时间:2023-10-10 10:42:35
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇公司信息安全管理体系,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:企业信息化;信息安全管理体系;信息安全保障
1 企业信息安全需求与目标
近年来随着企业信息系统建设的不断发展,企业的信息化安全也面临着前所未有的挑战。作为中国高速列车产业化制造基地和城轨地铁车辆定点制造企业,公司的发展对高速动车行业产生着举足轻重的作用;从企业信息安全现状分析,公司IT部门主管深深意识到,尽管从自身情况来看,在信息安全方面已经做了很多工作,如部署了防火墙、SSL VPN、入侵检测系统、入侵防御系统、防病毒系统、文档加密、终端安全管理系统等。但是安全系统更多的在于防堵来自某个方面的安全威胁,无法产生协同效应,距离国际同行业企业还存在一定的差距。
公司通过可行性研究及论证,决定借助外力,通过知名的咨询公司协助企业发现存在的信息安全不足点,以科研项目方式,通过研究国家安全标准体系及国家对央企和上市企业的信息化安全要求,分析企业目前的现状和国际标准ISO27001之间的差距,继而完善企业信息安全体系的规划与设计,最终建立一套适合企业现状的信息安全标准和管理体系。目标是使公司信息安全从管理到技术均得到全面加强,建立一个有责(职责)、有序(秩序)、有效(效率)的信息安全管理体系,预防信息安全事件的发生,确保更小的业务损失,提供客户满意度,获取更多的管理支持。在行业内树立标杆和示范,提升企业形象,赢取客户信任,增强竞争力。同时,使信息安全体系通过信息安全管理体系通过ISO 27001认证标准。
2 企业信息安全管理体系建设过程
凡事预则立,不预则废。对于信息安全管理建设的工作也先由计划开始。信息安全管理体系建设分为四个阶段:实施安全风险评估、规划体系建设方案、建立信息安全管理体系、体系运行及改进。也符合信息安全管理循环PDCA(Plan-Do-Check-Action)模型及ISO27001要求,即有效地保护企业信息系统的安全,确保信息安全的持续发展。本文结合作者经验,重点论述上述几个方面的内容。
2.1 确立范围
首先是确立项目范围,从机构层次及系统层次两个维度进行范围的划分。从机构层次上,可以考虑内部机构:需要覆盖公司的各个部门,其包括总部、事业部、制造本部、技术本部等;外部机构:则包括公司信息系统相连的外部机构,包括供应商、中间业务合作伙伴、及其他合作伙伴等。
从系统层次上,可按照物理环境:即支撑信息系统的场所、所处的周边环境以及场所内保障计算机系统正常运行的设施。包括机房环境、门禁、监控等;网络系统:构成信息系统网络传输环境的线路介质,设备和软件;服务器平台系统:支撑所有信息系统的服务器、网络设备、客户机及其操作系统、数据库、中间件和Web系统等软件平台系统;应用系统:支撑业务、办公和管理应用的应用系统;数据:整个信息系统中传输以及存储的数据;安全管理:包括安全策略、规章制度、人员组织、开发安全、项目安全管理和系统管理人员在日常运维过程中的安全合规、安全审计等。
2.2 安全风险评估
企业信息安全是指保障企业业务系统不被非法访问、利用和篡改,为企业员工提供安全、可信的服务,保证信息系统的可用性、完整性和保密性。
本次进行的安全评估,主要包括两方面的内容:
2.2.1 企业安全管理类的评估
通过企业的安全控制现状调查、访谈、文档研读和ISO27001的最佳实践比对,以及在行业的经验上进行“差距分析”,检查企业在安全控制层面上存在的弱点,从而为安全措施的选择提供依据。
评估内容包括ISO27001所涵盖的与信息安全管理体系相关的11个方面,包括信息安全策略、安全组织、资产分类与控制、人员安全、物理和环境安全、通信和操作管理、访问控制、系统开发与维护、安全事件管理、业务连续性管理、符合性。
2.2.2 企业安全技术类评估
基于资产安全等级的分类,通过对信息设备进行的安全扫描、安全设备的配置,检查分析现有网络设备、服务器系统、终端、网络安全架构的安全现状和存在的弱点,为安全加固提供依据。
针对企业具有代表性的关键应用进行安全评估。关键应用的评估方式采用渗透测试的方法,在应用评估中将对应用系统的威胁、弱点进行识别,分析其和应用系统的安全目标之间的差距,为后期改造提供依据。
提到安全评估,一定要有方法论。我们以ISO27001为核心,并借鉴国际常用的几种评估模型的优点,同时结合企业自身的特点,建立风险评估模型:
在风险评估模型中,主要包含信息资产、弱点、威胁和风险四个要素。每个要素有各自的属性,信息资产的属性是资产价值,弱点的属性是弱点在现有控制措施的保护下,被威胁利用的可能性以及被威胁利用后对资产带来影响的严重程度,威胁的属性是威胁发生的可能性及其危害的严重程度,风险的属性是风险级别的高低。风险评估采用定性的风险评估方法,通过分级别的方式进行赋值。
2.3 规划体系建设方案
企业信息安全问题根源分布在技术、人员和管理等多个层面,须统一规划并建立企业信息安全体系,并最终落实到管理措施和技术措施,才能确保信息安全。
规划体系建设方案是在风险评估的基础上,对企业中存在的安全风险提出安全建议,增强系统的安全性和抗攻击性。
在未来1-2年内通过信息安全体系制的建立与实施,建立安全组织,技术上进行安全审计、内外网隔离的改造、安全产品的部署,实现以流程为导向的转型。在未来的 3-5 年内,通过完善的信息安全体系和相应的物理环境改造和业务连续性项目的建设,将企业建设成为一个注重管理,预防为主,防治结合的先进型企业。
2.4 企业信息安全体系建设
企业信息安全体系建立在信息安全模型与企业信息化的基础上,建立信息安全管理体系核心可以更好的发挥六方面的能力:即预警(Warn)、保护(Protect)、检测(Detect)、反应(Response)、恢复(Recover)和反击(Counter-attack),体系应该兼顾攘外和安内的功能。
安全体系的建设一是涉及安全管理制度建设完善;二是涉及到信息安全技术。首先,针对安全管理制度涉及的主要内容包括企业信息系统的总体安全方针、安全技术策略和安全管理策略等。安全总体方针涉及安全组织机构、安全管理制度、人员安全管理、安全运行维护等方面的安全制度。安全技术策略涉及信息域的划分、业务应用的安全等级、安全保护思路、说以及进一步的统一管理、系统分级、网络互联、容灾备份、集中监控等方面的要求。
其次,信息安全技术按其所在的信息系统层次可划分为物理安全技术、网络安全技术、系统安全技术、应用安全技术,以及安全基础设施平台;同时按照安全技术所提供的功能又可划分为预防保护类、检测跟踪类和响应恢复类三大类技术。结合主流的安全技术以及未来信息系统发展的要求,规划信息安全技术包括:
2.5 体系运行及改进
信息安全管理体系文件编制完成以后,由公司企划部门组织按照文件的控制要求进行审核。结合公司实际,在体系文件编制阶段,将该标准与公司的现有其他体系,如质量、环境保护等体系文件,改归并的归并。该修订审核的再继续修订审核。最终历经几个月的努力,批准并实施了信息安全管理系统的文档。至此,信息安全管理体系将进入运行阶段。
有人说,信息系统的成功靠的是“三分技术,七分管理,十二分执行”。“执行”是要需要在实践中去体会、总结与提高。对于信息系统安全管理体系建设更是如此!在此期间,以IT部门牵头,加强宣传力度,组织了若干次不同层面的宣导培训,充分发挥体系本身的各项功能,及时发现存在的问题,找出问题根源,采取纠正措施,并按照更改控制程序要求对体系予以更改,以达到进一步完善信息安全管理体系的目的。
3 总结
总结项目,建立健全的信息安全管理制度是进行安全管理的基础。当然,体系建设过程中还存在不足,如岗位原有职责与现有安全职责的界定,员工的认知及接受程度还有待提高,体系在各部门领导重视程度、执行力度、审核效果存在差距等等。最终,在公司各部门的共同努力下,体系经历了来自国际知名品牌认证公司DNV及中国认可委(CNAS)的双重检验,并通过严格的体系审核。确认了公司在信息安全管理体系达到国内和国际信息安全管理标准,提升公司信息安全管理的水平,从而为企业向国际化发展与合作提供有力支撑。
[参考文献]
[1]沈昌祥.《信息系统安全导论》.电子工业出版社,2003.7.
关键词:信息安全管理;ISO/IEC 27001;PDCA;资产识别;风险评估
中图分类号:TP393 文献标识码:A 文章编号:1009-2374(2011)30-0034-02
一、项目背景
电力工业是国民经济的支柱产业,电力工业的安全问题直接关系到各行各业的发展和人民的生活水平,关系到国家安全和社会稳定。当前流行的信息技术的广泛应用大大改变了电力企业传统的经营管理模式和手段,支撑着电力生产、营销和管理的全过程。如何有效保障信息安全,从而保证整个电力企业的生产安全,成为电力行业目前积极探索的新课题。
在这个大环境下,玉溪供电局作为云南电网的改革试点单位,大力进行改革创新,引入国际信息安全管理标准ISO/IEC 27001,建立了完整的信息安全管理体系,有效的保证了信息安全,取得了很好的收效。
二、ISO/IEC 27001简介
ISO/IEC 27001是有关信息安全管理的国际标准。最初源于英国标准BS7799,经过十年的不断改版,终于在2005年被国际标准化组织(ISO)转化为正式的国际标准,于2005年10月15日为ISO/IEC 27001:2005。该标准可用于组织的信息安全管理体系的建立和实施,保障组织的信息安全。标准的要求主要包括11个安全控制域、39个安全控制目标和133项安全控制措施。标准采用PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的安全管理。其正式名称为:《ISO/IEC 27001:2005 信息技术―安全技术―信息安全管理体系―要求》。
三、项目实施方法论
玉溪供电局在整个信息安全体系建设过程中,根据安全风险是相对的和动态的基本概念,遵循P(Plan 计划)-D(Do 实施)-C(Check 检查)-A(Act 持续改进)的方法论,见下图:
四、项目实施中若干重要环节
标准中只是提出了一些原则性的建议和要求,但是如何按照这些要求建立一套符合局实际情况,能够顺利推行和实施的信息安全管理体系是非常具有挑战性的。局项目组成员与上海天帷公司的同事一起积极探索,紧密结合局信息安全建设的现状和要求,认为资产识别、风险评估、文件编制、运行实施、审核等是整个过程的重要环节。
(一)资产识别
资产识别是信息安全管理工作的重要步骤和基础,信息安全就是要保证信息和资产的安全。所谓资产识别就是要识别ISMS管理范围内的信息资产以及这些资产的所有者,形成资产清单。玉溪供电局在资产识别中把资产分为5类:文档和数据、软件和系统、硬件和设施、人力资源、其他等。
(二)风险评估
风险评估是信息安全工作的一个重要步骤,通过风险评估,找到组织在信息安全方面的差距,才能有针对性的制定相应的策略和改进措施。
通过风险评估,形成《风险评估表》、《风险评估报告》、《风险处置计划》等。为了保证风险评估结果的客观性和可操作性,建立了一个定量的风险评估方法论。
风险值=威胁发生可能性×影响程度等级×现有控制措施有效性赋值。通过制定风险等级划分标准来确定风险等级。将等级划分为五级,等级越高,风险越高。
对于不可接受风险的确定和处理要慎重,不要一味的将所有的风险都归为不可接受风险,要时刻牢记风险的处理是要付出成本的,所以需要综合考虑风险控制成本与风险造成的影响来制定风险的可接受准则。风险的处置有4种方式:规避风险、降低风险、转移风险、接受风险。对于不可接受风险应根据选择的风险处理方式控制残余风险。
(三)文件编制
为了响应云南电网公司的一体化管理制度,在信息安全建设中将针对信息安全标准ISO/IEC 27001要求的文件进行统一整理,对原有《信息安全管理办法》的修编。形成了新版的《信息安全管理办法》,覆盖了27001的11个安全领域的要求。
另外,为了使新版的《信息安全管理办法》能够更好的落地执行,在信息安全体系建设过程中,制定了60多个操作性很强的记录表格表单,以辅助各部门能够更好的执行信息安全体系的要求,比如:《机房巡检记录表》、《防范病毒管理表》、《重要应用系统权限评审表》等。
(四)运行实施
我局在信息安全体系运行实施的过程中采取了多种措施来促进体系的落地工作,比如进行信息安全意识和知识培训,张贴宣传海报,在电梯口液晶电视和LED大屏上播放信息安全宣传视频,进行模拟审核和安全工作检查等,真正做到了全员参与。
同时我局还建立了畅通的意见反馈机制,任何人对当前的信息安全体系有意见和建议,都可以通过局OA系统提交。信息运营中心会对所有提交的建议进行整理和归纳,以发现改进的机会,真正实现了PDCA循环,使局的信息安全管理工作持续改进和螺旋式上升。
五、项目实施经验和注意事项
玉溪供电局按照ISO/IEC 27001的要求建立了符合本局实际情况的信息安全管理体系,经历了资产识别、风险评估、体系建设和实施、内审和审核,最后取得了认证证书。在这个过程当中,总结了一些实施的经验和注意事项。
(一)领导重视
信息安全管理工作是一项牵扯到局各部门的工作,需要投入相应的人力、物力和财力,所以必须有局领导的大力支持,才能顺利的进行和更好的实施。
(二)全员参与
安全不是某一个部门或者某一个人的事情,而是关乎全局所有部门。需要各个部门的共同努力和协调一致的工作,才能保证真正意义上的信息安全,任何一个部门出了问题都将对局信息安全构成威胁。
(三)持续改进
信息安全工作不是一朝一夕的事情,需要持续改进和不断完善。而且风险也是动态的,为了保证信息安全和控制风险始终在可接受的范围内,信息安全工作应当是一件长期的工作。
(四)平衡原则
安全只是相对的,没有绝对的安全,而且任何降低风险的措施都是需要一定的投资,可能是金钱的,也可能是人力资源的。所以一定要平衡投资和风险降低之间的关系,不要一味的为了降低风险而作一些不适当的投入。
六、结语
玉溪供电局通过ISO 27001的认证并获得证书,不仅是对前期信息安全体系建设工作的充分肯定,而且对后续信息安全管理体系运行工作提出了新的更高的要求和目标。局信息运营中心要在局领导的正确领导和大力支持下,在以后局信息安全工作中,对现有体系进行持续改进,使本体系更加符合玉溪供电局的实际情况,为玉溪供电局的信息安全工作保驾
护航。
参考文献
[关键词] ISMS; PDCA; 风险评估; 资产识别; 信息; 安全; 建立; 体系
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 01. 038
[中图分类号] F270.7; TP309 [文献标识码] A [文章编号] 1673 - 0194(2014)01- 0074- 03
1 信息安全体系的重要性
随着信息技术不断发展,信息系统已经成为一种不可缺少的信息交换工具,企业对于信息资源的依赖程度也越来越大。然而,由于计算机网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性等特点,再加上本身存在技术弱点和人为的疏忽,导致信息系统容易受到计算机病毒、黑客或恶意软件的入侵,致使信息被破坏或窃取,使得信息系统比传统的实物资产显得更加脆弱。在这种大环境下,企业必须加强信息安全管理能力。但企业不单面临着信息安全方面问题,同时还面临经营合规方面的问题、系统可用性问题以及业务可持续问题等越来越多的问题。因此,要求我们探索建立一套完善的体系,来有效地保障信息系统的全面安全。
2 信息安全体系建设理论依据
信息安全管理体系(Information Security Management System, ISMS)是企业整体管理体系的一个部分,是企业在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。基于对业务风险的认识,ISMS包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动,并且表现为组织结构、策略方针、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。
在建设信息安全管理体系的方法上,ISO 27001标准为我们提供了指导性建议,即基于PDCA 的持续改进的管理模式。PDCA是一种通用的管理模式,适用于任何管理活动,体现了一种持续改进、维持平衡的思想,但具体到ISMS建立及认证项目上,就显得不够明确和细致,组织必须还要有一套切实可行的方法论,以符合项目过程实施的要求。在这方面,ISMS 实施及认证项目可以借鉴很多成熟的管理体系实施方法,比如IS0 9001,ISO/IEC 2700l, ISO/TS 16949 等,大致上说,这些管理体系都遵循所谓的PROC过程方法。
PROC 过程模型 (Preparation-Realization-Operation-Certification)是对PDCA 管理模式的一种细化,它更富有针对性和实效性,并且更贴近认证审核自身的特点。PROC模型如图1所示。
3 信息安全体系建设过程
根据以往经验,整个信息安全管理体系建设项目可划分成5个阶段,如果每项内容的活动都能很好地完成,最终就能建立起有效的ISMS,实现信息安全建设总体目标,最终通过ISO/IEC 27001认证。
调研阶段: 对业务范围内所有制度包括内部的管理规定或内控相关规定,对公司目前的管理状况进行系统、全面的了解和分析。通过技术人员人工检查和软件检测等方式对组织内部分关键网络、服务器等设备进行抽样漏洞扫描,并形成《漏洞扫描风险评估报告》。
资产识别与风险评估阶段: 针对组织内部人员的实际情况,进行信息安全基础知识的普及和培训工作,让每位员工对信息安全体系建设活动有充分的理解和认识。对内部所有相关信息安全资产进行全面梳理,并且按照ISO/IEC 27001相关的信息资产识别和风险评估的要求,完成《信息资产清单》、《信息资产风险评估表》和《风险评估报告》。
设计策划阶段:通过分组现场讨论、领导访谈等多种方式对各业务部门涉及的信息安全相关内容进行细致研究和讨论。针对现有信息安全问题和潜在信息安全风险建立有效的防范和检查机制,并且形成有持续改进功能的信息安全监督审核管理制度,最终形成严格遵守ISO/IEC 27001认证审核标准的、符合组织业务发展需要的《信息安全管理体系文件》。体系对文件控制、记录控制、内部审核管理、管理评审、纠正预防措施控制、信息安全交流管理、信息资产管理、人力资源安全管理、物理环境安全、通信与操作管理(包括:笔记本电脑管理、变更管理、补丁管理、第三方服务管理、防范病毒及恶意软件管理、机房管理规定、介质管理规定、软件管理规定、数据备份管理、系统监控管理规定、电子邮件管理规定、设备管理规定)、访问控制、信息系统获取开发和维护、信息安全事件管理、业务持续性控制、符合性相关程序进行全面界定和要求。
实施阶段:项目小组要组织相关资源,依据风险评估结果选择控制措施,为实施有效的风险处理做好计划,管理者需要正式ISMS 体系并要求开始实施,通过普遍的培训活动来推广执行。 ISMS 建立起来(体系文件正式实施) 之后,要通过一定时间的试运行来检验其有效性和稳定性。在此阶段,应该培训专门人员,建立起内部审查机制,通过内部审计、管理评审和模拟认证,来检查己建立的ISMS是否符合ISO/IEC 27001标准以及企业规范的要求。
认证阶段:经过一定时间运行,ISMS 达到一个稳定的状态,各项文档和记录已经建立完备,此时,可以提请进行认证。
4 信息安全体系建立的意义
通过建立信息安全管理体系,我们对信息安全事件及风险有了较为清楚的认识,同时掌握了一些规避和处理信息安全风险的方法,更重要的是我们重新梳理了组织内信息安全体系范围,明确了信息安全系统中人员相关职责,对维护范围内的各信息系统进行了全面的风险评估,并且通过风险评估涉及的内容确定了具体的控制目标和控制方式,引入了持续改进的戴明环管理思想,保证了体系运转的有效性。具体效果如下:
(1) 制定了信息安全方针和多层次的安全策略,为各项信息安全管理活动提供指引和支持。
(2) 通过信息风险评估挖掘了组织真实的信息安全需求。
加强了人员安全意识,建立了以预防为主的信息安全理念。
(3) 根据信息安全发展趋势,建立了动态管理和持续改进的思想。
5 决定体系建立的重要因素
5.1 加强人员安全意识是推动体系实施的重要保障
信息安全体系在一个企业的成功建立并运行,需要整个企业从上到下的全体成员都有安全意识,并具备信息安全体系相关理论基础,才能保障信息安全体系各项活动内容顺利开展。为保证信息安全体系相关任务的执行人员能够尽职尽责,组织要确定体系内人员的职责;给予相关人员适当的培训,必要时,需要为特定任务招聘有经验的人员;评估培训效果。组织必须确保相关人员能够意识到其所进行的信息安全活动的重要性,并且清楚各自在实现ISMS 目标过程中参与的方式。
ISMS 培训工作应该分层次、分阶段、循序渐进地进行。借助培训,组织一方面可以向一般员工宣贯安全策略、提升其安全意识;另一方面,也可以向特定人员传递专业技能(例如风险评估方法、策略制定方法、安全操作技术等)。此外,面向管理人员的培训,能够提升组织整体的信息安全管理水平。通常来讲,组织应该考虑实施的培训内容包括:
(1) 信息安全意识培训。在ISMS实施伊始或最终运行阶段,组织可以为所有人员提供信息安全意识培训,目的在于让所有与ISMS 相关的人员都了解信息安全管理基本要领,理解信息安全策略,知道信息安全问题所在,掌握应对和解决问题的方法和途径。
(2) 信息安全管理基础培训。在ISMS准备阶段,组织可以向ISMS项目实施相关人员 (例如风险评估小组人员、各部门代表等)提供1SO/IEC 27001基础培训,通过短期学习,帮助大家掌握ISO/IEC 27001标准的精髓,理解自身角色和责任,从而在ISMS项目实施过程中起到应有的作用。
(3) ISMS实施培训。组织可以向ISMS项目的核心人员提供ISMS实施方法的培训,包括风险评估方法、策略制定方法等,目的在于协作配合,共同推动ISMS项目有序且顺利地进行。
(4) 信息安全综合技能培训。为了让ISMS能够长期稳定地运行下去,组织可以为相关人员提供信息安全操作技能的培训,目的在于提高其运营ISMS的技术能力,掌握处理问题的思路和方法。
5.2 建立符合企业需求的ISMS,保障体系顺利落地
(1) 根据业务需求明确ISMS范围。范围的界定要从组织的业务出发,通过分析业务流程(尤其是核心业务),找到与此相关的人员、部门和职能,然后确定业务流程所依赖的信息系统和场所环境,最终从逻辑上和物理上对ISMS 的范围予以明确。需要注意的是,组织确定的ISMS 范围,必须是适合内外部客户所需的,且包含了与所有对信息安全具有影响的合作伙伴、供货商和客户的接触关系。为此,组织应该通过合同、服务水平协议 (SLA)、谅解备忘录等方式来说明其在与合作伙伴、供货商以及客户接触时实施了信息安全管理。
(2) 利用客观风险评估工具。风险评估应尽可能采用客观的风险评估工具,保证评估的准确、翔实。有效利用各种工具,可以帮助评估者更准确更全面地采集和分析数据,提升工作的自动化水平,并且最大程度上减少人为失误。当然,风险评估工具并不局限于完全技术性的产品,事实上很多评估工具都是评估者经验积累的成果,如调查问卷、扫描工具、风险评估软件等。
(3) 构建合理的ISMS文件体系。文件首先应该符合业务运作和安全控制的实际情况,应该具有可操作性;不同层次的文件之间应该保持紧密关系并且协调一致,不能存在相互矛盾的地方;编写ISMS文件时,除了依据标准和相关法律法规之外,组织还应该充分考虑现行的策略、程序、制度和规范,有所继承,有所修正。
6 结 论
企业的生存和发展,有赖于企业各项业务、管理活动的健康有序的进行,而信息化是企业一切业务、管理活动所依赖的基础。信息系统是否能够稳定、可靠、有效运作,直接关系到企业各项业务活动是否能够持续。因此,我们要对信息系统的保密性、完整性、可控性、可用性等提出全面具体的要求,建立持续改进的信息安全体系运行机制。在信息安全体系的全面应用过程中,必须重点关注以下重要事项:安全策略、目标和活动应该反映业务目标;实施信息安全的方法应该与组织的文化保持一致;来自高级管理层的明确的支持和承诺;向所有管理者和员工有效地推广安全意识;提供适当的培训和教育。
主要参考文献
[1] 王斌君. 信息安全管理体系[M]. 北京:高等教育出版社,2008.
1、河南省济源市电子政务平台
河南省济源市电子政务平台建设中最大的特点就是完全基于互联网。互联网是信息化的重要基础设施,积极利用互联网进行电子政务建设,同时高度重视信息安全问题,是加快信息化发展,推进电子政务的必然要求,也是信息技术发展的趋势。河南省济源市积极开展互联网上电子政务的信息安全保障试点建设工作,按照“保安全、促应用”的思路,根据信息安全等级保护的要求,结合先进的安全技术和管理措施,构建了基于互联网的电子政务信息安全保障平台,有效地推动了电子政务建设,并大大地缩减了成本,网络建设费用仅为182.5万元。与原来拟采用“专网”的建设费用相比,仅网络投资一项就节约了662万元,节约比例达到47.4%。
获奖理由:没拉一条专线,没建一个专网,完全基于互联网,这样的电子政务平台,安全问题就成为了重中之重。天融信为其提供的、基于互联网的新型电子政务之安全保障体系,通过对商用密码、VPN等信息安全技术的综合利用,使其实现了全市120个党政部门和全部乡镇(办)的互联互通,建成了低成本、可扩展的电子政务网络平台。
2、山西移动按SOA框架构建电信BSS/OSS体系架构
山西移动通过SOA项目的实施,使得业务流程得到了简化与优化,并构建了新的业务平台。新的业务平台提供了统一的信息应用模式,使得各个层次的业务人员都能获取客户完整、统一的信息,从而让业务人员能加强与客户的互动。同时,山西移动还建成了流程清晰、响应及时的投诉服务体系,基于改良后的体系能为客户提供优质的服务。
获奖理由:通过SOA技术,山西移动用于投诉服务的核心流程被大量地精减,而且可以通过企业的服务总线来随意调用这些服务,并让业务流程能根据业务需求的变化自由重组,从而将以前几天才能解决的投诉问题在5分钟之内就能得到解决。
3、河南省国家税务局信息系统安全管理与监控平台
随着用户业务集中模式的完成,对基础设施的安全性、可靠性、稳定性、高效性和可信性都提出了更高的要求,河南省国家税务局所采用的SecFox安管系统就来源于用户对信息系统安全管控平台的强烈需求。
获奖理由: 网御神州SecFox安管平台在河南国税运转非常良好,通过安管平台的使用,极大地提高了用户运维管理的水平,将用户从24小时三班倒的工作方式变为了阶段性巡查、接收告警短信、及时排查故障的常规流程。并且,在最近一段时间的用户反馈中,得到了用户的好评。
4、信息安全风险评估广东省地税局南海数据处理中心试点
广东省地税局南海信息处理中心在信息安全风险评估试点中的主要业务应用是,内网的税收征管业务与外网的上网业务以及相应的安全管理体系。另外,广东省地税局南海信息处理中心信息系统是税务系统信息网的重要组成部分,也是广东省全省税收业务统一共享的信息处理平台。
获奖理由:通过试点工作,在理论和实践上积累了开展税务系统信息安全风险评估工作的经验,为研究税务系统风险评估工作的有关方法、流程和相关标准规范提供了依据。同时,分析了信息系统所面临的威胁及存在的脆弱性,并针对这些风险提出了有针对性的抵御威胁的防护对策和措施,为保障系统的信息安全提供了科学的指导。
5、北京海淀区信息安全管理体系
北京海淀信息办在国信办的统一要求和指导下,与技术支撑单位北京数字证书认证中心一起,结合已经实施的ISO9000、等级保护、风险评估等工作,很好地完成了信息安全管理标准应用试点工作。
获奖理由:通过验证国际上通用的信息安全管理标准(ISO/IEC 27001:2005《信息安全管理体系要求》和ISO/IEC 17799:2005《信息安全管理实用规则》),了解和掌握了构建信息安全管理体系的程序、步骤和方法,并探索了信息安全管理体系建设与风险评估、等级保护等信息安全保障工作之间的关系,为将来标准的出台做出很大的贡献,试点获得了国信办的高度肯定。
6、深圳证券交易所信息安全管理体系
深圳证券交易所在国信办的统一要求和指导下,在中国证监会的支持下,结合已经实施或正在实施的ITMS、BCP、CMMI等工作,很好地完成了信息安全管理标准应用试点工作。
获奖理由:通过验证国际上通用的信息安全管理标准(ISO/IEC 27001:2005《信息安全管理体系要求》和ISO/IEC 17799:2005《信息安全管理实用规则》),了解和掌握了构建信息安全管理体系的程序、步骤和方法,并探索了信息安全管理体系建设与风险评估、等级保护等信息安全保障工作之间的关系,为将来标准的出台做出很大的贡献,试点获得了国信办的高度肯定。
7、卫生部突发公共卫生事件应急
指挥与决策系统
作为全国第一个跨地域部级应急决策方案,该系统是卫生部信息化规划与建设的重要组成部分,涵盖了基础环境、技术环境、网络与数据平台、应用软件系统等内容。系统投入运行后,在突发事件监测、预警的基础上,可以完成对事件处理全过程的跟踪和处理,满足了突发事件相关数据采集、危机判定、决策分析、命令部署、实时沟通、联动指挥、现场支持等各项要求。
获奖理由:太极 SOA技术在项目中的成功应用,极大地提高了卫生部应对突发公共卫生事件的应急处置能力。根据系统平战结合的设计理念,在“平时”运用该系统进行值班、预警、预案管理等日常业务的处置与管理;一旦发生突发公共卫生事件,将使用应急指挥系统提供的决策与指挥支持功能,进行事态分析、资源调配、人员派遣等,从而实现了对突发公共卫生事件进行准确而迅速的处置。
8、基于流媒体技术的大型企业
直播系统
国家电网公司网络直播NV-2005系统的研制与应用,弥补了传统信息传递方式的缺陷,在提高效率和效益的同时节约了成本,并使得各基层单位能在第一时间接收到总部的有关精神,真正做到了零延时,还有效地加强了公司的集约化管理。
获奖理由:基于流媒体技术的大型企业直播系统,作为常态化的网络应用,进一步地发挥了流媒体技术和信息化在电力系统中的重要作用,同时也为生产一线带来了更大的经济利益和社会效益。
9、GE服务器整合系统
GE医疗是国内最早使用VMware Infrastructure 3的用户之一,通过使用VMware VMotion、VMware HA等高级功能,来运行Windows 2000/2003和Redhat AS/ES操作系统,从而实现了服务器和基础设施的整合。
获奖理由:GE服务器整合系统的运行,提高了CPU的利用率、降低了管理成本、加速了新服务的部署效率,同时降低了系统的停机时间,并成为GE医疗基础架构的重要支撑。
10、异构协同交通办公自动化系统
【关键词】等级保护;虚拟专网;VPN
1.引言
随着因特网技术应用的普及,以及政府、企业和各部门及其分支结构网络建设和安全互联互通需求的不断增长,VPN技术为企业提供了一种低成本的组网方式。同时,我国现行的“计算机安全等级保护”也为企业在建设信息系统时提供了安全整体设计思路和标准。如何充分利用VPN技术和相关产品,为企业提供符合安全等级保护要求、性价比高的网络安全总体解决方案,是当前企业信息系统设计中面临的挑战。
2.信息安全管理体系发展轨迹
对于信息安全管理问题,在上世纪90年代初引起世界主要发达国家的注意,并投入大量的资金和人力进行分析和研究。英国分别于1995年和1998年出版BS7799标准的第一部分《信息安全管理实施细则》和第二部分《信息安全管理体系规范》,规定信息安全管理体系与控制要求和实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准,是一个全面信息安全管理体系评估的基础和正式认证方案的根据。国际标准化组织(ISO)联合国际电工委员会(IEC)分别于2000年和2005年将BS7799标准转换为ISO/IEC 17799《信息安全管理体系 实施细则》和ISO/IEC 27001《信息安全管理体系 要求》,并向全世界推广。中国国家标准化管理委员会(SAC)于1999年了GB/T 17859《计算机信息系统安全保护等级划分准则》标准,把信息安全管理划分为五个等级,分别针对不同组织性质和对社会、国家危害程度大小进行了不同等级的划分,并提出了监管方法。2008年制订并下发了与ISO/IEC 17799和ISO/IEC 27001相对应的GBT 22081-2008《信息安全管理体系 实用规则》和GBT 22080-2008《信息安全管理体系 要求》。
3.信息系统安全的等级
为加快推进信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,国家公安部、保密局、密码管理局和国务院信息化工作办公室等,于2007年联合了《信息安全等级保护管理办法》,就全国机构/企业的信息安全保护问题,进行了行政法规方面的规范,并组织和开展对全国重要信息系统安全等级保护定级工作。同时,制订了《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评准则》和《信息系统安全等级保护定级指南》等相应技术规范(国家标准审批稿),来指导国内机构/企业进行信息安全保护。
在《信息系统安全等级保护基本要求》中,要求从网络安全、主机安全、应用安全、数据安全及备份恢复、系统运维管理、安全管理机构等几方面,按照身份鉴别、访问控制、介质管理、密码管理、通信和数据的完整、保密性以及数据备份与恢复等具体要求,对信息流进行不同等级的划分,从而达到有效保护的目的。信息系统的安全保护等级分为五级:第一级为自主保护级,第二级指导保护级,第三级为监督保护级,第四级为强制保护级,第五级为专控保护级。
针对政府、企业常用的三级安全保护设计中,主要是以三级安全的密码技术、系统安全技术及通信网络安全技术为基础的具有三级安全的信息安全机制和服务支持下,实现三级安全计算环境、三级安全通信网络、三级安全区域边界防护和三级安全管理中心的设计。
图1 三级系统安全保护示意图
图2 VPN产品部署示意图
4.VPN技术及其发展趋势
VPN即虚拟专用网,是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。通常,VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
VPN使用三个方面的技术保证了通信的安全性:隧道协议、身份验证和数据加密。VPN通道的加密方式成为主要的技术要求,目前VPN技术主要包括IPSec VPN,非IPSec VPN(如PPTP,L2TP等),基于WEB的SSL VPN等。
IPSec VPN是基于IPSec协议的VPN产品,由IPSec协议提供隧道安全保障,协议包括AH、ESP、ISAKMP等协议。其通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。通过采用加密封装技术,对所有网络层上的数据进行加密透明保护。IPSec协议最适合于LAN到LAN之间的虚拟专用网构建。
SSL VPN是基于SSL协议的VPN产品。在企业中心部署SSL VPN设备,无需安装客户端软件,授权用户能够从任何标准的WEB浏览器和互联网安全地连接到企业网络资源。SSL VPN产品最适合于远程单机用户与中心之间的虚拟网构建。
整个VPN通信过程可以简化为以下4个步骤:
(1)客户机向VPN服务器发出连接请求。
(2)VPN服务器响应请求并向客户机发出身份认证的请求,客户机与VPN服务器通过信息的交换确认对方的身份,这种身份确认是双向的。
(3)VPN服务器与客户机在确认身份的前提下开始协商安全隧道以及相应的安全参数,形成安全隧道。
(4)最后VPN服务器将在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密,然后通过VPN隧道技术进行封装、加密、传输到目的内部网络。
目前国外公开的相关VPN产品多数采用软件加密的方式,加解密算法也多使用通用的3DES、RSA加解密算法,不符合国家密码产品管理和应用的要求。《商用密码管理条例》(中华人民共和国国务院第273号令,1999年10月7日)第四章第十四条规定:任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品,不得使用自行研制的或者境外生产的密码产品。国家密码管理局在2009年针对VPN产品下发了《IPSec VPN技术规范》和《SSL VPN技术规范》,明确要求了VPN产品的技术体系和算法要求。
5.VPN技术在等级保护中的应用
在三级防护四大方面的设计要求中,VPN技术可以说是在四大方面的设计要求中都有广泛的应用:
在安全计算环境的设计要求中:首先在实现身份鉴别方面,在用户访问的中心,系统管理员都统一建立的有用户的用户组和用户名,用户会通过VPN的设备登录访问中心的应用系统,当身份得到鉴别通过时才可访问应用系统;其次在数据的完整性保护和保密性保护上都能够防止用户的数据在传输过程中被恶意篡改和盗取。
在安全区域边界的设计要求中:网络边界子系统的边界控制与VPN功能一体化实现,在保证传输安全性的同时提高网络数据包处理效率。
在安全通信网络的设计要求中:网络安全通信的子系统主要是为跨区域边界的通信双方建立安全的通道,通过IPSEC协议建立安全的VPN隧道传输数据。完成整个应用系统中边界或部门服务器边界的安全防护,为内部网络与外部网络的间的信息的安全传输提供加密、身份鉴别及访问控制等安全机制。在客户端和应用服务器进出的总路由前添加网络VPN网关,通过IPSEC协议或者SSL协议建立VPN隧道为进出的数据提供加密传输,实现应用数据的加密通信。
在安全管理中心的设计要求中:系统管理中,VPN技术在主机资源和用户管理能够实现很好的保护,对用户登录、外设接口、网络通信、文件操作及进程服务等方面进行监视机制,确保重要信息安全可控,满足对主机的安全监管需要。
在信息系统安全等级保护设计中VPN产品的部署示意图如图2所示。
铁路信息安全建设和运行必须结合铁路信息化实际情况,从管理和技术两个层面综合保证铁路信息系统的运行操作安全,保障铁路信息系统及其安全基础设施的运行安全,并最终保障铁路运输业务及运输服务的安全。铁路信息安全保障体系结构见图1。管理和技术是铁路信息安全保障体系的两个要素,是保证铁路信息系统及其所支撑的铁路运输业务和服务安全建设和运行的必要条件。在这两个安全要素中,管理是核心,是基础,它影响和决定技术的选择以及技术标准规范;反过来,技术也会影响到信息安全管理方式和管理制度的具体形式,降低管理成本。在安全管理层面中,国家和铁路行业的信息安全方针政策法规是铁路信息安全建设和安全运维的管理基础;铁路信息安全管理制度是信息安全方针政策法规在铁路信息安全日常工作中的具体要求体现;铁路信息安全组织保障是落实铁路信息安全方针政策法规、执行铁路信息安全管理制度的岗位职责基础和人员保障;信息安全意识培养、培训和教育是铁路信息安全方针政策法规和铁路信息安全管理制度得以高效、准确地落实和执行的保证。管理安全保证不仅通过方针政策法规、组织保障、管理制度、意识培养培训教育等形式直接对铁路业务提供安全支持和保障外,还通过对信息安全技术的影响间接地保护铁路业务安全。铁路信息安全方针政策法规和管理制度等因素是制定铁路信息安全技术标准和规范的重要基础,同时,它们也会对信息安全方案的设计、产品选择和采购方式产生不同程度的影响。在安全管理控制下,只有具备安全资质的业务人员才可以在已经获得认证认可的技术手段支持下,执行规定的操作流程;铁路信息系统操作流程安全包括铁路信息系统的建设、运维和灾备恢复等活动的流程和操作安全,它旨在保证铁路信息系统及其安全基础设施在安全生命周期中各主要阶段的过程安全。铁路信息系统由铁路外部服务网、内部服务网、安全生产网以及若干生产专网组成,铁路的各种应用业务都直接运行在这些系统之上,为了更好地支撑这些业务系统的安全运行,支持铁路统一的安全管理,在铁路信息系统中还包括灾备中心、数字证书系统、集中管理及认证授权中心等安全基础设施系统或安全平台,这些安全基础设施及其所服务的铁路应用业务系统的运行安全是铁路运输业务及服务正常安全运行的环境保障。
2安全保障体系要素
在铁路信息系统中,无论是系统的建设、运行、灾难恢复、事件处置等活动,还是其支撑的运输业务和服务等系统目标,都离不开管理和技术两个安全要素的综合保证,其中管理是核心,在安全管理措施的控制下,只有具备安全资质的业务人员才可以在已经获得认证认可的技术手段支持下,执行规定的操作流程。
2.1铁路信息安全管理体系
铁路信息安全管理体系必须以国家信息安全相关法规、政策和标准以及铁路相关法规政策为基础和依据。按照GB/T22239—2008《信息安全技术信息系统安全等级保护基本要求》、GB/T22080—2008《信息技术安全技术信息安全管理体系要求》和GB/T22081—2008《信息技术安全技术信息安全管理实用规则》等国家标准和指南,结合我国铁路实际情况,将铁路信息安全管理体系划分为11个安全控制类别,其中包括信息安全政策、信息安全组织、资产业务、信息安全环境、设备使用、通信网络、配置授权、安全事件处置、安全运维、安全合规和灾备恢复等管理内容;在11个安全控制类别的基础上,建立铁路信息安全管理制度框架,如铁路信息资产管理制度、互联网访问管理制度、人员安全培训制度、机房管理制度、产品准入制度、系统运维制度、安全事件处理流程规定、介质管理制度、电子邮件使用管理规定、铁路软件开发管理流程规定等(见图2)。
2.2铁路信息安全技术框架
铁路信息安全技术框架是铁路信息安全保障体系的重要组成内容,主要包括安全管理、身份管理、授权管理、灾备管理、监控审计、可信保证等技术机制(见图3)。管理安全是统领铁路信息安全保障的纲领,纲举才能目张,构建一个全路信息系统可视化管理平台,以便对网络、计算机设备、应用系统部署、操作用户及角色、运维状态等关键信息进行全局的监控,提高对系统中安全问题及其隐患的发现、分析和防范能力。由全路统一身份管理平台、授权管理机制和责任认定构成的铁路网络信任管理体系是保障铁路信息安全可信和安全的前提。全路灾难备份和恢复策略管理是铁路信息系统可信、安全和业务可持续性的后盾。以密码技术为基础的可信计算技术为软硬件资源的安全和隔离提供了结构化保证,为计算环境的可信可靠(完整性)提供了有效的判别手段,为关键数据提供了可信安全存储,为分布式计算的安全机制一致性和网络接入控制提供了远程可信证明方法。可信计算技术是构建铁路信息安全保障体系的基础支撑。
2.3铁路信息安全的组织保证
铁路信息系统安全应该在组织上加以保证。在具体组织形式上应该由中国铁路总公司(简称总公司)主管领导和部门具体负责铁路信息安全的领导和组织工作,由相关专业职能部门分工协作,在铁路信息化的整体工作布局中设置专门机构和岗位、明确相关职责、配备信息安全专业技术和管理人员,确保信息安全管理制度的有效落实和信息安全技术机制的可操作性。铁路信息安全组织保证框架见图4。总公司信息安全主管部门应该包括以下职能机构:法规政策标准管理机构负责制定铁路信息安全相关法规、政策、标准和规范,并负责铁路业务应用密码的管理工作;安全建设运维管理机构根据铁路信息安全相关法规、政策、标准和规范,参与铁路信息系统及其安全基础设施的设计、开发和运维审核和监管工作;信息安全风险管理机构负责对进入铁路信息系统的相关产品进行测评认证,对运行系统进行安全监控,负责信息系统的安全风险管理工作;安全事件处置管理机构负责对系统紧急事件进行处理,对舆情进行综合分析,并根据事件性质和处理结果对事件进行通报;安全保密培训服务中心负责全路的信息安全法律法规、政策标准、安全意识和安全技能的培训提高工作,负责组织安排和协调社会力量以及高校等培训机构具体实施常态化信息安全培训工作;安全灾备恢复管理机构负责重要信息系统的运行和数据备份实施工作,并在系统出现严重故障后,迅速协调相关部门恢复服务或业务数据,保障关键业务服务的运行连续性。各铁路局(公司)应该参照总公司信息安全管理组织结构,设置相关部门或相关专职岗位,并有铁路局(公司)领导具体分管信息安全工作。铁路局(公司)信息安全工作应该在总公司统一组织、协调和安排下开展具体工作。
2.4铁路信息系统安全基础设施
铁路信息系统必须依赖于铁路网络与信息安全基础设施作为其安全支撑基础。铁路网络与信息安全基础设施不仅可以落实铁路集中统一安全管理的要求,提高铁路信息系统的安全水平,还能有效降低铁路信息安全的建设和运维成本。铁路信息安全基础设施包括铁路信息系统灾备恢复中心、铁路业务应用密码管理中心、数字证书系统、集中安全管理及认证授权中心、安全监控中心、安全隔离平台、信息安全培训平台以及铁路网络舆情分析系统(见图5)。铁路信息系统灾备恢复中心可以将由于系统重大故障或破坏带来的业务中断降低到最小程度,提高铁路的服务水平;铁路业务应用密码管理中心是保护铁路重要数据安全和业务安全的基础保证,同时它也是全路统一信任体系的技术基础;铁路数字证书系统可以在全路范围内建立统一的身份认证体系,提高铁路的信息安全集中管理能力,降低安全管理成本;铁路集中管理及认证授权中心通过全路集中的信息安全平台实现高效、统一的安全管理,保证安全策略的快速一致化部署;铁路信息系统安全监控中心可以对铁路信息系统的安全运行状态进行监控,掌握铁路信息系统的运行态势,从而实现在铁路信息系统中防患于未然,有效降低系统安全风险;铁路安全隔离平台是隔离铁路内部服务网和外部服务网的安全措施,它保证了铁路安全生产网络的正常运行;铁路信息安全培训平台对保证提高铁路员工的信息安全意识、培养安全素养极为重要,是人员安全的必要保证;铁路网络舆情分析系统对铁路了解社会评价、改善铁路社会化服务水平、提高铁路形象至为关键。
2.5铁路信息安全意识培养、培训和教育管理
要搞好铁路信息系统的信息安全管理,离不开相关人员的安全意识培养、技能培训和专业教育。铁路信息安全意识培养、培训和教育分别针对不同层次和专业的人员而设。信息安全意识培养通过对信息安全术语、议题和基本概念的宣传、宣导,吸引一般人群对信息安全的关注,帮助人们了解信息安全所关注的问题,并能因此产生正确的响应;信息安全培训让信息系统相关人员获得相关的技能和必备的资质,使其在信息安全管理、设计、开发、建设、运维、操作、评估和使用等方面满足与信息安全相关的岗位职能要求,培训可以分为初级、中级和高级等多个层次;信息安全教育则从信息安全专业理论、技术、经验等方面培养信息安全专家,与信息安全培训一样,这种信息安全教育也应分为初级、中级和高级等多个层次。为降低信息安全意识培养、培训和教育的管理和运作成本,铁路信息安全资质认证也可以和国家其他部门的资质认证机构合作,对一些可信度高、有较高权威的信息安全资质证书采取等同认可方法。铁路信息安全意识培养、培训和教育管理框架见图6。铁路信息安全意识培养、培训和教育管理可分为两方面:一方面是针对全部相关人员的信息安全意识培养。安全意识培养是一个长期的宣传和贯导工作,可以通过制度奖惩、危机教育、标语口号等方式建立普遍的信息安全概念,推广信息安全文化;另一方面是针对岗位定义不同的信息安全资质要求,并这对这些资质要求建立相对应的信息安全技能和专业培训、教育,为了满足这些资质培训教育工作,总公司必须建立相关的培训和认证机制,设置相关的机构。
2.6系统流程及操作安全保证
系统流程和操作安全是指铁路信息安全建设、运维和灾备恢复等活动的流程和操作安全,它旨在保证铁路信息系统及其安全基础设施在安全生命周期中主要阶段的过程安全。在铁路信息安全建设和运行过程中,要制定并依托相关的铁路网络与信息安全管理制度、技术标准规范和组织部门机构,对系统的安全设计、产品测评准入、安全工程等过程进行安全管控,从根本上杜绝系统在结构上的安全缺陷、严防不合规的产品进入系统、保证系统建设施工的安全规范;在铁路信息系统的日常运行过程中,也必须建立系统风险监控、评估和控制的管理和技术体系,通过专业专职的机构和部门,对系统的安全状态进行实时监控、对系统安全风险进行定期或不定期的评估;对安全事件进行预案规划、演练和应急处置,避免重大安全事件的发生;对系统服务或重要数据实施安全灾备,最大程度地减少系统故障带来的铁路运输业务和服务中断时间,减小风险后果。铁路信息安全建设、运维和灾备恢复流程见图7。
3结束语
ISMS的范围在哪?
对ISMS范围的正确确定是整个实施的基础和成败关键。它涵盖了业务流程、信息流和相关资产,因而也确定了BS7799信息安全管理体系的边界和目标,这对于实施周期、实施受益的信息管理环节都将产生影响。
仅就认证目的而言,企业可以选择任何部门和系统,但显然只有与业务目标一致的范围定义才有助于体现安全管理对于核心业务的促进作用。
在本项目中,最终选择了企业的核心业务系统作为此次认证的范围,其ISMS边界包括数据安全实验室及所有与“数据销毁和数据恢复服务”相关的信息资产,从而确保了BS 7799实施与预期目标的一致性。
评估风险
风险评估被公认为是ISMS实施过程最关键和难以操作环节。因此,BS7799实施并不限定客户使用风险评估的方法。
风险评估成功与否关键不在于技术问题,而在于良好的客户沟通和会议组织技巧,包括让管理层和业务人员理解风险评估的重要性和方法,提供必要的配合和支持,并通过高效的会议组织获得较全面的和客观的调查反馈信息。
应避免风险评估仅限于IT部门和安全专家的参与。风险评估既然服务于企业的业务目标,就应当得到业务部门的支持。事实上,只有他们最理解需要保护什么、保护的程度如何,哪些是安全问题,发生过什么安全事件,是否值得以特定成本实施安全控制而降低某项风险。
因此,在一开始就应把业务骨干纳入到风险评估小组,通过培训让所有成员理解风险评估的目的、流程和方法。
风险评估应始终围绕企业的目标和方针进行。比如说,在评估资产和威胁的影响时,都要做BIA(业务影响分析),其中制定的参考指标就应当依据企业安全目标。当发生各成员评估结果不一致的情况时,项目经理也应参照安全目标的定义进行裁决。
成功的风险评估应避免片面性、主观性,避免与漏洞扫描或穿透测试混为一谈。客户可能认为只有后者才是值得尊重的专业服务,但事实上风险不仅来自技术弱点,还包括组织弱点,如业务流程、人员和资产管理等。
此外,完整的风险评估应涵盖物理和逻辑两方面的因素,我们这个案例就很明显地体现了这点。
由于既定的范围不包括复杂的网络和IT资产,因此在进行弱点分析时主要考虑组织和物理方面的技术弱点,例如客户介质在交递、保管、处理、返还等环节的安全隐患,以及安全实验室的实物与环境安全等。
企业应和客户详细讨论各种细微的业务流程隐患,甚至以用户身份参观公司,以了解这项服务存在的外部隐患,例如客户交来介质时如何接待,对包装如何检查、标记、存放,当实验室工作人员暂时离开,如何确保环境和客户介质的安全等。
我们还检查了实验室的装修环境,与其他区域的分隔,以及门禁、监控等措施的有效性。弱点识别往往包括内、外两方面不同的观点,但在资产和威胁分析时,顾问公司只是教给客户标准和方法,让客户自己分析、判断、纪录和整理最终的结果。
评断风险评估的好坏不局限于采用定性或定量的风险评估方法,还在于能否为安全控制决策提供足够的参考依据。
如果将资产价值、安全威胁和弱点对企业业务的影响等评估活动结果严格数字化,不仅可能导致实施进度的失控,而且可能因为缺乏足够的参考标准和过于繁复的过程导致不可操作。在此情况下,基于特定的指标进行范围分级往往是值得推荐的评估方法。
此外,为了提高评估的效率,还可以采用专业化评估软件以减少评估的人为失误和文档编制时间。
人是安全管理体系的灵魂
安全管理体系的良好运作依赖于制度和组织机制,更依赖于各种角色的安全意识和对安全方针的理解与遵守程度。所有这些,需要有有效的培训和管理层的支持。
办好培训最好的方式是案例分析,其次是高层动员。如果在安全手册的扉页有CEO对安全的评论和签名,显然会增加该文档的权威性。
至去年“棱镜门”事件后,国内连续爆出一系列数据泄密事件:如家等快捷酒店开房记录泄露、中国人寿80万保单信息泄露、搜狗手机输入法漏洞、315晚会上央视也曝光了二维码等网银支付的安全漏洞,近日又曝光携程用户信息泄露,导致信用卡被盗刷的恶性事件,再次让互联网用户数据安全成为关注焦点。为企业在数据防泄密建设方面敲响警钟。
据乌云平台披露:携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。这些信息包括持卡人姓名、身份证、银行卡类别、银行卡号、CVV码和6位Bin。
根据CNNIC最新数据显示,2013年因网上数据泄露发生的安全问题涉及的网民数占整体上网人数的4.0%以上,影响人数达2010.6万人。其中,个人信息泄露比例达42.9%,账号密码被盗比例达23.8%。在享受互联网与手机带来的便捷之时,人已经“透明”了。层出不穷的新型骗术、花样翻新的黑客木马,无一不在拷问着网络数据安全问题。“创新永远伴随着风险,相关机构应提高自身安全技术业务;同时,希望更多宣传和普及用户安全意识教育。”某互联网公司首席知识管理专家赵焕焱强调。在他看来,几乎每次数据泄露的安全事件都是对商业公司的督促,而各个商业公司的安全意识也在逐渐加强。
事实上,目前,政府、企业等各方面都已经认识到信息安全建设的重要性和紧迫性。怎样避免数据泄密风险成为每位CIO迫切希望解决的问题。从众多数据泄密事件看,数据泄密途径主要有数据非授权使用、内部人员有意或无意泄密、离职雇员盗取信息及第三方合作人员数据窃取、数据被随意拷贝等。从本质上讲,数据加密技术是确保数据安全的治本之法,核心信息资产只用通过加密技术实现权限管理:知道核心数据哪些人能看,在哪儿能看,看的环境是否安全,才能建立完善的数据安全管理体系,实现对数据的安全管控。采用多种加密技术,结合用户身份和权限控制等技术实现对数据全生命周期的安全管理。构建以信息防泄密为核心的数据安全管理体系。对数据产生、交换、使用和存储全生命周期实现权限控制和安全管理,让核心信息牢牢掌握在内部,从而保护信息资产安全。
联系到中央网络安全与信息化领导小组成立,全国两会上信息安全焦点问题备受关注都充分说明国家信息安全建设高度重视。大数据时代,信息资产成为企业发展的命脉,如果数据信息被泄密,后果将不堪设想。(姜姝)
1.1电子信息的加密技术
所谓电子信息的加密技术也就是对于所传送的电子信息能够起到一定的保密作用,也能够使信息、数据的传递变得更加安全和完整。电子信息的加密技术是保障电子科技企业信息安全的重要保证。加密技术也主要分为对称以及非对称两类,对称的加密技术一般都是通过序列密码或是分组机密的方式来实现的。这其中还包括了明文、密钥、加密算法以及解密算法五个基本的组成部分。而非对称加密与对称加密也存在一定的差异,非对称加密必须要具备公开密钥和私有密钥两个密钥,同时,这两种密钥只有配对使用,这样才能解密。因此加密技术对于电子信息的安全具有很大的保障。如果在发送电子信息的时候,发送人是使用加密技术来发送邮件的,那么有人窃取信息的时候,也只能够得到密文,不能得到具体的信息。这样就大大加强了信息传送的安全性。加快推进国内关键行业领域信息系统的安全评估测试。在安全评估方面,主要针对主机安全保密检查与信息监管,采取文件内容检索、恶意代码检查、数据恢复技术、网络漏洞扫描、互联网网站检测、语意分析等技术,评估分析重要信息是否发生泄漏,并找出泄漏的原因和渠道。
1.2防火墙技术
随着网络技术的不断发展,虽然对于信息安全问题已经不断的得到加强,但是一些信息的不安全因素也在逐级的提高。有一些黑客或者是病毒木马也在不断的入侵,而这些不安全的因素会极大的威胁到电子科技企业信息的安全。而针对这种情况,一种比较有效的防护措施就是防火墙技术的使用。这种技术可以有效的防止黑客的入侵以及电脑中的信息被篡改等情况的发生。这样就能够有效的保障电子科技企业信息的安全。加强企业信息基础设施和重要信息系统建设,建设面向企业的信息安全专业服务平台。重点开展等级保护设计咨询、风险评估、安全咨询、安全测评、快速预警响应、第三方资源共享的容灾备份、标准验证等服务;建设企业信息安全数据库,为广大企业提供快速、高效的信息安全咨询、预警、应急处理等服务,实现企业信息安全公共资源的共享共用,提高信息安全保障能力。
二、解决电子科技企业信息安全问题的方法
2.1构建电子科技企业信息安全的管理体系
如果要想有效的保障电子科技企业的信息安全,除了要不断的提高安全技术水平,还要建立起一套比较完善的信息安全管理体系。这样才能使整个信息安全工作更加有条不紊的进行。在很多电子科技企业当中,最初所建立的相关信息制度在很大程度上都制约着信息系统的安全性。如果一旦安全管理制度出现了问题,那么一系列的安全技术都无法发挥出来。很多信息安全工作也无法正常进行下去。因此,严格的信息安全管理体系对于信息安全的保障具有十分重要的作用。只有当信息安全管理形成了一个完善的体系,那么信息安全工作才能够更加顺利的进行,同时也能够大大的提升信息安全的系数。
2.2利用电子科技企业自身的网络条件来提供信息安全服务
