序論:在您撰寫(xiě)企業(yè)信息安全服務(wù)時(shí)�����,參考他人的優(yōu)秀作品可以開(kāi)闊視野�,小編為您整理的7篇范文�����,希望這些建議能夠激發(fā)您的創(chuàng)作熱情��,引導(dǎo)您走向新的創(chuàng)作高度。
第1篇
根據(jù)上述問(wèn)題,提出本文的基于SOA的信息安全體系的設(shè)計(jì)�����。通過(guò)研究,我們提出了一個(gè)面向服務(wù)架構(gòu)的企業(yè)信息安全體系結(jié)構(gòu),它是底層基于數(shù)據(jù)倉(cāng)庫(kù)/數(shù)據(jù)集市技術(shù),并以安全服務(wù)總線作為hub,為企業(yè)信息安全活動(dòng)提供集成信息安全的管理和有效的控制,使用BPM(企業(yè)過(guò)程管理)��、規(guī)則引擎(RuleEngine,RE)和,企業(yè)智能(BusinessIntelligence,BI)技術(shù)��。它有益于企業(yè)公司達(dá)到需要的信息安全管理級(jí)別���。并且建立一個(gè)PDCA(Plan-Do-Check-Act)適配器,以確保信息安全管理和風(fēng)險(xiǎn)控制活動(dòng),能夠進(jìn)行自我優(yōu)化���。
1.1體系結(jié)構(gòu)的結(jié)構(gòu)
參考七層OSI設(shè)計(jì),我們?cè)O(shè)計(jì)了五層的智能企業(yè)信息安全體系結(jié)構(gòu)。自下向上為安全數(shù)據(jù)庫(kù)層�����、安全應(yīng)用層���、安全服務(wù)總線�����、集成和智能層�����、信息安全框架����。(圖1)說(shuō)明了智能企業(yè)信息安全體系結(jié)構(gòu)的結(jié)構(gòu)。
(1)安全數(shù)據(jù)層��。體系結(jié)構(gòu)的底層是整個(gè)體系結(jié)構(gòu)的基礎(chǔ)層�����。這是因?yàn)榘踩珨?shù)據(jù)易于被其它應(yīng)用和服務(wù)使用����。這一層的數(shù)據(jù)被分為兩個(gè)部分:操作數(shù)據(jù)和分析數(shù)據(jù)�。
(2)安全應(yīng)用層。應(yīng)用層包括所有的息安全系統(tǒng),如防火墻���、入侵防御系統(tǒng)����、反病毒系統(tǒng),以及被防護(hù)的設(shè)備,如網(wǎng)絡(luò)設(shè)備���、服務(wù)器和桌面環(huán)境等�����。它也包括這些系統(tǒng)上的各種各樣的操作系統(tǒng)���。
(3)安全服務(wù)總線��。是基于SOA的信息安全體系結(jié)構(gòu)的中樞�����。我們?cè)谶@一層定義SOA服務(wù)總線的結(jié)構(gòu)和需要的各種各樣的信息安全服務(wù)�����。在面向服務(wù)的信息安全體系結(jié)構(gòu)中,我們能夠?qū)?dāng)前和未來(lái)的安全需求定義為安全服務(wù),但這些服務(wù)的實(shí)現(xiàn)是隱藏的��。
(4)集成&智能層����。體系結(jié)構(gòu)中數(shù)據(jù)���、過(guò)程和應(yīng)用都是在這一層進(jìn)行處理實(shí)現(xiàn)的,解決一個(gè)企業(yè)各種業(yè)務(wù)問(wèn)題,滿足快速變化的環(huán)境�。集成層具有“應(yīng)用之間”和“過(guò)程之間”進(jìn)行通信的能力,通過(guò)適配器,它還能夠與其他企業(yè)過(guò)程、服務(wù)提供者或數(shù)據(jù)提供者通信�����。
(5)信息安全輔助設(shè)計(jì)��。這是信息安全對(duì)外的接口,主要是由勻衡器����、關(guān)鍵風(fēng)險(xiǎn)指示儀以及監(jiān)控接口。企業(yè)智能模型提供各種各樣的服務(wù),例如報(bào)告���、查詢�����、OLAP、數(shù)據(jù)挖掘和多維分析���。規(guī)則引擎,作為工作流的一部分,可以結(jié)合到BPM模型�����。因?yàn)橛辛艘?guī)則引擎,我們能夠更加有效地執(zhí)行信息安全管理和風(fēng)險(xiǎn)控制����。PDCA適配器是一個(gè)特殊的工具,它利用人工智能能夠幫助公司達(dá)到信息安全管理中持續(xù)提高和自我優(yōu)化的目標(biāo)。
1.2特點(diǎn)和優(yōu)勢(shì)
本文提出的企業(yè)信息安全體系結(jié)構(gòu)具有以下特點(diǎn)��。
(1)集成��。它也能夠?qū)⑿畔踩芾砗惋L(fēng)險(xiǎn)控制聯(lián)合起來(lái)作為一個(gè)集成的框架�。
(2)可復(fù)用。體系結(jié)構(gòu)是比較獨(dú)立的,適合于企業(yè)和小型組織�。服務(wù)的封裝使得可復(fù)用,與其他服務(wù)聯(lián)合使用。
(3)面向服務(wù)的體系結(jié)構(gòu)����。SOA體系機(jī)構(gòu)的采用提供了服務(wù)的獨(dú)立性、自我管理和自我彈性����。
(4)集成的數(shù)據(jù)環(huán)境。集成的數(shù)據(jù)結(jié)構(gòu)使之適合于各種數(shù)據(jù)庫(kù)進(jìn)行對(duì)接���。
(5)企業(yè)智能��。這個(gè)體系結(jié)構(gòu)將企業(yè)智能應(yīng)用到信息安全管理,信息安全管理主要使用了數(shù)據(jù)挖掘和模式識(shí)別技術(shù)�����。這可以大大減少由于人工誤操作引起的損失,增強(qiáng)信息安全管理和風(fēng)險(xiǎn)控制操作�。
(6)開(kāi)放的體系結(jié)構(gòu)。體系結(jié)構(gòu)開(kāi)放設(shè)計(jì),以滿足整個(gè)企業(yè)的安全需求;面向服務(wù)的特征使得體系結(jié)構(gòu)式開(kāi)放的,允許多個(gè)接口與外部應(yīng)用通信�。
2結(jié)論
第2篇
關(guān)鍵詞:SOA 信息安全 企業(yè)服務(wù)總線
中圖分類(lèi)號(hào):TP2 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1672-3791(2013)01(c)-0022-02
隨著信息技術(shù)的不斷普遍,信息安全體系結(jié)構(gòu)在當(dāng)前的企業(yè)信息技術(shù)中扮演著越來(lái)越重要的角色��。我們嘗試將信息安全和風(fēng)險(xiǎn)控制活動(dòng)定義到安全服務(wù)里�,設(shè)計(jì)面向服務(wù)的企業(yè)信息安全體系結(jié)構(gòu)。
SOA是工業(yè)界的一個(gè)熱點(diǎn)主題�����。它是一個(gè)策略�、實(shí)踐和框架的集合,能夠?yàn)樘峁┛缬蜃?cè)��、動(dòng)態(tài)發(fā)現(xiàn)和自動(dòng)機(jī)制提供內(nèi)建的基礎(chǔ)設(shè)施����。并且提供的服務(wù)封裝,通過(guò)消息協(xié)議提供可由雙方共同操作的服務(wù)���。SOA也為服務(wù)質(zhì)量控制和資源管理及其它的監(jiān)控服務(wù)和異常處理機(jī)制準(zhǔn)備了基礎(chǔ)設(shè)施。作為一個(gè)agility-pursued體系結(jié)構(gòu),SOA將企業(yè)邏輯從技術(shù)實(shí)現(xiàn)分離����,從而使圍繞SOA體系結(jié)構(gòu)建立的應(yīng)用能夠滿足企業(yè)和技術(shù)領(lǐng)域持續(xù)變化的需求。它也將有益于可復(fù)用性和系統(tǒng)集成����,以及可擴(kuò)展性、分布性和跨域注冊(cè)���。
1 問(wèn)題發(fā)現(xiàn)
我們?cè)赟OA安全體系結(jié)構(gòu)上的研究發(fā)現(xiàn)了以下幾個(gè)問(wèn)題�����。
(1)缺少企業(yè)信息安全集成體系結(jié)構(gòu)��,引入了不同的����、相互獨(dú)立的信息安全系統(tǒng)和解決方案���,這會(huì)導(dǎo)致整個(gè)系統(tǒng)的不兼容性�,導(dǎo)致無(wú)法達(dá)到期望的風(fēng)險(xiǎn)管理控制�。
(2)由于在信息風(fēng)險(xiǎn)管理系統(tǒng)的信息采集還處于半自動(dòng)化階段��,人工的信息采集過(guò)程會(huì)導(dǎo)致人為造成的錯(cuò)誤���。
(3)ISO/IEC 27002系統(tǒng)為企業(yè)信息安全管理提供非常好的方法和指南,但由于缺乏合適的工具進(jìn)行管理����,無(wú)法很好解決企業(yè)信息安全。
(4)我們需要注意SOA自身的可靠性和安全性問(wèn)題���。
2 信息安全體系結(jié)構(gòu)的設(shè)計(jì)
根據(jù)上述問(wèn)題��,提出本文的基于SOA的信息安全體系的設(shè)計(jì)���。
通過(guò)研究,我們提出了一個(gè)面向服務(wù)架構(gòu)的企業(yè)信息安全體系結(jié)構(gòu)�,它是底層基于數(shù)據(jù)倉(cāng)庫(kù)/數(shù)據(jù)集市技術(shù),并以安全服務(wù)總線作為hub����,為企業(yè)信息安全活動(dòng)提供集成信息安全的管理和有效的控制,使用BPM(企業(yè)過(guò)程管理)�����、規(guī)則引擎(Rule Engine,RE)和���,企業(yè)智能(Business Intelligence,BI)技術(shù)���。它有益于企業(yè)公司達(dá)到需要的信息安全管理級(jí)別���。并且建立一個(gè)PDCA(Plan-Do-Check-Act)適配器,以確保信息安全管理和風(fēng)險(xiǎn)控制活動(dòng)����,能夠進(jìn)行自我優(yōu)化。
2.1 體系結(jié)構(gòu)的結(jié)構(gòu)
參考七層OSI設(shè)計(jì)��,我們?cè)O(shè)計(jì)了五層的智能企業(yè)信息安全體系結(jié)構(gòu)����。自下向上為安全數(shù)據(jù)庫(kù)層、安全應(yīng)用層���、安全服務(wù)總線����、集成和智能層、信息安全框架����。
(圖1)說(shuō)明了智能企業(yè)信息安全體系結(jié)構(gòu)的結(jié)構(gòu)。
(1)安全數(shù)據(jù)層����。體系結(jié)構(gòu)的底層是整個(gè)體系結(jié)構(gòu)的基礎(chǔ)層。這是因?yàn)榘踩珨?shù)據(jù)易于被其它應(yīng)用和服務(wù)使用���。這一層的數(shù)據(jù)被分為兩個(gè)部分:操作數(shù)據(jù)和分析數(shù)據(jù)�����。
(2)安全應(yīng)用層���。應(yīng)用層包括所有的信息安全系統(tǒng),如防火墻���、入侵防御系統(tǒng)����、反病毒系統(tǒng),以及被防護(hù)的設(shè)備�����,如網(wǎng)絡(luò)設(shè)備�、服務(wù)器和桌面環(huán)境等。它也包括這些系統(tǒng)上的各種各樣的操作系統(tǒng)�����。
