序論:在您撰寫企業(yè)信息安全管理體系時���,參考他人的優(yōu)秀作品可以開闊視野��,小編為您整理的7篇范文��,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導您走向新的創(chuàng)作高度�����。
第1篇
關鍵詞:企業(yè)信息化��;信息安全管理體系;信息安全保障
1 企業(yè)信息安全需求與目標
近年來隨著企業(yè)信息系統(tǒng)建設的不斷發(fā)展,企業(yè)的信息化安全也面臨著前所未有的挑戰(zhàn)��。作為中國高速列車產業(yè)化制造基地和城軌地鐵車輛定點制造企業(yè),公司的發(fā)展對高速動車行業(yè)產生著舉足輕重的作用��;從企業(yè)信息安全現(xiàn)狀分析��,公司IT部門主管深深意識到,盡管從自身情況來看,在信息安全方面已經做了很多工作�����,如部署了防火墻�����、SSL VPN�、入侵檢測系統(tǒng)���、入侵防御系統(tǒng)��、防病毒系統(tǒng)�、文檔加密���、終端安全管理系統(tǒng)等。但是安全系統(tǒng)更多的在于防堵來自某個方面的安全威脅�����,無法產生協(xié)同效應,距離國際同行業(yè)企業(yè)還存在一定的差距�����。
公司通過可行性研究及論證,決定借助外力,通過知名的咨詢公司協(xié)助企業(yè)發(fā)現(xiàn)存在的信息安全不足點�,以科研項目方式��,通過研究國家安全標準體系及國家對央企和上市企業(yè)的信息化安全要求,分析企業(yè)目前的現(xiàn)狀和國際標準ISO27001之間的差距�,繼而完善企業(yè)信息安全體系的規(guī)劃與設計��,最終建立一套適合企業(yè)現(xiàn)狀的信息安全標準和管理體系�。目標是使公司信息安全從管理到技術均得到全面加強��,建立一個有責(職責)�����、有序(秩序)���、有效(效率)的信息安全管理體系�����,預防信息安全事件的發(fā)生�����,確保更小的業(yè)務損失����,提供客戶滿意度��,獲取更多的管理支持����。在行業(yè)內樹立標桿和示范�����,提升企業(yè)形象��,贏取客戶信任,增強競爭力�����。同時���,使信息安全體系通過信息安全管理體系通過ISO 27001認證標準��。
2 企業(yè)信息安全管理體系建設過程
凡事預則立���,不預則廢�。對于信息安全管理建設的工作也先由計劃開始。信息安全管理體系建設分為四個階段:實施安全風險評估��、規(guī)劃體系建設方案�����、建立信息安全管理體系�、體系運行及改進。也符合信息安全管理循環(huán)PDCA(Plan-Do-Check-Action)模型及ISO27001要求����,即有效地保護企業(yè)信息系統(tǒng)的安全��,確保信息安全的持續(xù)發(fā)展��。本文結合作者經驗,重點論述上述幾個方面的內容���。
2.1 確立范圍
首先是確立項目范圍�,從機構層次及系統(tǒng)層次兩個維度進行范圍的劃分����。從機構層次上���,可以考慮內部機構:需要覆蓋公司的各個部門,其包括總部����、事業(yè)部����、制造本部���、技術本部等��;外部機構:則包括公司信息系統(tǒng)相連的外部機構�����,包括供應商����、中間業(yè)務合作伙伴����、及其他合作伙伴等。
從系統(tǒng)層次上����,可按照物理環(huán)境:即支撐信息系統(tǒng)的場所、所處的周邊環(huán)境以及場所內保障計算機系統(tǒng)正常運行的設施���。包括機房環(huán)境�����、門禁、監(jiān)控等����;網絡系統(tǒng):構成信息系統(tǒng)網絡傳輸環(huán)境的線路介質�,設備和軟件;服務器平臺系統(tǒng):支撐所有信息系統(tǒng)的服務器��、網絡設備、客戶機及其操作系統(tǒng)���、數(shù)據庫�、中間件和Web系統(tǒng)等軟件平臺系統(tǒng)����;應用系統(tǒng):支撐業(yè)務、辦公和管理應用的應用系統(tǒng)��;數(shù)據:整個信息系統(tǒng)中傳輸以及存儲的數(shù)據���;安全管理:包括安全策略�、規(guī)章制度、人員組織���、開發(fā)安全�����、項目安全管理和系統(tǒng)管理人員在日常運維過程中的安全合規(guī)�、安全審計等。
2.2 安全風險評估
企業(yè)信息安全是指保障企業(yè)業(yè)務系統(tǒng)不被非法訪問����、利用和篡改��,為企業(yè)員工提供安全、可信的服務,保證信息系統(tǒng)的可用性���、完整性和保密性����。
本次進行的安全評估���,主要包括兩方面的內容:
2.2.1 企業(yè)安全管理類的評估
通過企業(yè)的安全控制現(xiàn)狀調查�、訪談�、文檔研讀和ISO27001的最佳實踐比對��,以及在行業(yè)的經驗上進行“差距分析”,檢查企業(yè)在安全控制層面上存在的弱點��,從而為安全措施的選擇提供依據�����。
評估內容包括ISO27001所涵蓋的與信息安全管理體系相關的11個方面,包括信息安全策略���、安全組織�、資產分類與控制���、人員安全�����、物理和環(huán)境安全、通信和操作管理�����、訪問控制���、系統(tǒng)開發(fā)與維護��、安全事件管理�、業(yè)務連續(xù)性管理�、符合性�。
2.2.2 企業(yè)安全技術類評估
基于資產安全等級的分類,通過對信息設備進行的安全掃描、安全設備的配置����,檢查分析現(xiàn)有網絡設備、服務器系統(tǒng)�、終端���、網絡安全架構的安全現(xiàn)狀和存在的弱點��,為安全加固提供依據��。
針對企業(yè)具有代表性的關鍵應用進行安全評估。關鍵應用的評估方式采用滲透測試的方法�����,在應用評估中將對應用系統(tǒng)的威脅、弱點進行識別��,分析其和應用系統(tǒng)的安全目標之間的差距�,為后期改造提供依據。
提到安全評估����,一定要有方法論�����。我們以ISO27001為核心����,并借鑒國際常用的幾種評估模型的優(yōu)點�����,同時結合企業(yè)自身的特點,建立風險評估模型:
在風險評估模型中�,主要包含信息資產��、弱點��、威脅和風險四個要素��。每個要素有各自的屬性��,信息資產的屬性是資產價值��,弱點的屬性是弱點在現(xiàn)有控制措施的保護下,被威脅利用的可能性以及被威脅利用后對資產帶來影響的嚴重程度����,威脅的屬性是威脅發(fā)生的可能性及其危害的嚴重程度,風險的屬性是風險級別的高低�。風險評估采用定性的風險評估方法��,通過分級別的方式進行賦值。
2.3 規(guī)劃體系建設方案
企業(yè)信息安全問題根源分布在技術��、人員和管理等多個層面�,須統(tǒng)一規(guī)劃并建立企業(yè)信息安全體系���,并最終落實到管理措施和技術措施,才能確保信息安全�。
規(guī)劃體系建設方案是在風險評估的基礎上,對企業(yè)中存在的安全風險提出安全建議�,增強系統(tǒng)的安全性和抗攻擊性�����。
在未來1-2年內通過信息安全體系制的建立與實施,建立安全組織�,技術上進行安全審計��、內外網隔離的改造��、安全產品的部署�����,實現(xiàn)以流程為導向的轉型��。在未來的 3-5 年內�,通過完善的信息安全體系和相應的物理環(huán)境改造和業(yè)務連續(xù)性項目的建設��,將企業(yè)建設成為一個注重管理,預防為主�����,防治結合的先進型企業(yè)����。
2.4 企業(yè)信息安全體系建設
企業(yè)信息安全體系建立在信息安全模型與企業(yè)信息化的基礎上�,建立信息安全管理體系核心可以更好的發(fā)揮六方面的能力:即預警(Warn)、保護(Protect)�����、檢測(Detect)�����、反應(Response)�、恢復(Recover)和反擊(Counter-attack)����,體系應該兼顧攘外和安內的功能���。
安全體系的建設一是涉及安全管理制度建設完善���;二是涉及到信息安全技術。首先�����,針對安全管理制度涉及的主要內容包括企業(yè)信息系統(tǒng)的總體安全方針、安全技術策略和安全管理策略等����。安全總體方針涉及安全組織機構����、安全管理制度����、人員安全管理�、安全運行維護等方面的安全制度����。安全技術策略涉及信息域的劃分����、業(yè)務應用的安全等級����、安全保護思路�、說以及進一步的統(tǒng)一管理�����、系統(tǒng)分級�、網絡互聯(lián)��、容災備份���、集中監(jiān)控等方面的要求����。
其次,信息安全技術按其所在的信息系統(tǒng)層次可劃分為物理安全技術�、網絡安全技術����、系統(tǒng)安全技術���、應用安全技術�����,以及安全基礎設施平臺����;同時按照安全技術所提供的功能又可劃分為預防保護類、檢測跟蹤類和響應恢復類三大類技術��。結合主流的安全技術以及未來信息系統(tǒng)發(fā)展的要求,規(guī)劃信息安全技術包括:
2.5 體系運行及改進
信息安全管理體系文件編制完成以后�,由公司企劃部門組織按照文件的控制要求進行審核。結合公司實際,在體系文件編制階段�����,將該標準與公司的現(xiàn)有其他體系�����,如質量��、環(huán)境保護等體系文件����,改歸并的歸并����。該修訂審核的再繼續(xù)修訂審核。最終歷經幾個月的努力�,批準并實施了信息安全管理系統(tǒng)的文檔���。至此,信息安全管理體系將進入運行階段���。