一般来说,电子科技企业都拥有自己的局域网,很多企业也可以通过局域网来相互连通。因此,电子科技企业应该充分的利用这一特点为自身的企业提供良好地信息安全服务。通过局域网的连通,不仅能够在这个平台上及时的公布一些安全公告以及安全法规,同时还可以进行一些安全软件的下载,为员工提供一些关于信息安全的培训。这样不仅能够为企业之间的员工提供一个安全的互相交流的平台,同时还能够很好的保障企业信息安全。针对企业主机安全保密检查与信息监管,采取文件内容检索、恶意代码检查、数据恢复技术、网络漏洞扫描、互联网网站检测、语意分析等技术,评估分析重要信息是否发生泄漏,并找出泄漏的原因和渠道。
2.3定期对信息安全防护软件进行及时的更新
1信息化数据体系
未来卷烟工厂的数据体系采用分层架构,如图3所示。1)操作支撑层:这一层的数据集主要用于支撑企业的运营,是典型的操作型数据环境,一般是各业务系统的数据库,包括卷烟生产、物流、MES等。其主要职能在于支撑日常业务管理活动的运营需要。2)公共数据库层:该层的数据起着承上启下的作用,定位为运营数据存储。各系统中的数据统一汇总到公共数据库(ODS)中,作为共享数据集散地。通过采集各系统的业务数据,公共数据库(ODS)对源系统的数据质量进行审计监控,同时按照统一的主题域数据模型对数据进行整合转换,以此为基础建立数据仓库(DW),并为其它业务应用系统提供跨域的数据共享。3)数据仓库层:<卷烟工业企业的数据仓库构建方法_华勇.caj>该部分整合所有数据源,集成公共数据库层的数据,做到数入一库。4)分析支撑层:该层的数据集主要用于支撑管理和决策需要,是典型的分析型数据环境。它从数据仓库中提取数据并整合管理决策所需要的数据集,做到数出一门。
2信息化集成体系
卷烟工厂经过近年来的信息化建设,初步形成了以MES核心的业务支撑系统环境。随着业务协同设计的日益深入,各体系之间需要进行深度集成,以满足数字化卷烟工厂为实现管控一体化对信息化的要求。从总体上,未来卷烟工厂的集成体系包含数据集成框架和应用集成框架:(1)数据集成框架数据集成框架主要完成业务系统的数据发现、结构识别、抽取、传输和加载。横向实现各业务系统之间的数据交换,实现各业务系统数据向生产分析系统的抽取、清洗和装载,为辅助决策支持应用提供基础。纵向实现各生产系统业务数据向卷烟工厂生产分析系统的上传和部分数据的下传,同时满足中烟公司数据交换的需求。同时,通过数据集成框架的建设为今后的业务系统建设提供统一的数据源和集成环境。(2)应用集成框架应用集成框架以系统之间的互联互通为重点,通过开放的SOA架构搭建卷烟工厂的系统之间协作的应用环境。针对目前卷烟工厂多种集成方式(WebService、文件、数据库中间表)并存的现状,建议按照如下思路进行逐步整合:建设集成接口的统一注册管理系统,实现对现有系统的集成接口的统一注册、维护及查询,构建未来卷烟工厂统一的集成接口视图。梳理现有集成接口情况,根据不同的业务需求确定适应的接口规范,使以后应用系统的集成建设有据可依。基于集成平台的应用现状,对于未来在建的业务系统,原则上不应新增集成平台,并且建议逐步过渡到统一的数据交换平台上,统一卷烟工厂的集成接口形式。在实现了上述集成的规范管理后,可以进一步建立以符合业界标准的工作流平台为核心的业务流程管理引擎,对各业务系统的流程进行重整和优化,将相同作用的功能进行合并,利用信息系统功能的调整促使业务流程进行变更使得业务的流转更为流畅和高效。
3信息安全体系
整体安全体系分为安全策略、安全管理体系、安全技术体系、安全运维体系四部分,如图5所示。1)安全策略的组成包含总体方针和分项策略两个部分。2)安全管理体系的作用是通过建立健全组织机构、规章制度,以及通过人员安全管理、安全教育与培训和各项管理制度的有效执行,来落实人员职责,确定行为规范,保证技术措施真正发挥效用,与技术体系共同保障安全策略的有效贯彻和落实。3)信息安全技术体系的重点是为卷烟工厂网络架构划分安全域,如网络核心区、外联接入区、上联接入区,办公接入区、服务器接入区、生产现场接入区等。4)信息安全运维体系着重立足以下方面建设:建立常态化安全风险评估机制、开展等级保护整改工作、采购与实施过程管理、外包运维服务管理、应急计划和事件响应、绩效评估与改进。
4信息化管理体系
信息化建设和运维的整个过程中,都需要IT部门与业务部门紧密联系,所以IT部门与业务部门的职责界定,必然会影响整体信息化建设的思路。IT部门与业务部门在信息化建设方面的职责划分如下:IT运营管理主要涉及信息化相关制度与流程的制定与完善。未来卷烟工厂应在中烟公司整体IT运营管理体系指导下,随着信息化建设的逐步深入,不断建立与细化。信息化管理制度应该根据管控模式、业务流程和绩效管理的相关内容,涵盖从规划、建设到运维的全生命周期各环节。
5结束语
现阶段行业内各卷烟工厂实施信息化的程度不一,该设计的提出给未来烟草卷烟工厂的信息化提供了指导性建议,有助卷烟工厂信息化建设实现行业内的统一。后续阶段,可结合该设计在卷烟工厂信息化中的实践情况,并通过进一步提炼和总结,形成一系列未来卷烟工厂信息化建设的标准规范,解决行业内卷烟工厂信息化建设标准缺失这一难题。
作者:虞文进黎 勇王文娟徐培富张成挺单位:宁波卷烟厂信息中心
为加强证券期货业信息安全保障工作的组织协调,建立健全信息安全管理制度和运行机制,切实提高行业信息安全保障工作水平,根据中国证券监督管理委员会颁布的《证券期货业信息安全保障管理暂行办法》,制定《证券期货业信息安全保障管理体系框架》。
在保障安全的前提下,兼顾不同主体单位的差别,强制满足最低标准,充分保留发展空间。
参照 ISO/IEC 27001:2005中提出的证券期货业信息安全保障管理模型(简称模型),采用立方体架构。顶面是信息安全保障的7个目标(机密性、完整性、可用性、真实性、可审计性、抗抵赖性、可靠性),正面是行业组织结构,侧面是各个机构为实现信息安全保障目标所采取的措施和方式(组织、管理及技术体系)。
本管理体系框架遵循如下基本原则:责任制原则,依据“谁主管,谁负责”、“谁运营,谁负责”的基本原则,明确行业内各主体单位信息安全保障的管理责任;系统性原则,以动态保障的安全观为指导,体现安全与发展并进、管理与技术并重、长效机制与应急防御相结合的综合保障体系;适用性原则,在保障安全的前提下,兼顾不同主体单位的差别,强制满足最低标准,充分保留发展空间。
信息安全目标
证券期货业信息安全保障管理体系的目标是保障网络与信息系统的机密性、完整性、可用性、真实性、可审计性、抗抵赖性、可靠性。机密性是数据所具有的特性,即表示数据所达到的未提供或未泄露给未授权的个人、过程或其他实体的程度。完整性是保证信息及信息系统不会被非授权更改或破坏的特性,包括数据完整性和系统完整性。可用性是数据或资源的特性,被授权实体按要求能访问和使用数据或资源。真实性即信息接收者能够通过有效的手段来识别信息是否是声称者所发送。可审计性即每个经授权用户的活动都是唯一标识和监控的,以便对其所做的操作内容进行审计和跟踪。抗抵赖性即保证发送信息的行为人不能否认自己的行为,使发送行为具有可信度。可靠性即保证合法用户对信息能够进行读取和修改,防止非法用户对信息进行恶意篡改和破坏。
行业组织结构
证券期货业安全保障管理组织结构采用 “统一组织、分层管理、交叉协调”的管理结构,划分为三层:决策层、管理层、执行层。
决策层
决策层由证券期货业网络与信息安全保障协调小组(以下简称协调小组)构成,协调小组由中国证券监督管理委员会及“5(交易所)+1(登记结算公司)+2(行业协会)”组成,是证券期货行业信息安全的最高决策机构,以建立安全的信息系统、保障投资者利益为目标,制定框架性的信息系统安全指导方针,明确信息安全保障工作的基本方向和主要内容,颁布信息安全保障工作的行业条例与规定。
协调小组还将根据证券期货行业信息系统发展趋势和信息安全发展趋势,定期对指导方针做出调整,研究和分析信息安全建设对证券期货行业发展的价值和影响,确定信息安全保障工作的发展方向和基本工作节奏。审定并颁布行业信息安全保障工作的规定和制度,协调行业内部及外部资源,具体包括,信息安全保障工作指导方针、信息安全保障工作管理体系、信息安全保障工作管理流程、信息安全保障工作监督规定。审定并颁布信息安全保障工作的监督机制,并颁布相关监督制度和管理流程。
管理层
管理层由行业主管职能部门、行业自律组织和行业相关的管理与促进机构构成。行业主管职能部门包括中国证监会信息安全管理职能部门及其派出机构(各地的证监局、证管办),行业自律组织包括中国证券业协会、中国期货业协会、技术标准委员会,相关的管理与促进机构成员包括证券交易所(上海证券交易所、深圳证券交易所)、期货交易所(上海期货交易所、郑州商品交易所、大连商品交易所)、登记结算公司。
行业主管职能部门负责起草并报批行业信息安全保障工作的规章和制度,协调专家顾问、行业成员等各方面的资源,对协调小组颁发的信息安全指导方针做技术与标准的支持,为其他成员执行指导性方针提供支持,并及时了解业务发展对信息安全的新需求,反映给协调小组,并根据证监会的信息安全保障工作相关规定,提出技术标准与实施细则。协调专家、顾问和行业标杆企业为各个安全主体进行信息安全保障工作的咨询。