(3)安全服務(wù)總線���。是基于SOA的信息安全體系結(jié)構(gòu)的中樞。我們?cè)谶@一層定義SOA服務(wù)總線的結(jié)構(gòu)和需要的各種各樣的信息安全服務(wù)���。在面向服務(wù)的信息安全體系結(jié)構(gòu)中��,我們能夠?qū)?dāng)前和未來(lái)的安全需求定義為安全服務(wù)�,但這些服務(wù)的實(shí)現(xiàn)是隱藏的�����。
(4)集成&智能層�。體系結(jié)構(gòu)中數(shù)據(jù)、過(guò)程和應(yīng)用都是在這一層進(jìn)行處理實(shí)現(xiàn)的�����,解決一個(gè)企業(yè)各種業(yè)務(wù)問(wèn)題,滿足快速變化的環(huán)境�����。集成層具有“應(yīng)用之間”和“過(guò)程之間”進(jìn)行通信的能力����,通過(guò)適配器,它還能夠與其他企業(yè)過(guò)程��、服務(wù)提供者或數(shù)據(jù)提供者通信��。
(5)信息安全輔助設(shè)計(jì)����。這是信息安全對(duì)外的接口,主要是由勻衡器�、關(guān)鍵風(fēng)險(xiǎn)指示儀以及監(jiān)控接口。
企業(yè)智能模型提供各種各樣的服務(wù)��,例如報(bào)告�����、查詢、OLAP��、數(shù)據(jù)挖掘和多維分析���。規(guī)則引擎�����,作為工作流的一部分�,可以結(jié)合到BPM模型��。因?yàn)橛辛艘?guī)則引擎�,我們能夠更加有效地執(zhí)行信息安全管理和風(fēng)險(xiǎn)控制��。PDCA適配器是一個(gè)特殊的工具��,它利用人工智能能夠幫助公司達(dá)到信息安全管理中持續(xù)提高和自我優(yōu)化的目標(biāo)���。
2.2 特點(diǎn)和優(yōu)勢(shì)
本文提出的企業(yè)信息安全體系結(jié)構(gòu)具有以下特點(diǎn)�����。
(1)集成��。它也能夠?qū)⑿畔踩芾砗惋L(fēng)險(xiǎn)控制聯(lián)合起來(lái)作為一個(gè)集成的框架���。
(2)可復(fù)用����。體系結(jié)構(gòu)是比較獨(dú)立的����,適合于企業(yè)和小型組織。服務(wù)的封裝使得可復(fù)用����,與其他服務(wù)聯(lián)合使用。
(3)面向服務(wù)的體系結(jié)構(gòu)�。SOA體系機(jī)構(gòu)的采用提供了服務(wù)的獨(dú)立性、自我管理和自我彈性����。
(4)集成的數(shù)據(jù)環(huán)境。集成的數(shù)據(jù)結(jié)構(gòu)使之適合于各種數(shù)據(jù)庫(kù)進(jìn)行對(duì)接�����。
(5)企業(yè)智能。這個(gè)體系結(jié)構(gòu)將企業(yè)智能應(yīng)用到信息安全管理�,信息安全管理主要使用了數(shù)據(jù)挖掘和模式識(shí)別技術(shù)。這可以大大減少由于人工誤操作引起的損失����,增強(qiáng)信息安全管理和風(fēng)險(xiǎn)控制操作。
(6)開(kāi)放的體系結(jié)構(gòu)����。體系結(jié)構(gòu)開(kāi)放設(shè)計(jì),以滿足整個(gè)企業(yè)的安全需求����;面向服務(wù)的特征使得體系結(jié)構(gòu)式開(kāi)放的,允許多個(gè)接口與外部應(yīng)用通信����。
3 結(jié)論
與傳統(tǒng)的信息安全體系結(jié)構(gòu)設(shè)計(jì)相比����,本文提出的體系結(jié)構(gòu)設(shè)計(jì)具有幾個(gè)優(yōu)勢(shì),包括開(kāi)放�、集成、可復(fù)用���、面向服務(wù)���、集成數(shù)據(jù)平臺(tái)和商業(yè)智能�����。信息安全管理人員可以自由地執(zhí)行重要的任務(wù)���,如風(fēng)險(xiǎn)分析等。最后����,這個(gè)體系結(jié)構(gòu)式我們建立集成和智能企業(yè)信息安全體系結(jié)構(gòu)的開(kāi)端,以后會(huì)有更多的���、更好的產(chǎn)品出現(xiàn)��。
參考文獻(xiàn)
[1] 魏東��,陳曉江�,房鼎益�����,等.基于SOA體系結(jié)構(gòu)的軟件開(kāi)發(fā)方法研究[J].微電子學(xué)與計(jì)算機(jī),2005���,22(6):73-76.
[2] 葉宇風(fēng).基于SOA的企業(yè)應(yīng)用集成研究[J].微電子學(xué)與計(jì)算機(jī)����,2006���,23(5):211-213.
[3] 雷冬艷.SOA環(huán)境下的數(shù)字圖書(shū)館信息安全研究[J].科教文匯�����,2010(33):189-190.
[4] 李益文.基于SOA的商業(yè)系統(tǒng)的信息安全技術(shù)探討[J].電腦編程技巧與維護(hù)����,2010(20):114-115�,154.
第3篇
“十二五”期間,軟件技術(shù)和產(chǎn)業(yè)格局孕育著新一輪重大調(diào)整�����,軟件產(chǎn)業(yè)面臨網(wǎng)絡(luò)化�、服務(wù)化����、智能化���、平臺(tái)化、融合化五大發(fā)展趨勢(shì)���。國(guó)發(fā)[2011]4號(hào)文增強(qiáng)了對(duì)軟件產(chǎn)業(yè)的扶持力度���,這必將催生軟件和信息服務(wù)新星的出現(xiàn)。
無(wú)論是基礎(chǔ)設(shè)施�����、資金���、人才還是政策扶持�����,甚至是項(xiàng)目推介和品牌宣傳����,軟件園區(qū)這片沃土都給軟件企業(yè)帶來(lái)豐富養(yǎng)分�����。《中國(guó)計(jì)算機(jī)報(bào)》“軟件園區(qū)”專欄�,記錄軟件企業(yè)崛起,見(jiàn)證軟件產(chǎn)業(yè)發(fā)展��!
如今�����,電子取證和計(jì)算機(jī)法證業(yè)務(wù)在歐美發(fā)達(dá)國(guó)家和我國(guó)香港地區(qū)已經(jīng)相當(dāng)成熟��,除了主要應(yīng)用于金融行業(yè)外�����,在政府和企業(yè)中也有了相當(dāng)多的應(yīng)用�。IDC 統(tǒng)計(jì)顯示,2011年全球電子數(shù)據(jù)取證市場(chǎng)的規(guī)模達(dá)到18 億美元����,預(yù)計(jì)2015年中國(guó)電子數(shù)據(jù)取證將達(dá)到近10億元人民幣的市場(chǎng)規(guī)模。
電子取證:安全不可缺的一環(huán)
2012年3月��,中國(guó)內(nèi)地和香港地區(qū)最高級(jí)別的計(jì)算機(jī)法證技術(shù)協(xié)會(huì)——中國(guó)計(jì)算機(jī)法證技術(shù)研究會(huì)(CCFC)��、香港信息安全與法證公會(huì)(香港ISFS)正式授權(quán)上海浦東軟件園信息技術(shù)股份有限公司(以下簡(jiǎn)稱浦軟信息)為其華東代表處�,這標(biāo)志浦軟信息擁有了國(guó)內(nèi)領(lǐng)先的電子取證平臺(tái)。
2012年7月�����,首次移師上海的第八屆CCFC計(jì)算機(jī)法證技術(shù)峰會(huì)在上海浦東軟件園舉行�����。會(huì)議期間��,由浦軟信息投巨資新建并已投入運(yùn)行的高水準(zhǔn)電子數(shù)據(jù)司法鑒定實(shí)驗(yàn)室(以下簡(jiǎn)稱取證實(shí)驗(yàn)室)及配套設(shè)施受到了海內(nèi)外參會(huì)者的關(guān)注和期待���。取證實(shí)驗(yàn)室包含了計(jì)算機(jī)鑒定人員從事涉及計(jì)算機(jī)犯罪案件受理��、電子數(shù)據(jù)勘查����、調(diào)查取證、數(shù)據(jù)恢復(fù)、密碼破解���、鑒定分析、證據(jù)存儲(chǔ)等13個(gè)專門(mén)區(qū)域��,并已經(jīng)與CCFC和香港ISFS做了業(yè)務(wù)上的對(duì)接。
據(jù)上海浦東軟件園信息技術(shù)股份有限公司總經(jīng)理葉慧介紹���,浦軟信息將集全公司之力把取證試驗(yàn)室建設(shè)成為國(guó)內(nèi)在技術(shù)與硬件條件上最卓越的實(shí)驗(yàn)平臺(tái)�����。浦軟信息的取證業(yè)務(wù)將由單一的取證產(chǎn)品向多樣化����、個(gè)性化服務(wù)轉(zhuǎn)變�,最終形成以自主取證產(chǎn)品銷(xiāo)售、司法鑒定服務(wù)和專業(yè)取證培訓(xùn)為核心的三位一體的業(yè)務(wù)模式以及“事前預(yù)防��、事中響應(yīng)����、事后取證”的整體信息安全解決方案。
公司成立了專業(yè)的市場(chǎng)銷(xiāo)售團(tuán)隊(duì)��,通過(guò)整體的設(shè)計(jì)與市場(chǎng)策劃來(lái)推廣取證業(yè)務(wù)���。
如今���,浦軟信息更希望將已經(jīng)擁有的平臺(tái)資源和取證業(yè)務(wù)推廣到信息安全市場(chǎng)較成熟的地區(qū)�,與更多的業(yè)界同行一起培育電子取證市場(chǎng)�。葉慧強(qiáng)調(diào)��,浦軟信息作為計(jì)算機(jī)安全防護(hù)領(lǐng)域整體解決方案的提供商�����,有義務(wù)和責(zé)任通過(guò)自身的努力為社會(huì)帶來(lái)更多的價(jià)值��,并以此作為自己的使命和社會(huì)責(zé)任���。
取證培訓(xùn):旨在完善認(rèn)證體系
工欲善其事�,必先利其器�。專業(yè)取證培訓(xùn)是浦軟信息取證業(yè)務(wù)中很重要的一環(huán)。取證實(shí)驗(yàn)室研發(fā)出許多基于高端技術(shù)的取證產(chǎn)品����,其精心設(shè)計(jì)的培訓(xùn)教室擁有各類(lèi)多媒體設(shè)備,能夠滿足取證技術(shù)領(lǐng)域內(nèi)的各種培訓(xùn)要求�����,并已經(jīng)舉辦過(guò)多次各類(lèi)層次的取證培訓(xùn)。
第八屆CCFC計(jì)算機(jī)法證技術(shù)峰會(huì)引入了海外專業(yè)培訓(xùn)方式�����,在由香港ISFS開(kāi)辦的研習(xí)會(huì)上����,結(jié)合實(shí)際案例,對(duì)計(jì)算機(jī)法證技術(shù)應(yīng)用及信息安全防護(hù)進(jìn)行專業(yè)指導(dǎo)�����。
浦軟信息之所以花大力氣開(kāi)展取證培訓(xùn)業(yè)務(wù)�,就是預(yù)見(jiàn)到取證市場(chǎng)的前景將無(wú)限廣闊,需要一個(gè)成熟的資質(zhì)認(rèn)證體系�����,構(gòu)筑一個(gè)中國(guó)取證行業(yè)專業(yè)��、統(tǒng)一的標(biāo)準(zhǔn)���。因此���,浦軟信息規(guī)劃了取證資質(zhì)認(rèn)證培訓(xùn)的發(fā)展方向�,那就是明確自身的市場(chǎng)地位�����,完善取證實(shí)驗(yàn)室的培訓(xùn)體系和業(yè)務(wù)����,今后將與海內(nèi)外專業(yè)機(jī)構(gòu)合作��,繼續(xù)拓展培訓(xùn)業(yè)務(wù)����,最終得到政府部門(mén)和業(yè)內(nèi)對(duì)浦軟信息取證培訓(xùn)資質(zhì)認(rèn)證的認(rèn)可。
