企业信息安全管理体系篇1
[关键词]信息安全;管理;控制;构建
中图分类号:X922;F272文献标识码:a文章编号:1009-914X(2015)42-0081-01
1企业信息安全的现状
随着企业信息化水平的提升,大多数企业在信息安全建设上逐步添加了上网行为管理、内网安全管理等新的安全设备,但信息安全防护理念还停留在防的阶段,信息安全策略都是在安全事件发生后再补救,导致了企业信息防范的主动性和意识不高,信息安全防护水平已经越来越不适应当今企业it运维环境和企业发展的需求。
2企业信息系统安全防护的构建原则
企业信息化安全建设的目标是在保障企业数字化成果的安全性和可靠性。在构建企业信息安全体系时应该遵循以下几个原则:
2.1建立企业完善的信息化安全管理体系
企业信息安全管理体系首先要建立完善的组织架构、制定信息安全管理规范,来保障信息安全制度的落实以及企业信息化安全体系的不断完善。基本企业信息安全管理过程包括:分析企业数字化资产评估和风险分析、规划信息系统动态安全模型、建立可靠严谨的执行策略、选用安全可靠的的防护产品等。
2.2提高企业员工自身的信息安全防范意识
在企业信息化系统安全管理中,防护设备和防护策略只是其中的一部分,企业员工的行为也是维护企业数字化成果不可忽略的组成。所以企业在实施信息化安全管理时,绝对不能忽视对人的行为规范和绩效管理。在企业实施企业信息安全前,应制定企业员工信息安全行为规范,有效地实现企业信息系统和数字化成果的安全、可靠、稳定运行,保证企业信息安全。其次阶段递进的培训信息安全人才也是保障企业数字化成果的重要措施。企业对员工进行逐次的安全培训,强化企业员工对信息安全的概念,提升员工的安全意识。使员工的行为符合整个企业信息安全的防范要求。
2.3及时优化更新企业信息安全防护技术
当企业对自身信息安全做出了一套整体完善的防护规划时,就应当考虑采用何种安全防护技术来支撑整个信息安全防护体系。对于安全防护技术来说可以分为身份识别、网络隔离、网络安全扫描、实时监控与入侵发现、安全备份恢复等。比如身份识别的目的在于防止非企业人员访问企业资源,并且可以根据员工级别分配人员访问权限,达到企业敏感信息的安全保障。
3企业信息安全体系部署的建议
根据企业信息安全建设架构,在满足终端安全、网络安全、应用安全、数据安全等安全防护体系时,我们需要重点关注以下几个方面:
3.1实施终端安全,规范终端用户行为
在企业信息安全事件中,数字化成果泄漏是属于危害最为严重的一种行为。企业信息安全体系建立前,企业员工对自己的个人行为不规范,造成了员工可以通过很多方式实现信息外漏。比如通过U盘等存储介质拷贝或者通过聊天软件传递企业的核心数字化成果。对于这类高危的行为,我们在建设安全防护体系时,仅仅靠上网行为管理控制是不能完全杜绝的。应该当用户接入企业信息化平台前,就对用户的终端系统进行安全规范检查,符合企业制定的终端安全要求后再接入企业内网。同时配合上网行为管理的策略对员工的上网行为进行审计,使得企业员工的操作行为符合企业制定的上网行为规范,从终端用户提升企业的防护水平。
3.2建设安全完善的Vpn接入平台
企业在信息化建设中,考虑总部和分支机构的信息化需要,必然会采用Vpn方式来解决企业的需求。不论是采用SSLVpn还是ipSecVpn,Vpn加密传输都是通用的选择。对于分支机构可以考虑专用的Vpn设备和总部进行ipSec连接,这种方式更安全可靠稳定。对于移动终端的接入可以考虑SSLVpn方式。在这种情况下,就必须做好对于移动终端的身份认证识别。其实我们在设备采购时,可以要求设备商做好多种接入方式的需求,并且帮助企业搭建认证方式。这将有利于企业日常维护,提升企业信息系统的Vpn接入水平。
3.3优化企业网络的隔离性和控制性
在规划企业网络安全边际时,要面对多个部门和分支结构,合理的规划安全网络边际将是关键。企业的网络体系可以分为:物理层;数据链路层;网络层;传输层;会话层;表示层;应用层。各体系之间的相互隔离和访问策略是防止企业信息安全风险的重要环节。在企业多样化网络环境的背景下,根据企业安全优先级及面临的风险程度,做出适合企业信息安全的防护策略和访问控制策略。根据相应防护设备进行深层次的安全防护,真正实现oSi的L2~L7层的安全防护。
3.4实现企业信息安全防护体系的统一管理
为企业信息安全构建统一的安全防护体系,重要的优势就是能实现对全网安全设备及安全事件的统一管理,做到对整个网络安全事件的“可视、可控和可管”。企业采购的各种安全设备工作时会产生大量的安全日志,如果单靠相关人员的识别日志既费时效率又低。而且不同安全厂商的日志报表还存在很大差异。所以当安全事件发生时,企业管理员很难实现对信息安全的统一分析和管理。所以在企业在构建信息安全体系时,就必须要考虑安全设备日志之间的统一化,设定相应的访问控制和安全策略实现日志的归类分析。这样才能做到对全网安全事件的“可视、可控和可管”。
4结束语
信息安全的主要内容就是保护企业的数字化成果的安全和完整。企业在实施信息安全防护过程中是一个长期的持续的工作。我们需要在前期做好详尽的安全防护规划,实施过程中根据不断出现的情况及时调整安全策略和访问控制,保证备份数据的安全性可靠性。同时全体企业员工一起遵守企业制定的信息安全防护管理规定,这样才能为企业的信息安全提供生命力和主动性,真正为企业的核心业务提供安全保障。
参考文献
[1]段永红.如何构建企业信息安全体系[J].科技视界,2012,16:179-180.
[2]于雷.企业信息安全体系构建[J].科技与企业,2011,08:69.
[3]彭佩,张婕,李红梅.企业信息安全立体防护体系构建及运行[J].现代电子技术,2014,12:42-45+48.
[4]刘小发,李良,严海涛.基于企业网络的信息安全体系构建策略探讨[J].邮电设计技术,2013,12:25-28.
[5]白雪祺,张锐锋.浅析企业信息系统安全体系建设[J].管理观察,2014,27:81-83.
企业信息安全管理体系篇2
【关键词】信息安全管理;保险企业;体系构建
0.引言
保险企业的计算机信息安全管理给企业自身的发展带来了非常多的好处,不仅能够实现企业办公的自动化和信息化,同时也提高了企业的运营效率。保险企业的信息化主要是保险企业以业务流程的优化和重构为基础,在一定的深度和广度上利用计算机技术、网络技术和数据库技术,控制和集成化管理企业生产经营活动中的各种信息,实现企业内外部信息的共享和有效利用,以提高企业的经济效益和市场竞争力。从目前的保险企业来看,很多企业都已经开发了适合自己企业的计算机信息系统来满足企业的运转,企业通过开发计算机信息系统平台,提高了自身产品、经营、管理、决策的效率和水平,进而提高了企业的经济效益和竞争力。同时,我们也要注意到,保险企业开发计算机信息系统是好事情,但是如果忽略了对计算机信息安全的管理,就将是个大问题。在如今,计算机信息安全性对于保险企业来说比开发系统更为重要,企业一旦出现信息安全问题,后果不堪设想。有最新的数据表明,计算机病毒和黑客攻击已经给国民经济和企业造成了难以估量的损失。所以,保险企业计算机信息安全管理的体系构建迫在眉睫,必须要引起高度重视。
1.保险企业信息安全管理的现状
计算机信息安全问题不是保险企业才存在的问题,是全球企业都存在的普遍问题,越发达的地区,信息安全存在的隐患越多。一方面,现在互联网的发展速度非常快,信息技术的日趋完善,出现了很多的恶意攻击工具,再加上信息系统本身的漏洞,让一些破坏分子更是有机可乘;从另外一个角度来看,企业自身对信息安全管理不重视,也是导致出现信息安全问题的首要原因之一。近年来,保险行业处于高速发展的时期,暴露出的问题也相对比较多,我们应该重视起来。下面列出了当前的保险企业在信息安全管理上存在的主要几点问题:
1.1没有相关的法规来约束
与信息的安全有关的分散于各种法律、法规、标准、道德规范和管理办法的条文较多,但尚未形成一个较为规范完整的保障信息安全的法律制度、道德规范及管理体系。同时现有的法规,由于相关安全技术和手段还没有成熟和标准化,法规也不能很好地被执行。因此,保险行业的信息安全标准和规范的缺少和无体系化,导致保险企业不能很好的制定合理的安全策略并确保此策略能被有效执行。
1.2没有引起足够的重视
很多保险企业的管理层对信息安全管理不太关注,不够重视,没有投入足够的人力、物力和财力去管理。大部分保险企业在公司治理上重点关注的是企业的业务规模发展,销售策略调整,组织结构和运营流程的优化等,对信息安全管理不太重视,不太相信信息安全问题能给企业会带来严重危机,直到发生了信息安全事件后之后才开始重视。因此,保险企业必须在公司日常治理中投入足够的时间和精力去完善企业的信息安全管理体系。
1.3对存在的风险评估不够
很多保险企业在设计搭建相关信息系统的时候对存在的风险评估不够,没有充分考虑到信息化所带来的安全风险,通常只是考虑到信息技术问题,对于信息系统应用后出现的信息安全问题欠缺考虑。其实对信息系统安全风险不做评估或评估不充分,都会带来严重的后果,一旦信息系统出现严重缺陷或漏洞的时,系统受到破坏,正常的业务操作无法进行,严重的可能会导致企业内部机密、客户个人信息的泄露或者重要数据被盗、被篡改等。所以,保险企业面临解决诸如系统本身缺陷、操作失误等带来的安全问题的。
