序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗�����,特別為您篩選了11篇公司信息安全管理體系范文����。如果您需要更多原創(chuàng)資料�,歡迎隨時與我們的客服老師聯(lián)系,希望您能從中汲取靈感和知識�!
篇1
1 引言
在如今的信息化社會中,信息通過共享傳遞實現(xiàn)其價值���。在信息交換的過程中�,人們肯定會擔(dān)心自己的信息泄露,所以信息安全備受關(guān)注�����,企業(yè)的信息安全就更為重要了��。但是網(wǎng)絡(luò)是一個開放互聯(lián)的環(huán)境�,接入網(wǎng)絡(luò)的方式多樣,再加上技術(shù)存在的漏洞或者人們可能的操作失誤等�����,信息安全問題一刻不容忽視����。尤其是電力,是國家規(guī)定的重要信息安全領(lǐng)域�����。所以電力企業(yè)要把信息安全管理體系的建設(shè)��,作為重要的一環(huán)納入到整個企業(yè)管理體系中去�。
2 電力企業(yè)信息管理體系建設(shè)的依據(jù)
關(guān)于企業(yè)的安全管理體系方面的標(biāo)準(zhǔn)有很多。英國BSI/DISC的BDD信息管理委員會制定的安全管理體系主要包含兩個部分內(nèi)容:信息安全管理實施規(guī)則和信息安全管理體系規(guī)范。信息安全管理實施規(guī)則是一個基礎(chǔ)性指導(dǎo)文件��,里面有10大管理項�、36個執(zhí)行的目標(biāo)和127種控制的方法�,可以作為開發(fā)人員在信息安全管理體系開發(fā)過程中的一個參考文檔。信息安全管理體系規(guī)范則詳細(xì)描述了在建立���、施工和維護(hù)信息安全管理體系過程的要求���,并提出了一些具體操作的建議。
國際標(biāo)準(zhǔn)化組織也了很多關(guān)于信息安全技術(shù)的標(biāo)準(zhǔn)��,如ISO x系列����、ISO/IEC x系列等。我國也制定了一系列的信息安全標(biāo)準(zhǔn)��,如GB 15851―1995�����。
關(guān)于企業(yè)信息安全管理體系方面的標(biāo)準(zhǔn)眾多��,如何針對企業(yè)自身實際情況選擇合適的參考標(biāo)準(zhǔn)很重要,尤其是電力企業(yè)有著與其他企業(yè)不同的一些特殊性質(zhì)���,選擇信息安全體系建設(shè)的參考標(biāo)準(zhǔn)更要謹(jǐn)慎����。我國電力企業(yè)已經(jīng)引入了一些國際化標(biāo)準(zhǔn)作為建立和維護(hù)企業(yè)運轉(zhuǎn)的保證����,關(guān)于信息安全體系的標(biāo)準(zhǔn)也應(yīng)納入到保證企業(yè)運轉(zhuǎn)的一系列參考中去。電力企業(yè)總體應(yīng)有一致的安全信息管理體系參考標(biāo)準(zhǔn)����,但是具體地區(qū)的公司又有著本身自己的特殊環(huán)境,所以在總體一致的信息安全標(biāo)準(zhǔn)的情況下�����,也應(yīng)該根據(jù)企業(yè)自身地區(qū)�、人文、政策等的不同制定一些企業(yè)內(nèi)部自己信息安全標(biāo)準(zhǔn)作為建立��、實施和維護(hù)信息安全管理體系的依據(jù)����。信息安全管理體系顧全大局又要有所側(cè)重的體現(xiàn)電力企業(yè)安全標(biāo)準(zhǔn)的要求��。
3 信息安全管理體系里的重要環(huán)節(jié)
3.1 硬件環(huán)境要求
信息安全管理體系并沒有特別要求添加什么特別的設(shè)備����,只是對企業(yè)用到的設(shè)備做一些要求��。電力企業(yè)一般采用內(nèi)外網(wǎng)結(jié)合的方式��,內(nèi)外網(wǎng)設(shè)備要盡量進(jìn)行物理隔離���。企業(yè)每個員工基本都有自己的移動設(shè)備,如手機(jī)等�,為了增加信息安全的系數(shù),企業(yè)可以限制公司設(shè)備的無線網(wǎng)絡(luò)拓展����。另外,實時監(jiān)控系統(tǒng)也應(yīng)該覆蓋企業(yè)的重要設(shè)備�����,監(jiān)控硬件設(shè)備的安全�����。
3.2 軟件環(huán)境要求
在企業(yè)設(shè)備(主要是計算機(jī))上部署相關(guān)軟件環(huán)境是信息安全管理體系中最重要的部分。比如防病毒軟件的部署���、桌面系統(tǒng)弱口令監(jiān)控軟件的部署等����,以此防止網(wǎng)絡(luò)攻擊或者提高安全系數(shù)����。另外,企業(yè)設(shè)備所用系統(tǒng)的安全漏洞修復(fù)����、數(shù)據(jù)的加密解密、數(shù)據(jù)的備份恢復(fù)及數(shù)據(jù)傳輸通道的加密解密等問題����,都在信息安全管理體系設(shè)計的考慮范疇。
3.3 企業(yè)員工管理
盡管現(xiàn)在一直倡導(dǎo)智能化���,但是企業(yè)內(nèi)進(jìn)行設(shè)備等操作的主體還是員工�����。不管是對設(shè)備終端操作來進(jìn)行信息的首發(fā)����,還是對企業(yè)軟硬件系統(tǒng)進(jìn)行維護(hù)工作,都是有員工來進(jìn)行的��。所以�,對企業(yè)內(nèi)部員工進(jìn)行信息安全培訓(xùn),提高員工的信息安全防范意識����,讓員工掌握一定的信息安全防范與處理手段是非常重要的事情。針對不同的職位�,在員工上崗前應(yīng)該進(jìn)行相關(guān)的信息安全方面的培訓(xùn)���,然后對培訓(xùn)結(jié)果進(jìn)行考核�����,不合格的人員不準(zhǔn)上崗�。在崗的人員也要定期進(jìn)行培訓(xùn)與考核�。另外,如果有條件的話��,企業(yè)應(yīng)該定期(例如每年)進(jìn)行一次信息安全的相關(guān)演習(xí)�����。
另外,電力企業(yè)有些項目是外包給其他相應(yīng)公司的���,這時候會有施工人員和駐場人員在電力企業(yè)���,對這些人員也應(yīng)該進(jìn)行電力企業(yè)信息安全的培訓(xùn)。
3.4 信息安全管理體系的風(fēng)險系數(shù)評估
風(fēng)險評估在信息安全管理體系中是確定企業(yè)信息安全需求的一個重要途徑��,它是對企業(yè)的信息資產(chǎn)所面臨的威脅�����、存在的弱點��、造成的影響���,以及三者綜合作用下所帶來的風(fēng)險可能性的評測��。風(fēng)險評估的主要任務(wù)是:檢測評估對象所面臨的各種風(fēng)險�����,估計風(fēng)險的概率和可能帶來的負(fù)面影響的程度�,確定信息安全管理體系承受風(fēng)險的能力,確定不同風(fēng)險發(fā)生后消減和控制的優(yōu)先級�����,對消除風(fēng)險提出建議�����。在信息安全管理體系的風(fēng)險系數(shù)評估過程中����,形成《風(fēng)險系數(shù)評估報告》、《風(fēng)險處理方案》等文檔����,作為對信息安全管理體系進(jìn)行調(diào)整的參考。風(fēng)險系數(shù)的評估要盡可能全面的反映企業(yè)的信息安全管理體系�����,除了常規(guī)手段����,也可以使用一些相應(yīng)的軟件工具的結(jié)果作為參考�。另外很值得注意的是企業(yè)的員工對風(fēng)險的理解�����,企業(yè)員工對他們所操作的對象有比較深刻的理解�����,對其中可能存在的不足也有自己的見解��,在風(fēng)險系數(shù)評估的過程中��,可以進(jìn)行一些員工的問卷調(diào)查等����,把員工對風(fēng)險的認(rèn)識納入風(fēng)險評估的考慮范疇�����。
企業(yè)的設(shè)備會老舊更換����,員工也會更換,所以企業(yè)的信息安全是動態(tài)的��,因此風(fēng)險評估工作也要視具體情況定期進(jìn)行,針對當(dāng)前情況作評估報告�����,然后制定相應(yīng)的風(fēng)險處理方案����。還有,之所以要建立信息安全管理體系�,其中很重要的一點就是體系內(nèi)各個模塊的結(jié)合,信息安全管理體系的風(fēng)險評估與關(guān)鍵內(nèi)容的實時監(jiān)控就應(yīng)該結(jié)合起來�����。
為了降低信息安全管理體系的風(fēng)險系數(shù)����,提升信息安全等級,要做的工作很多����。滲透測試就是其中很有必要的一項工作。滲透測試是測試人員通過模擬惡意攻擊者的攻擊方式�,來評估企業(yè)計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種評測方法�����。這個測試過程會對系統(tǒng)的可知的所有弱點、技術(shù)方面的缺陷或者漏洞等作主動的分析����。滲透測試對于網(wǎng)絡(luò)信息安全的組織具有實際應(yīng)用價值。隨著技術(shù)的不斷進(jìn)步�,可能還會出現(xiàn)其他的更有價值的信息安全技術(shù),作為信息安全備受矚目的電力企業(yè)���,應(yīng)當(dāng)時刻關(guān)注相關(guān)技術(shù)的進(jìn)展�����,并及時將它們納入企業(yè)信息安全管理體系中來��。
3.5 信息安全管理體系的管理模式
文章前面提到企業(yè)信息安全是動態(tài)的�,所以信息安全管理體系需要建立一個長效的機(jī)制����,針對最新的情況及時對自身作出調(diào)整,使信息安全管理體系有效的運行?,F(xiàn)在一般會采用PDCA循環(huán)過程模式:計劃,依照體系整個的方針和目標(biāo)�����,建立與控制風(fēng)險系數(shù)、提高信息安全的有關(guān)的安全方針���、過程�、指標(biāo)和程序等����;執(zhí)行:實施和運作計劃中建立的方針、過程�、程序等;評測:根據(jù)方針�����、目標(biāo)等��,評估業(yè)績���,并形成報告����,也就是文章前面說到的風(fēng)險系數(shù)評估����;舉措:采取主動糾正或預(yù)防措施對體系進(jìn)行調(diào)整,進(jìn)一步提高體系運作的有效性���。這四個步驟循環(huán)運轉(zhuǎn)�,成為一個閉環(huán)���,是信息安全管理體系得到持續(xù)的改進(jìn)��。
4 重要技術(shù)及展望
4.1 安全隔離技術(shù)
電力企業(yè)的信息網(wǎng)絡(luò)是由內(nèi)外網(wǎng)兩部分組成�����,從被防御的角度來看的話��,內(nèi)網(wǎng)的主要安全防護(hù)技術(shù)為防火墻��、桌面弱口令監(jiān)控��、入侵檢測技術(shù)等�����;而主動防護(hù)則主要采用的是安全隔離技術(shù)等�����。安全隔離技術(shù)包括物理隔離���、協(xié)議隔離技術(shù)和防火墻技術(shù)�。一般電力企業(yè)采用了物理隔離與防火墻技術(shù)�����,在內(nèi)網(wǎng)設(shè)立防火墻��,在內(nèi)外網(wǎng)之間進(jìn)行物理隔離��。
4.2 數(shù)據(jù)加密技術(shù)
企業(yè)的數(shù)據(jù)在傳輸過程中一般都要進(jìn)行加密來降低信息泄露的風(fēng)險�。可以根據(jù)電力企業(yè)內(nèi)部具體的安全要求�,對規(guī)定的文檔、視圖等在傳輸前進(jìn)行數(shù)據(jù)加密�����。尤其是電力企業(yè)通過外網(wǎng)傳輸?shù)臅r候�,除了對數(shù)據(jù)進(jìn)行加密外,還應(yīng)該在鏈路兩端進(jìn)行通道加密����。
4.3 終端弱口令監(jiān)控技術(shù)
終端設(shè)備眾多���,而且是業(yè)務(wù)應(yīng)用的主要入口,所以終端口令關(guān)乎業(yè)務(wù)數(shù)據(jù)的安全以及整個系統(tǒng)的正常運轉(zhuǎn)�。如果終端口令過于簡單薄弱��,相當(dāng)于沒有設(shè)定而將設(shè)備暴露���。終端的信息安全是電力企業(yè)信息安全的第一道防線����,因此采用桌面系統(tǒng)弱口令監(jiān)控技術(shù)來加強(qiáng)這第一道防線的穩(wěn)固性對電力企業(yè)的信息安全非常重要����。
電力企業(yè)信息安全管理體系是一個復(fù)雜的系統(tǒng),包含眾多的安全技術(shù)����,如數(shù)據(jù)備份及災(zāi)難恢復(fù)技術(shù)、終端安全檢查與用戶身份認(rèn)證技術(shù)�����、虛擬專用網(wǎng)技術(shù)、協(xié)議隔離技術(shù)等��。凡是與信息安全相關(guān)的技術(shù)���,電力企業(yè)都應(yīng)當(dāng)關(guān)注����,并根據(jù)企業(yè)自身的情況決定是否將之納入到信息安全管理體系中去��。
智能化已成為不管是研究還是社會應(yīng)用的熱門詞匯����。電力企業(yè)的信息安全管理體系是否可以智能化呢?不妨做一個展望�,電力企業(yè)的信息安全管理體系有了很強(qiáng)的自我學(xué)習(xí)與自我改進(jìn)的能力,在信息安全環(huán)境越來越復(fù)雜�����,信息量越來越龐大的情況下是否會更能發(fā)揮信息安全管理體系的作用呢��?這應(yīng)該是值得期待的����。
5 防病毒軟件部署
電力企業(yè)信息安全管理體系有很多軟件系統(tǒng)的部署�����,如防病毒軟件部署��、桌面弱口令監(jiān)控系統(tǒng)部署����、系統(tǒng)安全衛(wèi)士部署等���。但是它們的部署情況類似,這里用防病毒軟件的部署來展示電力企業(yè)信息安全管理體系中軟件系統(tǒng)的部署情況���。如圖1所示為防病毒軟件的部署框架���。
殺毒軟件種類有很多,這里以賽門鐵克殺毒軟件為例����。企業(yè)版的賽門鐵克防病毒軟件系統(tǒng)相比單機(jī)版增加了網(wǎng)絡(luò)管理的功能,能夠很大程度地減輕維護(hù)人員的工作量���。為了確保防病毒軟件系統(tǒng)的穩(wěn)定運行��,在電力企業(yè)內(nèi)部正式使用時��,盡量準(zhǔn)備一立的服務(wù)器作為防病毒軟件專用的服務(wù)器��。
服務(wù)器安裝配置好賽門鐵克防病毒軟件后�����,可以遠(yuǎn)程控制客戶端與下級升級服務(wù)器的軟件安裝與升級����。
電力企業(yè)內(nèi)網(wǎng)可能是禁止接入外網(wǎng)的,這樣的話���,防病毒軟件的更新可能無法自動完成����。防病毒軟件需要升級的時候�����,維護(hù)人員在通過外網(wǎng)在相應(yīng)網(wǎng)址下載賽門鐵克升級包�,然后通過安全U盤拷貝到防病毒軟件系統(tǒng)專用服務(wù)器進(jìn)行升級操作。在圖1中,省電力公司的防病毒管理控制臺獲得升級包可以下發(fā)給下級升級服務(wù)器和客戶端進(jìn)行防病毒軟件系統(tǒng)的自動升級更新�。圖1是一個簡單的框圖,如果電力企業(yè)的內(nèi)網(wǎng)規(guī)模很大的話��,還可以更多級地分布部署����。
6 結(jié)束語
電力企業(yè)的信息安全與企業(yè)的生產(chǎn)與經(jīng)營管理密切相關(guān),是企業(yè)整個管理系統(tǒng)的一部分��。信息安全管理體系是一個整體性的管理工作���,把體系中涉及的內(nèi)容統(tǒng)一進(jìn)行管理��,讓它們協(xié)調(diào)運作,實現(xiàn)信息安全管理體系的功能�。電力企業(yè)信息安全的建立與體系不斷的改進(jìn)定能穩(wěn)定、有效地維護(hù)企業(yè)的信息安全�����。
參考文獻(xiàn)
[1] 王志強(qiáng)����,李建剛.電網(wǎng)企業(yè)信息安全管理體系建設(shè)[J].浙江省電力公司,2008,6(3):26-29.
[2] 陳賀�����,宮俊峰.淺析信息安全體系如何建立[J].中國管理信息化��,2014����,17(1):74-76.
[3] 郭建,顧志強(qiáng).電力企業(yè)信息安全現(xiàn)狀分析及管理對策[J].信息技術(shù)���,2013(1):180-187.
[4] 沈軍.火力發(fā)電廠信息你安全體系構(gòu)建與應(yīng)用[J].電力信息通信技術(shù)�,2013����,11(8):103-108.
[5] 左鋒.信息安全體系模型研究[J].信息安全與通信保密,2010����,01(10):68-71.
[6] 楊柳.構(gòu)建供電企業(yè)信息安全體系[J].電腦知識與技術(shù),2005(29).
[7] 曹鳴鵬�����, 趙偉, 許林英. J2EE技術(shù)及其實現(xiàn)[J]. 計算機(jī)應(yīng)用����,2001, 21(10): 20-23.
[8] 江和平.淺談網(wǎng)絡(luò)信息安全技術(shù)[J].現(xiàn)代情報學(xué)���,2004(14):125-127.
作者簡介:
崔阿軍(1984-)���,男,甘肅平?jīng)鋈?�,碩士研究生�����,工程師�;主要研究方向和關(guān)注領(lǐng)域:電力信息通信安全技術(shù)研究。
張馴(1984-)�����,男����,江蘇揚(yáng)州人,本科���,工程師���;主要研究方向和關(guān)注領(lǐng)域:電力信息通信安全技術(shù)研究。
李志茹(1984-)���,女�,山東平度人���,碩士研究生����,工程師���;主要研究方向和關(guān)注領(lǐng)域:信息化建設(shè)及安全技術(shù)�����。
篇2
Based on the New ISO27000 to the Understanding of the Software Industry�����, Information Security
Wen Yan-ge Chen Wen-e Wang Gang
(Tianjin University of Commerce Tianjin 300134)
【 Abstract 】 The effective corporate security system will become the basic requirement of modern enterprise development. As the software industry��, good information security system was the core of enterprise competitiveness. This article from the ISO27000 redesign is interpreted accordingly-the enterprise will how to adjust and improve their information security management system to the new standard and new control measures.
【 Keywords 】 the new iso27000����; software industry; information security management system�����; the pdca model
1 引言
如今隨著信息化的步伐日益加速以及信息相關(guān)技術(shù)的飛猛發(fā)展�����,信息資源也日漸成為所有企業(yè)維持正常運轉(zhuǎn)的重要資源���。信息以及載體信息系統(tǒng)�����、網(wǎng)絡(luò)等已經(jīng)成為了企業(yè)生存和發(fā)展的重要資產(chǎn)����。然而企業(yè)的信息安全和數(shù)據(jù)泄露仍然是企業(yè)管理者關(guān)注的主要問題之一�����。大部分企業(yè)基于企業(yè)實際情況�,通過引入國際信息安全管理體系IS027000以及通過最佳的業(yè)務(wù)實踐,建立����、實施、運行���、監(jiān)視����、評審�、保持和改進(jìn)文件化的信息安全管理體系(即ISMS),實現(xiàn)對信息安全的預(yù)控���、在控�����、可控���、能控����。
而隨著2013年的ISO27000的改版�,各行各業(yè)勢必會根據(jù)自身信息安全的情況對信息安全體系作出調(diào)整。本文將針對軟件行業(yè)在調(diào)整下的信息安全管理體系下�,如何更好地保持和改進(jìn)信息安全體系作出解讀,使企業(yè)更好地依據(jù)標(biāo)準(zhǔn)體系和方法論�,制定出符合企業(yè)長久發(fā)展的信息安全管理體系。
2 ISO標(biāo)準(zhǔn)
2.1 ISO標(biāo)準(zhǔn)及變化
ISO/IEC27000(Information Security Management System Fundamentals And Vocabulary)是信息安全管理體系基礎(chǔ)和術(shù)語���,ISO/IEC 27000提供了ISMS標(biāo)準(zhǔn)族中所涉及的通用術(shù)語及基本原則��,是ISMS標(biāo)準(zhǔn)族中最基礎(chǔ)的標(biāo)準(zhǔn)之一����。最新版本于2013年9月25日����。
相對于2005版,新版本對于ISMS建立的基礎(chǔ)進(jìn)行了調(diào)整和明確���,相較于2005年版本以資產(chǎn)和技術(shù)為主題���,新版標(biāo)準(zhǔn)則把更多的目光投向組織業(yè)務(wù)關(guān)系�,更多地考慮到組織自身及利益相關(guān)方的需求��,這也是時展的整體趨勢�����。新版控制措施ISO27002從舊版的11個領(lǐng)域更新為14個領(lǐng)域�����,刪除了舊版中一些重復(fù)的和操作級的控制項�。具體是舊版通信與操作管理被劃分成為兩個獨立的領(lǐng)域操作安全和通信安全�,足以見新版對這兩個領(lǐng)域的重視;新增密碼學(xué)和供應(yīng)關(guān)系兩個獨立領(lǐng)域���。新版ISO27001將舊版中4.1章節(jié)即有關(guān)建立和管理ISMS的總要求獨立成出來���;為了使邏輯性更加嚴(yán)謹(jǐn),人力資源安全��、資產(chǎn)管理以及訪問控制位置發(fā)生一定改變����;從章節(jié)上講��,由8個章節(jié)拓展到10個章節(jié)����,重新構(gòu)建了ISO標(biāo)準(zhǔn)PDCA的章節(jié)構(gòu)架�����。
2.2 關(guān)于PDCA模型
此處對于PDCA模型以及新版標(biāo)準(zhǔn)的劃分做一簡單說明:PDCA模式是國際認(rèn)可的模型��,很多著名的標(biāo)準(zhǔn)和管理體系都遵循這一模式�。該模型是一個很好的周期性框架,每個階段都與其他階段相關(guān)聯(lián)���。
PDCA模型分別由四部分組成:P(Plan)――建立ISMS���, 根據(jù)組織的整體策略和目標(biāo),確定活動的計劃�,包括第四至七章(組織背景、領(lǐng)導(dǎo)力�、計劃、支持)����;D(Do)――實施和運作ISMS��,實際地去完成計劃中的內(nèi)容�����,包括第八章(運行);C(Check)――監(jiān)視和評審ISMS�����,總結(jié)實施和運作的結(jié)果�����,查找問題�����,包括第九章(績效評價)����;A(Action)――保持和改進(jìn)ISMS,對評審的結(jié)果做出處理�����,成功的經(jīng)驗要進(jìn)行保持和推廣,失敗的教訓(xùn)要尋找原因�,避免下次再出現(xiàn)同樣的錯誤,沒有解決的問題放到下一個PDCA循環(huán)中�,包括第十章(改進(jìn))。
PDCA模型是管理學(xué)中常用的一個模型��。該模型在運作過程中����,按照P-D-C-A 的順序依次進(jìn)行,一次完整的循環(huán)可以看作是管理學(xué)上的一個管理周期���,每經(jīng)過一次循環(huán)��,管理情況就會得到改善�����,同時進(jìn)入更高的P-D-C-A周期循環(huán)�,組織的管理體系不斷的得到提升����,管理水平也不斷提高�����。而這四個步驟成為一個閉環(huán)�����,通過這個環(huán)的不斷運轉(zhuǎn)��,使信息安全管理體系得到持續(xù)改進(jìn)�����,使信息安全績效螺旋上升。
新的內(nèi)容將使企業(yè)的側(cè)重點不同�����,從上面的論述中明顯可以看出新標(biāo)準(zhǔn)在企業(yè)建立信息安全體系之前加重了對企業(yè)內(nèi)外環(huán)境信息安全的重視����,在構(gòu)建信息安全體系之前需要企業(yè)全方位考慮其組織環(huán)境、企業(yè)資源�����、管理現(xiàn)狀,了解其發(fā)展所面臨的機(jī)遇與風(fēng)險���,從而高標(biāo)準(zhǔn)��、高精度����、高要求來對待信息安全管理工作��。
對于軟件行業(yè)來說�����,信息安全體系已初步建立和實施�����,主要是監(jiān)視評審并持續(xù)改進(jìn)自身信息安全體系的工作――PDCA模型的C和A����。
3 軟件行業(yè)信息安全現(xiàn)狀及新標(biāo)準(zhǔn)變化下應(yīng)對策略
軟件行業(yè)是對信息安全要求最高的行業(yè),也是企業(yè)引入國際信息安全管理體系IS027000通過認(rèn)證最多的行業(yè)�����。前面已經(jīng)提到,軟件行業(yè)已經(jīng)初步建立和實施自己的信息安全體系�,面對新版ISO27000的要求,大刀闊斧地重新開始構(gòu)建體系勢必會給企業(yè)帶來大的浪費和困擾���。因此���,在新的要求下如何監(jiān)視并改進(jìn)ISMS是軟件行業(yè)中企業(yè)面臨的最大的問題。ISO27001新標(biāo)準(zhǔn)中把舊版4.1獨立成章作為建立體系之前的組織環(huán)境的了解�����,將原來的領(lǐng)導(dǎo)力���、可實現(xiàn)信息安全的計劃、資源等的支持都放入構(gòu)建ISMS之前���,也就是說軟件行業(yè)在監(jiān)控并改進(jìn)信息安全管理體系上要從這些方面完善自身��。而這些方面在其信息安全管理措施上簡單歸納為兩個方面:管理和技術(shù)����。企業(yè)需要通過管理和技術(shù)的雙方面進(jìn)行控制和管理來改善信息安全體系�����。
3.1 管理角度分析
從管理角度考慮,企業(yè)信息安全管理體系中所需采取的安全管理方面的措施主要包括物理安全管理�����、數(shù)據(jù)安全管理�、人員安全管理、軟件安全管理��、運行安全管理���、系統(tǒng)安全管理����、技術(shù)文檔安全管理���,通過對風(fēng)險的技術(shù)性控制和管理的實施��、部署后���,在風(fēng)險控制管理中能保證防御大量存在的威脅,技術(shù)性的控制管理手段不僅包括從簡單直至復(fù)雜的各種具體的技術(shù)手段���,還包括系統(tǒng)架構(gòu)����、系統(tǒng)培訓(xùn)以及一系列的軟件、硬件的安全設(shè)備�����,這些措施和方式應(yīng)該配套使用�,從而保護(hù)關(guān)鍵數(shù)據(jù)、敏感信息及信息系統(tǒng)的功能����。而這些也是ISO27001中第四章組織的背景、第五章領(lǐng)導(dǎo)力�����、第六章計劃��、第七章支持對企業(yè)的具體要求���。
主要管理措施可以從幾個方面出發(fā)。
(1)建立信息安全管理體系監(jiān)督機(jī)制����、在體系運行期間����,要進(jìn)行有效的檢查���、監(jiān)督�����、反饋和溝通���,保證信息安全管理體系能夠按照公司制訂的方針策略,滿足公司業(yè)務(wù)的需求��。
(2)根據(jù)企業(yè)自身的特點���,制訂可行的獎懲制度���,將信息安全的管理納入到績效考核,直接與工作和獎金掛鉤���,將對違反信息安全管理體系規(guī)定進(jìn)行懲罰�。
(3)建立內(nèi)部審核制度,各部門應(yīng)按照信息安全管理體系的要求���,進(jìn)行自查和由負(fù)責(zé)部門進(jìn)行隨時抽查����,并在每年定期組織檢查���,對表現(xiàn)好的單位給予嘉獎���,同時對違反的單位進(jìn)行懲罰,并進(jìn)行公示���;同時對信息安全審計���、安全事件處理和外部組織進(jìn)行反饋溝通,檢查信息安全管理體系的有效性和合理性���。
(4)考慮組織和技術(shù)等的變化對信息安全管理體系的影響��,應(yīng)實時更新相關(guān)的規(guī)章制度����,具體變化情況如:組織變化���、技術(shù)變革��、業(yè)務(wù)目標(biāo)流程的改變�、新的威脅和風(fēng)險點的出現(xiàn)��、法律法規(guī)的變化等����;通過不斷的優(yōu)化和改善,使信息安全管理體系能夠永遠(yuǎn)適合企業(yè)業(yè)務(wù)的需要��。
3.2 技術(shù)角度分析
新版ISO270002控制措施中新增和調(diào)整了一些措施���,涉及信息系統(tǒng)開發(fā)��、信息安全事件管理���、業(yè)務(wù)連續(xù)性管理等部分,這些要求對軟件行業(yè)中企業(yè)的具體實行至關(guān)重要�。從技術(shù)角度考慮,軟件行業(yè)企業(yè)信息安全管理體系中所需采取的安全技術(shù)體系包括幾個方面。
3.2.1物理環(huán)境安全信息系統(tǒng)硬件安全
這是無論舊版控制措施還是新版都沒有絲毫改變的控制項�,也是軟件行業(yè)中企業(yè)應(yīng)加強(qiáng)管理的基礎(chǔ)。在公司的信息系統(tǒng)硬件管理上���,首先對機(jī)房的硬件環(huán)境進(jìn)行安全管理��,包括溫度��、濕度����、消防����、電力等安全管理,對關(guān)鍵的應(yīng)用需要采取UPS供電��,同時采取相應(yīng)的備份��,對硬件的使用率進(jìn)行實時地監(jiān)控�����,避免硬件的使用率過高造成業(yè)務(wù)持續(xù)性的影響����,另外需要對硬件的物理環(huán)境進(jìn)行監(jiān)控��,避免非法人員的進(jìn)入,同時也是對管理員的日常行動進(jìn)行監(jiān)控���,最后需要對機(jī)房人員和物品的出入進(jìn)行權(quán)限的管理和等級制度�����。
3.2.2操作系統(tǒng)與應(yīng)用程序安全
這是新版控制措施新增的安全開發(fā)策略和系統(tǒng)開發(fā)程序等對企業(yè)新的要求�����,保證操作系統(tǒng)與應(yīng)用程序的安全會保護(hù)企業(yè)在系統(tǒng)開發(fā)和集成工作的安全開發(fā)環(huán)境����,使企業(yè)整個開發(fā)周期安全���。
(1) 操作系統(tǒng)安全��。除了進(jìn)行必要的補(bǔ)丁和漏洞的管理和更新外��,最主要的是進(jìn)行防病毒管理��,通過殺毒軟件來防止非法的木馬�����、惡意代碼�����、軟件對操作系統(tǒng)的安全影響���;應(yīng)用程序安全――直接關(guān)系信息系統(tǒng)的安全性����,通過硬件��、軟件的安全保護(hù)來保證應(yīng)用程序的安全�。
(2) 密碼算法技術(shù)。密碼學(xué)在新版控制措施中獨立成為一個領(lǐng)域�����,這就是企業(yè)必須要引起重視的理由�,密碼算法技術(shù),密碼算法技術(shù)應(yīng)用主要是確保信息在傳送的過程中不被非法的人員竊取�、篡改和利用���,同時接收方能夠完整無誤的解讀發(fā)送者發(fā)送的原始信息。
(3) 安全傳輸技術(shù)與安全協(xié)議技術(shù)��。這是針對新增供應(yīng)關(guān)系領(lǐng)域企業(yè)需要加強(qiáng)的技術(shù)���。為減緩供應(yīng)商以及其他用戶訪問企業(yè)資產(chǎn)帶來的風(fēng)險�����,對于重要的系統(tǒng)和對外的訪問,進(jìn)行安全的傳輸技術(shù)����,以此來保證信息在傳輸過程中的安全,避免被非法用戶竊取��、篡改和利用��。
(4) 安全協(xié)議技術(shù)�。主要是指身份認(rèn)證功能,目前企業(yè)系統(tǒng)的安全保護(hù)主要都是依賴于操作系統(tǒng)的安全����,這樣入侵系統(tǒng)就非常容易�,因此需要建立一套完善的身份認(rèn)證系統(tǒng)�,其目的是保證信息系統(tǒng)能確認(rèn)系統(tǒng)訪問者的真正身份,身份認(rèn)證協(xié)議都是使用數(shù)據(jù)加密或數(shù)字簽名等方法來確認(rèn)消息發(fā)送方的身份����。
(5) 信息處理設(shè)備冗余部署。這在新版控制措施第十七章信息安全方面的業(yè)務(wù)連續(xù)性管理中作為新增的控制措施����,要求企業(yè)識別信息系統(tǒng)可用性的業(yè)務(wù)需求,如果現(xiàn)有系統(tǒng)框架不能保證可用性���,應(yīng)該考慮冗余組建或架構(gòu)��。在適當(dāng)情況下����,對冗余信息系統(tǒng)進(jìn)行測試�,保證在發(fā)生故障時可以從一個組件順利切換到另外一個組件。
4 結(jié)束語
信息安全管理體系的建設(shè)改進(jìn)工作是持續(xù)進(jìn)行的��,是會隨著公司業(yè)務(wù)的發(fā)展���、技術(shù)的更新�����、以及新標(biāo)準(zhǔn)的要求等不斷變化的�����。它需要采用科學(xué)的方法來保證體系的持續(xù)穩(wěn)定運行����,從而使信息安全管理體系化、常態(tài)化的保持下去�����。而新版ISO27000在信息安全體系的工作上�,使各行各業(yè)都有了新的指導(dǎo)���。本文主要針對軟件行業(yè)做出一定解讀����?���?傮w來講�,我們需要對己經(jīng)建立的信息安全管理體系進(jìn)行監(jiān)督�����、完善�����、優(yōu)化�����,這實際上還是要求企業(yè)貫徹執(zhí)行PDCA模型��,無論從管理還是具體操作上不斷進(jìn)行PDCA循環(huán)���,才能使得企業(yè)信息安全管理體系不斷改進(jìn)和優(yōu)化�。
參考文獻(xiàn)
[1] 高仁斗.企業(yè)安全工作中存在的問題與對策[J].中國職業(yè)安全衛(wèi)生管理體系認(rèn)證����,2004(05).
[2] 蔣永康,朱冬林����,潘豐.我國中小企業(yè)法律法規(guī)體系建設(shè)現(xiàn)狀及對策[J].管理工程師����,2012(06).
[3] 楊愛民.電子商務(wù)安全的現(xiàn)狀及對策探討[J].科技資訊�,2006.6.
作者簡介:
篇3
當(dāng)前的很多保險企業(yè)當(dāng)中仍然存在
的問題就是計算機(jī)信息安全管理問題,而且這個問題也是各國企業(yè)比較常見的問題�,亟待采取有效的解決措施。在一些相對比較發(fā)達(dá)的企業(yè)���,就可能會存在更多的信息安全隱患���。首先,當(dāng)前的互聯(lián)網(wǎng)正在快速地發(fā)展和進(jìn)步���,并加大了對信息技術(shù)的改革與創(chuàng)新����,與此同時也衍生出很多的惡意項目工具��,甚至信息系統(tǒng)本身也存在一定程度的漏洞�,這些就可能會促使一部分的不法分子有機(jī)可乘����;其次�����,保險企業(yè)本身并未對信息安全的管理工作給予高度的重視����,從而導(dǎo)致信息安全問題層出不窮���。如今�,我國保險行業(yè)得到了快速的發(fā)展�,加之外界環(huán)境因素的影響,從而暴露出越來越多的問題����,此時就需要對這些問題進(jìn)行全面、系統(tǒng)的分析�。
1.1缺乏完善的法律法規(guī)
如今,雖然現(xiàn)在與計算機(jī)信息安全管理有關(guān)的條文比較多�,但是他們被分散于各種標(biāo)準(zhǔn)、管理辦法���、法律��、法規(guī)及道德規(guī)范等多個方面����,然而,當(dāng)前并不具備一套系統(tǒng)����、完善的法律法規(guī)來更進(jìn)一步地保障信息的安全問題。同時�����,當(dāng)前現(xiàn)有的一些法律法規(guī)�����,可能是因為仍然有很大一部分的相關(guān)安全技術(shù)和手段還沒有達(dá)到足夠的成熟和標(biāo)準(zhǔn)化�,這樣就更加不容易去執(zhí)行一些相關(guān)的法律法規(guī)。因此����,如果缺少一些與保險行業(yè)相匹配的信息安全管理法律法規(guī),從而導(dǎo)致保險企業(yè)無法順利的開展相關(guān)工作����,不利于計算機(jī)信息安全管理體系的構(gòu)建。
1.2缺乏足夠的重視
當(dāng)前仍然有很大一部分的保險企業(yè)的管理層不是非常注重和關(guān)注一些相關(guān)的信息安全管理工作���,而且他們并沒有在進(jìn)行管理工作的過程中投入足夠的人力���、物力以及財力等。有很大一部分的保險企業(yè)在治理公司過程中����,只會對保險企業(yè)的適當(dāng)?shù)卣{(diào)整銷售策略、業(yè)務(wù)規(guī)模發(fā)展問題���、優(yōu)化組織結(jié)構(gòu)���、相關(guān)運營流程等給予關(guān)注,這些公司都不是足夠重視對信息安全管理問題的處理����,他們都忽視了信息安全問題會影響保險企業(yè)的發(fā)展。實際上���,在市場經(jīng)濟(jì)體系下�,大多數(shù)保險企業(yè)只有在遇到信息安全事件后才會對計算機(jī)信息安全管理體系給予重視�。此時�����,就需要保險企業(yè)在公司平時進(jìn)行治理工作的過程中���,他們能夠投入更多的時間和精力來對現(xiàn)有的信息安全管理體系進(jìn)行補(bǔ)充和完善,并給予高度的重視�����,從而有效提高信息安全管理體系建設(shè)效率����。
1.3對風(fēng)險評估力度不夠
在信息安全管理體系建設(shè)過程中,大多數(shù)保險企業(yè)不能夠準(zhǔn)確地評估對于該過程中可能會存在的風(fēng)險����,并未對信息化過程中可能出現(xiàn)的安全風(fēng)險問題給予綜合考慮。一般情況下��,他們可能只會考慮到一些相應(yīng)的信息技術(shù)問題�,但是并沒有認(rèn)真地思考在運用信息系統(tǒng)之后可能會顯現(xiàn)出來的信息安全問題。實際上�����,保險企業(yè)不管是否對信息安全管理系統(tǒng)中所存在的安全風(fēng)險問題進(jìn)行評估�����,從而給保險企業(yè)的發(fā)展帶來不利影響��。一旦信息安全管理體系出現(xiàn)比較嚴(yán)重的問題�����,不僅會造成無法彌補(bǔ)的損失����,而且也不能夠?qū)嵭幸恍┱5臉I(yè)務(wù)操作,甚至還可能會造成一些非常嚴(yán)重的后果�,比如是企業(yè)內(nèi)部機(jī)密泄露、重要數(shù)據(jù)被盜或被篡改�����、客戶個人信息泄露等問題�。因此,越來越多的保險企業(yè)由于對風(fēng)險評估力度不夠�����,從而導(dǎo)致系統(tǒng)本身存在操作失誤、缺陷等原因而誘發(fā)的一系列安全問題�。
1.4未明確安全管理責(zé)任劃分
對保險企業(yè)來說,雖然對信息安全管理體系的建設(shè)給予了高度的重視���,但是他們?nèi)狈σ惶着c企業(yè)發(fā)展相匹配的安全管理制度���,未明確安全管理責(zé)任的劃分,從而在一定程度上影響了保險企業(yè)的發(fā)展�。如果這些企業(yè)現(xiàn)在還沒有制定出一些相關(guān)的信息安全管理制度并能夠堅持執(zhí)行,而且企業(yè)在出現(xiàn)相應(yīng)的信息安全問題之后��,并不能夠非常清晰地劃分出具體的責(zé)任人���,這樣時間越來越長����,就會在信息安全問題的監(jiān)管方面出現(xiàn)越來越大的漏洞��,自然而然地�����,也更加不容易去形成一個可以控制的信息安全管理體系���。對于一個保險企業(yè)而言�,在他們公司所出現(xiàn)的一些信息安全管理問題,需要每一位企業(yè)員工給予重視���,而不能依靠企業(yè)當(dāng)中的某一個人或某一個部門單獨負(fù)責(zé)來對安全管理問題進(jìn)行處理。對于保險企業(yè)而言��,他們必須制定出相應(yīng)的制度并劃分出比較明確的責(zé)任�����,而且每個部門都應(yīng)該有一個負(fù)責(zé)人來負(fù)責(zé)信息安全問題�����,以確保問題發(fā)生時能夠有人給予立即處理�����。如果不設(shè)置一個負(fù)責(zé)人的話����,就可能對信息安全管理體系的構(gòu)建問題產(chǎn)生一定的影響,還會阻礙一個企業(yè)的信息安全管理工作和任務(wù)的完成�。因此�����,對于保險企業(yè)而言����,在處理這些現(xiàn)實狀況以及各種各樣問題的時候���,則需要結(jié)合實際情況構(gòu)建一套系統(tǒng)���、完善的信息安全管理體系,從而使安全風(fēng)險問題得到有效解決���,更好的發(fā)揮信息安全管理體系建設(shè)的優(yōu)勢�,確保保險企業(yè)的健康���、可持續(xù)發(fā)展���。
2保險企業(yè)計算機(jī)信息安全管理體系構(gòu)建的對策
2.1健全和完善安全管理標(biāo)準(zhǔn)
對于保險企業(yè)而言,要想更好的推動信息安全管理體系構(gòu)建��,就需要對現(xiàn)有的信息安全管理標(biāo)準(zhǔn)進(jìn)行健全和完善,并更加深入的分析和歸納信息安全管理標(biāo)準(zhǔn)內(nèi)容�����,不僅需要考慮信息技術(shù)相關(guān)的問題����,而且還不能夠忽略信息安全管理問題。在進(jìn)行計算機(jī)安全管理研究過程中���,為了獲取比較良好的研究成果,則需要進(jìn)一步健全信息安全管理標(biāo)準(zhǔn)�,并創(chuàng)建信息安全標(biāo)準(zhǔn)化組織和信息安全管理標(biāo)準(zhǔn)框架,以確保信息安全管理體系構(gòu)建工作有條不紊的進(jìn)行����。在我們國家,雖然在研究信息安全的時候����,不是很早,但是經(jīng)過當(dāng)前不斷的完善過程�,我們國家也制定出了一個更加符合我們國家基本國情的信息安全管理標(biāo)準(zhǔn)。
2.2實現(xiàn)科學(xué)的信息安全管理
對于保險企業(yè)而言�,他們?nèi)绻胍玫貙崿F(xiàn)比較科學(xué)的信息安全管理,就必須要充分地考慮到信息安全問題可能誘發(fā)的不利影響。對于保險企業(yè)而言��,在信息安全管理方面��,不僅需要有效地管理機(jī)構(gòu)安全和人員安全的管理���,而且要做好場地設(shè)施和技術(shù)安全的管理工作�。同時��,保險企業(yè)還需要采取比較科學(xué)的方式��,從而可以有效地構(gòu)建一套可實施的�、科學(xué)合理的計算機(jī)系統(tǒng)安全管理體系,并結(jié)合實際情況制定一套規(guī)范���、完善的安全防范措施���,選擇一些可靠性比較大的、比較穩(wěn)定的�����、比較安全的產(chǎn)品����,并對現(xiàn)有的安全評估標(biāo)準(zhǔn)和等級進(jìn)行細(xì)化和完善�,以便能夠進(jìn)行一些有效的檢查策略��,從而可以更好地開展信息安全管理工作���,為保險企業(yè)的發(fā)展奠定良好的基礎(chǔ)�。
2.3重視安全風(fēng)險評估工作
篇4
A企業(yè)是某歐洲跨國金融公司在廣東的IT服務(wù)外包公司����,主要對母公司在亞太地區(qū)的業(yè)務(wù)提供軟件開發(fā)和維護(hù)工作,企業(yè)的核心業(yè)務(wù)構(gòu)建和運行在以信息技術(shù)為基礎(chǔ)的網(wǎng)絡(luò)和系統(tǒng)上�����。作為金融行業(yè)的IT外包公司���,提升A企業(yè)的信息安全管理水平也成為企業(yè)內(nèi)部和外部的緊迫要求。
ISO27000信息安全管理體系要求是國際標(biāo)準(zhǔn)化組織頒布的有關(guān)信息安全管理的標(biāo)準(zhǔn)���,此標(biāo)準(zhǔn)采用了PDCA循環(huán)管理的方法�,以求最終建立適合企業(yè)需要的信息安全管理體系��。其實現(xiàn)主要通過現(xiàn)場診斷、風(fēng)險評估�����、體系制度編寫��、試運行和外部審核幾個階段�����,而整個項目的出發(fā)點就是完善資產(chǎn)管理��。
A企業(yè)正是選擇了通過ISO27000架構(gòu)構(gòu)建信息安全體系�����。在ISO27000的管理框架下����,資產(chǎn)是指任何對組織有價值的信息或資源,根據(jù)表現(xiàn)形式的不同�,與信息相關(guān)的資產(chǎn)可分為數(shù)據(jù)、文件���、軟件��、硬件���、服務(wù)����、人員等類型�����。資產(chǎn)識別的正確性和準(zhǔn)確性對于后續(xù)的風(fēng)險要素評估及信息安全策略至關(guān)重要�����。
本項目之前�����,A企業(yè)有來自總部的一些信息安全方面的基本要求���,但要求較為抽象、概括�����,并沒有在本地形成有效的管理體系。在信息資產(chǎn)管理方面��,A企業(yè)就信息資產(chǎn)進(jìn)行了一些定義��,制定了部分規(guī)章����,但不夠系統(tǒng)和完整。對于信息資產(chǎn)的管理更多地限于IT部門管理的硬件及軟件等有形資產(chǎn)的管理上���,沒有從數(shù)據(jù)的角度出發(fā)����,也沒有把服務(wù)�、人員以及其他非IT資產(chǎn)視為信息資產(chǎn)的一部分納入信息資產(chǎn)保護(hù)的范疇。
因此��,在構(gòu)建新信息安全管理體系項目中���,A公司在進(jìn)行資產(chǎn)識別時��,將信息資產(chǎn)按照信息����、文檔、軟件���、硬件��、人員及服務(wù)六大類進(jìn)行分類��。其具體實施過程為:
1����、將原有的信息資產(chǎn)清單依照上述六類進(jìn)行劃分���。在此基礎(chǔ)上���,依照公司的組織架構(gòu)和業(yè)務(wù)范圍與各部門負(fù)責(zé)人進(jìn)行訪談,了解業(yè)務(wù)流程��,以識別所有的信息資產(chǎn)��。
2����、對于每一項信息資產(chǎn)�,根據(jù)“誰使用����,誰負(fù)責(zé)”的原則確定責(zé)任人����。由責(zé)任人負(fù)責(zé)對信息資產(chǎn)進(jìn)行分類、分級�。同時可設(shè)定 “維護(hù)人”,由“責(zé)任人”將具體的安全職責(zé)委派給“維護(hù)人”�,但“責(zé)任人”仍須承擔(dān)資產(chǎn)安全的最終責(zé)任。
3��、由信息資產(chǎn)責(zé)任人對資產(chǎn)進(jìn)行分級評分��。按照信息安全的三要素:機(jī)密性���、完整性��、可用性�,對資產(chǎn)分三個要素進(jìn)行賦值(如表1示):
4�、基于對每一項信息資產(chǎn)的在機(jī)密性、完整性��、可用性三方面的賦值�����,通過矩陣計算出信息資產(chǎn)的總價值(如表2示)。
篇5
在此背景下����,國航與IBM公司合作啟動了信息安全規(guī)劃咨詢項目,它旨在為國航信息安全體系建設(shè)打下堅實的理論基礎(chǔ)�。同時,國航也通過該項目完成了未來3~5年信息安全建設(shè)的發(fā)展規(guī)劃�,建立了信息安全管理體系,并最終于2009年5月26日通過了ISO27001信息安全管理體系國際認(rèn)證�����,使國航成為國內(nèi)民航業(yè)第一家獲得IS027001國際認(rèn)證的單位�。
與飛行安全一樣重要
由于信息化建設(shè)已經(jīng)深入到國航業(yè)務(wù)的各個角落,所以��,幾乎所有業(yè)務(wù)都與信息技術(shù)相關(guān)�����,特別是涉及到客戶信任度的商務(wù)及財務(wù)方面更是如此���。因此�,在國航未來的發(fā)展戰(zhàn)略中,信息安全已經(jīng)占據(jù)了越來越重要的位置?����,F(xiàn)在��,公司上下已經(jīng)形成一個共識:打造信息安全管理體系這張保護(hù)網(wǎng)���,就像確保飛行安全一樣重要。
基于這樣一個共識����,我們從國航的業(yè)務(wù)愿景出發(fā),引導(dǎo)出了國航的信息安全愿景�����,即國航需要建立起一個成熟的�����、具備國際水平的信息安全保障體系�,這個保障體系第一要保證國航的核心業(yè)務(wù)不中斷,第二要保障國航信息系統(tǒng)不被攻擊,第三要保障重要的客戶信息不被泄漏��,通過一個全方位的安全保障體系為國航的業(yè)務(wù)愿景保駕護(hù)航�。
雖然現(xiàn)在已獲得了ISO27001國際認(rèn)證,但國航的信息安全建設(shè)經(jīng)歷了一個漫長的過程��,大致可以分為四個階段:
第一個階段是在2006年以前��,當(dāng)時信息系統(tǒng)對于國航的支撐力度相對有限���,同時從整個業(yè)界來看�����,的安全威脅還不是很明顯�,所以��,信息安全建設(shè)的特點是以零星建設(shè)和被動建設(shè)為主��。
第二個階段是2007~2008年�����,隨著國航核心系統(tǒng)逐步投入運行���,以及北京奧運會的臨近����,的安全風(fēng)險不斷增加,這是���,國航開始針對性地對重點領(lǐng)域搭建技術(shù)防護(hù)措施。
第三個階段是從2008年開始�,隨著國航對自身信息安全認(rèn)識的不斷深入,國航按照Is02700 L的標(biāo)準(zhǔn)����,建立起了信息安全的管理體系。同時��,還啟動了全面的信息系統(tǒng)戰(zhàn)略規(guī)劃����,根據(jù)國際最佳實踐并結(jié)合國航的特色,制定了未來3~5年信息安全技術(shù)平臺建設(shè)的藍(lán)圖和路徑�����。自此���,國航整個信息安全建設(shè)有了一個更加科學(xué)和更加明細(xì)的路線圖����。
搭建“安全翹翹板”
整體而言,國航的信息安全體系主要是以IT基礎(chǔ)架構(gòu)和安全技術(shù)架構(gòu)為基礎(chǔ)��,通過信息安全組織與人員對業(yè)務(wù)邏輯的準(zhǔn)確理解和制度流程的有效執(zhí)行����,實現(xiàn)完整的信息安全管理過程。
應(yīng)該說��,信息安全體系是一個非常復(fù)雜的體系���。業(yè)界有個說法叫“安全翹翹板”�����,這個翹翹板主要是在IT基礎(chǔ)結(jié)構(gòu)的基礎(chǔ)上�,包括三方面內(nèi)容:一是技術(shù)平臺���,二是組織和人員�,三是制度和流程�����,通過這三方面的有效執(zhí)行,從而構(gòu)成信息安全體系���。另外�,還要加上安全的管理架構(gòu)和技術(shù)架構(gòu)���,最后和業(yè)務(wù)邏輯結(jié)合起來����,這樣才能構(gòu)成一個完整的信息安全體系��。
目前�,依據(jù)ISO27001標(biāo)準(zhǔn)��,國航建立了包含三個一級方針���,三十一個二級規(guī)章的信息安全管理策略體系����。通過信息安全管理策略體系的建立����、北京奧運會期間的整改措施以及1S02700I外審督促���,國航的管理體系評測水平不斷提升,其中體系評價范圍從運行維護(hù)中心到全信息管理部����,IS027001中要求的十一個領(lǐng)域都有大幅提高。
在技術(shù)平臺建設(shè)方面��,國航針對一些緊迫性問題做了針對性的部署����。比如網(wǎng)絡(luò)安全架構(gòu)不清晰、來自互聯(lián)網(wǎng)的威脅日益增加�、防護(hù)能力偏弱、用戶行為控制存在漏洞�、系統(tǒng)服務(wù)器安全性不足等問題,國航不但劃分了安全領(lǐng)域��,還部署了防DOS攻擊�����、入侵檢測����、入侵防御等設(shè)備����,另外�����,在重點用戶單位引入終端安全管理���,利用弱點掃描工具發(fā)現(xiàn)系統(tǒng)漏洞等技術(shù)措施���,配合各項管理措施,很好地完成了北京奧運信息安全保障工作�����。
在信息安全管理體系建立過程中�����,國航還特別成立了公司級的信息安全管理委員會�,落實了信息安全管控中心職能���,借鑒國際最佳實踐的功能劃分����,采用兩級管控機(jī)制,在對組織機(jī)構(gòu)不做大調(diào)整的情況下落實了安全管理責(zé)任�。
國航ISO27001信息安全管理體系策略文件于2008年底正式,并組織了近200人次的信息安全培訓(xùn)����,采用自評結(jié)合復(fù)核為主的審查方式定期對體系文件的貫徹和執(zhí)行情況進(jìn)行了解。通過內(nèi)部認(rèn)證培訓(xùn)����,培養(yǎng)了專兼職質(zhì)量安全員34人,以承擔(dān)未來各部門的安全內(nèi)審職責(zé)�����。
納入安全運行標(biāo)準(zhǔn)體系
正如國航副總裁賀利所說����,通過ISO27001國際認(rèn)證,并不代表國航的信息安全工作已經(jīng)做到位��,而是意味著信息安全工作開始起步,后面需要完善的工作還有很多���。
因此接下來��,國航首先將不斷對現(xiàn)有管理體系的操作細(xì)則進(jìn)行完善�,進(jìn)一步細(xì)化信息安全管理域成熟等級評價機(jī)制�����,在IBM公司提出的四級評價基礎(chǔ)上���,針對國航實際情況再進(jìn)行細(xì)分�,持續(xù)強(qiáng)化規(guī)章的定期評審機(jī)制��,同時要求所有部分在編寫自身業(yè)務(wù)指導(dǎo)書時落實信息安全規(guī)章���。
另外����,信息管理郝還將和國航相關(guān)部門一起建立基于崗位信息資源的管控機(jī)制����。以后國航每一個崗位上的工作人員���,可以訪問什么樣的內(nèi)容���,能夠訪問多大的資源��,都和崗位密切結(jié)合起來��,這樣就能使信息安全的控制預(yù)先做好相應(yīng)的防控�。
篇6
作者簡介:謝宗曉(1979-)����,男,山東日照人����,南開大學(xué)商學(xué)院博士研究生,研究方向:信息安全管理�、網(wǎng)絡(luò)組織與治理等。
1引言
無論信息安全的關(guān)注點從單點轉(zhuǎn)向系統(tǒng)����,還是其手段從單純的技術(shù)/管理轉(zhuǎn)向體系,安全體系的核心始終都是用戶����。因為在所有安全機(jī)制中��,一方面��,用戶是機(jī)器系統(tǒng)的使用者�����,也是安全策略的執(zhí)行者��,作為主體方存在���;另一方面,用戶是安全策略約束的對象�����,作為客體方存在��。
用戶在信息安全實踐中的作用往往被認(rèn)為是消極的�,有些研究認(rèn)為,在任何系統(tǒng)的安全機(jī)制中��,人是最薄弱的環(huán)節(jié)[1-2]�。但是,目前不存在完全不需要用戶參與就能夠智能識別并適應(yīng)環(huán)境變化的安全防護(hù)系統(tǒng)���,就這點而言���,用戶參與在現(xiàn)階段是不可避免的。此外�,ISO/IEC27001:2005指出,信息安全的主要目的是確保業(yè)務(wù)連續(xù)性�、業(yè)務(wù)風(fēng)險最小化、投資回報和商業(yè)機(jī)遇最大化���,也就是說信息安全是基于業(yè)務(wù)要求的適當(dāng)安全�,過度的安全往往意味著浪費���。Spears等[3]的研究表明�����,用戶參與風(fēng)險評估和控制措施設(shè)計過程可以提供足夠的業(yè)務(wù)信息�,避免不切實際的安全控制��,使實現(xiàn)適當(dāng)?shù)陌踩蔀榭赡?����。因此,用戶參與在信息安全實踐中是必須和必要的���,本研究的目的是探討用戶參與在信息安全管理(informationsecuritymanagement�����,ISM)有效性中的作用�����。
2相關(guān)研究評述
2.1用戶參與
用戶參與的研究開始于20世紀(jì)60年代[4-5]��,目前多集中在信息系統(tǒng)開發(fā)領(lǐng)域中���,在相當(dāng)長的一段時間內(nèi),用戶參與和用戶涉入的概念被認(rèn)為同義�����。Barki等[4��,6]第一次將用戶涉入與用戶參與的概念分離��,認(rèn)為用戶參與是系統(tǒng)開發(fā)過程中用戶執(zhí)行的一系列行為或活動,用戶涉入是用戶對一個系統(tǒng)的重要性以及與個體關(guān)聯(lián)程度認(rèn)識的主觀心理狀態(tài)�����。
用戶參與理論假設(shè)用戶參與與以系統(tǒng)質(zhì)量�����、用戶滿意度�、用戶接受度�、系統(tǒng)應(yīng)用等定義的系統(tǒng)成功之間存在關(guān)聯(lián)[5],其中隱含的含義為���,在信息系統(tǒng)開發(fā)過程中的用戶參與并不是必須的�����,而在信息安全實踐中的用戶參與則明顯不同���,只有部分參與與全員參與的區(qū)別,并不存在是否參與的區(qū)別��。Doll等[7]認(rèn)為�����,在強(qiáng)制環(huán)境下,用戶涉入與用戶參與沒有區(qū)別���。由于用戶參與在信息安全情境中已經(jīng)隱含了強(qiáng)制環(huán)境的含義����,因此本研究也認(rèn)為用戶涉入與用戶參與同義�����。為了研究方便以及與信息系統(tǒng)開發(fā)過程形成更好的對應(yīng)��,本研究中的用戶參與是指用戶在安全策略制定過程中的一系列行為或活動�。
在信息安全研究領(lǐng)域,絕大多數(shù)研究都在關(guān)注安全功能的實現(xiàn)�,Dhillon等[8]在對文獻(xiàn)進(jìn)行分類梳理后認(rèn)為,信息安全研究主流必然從關(guān)注功能的范式轉(zhuǎn)向基于社會-組織視角的研究��;Ashenden[9]反思人在信息安全管理中的作用����,認(rèn)為其中來自人的挑戰(zhàn)被忽視了,并建議從管理學(xué)和組織行為學(xué)的角度研究信息安全管理所面臨的困境���。之后涌現(xiàn)出的基于社會-組織視角的信息安全相關(guān)研究中�����,人的因素明顯成為熱點���,Johnston等[10]認(rèn)為恐懼訴求會影響員工遵守安全策略;Bulgurcu等[11]認(rèn)為員工遵守安全策略受規(guī)范信念和自我效能等因素的影響�。
但是,這些關(guān)注員工遵守安全策略的研究與以往的功能范式研究假設(shè)前提一樣�,即用戶參與(在信息安全中一般稱作人的參與)是作為消極因素出現(xiàn),這在信息安全風(fēng)險評估和管理中尤為明顯����。一般認(rèn)為人工評估是目前信息系統(tǒng)復(fù)雜到無法進(jìn)行全定量化和全自動化評估時不得不采取的一個補(bǔ)充手段[12-14],如何去掉信息安全風(fēng)險評估和管理過程中人的參與也成為其中的重要研究目標(biāo)之一[15]��。
在信息安全情境中���,專門研究用戶參與的文獻(xiàn)較少����,僅有Spears等[3�����,16]探討用戶參與在信息安全風(fēng)險管理中的作用,并得出用戶參與對信息安全風(fēng)險管理有正向作用的結(jié)論�,但對用戶參與在信息安全中的定義未進(jìn)行深入探討,直接用信息系統(tǒng)開發(fā)中的系統(tǒng)開發(fā)替代風(fēng)險管理���。問題在于�,在定義信息安全術(shù)語的ISO/IEC27000:2009以及類似文獻(xiàn)中并沒有明確的用戶參與的詞匯�,只有管理者、用戶以及全員參與等相關(guān)或相似詞匯�。更重要的是,信息安全的概念比信息系統(tǒng)安全的概念大得多��,后者主要圍繞信息系統(tǒng)展開�,前者則包括與信息有關(guān)的所有方面,如信息系統(tǒng)安全��、環(huán)境安全�����、通信安全和人員安全等各個方面�����。
2.2信息安全管理有效性
什么是成功有效的信息安全管理,目前并沒有統(tǒng)一的標(biāo)準(zhǔn)��。無論是DeLone等[17]研究中涉及的6個維度的信息系統(tǒng)成功模型�����,還是He等[18]得到的2組8個因變量�����,都是關(guān)注信息系統(tǒng)的成功應(yīng)用����,其本質(zhì)是效率或便利性的提高�。但是幾乎所有的安全控制都增加了系統(tǒng)的操作復(fù)雜度,從而降低了效率�����,或者說�,安全性與便利性存在某種程度上的矛盾。信息系統(tǒng)成功和信息安全管理成功指向不同的目標(biāo)���,因此�����,在信息安全管理情境下不能直接引用已有的信息系統(tǒng)成功模型�。
已有的信息安全研究中對于有效性的表述各不相同。Chang等[19]在探討組織文化對安全管理有效性影響時����,將有效性表述為安全管理有效性,并用保密性�、完整性、可用性和可核查性作為變量來表征����;D'Arcy等[20]在研究員工安全意識對信息系統(tǒng)誤用的影響時,將有效性表述為有效的安全對策�����;Brady[21]在研究影響信息安全法律法規(guī)符合性的影響因素時����,將有效性表述為安全有效性,并延用了Chang等[19]的研究構(gòu)念�����。
無論表述為哪個概念,絕大部分的研究在討論有效性時都是依據(jù)安全屬性和安全目的進(jìn)行判斷���。ISO/IEC27002:2005對信息安全的定義是保持信息的保密性�����、完整性��、可用性��,也可包括真實性����、可核查性���、不可否認(rèn)性和可靠性等。這個定義本身就包含了信息安全管理的主要目標(biāo)�����,也包括了7個最常見的安全屬性描述�。實際上學(xué)術(shù)界普遍認(rèn)可的信息安全的3個核心屬性是保密性、完整性和可用性,也稱為信息安全金三角或CIA(confidentiality�����,integrity���,availability)框架[22]���,而對真實性、可核查性�����、不可否認(rèn)性和可靠性的認(rèn)識則各有不同���。為了研究方便��,本研究選取3個核心屬性表征信息安全管理的有效性�����。當(dāng)然��,有效的信息安全管理還要考慮更多的因素�����,如應(yīng)該遵循成本效益分析的原則[23-24]等�。
2.3信息安全管理體系
信息安全管理體系(informationsecuritymanagementsystem,ISMS)概念最初源于BS7799�����,它是基于業(yè)務(wù)風(fēng)險方法建立��、實施����、運行、監(jiān)視��、評審���、保持和改進(jìn)信息安全�,包括組織結(jié)構(gòu)��、方針策略��、規(guī)劃活動����、職責(zé)、實踐���、程序��、過程和資源等內(nèi)容�����。信息安全管理體系的支撐標(biāo)準(zhǔn)是ISO/IEC27000標(biāo)準(zhǔn)族����,共有60個標(biāo)準(zhǔn)�,編號為ISO/IEC27000~ISO/IEC27059,其中最重要的標(biāo)準(zhǔn)ISO/IEC27001:2005和ISO/IEC27002:2005已經(jīng)被等同為國家標(biāo)準(zhǔn)��,即GB/T22080-2008和GB/T22081-2008���。
本研究以信息安全管理體系為背景研究用戶參與在信息安全管理中的作用�,選擇信息安全管理體系作為研究用戶參與的背景主要原因如下�����。
(1)一般認(rèn)為信息安全管理體系是信息安全管理的一個可接受模型或最佳實踐[19,23-25]��,而且目前信息安全管理體系應(yīng)用非常廣泛�����。截至2011年6月�,世界范圍內(nèi)已經(jīng)通過信息安全管理體系注冊的組織共有7279家,中國有497家(http:∥iso27001certificates.com/)����。
(2)信息安全管理體系包括可能涉及的所有信息安全管理活動,ISO/IEC27000標(biāo)準(zhǔn)族不但給出建立��、實施���、運行����、監(jiān)視����、評審、保持和改進(jìn)信息安全的基于業(yè)務(wù)風(fēng)險的方法�����,而且還給出信息安全管理體系的要求���、實用規(guī)則��、審核指南以及相關(guān)安全域的具體指南等�����,僅ISO/IEC27002:2005信息安全管理實用規(guī)則就包括11個控制域���、39個控制目標(biāo)、133項控制措施���。
(3)信息安全管理體系相關(guān)標(biāo)準(zhǔn)是鼓勵用戶參與的����,部署過程按照Plan-Do-Check-Act的戴明環(huán)�����,階段劃分明顯���,而且大部分的部署組織會申請第三方認(rèn)證����,并在中國認(rèn)證認(rèn)可協(xié)會注冊,因此研究者可以非常清晰地判斷組織是否部署了信息安全相關(guān)措施���、是否在信息安全實踐中有用戶參與行為等�����。
3研究假設(shè)和模型構(gòu)建
3.1用戶參與對信息安全管理有效性的直接影響
Ives等[26]對1959年至1981年的用戶參與與信息管理系統(tǒng)成功之間關(guān)系的實證研究進(jìn)行梳理發(fā)現(xiàn)���,22項研究中有8項表明用戶涉入與系統(tǒng)成功正相關(guān);Cavaye[27]對1982年至1992年的研究分析得出的結(jié)果基本類似�����,19項研究中有7項表明用戶涉入與系統(tǒng)成功正相關(guān)�,部分研究是無定論或負(fù)相關(guān);He等[18]從464項研究中選擇82項實證性研究進(jìn)行元分析�,認(rèn)為用戶參與和信息系統(tǒng)開發(fā)的態(tài)度和行為與生產(chǎn)率存在不同程度的正相關(guān)。
雖然信息系統(tǒng)成功和信息安全管理成功指向不同的目標(biāo)�����,但兩者的開發(fā)過程存在極大的相似性。信息安全管理體系的部署過程實際上是一整套安全策略體系的開發(fā)過程���,可認(rèn)為是系統(tǒng)開發(fā)的一種����,信息系統(tǒng)開發(fā)的過程包括需求分析�����、概要設(shè)計��、詳細(xì)設(shè)計�、編碼�����、測試����、上線、維護(hù)升級等階段���,信息安全管理體系的部署過程包括風(fēng)險評估���、體系設(shè)計����、文件設(shè)計與編寫��、試運行�����、持續(xù)改進(jìn)等過程���。信息系統(tǒng)開發(fā)與信息安全管理體系部署的對應(yīng)關(guān)系見圖1����。
基于此�����,本研究提出假設(shè)����。
H1用戶參與對信息安全管理有效性有顯著的正向作用��。
3.2信息安全意識及其中介作用
信息安全良好實踐(thestandardofgoodpracticeforinformationsecurity����,SoGP)將信息安全意識定義為組織內(nèi)所有的員工理解信息安全的重要性�,清楚組織所適用的安全級別,知悉并履行個人的安全職責(zé)�。
用戶參與到建立信息安全管理體系的過程中,并承擔(dān)各種安全責(zé)任�����,可以加深用戶對信息安全的理解����。Spears等[3]通過研究認(rèn)為���,用戶參與到信息安全風(fēng)險管理的過程中可以提高組織對信息安全風(fēng)險和控制措施的重視程度����,從而提高用戶的信息安全意識�����。基于此��,本研究提出假設(shè)��。
H2用戶參與對信息安全意識有顯著的正向作用���。
Kruger等[28]認(rèn)為�,安全控制的應(yīng)用效果依賴于積極的安全環(huán)境�����,其中每個人都具有較高的信息安全意識�,都理解并執(zhí)行組織內(nèi)的程序和規(guī)程;反之���,在消極的安全環(huán)境中���,安全控制不但得不到有效的應(yīng)用,甚至?xí)灰?guī)避和濫用����。按動機(jī)分,主要有以下兩種情況����。
(1)故意的�����。如銀行業(yè)務(wù)系統(tǒng)用戶的非法外聯(lián)��,由于不理解信息安全的重要性���,不了解后果的嚴(yán)重性,這類用戶往往并不知悉組織的信息安全懲戒措施或相關(guān)的法律法規(guī)����,可以歸結(jié)為信息安全意識薄弱。
(2)無意的��。如服裝設(shè)計人員不知悉哪些信息需要保密���、哪些信息可以公開,將作廢的設(shè)計圖紙隨手扔進(jìn)垃圾箱��,這可能導(dǎo)致信息泄漏�,影響信息的保密性。再如����,有些用戶對主機(jī)的安全操作規(guī)程不了解���,隨便重啟服務(wù)器,這可能導(dǎo)致宕機(jī)����,并由此影響信息的可用性。
這些導(dǎo)致信息安全管理失效的行為或多或少與信息安全意識相關(guān)聯(lián)����。
基于此,本研究提出假設(shè)�����。
H3信息安全意識對信息安全管理有效性有顯著的正向作用���。
H4信息安全意識在用戶參與與信息安全管理有效性的關(guān)系中起中介作用�����。
3.3業(yè)務(wù)流程結(jié)合及其中介作用
系統(tǒng)質(zhì)量理論認(rèn)為�,用戶參與可以使開發(fā)者真正了解系統(tǒng)需求��,從而提高系統(tǒng)質(zhì)量[29-31]。在信息安全管理情境中��,沒有涉及質(zhì)量這一概念�,ISO9000:2005對質(zhì)量的定義是,一組固有特性滿足要求的程度����,按照這個定義,信息安全管理的要求是滿足組織業(yè)務(wù)對安全的需要��。用戶(尤其是業(yè)務(wù)流程負(fù)責(zé)人)參與到信息安全管理的建設(shè)過程中可以使安全策略開發(fā)者了解業(yè)務(wù)過程����,同時也使他們自己更加理解安全策略目的,從而促進(jìn)安全策略與業(yè)務(wù)流程進(jìn)行結(jié)合���,提高安全策略的質(zhì)量���。Spears等[3]的研究證實用戶參與可以使信息安全風(fēng)險管理更加符合業(yè)務(wù)情境����。基于此�,本研究提出假設(shè)�����。
H5用戶參與對業(yè)務(wù)流程結(jié)合有顯著的正向作用����。
對用戶參與信息系統(tǒng)開發(fā)與系統(tǒng)使用之間關(guān)系的研究表明���,只有在可選擇應(yīng)用的環(huán)境中進(jìn)行研究才有意義[17]��。但Barki等[4]認(rèn)為�,即使在強(qiáng)制應(yīng)用環(huán)境中�,用戶還是可以根據(jù)自己的判斷(如態(tài)度和意愿)控制使用的程度,而信息系統(tǒng)的使用程度正是信息系統(tǒng)成功的參數(shù)之一����。
信息安全管理是強(qiáng)制環(huán)境,但是在實際應(yīng)用中安全策略的設(shè)計者出于盡職免責(zé)的心態(tài)����,很容易陷入過度安全的狀態(tài),而業(yè)務(wù)流程負(fù)責(zé)人出于對自身利益的考慮則希望盡量減少安全控制對正常業(yè)務(wù)的影響�,這種矛盾的存在往往會導(dǎo)致安全策略使用程度(被遵循程度)降低,即安全策略未得到有效實施。
由安全主管和業(yè)務(wù)流程人員共同參與設(shè)計安全策略是解決這個矛盾的途徑之一�����,這個過程往往是一個博弈的過程��,最后一般會使組織的安全策略符合基線標(biāo)準(zhǔn)����。只有這種充分考慮了業(yè)務(wù)要求的安全策略才能得到高“使用程度”,進(jìn)而提高信息安全管理的有效性�。因此,本研究提出假設(shè)��。
H6業(yè)務(wù)流程結(jié)合對信息安全管理有效性有顯著的正向作用�。
H7業(yè)務(wù)流程結(jié)合在用戶參與與信息安全管理有效性的關(guān)系中起中介作用。
綜上所述���,提出本研究模型��,如圖2所示���。
4研究設(shè)計
4.1樣本選擇
研究者從2011年6月前通過信息安全管理體系認(rèn)證的497家中國公司隨機(jī)抽取30家,給每家公司發(fā)放10份問卷���,以郵寄的方式將問卷發(fā)放給被選公司的信息安全負(fù)責(zé)人����,隨后以第三方認(rèn)證機(jī)構(gòu)電話確認(rèn)的方式��,請公司信息安全負(fù)責(zé)人組織公司相關(guān)成員填寫問卷�����,并以郵寄的方式回收問卷�����。收回256份問卷����,剔除問題填寫不完整的22份問卷,最終納入數(shù)據(jù)分析的問卷共234份�,問卷的有效率為78%。填寫問卷人員的描述性統(tǒng)計如表1所示�,其中男性占60.684%,女性占39.316%��,與目前信息安全從業(yè)人員性別比例基本相符���。
4.2變量和測量
4.2.1自變量:用戶參與
用戶參與沿用Barki等[6]和Spears等[3]的測量框架���,按項目階段確定關(guān)鍵活動����。信息安全管理體系采用PDCA框架模型����,階段劃分明確,本研究也采用分階段羅列關(guān)鍵活動的方法對用戶參與程度進(jìn)行測量�,每階段選取7項關(guān)鍵活動,用戶參與其中一項得1分����,否則為0,以此類推�,每個階段的用戶參與結(jié)果最小值為0,最大值為7�。
用戶參與問卷以ISO/IEC27001:2005和謝宗曉等[22,32]描述的信息安全管理體系部署過程中一系列關(guān)鍵活動為基礎(chǔ)���,選擇36項關(guān)鍵活動��,其中計劃階段12項���、執(zhí)行階段12項��、檢查階段8項、改進(jìn)階段4項��,并把檢查和改進(jìn)階段合并為12項�����。在信息安全管理體系從業(yè)人員中選取22人��,采用多選項-多選擇量表的方法���,限定從業(yè)人員分別從36項關(guān)鍵活動中選擇7個認(rèn)為最重要的選項�,從業(yè)人員分布見表2�����,選擇結(jié)果統(tǒng)計見表3��。
4.2.2中介變量:信息安全意識和業(yè)務(wù)流程結(jié)合
無論在薩班斯奧克斯利法案還是在信息安全管理體系的情境下��,信息安全意識和業(yè)務(wù)流程結(jié)合的含義基本一致�,都是為了提高信息安全管理的有效性����。信息安全意識量表和業(yè)務(wù)流程結(jié)合量表修改自Spears等[3]的問卷�����,該問卷為Likert7點量表���,1為非常反對����,7為非常支持�����。
4.2.3因變量:信息安全管理有效性
采用Chang等[19]設(shè)計�、Brady[21]沿用并修改的Likert7點量表測量信息安全管理有效性,1為非常反對����,7為非常支持。
由于信息安全意識����、業(yè)務(wù)流程結(jié)合和信息安全管理有效性的測量量表引用自英文文獻(xiàn)����,為了保證問卷的有效性���,研究者將英文翻譯成中文�,請兩名中文專業(yè)碩士研究生對問卷的行文進(jìn)行修改以符合中文習(xí)慣���,然后請兩位信息安全領(lǐng)域的專家比對問卷的中英文內(nèi)容并審核確認(rèn),所有變量及問卷項見表4�����。
4.3構(gòu)建有效性
用戶參與�、信息安全意識、業(yè)務(wù)流程結(jié)合和信息安全管理有效性4個潛變量的信度(Cronbach'sα)��、均值�、標(biāo)準(zhǔn)差、極值和相關(guān)系數(shù)如表5所示����。用戶參與、信息安全意識����、業(yè)務(wù)流程結(jié)合����、信息安全管理有效性的Cronbach'sα系數(shù)分別為0.723�、0.802、0.640�、0.948,信度較高�,在可接受范圍內(nèi)。Mithas等[33]認(rèn)為�,來源于實踐、經(jīng)過長期的實踐檢驗且有權(quán)威來源的量表(如國際標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn))能夠保證測量的效度��。本研究中問卷的測量符合以上要求�,因此能夠保證效度。
4個潛變量之間的相關(guān)系數(shù)全部達(dá)到顯著相關(guān)�����,數(shù)據(jù)適合多重中介模型檢驗���。
5實證結(jié)果和分析
5.1同源方差分析
由于本研究中變量數(shù)據(jù)均來源于自稱式問卷調(diào)查�����,容易導(dǎo)致變量之間的關(guān)系不能反映潛在構(gòu)念之間的真實關(guān)系����,即共同方法偏差的存在容易導(dǎo)致構(gòu)念效度的降低,甚至影響研究假設(shè)的接受或拒絕����,增加犯Ⅰ類錯誤或Ⅱ類錯誤的概率[34]。沿用Podsakoff等[35]和周浩等[36]的方法��,本研究采取驗證性因子分析方法分兩步對問卷共同方法偏差進(jìn)行分析���,檢驗結(jié)果如表6所示。
采用Harman單因子檢驗方法對用戶參與��、信息安全意識�、業(yè)務(wù)流程結(jié)合和信息安全管理有效性進(jìn)行檢驗,如果方法變異明顯存在�����,驗證性因子分析的結(jié)果容易析出一個單獨因子或者一個公因子解釋大部分變異[37]�����。由表6可知,單因子模型的擬合指標(biāo)沒有達(dá)到可以接受的標(biāo)準(zhǔn)�����,NNFI=0.848�,CFI=0.863,RMSEA=0.186����。然而Harman單因子檢驗方法的假設(shè)前提存在明顯的缺陷,除非存在非常嚴(yán)重的同源偏差問題�,否則一個公因子解釋大部分變量變異的情況一般不會出現(xiàn)。為進(jìn)一步探查同源偏差的可能性�,本研究采用不可測量潛在方法進(jìn)行因子檢驗,比較有共同方法偏差的模型與沒有共同方法偏差的模型��,如果后者的擬合指數(shù)優(yōu)于前者的擬合指數(shù)�����,表明變量數(shù)據(jù)不存在共同方法偏差�。由表6可知,四因子模型的擬合指數(shù)比較好�,RMSEA<0.080,CFI>0.900,NNFI>0.900�����,對四因子模型與其他3個競爭模型的χ2和AIC指標(biāo)(值越小越好)[38]進(jìn)行比較�,無共同方法偏差的四因子模型明顯優(yōu)于其他3個有共同方法偏差的模型,說明各變量間不存在明顯的同源方差�,用戶參與、信息安全意識���、業(yè)務(wù)流程結(jié)合和信息安全管理有效性具有良好的區(qū)分效度��。
5.2結(jié)果分析
多重中介模型的驗證方法有多種��,MacKinnon等[39]提到14種驗證路徑的方法����,在所有驗證方法中�,Preacher等[40]和Sobel[41]都推薦Bootstrapping方法�����,認(rèn)為該方法模型參數(shù)估計更為穩(wěn)健��,結(jié)論也更可靠,更能避免Ⅰ類錯誤���,尤其是進(jìn)行多重中介研究時����。本研究采用Bootstrapping方法����,使用Preacher等[40]提供的SPSS宏,使用SPSS18.0驗證多重中介模型�。按照提出的研究假設(shè),將用戶參與設(shè)定為自變量����,將信息安全意識和業(yè)務(wù)流程結(jié)合設(shè)定為中介變量,將信息安全管理有效性設(shè)定為因變量��,樣本數(shù)量設(shè)置為5000��,置信區(qū)間設(shè)置為95%�����,對如下方程回歸系數(shù)的顯著性進(jìn)行檢驗�����,結(jié)果見表7和表8。
其中�,c、a1��、a2����、c'、b1和b2為回歸系數(shù)����,ε1~ε4為殘差。
由表7可知��,c=0.674(p<0.001)�����,達(dá)到顯著水平�����,表明用戶參與程度的不同顯著影響信息安全管理有效性的高低�����,支持H1��,同時也為中介效應(yīng)的檢驗提供了基礎(chǔ)����。a1=0.555(p<0.001),a2=0.421(p<0.001)�,表明用戶參與對信息安全意識和業(yè)務(wù)流程結(jié)合有顯著正向作用,支持H2和H5��。b1=0.279(p<0.050)�����,b2=0.183(p<0.050)�,表明信息安全意識和業(yè)務(wù)流程結(jié)合對信息安全管理有效性有顯著正向作用,支持H3和H6��。
整體模型指標(biāo)中�����,F(xiàn)=26.508�����,p=0.000,說明自變量用戶參與通過中介變量信息安全意識和業(yè)務(wù)流程結(jié)合對因變量信息安全管理有效性的影響達(dá)到顯著水平���。此外��,模型的解釋率R2為0.247�,表明還有其他變量能夠納入模型�����,這也是下一步研究的方向�����。
由表8可知��,用戶參與對信息安全管理有效性總的間接效應(yīng)為0.155(a1b1)+0.077(a2b2)=0.232����,對應(yīng)的Z檢驗結(jié)果為3.581(p=0.000),偏差矯正與增進(jìn)95%bootstrap置信區(qū)間為{0.120�����,0.352}����,置信區(qū)間不包括零。因此���,拒絕總的間接效應(yīng)為零的虛無假設(shè)��,表明總的間接效應(yīng)顯著���。
在多重中介方法中,不但要關(guān)注總的間接效應(yīng)����,也要關(guān)注單獨的中介效應(yīng),由表8可知�����,中介效應(yīng)值如下��。通過信息安全意識:a1b1=0.155(Z=2.569��,p<0.050)�,偏差矯正與增進(jìn)95%Bootstrap置信區(qū)間為{0.048���,0.270},置信區(qū)間不包括零����;通過業(yè)務(wù)流程結(jié)合:a2b2=0.077(Z=1.967,p<0.050)�����,偏差矯正與增進(jìn)95%Bootstrap置信區(qū)間為{0.018�,0.162},置信區(qū)間不包括零�。由此可見,信息安全意識和業(yè)務(wù)流程結(jié)合的中介效應(yīng)顯著��,支持H4和H7���。此外���,兩個中介效應(yīng)的置信區(qū)間有重合的部分,且兩者比較檢驗結(jié)果不顯著(Z=0.992���,p>0.050)����,可以認(rèn)為兩個中介變量起到的中介作用沒有顯著差異,同等重要�����。
本研究概念模型的驗證如圖3所示���。
6討論
(1)本研究驗證了用戶參與在信息安全管理中的正向作用,這對安全機(jī)制不能完全脫離人而運轉(zhuǎn)的情況具有非常積極的意義�。
(2)本研究解釋了用戶參與如何正向影響信息安全管理有效性。Spears等[3]驗證了在薩班斯奧克斯利法案情境下用戶參與對控制措施績效的正向作用�����,但是并未揭示用戶參與如何影響控制措施績效�����。本研究通過構(gòu)造多重中介模型���,揭示了用戶參與可以有效地提高員工的信息安全意識���,促進(jìn)業(yè)務(wù)流程結(jié)合���,使組織的信息安全管理體系更加符合組織的實際安全需求,最終促進(jìn)信息安全管理有效性����。
(3)本研究采用多重中介的驗證模型,應(yīng)用Preacher等[40]提供的SPSS宏�����,多重中介模型可以更清晰地揭示用戶參與影響信息安全管理有效性的路徑����。
本研究結(jié)論對管理實踐具有一定的指導(dǎo)意義,主要體現(xiàn)在標(biāo)準(zhǔn)制定和安全實踐兩個方面���。
(1)本研究證實了用戶參與的重要性和積極作用�����,為信息安全相關(guān)標(biāo)準(zhǔn)的制定�、完善和提高提供了新的視角和依據(jù)�。
(2)大部分組織的安全負(fù)責(zé)人都會盡量減少人在安全機(jī)制中的比重,以減少執(zhí)行的不確定性,這導(dǎo)致2010年至2011年68%的組織在安全技術(shù)方面的投入超過整體安全預(yù)算的10%�,僅17%的組織在終端用戶安全意識教育方面的投入超過整體安全預(yù)算的10%,有35%的組織還不足1%�;同時,有41.100%的受訪組織經(jīng)歷了信息安全事件����,攻擊源來自內(nèi)部用戶濫用網(wǎng)絡(luò)或郵件的占24.800%[42]。顯然�����,組織的安全負(fù)責(zé)人應(yīng)該將安全預(yù)算的分配更多地傾斜到終端用戶身上�。對信息安全管理體系的咨詢和認(rèn)證人員而言��,在咨詢和認(rèn)證的過程中���,不應(yīng)僅關(guān)注安全技術(shù)的部署和安全制度的設(shè)計����,也應(yīng)關(guān)注如何鼓勵用戶參與到所有可能的活動中���,并承擔(dān)更多的責(zé)任�。
篇7
為了貫徹國家對信息系統(tǒng)安全保障工作的要求以及等級化保護(hù)堅持“積極防御、綜合防范”的方針���,需要全面提高信息安全防護(hù)能力����。貴州廣電網(wǎng)絡(luò)信息系統(tǒng)建設(shè)需要進(jìn)行整體安全體系規(guī)劃設(shè)計���,全面提高信息安全防護(hù)能力����,創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境����,保護(hù)國家利益,促進(jìn)貴州廣電網(wǎng)絡(luò)信息化的深入發(fā)展���。
1安全規(guī)劃的目標(biāo)和思路
貴州廣電網(wǎng)絡(luò)目前運營并管理著兩張網(wǎng)絡(luò):辦公網(wǎng)與業(yè)務(wù)網(wǎng);其中辦公網(wǎng)主要用于貴州廣電網(wǎng)絡(luò)各部門在線辦公�,重要的辦公系統(tǒng)為OA系統(tǒng)����、郵件系統(tǒng)等;業(yè)務(wù)網(wǎng)主要提供貴州廣電網(wǎng)絡(luò)各業(yè)務(wù)部門業(yè)務(wù)平臺,其中核心業(yè)務(wù)系統(tǒng)為BOSS系統(tǒng)����、互動點播系統(tǒng)�、安全播出系統(tǒng)���、內(nèi)容集成平臺以及寬帶系統(tǒng)等�����。
基于對貴州廣電網(wǎng)絡(luò)信息系統(tǒng)的理解和國家信息安全等級保護(hù)制度的認(rèn)識����,我們認(rèn)為���,信息安全體系是貴州廣電網(wǎng)絡(luò)信息系統(tǒng)建設(shè)的重要組成部分,是貴州廣電網(wǎng)絡(luò)業(yè)務(wù)開展的重要安全屏障��,它是一個包含貴州廣電網(wǎng)絡(luò)實體�、網(wǎng)絡(luò)、系統(tǒng)�����、應(yīng)用和管理等五個層面����,包括保護(hù)���、檢測、響應(yīng)����、恢復(fù)四個方面,通過技術(shù)保障和管理制度建立起來的可靠有效的安全體系����。
1.1設(shè)計目標(biāo)
貴州廣電網(wǎng)絡(luò)就安全域劃分已經(jīng)進(jìn)行的初步規(guī)劃,在安全域整改中初見成效��,然而���,安全系統(tǒng)建設(shè)不僅需要建立重要資源的安全邊界�����,而且需要明確邊界上的安全策略��,提高對核心信息資源的保護(hù)意識�。貴州廣電網(wǎng)絡(luò)相關(guān)安全管理體系的建設(shè)還略顯薄弱�����,管理細(xì)則文件亟需補(bǔ)充,安全管理人員亟需培訓(xùn)����。因此,本次規(guī)劃重點在于對安全管理體系以及目前的各個業(yè)務(wù)系統(tǒng)進(jìn)行了全面梳理��,針對業(yè)務(wù)系統(tǒng)中安全措施進(jìn)行了重點分析����,綜合貴州廣電網(wǎng)絡(luò)未來業(yè)務(wù)發(fā)展的方向,進(jìn)行未來五年的信息安全建設(shè)規(guī)劃�。
1.2設(shè)計原則
1.2.1合規(guī)性原則
安全設(shè)計要符合國家有關(guān)標(biāo)準(zhǔn)、法規(guī)要求�����,符合廣電總局對信息安全系統(tǒng)的等級保護(hù)技術(shù)與管理要求�。良好的信息安全保障體系必然是分為不同等級的�����,包括對信息數(shù)據(jù)保密程度分級�,對用戶操作權(quán)限分級��,對網(wǎng)絡(luò)安全程度分級(安全子網(wǎng)和安全區(qū)域),對系統(tǒng)實現(xiàn)結(jié)構(gòu)的分級(應(yīng)用層����、網(wǎng)絡(luò)層�����、鏈路層等)�,從而針對不同級別的安全對象,提供全面���、可選的安全技術(shù)和安全體制��,以滿足貴州廣電網(wǎng)絡(luò)業(yè)務(wù)網(wǎng)���、辦公網(wǎng)系統(tǒng)中不同層次的各種實際安全需求。
1.2.2技管結(jié)合原則
信息安全保障體系是一個復(fù)雜的系統(tǒng)工程�,涉及人、技術(shù)��、操作等要素��,單靠技術(shù)或單靠管理都不可能實現(xiàn)���。因此��,必須將各種安全技術(shù)與運行管理機(jī)制����、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合���。
1.2.3實用原則
安全是為了保障業(yè)務(wù)的正常運行�,不能為了安全而妨礙業(yè)務(wù)�,同時設(shè)計的安全措施要可以落地實現(xiàn)。
1.3設(shè)計依據(jù)
1.3.1“原則”符合法規(guī)要求
依據(jù)《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例K國務(wù)院147號令)���、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[20〇3]27號)����、《關(guān)于信息安全等級保護(hù)工作的實施意見》(公通字[2004]66號)��、《信息安全等級保護(hù)管理辦法》(公通字[2007]43號)和GB/T22240-2009《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南》����、GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》�����、《廣播電視安全播出管理規(guī)定》(廣電總局62號令)、GDJ038-CATV|有線網(wǎng)絡(luò)�。
2011《廣播電視播出相關(guān)信息系統(tǒng)等級保護(hù)基本要求》,對貴州省廣播電視相關(guān)信息系統(tǒng)安全建設(shè)進(jìn)行規(guī)劃��。
1.3.2“策略”符合風(fēng)險管理
風(fēng)險管理是基于“資產(chǎn)-價值-漏洞-風(fēng)險-保障措施”的思想進(jìn)行保障的���。風(fēng)險評估與管理的理論與方法已經(jīng)成為國際信息安全的標(biāo)準(zhǔn)�。
風(fēng)險管理是靜態(tài)的防護(hù)策略����,是在對方攻擊之前的自我鞏固的過程。風(fēng)險分析的核心是發(fā)現(xiàn)信息系統(tǒng)的漏洞����,包括技術(shù)上的、管理上的��,分析面臨的威脅�,從而確定防護(hù)需求,設(shè)計防護(hù)的措施�,具體的措施是打補(bǔ)丁,還是調(diào)整管理流程����,或者是增加�、增強(qiáng)某種安全措施����,要根據(jù)用戶對風(fēng)險的可接受程度,這樣就可以與安全建設(shè)的成本之間做一個平衡���。
1.3.3“措施”符合P2DR模型
美國ISS公司(IntemetSecuritySystem���,INC)設(shè)計開發(fā)的P2DR模型包括安全策略(Policy)、檢測(Detection)�����、防護(hù)(Protection)和響應(yīng)(Response)四個主要部分���,是一個可以隨著網(wǎng)絡(luò)安全環(huán)境的變化而變化的��、動態(tài)的安全防御系統(tǒng)���。安全策略是整個P2DR模型的中樞,根據(jù)風(fēng)險分析產(chǎn)生的安全策略描述了系統(tǒng)中哪些資源要得到保護(hù),以及如何實現(xiàn)對它們的保護(hù)等��,策略是模型的核心����,所有的防護(hù)�、檢測和響應(yīng)都是依據(jù)安全策略實施的。
檢測(Detection)�����、防護(hù)(Protection)和響應(yīng)(Response)三個部分又構(gòu)成一個變化的���、動態(tài)的安全防御體系��。P2DR模型是在整體的安全策略的控制和指導(dǎo)下�����,在綜合運用防護(hù)工具(如防火墻����、身份認(rèn)證�、加密等)的同時,利用檢測工具(如漏洞評估、入侵檢測等)了解和評估系統(tǒng)的安全狀態(tài)�����,通過適當(dāng)?shù)姆磻?yīng)將系統(tǒng)調(diào)整至“最安全”和“風(fēng)險最低”的狀態(tài)��,在安全策略的指導(dǎo)下保證信息系統(tǒng)的安全[3]����。
1.4安全規(guī)劃體系架構(gòu)
在進(jìn)行了規(guī)劃“原則”、“策略”����、“措施”探討的基礎(chǔ)上,我們設(shè)計貴州廣電網(wǎng)絡(luò)的安全保障體系架構(gòu)為“一個中心����、兩種手段”。
“一個中心”�����,以安全管理中心為核心�,構(gòu)建安全計算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)��,確保業(yè)務(wù)系統(tǒng)能夠在安全管理中心的統(tǒng)一管控下運行,不會進(jìn)入任何非預(yù)期狀態(tài)��,從而防止用戶的非授權(quán)訪問和越權(quán)訪問�����,確保業(yè)務(wù)系統(tǒng)的安全�。
“兩種手段”�,是安全技術(shù)與安全管理兩種手段,其中安全技術(shù)手段是安全保障的基礎(chǔ)�����,安全管理手段是安全技術(shù)手段真正發(fā)揮效益的關(guān)鍵�,管理措施的正確實施同時需要有技術(shù)手段來監(jiān)管和驗證,兩者相輔相成�,缺一不可。
2安全保陳方案規(guī)劃
2.1總體設(shè)計
貴州廣電網(wǎng)絡(luò)的安全體系作為信息安全的技術(shù)支撐措施�,分為五個方面:
邊界防護(hù)體系:安全域劃分,邊界訪問控制策略的部署����,主要是業(yè)務(wù)核心資源的邊界,運維人員的訪問通道����。
行為審計體系:通過身份鑒別�、授權(quán)管理���、訪問控制��、行為曰志等手段����,保證用戶行為的合規(guī)性�。
安全監(jiān)控體系:監(jiān)控網(wǎng)絡(luò)中的異常,維護(hù)業(yè)務(wù)運行的安全基線����,包括安全事件與設(shè)備故障,也包括系統(tǒng)漏洞與升級管理�����。
公共安全輔助:作為整個網(wǎng)絡(luò)信息安全的基礎(chǔ)服務(wù)系統(tǒng)���,包括身份認(rèn)證系統(tǒng)����、補(bǔ)丁管理系統(tǒng)以及漏洞掃描系統(tǒng)等。
IT基礎(chǔ)設(shè)施:提供智能化�、彈能力的基礎(chǔ)設(shè)施,主要的機(jī)房的智能化�����、服務(wù)器的虛擬化��、存儲的虛擬化等���。
2.2安全域劃分
劃分安全域的方法是首先區(qū)分網(wǎng)絡(luò)功能區(qū)域,服務(wù)器資源區(qū)��、網(wǎng)絡(luò)連接區(qū)���、用戶接入?yún)^(qū)��、運維管理區(qū)����、對外公共服務(wù)區(qū);其次是在每個區(qū)域中�,按照不同的安全需求區(qū)分不同的業(yè)務(wù)與用戶,進(jìn)一步劃分子區(qū)域;最后���,根據(jù)每個業(yè)務(wù)應(yīng)用系統(tǒng)�����,梳理其用戶到服務(wù)器與數(shù)據(jù)庫的網(wǎng)絡(luò)訪問路徑��,通過的域邊界或網(wǎng)絡(luò)邊界越少越好����。
Z3邊界防護(hù)體系規(guī)劃
邊界包括網(wǎng)絡(luò)邊界、安全域邊界���、用戶接口邊界(終端與服務(wù)器)���、業(yè)務(wù)流邊界,邊界上部署訪問控制措施�,是防止非授權(quán)的“外部”用戶訪問“里面”的資源,因此分析業(yè)務(wù)的訪問流向����,是訪問控制策略設(shè)計的依據(jù)。
2.3.1邊界措施選擇
在邊界上我們建議四種安全措施:
1.網(wǎng)絡(luò)邊界:與外部網(wǎng)絡(luò)的邊界是安全防護(hù)的重點���,我們建議采用統(tǒng)一安全網(wǎng)關(guān)(UTM),從網(wǎng)絡(luò)層到應(yīng)用層的安全檢測��,采用防火墻(FW)部署訪問控制策略�,采用入侵防御系統(tǒng)(IPS)部署對黑客入侵的檢測,采用病毒網(wǎng)關(guān)(AV)部署對病毒��、木馬的防范;為了方便遠(yuǎn)程運維工作�,與遠(yuǎn)程辦公實施,在網(wǎng)絡(luò)邊界上部署VPN網(wǎng)關(guān)���,對遠(yuǎn)程訪問用戶身份鑒別后��,分配內(nèi)網(wǎng)地址���,給予限制性的訪問授權(quán)�。Web服務(wù)的SQL注入、XSS攻擊等�����。
3.業(yè)務(wù)流邊界:安全需求等級相同的業(yè)務(wù)應(yīng)用采用VLAN隔離�,采用路由訪問限制策略;不同部門的接入域也采用VLAN隔離,防止二層廣播�����,通知可以在發(fā)現(xiàn)安全事件時,開啟不同子域的安全隔離���。
4.終端邊界:重點業(yè)務(wù)系統(tǒng)的終端�,如運維終端�����,采用終端安全系統(tǒng)���,保證終端上系統(tǒng)的安全�,如補(bǔ)丁的管理�����、黑名單軟件管理���、非法外聯(lián)管理����、移動介質(zhì)管理等等�����。
2.3.2策略更新管理
邊界是提高入侵者的攻擊“門檻”的,部署安全策略重點有兩個方面:一是有針對性�����。允許什么���,不允許什么�,是明確的;二是動態(tài)性��。就是策略的定期變化�����,如訪問者的口令���、允許遠(yuǎn)程訪問的端口等�����,變化的周期越短,給入侵者留下的攻擊窗口越小�����。
2.4行為審計體系規(guī)劃
行為審計是指對網(wǎng)絡(luò)用戶行為進(jìn)行詳細(xì)記錄,直接的好處是可以為事后安全事件取證提供直接證據(jù)�,間接的好處乇兩方面:對業(yè)務(wù)操作的日志記錄,可以在曰后發(fā)現(xiàn)操作錯誤����、確定破壞行為恢復(fù)時提供操作過程的反向操作,最大程度地減小損失;對系統(tǒng)操作的日志記錄����,可以分析攻擊者的行為軌跡,從而判斷安全防御系統(tǒng)的漏洞所在��,亡羊補(bǔ)牢���,可以彌補(bǔ)入侵者下次入侵的危害�����。
行為審計主要措施包括:一次性口令���、運維審計(堡壘機(jī))、曰志審計以及網(wǎng)絡(luò)行為審計����。
2.5安全監(jiān)控體系規(guī)劃
監(jiān)控體系不僅是網(wǎng)絡(luò)安全態(tài)勢展示平臺��,也是安全事件應(yīng)急處理的指揮平臺�。為了管理工作上的方便��,在安全監(jiān)控體系上做到幾方面的統(tǒng)一:
1.運維與安全管理的統(tǒng)一:業(yè)務(wù)運維與安全同平臺管理�����,提高安全事件的應(yīng)急處理速度���。
2.曰常安全運維與應(yīng)急指揮統(tǒng)一:隨時了解網(wǎng)絡(luò)上的設(shè)備���、系統(tǒng)、流量���、業(yè)務(wù)等狀態(tài)變化����,不僅是日常運維發(fā)現(xiàn)異常的平臺�����,而且作為安全事件應(yīng)急指揮的調(diào)度平臺�,隨時了解安全事件波及的范圍、影響的業(yè)務(wù)�,同時確定安全措施執(zhí)行的效果。
3.管理與考核的統(tǒng)一:安全運維人員的工作考核就是網(wǎng)絡(luò)安全管理的曰常工作與緊急事件的處理到位���,在安全事件的定位�����、跟蹤�����、處理過程中�,就體現(xiàn)了安全運維人員服務(wù)的質(zhì)量�。因此對安全運維平臺的行為記錄就可以為運維人員的考核提供一線的數(shù)據(jù)。
安全監(jiān)控措施主要包括安全態(tài)勢監(jiān)控以及安全管理平臺���,2.6公共安全輔助系統(tǒng)
作為整個網(wǎng)絡(luò)信息安全的基礎(chǔ)服務(wù)系統(tǒng)��,需要建設(shè)公共安全輔助系統(tǒng):
1.身份認(rèn)證系統(tǒng):獨立于所有業(yè)務(wù)系統(tǒng)之外�,為業(yè)務(wù)�����、運維提供身份認(rèn)證服務(wù)。
2.補(bǔ)丁管理系統(tǒng):對所有系統(tǒng)�����、應(yīng)用的補(bǔ)丁進(jìn)行管理��,對于通過測試的補(bǔ)丁����、重要的補(bǔ)丁,提供主動推送���,或強(qiáng)制執(zhí)行的技術(shù)手段����,保證網(wǎng)絡(luò)安全基線����。
3.漏洞掃描系統(tǒng):對于網(wǎng)絡(luò)上設(shè)備、主機(jī)系統(tǒng)�、數(shù)據(jù)庫、業(yè)務(wù)系統(tǒng)等的漏洞要及時了解����,對于不能打補(bǔ)丁的系統(tǒng)��,要確認(rèn)有其他安全策略進(jìn)行防護(hù)。漏洞掃描分為兩個方面����,一是系統(tǒng)本身的漏洞,二是安全域邊界部署了安全措施之后���,實際用戶所能訪問到的漏洞(滲透性測試服務(wù))����。
2.7IT基礎(chǔ)設(shè)施規(guī)劃
IT基礎(chǔ)設(shè)施是所有網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)服務(wù)的基礎(chǔ)���,具備一個優(yōu)秀的基礎(chǔ)架構(gòu)�����,不僅可以快速����、靈活地支撐各種業(yè)務(wù)系統(tǒng)的有效運行���,而且可以極大地提高基礎(chǔ)IT資源的利用率����,節(jié)省資金投入,達(dá)到環(huán)保的要求�����。
IT基礎(chǔ)設(shè)施的優(yōu)化主要體現(xiàn)在三個方面:智能機(jī)房���、服務(wù)器虛擬化����、存儲虛擬化����。
3安全筐理體系規(guī)劃
在系統(tǒng)安全的各項建設(shè)內(nèi)容中,安全管理體系的建設(shè)是關(guān)鍵和基礎(chǔ)�,建立一套科學(xué)的、可靠的�、全面而有層次的安全管理體系是貴州省廣播電視信息網(wǎng)絡(luò)股份有限公司安全建設(shè)的必要條件和基本保證。
3_1安全管理標(biāo)準(zhǔn)依據(jù)
以GBAT22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》中二級��、三級安全防護(hù)能力為標(biāo)準(zhǔn)��,對貴州廣電網(wǎng)絡(luò)安全管理體系的建設(shè)進(jìn)行設(shè)計。
3.2安全管理體系的建設(shè)目標(biāo)
通過有效的進(jìn)行貴州廣電網(wǎng)絡(luò)的安全管理體系建設(shè)���,最終要實現(xiàn)的目標(biāo)是:采取集中控制模式�,建立起貴州廣電網(wǎng)絡(luò)完整的安全管理體系并加以實施與保持��,實現(xiàn)動態(tài)的�����、系統(tǒng)的���、全員參與的、制度化的�����、以預(yù)防為主的安全管理模式����,從而在管理上確保全方位、多層次����、快速有效的網(wǎng)絡(luò)安全防護(hù)���。
3.3安全管理建設(shè)指導(dǎo)思想
各種標(biāo)準(zhǔn)體系文件為信息安全管理建設(shè)僅僅提供一些原則性的建議,要真正構(gòu)建符合貴州廣電網(wǎng)絡(luò)自身狀況的信息安全管理體系���,在建設(shè)過程中應(yīng)當(dāng)以以下思想作為指導(dǎo):“信CATV丨有線網(wǎng)絡(luò)息安全技術(shù)���、信息安全產(chǎn)品是信息安全管理的基礎(chǔ),信息安全管理是信息安全的關(guān)鍵�����,人員管理是信息安全管理的核心,信息安全政策是進(jìn)行信息安全管理的指導(dǎo)原則����,信息安全管理體系是實現(xiàn)信息安全管理最為有效的手段?!?/p>
3.4安全管理體系的建設(shè)具體內(nèi)容
GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》(以下簡稱《基本要求》)對信息系統(tǒng)的安全管理體系提出了明確的指導(dǎo)和要求。我們應(yīng)以《基本要求》為標(biāo)準(zhǔn)�����,結(jié)合目前貴州廣電網(wǎng)絡(luò)安全管理體系的現(xiàn)狀�����,對廣電系統(tǒng)的管理機(jī)構(gòu)、管理制度��、人員管理����、技術(shù)手段四個方面進(jìn)行建設(shè)和加強(qiáng)。同時��,由于信息安全是一個動態(tài)的系統(tǒng)工程����,所以���,貴州廣電網(wǎng)絡(luò)還必須對信息安全管理措施不斷的加以校驗和調(diào)整�����,以使管理體系始終適應(yīng)和滿足實際情況的需要��,使貴州廣電網(wǎng)絡(luò)的信息資產(chǎn)得到有效�、經(jīng)濟(jì)���、合理的保護(hù)��。
貴州廣電網(wǎng)絡(luò)的安全管理體系主要包括安全管理機(jī)構(gòu)�、安全管理制度、安全標(biāo)準(zhǔn)規(guī)范和安全教育培訓(xùn)等方面����。
通過組建完整的信息網(wǎng)絡(luò)安全管理機(jī)構(gòu),設(shè)置安全管理人員���,規(guī)劃安全策略����、確定安全管理機(jī)制�����、明確安全管理原則和完善安全管理措施����,制定嚴(yán)格的安全管理制度,合理地協(xié)調(diào)法律�、技術(shù)和管理三種因素,實現(xiàn)對系統(tǒng)安全管理的科學(xué)化��、系統(tǒng)化、法制化和規(guī)范化�����,達(dá)到保障貴州廣電網(wǎng)絡(luò)信息系統(tǒng)安全的目的��。
3.5曰常安全運維3.5.1安全風(fēng)險評估
安全風(fēng)險評估是建立主動防御安全體系的重要和關(guān)鍵環(huán)節(jié)���,這環(huán)的工作做好了可以減少大量的安全威脅����,提升整個信息系統(tǒng)的對網(wǎng)絡(luò)災(zāi)難的免疫能力;風(fēng)險評估是信息安全管理體系建立的基礎(chǔ)���,是組織平衡安全風(fēng)險和安全投入的依據(jù)�,也是信息安全管理體系測量業(yè)績���、發(fā)現(xiàn)改進(jìn)機(jī)會的最重要途徑。
3.5.2網(wǎng)絡(luò)管理與安全管理
網(wǎng)絡(luò)管理與安全管理的主要措施包括:出入控制����、場地與設(shè)施安全管理、網(wǎng)絡(luò)運行狀態(tài)監(jiān)控����、安全設(shè)備監(jiān)控�、安全事件監(jiān)控與分析����、提出預(yù)防措施。
3.5.3備份與容災(zāi)管理
貴州廣電網(wǎng)絡(luò)主要關(guān)鍵業(yè)務(wù)系統(tǒng)需要雙機(jī)本地?zé)醾?���、?shù)據(jù)離線備份措施;其他相關(guān)業(yè)務(wù)應(yīng)用系統(tǒng)需要數(shù)據(jù)離線備份措施。
3.5.4應(yīng)急響應(yīng)計劃
通過建立應(yīng)急相應(yīng)機(jī)構(gòu)��,制定應(yīng)急響應(yīng)預(yù)案�����,通過建立專家資源庫����、廠商資源庫等人力資源措施,通過對應(yīng)急響應(yīng)有線網(wǎng)絡(luò)ICATV預(yù)案不低于一年兩次的演練���,可以在發(fā)生緊急事件時�����,做到規(guī)范化操作����,更快的恢復(fù)應(yīng)用和數(shù)據(jù),并最大可能的減少損失
3.6安全人員管理
信息系統(tǒng)的運行是依靠在各級黨政機(jī)構(gòu)工作的人員來具體實施的��,他們既是信息系統(tǒng)安全的主體�����,也是系統(tǒng)安全管理的對象����。所以,要確保信息系統(tǒng)的安全�����,首先應(yīng)加強(qiáng)人事安全管理����。
安全人員應(yīng)包括:系統(tǒng)安全管理員��、系統(tǒng)管理員�����、辦公自動化操作人員、安全設(shè)備操作員�、軟硬件維修人員和警衛(wèi)人員。
其中系統(tǒng)管理員�����、系統(tǒng)安全管理員必須由不同人員擔(dān)當(dāng)�。3.7技術(shù)安全管理
主要措施包括:軟件管理、設(shè)備管理�����、備份管理以及技術(shù)文檔管理���。
4安全規(guī)劃分期建設(shè)路線
信息安全保障重要的是過程�����,而不一定是結(jié)果����,重要的是安全意識的提高����,而不一定是安全措施的多少�����。因此��,信息安全建設(shè)也應(yīng)該從保障業(yè)務(wù)運營為目標(biāo)���,提高用戶自身的安全意識為思路,根據(jù)業(yè)務(wù)應(yīng)用的模式與規(guī)模逐步��、分階段建設(shè)����,同時還要符合國家與廣電總局關(guān)于等級保護(hù)的技術(shù)與管理要求。
4.1主要的工作內(nèi)容
根據(jù)安全保障方案規(guī)劃的設(shè)計�����,貴州廣電網(wǎng)絡(luò)的信息安全建設(shè)分為如下幾個方面的內(nèi)容:
1.網(wǎng)絡(luò)優(yōu)化改造:主要是安全域的劃分�����,網(wǎng)絡(luò)結(jié)構(gòu)的改造�。
2.安全措施部署:邊界隔離措施部署,行為審計系統(tǒng)部署�����、安全監(jiān)控體系部署����。
3.基礎(chǔ)設(shè)施改造:主要是數(shù)據(jù)大集中、服務(wù)器虛擬化�����、存儲虛擬化�����。
4.安全運維管理:信息安全管理規(guī)范�、日常安全運維考核、安全檢查與審計流程�、安全應(yīng)急演練、曰常安全服務(wù)等���。
4.2分期建設(shè)規(guī)劃
4_2.1達(dá)標(biāo)階段(2015-2017)
1.等保建設(shè)
2.信任體系:網(wǎng)絡(luò)審計�、運維審計��、日志審計
3.身份鑒別(一次口令)
4.監(jiān)控平臺:入侵檢測、流量監(jiān)測�����、木馬監(jiān)測
5.安全管理平臺建設(shè)
6.等保測評通過(2級3級系統(tǒng))
7.安全服務(wù):建立定期模式
8.滲透性測試服務(wù)(外部+內(nèi)部)
9.安全加固服務(wù)�����,建立服務(wù)器安全底線
10.信息安全管理
11.落實安全管理細(xì)則文件制定
12.落實安全運維與應(yīng)急處理流程
13.完善IT服務(wù)流程�����,建設(shè)安全運維管理平臺
14.定期安全演練與培訓(xùn)
4.2.2持續(xù)改進(jìn)階段(2018?2019)
1.等保建設(shè)
2.完善信息安全防護(hù)體系
3.提升整體防護(hù)能力
4.深度安全服務(wù)
5.有針對性安全演練��,協(xié)調(diào)改進(jìn)管理與技術(shù)措施
6.源代碼安全審計服務(wù)(新上線業(yè)務(wù))
7.信息安全管理
8.持續(xù)改進(jìn)運維與應(yīng)急流程與制度�,提高應(yīng)急反應(yīng)能力
9.提高運維效率,開拓運維增值模式
篇8
2創(chuàng)新點
為順應(yīng)移動互聯(lián)網(wǎng)時代�,運營商從基礎(chǔ)通信運營向流量運營轉(zhuǎn)型的新趨勢,湖北移動確定了“業(yè)務(wù)轉(zhuǎn)型�,安全先行”的發(fā)展思路,堅持“以安全保發(fā)展����、以發(fā)展促安全”。在已有的網(wǎng)絡(luò)與信息安全管理辦法的基礎(chǔ)上,積極開展適應(yīng)移動互聯(lián)網(wǎng)時代安全管理體系建設(shè)��,不斷推進(jìn)科學(xué)的安全管理方法�,做到六“注重”六“突出”,即:(1)注重整體規(guī)劃���,突出體系建設(shè),促進(jìn)職責(zé)高效履行���。制定下發(fā)安全標(biāo)準(zhǔn)化管理與評價體系建設(shè)計劃���,內(nèi)容涵蓋安全工作方針目標(biāo)、安全目標(biāo)���、各方職責(zé)�����、安全管理體系和模式��、安全設(shè)施和機(jī)房環(huán)境保護(hù)設(shè)施標(biāo)準(zhǔn)�����、安全文明操作保證金���、安全考核與獎懲��、過程的主要控制措施�、應(yīng)急準(zhǔn)備和響應(yīng)等方面����。嚴(yán)格按計劃有序開展體系建設(shè)工作;嚴(yán)格按體系文件要求開展業(yè)務(wù)或系統(tǒng)試運行工作�;加強(qiáng)保證與監(jiān)督體系的建設(shè)。(2)注重文化建設(shè)����,突出信息安全特色,促進(jìn)習(xí)慣養(yǎng)成���。以人為本����,加強(qiáng)企業(yè)安全文化建設(shè)��,促使安全文化落地�,提高員工安全與風(fēng)險防范意識�。(3)注重教育培訓(xùn)�����,突出行業(yè)特色�����,達(dá)到安全管理效果�����。通過多種渠道���、形式多樣的安全教育和培訓(xùn)方式,組織各單位安全管理人員開展安全教育和培訓(xùn)工作:一是安排專家和行業(yè)資深人士進(jìn)行專題講座���;二是在專題培訓(xùn)的基礎(chǔ)上����,做好網(wǎng)絡(luò)與信息安全專項工作如何開展的培訓(xùn)�����。(4)注重設(shè)備管理,突出針對特色�����,實現(xiàn)安全管理精細(xì)化���。首先��,網(wǎng)絡(luò)設(shè)備較多��,加強(qiáng)網(wǎng)絡(luò)安全管理提高設(shè)備安全可靠性是首要任務(wù)�����,為此各維護(hù)單位對每臺設(shè)備均建立了安全技術(shù)臺帳�����,臺帳包括運行記錄��、檢查保養(yǎng)記錄和定期檢驗記錄��。其次����,組織精干力量先后兩次對所有設(shè)備、流程��、機(jī)房進(jìn)行全面的安全評估工作��。第三���,使隱患排查整改形成機(jī)制�����。(5)注重安全投入���,突出專用特色�,合理使用安全生產(chǎn)費用。認(rèn)真落實安全管理費用投入長效機(jī)制���,加大安全費用的管理�����,做到?����?顚S?��,確保安全生產(chǎn)費用規(guī)范化�、合理化和足額投入����。并加強(qiáng)安全生產(chǎn)保證金的管理,建立安全生產(chǎn)保證金并實行年底考核的機(jī)制��,有效促進(jìn)了安全管理工作���。(6)注重應(yīng)急預(yù)案�����,突出超前特色��,安全管理贏在主動����。在安全管理中���,把預(yù)防工作落到實處�,建立健全了應(yīng)急處置機(jī)構(gòu),將應(yīng)急處置工作進(jìn)一步制度化�����,規(guī)范化�����,形成了完整的安全事故預(yù)防體系����。同時,開展形式多樣���、符合實際的應(yīng)急演練��。
篇9
0引言
互聯(lián)網(wǎng)時代的到來,信息技術(shù)與網(wǎng)絡(luò)技術(shù)已然成為人們生產(chǎn)生活的重要技術(shù)支撐����,在民航領(lǐng)域中,信息化建設(shè)的進(jìn)程也得以高效發(fā)展���。與此同時����,民航企業(yè)信息系統(tǒng)的安全隱患及安全防護(hù)問題也逐漸暴露,成為信息化建設(shè)過程中亟須應(yīng)對與解決的問題���。
1網(wǎng)絡(luò)信息安全制度的建設(shè)
1.1建設(shè)網(wǎng)絡(luò)信息安全制度
據(jù)調(diào)查���,民航信息系統(tǒng)安全事件的發(fā)生,問題的主要成因在于未充分明確相關(guān)責(zé)任以確保網(wǎng)絡(luò)信息安全管理工作的全面落實��?;诖耍窈狡髽I(yè)需要充分結(jié)合自身的是情況���,對網(wǎng)絡(luò)信息安全管理責(zé)任制的健全及完善�����,充分明確人員相關(guān)責(zé)任�����,促進(jìn)民航信息化建設(shè)水平的提升��,促進(jìn)民航的健康發(fā)展���。民航企業(yè)應(yīng)當(dāng)搭建內(nèi)部網(wǎng)絡(luò)信息安全規(guī)范體系����,以之為基礎(chǔ)開展企業(yè)網(wǎng)絡(luò)信息安全管理及部署工作���,確保民航信息安全水平的有效提升�����。民航企業(yè)應(yīng)當(dāng)時刻緊隨時展步伐���,對網(wǎng)絡(luò)信息安全保障體系加以完善,建立網(wǎng)絡(luò)信息安全防范體系����,采取合理的等級保護(hù)與分級保護(hù)措施,維護(hù)網(wǎng)絡(luò)信息安全�。民航企業(yè)應(yīng)當(dāng)將網(wǎng)絡(luò)信息安全作為信息化建設(shè)的發(fā)展方向,積極配合并響應(yīng)國防部����、網(wǎng)絡(luò)安全部門���、公安機(jī)關(guān)等行政機(jī)關(guān)部門的規(guī)定與要求���,實時更新并優(yōu)化安全防護(hù)措施��,實現(xiàn)網(wǎng)絡(luò)安全整體覆蓋范圍的擴(kuò)大��。
1.2細(xì)分網(wǎng)絡(luò)安全保障體系
對于民航企業(yè)而言���,其信息網(wǎng)絡(luò)安全保障體系的建設(shè),主要包括三個方面��,即信息網(wǎng)絡(luò)安全技術(shù)體系�、信息網(wǎng)絡(luò)安全管理體系及信息網(wǎng)絡(luò)安全運行維護(hù)體系。這三個安全防護(hù)體系是相互依存與相互促進(jìn)的�。信息網(wǎng)絡(luò)安全管理體系的搭建,應(yīng)當(dāng)作為信息安全技術(shù)體系保障的重要方向�����,技術(shù)體系也是保障信息網(wǎng)絡(luò)安全的技術(shù)設(shè)施與基礎(chǔ)服務(wù)的重要支持�����。信息網(wǎng)絡(luò)安全管理體系的建設(shè)也要求網(wǎng)絡(luò)信息安全技術(shù)應(yīng)用水平不斷提升。民航企業(yè)的網(wǎng)絡(luò)信息安全體系的建設(shè)�����,可以充分參考美國國家安全局所提出的IATF框架的網(wǎng)絡(luò)安全縱深戰(zhàn)略防御理念��、美國ISS公司所提出的P2DR動態(tài)網(wǎng)絡(luò)安全模型等相應(yīng)信息網(wǎng)絡(luò)安全防護(hù)體系�,搭建“打擊、預(yù)防��、管理�、控制”于一體的網(wǎng)絡(luò)通信安全綜合防護(hù)體系理念,是當(dāng)前國際上最為先進(jìn)��、最為有效的安全保障框架體系��,對重要體系采取有效的安全防護(hù)措施��,搭建民航企業(yè)的信息安全防護(hù)與控制中心�,實現(xiàn)對于信息網(wǎng)絡(luò)體系的安全監(jiān)控、安全終端����、安全平臺、主機(jī)安全��、數(shù)據(jù)安全、應(yīng)用安全相互結(jié)合��、相互統(tǒng)一的信息安全平臺建設(shè)��,信息安全防護(hù)應(yīng)當(dāng)涵蓋物理層面��、終端層面�、網(wǎng)絡(luò)層面�����、主機(jī)層面�、數(shù)據(jù)層面及應(yīng)用層面,保證安全防護(hù)的全面性及全方位性[1]����。
1.3發(fā)展民航網(wǎng)絡(luò)信息安全產(chǎn)業(yè)
隨著時代的發(fā)展,民航企業(yè)開始更多地強(qiáng)調(diào)民航網(wǎng)絡(luò)信息安全事業(yè)的發(fā)展��。在開展民航企業(yè)網(wǎng)絡(luò)信息安全產(chǎn)業(yè)建設(shè)時�,應(yīng)及時跟蹤和了解國際網(wǎng)絡(luò)信息安全產(chǎn)業(yè)發(fā)展動向,了解信息安全防護(hù)技術(shù)水平的提升渠道��,積極謀求與其他發(fā)達(dá)國家之間的技術(shù)合作�����,大力引進(jìn)先進(jìn)的管理技術(shù)與管理手段,大力培養(yǎng)并教育網(wǎng)絡(luò)信息安全技術(shù)人才����。民航企業(yè)要大力引進(jìn)技術(shù)水平與管理理念較為先進(jìn)的人才,并對所引進(jìn)的人才采用科學(xué)合理的技術(shù)培訓(xùn)與安全教育措施���,不斷增強(qiáng)相關(guān)人員對于網(wǎng)絡(luò)信息安全防護(hù)的意識與理解能力���,安全理念先進(jìn)、技術(shù)水平高超�����、應(yīng)急處置及時的網(wǎng)絡(luò)信息安全管理人才隊伍��。民航企業(yè)要搭建科學(xué)完善的網(wǎng)絡(luò)信息安全管理體系�����,充分保證信息網(wǎng)絡(luò)安全組織�、網(wǎng)絡(luò)信息安全流程、網(wǎng)絡(luò)信息安全制度相互結(jié)合�,搭建科學(xué)合理的安全管理體系���。
2民航信息安全保障體系的建設(shè)
2.1國家信息系統(tǒng)安全等級保護(hù)
以ISO27001信息安全管理要求為基礎(chǔ),結(jié)合國家信息系統(tǒng)安全等級防護(hù)管理方面�����,對信息系統(tǒng)安全防護(hù)安全管理基本要求加以明確���,開展民航企業(yè)網(wǎng)絡(luò)安全防護(hù)及管理體系的建設(shè)工作。網(wǎng)絡(luò)信息安全管理體系的設(shè)計����,應(yīng)當(dāng)涵蓋安全組織架構(gòu)、安全管理人員���、安全防護(hù)制度及安全管理流程等多個方面�����,結(jié)合自身實際需求�����,設(shè)計科學(xué)合理的網(wǎng)絡(luò)信息安全管理體系等����。對于網(wǎng)絡(luò)系統(tǒng)安全組織架構(gòu)的建設(shè)與完善,組建涵蓋安全管理�����、安全決策�����、安全監(jiān)督及安全執(zhí)行等層次的管理架構(gòu)��,設(shè)置相應(yīng)職責(zé)崗位���,對安全管理責(zé)任進(jìn)行分解與落實����,做好人員錄用�����、人員調(diào)動���、人員考核及人員培訓(xùn)等相關(guān)方面的人員管理工作�����。民航企業(yè)在制定安全管理制度時��,應(yīng)建立網(wǎng)絡(luò)信息安全目標(biāo)���、安全策略�、安全管理制度及安全防護(hù)技術(shù)規(guī)范等多個層次�����,搭建安全管理制度體系�����。在建立安全管理流程方面���,通過建立科學(xué)合理的組織內(nèi)部安全監(jiān)督檢查與優(yōu)化體系,保證網(wǎng)絡(luò)信息安全管理工作的順利開展���。將內(nèi)部人員與第三方訪問人員����、系統(tǒng)建設(shè)、系統(tǒng)運維����、物理環(huán)境的日常管理規(guī)范化,將日常的變更管理��、問題管理�����、事件管理���、配置管理�、管理等電子化�����、流程化與標(biāo)準(zhǔn)化[2]����。
2.2合理運用先進(jìn)安全防護(hù)技術(shù)
2.2.1入侵檢測技術(shù)
目前,對信息安全防護(hù)技術(shù)手段研發(fā)與應(yīng)用也愈發(fā)普遍���,其中入侵檢測技術(shù)的應(yīng)用可以取得較好的技術(shù)效果�。入侵檢測技術(shù)的應(yīng)用主要是通過對網(wǎng)絡(luò)行為、網(wǎng)絡(luò)安全日志�、網(wǎng)絡(luò)安全審計信息等技術(shù)手段,有效檢測網(wǎng)絡(luò)系統(tǒng)非法入侵行為�����,判斷網(wǎng)絡(luò)入侵企圖����,通過網(wǎng)絡(luò)入侵檢測以實現(xiàn)網(wǎng)絡(luò)安全的實時監(jiān)控,有效避免網(wǎng)絡(luò)非法攻擊的可能�����。通過應(yīng)用入侵檢測技術(shù)��,民航企業(yè)可以構(gòu)建入侵檢測系統(tǒng)���,能夠?qū)ο到y(tǒng)內(nèi)部、外部的非授權(quán)行為進(jìn)行同步檢測��,及時發(fā)現(xiàn)和處理網(wǎng)絡(luò)信息系統(tǒng)中的未授權(quán)和異?��,F(xiàn)象�����,盡可能減少網(wǎng)絡(luò)入侵所造成的損耗與安全威脅����。為此,可采取NetEye入侵檢測系統(tǒng)��,該系統(tǒng)通過深度分析技術(shù)�,實現(xiàn)對于網(wǎng)絡(luò)環(huán)境的全過程監(jiān)控,及時了解����、分析并明確網(wǎng)絡(luò)內(nèi)部安全隱患及外部入侵風(fēng)險,作出安全示警�,及時響應(yīng)并采取有效的安全防范技術(shù),實現(xiàn)網(wǎng)絡(luò)安全防護(hù)層次進(jìn)行有效延伸��。同時��,該入侵檢測系統(tǒng)具備較為強(qiáng)悍的網(wǎng)絡(luò)信息審計功能����,就可以實時監(jiān)控、記錄、審計并就重演網(wǎng)絡(luò)安全運行及使用情況��,用戶能夠更好地了解網(wǎng)絡(luò)運行情況����。
2.2.2文件加密技術(shù)
篇10
2007年12月28日,中國光大銀行信用卡中心在京召開新聞會����,宣布正式通過ISO27001信息安全管理體系國際認(rèn)證,成為國內(nèi)首家通過該項認(rèn)證的信用卡中心��。這是中國光大銀行信用卡中心繼2006年6月通過CCCS五星級級客戶服務(wù)認(rèn)證和2006年9月通過ISO9001質(zhì)量管理體系認(rèn)證之后取得的又一成就�����,標(biāo)志著該行信用卡業(yè)務(wù)在保障客戶信息安全�、強(qiáng)化內(nèi)部管理方面已居于國內(nèi)領(lǐng)先水平。
在日漸激烈的信用卡競爭環(huán)境中�,中國光大銀行信用卡業(yè)務(wù)以“制度化�、規(guī)范化、標(biāo)準(zhǔn)化���、專業(yè)化”為方向�����,摒棄片面追求規(guī)模的定式����,致力于產(chǎn)品創(chuàng)新、服務(wù)提升與品牌建設(shè)���,建立了獨具特色的信用卡經(jīng)營和發(fā)展模式����,取得了令人矚目的成就�。為進(jìn)一步提高服務(wù)質(zhì)量,保障信息安全�,該行信用卡中心于2007年3月正式啟動ISO27001信息安全管理體系認(rèn)證項目,并提出“關(guān)注客戶����、信息安全”的信息安全方針。以此為契機(jī)���,中國光大銀行信用卡中心在保障客戶信息安全�、降低外包業(yè)務(wù)風(fēng)險���、保障業(yè)務(wù)的持續(xù)性等方面進(jìn)行了全面提升與改進(jìn)��。
一是在保障客戶信息安全��、防止客戶信息泄密方面�,中國光大銀行根據(jù)自身業(yè)務(wù)實際,通過開展信息資產(chǎn)識別��、風(fēng)險評估���、體系文件編寫��、體系試運行��、內(nèi)外審等主要工作����,在信用卡中心建立起了信息安全管理體系��,從而形成一套策略規(guī)程和控制措施��,將信息安全的控制措施貫穿于業(yè)務(wù)的各個環(huán)節(jié)��,使信息安全保障工作成為日常工作的組成部分���,在日常工作中關(guān)注客戶���,保障信息安全。二是降低外包業(yè)務(wù)風(fēng)險方面��,光大銀行針對信用卡行業(yè)外包業(yè)務(wù)多的現(xiàn)實���,通過規(guī)范數(shù)據(jù)交互�、調(diào)聽錄音����、查看系統(tǒng)日志、現(xiàn)場檢查����、第三方檢查等手段,并督促外包公司建章建制���、規(guī)范管理等一系列措施����,有效降低了外包業(yè)務(wù)的風(fēng)險�。三是業(yè)務(wù)持續(xù)性方面����,光大銀行針對影響業(yè)務(wù)持續(xù)性的主要因素進(jìn)行了風(fēng)險評估�,根據(jù)風(fēng)險評估的結(jié)果,制訂了業(yè)務(wù)持續(xù)性管理計劃��,并進(jìn)行了業(yè)務(wù)持續(xù)性演練�����,為業(yè)務(wù)的持續(xù)發(fā)展提供了保障�����。
ISO27001:2005是標(biāo)志信息安全的最主要國際化標(biāo)準(zhǔn)之一�����,是基于最佳實踐的總結(jié)����,至今已被全球數(shù)百家世界級組織采用,中國光大銀行率先將其引入信用卡領(lǐng)域��,為保障客戶信息安全尋求到一條積極高效的道路�����,為自身業(yè)務(wù)高速穩(wěn)健的發(fā)展奠定了堅實的基礎(chǔ)��。
篇11
摘要:通過對大中型跨國企業(yè)海外信息安全體系的研究����,形成了一個完整的海外信息安全體系框架,包括安全策略���、安全技術(shù)體系�����、安全管理體系�����、運行保障體系和建設(shè)實施規(guī)劃等�。依照該框架�,企業(yè)可以針對各部分進(jìn)行具體實施,從而完成整個的海外信息安全建設(shè)���。
關(guān)鍵詞 :大中型企業(yè)��;信息安全體系����;框架;理論指導(dǎo)��;安全模型
1海外信息安全體系建設(shè)原則
大中型企業(yè)海外信息安全體系的建設(shè)����,涉及面廣、工作量大����,整體設(shè)計必須堅持以下的原則,以保證建設(shè)和運營的效果�。
1.1統(tǒng)一規(guī)劃管理
要對信息安全體系建設(shè)進(jìn)行統(tǒng)一的規(guī)劃,制定信息安全體系框架��,明確保障體系中所包含的內(nèi)容����。同時,還要制定統(tǒng)一的信息安全建設(shè)標(biāo)準(zhǔn)和管理規(guī)范��,使得信息安全體系建設(shè)遵循一致的標(biāo)準(zhǔn)、管理遵循一致的規(guī)范�。
1.2分步有序?qū)嵤?/p>
信息安全體系建設(shè)的內(nèi)容龐雜,必須堅持分步有序的實施原則�����,循序漸進(jìn)���。
1.3技術(shù)管理并重
僅有全面的安全技術(shù)和機(jī)制是遠(yuǎn)遠(yuǎn)不夠的,安全管理也具有同樣的重要性����。信息安全體系的建設(shè),必須遵循安全技術(shù)和安全管理并重的原則�,制定統(tǒng)一的安全建設(shè)管理規(guī)范,指導(dǎo)安全管理工作�����。
1.4突出安全保障
信息安全體系建設(shè)要突出安全保障的重要性�����,通過數(shù)據(jù)備份�、冗余設(shè)計、應(yīng)急響應(yīng)、安全審計�、災(zāi)難恢復(fù)等安全保障機(jī)制,保障業(yè)務(wù)的持續(xù)性和數(shù)據(jù)的安全性�。
2海外信息安全體系建設(shè)目標(biāo)
大型跨國企業(yè)海外信息安全的建設(shè)目標(biāo)是:基于安全基礎(chǔ)設(shè)施、以安全策略為指導(dǎo)���,提供全面的安全服務(wù)內(nèi)容���,覆蓋從物理、網(wǎng)絡(luò)�、系統(tǒng)直至數(shù)據(jù)和應(yīng)用平臺各個層面,以及保護(hù)�、檢測、響應(yīng)��、恢復(fù)等各個環(huán)節(jié)����,構(gòu)建全面、完整��、高效的信息安全體系�,從而提高企業(yè)信息系統(tǒng)的整體安全等級,為企業(yè)海外業(yè)務(wù)發(fā)展提供堅實的信息安全保障�。
3海外信息安全體系框架
企業(yè)進(jìn)行信息安全建設(shè)的目標(biāo)是建立起一個全面�����、有效的信息安全體系�,包括了安全技術(shù)���、安全管理���、人員組織、教育培訓(xùn)��、資金投入等關(guān)鍵因素�����,信息安全建設(shè)的內(nèi)容多���,規(guī)模大,必須進(jìn)行全面的統(tǒng)籌規(guī)劃�,明確信息安全建設(shè)的工作內(nèi)容、技術(shù)標(biāo)準(zhǔn)���、組織機(jī)構(gòu)���、管理規(guī)范�、人員崗位配備�����、實施步驟���、資金投入���,才能夠保證信息安全建設(shè)有序可控地進(jìn)行,使信息安全體系發(fā)揮最優(yōu)的保障效果��。
同時還應(yīng)該制定一系列的安全管理規(guī)范����,指導(dǎo)信息安全建設(shè)和運營工作,使得信息安全建設(shè)能夠依據(jù)統(tǒng)一的標(biāo)準(zhǔn)開展�����,信息安全體系的運營和維護(hù)能夠遵循統(tǒng)一的規(guī)范進(jìn)行��。
3.1安全目標(biāo)模型
根據(jù)大型跨國企業(yè)海外信息安全體系建設(shè)目標(biāo)和總體安全策略����,建立與之對應(yīng)的目標(biāo)模型���,稱為WP2DRR安全模型。該模型由預(yù)警( Warning)����、策略(Policy)、保護(hù)(Protectlon)��、檢測(Detection)�、響應(yīng)(Response)、恢復(fù)(Recovery)6個要素環(huán)節(jié)構(gòu)成了一個基于時間的�、完整的、動態(tài)的信息安全體系���。WP2DRR模型在P2DR模型的基礎(chǔ)上新增加了預(yù)警Warnlng和恢復(fù)Recover,增強(qiáng)了安全保障體系的事前預(yù)防和事后恢復(fù)能力�����,系統(tǒng)一旦發(fā)生安全事故����,也能恢復(fù)系統(tǒng)功能和數(shù)據(jù)���,恢復(fù)系統(tǒng)的正常運行。
安全目標(biāo)模型是信息安全體系框架的基礎(chǔ)�,大型跨國企業(yè)的海外信息安全體系框架應(yīng)該緊密圍繞安全模型的6個要素環(huán)節(jié)進(jìn)行設(shè)計,每個要素環(huán)節(jié)的功能都在安全技術(shù)體系��、安全組織和管理體系以及運行保障體系中體現(xiàn)出來��。
3.2信息安全體系框架組成
通過對企業(yè)的網(wǎng)絡(luò)和應(yīng)用現(xiàn)狀����、安全現(xiàn)狀、面臨的安全風(fēng)險的分析�����,根據(jù)安全保障目標(biāo)模型���,制定了大型跨國企業(yè)海外信息安全體系框架�。制定該框架的目的在于從宏觀上指導(dǎo)和管理信息安全體系的建設(shè)和運營�。
該框架由一組相互關(guān)聯(lián)、相互作用�����、相互彌補(bǔ)、相互推動�����、相互依賴�、不可分割的信息安全保障要素組成。此框架中����,以安全策略為指導(dǎo),融會了安全技術(shù)��、安全管理和運行保障3個層次的安全體系�,以達(dá)到系統(tǒng)可用性、可控性��、抗攻擊性�、完整性、保密性的安全目標(biāo)����。大型跨國企業(yè)海外信息安全體系框架的總體結(jié)構(gòu)如圖1所示���。
3.2.1安全策略
在這個框架中��,安全策略是指導(dǎo)�,與安全技術(shù)體系、安全組織和管理體系以及運行保障體系這3大體系相互作用�����。一方面���,3大體系是在安全策略的指導(dǎo)下構(gòu)建的�,主要是要將安全策略中制定的各個要素轉(zhuǎn)化成為可行的技術(shù)實現(xiàn)方法和管理�、運行保障手段,全面實現(xiàn)安全策略中所制定的目標(biāo)�。另一方面,安全策略本身也有包括草案設(shè)計���、評審�、實施��、培訓(xùn)�、部署、監(jiān)控���、強(qiáng)化�����、重新評佶�����、修訂等步驟在內(nèi)的生命周期��,需要采用一些技術(shù)方法和管理手段進(jìn)行管理��,保證安全策略的及時性和有效性�。
按照要保障的資產(chǎn)對象的不同,總體策略劃分為物理安全���、網(wǎng)絡(luò)安全�、系統(tǒng)安全�����、病毒防治�����、身份認(rèn)證、應(yīng)用授權(quán)和訪問控制�、數(shù)據(jù)加密�、數(shù)據(jù)備份和災(zāi)難恢復(fù)、應(yīng)急響應(yīng)�、教育培訓(xùn)等若干方面進(jìn)行闡述。
隨著技術(shù)的發(fā)展以及系統(tǒng)的升級�����、調(diào)整�����,安全策略也應(yīng)該進(jìn)行重新評估和制定��,隨時保持策略與安全目標(biāo)的一致性���。
3.2.2安全技術(shù)體系
安全技術(shù)體系是整個信息安全體系框架的基礎(chǔ)��,包括了安全基礎(chǔ)設(shè)施平臺�、安全應(yīng)用系統(tǒng)平臺和安全綜合管理平臺這3個部分����,以統(tǒng)一的信息安全基礎(chǔ)設(shè)施平臺為支撐,以統(tǒng)一的安全系統(tǒng)應(yīng)用平臺為輔助,在統(tǒng)一的綜合安全管理平臺管理下的技術(shù)保障體系框架����。
安全基礎(chǔ)設(shè)施平臺是以安全策略為指導(dǎo),立足于現(xiàn)有的成熟安全技術(shù)和安全機(jī)制�����,從物理和通信安全防護(hù)��、網(wǎng)絡(luò)安全防護(hù)����、主機(jī)系統(tǒng)安全防護(hù)、應(yīng)用安全防護(hù)等多個層次出發(fā)��,建立起的一個各個部分相互協(xié)同的完整的安全技術(shù)防護(hù)體系����。
應(yīng)用信息系統(tǒng)通過使用安全基礎(chǔ)設(shè)施平臺所提供的各類安全服務(wù),提升自身的安全等級�����,以更加安全的方式�����,提供業(yè)務(wù)服務(wù)和內(nèi)部信息管理服務(wù)。安全綜合管理平臺的管理范圍盡可能地涵蓋安全技術(shù)體系中涉及的各種安全機(jī)制與安全設(shè)備�,對這些安全機(jī)制和安全設(shè)備進(jìn)行統(tǒng)一的管理和控制,負(fù)責(zé)管理和維護(hù)安全策略���,配置管理相應(yīng)的安全機(jī)制,確保這些安全技術(shù)與設(shè)施能夠按照設(shè)計的要求協(xié)同運作����,可靠運行。它在傳統(tǒng)的信息系統(tǒng)應(yīng)用體系與備類安全技術(shù)�����、安全產(chǎn)品��、安全防御措施等安全手段之間搭起橋梁��,使得各類安全手段能與現(xiàn)有的信息系統(tǒng)應(yīng)用體系緊密的結(jié)合實現(xiàn)無縫連接�����,促成信息系統(tǒng)安全與信息系統(tǒng)應(yīng)用的真正的一體化���,使得傳統(tǒng)的信息系統(tǒng)應(yīng)用體系逐步過渡向安全的信息系統(tǒng)應(yīng)用體系���。
統(tǒng)一的安全管理平臺有助于各種安全管理技術(shù)手段的相互補(bǔ)充和有效發(fā)揮���,也便于從系統(tǒng)整體的角度來進(jìn)行安全的監(jiān)控和管理,從而提高安全管理工作的效率�,使人為的安全管理活動參與量大幅下降。
3.2.3安全管理體系
安全組織和管理體系是安全技術(shù)體系真正有效發(fā)揮保護(hù)作用的重要保障�����,安全管理體系的設(shè)計立足于總體安全策略���,并與安全技術(shù)體系相互配合����,增強(qiáng)技術(shù)防護(hù)體系的效率和效果����,同時也彌補(bǔ)當(dāng)前技術(shù)無法完全解決的安全缺陷。
技術(shù)和管理是相互結(jié)合的��。一方面�,安全防護(hù)技術(shù)措施需要安全管理措施來加強(qiáng)�����,另一方面技術(shù)也是對管理措施貫徹執(zhí)行的監(jiān)督手段�����。在大型跨國企業(yè)海外信息安全體系框架中�,安全管理體系的設(shè)計充分參考和借鑒了國際信息安全管理標(biāo)準(zhǔn)《BS7799 (IS017799)》的建議���。
大型跨國企業(yè)海外信息安全管理體系由若干信息安全管理類組成,每項信息安全管理類可分解為多個安全目標(biāo)和安全控制��。每個安全目標(biāo)都有若干安全控制與其相對應(yīng)���,這些安全控制是為了達(dá)成相應(yīng)安全目標(biāo)的管理工作和要求�����。
3.2.4運行保障體系
運行與保障體系由安全技術(shù)和安全管理緊密結(jié)合的內(nèi)容所組成�,包括了系統(tǒng)可靠性設(shè)計��、系統(tǒng)數(shù)據(jù)的備份計劃�、安全事件的應(yīng)急響應(yīng)計劃�、安全審計��、災(zāi)難恢復(fù)計劃等�,運行和保障體系對于企業(yè)網(wǎng)絡(luò)和信息系統(tǒng)的可持續(xù)性運營提供了重要的保障手段。
3.2.5建設(shè)實施規(guī)劃
建設(shè)實施規(guī)劃是在安全管理體系����、安全技術(shù)體系、運行保障體系設(shè)計的基礎(chǔ)上進(jìn)一步制定的建設(shè)步驟和實施方案�����。在建設(shè)實施規(guī)劃中突出體現(xiàn)了分步有序?qū)嵤┑脑瓌t�����。
任何信息安全建設(shè)都需要人員負(fù)責(zé)管理和實施�����,因此�,首先應(yīng)該建立信息安全工作監(jiān)管組織機(jī)構(gòu),明確各級管理機(jī)構(gòu)的人員配備�,職能和責(zé)任。其中信息安全管理機(jī)構(gòu)負(fù)責(zé)信息安全策略的審核與頒布��、統(tǒng)一技術(shù)標(biāo)準(zhǔn)和管理規(guī)范的制定、指導(dǎo)和監(jiān)督信息安全建設(shè)工作�����、對信息安全系統(tǒng)進(jìn)行監(jiān)控與審計管理��。
信息安全體系建設(shè)�����,應(yīng)該首先從物理環(huán)境安全建設(shè)入手�����,確保機(jī)房建設(shè)按照的統(tǒng)一標(biāo)準(zhǔn)進(jìn)行建設(shè)�,并且按照統(tǒng)一的管理規(guī)范進(jìn)行管理��。
在接下來的網(wǎng)絡(luò)安全建設(shè)中����,應(yīng)對計算機(jī)網(wǎng)絡(luò)的安全域進(jìn)行劃分,對網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行調(diào)整�����,以確保內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)邊界清晰���;在各安全域的邊界處部署防火墻�、網(wǎng)絡(luò)入侵檢測等安全產(chǎn)品�����,形成立體的區(qū)域邊界保護(hù)機(jī)制�����,對各安全域進(jìn)行邏輯安全隔離��,禁止未授權(quán)的網(wǎng)絡(luò)訪問��;在內(nèi)部網(wǎng)絡(luò)中部署網(wǎng)絡(luò)脆弱性分析工具�����,定期對內(nèi)部網(wǎng)絡(luò)進(jìn)行檢查�,并采取措施及時彌補(bǔ)新發(fā)現(xiàn)的安全漏洞。
在進(jìn)行網(wǎng)絡(luò)安全建設(shè)的同時���,還可以進(jìn)行系統(tǒng)安全建設(shè)��,在內(nèi)部網(wǎng)絡(luò)中全面部署網(wǎng)絡(luò)病毒查殺系統(tǒng)����,有效抑制計算機(jī)病毒在內(nèi)部網(wǎng)絡(luò)中傳播,避免對系統(tǒng)和數(shù)據(jù)造成損害�。另外,主機(jī)系統(tǒng)管理員還應(yīng)該按照主機(jī)系統(tǒng)管理規(guī)范的要求����,借助主機(jī)脆弱性分析和安全加固工具,定期對主機(jī)系統(tǒng)進(jìn)行檢查����,更新安全漏洞補(bǔ)丁的級別,修正不當(dāng)?shù)南到y(tǒng)和服務(wù)配置�����,查看和分析系統(tǒng)審計日志�����,控制和保證主機(jī)系統(tǒng)的良好安全狀態(tài)����。
應(yīng)用安全建設(shè)包括建立身份認(rèn)證系統(tǒng)、應(yīng)用授權(quán)和訪問控制系統(tǒng)�、數(shù)據(jù)安全傳輸系統(tǒng)等,對專業(yè)業(yè)務(wù)應(yīng)用系統(tǒng)和內(nèi)部信息管理系統(tǒng)提供各種安全服務(wù)���。
按照統(tǒng)一標(biāo)準(zhǔn)����,建立安全審計與分析系統(tǒng)�����、系統(tǒng)和數(shù)據(jù)備份計劃�、安全事件應(yīng)急響應(yīng)計劃、災(zāi)難恢復(fù)計劃等安全保障機(jī)制����,重在保護(hù)業(yè)務(wù)數(shù)據(jù)等信息資產(chǎn),保證內(nèi)外應(yīng)用服務(wù)的持續(xù)可用性����。
對所有員工進(jìn)行基本安全教育,為信息安全系統(tǒng)相關(guān)技術(shù)人員提供專門的安全理論和安全技能培訓(xùn)�,提高全員的安全意識,打造一支高素質(zhì)的專業(yè)技術(shù)和管理隊伍。
4結(jié)論
海外信息安全體系是一個全方位的體系�,從技術(shù)到管理、從網(wǎng)絡(luò)到設(shè)備再到人���。任何一個方面都要考慮周全�����,只有每一個部分的安全才是整體的安全��。
