序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗(yàn)�,特別為您篩選了11篇公司信息安全管理體系范文�。如果您需要更多原創(chuàng)資料�,歡迎隨時(shí)與我們的客服老師聯(lián)系�,希望您能從中汲取靈感和知識(shí)!
篇1
1 引言
在如今的信息化社會(huì)中�,信息通過共享傳遞實(shí)現(xiàn)其價(jià)值。在信息交換的過程中�,人們肯定會(huì)擔(dān)心自己的信息泄露,所以信息安全備受關(guān)注�,企業(yè)的信息安全就更為重要了。但是網(wǎng)絡(luò)是一個(gè)開放互聯(lián)的環(huán)境�,接入網(wǎng)絡(luò)的方式多樣,再加上技術(shù)存在的漏洞或者人們可能的操作失誤等�,信息安全問題一刻不容忽視。尤其是電力�,是國家規(guī)定的重要信息安全領(lǐng)域。所以電力企業(yè)要把信息安全管理體系的建設(shè)�,作為重要的一環(huán)納入到整個(gè)企業(yè)管理體系中去。
2 電力企業(yè)信息管理體系建設(shè)的依據(jù)
關(guān)于企業(yè)的安全管理體系方面的標(biāo)準(zhǔn)有很多�。英國BSI/DISC的BDD信息管理委員會(huì)制定的安全管理體系主要包含兩個(gè)部分內(nèi)容:信息安全管理實(shí)施規(guī)則和信息安全管理體系規(guī)范。信息安全管理實(shí)施規(guī)則是一個(gè)基礎(chǔ)性指導(dǎo)文件�,里面有10大管理項(xiàng)、36個(gè)執(zhí)行的目標(biāo)和127種控制的方法�,可以作為開發(fā)人員在信息安全管理體系開發(fā)過程中的一個(gè)參考文檔。信息安全管理體系規(guī)范則詳細(xì)描述了在建立�、施工和維護(hù)信息安全管理體系過程的要求,并提出了一些具體操作的建議。
國際標(biāo)準(zhǔn)化組織也了很多關(guān)于信息安全技術(shù)的標(biāo)準(zhǔn)�,如ISO x系列、ISO/IEC x系列等�。我國也制定了一系列的信息安全標(biāo)準(zhǔn),如GB 15851―1995�。
關(guān)于企業(yè)信息安全管理體系方面的標(biāo)準(zhǔn)眾多,如何針對(duì)企業(yè)自身實(shí)際情況選擇合適的參考標(biāo)準(zhǔn)很重要�,尤其是電力企業(yè)有著與其他企業(yè)不同的一些特殊性質(zhì),選擇信息安全體系建設(shè)的參考標(biāo)準(zhǔn)更要謹(jǐn)慎�。我國電力企業(yè)已經(jīng)引入了一些國際化標(biāo)準(zhǔn)作為建立和維護(hù)企業(yè)運(yùn)轉(zhuǎn)的保證,關(guān)于信息安全體系的標(biāo)準(zhǔn)也應(yīng)納入到保證企業(yè)運(yùn)轉(zhuǎn)的一系列參考中去�。電力企業(yè)總體應(yīng)有一致的安全信息管理體系參考標(biāo)準(zhǔn),但是具體地區(qū)的公司又有著本身自己的特殊環(huán)境�,所以在總體一致的信息安全標(biāo)準(zhǔn)的情況下,也應(yīng)該根據(jù)企業(yè)自身地區(qū)�、人文、政策等的不同制定一些企業(yè)內(nèi)部自己信息安全標(biāo)準(zhǔn)作為建立�、實(shí)施和維護(hù)信息安全管理體系的依據(jù)。信息安全管理體系顧全大局又要有所側(cè)重的體現(xiàn)電力企業(yè)安全標(biāo)準(zhǔn)的要求�。
3 信息安全管理體系里的重要環(huán)節(jié)
3.1 硬件環(huán)境要求
信息安全管理體系并沒有特別要求添加什么特別的設(shè)備,只是對(duì)企業(yè)用到的設(shè)備做一些要求�。電力企業(yè)一般采用內(nèi)外網(wǎng)結(jié)合的方式,內(nèi)外網(wǎng)設(shè)備要盡量進(jìn)行物理隔離�。企業(yè)每個(gè)員工基本都有自己的移動(dòng)設(shè)備,如手機(jī)等�,為了增加信息安全的系數(shù)�,企業(yè)可以限制公司設(shè)備的無線網(wǎng)絡(luò)拓展�。另外,實(shí)時(shí)監(jiān)控系統(tǒng)也應(yīng)該覆蓋企業(yè)的重要設(shè)備�,監(jiān)控硬件設(shè)備的安全�。
3.2 軟件環(huán)境要求
在企業(yè)設(shè)備(主要是計(jì)算機(jī))上部署相關(guān)軟件環(huán)境是信息安全管理體系中最重要的部分。比如防病毒軟件的部署�、桌面系統(tǒng)弱口令監(jiān)控軟件的部署等,以此防止網(wǎng)絡(luò)攻擊或者提高安全系數(shù)�。另外,企業(yè)設(shè)備所用系統(tǒng)的安全漏洞修復(fù)�、數(shù)據(jù)的加密解密、數(shù)據(jù)的備份恢復(fù)及數(shù)據(jù)傳輸通道的加密解密等問題�,都在信息安全管理體系設(shè)計(jì)的考慮范疇。
3.3 企業(yè)員工管理
盡管現(xiàn)在一直倡導(dǎo)智能化�,但是企業(yè)內(nèi)進(jìn)行設(shè)備等操作的主體還是員工。不管是對(duì)設(shè)備終端操作來進(jìn)行信息的首發(fā)�,還是對(duì)企業(yè)軟硬件系統(tǒng)進(jìn)行維護(hù)工作,都是有員工來進(jìn)行的�。所以,對(duì)企業(yè)內(nèi)部員工進(jìn)行信息安全培訓(xùn)�,提高員工的信息安全防范意識(shí),讓員工掌握一定的信息安全防范與處理手段是非常重要的事情�。針對(duì)不同的職位,在員工上崗前應(yīng)該進(jìn)行相關(guān)的信息安全方面的培訓(xùn)�,然后對(duì)培訓(xùn)結(jié)果進(jìn)行考核,不合格的人員不準(zhǔn)上崗。在崗的人員也要定期進(jìn)行培訓(xùn)與考核�。另外,如果有條件的話�,企業(yè)應(yīng)該定期(例如每年)進(jìn)行一次信息安全的相關(guān)演習(xí)。
另外�,電力企業(yè)有些項(xiàng)目是外包給其他相應(yīng)公司的,這時(shí)候會(huì)有施工人員和駐場人員在電力企業(yè)�,對(duì)這些人員也應(yīng)該進(jìn)行電力企業(yè)信息安全的培訓(xùn)。
3.4 信息安全管理體系的風(fēng)險(xiǎn)系數(shù)評(píng)估
風(fēng)險(xiǎn)評(píng)估在信息安全管理體系中是確定企業(yè)信息安全需求的一個(gè)重要途徑�,它是對(duì)企業(yè)的信息資產(chǎn)所面臨的威脅、存在的弱點(diǎn)�、造成的影響,以及三者綜合作用下所帶來的風(fēng)險(xiǎn)可能性的評(píng)測�。風(fēng)險(xiǎn)評(píng)估的主要任務(wù)是:檢測評(píng)估對(duì)象所面臨的各種風(fēng)險(xiǎn),估計(jì)風(fēng)險(xiǎn)的概率和可能帶來的負(fù)面影響的程度�,確定信息安全管理體系承受風(fēng)險(xiǎn)的能力,確定不同風(fēng)險(xiǎn)發(fā)生后消減和控制的優(yōu)先級(jí)�,對(duì)消除風(fēng)險(xiǎn)提出建議。在信息安全管理體系的風(fēng)險(xiǎn)系數(shù)評(píng)估過程中�,形成《風(fēng)險(xiǎn)系數(shù)評(píng)估報(bào)告》、《風(fēng)險(xiǎn)處理方案》等文檔�,作為對(duì)信息安全管理體系進(jìn)行調(diào)整的參考。風(fēng)險(xiǎn)系數(shù)的評(píng)估要盡可能全面的反映企業(yè)的信息安全管理體系�,除了常規(guī)手段,也可以使用一些相應(yīng)的軟件工具的結(jié)果作為參考�。另外很值得注意的是企業(yè)的員工對(duì)風(fēng)險(xiǎn)的理解�,企業(yè)員工對(duì)他們所操作的對(duì)象有比較深刻的理解�,對(duì)其中可能存在的不足也有自己的見解,在風(fēng)險(xiǎn)系數(shù)評(píng)估的過程中�,可以進(jìn)行一些員工的問卷調(diào)查等,把員工對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)納入風(fēng)險(xiǎn)評(píng)估的考慮范疇�。
企業(yè)的設(shè)備會(huì)老舊更換,員工也會(huì)更換�,所以企業(yè)的信息安全是動(dòng)態(tài)的�,因此風(fēng)險(xiǎn)評(píng)估工作也要視具體情況定期進(jìn)行,針對(duì)當(dāng)前情況作評(píng)估報(bào)告�,然后制定相應(yīng)的風(fēng)險(xiǎn)處理方案。還有�,之所以要建立信息安全管理體系,其中很重要的一點(diǎn)就是體系內(nèi)各個(gè)模塊的結(jié)合�,信息安全管理體系的風(fēng)險(xiǎn)評(píng)估與關(guān)鍵內(nèi)容的實(shí)時(shí)監(jiān)控就應(yīng)該結(jié)合起來。
為了降低信息安全管理體系的風(fēng)險(xiǎn)系數(shù)�,提升信息安全等級(jí),要做的工作很多�。滲透測試就是其中很有必要的一項(xiàng)工作。滲透測試是測試人員通過模擬惡意攻擊者的攻擊方式�,來評(píng)估企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種評(píng)測方法。這個(gè)測試過程會(huì)對(duì)系統(tǒng)的可知的所有弱點(diǎn)�、技術(shù)方面的缺陷或者漏洞等作主動(dòng)的分析。滲透測試對(duì)于網(wǎng)絡(luò)信息安全的組織具有實(shí)際應(yīng)用價(jià)值�。隨著技術(shù)的不斷進(jìn)步�,可能還會(huì)出現(xiàn)其他的更有價(jià)值的信息安全技術(shù)�,作為信息安全備受矚目的電力企業(yè),應(yīng)當(dāng)時(shí)刻關(guān)注相關(guān)技術(shù)的進(jìn)展�,并及時(shí)將它們納入企業(yè)信息安全管理體系中來。
3.5 信息安全管理體系的管理模式
文章前面提到企業(yè)信息安全是動(dòng)態(tài)的�,所以信息安全管理體系需要建立一個(gè)長效的機(jī)制,針對(duì)最新的情況及時(shí)對(duì)自身作出調(diào)整�,使信息安全管理體系有效的運(yùn)行。現(xiàn)在一般會(huì)采用PDCA循環(huán)過程模式:計(jì)劃�,依照體系整個(gè)的方針和目標(biāo),建立與控制風(fēng)險(xiǎn)系數(shù)�、提高信息安全的有關(guān)的安全方針、過程�、指標(biāo)和程序等;執(zhí)行:實(shí)施和運(yùn)作計(jì)劃中建立的方針�、過程、程序等�;評(píng)測:根據(jù)方針、目標(biāo)等�,評(píng)估業(yè)績,并形成報(bào)告�,也就是文章前面說到的風(fēng)險(xiǎn)系數(shù)評(píng)估;舉措:采取主動(dòng)糾正或預(yù)防措施對(duì)體系進(jìn)行調(diào)整�,進(jìn)一步提高體系運(yùn)作的有效性。這四個(gè)步驟循環(huán)運(yùn)轉(zhuǎn)�,成為一個(gè)閉環(huán)�,是信息安全管理體系得到持續(xù)的改進(jìn)�。
4 重要技術(shù)及展望
4.1 安全隔離技術(shù)
電力企業(yè)的信息網(wǎng)絡(luò)是由內(nèi)外網(wǎng)兩部分組成,從被防御的角度來看的話�,內(nèi)網(wǎng)的主要安全防護(hù)技術(shù)為防火墻、桌面弱口令監(jiān)控�、入侵檢測技術(shù)等;而主動(dòng)防護(hù)則主要采用的是安全隔離技術(shù)等�。安全隔離技術(shù)包括物理隔離、協(xié)議隔離技術(shù)和防火墻技術(shù)�。一般電力企業(yè)采用了物理隔離與防火墻技術(shù),在內(nèi)網(wǎng)設(shè)立防火墻�,在內(nèi)外網(wǎng)之間進(jìn)行物理隔離�。
4.2 數(shù)據(jù)加密技術(shù)
企業(yè)的數(shù)據(jù)在傳輸過程中一般都要進(jìn)行加密來降低信息泄露的風(fēng)險(xiǎn)??梢愿鶕?jù)電力企業(yè)內(nèi)部具體的安全要求,對(duì)規(guī)定的文檔�、視圖等在傳輸前進(jìn)行數(shù)據(jù)加密。尤其是電力企業(yè)通過外網(wǎng)傳輸?shù)臅r(shí)候�,除了對(duì)數(shù)據(jù)進(jìn)行加密外,還應(yīng)該在鏈路兩端進(jìn)行通道加密�。
4.3 終端弱口令監(jiān)控技術(shù)
終端設(shè)備眾多,而且是業(yè)務(wù)應(yīng)用的主要入口�,所以終端口令關(guān)乎業(yè)務(wù)數(shù)據(jù)的安全以及整個(gè)系統(tǒng)的正常運(yùn)轉(zhuǎn)。如果終端口令過于簡單薄弱�,相當(dāng)于沒有設(shè)定而將設(shè)備暴露�。終端的信息安全是電力企業(yè)信息安全的第一道防線�,因此采用桌面系統(tǒng)弱口令監(jiān)控技術(shù)來加強(qiáng)這第一道防線的穩(wěn)固性對(duì)電力企業(yè)的信息安全非常重要。
電力企業(yè)信息安全管理體系是一個(gè)復(fù)雜的系統(tǒng)�,包含眾多的安全技術(shù),如數(shù)據(jù)備份及災(zāi)難恢復(fù)技術(shù)�、終端安全檢查與用戶身份認(rèn)證技術(shù)、虛擬專用網(wǎng)技術(shù)�、協(xié)議隔離技術(shù)等。凡是與信息安全相關(guān)的技術(shù)�,電力企業(yè)都應(yīng)當(dāng)關(guān)注,并根據(jù)企業(yè)自身的情況決定是否將之納入到信息安全管理體系中去�。
智能化已成為不管是研究還是社會(huì)應(yīng)用的熱門詞匯。電力企業(yè)的信息安全管理體系是否可以智能化呢�?不妨做一個(gè)展望,電力企業(yè)的信息安全管理體系有了很強(qiáng)的自我學(xué)習(xí)與自我改進(jìn)的能力�,在信息安全環(huán)境越來越復(fù)雜,信息量越來越龐大的情況下是否會(huì)更能發(fā)揮信息安全管理體系的作用呢�?這應(yīng)該是值得期待的。
5 防病毒軟件部署
電力企業(yè)信息安全管理體系有很多軟件系統(tǒng)的部署�,如防病毒軟件部署、桌面弱口令監(jiān)控系統(tǒng)部署�、系統(tǒng)安全衛(wèi)士部署等。但是它們的部署情況類似�,這里用防病毒軟件的部署來展示電力企業(yè)信息安全管理體系中軟件系統(tǒng)的部署情況。如圖1所示為防病毒軟件的部署框架�。
殺毒軟件種類有很多�,這里以賽門鐵克殺毒軟件為例�。企業(yè)版的賽門鐵克防病毒軟件系統(tǒng)相比單機(jī)版增加了網(wǎng)絡(luò)管理的功能,能夠很大程度地減輕維護(hù)人員的工作量�。為了確保防病毒軟件系統(tǒng)的穩(wěn)定運(yùn)行,在電力企業(yè)內(nèi)部正式使用時(shí)�,盡量準(zhǔn)備一立的服務(wù)器作為防病毒軟件專用的服務(wù)器。
服務(wù)器安裝配置好賽門鐵克防病毒軟件后�,可以遠(yuǎn)程控制客戶端與下級(jí)升級(jí)服務(wù)器的軟件安裝與升級(jí)。
電力企業(yè)內(nèi)網(wǎng)可能是禁止接入外網(wǎng)的�,這樣的話,防病毒軟件的更新可能無法自動(dòng)完成�。防病毒軟件需要升級(jí)的時(shí)候,維護(hù)人員在通過外網(wǎng)在相應(yīng)網(wǎng)址下載賽門鐵克升級(jí)包�,然后通過安全U盤拷貝到防病毒軟件系統(tǒng)專用服務(wù)器進(jìn)行升級(jí)操作。在圖1中�,省電力公司的防病毒管理控制臺(tái)獲得升級(jí)包可以下發(fā)給下級(jí)升級(jí)服務(wù)器和客戶端進(jìn)行防病毒軟件系統(tǒng)的自動(dòng)升級(jí)更新�。圖1是一個(gè)簡單的框圖,如果電力企業(yè)的內(nèi)網(wǎng)規(guī)模很大的話�,還可以更多級(jí)地分布部署。
6 結(jié)束語
電力企業(yè)的信息安全與企業(yè)的生產(chǎn)與經(jīng)營管理密切相關(guān)�,是企業(yè)整個(gè)管理系統(tǒng)的一部分。信息安全管理體系是一個(gè)整體性的管理工作�,把體系中涉及的內(nèi)容統(tǒng)一進(jìn)行管理,讓它們協(xié)調(diào)運(yùn)作�,實(shí)現(xiàn)信息安全管理體系的功能�。電力企業(yè)信息安全的建立與體系不斷的改進(jìn)定能穩(wěn)定�、有效地維護(hù)企業(yè)的信息安全。
參考文獻(xiàn)
[1] 王志強(qiáng)�,李建剛.電網(wǎng)企業(yè)信息安全管理體系建設(shè)[J].浙江省電力公司,2008�,6(3):26-29.
[2] 陳賀,宮俊峰.淺析信息安全體系如何建立[J].中國管理信息化�,2014,17(1):74-76.
[3] 郭建�,顧志強(qiáng).電力企業(yè)信息安全現(xiàn)狀分析及管理對(duì)策[J].信息技術(shù),2013(1):180-187.
[4] 沈軍.火力發(fā)電廠信息你安全體系構(gòu)建與應(yīng)用[J].電力信息通信技術(shù)�,2013,11(8):103-108.
[5] 左鋒.信息安全體系模型研究[J].信息安全與通信保密�,2010,01(10):68-71.
[6] 楊柳.構(gòu)建供電企業(yè)信息安全體系[J].電腦知識(shí)與技術(shù)�,2005(29).
[7] 曹鳴鵬, 趙偉�, 許林英. J2EE技術(shù)及其實(shí)現(xiàn)[J]. 計(jì)算機(jī)應(yīng)用,2001�, 21(10): 20-23.
[8] 江和平.淺談網(wǎng)絡(luò)信息安全技術(shù)[J].現(xiàn)代情報(bào)學(xué),2004(14):125-127.
作者簡介:
崔阿軍(1984-)�,男,甘肅平?jīng)鋈?,碩士研究生,工程師;主要研究方向和關(guān)注領(lǐng)域:電力信息通信安全技術(shù)研究�。
張馴(1984-),男�,江蘇揚(yáng)州人,本科�,工程師;主要研究方向和關(guān)注領(lǐng)域:電力信息通信安全技術(shù)研究�。
李志茹(1984-),女�,山東平度人,碩士研究生�,工程師;主要研究方向和關(guān)注領(lǐng)域:信息化建設(shè)及安全技術(shù)�。
篇2
Based on the New ISO27000 to the Understanding of the Software Industry, Information Security
Wen Yan-ge Chen Wen-e Wang Gang
(Tianjin University of Commerce Tianjin 300134)
【 Abstract 】 The effective corporate security system will become the basic requirement of modern enterprise development. As the software industry�, good information security system was the core of enterprise competitiveness. This article from the ISO27000 redesign is interpreted accordingly-the enterprise will how to adjust and improve their information security management system to the new standard and new control measures.
