序論:在您撰寫信息安全管理時����,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的7篇范文��,希望這些建議能夠激發(fā)您的創(chuàng)作熱情���,引導您走向新的創(chuàng)作高度���。
第1篇
【關(guān)鍵詞】 信息安全 違規(guī)外聯(lián) 電力企業(yè)
一、前言
國網(wǎng)公司現(xiàn)已建成覆蓋至基層生產(chǎn)班站及營業(yè)站所的信息內(nèi)網(wǎng)�����。隨著SG186工程的全面投入運行��,從職能部室到一線班組��,電力企業(yè)所有的業(yè)務(wù)數(shù)據(jù)都依賴網(wǎng)絡(luò)進行流轉(zhuǎn),電網(wǎng)企業(yè)生產(chǎn)和經(jīng)營對信息網(wǎng)絡(luò)和信息系統(tǒng)的依賴程度越來越高信息安全的重要性日益凸顯����。國網(wǎng)公司已將網(wǎng)絡(luò)與信息安全納入公司安全管理體系。
一直以來�����,信息安全防御理念常局限于常規(guī)的網(wǎng)關(guān)級別(防火墻等)�、網(wǎng)絡(luò)邊界(漏洞掃描�、安全審計)等方面的防御����,重要的安全設(shè)施大多集中于核心機房、網(wǎng)絡(luò)入口處�,在這些設(shè)備的嚴密監(jiān)控下,來自網(wǎng)絡(luò)外部的安全威脅已大大減少����,尤其實行內(nèi)外網(wǎng)隔離、雙網(wǎng)雙機后�����,來自于互聯(lián)網(wǎng)的威脅微乎其微���。而內(nèi)網(wǎng)辦公終端由于分布地點廣泛���,管控難度大,加之現(xiàn)在無線上網(wǎng)卡����、無線wifi和智能手機的興起,內(nèi)網(wǎng)計算機接入互聯(lián)網(wǎng)的事件時有發(fā)生��,一旦使用人員將內(nèi)網(wǎng)計算機通過以上方式接入互聯(lián)網(wǎng)�����,即造成違規(guī)外聯(lián)事件��。由于違規(guī)外聯(lián)開通了一條無任何保護措施進出內(nèi)外網(wǎng)的通道��,一旦遭遇黑客襲擊���,就可能造成信息泄露、重要數(shù)據(jù)丟失�����、病毒入侵、網(wǎng)絡(luò)癱瘓等信息安全事故��,給企業(yè)信息安全帶來重大的安全隱患和風險�。
二���、強化管理���、落實責任,監(jiān)培并進
1��、將違規(guī)外聯(lián)明確寫入公司各項規(guī)章制度����,并納入經(jīng)濟責任考核��。在《公司信息系統(tǒng)安全管理辦法》中����,對杜絕違規(guī)外聯(lián)事件進行了明確的要求:所有內(nèi)網(wǎng)計算機必須粘貼防止違規(guī)外聯(lián)提示卡�����,嚴禁將接入過互聯(lián)網(wǎng)未經(jīng)處理的計算機接入內(nèi)網(wǎng)���,嚴禁在普通計算機上安裝雙網(wǎng)卡�,嚴禁將智能設(shè)備(3G手機���、無線網(wǎng)卡等)插入內(nèi)網(wǎng)計算機USB端口��,嚴禁在辦公區(qū)通過路由器連接外網(wǎng)�����,杜絕違規(guī)外聯(lián)行為�����。 一旦發(fā)生違規(guī)外聯(lián)事件�,依據(jù)《企業(yè)信息化工作評級實施細則》�,按照“誰主管誰負責��、誰運行誰負責、誰使用誰負責”的原則對事件責任人進行嚴肅處理和經(jīng)濟考核���,并在全公司通報批評����。將信息安全責任落實到人����。
2、加大違規(guī)外聯(lián)宣貫和培訓力度����。信息安全工作,重在預(yù)防�����,將一切安全事件消滅在萌芽狀態(tài)����,才能確保信息系統(tǒng)安全穩(wěn)定運行�����。分層次組織開展公司在崗員工��,尤其是新員工的信息安全教育培訓工作�,即重點培訓各部門信息化管理人員,各級管理人員培訓本部門技術(shù)人員����,本部門技術(shù)人員培訓一線員工。通過分層式培訓��,提高了培訓效果�����,同時各級管理人員����、技術(shù)人員作為下級培訓對象講師提高了自身素質(zhì),強化了信息安全關(guān)鍵點的作用����。確保違規(guī)外聯(lián)事件的嚴重性、危害性和工作機理已宣貫至公司每一位員工�����,實現(xiàn)全員重視、全員掌握�,做到內(nèi)網(wǎng)計算機“離座就鎖屏,下班就關(guān)機”的工作習慣�����。
3��、加強外來工作人員管控��。加強外來工作人員信息安全教育��,并簽訂《第三方人員現(xiàn)場安全合同書》����,嚴禁外來工作人員計算機接入公司內(nèi)外網(wǎng)。對第三方人員工作過程全程監(jiān)控�����,防止因外來工作人員擅自操作造成違規(guī)外聯(lián)事件��。
二���、加強技術(shù)管控,從源頭杜絕安全事件的發(fā)生
2.1嚴格執(zhí)行“雙網(wǎng)雙機”
嚴禁在信息內(nèi)網(wǎng)和外網(wǎng)交叉使用計算機。對要求接入信息內(nèi)�����、外網(wǎng)的計算機���,需向本人核實該計算機之前網(wǎng)絡(luò)接入情況��,對內(nèi)外網(wǎng)絡(luò)接入方式有變化��、或者是不清楚的情況���,需對計算機進行硬盤格式化并重裝系統(tǒng)后方可接入網(wǎng)絡(luò)。
2.2安裝桌面終端�,設(shè)置強口令,防止違規(guī)外聯(lián)
實時監(jiān)控全公司內(nèi)網(wǎng)終端桌面終端系統(tǒng)安裝率�����,確保所有內(nèi)網(wǎng)計算機桌面終端安裝率達100%����。設(shè)置桌面終端策略,一旦發(fā)生違規(guī)外聯(lián)����,系統(tǒng)立即采取斷網(wǎng)措施�,并對終端用戶進行警示���。要求全部內(nèi)網(wǎng)計算機設(shè)置開機強口令(數(shù)字+字母+特殊符號��,且大于8位)����,防止非本人操作的違規(guī)外聯(lián)行為���。通過桌面終端系統(tǒng)對內(nèi)網(wǎng)計算機開機強口令進行實時監(jiān)控����。
2.3做好溫馨提示���,明確內(nèi)外網(wǎng)設(shè)備�����,防止違規(guī)外聯(lián)
做到每一臺內(nèi)網(wǎng)計算機均粘貼信息安全提示標簽提示員工切勿內(nèi)網(wǎng)計算機接入外網(wǎng)網(wǎng)絡(luò)����,無線網(wǎng)卡及智能手機切勿接入內(nèi)網(wǎng)。內(nèi)外網(wǎng)網(wǎng)絡(luò)端口模塊����、網(wǎng)線端口都要有明顯標識�,防止員工誤接網(wǎng)絡(luò)。
2.4實行內(nèi)網(wǎng)計算機IP�、MAC綁定和外網(wǎng)計算機IP、認證賬號綁定
加強IP地址綁定�����,從交換機端口對接入內(nèi)網(wǎng)的計算機進行IP��、MAC地址綁定�����,確保除本計算機外�����,其余計算機無法通過該端口接入內(nèi)網(wǎng)�。
通過外網(wǎng)審計(網(wǎng)康科技)對外網(wǎng)IP和用戶認證賬戶進行綁定,完善外網(wǎng)用戶和計算機基礎(chǔ)資料���,做到全局外網(wǎng)終端和用戶可控����。
第2篇
一、前言
國網(wǎng)公司現(xiàn)已建成覆蓋至基層生產(chǎn)班站及營業(yè)站所的信息內(nèi)網(wǎng)����。隨著SG186工程的全面投入運行,從職能部室到一線班組�����,電力企業(yè)所有的業(yè)務(wù)數(shù)據(jù)都依賴網(wǎng)絡(luò)進行流轉(zhuǎn)����,電網(wǎng)企業(yè)生產(chǎn)和經(jīng)營對信息網(wǎng)絡(luò)和信息系統(tǒng)的依賴程度越來越高信息安全的重要性日益凸顯。國網(wǎng)公司已將網(wǎng)絡(luò)與信息安全納入公司安全管理體系�。