有人說�,信息系統(tǒng)的成功靠的是“三分技術�����,七分管理�,十二分執(zhí)行”?!皥?zhí)行”是要需要在實踐中去體會、總結與提高�����。對于信息系統(tǒng)安全管理體系建設更是如此!在此期間����,以IT部門牽頭�����,加強宣傳力度����,組織了若干次不同層面的宣導培訓,充分發(fā)揮體系本身的各項功能���,及時發(fā)現(xiàn)存在的問題�����,找出問題根源�,采取糾正措施��,并按照更改控制程序要求對體系予以更改�,以達到進一步完善信息安全管理體系的目的�����。
3 總結
總結項目,建立健全的信息安全管理制度是進行安全管理的基礎�����。當然,體系建設過程中還存在不足����,如崗位原有職責與現(xiàn)有安全職責的界定,員工的認知及接受程度還有待提高�����,體系在各部門領導重視程度、執(zhí)行力度���、審核效果存在差距等等��。最終���,在公司各部門的共同努力下,體系經歷了來自國際知名品牌認證公司DNV及中國認可委(CNAS)的雙重檢驗�����,并通過嚴格的體系審核����。確認了公司在信息安全管理體系達到國內和國際信息安全管理標準,提升公司信息安全管理的水平���,從而為企業(yè)向國際化發(fā)展與合作提供有力支撐�����。
[參考文獻]
[1]沈昌祥.《信息系統(tǒng)安全導論》.電子工業(yè)出版社,2003.7.
第2篇
關鍵詞:信息安全管理�;網絡安全����;風險評估
中圖分類號:TP393.08
隨著信息化技術的高速發(fā)展和深入應用,企業(yè)對信息系統(tǒng)的依賴性越來越強�����,絕大部分的業(yè)務從紙面遷移到信息系統(tǒng)當中�,如何建立穩(wěn)固的信息安全管理體系已經成為各企業(yè)信息管理部門甚至管理層的重要課題。本文將通過對目前國際信息安全行業(yè)發(fā)展的分析����,提出企業(yè)構建穩(wěn)固的信息安全管理架構,提高信息安全水平的初步構想��。
1企業(yè)信息安全政策
信息安全政策作為信息安全工作的重中之重,直接展現(xiàn)了企業(yè)的信息安全工作的思路���。其應當由企業(yè)信息安全工作的使命和遠景��,實施準則等幾部分組成�����。
1.1信息安全工作的使命
信息安全工作的核心意義是將企業(yè)所面臨的風險管理至一個可接受的水平����。
當前主流的風險控制包含以下四個步驟:通過風險評估方法來評估風險��;制定安全策略來降低風險;通過監(jiān)控控制惡意未授權行為�����;有效地審計���。
1.2信息安全工作的愿景
安全的企業(yè)信息化環(huán)境可以為任何企業(yè)用戶提供安全便捷的信息化服務,應用�����,基礎設施����,并保護用戶的隱私���。讓用戶有安全的身份驗證�;能安全便捷的使用需要的數(shù)據和應用資源�����;保證通訊和數(shù)據的保密性;明確自身的角色�,了解角色在企業(yè)中的信息安全責任���;身邊出現(xiàn)的信息安全風險和威脅能得到迅速響應。
要達到上述目的,企業(yè)需要進行有效的風險管理�。風險管理是一個識別風險�����、評估風險�����、降低風險的過程�����。在這個過程中�����,需要權衡降低風險的成本和業(yè)務的需求,確定風險的優(yōu)先級別�,為管理層的決策提供有效的支持。
1.3信息安全準則
信息安全準則是風險評估和制定最優(yōu)解決方案的關鍵�����,優(yōu)秀的信息安全準則包括:根據企業(yè)業(yè)務目標執(zhí)行風險管理;有組織的確定員工角色和責任;對用戶和數(shù)據實行最小化權限管理�����;在應用和系統(tǒng)的計劃和開發(fā)過程中就考慮安全防護的問題�����;在應用中實施逐層防護�����;建立高度集成的安全防護框架�����;將監(jiān)控����、審計和快速反應結合為一體。
良好信息安全準則可以讓企業(yè)內外部用戶了解企業(yè)信息安全理念�,從而讓企業(yè)信息管理部門更好地對風險進行管控。
2企業(yè)信息安全管理的主要手段
2.1網絡安全
(1)保證安全的外部人員連接�����。在日常工作中,外部合作伙伴經常會提出聯(lián)入企業(yè)內網的需求�,由于這些聯(lián)入內網的外部人員及其終端并不符合企業(yè)的信息安全標準�����,因此存在信息安全隱患?��?刂拼祟愶L險的手段主要有:對用戶賬戶使用硬件KEY等強驗證手段��;全面管控外部單位的網絡接入等。
(2)遠程接入控制����。隨著VPN[2-3]技術的不斷發(fā)展����,遠程接入的風險已降低到企業(yè)的可控范圍��,而近年來移動辦公的興起更是推動了遠程接入技術的發(fā)展���。企業(yè)采用USB KEY���,動態(tài)口令牌等硬件認證方式的遠程接入要更加的安全��。
(3)網絡劃分�。在過去��,企業(yè)內部以開放式的網絡為主。隨著網絡和互聯(lián)網信息技術的成熟�,非受控終端給企業(yè)內網帶來的安全壓力越來越大����。這些不受信任的終端為攻擊者提供了訪問企業(yè)網絡的路徑�����。信息管理部門可以利用IPSec[4]技術有效提高企業(yè)網絡安全,實現(xiàn)對位于公司防火墻內部終端的完全管控��。
(4)網絡入侵檢測系統(tǒng)�。網絡入侵檢測系統(tǒng)作為防火墻的補充���,主要用于監(jiān)控網絡傳輸����,在檢測到可疑傳輸行為時報警。作為企業(yè)信息安全架構的必備設備���,入侵檢測系統(tǒng)能有效防控企業(yè)外部的惡意攻擊行為�����,隨著信息技術的發(fā)展�����,各大安全廠商如賽門鐵克��,思科等均研發(fā)出來成熟的入侵檢測系統(tǒng)產品����。
(5)無線網絡安全。無線網絡現(xiàn)在已遍布企業(yè)的辦公區(qū)域����,給企業(yè)和用戶帶來便利的同時也存在信息安全的隱患�����。要保證企業(yè)內部無線網絡的安全����,信息管理部門需要使用更新更安全的協(xié)議(如無線保護接入WPA或WPA2);使用VLAN劃分和域提供互相隔離的無線網絡�;利用802.1x和EAP技術加強對無線網絡的訪問控制�����。
2.2訪問控制
(1)密碼策略����。高強度的密碼需要幾年時間來破解��,而脆弱的密碼在一分鐘內就可以被破解。提高企業(yè)用戶的密碼強度是訪問控制的必要手段���。為避免弱密碼可能對公司造成的危害����,企業(yè)必須制定密碼策略并利用技術手段保證執(zhí)行�����。
(2)用戶權限管理。企業(yè)的員工從進入公司到離職是一個完整的生命周期��,要便捷有效地在這個生命周期中對員工的權限進行管理����,需要企業(yè)具有完善的身份管理平臺,從而實現(xiàn)授權流程的自動化����,并實現(xiàn)企業(yè)內應用的單點登陸�����。
(3)公鑰系統(tǒng)[5]�。公鑰系統(tǒng)是訪問控制乃至信息安全架構的核心模塊,無線網絡訪問授權��,VPN接入,文件加密系統(tǒng)等均可以通過公鑰系統(tǒng)提升安全水平���,因此企業(yè)應當部署PKI/CA系統(tǒng)�����。
2.3監(jiān)控與審計
(1)病毒掃描與補丁管理�����。企業(yè)需要統(tǒng)一的防病毒系統(tǒng)和終端管理系統(tǒng),在終端定期更新病毒定義��,進行病毒自掃描,自動更新操作系統(tǒng)補丁�����,以減少桌面終端的安全風險���。此類管控手段通常需要在用戶的終端上安裝客戶端�,或對終端進行定制����,在終端接入企業(yè)內網時����,終端管理系統(tǒng)會在隔離區(qū)域對該終端進行綜合評估打分���,通過評估后方能接入內網。才能保證系統(tǒng)的安全策略被有效執(zhí)行��。
(2)惡意軟件防控���。主流的惡意軟件防控體系主要由五部分構成:防病毒系統(tǒng)��;內容過濾網關����;郵件過濾網關;惡意網頁過濾網關和入侵檢測軟件�����。
(3)安全事件記錄和審計。企業(yè)應當配置日志審計系統(tǒng)����,收集信息安全事件,產生審計記錄����,根據記錄進行安全事件分析�����,并采取相應的處理措施。
2.4培訓與宣傳
提高企業(yè)管理層和員工的信息安全意識���,是信息安全管理工作的基礎。了解信息安全的必要性�,管理層才會支持信息安全管理建設����,用戶才會配合信息管理部門工作�����。利用定期培訓���,宣傳海報��,郵件等方式定期反復對企業(yè)用戶進行信息安全培訓和宣傳�,能有效提高企業(yè)信息安全管理水平��。
3總結
當前,越來越多的企業(yè)已經把信息安全看做影響業(yè)務發(fā)展的核心因素之一,信息安全管理已經成為企業(yè)管理的重點�。本文對信息安全政策�����,安全管理手段等方面進行了剖析�,結合當前國際主流的信息安全解決辦法�,為企業(yè)做好���,做強信息安全管理體系給出了一些通用性的標準���,對企業(yè)構建信息安全管理體系����,消除信息安全隱患,避免信息安全事件造成的損失����,確保信息系統(tǒng)安全����、穩(wěn)定運行具有探索意義。
參考文獻:
[1]何劍虹,白曉穎,李潤玲,崔智社.基于SLA的面向服務的基礎設施[J].電訊技術,2011,51(9):100-105.