【 Keywords 】 the new iso27000; software industry�; information security management system; the pdca model
1 引言
如今隨著信息化的步伐日益加速以及信息相關(guān)技術(shù)的飛猛發(fā)展�,信息資源也日漸成為所有企業(yè)維持正常運(yùn)轉(zhuǎn)的重要資源。信息以及載體信息系統(tǒng)�、網(wǎng)絡(luò)等已經(jīng)成為了企業(yè)生存和發(fā)展的重要資產(chǎn)�。然而企業(yè)的信息安全和數(shù)據(jù)泄露仍然是企業(yè)管理者關(guān)注的主要問題之一。大部分企業(yè)基于企業(yè)實(shí)際情況�,通過引入國際信息安全管理體系IS027000以及通過最佳的業(yè)務(wù)實(shí)踐,建立、實(shí)施�、運(yùn)行、監(jiān)視�、評(píng)審、保持和改進(jìn)文件化的信息安全管理體系(即ISMS)�,實(shí)現(xiàn)對(duì)信息安全的預(yù)控、在控�、可控、能控�。
而隨著2013年的ISO27000的改版,各行各業(yè)勢(shì)必會(huì)根據(jù)自身信息安全的情況對(duì)信息安全體系作出調(diào)整�。本文將針對(duì)軟件行業(yè)在調(diào)整下的信息安全管理體系下,如何更好地保持和改進(jìn)信息安全體系作出解讀�,使企業(yè)更好地依據(jù)標(biāo)準(zhǔn)體系和方法論,制定出符合企業(yè)長久發(fā)展的信息安全管理體系�。
2 ISO標(biāo)準(zhǔn)
2.1 ISO標(biāo)準(zhǔn)及變化
ISO/IEC27000(Information Security Management System Fundamentals And Vocabulary)是信息安全管理體系基礎(chǔ)和術(shù)語,ISO/IEC 27000提供了ISMS標(biāo)準(zhǔn)族中所涉及的通用術(shù)語及基本原則�,是ISMS標(biāo)準(zhǔn)族中最基礎(chǔ)的標(biāo)準(zhǔn)之一。最新版本于2013年9月25日�。
相對(duì)于2005版,新版本對(duì)于ISMS建立的基礎(chǔ)進(jìn)行了調(diào)整和明確�,相較于2005年版本以資產(chǎn)和技術(shù)為主題,新版標(biāo)準(zhǔn)則把更多的目光投向組織業(yè)務(wù)關(guān)系�,更多地考慮到組織自身及利益相關(guān)方的需求,這也是時(shí)展的整體趨勢(shì)�。新版控制措施ISO27002從舊版的11個(gè)領(lǐng)域更新為14個(gè)領(lǐng)域�,刪除了舊版中一些重復(fù)的和操作級(jí)的控制項(xiàng)�。具體是舊版通信與操作管理被劃分成為兩個(gè)獨(dú)立的領(lǐng)域操作安全和通信安全,足以見新版對(duì)這兩個(gè)領(lǐng)域的重視�;新增密碼學(xué)和供應(yīng)關(guān)系兩個(gè)獨(dú)立領(lǐng)域。新版ISO27001將舊版中4.1章節(jié)即有關(guān)建立和管理ISMS的總要求獨(dú)立成出來�;為了使邏輯性更加嚴(yán)謹(jǐn),人力資源安全�、資產(chǎn)管理以及訪問控制位置發(fā)生一定改變;從章節(jié)上講�,由8個(gè)章節(jié)拓展到10個(gè)章節(jié),重新構(gòu)建了ISO標(biāo)準(zhǔn)PDCA的章節(jié)構(gòu)架�。
2.2 關(guān)于PDCA模型
此處對(duì)于PDCA模型以及新版標(biāo)準(zhǔn)的劃分做一簡單說明:PDCA模式是國際認(rèn)可的模型,很多著名的標(biāo)準(zhǔn)和管理體系都遵循這一模式�。該模型是一個(gè)很好的周期性框架,每個(gè)階段都與其他階段相關(guān)聯(lián)�。
PDCA模型分別由四部分組成:P(Plan)――建立ISMS, 根據(jù)組織的整體策略和目標(biāo)�,確定活動(dòng)的計(jì)劃,包括第四至七章(組織背景�、領(lǐng)導(dǎo)力、計(jì)劃�、支持);D(Do)――實(shí)施和運(yùn)作ISMS�,實(shí)際地去完成計(jì)劃中的內(nèi)容,包括第八章(運(yùn)行)�;C(Check)――監(jiān)視和評(píng)審ISMS,總結(jié)實(shí)施和運(yùn)作的結(jié)果�,查找問題,包括第九章(績效評(píng)價(jià))�;A(Action)――保持和改進(jìn)ISMS,對(duì)評(píng)審的結(jié)果做出處理�,成功的經(jīng)驗(yàn)要進(jìn)行保持和推廣,失敗的教訓(xùn)要尋找原因�,避免下次再出現(xiàn)同樣的錯(cuò)誤,沒有解決的問題放到下一個(gè)PDCA循環(huán)中�,包括第十章(改進(jìn))。
PDCA模型是管理學(xué)中常用的一個(gè)模型�。該模型在運(yùn)作過程中,按照P-D-C-A 的順序依次進(jìn)行�,一次完整的循環(huán)可以看作是管理學(xué)上的一個(gè)管理周期,每經(jīng)過一次循環(huán)�,管理情況就會(huì)得到改善,同時(shí)進(jìn)入更高的P-D-C-A周期循環(huán)�,組織的管理體系不斷的得到提升,管理水平也不斷提高�。而這四個(gè)步驟成為一個(gè)閉環(huán),通過這個(gè)環(huán)的不斷運(yùn)轉(zhuǎn)�,使信息安全管理體系得到持續(xù)改進(jìn),使信息安全績效螺旋上升�。
新的內(nèi)容將使企業(yè)的側(cè)重點(diǎn)不同,從上面的論述中明顯可以看出新標(biāo)準(zhǔn)在企業(yè)建立信息安全體系之前加重了對(duì)企業(yè)內(nèi)外環(huán)境信息安全的重視�,在構(gòu)建信息安全體系之前需要企業(yè)全方位考慮其組織環(huán)境�、企業(yè)資源�、管理現(xiàn)狀,了解其發(fā)展所面臨的機(jī)遇與風(fēng)險(xiǎn)�,從而高標(biāo)準(zhǔn)、高精度�、高要求來對(duì)待信息安全管理工作。
對(duì)于軟件行業(yè)來說�,信息安全體系已初步建立和實(shí)施,主要是監(jiān)視評(píng)審并持續(xù)改進(jìn)自身信息安全體系的工作――PDCA模型的C和A�。
3 軟件行業(yè)信息安全現(xiàn)狀及新標(biāo)準(zhǔn)變化下應(yīng)對(duì)策略
軟件行業(yè)是對(duì)信息安全要求最高的行業(yè),也是企業(yè)引入國際信息安全管理體系IS027000通過認(rèn)證最多的行業(yè)�。前面已經(jīng)提到,軟件行業(yè)已經(jīng)初步建立和實(shí)施自己的信息安全體系�,面對(duì)新版ISO27000的要求,大刀闊斧地重新開始構(gòu)建體系勢(shì)必會(huì)給企業(yè)帶來大的浪費(fèi)和困擾�。因此,在新的要求下如何監(jiān)視并改進(jìn)ISMS是軟件行業(yè)中企業(yè)面臨的最大的問題�。ISO27001新標(biāo)準(zhǔn)中把舊版4.1獨(dú)立成章作為建立體系之前的組織環(huán)境的了解,將原來的領(lǐng)導(dǎo)力�、可實(shí)現(xiàn)信息安全的計(jì)劃、資源等的支持都放入構(gòu)建ISMS之前�,也就是說軟件行業(yè)在監(jiān)控并改進(jìn)信息安全管理體系上要從這些方面完善自身。而這些方面在其信息安全管理措施上簡單歸納為兩個(gè)方面:管理和技術(shù)�。企業(yè)需要通過管理和技術(shù)的雙方面進(jìn)行控制和管理來改善信息安全體系。
3.1 管理角度分析
從管理角度考慮�,企業(yè)信息安全管理體系中所需采取的安全管理方面的措施主要包括物理安全管理�、數(shù)據(jù)安全管理�、人員安全管理、軟件安全管理�、運(yùn)行安全管理�、系統(tǒng)安全管理、技術(shù)文檔安全管理�,通過對(duì)風(fēng)險(xiǎn)的技術(shù)性控制和管理的實(shí)施、部署后�,在風(fēng)險(xiǎn)控制管理中能保證防御大量存在的威脅,技術(shù)性的控制管理手段不僅包括從簡單直至復(fù)雜的各種具體的技術(shù)手段�,還包括系統(tǒng)架構(gòu)、系統(tǒng)培訓(xùn)以及一系列的軟件�、硬件的安全設(shè)備,這些措施和方式應(yīng)該配套使用�,從而保護(hù)關(guān)鍵數(shù)據(jù)、敏感信息及信息系統(tǒng)的功能�。而這些也是ISO27001中第四章組織的背景、第五章領(lǐng)導(dǎo)力�、第六章計(jì)劃、第七章支持對(duì)企業(yè)的具體要求�。
主要管理措施可以從幾個(gè)方面出發(fā)。
(1)建立信息安全管理體系監(jiān)督機(jī)制�、在體系運(yùn)行期間,要進(jìn)行有效的檢查�、監(jiān)督�、反饋和溝通�,保證信息安全管理體系能夠按照公司制訂的方針策略,滿足公司業(yè)務(wù)的需求�。
(2)根據(jù)企業(yè)自身的特點(diǎn),制訂可行的獎(jiǎng)懲制度�,將信息安全的管理納入到績效考核,直接與工作和獎(jiǎng)金掛鉤�,將對(duì)違反信息安全管理體系規(guī)定進(jìn)行懲罰。
(3)建立內(nèi)部審核制度�,各部門應(yīng)按照信息安全管理體系的要求,進(jìn)行自查和由負(fù)責(zé)部門進(jìn)行隨時(shí)抽查�,并在每年定期組織檢查,對(duì)表現(xiàn)好的單位給予嘉獎(jiǎng)�,同時(shí)對(duì)違反的單位進(jìn)行懲罰,并進(jìn)行公示�;同時(shí)對(duì)信息安全審計(jì)、安全事件處理和外部組織進(jìn)行反饋溝通�,檢查信息安全管理體系的有效性和合理性。
(4)考慮組織和技術(shù)等的變化對(duì)信息安全管理體系的影響�,應(yīng)實(shí)時(shí)更新相關(guān)的規(guī)章制度,具體變化情況如:組織變化�、技術(shù)變革、業(yè)務(wù)目標(biāo)流程的改變�、新的威脅和風(fēng)險(xiǎn)點(diǎn)的出現(xiàn)、法律法規(guī)的變化等;通過不斷的優(yōu)化和改善�,使信息安全管理體系能夠永遠(yuǎn)適合企業(yè)業(yè)務(wù)的需要。
3.2 技術(shù)角度分析
新版ISO270002控制措施中新增和調(diào)整了一些措施�,涉及信息系統(tǒng)開發(fā)、信息安全事件管理�、業(yè)務(wù)連續(xù)性管理等部分,這些要求對(duì)軟件行業(yè)中企業(yè)的具體實(shí)行至關(guān)重要�。從技術(shù)角度考慮,軟件行業(yè)企業(yè)信息安全管理體系中所需采取的安全技術(shù)體系包括幾個(gè)方面�。
3.2.1物理環(huán)境安全信息系統(tǒng)硬件安全
這是無論舊版控制措施還是新版都沒有絲毫改變的控制項(xiàng)�,也是軟件行業(yè)中企業(yè)應(yīng)加強(qiáng)管理的基礎(chǔ)。在公司的信息系統(tǒng)硬件管理上�,首先對(duì)機(jī)房的硬件環(huán)境進(jìn)行安全管理,包括溫度�、濕度、消防�、電力等安全管理,對(duì)關(guān)鍵的應(yīng)用需要采取UPS供電�,同時(shí)采取相應(yīng)的備份,對(duì)硬件的使用率進(jìn)行實(shí)時(shí)地監(jiān)控�,避免硬件的使用率過高造成業(yè)務(wù)持續(xù)性的影響,另外需要對(duì)硬件的物理環(huán)境進(jìn)行監(jiān)控�,避免非法人員的進(jìn)入�,同時(shí)也是對(duì)管理員的日常行動(dòng)進(jìn)行監(jiān)控�,最后需要對(duì)機(jī)房人員和物品的出入進(jìn)行權(quán)限的管理和等級(jí)制度�。
3.2.2操作系統(tǒng)與應(yīng)用程序安全
這是新版控制措施新增的安全開發(fā)策略和系統(tǒng)開發(fā)程序等對(duì)企業(yè)新的要求�,保證操作系統(tǒng)與應(yīng)用程序的安全會(huì)保護(hù)企業(yè)在系統(tǒng)開發(fā)和集成工作的安全開發(fā)環(huán)境,使企業(yè)整個(gè)開發(fā)周期安全�。
(1) 操作系統(tǒng)安全。除了進(jìn)行必要的補(bǔ)丁和漏洞的管理和更新外�,最主要的是進(jìn)行防病毒管理,通過殺毒軟件來防止非法的木馬�、惡意代碼、軟件對(duì)操作系統(tǒng)的安全影響�;應(yīng)用程序安全――直接關(guān)系信息系統(tǒng)的安全性,通過硬件�、軟件的安全保護(hù)來保證應(yīng)用程序的安全。
(2) 密碼算法技術(shù)�。密碼學(xué)在新版控制措施中獨(dú)立成為一個(gè)領(lǐng)域,這就是企業(yè)必須要引起重視的理由�,密碼算法技術(shù),密碼算法技術(shù)應(yīng)用主要是確保信息在傳送的過程中不被非法的人員竊取�、篡改和利用,同時(shí)接收方能夠完整無誤的解讀發(fā)送者發(fā)送的原始信息�。
(3) 安全傳輸技術(shù)與安全協(xié)議技術(shù)。這是針對(duì)新增供應(yīng)關(guān)系領(lǐng)域企業(yè)需要加強(qiáng)的技術(shù)�。為減緩供應(yīng)商以及其他用戶訪問企業(yè)資產(chǎn)帶來的風(fēng)險(xiǎn),對(duì)于重要的系統(tǒng)和對(duì)外的訪問�,進(jìn)行安全的傳輸技術(shù),以此來保證信息在傳輸過程中的安全�,避免被非法用戶竊取、篡改和利用。
(4) 安全協(xié)議技術(shù)�。主要是指身份認(rèn)證功能,目前企業(yè)系統(tǒng)的安全保護(hù)主要都是依賴于操作系統(tǒng)的安全�,這樣入侵系統(tǒng)就非常容易,因此需要建立一套完善的身份認(rèn)證系統(tǒng)�,其目的是保證信息系統(tǒng)能確認(rèn)系統(tǒng)訪問者的真正身份,身份認(rèn)證協(xié)議都是使用數(shù)據(jù)加密或數(shù)字簽名等方法來確認(rèn)消息發(fā)送方的身份�。
(5) 信息處理設(shè)備冗余部署。這在新版控制措施第十七章信息安全方面的業(yè)務(wù)連續(xù)性管理中作為新增的控制措施�,要求企業(yè)識(shí)別信息系統(tǒng)可用性的業(yè)務(wù)需求,如果現(xiàn)有系統(tǒng)框架不能保證可用性�,應(yīng)該考慮冗余組建或架構(gòu)。在適當(dāng)情況下�,對(duì)冗余信息系統(tǒng)進(jìn)行測試�,保證在發(fā)生故障時(shí)可以從一個(gè)組件順利切換到另外一個(gè)組件。
4 結(jié)束語
信息安全管理體系的建設(shè)改進(jìn)工作是持續(xù)進(jìn)行的�,是會(huì)隨著公司業(yè)務(wù)的發(fā)展、技術(shù)的更新�、以及新標(biāo)準(zhǔn)的要求等不斷變化的。它需要采用科學(xué)的方法來保證體系的持續(xù)穩(wěn)定運(yùn)行�,從而使信息安全管理體系化、常態(tài)化的保持下去�。而新版ISO27000在信息安全體系的工作上,使各行各業(yè)都有了新的指導(dǎo)�。本文主要針對(duì)軟件行業(yè)做出一定解讀。總體來講�,我們需要對(duì)己經(jīng)建立的信息安全管理體系進(jìn)行監(jiān)督、完善�、優(yōu)化,這實(shí)際上還是要求企業(yè)貫徹執(zhí)行PDCA模型�,無論從管理還是具體操作上不斷進(jìn)行PDCA循環(huán),才能使得企業(yè)信息安全管理體系不斷改進(jìn)和優(yōu)化�。
參考文獻(xiàn)
[1] 高仁斗.企業(yè)安全工作中存在的問題與對(duì)策[J].中國職業(yè)安全衛(wèi)生管理體系認(rèn)證,2004(05).
[2] 蔣永康�,朱冬林,潘豐.我國中小企業(yè)法律法規(guī)體系建設(shè)現(xiàn)狀及對(duì)策[J].管理工程師�,2012(06).
[3] 楊愛民.電子商務(wù)安全的現(xiàn)狀及對(duì)策探討[J].科技資訊,2006.6.
