序論:在您撰寫企業(yè)信息安全管理體系時�,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的7篇范文����,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導(dǎo)您走向新的創(chuàng)作高度�����。
第1篇
關(guān)鍵詞:企業(yè)信息化�����;信息安全管理體系���;信息安全保障
1 企業(yè)信息安全需求與目標(biāo)
近年來隨著企業(yè)信息系統(tǒng)建設(shè)的不斷發(fā)展,企業(yè)的信息化安全也面臨著前所未有的挑戰(zhàn)����。作為中國高速列車產(chǎn)業(yè)化制造基地和城軌地鐵車輛定點制造企業(yè),公司的發(fā)展對高速動車行業(yè)產(chǎn)生著舉足輕重的作用�;從企業(yè)信息安全現(xiàn)狀分析���,公司IT部門主管深深意識到,盡管從自身情況來看�,在信息安全方面已經(jīng)做了很多工作,如部署了防火墻����、SSL VPN、入侵檢測系統(tǒng)����、入侵防御系統(tǒng)、防病毒系統(tǒng)���、文檔加密�、終端安全管理系統(tǒng)等�����。但是安全系統(tǒng)更多的在于防堵來自某個方面的安全威脅����,無法產(chǎn)生協(xié)同效應(yīng),距離國際同行業(yè)企業(yè)還存在一定的差距。
公司通過可行性研究及論證�,決定借助外力,通過知名的咨詢公司協(xié)助企業(yè)發(fā)現(xiàn)存在的信息安全不足點�,以科研項目方式,通過研究國家安全標(biāo)準(zhǔn)體系及國家對央企和上市企業(yè)的信息化安全要求�,分析企業(yè)目前的現(xiàn)狀和國際標(biāo)準(zhǔn)ISO27001之間的差距,繼而完善企業(yè)信息安全體系的規(guī)劃與設(shè)計���,最終建立一套適合企業(yè)現(xiàn)狀的信息安全標(biāo)準(zhǔn)和管理體系�����。目標(biāo)是使公司信息安全從管理到技術(shù)均得到全面加強�,建立一個有責(zé)(職責(zé))����、有序(秩序)、有效(效率)的信息安全管理體系��,預(yù)防信息安全事件的發(fā)生�����,確保更小的業(yè)務(wù)損失��,提供客戶滿意度����,獲取更多的管理支持。在行業(yè)內(nèi)樹立標(biāo)桿和示范��,提升企業(yè)形象��,贏取客戶信任�,增強競爭力。同時�,使信息安全體系通過信息安全管理體系通過ISO 27001認(rèn)證標(biāo)準(zhǔn)。
2 企業(yè)信息安全管理體系建設(shè)過程
凡事預(yù)則立����,不預(yù)則廢。對于信息安全管理建設(shè)的工作也先由計劃開始�����。信息安全管理體系建設(shè)分為四個階段:實施安全風(fēng)險評估���、規(guī)劃體系建設(shè)方案�、建立信息安全管理體系���、體系運行及改進�。也符合信息安全管理循環(huán)PDCA(Plan-Do-Check-Action)模型及ISO27001要求,即有效地保護企業(yè)信息系統(tǒng)的安全���,確保信息安全的持續(xù)發(fā)展�����。本文結(jié)合作者經(jīng)驗����,重點論述上述幾個方面的內(nèi)容���。
2.1 確立范圍
首先是確立項目范圍����,從機構(gòu)層次及系統(tǒng)層次兩個維度進行范圍的劃分����。從機構(gòu)層次上,可以考慮內(nèi)部機構(gòu):需要覆蓋公司的各個部門�,其包括總部����、事業(yè)部���、制造本部、技術(shù)本部等�����;外部機構(gòu):則包括公司信息系統(tǒng)相連的外部機構(gòu)�,包括供應(yīng)商、中間業(yè)務(wù)合作伙伴���、及其他合作伙伴等���。
從系統(tǒng)層次上,可按照物理環(huán)境:即支撐信息系統(tǒng)的場所�、所處的周邊環(huán)境以及場所內(nèi)保障計算機系統(tǒng)正常運行的設(shè)施。包括機房環(huán)境��、門禁���、監(jiān)控等���;網(wǎng)絡(luò)系統(tǒng):構(gòu)成信息系統(tǒng)網(wǎng)絡(luò)傳輸環(huán)境的線路介質(zhì)���,設(shè)備和軟件;服務(wù)器平臺系統(tǒng):支撐所有信息系統(tǒng)的服務(wù)器�、網(wǎng)絡(luò)設(shè)備、客戶機及其操作系統(tǒng)�、數(shù)據(jù)庫、中間件和Web系統(tǒng)等軟件平臺系統(tǒng)����;應(yīng)用系統(tǒng):支撐業(yè)務(wù)、辦公和管理應(yīng)用的應(yīng)用系統(tǒng)�;數(shù)據(jù):整個信息系統(tǒng)中傳輸以及存儲的數(shù)據(jù);安全管理:包括安全策略�、規(guī)章制度、人員組織�����、開發(fā)安全��、項目安全管理和系統(tǒng)管理人員在日常運維過程中的安全合規(guī)���、安全審計等�。
2.2 安全風(fēng)險評估
企業(yè)信息安全是指保障企業(yè)業(yè)務(wù)系統(tǒng)不被非法訪問�、利用和篡改����,為企業(yè)員工提供安全���、可信的服務(wù),保證信息系統(tǒng)的可用性���、完整性和保密性���。
本次進行的安全評估,主要包括兩方面的內(nèi)容:
2.2.1 企業(yè)安全管理類的評估
通過企業(yè)的安全控制現(xiàn)狀調(diào)查�、訪談、文檔研讀和ISO27001的最佳實踐比對��,以及在行業(yè)的經(jīng)驗上進行“差距分析”����,檢查企業(yè)在安全控制層面上存在的弱點,從而為安全措施的選擇提供依據(jù)����。
評估內(nèi)容包括ISO27001所涵蓋的與信息安全管理體系相關(guān)的11個方面,包括信息安全策略�、安全組織��、資產(chǎn)分類與控制�����、人員安全��、物理和環(huán)境安全��、通信和操作管理�、訪問控制���、系統(tǒng)開發(fā)與維護�����、安全事件管理��、業(yè)務(wù)連續(xù)性管理��、符合性���。
2.2.2 企業(yè)安全技術(shù)類評估
基于資產(chǎn)安全等級的分類,通過對信息設(shè)備進行的安全掃描、安全設(shè)備的配置��,檢查分析現(xiàn)有網(wǎng)絡(luò)設(shè)備��、服務(wù)器系統(tǒng)����、終端���、網(wǎng)絡(luò)安全架構(gòu)的安全現(xiàn)狀和存在的弱點����,為安全加固提供依據(jù)����。
針對企業(yè)具有代表性的關(guān)鍵應(yīng)用進行安全評估。關(guān)鍵應(yīng)用的評估方式采用滲透測試的方法�����,在應(yīng)用評估中將對應(yīng)用系統(tǒng)的威脅����、弱點進行識別,分析其和應(yīng)用系統(tǒng)的安全目標(biāo)之間的差距,為后期改造提供依據(jù)���。
提到安全評估�����,一定要有方法論���。我們以ISO27001為核心,并借鑒國際常用的幾種評估模型的優(yōu)點�,同時結(jié)合企業(yè)自身的特點,建立風(fēng)險評估模型:
在風(fēng)險評估模型中�����,主要包含信息資產(chǎn)����、弱點、威脅和風(fēng)險四個要素���。每個要素有各自的屬性��,信息資產(chǎn)的屬性是資產(chǎn)價值��,弱點的屬性是弱點在現(xiàn)有控制措施的保護下�����,被威脅利用的可能性以及被威脅利用后對資產(chǎn)帶來影響的嚴(yán)重程度����,威脅的屬性是威脅發(fā)生的可能性及其危害的嚴(yán)重程度,風(fēng)險的屬性是風(fēng)險級別的高低�����。風(fēng)險評估采用定性的風(fēng)險評估方法����,通過分級別的方式進行賦值��。
2.3 規(guī)劃體系建設(shè)方案
企業(yè)信息安全問題根源分布在技術(shù)�����、人員和管理等多個層面�����,須統(tǒng)一規(guī)劃并建立企業(yè)信息安全體系,并最終落實到管理措施和技術(shù)措施����,才能確保信息安全。
規(guī)劃體系建設(shè)方案是在風(fēng)險評估的基礎(chǔ)上���,對企業(yè)中存在的安全風(fēng)險提出安全建議�,增強系統(tǒng)的安全性和抗攻擊性����。
在未來1-2年內(nèi)通過信息安全體系制的建立與實施,建立安全組織����,技術(shù)上進行安全審計、內(nèi)外網(wǎng)隔離的改造���、安全產(chǎn)品的部署���,實現(xiàn)以流程為導(dǎo)向的轉(zhuǎn)型。在未來的 3-5 年內(nèi)��,通過完善的信息安全體系和相應(yīng)的物理環(huán)境改造和業(yè)務(wù)連續(xù)性項目的建設(shè)���,將企業(yè)建設(shè)成為一個注重管理���,預(yù)防為主�,防治結(jié)合的先進型企業(yè)��。
2.4 企業(yè)信息安全體系建設(shè)
企業(yè)信息安全體系建立在信息安全模型與企業(yè)信息化的基礎(chǔ)上��,建立信息安全管理體系核心可以更好的發(fā)揮六方面的能力:即預(yù)警(Warn)���、保護(Protect)�����、檢測(Detect)、反應(yīng)(Response)���、恢復(fù)(Recover)和反擊(Counter-attack)����,體系應(yīng)該兼顧攘外和安內(nèi)的功能��。
安全體系的建設(shè)一是涉及安全管理制度建設(shè)完善�;二是涉及到信息安全技術(shù)��。首先�����,針對安全管理制度涉及的主要內(nèi)容包括企業(yè)信息系統(tǒng)的總體安全方針��、安全技術(shù)策略和安全管理策略等����。安全總體方針涉及安全組織機構(gòu)�����、安全管理制度�����、人員安全管理�����、安全運行維護等方面的安全制度�����。安全技術(shù)策略涉及信息域的劃分、業(yè)務(wù)應(yīng)用的安全等級���、安全保護思路�����、說以及進一步的統(tǒng)一管理�����、系統(tǒng)分級��、網(wǎng)絡(luò)互聯(lián)���、容災(zāi)備份、集中監(jiān)控等方面的要求���。
其次�����,信息安全技術(shù)按其所在的信息系統(tǒng)層次可劃分為物理安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)�����、系統(tǒng)安全技術(shù)、應(yīng)用安全技術(shù)���,以及安全基礎(chǔ)設(shè)施平臺���;同時按照安全技術(shù)所提供的功能又可劃分為預(yù)防保護類、檢測跟蹤類和響應(yīng)恢復(fù)類三大類技術(shù)��。結(jié)合主流的安全技術(shù)以及未來信息系統(tǒng)發(fā)展的要求�����,規(guī)劃信息安全技術(shù)包括:
2.5 體系運行及改進
信息安全管理體系文件編制完成以后��,由公司企劃部門組織按照文件的控制要求進行審核�。結(jié)合公司實際,在體系文件編制階段���,將該標(biāo)準(zhǔn)與公司的現(xiàn)有其他體系���,如質(zhì)量、環(huán)境保護等體系文件����,改歸并的歸并�。該修訂審核的再繼續(xù)修訂審核��。最終歷經(jīng)幾個月的努力���,批準(zhǔn)并實施了信息安全管理系統(tǒng)的文檔���。至此,信息安全管理體系將進入運行階段���。
有人說�,信息系統(tǒng)的成功靠的是“三分技術(shù)���,七分管理�����,十二分執(zhí)行”��?!皥?zhí)行”是要需要在實踐中去體會�����、總結(jié)與提高��。對于信息系統(tǒng)安全管理體系建設(shè)更是如此�!在此期間,以IT部門牽頭����,加強宣傳力度,組織了若干次不同層面的宣導(dǎo)培訓(xùn)���,充分發(fā)揮體系本身的各項功能�����,及時發(fā)現(xiàn)存在的問題�����,找出問題根源����,采取糾正措施,并按照更改控制程序要求對體系予以更改���,以達(dá)到進一步完善信息安全管理體系的目的�。
3 總結(jié)
總結(jié)項目����,建立健全的信息安全管理制度是進行安全管理的基礎(chǔ)。當(dāng)然��,體系建設(shè)過程中還存在不足�����,如崗位原有職責(zé)與現(xiàn)有安全職責(zé)的界定�����,員工的認(rèn)知及接受程度還有待提高��,體系在各部門領(lǐng)導(dǎo)重視程度����、執(zhí)行力度、審核效果存在差距等等�。最終����,在公司各部門的共同努力下�,體系經(jīng)歷了來自國際知名品牌認(rèn)證公司DNV及中國認(rèn)可委(CNAS)的雙重檢驗����,并通過嚴(yán)格的體系審核。確認(rèn)了公司在信息安全管理體系達(dá)到國內(nèi)和國際信息安全管理標(biāo)準(zhǔn)�,提升公司信息安全管理的水平,從而為企業(yè)向國際化發(fā)展與合作提供有力支撐�����。
[參考文獻]
[1]沈昌祥.《信息系統(tǒng)安全導(dǎo)論》.電子工業(yè)出版社�����,2003.7.
第2篇
關(guān)鍵詞:信息安全管理��;網(wǎng)絡(luò)安全��;風(fēng)險評估
中圖分類號:TP393.08
隨著信息化技術(shù)的高速發(fā)展和深入應(yīng)用����,企業(yè)對信息系統(tǒng)的依賴性越來越強,絕大部分的業(yè)務(wù)從紙面遷移到信息系統(tǒng)當(dāng)中,如何建立穩(wěn)固的信息安全管理體系已經(jīng)成為各企業(yè)信息管理部門甚至管理層的重要課題��。本文將通過對目前國際信息安全行業(yè)發(fā)展的分析�,提出企業(yè)構(gòu)建穩(wěn)固的信息安全管理架構(gòu),提高信息安全水平的初步構(gòu)想��。
1企業(yè)信息安全政策
信息安全政策作為信息安全工作的重中之重���,直接展現(xiàn)了企業(yè)的信息安全工作的思路��。其應(yīng)當(dāng)由企業(yè)信息安全工作的使命和遠(yuǎn)景�,實施準(zhǔn)則等幾部分組成��。
1.1信息安全工作的使命
信息安全工作的核心意義是將企業(yè)所面臨的風(fēng)險管理至一個可接受的水平����。
當(dāng)前主流的風(fēng)險控制包含以下四個步驟:通過風(fēng)險評估方法來評估風(fēng)險;制定安全策略來降低風(fēng)險�;通過監(jiān)控控制惡意未授權(quán)行為;有效地審計��。
1.2信息安全工作的愿景
安全的企業(yè)信息化環(huán)境可以為任何企業(yè)用戶提供安全便捷的信息化服務(wù)���,應(yīng)用���,基礎(chǔ)設(shè)施��,并保護用戶的隱私����。讓用戶有安全的身份驗證�����;能安全便捷的使用需要的數(shù)據(jù)和應(yīng)用資源���;保證通訊和數(shù)據(jù)的保密性;明確自身的角色�����,了解角色在企業(yè)中的信息安全責(zé)任����;身邊出現(xiàn)的信息安全風(fēng)險和威脅能得到迅速響應(yīng)。
要達(dá)到上述目的��,企業(yè)需要進行有效的風(fēng)險管理��。風(fēng)險管理是一個識別風(fēng)險、評估風(fēng)險��、降低風(fēng)險的過程�。在這個過程中,需要權(quán)衡降低風(fēng)險的成本和業(yè)務(wù)的需求�����,確定風(fēng)險的優(yōu)先級別��,為管理層的決策提供有效的支持���。
1.3信息安全準(zhǔn)則
信息安全準(zhǔn)則是風(fēng)險評估和制定最優(yōu)解決方案的關(guān)鍵����,優(yōu)秀的信息安全準(zhǔn)則包括:根據(jù)企業(yè)業(yè)務(wù)目標(biāo)執(zhí)行風(fēng)險管理�;有組織的確定員工角色和責(zé)任;對用戶和數(shù)據(jù)實行最小化權(quán)限管理���;在應(yīng)用和系統(tǒng)的計劃和開發(fā)過程中就考慮安全防護的問題����;在應(yīng)用中實施逐層防護���;建立高度集成的安全防護框架�����;將監(jiān)控��、審計和快速反應(yīng)結(jié)合為一體�。
良好信息安全準(zhǔn)則可以讓企業(yè)內(nèi)外部用戶了解企業(yè)信息安全理念,從而讓企業(yè)信息管理部門更好地對風(fēng)險進行管控����。
2企業(yè)信息安全管理的主要手段
2.1網(wǎng)絡(luò)安全
(1)保證安全的外部人員連接�����。在日常工作中�����,外部合作伙伴經(jīng)常會提出聯(lián)入企業(yè)內(nèi)網(wǎng)的需求�,由于這些聯(lián)入內(nèi)網(wǎng)的外部人員及其終端并不符合企業(yè)的信息安全標(biāo)準(zhǔn),因此存在信息安全隱患����?����?刂拼祟愶L(fēng)險的手段主要有:對用戶賬戶使用硬件KEY等強驗證手段;全面管控外部單位的網(wǎng)絡(luò)接入等�。
(2)遠(yuǎn)程接入控制。隨著VPN[2-3]技術(shù)的不斷發(fā)展����,遠(yuǎn)程接入的風(fēng)險已降低到企業(yè)的可控范圍,而近年來移動辦公的興起更是推動了遠(yuǎn)程接入技術(shù)的發(fā)展���。企業(yè)采用USB KEY���,動態(tài)口令牌等硬件認(rèn)證方式的遠(yuǎn)程接入要更加的安全。
(3)網(wǎng)絡(luò)劃分���。在過去�����,企業(yè)內(nèi)部以開放式的網(wǎng)絡(luò)為主���。隨著網(wǎng)絡(luò)和互聯(lián)網(wǎng)信息技術(shù)的成熟�,非受控終端給企業(yè)內(nèi)網(wǎng)帶來的安全壓力越來越大���。這些不受信任的終端為攻擊者提供了訪問企業(yè)網(wǎng)絡(luò)的路徑���。信息管理部門可以利用IPSec[4]技術(shù)有效提高企業(yè)網(wǎng)絡(luò)安全,實現(xiàn)對位于公司防火墻內(nèi)部終端的完全管控����。
(4)網(wǎng)絡(luò)入侵檢測系統(tǒng)。網(wǎng)絡(luò)入侵檢測系統(tǒng)作為防火墻的補充����,主要用于監(jiān)控網(wǎng)絡(luò)傳輸,在檢測到可疑傳輸行為時報警���。作為企業(yè)信息安全架構(gòu)的必備設(shè)備,入侵檢測系統(tǒng)能有效防控企業(yè)外部的惡意攻擊行為�����,隨著信息技術(shù)的發(fā)展��,各大安全廠商如賽門鐵克��,思科等均研發(fā)出來成熟的入侵檢測系統(tǒng)產(chǎn)品。
(5)無線網(wǎng)絡(luò)安全���。無線網(wǎng)絡(luò)現(xiàn)在已遍布企業(yè)的辦公區(qū)域����,給企業(yè)和用戶帶來便利的同時也存在信息安全的隱患�。要保證企業(yè)內(nèi)部無線網(wǎng)絡(luò)的安全,信息管理部門需要使用更新更安全的協(xié)議(如無線保護接入WPA或WPA2)�;使用VLAN劃分和域提供互相隔離的無線網(wǎng)絡(luò);利用802.1x和EAP技術(shù)加強對無線網(wǎng)絡(luò)的訪問控制����。
2.2訪問控制
(1)密碼策略。高強度的密碼需要幾年時間來破解����,而脆弱的密碼在一分鐘內(nèi)就可以被破解���。提高企業(yè)用戶的密碼強度是訪問控制的必要手段����。為避免弱密碼可能對公司造成的危害,企業(yè)必須制定密碼策略并利用技術(shù)手段保證執(zhí)行����。
(2)用戶權(quán)限管理。企業(yè)的員工從進入公司到離職是一個完整的生命周期�,要便捷有效地在這個生命周期中對員工的權(quán)限進行管理,需要企業(yè)具有完善的身份管理平臺�����,從而實現(xiàn)授權(quán)流程的自動化����,并實現(xiàn)企業(yè)內(nèi)應(yīng)用的單點登陸。
(3)公鑰系統(tǒng)[5]����。公鑰系統(tǒng)是訪問控制乃至信息安全架構(gòu)的核心模塊,無線網(wǎng)絡(luò)訪問授權(quán)��,VPN接入��,文件加密系統(tǒng)等均可以通過公鑰系統(tǒng)提升安全水平���,因此企業(yè)應(yīng)當(dāng)部署PKI/CA系統(tǒng)。
2.3監(jiān)控與審計
(1)病毒掃描與補丁管理。企業(yè)需要統(tǒng)一的防病毒系統(tǒng)和終端管理系統(tǒng)����,在終端定期更新病毒定義,進行病毒自掃描���,自動更新操作系統(tǒng)補丁�,以減少桌面終端的安全風(fēng)險��。此類管控手段通常需要在用戶的終端上安裝客戶端�,或?qū)K端進行定制,在終端接入企業(yè)內(nèi)網(wǎng)時�,終端管理系統(tǒng)會在隔離區(qū)域?qū)υ摻K端進行綜合評估打分,通過評估后方能接入內(nèi)網(wǎng)��。才能保證系統(tǒng)的安全策略被有效執(zhí)行�����。
(2)惡意軟件防控����。主流的惡意軟件防控體系主要由五部分構(gòu)成:防病毒系統(tǒng);內(nèi)容過濾網(wǎng)關(guān)��;郵件過濾網(wǎng)關(guān);惡意網(wǎng)頁過濾網(wǎng)關(guān)和入侵檢測軟件��。
(3)安全事件記錄和審計�����。企業(yè)應(yīng)當(dāng)配置日志審計系統(tǒng)��,收集信息安全事件�,產(chǎn)生審計記錄,根據(jù)記錄進行安全事件分析��,并采取相應(yīng)的處理措施��。
2.4培訓(xùn)與宣傳
提高企業(yè)管理層和員工的信息安全意識��,是信息安全管理工作的基礎(chǔ)��。了解信息安全的必要性����,管理層才會支持信息安全管理建設(shè),用戶才會配合信息管理部門工作����。利用定期培訓(xùn)����,宣傳海報����,郵件等方式定期反復(fù)對企業(yè)用戶進行信息安全培訓(xùn)和宣傳�,能有效提高企業(yè)信息安全管理水平。