1.4没有制定相应的安全管理条例,无明确责任划分
保险企业相关的信息技术安全之所以存在一系列的问题,和企业没有制定相应的安全管理制度,没有明确责任划分等有很大的关系。没有相关的信息安全管理制度去制约,出了信息安全问题以后的责任划分不清晰,长此以往,信息安全问题的监管就会出很大的漏洞,也很难形成一个可控的信息安全管理体系。保险企业的信息安全管理应该是整个企业员工共同面对的问题,而不是企业某个部门或者某些个人能够决定的事情。保险企业的信息安全管理应该有相应的制度和明确的责任划分,每个部门都应该有信息安全的负责人,出了问题要做到有人承担,如果不这样的话就会影响到信息安全管理体系的构建,成为企业信息安全管理的绊脚石。
所以,针对以上种种问题和现状,保险企业必须要形成一个良好的信息安全管理体系,这样才能从根本上解决问题,发挥信息化建设的作用,保障企业的计算机信息安全。
2.保险企业计算机信息安全管理的体系构建
2.1掌握安全管理标准,构建安全管理基本框架
要熟悉掌握信息安全管理标准,对信息技术的安全管理标准要进行不断深入的理解,不能仅仅考虑到信息技术,而忽视了信息安全管理。国际上对安全管理研究已经取得了一定的成果,推出了信息安全标准,成立了信息安全标准化组织,搭建了信息安全标准体系框架。在我国,虽然信息安全的研究起步比较晚,但是也在不断的完善中,已经制定了适合我国国情的信息安全管理标准。我国提出的关于《计算机信息安全保护等级划分准则》中就明确了安全管理的标准,主要把信息安全划分成自主保护级、系统审核保护级、安全标记保护级、结构化保护级和访问验证保护级等五个安全程度不同的安全等级,根据这五级标准,也分别提出了关于建立安全管理体系的相关措施。所以,保险企业应该参考这些标准,构建适合自身行业、企业信息的安全管理基本框架,这对于企业的健康稳健发展是非常有意义的。
2.2实现科学的信息安全管理
保险企业要实现科学的信息安全管理,不能不考虑信息安全影响而随意的进行信息管理。保险企业的信息安全管理应该要包括对机构安全管理和人员安全管理以及技术安全管理和场地设施安全管理。保险企业需要采用一些科学的方法,如科学化企业信息资产评估和风险分析模型法、设计完备的信息系统动态安全模型等,建立科学的可实施的计算机系统安全策略,采取规范的安全防范措施,选用可靠稳定的安全产品,设计完善的安全评估标准和等级,实施有效的审核措施等来实现对信息的安全管理。
2.3进行有效的安全风险评估
保险企业在搭建信息化平台的时候,必须要进行安全风险的评估,没有风险的评估是很难实现信息安全管理的。同时,还需要在对信息安全风险的评估中制定出风险的应对方案,便于应对突发问题,从最大程度上保证信息的安全。
2.4合理配置安全产品
对于评估出来的风险,保险企业可以对信息系统配置一些安全产品来规避信息安全风险。比如说系统存在一些漏洞,这些漏洞很容易受病毒的攻击,那么企业可以配置一些能够定期更新的杀毒软件和防火墙来防止病毒的侵入。在配置产品的时候需要注意配置的合理性,不能什么安全产品都去配置,要通过最优化的安全产品配置达到企业信息的安全管理。
【参考文献】
[1]许雅娟.网络攻击分类研究[J].硅谷,2011(06).
[2]宋晓萍.tDCS网络安全防护方案的研究[J].铁道运输与经济,2006(11).
[3]苗亮.计算机网络可靠性的研究[J].机械工程与自动化,2010(03).
企业信息安全管理体系篇3
企业经营信息对于企业来说是一种资源,对于企业自身来说具有重要意义,企业需要妥善管理自身企业的信息。近年来,企业的各项经营活动都逐渐开始通过计算机,网络开展,因此,企业的信息安全管理对于企业越来越重要。许多企业开始通过各种技术手段以及制度改革,把更多的注意力放在企业内部的信息安全管理工作,同时将企业信息安全管理与风险控制结合起来,这是一个正确的选择,能够帮助企业实现稳定经营。在介绍企业信息安全管理以及风险控制前必须厘清企业信息安全管理的概念与企业风险控制定义,因此,本节将着重介绍企业信息安全管理的概念以及企业风险控制的定义。企业的信息安全管理包含十分丰富的内容,简单来说是指企业通过各种手段来保护企业硬件和软件,保护网络存储中的各种数据不受偶然因素的破坏或者恶意的原因被攻击。对于信息安全的认定通过包括4个指标,即保证信息数据的完整,保证信息数据不被泄露,保证信息数据能够正常使用,保证信息数据能够控制管理。要想做好企业的信息安全管理,首先需要了解的是关于信息的传输方式。随着信息技术的不断普及,信息传递的方式越来越多,常见的信息传递方式主要有互联网传播,局域网传播,硬件传播等等。要想实现企业的信息安全管理,其中很重要的一项工作在于保护信源、信号以及信息。
信息安全管理是一项需要综合学科知识基础的工作,从事企业信息安全管理工作的人员通过需要具有网络安全技术、计算机技术、密码技术、通信技术。从企业的信息安全管理来讲,最为关键的一项工作时保护企业内部经营信息数据的完整。经过近十年来的企业信息安全管理工作经验总结,企业信息安全不仅仅需要信息技术的支持,更需要通过建立完善的企业风险控制体系来帮助企业实现更好地保护企业信息安全的目标。所以,怎样把企业信息安全管理与风险控制融合起来就是摆在企业经营管理者面前的一道难题。企业的信息安全风险控制必须通过企业建立完善的企业信息安全风险体系实现。
企业的信息安全风险控制是指企业在企业信息安全遭遇威胁之前,提前对企业的信息进行风险预估,并采取一系列的有针对性的活动降低企业面临的信息安全风险,从而尽可能减少因为企业本身信息安全管理中存在漏洞给企业带来不必要的损失。常见的企业信息安全风险体系建立主要包含以下几个方面的内容。第一,建立企业信息安全风险管理制度,明确企业信息安全管理的责任分配机制,明确企业各个部门对各自信息安全所应承担的责任,并建立相应的问责机制。第二,设置规范的企业信息安全风险管理指标,对企业存在的可能威胁企业信息安全管理的漏洞予以风险定级,方便企业管理者对不同的信息安全管理漏洞采取有区别的对策。第三,企业要加强对信息安全管理人员的培训,提高企业信息安全管理工作人员的风险意识,让企业内部从事信息安全管理工作人员认识到自身工作的重要性,让企业内部从事信息安全管理工作人员了解到规范自身行为,正确履行职责的重要性。第四,将企业信息安全管理与风险控制有效融合,重视企业信息安全管理工作,通过风险控制对企业内部信息安全的管理方式进行正确评估,找出现行的企业内部信息安全管理手段中存在容易忽视的地方。
二、企业信息安全管理与风险控制存在的不足
1.企业信息安全管理工作人员素质不高
对于企业来说,企业信息安全管理工作是一项极为重要而隐秘的工作,因此,必须增强对企业信息安全管理工作人员的素质要求。但是根据调查统计,目前很多企业对信息安全工作的管理仅仅停留在对企业信息安全管理工作人员的技术要求上,对企业信息安全管理工作人员的道德素养,职业素养,风险意识并没有严格要求。此外,绝大多数企业并没有意识开展对企业信息安全管理工作的道德素质的教育培训,并没有通过建立相关管理制度以及问责机制对企业信息安全管理工作人员实行监督,这无疑给别有用心或者立场不坚定的企业信息安全管理工作人员留下了危害企业信息安全的可乘之机。
2.企业信息安全管理技术不过关
企业信息安全管理工作涉及多许多技术,包括信息技术,计算机技术,密码技术,网络应用技术等等,应当说成熟的计算机应用技术是做好企业信息安全管理的基础,但是,现实是许多企业的信息安全管理技术并不过关,一方面企业的信息安全管理硬件并不过关,在物理层面对企业信息缺乏保护,另一方面,企业信息安全管理工作的专业技术没有及时更新,一些企业信息安全管理工作人员缺乏企业信息安全管理的实践经验,企业信息安全管理的知识也并没有及时更新,从而导致企业的信息安全管理理论严重滞后,这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂,很多服务器、系统提示安全补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业,企业内部设备数量比较多,尤其是客户端数量占了较大比重,仅仅靠少数几个管理员进行管理是难以承担如此大量的工作量。另外,企业信息安全管理系统不成熟也是一个重大的隐患。
3.企业信息安全管理制度不健全
企业信息安全管理制度不仅仅需要理论制度的完善,更加需要一系列配套监督机制保障企业信息安全管理的有效执行。通过调查分析,许多企业虽然建立了企业信息安全管理制度,但是通常情况下,这些制度只能流于形式,企业信息安全管理工作缺少有效的制约和监督,企业信息安全管理工作人员缺乏执行力。企业信息安全管理制度不健全,企业信息安全管理工作缺乏执行力常常体现在以下几个方面。第一,企业员工对于信息安全管理的认识严重不足,对企业信息安全管理工作不重视。企业内部计算机系统安全的计算机防病毒软件并没有及时更新,使用,甚至企业内部计算机的防病毒软件还被企业员工卸载了。部分企业员工认为自己的工作与企业信息安全管理不相关,认为做好企业信息安全管理工作仅仅是企业信息安全部门的事。第二,企业内部信息安全文秘站:管理制度并没有形成联动机制,企业信息安全管理工作仅仅由企业信息安全部门“一人包干”,企业信息安全反映的问题并没有得到积极的反馈,一些企业领导对企业信息安全现状所了解的少之又少。