作者簡介:
篇3
當(dāng)前的很多保險(xiǎn)企業(yè)當(dāng)中仍然存在
的問題就是計(jì)算機(jī)信息安全管理問題�,而且這個(gè)問題也是各國企業(yè)比較常見的問題,亟待采取有效的解決措施�。在一些相對(duì)比較發(fā)達(dá)的企業(yè),就可能會(huì)存在更多的信息安全隱患�。首先,當(dāng)前的互聯(lián)網(wǎng)正在快速地發(fā)展和進(jìn)步�,并加大了對(duì)信息技術(shù)的改革與創(chuàng)新,與此同時(shí)也衍生出很多的惡意項(xiàng)目工具�,甚至信息系統(tǒng)本身也存在一定程度的漏洞,這些就可能會(huì)促使一部分的不法分子有機(jī)可乘�;其次,保險(xiǎn)企業(yè)本身并未對(duì)信息安全的管理工作給予高度的重視�,從而導(dǎo)致信息安全問題層出不窮�。如今�,我國保險(xiǎn)行業(yè)得到了快速的發(fā)展,加之外界環(huán)境因素的影響�,從而暴露出越來越多的問題,此時(shí)就需要對(duì)這些問題進(jìn)行全面�、系統(tǒng)的分析。
1.1缺乏完善的法律法規(guī)
如今�,雖然現(xiàn)在與計(jì)算機(jī)信息安全管理有關(guān)的條文比較多,但是他們被分散于各種標(biāo)準(zhǔn)�、管理辦法、法律�、法規(guī)及道德規(guī)范等多個(gè)方面,然而�,當(dāng)前并不具備一套系統(tǒng)、完善的法律法規(guī)來更進(jìn)一步地保障信息的安全問題�。同時(shí),當(dāng)前現(xiàn)有的一些法律法規(guī)�,可能是因?yàn)槿匀挥泻艽笠徊糠值南嚓P(guān)安全技術(shù)和手段還沒有達(dá)到足夠的成熟和標(biāo)準(zhǔn)化�,這樣就更加不容易去執(zhí)行一些相關(guān)的法律法規(guī)。因此�,如果缺少一些與保險(xiǎn)行業(yè)相匹配的信息安全管理法律法規(guī),從而導(dǎo)致保險(xiǎn)企業(yè)無法順利的開展相關(guān)工作�,不利于計(jì)算機(jī)信息安全管理體系的構(gòu)建。
1.2缺乏足夠的重視
當(dāng)前仍然有很大一部分的保險(xiǎn)企業(yè)的管理層不是非常注重和關(guān)注一些相關(guān)的信息安全管理工作�,而且他們并沒有在進(jìn)行管理工作的過程中投入足夠的人力�、物力以及財(cái)力等�。有很大一部分的保險(xiǎn)企業(yè)在治理公司過程中,只會(huì)對(duì)保險(xiǎn)企業(yè)的適當(dāng)?shù)卣{(diào)整銷售策略�、業(yè)務(wù)規(guī)模發(fā)展問題、優(yōu)化組織結(jié)構(gòu)�、相關(guān)運(yùn)營流程等給予關(guān)注,這些公司都不是足夠重視對(duì)信息安全管理問題的處理�,他們都忽視了信息安全問題會(huì)影響保險(xiǎn)企業(yè)的發(fā)展。實(shí)際上�,在市場經(jīng)濟(jì)體系下,大多數(shù)保險(xiǎn)企業(yè)只有在遇到信息安全事件后才會(huì)對(duì)計(jì)算機(jī)信息安全管理體系給予重視�。此時(shí),就需要保險(xiǎn)企業(yè)在公司平時(shí)進(jìn)行治理工作的過程中�,他們能夠投入更多的時(shí)間和精力來對(duì)現(xiàn)有的信息安全管理體系進(jìn)行補(bǔ)充和完善,并給予高度的重視�,從而有效提高信息安全管理體系建設(shè)效率。
1.3對(duì)風(fēng)險(xiǎn)評(píng)估力度不夠
在信息安全管理體系建設(shè)過程中�,大多數(shù)保險(xiǎn)企業(yè)不能夠準(zhǔn)確地評(píng)估對(duì)于該過程中可能會(huì)存在的風(fēng)險(xiǎn),并未對(duì)信息化過程中可能出現(xiàn)的安全風(fēng)險(xiǎn)問題給予綜合考慮�。一般情況下,他們可能只會(huì)考慮到一些相應(yīng)的信息技術(shù)問題�,但是并沒有認(rèn)真地思考在運(yùn)用信息系統(tǒng)之后可能會(huì)顯現(xiàn)出來的信息安全問題。實(shí)際上�,保險(xiǎn)企業(yè)不管是否對(duì)信息安全管理系統(tǒng)中所存在的安全風(fēng)險(xiǎn)問題進(jìn)行評(píng)估,從而給保險(xiǎn)企業(yè)的發(fā)展帶來不利影響�。一旦信息安全管理體系出現(xiàn)比較嚴(yán)重的問題�,不僅會(huì)造成無法彌補(bǔ)的損失�,而且也不能夠?qū)嵭幸恍┱5臉I(yè)務(wù)操作,甚至還可能會(huì)造成一些非常嚴(yán)重的后果�,比如是企業(yè)內(nèi)部機(jī)密泄露、重要數(shù)據(jù)被盜或被篡改�、客戶個(gè)人信息泄露等問題。因此�,越來越多的保險(xiǎn)企業(yè)由于對(duì)風(fēng)險(xiǎn)評(píng)估力度不夠,從而導(dǎo)致系統(tǒng)本身存在操作失誤�、缺陷等原因而誘發(fā)的一系列安全問題。
1.4未明確安全管理責(zé)任劃分
對(duì)保險(xiǎn)企業(yè)來說�,雖然對(duì)信息安全管理體系的建設(shè)給予了高度的重視,但是他們?nèi)狈σ惶着c企業(yè)發(fā)展相匹配的安全管理制度�,未明確安全管理責(zé)任的劃分,從而在一定程度上影響了保險(xiǎn)企業(yè)的發(fā)展�。如果這些企業(yè)現(xiàn)在還沒有制定出一些相關(guān)的信息安全管理制度并能夠堅(jiān)持執(zhí)行,而且企業(yè)在出現(xiàn)相應(yīng)的信息安全問題之后�,并不能夠非常清晰地劃分出具體的責(zé)任人,這樣時(shí)間越來越長�,就會(huì)在信息安全問題的監(jiān)管方面出現(xiàn)越來越大的漏洞,自然而然地�,也更加不容易去形成一個(gè)可以控制的信息安全管理體系�。對(duì)于一個(gè)保險(xiǎn)企業(yè)而言,在他們公司所出現(xiàn)的一些信息安全管理問題�,需要每一位企業(yè)員工給予重視�,而不能依靠企業(yè)當(dāng)中的某一個(gè)人或某一個(gè)部門單獨(dú)負(fù)責(zé)來對(duì)安全管理問題進(jìn)行處理�。對(duì)于保險(xiǎn)企業(yè)而言,他們必須制定出相應(yīng)的制度并劃分出比較明確的責(zé)任�,而且每個(gè)部門都應(yīng)該有一個(gè)負(fù)責(zé)人來負(fù)責(zé)信息安全問題,以確保問題發(fā)生時(shí)能夠有人給予立即處理�。如果不設(shè)置一個(gè)負(fù)責(zé)人的話,就可能對(duì)信息安全管理體系的構(gòu)建問題產(chǎn)生一定的影響�,還會(huì)阻礙一個(gè)企業(yè)的信息安全管理工作和任務(wù)的完成。因此�,對(duì)于保險(xiǎn)企業(yè)而言,在處理這些現(xiàn)實(shí)狀況以及各種各樣問題的時(shí)候�,則需要結(jié)合實(shí)際情況構(gòu)建一套系統(tǒng)、完善的信息安全管理體系�,從而使安全風(fēng)險(xiǎn)問題得到有效解決,更好的發(fā)揮信息安全管理體系建設(shè)的優(yōu)勢(shì)�,確保保險(xiǎn)企業(yè)的健康、可持續(xù)發(fā)展�。
2保險(xiǎn)企業(yè)計(jì)算機(jī)信息安全管理體系構(gòu)建的對(duì)策
2.1健全和完善安全管理標(biāo)準(zhǔn)
對(duì)于保險(xiǎn)企業(yè)而言,要想更好的推動(dòng)信息安全管理體系構(gòu)建�,就需要對(duì)現(xiàn)有的信息安全管理標(biāo)準(zhǔn)進(jìn)行健全和完善,并更加深入的分析和歸納信息安全管理標(biāo)準(zhǔn)內(nèi)容�,不僅需要考慮信息技術(shù)相關(guān)的問題,而且還不能夠忽略信息安全管理問題�。在進(jìn)行計(jì)算機(jī)安全管理研究過程中,為了獲取比較良好的研究成果�,則需要進(jìn)一步健全信息安全管理標(biāo)準(zhǔn)�,并創(chuàng)建信息安全標(biāo)準(zhǔn)化組織和信息安全管理標(biāo)準(zhǔn)框架�,以確保信息安全管理體系構(gòu)建工作有條不紊的進(jìn)行。在我們國家�,雖然在研究信息安全的時(shí)候,不是很早�,但是經(jīng)過當(dāng)前不斷的完善過程,我們國家也制定出了一個(gè)更加符合我們國家基本國情的信息安全管理標(biāo)準(zhǔn)�。
2.2實(shí)現(xiàn)科學(xué)的信息安全管理
對(duì)于保險(xiǎn)企業(yè)而言,他們?nèi)绻胍玫貙?shí)現(xiàn)比較科學(xué)的信息安全管理�,就必須要充分地考慮到信息安全問題可能誘發(fā)的不利影響。對(duì)于保險(xiǎn)企業(yè)而言�,在信息安全管理方面,不僅需要有效地管理機(jī)構(gòu)安全和人員安全的管理�,而且要做好場地設(shè)施和技術(shù)安全的管理工作。同時(shí)�,保險(xiǎn)企業(yè)還需要采取比較科學(xué)的方式,從而可以有效地構(gòu)建一套可實(shí)施的�、科學(xué)合理的計(jì)算機(jī)系統(tǒng)安全管理體系,并結(jié)合實(shí)際情況制定一套規(guī)范�、完善的安全防范措施,選擇一些可靠性比較大的�、比較穩(wěn)定的、比較安全的產(chǎn)品�,并對(duì)現(xiàn)有的安全評(píng)估標(biāo)準(zhǔn)和等級(jí)進(jìn)行細(xì)化和完善,以便能夠進(jìn)行一些有效的檢查策略,從而可以更好地開展信息安全管理工作�,為保險(xiǎn)企業(yè)的發(fā)展奠定良好的基礎(chǔ)�。
2.3重視安全風(fēng)險(xiǎn)評(píng)估工作
篇4
A企業(yè)是某歐洲跨國金融公司在廣東的IT服務(wù)外包公司,主要對(duì)母公司在亞太地區(qū)的業(yè)務(wù)提供軟件開發(fā)和維護(hù)工作�,企業(yè)的核心業(yè)務(wù)構(gòu)建和運(yùn)行在以信息技術(shù)為基礎(chǔ)的網(wǎng)絡(luò)和系統(tǒng)上。作為金融行業(yè)的IT外包公司�,提升A企業(yè)的信息安全管理水平也成為企業(yè)內(nèi)部和外部的緊迫要求。
ISO27000信息安全管理體系要求是國際標(biāo)準(zhǔn)化組織頒布的有關(guān)信息安全管理的標(biāo)準(zhǔn)�,此標(biāo)準(zhǔn)采用了PDCA循環(huán)管理的方法,以求最終建立適合企業(yè)需要的信息安全管理體系�。其實(shí)現(xiàn)主要通過現(xiàn)場診斷、風(fēng)險(xiǎn)評(píng)估�、體系制度編寫、試運(yùn)行和外部審核幾個(gè)階段�,而整個(gè)項(xiàng)目的出發(fā)點(diǎn)就是完善資產(chǎn)管理。
A企業(yè)正是選擇了通過ISO27000架構(gòu)構(gòu)建信息安全體系�。在ISO27000的管理框架下,資產(chǎn)是指任何對(duì)組織有價(jià)值的信息或資源�,根據(jù)表現(xiàn)形式的不同,與信息相關(guān)的資產(chǎn)可分為數(shù)據(jù)�、文件、軟件�、硬件、服務(wù)�、人員等類型。資產(chǎn)識(shí)別的正確性和準(zhǔn)確性對(duì)于后續(xù)的風(fēng)險(xiǎn)要素評(píng)估及信息安全策略至關(guān)重要。
本項(xiàng)目之前�,A企業(yè)有來自總部的一些信息安全方面的基本要求,但要求較為抽象�、概括,并沒有在本地形成有效的管理體系�。在信息資產(chǎn)管理方面,A企業(yè)就信息資產(chǎn)進(jìn)行了一些定義�,制定了部分規(guī)章,但不夠系統(tǒng)和完整�。對(duì)于信息資產(chǎn)的管理更多地限于IT部門管理的硬件及軟件等有形資產(chǎn)的管理上,沒有從數(shù)據(jù)的角度出發(fā)�,也沒有把服務(wù)、人員以及其他非IT資產(chǎn)視為信息資產(chǎn)的一部分納入信息資產(chǎn)保護(hù)的范疇�。
因此,在構(gòu)建新信息安全管理體系項(xiàng)目中�,A公司在進(jìn)行資產(chǎn)識(shí)別時(shí),將信息資產(chǎn)按照信息�、文檔、軟件�、硬件、人員及服務(wù)六大類進(jìn)行分類�。其具體實(shí)施過程為:
1、將原有的信息資產(chǎn)清單依照上述六類進(jìn)行劃分�。在此基礎(chǔ)上,依照公司的組織架構(gòu)和業(yè)務(wù)范圍與各部門負(fù)責(zé)人進(jìn)行訪談�,了解業(yè)務(wù)流程,以識(shí)別所有的信息資產(chǎn)。
2�、對(duì)于每一項(xiàng)信息資產(chǎn),根據(jù)“誰使用�,誰負(fù)責(zé)”的原則確定責(zé)任人。由責(zé)任人負(fù)責(zé)對(duì)信息資產(chǎn)進(jìn)行分類�、分級(jí)�。同時(shí)可設(shè)定 “維護(hù)人”,由“責(zé)任人”將具體的安全職責(zé)委派給“維護(hù)人”�,但“責(zé)任人”仍須承擔(dān)資產(chǎn)安全的最終責(zé)任。
3�、由信息資產(chǎn)責(zé)任人對(duì)資產(chǎn)進(jìn)行分級(jí)評(píng)分。按照信息安全的三要素:機(jī)密性�、完整性、可用性�,對(duì)資產(chǎn)分三個(gè)要素進(jìn)行賦值(如表1示):
4、基于對(duì)每一項(xiàng)信息資產(chǎn)的在機(jī)密性�、完整性、可用性三方面的賦值�,通過矩陣計(jì)算出信息資產(chǎn)的總價(jià)值(如表2示)。
篇5
在此背景下�,國航與IBM公司合作啟動(dòng)了信息安全規(guī)劃咨詢項(xiàng)目,它旨在為國航信息安全體系建設(shè)打下堅(jiān)實(shí)的理論基礎(chǔ)�。同時(shí),國航也通過該項(xiàng)目完成了未來3~5年信息安全建設(shè)的發(fā)展規(guī)劃�,建立了信息安全管理體系,并最終于2009年5月26日通過了ISO27001信息安全管理體系國際認(rèn)證,使國航成為國內(nèi)民航業(yè)第一家獲得IS027001國際認(rèn)證的單位�。
與飛行安全一樣重要
由于信息化建設(shè)已經(jīng)深入到國航業(yè)務(wù)的各個(gè)角落,所以�,幾乎所有業(yè)務(wù)都與信息技術(shù)相關(guān),特別是涉及到客戶信任度的商務(wù)及財(cái)務(wù)方面更是如此�。因此,在國航未來的發(fā)展戰(zhàn)略中�,信息安全已經(jīng)占據(jù)了越來越重要的位置。現(xiàn)在�,公司上下已經(jīng)形成一個(gè)共識(shí):打造信息安全管理體系這張保護(hù)網(wǎng),就像確保飛行安全一樣重要�。
基于這樣一個(gè)共識(shí),我們從國航的業(yè)務(wù)愿景出發(fā)�,引導(dǎo)出了國航的信息安全愿景,即國航需要建立起一個(gè)成熟的�、具備國際水平的信息安全保障體系,這個(gè)保障體系第一要保證國航的核心業(yè)務(wù)不中斷�,第二要保障國航信息系統(tǒng)不被攻擊,第三要保障重要的客戶信息不被泄漏�,通過一個(gè)全方位的安全保障體系為國航的業(yè)務(wù)愿景保駕護(hù)航。
雖然現(xiàn)在已獲得了ISO27001國際認(rèn)證�,但國航的信息安全建設(shè)經(jīng)歷了一個(gè)漫長的過程,大致可以分為四個(gè)階段:
第一個(gè)階段是在2006年以前�,當(dāng)時(shí)信息系統(tǒng)對(duì)于國航的支撐力度相對(duì)有限,同時(shí)從整個(gè)業(yè)界來看�,的安全威脅還不是很明顯�,所以�,信息安全建設(shè)的特點(diǎn)是以零星建設(shè)和被動(dòng)建設(shè)為主。
第二個(gè)階段是2007~2008年�,隨著國航核心系統(tǒng)逐步投入運(yùn)行,以及北京奧運(yùn)會(huì)的臨近�,的安全風(fēng)險(xiǎn)不斷增加,這是�,國航開始針對(duì)性地對(duì)重點(diǎn)領(lǐng)域搭建技術(shù)防護(hù)措施。
第三個(gè)階段是從2008年開始�,隨著國航對(duì)自身信息安全認(rèn)識(shí)的不斷深入�,國航按照Is02700 L的標(biāo)準(zhǔn),建立起了信息安全的管理體系�。同時(shí),還啟動(dòng)了全面的信息系統(tǒng)戰(zhàn)略規(guī)劃�,根據(jù)國際最佳實(shí)踐并結(jié)合國航的特色,制定了未來3~5年信息安全技術(shù)平臺(tái)建設(shè)的藍(lán)圖和路徑�。自此,國航整個(gè)信息安全建設(shè)有了一個(gè)更加科學(xué)和更加明細(xì)的路線圖�。
搭建“安全翹翹板”
整體而言,國航的信息安全體系主要是以IT基礎(chǔ)架構(gòu)和安全技術(shù)架構(gòu)為基礎(chǔ)�,通過信息安全組織與人員對(duì)業(yè)務(wù)邏輯的準(zhǔn)確理解和制度流程的有效執(zhí)行,實(shí)現(xiàn)完整的信息安全管理過程�。
應(yīng)該說,信息安全體系是一個(gè)非常復(fù)雜的體系�。業(yè)界有個(gè)說法叫“安全翹翹板”�,這個(gè)翹翹板主要是在IT基礎(chǔ)結(jié)構(gòu)的基礎(chǔ)上�,包括三方面內(nèi)容:一是技術(shù)平臺(tái),二是組織和人員�,三是制度和流程,通過這三方面的有效執(zhí)行�,從而構(gòu)成信息安全體系。另外�,還要加上安全的管理架構(gòu)和技術(shù)架構(gòu),最后和業(yè)務(wù)邏輯結(jié)合起來�,這樣才能構(gòu)成一個(gè)完整的信息安全體系。
目前�,依據(jù)ISO27001標(biāo)準(zhǔn),國航建立了包含三個(gè)一級(jí)方針�,三十一個(gè)二級(jí)規(guī)章的信息安全管理策略體系。通過信息安全管理策略體系的建立�、北京奧運(yùn)會(huì)期間的整改措施以及1S02700I外審督促,國航的管理體系評(píng)測水平不斷提升�,其中體系評(píng)價(jià)范圍從運(yùn)行維護(hù)中心到全信息管理部,IS027001中要求的十一個(gè)領(lǐng)域都有大幅提高�。
在技術(shù)平臺(tái)建設(shè)方面,國航針對(duì)一些緊迫性問題做了針對(duì)性的部署�。比如網(wǎng)絡(luò)安全架構(gòu)不清晰、來自互聯(lián)網(wǎng)的威脅日益增加�、防護(hù)能力偏弱、用戶行為控制存在漏洞�、系統(tǒng)服務(wù)器安全性不足等問題�,國航不但劃分了安全領(lǐng)域�,還部署了防DOS攻擊、入侵檢測�、入侵防御等設(shè)備,另外�,在重點(diǎn)用戶單位引入終端安全管理,利用弱點(diǎn)掃描工具發(fā)現(xiàn)系統(tǒng)漏洞等技術(shù)措施�,配合各項(xiàng)管理措施,很好地完成了北京奧運(yùn)信息安全保障工作�。
在信息安全管理體系建立過程中,國航還特別成立了公司級(jí)的信息安全管理委員會(huì)�,落實(shí)了信息安全管控中心職能,借鑒國際最佳實(shí)踐的功能劃分�,采用兩級(jí)管控機(jī)制�,在對(duì)組織機(jī)構(gòu)不做大調(diào)整的情況下落實(shí)了安全管理責(zé)任。
國航ISO27001信息安全管理體系策略文件于2008年底正式�,并組織了近200人次的信息安全培訓(xùn),采用自評(píng)結(jié)合復(fù)核為主的審查方式定期對(duì)體系文件的貫徹和執(zhí)行情況進(jìn)行了解�。通過內(nèi)部認(rèn)證培訓(xùn),培養(yǎng)了專兼職質(zhì)量安全員34人�,以承擔(dān)未來各部門的安全內(nèi)審職責(zé)。
納入安全運(yùn)行標(biāo)準(zhǔn)體系
