發布時間:2023-10-13 09:38:00
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的企業安全信息樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
隨著信息化的高速發展,為企業及社會帶來了顯而易見的效益:提高的工作效率、減少的紙張浪費、快捷方便的通訊等等。但信息化也是一柄"雙刃劍",尤其是在企業管理、商業保密等工作中,還存在著令人堪憂的隱患:
一是物理安全風險。物理安全風險包括計算機系統的設備、設施和信息面臨因自然災害、環境事故(如斷電)、人為物理操作失誤以及不法分子進行違法犯罪等風險。
二是數據安全風險。數據安全風險包括競爭性業務的經營和管理數據泄漏,數據被人為惡意篡改或破壞等。
三是網絡安全風險。網絡安全風險包括病毒造成網絡癱瘓與擁塞、內部或外部人為惡意破壞造成網絡設備癱瘓、來自互聯網黑客的入侵威脅等。
二、保證企業信息安全的基本對策
2.1正確認識企業信息安全問題。
企業的信息安全問題,絕不僅僅是一個僅靠防火墻、密碼等等技術就能解決的問題,它還與人們的職業道德、社會道德以及企業管理等問題密切相關。因此,在維護企業信息安全時,我們必須站在宏觀的角度對問題進行考慮。在過去看來,一個企業信息的安全問題,是領導層或者IT單個部門的事情,但是憑少數人或部門的工作,對于保障公司的信息不被泄漏,防護信息存儲不被破壞、攻擊和偷盜是很難的事。筆者認為,意識指導行動,信息安全問題首先要解決的是員工的思想認識問題,只有企業的每一個人都認識到信息安全的重要性,才能在工作中自覺地維護信息安全。因為在任何一個體系中,人都是最活躍、最具有影響力和決定意義的因素,因此對于企業的信息安全問題而言,企業內部員工才是保護信息安全的最可靠、最有效的重大保障。此外,還可以加強引進信息安全技術人才以及信息安全管理人才,并在日常工作中,加強對隊伍專業知識以及工作技能的培訓,從而為企業建設一支強有力的信息安全保衛隊伍。其次信息管理部門要全面作好專業技術支持與防范工作,根據業務的需求采取適當的保護措施,實施專業應用系統。例如,保護企業信息安全的技術可以采用主動反擊、網絡入侵陷阱、密碼、取證、防火墻、安全服務、防病毒、可信服務、PKI服務、身份識別、備份恢復、網絡隔離等等保護產品以及保護技術,通過確保信息安全的最大化,來實現企業生產經營持續發展以及經濟效益的最大化。此外,還可以在工作的過程中,進一步優化企業信息安全管理,并進行管理監控以及安全風險評估,分析入侵防范、服務器架構等等關鍵問題,以全面性、多角度的掌控,確保企業信息系統的安全性、穩定性,因為信息安全問題不具有靜態性,信息管理始終處在一個不停變動的動態性過程,因此即使我們不可能確保信息的絕對安全,也必須做到相對安全,從而最大限度的降低企業風險。
2.2建立健全信息安全管理制度。
信息安全不僅是技術問題,更主要是管理問題。任何技術措施只能起到增強信息安全防范能力的作用,俗話說“三分技術,七分管理”,只有良好的管理工作才能使保障技術措施得到充分發揮,是能否對信息網絡實施有效信息安全保障的關鍵。現在中國石油股份有限公司內控體系中涉及信息內部控制的《信息系統總體控制辦法》(以下簡稱“GCC”)就很好的涵蓋了信息安全的各個方面,包括了機房管理、服務器管理、網絡管理和系統管理等。因此在實際的工作中,我們可以通過“三步驟”來實現企業信息的安全管理制度的健全化、完善化。第一,結合企業自身的實際,分析企業存在的問題以及預期的目標,制定具有科學性、合理性、實效性、可行性的信息安全管理制度,使保護信息安全工作做到有法可依,有章可循。第二,建立信息安全管理機構,明晰信息安全管理負責人的職務和責任,并建立相應的考核機制和激勵機制,以督促、鼓勵相關負責人的工作,提高信息管理工作質量。第三,真正貫徹管理措施,加強制度的執行力度,只有這樣,才能從根本上實現管理工作以及工作目標,最終提高企業的信息安全管理水平。
三、加強企業信息安全保障的幾點措施
如何有效地解決企業信息安全的專業性管理與技術性防范,筆者認為可從以下幾個方面著手。
3.1實行嚴格的網絡管理。企業網與互聯網的物理隔離、防火墻設置以及端口限制,與互聯網相比安全性較高,但在日常運行管理中我們仍然面臨網絡鏈路維護、違規使用網絡事件等問題,具體而言:一是在IP資源管理方面,采用IP+MAC捆綁的技術手段防止用戶隨意更改IP地址和隨意更換交換機上的端口。這樣,就不會出現IP地址被盜用而不能正常使用網絡的情況;二是在網絡流量監測方面,使用網絡監測軟件查看數據、視頻、語音等各種應用的利用帶寬,防止頻繁進行大文件的傳輸,甚至發現病毒的轉移及傳播方向。三是加強服務器管理。常見應用服務器安裝的操作系統多為WindowsServer,可利用其自帶的安全管理功能進行設置,包括服務器安全審核、組策略實施、服務器的備份策略以及系統補丁更新等。
3.2加強客戶端監管。對大多數單位的網管來說,客戶端的管理都是他們最頭痛的問題。只有得力的措施才能解決這個問題,這里推薦以下方法:
(1)將客戶端都加入到域中,使客戶端強制性納入管理員集中管理的范圍。
(2)只給用戶以普通域用戶的身份登錄到域,這樣就可以限制他們在本地計算機上安裝有安全隱患軟件的權利。
(3)實現客戶端操作系統補丁程序的自動安裝。
(4)利用企業IT部門的工作職能,設置熱線幫助和技術支持人員,統一管理局域網內各客戶端問題。
3.3堅持進行數據備份。由于應用系統的加入,各種數據庫日趨增長,如何確保數據在發生故障或災難性事件情況下不丟失,是當前面臨的一個難題。從成本及易操作性考慮,這里推薦以下兩種數據備份方法:一種是用硬盤進行數據備份;另一種是采用本地磁盤陣列來分別實現各服務器的本地硬盤數據冗余。
[摘要] 隨著經濟全球化進程的加快,企業信息安全將成為企業面臨到的一個主要問題,加強信息安全管理也已成為時代的召喚。本文介紹了企業信息安全,以及石油石化企業信息化建設,分析了信息安全對石油石化企業的意義以及應對策略。
[關鍵詞] 信息安全;信息化建設;安全策略
在經濟全球化的今天,企業相關人員對信息安全越來越關注。雖然企業采取了很多與員工簽訂保密協議,建立防火墻,以及安全管理中心等措施,但還是發生了像天涯社區、新浪等泄露用戶密碼、個人信息的安全事件。企業提高計算機與信息管理的水平可以防范由信息安全所造成的各項損失,完善企業信息安全管理體系是很多企業都會面臨到的一個主要問題,而作為我國國民經濟支柱產業的石油石化企業更應該加強信息安全的管理。
一、企業信息安全定義
近年來,經濟全球化呈現加速發展的趨勢,越來越多的發展中國家融入到經濟全球化的大潮之中。世界政治、經濟形勢的深刻變化使國家安全的內涵出現了新的變化,國家經濟利益和國家經濟競爭力隨即上升至國家安全的優先位置,國家經濟安全開始成為國家安全的核心。跨國并購是經濟全球化時代的重要特,尤其是近幾年來,經濟全球化的日益發展使資本的全球擴張進一步加強,企業兼并活動達到有史以來的最高峰。在各跨國企業擴大占有其他國家市場、資源和技術時,往往使被收購企業所在國受到很大沖擊,甚至威脅到他國的經濟安全。
企業信息安全是一個復雜的、多維的動態體系,受到諸多外界因素的影響,因而需要從系統的高度進行綜合性的概括。企業信息安全有兩種解釋:一種是從具體的信息安全技術系統的角度著手,來管理企業信息,提高安全性;另一種是建立某些被指定的安全信息體系,例如:銀行指揮系統等,從而加強企業信息的安全。企業信息安全的基礎內容主要有:實體和運行,以及信息資產與人員安全。實體安全也是指硬件安全,既保護計算機網絡硬件和存儲媒體的安全,又防止計算機硬件、設備等因濕度過大、溫度過高、摩擦等因素而出現的物理損壞。同時,維護硬件運行環境的穩定也是實體安全的范疇。運行安全是保障信息處理過程的安全運行,避免出現程序性故障、死機等現象,保障系統功能的安全。信息資產安全則是確保信息的控制權在企業本身手里,不被惡意篡改或破壞,不被非法操作、誤操作、復制,功能穩定等。人員安全主要是指信息系統使用人員能夠有明確保護信息安全的意識,遵紀守法,擁有保障企業相關信息安全的技能和能力。
二、石油石化企業的信息化建設
在國際金融危機的沖擊下,我國石油石化企業受到種種壓力,但同時也遇到不少發展的機遇。金融危機背景下,提升企業競爭能力和抗風險能力更顯得重要,石化企業需堅持并加強信息化應用,不斷地深化和優化應用。
石油石化企業是我國最早開展信息化建設的行業之一。經過多年的建設,加之逐年增加投入,石化行業整體信息化應用水平在不斷提高,并取得了較高的成績。據中國石油和化學工業協會調研顯示,勘探與生產技術數據管理系統、管道生產管理系統、ERP系統等目前在大部分石油石化企業中得到應用并發揮了重要作用,集成與深化應用已經成為石油石化企業信息化建設的主流。在當前國際金融危機沖擊之下,信息化在優化資源配置、強化過程管控、支持管理創新、提高經營管理水平和勞動生產率等方面的支撐作用越來越顯著。
三、石油石化企業信息安全的意義
石油石化企業在國民經濟中扮演者重要的角色,是其重要的支柱產業,擔負著保障國家油氣供應安全的重要責任。國家形象、安全及國民經濟也可能要受石油石化企業安全的影響。近幾十年石油石化企業的發展主要得益于信息技術的發展。石油石化企業運營絕大多數工序,從地震、鉆井到化工作業、生產工藝,甚至是管理手段、戰略決策等都是依靠信息系統來實現的。信息系統一旦癱瘓,企業的運營就要中斷。
前不久,互聯網一度讓人望而卻步,CSDN、天涯、新浪、京東商城、網易公司、支付寶等互聯網公司以及多家銀行深陷“泄密門”。這使得本來就對互聯網不放心的廣大消費者更加遠離了網絡購物,一些網絡消費者也紛紛降低了購物頻率。
四、中海油的企業信息安全策略
信息化是中海油科學管理的重要手段,也是企業的核心競爭力之一。多年來中海油一直堅持業務驅動應用,技術引領創新,著力打造數字海油,加強工業化與信息化的融合,提升中海油信息化水平。多年來建設了MPLS云網絡,實現了物理統一、邏輯共享的網絡鏈路;構建了以LotusNotes為基礎的OA辦公平臺;打造了以SAP為核心的ERP系統平臺;建設了勘探、開發、生產、鉆完井等生產管理信息系統和Scada、DCS、MES生產信息管理系統。這些系統的建立為提高石油的產量,加速企業的運行效率奠定了基礎,使得中海油各生產運行業務系統建設穩步推進,實現了整體項目生產數據的完整、有序化管理,便于生產經營決策。
隨著國際化的進程,中海油和國外公司的合作聯系越來越密切,如果不加強信息安全,輕則出現宕機、數據缺失、系統停止服務等信息服務事件,重則會影響我國的石油產業和我國的國民經濟。目前在對網絡安全方面主要從以下幾點展開的:
(1)物理安全風險
在物理安全方面,企業建立合格的機房環境,設置合理的網絡構架,購置高性能的硬件設施,同時安裝高效的、實時的預警系統等。在這些系統的和人員管理的情況下,防止設備因水災、火災、系統故障等導致的計算機硬件方面的安全問題。
(2)網絡管理體系方面的安全
加強網絡管理體系,可以減少企業中責權不明、管理混亂等方面的安全隱患,提高員工的安全意識。同時,還可以及時發現一些外來的網絡攻擊和惡意的破壞。對內部終端進行管理,通過流量限制計算機上傳下載速度也是有效的網絡管理體系的一部分。
(3)網絡拓撲結構的風險
拓撲結構形象的描述了企業網絡的組織結構以及各個元件之間的相互關系,對企業的網絡安全系統有著重要的影響力。假如外部和內部進行聯系,內部網絡系統受到威脅,就會通過這個網絡拓撲結構一層一層的影響其他的系統,進而可能使整個網路拓撲結構癱瘓,影響企業的正常運行。
同時,面對日益高速化發展的今天,工作人員容易受到外界的蠱惑,因此企業應該加強對企業人員網絡安全維護的教育,提高人員安全性。
五、技術展望
云計算的發展為未來企業網絡安全提供了又一個技術平臺。云計算是通過網絡把成千上萬的計算機硬件資源和軟件資源聚合成一個具有強大計算能力的系統,并借助各種服務模式把強大的計算能力提供給終端用戶,使人們能夠像使用電、水那樣使用信息資源。
在經濟全球化的今天,企業相關人員對信息安全越來越關注。雖然企業采取了很多與員工簽訂保密協議,建立防火墻,以及安全管理中心等措施,但還是發生了像天涯社區、新浪等泄露用戶密碼、個人信息的安全事件。云技術網頁威脅管理部署和操作簡單,不僅有效且高效的防護,而且支持遠程辦公室和移動工作,“網絡效應”和“眾包”的作用更是提高了信息的安全性,因此特別適合分布式企業。而大型企業則需要一種集中化的管理和分布式、以云端為中心的智能、緊密集成等于一體的網絡威脅管理構架,才能滿足其龐大的網絡拓撲架構的安全需要,改善遠程工作者的安全性,提供全局可見性和控制能力,創建一個云遷移路徑。
綜上所述,中海油信息化的建設大幅提升了生產運行效率和精細化管理水平,達到了國際化先進水平,為中海油在國際的長遠發展提供了堅實的基礎。面對經濟的全球化,各行各業,每一個企業都要建立健全、不斷完善信息安全管理工作,提升企業信息安全管理水平。
參考文獻
[1] 張帆;企業信息安全威脅分析與安全策略[J];網絡安全技術與應用,2007,(05)
關鍵詞:企業安全生產;信息化管理;系統
隨著現代企業管理體系的逐漸復雜,企業管理已經稱得上是一種系統性工程,為了在這種發展背景下實現企業的相關發展,對企業安全生產信息化管理體系的相關研究就顯得很有必要。
1企業安全生產管理模式的發展過程
1.1發達國家企業安全生產管理模式
企業的安全生產管理經歷了傳統安全生產管理模式、對象性安全生產管理模式、過程安全生產管理模式以及系統安全生產管理模式四個階段的發展。隨著計算機網絡技術的不斷發展和相關理論體系的完善,現階段發達國家企業中普遍采用的是系統安全生產管理模式。
1.2我國企業安全生產管理模式
雖然現階段發達國家的企業中大多采用系統安全生產管理模式,但由于我國企業相對發展落后,現階段大部分企業中還是采用過程管理模式進行自身企業的安全生產管理。當然,隨著我國近年來科技與經濟的飛速發展,很多企業已經開始認識到過程安全生產管理模式的弊端,一些大型企業也開始進行系統安全生產管理模式的相關嘗試,這些都直接促進著我國企業安全生產管理的相關發展。
2企業安全生產信息化管理體系的運行模式
企業安全生產信息化管理體系的運行模式由管理組織決策、風險評估、隱患排查、安全信息分類、生產H標制定、相關考核、方案傳輸等內容組成。在完成企業安全生產信息化管理體系運行模式的規劃與決策后,我們就需要對其生產管理組織機構與責任制進行相關研究,以此構建企業安全生產信息化管理體系中的具體功能模塊,最終完成企業安全生產信息化管理體系的相關建設。在企業安全生產信息化管理體系的運行中,相關設計人員需要對其績效進行測量與監視,對具體運行效果進行優化,并根據相關優化中得到的信息對管理體系的外部進行評審,實現企業安全生產信息化管理體系的安全、健康、高效運行。
3企業安全生產信息化管理體系的具體架構
為了實現企業安全生產信息化管理體系的相關功能,筆者結合自身工作經驗提出了一種較為符合我國企業發展實際、組織結構也較為完善的企業安全生產信息化管理體系,其具體架構如下:
3.1理論基礎層
在企業安全生產信息化管理體系的構建中,理論基礎層是極為重要的一個組成部分,也是其最底層。在企業的日常生產經營中,安全生產理論是隨著相關技術不斷發展而來的一套完備的理論體系,這也使得相關理論體系的存在為企業安全生產信息化管理體系的建立提供了堅實的基礎。在企業安全生產信息化管理體系中,理論基礎層由基本管理理論與綜合管理理論兩部分組成。基本管理理論指的是企業安全生產中通用的方法與規則,綜合管理理論則是由安全教育學原理、安全法原理、事故學理論等多種理論綜合而成,這些理論都在企業安全生產信息化管理體系的建設中發揮著重要的作用|31。
3.2技術實現層
在企業安全生產信息化管理體系中,安全生產信息化管理技術的實現層是第二層,其發展于第一層的理論基礎之上,通過多種技術對企業安全生產信息化管理體系進行支撐。企業安全生產信息化管理的實現層具有數據實時采集、實時共享、多種數據分析等功能,并能夠以此確保企業安全生產信息化管理體系功能的正常運轉|41。
3.3功能模塊與業務層
在企業安全生產信息化管理體系中,功能模塊與業務層是第三層。第三層主要由安全信息中心、企業安全生產基礎管理功能模塊、企業安全生產監控管理模塊、企業安全檢査管理功能模塊、安全生產風險評估以及應急管理功能模塊、企業安全生產環境控制管理功能模塊這六大功能模塊構成。這些模塊的存在為企業安全生產信息化管理體系提供具體服務的支持,是管理體系不可或缺的重要組成部分。
4結語
隨著我國經濟與社會的不斷發展,企業安全生產信息化是必然的歷史發展趨勢。在未來的企業競爭中,一家企業是否擁有完善的安全生產信息化管理體系,將是其自身競爭力的重點體現之一為了提高企業的生產管理效率,企業安全生產信息化管理體系的建立也是不可忽視的一個重要環節。本文為安全生產信息化管理體系提供了一個可行性架構模型,希望能夠為相關企業的安全生產信息化管理體系發展帶來一定幫助。
作者:呂鵬 單位:神華煤制油鄂爾多斯分公司
參考文獻
[1]楊宇,王堅.企業安全生產信息化管理體系的探討m.機電產品開發與創新,20丨4(6>:29-31.
[2]栩勇,劉繼元.淺談建筑施工企業安全生產信息化管理的實際應用[J].建筑安全>2015(8>:63-66.
隨著云計算、大數據等新興技術的不斷發展,企業信息化、智能化程度、網絡化、數字化程度越來越高,人類社會進入到以大數據為主要特征的知識文明時代。大數據是企業的重要財富,正在成為企業一種重要的生產資料,成為企業創新、競爭、業務提升的前沿。大數據正在成為企業未來業務發展的重要戰略方向,大數據將引領企業實現業務跨越式發展;同時,由此帶來的信息安全風險挑戰前所未有,遠遠超出了傳統意義上信息安全保障的內涵,對于眾多大數據背景下涉及的信息安全問題,很難通過一套完整的安全產品和服務從根本上解決安全隱患。
自2008年國際綜合性期刊《Nature》發表有關大數據(Big Data)的專刊以來,面向各應用領域的大數據分析更成為各行業及信息技術方向關注的焦點。大數據的固有特征使得傳統安全機制和方法顯示出不足。本文系統分析了大數據時代背景下的企業信息系統存在的主要信息安全脆弱性、信息安全威脅以及信息安全風險問題,并有針對性地提出相應的信息安全保障策略,為大數據背景下的企業信息安全保障提供一定指導的作用。
1 大數據基本內涵
大數據(Big Data),什么是大數據,目前還沒有形成統一的共識。網絡企業普遍將大數據定義為數據量與數據類型復雜到在合理時間內無法通過當前的主流數據庫管理軟件生成、獲取、傳輸、存儲、處理,管理、分析挖掘、應用決策以及銷毀等的大型數據集。大數據具有4V特征(Volume,Varity,Value,Velocity),即數據量大、數據類型多、數據價值密度低、數據處理速度快。
2011年麥肯錫咨詢公司了《大數據:下一個創新、競爭和生產力的變革領域》[1]的研究報告,引起了信息產業界的廣泛關注。美國谷歌公司(Google)、國際商業機器公司(IBM)、美國易安信公司(EMC)、臉書(Facebook)等公司相繼開始了大數據應用、分析、存儲、管理等相關技術的研究,并推出各自的大數據解決框架、方案以及產品。例如,阿帕奇軟件基金會(Apache)組織推出的Hadoop大數據分析框架,谷歌公司推出的BigTable、GFS(Google File System)、MapReduce等技術框架等,這些研究成果為隨后的大數據應用迅猛發展提供了便利的條件。2012年3月,美國奧巴馬總統了2億美元的“Big Data Initiative”(大數據研究和發展計劃),該計劃涉及能源、國防、醫療、基礎科學等領域的155個項目種類,該計劃極大地推動了大數據技術的創新與應用,標志著奧巴馬政府將大數據戰略從起初的政策層提升到國家戰略層。
同時,我國對大數據的認識、應用及相關技術服務等也在不斷提高,企業界一致認同大數據在降低企業經營運營成本、提升管理層決策效率、提高企業經濟效益等方面具有廣闊的應用前景,相繼大數據相關戰略文件,同時國家組織在民生、國防等重要領域投入大量的人力物力進行相關技術研究與創新實踐。
中國移動通信公司在已有的云計算平臺基礎上,開展了大量大數據應用研究,力圖將數據信息轉化為商業價值,促進業務創新。例如,通過挖掘用戶的移動互聯網行為特征,助力市場決策;利用信令數據支撐終端、網絡、業務平臺關聯分析,優化網絡質量。商業銀行也相繼開展了經融大數據研究,提升銀行的競爭力。例如,通過對用戶數據分析開展信用評估,降低企業風險;從細粒度的級別進行客戶數據分析,為不同客戶提供個性化的產品與服務,提升銀行的服務效率。總而言之,大數據正在帶來一場顛覆性的革命,將會推動整個社會取得全面進步。
2 大數據安全研究現狀
在大數據計算和分析過程中,安全是不容忽視的。大數據的固有特征對現有的安全標準、安全體系架構、安全機制等都提出了新的挑戰。目前對大數據完整性的研究主要包括兩方面,一是對數據完整性的檢測;二是對完整性被破壞的數據的恢復。在完整性檢測方面,數據量的增大使傳統的MD5、SHA1等效率較低的散列校驗方法不再適用,驗證者也無法將全部數據下載到本地主機后再進行驗證。
面向大數據的高效隱私保護方法方面,高效、輕量級的數據加密已有多年研究,雖然可用于大數據加密,但加密后數據不具可用性。保留數據可用性的非密碼學的隱私保護方法因而得到了廣泛的研究和應用。這些方法包括數據隨機化、k-匿名化、差分隱私等。
這些方法在探究隱私泄漏的風險、提高隱私保護的可信度方面還有待深入,也不能適應大數據的海量性、異構性和時效性。在隱私保護下大數據的安全計算方面,很多應用領域中的安全多方計算問題都在半誠實模型中得到了充分的研究,采用的方法包括電路賦值(Circuit Evaluation)、遺忘傳輸(Oblivious Transfer)、同態加密等。通過構造零知識證明,可以將半誠實模型中的解決方法轉換到惡意模型中。而在多方參與、涉及大量數據處理的計算問題,目前研究的主要缺陷是惡意模型中方法的復雜度過高,不適應多方參與、多協議執行的復雜網絡環境。
企業大數據技術是指大數據相關技術在企業的充分應用,即對企業業務、生產、監控、監測等信息系統在運行過程中涉及的海量數據進行抽取、傳輸、存儲、處理,管理、分析挖掘、應用決策以及銷毀等,實現大數據對企業效率的提升、效益的增值以及風險的預測等。
企業的大數據類型通常主要包括業務經營數據即客戶信息數據、企業的生產運營與管理數據以及企業的設備運行數據等,即客戶信息數據、員工信息數據、財務數據、物資數據、系統日志、設備監測數據、調度數據、檢修數據、狀態數據等。企業大數據具有3V、3E特征[2],3V即數據體量大(Volume)、數據類型多(Varity)與數據速度快(Velocity),3E即數據即能量(Energy)、數據即交互(Exchange)與數據即共情(Empathy)。
3 大數據時代企業信息安全漏洞與風險并存
大數據時代,大數據在推動企業向著更為高效、優質、精準的服務前行的同時,其重要性與特殊性也給企業帶來新的信息安全風險與挑戰。如何針對大數據的重要性與特殊性構建全方位多層次的信息安全保障體系,是企業發展中面臨的重要課題。大數據背景下,結合大數據時代的企業工作模式,企業可能存在的信息安全風險主要表現在以下三個方面:
(1)企業業務大數據信息安全風險:由于缺乏針對大數據相關的政策法規、標準與管理規章制度,導致企業對客戶信息大數據的“開放度”難以掌握,大數據開放和隱私之間難以平衡;企業缺乏清晰的數據需求導致數據資產流失的風險;企業數據孤島,數據質量差可用性低,導致數據無法充分利用以及數據價值不能充分挖掘的風險;大數據安全能力和防范意識差,大數據人才缺乏導致大數據分析、處理等工作難以開展的風險;管理技術和架構相對滯后,導致數據泄露的風險。
(2)企業基礎設施信息安全風險:2010年,震網病毒[3]通過網絡與預制的系統漏洞對伊朗核電站發起攻擊,導致伊朗濃縮鈾工程的部分離心機出現故障,極大的延緩了伊朗核進程。從此開啟了世界各國對工業控制系統安全的重視與管控。對于生產企業,工業生產設備是企業的命脈,其控制系統的安全性必須得到企業的高度重視。隨著物理設備管理控制系統與大數據采集系統在企業的不斷應用,監控與數據采集系統必將成為是物理攻擊的重點方向,越來越多的安全問題隨之出現。
設備“接入點”范圍的不斷擴大,傳統的邊界防護概念被改變; 2013年初,美國工業控制系統網絡緊急響應小組(ICS-CERT)預警,發現美國兩家電廠的發電控制設備在2012年10月至12月期間感染了USB設備中的惡意軟件。該軟件能夠遠程控制開關閘門、旋轉儀表表盤、大壩控制等重要操作,對電力設備及企業安全造成了極大的威脅。
(3)企業平臺信息安全風險: 應用層安全風險主要是指網絡給用戶提供服務所采用的應用軟件存在的漏洞所帶來的安全風險,包括: Web服務、郵件系統、數據庫軟件、域名系統、路由與交換系統、防火墻及網管系統、業務應用軟件以及其他網絡服務系統等;操作系統層的安全風險主要是指網絡運行的操作系統存在的漏洞帶來的安全風險,例如Windows NT、UNIX、Linux系列以及專用操作系統本身安全漏洞,主要包括訪問控制、身份認證、系統漏洞以及操作系統的安全配置等;網絡層安全風險主要指網絡層身份認證,網絡資源的訪問控制,數據傳輸的保密性與完整性、路由系統的安全、遠程接入、域名系統、入侵檢測的手段等網絡信息漏洞帶來的安全性。
4 企業大數據信息安全保障策略
針對大數據時代下企業可能存在的信息安全漏洞與風險,本文從企業的網絡邊界信息安全保障、應用終端信息安全保障、應用平臺信息安全保障、網絡安全信息安全保障、數據安全信息安全保障等多方面提出如下信息安全保障策略,形成具有層次特性的企業信息安全保障體系,提升大數據時代下的企業信息安全保障能力。
4.1企業系統終端——信息安全保障策略
對企業計算機終端進行分類,依照國家信息安全等級保護的要求實行分級管理,根據確定的等級要求采取相應的安全保障策略。企業擁有多種類型終端設備,對于不同終端,根據具體終端的類型、通信方式以及應用環境等選擇適宜的保障策略。確保移動終端的接入安全,移動作業類終端嚴格執行企業制定的辦公終端嚴禁“內外網機混用”原則,移動終端接入內網需采用軟硬件相結合的加密方式接入。配子站終端需配置安全模塊,對主站系統的參數設置指令和控制命令采取數據完整性驗證和安全鑒別措施,以防范惡意操作電氣設備,冒充主站對子站終端進行攻擊。
4.2企業網絡邊界——信息安全保障策略
企業網絡具有分區分層的特點,使邊界不受外部的攻擊,防止惡意的內部人員跨越邊界對外實施攻擊,在不同區的網絡邊界加強安全防護策略,或外部人員通過開放接口、隱蔽通道進入內部網絡。在管理信息內部,審核不同業務安全等級與網絡密級,在網絡邊界進行相應的隔離保護。按照業務網絡的安全等級、實時性需求以及用途等評價指標,采用防火墻隔離技術、協議隔離技術、物理隔離技術等[4]對關鍵核心業務網絡進行安全隔離,實現內部網與外部網訪問資源限制。
4.3企業網絡安全——信息安全保障策略
網絡是企業正常運轉的重要保障,是連接物理設備、應用平臺與數據的基礎環境。生產企業主要采用公共網絡和專用網絡相結合的網絡結構,專用網絡支撐企業的生產管理、設備管理、調度管理、資源管理等核心業務,不同業務使用的專用網絡享有不同安全等級與密級,需要采取不同的保障策略。網絡彈性是指基礎網絡在遇到突發事件時繼續運行與快速恢復的能力。采用先進的網絡防護技術,建立基礎網一體化感知、響應、檢測、恢復與溯源機制,采取網絡虛擬化、硬件冗余、疊加等方法提高企業網絡彈性與安全性;對網絡基礎服務、網絡業務、信息流、網絡設備等基礎網絡環境采用監控審計、安全加固、訪問控制、身份鑒別、備份恢復、入侵檢測、資源控制等措施增強網絡環境安全防護;在企業網絡中,重要信息數據需要安全通信。針對信息數字資源的安全交換需求,構建企業的業務虛擬專用網。在已有基礎網絡中采用訪問控制、用戶認證、信息加密等相關技術,防止企業敏感數據被竊取,采取建立數據加密虛擬網絡隧道進行信息傳輸安全通信機制。
4.4企業應用系統平臺——信息安全保障策略
應用系統平臺安全直接關系到企業各業務應用的穩定運行,對應用平臺進行信息安全保障,可以有效避免企業業務被阻斷、擾亂、欺騙等破壞行為,本文建議給每個應用平臺建立相應的日志系統,可以對用戶的操作記錄、訪問記錄等信息進行歸檔存儲,為安全事件分析提供取證與溯源數據,防范內部人員進行異常操作。企業應用平臺的用戶類型多樣,不同的應用主體享有不同的功能與應用權限,考慮到系統的靈活性與安全性,采用基于屬性權限訪問控制[5]、基于動態和控制中心訪問權限控制[6]、基于域訪問權限控制[7]、基于角色訪問控制等訪問控制技術;確保企業應用平臺系統安全可靠,在應用平臺上線前,應邀請第三方權威機構對其進行信息安全測評,即對應用平臺系統進行全面、系統的安全漏洞分析與風險評估[8],并制定相應的信息安全保障策略。
4.5企業大數據安全——信息保障策略
大數據時代下,大數據是企業的核心資源。企業客戶數據可能不僅包含個人的隱私信息,而且還包括個人、家庭的消費行為信息,如果針對客戶大數據不妥善處理,會對用戶造成極大的危害,進而失信于客戶。目前感知大數據(數據追蹤溯源)、應用大數據(大數據的隱私保護[9]與開放)、管控大數據(數據訪問安全、數據存儲安全)等問題,仍然制約與困擾著大數據的發展。大數據主要采用分布式文件系統技術在云端存儲,在對云存儲環境進行安全防護的前提下,對關鍵核心數據進行冗余備份,強化數據存儲安全,提高企業大數據安全存儲能力。為了保護企業數據的隱私安全、提高企業大數據的安全性的同時提升企業的可信度,可采用數據分享、分析、時進行匿名保護已經隱私數據存儲加密保護措施來加強企業數據的隱私安全,對大數據用戶進行分類與角色劃分,嚴格控制、明確各角色數據訪問權限,規范各級用戶的訪問行為,確保不同等級密級數據的讀、寫操作,有效抵制外部惡意行為,有效管理云存儲環境下的企業大數據安全。
5 結束語
隨著信息技術的快速革新,數據正以驚人的速度積累,大數據時代已經來臨了;智能終端和數據傳感器成為大數據時代的數據主要來源。大數據在推動企業不斷向前發展給企業提供了更多機遇的同時,也給企業的應用創新與轉型發展帶來了新的信息安全威脅、信息安全漏洞以及信息安全風險。傳統的信息安全保障策略已經無法滿足大數據時代的信息安全保障需求。怎樣做好企業大數據信息安全保障、加強信息安全防護、建設相關法律法規將是大數據時代長期研究的問題。
解決信息系統安全要有以下幾點認識:要解決信息系統要有統籌全局的觀念。解決信息系統的安全問題要樹立系統觀念,不能光靠一個面。從系統的角度分析信息系統是由用戶和計算機系統兩者組成,這包括人和技術兩點因素。使用和維護計算機安全信息系統可以根據信息系統具有動態性和變化性等特點進行調整。信息系統是一項長期屬于相對安全的工作,必須制訂長銷機制,絕不能以逸待勞。企業信息系統安全可以采取的策略是采用一套先進、科學及適用的安全技術系統,在對系統進行監控和防護,及時適當的分析信息系統的安全因素,使這套系統具有靈敏性和迅速性等響應機制,配合智能型動態調整功能體系。需要緊記的是系統安全來自于風險評估、安全策略、自我防御、實時監測、恢復數據、動態調整七個方面。其中,通過風險評估可以找出影響信息系統安全存在的技術和管理等因素產生的問題。在經過分析對即將產生問題的信息系統進行報告。
安全策略體現著系統安全的總體規劃指導具體措施的進行。是保障整個安全體系運行的核心。防御體系根據系統中出現的問題采用相關的技術防護措施,解決各種安全威脅和安全漏洞是保障安全體系的重心。并且通過監測系統實時檢測運行各種情況。在安全防護機制下及時發現并且制止各種對系統攻擊的可能性,假設安全防護機制失效必須進行應急處理,立刻實現數據恢復。盡量縮小計算機系統被攻擊破壞的程度。可以采取自主備份,數據恢復,確保恢復,快速恢復等手段。并且分析和審理安全數據,適時跟蹤,排查系統有可能出現的違歸行為,檢查企業信息系統的安全保障體系是否超出違反規定。
通過改善系統性能引入一套先進的動態調整智能反饋機制,可以促進系統自動產生安全保護,取得良好的安全防護效果。可以對一臺安全體系模型進行分析,在管理方面,對安全策略和風險評估進行測評,在技術層面,實時監測和數據恢復形成一套防御體系。在制度方面,結合安全跟蹤進行系統排查工作。系統還應具備一套完整的完整的動態自主調整的反饋機制,促進該體系模型更好的與系統動態性能結合。
信息安全管理在風險評估和安全策略中均有體現,將這些管理因素應用與安全保障體系保護信息安全系統十分重要。企業必須設立專門的信息系統安全管理部門,保障企業信息系統的安全。由企業主要領導帶頭,組織信息安全領導小組,專門負責企業的信息安全實行總體規劃及管理。在設立信息主管部門實施具體的管理步驟。企業應該制訂關于保證信息系統安全管理的標準。標準中應該明確規定信息系統中各類用戶的職責和權限、必須嚴格遵守操作系統過程中的規范、信息安全事件的報告和處理流程、對保密信息進行嚴格存儲、系統的帳號及密碼管理、數據庫中信息管理、中心機房設備維護、檢查與評估信息安全工作等等信息安全的相關標準。而且在實際運用過程中不斷地總結及完善信息系統安全管理的標準。
相關部門應該積極開展信息風險評估工作。通過維護信息網的網絡基礎設施有拓撲、網絡設備和安全設備,對系統安全定期的進行評估工作,主動發現系統存在的安全問題。主要針對企業支撐的信息網和應用IT系統資產進行全方位檢查,對管理存在的弱點進行技術識別。對于企業的信息安全現狀進行全面的評估,可以制作一張風險視圖表現企業全面存在的問題。為安全建設提供指導方向和參考價值。為企業信息安全建設打下堅實的基礎。
最后,加強信息系統的運行管理。可以通過以下措施進行:規范系統電子臺帳、設備的軟件及硬件配置管理、建立完善的設備以及相關的技術文檔。系統日常各項工作進行閉環管理,系統安裝、設備運營管理等。還要對用戶工作進行規范管理,分配足夠的資源和應用權限。防御體系、實時檢測和數據恢復三方面都體現了技術因素,信息安全管理系統技術應用于安全保障體系中。在建設和維護信息安全保障體系過程中,需要多方面,多角度的進行綜合考慮。采用分步實施,逐步實現的手法。在信息安全方面采取必要的技術手段,加強系統采取冗余的配置,提高系統的安全性。
對中心數據庫系統、核心交換機、數據中心的存儲系統、關鍵應用系統服務器等。為了避免重要系統的單點故障可以采取雙機甚至群集的配置。另外,加強對網絡系統的管理。企業信息系統安全的核心內容之一是網絡系統。同樣也是影響系統安全因素最多的環節。網絡系統的不安全給系統安全帶來風險。接下來重點談網絡安全方面需要采取的技術手段。網絡安全的最基礎工作,是加強網絡的接入管理。
與公用網絡系統存在區別的是,企業在網絡系統中有專門的網絡,系統只準許規定的用戶接入,因此必須實現管理接入。在實際操作過程中,可以采取邊緣認證的方式。筆者在實際工作經驗總結出公司的網絡系統是通過對網絡系統進行改造實現支持802.1X或MAC地址兩種安全認證的方式。不斷實現企業內網絡系統的安全接入管理。網絡端口接入網絡系統時所有的工作站設備必須經過安全認證,從而保證只有登記的、授權記錄在冊的設備才能介入企業的網絡系統,從而保證系統安全。根據物理分布可以利用VLAN技術及使用情況劃分系統子網。這樣的劃分有以下益處:首先,隔離了網絡廣播流量,整個系統避免被人為或者系統故障引起的網絡風暴。其次是提高系統的管理性。通過劃分子網可以實現對不同子網采取不同安全策略,可以將故障縮小到最低范圍。根據一些應用的需要實現某些應用系統中的相對隔離。
關鍵詞:信息安全;影響因素;管理措施
中圖分類號:TP393.08
信息技術的飛速發展在給社會經濟帶來巨大便利性的同時,也帶來了巨大的風險,信息的安全已成為國際社會經濟發展亟待解決的問題。現代企業在日常業務運營、行政管理、檔案管理、數據交換等方面都離不開信息網絡技術,然而,部分企業對自身信息安全的不重視以及在管理機制上的欠缺,致使社會重大信息安全事故頻發,給社會與企業帶來了不可估量的損失及危害。當然,企業的信息安全是一項艱巨的工作,它涉及到企業組織結構的各個方面,是一項系統的工程,無論是網絡技術還是管理組織體系,或者企業信息硬件設備,都會影響到企業信息的安全,要保障企業信息的安全,就必須從信息技術安全以及信息管理制度兩大方面入手,不斷完善信息保密措施,如此,方可有效控制企業信息泄露。
1 企業信息安全風險的現狀
企業在信息化建設的過程中,對信息安全的理解與重視并不相同,部分企業的對自身信息安全的防護級別較低,難以有效抵御外部信息竊取以及內部泄密。當前,我國企業在信息安全建設中主要存在如下三個問題:
1.1 企業信息安全管理機制不健全。信息安全是一個全新的領域,在過去,企業管理者對于自身信息的安全并沒有高度重視,而在現代社會中,企業之間的競爭越來越激烈,任何有價值的信息泄露都可能會造成企業的重大損失,甚至破產倒閉,這也使得企業管理者不得不重視信息安全問題。然而,在社會法律法規、技術監管、安全標準等方面還存在諸多的不完善之處,同時,由于企業信息管理是一個不斷發展的動態過程,企業的網絡安全軟硬件技術、管理人員的保密意識以及對商業間諜的防范措施等都會影響到企業的信息安全。從總體上來講,信息安全管理機制的缺失是企業信息安全面臨的最大問題。
1.2 企業信息安全技術不足。信息安全是當前社會共同面臨的重大問題,企業的信息系統構建離不開計算機系統以及網絡系統的支持,而通過網絡傳播的數據將面臨極大的技術風險。現代信息安全技術是以密碼技術、病毒技術、數據恢復技術、操作系統維護技術、數據庫技術以及網絡技術等所組成的系統技術。而由于企業對相關技術的認識和技術管理人才培養的局限性,導致在計算機信息應用過程中難免會出現一些漏洞缺陷。另外,在面對外部信息竊取攻擊行為時,部分安全技術管理人員防范能力較弱,不能從根本上抵御黑客的攻擊,這就導致企業的信息安全完面臨嚴重的泄密危險。
1.3 企業員工缺乏安全管理的責任心和防范意識。企業的信息安全并不只是管理人員的責任,而是全體員工共同的責任,不過在企業信息安全建設過程中,往往忽略了企業員工環節,導致信息安全建設難以達到預期的目的。目前,企業信息安全事件最突出的便是信息泄密,其主要表現為員工的無意泄密、故意泄密以及離職后信息資源的自我利用,可以說,企業內部的信息安全風險遠遠大于外部風險。然而,針對內部信息安全問題,企業卻并無一個全面、系統、有效的保障體系,尤其是在員工責任心建設以及信息安全防范意識建設方面,一直是企業信息安全體系建設的弱點所在。
2 影響企業信息安全的主要因素分析
企業的信息安全一直是現代企業管理中的難點,尤其是通信類企業以及嚴重依賴網絡的電子商務類企業,其在信息安全環節的投入往往最大,但仍然是面臨風險最大的環節。根據美國FBI以及CSI對其國內部分企業的調查顯示,信息安全內部威脅占85%,外部入侵占15%,專利信息被竊取占14%,內部人員的財務欺騙占12%,資料或網絡數據的破壞占11%。由此可見,企業內部信息安全已成為企業信息安全管理的重中之重,其泄密的途徑主要包括互聯網泄密,如電子郵件、即時通訊工具、網頁空間、ftp、病毒黑客攻擊等方式;局域網絡泄密,包括內網與外網的連通、私人電腦與內部電腦的連接等;終端設備的泄密等等。企業信息安全是企業穩定與發展的基礎,但是,企業信息安全形勢卻不容樂觀,在現實中,影響企業信息安全的因素較多,其主要包括如下幾種:
2.1 實體環境安全因素。(1)信息技術承載硬件安全。信息網絡技術的硬件設備是支撐企業信息安全建設的基礎,包括硬盤設備、內存設備、I/O控制器、電源等。(2)機房環境安全。機房是企業信息網絡的管理中樞,其環境的好壞將直接影響企業信息的安全。一般來說,機房管理必須要專人專管,對于出入人員應該有記錄,并且,機房應具有防火、防水、防靜電、防鼠害、防雷擊等設施,還要安裝空調設備,以確保機房運行溫度和濕度的穩定。(3)傳輸線路安全。網絡線路以及電纜線路在傳輸過程中都具有一定的輻射性,其對信息具有一定的干擾,我們在安裝時要采用屏蔽布線或者光纜傳輸,并采取技術手段,阻止線路對信息的干擾,以確保傳輸線路的安全。
2.2 內部環境因素。影響企業信息安全的內部因素主要包括:(1)軟件因素。軟件是企業信息化建設的重要工具,但同時也是信息安全風險較大的環節,它包括系統軟件和應用軟件。系統軟件的是信息系統的運行平臺,其本身就存在漏洞,若系統軟件遭到攻擊,將極可能導致信息的損壞或者泄密。而應用軟件在設計過程中的不周全以及對數據校驗的不完善,都將威脅到企業的信息安全。(2)人為因素。企業內部人的因素是影響信息安全的最大部分,員工對數據的操作或者對相關威脅處理的不合理、不及時都會直接影響信息的可靠性。(3)網絡因素。企業的一切信息交換幾乎都是通過網絡來實現的,包括外部網絡和局域網,而由于網絡故障所導致的信息丟失情況比比皆是,另外,網絡中一些非授權訪問行為也容易造成敏感數據的泄密或者丟失。(4)硬件因素。硬件主要是指存儲設備以及電源、顯示設備、網絡設備等,其中儲存硬件設備對企業信息安全影響最大,我們在硬件儲存設備的管理中要注重防霉變、防輻射、防雷擊等等,及時做好數據備份和數據恢復。
2.3 外部環境因素。現代企業信息安全不僅面臨著內部安全風險,還遭受著嚴重的外部隱患,其主要包括病毒風險、黑客攻擊風險以及意外事故,如火災、爆炸、水災等,其對企業的信息安全影響甚大。
3 加強企業信息安全防范的措施
面對著如此眾多的信息安全隱患,企業的信息安全管理形勢十分嚴峻,要想真正做好信息的安全管理,保障信息安全,那么企業必須系統地進行改革,從根本上阻止信息的泄漏。
3.1 建立健全信息安全管理制度。企業必須根據內部信息的安全級別,建立一套適合其技術規范的管理標準,尤其注重在人員組織結構以及培訓,要建立完善的信息安全管理制度規范,并嚴格執行。
3.2 采取新型網絡安全技術,及時更新軟硬件系統。企業要對內部計算機及服務器系統進行及時更新換代,尤其是其軟硬件系統,要做好防病毒措施,并及時做好數據備份,加強網絡密碼建設以及入侵檢測技術建設,為信息安全上一把“鎖”。
3.3 加強內部信息的監管,對非授權訪問以及敏感接入進行嚴格的控制。企業必須加強對內部數據的有效監管,在與外界進行數據交換過程中,有必要對敏感數據或者有威脅的行為進行干預、阻止、監控等措施,控制非法接入與攻擊行為。
3.4 定期巡查與評估,不斷改善和調整安全防護策略。企業的信息安全管理是一個動態的過程,我們的信息安全防范也必須做好及時的評估和調整,對計算機硬件設備、機房環境等定期進行巡查,發現并及時解決潛在的安全威脅,并根據最新的信息安全形勢來調整防護策略,未雨綢繆,做好信息安全的預防工作。
參考文獻:
[1]羅慶云,趙巾幗.企業網信息安全的探討[J].網絡安全技術與應用,2005.
[2]姜樺,郭永利.企業信息安全策略研究[J].焦作大學學報,2009.
去年驚曝,德國總理默克爾的電話遭美國安全部門竊聽,時間竟長達7年之久。今年10月,蘋果iCloud又被黑客攻擊,美國好萊塢女星私密照片遭大量泄露。信息安全問題,已經成為大到國家安全,小到個人隱私,未來必將裹挾所有人的沉重命題。
那么,對企業來說,你的信息安全狀態又如何呢?我國專業從事國家信息安全及多領域高科技研發的安信中保網絡科技有限公司,給出的答案是:絕大多數中國企業的信息安全都處于城門洞開的危險狀態!
對此,《中外管理》獨家專訪了安信中保公司戰略部副部長、亞洲反恐專家康益銘。
絕大多數中企沒有信息安全措施!
《中外管理》:一方面,中國的網民數量已經達到世界第一;另一方面,對于斯諾登事件、好萊塢秘照事件,大眾又多是看熱鬧心態。那么以您的觀察,中國網絡信息安全的現狀如何?
康益銘:在全球范圍內,中國是網絡攻擊的主要受害國。
我們每年有3000多個政府網站受到海外黑客攻擊。僅在今年2月份,中國境內就有70萬臺電腦受到病毒侵害。
在企業層面,可以這樣說,我國絕大多數企業,還沒有真正意義上的信息安全管控措施,對外是完全暴露的。從國家安全和企業安全的角度講,都必須建立起完全自主、安全可控的IT系統,把信息安全技術完全掌握在自己手中。
《中外管理》:當前國家對信息安全問題持有何種態度,采取了哪些措施?
康益銘:進入全球一體化的進程當中后,信息安全工作是第一位的。以前,中央主抓各個相關部門、部委對信息和情報的管理,對企事業單位和普通百姓的信息安全問題有一定的疏忽。但今年年初,中央網絡安全和信息化領導小組成立,親自擔任負責人,表明企業和個人信息安全問題已被提上日程。而之后我們將把信息安全的意識普及到每個公民的腦海里,包括廣大農村。
比如:國家開始對公共場所的WiFi實施管控,讓它更加合法化、合理化,以保障公民信息安全。在這幾塊領域中,安信中保都掌控著核心技術。
從企業來講,如今國內很多企業仍在使用境外的信息化設備,這非常不安全。國家已經意識到并開始重新整理、梳理這方面的系統,鼓勵自主品牌的信息化產品、設備系統的研發和生產。未來,我們會共同打造一個中國式的安全信息化產業鏈。
《中外管理》:在實現國產自主化的過程中,民營企業和國有企業能否平等的參與進來?
康益銘:國企或者民企,首先要看它的資質。即使是央企,沒有資質,也邁不進這個門檻,因為這關乎到國家安全。我國會整體建立起大數據系統,這是一個整體鏈條的組織框架。在這個框架中,每個大型信息化企業集團,都承擔著一定的歷史責任。當然,我國要現實全面自主的信息化集成管控局面,還需要幾年。但是好在國家相關政策、整體資源的匹配都趨于合理化,效率逐年提高,其發展速度已超乎我們以往的想象。
移動辦公:“安全手機”市場混亂而廣闊
《中外管理》:如今手機不僅僅用來日常溝通,越來越多的企業通過手機進行移動辦公。當手機里原先的私人信息逐漸變成企業信息時,圍繞手機的信息安全問題,就理應受到更多管理者的重視。您如何看待手機信息安全市場的現狀?
康益銘:目前,很多企業都聲稱自己可以生產安全手機,但實情并非如此。目前安全手機在國內市場上初步呈現出混亂局面。安全手機最重要的一點是具備獨立的系統。很多企業宣傳自己是高度安全的高端智能機,這種說法自相矛盾。目前,真正的安全手機,實際上都是功能最簡單的手機,其系統相對獨立,均為自主研發。而大多數手機生產制造企業,并不具備資質與開發能力,因此基本都是不安全的。
《中外管理》:您認為安全手機的市場應該分布在哪些人群中?哪些人對安全手機的需求比較大?
康益銘:對手機制造企業來講,這個市場確實很大。黨政軍的公務人員,其信息安全是必須要有保障的,手機終端是最重要的媒介,給他們配備安全手機很有必要。很多特殊人群,例如:新聞媒體記者,搞外事活動的工作人員,包括企業集團的主要負責人,他們也都需要安全手機,從而使關鍵信息不被輕而易舉地破解。
《中外管理》:看來手機安保市場可能會迅速崛起。這意味著之后一段時間,市場內外的各個力量都會進來。對打算進入這個市場的企業,您有沒有一些建議?
康益銘:最重要的是看企業是否掌握了信息安全的核心技術。如果掌握了核心技術,要么就是合作共同發展,要么自己獨立創造新的產品。當然核心技術不僅在于某種軟件上,更是若干個核心組成的產品。如果企業掌控了很多核心技術的話,完全可以獨立開發。如果企業只掌握某種核心部件,就可以找其他單位合作,共同發展。但如果單純覺得市場好,自認為具備實力,而沒有核心技術,就是盲目的。
“云”的未來:最終會“合成一片”
《中外管理》:隨著移動互聯網時代的到來,大數據和云計算越來越受到人們的關注,很多企業開始做私有云。在您看來,各種云的出現和國家所做的信息安全工程之間是什么關系?
康益銘:這些若干片云,其中一部分是國家委托的課題,另一部分是企事業集團根據自身發展需求而成立的云。但是,按照國家相關指導性文件,這些云最終會形成一片云。這一片云就能撐起藍天,達到最終的信息資源的一體化、共享化、實效化。因為只有實現互通才能算得上真正的信息化。
《中外管理》:但當這些云合成一片的時候,各個云之間越是互通,信息安全問題反而會越突出,您怎么看這種矛盾?
康益銘:當然,互通會增加信息泄露的風險,但同時我們還會采取一些信息安全管控措施。即在云與云之間,重新建立起一朵新的云,即云與云之間的“防火墻”,類似于“防火云”的概念。我們安信中保就負責做這朵“防火云”,讓這些云在安全有序的環境中運行,產生最大的效益。
被“大數據”挑戰的商業倫理與法制
《中外管理》:如今,可穿戴設備已經成為潮流,這個潮流會催生更大量的數據。很多企業也都在積極進入這個領域。我們如何保證既能滿足商業的開發需求,又能夠避免信息安全狀況混亂的場面?
康益銘:隨著可穿戴設備的普及,信息泄露會成為常態。成為常態的同時,國家應該有一個態度和認識,出臺相應的法規法律去約束它。就制造企業來說,也應該為終端用戶負起責任。不能在一味追求利益的情況下,讓你的客戶信息輕易被泄露,這也是一個生產企業所應承擔的社會責任。
《中外管理》:市面上出現了一些廣告,聲稱可以依靠大數據或其他信息攔截技術,幫助獲取和分析他人手機上的信息及背后的行為,您怎么看待這種商業行為?
康益銘:信息安全能不能跟得上商業模式、技術發展的速度,這在倫理上都會面臨很大的考驗。你說的此類分析系統與軟件,在市面上已經上線不少,但在法律上的界定比較微妙。從被分析方的角度來看,這種行為肯定是侵害了個人權益。如果是通過正常的接觸,交往,通過對方的言行來分析判斷這個人,在法律上就不能算是違法,只能算是個人行為。但如果通過其他非法手段,采集到相關信息,最后綜合整理去分析判斷這個人,在法律上就被視為是非法行為。
慎對外資:寧愿不發展,也不留隱患
《中外管理》:像阿里巴巴這種在美國上市的企業,可能股權關系比較復雜。在我們的體系里,安信中保跟阿里巴巴會是一種什么關系?是合作還是相互屏蔽?
康益銘:不管企業多大,如果屬于外資成分,安信中保的發展宗旨是:永遠不會借助外資。因為我們承載的是國家信息安全。如果有外資,這本身就意味著不安全。所以即使不發展,也不允許有不安全的因素存在。這個問題,需要從國家安全角度出發來考慮。任何一個企業,即使是境內企業,如果對國家和民族安全產生不利因素,我們肯定會采取不合作、屏蔽的方式。
但如果企業為國家發展做出了貢獻,不管是獨資、外資,我們也愿意合作,共同發展,服務于全人類。
關鍵詞:分布式;信息安全;規劃;方案
中圖分類號:TP309.2文獻標識碼:A 文章編號:1009-3044(2008)36-2848-03
An Information Security Program for a Distributed Enterprise
GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.
Key words: distributed; information security; planning; program
1 引言
據來自eWeek 的消息,市場研究機構Gartner 研究報告稱,很對企業目前仍缺乏完整的信息安全規劃和規范。盡管目前很多企業在信息安全方面的投入每年都在緩慢增長,但由于推動力以外部法律法規的約束和商業業務的壓力為主,因此他們對安全技術和服務的選擇和使用仍停留在一個相對較低的水平。尤其對于機構構成方式為分布式的企業而言,因為信息安全需求和部署相對更加復雜,投入更多,因此這類企業的信息安全規劃就更加缺乏。
本文根據這類分布式企業的特點提出了一種符合該類企業實際的信息安全規劃方案。
2 總體規劃原則和目標
2.1 總體規劃原則
對于分布式企業的信息安全規劃,要遵守如下原則:適度集中,控制風險;突出重點,分級保護;統籌安排,分步實施;分級管理,責任到崗;資源優化,注重效益。
這個原則的制定主要是根據分布式企業的實際機構構成情況、人員素質情況以及資源配置情況來制定的。
2.2 總體規劃目標
信息系統安全規劃的方法可以不同、側重點可以不同,但是需要圍繞組織安全、管理安全、技術安全進行全面的考慮。信息系統安全規劃的最終效果應該體現在對信息系統與信息資源的安全保護上,下面將分別對組織規劃、管理規劃和技術規劃分別進行闡述。信息安全規劃依托企業信息化戰略規劃,對信息化戰略的實施起到保駕護航的作用。信息系統安全規劃的目標應該與企業信息化的目標是一致的,而且應該比企業信息化的目標更具體明確、更貼近安全。信息系統安全規劃的一切論述都要圍繞著這個目標展開和部署。
3 信息安全組織規劃
3.1 組織規劃目標
組織建設是信息安全建設的基本保證,信息安全組織的目標是:
1)完善和形成一個獨立的、完整的、動態的、開放的信息安全組織架構,達到國際國內標準的要求;
2)打造一支具有專業水準的、過硬本領的信息安全隊伍。對內可以保障企業內部網安全,對外可以向社會提供高品質的安全服務;
3)建設一個 “信息安全運維中心(SOC)”,能夠滿足當前和未來的業務發展及信息安全組織運轉的支撐系統,能夠對外提供安全服務平臺。
3.2 組織規劃實施
對于組織規劃這個方面,是屬于一個企業信息安全規劃的上層建筑,需要用一種由上而下的方法來實現,其主要是在具體人事機制、管理機制和培訓機制上做工作。對于分布式企業而言,需要主導部門從上層著手,建章立制,強化安全教育,加大基礎人力、財力和物力的投入。
4 信息安全管理規劃
4.1 管理規劃目標
信息安全管理規劃的目標是,完善和形成“七套信息安全軟措施”,具體包括:一套等級劃分指標,一套信息安全策略,一套信息安全制度,一套信息安全流程規范,一套信息安全教育培訓體系,一套信息安全風險監管機制,一套信息安全績效考核指標。“七套信息安全軟措施”關系如圖1所示。
4.2 信息安全管理設計
基于對管理目標的分析,信息安全管理的原則以風險管理為主,集中安全控制。管理要素由管理對象、安全威脅、脆弱性、風險、保護措施組成。
4.2.1 信息安全等級劃分指標
信息安全等級保護是國家在國民經濟和社會信息化的發展過程中,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化健康發展的基本策略。
4.2.2 信息安全策略
信息安全安全策略是關于保護對象說明、保護必要性描述、保護責任人、保護對策以及意外處理方法的總和。
4.2.3 信息安全制度
信息安全制度是指為信息資產的安全而制定的行為約束規則。
4.2.4 信息安全規范
信息安全規范是關于信息安全工作應達到的要求,在信息安全規范方面,根據調查,建立信息安全管理規范、信息安全技術規范。其中,安全管理規范主要針對人員、團隊、制度和資源管理提供參照性準則;信息安全技術規范主要針對安全設計、施工、維護和操作提供技術性指導建議。
4.2.5 信息安全管理流程
信息安全流程是指工作中應遵循的信息安全程序,其目的是減少安全隱患,降低風險。
4.2.6 信息安全績效考核指標
信息安全績效考核指標是指針對信息安全工作的質量和態度而給出的評價依據,其目的是增強信息安全責任意識,提高信息安全工作質量。
4.2.7 信息安全監管機制
信息安全監管機制是指有關信息安全風險的識別、分析和控制的措施總和。其主要目的加強信息安全風險的控制,做到“安全第一,預防為主”。
4.2.8 信息安全教育培訓體系
其主要目的加強的信息安全人才隊伍的建設,提高企業人員的信息安全意識和技能,增強企業信息安全能力。
5 信息安全技術規劃
5.1 技術規劃目標
信息安全技術規劃目標簡言之是:給業務運營提供信息安全環境,為企業轉型提供契機,構建信息安全服務支撐系統。具體目標如下:
1)打造信息安全基礎環境,調整和優化IT基礎設施,建立安全專網,設置兩個中心(信息安全運維中心、災備中心);
2)建立一體化信息安全平臺,綜合集成安全決策調度、安全巡檢、認證授權、安全防護、安全監控、安全審計、應急響應、安全服務、安全測試、安全培訓等功能,實現的集中安全管理控制,快速安全事件響應,高可信的安全防護,拓展企業業務,開辟信息安全服務新領域。
5.2 信息安全運維中心(SOC)
SOC 是信息安全體系建設的基礎性工作,SOC 承載用于監控第一生產網的安全專網核心基礎設施,提供信息安全中心技術人員的辦公場所,提供“7×24”小時連續不斷的安全應用服務,提供實時監控、遠程入侵發現、事件響應、安全更新與升級等業務,SOC 要求具有充分保障自身的安全措施。除了SOC 的組織建設、基礎工程外,SOC 的技術性工作還要做以下幾個方面:
1)硬件基礎建設,主要內容是SOC 的選址、布局、布線、系統集成,實現SOC 自身的防火、防潮、防電、防塵、安全監控功能;
2)軟件基礎建設,包括SSS 系統、機房監控子系統、功能小組及中心組劃分。
圖1 信息安全軟措施關系
圖2 信息安全總體框架
圖3 資產、組織、管理和安全措施的關系
5.3 信息安全綜合測試環境
隨著分布式企業信息化程度的日也加深,需要部署到大量IT 產品和應用系統,為了保障安全,必須對這些IT 系統和產品做入網前安全檢查,消除安全隱患。基于此,綜合測試環境建設的內容包括:安全測試網絡;測試系統設備;安全測試工具;安全測試分析系統;安全測試知識庫。
其中,安全測試網絡要求能夠模擬企業網絡真實的帶寬;測試系統設備能夠提供典型的網絡服務流量模擬、典型的應用系統流量模擬;安全測試工具覆蓋防范類、檢測類、評估類、應急恢復類、管理類等,并提供使用說明、漏洞掃描、應用安全分析;安全測試分析系統能夠提供統計分析、圖表展現功能;安全知識庫包含以下內容:漏洞知識庫,補丁信息庫,安全標準知識庫,威脅場景視頻庫,攻擊特征知識庫,信息安全解決案例庫,安全產品知識庫,安全概念和術語知識庫。
5.4 安全平臺建設規劃
參照國際上PDRR 模型和國家信息安全方面規范,建議信息安全總體框架設計如圖2所示。
主要目的,以資產為核心,通過安全組織實現資產保護,以安全管理來約束組織的行為,以技術手段輔助安全管理。其中,資產、組織、管理、安全措施的關系如圖3所示,核心為資產,圍繞資產是組織,組織是管理,最外層是安全措施。
在平臺中集成十個安全機制,它們分別是:信息安全集中管理;信息安全巡檢;信息安全認證授權;信息安全防護;信息安全監控;信息安全測試;信息安全審核;信息安全應急響應;信息安全教育培訓;信息安全服務。
6 信息安全服務業務規劃
6.1 服務業務規劃目標
信息安全服務業務規劃目標簡言之是:以信息安全服務為切入點,充分發揮企業優勢資源,引領信息安全市場,為企業轉型創造時機。具體目標如下:
1)推出面向客戶安全(檢查、教育、配置)產品;2)推出面向大型企業的信息安全咨詢產品;3)推出面向家庭安全上網產品;4)推出面向企業安全運維產品;5)推出面向企業災害恢復產品。
6.2 服務業務規劃設計
服務業務規劃主要針對具體業務而言,在此列舉信息類分布式企業業務作為示例:
1)信息安全咨詢類產品,其服務功能主要有:信息安全風險評估;信息安全規劃設計;信息安全產品顧問。
2)信息安全教育培訓類產品,其服務功能主要有:提供信息安全操作環境;提供信息安全知識教育;提供信息安全運維教育。
3)家庭類安全服務產品,其服務功能主要有:推出“家庭綠色上網”安全服務;家庭上網防病毒服務;家庭上網機器安全檢查服務;家庭上網機數據備份服務。
4)企業類安全服務產品,其服務功能主要有:企業安全上網控制服務;企業安全專網服務;安全信息通告;企業運維服務。
5)容災類安全服務產品,其服務功能主要有:面向政府數據災備服務;面向政府信息系統災備服務;面向企業數據災備服務;面向企業信息系統災備服務。
7 結束語
通過結合分布式企業的具體實際,按照信息安全體系結構相關標準,提出了分布式企業的信息安全規劃原則和目標。并依據次原則與目標,按照組織、管理和技術三個方面提出了具體的實現與設計規范原則。最后,依據服務規劃目標,提出了信息類分布式企業的信息安全服務規劃設計實例。
參考文獻:
[1] 周曉梅. 論企業信息安全體系的建立[J]. 網絡安全技術與應用,2006,3:62~64,57.
[2] Harold F. Tipton,Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US:Auerbach Publications,2004.
[3] 魏永紅,李天智,張志. 網絡信息安全防御體系探討[J].河北省科學院學報,2006,23,(1):25~28.
[4] 張慶華. 信息網絡動態安全體系模型綜述[J].計算機應用研究,2002,10:5~7.
[5] ISO/IEC 15408,13335,15004,14598,信息技術安全評估的系列標準[S].
[6] BS7799-1,7799-2,ISO/IEC 17799,信息安全管理系列標準[S].
[7] BS7799-2,Information Security Management Systems-Specification With Guidance for use[S].
[8] 李瑋. 運營商IT系統網絡架構的安全域劃分[J]. 通信世界,2005,30:41~41,45~45.