三、企业信息安全管理常见的技术手段1.oSi安全体系结构
oSi概念化的安全体系结构是一个多层次的结构,它的设计初衷是面向客户的,提供给客户各种安全应用,安全应用必须依靠安全服务来实现,而安全服务又是由各种安全机制来保障的。所以,安全服务标志着一个安全系统的抗风险的能力,安全服务数量越多,系统就越安全。
2.p2DR模型
p2DR模型包含四个部分:响应、安全策略、检测、防护。安全策略是信息安全的重点,为安全管理提供管理途径和保障手段。因此,要想实施动态网络安全循环过程,必须制定一个企业的安全模式。在安全策略的指导下实施所有的检测、防护、响应,防护通常是通过采用一些传统的静态安全技术或者方法来突破的,比如有防火墙、访问控制、加密、认证等方法,检测是动态响应的判断依据,同时也是有力落实安全策略的实施工具,通过监视来自网络的入侵行为,可以检测出骚扰行为或错误程序导致的网络不安全因素;经过不断地监测网络和系统来发现新的隐患和弱点。在安全系统中,应急响应占有重要的地位,它是解决危险潜在性的最有效的办法。
3.Htp模型
Htp最为强调企业信息安全管理工作人员在整个系统中的价值。企业信息安全工作人员企业信息安全最为关键的参与者,企业信息安全工作人员直接主导企业信息安全管理工作,企业信息安全工作人员不仅仅是企业信息安全的保障者,也是企业信息安全管理的威胁者。因此,Htp模型最为强调对企业信息安全管理工作人员的管理与监督。另外,Htp模式同样是建立在企业信心安全体系,信息安全技术防范的基础上,Htp模式采取了丰富的安全技术手段确保企业的信息安全。最后,Htp强调动态管理,动态监督,对于企业信息安全管理工作始终保持高强度的监督与管理,在实际工作中,通过Htp模型的应用,找出Htp模型中的漏洞并不断完善。
四、完善企业信息安全管理与降低风险的建议
1.建设企业信息安全管理系统
(1)充分调查和分析企业的安全系统,建立一个全面合理的系统模型,安全系统被划分成各个子系统,明确实施步骤和功能摸块,将企业常规管理工作和安全管理联动协议相融合,实现信息安全监控的有效性和高效性。
(2)成立一个中央数据库,整合分布式数据库里的数据,把企业的所有数据上传到中央数据库,实现企业数据信息的集中管理与有效运用。
(3)设计优良的人机界面,通过对企业数据信息进行有效的运用,为企业管理阶层人员、各级领导及时提供各种信息,为企业领导的正确决策提供数据支持,根本上提高信息数据的管理水平。
(4)简化企业内部的信息传输通道,对应用程序和数据库进行程序化设计,加强对提高企业内部信息处理的规范性和准确性。
2.设计企业信息安全管理风险体系
(1)确定信息安全风险评估的目标
在企业信息安全管理风险体系的设计过程中,首要工作是设计企业信息安全风险评估的目标,只有明确了企业信息安全管理的目标,明确了企业信息安全管理的要求和工作能容,才能建立相关围绕信息安全风险控制为目标的信息安全管理工作制度,才能顺利通过对风险控制的结果的定量考核,检测企业信息安全管理的风险,定性定量地企业信息安全管理工作进行分析,找准企业信息安全管理的工作办法。
(2)确定信息安全风险评估的范围
不同企业对于风险的承受能力是有区别的,因此,对于不同的企业的特殊性应该采取不同的风险控制办法,其中,不同企业对于能够承受的信息安全风范围有所不同,企业的信息安全风险承受范围需要根据企业的实际能力来制定。不仅如此,企业的信息安全风险评估范围也应当根据企业的实际经营情况变化采取有针对性的办法。
企业信息安全管理体系篇4
【关键词】信息安全;电力企业;防护措施
前言
当前,电力企业在生产运行过程中离不开信息技术的支持,尤其是电力企业在建立了复杂的数据网和信息网后,信息技术的在电力企业中的地位日益提高,同时,信息安全也影响着电力企业的生产经营。
1电力网络和信息安全管理的主要内容
电力网络和信息安全管理主要包括三方面的内容:①安全策略;②风险管理;③安全教育。具体浅析如下:
1.1安全策略
信息安全策略根据企业规模、安全需求和业务发展的不同而不同,但是都具有简单易懂、清晰通俗的特点,由高级管理部门制定并形成书面文字,属于企业安全的最高方针,广泛到企业所有员工手中。
1.2风险管理
评估威胁企业信息资产的风险,首先事先假定风险可能会给企业带来的风险和损失,然后再通过各种手段,如:风险的规避、风险的转嫁、降低风险和接受风险等多种方法为相关部门提供网络和信息安全的对策建议。
1.3安全教育
所谓安全教育,就是对直接关联企业安全生产的人员进行的教育活动,其对象是安全策略执行人员,具体来说就是与安全工作相关的技术人员、管理人员和客户,并对其进行安全培训,让其了解和掌握信息安全对策。安全管理是企业管理的重要内容,必须引起企业领导层的高度重视,切实将安全相关教育纳入到企业文化的组成中,确保信息安全管理的有效执行。
2电力企业信息化发展的特征
随着我国电力企业信息化的发展,与其他企业相比,在网络信息安全方面具有以下优势特征。
2.1信息化基础设施完善
经过多年的发展,电力企业的信息化建设与其他行业的信息化建设水平相比,具有明显的比较优势,进程相对领先,各个部门工作中计算机的使用率为100%,电力企业局域网覆盖率90%以上。
2.2营销管理系统广泛应用
电力企业的营销管理系统经过多年的研究探索已基本建成,实现了用电管理信息化、业务受理计算机化,并建立了相应的客户服务中心。
2.3生产、调度自动化系统应用熟练
电力企业信息化建设的重点是提高电网运行质量和电力调度的自动化水平,现阶段,从电力企业发展的自动化水平上来看,其生产已基本达到国际先进水平。
2.4管理信息系统的建设逐步推进
电力企业积极建设管理信息系统,开发了设备、生产、电力负荷、安全监督、营销管理等信息系统,并将企业信息化建设放到重要位置,利用信息化推动企业现代化发展。
3电力企业网络和信息安全管理中存在的问题
电力企业网络和信息安全管理虽然具有以上优势特征,但同样还是存在一定的问题,具体如下:
3.1信息化机构建设不完善
部分电力企业还未设置专门的信息部门,信息科室有的在科技部门下,有的在综合部门下,缺乏规范的制度与岗位设置,这种情况下,势必会影响到网络和信息安全的管理工作。
3.2网络信息安全管理未成为企业文化的一部分
电力网络信息贯穿于生产的全过程,涉及到电力生产的各层面,但是仍然处于从属地,没有纳入电力企业安全文化建设中,进而影响到安全管理的实施力度。
3.3企业管理革新跟不上信息化发展的步伐
电力企业管理革新与信息技术的发展与应用相比还较为滞后,企业不能及时的引入先进的管理与业务系统,导致企业信息系统不能发挥预期的作用。
3.4网络信息安全存在风险
电力企业网络信息安全与一般企业网络信息相比,有共同点,也有自自身的特殊性,实践中必须认真分析研究,具体表现为:①网络的结构不够合理,电力网络建设要求,网络建设要区分外网和内网,且内外部网络要保持物理隔离,但是部分电力企业的核心交换机选择不合理,导致在网络中所有网络用户的地位是平等的,因而很容易出现安全问题。②企业内部风险,由于企业内部网络管理人员对于企业的网络信息结构与系统应用十分熟悉,一旦泄漏重要信息,就会带来致命的信息安全威胁。③现阶段互联网使用存在的风险,目前很多电力企业的网络已经与互联网发生了关系,一些客户甚至可以直接访问电力系统的网络资源,在提供方便之门的同时也要高度关注其可能带来的信息安全和计算软硬件安全风险。④网络管理专业技术人员带来的风险,主要是网络管理人员的素质风险,现阶段电力企业的网络建设还存在重建轻管,重技轻管的问题。出现了诸如专业技术人员综合素质不高,一些安全管理制度不健全、落实不够有力、安全意识不强、管理员配备不当等威胁到电力企业网络信息安全性的问题。⑤计算机病毒侵害,计算机病毒的扩散速度快,网络一旦感染病毒,整个电力网络系统就会处于崩溃的状况。⑥系统出现的安全风险,这方面主要指操作系统、数据库系统以及内部各种应用软件系统等存在的风险,这些系统很容易导致外界的攻击,一些黑客采取专业手段可以很轻易获取管理员权限,实施拒绝服务攻击。
4电力企业网络和信息安全管理对策
4.1建立健全网络和信息安全管理组织架构
网络和信息安全管理实行统一领导、分级管理原则,企业的决策层组成领导小组,由企业各部门的管理者作为安全小组的管理层。网络和信息安全管理实行专业化管理,包含信息安全规划、信息安全监督审计、信息安全运行保障等职能小组。
4.2构建网络和信息安全管理体系框架
在网络信息安全模型与电力信息化的基础上,科学构建网络和信息安全管理体系框架,主要区分信息安全策略、安全运行、安全管理、安全技术措施四个模块,
4.3建立网络信息安全防护对策,合理划分安全域
网络信息安全防护实行双网双机管理,分为信息内网和信息外网,内外网采用独立的服务器及桌面终端,通过逻辑强隔离装置隔离内外网。按照业务类型进行安全区域划分为边界、网络、主机、应用四个层次,实现不同区域防护的差异化及独立性。对于网络安全的核心区域必须实施重点安全防范,比如该区域的服务器、重要数据、数据库服务器,一般用户无法直接访问,安全级别高。电力企业内部计算机和网络技术的应用,划分为管理信息区和生产控制区,建立电力调度数据网专用网络,采用不同强度的安全设备隔离各安全区,数据的远方安全传输采取加密、认证、访问控制等技术手段,实现纵向边界的整体安全防护。
