公司信息安全管理体系范文
时间:2023-10-27 17:51:44
导语:如何才能写好一篇公司信息安全管理体系,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
关键词:安全管理体系;检修管理;新兴铸管
中图分类号:TU714文献标识码:A
引言
安全管理(Safety Management)主要指运用现代安全管理原理、方法和手段,分析和研究各种不安全因素,从技术上、组织上和管理上采取有力的措施,解决和消除各种不安全因素,防止事故的发生,是现代企业管理的一个重要组成部分,在企业的整体管理活动中占有非常重要的地位。随着我国经济快速发展和社会的全面进步,安全管理与我国经济发展相伴已进入一个新的历史发展阶段,因此必须在安全管理上引入全新的管理思想和管理机制,以消除人的不安全行为和物的不安全状态为中心,强调以人为本的安全管理核心,把安全管理的重点放在激励职工的士气和发挥其能动作用上来,充分调动每个职工的主观能动性和创造性,让人人参与安全管理,从而塑造企业安全文化,创立企业安全生产新形象[1]。
一、新兴铸管新疆有限公司安全管理现状
(一)公司安全管理指导思想
2010年特钢项目投建以来,公司就坚持“用先进的安全文化理念引领企业安全发展”的方针,以构建特色安全文化为基础,以“实现零伤害”为总体目标,积极开展和创新各项工作,不断强化各层级员工规则意识的树立、良好安全行为的养成。
特别是一期工程投产以来,通过着力推行“安全生产标准化”建设,不断强化人、机、环匹配化建设,加大安全生产投入,强化安全隐患整改,提高安全保障能力,努力打造本质安全化特钢,公司安全生产形势保持了良好的发展态势。
(二)安全管理组织机构
新兴铸管新疆有限公司为了适应安全管理的需要,成立了公司安全生产委员会,建立了以公司总经理、各副总经理、各实业部部长为安全生产第一责任人的安全管理机构,明确职责。公司成立了安全环保部,负责公司的安全管理工作,公司各实业部均配备专职/兼职安全管理人员,形成了层层负责的安全管理机构,为安全管理工作提供了有力的保障。
(三)安全规章制度
以国家、行业、新兴铸管股份有限公司的法律法规及规章制度作为新兴铸管新疆有限公司安全管理支持,实施的主要安全管理文件有:《安全生产责任制度》、《安全培训教育制度》、《职工安全档案管理制度》、《安全生产会议管理制度》、《安全检查及隐患整改管理制度》、《红袖标安全监督管理制度》、《外工单位安全管理制度》、《受限空间管理制度》《安全考核管理制度》《危险源辨识、风险评价和风险控制策划实施程序》、《险肇事故安全管理制度》等有关安全生产的规章制度、管理办法共计23余项[2]。
(四)安全体系认证
新兴铸管新疆有限公司2012年通过环境管理、职业健康安全管理体系认证工作,运行一年多来,按照管理体系的要求,每由内审员、技术专家、管理部门领导组成检查小组对公司各部门安全生产责任履行、重要环境因素及危险源控制情况等进行检查,目前体系运行良好。
(五)安全检查活动开展情况
新兴铸管新疆有限公司安全环保部对各实业部现场开展定期安全大检查。各实业部在保持日常巡检、定期检查和专项检查的基础上,加大对施工单位的监督检查力度,明确考核与奖励,落实隐患整改措施。
(六)安全标准化认证审核
按照集团公司要求,公司必须在2013年前完成安全标准化认证审核,目前结合安全标准化的建设,公司组织各实业部积极开展安全标准化推进工作,通过4次自评和1次模拟外审和外部监督审核,目前已获得认证。
(七)安全培训教育
通过加强四级安全教育,解决不懂不会问题。公司严格进行公司、实业部、工段、班组四级安全教育,经考试合格后准予上岗。通过安全教育使新职工了解现场的安全生产状况和制度,迅速融入到生产氛围中去。
(八)公司安全管理现状调查及分析
为进一步了解目前公司安全管理中存在的问题,改进和加强公司安全管理工作,笔者根据自己的从业经验及对公司在职员工进行了安全生产常识的调查。发现公司安全管理存在的问题主要有以下几个方面:
1、从人员素质方面来看:一是安全文化建设刚刚起步,职工安全意识、安全理念还没达到入心入脑,安全行为,安全责任心还没有养成,安全思想、安全文化氛围还没有形成;二是新工人多,培训时间短,实战经验少,还没有完全适应新环境,驾驭新装备的能力还不能满足要求;三是经验主义,模糊意识依然存在;四是管理干部、技术干部相对短缺,在新环境下,工作时间短,经验欠缺,对于安全工作的理解还不深。
2、从现场环境方面看:一是作为新建企业,对生产运行及故障类型的规律还未完全摸透,行之有效的管理措施、管理办法还在探索中;二是部分安全防护设施维修保养不到位,应急状态下的系统稳定难以保证。
3、从基础管理方面看:一是安全基础管理还比较薄弱,工段班组安全管理欠帐较多,还需要我们进一步完善管理制度,强化管理落实;二是安全管理体系还不顺畅,安全管理经验不足,分析问题和应对突发问题,以及制定针对性措施的能力有待提高;四是外协单位和施工队伍多,临时思想严重,安全基础设施投入不足,协调管理难度较大。
二、新兴铸管新疆有限公司安全管理体系内容
(一)体系组成
针对公司安全管理中存在的问题,遵循预防为主、安全第一的安全管理理念和安全标准化、作业规范化的安全管理思想、现场6s治理推进,提出了以持续改进为基础,安全为天、以人为本、依法管理、突出预防[3]为核心管理理念的公司安全管理体系。新兴铸管新疆有限公司安全管理体系由三个子体系组成:分别为安全管理责任体系、安全管理流程体系、安全管理文化体系。
安全管理责任体系主要涉及新兴铸管新疆有限公司各部门、各层级所担负的安全管理责任,以及各负有安全管理职责的部门在安全管理过程中的关系。
安全管理流程体系主要是对新兴铸管新疆有限公司安全管理流程进行系统的整理、优化,包括策划、运行与实施、检查与纠正、持续改进四个部分。
安全文化体系对新兴铸管新疆有限公司安全管理起重要的导向作用 。安全文化是一个完整的体系,这个体系由若干相互联系、又有独特作用的十大要素组成,分别为安全寄语篇、安全理念篇、安全法律篇、安全名词篇、安全名次篇、“白国周班组管理法”、安全警句篇、安全故事篇、安全常识篇、煤气知识篇及安全通篇。
(二)安全管理责任制体系
1、安全生产责任组织架构
新兴铸管新疆有限公司成立了由总经理任安委会主任,主管副总经理任安委会副主任,各部门行政正职任委员的安全生产委员会。公司安委会的常设机构为安全环保部,每月定时召开公司安委会会议,每季度定时召开季度安委会,对各实业部安全管理进行点评,鼓励各实业部自主开展安全管理活动。
公司的安全专业管理组织机构是由公司安全生产委员会、公司安全环保部、各专业管理部室、各分厂安委会、安全办公室、工段、班组兼职安全员组成的公司安全管理系统。安全环保部是公司安全业务主管部门,现有人员12人,公司安全管理人员岗位设置按员工人数控制,共配备专职安全管理人员38人。工段班组设置兼职安全员,由副段长及班组长担任, 佩戴“红袖标”,负责工段班组安全监督。形成了横向到边、纵向到底的安全责任组织架构。
2、安全责任制体系
公司形成了明确的部门和各类人员的安全生产责任制体系,通过公司安全管理责任体系建设,理清新兴铸管新疆有限公司各部门、各层级所担负的安全管理责任,以及各负有安全管理职责的部门在安全管理过程中的关系,从而实现安全责任落实到生产一线,使安全责任铭记于每个员工心中,真正做到以人为本、安全发展。
(三)安全管理流程体系
安全管理流程体系围绕实现新兴铸管新疆有限公司安全管理目标并能持续改进安全管理水平,按照PDCA模式进行,即策划(P)、实施(D)、检查(C)、改进(A)。
1、策划
策划的内容包括:目标和指标、管理方案、危险源的识别与评价、适用的法律法规的识别与其他要求。
2、实施与运行
包括:确定适应的组织结构与职责,强化员工安全意识与能力,畅通协商与沟通渠道,实施安全体系运行与控制,完善应急准备和响应制度。
3、检查与纠正措施
(1)监视与测量,对职业健康安全管理体系运行过程中的关键特性进行监测、监控和监督;对不符合项、事件、事故建立并采取纠正和预防措施。
(2)记录和记录管理,对体系运行保持必要的记录,并对记录实施管理。
4、改进
(1)持续改进,在日常改进活动中,通过纠正和预防措施的不断改进,消除潜在不合格因素。
(2)纠正措施,针对发现的不合格,采取纠正措施,消除不合格因素。
(3)预防措施,采取预防措施,预防可能出现的不符合项。
(四)安全文化体系
企业安全文化是指企业物质财富和精神财富的综合,它包括具有企业特色的安全思想和意识、安全作风和态度、安全管理机制与行为规范;企业安全生产的奋斗目标和进取精神;为保护职工身心安全与健康而创造的安全生产、生活环境和条件;企业的价值观、安全的审美观、安全的心理素质和企业的安全风貌等[4]。新兴铸管新疆有限公司安全文化的建设通过如下四种方式来进行:
1、管理层及决策者的安全文化建设
2、员工的安全文化建设
3、生产现场的安全文化建设
4、施工现场的安全文化建设
5、打造企业本质安全化的安全文化建设
企业安全文化建设是一个系统工程,它包含系统内文化即公司文化(施工现场、办公园区)、系统外文化即社会环境文化(家庭、朋友),两者互为基础、相互补充完善,缺一不可。作为安全文化建设的一个重要组成部分,公司在各生产区域及岗位完善了安全警示牌及全家福照片和家人寄语,充分体现人文关怀,凸显了以人为本的管理思路。
企业安全文化建设是一项系统工程,通过党政工团齐抓共管,目前已形成互相协作、配合默契的运作机制,共同推进企业安全文化建设。同时笔者认为企业还应不断的吸收优秀的安全文化,与时俱进,不断发展具有自身特色的企业安全文化,才能在新的竞争形势下走健康、可持续的发展道路。目前公司已完成安全文化手册的编制及审核发放,保证了安全文化的有效创建。
三、实例应用
(一)程简介
2013年5月25日至6月8日,按照公司安排,全面进入年度大修。此次检修涉及人员较多,现场交叉作业、吊装作业、焊接作业及喷涂作业较多,交错进行,环环相扣,因此搞好此次检修工作,任务异常艰巨。
(二)安全管理体系的应用
新兴铸管新疆有限公司安全管理体系实施的核心,是实现项目安全目标并持续改进安全管理水平,按照策划(P)、实施(D)、检查(C)、改进(A)的过程模式运行。
1、建立检修安全管理责任体系
为确保项目安全生产目标的实现,公司首先与检修单位(炼铁部)签订安全责任状,检修单位与各施工单位签订安全管理协议,明确双方的职责和权限,协议明确施工单位应当服从公司的安全生产管理,施工单位不服从管理导致安全生产事故的,由施工单位承担主要责任。同时建立安全工作管理机构,各实业部及施工单位别设置安全责任人、安全主管、安全员三级安全管理人员,安全管理人员均佩戴红袖标,如下图所示。
高炉大修工程项目安全管理组织机构图
“红袖标”人员职责:
(1)当班时间,负责本班或自己身边的安全、现场、环保管理工作;
(2)负责本班全体人员的标准化作业规范,如有违章,自己负有监管不力的责任;
( 3)在炼铁部管辖区域范围内,炼铁部任何佩戴“红袖标”人员,对自己眼前出现的“三违”行为、安全隐患以及损害炼铁部荣誉和利益的事件有责任进行制止和处理。
(4)凡是有“红袖标”在现场的“三违”行为,除当事人受罚外,“红袖标”有连带责任,按照《考评标准》进行考核。
2、建立管理流程及绩效管理
安全管理的目标是项目安全体系的主要目的,计划、实施、检查、改进是监控整个体系的运行、保证其有效性的有力措施,
为了达到安全管理目标,必须对检修现场大力开展安全生产检查。安全生产检查是持续改进的前提,检查可以发现检修中的不安全(人的不安全行为、物的不安全状态、环境的不安全因素),提高安全生产的自觉性和责任感;同时可以互相学习、总结经验、吸取教训、纠正错误、持续改进,有利于进一步促进项目安全生产。因此安全环保部定期对安全管理情况进行监控,如安全生产所需资金是否落实、安全管理人员是否到位、安全防护措施是否有效、隐患整改是否有效落实,如果发现实业部未按照相关要求按时完成,则与其进行原因分析,采取相应的措施,共同打造一个和谐平安的工作氛围。
作为检修主体单位,炼铁实业部从检修前的准备、检修中的监督、检查和监护及检修后试车安全三个方面进行了安全把控,确保了年检期间未发生任何事故。
3、检修现场的安全文化建设
运用传统的安全文化建设手段:安全标语、安全标志(禁止标志、警告标志、指令标志)等。
推行现代的安全文化建设手段:技术及工艺的本质安全化;现场达标建设(推行安全质量标准化工地);三点控制(事故多发点、危险点、危害点)等。
本次检修通过运用传统与现代方法相结合,把检修对员工的安全生产要求和制度规定变成员工的自觉行为,实现了员工的本质安全。使他们安全意识增强,掌握安全技能和专业岗位知识,能够自觉遵守制度、创造安全作业环境、正确操作设备,从而消除安全生产事故、事件的发生。
(三)实施效果
针对此次年检任务,从项目审定、检修步骤制定、安全措施制定,到项目责任划分,进行了多次讨论和审核,在年检期间,从实施目标管理、建立项目安全管理组织机构、危险源识别及风险评价计划、签订安全管理协议、制定安全文明施工管理制度、检修单位管理、安全物资管理、安全教育培训、事故预防和安全检查纠正十个方面按照新兴铸管新疆有限公司安全管理体系进行了实施,全力确保安全管理目标的实现,没有发生安全生产事故。
四、结语
本文通过分析新兴铸管新疆有限公司安全管理的现状和存在的问题,系统地研究了如何创建新兴铸管新疆有限公司安全管理体系,最后以年度检修实例检验了所创建的安全管理体系的有效性。
企业安全管理体系的系统化、程序化和文件化可以有效控制事故的发生,提高企业安全生产管理水平、管理效益及市场竞争力。同时安全管理体系的建设是一个持续的过程,它可以减少重复评价的社会成本,是提升安全管理水平的有效工具,随着企业生产技术和业务范围的发展,安全管理体系也应该保持持续改进,这是管理体系建设的重点,也是保证体系持续有效的基础。
参考文献:
[1]周长江.论国有大中型企业的安全管理[J].中国安全科学学报.2003.2.