制度創(chuàng)新:確保信息業(yè)務(wù)拓展
今年2月15日�����,上海股權(quán)托管交易中心正式開(kāi)張�����,浦軟信息成為首批掛牌OTC(場(chǎng)外交易市場(chǎng))成員����。這對(duì)浦軟信息來(lái)說(shuō)無(wú)疑是一個(gè)重要的轉(zhuǎn)折點(diǎn)——浦軟信息已經(jīng)從一家中小型的以產(chǎn)品銷(xiāo)售為導(dǎo)向的IT公司轉(zhuǎn)變?yōu)橐患乙訧T服務(wù)為核心的非上市公眾公司���。
浦軟信息希望通過(guò)OTC掛牌交易,在為股東和其他投資者提供更多選擇的同時(shí)��,通過(guò)股權(quán)的發(fā)行和交易使得公司的法人治理結(jié)構(gòu)更加規(guī)范和嚴(yán)謹(jǐn)�����,這對(duì)浦軟信息未來(lái)發(fā)展是至關(guān)重要的���,也是最大的挑戰(zhàn)�。另外�����,作為公眾公司����,浦軟信息必須考慮到諸多方面的影響,決策上必須更加謹(jǐn)慎�,對(duì)內(nèi)部資源的安排也要考慮得更細(xì)致,要有平衡企業(yè)資源的能力�,包括客戶和市場(chǎng)資源,要投入更多的資源來(lái)支持和規(guī)劃新的公司制度和運(yùn)轉(zhuǎn)����。對(duì)此����,葉慧信心滿滿��。
優(yōu)秀基因:可持續(xù)發(fā)展的動(dòng)力
作為一家還處于成長(zhǎng)期的中小型IT企業(yè)�,浦軟信息還有相當(dāng)大的提升空間,但公司管理層始終保持著危機(jī)感���,對(duì)市場(chǎng)保持高度的敏感����,業(yè)務(wù)上真正做到以客戶為導(dǎo)向���,技術(shù)上不遺余力地投入人力物力。追求“優(yōu)秀”是浦軟信息始終堅(jiān)持的目標(biāo)��。
何謂“優(yōu)秀”����,葉慧對(duì)此做了進(jìn)一步詮釋。
“優(yōu)秀”體現(xiàn)在專業(yè)上��,就是要有專攻方向。在信息安全領(lǐng)域浦軟信息已經(jīng)有十幾年的經(jīng)驗(yàn)��,這既是公司的優(yōu)勢(shì)也是公司的品牌��。同時(shí)�����,這種專業(yè)還要體現(xiàn)在技術(shù)研發(fā)的能力上�����,使之成為浦軟信息的核心競(jìng)爭(zhēng)力���。作為一家IT公司�,技術(shù)是最重要的生產(chǎn)力����。
“優(yōu)秀”體現(xiàn)在人才上,就是把員工視作企業(yè)發(fā)展中最重要的資產(chǎn)���,將管理團(tuán)隊(duì)與技術(shù)團(tuán)隊(duì)作為企業(yè)的核心����。浦軟信息的股權(quán)結(jié)構(gòu)中也有員工持股,這體現(xiàn)了公司創(chuàng)始人開(kāi)放的胸襟�����。
“優(yōu)秀”同時(shí)也體現(xiàn)在健康上����,浦軟信息未來(lái)的目標(biāo)是上市。作為公眾公司�����,需要給股東和員工持續(xù)的回報(bào)��,這是相當(dāng)重要的���。作為一家肩負(fù)著社會(huì)責(zé)任的公眾企業(yè),體制一定要健康��,不能一味盲目地追求增長(zhǎng)速度��,企業(yè)發(fā)展方式和公司結(jié)構(gòu)至關(guān)重要��,這也是企業(yè)可持續(xù)發(fā)展的前提�����。
IT行業(yè)內(nèi)真正能夠屹立不倒的百年老店一定具備“優(yōu)秀”的基因,而不是純粹靠包裝和粉飾����;同樣,有了這些“優(yōu)秀”的基因����,一個(gè)升級(jí)版的浦軟信息將從企業(yè)級(jí)信息安全服務(wù)行業(yè)中脫穎而出,也就有了底氣����。
記者手記
人生就是一場(chǎng)修煉
從上海市經(jīng)濟(jì)和信息化委員會(huì)到上海浦東軟件園總部再到浦軟信息,葉慧的角色在不斷轉(zhuǎn)變�,雖然都涉及IT和通信行業(yè),但視角卻大不相同����。尤其是調(diào)任浦軟信息后,葉慧從原先站在宏觀角度轉(zhuǎn)變?yōu)橐云髽I(yè)職業(yè)經(jīng)理人的微觀角度來(lái)審視IT和通信行業(yè)��,同時(shí)還要承受著國(guó)有企業(yè)職業(yè)經(jīng)理人特有的壓力�����。
是什么信念使得葉慧能夠在應(yīng)對(duì)不斷出現(xiàn)新的挑戰(zhàn)和壓力時(shí)如此談定和柔韌?答案就是被葉慧視為勵(lì)志誓言的《孟子·告子下》中的名句:“天將降大任于斯人也�,必先苦其心志,勞其筋骨�,餓其體膚,空乏其身�����,行拂亂其所為也��,所以動(dòng)心忍性����,增益其所不能?��!比~慧認(rèn)為�����,一個(gè)職業(yè)經(jīng)理人即使在處于坎坷時(shí),也要保持良好的心態(tài)�����,不逃避不回避各種困難,積極面對(duì)挑戰(zhàn)并擁有破解難題�����、果斷決策的信心�����。
第4篇
亨達(dá)公司已取得了國(guó)家信息安全測(cè)評(píng)中心信息安全服務(wù)二級(jí)(全國(guó)最高等級(jí))����、注冊(cè)信息安全專業(yè)培訓(xùn)(CISP)授權(quán)機(jī)構(gòu)、國(guó)家信息安全認(rèn)證中心信息安全集成二級(jí)���、應(yīng)急服務(wù)二級(jí)���、風(fēng)險(xiǎn)評(píng)估二級(jí)、公安部等級(jí)保護(hù)測(cè)評(píng)����、工業(yè)和信息化部通信信息網(wǎng)絡(luò)系統(tǒng)集成甲級(jí)、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)集成三級(jí)�、國(guó)家計(jì)算機(jī)應(yīng)急技術(shù)協(xié)調(diào)處理中心(CNCERT/CC)信息安全服務(wù)技術(shù)支撐單位以及貴陽(yáng)市國(guó)家保密局信息設(shè)備維修等一系列完善的通信與網(wǎng)絡(luò)信息安全專業(yè)服務(wù)資質(zhì)�,通過(guò)了ISO9001:2008質(zhì)量管理體系認(rèn)證��、ISO14001:2004環(huán)境管理體系認(rèn)證和OHSAS18001:2007職業(yè)健康安全管理體系認(rèn)證��。
亨達(dá)集團(tuán)先后被評(píng)為 “貴州省通信行業(yè)協(xié)會(huì)副理事長(zhǎng)單位”�、“貴州省通信體育協(xié)會(huì)副主席單位”,連續(xù)五年被省工商行政管理局評(píng)為“重信用�����、守合同”單位��,并獲得“全國(guó)十佳誠(chéng)信單位”稱號(hào)���。目前已建成了集網(wǎng)絡(luò)信息安全監(jiān)控�����、網(wǎng)絡(luò)攻防演練�、信息安全培訓(xùn)��、軟件開(kāi)發(fā)以及信息安全產(chǎn)品測(cè)評(píng)認(rèn)證于一體的信息化綜合服務(wù)保障平臺(tái)����。
亨達(dá)集團(tuán)自2011年底取得等級(jí)保護(hù)測(cè)評(píng)資質(zhì)以來(lái)�����,配合貴州省公安廳推進(jìn)信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)工作,開(kāi)展了近百家單位共計(jì)500多個(gè)信息系統(tǒng)的安全等級(jí)保護(hù)測(cè)評(píng)�,包括貴州省財(cái)政廳、貴州省統(tǒng)計(jì)局���、貴州省交通廳�����、中國(guó)工商銀行貴州分行�、中國(guó)建設(shè)銀行貴州分行�、貴陽(yáng)銀行、貴陽(yáng)海關(guān)�����、貴州省農(nóng)村商業(yè)銀行��、遵義商行�����、貴州省人民醫(yī)院、貴州省腫瘤醫(yī)院�����、貴陽(yáng)醫(yī)學(xué)院等各大單位重要信息系統(tǒng)��。
基于亨達(dá)集團(tuán)作為貴州省優(yōu)秀通信建設(shè)與網(wǎng)絡(luò)信息安全服務(wù)企業(yè)��,長(zhǎng)期以來(lái)�����,一直與貴州省通信管理局保持著密切的合作與良好的溝通��。公司自2009年起即已被國(guó)家計(jì)算機(jī)應(yīng)急技術(shù)協(xié)調(diào)處理中心和省通信管理局確立為大區(qū)級(jí)技術(shù)支撐單位����。
第5篇
【 關(guān)鍵詞 】 信息安全架構(gòu);企業(yè)戰(zhàn)略�;信息安全服務(wù); 信息安全價(jià)值����; 一致性;可追溯性
【 文獻(xiàn)標(biāo)識(shí)碼 】 A 【 中圖分類(lèi)號(hào) 】 TP393.08
1 引言
信息安全技術(shù)和管理經(jīng)過(guò)不斷的發(fā)展和改善��,已經(jīng)能夠比較有效地解決一些傳統(tǒng)信息安全問(wèn)題,如信息安全風(fēng)險(xiǎn)管理�����、訪問(wèn)控制���,脆弱性管理、加密解密和災(zāi)難恢復(fù)等�。隨著信息越來(lái)越成為組織的核心資產(chǎn),保護(hù)信息的安全已不再只是局限于技術(shù)和日常管理層面的討論�����,信息的安全越來(lái)越關(guān)系到組織自身發(fā)展的安全�。一次重大的信息泄露事故就能使企業(yè)的市值一落千丈。同時(shí)��,一套合理的訪問(wèn)控制解決方案能夠幫助企業(yè)快速推出核心產(chǎn)品(尤其是電子商務(wù))和兼并其他企業(yè)��。當(dāng)前信息安全發(fā)展呈現(xiàn)出新的趨勢(shì)和要求:(1)信息安全部門(mén)逐漸從成本中心轉(zhuǎn)向價(jià)值中心����,信息安全的各項(xiàng)活動(dòng)越來(lái)越和企業(yè)戰(zhàn)略緊密相連;(2)企業(yè)內(nèi)部其他部門(mén)越來(lái)越多的要求信息安全部門(mén)提供清晰�、可測(cè)量的服務(wù)來(lái)支持業(yè)務(wù)的運(yùn)行���。
企業(yè)的信息安全部門(mén)在不斷增強(qiáng)其核心影響力的同時(shí),也承擔(dān)著隨之而來(lái)的更多責(zé)任和挑戰(zhàn)���。其一是如何將企業(yè)戰(zhàn)略轉(zhuǎn)化為信息安全計(jì)劃��,將信息安全融入到組織的業(yè)務(wù)流程中��,并且保持信息安全控制措施與企業(yè)戰(zhàn)略的一致性和可追溯性��;其二是如何使信息安全的價(jià)值得到認(rèn)可并在組織內(nèi)部最大化�;其三是如何滿足企業(yè)內(nèi)部各部門(mén)有計(jì)劃或無(wú)計(jì)劃的信息安全服務(wù)需求�;其四是如何確保以一種系統(tǒng)主動(dòng)和集中統(tǒng)一的方式來(lái)管理業(yè)務(wù)和遵從性需求,并實(shí)現(xiàn)清晰的測(cè)量和不斷的改進(jìn)����。
當(dāng)前各企業(yè)廣泛采用的標(biāo)準(zhǔn)或最佳實(shí)踐有幾種:ISO27001:2005,COBIT4.1�,NISTSP800或PCIDSSv2.0等。這些標(biāo)準(zhǔn)各有優(yōu)點(diǎn)��,但也有明顯的缺憾����,如表1所示(缺憾部分用X表示)��。
