关键词:信息;安全;加强;管理
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2010) 09-0000-01
Enhance Information SecurityAwareness Strengthen Information Security Management
Liu Yunan,Ren Xiujuan
(Pulandian Statistics Bureau of Liaoning,Dalian116200,China)
Abstract:Network security technologies,especially network information security,related to Internet users,businesses and even national information security.Improving information security awareness, enhance information security management,variety of security technologies will be combined,to build an efficient,applicable and secure network system.
Keywords:Information;Security;Strengthened;Management
当前,随着计算机技术的飞速发展,利用因特网高科技手段进行经济商业犯罪的现象已经屡见不鲜了。网络环境的复杂性、多变性以及信息系统的脆弱性,决定了网络安全威胁的客观存在。因此,如何采用更加安全的数据保护及加密技术,成为当前计算机工作者的研究热点与重点。网络安全技术,尤其是网络信息的安全,关系到网民、企业甚至是国家的信息安全。因此,发展更加安全的网络安全技术,是关系到社会经济稳定繁荣发展的关键,成为当前计算机安全工作的重点。提高信息安全意识是各种信息安全管理体系标准中共同的要求,提高办公人员的信息安全意识的要求,无非就是从实质上提高全体工作人员的信息安全意识。提高工作人员的信息安全意识又是安全项目中很容易被忽视的环节。
一、信息安全的重要性
信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。根据国际标准化组织的定义,信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何国家、政府、部门、行业都必须十分重视的问题,是一个不容忽视的国家安全战略。但是,对于不同的部门和行业来说,其对信息安全的要求和重点却是有区别的。
我国的改革开放带来了各方面信息量的急剧增加,并要求大容量、高效率地传输这些信息。为了适应这一形势,通信技术发生了前所未有的爆炸性发展。目前,除有线通信外,短波、超短波、微波、卫星等无线电通信也正在越来越广泛地应用。与此同时,国外敌对势力为了窃取我国的政治、军事、经济、科学技术等方面的秘密信息,运用侦察台、侦察船、卫星等手段,形成固定与移动、远距离与近距离、空中与地面相结合的立体侦察网,截取我通信传输中的信息。
传输信息的方式很多,有局域计算机网、互联网和分布式数据库,有蜂窝式无线、分组交换式无线、卫星电视会议、电子邮件及其它各种传输技术。信息在存储、处理和交换过程中,都存在泄密或被截收、窃听、窜改和伪造的可能性。不难看出,单一的保密措施已很难保证通信和信息的安全,必须综合应用各种保密措施,即通过技术的、管理的、行政的手段,实现信源、信号、信息三个环节的保护,藉以达到秘密信息安全的目的。
二、加强管理的必要性
20世纪90年代以来,科学技术的高度发展已经毋庸置疑地把我们带进了信息时代,随着信息以爆炸式的速度不断在我们生活中的每一个角落中涌现,如何管理信息,确保信息的安全为世人瞩目,信息安全管理则成为了当前全球的热门话题。传统的信息安全着眼于常规的信息系统安全设备,诸如防火墙、VPN、入侵检测系统、防病毒系统、认证系统等,构成了信息安全的防护屏障。事实上,要保证信息安全需要有三个方面的工作要做,这就是需要技术、管理与法制。所以仅仅依靠技术保障信息安全的做法是不会达到应有效果的,“三分技术,七分管理”这个在其他领域总结出来的实践经验和原则,在信息领域也同样适用。因此,在信息安全的重要性日益突出、信息安全手段日新月异的今天,加强信息安全管理工作就显得尤为重要。