4.4网络信息安全管理制度建设
为确保电力企业网络信息安全,必须做好网络信息安全管理制度建设,具体要做好以下几个方面的内容:①建立计算机资产管理制度、网络使用管理制度、健全变更管理制度,对资产进行标识和管理,执行密码使用管理制度。②实施信息的安全分级保护举措,依据国家相关规定,开展网络信息系统审批、定级、备案工作,严格执行等级保护制度,严格保密核心程序和数据。③做好网络信息安全运行保障管理,对信息系统设备实行规范化管理,及时升级防病毒软件,严格系统变更,及时报告信息系统事故情况,分析原因并落实整改。④建立病毒防护体系,安装的防病毒软件必须具有远程安装、远程报警、集中管理等多种功能,不可将来历不明或是随意从互联网上下载的数据在联网计算机上使用,一旦发现病毒的存在,员工应熟练掌握发现病毒后的处置办法。
4.5信息安全技术保障举措
为切实有效的落实信息安全防护要求,必须根据信息安全等级防护制度落实好“分级、分区、分域”的防护策略,从而更有效的落实信息安全防护预案,根据信息系统定级水平,实施强逻辑隔离措施,做好安全区域的隔离和划分工作。
4.6规范企业人员的管理
规范人员管理首要的是用制度管好人:①企业高层应以身作则,这样员工才可以遵循信息安全管理的要求,由于高层掌握着企业更多的信息资源,密级也高,一旦出现泄漏,会给企业带来更大的损失。②对于关键岗位人员管理要尤其重视,比如:开发源代码人员,直接接触商业机密的人员,从事信息安全管理的人员,需要进行严格管理,定期检查,避免出现“堡垒从内部突破”的机会。③对于离职人员这个群体也不可忽视,必须做好离职人员信息安全审计工作,离职前,必须要求其变更其访问权限,与接手人员一起清点和交接好信息资产,避免信息泄漏事件的发生。④加强与供应商和合作伙伴信息安全的管理,在日常的交流中严格遵守规定,不得随意公开和透露相关信息。
4.7做好对企业信息资产管理分析
依据信息资产价值,实现根据载体性质不同、形式不同、来源不同做好资产的识别,提高企业劳动生产率,强化信息资产观念,树立企业良好形象。全面、系统、科学的管理信息资产,完善资产管理手段。利用信息资产资源使生产力要素保值增值,推动信息资产共享共建,实现实现外源信息资产的再增值,信息资产的再创新。4.8建立信息安全应急保障机制有风险的地方就要有应急预案,对于电力企业网络信息安全尤其应该如此,要不断健全电力企业信息安全预案,确保设备、人力、技术等应急保障资源切实可用,要加强系统的容灾建设,建立恢复和备份管理制度,妥善保存相关的备份记录。
5结束语
电力网络信息安全与企业的生产经营管理密切相关,电力企业网络信息安全涉及到技术与管理,无论是硬件还是软件出现问题都会威胁到整个网络系统,电力企业网络信息安全管理涉及到人、硬件设备、软件、数据等多个环节,所以其必须着眼整个电力企业的网络信息系统加强顶层建设,实施统一规划,搞好统筹兼顾,建立一套完整的信息安全管理体系,切实做好安全防范工作,解决电力企业信息安全管理问题,才能确保电力信息系统安全、稳定、可靠、高效地运行,有效避免安全问题的存在,保证电力企业的正常生产经营。
参考文献
[1]何隽文.电力企业网络和信息安全管理策略思考[J].中国高新技术企业,2016,28.
[2]郭建,顾志强.电力企业信息安全现状分析及管理对策[J].信息技术,2013,01.
[3]牛斐.电力企业网络信息安全的防范措施[J].科技传播,2012,16.
[4]吴青.浅析网络信息安全管理在电力企业中的应用[J].中国新通信,2013,23.
[5]向继东,黄天戊,孙东.电力企业信息网络安全管理[J].电力系统自动化,2003,15.
企业信息安全管理体系篇5
【关键词】新版iSo27000;软件行业;信息安全管理体系;pDCa模型
BasedonthenewiSo27000totheUnderstandingoftheSoftwareindustry,informationSecurity
wenYan-geChenwen-ewangGang
(tianjinUniversityofCommercetianjin300134)
【abstract】theeffectivecorporatesecuritysystemwillbecomethebasicrequirementofmodernenterprisedevelopment.asthesoftwareindustry,goodinformationsecuritysystemwasthecoreofenterprisecompetitiveness.thisarticlefromtheiSo27000redesignisinterpretedaccordingly-theenterprisewillhowtoadjustandimprovetheirinformationsecuritymanagementsystemtothenewstandardandnewcontrolmeasures.
【Keywords】thenewiso27000;softwareindustry;informationsecuritymanagementsystem;thepdcamodel
1引言
如今随着信息化的步伐日益加速以及信息相关技术的飞猛发展,信息资源也日渐成为所有企业维持正常运转的重要资源。信息以及载体信息系统、网络等已经成为了企业生存和发展的重要资产。然而企业的信息安全和数据泄露仍然是企业管理者关注的主要问题之一。大部分企业基于企业实际情况,通过引入国际信息安全管理体系iS027000以及通过最佳的业务实践,建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系(即iSmS),实现对信息安全的预控、在控、可控、能控。
而随着2013年的iSo27000的改版,各行各业势必会根据自身信息安全的情况对信息安全体系作出调整。本文将针对软件行业在调整下的信息安全管理体系下,如何更好地保持和改进信息安全体系作出解读,使企业更好地依据标准体系和方法论,制定出符合企业长久发展的信息安全管理体系。
2iSo标准
2.1iSo标准及变化
iSo/ieC27000(informationSecuritymanagementSystemFundamentalsandVocabulary)是信息安全管理体系基础和术语,iSo/ieC27000提供了iSmS标准族中所涉及的通用术语及基本原则,是iSmS标准族中最基础的标准之一。最新版本于2013年9月25日。
相对于2005版,新版本对于iSmS建立的基础进行了调整和明确,相较于2005年版本以资产和技术为主题,新版标准则把更多的目光投向组织业务关系,更多地考虑到组织自身及利益相关方的需求,这也是时展的整体趋势。新版控制措施iSo27002从旧版的11个领域更新为14个领域,删除了旧版中一些重复的和操作级的控制项。具体是旧版通信与操作管理被划分成为两个独立的领域操作安全和通信安全,足以见新版对这两个领域的重视;新增密码学和供应关系两个独立领域。新版iSo27001将旧版中4.1章节即有关建立和管理iSmS的总要求独立成出来;为了使逻辑性更加严谨,人力资源安全、资产管理以及访问控制位置发生一定改变;从章节上讲,由8个章节拓展到10个章节,重新构建了iSo标准pDCa的章节构架。
2.2关于pDCa模型
此处对于pDCa模型以及新版标准的划分做一简单说明:pDCa模式是国际认可的模型,很多著名的标准和管理体系都遵循这一模式。该模型是一个很好的周期性框架,每个阶段都与其他阶段相关联。
pDCa模型分别由四部分组成:p(plan)――建立iSmS,根据组织的整体策略和目标,确定活动的计划,包括第四至七章(组织背景、领导力、计划、支持);D(Do)――实施和运作iSmS,实际地去完成计划中的内容,包括第八章(运行);C(Check)――监视和评审iSmS,总结实施和运作的结果,查找问题,包括第九章(绩效评价);a(action)――保持和改进iSmS,对评审的结果做出处理,成功的经验要进行保持和推广,失败的教训要寻找原因,避免下次再出现同样的错误,没有解决的问题放到下一个pDCa循环中,包括第十章(改进)。
pDCa模型是管理学中常用的一个模型。该模型在运作过程中,按照p-D-C-a的顺序依次进行,一次完整的循环可以看作是管理学上的一个管理周期,每经过一次循环,管理情况就会得到改善,同时进入更高的p-D-C-a周期循环,组织的管理体系不断的得到提升,管理水平也不断提高。而这四个步骤成为一个闭环,通过这个环的不断运转,使信息安全管理体系得到持续改进,使信息安全绩效螺旋上升。
新的内容将使企业的侧重点不同,从上面的论述中明显可以看出新标准在企业建立信息安全体系之前加重了对企业内外环境信息安全的重视,在构建信息安全体系之前需要企业全方位考虑其组织环境、企业资源、管理现状,了解其发展所面临的机遇与风险,从而高标准、高精度、高要求来对待信息安全管理工作。