[2]胡道元,閡京華.網絡安全[M].北京:清華大學出版社,2004.
[3]戴宗坤,唐三平.VPN與網絡安全[M].北京:電子工業(yè)出版社,2002.
第3篇
【 關鍵詞 】 信息安全�;電力企業(yè)�;風險評估;管理模式
1 引言
在如今的信息化社會中����,信息通過共享傳遞實現(xiàn)其價值。在信息交換的過程中�,人們肯定會擔心自己的信息泄露,所以信息安全備受關注�,企業(yè)的信息安全就更為重要了���。但是網絡是一個開放互聯(lián)的環(huán)境�,接入網絡的方式多樣�����,再加上技術存在的漏洞或者人們可能的操作失誤等,信息安全問題一刻不容忽視。尤其是電力���,是國家規(guī)定的重要信息安全領域�。所以電力企業(yè)要把信息安全管理體系的建設����,作為重要的一環(huán)納入到整個企業(yè)管理體系中去���。
2 電力企業(yè)信息管理體系建設的依據
關于企業(yè)的安全管理體系方面的標準有很多��。英國BSI/DISC的BDD信息管理委員會制定的安全管理體系主要包含兩個部分內容:信息安全管理實施規(guī)則和信息安全管理體系規(guī)范。信息安全管理實施規(guī)則是一個基礎性指導文件�����,里面有10大管理項���、36個執(zhí)行的目標和127種控制的方法,可以作為開發(fā)人員在信息安全管理體系開發(fā)過程中的一個參考文檔�����。信息安全管理體系規(guī)范則詳細描述了在建立�、施工和維護信息安全管理體系過程的要求,并提出了一些具體操作的建議����。
國際標準化組織也了很多關于信息安全技術的標準,如ISO x系列��、ISO/IEC x系列等��。我國也制定了一系列的信息安全標準�����,如GB 15851―1995�。
關于企業(yè)信息安全管理體系方面的標準眾多�����,如何針對企業(yè)自身實際情況選擇合適的參考標準很重要,尤其是電力企業(yè)有著與其他企業(yè)不同的一些特殊性質���,選擇信息安全體系建設的參考標準更要謹慎。我國電力企業(yè)已經引入了一些國際化標準作為建立和維護企業(yè)運轉的保證��,關于信息安全體系的標準也應納入到保證企業(yè)運轉的一系列參考中去。電力企業(yè)總體應有一致的安全信息管理體系參考標準�����,但是具體地區(qū)的公司又有著本身自己的特殊環(huán)境,所以在總體一致的信息安全標準的情況下,也應該根據企業(yè)自身地區(qū)�、人文、政策等的不同制定一些企業(yè)內部自己信息安全標準作為建立���、實施和維護信息安全管理體系的依據��。信息安全管理體系顧全大局又要有所側重的體現(xiàn)電力企業(yè)安全標準的要求�����。
3 信息安全管理體系里的重要環(huán)節(jié)
3.1 硬件環(huán)境要求
信息安全管理體系并沒有特別要求添加什么特別的設備��,只是對企業(yè)用到的設備做一些要求�����。電力企業(yè)一般采用內外網結合的方式����,內外網設備要盡量進行物理隔離。企業(yè)每個員工基本都有自己的移動設備,如手機等��,為了增加信息安全的系數(shù),企業(yè)可以限制公司設備的無線網絡拓展����。另外�����,實時監(jiān)控系統(tǒng)也應該覆蓋企業(yè)的重要設備�����,監(jiān)控硬件設備的安全。
3.2 軟件環(huán)境要求
在企業(yè)設備(主要是計算機)上部署相關軟件環(huán)境是信息安全管理體系中最重要的部分�。比如防病毒軟件的部署、桌面系統(tǒng)弱口令監(jiān)控軟件的部署等��,以此防止網絡攻擊或者提高安全系數(shù)����。另外,企業(yè)設備所用系統(tǒng)的安全漏洞修復����、數(shù)據的加密解密、數(shù)據的備份恢復及數(shù)據傳輸通道的加密解密等問題��,都在信息安全管理體系設計的考慮范疇。
3.3 企業(yè)員工管理
盡管現(xiàn)在一直倡導智能化,但是企業(yè)內進行設備等操作的主體還是員工����。不管是對設備終端操作來進行信息的首發(fā),還是對企業(yè)軟硬件系統(tǒng)進行維護工作���,都是有員工來進行的���。所以���,對企業(yè)內部員工進行信息安全培訓,提高員工的信息安全防范意識���,讓員工掌握一定的信息安全防范與處理手段是非常重要的事情��。針對不同的職位�����,在員工上崗前應該進行相關的信息安全方面的培訓,然后對培訓結果進行考核�����,不合格的人員不準上崗�����。在崗的人員也要定期進行培訓與考核。另外,如果有條件的話�����,企業(yè)應該定期(例如每年)進行一次信息安全的相關演習。
另外����,電力企業(yè)有些項目是外包給其他相應公司的,這時候會有施工人員和駐場人員在電力企業(yè)���,對這些人員也應該進行電力企業(yè)信息安全的培訓。
3.4 信息安全管理體系的風險系數(shù)評估
風險評估在信息安全管理體系中是確定企業(yè)信息安全需求的一個重要途徑,它是對企業(yè)的信息資產所面臨的威脅��、存在的弱點�、造成的影響,以及三者綜合作用下所帶來的風險可能性的評測。風險評估的主要任務是:檢測評估對象所面臨的各種風險����,估計風險的概率和可能帶來的負面影響的程度���,確定信息安全管理體系承受風險的能力�,確定不同風險發(fā)生后消減和控制的優(yōu)先級���,對消除風險提出建議。在信息安全管理體系的風險系數(shù)評估過程中�����,形成《風險系數(shù)評估報告》���、《風險處理方案》等文檔���,作為對信息安全管理體系進行調整的參考���。風險系數(shù)的評估要盡可能全面的反映企業(yè)的信息安全管理體系����,除了常規(guī)手段�,也可以使用一些相應的軟件工具的結果作為參考���。另外很值得注意的是企業(yè)的員工對風險的理解�,企業(yè)員工對他們所操作的對象有比較深刻的理解�����,對其中可能存在的不足也有自己的見解,在風險系數(shù)評估的過程中���,可以進行一些員工的問卷調查等���,把員工對風險的認識納入風險評估的考慮范疇���。
企業(yè)的設備會老舊更換,員工也會更換��,所以企業(yè)的信息安全是動態(tài)的,因此風險評估工作也要視具體情況定期進行�����,針對當前情況作評估報告,然后制定相應的風險處理方案。還有���,之所以要建立信息安全管理體系����,其中很重要的一點就是體系內各個模塊的結合����,信息安全管理體系的風險評估與關鍵內容的實時監(jiān)控就應該結合起來����。