設(shè)計(jì)本信息安全架構(gòu)旨在解決上述問(wèn)題并建立一種高效機(jī)制達(dá)到如下目標(biāo)��。
* 將企業(yè)戰(zhàn)略轉(zhuǎn)化為信息安全計(jì)劃�����,確保信息安全的可追溯性���、持續(xù)一致性和簡(jiǎn)潔性��,以降低成本���、減少重復(fù)和提高效率���。將信息安全融入到組織的業(yè)務(wù)流程中,建立一致性和可追溯性���;建立清晰的信息安全架構(gòu)和愿景�,以減少重復(fù)和指導(dǎo)信息安全投入和解決方案的實(shí)施��。
* 基于客戶服務(wù)理念����,信息安全服務(wù)價(jià)值得到認(rèn)可���,信息安全靠攏業(yè)務(wù)部門(mén),為信息安全管理和業(yè)務(wù)管理建立共同語(yǔ)言�。
* 全面管理信息安全,滿足目前絕大多數(shù)法律法規(guī)����、標(biāo)準(zhǔn)的最佳實(shí)際的要求,并具有靈活的可擴(kuò)展性����,當(dāng)新需求出現(xiàn)后能夠?qū)⑵淦交娜谌氲浆F(xiàn)有架構(gòu)中。
* 系統(tǒng)和集中統(tǒng)一的方式����,使信息安全管理可預(yù)測(cè)和可測(cè)量,并不斷的改進(jìn)�����。
2 信息安全架構(gòu)設(shè)計(jì)
2.1 信息安全架構(gòu)設(shè)計(jì)所基于的原則
本信息安全架構(gòu)的設(shè)計(jì)遵循四大原則����。
1) 業(yè)務(wù)驅(qū)動(dòng):所有的信息安全目標(biāo)應(yīng)該從業(yè)務(wù)需求中來(lái)���,從而保證信息安全管理總是做“正確的事”。
2) 整合�、統(tǒng)一的架構(gòu):現(xiàn)在有數(shù)以十計(jì)的信息安全相關(guān)的法律法規(guī),標(biāo)準(zhǔn)和最佳實(shí)踐需要去符合或參考���,且其各有不同的要求側(cè)重點(diǎn)和優(yōu)缺點(diǎn)���。因此很有必要將所有相關(guān)的信息安全關(guān)注點(diǎn)整合到一個(gè)統(tǒng)一的架構(gòu)中,以保證所有要求都被滿足��,同時(shí)避免不要的重復(fù)��。例如��,ISO27001關(guān)注全面安全控制和風(fēng)險(xiǎn)管理��,PCIDSS側(cè)重支付卡環(huán)境中技術(shù)控制和策略管理等�。
3) 系統(tǒng)化思維:運(yùn)用系統(tǒng)化思維可以幫助組織解決復(fù)雜且動(dòng)態(tài)的問(wèn)題��,適應(yīng)運(yùn)營(yíng)中的各種變化�,減輕戰(zhàn)略上的不確定性和外部因素的影響。例如,需要整合機(jī)構(gòu)�����、人員�����、技術(shù)和流程���;需要考慮安全���、成本和易用性的權(quán)衡;需要靠持續(xù)改進(jìn)(Plan-Do-Check-Act)����;需要考慮全面防護(hù)和縱深防護(hù)。
4) 易用性:信息安全架構(gòu)的最大價(jià)值在于被理解和廣泛應(yīng)用于組織的實(shí)踐當(dāng)中�。因此,信息安全架構(gòu)必須易于理解并且實(shí)際可操作性要強(qiáng)�����,應(yīng)避免太過(guò)復(fù)雜和晦澀�。
2.2 信息安全架構(gòu)實(shí)現(xiàn)
2.2.1 信息安全架構(gòu)-域試圖
基于上面的基本原則�����,本信息安全架構(gòu)由三個(gè)域組成(如圖1所示):治理(Governance)���、保障(Assurance)和服務(wù)(Services)。
治理(Governance): 信息安全治理域強(qiáng)調(diào)戰(zhàn)略一致性�,風(fēng)險(xiǎn)管理,資源管理和有效性測(cè)量��。治理域又包括三個(gè)子域:愿景與戰(zhàn)略����、風(fēng)險(xiǎn)與遵從性管理和測(cè)量。各子域主要功能如下所述���。
* 愿景與戰(zhàn)略: 將遵從性要求����,信息安全的發(fā)展趨勢(shì)�,行業(yè)發(fā)展趨勢(shì)和業(yè)務(wù)戰(zhàn)略轉(zhuǎn)化為信息安全愿景���、戰(zhàn)略和路線圖����。
* 風(fēng)險(xiǎn)與遵從性管理: 管理信息安全風(fēng)險(xiǎn)使信息安全風(fēng)險(xiǎn)控制在組織可接受的范圍內(nèi)。
* 測(cè)量: 監(jiān)控和測(cè)量整體信息安全的有效性并持續(xù)提升信息安全對(duì)組織的價(jià)值���。
保障: 保障域側(cè)重于信息安全的全面與縱深防護(hù)措施���。保障域包含預(yù)防、監(jiān)測(cè)����、響應(yīng)和恢復(fù)四個(gè)部分。各部分主要功能如下所述��。同時(shí)保護(hù)的對(duì)象為不同層面的信息資產(chǎn):數(shù)據(jù)層����、應(yīng)用層、IT基礎(chǔ)設(shè)施層和物理層�。
* 預(yù)防: 實(shí)施信息安全控制措施包括管理措施和技術(shù)措施,防止信息安全威脅損害組織的信息安全控態(tài)���。
* 監(jiān)測(cè): 部署信息安全監(jiān)測(cè)能力監(jiān)控正在發(fā)生或已經(jīng)發(fā)生的信息安全事態(tài)���。
* 響應(yīng):部署信息安全響應(yīng)體系迅速����、高效的抑制信息安全事件���。
* 恢復(fù): 建立組織的可持續(xù)性能力�,但重要信息系統(tǒng)不可用時(shí)���,可以在計(jì)劃的時(shí)間內(nèi)恢復(fù)���。
服務(wù): 服務(wù)域顯示了面向客戶(內(nèi)部和外部),協(xié)作與知識(shí)更新對(duì)信息安全實(shí)踐非常重要���。服務(wù)域包含三個(gè)部分:信息安全服務(wù)��、知識(shí)管理���、意識(shí)與文化。各部分主要功能如下所述�。
* 信息安全服務(wù): 信息安全團(tuán)隊(duì)?wèi)?yīng)對(duì)待組織內(nèi)部其他部門(mén)和對(duì)外部客戶一樣,基于服務(wù)基本協(xié)議�,提供高質(zhì)量的信息安全服務(wù)����。
* 知識(shí)管理: 知識(shí)是信息安全實(shí)踐和服務(wù)的基石�����。信息安全知識(shí)管理包括獲取��、維護(hù)和利用知識(shí)去獲取最大的信息安全專業(yè)價(jià)值���。信息安全知識(shí)應(yīng)不僅在信息安全團(tuán)隊(duì)內(nèi)部而且在整個(gè)組織被共享。
* 意識(shí)與文化: 信息安全意識(shí)與文化在組織內(nèi)部建立一個(gè)整體的信息安全氛圍���。一個(gè)好的信息安全意識(shí)與文化意味著每個(gè)人都每個(gè)人都了解信息安全���,關(guān)心信息安全、在日常工作中關(guān)注信息安全�。信息安全意識(shí)與文化對(duì)提升組織整體信息安全成熟度和降低信息安全風(fēng)險(xiǎn)至關(guān)重要。
2.2.2 信息安全架構(gòu)-組件試圖
為支撐信息安全架構(gòu)的三個(gè)域����,本信息安全架構(gòu)組件融合了不同標(biāo)準(zhǔn)和最佳實(shí)踐的精華部分,并自成一體�,如圖2所示。本架構(gòu)參考的標(biāo)準(zhǔn)主要有如下一些:ISO27001:2005�����、PCIDSSv2.0、COBIT4.1����、COBIT5.0、ITILv3 以及NIST SP-800系列等�。
3 信息安全架構(gòu)在企業(yè)內(nèi)實(shí)際應(yīng)用效果分析
本信息安全架構(gòu)已被推廣和應(yīng)用到各個(gè)行業(yè)中,如保險(xiǎn)業(yè)����、銀行業(yè)、教育和非盈利性機(jī)構(gòu)等���。本文選取一個(gè)保險(xiǎn)企業(yè)的案例來(lái)說(shuō)明本信息安全架構(gòu)給企業(yè)帶來(lái)的積極變化���。
背景:此保險(xiǎn)公司有3000名員工,計(jì)劃在加拿大多倫多(Toronto)上市����,因此需要符合加拿大和行業(yè)的一些法律法規(guī)的要求,如Bill198��、PIPEDA、PCIDSS等�。同時(shí)公司高層決定借鑒信息安全管理的最佳實(shí)踐標(biāo)準(zhǔn),如ISO27002��、NIST SP800�、COBIT�����、ITIL��、 FFIEC和 TOGAF等���。因本信息安全架構(gòu)的特點(diǎn)就是融合各法規(guī)�����、標(biāo)準(zhǔn)和最佳實(shí)踐的要求����,因此不需要做任何大的改動(dòng)的情況下(降低成本)就能應(yīng)用到此保險(xiǎn)公司中��。
經(jīng)過(guò)9個(gè)月的實(shí)際運(yùn)行��,公司進(jìn)行了各項(xiàng)測(cè)量指標(biāo)重新評(píng)估并與實(shí)施本信息安全架構(gòu)前的指標(biāo)進(jìn)行了對(duì)比分析。
3.1 平衡計(jì)分卡(Balanced Scorecard)[10]測(cè)評(píng)分析
平衡計(jì)分卡是衡量信息安全對(duì)企業(yè)貢獻(xiàn)價(jià)值的一種分析工具�����。平衡計(jì)分卡包括四個(gè)測(cè)量項(xiàng)目:對(duì)企業(yè)的貢獻(xiàn)�,對(duì)愿景的規(guī)劃,內(nèi)部流程的成熟度和面向客戶��。該保險(xiǎn)公司在實(shí)施本信息安全架構(gòu)前后分別進(jìn)行了兩次測(cè)評(píng)����。測(cè)評(píng)方法是由公司高級(jí)管理人員和各部門(mén)經(jīng)理對(duì)信息安全部門(mén)進(jìn)行評(píng)估,0級(jí)表示無(wú)成績(jī)�����,5級(jí)表示完美���,然后取平均值�。2011年7月評(píng)估結(jié)果顯示“企業(yè)貢獻(xiàn)”為2.2�����,“愿景規(guī)劃”為2.5���,“內(nèi)部流程”為2.8��,“面向客戶”為2.1�����;2012年7月評(píng)估結(jié)果顯示“企業(yè)貢獻(xiàn)”為4.1����,“愿景規(guī)劃”為3.9�,“內(nèi)部流程”為3.8,“面向客戶”為4.1��。如圖3所示��。測(cè)評(píng)結(jié)果表明實(shí)施本信息安全架構(gòu)后企業(yè)高層及各部門(mén)對(duì)信息安全給企業(yè)帶來(lái)的價(jià)值的認(rèn)可度有較為明顯提升�。
3.2 總體信息安全成熟度級(jí)別分析
本文采取的信息安全總體成熟度的評(píng)價(jià)是基于ISO27002的控制域和CMMI[11]的評(píng)估級(jí)別。0級(jí)是最低級(jí)�,5級(jí)是最高級(jí)。該保險(xiǎn)公司在實(shí)施本信息安全架構(gòu)前后分別進(jìn)行了兩次自評(píng)估�。2011年10月實(shí)施本信息安全架構(gòu)前成熟度水平是介于2.0-3.0之間, 2012年10月實(shí)施本信息安全架構(gòu)后成熟度水平是介于3.0-4.5之間����,如圖4所示。成熟度級(jí)別分析結(jié)果表明實(shí)施本信息安全架構(gòu)后整體成熟度有較為明顯提升。
