序論:在您撰寫企業(yè)信息安全管理體系時(shí),參考他人的優(yōu)秀作品可以開闊視野��,小編為您整理的7篇范文�����,希望這些建議能夠激發(fā)您的創(chuàng)作熱情�����,引導(dǎo)您走向新的創(chuàng)作高度��。
第1篇
關(guān)鍵詞:企業(yè)信息化�;信息安全管理體系�;信息安全保障
1 企業(yè)信息安全需求與目標(biāo)
近年來隨著企業(yè)信息系統(tǒng)建設(shè)的不斷發(fā)展,企業(yè)的信息化安全也面臨著前所未有的挑戰(zhàn)��。作為中國高速列車產(chǎn)業(yè)化制造基地和城軌地鐵車輛定點(diǎn)制造企業(yè)�����,公司的發(fā)展對高速動(dòng)車行業(yè)產(chǎn)生著舉足輕重的作用;從企業(yè)信息安全現(xiàn)狀分析���,公司IT部門主管深深意識(shí)到���,盡管從自身情況來看,在信息安全方面已經(jīng)做了很多工作�����,如部署了防火墻���、SSL VPN��、入侵檢測系統(tǒng)����、入侵防御系統(tǒng)�����、防病毒系統(tǒng)�����、文檔加密、終端安全管理系統(tǒng)等���。但是安全系統(tǒng)更多的在于防堵來自某個(gè)方面的安全威脅���,無法產(chǎn)生協(xié)同效應(yīng),距離國際同行業(yè)企業(yè)還存在一定的差距�。
公司通過可行性研究及論證,決定借助外力�����,通過知名的咨詢公司協(xié)助企業(yè)發(fā)現(xiàn)存在的信息安全不足點(diǎn)����,以科研項(xiàng)目方式,通過研究國家安全標(biāo)準(zhǔn)體系及國家對央企和上市企業(yè)的信息化安全要求����,分析企業(yè)目前的現(xiàn)狀和國際標(biāo)準(zhǔn)ISO27001之間的差距�����,繼而完善企業(yè)信息安全體系的規(guī)劃與設(shè)計(jì),最終建立一套適合企業(yè)現(xiàn)狀的信息安全標(biāo)準(zhǔn)和管理體系����。目標(biāo)是使公司信息安全從管理到技術(shù)均得到全面加強(qiáng),建立一個(gè)有責(zé)(職責(zé))����、有序(秩序)、有效(效率)的信息安全管理體系��,預(yù)防信息安全事件的發(fā)生�,確保更小的業(yè)務(wù)損失,提供客戶滿意度����,獲取更多的管理支持。在行業(yè)內(nèi)樹立標(biāo)桿和示范���,提升企業(yè)形象�,贏取客戶信任���,增強(qiáng)競爭力�����。同時(shí)��,使信息安全體系通過信息安全管理體系通過ISO 27001認(rèn)證標(biāo)準(zhǔn)����。
2 企業(yè)信息安全管理體系建設(shè)過程
凡事預(yù)則立,不預(yù)則廢���。對于信息安全管理建設(shè)的工作也先由計(jì)劃開始���。信息安全管理體系建設(shè)分為四個(gè)階段:實(shí)施安全風(fēng)險(xiǎn)評估、規(guī)劃體系建設(shè)方案�、建立信息安全管理體系、體系運(yùn)行及改進(jìn)�����。也符合信息安全管理循環(huán)PDCA(Plan-Do-Check-Action)模型及ISO27001要求��,即有效地保護(hù)企業(yè)信息系統(tǒng)的安全����,確保信息安全的持續(xù)發(fā)展。本文結(jié)合作者經(jīng)驗(yàn),重點(diǎn)論述上述幾個(gè)方面的內(nèi)容���。
2.1 確立范圍
首先是確立項(xiàng)目范圍,從機(jī)構(gòu)層次及系統(tǒng)層次兩個(gè)維度進(jìn)行范圍的劃分��。從機(jī)構(gòu)層次上��,可以考慮內(nèi)部機(jī)構(gòu):需要覆蓋公司的各個(gè)部門��,其包括總部��、事業(yè)部�、制造本部、技術(shù)本部等�;外部機(jī)構(gòu):則包括公司信息系統(tǒng)相連的外部機(jī)構(gòu),包括供應(yīng)商�、中間業(yè)務(wù)合作伙伴、及其他合作伙伴等�。
從系統(tǒng)層次上,可按照物理環(huán)境:即支撐信息系統(tǒng)的場所���、所處的周邊環(huán)境以及場所內(nèi)保障計(jì)算機(jī)系統(tǒng)正常運(yùn)行的設(shè)施��。包括機(jī)房環(huán)境�����、門禁��、監(jiān)控等���;網(wǎng)絡(luò)系統(tǒng):構(gòu)成信息系統(tǒng)網(wǎng)絡(luò)傳輸環(huán)境的線路介質(zhì)��,設(shè)備和軟件����;服務(wù)器平臺(tái)系統(tǒng):支撐所有信息系統(tǒng)的服務(wù)器����、網(wǎng)絡(luò)設(shè)備、客戶機(jī)及其操作系統(tǒng)����、數(shù)據(jù)庫、中間件和Web系統(tǒng)等軟件平臺(tái)系統(tǒng)����;應(yīng)用系統(tǒng):支撐業(yè)務(wù)、辦公和管理應(yīng)用的應(yīng)用系統(tǒng)�����;數(shù)據(jù):整個(gè)信息系統(tǒng)中傳輸以及存儲(chǔ)的數(shù)據(jù);安全管理:包括安全策略��、規(guī)章制度����、人員組織���、開發(fā)安全�����、項(xiàng)目安全管理和系統(tǒng)管理人員在日常運(yùn)維過程中的安全合規(guī)�、安全審計(jì)等�����。
2.2 安全風(fēng)險(xiǎn)評估
企業(yè)信息安全是指保障企業(yè)業(yè)務(wù)系統(tǒng)不被非法訪問�、利用和篡改,為企業(yè)員工提供安全��、可信的服務(wù)��,保證信息系統(tǒng)的可用性、完整性和保密性�。
本次進(jìn)行的安全評估,主要包括兩方面的內(nèi)容:
2.2.1 企業(yè)安全管理類的評估
通過企業(yè)的安全控制現(xiàn)狀調(diào)查��、訪談����、文檔研讀和ISO27001的最佳實(shí)踐比對,以及在行業(yè)的經(jīng)驗(yàn)上進(jìn)行“差距分析”��,檢查企業(yè)在安全控制層面上存在的弱點(diǎn)��,從而為安全措施的選擇提供依據(jù)����。
評估內(nèi)容包括ISO27001所涵蓋的與信息安全管理體系相關(guān)的11個(gè)方面,包括信息安全策略����、安全組織、資產(chǎn)分類與控制���、人員安全���、物理和環(huán)境安全�����、通信和操作管理�����、訪問控制��、系統(tǒng)開發(fā)與維護(hù)、安全事件管理��、業(yè)務(wù)連續(xù)性管理�、符合性。
2.2.2 企業(yè)安全技術(shù)類評估
基于資產(chǎn)安全等級的分類�,通過對信息設(shè)備進(jìn)行的安全掃描、安全設(shè)備的配置�����,檢查分析現(xiàn)有網(wǎng)絡(luò)設(shè)備��、服務(wù)器系統(tǒng)��、終端����、網(wǎng)絡(luò)安全架構(gòu)的安全現(xiàn)狀和存在的弱點(diǎn)����,為安全加固提供依據(jù)��。
針對企業(yè)具有代表性的關(guān)鍵應(yīng)用進(jìn)行安全評估����。關(guān)鍵應(yīng)用的評估方式采用滲透測試的方法,在應(yīng)用評估中將對應(yīng)用系統(tǒng)的威脅�、弱點(diǎn)進(jìn)行識(shí)別,分析其和應(yīng)用系統(tǒng)的安全目標(biāo)之間的差距�,為后期改造提供依據(jù)。
提到安全評估�,一定要有方法論。我們以ISO27001為核心�����,并借鑒國際常用的幾種評估模型的優(yōu)點(diǎn)���,同時(shí)結(jié)合企業(yè)自身的特點(diǎn)��,建立風(fēng)險(xiǎn)評估模型:
在風(fēng)險(xiǎn)評估模型中���,主要包含信息資產(chǎn)�����、弱點(diǎn)����、威脅和風(fēng)險(xiǎn)四個(gè)要素�����。每個(gè)要素有各自的屬性�����,信息資產(chǎn)的屬性是資產(chǎn)價(jià)值���,弱點(diǎn)的屬性是弱點(diǎn)在現(xiàn)有控制措施的保護(hù)下,被威脅利用的可能性以及被威脅利用后對資產(chǎn)帶來影響的嚴(yán)重程度����,威脅的屬性是威脅發(fā)生的可能性及其危害的嚴(yán)重程度,風(fēng)險(xiǎn)的屬性是風(fēng)險(xiǎn)級別的高低�。風(fēng)險(xiǎn)評估采用定性的風(fēng)險(xiǎn)評估方法��,通過分級別的方式進(jìn)行賦值�。
2.3 規(guī)劃體系建設(shè)方案
企業(yè)信息安全問題根源分布在技術(shù)��、人員和管理等多個(gè)層面����,須統(tǒng)一規(guī)劃并建立企業(yè)信息安全體系,并最終落實(shí)到管理措施和技術(shù)措施���,才能確保信息安全�。
規(guī)劃體系建設(shè)方案是在風(fēng)險(xiǎn)評估的基礎(chǔ)上��,對企業(yè)中存在的安全風(fēng)險(xiǎn)提出安全建議����,增強(qiáng)系統(tǒng)的安全性和抗攻擊性。
在未來1-2年內(nèi)通過信息安全體系制的建立與實(shí)施��,建立安全組織��,技術(shù)上進(jìn)行安全審計(jì)�����、內(nèi)外網(wǎng)隔離的改造、安全產(chǎn)品的部署����,實(shí)現(xiàn)以流程為導(dǎo)向的轉(zhuǎn)型。在未來的 3-5 年內(nèi)�����,通過完善的信息安全體系和相應(yīng)的物理環(huán)境改造和業(yè)務(wù)連續(xù)性項(xiàng)目的建設(shè)�����,將企業(yè)建設(shè)成為一個(gè)注重管理���,預(yù)防為主��,防治結(jié)合的先進(jìn)型企業(yè)。
2.4 企業(yè)信息安全體系建設(shè)
企業(yè)信息安全體系建立在信息安全模型與企業(yè)信息化的基礎(chǔ)上��,建立信息安全管理體系核心可以更好的發(fā)揮六方面的能力:即預(yù)警(Warn)����、保護(hù)(Protect)、檢測(Detect)�����、反應(yīng)(Response)、恢復(fù)(Recover)和反擊(Counter-attack)���,體系應(yīng)該兼顧攘外和安內(nèi)的功能�。
安全體系的建設(shè)一是涉及安全管理制度建設(shè)完善����;二是涉及到信息安全技術(shù)。首先��,針對安全管理制度涉及的主要內(nèi)容包括企業(yè)信息系統(tǒng)的總體安全方針���、安全技術(shù)策略和安全管理策略等���。安全總體方針涉及安全組織機(jī)構(gòu)、安全管理制度��、人員安全管理��、安全運(yùn)行維護(hù)等方面的安全制度����。安全技術(shù)策略涉及信息域的劃分���、業(yè)務(wù)應(yīng)用的安全等級、安全保護(hù)思路���、說以及進(jìn)一步的統(tǒng)一管理��、系統(tǒng)分級����、網(wǎng)絡(luò)互聯(lián)�����、容災(zāi)備份�、集中監(jiān)控等方面的要求。