為了降低信息安全管理體系的風險系數(shù)�����,提升信息安全等級����,要做的工作很多�。滲透測試就是其中很有必要的一項工作���。滲透測試是測試人員通過模擬惡意攻擊者的攻擊方式����,來評估企業(yè)計算機網絡系統(tǒng)安全的一種評測方法�。這個測試過程會對系統(tǒng)的可知的所有弱點�����、技術方面的缺陷或者漏洞等作主動的分析���。滲透測試對于網絡信息安全的組織具有實際應用價值��。隨著技術的不斷進步�,可能還會出現(xiàn)其他的更有價值的信息安全技術�,作為信息安全備受矚目的電力企業(yè)����,應當時刻關注相關技術的進展�,并及時將它們納入企業(yè)信息安全管理體系中來�����。
3.5 信息安全管理體系的管理模式
文章前面提到企業(yè)信息安全是動態(tài)的��,所以信息安全管理體系需要建立一個長效的機制�����,針對最新的情況及時對自身作出調整,使信息安全管理體系有效的運行?,F(xiàn)在一般會采用PDCA循環(huán)過程模式:計劃,依照體系整個的方針和目標��,建立與控制風險系數(shù)���、提高信息安全的有關的安全方針、過程�、指標和程序等����;執(zhí)行:實施和運作計劃中建立的方針����、過程、程序等���;評測:根據方針���、目標等���,評估業(yè)績����,并形成報告�,也就是文章前面說到的風險系數(shù)評估;舉措:采取主動糾正或預防措施對體系進行調整����,進一步提高體系運作的有效性�。這四個步驟循環(huán)運轉���,成為一個閉環(huán),是信息安全管理體系得到持續(xù)的改進��。
4 重要技術及展望
4.1 安全隔離技術
電力企業(yè)的信息網絡是由內外網兩部分組成,從被防御的角度來看的話���,內網的主要安全防護技術為防火墻���、桌面弱口令監(jiān)控����、入侵檢測技術等����;而主動防護則主要采用的是安全隔離技術等�。安全隔離技術包括物理隔離���、協(xié)議隔離技術和防火墻技術����。一般電力企業(yè)采用了物理隔離與防火墻技術���,在內網設立防火墻��,在內外網之間進行物理隔離���。
4.2 數(shù)據加密技術
企業(yè)的數(shù)據在傳輸過程中一般都要進行加密來降低信息泄露的風險?�?梢愿鶕娏ζ髽I(yè)內部具體的安全要求,對規(guī)定的文檔���、視圖等在傳輸前進行數(shù)據加密。尤其是電力企業(yè)通過外網傳輸?shù)臅r候���,除了對數(shù)據進行加密外��,還應該在鏈路兩端進行通道加密。
4.3 終端弱口令監(jiān)控技術
終端設備眾多�,而且是業(yè)務應用的主要入口����,所以終端口令關乎業(yè)務數(shù)據的安全以及整個系統(tǒng)的正常運轉��。如果終端口令過于簡單薄弱�,相當于沒有設定而將設備暴露�����。終端的信息安全是電力企業(yè)信息安全的第一道防線�,因此采用桌面系統(tǒng)弱口令監(jiān)控技術來加強這第一道防線的穩(wěn)固性對電力企業(yè)的信息安全非常重要���。
電力企業(yè)信息安全管理體系是一個復雜的系統(tǒng)�,包含眾多的安全技術�����,如數(shù)據備份及災難恢復技術�、終端安全檢查與用戶身份認證技術、虛擬專用網技術、協(xié)議隔離技術等����。凡是與信息安全相關的技術����,電力企業(yè)都應當關注����,并根據企業(yè)自身的情況決定是否將之納入到信息安全管理體系中去���。
智能化已成為不管是研究還是社會應用的熱門詞匯�。電力企業(yè)的信息安全管理體系是否可以智能化呢�?不妨做一個展望,電力企業(yè)的信息安全管理體系有了很強的自我學習與自我改進的能力�,在信息安全環(huán)境越來越復雜����,信息量越來越龐大的情況下是否會更能發(fā)揮信息安全管理體系的作用呢�?這應該是值得期待的���。
5 防病毒軟件部署
電力企業(yè)信息安全管理體系有很多軟件系統(tǒng)的部署,如防病毒軟件部署�����、桌面弱口令監(jiān)控系統(tǒng)部署����、系統(tǒng)安全衛(wèi)士部署等。但是它們的部署情況類似�����,這里用防病毒軟件的部署來展示電力企業(yè)信息安全管理體系中軟件系統(tǒng)的部署情況。如圖1所示為防病毒軟件的部署框架��。
殺毒軟件種類有很多����,這里以賽門鐵克殺毒軟件為例。企業(yè)版的賽門鐵克防病毒軟件系統(tǒng)相比單機版增加了網絡管理的功能���,能夠很大程度地減輕維護人員的工作量�����。為了確保防病毒軟件系統(tǒng)的穩(wěn)定運行��,在電力企業(yè)內部正式使用時,盡量準備一立的服務器作為防病毒軟件專用的服務器。
服務器安裝配置好賽門鐵克防病毒軟件后����,可以遠程控制客戶端與下級升級服務器的軟件安裝與升級。
電力企業(yè)內網可能是禁止接入外網的�,這樣的話����,防病毒軟件的更新可能無法自動完成�����。防病毒軟件需要升級的時候����,維護人員在通過外網在相應網址下載賽門鐵克升級包����,然后通過安全U盤拷貝到防病毒軟件系統(tǒng)專用服務器進行升級操作�����。在圖1中�,省電力公司的防病毒管理控制臺獲得升級包可以下發(fā)給下級升級服務器和客戶端進行防病毒軟件系統(tǒng)的自動升級更新�。圖1是一個簡單的框圖,如果電力企業(yè)的內網規(guī)模很大的話�����,還可以更多級地分布部署。
6 結束語
電力企業(yè)的信息安全與企業(yè)的生產與經營管理密切相關���,是企業(yè)整個管理系統(tǒng)的一部分。信息安全管理體系是一個整體性的管理工作���,把體系中涉及的內容統(tǒng)一進行管理�����,讓它們協(xié)調運作,實現(xiàn)信息安全管理體系的功能�����。電力企業(yè)信息安全的建立與體系不斷的改進定能穩(wěn)定、有效地維護企業(yè)的信息安全��。
參考文獻
[1] 王志強�,李建剛.電網企業(yè)信息安全管理體系建設[J].浙江省電力公司�,2008,6(3):26-29.
[2] 陳賀,宮俊峰.淺析信息安全體系如何建立[J].中國管理信息化,2014��,17(1):74-76.
[3] 郭建,顧志強.電力企業(yè)信息安全現(xiàn)狀分析及管理對策[J].信息技術��,2013(1):180-187.
[4] 沈軍.火力發(fā)電廠信息你安全體系構建與應用[J].電力信息通信技術,2013��,11(8):103-108.
[5] 左鋒.信息安全體系模型研究[J].信息安全與通信保密��,2010��,01(10):68-71.
[6] 楊柳.構建供電企業(yè)信息安全體系[J].電腦知識與技術,2005(29).
[7] 曹鳴鵬�, 趙偉��, 許林英. J2EE技術及其實現(xiàn)[J]. 計算機應用,2001���, 21(10): 20-23.
[8] 江和平.淺談網絡信息安全技術[J].現(xiàn)代情報學,2004(14):125-127.