一直以來,信息安全防御理念常局限于常規(guī)的網(wǎng)關(guān)級別(防火墻等)����、網(wǎng)絡(luò)邊界(漏洞掃描、安全審計)等方面的防御�����,重要的安全設(shè)施大多集中于核心機房、網(wǎng)絡(luò)入口處���,在這些設(shè)備的嚴密監(jiān)控下�,來自網(wǎng)絡(luò)外部的安全威脅已大大減少�����,尤其實行內(nèi)外網(wǎng)隔離�、雙網(wǎng)雙機后�,來自于互聯(lián)網(wǎng)的威脅微乎其微。而內(nèi)網(wǎng)辦公終端由于分布地點廣泛����,管控難度大,加之現(xiàn)在無線上網(wǎng)卡�、無線wifi和智能手機的興起,內(nèi)網(wǎng)計算機接入互聯(lián)網(wǎng)的事件時有發(fā)生����,一旦使用人員將內(nèi)網(wǎng)計算機通過以上方式接入互聯(lián)網(wǎng),即造成違規(guī)外聯(lián)事件��。由于違規(guī)外聯(lián)開通了一條無任何保護措施進出內(nèi)外網(wǎng)的通道�����,一旦遭遇黑客襲擊,就可能造成信息泄露�����、重要數(shù)據(jù)丟失����、病毒入侵、網(wǎng)絡(luò)癱瘓等信息安全事故���,給企業(yè)信息安全帶來重大的安全隱患和風險��。
二�����、強化管理�����、落實責任�����,監(jiān)培并進
1�����、將違規(guī)外聯(lián)明確寫入公司各項規(guī)章制度����,并納入經(jīng)濟責任考核。在《公司信息系統(tǒng)安全管理辦法》中���,對杜絕違規(guī)外聯(lián)事件進行了明確的要求:所有內(nèi)網(wǎng)計算機必須粘貼防止違規(guī)外聯(lián)提示卡,嚴禁將接入過互聯(lián)網(wǎng)未經(jīng)處理的計算機接入內(nèi)網(wǎng)��,嚴禁在普通計算機上安裝雙網(wǎng)卡���,嚴禁將智能設(shè)備(3G手機�����、無線網(wǎng)卡等)插入內(nèi)網(wǎng)計算機USB端口�,嚴禁在辦公區(qū)通過路由器連接外網(wǎng)����,杜絕違規(guī)外聯(lián)行為����。 一旦發(fā)生違規(guī)外聯(lián)事件�,依據(jù)《企業(yè)信息化工作評級實施細則》,按照“誰主管誰負責�、誰運行誰負責、誰使用誰負責”的原則對事件責任人進行嚴肅處理和經(jīng)濟考核����,并在全公司通報批評。將信息安全責任落實到人�����。
2����、加大違規(guī)外聯(lián)宣貫和培訓力度。信息安全工作�,重在預(yù)防,將一切安全事件消滅在萌芽狀態(tài)���,才能確保信息系統(tǒng)安全穩(wěn)定運行�����。分層次組織開展公司在崗員工�����,尤其是新員工的信息安全教育培訓工作���,即重點培訓各部門信息化管理人員�����,各級管理人員培訓本部門技術(shù)人員���,本部門技術(shù)人員培訓一線員工。通過分層式培訓�,提高了培訓效果���,同時各級管理人員�、技術(shù)人員作為下級培訓對象講師提高了自身素質(zhì)�����,強化了信息安全關(guān)鍵點的作用。確保違規(guī)外聯(lián)事件的嚴重性�����、危害性和工作機理已宣貫至公司每一位員工����,實現(xiàn)全員重視、全員掌握���,做到內(nèi)網(wǎng)計算機“離座就鎖屏�����,下班就關(guān)機”的工作習慣�。
3���、加強外來工作人員管控��。加強外來工作人員信息安全教育��,并簽訂《第三方人員現(xiàn)場安全合同書》�����,嚴禁外來工作人員計算機接入公司內(nèi)外網(wǎng)�����。對第三方人員工作過程全程監(jiān)控�����,防止因外來工作人員擅自操作造成違規(guī)外聯(lián)事件����。
三、加強技術(shù)管控��,從源頭杜絕安全事件的發(fā)生
2.1嚴格執(zhí)行“雙網(wǎng)雙機”
嚴禁在信息內(nèi)網(wǎng)和外網(wǎng)交叉使用計算機����。對要求接入信息內(nèi)、外網(wǎng)的計算機�,需向本人核實該計算機之前網(wǎng)絡(luò)接入情況,對內(nèi)外網(wǎng)絡(luò)接入方式有變化�����、或者是不清楚的情況�,需對計算機進行硬盤格式化并重裝系統(tǒng)后方可接入網(wǎng)絡(luò)。
2.2安裝桌面終端���,設(shè)置強口令�,防止違規(guī)外聯(lián)
實時監(jiān)控全公司內(nèi)網(wǎng)終端桌面終端系統(tǒng)安裝率����,確保所有內(nèi)網(wǎng)計算機桌面終端安裝率達100%。設(shè)置桌面終端策略����,一旦發(fā)生違規(guī)外聯(lián),系統(tǒng)立即采取斷網(wǎng)措施����,并對終端用戶進行警示。要求全部內(nèi)網(wǎng)計算機設(shè)置開機強口令(數(shù)字+字母+特殊符號�����,且大于8位)���,防止非本人操作的違規(guī)外聯(lián)行為�����。通過桌面終端系統(tǒng)對內(nèi)網(wǎng)計算機開機強口令進行實時監(jiān)控�����。
2.3做好溫馨提示�,明確內(nèi)外網(wǎng)設(shè)備,防止違規(guī)外聯(lián)
做到每一臺內(nèi)網(wǎng)計算機均粘貼信息安全提示標簽提示員工切勿內(nèi)網(wǎng)計算機接入外網(wǎng)網(wǎng)絡(luò)���,無線網(wǎng)卡及智能手機切勿接入內(nèi)網(wǎng)���。內(nèi)外網(wǎng)網(wǎng)絡(luò)端口模塊、網(wǎng)線端口都要有明顯標識����,防止員工誤接網(wǎng)絡(luò)。
2.4實行內(nèi)網(wǎng)計算機IP�、MAC綁定和外網(wǎng)計算機IP、認證賬號綁定
加強IP地址綁定�,從交換機端口對接入內(nèi)網(wǎng)的計算機進行IP、MAC地址綁定���,確保除本計算機外���,其余計算機無法通過該端口接入內(nèi)網(wǎng)。
通過外網(wǎng)審計(網(wǎng)康科技)對外網(wǎng)IP和用戶認證賬戶進行綁定��,完善外網(wǎng)用戶和計算機基礎(chǔ)資料����,做到全局外網(wǎng)終端和用戶可控。
四����、信息安全前景:
在信息安全領(lǐng)域沒有絕對的安全防護技術(shù)和手段。隨著信息技術(shù)日新月異的發(fā)展����,電力企業(yè)內(nèi)網(wǎng)計算機違規(guī)外聯(lián)風險也在增加。在已有的管控手段的基礎(chǔ)上�,還要及時關(guān)注新技術(shù),不斷完善和調(diào)整制度管理和技術(shù)策略���。信息安全是伴隨企業(yè)信息化應(yīng)用發(fā)展而發(fā)展的永恒課題�����。
第3篇
企業(yè)要想在市場當中生存并發(fā)展�,不僅僅要提升企業(yè)競爭力�����,還需要時時刻刻關(guān)注企業(yè)的信息安全。現(xiàn)代市場競爭十分激烈��,只有做好企業(yè)的信息安全管理�����,才能避免企業(yè)因為信息管理的疏漏造成相關(guān)的損失����。
近十年來,企業(yè)的生產(chǎn)經(jīng)營越來越離不開網(wǎng)絡(luò)����,離不開計算機,企業(yè)的每一項活動都需要計算機與網(wǎng)絡(luò)的參與�,企業(yè)的管理需要借助相關(guān)的計算機軟件,企業(yè)的銷售需要運用到電子商務(wù)�,企業(yè)的倉儲管理需要數(shù)據(jù)庫系統(tǒng)的支持,在企業(yè)感受到計算機帶來生產(chǎn)經(jīng)營便利的同時���,企業(yè)也不得不重視由計算機網(wǎng)絡(luò)所帶來的信息安全問題��。通過分析我國企業(yè)信息安全管理的相關(guān)資料�����,可以發(fā)現(xiàn)我國企業(yè)在信息安全管理上所做的努力顯然無法與西方企業(yè)相比�����,我國企業(yè)在信息安全管理這條路上還有很長的路要走��。
我國企業(yè)在信息管理上起步較晚��,同時受制于觀念�����,技術(shù)����,人力等各個方面的因素�����,我國企業(yè)在信息安全管理上存在十分嚴重的漏洞���。不僅如此�����,企業(yè)信息安全管理受到各方面的威脅�,各類病毒層出不窮,釣魚軟件��,木馬也防不勝防����,我國企業(yè)信息安全管理所面臨的考驗十分嚴峻。企業(yè)的信息安全管理不僅僅是企業(yè)自身的事�,企業(yè)是我國經(jīng)濟發(fā)展最重要的角色,倘若我國企業(yè)在信息安全管理上存在漏洞��,這也將直接影響我國的經(jīng)濟發(fā)展��,這并不是危言聳聽���。
因此��,加強我國企業(yè)信息安全管理勢在必行���,必須采取有效的舉措提升我國企業(yè)信息安全管理水平����。開展我國企業(yè)信息安全管理工作不僅僅需要政府的支持��,企業(yè)自身也應(yīng)當充分認識到企業(yè)信息安全管理對于企業(yè)自身的重要性���,企業(yè)信息安全管理并不是一件小事�,理應(yīng)得到足夠的重視�����。下面本文將首先介紹影響我國企業(yè)信息安全管理的幾點因素���,結(jié)合各種影響我國企業(yè)信息安全的幾點因素展開探討,在此基礎(chǔ)上��,分析我國企業(yè)在信息安全管理中常用的手段�����,并通過借鑒國外優(yōu)秀企業(yè)在信息安全管理的經(jīng)驗�,對更好地完善我國企業(yè)信息安全管理提出幾點意見與建議。