其次��,信息安全技術(shù)按其所在的信息系統(tǒng)層次可劃分為物理安全技術(shù)�、網(wǎng)絡(luò)安全技術(shù)、系統(tǒng)安全技術(shù)���、應(yīng)用安全技術(shù),以及安全基礎(chǔ)設(shè)施平臺(tái);同時(shí)按照安全技術(shù)所提供的功能又可劃分為預(yù)防保護(hù)類���、檢測跟蹤類和響應(yīng)恢復(fù)類三大類技術(shù)����。結(jié)合主流的安全技術(shù)以及未來信息系統(tǒng)發(fā)展的要求�����,規(guī)劃信息安全技術(shù)包括:
2.5 體系運(yùn)行及改進(jìn)
信息安全管理體系文件編制完成以后�,由公司企劃部門組織按照文件的控制要求進(jìn)行審核。結(jié)合公司實(shí)際�,在體系文件編制階段,將該標(biāo)準(zhǔn)與公司的現(xiàn)有其他體系��,如質(zhì)量��、環(huán)境保護(hù)等體系文件���,改歸并的歸并�。該修訂審核的再繼續(xù)修訂審核��。最終歷經(jīng)幾個(gè)月的努力��,批準(zhǔn)并實(shí)施了信息安全管理系統(tǒng)的文檔。至此�����,信息安全管理體系將進(jìn)入運(yùn)行階段��。
有人說��,信息系統(tǒng)的成功靠的是“三分技術(shù)�,七分管理,十二分執(zhí)行”����。“執(zhí)行”是要需要在實(shí)踐中去體會(huì)�����、總結(jié)與提高��。對于信息系統(tǒng)安全管理體系建設(shè)更是如此�����!在此期間���,以IT部門牽頭�,加強(qiáng)宣傳力度��,組織了若干次不同層面的宣導(dǎo)培訓(xùn)��,充分發(fā)揮體系本身的各項(xiàng)功能��,及時(shí)發(fā)現(xiàn)存在的問題�����,找出問題根源���,采取糾正措施��,并按照更改控制程序要求對體系予以更改����,以達(dá)到進(jìn)一步完善信息安全管理體系的目的�。
3 總結(jié)
總結(jié)項(xiàng)目,建立健全的信息安全管理制度是進(jìn)行安全管理的基礎(chǔ)���。當(dāng)然����,體系建設(shè)過程中還存在不足,如崗位原有職責(zé)與現(xiàn)有安全職責(zé)的界定����,員工的認(rèn)知及接受程度還有待提高,體系在各部門領(lǐng)導(dǎo)重視程度����、執(zhí)行力度、審核效果存在差距等等����。最終,在公司各部門的共同努力下���,體系經(jīng)歷了來自國際知名品牌認(rèn)證公司DNV及中國認(rèn)可委(CNAS)的雙重檢驗(yàn)��,并通過嚴(yán)格的體系審核����。確認(rèn)了公司在信息安全管理體系達(dá)到國內(nèi)和國際信息安全管理標(biāo)準(zhǔn)����,提升公司信息安全管理的水平�����,從而為企業(yè)向國際化發(fā)展與合作提供有力支撐��。
[參考文獻(xiàn)]
[1]沈昌祥.《信息系統(tǒng)安全導(dǎo)論》.電子工業(yè)出版社,2003.7.
第2篇
關(guān)鍵詞:信息安全管理����;網(wǎng)絡(luò)安全;風(fēng)險(xiǎn)評估
中圖分類號(hào):TP393.08
隨著信息化技術(shù)的高速發(fā)展和深入應(yīng)用����,企業(yè)對信息系統(tǒng)的依賴性越來越強(qiáng),絕大部分的業(yè)務(wù)從紙面遷移到信息系統(tǒng)當(dāng)中����,如何建立穩(wěn)固的信息安全管理體系已經(jīng)成為各企業(yè)信息管理部門甚至管理層的重要課題。本文將通過對目前國際信息安全行業(yè)發(fā)展的分析��,提出企業(yè)構(gòu)建穩(wěn)固的信息安全管理架構(gòu)����,提高信息安全水平的初步構(gòu)想。
1企業(yè)信息安全政策
信息安全政策作為信息安全工作的重中之重�����,直接展現(xiàn)了企業(yè)的信息安全工作的思路。其應(yīng)當(dāng)由企業(yè)信息安全工作的使命和遠(yuǎn)景�,實(shí)施準(zhǔn)則等幾部分組成。
1.1信息安全工作的使命
信息安全工作的核心意義是將企業(yè)所面臨的風(fēng)險(xiǎn)管理至一個(gè)可接受的水平��。
當(dāng)前主流的風(fēng)險(xiǎn)控制包含以下四個(gè)步驟:通過風(fēng)險(xiǎn)評估方法來評估風(fēng)險(xiǎn)�����;制定安全策略來降低風(fēng)險(xiǎn)��;通過監(jiān)控控制惡意未授權(quán)行為���;有效地審計(jì)�。
1.2信息安全工作的愿景
安全的企業(yè)信息化環(huán)境可以為任何企業(yè)用戶提供安全便捷的信息化服務(wù)�,應(yīng)用,基礎(chǔ)設(shè)施�,并保護(hù)用戶的隱私。讓用戶有安全的身份驗(yàn)證��;能安全便捷的使用需要的數(shù)據(jù)和應(yīng)用資源�;保證通訊和數(shù)據(jù)的保密性;明確自身的角色,了解角色在企業(yè)中的信息安全責(zé)任����;身邊出現(xiàn)的信息安全風(fēng)險(xiǎn)和威脅能得到迅速響應(yīng)。
要達(dá)到上述目的�,企業(yè)需要進(jìn)行有效的風(fēng)險(xiǎn)管理。風(fēng)險(xiǎn)管理是一個(gè)識(shí)別風(fēng)險(xiǎn)����、評估風(fēng)險(xiǎn)、降低風(fēng)險(xiǎn)的過程�。在這個(gè)過程中���,需要權(quán)衡降低風(fēng)險(xiǎn)的成本和業(yè)務(wù)的需求��,確定風(fēng)險(xiǎn)的優(yōu)先級別���,為管理層的決策提供有效的支持。
1.3信息安全準(zhǔn)則
信息安全準(zhǔn)則是風(fēng)險(xiǎn)評估和制定最優(yōu)解決方案的關(guān)鍵��,優(yōu)秀的信息安全準(zhǔn)則包括:根據(jù)企業(yè)業(yè)務(wù)目標(biāo)執(zhí)行風(fēng)險(xiǎn)管理���;有組織的確定員工角色和責(zé)任���;對用戶和數(shù)據(jù)實(shí)行最小化權(quán)限管理��;在應(yīng)用和系統(tǒng)的計(jì)劃和開發(fā)過程中就考慮安全防護(hù)的問題�����;在應(yīng)用中實(shí)施逐層防護(hù)���;建立高度集成的安全防護(hù)框架;將監(jiān)控�����、審計(jì)和快速反應(yīng)結(jié)合為一體����。
良好信息安全準(zhǔn)則可以讓企業(yè)內(nèi)外部用戶了解企業(yè)信息安全理念,從而讓企業(yè)信息管理部門更好地對風(fēng)險(xiǎn)進(jìn)行管控�����。
2企業(yè)信息安全管理的主要手段
2.1網(wǎng)絡(luò)安全
(1)保證安全的外部人員連接����。在日常工作中,外部合作伙伴經(jīng)常會(huì)提出聯(lián)入企業(yè)內(nèi)網(wǎng)的需求,由于這些聯(lián)入內(nèi)網(wǎng)的外部人員及其終端并不符合企業(yè)的信息安全標(biāo)準(zhǔn)�����,因此存在信息安全隱患���?���?刂拼祟愶L(fēng)險(xiǎn)的手段主要有:對用戶賬戶使用硬件KEY等強(qiáng)驗(yàn)證手段��;全面管控外部單位的網(wǎng)絡(luò)接入等�。
(2)遠(yuǎn)程接入控制。隨著VPN[2-3]技術(shù)的不斷發(fā)展���,遠(yuǎn)程接入的風(fēng)險(xiǎn)已降低到企業(yè)的可控范圍,而近年來移動(dòng)辦公的興起更是推動(dòng)了遠(yuǎn)程接入技術(shù)的發(fā)展��。企業(yè)采用USB KEY����,動(dòng)態(tài)口令牌等硬件認(rèn)證方式的遠(yuǎn)程接入要更加的安全。
(3)網(wǎng)絡(luò)劃分����。在過去���,企業(yè)內(nèi)部以開放式的網(wǎng)絡(luò)為主。隨著網(wǎng)絡(luò)和互聯(lián)網(wǎng)信息技術(shù)的成熟���,非受控終端給企業(yè)內(nèi)網(wǎng)帶來的安全壓力越來越大���。這些不受信任的終端為攻擊者提供了訪問企業(yè)網(wǎng)絡(luò)的路徑。信息管理部門可以利用IPSec[4]技術(shù)有效提高企業(yè)網(wǎng)絡(luò)安全���,實(shí)現(xiàn)對位于公司防火墻內(nèi)部終端的完全管控����。
(4)網(wǎng)絡(luò)入侵檢測系統(tǒng)���。網(wǎng)絡(luò)入侵檢測系統(tǒng)作為防火墻的補(bǔ)充�,主要用于監(jiān)控網(wǎng)絡(luò)傳輸�����,在檢測到可疑傳輸行為時(shí)報(bào)警���。作為企業(yè)信息安全架構(gòu)的必備設(shè)備����,入侵檢測系統(tǒng)能有效防控企業(yè)外部的惡意攻擊行為,隨著信息技術(shù)的發(fā)展�,各大安全廠商如賽門鐵克,思科等均研發(fā)出來成熟的入侵檢測系統(tǒng)產(chǎn)品��。
(5)無線網(wǎng)絡(luò)安全�����。無線網(wǎng)絡(luò)現(xiàn)在已遍布企業(yè)的辦公區(qū)域���,給企業(yè)和用戶帶來便利的同時(shí)也存在信息安全的隱患�����。要保證企業(yè)內(nèi)部無線網(wǎng)絡(luò)的安全����,信息管理部門需要使用更新更安全的協(xié)議(如無線保護(hù)接入WPA或WPA2)�����;使用VLAN劃分和域提供互相隔離的無線網(wǎng)絡(luò)���;利用802.1x和EAP技術(shù)加強(qiáng)對無線網(wǎng)絡(luò)的訪問控制��。
2.2訪問控制
(1)密碼策略����。高強(qiáng)度的密碼需要幾年時(shí)間來破解�,而脆弱的密碼在一分鐘內(nèi)就可以被破解。提高企業(yè)用戶的密碼強(qiáng)度是訪問控制的必要手段���。為避免弱密碼可能對公司造成的危害���,企業(yè)必須制定密碼策略并利用技術(shù)手段保證執(zhí)行。
(2)用戶權(quán)限管理�。企業(yè)的員工從進(jìn)入公司到離職是一個(gè)完整的生命周期,要便捷有效地在這個(gè)生命周期中對員工的權(quán)限進(jìn)行管理���,需要企業(yè)具有完善的身份管理平臺(tái)��,從而實(shí)現(xiàn)授權(quán)流程的自動(dòng)化�����,并實(shí)現(xiàn)企業(yè)內(nèi)應(yīng)用的單點(diǎn)登陸���。
