序論:在您撰寫(xiě)信息安全管理時(shí),參考他人的優(yōu)秀作品可以開(kāi)闊視野�,小編為您整理的7篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情�����,引導(dǎo)您走向新的創(chuàng)作高度��。
第1篇
【關(guān)鍵詞】 信息安全 違規(guī)外聯(lián) 電力企業(yè)
一�、前言
國(guó)網(wǎng)公司現(xiàn)已建成覆蓋至基層生產(chǎn)班站及營(yíng)業(yè)站所的信息內(nèi)網(wǎng)。隨著SG186工程的全面投入運(yùn)行�,從職能部室到一線班組,電力企業(yè)所有的業(yè)務(wù)數(shù)據(jù)都依賴網(wǎng)絡(luò)進(jìn)行流轉(zhuǎn)����,電網(wǎng)企業(yè)生產(chǎn)和經(jīng)營(yíng)對(duì)信息網(wǎng)絡(luò)和信息系統(tǒng)的依賴程度越來(lái)越高信息安全的重要性日益凸顯。國(guó)網(wǎng)公司已將網(wǎng)絡(luò)與信息安全納入公司安全管理體系��。
一直以來(lái)�����,信息安全防御理念常局限于常規(guī)的網(wǎng)關(guān)級(jí)別(防火墻等)�����、網(wǎng)絡(luò)邊界(漏洞掃描、安全審計(jì))等方面的防御�����,重要的安全設(shè)施大多集中于核心機(jī)房��、網(wǎng)絡(luò)入口處�,在這些設(shè)備的嚴(yán)密監(jiān)控下,來(lái)自網(wǎng)絡(luò)外部的安全威脅已大大減少��,尤其實(shí)行內(nèi)外網(wǎng)隔離�、雙網(wǎng)雙機(jī)后,來(lái)自于互聯(lián)網(wǎng)的威脅微乎其微�����。而內(nèi)網(wǎng)辦公終端由于分布地點(diǎn)廣泛�����,管控難度大���,加之現(xiàn)在無(wú)線上網(wǎng)卡、無(wú)線wifi和智能手機(jī)的興起��,內(nèi)網(wǎng)計(jì)算機(jī)接入互聯(lián)網(wǎng)的事件時(shí)有發(fā)生,一旦使用人員將內(nèi)網(wǎng)計(jì)算機(jī)通過(guò)以上方式接入互聯(lián)網(wǎng)�����,即造成違規(guī)外聯(lián)事件��。由于違規(guī)外聯(lián)開(kāi)通了一條無(wú)任何保護(hù)措施進(jìn)出內(nèi)外網(wǎng)的通道��,一旦遭遇黑客襲擊���,就可能造成信息泄露�����、重要數(shù)據(jù)丟失���、病毒入侵、網(wǎng)絡(luò)癱瘓等信息安全事故���,給企業(yè)信息安全帶來(lái)重大的安全隱患和風(fēng)險(xiǎn)�����。
二����、強(qiáng)化管理、落實(shí)責(zé)任�����,監(jiān)培并進(jìn)
1���、將違規(guī)外聯(lián)明確寫(xiě)入公司各項(xiàng)規(guī)章制度���,并納入經(jīng)濟(jì)責(zé)任考核。在《公司信息系統(tǒng)安全管理辦法》中����,對(duì)杜絕違規(guī)外聯(lián)事件進(jìn)行了明確的要求:所有內(nèi)網(wǎng)計(jì)算機(jī)必須粘貼防止違規(guī)外聯(lián)提示卡,嚴(yán)禁將接入過(guò)互聯(lián)網(wǎng)未經(jīng)處理的計(jì)算機(jī)接入內(nèi)網(wǎng)���,嚴(yán)禁在普通計(jì)算機(jī)上安裝雙網(wǎng)卡��,嚴(yán)禁將智能設(shè)備(3G手機(jī)��、無(wú)線網(wǎng)卡等)插入內(nèi)網(wǎng)計(jì)算機(jī)USB端口��,嚴(yán)禁在辦公區(qū)通過(guò)路由器連接外網(wǎng)���,杜絕違規(guī)外聯(lián)行為。 一旦發(fā)生違規(guī)外聯(lián)事件����,依據(jù)《企業(yè)信息化工作評(píng)級(jí)實(shí)施細(xì)則》,按照“誰(shuí)主管誰(shuí)負(fù)責(zé)����、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則對(duì)事件責(zé)任人進(jìn)行嚴(yán)肅處理和經(jīng)濟(jì)考核��,并在全公司通報(bào)批評(píng)����。將信息安全責(zé)任落實(shí)到人。
2��、加大違規(guī)外聯(lián)宣貫和培訓(xùn)力度��。信息安全工作����,重在預(yù)防,將一切安全事件消滅在萌芽狀態(tài),才能確保信息系統(tǒng)安全穩(wěn)定運(yùn)行��。分層次組織開(kāi)展公司在崗員工�,尤其是新員工的信息安全教育培訓(xùn)工作,即重點(diǎn)培訓(xùn)各部門(mén)信息化管理人員��,各級(jí)管理人員培訓(xùn)本部門(mén)技術(shù)人員��,本部門(mén)技術(shù)人員培訓(xùn)一線員工��。通過(guò)分層式培訓(xùn)����,提高了培訓(xùn)效果,同時(shí)各級(jí)管理人員�、技術(shù)人員作為下級(jí)培訓(xùn)對(duì)象講師提高了自身素質(zhì),強(qiáng)化了信息安全關(guān)鍵點(diǎn)的作用��。確保違規(guī)外聯(lián)事件的嚴(yán)重性�、危害性和工作機(jī)理已宣貫至公司每一位員工,實(shí)現(xiàn)全員重視�、全員掌握,做到內(nèi)網(wǎng)計(jì)算機(jī)“離座就鎖屏����,下班就關(guān)機(jī)”的工作習(xí)慣�����。
3���、加強(qiáng)外來(lái)工作人員管控����。加強(qiáng)外來(lái)工作人員信息安全教育,并簽訂《第三方人員現(xiàn)場(chǎng)安全合同書(shū)》���,嚴(yán)禁外來(lái)工作人員計(jì)算機(jī)接入公司內(nèi)外網(wǎng)��。對(duì)第三方人員工作過(guò)程全程監(jiān)控��,防止因外來(lái)工作人員擅自操作造成違規(guī)外聯(lián)事件���。
二、加強(qiáng)技術(shù)管控�����,從源頭杜絕安全事件的發(fā)生
2.1嚴(yán)格執(zhí)行“雙網(wǎng)雙機(jī)”
嚴(yán)禁在信息內(nèi)網(wǎng)和外網(wǎng)交叉使用計(jì)算機(jī)�。對(duì)要求接入信息內(nèi)��、外網(wǎng)的計(jì)算機(jī)��,需向本人核實(shí)該計(jì)算機(jī)之前網(wǎng)絡(luò)接入情況����,對(duì)內(nèi)外網(wǎng)絡(luò)接入方式有變化��、或者是不清楚的情況�,需對(duì)計(jì)算機(jī)進(jìn)行硬盤(pán)格式化并重裝系統(tǒng)后方可接入網(wǎng)絡(luò)。
2.2安裝桌面終端�����,設(shè)置強(qiáng)口令���,防止違規(guī)外聯(lián)
實(shí)時(shí)監(jiān)控全公司內(nèi)網(wǎng)終端桌面終端系統(tǒng)安裝率�����,確保所有內(nèi)網(wǎng)計(jì)算機(jī)桌面終端安裝率達(dá)100%�����。設(shè)置桌面終端策略��,一旦發(fā)生違規(guī)外聯(lián)�����,系統(tǒng)立即采取斷網(wǎng)措施��,并對(duì)終端用戶進(jìn)行警示���。要求全部?jī)?nèi)網(wǎng)計(jì)算機(jī)設(shè)置開(kāi)機(jī)強(qiáng)口令(數(shù)字+字母+特殊符號(hào),且大于8位)�����,防止非本人操作的違規(guī)外聯(lián)行為���。通過(guò)桌面終端系統(tǒng)對(duì)內(nèi)網(wǎng)計(jì)算機(jī)開(kāi)機(jī)強(qiáng)口令進(jìn)行實(shí)時(shí)監(jiān)控�。
2.3做好溫馨提示��,明確內(nèi)外網(wǎng)設(shè)備��,防止違規(guī)外聯(lián)
做到每一臺(tái)內(nèi)網(wǎng)計(jì)算機(jī)均粘貼信息安全提示標(biāo)簽提示員工切勿內(nèi)網(wǎng)計(jì)算機(jī)接入外網(wǎng)網(wǎng)絡(luò)��,無(wú)線網(wǎng)卡及智能手機(jī)切勿接入內(nèi)網(wǎng)��。內(nèi)外網(wǎng)網(wǎng)絡(luò)端口模塊、網(wǎng)線端口都要有明顯標(biāo)識(shí)�����,防止員工誤接網(wǎng)絡(luò)�����。
2.4實(shí)行內(nèi)網(wǎng)計(jì)算機(jī)IP�、MAC綁定和外網(wǎng)計(jì)算機(jī)IP、認(rèn)證賬號(hào)綁定
加強(qiáng)IP地址綁定�,從交換機(jī)端口對(duì)接入內(nèi)網(wǎng)的計(jì)算機(jī)進(jìn)行IP、MAC地址綁定�,確保除本計(jì)算機(jī)外,其余計(jì)算機(jī)無(wú)法通過(guò)該端口接入內(nèi)網(wǎng)�����。
通過(guò)外網(wǎng)審計(jì)(網(wǎng)康科技)對(duì)外網(wǎng)IP和用戶認(rèn)證賬戶進(jìn)行綁定�,完善外網(wǎng)用戶和計(jì)算機(jī)基礎(chǔ)資料,做到全局外網(wǎng)終端和用戶可控�����。
第2篇
一����、前言
國(guó)網(wǎng)公司現(xiàn)已建成覆蓋至基層生產(chǎn)班站及營(yíng)業(yè)站所的信息內(nèi)網(wǎng)����。隨著SG186工程的全面投入運(yùn)行�,從職能部室到一線班組,電力企業(yè)所有的業(yè)務(wù)數(shù)據(jù)都依賴網(wǎng)絡(luò)進(jìn)行流轉(zhuǎn)�����,電網(wǎng)企業(yè)生產(chǎn)和經(jīng)營(yíng)對(duì)信息網(wǎng)絡(luò)和信息系統(tǒng)的依賴程度越來(lái)越高信息安全的重要性日益凸顯����。國(guó)網(wǎng)公司已將網(wǎng)絡(luò)與信息安全納入公司安全管理體系��。
一直以來(lái)�����,信息安全防御理念常局限于常規(guī)的網(wǎng)關(guān)級(jí)別(防火墻等)���、網(wǎng)絡(luò)邊界(漏洞掃描�����、安全審計(jì))等方面的防御�,重要的安全設(shè)施大多集中于核心機(jī)房、網(wǎng)絡(luò)入口處����,在這些設(shè)備的嚴(yán)密監(jiān)控下,來(lái)自網(wǎng)絡(luò)外部的安全威脅已大大減少����,尤其實(shí)行內(nèi)外網(wǎng)隔離、雙網(wǎng)雙機(jī)后����,來(lái)自于互聯(lián)網(wǎng)的威脅微乎其微。而內(nèi)網(wǎng)辦公終端由于分布地點(diǎn)廣泛��,管控難度大�����,加之現(xiàn)在無(wú)線上網(wǎng)卡��、無(wú)線wifi和智能手機(jī)的興起�����,內(nèi)網(wǎng)計(jì)算機(jī)接入互聯(lián)網(wǎng)的事件時(shí)有發(fā)生,一旦使用人員將內(nèi)網(wǎng)計(jì)算機(jī)通過(guò)以上方式接入互聯(lián)網(wǎng)���,即造成違規(guī)外聯(lián)事件�����。由于違規(guī)外聯(lián)開(kāi)通了一條無(wú)任何保護(hù)措施進(jìn)出內(nèi)外網(wǎng)的通道��,一旦遭遇黑客襲擊����,就可能造成信息泄露�、重要數(shù)據(jù)丟失、病毒入侵�、網(wǎng)絡(luò)癱瘓等信息安全事故,給企業(yè)信息安全帶來(lái)重大的安全隱患和風(fēng)險(xiǎn)�。
二����、強(qiáng)化管理、落實(shí)責(zé)任��,監(jiān)培并進(jìn)
1、將違規(guī)外聯(lián)明確寫(xiě)入公司各項(xiàng)規(guī)章制度�����,并納入經(jīng)濟(jì)責(zé)任考核��。在《公司信息系統(tǒng)安全管理辦法》中�����,對(duì)杜絕違規(guī)外聯(lián)事件進(jìn)行了明確的要求:所有內(nèi)網(wǎng)計(jì)算機(jī)必須粘貼防止違規(guī)外聯(lián)提示卡��,嚴(yán)禁將接入過(guò)互聯(lián)網(wǎng)未經(jīng)處理的計(jì)算機(jī)接入內(nèi)網(wǎng)���,嚴(yán)禁在普通計(jì)算機(jī)上安裝雙網(wǎng)卡��,嚴(yán)禁將智能設(shè)備(3G手機(jī)���、無(wú)線網(wǎng)卡等)插入內(nèi)網(wǎng)計(jì)算機(jī)USB端口,嚴(yán)禁在辦公區(qū)通過(guò)路由器連接外網(wǎng)�����,杜絕違規(guī)外聯(lián)行為�����。 一旦發(fā)生違規(guī)外聯(lián)事件,依據(jù)《企業(yè)信息化工作評(píng)級(jí)實(shí)施細(xì)則》�����,按照“誰(shuí)主管誰(shuí)負(fù)責(zé)�����、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)����、誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則對(duì)事件責(zé)任人進(jìn)行嚴(yán)肅處理和經(jīng)濟(jì)考核,并在全公司通報(bào)批評(píng)����。將信息安全責(zé)任落實(shí)到人。
2����、加大違規(guī)外聯(lián)宣貫和培訓(xùn)力度。信息安全工作���,重在預(yù)防,將一切安全事件消滅在萌芽狀態(tài),才能確保信息系統(tǒng)安全穩(wěn)定運(yùn)行��。分層次組織開(kāi)展公司在崗員工��,尤其是新員工的信息安全教育培訓(xùn)工作����,即重點(diǎn)培訓(xùn)各部門(mén)信息化管理人員,各級(jí)管理人員培訓(xùn)本部門(mén)技術(shù)人員��,本部門(mén)技術(shù)人員培訓(xùn)一線員工���。通過(guò)分層式培訓(xùn)�,提高了培訓(xùn)效果�,同時(shí)各級(jí)管理人員、技術(shù)人員作為下級(jí)培訓(xùn)對(duì)象講師提高了自身素質(zhì)����,強(qiáng)化了信息安全關(guān)鍵點(diǎn)的作用。確保違規(guī)外聯(lián)事件的嚴(yán)重性���、危害性和工作機(jī)理已宣貫至公司每一位員工��,實(shí)現(xiàn)全員重視����、全員掌握,做到內(nèi)網(wǎng)計(jì)算機(jī)“離座就鎖屏�����,下班就關(guān)機(jī)”的工作習(xí)慣���。
3�����、加強(qiáng)外來(lái)工作人員管控�����。加強(qiáng)外來(lái)工作人員信息安全教育����,并簽訂《第三方人員現(xiàn)場(chǎng)安全合同書(shū)》����,嚴(yán)禁外來(lái)工作人員計(jì)算機(jī)接入公司內(nèi)外網(wǎng)。對(duì)第三方人員工作過(guò)程全程監(jiān)控����,防止因外來(lái)工作人員擅自操作造成違規(guī)外聯(lián)事件。
三�、加強(qiáng)技術(shù)管控,從源頭杜絕安全事件的發(fā)生
2.1嚴(yán)格執(zhí)行“雙網(wǎng)雙機(jī)”
嚴(yán)禁在信息內(nèi)網(wǎng)和外網(wǎng)交叉使用計(jì)算機(jī)�。對(duì)要求接入信息內(nèi)、外網(wǎng)的計(jì)算機(jī)��,需向本人核實(shí)該計(jì)算機(jī)之前網(wǎng)絡(luò)接入情況�,對(duì)內(nèi)外網(wǎng)絡(luò)接入方式有變化、或者是不清楚的情況����,需對(duì)計(jì)算機(jī)進(jìn)行硬盤(pán)格式化并重裝系統(tǒng)后方可接入網(wǎng)絡(luò)。
2.2安裝桌面終端�,設(shè)置強(qiáng)口令,防止違規(guī)外聯(lián)
實(shí)時(shí)監(jiān)控全公司內(nèi)網(wǎng)終端桌面終端系統(tǒng)安裝率����,確保所有內(nèi)網(wǎng)計(jì)算機(jī)桌面終端安裝率達(dá)100%。設(shè)置桌面終端策略���,一旦發(fā)生違規(guī)外聯(lián)����,系統(tǒng)立即采取斷網(wǎng)措施,并對(duì)終端用戶進(jìn)行警示�。要求全部?jī)?nèi)網(wǎng)計(jì)算機(jī)設(shè)置開(kāi)機(jī)強(qiáng)口令(數(shù)字+字母+特殊符號(hào),且大于8位)�����,防止非本人操作的違規(guī)外聯(lián)行為��。通過(guò)桌面終端系統(tǒng)對(duì)內(nèi)網(wǎng)計(jì)算機(jī)開(kāi)機(jī)強(qiáng)口令進(jìn)行實(shí)時(shí)監(jiān)控��。
2.3做好溫馨提示�����,明確內(nèi)外網(wǎng)設(shè)備���,防止違規(guī)外聯(lián)
做到每一臺(tái)內(nèi)網(wǎng)計(jì)算機(jī)均粘貼信息安全提示標(biāo)簽提示員工切勿內(nèi)網(wǎng)計(jì)算機(jī)接入外網(wǎng)網(wǎng)絡(luò)���,無(wú)線網(wǎng)卡及智能手機(jī)切勿接入內(nèi)網(wǎng)。內(nèi)外網(wǎng)網(wǎng)絡(luò)端口模塊�、網(wǎng)線端口都要有明顯標(biāo)識(shí),防止員工誤接網(wǎng)絡(luò)��。
2.4實(shí)行內(nèi)網(wǎng)計(jì)算機(jī)IP�����、MAC綁定和外網(wǎng)計(jì)算機(jī)IP、認(rèn)證賬號(hào)綁定
加強(qiáng)IP地址綁定���,從交換機(jī)端口對(duì)接入內(nèi)網(wǎng)的計(jì)算機(jī)進(jìn)行IP、MAC地址綁定��,確保除本計(jì)算機(jī)外����,其余計(jì)算機(jī)無(wú)法通過(guò)該端口接入內(nèi)網(wǎng)。
通過(guò)外網(wǎng)審計(jì)(網(wǎng)康科技)對(duì)外網(wǎng)IP和用戶認(rèn)證賬戶進(jìn)行綁定����,完善外網(wǎng)用戶和計(jì)算機(jī)基礎(chǔ)資料,做到全局外網(wǎng)終端和用戶可控�。
四、信息安全前景:
在信息安全領(lǐng)域沒(méi)有絕對(duì)的安全防護(hù)技術(shù)和手段��。隨著信息技術(shù)日新月異的發(fā)展���,電力企業(yè)內(nèi)網(wǎng)計(jì)算機(jī)違規(guī)外聯(lián)風(fēng)險(xiǎn)也在增加���。在已有的管控手段的基礎(chǔ)上�,還要及時(shí)關(guān)注新技術(shù)���,不斷完善和調(diào)整制度管理和技術(shù)策略����。信息安全是伴隨企業(yè)信息化應(yīng)用發(fā)展而發(fā)展的永恒課題����。
第3篇
企業(yè)要想在市場(chǎng)當(dāng)中生存并發(fā)展,不僅僅要提升企業(yè)競(jìng)爭(zhēng)力�����,還需要時(shí)時(shí)刻刻關(guān)注企業(yè)的信息安全?����,F(xiàn)代市場(chǎng)競(jìng)爭(zhēng)十分激烈����,只有做好企業(yè)的信息安全管理,才能避免企業(yè)因?yàn)樾畔⒐芾淼氖杪┰斐上嚓P(guān)的損失�����。
近十年來(lái),企業(yè)的生產(chǎn)經(jīng)營(yíng)越來(lái)越離不開(kāi)網(wǎng)絡(luò)��,離不開(kāi)計(jì)算機(jī)����,企業(yè)的每一項(xiàng)活動(dòng)都需要計(jì)算機(jī)與網(wǎng)絡(luò)的參與,企業(yè)的管理需要借助相關(guān)的計(jì)算機(jī)軟件���,企業(yè)的銷售需要運(yùn)用到電子商務(wù),企業(yè)的倉(cāng)儲(chǔ)管理需要數(shù)據(jù)庫(kù)系統(tǒng)的支持�,在企業(yè)感受到計(jì)算機(jī)帶來(lái)生產(chǎn)經(jīng)營(yíng)便利的同時(shí),企業(yè)也不得不重視由計(jì)算機(jī)網(wǎng)絡(luò)所帶來(lái)的信息安全問(wèn)題�����。通過(guò)分析我國(guó)企業(yè)信息安全管理的相關(guān)資料��,可以發(fā)現(xiàn)我國(guó)企業(yè)在信息安全管理上所做的努力顯然無(wú)法與西方企業(yè)相比��,我國(guó)企業(yè)在信息安全管理這條路上還有很長(zhǎng)的路要走��。
我國(guó)企業(yè)在信息管理上起步較晚���,同時(shí)受制于觀念��,技術(shù)����,人力等各個(gè)方面的因素,我國(guó)企業(yè)在信息安全管理上存在十分嚴(yán)重的漏洞�����。不僅如此��,企業(yè)信息安全管理受到各方面的威脅��,各類病毒層出不窮�����,釣魚(yú)軟件���,木馬也防不勝防����,我國(guó)企業(yè)信息安全管理所面臨的考驗(yàn)十分嚴(yán)峻����。企業(yè)的信息安全管理不僅僅是企業(yè)自身的事���,企業(yè)是我國(guó)經(jīng)濟(jì)發(fā)展最重要的角色,倘若我國(guó)企業(yè)在信息安全管理上存在漏洞��,這也將直接影響我國(guó)的經(jīng)濟(jì)發(fā)展�����,這并不是危言聳聽(tīng)�����。
因此����,加強(qiáng)我國(guó)企業(yè)信息安全管理勢(shì)在必行���,必須采取有效的舉措提升我國(guó)企業(yè)信息安全管理水平�。開(kāi)展我國(guó)企業(yè)信息安全管理工作不僅僅需要政府的支持�,企業(yè)自身也應(yīng)當(dāng)充分認(rèn)識(shí)到企業(yè)信息安全管理對(duì)于企業(yè)自身的重要性,企業(yè)信息安全管理并不是一件小事���,理應(yīng)得到足夠的重視����。下面本文將首先介紹影響我國(guó)企業(yè)信息安全管理的幾點(diǎn)因素,結(jié)合各種影響我國(guó)企業(yè)信息安全的幾點(diǎn)因素展開(kāi)探討�����,在此基礎(chǔ)上����,分析我國(guó)企業(yè)在信息安全管理中常用的手段,并通過(guò)借鑒國(guó)外優(yōu)秀企業(yè)在信息安全管理的經(jīng)驗(yàn)�����,對(duì)更好地完善我國(guó)企業(yè)信息安全管理提出幾點(diǎn)意見(jiàn)與建議�����。
二�、企業(yè)面臨的信息安全管理風(fēng)險(xiǎn)
1.企業(yè)內(nèi)部管理缺陷
企業(yè)要想提升信息安全管理的水平,其中很重要的一個(gè)步驟在于完善企業(yè)的管理制度�。企業(yè)的信息安全管理會(huì)受到許許多多的因數(shù)影響,但是做好企業(yè)信息安全管理的基礎(chǔ)在于提升企業(yè)的內(nèi)部管理水平���。企業(yè)內(nèi)部管理的制度涉及到企業(yè)生產(chǎn)經(jīng)營(yíng)的方方面面��,倘若企業(yè)在內(nèi)部管理制度上存在缺陷���,那么做好企業(yè)的信息安全管理也就無(wú)從談起了����。常見(jiàn)的影響企業(yè)信息安全管理的制度缺陷有以下幾個(gè)方面����。第一,企業(yè)對(duì)于企業(yè)內(nèi)部信息安全管理的工作人員缺乏監(jiān)督�。企業(yè)信息安全管理必須建立在企業(yè)信息安全管理工作人員認(rèn)知履行職責(zé),規(guī)范操作的基礎(chǔ)上��,倘若企業(yè)對(duì)于信息安全管理的工作人員缺乏監(jiān)督�,那么久很難保證企業(yè)整個(gè)信息安全管理系統(tǒng)的行之有效。第二���,企業(yè)對(duì)于企業(yè)內(nèi)部信息安全管理工作人員缺乏培訓(xùn),企業(yè)內(nèi)部并沒(méi)有指定相關(guān)的信息安全管理規(guī)章制度���。要想完善企業(yè)的信息安全管理�,就必須做到對(duì)企業(yè)內(nèi)部信息安全管理的每一個(gè)環(huán)節(jié)都一絲不茍,對(duì)每一個(gè)可能存在信息安全漏洞的地方都要嚴(yán)格管理�,對(duì)每一項(xiàng)信息安全管理的工作步驟都做明確要求。要想確保企業(yè)內(nèi)部信息安全管理系統(tǒng)的平穩(wěn)運(yùn)行��,只有從規(guī)范企業(yè)內(nèi)部信息安全管理的行為規(guī)范上著手�。第三,企業(yè)內(nèi)部信息安全管理系統(tǒng)投入不足����。這一點(diǎn)在我國(guó)大型企業(yè)上并不存在,我國(guó)大型企業(yè)擁有足夠的資金����,足夠的人力資本,足夠技術(shù)投入���,相比較于我國(guó)中小型企業(yè)�,在信息安全管理工作上具有較大的優(yōu)勢(shì)�����?���?墒?����,我國(guó)大型企業(yè)畢竟是少數(shù)��,我國(guó)中小企業(yè)的數(shù)量十分巨大��,中小企業(yè)并沒(méi)有相應(yīng)的資金���,人員,技術(shù)投入�,中小企業(yè)受制于現(xiàn)實(shí)條件,在信息安全管理系統(tǒng)上所做的工作嚴(yán)重不足����,我國(guó)中小企業(yè)在信息安全上所面臨的風(fēng)險(xiǎn)十分巨大。
2.影響企業(yè)信息安全管理的外部因素
影響我國(guó)企業(yè)信息安全管理的外部因素有許多����。常見(jiàn)的影響我國(guó)企業(yè)信息安全管理的外部因素包括病毒,木馬�,釣魚(yú)網(wǎng)站等等。不論是誰(shuí)出于怎么樣的目的破壞企業(yè)的信息安全�,較為常見(jiàn)的手段也就是通過(guò)黑客攻擊企業(yè)的信息安全管理系統(tǒng)����。我國(guó)企業(yè)在應(yīng)對(duì)黑客的攻擊時(shí)往往處于較為被動(dòng)的局面���,一方面,黑客屬于主動(dòng)攻擊���,主動(dòng)攻擊的前提在于對(duì)于企業(yè)的內(nèi)部信息安全管理系統(tǒng)有著較為全面的了解��,并且往往已經(jīng)掌握了企業(yè)內(nèi)部信息安全管理系統(tǒng)所存在的安全漏洞���,另一方面,我國(guó)絕大多數(shù)企業(yè)在信息安全管理系統(tǒng)的投入有限����,企業(yè)內(nèi)部信息安全管理的工作人員在技術(shù)手段上與黑客比較并沒(méi)有優(yōu)勢(shì)。即使企業(yè)內(nèi)部信息安全管理的工作人員最終能夠戰(zhàn)勝黑客�,但是,由于缺乏完善的信息安全手段�����,對(duì)企業(yè)內(nèi)部重要的信息保護(hù)不足�,黑客對(duì)企業(yè)的信息安全所造成的影響往往也是致命的。反擊黑客的攻擊行為往往具有滯后性��,因此,即使戰(zhàn)勝了黑客����,但是黑客對(duì)企業(yè)信息安全的攻擊行為往往已經(jīng)發(fā)生,企業(yè)必然會(huì)因此造成相應(yīng)的損失�����,在現(xiàn)代企業(yè)經(jīng)營(yíng)管理信息化的背景下�,這樣的攻擊行為對(duì)企業(yè)造成的損失往往是企業(yè)不能夠承擔(dān)的,很有可能影響一個(gè)企業(yè)最基本的生存����。
三、完善企業(yè)信息安全管理的幾點(diǎn)建議
1.建立信息安全密碼
密碼技術(shù)近年來(lái)在應(yīng)用中不斷成熟�,越來(lái)越多企業(yè)開(kāi)始將密碼技術(shù)應(yīng)用到企業(yè)信息安全管理中去,這是一個(gè)十分正確的選擇���。企業(yè)內(nèi)部信息具有重要價(jià)值�,密碼技術(shù)是企業(yè)信息安全最為關(guān)鍵的一道屏障�。密碼的形式十分多樣,企業(yè)應(yīng)當(dāng)根據(jù)自身情況正確選擇密碼的形式����,密碼技術(shù)是一項(xiàng)十分成熟的技術(shù)��,應(yīng)當(dāng)?shù)玫礁嗟年P(guān)注,并且將這項(xiàng)技術(shù)全面應(yīng)用到企業(yè)內(nèi)部信息安全管理當(dāng)中去��。企業(yè)內(nèi)部信息得到密碼的保護(hù)�,能夠在企業(yè)內(nèi)部信息不慎泄露后得到最大化的保護(hù),對(duì)于企業(yè)內(nèi)部信息的密碼也應(yīng)當(dāng)嚴(yán)格保密�����,做好相關(guān)的密碼保護(hù)工作�。
2.建立安全管理制度
企業(yè)信息安全管理制度的建立需要多方面的配合,同時(shí)����,企業(yè)信息安全管理制度的建立是一項(xiàng)十分復(fù)雜的工作,必須在實(shí)踐的過(guò)程中不斷完善��。建立企業(yè)內(nèi)部信息安全管理制度是為了更加規(guī)范地保證企業(yè)內(nèi)部信息的安全���,也對(duì)企業(yè)內(nèi)部信息安全管理人員的工作內(nèi)容����,工作步驟做了明確規(guī)定,這對(duì)于企業(yè)內(nèi)部形成信息安全管理的長(zhǎng)效機(jī)制具有重要價(jià)值��。企業(yè)信息安全管理制度應(yīng)當(dāng)與企業(yè)的實(shí)際生產(chǎn)經(jīng)營(yíng)情況相結(jié)合����,在盡可能不影響企業(yè)正常工作的前提下,對(duì)企業(yè)的信息安全作出明確規(guī)定����。常見(jiàn)的規(guī)定包括定期組織企業(yè)內(nèi)部信息安全管理工作人員進(jìn)行信息安全的例行檢查;對(duì)企業(yè)內(nèi)部信息安全管理人員的工作做到全面監(jiān)督��,有效反饋等等�����。
3.建立數(shù)據(jù)庫(kù)的備份與恢復(fù)機(jī)制
現(xiàn)如今���,外界主動(dòng)攻擊企業(yè)信息安全的事件越來(lái)越頻發(fā)���,企業(yè)在被外界攻擊信息安全后所造成的損失往往無(wú)法挽回,同時(shí)這些信息對(duì)于企業(yè)具有十分重要的價(jià)值�,倘若能夠及時(shí)恢復(fù)相關(guān)信息,能夠在很大程度上減小企業(yè)所遭受的損失���,因此�,建立一套基于數(shù)據(jù)庫(kù)信息備份與還原的信息安全管理機(jī)制十分重要。企業(yè)內(nèi)部信息系統(tǒng)數(shù)據(jù)庫(kù)的備份���,可以有效保障企業(yè)信息系統(tǒng)非法入侵后的系統(tǒng)恢復(fù)工作�����。備份是對(duì)數(shù)據(jù)庫(kù)內(nèi)容保護(hù)最為穩(wěn)定和容易的一種方法。當(dāng)不穩(wěn)定因素發(fā)生的時(shí)候����,能夠保證企業(yè)網(wǎng)絡(luò)信息的正常運(yùn)行。而恢復(fù)的理解�,就是在不限定因素發(fā)展之后利用網(wǎng)絡(luò)技術(shù)的備份功能用來(lái)對(duì)數(shù)據(jù)庫(kù)內(nèi)容進(jìn)行重新恢復(fù)并正常使用的功能。
4.建立網(wǎng)絡(luò)安全預(yù)警系統(tǒng)
一般這種情況可以分為人為預(yù)警和病毒預(yù)警兩個(gè)方面����。 在電腦中的重要位置安裝上網(wǎng)絡(luò)入侵監(jiān)測(cè)體系,可以便于對(duì)電腦的技術(shù)和安全性在發(fā)展危害行為或改變��。入侵監(jiān)測(cè)體系還能通過(guò)設(shè)立在固定時(shí)間對(duì)制定要求的位置進(jìn)行監(jiān)督和控制��,判斷哪些系統(tǒng)是具有危害性的��,但是防火墻還不能夠準(zhǔn)確判斷的系統(tǒng)。主要針對(duì)的是從企業(yè)內(nèi)部管理出現(xiàn)漏洞后對(duì)自身安全系統(tǒng)的“侵略”行為�����。而病毒預(yù)警系統(tǒng)通常是采用對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的全部數(shù)據(jù)進(jìn)行監(jiān)督監(jiān)控的行為����,確保在一天每個(gè)時(shí)間段內(nèi)都對(duì)數(shù)據(jù)包傳送掃描一旦發(fā)展病毒就要馬上進(jìn)行危險(xiǎn)信息提示,使得相關(guān)工作人員可以很快的通過(guò)定位查找的方法找到病毒的發(fā)出地���。同時(shí)�,在短時(shí)間內(nèi)陸續(xù)產(chǎn)生通過(guò)快速掃描出來(lái)的網(wǎng)絡(luò)日志和調(diào)查報(bào)告�����,為企業(yè)專業(yè)人員查找病毒具體來(lái)源提供便利條件�����。
第4篇
關(guān)鍵詞:信息安全管理�;測(cè)評(píng);要素�����;指標(biāo)
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2013)27-6080-03
人類進(jìn)入信息化社會(huì),社會(huì)發(fā)展對(duì)信息化的依賴程度越來(lái)越大,一方面信息化成果已成為社會(huì)的重要資源,在政治���、經(jīng)濟(jì)、國(guó)防���、教育��、科技����、生活等發(fā)面發(fā)揮著重要的作用����,另一方面由于信息技術(shù)的迅猛發(fā)展而帶來(lái)的信息安全事件�����、事故層出不窮�,信息安全問(wèn)題與矛盾日益突出。信息安全工程是一個(gè)多層面����、多因素的����、綜合的����、動(dòng)態(tài)的系統(tǒng)工程,其包括關(guān)鍵基礎(chǔ)設(shè)施及硬件安全����、運(yùn)行安全、軟件安全��、通信安全�、人員安全、傳輸安全�����、網(wǎng)絡(luò)安全�����、人員安全等����。組織要實(shí)現(xiàn)信息安全目標(biāo)�����,就必須建立一套行之有效信息安全管理與技術(shù)有機(jī)結(jié)合的安全防范體系��。信息安全管理包括制定信息安全策略(包括計(jì)劃����、程序�、流程與記錄等)、風(fēng)險(xiǎn)評(píng)估�、控制目標(biāo)的選擇、控制措施的實(shí)施以及信息安全管理測(cè)評(píng)等��。管理大師德魯克曾經(jīng)說(shuō)過(guò)“無(wú)法度量就無(wú)法管理”[1]�����,強(qiáng)調(diào)了測(cè)量對(duì)組織管理的重要意義����,信息安全管理同樣也離不開(kāi)測(cè)評(píng)�����。如何對(duì)信息安全管理有效性等進(jìn)行測(cè)量,根據(jù)測(cè)量的結(jié)果對(duì)組織信息安全管理情況進(jìn)行評(píng)價(jià)并進(jìn)一步指導(dǎo)信息安全管理����,提高信息安全管理能力和水平,目前已經(jīng)成為信息安全領(lǐng)域的一個(gè)研究熱點(diǎn)[2]�。
信息安全管理測(cè)評(píng)是組織圍繞信息化持續(xù)發(fā)展與信息安全保障的現(xiàn)狀和未來(lái)綜合能力的反映,不僅是對(duì)過(guò)去和現(xiàn)在的能力展現(xiàn)����,而且為未來(lái)發(fā)展提供保障和動(dòng)力。在我國(guó)���,目前關(guān)于信息安全管理測(cè)評(píng)研究剛處于起步階段�����,還沒(méi)有一套可供使用的信息安全測(cè)評(píng)體系標(biāo)準(zhǔn)��、方法等�����。因此�����,開(kāi)展信息安全管理測(cè)評(píng)研究��,對(duì)組織信息化建設(shè)既具有重要的現(xiàn)實(shí)意義也具有長(zhǎng)遠(yuǎn)的持續(xù)發(fā)展意義�����。
1 信息安全管理測(cè)評(píng)發(fā)展綜述與需求
關(guān)于信息安全測(cè)評(píng)���,美國(guó)早在2002年通過(guò)的《聯(lián)邦信息安全管理法案》中就要求各機(jī)構(gòu)每年必須對(duì)其信息安全實(shí)踐進(jìn)行獨(dú)立測(cè)評(píng)���,以確認(rèn)其有效性。這種測(cè)評(píng)主要包括對(duì)管理�、運(yùn)行和技術(shù)三要素的控制和測(cè)試,其頻率視風(fēng)險(xiǎn)情況而定��,但不能少于每年一次��。在獨(dú)立評(píng)價(jià)的基礎(chǔ)上���,聯(lián)邦管理與預(yù)算局應(yīng)向國(guó)會(huì)上報(bào)評(píng)價(jià)匯總結(jié)果;而聯(lián)邦審計(jì)署則需要周期性地評(píng)價(jià)并向國(guó)會(huì)匯報(bào)各機(jī)構(gòu)信息安全策略和實(shí)踐的有效性以及相關(guān)要求的執(zhí)行情況����。
2003年7月�,美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(National Institute of Standards and Technology���,NIST)了NIST SP 800-55《信息技術(shù)系統(tǒng)安全測(cè)量指南》�,其包括以下內(nèi)容[3]:
1) 角色和職責(zé):介紹發(fā)展和執(zhí)行信息安全測(cè)量的主要任務(wù)和職責(zé)�����。
2) 信息安全測(cè)量背景:介紹測(cè)量定義����、進(jìn)行信息安全測(cè)量的好處、測(cè)量類型�、幾種可以進(jìn)行信息安全測(cè)量的控制、成功測(cè)量的重要因素��、測(cè)量對(duì)管理�����、報(bào)告和決策的作用����。
3) 測(cè)量發(fā)展和執(zhí)行過(guò)程:介紹用于信息安全測(cè)量發(fā)展的方法。
4) 測(cè)量項(xiàng)目執(zhí)行:討論可以影響安全測(cè)量項(xiàng)目的技術(shù)執(zhí)行的各種因素。
5) 以附件的形式給出的16種測(cè)量的模板���。
2004年11月17日����,美國(guó)的企業(yè)信息安全工作組(Corporate Information Security Working Group�,CISWG)了CISWG CS1/05-0079《帶有支撐管理測(cè)量的信息安全計(jì)劃要素》[4],2005年國(guó)際標(biāo)準(zhǔn)化組織(ISO/IEC SC27)提出了信息安全管理體系(Information Security Management Systems����,ISMS)的系列標(biāo)準(zhǔn)——ISO27000系列。2005年1月10日又了修訂版�,并作為針對(duì)ISO/IEC 2nd WD27004 的貢獻(xiàn)文檔提交給ISO/IEC JTC1 SC27,該文檔是根據(jù)CISWG的最佳實(shí)踐和測(cè)量小組的報(bào)告改編�����。
2005年8月31日��,美國(guó)國(guó)際系統(tǒng)安全工程協(xié)會(huì)(International System Security Engineering Association��,ISSEA)針對(duì)ISO/IEC 2nd WD 27004向ISO/IEC JTC1 SC27提交了題為“ISSEA Contribution Background”[5](ISSEA測(cè)量的貢獻(xiàn)背景)和“ISSEA Metrics”[6](ISSEA測(cè)量)兩個(gè)貢獻(xiàn)文檔�。
2009年國(guó)際標(biāo)準(zhǔn)化組織(ISO)了ISO/IEC 27004:2009(信息技術(shù)一安全技術(shù)一信息安全管理測(cè)量)標(biāo)準(zhǔn),為如何建立及測(cè)量ISMS及其控制措施提供了指導(dǎo)性建議[7]��。
信息安全管理體系是信息安全保障體系的重要組成部分���。近年來(lái)�����,隨著組織對(duì)信息安全保障工作重視程度的日益增強(qiáng)�����,不少組織都依據(jù)標(biāo)準(zhǔn)GB/T 22081-2008建立了一套比較完善的ISMS來(lái)保護(hù)組織的重要信息資產(chǎn)����,但是體系建立起來(lái)了�,不少管理者都對(duì)ISMS的運(yùn)行效果極其控制措施的有效性,持懷疑的態(tài)度��。故此組織很有必要建立一套相應(yīng)的測(cè)評(píng)方法來(lái)全面的對(duì)ISMS的運(yùn)行情況進(jìn)行科學(xué)的評(píng)價(jià)��,進(jìn)一步提升ISMS的執(zhí)行力�。該文研究的信息安全管理測(cè)評(píng)將為確定ISMS的實(shí)現(xiàn)目標(biāo),衡量ISMS執(zhí)行的效力和效率提供一些思想��、方法���,其結(jié)果具有客觀的可比性��,還可以作為信息安全風(fēng)險(xiǎn)管理�、安全投入優(yōu)化和安全實(shí)現(xiàn)變更的客觀依據(jù),有助于降低安全風(fēng)險(xiǎn)�����,減少安全事件的概率和影響�,改進(jìn)安全控制和管理過(guò)程的效率或降低其成本。
2 信息安全管理測(cè)評(píng)研究?jī)?nèi)容
信息安全管理測(cè)評(píng)是信息安全管理體系的重要部分���,是信息安全管理測(cè)量與評(píng)價(jià)的綜合��。信息安全管理測(cè)量的結(jié)果是信息安全績(jī)效評(píng)價(jià)的依據(jù)�����。信息安全管理測(cè)量比較具體�,信息安全管理評(píng)價(jià)則通過(guò)具體來(lái)反映宏觀���。
2.1 信息安全管理測(cè)評(píng)要素及其框架
信息安全管理測(cè)評(píng)要素包括:測(cè)評(píng)實(shí)體及其屬性��、基礎(chǔ)測(cè)評(píng)方式�����、基礎(chǔ)測(cè)評(píng)變量��、導(dǎo)出測(cè)評(píng)制式�����、導(dǎo)出測(cè)評(píng)變量����、測(cè)評(píng)方法����、測(cè)評(píng)基線、測(cè)評(píng)函數(shù)�����、分析模型���、指示器�����、決策準(zhǔn)則��、測(cè)評(píng)需求和可測(cè)評(píng)概念等���,其框架如圖3.1信息安全測(cè)評(píng)框架所示����,包括:基于什么樣的需求來(lái)測(cè)評(píng)(即測(cè)評(píng)需求)����,對(duì)什么進(jìn)行測(cè)評(píng)(即實(shí)體及其屬性),用什么指標(biāo)體系來(lái)測(cè)評(píng)(包括測(cè)評(píng)制式��、測(cè)評(píng)變量和測(cè)評(píng)尺度)�����,用什么方法來(lái)測(cè)評(píng)(即測(cè)評(píng)方法)��,用什么函數(shù)來(lái)計(jì)算測(cè)評(píng)結(jié)果(即測(cè)評(píng)函數(shù))�,用什么模型來(lái)分析測(cè)評(píng)結(jié)果(即分析模型),用什么方式來(lái)使分析結(jié)果能夠輔助決策(即指示器)等問(wèn)題���。
信息需求是測(cè)評(píng)需求方提出的對(duì)測(cè)評(píng)結(jié)果信息的需求���。信息需求源自于組織的使命和業(yè)務(wù)目標(biāo)����,與相關(guān)利益者的利益訴求密切相關(guān)�����。指示器的生成和分析模型的選擇是以信息需求為導(dǎo)向的���。
決策準(zhǔn)則是一種決定下一步行為的閾值。他有助于解釋測(cè)評(píng)的結(jié)果�����。決策準(zhǔn)則可能出自或基于對(duì)預(yù)期行為在概念上的理解和判斷�。決策準(zhǔn)則可以從歷史數(shù)據(jù)、計(jì)劃和探索中導(dǎo)出����,或作為統(tǒng)計(jì)控制限度或統(tǒng)計(jì)信心限度計(jì)算出來(lái)。
可測(cè)評(píng)概念是實(shí)體屬性與信息需求之間的抽象關(guān)系���,體現(xiàn)將可測(cè)評(píng)屬性關(guān)聯(lián)到信息需求以及如何關(guān)聯(lián)的思想���??蓽y(cè)評(píng)概念的例子有生產(chǎn)力�、質(zhì)量、風(fēng)險(xiǎn)����、績(jī)效、能力�、成熟度和客戶價(jià)值等。實(shí)體是能通過(guò)測(cè)評(píng)屬性描述的對(duì)象�。一個(gè)實(shí)體是測(cè)評(píng)其屬性的一個(gè)對(duì)象,例如����,過(guò)程、產(chǎn)品���、系統(tǒng)���、項(xiàng)目或資源。一個(gè)實(shí)體可能有一個(gè)或多個(gè)滿足信息需求的屬性��。實(shí)踐中,一個(gè)實(shí)體可被歸類于多個(gè)上述類別���。他可以是有形的也可是無(wú)形的�。信息安全管理測(cè)評(píng)的實(shí)體包括信息安全管理體系建立過(guò)程中所有的控制項(xiàng)(信息安全管理測(cè)評(píng)要素)���。屬性是實(shí)體可測(cè)評(píng)的�、物理的或抽象的性質(zhì)���。一個(gè)屬性是能被人或自動(dòng)手段定量或定性區(qū)分的一個(gè)實(shí)體的某一特性或特征���。一個(gè)實(shí)體可能有多個(gè)屬性����,其中只有一些可能對(duì)測(cè)評(píng)有價(jià)值。測(cè)評(píng)模型實(shí)例化的第一步是選擇與信息需求最相關(guān)的屬性��。一個(gè)給定屬性可能被結(jié)合到支持不同信息需求的多個(gè)測(cè)評(píng)構(gòu)造中�����。信息安全管理測(cè)評(píng)主要測(cè)評(píng)的是每一項(xiàng)控制措施的屬性(信息安全管理測(cè)評(píng)指標(biāo))�����。
測(cè)評(píng)是以確定量值為目的的一組操作。信息安全管理測(cè)評(píng)是確定控制項(xiàng)的每一個(gè)具體指標(biāo)的一組操作�,可以有多種測(cè)評(píng)方法?����;A(chǔ)測(cè)評(píng)是依照屬性和定量方法而定義的測(cè)評(píng)方法�,是用來(lái)直接測(cè)評(píng)某一屬性的,是根據(jù)屬性和量化他的方法來(lái)定義�����,他捕獲單獨(dú)屬性的信息����,其功能獨(dú)立于其他測(cè)評(píng)。信息安全管理基礎(chǔ)測(cè)評(píng)是對(duì)于控制項(xiàng)的指標(biāo)可以直接測(cè)評(píng)出來(lái)的量��。導(dǎo)出測(cè)評(píng)是通過(guò)測(cè)評(píng)其他屬性來(lái)間接地測(cè)評(píng)某一屬性的測(cè)評(píng)����,是根據(jù)屬性之間的關(guān)系來(lái)定義,他捕獲多個(gè)屬性或多個(gè)實(shí)體的相同屬性的信息��,其功能依賴于基礎(chǔ)測(cè)評(píng)的,是兩個(gè)或更多基礎(chǔ)測(cè)評(píng)值得函數(shù)����。
測(cè)評(píng)尺度是一組連續(xù)或離散的數(shù)字量值(如小數(shù)/百分比/自然數(shù)等)或離散的可數(shù)量值(如高/中/低/等)。測(cè)評(píng)尺度是規(guī)范測(cè)評(píng)變量取值的類型和范圍�。測(cè)評(píng)方法將所測(cè)評(píng)屬性的量級(jí)影射到一個(gè)測(cè)評(píng)尺度上的量值后賦給測(cè)評(píng)變量。
測(cè)評(píng)尺度根據(jù)尺度上量值之間關(guān)系的性質(zhì)分為四種類型:
名義(Nominal) :測(cè)評(píng)值是直呼其名����。
序數(shù)(Ordinal) :測(cè)評(píng)值是有等級(jí)的。
間隔(Interval) :測(cè)評(píng)值是等距離的����,對(duì)應(yīng)于屬性的等量,不可能是零值���。
比率(Ratio) :測(cè)評(píng)值是等距離的�,對(duì)應(yīng)于屬性的等量���,無(wú)該屬性為零值。
測(cè)評(píng)單位是作為慣例定義和被廣泛接受的一個(gè)特定量�����。他被用作比較相同種類量值的基準(zhǔn),以表達(dá)他們相對(duì)于此量的量級(jí)����。只有用相同測(cè)評(píng)單位表達(dá)的量值才能直接比較。測(cè)評(píng)單位的例子有公尺�����、公斤和小時(shí)等��。
測(cè)評(píng)函數(shù)是將兩個(gè)或更多測(cè)評(píng)變量結(jié)合成導(dǎo)出測(cè)評(píng)變量的算法����。導(dǎo)出測(cè)評(píng)變量的尺度和單位依賴于作為函數(shù)輸入的測(cè)評(píng)變量的尺度和單位以及他們通過(guò)函數(shù)結(jié)合的運(yùn)算方式。分析模型是將一個(gè)或多個(gè)測(cè)評(píng)變量轉(zhuǎn)化為指示器的算法���。他是基于對(duì)測(cè)評(píng)變量和/或他們經(jīng)過(guò)一段時(shí)間的表現(xiàn)之間的預(yù)期關(guān)系的理解或假設(shè)���。分析模型產(chǎn)生與信息需求相關(guān)的評(píng)估或評(píng)價(jià)。測(cè)評(píng)方法和測(cè)評(píng)尺度影響分析模型的選擇���。
測(cè)評(píng)計(jì)劃定義了測(cè)評(píng)實(shí)施的目標(biāo)�、方法���、步驟和資源�。測(cè)評(píng)頻率是測(cè)評(píng)計(jì)劃的執(zhí)行頻率。測(cè)評(píng)計(jì)劃應(yīng)按規(guī)定的頻度定期地或在必要的時(shí)候不定期地執(zhí)行����。定期執(zhí)行的規(guī)定頻度應(yīng)建立在信息效益的需求與獲得他的成本之間的折中,可以是每周�、每月、每季度或每年等�。不定期執(zhí)行的必要時(shí)候包括ISMS初始規(guī)劃和實(shí)施以及ISMS本身或運(yùn)行環(huán)境發(fā)生重大變化。
2.2 信息安全管理測(cè)評(píng)量表體系
任何測(cè)評(píng)都必須具備參照點(diǎn)�����、單位和量表三個(gè)要素�����。信息安全測(cè)評(píng)指標(biāo)體系是信息安全測(cè)評(píng)的基礎(chǔ)����,是對(duì)指定屬性的評(píng)價(jià),這些屬性與測(cè)評(píng)需求方的信息保障需求相關(guān)聯(lián)�,對(duì)他們進(jìn)行評(píng)價(jià)為測(cè)評(píng)需求方提供有意義的信息���。其總是以滿足其信息保障需求和方便易理解的方式呈現(xiàn)給測(cè)評(píng)需求方的�。標(biāo)準(zhǔn)GB/T 22081-2008是進(jìn)行信息安全管理所參照的標(biāo)準(zhǔn),其從信息安全方針�����、信息安全組織���、法律法規(guī)符合性等11個(gè)方面���,提出了133個(gè)控制措施供使用者在信息安全管理過(guò)程中選擇適當(dāng)?shù)目刂拼胧﹣?lái)加強(qiáng)信息安全管理。該標(biāo)準(zhǔn)所提供的控制措施基本能覆蓋信息安全管理的各個(gè)方面�����。在建立信息安全管理測(cè)評(píng)指標(biāo)體系的實(shí)踐中�����,通常以控制措施的實(shí)施情況作為指標(biāo)�,建立預(yù)選指標(biāo)集,通過(guò)對(duì)預(yù)選指標(biāo)集的分析�����,采用專家咨詢的方式篩選出能全面反映信息安全管理有效性的具體指標(biāo)。
3 信息安全管理測(cè)評(píng)方法探討
測(cè)評(píng)方法通常影響到用于給定屬性的測(cè)評(píng)尺度類型�。例如,主觀測(cè)評(píng)方法通常只支持序數(shù)或名義類型的測(cè)評(píng)尺度�����。測(cè)評(píng)方法是使用指定的測(cè)評(píng)制式量化屬性的操作邏輯序列���。操作可能包括計(jì)算發(fā)生次數(shù)或觀察經(jīng)過(guò)時(shí)間等�����。同樣的測(cè)評(píng)方法可能適用于多個(gè)屬性�����。然而����,每一個(gè)屬性和測(cè)評(píng)方法的獨(dú)特結(jié)合產(chǎn)生一個(gè)不同的基礎(chǔ)測(cè)評(píng)���。測(cè)評(píng)方法可能采用多種方式實(shí)現(xiàn)�。測(cè)評(píng)規(guī)程描述給定機(jī)構(gòu)背景下測(cè)評(píng)方法的特定實(shí)現(xiàn)。
測(cè)評(píng)方法根據(jù)量化屬性的操作性質(zhì)分為兩種類型:
主觀:含有人為判斷的量化��。
客觀:基于數(shù)字規(guī)則(如計(jì)數(shù))的量化�����。這些規(guī)則可能通過(guò)人或自動(dòng)手段來(lái)實(shí)現(xiàn)��。
測(cè)評(píng)方法的可能例子有:調(diào)查觀察�����、問(wèn)卷�、知識(shí)評(píng)估��、視察�、再執(zhí)行、系統(tǒng)咨詢���、測(cè)試(相關(guān)技術(shù)有設(shè)計(jì)測(cè)試和操作有效性測(cè)試等)�、統(tǒng)計(jì)(相關(guān)技術(shù)有描述統(tǒng)計(jì)�����、假設(shè)檢驗(yàn)��、測(cè)評(píng)分析、過(guò)程能力分析�、回歸分析、可靠性分析��、取樣�����、模擬�、統(tǒng)計(jì)過(guò)程控制(SPC, statistical Process control) 圖和時(shí)序分析等)�����。
4 結(jié)束語(yǔ)
當(dāng)前���,信息安全領(lǐng)域的測(cè)評(píng)研究多側(cè)重于對(duì)技術(shù)產(chǎn)品����、系統(tǒng)性能等方面的測(cè)評(píng)��,其中信息安全風(fēng)險(xiǎn)評(píng)估可通過(guò)對(duì)重要信息資產(chǎn)面臨的風(fēng)險(xiǎn)���、脆弱性的評(píng)價(jià)掌握組織的信息安全狀況�;信息安全審計(jì)則只是對(duì)信息安全相關(guān)行為和活動(dòng)提供相關(guān)證據(jù);而信息安全管理評(píng)審則是符合性審核�,他們都不能對(duì)信息安全管理的有效性以及信息安全管理中采取的控制措施的有效性做出評(píng)價(jià)。因此�����,非常有必要對(duì)信息安全管理的有效性進(jìn)行測(cè)評(píng)��,這將有助于了解信息安全管理過(guò)程中所采取的控制措施的有效性以及控制措施的執(zhí)行情況���,為管理者決策提供依據(jù),也能為組織信息安全管理過(guò)程的持續(xù)改進(jìn)提供足夠的幫助��,達(dá)到更好地管理信息安全的最終目的����。
參考文獻(xiàn):
[1] 閆世杰,閔樂(lè)泉��,趙戰(zhàn)生.信息安全管理測(cè)量研究[J].信息安全與通信保密��,2009��,5:53.
[2] 朱英菊,陳長(zhǎng)松.信息安全管理有效性的測(cè)量[J].信息網(wǎng)絡(luò)安全���,2009�,1:87-88.
[3] Nist N. 800-55. security metrics guide for information technology systems[J]. NIST paper��, 2003.
[4] CISWG CS1/05 -0079. Information Security Program Elements with Supporting Management Metrics ���, Adapted from the report of the Best Practices and Metrics Teams ����, Corporate Information Security Working Group ( CISWG ) �����, 2004-11-17 ( Revised 2005-01-10 ).
[5] ISO/IEC JTCI SC27 N4690 ISSEA Liaison Organization 's cofnfnents on SC27 N4474 ISO/IEC 2nd WD 27004 Information technology-Security techniques-Information Security management metric and measurement (in response to document SC27 N4485revl)����,2005-08-31
第5篇
關(guān)鍵詞:企業(yè);信息�����;安全管理
中圖分類號(hào):U283.4 文獻(xiàn)標(biāo)識(shí)碼:A
企業(yè)信息安全管理是運(yùn)用科學(xué)的方法和手段���,系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的薄弱點(diǎn)��,提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和控制措施��,這是企業(yè)推進(jìn)信息化進(jìn)程和促進(jìn)生產(chǎn)經(jīng)營(yíng)管理的重要內(nèi)容����,是保障企業(yè)信息系統(tǒng)正常運(yùn)行、高效應(yīng)用和健康發(fā)展的前提條件�。
1我國(guó)企業(yè)信息安全管理存在的問(wèn)題
1.1缺少企業(yè)信息安全的法規(guī)和規(guī)范。企業(yè)信息安全是一個(gè)比較新的領(lǐng)域�,目前還缺少比較完善的法規(guī)�����,即便現(xiàn)有的法規(guī)�,由于相關(guān)安全技術(shù)和手段還沒(méi)有成熟和標(biāo)準(zhǔn)化,法規(guī)也不能很好地被執(zhí)行�����,安全標(biāo)準(zhǔn)和規(guī)范的缺少���,導(dǎo)致無(wú)從制定合理的安全策略并確保此策略能被有效執(zhí)行���。
1.2存在物理安全風(fēng)險(xiǎn)�����。物理安全是指各種服務(wù)器��、路由器�����、交換機(jī)�、工作站等硬件設(shè)備和通信鏈路的安全�����。風(fēng)險(xiǎn)的來(lái)源有:水災(zāi)��、火災(zāi)����、雷擊等自然災(zāi)害,人為的破壞或誤操作外界的電磁干擾�����,設(shè)備固有的弱點(diǎn)或缺陷等。物理安全的威脅可以直接造成設(shè)備的損壞�����、系統(tǒng)和網(wǎng)絡(luò)的不可用�����、數(shù)據(jù)的直接損壞或丟失等��。
1.3信息外泄現(xiàn)象時(shí)有發(fā)生�����。進(jìn)入信息化時(shí)代后�,企業(yè)的諸多資料都由原先的紙介質(zhì)變成了電子文檔���。電子文檔的特點(diǎn)就是復(fù)制十分容易�,許多跳槽的員工和競(jìng)爭(zhēng)對(duì)手都會(huì)將這些資料通過(guò)各種手段帶離企業(yè)����。而且,在企業(yè)信息管理系統(tǒng)中���,大量購(gòu)����、銷、存等業(yè)務(wù)��、財(cái)務(wù)數(shù)據(jù)����、文檔及客戶資料,以存儲(chǔ)介質(zhì)形式存在于計(jì)算機(jī)中���,由于電磁輻射或數(shù)據(jù)可訪問(wèn)性等弱點(diǎn)�,受到人為和非人為因素的破壞�����。數(shù)據(jù)一旦遭到破壞�����,將會(huì)嚴(yán)重影響企業(yè)日常業(yè)務(wù)的正常運(yùn)作�。因此,保證數(shù)據(jù)的安全����,就是保證企業(yè)的安全�。
1.4缺少安全管理制度和責(zé)任性��。目前企業(yè)的安全解決方案����,基本上只是一個(gè)安全產(chǎn)品方案,這使人們誤以為企業(yè)的信息安全只是信息技術(shù)部門(mén)的工作和責(zé)任����,與其他人員不直接相關(guān).但是一個(gè)企業(yè)的信息系統(tǒng)是企業(yè)全體人員參與的,因?yàn)樗麄儾攀瞧髽I(yè)信息系統(tǒng)的提供者和使用者����,他們是影響信息安全系統(tǒng)能否達(dá)到預(yù)期要求的決定因素.
2加強(qiáng)我國(guó)企業(yè)信息安全管理的幾點(diǎn)建議
2.1全面提高職工的信息安全知識(shí)素質(zhì),加強(qiáng)安全文化建設(shè)�,提升防患水平,防微杜漸����。對(duì)于信息安全工作的開(kāi)展��,不是系統(tǒng)管理部門(mén)的事�,也不是系統(tǒng)使用部門(mén)的事���,而是全體員工的事,必須要提高全體員工的信息安全意識(shí)����。通過(guò)培訓(xùn)和考核等措施,提高員工對(duì)公司信息安全的認(rèn)識(shí)��,讓信息安全成為業(yè)務(wù)開(kāi)展的一部分��,才能有效提高公司整體信息安全水平����,也是信息安全工作得到有效的支持和推進(jìn)。在此基礎(chǔ)上���,要建立適應(yīng)21世紀(jì)知識(shí)經(jīng)濟(jì)時(shí)代的企業(yè)信息安全文化�,只有加強(qiáng)安全文化建設(shè)��,才能適應(yīng)知識(shí)經(jīng)濟(jì)時(shí)代的發(fā)展�。
2.2完善企業(yè)信息安全管理制度。首先�,數(shù)據(jù)安全管理制度,即確保數(shù)據(jù)存儲(chǔ)介質(zhì)(設(shè)備)的安全;定時(shí)進(jìn)行數(shù)據(jù)備份����,備份數(shù)據(jù)必須異地存放;對(duì)數(shù)據(jù)的操作需經(jīng)主管部門(mén)的審批�、同意方可進(jìn)行;數(shù)據(jù)的清除�����、整理工作需兩人或兩人以上在場(chǎng)����,并由相關(guān)部門(mén)進(jìn)行監(jiān)督、記錄�。第二,準(zhǔn)入管理制度��。準(zhǔn)入管理又稱密碼���、權(quán)限管理�,通過(guò)準(zhǔn)入系統(tǒng)可以判斷請(qǐng)求登錄的用戶是否是合法的�����、值得信任的�����。一個(gè)安全的準(zhǔn)入系統(tǒng)則需要收集請(qǐng)求登錄者的以下信息:一是請(qǐng)求方式���。當(dāng)同一網(wǎng)段在單位時(shí)間內(nèi)多次請(qǐng)求登錄或多次登錄用戶��、密碼錯(cuò)誤者����,就應(yīng)在一定時(shí)間內(nèi)封閉其所在網(wǎng)段的請(qǐng)求����,并發(fā)出報(bào)警信號(hào)。二是系統(tǒng)安全驗(yàn)證����,即對(duì)登錄用戶的操作系統(tǒng)進(jìn)行安全證,并提示登錄用戶進(jìn)行一系列的修復(fù)操作����。三是檢測(cè)設(shè)備自身數(shù)據(jù)是否被修改或篡改,并對(duì)登錄戶相應(yīng)的操作進(jìn)行記錄備案���。
2.3采取傳統(tǒng)的信息安全防范策略�。物理安全策略:包括環(huán)境安全、設(shè)備安全����、媒體安全、信息資產(chǎn)的物理分布����、人員的訪問(wèn)控制、審計(jì)記錄���、異常情況的追查等�����;網(wǎng)絡(luò)安全策略:包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)����、網(wǎng)絡(luò)設(shè)備的管理�、網(wǎng)絡(luò)安全訪問(wèn)措施、安全掃描����、遠(yuǎn)程訪問(wèn)��、不同級(jí)別網(wǎng)絡(luò)的訪問(wèn)控制方式�、識(shí)別/認(rèn)證機(jī)制等�;數(shù)據(jù)加密策略:包括加密算法��、適用范圍����、密鑰交換和管理等;數(shù)據(jù)備份策略:包括適用范圍�、備份方式、備份數(shù)據(jù)的安全存儲(chǔ)�、備份周期、負(fù)責(zé)人等�;身份認(rèn)證及授權(quán)策略:包括認(rèn)證及授權(quán)機(jī)制、方式�、審計(jì)記錄等;災(zāi)難恢復(fù)策略:包括負(fù)責(zé)人員����、恢復(fù)機(jī)制、方式�、歸檔管理、硬件���、軟件等���;事故處理����、緊急響應(yīng)策略:包括響應(yīng)小組��、聯(lián)系方式����、事故處理計(jì)劃、控制過(guò)程等�����。
2.4實(shí)施�、檢查和改進(jìn)信息安全管理體制。企業(yè)應(yīng)按照規(guī)劃階段編制安全管理體系文件的控制要求來(lái)實(shí)施活動(dòng)��,主要實(shí)施和運(yùn)行ISMS方針��、控制措施���、過(guò)程和程序����,包括安全策略、所選擇的安全措施或控制����、安全意識(shí)和培訓(xùn)程序等。在實(shí)施期間�,企業(yè)應(yīng)及時(shí)檢查發(fā)現(xiàn)規(guī)劃中存在的問(wèn)題����,找出問(wèn)題根源,采取糾正措施�,并按照更改控制程序要求對(duì)體系予以更改,以達(dá)到進(jìn)一步完善信息安全管理體系的目的�����。信息安全實(shí)施過(guò)程的效果如何����,需要通過(guò)監(jiān)視、審計(jì)��、復(fù)查�����、評(píng)估等手段來(lái)進(jìn)行檢查,檢查的依據(jù)就是計(jì)劃階段建立的安全策略���、目標(biāo)�、程序���,以及標(biāo)準(zhǔn)��、法律法規(guī)和實(shí)踐經(jīng)驗(yàn)��,檢查的結(jié)果是進(jìn)一步采取措施的依據(jù)�。
2.5加強(qiáng)信息安全監(jiān)控����,保障信息系統(tǒng)安全運(yùn)行。在信息安全監(jiān)控����、信息安全配置和系統(tǒng)訪問(wèn)控制方面,信息管理部門(mén)借助先進(jìn)成熟的信息技術(shù)�,充分挖掘和利用現(xiàn)有資源功能潛力,進(jìn)一步提升企業(yè)信息系統(tǒng)的安全防范能力��。例如,加強(qiáng)信息系統(tǒng)監(jiān)控管理和風(fēng)險(xiǎn)評(píng)估����,優(yōu)化信息系統(tǒng)安全架構(gòu),開(kāi)展入侵檢測(cè)分析防范��、核心網(wǎng)絡(luò)冗余和服務(wù)器架構(gòu)調(diào)整等工作����,確保公司信息系統(tǒng)安全穩(wěn)定運(yùn)行。統(tǒng)一企業(yè)桌面安全管理體系����,建立網(wǎng)絡(luò)運(yùn)維管理系統(tǒng)�,加強(qiáng)接入層管理、桌面安全管理和安全監(jiān)控管理�����,有效保障聯(lián)網(wǎng)計(jì)算機(jī)的安全運(yùn)行�。優(yōu)化企業(yè)內(nèi)外網(wǎng)連接架構(gòu)和訪問(wèn)控制策略,增加網(wǎng)絡(luò)出口流量監(jiān)控環(huán)節(jié)��,使有限的網(wǎng)絡(luò)帶寬資源得到合理分配和充分利用����。針對(duì)因特網(wǎng)瀏覽用戶違規(guī)現(xiàn)象較多����,造成非授權(quán)用戶占用大量網(wǎng)絡(luò)資源的問(wèn)題�,加強(qiáng)用戶訪問(wèn)監(jiān)控,嚴(yán)肅處理違規(guī)用戶���,加強(qiáng)保密教育���,促進(jìn)用戶規(guī)范使用信息系統(tǒng)。
2.6構(gòu)建信息安全管理團(tuán)隊(duì)��。信息安全管理團(tuán)隊(duì)是由決策者��、管理者以及計(jì)算機(jī)���、信息����、通訊�����、安全和網(wǎng)絡(luò)技術(shù)等方面的專家為提升企業(yè)信息安全管理水平而組建的團(tuán)隊(duì)。信息安全管理團(tuán)隊(duì)是企業(yè)信息安全管理的直接管理者���,其管理能力��、技術(shù)能力的高低會(huì)直接影響到企業(yè)信息安全管理的效率����。因此必須增加對(duì)企業(yè)內(nèi)部信息安全管理人員����、技術(shù)人員的定期培訓(xùn),同時(shí)與外部專業(yè)技術(shù)企業(yè)建立長(zhǎng)期有效的外部技術(shù)支持網(wǎng)絡(luò)��,才能對(duì)企業(yè)信息安全事件做出及時(shí)�、快速�����、準(zhǔn)確的響應(yīng)�,確定并及時(shí)排除突發(fā)事件,使企業(yè)的風(fēng)險(xiǎn)和損失最小化���,最終形成一套有效的一體化管理體系�,給企業(yè)帶來(lái)更大的管理效益與管理效率的提升。
綜上所述����,隨著網(wǎng)絡(luò)普及和企業(yè)信息化業(yè)務(wù)的不斷拓展,信息成為一種重要的戰(zhàn)略資源����,信息安全保障能力成為一個(gè)企業(yè)綜合能力的重要組成部分。因此��,要提高企業(yè)信息安全管理的效率�����,為企業(yè)決策提供信息支持���,確保企業(yè)信息數(shù)據(jù)安全��、可靠�、真實(shí)�,為企業(yè)發(fā)展和經(jīng)營(yíng)管理提供有力保障。
參考文獻(xiàn)
第6篇
關(guān)鍵詞:石油企業(yè);信息安全;管理手段
0引言
隨著信息化建設(shè)進(jìn)程飛速發(fā)展�,作為信息載體的計(jì)算機(jī)、互聯(lián)網(wǎng)已在企業(yè)生產(chǎn)、經(jīng)營(yíng)管理各個(gè)層面得到廣泛應(yīng)用��。計(jì)算機(jī)網(wǎng)絡(luò)的開(kāi)放性�、靈活性和廣泛性在全面數(shù)字化的今天給經(jīng)營(yíng)管理帶來(lái)了便捷、高效����、有序的工作環(huán)境,同時(shí)也帶來(lái)了較大的安全管理隱患�。黑客的出現(xiàn)、安全漏洞的增多��、管理的交叉混亂�、惡意的網(wǎng)絡(luò)攻擊使網(wǎng)絡(luò)安全管理遭受了較大的沖擊,成為信息化健康發(fā)展的絆腳石���。網(wǎng)絡(luò)信息管理疏于安全的防范將危及到企業(yè)生產(chǎn)經(jīng)濟(jì)的有序發(fā)展��。石油企業(yè)在國(guó)民經(jīng)濟(jì)中發(fā)揮著重要作用��,任何風(fēng)險(xiǎn)都可能導(dǎo)致國(guó)家經(jīng)濟(jì)受到重大影響。因此����,提高石油企業(yè)信息安全意識(shí),加強(qiáng)信息管理應(yīng)以保瘴服務(wù)和應(yīng)用為目標(biāo),強(qiáng)化安全意識(shí)��、制定周密的安全手段從而構(gòu)建完善的信息安全管理體系����。
1加強(qiáng)企業(yè)信息管理的必要性
1.1企業(yè)信息管理概念
企業(yè)信息管理是通過(guò)現(xiàn)代化的信息技術(shù)和設(shè)備,以網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)企業(yè)管理的自動(dòng)化�,進(jìn)而對(duì)企業(yè)進(jìn)行全方位和多角度的管理,以此來(lái)促進(jìn)企業(yè)生產(chǎn)�、經(jīng)營(yíng)管理的優(yōu)化配置,進(jìn)而通過(guò)企業(yè)資源的開(kāi)發(fā)和信息技術(shù)的有效利用來(lái)提高企業(yè)的管理水平��,增強(qiáng)企業(yè)的核心競(jìng)爭(zhēng)力�����。企業(yè)信息管理的主要內(nèi)容���,一般包括企業(yè)未來(lái)的經(jīng)濟(jì)形勢(shì)分析���、預(yù)測(cè)資料、資源的可獲量����、市場(chǎng)和競(jìng)爭(zhēng)對(duì)手的發(fā)展動(dòng)向���,以及政府政策與政治情況的環(huán)境變化等等。企業(yè)信息管理與制訂企業(yè)發(fā)展戰(zhàn)略�、制訂規(guī)劃、合理地分配資源是密切相關(guān)的�。同時(shí),企業(yè)的信息管理也應(yīng)當(dāng)包括企業(yè)內(nèi)部的信息資源��,如財(cái)務(wù)管理信息�、物資庫(kù)存、鉆井施工����、職工檔案管理等多方面的內(nèi)容,并且促進(jìn)企業(yè)的全面發(fā)展�。
1.2企業(yè)信息安全管理的必要性
企業(yè)信息的存在方式有著多樣性,而進(jìn)行企業(yè)安全信息管理的主要目的����,在于保護(hù)企業(yè)的信息安全,保證企業(yè)能夠順利的參與到市場(chǎng)經(jīng)濟(jì)活動(dòng)中�����,進(jìn)而提高企業(yè)的經(jīng)濟(jì)效益和社會(huì)效益����,構(gòu)筑起信息安全管理系統(tǒng)的保密性、完整性���、可用性�、可維護(hù)性�、可驗(yàn)證性的目標(biāo),使企業(yè)安全信息管理能夠通過(guò)有效的控制措施來(lái)實(shí)現(xiàn)��。第一�,企業(yè)管理的信息具有很強(qiáng)的保密性和完整性的特點(diǎn),因此其對(duì)于企業(yè)的生產(chǎn)勢(shì)力��、科技含量���、資金流動(dòng)���、企業(yè)的綜合競(jìng)爭(zhēng)力等多方面都有著重要的影響,同時(shí)對(duì)于企業(yè)的商業(yè)形象與合法經(jīng)營(yíng)也至關(guān)重要�,因此加強(qiáng)企業(yè)信息安全管理是必要的。第二����,由于網(wǎng)絡(luò)自身所具有的開(kāi)放性特性��,決定了企業(yè)信息管理也面臨著來(lái)自各方面的安全威脅����,比如計(jì)算機(jī)病毒��、黑客等�����,以及計(jì)算機(jī)詐騙����、泄密等問(wèn)題,也說(shuō)明了加強(qiáng)企業(yè)信息安全管理勢(shì)在必行����。第三,企業(yè)對(duì)于信息系統(tǒng)產(chǎn)生的依賴也從另一方面暴露出了信息管理系統(tǒng)的脆弱�,公共網(wǎng)絡(luò)與私人網(wǎng)絡(luò)的連接增強(qiáng)了信息的控制難度,使得信息在分散化的管理模式下���,集中�����、專業(yè)控制的有效性大大減弱����。另外����,由于很多信息管理系統(tǒng)設(shè)計(jì)的缺陷,其自身就存在著不合理之處�,這對(duì)于信息安全管理也帶來(lái)了一定的難度?���;诖耍瑢?duì)于企業(yè)信息管理的安全性也成為了當(dāng)前企業(yè)管理面臨的一個(gè)重大課題�。
2加強(qiáng)企業(yè)信息管理安全的防范措施
2.1不斷完善信息管理系統(tǒng)
隨著企業(yè)信息化的發(fā)展,目前應(yīng)用的管理系統(tǒng)有PKI�、郵箱、AD域�����、普OA��、合同系統(tǒng)����、A6���、ERP、網(wǎng)絡(luò)�、操作系統(tǒng)、A7��、檔案系統(tǒng)���、物采系統(tǒng)��、OSC��、視頻會(huì)議����、企業(yè)微信��、門(mén)戶網(wǎng)站���、寶石花��、數(shù)字營(yíng)房����、會(huì)議保障、E2�、一體化、RTX�、移動(dòng)應(yīng)用、短信平臺(tái)�。信息系統(tǒng)的連續(xù)穩(wěn)定運(yùn)行越來(lái)越重要�,一旦系統(tǒng)中斷,將會(huì)給企業(yè)的生產(chǎn)經(jīng)營(yíng)管理帶來(lái)混亂����,而數(shù)據(jù)一旦丟失,后果是不可估量的����。為此,信息管理系統(tǒng)的投入和使用����,是建立在充分的實(shí)踐經(jīng)驗(yàn)的基礎(chǔ)上,通過(guò)一段時(shí)間的運(yùn)行和觀察��,才能夠投入使用。在不同的部門(mén)進(jìn)行信息系統(tǒng)的引入時(shí)�,應(yīng)當(dāng)按照部門(mén)的實(shí)際情況,通過(guò)多方引進(jìn)���,使用統(tǒng)一的信息管理系統(tǒng)�����。對(duì)于信息安全來(lái)說(shuō)����,首先要解決的就是系統(tǒng)是否能夠通過(guò)安全驗(yàn)證對(duì)用戶進(jìn)行有效的管理��,并且賦予不同等級(jí)的用戶不同的使用權(quán)限��,這樣則能夠有效的防止無(wú)權(quán)訪問(wèn)信息的用戶對(duì)核心區(qū)域的訪問(wèn)��,保證信息不會(huì)被盜用���。同時(shí)��,為保證信息系統(tǒng)的連續(xù)穩(wěn)定運(yùn)行�,應(yīng)采用雙機(jī)服務(wù)器和從服務(wù)器�����。一旦發(fā)生服務(wù)器故障,由從服務(wù)器自動(dòng)接替主服務(wù)器工作��。
2.2有效的設(shè)備管理
設(shè)備安全主要涉及到由于自然災(zāi)害����、人為因素造成的數(shù)據(jù)丟失。信息安全應(yīng)建設(shè)完善的容災(zāi)備份系統(tǒng)��,容災(zāi)備份系統(tǒng)一般由兩個(gè)數(shù)據(jù)中心構(gòu)成����,主中心和備份中心����。通過(guò)異地?cái)?shù)據(jù)備份,實(shí)時(shí)地將主中心數(shù)據(jù)拷貝至備份中心存儲(chǔ)系統(tǒng)中�,使主中心存儲(chǔ)數(shù)據(jù)與備份中心數(shù)據(jù)完全保持一致。同時(shí)�,對(duì)于管理系統(tǒng)中使用的設(shè)備品牌、機(jī)型�、內(nèi)部配置以及使用時(shí)間等信息都要進(jìn)行專門(mén)的記錄,通過(guò)這些記錄���,定期對(duì)設(shè)備進(jìn)行維護(hù)����,同時(shí)也能夠通過(guò)這些信息判斷出信息的使用效率以及運(yùn)行情況,對(duì)于設(shè)備的損壞或者是丟失情況都能夠及時(shí)地了解��。
2.3加強(qiáng)對(duì)人員的監(jiān)督與管理
企業(yè)信息安全不單純是技術(shù)問(wèn)題���,而是一個(gè)綜合性的問(wèn)題����。其中最重要的因素是人����,人是設(shè)備的主要操作者,因此對(duì)于信息的安全管理���,就需要加強(qiáng)對(duì)人的管理�,需要操作人員具有足夠的安全意識(shí)��,對(duì)于每一位操作人員進(jìn)行相關(guān)的培訓(xùn)����,對(duì)于唯一的用戶名和密碼等信息要進(jìn)行妥善保管����,同時(shí)讓操作人員認(rèn)識(shí)到泄密會(huì)導(dǎo)致的嚴(yán)重后果����,增強(qiáng)責(zé)任意識(shí)。只有通過(guò)不斷地學(xué)習(xí)及意識(shí)的培養(yǎng)�����,管理人員才能養(yǎng)成定期維護(hù)����、按時(shí)打補(bǔ)丁、及時(shí)更新的操作習(xí)慣��,以不變應(yīng)萬(wàn)變的態(tài)度應(yīng)對(duì)各種網(wǎng)絡(luò)攻擊手段���。通過(guò)不斷的加強(qiáng)過(guò)程管理,通過(guò)對(duì)每個(gè)細(xì)節(jié)的嚴(yán)密審查���,能夠有效減少人為出錯(cuò)的現(xiàn)象��,同時(shí)通過(guò)科學(xué)的評(píng)價(jià)機(jī)制和激勵(lì)機(jī)制�,刺激人員工作的積極性,加強(qiáng)自身的責(zé)任意識(shí)����。
2.4網(wǎng)絡(luò)傳輸安全
第7篇
關(guān)鍵詞:信息安全;管理體系�;ISMS
中圖分類號(hào):TP315 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-8631(2010)05-0171-02
一、概述
當(dāng)前�����,信息資源的開(kāi)發(fā)和利用�����,已成為信息化建設(shè)的核心��。信息作為一種重要的資產(chǎn)�,已成為大家的共識(shí)。其一旦損毀�、丟失、或被不失當(dāng)?shù)仄毓?��。將?huì)給組織帶來(lái)一系列損失��。這些損失是我們不愿意面對(duì)的����。因此信息安全越來(lái)越成為大家關(guān)注的熱點(diǎn)問(wèn)題。前國(guó)家科技部部長(zhǎng)徐冠華曾經(jīng)指出:“沒(méi)有信息安全保障的信息工程一定是豆腐渣工程”���。
所謂信息安全����,是針對(duì)技術(shù)和管理來(lái)說(shuō)的���,為信息處理體統(tǒng)提供安全保護(hù)���,保護(hù)計(jì)算機(jī)軟硬件及信息內(nèi)容不因偶然意外和惡意的原因而遭到破壞、更改和泄漏�。信息安全包括實(shí)體安全、運(yùn)行安全����、信息(針對(duì)信息內(nèi)容)安全和管理安全四個(gè)方面:
1)實(shí)體安全是指保護(hù)計(jì)算機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)施以及其他通信與存儲(chǔ)介質(zhì)免遭地震�����、水災(zāi)�、火災(zāi)、有害氣體和其他環(huán)境事故破壞的措施��、過(guò)程����。
2)運(yùn)行安全是指為保障系統(tǒng)功能的安全實(shí)現(xiàn)。提供一套安全措施(如風(fēng)險(xiǎn)分析��、審計(jì)跟蹤��、備份與恢復(fù)�、應(yīng)急措施)來(lái)保護(hù)信息處理過(guò)程的安全。
3)信息安全是指防止信息資源的非授權(quán)泄漏����、更改、破壞���,或使信息被非法系統(tǒng)辨別����、控制和否認(rèn)�。即確保信息的完整性、機(jī)密性�����、可用性和可控性。
4)管理安全是指通過(guò)信息安全相關(guān)的法律法令和規(guī)章制度以及安全管理手段�����,確保系統(tǒng)安全生存和運(yùn)營(yíng)�。
信息安全是一個(gè)多層面、多因素����、綜合和動(dòng)態(tài)的過(guò)程。安全措施必須滲透到所有的環(huán)節(jié)����。才能獲得全面的保護(hù)。為了防范和減少風(fēng)險(xiǎn)�,一般的信息系統(tǒng)都部署了基本的防御和檢測(cè)體系,如防火墻���、防病毒軟件����、入侵檢測(cè)系統(tǒng)、漏洞掃描設(shè)備等等�。這些安全技術(shù)和安全設(shè)備及軟件的應(yīng)用�,在很大程度上提高了信息系統(tǒng)的安全性。但是這樣做不能從根本上降低安全風(fēng)險(xiǎn)��。解決安全問(wèn)題�。因?yàn)椴荒馨研畔踩珕?wèn)題僅僅當(dāng)做是技術(shù)問(wèn)題,日常所說(shuō)的防范黑客入侵和病毒感染只能是信息安全問(wèn)題的一個(gè)方面���。一方面由于所有安全產(chǎn)品的功能都是針對(duì)某一類問(wèn)題����,并不能應(yīng)用到所有問(wèn)題上��,所以說(shuō)它們的功能相對(duì)比較狹窄�����,因此想通過(guò)設(shè)置安全產(chǎn)品來(lái)徹底解決信息安全問(wèn)題是不可能的����;另一方面,信息安全問(wèn)題并不是固定的�����、靜態(tài)的,它會(huì)隨著信息系統(tǒng)和操作流程的改變而變化����。而設(shè)置安全產(chǎn)品則是一種靜態(tài)的解決辦法。一般情況下���,當(dāng)產(chǎn)品安裝和配置一段時(shí)期后��,舊的問(wèn)題解決了���。新的安全問(wèn)題就會(huì)產(chǎn)生,安全產(chǎn)品無(wú)法進(jìn)行動(dòng)態(tài)調(diào)整來(lái)適應(yīng)安全問(wèn)題的變化����。有效解決上述問(wèn)題的關(guān)鍵是搭建一個(gè)信息安全體系。建設(shè)體系化管理手段��,通過(guò)安全產(chǎn)品的輔助��,從而保障信息系統(tǒng)的安全��。
二��、搭建信息安全管理體系
(一)BS7799
信息安全管理體系是安全管理和安全控制的有效結(jié)合體,通過(guò)分析信息安全各個(gè)環(huán)節(jié)的實(shí)際需求情況和風(fēng)險(xiǎn)情況����,建立科學(xué)合理的安全控制措施,并且同信息系統(tǒng)審計(jì)相結(jié)合�����,從而保證信息資產(chǎn)的安全性�、完整性和可用性��。國(guó)際上制定的信息安全管理標(biāo)準(zhǔn)主要有:英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)制定的信息安全管理體系標(biāo)準(zhǔn)-BS7799�;國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)制定的信息和相關(guān)技術(shù)控制目標(biāo)-COBIT;是目前國(guó)際上通用的信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)�����;英國(guó)政府的中央計(jì)算機(jī)和通信機(jī)構(gòu)提出的一套IT服務(wù)管理標(biāo)準(zhǔn)-ITIL����;國(guó)際標(biāo)準(zhǔn)化組織(IS01和國(guó)際電工委員會(huì)(IEC)所制定信息安全管理標(biāo)準(zhǔn)-IS0/IECl335。其中BS7799英國(guó)的工業(yè)��、政府和商業(yè)共同需求而發(fā)展的一個(gè)標(biāo)準(zhǔn)�����,于1995年2月制定的、世界上第一個(gè)信息安全管理體系標(biāo)準(zhǔn)�。經(jīng)過(guò)不斷的修訂,目前已經(jīng)成為信息安全管理領(lǐng)域的權(quán)威標(biāo)準(zhǔn)��。其兩個(gè)組成部分目前已分別成為IS017799和IS027001標(biāo)準(zhǔn)����。BST799涵蓋了安全所應(yīng)涉及的方方面面,全面而不失操作性����,提供了一個(gè)可持續(xù)發(fā)展提高的信息安全管理環(huán)境。在該標(biāo)準(zhǔn)中���,信息安全已經(jīng)不只是人們傳統(tǒng)上所講的安全�,而是成為一種系統(tǒng)化和全局化的觀念���。和以往的安全體系相比�����,該標(biāo)準(zhǔn)提出的信息安全管理體系(SMS)具有系統(tǒng)化�����、程序化和文檔化的管理特點(diǎn)��。
(二)息安全管理體系(ISMs)
信息安全管理體系(LSMS)是組織整體管理體系的一個(gè)重要組成部分�����,是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)��,以及完成這些目標(biāo)所用方法的體系���。基于對(duì)業(yè)務(wù)風(fēng)險(xiǎn)的分析和認(rèn)識(shí)����,ISMS包括建立、實(shí)施�����、操作�、監(jiān)視、復(fù)查���、維護(hù)和改進(jìn)信息安全等一系列的管理活動(dòng)�����。IS027001是建立和維護(hù)信息安全管理體系的準(zhǔn)繩��,它一般是要求通過(guò)確定的過(guò)程來(lái)建立ISMS框架:確定體系范圍���,制定信息安全策略�,明確管理職責(zé)���,通過(guò)風(fēng)險(xiǎn)評(píng)估確定控制目標(biāo)和控制方式�。整個(gè)體系一旦建立起來(lái)���,組織就必須實(shí)施�����、維護(hù)和不斷改進(jìn)ISMS��,保持整個(gè)體系運(yùn)作的有效性�����。
(三)ISMS搭建步驟
當(dāng)一個(gè)組織建立和管理信息安全體系時(shí)�。BS7799提供了指導(dǎo)性的建議,即遵循PDCA(Plan����,Check和Act)的持續(xù)改進(jìn)的管理模式。PDCA循環(huán)實(shí)際上是有效進(jìn)行任何一項(xiàng)工作的合乎邏輯的工作程序�����。對(duì)于搭建和管理信息安全體系�����,其PDCA過(guò)程如下:
1)信息安全體系(PLAN)
在PLAN階段通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)了解安全需求�����,根據(jù)需求設(shè)計(jì)解決方案���。根據(jù)BS7799-2。搭建ISMS一般有如下步驟:
A���、定義安全方針:信息安全方針是組織的信息安全委員會(huì)制定的高層文件����,用于指導(dǎo)組織如何對(duì)資產(chǎn),包括敏感信息進(jìn)行管理�、保護(hù)和分配的規(guī)則和指示。
B�����、定義1SMS的范圍:ISMS的范圍是需要重點(diǎn)進(jìn)行信息安全管理的領(lǐng)域�,組織可根據(jù)自己的實(shí)際情況。在整個(gè)組織范圍內(nèi)����、或者在個(gè)別部門(mén)或領(lǐng)域架構(gòu)ISMS。
C���、實(shí)施風(fēng)險(xiǎn)評(píng)估:首先對(duì)ISMS范圍內(nèi)的信息資產(chǎn)進(jìn)行鑒定或估計(jì)���,然后對(duì)信息資產(chǎn)面對(duì)的各種威脅和脆弱性進(jìn)行評(píng)估,同時(shí)對(duì)已存在的或規(guī)劃的安全控制措施進(jìn)行鑒定�。
D、風(fēng)險(xiǎn)管理:根據(jù)風(fēng)險(xiǎn)評(píng)估與現(xiàn)狀調(diào)查的結(jié)果�。確定安全需求,決定如何對(duì)信息資產(chǎn)實(shí)施保護(hù)及保護(hù)到何種程度限(如接受風(fēng)險(xiǎn)、避免風(fēng)險(xiǎn)��、轉(zhuǎn)移風(fēng)險(xiǎn)或降低風(fēng)險(xiǎn))����。
E、選擇控制目標(biāo)和控制措施:根據(jù)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理的結(jié)果����,選擇合適的控制目標(biāo)和控制措施來(lái)滿足特定的安全需求?����?梢詮腂S7799-1的中進(jìn)行選擇��,也可以應(yīng)選擇一些其它適宜的控制方式���。
F����、準(zhǔn)備適用性申明(SOA):SOA是適合組織需要的控制目標(biāo)和控制的評(píng)論���,記錄組織內(nèi)相關(guān)的風(fēng)險(xiǎn)控制目標(biāo)和針對(duì)每種風(fēng)險(xiǎn)所采取的各種控制措施。
2)實(shí)施信息安全體系(D01
在DO階段將解決方案付諸實(shí)現(xiàn)����,實(shí)施組織所選擇的控制目標(biāo)與控制措施�。
3)檢查信息安全體系(cHECK)
在CH ECK階段進(jìn)行有關(guān)方針���、程序�����、標(biāo)準(zhǔn)與法律法規(guī)的符合性檢查��,對(duì)存在的問(wèn)題采取措施����,予以改進(jìn)�����,以保證控制措施的有效運(yùn)行��。在此過(guò)程中�,要根據(jù)風(fēng)險(xiǎn)評(píng)估的對(duì)象及范圍的變化情況。以及時(shí)調(diào)整或完善控制措施���。常見(jiàn)的檢查措施有:日常檢查����、從其他處學(xué)習(xí)、內(nèi)部ISMS審核���、管理評(píng)審�����、趨勢(shì)分析等�。
4)改進(jìn)信息安全體系(ACT)
在ACT階段對(duì)ISMS進(jìn)行評(píng)價(jià)�。以檢查階段發(fā)現(xiàn)的問(wèn)題為基礎(chǔ),尋求改進(jìn)的機(jī)會(huì)���,采取相應(yīng)的措施進(jìn)行調(diào)整與改進(jìn)�����。