3.3 獨(dú)立審核發(fā)現(xiàn)點(diǎn)數(shù)量分析
第三方機(jī)構(gòu)獨(dú)立審核是從專業(yè)�����、客觀的角度來(lái)衡量整體信息安全控制措施��,包括管理��、技術(shù)和流程���。審核發(fā)現(xiàn)點(diǎn)的數(shù)量越多���,表明脆弱點(diǎn)越多,存在的風(fēng)險(xiǎn)越大�。該保險(xiǎn)公司在實(shí)施本信息安全架構(gòu)前后分別邀請(qǐng)用一個(gè)第三方審核機(jī)構(gòu)對(duì)其進(jìn)行了全面審核與評(píng)估(依據(jù)上市公司的管控要求)。2011年9月審核結(jié)果顯示有4個(gè)高風(fēng)險(xiǎn)項(xiàng)���,8個(gè)中風(fēng)險(xiǎn)項(xiàng)和13個(gè)第風(fēng)險(xiǎn)項(xiàng)�����;2012年9月審核結(jié)果顯示無(wú)高風(fēng)險(xiǎn)項(xiàng)��,且只有2個(gè)中風(fēng)險(xiǎn)項(xiàng)和4個(gè)第風(fēng)險(xiǎn)項(xiàng)�����。如圖5所示���。審核結(jié)果表明實(shí)施本信息安全架構(gòu)后整體風(fēng)險(xiǎn)水平有較為明顯降低���。
3.4 信息安全事件發(fā)生數(shù)量分析
信息安全事件(特別是1級(jí)與2級(jí)事件)發(fā)生的數(shù)量標(biāo)志著信息安全控制措施的全面性和有效性。信息安全事件數(shù)量越少�,表明整體控制措施越有效。該保險(xiǎn)公司統(tǒng)計(jì)了實(shí)施本信息安全架構(gòu)前后發(fā)生的信息安全事件數(shù)量��。2011年1月-10月期間有4個(gè)一級(jí)安全事件(重大)���,12個(gè)二級(jí)安全事件(嚴(yán)重),25個(gè)三級(jí)安全事件和40個(gè)四級(jí)安全事件���;2012年1月-10月期間有1個(gè)一級(jí)安全事件(重大)����,2個(gè)二級(jí)安全事件(嚴(yán)重)�����,10個(gè)三級(jí)安全事件和16個(gè)四級(jí)安全事件。如圖6所示�。信息安全事件數(shù)量分析結(jié)果表明實(shí)施本信息安全架構(gòu)后安全控制措施的全面性和有效性有較為明顯增強(qiáng)。
3.5 魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)模擬攻擊測(cè)試結(jié)果分析
模擬釣魚(yú)攻擊測(cè)試是對(duì)企業(yè)員工整體信息安全意識(shí)水平一種比較客觀的考核方式��。收到攻擊(點(diǎn)擊鏈接)的人數(shù)越少�,表明整體信息安全水平越高。該保險(xiǎn)公司采用ThreatSim的模擬攻擊測(cè)試平臺(tái)�����,在實(shí)施本信息安全架構(gòu)前后分別選取了5個(gè)分支機(jī)構(gòu)(共200人)進(jìn)行了模擬攻擊測(cè)試�。測(cè)試的主要方法是注冊(cè)一個(gè)與該保險(xiǎn)公司類(lèi)似的網(wǎng)絡(luò)域名,然后偽造一份看似從信息安全管理員發(fā)出的E-mail����,此E-mail的大致內(nèi)容是說(shuō)該保險(xiǎn)公司于近期對(duì)相關(guān)系統(tǒng)進(jìn)行了升級(jí),將會(huì)影響到原有的帳戶和密碼�����,要求終端用戶盡快修改密碼���。此E-mail包含一個(gè)鏈接到修改密碼的偽網(wǎng)頁(yè)����。
2011年5月測(cè)試結(jié)果顯示有47%的員工點(diǎn)擊了有害鏈接,點(diǎn)擊有害鏈接的員工中有18%的人輸入了密碼���,點(diǎn)擊有害鏈接的員工中有68%的人完成了在線培訓(xùn)內(nèi)容����;2012年5月測(cè)試結(jié)果顯示有14%的員工點(diǎn)擊了有害鏈接�����,點(diǎn)擊有害鏈接的員工中有3%的人輸入了密碼���,點(diǎn)擊有害鏈接的員工中有98%的人完成了在線培訓(xùn)內(nèi)容�。如圖7所示�����。模擬攻擊測(cè)試分析結(jié)果表明實(shí)施本信息安全架構(gòu)后該保險(xiǎn)公司員工整體信息安全意識(shí)水平有較為明顯進(jìn)步����。
3.6 信息安全服務(wù)客戶滿意度調(diào)查結(jié)果分析
客戶滿意度調(diào)查是從被服務(wù)客戶的角度來(lái)衡量信息安全團(tuán)隊(duì)的服務(wù)能力�,以及給公司帶來(lái)的實(shí)際價(jià)值。滿意度百分比值越高����,表明信息安全團(tuán)隊(duì)的能力和服務(wù)價(jià)值越被認(rèn)可��。該保險(xiǎn)公司在實(shí)施本信息安全架構(gòu)前后分別對(duì)精算部��、個(gè)人保險(xiǎn)部�、商業(yè)保險(xiǎn)部�、索償部、渠道與銷(xiāo)售部做了信息安全服務(wù)滿意度調(diào)查�。
2011年8月調(diào)查結(jié)果顯示對(duì)服務(wù)專業(yè)質(zhì)量的滿意度為72%,對(duì)服務(wù)請(qǐng)求響應(yīng)速度的滿意度為46%�,對(duì)服務(wù)態(tài)度的滿意度為67%,整體滿意度為60%�;2012年8月調(diào)查結(jié)果顯示對(duì)服務(wù)專業(yè)質(zhì)量的滿意度為95%,對(duì)服務(wù)請(qǐng)求響應(yīng)速度的滿意度為85%����,對(duì)服務(wù)態(tài)度的滿意度為92%,整體滿意度為88%����;如圖7所示?���?蛻魸M意度分析結(jié)果表明實(shí)施本信息安全架構(gòu)后企業(yè)各部門(mén)對(duì)信息安全服務(wù)價(jià)值的認(rèn)可度有較為明顯提升�。
4 結(jié)束語(yǔ)
現(xiàn)階段信息安全管理著重在信息安全的風(fēng)險(xiǎn)控制�����,隨著信息安全管理角色的轉(zhuǎn)變�,信息安全需要跟多的與組織戰(zhàn)略結(jié)合,為組織創(chuàng)造更多的價(jià)值����,并通過(guò)提供信息安全服務(wù)使組織內(nèi)部各部門(mén)享受到信息安全給組織帶來(lái)的價(jià)值并認(rèn)可這些價(jià)值。當(dāng)前被廣泛采用的一些標(biāo)準(zhǔn)和最佳實(shí)踐有其優(yōu)點(diǎn)�����,但同時(shí)無(wú)法滿足一些新的挑戰(zhàn)�。目前缺乏一種高效可執(zhí)行的信息安全架構(gòu)來(lái)將企業(yè)戰(zhàn)略轉(zhuǎn)化為信息安全計(jì)劃、基于客戶服務(wù)理念使信息安全服務(wù)價(jià)值最大化以及全面系統(tǒng)化管理信息安全���。本文針對(duì)上述問(wèn)題提出的一種面向企業(yè)戰(zhàn)略和服務(wù)的信息安全架構(gòu)��。通過(guò)將本信息安全架構(gòu)應(yīng)用到實(shí)際的企業(yè)中,驗(yàn)證了本信息安全架構(gòu)能夠?yàn)槠髽I(yè)提供更多的價(jià)值��、增強(qiáng)客戶滿意度�����、提升整體安全成熟度和員工信息安全意識(shí)水平。
參考文獻(xiàn)
[1] International Organization for Standardization�����, International Electrotechnical Commission. ISO/IEC 27001:2005 Information Technology - Security Techniques - Information Security Management Systems - Requirements. Switzerland: ISO copyright office�����, 2005.
[2] IT Governance Institute. Control Objectives for Information and related Technology 4.1����,USA: IT Governance Institute, 2007.
[3] National Institute of Standards and Technology�����, U.S. Department of Commerce. NIST Special Publication 800 series.
[4] PCI Security Standards Council LLC. PCI DSS Requirements and Security Assessment Procedures���, Version 2.0. 2010.
[5] National Security Agency Information Assurance.
[6] Solutions Technical Directors. Information Assurance Technical Framework (IATF) version3.0. 2010.
[7] IT Governance Institute. Control Objectives for Information and related Technology 5.0�,USA: IT Governance Institute�����, 2012.
[8] Sharon Taylor, Majid Iqbal�����, Michael Nieves�����, 等. Information Technology Infrastructure Library ��, England: Office of Government Commerce�����, ITIL Press Office�����, 2007.
[9] Federal Financial Institutions Examination Council. IT Examination Handbook����, information security Booklet. USA: FFIEC, 2006
[10] The Open Group's Architecture Forum. The Open Group Architecture Framework version 9.1��, 2012.
[11] Howard Rohm. Using the Balanced Scorecard to Align Your Organization. Balanced Scorecard Institute�����, a Strategy Management Group company��, 2008.
[12] Software Engineering Institute��, Carnegie Mellon University. Capability Maturity Model Integration (CMMI) Version 1.3. USA: Carnegie Mellon University�����, 2010.
[13] STRATUM SECURITY. Proactive Phishing Defense. 2012.
