時(shí)間:2023-12-22 10:13:58
序論:在您撰寫企業(yè)信息安全規(guī)劃時(shí),參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的7篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導(dǎo)您走向新的創(chuàng)作高度。
【關(guān)鍵詞】信息系統(tǒng);安全建設(shè);防護(hù)體系
1.企業(yè)信息系統(tǒng)安全防護(hù)的價(jià)值
隨著企業(yè)信息化水平的提高,企業(yè)對于IT系統(tǒng)的依賴性也越來越高。一方面,“業(yè)務(wù)系統(tǒng)流程化”正在成為IT安全建設(shè)的驅(qū)動(dòng)力。企業(yè)的新業(yè)務(wù)應(yīng)用正在逐漸標(biāo)準(zhǔn)化和流程化,各種應(yīng)用系統(tǒng)如ERP、MES為企業(yè)的生產(chǎn)效率的提高起到了關(guān)鍵的作用。有效的管控IT環(huán)境,確保IT業(yè)務(wù)系統(tǒng)的持續(xù)穩(wěn)定運(yùn)行作為企業(yè)競爭力的一部分,已成為IT系統(tǒng)安全防護(hù)的主要目標(biāo)和關(guān)鍵驅(qū)動(dòng)力。另一方面,企業(yè)IT安全的建設(shè)也是“法規(guī)遵從”的需要。IT系統(tǒng)作為企業(yè)財(cái)務(wù)應(yīng)用系統(tǒng)的重要支撐,必須提供可靠的運(yùn)行保障和數(shù)據(jù)正確性保證。
2.企業(yè)信息系統(tǒng)安全建設(shè)的現(xiàn)狀分析
在企業(yè)信息化建設(shè)的過程中,業(yè)務(wù)系統(tǒng)的建設(shè)一直是關(guān)注的重點(diǎn),但是IT業(yè)務(wù)系統(tǒng)的安全保障方面,往往成為整個(gè)信息化最薄弱的環(huán)節(jié),尤其是在信息化水平還較低的情況下,IT系統(tǒng)的安全建設(shè)缺乏統(tǒng)一的策略作為指導(dǎo)。歸結(jié)起來,企業(yè)在IT系統(tǒng)安全建設(shè)的過程中,存在以下幾方面的不足:
2.1 安全危機(jī)意識不足,制度和規(guī)范不健全
盡管知道IT安全事故后果比較嚴(yán)重,但是企業(yè)的高層領(lǐng)導(dǎo)心中仍然存在著僥幸心理,更多的時(shí)候把IT安全建設(shè)的預(yù)算挪用到其他的領(lǐng)域。企業(yè)在信息安全制度及信息安全緊急事件響應(yīng)流程等方面缺乏完整的制度和規(guī)范保證,由此帶來的后果是諸如對網(wǎng)絡(luò)的任意使用,導(dǎo)致公司的機(jī)密文檔被擴(kuò)散。同時(shí)在發(fā)生網(wǎng)絡(luò)安全問題的時(shí)候,也因?yàn)槿狈︻A(yù)先設(shè)置的各種應(yīng)急防護(hù)措施,導(dǎo)致安全風(fēng)險(xiǎn)得不到有效控制。
2.2 應(yīng)用系統(tǒng)和安全建設(shè)相分離,忽視數(shù)據(jù)安全存儲建設(shè)
在企業(yè)IT應(yīng)用系統(tǒng)的建設(shè)時(shí)期,由于所屬的建設(shè)職能部門的不同,或者是因?yàn)橥顿Y預(yù)算的限制,導(dǎo)致在應(yīng)用系統(tǒng)建設(shè)階段并沒有充分考慮到安全防護(hù)的需要,為后續(xù)的應(yīng)用系統(tǒng)受到攻擊癱瘓埋下了隱患。數(shù)據(jù)安全的威脅表現(xiàn)在核心數(shù)據(jù)的丟失;各種自然災(zāi)難、IT系統(tǒng)故障,也對數(shù)據(jù)安全帶來了巨大沖擊。遺憾的是很多企業(yè)在數(shù)據(jù)的安全存儲方面,并沒有意識到同城異地災(zāi)難備份或遠(yuǎn)程災(zāi)難備份的重要性。
2.3 缺乏整體的安全防護(hù)體系,“簡單疊加、七國八制”
對于信息安全系統(tǒng)的建設(shè),“頭痛醫(yī)頭、腳痛醫(yī)腳”的現(xiàn)象比較普遍。大多數(shù)企業(yè)仍然停留在出現(xiàn)一個(gè)安全事故后再去解決一個(gè)安全隱患的階段,缺乏對信息安全的全盤考慮和統(tǒng)一規(guī)劃,這樣的后果就是網(wǎng)絡(luò)上的設(shè)備五花八門,設(shè)備方案之間各自為戰(zhàn),缺乏相互關(guān)聯(lián),從而導(dǎo)致了多種問題。
3.企業(yè)信息系統(tǒng)安全建設(shè)規(guī)劃的原則
企業(yè)的信息化安全建設(shè)的目標(biāo)是要保證業(yè)務(wù)系統(tǒng)的正常運(yùn)轉(zhuǎn)從而為企業(yè)帶來價(jià)值,在設(shè)計(jì)高水平的安全防護(hù)體系時(shí)應(yīng)該遵循以下幾個(gè)原則:
(1)統(tǒng)一規(guī)劃設(shè)計(jì)。信息安全建設(shè),需要遵循“統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一設(shè)計(jì)、統(tǒng)一建設(shè)”的原則;應(yīng)用系統(tǒng)的建設(shè)要和信息安全的防護(hù)要求統(tǒng)一考慮。
(2)架構(gòu)先進(jìn),突出防護(hù)重點(diǎn)。要采用先進(jìn)的架構(gòu),選擇成熟的主流產(chǎn)品和符合技術(shù)發(fā)展趨勢的產(chǎn)品;明確信息安全建設(shè)的重點(diǎn),重點(diǎn)保護(hù)基礎(chǔ)網(wǎng)絡(luò)安全及關(guān)鍵應(yīng)用系統(tǒng)的安全,對不同的安全威脅進(jìn)行有針對性的方案建設(shè)。
(3)技術(shù)和管理并重,注重系統(tǒng)間的協(xié)同防護(hù)。“三分技術(shù),七分管理”,合理劃分技術(shù)和管理的界面,從組織與流程、制度與人員、場地與環(huán)境、網(wǎng)絡(luò)與系統(tǒng)、數(shù)據(jù)與應(yīng)用等多方面著手,在系統(tǒng)設(shè)計(jì)、建設(shè)和運(yùn)維的多環(huán)節(jié)進(jìn)行綜合協(xié)同防范。
(4)統(tǒng)一安全管理,考慮合規(guī)性要求。建設(shè)集中的安全管理平臺,統(tǒng)一處理各種安全事件,實(shí)現(xiàn)安全預(yù)警和及時(shí)響應(yīng);基于安全管理平臺,輸出各種合規(guī)性要求的報(bào)告,為企業(yè)的信息安全策略制定提供參考。
(5)高可靠、可擴(kuò)展的建設(shè)原則。這是任何網(wǎng)絡(luò)安全建設(shè)的必備要求,是業(yè)務(wù)連續(xù)性的需要,是滿足企業(yè)發(fā)展擴(kuò)容的需要。
4.企業(yè)信息系統(tǒng)安全建設(shè)的部署建議
以ISO27001等企業(yè)信息安全法規(guī)[1]遵從的原則為基礎(chǔ),通過分析企業(yè)信息安全面臨的風(fēng)險(xiǎn)和前期的部署實(shí)踐,建立企業(yè)信息安全建設(shè)模型,如圖1所示。
圖1 企業(yè)信息系統(tǒng)安全建設(shè)模型
基于上述企業(yè)信息安全建設(shè)模型,在建設(shè)終端安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、統(tǒng)一安全管理和滿足法規(guī)遵從的全面安全防護(hù)體系時(shí),需要重點(diǎn)關(guān)注以下幾個(gè)方面的部署建議:
4.1 實(shí)施終端安全,關(guān)注完整的用戶行為關(guān)聯(lián)分析
在企業(yè)關(guān)注的安全事件中,信息泄漏是屬于危害比較嚴(yán)重的行為?,F(xiàn)階段由于企業(yè)對網(wǎng)絡(luò)的管控不嚴(yán),員工可以通過很多方式實(shí)現(xiàn)信息外泄,常見的方式有通過桌面終端的存儲介質(zhì)進(jìn)行拷貝或是通過QQ/MSN等聊天工具將文件進(jìn)行上傳等。針對這些高危的行為,企業(yè)在建設(shè)信息安全防護(hù)體系的時(shí)候,單純的進(jìn)行桌面安全控制或者internet上網(wǎng)行為控制都不能完全杜絕這種行為。而在統(tǒng)一規(guī)劃實(shí)施的安全防護(hù)體系中,系統(tǒng)從用戶接入的那一時(shí)刻開始,就對用戶的桌面行為進(jìn)行監(jiān)控,同時(shí)配合internet上網(wǎng)行為審計(jì)設(shè)備,對該員工的上網(wǎng)行為進(jìn)行監(jiān)控和審計(jì),真正做到從員工接入網(wǎng)絡(luò)開始的各種操作行為及上網(wǎng)行為都在嚴(yán)密的監(jiān)控之中,提升企業(yè)的防護(hù)水平。
4.2 建設(shè)綜合的VPN接入平臺
無論是IPSec、L2TP,還是SSL VPN,都是企業(yè)在VPN建設(shè)過程中必然會(huì)遇到的需求。當(dāng)前階段,總部與分支節(jié)點(diǎn)的接入方式有廣域網(wǎng)專線接入和通過internet接入兩種。使用VPN進(jìn)行加密數(shù)據(jù)傳輸是通用的選擇。對于部分移動(dòng)用戶接入,也可以考慮部署SSL VPN的接入方式[2],在這種情況下,如何做好將多種VPN類型客戶的認(rèn)證方式統(tǒng)一是需要重點(diǎn)考慮的問題。而統(tǒng)一接入認(rèn)證的方式,如采用USBKEY等,甚至在設(shè)備采購時(shí)就可以預(yù)先要求設(shè)備商使用一臺設(shè)備同時(shí)支持這些需求。這將給管理員的日常維護(hù)帶來極大的方便,從而提升企業(yè)整體的VPN接入水平。
4.3 優(yōu)化安全域的隔離和控制,實(shí)現(xiàn)L2~L7層的安全防護(hù)
在建設(shè)安全邊界防護(hù)控制過程中,面對企業(yè)的多個(gè)業(yè)務(wù)部門和分支機(jī)構(gòu),合理的安全域劃分將是關(guān)鍵。按照安全域的劃分原則,企業(yè)網(wǎng)絡(luò)包括內(nèi)部園區(qū)網(wǎng)絡(luò)、Internet邊界、DMZ、數(shù)據(jù)中心、廣域網(wǎng)分支、網(wǎng)管中心等組成部分,各安全域之間的相互隔離和訪問策略是防止安全風(fēng)險(xiǎn)的重要環(huán)節(jié)。在多樣化安全域劃分的基礎(chǔ)上,深入分析各安全域內(nèi)的業(yè)務(wù)單元,根據(jù)企業(yè)持續(xù)性運(yùn)行的高低優(yōu)先級以及面臨風(fēng)險(xiǎn)的嚴(yán)重程度,設(shè)定合適的域內(nèi)安全防護(hù)策略及安全域之間的訪問控制策略,實(shí)現(xiàn)有針對性的安全防護(hù)。例如,選擇FW+IPS等設(shè)備進(jìn)行深層次的安全防護(hù),或者提供防垃圾郵件、Web訪問控制等解決方案進(jìn)行應(yīng)對,真正實(shí)現(xiàn)L2~L7層的安全防護(hù)。
4.4 強(qiáng)調(diào)網(wǎng)絡(luò)和安全方案之間的耦合聯(lián)動(dòng),實(shí)現(xiàn)網(wǎng)絡(luò)安全由被動(dòng)防御到主動(dòng)防御的轉(zhuǎn)變
統(tǒng)一規(guī)劃的技術(shù)方案,可以做到方案之間的有效關(guān)聯(lián),實(shí)現(xiàn)設(shè)備之間的安全聯(lián)動(dòng)。在實(shí)際部署過程中,在接入用戶側(cè)部署端點(diǎn)準(zhǔn)入解決方案,實(shí)現(xiàn)客戶端點(diǎn)安全接入網(wǎng)絡(luò)。同時(shí)啟動(dòng)安全聯(lián)動(dòng)的特性,一旦安全設(shè)備檢測到內(nèi)部網(wǎng)用戶正在對網(wǎng)絡(luò)的服務(wù)器進(jìn)行攻擊,可以實(shí)現(xiàn)對攻擊者接入位置的有效定位,并采取類似關(guān)閉接入交換機(jī)端口的動(dòng)作響應(yīng),真正實(shí)現(xiàn)從被動(dòng)防御向主動(dòng)防御的轉(zhuǎn)變。
4.5 實(shí)現(xiàn)統(tǒng)一的安全管理,體現(xiàn)對整個(gè)網(wǎng)安全事件的“可視、可控和可管”
統(tǒng)一建設(shè)的安全防護(hù)系統(tǒng),還有一個(gè)最為重要的優(yōu)勢,就是能實(shí)現(xiàn)對全網(wǎng)安全設(shè)備及安全事件的統(tǒng)一管理。面對各種安全設(shè)備發(fā)出來的大量的安全日志,單純靠管理員的人工操作是無能為力的,而不同廠商之間的安全日志可能還存在較大的差異,難以實(shí)現(xiàn)對全網(wǎng)安全事件的統(tǒng)一分析和報(bào)警管理。因此在規(guī)劃之初,就需要考慮到各種安全設(shè)備之間的日志格式的統(tǒng)一化,需要考慮設(shè)定相關(guān)安全策略以實(shí)現(xiàn)對日志的歸并分析并最終輸出各種合規(guī)性的報(bào)表,只有這樣才能做到對全網(wǎng)安全事件的統(tǒng)一可視、安全設(shè)備的統(tǒng)一批量配置下發(fā),以及整網(wǎng)安全設(shè)備的防控策略的統(tǒng)一管理,最終實(shí)現(xiàn)安全運(yùn)行中心管控平臺的建設(shè)。[3]
4.6 關(guān)注數(shù)據(jù)存儲安全,強(qiáng)調(diào)本地?cái)?shù)據(jù)保護(hù)和遠(yuǎn)程災(zāi)難備份相結(jié)合
在整體數(shù)據(jù)安全防護(hù)策略中,可以采用本地?cái)?shù)據(jù)保護(hù)和遠(yuǎn)程災(zāi)備相結(jié)合的方式?;贑DP的數(shù)據(jù)連續(xù)保護(hù)技術(shù)可以很好地解決數(shù)據(jù)本地安全防護(hù)的問題,與磁帶庫相比,它具有很多的技術(shù)優(yōu)勢。在數(shù)據(jù)庫的配合下,通過連續(xù)數(shù)據(jù)快照功能實(shí)現(xiàn)了對重要數(shù)據(jù)的連續(xù)數(shù)據(jù)保護(hù),用戶可以選擇在出現(xiàn)災(zāi)難后恢復(fù)到前面保存過的任何時(shí)間點(diǎn)的狀態(tài),同時(shí)支持對“漸變式災(zāi)難”的保護(hù)和恢復(fù)。在建設(shè)異地的災(zāi)備中心時(shí),可以考慮從數(shù)據(jù)級災(zāi)備和應(yīng)用級災(zāi)備兩個(gè)層面進(jìn)行。生產(chǎn)中心和異地災(zāi)備中心的網(wǎng)絡(luò)連接方式可以靈活選擇,即可采用光纖直連,也可采用足夠帶寬的IP網(wǎng)絡(luò)連接。在數(shù)據(jù)同步方式選擇上,生產(chǎn)中心和災(zāi)備中心采用基于磁盤陣列的異步復(fù)制技術(shù),實(shí)現(xiàn)數(shù)據(jù)的異地災(zāi)備。異地災(zāi)備中心還可以有選擇地部署部分關(guān)鍵應(yīng)用服務(wù)器,以提供對關(guān)鍵業(yè)務(wù)的應(yīng)用級接管能力,從而實(shí)現(xiàn)對數(shù)據(jù)安全的有效防護(hù)。
5.結(jié)束語
企業(yè)信息安全防護(hù)體系的建設(shè)是一個(gè)長期的持續(xù)的工作,不是一蹴而就的,就像現(xiàn)階段的信息安全威脅也在不斷的發(fā)展和更新,針對這些信息安全威脅的防護(hù)手段也需要逐步的更新并應(yīng)用到企業(yè)的信息安全建設(shè)之中,這種動(dòng)態(tài)的過程將使得企業(yè)的信息安全防護(hù)更有生命力和主動(dòng)性,真正為企業(yè)的業(yè)務(wù)永續(xù)運(yùn)行提供保障。
參考文獻(xiàn)
[1]李納.計(jì)算機(jī)系統(tǒng)安全與計(jì)算機(jī)網(wǎng)絡(luò)安全淺析[J].科技與企業(yè),2013.
[2]李群,周相廣,陳剛.中國石油上游信息系統(tǒng)災(zāi)難備份技術(shù)與實(shí)踐[J].信息技術(shù)與信息化,2010,06.
關(guān)鍵詞:分布式;信息安全;規(guī)劃;方案
中圖分類號:TP309.2文獻(xiàn)標(biāo)識碼:A 文章編號:1009-3044(2008)36-2848-03
An Information Security Program for a Distributed Enterprise
GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.
Key words: distributed; information security; planning; program
1 引言
據(jù)來自eWeek 的消息,市場研究機(jī)構(gòu)Gartner 研究報(bào)告稱,很對企業(yè)目前仍缺乏完整的信息安全規(guī)劃和規(guī)范。盡管目前很多企業(yè)在信息安全方面的投入每年都在緩慢增長,但由于推動(dòng)力以外部法律法規(guī)的約束和商業(yè)業(yè)務(wù)的壓力為主,因此他們對安全技術(shù)和服務(wù)的選擇和使用仍停留在一個(gè)相對較低的水平。尤其對于機(jī)構(gòu)構(gòu)成方式為分布式的企業(yè)而言,因?yàn)樾畔踩枨蠛筒渴鹣鄬Ω訌?fù)雜,投入更多,因此這類企業(yè)的信息安全規(guī)劃就更加缺乏。
本文根據(jù)這類分布式企業(yè)的特點(diǎn)提出了一種符合該類企業(yè)實(shí)際的信息安全規(guī)劃方案。
2 總體規(guī)劃原則和目標(biāo)
2.1 總體規(guī)劃原則
對于分布式企業(yè)的信息安全規(guī)劃,要遵守如下原則:適度集中,控制風(fēng)險(xiǎn);突出重點(diǎn),分級保護(hù);統(tǒng)籌安排,分步實(shí)施;分級管理,責(zé)任到崗;資源優(yōu)化,注重效益。
這個(gè)原則的制定主要是根據(jù)分布式企業(yè)的實(shí)際機(jī)構(gòu)構(gòu)成情況、人員素質(zhì)情況以及資源配置情況來制定的。
2.2 總體規(guī)劃目標(biāo)
信息系統(tǒng)安全規(guī)劃的方法可以不同、側(cè)重點(diǎn)可以不同,但是需要圍繞組織安全、管理安全、技術(shù)安全進(jìn)行全面的考慮。信息系統(tǒng)安全規(guī)劃的最終效果應(yīng)該體現(xiàn)在對信息系統(tǒng)與信息資源的安全保護(hù)上,下面將分別對組織規(guī)劃、管理規(guī)劃和技術(shù)規(guī)劃分別進(jìn)行闡述。信息安全規(guī)劃依托企業(yè)信息化戰(zhàn)略規(guī)劃,對信息化戰(zhàn)略的實(shí)施起到保駕護(hù)航的作用。信息系統(tǒng)安全規(guī)劃的目標(biāo)應(yīng)該與企業(yè)信息化的目標(biāo)是一致的,而且應(yīng)該比企業(yè)信息化的目標(biāo)更具體明確、更貼近安全。信息系統(tǒng)安全規(guī)劃的一切論述都要圍繞著這個(gè)目標(biāo)展開和部署。
3 信息安全組織規(guī)劃
3.1 組織規(guī)劃目標(biāo)
組織建設(shè)是信息安全建設(shè)的基本保證,信息安全組織的目標(biāo)是:
1)完善和形成一個(gè)獨(dú)立的、完整的、動(dòng)態(tài)的、開放的信息安全組織架構(gòu),達(dá)到國際國內(nèi)標(biāo)準(zhǔn)的要求;
2)打造一支具有專業(yè)水準(zhǔn)的、過硬本領(lǐng)的信息安全隊(duì)伍。對內(nèi)可以保障企業(yè)內(nèi)部網(wǎng)安全,對外可以向社會(huì)提供高品質(zhì)的安全服務(wù);
3)建設(shè)一個(gè) “信息安全運(yùn)維中心(SOC)”,能夠滿足當(dāng)前和未來的業(yè)務(wù)發(fā)展及信息安全組織運(yùn)轉(zhuǎn)的支撐系統(tǒng),能夠?qū)ν馓峁┌踩?wù)平臺。
3.2 組織規(guī)劃實(shí)施
對于組織規(guī)劃這個(gè)方面,是屬于一個(gè)企業(yè)信息安全規(guī)劃的上層建筑,需要用一種由上而下的方法來實(shí)現(xiàn),其主要是在具體人事機(jī)制、管理機(jī)制和培訓(xùn)機(jī)制上做工作。對于分布式企業(yè)而言,需要主導(dǎo)部門從上層著手,建章立制,強(qiáng)化安全教育,加大基礎(chǔ)人力、財(cái)力和物力的投入。
4 信息安全管理規(guī)劃
4.1 管理規(guī)劃目標(biāo)
信息安全管理規(guī)劃的目標(biāo)是,完善和形成“七套信息安全軟措施”,具體包括:一套等級劃分指標(biāo),一套信息安全策略,一套信息安全制度,一套信息安全流程規(guī)范,一套信息安全教育培訓(xùn)體系,一套信息安全風(fēng)險(xiǎn)監(jiān)管機(jī)制,一套信息安全績效考核指標(biāo)?!捌咛仔畔踩洿胧标P(guān)系如圖1所示。
4.2 信息安全管理設(shè)計(jì)
基于對管理目標(biāo)的分析,信息安全管理的原則以風(fēng)險(xiǎn)管理為主,集中安全控制。管理要素由管理對象、安全威脅、脆弱性、風(fēng)險(xiǎn)、保護(hù)措施組成。
4.2.1 信息安全等級劃分指標(biāo)
信息安全等級保護(hù)是國家在國民經(jīng)濟(jì)和社會(huì)信息化的發(fā)展過程中,提高信息安全保障能力和水平,維護(hù)國家安全、社會(huì)穩(wěn)定和公共利益,保障和促進(jìn)信息化健康發(fā)展的基本策略。
4.2.2 信息安全策略
信息安全安全策略是關(guān)于保護(hù)對象說明、保護(hù)必要性描述、保護(hù)責(zé)任人、保護(hù)對策以及意外處理方法的總和。
4.2.3 信息安全制度
信息安全制度是指為信息資產(chǎn)的安全而制定的行為約束規(guī)則。
4.2.4 信息安全規(guī)范
信息安全規(guī)范是關(guān)于信息安全工作應(yīng)達(dá)到的要求,在信息安全規(guī)范方面,根據(jù)調(diào)查,建立信息安全管理規(guī)范、信息安全技術(shù)規(guī)范。其中,安全管理規(guī)范主要針對人員、團(tuán)隊(duì)、制度和資源管理提供參照性準(zhǔn)則;信息安全技術(shù)規(guī)范主要針對安全設(shè)計(jì)、施工、維護(hù)和操作提供技術(shù)性指導(dǎo)建議。
4.2.5 信息安全管理流程
信息安全流程是指工作中應(yīng)遵循的信息安全程序,其目的是減少安全隱患,降低風(fēng)險(xiǎn)。
4.2.6 信息安全績效考核指標(biāo)
信息安全績效考核指標(biāo)是指針對信息安全工作的質(zhì)量和態(tài)度而給出的評價(jià)依據(jù),其目的是增強(qiáng)信息安全責(zé)任意識,提高信息安全工作質(zhì)量。
4.2.7 信息安全監(jiān)管機(jī)制
信息安全監(jiān)管機(jī)制是指有關(guān)信息安全風(fēng)險(xiǎn)的識別、分析和控制的措施總和。其主要目的加強(qiáng)信息安全風(fēng)險(xiǎn)的控制,做到“安全第一,預(yù)防為主”。
4.2.8 信息安全教育培訓(xùn)體系
其主要目的加強(qiáng)的信息安全人才隊(duì)伍的建設(shè),提高企業(yè)人員的信息安全意識和技能,增強(qiáng)企業(yè)信息安全能力。
5 信息安全技術(shù)規(guī)劃
5.1 技術(shù)規(guī)劃目標(biāo)
信息安全技術(shù)規(guī)劃目標(biāo)簡言之是:給業(yè)務(wù)運(yùn)營提供信息安全環(huán)境,為企業(yè)轉(zhuǎn)型提供契機(jī),構(gòu)建信息安全服務(wù)支撐系統(tǒng)。具體目標(biāo)如下:
1)打造信息安全基礎(chǔ)環(huán)境,調(diào)整和優(yōu)化IT基礎(chǔ)設(shè)施,建立安全專網(wǎng),設(shè)置兩個(gè)中心(信息安全運(yùn)維中心、災(zāi)備中心);
2)建立一體化信息安全平臺,綜合集成安全決策調(diào)度、安全巡檢、認(rèn)證授權(quán)、安全防護(hù)、安全監(jiān)控、安全審計(jì)、應(yīng)急響應(yīng)、安全服務(wù)、安全測試、安全培訓(xùn)等功能,實(shí)現(xiàn)的集中安全管理控制,快速安全事件響應(yīng),高可信的安全防護(hù),拓展企業(yè)業(yè)務(wù),開辟信息安全服務(wù)新領(lǐng)域。
5.2 信息安全運(yùn)維中心(SOC)
SOC 是信息安全體系建設(shè)的基礎(chǔ)性工作,SOC 承載用于監(jiān)控第一生產(chǎn)網(wǎng)的安全專網(wǎng)核心基礎(chǔ)設(shè)施,提供信息安全中心技術(shù)人員的辦公場所,提供“7×24”小時(shí)連續(xù)不斷的安全應(yīng)用服務(wù),提供實(shí)時(shí)監(jiān)控、遠(yuǎn)程入侵發(fā)現(xiàn)、事件響應(yīng)、安全更新與升級等業(yè)務(wù),SOC 要求具有充分保障自身的安全措施。除了SOC 的組織建設(shè)、基礎(chǔ)工程外,SOC 的技術(shù)性工作還要做以下幾個(gè)方面:
1)硬件基礎(chǔ)建設(shè),主要內(nèi)容是SOC 的選址、布局、布線、系統(tǒng)集成,實(shí)現(xiàn)SOC 自身的防火、防潮、防電、防塵、安全監(jiān)控功能;
2)軟件基礎(chǔ)建設(shè),包括SSS 系統(tǒng)、機(jī)房監(jiān)控子系統(tǒng)、功能小組及中心組劃分。
圖1 信息安全軟措施關(guān)系
圖2 信息安全總體框架
圖3 資產(chǎn)、組織、管理和安全措施的關(guān)系
5.3 信息安全綜合測試環(huán)境
隨著分布式企業(yè)信息化程度的日也加深,需要部署到大量IT 產(chǎn)品和應(yīng)用系統(tǒng),為了保障安全,必須對這些IT 系統(tǒng)和產(chǎn)品做入網(wǎng)前安全檢查,消除安全隱患?;诖?,綜合測試環(huán)境建設(shè)的內(nèi)容包括:安全測試網(wǎng)絡(luò);測試系統(tǒng)設(shè)備;安全測試工具;安全測試分析系統(tǒng);安全測試知識庫。
其中,安全測試網(wǎng)絡(luò)要求能夠模擬企業(yè)網(wǎng)絡(luò)真實(shí)的帶寬;測試系統(tǒng)設(shè)備能夠提供典型的網(wǎng)絡(luò)服務(wù)流量模擬、典型的應(yīng)用系統(tǒng)流量模擬;安全測試工具覆蓋防范類、檢測類、評估類、應(yīng)急恢復(fù)類、管理類等,并提供使用說明、漏洞掃描、應(yīng)用安全分析;安全測試分析系統(tǒng)能夠提供統(tǒng)計(jì)分析、圖表展現(xiàn)功能;安全知識庫包含以下內(nèi)容:漏洞知識庫,補(bǔ)丁信息庫,安全標(biāo)準(zhǔn)知識庫,威脅場景視頻庫,攻擊特征知識庫,信息安全解決案例庫,安全產(chǎn)品知識庫,安全概念和術(shù)語知識庫。
5.4 安全平臺建設(shè)規(guī)劃
參照國際上PDRR 模型和國家信息安全方面規(guī)范,建議信息安全總體框架設(shè)計(jì)如圖2所示。
主要目的,以資產(chǎn)為核心,通過安全組織實(shí)現(xiàn)資產(chǎn)保護(hù),以安全管理來約束組織的行為,以技術(shù)手段輔助安全管理。其中,資產(chǎn)、組織、管理、安全措施的關(guān)系如圖3所示,核心為資產(chǎn),圍繞資產(chǎn)是組織,組織是管理,最外層是安全措施。
在平臺中集成十個(gè)安全機(jī)制,它們分別是:信息安全集中管理;信息安全巡檢;信息安全認(rèn)證授權(quán);信息安全防護(hù);信息安全監(jiān)控;信息安全測試;信息安全審核;信息安全應(yīng)急響應(yīng);信息安全教育培訓(xùn);信息安全服務(wù)。
6 信息安全服務(wù)業(yè)務(wù)規(guī)劃
6.1 服務(wù)業(yè)務(wù)規(guī)劃目標(biāo)
信息安全服務(wù)業(yè)務(wù)規(guī)劃目標(biāo)簡言之是:以信息安全服務(wù)為切入點(diǎn),充分發(fā)揮企業(yè)優(yōu)勢資源,引領(lǐng)信息安全市場,為企業(yè)轉(zhuǎn)型創(chuàng)造時(shí)機(jī)。具體目標(biāo)如下:
1)推出面向客戶安全(檢查、教育、配置)產(chǎn)品;2)推出面向大型企業(yè)的信息安全咨詢產(chǎn)品;3)推出面向家庭安全上網(wǎng)產(chǎn)品;4)推出面向企業(yè)安全運(yùn)維產(chǎn)品;5)推出面向企業(yè)災(zāi)害恢復(fù)產(chǎn)品。
6.2 服務(wù)業(yè)務(wù)規(guī)劃設(shè)計(jì)
服務(wù)業(yè)務(wù)規(guī)劃主要針對具體業(yè)務(wù)而言,在此列舉信息類分布式企業(yè)業(yè)務(wù)作為示例:
1)信息安全咨詢類產(chǎn)品,其服務(wù)功能主要有:信息安全風(fēng)險(xiǎn)評估;信息安全規(guī)劃設(shè)計(jì);信息安全產(chǎn)品顧問。
2)信息安全教育培訓(xùn)類產(chǎn)品,其服務(wù)功能主要有:提供信息安全操作環(huán)境;提供信息安全知識教育;提供信息安全運(yùn)維教育。
3)家庭類安全服務(wù)產(chǎn)品,其服務(wù)功能主要有:推出“家庭綠色上網(wǎng)”安全服務(wù);家庭上網(wǎng)防病毒服務(wù);家庭上網(wǎng)機(jī)器安全檢查服務(wù);家庭上網(wǎng)機(jī)數(shù)據(jù)備份服務(wù)。
4)企業(yè)類安全服務(wù)產(chǎn)品,其服務(wù)功能主要有:企業(yè)安全上網(wǎng)控制服務(wù);企業(yè)安全專網(wǎng)服務(wù);安全信息通告;企業(yè)運(yùn)維服務(wù)。
5)容災(zāi)類安全服務(wù)產(chǎn)品,其服務(wù)功能主要有:面向政府?dāng)?shù)據(jù)災(zāi)備服務(wù);面向政府信息系統(tǒng)災(zāi)備服務(wù);面向企業(yè)數(shù)據(jù)災(zāi)備服務(wù);面向企業(yè)信息系統(tǒng)災(zāi)備服務(wù)。
7 結(jié)束語
通過結(jié)合分布式企業(yè)的具體實(shí)際,按照信息安全體系結(jié)構(gòu)相關(guān)標(biāo)準(zhǔn),提出了分布式企業(yè)的信息安全規(guī)劃原則和目標(biāo)。并依據(jù)次原則與目標(biāo),按照組織、管理和技術(shù)三個(gè)方面提出了具體的實(shí)現(xiàn)與設(shè)計(jì)規(guī)范原則。最后,依據(jù)服務(wù)規(guī)劃目標(biāo),提出了信息類分布式企業(yè)的信息安全服務(wù)規(guī)劃設(shè)計(jì)實(shí)例。
參考文獻(xiàn):
[1] 周曉梅. 論企業(yè)信息安全體系的建立[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2006,3:62~64,57.
[2] Harold F. Tipton,Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US:Auerbach Publications,2004.
[3] 魏永紅,李天智,張志. 網(wǎng)絡(luò)信息安全防御體系探討[J].河北省科學(xué)院學(xué)報(bào),2006,23,(1):25~28.
[4] 張慶華. 信息網(wǎng)絡(luò)動(dòng)態(tài)安全體系模型綜述[J].計(jì)算機(jī)應(yīng)用研究,2002,10:5~7.
[5] ISO/IEC 15408,13335,15004,14598,信息技術(shù)安全評估的系列標(biāo)準(zhǔn)[S].
[6] BS7799-1,7799-2,ISO/IEC 17799,信息安全管理系列標(biāo)準(zhǔn)[S].
[7] BS7799-2,Information Security Management Systems-Specification With Guidance for use[S].
[8] 李瑋. 運(yùn)營商IT系統(tǒng)網(wǎng)絡(luò)架構(gòu)的安全域劃分[J]. 通信世界,2005,30:41~41,45~45.
在進(jìn)行信息安全總體架構(gòu)規(guī)劃時(shí),企業(yè)容易陷入兩個(gè)誤區(qū): 一是羅列一堆產(chǎn)品和技術(shù),把能夠看到的安全產(chǎn)品和安全技術(shù)(防火墻、防病毒、入侵監(jiān)測、加密技術(shù)、VPN、終端準(zhǔn)入控制)都堆砌起來,以為這樣就構(gòu)成了全面的安全屏障; 二是把企業(yè)信息安全等同于網(wǎng)絡(luò)安全,給出的規(guī)劃也只能是局部的、殘缺不全的。
要做企業(yè)信息安全總體架構(gòu)規(guī)劃,首先要了解企業(yè)的信息安全需求。拋開需求做規(guī)劃,難免會(huì)掉進(jìn)前面所講的兩種誤區(qū)中。因此,做規(guī)劃要從需求入手。
企業(yè)信息安全總體架構(gòu)規(guī)劃模型(圖1)以企業(yè)信息安全的需求(保密性、完整性、可用性)為出發(fā)點(diǎn),以應(yīng)用安全、數(shù)據(jù)安全、主機(jī)安全、網(wǎng)絡(luò)安全、桌面安全、物理安全為關(guān)注重點(diǎn),層層剖析、全面挖掘企業(yè)的信息安全需求,是一種將管理、技術(shù)和人員三者有機(jī)結(jié)合的企業(yè)信息安全保障體系。該模型均衡考慮了企業(yè)在保密性(C)、完整性(I)和可用性(A)三方面的安全需求。
企業(yè)信息安全總體架構(gòu)規(guī)劃模型雖然清晰地指出了規(guī)劃的要點(diǎn)、重點(diǎn)和思路,但是按照此模型還是不知道如何去做,具體實(shí)施應(yīng)參照一定的方法論進(jìn)行。企業(yè)信息安全總體架構(gòu)規(guī)劃方法論(圖2)融合了以管理和技術(shù)為核心的全面分析方法,以安全需求為焦點(diǎn),從管理現(xiàn)狀、技術(shù)現(xiàn)狀和人員狀況三個(gè)維度,綜合采用調(diào)查問卷、人員訪談、現(xiàn)場察看、資料分析、技術(shù)檢測等多種手段,全面深入地挖掘需求。在明確需求的前提下,借鑒同類企業(yè)成功經(jīng)驗(yàn)并均衡考慮CIA(保密性、完整性、可用性),規(guī)劃符合企業(yè)實(shí)情的信息安全保障體系。
在企業(yè)信息安全總體架構(gòu)規(guī)劃方法論中,重點(diǎn)工作的描述如下:
調(diào)查問卷
針對企業(yè)情況,信息主管應(yīng)參照ISO27001/ISO13335等標(biāo)準(zhǔn),制定相應(yīng)的調(diào)查問卷,通過它全面了解企業(yè)的安全要求、安全狀況、IT環(huán)境,以及企業(yè)信息系統(tǒng)的應(yīng)用情況和已經(jīng)采取的安全控制手段。
人員訪談
應(yīng)選定關(guān)鍵領(lǐng)導(dǎo)和關(guān)鍵崗位,進(jìn)行人員訪談,全面了解信息系統(tǒng)的安全需求,層層剖析、深入了解企業(yè)信息系統(tǒng)各層面的安全現(xiàn)狀,包括應(yīng)用狀況、數(shù)據(jù)存儲及數(shù)據(jù)庫、主機(jī)及操作系統(tǒng)、網(wǎng)絡(luò)拓?fù)浼熬W(wǎng)絡(luò)管理、數(shù)據(jù)中心及桌面管理等。
現(xiàn)場查看
為了確保獲取信息的全面性和準(zhǔn)確性,實(shí)地考察是非常必要的?,F(xiàn)場查看主要有兩方面。一方面是了解現(xiàn)有技術(shù)措施的情況,例如設(shè)備使用狀況、技術(shù)應(yīng)用狀況等; 另一方面是物理環(huán)境察看,例如機(jī)房、辦公室、其他重要區(qū)域、門禁、監(jiān)控等。
資料分析
收集企業(yè)的相關(guān)資料進(jìn)行分析,重點(diǎn)包括信息系統(tǒng)的部署架構(gòu)、網(wǎng)絡(luò)架構(gòu)、安全制度、運(yùn)維管理、IT運(yùn)行報(bào)告和IT審計(jì)報(bào)告。
技術(shù)檢測
采取技術(shù)手段進(jìn)行漏洞檢測和分析,包括滲透測試、漏洞掃描、本地檢查和手工檢查等。充分發(fā)掘網(wǎng)絡(luò)方面的漏洞、主機(jī)及操作系統(tǒng)漏洞、數(shù)據(jù)庫方面的漏洞、應(yīng)用方面的漏洞等。
CIA均衡考慮
通過前面5種方法完成需求分析之后,CIO對信息安全的具體詳細(xì)的需求就了解了。然后針對企業(yè)的信息安全需求,均衡考慮CIA三個(gè)方面設(shè)計(jì)技術(shù)、管理和人員控制措施,并將這些措施有機(jī)結(jié)合構(gòu)建信息安全保障體系。
[關(guān)鍵詞]信息安全;管理;控制;構(gòu)建
中圖分類號:X922;F272 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-914X(2015)42-0081-01
1 企業(yè)信息安全的現(xiàn)狀
隨著企業(yè)信息化水平的提升,大多數(shù)企業(yè)在信息安全建設(shè)上逐步添加了上網(wǎng)行為管理、內(nèi)網(wǎng)安全管理等新的安全設(shè)備,但信息安全防護(hù)理念還停留在防的階段,信息安全策略都是在安全事件發(fā)生后再補(bǔ)救,導(dǎo)致了企業(yè)信息防范的主動(dòng)性和意識不高,信息安全防護(hù)水平已經(jīng)越來越不適應(yīng)當(dāng)今企業(yè)IT運(yùn)維環(huán)境和企業(yè)發(fā)展的需求。
2 企業(yè)信息系統(tǒng)安全防護(hù)的構(gòu)建原則
企業(yè)信息化安全建設(shè)的目標(biāo)是在保障企業(yè)數(shù)字化成果的安全性和可靠性。在構(gòu)建企業(yè)信息安全體系時(shí)應(yīng)該遵循以下幾個(gè)原則:
2.1 建立企業(yè)完善的信息化安全管理體系
企業(yè)信息安全管理體系首先要建立完善的組織架構(gòu)、制定信息安全管理規(guī)范,來保障信息安全制度的落實(shí)以及企業(yè)信息化安全體系的不斷完善。基本企業(yè)信息安全管理過程包括:分析企業(yè)數(shù)字化資產(chǎn)評估和風(fēng)險(xiǎn)分析、規(guī)劃信息系統(tǒng)動(dòng)態(tài)安全模型、建立可靠嚴(yán)謹(jǐn)?shù)膱?zhí)行策略、選用安全可靠的的防護(hù)產(chǎn)品等。
2.2 提高企業(yè)員工自身的信息安全防范意識
在企業(yè)信息化系統(tǒng)安全管理中,防護(hù)設(shè)備和防護(hù)策略只是其中的一部分,企業(yè)員工的行為也是維護(hù)企業(yè)數(shù)字化成果不可忽略的組成。所以企業(yè)在實(shí)施信息化安全管理時(shí),絕對不能忽視對人的行為規(guī)范和績效管理。在企業(yè)實(shí)施企業(yè)信息安全前,應(yīng)制定企業(yè)員工信息安全行為規(guī)范,有效地實(shí)現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全、可靠、穩(wěn)定運(yùn)行,保證企業(yè)信息安全。其次階段遞進(jìn)的培訓(xùn)信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施。企業(yè)對員工進(jìn)行逐次的安全培訓(xùn),強(qiáng)化企業(yè)員工對信息安全的概念,提升員工的安全意識。使員工的行為符合整個(gè)企業(yè)信息安全的防范要求。
2.3 及時(shí)優(yōu)化更新企業(yè)信息安全防護(hù)技術(shù)
當(dāng)企業(yè)對自身信息安全做出了一套整體完善的防護(hù)規(guī)劃時(shí),就應(yīng)當(dāng)考慮采用何種安全防護(hù)技術(shù)來支撐整個(gè)信息安全防護(hù)體系。對于安全防護(hù)技術(shù)來說可以分為身份識別、網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)安全掃描、實(shí)時(shí)監(jiān)控與入侵發(fā)現(xiàn)、安全備份恢復(fù)等。比如身份識別的目的在于防止非企業(yè)人員訪問企業(yè)資源,并且可以根據(jù)員工級別分配人員訪問權(quán)限,達(dá)到企業(yè)敏感信息的安全保障。
3 企業(yè)信息安全體系部署的建議
根據(jù)企業(yè)信息安全建設(shè)架構(gòu),在滿足終端安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全等安全防護(hù)體系時(shí),我們需要重點(diǎn)關(guān)注以下幾個(gè)方面:
3.1 實(shí)施終端安全,規(guī)范終端用戶行為
在企業(yè)信息安全事件中,數(shù)字化成果泄漏是屬于危害最為嚴(yán)重的一種行為。企業(yè)信息安全體系建立前,企業(yè)員工對自己的個(gè)人行為不規(guī)范,造成了員工可以通過很多方式實(shí)現(xiàn)信息外漏。比如通過U盤等存儲介質(zhì)拷貝或者通過聊天軟件傳遞企業(yè)的核心數(shù)字化成果。對于這類高危的行為,我們在建設(shè)安全防護(hù)體系時(shí),僅僅靠上網(wǎng)行為管理控制是不能完全杜絕的。應(yīng)該當(dāng)用戶接入企業(yè)信息化平臺前,就對用戶的終端系統(tǒng)進(jìn)行安全規(guī)范檢查,符合企業(yè)制定的終端安全要求后再接入企業(yè)內(nèi)網(wǎng)。同時(shí)配合上網(wǎng)行為管理的策略對員工的上網(wǎng)行為進(jìn)行審計(jì),使得企業(yè)員工的操作行為符合企業(yè)制定的上網(wǎng)行為規(guī)范,從終端用戶提升企業(yè)的防護(hù)水平。
3.2 建設(shè)安全完善的VPN接入平臺
企業(yè)在信息化建設(shè)中,考慮總部和分支機(jī)構(gòu)的信息化需要,必然會(huì)采用VPN方式來解決企業(yè)的需求。不論是采用SSL VPN還是IPSecVPN,VPN加密傳輸都是通用的選擇。對于分支機(jī)構(gòu)可以考慮專用的VPN設(shè)備和總部進(jìn)行IPSec連接,這種方式更安全可靠穩(wěn)定。對于移動(dòng)終端的接入可以考慮SSL VPN方式。在這種情況下,就必須做好對于移動(dòng)終端的身份認(rèn)證識別。其實(shí)我們在設(shè)備采購時(shí),可以要求設(shè)備商做好多種接入方式的需求,并且?guī)椭髽I(yè)搭建認(rèn)證方式。這將有利于企業(yè)日常維護(hù),提升企業(yè)信息系統(tǒng)的VPN接入水平。
3.3 優(yōu)化企業(yè)網(wǎng)絡(luò)的隔離性和控制性
在規(guī)劃企業(yè)網(wǎng)絡(luò)安全邊際時(shí),要面對多個(gè)部門和分支結(jié)構(gòu),合理的規(guī)劃安全網(wǎng)絡(luò)邊際將是關(guān)鍵。企業(yè)的網(wǎng)絡(luò)體系可以分為:物理層;數(shù)據(jù)鏈路層;網(wǎng)絡(luò)層;傳輸層;會(huì)話層;表示層;應(yīng)用層。各體系之間的相互隔離和訪問策略是防止企業(yè)信息安全風(fēng)險(xiǎn)的重要環(huán)節(jié)。在企業(yè)多樣化網(wǎng)絡(luò)環(huán)境的背景下,根據(jù)企業(yè)安全優(yōu)先級及面臨的風(fēng)險(xiǎn)程度,做出適合企業(yè)信息安全的防護(hù)策略和訪問控制策略。根據(jù)相應(yīng)防護(hù)設(shè)備進(jìn)行深層次的安全防護(hù),真正實(shí)現(xiàn)OSI的L2~L7層的安全防護(hù)。
3.4 實(shí)現(xiàn)企業(yè)信息安全防護(hù)體系的統(tǒng)一管理
為企業(yè)信息安全構(gòu)建統(tǒng)一的安全防護(hù)體系,重要的優(yōu)勢就是能實(shí)現(xiàn)對全網(wǎng)安全設(shè)備及安全事件的統(tǒng)一管理,做到對整個(gè)網(wǎng)絡(luò)安全事件的“可視、可控和可管”。企業(yè)采購的各種安全設(shè)備工作時(shí)會(huì)產(chǎn)生大量的安全日志,如果單靠相關(guān)人員的識別日志既費(fèi)時(shí)效率又低。而且不同安全廠商的日志報(bào)表還存在很大差異。所以當(dāng)安全事件發(fā)生時(shí),企業(yè)管理員很難實(shí)現(xiàn)對信息安全的統(tǒng)一分析和管理。所以在企業(yè)在構(gòu)建信息安全體系時(shí),就必須要考慮安全設(shè)備日志之間的統(tǒng)一化,設(shè)定相應(yīng)的訪問控制和安全策略實(shí)現(xiàn)日志的歸類分析。這樣才能做到對全網(wǎng)安全事件的“可視、可控和可管”。
4 結(jié)束語
信息安全的主要內(nèi)容就是保護(hù)企業(yè)的數(shù)字化成果的安全和完整。企業(yè)在實(shí)施信息安全防護(hù)過程中是一個(gè)長期的持續(xù)的工作。我們需要在前期做好詳盡的安全防護(hù)規(guī)劃,實(shí)施過程中根據(jù)不斷出現(xiàn)的情況及時(shí)調(diào)整安全策略和訪問控制,保證備份數(shù)據(jù)的安全性可靠性。同時(shí)全體企業(yè)員工一起遵守企業(yè)制定的信息安全防護(hù)管理規(guī)定,這樣才能為企業(yè)的信息安全提供生命力和主動(dòng)性,真正為企業(yè)的核心業(yè)務(wù)提供安全保障。
參考文獻(xiàn)
[1] 段永紅.如何構(gòu)建企業(yè)信息安全體系[J]. 科技視界,2012,16:179-180.
[2] 于雷.企業(yè)信息安全體系構(gòu)建[J].科技與企業(yè),2011,08:69.
[3] 彭佩,張婕,李紅梅. 企業(yè)信息安全立體防護(hù)體系構(gòu)建及運(yùn)行[J].現(xiàn)代電子技術(shù),2014,12:42-45+48.
[4] 劉小發(fā),李良,嚴(yán)海濤.基于企業(yè)網(wǎng)絡(luò)的信息安全體系構(gòu)建策略探討[J]. 郵電設(shè)計(jì)技術(shù),2013,12:25-28.
[5] 白雪祺,張銳鋒. 淺析企業(yè)信息系統(tǒng)安全體系建設(shè)[J].管理觀察,2014,27:81-83.
【關(guān)鍵詞】信息安全 管理 控制 構(gòu)建
1 企業(yè)信息安全的現(xiàn)狀
隨著企業(yè)信息化水平的提升,大多數(shù)企業(yè)在信息安全建設(shè)上逐步添加了上網(wǎng)行為管理、內(nèi)網(wǎng)安全管理等新的安全設(shè)備,但信息安全防護(hù)理念還停留在防的階段,信息安全策略都是在安全事件發(fā)生后再補(bǔ)救,導(dǎo)致了企業(yè)信息防范的主動(dòng)性和意識不高,信息安全防護(hù)水平已經(jīng)越來越不適應(yīng)當(dāng)今企業(yè)IT運(yùn)維環(huán)境和企業(yè)發(fā)展的需求。
2 企業(yè)信息系統(tǒng)安全防護(hù)的構(gòu)建原則
企業(yè)信息化安全建設(shè)的目標(biāo)是在保障企業(yè)數(shù)字化成果的安全性和可靠性。在構(gòu)建企業(yè)信息安全體系時(shí)應(yīng)該遵循以下幾個(gè)原則:
2.1 建立企業(yè)完善的信息化安全管理體系
企業(yè)信息安全管理體系首先要建立完善的組織架構(gòu)、制定信息安全管理規(guī)范,來保障信息安全制度的落實(shí)以及企業(yè)信息化安全體系的不斷完善?;酒髽I(yè)信息安全管理過程包括:分析企業(yè)數(shù)字化資產(chǎn)評估和風(fēng)險(xiǎn)分析、規(guī)劃信息系統(tǒng)動(dòng)態(tài)安全模型、建立可靠嚴(yán)謹(jǐn)?shù)膱?zhí)行策略、選用安全可靠的的防護(hù)產(chǎn)品等。
2.2 提高企業(yè)員工自身的信息安全防范意識
在企業(yè)信息化系統(tǒng)安全管理中,防護(hù)設(shè)備和防護(hù)策略只是其中的一部分,企業(yè)員工的行為也是維護(hù)企業(yè)數(shù)字化成果不可忽略的組成。所以企業(yè)在實(shí)施信息化安全管理時(shí),絕對不能忽視對人的行為規(guī)范和績效管理。在企業(yè)實(shí)施企業(yè)信息安全前,應(yīng)制定企業(yè)員工信息安全行為規(guī)范,有效地實(shí)現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全、可靠、穩(wěn)定運(yùn)行,保證企業(yè)信息安全。其次階段遞進(jìn)的培訓(xùn)信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施。企業(yè)對員工進(jìn)行逐次的安全培訓(xùn),強(qiáng)化企業(yè)員工對信息安全的概念,提升員工的安全意識。使員工的行為符合整個(gè)企業(yè)信息安全的防范要求。
2.3 及時(shí)優(yōu)化更新企業(yè)信息安全防護(hù)技術(shù)
當(dāng)企業(yè)對自身信息安全做出了一套整體完善的防護(hù)規(guī)劃時(shí),就應(yīng)當(dāng)考慮采用何種安全防護(hù)技術(shù)來支撐整個(gè)信息安全防護(hù)體系。對于安全防護(hù)技術(shù)來說可以分為身份識別、網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)安全掃描、實(shí)時(shí)監(jiān)控與入侵發(fā)現(xiàn)、安全備份恢復(fù)等。比如身份識別的目的在于防止非企業(yè)人員訪問企業(yè)資源,并且可以根據(jù)員工級別分配人員訪問權(quán)限,達(dá)到企業(yè)敏感信息的安全保障。
3 企業(yè)信息安全體系部署的建議
根據(jù)企業(yè)信息安全建設(shè)架構(gòu),在滿足終端安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全等安全防護(hù)體系時(shí),我們需要重點(diǎn)關(guān)注以下幾個(gè)方面:
3.1 實(shí)施終端安全,規(guī)范終端用戶行為
在企業(yè)信息安全事件中,數(shù)字化成果泄漏是屬于危害最為嚴(yán)重的一種行為。企業(yè)信息安全體系建立前,企業(yè)員工對自己的個(gè)人行為不規(guī)范,造成了員工可以通過很多方式實(shí)現(xiàn)信息外漏。比如通過U盤等存儲介質(zhì)拷貝或者通過聊天軟件傳遞企業(yè)的核心數(shù)字化成果。對于這類高危的行為,我們在建設(shè)安全防護(hù)體系時(shí),僅僅靠上網(wǎng)行為管理控制是不能完全杜絕的。應(yīng)該當(dāng)用戶接入企業(yè)信息化平臺前,就對用戶的終端系統(tǒng)進(jìn)行安全規(guī)范檢查,符合企業(yè)制定的終端安全要求后再接入企業(yè)內(nèi)網(wǎng)。同時(shí)配合上網(wǎng)行為管理的策略對員工的上網(wǎng)行為進(jìn)行審計(jì),使得企業(yè)員工的操作行為符合企業(yè)制定的上網(wǎng)行為規(guī)范,從終端用戶提升企業(yè)的防護(hù)水平。
3.2 建設(shè)安全完善的VPN接入平臺
企業(yè)在信息化建設(shè)中,考慮總部和分支機(jī)構(gòu)的信息化需要,必然會(huì)采用VPN方式來解決企業(yè)的需求。不論是采用SSL VPN還是IPSecVPN,VPN加密傳輸都是通用的選擇。對于分支機(jī)構(gòu)可以考慮專用的VPN設(shè)備和總部進(jìn)行IPSec連接,這種方式更安全可靠穩(wěn)定。對于移動(dòng)終端的接入可以考慮SSL VPN方式。在這種情況下,就必須做好對于移動(dòng)終端的身份認(rèn)證識別。其實(shí)我們在設(shè)備采購時(shí),可以要求設(shè)備商做好多種接入方式的需求,并且?guī)椭髽I(yè)搭建認(rèn)證方式。這將有利于企業(yè)日常維護(hù),提升企業(yè)信息系統(tǒng)的VPN接入水平。
3.3 優(yōu)化企業(yè)網(wǎng)絡(luò)的隔離性和控制性
在規(guī)劃企業(yè)網(wǎng)絡(luò)安全邊際時(shí),要面對多個(gè)部門和分支結(jié)構(gòu),合理的規(guī)劃安全網(wǎng)絡(luò)邊際將是關(guān)鍵。企業(yè)的網(wǎng)絡(luò)體系可以分為:物理層;數(shù)據(jù)鏈路層;網(wǎng)絡(luò)層;傳輸層;會(huì)話層;表示層;應(yīng)用層。各體系之間的相互隔離和訪問策略是防止企業(yè)信息安全風(fēng)險(xiǎn)的重要環(huán)節(jié)。在企業(yè)多樣化網(wǎng)絡(luò)環(huán)境的背景下,根據(jù)企業(yè)安全優(yōu)先級及面臨的風(fēng)險(xiǎn)程度,做出適合企業(yè)信息安全的防護(hù)策略和訪問控制策略。根據(jù)相應(yīng)防護(hù)設(shè)備進(jìn)行深層次的安全防護(hù),真正實(shí)現(xiàn)OSI的L2~L7層的安全防護(hù)。
3.4 實(shí)現(xiàn)企業(yè)信息安全防護(hù)體系的統(tǒng)一管理
為企業(yè)信息安全構(gòu)建統(tǒng)一的安全防護(hù)體系,重要的優(yōu)勢就是能實(shí)現(xiàn)對全網(wǎng)安全設(shè)備及安全事件的統(tǒng)一管理,做到對整個(gè)網(wǎng)絡(luò)安全事件的“可視、可控和可管”。企業(yè)采購的各種安全設(shè)備工作時(shí)會(huì)產(chǎn)生大量的安全日志,如果單靠相關(guān)人員的識別日志既費(fèi)時(shí)效率又低。而且不同安全廠商的日志報(bào)表還存在很大差異。所以當(dāng)安全事件發(fā)生時(shí),企業(yè)管理員很難實(shí)現(xiàn)對信息安全的統(tǒng)一分析和管理。所以在企業(yè)在構(gòu)建信息安全體系時(shí),就必須要考慮安全設(shè)備日志之間的統(tǒng)一化,設(shè)定相應(yīng)的訪問控制和安全策略實(shí)現(xiàn)日志的歸類分析。這樣才能做到對全網(wǎng)安全事件的“可視、可控和可管”。
4 結(jié)束語
信息安全的主要內(nèi)容就是保護(hù)企業(yè)的數(shù)字化成果的安全和完整。企業(yè)在實(shí)施信息安全防護(hù)過程中是一個(gè)長期的持續(xù)的工作。我們需要在前期做好詳盡的安全防護(hù)規(guī)劃,實(shí)施過程中根據(jù)不斷出現(xiàn)的情況及時(shí)調(diào)整安全策略和訪問控制,保證備份數(shù)據(jù)的安全性可靠性。同時(shí)全體企業(yè)員工一起遵守企業(yè)制定的信息安全防護(hù)管理規(guī)定,這樣才能為企業(yè)的信息安全提供生命力和主動(dòng)性,真正為企業(yè)的核心業(yè)務(wù)提供安全保障。
參考文獻(xiàn)
[1]郝宏志.企業(yè)信息管理師[M].北京:機(jī)械工業(yè)出版社,2005.
[2]蔣培靜.歐美國家如何培養(yǎng)網(wǎng)絡(luò)安全意識[J].中國教育網(wǎng)絡(luò),2008(7):48-49.
作者簡介
常勝(1982-),男,回族,天津市人?,F(xiàn)為中國市政工程華北設(shè)計(jì)研究總院有限公司工程師。研究方向?yàn)榫W(wǎng)絡(luò)安全與服務(wù)器規(guī)劃部署。
隨著企業(yè)信息化水平的提升,大多數(shù)企業(yè)在信息安全建設(shè)上逐步添加了上網(wǎng)行為管理、內(nèi)網(wǎng)安全管理等新的安全設(shè)備,但信息安全防護(hù)理念還停留在防的階段,信息安全策略都是在安全事件發(fā)生后再補(bǔ)救,導(dǎo)致了企業(yè)信息防范的主動(dòng)性和意識不高,信息安全防護(hù)水平已經(jīng)越來越不適應(yīng)當(dāng)今企業(yè)IT運(yùn)維環(huán)境和企業(yè)發(fā)展的需求。
2企業(yè)信息系統(tǒng)安全防護(hù)的構(gòu)建原則
企業(yè)信息化安全建設(shè)的目標(biāo)是在保障企業(yè)數(shù)字化成果的安全性和可靠性。在構(gòu)建企業(yè)信息安全體系時(shí)應(yīng)該遵循以下幾個(gè)原則:
2.1建立企業(yè)完善的信息化安全管理體系
企業(yè)信息安全管理體系首先要建立完善的組織架構(gòu)、制定信息安全管理規(guī)范,來保障信息安全制度的落實(shí)以及企業(yè)信息化安全體系的不斷完善?;酒髽I(yè)信息安全管理過程包括:分析企業(yè)數(shù)字化資產(chǎn)評估和風(fēng)險(xiǎn)分析、規(guī)劃信息系統(tǒng)動(dòng)態(tài)安全模型、建立可靠嚴(yán)謹(jǐn)?shù)膱?zhí)行策略、選用安全可靠的的防護(hù)產(chǎn)品等。
2.2提高企業(yè)員工自身的信息安全防范意識
在企業(yè)信息化系統(tǒng)安全管理中,防護(hù)設(shè)備和防護(hù)策略只是其中的一部分,企業(yè)員工的行為也是維護(hù)企業(yè)數(shù)字化成果不可忽略的組成。所以企業(yè)在實(shí)施信息化安全管理時(shí),絕對不能忽視對人的行為規(guī)范和績效管理。在企業(yè)實(shí)施企業(yè)信息安全前,應(yīng)制定企業(yè)員工信息安全行為規(guī)范,有效地實(shí)現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全、可靠、穩(wěn)定運(yùn)行,保證企業(yè)信息安全。其次階段遞進(jìn)的培訓(xùn)信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施。企業(yè)對員工進(jìn)行逐次的安全培訓(xùn),強(qiáng)化企業(yè)員工對信息安全的概念,提升員工的安全意識。使員工的行為符合整個(gè)企業(yè)信息安全的防范要求。
2.3及時(shí)優(yōu)化更新企業(yè)信息安全防護(hù)技術(shù)
當(dāng)企業(yè)對自身信息安全做出了一套整體完善的防護(hù)規(guī)劃時(shí),就應(yīng)當(dāng)考慮采用何種安全防護(hù)技術(shù)來支撐整個(gè)信息安全防護(hù)體系。對于安全防護(hù)技術(shù)來說可以分為身份識別、網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)安全掃描、實(shí)時(shí)監(jiān)控與入侵發(fā)現(xiàn)、安全備份恢復(fù)等。比如身份識別的目的在于防止非企業(yè)人員訪問企業(yè)資源,并且可以根據(jù)員工級別分配人員訪問權(quán)限,達(dá)到企業(yè)敏感信息的安全保障。
3企業(yè)信息安全體系部署的建議
根據(jù)企業(yè)信息安全建設(shè)架構(gòu),在滿足終端安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全等安全防護(hù)體系時(shí),我們需要重點(diǎn)關(guān)注以下幾個(gè)方面:
3.1實(shí)施終端安全,規(guī)范終端用戶行為
在企業(yè)信息安全事件中,數(shù)字化成果泄漏是屬于危害最為嚴(yán)重的一種行為。企業(yè)信息安全體系建立前,企業(yè)員工對自己的個(gè)人行為不規(guī)范,造成了員工可以通過很多方式實(shí)現(xiàn)信息外漏。比如通過U盤等存儲介質(zhì)拷貝或者通過聊天軟件傳遞企業(yè)的核心數(shù)字化成果。對于這類高危的行為,我們在建設(shè)安全防護(hù)體系時(shí),僅僅靠上網(wǎng)行為管理控制是不能完全杜絕的。應(yīng)該當(dāng)用戶接入企業(yè)信息化平臺前,就對用戶的終端系統(tǒng)進(jìn)行安全規(guī)范檢查,符合企業(yè)制定的終端安全要求后再接入企業(yè)內(nèi)網(wǎng)。同時(shí)配合上網(wǎng)行為管理的策略對員工的上網(wǎng)行為進(jìn)行審計(jì),使得企業(yè)員工的操作行為符合企業(yè)制定的上網(wǎng)行為規(guī)范,從終端用戶提升企業(yè)的防護(hù)水平。
3.2建設(shè)安全完善的VPN接入平臺
企業(yè)在信息化建設(shè)中,考慮總部和分支機(jī)構(gòu)的信息化需要,必然會(huì)采用VPN方式來解決企業(yè)的需求。不論是采用SSLVPN還是IPSecVPN,VPN加密傳輸都是通用的選擇。對于分支機(jī)構(gòu)可以考慮專用的VPN設(shè)備和總部進(jìn)行IPSec連接,這種方式更安全可靠穩(wěn)定。對于移動(dòng)終端的接入可以考慮SSLVPN方式。在這種情況下,就必須做好對于移動(dòng)終端的身份認(rèn)證識別。其實(shí)我們在設(shè)備采購時(shí),可以要求設(shè)備商做好多種接入方式的需求,并且?guī)椭髽I(yè)搭建認(rèn)證方式。這將有利于企業(yè)日常維護(hù),提升企業(yè)信息系統(tǒng)的VPN接入水平。
3.3優(yōu)化企業(yè)網(wǎng)絡(luò)的隔離性和控制性
在規(guī)劃企業(yè)網(wǎng)絡(luò)安全邊際時(shí),要面對多個(gè)部門和分支結(jié)構(gòu),合理的規(guī)劃安全網(wǎng)絡(luò)邊際將是關(guān)鍵。企業(yè)的網(wǎng)絡(luò)體系可以分為:物理層;數(shù)據(jù)鏈路層;網(wǎng)絡(luò)層;傳輸層;會(huì)話層;表示層;應(yīng)用層。各體系之間的相互隔離和訪問策略是防止企業(yè)信息安全風(fēng)險(xiǎn)的重要環(huán)節(jié)。在企業(yè)多樣化網(wǎng)絡(luò)環(huán)境的背景下,根據(jù)企業(yè)安全優(yōu)先級及面臨的風(fēng)險(xiǎn)程度,做出適合企業(yè)信息安全的防護(hù)策略和訪問控制策略。根據(jù)相應(yīng)防護(hù)設(shè)備進(jìn)行深層次的安全防護(hù),真正實(shí)現(xiàn)OSI的L2~L7層的安全防護(hù)。
3.4實(shí)現(xiàn)企業(yè)信息安全防護(hù)體系的統(tǒng)一管理
為企業(yè)信息安全構(gòu)建統(tǒng)一的安全防護(hù)體系,重要的優(yōu)勢就是能實(shí)現(xiàn)對全網(wǎng)安全設(shè)備及安全事件的統(tǒng)一管理,做到對整個(gè)網(wǎng)絡(luò)安全事件的“可視、可控和可管”。企業(yè)采購的各種安全設(shè)備工作時(shí)會(huì)產(chǎn)生大量的安全日志,如果單靠相關(guān)人員的識別日志既費(fèi)時(shí)效率又低。而且不同安全廠商的日志報(bào)表還存在很大差異。所以當(dāng)安全事件發(fā)生時(shí),企業(yè)管理員很難實(shí)現(xiàn)對信息安全的統(tǒng)一分析和管理。所以在企業(yè)在構(gòu)建信息安全體系時(shí),就必須要考慮安全設(shè)備日志之間的統(tǒng)一化,設(shè)定相應(yīng)的訪問控制和安全策略實(shí)現(xiàn)日志的歸類分析。這樣才能做到對全網(wǎng)安全事件的“可視、可控和可管”。
4結(jié)束語
關(guān)鍵詞:信息完全;技術(shù);體系
一、前言
隨著金川集團(tuán)公司跨國經(jīng)營戰(zhàn)略的實(shí)施,企業(yè)信息化進(jìn)程不斷深入,企業(yè)信息安全己經(jīng)引起公司領(lǐng)導(dǎo)的的高度重視,但依然存在不少問題。調(diào)查結(jié)果表明,造成網(wǎng)絡(luò)安全事件發(fā)生的原因有很多,一是安全技術(shù)保障體系尚不完善,企業(yè)花了大量的金錢購買了信息安全設(shè)備,但是技術(shù)保障不成體系,達(dá)不到預(yù)想的目標(biāo);二是應(yīng)急反應(yīng)體系沒有經(jīng)?;?、制度化;三是企業(yè)信息安全的標(biāo)準(zhǔn)、制度建設(shè)滯后。其中,由于未修補(bǔ)或防范軟件漏洞導(dǎo)致發(fā)生安全事件的占安全事件總數(shù)的80%,登錄密碼過于簡單或未修改密碼導(dǎo)致發(fā)生安全事件的占19%。近年來,雖然使用單位對信息網(wǎng)絡(luò)安全管理工作的重視程度普遍提高,80%的被調(diào)查單位有專職或兼職的安全管理人員,但是,很多企業(yè)存在安全觀念薄弱、安全管理員缺乏培訓(xùn)、安全經(jīng)費(fèi)投入不足和安全產(chǎn)品不能滿足要求等問題,也說明目前安全管理水平還比較低。因此現(xiàn)代企業(yè)迫切需要建立信息資源安全管理體系。
二、企業(yè)信息資源安全管理體系構(gòu)建
1、企業(yè)信息安全組織管理
企業(yè)信息安全組織體系定義為一個(gè)三層的組織,組織架構(gòu)如圖所示:
企業(yè)信息安全組織
l)總經(jīng)理通過總經(jīng)辦負(fù)責(zé)企業(yè)信息、安全的決策事項(xiàng)。2)總經(jīng)理任命一名信息安全主管負(fù)責(zé)企業(yè)信息安全的風(fēng)險(xiǎn)管理,該主管領(lǐng)導(dǎo)一個(gè)有各個(gè)部門主要負(fù)責(zé)人參加的信息安全管理小組維護(hù)企業(yè)信息安全管理體系、管理企業(yè)信息安全風(fēng)險(xiǎn)。3)總經(jīng)理任命一名信息安全審計(jì)師,負(fù)責(zé)企業(yè)信息安全活動(dòng)的審計(jì)。4)行政部門、業(yè)務(wù)部門和分支機(jī)構(gòu)執(zhí)行信息安全管理體系中的相應(yīng)安全政策,并在信息安全管理主管的領(lǐng)導(dǎo)下,實(shí)施風(fēng)險(xiǎn)管理計(jì)劃。各個(gè)部門負(fù)責(zé)人有義務(wù)向信息安全主管報(bào)告所管轄部門的信息安全狀況,信息安全主管應(yīng)定期在組織范圍內(nèi)和向上級機(jī)關(guān)報(bào)告企業(yè)信息安全狀況。
2、企業(yè)信息安全政策管理
根據(jù)企業(yè)信息安全風(fēng)險(xiǎn)分析的結(jié)果和信息安全政策制定的原則,設(shè)計(jì)信息安全政策體系包括以下幾點(diǎn):(1)企業(yè)信息安全風(fēng)險(xiǎn)管理政策:a)信息安全風(fēng)險(xiǎn)定義,包括風(fēng)險(xiǎn)等級定義和安全類別定義;b)信息安全風(fēng)險(xiǎn)評估執(zhí)行要求,包括時(shí)問周期要求、范圍要求、基于事件的風(fēng)險(xiǎn)評估要求:c)信息安全風(fēng)險(xiǎn)評估責(zé)任,包括信息安全管理人員責(zé)任和業(yè)務(wù)部門責(zé)任。(2)企業(yè)信息安全體系管理政策:a)管理體系的規(guī)劃,包括規(guī)劃的時(shí)機(jī)、規(guī)劃的內(nèi)容、規(guī)劃的依據(jù)、規(guī)劃的責(zé)任人:b)管理體系的實(shí)施,包括、培訓(xùn)、執(zhí)行獎(jiǎng)懲。c)管理體系的驗(yàn)證,包括周期管理評審、安全審計(jì)、事件評審、殘留風(fēng)險(xiǎn)評估。d)管理體系的改進(jìn),包括分析和變更控制。(3)病毒抵御安全政策:a)操作程序一運(yùn)行網(wǎng)絡(luò)管理人員日常工作的程序。這部分安全政策主要控制的風(fēng)險(xiǎn)是不規(guī)范的管理活動(dòng)造成無效或低效的管理。b)關(guān)鍵資源監(jiān)控一識別出關(guān)鍵設(shè)備并對關(guān)鍵設(shè)備的運(yùn)行狀態(tài)進(jìn)行監(jiān)控。這部分安全政策主要控制的風(fēng)險(xiǎn)是關(guān)鍵資源異常情況不能被及時(shí)發(fā)現(xiàn)和處理。c)軟件系統(tǒng)維護(hù)一對軟件系統(tǒng)及時(shí)地升級和打補(bǔ)丁。這部分安全政策主要控制的風(fēng)險(xiǎn)是軟件系統(tǒng)未及時(shí)升級和/或打補(bǔ)丁而造成的信息故障或者安全事故。d)敏感資料存儲一對在業(yè)務(wù)進(jìn)行過程中產(chǎn)生的敏感信息的存放管理。這部分安全政策主要控制的風(fēng)險(xiǎn)是由于對敏感資料存儲不當(dāng)導(dǎo)致資料的丟失或泄漏。
3、企業(yè)信息安全事件管理
目前,沒有任何一種具有代表性的信息安全策略或防護(hù)措施可對信息、信息系統(tǒng)、服務(wù)或網(wǎng)絡(luò)提供絕對的保護(hù)。即使采取了防護(hù)措施,仍可能存在殘留的弱點(diǎn),使得信息安全防護(hù)變得無效,從而導(dǎo)致信息安全事件發(fā)生,并對企業(yè)的業(yè)務(wù)運(yùn)行直接或間接地產(chǎn)生負(fù)面影響。此外,以前未被認(rèn)識到的威脅也將會(huì)不可避免地發(fā)生。企業(yè)如果對如何應(yīng)對這些事件沒有作好充分準(zhǔn)備,其任何實(shí)際響應(yīng)的效率都會(huì)大打折扣,甚至還可能增加潛在的業(yè)務(wù)負(fù)面影響。因此,企業(yè)應(yīng)著重做好信息安全事件管理工作。信息安全事件管理方案的必企業(yè)應(yīng)著重做好信息安全事件管理工作。信息安全事件管理方案的必要過程包括:(1)發(fā)現(xiàn)和報(bào)告發(fā)生的信息安全事態(tài),無論是由企業(yè)人員/顧客引起的還是自動(dòng)發(fā)生的(如防火墻警報(bào))。(2)收集有關(guān)信息安全事態(tài)的信息,由企業(yè)的運(yùn)行支持組人員進(jìn)行評估,確定該事態(tài)屬于信息安全事件還是發(fā)生了誤報(bào)。確認(rèn)該事態(tài)是否屬于信息安全事件,如果是,則立即作出響應(yīng),同時(shí)啟動(dòng)必要的法律取證分析、溝通活動(dòng)。(3)進(jìn)行評審以確定該信息安全事件是否處于控制下。(4)如果處于控制下,則啟動(dòng)任何所需要的進(jìn)一步的后續(xù)響應(yīng),以確保所有相關(guān)信息準(zhǔn)備完畢,供事件解決后評審所用。(5)如果不在控制下,則采取“危機(jī)求助”活動(dòng)并召集相關(guān)人員,如企業(yè)中負(fù)責(zé)業(yè)務(wù)連續(xù)性的管理者和工作組。(6)在整個(gè)階段按要求進(jìn)行上報(bào),以便進(jìn)一步評估和決策。(7)確保所有相關(guān)人員,正確記錄所有活動(dòng)以備后面分析所用。(8)確保對電子證據(jù)進(jìn)行收集和安全保存,同時(shí)確保電子證據(jù)的安全保存得到持續(xù)監(jiān)視,以備法律起訴或內(nèi)部處罰所需。(9)確保包括信息安全事件追蹤和事件報(bào)告更新的變更控制制度得到維護(hù),從而使得信息安全事態(tài)/事件數(shù)據(jù)庫保持最新。
4、企業(yè)信息安全技術(shù)管理
我們所構(gòu)建的信息安全管理體系中,不能忽視技術(shù)的作用,雖然只使用技術(shù)控制不能保證一個(gè)信息安全環(huán)境,但是在通常情況下,它是信息安全項(xiàng)目的基礎(chǔ)部分。(1)密碼服務(wù)技術(shù)。密碼服務(wù)技術(shù)為密碼的有效應(yīng)用提供技術(shù)支持。通常密碼服務(wù)系統(tǒng)由密碼芯片、密碼模塊、密碼機(jī)或軟件,以及密碼服務(wù)接口構(gòu)成。通常,企業(yè)會(huì)涉及以下幾個(gè)方面的密碼應(yīng)用:數(shù)字證書運(yùn)算、密鑰加密運(yùn)算、數(shù)據(jù)傳輸、數(shù)據(jù)儲存、數(shù)字簽名、數(shù)字信封。(2)故障恢復(fù)技術(shù)。故障恢復(fù)的主要措施有:群集配置,由多臺計(jì)算機(jī)組成群集結(jié)構(gòu),盡可能消除整個(gè)系統(tǒng)可能存在的單點(diǎn)故障;雙機(jī)熱備份,在任何一臺設(shè)備失效的情況下,按照預(yù)先定義的規(guī)則快速切換至相應(yīng)的備份設(shè)備,維持業(yè)務(wù)的正常運(yùn)行;故障恢復(fù)管理,由專門的集群軟件進(jìn)行管理和監(jiān)控,使應(yīng)用系統(tǒng)在任何軟硬件組成單元發(fā)生故障時(shí),能夠根據(jù) 故障情況重新分配任務(wù)。(3)惡意代碼防范技術(shù):惡意代碼防范技術(shù)包括四大系統(tǒng):病毒查殺系統(tǒng)、網(wǎng)關(guān)防毒系統(tǒng)、群件防毒系統(tǒng)、集中管理系統(tǒng)。(4)入侵檢測技術(shù)。入侵檢測系統(tǒng)是實(shí)現(xiàn)入侵檢測功能的一系列的軟件、硬件的組合。入侵檢測系統(tǒng)以實(shí)時(shí)方式監(jiān)測網(wǎng)絡(luò)通信,對其進(jìn)行分析并實(shí)時(shí)安全預(yù)警,從而使企業(yè)能夠有效管理內(nèi)部人員和資源,并對外部攻擊進(jìn)行早期預(yù)警和跟蹤,有效保障系統(tǒng)安全。基于主機(jī)的入侵檢測系統(tǒng)通常以系統(tǒng)日志、應(yīng)用程序日志等審計(jì)記錄文件作為數(shù)據(jù)源。通過比較這些審計(jì)記錄文件與攻擊簽名是否匹配,如果匹配立即報(bào)警采取行動(dòng).基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)把原始的網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源。它是利用網(wǎng)絡(luò)適配器來實(shí)時(shí)監(jiān)視并分析通過網(wǎng)絡(luò)進(jìn)行傳輸?shù)乃型ㄐ艠I(yè)務(wù)。(5)掃描與分析技術(shù)。端口掃描工具能識別網(wǎng)絡(luò)上活動(dòng)的計(jì)算機(jī),同樣也可以識別這些計(jì)算機(jī)上的活動(dòng)端口和服務(wù)??梢話呙杼囟愋偷挠?jì)算機(jī)、協(xié)議和資源,也可進(jìn)行普遍掃描。漏洞掃描可以掃描網(wǎng)絡(luò)并得到非常詳細(xì)的信息??梢宰R別暴露的用戶名和組,顯示開放的網(wǎng)絡(luò)共享,并暴露配置問題和其他服務(wù)器漏洞。內(nèi)容過濾器也能有效地保護(hù)機(jī)構(gòu)系統(tǒng),使其不受誤用和無意的拒絕服務(wù)。
5、企業(yè)信息安全培訓(xùn)的必要性
公司目前很多崗位和部門的員工都從事涉密數(shù)據(jù)相關(guān)工作,有很多數(shù)據(jù)和信息涉及到公司的機(jī)密和知識產(chǎn)權(quán),但是大多數(shù)員工信息安全意識差,在平時(shí)的工作中在意識上和實(shí)際工作中存在很多問題,導(dǎo)致涉密數(shù)據(jù)的外漏,給公司的生產(chǎn)經(jīng)營造成不可挽回的損失。在有管理組織、政策制度和技術(shù)保障的情況下,通過對涉密數(shù)據(jù)相關(guān)工作人員的信息安全意識和信息安全操作培訓(xùn)是非常必要的。
三、結(jié)語
總之,企業(yè)信息安全管理體系是一個(gè)企業(yè)日常經(jīng)營和持續(xù)發(fā)展的基本保證,也是企業(yè)戰(zhàn)略和管理的重要環(huán)節(jié)。建立信息安全管理體系的目的就是降低信息風(fēng)險(xiǎn)對企業(yè)的危害。并將企業(yè)信息系統(tǒng)投資和商業(yè)利益最大化。信息安全不只是個(gè)技術(shù)問題,而更多的是商業(yè)、管理和法律問題。實(shí)現(xiàn)信息安全不僅僅需要采用技術(shù)措施,還需要更多地借助于技術(shù)以外的其他手段。
參考文獻(xiàn):