企业经营信息对于企业来说是一种资源,对于企业自身来说具有重要意义,企业需要妥善管理自身企业的信息。近年来,企业的各项经营活动都逐渐开始通过计算机,网络开展,因此,企业的信息安全管理对于企业越来越重要。许多企业开始通过各种技术手段以及制度改革,把更多的注意力放在企业内部的信息安全管理工作,同时将企业信息安全管理与风险控制结合起来,这是一个正确的选择,能够帮助企业实现稳定经营。在介绍企业信息安全管理以及风险控制前必须厘清企业信息安全管理的概念与企业风险控制定义,因此,本节将着重介绍企业信息安全管理的概念以及企业风险控制的定义。企业的信息安全管理包含十分丰富的内容,简单来说是指企业通过各种手段来保护企业硬件和软件,保护网络存储中的各种数据不受偶然因素的破坏或者恶意的原因被攻击。对于信息安全的认定通过包括4个指标,即保证信息数据的完整,保证信息数据不被泄露,保证信息数据能够正常使用,保证信息数据能够控制管理。要想做好企业的信息安全管理,首先需要了解的是关于信息的传输方式。随着信息技术的不断普及,信息传递的方式越来越多,常见的信息传递方式主要有互联网传播,局域网传播,硬件传播等等。要想实现企业的信息安全管理,其中很重要的一项工作在于保护信源、信号以及信息。
信息安全管理是一项需要综合学科知识基础的工作,从事企业信息安全管理工作的人员通过需要具有网络安全技术、计算机技术、密码技术、通信技术。从企业的信息安全管理来讲,最为关键的一项工作时保护企业内部经营信息数据的完整。经过近十年来的企业信息安全管理工作经验总结,企业信息安全不仅仅需要信息技术的支持,更需要通过建立完善的企业风险控制体系来帮助企业实现更好地保护企业信息安全的目标。所以,怎样把企业信息安全管理与风险控制融合起来就是摆在企业经营管理者面前的一道难题。企业的信息安全风险控制必须通过企业建立完善的企业信息安全风险体系实现。
企业的信息安全风险控制是指企业在企业信息安全遭遇威胁之前,提前对企业的信息进行风险预估,并采取一系列的有针对性的活动降低企业面临的信息安全风险,从而尽可能减少因为企业本身信息安全管理中存在漏洞给企业带来不必要的损失。常见的企业信息安全风险体系建立主要包含以下几个方面的内容。第一,建立企业信息安全风险管理制度,明确企业信息安全管理的责任分配机制,明确企业各个部门对各自信息安全所应承担的责任,并建立相应的问责机制。第二,设置规范的企业信息安全风险管理指标,对企业存在的可能威胁企业信息安全管理的漏洞予以风险定级,方便企业管理者对不同的信息安全管理漏洞采取有区别的对策。第三,企业要加强对信息安全管理人员的培训,提高企业信息安全管理工作人员的风险意识,让企业内部从事信息安全管理工作人员认识到自身工作的重要性,让企业内部从事信息安全管理工作人员了解到规范自身行为,正确履行职责的重要性。第四,将企业信息安全管理与风险控制有效融合,重视企业信息安全管理工作,通过风险控制对企业内部信息安全的管理方式进行正确评估,找出现行的企业内部信息安全管理手段中存在容易忽视的地方。
二、企业信息安全管理与风险控制存在的不足
1.企业信息安全管理工作人员素质不高
对于企业来说,企业信息安全管理工作是一项极为重要而隐秘的工作,因此,必须增强对企业信息安全管理工作人员的素质要求。但是根据调查统计,目前很多企业对信息安全工作的管理仅仅停留在对企业信息安全管理工作人员的技术要求上,对企业信息安全管理工作人员的道德素养,职业素养,风险意识并没有严格要求。此外,绝大多数企业并没有意识开展对企业信息安全管理工作的道德素质的教育培训,并没有通过建立相关管理制度以及问责机制对企业信息安全管理工作人员实行监督,这无疑给别有用心或者立场不坚定的企业信息安全管理工作人员留下了危害企业信息安全的可乘之机。
2.企业信息安全管理技术不过关
企业信息安全管理工作涉及多许多技术,包括信息技术,计算机技术,密码技术,网络应用技术等等,应当说成熟的计算机应用技术是做好企业信息安全管理的基础,但是,现实是许多企业的信息安全管理技术并不过关,一方面企业的信息安全管理硬件并不过关,在物理层面对企业信息缺乏保护,另一方面,企业信息安全管理工作的专业技术没有及时更新,一些企业信息安全管理工作人员缺乏企业信息安全管理的实践经验,企业信息安全管理的知识也并没有及时更新,从而导致企业的信息安全管理理论严重滞后,这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂,很多服务器、系统提示安全补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业,企业内部设备数量比较多,尤其是客户端数量占了较大比重,仅仅靠少数几个管理员进行管理是难以承担如此大量的工作量。另外,企业信息安全管理系统不成熟也是一个重大的隐患。
3.企业信息安全管理制度不健全
企业信息安全管理制度不仅仅需要理论制度的完善,更加需要一系列配套监督机制保障企业信息安全管理的有效执行。通过调查分析,许多企业虽然建立了企业信息安全管理制度,但是通常情况下,这些制度只能流于形式,企业信息安全管理工作缺少有效的制约和监督,企业信息安全管理工作人员缺乏执行力。企业信息安全管理制度不健全,企业信息安全管理工作缺乏执行力常常体现在以下几个方面。第一,企业员工对于信息安全管理的认识严重不足,对企业信息安全管理工作不重视。企业内部计算机系统安全的计算机防病毒软件并没有及时更新,使用,甚至企业内部计算机的防病毒软件还被企业员工卸载了。部分企业员工认为自己的工作与企业信息安全管理不相关,认为做好企业信息安全管理工作仅仅是企业信息安全部门的事。第二,企业内部信息安全文秘站:管理制度并没有形成联动机制,企业信息安全管理工作仅仅由企业信息安全部门“一人包干”,企业信息安全反映的问题并没有得到积极的反馈,一些企业领导对企业信息安全现状所了解的少之又少。
三、企业信息安全管理常见的技术手段 1.OSI安全体系结构
OSI概念化的安全体系结构是一个多层次的结构,它的设计初衷是面向客户的,提供给客户各种安全应用,安全应用必须依靠安全服务来实现,而安全服务又是由各种安全机制来保障的。所以,安全服务标志着一个安全系统的抗风险的能力,安全服务数量越多,系统就越安全。
2.P2DR模型
P2DR模型包含四个部分:响应、安全策略、检测、防护。安全策略是信息安全的重点,为安全管理提供管理途径和保障手段。因此,要想实施动态网络安全循环过程,必须制定一个企业的安全模式。在安全策略的指导下实施所有的检测、防护、响应,防护通常是通过采用一些传统的静态安全技术或者方法来突破的,比如有防火墙、访问控制、加密、认证等方法,检测是动态响应的判断依据,同时也是有力落实安全策略的实施工具,通过监视来自网络的入侵行为,可以检测出骚扰行为或错误程序导致的网络不安全因素;经过不断地监测网络和系统来发现新的隐患和弱点。在安全系统中,应急响应占有重要的地位,它是解决危险潜在性的最有效的办法。
3.HTP模型
HTP最为强调企业信息安全管理工作人员在整个系统中的价值。企业信息安全工作人员企业信息安全最为关键的参与者,企业信息安全工作人员直接主导企业信息安全管理工作,企业信息安全工作人员不仅仅是企业信息安全的保障者,也是企业信息安全管理的威胁者。因此,HTP模型最为强调对企业信息安全管理工作人员的管理与监督。另外,HTP模式同样是建立在企业信心安全体系,信息安全技术防范的基础上,HTP模式采取了丰富的安全技术手段确保企业的信息安全。最后,HTP强调动态管理,动态监督,对于企业信息安全管理工作始终保持高强度的监督与管理,在实际工作中,通过HTP模型的应用,找出HTP模型中的漏洞并不断完善。
四、完善企业信息安全管理与降低风险的建议
1.建设企业信息安全管理系统
(1)充分调查和分析企业的安全系统,建立一个全面合理的系统模型,安全系统被划分成各个子系统,明确实施步骤和功能摸块,将企业常规管理工作和安全管理联动协议相融合,实现信息安全监控的有效性和高效性。
(2)成立一个中央数据库,整合分布式数据库里的数据,把企业的所有数据上传到中央数据库,实现企业数据信息的集中管理与有效运用。
(3)设计优良的人机界面,通过对企业数据信息进行有效的运用,为企业管理阶层人员、各级领导及时提供各种信息,为企业领导的正确决策提供数据支持,根本上提高信息数据的管理水平。
(4)简化企业内部的信息传输通道,对应用程序和数据库进行程序化设计,加强对提高企业内部信息处理的规范性和准确性。
2.设计企业信息安全管理风险体系
(1)确定信息安全风险评估的目标
在企业信息安全管理风险体系的设计过程中,首要工作是设计企业信息安全风险评估的目标,只有明确了企业信息安全管理的目标,明确了企业信息安全管理的要求和工作能容,才能建立相关围绕信息安全风险控制为目标的信息安全管理工作制度,才能顺利通过对风险控制的结果的定量考核,检测企业信息安全管理的风险,定性定量地企业信息安全管理工作进行分析,找准企业信息安全管理的工作办法。
(2)确定信息安全风险评估的范围
不同企业对于风险的承受能力是有区别的,因此,对于不同的企业的特殊性应该采取不同的风险控制办法,其中,不同企业对于能够承受的信息安全风范围有所不同,企业的信息安全风险承受范围需要根据企业的实际能力来制定。不仅如此,企业的信息安全风险评估范围也应当根据企业的实际经营情况变化采取有针对性的办法。
关键词:航空管制;信息系统;信息安全;对策
1强化安全管理意识
航空管制信息安全管理工作人员的信息安全管理意识对于航管信息安全管理会产生直接的影响,也是航空管制信息安全管理过程中的重要因素。航空管制信息安全管理过程中出现的安全漏洞,很大程度上就是由于相关工作人员安全意识的淡薄,在工作中对自已要求不严,从而忽视了信息安全的重要性。为了强化航空管制信息安全管理工作,就必须注重对工作人员信息安全管理意识的强化。其主要分为以下几个方面:1)积极强化航空公司的各级领导信息安全意识,首先确保最高决策者始终拥有高强度的安全意识,并且以身作则,在自己的实际工作中体现出对安全管理得重视,这样才能带动各级工作不断提高自身的信息安全防范意识。信息安全管理工作,主要内容是“三分技术,七分管理”,各航空工作人员应该始终将技术与管理结合起来,作为约束自己日常工作行为的基本准则。强化工作人员的信息安全意识,需要对其进行定期系统的信息安全教育(如信息安全管理知识讲座等),以此为手段不断发展航空管制人员的信息安全知识水平,促使每一位工作人员都能拥有高度的自主安全管理意识。2)注重对航管人员自身信息技术素质水平的培养。在航空管制信息安全管理工作中,良好的专业素养以及熟练的操作能力是每一位工作人员都必须具备的技能。况且,随着信息技术与人工智能技术逐渐的深入航空领域,在以后的航空管制工作中,若是没有一定的信息技术专业知识,航管人员就无法准确高效的把握航管新装备和新技术。同时,航管人员在学习信息技术知识的过程中,还能开拓自己的眼界,丰富自身对现代化技术的认识,在强化自身工作能力和安全意识的同时,还能为整个航空领域的发展提供帮助,确保航管信息安全管理工作的顺利进行。3)注重航管信息安全管理观念创新。在这个信息化的时代,各个领域都在飞速发展。日新月异的信息技术,大量的新型航空管制理念,都要求航空管制信息安全工作要随着时代的发展不断变迁、创新。不仅如此,由于航空管制信息安全直接影响着飞机的飞行安全和乘客的人身安全,相关人员应该始终保持本公司的运营理念与国际的新理念接轨,根据市场需求不断改善航管信息安全管理目标和具体实践措施,创造属于我们这个时代的航空管制信息安全管理模式。将航管信息安全管理的策略落到实处,确保航空运行过程中各个环节的信息安全[1]。
2抓住主要矛盾
要想最大程度的发挥出航管信息安全管理工作的作用,航空公司的决策者和相关工作人员就得明确航管信息安全管理过程中的重难点,只有这样,才能保证有目标、有计划的施以措施。航管人员务必要高效的解决在航管信息安全管理工作中出现的各种矛盾,下文就以其中存在的主要矛盾为例说明。航管信息安全管理的根本目的是保证航管信息的完整性、可控性及保密性等,除此之外,还需要对航管信息资料进行防御、检测、抑制、恢复和管理,从多方面着手,保证航管工作的质量。航管信息管理工作的重点是管理和控制航空管制信息系统,其主要是对航管系统层、网络层以及应用层进行安全控制。航管工作中的系统层管理指的是对硬件和软件的安全管理,而且软件安全管理是整个航管信息安全管理工作中的重点。对于硬件系统的安全管理工作,一般将其列入物理安全范围,主要是防电磁辐射、电子干扰等因素[2]。在应用软件这一层面上,航管信息系统有时候会遭到黑客的侵袭,因此,相关技术人员务必要做好防“黑客”、防病毒的准备工作,而且在此基础上,还得不断恢复信息管理系统,优化操作系统的可行性和安全性,确保航管信息安全管理的效率。在加强软件系统管理工作的同时,还要对网络层面的安全管理进行加强。其主要包含以下几点:网络报警、网络恢复、数据保护、密钥安全及内部认证等。对于网络层面安全管理工作的加强,工作人员应该将重点放在各处子网的出入口设备上,同时,软件设施方面也应配合硬件设施,积极研发嵌入式操作系统,不断创新,应用更高水平的数字签名技术,对网络层进行加密。
3完善航管部门信息安全防范体系
俗话说:“无规矩,不成方圆”。要想充分完善航管信息安全管理工作,对航管信息进行有效控制,航管部门就需要根据自身的实际条件不断健全航管部门的信息安全管理体系。所以,工作人员就要提前做好充分的市场调研,就目前市场上的航管信息安全管理机构设置进行讨论研究,仔细观察整个机构设置的合理性和可行性,对各个部门的航管信息安全管理职能进行明确划分,使信息安全管理要求与业务流程联系起来,最大程度的发挥出航管信息安全管理机构的作用。不断完善航管信息安全管理制度,加上安全管理体系的建设,实行统一规划、统一管理与统一监督。时刻与国际先进的技术保持联系,将自身的发展与信息技术和人工智能紧密联系起来,将本航空公司的安全管理体系至于本行业发展的前沿。在航管过程中,需要使用的仪器设备要尽量采用国产装备,特别是某些涉及到自主关键技术机密以及中国自主知识产权的核心仪器设备。与此同时,工作人员还应该注重加强对网络安全系统的规范管理制度,逐渐建立出相应系统的航管信息安全管理标准和统一的航管信息安全管理综合评估体系以及针对航管信息的获取和应用等,需要明确的制定出切实可行的安全管理措施体系。由此可见,在航管信息安全管理的过程中,始终不能脱离完整、规范的航管信息安全防范体系,只有通过航管部门系统全面严格的控制把关,才能高效地处理航管信息安全工作中出现的各种问题。在日常的航管部门信息安全管理工作中,工作人员务必要注意两点,一是加强对航管人员的信息安全教育。要定期组织全体航空管制信息安全管理人员对工作中的专业知识以及某些设备的操作技术进行学习,不断的对航管人员注入最新的航管理念,对航管人员的航空管制保密常识进行培训,加强信息安全教育,确保每一位航空管制人员都拥有深刻的信息安全意识,以保证航空飞行安全。二是对整体航管人员实行保密信息封锁制度。航空公司应该根据实际情况制定出适合自身发展的电子设备保密管理制度,控制工作人员与外界不必要的联系,始终严格约束所有工作人员的言行举止,切忌在日常交流以及联系中向外界流失掉机密信息。不仅如此,航空公司中的任何以为工作人员都不允许以任何一种形式对外界透露公司内部的运行情况,更不能泄露涉及航管和飞行安全的信息[3]。
4健全航管信息安全管理法规制度
航空公司严谨有序的运行模式,不仅需要每一位工作人员的付出还需要高层决策者与各级工作人员商议之后制定出合理的法规制度,以统一形式的制度、要求及管理力度对员工进行统一管理,一视同仁,旨在提升对航管信息安全的管理效率。健全航管信息安全管理法规制度的要求分为两个方面,第一个方面,公司要尽快且保证质量的建立属于自己的航管信息安全评估系统。在建设的过程中,要始终按照国家的标准要求,不管是信息基础设施建设,还是网络规划建设,都必须通过国家相关管理部门的审批。而在进行基础设施建设和设备配备的过程中,则需要安全管理部门和质量管理部门进行约束指导,所有的信息建设只有在通过有效的信息安全质量认证之后,才能投入使用。第二个方面,要想使航空管制信息安全管理过程中的规章制度得到系统化、明确化、条理化,工作人员就必须以本航空公司的航管信息安全管理模式为出发点,经过多方面的调研分析,采取各个阶层工作人员的意见整合之后制定出可行有效的信息安全规章制度,力争在最短的时间内使航空管制信息安全管理工作的可行性得到大幅度提升[4]。
5结语
综上所述,航空管制信息安全管理工作是所有航空公司正常运营的前提条件,也是顺利开展航管业务的基础工作,只有航管信息安全得到了保障,飞机的飞行安全才能得到保障。航管人员在日常的工作之中要始终树立坚实牢固的航管信息安全意识,提高自身的航管能力。相应的公司管理人员也应不断强化本公司的信息技术,结合国际上新型的航管理念发展自身的运行效率,为飞机的安全飞行保驾护航。
参考文献:
[1]许彬.航管信息情报系统的设计与实现[D].成都:电子科技大学,2014.
[2]魏纯洁.空中交通管制安全评估关键技术研究[D].南京:南京航空航天大学,2012.
【 关键词 】 高校;科研机构;信息安全;对策
Discussion on Scientific Research Institution of Universities in
Information Security Management and Measures
Zhang Jian-hua
(President Office, Beijing University of Aeronautics and Astronautics Beijing 100191)
【 Abstract 】 In the light of the information security management problems of scientific research institution of universities, the measures are put forward to enhance the construction of information security level strategy from management and technology two respects.
【 Keywords 】 universities; scientific research institution; information security; measures
1 引言
随着信息技术的发展和信息化应用的日趋深入,信息安全建设及其应用正在成为教育科研单位日常教育管理和科研生产不可或缺的一环。高校等科研单位对信息安全管理的认识程度越来越高,研究院等单位的信息系统规模和水平也在不断攀升,然而随着高校各系统建设程度的不断完善,以高校为代表的科研机构的信息安全管理问题也愈加突出。
2 高校科研机构存在的信息安全管理问题
近年来,高校等科研机构逐步认识到信息安全对于自身的重要性,于是不少单位成立了“信息管理部门”来推行统一的管理规范和进行信息安全知识普及,其主要目的是为了从安全技术和管理两个方面来解决高校中科研机构的信息安全问题,充分提高机构人员的信息安全管理意识和保密工作的能力。当下,虽然有一些高校的科研单位在信息安全和管理建设方面已经取得了长足的进步,但其科研单位内部仍然存在着很多问题。
(1)首先,在以往长期封闭的科研环境影响下,相关科研人员目前依然不具备良好的安全意识,对于信息安全的认识水平不高。同时高校等相关管理部门较容易忽视信息安全在其科研系统中的发展战略和计划,这些都间接导致了信息安全管理制度推行力度不够,实施安全教育的硬性条件有限。其次,由于学科建设和专业水平所限,也使得国内技术过硬的信息安全专业人才供应不足,间接影响了相关单位的人才储备水平。
(2)当下许多高校等科研单位在信息系统不断增加的情况下,对以往基础设施配备水平存在着一定的依赖性,不能够很好的适应新环境。在信息系统运作业务的安全风险和意识提升上,又缺乏有效性验证与评估办法。现实中的任何信息系统都是一连串复杂的环节,信息安全措施必须渗透到信息系统的每一个部位,其中一些问题的解决方案,需要信息系统的设计人员、测试人员和使用人员都熟知并能够成为规范来遵守。
(3)不安全因素对于信息系统而言总是存在的,没有任何一个信息管理方法能提供绝对的保障。因此,高校等科研单位在认识和进行信息系统安全管理教育的时候,应该着重加强基层人员的信息安全管理实践教育,应让相关人员充分意识到,虽然信息安全建设并非意在建设一个创收的平台,但它是一个保障科研成果和提升工作效率的平台。管理者有必要做出适合科研单位进行教育实施的信息安全教育发展战略和计划,充分加强信息安全教育在管理实践上的投入,严格有效地执行相应的安全策略、安全措施和安全管理制度,以最大限度避免使用和管理信息系统时的固有风险。
(4)近年来,我国大型科研单位相继出现过不同程度的泄密事件,这些事件的直接后果是不仅导致了科研成果的流失,还造成了较大程度的经济损失和不良的社会影响。虽然各大信息系统工程和信息化程度要求非常高的相关行业,也都出台了对信息安全技术产品的应用标准和规范,但只有建立一个严格的信息安全管理策略,才能全面的保障其安全性。
3 解决高校科研机构存在的信息安全的对策
3.1 技术层面
在技术层面上:高校科研管理系统是以计算机和数据库通信网络为基础的应用管理系统,是一个开放式的互联网络系统,与网络系统连接的任何终端用户都可以进人和访问网络中的资源。作为信息通讯数据平台,其所受到的安全威胁主要存在于信息通信传输、存储和加工的各个阶段。因此在制定技术对策方面就需要制定统一全面的安全策略,同时也注重建设统一认证和授权管理系统,通过硬件接入设备和定制化管理软件的配合部署,加强网络层面和应用层面的安全资源整合,形成覆盖全网的科研信息化安全保障能力,并充分利用自主创新的科研信息化安全技术,不断增强基础运行平台的网络安全能力,为科研信息化基础环境和应用系统提供有力的安全保障。
在保障网络基础设施和重要应用系统的安全方面,一方面需要构建身份认证管理系统、网络安全管理平台、恶意代码防护系统、安全审计平台等面向全网用户的网络安全基础设施,实现实时预警、事件分析、决策支持、资源调度等功能;另一方面需要建立起包括安全咨询、安全规划、安全检测、安全培训等环节在内的安全服务体系,引入除技术体系和管理体系以外的第三方服务支持,实现安全事件的及时发现。
3.2 管理和教育层面
在管理和教育层面上:以企业为参考标度,对高校科研机构工作人员进行信息安全意识以及管理实践知识的普及,将信息安全管理理念提到战略高度来看待。充分遵循信息安全流程制定相应管理制度,除技术保障外,将人员、网络、环境有关的技术和管理规程的有机集合充分纳入其中。充分认识到信息安全管理实践是保障信息实现有效管理与控制的重要途径。所在部门应客观评估实现信息安全管理的需求水平,落实安全的组织和管理人员,明确每个人的角色与职责;制定并开发安全规划和策略,定期开展培训和工作会议;实施风险管理制度,制定业务持续性计划和灾难环境下恢复计划;选择实施安全措施;保证配置、变更的正确与安全;进行安全审计;保证维护支持;进行监控、检查、处理安全事件。针对专业人员的培训和绩效需要有效结合目标管理和信息安全管理两方面来展开。
3.3 管理政策层面
在整个管理策略的制定上:建议采用分级策略,如果高校对于自身科研信息安全风险水平认定为较高,而自身建设能力有限,则可以考虑与相关专业咨询机构合作,引入专家机制来完成相关工作,提升建设效率。
4 结束语
在国家大力推行科教兴国与自主创新发展战略的今天,信息安全建设对于保障科技创新自有成果,确保自主知识产权的创造价值,都有着极其重要的作用。而如何确保其信息安全能够实现自主可控的目标,也是以高校为代表的科研机构行使和保障自身合法权益的重要途径。因此我们必须综合多方因素,系统考量,尽可能提供全面的、多方位的信息安全建设策略和信息安全管理与教育规范,以切实满足高校等科研单位对信息安全保障体系的需求,降低科研成果的安全风险,发挥高效的科研效率,保障科研生产的安全顺利进行。
参考文献
[1] 张广钦.信息管理教程[M].北京:北京大学出版社,2005.
[2] 徐茂智.信息安全概论[M].北京:人民邮电出版社,2007.
[3] 彭盛宏.浅析校园网存在的安全隐患及其对策[J].信息安全与技术,2012,(1).
中图分类号:TP309 文献标识码:A 文章编号:1009-914X(2016)19-0361-01
1 引言
信息安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
在等级保护工作中我们都能做到“明确重点、突出重点、保护重点”,将有限的财力、物力、人力投入到重要信息系统的安全保护中去。对重要的信息系统我们在技术上都能按照等级保护要求部署相关安全设备,但是,仅仅这样就做好安全等级保护工作了么?实际上安全管理在保障信息系统的安全中发挥着重要的作用,俗话称“三分技术七分管理”,所以无论是信息系统运行使用单位还是信息系统安全测评人员都不应该忽视安全管理在信息系统安全中的作用。
在实际工作中,我们往往能看到一些这样的情况,如领导不重视,安全措施、安全制度不落实等非技术问题造成的安全事故。实际上这些问题是可以提前预测和预防的,如果依照国家规定开展信息安全等级保护的测评和整改,那么泄密事件就有可能避免。
做好非技术保护工作主要需要做好以下几点:
2 安全管理制度
安全管理制度内容包括管理制度、制定和、评审和修订 3 个部分。管理制度在整个系统中属于大纲,安全管理政策和制度的制定与正确实施对信息系统安全管理起着非常重要的作用,他告诉我们那些行为是属于安全管理禁止的行为,不仅促使全体员工参与到保障信息安全的行动中来,而且能有效地降低由于人为操作失误所造成的对系统安全的损害。通过制定安全管理制度,能够使责权明确,保证工作的规范性和可操作性。管理制度的建立不仅包含了传统管理方式的特点,也融入了信息安全的特性。
存在问题:1)多数单位的管理制度不完善,缺乏顶层的安全方针、安全策略等;2)只建立了安全管理制度,对于重要操作的操作规程缺失;3)管理制度的执行情况不理想,执行记录缺失。
解决办法:
建立完善的管理制度,补充、制订缺少的各项安全管理制度,完善已有安全管理制度文档,逐步形成由安全政策、管理制度、操作规程等构成的、全面的信息安全管理制度体系。加强对员工的培训,注重安全意识的教育和日常操作行为规范性教育,并建立内审和管理评审制度,定期对安全管理制度的执行情况、适用性等进行审查。
3 安全管理机构
好的制度还必须执行才能起到有效的作用,安全管理机构内容包括岗位设置、人员配备、授权和审批、沟通和合作4个部分。安全管理的重要事实条件就是建立一个统一指挥、协调有序、组织有力的安全管理机构,这是信息安全管理得以实施、推广的基础。对建立完善的安全组织机构、明确人员的安全职责和权限、完善安全沟通机制和安全检查流程等进行规范。通过构建从单位最高管理层到执行管理层再到具体业务运营层的组织体系,明确各个岗位的安全职责,为安全管理提供组织上的保证。
存在问题:对技术人员和操作人员的日常行为进行规范管理,造成技术和管理分离,技术不能发挥最大的作用。
解决办法:建立安全管理机构制度,规范人员管理,增强安全知识、意识培训安全职责与人员岗位应更好地融合在一起,可在设置安全管理机构的基础上,设定安全管理员岗位,明确安全管理 员职责,规定各运维人员的安全职责和义务。对关键岗位人员、重要部门的员工定期开展信息安全意识教育,加强人员安全意识和安全技能培训,逐步形成群防群治的工作机制,使安全管理融入到日常工作中。
4 人员安全管理
人员安全管理内容包括人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理5个部分。
人是信息安全中最关键的因素,信息系统整个生命周期都需要人来参与,包括设计人员、实施人员、管理人员、维护人员和系统用户等。如果这些参与人员的安全问题没有得到很好的解决,任何一个信息系统都不可能达到真正的安全。因此需要对人员的招聘、入职、转 / 离岗、培训、考核等阶段提出相应的安全要求,并将外部人员访问管理进行了明确的规定。只有对信息系统相关人员实施科学、完善的管理,才有可能降低人为操作失误所带来的风险。
存在问题:人员分配、管理不完善,而运维人员则更专注于设备和系统的正常运行,导致安全管理活动难以系统、持续地开展,不能作为常态工作。
解决办法:建立人员安全管理制度,加强对外包人员的安全管理,签署保密协议,制定外包人员管理制度。组织外包人员学习内部的相关安全管理规定,进行安全技能和安全意识培训。制定重要活动的审批流程,加强访问控制及监督等方面的管理。
5 系统建设管理
信息系统建设管理内容包括系统定级、安全方案设计、产品采购、自行软件开发、外包软件开发、工程实施、测试验收、 系统交付、系统备案、等级测评、安全服务商选择11个部分。每个部分都涉及多个活动,只有对这些活动实施科学和完善的管理,才能保证系统建设的进度和质量。
存在问题:1)外包软件开发没有根据需求检测软件质量,没有进行软件代码安全检测;2)很多系统没有在项目验收阶段没有第三方安全性验收测试报告。
解决办法:建立系统建设管理制度,在允许的条件下,对软件改造,增强软件的安全功能,开展第三方安全符合性测试。
6 系统运维管理
信息系统建设完成投入运行之后,接下来就是如何维护和管理信息系统。系统运维管理内容包括环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理13个部分,基本覆盖了各项日常运维活动。对系统实施有效、完善的维护管理是保证系统运行阶段安全的基础。这些要求能够保证运维工作全面、有序地开展。
存在问题:1)设备配置管理不规范,没有相关的制度或流程 ;2)没有安全事件报告和处置制度,没有制定相应的处置流程 ;3)系统没有建立应急预案,应急演练不充分 ;4)对商用密码和电子认证、数字签名的认识和管理不到位。
解决办法:建立系统运维管理制度,完善安全事件报告和处置制度以及对商用密码和电子认证、数字签名的认识和管理,加强应急预案制度的管理与执行,建立规范的制度或流程
关键词:高校;安全管理;信息化;应用
一、高校安全信息化管理的主要意义
信息化管理在高校安全管理工作当中的主要应用是借助于现代化网络技术来针对当前我国高校安全管理保卫工作进行全方位的管理,从而在一定程度上促进我国高校安全管理工作的质量。信息化管理在高校安全管理建设中主要的目的是加强对学校信息安全的保卫工作,能够让校园的信息安全得到保障。最近几年来,伴随着我国科学技术的不断发展,网络信息技术也得到了进步,现代化网络技术在高校教育中的应用越来越广泛,其能够为高校教师在教学工作中带来新的教学模式以及教学方法,在一定程度上能够提高高校教师的整体教学水平。目前,在我国高校安全保卫科部门中,信息化管理还相对落后,有很多的高校保卫部门还没有完全的建立起属于自己的安全管理网站,高校保卫部门的工作人员自身对于信息化安全管理的意识也没有跟随时代的脚步,都是属于较为落后的。除此之外,我国诸多高校安全保卫部门还在一定程度上承担着学校内部治安管理,政治保卫,消防管理以及学生安全教育等多种教育服务工作。当前,我国高校保卫部门工作人员大多还没有被纳入编制形式,据不完全统计调查,我国诸多高校中安全保卫部门的工作人员还没有达到常住校内人口的3%,这种情况的出现,会让我国高校中保卫部门的工作人员在某种程度上出现,人员不足等诸多问题。正是因为高校内部保卫人员的缺少,才在一定程度上让高校安全管理很难得到开展,高校保卫部门的各项服务工作其实是较为繁多的,事情较多,事件较繁杂。所以,高校领导人员必须要坚持以科学的力量,主动的去更新思想理念,要结合高校的实际情况,在一定程度上借助于现代化网络技术,只有这样才能让信息化管理在高校安全管理中的实际应用得到改善,要构建起完善的信息化管理系统,要推动安全保卫工作的信息化,科技化,智能化等方面的完善,充分运用信息化管理在高校安全管理中的应用,在一定程度上去实现高校保卫工作顺利开展以及效率上的提升。让信息化管理服务于高校安全管理,让其为我国诸多高校搭建一个优质的安全教育系统,为广大师生带来更为方便,更为快捷,更为有效的信息化管理服务。
二、完善信息化管理在高校安全管理中体系
(一)分层次的建立健全高校安全管理制度与手段
信息化管理体系规划在当前高校安全管理体系中具有重要地位。高校安全体系建立的,主要的目的是识别安全问题所在,要在一定程度上明确安全管理的内容以及安全管理的范围,建立完善高校安全管理组织管理机制,完善机制必须要从高校管理和技术这两个方面去分析。其中分层次信息化管理规划在这两个环节的安全管理防范中,都能够在某种程度上形成可靠,完整的信息化管理系统体系。以下将信息化管理在高校安全管理中的过程分为七个环节。第一:识别保护对象。识别保护对象主要是识别高校当前所面临的网络安全风险,要分析这些风险的所在点和原因,然后再将所分析出的结果引入进高校安全管理体系规划当中。第二:完善高校安全管理组织体系。高校安全管理组织的成员必须要由专业人员来挑选,还要将各个层面的人员都进行合理的培训分配,要从IT,行政,管理,保卫等部门选取人员来担任这一主要职位。第三:完善高校安全管理工作机制。高校安全管理工作机制是能够形成文件资料形式的工作条例,要制定出校内各个岗位之间明确的具体责任和需要承担的义务、服务等,将工作职责分清楚能够确保高校各岗位员工在工作上的运行效率。第四:将高校安全管理归纳进校内建设规划,要充分了解到高校建设项目,比如教学楼,食堂等项目,要根据实际情况看其建设是否会影响到高校安全管理规划,若是在建设过程中,有一定程度上的影响,那么,就必须要将安全管理规划进高校建设规划当中。第五:根据实际情况来看待现有的高校安全管理预防措施,充分了解高校自身的安全管理措施,并且要在一定程度上去预估所能产生的作用。第六:必须要以长远的眼光来看待高校安全管理,不能只图眼前利益而忘记长远的考虑,因为信息化管理在高校安全管理中的应用是必不可少的。第七:将传统技术充分结合在现代化信息管理安全技术当中,这样能够有效的节约经济成本,还能让安全管理得到改善。
(二)高校安全管理体系框架的主要内容
上面所描述的规划信息化在高校安全管理体系中的步骤从组织,管理到技术等方面全面考虑高校信息化安全管理的相关问题,在一定程度上是能够完善高校安全信息化管理体系的。在高校安全管理工作中要提高师生对信息化安全管理重要性的认识,在高校整体教学工作中不能为了提高暂时的教学效率而放弃了信息化安全管理,要把管理目光放长远,从大局出发。要对学校教学中容易出现安全隐患的各个方面都要有一定的了解,提高其重要性的认识。其中高校安全管理体系框架可以详细的分为三个方面。安全组织体系。其能够确保高校信息安全工作得到落实。在一定程度上能够将决策,管理,运营以及应用的实际作用发挥出来。高校安全管理体系。安全管理体系是整个高校安全管理体系实际运行的重要保障,其最为基本的框架包含了安全制度的建立,运营工作条例的建立以及高校应急机制的完善和评审机制的建立等。高校信息化安全技术体系。信息化安全技术体系是保障高校信息资源以及应用系统不受外部任何形式的病毒攻击,其主要的基本框架式由系统层安全技术和网络层安全技术组成。其中系统层安全技术主要包含了高校内部数据库安全的保护,校内数据备份以及恢复和相关人员身份验证等功能;网络层安全技术主要是包含了对外来病毒的防范进入的检测,防火墙的运行等方面。
三、信息化管理在高校安全管理当中的问题成因
(一)高校安全管理方面的不足
高校安全管理是学校信息化安全的重要组成部分。我国诸多高校内部网络都存在很大的管理问题。据不完全统计调查,高校安全管理制度不完善也是校内网络安全风险的主要问题来源。在某种程度上因为校内网络设计的不规范,漏洞百出,在校内人员使用网络时有可能会因为某些网络陷阱,错误代码等原因,让其运用网络进入到不该进入的网站、页面等。此外还有很多的校内网络内部用户充分使用自己对信息网络的了解去随意的改动网络数据,让学校的网络受到损害,从而在一定程度上使学校信息化安全管理受到网络损害而不能及时的保护,导致学校信息丢失等。虽然我国诸多高校中没有很多的机密文件,但是某种非法访问也在某种程度上严重的破坏了信息化在高校安全管理中的秩序,这种情况的出现所引发后果是不堪设想的。根据相关不完全统计数据表明,我国高校中所出现的安全问题有70%都是来自于校内的内部网络使用人员,还有很多校内管理人员没有经过相关人员的同意擅自对校内信息进行改动或者删除,除此之外还有可能就是校外有人充分利用校内人员采取内外勾结的方式对高校安全管理系统进行破坏,让高校中诸多信息丢失等。
(二)高校安全管理技术较为落后
因为当前我国诸多高校校园网都是运用共享网络结构模式,网络用户和主机之间,用户和用户之间都是通过网络相连接的校内网络传输线路大多都是由双绞线线路和光纤线路所构成的。校园网络所覆盖的范围越大,那么网络的线路也会越多,其所覆盖的网络区域也会越广泛。这种形式的网络结构的本质特征也是构成校园网络安全问题的必要基础,在实际中所出现的网络病毒,校园网络受到黑客袭击以及用户的隐私曝光等问题,都是因为校园网络所受到的破坏,从而致使使用校内网络用户遭到相关的网络袭击。我国大多数高校的网络计算机用户都是采用的Win-dows操作系统,因为这个系统有一定程度上的缺点,所以其自身在防御病毒的能力上相对较弱,很容易受到网络中所附带的病毒破坏系统安全。高校各部门学院做出属于自己学院的网站数量相对较多,但是大多都是技术水平较低的网站,其安全性相对较多,这种情况的出现也会给那些入侵者提供一个较好的环境。除此之外,我国高校内部所使用的网校园网络都是由校园网络中心服务器所扩散出来的,高校网络中心服务器基本都是使用的Windows2003作为主机操作系统,这种操作系统在某种程度上其预防能力和抗入侵能力是相对较弱的,没有固定强悍的杀毒和防御系统,要想将病毒或者是入侵病毒解决掉,就必须要让高校安全管理部门将网络中心的服务器换成IIS让其作为校内网络的Web服务器,然后再将sqlserver作为校内网络数据库的安全系统服务器,这种方式能够在一定程度上将高校网络的安全程度提升,从而高校信息资料安全得到保障。
四、高校信息化安全管理的优化探索
(一)完善信息化安全管理系统和教学信息协调
要完成并做好高校安全管理系统和教学信息协调工作,要求高校在管理技术上和行政机构上做出优化措施。行政机构上要化繁为简,为高校安全管理系统和学校行政部门之间的协调工作,减少不必要的程序,各行政部门之间在协调工作上要由专门的工作部门统一指导,在协调工作的各个环节要有系统具体的工作计划并严格按照工作计划完成工作任务,既要有大方向又得有小目标。在技术上要积极引进先进的设备和方法,提高系统的工作能力和工作效率,保障信息管理系统的稳定性。
(二)全面提高信息化安全管理认识
现在高校学校的管理基层在管理工作中经常会忽略安全管理的工作,对学校上级管理部门所提出的安全管理方案的实施力度不够,管理工作人员在工作中没有全面、充分的认识到安全信息化管理工作的重要性,这就在很大程度上导致了安全问题的出现。因此在高校安全管理工作中首先要提高对信息化安全管理重要性的认识,在学校整体教学工作中不能为了提高暂时的教学效率而放弃了信息化安全管理,要把管理目光放长远,从大局出发。对学校教学中容易出现安全隐患的各个方面都要有一定的了解,提高其重要性的认识。把信息化安全管理工作提高到关系学校一流大学建设上的战略高度来把握、来布置工作,抓好各项制度和措施的落实。
(三)信息化管理模式推进管理制度的健全
在学校信息化管理制度上无论是网络还是其他方面的问题在工作中都要做到明确安全责任,建立责任追查制度,从学校层面将网络和信息安全的责任落实到每个部门,切实网络信息安全的责任,形成追责、补救机制。因为没有责任人就有安全漏洞,所以必须明确责任人和事故处置办法,以此整强对安全管理工作的认识。其次在管理制度上应用信息化管理系统,使管理工作更加高效快捷,管理程序大大简化,安全管理部门和学校二级部门之间的沟通和交流可以在保证快捷的前提下,做到真实准确。信息化安全管理体制在建设中要时刻做到以学生为本,并且服务于全体学生,实现安全信息互通,从而为学生提供了实时高效、个性化、全方位的管理服务,并全面实现了校园安全信息化系统。
(四)加强管理工作人员的培训工作
信息化安全管理模式的管理不仅需要管理人员有较强的安全管理意识、知识,还要对信息化管理有较强的操作技能,做到对计算机技术的应用的精通。这就要求高校要有一批高素质的信息化安全管理工作人员,加强工作人员的专业技能培训迫在眉睫。培训要让学习人员学到先进的管理方法,技能和系统管理工作思想,掌握并能在工作中应用信息化计算机网络技术。只有真正在工作人员上做到计算机技术的熟练应用,才能更好的在高校信息化安全管理工作中做到信息化。
(五)加强网络安全管理
网络是把双刃剑,传播速度快、信息量大,要对网络宣传工作格外的关注。网络安全与信息化是国家战略,也是学校的战略,办学重要的支撑,做好网路安全和信息化工作更是广大师生的愿望,希望引起大家高度重视。学校将进一步健全机制,加快管理队伍的建设,人才专业队伍的建设,推动学校从数字校园向智慧校园纵深发展。首先要善于利用网络进行正面的宣传,增加正能量,对学校的办学亮点、特色进行宣传,对炒作和诽谤要及时地处理、回击。要牢牢地掌握网络话语权,探索网络舆情引导管理新模式,及时发现处理网上的不良信息,主动加强与网信部门、公安部门和上级主管部门的联系,建立健全舆情沟通协作机制。其次校园网络已经成为教学、科研、办公等主要教学活动的支撑平台,是正常办学非常重要的一个平台,重要性不亚于课室和实验室。加强网络安全突发事件应急处置能力,保障学校教学秩序正常运行是我们面临的一个重要任务。面对突发事件,必须尽一切可能快速地恢复,要根据学校的具体情况制定并且完善网络信息安全预警和应急响应方案,明确应急处置的流程、权限、落实应急响应技术队伍,强化技能训练,开展网络防范应急演练,提高网络应急处置能力。
1信息安全管理系统现状
信息安全管理系统作为信息安全的支撑体系以及实施信息安全维护的落脚点,是信息安全管理中的重要组成部分。目前我国的信息安全管理系统还尚未完善,其不足之处首先表现为缺少统一的存储平台来对众多的文档进行储存,从而导致大量文档的丢失;其次,如果信息安全管理系统不完善,就不能降低资产等的风险评估以及对资产进行集中式的管理;最后,由于信息安全系统中各个报表功能的不完善,文档信息就无法快速、准确地透露出信息安全的实际状况,从而起到有效地保护作用。
信息安全管理系统主要能够通过对关键资产实行定性和定量分析,从而得出资产的精确风险值,识别系统中存在的重要因患资产,并进一步通知信息管理员采取适当地方法来减少隐患事件的发生,通过科学的管理降低企业的资产风险。由此可见,完善的信息安全管理系统是不可或缺的,它一方面决定着信息安全管理体系的具体实施,另一方面也可以促进企业信息安全管理体系的进一步维护与建设。
2信息安全管理系统标准
科学统一的国家信息安全标准,有利于协调与融合各个信息安全管理系统的工作,充分促进信息安全标准系统的功能发挥。我国的信息安全管理标准主要分为ISO/IEC27000系列标准与信息安全等级保护标准两个部分。
2.1ISO/IEC27000系列标准
1995年,英国标准协会(BSI)了BS7799-1和BS7799-2两部标准,随着时代的进步其逐渐发展为ISO/IEC27001和ISO/IEC27002两个部分,并进一步成为目前信息安全管理体系的主要核心标准。BS7799的最初提出目的主要在于建立起一套能够用于开发、实施以及测量的科学信息安全管理惯例,并作为一种通用框架来促进贸易伙伴之间的信任。ISO/IEC27001重视ISMS的建构以及在PDCA基础之上的进一步循环与完善,这一过程实质上就是在宏观的角度上来指导整个项目的有效实施。它意在风险管理的基础之上,用风险分析的途径,把发生信息风险的概率降到最低程度,同时采取适当地措施来保障主体业务的顺利进行。ISO/IEC27002主要阐述了133项控制细则,以及11项需要有效控制的项目,其中包括安全策略、安全组织、信息安全事件管理、人力资源安全、符合性物理与环境安全、访问控制、资产管理、系统的开发与维护、业务连续性管理、通信与操作安全等一系列的安全风险评估与控制。
2.2信息安全等级保护
1994年国务院出台了《中华人民共和国计算机信息系统安全保护条例》,该项基本制度的主要目的在于提高信息安全保障能力的水平、保障并促进信息化的健康与发展,从而进一步维护国家安全、社会发展以及人民群众的利益。它的核心标准《GB17859-1999计算机信息系统安全保护等级划分准则]是在TCSEC的分级保护思想基础之上,针对我国信息安全的发展实际进行改善,最终把安全等级缩减成更具可操作性的5个级别。《GB/T22239-2008信息系统安全等级保护基本要求》则把信息安全控制要求进一步整理为管理要求与技术要求两类,其中前者主要包括系统建设管理、安全管理制度、系统运维管理、安全管理机构和人员安全管理;后者主要包括应用安全、网络安全、物理安全、主机安全以及数据安全与备份恢复。此外,信息安全等级保护的系列标准里还包括(〈GB/T20270-2006网络基础安全技术要求》以及《GB/T20271-2006信息系统安全通用要求》等一些关于信息安全维护细则的具体操作要求。
3信息安全管理系统的模型设计
根据信息安全管理系统标准,结合以往的信息安全管理系统设计,提出一种新型的四层信息安全管理系统:
第一层是数据库层:包括日志、资产库、异常日志以及资产弱点库和资产风险库等。该数据库层的主要功能在于对信息安全管理系统中的数据进行存储。
第二层为功能模块层:包括资产管理、风险管理、弱点管理、信息安全管理规范下载管理资产等级评估管理、拓补管理以及日志分析。
第三层为信息采集:主要包括人工脆弱性检查、漏洞扫描工具以及日志采集系统三部分。这一信息采集层的主要功能在于采集安全保护对象的漏洞与安全事件。
最后一层为展示层:它包含某个具体业务系统中的业务系统整体安全状况、资产安全状况、业务系统拓补以及异常安全事件等相关部分。
上述新型信息安全管理系统模型主要体现出以下六点创新之处:
(1)所设计的风险模块管理可以把风险评估常态化、主动化,使其对整个业务周期内的所有资产风险进行动态的跟踪与准确分析;另外,该信息安全系统的日志审计功能也可以实现被动式的安全管理,从而使主动管理与被动管理在信息安全管理系统中充分融合。
(2)业务系统的动态建模和系统支持资产,可以把业务系统和资产二者绑定在一起,由此,整个信息安全系统一方面可以准确地体现出在一个具体业务系统环境下,其单独资产的具体安全状况;另一方面该信息安全系统还能够根据IS027001的具体标准,反应出整个资产所承载的整体业务系统的安全状况。
(3)该新安全管理系统增加并促进了拓补管理功能的发挥。
(4)该信息安全管理系统模型提供了统一的知识库管理,能够对日志、资产库、异常日志以及资产弱点库和资产风险库等部分进行更有效的数据存储与管理。
【关键词】电力信息;运行;维护;管理
前言
在全球信息化的推动下,计算机信息网络作用不断扩大的同时,对于管理信息系统的安全,除在系统设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强系统的安全管理。安全系统需要由人来计划和管理,任何系统安全设施也不能完全由计算机系统独立承担系统安全保障。诸多不安全因素恰恰反映在组织管理和人员因素方面。文章结合电力信息网络的安全风险,提出了供电企业的网络信息的安全与管理问题。
1、电力信息网络的安全分析
(1)计算机及信息网络安全意识薄弱。供电系统各种计算机应用对信息安全的认识距离实际需要差距较大,对新出现的信息安全问题认识不足。
(2)急需建立同供电行业特点相适应的计算机信息安全体系。相对来说,在计算机安全策略、安全技术和安全措施投入较少。为保证供电系统安全、稳定、高效运行,应建立一套结合电力计算机应用特点的计算机信息安全体系。
(3)联网的外部威胁。供电系统依据有关规定将网络分为信息内网和信息外网,信息内外网之间实行物理隔离。供电系统用户通过外网与互联网连接,必须要面对国际互联网上各种安全攻击,如网络病毒、木马和电脑黑客等。
(4)数据库数据和文件的明文存储保护不完善。供电行业应用系统基本上基于商业软硬件系统设计和开发,用户身份认证基本上采用口令的鉴别模式,而这种模式很容易被攻破。没有完善的数据备份措施。很多单位只是选择一台工作站备份一下数据就了事,没有完善的数据备份设备、没有数据备份策略、没有备份的管理制度,没有对数据备份的介质进行妥善保管。
2、供电企业的信息安全措施
供电系统的信息安全具有访问方式多样,用户群庞大、网络行为突发性较高等特点,信息安全问题需从网络规划设计阶段就仔细考虑,并在实际运行中严格管理。为了保障信息安全,采取的策略主要包括以下几个方面。
2.1加强电力信息网络安全教育
①为了保证信息安全的成功和有效,信息管理部门应当对企业各级管理人员、用户、技术人员进行信息安全培训,所有的企业人员必须了解并严格执行企业信息安全策略。②主管信息安全工作的负责人或各级管理人员,重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部的建立和管理制度的制定等。
2.2重视设备管理
重视设备管理是在企业网络规划设计阶段就应充分考虑安全问题。将一些重要的设备,如各种服务器、主干交换机、路由器等尽量实行集中管理;各种通信线路尽量实行深埋、穿线或架空,并有明显标记,防止意外损坏;对于终端设备,如工作站、小型交换机、集线器和其它转接设备要落实到人,进行专人严格管理;加强信息设备的物理安全,注意服务器、计算机、交换机等设备的防火、防盗、防水、防潮、防尘、防静电。
2.3重视技术管理
①防火墙技术。供电系统的生产、计量、营销、调度管理等系统之间,信息的共享、整合与调用,都需要在不同网段之间对这些访问行为进行过滤和控制,阻断攻击破坏行为,分权限合理享用信息资源。②虚拟局域网技术(VLAN技术)。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域,每一个VLAN都包含1组有着相同需求的计算机工作站,与物理上形成的LAN有相同的属性。但由于它是逻辑而不是物理划分,所以同一个LAN内的各工作站无须放置在同一物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,有助于控制流量、控制广播风暴、减少设备投资、简化网络管理、提高网络的安全性。③数据与系统备份技术。供电企业的数据库必须定期进行备份,按其重要程度确定数据备份等级。配置数据备份策略,建立数据备份中心,采用先进灾难恢复技术,对关键业务的数据与应用系统进行备份,制定详尽的应用数据备份和数据库故障恢复预案,并进行定期预演。确保在数据损坏或系统崩溃的情况下能快速恢复数据与系统,从而保证信息系统的可用性和可靠性。④建立信息安全身份认证体系。供电企业面对来自内部和外部信息安全风险威胁,需建立有效的信息安全身份认证体系,实现网络危险过滤、终端准入、用户识别、上网授权等功能,警告或禁止检查不通过的终端访问企业内部资源,最终实现企业内网用户终端安全性的提升,达成企业整网上网安全性的保障。
3、当前信息系统运行管理的工作
3.1探索设备运行管理新方法
确保信息系统正常运行的一个前提条件是设备正常运行。信息设备多种多样,包括网络(交换机,路由器等),主机服务器,防火墙等,各类又包括很多品牌和不同技术的设备,如何保证设备的正常运行,怎样做好信息设备的管理工作?
(1)购买必要的质保服务,适度控制风险。一方面设备老化会出问题,需要更新;另一方面,管理人员的技术力量不够,设备出现问题就要尽量控制它。
(2)加强设备的规范化管理。信息化设备管理处于刚刚起步阶段,大家对设备管理的经验不足,有必要向电网一、二次系统设备管理学习。
(3)建立设备运行预警体系。我国企业设备管理的一个重要发展趋势是以管理为中心替代以检修为中心,且逐步由预防维修、在线检修替代事后维修。
(4)做好数据备份工作。数据已经成为企业可持续性发展的重要环节,数据备份也是信息安全的最后一道保障。
(5)尽量由自己完成操作。管理人员根据服务厂商提供的操作步骤完成工作,可以提高管理人员的技术水平,更好地保护企业信息安全。
4、信息系统运行管理的绩效问题
企业追求的是经济效益,评价信息系统的效益需要建立企业的关键绩效指标(KPI)。信息系统运行管理,并不产生直接的经济效益,甚至是纯粹的消费,但是,关键应用系统的故障,给企业带来损失。
信息系统运行管理中的关键绩效指标主要有:1)关键应用系统的平均无故障时间;2)重要设备的平均无故障时间;3)信息安全度;4)应用系统的效益。
信息运行管理不产生直接的经济效益,运行管理工作常常被人们忽视,有必要从历史经验去寻找信息系统运行的效益。比如,SCADA系统不能正常使用,给企业带来的损失。营销系统或者95598系统不能正常使用,给企业带来的负面影响,网络中断或者病毒给企业带来的损失。从不同的方面、多个角度分析信息系统运行管理的经济效益,提高信息运行管理在企业中的地位。
关键词:信息安全管理;标准;应用
一、引言
随着Intemet应用的不断深入和电子商务、电子政务的不赠f发展,人们在日常生活、经济、军事、科技与教育等各个领域,对信息和信息系统依赖日益增强。然而,安全一直是信息系统面临的严重问题。早期,信息安全关注于技术方面,如:加密算法、访问控制、入侵检测等,最近,信息安全的风险管理,信息系统资金方面的经济因素越来越多受到CEO、ClO、CISO、CFO的关注。甚至,对信息安全管理的关注超出了对信息安全技术的关注。信息安全管理是和组织战略,组织文化,组织的高层管理和基层管理都有密切关系,是目前信息安全领域里最热门的话题之一。在这样的背景下,信息安全管理的标准越来越受到国际和国内的重视。
信息安全绝对不仅仅是技术的问题,它的解决涉及到规章制度、组织运行、技术应用等方方面面,任何单方面安全的措施都不可能提供真正的全方位的安全,信息安全问题的解决更应该站在系统工程的角度来考虑。在这项系统工程中,信息安全管理占有重要的地位,信息安全管理体系标准的确立是信息安全管理的基础和前提。
二、信息安全管理概述
信息安全是一个多层次、多因素、综合的动态过程,要求对信息系统和组织体系进行综合思考和统一规划,同时要注意监控系统内外环境的变化,很可能某一环节上的安全缺陷就会对整个系统组织构成威胁。美国国家标准技术组织,提出了信息安全由各种技术和非技术的要素连接在一起组成安全链的概念,攻击者往往从最薄弱的环节突破如。
因而信息安全是一个多层面、多因素、综合的动态过程,是一个需要系统体系来保证的持续发展过程。如果凭一时的需要,对某些方面加强控制,而没有整体全面的考虑,都难免存在顾此失彼的问题,使信息安全链在某个薄弱环节断裂。所以,信息安全管理是,用于指导、管理和控制信息安全风险的、一系列相互协调的活动,要尽可能做到,应用有限的资源,保证安全“滴水不漏”。
三、信息安全管理标准介绍
拥有全面的信息安全管理,政府和企业可以采用有效的机制,合理利用信息资源,管理与信息相关的风险,使得信息系统能够保持与战略目标一致,推动业务发展。合理地应用信息安全管理体系标准能够有效提高信息安全管理水平,满足组织对信息系统应用的高效、优质、可信和安全的需求,全面提高组织的综合竞争能力。在信息安全管理领域.各国的专家、各种的机构,根据不同的方面安全管理的需求制定了众多标准,下面介绍其中比较典型的标准。
1.CC标准。1993年6月,美国、加拿大及欧洲4国协商同意起草信息技术安全评估公共标准CClTSE(commoncfiteda Of information technical security evaluation),简称CC(1SO/IECl5408—1),是国际标准化组织统一现有多种准则的结果。1998年经90认可成为国际标准(ISO/IEC15408)。
CC源于TCSEC,但完全改进了TCSEC,的主要思想和框架都取自ITSEC(欧)和FC(美)。
CC标准,一方面可以支持产品(最终已在系统中安装的产品)中安全特征的技术性评估,另一方面描述了用户对安全性的技术需求。然而,CC没有包括对物理安全、行政管理措施、密码机制要方面的评估,且仍然未能体现动态的安全要求。因此CC标准主要还是一套技术标准。
2.BS--7799标准。BS7799标准是由英国标准协会(BSl)制定的信息安全管理标准,是国际上具有代表性的信息安全管理体系标准,包括:BS7799—1:1999(信息安全管理实施细则)是组织建立并实施信息安全管理体系的一个指导性的准则,BS7799--2:2002以BS7799—1:1999为指南,详细说明按照PDCA模型,建立、实施及文件化信息安全管理体系(1SMS)的要求。
ISO/IECl7799--2:2005年第2版的改版中,最主要的变动是以层次结构化形式提供:信息安全策略、信息安全的组织结构、资产管理、人力资源安全、物理和环境安全、通信和运行管理、访问控制、信息系统采购、开发和维护、信息安全事故管理、业务持续性管理、符合性这11个安全控制章节,还有39个主要安全类和133个具体控制措施,以规范组织机构信息安全管理建设的内容。
3.COBIT标准。美国信息系统审计与控制协会ISACA协会的COBIT管理标准,是一个比较完整的IT审计和治理的框架,它为建立完善的信息系统控制和审计体系,提供了详细的控制目标、实施办法和审计指南等。2005年,已更新为第四版。
新版本的COBIT更加关注组织战略和效果评估,从4个方面:PO(Planning&Organization)、AI(Acquisition&Implementation)、DS(Delivery&Support)和ME(Monitoring&Evaluation)对信息系统进行管理和控制,可进一步细分为34个管理流程。
4.ITIL标准。该标准由由英国政府部门CCTA于20世纪80年代末制订,2001年英国国家标准协会(BSI)正式了基于ITIL的标准BSl5000,2002年此标准为国际标准化组织(ISO)所接受。
其内容描述的是,IT部门应该包含的各个工作流程以及各个工作流程之间的相互关系。ITIL提供了以服务支持和服务提供为核心的、包括规划实施服务管理、业务视野、ICT基础设施管理、安全管理和应用管理7个模块在内的规范化信息技术服务。
在ITIL框架中,安全管理,作为组织机构进行IT服务的一个组成部分,专门进行了讨论。因此,信息安全管理是ITIL框架的一个有机组成部分,它对规范化信息技术服务、保障信息技术服务有重要的意义。
5.ISO/IECl3335标准。这套标准提供了安全管理的基本概念、模型以及风险管理实践等内容,它可以用于指导如何实现IT安全管理。ISO/IECl3335标准由5个系列标准组成:ISO/IECl3335—1:2004《IT安全的概念与模型》;ISO/IECl3335—2:1997(IT安全管理与策划》;ISO/IECl3335—3:1998《IT安全管理技术》;ISO/IECl3335—4:2000《防护措施的选择》;ISO/IECl3335—5:2001
ISO/IECl3335标准关注组织的安全,对安全管理的过程和风险分析有非常细致的描述。在安全管理实践中有参考价值。
6.SSE—CMM标准。系统安全工程一成熟度模型,SSE—CMM(SystemSecurityEneineeringCapabilityMaturityModel)模型是CMM在系统安全工程这个具体领域应用而产生的一个分支,是美国国家安全局(NSA)领导开发的,是专门用于系统安全工程的能力成熟度模型。SSE—CMM第一版于1996年10月出版,1999年4月,SSE—CMM模型和相应评估方法2.0版。2002年被国际标准化组织采纳成为国际标准即ISO/IEC21827:2002《信息技术系统安全工程一成熟度模型》。但是需要注意的是目前SSE—CMM已经更新为V3.0。
7.NIST标准。美国国家标准和技术委员会(NIST)负责为美国政府和商业机构提供信息安全管理相关的标准规范。目前,NIST SP 800系列成为了指导美国信息安全管理建设的主要标准和参考资料,成为美国和国际安全界得到广泛认可的事实标准和权威指南。
2005年,NISTSP 800系列最主要的发展是配合FIS-MA 2002年的法案,建立以800--53等标准为核心的一系列认证和认可的标准指南。该标准,提供了安全控制的层次化、结构化的控制措施要求:意识和培训,认证、认可和安全评估,配置管理,持续性规划,事件响应,维护,介质保护,物理和环境保护,规划,人员安全,风险评估,系统和服务采购,系统和信息完整性这13个安全管理和运营控制族以及106个具体控制措施。
8.我国的标准。1999年9月我国参照CC标准颁布了国家标准《计算机信息系统安全保护等级划分准则》GBl7859系列。
2003年7月,国信办启动了信息安全管理相关标准的编制工作,2006年将出台新的
四、综合应用
信息安全是一门综合的交叉学科。一套完善的信息安全管理体系,应该包括规范化的信息安全管理内容、以风险和策略为核心的控制方法、定性分析和定量度量的信息安全测评。同时,信息安全管理体系应该能够将信息安全管理同信息系统审计、信息系统内控体系、信息技术服务体系相互结合,形成有安全保障的信息系统运行维护管理体系,以真正达到保护组织机构的信息和信息资产安全,保证业务持续性要求。
做好信息安全管理工作,要对组织战略、组织文化、业务流程、外部环境、技术应用展开全方位的、深度的探讨,以期重新认识IT的定位、作用和价值,共同促进建设高效益的、可持续发展的信息化。作为全球公认的BS7799标准、COBIT标准、ITIL标准、13335标准、SSE-CMM标准综合应用可帮助我们做好信息安全管理工作。
然而,这些标准并不是灵丹妙药,它们的应用必须与组织的实际需要相结合,才可能产生良好效果。在信息安全管理中,每个组织都需要整合一系列标准,综合应用来适应自己的需要。在管理实践中可按如下步骤进行:
1.建立系统的框架,作为为信息安全管理的开始,明确目标、责任和对象。
2.将IT战略和组织目标组成联盟,正确理解业务环境、风险偏好、组织战略和IT建设的关系。包括:应用COBIT标准确定IT目标;应用SSE—CMM标准定义软件开发的需求;应用ITIL标准定义最终用户的需求。
3.理解和定义风险,在给定的业务目标下,明确防范哪些IT风险。要了解信息系统过去和当前的状况,信息系统的规模和复杂程度,当前IT环境内部的薄弱环节,信息系统的变动等。包括:应用COBIT标准定义风险控制;应用SSE—CMM标准清除软件设计的风险;应用ITIL标准清除操作风险;应用ISO17799标准清除安全风险。
4.定义风险管理的目标。包括:应用COBIT标准定义基础框架;应用SSE—CMM标准定义软件生产过程;应用ITIL标准定义主要的服务程序;应用ISO17799标准定义安全目标。
5.分析当前的安全能力,寻找最值得改进的地方。包括:应用COBIT标准做基础分析;应用SSE—CMM、ITIL、1S017799标准做细节分析。
6.实施改进战略,通过关注主要的IT流程和组织的核心竞争能力来确定最有效的改进措施。包括:应用CO-BIT标准定义控制目标;应用SSE—CMM、ITIL、ISO17799标准支持实施细节。
7.评估结果,对当前的状况和改进后的效果建立一个可量化的评估机制。
从如下几方面评估信息安全管理效果:(1)信息系统是否支持组织战略?(2)信息系统风险管理的责任是否由组织相应部门承担?(3)信息系统是否能安全有效的支持关键的信息流程?(4)组织中的有关人员是否明确安全管理的规定和目标?
应用COBIT标准:在安全管理的应用实践中重复2步~7步如图。
在信息安全管理的实践中,同时要注意:
1.信息安全管理要有明确的目标,并同组织战略相结合。
2.信息安全管理是一个持续循环的过程,不可能一挥而就。
3.信息安全管理的实施要和组织文化相吻合。
4.信息安全管理要得到高层领导,尤其是一把手的支持。
参考文献;
1.Dr Walter Fumy.Network Security.IT secu-rity standardization,2004,(12):6-11.
2.冯登国,张阳,张玉清.信息安全风险评估综述.通信学报,2004,(7):10-18.