作者簡介:
崔阿軍(1984-)�,男����,甘肅平涼人�,碩士研究生�����,工程師����;主要研究方向和關注領域:電力信息通信安全技術研究。
張馴(1984-),男,江蘇揚州人�,本科,工程師�;主要研究方向和關注領域:電力信息通信安全技術研究。
李志茹(1984-)�����,女��,山東平度人,碩士研究生���,工程師��;主要研究方向和關注領域:信息化建設及安全技術�����。
龔波(1981-),男��,湖南新邵人����,本科�,工程師;主要研究方向和關注領域:電力信息化建設及安全技術�。
第4篇
[關鍵詞]信息安全管理 評估模型 管理體系
中圖分類號:P9.T3308 文獻標識碼:A 文章編號:1009-914X(2016)21-0400-01
1����、 引言
隨著信息化建設的發(fā)展��,信息安全越來越多的受到人們的重視,企業(yè)信息安全重點面臨的問題主要表現(xiàn)在[1]:1)網絡受到外部的惡意攻擊����,部分單位無終端接入控制措施����,使企業(yè)的正常業(yè)務無法開展或相關重要數(shù)據被盜取���;2)網站受到黑客攻擊,由于部分掌握網絡技術的不法人員查詢到破解網站所存在的漏洞,加以利用并篡改網站信息及獲取網站管理權限�,使得網站陷入癱瘓��;3)信息的監(jiān)管不利產生不良的影響�����,通常情況下信息沒有主管部門負責審核導致監(jiān)管不到位��,那么不良信息就可能由于工作人員的疏忽而上傳到網站上����,造成不良影響��;4)計算機病毒的危害���,相關系統(tǒng)不及時更新補丁和升級���,受到病毒入侵并加以利用�,篡改應用系統(tǒng)信息或獲取管理權限,使得應用系統(tǒng)丟失重要信息�����。
當前,有關信息系統(tǒng)的安全評價雖然存在著多種多樣的具體實踐方式�,但在目前還沒有形成系統(tǒng)化和形式化的評價理論和方法�����。評價模型基本是基于灰色理論(Gray Theory)或者模糊(Fuzzy)數(shù)學��,而評價方法基本上用層次分析法AHP[2](Analytic Hierarchy Process)或模糊層次分析法Fuzzy AHP[3]將定性因素與定量參數(shù)結合����,建立了安全評價體系�����,并運用隸屬函數(shù)和隸屬度確定待評對象的安全狀況���。上述各種安全評估思想都是從信息系統(tǒng)安全的某一個方面出發(fā),如技術、管理��、過程�����、人員等,著重于評估網絡系統(tǒng)安全某一方面的實踐規(guī)范���。在操作上主觀隨意性較強,其評估過程主要依靠測試者的技術水平和對網絡系統(tǒng)的了解程度�����,缺乏統(tǒng)一的���、系統(tǒng)化的安全評估框架���,很多評估準則和指標沒有與被評價對象的實際運行情況和信息安全保障的效果結合起來����。
大型企業(yè)信息安全管理體系的研究����,就是為了尋找一個科學�����、合理的管理體系�,并根據該體系和方法對大型企業(yè)的信息安全狀況和水平進行評價,對信息安全管理績效進行考核���。
2、 大型企業(yè)信息安全管理體系的內涵
通過管理體系的應用�����,將對大型企業(yè)信息安全產生非常重要的作用�。一是可以對企業(yè)信息安全的水平做出客觀的反應,認識企業(yè)信息安全存在的不足之處�����,發(fā)揮考評體系的指導作用��,引導企業(yè)“信息安全”工作健康科學發(fā)展;二是可以為企業(yè)信息安全的建設指明方向,為信息安全的發(fā)展提供有力支撐;三是可以幫助企業(yè)管理者建立起一套科學的信息安全管理系統(tǒng)��,有效控制信息化活動的進程��,提高信息安全級別�,減少因信息安全事件引起的損失����,有利于正確引導和規(guī)范企業(yè)的信息化建設,指導企業(yè)科學發(fā)展具有重要的意義��。
3��、 大型企業(yè)信息安全管理體系的主要做法
為了大型企業(yè)信息安全管理體系的建立���,提出了管理體系的目標:對于信息安全方面出現(xiàn)的問題��,達到防范目的;對于信息安全工作進行查漏補缺���,加強管理����;通過評估體系的考核�����,落實相關信息安全文件、推進信息安全工作�����,為企業(yè)信息安全的建設指明方向�����,同時注重管理體系整體的時效性���,根據信息安全發(fā)展的不同階段進行及時更新。
1) 建立大型企業(yè)信息安全體系
信息安全體系總體設計���。信息安全體系設計共分為三級,包含9個一級指標,14個二級指標��,27個三級指標��。一級指標和二級指標為共性指標����,三級指標為數(shù)據采集項�。一級指標包括:網絡安全管理�����、環(huán)境安全管理��、應用系統(tǒng)安全管理����、數(shù)據安全管理��、終端安全管理����、操作安全管理��、網絡信息安全、移動信息化安全、服務器掃描情況����。一級和二級指標結構圖如下:
2)信息安全考評指標的權重設計
指標權重理論思路�。具體權重根據德爾菲法[4]、層次分析法��,結合政策導向確定�。
管理體系的指標權重確定方法設計過程中,選取兩組技術��、管理等方面的專家,其中一組專家根據各指標在企業(yè)信息化中的重要程度��,確定各指標的相對重要性�,采用層次分析法確定各指標的權重����。另外一組專家根據各指標在企業(yè)信息化中的重要程度,對各指標按百分制進行賦值�����,確定各指標的權重。綜合兩組專家的意見����,初步確定各指標的權重����,再組織專家研討會,最終確定各指標的權重�。
企業(yè)信息安全考評指標總分計算方法:
I=Σ(Pi*Wi) (1)
I表示指標體系的總得分����;Pi表示第i個指標的得分,各指標得滿分都是100分����;Wi表示第i個指標的權重�,所有指標權重的和為100%。
3)建設大型企業(yè)信息化評價管理系統(tǒng)
為了實施信息安全措施體系�,以信息安全體系�、信息安全文件和考評制度為基礎,研發(fā)包括信息安全在內的大型企業(yè)信息化評價管理系統(tǒng)��。通過使用該系統(tǒng),將減輕信息化管理部門的負擔����,填報和匯總數(shù)據的效率顯著提高,最為突出的是以上報數(shù)據為基礎�,可以自動、實時地形成各種統(tǒng)計�����、分析圖表���,從而完成以往需要信息化管理人員幾天才能完成的大量統(tǒng)計工作,大大減輕了信息化管理部門的工作強度�,增加了信息化管理部門對新情況快速反應能力���。
系統(tǒng)整體架構由數(shù)據庫層���、框架服務層、應用邏輯層�、界面表現(xiàn)層組成,系統(tǒng)部署了tomcat下運行的I@Report和BI@Report作為框架服務層����,并在此基礎上開發(fā)了業(yè)務系統(tǒng)。
系統(tǒng)主要實現(xiàn)了如下功能:
編碼同步����、基層權限管理��、評價初始化����、基層初評、數(shù)據提交、部門權限管理(含單位����、指標項)、管理部門復評���、信息稽核�、數(shù)據計算�����、統(tǒng)計管理、查詢管理�����、決策模型�����。
建立統(tǒng)一的數(shù)據報送平臺����,提高企業(yè)信息整合水平����。
建立在線交流及公告平臺�����。
系統(tǒng)根據建立的數(shù)學模型進行綜合分析���,可自動�、實時地形成各種統(tǒng)計分析圖表�、報告等����,例如:信息化評級�����、信息化水平評測報告。
4��、 結束語
通過大型企業(yè)信息安全管理體系的實施�,使企業(yè)信息化水平評估體系更加完善�,在考評信息化建設水平的同時����,又對信息安全水平等級有所提升��。
參考文獻
[1] 周學廣����,劉藝.信息安全學[M].北京:機械工業(yè)出版社�,2003.
[2] 常建娥���,蔣太立.層次分析法確定權重的研究[J].武漢理工大學學報���,信息與管理工程版����,2007���,1(29):153-156.