二�、企業(yè)面臨的信息安全管理風險
1.企業(yè)內(nèi)部管理缺陷
企業(yè)要想提升信息安全管理的水平����,其中很重要的一個步驟在于完善企業(yè)的管理制度���。企業(yè)的信息安全管理會受到許許多多的因數(shù)影響�����,但是做好企業(yè)信息安全管理的基礎(chǔ)在于提升企業(yè)的內(nèi)部管理水平���。企業(yè)內(nèi)部管理的制度涉及到企業(yè)生產(chǎn)經(jīng)營的方方面面,倘若企業(yè)在內(nèi)部管理制度上存在缺陷���,那么做好企業(yè)的信息安全管理也就無從談起了�。常見的影響企業(yè)信息安全管理的制度缺陷有以下幾個方面�����。第一�,企業(yè)對于企業(yè)內(nèi)部信息安全管理的工作人員缺乏監(jiān)督。企業(yè)信息安全管理必須建立在企業(yè)信息安全管理工作人員認知履行職責�,規(guī)范操作的基礎(chǔ)上,倘若企業(yè)對于信息安全管理的工作人員缺乏監(jiān)督�����,那么久很難保證企業(yè)整個信息安全管理系統(tǒng)的行之有效。第二��,企業(yè)對于企業(yè)內(nèi)部信息安全管理工作人員缺乏培訓����,企業(yè)內(nèi)部并沒有指定相關(guān)的信息安全管理規(guī)章制度。要想完善企業(yè)的信息安全管理�,就必須做到對企業(yè)內(nèi)部信息安全管理的每一個環(huán)節(jié)都一絲不茍,對每一個可能存在信息安全漏洞的地方都要嚴格管理��,對每一項信息安全管理的工作步驟都做明確要求�。要想確保企業(yè)內(nèi)部信息安全管理系統(tǒng)的平穩(wěn)運行��,只有從規(guī)范企業(yè)內(nèi)部信息安全管理的行為規(guī)范上著手��。第三��,企業(yè)內(nèi)部信息安全管理系統(tǒng)投入不足��。這一點在我國大型企業(yè)上并不存在�,我國大型企業(yè)擁有足夠的資金,足夠的人力資本�,足夠技術(shù)投入�,相比較于我國中小型企業(yè)����,在信息安全管理工作上具有較大的優(yōu)勢??墒牵覈笮推髽I(yè)畢竟是少數(shù)��,我國中小企業(yè)的數(shù)量十分巨大��,中小企業(yè)并沒有相應(yīng)的資金�����,人員����,技術(shù)投入,中小企業(yè)受制于現(xiàn)實條件�,在信息安全管理系統(tǒng)上所做的工作嚴重不足,我國中小企業(yè)在信息安全上所面臨的風險十分巨大���。
2.影響企業(yè)信息安全管理的外部因素
影響我國企業(yè)信息安全管理的外部因素有許多�。常見的影響我國企業(yè)信息安全管理的外部因素包括病毒�����,木馬,釣魚網(wǎng)站等等�����。不論是誰出于怎么樣的目的破壞企業(yè)的信息安全�,較為常見的手段也就是通過黑客攻擊企業(yè)的信息安全管理系統(tǒng)。我國企業(yè)在應(yīng)對黑客的攻擊時往往處于較為被動的局面���,一方面����,黑客屬于主動攻擊�����,主動攻擊的前提在于對于企業(yè)的內(nèi)部信息安全管理系統(tǒng)有著較為全面的了解�����,并且往往已經(jīng)掌握了企業(yè)內(nèi)部信息安全管理系統(tǒng)所存在的安全漏洞�����,另一方面���,我國絕大多數(shù)企業(yè)在信息安全管理系統(tǒng)的投入有限�,企業(yè)內(nèi)部信息安全管理的工作人員在技術(shù)手段上與黑客比較并沒有優(yōu)勢�����。即使企業(yè)內(nèi)部信息安全管理的工作人員最終能夠戰(zhàn)勝黑客���,但是��,由于缺乏完善的信息安全手段�,對企業(yè)內(nèi)部重要的信息保護不足�����,黑客對企業(yè)的信息安全所造成的影響往往也是致命的���。反擊黑客的攻擊行為往往具有滯后性�����,因此���,即使戰(zhàn)勝了黑客�����,但是黑客對企業(yè)信息安全的攻擊行為往往已經(jīng)發(fā)生�����,企業(yè)必然會因此造成相應(yīng)的損失�,在現(xiàn)代企業(yè)經(jīng)營管理信息化的背景下�����,這樣的攻擊行為對企業(yè)造成的損失往往是企業(yè)不能夠承擔的���,很有可能影響一個企業(yè)最基本的生存���。
三、完善企業(yè)信息安全管理的幾點建議
1.建立信息安全密碼
密碼技術(shù)近年來在應(yīng)用中不斷成熟��,越來越多企業(yè)開始將密碼技術(shù)應(yīng)用到企業(yè)信息安全管理中去���,這是一個十分正確的選擇�。企業(yè)內(nèi)部信息具有重要價值��,密碼技術(shù)是企業(yè)信息安全最為關(guān)鍵的一道屏障����。密碼的形式十分多樣,企業(yè)應(yīng)當根據(jù)自身情況正確選擇密碼的形式�,密碼技術(shù)是一項十分成熟的技術(shù),應(yīng)當?shù)玫礁嗟年P(guān)注�����,并且將這項技術(shù)全面應(yīng)用到企業(yè)內(nèi)部信息安全管理當中去�����。企業(yè)內(nèi)部信息得到密碼的保護����,能夠在企業(yè)內(nèi)部信息不慎泄露后得到最大化的保護,對于企業(yè)內(nèi)部信息的密碼也應(yīng)當嚴格保密�����,做好相關(guān)的密碼保護工作。
2.建立安全管理制度
企業(yè)信息安全管理制度的建立需要多方面的配合����,同時,企業(yè)信息安全管理制度的建立是一項十分復(fù)雜的工作�,必須在實踐的過程中不斷完善。建立企業(yè)內(nèi)部信息安全管理制度是為了更加規(guī)范地保證企業(yè)內(nèi)部信息的安全����,也對企業(yè)內(nèi)部信息安全管理人員的工作內(nèi)容,工作步驟做了明確規(guī)定�,這對于企業(yè)內(nèi)部形成信息安全管理的長效機制具有重要價值。企業(yè)信息安全管理制度應(yīng)當與企業(yè)的實際生產(chǎn)經(jīng)營情況相結(jié)合�����,在盡可能不影響企業(yè)正常工作的前提下�����,對企業(yè)的信息安全作出明確規(guī)定����。常見的規(guī)定包括定期組織企業(yè)內(nèi)部信息安全管理工作人員進行信息安全的例行檢查;對企業(yè)內(nèi)部信息安全管理人員的工作做到全面監(jiān)督��,有效反饋等等。
3.建立數(shù)據(jù)庫的備份與恢復(fù)機制
現(xiàn)如今�����,外界主動攻擊企業(yè)信息安全的事件越來越頻發(fā)�,企業(yè)在被外界攻擊信息安全后所造成的損失往往無法挽回���,同時這些信息對于企業(yè)具有十分重要的價值���,倘若能夠及時恢復(fù)相關(guān)信息,能夠在很大程度上減小企業(yè)所遭受的損失�����,因此�����,建立一套基于數(shù)據(jù)庫信息備份與還原的信息安全管理機制十分重要����。企業(yè)內(nèi)部信息系統(tǒng)數(shù)據(jù)庫的備份,可以有效保障企業(yè)信息系統(tǒng)非法入侵后的系統(tǒng)恢復(fù)工作���。備份是對數(shù)據(jù)庫內(nèi)容保護最為穩(wěn)定和容易的一種方法���。當不穩(wěn)定因素發(fā)生的時候���,能夠保證企業(yè)網(wǎng)絡(luò)信息的正常運行。而恢復(fù)的理解��,就是在不限定因素發(fā)展之后利用網(wǎng)絡(luò)技術(shù)的備份功能用來對數(shù)據(jù)庫內(nèi)容進行重新恢復(fù)并正常使用的功能�。
4.建立網(wǎng)絡(luò)安全預(yù)警系統(tǒng)
一般這種情況可以分為人為預(yù)警和病毒預(yù)警兩個方面。 在電腦中的重要位置安裝上網(wǎng)絡(luò)入侵監(jiān)測體系���,可以便于對電腦的技術(shù)和安全性在發(fā)展危害行為或改變��。入侵監(jiān)測體系還能通過設(shè)立在固定時間對制定要求的位置進行監(jiān)督和控制���,判斷哪些系統(tǒng)是具有危害性的,但是防火墻還不能夠準確判斷的系統(tǒng)�。主要針對的是從企業(yè)內(nèi)部管理出現(xiàn)漏洞后對自身安全系統(tǒng)的“侵略”行為。而病毒預(yù)警系統(tǒng)通常是采用對企業(yè)內(nèi)部網(wǎng)絡(luò)的全部數(shù)據(jù)進行監(jiān)督監(jiān)控的行為����,確保在一天每個時間段內(nèi)都對數(shù)據(jù)包傳送掃描一旦發(fā)展病毒就要馬上進行危險信息提示,使得相關(guān)工作人員可以很快的通過定位查找的方法找到病毒的發(fā)出地�����。同時,在短時間內(nèi)陸續(xù)產(chǎn)生通過快速掃描出來的網(wǎng)絡(luò)日志和調(diào)查報告����,為企業(yè)專業(yè)人員查找病毒具體來源提供便利條件。
第4篇
關(guān)鍵詞:信息安全管理�����;測評��;要素�����;指標
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2013)27-6080-03
人類進入信息化社會��,社會發(fā)展對信息化的依賴程度越來越大��,一方面信息化成果已成為社會的重要資源��,在政治�����、經(jīng)濟��、國防��、教育�、科技、生活等發(fā)面發(fā)揮著重要的作用���,另一方面由于信息技術(shù)的迅猛發(fā)展而帶來的信息安全事件�、事故層出不窮�,信息安全問題與矛盾日益突出。信息安全工程是一個多層面�����、多因素的����、綜合的、動態(tài)的系統(tǒng)工程���,其包括關(guān)鍵基礎(chǔ)設(shè)施及硬件安全�、運行安全�、軟件安全��、通信安全����、人員安全�、傳輸安全、網(wǎng)絡(luò)安全��、人員安全等����。組織要實現(xiàn)信息安全目標��,就必須建立一套行之有效信息安全管理與技術(shù)有機結(jié)合的安全防范體系��。信息安全管理包括制定信息安全策略(包括計劃�����、程序����、流程與記錄等)、風險評估�、控制目標的選擇��、控制措施的實施以及信息安全管理測評等���。管理大師德魯克曾經(jīng)說過“無法度量就無法管理”[1],強調(diào)了測量對組織管理的重要意義�����,信息安全管理同樣也離不開測評���。如何對信息安全管理有效性等進行測量���,根據(jù)測量的結(jié)果對組織信息安全管理情況進行評價并進一步指導信息安全管理,提高信息安全管理能力和水平����,目前已經(jīng)成為信息安全領(lǐng)域的一個研究熱點[2]。
信息安全管理測評是組織圍繞信息化持續(xù)發(fā)展與信息安全保障的現(xiàn)狀和未來綜合能力的反映�,不僅是對過去和現(xiàn)在的能力展現(xiàn),而且為未來發(fā)展提供保障和動力����。在我國,目前關(guān)于信息安全管理測評研究剛處于起步階段,還沒有一套可供使用的信息安全測評體系標準��、方法等�。因此,開展信息安全管理測評研究�,對組織信息化建設(shè)既具有重要的現(xiàn)實意義也具有長遠的持續(xù)發(fā)展意義。
1 信息安全管理測評發(fā)展綜述與需求
關(guān)于信息安全測評��,美國早在2002年通過的《聯(lián)邦信息安全管理法案》中就要求各機構(gòu)每年必須對其信息安全實踐進行獨立測評����,以確認其有效性。這種測評主要包括對管理�、運行和技術(shù)三要素的控制和測試,其頻率視風險情況而定����,但不能少于每年一次�����。在獨立評價的基礎(chǔ)上�����,聯(lián)邦管理與預(yù)算局應(yīng)向國會上報評價匯總結(jié)果;而聯(lián)邦審計署則需要周期性地評價并向國會匯報各機構(gòu)信息安全策略和實踐的有效性以及相關(guān)要求的執(zhí)行情況�����。
2003年7月��,美國國家標準與技術(shù)研究所(National Institute of Standards and Technology�,NIST)了NIST SP 800-55《信息技術(shù)系統(tǒng)安全測量指南》,其包括以下內(nèi)容[3]:
1) 角色和職責:介紹發(fā)展和執(zhí)行信息安全測量的主要任務(wù)和職責�����。
2) 信息安全測量背景:介紹測量定義����、進行信息安全測量的好處、測量類型����、幾種可以進行信息安全測量的控制、成功測量的重要因素�、測量對管理、報告和決策的作用��。
3) 測量發(fā)展和執(zhí)行過程:介紹用于信息安全測量發(fā)展的方法���。
4) 測量項目執(zhí)行:討論可以影響安全測量項目的技術(shù)執(zhí)行的各種因素���。
5) 以附件的形式給出的16種測量的模板��。
2004年11月17日���,美國的企業(yè)信息安全工作組(Corporate Information Security Working Group,CISWG)了CISWG CS1/05-0079《帶有支撐管理測量的信息安全計劃要素》[4]�,2005年國際標準化組織(ISO/IEC SC27)提出了信息安全管理體系(Information Security Management Systems,ISMS)的系列標準——ISO27000系列���。2005年1月10日又了修訂版�����,并作為針對ISO/IEC 2nd WD27004 的貢獻文檔提交給ISO/IEC JTC1 SC27��,該文檔是根據(jù)CISWG的最佳實踐和測量小組的報告改編���。
2005年8月31日�����,美國國際系統(tǒng)安全工程協(xié)會(International System Security Engineering Association,ISSEA)針對ISO/IEC 2nd WD 27004向ISO/IEC JTC1 SC27提交了題為“ISSEA Contribution Background”[5](ISSEA測量的貢獻背景)和“ISSEA Metrics”[6](ISSEA測量)兩個貢獻文檔�。
2009年國際標準化組織(ISO)了ISO/IEC 27004:2009(信息技術(shù)一安全技術(shù)一信息安全管理測量)標準,為如何建立及測量ISMS及其控制措施提供了指導性建議[7]����。
信息安全管理體系是信息安全保障體系的重要組成部分。近年來���,隨著組織對信息安全保障工作重視程度的日益增強�,不少組織都依據(jù)標準GB/T 22081-2008建立了一套比較完善的ISMS來保護組織的重要信息資產(chǎn)�,但是體系建立起來了,不少管理者都對ISMS的運行效果極其控制措施的有效性���,持懷疑的態(tài)度����。故此組織很有必要建立一套相應(yīng)的測評方法來全面的對ISMS的運行情況進行科學的評價�,進一步提升ISMS的執(zhí)行力。該文研究的信息安全管理測評將為確定ISMS的實現(xiàn)目標����,衡量ISMS執(zhí)行的效力和效率提供一些思想、方法���,其結(jié)果具有客觀的可比性��,還可以作為信息安全風險管理����、安全投入優(yōu)化和安全實現(xiàn)變更的客觀依據(jù),有助于降低安全風險�,減少安全事件的概率和影響,改進安全控制和管理過程的效率或降低其成本����。
2 信息安全管理測評研究內(nèi)容
信息安全管理測評是信息安全管理體系的重要部分,是信息安全管理測量與評價的綜合����。信息安全管理測量的結(jié)果是信息安全績效評價的依據(jù)。信息安全管理測量比較具體��,信息安全管理評價則通過具體來反映宏觀��。
2.1 信息安全管理測評要素及其框架
信息安全管理測評要素包括:測評實體及其屬性�、基礎(chǔ)測評方式、基礎(chǔ)測評變量��、導出測評制式�����、導出測評變量�、測評方法、測評基線�、測評函數(shù)、分析模型�����、指示器���、決策準則���、測評需求和可測評概念等,其框架如圖3.1信息安全測評框架所示����,包括:基于什么樣的需求來測評(即測評需求),對什么進行測評(即實體及其屬性)���,用什么指標體系來測評(包括測評制式��、測評變量和測評尺度)�����,用什么方法來測評(即測評方法)��,用什么函數(shù)來計算測評結(jié)果(即測評函數(shù))����,用什么模型來分析測評結(jié)果(即分析模型),用什么方式來使分析結(jié)果能夠輔助決策(即指示器)等問題����。
信息需求是測評需求方提出的對測評結(jié)果信息的需求。信息需求源自于組織的使命和業(yè)務(wù)目標�����,與相關(guān)利益者的利益訴求密切相關(guān)�����。指示器的生成和分析模型的選擇是以信息需求為導向的���。
決策準則是一種決定下一步行為的閾值�。他有助于解釋測評的結(jié)果�。決策準則可能出自或基于對預(yù)期行為在概念上的理解和判斷���。決策準則可以從歷史數(shù)據(jù)、計劃和探索中導出���,或作為統(tǒng)計控制限度或統(tǒng)計信心限度計算出來。
可測評概念是實體屬性與信息需求之間的抽象關(guān)系����,體現(xiàn)將可測評屬性關(guān)聯(lián)到信息需求以及如何關(guān)聯(lián)的思想?����?蓽y評概念的例子有生產(chǎn)力��、質(zhì)量�����、風險�、績效、能力��、成熟度和客戶價值等�。實體是能通過測評屬性描述的對象�。一個實體是測評其屬性的一個對象�,例如,過程���、產(chǎn)品�����、系統(tǒng)�����、項目或資源���。一個實體可能有一個或多個滿足信息需求的屬性。實踐中���,一個實體可被歸類于多個上述類別�。他可以是有形的也可是無形的��。信息安全管理測評的實體包括信息安全管理體系建立過程中所有的控制項(信息安全管理測評要素)����。屬性是實體可測評的����、物理的或抽象的性質(zhì)�����。一個屬性是能被人或自動手段定量或定性區(qū)分的一個實體的某一特性或特征�。一個實體可能有多個屬性���,其中只有一些可能對測評有價值���。測評模型實例化的第一步是選擇與信息需求最相關(guān)的屬性。一個給定屬性可能被結(jié)合到支持不同信息需求的多個測評構(gòu)造中����。信息安全管理測評主要測評的是每一項控制措施的屬性(信息安全管理測評指標)。
測評是以確定量值為目的的一組操作�。信息安全管理測評是確定控制項的每一個具體指標的一組操作,可以有多種測評方法���?��;A(chǔ)測評是依照屬性和定量方法而定義的測評方法�����,是用來直接測評某一屬性的�����,是根據(jù)屬性和量化他的方法來定義��,他捕獲單獨屬性的信息����,其功能獨立于其他測評��。信息安全管理基礎(chǔ)測評是對于控制項的指標可以直接測評出來的量����。導出測評是通過測評其他屬性來間接地測評某一屬性的測評,是根據(jù)屬性之間的關(guān)系來定義�����,他捕獲多個屬性或多個實體的相同屬性的信息����,其功能依賴于基礎(chǔ)測評的���,是兩個或更多基礎(chǔ)測評值得函數(shù)。
測評尺度是一組連續(xù)或離散的數(shù)字量值(如小數(shù)/百分比/自然數(shù)等)或離散的可數(shù)量值(如高/中/低/等)�。測評尺度是規(guī)范測評變量取值的類型和范圍。測評方法將所測評屬性的量級影射到一個測評尺度上的量值后賦給測評變量��。
測評尺度根據(jù)尺度上量值之間關(guān)系的性質(zhì)分為四種類型:
名義(Nominal) :測評值是直呼其名��。
序數(shù)(Ordinal) :測評值是有等級的�。
間隔(Interval) :測評值是等距離的,對應(yīng)于屬性的等量�����,不可能是零值�。
比率(Ratio) :測評值是等距離的����,對應(yīng)于屬性的等量,無該屬性為零值��。
測評單位是作為慣例定義和被廣泛接受的一個特定量�����。他被用作比較相同種類量值的基準,以表達他們相對于此量的量級���。只有用相同測評單位表達的量值才能直接比較��。測評單位的例子有公尺��、公斤和小時等�。
測評函數(shù)是將兩個或更多測評變量結(jié)合成導出測評變量的算法�����。導出測評變量的尺度和單位依賴于作為函數(shù)輸入的測評變量的尺度和單位以及他們通過函數(shù)結(jié)合的運算方式����。分析模型是將一個或多個測評變量轉(zhuǎn)化為指示器的算法。他是基于對測評變量和/或他們經(jīng)過一段時間的表現(xiàn)之間的預(yù)期關(guān)系的理解或假設(shè)����。分析模型產(chǎn)生與信息需求相關(guān)的評估或評價。測評方法和測評尺度影響分析模型的選擇�����。
測評計劃定義了測評實施的目標、方法�����、步驟和資源����。測評頻率是測評計劃的執(zhí)行頻率。測評計劃應(yīng)按規(guī)定的頻度定期地或在必要的時候不定期地執(zhí)行���。定期執(zhí)行的規(guī)定頻度應(yīng)建立在信息效益的需求與獲得他的成本之間的折中���,可以是每周、每月�、每季度或每年等。不定期執(zhí)行的必要時候包括ISMS初始規(guī)劃和實施以及ISMS本身或運行環(huán)境發(fā)生重大變化��。
2.2 信息安全管理測評量表體系
任何測評都必須具備參照點���、單位和量表三個要素。信息安全測評指標體系是信息安全測評的基礎(chǔ)���,是對指定屬性的評價����,這些屬性與測評需求方的信息保障需求相關(guān)聯(lián),對他們進行評價為測評需求方提供有意義的信息����。其總是以滿足其信息保障需求和方便易理解的方式呈現(xiàn)給測評需求方的。標準GB/T 22081-2008是進行信息安全管理所參照的標準���,其從信息安全方針�、信息安全組織�、法律法規(guī)符合性等11個方面,提出了133個控制措施供使用者在信息安全管理過程中選擇適當?shù)目刂拼胧﹣砑訌娦畔踩芾?。該標準所提供的控制措施基本能覆蓋信息安全管理的各個方面。在建立信息安全管理測評指標體系的實踐中����,通常以控制措施的實施情況作為指標,建立預(yù)選指標集����,通過對預(yù)選指標集的分析,采用專家咨詢的方式篩選出能全面反映信息安全管理有效性的具體指標��。
3 信息安全管理測評方法探討
測評方法通常影響到用于給定屬性的測評尺度類型�。例如��,主觀測評方法通常只支持序數(shù)或名義類型的測評尺度��。測評方法是使用指定的測評制式量化屬性的操作邏輯序列���。操作可能包括計算發(fā)生次數(shù)或觀察經(jīng)過時間等。同樣的測評方法可能適用于多個屬性���。然而����,每一個屬性和測評方法的獨特結(jié)合產(chǎn)生一個不同的基礎(chǔ)測評�����。測評方法可能采用多種方式實現(xiàn)���。測評規(guī)程描述給定機構(gòu)背景下測評方法的特定實現(xiàn)�����。
測評方法根據(jù)量化屬性的操作性質(zhì)分為兩種類型:
主觀:含有人為判斷的量化。
客觀:基于數(shù)字規(guī)則(如計數(shù))的量化�����。這些規(guī)則可能通過人或自動手段來實現(xiàn)。
測評方法的可能例子有:調(diào)查觀察�����、問卷����、知識評估、視察�����、再執(zhí)行�����、系統(tǒng)咨詢����、測試(相關(guān)技術(shù)有設(shè)計測試和操作有效性測試等)、統(tǒng)計(相關(guān)技術(shù)有描述統(tǒng)計���、假設(shè)檢驗���、測評分析�����、過程能力分析�����、回歸分析���、可靠性分析、取樣���、模擬��、統(tǒng)計過程控制(SPC����, statistical Process control) 圖和時序分析等)��。
4 結(jié)束語
當前��,信息安全領(lǐng)域的測評研究多側(cè)重于對技術(shù)產(chǎn)品、系統(tǒng)性能等方面的測評���,其中信息安全風險評估可通過對重要信息資產(chǎn)面臨的風險、脆弱性的評價掌握組織的信息安全狀況�;信息安全審計則只是對信息安全相關(guān)行為和活動提供相關(guān)證據(jù);而信息安全管理評審則是符合性審核�,他們都不能對信息安全管理的有效性以及信息安全管理中采取的控制措施的有效性做出評價。因此�����,非常有必要對信息安全管理的有效性進行測評���,這將有助于了解信息安全管理過程中所采取的控制措施的有效性以及控制措施的執(zhí)行情況��,為管理者決策提供依據(jù)��,也能為組織信息安全管理過程的持續(xù)改進提供足夠的幫助��,達到更好地管理信息安全的最終目的����。
參考文獻:
[1] 閆世杰�,閔樂泉,趙戰(zhàn)生.信息安全管理測量研究[J].信息安全與通信保密,2009����,5:53.
[2] 朱英菊,陳長松.信息安全管理有效性的測量[J].信息網(wǎng)絡(luò)安全�,2009,1:87-88.
[3] Nist N. 800-55. security metrics guide for information technology systems[J]. NIST paper�����, 2003.
[4] CISWG CS1/05 -0079. Information Security Program Elements with Supporting Management Metrics ���, Adapted from the report of the Best Practices and Metrics Teams �, Corporate Information Security Working Group ( CISWG ) �����, 2004-11-17 ( Revised 2005-01-10 ).
[5] ISO/IEC JTCI SC27 N4690 ISSEA Liaison Organization 's cofnfnents on SC27 N4474 ISO/IEC 2nd WD 27004 Information technology-Security techniques-Information Security management metric and measurement (in response to document SC27 N4485revl)����,2005-08-31
第5篇
關(guān)鍵詞:企業(yè);信息����;安全管理
中圖分類號:U283.4 文獻標識碼:A
企業(yè)信息安全管理是運用科學的方法和手段����,系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的薄弱點���,提出有針對性的抵御威脅的防護對策和控制措施,這是企業(yè)推進信息化進程和促進生產(chǎn)經(jīng)營管理的重要內(nèi)容��,是保障企業(yè)信息系統(tǒng)正常運行�����、高效應(yīng)用和健康發(fā)展的前提條件���。
1我國企業(yè)信息安全管理存在的問題
1.1缺少企業(yè)信息安全的法規(guī)和規(guī)范���。企業(yè)信息安全是一個比較新的領(lǐng)域,目前還缺少比較完善的法規(guī)��,即便現(xiàn)有的法規(guī)��,由于相關(guān)安全技術(shù)和手段還沒有成熟和標準化�����,法規(guī)也不能很好地被執(zhí)行,安全標準和規(guī)范的缺少�����,導致無從制定合理的安全策略并確保此策略能被有效執(zhí)行��。
1.2存在物理安全風險����。物理安全是指各種服務(wù)器、路由器���、交換機��、工作站等硬件設(shè)備和通信鏈路的安全�����。風險的來源有:水災(zāi)��、火災(zāi)�、雷擊等自然災(zāi)害����,人為的破壞或誤操作外界的電磁干擾����,設(shè)備固有的弱點或缺陷等�����。物理安全的威脅可以直接造成設(shè)備的損壞���、系統(tǒng)和網(wǎng)絡(luò)的不可用��、數(shù)據(jù)的直接損壞或丟失等。
1.3信息外泄現(xiàn)象時有發(fā)生���。進入信息化時代后����,企業(yè)的諸多資料都由原先的紙介質(zhì)變成了電子文檔�。電子文檔的特點就是復(fù)制十分容易,許多跳槽的員工和競爭對手都會將這些資料通過各種手段帶離企業(yè)����。而且,在企業(yè)信息管理系統(tǒng)中�����,大量購、銷���、存等業(yè)務(wù)�、財務(wù)數(shù)據(jù)��、文檔及客戶資料�,以存儲介質(zhì)形式存在于計算機中,由于電磁輻射或數(shù)據(jù)可訪問性等弱點���,受到人為和非人為因素的破壞��。數(shù)據(jù)一旦遭到破壞�����,將會嚴重影響企業(yè)日常業(yè)務(wù)的正常運作�����。因此�����,保證數(shù)據(jù)的安全���,就是保證企業(yè)的安全�����。
1.4缺少安全管理制度和責任性�。目前企業(yè)的安全解決方案�,基本上只是一個安全產(chǎn)品方案,這使人們誤以為企業(yè)的信息安全只是信息技術(shù)部門的工作和責任���,與其他人員不直接相關(guān).但是一個企業(yè)的信息系統(tǒng)是企業(yè)全體人員參與的�,因為他們才是企業(yè)信息系統(tǒng)的提供者和使用者���,他們是影響信息安全系統(tǒng)能否達到預(yù)期要求的決定因素.
2加強我國企業(yè)信息安全管理的幾點建議
2.1全面提高職工的信息安全知識素質(zhì),加強安全文化建設(shè)���,提升防患水平�����,防微杜漸�。對于信息安全工作的開展,不是系統(tǒng)管理部門的事�,也不是系統(tǒng)使用部門的事,而是全體員工的事��,必須要提高全體員工的信息安全意識�����。通過培訓和考核等措施����,提高員工對公司信息安全的認識,讓信息安全成為業(yè)務(wù)開展的一部分����,才能有效提高公司整體信息安全水平,也是信息安全工作得到有效的支持和推進����。在此基礎(chǔ)上,要建立適應(yīng)21世紀知識經(jīng)濟時代的企業(yè)信息安全文化�,只有加強安全文化建設(shè),才能適應(yīng)知識經(jīng)濟時代的發(fā)展����。
2.2完善企業(yè)信息安全管理制度�。首先��,數(shù)據(jù)安全管理制度��,即確保數(shù)據(jù)存儲介質(zhì)(設(shè)備)的安全��;定時進行數(shù)據(jù)備份���,備份數(shù)據(jù)必須異地存放�����;對數(shù)據(jù)的操作需經(jīng)主管部門的審批���、同意方可進行;數(shù)據(jù)的清除��、整理工作需兩人或兩人以上在場����,并由相關(guān)部門進行監(jiān)督�����、記錄。第二��,準入管理制度�����。準入管理又稱密碼���、權(quán)限管理�,通過準入系統(tǒng)可以判斷請求登錄的用戶是否是合法的����、值得信任的。一個安全的準入系統(tǒng)則需要收集請求登錄者的以下信息:一是請求方式��。當同一網(wǎng)段在單位時間內(nèi)多次請求登錄或多次登錄用戶����、密碼錯誤者,就應(yīng)在一定時間內(nèi)封閉其所在網(wǎng)段的請求�����,并發(fā)出報警信號。二是系統(tǒng)安全驗證����,即對登錄用戶的操作系統(tǒng)進行安全證,并提示登錄用戶進行一系列的修復(fù)操作�。三是檢測設(shè)備自身數(shù)據(jù)是否被修改或篡改,并對登錄戶相應(yīng)的操作進行記錄備案�。
2.3采取傳統(tǒng)的信息安全防范策略。物理安全策略:包括環(huán)境安全�����、設(shè)備安全��、媒體安全�、信息資產(chǎn)的物理分布、人員的訪問控制���、審計記錄���、異常情況的追查等;網(wǎng)絡(luò)安全策略:包括網(wǎng)絡(luò)拓撲結(jié)構(gòu)���、網(wǎng)絡(luò)設(shè)備的管理、網(wǎng)絡(luò)安全訪問措施、安全掃描�����、遠程訪問�����、不同級別網(wǎng)絡(luò)的訪問控制方式�、識別/認證機制等;數(shù)據(jù)加密策略:包括加密算法�、適用范圍、密鑰交換和管理等���;數(shù)據(jù)備份策略:包括適用范圍�、備份方式���、備份數(shù)據(jù)的安全存儲���、備份周期、負責人等���;身份認證及授權(quán)策略:包括認證及授權(quán)機制�����、方式���、審計記錄等����;災(zāi)難恢復(fù)策略:包括負責人員�、恢復(fù)機制、方式��、歸檔管理�����、硬件��、軟件等����;事故處理、緊急響應(yīng)策略:包括響應(yīng)小組���、聯(lián)系方式���、事故處理計劃�、控制過程等��。
2.4實施�����、檢查和改進信息安全管理體制����。企業(yè)應(yīng)按照規(guī)劃階段編制安全管理體系文件的控制要求來實施活動���,主要實施和運行ISMS方針�、控制措施����、過程和程序,包括安全策略��、所選擇的安全措施或控制��、安全意識和培訓程序等����。在實施期間�����,企業(yè)應(yīng)及時檢查發(fā)現(xiàn)規(guī)劃中存在的問題����,找出問題根源�,采取糾正措施,并按照更改控制程序要求對體系予以更改��,以達到進一步完善信息安全管理體系的目的����。信息安全實施過程的效果如何,需要通過監(jiān)視�、審計、復(fù)查�、評估等手段來進行檢查,檢查的依據(jù)就是計劃階段建立的安全策略���、目標�、程序����,以及標準�、法律法規(guī)和實踐經(jīng)驗���,檢查的結(jié)果是進一步采取措施的依據(jù)��。
2.5加強信息安全監(jiān)控,保障信息系統(tǒng)安全運行����。在信息安全監(jiān)控、信息安全配置和系統(tǒng)訪問控制方面�����,信息管理部門借助先進成熟的信息技術(shù)����,充分挖掘和利用現(xiàn)有資源功能潛力,進一步提升企業(yè)信息系統(tǒng)的安全防范能力����。例如,加強信息系統(tǒng)監(jiān)控管理和風險評估�����,優(yōu)化信息系統(tǒng)安全架構(gòu),開展入侵檢測分析防范����、核心網(wǎng)絡(luò)冗余和服務(wù)器架構(gòu)調(diào)整等工作,確保公司信息系統(tǒng)安全穩(wěn)定運行�。統(tǒng)一企業(yè)桌面安全管理體系,建立網(wǎng)絡(luò)運維管理系統(tǒng)��,加強接入層管理��、桌面安全管理和安全監(jiān)控管理����,有效保障聯(lián)網(wǎng)計算機的安全運行。優(yōu)化企業(yè)內(nèi)外網(wǎng)連接架構(gòu)和訪問控制策略��,增加網(wǎng)絡(luò)出口流量監(jiān)控環(huán)節(jié)��,使有限的網(wǎng)絡(luò)帶寬資源得到合理分配和充分利用����。針對因特網(wǎng)瀏覽用戶違規(guī)現(xiàn)象較多,造成非授權(quán)用戶占用大量網(wǎng)絡(luò)資源的問題,加強用戶訪問監(jiān)控�����,嚴肅處理違規(guī)用戶����,加強保密教育,促進用戶規(guī)范使用信息系統(tǒng)��。
2.6構(gòu)建信息安全管理團隊��。信息安全管理團隊是由決策者�、管理者以及計算機����、信息、通訊�����、安全和網(wǎng)絡(luò)技術(shù)等方面的專家為提升企業(yè)信息安全管理水平而組建的團隊�。信息安全管理團隊是企業(yè)信息安全管理的直接管理者,其管理能力��、技術(shù)能力的高低會直接影響到企業(yè)信息安全管理的效率。因此必須增加對企業(yè)內(nèi)部信息安全管理人員�����、技術(shù)人員的定期培訓����,同時與外部專業(yè)技術(shù)企業(yè)建立長期有效的外部技術(shù)支持網(wǎng)絡(luò),才能對企業(yè)信息安全事件做出及時���、快速�、準確的響應(yīng)����,確定并及時排除突發(fā)事件,使企業(yè)的風險和損失最小化��,最終形成一套有效的一體化管理體系�,給企業(yè)帶來更大的管理效益與管理效率的提升。
綜上所述�����,隨著網(wǎng)絡(luò)普及和企業(yè)信息化業(yè)務(wù)的不斷拓展����,信息成為一種重要的戰(zhàn)略資源���,信息安全保障能力成為一個企業(yè)綜合能力的重要組成部分。因此��,要提高企業(yè)信息安全管理的效率����,為企業(yè)決策提供信息支持,確保企業(yè)信息數(shù)據(jù)安全�����、可靠�����、真實��,為企業(yè)發(fā)展和經(jīng)營管理提供有力保障���。
參考文獻
第6篇
關(guān)鍵詞:石油企業(yè);信息安全;管理手段
0引言
隨著信息化建設(shè)進程飛速發(fā)展,作為信息載體的計算機��、互聯(lián)網(wǎng)已在企業(yè)生產(chǎn)、經(jīng)營管理各個層面得到廣泛應(yīng)用����。計算機網(wǎng)絡(luò)的開放性、靈活性和廣泛性在全面數(shù)字化的今天給經(jīng)營管理帶來了便捷����、高效、有序的工作環(huán)境�,同時也帶來了較大的安全管理隱患。黑客的出現(xiàn)���、安全漏洞的增多�、管理的交叉混亂��、惡意的網(wǎng)絡(luò)攻擊使網(wǎng)絡(luò)安全管理遭受了較大的沖擊�����,成為信息化健康發(fā)展的絆腳石���。網(wǎng)絡(luò)信息管理疏于安全的防范將危及到企業(yè)生產(chǎn)經(jīng)濟的有序發(fā)展�����。石油企業(yè)在國民經(jīng)濟中發(fā)揮著重要作用����,任何風險都可能導致國家經(jīng)濟受到重大影響。因此����,提高石油企業(yè)信息安全意識,加強信息管理應(yīng)以保瘴服務(wù)和應(yīng)用為目標�,強化安全意識、制定周密的安全手段從而構(gòu)建完善的信息安全管理體系�。
1加強企業(yè)信息管理的必要性
1.1企業(yè)信息管理概念
企業(yè)信息管理是通過現(xiàn)代化的信息技術(shù)和設(shè)備,以網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)設(shè)備實現(xiàn)企業(yè)管理的自動化���,進而對企業(yè)進行全方位和多角度的管理����,以此來促進企業(yè)生產(chǎn)���、經(jīng)營管理的優(yōu)化配置,進而通過企業(yè)資源的開發(fā)和信息技術(shù)的有效利用來提高企業(yè)的管理水平���,增強企業(yè)的核心競爭力����。企業(yè)信息管理的主要內(nèi)容,一般包括企業(yè)未來的經(jīng)濟形勢分析�����、預(yù)測資料�、資源的可獲量、市場和競爭對手的發(fā)展動向�,以及政府政策與政治情況的環(huán)境變化等等。企業(yè)信息管理與制訂企業(yè)發(fā)展戰(zhàn)略�、制訂規(guī)劃、合理地分配資源是密切相關(guān)的�。同時,企業(yè)的信息管理也應(yīng)當包括企業(yè)內(nèi)部的信息資源����,如財務(wù)管理信息、物資庫存���、鉆井施工�、職工檔案管理等多方面的內(nèi)容�,并且促進企業(yè)的全面發(fā)展。
1.2企業(yè)信息安全管理的必要性
企業(yè)信息的存在方式有著多樣性����,而進行企業(yè)安全信息管理的主要目的����,在于保護企業(yè)的信息安全��,保證企業(yè)能夠順利的參與到市場經(jīng)濟活動中�,進而提高企業(yè)的經(jīng)濟效益和社會效益,構(gòu)筑起信息安全管理系統(tǒng)的保密性��、完整性��、可用性�����、可維護性��、可驗證性的目標����,使企業(yè)安全信息管理能夠通過有效的控制措施來實現(xiàn)。第一����,企業(yè)管理的信息具有很強的保密性和完整性的特點,因此其對于企業(yè)的生產(chǎn)勢力�、科技含量、資金流動����、企業(yè)的綜合競爭力等多方面都有著重要的影響,同時對于企業(yè)的商業(yè)形象與合法經(jīng)營也至關(guān)重要��,因此加強企業(yè)信息安全管理是必要的����。第二,由于網(wǎng)絡(luò)自身所具有的開放性特性�,決定了企業(yè)信息管理也面臨著來自各方面的安全威脅,比如計算機病毒����、黑客等,以及計算機詐騙��、泄密等問題�,也說明了加強企業(yè)信息安全管理勢在必行。第三�,企業(yè)對于信息系統(tǒng)產(chǎn)生的依賴也從另一方面暴露出了信息管理系統(tǒng)的脆弱,公共網(wǎng)絡(luò)與私人網(wǎng)絡(luò)的連接增強了信息的控制難度����,使得信息在分散化的管理模式下����,集中�、專業(yè)控制的有效性大大減弱。另外�����,由于很多信息管理系統(tǒng)設(shè)計的缺陷����,其自身就存在著不合理之處,這對于信息安全管理也帶來了一定的難度�����?�;诖?��,對于企業(yè)信息管理的安全性也成為了當前企業(yè)管理面臨的一個重大課題����。
2加強企業(yè)信息管理安全的防范措施
2.1不斷完善信息管理系統(tǒng)
隨著企業(yè)信息化的發(fā)展,目前應(yīng)用的管理系統(tǒng)有PKI��、郵箱���、AD域、普OA���、合同系統(tǒng)�����、A6��、ERP���、網(wǎng)絡(luò)、操作系統(tǒng)����、A7、檔案系統(tǒng)���、物采系統(tǒng)�、OSC、視頻會議�、企業(yè)微信、門戶網(wǎng)站����、寶石花、數(shù)字營房�����、會議保障����、E2、一體化�����、RTX���、移動應(yīng)用�、短信平臺����。信息系統(tǒng)的連續(xù)穩(wěn)定運行越來越重要����,一旦系統(tǒng)中斷��,將會給企業(yè)的生產(chǎn)經(jīng)營管理帶來混亂���,而數(shù)據(jù)一旦丟失,后果是不可估量的����。為此,信息管理系統(tǒng)的投入和使用��,是建立在充分的實踐經(jīng)驗的基礎(chǔ)上�����,通過一段時間的運行和觀察��,才能夠投入使用�。在不同的部門進行信息系統(tǒng)的引入時,應(yīng)當按照部門的實際情況�,通過多方引進��,使用統(tǒng)一的信息管理系統(tǒng)���。對于信息安全來說,首先要解決的就是系統(tǒng)是否能夠通過安全驗證對用戶進行有效的管理�����,并且賦予不同等級的用戶不同的使用權(quán)限���,這樣則能夠有效的防止無權(quán)訪問信息的用戶對核心區(qū)域的訪問���,保證信息不會被盜用。同時���,為保證信息系統(tǒng)的連續(xù)穩(wěn)定運行��,應(yīng)采用雙機服務(wù)器和從服務(wù)器�。一旦發(fā)生服務(wù)器故障�,由從服務(wù)器自動接替主服務(wù)器工作。
2.2有效的設(shè)備管理
設(shè)備安全主要涉及到由于自然災(zāi)害�����、人為因素造成的數(shù)據(jù)丟失。信息安全應(yīng)建設(shè)完善的容災(zāi)備份系統(tǒng)�����,容災(zāi)備份系統(tǒng)一般由兩個數(shù)據(jù)中心構(gòu)成����,主中心和備份中心。通過異地數(shù)據(jù)備份����,實時地將主中心數(shù)據(jù)拷貝至備份中心存儲系統(tǒng)中,使主中心存儲數(shù)據(jù)與備份中心數(shù)據(jù)完全保持一致����。同時�����,對于管理系統(tǒng)中使用的設(shè)備品牌��、機型����、內(nèi)部配置以及使用時間等信息都要進行專門的記錄���,通過這些記錄,定期對設(shè)備進行維護�����,同時也能夠通過這些信息判斷出信息的使用效率以及運行情況�����,對于設(shè)備的損壞或者是丟失情況都能夠及時地了解��。
2.3加強對人員的監(jiān)督與管理
企業(yè)信息安全不單純是技術(shù)問題�,而是一個綜合性的問題。其中最重要的因素是人�,人是設(shè)備的主要操作者,因此對于信息的安全管理��,就需要加強對人的管理����,需要操作人員具有足夠的安全意識,對于每一位操作人員進行相關(guān)的培訓��,對于唯一的用戶名和密碼等信息要進行妥善保管�����,同時讓操作人員認識到泄密會導致的嚴重后果,增強責任意識����。只有通過不斷地學習及意識的培養(yǎng),管理人員才能養(yǎng)成定期維護��、按時打補丁���、及時更新的操作習慣�,以不變應(yīng)萬變的態(tài)度應(yīng)對各種網(wǎng)絡(luò)攻擊手段����。通過不斷的加強過程管理,通過對每個細節(jié)的嚴密審查��,能夠有效減少人為出錯的現(xiàn)象�,同時通過科學的評價機制和激勵機制�,刺激人員工作的積極性,加強自身的責任意識�����。
2.4網(wǎng)絡(luò)傳輸安全
第7篇
關(guān)鍵詞:信息安全;管理體系�;ISMS
中圖分類號:TP315 文獻標識碼:A 文章編號:1009-8631(2010)05-0171-02
一、概述
當前�����,信息資源的開發(fā)和利用�����,已成為信息化建設(shè)的核心��。信息作為一種重要的資產(chǎn)���,已成為大家的共識��。其一旦損毀��、丟失���、或被不失當?shù)仄毓狻o組織帶來一系列損失��。這些損失是我們不愿意面對的。因此信息安全越來越成為大家關(guān)注的熱點問題�。前國家科技部部長徐冠華曾經(jīng)指出:“沒有信息安全保障的信息工程一定是豆腐渣工程”。
所謂信息安全��,是針對技術(shù)和管理來說的�,為信息處理體統(tǒng)提供安全保護,保護計算機軟硬件及信息內(nèi)容不因偶然意外和惡意的原因而遭到破壞���、更改和泄漏�����。信息安全包括實體安全����、運行安全��、信息(針對信息內(nèi)容)安全和管理安全四個方面:
1)實體安全是指保護計算機設(shè)備��、網(wǎng)絡(luò)設(shè)施以及其他通信與存儲介質(zhì)免遭地震����、水災(zāi)���、火災(zāi)���、有害氣體和其他環(huán)境事故破壞的措施���、過程。
2)運行安全是指為保障系統(tǒng)功能的安全實現(xiàn)���。提供一套安全措施(如風險分析�、審計跟蹤����、備份與恢復(fù)、應(yīng)急措施)來保護信息處理過程的安全��。
3)信息安全是指防止信息資源的非授權(quán)泄漏�����、更改���、破壞�����,或使信息被非法系統(tǒng)辨別���、控制和否認���。即確保信息的完整性、機密性�、可用性和可控性。
4)管理安全是指通過信息安全相關(guān)的法律法令和規(guī)章制度以及安全管理手段����,確保系統(tǒng)安全生存和運營。
信息安全是一個多層面����、多因素、綜合和動態(tài)的過程�����。安全措施必須滲透到所有的環(huán)節(jié)��。才能獲得全面的保護�。為了防范和減少風險,一般的信息系統(tǒng)都部署了基本的防御和檢測體系�����,如防火墻�����、防病毒軟件�、入侵檢測系統(tǒng)、漏洞掃描設(shè)備等等���。這些安全技術(shù)和安全設(shè)備及軟件的應(yīng)用��,在很大程度上提高了信息系統(tǒng)的安全性���。但是這樣做不能從根本上降低安全風險。解決安全問題�。因為不能把信息安全問題僅僅當做是技術(shù)問題,日常所說的防范黑客入侵和病毒感染只能是信息安全問題的一個方面���。一方面由于所有安全產(chǎn)品的功能都是針對某一類問題,并不能應(yīng)用到所有問題上����,所以說它們的功能相對比較狹窄���,因此想通過設(shè)置安全產(chǎn)品來徹底解決信息安全問題是不可能的��;另一方面����,信息安全問題并不是固定的、靜態(tài)的����,它會隨著信息系統(tǒng)和操作流程的改變而變化���。而設(shè)置安全產(chǎn)品則是一種靜態(tài)的解決辦法��。一般情況下�����,當產(chǎn)品安裝和配置一段時期后,舊的問題解決了�。新的安全問題就會產(chǎn)生,安全產(chǎn)品無法進行動態(tài)調(diào)整來適應(yīng)安全問題的變化���。有效解決上述問題的關(guān)鍵是搭建一個信息安全體系���。建設(shè)體系化管理手段,通過安全產(chǎn)品的輔助�����,從而保障信息系統(tǒng)的安全。
二�、搭建信息安全管理體系
(一)BS7799
信息安全管理體系是安全管理和安全控制的有效結(jié)合體,通過分析信息安全各個環(huán)節(jié)的實際需求情況和風險情況��,建立科學合理的安全控制措施����,并且同信息系統(tǒng)審計相結(jié)合��,從而保證信息資產(chǎn)的安全性����、完整性和可用性。國際上制定的信息安全管理標準主要有:英國標準協(xié)會制定的信息安全管理體系標準-BS7799����;國際信息系統(tǒng)審計與控制協(xié)會制定的信息和相關(guān)技術(shù)控制目標-COBIT;是目前國際上通用的信息系統(tǒng)審計標準���;英國政府的中央計算機和通信機構(gòu)提出的一套IT服務(wù)管理標準-ITIL���;國際標準化組織(IS01和國際電工委員會(IEC)所制定信息安全管理標準-IS0/IECl335�����。其中BS7799英國的工業(yè)��、政府和商業(yè)共同需求而發(fā)展的一個標準����,于1995年2月制定的����、世界上第一個信息安全管理體系標準。經(jīng)過不斷的修訂��,目前已經(jīng)成為信息安全管理領(lǐng)域的權(quán)威標準����。其兩個組成部分目前已分別成為IS017799和IS027001標準���。BST799涵蓋了安全所應(yīng)涉及的方方面面��,全面而不失操作性����,提供了一個可持續(xù)發(fā)展提高的信息安全管理環(huán)境��。在該標準中��,信息安全已經(jīng)不只是人們傳統(tǒng)上所講的安全�����,而是成為一種系統(tǒng)化和全局化的觀念。和以往的安全體系相比��,該標準提出的信息安全管理體系(SMS)具有系統(tǒng)化���、程序化和文檔化的管理特點���。
(二)息安全管理體系(ISMs)
信息安全管理體系(LSMS)是組織整體管理體系的一個重要組成部分,是組織在整體或特定范圍內(nèi)建立信息安全方針和目標�,以及完成這些目標所用方法的體系?;趯I(yè)務(wù)風險的分析和認識����,ISMS包括建立、實施�����、操作�、監(jiān)視��、復(fù)查����、維護和改進信息安全等一系列的管理活動��。IS027001是建立和維護信息安全管理體系的準繩,它一般是要求通過確定的過程來建立ISMS框架:確定體系范圍���,制定信息安全策略�����,明確管理職責,通過風險評估確定控制目標和控制方式�。整個體系一旦建立起來,組織就必須實施��、維護和不斷改進ISMS���,保持整個體系運作的有效性�����。
(三)ISMS搭建步驟
當一個組織建立和管理信息安全體系時�。BS7799提供了指導性的建議�����,即遵循PDCA(Plan,Check和Act)的持續(xù)改進的管理模式�����。PDCA循環(huán)實際上是有效進行任何一項工作的合乎邏輯的工作程序����。對于搭建和管理信息安全體系���,其PDCA過程如下:
1)信息安全體系(PLAN)
在PLAN階段通過風險評估來了解安全需求,根據(jù)需求設(shè)計解決方案�����。根據(jù)BS7799-2��。搭建ISMS一般有如下步驟:
A�、定義安全方針:信息安全方針是組織的信息安全委員會制定的高層文件����,用于指導組織如何對資產(chǎn),包括敏感信息進行管理��、保護和分配的規(guī)則和指示。
B���、定義1SMS的范圍:ISMS的范圍是需要重點進行信息安全管理的領(lǐng)域,組織可根據(jù)自己的實際情況�����。在整個組織范圍內(nèi)�、或者在個別部門或領(lǐng)域架構(gòu)ISMS�。
C、實施風險評估:首先對ISMS范圍內(nèi)的信息資產(chǎn)進行鑒定或估計���,然后對信息資產(chǎn)面對的各種威脅和脆弱性進行評估�����,同時對已存在的或規(guī)劃的安全控制措施進行鑒定�����。
D、風險管理:根據(jù)風險評估與現(xiàn)狀調(diào)查的結(jié)果����。確定安全需求��,決定如何對信息資產(chǎn)實施保護及保護到何種程度限(如接受風險���、避免風險、轉(zhuǎn)移風險或降低風險)���。
E���、選擇控制目標和控制措施:根據(jù)風險評估和風險管理的結(jié)果,選擇合適的控制目標和控制措施來滿足特定的安全需求��?���?梢詮腂S7799-1的中進行選擇,也可以應(yīng)選擇一些其它適宜的控制方式�。
F、準備適用性申明(SOA):SOA是適合組織需要的控制目標和控制的評論����,記錄組織內(nèi)相關(guān)的風險控制目標和針對每種風險所采取的各種控制措施。
2)實施信息安全體系(D01
在DO階段將解決方案付諸實現(xiàn)����,實施組織所選擇的控制目標與控制措施����。
3)檢查信息安全體系(cHECK)
在CH ECK階段進行有關(guān)方針��、程序���、標準與法律法規(guī)的符合性檢查���,對存在的問題采取措施��,予以改進���,以保證控制措施的有效運行���。在此過程中,要根據(jù)風險評估的對象及范圍的變化情況����。以及時調(diào)整或完善控制措施�。常見的檢查措施有:日常檢查��、從其他處學習����、內(nèi)部ISMS審核���、管理評審、趨勢分析等�。
4)改進信息安全體系(ACT)
在ACT階段對ISMS進行評價。以檢查階段發(fā)現(xiàn)的問題為基礎(chǔ)����,尋求改進的機會,采取相應(yīng)的措施進行調(diào)整與改進��。