正如國航副總裁賀利所說�,通過ISO27001國際認(rèn)證,并不代表國航的信息安全工作已經(jīng)做到位�,而是意味著信息安全工作開始起步�,后面需要完善的工作還有很多�。
因此接下來,國航首先將不斷對(duì)現(xiàn)有管理體系的操作細(xì)則進(jìn)行完善�,進(jìn)一步細(xì)化信息安全管理域成熟等級(jí)評(píng)價(jià)機(jī)制,在IBM公司提出的四級(jí)評(píng)價(jià)基礎(chǔ)上�,針對(duì)國航實(shí)際情況再進(jìn)行細(xì)分,持續(xù)強(qiáng)化規(guī)章的定期評(píng)審機(jī)制�,同時(shí)要求所有部分在編寫自身業(yè)務(wù)指導(dǎo)書時(shí)落實(shí)信息安全規(guī)章。
另外�,信息管理郝還將和國航相關(guān)部門一起建立基于崗位信息資源的管控機(jī)制。以后國航每一個(gè)崗位上的工作人員�,可以訪問什么樣的內(nèi)容,能夠訪問多大的資源�,都和崗位密切結(jié)合起來,這樣就能使信息安全的控制預(yù)先做好相應(yīng)的防控�。
篇6
作者簡介:謝宗曉(1979-),男�,山東日照人,南開大學(xué)商學(xué)院博士研究生�,研究方向:信息安全管理、網(wǎng)絡(luò)組織與治理等�。
1引言
無論信息安全的關(guān)注點(diǎn)從單點(diǎn)轉(zhuǎn)向系統(tǒng),還是其手段從單純的技術(shù)/管理轉(zhuǎn)向體系�,安全體系的核心始終都是用戶。因?yàn)樵谒邪踩珯C(jī)制中�,一方面�,用戶是機(jī)器系統(tǒng)的使用者�,也是安全策略的執(zhí)行者,作為主體方存在�;另一方面,用戶是安全策略約束的對(duì)象�,作為客體方存在。
用戶在信息安全實(shí)踐中的作用往往被認(rèn)為是消極的�,有些研究認(rèn)為,在任何系統(tǒng)的安全機(jī)制中�,人是最薄弱的環(huán)節(jié)[1-2]。但是�,目前不存在完全不需要用戶參與就能夠智能識(shí)別并適應(yīng)環(huán)境變化的安全防護(hù)系統(tǒng),就這點(diǎn)而言�,用戶參與在現(xiàn)階段是不可避免的。此外�,ISO/IEC27001:2005指出,信息安全的主要目的是確保業(yè)務(wù)連續(xù)性�、業(yè)務(wù)風(fēng)險(xiǎn)最小化、投資回報(bào)和商業(yè)機(jī)遇最大化�,也就是說信息安全是基于業(yè)務(wù)要求的適當(dāng)安全�,過度的安全往往意味著浪費(fèi)。Spears等[3]的研究表明�,用戶參與風(fēng)險(xiǎn)評(píng)估和控制措施設(shè)計(jì)過程可以提供足夠的業(yè)務(wù)信息,避免不切實(shí)際的安全控制�,使實(shí)現(xiàn)適當(dāng)?shù)陌踩蔀榭赡?。因此�,用戶參與在信息安全實(shí)踐中是必須和必要的,本研究的目的是探討用戶參與在信息安全管理(informationsecuritymanagement�,ISM)有效性中的作用。
2相關(guān)研究評(píng)述
2.1用戶參與
用戶參與的研究開始于20世紀(jì)60年代[4-5]�,目前多集中在信息系統(tǒng)開發(fā)領(lǐng)域中,在相當(dāng)長的一段時(shí)間內(nèi)�,用戶參與和用戶涉入的概念被認(rèn)為同義。Barki等[4�,6]第一次將用戶涉入與用戶參與的概念分離,認(rèn)為用戶參與是系統(tǒng)開發(fā)過程中用戶執(zhí)行的一系列行為或活動(dòng)�,用戶涉入是用戶對(duì)一個(gè)系統(tǒng)的重要性以及與個(gè)體關(guān)聯(lián)程度認(rèn)識(shí)的主觀心理狀態(tài)。
用戶參與理論假設(shè)用戶參與與以系統(tǒng)質(zhì)量�、用戶滿意度、用戶接受度�、系統(tǒng)應(yīng)用等定義的系統(tǒng)成功之間存在關(guān)聯(lián)[5],其中隱含的含義為�,在信息系統(tǒng)開發(fā)過程中的用戶參與并不是必須的,而在信息安全實(shí)踐中的用戶參與則明顯不同�,只有部分參與與全員參與的區(qū)別,并不存在是否參與的區(qū)別�。Doll等[7]認(rèn)為,在強(qiáng)制環(huán)境下�,用戶涉入與用戶參與沒有區(qū)別。由于用戶參與在信息安全情境中已經(jīng)隱含了強(qiáng)制環(huán)境的含義,因此本研究也認(rèn)為用戶涉入與用戶參與同義�。為了研究方便以及與信息系統(tǒng)開發(fā)過程形成更好的對(duì)應(yīng),本研究中的用戶參與是指用戶在安全策略制定過程中的一系列行為或活動(dòng)�。
在信息安全研究領(lǐng)域,絕大多數(shù)研究都在關(guān)注安全功能的實(shí)現(xiàn)�,Dhillon等[8]在對(duì)文獻(xiàn)進(jìn)行分類梳理后認(rèn)為,信息安全研究主流必然從關(guān)注功能的范式轉(zhuǎn)向基于社會(huì)-組織視角的研究�;Ashenden[9]反思人在信息安全管理中的作用,認(rèn)為其中來自人的挑戰(zhàn)被忽視了�,并建議從管理學(xué)和組織行為學(xué)的角度研究信息安全管理所面臨的困境。之后涌現(xiàn)出的基于社會(huì)-組織視角的信息安全相關(guān)研究中�,人的因素明顯成為熱點(diǎn),Johnston等[10]認(rèn)為恐懼訴求會(huì)影響員工遵守安全策略�;Bulgurcu等[11]認(rèn)為員工遵守安全策略受規(guī)范信念和自我效能等因素的影響。
但是�,這些關(guān)注員工遵守安全策略的研究與以往的功能范式研究假設(shè)前提一樣,即用戶參與(在信息安全中一般稱作人的參與)是作為消極因素出現(xiàn)�,這在信息安全風(fēng)險(xiǎn)評(píng)估和管理中尤為明顯。一般認(rèn)為人工評(píng)估是目前信息系統(tǒng)復(fù)雜到無法進(jìn)行全定量化和全自動(dòng)化評(píng)估時(shí)不得不采取的一個(gè)補(bǔ)充手段[12-14]�,如何去掉信息安全風(fēng)險(xiǎn)評(píng)估和管理過程中人的參與也成為其中的重要研究目標(biāo)之一[15]。
在信息安全情境中�,專門研究用戶參與的文獻(xiàn)較少,僅有Spears等[3�,16]探討用戶參與在信息安全風(fēng)險(xiǎn)管理中的作用,并得出用戶參與對(duì)信息安全風(fēng)險(xiǎn)管理有正向作用的結(jié)論�,但對(duì)用戶參與在信息安全中的定義未進(jìn)行深入探討,直接用信息系統(tǒng)開發(fā)中的系統(tǒng)開發(fā)替代風(fēng)險(xiǎn)管理�。問題在于,在定義信息安全術(shù)語的ISO/IEC27000:2009以及類似文獻(xiàn)中并沒有明確的用戶參與的詞匯�,只有管理者、用戶以及全員參與等相關(guān)或相似詞匯�。更重要的是,信息安全的概念比信息系統(tǒng)安全的概念大得多�,后者主要圍繞信息系統(tǒng)展開,前者則包括與信息有關(guān)的所有方面�,如信息系統(tǒng)安全、環(huán)境安全�、通信安全和人員安全等各個(gè)方面。
2.2信息安全管理有效性
什么是成功有效的信息安全管理�,目前并沒有統(tǒng)一的標(biāo)準(zhǔn)。無論是DeLone等[17]研究中涉及的6個(gè)維度的信息系統(tǒng)成功模型�,還是He等[18]得到的2組8個(gè)因變量,都是關(guān)注信息系統(tǒng)的成功應(yīng)用�,其本質(zhì)是效率或便利性的提高。但是幾乎所有的安全控制都增加了系統(tǒng)的操作復(fù)雜度�,從而降低了效率,或者說�,安全性與便利性存在某種程度上的矛盾。信息系統(tǒng)成功和信息安全管理成功指向不同的目標(biāo)�,因此,在信息安全管理情境下不能直接引用已有的信息系統(tǒng)成功模型�。
已有的信息安全研究中對(duì)于有效性的表述各不相同。Chang等[19]在探討組織文化對(duì)安全管理有效性影響時(shí),將有效性表述為安全管理有效性�,并用保密性、完整性�、可用性和可核查性作為變量來表征;D'Arcy等[20]在研究員工安全意識(shí)對(duì)信息系統(tǒng)誤用的影響時(shí)�,將有效性表述為有效的安全對(duì)策;Brady[21]在研究影響信息安全法律法規(guī)符合性的影響因素時(shí)�,將有效性表述為安全有效性,并延用了Chang等[19]的研究構(gòu)念�。
無論表述為哪個(gè)概念,絕大部分的研究在討論有效性時(shí)都是依據(jù)安全屬性和安全目的進(jìn)行判斷�。ISO/IEC27002:2005對(duì)信息安全的定義是保持信息的保密性、完整性�、可用性,也可包括真實(shí)性�、可核查性、不可否認(rèn)性和可靠性等�。這個(gè)定義本身就包含了信息安全管理的主要目標(biāo),也包括了7個(gè)最常見的安全屬性描述�。實(shí)際上學(xué)術(shù)界普遍認(rèn)可的信息安全的3個(gè)核心屬性是保密性、完整性和可用性�,也稱為信息安全金三角或CIA(confidentiality,integrity�,availability)框架[22],而對(duì)真實(shí)性�、可核查性�、不可否認(rèn)性和可靠性的認(rèn)識(shí)則各有不同�。為了研究方便�,本研究選取3個(gè)核心屬性表征信息安全管理的有效性�。當(dāng)然,有效的信息安全管理還要考慮更多的因素�,如應(yīng)該遵循成本效益分析的原則[23-24]等。
2.3信息安全管理體系
信息安全管理體系(informationsecuritymanagementsystem�,ISMS)概念最初源于BS7799,它是基于業(yè)務(wù)風(fēng)險(xiǎn)方法建立�、實(shí)施、運(yùn)行�、監(jiān)視、評(píng)審�、保持和改進(jìn)信息安全,包括組織結(jié)構(gòu)�、方針策略、規(guī)劃活動(dòng)�、職責(zé)、實(shí)踐�、程序、過程和資源等內(nèi)容�。信息安全管理體系的支撐標(biāo)準(zhǔn)是ISO/IEC27000標(biāo)準(zhǔn)族,共有60個(gè)標(biāo)準(zhǔn)�,編號(hào)為ISO/IEC27000~ISO/IEC27059�,其中最重要的標(biāo)準(zhǔn)ISO/IEC27001:2005和ISO/IEC27002:2005已經(jīng)被等同為國家標(biāo)準(zhǔn)�,即GB/T22080-2008和GB/T22081-2008。
本研究以信息安全管理體系為背景研究用戶參與在信息安全管理中的作用�,選擇信息安全管理體系作為研究用戶參與的背景主要原因如下。
(1)一般認(rèn)為信息安全管理體系是信息安全管理的一個(gè)可接受模型或最佳實(shí)踐[19�,23-25],而且目前信息安全管理體系應(yīng)用非常廣泛�。截至2011年6月,世界范圍內(nèi)已經(jīng)通過信息安全管理體系注冊(cè)的組織共有7279家�,中國有497家(http:∥iso27001certificates.com/)。
(2)信息安全管理體系包括可能涉及的所有信息安全管理活動(dòng)�,ISO/IEC27000標(biāo)準(zhǔn)族不但給出建立、實(shí)施�、運(yùn)行、監(jiān)視�、評(píng)審、保持和改進(jìn)信息安全的基于業(yè)務(wù)風(fēng)險(xiǎn)的方法�,而且還給出信息安全管理體系的要求、實(shí)用規(guī)則�、審核指南以及相關(guān)安全域的具體指南等,僅ISO/IEC27002:2005信息安全管理實(shí)用規(guī)則就包括11個(gè)控制域�、39個(gè)控制目標(biāo)、133項(xiàng)控制措施�。
(3)信息安全管理體系相關(guān)標(biāo)準(zhǔn)是鼓勵(lì)用戶參與的,部署過程按照Plan-Do-Check-Act的戴明環(huán)�,階段劃分明顯�,而且大部分的部署組織會(huì)申請(qǐng)第三方認(rèn)證�,并在中國認(rèn)證認(rèn)可協(xié)會(huì)注冊(cè),因此研究者可以非常清晰地判斷組織是否部署了信息安全相關(guān)措施�、是否在信息安全實(shí)踐中有用戶參與行為等。
3研究假設(shè)和模型構(gòu)建
3.1用戶參與對(duì)信息安全管理有效性的直接影響
Ives等[26]對(duì)1959年至1981年的用戶參與與信息管理系統(tǒng)成功之間關(guān)系的實(shí)證研究進(jìn)行梳理發(fā)現(xiàn)�,22項(xiàng)研究中有8項(xiàng)表明用戶涉入與系統(tǒng)成功正相關(guān);Cavaye[27]對(duì)1982年至1992年的研究分析得出的結(jié)果基本類似�,19項(xiàng)研究中有7項(xiàng)表明用戶涉入與系統(tǒng)成功正相關(guān)�,部分研究是無定論或負(fù)相關(guān);He等[18]從464項(xiàng)研究中選擇82項(xiàng)實(shí)證性研究進(jìn)行元分析�,認(rèn)為用戶參與和信息系統(tǒng)開發(fā)的態(tài)度和行為與生產(chǎn)率存在不同程度的正相關(guān)。
雖然信息系統(tǒng)成功和信息安全管理成功指向不同的目標(biāo)�,但兩者的開發(fā)過程存在極大的相似性。信息安全管理體系的部署過程實(shí)際上是一整套安全策略體系的開發(fā)過程�,可認(rèn)為是系統(tǒng)開發(fā)的一種,信息系統(tǒng)開發(fā)的過程包括需求分析�、概要設(shè)計(jì)、詳細(xì)設(shè)計(jì)�、編碼、測試�、上線、維護(hù)升級(jí)等階段�,信息安全管理體系的部署過程包括風(fēng)險(xiǎn)評(píng)估、體系設(shè)計(jì)�、文件設(shè)計(jì)與編寫�、試運(yùn)行�、持續(xù)改進(jìn)等過程。信息系統(tǒng)開發(fā)與信息安全管理體系部署的對(duì)應(yīng)關(guān)系見圖1�。
基于此,本研究提出假設(shè)�。
H1用戶參與對(duì)信息安全管理有效性有顯著的正向作用。
3.2信息安全意識(shí)及其中介作用
信息安全良好實(shí)踐(thestandardofgoodpracticeforinformationsecurity�,SoGP)將信息安全意識(shí)定義為組織內(nèi)所有的員工理解信息安全的重要性,清楚組織所適用的安全級(jí)別�,知悉并履行個(gè)人的安全職責(zé)。
用戶參與到建立信息安全管理體系的過程中�,并承擔(dān)各種安全責(zé)任,可以加深用戶對(duì)信息安全的理解�。Spears等[3]通過研究認(rèn)為,用戶參與到信息安全風(fēng)險(xiǎn)管理的過程中可以提高組織對(duì)信息安全風(fēng)險(xiǎn)和控制措施的重視程度�,從而提高用戶的信息安全意識(shí)?;诖耍狙芯刻岢黾僭O(shè)�。
H2用戶參與對(duì)信息安全意識(shí)有顯著的正向作用。
Kruger等[28]認(rèn)為�,安全控制的應(yīng)用效果依賴于積極的安全環(huán)境,其中每個(gè)人都具有較高的信息安全意識(shí)�,都理解并執(zhí)行組織內(nèi)的程序和規(guī)程;反之�,在消極的安全環(huán)境中�,安全控制不但得不到有效的應(yīng)用�,甚至?xí)灰?guī)避和濫用。按動(dòng)機(jī)分�,主要有以下兩種情況。
(1)故意的�。如銀行業(yè)務(wù)系統(tǒng)用戶的非法外聯(lián),由于不理解信息安全的重要性�,不了解后果的嚴(yán)重性,這類用戶往往并不知悉組織的信息安全懲戒措施或相關(guān)的法律法規(guī)�,可以歸結(jié)為信息安全意識(shí)薄弱。
(2)無意的�。如服裝設(shè)計(jì)人員不知悉哪些信息需要保密�、哪些信息可以公開,將作廢的設(shè)計(jì)圖紙隨手扔進(jìn)垃圾箱�,這可能導(dǎo)致信息泄漏,影響信息的保密性�。再如,有些用戶對(duì)主機(jī)的安全操作規(guī)程不了解�,隨便重啟服務(wù)器,這可能導(dǎo)致宕機(jī)�,并由此影響信息的可用性。
這些導(dǎo)致信息安全管理失效的行為或多或少與信息安全意識(shí)相關(guān)聯(lián)�。
基于此,本研究提出假設(shè)�。
H3信息安全意識(shí)對(duì)信息安全管理有效性有顯著的正向作用�。
H4信息安全意識(shí)在用戶參與與信息安全管理有效性的關(guān)系中起中介作用�。
3.3業(yè)務(wù)流程結(jié)合及其中介作用
系統(tǒng)質(zhì)量理論認(rèn)為,用戶參與可以使開發(fā)者真正了解系統(tǒng)需求�,從而提高系統(tǒng)質(zhì)量[29-31]。在信息安全管理情境中�,沒有涉及質(zhì)量這一概念,ISO9000:2005對(duì)質(zhì)量的定義是�,一組固有特性滿足要求的程度,按照這個(gè)定義�,信息安全管理的要求是滿足組織業(yè)務(wù)對(duì)安全的需要。用戶(尤其是業(yè)務(wù)流程負(fù)責(zé)人)參與到信息安全管理的建設(shè)過程中可以使安全策略開發(fā)者了解業(yè)務(wù)過程�,同時(shí)也使他們自己更加理解安全策略目的,從而促進(jìn)安全策略與業(yè)務(wù)流程進(jìn)行結(jié)合�,提高安全策略的質(zhì)量。Spears等[3]的研究證實(shí)用戶參與可以使信息安全風(fēng)險(xiǎn)管理更加符合業(yè)務(wù)情境�。基于此�,本研究提出假設(shè)。
H5用戶參與對(duì)業(yè)務(wù)流程結(jié)合有顯著的正向作用�。
對(duì)用戶參與信息系統(tǒng)開發(fā)與系統(tǒng)使用之間關(guān)系的研究表明,只有在可選擇應(yīng)用的環(huán)境中進(jìn)行研究才有意義[17]�。但Barki等[4]認(rèn)為,即使在強(qiáng)制應(yīng)用環(huán)境中�,用戶還是可以根據(jù)自己的判斷(如態(tài)度和意愿)控制使用的程度,而信息系統(tǒng)的使用程度正是信息系統(tǒng)成功的參數(shù)之一。
信息安全管理是強(qiáng)制環(huán)境�,但是在實(shí)際應(yīng)用中安全策略的設(shè)計(jì)者出于盡職免責(zé)的心態(tài),很容易陷入過度安全的狀態(tài)�,而業(yè)務(wù)流程負(fù)責(zé)人出于對(duì)自身利益的考慮則希望盡量減少安全控制對(duì)正常業(yè)務(wù)的影響,這種矛盾的存在往往會(huì)導(dǎo)致安全策略使用程度(被遵循程度)降低�,即安全策略未得到有效實(shí)施。
由安全主管和業(yè)務(wù)流程人員共同參與設(shè)計(jì)安全策略是解決這個(gè)矛盾的途徑之一�,這個(gè)過程往往是一個(gè)博弈的過程,最后一般會(huì)使組織的安全策略符合基線標(biāo)準(zhǔn)�。只有這種充分考慮了業(yè)務(wù)要求的安全策略才能得到高“使用程度”,進(jìn)而提高信息安全管理的有效性�。因此,本研究提出假設(shè)�。
H6業(yè)務(wù)流程結(jié)合對(duì)信息安全管理有效性有顯著的正向作用。
H7業(yè)務(wù)流程結(jié)合在用戶參與與信息安全管理有效性的關(guān)系中起中介作用�。
綜上所述,提出本研究模型�,如圖2所示�。
4研究設(shè)計(jì)
4.1樣本選擇
研究者從2011年6月前通過信息安全管理體系認(rèn)證的497家中國公司隨機(jī)抽取30家,給每家公司發(fā)放10份問卷�,以郵寄的方式將問卷發(fā)放給被選公司的信息安全負(fù)責(zé)人,隨后以第三方認(rèn)證機(jī)構(gòu)電話確認(rèn)的方式�,請(qǐng)公司信息安全負(fù)責(zé)人組織公司相關(guān)成員填寫問卷,并以郵寄的方式回收問卷�。收回256份問卷,剔除問題填寫不完整的22份問卷,最終納入數(shù)據(jù)分析的問卷共234份�,問卷的有效率為78%。填寫問卷人員的描述性統(tǒng)計(jì)如表1所示�,其中男性占60.684%,女性占39.316%�,與目前信息安全從業(yè)人員性別比例基本相符。