[2]新兴铸管新疆有限公司.XJXP/EHS-2012《环境与职业健康安全管理手册》.
篇2
关键词:信息化;信息安全;安全管理
1企业信息安全现状
近几年,随着行业信息化建设逐步深入,伴随着OA办公自动化、ERP、卷烟生产经营决策管理和MES生产制造执行等系统相继投入使用,与生产经营息息相关的关键业务对信息系统的依赖程度越来越高,企业也逐步认识到信息安全的重要性,企业员工的安全意识也都得到逐步提高。行业也相继出台了烟草行业信息安全保障体系建设指南和各类信息安全制度,并通过这几年信息安全检查工作,促进企业的信息安全水平得到了进一步提高。由于企业信息安全意识不断提高,企业不断加大信息安全方面的投入,如建立标准化的机房、购买与部署各类信息安全软件和设备等。但是木马、病毒、垃圾邮件、间谍软件、恶意软件、僵尸网络等也随着计算机技术的发展不断更新,攻击手段也越发隐蔽和多样化。企业不仅要应对外部的攻击,也要应对来自于企业内部的信息安全威胁,安全形势不容乐观。企业的信息安全已不仅仅是技术问题,还需要借助管理手段来保障。企业如果不能正确树立信息风险导向意识,一味注重“技术”的作用,忽略“管理”的重要性,就很难发挥信息安全技术的作用,无法把企业的各项信息安全措施落到实处,企业的信息安全也就无从谈起。只有切实发挥管理作用,企业的信息安全才能得到有效保障。
2企业信息安全体系架构
在谈到信息安全时,大多数刚接触的人都比较疑惑,都说保障信息安全十分重要,那到底什么是信息安全呢?下面就简单介绍一下信息安全的概念以及企业的信息安全体系架构。2.1信息。对企业来说,信息是一种无形资产,具有一定商业价值,以电子、影像、话语等多种形式存在,必须进行保护。2.2信息安全。主要是指防止信息泄露、被篡改、被损坏或被非法辨识与控制,避免造成不良影响或者资产损失。2.3企业信息安全体系架构。在保障企业信息安全过程中,信息安全技术是保障信息安全的重要手段。通过上文对企业信息安全现状的分析,不难看出企业信息安全体系主要分为技术、管理两个重要体系,进一步细分则涉及安全运维方面。2.3.1信息安全技术体系作用。主要是指通过部署信息安全产品,合理制定安全策略,实现防止信息泄露、被篡改、被损坏等安全目标。信息安全产品主要是指实现信息安全的工具平台,如防火墙类产品、防攻击类产品、杀毒软件类产品和密码类产品等,而信息安全技术则是指实现信息安全产品的技术基础。2.3.2信息安全管理体系作用。完善信息安全组织机构、制度,细化职责分工,制定执行标准,确保日常管理、检查等制度有效执行,最大程度发挥信息安全技术体系作用,确保信息安全相关保护措施有效执行。通过上文简单介绍,对信息安全以及信息安全系统有了大概了解。可以看出单纯借助技术或管理无法保障企业信息安全,因此,建立企业信息安全管理体系的重要性也就不言而喻。
3信息安全管理体系概念
3.1信息安全管理。运用技术、管理手段,做好信息安全工作整体规划、组织、协调与控制,确保实现信息安全目标。3.2管理体系。体系是指相互关联和相互作用的一组要素,而管理体系则是建立方针和目标并实现这些目标的体系。3.3信息安全管理体系(ISMS)。在一定组织范围内建立、完成信息安全方针和目标,采取或运用方法的体系。作为管理活动最终结果,包含方针、原则、目标、方法、过程、核查表等众多要素。3.4建立信息安全管理体系的目的。作为企业总管理体系的一个子体系,目的是建立、实施、运行、监视、评审、保持和改进信息安全。3.5信息安全管理体系涉及的要素。3.5.1信息安全组织机构。明确职责分工,确保信息安全工作组织与落实。3.5.2信息安全管理体系文件。编制信息安全管理体系的方针、过程、程序和其他必需的文件等。3.5.3资源。提供体系运转所需的资金、设备与人员等。
4信息安全管理体系机构设置以及作用
在建立企业的信息安全管理体系之前,如果没有设置相应的信息安全组织机构,那么建立体系所需要的资源(资金、人员等)就无法得到保障,企业的信息安全制度和策略也就无法贯彻落实,企业的信息安全管理体系就形同虚设起不到任何作用。因此,企业在建立信息安全管理体系前必须建立健全信息安全组织机构,机构设置可以根据职责分为三个层次。4.1信息安全决策机构。信息安全决策机构处于安全组织机构的第一个层次,是本单位信息安全工作的最高管理机构。应以单位主要领导负责,对信息安全规划、信息安全策略和信息安全建设方案等进行审批,并为企业信息安全工作提供各类必要资源。4.2管理机构。处于安全组织机构的第二个层次,在决策机构的领导下,主要负责企业日常信息安全的管理、监督以及安全教育与培训等工作,此类工作大部分都由企业的信息化部门承担。4.3执行机构。处于信息安全组织机构的第三个层次,在管理机构的领导下,负责保证信息安全技术体系的有效运行及日常维护,通过具体技术手段落实安全策略,消除安全风险,以及发生安全事件后的具体响应和处理,执行机构人员可以由信息中心技术人员与各部门专职或兼职信息安全员组成。
5信息安全管理体系的建立
ISO/IEC27001:2005标准的“建立ISMS”章节中,已明确了信息安全管理体系建立的10项强制性要求和步骤。企业应结合自身实际情况,遵照这些内容和步骤,建立自己的信息安全管理体系,并形成相应的体系文件。5.1建立的步骤。(1)结合企业实际,明确体系边界与范围,并编制体系范围文件。(2)明确体系策略,构建目标框架、风险评价的准则等,形成方针文件。(3)确定风险评估方法。(4)识别信息安全风险,主要包括信息安全资产、责任、威胁以及造成的后果等。(5)进行安全风险分析评价,编制评估报告,确定信息安全资产保护清单。(6)明确安全保护措施,编制风险处理计划。(7)制定工作目标、措施。(8)管理者审核、批准所有残余风险。(9)经管理层授权实施和运行安全体系。(10)准备适用性声明。以上步骤解释不详尽之处,参看ISO/IEC27001:20054.2.1章节中A-J部分。5.2信息安全管理体系涉及的文件。文件作为体系的主要元素,必须与ISO/IEC27001:2005标准保持一致,同时也要结合企业实际,确保员工遵照要求严格执行。而且也要符合企业的实际情况和信息安全需要。在实际工作中,企业员工应按照文件要求严格执行。5.2.1体系文件类型主要涉及方针、程序与记录三类。方针类主要是指管理体系方针与信息安全方针,涵盖硬件、网络、软件、访问控制等;程序类主要是指“过程文件”,涉及输入、处理与输出三个环节,结果常以“记录”形式出现;记录类主要是记录程序文件结果,常以是表格形式出现。至于适用性声明文件,企业应结合自身情况,参照ISO/IEC27001:2005标准的附录A,有选择性地作出声明,并形成声明文件。5.2.2体系必须具备的文件。主要包括方针、风险评估、处理、文件控制、记录控制、内部审核、纠正与预防、控制措施有效性测量、管理评审与适用性声明等。5.2.3任意性文件。企业可以针对自身业务、管理与信息系统等情况,制定自己独有的信息方针、程序类文件。5.2.4文件的符合性。文件必须符合相关法律法规、ISO/IEC27001:2005标准以及企业实际要求,保证与企业其他体系文件协调一致,避免冲突,同时在文字描述准确且无二义。
6体系实施与运行
主要包括策略控制措施、过程和程序,涉及制定和实施风险处理计划、选择控制措施与验证有效性、安全教育培训、运行管理、资源管理以及安全事件应急处理等。
7体系的监视与评审
主要指对照策略、目标与实际运行情况,监控与评审运行状态,主要涉及有效性评审、控制措施测试验证、风险评估、内部审核、管理评审等环节,并根据评审结果编制与完善安全计划。
8体系的保持和改进
主要是依据监视与评审结果,有针对性地持续改进。主要包括改进措施、制定完善措施、整改总结等,同时需相关方进行沟通,确保达到预计改进标准。
9结语
篇3
长期以来,中国大多数企业的信息安全建设遵循“木桶理论”,但实践证明,在企业信息安全领域应用木桶理论仍存在一定缺陷,很难实现“标本兼治”。企业信息安全应从安全策略、安全管理体系、安全技术体系和安全运维体系四个方面建设一个完善的信息安全体系对企业的信息资源提供全方位的安全防护。整个安全体系以安全策略为核心,管理、技术、运维三者有机结合,又相互支撑。三者之间的关系为“根据管理体系中的策略,由相关组织或人员,利用技术体系作为工具和手段,进行操作来维持运行体系”。在建立信息安全体系的过程中,可采用ISO27001:2005所述的“过程方法”,即将“规划(Plan)-实施(Do)-检查(Check)-处置(Act)”(PDCA)四个步骤。
2安全策略
信息安全策略研究就是依据国家信息安全的方针政策、法律法规和工作要求,结合企业实际情况和管理要求,制订企业信息安全防护的建设方针和基本要求,对信息安全管理体系、技术体系和运维体系中的各种安全控制措施和机制的部署提出目标和原则,是信息化“建、管、用”各项工作和各个环节必须遵守的安全规则,也是针对每个系统和设备制订分项安全策略的依据。
3安全管理
信息安全管理可参照信息安全管理模型,按照先进的信息安全管理标准ISO17799标准建立组织完整的安全管理体系并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式。管理体系架构可分为四层,最高层为企业信息安全总体策略,为下面的各项分策略和具体的规章制度提供指导。第二层为企业信息安全组织体系,作用在于指导实施安全体系,制定安全的相关标准和方针,监管安全事件等。组织体系须设立专门的管理机构,配备相应的安全管理人员,明确主管领导,落实部门责任,各尽其职。第三层为根据总策略,对信息安全涉及的各方面制定有针对性的分项策略,为安全的具体实施提供管理和技术上的指导。第四层为具体的安全管理制度。
4安全技术
篇4
【关键词】信息系统 身份鉴别 漏洞扫描 信息安全管理体系(ISMS)
近年来,“Locky勒索软件变种”、““水牢漏洞””、“支付宝实名认证信息漏洞”、“京东12G用户数据泄露”、“700元买他人隐私信息”等信息安全事件层出不穷,引起各国领导的重视和社会关注。为提高网络安全和互联网治理,2014年,我国成立了以主席为最高领导的信息安全管理机构-中央网信办;2016年11月,在中国乌镇举行了《第三届世界互联网大会》。通过一系列的行为,为求现有的网络系统能够提高安全能力,为广大社会群众提供服务的同时,能够保证人民的利益。
信息系统是由硬件、软件、信息、规章制度等组成,主要以处理信息流为主,信息系统的网络安全备受关注。企业在应对外部攻击,安全风险的同时,当务之急是建立一套完整的信息安全管理体系。在统一的体系管控下,分布实施,开展各项安全工作。
目前,大多数企业的信息安全工作比较单一,主要是部署安全防护设备,进行简单的配置。信息安全工作不全面,安全管理相对薄弱,不足以抵抗来自外部的威胁。
1 信息安全问题
1.1 身份鉴别不严格
考虑到方便记忆和频繁的登录操作,企业普遍存在管理员账号简单或者直接采用系统的默认账号现象,并且基本不设定管理员的权限,默认使用最大权限。一旦攻击者通过猜测或其他手段获得管理员账号,攻击者如入无人之境,可以任意妄为。最终可造成数据泄露,系统瘫痪等不可估量的严重后果。注重信息安全的企业会修改默认管理员账号,设定较为复杂的口令,并定期进行口令更换。但是也仅仅使用一种身份鉴别技术,不足以抵抗外部攻击。
1.2 外部攻击,层出不穷
随着计算机技术的发展,信息系统的外部攻簦层出不穷。攻击者利用网络系统的漏洞和缺陷,攻击系统软件、硬件和数据,进行非法操作,造成系统瘫痪或者数据丢失。 目前主要存在的攻击手段包括扫描技术、邮件
攻击、拒绝服务攻击、口令攻击、恶意程序等等;入侵常用的步骤包括采用漏洞扫描工具进行扫描、选择合适的方式入侵、获取系统的一定权限、提升为系统最高权限、安装系统后门、获取敏感信息或者其他攻击目的。攻击者会根据系统特性和网络结构采取不同的手段对网络进行攻击,如果不采取相应的防御手段,很容易被黑客攻击,造成损失。
1.3 员工安全意识薄弱
很多互联网企业的员工缺乏信息安全意识,存在离开办公电脑时不锁屏现象;将重要客户信息、合同等敏感材料放在办公桌上或者不及时取走打印机房内的材料;优盘未经杀毒直接连接公司电脑;随意点击不明邮件的链接;更有员工将系统账号、密码粘贴在办公桌上;在系统建设阶段,大到管理者,小到开发人员、测试人员,均注重技术实现和业务要求,而忽略了系统的安全和管理。由于员工的信息安全意识较为薄弱,很容易造成公司信息泄露,进而导致公司的损失。
1.4 内部管理制度不完善
俗话说,“不以规矩,不能成方圆”。未形成全面的信息安全管理制度体系,缺失部分安全策略、管理制度、操作规程,可能导致信息安全管理制度体系存在疏漏,部分管理内容无法有效实施。使相关工作过程缺乏规范依据和质量保障,进而影响到信息系统的安全建设和安全运维。比如在软件开发过程中,开发人员会因为各种原因而忽略安全开发(存在开发人员没有意识到代码安全开发的问题;有些开发人员不愿意使用边界检查,怕影响系统的效率和性能;当然也存在许多遗留代码存在问题的现象,从而导致二次开发同样产生问题),可能导致系统存在后门,被黑客攻击。
2 防范措施
企业需依据《信息安全等级保护管理办法(公通字[2007]43号)》、《中华人民共和国网络安全法》》、《ISO/IEC 27001》等标准和法律法规进行信息系统安全建设工作。测评机构在网安的要求下,对企业信息系统的安全进行测评,并出具相应测评结果。根据测评结果和整改建议,采用相应的技术手段(安全认证、入侵检测、漏洞扫描、监控管理、数据备份与加密等)和管理措施(安全团队、教育与培训、管理体系等)对信息系统进行整改。如图1所示。
2.1 技术手段
2.1.1 安全认证
身份鉴别是指在计算机系统中确认执行者身份的过程,以确定该用户是否具有访问某种资源的权限,防止非法用户访问系统资源,保障合法用户访问授权的信息系统。凡登录系统的用户,均需进行身份鉴别和标识,且标识需具有唯一性。用户身份鉴别机制一般分为用户知道的信息、用户持有的信息、用户生物特征信息三种。针对不同鉴别机制,常用的鉴别技术(认证技术)如表1所示。
不同的认证技术,在安全性、便捷性方面存在不同的特性。比如USB-Key的安全等级较高,但会遇到各种问题,导致便捷性较差(比如存在软硬件适配性问题,移动终端无USB口等)。一般认为在相同的便捷性前提下,选择安全等级较高的认证技术。针对重要系统应采用双因子认证技术。
2.1.2 入侵检测
入侵检测能够依据安全策略,对网络和系统进行监视,发现各种攻击行为,能够实时保护内部攻击、外部攻击和误操作的情况,保证信息系统网络资源的安全。入侵检测系统(IDS)是一个旁路监听设备,需要部署在网络内部。如果信息系统中包含了多个逻辑隔离的子网,则需要在整个信息系统中实施分布部署,从而掌控整个信息系统安全状况。
2.1.3 漏洞扫描
漏洞扫描是指基于漏洞数据库,通过扫描等手段对目标系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测行为。常见的漏洞扫描类型主要包括系统安全隐患扫描、应用安全隐患扫描、数据库安全配置隐患扫描等。系统安全隐患扫描根据扫描方式的不同,分为基于网络的和基于主机的系统安全扫描,可以发现系统存在的安全漏洞、安全配置隐患、弱口令、服务和端口等。应用安全隐患扫描可以扫描出Web应用中的SQL注入、Cookie注入、XPath注入、LDAP注入、跨站脚本、第三方软件等大部分漏洞。数据库安全配置隐患扫描可以检测出数据库的DBMS漏洞、缺省配置、权限提升漏洞、缓冲区溢出、补丁未升级等自身漏洞。
漏洞扫描主要用于评估主机操作系统、网络和安全设备操作系统、数据库以及应用平台软件的安全情况,它能有效避免黑客攻击行为,做到防患于未然。
2.1.4 监控管理
网络监控主要包括上网监控和内网监控两部分。目前市场上已做的完整监控软件已包含上述功能。网络监控需结合网络拓扑,在网络关键点接入监控工具监测当前网络数据流量,分析可疑信息流,通过截包解码分析的方式验证系统数据传输的安全。例如Solarwinds网络监控平台,它包括Network Performance Monitoring、Network Traffic Analysis、WAN Performance (IP SLA) 、IP Address Management、Network Configuration Management、Application Performance Monitoring等。可以执行全面的带宽性能监控和故障管理;可以分析网络流量;可以对服务器上运行的服务和进程进行自动监控,并在故障发生时及时告警;可对VOIP的相关参数进行监控;可以通过直观的网络控制台管理整个IP架构;可快速检测、诊断及解决虚拟化环境的网络性能;强大的应用程序监视、告警、报告功能等。
2.1.5 数据备份与加密
企业高度重视业务信息、系统数据和软件系统。数据在存储时应加密存储,防止黑客攻击系统,轻易获得敏感数据,造成公司的重大经济损失。常用的加密算法包括对称加密(DES、AES)和不对称加密算法(RSA)。密码技术不仅可以防止信息泄露,同时可以保证信息的完整性和不可抵赖性。例如现在比较成熟的哈希算法、数字签名、数字证书等。
除了对数据进行加密存储外,由于存在数据丢失、系统断电、机房着火等意外,需对系统数据进行备份。按照备份环境,备份分为本地备份和异地备份;按照备份数据量的多少,备份分为全备、增备、差分备份和按需备份。各企业需根据自己的业务要求和实际情况,选取合适的备份方式进行备份。理想的备份是综合了软件数据备份和硬件冗余设计。
2.2 管理措施
2.2.1 安全团队
企业应设立能够统一指挥、协调有序、组织有力的专业的安全管理团队负责信息安全工作,该团队包括信息安全委员会,信息安全部门及其成员。安全部门负责人除了具备极强的业务处理能力,还需要有管理能力、沟通能力、应变能力。目前安全团队的从业人员数量在逐渐增加,话语权在增多,肩上的担子也越来越大。安全团队需要定好自己的位,多检查少运维,多帮企业解决问题。即安全团队修路,各部门在上面跑自己的需求。
2.2.2 教育c培训
保护企业信息安全,未雨绸缪比亡羊补牢要强。培养企业信息安全意识文化,树立员工信息安全责任心,是解决企业信息安全的关键手段之一。企业的竞争实际上是人才的竞争,除了定期进行技能培训外,还需对员工的安全意识进行教育和培训。信息安全团队应制定信息安全意识教育和培训计划,包括但不限于在线、邮件、海报(标语)、视频、专场、外培等形式。通过对员工的安全意识教育,能从内部预防企业安全事件的发生,提高企业的安全保障能力。
2.2.3 管理体系
随着计算机攻击技术的不断提高,攻击事件越来越多,且存在部分攻击来自公司组织内部。单靠个人的力量已无法保障信息系统的安全。因此,企业需建立自上而下的信息安全管理体系(ISMS, Information Security Management System),以达到分工明确,职责清晰,安全开发,可靠运维。安全管理制度作为安全管理体系的纲领性文件,在信息系统的整个生命周期中起着至关重要的作用。不同机构在建立与完善信息安全管理体系时,可根据自身情况,采取不同的方法,一般经过PDCA四个基本阶段(Plan:策划与准备;Do文件的编制;Check运行;Action审核、评审和持续改进)。可依据ISO27000,信息安全等级保护等,从制度、安全机构、人员、系统建设和系统运维5个方面去制定信息安全管理体系。通常,信息安全管理体系主要由总体方针和政策、安全管理制度、日常操作规程和记录文档组成,如图2所示。
3 结语
国家不断加强对各个互联网企业、金融、银行等的信息安全工作监督,通过ISO27000、信息安全等级保护测评、电子银行评估、互联网网站专项安全测评等方式,规范企业的信息安全建设工作。同样,信息安全工作长期面临挑战,不能一蹴而就,需要相关安全工作人员戮力同心、同舟共济、相互扶持、携手共建信息安全的共同体。
参考文献
[1]沈昌祥,张焕国,冯登国等.信息安全综述[J].中国科学杂志社,2007(37):129-150.
[2]李嘉,蔡立志,张春柳等.信息系统安全等级保护测评实践[M].哈尔滨工程大学出版社,2016(01).
[3]蒋欣.计算机网络战防御技术分析[J].指挥控制与仿真,2006(08),28-4.
作者简介
康玉婷(1988-),女,上海市人。硕士学位。现为信息安全等级测评师、初级工程师。主要研究方向为信息安全。
作者单位
篇5
在数据中心运营实践中,谁是最担惊受怕之人?做过大型数据运营的人都知道这个问题的答案:这个人就是数据中心总经理。数据中心运营工作千头万绪,一件小事可能会导致非常大的影响!
在过去的几年中,IDC行业同时面临巨大机遇和各种各样的挑战,从电信大重组到奥运封网,从打击有害信息到互联网经济增长放缓,行业内外各种复杂因素的重叠将IDC行业推向前沿。当前IDC行业的总体发展趋势是安全、高效和绿色。
如何进行ITSMS(IT服务管理体系)/ISMS(信息安全管理体系)/QMS(质量管理体系)三体系整合对于IDC行业是非常重要的,直接关系其真竞争力和发展前景。因此各数据中心对体系整合非常重视。
IDC行业广泛关注的问题
笔者根据中国IDC行业资讯大全(2009)的内容整理了目前IDC行业中的一些广泛关注的问题。
1)用户满意度分析
根据中国IDC圈与赛迪顾问的调研显示,用户对IDC服务不满意的原因主要集中在经常宕机、安全性差和资源无保障方面。
其中问题分布为:安全性差22%,资源无保障18%,经常宕机35%,服务水平差17%,价格昂贵6%,其他1%
2)用户购买优先考虑因素
根据调研数据显示,我国企业用户在选择数据中心时考虑优先因素:52%的企业用户认为是可靠性;35%的企业用户认为是服务品质;8%的企业用户认为是品牌知名度;5%的企业用户认为是资费。
3)运营模式及成本比较分析
根据调研数据显示,我国IDc公司的成本情况:27%的被调查IDC服务商认为是人员成本;56%的被调查IDC服务商认为是设备投入;14%的被调查IDC服务商认为是维护成本;3%的被调查IDC服务商认为是其他内容。
IDC行业管理体系实施现状及整合趋势
一、关注内容的横向扩展
1)IT服务管理近年来得到迅猛发展,其主要原因是它能切实指导企业通过规范的流程提高为客户进行IT服务的管理水平,提高客户满意度,增加营业利润。
2)信息安全一直是各行业包括IDC关注的重点。随着信息安全技术与管理手段的不断发展和完善,企业在信息安全的保障基本上经过了安全技术应用一一以安全技术为主结合部分管理措施 全面的管理与技术相结合的信息安全管理体系三个阶段。
信息安全管理体系特别是ISO/IE C 2700 1;2005得到企业组织的广泛认可与实施。目前亚洲是ISO/IEC 27001:2005发证最多的地区,日本、韩国和中国是发证较多的几个国家,而且将来还有很大的发展空间(特别是中国)。
3)“9.11”事件使得国内IDC行业空前重视业务连续性的管理。“9.11”事件中,1200家企业受灾,400家企业启动了灾难恢复计划,而无灾备能力的企业损失惨重。
据Gartner Group统计,在经历大型灾难事件而导致系统停运的公司中,有2/5左右再也没有恢复运营,剩下的公司中也有接近1/3在两年内破产。
4)QMS作为所有管理体系的基础,它目前是最基本、最成熟管理体系,能够在一定程度上指导企业提升基础管理水平。
二、管理的纵深精细化
当前IDC行业各企业都在向管理要效益。通过管理体系PDCA的不断循环,使得企业的管理水平不断提高、管理成本不断降低、客户满意度不断提高。
总体而言,各种IT相关管理体系与基础管理体系(如IS09001等)的整合是当前一段时间的发展趋势,同时向管理要效益也是所有高层管理人员的心声。
目前有多家IDC企业正在整合或已经完成管理体系整合,主要难点是整体策划、高效实施、符合文化、宣贯执行。在整合过程中往往出现一些不良现象,需要进行避免。
以某高等级数据中心为模型。IS020000-1是IT服务管理体系,主要通过相关流程来规范日常的运行和操作,强调的是如何高效率地提供客户满意的服务。
IS027001是信息安全管理体系,主要是通过管理制度和技术手段来识别和控制信息安全风险,强调的是让客户放心。IS09001是质量管理体系,基本上可以将IS020000-1看作是IT行业的质量管理体系。
下面从以一个实际例子来分析在高等级数据中心内部如何建设ISMS/ITSMS/QMS的整合体系。
1)总体建设思路
在建设整合管理体系时应充分考虑以下内容:
采用“计划实施一检查一改进”(PDCA)方法将IS020000 1/IS027001/IS09001管理体系统一整合,并且根据实际运行情况不断的优化和改进。
管理体系必须以实际业务为出发点,结合组织企业文化来进行IT治理。
既考虑符合管理体系的要求,又考虑数据总线的运维特点;既考虑数据总线内部的运行管理,又考虑对不同客户的运行管理要求。
充分注重和宣传“PDCA”、“风险管理”和“以客户为关注点”这三个核心思想。
2)总体建设原则
全面性:基本上涵盖三体系的各个方面,参照目前国际、国内的最佳实践。
融合性:整个管理体系绝不是孤立分开的,而是有机结合在一起的,能整台的一定整合。
可实施性:整个整台管理体系不是僵硬的照搬标准,也不是写一些空洞的言辞,而是能够实实在在的在组织内运行。
持续性:管理体系是不断变化的,因此本体系也需要能够根据发展不断更新。
3)整体框架设计
整体架构策划,将各流程以项目管理方法融入PDCA(计划、执行、检查、行动)过程。
在P(计划)阶段主要有以下一些内容:
管理职责
管理体系策划
适用性声明
数据总线组织架构
风险管理
文档与记录管理
能力、意识与培训
在D(执行)阶段主要有以下一些内容:
信息安全管理,遵循IS027001,其中事件管理和业务连续性管理与ITSM结合
数据中心基础的日常运行管理制度与相关操作指南
ITSM中主要有新服务与服务变更管理、服务交付管理、服务支持管理
一些客户化订制的操作规范
在C(检查)阶段主要有以下一些内容:
日常检查制度,包括各流程/制度责任部门的日常检查和管理控制部的日常检查
流程评审管理
管理体系有效性测量管理
数据中心的内审管理
数据中心的管理评审
在A(行动)阶段主要有以下一些内容:
纠正与预防措施控制程序
不合格品控制措施
各流程间的关系。策划、检查和改进几个阶段中,各流程/制度内容比较明确,流程/制度之间的关系也比较简单,本文不再进行详细说明。由于实施D阶段是管理体系的重要部分,其中包含了大量的流程/制度,而且它们之间的关系和接口也相对复杂。
体系架构包含客户需求、服务交付管理、服务支持管理、日常运行管理和信息安全管理五个模块。其中信息安全管理是基础,贯穿于管理体系的各个环节。
1)客户需求模块主要分为客户项目需求和客户日常运维需求;其中客户项目需求通过“新服务与服务变更管理”引入到“服务交付管理”、“服务支持管理”和“日常运行管理”中;客户日常运维需求主要通过“事件管理”和“客户化定制的操作规范”来处理。
2)服务交付模块中主要有“服务级别管理”、“服务报告管理”、“能力与可用性管理”、“业务连续性管理”和“IT财务管理”几个流程。
3)服务支持模块中主要有“事件管理”、“问题管理”、“变更与管理”、“配置管理”、“业务关系管理”和“供应商管理”几个流程。
其中业务关系管理主要在理解客户业务的基础上建立和维护与客户的关系,供应商管理主要是保证供应商提供顺畅的、高质量的服务。
4)日常运行管理模块中主要是日常操作流程和应急管理。日常运行管理中的相关事件都会引入到事件管理中,当有重大事件时会引入到应急管理或业务连续性管理。
5)信息安全管理模块中贯穿在北京运行管理中心各项活动中,主要有风险管理、资产管理、员工手册、人力资源管理、物理环境安全、用户密码管理、存储介质管理、防病毒管理、设备管理、备份与恢复管理、网络管理、软件管理和符合性管理。
整合流程及各步骤工作内容。本案例中整合管理体系的建设过程以项目管理方法为基础,共分为九个步骤,每个步骤的大致内容如下。
需要进一步思考的内容
需要精耕细作的部分。在标准的指导下,整合中的大部分内容基本都能得到很好的贯彻与实施。但是在建立与运行整合体系的时候,如果在下面几个方面进行精耕细作,企业将会得到更多的回报。
1)风险评估的方法:风险评估主要涉及风险发生的可能性和风险的影响程度两个方面,目前还没有一个被大家广泛认可的风险评估方法,而且在将来也不会有,不需要有。但是企业应该结合自己的业务流程和企业文化等,建立属于自己的风险评估方法。
有些企业已经找到比较合适的风险评估方法。但是还有很多企业的风险评估方法不太适合组织,大致表现为以下几个方面:太复杂难以操作、太简单难以找出真正的风险、缺乏区分度难以将各种风险进行区别、定义不明确,不同人做的结果差距很大。
2)有效性测量:有效性测量是一个难点,有效性测量应该从哪些方面来做,测量的标准如何制定是今后一段时间需要继续研究和讨论的问题。
目前有很多业内专家对有效性测量提出了自己的看法,但是都不是很完善,没有得到一致的认同。
另外,管理目标的制定与测量、业务连续性管理这两个方面也需要企业在自己业务的基础上进行优化和改进。
如何保证既达到业务目标又能节省最多的企业成本,还需要企业在实际整合管理体系运行过程加以分析和总结。
与运维标准的融合。针对ID C行业的业务特点,关于数据中心基础设施方面的标准很早就被关注,也已经很成熟,如TIA-942、GBT2887-2000、GB4943-2001、GB50174-93等。
目前关于各种运维服务的标准正在制定与征求意见当中,如《信息技术数据中心运维服务规范》、《信息技术运维服务通用要求》、《信息技术运维服务安全要求》、《信息技术运维服务应急响应规范》、《信息技术运维服务交付规范》等。
篇6
【关键词】电力企业;信息网络;安全体系
【中图分类号】TP309【文献标识码】A【文章编号】1672-5158(2013)07-0498-02
引言
随着电力企业不断发展,信息化已广泛应用于生产运营管理过程中的各个环节,信息化在为企业带来高效率的同时,也为企业带来了安全风险。一方面企业对信息化依赖性越来越强,尤其是生产监控信息系统及电力二次系统直接关系到电力安全生产;另一方面黑客技术发展迅速,今天行之有效的防火墙或隔离装置也许明天就可能出现漏洞。因此,建设信息安全防护体系建设工作是刻不容缓的。
1 信息安全防护体系的核心思想
电力企业信息安全防护体系的核心思想是“分级、分区、分域”(如图1所示)。分级是将各系统分别确定安全保护级别实现等级化防护;分区是将信息系统划分为生产控制大区和管理信息大区两个相对独立区进行安全防护;分域是依据系统级别及业务系统类型划分不同的安全域,实现不同安全域的独立化、差异化防护。
2 信息安全防护系统建设方针
2.1整体规划:在全面调研的基础上,分析信息安全的风险和差距,制订安全目标、安全策略,形成安全整体架构。
2.2分步实施:制定信息安全防护系统建设计划,分阶段组织项目实施。
2.3分级分区分域:根据信息系统的重要程度,确定该系统的安全等级,省级公司的信息系统分为二级和三级系统;根据生产控制大区和管理信息大区,划分为控制区(安全I区)、非控制区(安全II区)、管理信息大区(III区);依据业务系统类型进行安全域划分,二级系统统一成域,三级系统独立成域。
2.4等级防护:按照国家和电力行业等级保护基本要求,进行安全防护措施设计,合理分配资源,做好重点保护和适度保护。
2.5多层防御:在分域防护的基础上,将各安全域的信息系统划分为边界、网络、主机、应用、数据层面进行安全防护设计,以实现纵深防御。
2.6持续改进:定期对信息系统进行安全检测,发现潜在的问题和系统可能的脆弱性并进行修正;检查防护系统的运行及安全审计日志,通过策略调整及时防患于未然;定期对信息系统进行安全风险评估,修补安全漏洞、改进安全防护体系。
3 信息安全防护体系建设探索
一个有效的信息安全体系是在信息安全管理、信息安全技术、信息安全运行的整体保障下,构建起来并发挥作用的。
3.1 建立信息安全管理体系
安全管理体系是整个信息安全防护体系的基石,它包括安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理五个方面,信息安全组织机构的建立尤为重要。
3.1.1建立信息安全管理小组
建立具有管理权的信息安全小组,负责整体信息安全管理工作,审批信息安全方针,分配安全管理职责,支持和推动组织内部信息安全工作的实施,对信息安全重大事项进行决策。处置信息安全事件,对安全管理体系进行评审。
3.1.2分配管理者权限
按照管理者的责、权、利一致的原则,对信息管理人员作级别上的限制;根据管理者的角色分配权限,实现特权用户的权限分离。对工作调动和离职人员及时调整授权,根据管理职责确定使用对象,明确某一设备配置、使用、授权信息的划分,制订相应管理制度。
3.1.3职责明确,层层把关
制订操作规程要根据职责分离和多人负责的原则各负其责,不能超越自己的管辖范围。系统维护时要经信息管理部门审批,有信息安全管理员在场,对故障原因、维护内容和维护前后情况做详细记录。
(1)多人负责制度 每一项与安全有关的活动必须有2人以上在场,签署工作情况记录,以证明安全工作已得到保障。
(2)重要岗位定期轮换制度 应建立重要岗位应定期轮换制度,在工作交接期间必须更换口令,重要技术文件或数据必须移交清楚,明确泄密责任。
(3)在信息管理中实行问责制,各信息系统专人专管。
3.1.5系统应急处理
制定信息安全应急响应管理办法,按照严重性和紧急程度及危害影响的大小来确定全事件的等级,采取措施,防止破坏的蔓延与扩展,使危害降到最低,通过对事件或行为的分析结果,查找事件根源,彻底消除安全隐患。
3.2 建立信息安全技术策略
3.2.1物理安全策略
物理安全策略的目的是保护计算机系统、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;确保计算机系统有一个良好的工作环境;防止非法进入机房和各种偷窃、破坏活动的发生,抑制和防止电磁泄露等采取的安全措施。
3.2.2 网络安全策略
网络安全防护措施主要包括以下几种类型:
(1)防火墙技术。通过防火墙配置,控制内部和外部网络的访问策略,结合上网行为管理,监控网络流量分配,对于重要数据实行加密传输或加密处理,使只有拥有密钥的授权人才能解密获取信息,保证信息在传输过程中的安全。
(2)防病毒技术。根据有关资料统计,对电力信息网络和二次系统的威胁除了黑客以外,很大程度上是计算机病毒造成的。当今计算机病毒技术发展迅速,对计算机网络和信息系统造成很大的损害。采用有效的防病毒软件、恶意代码防护软件,保障升级和更新的时效性,是行之有效的措施。
(3)安全检测系统。通过专用工具,定期查找各种漏洞,监控网络的运行状况。在电力二次系统之间安装IDS入侵检测软件等,确保对网络非法访问、入侵行为做到及时报警,防止非法入侵。
3.2.3安全策略管理
对建的电力二次系统必须在建设过程中进行安全风险评估,并根据评估结果制定安全策略;对已投运且已建立安全体系的系统定期进行漏洞扫描,以便及时发现系统的安全漏洞;定期分析本系统的安全风险,分析当前黑客非法入侵的特点,及时调整安全策略。
3.2.4 数据库的安全策略
数据库的安全策略包括安全管理策略、访问控制策略和信息控制策略。但数据库的安全问题最主要的仍是访问控制策略。就访问控制策略分类而言,它可以分为以下几种策略。
(1) 最小特权策略: 是让用户可以合法的存取或修改数据库的前提下,分配最小的特权,使得这些权限恰好可以让用户完成自己的工作,其余的权利一律不给。
(2) 数据库加密策略: 数据加密是保护数据在存储和传递过程中不被窃取或修改的有效手段。
(3)数据库备份策略:就是保证在数据库系统出故障时,能够将数据库系统还原到正常状态。
(4)审计追踪策略:是指系统设置相应的日志记录,特别是对数据更新、删除、修改的记录,以便日后查证。
篇7
[关键词]竞争情报安全管理 ISO-CISMS IS0/1EC27002:2005协议
[分类号]G350
随着知识经济时代的到来,情报活动作为企业收集、分析有关经营环境、竞争者和本身的相关、准确、及时、前瞻性的情报以强化竞争优势的手段被频繁使用,导致企业竞争情报安全风险日益凸显。数据显示,各类经济情报活动每年给美国造成的损失达几千亿美元,使德国损失近5万个工作岗位。我国也有类似的惨痛教训,景泰蓝、宣纸、“金星”钢笔抛光技术等国宝级机密皆因保护不力而外泄。事实上,在当今激烈竞争的市场环境中,缺乏对竞争情报重要性的认识或保护不力的企业迟早会被淘汰出局。因此,如何有效地抵御对手的竞争情报活动,防止竞争性情报被对手获取,日渐成为企业和学术界关注的焦点。由于企业是一个开放式系统,竞争情报保护又涉及众多主体、客体(情报源、传播渠道与设施等)、环节和复杂内外部环境,因而其安全问题绝非仅是技术性或方法论问题,而是一项系统性工程,必须从策略、过程、实施控制、技术、资源和环境以及应急与处理机制等诸多方面进行规范和保护,以保障其保密性(eonfidentiality)、完整性(integrity)和可用性(availability),即构建竞争情报安全管理体系。
1 国内外研究现状
竞争情报简称cI(competitive intelligence),是关于竞争环境、竞争对手和竞争策略的信息和研究,是给组织竞争地位带来重大影响的外部威胁、机会或优势的情报及这些情报的获取、监控、分析、前瞻和预警过程。它是一种过程,包括对竞争信息的收集和分析;也是一种产品,包括由此形成的情报和谋略。本文所指竞争情报仅是狭义的竞争情报,指代企业内部的关键性情报,包括竞争对手、客户及合作伙伴情报、市场情报和技术情报等。
关于竞争情报安全,国内外许多学者已有一些研究。JerryP,Miller提出情报保护需历经定义保护需求、评估竞争对手、评估自身弱点、制定实施对策、分析监控、结果传递等6个步骤;John A,Nolan提出Phoenix商业情报保护模型,认为竞争情报活动是一个由任务、定义保护需求、评估弱点、制定对策、分析和6个环节构成的循环过程;美国军方受越战战例启发提出OPSEC模型,认为要对公开信息进行严格核查,以防零散公开信息被对手甄别、聚类分析并得到关键情报;有些文献介绍了反情报技术,如DNSBL等。国内对竞争情报安全也有一些研究,文献[7]对Phoe-nix模型进行了修正,提出工作步骤应包括保护技术、保护策略;文献[8]、[9]分别从知识流视角和基于博弈论构建了情报保护的动态监控与博弈模型;文献[10]利用人一机系统理论提出安全规避措施;有些文献则分别从制度、技术、法律、企业文化等视角进行了分析或策略构建。还有一些学者研究了竞争情报的泄密途径,文献[11]指出计算机的泄密渠道包括电磁波辐射、计算机网络、计算机存储、工作人员被策反和计算机系统被监控等。文献[12]分析了企业内部的情报泄密途径,包括企业网站、内部员工与第三方、搜索引擎、病毒和黑客攻击等;有些文献认为还有公开出版物、离职员工、业务伙伴、商业间谍、反求工程及其他灰色或非法途径等渠道。
从文献研究看,目前的竞争情报安全管理主要集中在泄密渠道、工作模式、安全技术、策略机制等领域,对竞争情报安全问题或阐述得比较笼统,或分析得不够深入,或角度单一,对企业如何建立竞争情报安全管理体系,实现竞争情报全面安全管理的理解不深、指导性不强。本文将以作为企业信息安全国际标准的ISO/IEC27002:2005协议为参照,以实现竞争情报的全面管理为目标,构建并系统地阐述企业竞争情报安全管理体系及其内涵。
2 竞争情报安全管理体系的构建基础
IS0/IEC27002:2005源自于1993年英国贸工部编写的信息安全管理文本“信息安全管理实用规则”,此后该文本于1995年被转化为国家标准(BS7799-1),2000年被ISO/IEC组织采纳为国际标准,2005年推出修订版本ISO/IECl7799:2005,2007年被更名为ISO/IEC27002:2005(内容不变),并与由BS7799-2标准演化而成的ISO/IEC27001:2005交相辉映,与随后形成的后续标准一起自成体系形成IS027000系列标准。
1SO/IEC27002:2005是一种信息安全管理体系规范,列举了在运营过程中对企业信息安全可能产生影响的因素,共设置了11大主题,39个控制目标和133个安全控制措施,包含安全政策、安全组织、资产分类与管理、个人安全、实体和环境安全、通信和运行管理、存取控制、信息系统的开发和维护、持续运营管理、符合法律等,旨在为一个机构提供用来制定安全标准、实施有效的安全管理时的通用要素,并得以使跨机构的交易各方互相信任。由于其规则实用性已成为信息安全领域最有影响力的信息安全标准,被广泛看作是优秀的、具有普遍意义的安全操作规则,因此成为我国信息安全标准GB/T20269-2006和《数字图书馆安全管理指南》等标准的主要参照蓝本。
由于竞争情报安全问题是一个涉及广泛且复杂的系统性问题,而ISO/IEC27002:2005是一个具有安全系统架构和实施办法的指南文本,其纲要体系及控制措施易于操作,且由于其架构的开放性和可增删性,各类企业可根据自身实际选择合适规模、层级的管理准则组合,形成了一个竞争情报安全“管理树”。同时,IS0/1EC27002:2005更重要的是传达一种系统性的、全局性的安全观念及一种泛安全管理的思维,因而它作为一个通用的信息安全管理实践准则,对企业竞争情报安全管理具有很好的参考作用。
3 基于ISO/IEC27002:2005标准的竞争情报安全管理体系的构建
传统的竞争情报安全管理一般包含两层意思:一是对内部关键情报进行监测和保护的活动;二是妨碍或阻止竞争对手的竞争情报行为。虽认知角度、重点不同,但基本共识是认为竞争情报安全管理的对象是企业内部情报;内容是监测和保护;目的是组织竞争对手或第三方的情报活动;态度是积极的;手段是合法的、正当的。但这些认知尚不足全面阐释竞争情报安全管理的内涵,且竞争情报安全管理有许多重要内容,因而本文提出的竞争情报安全管理是一种泛安全管理的理念。
3.1 竞争情报泛安全管理
在阅读文献与深入调研分析的基础上,本文认为竞争情报安全除包括实现内部情报的管理与保护外,还应包括对竞争对手实施的主动性反击策略,以及发生竞争情报泄密危机的管控与处置问题,这即是泛安全管理的概念范畴。
因此,竞争情报安全管理应包括5个向度:竞争情报安全策略与组织架构、竞争情报保护、主动性反竞争情报、安全管理保障和持续性管理。策略构架主要体现在企业的竞争情报安全管理战略、组织机构、安全策略文档等宏观层次构造与实践上;情报保护是竞争情报安全管理的主要任务,涉及竞争情报的分类管理、流动监控与保护;主动性反击能利用各种主动性策略手段分散竞争对手的注意力,迷惑对手或延缓其进攻与渗透;安全管理保障是各种制度与策略的审计、激励与保障机制;持续性管理是在受到攻击或情报泄密后的关键业务保护和业务修复能力,是发生灾难或危机的修复与重生机制。这几个向度相辅相成,共同构成竞争情报泛安全管理的内涵,如图1所示:
3.2 竞争情报安全管理体系的框架
基于泛安全管理的思维,参照ISO/IEC27002:2005标准,以竞争情报泛安全管理架构模型为主干,本文构造了竞争情报安全管理体系的框架ISO-CISMS(corn-pehtlve intelligence security management system based onISO/1EC27002:2005),该体系包含5个向度,10个管理大项,22个控制目标,56个关键控制点。向度和管理大项指出了竞争情报安全管理的工作内容框架和架构,控制目标分析了安全管理需实现的目标,关键控制点则给出了安全管理工作的实践要点。这种“分层设计”既兼顾了安全管理理论和实践方向与范围,也提供了操作性强的工作要点,可为当前竞争情报安全管理提供统一框架及解决方案,也回答了John J,McGonagJe在《让企业免于对手竞争情报行为的攻击》中提出的“要做什么,怎样做和在哪里做”的问题,如图2所示:
3.2.1 策略方针与组织构架策略方针与组织构架是指竞争情报安全管理的宏观层次构造与实践,包括竞争情报安全管理战略、组织机构、安全策略文档等,主要明确工作的原则、方针和相关策略,明确体系建设的意义、目标及建立体系需遵守的原则,以及如何建立极具管控力和渗透性的安全管理组织与人员架构。具体内容见表1。该向度的主要载体是竞争情报保护工作策略文档,该文档包含工作的重要性、工作的原理和目的、安全策略的原则性要求、违反安全策略后的责任级别及相应的处理办法等内容。
竞争情报安全管理作为一项系统性工程,是管理层的共同运营责任。为保障效率,应设置竞争情报安全管理机构,对已有信息或情报部门进行合并。组织架构可根据情况采取集中式和分布式相结合的方式。集中式权力集中,操作简单;分布式分散监控,覆盖而广。专职部门负责情报人员的专业技能培训及企业竞争情报保护策略、文化建设和监管协调等。兼职人员分布在各部门,负责自己部门的情报监控与保护。机构成立后,可以确保从管理上支持此项工作,以便更好地监测情报安全事项变动,维护竞争情报安全。在该管理项中,重要的关键控制点是安全管理人员在各部门的覆盖率,直接关系到竞争情报安全监控工作。
3.2.2 竞争情报保护
竞争情报保护是指对各种信息、情报或文件中的关键性情报的保护,组织结构对工作原则、方针和策略的执行情况。由于竞争情报的核心地位,竞争情报保护一直是竞争情报安全工作的重心。其活动过程是基于竞争对手的竞争情报搜集过程的,由于竞争情报的泄密渠道包括企业内部、公开倩息、第三方、内部数据库或信息系统等道德或不道德途径,因而竞争情报保护必须强化对各种泄密风险点的控制力,保证策略的完备性和执行力度及粒度,阻止现实的或潜在的竞争对手对本企业的竞争情报活动。
在竞争情报安全保护体系中,竞争情报保护向包括情报分类与控制、人员安全管理、物理环境及通信设施安全防护以及保障性制度等具体内容,如表2所示:
情报分类与控制:对公司数据库和核心文件、公司制度、安全策略、公开信息等情报资源编制情报清单,并根据相对价值、重要程度进行分类编码,确定安全等级,当然该清单应是动态更新的。对情报实施管理和控制,建立规范的情报管理制度,保障情报的合理、安全流通,严格情报传播控制、文件管理、与公开信息审核及信息垃圾处理制度,去除其中的关键信息或情报,加大对手的分析难度。
人员安全管理:在竞争情报视角,相关人员包括作为战略资源而成为保护对象的人员;作为管理对象的人员,如竞争情报保护人员、业务人员、第三方人员、显性或隐性及潜在竞争对手。对不同类型的人员应实施不同安全策略:①重定义工作内容,把安全责任定义到工作责任中;②对人员进行安全教育和培训,明确安全策略内容及其更新;③确立人员交往规范,根据合作伙伴、第三方或竞争对手的不同进行价值或重要程度权衡,建立不同交往策略规范。
物理和环境的安全:加强物理位置和环境的安全保护是竞争情报保护工作的显性措施。划分安全区域,根据关键性的业务或情报重要性和风险性设置相应安全区域,用物理屏障实现授权访问和保护,对安全区域实施监控;信息载体安全,妥善养护与管理各类信息载体设备,做好设备的进入与带出,也要做好登记与稽核。
网络与通信管理:由于企业应用越来越基于网络实现,竞争情报保护也应重视网络与通信领域的管理,当然这也是目前研究较多并相对成熟的领域,可用技术较多,如数据加密、数字签名、访问认证、安全防护、检测与追踪等,市场上也均有成熟的产品可供选择。
3.2.3 主动性反竞争情报竞争情报保护如果是被动的,往往使自身在竞争对手的攻击中处于被动位置而效果不佳,因而针对竞争对手进行监测并实施主动性手段是必要的,以在攻防时占定先机,本文认为这即是反竞争情报的狭义概念。具体内容如表3所示:
国内外对于反竞争情报的研究还处于起步阶段,从Web of Science数据库和国内的CNKI检索发现,有效文献一共不到200篇。其概念论述也不统一,邵波认为反竞争情报是模仿竞争对手监测和分析自身活动的过程,它是针对竞争情报活动而开展的阻止或妨碍竞争对手获得自身情报的信息研究活动,是一种对自身核心信息的保护方法。秦铁辉、罗超认为它是企业为了保护自身情报资源而开展的一系列防范性情报工作,以抵御竞争对于针对本企业的情报活动。杨之霞认为企业反竞争情报是为了控制或延缓企业核心情报向外界传递而开展竞争情报活动的动态博弈,主要采用掩蔽和迷惑的手段,最大限度地掐断竞争对获取本企业情报的主要知识源和知识流,保护企业关键信息不被竞争对手获得。其他学者也有一些定义,尽管角度不同、描述不一,但本质都是保护企业情
报免受其他组织的竞争情报活动的组织过程。但在策略手段上,侧重于防御性手段论述,虽然也提及一些主动性策略或措施,但均没有将其作为反竞争情报的核心与显要特征。实际上,以防御性手段保护竞争情报安全应属于竞争情报保护概念范畴,而反竞争情报则主要指采用积极主动策略达到防卫或反击目的的战略战术情报行为。
实施反竞争情报可通过识别竞争对手,模拟主要竞争对手的竞争情报行为,阻断竞争情报活动点和活动渠道,消灭风险点;虚假消息,干扰对手判断,诱导驱使其作出己方期望的决策。这种“假情报”可故意向对手传播、散发,涉及企业战略、技术方向、财务状况等方面的虚假或不准确信息,以迷惑竞争对手,或将其引入错误判断或发生决策失误。有时还可实施反逆向工程阻止竞争情报人员通过对产品解剖来分析化验其材料组成、设计构造、生产工艺等方面的机密信息,甚至因此而付出巨大代价,如日本东芝在其生产的电池内部进行了特殊处理,一旦电池被拆开,便会发生爆炸,使对手的反求工程变得艰难。
3.2.4 持续性管理持续性管理即是建立情报泄密风险清单,评估其发生概率与可能造成的威胁,并在不利事件发生时采取相应的机制及策略,以防止关键业务受到影响,实现企业持续运行。持续性管理需要引起重视的原因是随着竞争情报活动的日益频繁,企业面临的情报泄密风险无处不在,甚至很难完全避免,企业必须在发生关键情报的泄密后进行恰当的应急处置,以防止企业由此而出现重大损失,同时确保关键与核心业务不受影响。
在竞争情报安全管理体系中,持续性管理是一项必不可少的重要内容,从国际上看,那些及时引进持续性管理的企业,在面对灾难时均能化险为夷,诸多发达国家甚至将其列为上市的必要条件。持续性管理的核心内容是业务持续性计划的编制与维护,该计划包含业务流程、数据和技术基础设施确立、泄密风险识别及概率和威胁分析、泄密风险点分类与管理、业务持续性策略等内容。由于情势的不断变幻,业务持续性计划的维护与更新也是十分重要的。该管理大项包括3个控制目标,具体内容如表4所示:
3.2.5 安全管理保障在竞争情报保护体系中,信息保护、人员安全、物理与环境、网络与通信管理都必须建立相应机制加以保障。安全管理保障是“制度的制度”,贯穿竞争情报安全管理活动,为其保驾护航。在竞争情报安全管理体系中,安全保障机制主要包含制度与文化两个层次。制度层是硬性机制;文化层是软性机制,两者相辅相成,共同作用。具体内容如表5所示:
保障性制度。保障性制度是保障企业严格实施竞争情报安全策略的制度集,包含稽核制度、维护制度、激励制度和惩罚制度等。稽核制度可检查策略的完备性、适用性和执行情况,发现问题立即加以更新与维护,对出现执行问题的,能明确加以惩处或通过激励措施予以激励。在实际中,可仿照ISO 9000标准的内审员制度,由专人定期审计,并与竞争情报安全体系进行程序性对照。当出现任何事实性不符或事实改变时都要审核是否违反策略,分析其违反后是否会对情报安全造成影响,如此才能保证该体系完全实施。
竞争情报安全文化。企业文化是企业在运营过程中形成的所有成员共同认同的,关于企业运营的战略目标、理念、思维方式、价值观和行为规范等要素的总和。研究表明,强文化对企业发展具有极大的正向作用,而强情报安全文化对竞争情报安全管理具有同样的作用。在该体系中,竞争情报安全文化包含竞争情报战略制定,是否形成重视竞争情报安全的企业理念,该理念有没有输入企业的经脉与血液,特别是管理者的意图及坚决态度,对竞争情报保护工作的支持程度;企业精神的强度,和睦、团结、协作的企业氛围,将不同类型、价值观和行为方式的人员凝聚,强化向心力及对企业的责任感,减少竞争对手的渗透。
4 结论与展望
篇8
关键词:计算机网络;信息安全;安全体系
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)12-2818-02
随着计算机网络技术得到了飞速发展,Internet用户数和商业应用快速增长,对计算机和网络系统的严重依赖使得我们必须确保计算机和网络系统的安全;否则,不仅会造成大量的人力、物力资源的浪费、经济的损失,公司商业机密信息或研究技术文档的被窃,甚至会丢失有关国家的机密,进而危及国家的安全。所有这些信息安全与网上信息对抗的需求,使得如何增强计算机系统和网络系统安全性的研究成了举世瞩目的焦点。