对于软件行业来说,信息安全体系已初步建立和实施,主要是监视评审并持续改进自身信息安全体系的工作――pDCa模型的C和a。
3软件行业信息安全现状及新标准变化下应对策略
软件行业是对信息安全要求最高的行业,也是企业引入国际信息安全管理体系iS027000通过认证最多的行业。前面已经提到,软件行业已经初步建立和实施自己的信息安全体系,面对新版iSo27000的要求,大刀阔斧地重新开始构建体系势必会给企业带来大的浪费和困扰。因此,在新的要求下如何监视并改进iSmS是软件行业中企业面临的最大的问题。iSo27001新标准中把旧版4.1独立成章作为建立体系之前的组织环境的了解,将原来的领导力、可实现信息安全的计划、资源等的支持都放入构建iSmS之前,也就是说软件行业在监控并改进信息安全管理体系上要从这些方面完善自身。而这些方面在其信息安全管理措施上简单归纳为两个方面:管理和技术。企业需要通过管理和技术的双方面进行控制和管理来改善信息安全体系。
3.1管理角度分析
从管理角度考虑,企业信息安全管理体系中所需采取的安全管理方面的措施主要包括物理安全管理、数据安全管理、人员安全管理、软件安全管理、运行安全管理、系统安全管理、技术文档安全管理,通过对风险的技术性控制和管理的实施、部署后,在风险控制管理中能保证防御大量存在的威胁,技术性的控制管理手段不仅包括从简单直至复杂的各种具体的技术手段,还包括系统架构、系统培训以及一系列的软件、硬件的安全设备,这些措施和方式应该配套使用,从而保护关键数据、敏感信息及信息系统的功能。而这些也是iSo27001中第四章组织的背景、第五章领导力、第六章计划、第七章支持对企业的具体要求。
主要管理措施可以从几个方面出发。
(1)建立信息安全管理体系监督机制、在体系运行期间,要进行有效的检查、监督、反馈和沟通,保证信息安全管理体系能够按照公司制订的方针策略,满足公司业务的需求。
(2)根据企业自身的特点,制订可行的奖惩制度,将信息安全的管理纳入到绩效考核,直接与工作和奖金挂钩,将对违反信息安全管理体系规定进行惩罚。
(3)建立内部审核制度,各部门应按照信息安全管理体系的要求,进行自查和由负责部门进行随时抽查,并在每年定期组织检查,对表现好的单位给予嘉奖,同时对违反的单位进行惩罚,并进行公示;同时对信息安全审计、安全事件处理和外部组织进行反馈沟通,检查信息安全管理体系的有效性和合理性。
(4)考虑组织和技术等的变化对信息安全管理体系的影响,应实时更新相关的规章制度,具体变化情况如:组织变化、技术变革、业务目标流程的改变、新的威胁和风险点的出现、法律法规的变化等;通过不断的优化和改善,使信息安全管理体系能够永远适合企业业务的需要。
3.2技术角度分析
新版iSo270002控制措施中新增和调整了一些措施,涉及信息系统开发、信息安全事件管理、业务连续性管理等部分,这些要求对软件行业中企业的具体实行至关重要。从技术角度考虑,软件行业企业信息安全管理体系中所需采取的安全技术体系包括几个方面。
3.2.1物理环境安全信息系统硬件安全
这是无论旧版控制措施还是新版都没有丝毫改变的控制项,也是软件行业中企业应加强管理的基础。在公司的信息系统硬件管理上,首先对机房的硬件环境进行安全管理,包括温度、湿度、消防、电力等安全管理,对关键的应用需要采取UpS供电,同时采取相应的备份,对硬件的使用率进行实时地监控,避免硬件的使用率过高造成业务持续性的影响,另外需要对硬件的物理环境进行监控,避免非法人员的进入,同时也是对管理员的日常行动进行监控,最后需要对机房人员和物品的出入进行权限的管理和等级制度。
3.2.2操作系统与应用程序安全
这是新版控制措施新增的安全开发策略和系统开发程序等对企业新的要求,保证操作系统与应用程序的安全会保护企业在系统开发和集成工作的安全开发环境,使企业整个开发周期安全。
(1)操作系统安全。除了进行必要的补丁和漏洞的管理和更新外,最主要的是进行防病毒管理,通过杀毒软件来防止非法的木马、恶意代码、软件对操作系统的安全影响;应用程序安全――直接关系信息系统的安全性,通过硬件、软件的安全保护来保证应用程序的安全。
(2)密码算法技术。密码学在新版控制措施中独立成为一个领域,这就是企业必须要引起重视的理由,密码算法技术,密码算法技术应用主要是确保信息在传送的过程中不被非法的人员窃取、篡改和利用,同时接收方能够完整无误的解读发送者发送的原始信息。
(3)安全传输技术与安全协议技术。这是针对新增供应关系领域企业需要加强的技术。为减缓供应商以及其他用户访问企业资产带来的风险,对于重要的系统和对外的访问,进行安全的传输技术,以此来保证信息在传输过程中的安全,避免被非法用户窃取、篡改和利用。
(4)安全协议技术。主要是指身份认证功能,目前企业系统的安全保护主要都是依赖于操作系统的安全,这样入侵系统就非常容易,因此需要建立一套完善的身份认证系统,其目的是保证信息系统能确认系统访问者的真正身份,身份认证协议都是使用数据加密或数字签名等方法来确认消息发送方的身份。
(5)信息处理设备冗余部署。这在新版控制措施第十七章信息安全方面的业务连续性管理中作为新增的控制措施,要求企业识别信息系统可用性的业务需求,如果现有系统框架不能保证可用性,应该考虑冗余组建或架构。在适当情况下,对冗余信息系统进行测试,保证在发生故障时可以从一个组件顺利切换到另外一个组件。
4结束语
信息安全管理体系的建设改进工作是持续进行的,是会随着公司业务的发展、技术的更新、以及新标准的要求等不断变化的。它需要采用科学的方法来保证体系的持续稳定运行,从而使信息安全管理体系化、常态化的保持下去。而新版iSo27000在信息安全体系的工作上,使各行各业都有了新的指导。本文主要针对软件行业做出一定解读。总体来讲,我们需要对己经建立的信息安全管理体系进行监督、完善、优化,这实际上还是要求企业贯彻执行pDCa模型,无论从管理还是具体操作上不断进行pDCa循环,才能使得企业信息安全管理体系不断改进和优化。
参考文献
[1]高仁斗.企业安全工作中存在的问题与对策[J].中国职业安全卫生管理体系认证,2004(05).
[2]蒋永康,朱冬林,潘丰.我国中小企业法律法规体系建设现状及对策[J].管理工程师,2012(06).
[3]杨爱民.电子商务安全的现状及对策探讨[J].科技资讯,2006.6.
作者简介:
文艳阁(1993-),女,山西孝义人,天津商业大学,本科(在读)。
企业信息安全管理体系篇6
衡量安全管理体系的风险主要方法是进行信息安全风险的评估,以此保障信息资产清单和风险级别,进而确定相应的防控措施。在石化销售企业进行信息安全风险的评估过程中,主要通过资金、威胁、安全性等识别美容对风险进行安全检测,同时结合企业自身的实际情况,拟定风险控制相应的对策,把企业内的信息安全风险竟可能下降到最低水平。
(一)物理存在的风险机房环境和硬件设备是主要的的物理风险。当前,部分企业存在的风险有:1)企业机房使用年限过长,如早期的配电、布线等设计标准陈旧,无法满足现在的需求;2)机房使用的装备年限太长、例如中央空调老化,制冷效果不佳导致温度不达标,UpS电源续航能力下降严重,门禁系统损坏等,存在风险;3)机房安全防护设施不齐全,存在风险。
(二)网络和系统安全存在的风险石化访问系统的使用和操作大量存在安全风险,其中主要风险包括病毒入侵、黑客袭击、防火墙无效、端口受阻以及操作系统安全隐患等。即使大部分企业已安装统一的网络防病毒体系、硬件防火墙、按期更新网络系统软件、安装上网行为监控等,但因为系统漏洞数目不断增多网络结构和袭击逐渐减弱或者因为信息系统使用人员操作系统本身的安全机制不完善、也会产生安全隐患。
(三)系统安全风险没有经过许可进行访问、数据泄密和被删改等威胁着系统的安全性。提供各类应用服务是企业信息系统的首要任务,而数据正是应用信息系统的核心,因此,实际应用与系统安全风险密切联系。当前,信息应用系统存储了大量的客户、交易等重要信息,一旦泄露,造成客户对企业信任度影响的同时也会影响企业的市场竞争力。
(四)安全管理存在的风险安全管理存在的主要指没有同体的风险安全管理手段,管理制度不完善、管理标准没有统一,人员安全意识薄弱等等都存在管理风险,因此,需要设立完善的信息系统安全管理体系,从严管理,促使信息安全系统正常运作。一方面要规范健全信息安全管理手段,有效较强内控it管理流程控制力度,狠抓落实管理体系的力度,杜绝局部管理不足点;另一方面,由于信息安全管理主要以动态发展的形式存在,要不断调整、完善制度,以符合信息安全的新环境需求[2]。
二、信息安全管理体系框架的主要构思
信息安全管理体系的框架主要由监管体系、组织体系和技术体系形成,特点是系统化、程序化和文件化,而主要思想以预防控制为主,以过程和动态控制为条件。完善安全管理体系,使石化销售企业信息系统和信息网络能够安全可靠的运作,从机密性、完整性、不可否认性和可用性等方面确保数据安全,提升系统的持续性,加强企业的竞争力。
(一)组织体系企业在完善管理体系过程中应设立信息安全委员会和相关管理部门,设置相应的信息安全岗位,明确各级负责的信息安全和人员配置等内容。在全面提升企业人员对信息安全了解的过程中必须进行信息安全知识的相关培训,使工作人员提高信息安全管理意识,实现信息安全管理工作人人有责。