作者簡(jiǎn)介:
第6篇
企業(yè)經(jīng)營(yíng)信息對(duì)于企業(yè)來(lái)說(shuō)是一種資源����,對(duì)于企業(yè)自身來(lái)說(shuō)具有重要意義,企業(yè)需要妥善管理自身企業(yè)的信息��。近年來(lái)��,企業(yè)的各項(xiàng)經(jīng)營(yíng)活動(dòng)都逐漸開(kāi)始通過(guò)計(jì)算機(jī)���,網(wǎng)絡(luò)開(kāi)展�,因此����,企業(yè)的信息安全管理對(duì)于企業(yè)越來(lái)越重要�����。許多企業(yè)開(kāi)始通過(guò)各種技術(shù)手段以及制度改革�����,把更多的注意力放在企業(yè)內(nèi)部的信息安全管理工作���,同時(shí)將企業(yè)信息安全管理與風(fēng)險(xiǎn)控制結(jié)合起來(lái),這是一個(gè)正確的選擇��,能夠幫助企業(yè)實(shí)現(xiàn)穩(wěn)定經(jīng)營(yíng)��。在介紹企業(yè)信息安全管理以及風(fēng)險(xiǎn)控制前必須厘清企業(yè)信息安全管理的概念與企業(yè)風(fēng)險(xiǎn)控制定義�����,因此�,本節(jié)將著重介紹企業(yè)信息安全管理的概念以及企業(yè)風(fēng)險(xiǎn)控制的定義。
企業(yè)的信息安全管理包含十分豐富的內(nèi)容���,簡(jiǎn)單來(lái)說(shuō)是指企業(yè)通過(guò)各種手段來(lái)保護(hù)企業(yè)硬件和軟件��,保護(hù)網(wǎng)絡(luò)存儲(chǔ)中的各種數(shù)據(jù)不受偶然因素的破壞或者惡意的原因被攻擊����。對(duì)于信息安全的認(rèn)定通過(guò)包括4個(gè)指標(biāo)�����,即保證信息數(shù)據(jù)的完整����,保證信息數(shù)據(jù)不被泄露,保證信息數(shù)據(jù)能夠正常使用�����,保證信息數(shù)據(jù)能夠控制管理�����。要想做好企業(yè)的信息安全管理����,首先需要了解的是關(guān)于信息的傳輸方式。隨著信息技術(shù)的不斷普及���,信息傳遞的方式越來(lái)越多��,常見(jiàn)的信息傳遞方式主要有互聯(lián)網(wǎng)傳播����,局域網(wǎng)傳播,硬件傳播等等����。要想實(shí)現(xiàn)企業(yè)的信息安全管理,其中很重要的一項(xiàng)工作在于保護(hù)信源�����、信號(hào)以及信息��。信息安全管理是一項(xiàng)需要綜合學(xué)科知識(shí)基礎(chǔ)的工作�����,從事企業(yè)信息安全管理工作的人員通過(guò)需要具有網(wǎng)絡(luò)安全技術(shù)���、計(jì)算機(jī)技術(shù)��、密碼技術(shù)��、通信技術(shù)��。從企業(yè)的信息安全管理來(lái)講���,最為關(guān)鍵的一項(xiàng)工作時(shí)保護(hù)企業(yè)內(nèi)部經(jīng)營(yíng)信息數(shù)據(jù)的完整����。經(jīng)過(guò)近十年來(lái)的企業(yè)信息安全管理工作經(jīng)驗(yàn)總結(jié)�����,企業(yè)信息安全不僅僅需要信息技術(shù)的支持�,更需要通過(guò)建立完善的企業(yè)風(fēng)險(xiǎn)控制體系來(lái)幫助企業(yè)實(shí)現(xiàn)更好地保護(hù)企業(yè)信息安全的目標(biāo)�。
所以,怎樣把企業(yè)信息安全管理與風(fēng)險(xiǎn)控制融合起來(lái)就是擺在企業(yè)經(jīng)營(yíng)管理者面前的一道難題���。企業(yè)的信息安全風(fēng)險(xiǎn)控制必須通過(guò)企業(yè)建立完善的企業(yè)信息安全風(fēng)險(xiǎn)體系實(shí)現(xiàn)�����。企業(yè)的信息安全風(fēng)險(xiǎn)控制是指企業(yè)在企業(yè)信息安全遭遇威脅之前��,提前對(duì)企業(yè)的信息進(jìn)行風(fēng)險(xiǎn)預(yù)估�����,并采取一系列的有針對(duì)性的活動(dòng)降低企業(yè)面臨的信息安全風(fēng)險(xiǎn)����,從而盡可能減少因?yàn)槠髽I(yè)本身信息安全管理中存在漏洞給企業(yè)帶來(lái)不必要的損失。常見(jiàn)的企業(yè)信息安全風(fēng)險(xiǎn)體系建立主要包含以下幾個(gè)方面的內(nèi)容��。第一����,建立企業(yè)信息安全風(fēng)險(xiǎn)管理制度,明確企業(yè)信息安全管理的責(zé)任分配機(jī)制����,明確企業(yè)各個(gè)部門(mén)對(duì)各自信息安全所應(yīng)承擔(dān)的責(zé)任,并建立相應(yīng)的問(wèn)責(zé)機(jī)制�����。第二����,設(shè)置規(guī)范的企業(yè)信息安全風(fēng)險(xiǎn)管理指標(biāo),對(duì)企業(yè)存在的可能威脅企業(yè)信息安全管理的漏洞予以風(fēng)險(xiǎn)定級(jí)�����,方便企業(yè)管理者對(duì)不同的信息安全管理漏洞采取有區(qū)別的對(duì)策。第三�,企業(yè)要加強(qiáng)對(duì)信息安全管理人員的培訓(xùn),提高企業(yè)信息安全管理工作人員的風(fēng)險(xiǎn)意識(shí)���,讓企業(yè)內(nèi)部從事信息安全管理工作人員認(rèn)識(shí)到自身工作的重要性����,讓企業(yè)內(nèi)部從事信息安全管理工作人員了解到規(guī)范自身行為����,正確履行職責(zé)的重要性��。第四�,將企業(yè)信息安全管理與風(fēng)險(xiǎn)控制有效融合,重視企業(yè)信息安全管理工作����,通過(guò)風(fēng)險(xiǎn)控制對(duì)企業(yè)內(nèi)部信息安全的管理方式進(jìn)行正確評(píng)估,找出現(xiàn)行的企業(yè)內(nèi)部信息安全管理手段中存在容易忽視的地方�����。
二、企業(yè)信息安全管理與風(fēng)險(xiǎn)控制存在的不足
1.企業(yè)信息安全管理工作人員素質(zhì)不高
對(duì)于企業(yè)來(lái)說(shuō)����,企業(yè)信息安全管理工作是一項(xiàng)極為重要而隱秘的工作,因此����,必須增強(qiáng)對(duì)企業(yè)信息安全管理工作人員的素質(zhì)要求。但是根據(jù)調(diào)查統(tǒng)計(jì)��,目前很多企業(yè)對(duì)信息安全工作的管理僅僅停留在對(duì)企業(yè)信息安全管理工作人員的技術(shù)要求上���,對(duì)企業(yè)信息安全管理工作人員的道德素養(yǎng)�����,職業(yè)素養(yǎng)�,風(fēng)險(xiǎn)意識(shí)并沒(méi)有嚴(yán)格要求��。此外����,絕大多數(shù)企業(yè)并沒(méi)有意識(shí)開(kāi)展對(duì)企業(yè)信息安全管理工作的道德素質(zhì)的教育培訓(xùn),并沒(méi)有通過(guò)建立相關(guān)管理制度以及問(wèn)責(zé)機(jī)制對(duì)企業(yè)信息安全管理工作人員實(shí)行監(jiān)督,這無(wú)疑給別有用心或者立場(chǎng)不堅(jiān)定的企業(yè)信息安全管理工作人員留下了危害企業(yè)信息安全的可乘之機(jī)�����。
2.企業(yè)信息安全管理技術(shù)不過(guò)關(guān)
企業(yè)信息安全管理工作涉及多許多技術(shù)����,包括信息技術(shù),計(jì)算機(jī)技術(shù)���,密碼技術(shù)�,網(wǎng)絡(luò)應(yīng)用技術(shù)等等��,應(yīng)當(dāng)說(shuō)成熟的計(jì)算機(jī)應(yīng)用技術(shù)是做好企業(yè)信息安全管理的基礎(chǔ)�,但是,現(xiàn)實(shí)是許多企業(yè)的信息安全管理技術(shù)并不過(guò)關(guān)���,一方面企業(yè)的信息安全管理硬件并不過(guò)關(guān),在物理層面對(duì)企業(yè)信息缺乏保護(hù)����,另一方面,企業(yè)信息安全管理工作的專業(yè)技術(shù)沒(méi)有及時(shí)更新�����,一些企業(yè)信息安全管理工作人員缺乏企業(yè)信息安全管理的實(shí)踐經(jīng)驗(yàn),企業(yè)信息安全管理的知識(shí)也并沒(méi)有及時(shí)更新����,從而導(dǎo)致企業(yè)的信息安全管理理論嚴(yán)重滯后,這種技術(shù)的落后很容易讓企業(yè)成為不法分子的攻擊對(duì)象��。近年來(lái)網(wǎng)絡(luò)病毒的傳播越來(lái)越猖狂���,很多服務(wù)器���、系統(tǒng)提示安全補(bǔ)丁的下載更新以及客戶端的時(shí)常更新成為一個(gè)惱人的問(wèn)題。作為一個(gè)行業(yè)中的大中型企業(yè)�����,企業(yè)內(nèi)部設(shè)備數(shù)量比較多��,尤其是客戶端數(shù)量占了較大比重�����,僅僅靠少數(shù)幾個(gè)管理員進(jìn)行管理是難以承擔(dān)如此大量的工作量����。另外���,企業(yè)信息安全管理系統(tǒng)不成熟也是一個(gè)重大的隱患。
3.企業(yè)信息安全管理制度不健全
企業(yè)信息安全管理制度不僅僅需要理論制度的完善�,更加需要一系列配套監(jiān)督機(jī)制保障企業(yè)信息安全管理的有效執(zhí)行。通過(guò)調(diào)查分析���,許多企業(yè)雖然建立了企業(yè)信息安全管理制度����,但是通常情況下���,這些制度只能流于形式�����,企業(yè)信息安全管理工作缺少有效的制約和監(jiān)督����,企業(yè)信息安全管理工作人員缺乏執(zhí)行力�。企業(yè)信息安全管理制度不健全���,企業(yè)信息安全管理工作缺乏執(zhí)行力常常體現(xiàn)在以下幾個(gè)方面���。第一�,企業(yè)員工對(duì)于信息安全管理的認(rèn)識(shí)嚴(yán)重不足�,對(duì)企業(yè)信息安全管理工作不重視。企業(yè)內(nèi)部計(jì)算機(jī)系統(tǒng)安全的計(jì)算機(jī)防病毒軟件并沒(méi)有及時(shí)更新��,使用��,甚至企業(yè)內(nèi)部計(jì)算機(jī)的防病毒軟件還被企業(yè)員工卸載了���。部分企業(yè)員工認(rèn)為自己的工作與企業(yè)信息安全管理不相關(guān)�����,認(rèn)為做好企業(yè)信息安全管理工作僅僅是企業(yè)信息安全部門(mén)的事�。第二�����,企業(yè)內(nèi)部信息安全管理制度并沒(méi)有形成聯(lián)動(dòng)機(jī)制�,企業(yè)信息安全管理工作僅僅由企業(yè)信息安全部門(mén)“一人包干”,企業(yè)信息安全反映的問(wèn)題并沒(méi)有得到積極的反饋�,一些企業(yè)領(lǐng)導(dǎo)對(duì)企業(yè)信息安全現(xiàn)狀所了解的少之又少�。
三����、企業(yè)信息安全管理常見(jiàn)的技術(shù)手段
1.OSI安全體系結(jié)構(gòu)
OSI概念化的安全體系結(jié)構(gòu)是一個(gè)多層次的結(jié)構(gòu),它的設(shè)計(jì)初衷是面向客戶的�����,提供給客戶各種安全應(yīng)用�,安全應(yīng)用必須依靠安全服務(wù)來(lái)實(shí)現(xiàn),而安全服務(wù)又是由各種安全機(jī)制來(lái)保障的�����。所以����,安全服務(wù)標(biāo)志著一個(gè)安全系統(tǒng)的抗風(fēng)險(xiǎn)的能力,安全服務(wù)數(shù)量越多����,系統(tǒng)就越安全。