(3)公鑰系統(tǒng)[5]�。公鑰系統(tǒng)是訪問控制乃至信息安全架構(gòu)的核心模塊���,無線網(wǎng)絡(luò)訪問授權(quán)�,VPN接入��,文件加密系統(tǒng)等均可以通過公鑰系統(tǒng)提升安全水平�����,因此企業(yè)應(yīng)當(dāng)部署PKI/CA系統(tǒng)����。
2.3監(jiān)控與審計(jì)
(1)病毒掃描與補(bǔ)丁管理。企業(yè)需要統(tǒng)一的防病毒系統(tǒng)和終端管理系統(tǒng)��,在終端定期更新病毒定義����,進(jìn)行病毒自掃描,自動(dòng)更新操作系統(tǒng)補(bǔ)丁���,以減少桌面終端的安全風(fēng)險(xiǎn)����。此類管控手段通常需要在用戶的終端上安裝客戶端���,或?qū)K端進(jìn)行定制�,在終端接入企業(yè)內(nèi)網(wǎng)時(shí)���,終端管理系統(tǒng)會(huì)在隔離區(qū)域?qū)υ摻K端進(jìn)行綜合評估打分�,通過評估后方能接入內(nèi)網(wǎng)��。才能保證系統(tǒng)的安全策略被有效執(zhí)行��。
(2)惡意軟件防控��。主流的惡意軟件防控體系主要由五部分構(gòu)成:防病毒系統(tǒng)�;內(nèi)容過濾網(wǎng)關(guān);郵件過濾網(wǎng)關(guān)�;惡意網(wǎng)頁過濾網(wǎng)關(guān)和入侵檢測軟件。
(3)安全事件記錄和審計(jì)�。企業(yè)應(yīng)當(dāng)配置日志審計(jì)系統(tǒng),收集信息安全事件���,產(chǎn)生審計(jì)記錄���,根據(jù)記錄進(jìn)行安全事件分析��,并采取相應(yīng)的處理措施��。
2.4培訓(xùn)與宣傳
提高企業(yè)管理層和員工的信息安全意識(shí)��,是信息安全管理工作的基礎(chǔ)��。了解信息安全的必要性��,管理層才會(huì)支持信息安全管理建設(shè)�,用戶才會(huì)配合信息管理部門工作����。利用定期培訓(xùn),宣傳海報(bào)�����,郵件等方式定期反復(fù)對企業(yè)用戶進(jìn)行信息安全培訓(xùn)和宣傳�����,能有效提高企業(yè)信息安全管理水平。
3總結(jié)
當(dāng)前����,越來越多的企業(yè)已經(jīng)把信息安全看做影響業(yè)務(wù)發(fā)展的核心因素之一����,信息安全管理已經(jīng)成為企業(yè)管理的重點(diǎn)。本文對信息安全政策�,安全管理手段等方面進(jìn)行了剖析,結(jié)合當(dāng)前國際主流的信息安全解決辦法�����,為企業(yè)做好���,做強(qiáng)信息安全管理體系給出了一些通用性的標(biāo)準(zhǔn)�,對企業(yè)構(gòu)建信息安全管理體系����,消除信息安全隱患,避免信息安全事件造成的損失���,確保信息系統(tǒng)安全����、穩(wěn)定運(yùn)行具有探索意義��。
參考文獻(xiàn):
[1]何劍虹,白曉穎,李潤玲,崔智社.基于SLA的面向服務(wù)的基礎(chǔ)設(shè)施[J].電訊技術(shù),2011,51(9):100-105.
[2]胡道元,閡京華.網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社,2004.
[3]戴宗坤,唐三平.VPN與網(wǎng)絡(luò)安全[M].北京:電子工業(yè)出版社,2002.
第3篇
【 關(guān)鍵詞 】 信息安全�����;電力企業(yè)��;風(fēng)險(xiǎn)評估�;管理模式
1 引言
在如今的信息化社會(huì)中�,信息通過共享傳遞實(shí)現(xiàn)其價(jià)值。在信息交換的過程中����,人們肯定會(huì)擔(dān)心自己的信息泄露,所以信息安全備受關(guān)注���,企業(yè)的信息安全就更為重要了��。但是網(wǎng)絡(luò)是一個(gè)開放互聯(lián)的環(huán)境����,接入網(wǎng)絡(luò)的方式多樣,再加上技術(shù)存在的漏洞或者人們可能的操作失誤等����,信息安全問題一刻不容忽視。尤其是電力��,是國家規(guī)定的重要信息安全領(lǐng)域��。所以電力企業(yè)要把信息安全管理體系的建設(shè)�����,作為重要的一環(huán)納入到整個(gè)企業(yè)管理體系中去�。
2 電力企業(yè)信息管理體系建設(shè)的依據(jù)
關(guān)于企業(yè)的安全管理體系方面的標(biāo)準(zhǔn)有很多��。英國BSI/DISC的BDD信息管理委員會(huì)制定的安全管理體系主要包含兩個(gè)部分內(nèi)容:信息安全管理實(shí)施規(guī)則和信息安全管理體系規(guī)范�。信息安全管理實(shí)施規(guī)則是一個(gè)基礎(chǔ)性指導(dǎo)文件,里面有10大管理項(xiàng)����、36個(gè)執(zhí)行的目標(biāo)和127種控制的方法,可以作為開發(fā)人員在信息安全管理體系開發(fā)過程中的一個(gè)參考文檔�����。信息安全管理體系規(guī)范則詳細(xì)描述了在建立、施工和維護(hù)信息安全管理體系過程的要求�,并提出了一些具體操作的建議。
國際標(biāo)準(zhǔn)化組織也了很多關(guān)于信息安全技術(shù)的標(biāo)準(zhǔn)�����,如ISO x系列�����、ISO/IEC x系列等�����。我國也制定了一系列的信息安全標(biāo)準(zhǔn)����,如GB 15851―1995。
關(guān)于企業(yè)信息安全管理體系方面的標(biāo)準(zhǔn)眾多�����,如何針對企業(yè)自身實(shí)際情況選擇合適的參考標(biāo)準(zhǔn)很重要�,尤其是電力企業(yè)有著與其他企業(yè)不同的一些特殊性質(zhì),選擇信息安全體系建設(shè)的參考標(biāo)準(zhǔn)更要謹(jǐn)慎��。我國電力企業(yè)已經(jīng)引入了一些國際化標(biāo)準(zhǔn)作為建立和維護(hù)企業(yè)運(yùn)轉(zhuǎn)的保證,關(guān)于信息安全體系的標(biāo)準(zhǔn)也應(yīng)納入到保證企業(yè)運(yùn)轉(zhuǎn)的一系列參考中去���。電力企業(yè)總體應(yīng)有一致的安全信息管理體系參考標(biāo)準(zhǔn)��,但是具體地區(qū)的公司又有著本身自己的特殊環(huán)境����,所以在總體一致的信息安全標(biāo)準(zhǔn)的情況下��,也應(yīng)該根據(jù)企業(yè)自身地區(qū)�、人文、政策等的不同制定一些企業(yè)內(nèi)部自己信息安全標(biāo)準(zhǔn)作為建立��、實(shí)施和維護(hù)信息安全管理體系的依據(jù)�����。信息安全管理體系顧全大局又要有所側(cè)重的體現(xiàn)電力企業(yè)安全標(biāo)準(zhǔn)的要求�����。
3 信息安全管理體系里的重要環(huán)節(jié)
3.1 硬件環(huán)境要求
信息安全管理體系并沒有特別要求添加什么特別的設(shè)備�����,只是對企業(yè)用到的設(shè)備做一些要求�。電力企業(yè)一般采用內(nèi)外網(wǎng)結(jié)合的方式,內(nèi)外網(wǎng)設(shè)備要盡量進(jìn)行物理隔離��。企業(yè)每個(gè)員工基本都有自己的移動(dòng)設(shè)備��,如手機(jī)等��,為了增加信息安全的系數(shù)��,企業(yè)可以限制公司設(shè)備的無線網(wǎng)絡(luò)拓展���。另外�����,實(shí)時(shí)監(jiān)控系統(tǒng)也應(yīng)該覆蓋企業(yè)的重要設(shè)備�����,監(jiān)控硬件設(shè)備的安全��。
3.2 軟件環(huán)境要求
在企業(yè)設(shè)備(主要是計(jì)算機(jī))上部署相關(guān)軟件環(huán)境是信息安全管理體系中最重要的部分����。比如防病毒軟件的部署、桌面系統(tǒng)弱口令監(jiān)控軟件的部署等���,以此防止網(wǎng)絡(luò)攻擊或者提高安全系數(shù)�����。另外�,企業(yè)設(shè)備所用系統(tǒng)的安全漏洞修復(fù)�、數(shù)據(jù)的加密解密、數(shù)據(jù)的備份恢復(fù)及數(shù)據(jù)傳輸通道的加密解密等問題��,都在信息安全管理體系設(shè)計(jì)的考慮范疇���。
3.3 企業(yè)員工管理
盡管現(xiàn)在一直倡導(dǎo)智能化����,但是企業(yè)內(nèi)進(jìn)行設(shè)備等操作的主體還是員工�。不管是對設(shè)備終端操作來進(jìn)行信息的首發(fā)��,還是對企業(yè)軟硬件系統(tǒng)進(jìn)行維護(hù)工作����,都是有員工來進(jìn)行的�����。所以����,對企業(yè)內(nèi)部員工進(jìn)行信息安全培訓(xùn)���,提高員工的信息安全防范意識(shí)��,讓員工掌握一定的信息安全防范與處理手段是非常重要的事情�。針對不同的職位��,在員工上崗前應(yīng)該進(jìn)行相關(guān)的信息安全方面的培訓(xùn)����,然后對培訓(xùn)結(jié)果進(jìn)行考核,不合格的人員不準(zhǔn)上崗�����。在崗的人員也要定期進(jìn)行培訓(xùn)與考核����。另外�����,如果有條件的話�����,企業(yè)應(yīng)該定期(例如每年)進(jìn)行一次信息安全的相關(guān)演習(xí)��。
另外����,電力企業(yè)有些項(xiàng)目是外包給其他相應(yīng)公司的����,這時(shí)候會(huì)有施工人員和駐場人員在電力企業(yè),對這些人員也應(yīng)該進(jìn)行電力企業(yè)信息安全的培訓(xùn)�����。
3.4 信息安全管理體系的風(fēng)險(xiǎn)系數(shù)評估
風(fēng)險(xiǎn)評估在信息安全管理體系中是確定企業(yè)信息安全需求的一個(gè)重要途徑���,它是對企業(yè)的信息資產(chǎn)所面臨的威脅、存在的弱點(diǎn)�����、造成的影響,以及三者綜合作用下所帶來的風(fēng)險(xiǎn)可能性的評測�����。風(fēng)險(xiǎn)評估的主要任務(wù)是:檢測評估對象所面臨的各種風(fēng)險(xiǎn)����,估計(jì)風(fēng)險(xiǎn)的概率和可能帶來的負(fù)面影響的程度,確定信息安全管理體系承受風(fēng)險(xiǎn)的能力����,確定不同風(fēng)險(xiǎn)發(fā)生后消減和控制的優(yōu)先級,對消除風(fēng)險(xiǎn)提出建議���。在信息安全管理體系的風(fēng)險(xiǎn)系數(shù)評估過程中��,形成《風(fēng)險(xiǎn)系數(shù)評估報(bào)告》�、《風(fēng)險(xiǎn)處理方案》等文檔�,作為對信息安全管理體系進(jìn)行調(diào)整的參考。風(fēng)險(xiǎn)系數(shù)的評估要盡可能全面的反映企業(yè)的信息安全管理體系�����,除了常規(guī)手段,也可以使用一些相應(yīng)的軟件工具的結(jié)果作為參考����。另外很值得注意的是企業(yè)的員工對風(fēng)險(xiǎn)的理解,企業(yè)員工對他們所操作的對象有比較深刻的理解���,對其中可能存在的不足也有自己的見解���,在風(fēng)險(xiǎn)系數(shù)評估的過程中,可以進(jìn)行一些員工的問卷調(diào)查等���,把員工對風(fēng)險(xiǎn)的認(rèn)識(shí)納入風(fēng)險(xiǎn)評估的考慮范疇���。
企業(yè)的設(shè)備會(huì)老舊更換,員工也會(huì)更換���,所以企業(yè)的信息安全是動(dòng)態(tài)的����,因此風(fēng)險(xiǎn)評估工作也要視具體情況定期進(jìn)行�,針對當(dāng)前情況作評估報(bào)告�,然后制定相應(yīng)的風(fēng)險(xiǎn)處理方案����。還有��,之所以要建立信息安全管理體系���,其中很重要的一點(diǎn)就是體系內(nèi)各個(gè)模塊的結(jié)合����,信息安全管理體系的風(fēng)險(xiǎn)評估與關(guān)鍵內(nèi)容的實(shí)時(shí)監(jiān)控就應(yīng)該結(jié)合起來�����。
為了降低信息安全管理體系的風(fēng)險(xiǎn)系數(shù)���,提升信息安全等級���,要做的工作很多。滲透測試就是其中很有必要的一項(xiàng)工作�。滲透測試是測試人員通過模擬惡意攻擊者的攻擊方式,來評估企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種評測方法���。這個(gè)測試過程會(huì)對系統(tǒng)的可知的所有弱點(diǎn)���、技術(shù)方面的缺陷或者漏洞等作主動(dòng)的分析�����。滲透測試對于網(wǎng)絡(luò)信息安全的組織具有實(shí)際應(yīng)用價(jià)值��。隨著技術(shù)的不斷進(jìn)步����,可能還會(huì)出現(xiàn)其他的更有價(jià)值的信息安全技術(shù)�,作為信息安全備受矚目的電力企業(yè),應(yīng)當(dāng)時(shí)刻關(guān)注相關(guān)技術(shù)的進(jìn)展��,并及時(shí)將它們納入企業(yè)信息安全管理體系中來�����。
3.5 信息安全管理體系的管理模式
文章前面提到企業(yè)信息安全是動(dòng)態(tài)的�����,所以信息安全管理體系需要建立一個(gè)長效的機(jī)制����,針對最新的情況及時(shí)對自身作出調(diào)整�,使信息安全管理體系有效的運(yùn)行?��,F(xiàn)在一般會(huì)采用PDCA循環(huán)過程模式:計(jì)劃,依照體系整個(gè)的方針和目標(biāo)�,建立與控制風(fēng)險(xiǎn)系數(shù)、提高信息安全的有關(guān)的安全方針�����、過程�����、指標(biāo)和程序等�;執(zhí)行:實(shí)施和運(yùn)作計(jì)劃中建立的方針、過程�、程序等;評測:根據(jù)方針����、目標(biāo)等,評估業(yè)績��,并形成報(bào)告,也就是文章前面說到的風(fēng)險(xiǎn)系數(shù)評估��;舉措:采取主動(dòng)糾正或預(yù)防措施對體系進(jìn)行調(diào)整�����,進(jìn)一步提高體系運(yùn)作的有效性�。這四個(gè)步驟循環(huán)運(yùn)轉(zhuǎn),成為一個(gè)閉環(huán)��,是信息安全管理體系得到持續(xù)的改進(jìn)�。
4 重要技術(shù)及展望
4.1 安全隔離技術(shù)
電力企業(yè)的信息網(wǎng)絡(luò)是由內(nèi)外網(wǎng)兩部分組成,從被防御的角度來看的話�,內(nèi)網(wǎng)的主要安全防護(hù)技術(shù)為防火墻、桌面弱口令監(jiān)控��、入侵檢測技術(shù)等�;而主動(dòng)防護(hù)則主要采用的是安全隔離技術(shù)等。安全隔離技術(shù)包括物理隔離��、協(xié)議隔離技術(shù)和防火墻技術(shù)���。一般電力企業(yè)采用了物理隔離與防火墻技術(shù)��,在內(nèi)網(wǎng)設(shè)立防火墻�����,在內(nèi)外網(wǎng)之間進(jìn)行物理隔離�����。
4.2 數(shù)據(jù)加密技術(shù)
企業(yè)的數(shù)據(jù)在傳輸過程中一般都要進(jìn)行加密來降低信息泄露的風(fēng)險(xiǎn)�。可以根據(jù)電力企業(yè)內(nèi)部具體的安全要求����,對規(guī)定的文檔�、視圖等在傳輸前進(jìn)行數(shù)據(jù)加密。尤其是電力企業(yè)通過外網(wǎng)傳輸?shù)臅r(shí)候��,除了對數(shù)據(jù)進(jìn)行加密外��,還應(yīng)該在鏈路兩端進(jìn)行通道加密�。
4.3 終端弱口令監(jiān)控技術(shù)
終端設(shè)備眾多,而且是業(yè)務(wù)應(yīng)用的主要入口����,所以終端口令關(guān)乎業(yè)務(wù)數(shù)據(jù)的安全以及整個(gè)系統(tǒng)的正常運(yùn)轉(zhuǎn)。如果終端口令過于簡單薄弱����,相當(dāng)于沒有設(shè)定而將設(shè)備暴露���。終端的信息安全是電力企業(yè)信息安全的第一道防線,因此采用桌面系統(tǒng)弱口令監(jiān)控技術(shù)來加強(qiáng)這第一道防線的穩(wěn)固性對電力企業(yè)的信息安全非常重要�����。
電力企業(yè)信息安全管理體系是一個(gè)復(fù)雜的系統(tǒng)���,包含眾多的安全技術(shù)���,如數(shù)據(jù)備份及災(zāi)難恢復(fù)技術(shù)、終端安全檢查與用戶身份認(rèn)證技術(shù)�、虛擬專用網(wǎng)技術(shù)、協(xié)議隔離技術(shù)等����。凡是與信息安全相關(guān)的技術(shù),電力企業(yè)都應(yīng)當(dāng)關(guān)注���,并根據(jù)企業(yè)自身的情況決定是否將之納入到信息安全管理體系中去���。
智能化已成為不管是研究還是社會(huì)應(yīng)用的熱門詞匯���。電力企業(yè)的信息安全管理體系是否可以智能化呢?不妨做一個(gè)展望���,電力企業(yè)的信息安全管理體系有了很強(qiáng)的自我學(xué)習(xí)與自我改進(jìn)的能力����,在信息安全環(huán)境越來越復(fù)雜���,信息量越來越龐大的情況下是否會(huì)更能發(fā)揮信息安全管理體系的作用呢�?這應(yīng)該是值得期待的��。
5 防病毒軟件部署
電力企業(yè)信息安全管理體系有很多軟件系統(tǒng)的部署�����,如防病毒軟件部署���、桌面弱口令監(jiān)控系統(tǒng)部署、系統(tǒng)安全衛(wèi)士部署等����。但是它們的部署情況類似����,這里用防病毒軟件的部署來展示電力企業(yè)信息安全管理體系中軟件系統(tǒng)的部署情況����。如圖1所示為防病毒軟件的部署框架。
殺毒軟件種類有很多���,這里以賽門鐵克殺毒軟件為例�。企業(yè)版的賽門鐵克防病毒軟件系統(tǒng)相比單機(jī)版增加了網(wǎng)絡(luò)管理的功能���,能夠很大程度地減輕維護(hù)人員的工作量�����。為了確保防病毒軟件系統(tǒng)的穩(wěn)定運(yùn)行�,在電力企業(yè)內(nèi)部正式使用時(shí)���,盡量準(zhǔn)備一立的服務(wù)器作為防病毒軟件專用的服務(wù)器���。
服務(wù)器安裝配置好賽門鐵克防病毒軟件后,可以遠(yuǎn)程控制客戶端與下級升級服務(wù)器的軟件安裝與升級。
電力企業(yè)內(nèi)網(wǎng)可能是禁止接入外網(wǎng)的�,這樣的話,防病毒軟件的更新可能無法自動(dòng)完成��。防病毒軟件需要升級的時(shí)候���,維護(hù)人員在通過外網(wǎng)在相應(yīng)網(wǎng)址下載賽門鐵克升級包���,然后通過安全U盤拷貝到防病毒軟件系統(tǒng)專用服務(wù)器進(jìn)行升級操作。在圖1中�����,省電力公司的防病毒管理控制臺(tái)獲得升級包可以下發(fā)給下級升級服務(wù)器和客戶端進(jìn)行防病毒軟件系統(tǒng)的自動(dòng)升級更新��。圖1是一個(gè)簡單的框圖�����,如果電力企業(yè)的內(nèi)網(wǎng)規(guī)模很大的話��,還可以更多級地分布部署�����。
6 結(jié)束語
電力企業(yè)的信息安全與企業(yè)的生產(chǎn)與經(jīng)營管理密切相關(guān)��,是企業(yè)整個(gè)管理系統(tǒng)的一部分����。信息安全管理體系是一個(gè)整體性的管理工作,把體系中涉及的內(nèi)容統(tǒng)一進(jìn)行管理����,讓它們協(xié)調(diào)運(yùn)作,實(shí)現(xiàn)信息安全管理體系的功能��。電力企業(yè)信息安全的建立與體系不斷的改進(jìn)定能穩(wěn)定�����、有效地維護(hù)企業(yè)的信息安全���。
參考文獻(xiàn)
[1] 王志強(qiáng)��,李建剛.電網(wǎng)企業(yè)信息安全管理體系建設(shè)[J].浙江省電力公司����,2008��,6(3):26-29.
[2] 陳賀,宮俊峰.淺析信息安全體系如何建立[J].中國管理信息化��,2014���,17(1):74-76.
[3] 郭建���,顧志強(qiáng).電力企業(yè)信息安全現(xiàn)狀分析及管理對策[J].信息技術(shù),2013(1):180-187.
[4] 沈軍.火力發(fā)電廠信息你安全體系構(gòu)建與應(yīng)用[J].電力信息通信技術(shù)���,2013��,11(8):103-108.
[5] 左鋒.信息安全體系模型研究[J].信息安全與通信保密���,2010,01(10):68-71.
[6] 楊柳.構(gòu)建供電企業(yè)信息安全體系[J].電腦知識(shí)與技術(shù)��,2005(29).
[7] 曹鳴鵬��, 趙偉����, 許林英. J2EE技術(shù)及其實(shí)現(xiàn)[J]. 計(jì)算機(jī)應(yīng)用�����,2001, 21(10): 20-23.
[8] 江和平.淺談網(wǎng)絡(luò)信息安全技術(shù)[J].現(xiàn)代情報(bào)學(xué)��,2004(14):125-127.
作者簡介:
崔阿軍(1984-)����,男,甘肅平?jīng)鋈?,碩士研究生,工程師���;主要研究方向和關(guān)注領(lǐng)域:電力信息通信安全技術(shù)研究����。
張馴(1984-)����,男,江蘇揚(yáng)州人�����,本科�����,工程師;主要研究方向和關(guān)注領(lǐng)域:電力信息通信安全技術(shù)研究��。
李志茹(1984-)�,女,山東平度人��,碩士研究生���,工程師�����;主要研究方向和關(guān)注領(lǐng)域:信息化建設(shè)及安全技術(shù)���。
龔波(1981-),男�,湖南新邵人,本科��,工程師�;主要研究方向和關(guān)注領(lǐng)域:電力信息化建設(shè)及安全技術(shù)。
第4篇
[關(guān)鍵詞]信息安全管理 評估模型 管理體系
中圖分類號(hào):P9.T3308 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-914X(2016)21-0400-01
1�����、 引言
隨著信息化建設(shè)的發(fā)展�,信息安全越來越多的受到人們的重視,企業(yè)信息安全重點(diǎn)面臨的問題主要表現(xiàn)在[1]:1)網(wǎng)絡(luò)受到外部的惡意攻擊���,部分單位無終端接入控制措施�����,使企業(yè)的正常業(yè)務(wù)無法開展或相關(guān)重要數(shù)據(jù)被盜??��;2)網(wǎng)站受到黑客攻擊���,由于部分掌握網(wǎng)絡(luò)技術(shù)的不法人員查詢到破解網(wǎng)站所存在的漏洞,加以利用并篡改網(wǎng)站信息及獲取網(wǎng)站管理權(quán)限��,使得網(wǎng)站陷入癱瘓���;3)信息的監(jiān)管不利產(chǎn)生不良的影響��,通常情況下信息沒有主管部門負(fù)責(zé)審核導(dǎo)致監(jiān)管不到位����,那么不良信息就可能由于工作人員的疏忽而上傳到網(wǎng)站上,造成不良影響��;4)計(jì)算機(jī)病毒的危害�����,相關(guān)系統(tǒng)不及時(shí)更新補(bǔ)丁和升級�,受到病毒入侵并加以利用,篡改應(yīng)用系統(tǒng)信息或獲取管理權(quán)限���,使得應(yīng)用系統(tǒng)丟失重要信息�����。
當(dāng)前����,有關(guān)信息系統(tǒng)的安全評價(jià)雖然存在著多種多樣的具體實(shí)踐方式����,但在目前還沒有形成系統(tǒng)化和形式化的評價(jià)理論和方法。評價(jià)模型基本是基于灰色理論(Gray Theory)或者模糊(Fuzzy)數(shù)學(xué),而評價(jià)方法基本上用層次分析法AHP[2](Analytic Hierarchy Process)或模糊層次分析法Fuzzy AHP[3]將定性因素與定量參數(shù)結(jié)合�����,建立了安全評價(jià)體系�,并運(yùn)用隸屬函數(shù)和隸屬度確定待評對象的安全狀況。上述各種安全評估思想都是從信息系統(tǒng)安全的某一個(gè)方面出發(fā)����,如技術(shù)��、管理�、過程、人員等����,著重于評估網(wǎng)絡(luò)系統(tǒng)安全某一方面的實(shí)踐規(guī)范。在操作上主觀隨意性較強(qiáng)�,其評估過程主要依靠測試者的技術(shù)水平和對網(wǎng)絡(luò)系統(tǒng)的了解程度,缺乏統(tǒng)一的��、系統(tǒng)化的安全評估框架�����,很多評估準(zhǔn)則和指標(biāo)沒有與被評價(jià)對象的實(shí)際運(yùn)行情況和信息安全保障的效果結(jié)合起來。
大型企業(yè)信息安全管理體系的研究����,就是為了尋找一個(gè)科學(xué)、合理的管理體系�����,并根據(jù)該體系和方法對大型企業(yè)的信息安全狀況和水平進(jìn)行評價(jià)�,對信息安全管理績效進(jìn)行考核。
2����、 大型企業(yè)信息安全管理體系的內(nèi)涵
通過管理體系的應(yīng)用,將對大型企業(yè)信息安全產(chǎn)生非常重要的作用�。一是可以對企業(yè)信息安全的水平做出客觀的反應(yīng),認(rèn)識(shí)企業(yè)信息安全存在的不足之處�,發(fā)揮考評體系的指導(dǎo)作用,引導(dǎo)企業(yè)“信息安全”工作健康科學(xué)發(fā)展��;二是可以為企業(yè)信息安全的建設(shè)指明方向��,為信息安全的發(fā)展提供有力支撐����;三是可以幫助企業(yè)管理者建立起一套科學(xué)的信息安全管理系統(tǒng),有效控制信息化活動(dòng)的進(jìn)程,提高信息安全級別�����,減少因信息安全事件引起的損失����,有利于正確引導(dǎo)和規(guī)范企業(yè)的信息化建設(shè),指導(dǎo)企業(yè)科學(xué)發(fā)展具有重要的意義���。
3、 大型企業(yè)信息安全管理體系的主要做法
為了大型企業(yè)信息安全管理體系的建立�����,提出了管理體系的目標(biāo):對于信息安全方面出現(xiàn)的問題��,達(dá)到防范目的���;對于信息安全工作進(jìn)行查漏補(bǔ)缺���,加強(qiáng)管理;通過評估體系的考核�����,落實(shí)相關(guān)信息安全文件、推進(jìn)信息安全工作���,為企業(yè)信息安全的建設(shè)指明方向��,同時(shí)注重管理體系整體的時(shí)效性����,根據(jù)信息安全發(fā)展的不同階段進(jìn)行及時(shí)更新��。
1) 建立大型企業(yè)信息安全體系
信息安全體系總體設(shè)計(jì)�。信息安全體系設(shè)計(jì)共分為三級,包含9個(gè)一級指標(biāo)��,14個(gè)二級指標(biāo)����,27個(gè)三級指標(biāo)。一級指標(biāo)和二級指標(biāo)為共性指標(biāo)���,三級指標(biāo)為數(shù)據(jù)采集項(xiàng)���。一級指標(biāo)包括:網(wǎng)絡(luò)安全管理�、環(huán)境安全管理���、應(yīng)用系統(tǒng)安全管理��、數(shù)據(jù)安全管理����、終端安全管理��、操作安全管理���、網(wǎng)絡(luò)信息安全���、移動(dòng)信息化安全�、服務(wù)器掃描情況。一級和二級指標(biāo)結(jié)構(gòu)圖如下:
2)信息安全考評指標(biāo)的權(quán)重設(shè)計(jì)
指標(biāo)權(quán)重理論思路�。具體權(quán)重根據(jù)德爾菲法[4]、層次分析法��,結(jié)合政策導(dǎo)向確定����。
管理體系的指標(biāo)權(quán)重確定方法設(shè)計(jì)過程中�����,選取兩組技術(shù)�、管理等方面的專家�,其中一組專家根據(jù)各指標(biāo)在企業(yè)信息化中的重要程度,確定各指標(biāo)的相對重要性���,采用層次分析法確定各指標(biāo)的權(quán)重��。另外一組專家根據(jù)各指標(biāo)在企業(yè)信息化中的重要程度�����,對各指標(biāo)按百分制進(jìn)行賦值�,確定各指標(biāo)的權(quán)重��。綜合兩組專家的意見��,初步確定各指標(biāo)的權(quán)重���,再組織專家研討會(huì)�����,最終確定各指標(biāo)的權(quán)重����。
企業(yè)信息安全考評指標(biāo)總分計(jì)算方法:
I=Σ(Pi*Wi) (1)
I表示指標(biāo)體系的總得分;Pi表示第i個(gè)指標(biāo)的得分�����,各指標(biāo)得滿分都是100分�;Wi表示第i個(gè)指標(biāo)的權(quán)重,所有指標(biāo)權(quán)重的和為100%��。
3)建設(shè)大型企業(yè)信息化評價(jià)管理系統(tǒng)
為了實(shí)施信息安全措施體系�,以信息安全體系、信息安全文件和考評制度為基礎(chǔ)����,研發(fā)包括信息安全在內(nèi)的大型企業(yè)信息化評價(jià)管理系統(tǒng)。通過使用該系統(tǒng)���,將減輕信息化管理部門的負(fù)擔(dān),填報(bào)和匯總數(shù)據(jù)的效率顯著提高��,最為突出的是以上報(bào)數(shù)據(jù)為基礎(chǔ)����,可以自動(dòng)��、實(shí)時(shí)地形成各種統(tǒng)計(jì)����、分析圖表�,從而完成以往需要信息化管理人員幾天才能完成的大量統(tǒng)計(jì)工作,大大減輕了信息化管理部門的工作強(qiáng)度�����,增加了信息化管理部門對新情況快速反應(yīng)能力�����。
系統(tǒng)整體架構(gòu)由數(shù)據(jù)庫層���、框架服務(wù)層�����、應(yīng)用邏輯層��、界面表現(xiàn)層組成��,系統(tǒng)部署了tomcat下運(yùn)行的I@Report和BI@Report作為框架服務(wù)層�����,并在此基礎(chǔ)上開發(fā)了業(yè)務(wù)系統(tǒng)�����。
系統(tǒng)主要實(shí)現(xiàn)了如下功能:
編碼同步�、基層權(quán)限管理、評價(jià)初始化��、基層初評��、數(shù)據(jù)提交�����、部門權(quán)限管理(含單位�����、指標(biāo)項(xiàng))����、管理部門復(fù)評、信息稽核�����、數(shù)據(jù)計(jì)算�、統(tǒng)計(jì)管理、查詢管理����、決策模型。
建立統(tǒng)一的數(shù)據(jù)報(bào)送平臺(tái)�,提高企業(yè)信息整合水平。
建立在線交流及公告平臺(tái)����。
系統(tǒng)根據(jù)建立的數(shù)學(xué)模型進(jìn)行綜合分析,可自動(dòng)��、實(shí)時(shí)地形成各種統(tǒng)計(jì)分析圖表���、報(bào)告等��,例如:信息化評級���、信息化水平評測報(bào)告�。
4��、 結(jié)束語
通過大型企業(yè)信息安全管理體系的實(shí)施���,使企業(yè)信息化水平評估體系更加完善���,在考評信息化建設(shè)水平的同時(shí),又對信息安全水平等級有所提升�����。
參考文獻(xiàn)
[1] 周學(xué)廣����,劉藝.信息安全學(xué)[M].北京:機(jī)械工業(yè)出版社,2003.
[2] 常建娥���,蔣太立.層次分析法確定權(quán)重的研究[J].武漢理工大學(xué)學(xué)報(bào)�����,信息與管理工程版���,2007����,1(29):153-156.
第5篇
關(guān)鍵詞:信息完全�����;技術(shù)���;體系
一、前言
隨著金川集團(tuán)公司跨國經(jīng)營戰(zhàn)略的實(shí)施��,企業(yè)信息化進(jìn)程不斷深入�,企業(yè)信息安全己經(jīng)引起公司領(lǐng)導(dǎo)的的高度重視,但依然存在不少問題�����。調(diào)查結(jié)果表明��,造成網(wǎng)絡(luò)安全事件發(fā)生的原因有很多�,一是安全技術(shù)保障體系尚不完善,企業(yè)花了大量的金錢購買了信息安全設(shè)備���,但是技術(shù)保障不成體系�����,達(dá)不到預(yù)想的目標(biāo);二是應(yīng)急反應(yīng)體系沒有經(jīng)?��;?��、制度化;三是企業(yè)信息安全的標(biāo)準(zhǔn)、制度建設(shè)滯后����。其中,由于未修補(bǔ)或防范軟件漏洞導(dǎo)致發(fā)生安全事件的占安全事件總數(shù)的80%�����,登錄密碼過于簡單或未修改密碼導(dǎo)致發(fā)生安全事件的占19%����。近年來,雖然使用單位對信息網(wǎng)絡(luò)安全管理工作的重視程度普遍提高�,80%的被調(diào)查單位有專職或兼職的安全管理人員,但是����,很多企業(yè)存在安全觀念薄弱��、安全管理員缺乏培訓(xùn)���、安全經(jīng)費(fèi)投入不足和安全產(chǎn)品不能滿足要求等問題,也說明目前安全管理水平還比較低���。因此現(xiàn)代企業(yè)迫切需要建立信息資源安全管理體系。
二��、企業(yè)信息資源安全管理體系構(gòu)建
1����、企業(yè)信息安全組織管理
企業(yè)信息安全組織體系定義為一個(gè)三層的組織,組織架構(gòu)如圖所示:
企業(yè)信息安全組織
l)總經(jīng)理通過總經(jīng)辦負(fù)責(zé)企業(yè)信息���、安全的決策事項(xiàng)��。2)總經(jīng)理任命一名信息安全主管負(fù)責(zé)企業(yè)信息安全的風(fēng)險(xiǎn)管理�,該主管領(lǐng)導(dǎo)一個(gè)有各個(gè)部門主要負(fù)責(zé)人參加的信息安全管理小組維護(hù)企業(yè)信息安全管理體系����、管理企業(yè)信息安全風(fēng)險(xiǎn)����。3)總經(jīng)理任命一名信息安全審計(jì)師��,負(fù)責(zé)企業(yè)信息安全活動(dòng)的審計(jì)����。4)行政部門、業(yè)務(wù)部門和分支機(jī)構(gòu)執(zhí)行信息安全管理體系中的相應(yīng)安全政策����,并在信息安全管理主管的領(lǐng)導(dǎo)下,實(shí)施風(fēng)險(xiǎn)管理計(jì)劃�。各個(gè)部門負(fù)責(zé)人有義務(wù)向信息安全主管報(bào)告所管轄部門的信息安全狀況,信息安全主管應(yīng)定期在組織范圍內(nèi)和向上級機(jī)關(guān)報(bào)告企業(yè)信息安全狀況����。
2、企業(yè)信息安全政策管理
根據(jù)企業(yè)信息安全風(fēng)險(xiǎn)分析的結(jié)果和信息安全政策制定的原則���,設(shè)計(jì)信息安全政策體系包括以下幾點(diǎn):(1)企業(yè)信息安全風(fēng)險(xiǎn)管理政策:a)信息安全風(fēng)險(xiǎn)定義�,包括風(fēng)險(xiǎn)等級定義和安全類別定義;b)信息安全風(fēng)險(xiǎn)評估執(zhí)行要求��,包括時(shí)問周期要求�、范圍要求�、基于事件的風(fēng)險(xiǎn)評估要求:c)信息安全風(fēng)險(xiǎn)評估責(zé)任��,包括信息安全管理人員責(zé)任和業(yè)務(wù)部門責(zé)任���。(2)企業(yè)信息安全體系管理政策:a)管理體系的規(guī)劃�,包括規(guī)劃的時(shí)機(jī)�、規(guī)劃的內(nèi)容、規(guī)劃的依據(jù)�����、規(guī)劃的責(zé)任人:b)管理體系的實(shí)施�����,包括�、培訓(xùn)����、執(zhí)行獎(jiǎng)懲。c)管理體系的驗(yàn)證����,包括周期管理評審��、安全審計(jì)�、事件評審�����、殘留風(fēng)險(xiǎn)評估�����。d)管理體系的改進(jìn)����,包括分析和變更控制。(3)病毒抵御安全政策:a)操作程序一運(yùn)行網(wǎng)絡(luò)管理人員日常工作的程序����。這部分安全政策主要控制的風(fēng)險(xiǎn)是不規(guī)范的管理活動(dòng)造成無效或低效的管理。b)關(guān)鍵資源監(jiān)控一識(shí)別出關(guān)鍵設(shè)備并對關(guān)鍵設(shè)備的運(yùn)行狀態(tài)進(jìn)行監(jiān)控���。這部分安全政策主要控制的風(fēng)險(xiǎn)是關(guān)鍵資源異常情況不能被及時(shí)發(fā)現(xiàn)和處理��。c)軟件系統(tǒng)維護(hù)一對軟件系統(tǒng)及時(shí)地升級和打補(bǔ)丁�����。這部分安全政策主要控制的風(fēng)險(xiǎn)是軟件系統(tǒng)未及時(shí)升級和/或打補(bǔ)丁而造成的信息故障或者安全事故����。d)敏感資料存儲(chǔ)一對在業(yè)務(wù)進(jìn)行過程中產(chǎn)生的敏感信息的存放管理。這部分安全政策主要控制的風(fēng)險(xiǎn)是由于對敏感資料存儲(chǔ)不當(dāng)導(dǎo)致資料的丟失或泄漏�����。
3�����、企業(yè)信息安全事件管理
目前���,沒有任何一種具有代表性的信息安全策略或防護(hù)措施可對信息���、信息系統(tǒng)����、服務(wù)或網(wǎng)絡(luò)提供絕對的保護(hù)。即使采取了防護(hù)措施�����,仍可能存在殘留的弱點(diǎn),使得信息安全防護(hù)變得無效���,從而導(dǎo)致信息安全事件發(fā)生��,并對企業(yè)的業(yè)務(wù)運(yùn)行直接或間接地產(chǎn)生負(fù)面影響��。此外�����,以前未被認(rèn)識(shí)到的威脅也將會(huì)不可避免地發(fā)生�����。企業(yè)如果對如何應(yīng)對這些事件沒有作好充分準(zhǔn)備���,其任何實(shí)際響應(yīng)的效率都會(huì)大打折扣,甚至還可能增加潛在的業(yè)務(wù)負(fù)面影響���。因此���,企業(yè)應(yīng)著重做好信息安全事件管理工作。信息安全事件管理方案的必企業(yè)應(yīng)著重做好信息安全事件管理工作。信息安全事件管理方案的必要過程包括:(1)發(fā)現(xiàn)和報(bào)告發(fā)生的信息安全事態(tài)���,無論是由企業(yè)人員/顧客引起的還是自動(dòng)發(fā)生的(如防火墻警報(bào))����。(2)收集有關(guān)信息安全事態(tài)的信息��,由企業(yè)的運(yùn)行支持組人員進(jìn)行評估�,確定該事態(tài)屬于信息安全事件還是發(fā)生了誤報(bào)。確認(rèn)該事態(tài)是否屬于信息安全事件����,如果是,則立即作出響應(yīng)��,同時(shí)啟動(dòng)必要的法律取證分析�����、溝通活動(dòng)����。(3)進(jìn)行評審以確定該信息安全事件是否處于控制下�。(4)如果處于控制下,則啟動(dòng)任何所需要的進(jìn)一步的后續(xù)響應(yīng),以確保所有相關(guān)信息準(zhǔn)備完畢����,供事件解決后評審所用。(5)如果不在控制下��,則采取“危機(jī)求助”活動(dòng)并召集相關(guān)人員����,如企業(yè)中負(fù)責(zé)業(yè)務(wù)連續(xù)性的管理者和工作組。(6)在整個(gè)階段按要求進(jìn)行上報(bào)�,以便進(jìn)一步評估和決策。(7)確保所有相關(guān)人員����,正確記錄所有活動(dòng)以備后面分析所用。(8)確保對電子證據(jù)進(jìn)行收集和安全保存��,同時(shí)確保電子證據(jù)的安全保存得到持續(xù)監(jiān)視�����,以備法律起訴或內(nèi)部處罰所需����。(9)確保包括信息安全事件追蹤和事件報(bào)告更新的變更控制制度得到維護(hù)����,從而使得信息安全事態(tài)/事件數(shù)據(jù)庫保持最新���。
4����、企業(yè)信息安全技術(shù)管理
我們所構(gòu)建的信息安全管理體系中�,不能忽視技術(shù)的作用,雖然只使用技術(shù)控制不能保證一個(gè)信息安全環(huán)境�,但是在通常情況下,它是信息安全項(xiàng)目的基礎(chǔ)部分�����。(1)密碼服務(wù)技術(shù)��。密碼服務(wù)技術(shù)為密碼的有效應(yīng)用提供技術(shù)支持���。通常密碼服務(wù)系統(tǒng)由密碼芯片�、密碼模塊���、密碼機(jī)或軟件���,以及密碼服務(wù)接口構(gòu)成。通常����,企業(yè)會(huì)涉及以下幾個(gè)方面的密碼應(yīng)用:數(shù)字證書運(yùn)算、密鑰加密運(yùn)算�、數(shù)據(jù)傳輸、數(shù)據(jù)儲(chǔ)存����、數(shù)字簽名、數(shù)字信封��。(2)故障恢復(fù)技術(shù)�。故障恢復(fù)的主要措施有:群集配置,由多臺(tái)計(jì)算機(jī)組成群集結(jié)構(gòu)����,盡可能消除整個(gè)系統(tǒng)可能存在的單點(diǎn)故障;雙機(jī)熱備份��,在任何一臺(tái)設(shè)備失效的情況下���,按照預(yù)先定義的規(guī)則快速切換至相應(yīng)的備份設(shè)備�����,維持業(yè)務(wù)的正常運(yùn)行��;故障恢復(fù)管理�����,由專門的集群軟件進(jìn)行管理和監(jiān)控����,使應(yīng)用系統(tǒng)在任何軟硬件組成單元發(fā)生故障時(shí),能夠根據(jù) 故障情況重新分配任務(wù)��。(3)惡意代碼防范技術(shù):惡意代碼防范技術(shù)包括四大系統(tǒng):病毒查殺系統(tǒng)�、網(wǎng)關(guān)防毒系統(tǒng)、群件防毒系統(tǒng)�����、集中管理系統(tǒng)�����。(4)入侵檢測技術(shù)��。入侵檢測系統(tǒng)是實(shí)現(xiàn)入侵檢測功能的一系列的軟件、硬件的組合����。入侵檢測系統(tǒng)以實(shí)時(shí)方式監(jiān)測網(wǎng)絡(luò)通信,對其進(jìn)行分析并實(shí)時(shí)安全預(yù)警�����,從而使企業(yè)能夠有效管理內(nèi)部人員和資源�����,并對外部攻擊進(jìn)行早期預(yù)警和跟蹤��,有效保障系統(tǒng)安全���。基于主機(jī)的入侵檢測系統(tǒng)通常以系統(tǒng)日志����、應(yīng)用程序日志等審計(jì)記錄文件作為數(shù)據(jù)源。通過比較這些審計(jì)記錄文件與攻擊簽名是否匹配����,如果匹配立即報(bào)警采取行動(dòng).基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)把原始的網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源�。它是利用網(wǎng)絡(luò)適配器來實(shí)時(shí)監(jiān)視并分析通過網(wǎng)絡(luò)進(jìn)行傳輸?shù)乃型ㄐ艠I(yè)務(wù)��。(5)掃描與分析技術(shù)��。端口掃描工具能識(shí)別網(wǎng)絡(luò)上活動(dòng)的計(jì)算機(jī)���,同樣也可以識(shí)別這些計(jì)算機(jī)上的活動(dòng)端口和服務(wù)��?����?梢話呙杼囟愋偷挠?jì)算機(jī)�����、協(xié)議和資源�,也可進(jìn)行普遍掃描�。漏洞掃描可以掃描網(wǎng)絡(luò)并得到非常詳細(xì)的信息?�?梢宰R(shí)別暴露的用戶名和組���,顯示開放的網(wǎng)絡(luò)共享���,并暴露配置問題和其他服務(wù)器漏洞��。內(nèi)容過濾器也能有效地保護(hù)機(jī)構(gòu)系統(tǒng)����,使其不受誤用和無意的拒絕服務(wù)����。
5���、企業(yè)信息安全培訓(xùn)的必要性
公司目前很多崗位和部門的員工都從事涉密數(shù)據(jù)相關(guān)工作�����,有很多數(shù)據(jù)和信息涉及到公司的機(jī)密和知識(shí)產(chǎn)權(quán)�,但是大多數(shù)員工信息安全意識(shí)差��,在平時(shí)的工作中在意識(shí)上和實(shí)際工作中存在很多問題���,導(dǎo)致涉密數(shù)據(jù)的外漏�,給公司的生產(chǎn)經(jīng)營造成不可挽回的損失。在有管理組織����、政策制度和技術(shù)保障的情況下,通過對涉密數(shù)據(jù)相關(guān)工作人員的信息安全意識(shí)和信息安全操作培訓(xùn)是非常必要的��。
三�、結(jié)語
總之,企業(yè)信息安全管理體系是一個(gè)企業(yè)日常經(jīng)營和持續(xù)發(fā)展的基本保證�,也是企業(yè)戰(zhàn)略和管理的重要環(huán)節(jié)。建立信息安全管理體系的目的就是降低信息風(fēng)險(xiǎn)對企業(yè)的危害����。并將企業(yè)信息系統(tǒng)投資和商業(yè)利益最大化。信息安全不只是個(gè)技術(shù)問題���,而更多的是商業(yè)����、管理和法律問題����。實(shí)現(xiàn)信息安全不僅僅需要采用技術(shù)措施,還需要更多地借助于技術(shù)以外的其他手段���。
參考文獻(xiàn):
第6篇
[關(guān)鍵詞]信息安全�;管理;控制�;構(gòu)建
中圖分類號(hào):X922;F272 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-914X(2015)42-0081-01
1 企業(yè)信息安全的現(xiàn)狀
隨著企業(yè)信息化水平的提升��,大多數(shù)企業(yè)在信息安全建設(shè)上逐步添加了上網(wǎng)行為管理�����、內(nèi)網(wǎng)安全管理等新的安全設(shè)備���,但信息安全防護(hù)理念還停留在防的階段���,信息安全策略都是在安全事件發(fā)生后再補(bǔ)救�����,導(dǎo)致了企業(yè)信息防范的主動(dòng)性和意識(shí)不高��,信息安全防護(hù)水平已經(jīng)越來越不適應(yīng)當(dāng)今企業(yè)IT運(yùn)維環(huán)境和企業(yè)發(fā)展的需求�����。
2 企業(yè)信息系統(tǒng)安全防護(hù)的構(gòu)建原則
企業(yè)信息化安全建設(shè)的目標(biāo)是在保障企業(yè)數(shù)字化成果的安全性和可靠性。在構(gòu)建企業(yè)信息安全體系時(shí)應(yīng)該遵循以下幾個(gè)原則:
2.1 建立企業(yè)完善的信息化安全管理體系
企業(yè)信息安全管理體系首先要建立完善的組織架構(gòu)��、制定信息安全管理規(guī)范���,來保障信息安全制度的落實(shí)以及企業(yè)信息化安全體系的不斷完善���。基本企業(yè)信息安全管理過程包括:分析企業(yè)數(shù)字化資產(chǎn)評估和風(fēng)險(xiǎn)分析���、規(guī)劃信息系統(tǒng)動(dòng)態(tài)安全模型���、建立可靠嚴(yán)謹(jǐn)?shù)膱?zhí)行策略、選用安全可靠的的防護(hù)產(chǎn)品等��。
2.2 提高企業(yè)員工自身的信息安全防范意識(shí)
在企業(yè)信息化系統(tǒng)安全管理中�,防護(hù)設(shè)備和防護(hù)策略只是其中的一部分,企業(yè)員工的行為也是維護(hù)企業(yè)數(shù)字化成果不可忽略的組成�。所以企業(yè)在實(shí)施信息化安全管理時(shí),絕對不能忽視對人的行為規(guī)范和績效管理�。在企業(yè)實(shí)施企業(yè)信息安全前,應(yīng)制定企業(yè)員工信息安全行為規(guī)范��,有效地實(shí)現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全�����、可靠、穩(wěn)定運(yùn)行�,保證企業(yè)信息安全。其次階段遞進(jìn)的培訓(xùn)信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施�。企業(yè)對員工進(jìn)行逐次的安全培訓(xùn),強(qiáng)化企業(yè)員工對信息安全的概念�,提升員工的安全意識(shí)。使員工的行為符合整個(gè)企業(yè)信息安全的防范要求���。
2.3 及時(shí)優(yōu)化更新企業(yè)信息安全防護(hù)技術(shù)
當(dāng)企業(yè)對自身信息安全做出了一套整體完善的防護(hù)規(guī)劃時(shí)�����,就應(yīng)當(dāng)考慮采用何種安全防護(hù)技術(shù)來支撐整個(gè)信息安全防護(hù)體系��。對于安全防護(hù)技術(shù)來說可以分為身份識(shí)別��、網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)安全掃描�、實(shí)時(shí)監(jiān)控與入侵發(fā)現(xiàn)、安全備份恢復(fù)等�。比如身份識(shí)別的目的在于防止非企業(yè)人員訪問企業(yè)資源,并且可以根據(jù)員工級別分配人員訪問權(quán)限�����,達(dá)到企業(yè)敏感信息的安全保障。
3 企業(yè)信息安全體系部署的建議
根據(jù)企業(yè)信息安全建設(shè)架構(gòu)��,在滿足終端安全�、網(wǎng)絡(luò)安全、應(yīng)用安全�����、數(shù)據(jù)安全等安全防護(hù)體系時(shí)��,我們需要重點(diǎn)關(guān)注以下幾個(gè)方面:
3.1 實(shí)施終端安全���,規(guī)范終端用戶行為
在企業(yè)信息安全事件中�����,數(shù)字化成果泄漏是屬于危害最為嚴(yán)重的一種行為����。企業(yè)信息安全體系建立前��,企業(yè)員工對自己的個(gè)人行為不規(guī)范����,造成了員工可以通過很多方式實(shí)現(xiàn)信息外漏���。比如通過U盤等存儲(chǔ)介質(zhì)拷貝或者通過聊天軟件傳遞企業(yè)的核心數(shù)字化成果�����。對于這類高危的行為,我們在建設(shè)安全防護(hù)體系時(shí)����,僅僅靠上網(wǎng)行為管理控制是不能完全杜絕的。應(yīng)該當(dāng)用戶接入企業(yè)信息化平臺(tái)前�,就對用戶的終端系統(tǒng)進(jìn)行安全規(guī)范檢查,符合企業(yè)制定的終端安全要求后再接入企業(yè)內(nèi)網(wǎng)�。同時(shí)配合上網(wǎng)行為管理的策略對員工的上網(wǎng)行為進(jìn)行審計(jì),使得企業(yè)員工的操作行為符合企業(yè)制定的上網(wǎng)行為規(guī)范���,從終端用戶提升企業(yè)的防護(hù)水平�。
3.2 建設(shè)安全完善的VPN接入平臺(tái)
企業(yè)在信息化建設(shè)中�,考慮總部和分支機(jī)構(gòu)的信息化需要,必然會(huì)采用VPN方式來解決企業(yè)的需求�����。不論是采用SSL VPN還是IPSecVPN���,VPN加密傳輸都是通用的選擇����。對于分支機(jī)構(gòu)可以考慮專用的VPN設(shè)備和總部進(jìn)行IPSec連接�����,這種方式更安全可靠穩(wěn)定��。對于移動(dòng)終端的接入可以考慮SSL VPN方式�。在這種情況下,就必須做好對于移動(dòng)終端的身份認(rèn)證識(shí)別�。其實(shí)我們在設(shè)備采購時(shí),可以要求設(shè)備商做好多種接入方式的需求���,并且?guī)椭髽I(yè)搭建認(rèn)證方式�����。這將有利于企業(yè)日常維護(hù)���,提升企業(yè)信息系統(tǒng)的VPN接入水平��。
3.3 優(yōu)化企業(yè)網(wǎng)絡(luò)的隔離性和控制性
在規(guī)劃企業(yè)網(wǎng)絡(luò)安全邊際時(shí)�,要面對多個(gè)部門和分支結(jié)構(gòu)���,合理的規(guī)劃安全網(wǎng)絡(luò)邊際將是關(guān)鍵�。企業(yè)的網(wǎng)絡(luò)體系可以分為:物理層���;數(shù)據(jù)鏈路層��;網(wǎng)絡(luò)層���;傳輸層;會(huì)話層��;表示層���;應(yīng)用層��。各體系之間的相互隔離和訪問策略是防止企業(yè)信息安全風(fēng)險(xiǎn)的重要環(huán)節(jié)�����。在企業(yè)多樣化網(wǎng)絡(luò)環(huán)境的背景下���,根據(jù)企業(yè)安全優(yōu)先級及面臨的風(fēng)險(xiǎn)程度,做出適合企業(yè)信息安全的防護(hù)策略和訪問控制策略�。根據(jù)相應(yīng)防護(hù)設(shè)備進(jìn)行深層次的安全防護(hù),真正實(shí)現(xiàn)OSI的L2~L7層的安全防護(hù)��。
3.4 實(shí)現(xiàn)企業(yè)信息安全防護(hù)體系的統(tǒng)一管理
為企業(yè)信息安全構(gòu)建統(tǒng)一的安全防護(hù)體系��,重要的優(yōu)勢就是能實(shí)現(xiàn)對全網(wǎng)安全設(shè)備及安全事件的統(tǒng)一管理����,做到對整個(gè)網(wǎng)絡(luò)安全事件的“可視、可控和可管”��。企業(yè)采購的各種安全設(shè)備工作時(shí)會(huì)產(chǎn)生大量的安全日志�����,如果單靠相關(guān)人員的識(shí)別日志既費(fèi)時(shí)效率又低����。而且不同安全廠商的日志報(bào)表還存在很大差異。所以當(dāng)安全事件發(fā)生時(shí)����,企業(yè)管理員很難實(shí)現(xiàn)對信息安全的統(tǒng)一分析和管理�����。所以在企業(yè)在構(gòu)建信息安全體系時(shí)����,就必須要考慮安全設(shè)備日志之間的統(tǒng)一化����,設(shè)定相應(yīng)的訪問控制和安全策略實(shí)現(xiàn)日志的歸類分析。這樣才能做到對全網(wǎng)安全事件的“可視���、可控和可管”�。
4 結(jié)束語
信息安全的主要內(nèi)容就是保護(hù)企業(yè)的數(shù)字化成果的安全和完整�����。企業(yè)在實(shí)施信息安全防護(hù)過程中是一個(gè)長期的持續(xù)的工作�。我們需要在前期做好詳盡的安全防護(hù)規(guī)劃,實(shí)施過程中根據(jù)不斷出現(xiàn)的情況及時(shí)調(diào)整安全策略和訪問控制��,保證備份數(shù)據(jù)的安全性可靠性����。同時(shí)全體企業(yè)員工一起遵守企業(yè)制定的信息安全防護(hù)管理規(guī)定�����,這樣才能為企業(yè)的信息安全提供生命力和主動(dòng)性�����,真正為企業(yè)的核心業(yè)務(wù)提供安全保障。
參考文獻(xiàn)
[1] 段永紅.如何構(gòu)建企業(yè)信息安全體系[J]. 科技視界���,2012��,16:179-180.