第5篇
關鍵詞:信息完全�����;技術��;體系
一�����、前言
隨著金川集團公司跨國經營戰(zhàn)略的實施,企業(yè)信息化進程不斷深入����,企業(yè)信息安全己經引起公司領導的的高度重視,但依然存在不少問題。調查結果表明����,造成網絡安全事件發(fā)生的原因有很多,一是安全技術保障體系尚不完善,企業(yè)花了大量的金錢購買了信息安全設備,但是技術保障不成體系���,達不到預想的目標;二是應急反應體系沒有經?;?����、制度化;三是企業(yè)信息安全的標準���、制度建設滯后��。其中,由于未修補或防范軟件漏洞導致發(fā)生安全事件的占安全事件總數(shù)的80%��,登錄密碼過于簡單或未修改密碼導致發(fā)生安全事件的占19%�����。近年來����,雖然使用單位對信息網絡安全管理工作的重視程度普遍提高,80%的被調查單位有專職或兼職的安全管理人員��,但是,很多企業(yè)存在安全觀念薄弱�、安全管理員缺乏培訓、安全經費投入不足和安全產品不能滿足要求等問題�,也說明目前安全管理水平還比較低��。因此現(xiàn)代企業(yè)迫切需要建立信息資源安全管理體系。
二、企業(yè)信息資源安全管理體系構建
1、企業(yè)信息安全組織管理
企業(yè)信息安全組織體系定義為一個三層的組織�,組織架構如圖所示:
企業(yè)信息安全組織
l)總經理通過總經辦負責企業(yè)信息、安全的決策事項。2)總經理任命一名信息安全主管負責企業(yè)信息安全的風險管理��,該主管領導一個有各個部門主要負責人參加的信息安全管理小組維護企業(yè)信息安全管理體系、管理企業(yè)信息安全風險�。3)總經理任命一名信息安全審計師,負責企業(yè)信息安全活動的審計��。4)行政部門��、業(yè)務部門和分支機構執(zhí)行信息安全管理體系中的相應安全政策,并在信息安全管理主管的領導下�,實施風險管理計劃��。各個部門負責人有義務向信息安全主管報告所管轄部門的信息安全狀況,信息安全主管應定期在組織范圍內和向上級機關報告企業(yè)信息安全狀況�����。
2��、企業(yè)信息安全政策管理
根據企業(yè)信息安全風險分析的結果和信息安全政策制定的原則�����,設計信息安全政策體系包括以下幾點:(1)企業(yè)信息安全風險管理政策:a)信息安全風險定義,包括風險等級定義和安全類別定義;b)信息安全風險評估執(zhí)行要求,包括時問周期要求��、范圍要求、基于事件的風險評估要求:c)信息安全風險評估責任����,包括信息安全管理人員責任和業(yè)務部門責任。(2)企業(yè)信息安全體系管理政策:a)管理體系的規(guī)劃����,包括規(guī)劃的時機���、規(guī)劃的內容、規(guī)劃的依據���、規(guī)劃的責任人:b)管理體系的實施����,包括、培訓�、執(zhí)行獎懲。c)管理體系的驗證����,包括周期管理評審����、安全審計����、事件評審���、殘留風險評估��。d)管理體系的改進���,包括分析和變更控制����。(3)病毒抵御安全政策:a)操作程序一運行網絡管理人員日常工作的程序�����。這部分安全政策主要控制的風險是不規(guī)范的管理活動造成無效或低效的管理。b)關鍵資源監(jiān)控一識別出關鍵設備并對關鍵設備的運行狀態(tài)進行監(jiān)控。這部分安全政策主要控制的風險是關鍵資源異常情況不能被及時發(fā)現(xiàn)和處理。c)軟件系統(tǒng)維護一對軟件系統(tǒng)及時地升級和打補丁���。這部分安全政策主要控制的風險是軟件系統(tǒng)未及時升級和/或打補丁而造成的信息故障或者安全事故����。d)敏感資料存儲一對在業(yè)務進行過程中產生的敏感信息的存放管理�����。這部分安全政策主要控制的風險是由于對敏感資料存儲不當導致資料的丟失或泄漏�。
3、企業(yè)信息安全事件管理
目前�,沒有任何一種具有代表性的信息安全策略或防護措施可對信息���、信息系統(tǒng)、服務或網絡提供絕對的保護。即使采取了防護措施�,仍可能存在殘留的弱點�����,使得信息安全防護變得無效����,從而導致信息安全事件發(fā)生����,并對企業(yè)的業(yè)務運行直接或間接地產生負面影響���。此外���,以前未被認識到的威脅也將會不可避免地發(fā)生。企業(yè)如果對如何應對這些事件沒有作好充分準備,其任何實際響應的效率都會大打折扣�����,甚至還可能增加潛在的業(yè)務負面影響���。因此���,企業(yè)應著重做好信息安全事件管理工作�����。信息安全事件管理方案的必企業(yè)應著重做好信息安全事件管理工作。信息安全事件管理方案的必要過程包括:(1)發(fā)現(xiàn)和報告發(fā)生的信息安全事態(tài)��,無論是由企業(yè)人員/顧客引起的還是自動發(fā)生的(如防火墻警報)��。(2)收集有關信息安全事態(tài)的信息,由企業(yè)的運行支持組人員進行評估��,確定該事態(tài)屬于信息安全事件還是發(fā)生了誤報。確認該事態(tài)是否屬于信息安全事件,如果是����,則立即作出響應,同時啟動必要的法律取證分析����、溝通活動�����。(3)進行評審以確定該信息安全事件是否處于控制下���。(4)如果處于控制下���,則啟動任何所需要的進一步的后續(xù)響應���,以確保所有相關信息準備完畢��,供事件解決后評審所用�����。(5)如果不在控制下���,則采取“危機求助”活動并召集相關人員,如企業(yè)中負責業(yè)務連續(xù)性的管理者和工作組���。(6)在整個階段按要求進行上報���,以便進一步評估和決策��。(7)確保所有相關人員���,正確記錄所有活動以備后面分析所用��。(8)確保對電子證據進行收集和安全保存,同時確保電子證據的安全保存得到持續(xù)監(jiān)視,以備法律起訴或內部處罰所需。(9)確保包括信息安全事件追蹤和事件報告更新的變更控制制度得到維護�����,從而使得信息安全事態(tài)/事件數(shù)據庫保持最新。
4�����、企業(yè)信息安全技術管理
我們所構建的信息安全管理體系中����,不能忽視技術的作用�,雖然只使用技術控制不能保證一個信息安全環(huán)境���,但是在通常情況下,它是信息安全項目的基礎部分����。(1)密碼服務技術�����。密碼服務技術為密碼的有效應用提供技術支持�。通常密碼服務系統(tǒng)由密碼芯片����、密碼模塊�����、密碼機或軟件����,以及密碼服務接口構成��。通常,企業(yè)會涉及以下幾個方面的密碼應用:數(shù)字證書運算、密鑰加密運算��、數(shù)據傳輸、數(shù)據儲存���、數(shù)字簽名����、數(shù)字信封��。(2)故障恢復技術���。故障恢復的主要措施有:群集配置����,由多臺計算機組成群集結構,盡可能消除整個系統(tǒng)可能存在的單點故障�;雙機熱備份��,在任何一臺設備失效的情況下���,按照預先定義的規(guī)則快速切換至相應的備份設備,維持業(yè)務的正常運行;故障恢復管理���,由專門的集群軟件進行管理和監(jiān)控,使應用系統(tǒng)在任何軟硬件組成單元發(fā)生故障時����,能夠根據 故障情況重新分配任務�����。(3)惡意代碼防范技術:惡意代碼防范技術包括四大系統(tǒng):病毒查殺系統(tǒng)�����、網關防毒系統(tǒng)、群件防毒系統(tǒng)���、集中管理系統(tǒng)�。(4)入侵檢測技術���。入侵檢測系統(tǒng)是實現(xiàn)入侵檢測功能的一系列的軟件�、硬件的組合����。入侵檢測系統(tǒng)以實時方式監(jiān)測網絡通信�����,對其進行分析并實時安全預警����,從而使企業(yè)能夠有效管理內部人員和資源��,并對外部攻擊進行早期預警和跟蹤��,有效保障系統(tǒng)安全?����;谥鳈C的入侵檢測系統(tǒng)通常以系統(tǒng)日志���、應用程序日志等審計記錄文件作為數(shù)據源����。通過比較這些審計記錄文件與攻擊簽名是否匹配�����,如果匹配立即報警采取行動.基于網絡的入侵檢測系統(tǒng)把原始的網絡數(shù)據包作為數(shù)據源。它是利用網絡適配器來實時監(jiān)視并分析通過網絡進行傳輸?shù)乃型ㄐ艠I(yè)務���。(5)掃描與分析技術。端口掃描工具能識別網絡上活動的計算機��,同樣也可以識別這些計算機上的活動端口和服務?���?梢話呙杼囟愋偷挠嬎銠C、協(xié)議和資源����,也可進行普遍掃描。漏洞掃描可以掃描網絡并得到非常詳細的信息�����。可以識別暴露的用戶名和組��,顯示開放的網絡共享�,并暴露配置問題和其他服務器漏洞��。內容過濾器也能有效地保護機構系統(tǒng),使其不受誤用和無意的拒絕服務�����。