4.2變量和測量
4.2.1自變量:用戶參與
用戶參與沿用Barki等[6]和Spears等[3]的測量框架�,按項(xiàng)目階段確定關(guān)鍵活動(dòng)。信息安全管理體系采用PDCA框架模型�,階段劃分明確,本研究也采用分階段羅列關(guān)鍵活動(dòng)的方法對(duì)用戶參與程度進(jìn)行測量�,每階段選取7項(xiàng)關(guān)鍵活動(dòng),用戶參與其中一項(xiàng)得1分�,否則為0,以此類推�,每個(gè)階段的用戶參與結(jié)果最小值為0,最大值為7�。
用戶參與問卷以ISO/IEC27001:2005和謝宗曉等[22,32]描述的信息安全管理體系部署過程中一系列關(guān)鍵活動(dòng)為基礎(chǔ)�,選擇36項(xiàng)關(guān)鍵活動(dòng),其中計(jì)劃階段12項(xiàng)�、執(zhí)行階段12項(xiàng)、檢查階段8項(xiàng)�、改進(jìn)階段4項(xiàng),并把檢查和改進(jìn)階段合并為12項(xiàng)�。在信息安全管理體系從業(yè)人員中選取22人�,采用多選項(xiàng)-多選擇量表的方法�,限定從業(yè)人員分別從36項(xiàng)關(guān)鍵活動(dòng)中選擇7個(gè)認(rèn)為最重要的選項(xiàng),從業(yè)人員分布見表2�,選擇結(jié)果統(tǒng)計(jì)見表3。
4.2.2中介變量:信息安全意識(shí)和業(yè)務(wù)流程結(jié)合
無論在薩班斯奧克斯利法案還是在信息安全管理體系的情境下�,信息安全意識(shí)和業(yè)務(wù)流程結(jié)合的含義基本一致,都是為了提高信息安全管理的有效性�。信息安全意識(shí)量表和業(yè)務(wù)流程結(jié)合量表修改自Spears等[3]的問卷,該問卷為Likert7點(diǎn)量表�,1為非常反對(duì),7為非常支持�。
4.2.3因變量:信息安全管理有效性
采用Chang等[19]設(shè)計(jì)、Brady[21]沿用并修改的Likert7點(diǎn)量表測量信息安全管理有效性�,1為非常反對(duì),7為非常支持�。
由于信息安全意識(shí)、業(yè)務(wù)流程結(jié)合和信息安全管理有效性的測量量表引用自英文文獻(xiàn)�,為了保證問卷的有效性,研究者將英文翻譯成中文�,請(qǐng)兩名中文專業(yè)碩士研究生對(duì)問卷的行文進(jìn)行修改以符合中文習(xí)慣,然后請(qǐng)兩位信息安全領(lǐng)域的專家比對(duì)問卷的中英文內(nèi)容并審核確認(rèn)�,所有變量及問卷項(xiàng)見表4�。
4.3構(gòu)建有效性
用戶參與、信息安全意識(shí)�、業(yè)務(wù)流程結(jié)合和信息安全管理有效性4個(gè)潛變量的信度(Cronbach'sα)�、均值�、標(biāo)準(zhǔn)差、極值和相關(guān)系數(shù)如表5所示�。用戶參與、信息安全意識(shí)�、業(yè)務(wù)流程結(jié)合、信息安全管理有效性的Cronbach'sα系數(shù)分別為0.723�、0.802、0.640�、0.948,信度較高�,在可接受范圍內(nèi)。Mithas等[33]認(rèn)為�,來源于實(shí)踐、經(jīng)過長期的實(shí)踐檢驗(yàn)且有權(quán)威來源的量表(如國際標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn))能夠保證測量的效度�。本研究中問卷的測量符合以上要求,因此能夠保證效度�。
4個(gè)潛變量之間的相關(guān)系數(shù)全部達(dá)到顯著相關(guān),數(shù)據(jù)適合多重中介模型檢驗(yàn)�。
5實(shí)證結(jié)果和分析
5.1同源方差分析
由于本研究中變量數(shù)據(jù)均來源于自稱式問卷調(diào)查,容易導(dǎo)致變量之間的關(guān)系不能反映潛在構(gòu)念之間的真實(shí)關(guān)系�,即共同方法偏差的存在容易導(dǎo)致構(gòu)念效度的降低,甚至影響研究假設(shè)的接受或拒絕�,增加犯Ⅰ類錯(cuò)誤或Ⅱ類錯(cuò)誤的概率[34]。沿用Podsakoff等[35]和周浩等[36]的方法�,本研究采取驗(yàn)證性因子分析方法分兩步對(duì)問卷共同方法偏差進(jìn)行分析�,檢驗(yàn)結(jié)果如表6所示�。
采用Harman單因子檢驗(yàn)方法對(duì)用戶參與、信息安全意識(shí)�、業(yè)務(wù)流程結(jié)合和信息安全管理有效性進(jìn)行檢驗(yàn),如果方法變異明顯存在�,驗(yàn)證性因子分析的結(jié)果容易析出一個(gè)單獨(dú)因子或者一個(gè)公因子解釋大部分變異[37]。由表6可知�,單因子模型的擬合指標(biāo)沒有達(dá)到可以接受的標(biāo)準(zhǔn),NNFI=0.848�,CFI=0.863,RMSEA=0.186�。然而Harman單因子檢驗(yàn)方法的假設(shè)前提存在明顯的缺陷,除非存在非常嚴(yán)重的同源偏差問題�,否則一個(gè)公因子解釋大部分變量變異的情況一般不會(huì)出現(xiàn)。為進(jìn)一步探查同源偏差的可能性�,本研究采用不可測量潛在方法進(jìn)行因子檢驗(yàn),比較有共同方法偏差的模型與沒有共同方法偏差的模型�,如果后者的擬合指數(shù)優(yōu)于前者的擬合指數(shù),表明變量數(shù)據(jù)不存在共同方法偏差�。由表6可知,四因子模型的擬合指數(shù)比較好�,RMSEA<0.080,CFI>0.900�,NNFI>0.900,對(duì)四因子模型與其他3個(gè)競爭模型的χ2和AIC指標(biāo)(值越小越好)[38]進(jìn)行比較�,無共同方法偏差的四因子模型明顯優(yōu)于其他3個(gè)有共同方法偏差的模型,說明各變量間不存在明顯的同源方差�,用戶參與、信息安全意識(shí)�、業(yè)務(wù)流程結(jié)合和信息安全管理有效性具有良好的區(qū)分效度。
5.2結(jié)果分析
多重中介模型的驗(yàn)證方法有多種�,MacKinnon等[39]提到14種驗(yàn)證路徑的方法,在所有驗(yàn)證方法中�,Preacher等[40]和Sobel[41]都推薦Bootstrapping方法,認(rèn)為該方法模型參數(shù)估計(jì)更為穩(wěn)健�,結(jié)論也更可靠,更能避免Ⅰ類錯(cuò)誤�,尤其是進(jìn)行多重中介研究時(shí)。本研究采用Bootstrapping方法�,使用Preacher等[40]提供的SPSS宏,使用SPSS18.0驗(yàn)證多重中介模型�。按照提出的研究假設(shè),將用戶參與設(shè)定為自變量�,將信息安全意識(shí)和業(yè)務(wù)流程結(jié)合設(shè)定為中介變量,將信息安全管理有效性設(shè)定為因變量�,樣本數(shù)量設(shè)置為5000,置信區(qū)間設(shè)置為95%�,對(duì)如下方程回歸系數(shù)的顯著性進(jìn)行檢驗(yàn),結(jié)果見表7和表8�。
其中,c�、a1�、a2�、c'、b1和b2為回歸系數(shù)�,ε1~ε4為殘差。
由表7可知�,c=0.674(p<0.001),達(dá)到顯著水平�,表明用戶參與程度的不同顯著影響信息安全管理有效性的高低,支持H1�,同時(shí)也為中介效應(yīng)的檢驗(yàn)提供了基礎(chǔ)。a1=0.555(p<0.001)�,a2=0.421(p<0.001),表明用戶參與對(duì)信息安全意識(shí)和業(yè)務(wù)流程結(jié)合有顯著正向作用�,支持H2和H5。b1=0.279(p<0.050)�,b2=0.183(p<0.050),表明信息安全意識(shí)和業(yè)務(wù)流程結(jié)合對(duì)信息安全管理有效性有顯著正向作用�,支持H3和H6。
整體模型指標(biāo)中�,F(xiàn)=26.508,p=0.000�,說明自變量用戶參與通過中介變量信息安全意識(shí)和業(yè)務(wù)流程結(jié)合對(duì)因變量信息安全管理有效性的影響達(dá)到顯著水平。此外�,模型的解釋率R2為0.247,表明還有其他變量能夠納入模型,這也是下一步研究的方向�。
由表8可知,用戶參與對(duì)信息安全管理有效性總的間接效應(yīng)為0.155(a1b1)+0.077(a2b2)=0.232�,對(duì)應(yīng)的Z檢驗(yàn)結(jié)果為3.581(p=0.000),偏差矯正與增進(jìn)95%bootstrap置信區(qū)間為{0.120�,0.352}�,置信區(qū)間不包括零。因此�,拒絕總的間接效應(yīng)為零的虛無假設(shè),表明總的間接效應(yīng)顯著�。
在多重中介方法中,不但要關(guān)注總的間接效應(yīng)�,也要關(guān)注單獨(dú)的中介效應(yīng),由表8可知�,中介效應(yīng)值如下。通過信息安全意識(shí):a1b1=0.155(Z=2.569�,p<0.050),偏差矯正與增進(jìn)95%Bootstrap置信區(qū)間為{0.048�,0.270},置信區(qū)間不包括零�;通過業(yè)務(wù)流程結(jié)合:a2b2=0.077(Z=1.967,p<0.050)�,偏差矯正與增進(jìn)95%Bootstrap置信區(qū)間為{0.018,0.162}�,置信區(qū)間不包括零。由此可見,信息安全意識(shí)和業(yè)務(wù)流程結(jié)合的中介效應(yīng)顯著�,支持H4和H7。此外�,兩個(gè)中介效應(yīng)的置信區(qū)間有重合的部分,且兩者比較檢驗(yàn)結(jié)果不顯著(Z=0.992�����,p>0.050)�����,可以認(rèn)為兩個(gè)中介變量起到的中介作用沒有顯著差異�����,同等重要�����。
本研究概念模型的驗(yàn)證如圖3所示�����。
6討論
(1)本研究驗(yàn)證了用戶參與在信息安全管理中的正向作用�����,這對(duì)安全機(jī)制不能完全脫離人而運(yùn)轉(zhuǎn)的情況具有非常積極的意義。
(2)本研究解釋了用戶參與如何正向影響信息安全管理有效性�����。Spears等[3]驗(yàn)證了在薩班斯奧克斯利法案情境下用戶參與對(duì)控制措施績效的正向作用�����,但是并未揭示用戶參與如何影響控制措施績效�����。本研究通過構(gòu)造多重中介模型�����,揭示了用戶參與可以有效地提高員工的信息安全意識(shí)�����,促進(jìn)業(yè)務(wù)流程結(jié)合�����,使組織的信息安全管理體系更加符合組織的實(shí)際安全需求�����,最終促進(jìn)信息安全管理有效性�����。
(3)本研究采用多重中介的驗(yàn)證模型�����,應(yīng)用Preacher等[40]提供的SPSS宏�����,多重中介模型可以更清晰地揭示用戶參與影響信息安全管理有效性的路徑�����。
本研究結(jié)論對(duì)管理實(shí)踐具有一定的指導(dǎo)意義�����,主要體現(xiàn)在標(biāo)準(zhǔn)制定和安全實(shí)踐兩個(gè)方面�����。
(1)本研究證實(shí)了用戶參與的重要性和積極作用,為信息安全相關(guān)標(biāo)準(zhǔn)的制定�����、完善和提高提供了新的視角和依據(jù)�����。
(2)大部分組織的安全負(fù)責(zé)人都會(huì)盡量減少人在安全機(jī)制中的比重�����,以減少執(zhí)行的不確定性�����,這導(dǎo)致2010年至2011年68%的組織在安全技術(shù)方面的投入超過整體安全預(yù)算的10%�����,僅17%的組織在終端用戶安全意識(shí)教育方面的投入超過整體安全預(yù)算的10%�����,有35%的組織還不足1%�����;同時(shí)�����,有41.100%的受訪組織經(jīng)歷了信息安全事件�����,攻擊源來自內(nèi)部用戶濫用網(wǎng)絡(luò)或郵件的占24.800%[42]�����。顯然�����,組織的安全負(fù)責(zé)人應(yīng)該將安全預(yù)算的分配更多地傾斜到終端用戶身上�����。對(duì)信息安全管理體系的咨詢和認(rèn)證人員而言�����,在咨詢和認(rèn)證的過程中,不應(yīng)僅關(guān)注安全技術(shù)的部署和安全制度的設(shè)計(jì)�����,也應(yīng)關(guān)注如何鼓勵(lì)用戶參與到所有可能的活動(dòng)中�����,并承擔(dān)更多的責(zé)任�����。
篇7
為了貫徹國家對(duì)信息系統(tǒng)安全保障工作的要求以及等級(jí)化保護(hù)堅(jiān)持“積極防御�����、綜合防范”的方針�����,需要全面提高信息安全防護(hù)能力�����。貴州廣電網(wǎng)絡(luò)信息系統(tǒng)建設(shè)需要進(jìn)行整體安全體系規(guī)劃設(shè)計(jì)�����,全面提高信息安全防護(hù)能力�����,創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境�����,保護(hù)國家利益�����,促進(jìn)貴州廣電網(wǎng)絡(luò)信息化的深入發(fā)展�����。
1安全規(guī)劃的目標(biāo)和思路
貴州廣電網(wǎng)絡(luò)目前運(yùn)營并管理著兩張網(wǎng)絡(luò):辦公網(wǎng)與業(yè)務(wù)網(wǎng);其中辦公網(wǎng)主要用于貴州廣電網(wǎng)絡(luò)各部門在線辦公�����,重要的辦公系統(tǒng)為OA系統(tǒng)�����、郵件系統(tǒng)等;業(yè)務(wù)網(wǎng)主要提供貴州廣電網(wǎng)絡(luò)各業(yè)務(wù)部門業(yè)務(wù)平臺(tái),其中核心業(yè)務(wù)系統(tǒng)為BOSS系統(tǒng)�����、互動(dòng)點(diǎn)播系統(tǒng)�����、安全播出系統(tǒng)�����、內(nèi)容集成平臺(tái)以及寬帶系統(tǒng)等�����。
基于對(duì)貴州廣電網(wǎng)絡(luò)信息系統(tǒng)的理解和國家信息安全等級(jí)保護(hù)制度的認(rèn)識(shí)�����,我們認(rèn)為�����,信息安全體系是貴州廣電網(wǎng)絡(luò)信息系統(tǒng)建設(shè)的重要組成部分�����,是貴州廣電網(wǎng)絡(luò)業(yè)務(wù)開展的重要安全屏障�����,它是一個(gè)包含貴州廣電網(wǎng)絡(luò)實(shí)體�����、網(wǎng)絡(luò)�����、系統(tǒng)�����、應(yīng)用和管理等五個(gè)層面�����,包括保護(hù)、檢測�����、響應(yīng)�����、恢復(fù)四個(gè)方面�����,通過技術(shù)保障和管理制度建立起來的可靠有效的安全體系�����。
1.1設(shè)計(jì)目標(biāo)
貴州廣電網(wǎng)絡(luò)就安全域劃分已經(jīng)進(jìn)行的初步規(guī)劃�����,在安全域整改中初見成效�����,然而�����,安全系統(tǒng)建設(shè)不僅需要建立重要資源的安全邊界�����,而且需要明確邊界上的安全策略�����,提高對(duì)核心信息資源的保護(hù)意識(shí)�����。貴州廣電網(wǎng)絡(luò)相關(guān)安全管理體系的建設(shè)還略顯薄弱�����,管理細(xì)則文件亟需補(bǔ)充�����,安全管理人員亟需培訓(xùn)����。因此,本次規(guī)劃重點(diǎn)在于對(duì)安全管理體系以及目前的各個(gè)業(yè)務(wù)系統(tǒng)進(jìn)行了全面梳理,針對(duì)業(yè)務(wù)系統(tǒng)中安全措施進(jìn)行了重點(diǎn)分析�����,綜合貴州廣電網(wǎng)絡(luò)未來業(yè)務(wù)發(fā)展的方向����,進(jìn)行未來五年的信息安全建設(shè)規(guī)劃。
1.2設(shè)計(jì)原則
1.2.1合規(guī)性原則
安全設(shè)計(jì)要符合國家有關(guān)標(biāo)準(zhǔn)�、法規(guī)要求,符合廣電總局對(duì)信息安全系統(tǒng)的等級(jí)保護(hù)技術(shù)與管理要求����。良好的信息安全保障體系必然是分為不同等級(jí)的,包括對(duì)信息數(shù)據(jù)保密程度分級(jí)���,對(duì)用戶操作權(quán)限分級(jí)�,對(duì)網(wǎng)絡(luò)安全程度分級(jí)(安全子網(wǎng)和安全區(qū)域),對(duì)系統(tǒng)實(shí)現(xiàn)結(jié)構(gòu)的分級(jí)(應(yīng)用層����、網(wǎng)絡(luò)層、鏈路層等)�,從而針對(duì)不同級(jí)別的安全對(duì)象,提供全面���、可選的安全技術(shù)和安全體制����,以滿足貴州廣電網(wǎng)絡(luò)業(yè)務(wù)網(wǎng)、辦公網(wǎng)系統(tǒng)中不同層次的各種實(shí)際安全需求����。
1.2.2技管結(jié)合原則
信息安全保障體系是一個(gè)復(fù)雜的系統(tǒng)工程���,涉及人�����、技術(shù)����、操作等要素����,單靠技術(shù)或單靠管理都不可能實(shí)現(xiàn)。因此�����,必須將各種安全技術(shù)與運(yùn)行管理機(jī)制、人員思想教育與技術(shù)培訓(xùn)��、安全規(guī)章制度建設(shè)相結(jié)合�。
1.2.3實(shí)用原則
安全是為了保障業(yè)務(wù)的正常運(yùn)行,不能為了安全而妨礙業(yè)務(wù)�����,同時(shí)設(shè)計(jì)的安全措施要可以落地實(shí)現(xiàn)����。
1.3設(shè)計(jì)依據(jù)
1.3.1“原則”符合法規(guī)要求
依據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例K國務(wù)院147號(hào)令)、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[20〇3]27號(hào))�、《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》(公通字[2004]66號(hào))、《信息安全等級(jí)保護(hù)管理辦法》(公通字[2007]43號(hào))和GB/T22240-2009《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》�、GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《廣播電視安全播出管理規(guī)定》(廣電總局62號(hào)令)�、GDJ038-CATV|有線網(wǎng)絡(luò)。
2011《廣播電視播出相關(guān)信息系統(tǒng)等級(jí)保護(hù)基本要求》���,對(duì)貴州省廣播電視相關(guān)信息系統(tǒng)安全建設(shè)進(jìn)行規(guī)劃���。
1.3.2“策略”符合風(fēng)險(xiǎn)管理
風(fēng)險(xiǎn)管理是基于“資產(chǎn)-價(jià)值-漏洞-風(fēng)險(xiǎn)-保障措施”的思想進(jìn)行保障的。風(fēng)險(xiǎn)評(píng)估與管理的理論與方法已經(jīng)成為國際信息安全的標(biāo)準(zhǔn)���。
風(fēng)險(xiǎn)管理是靜態(tài)的防護(hù)策略��,是在對(duì)方攻擊之前的自我鞏固的過程���。風(fēng)險(xiǎn)分析的核心是發(fā)現(xiàn)信息系統(tǒng)的漏洞����,包括技術(shù)上的���、管理上的,分析面臨的威脅�,從而確定防護(hù)需求,設(shè)計(jì)防護(hù)的措施�,具體的措施是打補(bǔ)丁,還是調(diào)整管理流程���,或者是增加��、增強(qiáng)某種安全措施�����,要根據(jù)用戶對(duì)風(fēng)險(xiǎn)的可接受程度�,這樣就可以與安全建設(shè)的成本之間做一個(gè)平衡。
1.3.3“措施”符合P2DR模型
美國ISS公司(IntemetSecuritySystem���,INC)設(shè)計(jì)開發(fā)的P2DR模型包括安全策略(Policy)�、檢測(Detection)��、防護(hù)(Protection)和響應(yīng)(Response)四個(gè)主要部分�,是一個(gè)可以隨著網(wǎng)絡(luò)安全環(huán)境的變化而變化的、動(dòng)態(tài)的安全防御系統(tǒng)�����。安全策略是整個(gè)P2DR模型的中樞���,根據(jù)風(fēng)險(xiǎn)分析產(chǎn)生的安全策略描述了系統(tǒng)中哪些資源要得到保護(hù)�,以及如何實(shí)現(xiàn)對(duì)它們的保護(hù)等��,策略是模型的核心�,所有的防護(hù)、檢測和響應(yīng)都是依據(jù)安全策略實(shí)施的�����。
檢測(Detection)����、防護(hù)(Protection)和響應(yīng)(Response)三個(gè)部分又構(gòu)成一個(gè)變化的�����、動(dòng)態(tài)的安全防御體系�。P2DR模型是在整體的安全策略的控制和指導(dǎo)下�,在綜合運(yùn)用防護(hù)工具(如防火墻、身份認(rèn)證�、加密等)的同時(shí),利用檢測工具(如漏洞評(píng)估�、入侵檢測等)了解和評(píng)估系統(tǒng)的安全狀態(tài),通過適當(dāng)?shù)姆磻?yīng)將系統(tǒng)調(diào)整至“最安全”和“風(fēng)險(xiǎn)最低”的狀態(tài)�,在安全策略的指導(dǎo)下保證信息系統(tǒng)的安全[3]����。
1.4安全規(guī)劃體系架構(gòu)
在進(jìn)行了規(guī)劃“原則”、“策略”�����、“措施”探討的基礎(chǔ)上����,我們?cè)O(shè)計(jì)貴州廣電網(wǎng)絡(luò)的安全保障體系架構(gòu)為“一個(gè)中心����、兩種手段”����。
“一個(gè)中心”,以安全管理中心為核心��,構(gòu)建安全計(jì)算環(huán)境�、安全區(qū)域邊界和安全通信網(wǎng)絡(luò),確保業(yè)務(wù)系統(tǒng)能夠在安全管理中心的統(tǒng)一管控下運(yùn)行�����,不會(huì)進(jìn)入任何非預(yù)期狀態(tài)���,從而防止用戶的非授權(quán)訪問和越權(quán)訪問��,確保業(yè)務(wù)系統(tǒng)的安全��。
“兩種手段”��,是安全技術(shù)與安全管理兩種手段���,其中安全技術(shù)手段是安全保障的基礎(chǔ)���,安全管理手段是安全技術(shù)手段真正發(fā)揮效益的關(guān)鍵,管理措施的正確實(shí)施同時(shí)需要有技術(shù)手段來監(jiān)管和驗(yàn)證��,兩者相輔相成�����,缺一不可����。
2安全保陳方案規(guī)劃
2.1總體設(shè)計(jì)
貴州廣電網(wǎng)絡(luò)的安全體系作為信息安全的技術(shù)支撐措施,分為五個(gè)方面:
邊界防護(hù)體系:安全域劃分����,邊界訪問控制策略的部署,主要是業(yè)務(wù)核心資源的邊界�,運(yùn)維人員的訪問通道���。
行為審計(jì)體系:通過身份鑒別����、授權(quán)管理、訪問控制�����、行為曰志等手段����,保證用戶行為的合規(guī)性。
安全監(jiān)控體系:監(jiān)控網(wǎng)絡(luò)中的異常����,維護(hù)業(yè)務(wù)運(yùn)行的安全基線,包括安全事件與設(shè)備故障��,也包括系統(tǒng)漏洞與升級(jí)管理�。
公共安全輔助:作為整個(gè)網(wǎng)絡(luò)信息安全的基礎(chǔ)服務(wù)系統(tǒng),包括身份認(rèn)證系統(tǒng)���、補(bǔ)丁管理系統(tǒng)以及漏洞掃描系統(tǒng)等��。
IT基礎(chǔ)設(shè)施:提供智能化����、彈能力的基礎(chǔ)設(shè)施�,主要的機(jī)房的智能化���、服務(wù)器的虛擬化、存儲(chǔ)的虛擬化等��。
2.2安全域劃分
劃分安全域的方法是首先區(qū)分網(wǎng)絡(luò)功能區(qū)域���,服務(wù)器資源區(qū)����、網(wǎng)絡(luò)連接區(qū)�、用戶接入?yún)^(qū)、運(yùn)維管理區(qū)�����、對(duì)外公共服務(wù)區(qū);其次是在每個(gè)區(qū)域中���,按照不同的安全需求區(qū)分不同的業(yè)務(wù)與用戶�,進(jìn)一步劃分子區(qū)域;最后���,根據(jù)每個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)����,梳理其用戶到服務(wù)器與數(shù)據(jù)庫的網(wǎng)絡(luò)訪問路徑��,通過的域邊界或網(wǎng)絡(luò)邊界越少越好���。
Z3邊界防護(hù)體系規(guī)劃
邊界包括網(wǎng)絡(luò)邊界�、安全域邊界�、用戶接口邊界(終端與服務(wù)器)、業(yè)務(wù)流邊界����,邊界上部署訪問控制措施,是防止非授權(quán)的“外部”用戶訪問“里面”的資源����,因此分析業(yè)務(wù)的訪問流向,是訪問控制策略設(shè)計(jì)的依據(jù)�����。
2.3.1邊界措施選擇
在邊界上我們建議四種安全措施:
1.網(wǎng)絡(luò)邊界:與外部網(wǎng)絡(luò)的邊界是安全防護(hù)的重點(diǎn)��,我們建議采用統(tǒng)一安全網(wǎng)關(guān)(UTM),從網(wǎng)絡(luò)層到應(yīng)用層的安全檢測�����,采用防火墻(FW)部署訪問控制策略,采用入侵防御系統(tǒng)(IPS)部署對(duì)黑客入侵的檢測�����,采用病毒網(wǎng)關(guān)(AV)部署對(duì)病毒�、木馬的防范;為了方便遠(yuǎn)程運(yùn)維工作,與遠(yuǎn)程辦公實(shí)施�,在網(wǎng)絡(luò)邊界上部署VPN網(wǎng)關(guān),對(duì)遠(yuǎn)程訪問用戶身份鑒別后�����,分配內(nèi)網(wǎng)地址����,給予限制性的訪問授權(quán)。Web服務(wù)的SQL注入���、XSS攻擊等���。
3.業(yè)務(wù)流邊界:安全需求等級(jí)相同的業(yè)務(wù)應(yīng)用采用VLAN隔離,采用路由訪問限制策略;不同部門的接入域也采用VLAN隔離�����,防止二層廣播,通知可以在發(fā)現(xiàn)安全事件時(shí)��,開啟不同子域的安全隔離���。
4.終端邊界:重點(diǎn)業(yè)務(wù)系統(tǒng)的終端,如運(yùn)維終端�,采用終端安全系統(tǒng),保證終端上系統(tǒng)的安全���,如補(bǔ)丁的管理�����、黑名單軟件管理��、非法外聯(lián)管理���、移動(dòng)介質(zhì)管理等等。
2.3.2策略更新管理
邊界是提高入侵者的攻擊“門檻”的�����,部署安全策略重點(diǎn)有兩個(gè)方面:一是有針對(duì)性�����。允許什么,不允許什么����,是明確的;二是動(dòng)態(tài)性。就是策略的定期變化�,如訪問者的口令、允許遠(yuǎn)程訪問的端口等���,變化的周期越短���,給入侵者留下的攻擊窗口越小。
2.4行為審計(jì)體系規(guī)劃
行為審計(jì)是指對(duì)網(wǎng)絡(luò)用戶行為進(jìn)行詳細(xì)記錄��,直接的好處是可以為事后安全事件取證提供直接證據(jù)���,間接的好處乇兩方面:對(duì)業(yè)務(wù)操作的日志記錄�,可以在曰后發(fā)現(xiàn)操作錯(cuò)誤����、確定破壞行為恢復(fù)時(shí)提供操作過程的反向操作,最大程度地減小損失;對(duì)系統(tǒng)操作的日志記錄,可以分析攻擊者的行為軌跡����,從而判斷安全防御系統(tǒng)的漏洞所在,亡羊補(bǔ)牢�����,可以彌補(bǔ)入侵者下次入侵的危害�。
行為審計(jì)主要措施包括:一次性口令���、運(yùn)維審計(jì)(堡壘機(jī))��、曰志審計(jì)以及網(wǎng)絡(luò)行為審計(jì)��。
2.5安全監(jiān)控體系規(guī)劃
監(jiān)控體系不僅是網(wǎng)絡(luò)安全態(tài)勢(shì)展示平臺(tái)�,也是安全事件應(yīng)急處理的指揮平臺(tái)�。為了管理工作上的方便,在安全監(jiān)控體系上做到幾方面的統(tǒng)一:
1.運(yùn)維與安全管理的統(tǒng)一:業(yè)務(wù)運(yùn)維與安全同平臺(tái)管理����,提高安全事件的應(yīng)急處理速度。
2.曰常安全運(yùn)維與應(yīng)急指揮統(tǒng)一:隨時(shí)了解網(wǎng)絡(luò)上的設(shè)備����、系統(tǒng)�����、流量�、業(yè)務(wù)等狀態(tài)變化�����,不僅是日常運(yùn)維發(fā)現(xiàn)異常的平臺(tái)�,而且作為安全事件應(yīng)急指揮的調(diào)度平臺(tái),隨時(shí)了解安全事件波及的范圍�、影響的業(yè)務(wù),同時(shí)確定安全措施執(zhí)行的效果�。
3.管理與考核的統(tǒng)一:安全運(yùn)維人員的工作考核就是網(wǎng)絡(luò)安全管理的曰常工作與緊急事件的處理到位,在安全事件的定位��、跟蹤�、處理過程中,就體現(xiàn)了安全運(yùn)維人員服務(wù)的質(zhì)量����。因此對(duì)安全運(yùn)維平臺(tái)的行為記錄就可以為運(yùn)維人員的考核提供一線的數(shù)據(jù)。
安全監(jiān)控措施主要包括安全態(tài)勢(shì)監(jiān)控以及安全管理平臺(tái)����,2.6公共安全輔助系統(tǒng)
作為整個(gè)網(wǎng)絡(luò)信息安全的基礎(chǔ)服務(wù)系統(tǒng)�����,需要建設(shè)公共安全輔助系統(tǒng):
1.身份認(rèn)證系統(tǒng):獨(dú)立于所有業(yè)務(wù)系統(tǒng)之外����,為業(yè)務(wù)��、運(yùn)維提供身份認(rèn)證服務(wù)�。
2.補(bǔ)丁管理系統(tǒng):對(duì)所有系統(tǒng)、應(yīng)用的補(bǔ)丁進(jìn)行管理�����,對(duì)于通過測試的補(bǔ)丁�����、重要的補(bǔ)丁��,提供主動(dòng)推送�����,或強(qiáng)制執(zhí)行的技術(shù)手段��,保證網(wǎng)絡(luò)安全基線�����。
3.漏洞掃描系統(tǒng):對(duì)于網(wǎng)絡(luò)上設(shè)備���、主機(jī)系統(tǒng)�����、數(shù)據(jù)庫�、業(yè)務(wù)系統(tǒng)等的漏洞要及時(shí)了解�,對(duì)于不能打補(bǔ)丁的系統(tǒng),要確認(rèn)有其他安全策略進(jìn)行防護(hù)�。漏洞掃描分為兩個(gè)方面,一是系統(tǒng)本身的漏洞���,二是安全域邊界部署了安全措施之后���,實(shí)際用戶所能訪問到的漏洞(滲透性測試服務(wù))。
2.7IT基礎(chǔ)設(shè)施規(guī)劃
IT基礎(chǔ)設(shè)施是所有網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)服務(wù)的基礎(chǔ)����,具備一個(gè)優(yōu)秀的基礎(chǔ)架構(gòu)�����,不僅可以快速�����、靈活地支撐各種業(yè)務(wù)系統(tǒng)的有效運(yùn)行����,而且可以極大地提高基礎(chǔ)IT資源的利用率����,節(jié)省資金投入,達(dá)到環(huán)保的要求�。
IT基礎(chǔ)設(shè)施的優(yōu)化主要體現(xiàn)在三個(gè)方面:智能機(jī)房�、服務(wù)器虛擬化、存儲(chǔ)虛擬化����。
3安全筐理體系規(guī)劃
在系統(tǒng)安全的各項(xiàng)建設(shè)內(nèi)容中,安全管理體系的建設(shè)是關(guān)鍵和基礎(chǔ)�����,建立一套科學(xué)的、可靠的��、全面而有層次的安全管理體系是貴州省廣播電視信息網(wǎng)絡(luò)股份有限公司安全建設(shè)的必要條件和基本保證����。
3_1安全管理標(biāo)準(zhǔn)依據(jù)
以GBAT22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中二級(jí)、三級(jí)安全防護(hù)能力為標(biāo)準(zhǔn)���,對(duì)貴州廣電網(wǎng)絡(luò)安全管理體系的建設(shè)進(jìn)行設(shè)計(jì)�。
3.2安全管理體系的建設(shè)目標(biāo)
通過有效的進(jìn)行貴州廣電網(wǎng)絡(luò)的安全管理體系建設(shè)�����,最終要實(shí)現(xiàn)的目標(biāo)是:采取集中控制模式�,建立起貴州廣電網(wǎng)絡(luò)完整的安全管理體系并加以實(shí)施與保持,實(shí)現(xiàn)動(dòng)態(tài)的�����、系統(tǒng)的�����、全員參與的、制度化的�����、以預(yù)防為主的安全管理模式�,從而在管理上確保全方位、多層次��、快速有效的網(wǎng)絡(luò)安全防護(hù)��。
3.3安全管理建設(shè)指導(dǎo)思想
各種標(biāo)準(zhǔn)體系文件為信息安全管理建設(shè)僅僅提供一些原則性的建議�,要真正構(gòu)建符合貴州廣電網(wǎng)絡(luò)自身狀況的信息安全管理體系,在建設(shè)過程中應(yīng)當(dāng)以以下思想作為指導(dǎo):“信CATV丨有線網(wǎng)絡(luò)息安全技術(shù)�����、信息安全產(chǎn)品是信息安全管理的基礎(chǔ)��,信息安全管理是信息安全的關(guān)鍵���,人員管理是信息安全管理的核心,信息安全政策是進(jìn)行信息安全管理的指導(dǎo)原則,信息安全管理體系是實(shí)現(xiàn)信息安全管理最為有效的手段�。”
3.4安全管理體系的建設(shè)具體內(nèi)容
GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(以下簡稱《基本要求》)對(duì)信息系統(tǒng)的安全管理體系提出了明確的指導(dǎo)和要求����。我們應(yīng)以《基本要求》為標(biāo)準(zhǔn)���,結(jié)合目前貴州廣電網(wǎng)絡(luò)安全管理體系的現(xiàn)狀,對(duì)廣電系統(tǒng)的管理機(jī)構(gòu)���、管理制度��、人員管理�����、技術(shù)手段四個(gè)方面進(jìn)行建設(shè)和加強(qiáng)��。同時(shí)�,由于信息安全是一個(gè)動(dòng)態(tài)的系統(tǒng)工程�����,所以���,貴州廣電網(wǎng)絡(luò)還必須對(duì)信息安全管理措施不斷的加以校驗(yàn)和調(diào)整�����,以使管理體系始終適應(yīng)和滿足實(shí)際情況的需要�,使貴州廣電網(wǎng)絡(luò)的信息資產(chǎn)得到有效、經(jīng)濟(jì)����、合理的保護(hù)。
貴州廣電網(wǎng)絡(luò)的安全管理體系主要包括安全管理機(jī)構(gòu)�����、安全管理制度����、安全標(biāo)準(zhǔn)規(guī)范和安全教育培訓(xùn)等方面。
通過組建完整的信息網(wǎng)絡(luò)安全管理機(jī)構(gòu)���,設(shè)置安全管理人員���,規(guī)劃安全策略、確定安全管理機(jī)制���、明確安全管理原則和完善安全管理措施���,制定嚴(yán)格的安全管理制度,合理地協(xié)調(diào)法律����、技術(shù)和管理三種因素,實(shí)現(xiàn)對(duì)系統(tǒng)安全管理的科學(xué)化���、系統(tǒng)化���、法制化和規(guī)范化,達(dá)到保障貴州廣電網(wǎng)絡(luò)信息系統(tǒng)安全的目的��。
3.5曰常安全運(yùn)維3.5.1安全風(fēng)險(xiǎn)評(píng)估
安全風(fēng)險(xiǎn)評(píng)估是建立主動(dòng)防御安全體系的重要和關(guān)鍵環(huán)節(jié)��,這環(huán)的工作做好了可以減少大量的安全威脅���,提升整個(gè)信息系統(tǒng)的對(duì)網(wǎng)絡(luò)災(zāi)難的免疫能力;風(fēng)險(xiǎn)評(píng)估是信息安全管理體系建立的基礎(chǔ)����,是組織平衡安全風(fēng)險(xiǎn)和安全投入的依據(jù)����,也是信息安全管理體系測量業(yè)績、發(fā)現(xiàn)改進(jìn)機(jī)會(huì)的最重要途徑。
3.5.2網(wǎng)絡(luò)管理與安全管理
網(wǎng)絡(luò)管理與安全管理的主要措施包括:出入控制�����、場地與設(shè)施安全管理���、網(wǎng)絡(luò)運(yùn)行狀態(tài)監(jiān)控�、安全設(shè)備監(jiān)控�、安全事件監(jiān)控與分析、提出預(yù)防措施��。
3.5.3備份與容災(zāi)管理
貴州廣電網(wǎng)絡(luò)主要關(guān)鍵業(yè)務(wù)系統(tǒng)需要雙機(jī)本地?zé)醾?��、?shù)據(jù)離線備份措施;其他相關(guān)業(yè)務(wù)應(yīng)用系統(tǒng)需要數(shù)據(jù)離線備份措施�。
3.5.4應(yīng)急響應(yīng)計(jì)劃
通過建立應(yīng)急相應(yīng)機(jī)構(gòu)����,制定應(yīng)急響應(yīng)預(yù)案,通過建立專家資源庫�����、廠商資源庫等人力資源措施�����,通過對(duì)應(yīng)急響應(yīng)有線網(wǎng)絡(luò)ICATV預(yù)案不低于一年兩次的演練,可以在發(fā)生緊急事件時(shí)�,做到規(guī)范化操作,更快的恢復(fù)應(yīng)用和數(shù)據(jù)�����,并最大可能的減少損失
3.6安全人員管理
信息系統(tǒng)的運(yùn)行是依靠在各級(jí)黨政機(jī)構(gòu)工作的人員來具體實(shí)施的��,他們既是信息系統(tǒng)安全的主體����,也是系統(tǒng)安全管理的對(duì)象�。所以,要確保信息系統(tǒng)的安全�,首先應(yīng)加強(qiáng)人事安全管理。
安全人員應(yīng)包括:系統(tǒng)安全管理員�、系統(tǒng)管理員、辦公自動(dòng)化操作人員��、安全設(shè)備操作員�、軟硬件維修人員和警衛(wèi)人員。
其中系統(tǒng)管理員�����、系統(tǒng)安全管理員必須由不同人員擔(dān)當(dāng)。3.7技術(shù)安全管理
主要措施包括:軟件管理��、設(shè)備管理����、備份管理以及技術(shù)文檔管理。
4安全規(guī)劃分期建設(shè)路線
信息安全保障重要的是過程����,而不一定是結(jié)果,重要的是安全意識(shí)的提高�,而不一定是安全措施的多少。因此�,信息安全建設(shè)也應(yīng)該從保障業(yè)務(wù)運(yùn)營為目標(biāo),提高用戶自身的安全意識(shí)為思路�,根據(jù)業(yè)務(wù)應(yīng)用的模式與規(guī)模逐步、分階段建設(shè)�����,同時(shí)還要符合國家與廣電總局關(guān)于等級(jí)保護(hù)的技術(shù)與管理要求��。
4.1主要的工作內(nèi)容
根據(jù)安全保障方案規(guī)劃的設(shè)計(jì)���,貴州廣電網(wǎng)絡(luò)的信息安全建設(shè)分為如下幾個(gè)方面的內(nèi)容:
1.網(wǎng)絡(luò)優(yōu)化改造:主要是安全域的劃分�,網(wǎng)絡(luò)結(jié)構(gòu)的改造。
2.安全措施部署:邊界隔離措施部署�����,行為審計(jì)系統(tǒng)部署�、安全監(jiān)控體系部署。
3.基礎(chǔ)設(shè)施改造:主要是數(shù)據(jù)大集中�、服務(wù)器虛擬化�、存儲(chǔ)虛擬化。
4.安全運(yùn)維管理:信息安全管理規(guī)范��、日常安全運(yùn)維考核��、安全檢查與審計(jì)流程�、安全應(yīng)急演練、曰常安全服務(wù)等��。
4.2分期建設(shè)規(guī)劃
4_2.1達(dá)標(biāo)階段(2015-2017)
1.等保建設(shè)
2.信任體系:網(wǎng)絡(luò)審計(jì)����、運(yùn)維審計(jì)、日志審計(jì)
3.身份鑒別(一次口令)
4.監(jiān)控平臺(tái):入侵檢測�����、流量監(jiān)測、木馬監(jiān)測
5.安全管理平臺(tái)建設(shè)
6.等保測評(píng)通過(2級(jí)3級(jí)系統(tǒng))
7.安全服務(wù):建立定期模式
8.滲透性測試服務(wù)(外部+內(nèi)部)
9.安全加固服務(wù)�����,建立服務(wù)器安全底線
10.信息安全管理
11.落實(shí)安全管理細(xì)則文件制定
12.落實(shí)安全運(yùn)維與應(yīng)急處理流程
13.完善IT服務(wù)流程���,建設(shè)安全運(yùn)維管理平臺(tái)
14.定期安全演練與培訓(xùn)
4.2.2持續(xù)改進(jìn)階段(2018?2019)
1.等保建設(shè)
2.完善信息安全防護(hù)體系
3.提升整體防護(hù)能力
4.深度安全服務(wù)
5.有針對(duì)性安全演練���,協(xié)調(diào)改進(jìn)管理與技術(shù)措施
6.源代碼安全審計(jì)服務(wù)(新上線業(yè)務(wù))
7.信息安全管理
8.持續(xù)改進(jìn)運(yùn)維與應(yīng)急流程與制度,提高應(yīng)急反應(yīng)能力
9.提高運(yùn)維效率�����,開拓運(yùn)維增值模式
篇8
2創(chuàng)新點(diǎn)
為順應(yīng)移動(dòng)互聯(lián)網(wǎng)時(shí)代����,運(yùn)營商從基礎(chǔ)通信運(yùn)營向流量運(yùn)營轉(zhuǎn)型的新趨勢(shì),湖北移動(dòng)確定了“業(yè)務(wù)轉(zhuǎn)型�,安全先行”的發(fā)展思路,堅(jiān)持“以安全保發(fā)展��、以發(fā)展促安全”��。在已有的網(wǎng)絡(luò)與信息安全管理辦法的基礎(chǔ)上,積極開展適應(yīng)移動(dòng)互聯(lián)網(wǎng)時(shí)代安全管理體系建設(shè)�����,不斷推進(jìn)科學(xué)的安全管理方法����,做到六“注重”六“突出”,即:(1)注重整體規(guī)劃�����,突出體系建設(shè)����,促進(jìn)職責(zé)高效履行�����。制定下發(fā)安全標(biāo)準(zhǔn)化管理與評(píng)價(jià)體系建設(shè)計(jì)劃��,內(nèi)容涵蓋安全工作方針目標(biāo)�����、安全目標(biāo)、各方職責(zé)�����、安全管理體系和模式�����、安全設(shè)施和機(jī)房環(huán)境保護(hù)設(shè)施標(biāo)準(zhǔn)�、安全文明操作保證金、安全考核與獎(jiǎng)懲�、過程的主要控制措施、應(yīng)急準(zhǔn)備和響應(yīng)等方面�����。嚴(yán)格按計(jì)劃有序開展體系建設(shè)工作����;嚴(yán)格按體系文件要求開展業(yè)務(wù)或系統(tǒng)試運(yùn)行工作;加強(qiáng)保證與監(jiān)督體系的建設(shè)���。(2)注重文化建設(shè)��,突出信息安全特色����,促進(jìn)習(xí)慣養(yǎng)成。以人為本����,加強(qiáng)企業(yè)安全文化建設(shè),促使安全文化落地���,提高員工安全與風(fēng)險(xiǎn)防范意識(shí)����。(3)注重教育培訓(xùn)��,突出行業(yè)特色�,達(dá)到安全管理效果。通過多種渠道��、形式多樣的安全教育和培訓(xùn)方式����,組織各單位安全管理人員開展安全教育和培訓(xùn)工作:一是安排專家和行業(yè)資深人士進(jìn)行專題講座���;二是在專題培訓(xùn)的基礎(chǔ)上�,做好網(wǎng)絡(luò)與信息安全專項(xiàng)工作如何開展的培訓(xùn)。(4)注重設(shè)備管理�,突出針對(duì)特色,實(shí)現(xiàn)安全管理精細(xì)化��。首先��,網(wǎng)絡(luò)設(shè)備較多�����,加強(qiáng)網(wǎng)絡(luò)安全管理提高設(shè)備安全可靠性是首要任務(wù)�����,為此各維護(hù)單位對(duì)每臺(tái)設(shè)備均建立了安全技術(shù)臺(tái)帳����,臺(tái)帳包括運(yùn)行記錄、檢查保養(yǎng)記錄和定期檢驗(yàn)記錄�。其次,組織精干力量先后兩次對(duì)所有設(shè)備�����、流程、機(jī)房進(jìn)行全面的安全評(píng)估工作���。第三���,使隱患排查整改形成機(jī)制。(5)注重安全投入��,突出專用特色���,合理使用安全生產(chǎn)費(fèi)用�����。認(rèn)真落實(shí)安全管理費(fèi)用投入長效機(jī)制�,加大安全費(fèi)用的管理���,做到?��?顚S茫_保安全生產(chǎn)費(fèi)用規(guī)范化�、合理化和足額投入����。并加強(qiáng)安全生產(chǎn)保證金的管理���,建立安全生產(chǎn)保證金并實(shí)行年底考核的機(jī)制,有效促進(jìn)了安全管理工作�����。(6)注重應(yīng)急預(yù)案����,突出超前特色,安全管理贏在主動(dòng)�����。在安全管理中���,把預(yù)防工作落到實(shí)處���,建立健全了應(yīng)急處置機(jī)構(gòu),將應(yīng)急處置工作進(jìn)一步制度化�,規(guī)范化,形成了完整的安全事故預(yù)防體系�。同時(shí),開展形式多樣、符合實(shí)際的應(yīng)急演練��。
篇9
0引言
互聯(lián)網(wǎng)時(shí)代的到來���,信息技術(shù)與網(wǎng)絡(luò)技術(shù)已然成為人們生產(chǎn)生活的重要技術(shù)支撐��,在民航領(lǐng)域中�����,信息化建設(shè)的進(jìn)程也得以高效發(fā)展����。與此同時(shí)����,民航企業(yè)信息系統(tǒng)的安全隱患及安全防護(hù)問題也逐漸暴露,成為信息化建設(shè)過程中亟須應(yīng)對(duì)與解決的問題�。
1網(wǎng)絡(luò)信息安全制度的建設(shè)
1.1建設(shè)網(wǎng)絡(luò)信息安全制度
據(jù)調(diào)查,民航信息系統(tǒng)安全事件的發(fā)生���,問題的主要成因在于未充分明確相關(guān)責(zé)任以確保網(wǎng)絡(luò)信息安全管理工作的全面落實(shí)��?����;诖?����,民航企業(yè)需要充分結(jié)合自身的是情況�����,對(duì)網(wǎng)絡(luò)信息安全管理責(zé)任制的健全及完善��,充分明確人員相關(guān)責(zé)任���,促進(jìn)民航信息化建設(shè)水平的提升,促進(jìn)民航的健康發(fā)展��。民航企業(yè)應(yīng)當(dāng)搭建內(nèi)部網(wǎng)絡(luò)信息安全規(guī)范體系���,以之為基礎(chǔ)開展企業(yè)網(wǎng)絡(luò)信息安全管理及部署工作����,確保民航信息安全水平的有效提升��。民航企業(yè)應(yīng)當(dāng)時(shí)刻緊隨時(shí)展步伐,對(duì)網(wǎng)絡(luò)信息安全保障體系加以完善�,建立網(wǎng)絡(luò)信息安全防范體系,采取合理的等級(jí)保護(hù)與分級(jí)保護(hù)措施�,維護(hù)網(wǎng)絡(luò)信息安全。民航企業(yè)應(yīng)當(dāng)將網(wǎng)絡(luò)信息安全作為信息化建設(shè)的發(fā)展方向��,積極配合并響應(yīng)國防部����、網(wǎng)絡(luò)安全部門、公安機(jī)關(guān)等行政機(jī)關(guān)部門的規(guī)定與要求���,實(shí)時(shí)更新并優(yōu)化安全防護(hù)措施����,實(shí)現(xiàn)網(wǎng)絡(luò)安全整體覆蓋范圍的擴(kuò)大��。
1.2細(xì)分網(wǎng)絡(luò)安全保障體系
對(duì)于民航企業(yè)而言�,其信息網(wǎng)絡(luò)安全保障體系的建設(shè),主要包括三個(gè)方面�,即信息網(wǎng)絡(luò)安全技術(shù)體系、信息網(wǎng)絡(luò)安全管理體系及信息網(wǎng)絡(luò)安全運(yùn)行維護(hù)體系�。這三個(gè)安全防護(hù)體系是相互依存與相互促進(jìn)的。信息網(wǎng)絡(luò)安全管理體系的搭建��,應(yīng)當(dāng)作為信息安全技術(shù)體系保障的重要方向,技術(shù)體系也是保障信息網(wǎng)絡(luò)安全的技術(shù)設(shè)施與基礎(chǔ)服務(wù)的重要支持�。信息網(wǎng)絡(luò)安全管理體系的建設(shè)也要求網(wǎng)絡(luò)信息安全技術(shù)應(yīng)用水平不斷提升。民航企業(yè)的網(wǎng)絡(luò)信息安全體系的建設(shè)�����,可以充分參考美國國家安全局所提出的IATF框架的網(wǎng)絡(luò)安全縱深戰(zhàn)略防御理念�����、美國ISS公司所提出的P2DR動(dòng)態(tài)網(wǎng)絡(luò)安全模型等相應(yīng)信息網(wǎng)絡(luò)安全防護(hù)體系��,搭建“打擊�、預(yù)防���、管理��、控制”于一體的網(wǎng)絡(luò)通信安全綜合防護(hù)體系理念����,是當(dāng)前國際上最為先進(jìn)�����、最為有效的安全保障框架體系,對(duì)重要體系采取有效的安全防護(hù)措施����,搭建民航企業(yè)的信息安全防護(hù)與控制中心,實(shí)現(xiàn)對(duì)于信息網(wǎng)絡(luò)體系的安全監(jiān)控��、安全終端�、安全平臺(tái)、主機(jī)安全��、數(shù)據(jù)安全���、應(yīng)用安全相互結(jié)合�����、相互統(tǒng)一的信息安全平臺(tái)建設(shè)���,信息安全防護(hù)應(yīng)當(dāng)涵蓋物理層面、終端層面�、網(wǎng)絡(luò)層面、主機(jī)層面�、數(shù)據(jù)層面及應(yīng)用層面,保證安全防護(hù)的全面性及全方位性[1]���。
1.3發(fā)展民航網(wǎng)絡(luò)信息安全產(chǎn)業(yè)
隨著時(shí)代的發(fā)展���,民航企業(yè)開始更多地強(qiáng)調(diào)民航網(wǎng)絡(luò)信息安全事業(yè)的發(fā)展��。在開展民航企業(yè)網(wǎng)絡(luò)信息安全產(chǎn)業(yè)建設(shè)時(shí)��,應(yīng)及時(shí)跟蹤和了解國際網(wǎng)絡(luò)信息安全產(chǎn)業(yè)發(fā)展動(dòng)向���,了解信息安全防護(hù)技術(shù)水平的提升渠道�����,積極謀求與其他發(fā)達(dá)國家之間的技術(shù)合作����,大力引進(jìn)先進(jìn)的管理技術(shù)與管理手段,大力培養(yǎng)并教育網(wǎng)絡(luò)信息安全技術(shù)人才����。民航企業(yè)要大力引進(jìn)技術(shù)水平與管理理念較為先進(jìn)的人才,并對(duì)所引進(jìn)的人才采用科學(xué)合理的技術(shù)培訓(xùn)與安全教育措施�����,不斷增強(qiáng)相關(guān)人員對(duì)于網(wǎng)絡(luò)信息安全防護(hù)的意識(shí)與理解能力,安全理念先進(jìn)����、技術(shù)水平高超、應(yīng)急處置及時(shí)的網(wǎng)絡(luò)信息安全管理人才隊(duì)伍�。民航企業(yè)要搭建科學(xué)完善的網(wǎng)絡(luò)信息安全管理體系,充分保證信息網(wǎng)絡(luò)安全組織���、網(wǎng)絡(luò)信息安全流程��、網(wǎng)絡(luò)信息安全制度相互結(jié)合�����,搭建科學(xué)合理的安全管理體系����。
2民航信息安全保障體系的建設(shè)
2.1國家信息系統(tǒng)安全等級(jí)保護(hù)
以ISO27001信息安全管理要求為基礎(chǔ)����,結(jié)合國家信息系統(tǒng)安全等級(jí)防護(hù)管理方面,對(duì)信息系統(tǒng)安全防護(hù)安全管理基本要求加以明確�,開展民航企業(yè)網(wǎng)絡(luò)安全防護(hù)及管理體系的建設(shè)工作。網(wǎng)絡(luò)信息安全管理體系的設(shè)計(jì),應(yīng)當(dāng)涵蓋安全組織架構(gòu)����、安全管理人員、安全防護(hù)制度及安全管理流程等多個(gè)方面���,結(jié)合自身實(shí)際需求�����,設(shè)計(jì)科學(xué)合理的網(wǎng)絡(luò)信息安全管理體系等�����。對(duì)于網(wǎng)絡(luò)系統(tǒng)安全組織架構(gòu)的建設(shè)與完善�,組建涵蓋安全管理��、安全決策�、安全監(jiān)督及安全執(zhí)行等層次的管理架構(gòu)�����,設(shè)置相應(yīng)職責(zé)崗位��,對(duì)安全管理責(zé)任進(jìn)行分解與落實(shí),做好人員錄用�、人員調(diào)動(dòng)、人員考核及人員培訓(xùn)等相關(guān)方面的人員管理工作�。民航企業(yè)在制定安全管理制度時(shí),應(yīng)建立網(wǎng)絡(luò)信息安全目標(biāo)���、安全策略��、安全管理制度及安全防護(hù)技術(shù)規(guī)范等多個(gè)層次����,搭建安全管理制度體系���。在建立安全管理流程方面�����,通過建立科學(xué)合理的組織內(nèi)部安全監(jiān)督檢查與優(yōu)化體系�,保證網(wǎng)絡(luò)信息安全管理工作的順利開展�����。將內(nèi)部人員與第三方訪問人員��、系統(tǒng)建設(shè)、系統(tǒng)運(yùn)維��、物理環(huán)境的日常管理規(guī)范化���,將日常的變更管理����、問題管理���、事件管理��、配置管理�����、管理等電子化���、流程化與標(biāo)準(zhǔn)化[2]����。
2.2合理運(yùn)用先進(jìn)安全防護(hù)技術(shù)
2.2.1入侵檢測技術(shù)
目前,對(duì)信息安全防護(hù)技術(shù)手段研發(fā)與應(yīng)用也愈發(fā)普遍�����,其中入侵檢測技術(shù)的應(yīng)用可以取得較好的技術(shù)效果。入侵檢測技術(shù)的應(yīng)用主要是通過對(duì)網(wǎng)絡(luò)行為��、網(wǎng)絡(luò)安全日志�����、網(wǎng)絡(luò)安全審計(jì)信息等技術(shù)手段��,有效檢測網(wǎng)絡(luò)系統(tǒng)非法入侵行為��,判斷網(wǎng)絡(luò)入侵企圖����,通過網(wǎng)絡(luò)入侵檢測以實(shí)現(xiàn)網(wǎng)絡(luò)安全的實(shí)時(shí)監(jiān)控,有效避免網(wǎng)絡(luò)非法攻擊的可能�。通過應(yīng)用入侵檢測技術(shù),民航企業(yè)可以構(gòu)建入侵檢測系統(tǒng)��,能夠?qū)ο到y(tǒng)內(nèi)部��、外部的非授權(quán)行為進(jìn)行同步檢測���,及時(shí)發(fā)現(xiàn)和處理網(wǎng)絡(luò)信息系統(tǒng)中的未授權(quán)和異?��,F(xiàn)象����,盡可能減少網(wǎng)絡(luò)入侵所造成的損耗與安全威脅���。為此��,可采取NetEye入侵檢測系統(tǒng)��,該系統(tǒng)通過深度分析技術(shù)���,實(shí)現(xiàn)對(duì)于網(wǎng)絡(luò)環(huán)境的全過程監(jiān)控,及時(shí)了解�����、分析并明確網(wǎng)絡(luò)內(nèi)部安全隱患及外部入侵風(fēng)險(xiǎn)�,作出安全示警,及時(shí)響應(yīng)并采取有效的安全防范技術(shù)����,實(shí)現(xiàn)網(wǎng)絡(luò)安全防護(hù)層次進(jìn)行有效延伸���。同時(shí)�����,該入侵檢測系統(tǒng)具備較為強(qiáng)悍的網(wǎng)絡(luò)信息審計(jì)功能����,就可以實(shí)時(shí)監(jiān)控、記錄�、審計(jì)并就重演網(wǎng)絡(luò)安全運(yùn)行及使用情況,用戶能夠更好地了解網(wǎng)絡(luò)運(yùn)行情況�。
2.2.2文件加密技術(shù)
篇10
2007年12月28日,中國光大銀行信用卡中心在京召開新聞會(huì)�,宣布正式通過ISO27001信息安全管理體系國際認(rèn)證,成為國內(nèi)首家通過該項(xiàng)認(rèn)證的信用卡中心�。這是中國光大銀行信用卡中心繼2006年6月通過CCCS五星級(jí)級(jí)客戶服務(wù)認(rèn)證和2006年9月通過ISO9001質(zhì)量管理體系認(rèn)證之后取得的又一成就,標(biāo)志著該行信用卡業(yè)務(wù)在保障客戶信息安全�����、強(qiáng)化內(nèi)部管理方面已居于國內(nèi)領(lǐng)先水平����。
在日漸激烈的信用卡競爭環(huán)境中,中國光大銀行信用卡業(yè)務(wù)以“制度化�、規(guī)范化��、標(biāo)準(zhǔn)化��、專業(yè)化”為方向�,摒棄片面追求規(guī)模的定式���,致力于產(chǎn)品創(chuàng)新����、服務(wù)提升與品牌建設(shè)�,建立了獨(dú)具特色的信用卡經(jīng)營和發(fā)展模式,取得了令人矚目的成就���。為進(jìn)一步提高服務(wù)質(zhì)量����,保障信息安全�,該行信用卡中心于2007年3月正式啟動(dòng)ISO27001信息安全管理體系認(rèn)證項(xiàng)目,并提出“關(guān)注客戶�、信息安全”的信息安全方針。以此為契機(jī)���,中國光大銀行信用卡中心在保障客戶信息安全�����、降低外包業(yè)務(wù)風(fēng)險(xiǎn)���、保障業(yè)務(wù)的持續(xù)性等方面進(jìn)行了全面提升與改進(jìn)。
一是在保障客戶信息安全�����、防止客戶信息泄密方面���,中國光大銀行根據(jù)自身業(yè)務(wù)實(shí)際���,通過開展信息資產(chǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估�����、體系文件編寫���、體系試運(yùn)行��、內(nèi)外審等主要工作�,在信用卡中心建立起了信息安全管理體系,從而形成一套策略規(guī)程和控制措施�,將信息安全的控制措施貫穿于業(yè)務(wù)的各個(gè)環(huán)節(jié),使信息安全保障工作成為日常工作的組成部分�����,在日常工作中關(guān)注客戶��,保障信息安全�����。二是降低外包業(yè)務(wù)風(fēng)險(xiǎn)方面�,光大銀行針對(duì)信用卡行業(yè)外包業(yè)務(wù)多的現(xiàn)實(shí),通過規(guī)范數(shù)據(jù)交互����、調(diào)聽錄音、查看系統(tǒng)日志�����、現(xiàn)場檢查��、第三方檢查等手段,并督促外包公司建章建制���、規(guī)范管理等一系列措施�,有效降低了外包業(yè)務(wù)的風(fēng)險(xiǎn)�。三是業(yè)務(wù)持續(xù)性方面,光大銀行針對(duì)影響業(yè)務(wù)持續(xù)性的主要因素進(jìn)行了風(fēng)險(xiǎn)評(píng)估�,根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果����,制訂了業(yè)務(wù)持續(xù)性管理計(jì)劃,并進(jìn)行了業(yè)務(wù)持續(xù)性演練�,為業(yè)務(wù)的持續(xù)發(fā)展提供了保障。
ISO27001:2005是標(biāo)志信息安全的最主要國際化標(biāo)準(zhǔn)之一�,是基于最佳實(shí)踐的總結(jié),至今已被全球數(shù)百家世界級(jí)組織采用����,中國光大銀行率先將其引入信用卡領(lǐng)域,為保障客戶信息安全尋求到一條積極高效的道路��,為自身業(yè)務(wù)高速穩(wěn)健的發(fā)展奠定了堅(jiān)實(shí)的基礎(chǔ)����。
篇11
摘要:通過對(duì)大中型跨國企業(yè)海外信息安全體系的研究,形成了一個(gè)完整的海外信息安全體系框架,包括安全策略�����、安全技術(shù)體系�����、安全管理體系���、運(yùn)行保障體系和建設(shè)實(shí)施規(guī)劃等�。依照該框架���,企業(yè)可以針對(duì)各部分進(jìn)行具體實(shí)施��,從而完成整個(gè)的海外信息安全建設(shè)���。
關(guān)鍵詞 :大中型企業(yè);信息安全體系�;框架;理論指導(dǎo)���;安全模型
1海外信息安全體系建設(shè)原則
大中型企業(yè)海外信息安全體系的建設(shè)���,涉及面廣���、工作量大,整體設(shè)計(jì)必須堅(jiān)持以下的原則���,以保證建設(shè)和運(yùn)營的效果��。
1.1統(tǒng)一規(guī)劃管理
要對(duì)信息安全體系建設(shè)進(jìn)行統(tǒng)一的規(guī)劃��,制定信息安全體系框架���,明確保障體系中所包含的內(nèi)容���。同時(shí)�,還要制定統(tǒng)一的信息安全建設(shè)標(biāo)準(zhǔn)和管理規(guī)范��,使得信息安全體系建設(shè)遵循一致的標(biāo)準(zhǔn)��、管理遵循一致的規(guī)范����。
1.2分步有序?qū)嵤?/p>
信息安全體系建設(shè)的內(nèi)容龐雜�����,必須堅(jiān)持分步有序的實(shí)施原則��,循序漸進(jìn)��。
1.3技術(shù)管理并重
僅有全面的安全技術(shù)和機(jī)制是遠(yuǎn)遠(yuǎn)不夠的�����,安全管理也具有同樣的重要性�。信息安全體系的建設(shè)�����,必須遵循安全技術(shù)和安全管理并重的原則�����,制定統(tǒng)一的安全建設(shè)管理規(guī)范����,指導(dǎo)安全管理工作。
1.4突出安全保障
信息安全體系建設(shè)要突出安全保障的重要性���,通過數(shù)據(jù)備份�����、冗余設(shè)計(jì)���、應(yīng)急響應(yīng)���、安全審計(jì)、災(zāi)難恢復(fù)等安全保障機(jī)制�,保障業(yè)務(wù)的持續(xù)性和數(shù)據(jù)的安全性。
2海外信息安全體系建設(shè)目標(biāo)
大型跨國企業(yè)海外信息安全的建設(shè)目標(biāo)是:基于安全基礎(chǔ)設(shè)施����、以安全策略為指導(dǎo),提供全面的安全服務(wù)內(nèi)容��,覆蓋從物理��、網(wǎng)絡(luò)���、系統(tǒng)直至數(shù)據(jù)和應(yīng)用平臺(tái)各個(gè)層面,以及保護(hù)�、檢測���、響應(yīng)、恢復(fù)等各個(gè)環(huán)節(jié)���,構(gòu)建全面����、完整�、高效的信息安全體系,從而提高企業(yè)信息系統(tǒng)的整體安全等級(jí)�����,為企業(yè)海外業(yè)務(wù)發(fā)展提供堅(jiān)實(shí)的信息安全保障���。
3海外信息安全體系框架
企業(yè)進(jìn)行信息安全建設(shè)的目標(biāo)是建立起一個(gè)全面��、有效的信息安全體系�����,包括了安全技術(shù)�����、安全管理�����、人員組織��、教育培訓(xùn)����、資金投入等關(guān)鍵因素,信息安全建設(shè)的內(nèi)容多�����,規(guī)模大����,必須進(jìn)行全面的統(tǒng)籌規(guī)劃,明確信息安全建設(shè)的工作內(nèi)容���、技術(shù)標(biāo)準(zhǔn)、組織機(jī)構(gòu)�����、管理規(guī)范、人員崗位配備�����、實(shí)施步驟�、資金投入,才能夠保證信息安全建設(shè)有序可控地進(jìn)行�,使信息安全體系發(fā)揮最優(yōu)的保障效果。
同時(shí)還應(yīng)該制定一系列的安全管理規(guī)范��,指導(dǎo)信息安全建設(shè)和運(yùn)營工作��,使得信息安全建設(shè)能夠依據(jù)統(tǒng)一的標(biāo)準(zhǔn)開展�,信息安全體系的運(yùn)營和維護(hù)能夠遵循統(tǒng)一的規(guī)范進(jìn)行。
3.1安全目標(biāo)模型
根據(jù)大型跨國企業(yè)海外信息安全體系建設(shè)目標(biāo)和總體安全策略�,建立與之對(duì)應(yīng)的目標(biāo)模型,稱為WP2DRR安全模型��。該模型由預(yù)警( Warning)���、策略(Policy)�、保護(hù)(Protectlon)�、檢測(Detection)、響應(yīng)(Response)、恢復(fù)(Recovery)6個(gè)要素環(huán)節(jié)構(gòu)成了一個(gè)基于時(shí)間的��、完整的�����、動(dòng)態(tài)的信息安全體系�����。WP2DRR模型在P2DR模型的基礎(chǔ)上新增加了預(yù)警Warnlng和恢復(fù)Recover���,增強(qiáng)了安全保障體系的事前預(yù)防和事后恢復(fù)能力�,系統(tǒng)一旦發(fā)生安全事故���,也能恢復(fù)系統(tǒng)功能和數(shù)據(jù)���,恢復(fù)系統(tǒng)的正常運(yùn)行。
安全目標(biāo)模型是信息安全體系框架的基礎(chǔ)�,大型跨國企業(yè)的海外信息安全體系框架應(yīng)該緊密圍繞安全模型的6個(gè)要素環(huán)節(jié)進(jìn)行設(shè)計(jì),每個(gè)要素環(huán)節(jié)的功能都在安全技術(shù)體系����、安全組織和管理體系以及運(yùn)行保障體系中體現(xiàn)出來�。
3.2信息安全體系框架組成
通過對(duì)企業(yè)的網(wǎng)絡(luò)和應(yīng)用現(xiàn)狀�����、安全現(xiàn)狀�、面臨的安全風(fēng)險(xiǎn)的分析�,根據(jù)安全保障目標(biāo)模型,制定了大型跨國企業(yè)海外信息安全體系框架���。制定該框架的目的在于從宏觀上指導(dǎo)和管理信息安全體系的建設(shè)和運(yùn)營�����。
該框架由一組相互關(guān)聯(lián)���、相互作用、相互彌補(bǔ)�����、相互推動(dòng)����、相互依賴、不可分割的信息安全保障要素組成。此框架中�,以安全策略為指導(dǎo),融會(huì)了安全技術(shù)���、安全管理和運(yùn)行保障3個(gè)層次的安全體系���,以達(dá)到系統(tǒng)可用性、可控性�、抗攻擊性、完整性�、保密性的安全目標(biāo)。大型跨國企業(yè)海外信息安全體系框架的總體結(jié)構(gòu)如圖1所示�。
3.2.1安全策略
在這個(gè)框架中,安全策略是指導(dǎo)����,與安全技術(shù)體系、安全組織和管理體系以及運(yùn)行保障體系這3大體系相互作用����。一方面,3大體系是在安全策略的指導(dǎo)下構(gòu)建的�����,主要是要將安全策略中制定的各個(gè)要素轉(zhuǎn)化成為可行的技術(shù)實(shí)現(xiàn)方法和管理、運(yùn)行保障手段���,全面實(shí)現(xiàn)安全策略中所制定的目標(biāo)�。另一方面���,安全策略本身也有包括草案設(shè)計(jì)、評(píng)審���、實(shí)施����、培訓(xùn)���、部署�、監(jiān)控���、強(qiáng)化�����、重新評(píng)佶����、修訂等步驟在內(nèi)的生命周期,需要采用一些技術(shù)方法和管理手段進(jìn)行管理�,保證安全策略的及時(shí)性和有效性。
按照要保障的資產(chǎn)對(duì)象的不同���,總體策略劃分為物理安全����、網(wǎng)絡(luò)安全�����、系統(tǒng)安全�、病毒防治、身份認(rèn)證�、應(yīng)用授權(quán)和訪問控制、數(shù)據(jù)加密����、數(shù)據(jù)備份和災(zāi)難恢復(fù)、應(yīng)急響應(yīng)�����、教育培訓(xùn)等若干方面進(jìn)行闡述。
隨著技術(shù)的發(fā)展以及系統(tǒng)的升級(jí)��、調(diào)整����,安全策略也應(yīng)該進(jìn)行重新評(píng)估和制定,隨時(shí)保持策略與安全目標(biāo)的一致性���。
3.2.2安全技術(shù)體系
安全技術(shù)體系是整個(gè)信息安全體系框架的基礎(chǔ),包括了安全基礎(chǔ)設(shè)施平臺(tái)����、安全應(yīng)用系統(tǒng)平臺(tái)和安全綜合管理平臺(tái)這3個(gè)部分,以統(tǒng)一的信息安全基礎(chǔ)設(shè)施平臺(tái)為支撐�,以統(tǒng)一的安全系統(tǒng)應(yīng)用平臺(tái)為輔助,在統(tǒng)一的綜合安全管理平臺(tái)管理下的技術(shù)保障體系框架�����。
安全基礎(chǔ)設(shè)施平臺(tái)是以安全策略為指導(dǎo)�,立足于現(xiàn)有的成熟安全技術(shù)和安全機(jī)制,從物理和通信安全防護(hù)���、網(wǎng)絡(luò)安全防護(hù)�、主機(jī)系統(tǒng)安全防護(hù)、應(yīng)用安全防護(hù)等多個(gè)層次出發(fā)���,建立起的一個(gè)各個(gè)部分相互協(xié)同的完整的安全技術(shù)防護(hù)體系���。
應(yīng)用信息系統(tǒng)通過使用安全基礎(chǔ)設(shè)施平臺(tái)所提供的各類安全服務(wù),提升自身的安全等級(jí)����,以更加安全的方式,提供業(yè)務(wù)服務(wù)和內(nèi)部信息管理服務(wù)�����。安全綜合管理平臺(tái)的管理范圍盡可能地涵蓋安全技術(shù)體系中涉及的各種安全機(jī)制與安全設(shè)備��,對(duì)這些安全機(jī)制和安全設(shè)備進(jìn)行統(tǒng)一的管理和控制���,負(fù)責(zé)管理和維護(hù)安全策略���,配置管理相應(yīng)的安全機(jī)制,確保這些安全技術(shù)與設(shè)施能夠按照設(shè)計(jì)的要求協(xié)同運(yùn)作�,可靠運(yùn)行。它在傳統(tǒng)的信息系統(tǒng)應(yīng)用體系與備類安全技術(shù)�����、安全產(chǎn)品、安全防御措施等安全手段之間搭起橋梁�����,使得各類安全手段能與現(xiàn)有的信息系統(tǒng)應(yīng)用體系緊密的結(jié)合實(shí)現(xiàn)無縫連接�����,促成信息系統(tǒng)安全與信息系統(tǒng)應(yīng)用的真正的一體化�����,使得傳統(tǒng)的信息系統(tǒng)應(yīng)用體系逐步過渡向安全的信息系統(tǒng)應(yīng)用體系�����。
統(tǒng)一的安全管理平臺(tái)有助于各種安全管理技術(shù)手段的相互補(bǔ)充和有效發(fā)揮��,也便于從系統(tǒng)整體的角度來進(jìn)行安全的監(jiān)控和管理�����,從而提高安全管理工作的效率����,使人為的安全管理活動(dòng)參與量大幅下降。
3.2.3安全管理體系
安全組織和管理體系是安全技術(shù)體系真正有效發(fā)揮保護(hù)作用的重要保障�,安全管理體系的設(shè)計(jì)立足于總體安全策略,并與安全技術(shù)體系相互配合���,增強(qiáng)技術(shù)防護(hù)體系的效率和效果�����,同時(shí)也彌補(bǔ)當(dāng)前技術(shù)無法完全解決的安全缺陷�����。
技術(shù)和管理是相互結(jié)合的���。一方面,安全防護(hù)技術(shù)措施需要安全管理措施來加強(qiáng)���,另一方面技術(shù)也是對(duì)管理措施貫徹執(zhí)行的監(jiān)督手段��。在大型跨國企業(yè)海外信息安全體系框架中���,安全管理體系的設(shè)計(jì)充分參考和借鑒了國際信息安全管理標(biāo)準(zhǔn)《BS7799 (IS017799)》的建議�。
大型跨國企業(yè)海外信息安全管理體系由若干信息安全管理類組成���,每項(xiàng)信息安全管理類可分解為多個(gè)安全目標(biāo)和安全控制��。每個(gè)安全目標(biāo)都有若干安全控制與其相對(duì)應(yīng)�,這些安全控制是為了達(dá)成相應(yīng)安全目標(biāo)的管理工作和要求��。
3.2.4運(yùn)行保障體系
運(yùn)行與保障體系由安全技術(shù)和安全管理緊密結(jié)合的內(nèi)容所組成��,包括了系統(tǒng)可靠性設(shè)計(jì)�����、系統(tǒng)數(shù)據(jù)的備份計(jì)劃��、安全事件的應(yīng)急響應(yīng)計(jì)劃��、安全審計(jì)���、災(zāi)難恢復(fù)計(jì)劃等,運(yùn)行和保障體系對(duì)于企業(yè)網(wǎng)絡(luò)和信息系統(tǒng)的可持續(xù)性運(yùn)營提供了重要的保障手段�����。
3.2.5建設(shè)實(shí)施規(guī)劃
建設(shè)實(shí)施規(guī)劃是在安全管理體系、安全技術(shù)體系�、運(yùn)行保障體系設(shè)計(jì)的基礎(chǔ)上進(jìn)一步制定的建設(shè)步驟和實(shí)施方案。在建設(shè)實(shí)施規(guī)劃中突出體現(xiàn)了分步有序?qū)嵤┑脑瓌t���。
任何信息安全建設(shè)都需要人員負(fù)責(zé)管理和實(shí)施����,因此��,首先應(yīng)該建立信息安全工作監(jiān)管組織機(jī)構(gòu)���,明確各級(jí)管理機(jī)構(gòu)的人員配備�����,職能和責(zé)任����。其中信息安全管理機(jī)構(gòu)負(fù)責(zé)信息安全策略的審核與頒布����、統(tǒng)一技術(shù)標(biāo)準(zhǔn)和管理規(guī)范的制定��、指導(dǎo)和監(jiān)督信息安全建設(shè)工作��、對(duì)信息安全系統(tǒng)進(jìn)行監(jiān)控與審計(jì)管理����。
信息安全體系建設(shè)�,應(yīng)該首先從物理環(huán)境安全建設(shè)入手,確保機(jī)房建設(shè)按照的統(tǒng)一標(biāo)準(zhǔn)進(jìn)行建設(shè)�����,并且按照統(tǒng)一的管理規(guī)范進(jìn)行管理���。
在接下來的網(wǎng)絡(luò)安全建設(shè)中����,應(yīng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的安全域進(jìn)行劃分��,對(duì)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行調(diào)整���,以確保內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)邊界清晰�����;在各安全域的邊界處部署防火墻、網(wǎng)絡(luò)入侵檢測等安全產(chǎn)品���,形成立體的區(qū)域邊界保護(hù)機(jī)制����,對(duì)各安全域進(jìn)行邏輯安全隔離��,禁止未授權(quán)的網(wǎng)絡(luò)訪問����;在內(nèi)部網(wǎng)絡(luò)中部署網(wǎng)絡(luò)脆弱性分析工具,定期對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行檢查�����,并采取措施及時(shí)彌補(bǔ)新發(fā)現(xiàn)的安全漏洞��。
在進(jìn)行網(wǎng)絡(luò)安全建設(shè)的同時(shí)���,還可以進(jìn)行系統(tǒng)安全建設(shè)����,在內(nèi)部網(wǎng)絡(luò)中全面部署網(wǎng)絡(luò)病毒查殺系統(tǒng),有效抑制計(jì)算機(jī)病毒在內(nèi)部網(wǎng)絡(luò)中傳播����,避免對(duì)系統(tǒng)和數(shù)據(jù)造成損害。另外���,主機(jī)系統(tǒng)管理員還應(yīng)該按照主機(jī)系統(tǒng)管理規(guī)范的要求�,借助主機(jī)脆弱性分析和安全加固工具��,定期對(duì)主機(jī)系統(tǒng)進(jìn)行檢查���,更新安全漏洞補(bǔ)丁的級(jí)別���,修正不當(dāng)?shù)南到y(tǒng)和服務(wù)配置,查看和分析系統(tǒng)審計(jì)日志�����,控制和保證主機(jī)系統(tǒng)的良好安全狀態(tài)���。
應(yīng)用安全建設(shè)包括建立身份認(rèn)證系統(tǒng)�、應(yīng)用授權(quán)和訪問控制系統(tǒng)�����、數(shù)據(jù)安全傳輸系統(tǒng)等���,對(duì)專業(yè)業(yè)務(wù)應(yīng)用系統(tǒng)和內(nèi)部信息管理系統(tǒng)提供各種安全服務(wù)�����。
按照統(tǒng)一標(biāo)準(zhǔn)����,建立安全審計(jì)與分析系統(tǒng)����、系統(tǒng)和數(shù)據(jù)備份計(jì)劃、安全事件應(yīng)急響應(yīng)計(jì)劃���、災(zāi)難恢復(fù)計(jì)劃等安全保障機(jī)制����,重在保護(hù)業(yè)務(wù)數(shù)據(jù)等信息資產(chǎn)���,保證內(nèi)外應(yīng)用服務(wù)的持續(xù)可用性����。
對(duì)所有員工進(jìn)行基本安全教育,為信息安全系統(tǒng)相關(guān)技術(shù)人員提供專門的安全理論和安全技能培訓(xùn)�,提高全員的安全意識(shí),打造一支高素質(zhì)的專業(yè)技術(shù)和管理隊(duì)伍�����。
4結(jié)論
海外信息安全體系是一個(gè)全方位的體系��,從技術(shù)到管理�、從網(wǎng)絡(luò)到設(shè)備再到人。任何一個(gè)方面都要考慮周全����,只有每一個(gè)部分的安全才是整體的安全。