我国历来非常重视信息安全保密工作,并且从敏感性,特殊性和战略性的高度把信息安全保密工作自始至终置于党和国家的绝对领导之下。中央机要管理部门,国家安全机关,公安机关和国家保密主管部门分工协作,各司其职,形成了维护国家信息安全的管理体系。
为加强信息安全管理工作,中央批准成立了两个非常重要的机构,一个是国家信息安全产品测评认证中心,负责管理和运行国家信息安全的测评认证体系,对信息安全产品,信息系统,对提供信息安全服务的单位以及提供信息安全服务的人员进行测试,考试和认证。第二个重要机构是国家计算机网络与信息安全管理中心,负责管理和运行国家计算机网络的内容监控和应急协调工作。这两个机构目前都在国家信息安全管理中发挥着技术支撑的作用。
网络安全不再仅仅是用户组网才会思考的问题,如今的网络情况纷繁复杂,网络安全更要考虑的详尽周到。1.必须有本地的安全策略;2.需要批准共享;3.文件许可非常重要;4.加密离线文件;5.评估你的网络安全。无论你使用什么工具,要确保实施经过身份识别的扫描和未经过身份识别的扫描。这会使你了解网络的真实状况,了解哪里配置错误了,并且了解不守纪律的内部人员或者外部黑客能够在你的系统里看到什么。这样我们就可以很好的解决的此项安全问题。
【关键词】 信息安全 违规外联 电力企业
一、前言
国网公司现已建成覆盖至基层生产班站及营业站所的信息内网。随着SG186工程的全面投入运行,从职能部室到一线班组,电力企业所有的业务数据都依赖网络进行流转,电网企业生产和经营对信息网络和信息系统的依赖程度越来越高信息安全的重要性日益凸显。国网公司已将网络与信息安全纳入公司安全管理体系。
一直以来,信息安全防御理念常局限于常规的网关级别(防火墙等)、网络边界(漏洞扫描、安全审计)等方面的防御,重要的安全设施大多集中于核心机房、网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁已大大减少,尤其实行内外网隔离、双网双机后,来自于互联网的威胁微乎其微。而内网办公终端由于分布地点广泛,管控难度大,加之现在无线上网卡、无线wifi和智能手机的兴起,内网计算机接入互联网的事件时有发生,一旦使用人员将内网计算机通过以上方式接入互联网,即造成违规外联事件。由于违规外联开通了一条无任何保护措施进出内外网的通道,一旦遭遇黑客袭击,就可能造成信息泄露、重要数据丢失、病毒入侵、网络瘫痪等信息安全事故,给企业信息安全带来重大的安全隐患和风险。
二、强化管理、落实责任,监培并进
1、将违规外联明确写入公司各项规章制度,并纳入经济责任考核。在《公司信息系统安全管理办法》中,对杜绝违规外联事件进行了明确的要求:所有内网计算机必须粘贴防止违规外联提示卡,严禁将接入过互联网未经处理的计算机接入内网,严禁在普通计算机上安装双网卡,严禁将智能设备(3G手机、无线网卡等)插入内网计算机USB端口,严禁在办公区通过路由器连接外网,杜绝违规外联行为。 一旦发生违规外联事件,依据《企业信息化工作评级实施细则》,按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则对事件责任人进行严肃处理和经济考核,并在全公司通报批评。将信息安全责任落实到人。
2、加大违规外联宣贯和培训力度。信息安全工作,重在预防,将一切安全事件消灭在萌芽状态,才能确保信息系统安全稳定运行。分层次组织开展公司在岗员工,尤其是新员工的信息安全教育培训工作,即重点培训各部门信息化管理人员,各级管理人员培训本部门技术人员,本部门技术人员培训一线员工。通过分层式培训,提高了培训效果,同时各级管理人员、技术人员作为下级培训对象讲师提高了自身素质,强化了信息安全关键点的作用。确保违规外联事件的严重性、危害性和工作机理已宣贯至公司每一位员工,实现全员重视、全员掌握,做到内网计算机“离座就锁屏,下班就关机”的工作习惯。
3、加强外来工作人员管控。加强外来工作人员信息安全教育,并签订《第三方人员现场安全合同书》,严禁外来工作人员计算机接入公司内外网。对第三方人员工作过程全程监控,防止因外来工作人员擅自操作造成违规外联事件。
二、加强技术管控,从源头杜绝安全事件的发生
2.1严格执行“双网双机”
严禁在信息内网和外网交叉使用计算机。对要求接入信息内、外网的计算机,需向本人核实该计算机之前网络接入情况,对内外网络接入方式有变化、或者是不清楚的情况,需对计算机进行硬盘格式化并重装系统后方可接入网络。
2.2安装桌面终端,设置强口令,防止违规外联
