發布時間:2023-10-11 10:05:35
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的企業信息安全管理體系樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
1、 引言
隨著信息化建設的發展,信息安全越來越多的受到人們的重視,企業信息安全重點面臨的問題主要表現在[1]:1)網絡受到外部的惡意攻擊,部分單位無終端接入控制措施,使企業的正常業務無法開展或相關重要數據被盜取;2)網站受到黑客攻擊,由于部分掌握網絡技術的不法人員查詢到破解網站所存在的漏洞,加以利用并篡改網站信息及獲取網站管理權限,使得網站陷入癱瘓;3)信息的監管不利產生不良的影響,通常情況下信息沒有主管部門負責審核導致監管不到位,那么不良信息就可能由于工作人員的疏忽而上傳到網站上,造成不良影響;4)計算機病毒的危害,相關系統不及時更新補丁和升級,受到病毒入侵并加以利用,篡改應用系統信息或獲取管理權限,使得應用系統丟失重要信息。
當前,有關信息系統的安全評價雖然存在著多種多樣的具體實踐方式,但在目前還沒有形成系統化和形式化的評價理論和方法。評價模型基本是基于灰色理論(Gray Theory)或者模糊(Fuzzy)數學,而評價方法基本上用層次分析法AHP[2](Analytic Hierarchy Process)或模糊層次分析法Fuzzy AHP[3]將定性因素與定量參數結合,建立了安全評價體系,并運用隸屬函數和隸屬度確定待評對象的安全狀況。上述各種安全評估思想都是從信息系統安全的某一個方面出發,如技術、管理、過程、人員等,著重于評估網絡系統安全某一方面的實踐規范。在操作上主觀隨意性較強,其評估過程主要依靠測試者的技術水平和對網絡系統的了解程度,缺乏統一的、系統化的安全評估框架,很多評估準則和指標沒有與被評價對象的實際運行情況和信息安全保障的效果結合起來。
大型企業信息安全管理體系的研究,就是為了尋找一個科學、合理的管理體系,并根據該體系和方法對大型企業的信息安全狀況和水平進行評價,對信息安全管理績效進行考核。
2、 大型企業信息安全管理體系的內涵
通過管理體系的應用,將對大型企業信息安全產生非常重要的作用。一是可以對企業信息安全的水平做出客觀的反應,認識企業信息安全存在的不足之處,發揮考評體系的指導作用,引導企業“信息安全”工作健康科學發展;二是可以為企業信息安全的建設指明方向,為信息安全的發展提供有力支撐;三是可以幫助企業管理者建立起一套科學的信息安全管理系統,有效控制信息化活動的進程,提高信息安全級別,減少因信息安全事件引起的損失,有利于正確引導和規范企業的信息化建設,指導企業科學發展具有重要的意義。
3、 大型企業信息安全管理體系的主要做法
為了大型企業信息安全管理體系的建立,提出了管理體系的目標:對于信息安全方面出現的問題,達到防范目的;對于信息安全工作進行查漏補缺,加強管理;通過評估體系的考核,落實相關信息安全文件、推進信息安全工作,為企業信息安全的建設指明方向,同時注重管理體系整體的時效性,根據信息安全發展的不同階段進行及時更新。
1) 建立大型企業信息安全體系
信息安全體系總體設計。信息安全體系設計共分為三級,包含9個一級指標,14個二級指標,27個三級指標。一級指標和二級指標為共性指標,三級指標為數據采集項。一級指標包括:網絡安全管理、環境安全管理、應用系統安全管理、數據安全管理、終端安全管理、操作安全管理、網絡信息安全、移動信息化安全、服務器掃描情況。一級和二級指標結構圖如下:
2)信息安全考評指標的權重設計
指標權重理論思路。具體權重根據德爾菲法[4]、層次分析法,結合政策導向確定。
管理體系的指標權重確定方法設計過程中,選取兩組技術、管理等方面的專家,其中一組專家根據各指標在企業信息化中的重要程度,確定各指標的相對重要性,采用層次分析法確定各指標的權重。另外一組專家根據各指標在企業信息化中的重要程度,對各指標按百分制進行賦值,確定各指標的權重。綜合兩組專家的意見,初步確定各指標的權重,再組織專家研討會,最終確定各指標的權重。
企業信息安全考評指標總分計算方法:
I=Σ(Pi*Wi) (1)
I表示指標體系的總得分;Pi表示第i個指標的得分,各指標得滿分都是100分;Wi表示第i個指標的權重,所有指標權重的和為100%。
3)建設大型企業信息化評價管理系統
為了實施信息安全措施體系,以信息安全體系、信息安全文件和考評制度為基礎,研發包括信息安全在內的大型企業信息化評價管理系統。通過使用該系統,將減輕信息化管理部門的負擔,填報和匯總數據的效率顯著提高,最為突出的是以上報數據為基礎,可以自動、實時地形成各種統計、分析圖表,從而完成以往需要信息化管理人員幾天才能完成的大量統計工作,大大減輕了信息化管理部門的工作強度,增加了信息化管理部門對新情況快速反應能力。
系統整體架構由數據庫層、框架服務層、應用邏輯層、界面表現層組成,系統部署了tomcat下運行的I@Report和BI@Report作為框架服務層,并在此基礎上開發了業務系統。
系統主要實現了如下功能:
編碼同步、基層權限管理、評價初始化、基層初評、數據提交、部門權限管理(含單位、指標項)、管理部門復評、信息稽核、數據計算、統計管理、查詢管理、決策模型。
建立統一的數據報送平臺,提高企業信息整合水平。
建立在線交流及公告平臺。
系統根據建立的數學模型進行綜合分析,可自動、實時地形成各種統計分析圖表、報告等,例如:信息化評級、信息化水平評測報告。
4、 結束語
通過大型企業信息安全管理體系的實施,使企業信息化水平評估體系更加完善,在考評信息化建設水平的同時,又對信息安全水平等級有所提升。
關鍵詞:信息安全管理對策
信息安全隨著信息技術的發展而產生,并且其重要性日益凸現出來,信息安全的內涵也隨著計算機技術的發展而不斷變化,進入二十一世紀以來,信息安全的重點放在了保護信息,確保信息在存儲,處理,傳輸過程中及信息系統不被破壞,確保對合法用戶的服務和限制非授權用戶的服務,以及必要的防御攻擊的措施。即強調信息的保密性、完整性、可用性、可控性。
一、電力企業信息安全風險分析
隨著企業的生產指揮,經營管理等經營活動越來越依賴于計算機信息系統,如果這些系統遭到破壞,造成數據損壞,信息泄漏,不能提供服務等問題,則將對電網的安全運行,電力企業的生產管理以及經濟效益等造成不可估量的損失,高技術在帶來便利與效率的同時,也帶來了新的安全風險和問題。
1、電力公司信息安全的主要風險分析
信息安全風險和信息化應用情況密切相關,和采用的信息技術也密切相關,電力公司信息系統面臨的主要風險存在于如下幾個方面:
(1)計算機病毒的威脅最為廣泛:計算機病毒自產生以來,一直就是計算機系統的頭號敵人,在電力企業信息安全問題中,計算機病毒發生的頻度大,影響的面寬,并且造成的破壞和損失也列在所有安全威脅之首。病毒感染造成網絡通信阻塞,系統數據和文件系統破壞,系統無法提供服務甚至破壞后無法恢復,特別是系統中多年積累的重要數據的丟失,損失是災難性的。
在目前的局域網建成,廣域網聯通的條件下,計算機病毒的傳播更加迅速,一臺計算機感染病毒,在兩三天內可以感染到區域內所有單位的計算機系統。病毒傳播速度,感染和破壞規模與網絡尚未聯通之時相比,高出幾個數量級。
(2)網絡安全問題日益突出:企業網絡的聯通為信息傳遞提供了方便的途徑。企業有許多應用系統如:辦公自動化系統,用電營銷系統,遠程教育培訓系統等,通過廣域網傳遞數據。企業開通了互聯網專線寬帶上網,企業內部職工可以通過互聯網方便地收集獲取信息,發送電子郵件等。
網絡聯通也帶來了網絡安全問題。企業內部廣域網上的用戶數量多且難于進行管理,互聯網更是連接到國際上的各個地方,什么樣的用戶都有。內部網,互聯網上的一些用戶出于好奇的心理,或者蓄意破壞的動機,對電力公司網絡上的連接的計算機系統和設備進行入侵,攻擊等,影響網絡上信息的傳輸,破壞軟件系統和數據,盜取企業商業秘密和機密信息,非法使用網絡資源等,給企業造成巨大的損失。更有極少數人利用網絡進行非法的,影響國家安定團結的活動,造成很壞的影響。
如何加強網絡的安全防護,保護企業內部網上的信息系統和信息資源的安全,保證對信息網絡的合法使用,是目前一個熱門的安全課題,也是電力企業面臨的一個非常突出的安全問題。
(3)信息傳遞的安全不容忽視:隨著辦公自動化,財務管理系統,用電營銷系統等生產,經營方面的重要系統投入在線運行,越來越多的重要數據和機密信息都通過企業的內部廣域網來傳輸。同時電力公司和外部的政府,研究院所,以及國外有關公司都有著許多的工作聯系,日常許多信息,數據都需要通過互聯網來傳輸。
網絡中傳輸的這些信息面臨著各種安全風險,例如被非法用戶截取從而泄露企業機密;被非法篡改,造成數據混亂,信息錯誤從而造成工作失誤。非法用戶還有可能假冒合法身份,發送虛假信息,給正常的生產經營秩序帶來混亂,造成破壞和損失。因此,信息傳遞的安全性日益成為企業信息安全中重要的一環。
(4)用戶身份認證和信息系統的訪問控制急需加強:企業中的信息系統一般為特定范圍的用戶使用,信息系統中包含的信息和數據,也只對一定范圍的用戶開放,沒有得到授權的用戶不能訪問。為此各個信息系統中都設計了用戶管理功能,在系統中建立用戶,設置權限,管理和控制用戶對信息系統的訪問。這些措施在一定能夠程度上加強系統的安全性。但在實際應用中仍然存在一些問題。
一是部分應用系統的用戶權限管理功能過于簡單,不能靈活實現更細的權限控制,甚至簡單到要么都能看,要么都不能看。二是各應用系統沒有一個統一的用戶管理,企業的一個員工要使用到好幾個系統時,在每個應用系統中都要建立用戶賬號,口令和設置權限,用戶自己都記不住眾多的賬號和口令,使用起來非常不方便,更不用說賬號的有效管理和安全了。
如何為各應用系統提供統一的用戶管理和身份認證服務,是我們開發建設應用系統時必須考慮的一個共性的安全問題。
(5)實時控制系統和數據網絡的安全至關重要:電網的調度指揮,自動控制,微機保護等領域的計算機應用在電力企業中起步早,應用水平高,不但實現了對電網運行狀況的實時監視,還實現了對電網一次設備的遙控,遙調以及保護設備的遠方管理。隨著數據網的建設和應用,這些電網監視和控制方面的系統逐步從采用專線通道傳輸數據轉移到通過數據網絡來傳送數據和下發控制指控令。由于這些計算機系統可以直接管理和操作控制電網一次設備,系統的安全可靠,數據網的安全可靠,信息指令傳輸的實時性等直接關系著電網的安全,其安全等級要求高于一般的廣域網系統。
同時,這些電網控制和監視系統中的許多信息又是生產指揮,管理決策必不可少的,需要通過和生產管理局域網互聯,將數據傳送生產管理信息系統中,供各級領導和各專業管理人員察看,使用。數據網和生產管理局域網的互聯帶來了不同安全等級的網絡互連的安全問題。
(6)電子商務的安全逐步提上議事日程:隨著計算機信息系統在電力市場,用電營銷,財務管理等業務中的深入應用,電子商務在電力企業的應用開始起步。例如:電力市場系統中發電廠和電網公司之間的報價,電力交易,電費結算等都將通過計算機信息系統來實現和完成,這可以視為電子商務中常提到的B2B模式。用電營銷系統中的電費計費結算,用戶買電交費,銀電聯網代收電費等,是典型的電力公司和用戶之間的電子交易,可以視為電子商務中的B2C模式;以后還有物資采購等方面的電子商務系統。
隨著電子商務在電力企業中的應用逐步推廣和深入,如何保障電子交易的安全,可靠,即電子商務安全問題也會越來越突出。
二、解決信息安全問題的基本原則
統籌規劃,分步實施。要建立完整的信息安全防護體系,絕不能一哄而上,必須分清需求的輕重緩急,根據信息化建設的發展,結合信息系統建設和應用的步伐,統一規劃,分步建設,逐步投資。
轉貼于 1、做好安全風險的評估。進行安全系統的建設,首先必須做好安全狀況評估分析,評估應聘請專業信息安全咨詢公司,并組織企業內部信息人員和專業人員深度參與,全面進行信息安全風險評估,找出問題,確定需求,制定策略,再來實施,實施完成后還要定期評估和改進。
信息安全系統建設著重點在安全和穩定,應盡量采用成熟的技術和產品,不能過分求全求新。
培養信息安全專門人才和加強信息安全管理工作必須與信息安全防護系統建設同步進行,才能真正發揮信息安全防護系統和設備的作用。
2、采用信息安全新技術,建立信息安全防護體系
企業信息安全面臨的問題很多,我們可以根據安全需求的輕重緩急,解決相關安全問題的信息安全技術的成熟度綜合考慮,分步實施。技術成熟的,能快速見效的安全系統先實施
3、計算機防病毒系統
計算機防病毒系統是發展時間最長的信息安全技術,從硬件防病毒卡,單機版防病毒軟件到網絡版防病毒軟件,到企業版防病毒軟件,技術成熟且應用效果非常明顯。防病毒軟件系統的應用基本上可以防治絕大多數計算機病毒,保障信息系統的安全。
在目前的網絡環境下,能夠提供集中管理,服務器自動升級,客戶端病毒定義碼自動更新,支持多種操作系統平臺,多種應用平臺殺毒的企業版殺毒軟件,是電網公司這樣的大型企業的首選。個人版本的殺毒軟件適合家庭,小規模用戶。
4、網絡安全防護系統
信息資源訪問的安全是信息安全的一個重要內容,在信息系統建設的設計階段,就必須仔細分析,設計出合理的,靈活的用戶管理和權限控制機制,明確信息資源的訪問范圍,制定信息資源訪問策略。
對于已經投入使用的信息系統,可以通過采用增加安全訪問網關的方法,來增強原有系統的用戶管理和對信息資源訪問的控制,以及實現單點登陸訪問任意系統等功能。這種方式基本上不需要改動原來的系統,實施的技術難度相對小一些。對于新建系統,則最好采用統一身份認證平臺技術,來實現不同系統通過同一個用戶管理平臺實現用戶管理和訪問控制。
5、開展信息安全專題研究,為將來的應用做好準備
電網實時監視與控制系統的安全問題要求更高,技術難度更大,應開展專題研究。
國家有關部門和電力企業對電網實時監視與控制系統的安全問題高度重視,專門發文要求確保電網二次系統的計算機和網絡系統的安全,要實現調度控制系統,數據網與其他生產管理系統和網絡的有效隔離,甚至是物理隔離。
6、電子商務安全需要深入研究和逐步應用
電子商務的安全牽涉很多方面,包括嚴格,安全的身份的認證技術,對涉及商業機密的信息實現加密傳輸,采取數字簽名技術保證合同和交易的完整性及不可否認性等。這些方面又與信息安全基礎技術平臺密切相關,因此安全基礎平臺的建設對于電子商務的安全應用是至關重要的。目前已經有電子商務的應用系統投入在線使用,我們必須加快對電子商務的安全的研究和應用,否則將來會出現因電子在線交易不安全,不可靠的而導致電子商務系統無人敢用的局面。
7、依據法規,遵循標準,提高安全管理水平
信息安全的管理包括了法律法規的規定,責任的分化,策略的規劃,政策的制訂,流程的制作,操作的審議等等。雖然信息安全"七分管理,三分技術"的說法不是很精確,但管理的作用可見一斑。
三、解決信息安全問題的思路與對策
電力企業的信息安全管理相對來說還是一個較新的話題,國內其他電力企業也在積極研究和探討,以下是一些粗淺的看法。
1、依據國家法律,法規,建立企業信息安全管理制度
國家在信息安全方面了一系列的法律法規和技術標準,對信息網絡安全進行了明確的規定,并有專門的部門負責信息安全的管理和執法。企業首先必須遵守國家的這些法律法規和技術標準,企業也必須依據這些法律法規,來建立自己的管理標準,技術體系,指導信息安全工作。學習信息安全管理國際標準,提升企業信息安全管理水平
國際上的信息技術發展和應用比我們先進,在信息安全領域的研究起步比我們更早,取得了很多的成果和經驗,我們可以充分利用國際標準來指導我們的工作,提高水平,少走彎路。
信息安全是企業信息化工作中一項重要而且長期的工作,為此必須各單位建立一個信息安全工作的組織體系和常設機構,明確領導,設立專責人長期負責信息安全的管理工作和技術工作,長能保證信息安全工作長期的,有效的開展,才能取得好的成績。
2、開展全員信息安全教育和培訓活動
安全意識和相關技能的教育是企業安全管理中重要的內容,信息安全不僅僅是信息部門的事,它牽涉到企業所有的員工,為了保證安全的成功和有效,應當對企業各級管理人員,用戶,技術人員進行安全培訓,減少人為差錯,失誤造成的安全風險。
開展安全教育和培訓還應該注意安全知識的層次性,主管信息安全工作的負責人或各級管理人員,重點是了解,掌握企業信息安全的整體策略及目標,信息安全體系的構成,安全管理部門的建立和管理制度的制定等;負責信息安全運行管理及維護的技術人員,重點是充分理解信息安全管理策略,掌握安全評估的基本方法,對安全操作和維護技術的合理運用等;用戶,重點是學習各種安全操作流程,了解和掌握與其相關的安全策略,包括自身應該承擔的安全職責等。
3、充分利用企業網絡條件,提供全面,及時和快捷的信息安全服務
山東省電力公司廣域網聯通了系統內的各個二級單位,各單位的局域網全部建成,在這種良好的網絡條件下,作為省公司一級的信息安全技術管理部門應建立計算機網絡應急處理的信息與技術支持平臺,安全公告,安全法規和技術標準,提供安全軟件下載,搜集安全問題,解答用戶疑問,提供在線的信息安全教育培訓,并為用戶提供一個相互交流經驗的場所。網絡方式的信息服務突破了時間,空間和地域的限制,是信息安全管理和服務的重要方式。
4、在發展中求安全
沒有百分之百安全的技術和防護系統黑客技術,計算機病毒等信息安全攻擊技術在不斷發展的,人們對它們的認識,掌握也不是完全的,安全防護軟件系統由于技術復雜,在研制開發過程中不可避免的會出現這樣或者那樣的問題,這勢必決定了安全防護系統和設備不可能百分百的防御各種已知的,未知的信息安全威脅。
不是所有的信息安全問題可以一次解決
人們對信息安全問題的認識是隨著技術和應用的發展而逐步提高的,不可能一次就發現所有的安全問題。信息安全生產廠家所生產的系統和設備,也僅僅是滿足某一些方面的安全需求,不是企業有某一方面的信息安全需求,市場上就有對應的成熟產品,因此不是所有的安全問題都可以找到有效的解決方案。
關鍵詞:信息安全;等級保護;漏洞掃描
中圖分類號:TP315 文獻標識碼:A 文章編號:1007-9599 (2011) 23-0000-02
Use Vulnerability Scanning System to Improve the Level of Power Supply Enterprise Information Security Management
Chen Wan
(Guangdong Power Grid Corporation,Shantou Power Supply Bureau,Shantou 515041,China)
Abstract:The building vulnerability scanning system,and regulate their use of processes,thereby enhancing the power supply enterprise level and effectiveness of information security management.Shantou Power Supply Bureau introduced the use of the IDC deployment vulnerability scanning system,set up the server was added to the process specifications,thereby enhancing the information security management.
Keywords:Information security;Protection Level;Vulnerability scanning
引言:伴隨著信息化的高速發展,信息安全的形勢日趨復雜和嚴峻。國家政府對信息安全高度關注,信息安全等級保護是我國在新的信息安全形勢下推行的一項國家制度,國家相關部門高度重視等級保護制度的落實與執行。信息系統是業務系統的支持平臺,信息系統的安全是承載業務系統安全的基礎,而在信息系統等級保護中,安全技術測評包括五個部分:分別是物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復。其中所涉及到的主機系統安全控制點包括:身份鑒別、安全標記、訪問控制、可信路徑、安全審計、入侵防范、惡意代碼防范和資源控制等九個控制點。怎么提前做好風險控制,利用現有的信息安全工具,規范信息系統主機上架前的檢測,對信息安全的管理是一種創新的嘗試,也是安全管理中位于未雨綢繆的體現。
一、漏洞掃描系統的構建
(一)漏洞掃描工具的作用
漏洞掃描工具采用高效、智能的漏洞識別技術,第一時間主動對網絡中的資產進行細致深入的漏洞檢測、分析,并提供專業、有效的漏洞防護建議。
我們采用的漏洞掃描工具的管理是基于Web的管理方式,用戶使用瀏覽器通過SSL加密通道和系統Web界面模塊進行交互,采用模塊化設計。具有優化的專用安全系統平臺,具有很高的安全性和穩定性。其專用硬件能夠長期穩定地運行,很好地保證了任務的周期性自動處理。能夠自動處理的任務包括:評估任務下發、掃描結果自動分析、處理和發送、系統檢測插件的自動升級等。同時支持多用戶管理模式,能夠對用戶的權限做出嚴格的限制,通過權限的劃分可以實現一臺設備多人的虛擬多機管理,并且提供了登錄、操作和異常等日志審計功能,方便用戶對系統的審計和控制。
在每次安全評估之前,用戶需要根據自己的業務系統確定需要進行評估的資產,并且劃分資產的重要性。漏洞掃描系統根據用戶的資產及其重要性會自動在其內部對目標評估系統建立基于時間和基于風險等多種安全評估模型。在對目標完成評估之后,模型輸出的結果數據不但有定性的趨勢分析,而且有定量的風險分析,用戶能夠清楚地看到單個資產、整個網絡的資產存在的風險,還能夠看到網絡中漏洞的分布情況、風險級別排名較高的資產、不同操作系統和不同應用漏洞分布等詳細統計信息,用戶能夠很直觀地了解自己網絡安全狀況。
(二)漏洞掃描工具的部署
針對汕頭供電局的網絡情況,使用獨立式部署方式。獨立式部署就是在網絡中部署一臺漏洞掃描設備。在共享式工作模式下,只要將設備接入網絡并進行正確的配置即可正常使用,其工作范圍通常包含汕頭供電局的整個網絡地址,用戶登錄系統并下達掃描任務。下圖是漏洞掃描系統獨立式部署模式圖。從圖中可以看出,無論在汕頭供電局何處接入設備,網絡都能正常工作,完成對網絡的安全評估。
圖1:漏洞掃描系統獨立式部署模式圖
(三)漏洞掃描工具的定位
1.利用漏洞掃描工具定期對網絡信息系統進行掃描,以便主動發現存在的安全隱患和防護漏洞。
2.巡檢服務中對操作系統修補、加固和優化,根據提供出來的評估報告對相關系統進行打補丁、升級、修補、加固和優化,提供詳細操作報告。
3.巡檢服務過程中針對網絡設備安全加固和優化;進行修補和加固,按照安全策略進行安全配置和優化,提供詳細操作報告。包括:網絡設備的安全配置,網絡設備的安全加固,網絡設備的優化配置等。
4.檢服務過程中對網絡安全設備,對所有網絡邊界進行梳理,對邊界安全防護系統的策略進行優化。通過綜合應用防火墻、IPS、防病毒網關等網絡安全系統,在區域邊界實施嚴密的控制措施,盡量在邊界阻斷來自區域外的安全威脅,從而最大化地提高電力信息數據的安全性和電力信息系統的可用性。
5.巡檢服務過程中在安全評估的基礎上,對桌面終端和服務器系統中存在的安全漏洞進行修復。對于無法修復的漏洞,評價其可能帶來的安全風險,并采用周邊網絡防護系統(如防火墻、IPS等)阻斷可能的攻擊,或通過監控等手段對該風險進行控制管理。
二、服務器上架漏洞掃描規范編寫
按照信息安全工作實際需要,以“制度化管理、規范化操作”為原則,完善信息安全管理策略規范,理順信息工作內部安全控制流程規范,不斷增強網絡與信息安全整體管控效能。為更好的保障汕頭供電局信息網絡的安全、穩定運行,使得漏洞掃描工具能真正的用到實處,特制訂漏洞系統管理流程。如下圖:
圖2:每季度漏洞掃描流程圖
圖3:新服務器上架前漏洞掃描流程圖
(一)漏洞掃描管理員的職責
負責漏洞掃描軟件(包括漏洞庫)的管理、更新和公布;
負責查找修補漏洞的補丁程序,及時提出漏洞修復方案;
密切注意最新漏洞的發生、發展情況,關注和追蹤業界公布的漏洞疫情;
每季度第一個月1-4日期間(節假日順推)進行上季度安全掃描復查;
每季度第一個月5號(節假日順推)生成上季度匯總報告;
新系統上線前,負責對系統管理員提出的申請的主機進行漏洞掃描檢查,并提交漏洞掃描報告給系統管理員,并檢查主機漏洞修補情況。
(二)系統管理員的職責
負責對漏洞掃描系統發現的漏洞進行修補工作;
遵守漏洞掃描設備各項管理規范。
新系統上線前,提交掃描申請,并負責對漏洞掃描系統發現的漏洞進行修補工作。
三、結束語
(一)管理使用的系統
ERP、加油站賬冊、二次物流管理、加油卡、辦公自動化以及企業門戶網站等系統是石化銷售企業首要的應用系統。應用系統有以下特征:一是系統應用范圍廣,全程參與企業的經營、管理、對外服務等;二是系統用戶眾多,涵蓋企業各階層員工;三是系統對持續運轉要求高,因此對應用系統的安全運轉要求較高。對公司的經營管理而言,系統的安全穩定運行具有重大意義,系統數據是否安全、保密性和供應商、企業利益有密切關系。
(二)安全管理
隨著我國經濟水平不斷提高,石化銷售企業越來越離不開信息化管理,世界各地的公司對內部成立一個信息化團隊,根據內部的需要制定出具有整體性的管理體系,并根據相關的信息安全規定對系統內部的安全等級做好評估保護工作。各企業制定了詳細有效的“信息系統應急預案”以應付各類突發事件。近幾年,中國石化內控體系在建設過程中不斷加強、完善自身管理體系,也在IT控制方面占有一定的優勢。當前,石化銷售企業已基本形成一套完整的信息安全防御和管理體系,從而確保了網絡信息系統的安全性。
二、信息安全風險的評估
衡量安全管理體系的風險主要方法是進行信息安全風險的評估,以此保障信息資產清單和風險級別,進而確定相應的防控措施。在石化銷售企業進行信息安全風險的評估過程中,主要通過資金、威脅、安全性等識別美容對風險進行安全檢測,同時結合企業自身的實際情況,擬定風險控制相應的對策,把企業內的信息安全風險竟可能下降到最低水平。
(一)物理存在的風險
機房環境和硬件設備是主要的的物理風險。當前,部分企業存在的風險有:1)企業機房使用年限過長,如早期的配電、布線等設計標準陳舊,無法滿足現在的需求;2)機房使用的裝備年限太長、例如中央空調老化,制冷效果不佳導致溫度不達標,UPS電源續航能力下降嚴重,門禁系統損壞等,存在風險;3)機房安全防護設施不齊全,存在風險。
(二)網絡和系統安全存在的風險
石化訪問系統的使用和操作大量存在安全風險,其中主要風險包括病毒入侵、黑客襲擊、防火墻無效、端口受阻以及操作系統安全隱患等。即使大部分企業已安裝統一的網絡防病毒體系、硬件防火墻、按期更新網絡系統軟件、安裝上網行為監控等,但因為系統漏洞數目不斷增多網絡結構和襲擊逐漸減弱或者因為信息系統使用人員操作系統本身的安全機制不完善、也會產生安全隱患。
(三)系統安全風險
沒有經過許可進行訪問、數據泄密和被刪改等威脅著系統的安全性。提供各類應用服務是企業信息系統的首要任務,而數據正是應用信息系統的核心,因此,實際應用與系統安全風險密切聯系。當前,信息應用系統存儲了大量的客戶、交易等重要信息,一旦泄露,造成客戶對企業信任度影響的同時也會影響企業的市場競爭力。
(四)安全管理存在的風險
安全管理存在的主要指沒有同體的風險安全管理手段,管理制度不完善、管理標準沒有統一,人員安全意識薄弱等等都存在管理風險,因此,需要設立完善的信息系統安全管理體系,從嚴管理,促使信息安全系統正常運作。一方面要規范健全信息安全管理手段,有效較強內控IT管理流程控制力度,狠抓落實管理體系的力度,杜絕局部管理不足點;另一方面,由于信息安全管理主要以動態發展的形式存在,要不斷調整、完善制度,以符合信息安全的新環境需求。
三、信息安全管理體系框架的主要構思
信息安全管理體系的框架主要由監管體系、組織體系和技術體系形成,特點是系統化、程序化和文件化,而主要思想以預防控制為主,以過程和動態控制為條件。完善安全管理體系,使石化銷售企業信息系統和信息網絡能夠安全可靠的運作,從機密性、完整性、不可否認性和可用性等方面確保數據安全,提升系統的持續性,加強企業的競爭力。
(一)組織體系
企業在完善管理體系過程中應設立信息安全委員會和相關管理部門,設置相應的信息安全崗位,明確各級負責的信息安全和人員配置等內容。在全面提升企業人員對信息安全了解的過程中必須進行信息安全知識的相關培訓,使工作人員提高信息安全管理意識,實現信息安全管理工作人人有責。
(二)制度體系
操作規范、安全策略、應急預案等各項管理制度經過計劃和下發,讓信息安全管理有據可依。企業參照合理完善的各項制度進一步優化業務流程,規范操作行為,降低事故風險,提升應急能力,以此加強信息安全的管理體系。
(三)技術體系
管理技術、防護技術、控制技術是信息安全管理體系的主要技術基礎。安全技術包括物理安全技術、網絡安全技術、主機安全技術、終端安全技術、數據安全、應用安全技術等。一旦出現信息安全事件,技術體系會在最短的時間內降低事件的不良影響,依靠相關的信息安全管理技術平臺,以實現信息安全技術的有效控制。管理體系的核心是技術手段,先進的加密算法和強化密鑰管理構成的數據加密方式全程控制數據傳輸和數據存儲,可以保證數據的安全性。采用堡壘機、防火墻等安全系統可以過濾掉不安全的服務和非法用戶,防止入侵者接近防御設備。IDS作為防火墻的重要功能之一,能夠幫助網絡系統快速檢測出攻擊的對象,加強了管理員的安全管理技術(包括審計工作、監視、進攻識別等技術),提高了信息安全體系的防范性。企業數據備份這一塊可以采用雙機熱本地集群網、異地集群網等各種形式進行網絡備份,利用體統的可用性和容災性加強安全管理能力。
近年來各個企業的惡意軟件、攻擊行為手法變化多端很難防御,在各種壓力下,傳統的的安全防預技術受到了嚴峻的考驗,這時“云安全”技術當之無愧成為當今最熱的安全技術。“云安全”技術主要使用分部式運算功能進行防御,而“云安全”技術對于企業用戶而言確實明顯的保障了信息的安全性以及降低客戶端維護量。“云安全”技術是未來安全防護技術發展的必由之路,且今后“云安全”作為企業安全管理的核心內容為企業的數據、服務器群組以及端點提供強制的安全防御能力。”
四、信息安全管理體系相關步驟
由于管理體系具有靈活性,企業可依據自身的特點和實際情況,使用最優方案,結合石化銷售的特征,提出以下步驟:1)管理體系的重要目標;2)管理體系的主要范疇;3)管理體系現狀考察與風險估量;4)完善管理體系的制度;5)整理管理體系的文檔;6)管理體系的運行方式;7)信息安全管理體系考核。
五、結論
【關鍵詞】信息系統 身份鑒別 漏洞掃描 信息安全管理體系(ISMS)
近年來,“Locky勒索軟件變種”、““水牢漏洞””、“支付寶實名認證信息漏洞”、“京東12G用戶數據泄露”、“700元買他人隱私信息”等信息安全事件層出不窮,引起各國領導的重視和社會關注。為提高網絡安全和互聯網治理,2014年,我國成立了以主席為最高領導的信息安全管理機構-中央網信辦;2016年11月,在中國烏鎮舉行了《第三屆世界互聯網大會》。通過一系列的行為,為求現有的網絡系統能夠提高安全能力,為廣大社會群眾提供服務的同時,能夠保證人民的利益。
信息系統是由硬件、軟件、信息、規章制度等組成,主要以處理信息流為主,信息系統的網絡安全備受關注。企業在應對外部攻擊,安全風險的同時,當務之急是建立一套完整的信息安全管理體系。在統一的體系管控下,分布實施,開展各項安全工作。
目前,大多數企業的信息安全工作比較單一,主要是部署安全防護設備,進行簡單的配置。信息安全工作不全面,安全管理相對薄弱,不足以抵抗來自外部的威脅。
1 信息安全問題
1.1 身份鑒別不嚴格
考慮到方便記憶和頻繁的登錄操作,企業普遍存在管理員賬號簡單或者直接采用系統的默認賬號現象,并且基本不設定管理員的權限,默認使用最大權限。一旦攻擊者通過猜測或其他手段獲得管理員賬號,攻擊者如入無人之境,可以任意妄為。最終可造成數據泄露,系統癱瘓等不可估量的嚴重后果。注重信息安全的企業會修改默認管理員賬號,設定較為復雜的口令,并定期進行口令更換。但是也僅僅使用一種身份鑒別技術,不足以抵抗外部攻擊。
1.2 外部攻擊,層出不窮
隨著計算機技術的發展,信息系統的外部攻簦層出不窮。攻擊者利用網絡系統的漏洞和缺陷,攻擊系統軟件、硬件和數據,進行非法操作,造成系統癱瘓或者數據丟失。 目前主要存在的攻擊手段包括掃描技術、郵件
攻擊、拒絕服務攻擊、口令攻擊、惡意程序等等;入侵常用的步驟包括采用漏洞掃描工具進行掃描、選擇合適的方式入侵、獲取系統的一定權限、提升為系統最高權限、安裝系統后門、獲取敏感信息或者其他攻擊目的。攻擊者會根據系統特性和網絡結構采取不同的手段對網絡進行攻擊,如果不采取相應的防御手段,很容易被黑客攻擊,造成損失。
1.3 員工安全意識薄弱
很多互聯網企業的員工缺乏信息安全意識,存在離開辦公電腦時不鎖屏現象;將重要客戶信息、合同等敏感材料放在辦公桌上或者不及時取走打印機房內的材料;優盤未經殺毒直接連接公司電腦;隨意點擊不明郵件的鏈接;更有員工將系統賬號、密碼粘貼在辦公桌上;在系統建設階段,大到管理者,小到開發人員、測試人員,均注重技術實現和業務要求,而忽略了系統的安全和管理。由于員工的信息安全意識較為薄弱,很容易造成公司信息泄露,進而導致公司的損失。
1.4 內部管理制度不完善
俗話說,“不以規矩,不能成方圓”。未形成全面的信息安全管理制度體系,缺失部分安全策略、管理制度、操作規程,可能導致信息安全管理制度體系存在疏漏,部分管理內容無法有效實施。使相關工作過程缺乏規范依據和質量保障,進而影響到信息系統的安全建設和安全運維。比如在軟件開發過程中,開發人員會因為各種原因而忽略安全開發(存在開發人員沒有意識到代碼安全開發的問題;有些開發人員不愿意使用邊界檢查,怕影響系統的效率和性能;當然也存在許多遺留代碼存在問題的現象,從而導致二次開發同樣產生問題),可能導致系統存在后門,被黑客攻擊。
2 防范措施
企業需依據《信息安全等級保護管理辦法(公通字[2007]43號)》、《中華人民共和國網絡安全法》》、《ISO/IEC 27001》等標準和法律法規進行信息系統安全建設工作。測評機構在網安的要求下,對企業信息系統的安全進行測評,并出具相應測評結果。根據測評結果和整改建議,采用相應的技術手段(安全認證、入侵檢測、漏洞掃描、監控管理、數據備份與加密等)和管理措施(安全團隊、教育與培訓、管理體系等)對信息系統進行整改。如圖1所示。
2.1 技術手段
2.1.1 安全認證
身份鑒別是指在計算機系統中確認執行者身份的過程,以確定該用戶是否具有訪問某種資源的權限,防止非法用戶訪問系統資源,保障合法用戶訪問授權的信息系統。凡登錄系統的用戶,均需進行身份鑒別和標識,且標識需具有唯一性。用戶身份鑒別機制一般分為用戶知道的信息、用戶持有的信息、用戶生物特征信息三種。針對不同鑒別機制,常用的鑒別技術(認證技術)如表1所示。
不同的認證技術,在安全性、便捷性方面存在不同的特性。比如USB-Key的安全等級較高,但會遇到各種問題,導致便捷性較差(比如存在軟硬件適配性問題,移動終端無USB口等)。一般認為在相同的便捷性前提下,選擇安全等級較高的認證技術。針對重要系統應采用雙因子認證技術。
2.1.2 入侵檢測
入侵檢測能夠依據安全策略,對網絡和系統進行監視,發現各種攻擊行為,能夠實時保護內部攻擊、外部攻擊和誤操作的情況,保證信息系統網絡資源的安全。入侵檢測系統(IDS)是一個旁路監聽設備,需要部署在網絡內部。如果信息系統中包含了多個邏輯隔離的子網,則需要在整個信息系統中實施分布部署,從而掌控整個信息系統安全狀況。
2.1.3 漏洞掃描
漏洞掃描是指基于漏洞數據庫,通過掃描等手段對目標系統的安全脆弱性進行檢測,發現可利用的漏洞的一種安全檢測行為。常見的漏洞掃描類型主要包括系統安全隱患掃描、應用安全隱患掃描、數據庫安全配置隱患掃描等。系統安全隱患掃描根據掃描方式的不同,分為基于網絡的和基于主機的系統安全掃描,可以發現系統存在的安全漏洞、安全配置隱患、弱口令、服務和端口等。應用安全隱患掃描可以掃描出Web應用中的SQL注入、Cookie注入、XPath注入、LDAP注入、跨站腳本、第三方軟件等大部分漏洞。數據庫安全配置隱患掃描可以檢測出數據庫的DBMS漏洞、缺省配置、權限提升漏洞、緩沖區溢出、補丁未升級等自身漏洞。
漏洞掃描主要用于評估主機操作系統、網絡和安全設備操作系統、數據庫以及應用平臺軟件的安全情況,它能有效避免黑客攻擊行為,做到防患于未然。
2.1.4 監控管理
網絡監控主要包括上網監控和內網監控兩部分。目前市場上已做的完整監控軟件已包含上述功能。網絡監控需結合網絡拓撲,在網絡關鍵點接入監控工具監測當前網絡數據流量,分析可疑信息流,通過截包解碼分析的方式驗證系統數據傳輸的安全。例如Solarwinds網絡監控平臺,它包括Network Performance Monitoring、Network Traffic Analysis、WAN Performance (IP SLA) 、IP Address Management、Network Configuration Management、Application Performance Monitoring等。可以執行全面的帶寬性能監控和故障管理;可以分析網絡流量;可以對服務器上運行的服務和進程進行自動監控,并在故障發生時及時告警;可對VOIP的相關參數進行監控;可以通過直觀的網絡控制臺管理整個IP架構;可快速檢測、診斷及解決虛擬化環境的網絡性能;強大的應用程序監視、告警、報告功能等。
2.1.5 數據備份與加密
企業高度重視業務信息、系統數據和軟件系統。數據在存儲時應加密存儲,防止黑客攻擊系統,輕易獲得敏感數據,造成公司的重大經濟損失。常用的加密算法包括對稱加密(DES、AES)和不對稱加密算法(RSA)。密碼技術不僅可以防止信息泄露,同時可以保證信息的完整性和不可抵賴性。例如現在比較成熟的哈希算法、數字簽名、數字證書等。
除了對數據進行加密存儲外,由于存在數據丟失、系統斷電、機房著火等意外,需對系統數據進行備份。按照備份環境,備份分為本地備份和異地備份;按照備份數據量的多少,備份分為全備、增備、差分備份和按需備份。各企業需根據自己的業務要求和實際情況,選取合適的備份方式進行備份。理想的備份是綜合了軟件數據備份和硬件冗余設計。
2.2 管理措施
2.2.1 安全團隊
企業應設立能夠統一指揮、協調有序、組織有力的專業的安全管理團隊負責信息安全工作,該團隊包括信息安全委員會,信息安全部門及其成員。安全部門負責人除了具備極強的業務處理能力,還需要有管理能力、溝通能力、應變能力。目前安全團隊的從業人員數量在逐漸增加,話語權在增多,肩上的擔子也越來越大。安全團隊需要定好自己的位,多檢查少運維,多幫企業解決問題。即安全團隊修路,各部門在上面跑自己的需求。
2.2.2 教育c培訓
保護企業信息安全,未雨綢繆比亡羊補牢要強。培養企業信息安全意識文化,樹立員工信息安全責任心,是解決企業信息安全的關鍵手段之一。企業的競爭實際上是人才的競爭,除了定期進行技能培訓外,還需對員工的安全意識進行教育和培訓。信息安全團隊應制定信息安全意識教育和培訓計劃,包括但不限于在線、郵件、海報(標語)、視頻、專場、外培等形式。通過對員工的安全意識教育,能從內部預防企業安全事件的發生,提高企業的安全保障能力。
2.2.3 管理體系
隨著計算機攻擊技術的不斷提高,攻擊事件越來越多,且存在部分攻擊來自公司組織內部。單靠個人的力量已無法保障信息系統的安全。因此,企業需建立自上而下的信息安全管理體系(ISMS, Information Security Management System),以達到分工明確,職責清晰,安全開發,可靠運維。安全管理制度作為安全管理體系的綱領性文件,在信息系統的整個生命周期中起著至關重要的作用。不同機構在建立與完善信息安全管理體系時,可根據自身情況,采取不同的方法,一般經過PDCA四個基本階段(Plan:策劃與準備;Do文件的編制;Check運行;Action審核、評審和持續改進)。可依據ISO27000,信息安全等級保護等,從制度、安全機構、人員、系統建設和系統運維5個方面去制定信息安全管理體系。通常,信息安全管理體系主要由總體方針和政策、安全管理制度、日常操作規程和記錄文檔組成,如圖2所示。
3 結語
國家不斷加強對各個互聯網企業、金融、銀行等的信息安全工作監督,通過ISO27000、信息安全等級保護測評、電子銀行評估、互聯網網站專項安全測評等方式,規范企業的信息安全建設工作。同樣,信息安全工作長期面臨挑戰,不能一蹴而就,需要相關安全工作人員戮力同心、同舟共濟、相互扶持、攜手共建信息安全的共同體。
參考文獻
[1]沈昌祥,張煥國,馮登國等.信息安全綜述[J].中國科學雜志社,2007(37):129-150.
[2]李嘉,蔡立志,張春柳等.信息系統安全等級保護測評實踐[M].哈爾濱工程大學出版社,2016(01).
[3]蔣欣.計算機網絡戰防御技術分析[J].指揮控制與仿真,2006(08),28-4.
作者簡介
康玉婷(1988-),女,上海市人。碩士學位。現為信息安全等級測評師、初級工程師。主要研究方向為信息安全。
作者單位
【關鍵詞】 傳統行業 信息安全建設 問題 策略
【作者簡介】 胡鵬,中石化湖北石油分公司工程師,研究方向:網絡安全。
【中圖分類號】 X913.2 【文獻標識碼】 A 【文章編號】 2095-5103(2015)04-0051-02
信息安全建設包括三大部分,即人員、管理和技術,尤其是信息安全管理,已經越發受到各界的廣泛關注,并以此為核心來打造信息安全保障體系。信息安全對于各行各業來說,均具有極其重要的地位,其不僅關乎企業自身信息安全,也關乎普通消費者信息安全。因此構建信息安全體系,是企業未來發展的重點工作。
一、傳統行業信息安全建設現狀分析
(一)對信息安全建設缺乏足夠認識。就目前國內實際情況來說,傳統行業對于信息安全建設尚沒有足夠的認識,導致信息安全建設難以切實施行。具體來說,這主要表現在三個方面。一是傳統行業的領導者對信息安全建設缺少必要的認識,在面對信息化浪潮的沖擊時,其最先想到的是提升行業品質來面對新挑戰,卻忽視了通過信息安全建設保護行業核心信息資源,導致行業信息被逐漸泄露,無法與新行業相抗衡,以致逐漸失去競爭力。最典型的就是傳統出版行業,在數字化刊物逐漸普及的情況下,傳統出版行業已經顯得捉襟見肘,出版物印刷量與銷售量逐年下降。二是行業內部員工缺少對信息安全的認識,在日常工作中,會在不經意間泄露行業信息。更有甚者為了一己私利出賣行業信息。這些舉動都對傳統行業造成了極其惡劣的影響。三是普通消費者缺少對信息安全的認識,在某些需要消費者個人信息資料的行業中,消費者往往沒有考慮個人信息資料是否安全,是否存在泄露的風險以及相應的后果。忽視這些的結果就是消費者缺少對相關企業信息安全的要求,在發生意外情況后無法挽回。
(二)信息安全建設技術水平較低。傳統行業雖然缺乏對信息安全建設的認識,但也并非沒有進行信息安全建設,只是其信息安全建設技術水平較低,無法切實滿足對企業信息安全的保護。信息安全建設技術水平低主要表現在兩個方面。一是信息安全管理體系架構技術層次低,一個體系架構的技術高低,決定了該體系所能發揮的功能高低。越先進越高端的技術,其對信息安全的保護也就越安全,反之亦然。傳統行業信息安全管理體系的基礎架構以及權限設置等信息保障措施,其技術相對一些新行業而言較為落后,無法符合不斷更新的計算機技術,更無法有效彌補信息安全漏洞,只能說是徒有其表。二是人員管理技術水平較低,人員管理也是信息安全建設的重要環節。每一個員工都攜帶著一定程度的行業信息,只有加強對員工的管理,建立科學人性的管理體系,才能確保企業人員不會因為失誤或利益泄露行業信息。
(三)信息安全建設覆蓋范圍較窄。信息安全建設覆蓋范圍較窄主要可以分為兩個方面,一是進行信息安全建設的傳統行業范圍較窄;二是行業內部信息安全建設的范圍較窄。對于所有傳統行業而言,已經完成信息安全建設或正在建設的行業并不多。根據相關統計資料,傳統行業中完成或進行中的信息安全建設的企業,尚不到20%。這一數據說明信息安全建設率在傳統行業中來講還很低,還需要加強相關理念的宣傳,引導更多的傳統企業進行信息安全建設。在行業內部,信息安全建設集中在企業核心機密,即企業相關財務數據、產品數據和市場數據等,忽視了員工信息安全及一些外在信息安全的構建。雖然此舉能夠保障企業核心利益,卻無法保證企業正常良性的運轉。
二、傳統行業信息安全建設中的問題及原因
(一)缺少完善的法律法規。在信息安全方面,我國尚缺少有效完善的法律法規來加強信息安全建設,這主要表現在兩個方面。一方面是缺少對傳統行業信息安全建設的強制性法律法規。傳統行業本身對信息安全缺少足夠的認識,再加之缺少必須的法律法規,就致使傳統行業基本忽視了信息安全建設。另一方面是缺少對信息安全犯罪的法律法規,近年來隨著信息技術發展迅猛,各種信息安全犯罪層出不窮,犯罪性質也從經濟犯罪上升到了更加惡劣的性質。各種由于個人信息泄露而出現的綁架、搶劫等案件,急需出臺相應的信息安全法律法規來加以制約。
(二)傳統行業內部信息安全管理不力。信息安全管理主要包括體系建設、制度建設和人員管理。這三個方面的工作在傳統行業中來說都并不到位。體系建設主要是指信息安全管理體系,一套完整的管理體系,應當從上至下,由內而外,將方方面面的信息安全包羅其中,以形成一個上下一體的信息安全管理系統。制度建設主要針對信息安全制定相應的信息安全管理制度,通過確實的規章制度,對企業員工形成約束,避免其出現一些不利企業信息安全的行為。人員管理主要是加強對企業員工的信息安全意識教育,讓其樹立起保護信息安全的基本意識。
(三)基礎信息安全建設設施缺乏。基礎信息安全建設設施缺乏,是擺在傳統行業面前的關鍵問題,這主要包括兩個方面的問題。一是技術基礎缺乏,目前我國信息安全建設的技術基礎基本源自國外,這從信息安全的角度來說本身就是一種不安全的行為。只有創建完全自主的信息安全技術,才能杜絕國外技術可能存在的技術后門。二是硬件基礎缺乏,這與技術基礎缺乏對信息安全的不利影響是一致的。總的來說,硬軟件的缺乏,是傳統行業信息安全建設的最大問題。
三、傳統行業信息安全建設策略分析
(一)完善信息安全法律法規。要做好傳統行業信息安全建設,最首要的就是完善相應的信息安全法律法規,從法律層面對信息安全建設進行定性。首先是明確傳統行業信息安全建設的義務,通過法律規定強制傳統行業進行信息安全建設,迫使其領導層重視信息安全建設,進而在行業全局決策中增加對信息安全建設的思考與傾斜。其次是對信息安全犯罪作出全面的定性與量刑,加強對信息安全犯罪的打擊力度,通過法律手段減少信息安全威脅。
(二)加強行業內部信息安全管理。加強行業內部信息安全管理,是信息安全建設的重要環節,其可以從三個方面來進行。第一是構建企業員工信息梯度,針對企業不同部門以及不同職位,制定不同的信息等級制度,以此改善員工功能與信息的不對等關系。第二是構建信息管理制度,針對企業類型、企業所包含信息的類型以及其機密程度,制定合理的信息管理制度,加強對內部員工的約束。第三是加強對企業員工的信息安全建設培訓,使企業員工具有一定的信息安全建設意識,能夠從一些小事上進行信息安全建設。
(三)自主化信息安全建設基礎設施。自主化信息安全建設基礎設施應當從基礎技術與基礎硬件兩個方面進行。就基礎技術而言,傳統行業應該大量參考國外相關技術,博采眾長,創建不依賴于國外技術的信息安全建設技術,真正實現信息安全建設技術國產化,從根源上排除國外技術對傳統行業信息安全可能存在的技術風險。在基礎硬件方面,傳統行業可以加強與國內硬件廠商的合作,共同研發具有行業特點的信息安全建設硬件,減少國外硬件的引入與應用。總的來說,信息安全建設應該在國外硬軟件的基礎上,開發自主的硬軟件設備,使信息安全建設完全實現國產化。
(四)綜合采取多種有效措施構建信息安全大環境。信息安全建設并非企業一己之力就能夠做好,還需要多方協作,構建信息安全大環境,如此才能在整個行業中進行信息安全建設。第一,加強企業之間的信息交流與合作管理。對于同一行業而言,企業的核心信息在一定程度上來說相似甚至相同,即企業的信息安全建設在一定程度上形成了交集。同類型企業可以加強信息交流,合作構建信息安全管理體系,加強信息安全管理。第二,構建企業信息安全評級制度,由國家相關部門牽頭,聯合行業內的優秀企業,組建企業信息安全評級機構,對行業內企業進行信息安全評級,并將評級結果公布于眾,讓消費者能夠清楚認識到企業的信息安全等級以選擇能夠保障自身信息安全的企業。此舉還可以加強企業對信息安全建設的重視程度,促使企業進行信息安全建設。第三,構建信息安全犯罪打擊網絡,由公安部牽頭,聯合國內優秀的信息安全商構建信息安全犯罪打擊平臺,加強對信息安全的監管及信息安全犯罪的打擊。
參考文獻:
隨著企業信息化水平的提升,大多數企業在信息安全建設上逐步添加了上網行為管理、內網安全管理等新的安全設備,但信息安全防護理念還停留在防的階段,信息安全策略都是在安全事件發生后再補救,導致了企業信息防范的主動性和意識不高,信息安全防護水平已經越來越不適應當今企業IT運維環境和企業發展的需求。
2企業信息系統安全防護的構建原則
企業信息化安全建設的目標是在保障企業數字化成果的安全性和可靠性。在構建企業信息安全體系時應該遵循以下幾個原則:
2.1建立企業完善的信息化安全管理體系
企業信息安全管理體系首先要建立完善的組織架構、制定信息安全管理規范,來保障信息安全制度的落實以及企業信息化安全體系的不斷完善。基本企業信息安全管理過程包括:分析企業數字化資產評估和風險分析、規劃信息系統動態安全模型、建立可靠嚴謹的執行策略、選用安全可靠的的防護產品等。
2.2提高企業員工自身的信息安全防范意識
在企業信息化系統安全管理中,防護設備和防護策略只是其中的一部分,企業員工的行為也是維護企業數字化成果不可忽略的組成。所以企業在實施信息化安全管理時,絕對不能忽視對人的行為規范和績效管理。在企業實施企業信息安全前,應制定企業員工信息安全行為規范,有效地實現企業信息系統和數字化成果的安全、可靠、穩定運行,保證企業信息安全。其次階段遞進的培訓信息安全人才也是保障企業數字化成果的重要措施。企業對員工進行逐次的安全培訓,強化企業員工對信息安全的概念,提升員工的安全意識。使員工的行為符合整個企業信息安全的防范要求。
2.3及時優化更新企業信息安全防護技術
當企業對自身信息安全做出了一套整體完善的防護規劃時,就應當考慮采用何種安全防護技術來支撐整個信息安全防護體系。對于安全防護技術來說可以分為身份識別、網絡隔離、網絡安全掃描、實時監控與入侵發現、安全備份恢復等。比如身份識別的目的在于防止非企業人員訪問企業資源,并且可以根據員工級別分配人員訪問權限,達到企業敏感信息的安全保障。
3企業信息安全體系部署的建議
根據企業信息安全建設架構,在滿足終端安全、網絡安全、應用安全、數據安全等安全防護體系時,我們需要重點關注以下幾個方面:
3.1實施終端安全,規范終端用戶行為
在企業信息安全事件中,數字化成果泄漏是屬于危害最為嚴重的一種行為。企業信息安全體系建立前,企業員工對自己的個人行為不規范,造成了員工可以通過很多方式實現信息外漏。比如通過U盤等存儲介質拷貝或者通過聊天軟件傳遞企業的核心數字化成果。對于這類高危的行為,我們在建設安全防護體系時,僅僅靠上網行為管理控制是不能完全杜絕的。應該當用戶接入企業信息化平臺前,就對用戶的終端系統進行安全規范檢查,符合企業制定的終端安全要求后再接入企業內網。同時配合上網行為管理的策略對員工的上網行為進行審計,使得企業員工的操作行為符合企業制定的上網行為規范,從終端用戶提升企業的防護水平。
3.2建設安全完善的VPN接入平臺
企業在信息化建設中,考慮總部和分支機構的信息化需要,必然會采用VPN方式來解決企業的需求。不論是采用SSLVPN還是IPSecVPN,VPN加密傳輸都是通用的選擇。對于分支機構可以考慮專用的VPN設備和總部進行IPSec連接,這種方式更安全可靠穩定。對于移動終端的接入可以考慮SSLVPN方式。在這種情況下,就必須做好對于移動終端的身份認證識別。其實我們在設備采購時,可以要求設備商做好多種接入方式的需求,并且幫助企業搭建認證方式。這將有利于企業日常維護,提升企業信息系統的VPN接入水平。
3.3優化企業網絡的隔離性和控制性
在規劃企業網絡安全邊際時,要面對多個部門和分支結構,合理的規劃安全網絡邊際將是關鍵。企業的網絡體系可以分為:物理層;數據鏈路層;網絡層;傳輸層;會話層;表示層;應用層。各體系之間的相互隔離和訪問策略是防止企業信息安全風險的重要環節。在企業多樣化網絡環境的背景下,根據企業安全優先級及面臨的風險程度,做出適合企業信息安全的防護策略和訪問控制策略。根據相應防護設備進行深層次的安全防護,真正實現OSI的L2~L7層的安全防護。
3.4實現企業信息安全防護體系的統一管理
為企業信息安全構建統一的安全防護體系,重要的優勢就是能實現對全網安全設備及安全事件的統一管理,做到對整個網絡安全事件的“可視、可控和可管”。企業采購的各種安全設備工作時會產生大量的安全日志,如果單靠相關人員的識別日志既費時效率又低。而且不同安全廠商的日志報表還存在很大差異。所以當安全事件發生時,企業管理員很難實現對信息安全的統一分析和管理。所以在企業在構建信息安全體系時,就必須要考慮安全設備日志之間的統一化,設定相應的訪問控制和安全策略實現日志的歸類分析。這樣才能做到對全網安全事件的“可視、可控和可管”。
4結束語
關鍵詞 信息安全事故;安全管理;事故致因理論
中圖分類號 F49
文獻標識碼 A
文章編號 1006-5024(2013)01-0055-04
一、引言
在信息化浪潮席卷全球的今天,信息的重要性不言而喻。我國國民經濟和社會信息化建設進程全面加快,網絡與信息系統的基礎性、全局性作用日益增強,信息技術在提高企業服務水平、促進業務創新、提升核心競爭力等方面發揮了重要作用。但是,在進行信息化建設的同時,各種信息安全事故卻頻繁發生。據普華永道2010年度全球信息安全調查報告顯示,中國企業信息安全事故發生率遠遠高于世界平均水平。網絡事故、數據事故及系統事故是中國企業常見的三大信息安全事故,發生率分別為51%、45%和40%,而相同事故在全球范圍內的發生率則為25%、27%與23%。
大量文獻和事實表明,信息的特殊性決定了信息安全事故的高發性。信息具有易傳播、易擴散、易毀損的特點,信息資產比傳統的實物資產更加脆弱,而其運作的風險、收益和機會卻比實物資產大得多。企業對信息系統不斷增強的依賴性也增大了重要信息受到嚴重侵擾和破壞的風險,而這些風險常導致企業資產受損或業務中斷。
目前,對于信息安全的研究大多集中于技術層面,從早期的加密技術、數據備份、防病毒到近期網絡環境下的防火墻、入侵檢測、身份認證等,而從管理方面和流程優化方面研究的較少。Ross Anderson(2001)認為,信息安全的經濟管理研究在某種程度上比技術研究更為重要。傅毓敏(2010)認為,中國企業對信息安全管理人員和流程的重視不足是導致相關安全事故率居高不下的主要原因。因此,有必要系統分析企業信息安全事故發生的機理,以管理因素研究為核心,找出事故發生的根本原因。通過控制事故致因因素預防企業信息安全事故的發生,將對企業的信息安全管理有一定的指導意義。
本文將生產領域的事故致因理論應用到信息安全事故分析中,系統分析企業信息安全事故的形成機理,將信息安全事故致因因素分為四部分,即環境因素、人員因素、技術因素和設備因素,分析各因素對信息安全事故的影響,構建信息安全事故致因因素魚刺圖,并提出針對性的防范措施。
二、理論基礎
(一)國內外從管理角度對信息安全事故的研究
國內外的學者從不同角度對信息安全事故原因進行了研究。Van Niekerk(2010)認為企業信息安全文化氛圍是減少人為因素所導致的信息安全事故的關鍵;Knapp(2009)等先后對信息安全政策和信息安全事故之間的關系進行了研究;Herath(2009)通過問卷調研的實證研究驗證了懲罰力度、壓力和員工的效果認知會對其安全行為產生影響;Albrechtsen(2010)發現員工參與、集體反思和群體作用可以提高員工的信息安全意識,并改善其安全行為;Stanton(2005)研究發現終端用戶的安全行為會對企業信息安全管理產生影響;Ashenden(2008)通過實證研究發現信息安全管理人員、高層管理者和終端用戶之間存在信息鴻溝,雙方在理解上的差異會對企業的信息安全管理產生不利影響,增加了信息安全事故發生的幾率。此外,Vroom(2004)、Flowerday(2005)等學者也先后對此進行了研究。
與國外相比,國內對于信息安全的研究多集中于技術層面,涉及管理層面的研究較少。沈昌祥、張煥國、馮登國(2007)系統地闡述了信息安全理論及相關技術的發展;官巍、胡若(2007)從社會環境、商業、組織和個人的角度分析了電子商務的信息安全問題;劉福來(2010)對中小企業信息化管理中存在的安全隱患和原因進行了分析。
通過閱讀文獻發現,國外學者大多通過實證研究驗證了一個或幾個因素對信息安全事故的影響,但是缺乏對信息安全事故的系統分析。國內的研究多用于構建信息安全管理體系,對信息安全事故的分析則鮮有研究。
(二)事故致因理論
在信息安全事故分析方法的選擇上,本文選擇了在生產領域廣泛應用的事故致因理論。事故致因理論是研究分析導致事故發生原因因素的科學理論。它是描述事故成因、經過和后果的理論,是研究人、物、環境、管理及事故處置等基本因素如何起作用而形成事故并造成損失的理論。
在早期的事故致因理論中,海因里希(W.H.Heinrich)的事故因果連鎖論最具代表性,它最先提出了物的不安全狀態和人的不安全行為是導致傷亡事故發生的兩個直接因素。在海因里希事故因果連鎖論的基礎上,博德(F.Bird)等又進一步提出了把安全管理作為背后深層次的間接事故致因因素的現代安全科學觀點,認為任何安全事故發生的深層次原因,都可以歸結為管理的失誤,人的不安全行為或物的不安全狀態不過是其背后的深層原因的征兆和管理失誤的反映。
本文依據博德(F.Bird)的現代安全科學觀點,提出如圖1所示的信息安全事故模型。信息安全事故的發生是由于人的不安全行為和物的不安全狀態作用在能量物質/載體上的結果,而企業的管理因素是導致物的不安全狀態和人的不安全行為發生作用的直接因素。
三、信息安全事故分析
通過對各類型信息安全事故致因因素的分析,企業信息安全事故的致因因素大體可分為兩類,即人的因素和物的因素。其中,物的因素可進一步分為環境因素、技術因素、設備因素等。根據實地調研和文獻梳理可以得出,企業文化的缺失、安全規章制度的不完善等環境因素是造成事故的深層原因。因此,本文將企業信息安全事故的可控致因因素整理歸納后分為四類,即環境因素、人員因素、技術因素和設備因素,并構建了信息安全事故魚刺圖(見圖2)。
(一)環境因素分析
在信息化建設過程中,很多企業由于急需開展業務,往往出現“先業務,后安全”的現象,安全管理嚴重滯后于業務的發展。在企業的內部環境中,企業業務的符合性直接決定了信息系統的設計、運行、試用和管理是否超出法律規定和合同規定的安全要求的約束范圍。另外,很多企業安裝了一定的安全設備,但缺乏統一的安全體系規劃和安全防范機制,企業安全責任不明確,這些都大大增加了信息安全事故發生的風險。由于缺乏業務連續性計劃和事故處理機制,發生信息安全事故之后,企業的業務往往會出現中斷,此時,信息管理人員又變成“救火員”恢復業務,最終信息安全建設變成一種“頭痛醫頭,腳痛醫腳”的亡羊補牢式的行為。此外,企業懲戒措施和審計機制的缺乏也是導致信息安全事故頻繁發生或重復發生的重要因素。
在信息安全管理的外部環境中,與企業密切相關的是第三方服務機構或個人。企業選擇第三方服務機構為企業提供服務,就意味著將企業的部分信息轉移至第三方。企業與第三方的外包合約不完善、第三方的服務質量不高以及對第三方數據訪問權限的不明確易導致企業關鍵數據的泄露,容易引發外部攻擊。
(二)人員因素分析
人員是信息安全管理中最為活躍的因素,不同類別的人員對信息安全事故的影響不盡相同。(1)管理人員。高層管理者是企業資源投入的決策者,也是企業信息安全管理的核心,高層對信息安全的支持和重視不夠是導致企業信息安全文化欠缺和員工信息安全意識淡漠的關鍵因素。中層管理者作為銜接企業高層和基層的橋梁,其對上級決策的執行力度直接決定了企業信息安全管理實施的效果。(2)技術人員。在企業中,技術人員可以保證企業信息系統的日常運營和維護。但大多數企業,尤其是中小企業缺乏信息技術人才和安全監察、審計人員。由于受人員及技術的限制,往往一個管理員既要負責系統的配置,又要負責系統的安全管理,安全設置和安全監督都是“一肩挑”。這種情況使得管理權限過于集中,一旦管理員的權限失控,極易導致重要信息泄露。(3)基層人員。目前,我國企業的基層員工普遍缺乏信息安全的教育、培訓,對信息安全意識淡漠,每天都在以不安全的方式處理著企業的大量重要信息,如隨意使用移動設備、上網不限制等,這些不安全的行為都對企業的信息系統構成了潛在的威脅。
(三)技術因素分析
信息安全技術是企業防范信息安全事故的基本因素,也是我國企業在信息安全管理中投入較多的一部分。具體而言,導致信息安全事故技術方面的因素可以分為兩大類:(1)軟件因素,包括軟件設計缺陷或存在技術漏洞、殺毒軟件不及時更新以及突發的軟件故障等。(2)信息系統設計因素,包括信息系統設計時沒有以風險評估為基礎、業務流程描述錯誤或遺漏、前期測試不充分、數據訪問權限設置不清晰、關鍵數據沒有備份、信息資產安全等級不明確以及信息資產沒有保護措施等因素。這些不安全的技術因素導致了信息安全漏洞存在的必然性和普遍性。在目前互聯網普及的開放網絡環境中,這些漏洞無疑會給外部攻擊者留下可乘之機,導致信息安全事故的發生。
(四)設備因素分析
企業信息安全管理的設備主要包括中心機房、服務器、網絡設備、線路等方面,這些是企業信息安全保障系統的基礎。由于設備因素引起的信息安全事故包括硬件自身故障、保障設施故障、人為破壞事故、其他設備設施故障等四種,其致因因素可以歸納為三類:(1)物理安全方面,包括物理安全邊界不明確、非授權的物理訪問、設備或存儲介質缺乏安全措施、設施設備的非授權使用或移動、硬件失效等。(2)保障設施方面,包括供電或空調中斷、電氣故障、電纜損壞等。(3)外界不可抗力,包括水災、臺風、地震等自然災害和恐怖襲擊、戰爭等外界不可抗力因素。這些因素往往會造成設施設備硬件的損壞,導致存儲于設備上的數據受到干擾和破壞,容易引發企業業務的中斷。
四、防范措施
針對上述造成信息安全事故的因素分析,可以從人員培訓、制度完善以及硬件改進三個方面進行防范。具體而言:
(一)建立有效的“人力防火墻”,減少人為因素導致的信息安全事故
信息安全是企業每個員工都要面對的問題,通過建立“人力防火墻”能真正調動企業實現長治久安的內在動力。因此,必須加強信息安全宣傳工作,增強所有員工對信息安全重要性的認識。通過增強管理人員對信息安全的重視,營造企業的安全文化氛圍,提高企業員工的信息安全意識;通過對員工進行安全教育與培訓,增強員工的安全技能;通過法律法規、安全政策、訪問權限與懲戒措施來約束員工的行為,減少不安全行為的發生。最終在企業內部形成一種“信息安全,人人有責”的企業文化氛圍,減少人為因素導致的信息安全事故。
(二)完善企業信息安全管理體系,減少由于環境、技術因素導致的信息安全事故
信息安全管理體系是依據企業信息安全需求、業務流程分析和風險評估的結果,綜合利用各種信息安全技術與產品,在統一的綜合管理平臺上建立的信息安全管理機制和防范體系。建立并完善信息安全管理體系,可以為企業的信息管理提供來自策略、設計以及運行等各個層面和階段的安全保障,有效減少由于環境因素和技術因素引起的信息安全事故。建立災難恢復與業務持續性計劃,強化重要信息數據備份,在信息安全事故發生時能確保業務持續開展,將損失降到最低程度;建立集中化的管理控制機制,將數據安全控制進行集中化管理,建立一個具有全局性的網絡管理平臺,以確保安全防范策略能夠由上至下全面貫徹執行,減少數據安全風險;以“適度防范”為原則,選擇合適的安全技術與產品,制定相應的訪問控制策略,在考慮成本和投資回報的基礎上滿足企業業務安全的需求。