5���、企業(yè)信息安全培訓的必要性
公司目前很多崗位和部門的員工都從事涉密數(shù)據相關工作�,有很多數(shù)據和信息涉及到公司的機密和知識產權�����,但是大多數(shù)員工信息安全意識差���,在平時的工作中在意識上和實際工作中存在很多問題��,導致涉密數(shù)據的外漏���,給公司的生產經營造成不可挽回的損失�。在有管理組織��、政策制度和技術保障的情況下��,通過對涉密數(shù)據相關工作人員的信息安全意識和信息安全操作培訓是非常必要的。
三����、結語
總之��,企業(yè)信息安全管理體系是一個企業(yè)日常經營和持續(xù)發(fā)展的基本保證�,也是企業(yè)戰(zhàn)略和管理的重要環(huán)節(jié)。建立信息安全管理體系的目的就是降低信息風險對企業(yè)的危害�����。并將企業(yè)信息系統(tǒng)投資和商業(yè)利益最大化����。信息安全不只是個技術問題���,而更多的是商業(yè)���、管理和法律問題。實現(xiàn)信息安全不僅僅需要采用技術措施,還需要更多地借助于技術以外的其他手段���。
參考文獻:
第6篇
[關鍵詞]信息安全;管理�;控制��;構建
中圖分類號:X922�;F272 文獻標識碼:A 文章編號:1009-914X(2015)42-0081-01
1 企業(yè)信息安全的現(xiàn)狀
隨著企業(yè)信息化水平的提升,大多數(shù)企業(yè)在信息安全建設上逐步添加了上網行為管理、內網安全管理等新的安全設備,但信息安全防護理念還停留在防的階段,信息安全策略都是在安全事件發(fā)生后再補救��,導致了企業(yè)信息防范的主動性和意識不高����,信息安全防護水平已經越來越不適應當今企業(yè)IT運維環(huán)境和企業(yè)發(fā)展的需求�����。
2 企業(yè)信息系統(tǒng)安全防護的構建原則
企業(yè)信息化安全建設的目標是在保障企業(yè)數(shù)字化成果的安全性和可靠性��。在構建企業(yè)信息安全體系時應該遵循以下幾個原則:
2.1 建立企業(yè)完善的信息化安全管理體系
企業(yè)信息安全管理體系首先要建立完善的組織架構��、制定信息安全管理規(guī)范,來保障信息安全制度的落實以及企業(yè)信息化安全體系的不斷完善?;酒髽I(yè)信息安全管理過程包括:分析企業(yè)數(shù)字化資產評估和風險分析����、規(guī)劃信息系統(tǒng)動態(tài)安全模型���、建立可靠嚴謹?shù)膱?zhí)行策略�、選用安全可靠的的防護產品等�����。
2.2 提高企業(yè)員工自身的信息安全防范意識
在企業(yè)信息化系統(tǒng)安全管理中����,防護設備和防護策略只是其中的一部分,企業(yè)員工的行為也是維護企業(yè)數(shù)字化成果不可忽略的組成���。所以企業(yè)在實施信息化安全管理時,絕對不能忽視對人的行為規(guī)范和績效管理����。在企業(yè)實施企業(yè)信息安全前�����,應制定企業(yè)員工信息安全行為規(guī)范,有效地實現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全��、可靠���、穩(wěn)定運行�,保證企業(yè)信息安全��。其次階段遞進的培訓信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施。企業(yè)對員工進行逐次的安全培訓��,強化企業(yè)員工對信息安全的概念�,提升員工的安全意識����。使員工的行為符合整個企業(yè)信息安全的防范要求����。
2.3 及時優(yōu)化更新企業(yè)信息安全防護技術
當企業(yè)對自身信息安全做出了一套整體完善的防護規(guī)劃時��,就應當考慮采用何種安全防護技術來支撐整個信息安全防護體系����。對于安全防護技術來說可以分為身份識別����、網絡隔離、網絡安全掃描���、實時監(jiān)控與入侵發(fā)現(xiàn)�����、安全備份恢復等。比如身份識別的目的在于防止非企業(yè)人員訪問企業(yè)資源�����,并且可以根據員工級別分配人員訪問權限,達到企業(yè)敏感信息的安全保障���。
3 企業(yè)信息安全體系部署的建議
根據企業(yè)信息安全建設架構��,在滿足終端安全、網絡安全��、應用安全、數(shù)據安全等安全防護體系時,我們需要重點關注以下幾個方面:
3.1 實施終端安全���,規(guī)范終端用戶行為
在企業(yè)信息安全事件中����,數(shù)字化成果泄漏是屬于危害最為嚴重的一種行為��。企業(yè)信息安全體系建立前����,企業(yè)員工對自己的個人行為不規(guī)范���,造成了員工可以通過很多方式實現(xiàn)信息外漏。比如通過U盤等存儲介質拷貝或者通過聊天軟件傳遞企業(yè)的核心數(shù)字化成果�。對于這類高危的行為����,我們在建設安全防護體系時�����,僅僅靠上網行為管理控制是不能完全杜絕的��。應該當用戶接入企業(yè)信息化平臺前,就對用戶的終端系統(tǒng)進行安全規(guī)范檢查��,符合企業(yè)制定的終端安全要求后再接入企業(yè)內網���。同時配合上網行為管理的策略對員工的上網行為進行審計�����,使得企業(yè)員工的操作行為符合企業(yè)制定的上網行為規(guī)范�����,從終端用戶提升企業(yè)的防護水平�����。
3.2 建設安全完善的VPN接入平臺
企業(yè)在信息化建設中,考慮總部和分支機構的信息化需要�����,必然會采用VPN方式來解決企業(yè)的需求。不論是采用SSL VPN還是IPSecVPN,VPN加密傳輸都是通用的選擇�。對于分支機構可以考慮專用的VPN設備和總部進行IPSec連接�����,這種方式更安全可靠穩(wěn)定��。對于移動終端的接入可以考慮SSL VPN方式�����。在這種情況下����,就必須做好對于移動終端的身份認證識別�����。其實我們在設備采購時,可以要求設備商做好多種接入方式的需求,并且?guī)椭髽I(yè)搭建認證方式�。這將有利于企業(yè)日常維護�����,提升企業(yè)信息系統(tǒng)的VPN接入水平。
3.3 優(yōu)化企業(yè)網絡的隔離性和控制性
在規(guī)劃企業(yè)網絡安全邊際時,要面對多個部門和分支結構�����,合理的規(guī)劃安全網絡邊際將是關鍵。企業(yè)的網絡體系可以分為:物理層;數(shù)據鏈路層��;網絡層;傳輸層��;會話層�;表示層�;應用層����。各體系之間的相互隔離和訪問策略是防止企業(yè)信息安全風險的重要環(huán)節(jié)�����。在企業(yè)多樣化網絡環(huán)境的背景下,根據企業(yè)安全優(yōu)先級及面臨的風險程度,做出適合企業(yè)信息安全的防護策略和訪問控制策略。根據相應防護設備進行深層次的安全防護�,真正實現(xiàn)OSI的L2~L7層的安全防護���。
3.4 實現(xiàn)企業(yè)信息安全防護體系的統(tǒng)一管理
為企業(yè)信息安全構建統(tǒng)一的安全防護體系,重要的優(yōu)勢就是能實現(xiàn)對全網安全設備及安全事件的統(tǒng)一管理�����,做到對整個網絡安全事件的“可視����、可控和可管”。企業(yè)采購的各種安全設備工作時會產生大量的安全日志,如果單靠相關人員的識別日志既費時效率又低���。而且不同安全廠商的日志報表還存在很大差異���。所以當安全事件發(fā)生時,企業(yè)管理員很難實現(xiàn)對信息安全的統(tǒng)一分析和管理�。所以在企業(yè)在構建信息安全體系時�,就必須要考慮安全設備日志之間的統(tǒng)一化���,設定相應的訪問控制和安全策略實現(xiàn)日志的歸類分析。這樣才能做到對全網安全事件的“可視����、可控和可管”。
4 結束語
信息安全的主要內容就是保護企業(yè)的數(shù)字化成果的安全和完整����。企業(yè)在實施信息安全防護過程中是一個長期的持續(xù)的工作。我們需要在前期做好詳盡的安全防護規(guī)劃����,實施過程中根據不斷出現(xiàn)的情況及時調整安全策略和訪問控制,保證備份數(shù)據的安全性可靠性����。同時全體企業(yè)員工一起遵守企業(yè)制定的信息安全防護管理規(guī)定,這樣才能為企業(yè)的信息安全提供生命力和主動性�����,真正為企業(yè)的核心業(yè)務提供安全保障�。
參考文獻
[1] 段永紅.如何構建企業(yè)信息安全體系[J]. 科技視界,2012�,16:179-180.