1 信息安全对企业的重要性
现代社会是一个信息爆炸的社会,信息作为重要的战略资源,其开发与利用已成为企业竞争能力的关键标志和企业发展的重要推动力。建立一套科学的、规范的信息系统是企业发展势在必行的。
通过信息化建设,各企业都已建立相关的业务支撑系统、管理信息系统等,计算机的应用已遍布整个企业内部。例如:电信运营公司内部建立了计费系统、营业账务系统、客户关系管理系统等面向用户的各类业务支撑系统;还建立了办公信息系统、资产管理信息系统、人力资源管理系统等面向企业内部的综合管理信息系统。这些计算机信息系统涉及诸如资金、交易、商业机密、个人隐私等信息,因此在信息系统建设中一定要重点考虑整个系统的安全问题。安全性问题覆盖了整个系统中主机、网络、通信、应用、信息、数据的方方面面,以及对网络、设备、通信、操作、人员的安全管理。安全问题能导致信息系统的瘫痪、重要数据的丢失,使企业用户的业务停顿,管理陷入混乱,最终结果是给企业造成严重的经济损失,导致企业竞争力大大下降。因此信息安全问题,已经与企业的生存能力息息相关。
2 BS7799和信息安全管理体系(ISMS)
信息安全发展至今,人们逐渐认识到安全管理的重要性,为了指导全面的信息安全工作,作为信息安全建设蓝图的安全体系就应该顾及安全管理的内容。BS7799是BSI制定的关于信息安全管理方面的标准,包含两个部分:
1)第一部分是被采纳为ISO/IEC 17799:2000标准的信息安全管理实施细则,它在10个标题框架下列举定义了127项作为安全控制的惯例,供信息安全实践者选择使用;
2)第二部分是建立信息安全管理体系(ISMS)的一套规范,详细说明了建立、实旌和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准。
作为一套管理标准,BS7799―2指导相关人员怎样去应用ISO/IEC 17799,其最终目的,还在于建立适合企业需要的信息安全管理体系(ISMS)。信息安全管理体系ISMS如图l所示。
BS7799提出的ISMS是一个系统化、程序化和文档化的管理体系,技术措施只是作为依据安全需求有选择有侧重地实现安全目标的手段而已。不过,Bs7799对ISMS并没有一个明确的定义,也没有描述ISMS的最终形态,它只对建立ISMS框架的过程和符合体系认证的内容要求有一定的描述。
3 信息安全技术体系
技术体系部分主要是应用PPDRR模型中PDRR动态自适应的闭环体系,涵盖了防护、检测、响应、恢复等四部分。其主要是通过以下相关技术实现:
1)防火墙技术:实现安全系统与外网、内部各网络之间的隔离。利用集中安全监控平台或者独立的防火墙集中管理系统,完成对全网防火墙的集中管理、集中监控与集中策略管理与审核。
2)病毒防护:构建具有网络病毒防护能力的病毒防护系统,可以动态升级病毒库。在中心设置防病毒中心服务器,并对所有主机、终端等安装防病毒软件客户端。
3)全漏洞扫描:找出系统中存在的安全漏洞和隐患,扫描对象包括两类:网络设备和主机设备,网络设备主要扫描防火墙、路由器等设备的配置是否存在安全漏洞。
4)入侵检测系统:实时监测系统中的数据包,对进出各系统的网络流量进行检测,识别非法连接请求及网络入侵,自动阻断连接,报警并记录日志;通过分析关键服务器上的内核级事件、主机日志和网络活动,执行实时的入侵检测并阻止恶意活动。
5)身份认证技术:针对企业口令管理以及静态口令不安全问题,提出动态口令身份认证技术,保护口令的安全。
6)系统监控响应:主要通过建立监控管理系统进行监测、响应。监控系统可以将检测到的入侵行为、攻击行为等信息安全事件,进行自动的响应,保护系统的安全。
7)备份容灾技术:在企业中构建备份系统和容灾中心,当主数据中心由于各种突发性意外原因导致生产系统崩溃时,备份系统和容灾中心可完全接管全部工作,并能够在极短时间内,恢复业务系统的运行。
4 信息安全若干模型的探讨
4.1 IS07498―2信息安全模型
在IS07498―2中定义的信息系统安全体系结构由5类安全服务及用来支持安全服务的8种安全机制构成。安全服务体现安全体系所包含的主要功能及内容,安全机制规定了与安全需求相对应的可以实现安全服务的技术手段,二者有机结合相互交叉,在安全体系的不同层次发挥作用。这种安全体系,充分体现了层次性和结构性。
以下分别介绍ISO 7498―2安全体系结构的5类安全服务、8种安全机制。
4.1.1 安全服务
1)鉴别服务:可以鉴别参与通讯的对等实体和源;授权控制的基础;提供双向的认证;一般采用高的密码技术来进行身份认证。
2)访问控制:控制不同用户对信息资源访问权限;要求有审计核查功能;尽可能地提供细粒度的控制;
3)数据完整性:是指通过网上传输的数据应防止被修改、删除、插人替换或重发,以保证合法用户接收和使用该数据的真实性;用于对付主动威胁。
4)数据保密性:提供保护,防止数据未经授权就泄露;基于对称密钥和非对称密钥加密的算法;
5)抗抵赖:接收方要发送方保证不能否认收到的信息是发送方发出的信息,而不是被他人冒名篡改过的信息;发送方也要求对方不能否认已经收到的信息,防止否认对金融电子化系统很重要。
4.1.2 安全机制
1)数据加密机制:向数据和业务信息流提供保密性,对其他安全机制起补充作用;
2)数据签名机制:对数据单元签名和验证,签名只有利用签名者的私有信息才能产生出来;
3)访问控制机制:利用某个实体经鉴别的身份或关于该实体的信息或该实体的权标,进行确定并实旌实体的访问权;可用于通讯连接的任何一端或用在中间连接的任何位置;
4)数据完整性机制:两个方面:单个的数据单元或字段的完整性、数据单元串或字段串的完整性;
5)鉴别交换机制:通过信息交换以确保实体身份的机制;
6)业务填充机制:一种制造假的通讯实例、产生欺骗性数据单元或在数据单元中产生假数据的安全机制;提供对各种等级的保护,防止业务分析;只在业务填充受到保密时有效;
7)路由控制机制:路由既可以动态选择,也可以事先安排;携带某些安全标签的数据可能被安全策略禁止通过某些子网、中继站或链路;连接的发起者可以请求回避特定的子网、中继站或链路;
8)公证机制:关于在两个或三个实体之间进行通讯的数据的性能,可由公证机制来保证;保证由第三方提供;第三方能得到通讯实体的信任。
ISO 7498―2安全体系结构针对的是基于OSI参考模型的网络通信系统,它所定义的安全服务也只是解决网络通信安全性的技术措施,其他信息安全相关领域,包括系统安全、物理安全、人员安全等方面都没有涉及。此外,ISO 7498―2体系关注的是静态的防护技术,它并没有考虑到信息安全动态性和生命周期性的发展特点,缺乏检测、响应和恢复这些重要的环节,因而无法满足更复杂更全面的信息保障的要求。
4.2 IATF信息安全模型
IATF是由美国国家安全局组织专家编写的一个全面描述信息安全保障体系的框架,它提出了信息保障时代信息基础设施的全套安全需求。IATF提出了信息保障依赖于人、操作和技术来共同实现组织职能、业务运作的思想,对技术、信息基础设施的管理也离不开这三个要素。人,借助技术的支持,实施一系列的操作过程,最终实现信息保障目标,这就是IATF最核心的理念。IATF定义了实现信息保障目标的工程过程和信息系统各个方面的安全需求。在此基础上,对信息基础设施就可以做到多层防护,这样的防护被称为“深度保护战略”,IATF核心恩想如图2所示。
不过,尽管信息安全保障体系框架IATF提出了以人为核心的思想,但整个体系的阐述还是以技术为侧重的,对于安全管理的内容则很少涉及。IATF为我们指出了设计、构建和实施信息安全解决方案的一个技术框架,概括了信息安全应该关注的领域和范围、途径和方法、可选的技术性措施,但并没有指出信息安全最终的表现形态。
4.3 P2DR动态自适应的信息安全模型
P2DR动念自适应安全模型是美国国际互联网安全系统公司(1SS)最先提出的,即Policy(策略)、Protection(防护)、Detection(检测)和Response(响应)。按照P2DR的观点,一个完整的动态安全体系,不仅需要恰当的防护(如操作系统访问控制、防火墙、加密等),而且需要动态的检测机制(如入侵检测、漏洞扫描等),在发现问题时还需要及时响应,这样的体系需要在统一的、一致的安全策略指导下实施,形成一个完备的、闭环的动态自适应安全体系。
P2DR模型是建立在基于时间的安全理论基础之上的:Pt:攻击成功所需时间被称作安全体系能够提供的防护时间:Dt:在攻击发生的同时,检测系统发挥作用,攻击行为被检测出来需要的时间;Rt:检测到攻击之后,系统会做出应有的响应动作,所需时间被称作响应时问;Et:系统暴露时间,即系统处于不安全状况的时间(Et=Dt+Rt-Pt)要实现安全,必须让防护时间大于检测时间加上响应时间,即:Pt>Dt+Rt。
P2DR模型基本上体现了比较完整的信息安全体系的思想,勾画出信息安全体系建立之后一个良好的表现形态。近十年来,该模型被普遍使用。
P2DR动态自适应安全体系模型针对的是基于时间的安全理论构建的闭环的动态体系结构,也只是解决信息安全的技术措施,其他信息安全相关领域,包括系统安全、物理安全、人员安全等方面都没有涉及。此外,P2DR动态自适应安全体系虽然已经关注信息安全动态性和生命周期性的发展特点,但缺乏恢复的环节,因而无法满足更复杂更全面的信息保障的要求。
4.4 PPDRR的信息安全模型
在P2DR模型中,恢复(Recovery)环节是包含在响应(Response)环节中的,作为事件响应之后的一项处理措施,不过,随着人们对业务连续性和灾难恢复愈加重视,尤其是911恐怖事件发生之后,人们对P2DR模型的认识也就有了新的内容,于是,PPDRR模型就应运而生了。PPDRR模型,或者叫P2DR2,与P2DR唯一的区别就是把恢复环节提到了和防护、检测、响应等环节同等的高度。在PPDRR模型中,安全策略、防护、检测、响应和恢复共同构成了完整的信息安全体系。PPDRR也是基于时间的动态模型,其中,恢复环节对于信息系统和业务活动的生存起着至关重要的作用,组织只有建立并采用完善的恢复计划和机制,其信息系统才能在重大灾难事件中尽快恢复并延续业务。
基于PPDRR的安全体系模型针对的同样是基于时间的安全理论构建的闭环的动态体系结构,仍没涉及其他信息安全相关领域,包括系统安全、物理安全、人员安全等方面都没有涉及。因而无法满足更复杂更全面的信息保障的要求。
5 结束语
本文作者主要对信息安全体系结构领域中现有的各种体系模型进行了综述和分析,详细地讨论了各种体系模型的优缺点。使我们能够从整体上把握信息安全体系结构领域的研究和发展方向,为我们以后的研究工作奠定了必要的理论基础。
参考文献:
[1] 林宁,吴志刚.我国信息安全标准化现状[J].计算机世界:信息安全专刊,2003(8).
[2] 孙强,陈伟,王东红.信息安全管理:全球最佳实务与实施指南[M].北京:清华大学出版社,2004.
篇9
关键词:信息安全;管理;电子信息
引言
在计算机技术更新、发展迅速的今天,总有一些不法分子通过各种手段窃取企业信息,严重威胁企业财产、业务安全,甚至损坏企业形象与品牌。在传统的信息安全管理中,往往忽略了人在信息安全方面的重要作用,而仅仅依赖于技术管理。虽然技术对信息安全管理有重要作用,但如果只依赖于技术管理,将不能起到良好的防范效果。因为据权威机构的数据显示,在所有信息安全事故中,70%-80%是因为内部员工的疏忽或泄密引起的。因此,为了提高电子信息的安全管理,必须加强企业对网络的防范意识,建立电子商务安全管理体系和信息安全管理制度等。
一、加强电子信息网络安全防范意识
据调查,网站安全的隐患,在我国的许多企业都有存在,它的原因主要是企业管理者对网络安全意识缺乏足够的重视,他们大多数对网络安全系统只建立了技术防范机制,用一些先进的技术手段阻隔窃取者的入侵,保证电子信息的安全,但是却未形成互联网易受攻击的意识。这就为黑客等窃取者有机可乘。尤其在一些中小企业,认为自己公司的规模小,不会招致侵犯,如此态度,网络安全就更难以得到保护。因此,要使电子商务信息安全得到保护,必须加强企业管理者与工作人员的安全防范意识,只有如此才能维护电子商务信息安全。
二、建立健全电子安全管理组织体系
加强对电子信息安全的保护,必须在坚持企业目标与安全方针的前提下,在企业内部建立电子商务安全管理组织体系,就是建立信息安全指导委员会,对组织内的信息安全问题定期进行讨论与解决。他们主要负责审批信息安全方针、政策;分配信息安全管理职责;并对风险评估加以确认,对信息安全预算计划及设施购置的审查与批复;此外,还有负责实施与评审信息安全的措施与监测和对安全事故的处理;以及协调与信息安全管理有关的重大更改事项的决策,对信息安全管理队伍与各部门之间的关系的等职能。
三、建立电子信息安全管理制度
电子商务信息安全管理制度主要有人员管理制度、保密制度、系统维护制度、病毒防范制度等。制定科学合理的电子信息安全管理制度,对企业的信息安全管理有着积极的促进作用。企业要根据自身的特点,在制度制定时对网络信息的安全等级进行有序的划分,以此使具体的安全目标加以确立。
1.人员管理制度
人员管理制度包括人事选拔制度、人员管理原则、网络管理人员的基本要求等内容。其中,良好的人事选拔制度是维护电子信息安全之本。人员管理的基本原则包括多人负责原则和轮岗原则、有限权力原则、离职控制原则。而网络管理人员的基本要求包括以下几个方面:
(1)不得随便放置账号和密码;(2)在废纸堆中不得放置敏感数据;(3)不得使陌生人进入要害部门;(4)要将防火墙等安全产品谨慎配置;(5)不得使用人人皆知的密码和空密码;(6)加强层层设防重要系统;(7)查阅安全日志需配备专人;(8)对员工的安全防范意识加以培训。
2.保密制度
企业的市场、生产、财务、供应等多方面的机密,电子信息运营都有所涉及,因此制定和实行严格的保密制度是完全有必要的事情。我们依靠信息的性质和重要程度,将保密信息划分为三级。分别是必须实行强制安全保护的A级机密信息,必须实行自主安全保护的B级内部信息与必须实行一般安全保护级的C级公共信息。
3.网络系统的日常维护制度
网络系统的日常维护制度是用于记录系统运行的全过程。这就要求企业在网络系统中建立网络交易系统日志机制,并自动生成日志文件。日志文件主要内容有:操作的日期、操作的方式、登录的次数、运行的时间、交易的内容等。它对监督系统的运行、分析维护、恢复故障、防止盗密案件的发生等起着非常重要的作用。此外,它还有检查系统日志、审核、对系统故意入侵行为及时发现的记录和对系统安全功能违反的记录、监控和捕捉各种安全事件、保存、维护和管理系统日志等的审计作用。
4.防止病毒入侵制度
作为防止病毒袭击,保证网上交易的一个重要方面,防病毒入侵制度对网上交易的顺利开展,有着积极的防范作用。因此必须及时建立病毒防范措施,实行病毒定期清理制度,将处于潜伏期的病毒清除干净,预防与阻止病毒的突然爆发,保持计算机的工作状态始终处于良好的环境中,从而为网上交易的正常进行提供有力的保证。
四、结束语
企业电子信息的安全管理依赖于一个完整而有力的管理体系,来保证信息安全管理的规范与长效。而建立完善的管理体系需要注重人为方面的因素,将人为因素与科技因素结合起来,这样才能达到企业安全管理的安全、可靠与稳定。
参考文献:
[1]赵刚;王兴芬.电子信息安全管理体系架构优先出版[J].北京信息科技大学学报(自然科学版,2010(14).
篇10
1管理维护人员少
我局信息系统管理维护工作主要由计算机中心负责,下设软件科、系统科、综合科共14名在编人员。信息系统的维护管理工作主要由系统科4名人员负责。一方面在开展系统维护工作时人手不足,无法覆盖到区县;另一方面由于新技术更新较快,人员对新知识与新技术的掌握不足,不利于有效的开展信息安全维护管理工作。
2系统漏洞影响大
税务信息系统对数据完整性与服务实时性高要求非常高,当今漏洞挖掘技术极大缩短系统漏洞的发现周期,经常性对核心应用系统进行升级补丁将对系统数据完整性与保障系统服务及时性造成一定的风险。
3黑客攻击与计算机病毒传播路径广
我局内部业务网已连接到全市23个下属单位,黑客可通过任何一个单位对我局核心业务应用发起攻击。同时随着移动互联网的快速发展,wfif、手机连接到终端计算机等都有可能成为业务内网与互联网的接口,使我局核心业务应用遭受到互联网的攻击。同时移动存储介质不安全的使用方式、工作员通过互联网下载的软件等都有可能导致病毒大规模传播。
二、新形势税务信息安全管理工作实践
1信息安全管理工作分解,明确分工与职责
我局信息安全工作的未来发展方向与符合我局实际情况的管理要求、监督指导执行层落实工作信息安全工作、考评执行层与支撑层的工作绩效。为全局的信息安全保障工作发挥着规划、指导、监督、考评作用,推动我局各项信息安全管理工作得以落实。执行层由各区县局单位指派在编工作人员担任,目前我局在各区县局设立信息岗,由具备一定计算机基础知识的工作人员担任。主要工任务是按照市局的管理要求开展日常的信息安全维护工作,并处理常规信息安全问题、向其他工作人员宣传市局既定的管理要求,提高全员的信息安全意识。通过执行层开展的信息安全工作,使市局规划的各项信息安全管理要求在基层得到落实。为提高执行层的工作能力,市局定期集中工作人员开展培训,传达市局信息安全工作思路、讲解工作中涉及的信息安全技术、宣传信息安全形势等。支撑层由第三方公司担任,为使我局信息安全管理工作更高效,我局将信息系统各项技术维护工作外包给各技术领域有一定实力的公司,由公司安排具备工作经验与能力的专业技术人员常驻我局,开展技术维护工作。我局管理人员根据制定的管理要求对各公司的维护工作进行考评。
2周期性检测,评估安全风险
漏洞挖掘技术很大程度的缩短了系统漏洞的发现周期,对税务系统是个非常大的安全隐患,常规的运行维护难以发现深层次的安全漏洞。因此我局将对信息系统及终端计算机的安全检测列入周期性的工作计划,不流于风险评估与等级保护测评的工作形式。以实质性的发现系统与终端安全漏洞为手段;以采取有效、可靠、安全的处置方法,降低系统安全风险为目标。将安全检测工作委托第三方专业的公司定期开展,将检查结果转交各类技术的维护公司进行处理。并对安全专业公司的检测能力,各类技术维护公司的处置能力纳入到统一考评体系,确保我局安全漏洞检测的全面性、准确性,问题处理的正常性、有效性。3建立以制度为依据、以技术为支撑的监督、管理工作流程为解决我局终端数量多、地域分布广、安全管理难度大的难题,管理层经讨论、研究针对终端安全及网络边界管理的方法,论证管理要求与技术实现的可行性,制定终端安全管理与网络边界管理的总体纲领策略。并测试、采购符合我局安全管理需求的安全技术实施部署。市局下发针对性的安全管理要求文件,安全技术根据市局管理要求部署基本的控制与审计策略。为更好的发挥技术平台的管理功效,市局将基本安全管理策略之外的管理权限下放到各区县局,由各单位根据自身实际情况制定管理规则。市局根据平台产生的数据,对违规使用资源、违规操作的个人与单位进行监督与通报,并纳入对各单位的考评。通过管理要求与技术平台的有机结合,使我局各项信息安全管理制度得到落实,并定期召集各单位对信息安全管理工作的经验进行交流与推广,提高全局的信息安全管理水平。
三、新形势税务信息安全管理探索方向
信息安全管理工作在设计上需成体系、在落实上需有支撑,这项工作有着一定的复杂性、周密性与完整性。并非依靠制定一系列的管理规定,或部署完善的信息安全技术就能立即提高信息安全管理水平。而是需要规划整体的安全管理方针与目标;根据方针与目标制定基础的保障框架;逐步完成基础保障框架中的管理、技术与过程建设;并在运行维护中不断的找出管理、技术与过程建设存在的不足,并进行改进,使信息安全管理水平不断的提高,逐渐形成适合我局的信息安全管理体系。目前我局制定信息安全管理的基本方针是建立以风险管理为核心的信息安全管理体系。在该方针的指导下,我局计划建立的基本信息安全保障框架为:
(1)以采取一切手段发现整体信息系统中存在的安全问题为基础。
(2)以评估发现的问题对信息系统可能产生的安全风险为支撑。
(3)以找出问题的有效、可靠、安全处置机制为保障。
(4)以监督、评估问题处置的有效性,降低安全风险为目标。因此在已定的安全保障框架下,管理层还需继续探索符合我局实际情况的信息安全管理方法,以管理有效方法为基础制定管理策略、以管理策略为依据选购安全技术、以安全技术为支撑开展具体管理工作、以具体管理工作为监督推动管理落实、以管理落实效果为依据检验管理方法、以优化管理方法目标提高安全管理效益。
四、结语