实时监控全公司内网终端桌面终端系统安装率,确保所有内网计算机桌面终端安装率达100%。设置桌面终端策略,一旦发生违规外联,系统立即采取断网措施,并对终端用户进行警示。要求全部内网计算机设置开机强口令(数字+字母+特殊符号,且大于8位),防止非本人操作的违规外联行为。通过桌面终端系统对内网计算机开机强口令进行实时监控。
2.3做好温馨提示,明确内外网设备,防止违规外联
做到每一台内网计算机均粘贴信息安全提示标签提示员工切勿内网计算机接入外网网络,无线网卡及智能手机切勿接入内网。内外网网络端口模块、网线端口都要有明显标识,防止员工误接网络。
2.4实行内网计算机IP、MAC绑定和外网计算机IP、认证账号绑定
加强IP地址绑定,从交换机端口对接入内网的计算机进行IP、MAC地址绑定,确保除本计算机外,其余计算机无法通过该端口接入内网。
通过外网审计(网康科技)对外网IP和用户认证账户进行绑定,完善外网用户和计算机基础资料,做到全局外网终端和用户可控。
一、前言
国网公司现已建成覆盖至基层生产班站及营业站所的信息内网。随着SG186工程的全面投入运行,从职能部室到一线班组,电力企业所有的业务数据都依赖网络进行流转,电网企业生产和经营对信息网络和信息系统的依赖程度越来越高信息安全的重要性日益凸显。国网公司已将网络与信息安全纳入公司安全管理体系。
一直以来,信息安全防御理念常局限于常规的网关级别(防火墙等)、网络边界(漏洞扫描、安全审计)等方面的防御,重要的安全设施大多集中于核心机房、网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁已大大减少,尤其实行内外网隔离、双网双机后,来自于互联网的威胁微乎其微。而内网办公终端由于分布地点广泛,管控难度大,加之现在无线上网卡、无线wifi和智能手机的兴起,内网计算机接入互联网的事件时有发生,一旦使用人员将内网计算机通过以上方式接入互联网,即造成违规外联事件。由于违规外联开通了一条无任何保护措施进出内外网的通道,一旦遭遇黑客袭击,就可能造成信息泄露、重要数据丢失、病毒入侵、网络瘫痪等信息安全事故,给企业信息安全带来重大的安全隐患和风险。
二、强化管理、落实责任,监培并进
1、将违规外联明确写入公司各项规章制度,并纳入经济责任考核。在《公司信息系统安全管理办法》中,对杜绝违规外联事件进行了明确的要求:所有内网计算机必须粘贴防止违规外联提示卡,严禁将接入过互联网未经处理的计算机接入内网,严禁在普通计算机上安装双网卡,严禁将智能设备(3G手机、无线网卡等)插入内网计算机USB端口,严禁在办公区通过路由器连接外网,杜绝违规外联行为。 一旦发生违规外联事件,依据《企业信息化工作评级实施细则》,按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则对事件责任人进行严肃处理和经济考核,并在全公司通报批评。将信息安全责任落实到人。
2、加大违规外联宣贯和培训力度。信息安全工作,重在预防,将一切安全事件消灭在萌芽状态,才能确保信息系统安全稳定运行。分层次组织开展公司在岗员工,尤其是新员工的信息安全教育培训工作,即重点培训各部门信息化管理人员,各级管理人员培训本部门技术人员,本部门技术人员培训一线员工。通过分层式培训,提高了培训效果,同时各级管理人员、技术人员作为下级培训对象讲师提高了自身素质,强化了信息安全关键点的作用。确保违规外联事件的严重性、危害性和工作机理已宣贯至公司每一位员工,实现全员重视、全员掌握,做到内网计算机“离座就锁屏,下班就关机”的工作习惯。
3、加强外来工作人员管控。加强外来工作人员信息安全教育,并签订《第三方人员现场安全合同书》,严禁外来工作人员计算机接入公司内外网。对第三方人员工作过程全程监控,防止因外来工作人员擅自操作造成违规外联事件。
三、加强技术管控,从源头杜绝安全事件的发生
2.1严格执行“双网双机”
严禁在信息内网和外网交叉使用计算机。对要求接入信息内、外网的计算机,需向本人核实该计算机之前网络接入情况,对内外网络接入方式有变化、或者是不清楚的情况,需对计算机进行硬盘格式化并重装系统后方可接入网络。
2.2安装桌面终端,设置强口令,防止违规外联
实时监控全公司内网终端桌面终端系统安装率,确保所有内网计算机桌面终端安装率达100%。设置桌面终端策略,一旦发生违规外联,系统立即采取断网措施,并对终端用户进行警示。要求全部内网计算机设置开机强口令(数字+字母+特殊符号,且大于8位),防止非本人操作的违规外联行为。通过桌面终端系统对内网计算机开机强口令进行实时监控。
2.3做好温馨提示,明确内外网设备,防止违规外联