[2] 于雷.企業(yè)信息安全體系構建[J].科技與企業(yè)�,2011�,08:69.
[3] 彭佩,張婕����,李紅梅. 企業(yè)信息安全立體防護體系構建及運行[J].現(xiàn)代電子技術,2014�����,12:42-45+48.
[4] 劉小發(fā)����,李良���,嚴海濤.基于企業(yè)網絡的信息安全體系構建策略探討[J]. 郵電設計技術��,2013�,12:25-28.
[5] 白雪祺����,張銳鋒. 淺析企業(yè)信息系統(tǒng)安全體系建設[J].管理觀察,2014��,27:81-83.
第7篇
【關鍵詞】信息安全 管理 控制 構建
1 企業(yè)信息安全的現(xiàn)狀
隨著企業(yè)信息化水平的提升,大多數(shù)企業(yè)在信息安全建設上逐步添加了上網行為管理���、內網安全管理等新的安全設備���,但信息安全防護理念還停留在防的階段,信息安全策略都是在安全事件發(fā)生后再補救��,導致了企業(yè)信息防范的主動性和意識不高�����,信息安全防護水平已經越來越不適應當今企業(yè)IT運維環(huán)境和企業(yè)發(fā)展的需求�����。
2 企業(yè)信息系統(tǒng)安全防護的構建原則
企業(yè)信息化安全建設的目標是在保障企業(yè)數(shù)字化成果的安全性和可靠性�。在構建企業(yè)信息安全體系時應該遵循以下幾個原則:
2.1 建立企業(yè)完善的信息化安全管理體系
企業(yè)信息安全管理體系首先要建立完善的組織架構、制定信息安全管理規(guī)范����,來保障信息安全制度的落實以及企業(yè)信息化安全體系的不斷完善?���;酒髽I(yè)信息安全管理過程包括:分析企業(yè)數(shù)字化資產評估和風險分析��、規(guī)劃信息系統(tǒng)動態(tài)安全模型�����、建立可靠嚴謹?shù)膱?zhí)行策略���、選用安全可靠的的防護產品等。
2.2 提高企業(yè)員工自身的信息安全防范意識
在企業(yè)信息化系統(tǒng)安全管理中��,防護設備和防護策略只是其中的一部分���,企業(yè)員工的行為也是維護企業(yè)數(shù)字化成果不可忽略的組成���。所以企業(yè)在實施信息化安全管理時��,絕對不能忽視對人的行為規(guī)范和績效管理�����。在企業(yè)實施企業(yè)信息安全前�,應制定企業(yè)員工信息安全行為規(guī)范,有效地實現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全、可靠���、穩(wěn)定運行����,保證企業(yè)信息安全���。其次階段遞進的培訓信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施��。企業(yè)對員工進行逐次的安全培訓��,強化企業(yè)員工對信息安全的概念��,提升員工的安全意識����。使員工的行為符合整個企業(yè)信息安全的防范要求���。
2.3 及時優(yōu)化更新企業(yè)信息安全防護技術
當企業(yè)對自身信息安全做出了一套整體完善的防護規(guī)劃時����,就應當考慮采用何種安全防護技術來支撐整個信息安全防護體系�。對于安全防護技術來說可以分為身份識別、網絡隔離、網絡安全掃描��、實時監(jiān)控與入侵發(fā)現(xiàn)�����、安全備份恢復等����。比如身份識別的目的在于防止非企業(yè)人員訪問企業(yè)資源,并且可以根據員工級別分配人員訪問權限���,達到企業(yè)敏感信息的安全保障�����。
3 企業(yè)信息安全體系部署的建議
根據企業(yè)信息安全建設架構���,在滿足終端安全、網絡安全��、應用安全���、數(shù)據安全等安全防護體系時,我們需要重點關注以下幾個方面:
3.1 實施終端安全,規(guī)范終端用戶行為
在企業(yè)信息安全事件中�,數(shù)字化成果泄漏是屬于危害最為嚴重的一種行為。企業(yè)信息安全體系建立前��,企業(yè)員工對自己的個人行為不規(guī)范�,造成了員工可以通過很多方式實現(xiàn)信息外漏。比如通過U盤等存儲介質拷貝或者通過聊天軟件傳遞企業(yè)的核心數(shù)字化成果��。對于這類高危的行為����,我們在建設安全防護體系時,僅僅靠上網行為管理控制是不能完全杜絕的��。應該當用戶接入企業(yè)信息化平臺前�,就對用戶的終端系統(tǒng)進行安全規(guī)范檢查,符合企業(yè)制定的終端安全要求后再接入企業(yè)內網���。同時配合上網行為管理的策略對員工的上網行為進行審計�,使得企業(yè)員工的操作行為符合企業(yè)制定的上網行為規(guī)范����,從終端用戶提升企業(yè)的防護水平。
3.2 建設安全完善的VPN接入平臺
企業(yè)在信息化建設中���,考慮總部和分支機構的信息化需要����,必然會采用VPN方式來解決企業(yè)的需求。不論是采用SSL VPN還是IPSecVPN��,VPN加密傳輸都是通用的選擇��。對于分支機構可以考慮專用的VPN設備和總部進行IPSec連接�,這種方式更安全可靠穩(wěn)定。對于移動終端的接入可以考慮SSL VPN方式���。在這種情況下�����,就必須做好對于移動終端的身份認證識別�����。其實我們在設備采購時���,可以要求設備商做好多種接入方式的需求,并且?guī)椭髽I(yè)搭建認證方式�。這將有利于企業(yè)日常維護,提升企業(yè)信息系統(tǒng)的VPN接入水平��。
3.3 優(yōu)化企業(yè)網絡的隔離性和控制性
在規(guī)劃企業(yè)網絡安全邊際時��,要面對多個部門和分支結構�,合理的規(guī)劃安全網絡邊際將是關鍵。企業(yè)的網絡體系可以分為:物理層�����;數(shù)據鏈路層��;網絡層�;傳輸層;會話層�����;表示層�����;應用層��。各體系之間的相互隔離和訪問策略是防止企業(yè)信息安全風險的重要環(huán)節(jié)�。在企業(yè)多樣化網絡環(huán)境的背景下��,根據企業(yè)安全優(yōu)先級及面臨的風險程度����,做出適合企業(yè)信息安全的防護策略和訪問控制策略�。根據相應防護設備進行深層次的安全防護,真正實現(xiàn)OSI的L2~L7層的安全防護�。
3.4 實現(xiàn)企業(yè)信息安全防護體系的統(tǒng)一管理
為企業(yè)信息安全構建統(tǒng)一的安全防護體系,重要的優(yōu)勢就是能實現(xiàn)對全網安全設備及安全事件的統(tǒng)一管理����,做到對整個網絡安全事件的“可視、可控和可管”�。企業(yè)采購的各種安全設備工作時會產生大量的安全日志,如果單靠相關人員的識別日志既費時效率又低�����。而且不同安全廠商的日志報表還存在很大差異��。所以當安全事件發(fā)生時���,企業(yè)管理員很難實現(xiàn)對信息安全的統(tǒng)一分析和管理����。所以在企業(yè)在構建信息安全體系時,就必須要考慮安全設備日志之間的統(tǒng)一化�����,設定相應的訪問控制和安全策略實現(xiàn)日志的歸類分析���。這樣才能做到對全網安全事件的“可視、可控和可管”����。
4 結束語
信息安全的主要內容就是保護企業(yè)的數(shù)字化成果的安全和完整。企業(yè)在實施信息安全防護過程中是一個長期的持續(xù)的工作��。我們需要在前期做好詳盡的安全防護規(guī)劃�,實施過程中根據不斷出現(xiàn)的情況及時調整安全策略和訪問控制,保證備份數(shù)據的安全性可靠性�����。同時全體企業(yè)員工一起遵守企業(yè)制定的信息安全防護管理規(guī)定���,這樣才能為企業(yè)的信息安全提供生命力和主動性�,真正為企業(yè)的核心業(yè)務提供安全保障����。
參考文獻
[1]郝宏志.企業(yè)信息管理師[M].北京:機械工業(yè)出版社����,2005.
[2]蔣培靜.歐美國家如何培養(yǎng)網絡安全意識[J].中國教育網絡�����,2008(7):48-49.
作者簡介
常勝(1982-)��,男�,回族,天津市人?���,F(xiàn)為中國市政工程華北設計研究總院有限公司工程師。研究方向為網絡安全與服務器規(guī)劃部署�。