(二)制度体系操作规范、安全策略、应急预案等各项管理制度经过计划和下发,让信息安全管理有据可依。企业参照合理完善的各项制度进一步优化业务流程,规范操作行为,降低事故风险,提升应急能力,以此加强信息安全的管理体系。
(三)技术体系管理技术、防护技术、控制技术是信息安全管理体系的主要技术基础。安全技术包括物理安全技术、网络安全技术、主机安全技术、终端安全技术、数据安全、应用安全技术等。一旦出现信息安全事件,技术体系会在最短的时间内降低事件的不良影响,依靠相关的信息安全管理技术平台,以实现信息安全技术的有效控制[3]。管理体系的核心是技术手段,先进的加密算法和强化密钥管理构成的数据加密方式全程控制数据传输和数据存储,可以保证数据的安全性。采用堡垒机、防火墙等安全系统可以过滤掉不安全的服务和非法用户,防止入侵者接近防御设备。iDS作为防火墙的重要功能之一,能够帮助网络系统快速检测出攻击的对象,加强了管理员的安全管理技术(包括审计工作、监视、进攻识别等技术),提高了信息安全体系的防范性。企业数据备份这一块可以采用双机热本地集群网、异地集群网等各种形式进行网络备份,利用体统的可用性和容灾性加强安全管理能力。近年来各个企业的恶意软件、攻击行为手法变化多端很难防御,在各种压力下,传统的的安全防预技术受到了严峻的考验,这时“云安全”技术当之无愧成为当今最热的安全技术。“云安全”技术主要使用分部式运算功能进行防御,而“云安全”技术对于企业用户而言确实明显的保障了信息的安全性以及降低客户端维护量。“云安全”技术是未来安全防护技术发展的必由之路,且今后“云安全”作为企业安全管理的核心内容为企业的数据、服务器群组以及端点提供强制的安全防御能力。”
三、信息安全管理体系相关步骤
由于管理体系具有灵活性,企业可依据自身的特点和实际情况,使用最优方案,结合石化销售的特征,提出以下步骤:1)管理体系的重要目标;2)管理体系的主要范畴;3)管理体系现状考察与风险估量;4)完善管理体系的制度;5)整理管理体系的文档;6)管理体系的运行方式;7)信息安全管理体系考核。
四、结论
企业信息安全管理体系篇7
1.销售系统设施建设。
硬件方面,各石油销售企业都具有设施完善的中心计算机系统,供电采用UpS方式,采用“双机热备”的核心服务器工作模式,以确保整个硬件的可靠性和安全性;网络方面,采用SDH光纤接入广域网,包括接入层、汇聚层、核心层。核心层中路由器和交换机采用双机模式,设备之间,层层之间以光纤方式连接,以均衡网络负载。除了安装必备的防火墙,部分企业为进一步提高安全防范能力还安装了外网入侵检测系统;大多数加油站采用SSLVpn方式访问企业内部网,以保证网络接入的安全性。在pC系统方面,大多数企业统一安装了企业版的病毒防护软件系统和桌面安全网络接入系统,实现pC机的maC地址绑定。
2.销售系统信息化建设。
目前,企业的销售信息系统主要包括:加油卡系统、办公自动化系统、加油站零售管理系统、企业门户网站、eRp系统等。信息系统具有如下特点:一是用户众多,几乎所有企业管理人员都是各系统用户;二是应用领域广,涉及企业经营、管理、对外服务诸多方面;三是要求连续运转,如eRp系统必须满足7×24小时运转。由于信息系统的安全运转不仅关系到企业经营管理的可持续性,其数据的安全性和保密性更关系到广大客户的利益。所以,基于上述的原因,企业对销售信息系统的安全运转提出了更高的要求。
3.销售系统的信息安全现状。
石油销售管理系统是关系国家安全、经济命脉、社会稳定的重要信息系统,国家对其信息安全高度重视,并在《2006-2020年国家信息化发展战略》中强调,我国要全面加强国家信息安全保障体系的建设,大力增强国家信息安全保障能力,实现信息化建设与信息安全保障的协调发展。同时,国内石油销售企业也长期重视信息安全工作,逐步建立了相应的保障体系和规章制度,但还存在以下问题:
(1)范围涉及广泛。
石油销售企业分支机构多,终端运营组织庞大且分散,以中石油集团为例,其截至2013年分布在全国的加油站已超过30000座。在如此庞大的销售系统中,信息网络承载着指导业务运行的重要功能。大量、分散部署的加油终端,必然会造成联网方式的多样化、网络环境的复杂化。
(2)设备系统众多。
石油销售企业信息化管理系统中所涉及的设备精度髙、技术要求深,并且范围广泛,包括加油站、油库等大量的自动化控制系统。因此,业务管理流程复杂,安全风险增大。
(3)人员素质不齐。
由于石油销售属于传统行业,因此企业人员年龄跨度较大,对信息安全管理的职业组织参差不齐;甚至对于企业管理人员,对于信息安全的认识也多停留在纸上谈兵;基层人员众多,且直接面对客户,流动性大,信息泄露风险极高。而且新生代的企业员工对计算机和网络接触早,应用水平高,日常使用频繁,在缺乏网络安全防护意识的情况下更易导致信息泄漏,甚至在好奇心理的鼓动下主动发起网络攻击行为,所以企业内网安全也成为一个突出的问题。
(4)资金投入有限。
国外企业在信息安全方面的资金投入达到了企业整体基建的5%-20%,而我国企业基本都在2%以下。全世界每年因信息安全方面的漏洞导致的经济损失达数万亿美元,中国的损失也达到了一百亿美元以上,但是中国企业在这方面的投资只有几十亿美元。因此,我国企业整体信息化安全建设预算不足。石油企业信息化工程是一项繁重的任务,需要在信息安全方面有更大的投入。大型油企需要建立复杂庞大的数据库备份体系,建立并维护高效的网络杀毒系统、企业级防火墙、iDS、ipS系统和完善的补丁更新及发放机制,以保证企业各方面的数据安全。建立这一复杂的系统需要大量的资金投入,而且其投入回报慢,因此石油企业普遍轻视这方面的投入和维护,信息安全建设相对于企业的发展整体滞后。
二、石油销售系统的信息安全管理系统设计
石油销售系统的信息安全管理系统是一个程序化、系统化、文件化的管理体系,以预防控制为主,强调动态全过程控制。建立相应的信息安全管理系统,需要从物理、信息、网络、系统、管理等多方面保证整体安全;建立综合防范机制,确保销售信息安全以及加油卡、epR等电子销售系统的可靠运行,保障整体信息网络的安全、高效、可靠运转,规避潜在风险,供系统的可靠性和安全性。因此,石油销售系统的信息安全管理系统构架分为以下组成:
(1)组织层面。
石油销售部门应建立责任明确的各级信息安全管理组织,包括信息安全委员会、信息安全管理部门,并通过设立信息安全员,指定专人专项负责。通过这些部门和负责人开展信息安全认知宣传和培训,提高企业员工对信息安全重要性的认识。
(2)制度层面。
制定安全方针、安全管理制度、安全操作规程和突发事件应急预案等一系列章程,经科学性审核和测试后下发各级部门,提升企业的信息安全管理的效能,减少事故发生风险,提高应急响应能力。
(3)执行层面。
信息安全管理部门应当定期检查和随机抽查相结合,监督安全制度在各级部门的执行情况,评估安全风险,负责pDCa的循环控制。
(4)技术层面。
信息安全管理部门要提供安全管理、防护、控制所需的技术支持,全面保障企业整体信息安全管理系统建设。通常信息安全技术分为物理安全、网络安全、主机安全、终端安全、数据安全以及应用安全等六个方面,主要包括监控与审核跟踪,数据备份与恢复,访问管理与身份认证,信息加密与加固等具体技术措施。通过有效的信息安全管理平台和运作平台,在最短时间内对信息安全事件进行响应处理,保障信息安全管控措施的落实,实现信息安全管理的目标。
三、结语
企业信息安全管理体系篇8
关键词:分布式;信息安全;规划;方案
中图分类号:tp309.2文献标识码:a文章编号:1009-3044(2008)36-2848-03
aninformationSecurityprogramforaDistributedenterprise
GUoYong,CHenRong-sheng,ZHanGui-bao,ZenGZhong-cheng,LUteng-zu,LiZhuang-xiang
(FujianXindongnetworktechnologyCo.,Ltd.Fuzhou350003,China)
abstract:Basedonthespecificconditionsofthedistributedenterprise,informationsecurityarchitectureinaccordancewiththerelevantstandards,adistributedenterpriseinformationsecurityplanningprinciplesandobjectives.andbasedontheprinciplesandobjectivesofthemeeting,accordingtotheorganization,managementandtechnicalaspectsofthreespecificdesignspecificationswiththeprinciple.Finally,basedontheobjectiveofplanningservices,acategoryofinformationdistributedenterpriseinformationsecurityservices,planninganddesignexamples.