做到每一台内网计算机均粘贴信息安全提示标签提示员工切勿内网计算机接入外网网络,无线网卡及智能手机切勿接入内网。内外网网络端口模块、网线端口都要有明显标识,防止员工误接网络。
2.4实行内网计算机IP、MAC绑定和外网计算机IP、认证账号绑定
加强IP地址绑定,从交换机端口对接入内网的计算机进行IP、MAC地址绑定,确保除本计算机外,其余计算机无法通过该端口接入内网。
通过外网审计(网康科技)对外网IP和用户认证账户进行绑定,完善外网用户和计算机基础资料,做到全局外网终端和用户可控。
四、信息安全前景:
在信息安全领域没有绝对的安全防护技术和手段。随着信息技术日新月异的发展,电力企业内网计算机违规外联风险也在增加。在已有的管控手段的基础上,还要及时关注新技术,不断完善和调整制度管理和技术策略。信息安全是伴随企业信息化应用发展而发展的永恒课题。
关键词:信息安全;管理体系;ISMS
中图分类号:TP315 文献标识码:A 文章编号:1009-8631(2010)05-0171-02
一、概述
当前,信息资源的开发和利用,已成为信息化建设的核心。信息作为一种重要的资产,已成为大家的共识。其一旦损毁、丢失、或被不失当地曝光。将会给组织带来一系列损失。这些损失是我们不愿意面对的。因此信息安全越来越成为大家关注的热点问题。前国家科技部部长徐冠华曾经指出:“没有信息安全保障的信息工程一定是豆腐渣工程”。
所谓信息安全,是针对技术和管理来说的,为信息处理体统提供安全保护,保护计算机软硬件及信息内容不因偶然意外和恶意的原因而遭到破坏、更改和泄漏。信息安全包括实体安全、运行安全、信息(针对信息内容)安全和管理安全四个方面:
1)实体安全是指保护计算机设备、网络设施以及其他通信与存储介质免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施、过程。
2)运行安全是指为保障系统功能的安全实现。提供一套安全措施(如风险分析、审计跟踪、备份与恢复、应急措施)来保护信息处理过程的安全。
3)信息安全是指防止信息资源的非授权泄漏、更改、破坏,或使信息被非法系统辨别、控制和否认。即确保信息的完整性、机密性、可用性和可控性。
4)管理安全是指通过信息安全相关的法律法令和规章制度以及安全管理手段,确保系统安全生存和运营。
信息安全是一个多层面、多因素、综合和动态的过程。安全措施必须渗透到所有的环节。才能获得全面的保护。为了防范和减少风险,一般的信息系统都部署了基本的防御和检测体系,如防火墙、防病毒软件、入侵检测系统、漏洞扫描设备等等。这些安全技术和安全设备及软件的应用,在很大程度上提高了信息系统的安全性。但是这样做不能从根本上降低安全风险。解决安全问题。因为不能把信息安全问题仅仅当做是技术问题,日常所说的防范黑客入侵和病毒感染只能是信息安全问题的一个方面。一方面由于所有安全产品的功能都是针对某一类问题,并不能应用到所有问题上,所以说它们的功能相对比较狭窄,因此想通过设置安全产品来彻底解决信息安全问题是不可能的;另一方面,信息安全问题并不是固定的、静态的,它会随着信息系统和操作流程的改变而变化。而设置安全产品则是一种静态的解决办法。一般情况下,当产品安装和配置一段时期后,旧的问题解决了。新的安全问题就会产生,安全产品无法进行动态调整来适应安全问题的变化。有效解决上述问题的关键是搭建一个信息安全体系。建设体系化管理手段,通过安全产品的辅助,从而保障信息系统的安全。
二、搭建信息安全管理体系
(一)BS7799
信息安全管理体系是安全管理和安全控制的有效结合体,通过分析信息安全各个环节的实际需求情况和风险情况,建立科学合理的安全控制措施,并且同信息系统审计相结合,从而保证信息资产的安全性、完整性和可用性。国际上制定的信息安全管理标准主要有:英国标准协会制定的信息安全管理体系标准-BS7799;国际信息系统审计与控制协会制定的信息和相关技术控制目标-COBIT;是目前国际上通用的信息系统审计标准;英国政府的中央计算机和通信机构提出的一套IT服务管理标准-ITIL;国际标准化组织(IS01和国际电工委员会(IEC)所制定信息安全管理标准-IS0/IECl335。其中BS7799英国的工业、政府和商业共同需求而发展的一个标准,于1995年2月制定的、世界上第一个信息安全管理体系标准。经过不断的修订,目前已经成为信息安全管理领域的权威标准。其两个组成部分目前已分别成为IS017799和IS027001标准。BST799涵盖了安全所应涉及的方方面面,全面而不失操作性,提供了一个可持续发展提高的信息安全管理环境。在该标准中,信息安全已经不只是人们传统上所讲的安全,而是成为一种系统化和全局化的观念。和以往的安全体系相比,该标准提出的信息安全管理体系(SMS)具有系统化、程序化和文档化的管理特点。
(二)息安全管理体系(ISMs)
信息安全管理体系(LSMS)是组织整体管理体系的一个重要组成部分,是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。基于对业务风险的分析和认识,ISMS包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动。IS027001是建立和维护信息安全管理体系的准绳,它一般是要求通过确定的过程来建立ISMS框架:确定体系范围,制定信息安全策略,明确管理职责,通过风险评估确定控制目标和控制方式。整个体系一旦建立起来,组织就必须实施、维护和不断改进ISMS,保持整个体系运作的有效性。
(三)ISMS搭建步骤
当一个组织建立和管理信息安全体系时。BS7799提供了指导性的建议,即遵循PDCA(Plan,Check和Act)的持续改进的管理模式。PDCA循环实际上是有效进行任何一项工作的合乎逻辑的工作程序。对于搭建和管理信息安全体系,其PDCA过程如下:
1)信息安全体系(PLAN)
在PLAN阶段通过风险评估来了解安全需求,根据需求设计解决方案。根据BS7799-2。搭建ISMS一般有如下步骤:
A、定义安全方针:信息安全方针是组织的信息安全委员会制定的高层文件,用于指导组织如何对资产,包括敏感信息进行管理、保护和分配的规则和指示。
B、定义1SMS的范围:ISMS的范围是需要重点进行信息安全管理的领域,组织可根据自己的实际情况。在整个组织范围内、或者在个别部门或领域架构ISMS。
C、实施风险评估:首先对ISMS范围内的信息资产进行鉴定或估计,然后对信息资产面对的各种威胁和脆弱性进行评估,同时对已存在的或规划的安全控制措施进行鉴定。
D、风险管理:根据风险评估与现状调查的结果。确定安全需求,决定如何对信息资产实施保护及保护到何种程度限(如接受风险、避免风险、转移风险或降低风险)。
E、选择控制目标和控制措施:根据风险评估和风险管理的结果,选择合适的控制目标和控制措施来满足特定的安全需求。可以从BS7799-1的中进行选择,也可以应选择一些其它适宜的控制方式。
F、准备适用性申明(SOA):SOA是适合组织需要的控制目标和控制的评论,记录组织内相关的风险控制目标和针对每种风险所采取的各种控制措施。
2)实施信息安全体系(D01
在DO阶段将解决方案付诸实现,实施组织所选择的控制目标与控制措施。
3)检查信息安全体系(cHECK)
在CH ECK阶段进行有关方针、程序、标准与法律法规的符合性检查,对存在的问题采取措施,予以改进,以保证控制措施的有效运行。在此过程中,要根据风险评估的对象及范围的变化情况。以及时调整或完善控制措施。常见的检查措施有:日常检查、从其他处学习、内部ISMS审核、管理评审、趋势分析等。
4)改进信息安全体系(ACT)
在ACT阶段对ISMS进行评价。以检查阶段发现的问题为基础,寻求改进的机会,采取相应的措施进行调整与改进。
安永全球信息安全年度调查报告《应对安全,缩小差距》(以下简称“调查报告”)日前,这份邀请了来自于包括中国在内的64个国家,1850多位首席信息官(CIO)、首席信息安全官 (CISO) 和其他信息安全高管共同参与的调查,是安永15年来调查最为全面的一次。
调查报告显示,当前形势下,企业仅靠短期的渐进式变革和修补式解决方案是不够的,缩小差距的唯一办法是从根本上实现信息安全功能的转型。
安永大中华区信息科技风险与审计咨询服务合伙人阮祺康表示,“实施信息安全转型旨在缩小脆弱性现状和安全性目标之间日趋扩大的差距,这不依靠复杂的技术解决方案,而是需要领导力、承诺、能力和行动的勇气,不是在一两年之后而是当下。”
挑战聚焦:不容小靓
随着信息安全面貌的变迁,企业如今正面临更多更严峻的新的威胁,并且产生了更加迅速的影响。因此,企业只有经深思熟虑和全面整合的方法,实现投资效益最大化,才能更加自信地确认已对企业自身重要数据和信息进行了充分保护。
一直以来,众多行业均有信息安全案例发生,其中金融行业、高科技产业尤其容易受到威胁。电子银行等平台信息安全对于行业本身发展生死攸关的,拥有研发数据、核心技术等高密度信息的高科技产业也只有避免外部攻击和内部泄露才能稳定发展。
安永调查报告显示,企业在信息安全所面临的挑战不可小觑,概括起来主要为以下五个方面:
第一,不断升级的外部威胁:2009年,有41%的受访者注意到外部攻击正不断增加;而2011年,这一数字升至72%,甚至在2012年增至77%,攻击形式包括黑客行为、间谍活动、有组织的犯罪以及恐怖主义等。与此同时,企业也意识到了内部安全挑战,46%的受访者表示已关注到这一点,认为员工信息安全意识薄弱是成功实施信息安全项目的最大挑战。
第二,安全防范措施未能同步追随云计算快速应用的步伐。新技术在为企业带来无限商机的同时,也引发了一些新的潜在威胁。从2010年至2012年,云计算的应用增长已翻倍,但仍有38%的受访者表示所在企业没有采取任何措施,缓解云计算所带来的安全风险。
第三,移动应用方兴未艾,而安全防护技术部署明显滞后:在移动互联网发展趋势下,利用个人设备接入企业应用,有助于企业降低整体的设备采购成本,并有助于提高员工的工作效率,同时激发员工的创造力。然而,风险总是与机遇并存。安永大中华区信息科技风险与审计咨询服务总监林育民表示,“2013年调查结果显示,BYOD(Bring Your Own Dev ice,员工自带设备上班)比例上升至44%,意味着更多企业允许员工在工作中使用企业或者个人的平板电脑。这导致企业内外信息交互量激增,也令相应的安全管控变得更加困难。”然而,在快速发展的移动应用环境中,对应的安全技术与软件的使用率仍然较低,只有40%的企业对其移动设备采用了加密技术。
第四,社交媒介广泛普及。通过社交媒体,企业能迅速建立品牌与开拓市场,同样也可以快速地对企业形象造成重大的负面冲击,随之而来的挑战甚至包括数据安全、隐私隐患、监管与合规要求,以及对员工生产力的影响。2013年调查结果显示,约31%的受访者表示其所在的企业,没有设计相应的机制来应对社交媒介使用所带来的风险;这不但造成企业整体风险的上升,更严重冲击企业未来全面利用社交媒体渠道行销的能力。
第五,安全预算和能力匮乏,信息安全资源与能力亟须提升。从股东与投资人角度来看,信息安全应成为其关注的重点之一,安全管理应得到充分的支持;然而,信息安全的资源与能力问题,依旧困扰着信息安全工作。调查报告显示,62%的受访企业表示预算受限,成为信息安全工作推进的主要障碍之一;44%的企业表示,安全管理和执行人员的能力偏低,严重阻碍安全目标的实现;约63%的受访者表示所在企业尚未建立信息安全整体架构体系。
战略转型:刻不容缓
在林育民看来,对于有些企业来说,安全专业人士、安全成熟度或安全预算也许在决策过程中起到一定作用;然而,仍有许多企业采用修补式或简单叠加的应付方案,看似满足了短期的信息安全需求,但也掩盖了潜在的巨大安全隐患。“目前,许多企业仅采用治标式和修补式的解决方案提高信息安全能力,却忽略了对信息安全威胁的整体与全面的应对。然而,只有从根本上转变信息安全管理策略,企业才能有效应对现有安全威胁,及由新兴技术带来的新的安全风险。”
应对这样的形势,缩小差距的唯一途径只有对信息安全进行结构性的转变。安永指出,企业需要采取以下四个关键步骤从根本上转变信息安全部门的运营方式以进一步降低风险:首先,将信息安全战略与企业战略以及对业务成果的总体预期相结合;其次,在考虑新技术与重新设计信息安全架构时,以从零开始的心态对项目的具体需求进行更准确的定义;同时实施转型,为企业成功地、可持续地改善信息安全的交付创造有利环境;而在考量新技术时,深入了解新技术带来的机遇与风险,企业必须对包括社交媒体、大数据、云计算和移动技术等势不可挡的发展做好准备。
从CFO的角度出发,信息安全管理与CFO职责有着密不可分的融合关系。一方面,信息安全管理的推行障碍之一来自预算,作为企业投融资职能的行使者,CFO需要在预算阶段精确评估投入产出比率,实现收益的同时将风险控制在合理范围之内,毕竟,信息安全的回报不具备直接精确的评估指标。另一方面,财务部门也是信息安全管理的直接受益者。财务部门本身掌握了企业大量敏感财务数据,需要对外保密,尤其处于静默期期间,财务部门需要保证自身信息数据的安全性,务必不被泄露。
新标准更关注业务
IT治理的驱动力意在从董事会等治理层面确立IT的价值和投资的决策机制,确保IT战略与业务战略的一致性,革新性地驱动业务的发展。信息安全管理新标准从风险与成本的平衡过渡,到要定期报告信息安全管理绩效,反映了信息安全管理标准的发展进入成熟期,也反映了治理层面更加重视对信息安全投入的预期监控,同时对风险管理的度量也是相关方、管理层共同关心的话题。
信息安全的目标是与业务的发展目标高度一致的,因此新标准要求信息安全风险管理要聚焦信息,而信息是融合在整个业务流程中的。新的标准摒弃了原来识别资产、资产威胁与脆弱性的方法论,肯定了管理层面以业务价值为基础,识别信息、确定信息的价值,也更方便与其他以业务流程为基础的ISO管理标准相融合。