[2] 于雷.企業(yè)信息安全體系構(gòu)建[J].科技與企業(yè)�����,2011�,08:69.
[3] 彭佩��,張婕�����,李紅梅. 企業(yè)信息安全立體防護(hù)體系構(gòu)建及運(yùn)行[J].現(xiàn)代電子技術(shù),2014�,12:42-45+48.
[4] 劉小發(fā),李良�,嚴(yán)海濤.基于企業(yè)網(wǎng)絡(luò)的信息安全體系構(gòu)建策略探討[J]. 郵電設(shè)計(jì)技術(shù),2013�����,12:25-28.
[5] 白雪祺�����,張銳鋒. 淺析企業(yè)信息系統(tǒng)安全體系建設(shè)[J].管理觀察�����,2014���,27:81-83.
第7篇
【關(guān)鍵詞】信息安全 管理 控制 構(gòu)建
1 企業(yè)信息安全的現(xiàn)狀
隨著企業(yè)信息化水平的提升�,大多數(shù)企業(yè)在信息安全建設(shè)上逐步添加了上網(wǎng)行為管理����、內(nèi)網(wǎng)安全管理等新的安全設(shè)備,但信息安全防護(hù)理念還停留在防的階段�����,信息安全策略都是在安全事件發(fā)生后再補(bǔ)救,導(dǎo)致了企業(yè)信息防范的主動(dòng)性和意識(shí)不高����,信息安全防護(hù)水平已經(jīng)越來越不適應(yīng)當(dāng)今企業(yè)IT運(yùn)維環(huán)境和企業(yè)發(fā)展的需求。
2 企業(yè)信息系統(tǒng)安全防護(hù)的構(gòu)建原則
企業(yè)信息化安全建設(shè)的目標(biāo)是在保障企業(yè)數(shù)字化成果的安全性和可靠性�。在構(gòu)建企業(yè)信息安全體系時(shí)應(yīng)該遵循以下幾個(gè)原則:
2.1 建立企業(yè)完善的信息化安全管理體系
企業(yè)信息安全管理體系首先要建立完善的組織架構(gòu)、制定信息安全管理規(guī)范���,來保障信息安全制度的落實(shí)以及企業(yè)信息化安全體系的不斷完善?���;酒髽I(yè)信息安全管理過程包括:分析企業(yè)數(shù)字化資產(chǎn)評估和風(fēng)險(xiǎn)分析、規(guī)劃信息系統(tǒng)動(dòng)態(tài)安全模型����、建立可靠嚴(yán)謹(jǐn)?shù)膱?zhí)行策略、選用安全可靠的的防護(hù)產(chǎn)品等���。
2.2 提高企業(yè)員工自身的信息安全防范意識(shí)
在企業(yè)信息化系統(tǒng)安全管理中��,防護(hù)設(shè)備和防護(hù)策略只是其中的一部分���,企業(yè)員工的行為也是維護(hù)企業(yè)數(shù)字化成果不可忽略的組成�。所以企業(yè)在實(shí)施信息化安全管理時(shí)��,絕對不能忽視對人的行為規(guī)范和績效管理��。在企業(yè)實(shí)施企業(yè)信息安全前�����,應(yīng)制定企業(yè)員工信息安全行為規(guī)范���,有效地實(shí)現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全�、可靠��、穩(wěn)定運(yùn)行����,保證企業(yè)信息安全。其次階段遞進(jìn)的培訓(xùn)信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施�����。企業(yè)對員工進(jìn)行逐次的安全培訓(xùn)��,強(qiáng)化企業(yè)員工對信息安全的概念,提升員工的安全意識(shí)��。使員工的行為符合整個(gè)企業(yè)信息安全的防范要求���。
2.3 及時(shí)優(yōu)化更新企業(yè)信息安全防護(hù)技術(shù)
當(dāng)企業(yè)對自身信息安全做出了一套整體完善的防護(hù)規(guī)劃時(shí)�����,就應(yīng)當(dāng)考慮采用何種安全防護(hù)技術(shù)來支撐整個(gè)信息安全防護(hù)體系��。對于安全防護(hù)技術(shù)來說可以分為身份識(shí)別����、網(wǎng)絡(luò)隔離�、網(wǎng)絡(luò)安全掃描���、實(shí)時(shí)監(jiān)控與入侵發(fā)現(xiàn)�����、安全備份恢復(fù)等���。比如身份識(shí)別的目的在于防止非企業(yè)人員訪問企業(yè)資源���,并且可以根據(jù)員工級別分配人員訪問權(quán)限,達(dá)到企業(yè)敏感信息的安全保障�。
3 企業(yè)信息安全體系部署的建議
根據(jù)企業(yè)信息安全建設(shè)架構(gòu),在滿足終端安全�、網(wǎng)絡(luò)安全、應(yīng)用安全���、數(shù)據(jù)安全等安全防護(hù)體系時(shí)�����,我們需要重點(diǎn)關(guān)注以下幾個(gè)方面:
3.1 實(shí)施終端安全��,規(guī)范終端用戶行為
在企業(yè)信息安全事件中�,數(shù)字化成果泄漏是屬于危害最為嚴(yán)重的一種行為�。企業(yè)信息安全體系建立前,企業(yè)員工對自己的個(gè)人行為不規(guī)范��,造成了員工可以通過很多方式實(shí)現(xiàn)信息外漏�。比如通過U盤等存儲(chǔ)介質(zhì)拷貝或者通過聊天軟件傳遞企業(yè)的核心數(shù)字化成果。對于這類高危的行為���,我們在建設(shè)安全防護(hù)體系時(shí)�����,僅僅靠上網(wǎng)行為管理控制是不能完全杜絕的���。應(yīng)該當(dāng)用戶接入企業(yè)信息化平臺(tái)前����,就對用戶的終端系統(tǒng)進(jìn)行安全規(guī)范檢查����,符合企業(yè)制定的終端安全要求后再接入企業(yè)內(nèi)網(wǎng)。同時(shí)配合上網(wǎng)行為管理的策略對員工的上網(wǎng)行為進(jìn)行審計(jì)��,使得企業(yè)員工的操作行為符合企業(yè)制定的上網(wǎng)行為規(guī)范����,從終端用戶提升企業(yè)的防護(hù)水平。
3.2 建設(shè)安全完善的VPN接入平臺(tái)
企業(yè)在信息化建設(shè)中����,考慮總部和分支機(jī)構(gòu)的信息化需要����,必然會(huì)采用VPN方式來解決企業(yè)的需求�。不論是采用SSL VPN還是IPSecVPN�����,VPN加密傳輸都是通用的選擇����。對于分支機(jī)構(gòu)可以考慮專用的VPN設(shè)備和總部進(jìn)行IPSec連接,這種方式更安全可靠穩(wěn)定�。對于移動(dòng)終端的接入可以考慮SSL VPN方式。在這種情況下����,就必須做好對于移動(dòng)終端的身份認(rèn)證識(shí)別。其實(shí)我們在設(shè)備采購時(shí)�����,可以要求設(shè)備商做好多種接入方式的需求��,并且?guī)椭髽I(yè)搭建認(rèn)證方式��。這將有利于企業(yè)日常維護(hù)���,提升企業(yè)信息系統(tǒng)的VPN接入水平����。
3.3 優(yōu)化企業(yè)網(wǎng)絡(luò)的隔離性和控制性
在規(guī)劃企業(yè)網(wǎng)絡(luò)安全邊際時(shí),要面對多個(gè)部門和分支結(jié)構(gòu)��,合理的規(guī)劃安全網(wǎng)絡(luò)邊際將是關(guān)鍵�����。企業(yè)的網(wǎng)絡(luò)體系可以分為:物理層�����;數(shù)據(jù)鏈路層��;網(wǎng)絡(luò)層����;傳輸層;會(huì)話層���;表示層�;應(yīng)用層���。各體系之間的相互隔離和訪問策略是防止企業(yè)信息安全風(fēng)險(xiǎn)的重要環(huán)節(jié)�����。在企業(yè)多樣化網(wǎng)絡(luò)環(huán)境的背景下��,根據(jù)企業(yè)安全優(yōu)先級及面臨的風(fēng)險(xiǎn)程度��,做出適合企業(yè)信息安全的防護(hù)策略和訪問控制策略��。根據(jù)相應(yīng)防護(hù)設(shè)備進(jìn)行深層次的安全防護(hù)���,真正實(shí)現(xiàn)OSI的L2~L7層的安全防護(hù)。
3.4 實(shí)現(xiàn)企業(yè)信息安全防護(hù)體系的統(tǒng)一管理
為企業(yè)信息安全構(gòu)建統(tǒng)一的安全防護(hù)體系�,重要的優(yōu)勢就是能實(shí)現(xiàn)對全網(wǎng)安全設(shè)備及安全事件的統(tǒng)一管理,做到對整個(gè)網(wǎng)絡(luò)安全事件的“可視�、可控和可管”。企業(yè)采購的各種安全設(shè)備工作時(shí)會(huì)產(chǎn)生大量的安全日志��,如果單靠相關(guān)人員的識(shí)別日志既費(fèi)時(shí)效率又低�。而且不同安全廠商的日志報(bào)表還存在很大差異。所以當(dāng)安全事件發(fā)生時(shí)�����,企業(yè)管理員很難實(shí)現(xiàn)對信息安全的統(tǒng)一分析和管理。所以在企業(yè)在構(gòu)建信息安全體系時(shí)����,就必須要考慮安全設(shè)備日志之間的統(tǒng)一化,設(shè)定相應(yīng)的訪問控制和安全策略實(shí)現(xiàn)日志的歸類分析�����。這樣才能做到對全網(wǎng)安全事件的“可視�����、可控和可管”���。
4 結(jié)束語
信息安全的主要內(nèi)容就是保護(hù)企業(yè)的數(shù)字化成果的安全和完整���。企業(yè)在實(shí)施信息安全防護(hù)過程中是一個(gè)長期的持續(xù)的工作。我們需要在前期做好詳盡的安全防護(hù)規(guī)劃���,實(shí)施過程中根據(jù)不斷出現(xiàn)的情況及時(shí)調(diào)整安全策略和訪問控制���,保證備份數(shù)據(jù)的安全性可靠性。同時(shí)全體企業(yè)員工一起遵守企業(yè)制定的信息安全防護(hù)管理規(guī)定���,這樣才能為企業(yè)的信息安全提供生命力和主動(dòng)性����,真正為企業(yè)的核心業(yè)務(wù)提供安全保障����。
參考文獻(xiàn)
[1]郝宏志.企業(yè)信息管理師[M].北京:機(jī)械工業(yè)出版社,2005.
[2]蔣培靜.歐美國家如何培養(yǎng)網(wǎng)絡(luò)安全意識(shí)[J].中國教育網(wǎng)絡(luò)���,2008(7):48-49.
作者簡介
常勝(1982-)�����,男���,回族,天津市人?����,F(xiàn)為中國市政工程華北設(shè)計(jì)研究總院有限公司工程師�����。研究方向?yàn)榫W(wǎng)絡(luò)安全與服務(wù)器規(guī)劃部署。