Keywords:distributed;informationsecurity;planning;program
1引言
据来自eweek的消息,市场研究机构Gartner研究报告称,很对企业目前仍缺乏完整的信息安全规划和规范。尽管目前很多企业在信息安全方面的投入每年都在缓慢增长,但由于推动力以外部法律法规的约束和商业业务的压力为主,因此他们对安全技术和服务的选择和使用仍停留在一个相对较低的水平。尤其对于机构构成方式为分布式的企业而言,因为信息安全需求和部署相对更加复杂,投入更多,因此这类企业的信息安全规划就更加缺乏。
本文根据这类分布式企业的特点提出了一种符合该类企业实际的信息安全规划方案。
2总体规划原则和目标
2.1总体规划原则
对于分布式企业的信息安全规划,要遵守如下原则:适度集中,控制风险;突出重点,分级保护;统筹安排,分步实施;分级管理,责任到岗;资源优化,注重效益。
这个原则的制定主要是根据分布式企业的实际机构构成情况、人员素质情况以及资源配置情况来制定的。
2.2总体规划目标
信息系统安全规划的方法可以不同、侧重点可以不同,但是需要围绕组织安全、管理安全、技术安全进行全面的考虑。信息系统安全规划的最终效果应该体现在对信息系统与信息资源的安全保护上,下面将分别对组织规划、管理规划和技术规划分别进行阐述。信息安全规划依托企业信息化战略规划,对信息化战略的实施起到保驾护航的作用。信息系统安全规划的目标应该与企业信息化的目标是一致的,而且应该比企业信息化的目标更具体明确、更贴近安全。信息系统安全规划的一切论述都要围绕着这个目标展开和部署。
3信息安全组织规划
3.1组织规划目标
组织建设是信息安全建设的基本保证,信息安全组织的目标是:
1)完善和形成一个独立的、完整的、动态的、开放的信息安全组织架构,达到国际国内标准的要求;
2)打造一支具有专业水准的、过硬本领的信息安全队伍。对内可以保障企业内部网安全,对外可以向社会提供高品质的安全服务;
3)建设一个“信息安全运维中心(SoC)”,能够满足当前和未来的业务发展及信息安全组织运转的支撑系统,能够对外提供安全服务平台。
3.2组织规划实施
对于组织规划这个方面,是属于一个企业信息安全规划的上层建筑,需要用一种由上而下的方法来实现,其主要是在具体人事机制、管理机制和培训机制上做工作。对于分布式企业而言,需要主导部门从上层着手,建章立制,强化安全教育,加大基础人力、财力和物力的投入。
4信息安全管理规划
4.1管理规划目标
信息安全管理规划的目标是,完善和形成“七套信息安全软措施”,具体包括:一套等级划分指标,一套信息安全策略,一套信息安全制度,一套信息安全流程规范,一套信息安全教育培训体系,一套信息安全风险监管机制,一套信息安全绩效考核指标。“七套信息安全软措施”关系如图1所示。
4.2信息安全管理设计
基于对管理目标的分析,信息安全管理的原则以风险管理为主,集中安全控制。管理要素由管理对象、安全威胁、脆弱性、风险、保护措施组成。
4.2.1信息安全等级划分指标
信息安全等级保护是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化健康发展的基本策略。
4.2.2信息安全策略
信息安全安全策略是关于保护对象说明、保护必要性描述、保护责任人、保护对策以及意外处理方法的总和。
4.2.3信息安全制度
信息安全制度是指为信息资产的安全而制定的行为约束规则。
4.2.4信息安全规范
信息安全规范是关于信息安全工作应达到的要求,在信息安全规范方面,根据调查,建立信息安全管理规范、信息安全技术规范。其中,安全管理规范主要针对人员、团队、制度和资源管理提供参照性准则;信息安全技术规范主要针对安全设计、施工、维护和操作提供技术性指导建议。
4.2.5信息安全管理流程
信息安全流程是指工作中应遵循的信息安全程序,其目的是减少安全隐患,降低风险。
4.2.6信息安全绩效考核指标
信息安全绩效考核指标是指针对信息安全工作的质量和态度而给出的评价依据,其目的是增强信息安全责任意识,提高信息安全工作质量。
4.2.7信息安全监管机制
信息安全监管机制是指有关信息安全风险的识别、分析和控制的措施总和。其主要目的加强信息安全风险的控制,做到“安全第一,预防为主”。
4.2.8信息安全教育培训体系
其主要目的加强的信息安全人才队伍的建设,提高企业人员的信息安全意识和技能,增强企业信息安全能力。
5信息安全技术规划
5.1技术规划目标
信息安全技术规划目标简言之是:给业务运营提供信息安全环境,为企业转型提供契机,构建信息安全服务支撑系统。具体目标如下:
1)打造信息安全基础环境,调整和优化it基础设施,建立安全专网,设置两个中心(信息安全运维中心、灾备中心);
2)建立一体化信息安全平台,综合集成安全决策调度、安全巡检、认证授权、安全防护、安全监控、安全审计、应急响应、安全服务、安全测试、安全培训等功能,实现的集中安全管理控制,快速安全事件响应,高可信的安全防护,拓展企业业务,开辟信息安全服务新领域。
5.2信息安全运维中心(SoC)
SoC是信息安全体系建设的基础性工作,SoC承载用于监控第一生产网的安全专网核心基础设施,提供信息安全中心技术人员的办公场所,提供“7×24”小时连续不断的安全应用服务,提供实时监控、远程入侵发现、事件响应、安全更新与升级等业务,SoC要求具有充分保障自身的安全措施。除了SoC的组织建设、基础工程外,SoC的技术性工作还要做以下几个方面:
1)硬件基础建设,主要内容是SoC的选址、布局、布线、系统集成,实现SoC自身的防火、防潮、防电、防尘、安全监控功能;
2)软件基础建设,包括SSS系统、机房监控子系统、功能小组及中心组划分。
图1信息安全软措施关系
图2信息安全总体框架
图3资产、组织、管理和安全措施的关系
5.3信息安全综合测试环境
随着分布式企业信息化程度的日也加深,需要部署到大量it产品和应用系统,为了保障安全,必须对这些it系统和产品做入网前安全检查,消除安全隐患。基于此,综合测试环境建设的内容包括:安全测试网络;测试系统设备;安全测试工具;安全测试分析系统;安全测试知识库。
其中,安全测试网络要求能够模拟企业网络真实的带宽;测试系统设备能够提供典型的网络服务流量模拟、典型的应用系统流量模拟;安全测试工具覆盖防范类、检测类、评估类、应急恢复类、管理类等,并提供使用说明、漏洞扫描、应用安全分析;安全测试分析系统能够提供统计分析、图表展现功能;安全知识库包含以下内容:漏洞知识库,补丁信息库,安全标准知识库,威胁场景视频库,攻击特征知识库,信息安全解决案例库,安全产品知识库,安全概念和术语知识库。
5.4安全平台建设规划
参照国际上pDRR模型和国家信息安全方面规范,建议信息安全总体框架设计如图2所示。
主要目的,以资产为核心,通过安全组织实现资产保护,以安全管理来约束组织的行为,以技术手段辅助安全管理。其中,资产、组织、管理、安全措施的关系如图3所示,核心为资产,围绕资产是组织,组织是管理,最外层是安全措施。
在平台中集成十个安全机制,它们分别是:信息安全集中管理;信息安全巡检;信息安全认证授权;信息安全防护;信息安全监控;信息安全测试;信息安全审核;信息安全应急响应;信息安全教育培训;信息安全服务。
6信息安全服务业务规划
6.1服务业务规划目标
信息安全服务业务规划目标简言之是:以信息安全服务为切入点,充分发挥企业优势资源,引领信息安全市场,为企业转型创造时机。具体目标如下:
1)推出面向客户安全(检查、教育、配置)产品;2)推出面向大型企业的信息安全咨询产品;3)推出面向家庭安全上网产品;4)推出面向企业安全运维产品;5)推出面向企业灾害恢复产品。
6.2服务业务规划设计
服务业务规划主要针对具体业务而言,在此列举信息类分布式企业业务作为示例:
1)信息安全咨询类产品,其服务功能主要有:信息安全风险评估;信息安全规划设计;信息安全产品顾问。
2)信息安全教育培训类产品,其服务功能主要有:提供信息安全操作环境;提供信息安全知识教育;提供信息安全运维教育。
3)家庭类安全服务产品,其服务功能主要有:推出“家庭绿色上网”安全服务;家庭上网防病毒服务;家庭上网机器安全检查服务;家庭上网机数据备份服务。
4)企业类安全服务产品,其服务功能主要有:企业安全上网控制服务;企业安全专网服务;安全信息通告;企业运维服务。
5)容灾类安全服务产品,其服务功能主要有:面向政府数据灾备服务;面向政府信息系统灾备服务;面向企业数据灾备服务;面向企业信息系统灾备服务。
7结束语
通过结合分布式企业的具体实际,按照信息安全体系结构相关标准,提出了分布式企业的信息安全规划原则和目标。并依据次原则与目标,按照组织、管理和技术三个方面提出了具体的实现与设计规范原则。最后,依据服务规划目标,提出了信息类分布式企业的信息安全服务规划设计实例。
参考文献:
[1]周晓梅.论企业信息安全体系的建立[J].网络安全技术与应用,2006,3:62~64,57.
[2]HaroldF.tipton,mickiKrause.informationSecuritymanagementHandbook[m].Fifthedition.US:auerbachpublications,2004.
[3]魏永红,李天智,张志.网络信息安全防御体系探讨[J].河北省科学院学报,2006,23,(1):25~28.
[4]张庆华.信息网络动态安全体系模型综述[J].计算机应用研究,2002,10:5~7.
[5]iSo/ieC15408,13335,15004,14598,信息技术安全评估的系列标准[S].
[6]BS7799-1,7799-2,iSo/ieC17799,信息安全管理系列标准[S].
[7]BS7799-2,informationSecuritymanagementSystems-SpecificationwithGuidanceforuse[S].
[8]李玮.运营商it系统网络架构的安全域划分[J].通信世界,2005,30:41~41,45~45.