由于更加关注业务,新标准要求对业务、对组织目标的理解,从内外部环境包括宏观政策、技术发展、行业动向、微观的组织环境来分析,此外还要考虑环境因素对业务的影响和对信息安全的要求。
信息安全风险在新标准里变得更加生动、中性。新标准要求定义风险责任人,这个责任人更可能是业务的负责人或某项具体活动的负责人,而不仅仅是IT人员。对信息安全风险的偏好与态度完全与组织的全面风险管理框架相融合。
IT技术对新标准的影响
云技术的广泛应用、外包业务的兴起,让供应链的安全风险管理从组织的战略层面到日常运作层面都要进行识别、利用、控制。新标准新增供应链关系管理,关注供应链关系中的信息安全和服务商交付过程的信息安全。
同时,大数据的兴起使得数据泄露的风险加大,标准将加密控制从一个控制目标项上升为一个控制域;此外,移动互联影响着人们的生活和办公,新标准也新增了移动设备使用的安全策略。
在组织层面,除了日常运作,管理者还需特别考虑项目的信息安全管理,这也是新增控制项。同时,完善了系统开发的全生命周期信息安全管理,包括需求分析、开发环境、测试数据保护、测试验收、变更管理、开发外包管理等控制项。
新技术和风险点的出现,使得风险处理采取的控制措施不再拘泥于附录A。附录A仅作为基本必须的选项(见标准条款 6.1.3c)。
从结构来说,新版标准与其他ISO系列标准的框架完全一致,遵从“ISO导则83”,这是ISO管理体系认证标准的基本框架,方便与ISO其他管理体系的整合。
企业要想在市场当中生存并发展,不仅仅要提升企业竞争力,还需要时时刻刻关注企业的信息安全。现代市场竞争十分激烈,只有做好企业的信息安全管理,才能避免企业因为信息管理的疏漏造成相关的损失。
近十年来,企业的生产经营越来越离不开网络,离不开计算机,企业的每一项活动都需要计算机与网络的参与,企业的管理需要借助相关的计算机软件,企业的销售需要运用到电子商务,企业的仓储管理需要数据库系统的支持,在企业感受到计算机带来生产经营便利的同时,企业也不得不重视由计算机网络所带来的信息安全问题。通过分析我国企业信息安全管理的相关资料,可以发现我国企业在信息安全管理上所做的努力显然无法与西方企业相比,我国企业在信息安全管理这条路上还有很长的路要走。
我国企业在信息管理上起步较晚,同时受制于观念,技术,人力等各个方面的因素,我国企业在信息安全管理上存在十分严重的漏洞。不仅如此,企业信息安全管理受到各方面的威胁,各类病毒层出不穷,钓鱼软件,木马也防不胜防,我国企业信息安全管理所面临的考验十分严峻。企业的信息安全管理不仅仅是企业自身的事,企业是我国经济发展最重要的角色,倘若我国企业在信息安全管理上存在漏洞,这也将直接影响我国的经济发展,这并不是危言耸听。
因此,加强我国企业信息安全管理势在必行,必须采取有效的举措提升我国企业信息安全管理水平。开展我国企业信息安全管理工作不仅仅需要政府的支持,企业自身也应当充分认识到企业信息安全管理对于企业自身的重要性,企业信息安全管理并不是一件小事,理应得到足够的重视。下面本文将首先介绍影响我国企业信息安全管理的几点因素,结合各种影响我国企业信息安全的几点因素展开探讨,在此基础上,分析我国企业在信息安全管理中常用的手段,并通过借鉴国外优秀企业在信息安全管理的经验,对更好地完善我国企业信息安全管理提出几点意见与建议。
二、企业面临的信息安全管理风险
1.企业内部管理缺陷
企业要想提升信息安全管理的水平,其中很重要的一个步骤在于完善企业的管理制度。企业的信息安全管理会受到许许多多的因数影响,但是做好企业信息安全管理的基础在于提升企业的内部管理水平。企业内部管理的制度涉及到企业生产经营的方方面面,倘若企业在内部管理制度上存在缺陷,那么做好企业的信息安全管理也就无从谈起了。常见的影响企业信息安全管理的制度缺陷有以下几个方面。第一,企业对于企业内部信息安全管理的工作人员缺乏监督。企业信息安全管理必须建立在企业信息安全管理工作人员认知履行职责,规范操作的基础上,倘若企业对于信息安全管理的工作人员缺乏监督,那么久很难保证企业整个信息安全管理系统的行之有效。第二,企业对于企业内部信息安全管理工作人员缺乏培训,企业内部并没有指定相关的信息安全管理规章制度。要想完善企业的信息安全管理,就必须做到对企业内部信息安全管理的每一个环节都一丝不苟,对每一个可能存在信息安全漏洞的地方都要严格管理,对每一项信息安全管理的工作步骤都做明确要求。要想确保企业内部信息安全管理系统的平稳运行,只有从规范企业内部信息安全管理的行为规范上着手。第三,企业内部信息安全管理系统投入不足。这一点在我国大型企业上并不存在,我国大型企业拥有足够的资金,足够的人力资本,足够技术投入,相比较于我国中小型企业,在信息安全管理工作上具有较大的优势。可是,我国大型企业毕竟是少数,我国中小企业的数量十分巨大,中小企业并没有相应的资金,人员,技术投入,中小企业受制于现实条件,在信息安全管理系统上所做的工作严重不足,我国中小企业在信息安全上所面临的风险十分巨大。
2.影响企业信息安全管理的外部因素
影响我国企业信息安全管理的外部因素有许多。常见的影响我国企业信息安全管理的外部因素包括病毒,木马,钓鱼网站等等。不论是谁出于怎么样的目的破坏企业的信息安全,较为常见的手段也就是通过黑客攻击企业的信息安全管理系统。我国企业在应对黑客的攻击时往往处于较为被动的局面,一方面,黑客属于主动攻击,主动攻击的前提在于对于企业的内部信息安全管理系统有着较为全面的了解,并且往往已经掌握了企业内部信息安全管理系统所存在的安全漏洞,另一方面,我国绝大多数企业在信息安全管理系统的投入有限,企业内部信息安全管理的工作人员在技术手段上与黑客比较并没有优势。即使企业内部信息安全管理的工作人员最终能够战胜黑客,但是,由于缺乏完善的信息安全手段,对企业内部重要的信息保护不足,黑客对企业的信息安全所造成的影响往往也是致命的。反击黑客的攻击行为往往具有滞后性,因此,即使战胜了黑客,但是黑客对企业信息安全的攻击行为往往已经发生,企业必然会因此造成相应的损失,在现代企业经营管理信息化的背景下,这样的攻击行为对企业造成的损失往往是企业不能够承担的,很有可能影响一个企业最基本的生存。
三、完善企业信息安全管理的几点建议
1.建立信息安全密码
密码技术近年来在应用中不断成熟,越来越多企业开始将密码技术应用到企业信息安全管理中去,这是一个十分正确的选择。企业内部信息具有重要价值,密码技术是企业信息安全最为关键的一道屏障。密码的形式十分多样,企业应当根据自身情况正确选择密码的形式,密码技术是一项十分成熟的技术,应当得到更多的关注,并且将这项技术全面应用到企业内部信息安全管理当中去。企业内部信息得到密码的保护,能够在企业内部信息不慎泄露后得到最大化的保护,对于企业内部信息的密码也应当严格保密,做好相关的密码保护工作。
2.建立安全管理制度
企业信息安全管理制度的建立需要多方面的配合,同时,企业信息安全管理制度的建立是一项十分复杂的工作,必须在实践的过程中不断完善。建立企业内部信息安全管理制度是为了更加规范地保证企业内部信息的安全,也对企业内部信息安全管理人员的工作内容,工作步骤做了明确规定,这对于企业内部形成信息安全管理的长效机制具有重要价值。企业信息安全管理制度应当与企业的实际生产经营情况相结合,在尽可能不影响企业正常工作的前提下,对企业的信息安全作出明确规定。常见的规定包括定期组织企业内部信息安全管理工作人员进行信息安全的例行检查;对企业内部信息安全管理人员的工作做到全面监督,有效反馈等等。
3.建立数据库的备份与恢复机制
现如今,外界主动攻击企业信息安全的事件越来越频发,企业在被外界攻击信息安全后所造成的损失往往无法挽回,同时这些信息对于企业具有十分重要的价值,倘若能够及时恢复相关信息,能够在很大程度上减小企业所遭受的损失,因此,建立一套基于数据库信息备份与还原的信息安全管理机制十分重要。企业内部信息系统数据库的备份,可以有效保障企业信息系统非法入侵后的系统恢复工作。备份是对数据库内容保护最为稳定和容易的一种方法。当不稳定因素发生的时候,能够保证企业网络信息的正常运行。而恢复的理解,就是在不限定因素发展之后利用网络技术的备份功能用来对数据库内容进行重新恢复并正常使用的功能。
4.建立网络安全预警系统
一般这种情况可以分为人为预警和病毒预警两个方面。 在电脑中的重要位置安装上网络入侵监测体系,可以便于对电脑的技术和安全性在发展危害行为或改变。入侵监测体系还能通过设立在固定时间对制定要求的位置进行监督和控制,判断哪些系统是具有危害性的,但是防火墙还不能够准确判断的系统。主要针对的是从企业内部管理出现漏洞后对自身安全系统的“侵略”行为。而病毒预警系统通常是采用对企业内部网络的全部数据进行监督监控的行为,确保在一天每个时间段内都对数据包传送扫描一旦发展病毒就要马上进行危险信息提示,使得相关工作人员可以很快的通过定位查找的方法找到病毒的发出地。同时,在短时间内陆续产生通过快速扫描出来的网络日志和调查报告,为企业专业人员查找病毒具体来源提供便利条件。