2.P2DR模型
P2DR模型包含四個(gè)部分:響應(yīng)�、安全策略、檢測(cè)�、防護(hù)�����。安全策略是信息安全的重點(diǎn),為安全管理提供管理途徑和保障手段��。因此����,要想實(shí)施動(dòng)態(tài)網(wǎng)絡(luò)安全循環(huán)過(guò)程,必須制定一個(gè)企業(yè)的安全模式�����。在安全策略的指導(dǎo)下實(shí)施所有的檢測(cè)�、防護(hù)、響應(yīng)��,防護(hù)通常是通過(guò)采用一些傳統(tǒng)的靜態(tài)安全技術(shù)或者方法來(lái)突破的�,比如有防火墻、訪問(wèn)控制���、加密�����、認(rèn)證等方法�,檢測(cè)是動(dòng)態(tài)響應(yīng)的判斷依據(jù),同時(shí)也是有力落實(shí)安全策略的實(shí)施工具��,通過(guò)監(jiān)視來(lái)自網(wǎng)絡(luò)的入侵行為��,可以檢測(cè)出騷擾行為或錯(cuò)誤程序?qū)е碌木W(wǎng)絡(luò)不安全因素��;經(jīng)過(guò)不斷地監(jiān)測(cè)網(wǎng)絡(luò)和系統(tǒng)來(lái)發(fā)現(xiàn)新的隱患和弱點(diǎn)��。在安全系統(tǒng)中�,應(yīng)急響應(yīng)占有重要的地位,它是解決危險(xiǎn)潛在性的最有效的辦法�。
3.HTP模型
HTP最為強(qiáng)調(diào)企業(yè)信息安全管理工作人員在整個(gè)系統(tǒng)中的價(jià)值。企業(yè)信息安全工作人員企業(yè)信息安全最為關(guān)鍵的參與者��,企業(yè)信息安全工作人員直接主導(dǎo)企業(yè)信息安全管理工作����,企業(yè)信息安全工作人員不僅僅是企業(yè)信息安全的保障者,也是企業(yè)信息安全管理的威脅者���。因此�����,HTP模型最為強(qiáng)調(diào)對(duì)企業(yè)信息安全管理工作人員的管理與監(jiān)督���。另外�����,HTP模式同樣是建立在企業(yè)信心安全體系,信息安全技術(shù)防范的基礎(chǔ)上�,HTP模式采取了豐富的安全技術(shù)手段確保企業(yè)的信息安全。最后��,HTP強(qiáng)調(diào)動(dòng)態(tài)管理�����,動(dòng)態(tài)監(jiān)督�,對(duì)于企業(yè)信息安全管理工作始終保持高強(qiáng)度的監(jiān)督與管理,在實(shí)際工作中�,通過(guò)HTP模型的應(yīng)用,找出HTP模型中的漏洞并不斷完善�。
四、完善企業(yè)信息安全管理與降低風(fēng)險(xiǎn)的建議
1.建設(shè)企業(yè)信息安全管理系統(tǒng)
(1)充分調(diào)查和分析企業(yè)的安全系統(tǒng)�,建立一個(gè)全面合理的系統(tǒng)模型,安全系統(tǒng)被劃分成各個(gè)子系統(tǒng)����,明確實(shí)施步驟和功能摸塊���,將企業(yè)常規(guī)管理工作和安全管理聯(lián)動(dòng)協(xié)議相融合,實(shí)現(xiàn)信息安全監(jiān)控的有效性和高效性���。
(2)成立一個(gè)中央數(shù)據(jù)庫(kù)�����,整合分布式數(shù)據(jù)庫(kù)里的數(shù)據(jù)��,把企業(yè)的所有數(shù)據(jù)上傳到中央數(shù)據(jù)庫(kù)����,實(shí)現(xiàn)企業(yè)數(shù)據(jù)信息的集中管理與有效運(yùn)用�。
(3)設(shè)計(jì)優(yōu)良的人機(jī)界面,通過(guò)對(duì)企業(yè)數(shù)據(jù)信息進(jìn)行有效的運(yùn)用�,為企業(yè)管理階層人員、各級(jí)領(lǐng)導(dǎo)及時(shí)提供各種信息���,為企業(yè)領(lǐng)導(dǎo)的正確決策提供數(shù)據(jù)支持���,根本上提高信息數(shù)據(jù)的管理水平�。
(4)簡(jiǎn)化企業(yè)內(nèi)部的信息傳輸通道���,對(duì)應(yīng)用程序和數(shù)據(jù)庫(kù)進(jìn)行程序化設(shè)計(jì)�,加強(qiáng)對(duì)提高企業(yè)內(nèi)部信息處理的規(guī)范性和準(zhǔn)確性�。
2.設(shè)計(jì)企業(yè)信息安全管理風(fēng)險(xiǎn)體系
(1)確定信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)
在企業(yè)信息安全管理風(fēng)險(xiǎn)體系的設(shè)計(jì)過(guò)程中,首要工作是設(shè)計(jì)企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)����,只有明確了企業(yè)信息安全管理的目標(biāo)����,明確了企業(yè)信息安全管理的要求和工作能容,才能建立相關(guān)圍繞信息安全風(fēng)險(xiǎn)控制為目標(biāo)的信息安全管理工作制度���,才能順利通過(guò)對(duì)風(fēng)險(xiǎn)控制的結(jié)果的定量考核����,檢測(cè)企業(yè)信息安全管理的風(fēng)險(xiǎn)�����,定性定量地企業(yè)信息安全管理工作進(jìn)行分析,找準(zhǔn)企業(yè)信息安全管理的工作辦法��。
(2)確定信息安全風(fēng)險(xiǎn)評(píng)估的范圍
不同企業(yè)對(duì)于風(fēng)險(xiǎn)的承受能力是有區(qū)別的����,因此,對(duì)于不同的企業(yè)的特殊性應(yīng)該采取不同的風(fēng)險(xiǎn)控制辦法���,其中���,不同企業(yè)對(duì)于能夠承受的信息安全風(fēng)范圍有所不同,企業(yè)的信息安全風(fēng)險(xiǎn)承受范圍需要根據(jù)企業(yè)的實(shí)際能力來(lái)制定�。不僅如此,企業(yè)的信息安全風(fēng)險(xiǎn)評(píng)估范圍也應(yīng)當(dāng)根據(jù)企業(yè)的實(shí)際經(jīng)營(yíng)情況變化采取有針對(duì)性的辦法�����。
第7篇
企業(yè)經(jīng)營(yíng)信息對(duì)于企業(yè)來(lái)說(shuō)是一種資源,對(duì)于企業(yè)自身來(lái)說(shuō)具有重要意義,企業(yè)需要妥善管理自身企業(yè)的信息����。近年來(lái),企業(yè)的各項(xiàng)經(jīng)營(yíng)活動(dòng)都逐漸開(kāi)始通過(guò)計(jì)算機(jī),網(wǎng)絡(luò)開(kāi)展,因此,企業(yè)的信息安全管理對(duì)于企業(yè)越來(lái)越重要。許多企業(yè)開(kāi)始通過(guò)各種技術(shù)手段以及制度改革,把更多的注意力放在企業(yè)內(nèi)部的信息安全管理工作,同時(shí)將企業(yè)信息安全管理與風(fēng)險(xiǎn)控制結(jié)合起來(lái),這是一個(gè)正確的選擇,能夠幫助企業(yè)實(shí)現(xiàn)穩(wěn)定經(jīng)營(yíng)����。在介紹企業(yè)信息安全管理以及風(fēng)險(xiǎn)控制前必須厘清企業(yè)信息安全管理的概念與企業(yè)風(fēng)險(xiǎn)控制定義,因此,本節(jié)將著重介紹企業(yè)信息安全管理的概念以及企業(yè)風(fēng)險(xiǎn)控制的定義�����。企業(yè)的信息安全管理包含十分豐富的內(nèi)容,簡(jiǎn)單來(lái)說(shuō)是指企業(yè)通過(guò)各種手段來(lái)保護(hù)企業(yè)硬件和軟件,保護(hù)網(wǎng)絡(luò)存儲(chǔ)中的各種數(shù)據(jù)不受偶然因素的破壞或者惡意的原因被攻擊����。對(duì)于信息安全的認(rèn)定通過(guò)包括4個(gè)指標(biāo),即保證信息數(shù)據(jù)的完整,保證信息數(shù)據(jù)不被泄露,保證信息數(shù)據(jù)能夠正常使用,保證信息數(shù)據(jù)能夠控制管理���。要想做好企業(yè)的信息安全管理,首先需要了解的是關(guān)于信息的傳輸方式�。隨著信息技術(shù)的不斷普及,信息傳遞的方式越來(lái)越多,常見(jiàn)的信息傳遞方式主要有互聯(lián)網(wǎng)傳播,局域網(wǎng)傳播,硬件傳播等等��。要想實(shí)現(xiàn)企業(yè)的信息安全管理,其中很重要的一項(xiàng)工作在于保護(hù)信源�����、信號(hào)以及信息���。
信息安全管理是一項(xiàng)需要綜合學(xué)科知識(shí)基礎(chǔ)的工作,從事企業(yè)信息安全管理工作的人員通過(guò)需要具有網(wǎng)絡(luò)安全技術(shù)、計(jì)算機(jī)技術(shù)�、密碼技術(shù)、通信技術(shù)���。從企業(yè)的信息安全管理來(lái)講,最為關(guān)鍵的一項(xiàng)工作時(shí)保護(hù)企業(yè)內(nèi)部經(jīng)營(yíng)信息數(shù)據(jù)的完整��。經(jīng)過(guò)近十年來(lái)的企業(yè)信息安全管理工作經(jīng)驗(yàn)總結(jié),企業(yè)信息安全不僅僅需要信息技術(shù)的支持,更需要通過(guò)建立完善的企業(yè)風(fēng)險(xiǎn)控制體系來(lái)幫助企業(yè)實(shí)現(xiàn)更好地保護(hù)企業(yè)信息安全的目標(biāo)��。所以,怎樣把企業(yè)信息安全管理與風(fēng)險(xiǎn)控制融合起來(lái)就是擺在企業(yè)經(jīng)營(yíng)管理者面前的一道難題����。企業(yè)的信息安全風(fēng)險(xiǎn)控制必須通過(guò)企業(yè)建立完善的企業(yè)信息安全風(fēng)險(xiǎn)體系實(shí)現(xiàn)。
企業(yè)的信息安全風(fēng)險(xiǎn)控制是指企業(yè)在企業(yè)信息安全遭遇威脅之前,提前對(duì)企業(yè)的信息進(jìn)行風(fēng)險(xiǎn)預(yù)估,并采取一系列的有針對(duì)性的活動(dòng)降低企業(yè)面臨的信息安全風(fēng)險(xiǎn),從而盡可能減少因?yàn)槠髽I(yè)本身信息安全管理中存在漏洞給企業(yè)帶來(lái)不必要的損失���。常見(jiàn)的企業(yè)信息安全風(fēng)險(xiǎn)體系建立主要包含以下幾個(gè)方面的內(nèi)容�。第一,建立企業(yè)信息安全風(fēng)險(xiǎn)管理制度,明確企業(yè)信息安全管理的責(zé)任分配機(jī)制,明確企業(yè)各個(gè)部門(mén)對(duì)各自信息安全所應(yīng)承擔(dān)的責(zé)任,并建立相應(yīng)的問(wèn)責(zé)機(jī)制�����。第二,設(shè)置規(guī)范的企業(yè)信息安全風(fēng)險(xiǎn)管理指標(biāo),對(duì)企業(yè)存在的可能威脅企業(yè)信息安全管理的漏洞予以風(fēng)險(xiǎn)定級(jí),方便企業(yè)管理者對(duì)不同的信息安全管理漏洞采取有區(qū)別的對(duì)策�。第三,企業(yè)要加強(qiáng)對(duì)信息安全管理人員的培訓(xùn),提高企業(yè)信息安全管理工作人員的風(fēng)險(xiǎn)意識(shí),讓企業(yè)內(nèi)部從事信息安全管理工作人員認(rèn)識(shí)到自身工作的重要性,讓企業(yè)內(nèi)部從事信息安全管理工作人員了解到規(guī)范自身行為,正確履行職責(zé)的重要性。第四,將企業(yè)信息安全管理與風(fēng)險(xiǎn)控制有效融合,重視企業(yè)信息安全管理工作,通過(guò)風(fēng)險(xiǎn)控制對(duì)企業(yè)內(nèi)部信息安全的管理方式進(jìn)行正確評(píng)估,找出現(xiàn)行的企業(yè)內(nèi)部信息安全管理手段中存在容易忽視的地方���。