企业信息安全管理体系篇9
在21世纪的社会发展新时代,网络、计算机、信息技术被大量的企业纳入到自身的生产经营管理之中,在基本运行中会涉及到企业众多的机密文件和信息,直接关系的企业的发展运行,所以,一旦出现安全问题就会对企业产生重要的影响。
所以,在不断深化的应用中,企业开始注重对信息安全的管理,并通过多样化的技术手段和方式来进行强化,但是这样的方式决定了对安全管理的有效性不能进行合理的把握和控制,并且对整体的安全水准也没有实现准确的衡量。所以,如果企业只是强化了信息安全在技术方面的建设,而并没有开展有效的安全管理评估工作,就会使信息安全系统在整体的规划中存在缺陷和漏洞,所以,进行信息安全管理的有效性测量是极为重要的。
企业也逐渐认识到其重要性,使得近年来,我国企业对于信息安全有效性的测量需求不断增多,但是,在这方面我国起步较晚,存在着很多不足和缺陷,这就需要在有效的研究中寻找适当的方法来提升测量的整体有效性。
一、信息安全管理有效性测量的目的
通过实现有效性的测量,能够真实评估和反映企业信息安全管理的整体水平,以使企业在后续的信息安全管理中有明确的发展目标和整体方向。企业进行信息系统的建立时,往往会依据企业自身的发展需求、信息组成、安全标准、组织结构、利益关系等方面的需求进行,进而构筑相应的信息安全的整体体系和相关模型。
通过对企业的信息安全管理进行有效性的测量,可以在技术的管理支撑下客观真实的反映企业信息管理的整体性评估,会能实现对企业信息安全管理目标的运行程度进行说明,并能对企业信息安全管理的系统效能开展准确科学的评测,为企业提供进行信息安全管理考核的基本依据[1]。
就企业的整体发展实际来看,如果不开展信息安全管理的有效性测量,会使企业的整体管理水平只依赖于基本测评状态下的运行管理水平,难以同真实的信息安全运行环境相脱离,造成企业在安全管理过程中的漏洞和误差,使得企业在正常的运营和发展中的实际需求同所进行信息安全管理的整体水平不相一致,并且在对基础环节下的表面数据有所依赖时,并不能发现运行中的不足和缺陷,更遑论进行有效合理的解决,极大化的为企业的发展运行埋下了信息安全的运行隐患。
而通过有效性的测量活动,能够准确的将企业在信息安全方面的漏洞进行定位,并且还能够有效指导基本的解决策略,有效保障企业信息管理系统的整体安全和有效。
二、信息安全管理有效性的测量方法
在开展信息安全管理有效性的测量时,需要对进行测量的指标进行量化的处理,并最终形成具有实际可行性的量化测量指标。在测量中,不同的指标则需要不同的测量方法来进行,一般而言,具有风险分析、问卷调查、内部审核、渗透性测试、个人访谈、内外对比、风险评估、报表统计等不同的方法。
通过不同指标的不同测量之后,能够得得出各个指标的测度结果,在此基础上再根据不同的技术需要对结果进行科学有效的取值管理,给各个指标赋予不同的安全分险权重,然后综合计算企业信息安全管理有效性的整体水平[2]。比如在进行信息安全管理整体运行的有效性测量时,在对基本技术要求进行测量评估时,还需要对企业的环境安全、人员安全、业务联系、安全意识、事件管理等开展管理有效性的评估,以保障最终结果的综合有效性。
在信息安全管理有效性的测量发展中,相关专业机构提出了同通过整体的系统模型来实现信息系统的整体安全性的方法。通过信息安全测量模型的建立,将信息系统运行中需要进行安全检测的对象中的某一些属性在通过一系列的检测管理过程之后,得出最后的测量结果,其中最为重要的就是测量方法和基本测度。将测量对象的多个属性应用不同的测量方法之后就能够得到基本测度,而基本测量方法的获取是通过多样化的数据资源进行测量对象的数据获取,比如风险评估结果、日志报表统计记录、调查表、测量结果等途径。
就我国当前进行信息安全管理有效性测量的方式而言,在设定环节相对复杂和冗余,但在基本的项目实践中得出如下的基本运行方法:
2.1审计监控系统回顾
在进行检测时,需要尽可能的发现各个环节所存在违反和潜在信息安全的现象和事件,以实现有效的防治,实现影响的最小化[3]。
2.2纠正预防措施验证
对已经纳入整体有效性测量计划的纠正预防措施,在开展检测时进行检查和回顾,以保证检验过程中对于信息安全管理系统所采取的各项措施是否合乎当下的现状和企业具体要求。
2.3信息安全事故统计
主要是对已经发生过的安全事件进行统计和分析,以为检测的有效性提供更加高效合理的方法指引,以实现进行更高角度的评估以及在控制措施方面的有效性。
这样的方式是将基本的计划和检测方式实现了有效的结合,并在各种方法的支撑下,实现综合型的检测,做到有效的预防和纠正,从不同的层面反应了进行信息安全检测的有效性,并保障整体运行体系的完整有效性,进而形成一个有效的良性循环。
三、结束语
就我国的整体实际而言,信息安全管理有效性的测量方法,还处于基础的起步阶段,而且相关的各项理论研究和测量指标等也均没有达到完善的阶段,这就需要进行不断的发展和探索,而且实践证明,进行信息安全管理有效性的研究是有着极为广阔的发展前景的,在保障整体信息运行管理的安全性基础上,能够使企业提升整体的竞争力和自身生存能力,并且能够将测量中发现的问题和相关数据进行分析,然后具有针对性的使企业所存在的风险得到最大化的控制,最终达到基本业务的正常有效运行。
企业信息安全管理体系篇10
关键词:企业移动信息安全保密设计
一、企业移动信息安全方案设计
1.系统安全设计
1.1移动安全设计原则
第一、合规性原则:系统安全设计要符合国家法律法规及企业的信息安全政策,实现厂商、技术、产品整体合规。
第二、区域防护原则:根据移动应用数据的处理和传输过程,对其进行物理和逻辑多层次区域防护,以满足国家信息系统安全等级三级保护基本要求。
第三、统一规划、分布实施原则:规划统一的移动应用平台安全方案,配合企业移动应用试点、建设、推广三个阶段分布实施。
第四、保护现有投资原则:在企业现有的信息安全管理体系框架和安全技术架构基础上,根据移动应用安全的特点和管控要求进行安全功能细化和完善,保护企业现有投资。
第五、可扩展原则:在信息安全系统功能、容量、覆盖能力等各方面,系统安全架构要易于扩展,以适应业务快速变化对企业移动应用安全的安全管控要求。
1.2移动安全技术方案架构
第一、移动安全区域划分:企业移动应用平台所涉及的信息资产具有不同的安全属性和价值,因而需要不同级别的安全保护。
第二、技术功能组件设计:结合信息安全等级保护要求以及信息安全技术架构参考模型iSo13335/15408,安全技术功能分为移动应用物理安全防护、移动应用安全网络安全防护、移动终端安全防护、移动应用安全防护、移动数据安全防护等安全防护子系统。
1.3方案特点分析
企业移动应用平台系统安全方案通过管理及技术控制措施的部署,对移动应用过程中的信息安全风险进行了有效的控制,实现了风险可识别、可控制、可化解的风险管理要求。通过移动管控系统,采用主动与被动相结合方式,对整个移动应用进行任何时间、任何地点、任何人、任何事件的监督、控制和审计,确保系统安全。整体架构可充分满足国家安全及企业信息保密的管理和技术控制要求,紧扣国家及企业保密相关政策,满足合规性要求。
2.灾备方案设计
根据备份灾备需求分析,企业移动平台的灾备等级定义为六级,即数据零丢失和远程群集支持。企业移动平台的灾备方案、数据归档、同城备份、异地灾备组成多级的高可用和灾备方案,同时涉及到备份流程、恢复流程、介质管理等相关流程。
二、企业移动信息保密方案
企业保密方案主要分为几个部分,其中重点是信息的生成、使用与交换。
1.信息生成
对企业移动应用平台信息资产按照企业信息保密要求进行分类、分级和标识,对不同安全级别的信息资产采取保护措施。
1.1管理方案
根据相关规章制度对企业移动应用平台涉及的企业三星级及以下商业秘密信息进行分类、分级和标识,并将秘密知悉范围限定在最小范围。
三星级商业秘密是对企业整体利益、运营安全和竞争优势产生严重影响的核心秘密,包括涉及国家安全的发展战略、企业核心技术、重大经营管理决策、重大合资合作项目等事项的相关信息。
二星级商业秘密是对企业整体利益、运营安全和竞争优势产生一定影响的秘密,包括企业重要技术、重要经营管理、重要交易等事项的相关信息。
一星级商业秘密是对企业局部利益、运营安全和竞争优势产生影响的秘密,包括一般的技术和经营等事项的相关信息。
1.2技术方案
企业内部应用系统自身的办公管理类、经营管理类、生产运行类、基础应用类等四类应用系统信息数据生成现有应用系统,企业移动应用平台仅通过应用接口服务器与其进行信息访问交互,可确保业务应用信息的生成在原有应用系统的安全环境下不被破坏。企业移动应用平台自身生成的信息数据主要包含操作系统、应用程序、配置信息、应用缓存、用户缓存、审计日志等,其信息数据的生成在经过三层网络及应用安全防护安全系统架构保护环境之下,同时最核心的用户信息数据在网络及应用防护的最内层保护,可确保数据生成环境的安全。
2.信息使用
建立统一的、基于用户身份和角色的企业移动应用平台,并建立对用户企业移动应用平台信息访问过程的日志记录和审计。
1.1管理方案
对企业移动应用平台用户进行统一的身份认证、授权、审计及账户生命周期管理,防止恶意人员假冒用户身份对企业移动应用平台信息进行滥用或故意泄露;对企业移动应用平台信息的访问和使用情况定期进行设计,确保信息使用过程是合规的经授权访问;对企业移动应用平台系统操作系统、数据库系统、应用系统管理员进行职责分离,防止内部人员对企业移动应用平台信息的滥用或恶意泄露;利用数据中心现有物理安全防护措施,实现对企业移动应用平台信息及其信息载体的物理安全使用和访问控制。
1.2技术方案
通过密码技术和企业统一的pKi/Ca融合实现企业移动应用平台用户统一身份认证和单点登录,实现安全的企业移动应用平台信息访问。为移动办公终端用户每个人均下发终端特制密码设备,该终端特制密码设备内含企业广域网pKi/Ca系统下发的数字证书。在移动接入区部署安全接入认证网关,终端在接入移动办公应用平台之前,必须经过安全接入认证网关对数字证书的身份认证。终端特制密码设备内置了pin码,且具备自动锁死功能,用户连续输入pin码错误超过设定的次数,终端特制密码设备将不能使用,进而采用双因子的身份认证保证了接入者的身份真实性。移动终端在接入企业移动应用平台之前,安全接入认证网关会对终端自身的唯一标识、终端自身唯一标识与用户终端特制密码设备的从属关系进行校验,确保合法用户在其可使用的合法终端上对企业移动应用平台进行访问。
3.信息的存储、交换、备份/恢复、销毁。
1.1信息存储:对企业移动应用平台信息及其存储介质进行集中和统一管理,通过物理和逻辑的访问控制,实现信息的完整性和可用性保护。
1.2信息交换:建立统一的企业移动应用平台信息交换策略和控制程序,规范信息传输和交换方式,并对信息交换内容进行安全控制和审计。
1.3信息备份/恢复:建立企业移动应用平台信息的备份及恢复策略,对研发数据进行有效的备份和恢复。
1.4信息销毁:对物理设备上存储的敏感信息进行安全的清除或销毁,降低残余信息泄露的风险。
技术手段是信息安全保密工作的基础,管理制度是信息安全保密工作的保障,使用者则是信息安全保密工作的主体,只有技术到位、制度健全和使用正确,才能最大限度地消除甚至杜绝工作中的信息安全保密问题。
参考文献: