序論:在您撰寫信息安全管理時(shí),參考他人的優(yōu)秀作品可以開闊視野���,小編為您整理的7篇范文���,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導(dǎo)您走向新的創(chuàng)作高度��。
第1篇
【關(guān)鍵詞】 信息安全 違規(guī)外聯(lián) 電力企業(yè)
一�����、前言
國網(wǎng)公司現(xiàn)已建成覆蓋至基層生產(chǎn)班站及營業(yè)站所的信息內(nèi)網(wǎng)�����。隨著SG186工程的全面投入運(yùn)行���,從職能部室到一線班組����,電力企業(yè)所有的業(yè)務(wù)數(shù)據(jù)都依賴網(wǎng)絡(luò)進(jìn)行流轉(zhuǎn)����,電網(wǎng)企業(yè)生產(chǎn)和經(jīng)營對信息網(wǎng)絡(luò)和信息系統(tǒng)的依賴程度越來越高信息安全的重要性日益凸顯�。國網(wǎng)公司已將網(wǎng)絡(luò)與信息安全納入公司安全管理體系���。
一直以來����,信息安全防御理念常局限于常規(guī)的網(wǎng)關(guān)級別(防火墻等)�、網(wǎng)絡(luò)邊界(漏洞掃描、安全審計(jì))等方面的防御����,重要的安全設(shè)施大多集中于核心機(jī)房、網(wǎng)絡(luò)入口處���,在這些設(shè)備的嚴(yán)密監(jiān)控下���,來自網(wǎng)絡(luò)外部的安全威脅已大大減少��,尤其實(shí)行內(nèi)外網(wǎng)隔離�����、雙網(wǎng)雙機(jī)后,來自于互聯(lián)網(wǎng)的威脅微乎其微�����。而內(nèi)網(wǎng)辦公終端由于分布地點(diǎn)廣泛�,管控難度大,加之現(xiàn)在無線上網(wǎng)卡��、無線wifi和智能手機(jī)的興起����,內(nèi)網(wǎng)計(jì)算機(jī)接入互聯(lián)網(wǎng)的事件時(shí)有發(fā)生,一旦使用人員將內(nèi)網(wǎng)計(jì)算機(jī)通過以上方式接入互聯(lián)網(wǎng)����,即造成違規(guī)外聯(lián)事件。由于違規(guī)外聯(lián)開通了一條無任何保護(hù)措施進(jìn)出內(nèi)外網(wǎng)的通道����,一旦遭遇黑客襲擊,就可能造成信息泄露�、重要數(shù)據(jù)丟失、病毒入侵�、網(wǎng)絡(luò)癱瘓等信息安全事故,給企業(yè)信息安全帶來重大的安全隱患和風(fēng)險(xiǎn)���。
二��、強(qiáng)化管理��、落實(shí)責(zé)任����,監(jiān)培并進(jìn)
1、將違規(guī)外聯(lián)明確寫入公司各項(xiàng)規(guī)章制度����,并納入經(jīng)濟(jì)責(zé)任考核。在《公司信息系統(tǒng)安全管理辦法》中��,對杜絕違規(guī)外聯(lián)事件進(jìn)行了明確的要求:所有內(nèi)網(wǎng)計(jì)算機(jī)必須粘貼防止違規(guī)外聯(lián)提示卡��,嚴(yán)禁將接入過互聯(lián)網(wǎng)未經(jīng)處理的計(jì)算機(jī)接入內(nèi)網(wǎng)�����,嚴(yán)禁在普通計(jì)算機(jī)上安裝雙網(wǎng)卡���,嚴(yán)禁將智能設(shè)備(3G手機(jī)、無線網(wǎng)卡等)插入內(nèi)網(wǎng)計(jì)算機(jī)USB端口��,嚴(yán)禁在辦公區(qū)通過路由器連接外網(wǎng),杜絕違規(guī)外聯(lián)行為���。 一旦發(fā)生違規(guī)外聯(lián)事件�����,依據(jù)《企業(yè)信息化工作評級實(shí)施細(xì)則》��,按照“誰主管誰負(fù)責(zé)���、誰運(yùn)行誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則對事件責(zé)任人進(jìn)行嚴(yán)肅處理和經(jīng)濟(jì)考核�,并在全公司通報(bào)批評。將信息安全責(zé)任落實(shí)到人�。
2、加大違規(guī)外聯(lián)宣貫和培訓(xùn)力度���。信息安全工作��,重在預(yù)防��,將一切安全事件消滅在萌芽狀態(tài)���,才能確保信息系統(tǒng)安全穩(wěn)定運(yùn)行����。分層次組織開展公司在崗員工����,尤其是新員工的信息安全教育培訓(xùn)工作,即重點(diǎn)培訓(xùn)各部門信息化管理人員�����,各級管理人員培訓(xùn)本部門技術(shù)人員����,本部門技術(shù)人員培訓(xùn)一線員工。通過分層式培訓(xùn)�����,提高了培訓(xùn)效果���,同時(shí)各級管理人員�����、技術(shù)人員作為下級培訓(xùn)對象講師提高了自身素質(zhì)��,強(qiáng)化了信息安全關(guān)鍵點(diǎn)的作用����。確保違規(guī)外聯(lián)事件的嚴(yán)重性���、危害性和工作機(jī)理已宣貫至公司每一位員工�,實(shí)現(xiàn)全員重視��、全員掌握����,做到內(nèi)網(wǎng)計(jì)算機(jī)“離座就鎖屏,下班就關(guān)機(jī)”的工作習(xí)慣�。
3、加強(qiáng)外來工作人員管控��。加強(qiáng)外來工作人員信息安全教育�,并簽訂《第三方人員現(xiàn)場安全合同書》,嚴(yán)禁外來工作人員計(jì)算機(jī)接入公司內(nèi)外網(wǎng)��。對第三方人員工作過程全程監(jiān)控��,防止因外來工作人員擅自操作造成違規(guī)外聯(lián)事件�����。
二、加強(qiáng)技術(shù)管控�,從源頭杜絕安全事件的發(fā)生
2.1嚴(yán)格執(zhí)行“雙網(wǎng)雙機(jī)”
嚴(yán)禁在信息內(nèi)網(wǎng)和外網(wǎng)交叉使用計(jì)算機(jī)。對要求接入信息內(nèi)�、外網(wǎng)的計(jì)算機(jī),需向本人核實(shí)該計(jì)算機(jī)之前網(wǎng)絡(luò)接入情況���,對內(nèi)外網(wǎng)絡(luò)接入方式有變化�、或者是不清楚的情況�,需對計(jì)算機(jī)進(jìn)行硬盤格式化并重裝系統(tǒng)后方可接入網(wǎng)絡(luò)。
2.2安裝桌面終端���,設(shè)置強(qiáng)口令���,防止違規(guī)外聯(lián)
實(shí)時(shí)監(jiān)控全公司內(nèi)網(wǎng)終端桌面終端系統(tǒng)安裝率,確保所有內(nèi)網(wǎng)計(jì)算機(jī)桌面終端安裝率達(dá)100%��。設(shè)置桌面終端策略����,一旦發(fā)生違規(guī)外聯(lián),系統(tǒng)立即采取斷網(wǎng)措施,并對終端用戶進(jìn)行警示�。要求全部內(nèi)網(wǎng)計(jì)算機(jī)設(shè)置開機(jī)強(qiáng)口令(數(shù)字+字母+特殊符號(hào),且大于8位)�,防止非本人操作的違規(guī)外聯(lián)行為。通過桌面終端系統(tǒng)對內(nèi)網(wǎng)計(jì)算機(jī)開機(jī)強(qiáng)口令進(jìn)行實(shí)時(shí)監(jiān)控��。
2.3做好溫馨提示����,明確內(nèi)外網(wǎng)設(shè)備���,防止違規(guī)外聯(lián)
做到每一臺(tái)內(nèi)網(wǎng)計(jì)算機(jī)均粘貼信息安全提示標(biāo)簽提示員工切勿內(nèi)網(wǎng)計(jì)算機(jī)接入外網(wǎng)網(wǎng)絡(luò)��,無線網(wǎng)卡及智能手機(jī)切勿接入內(nèi)網(wǎng)�。內(nèi)外網(wǎng)網(wǎng)絡(luò)端口模塊��、網(wǎng)線端口都要有明顯標(biāo)識(shí)���,防止員工誤接網(wǎng)絡(luò)���。
2.4實(shí)行內(nèi)網(wǎng)計(jì)算機(jī)IP、MAC綁定和外網(wǎng)計(jì)算機(jī)IP�����、認(rèn)證賬號(hào)綁定
加強(qiáng)IP地址綁定,從交換機(jī)端口對接入內(nèi)網(wǎng)的計(jì)算機(jī)進(jìn)行IP�、MAC地址綁定,確保除本計(jì)算機(jī)外�,其余計(jì)算機(jī)無法通過該端口接入內(nèi)網(wǎng)。
通過外網(wǎng)審計(jì)(網(wǎng)康科技)對外網(wǎng)IP和用戶認(rèn)證賬戶進(jìn)行綁定����,完善外網(wǎng)用戶和計(jì)算機(jī)基礎(chǔ)資料,做到全局外網(wǎng)終端和用戶可控����。
第2篇
一、前言
國網(wǎng)公司現(xiàn)已建成覆蓋至基層生產(chǎn)班站及營業(yè)站所的信息內(nèi)網(wǎng)���。隨著SG186工程的全面投入運(yùn)行�����,從職能部室到一線班組��,電力企業(yè)所有的業(yè)務(wù)數(shù)據(jù)都依賴網(wǎng)絡(luò)進(jìn)行流轉(zhuǎn)���,電網(wǎng)企業(yè)生產(chǎn)和經(jīng)營對信息網(wǎng)絡(luò)和信息系統(tǒng)的依賴程度越來越高信息安全的重要性日益凸顯�����。國網(wǎng)公司已將網(wǎng)絡(luò)與信息安全納入公司安全管理體系�。
一直以來�����,信息安全防御理念常局限于常規(guī)的網(wǎng)關(guān)級別(防火墻等)�����、網(wǎng)絡(luò)邊界(漏洞掃描����、安全審計(jì))等方面的防御�����,重要的安全設(shè)施大多集中于核心機(jī)房���、網(wǎng)絡(luò)入口處�����,在這些設(shè)備的嚴(yán)密監(jiān)控下��,來自網(wǎng)絡(luò)外部的安全威脅已大大減少�����,尤其實(shí)行內(nèi)外網(wǎng)隔離���、雙網(wǎng)雙機(jī)后�����,來自于互聯(lián)網(wǎng)的威脅微乎其微����。而內(nèi)網(wǎng)辦公終端由于分布地點(diǎn)廣泛��,管控難度大�,加之現(xiàn)在無線上網(wǎng)卡、無線wifi和智能手機(jī)的興起����,內(nèi)網(wǎng)計(jì)算機(jī)接入互聯(lián)網(wǎng)的事件時(shí)有發(fā)生,一旦使用人員將內(nèi)網(wǎng)計(jì)算機(jī)通過以上方式接入互聯(lián)網(wǎng)����,即造成違規(guī)外聯(lián)事件�����。由于違規(guī)外聯(lián)開通了一條無任何保護(hù)措施進(jìn)出內(nèi)外網(wǎng)的通道���,一旦遭遇黑客襲擊,就可能造成信息泄露�����、重要數(shù)據(jù)丟失���、病毒入侵、網(wǎng)絡(luò)癱瘓等信息安全事故��,給企業(yè)信息安全帶來重大的安全隱患和風(fēng)險(xiǎn)��。
二����、強(qiáng)化管理、落實(shí)責(zé)任�,監(jiān)培并進(jìn)
1���、將違規(guī)外聯(lián)明確寫入公司各項(xiàng)規(guī)章制度,并納入經(jīng)濟(jì)責(zé)任考核�����。在《公司信息系統(tǒng)安全管理辦法》中,對杜絕違規(guī)外聯(lián)事件進(jìn)行了明確的要求:所有內(nèi)網(wǎng)計(jì)算機(jī)必須粘貼防止違規(guī)外聯(lián)提示卡,嚴(yán)禁將接入過互聯(lián)網(wǎng)未經(jīng)處理的計(jì)算機(jī)接入內(nèi)網(wǎng),嚴(yán)禁在普通計(jì)算機(jī)上安裝雙網(wǎng)卡,嚴(yán)禁將智能設(shè)備(3G手機(jī)����、無線網(wǎng)卡等)插入內(nèi)網(wǎng)計(jì)算機(jī)USB端口,嚴(yán)禁在辦公區(qū)通過路由器連接外網(wǎng),杜絕違規(guī)外聯(lián)行為。 一旦發(fā)生違規(guī)外聯(lián)事件,依據(jù)《企業(yè)信息化工作評級實(shí)施細(xì)則》���,按照“誰主管誰負(fù)責(zé)���、誰運(yùn)行誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則對事件責(zé)任人進(jìn)行嚴(yán)肅處理和經(jīng)濟(jì)考核,并在全公司通報(bào)批評。將信息安全責(zé)任落實(shí)到人。
2��、加大違規(guī)外聯(lián)宣貫和培訓(xùn)力度�����。信息安全工作��,重在預(yù)防����,將一切安全事件消滅在萌芽狀態(tài)���,才能確保信息系統(tǒng)安全穩(wěn)定運(yùn)行。分層次組織開展公司在崗員工���,尤其是新員工的信息安全教育培訓(xùn)工作����,即重點(diǎn)培訓(xùn)各部門信息化管理人員��,各級管理人員培訓(xùn)本部門技術(shù)人員����,本部門技術(shù)人員培訓(xùn)一線員工。通過分層式培訓(xùn)����,提高了培訓(xùn)效果,同時(shí)各級管理人員���、技術(shù)人員作為下級培訓(xùn)對象講師提高了自身素質(zhì)����,強(qiáng)化了信息安全關(guān)鍵點(diǎn)的作用��。確保違規(guī)外聯(lián)事件的嚴(yán)重性���、危害性和工作機(jī)理已宣貫至公司每一位員工����,實(shí)現(xiàn)全員重視��、全員掌握�����,做到內(nèi)網(wǎng)計(jì)算機(jī)“離座就鎖屏����,下班就關(guān)機(jī)”的工作習(xí)慣�。
3����、加強(qiáng)外來工作人員管控。加強(qiáng)外來工作人員信息安全教育�,并簽訂《第三方人員現(xiàn)場安全合同書》,嚴(yán)禁外來工作人員計(jì)算機(jī)接入公司內(nèi)外網(wǎng)��。對第三方人員工作過程全程監(jiān)控�,防止因外來工作人員擅自操作造成違規(guī)外聯(lián)事件。
三��、加強(qiáng)技術(shù)管控,從源頭杜絕安全事件的發(fā)生
2.1嚴(yán)格執(zhí)行“雙網(wǎng)雙機(jī)”
嚴(yán)禁在信息內(nèi)網(wǎng)和外網(wǎng)交叉使用計(jì)算機(jī)��。對要求接入信息內(nèi)�����、外網(wǎng)的計(jì)算機(jī)�,需向本人核實(shí)該計(jì)算機(jī)之前網(wǎng)絡(luò)接入情況,對內(nèi)外網(wǎng)絡(luò)接入方式有變化�����、或者是不清楚的情況���,需對計(jì)算機(jī)進(jìn)行硬盤格式化并重裝系統(tǒng)后方可接入網(wǎng)絡(luò)����。
2.2安裝桌面終端�����,設(shè)置強(qiáng)口令�,防止違規(guī)外聯(lián)
實(shí)時(shí)監(jiān)控全公司內(nèi)網(wǎng)終端桌面終端系統(tǒng)安裝率,確保所有內(nèi)網(wǎng)計(jì)算機(jī)桌面終端安裝率達(dá)100%。設(shè)置桌面終端策略�,一旦發(fā)生違規(guī)外聯(lián),系統(tǒng)立即采取斷網(wǎng)措施��,并對終端用戶進(jìn)行警示����。要求全部內(nèi)網(wǎng)計(jì)算機(jī)設(shè)置開機(jī)強(qiáng)口令(數(shù)字+字母+特殊符號(hào),且大于8位)�����,防止非本人操作的違規(guī)外聯(lián)行為����。通過桌面終端系統(tǒng)對內(nèi)網(wǎng)計(jì)算機(jī)開機(jī)強(qiáng)口令進(jìn)行實(shí)時(shí)監(jiān)控。
2.3做好溫馨提示��,明確內(nèi)外網(wǎng)設(shè)備����,防止違規(guī)外聯(lián)
做到每一臺(tái)內(nèi)網(wǎng)計(jì)算機(jī)均粘貼信息安全提示標(biāo)簽提示員工切勿內(nèi)網(wǎng)計(jì)算機(jī)接入外網(wǎng)網(wǎng)絡(luò)����,無線網(wǎng)卡及智能手機(jī)切勿接入內(nèi)網(wǎng)。內(nèi)外網(wǎng)網(wǎng)絡(luò)端口模塊、網(wǎng)線端口都要有明顯標(biāo)識(shí)��,防止員工誤接網(wǎng)絡(luò)�。
2.4實(shí)行內(nèi)網(wǎng)計(jì)算機(jī)IP、MAC綁定和外網(wǎng)計(jì)算機(jī)IP�、認(rèn)證賬號(hào)綁定
加強(qiáng)IP地址綁定,從交換機(jī)端口對接入內(nèi)網(wǎng)的計(jì)算機(jī)進(jìn)行IP�����、MAC地址綁定�,確保除本計(jì)算機(jī)外,其余計(jì)算機(jī)無法通過該端口接入內(nèi)網(wǎng)�����。
通過外網(wǎng)審計(jì)(網(wǎng)康科技)對外網(wǎng)IP和用戶認(rèn)證賬戶進(jìn)行綁定�����,完善外網(wǎng)用戶和計(jì)算機(jī)基礎(chǔ)資料����,做到全局外網(wǎng)終端和用戶可控。
四�、信息安全前景:
在信息安全領(lǐng)域沒有絕對的安全防護(hù)技術(shù)和手段。隨著信息技術(shù)日新月異的發(fā)展,電力企業(yè)內(nèi)網(wǎng)計(jì)算機(jī)違規(guī)外聯(lián)風(fēng)險(xiǎn)也在增加����。在已有的管控手段的基礎(chǔ)上,還要及時(shí)關(guān)注新技術(shù)����,不斷完善和調(diào)整制度管理和技術(shù)策略。信息安全是伴隨企業(yè)信息化應(yīng)用發(fā)展而發(fā)展的永恒課題��。
第3篇
企業(yè)要想在市場當(dāng)中生存并發(fā)展���,不僅僅要提升企業(yè)競爭力���,還需要時(shí)時(shí)刻刻關(guān)注企業(yè)的信息安全。現(xiàn)代市場競爭十分激烈��,只有做好企業(yè)的信息安全管理����,才能避免企業(yè)因?yàn)樾畔⒐芾淼氖杪┰斐上嚓P(guān)的損失�。
近十年來,企業(yè)的生產(chǎn)經(jīng)營越來越離不開網(wǎng)絡(luò)�,離不開計(jì)算機(jī),企業(yè)的每一項(xiàng)活動(dòng)都需要計(jì)算機(jī)與網(wǎng)絡(luò)的參與,企業(yè)的管理需要借助相關(guān)的計(jì)算機(jī)軟件���,企業(yè)的銷售需要運(yùn)用到電子商務(wù)�,企業(yè)的倉儲(chǔ)管理需要數(shù)據(jù)庫系統(tǒng)的支持�,在企業(yè)感受到計(jì)算機(jī)帶來生產(chǎn)經(jīng)營便利的同時(shí),企業(yè)也不得不重視由計(jì)算機(jī)網(wǎng)絡(luò)所帶來的信息安全問題����。通過分析我國企業(yè)信息安全管理的相關(guān)資料,可以發(fā)現(xiàn)我國企業(yè)在信息安全管理上所做的努力顯然無法與西方企業(yè)相比��,我國企業(yè)在信息安全管理這條路上還有很長的路要走�����。
我國企業(yè)在信息管理上起步較晚��,同時(shí)受制于觀念�����,技術(shù)�����,人力等各個(gè)方面的因素,我國企業(yè)在信息安全管理上存在十分嚴(yán)重的漏洞�。不僅如此,企業(yè)信息安全管理受到各方面的威脅���,各類病毒層出不窮���,釣魚軟件,木馬也防不勝防�����,我國企業(yè)信息安全管理所面臨的考驗(yàn)十分嚴(yán)峻�����。企業(yè)的信息安全管理不僅僅是企業(yè)自身的事�,企業(yè)是我國經(jīng)濟(jì)發(fā)展最重要的角色,倘若我國企業(yè)在信息安全管理上存在漏洞�,這也將直接影響我國的經(jīng)濟(jì)發(fā)展,這并不是危言聳聽�。
因此,加強(qiáng)我國企業(yè)信息安全管理勢在必行�����,必須采取有效的舉措提升我國企業(yè)信息安全管理水平��。開展我國企業(yè)信息安全管理工作不僅僅需要政府的支持���,企業(yè)自身也應(yīng)當(dāng)充分認(rèn)識(shí)到企業(yè)信息安全管理對于企業(yè)自身的重要性��,企業(yè)信息安全管理并不是一件小事�����,理應(yīng)得到足夠的重視�����。下面本文將首先介紹影響我國企業(yè)信息安全管理的幾點(diǎn)因素����,結(jié)合各種影響我國企業(yè)信息安全的幾點(diǎn)因素展開探討���,在此基礎(chǔ)上��,分析我國企業(yè)在信息安全管理中常用的手段��,并通過借鑒國外優(yōu)秀企業(yè)在信息安全管理的經(jīng)驗(yàn)����,對更好地完善我國企業(yè)信息安全管理提出幾點(diǎn)意見與建議。
二�����、企業(yè)面臨的信息安全管理風(fēng)險(xiǎn)
1.企業(yè)內(nèi)部管理缺陷
企業(yè)要想提升信息安全管理的水平�,其中很重要的一個(gè)步驟在于完善企業(yè)的管理制度。企業(yè)的信息安全管理會(huì)受到許許多多的因數(shù)影響�����,但是做好企業(yè)信息安全管理的基礎(chǔ)在于提升企業(yè)的內(nèi)部管理水平����。企業(yè)內(nèi)部管理的制度涉及到企業(yè)生產(chǎn)經(jīng)營的方方面面,倘若企業(yè)在內(nèi)部管理制度上存在缺陷�����,那么做好企業(yè)的信息安全管理也就無從談起了����。常見的影響企業(yè)信息安全管理的制度缺陷有以下幾個(gè)方面。第一��,企業(yè)對于企業(yè)內(nèi)部信息安全管理的工作人員缺乏監(jiān)督。企業(yè)信息安全管理必須建立在企業(yè)信息安全管理工作人員認(rèn)知履行職責(zé)�����,規(guī)范操作的基礎(chǔ)上�,倘若企業(yè)對于信息安全管理的工作人員缺乏監(jiān)督�����,那么久很難保證企業(yè)整個(gè)信息安全管理系統(tǒng)的行之有效��。第二��,企業(yè)對于企業(yè)內(nèi)部信息安全管理工作人員缺乏培訓(xùn)����,企業(yè)內(nèi)部并沒有指定相關(guān)的信息安全管理規(guī)章制度。要想完善企業(yè)的信息安全管理��,就必須做到對企業(yè)內(nèi)部信息安全管理的每一個(gè)環(huán)節(jié)都一絲不茍����,對每一個(gè)可能存在信息安全漏洞的地方都要嚴(yán)格管理,對每一項(xiàng)信息安全管理的工作步驟都做明確要求��。要想確保企業(yè)內(nèi)部信息安全管理系統(tǒng)的平穩(wěn)運(yùn)行,只有從規(guī)范企業(yè)內(nèi)部信息安全管理的行為規(guī)范上著手���。第三��,企業(yè)內(nèi)部信息安全管理系統(tǒng)投入不足����。這一點(diǎn)在我國大型企業(yè)上并不存在�,我國大型企業(yè)擁有足夠的資金,足夠的人力資本��,足夠技術(shù)投入���,相比較于我國中小型企業(yè)�����,在信息安全管理工作上具有較大的優(yōu)勢��?�?墒?���,我國大型企業(yè)畢竟是少數(shù),我國中小企業(yè)的數(shù)量十分巨大����,中小企業(yè)并沒有相應(yīng)的資金,人員�,技術(shù)投入,中小企業(yè)受制于現(xiàn)實(shí)條件����,在信息安全管理系統(tǒng)上所做的工作嚴(yán)重不足�,我國中小企業(yè)在信息安全上所面臨的風(fēng)險(xiǎn)十分巨大。
2.影響企業(yè)信息安全管理的外部因素
影響我國企業(yè)信息安全管理的外部因素有許多����。常見的影響我國企業(yè)信息安全管理的外部因素包括病毒,木馬�,釣魚網(wǎng)站等等。不論是誰出于怎么樣的目的破壞企業(yè)的信息安全����,較為常見的手段也就是通過黑客攻擊企業(yè)的信息安全管理系統(tǒng)。我國企業(yè)在應(yīng)對黑客的攻擊時(shí)往往處于較為被動(dòng)的局面����,一方面���,黑客屬于主動(dòng)攻擊,主動(dòng)攻擊的前提在于對于企業(yè)的內(nèi)部信息安全管理系統(tǒng)有著較為全面的了解���,并且往往已經(jīng)掌握了企業(yè)內(nèi)部信息安全管理系統(tǒng)所存在的安全漏洞�����,另一方面�,我國絕大多數(shù)企業(yè)在信息安全管理系統(tǒng)的投入有限��,企業(yè)內(nèi)部信息安全管理的工作人員在技術(shù)手段上與黑客比較并沒有優(yōu)勢���。即使企業(yè)內(nèi)部信息安全管理的工作人員最終能夠戰(zhàn)勝黑客�����,但是����,由于缺乏完善的信息安全手段���,對企業(yè)內(nèi)部重要的信息保護(hù)不足�����,黑客對企業(yè)的信息安全所造成的影響往往也是致命的���。反擊黑客的攻擊行為往往具有滯后性��,因此�,即使戰(zhàn)勝了黑客�����,但是黑客對企業(yè)信息安全的攻擊行為往往已經(jīng)發(fā)生�,企業(yè)必然會(huì)因此造成相應(yīng)的損失�,在現(xiàn)代企業(yè)經(jīng)營管理信息化的背景下,這樣的攻擊行為對企業(yè)造成的損失往往是企業(yè)不能夠承擔(dān)的�����,很有可能影響一個(gè)企業(yè)最基本的生存�����。
三、完善企業(yè)信息安全管理的幾點(diǎn)建議
1.建立信息安全密碼
密碼技術(shù)近年來在應(yīng)用中不斷成熟�,越來越多企業(yè)開始將密碼技術(shù)應(yīng)用到企業(yè)信息安全管理中去,這是一個(gè)十分正確的選擇�。企業(yè)內(nèi)部信息具有重要價(jià)值,密碼技術(shù)是企業(yè)信息安全最為關(guān)鍵的一道屏障�����。密碼的形式十分多樣���,企業(yè)應(yīng)當(dāng)根據(jù)自身情況正確選擇密碼的形式���,密碼技術(shù)是一項(xiàng)十分成熟的技術(shù),應(yīng)當(dāng)?shù)玫礁嗟年P(guān)注����,并且將這項(xiàng)技術(shù)全面應(yīng)用到企業(yè)內(nèi)部信息安全管理當(dāng)中去。企業(yè)內(nèi)部信息得到密碼的保護(hù)��,能夠在企業(yè)內(nèi)部信息不慎泄露后得到最大化的保護(hù)�����,對于企業(yè)內(nèi)部信息的密碼也應(yīng)當(dāng)嚴(yán)格保密����,做好相關(guān)的密碼保護(hù)工作����。
2.建立安全管理制度
企業(yè)信息安全管理制度的建立需要多方面的配合����,同時(shí),企業(yè)信息安全管理制度的建立是一項(xiàng)十分復(fù)雜的工作����,必須在實(shí)踐的過程中不斷完善。建立企業(yè)內(nèi)部信息安全管理制度是為了更加規(guī)范地保證企業(yè)內(nèi)部信息的安全��,也對企業(yè)內(nèi)部信息安全管理人員的工作內(nèi)容�����,工作步驟做了明確規(guī)定�,這對于企業(yè)內(nèi)部形成信息安全管理的長效機(jī)制具有重要價(jià)值���。企業(yè)信息安全管理制度應(yīng)當(dāng)與企業(yè)的實(shí)際生產(chǎn)經(jīng)營情況相結(jié)合�,在盡可能不影響企業(yè)正常工作的前提下����,對企業(yè)的信息安全作出明確規(guī)定�����。常見的規(guī)定包括定期組織企業(yè)內(nèi)部信息安全管理工作人員進(jìn)行信息安全的例行檢查�;對企業(yè)內(nèi)部信息安全管理人員的工作做到全面監(jiān)督�,有效反饋等等。
3.建立數(shù)據(jù)庫的備份與恢復(fù)機(jī)制
現(xiàn)如今�����,外界主動(dòng)攻擊企業(yè)信息安全的事件越來越頻發(fā)���,企業(yè)在被外界攻擊信息安全后所造成的損失往往無法挽回���,同時(shí)這些信息對于企業(yè)具有十分重要的價(jià)值,倘若能夠及時(shí)恢復(fù)相關(guān)信息����,能夠在很大程度上減小企業(yè)所遭受的損失,因此�����,建立一套基于數(shù)據(jù)庫信息備份與還原的信息安全管理機(jī)制十分重要。企業(yè)內(nèi)部信息系統(tǒng)數(shù)據(jù)庫的備份��,可以有效保障企業(yè)信息系統(tǒng)非法入侵后的系統(tǒng)恢復(fù)工作����。備份是對數(shù)據(jù)庫內(nèi)容保護(hù)最為穩(wěn)定和容易的一種方法。當(dāng)不穩(wěn)定因素發(fā)生的時(shí)候���,能夠保證企業(yè)網(wǎng)絡(luò)信息的正常運(yùn)行�����。而恢復(fù)的理解��,就是在不限定因素發(fā)展之后利用網(wǎng)絡(luò)技術(shù)的備份功能用來對數(shù)據(jù)庫內(nèi)容進(jìn)行重新恢復(fù)并正常使用的功能�����。
4.建立網(wǎng)絡(luò)安全預(yù)警系統(tǒng)
一般這種情況可以分為人為預(yù)警和病毒預(yù)警兩個(gè)方面���。 在電腦中的重要位置安裝上網(wǎng)絡(luò)入侵監(jiān)測體系,可以便于對電腦的技術(shù)和安全性在發(fā)展危害行為或改變�����。入侵監(jiān)測體系還能通過設(shè)立在固定時(shí)間對制定要求的位置進(jìn)行監(jiān)督和控制�����,判斷哪些系統(tǒng)是具有危害性的�����,但是防火墻還不能夠準(zhǔn)確判斷的系統(tǒng)�。主要針對的是從企業(yè)內(nèi)部管理出現(xiàn)漏洞后對自身安全系統(tǒng)的“侵略”行為。而病毒預(yù)警系統(tǒng)通常是采用對企業(yè)內(nèi)部網(wǎng)絡(luò)的全部數(shù)據(jù)進(jìn)行監(jiān)督監(jiān)控的行為��,確保在一天每個(gè)時(shí)間段內(nèi)都對數(shù)據(jù)包傳送掃描一旦發(fā)展病毒就要馬上進(jìn)行危險(xiǎn)信息提示����,使得相關(guān)工作人員可以很快的通過定位查找的方法找到病毒的發(fā)出地。同時(shí)��,在短時(shí)間內(nèi)陸續(xù)產(chǎn)生通過快速掃描出來的網(wǎng)絡(luò)日志和調(diào)查報(bào)告��,為企業(yè)專業(yè)人員查找病毒具體來源提供便利條件���。
第4篇
關(guān)鍵詞:信息安全管理�����;測評�����;要素�;指標(biāo)
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2013)27-6080-03
人類進(jìn)入信息化社會(huì),社會(huì)發(fā)展對信息化的依賴程度越來越大�����,一方面信息化成果已成為社會(huì)的重要資源��,在政治��、經(jīng)濟(jì)���、國防���、教育、科技��、生活等發(fā)面發(fā)揮著重要的作用��,另一方面由于信息技術(shù)的迅猛發(fā)展而帶來的信息安全事件、事故層出不窮�,信息安全問題與矛盾日益突出。信息安全工程是一個(gè)多層面���、多因素的、綜合的����、動(dòng)態(tài)的系統(tǒng)工程,其包括關(guān)鍵基礎(chǔ)設(shè)施及硬件安全�、運(yùn)行安全、軟件安全�����、通信安全���、人員安全����、傳輸安全����、網(wǎng)絡(luò)安全、人員安全等。組織要實(shí)現(xiàn)信息安全目標(biāo)�����,就必須建立一套行之有效信息安全管理與技術(shù)有機(jī)結(jié)合的安全防范體系���。信息安全管理包括制定信息安全策略(包括計(jì)劃�、程序�、流程與記錄等)、風(fēng)險(xiǎn)評估�、控制目標(biāo)的選擇、控制措施的實(shí)施以及信息安全管理測評等���。管理大師德魯克曾經(jīng)說過“無法度量就無法管理”[1]�����,強(qiáng)調(diào)了測量對組織管理的重要意義��,信息安全管理同樣也離不開測評�����。如何對信息安全管理有效性等進(jìn)行測量�,根據(jù)測量的結(jié)果對組織信息安全管理情況進(jìn)行評價(jià)并進(jìn)一步指導(dǎo)信息安全管理,提高信息安全管理能力和水平��,目前已經(jīng)成為信息安全領(lǐng)域的一個(gè)研究熱點(diǎn)[2]���。
信息安全管理測評是組織圍繞信息化持續(xù)發(fā)展與信息安全保障的現(xiàn)狀和未來綜合能力的反映�,不僅是對過去和現(xiàn)在的能力展現(xiàn)�,而且為未來發(fā)展提供保障和動(dòng)力���。在我國����,目前關(guān)于信息安全管理測評研究剛處于起步階段�����,還沒有一套可供使用的信息安全測評體系標(biāo)準(zhǔn)�����、方法等����。因此�����,開展信息安全管理測評研究�����,對組織信息化建設(shè)既具有重要的現(xiàn)實(shí)意義也具有長遠(yuǎn)的持續(xù)發(fā)展意義����。
1 信息安全管理測評發(fā)展綜述與需求
關(guān)于信息安全測評���,美國早在2002年通過的《聯(lián)邦信息安全管理法案》中就要求各機(jī)構(gòu)每年必須對其信息安全實(shí)踐進(jìn)行獨(dú)立測評���,以確認(rèn)其有效性。這種測評主要包括對管理����、運(yùn)行和技術(shù)三要素的控制和測試,其頻率視風(fēng)險(xiǎn)情況而定��,但不能少于每年一次��。在獨(dú)立評價(jià)的基礎(chǔ)上�����,聯(lián)邦管理與預(yù)算局應(yīng)向國會(huì)上報(bào)評價(jià)匯總結(jié)果;而聯(lián)邦審計(jì)署則需要周期性地評價(jià)并向國會(huì)匯報(bào)各機(jī)構(gòu)信息安全策略和實(shí)踐的有效性以及相關(guān)要求的執(zhí)行情況��。
2003年7月�����,美國國家標(biāo)準(zhǔn)與技術(shù)研究所(National Institute of Standards and Technology�����,NIST)了NIST SP 800-55《信息技術(shù)系統(tǒng)安全測量指南》�����,其包括以下內(nèi)容[3]:
1) 角色和職責(zé):介紹發(fā)展和執(zhí)行信息安全測量的主要任務(wù)和職責(zé)�����。
2) 信息安全測量背景:介紹測量定義�、進(jìn)行信息安全測量的好處���、測量類型��、幾種可以進(jìn)行信息安全測量的控制��、成功測量的重要因素�、測量對管理、報(bào)告和決策的作用����。
3) 測量發(fā)展和執(zhí)行過程:介紹用于信息安全測量發(fā)展的方法。
4) 測量項(xiàng)目執(zhí)行:討論可以影響安全測量項(xiàng)目的技術(shù)執(zhí)行的各種因素���。
5) 以附件的形式給出的16種測量的模板�。
2004年11月17日�,美國的企業(yè)信息安全工作組(Corporate Information Security Working Group,CISWG)了CISWG CS1/05-0079《帶有支撐管理測量的信息安全計(jì)劃要素》[4]�����,2005年國際標(biāo)準(zhǔn)化組織(ISO/IEC SC27)提出了信息安全管理體系(Information Security Management Systems���,ISMS)的系列標(biāo)準(zhǔn)——ISO27000系列���。2005年1月10日又了修訂版,并作為針對ISO/IEC 2nd WD27004 的貢獻(xiàn)文檔提交給ISO/IEC JTC1 SC27��,該文檔是根據(jù)CISWG的最佳實(shí)踐和測量小組的報(bào)告改編。
2005年8月31日�,美國國際系統(tǒng)安全工程協(xié)會(huì)(International System Security Engineering Association,ISSEA)針對ISO/IEC 2nd WD 27004向ISO/IEC JTC1 SC27提交了題為“ISSEA Contribution Background”[5](ISSEA測量的貢獻(xiàn)背景)和“ISSEA Metrics”[6](ISSEA測量)兩個(gè)貢獻(xiàn)文檔��。
2009年國際標(biāo)準(zhǔn)化組織(ISO)了ISO/IEC 27004:2009(信息技術(shù)一安全技術(shù)一信息安全管理測量)標(biāo)準(zhǔn)�����,為如何建立及測量ISMS及其控制措施提供了指導(dǎo)性建議[7]�。
信息安全管理體系是信息安全保障體系的重要組成部分。近年來����,隨著組織對信息安全保障工作重視程度的日益增強(qiáng),不少組織都依據(jù)標(biāo)準(zhǔn)GB/T 22081-2008建立了一套比較完善的ISMS來保護(hù)組織的重要信息資產(chǎn)���,但是體系建立起來了,不少管理者都對ISMS的運(yùn)行效果極其控制措施的有效性�����,持懷疑的態(tài)度�����。故此組織很有必要建立一套相應(yīng)的測評方法來全面的對ISMS的運(yùn)行情況進(jìn)行科學(xué)的評價(jià),進(jìn)一步提升ISMS的執(zhí)行力���。該文研究的信息安全管理測評將為確定ISMS的實(shí)現(xiàn)目標(biāo)�����,衡量ISMS執(zhí)行的效力和效率提供一些思想��、方法�����,其結(jié)果具有客觀的可比性����,還可以作為信息安全風(fēng)險(xiǎn)管理����、安全投入優(yōu)化和安全實(shí)現(xiàn)變更的客觀依據(jù),有助于降低安全風(fēng)險(xiǎn)���,減少安全事件的概率和影響��,改進(jìn)安全控制和管理過程的效率或降低其成本�。
2 信息安全管理測評研究內(nèi)容
信息安全管理測評是信息安全管理體系的重要部分,是信息安全管理測量與評價(jià)的綜合����。信息安全管理測量的結(jié)果是信息安全績效評價(jià)的依據(jù)。信息安全管理測量比較具體�����,信息安全管理評價(jià)則通過具體來反映宏觀��。
2.1 信息安全管理測評要素及其框架
信息安全管理測評要素包括:測評實(shí)體及其屬性�、基礎(chǔ)測評方式、基礎(chǔ)測評變量���、導(dǎo)出測評制式�、導(dǎo)出測評變量��、測評方法��、測評基線���、測評函數(shù)、分析模型����、指示器�����、決策準(zhǔn)則���、測評需求和可測評概念等,其框架如圖3.1信息安全測評框架所示��,包括:基于什么樣的需求來測評(即測評需求)����,對什么進(jìn)行測評(即實(shí)體及其屬性),用什么指標(biāo)體系來測評(包括測評制式�����、測評變量和測評尺度)����,用什么方法來測評(即測評方法),用什么函數(shù)來計(jì)算測評結(jié)果(即測評函數(shù))��,用什么模型來分析測評結(jié)果(即分析模型),用什么方式來使分析結(jié)果能夠輔助決策(即指示器)等問題��。
信息需求是測評需求方提出的對測評結(jié)果信息的需求�����。信息需求源自于組織的使命和業(yè)務(wù)目標(biāo)��,與相關(guān)利益者的利益訴求密切相關(guān)�。指示器的生成和分析模型的選擇是以信息需求為導(dǎo)向的。
決策準(zhǔn)則是一種決定下一步行為的閾值��。他有助于解釋測評的結(jié)果��。決策準(zhǔn)則可能出自或基于對預(yù)期行為在概念上的理解和判斷���。決策準(zhǔn)則可以從歷史數(shù)據(jù)�、計(jì)劃和探索中導(dǎo)出����,或作為統(tǒng)計(jì)控制限度或統(tǒng)計(jì)信心限度計(jì)算出來。
可測評概念是實(shí)體屬性與信息需求之間的抽象關(guān)系����,體現(xiàn)將可測評屬性關(guān)聯(lián)到信息需求以及如何關(guān)聯(lián)的思想?��?蓽y評概念的例子有生產(chǎn)力���、質(zhì)量、風(fēng)險(xiǎn)���、績效����、能力����、成熟度和客戶價(jià)值等。實(shí)體是能通過測評屬性描述的對象�。一個(gè)實(shí)體是測評其屬性的一個(gè)對象,例如��,過程��、產(chǎn)品��、系統(tǒng)��、項(xiàng)目或資源。一個(gè)實(shí)體可能有一個(gè)或多個(gè)滿足信息需求的屬性���。實(shí)踐中���,一個(gè)實(shí)體可被歸類于多個(gè)上述類別。他可以是有形的也可是無形的���。信息安全管理測評的實(shí)體包括信息安全管理體系建立過程中所有的控制項(xiàng)(信息安全管理測評要素)��。屬性是實(shí)體可測評的�����、物理的或抽象的性質(zhì)���。一個(gè)屬性是能被人或自動(dòng)手段定量或定性區(qū)分的一個(gè)實(shí)體的某一特性或特征。一個(gè)實(shí)體可能有多個(gè)屬性��,其中只有一些可能對測評有價(jià)值����。測評模型實(shí)例化的第一步是選擇與信息需求最相關(guān)的屬性。一個(gè)給定屬性可能被結(jié)合到支持不同信息需求的多個(gè)測評構(gòu)造中�。信息安全管理測評主要測評的是每一項(xiàng)控制措施的屬性(信息安全管理測評指標(biāo))��。
測評是以確定量值為目的的一組操作���。信息安全管理測評是確定控制項(xiàng)的每一個(gè)具體指標(biāo)的一組操作��,可以有多種測評方法�。基礎(chǔ)測評是依照屬性和定量方法而定義的測評方法���,是用來直接測評某一屬性的����,是根據(jù)屬性和量化他的方法來定義��,他捕獲單獨(dú)屬性的信息����,其功能獨(dú)立于其他測評。信息安全管理基礎(chǔ)測評是對于控制項(xiàng)的指標(biāo)可以直接測評出來的量���。導(dǎo)出測評是通過測評其他屬性來間接地測評某一屬性的測評�����,是根據(jù)屬性之間的關(guān)系來定義���,他捕獲多個(gè)屬性或多個(gè)實(shí)體的相同屬性的信息��,其功能依賴于基礎(chǔ)測評的���,是兩個(gè)或更多基礎(chǔ)測評值得函數(shù)。
測評尺度是一組連續(xù)或離散的數(shù)字量值(如小數(shù)/百分比/自然數(shù)等)或離散的可數(shù)量值(如高/中/低/等)���。測評尺度是規(guī)范測評變量取值的類型和范圍�。測評方法將所測評屬性的量級影射到一個(gè)測評尺度上的量值后賦給測評變量���。
測評尺度根據(jù)尺度上量值之間關(guān)系的性質(zhì)分為四種類型:
名義(Nominal) :測評值是直呼其名����。
序數(shù)(Ordinal) :測評值是有等級的�。
間隔(Interval) :測評值是等距離的,對應(yīng)于屬性的等量��,不可能是零值�����。
比率(Ratio) :測評值是等距離的,對應(yīng)于屬性的等量�����,無該屬性為零值��。
測評單位是作為慣例定義和被廣泛接受的一個(gè)特定量����。他被用作比較相同種類量值的基準(zhǔn)�����,以表達(dá)他們相對于此量的量級����。只有用相同測評單位表達(dá)的量值才能直接比較。測評單位的例子有公尺�����、公斤和小時(shí)等�。
測評函數(shù)是將兩個(gè)或更多測評變量結(jié)合成導(dǎo)出測評變量的算法。導(dǎo)出測評變量的尺度和單位依賴于作為函數(shù)輸入的測評變量的尺度和單位以及他們通過函數(shù)結(jié)合的運(yùn)算方式���。分析模型是將一個(gè)或多個(gè)測評變量轉(zhuǎn)化為指示器的算法����。他是基于對測評變量和/或他們經(jīng)過一段時(shí)間的表現(xiàn)之間的預(yù)期關(guān)系的理解或假設(shè)。分析模型產(chǎn)生與信息需求相關(guān)的評估或評價(jià)�����。測評方法和測評尺度影響分析模型的選擇�。
測評計(jì)劃定義了測評實(shí)施的目標(biāo)、方法����、步驟和資源。測評頻率是測評計(jì)劃的執(zhí)行頻率����。測評計(jì)劃應(yīng)按規(guī)定的頻度定期地或在必要的時(shí)候不定期地執(zhí)行。定期執(zhí)行的規(guī)定頻度應(yīng)建立在信息效益的需求與獲得他的成本之間的折中���,可以是每周����、每月、每季度或每年等����。不定期執(zhí)行的必要時(shí)候包括ISMS初始規(guī)劃和實(shí)施以及ISMS本身或運(yùn)行環(huán)境發(fā)生重大變化。
2.2 信息安全管理測評量表體系
任何測評都必須具備參照點(diǎn)��、單位和量表三個(gè)要素���。信息安全測評指標(biāo)體系是信息安全測評的基礎(chǔ)���,是對指定屬性的評價(jià),這些屬性與測評需求方的信息保障需求相關(guān)聯(lián)�����,對他們進(jìn)行評價(jià)為測評需求方提供有意義的信息�����。其總是以滿足其信息保障需求和方便易理解的方式呈現(xiàn)給測評需求方的��。標(biāo)準(zhǔn)GB/T 22081-2008是進(jìn)行信息安全管理所參照的標(biāo)準(zhǔn)����,其從信息安全方針、信息安全組織�����、法律法規(guī)符合性等11個(gè)方面��,提出了133個(gè)控制措施供使用者在信息安全管理過程中選擇適當(dāng)?shù)目刂拼胧﹣砑訌?qiáng)信息安全管理�����。該標(biāo)準(zhǔn)所提供的控制措施基本能覆蓋信息安全管理的各個(gè)方面����。在建立信息安全管理測評指標(biāo)體系的實(shí)踐中,通常以控制措施的實(shí)施情況作為指標(biāo)���,建立預(yù)選指標(biāo)集�����,通過對預(yù)選指標(biāo)集的分析��,采用專家咨詢的方式篩選出能全面反映信息安全管理有效性的具體指標(biāo)����。
3 信息安全管理測評方法探討
測評方法通常影響到用于給定屬性的測評尺度類型。例如����,主觀測評方法通常只支持序數(shù)或名義類型的測評尺度。測評方法是使用指定的測評制式量化屬性的操作邏輯序列���。操作可能包括計(jì)算發(fā)生次數(shù)或觀察經(jīng)過時(shí)間等���。同樣的測評方法可能適用于多個(gè)屬性。然而�����,每一個(gè)屬性和測評方法的獨(dú)特結(jié)合產(chǎn)生一個(gè)不同的基礎(chǔ)測評�。測評方法可能采用多種方式實(shí)現(xiàn)。測評規(guī)程描述給定機(jī)構(gòu)背景下測評方法的特定實(shí)現(xiàn)�。
測評方法根據(jù)量化屬性的操作性質(zhì)分為兩種類型:
主觀:含有人為判斷的量化�。
客觀:基于數(shù)字規(guī)則(如計(jì)數(shù))的量化。這些規(guī)則可能通過人或自動(dòng)手段來實(shí)現(xiàn)�����。
測評方法的可能例子有:調(diào)查觀察�、問卷、知識(shí)評估、視察�����、再執(zhí)行�����、系統(tǒng)咨詢��、測試(相關(guān)技術(shù)有設(shè)計(jì)測試和操作有效性測試等)��、統(tǒng)計(jì)(相關(guān)技術(shù)有描述統(tǒng)計(jì)��、假設(shè)檢驗(yàn)���、測評分析���、過程能力分析、回歸分析���、可靠性分析��、取樣���、模擬�、統(tǒng)計(jì)過程控制(SPC����, statistical Process control) 圖和時(shí)序分析等)。
4 結(jié)束語
當(dāng)前���,信息安全領(lǐng)域的測評研究多側(cè)重于對技術(shù)產(chǎn)品�、系統(tǒng)性能等方面的測評����,其中信息安全風(fēng)險(xiǎn)評估可通過對重要信息資產(chǎn)面臨的風(fēng)險(xiǎn)、脆弱性的評價(jià)掌握組織的信息安全狀況�;信息安全審計(jì)則只是對信息安全相關(guān)行為和活動(dòng)提供相關(guān)證據(jù);而信息安全管理評審則是符合性審核��,他們都不能對信息安全管理的有效性以及信息安全管理中采取的控制措施的有效性做出評價(jià)�����。因此���,非常有必要對信息安全管理的有效性進(jìn)行測評����,這將有助于了解信息安全管理過程中所采取的控制措施的有效性以及控制措施的執(zhí)行情況��,為管理者決策提供依據(jù)����,也能為組織信息安全管理過程的持續(xù)改進(jìn)提供足夠的幫助,達(dá)到更好地管理信息安全的最終目的���。
參考文獻(xiàn):
[1] 閆世杰����,閔樂泉�����,趙戰(zhàn)生.信息安全管理測量研究[J].信息安全與通信保密��,2009�,5:53.
[2] 朱英菊,陳長松.信息安全管理有效性的測量[J].信息網(wǎng)絡(luò)安全�,2009,1:87-88.
[3] Nist N. 800-55. security metrics guide for information technology systems[J]. NIST paper��, 2003.
[4] CISWG CS1/05 -0079. Information Security Program Elements with Supporting Management Metrics , Adapted from the report of the Best Practices and Metrics Teams �����, Corporate Information Security Working Group ( CISWG ) ���, 2004-11-17 ( Revised 2005-01-10 ).
[5] ISO/IEC JTCI SC27 N4690 ISSEA Liaison Organization 's cofnfnents on SC27 N4474 ISO/IEC 2nd WD 27004 Information technology-Security techniques-Information Security management metric and measurement (in response to document SC27 N4485revl)���,2005-08-31
第5篇
關(guān)鍵詞:企業(yè);信息��;安全管理
中圖分類號(hào):U283.4 文獻(xiàn)標(biāo)識(shí)碼:A
企業(yè)信息安全管理是運(yùn)用科學(xué)的方法和手段���,系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的薄弱點(diǎn)�,提出有針對性的抵御威脅的防護(hù)對策和控制措施��,這是企業(yè)推進(jìn)信息化進(jìn)程和促進(jìn)生產(chǎn)經(jīng)營管理的重要內(nèi)容���,是保障企業(yè)信息系統(tǒng)正常運(yùn)行�����、高效應(yīng)用和健康發(fā)展的前提條件����。
1我國企業(yè)信息安全管理存在的問題
1.1缺少企業(yè)信息安全的法規(guī)和規(guī)范��。企業(yè)信息安全是一個(gè)比較新的領(lǐng)域�����,目前還缺少比較完善的法規(guī)����,即便現(xiàn)有的法規(guī),由于相關(guān)安全技術(shù)和手段還沒有成熟和標(biāo)準(zhǔn)化�,法規(guī)也不能很好地被執(zhí)行,安全標(biāo)準(zhǔn)和規(guī)范的缺少�,導(dǎo)致無從制定合理的安全策略并確保此策略能被有效執(zhí)行。
1.2存在物理安全風(fēng)險(xiǎn)�。物理安全是指各種服務(wù)器、路由器��、交換機(jī)����、工作站等硬件設(shè)備和通信鏈路的安全。風(fēng)險(xiǎn)的來源有:水災(zāi)���、火災(zāi)��、雷擊等自然災(zāi)害����,人為的破壞或誤操作外界的電磁干擾,設(shè)備固有的弱點(diǎn)或缺陷等�。物理安全的威脅可以直接造成設(shè)備的損壞、系統(tǒng)和網(wǎng)絡(luò)的不可用��、數(shù)據(jù)的直接損壞或丟失等���。
1.3信息外泄現(xiàn)象時(shí)有發(fā)生���。進(jìn)入信息化時(shí)代后,企業(yè)的諸多資料都由原先的紙介質(zhì)變成了電子文檔����。電子文檔的特點(diǎn)就是復(fù)制十分容易,許多跳槽的員工和競爭對手都會(huì)將這些資料通過各種手段帶離企業(yè)�����。而且,在企業(yè)信息管理系統(tǒng)中����,大量購、銷�����、存等業(yè)務(wù)���、財(cái)務(wù)數(shù)據(jù)、文檔及客戶資料��,以存儲(chǔ)介質(zhì)形式存在于計(jì)算機(jī)中��,由于電磁輻射或數(shù)據(jù)可訪問性等弱點(diǎn)��,受到人為和非人為因素的破壞�����。數(shù)據(jù)一旦遭到破壞�,將會(huì)嚴(yán)重影響企業(yè)日常業(yè)務(wù)的正常運(yùn)作。因此�����,保證數(shù)據(jù)的安全,就是保證企業(yè)的安全��。
1.4缺少安全管理制度和責(zé)任性���。目前企業(yè)的安全解決方案�,基本上只是一個(gè)安全產(chǎn)品方案���,這使人們誤以為企業(yè)的信息安全只是信息技術(shù)部門的工作和責(zé)任��,與其他人員不直接相關(guān).但是一個(gè)企業(yè)的信息系統(tǒng)是企業(yè)全體人員參與的��,因?yàn)樗麄儾攀瞧髽I(yè)信息系統(tǒng)的提供者和使用者�����,他們是影響信息安全系統(tǒng)能否達(dá)到預(yù)期要求的決定因素.
2加強(qiáng)我國企業(yè)信息安全管理的幾點(diǎn)建議
2.1全面提高職工的信息安全知識(shí)素質(zhì)�,加強(qiáng)安全文化建設(shè)���,提升防患水平���,防微杜漸��。對于信息安全工作的開展����,不是系統(tǒng)管理部門的事�,也不是系統(tǒng)使用部門的事,而是全體員工的事����,必須要提高全體員工的信息安全意識(shí)�����。通過培訓(xùn)和考核等措施�����,提高員工對公司信息安全的認(rèn)識(shí)����,讓信息安全成為業(yè)務(wù)開展的一部分,才能有效提高公司整體信息安全水平��,也是信息安全工作得到有效的支持和推進(jìn)��。在此基礎(chǔ)上,要建立適應(yīng)21世紀(jì)知識(shí)經(jīng)濟(jì)時(shí)代的企業(yè)信息安全文化���,只有加強(qiáng)安全文化建設(shè)���,才能適應(yīng)知識(shí)經(jīng)濟(jì)時(shí)代的發(fā)展。
2.2完善企業(yè)信息安全管理制度���。首先�����,數(shù)據(jù)安全管理制度�����,即確保數(shù)據(jù)存儲(chǔ)介質(zhì)(設(shè)備)的安全�;定時(shí)進(jìn)行數(shù)據(jù)備份����,備份數(shù)據(jù)必須異地存放;對數(shù)據(jù)的操作需經(jīng)主管部門的審批�、同意方可進(jìn)行;數(shù)據(jù)的清除���、整理工作需兩人或兩人以上在場�����,并由相關(guān)部門進(jìn)行監(jiān)督����、記錄。第二�����,準(zhǔn)入管理制度��。準(zhǔn)入管理又稱密碼���、權(quán)限管理,通過準(zhǔn)入系統(tǒng)可以判斷請求登錄的用戶是否是合法的�����、值得信任的�����。一個(gè)安全的準(zhǔn)入系統(tǒng)則需要收集請求登錄者的以下信息:一是請求方式。當(dāng)同一網(wǎng)段在單位時(shí)間內(nèi)多次請求登錄或多次登錄用戶�����、密碼錯(cuò)誤者���,就應(yīng)在一定時(shí)間內(nèi)封閉其所在網(wǎng)段的請求�����,并發(fā)出報(bào)警信號(hào)����。二是系統(tǒng)安全驗(yàn)證���,即對登錄用戶的操作系統(tǒng)進(jìn)行安全證����,并提示登錄用戶進(jìn)行一系列的修復(fù)操作���。三是檢測設(shè)備自身數(shù)據(jù)是否被修改或篡改��,并對登錄戶相應(yīng)的操作進(jìn)行記錄備案�����。
2.3采取傳統(tǒng)的信息安全防范策略����。物理安全策略:包括環(huán)境安全、設(shè)備安全�、媒體安全、信息資產(chǎn)的物理分布�、人員的訪問控制、審計(jì)記錄���、異常情況的追查等���;網(wǎng)絡(luò)安全策略:包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備的管理��、網(wǎng)絡(luò)安全訪問措施��、安全掃描�����、遠(yuǎn)程訪問�����、不同級別網(wǎng)絡(luò)的訪問控制方式��、識(shí)別/認(rèn)證機(jī)制等���;數(shù)據(jù)加密策略:包括加密算法�����、適用范圍�����、密鑰交換和管理等��;數(shù)據(jù)備份策略:包括適用范圍�、備份方式�、備份數(shù)據(jù)的安全存儲(chǔ)、備份周期�、負(fù)責(zé)人等;身份認(rèn)證及授權(quán)策略:包括認(rèn)證及授權(quán)機(jī)制��、方式、審計(jì)記錄等�����;災(zāi)難恢復(fù)策略:包括負(fù)責(zé)人員���、恢復(fù)機(jī)制�、方式���、歸檔管理�、硬件��、軟件等����;事故處理、緊急響應(yīng)策略:包括響應(yīng)小組��、聯(lián)系方式���、事故處理計(jì)劃��、控制過程等。
2.4實(shí)施�����、檢查和改進(jìn)信息安全管理體制。企業(yè)應(yīng)按照規(guī)劃階段編制安全管理體系文件的控制要求來實(shí)施活動(dòng)��,主要實(shí)施和運(yùn)行ISMS方針����、控制措施、過程和程序��,包括安全策略�����、所選擇的安全措施或控制��、安全意識(shí)和培訓(xùn)程序等���。在實(shí)施期間�,企業(yè)應(yīng)及時(shí)檢查發(fā)現(xiàn)規(guī)劃中存在的問題����,找出問題根源,采取糾正措施,并按照更改控制程序要求對體系予以更改���,以達(dá)到進(jìn)一步完善信息安全管理體系的目的���。信息安全實(shí)施過程的效果如何,需要通過監(jiān)視���、審計(jì)��、復(fù)查�、評估等手段來進(jìn)行檢查�,檢查的依據(jù)就是計(jì)劃階段建立的安全策略、目標(biāo)��、程序�,以及標(biāo)準(zhǔn)、法律法規(guī)和實(shí)踐經(jīng)驗(yàn)���,檢查的結(jié)果是進(jìn)一步采取措施的依據(jù)�����。
2.5加強(qiáng)信息安全監(jiān)控���,保障信息系統(tǒng)安全運(yùn)行��。在信息安全監(jiān)控、信息安全配置和系統(tǒng)訪問控制方面��,信息管理部門借助先進(jìn)成熟的信息技術(shù)���,充分挖掘和利用現(xiàn)有資源功能潛力�����,進(jìn)一步提升企業(yè)信息系統(tǒng)的安全防范能力���。例如,加強(qiáng)信息系統(tǒng)監(jiān)控管理和風(fēng)險(xiǎn)評估�����,優(yōu)化信息系統(tǒng)安全架構(gòu)�,開展入侵檢測分析防范、核心網(wǎng)絡(luò)冗余和服務(wù)器架構(gòu)調(diào)整等工作�,確保公司信息系統(tǒng)安全穩(wěn)定運(yùn)行。統(tǒng)一企業(yè)桌面安全管理體系����,建立網(wǎng)絡(luò)運(yùn)維管理系統(tǒng)��,加強(qiáng)接入層管理��、桌面安全管理和安全監(jiān)控管理��,有效保障聯(lián)網(wǎng)計(jì)算機(jī)的安全運(yùn)行��。優(yōu)化企業(yè)內(nèi)外網(wǎng)連接架構(gòu)和訪問控制策略�����,增加網(wǎng)絡(luò)出口流量監(jiān)控環(huán)節(jié)����,使有限的網(wǎng)絡(luò)帶寬資源得到合理分配和充分利用����。針對因特網(wǎng)瀏覽用戶違規(guī)現(xiàn)象較多,造成非授權(quán)用戶占用大量網(wǎng)絡(luò)資源的問題�����,加強(qiáng)用戶訪問監(jiān)控��,嚴(yán)肅處理違規(guī)用戶,加強(qiáng)保密教育����,促進(jìn)用戶規(guī)范使用信息系統(tǒng)。
2.6構(gòu)建信息安全管理團(tuán)隊(duì)�����。信息安全管理團(tuán)隊(duì)是由決策者�、管理者以及計(jì)算機(jī)����、信息、通訊��、安全和網(wǎng)絡(luò)技術(shù)等方面的專家為提升企業(yè)信息安全管理水平而組建的團(tuán)隊(duì)�。信息安全管理團(tuán)隊(duì)是企業(yè)信息安全管理的直接管理者,其管理能力����、技術(shù)能力的高低會(huì)直接影響到企業(yè)信息安全管理的效率。因此必須增加對企業(yè)內(nèi)部信息安全管理人員�����、技術(shù)人員的定期培訓(xùn),同時(shí)與外部專業(yè)技術(shù)企業(yè)建立長期有效的外部技術(shù)支持網(wǎng)絡(luò)�����,才能對企業(yè)信息安全事件做出及時(shí)���、快速���、準(zhǔn)確的響應(yīng),確定并及時(shí)排除突發(fā)事件����,使企業(yè)的風(fēng)險(xiǎn)和損失最小化,最終形成一套有效的一體化管理體系���,給企業(yè)帶來更大的管理效益與管理效率的提升����。
綜上所述��,隨著網(wǎng)絡(luò)普及和企業(yè)信息化業(yè)務(wù)的不斷拓展�����,信息成為一種重要的戰(zhàn)略資源,信息安全保障能力成為一個(gè)企業(yè)綜合能力的重要組成部分���。因此���,要提高企業(yè)信息安全管理的效率,為企業(yè)決策提供信息支持��,確保企業(yè)信息數(shù)據(jù)安全����、可靠����、真實(shí),為企業(yè)發(fā)展和經(jīng)營管理提供有力保障���。
參考文獻(xiàn)
第6篇
關(guān)鍵詞:石油企業(yè);信息安全;管理手段
0引言
隨著信息化建設(shè)進(jìn)程飛速發(fā)展�����,作為信息載體的計(jì)算機(jī)����、互聯(lián)網(wǎng)已在企業(yè)生產(chǎn)、經(jīng)營管理各個(gè)層面得到廣泛應(yīng)用����。計(jì)算機(jī)網(wǎng)絡(luò)的開放性、靈活性和廣泛性在全面數(shù)字化的今天給經(jīng)營管理帶來了便捷�、高效、有序的工作環(huán)境�����,同時(shí)也帶來了較大的安全管理隱患��。黑客的出現(xiàn)��、安全漏洞的增多�����、管理的交叉混亂��、惡意的網(wǎng)絡(luò)攻擊使網(wǎng)絡(luò)安全管理遭受了較大的沖擊����,成為信息化健康發(fā)展的絆腳石。網(wǎng)絡(luò)信息管理疏于安全的防范將危及到企業(yè)生產(chǎn)經(jīng)濟(jì)的有序發(fā)展。石油企業(yè)在國民經(jīng)濟(jì)中發(fā)揮著重要作用�,任何風(fēng)險(xiǎn)都可能導(dǎo)致國家經(jīng)濟(jì)受到重大影響。因此��,提高石油企業(yè)信息安全意識(shí)����,加強(qiáng)信息管理應(yīng)以保瘴服務(wù)和應(yīng)用為目標(biāo),強(qiáng)化安全意識(shí)�、制定周密的安全手段從而構(gòu)建完善的信息安全管理體系。
1加強(qiáng)企業(yè)信息管理的必要性
1.1企業(yè)信息管理概念
企業(yè)信息管理是通過現(xiàn)代化的信息技術(shù)和設(shè)備��,以網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)企業(yè)管理的自動(dòng)化�����,進(jìn)而對企業(yè)進(jìn)行全方位和多角度的管理����,以此來促進(jìn)企業(yè)生產(chǎn)���、經(jīng)營管理的優(yōu)化配置��,進(jìn)而通過企業(yè)資源的開發(fā)和信息技術(shù)的有效利用來提高企業(yè)的管理水平�,增強(qiáng)企業(yè)的核心競爭力。企業(yè)信息管理的主要內(nèi)容����,一般包括企業(yè)未來的經(jīng)濟(jì)形勢分析、預(yù)測資料�����、資源的可獲量�����、市場和競爭對手的發(fā)展動(dòng)向�,以及政府政策與政治情況的環(huán)境變化等等。企業(yè)信息管理與制訂企業(yè)發(fā)展戰(zhàn)略���、制訂規(guī)劃�����、合理地分配資源是密切相關(guān)的�����。同時(shí)�,企業(yè)的信息管理也應(yīng)當(dāng)包括企業(yè)內(nèi)部的信息資源,如財(cái)務(wù)管理信息��、物資庫存����、鉆井施工、職工檔案管理等多方面的內(nèi)容�����,并且促進(jìn)企業(yè)的全面發(fā)展����。
1.2企業(yè)信息安全管理的必要性
企業(yè)信息的存在方式有著多樣性,而進(jìn)行企業(yè)安全信息管理的主要目的�����,在于保護(hù)企業(yè)的信息安全�����,保證企業(yè)能夠順利的參與到市場經(jīng)濟(jì)活動(dòng)中����,進(jìn)而提高企業(yè)的經(jīng)濟(jì)效益和社會(huì)效益,構(gòu)筑起信息安全管理系統(tǒng)的保密性���、完整性��、可用性�、可維護(hù)性�、可驗(yàn)證性的目標(biāo),使企業(yè)安全信息管理能夠通過有效的控制措施來實(shí)現(xiàn)���。第一�,企業(yè)管理的信息具有很強(qiáng)的保密性和完整性的特點(diǎn)�,因此其對于企業(yè)的生產(chǎn)勢力、科技含量�����、資金流動(dòng)�����、企業(yè)的綜合競爭力等多方面都有著重要的影響��,同時(shí)對于企業(yè)的商業(yè)形象與合法經(jīng)營也至關(guān)重要��,因此加強(qiáng)企業(yè)信息安全管理是必要的。第二���,由于網(wǎng)絡(luò)自身所具有的開放性特性�����,決定了企業(yè)信息管理也面臨著來自各方面的安全威脅���,比如計(jì)算機(jī)病毒、黑客等����,以及計(jì)算機(jī)詐騙、泄密等問題���,也說明了加強(qiáng)企業(yè)信息安全管理勢在必行���。第三,企業(yè)對于信息系統(tǒng)產(chǎn)生的依賴也從另一方面暴露出了信息管理系統(tǒng)的脆弱���,公共網(wǎng)絡(luò)與私人網(wǎng)絡(luò)的連接增強(qiáng)了信息的控制難度���,使得信息在分散化的管理模式下,集中���、專業(yè)控制的有效性大大減弱�����。另外���,由于很多信息管理系統(tǒng)設(shè)計(jì)的缺陷,其自身就存在著不合理之處��,這對于信息安全管理也帶來了一定的難度�。基于此�����,對于企業(yè)信息管理的安全性也成為了當(dāng)前企業(yè)管理面臨的一個(gè)重大課題�����。
2加強(qiáng)企業(yè)信息管理安全的防范措施
2.1不斷完善信息管理系統(tǒng)
隨著企業(yè)信息化的發(fā)展����,目前應(yīng)用的管理系統(tǒng)有PKI�����、郵箱���、AD域、普OA����、合同系統(tǒng)、A6���、ERP���、網(wǎng)絡(luò)、操作系統(tǒng)�����、A7��、檔案系統(tǒng)���、物采系統(tǒng)�����、OSC���、視頻會(huì)議、企業(yè)微信�����、門戶網(wǎng)站����、寶石花、數(shù)字營房��、會(huì)議保障�、E2、一體化�、RTX、移動(dòng)應(yīng)用����、短信平臺(tái)。信息系統(tǒng)的連續(xù)穩(wěn)定運(yùn)行越來越重要��,一旦系統(tǒng)中斷,將會(huì)給企業(yè)的生產(chǎn)經(jīng)營管理帶來混亂�,而數(shù)據(jù)一旦丟失,后果是不可估量的��。為此�,信息管理系統(tǒng)的投入和使用,是建立在充分的實(shí)踐經(jīng)驗(yàn)的基礎(chǔ)上��,通過一段時(shí)間的運(yùn)行和觀察����,才能夠投入使用。在不同的部門進(jìn)行信息系統(tǒng)的引入時(shí)�,應(yīng)當(dāng)按照部門的實(shí)際情況,通過多方引進(jìn)����,使用統(tǒng)一的信息管理系統(tǒng)。對于信息安全來說��,首先要解決的就是系統(tǒng)是否能夠通過安全驗(yàn)證對用戶進(jìn)行有效的管理�����,并且賦予不同等級的用戶不同的使用權(quán)限,這樣則能夠有效的防止無權(quán)訪問信息的用戶對核心區(qū)域的訪問�,保證信息不會(huì)被盜用。同時(shí)�����,為保證信息系統(tǒng)的連續(xù)穩(wěn)定運(yùn)行��,應(yīng)采用雙機(jī)服務(wù)器和從服務(wù)器��。一旦發(fā)生服務(wù)器故障�,由從服務(wù)器自動(dòng)接替主服務(wù)器工作���。
2.2有效的設(shè)備管理
設(shè)備安全主要涉及到由于自然災(zāi)害�����、人為因素造成的數(shù)據(jù)丟失��。信息安全應(yīng)建設(shè)完善的容災(zāi)備份系統(tǒng)��,容災(zāi)備份系統(tǒng)一般由兩個(gè)數(shù)據(jù)中心構(gòu)成���,主中心和備份中心。通過異地?cái)?shù)據(jù)備份,實(shí)時(shí)地將主中心數(shù)據(jù)拷貝至備份中心存儲(chǔ)系統(tǒng)中�,使主中心存儲(chǔ)數(shù)據(jù)與備份中心數(shù)據(jù)完全保持一致。同時(shí)�����,對于管理系統(tǒng)中使用的設(shè)備品牌��、機(jī)型�、內(nèi)部配置以及使用時(shí)間等信息都要進(jìn)行專門的記錄,通過這些記錄�,定期對設(shè)備進(jìn)行維護(hù),同時(shí)也能夠通過這些信息判斷出信息的使用效率以及運(yùn)行情況����,對于設(shè)備的損壞或者是丟失情況都能夠及時(shí)地了解。
2.3加強(qiáng)對人員的監(jiān)督與管理
企業(yè)信息安全不單純是技術(shù)問題�����,而是一個(gè)綜合性的問題�。其中最重要的因素是人,人是設(shè)備的主要操作者��,因此對于信息的安全管理�,就需要加強(qiáng)對人的管理��,需要操作人員具有足夠的安全意識(shí)���,對于每一位操作人員進(jìn)行相關(guān)的培訓(xùn),對于唯一的用戶名和密碼等信息要進(jìn)行妥善保管�����,同時(shí)讓操作人員認(rèn)識(shí)到泄密會(huì)導(dǎo)致的嚴(yán)重后果�,增強(qiáng)責(zé)任意識(shí)。只有通過不斷地學(xué)習(xí)及意識(shí)的培養(yǎng)�����,管理人員才能養(yǎng)成定期維護(hù)�、按時(shí)打補(bǔ)丁�、及時(shí)更新的操作習(xí)慣,以不變應(yīng)萬變的態(tài)度應(yīng)對各種網(wǎng)絡(luò)攻擊手段���。通過不斷的加強(qiáng)過程管理�,通過對每個(gè)細(xì)節(jié)的嚴(yán)密審查���,能夠有效減少人為出錯(cuò)的現(xiàn)象���,同時(shí)通過科學(xué)的評價(jià)機(jī)制和激勵(lì)機(jī)制���,刺激人員工作的積極性,加強(qiáng)自身的責(zé)任意識(shí)���。
2.4網(wǎng)絡(luò)傳輸安全
第7篇
關(guān)鍵詞:信息安全��;管理體系���;ISMS
中圖分類號(hào):TP315 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-8631(2010)05-0171-02
一、概述
當(dāng)前��,信息資源的開發(fā)和利用�����,已成為信息化建設(shè)的核心����。信息作為一種重要的資產(chǎn),已成為大家的共識(shí)�。其一旦損毀、丟失��、或被不失當(dāng)?shù)仄毓狻?huì)給組織帶來一系列損失�。這些損失是我們不愿意面對的。因此信息安全越來越成為大家關(guān)注的熱點(diǎn)問題���。前國家科技部部長徐冠華曾經(jīng)指出:“沒有信息安全保障的信息工程一定是豆腐渣工程”��。
所謂信息安全����,是針對技術(shù)和管理來說的�����,為信息處理體統(tǒng)提供安全保護(hù)��,保護(hù)計(jì)算機(jī)軟硬件及信息內(nèi)容不因偶然意外和惡意的原因而遭到破壞�����、更改和泄漏�����。信息安全包括實(shí)體安全、運(yùn)行安全、信息(針對信息內(nèi)容)安全和管理安全四個(gè)方面:
1)實(shí)體安全是指保護(hù)計(jì)算機(jī)設(shè)備�、網(wǎng)絡(luò)設(shè)施以及其他通信與存儲(chǔ)介質(zhì)免遭地震�����、水災(zāi)、火災(zāi)�����、有害氣體和其他環(huán)境事故破壞的措施��、過程�����。
2)運(yùn)行安全是指為保障系統(tǒng)功能的安全實(shí)現(xiàn)��。提供一套安全措施(如風(fēng)險(xiǎn)分析、審計(jì)跟蹤�����、備份與恢復(fù)�、應(yīng)急措施)來保護(hù)信息處理過程的安全。
3)信息安全是指防止信息資源的非授權(quán)泄漏�、更改����、破壞,或使信息被非法系統(tǒng)辨別��、控制和否認(rèn)��。即確保信息的完整性���、機(jī)密性����、可用性和可控性�����。
4)管理安全是指通過信息安全相關(guān)的法律法令和規(guī)章制度以及安全管理手段,確保系統(tǒng)安全生存和運(yùn)營。
信息安全是一個(gè)多層面��、多因素�、綜合和動(dòng)態(tài)的過程。安全措施必須滲透到所有的環(huán)節(jié)��。才能獲得全面的保護(hù)��。為了防范和減少風(fēng)險(xiǎn),一般的信息系統(tǒng)都部署了基本的防御和檢測體系�,如防火墻����、防病毒軟件、入侵檢測系統(tǒng)、漏洞掃描設(shè)備等等。這些安全技術(shù)和安全設(shè)備及軟件的應(yīng)用,在很大程度上提高了信息系統(tǒng)的安全性。但是這樣做不能從根本上降低安全風(fēng)險(xiǎn)��。解決安全問題�。因?yàn)椴荒馨研畔踩珕栴}僅僅當(dāng)做是技術(shù)問題�����,日常所說的防范黑客入侵和病毒感染只能是信息安全問題的一個(gè)方面��。一方面由于所有安全產(chǎn)品的功能都是針對某一類問題,并不能應(yīng)用到所有問題上,所以說它們的功能相對比較狹窄�,因此想通過設(shè)置安全產(chǎn)品來徹底解決信息安全問題是不可能的�;另一方面���,信息安全問題并不是固定的����、靜態(tài)的��,它會(huì)隨著信息系統(tǒng)和操作流程的改變而變化�。而設(shè)置安全產(chǎn)品則是一種靜態(tài)的解決辦法。一般情況下�����,當(dāng)產(chǎn)品安裝和配置一段時(shí)期后����,舊的問題解決了�。新的安全問題就會(huì)產(chǎn)生�����,安全產(chǎn)品無法進(jìn)行動(dòng)態(tài)調(diào)整來適應(yīng)安全問題的變化�。有效解決上述問題的關(guān)鍵是搭建一個(gè)信息安全體系�����。建設(shè)體系化管理手段����,通過安全產(chǎn)品的輔助����,從而保障信息系統(tǒng)的安全��。
二�、搭建信息安全管理體系
(一)BS7799
信息安全管理體系是安全管理和安全控制的有效結(jié)合體,通過分析信息安全各個(gè)環(huán)節(jié)的實(shí)際需求情況和風(fēng)險(xiǎn)情況��,建立科學(xué)合理的安全控制措施��,并且同信息系統(tǒng)審計(jì)相結(jié)合���,從而保證信息資產(chǎn)的安全性����、完整性和可用性。國際上制定的信息安全管理標(biāo)準(zhǔn)主要有:英國標(biāo)準(zhǔn)協(xié)會(huì)制定的信息安全管理體系標(biāo)準(zhǔn)-BS7799�����;國際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)制定的信息和相關(guān)技術(shù)控制目標(biāo)-COBIT��;是目前國際上通用的信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)���;英國政府的中央計(jì)算機(jī)和通信機(jī)構(gòu)提出的一套IT服務(wù)管理標(biāo)準(zhǔn)-ITIL���;國際標(biāo)準(zhǔn)化組織(IS01和國際電工委員會(huì)(IEC)所制定信息安全管理標(biāo)準(zhǔn)-IS0/IECl335�����。其中BS7799英國的工業(yè)��、政府和商業(yè)共同需求而發(fā)展的一個(gè)標(biāo)準(zhǔn)�����,于1995年2月制定的����、世界上第一個(gè)信息安全管理體系標(biāo)準(zhǔn)。經(jīng)過不斷的修訂���,目前已經(jīng)成為信息安全管理領(lǐng)域的權(quán)威標(biāo)準(zhǔn)�����。其兩個(gè)組成部分目前已分別成為IS017799和IS027001標(biāo)準(zhǔn)���。BST799涵蓋了安全所應(yīng)涉及的方方面面,全面而不失操作性����,提供了一個(gè)可持續(xù)發(fā)展提高的信息安全管理環(huán)境。在該標(biāo)準(zhǔn)中���,信息安全已經(jīng)不只是人們傳統(tǒng)上所講的安全����,而是成為一種系統(tǒng)化和全局化的觀念。和以往的安全體系相比��,該標(biāo)準(zhǔn)提出的信息安全管理體系(SMS)具有系統(tǒng)化��、程序化和文檔化的管理特點(diǎn)����。
(二)息安全管理體系(ISMs)
信息安全管理體系(LSMS)是組織整體管理體系的一個(gè)重要組成部分,是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)���,以及完成這些目標(biāo)所用方法的體系?��;趯I(yè)務(wù)風(fēng)險(xiǎn)的分析和認(rèn)識(shí)��,ISMS包括建立��、實(shí)施�、操作���、監(jiān)視����、復(fù)查、維護(hù)和改進(jìn)信息安全等一系列的管理活動(dòng)����。IS027001是建立和維護(hù)信息安全管理體系的準(zhǔn)繩,它一般是要求通過確定的過程來建立ISMS框架:確定體系范圍��,制定信息安全策略���,明確管理職責(zé)���,通過風(fēng)險(xiǎn)評估確定控制目標(biāo)和控制方式。整個(gè)體系一旦建立起來��,組織就必須實(shí)施�、維護(hù)和不斷改進(jìn)ISMS,保持整個(gè)體系運(yùn)作的有效性����。
(三)ISMS搭建步驟
當(dāng)一個(gè)組織建立和管理信息安全體系時(shí)。BS7799提供了指導(dǎo)性的建議,即遵循PDCA(Plan���,Check和Act)的持續(xù)改進(jìn)的管理模式�。PDCA循環(huán)實(shí)際上是有效進(jìn)行任何一項(xiàng)工作的合乎邏輯的工作程序�。對于搭建和管理信息安全體系,其PDCA過程如下:
1)信息安全體系(PLAN)
在PLAN階段通過風(fēng)險(xiǎn)評估來了解安全需求�����,根據(jù)需求設(shè)計(jì)解決方案�。根據(jù)BS7799-2。搭建ISMS一般有如下步驟:
A��、定義安全方針:信息安全方針是組織的信息安全委員會(huì)制定的高層文件����,用于指導(dǎo)組織如何對資產(chǎn),包括敏感信息進(jìn)行管理����、保護(hù)和分配的規(guī)則和指示�。
B、定義1SMS的范圍:ISMS的范圍是需要重點(diǎn)進(jìn)行信息安全管理的領(lǐng)域�����,組織可根據(jù)自己的實(shí)際情況。在整個(gè)組織范圍內(nèi)���、或者在個(gè)別部門或領(lǐng)域架構(gòu)ISMS����。
C�����、實(shí)施風(fēng)險(xiǎn)評估:首先對ISMS范圍內(nèi)的信息資產(chǎn)進(jìn)行鑒定或估計(jì)�����,然后對信息資產(chǎn)面對的各種威脅和脆弱性進(jìn)行評估����,同時(shí)對已存在的或規(guī)劃的安全控制措施進(jìn)行鑒定。
D�、風(fēng)險(xiǎn)管理:根據(jù)風(fēng)險(xiǎn)評估與現(xiàn)狀調(diào)查的結(jié)果。確定安全需求���,決定如何對信息資產(chǎn)實(shí)施保護(hù)及保護(hù)到何種程度限(如接受風(fēng)險(xiǎn)�、避免風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)或降低風(fēng)險(xiǎn))����。
E、選擇控制目標(biāo)和控制措施:根據(jù)風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)管理的結(jié)果��,選擇合適的控制目標(biāo)和控制措施來滿足特定的安全需求��?����?梢詮腂S7799-1的中進(jìn)行選擇����,也可以應(yīng)選擇一些其它適宜的控制方式。
F���、準(zhǔn)備適用性申明(SOA):SOA是適合組織需要的控制目標(biāo)和控制的評論�����,記錄組織內(nèi)相關(guān)的風(fēng)險(xiǎn)控制目標(biāo)和針對每種風(fēng)險(xiǎn)所采取的各種控制措施����。
2)實(shí)施信息安全體系(D01
在DO階段將解決方案付諸實(shí)現(xiàn)���,實(shí)施組織所選擇的控制目標(biāo)與控制措施��。
3)檢查信息安全體系(cHECK)
在CH ECK階段進(jìn)行有關(guān)方針�����、程序�����、標(biāo)準(zhǔn)與法律法規(guī)的符合性檢查��,對存在的問題采取措施�,予以改進(jìn)�����,以保證控制措施的有效運(yùn)行�。在此過程中,要根據(jù)風(fēng)險(xiǎn)評估的對象及范圍的變化情況���。以及時(shí)調(diào)整或完善控制措施����。常見的檢查措施有:日常檢查、從其他處學(xué)習(xí)����、內(nèi)部ISMS審核、管理評審����、趨勢分析等。
4)改進(jìn)信息安全體系(ACT)
在ACT階段對ISMS進(jìn)行評價(jià)�����。以檢查階段發(fā)現(xiàn)的問題為基礎(chǔ)�����,尋求改進(jìn)的機(jī)會(huì)��,采取相應(yīng)的措施進(jìn)行調(diào)整與改進(jìn)�。