二�、企業(yè)信息安全管理與風(fēng)險(xiǎn)控制存在的不足
1.企業(yè)信息安全管理工作人員素質(zhì)不高
對(duì)于企業(yè)來(lái)說(shuō),企業(yè)信息安全管理工作是一項(xiàng)極為重要而隱秘的工作,因此,必須增強(qiáng)對(duì)企業(yè)信息安全管理工作人員的素質(zhì)要求�����。但是根據(jù)調(diào)查統(tǒng)計(jì),目前很多企業(yè)對(duì)信息安全工作的管理僅僅停留在對(duì)企業(yè)信息安全管理工作人員的技術(shù)要求上,對(duì)企業(yè)信息安全管理工作人員的道德素養(yǎng),職業(yè)素養(yǎng),風(fēng)險(xiǎn)意識(shí)并沒(méi)有嚴(yán)格要求���。此外,絕大多數(shù)企業(yè)并沒(méi)有意識(shí)開(kāi)展對(duì)企業(yè)信息安全管理工作的道德素質(zhì)的教育培訓(xùn),并沒(méi)有通過(guò)建立相關(guān)管理制度以及問(wèn)責(zé)機(jī)制對(duì)企業(yè)信息安全管理工作人員實(shí)行監(jiān)督,這無(wú)疑給別有用心或者立場(chǎng)不堅(jiān)定的企業(yè)信息安全管理工作人員留下了危害企業(yè)信息安全的可乘之機(jī)���。
2.企業(yè)信息安全管理技術(shù)不過(guò)關(guān)
企業(yè)信息安全管理工作涉及多許多技術(shù),包括信息技術(shù),計(jì)算機(jī)技術(shù),密碼技術(shù),網(wǎng)絡(luò)應(yīng)用技術(shù)等等,應(yīng)當(dāng)說(shuō)成熟的計(jì)算機(jī)應(yīng)用技術(shù)是做好企業(yè)信息安全管理的基礎(chǔ),但是,現(xiàn)實(shí)是許多企業(yè)的信息安全管理技術(shù)并不過(guò)關(guān),一方面企業(yè)的信息安全管理硬件并不過(guò)關(guān),在物理層面對(duì)企業(yè)信息缺乏保護(hù),另一方面,企業(yè)信息安全管理工作的專業(yè)技術(shù)沒(méi)有及時(shí)更新,一些企業(yè)信息安全管理工作人員缺乏企業(yè)信息安全管理的實(shí)踐經(jīng)驗(yàn),企業(yè)信息安全管理的知識(shí)也并沒(méi)有及時(shí)更新,從而導(dǎo)致企業(yè)的信息安全管理理論嚴(yán)重滯后,這種技術(shù)的落后很容易讓企業(yè)成為不法分子的攻擊對(duì)象��。近年來(lái)網(wǎng)絡(luò)病毒的傳播越來(lái)越猖狂,很多服務(wù)器�����、系統(tǒng)提示安全補(bǔ)丁的下載更新以及客戶端的時(shí)常更新成為一個(gè)惱人的問(wèn)題����。作為一個(gè)行業(yè)中的大中型企業(yè),企業(yè)內(nèi)部設(shè)備數(shù)量比較多,尤其是客戶端數(shù)量占了較大比重,僅僅靠少數(shù)幾個(gè)管理員進(jìn)行管理是難以承擔(dān)如此大量的工作量��。另外,企業(yè)信息安全管理系統(tǒng)不成熟也是一個(gè)重大的隱患���。
3.企業(yè)信息安全管理制度不健全
企業(yè)信息安全管理制度不僅僅需要理論制度的完善,更加需要一系列配套監(jiān)督機(jī)制保障企業(yè)信息安全管理的有效執(zhí)行����。通過(guò)調(diào)查分析,許多企業(yè)雖然建立了企業(yè)信息安全管理制度,但是通常情況下,這些制度只能流于形式,企業(yè)信息安全管理工作缺少有效的制約和監(jiān)督,企業(yè)信息安全管理工作人員缺乏執(zhí)行力����。企業(yè)信息安全管理制度不健全,企業(yè)信息安全管理工作缺乏執(zhí)行力常常體現(xiàn)在以下幾個(gè)方面����。第一,企業(yè)員工對(duì)于信息安全管理的認(rèn)識(shí)嚴(yán)重不足,對(duì)企業(yè)信息安全管理工作不重視�。企業(yè)內(nèi)部計(jì)算機(jī)系統(tǒng)安全的計(jì)算機(jī)防病毒軟件并沒(méi)有及時(shí)更新,使用,甚至企業(yè)內(nèi)部計(jì)算機(jī)的防病毒軟件還被企業(yè)員工卸載了�����。部分企業(yè)員工認(rèn)為自己的工作與企業(yè)信息安全管理不相關(guān),認(rèn)為做好企業(yè)信息安全管理工作僅僅是企業(yè)信息安全部門(mén)的事�。第二,企業(yè)內(nèi)部信息安全文秘站:管理制度并沒(méi)有形成聯(lián)動(dòng)機(jī)制,企業(yè)信息安全管理工作僅僅由企業(yè)信息安全部門(mén)“一人包干”,企業(yè)信息安全反映的問(wèn)題并沒(méi)有得到積極的反饋,一些企業(yè)領(lǐng)導(dǎo)對(duì)企業(yè)信息安全現(xiàn)狀所了解的少之又少。
三��、企業(yè)信息安全管理常見(jiàn)的技術(shù)手段 1.OSI安全體系結(jié)構(gòu)
OSI概念化的安全體系結(jié)構(gòu)是一個(gè)多層次的結(jié)構(gòu),它的設(shè)計(jì)初衷是面向客戶的,提供給客戶各種安全應(yīng)用,安全應(yīng)用必須依靠安全服務(wù)來(lái)實(shí)現(xiàn),而安全服務(wù)又是由各種安全機(jī)制來(lái)保障的�����。所以,安全服務(wù)標(biāo)志著一個(gè)安全系統(tǒng)的抗風(fēng)險(xiǎn)的能力,安全服務(wù)數(shù)量越多,系統(tǒng)就越安全��。
2.P2DR模型
P2DR模型包含四個(gè)部分:響應(yīng)����、安全策略、檢測(cè)�����、防護(hù)�����。安全策略是信息安全的重點(diǎn),為安全管理提供管理途徑和保障手段。因此,要想實(shí)施動(dòng)態(tài)網(wǎng)絡(luò)安全循環(huán)過(guò)程,必須制定一個(gè)企業(yè)的安全模式�。在安全策略的指導(dǎo)下實(shí)施所有的檢測(cè)、防護(hù)����、響應(yīng),防護(hù)通常是通過(guò)采用一些傳統(tǒng)的靜態(tài)安全技術(shù)或者方法來(lái)突破的,比如有防火墻、訪問(wèn)控制�����、加密���、認(rèn)證等方法,檢測(cè)是動(dòng)態(tài)響應(yīng)的判斷依據(jù),同時(shí)也是有力落實(shí)安全策略的實(shí)施工具,通過(guò)監(jiān)視來(lái)自網(wǎng)絡(luò)的入侵行為,可以檢測(cè)出騷擾行為或錯(cuò)誤程序?qū)е碌木W(wǎng)絡(luò)不安全因素;經(jīng)過(guò)不斷地監(jiān)測(cè)網(wǎng)絡(luò)和系統(tǒng)來(lái)發(fā)現(xiàn)新的隱患和弱點(diǎn)�。在安全系統(tǒng)中,應(yīng)急響應(yīng)占有重要的地位,它是解決危險(xiǎn)潛在性的最有效的辦法�。
3.HTP模型
HTP最為強(qiáng)調(diào)企業(yè)信息安全管理工作人員在整個(gè)系統(tǒng)中的價(jià)值。企業(yè)信息安全工作人員企業(yè)信息安全最為關(guān)鍵的參與者,企業(yè)信息安全工作人員直接主導(dǎo)企業(yè)信息安全管理工作,企業(yè)信息安全工作人員不僅僅是企業(yè)信息安全的保障者,也是企業(yè)信息安全管理的威脅者�。因此,HTP模型最為強(qiáng)調(diào)對(duì)企業(yè)信息安全管理工作人員的管理與監(jiān)督。另外,HTP模式同樣是建立在企業(yè)信心安全體系,信息安全技術(shù)防范的基礎(chǔ)上,HTP模式采取了豐富的安全技術(shù)手段確保企業(yè)的信息安全�����。最后,HTP強(qiáng)調(diào)動(dòng)態(tài)管理,動(dòng)態(tài)監(jiān)督,對(duì)于企業(yè)信息安全管理工作始終保持高強(qiáng)度的監(jiān)督與管理,在實(shí)際工作中,通過(guò)HTP模型的應(yīng)用,找出HTP模型中的漏洞并不斷完善��。
四�����、完善企業(yè)信息安全管理與降低風(fēng)險(xiǎn)的建議
1.建設(shè)企業(yè)信息安全管理系統(tǒng)
(1)充分調(diào)查和分析企業(yè)的安全系統(tǒng),建立一個(gè)全面合理的系統(tǒng)模型,安全系統(tǒng)被劃分成各個(gè)子系統(tǒng),明確實(shí)施步驟和功能摸塊,將企業(yè)常規(guī)管理工作和安全管理聯(lián)動(dòng)協(xié)議相融合,實(shí)現(xiàn)信息安全監(jiān)控的有效性和高效性�。
(2)成立一個(gè)中央數(shù)據(jù)庫(kù),整合分布式數(shù)據(jù)庫(kù)里的數(shù)據(jù),把企業(yè)的所有數(shù)據(jù)上傳到中央數(shù)據(jù)庫(kù),實(shí)現(xiàn)企業(yè)數(shù)據(jù)信息的集中管理與有效運(yùn)用。
(3)設(shè)計(jì)優(yōu)良的人機(jī)界面,通過(guò)對(duì)企業(yè)數(shù)據(jù)信息進(jìn)行有效的運(yùn)用,為企業(yè)管理階層人員���、各級(jí)領(lǐng)導(dǎo)及時(shí)提供各種信息,為企業(yè)領(lǐng)導(dǎo)的正確決策提供數(shù)據(jù)支持,根本上提高信息數(shù)據(jù)的管理水平�。
(4)簡(jiǎn)化企業(yè)內(nèi)部的信息傳輸通道,對(duì)應(yīng)用程序和數(shù)據(jù)庫(kù)進(jìn)行程序化設(shè)計(jì),加強(qiáng)對(duì)提高企業(yè)內(nèi)部信息處理的規(guī)范性和準(zhǔn)確性���。
2.設(shè)計(jì)企業(yè)信息安全管理風(fēng)險(xiǎn)體系
(1)確定信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)
在企業(yè)信息安全管理風(fēng)險(xiǎn)體系的設(shè)計(jì)過(guò)程中,首要工作是設(shè)計(jì)企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo),只有明確了企業(yè)信息安全管理的目標(biāo),明確了企業(yè)信息安全管理的要求和工作能容,才能建立相關(guān)圍繞信息安全風(fēng)險(xiǎn)控制為目標(biāo)的信息安全管理工作制度,才能順利通過(guò)對(duì)風(fēng)險(xiǎn)控制的結(jié)果的定量考核,檢測(cè)企業(yè)信息安全管理的風(fēng)險(xiǎn),定性定量地企業(yè)信息安全管理工作進(jìn)行分析,找準(zhǔn)企業(yè)信息安全管理的工作辦法�����。
(2)確定信息安全風(fēng)險(xiǎn)評(píng)估的范圍
不同企業(yè)對(duì)于風(fēng)險(xiǎn)的承受能力是有區(qū)別的,因此,對(duì)于不同的企業(yè)的特殊性應(yīng)該采取不同的風(fēng)險(xiǎn)控制辦法,其中,不同企業(yè)對(duì)于能夠承受的信息安全風(fēng)范圍有所不同,企業(yè)的信息安全風(fēng)險(xiǎn)承受范圍需要根據(jù)企業(yè)的實(shí)際能力來(lái)制定��。不僅如此,企業(yè)的信息安全風(fēng)險(xiǎn)評(píng)估范圍也應(yīng)當(dāng)根據(jù)企業(yè)的實(shí)際經(jīng)營(yíng)情況變化采取有針對(duì)性的辦法��。