行业自律组织针对行业特性制订信息安全保障相关自律性公约、标准、规范与指引等,并要求其会员单位严格遵守自律公约,并对违反公约的行为进行处理。相关的管理与促进机构作为市场网络与信息系统的核心,其信息系统运行状态很大程度上依赖于会员单位的信息安全级别,应对其会员单位进行严格要求,依据行业信息安全保障管理相关管理规范,制定相应的管理细则和技术标准,督促其会员单位落实,并对安全边界进行严格管理。
执行层
执行层指市场各个参与主体,包括交易所、登记结算公司、通信公司、证券公司、期货公司、基金管理公司、投资咨询机构等。
安全保障领导小组是各主体单位信息安全最高领导机构,对协调小组关于信息安全建设的指导方针进行目标分解,结合本单位业务发展需求及信息系统现状制定具体的信息安全建设策略、计划、流程,并授权执行机构进行信息系统安全建设与运维。主要工作内容包括制定符合监管机构规定的信息安全保障方针政策,根据企业自身信息安全保障工作的方针政策建立信息安全保障工作的策略体系,监督并指导企业自身的信息安全组织、管理、技术体系建设。
安全保障工作小组是各主体单位执行信息安全保障的具体机构,根据安全保障领导小组制定的信息安全建设策略、计划、流程执行信息安全保障工作。主体单位对自身信息安全现状的评估,建设信息安全组织、管理、技术体系,完善信息安全组织、管理、技术体系,对出现的安全事件进行处理。
在组织体系上,决策层进行法规颁布,对管理层和执行层进行工作指导,管理层对决策层制定的相关法规进行细化,执行层根据行业规则进行信息安全保障体系建设,并将组织信息上报管理层和决策层。在管理体系上,决策层对管理层进行监督管理,管理层对执行层进行评估检查,执行层将信息进行上报给决策层和管理层。在技术体系上,由执行层将技术实现方案和实施结果上报给管理层,管理层对成功经验在执行层进行推广。
信息安全保障实现方式
【关键词】信息安全:管理;现状;问题:措施
【中图分类号】TP315 【文献标识码】A 【文章编号】1672-5158(2013)04-0077-01
一、信息安全事件的介绍
信息技术的飞速发展使信息技术和信息产业呈现空前繁荣的景象。与此同时,信息安全问题也愈演愈烈,关于信息安全的事件不绝于耳,个人信息泄露、黑客攻击、网络诈骗、网络谣言等信息安全威胁不仅影响了人们的日常生活,还给社会安定带来一定的影响。从国家战略层面看,网络战已经成为各国竞相发展的核心安全力量,网络空间成为了各国情报机构的主要战场,由此带来的信息安全问题被提升。
据统计,2012年我国约有4 5亿网民遇过网络安全事件;2011年经过CNCERT调查,仅CNCERT接收到的国内外报告网络安全事件就有15366起,利用木马或僵尸程序控制服务器IP总数为300407个,受控主机IP总数为27275399个,恶意程序传播事件多达35821698次;2011年Apache,MySqI,Linux等多家开源系统官网、DigiNotar,Comodo等多家证书机构以及一些大型金融企业、公司网站被黑客攻击,导致多家公司名誉受损甚至破产;相关调查显示,68%的企业每年至少发生6起敏感数据泄露事件,CSDN、天涯等国内大型网站用户信息泄露事件给广大用户带来巨大影响;网络水军随意散布各种虚假信息,各种虚假的地震谣言等等,严重混淆了人们的视听。
如何应对这些安全挑战,建立安全防御体系,保障信息安全不受侵犯,保证各个行业赖以生存的信息系统和信息网络正常运转,成为信息技术领域必不可少的研究内容。
二、信息安全现状分析
从发展历程来看,除去早期以数据加密为主的机密性防护阶段,安全技术的发展可以分为三个阶段。(1)以边界保护、主机防毒为特点的传统安全防护阶段。该阶段基于传统的攻击防御的边界安全防护思路,利用经典的边界防护设备,采取堵漏洞、做高墙、防外攻等防范方法,对网络内部提供基本的安全保障。(2)以设备联动、功能融合为特点的安全免疫阶段。该阶段采用“积极防御、综合防范”的理念,结合多种安全防护思路,实现安全功能与网络设备融合以及不同安全功能的融合,使信息网络具备较强的安全免疫能力。(3)以信息资源保障为特点的可信阶段。可信网络基于信息资源保障的思想,通过建立统一的信任链,完善系统、人员及数据接人认证机制,保证设备、用户、应用等各个层面的可信,从而提供一个可信的网络环境。
当前信息安全技术正在处于第二阶段向第三阶段的过渡期,信息安全技术和产品具有较大规模,可以实施较为稳固的安全防护。但是,仍然存在较多的问题,主要体现在:
信息安全系统建设与信息系统建设脱节,阻碍了业务的快速发展。长久以来,信息系统发展和信息安全保障被放在了两个对立面,建设信息系统以促进业务的快速发展,往往就忽视了信息安全;充分考虑信息安全,则在多个方面阻碍了信息系统的正常运行。信息安全防护和信息系统建设,两张皮的现状,导致安全防护不合理,不能适应信息系统的快速发展。
信息安全防护重建设、轻管理。随着各类安全事件的不断发生,信息安全系统建设受到广泛重视,信息安全系统建设已经成为单位业务建设过程中必不可少的环节。但是,信息安全防护是一个动态的过程,需要循环往复的运维管理,以应对不断出现的新风险,这恰恰是目前安全防护系统建设中普遍欠缺的环节。
信息安全防护重手段、轻评估。当前,针对各类威胁、攻击的新型信息安全防护手段层出不穷,日新月异。为有效防止可能出现的漏洞,安全防护系统在建设过程中,往往将大量的手段简单堆砌。但是,防护手段建设并不能靠数量取胜,该类手段是否符合风险防护需求,各类手段之间是否存在相互妨碍、相互影响或者相互重叠的现象,防护手段在建设完成后是否运行正常,是否能够应对新风险的发生,这些都需要建立长效的评估机制。
安全状态的不可见与未知成为最大的管理风险。在实施安全防护系统建设过程中,往往过度关注手段防护,而缺乏安全监管和动态运维流程管理,不能及时发现安全事件。例如,网络设备的非法接人、非法外联难以发现和控制;对一些应用系统监控不到位,缺乏安全审计和评估手段;网络监察手段较少,安全效能难以评估。这些情况都导致网络安全状态的“不可视”,形成网络安全管理最大的风险。
从以上问题可以看出,信息安全系统建设并不是简单的防护手段建设,传统的“查漏补缺”已经难以适应信息系统的发展现状。必须实现体系化、动态化的循环过程,实施统一的设计规划、统一的策略配置、统一的运行维护,才能进行有效的管控。信息安全纵深防御思想,能够合理地避免上述问题,是进行信息网络安全防护的有效方法。
三、加强信息安全管理的应对措施
第一点是要不断完善信息安全管理框架体系,一定要按照适当的程序进行相应的管理,不能忽略任何一个环节,每一组成部分都要依据自身的发展情况,建设有利于自身发展的各种业务平台,科学制定相关的信息管理制度,通过对日常业务的科学管理,组建好与数据信息相一致的管理框架系统,包括各类的文档信息、文件储存信息等,同时要仔细记录在管理过程中出现的各种安全信息事件,严格控制安全管理水平,建立相应的风险评价机制,提高信息安全管理体系的主动性。发生问题后及时采取高效的补救措施,以便将损失降到最低限度。
第二点是要对信息安全管理框架中的内容进行有效分析,将每一具体环节都落到实处。信息安全管理体系的落实效果必然会受到各种因素的影响,要综合全面地进行考虑。例如信息安全管理在实施的过程中产生的费用包括培训费、报告费等的支出就要协调好每一部门的工作。另外还有一些影响因素包括不同的管理部门之间在实际操作中的相互协调问题,不仅要不断提高管理的效率,同时也要加强各机构组织之间的联系,共同将管理工作落到实处。
第三点是要建立和完善信息安全管理的相关文档。信息安全管理所涉及的范围比较广,涉及的文档类型也比较多样,包括对信息安全管理所指定的政策、管理标准、适用范围、具体操作步骤等。文档内容的丰富性决定了其形式的多样性,所以在保存的时候尽量要按照其原来的形式,为了管理和读取的便利性,可以按照不同的等级进行分类,或者是可以按照类型来分类,这样在以后的信息安全工作管理中,文档就很容易被认证审核员等为代表的第三方访问和理解,达到了应用的目的。
第四点是要做好信息安全事件的及时记录,并将信息进行有效地回馈,便于建立有效的信息安全应对机制。信息安全事故的准确记录可以为组织进行相关安全政策定义、管理方式的选择、管理措施的落实等工作提供可靠的依据。所以在实际的管理中,信息安全事件的记录工作一定要做到清楚明了,清晰准确记录与之相关的管理人员在当时当地的具体行为活动,记录的材料要进行妥善保管。
四、结束语
在上文之中,可以看到信息安全问题已经成为一个困扰社会发展、经济和安全的重大问题,但是在对信息的管理上还存在管理漏洞,致使产生了信息安全事件,造成了个人或企业的损失。面对信息安全的现状需要从实际出发完善信息安全管理体系并增加技术保障,使其为社会经济的健康发展和人们的便捷生活做出积极贡献。
参考文献:
