障措施。對于網絡運行中隨意篡改信息的現象,防火墻技術也可以發揮作用,避免這種現象的發生,在一定程度上保證網絡運行的安全。
4.2加密技術
加密技術在電子信息安全管理中的應用也比較廣泛,一般主要對電子信息進行加密處理。加密技術主要有公開密鑰和私用密鑰,私用密鑰主要用于信息的加密,而公開密鑰主要用于信息的解密,兩者是相匹配的,如果兩者不能匹配,則沒有查看信息的權限。加密技術對電子信息的安全保障程度較高,因為私用密鑰加密信息是以密文的形式進行的,在對信息進行解密時,公開密鑰就會把密文翻譯為文字,從而加強對信息安全的管理,在發生信息被竊取現象時,也不用擔心信息泄露與流失。
4.3認證技術
認證技術分為消息認證、身份認證和生物認證三種類型,每個類型的作用都是不同的。消息認證是通過用戶名與密碼的形式對信息進行加密的認證方式,這種方式的安全沒有保障,用戶名與密碼易被竊取。身份認證的針對性比較強,一般用于特殊身份的認證,如學校學生這種用戶身份,只有符合身份特征的人,才可以查看信息。生物認證的安全性比較高,一般用人的身體特征如虹膜、指紋等作為認證特征。身份認證的安全性是最高的,但是其投資建設成本比較高,在當前的電子信息安全管理中并沒有被廣泛應用。
5提高電子信息安全性的策略
5.1提高電子信息安全認識
網絡在社會生活與生產中已被廣泛應用,加強網絡中信息安全管理工作是十分重要的,也發揮著很大的作用。首先,要對電子信息安全管理有正確的認識,并且提高對其的重視,根據網絡發展的現狀與其中存在的問題,優化電子信息安全管理技術。其次,要根據電子信息安全管理的需要,靈活應用電子信息安全管理技術,充分發揮技術的優勢,為電子信息安全提供保障。
5.2構建電子信息安全管理體制
電子信息安全管理工作的進行離不開較為完善且全面的安全管理體制,安全管理體制是工作進行的前提,可以為電子信息安全管理工作更好進行提供基礎與指導。在對電子信息進行安全管理的過程中,要加強對電子信息的研究,并且深入了解電子信息安全管理技術的實質與要求。首先,制定較為科學合理的制度規范網絡行為與現象,避免網絡混亂而對信息安全造成影響。其次,通過較為合理的制度,綜合各方面的影響因素,再根據信息安全管理技術的要求,形成較為具體、全面的管理體制。一種較為系統的管理體系,可以使得工作的進行更加有序,也可以避免一些病毒和黑客的入侵,促進電子信息安全管理工作更好進行。
5.3培養電子信息安全專業人才
專業人才對于工作的進行有著直接的影響,也需要重點關注。電子信息安全管理技術在當前的發展中取得了很大的成效,但是,電子信息安全專業人才相對較為缺乏,使得技術的應用與管理受到了一定的限制。隨著科學技術的發展,電子信息安全管理技術對于人才的要求提高,需要有較強的專業性。在電子信息安全專業人才培養中,首先對人才的選拔有嚴格要求,繼而對人才進行重點的培訓,提高其專業水平。還可以將一定的資金用于國外技術的學習,根據自身發展的實際情況,提高人才的綜合能力。還需要對人才進行思想教育,提高其對信息安全管理的重視,并且提高其責任感。在日常的工作中,定期對人才進行審核,規范其行為,促進綜合素質的提高。
5.4定期評估、改進安全防護軟件系統
評估工作在電子信息安全管理工作的進行與發展中是十分重要的,也是非常關鍵的。社會在不斷發展,技術也在不斷更新,評估工作可以為改進工作提供依據與方向。在電子信息安全管理中,定期評估安全防護軟件系統,可以發現安全管理中存在的不足與發展的優勢,對于存在的不足,可以以人們的評估為依據,對問題進行處理,更好滿足人們的需要。在工作中還需要不斷積累經驗,改進與優化電子信息安全管理技術,充分發揮技術的優勢,促進管理工作更好進行。
6結語
在時展潮流的沖擊下,電子信息存在一定的安全隱患,電子信息安全管理引起了人們的關注。在電子信息安全管理工作中,需要深度研究電子信息發展的情況與安全影響因素,并且有針對性地解決,為電子信息提供安全保障。網絡技術也是在不斷發展與更新的,也需要創新網絡技術,為電子信息安全管理工作的進行提供有利條件。
參考文獻
[1]陳越我.信息時代背景下的電子信息安全管理探討[J].通訊世界,2015(16):184-185.
摘 要:在現階段的發展中,已經完全進入到網絡時代,幾乎所有的工作實施,都是依靠網絡設備、網絡技術來進行實施的。為了能夠在今后的網絡環境下,實現工作水平的大幅度提升,必須將企業信息安全管理更好的鞏固,要求在管理的策略和具體手段上,告別既往的多項不足,要創造出較高的價值。文章就此展開討論,并提出合理化建議。
關鍵詞:網絡環境;企業;信息安全;管理
從客觀的角度來分析,企業信息安全管理在開展的過程中,有很多工作的實施,都不能利用單一的手段來完成。現如今的信息安全,已經成為了全社會都非常矚目的內容,如果在最終的工作上表現為缺失現象,不僅容易造成強烈的隱患和沖突,還會對很多領域的發展構成嚴重的威脅,這是需要在日后工作中積極面對的,不能有任何的嚴重損失。
一、網絡環境下企業信息安全管理現狀
1.建立信息安全管理體系框架
從已經掌握的情況來看,很多地方的企業信息安全管理,都在不斷的建立信息安全管理w系框架,希望由此來對網絡環境做出更好的優化處理,實現企業信息安全管理的更大進步。我國在現階段的發展中,正處于一個非常重要的階段,企業更加是國家的核心組成部分,為了更好應對網絡環境所帶來的挑戰,在相關的政策、規范頒布上是比較突出的。例如,國務院辦公廳在現下的工作中,對于網絡環境開展了深入的分析,同時先后頒布了特別多的政策、法令,對于信息安全等級評估保護的具體措施、檢查核實方法等,都做出了明確的規范;對于使用單位信息安全管理制度,做出了進一步的深化處理;直接引導、推進了信息安全系統的持續應用,在發展空間上得到了明顯的擴大。
2.信息安全管理體系的審核
企業信息安全管理在開展的過程中,必須在網絡環境方面深入的關注,絕對不能有任何的違背現象發生。從既往的工作來看,有些企業對于信息安全管理,總是追求短期上的效果,對長期的規劃表現不足,雖然很大程度上對網絡環境做出了充分的利用,但實際上創造的價值,還是有待提升的。鑒于這種現象的發生,網絡環境下的企業信息安全管理,開始不斷的做出變革,特別是在信息安全管理體系的審核上,基本上是按照最嚴格的方法來完成的。例如,在ISMS審核過程中,其主要指的是,機構為驗證所有安全程序,采用的系統的、獨立的檢查和評價。通過開展ISMS審核處理,能夠對申請認證的單位,提供較多的支持與幫助,在企業信息安全管理方面有綜合的判定與分析。除此之外,ISMS審核工作的開展,還表現為突出的自我保證手段,其能夠將多項問題做出一個明確的分析,無論是在波及范圍上,還是在具體的處理方式上,都能夠給予較多的參考和指導,很少出現嚴重的偏差。
二、網絡環境下企業信息安全管理的對策
1.物理安全管理
在現階段的發展中,網絡環境已經成為了不可扭轉的趨勢,想要在今后的企業信息安全管理中取得理想的效果,必須將網絡環境有效的利用,在硬性規范下,針對物理安全管理持續的加強,這是實踐方面的工作,不能有任何的忽視。簡單而言,物理安全管理在開展的過程中,會將信息系統開展全面的檢查分析,包括信息系統的保密性、完整性、可用性等等,會在相關的硬件設施上、線路上,都做出詳細的分析,而后提交相應的物理安全管理報告。企業根據這份報告,再結合客觀實際以后,決定具體的改善辦法。在除此之外,物理安全管理在開展的過程中,對于企業網絡工程的設計、施工等,都會產生較大的幫助。現下的很多企業信息安全管理,都會在網絡工程方面投入較多的努力,為了更好的協調網絡工程的硬件設備、網絡體系等,必須在網絡設備的安全性、可靠性方面提升。例如,通過物理安全管理的實施,能夠針對網絡設備、系統的運作空間做出分析,在溫度、濕度等物理因素上積極的把控,避免造成嚴重的損失。
2.人員安全管理
在企業信息安全管理當中,網絡環境下的誘惑較多,同時在相關的影響因素上,也在不斷的增加。為了確保在企業信息安全管理方面,能夠按照科學的方向來前進,有必要將人員安全管理更好的改善,針對多項工作的實施,都要從長遠的角度來出發,這樣才能更好的提高管理水平。首先,所有的工作人員,在相應的權限上都要積極的設定,要避免企業信息安全管理的員工權限混亂現象,達到相互之間的制衡效果,避免在信息方面出現嚴重的泄漏。其次,對于人員安全管理,有必要開展技術性的專業培訓,要求列舉大量的技術案例分析,讓所有的工作人員意識到,錯誤的工作方法,以及某些極端的行為,會給企業帶來嚴重的損失,部分情況下,甚至會產生法律上的責任和問題,要求員工在態度上,以及工作實踐上,都可以嚴格的要求自己,而后對將來的工作負責。第三,必須積極的招聘、引進網絡人才,將企業信息安全管理的體系不斷健全,尤其是在網絡平臺的打造、客戶端的建設、日常信息管理措施的實施上,都要形成良性工作循環。
3.軟件應用和系統安全管理
網絡環境下的企業信息安全管理,表現為持續進步的特點,根本不可能長久維持在固有的水平上。我們在實施企業信息安全管理的過程中,對于軟件應用和系統安全管理,必須不斷的加深研討,要從多個角度出發,創造出較高的價值。首先,軟件應用上,企業必須根據自身的需求,為不同層級、不同部門的員工,選定差異化的工作軟件,要提高工作質量和工作效率。同時,對于軟件本身的分析要不斷的拓展,從是否付費、是否存在軟件沖突、是否具備較高的兼容性等方面,均要進行大量的探討,要防止造成工作上的嚴重疏漏,提高工作效率。其次,對于系統安全管理而言,必須堅持定期維護、更新,要求從外部聘請專業人員,進行系統的積極分析和測試,發現問題后,及時的采用網絡技術來彌補,同時增加相應的軟件防護和程序補丁,促使系統的日常運營,能夠達到更加穩定的目標。
4.設備的運行與安全管理
除了上述的幾項工作內容外,企業信息安全管理在實施的過程中,還需要在設備的運行與安全管理上投入較多的努力。當下的設備研究力度有所加深,特別是在重要元件上,市場上的更新換代速度不斷的加快,企業必須對設備本身、設備元件開展積極的分析,不能盲目的跟風更換,也不能長久的維持在既有的水準上,要確保設備的運行,能夠長期保持在高效狀態,可以將安全管理工作更好的改善,減少矛盾。網絡系統穩定高效的運行,對于企業來說是非常重要的。企業要加強對網絡的科學管理,及時排除網絡故障,對設備、運行安全進行全方位管理,是保障信息系統安全的重要前提。設備、運行安全管理包括設備的選型、檢測、安裝、登記、使用、維修、儲存以及故障管理、性能管理、變更管理和排障工具等。隨著網絡普及和企業信息化業務的不斷拓展,信息成為一種重要的戰略資源,信息安全保障能力成為一個企業綜合能力的重要組成部分。
三、總結
本文對網絡環境下企業信息安全管理展開討論,現階段的工作實施中,整體上得到的效果比較顯著,未表現出嚴重的隱患。日后,應該在網絡環境方面不斷的優化,將企業信息安全管理的體系不斷的健全。除此之外,在開展企業信息安全管理時,一定要持續性的實施,要不斷的跟隨國家倡導內容,對社會潮流做出把控,在重點工作上積極的提升。
參考文獻:
[1]于倩,李靈君.網絡環境下企業信息安全管理的對策分析[J].網絡安全技術與應用,2017,(01):16-17.
[2]錢濃林,洪芳華,朱利軍,肖鋒,徐F欣.”互聯網+“環境下企業信息安全管理策略[J].經營與管理,2017,(01):128-130.
[3]張黎明.網絡環境下企業信息安全管理的對策分析[J].商,2016,(19):2.
[4]宋晴.網絡環境下企業信息安全管理對策研究[J].通訊世界,2015,(14):256.
(北京中油瑞飛信息技術有限責任公司北京100007)
摘要:通過對大中型跨國企業海外信息安全體系的研究,形成了一個完整的海外信息安全體系框架,包括安全策略、安全技術體系、安全管理體系、運行保障體系和建設實施規劃等。依照該框架,企業可以針對各部分進行具體實施,從而完成整個的海外信息安全建設。
關鍵詞 :大中型企業;信息安全體系;框架;理論指導;安全模型
1海外信息安全體系建設原則
大中型企業海外信息安全體系的建設,涉及面廣、工作量大,整體設計必須堅持以下的原則,以保證建設和運營的效果。
1.1統一規劃管理
要對信息安全體系建設進行統一的規劃,制定信息安全體系框架,明確保障體系中所包含的內容。同時,還要制定統一的信息安全建設標準和管理規范,使得信息安全體系建設遵循一致的標準、管理遵循一致的規范。
1.2分步有序實施
信息安全體系建設的內容龐雜,必須堅持分步有序的實施原則,循序漸進。
1.3技術管理并重
僅有全面的安全技術和機制是遠遠不夠的,安全管理也具有同樣的重要性。信息安全體系的建設,必須遵循安全技術和安全管理并重的原則,制定統一的安全建設管理規范,指導安全管理工作。
1.4突出安全保障
信息安全體系建設要突出安全保障的重要性,通過數據備份、冗余設計、應急響應、安全審計、災難恢復等安全保障機制,保障業務的持續性和數據的安全性。
2海外信息安全體系建設目標
大型跨國企業海外信息安全的建設目標是:基于安全基礎設施、以安全策略為指導,提供全面的安全服務內容,覆蓋從物理、網絡、系統直至數據和應用平臺各個層面,以及保護、檢測、響應、恢復等各個環節,構建全面、完整、高效的信息安全體系,從而提高企業信息系統的整體安全等級,為企業海外業務發展提供堅實的信息安全保障。
3海外信息安全體系框架
企業進行信息安全建設的目標是建立起一個全面、有效的信息安全體系,包括了安全技術、安全管理、人員組織、教育培訓、資金投入等關鍵因素,信息安全建設的內容多,規模大,必須進行全面的統籌規劃,明確信息安全建設的工作內容、技術標準、組織機構、管理規范、人員崗位配備、實施步驟、資金投入,才能夠保證信息安全建設有序可控地進行,使信息安全體系發揮最優的保障效果。
同時還應該制定一系列的安全管理規范,指導信息安全建設和運營工作,使得信息安全建設能夠依據統一的標準開展,信息安全體系的運營和維護能夠遵循統一的規范進行。
3.1安全目標模型
根據大型跨國企業海外信息安全體系建設目標和總體安全策略,建立與之對應的目標模型,稱為WP2DRR安全模型。該模型由預警( Warning)、策略(Policy)、保護(Protectlon)、檢測(Detection)、響應(Response)、恢復(Recovery)6個要素環節構成了一個基于時間的、完整的、動態的信息安全體系。WP2DRR模型在P2DR模型的基礎上新增加了預警Warnlng和恢復Recover,增強了安全保障體系的事前預防和事后恢復能力,系統一旦發生安全事故,也能恢復系統功能和數據,恢復系統的正常運行。
安全目標模型是信息安全體系框架的基礎,大型跨國企業的海外信息安全體系框架應該緊密圍繞安全模型的6個要素環節進行設計,每個要素環節的功能都在安全技術體系、安全組織和管理體系以及運行保障體系中體現出來。
3.2信息安全體系框架組成
通過對企業的網絡和應用現狀、安全現狀、面臨的安全風險的分析,根據安全保障目標模型,制定了大型跨國企業海外信息安全體系框架。制定該框架的目的在于從宏觀上指導和管理信息安全體系的建設和運營。
該框架由一組相互關聯、相互作用、相互彌補、相互推動、相互依賴、不可分割的信息安全保障要素組成。此框架中,以安全策略為指導,融會了安全技術、安全管理和運行保障3個層次的安全體系,以達到系統可用性、可控性、抗攻擊性、完整性、保密性的安全目標。大型跨國企業海外信息安全體系框架的總體結構如圖1所示。
3.2.1安全策略
在這個框架中,安全策略是指導,與安全技術體系、安全組織和管理體系以及運行保障體系這3大體系相互作用。一方面,3大體系是在安全策略的指導下構建的,主要是要將安全策略中制定的各個要素轉化成為可行的技術實現方法和管理、運行保障手段,全面實現安全策略中所制定的目標。另一方面,安全策略本身也有包括草案設計、評審、實施、培訓、部署、監控、強化、重新評佶、修訂等步驟在內的生命周期,需要采用一些技術方法和管理手段進行管理,保證安全策略的及時性和有效性。
按照要保障的資產對象的不同,總體策略劃分為物理安全、網絡安全、系統安全、病毒防治、身份認證、應用授權和訪問控制、數據加密、數據備份和災難恢復、應急響應、教育培訓等若干方面進行闡述。
隨著技術的發展以及系統的升級、調整,安全策略也應該進行重新評估和制定,隨時保持策略與安全目標的一致性。
3.2.2安全技術體系
安全技術體系是整個信息安全體系框架的基礎,包括了安全基礎設施平臺、安全應用系統平臺和安全綜合管理平臺這3個部分,以統一的信息安全基礎設施平臺為支撐,以統一的安全系統應用平臺為輔助,在統一的綜合安全管理平臺管理下的技術保障體系框架。
安全基礎設施平臺是以安全策略為指導,立足于現有的成熟安全技術和安全機制,從物理和通信安全防護、網絡安全防護、主機系統安全防護、應用安全防護等多個層次出發,建立起的一個各個部分相互協同的完整的安全技術防護體系。
應用信息系統通過使用安全基礎設施平臺所提供的各類安全服務,提升自身的安全等級,以更加安全的方式,提供業務服務和內部信息管理服務。安全綜合管理平臺的管理范圍盡可能地涵蓋安全技術體系中涉及的各種安全機制與安全設備,對這些安全機制和安全設備進行統一的管理和控制,負責管理和維護安全策略,配置管理相應的安全機制,確保這些安全技術與設施能夠按照設計的要求協同運作,可靠運行。它在傳統的信息系統應用體系與備類安全技術、安全產品、安全防御措施等安全手段之間搭起橋梁,使得各類安全手段能與現有的信息系統應用體系緊密的結合實現無縫連接,促成信息系統安全與信息系統應用的真正的一體化,使得傳統的信息系統應用體系逐步過渡向安全的信息系統應用體系。
統一的安全管理平臺有助于各種安全管理技術手段的相互補充和有效發揮,也便于從系統整體的角度來進行安全的監控和管理,從而提高安全管理工作的效率,使人為的安全管理活動參與量大幅下降。
3.2.3安全管理體系
安全組織和管理體系是安全技術體系真正有效發揮保護作用的重要保障,安全管理體系的設計立足于總體安全策略,并與安全技術體系相互配合,增強技術防護體系的效率和效果,同時也彌補當前技術無法完全解決的安全缺陷。
技術和管理是相互結合的。一方面,安全防護技術措施需要安全管理措施來加強,另一方面技術也是對管理措施貫徹執行的監督手段。在大型跨國企業海外信息安全體系框架中,安全管理體系的設計充分參考和借鑒了國際信息安全管理標準《BS7799 (IS017799)》的建議。
大型跨國企業海外信息安全管理體系由若干信息安全管理類組成,每項信息安全管理類可分解為多個安全目標和安全控制。每個安全目標都有若干安全控制與其相對應,這些安全控制是為了達成相應安全目標的管理工作和要求。
3.2.4運行保障體系
運行與保障體系由安全技術和安全管理緊密結合的內容所組成,包括了系統可靠性設計、系統數據的備份計劃、安全事件的應急響應計劃、安全審計、災難恢復計劃等,運行和保障體系對于企業網絡和信息系統的可持續性運營提供了重要的保障手段。
3.2.5建設實施規劃
建設實施規劃是在安全管理體系、安全技術體系、運行保障體系設計的基礎上進一步制定的建設步驟和實施方案。在建設實施規劃中突出體現了分步有序實施的原則。
任何信息安全建設都需要人員負責管理和實施,因此,首先應該建立信息安全工作監管組織機構,明確各級管理機構的人員配備,職能和責任。其中信息安全管理機構負責信息安全策略的審核與頒布、統一技術標準和管理規范的制定、指導和監督信息安全建設工作、對信息安全系統進行監控與審計管理。
信息安全體系建設,應該首先從物理環境安全建設入手,確保機房建設按照的統一標準進行建設,并且按照統一的管理規范進行管理。
在接下來的網絡安全建設中,應對計算機網絡的安全域進行劃分,對網絡結構進行調整,以確保內部網絡與外部網絡、業務網絡與辦公網絡邊界清晰;在各安全域的邊界處部署防火墻、網絡入侵檢測等安全產品,形成立體的區域邊界保護機制,對各安全域進行邏輯安全隔離,禁止未授權的網絡訪問;在內部網絡中部署網絡脆弱性分析工具,定期對內部網絡進行檢查,并采取措施及時彌補新發現的安全漏洞。
在進行網絡安全建設的同時,還可以進行系統安全建設,在內部網絡中全面部署網絡病毒查殺系統,有效抑制計算機病毒在內部網絡中傳播,避免對系統和數據造成損害。另外,主機系統管理員還應該按照主機系統管理規范的要求,借助主機脆弱性分析和安全加固工具,定期對主機系統進行檢查,更新安全漏洞補丁的級別,修正不當的系統和服務配置,查看和分析系統審計日志,控制和保證主機系統的良好安全狀態。
應用安全建設包括建立身份認證系統、應用授權和訪問控制系統、數據安全傳輸系統等,對專業業務應用系統和內部信息管理系統提供各種安全服務。
按照統一標準,建立安全審計與分析系統、系統和數據備份計劃、安全事件應急響應計劃、災難恢復計劃等安全保障機制,重在保護業務數據等信息資產,保證內外應用服務的持續可用性。
對所有員工進行基本安全教育,為信息安全系統相關技術人員提供專門的安全理論和安全技能培訓,提高全員的安全意識,打造一支高素質的專業技術和管理隊伍。
4結論
海外信息安全體系是一個全方位的體系,從技術到管理、從網絡到設備再到人。任何一個方面都要考慮周全,只有每一個部分的安全才是整體的安全。
參考文獻
作為一種新的經濟模式,電子商務以高效、便捷、方便的優勢和全新的企業經營理念、經營手段、經營環境吸引著廣大用戶,為世界經濟賦予了無限的發展空間。隨著電子商務應用范圍的日益擴大,針對電子商務的各種犯罪活動也19益猖獗。
國內外調查顯示…,52.26%的用戶最關心的是網上交易的安全可靠性,超過6O%的人由于擔心電子商務的安全問題而不愿進行網上購物。加強電子商務實施過程中的安全管理已經成為促進電子商務高速發展的重要因素。
電子商務的安全,可分為技術安全和管理安全兩種類型。所謂技術安全,是指通過各種黑客手段竊取企業的用戶lD、密碼以及相關的機密文件,甚至網絡銀行帳號、密碼等,給企業造成經濟損失。而管理安全則是指缺乏對參與電子商務過程中各個環節的人員的管理預防手段,最終導致的電子商務安全事件。從美國的花旗銀行和中央情報局到中國的某家國有商業銀行,都有過由于內部人員的違規和違法操作,導致數據被篡改和泄密的事件發生。
近幾年的電子商務安全案件表明:人員是網上交易安全管理中的最薄弱的環節,近年來我國計算機犯罪大都呈現內部犯罪的趨勢,有的競爭對手利用企業招募新人的方式潛入對方企業,或利用不正當的方式收買企業網絡交易管理人員。有的電子商務從業人員從本企業辭職后,迅速把客戶資料、產品研發成果等機密出售給競爭對手,給企業帶來了不必要的經濟損失。
2、原因分析
電子商務信息安全已經引起很多企業的重視,但大多數企業往往側重于加強技術措施,如購買先進的防火墻軟件,采用更高級的加密方法等,很多企業認為:員工泄密的安全事故只是偶然現象,很少從人員管理的角度來探討出現這些事故的根本原因。“重技術、輕管理”是當前很多電子商務企業的通病。由于管理手段不到位,很多先進的安全技術無法發揮應有的效能。之所以出現上述問題,主要有以下原因:
首先,很多企業管理高層對人員管理在信息安全中的地位認識不足。大多數企業將電子商務網絡作為一項純粹的技術工程來實施,企業內部缺乏系統的安全管理策略,只是被動的使用一些技術措施來進行防御,因此電子商務過程中一旦出現突發性事件,往往造成很大的經濟損失。現實中沒有一個網絡系統是完美無缺的,不安全因素隨時存在。因此,安全管理措施必須滲透到系統的每一個環節和企業組織的~個層面,只有構建一個人與技術相結合的安全管理體系,才能確保整個電子商務系統得安全。
企業沒有從整體上、有計劃地考慮信息安全問題。企業各部門、各下屬機構都存在“各自為政的局面,缺少統一規劃、設計和管理信息安全強調的是整體上的信息安全性,而不僅是某一個部門或公司的信息安全。而各部門、各公司又確實存在個體差異,對于不同業務領域來說,信息安全具有不同的涵義和特征,信息安全保障體系的戰略性必須涵蓋各部門和各公司的信息安全保障體系的相關內容。
缺少信息安全管理配套的人力、物力和財力。人才是信息安全保障工作的關鍵。信息安全保障工作的專業性、技術性很強,沒有一批業務能力強,且具有信息網絡知識、信息安全技術、法律知識和管理能力的復合型人才和專門人才,就不可能做好信息安全保障工作。應該從信息安全建設和管理對信息安全人才的實際需求出發,加快信息安全人才的培養。
企業對員工的信息安全教育不夠。員工的信息安全意識薄弱,9O%的安全事故是由于人為疏忽所造成。如有些企業不限制內部人員使用各種高科技信息載體,如U盤、移動硬盤以及筆記本等移動辦公設備。
3、加強電子商務安全管理的建議
電子商務信息安全管理實踐表明,大多數安全問題是由于管理不善造成的。安全管理是一項系統工程,不僅涉及到企業的組織架構、信息技術、人員素質等各個方面,還牽扯到國家法律和商業規則。企業內部存在著諸多影響信息安全的因素:改變lT系統不等于改變企業的信息安全管理,要使企業信息盡可能的安全,必須在技術投人的基礎上融人人在管理方面的智慧i同時,不僅要防外,更要防內,即對組織內部人員的管理。信息安全問題的解決需要技術,但又不能單純依靠技術。整個電子商務的交易過程,是人與技術相互融合的過程,如何使管理與技術相得益彰十分重要。“三分技術,七分管理”闡述了信息安全的本質。
電子商務的安全管理,就是通過一個完整的綜合保障體系,來規避信息傳輸風險、信用風險、管理風險和法律風險,以保證網上交易的順利進行。網上交易安全管理,應采用綜合防范的思路,一是技術方面的考慮,如防火墻技術、網絡防毒、信息加密、身份認證、授權等,但必須明確,只有技術措施并不能完全保證網上交易的安全。二是必須加強監管,建立各種有關的合理制度,并加強嚴格監督,如建立交易的安全制度、交易安全的實時監控、提供實時改變安全策略的能力、對現有的安全系統漏洞的檢查以及安全教育等。為了加強企業電子商務的信息安全,我們提出如下建議:
(1)提高網絡安全防范意識。
現在許多企業沒有意識到互聯網的易受攻擊性,盲目相信國外的加密軟件,對于系統的訪問權限和密鑰缺乏有力度的管理。這樣的系統一旦受到攻擊將十分脆弱,其中的機密數據得不到應有的保護。據調查,目前國內90%的網站存在安全問題,其主要原因是企業管理者缺少或沒有安全意識。某些企業網絡管理員甚至認為其公司規模較小,不會成為黑客的攻擊目標,如此態度,網絡安全更是無從談起。應該定期由公司或安全管理小組承辦信息安全講座,只有提高網絡安全防范意識,才能有效的減少信息安全事故的發生。
(2)建立電子商務安全管理組織體系。
一個完整的信息安全管理體系首先應建立完善的組織體系。即建立由行政領導、IT技術主管、信息安全主管、本系統用戶代表和安全顧問組成的安全決策機構。其職責是建立管理框架,組織審批安全策略、安全管理制度,指派安全角色,分配安全職責,并檢查安全職責是否已被正確履行,核準新信息處理設施的啟用、組織安全管理專題會等。還應建立由網絡管理員、系統管理員、安全管理員、用戶管理員等組成的安全執行機構。該機構負責起草網絡系統的安全策略、執行批準后的安全策略、日常的安全運行和維護、定期的培訓和安全檢查等。如果需要,還可建立安全顧問機構。安全顧問機構可聘請信息安全專家擔任系統安全顧問,負責提供安全建議,特別是在安全事故或違反安全策略事件發生后,可以被安全決策機構指定負責事故(事件)調查,并為安全策略評審和評估提供意見。
(3)制定符合機構安全需求的信息安全策略。電子商務交
易過程中,需要明確的安全策略主要包括客戶認證策略、加密策略、日常維護策略、防病毒策略等安全技術方案的選擇。安全執行機構應根據本信息網絡的實際情況制定相應的信息安全策略,策略中應明確安全的定義、目標、范圍和管理責任,并制定安全策略的實施細則。安全策略文檔要由安全決策機構審查、批準,并和傳達給所有的人安全策略還應由安全決策機構定期進行有效性審查和評估:在發生重大的安全事故、發現新的脆弱性、組織體系或技術上發生變更時,應重新進行安全策略的審查和評估。
(4)人員安全的管理和培訓
參與網上交易的經營管理人員在很大程度上支配著企業的命運,他們承擔著防范網絡犯罪的任務。而計算機網絡犯罪同一般犯罪不同的是,他們具有智能性、隱蔽性、連續性、高效性的特點,因而,加強對有關人員的管理變得十分重要。首先,在人員錄用時應做好人員鑒別,人員錄用或人員職位調整時,一般要簽署保密協議。當人員到期離開或協議到期、工作終止時,要審查保密協議。其次對有關人員進行上崗培訓,建立人員培訓計劃,定期組織安全策略和規程方面的培訓。第三,落實工作責任制,在崗位職責中明確本崗位執行安全政策的常規職責和本崗位保護特定資產、執行特定安全過程或活動的特別職責,對違反網上交易安全規定的人員要進行及時的處理。第四,貫徹網上交易安全運作基本原則,包括職責分離、雙人負責、任期有限、最小權限、個人可信賴性等。
(5)增強法律意識,促進電子商務立法
面對電子商務這種新型的貿易形式,我國目前尚無專門法規可依,使得部分違法犯罪人員沒有得到應有的懲罰。近幾年里,國家加強了這方面的投入。在全國性的立法文件中,《合同法》的部分條款可以看作是針對電子商務的立法。此外,廣東省制定的《廣東省電子交易管理條例》這個地方性的法規可以看作是對加快我國電子商務立法的有益探索。《中華人民共和國電子簽名法》是對主要用于電子商務活動,電子政務等其他應用應該有新的適用法規。
盡管在電子商務信息安全立法方面取得了一些成就,但總的來說,我國的電子商務立法還很不健全,對電子商務活動的安全保護缺少直接性;相關立法比較分散,而且效力不高;對新出現的情況缺乏適應能力;立法速度慢。這些都需要電子商務企業和國家有關部門不斷探索,共同促進電子商務信息安全的法制環境建設。
論文關鍵詞:信息系統;安全管理;體系
現代金融業是基于信息、高度計算化、分散、相互依存的產業,有人形象地把信息系統歸結為銀行業的“核心資本”。金融信息化帶來的是銀行業務信息系統在網絡結構、業務關系、角色關系等方面的復雜化。而越是復雜的系統,其安全風險就越高。在系統中每增加一種訪問的方式就增加了一些入侵的機會;每增加一些訪問的人群就引入了一些可能受到惡意破壞的風險。據2003年一項對全球前500家金融機構的安全調查(2003GlobaleS curity Survey,Deloitte Touche Tohmat—su),39%受調查的機構承認2002年曾受到一定形式的系統攻擊;美國聯邦法院2004年所作的一系列有關信息犯罪的案件中,有多件涉及金融機構。這些統計數字和報道出的事件,只是我們面臨信息系統安全威脅的冰山一角,因此加速建設金融信息系統中的安全保障體系變得更加緊迫。
長期以來,人們對保障信息系統安全的手段偏重于依靠技術,從早期的加密技術、數據備份、防病毒到近期網絡環境下的防火墻、入侵檢測、漏洞掃描、身份認證等等。但事實上,僅僅依靠安全技術和安全產品保障信息系統安全的愿望卻往往難盡人意,許多復雜、多變的安全威脅和隱患靠安全產品是無法消除的。據有關部門統計,在所有的計算機安全事件中,約有52%是人為因素造成的,25%由火災、水災等自然災害引起,技術錯誤占10%,組織內部人員作案占10%,僅有3%左右是由外部不法人員的攻擊造成。簡單歸類,屬于管理方面的原因比重高達6O%以上,而這些安全問題中的95%是可以通過科學的信息安全管理來避免。因此,加強安全管理已成為提高信息系統安全保障能力的可靠保證,是金融信息系統安全體系建設的重點。
1安全管理體系構建
信息安全源于有效的管理,使技術發揮最佳效果的基礎是要有一定的信息安全管理體系,只有在建立防范的基礎上,加強預警、監控和安全反擊,才能使信息系統的安全維持在一個較高的水平之上。因此,安全管理體系的建設是確保信息系統安全的重要基礎,是金融信息系統安全保障體系建設最為重要的一環。為在金融信息系統中建立全新的安全管理機制,最可行的做法是技術與管理并重,安全管理法規、措施和制度與整體安全解決方案相結合,并輔之以相應的安全管理工具,構建科學、合理的安全管理體系。
金融信息系統安全管理體系是在金融信息系統安全保障整體解決方案基礎上構建的,它包括信息安全法規、措施和制度,安全管理平臺及信息安全培訓和安全隊伍建設,其示意圖如圖1所示。
2安全管理平臺
安全管理平臺是通過采用技術手段實施金融信息系統安全管理的平臺,它包括安全預警管理、安全監控管理、安全防護與響應管理和安全反擊管理。
2.1安全預警管理
安全預警管理的功能由預警系統實現,通過該系統,可以在安全風險動態威脅和影響金融信息系統前,事先傳送相關的警示,讓管理員采取主動式的步驟,在安全風險影響運作前加以攔阻,從而預防全網業務中斷、效能損失或對其公眾信譽造成危害,達到提前保護自己的作用。安全預警系統通過追蹤最新的攻擊技術,分析威脅信息以辨識出真正潛在的攻擊,迅速響應并提供定制化威脅分析及個性化的漏洞和惡意代碼告警服務,幫助降低風險,防患于未然。
2.2安全監控管理
通過安全監控功能可以實時監控金融信息系統的安全態勢、發生了哪些攻擊、出現了什么異常、系統存在什么漏洞以及產生了哪些危險日志等,因此安全監控功能對于金融信息系統的安全保障體系來說是至關重要的。
1)基于實時性的安全監控。通過在線方式管理金融信息系統中的資源狀態和實時安全事件,及時關注IT資源和安全風險的現狀和趨勢,通過實時監控來提高系統的安全性和IT資源的效能。
2)基于智能化的安全監控。利用智能信息處理技術對信息網絡中的各種安全事件進行智能處理,實現報警信息的精煉化,提高報警信息的可用信息量,降低安全設備的虛警和誤警,從而有效地提高安全保障系統中報警信息的可信度。
3)基于可視化的安全監控。通過對安全事件分析過程與分析報告的可視化手段,如圖表/曲線/數據表/關聯關系圖等,提供詳細的入侵攻擊信息乃至重現攻擊場景,實現對入侵攻擊行為的追蹤,使得對安全事件的分析更為直觀,從而有效提高安全管理人員對于入侵攻擊的監控理解,使安全系統的管理更為有效。
4)基于分布式的安全監控。通過系統分布式的多級部署方式,可以實現對金融信息系統內各個子系統的監控和綜合分析能力,同時對不同安全保護等級的用戶提供相應的監控界面和信息,從而嚴格滿足其安全等級劃分的用戶級要求。
2.3安全防護與響應管理
在金融信息系統的安全系統中由于安全的異構屬性,因此會采用不同的安全技術和不同廠家的安全產品來實現安全防護的目的。通過安全防護與響應管理可以及時響應和優化整個系統安全防護策略;最直接的響應就是提供多種方式,如報警燈、窗日、郵件、手機短信等向安全管理員報警,然后日志保存在本地數據庫或者異地數據庫中。
1)優化安全策略分析。通過實時掌握自身的安全態勢,及各種安全設備、網絡設備、安全系統和業務系統的處理情況,輸出正常和非法個性化的安全策略報表,然后直接通知相應的安全管理人員或廠商對其自身策略進行優化調整。
2)動態響應策略調整。通過對各種安全響應協議的支持,如SNMP、TOPSEC、聯動協議等,實現相關的安全防護技術策略的自動交互,同時通過專家知識庫能從全局的角度去響應安全事件很好地解決安全誤報問題。
3)安全服務自動協調。當智能分析和安全定位功能確認出安全事件或安全故障時,及時調派安全服務人員小組(或提供安全服務的供應商)進行相應的安全加固防護。
2.4安全反擊管理
安全反擊管理包括安全事件的取證管理和安全事件的追蹤反擊。
1)安全事件的取證管理。取證在網絡與信息系統安全事件的調查中是非常有用的工具,通過對系統安全事件的存儲和分析,實現對安全事件的取證管理,給相關調查人員提供安全事件的直接取證。
2)安全事件的追蹤反擊。通過資源狀態分析、關聯分析、專家系統分析等有效手段,檢測到攻擊類型,并定位攻擊源。隨后,系統自動對目標進行掃描,并將掃描結果告知安全管理員,并提示安全管理員查詢知識庫,從中提取有效手段對攻擊源進行反擊控制。
3安全管理措施建議
在安全管
理技術手段的基礎上,還要提高安全管理水平。俗話說“三分技術,七分管理”,由于金融信息系統相對比較封閉,對于金融信息系統安全來說,業務邏輯和操作規范的嚴密程度是關鍵。因此,加強金融信息系統的內部安全管理措施,建立領導組織體系,完善落實內控制度,強化日常操作管理,是提升安全管理水平的根本。
1)完善安全管理機構的建設。目前,我國已經把信息安全提到了促進經濟發展、維護社會穩定、保障國家安全、加強精神文明建設的高度,并提出了“積極防御、綜合防范”的信息安全管理方針,專門成立了網絡與信息安全領導小組、國家計算機網絡應急技術處理協調中心(簡稱CNCERT/CC)、中國信息安全產品測評認證中心(簡稱CNITSEC)等,初步建成了國家信息安全組織保障體系。為確保金融信息系統的安全,在金融信息系統內部應組建安全管理小組(或委員會),安全管理小組制定出符合企業需要的信息安全管理策略,具體包括安全管理人員的義務和職責、安全配置管理策略、系統連接安全策略、傳輸安全策略、審計與入侵安全策略、標簽策略、病毒防護策略、安全備份策略、物理安全策略、系統安全評估體系等內容。安全管理應盡量把各種安全策略要求文檔化和規范化,以保證安全管理工作具有明確的依據或參照。
2)在保證信息系統設備的運行穩定可靠和信息系統運行操作的安全可靠的前提下,增加安全機制,如進行安全域劃分,進行有針對性的安全設備部署和安全策略設置,以改進對重要區域的分割防護;增加入侵檢測系統、漏洞掃描、違規外聯等安全管理工具,進行定時監控、事件管理和鑒定分析,以提高自身的動態防御能力;完善已有的防病毒系統、增加內部信息系統的審計平臺,以便形成對內部安全狀況的長期跟蹤和防護能力。
3)制定一系列必須的信息系統安全管理的法律法規及安全管理標準,狠抓內網的用戶管理、行為管理、應用管理、內容控制以及存儲管理;進一步完善互聯網應急響應管理措施,對關鍵設施或系統制定好應急預案,并定期更新和測試,全面提高預案制定水平和處理能力;建立一支“信息安全部隊”,專門負責信息網絡方面安全保障、安全監管、安全應急和安全威懾方面的工作。
4)堅持“防內為主,內外兼防”的方針,加強登錄身份認證,嚴格限制登錄者的操作權限,充分利用操作系統和應用系統本身的日志功能,對用戶所訪問的信息進行跟蹤記錄,為系統審計提供依據。
5)重視和加強信息安全等級保護工作,對金融信息系統中的信息實施一般保護、指導保護、監督保護和強制保護策略,尤其對重要信息實施強制保護和強制性認證,以確保金融業務信息的安全。
6)加強信息安全管理人才與安全隊伍建設,特別是加大既懂技術又懂管理的復合型人才的培養力度。通過各種會議、網站、廣播、電視、報紙等媒體加大信息安全普法和守法宣傳力度,提高全民信息安全意識,尤其是加強企業內部人員的信息安全知識培訓與教育,提高員工的信息安全自律水平。
關鍵詞: 企業信息系統;信息安全;安全策略
中圖分類號:F270.7 文獻標識碼:A 文章編號:1671-7597(2012)0220165-01
隨著市場經濟的不斷發展,企業競爭越來越激烈,國際化合作不斷增多,隨之而來的企業信息安全是目前我國企業普遍存在的問題。對企業來說,信息安全是一項艱巨的工作,關系到企業的發展。近年來,圍繞企業信息安全問題的話題不斷,企業信息安全事件也頻頻發生,如何保證企業信息的安全,保證信息系統的正常運轉,已經成為信息安全領域研究的新熱點。
1 企業信息安全的意義
信息安全是一個含義廣泛的名詞,是指防止信息財產被故意的或偶然的非授權泄露、更改、破壞,或防止信息被非法辨識、控制,即確保信息的保密性、可用性、完整性和可控性。企業的正常運轉,離不開信息資源的支撐。企業信息安全建設對企業的發展意義重大。
首先,信息安全是時展的需要。計算機網絡時代的發展,改變了傳統的商務運作模式,改變了企業的生產方式和思想觀念,極大推動了企業文化的發展。企業信息安全的建設將使得企業的管理水平與國際先進水平接軌,從而成長為企業向國際化發展與合作的有力支撐。
其次,信息安全是企業發展的需要。企業的信息化建設帶來了生產效率提高、成本降低、業務拓展等諸多好處。當前越來越多的企業信息和數據,都是以電子文檔的形式存在,對企業來說,信息安全是使企業信息不受威脅和侵害的保證,是企業發展的基本保障,所以,在積極防御,綜合防范的方針指導下,有效地防范和規避風險,建立起一套切實可行的長效防范機制,逐步建立起信息安全保障體系,有利于企業的發展。
最后,信息安全是企業穩定的必要前提。信息安全成為保障和促進企業穩定和信息化發展的重點,要充分認識信息安全工作的緊迫感和長期性,從企業的安全、經濟發展、企業穩定和保護企業利益的角度來思考問題,扎扎實實地做好基礎性工作和基礎設施建設,在建立信息安全保障體系的過程中,必須搞好鏈接信息安全保障體系建設安全、建設健康的網絡環境,關注信息戰略,保障和促進信息化的健康發展。
2 企業信息安全的現狀
我國企業信息安全包括計算機系統的硬、軟件及系統中的數據受到保護,不受偶然的或惡意的原因而遭到破壞、更改、泄露,使得系統連續、可靠、正常的運行,網絡服務不中斷。計算機和網絡技術具有復雜性和多樣性,使得企業信息安全成為一個需要持續更新和提高的領域。就目前來看,主要存在以下三個方面的隱患。
2.1 企業缺少信息安全管理制度
企業信息安全是一個比較新的領域,目前還缺少比較完善的法規,現有的法規,由于相關安全技術和手段還沒有成熟和標準化,法規也不能很好地被執行,安全標準和規范的缺少,導致無從制定合理的安全策略并確保此策略能被有效執行。企業的信息系統安全問題是一個系統工程,涉及到計算機技術和網絡技術以及管理等方方面面,同時,隨著信息系統的延伸和新興技術集成應用升級換代,它又是一個不斷發展的動態過程。因此對企業信息系統運行風險和安全需求應進行同期化的管理,不斷制定和調整安全策略,只有這樣,才能在享受企業信息系統便利高效的同時,把握住信息系統安全的大門。
2.2 員工缺少安全管理的責任心
一個企業的信息系統是企業全體人員參與的,不考慮全員參與的信息安全方案,恰恰忽視信息安全中最關鍵的因素――人,因為他們才是企業信息系統的提供者和使用者,他們是影響信息安全系統能否達到預期要求的決定因素。在眾多的攻擊行為和事件中,發生最多的安全事件是信息泄露事件。攻擊者主要來自企業內部,而不是來自企業外部的黑客等攻擊者,安全事件造成最大的經濟損失主要是內部人員有意或無意的信息泄露事件。針對內部員工的泄密行為,目前還沒有成熟的、全面的解決,對于來自企業信息內部信息泄密的安全問題,一直是整個信息安全保障體系的難點和弱點所在。
2.3 信息系統缺乏信息安全技術
計算機信息安全技術是一門由密碼應用技術、信息安全技術、數據災難與數據恢復技術、操作系統維護技術、局域網組網與維護技術、數據庫應用技術等組成的計算機綜合應用學科。由于認識能力和技術發展的局限性,在硬件和軟件設計過程中,難免留下技術缺陷,網絡硬件、軟件系統多數依靠進口,由此可造成企業信息安全的隱患,現在黑客的攻擊并不是為了破壞底層系統,而是為了入侵應用,竊取數據,帶有明顯的商業目的,許多黑客就是通過計算機操作系統的漏洞和后門程序進入企業信息系統。隨著網絡應用要求的越來越多,針對應用的攻擊也越來越多,除了在管理制度上確保信息安全外,還要在技術上確保信息安全。
3 企業信息安全中存在的問題
信息時代的到來,從根本上改變了企業經營形式,企業實施信息化為其帶來便利的同時也產生了巨大的信息安全風險。由于我國企業信息安全工作還處于起步階段,基礎薄弱,導致信息安全存在一些亟待解決的問題。比較常見的問題有病毒危害、“黑客”攻擊和網絡攻擊等,這些問題給企業造成直接的經濟損失,成為企業信息安全的最大威脅,使企業信息安全存在著風險因素。
3.1 病毒危害
計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼,它是具有破壞作用的程序或指令集合。計算機病毒已經泛濫成災,幾乎無孔不入,據統計,計算機病毒的種類已經超過4萬多種,而且還在以每年40%的速度在遞增,隨著Internet技術的發展,病毒在企業信息系統中傳播的速度越來越快,其破壞性也越來越來越強。
3.2 “黑客”攻擊
“黑客”是英文Hacker的諧音,黑客是利用技術手段進入其權限以外的計算機系統的人。黑客破解或破壞某個程序、系統及網絡安全,或者破解某系統或網絡以提醒該系統所有者的系統安全漏洞的過程。通常采用后門程序、信息炸彈、拒絕服務、網絡監聽、密碼破解等手段侵入計算機系統,盜竊系統保密信息,進行信息破壞或占用系統資源,黑客攻擊已經成為近年來經常出現的問題。
3.3 網絡攻擊
網絡攻擊就是對網絡安全威脅的具體表現,利用網絡存在的漏洞和安全缺陷對系統和資源進行的攻擊。尤其是在最近幾年里,網絡攻擊技術和攻擊工具有了新的發展趨勢,使借助Internet運行業務的企業面臨著前所未有的風險。由此可知,企業的信息安全問題、以及對信息的安全管理都是至關重要的。要保證企業信息安全,就必須找出存在信息安全問題的根源,并具有良好的安全管理策略。
4 企業信息安全的解決方案
為確保企業信息安全,要堅持積極防御,綜合防范的方針,全面提高信息安全防護能力。因此,面對企業信息安全的現狀和企業信息安全發展中出現的問題,必須實施對企業的信息安全管理,建設信息安全管理體系,只有建立完善的安全管理制度,將信息安全管理自始至終貫徹落實于信息管理系統的方方面面,企業信息安全才能得以實現。企業信息安全的解決方案,具體表現在以下三個方面:
4.1 建立完善的安全管理體系
完整的企業信息系統安全管理體系首先要建立完善的組織體系,完成制定并信息安全管理規范和建立信息安全管理組織等工作,保障信息安全措施的落實以及信息安全體系自身的不斷完善。并建立一套信息安全規范,詳細說明各種信息安全策略。一個詳細的信息安全規劃可以減輕對于人的因素帶來的信息安全問題。最基本的企業安全管理過程包括:采用科學的企業信息資產評估和風險分析模型法、設計完備的信息系統動態安全模型、建立科學的可實施的安全策略,采取規范的安全防范措施、選用可靠穩定的安全產品等。安全防范體系的建立不是一勞永逸的,企業網絡信息自身的情況不斷變化,新的安全問題不斷涌現,必須根據暴露出的一些問題,進行更新,保證網絡安全防范體系的良性發展,
4.2 提高企業員工的安全意識
科技以人為本,在信息安全方面也是靠人來維護企業的利益,我們在企業信息網絡鞏固正面防護的時候不能忽視對人的行為規范和績效管理。企業員工信息安全意識的高低是一個企業信息安全體系是否能夠最終成功實施的決定性因素。企業應當制定企業人員信息安全行為規范,必須有專門管理人才,才能有效地實現企業安全、可靠、穩定運行,保證企業信息安全。教育培訓是培訓信息安全人才的重要手段,企業可以對所有相關人員進行經常性的安全培訓,強化技術人員對信息安全的重視,提升使用人員的安全觀念,有針對性的開展安全意識宣傳教育,逐步提高員工的安全意識,強調人的作用,使他們明確企業各級組織和人員的安全權限和責任,使他們的行為符合整個安全策略的要求。
4.3 不斷優化企業信息安全技術
企業一旦制定了一套詳細的安全規劃來武裝自己,保護其智力資產,它就開始投入到選擇采用正確信息安全技術上。可供企業選擇的防止信息安全漏洞的安全技術有很多。當企業選擇采用何種技術時,首先了解信息安全的三個領域是十分有幫助的,這三個領域變得:驗證與授權、預防和抵制、檢測和響應。其中,用戶驗證是確認用戶身份的一種方法,一旦系統確認了用戶身份,那么它就可以決定該用戶的訪問權限,比如使用用戶名和密碼。預防和抵抗技術是指企業阻止入侵者訪問。對于任何企業,必須對那些故障做好準備和預測,目前可以幫助預防和建設抵抗攻擊的技術主要有內容過濾、加密和防火墻,在選用防火墻的時候,需要對所安裝的防火墻做一些攻擊測試。此外,企業信息安全的最后一道屏障是探測和反應技術,最常見的探測和反應技術是殺毒軟件。
5 結語
總之,企業信息安全是一項復雜的系統工程,企業要適應現代化發展的需要,要提高自身信息安全意識,加強對信息安全風險防范意識的認識,重視安全策略的施行及安全教育,必須做到管理和技術并重,安全技術必須結合安全措施,并加強信息安全立法和執法的力度,建立備份和恢復機制, 為企業設計適合實際情況的安全解決方案,制定正確和采取適當的安全策略和安全機制,保證企業安全體系處于應有的健康狀態。
參考文獻:
[1]張帆,企業信息安全威脅分析與安全策略[J].網絡安全技術與應用,2007(5).
[2]諶曉歡,企業信息安全問題及解決方案[J].企業技術開發,2008(8).
[3]付沙,企業信息安全策略的研究與探討[J].商場現代化,2007(26).
[4]姜樺、郭永利,企業信息安全策略研究[J].焦作大學學報,2009(1).
關鍵詞:信息安全;設施云;云安全;滲透測試
中圖分類號:TP309 文獻標識碼:B
1引言
云計算作為一種新的服務模式,用戶在享受它帶來的便利性、低成本等優越性的同時,也對其安全性疑慮重重。如何保障云計算安全成為云計算系統亟需解決的問題。此外,從近期發生的與云計算相關的一系列安全事件可以看出,傳統的安全威脅在云計算服務中同樣存在,而且由于云計算虛擬化、資源共享、彈性分配等特點,相比傳統的IT系統,又面臨新的安全威脅。遼寧省交通廳云數據中心基礎設施平臺于2015年全面啟動建設。為解決遼寧省交通廳尤其是云數據中心面臨的安全問題,遼寧省云環境下交通信息安全策略研究課題以遼寧省交通行業重要信息系統為對象,分析其面臨的信息安全問題與挑戰,以提升遼寧省交通行業現有信息安全水平。本文首先總結了云安全的新威脅,然后通過分析遼寧交通云安全的風險,明確遼寧交通設施云安全建設目標,提出遼寧省云環境下交通信息安全策略的研究重點和相關內容。
2云安全新威脅
2.1虛擬化平臺的安全威脅
如同傳統的IT系統一樣,虛擬化平臺也可能存在大量漏洞或錯誤的情況。如果VM上存在漏洞,使得攻擊者完全控制一個VM后,通過利用各種虛擬化管理平臺安全漏洞,可以進一步滲透到虛擬化管理平臺甚至其它VM中。這就是所謂的虛擬機逃逸。同時還可能導致數據泄漏以及針對其它VM的DoS攻擊。
2.2隱蔽信道攻擊
隱蔽信道(CovertChannel)是指允許進程以危害系統安全策略的方式傳輸信息的通信信道,通過構建隱蔽信道可以實現從高安全級主體向低安全級別主體的信息傳輸,是導致信息泄露的重要威脅。這種攻擊的源頭可以是來自虛擬化環境以外的其他實體,也可以是來自虛擬化系統中其它物理主機上的VM,還可以是相同物理機上的其它VM。
2.3側信道攻擊
側信道攻擊是一種新型密碼分析方法,其利用硬件的物理屬性(如功耗、電磁輻射、聲音、紅外熱影像等)來發現CPU利用率、內存訪問模式等信息,進而達到獲取加密密鑰,破解密碼系統的目的。這類攻擊實施起來相當困難,需要對主機進行直接的物理訪問。例如通過監控數據進出運行著加密算法的硬件系統上的CPU和內存所花費的時間,來分析密鑰的長度。再例如,可以對CPU或加密芯片的功耗進行觀察分析。芯片上的功耗可以產生熱量,冷卻效應可以將熱量移走。芯片上溫度的變化引起機械伸縮,這些伸縮可以產生音量很低的噪聲。在虛擬化環境下,通過查看計算機的內存緩存,攻擊者可以獲得一些關于什么時候用戶在同一臺設備上利用鍵盤訪問啟用SSH終端的計算機等基本信息。通過測量鍵盤敲擊時間間隔,他們最終可以使用和Berkeley他們一樣的技術來計算出通過計算機輸入了什么。還能估算出當計算機執行例如加載特定網頁等這樣簡單任務時候的緩存活動。這種方法可以被用于查看有多少因特網用戶正在訪問一臺服務器,甚至是他們正在查看哪一個網頁。為了讓他們簡單的攻擊行為奏效,攻擊者不僅能計算出哪一個服務器正在運行他們希望攻擊的程序,還能找到一個在這臺服務器上找到特定程序的方法。這并不容易做到,因為從定義上來看云計算會讓這種信息對用戶是不可見的。
2.4虛擬機的安全威脅
(1)虛擬機資源隔離不當,出現非授權訪問。多租戶共享計算資源帶來的風險,包括一個租戶的VM資源故障導致另一個租戶的VM不可用,或一個租戶非授權訪問其他租戶的VM。(2)虛擬機鏡像文件或自身管理防護措施不足,引發安全問題。(3)虛擬機訪問控制不嚴格或不完善,對虛擬機賬號、密碼或認證方式控制不足,導致非授權訪問。(4)虛擬機之間的通信安全防護不足,導致出現攻擊、嗅探。(5)VM之間的攻擊和嗅探。VM之間進行嗅探或竊聽,監視虛擬機網絡上數據(例如明文密碼或者配置信息)傳輸信息的行為。利用簡單的數據包探測器,攻擊者可以很輕松地讀取VM網絡上所有的明文傳輸信息。虛擬機遷移時安全策略不足,引發安全問題。(6)虛擬機遷移過程。虛擬機遷移過程中出現安全策略、安全參數的改變,導致錯誤授權、計費錯誤等問題;攻擊者利用虛擬機遷移過程中的漏洞對虛擬機形成攻擊。(7)特權(超級)虛擬機存在安全隱患,造成對其他VM的非法攻擊或篡改。
2.5API安全
云計算系統通過開放應用程序接口來對外提供各種云計算服務。因此,開放應用程序接口的訪問控制、操作權限管理以及惡意代碼審查等在整個云計算系統中就顯得非常重要。一旦應用程序接口的訪問控制或權限管理不當,將會對云計算系統造成非法訪問,導致不必要的數據泄露。具體包括虛擬機與云管理平臺之間API的通信安全。
2.6數據安全
(1)數據隔離在云計算系統中,當一個文件存儲到云計算系統中時,它可能會被分割成若干個碎片并存儲在不同的存儲空間上。而且來自不同租戶的重要數據和文件可能會被存儲,因此數據隔離和數據保護在云計算系統中非常重要。數據隔離不當,就會造成其他租戶非法訪問別的租戶的數據,從而造成數據泄露。(2)數據泄露、隱私保護云計算系統的防數據泄露和隱私保護,一方面需要防止來自云平臺中其他租戶對數據的竊取,另一方面還需要防止來自云平臺內部,如系統管理員對用戶數據的泄漏。在傳統體系中,信息是存儲在單位內部的服務器或者個人電腦、設備上的,能夠保證較好的數據隱私性。然而,在云計算中數據是存儲在云端服務器上的,因此用戶喪失了對隱私數據的物理保護能力。同時,用戶需要通過互聯網傳輸數據,更加增加了數據泄露的風險。除此之外,數據的完整性也是用戶數據安全的重要需求。如何保障用戶數據不損毀、不受未授權修改,以及所有合法的用戶操作被準確執行是云安全的重要議題。最后,云平臺還需要保證用戶數據的一致性,即多個用戶所看到的保存在云端的同一份數據是完全相同的。攻擊者可以通過數據的不一致性訪問未授權的數據,或者實施進一步的攻擊。(3)刪除后剩余數據的非法恢復用戶數據被刪除后變成了剩余數據,存放這些剩余數據的空間可以被釋放給其他租戶使用,這些數據如果沒有經過特殊處理,其他租戶或惡意運維人員可能獲取到原來租戶的私密信息。
2.7云計算資源的濫用
豐富的云計算資源極其強大的處理能力,在向用戶提供正常服務的同時,也有可能成為攻擊者通過惡意使用或濫用并發起網絡攻擊的有效工具。一些惡意用戶通過利用云計算服務的這些特性,更加方便地實施各種破壞活動。密碼破解者、DoS攻擊者、垃圾郵件發送者、惡意代碼制作者以及其它惡意攻擊者都可以使用云計算環境提供的豐富資源開展攻擊,從而進一步擴大攻擊面及其影響力。
2.8惡意的內部運維人員
與傳統計算模式相比,云計算環境下用戶所有數據全部在云端。云服務商內部的運維人員能夠接觸到越來越多的云租戶的數據,這種訪問范圍的擴大,以及缺乏有效的監督和管理,增加了惡意的“內部運維人員”濫用數據和服務、甚至實施犯罪的可能性,也使得惡意內部運維人員的安全威脅變得更為嚴重。
3遼寧省交通設施云安全建設目標
3.1遼寧省交通“云”數據中心建設目標
在遼寧省交通廳的《遼寧省公路水路信息化發展指導意見》的發展總目標中,特別指出:“建立具備大數據處理能力的省級交通“云”數據中心,實現交通信息資源共享和業務協同”。在建設任務中,明確了“信息化支撐體系建設”的內容,其中“信息化基礎設施建設”中提到:『完成基于“云”架構的近遠期規劃,先期完成對服務器、存儲、網絡等硬件資源的整合,實現負載均衡、資源動態分配,提高整體工作效率,降低建設、使用及維護成本。依據《遼寧省公路水路信息化發展指導意見》的指導內容,根據遼寧省交通運輸行業信息化發展現狀,考慮行業未來幾年的業務發展需要,緊隨國際上先進的、成熟的云計算、大數據等技術,規劃遼寧省交通云基礎設施平臺,充分滿足省廳及各直屬單位三到五年的基礎設施需要,并為未來建設“云”數據中心做好準備,秉承“理念先進、結合實際、投資節省、適度超前”的思想,為全省信息化提供完備的基礎設施支撐。
3.2遼寧省交通設施云安全風險分析
遼寧省交通“云”數據中心的建設目標是滿足省廳及各直屬單位三到五年的基礎設施需要。其特點包括:遼寧省交通“云”數據中心目前只涉及設施云,沒有架構云和服務云,結構相對簡單;只考慮省廳及各直屬單位三到五年使用,規模有限;只在行業內部使用,信息安全管理有保障;此外,由于系統采用國際上比較成熟的云管理產品,云產品自身安全風險較低,而且對于發現產品的漏洞廠商也可負責解決。遼寧省交通設施云安全管理目前最大的風險是由于遼寧省交通“云”數據中心建成并使用后造成的風險集中,而現有的省廳及各直屬單位是按照信息安全等級保護二級進行管理的。為解決這個問題,首先要解決云安全的技術要求。由于目前國內沒有可以參考的技術要求,因此要首先編制云安全的技術要求標準。其次,由于云安全的技術要求標準是個新要求,與等級保護常規檢查依據不匹配,因此要有配套的信息安全滲透測試檢查標準。此外,還應把交通廳信息安全管理體系達到信息安全三級的要求,應補充滿足相應級別要求的信息安全管理體系。最后,為保證信息安全管理的落地,應有配套的管理軟件。
3.3遼寧省交通設施云安全建設目標
依據《遼寧省公路水路信息化發展指導意見》的指導內容,根據遼寧省交通“云”數據中心發展規劃,建設設施云安全技術標準、滲透測試檢查標準、廳信息系統安全管理體系和云安全策略管理軟件,關注省廳及各直屬單位三到五年的“云”數據中心需要,并為建設和管理“云”數據中心做好信息安全策略指導,為交通“云”數據中心安全管理及廳信息安全管理水平提升提供重要的技術支撐。
4遼寧省云環境下交通信息安全策略研究重點內容
遼寧省云環境下交通信息安全策略研究的重點包括設施云安全技術標準、滲透測試檢查標準、廳信息系統安全管理體系和云安全策略管理軟件。
4.1設施云安全技術標準
設施云安全技術要求標準的編制目的是為指導和規范針對云環境下交通行業相關信息安全管理,介紹了云環境下遼寧省交通信息安全的基本內容和基本要求,針對交通行業設施云及相關信息系統提出了設施云管理框架、安全的技術要求和管理要求。
4.2滲透測試檢查標準滲透測試檢查標準的編制目的是為指導和規范
針對遼寧省交通行業信息系統的滲透測試檢查工作,明確了滲透測試檢查的基本概念、原則、實施流程、在各階段的工作內容和基本要求。
4.3遼寧省交通廳信息系統安全管理體系
遼寧省交通廳信息系統安全管理體系的編制目的是遼寧省交通廳信息安全管理體系達到信息安全等級保護三級水平及云環境信息安全管理的要求,建設包括覆蓋信息安全管理體系方針、組織機構和崗位職責規定、信息安全管理、計算機機房管理、計算機設備管理、計算機網絡管理、介質安全管理、人員信息安全管理、軟件系統開發安全管控、數據備份和恢復管理、第三方信息安全管理、信息安全檢查管理、信息安全審計管理、信息安全審批管理、信息系統建設、信息系統日志管理、信息安全事件管理、變更管理、賬號與密碼管理、防病毒管理、信息資產安全管理、信息資產分類管理和信息系統應急預案等多項管理制度。
4.4云安全策略管理軟件
云安全策略管理軟件設計的目的是保障上述研究成果在遼寧省交通行業快速推廣以及相關信息安全管理要求落地。其主要內容是利用計算機軟件開發技術,開發B/S軟件,實現信息安全知識共享,并依據上述技術標準和管理制度實現過程控制和信息管理。
5結論
【 關鍵詞 】 信息安全管理;信息安全管理平臺
1 引言
前些年,在我國推進信息安全體系建設的工作中,各行業在信息網絡邊界和縱深部署大量信息安全防護產品的基礎上,為了符合國家信息安全的相關政策和監管要求及便于進行一體化管理和掌握整個信息系統的安全態勢,許多單位還部署了信息安全管理平臺,并在信息系統安全運行和管理上發揮了重要的作用。
信息安全管理平臺是網絡中心必備的安全管理基礎設施,是網絡安全管理員遂行網絡安全管理任務的必備手段,是網絡安全體系結構中的一個重要技術支撐平臺。為規范網絡系統的安全管理,重要的信息網絡都應設置信息安全管理平臺(見《信息安全技術 信息系統等級保護安全設計技術要求》GB/T 24856―2009)。
近年來,隨著云計算、物聯網和移動互聯網技術的興起,信息網絡的邊界愈發模糊,系統中的虛擬化技術和設備被廣泛采用,信息系統中的安全信息采集和集中審計變得更加困難。另一方面,外部的信息安全威脅,隨著AET和APT技術的不斷升級,也變得愈來愈兇險和難以防護。面對當前信息安全的新形式,以往的信息安全管理平臺必須進行更新換代或升級改造。
搭建新一代信息安全管理平臺(以下簡稱平臺)有重要意義:(1)設計和建設新一代平臺是構建自主可控信息安全體系體系頂層設計不可或缺的重要一環,以實現對重要信息系統的風險可監控、可管理、業務過程可審計,真正實現安全體系自主可控,保障體系安全;(2)引入大數據分析技術完善平臺關聯分析能力,增加AET和APT攻擊的檢測技術手段,提升信息系統安全態勢感知和預警能力,可及時發現和處置重大信息安全威脅,真正實現信息安全自主可控。
2 設計目標
信息安全管理平臺的設計目標是:設計一體化、開放性和具有智能防御未知威脅攻擊的平臺。一體化就是將多家不同類型的安全產品整合到一起,進行統一的管理配置和監控。開放性就是提供標準的接口,使第三方產品很容易整合到系統中。智能防御未知威脅攻擊,就是充分利用和發揮大數據技術應用于安全態勢和安全事件的深度挖掘和分析,對AET和APT進行檢測和響應,構建智能化的主動防御系統。
通過信息安全管理平臺,對網絡系統、網絡安全設備以及主要應用實施統一的安全策略、集中管理、集中審計、并通過網絡安全設備間的互動,應對已知和未知的安全威脅,充分發揮網絡安全防護系統的整體效能。
3 設計原則
依據GB17859-1999《計算機信息系統安全保護等級劃分準則》和GB/T 20269-2006《信息安全技術 信息系統安全管理要求》,結合網絡安全管理的實際需求,按以下原則設計信息安全管理平臺。
(1) 標準化設計原則。為了能夠與第三方廠家安全產品聯動,安全管理平臺需制定安全產品互聯的接口標準,這個接口標準在業界應具有權威性并易于操作,便于各廠家實現。
(2)逐步擴充的原則。網絡系統安全集中管理包含的內容很多,管理技術難度很大,安全管理平臺的建設應選擇好切入點,本著由簡至繁,逐步擴充的原則進行。
(3)集中與分布的原則。許多單位網絡從結構上看,呈樹狀的多節點分層(級)結構。這些網絡具有分布廣、結構復雜的特點。為此,可在各層(級)網管中心設置安全管理平臺,其作用是對本級局域網進行集中安全管理;上級對下級采用分布式分級的方式進行安全管理。
4 設計要求
(1)可擴展性。信息安全管理平臺的系統設計,終端采用以對象模型驅動的管理機制,對象模型用XML語言描述,可以通過定義/修改對象模型的屬性(關系和操作),即插即用地擴充和管理網絡終端及服務。此外,管理平臺主機在性能和帶寬上,應留有一定冗余度,具有管理1000~5000個對象的擴展能力。
(2)易用性。信息安全管理平臺提供的所有功能,應做到操作簡易,界面友好,使用方便。
(3)經濟性。信息安全管理平臺設計,應采用先進的、成熟的軟硬件IT技術,搞好總體設計,優化軟件編程,避免重復投資,提高性能價格比。
(4)穩定可靠性。信息安全管理平臺設計,應重視硬件支撐設備的選型,性能上應留有空間;安全管理軟件要經過充分測試,不斷優化,保證系統穩定可靠運行。
(5)自身安全性。信息安全管理平臺設計,要重視自身的安全性,系統應具有管理員身份和權限的雙重鑒別能力,應保證數據網上傳輸的完整性、保密性和數據記錄的真實可靠及抗抵賴性。
5 系統組成和主要功能
信息安全管理平臺的基本功能是:對網絡系統、安全設備、重要應用實施統一管理、統一監控、統一審計、協同防護,以充分發揮網絡安全防護系統的整體作用,提高網絡安全防護的等級和水平。
5.1 系統組成
信息安全管理平臺由幾個模塊組成:人機界面模塊、總控模塊、安全網管模塊、安全監控模塊、安全審計模塊、安全策略處理模塊、安全模塊、安全事件分析模塊、安全事件響應模塊、設備配置模塊、平臺與設備接口模塊和安全管理數據庫。系統的邏輯結構如圖1所示。
(1)人機界面模塊。面向安全管理員的操作控制界面。
(2)總控模塊。總控模塊控制信息安全管理平臺各模塊正常運轉,其中包括網絡通信和通信加密程序,用于保障網絡間遠程數據交換的安全(主要是真實性和完整性)。
(3)安全網管模塊。用于顯示網絡拓撲并進行安全網管。
(4)安全監控模塊。用于對網絡主機和網絡設備進行安全監控。
(5)安全審計模塊。接受操作系統或下一級安全管理平臺發來的安全日志;接收主機、防火墻、IDS等網絡安全設備發來的報警信息;接收網絡出口探針記錄的網絡數據流信息,存儲并實時進行內容審計。安全審計的方式有三種:基于規則和特征的安全檢測,基于數據流的安全檢測,基于特定場景深度數據挖掘的安全檢測。審計的結果:啟動報警系統和產生安全態勢報表。
(6)安全策略處理模塊。自動將安全策略翻譯成安全設備可執行的規則。
(7)安全模塊。安裝在網絡客戶機(服務器、終端)操作系統中,與安全管理平臺上的安全監控模塊配合使用。其作用是用于接收安全管理平臺發來的監控指令和審計規則;監視客戶機的工作狀態;根據規則進行安全過濾和記錄;將安全記錄實時發回至安全管理平臺。
(8)安全事件關聯分析模塊。將所有收集到的安全事件按其對系統安全的危害程度等級進行重要性排隊,然后調閱安全專家知識庫,對事件進行基于規則的實時關聯分析,該模塊可引入大數據的歷史關聯分析能力,以提升關聯的可信度。最終將分析結果(關聯要素)和處理規則,提交安全事件響應模塊或管理員處理。
(9)安全事件響應模塊。按預先制定的安全事件處理規則(應急預案)對事件自動進行安全處置。
(10)系統配置模塊。對IDS/IPS、防火墻、內容監測、主機等安全系統設備或模塊進行安全和審計規則的配置。
(11)平臺與設備接口模塊。實現信息安全管理平臺與各類網絡安全產品之間的標準數據交換。其流程是:各類安全產品將各自檢測到的安全日志通過接口模塊進行格式轉換后發給平臺安全事件收集模塊,供安全管理平臺分析處理。平臺人機界面或安全事件響應模塊發出的處置指令,通過接口模塊發給指定的安全設備,安全設備接到指令后按相應安全策略執行;信息安全管理平臺能夠管理的系統和設備有:防火墻、IDS/IPS、內容監測、路由器、交換機、網絡主機。
(12)安全管理數據庫。安全管理數據庫是安全管理平臺運行的基礎資源,主要存放從本級和下級網絡采集來的所有安全數據(包括日志數據、設備狀態數據)、安全策略數據、安全專家知識、網絡拓撲連接關系、網絡中所有客戶機的詳細地址和安全管理平臺加工的各種報表數據等。
5.2 主要功能
(1)網絡安全管理。在各級安全管理平臺上動態顯示本級局域網當前網絡拓撲,根據策略,適時改變網絡拓撲結構。動態顯示網絡設備(路由器、交換機、服務器、終端)的在線狀態、參數配置,及時發現系統結構變化情況和非授權聯網的情況,并予以響應。
①自動識別網絡中主機的IP、機器名稱和MAC地址。
②按部門對設備(交換機、路由器)、主機和人員進行管理。
③通過系統提供的智能學習功能,自動識別網絡的物理拓撲結構。
④自動生成網絡拓撲圖(該網絡的真實物理聯接結構圖),并能動態顯示當前的網絡狀態,如圖2所示。
⑤動態顯示主機的當前狀態,如合法使用(如IP和MAC地址的配對,已登記注冊的合法主機)、非法使用(如IP和MAC地址隨意更改) 、關機、不通或故障、未登記主機的入網使用等。
⑥可以自動發現入侵的主機,并關閉其網絡連接端口。
⑦提供主機與設備端口的綁定。
⑧提供網絡邏輯圖(顯示設備之間的連接關系)、網絡拓撲圖(顯示整個網絡中所有設備、主機及其連接關系)和組織結構圖(顯示該單位的組織結構),可以方便地在三種不同的顯示方式之間切換,便于網絡安全管理員全面掌握和操控整個網絡;在網絡拓撲圖中可以拖動設備(交換機、路由器、集線器)改變其相對位置;進行文字和分組標注;改變設備與設備、設備與主機之間的連接關系;還可以由系統對所有設備、主機進行自動排列。
(2)網絡監控管理。安全管理平臺上的網絡安全管理與監控功能,可根據制定的安全策略,對受控主機進行安全控制。
①對受控機進行主機屏幕監視或控制(接管)功能。
②對受控機部分或全部文件進行訪問控制,即對文件的訪問,不僅要通過系統的認證,還必須通過網絡安全管理與監控系統的認證才能訪問。
③對受控機網絡訪問進行通斷控制。
④對受控機無線上網進行阻斷控制。
⑤對受控機的打印機、USB移動設備進行允許和阻斷控制。
⑥對受控機的進程進行監控,可以控制指定進程的加載。
⑦對受控機的internet訪問進行基于IP和DNS的詳細控制,提供Internet網絡監控。
(3)網絡安全設備管理。在各級安全管理平臺上,根據安全策略,對本級局域網設置的防火墻、IDS/IPS等進行參數配置,并適時監測安全設備的運行狀態,以便及時處理。
(4)策略執行管理。根據安全策略生成的安全規則,通過管理平臺向所有網絡系統中安全設備和主機用戶,實現對網絡設備、網絡客戶機、安全設備及主要應用系統進行控制的目的。
安全策略處理模塊功能有:對中層安全策略提供的形式化語言進行程序處理,輸出安全設備安全規則配置表;安全管理員通過安全管理平臺設備配置界面手工配置安全規則配置表;將安全規則配置表通過網絡發給安全設備并執行;安全管理平臺也可直接對網絡中的受控客戶機進行安全規則配置。
(5)審計管理。審計數據的獲取有四條渠道:各客戶機上的模塊發來的內網安全事件實時報警和安全日志信息;不同廠家安全產品(防火墻、IDS等)發來的安全事件報警和安全日志信息;下級安全管理平臺發來的安全日志和網絡探針發來的網絡數據流信息。緊急安全事件報警信息通過安全事件分析和響應模塊實時處理。 安全日志直接存入安全日志數據庫。網絡數據流存入盤陣中,供事后歷史數據關聯分析和部分實時處理。
在各級安全管理平臺上的審計管理包括:對本級局域網絡系統中的設備(包括 路由器、交換機、服務器、數據庫、客戶機)根據預先制定的審計規則產生的故障、訪問、配置、外設的報警信息和安全日志進行審計;對本級局域網絡安全防護設備(包括 防火墻、IDS/IPS)及主要應用系統等在運行中產生的安全日志,進行采集、分析;上級安全管理平臺有選擇的抽取下級的安全事件進行審計,對嚴重的安全事件及時督促下級采取相應措施及時整改;對本級局域網中的進出口數據流進行記錄和實時異常檢測。
審計內容涉及十個方面。
①對受控機文件按IP地址、操作時間、操作類型、操作內容、用戶名、機器名等進行審計。
②對受控機進行基于IP(源IP、目的IP)和DNS的internet訪問審計,審計內容為源IP、目的IP、訪問時間、協議、服務和訪問內容等。
③對受控機進行程序和服務的安裝與卸載進行審計,審計內容為IP地址、操作時間、操作類型、程序(服務)名、操作用戶名等。
④對受控機進行本地用戶登錄審計,審計內容為IP地址、登錄時間、退出時間、登錄用戶名等。
⑤對受控機的打印機使用進行審計,審計內容為IP地址、打印時間、打印機名稱、文檔名稱和用戶名等。
⑥對受控機的USB移動存儲設備使用進行審計,審計內容為IP地址、時間、外設名稱、狀態等。
⑦對受控機的盤符狀態進行審計,審計內容為IP地址、時間、盤符、狀態等。
⑧對受控機的進程狀況進行審計,即受控機使用程序的狀況。
⑨對IDS/IPS探測到的非法入侵事件進行審計。
⑩對網絡探針發來的數據流進行審計。
安全管理員可通過系統隨時調閱安全日志、網絡狀態以及網絡流量等信息,并進行統計查詢。這些信息是事后了解和判斷網絡安全事故的寶貴資料。
(6)網絡病毒監控管理。在各級安全管理平臺上,建立病毒集中管理監控機制,實現網絡病毒的監控與管理。防病毒系統應包括單機版、網絡版和防病毒網關,在信息安全管理平臺上對本級網絡節點的防病毒運行情況進行監控,如防病毒庫、掃描引擎更新日期、系統配置等。具體實現:確保防病毒策略統一部署,統一實施,保證防病毒體系執行相同的安全策略,防止出現病毒安全防御中的漏洞;保證系統管理員了解整體防病毒體系的工作狀態,從整體防控的高度掌握病毒入侵的情況,從而采取必要的措施,及時提供新的防病毒升級庫;通過信息安全管理平臺提供的信息,與防病毒廠商保持熱線聯系與技術支持。
(7)應用系統監測。信息安全建設的一個重要內容是確保網上關鍵業務的可靠性、可信性、可用性。因此,對網上關健業務的監測記錄非常重要,主要體現在四個方面:監測記錄關鍵業務系統在網絡中會話過程,可以幫助分析有無非法插入、偽裝的業務會話;阻止偽裝的業務會話與關鍵業務交互,確保業務流程的可信性;監測分析關鍵業務會話過程的響應與交互時間,找出影響關鍵業務系統網上運行效率的問題,確保業務流程的可用性;應用系統的監測主要通過內容監測系統和網絡探頭實現。
(8)安全事件處理。信息安全管理平臺上收到IDS/IPS、防火墻和網絡受控主機發來的安全事件時,將其打入事件隊列。事件隊列依據等級排隊后,則交給安全事件關聯分析模塊,使用專家知識或決策分析算法對事件進行關聯分析并按預案和規則給出處置策略,然后交給安全事件響應模塊進行自動化智能處理或交給安全管理員處理。
6 系統應用模型
(1)分布式多層次的管理結構。由于大多數網絡是一個多層次的樹狀網絡系統,結構復雜、分布范圍寬、網絡客戶機多,所以應按照分布式多層次的管理結構進行安全管理,如圖3所示,某單位網絡假設三級網絡安全管理中心,每個中心設一臺安全管理平臺,遂行本級網絡的安全管理。上級管理中心通過安全管理平臺將必要的安全策略,標準和協議信息下傳給下級管理中心。上級管理中心也可通過安全管理平臺獲取下級管理中心的審計信息。如上級的安全管理平臺通過網絡可調看下級的網絡拓撲和安全事件處置報告,掌握下級的網絡安全狀況。
(2)各級安全管理中心的數據傳輸模式。安全管理中心的安全數據上傳和下達采用C/S模式,一般由上級管理中心提出申請,下級管理中心回應。因為就計算機網絡的安全防護系統實際運行狀況來看,總是要求下級管理中心上報的數據多于上級管理中心向下傳達的數據。為了保證數據傳輸的實時準確,以上級管理中心為Server,下級管理中心為Client。下級管理中心是多對一的數據交流模式。對于上級管理中心下傳數據,采取下級管理中心的數據庫按時輪訊的方式實現。
當安全管理中心多于兩級時,數據傳輸模式如圖4所示。
(3)安全數據交換的一致性保證。為保證安全管理中心之間數據交換的一致性,采用事務提交與時間標簽相結合的方式來實現。安全數據的事務提交:由于上下級之間是跨區域的遠程傳輸,為保證數據的完整性,采用數據的事務提交方式來處理,每一次傳輸的數據將是一個整體事件的所有數據,這樣就能保證數據的完整性。反之,則必須重傳。為了處理重傳同步和上下級之間的一致性,我們為每一個事務加一個時間標簽,即每次傳輸完一個事務的所有數據時同時加傳一個時間標簽記錄。這個記錄至少應有如下幾項:日期時間、事務名、該事務的記錄數。
收方當收到這個時間標簽后, 則表明一個事務的數據傳輸結束,則可以更新數據,同時將此時間標簽保存下來,并回發一個確認包。發送方如收到這個包,則認為上級中心已更新了這個事務的數據,就從時間標簽隊列里清除掉這個時間標簽。
上述過程已完整地表述了異地數據一致性分布的實現方法,如圖5所示。
7 系統安全管理流程
信息安全管理平臺的安全管理貫穿整個信息系統運行過程,包括事前、事中、事后等過程。
(1)信息系統運行前。安全管理平臺對信息系統的安全管理,從實施前的安全策略的制定、風險評估分析、系統安全加固以及對實施人員進行安全訓練就已經開始,保證在已有的安全防護體系條件下對系統存在的安全隱患和將實施的安全策略心中有數。
(2)信息系統運行中。在系統運行過程中,對網絡中的各種主機、安全設備實施全程安全監控,安全運行日志同時進行詳細的記錄,在系統發生安全事件時,根據事件等級進行排隊,安全管理平臺實時調用相應的事件處理機制。事件的處理機制見事件處理流程如圖6所示。
(3)信息系統運行后。定期組織進行安全自查,消除安全隱患。通過分析系統運行的狀況(包括性能分析、日志跟蹤、故障出現概率統計等),提出新的安全需求,進行技術改進,包括系統升級、加固和變更管理。
(4)安全事件管理方式和處理流程。
自動處理: 將預案中的安全事件及其處理辦法(如系統弱點漏洞、惡意攻擊特征、病毒感染特征、網絡故障和違規操作、防火墻與IDS聯動、沙箱模擬運行等)存入安全知識庫并形成相應的處理規則,當相應事件出現時,系統將根據處理規則進行自動處理。
人工干預處理:根據情況的需要,也可在信息安全管理平臺上按事件級別進行人工干預處理,主要包括技術咨詢、數據恢復、系統恢復、系統加固、現場問題處理、跟蹤攻擊源、處理報告提交等。
遠程處理:當安全管理員從管理平臺的拓撲圖上觀察到安全事件發生時或收到下級轉交的要求協助解決的安全事件時,除了直接提供處理方案給對方外,還可以通過遠程操作直接對發生安全事件的系統進行診斷和處理。
決策分析處理:決策分析模塊預先收集、整理安全事件的資料,組織安全專家根據事件類型、出現事件的設備、事件發生的頻繁度、事件的危害程度等因素列出等級、層次并打分,列出判斷矩陣,運用層次分析法求解判斷矩陣,分別計算出各因素的權重值,一并存入專家知識庫中。運行時將調用專家知識庫對實時收到的系統安全事件進行判斷和計算,如果是單條事件根據預案直接處置,多條事件則求出組合權重值并對事件排隊,系統根據事件重要程度依據預案依次處置。
安全系統聯動處理:安全事件響應模塊根據安全事件關聯分析模塊發來的安全事件關聯要素調用應急預案庫進行安全設備聯動處理,如收到IDS檢測到某協議某端口有DDOS攻擊,依據預案將發送安全規則給總出口的防火墻,及時關閉該協議和端口。以實現一體化安全管理。
記錄和事后處理:信息安全管理平臺在信息系統運行時收集并記錄所有的安全事件和報警信息,這些事件和信息將作為事后分析的依據。
8 關鍵技術及設計思路
一個系統是否先進和實用,關鍵是系統的設計思想和所應用的技術。為了使下一代信息安全管理平臺具有創新性,我們提出了“應用大數據挖掘及分析技術”和“重點防御AET和APT”的設計思想,并且應用了多方面的先進技術。
在本系統中,采用了幾項技術:形式化語言翻譯技術;安全產品數據交換標準;安全事件決策分析技術;高性能數據采集器;安全事件的關聯分析;大數據挖掘分析;AET和APT檢測技術。
(1)安全產品數據交換標準。為市場上的安全產品(如防火墻、IDS/IPS、漏洞掃描、安全審計和防病毒產品等)制定數據交換標準。為此,所有安全產品都必須清楚地描述幾方面內容(BNF描述法):
::=
::=||
::=|
::=||||
::=||||
::=||||
::=||||
(2)高性能數據采集器。高性能數據采集器也叫探針,是信息內容監測系統和大數據安全分析的前端設備,該設備性能的好壞直接影響系統的功能和性能。如法國GN Fastnet C Probe硬件設備,該設備的特點是:直接嵌入需要監測的網絡;不損失網絡性能與效率,能夠適應多種網絡環境,能夠采集多種協議下的數據流信息;全線速采集數據100M
利用該設備作為信息內容監測系統和大數據安全分析的數據采集設備,能夠適應多種類型的網絡接口:局域網、企業網、廣域網、快速以太網等,它的高性能的數據采集能力,極大地降低了系統數據采集的漏包率。
(3)安全事件的關聯分析。對包含安全事件的數據流進行分析,如果是結構化數據可在基于經驗知識,人工建立的規則和模型基礎上,進行簡單的關聯:安全事件與用戶身份的關聯分析實現安全事件到“人”的定位;安全事件與系統脆弱性信息的關聯分析實現安全事件危害程度的正確評估;安全事件與威脅源關聯分析提高評估安全事件的級別和緊急程度的可信度;多個安全事件的關聯分析,聚焦安全事件的連鎖危害,提升安全事件的嚴重級別和緊急程度;泄密安全事件與身份信息的關聯實現泄密源的真正定位;安全事件自身關聯實現安全事件活動場景的全展現;安全事件與流量樣本數據關聯分析,判斷安全事件的性質(是否AET或APT攻擊)。
(4)大數據挖掘和分析。目前的大數據分析主要有兩條技術路線,一是憑借先驗知識人工建立數學模型,二是通過建立人工智能系統,使用大量樣本數據進行訓練,讓機器代替人工獲得從數據中提取知識的能力。
由于AET和APT攻擊的數據包大部是非結構化或半結構化數據,模式不明且多變,因此難以靠人工建立數據模型去挖掘其特征,只能通過人工智能和機器學習技術進行分析判斷。
應用大數據挖掘和分析新型網絡攻擊的思路:通過大數據解決方案將相關歷史數據(攻擊流量)保存下來,通過人工智能軟件來分析這些樣本并提取相應的知識,將疑似AET和APT攻擊的異常樣本知識存入專家知識庫。
大數據挖掘和分析在平臺中主要用于分析與檢測:流量異常分析,行為異常分析,內容異常分析,日志與網絡數據流的關聯分析,威脅與脆弱性的關聯分析,基于正常的安全基線模型檢測異常事件。
(5)AET和APT檢測判斷技術。未知威脅最典型也是最難檢測的屬AET和APT,所以新一代信息安全管理平臺中的IDS/IPS和防火墻必須包括不斷更新的AET庫,專家知識庫中應包括APT攻擊樣本知識,因為AET和APT用傳統的威脅攻擊特征庫根本無法比對發現。AET主要通過先進的AET知識庫進行合規性判別,其核心的先進檢測技術主要包括“對全協議層數據流進行解碼和規范化”,“基于規范化的逃避技術清除”,“基于應用層數據流的特征檢測” 。
APT可以通過多種手段進行分析檢測:收集來自IT系統的各種信息,如圖8所示。
基于流量統計的檢測。記錄關鍵節點的正常網絡通信數據包樣本,以樣本特征檢測為輔異常檢測為主,通過異常檢測發現未知的入侵。
沙盒分析與入侵指標確認。將疑似APT數據包組裝好,放入沙盒(緩存)中模擬運行(引爆)并與入侵指標(活動進程、操作行為、注冊表項等)比對加以驗證。
9 安全管理數據庫系統的設計
(1)數據組織與分類。根據信息安全管理平臺的需求,安全管理數據庫系統的數據內容包括:管理信息、網管信息、安全審計、專家知識四類十余種數據格式。安全管理數據庫系統,是以四類數據為處理對象,實現對信息安全管理平臺數據的積累、存貯管理、更新、查詢及處理功能的數據庫應用系統。經過數據庫設計,安全管理數據庫系統的四類十余種數據格式,規范分解為包括10余種關系結構的關系模型,在此基礎上可根據用戶應用要求設計多種格式的審計報表。
(2)數據庫結構框圖。通過上述信息安全管理平臺的設計思路簡介,可以大致了解新一代信息安全管理平臺的工作過程和在網絡安全管理上發揮的作用,我們希望早日看到擁有自主知識產權的國產信息安全管理平臺在我國重要信息系統的網絡安全管理上發揮重要的作用。
【注1】 AET(Advanced Evasion Techniques),有的文章譯為高級逃避技術、高級逃逸技術,筆者認為譯為高級隱遁技術比較貼切,即說明采用這種技術的攻擊不留痕跡,又可躲避IDS、IPS的檢測和阻攔。
【注2】 APT(Advanced Persistent Threat)直譯為高級持續性威脅。這種威脅的特點,一是具有極強的隱蔽能力和很強的針對性;二是一種長期而復雜的威脅方式。它通常使用特種攻擊技術(包括高級隱遁技術)對目標進行長期的、不定期的探測(攻擊)。
參考文獻
[1] 信息安全管理平臺的設計[J].計算機安全,2003年第12期.
[2] CNGate 下一代高智能入侵防御系統.北京科能騰達信息技術有限公司,2012年8月.
[3] 高級隱遁技術對當前信息安全防護提出的嚴峻挑戰[J].計算機安全,2012年第12期.
[4] 高級隱遁攻擊的技術特點研究[J].計算機安全,2013年第3期.
[5] 星云多維度威脅預警系統V2.0.南京翰海源信息技術有限公司,2013年12月.
[6] 我國防護特種網絡攻擊技術現狀[J].信息安全與技術,2014年第5期.
[7] 大數據白皮書2014年.工業和信息化部電信研究院,2014年5月.
[8] 提高對新型網絡攻擊危害性的認識 增強我國自主安全檢測和防護能力[J].信息安全與技術,2014年第10期.
[9] CNGate-SIEM 安全信息事件管理平臺.北京科能騰達信息技術有限公司,2015年6月.
關鍵詞:電力;信息化;安全問題
1 電力系統網絡信息安全的概述與現狀分析
電力系統的信息安全不僅可以保障電力生產運行的安全性,還是電力企業對用戶供電可靠性的重要保證。電力系統網絡信息安全是一項涉及到電力的生產、經營和管理等多方面的系統工程,它控制著電力系統中電網調度自動化、繼電保護裝置自動化、配電網自動化、變電運行智能化、電力負荷控制、電力市場交易以及電力營銷等環節性能的正常發揮。根據電力工業的特點,再結合電力工業信息網絡系統和電力運行實時控制系統,對電力系統信息安全問題進行分析,發現許多電力系統中的信息工程沒有建立一個完整的安全體系,只是以防病毒軟件和防火墻來作為安全防護,有的甚至連信息安全防護設施也沒有,從而給電力系統網絡信息安全埋下了許多安全隱患。針對此現象,電力企業必須盡快對電力系統建立一個計算機信息安全體系以保護電力系統網絡信息的安全。
2 電力企業網絡信息安全問題概述
2.1 電力企業中信息化部門的建設不健全
在電力企業中,電力信息部門沒有受到應有的重視,它既沒有配備專門的機構設施,也沒有設立專門的崗位進行作業,更沒有規范的制度進行管理,從而根本無法滿足電力系統信息化對人才和機構的要求。
2.2 電力企業的信息化管理還跟不上信息化發展的速度
信息技術在電力系統中的應用與發展已越來越廣泛,然而電力企業針對電力信息化的管理還比較落后,無法跟上發展速度,從而導致信息系統的功能無法完全的發揮出來,對電力系統的作用也不盡如意。
2.3 電力企業安全文化建設中網絡信息安全管理所處的地位不恰當
現在,信息安全管理在電力企業安全文化建設中仍然是處于從屬地位,從而阻礙了信息安全在電力行業中的發展。因此,電力企業要重視信息安全管理的發展,使其成為企業安全文化的中堅力量。
2.4 電力企業網絡信息安全中存在著多方面的風險
電力企業網絡信息和其他的企業網絡信息一樣,存在著多方面的安全風險,例如:網絡結構設計不合理的風險、來自互聯網的信息干擾風險、來自企業內部的操作不當風險、病毒的侵害的風險、管理人員素質低風險、系統的安全風險等。
3 電力企業網絡信息安全問題的原因分析
3.1 電力企業對網絡信息安全防護的意識薄弱且管理不夠
技術人員對電力系統網絡信息的安全意識薄弱,經常性的忽視了對其安全性的管理與防護,并且電力企業更側重于網絡效應,對信息安全的重視還遠遠不夠,管理和投入也達不到安全防范的要求。因此,電力企業的網絡信息安全一直都處在被動的封堵漏涮狀態。
3.2 電力企業中網絡信息安全的運行管理機制不完善
現今我國電力行業中對電力系統的運行管理機制還存在著一些缺陷和不足,如網絡安全管理方面的人才欠缺、網絡信息安全防護措施的不完善及實施不到位、缺乏綜合性的安全解決方案。
4 電力企業網絡信息安全管理內容的介紹
4.1 網絡信息安全風險的管理
對于網絡信息安全風險的管理首先得識別企業的信息資產,再對威脅這些資產的風險進行預估與統計整理,最后假定這些風險的發生給企業所帶來的災難和損失進行評估,從而達到對風險實施降低、避免、轉嫁等多種管理方式,為管理部門企業信息安全策略的制定奠定基礎。
4.2 企業信息安全策略的制定
信息安全策略要作為電力企業安全管理的最高方針,它的制定必須由企業的高級管理部門進行審核通過,并要以書面文檔的形式進行保存與企業員工之間的傳閱。
4.3 企業員工的網絡信息安全教育
信息安全意識和信息安全管理技能的培訓是企業安全管理中的重要內容,其實施的力度將直接影響到企業安全策略的認知度和執行度。因此,電力企業的高級管理部門要對企業的各級管理人員、技術人員以及用戶等多加開展安全教育活動,使他們能夠詳細的了解企業信息安全策略,并執行到位,從而有效的保證電力企業網絡信息的安全。
5 電力企業網絡信息安全問題的解決措施
5.1 加強電力系統網絡信息的安全規化
企業網絡安全規劃的目的就是為了對網絡的安全問題有一個全方位的認識與了解,培養人們能夠以系統的觀點去考慮與解決安全問題。因此,電力企業要加強對電力系統網絡信息安全的規劃,建立一套系統全面的信息安全管理體系,從而達到對網絡信息安全的有效管理。
5.2 加強電力企業信息網絡安全域的合理劃分
電力企業的信息網絡實施的是特理隔離法,因此在其內網上要加強安全域的合理劃分。這就需要結合電力系統的整體安全規劃和信息安全密級進行邏輯上的安全域劃分,其一般劃分為核心重點防范區域、一般防范區域和開放區域,其中的重點防范的區域是電力企業網絡安全管理的中心部分。
5.3 加強企業信息安全管理制度的建立
電力企業網絡信息安全的管理需有安全管理制度作為其基礎與依據。因此,要加強對電力企業信息安全管理制度的建立并將其落實到位,例如,加強企業對網絡信息安全的重視程度,加強網絡安全基礎設施和運行環境的建設,堅持安全為主、多人負責的管理原則,定期進行安全督導檢查。另外,還需加強電力系統運行日志的管理與安全審計,建立一套企業內網的統一認證系統,以及建立一套適合電力企業的病毒防護體系等。
5.4 加強企業工作人員的網絡信息安全教育
加強企業工作人員的網絡信息安全教育對電力企業的信息化安全來說也十分重要。企業在開展網絡信息安全教育工作時要注意其層次性,特定人員要進行特別的安全培訓。對信息安全工作的高級負責人和各級管理員的安全教育工作重點是要加強他們對企業信息安全策略和目標的充分了解,加強他們對企業信息安全體系和企業安全管理制度的建立與編制工作的完成。對于信息安全運行的管理維護人員的教育工作則是要加強他們對信息安全管理策略的充分理解、安全評估基本方法的熟練掌握、安全操作和維護技術運用能力的大力提升。對于那些關鍵、特殊崗位的人員可以將他們送往專業機構進行專業特定的安全知識和技能的學習和培訓。
6 結束語
電力網絡信息安全的管理問題是一個全面系統的工程,網絡上的任何一處風險都有可能導致整個電力網的安全問題,我們要用系統的觀點進行電力網絡安全問題的分析與解決。網絡信息安全問題的解決可以利用行政法律手段和各種管理制度以及專業措施來進行,其中技術與管理相輔相成。電力系統網絡信息安全問題的解決需建立一個有效的運行管理機制,加強網絡風險的認知和人員安全意識的培訓,將有效的安全管理貫徹落實到信息安全中來。另外,在電力企業中建立安全文化,并將網絡信息安全管理在整個企業文化體系中貫徹落實好,使其成為中堅力量才是電力信息化安全問題的最基本解決辦法。
參考文獻
[1]周冰.電力信息化切入核心[J].信息系統工程,2003.
沒有安全,何以生存,遑論發展;而信息時代安全的核心內容之一,便是信息安全。蓋緣于此,世界上主要發達國家始終十分重視信息安全工作。
1998年5月22日,美國克林頓政府頒布了《保護美國關鍵基礎設施》總統令(PDD63),圍繞“信息安全”成立了包括全國信息安全委員會、全國信息安全同盟、關鍵基礎設施保障辦公室、首席信息官委員會等10余各全國性機構。同年,美國國家安全局(NSA)制定了《信息安全保障框架》(IATF),提出了深度防御策略。2000年發表了《總統國家安全戰略報告》,首次將信息安全明確列入其中。布什政府在911之后成立了國土安全部、國家KIP委員會,并于2002年和2003年陸續頒布了《國家保障數字空間安全策略》、《國家安全戰略報告》和《網絡空間安全國家戰略計劃》。奧巴馬總統上臺不久,就親自主導了為期60天的信息安全評估項目,并于2009年5月公布了《美國網絡安全評估》報告,評估了美國政府在網絡空間的安全戰略、策略和標準,指出了存在的問題,并提出相應的行動計劃。在此基礎上,美國政府成立了網絡安全辦公室,任命了網絡安全協調官。2010年6月,美國國防部正式成立了由戰略司令部領導的網絡戰司令部,于2010年10月正式運行。2015年年底,美國《網絡安全法》獲得正式通過,成為美國當前規制網絡安全信息共享的一部較為完備的法律,首次明確了網絡安全信息共享的范圍,并通過修訂2002年《國土安全法》的相關內容,規范國家網絡安全增強、聯邦網絡安全人事評估及其他網絡事項。
俄羅斯則早在1995年便頒布了《聯邦信息、信息化和信息保護法》,明確界定了信息資源開放和保密的范疇,提出了保護信息的法律責任。1997年俄羅斯出臺的《俄羅斯國家安全構想》中明確提出,“保障國家安全應把保障國家經濟安全放在第一位”,而“信息安全又是經濟安全的重中之重”。2000年普京總統批準了《國家信息安全學說》,明確了俄羅斯聯邦信息安全建設的目的、任務、原則和主要內容。
我國政府高度重視信息安全工作,早在1994年,國務院便以147號令頒布了《中華人民共和國計算機信息系統安全保護條例》;2003年國務院成立應急辦,頒布了《國家突發公共衛生事件應急條例》;2006年公布了《國家突發公共事件總體應急預案》和《國家網絡與信息安全事件應急預案》,確定了4大公共事件及網絡信息安全事件的應急措施預案;2007年制定了《國家突發事件應對法》。此外,信息產業部、工信部以及各地方政府和部門在近十余年時間里也陸續出臺了各類與信息安全相關的法律法規。信息安全在我國的國家層面上受到高度重視,目前已上升為國家戰略。相應地,信息安全工作也已成為各行各業信息化戰略規劃和信息化建設中不可或缺的內容,氣象部門也不例外。
信息安全是一個永恒的主題,信息安全工作永遠沒有終結的一刻。在國家大力倡導信息化、互聯網+、大數據應用和信息安全的現在,認真系統地回顧和審視氣象信息安全工作,是完全必要的,因為這可使我們及早發現問題、查漏補缺,使氣象信息安全工作進一步發揮出應有的作用。
二、信息安全的本質
(一)信息安全的內涵和特征
信息是氣象部門最寶貴的資產,是氣象部門賴以立身的最為珍貴的資源。因此,必須對所有氣象信息進行妥善的保護。
按業界的規范定義,信息安全主要指信息的保密性、完整性和可用性的保持,即:通過采用計算機軟硬件技術、網絡技術、密鑰技術等安全技術和各種組織管理措施,保護信息在其生命周期內的產生、傳輸、交換、處理和存儲等各個環節中,信息的保密性、完整性和可用性不被破壞,保障業務的連續性,最大限度地減少業務的損失,最大限度地獲取業務回報。其中:保密性是指確保只有那些被授予特定權限的人才能夠訪問到信息;完整性是指保證信息和處理方法的正確性和完整性;可用性則是指確保那些已被授權的用戶在其需要的時候,確實可以訪問到所需信息。此屬常識,不予展開。
信息安全具有如下特征:
1. 信息安全是系統的安全
信息產生于系統、存在于系統、被系統所使用并由系統發揮其作用,所有與信息相關的各系統皆必須納入信息安全的視野,予以充分的關注和考慮。此外,信息安全是整體的安全,所有與信息相關的部分由信息串聯而構成一個相對完整的系統,它的安全直接關系到信息的安全。
2. 信息安全是動態的安全
信息的安全保障是一個動態的過程,沒有永久的安全,也不存在滿足信息安全的充分條件,信息安全問題不可能一勞永逸地予以解決。保護信息安全不可能是絕對的,而是多種約束條件下的折衷的選擇。隨著事物的發展和技術的進步,約束條件必然發生變化,而約束條件的變化又將必然導致信息安全方針、策略和措施的相應調整和變化。
3. 信息安全是無邊界的安全
網絡的廣泛互聯使得信息系統環境的邊界越來越模糊,傳統意義上的國界、前方和后方正在消失,人們幾乎可以從任何地點、任何時間對任何對象發起網絡攻擊,因此信息安全是廣泛的、無國界的,它無法單憑一個國家、地區或部門就能完全控制,需要從全球信息化角度綜合考慮和整體布局。
4. 信息安全是非傳統的安全
傳統的具有典型外在物理特征的安全因素(如:軍事、自然災害、人為暴力破壞等等)已無法涵蓋信息安全所應考慮的全部范疇。在沒有諸如軍事入侵、自然災害、傳統意義上的恐怖襲擊等情況下,信息和信息系統的安全依然會受到諸如計算機病毒、黑客攻擊、計算機犯罪、信息垃圾和信息污染等嚴重威脅。國家的電信、金融、能源、交通等核心領域,氣象部門的數據通信、信息處理等核心系統,可能在極短的時間內被攻擊癱瘓,導致社會運轉的癱瘓和氣象業務的崩潰,而此時所有系統的物理器件并未因此而發生實質性的損傷。
信息安全既是信息技術問題,也是組織管理問題。因為信息安全最終必將落實到信息系統的安全層面上,并最終由一個個具體的信息技術和相關產品的有機組合予以實現,沒有符合實際的明確的安全目標和方針、科學的設計、認真的維護、以及不斷地主動發現新的安全問題并及時予以解決,是無法有效地形成安全環境的;就一個部門而言,一個相對安全的環境的構成必須從人的行為規范、安全體系的科學設計以及部門內部安全環境的構成等諸多方面綜合考慮、整體設計,方才可能。因此信息安全并非單純是技術和技術產品問題,更是組織管理問題,無法單憑技術手段予以解決。
此外,從法律、輿論以及信息戰和虛擬空間等更高層面考慮,信息安全也是社會問題和國家安全問題。此非本文所考慮的范圍,故不予展開。
(二)信息安全的一些認識誤區
應當承認,由于各種原因,至今氣象部門的一些同事中,對信息安全仍存在一定的認識誤區,以下問題應予充分重視:
1. 單純的安全技術和產品的應用不能解決信息安全
信息安全問題并非單純的技術問題,信息安全技術和產品的簡單應用并不意味著部門整體的信息安全,不能指望簡單地規劃了DMZ區、在局域網出入端配置了防火墻、在個人電腦中安裝了殺毒軟件、遠程通信采用VPN技術后,部門的信息安全問題便可基本解決。事實上,諸如防火墻、堡壘機、殺毒軟件等安全產品,僅僅是構建部門信息安全防護體系的磚石,如果沒有科學的整體設計和有效的實施方案,單憑磚石和瓦塊的簡單甚至隨意堆壘,是無法構建成有效的安全防護體系的。因此:
防火墻+ 堡壘機+ 殺毒軟件≠信息安全
2. 業務連續性的有效保障不能替代部門的信息安全
業務連續性的有效保障是部門行政領導最為關注的安全問題之一,為此往往不惜代價不計成本,而建立業務備份中心或災難備份中心是目前較為流行的保障措施。但備份中心的建立也并不一定意味著部門整體的信息安全,因為業務連續性的保障僅屬于信息安全三要素中“信息可用性”的范疇,如果不同時考慮信息的保密性和完整性,同樣無法從整體上解決部門的信息安全問題;而信息的私密性和完整性與備份中心之間并無必然聯系。因此:
備份中心≠信息安全
3. 網絡防御不能代替信息安全
傳統意義上的網絡安全包括網絡協議安全、網絡設備安全和網絡架構安全,側重于網絡自身的健壯性以及抗網絡攻擊的能力。然而如果網絡上運行的系統自身存在一定缺陷、軟件存在BUG,以及人為操作失誤(如:誤刪除、誤修改等),則上述內容和措施便將束手無策。所以,網絡的抗攻擊和抗偷盜能力不能完全解決信息安全問題。
類似的認識誤區還有若干,限于篇幅,不再枚舉。
三、基于風險管理的信息安全管理
(一)信息安全管理
統計結果表明,在所有信息安全事故中,只有20%~30%是由于黑客入侵或其他外部原因造成的,其余的70%~80%則是因內部員工的疏忽或有意違規而造成的。站在全局的高度上來考察信息和網絡安全的全貌就會發現:安全問題實際上都是人的問題,單憑技術手段是無法予以根本解決的。
信息安全是一個多層面、多因素的過程,如果僅憑一時的需要,頭疼醫頭腳疼醫腳地制定一些控制措施和引入某些技術產品,難免掛一漏萬、顧此失彼,使得信息安全這只“木桶”出現若干“短板”,從而無法提高信息安全的整體水平。
對于信息安全而言,技術和產品是基礎,管理才是關鍵。如同磚瓦建材需要良好的設計和施工才能搭建成堅固耐用的建筑,安全技術和安全產品需要通過管理的組織職能方才能夠發揮出最佳效果。事實充分證明,管理良好的系統遠比技術雖然高超但管理混亂不堪的系統安全得多。因此,先進科學的、易于理解且方便操作的安全策略對信息安全至關重要;而建立一個管理框架,讓好的安全策略在這個框架內可重復實施,并不斷得到修正,就會擁有持續的安全。
所謂信息安全管理,是指部門或組織中為了完成信息安全目標,針對信息系統,遵循安全策略,按照規定的程序,運用恰當的方法,而進行的規劃、組織、指導、協調和控制等活動和過程;是通過維護信息的保密性、完整性和可用性,來管理和保護組織所有的信息資產的一項體制;是部門或組織中用于指導和管理各種控制信息安全風險的一組相互協調的活動。有效的信息安全管理要盡量做到在有限的成本下,保證將安全風險控制在可接受的范圍之內。
信息安全管理包括:安全規劃、風險管理、應急計劃、安全教育培訓、安全系統評估、安全認證等多方面內容。
(二)基于風險的信息安全
1. 安全和風險
步履蹣跚的耄耋老人終日待在家中肯定比在熙熙攘攘的大街上行走安全,但即使在家中,也仍有因行走或站立不穩而跌倒的可能,不如身邊陪有專人看護安全;然即便家中有專人看護,也不如將老人長期安置在醫院,在全套設備和專業醫護人員看護下安全,如此等等。可見,所謂安全都是相對而言的,沒有絕對的安全;而安全的效果或等級越高,往往付出的代價或成本也越高,信息安全也是如此。
安全是相對于風險而言的,某種安全水平的達到意味著某種或某類風險的得以規避:雙機熱備技術可以避免單點故障所導致的業務中斷,兩地三中心災備模式可以保證即便在發生局地嚴重災害時部門業務的連續性。但絕對的安全是沒有的:雙機熱備技術無法避免供電系統故障的風險,而大型隕石撞擊地球,將導致生態系統的崩潰和物種滅絕,遑論災備兩地三中心以及部門業務連續性了。
然而,風險是由可能性與后果的組合來計算和度量的。盡管兩地三中心災備模式無法應對地球遭遇大型隕石撞擊的毀滅性災害,但該災害發生的可能性卻微乎其微,未來數百年幾乎沒有可能。因此此災雖然為害甚烈,但發生的可能性卻幾近于零,不必予以考慮。
2. 風險管理
絕對的零風險是不存在的,要想實現零風險也是不現實的。同時,規避風險是需要代價的,規避的風險種類越多,所付出的代價往往越大。就計算機系統而言,安全性越高,其可用性往往越低,需要付出的成本也越大。因此,信息安全建設的宗旨之一,就是在綜合考慮成本與效益的前提下,通過恰當、足夠、綜合的安全措施來控制風險,使殘余風險降低到可接受的程度。亦即,需要在安全性和可用性,以及安全性和成本投入之間做出一種平衡。
所以,根本上說,信息安全是一個風險管理過程,而不是一個技術實現過程。
風險管理是指如何在一個肯定有風險的環境里,利用有限的資源把風險減至最低的管理過程。風險管理包括對風險的量度、評估和應變策略等。理想的風險管理,是一連串排好優先次序的過程,使導致最大損失及最可能發生的安全事件優先處理、而相對風險較低的事件則押后處理。
風險管理的首要內容之一,是風險識別和風險評估。因為,信息安全體系的建立首先需要確定信息安全的需求,而獲取信息安全需求的主要手段就是安全風險評估。因此,信息安全風險評估是信息安全管理體系建立的基礎;沒有風險評估,信息安全管理體系的建立就沒有依據。
風險管理的另一項重要內容,就是對風險評估的結果進行相應的風險處置,只有對已知風險逐一進行有針對性的妥善處置,才能化解和規避這些風險,達到信息安全的目的。因此,風險處置是信息安全的核心。從本質上講,風險處置的最佳集合就是信息安全管理體系的控制措施集合;而控制目標、控制手段、實施指南的邏輯梳理、以形成這些風險控制措施集合的過程,就是信息安全體系的建立過程。亦即,信息安全管理體系的核心就是這些最佳控制措施的集合。
需要強調的是,由于信息安全風險和事件不可能完全避免,因此信息安全管理必須以風險管理的方式,不求完全消除風險,但求限制、化解和規避風險。而好的風險管理過程可以讓氣象部門以最具有成本效益的方式運行,并且使已知的風險維持在可接受的水平,使氣象部門可以用一種一致的、條理清晰的方式來組織有限的資源,確定風險處置優先級,更好地管理風險,而不是將保貴的資源用于解決所有可能的風險。
事物是在不斷變化的,新的風險不斷出現,因此風險管理過程需要不斷改進、完善、更新和提高。
四、當前氣象信息安全存在的問題
盡管氣象部門至今尚未發生重大信息安全事件,但這并不能說明氣象部門的信息安全工作已萬事大吉,信息安全體系固若金湯。依照信息安全管理的規范考察,氣象部門的信息安全工作至少存在如下問題:
(一)基礎工作存在缺失
1. 信息安全目標
通常意義下的信息安全目標,一般都是確保信息的機密性、完整性、可用性,以及可控性和不可否認性等等。但部門不同,具體的情況不同,安全性需求的程度、信息安全所面臨的風險、付出的代價也各有不同;如:就信息的機密性而言,軍事部門的要求遠遠高于氣象部門;而就信息的可用性而言,氣象部門對業務連續性的要求也較土地勘測管理部門為高。因此,泛泛的信息安全目標沒有任何意義,所有可用的信息安全目標都是切合部門具體實際情況的,是本土化、部門化的。
沒有切合氣象部門具體實際情況的、具有鮮明氣象特色的信息安全目標,是目前存在的突出問題。
必須明確,氣象部門信息安全目標的確定,是管理層的職責。管理層對信息安全目標的要求,決定了氣象部門信息安全工作的走向。氣象信息業務部門負責氣象信息安全既定目標的具體落實,其工作的質量和效率,決定了氣象部門是否能夠達到信息安全管理的目標。
2. 信息安全方針
信息安全方針是為信息安全工作提供與業務需求和法律法規相一致的管理指示及相應的支持舉措。信息安全方針應該做到:對本部門的信息安全加以定義,陳述管理層對信息安全的意圖,明確分工和責任,約定信息安全管理的范圍,對特定的原則、標準和遵守要求進行說明,等等。氣象部門的信息安全方針至少應當說明以下問題:氣象信息安全的整體目標、范圍以及重要性,氣象信息安全工作的基本原則,風險評估和風險控制措施的架構,需要遵守的法規和制度,信息安全責任分配,信息系統用戶和運行維護人員應該遵守的規則,等等。
遺憾的是,以此為基本內容的信息安全方針,至今在氣象部門尚未確立。
3. 信息安全組織機構
為有效實施部門的信息安全管理,保障和實施部門的信息安全,在部門內部建立信息安全組織架構(或指定現有單位承擔其相應職責)是十分必要的。
在一個部門或機構中,安全角色與責任的不明確是實施信息安全過程中的最大障礙。因此,建立信息安全組織并落實相應責任,是該部門實施信息安全管理的第一步。這些組織機構需要高層管理者的參與(如本部門信息化領導小組),以負責重大決策,提供資源并對工作方向、職責分配給出清晰的說明,等等。此外,信息安全組織成員還應包括與信息安全相關的所有部門(如行政、人事、安保、采購、外聯),以便各司其責,協調配合。
遺憾的是,類似的組織機構在氣象部門內即便已經存在,至今也未真正履行其應負的職責。
4. 信息資產管理
信息資產管理的主要內容包括:識別信息資產,確定信息資產的屬主及責任方,信息資產的安全需求分類,以及各類信息資產的安全策略和具體措施,等等。
就氣象部門而言,對信息資產(即:氣象信息資源和氣象信息系統)進行識別、明確歸屬以及分類等工作,有利于信息安全措施的有效實施。以分類為例:我們知道,對某特定氣象資料或業務系統實施過多和過度的保護不僅浪費資源,而且不利于資料效益的充分發揮和系統的正常運行;而若保護不力,則更可能導致氣象信息數據和系統產生重大安全隱患,乃至出現安全事故。對氣象信息資產進行分類,可明確界定各具體資產的保護需求和等級,如此可以根據類別的不同,調整合適的資源、財力、物力,對重要的氣象信息資源和系統實施有針對性的、符合其特點的信息安全重點保護,如此等等。
同樣遺憾的是,氣象部門至今尚未實施真正意義上的完整的氣象信息資產管理。
類似缺失的基礎工作還有很多,不再枚舉。
基礎工作的缺失,導致氣象信息安全工作的不扎實、不穩固,是氣象信息安全工作長期滯后于信息化基礎建設的主要原因之一。
(二)完整的信息安全管理體系尚未建成
按照ISO的定義,信息安全管理體系(ISMS:Information Security Management System)是“組織在整體或特定范圍內建立的信息安全方針和目標,以及完成這些目標所用的方法和體系。它是直接管理活動的結果,表示為方針、原則、目標、方法、計劃、活動、程序、過程和資源的集合”。
信息安全管理體系要求部門或組織通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責、以風險評估為基礎選擇安全事件控制目標和相應處置措施等一系列活動,來建立信息安全管理體系。該體系是基于系統、全面、科學的安全風險評估而建立起來的,它體現以預防控制為主的思想,強調遵守國家有關信息安全的法律法規及其它地方、行業的相關要求。該體系強調全過程管理和動態控制,本著控制費用與風險相平衡的原則,合理選擇安全控制方式。該體系同時強調保護部門所擁有的關鍵性信息資產(而不見得是全部信息資產),確保需要保護的信息的保密性、完整性和可用性,以最佳效益的形式維護部門的合法利益、保持部門的業務連續性。
由于基礎性工作尚未全部就緒,目前氣象部門尚未建立真正意義上的、基于風險管理的科學而完整的氣象信息安全管理體系。
在氣象部門建立完整的信息安全管理體系,可以對氣象部門的關鍵信息資產進行全面系統的保護,在信息系統受到侵襲時確保業務持續開展并將損失降到最低程度;并使氣象部門在信息安全工作領域實現動態的、系統地、全員參與的、制度化的、以預防為主的信息安全管理方式,用最低的成本,達到可接受的信息安全水平。此外,完整的信息安全管理體系的建立,也可使部門外協作單位對氣象部門的安全能力充滿信心,這一點在當前大數據應用浪潮正在全社會迅速漫延的背景下,尤其重要。
(三)業務格局的分散加大了安全管理問題的復雜度
目前氣象部門依然沿用著已延續數十年的國省地縣四級業務層級,而業務系統的屬地化,以及諸如“具備業務功能意味著擁有業務系統、擁有業務系統意味著擁有信息資產以及基礎資源和設施”等傳統觀念的束縛,使得各個業務系統在地理分布上呈現出全國遍地開花的局面,各級業務單位都擁有自己的信息業務系統和相應的局地信息業務環境。彼此通過內部專網(VPN)或甚至通過互聯網進行互聯,在全國形成網狀與樹狀相結合的、十分復雜的業務網絡結構。
由于各級單位都在當地擁有各自規模不等的信息業務系統及相應環境(包括為業務系統提供數據支撐的氣象數據庫),因此各單位都面臨著本單位的信息安全管理問題。尤其是一些氣象數據在各級業務單位的廣泛復制,使得各級業務單位中數據同質化現象十分突出,也為這些數據的保密性和完整性(包括一致性)的保持增加了大量變數。此外,由于編制所限,地縣兩級業務單位中IT技術人員奇缺,既無法保障信息業務系統的日常維護,更無法為本單位信息安全提供專業化管理。
這種業務格局的分散,加大了氣象部門信息安全管理問題的復雜度。
限于篇幅,其余問題不再枚舉。
五、建立完整的氣象信息安全管理體系
綜上所述,在氣象部門建立完整的氣象信息安全管理體系,是非常必要的;就目前全社會所倡導的大數據應用和云計算趨勢而言,這項工作具有較強的緊迫性,應盡早開展相應的工作。歸納起來,有如下幾點:
(一)適時著手建立完整的氣象信息安全管理體系
1. 完成基礎性工作
應盡早明確信息安全的方針,為氣象部門信息安全工作確定目標、范圍、責任、原則、標準、架構和法律法規。
應以適當方式組建或明確氣象信息安全的管理和實施機構,并確保所有相關單位能夠悉數納入其中,明確分工和職責,以便各司其職,彼此協調工作。
應在管理層的統一組織下,以適當的形式,全面完成氣象部門內部的信息資產普查、歸屬認定、安全需求等級劃分以及安全等級保護措施等,制定氣象信息資產管理策略、制度和方法,逐步推廣實施,從而完成氣象信息資產的有效管理。
2. 適時進行信息安全風險評估并制訂風險處置方案
制定風險評估方案、選擇評估方法,以此為依據完成氣象信息安全風險要素識別,發現系統存在的威脅和系統的脆弱性,并確定相應的控制措施。在此基礎上,對所有風險逐一判斷其發生的可能性和影響的范圍及程度,綜合各種分析結果,最終逐一判定這些風險各自的等級。
在風險等級判定的基礎上,以“將風險始終控制在可接受范圍內”為宗旨,制訂有針對性的風險處置方案,包括:可接受風險的甄別和確定,不可接受風險的控制程度,風險處置方式的選擇和控制措施的確定,制訂具體的氣象信息安全方案和綜合控制措施,科學合理地運用“減低風險”、“轉移風險”、“規避風險”和“接受風險”等方法,形成綜合的氣象信息安全風險處置方案,并部署實施。
3. 建立完整的氣象信息安全管理體系
在上述工作以及其它相關工作的基礎上,參照BS 7799-2:2002 《信息安全管理體系規范》、 ISO/ IEC17799:2000《信息技術-信息安全管理實施細則》等國際標準,以及GB/T22080-2008《信息安全管理體系要求》、GB/T20269-2006《信息系統安全管理要求》、GB/T20984-2007《信息安全風險評估規范》等國家標準,完成組織落實、措施落實、方案落實和相應文檔的編寫,以及所有相關的審查、職責界定和制度建設,以構成氣象部門的信息安全管理體系。
(二)將信息安全管理體系納入氣象信息化戰略之中
信息安全與信息化發展息息相關,是一切信息化工作的基礎,涉及到信息化工作的方方面面。氣象部門是以信息采集、分析處理和為工作特征的典型的信息應用部門,氣象業務系統是典型的信息系統,因此信息安全對于氣象部門尤為重要。氣象事業的健康發展離不開信息化,也同樣離不開信息安全。氣象信息安全應當是氣象信息化工作中最為重要的內容之一,氣象信息安全管理體系的構建和持續改進也應當成為未來氣象信息化戰略中極其重要的內容。
信息安全是管理問題而非技術問題,從某種角度看,信息安全管理體系是以策略為核心,以管理為基礎,以技術為手段的安全理念的具體落實。有什么樣的理念,就有什么樣的方針、策略、制度措施和體系架構。無法想象在管理理念和安全意識十分落后的思維環境中,能夠構建起科學完備的信息安全管理體系來。因此,安全管理理念的全面提高和安全意識的充分到位,是氣象信息安全所有工作正常開展的前提。就氣象部門管理層而言,著力消除曾長時間彌漫于全部門信息安全領域的重技術輕管理的觀念,將關注點從研究安全技術和產品應用轉移到信息資產管理、風險識別和控制以及整體安全戰略的制定等管理層面上來,是其不可推卸的責任。應當在全部門倡導信息安全意識、制定并推行信息安全制度、確定信息安全責任、組織信息安全培訓,構建起完整的氣象信息安全管理體系。
六、結語
在政府大力強調信息安全意識,強力推動信息安全工作的背景下,各行各業均把信息安全工作列入本部門或單位的工作議程,氣象部門也是如此。但如何科學有效地構建起具有鮮明氣象特色的信息安全防護體系,充分把控所有已知的安全風險,使有限的投入得到最大限度的安全回報,這是氣象部門管理層和IT工作者需要認真研究并努力實踐的工作。
信息安全首先是意識問題、觀念問題,要想真正打造安全的業務環境,在氣象部門全體員工中(特別是在管理層干部中)樹立良好的安全意識,是至關重要的。
2014年,在深刻領會主席“沒有信息化就沒有現代化”的重要指示精神后,氣象部門提出了“沒有信息化就沒有氣象現代化”的口號。那么,針對提出的“沒有信息安全就沒有國家安全”的另一重要論斷,氣象部門是否也應提出相應的口號――
“沒有信息安全,就沒有氣象業務安全”。
關鍵詞:
校園網安全系統的建設目標是根據學校信息網絡結構和應用模式,針對可能存在的安全漏洞和安全需求,在不同層次上提出安全級別要求,并提出相應的解決方案,制訂相應的安全策略,編制安全規劃,采用合理、先進的技術實施安全工程,加強安全管理,保證系統的安全性。
對于這樣規模龐大、結構復雜、涉及人員眾多的網絡體系需要建立全網安全保障系統,針對不同的業務特征進行合理的安全保障,確保業務系統的安全運行。
我們在設計學校信息安全保障體系的過程中,借鑒IATF的信息安全保障體系模型構建學校信息安全保障體系的技術體系和管理體系,這些體系構成學校所需的安全體系。在技術體系和管理體系中的安全控制和對策的選擇和定制中,采用“最佳實施”方法,通過列舉滿足實際需求和實際應用來構造安全保障體系。
在學校安全保障體系設計過程中,整體性一直是最核心的問題,因此為了保障安全體系具有一定的完整性,避免對安全問題的遺漏,需要在方法論中引入了安全框架模型。
安全保障體系框架示意圖
上圖中,最下層是安全體系要保護的對象,根據信息資產邏輯圖,將保護對象分成計算區域、區域邊界、通信網絡和基礎設施(指PKI/PMI/KMI中心和應急響應中心)等。計算區域部分主要指提供業務的網絡服務,計算區域內部可以根據學校信息化的實際需求進一步細分為子區域,邊界和通信網絡。對不同區域、邊界和通信網絡,其安全需求是不同的。保護對象框架將學校信息系統的安全問題細分為一組結構化的安全需求。
通過將對策框架中的所有安全控制中的策略,組織,技術和運作分別提煉,組成相應的策略體系、組織體系、技術體系和運作體系。每個體系由對策框架組成,對策框架由一組安全控制組成,這些安全控制是根據保護對象中的安全需求設計和選擇出來的。每一條安全控制都包含策略,組織,技術和運作四個要素。
在校園網的信息系統安全等級保護方面,國內尚未制定相關標準,但可以參考公安部制定的《信息系統安全等級保護基本要求》進行設計。基本安全要求分為基本技術要求和基本管理要求兩大類。技術類安全要求與信息系統提供的技術安全機制有關,主要通過在信息系統中部署軟硬件并正確的配置其安全功能來實現;管理類安全要求與信息系統中各種角色參與的活動有關,主要通過控制各種角色的活動,從政策、制度、規范、流程以及記錄等方面做出規定來實現。
基本技術要求從物理安全、網絡安全、主機安全、應用安全和數據安全幾個層面提出;基本管理要求從安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理幾個方面提出,基本技術要求和基本管理要求是確保信息系統安全不可分割的兩個部分。
根據公安部《信息系統等級保護技術要求》中相應技術要求,以滿足物理安全、網絡安全、主機安全、應用安全、數據安全及存備份恢復等幾方面的基本要求為前提。
在基于人、技術及運行的信息安全縱深防御體系中,對人的行為的控制是信息安全保障最主要的方面。下圖所示為信息安全管理體系框架,該體系包括安全方針、安全策略、安全組織、人員安全、物理安全、安全制度與管理辦法、安全標準與規范、安全政策、安全法律法規與標準、安全培訓以及安全規范。
安全管理體系框架圖
安全策略作為建立安全機制必須首要考慮的核心,它對安全措施的具體實踐提供指導和支持。制定一套系統、科學的安全策略是指導學校等級化信息安全保障體系安全建設的重要內容。
建立安全組織機構、完善安全管理制度,建立有效的工作機制,做到事有人管,職責分工明確是有效防范由于內部人員有意無意對系統造成破壞的有效保障措施。
在組織安全方針、安全策略、安全制度與管理方法、安全標準與規范的建設過程中充分體現國家安全政策、安全法律法規與標準是組織充分保障信息系統安全的基礎。國家安全政策、安全法律法規與標準從國家和行業的角度制約信息安全,組織必須遵循國家和相關主管部門關于信息系統安全方面的法律法規、政策和制度。
對內部人員進行有組織的安全培訓、安全教育,規范人員行為、制定相關章程等對保障學校信息系統安全尤為重要。
【關鍵詞】電力企業信息安全管理;組織管理;失誤因素
1 電力企業信息安全管理中組織管理失誤的分析方法
電力企業信息安全管理中的組織管理失誤分析法(英文:Cognitive Relia-bility andErrorAnalysisMethod,即CREAM),是可靠性分析法的典型代表,具有追溯分析功能。通過CREAM的應用,可以將失誤事件的外在表現形式稱為失效模式,并且將引起這些失誤事件的直接原因定義為前因。實踐中,前因可分為具體的前因、一般性前因,CREAM分析法是以失效模式作為出發點。首先,通過分析失效模式的一般前因、具體前因,得到失效模式前因表,在表中選定一個前因作為后果,然后分析引起這一后果的可能前因,最終得到包含這一后果、可能的前因追溯表;再以該可能前因為后果,分析可能的前因,通過連續不斷的尋找,最終找到引起事件失誤的根本原因。
2 在電力電力企業信息組織管理過程中,開展多項管控措施、分三步走
第一步,從思想上加強重視。實踐中,應當認真學習貫徹違規外聯、外網郵箱發送的要求,嚴格按照“業務工作誰主管,保密工作誰負責”以及“統一領導、分級負責”的原則,將信息安全保密職責有效地落實到人,讓每個員工熟悉、掌握保密工作的基本要求和規范。
第二步,深入檢查,全面整改。實踐中,應當嚴格按照檢查內容檢查,一定不能留死角、搞形式。在檢查中發現的問題,要立即糾正,認真整改,對存在嚴重問題的單位要監督整改,并組織復查;發生泄密、違規問題時,一定要嚴肅查處,必要時還要追究責任人的責任。
第三步,嚴格管理,務求實效。要進一步落實保密工作責任制,堅持標本兼治、系統治理,把檢查活動與日常保密工作安排結合起來,邊檢查邊整改,以查促管、以查促改、以查促教、以查促防,確保檢查取得實效。
3 電力企業信息系統安全管理的必要性
電力企業信息系統安全管理,是企業在一定范圍內建立起來的信息安全目標和方針,并通過努力完成目標。對于電力企業信息安全管理而言,可表示為方法、目的、基本原則和實施過程等要素集合,作為直接的信息安全管理結果。2014年8月,某技術質管部專責高某通過電子郵箱將創新成果--《電力設計企業基于桌面云技術的信息》以附件形式經壓縮、更名后在沒有經過加密的情況下,發送到某部門專家評審組;由于附件內容出現“保密”等敏感詞,該郵件被公司外網郵件攔截系統攔截。經現場查實,郵件均不涉商業秘密,但違反了“工作郵件只限于公司內網郵箱發送”規定。由此可見,電力企業信息系統安全管理工作非常重要,也非常有必要。通常情況下,電力企業信息安全管理工作主要包括制定信息安全管理的策略,合理、科學的對電力企業信息安全工作進行組織管理,具有非常重要的作用。電力企業應當提高全體員工的信息安全意識,加強電力電力企業信息內外網安全管理。第一,內、外網電腦都必須安裝三種軟件,即北信源、天以及趨勢殺毒。軟件有內、外網版本之別,而且客戶端也不同;第二,遵守專機、專網之規定,內網電腦不能與外網相連接,外網電腦不能連接內網,家用電腦不能接入內網使用,尤其是來歷不明、使用背景不明的電腦,一律禁止接入內網系統。
4 電力企業信息安全管理中組織管理常見失誤
近年來,隨著市場經濟體制改革的不斷深化,雖然電力企業信息安全管理水平有了很大程度的提升,但電力企業信息安全管理過程中依然存在著一些問題與不足,總結之,主要表現在以下幾個方面:
第一,信息安全措施和技術手段不成熟。對于大多數企業而言,在信息系統建設過程中欠缺完善的安全手段和措施,嚴重影響了安全措施的制定與執行。
第二,電力企業信息安全風險控制不到位。實踐中可以看到,很多企業在信息化規劃與建設過程中,對信息安全的前期分析比較欠缺,將分析對象主要集中在技術層面研究上,很難有效解決企業安全信息系統操作失誤、缺陷與不足等安全問題。
第三,信息安全意識不強,缺乏有效的安全管理機制。對于部分企業領導層而言,對信息安全的重視不夠,對潛在的各種風險和安全隱患問題分析不到位。
5 電力企業信息安全管理體現構建的有效策略
基于以上對當前企業安全管理中的問題分析,筆者認為要想減少和控制電力企業信息安全管理中組織管理失誤現象, 應當根據企業實際生產運營狀況,以IS027001信息安全管理體系標準為基礎,從組織、技術、管理以及運行和監督這等方面入手,對現有的信息安全管理架構進行改進和完善,增加運行、監督環節。
5.1 提高對電力企業信息安全的認知度
針對企業員工對信息安全知識掌握不足的現狀和問題,通過宣傳、教育和培訓等方法,提高企業全體員工對信息安全的認知度。首先,加強信息安全宣傳教育。電力企業信息安全宣傳的目的在于讓全體員工清楚地認識到信息安全管理工作的重要性,了解信息安全管理目標,以此來提高企業員工的信息安全管理意識。
5.2 建立健全信息安全審計機制
內部審計是對電力企業信息安全管理體系建設與實施情況的評價,定期組織審計活動,以此來促進安全管理體系的改進與完善。企業的信息安全政策、規范制度是信息安全管理工作得以有效開展的重要依據,因此審計工作的主要內容是檢驗信息安全標準的符合性、執行情況。在審計過程中,主要包括如下內容,即檢驗是否按照要求制定規章制度、執行細則;檢驗員工對的規章制度執行狀況,對審計結果的整改落實情況進行核查;同時,還要對信息安全控制措施的應用效果進行全面檢查,確保評估的有效性。
5.3 建立和完善信息安全風險管理制度
信息安全風險,即威脅利用系統弱點對相關信息資產造成破壞、損失的可能性,信息系統安全與否,主要取決于其風險是否己在現有措施條件下實現了最小化,而非絕對沒有風險。