3總結(jié)
當(dāng)前����,越來越多的企業(yè)已經(jīng)把信息安全看做影響業(yè)務(wù)發(fā)展的核心因素之一,信息安全管理已經(jīng)成為企業(yè)管理的重點�����。本文對信息安全政策��,安全管理手段等方面進行了剖析��,結(jié)合當(dāng)前國際主流的信息安全解決辦法�,為企業(yè)做好,做強信息安全管理體系給出了一些通用性的標(biāo)準(zhǔn)��,對企業(yè)構(gòu)建信息安全管理體系�����,消除信息安全隱患,避免信息安全事件造成的損失�,確保信息系統(tǒng)安全、穩(wěn)定運行具有探索意義���。
參考文獻:
[1]何劍虹,白曉穎,李潤玲,崔智社.基于SLA的面向服務(wù)的基礎(chǔ)設(shè)施[J].電訊技術(shù),2011,51(9):100-105.
[2]胡道元,閡京華.網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社,2004.
[3]戴宗坤,唐三平.VPN與網(wǎng)絡(luò)安全[M].北京:電子工業(yè)出版社,2002.
第3篇
【 關(guān)鍵詞 】 信息安全���;電力企業(yè);風(fēng)險評估���;管理模式
1 引言
在如今的信息化社會中�,信息通過共享傳遞實現(xiàn)其價值���。在信息交換的過程中�����,人們肯定會擔(dān)心自己的信息泄露�,所以信息安全備受關(guān)注����,企業(yè)的信息安全就更為重要了�。但是網(wǎng)絡(luò)是一個開放互聯(lián)的環(huán)境���,接入網(wǎng)絡(luò)的方式多樣�,再加上技術(shù)存在的漏洞或者人們可能的操作失誤等,信息安全問題一刻不容忽視����。尤其是電力,是國家規(guī)定的重要信息安全領(lǐng)域��。所以電力企業(yè)要把信息安全管理體系的建設(shè)�,作為重要的一環(huán)納入到整個企業(yè)管理體系中去。
2 電力企業(yè)信息管理體系建設(shè)的依據(jù)
關(guān)于企業(yè)的安全管理體系方面的標(biāo)準(zhǔn)有很多����。英國BSI/DISC的BDD信息管理委員會制定的安全管理體系主要包含兩個部分內(nèi)容:信息安全管理實施規(guī)則和信息安全管理體系規(guī)范。信息安全管理實施規(guī)則是一個基礎(chǔ)性指導(dǎo)文件�,里面有10大管理項、36個執(zhí)行的目標(biāo)和127種控制的方法�,可以作為開發(fā)人員在信息安全管理體系開發(fā)過程中的一個參考文檔。信息安全管理體系規(guī)范則詳細(xì)描述了在建立����、施工和維護信息安全管理體系過程的要求���,并提出了一些具體操作的建議。
國際標(biāo)準(zhǔn)化組織也了很多關(guān)于信息安全技術(shù)的標(biāo)準(zhǔn)�����,如ISO x系列����、ISO/IEC x系列等。我國也制定了一系列的信息安全標(biāo)準(zhǔn)�����,如GB 15851―1995��。
關(guān)于企業(yè)信息安全管理體系方面的標(biāo)準(zhǔn)眾多�����,如何針對企業(yè)自身實際情況選擇合適的參考標(biāo)準(zhǔn)很重要���,尤其是電力企業(yè)有著與其他企業(yè)不同的一些特殊性質(zhì)�����,選擇信息安全體系建設(shè)的參考標(biāo)準(zhǔn)更要謹(jǐn)慎����。我國電力企業(yè)已經(jīng)引入了一些國際化標(biāo)準(zhǔn)作為建立和維護企業(yè)運轉(zhuǎn)的保證,關(guān)于信息安全體系的標(biāo)準(zhǔn)也應(yīng)納入到保證企業(yè)運轉(zhuǎn)的一系列參考中去��。電力企業(yè)總體應(yīng)有一致的安全信息管理體系參考標(biāo)準(zhǔn)����,但是具體地區(qū)的公司又有著本身自己的特殊環(huán)境��,所以在總體一致的信息安全標(biāo)準(zhǔn)的情況下���,也應(yīng)該根據(jù)企業(yè)自身地區(qū)���、人文、政策等的不同制定一些企業(yè)內(nèi)部自己信息安全標(biāo)準(zhǔn)作為建立�����、實施和維護信息安全管理體系的依據(jù)���。信息安全管理體系顧全大局又要有所側(cè)重的體現(xiàn)電力企業(yè)安全標(biāo)準(zhǔn)的要求���。
3 信息安全管理體系里的重要環(huán)節(jié)
3.1 硬件環(huán)境要求
信息安全管理體系并沒有特別要求添加什么特別的設(shè)備�,只是對企業(yè)用到的設(shè)備做一些要求�。電力企業(yè)一般采用內(nèi)外網(wǎng)結(jié)合的方式,內(nèi)外網(wǎng)設(shè)備要盡量進行物理隔離��。企業(yè)每個員工基本都有自己的移動設(shè)備��,如手機等�����,為了增加信息安全的系數(shù)���,企業(yè)可以限制公司設(shè)備的無線網(wǎng)絡(luò)拓展�。另外���,實時監(jiān)控系統(tǒng)也應(yīng)該覆蓋企業(yè)的重要設(shè)備����,監(jiān)控硬件設(shè)備的安全�����。
3.2 軟件環(huán)境要求
在企業(yè)設(shè)備(主要是計算機)上部署相關(guān)軟件環(huán)境是信息安全管理體系中最重要的部分。比如防病毒軟件的部署��、桌面系統(tǒng)弱口令監(jiān)控軟件的部署等����,以此防止網(wǎng)絡(luò)攻擊或者提高安全系數(shù)。另外���,企業(yè)設(shè)備所用系統(tǒng)的安全漏洞修復(fù)����、數(shù)據(jù)的加密解密�����、數(shù)據(jù)的備份恢復(fù)及數(shù)據(jù)傳輸通道的加密解密等問題����,都在信息安全管理體系設(shè)計的考慮范疇��。
3.3 企業(yè)員工管理
盡管現(xiàn)在一直倡導(dǎo)智能化���,但是企業(yè)內(nèi)進行設(shè)備等操作的主體還是員工���。不管是對設(shè)備終端操作來進行信息的首發(fā)�����,還是對企業(yè)軟硬件系統(tǒng)進行維護工作����,都是有員工來進行的�。所以,對企業(yè)內(nèi)部員工進行信息安全培訓(xùn)��,提高員工的信息安全防范意識�,讓員工掌握一定的信息安全防范與處理手段是非常重要的事情。針對不同的職位�����,在員工上崗前應(yīng)該進行相關(guān)的信息安全方面的培訓(xùn)�,然后對培訓(xùn)結(jié)果進行考核,不合格的人員不準(zhǔn)上崗�����。在崗的人員也要定期進行培訓(xùn)與考核。另外���,如果有條件的話���,企業(yè)應(yīng)該定期(例如每年)進行一次信息安全的相關(guān)演習(xí)。
另外�,電力企業(yè)有些項目是外包給其他相應(yīng)公司的,這時候會有施工人員和駐場人員在電力企業(yè)���,對這些人員也應(yīng)該進行電力企業(yè)信息安全的培訓(xùn)����。
3.4 信息安全管理體系的風(fēng)險系數(shù)評估
風(fēng)險評估在信息安全管理體系中是確定企業(yè)信息安全需求的一個重要途徑���,它是對企業(yè)的信息資產(chǎn)所面臨的威脅�����、存在的弱點、造成的影響����,以及三者綜合作用下所帶來的風(fēng)險可能性的評測���。風(fēng)險評估的主要任務(wù)是:檢測評估對象所面臨的各種風(fēng)險,估計風(fēng)險的概率和可能帶來的負(fù)面影響的程度���,確定信息安全管理體系承受風(fēng)險的能力�,確定不同風(fēng)險發(fā)生后消減和控制的優(yōu)先級�����,對消除風(fēng)險提出建議�。在信息安全管理體系的風(fēng)險系數(shù)評估過程中,形成《風(fēng)險系數(shù)評估報告》����、《風(fēng)險處理方案》等文檔,作為對信息安全管理體系進行調(diào)整的參考����。風(fēng)險系數(shù)的評估要盡可能全面的反映企業(yè)的信息安全管理體系,除了常規(guī)手段�����,也可以使用一些相應(yīng)的軟件工具的結(jié)果作為參考��。另外很值得注意的是企業(yè)的員工對風(fēng)險的理解,企業(yè)員工對他們所操作的對象有比較深刻的理解���,對其中可能存在的不足也有自己的見解�,在風(fēng)險系數(shù)評估的過程中��,可以進行一些員工的問卷調(diào)查等�����,把員工對風(fēng)險的認(rèn)識納入風(fēng)險評估的考慮范疇�����。
企業(yè)的設(shè)備會老舊更換����,員工也會更換,所以企業(yè)的信息安全是動態(tài)的�,因此風(fēng)險評估工作也要視具體情況定期進行,針對當(dāng)前情況作評估報告���,然后制定相應(yīng)的風(fēng)險處理方案。還有��,之所以要建立信息安全管理體系,其中很重要的一點就是體系內(nèi)各個模塊的結(jié)合�����,信息安全管理體系的風(fēng)險評估與關(guān)鍵內(nèi)容的實時監(jiān)控就應(yīng)該結(jié)合起來��。
為了降低信息安全管理體系的風(fēng)險系數(shù)�����,提升信息安全等級�,要做的工作很多。滲透測試就是其中很有必要的一項工作��。滲透測試是測試人員通過模擬惡意攻擊者的攻擊方式�����,來評估企業(yè)計算機網(wǎng)絡(luò)系統(tǒng)安全的一種評測方法�。這個測試過程會對系統(tǒng)的可知的所有弱點、技術(shù)方面的缺陷或者漏洞等作主動的分析��。滲透測試對于網(wǎng)絡(luò)信息安全的組織具有實際應(yīng)用價值����。隨著技術(shù)的不斷進步,可能還會出現(xiàn)其他的更有價值的信息安全技術(shù)����,作為信息安全備受矚目的電力企業(yè),應(yīng)當(dāng)時刻關(guān)注相關(guān)技術(shù)的進展����,并及時將它們納入企業(yè)信息安全管理體系中來。
3.5 信息安全管理體系的管理模式
文章前面提到企業(yè)信息安全是動態(tài)的���,所以信息安全管理體系需要建立一個長效的機制�����,針對最新的情況及時對自身作出調(diào)整�����,使信息安全管理體系有效的運行?��,F(xiàn)在一般會采用PDCA循環(huán)過程模式:計劃,依照體系整個的方針和目標(biāo)�����,建立與控制風(fēng)險系數(shù)、提高信息安全的有關(guān)的安全方針�、過程��、指標(biāo)和程序等��;執(zhí)行:實施和運作計劃中建立的方針����、過程、程序等��;評測:根據(jù)方針���、目標(biāo)等��,評估業(yè)績���,并形成報告,也就是文章前面說到的風(fēng)險系數(shù)評估����;舉措:采取主動糾正或預(yù)防措施對體系進行調(diào)整,進一步提高體系運作的有效性。這四個步驟循環(huán)運轉(zhuǎn)��,成為一個閉環(huán)�����,是信息安全管理體系得到持續(xù)的改進�。
4 重要技術(shù)及展望
4.1 安全隔離技術(shù)
電力企業(yè)的信息網(wǎng)絡(luò)是由內(nèi)外網(wǎng)兩部分組成,從被防御的角度來看的話��,內(nèi)網(wǎng)的主要安全防護技術(shù)為防火墻�����、桌面弱口令監(jiān)控�����、入侵檢測技術(shù)等�;而主動防護則主要采用的是安全隔離技術(shù)等。安全隔離技術(shù)包括物理隔離�、協(xié)議隔離技術(shù)和防火墻技術(shù)。一般電力企業(yè)采用了物理隔離與防火墻技術(shù)����,在內(nèi)網(wǎng)設(shè)立防火墻,在內(nèi)外網(wǎng)之間進行物理隔離。
4.2 數(shù)據(jù)加密技術(shù)
企業(yè)的數(shù)據(jù)在傳輸過程中一般都要進行加密來降低信息泄露的風(fēng)險��??梢愿鶕?jù)電力企業(yè)內(nèi)部具體的安全要求,對規(guī)定的文檔����、視圖等在傳輸前進行數(shù)據(jù)加密���。尤其是電力企業(yè)通過外網(wǎng)傳輸?shù)臅r候�����,除了對數(shù)據(jù)進行加密外��,還應(yīng)該在鏈路兩端進行通道加密���。
4.3 終端弱口令監(jiān)控技術(shù)
終端設(shè)備眾多,而且是業(yè)務(wù)應(yīng)用的主要入口�����,所以終端口令關(guān)乎業(yè)務(wù)數(shù)據(jù)的安全以及整個系統(tǒng)的正常運轉(zhuǎn)��。如果終端口令過于簡單薄弱,相當(dāng)于沒有設(shè)定而將設(shè)備暴露���。終端的信息安全是電力企業(yè)信息安全的第一道防線�����,因此采用桌面系統(tǒng)弱口令監(jiān)控技術(shù)來加強這第一道防線的穩(wěn)固性對電力企業(yè)的信息安全非常重要�����。
電力企業(yè)信息安全管理體系是一個復(fù)雜的系統(tǒng)�����,包含眾多的安全技術(shù)����,如數(shù)據(jù)備份及災(zāi)難恢復(fù)技術(shù)�����、終端安全檢查與用戶身份認(rèn)證技術(shù)����、虛擬專用網(wǎng)技術(shù)�����、協(xié)議隔離技術(shù)等。凡是與信息安全相關(guān)的技術(shù)�,電力企業(yè)都應(yīng)當(dāng)關(guān)注,并根據(jù)企業(yè)自身的情況決定是否將之納入到信息安全管理體系中去��。
智能化已成為不管是研究還是社會應(yīng)用的熱門詞匯��。電力企業(yè)的信息安全管理體系是否可以智能化呢����?不妨做一個展望����,電力企業(yè)的信息安全管理體系有了很強的自我學(xué)習(xí)與自我改進的能力,在信息安全環(huán)境越來越復(fù)雜���,信息量越來越龐大的情況下是否會更能發(fā)揮信息安全管理體系的作用呢�?這應(yīng)該是值得期待的����。
5 防病毒軟件部署
電力企業(yè)信息安全管理體系有很多軟件系統(tǒng)的部署�,如防病毒軟件部署���、桌面弱口令監(jiān)控系統(tǒng)部署�����、系統(tǒng)安全衛(wèi)士部署等��。但是它們的部署情況類似���,這里用防病毒軟件的部署來展示電力企業(yè)信息安全管理體系中軟件系統(tǒng)的部署情況。如圖1所示為防病毒軟件的部署框架�。
殺毒軟件種類有很多,這里以賽門鐵克殺毒軟件為例���。企業(yè)版的賽門鐵克防病毒軟件系統(tǒng)相比單機版增加了網(wǎng)絡(luò)管理的功能�,能夠很大程度地減輕維護人員的工作量��。為了確保防病毒軟件系統(tǒng)的穩(wěn)定運行�,在電力企業(yè)內(nèi)部正式使用時,盡量準(zhǔn)備一立的服務(wù)器作為防病毒軟件專用的服務(wù)器���。
服務(wù)器安裝配置好賽門鐵克防病毒軟件后�,可以遠(yuǎn)程控制客戶端與下級升級服務(wù)器的軟件安裝與升級�����。
電力企業(yè)內(nèi)網(wǎng)可能是禁止接入外網(wǎng)的���,這樣的話�����,防病毒軟件的更新可能無法自動完成����。防病毒軟件需要升級的時候�����,維護人員在通過外網(wǎng)在相應(yīng)網(wǎng)址下載賽門鐵克升級包����,然后通過安全U盤拷貝到防病毒軟件系統(tǒng)專用服務(wù)器進行升級操作����。在圖1中���,省電力公司的防病毒管理控制臺獲得升級包可以下發(fā)給下級升級服務(wù)器和客戶端進行防病毒軟件系統(tǒng)的自動升級更新。圖1是一個簡單的框圖�,如果電力企業(yè)的內(nèi)網(wǎng)規(guī)模很大的話,還可以更多級地分布部署�����。
6 結(jié)束語
電力企業(yè)的信息安全與企業(yè)的生產(chǎn)與經(jīng)營管理密切相關(guān)�����,是企業(yè)整個管理系統(tǒng)的一部分����。信息安全管理體系是一個整體性的管理工作,把體系中涉及的內(nèi)容統(tǒng)一進行管理�����,讓它們協(xié)調(diào)運作����,實現(xiàn)信息安全管理體系的功能。電力企業(yè)信息安全的建立與體系不斷的改進定能穩(wěn)定���、有效地維護企業(yè)的信息安全�����。
參考文獻
[1] 王志強�,李建剛.電網(wǎng)企業(yè)信息安全管理體系建設(shè)[J].浙江省電力公司,2008�,6(3):26-29.
[2] 陳賀����,宮俊峰.淺析信息安全體系如何建立[J].中國管理信息化,2014��,17(1):74-76.
[3] 郭建��,顧志強.電力企業(yè)信息安全現(xiàn)狀分析及管理對策[J].信息技術(shù)���,2013(1):180-187.
[4] 沈軍.火力發(fā)電廠信息你安全體系構(gòu)建與應(yīng)用[J].電力信息通信技術(shù),2013�����,11(8):103-108.
[5] 左鋒.信息安全體系模型研究[J].信息安全與通信保密�����,2010,01(10):68-71.
[6] 楊柳.構(gòu)建供電企業(yè)信息安全體系[J].電腦知識與技術(shù)���,2005(29).
[7] 曹鳴鵬�, 趙偉�, 許林英. J2EE技術(shù)及其實現(xiàn)[J]. 計算機應(yīng)用,2001�����, 21(10): 20-23.
[8] 江和平.淺談網(wǎng)絡(luò)信息安全技術(shù)[J].現(xiàn)代情報學(xué)��,2004(14):125-127.
作者簡介:
崔阿軍(1984-)���,男�����,甘肅平?jīng)鋈?����,碩士研究生���,工程師����;主要研究方向和關(guān)注領(lǐng)域:電力信息通信安全技術(shù)研究�。
張馴(1984-)�,男,江蘇揚州人���,本科����,工程師�����;主要研究方向和關(guān)注領(lǐng)域:電力信息通信安全技術(shù)研究��。
李志茹(1984-)�,女,山東平度人����,碩士研究生,工程師�����;主要研究方向和關(guān)注領(lǐng)域:信息化建設(shè)及安全技術(shù)��。
龔波(1981-)��,男���,湖南新邵人�,本科��,工程師����;主要研究方向和關(guān)注領(lǐng)域:電力信息化建設(shè)及安全技術(shù)。
第4篇
[關(guān)鍵詞]信息安全管理 評估模型 管理體系
中圖分類號:P9.T3308 文獻標(biāo)識碼:A 文章編號:1009-914X(2016)21-0400-01
1�����、 引言
隨著信息化建設(shè)的發(fā)展�����,信息安全越來越多的受到人們的重視,企業(yè)信息安全重點面臨的問題主要表現(xiàn)在[1]:1)網(wǎng)絡(luò)受到外部的惡意攻擊�,部分單位無終端接入控制措施,使企業(yè)的正常業(yè)務(wù)無法開展或相關(guān)重要數(shù)據(jù)被盜?���。?)網(wǎng)站受到黑客攻擊����,由于部分掌握網(wǎng)絡(luò)技術(shù)的不法人員查詢到破解網(wǎng)站所存在的漏洞,加以利用并篡改網(wǎng)站信息及獲取網(wǎng)站管理權(quán)限�,使得網(wǎng)站陷入癱瘓;3)信息的監(jiān)管不利產(chǎn)生不良的影響���,通常情況下信息沒有主管部門負(fù)責(zé)審核導(dǎo)致監(jiān)管不到位��,那么不良信息就可能由于工作人員的疏忽而上傳到網(wǎng)站上��,造成不良影響���;4)計算機病毒的危害,相關(guān)系統(tǒng)不及時更新補丁和升級����,受到病毒入侵并加以利用�����,篡改應(yīng)用系統(tǒng)信息或獲取管理權(quán)限,使得應(yīng)用系統(tǒng)丟失重要信息��。
當(dāng)前���,有關(guān)信息系統(tǒng)的安全評價雖然存在著多種多樣的具體實踐方式���,但在目前還沒有形成系統(tǒng)化和形式化的評價理論和方法。評價模型基本是基于灰色理論(Gray Theory)或者模糊(Fuzzy)數(shù)學(xué)�����,而評價方法基本上用層次分析法AHP[2](Analytic Hierarchy Process)或模糊層次分析法Fuzzy AHP[3]將定性因素與定量參數(shù)結(jié)合��,建立了安全評價體系�����,并運用隸屬函數(shù)和隸屬度確定待評對象的安全狀況����。上述各種安全評估思想都是從信息系統(tǒng)安全的某一個方面出發(fā)�����,如技術(shù)�、管理��、過程�����、人員等��,著重于評估網(wǎng)絡(luò)系統(tǒng)安全某一方面的實踐規(guī)范�����。在操作上主觀隨意性較強�,其評估過程主要依靠測試者的技術(shù)水平和對網(wǎng)絡(luò)系統(tǒng)的了解程度,缺乏統(tǒng)一的�、系統(tǒng)化的安全評估框架,很多評估準(zhǔn)則和指標(biāo)沒有與被評價對象的實際運行情況和信息安全保障的效果結(jié)合起來��。
大型企業(yè)信息安全管理體系的研究����,就是為了尋找一個科學(xué)��、合理的管理體系�����,并根據(jù)該體系和方法對大型企業(yè)的信息安全狀況和水平進行評價,對信息安全管理績效進行考核�����。
2�����、 大型企業(yè)信息安全管理體系的內(nèi)涵
通過管理體系的應(yīng)用�,將對大型企業(yè)信息安全產(chǎn)生非常重要的作用。一是可以對企業(yè)信息安全的水平做出客觀的反應(yīng)��,認(rèn)識企業(yè)信息安全存在的不足之處�����,發(fā)揮考評體系的指導(dǎo)作用�����,引導(dǎo)企業(yè)“信息安全”工作健康科學(xué)發(fā)展;二是可以為企業(yè)信息安全的建設(shè)指明方向�,為信息安全的發(fā)展提供有力支撐;三是可以幫助企業(yè)管理者建立起一套科學(xué)的信息安全管理系統(tǒng)���,有效控制信息化活動的進程��,提高信息安全級別����,減少因信息安全事件引起的損失�,有利于正確引導(dǎo)和規(guī)范企業(yè)的信息化建設(shè),指導(dǎo)企業(yè)科學(xué)發(fā)展具有重要的意義�����。
3�、 大型企業(yè)信息安全管理體系的主要做法
為了大型企業(yè)信息安全管理體系的建立,提出了管理體系的目標(biāo):對于信息安全方面出現(xiàn)的問題����,達(dá)到防范目的;對于信息安全工作進行查漏補缺,加強管理���;通過評估體系的考核����,落實相關(guān)信息安全文件��、推進信息安全工作���,為企業(yè)信息安全的建設(shè)指明方向��,同時注重管理體系整體的時效性�,根據(jù)信息安全發(fā)展的不同階段進行及時更新�����。
1) 建立大型企業(yè)信息安全體系
信息安全體系總體設(shè)計���。信息安全體系設(shè)計共分為三級,包含9個一級指標(biāo)���,14個二級指標(biāo)�,27個三級指標(biāo)�。一級指標(biāo)和二級指標(biāo)為共性指標(biāo)�,三級指標(biāo)為數(shù)據(jù)采集項�。一級指標(biāo)包括:網(wǎng)絡(luò)安全管理�����、環(huán)境安全管理�����、應(yīng)用系統(tǒng)安全管理�����、數(shù)據(jù)安全管理�、終端安全管理、操作安全管理�����、網(wǎng)絡(luò)信息安全���、移動信息化安全�����、服務(wù)器掃描情況���。一級和二級指標(biāo)結(jié)構(gòu)圖如下:
2)信息安全考評指標(biāo)的權(quán)重設(shè)計
指標(biāo)權(quán)重理論思路����。具體權(quán)重根據(jù)德爾菲法[4]�、層次分析法,結(jié)合政策導(dǎo)向確定�����。
管理體系的指標(biāo)權(quán)重確定方法設(shè)計過程中����,選取兩組技術(shù)��、管理等方面的專家��,其中一組專家根據(jù)各指標(biāo)在企業(yè)信息化中的重要程度���,確定各指標(biāo)的相對重要性��,采用層次分析法確定各指標(biāo)的權(quán)重����。另外一組專家根據(jù)各指標(biāo)在企業(yè)信息化中的重要程度,對各指標(biāo)按百分制進行賦值�,確定各指標(biāo)的權(quán)重。綜合兩組專家的意見����,初步確定各指標(biāo)的權(quán)重,再組織專家研討會��,最終確定各指標(biāo)的權(quán)重�。
企業(yè)信息安全考評指標(biāo)總分計算方法:
I=Σ(Pi*Wi) (1)
I表示指標(biāo)體系的總得分;Pi表示第i個指標(biāo)的得分�,各指標(biāo)得滿分都是100分;Wi表示第i個指標(biāo)的權(quán)重���,所有指標(biāo)權(quán)重的和為100%��。
3)建設(shè)大型企業(yè)信息化評價管理系統(tǒng)
為了實施信息安全措施體系���,以信息安全體系、信息安全文件和考評制度為基礎(chǔ)�,研發(fā)包括信息安全在內(nèi)的大型企業(yè)信息化評價管理系統(tǒng)��。通過使用該系統(tǒng)����,將減輕信息化管理部門的負(fù)擔(dān)�,填報和匯總數(shù)據(jù)的效率顯著提高,最為突出的是以上報數(shù)據(jù)為基礎(chǔ)�,可以自動、實時地形成各種統(tǒng)計��、分析圖表����,從而完成以往需要信息化管理人員幾天才能完成的大量統(tǒng)計工作,大大減輕了信息化管理部門的工作強度����,增加了信息化管理部門對新情況快速反應(yīng)能力。
系統(tǒng)整體架構(gòu)由數(shù)據(jù)庫層����、框架服務(wù)層���、應(yīng)用邏輯層�、界面表現(xiàn)層組成,系統(tǒng)部署了tomcat下運行的I@Report和BI@Report作為框架服務(wù)層���,并在此基礎(chǔ)上開發(fā)了業(yè)務(wù)系統(tǒng)����。
系統(tǒng)主要實現(xiàn)了如下功能:
編碼同步�、基層權(quán)限管理、評價初始化��、基層初評�、數(shù)據(jù)提交、部門權(quán)限管理(含單位���、指標(biāo)項)����、管理部門復(fù)評�、信息稽核、數(shù)據(jù)計算�、統(tǒng)計管理、查詢管理����、決策模型��。
建立統(tǒng)一的數(shù)據(jù)報送平臺����,提高企業(yè)信息整合水平����。
建立在線交流及公告平臺。
系統(tǒng)根據(jù)建立的數(shù)學(xué)模型進行綜合分析��,可自動��、實時地形成各種統(tǒng)計分析圖表���、報告等�����,例如:信息化評級��、信息化水平評測報告���。
4、 結(jié)束語
通過大型企業(yè)信息安全管理體系的實施�,使企業(yè)信息化水平評估體系更加完善���,在考評信息化建設(shè)水平的同時���,又對信息安全水平等級有所提升�����。
參考文獻
[1] 周學(xué)廣���,劉藝.信息安全學(xué)[M].北京:機械工業(yè)出版社,2003.
[2] 常建娥��,蔣太立.層次分析法確定權(quán)重的研究[J].武漢理工大學(xué)學(xué)報����,信息與管理工程版,2007����,1(29):153-156.
第5篇
關(guān)鍵詞:信息完全;技術(shù)��;體系
一����、前言
隨著金川集團公司跨國經(jīng)營戰(zhàn)略的實施�,企業(yè)信息化進程不斷深入����,企業(yè)信息安全己經(jīng)引起公司領(lǐng)導(dǎo)的的高度重視,但依然存在不少問題����。調(diào)查結(jié)果表明,造成網(wǎng)絡(luò)安全事件發(fā)生的原因有很多����,一是安全技術(shù)保障體系尚不完善,企業(yè)花了大量的金錢購買了信息安全設(shè)備�,但是技術(shù)保障不成體系,達(dá)不到預(yù)想的目標(biāo);二是應(yīng)急反應(yīng)體系沒有經(jīng)?�;?��、制度化;三是企業(yè)信息安全的標(biāo)準(zhǔn)�����、制度建設(shè)滯后�����。其中�����,由于未修補或防范軟件漏洞導(dǎo)致發(fā)生安全事件的占安全事件總數(shù)的80%�����,登錄密碼過于簡單或未修改密碼導(dǎo)致發(fā)生安全事件的占19%�����。近年來����,雖然使用單位對信息網(wǎng)絡(luò)安全管理工作的重視程度普遍提高�����,80%的被調(diào)查單位有專職或兼職的安全管理人員�,但是,很多企業(yè)存在安全觀念薄弱、安全管理員缺乏培訓(xùn)���、安全經(jīng)費投入不足和安全產(chǎn)品不能滿足要求等問題��,也說明目前安全管理水平還比較低��。因此現(xiàn)代企業(yè)迫切需要建立信息資源安全管理體系����。
二�����、企業(yè)信息資源安全管理體系構(gòu)建
1�����、企業(yè)信息安全組織管理
企業(yè)信息安全組織體系定義為一個三層的組織�����,組織架構(gòu)如圖所示:
企業(yè)信息安全組織
l)總經(jīng)理通過總經(jīng)辦負(fù)責(zé)企業(yè)信息��、安全的決策事項���。2)總經(jīng)理任命一名信息安全主管負(fù)責(zé)企業(yè)信息安全的風(fēng)險管理�,該主管領(lǐng)導(dǎo)一個有各個部門主要負(fù)責(zé)人參加的信息安全管理小組維護企業(yè)信息安全管理體系、管理企業(yè)信息安全風(fēng)險����。3)總經(jīng)理任命一名信息安全審計師,負(fù)責(zé)企業(yè)信息安全活動的審計��。4)行政部門���、業(yè)務(wù)部門和分支機構(gòu)執(zhí)行信息安全管理體系中的相應(yīng)安全政策,并在信息安全管理主管的領(lǐng)導(dǎo)下��,實施風(fēng)險管理計劃��。各個部門負(fù)責(zé)人有義務(wù)向信息安全主管報告所管轄部門的信息安全狀況�����,信息安全主管應(yīng)定期在組織范圍內(nèi)和向上級機關(guān)報告企業(yè)信息安全狀況����。
2、企業(yè)信息安全政策管理
根據(jù)企業(yè)信息安全風(fēng)險分析的結(jié)果和信息安全政策制定的原則�����,設(shè)計信息安全政策體系包括以下幾點:(1)企業(yè)信息安全風(fēng)險管理政策:a)信息安全風(fēng)險定義,包括風(fēng)險等級定義和安全類別定義;b)信息安全風(fēng)險評估執(zhí)行要求�����,包括時問周期要求�����、范圍要求����、基于事件的風(fēng)險評估要求:c)信息安全風(fēng)險評估責(zé)任,包括信息安全管理人員責(zé)任和業(yè)務(wù)部門責(zé)任�。(2)企業(yè)信息安全體系管理政策:a)管理體系的規(guī)劃,包括規(guī)劃的時機�、規(guī)劃的內(nèi)容、規(guī)劃的依據(jù)��、規(guī)劃的責(zé)任人:b)管理體系的實施�,包括、培訓(xùn)�、執(zhí)行獎懲。c)管理體系的驗證���,包括周期管理評審����、安全審計、事件評審����、殘留風(fēng)險評估。d)管理體系的改進����,包括分析和變更控制。(3)病毒抵御安全政策:a)操作程序一運行網(wǎng)絡(luò)管理人員日常工作的程序�。這部分安全政策主要控制的風(fēng)險是不規(guī)范的管理活動造成無效或低效的管理。b)關(guān)鍵資源監(jiān)控一識別出關(guān)鍵設(shè)備并對關(guān)鍵設(shè)備的運行狀態(tài)進行監(jiān)控�����。這部分安全政策主要控制的風(fēng)險是關(guān)鍵資源異常情況不能被及時發(fā)現(xiàn)和處理�����。c)軟件系統(tǒng)維護一對軟件系統(tǒng)及時地升級和打補丁�。這部分安全政策主要控制的風(fēng)險是軟件系統(tǒng)未及時升級和/或打補丁而造成的信息故障或者安全事故�。d)敏感資料存儲一對在業(yè)務(wù)進行過程中產(chǎn)生的敏感信息的存放管理�����。這部分安全政策主要控制的風(fēng)險是由于對敏感資料存儲不當(dāng)導(dǎo)致資料的丟失或泄漏�����。
3��、企業(yè)信息安全事件管理
目前�,沒有任何一種具有代表性的信息安全策略或防護措施可對信息���、信息系統(tǒng)�、服務(wù)或網(wǎng)絡(luò)提供絕對的保護���。即使采取了防護措施���,仍可能存在殘留的弱點,使得信息安全防護變得無效��,從而導(dǎo)致信息安全事件發(fā)生�,并對企業(yè)的業(yè)務(wù)運行直接或間接地產(chǎn)生負(fù)面影響。此外�,以前未被認(rèn)識到的威脅也將會不可避免地發(fā)生�����。企業(yè)如果對如何應(yīng)對這些事件沒有作好充分準(zhǔn)備�,其任何實際響應(yīng)的效率都會大打折扣�����,甚至還可能增加潛在的業(yè)務(wù)負(fù)面影響���。因此����,企業(yè)應(yīng)著重做好信息安全事件管理工作���。信息安全事件管理方案的必企業(yè)應(yīng)著重做好信息安全事件管理工作��。信息安全事件管理方案的必要過程包括:(1)發(fā)現(xiàn)和報告發(fā)生的信息安全事態(tài),無論是由企業(yè)人員/顧客引起的還是自動發(fā)生的(如防火墻警報)���。(2)收集有關(guān)信息安全事態(tài)的信息����,由企業(yè)的運行支持組人員進行評估,確定該事態(tài)屬于信息安全事件還是發(fā)生了誤報�。確認(rèn)該事態(tài)是否屬于信息安全事件,如果是�,則立即作出響應(yīng),同時啟動必要的法律取證分析����、溝通活動。(3)進行評審以確定該信息安全事件是否處于控制下��。(4)如果處于控制下�����,則啟動任何所需要的進一步的后續(xù)響應(yīng)�,以確保所有相關(guān)信息準(zhǔn)備完畢,供事件解決后評審所用�����。(5)如果不在控制下�,則采取“危機求助”活動并召集相關(guān)人員,如企業(yè)中負(fù)責(zé)業(yè)務(wù)連續(xù)性的管理者和工作組�����。(6)在整個階段按要求進行上報,以便進一步評估和決策�。(7)確保所有相關(guān)人員,正確記錄所有活動以備后面分析所用��。(8)確保對電子證據(jù)進行收集和安全保存���,同時確保電子證據(jù)的安全保存得到持續(xù)監(jiān)視��,以備法律起訴或內(nèi)部處罰所需����。(9)確保包括信息安全事件追蹤和事件報告更新的變更控制制度得到維護�����,從而使得信息安全事態(tài)/事件數(shù)據(jù)庫保持最新�。
4、企業(yè)信息安全技術(shù)管理
我們所構(gòu)建的信息安全管理體系中��,不能忽視技術(shù)的作用��,雖然只使用技術(shù)控制不能保證一個信息安全環(huán)境��,但是在通常情況下��,它是信息安全項目的基礎(chǔ)部分�����。(1)密碼服務(wù)技術(shù)����。密碼服務(wù)技術(shù)為密碼的有效應(yīng)用提供技術(shù)支持。通常密碼服務(wù)系統(tǒng)由密碼芯片����、密碼模塊、密碼機或軟件���,以及密碼服務(wù)接口構(gòu)成���。通常,企業(yè)會涉及以下幾個方面的密碼應(yīng)用:數(shù)字證書運算���、密鑰加密運算�、數(shù)據(jù)傳輸�、數(shù)據(jù)儲存、數(shù)字簽名、數(shù)字信封����。(2)故障恢復(fù)技術(shù)。故障恢復(fù)的主要措施有:群集配置�,由多臺計算機組成群集結(jié)構(gòu),盡可能消除整個系統(tǒng)可能存在的單點故障���;雙機熱備份�,在任何一臺設(shè)備失效的情況下���,按照預(yù)先定義的規(guī)則快速切換至相應(yīng)的備份設(shè)備����,維持業(yè)務(wù)的正常運行��;故障恢復(fù)管理���,由專門的集群軟件進行管理和監(jiān)控����,使應(yīng)用系統(tǒng)在任何軟硬件組成單元發(fā)生故障時���,能夠根據(jù) 故障情況重新分配任務(wù)�。(3)惡意代碼防范技術(shù):惡意代碼防范技術(shù)包括四大系統(tǒng):病毒查殺系統(tǒng)、網(wǎng)關(guān)防毒系統(tǒng)��、群件防毒系統(tǒng)�、集中管理系統(tǒng)�。(4)入侵檢測技術(shù)。入侵檢測系統(tǒng)是實現(xiàn)入侵檢測功能的一系列的軟件�、硬件的組合。入侵檢測系統(tǒng)以實時方式監(jiān)測網(wǎng)絡(luò)通信����,對其進行分析并實時安全預(yù)警,從而使企業(yè)能夠有效管理內(nèi)部人員和資源�,并對外部攻擊進行早期預(yù)警和跟蹤,有效保障系統(tǒng)安全���?���;谥鳈C的入侵檢測系統(tǒng)通常以系統(tǒng)日志���、應(yīng)用程序日志等審計記錄文件作為數(shù)據(jù)源��。通過比較這些審計記錄文件與攻擊簽名是否匹配�����,如果匹配立即報警采取行動.基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)把原始的網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源����。它是利用網(wǎng)絡(luò)適配器來實時監(jiān)視并分析通過網(wǎng)絡(luò)進行傳輸?shù)乃型ㄐ艠I(yè)務(wù)。(5)掃描與分析技術(shù)���。端口掃描工具能識別網(wǎng)絡(luò)上活動的計算機�,同樣也可以識別這些計算機上的活動端口和服務(wù)����。可以掃描特定類型的計算機�����、協(xié)議和資源���,也可進行普遍掃描�����。漏洞掃描可以掃描網(wǎng)絡(luò)并得到非常詳細(xì)的信息��??梢宰R別暴露的用戶名和組,顯示開放的網(wǎng)絡(luò)共享�,并暴露配置問題和其他服務(wù)器漏洞。內(nèi)容過濾器也能有效地保護機構(gòu)系統(tǒng)��,使其不受誤用和無意的拒絕服務(wù)��。
5�、企業(yè)信息安全培訓(xùn)的必要性
公司目前很多崗位和部門的員工都從事涉密數(shù)據(jù)相關(guān)工作��,有很多數(shù)據(jù)和信息涉及到公司的機密和知識產(chǎn)權(quán)����,但是大多數(shù)員工信息安全意識差,在平時的工作中在意識上和實際工作中存在很多問題��,導(dǎo)致涉密數(shù)據(jù)的外漏���,給公司的生產(chǎn)經(jīng)營造成不可挽回的損失��。在有管理組織��、政策制度和技術(shù)保障的情況下�,通過對涉密數(shù)據(jù)相關(guān)工作人員的信息安全意識和信息安全操作培訓(xùn)是非常必要的。
三�����、結(jié)語
總之�����,企業(yè)信息安全管理體系是一個企業(yè)日常經(jīng)營和持續(xù)發(fā)展的基本保證���,也是企業(yè)戰(zhàn)略和管理的重要環(huán)節(jié)����。建立信息安全管理體系的目的就是降低信息風(fēng)險對企業(yè)的危害��。并將企業(yè)信息系統(tǒng)投資和商業(yè)利益最大化����。信息安全不只是個技術(shù)問題,而更多的是商業(yè)���、管理和法律問題�����。實現(xiàn)信息安全不僅僅需要采用技術(shù)措施�����,還需要更多地借助于技術(shù)以外的其他手段����。
參考文獻:
第6篇
[關(guān)鍵詞]信息安全;管理�;控制�;構(gòu)建
中圖分類號:X922;F272 文獻標(biāo)識碼:A 文章編號:1009-914X(2015)42-0081-01
1 企業(yè)信息安全的現(xiàn)狀
隨著企業(yè)信息化水平的提升�,大多數(shù)企業(yè)在信息安全建設(shè)上逐步添加了上網(wǎng)行為管理、內(nèi)網(wǎng)安全管理等新的安全設(shè)備���,但信息安全防護理念還停留在防的階段���,信息安全策略都是在安全事件發(fā)生后再補救,導(dǎo)致了企業(yè)信息防范的主動性和意識不高�,信息安全防護水平已經(jīng)越來越不適應(yīng)當(dāng)今企業(yè)IT運維環(huán)境和企業(yè)發(fā)展的需求。
2 企業(yè)信息系統(tǒng)安全防護的構(gòu)建原則
企業(yè)信息化安全建設(shè)的目標(biāo)是在保障企業(yè)數(shù)字化成果的安全性和可靠性���。在構(gòu)建企業(yè)信息安全體系時應(yīng)該遵循以下幾個原則:
2.1 建立企業(yè)完善的信息化安全管理體系
企業(yè)信息安全管理體系首先要建立完善的組織架構(gòu)���、制定信息安全管理規(guī)范�,來保障信息安全制度的落實以及企業(yè)信息化安全體系的不斷完善�����?���;酒髽I(yè)信息安全管理過程包括:分析企業(yè)數(shù)字化資產(chǎn)評估和風(fēng)險分析、規(guī)劃信息系統(tǒng)動態(tài)安全模型�����、建立可靠嚴(yán)謹(jǐn)?shù)膱?zhí)行策略�、選用安全可靠的的防護產(chǎn)品等。
2.2 提高企業(yè)員工自身的信息安全防范意識
在企業(yè)信息化系統(tǒng)安全管理中���,防護設(shè)備和防護策略只是其中的一部分�����,企業(yè)員工的行為也是維護企業(yè)數(shù)字化成果不可忽略的組成�����。所以企業(yè)在實施信息化安全管理時�����,絕對不能忽視對人的行為規(guī)范和績效管理�����。在企業(yè)實施企業(yè)信息安全前��,應(yīng)制定企業(yè)員工信息安全行為規(guī)范����,有效地實現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全�����、可靠���、穩(wěn)定運行���,保證企業(yè)信息安全���。其次階段遞進的培訓(xùn)信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施。企業(yè)對員工進行逐次的安全培訓(xùn)�,強化企業(yè)員工對信息安全的概念,提升員工的安全意識�����。使員工的行為符合整個企業(yè)信息安全的防范要求�。
2.3 及時優(yōu)化更新企業(yè)信息安全防護技術(shù)
當(dāng)企業(yè)對自身信息安全做出了一套整體完善的防護規(guī)劃時,就應(yīng)當(dāng)考慮采用何種安全防護技術(shù)來支撐整個信息安全防護體系����。對于安全防護技術(shù)來說可以分為身份識別、網(wǎng)絡(luò)隔離���、網(wǎng)絡(luò)安全掃描�、實時監(jiān)控與入侵發(fā)現(xiàn)����、安全備份恢復(fù)等。比如身份識別的目的在于防止非企業(yè)人員訪問企業(yè)資源���,并且可以根據(jù)員工級別分配人員訪問權(quán)限�,達(dá)到企業(yè)敏感信息的安全保障。
3 企業(yè)信息安全體系部署的建議
根據(jù)企業(yè)信息安全建設(shè)架構(gòu)���,在滿足終端安全����、網(wǎng)絡(luò)安全��、應(yīng)用安全��、數(shù)據(jù)安全等安全防護體系時����,我們需要重點關(guān)注以下幾個方面:
3.1 實施終端安全,規(guī)范終端用戶行為
在企業(yè)信息安全事件中��,數(shù)字化成果泄漏是屬于危害最為嚴(yán)重的一種行為��。企業(yè)信息安全體系建立前�,企業(yè)員工對自己的個人行為不規(guī)范���,造成了員工可以通過很多方式實現(xiàn)信息外漏����。比如通過U盤等存儲介質(zhì)拷貝或者通過聊天軟件傳遞企業(yè)的核心數(shù)字化成果。對于這類高危的行為�,我們在建設(shè)安全防護體系時,僅僅靠上網(wǎng)行為管理控制是不能完全杜絕的�����。應(yīng)該當(dāng)用戶接入企業(yè)信息化平臺前����,就對用戶的終端系統(tǒng)進行安全規(guī)范檢查,符合企業(yè)制定的終端安全要求后再接入企業(yè)內(nèi)網(wǎng)�����。同時配合上網(wǎng)行為管理的策略對員工的上網(wǎng)行為進行審計����,使得企業(yè)員工的操作行為符合企業(yè)制定的上網(wǎng)行為規(guī)范,從終端用戶提升企業(yè)的防護水平����。
3.2 建設(shè)安全完善的VPN接入平臺
企業(yè)在信息化建設(shè)中,考慮總部和分支機構(gòu)的信息化需要����,必然會采用VPN方式來解決企業(yè)的需求���。不論是采用SSL VPN還是IPSecVPN,VPN加密傳輸都是通用的選擇���。對于分支機構(gòu)可以考慮專用的VPN設(shè)備和總部進行IPSec連接����,這種方式更安全可靠穩(wěn)定�����。對于移動終端的接入可以考慮SSL VPN方式��。在這種情況下��,就必須做好對于移動終端的身份認(rèn)證識別�����。其實我們在設(shè)備采購時����,可以要求設(shè)備商做好多種接入方式的需求,并且?guī)椭髽I(yè)搭建認(rèn)證方式���。這將有利于企業(yè)日常維護���,提升企業(yè)信息系統(tǒng)的VPN接入水平。
3.3 優(yōu)化企業(yè)網(wǎng)絡(luò)的隔離性和控制性
在規(guī)劃企業(yè)網(wǎng)絡(luò)安全邊際時�,要面對多個部門和分支結(jié)構(gòu),合理的規(guī)劃安全網(wǎng)絡(luò)邊際將是關(guān)鍵��。企業(yè)的網(wǎng)絡(luò)體系可以分為:物理層�;數(shù)據(jù)鏈路層;網(wǎng)絡(luò)層�;傳輸層;會話層�;表示層;應(yīng)用層���。各體系之間的相互隔離和訪問策略是防止企業(yè)信息安全風(fēng)險的重要環(huán)節(jié)���。在企業(yè)多樣化網(wǎng)絡(luò)環(huán)境的背景下,根據(jù)企業(yè)安全優(yōu)先級及面臨的風(fēng)險程度��,做出適合企業(yè)信息安全的防護策略和訪問控制策略����。根據(jù)相應(yīng)防護設(shè)備進行深層次的安全防護��,真正實現(xiàn)OSI的L2~L7層的安全防護����。
3.4 實現(xiàn)企業(yè)信息安全防護體系的統(tǒng)一管理
為企業(yè)信息安全構(gòu)建統(tǒng)一的安全防護體系���,重要的優(yōu)勢就是能實現(xiàn)對全網(wǎng)安全設(shè)備及安全事件的統(tǒng)一管理�,做到對整個網(wǎng)絡(luò)安全事件的“可視�����、可控和可管”����。企業(yè)采購的各種安全設(shè)備工作時會產(chǎn)生大量的安全日志,如果單靠相關(guān)人員的識別日志既費時效率又低�����。而且不同安全廠商的日志報表還存在很大差異��。所以當(dāng)安全事件發(fā)生時��,企業(yè)管理員很難實現(xiàn)對信息安全的統(tǒng)一分析和管理。所以在企業(yè)在構(gòu)建信息安全體系時�,就必須要考慮安全設(shè)備日志之間的統(tǒng)一化,設(shè)定相應(yīng)的訪問控制和安全策略實現(xiàn)日志的歸類分析��。這樣才能做到對全網(wǎng)安全事件的“可視�、可控和可管”����。
4 結(jié)束語
信息安全的主要內(nèi)容就是保護企業(yè)的數(shù)字化成果的安全和完整。企業(yè)在實施信息安全防護過程中是一個長期的持續(xù)的工作��。我們需要在前期做好詳盡的安全防護規(guī)劃�����,實施過程中根據(jù)不斷出現(xiàn)的情況及時調(diào)整安全策略和訪問控制��,保證備份數(shù)據(jù)的安全性可靠性���。同時全體企業(yè)員工一起遵守企業(yè)制定的信息安全防護管理規(guī)定��,這樣才能為企業(yè)的信息安全提供生命力和主動性�����,真正為企業(yè)的核心業(yè)務(wù)提供安全保障���。
參考文獻
[1] 段永紅.如何構(gòu)建企業(yè)信息安全體系[J]. 科技視界�,2012�����,16:179-180.
[2] 于雷.企業(yè)信息安全體系構(gòu)建[J].科技與企業(yè)����,2011,08:69.
[3] 彭佩����,張婕,李紅梅. 企業(yè)信息安全立體防護體系構(gòu)建及運行[J].現(xiàn)代電子技術(shù)��,2014����,12:42-45+48.
[4] 劉小發(fā),李良����,嚴(yán)海濤.基于企業(yè)網(wǎng)絡(luò)的信息安全體系構(gòu)建策略探討[J]. 郵電設(shè)計技術(shù)���,2013,12:25-28.
[5] 白雪祺�����,張銳鋒. 淺析企業(yè)信息系統(tǒng)安全體系建設(shè)[J].管理觀察����,2014��,27:81-83.
第7篇
【關(guān)鍵詞】信息安全 管理 控制 構(gòu)建
1 企業(yè)信息安全的現(xiàn)狀
隨著企業(yè)信息化水平的提升���,大多數(shù)企業(yè)在信息安全建設(shè)上逐步添加了上網(wǎng)行為管理��、內(nèi)網(wǎng)安全管理等新的安全設(shè)備�����,但信息安全防護理念還停留在防的階段�,信息安全策略都是在安全事件發(fā)生后再補救�,導(dǎo)致了企業(yè)信息防范的主動性和意識不高,信息安全防護水平已經(jīng)越來越不適應(yīng)當(dāng)今企業(yè)IT運維環(huán)境和企業(yè)發(fā)展的需求���。
2 企業(yè)信息系統(tǒng)安全防護的構(gòu)建原則
企業(yè)信息化安全建設(shè)的目標(biāo)是在保障企業(yè)數(shù)字化成果的安全性和可靠性��。在構(gòu)建企業(yè)信息安全體系時應(yīng)該遵循以下幾個原則:
2.1 建立企業(yè)完善的信息化安全管理體系
企業(yè)信息安全管理體系首先要建立完善的組織架構(gòu)��、制定信息安全管理規(guī)范����,來保障信息安全制度的落實以及企業(yè)信息化安全體系的不斷完善?���;酒髽I(yè)信息安全管理過程包括:分析企業(yè)數(shù)字化資產(chǎn)評估和風(fēng)險分析、規(guī)劃信息系統(tǒng)動態(tài)安全模型�����、建立可靠嚴(yán)謹(jǐn)?shù)膱?zhí)行策略�、選用安全可靠的的防護產(chǎn)品等。
2.2 提高企業(yè)員工自身的信息安全防范意識
在企業(yè)信息化系統(tǒng)安全管理中�����,防護設(shè)備和防護策略只是其中的一部分����,企業(yè)員工的行為也是維護企業(yè)數(shù)字化成果不可忽略的組成�����。所以企業(yè)在實施信息化安全管理時�,絕對不能忽視對人的行為規(guī)范和績效管理����。在企業(yè)實施企業(yè)信息安全前,應(yīng)制定企業(yè)員工信息安全行為規(guī)范��,有效地實現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全����、可靠�、穩(wěn)定運行,保證企業(yè)信息安全����。其次階段遞進的培訓(xùn)信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施。企業(yè)對員工進行逐次的安全培訓(xùn)�,強化企業(yè)員工對信息安全的概念,提升員工的安全意識���。使員工的行為符合整個企業(yè)信息安全的防范要求�。
2.3 及時優(yōu)化更新企業(yè)信息安全防護技術(shù)
當(dāng)企業(yè)對自身信息安全做出了一套整體完善的防護規(guī)劃時,就應(yīng)當(dāng)考慮采用何種安全防護技術(shù)來支撐整個信息安全防護體系�。對于安全防護技術(shù)來說可以分為身份識別、網(wǎng)絡(luò)隔離�、網(wǎng)絡(luò)安全掃描、實時監(jiān)控與入侵發(fā)現(xiàn)�����、安全備份恢復(fù)等����。比如身份識別的目的在于防止非企業(yè)人員訪問企業(yè)資源,并且可以根據(jù)員工級別分配人員訪問權(quán)限�����,達(dá)到企業(yè)敏感信息的安全保障�。
3 企業(yè)信息安全體系部署的建議
根據(jù)企業(yè)信息安全建設(shè)架構(gòu),在滿足終端安全�、網(wǎng)絡(luò)安全、應(yīng)用安全����、數(shù)據(jù)安全等安全防護體系時��,我們需要重點關(guān)注以下幾個方面:
3.1 實施終端安全���,規(guī)范終端用戶行為
在企業(yè)信息安全事件中,數(shù)字化成果泄漏是屬于危害最為嚴(yán)重的一種行為�。企業(yè)信息安全體系建立前,企業(yè)員工對自己的個人行為不規(guī)范��,造成了員工可以通過很多方式實現(xiàn)信息外漏�����。比如通過U盤等存儲介質(zhì)拷貝或者通過聊天軟件傳遞企業(yè)的核心數(shù)字化成果�。對于這類高危的行為�����,我們在建設(shè)安全防護體系時,僅僅靠上網(wǎng)行為管理控制是不能完全杜絕的����。應(yīng)該當(dāng)用戶接入企業(yè)信息化平臺前,就對用戶的終端系統(tǒng)進行安全規(guī)范檢查���,符合企業(yè)制定的終端安全要求后再接入企業(yè)內(nèi)網(wǎng)�����。同時配合上網(wǎng)行為管理的策略對員工的上網(wǎng)行為進行審計,使得企業(yè)員工的操作行為符合企業(yè)制定的上網(wǎng)行為規(guī)范�,從終端用戶提升企業(yè)的防護水平�����。
3.2 建設(shè)安全完善的VPN接入平臺
企業(yè)在信息化建設(shè)中����,考慮總部和分支機構(gòu)的信息化需要�,必然會采用VPN方式來解決企業(yè)的需求��。不論是采用SSL VPN還是IPSecVPN���,VPN加密傳輸都是通用的選擇。對于分支機構(gòu)可以考慮專用的VPN設(shè)備和總部進行IPSec連接��,這種方式更安全可靠穩(wěn)定��。對于移動終端的接入可以考慮SSL VPN方式���。在這種情況下�,就必須做好對于移動終端的身份認(rèn)證識別�����。其實我們在設(shè)備采購時���,可以要求設(shè)備商做好多種接入方式的需求,并且?guī)椭髽I(yè)搭建認(rèn)證方式�����。這將有利于企業(yè)日常維護���,提升企業(yè)信息系統(tǒng)的VPN接入水平�����。
3.3 優(yōu)化企業(yè)網(wǎng)絡(luò)的隔離性和控制性
在規(guī)劃企業(yè)網(wǎng)絡(luò)安全邊際時���,要面對多個部門和分支結(jié)構(gòu),合理的規(guī)劃安全網(wǎng)絡(luò)邊際將是關(guān)鍵����。企業(yè)的網(wǎng)絡(luò)體系可以分為:物理層���;數(shù)據(jù)鏈路層;網(wǎng)絡(luò)層��;傳輸層�;會話層�;表示層����;應(yīng)用層。各體系之間的相互隔離和訪問策略是防止企業(yè)信息安全風(fēng)險的重要環(huán)節(jié)���。在企業(yè)多樣化網(wǎng)絡(luò)環(huán)境的背景下��,根據(jù)企業(yè)安全優(yōu)先級及面臨的風(fēng)險程度�����,做出適合企業(yè)信息安全的防護策略和訪問控制策略���。根據(jù)相應(yīng)防護設(shè)備進行深層次的安全防護,真正實現(xiàn)OSI的L2~L7層的安全防護����。
3.4 實現(xiàn)企業(yè)信息安全防護體系的統(tǒng)一管理
為企業(yè)信息安全構(gòu)建統(tǒng)一的安全防護體系,重要的優(yōu)勢就是能實現(xiàn)對全網(wǎng)安全設(shè)備及安全事件的統(tǒng)一管理����,做到對整個網(wǎng)絡(luò)安全事件的“可視����、可控和可管”���。企業(yè)采購的各種安全設(shè)備工作時會產(chǎn)生大量的安全日志�,如果單靠相關(guān)人員的識別日志既費時效率又低�����。而且不同安全廠商的日志報表還存在很大差異。所以當(dāng)安全事件發(fā)生時�����,企業(yè)管理員很難實現(xiàn)對信息安全的統(tǒng)一分析和管理����。所以在企業(yè)在構(gòu)建信息安全體系時�,就必須要考慮安全設(shè)備日志之間的統(tǒng)一化�����,設(shè)定相應(yīng)的訪問控制和安全策略實現(xiàn)日志的歸類分析���。這樣才能做到對全網(wǎng)安全事件的“可視、可控和可管”�����。
4 結(jié)束語
信息安全的主要內(nèi)容就是保護企業(yè)的數(shù)字化成果的安全和完整�。企業(yè)在實施信息安全防護過程中是一個長期的持續(xù)的工作。我們需要在前期做好詳盡的安全防護規(guī)劃����,實施過程中根據(jù)不斷出現(xiàn)的情況及時調(diào)整安全策略和訪問控制�,保證備份數(shù)據(jù)的安全性可靠性。同時全體企業(yè)員工一起遵守企業(yè)制定的信息安全防護管理規(guī)定�,這樣才能為企業(yè)的信息安全提供生命力和主動性�,真正為企業(yè)的核心業(yè)務(wù)提供安全保障�。
參考文獻
[1]郝宏志.企業(yè)信息管理師[M].北京:機械工業(yè)出版社,2005.
[2]蔣培靜.歐美國家如何培養(yǎng)網(wǎng)絡(luò)安全意識[J].中國教育網(wǎng)絡(luò)�,2008(7):48-49.
作者簡介
常勝(1982-)����,男,回族���,天津市人。現(xiàn)為中國市政工程華北設(shè)計研究總院有限公司工程師。研究方向為網(wǎng)絡(luò)安全與服務(wù)器規(guī)劃部署���。
