网络信息安全管理体系范文

时间:2023-11-01 17:26:18

导语:如何才能写好一篇网络信息安全管理体系,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络信息安全管理体系

篇1

英国标准协会(BSI)1999年修订版的《信息安全管理体系标准》中指出,信息安全管理体系主要包括信息安全政策、信息安全组织、信息资产分类与管理、个人信息安全、物理和环境安全、通信和操作安全管理、存取控制、信息系统的开发和维护、持续运营管理等几个方面的内容。信息安全管理的模型大多是基于过程和流程的框架提出的,如ISO/IEC提出的ISMS模型就是一个基于计划-实施-检查-改进四个步骤的过程性体系(PDCA),在帮助用户了解自身信息安全需求并制定相应的安全策略的同时,还可以反馈过来指导企业的信息安全管理的执行,是目前国际上信息安全管理的主流标准。

2信息安全管理提的构建

构建有效的信息安全管理体系必须在适合自身业务发展和信息安全需求的前提下,按照适当的程序进行搭建,同时还应加强对相关文件的严格管理,以建立健全的体系。建立信息安全管理体系,首先需要根据自身实际情况搭建一个信息安全管理的框架,并对信息安全政策进行一个合理、全面且通熟易懂的定义,以避免工作中出现不必要的差错。信息安全政策是构建信息安全管理体系的基石,应形成有效的书面文件,使员工广为知晓,然后再在此基础上,综合各方面需要考虑的因素,对ISMS的范围进行一个合理的定义,便于对不同的工作部门和分工领域进行高效的信息安全管理。完成了对上述的定义之后,还需要对信息安全风险作出风险评估,对风险的复杂程度和受保护资产的敏感程度作出明确的评估,为后续避免风险采取技术措施提出合理的指示。信息安全管理体系的建设需要在信息安全管理框架的基础上,充分考虑实施经费、不同部分的协调工作等各方面因素,建立信息安全政策、信息安全管理目标以及适用性申明等相应的文档,并对文档进行严格的、有规律的管理和修正,协调与融合各个信息安全管理系统的工作,充分促进信息安全标准系统的功能发挥。

3我国信息安全管理的现状

信息技术的发展一方面推动者信息管理工作的进步,另一方面,也在不断地为信息安全管理体系带来新的挑战。计算机硬件、软件收到恶意破坏,数据遭到更改,信息被泄露都是对信息安全管理体系的威胁,而为系统软件设置防火墙、使用补丁程序修改漏洞则都是对信息安全管理的有效维护。为了更好地推进我国信息安全管理工作,加强信息安全管理工作,中央批准成立国家信息安全产品测评认证中心以及家计算机网络信息安全管理中心这两个重要部门,以支撑国家的信息安全管理体系的正常运行。

4信息安全管理的标准

篇2

【关键词】网络安全;防火墙;数据库;病毒;黑客

 

当今许多的企业都广泛的使用信息技术,特别是网络技术的应用越来越多,而宽带接入已经成为企业内部计算机网络接入国际互联网的主要方式。而与此同时,因为计算机网络特有的开放性,企业的网络安全问题也随之而来,由于安全问题给企业造成了相当大的损失。因此,预防和检测网络设计的安全问题和来自国际互联网的黑客攻击以及病毒入侵成为网络管理员一个重要课题。

一、网络安全问题

在实际应用过程中,遇到了不少网络安全方面的问题。网络安全是一个十分复杂的问题,它的划分大体上可以分为内网和外网。如下表所示:

由上表可以看出,外部网的安全问题主要集中在入侵方面,主要的体现在:未授权的访问,破坏数据的完整性,拒绝服务攻击和利用网络、网页浏览和电子邮件夹带传播病毒。但是网络安全不仅要防范外部网,同时更防范内部网。因为内部网安全措施对网络安全的意义更大。据调查,在已知的网络安全事件中,约70%的攻击是来自内部网。内部网的安全问题主要体现在:物理层的安全,资源共享的访问控制策略,网内病毒侵害,合法用户非授权访问,假冒合法用户非法授权访问和数据灾难性破坏。

二、安全管理措施

综合以上对于网络安全问题的初步认识,有线中心采取如下的措施:

      (一)针对与外网的一些安全问题

对于外网造成的安全问题,使用防火墙技术来实现二者的隔离和访问控制。

防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以对所有的访问进行严格控制(允许、禁止、报警)。

防火墙可以监视、控制和更改在内部和外部网络之间流动的网络通信;用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,从而保护内部网络操作环境。所以,安装防火墙对于网络安全来说具有很多优点:(1)集中的网络安全;(2)可作为中心“扼制点”;(3)产生安全报警;(4)监视并记录Internet的使用;(5)NAT的位置;(6)WWW和FTP服务器的理想位置。

但防火墙不可能完全防止有些新的攻击或那些不经过防火墙的其它攻击。为此,中心选用了RealSecure System Agent和Network Engine。其中,RealSecure System Agent是一种基于主机的实时入侵检测产品,一旦发现对主机的入侵,RealSecure可以中断用户进程和挂起用户账号来阻止进一步入侵,同时它还会发出警报、记录事件等以及执行用户自定义动作。RealSecure System Agent还具有伪装功能,可以将服务器不开放的端口进行伪装,进一步迷惑可能的入侵者,提高系统的防护时间。Re?鄄alSecure Network Engin 是基于网络的实时入侵检测产品,在网络中分析可疑的数据而不会影响数据在网络上的传输。网络入侵检测RealSecure Network Engine在检测到网络入侵后,除了可以及时切断攻击行为之外,还可以动态地调整防火墙的防护策略,使得防火墙成为一个动态的、智能的防护体系。

通过部署入侵检测系统,我们实现了以下功能:

对于WWW服务器,配置主页的自动恢复功能,即如果WWW服务器被攻破、主页被纂改,系统能够自动识别并把它恢复至事先设定的页面。

入侵检测系统与防火墙进行“互动”,即当入侵检测系统检测到网络攻击后,通知防火墙,由防火墙对攻击进行阻断。

      (二)针对网络物理层的稳定

网络物理层的稳定主要包括设备的电源保护,抗电磁干扰和防雷击。

本中心采用二路供电的措施,并且在配电箱后面接上稳压器和不间断电源。所有的网络设备都放在机箱中,所有的机箱都必须有接地的设计,在机房安装的时候必须按照接地的规定做工程;对于供电设备,也必须做好接地的工作。这样就可以防止静电对设备的破坏,保证了网内硬件的安全。

      (三)针对病毒感染的问题

病毒程序可以通过电子邮件、使用盗版光盘等传播途径潜入内部网。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等不安全因素。防病毒解决方案体系结构中用于降低或消除恶意代码;广告软件和间谍软件带来的风险的相关技术。中心使用企业网络版杀毒软件,(例如:Symantec Antivirus等)并控制写入服务器的客户端,网管可以随时升级并杀毒,保证写入数据的安全性,服务器的安全性,以及在客户端安装由奇虎安全卫士之类来防止广告软件和间谍软件。

      (四)针对应用系统的安全

      应用系统的安全主要面对的是服务器的安全,对于服务器来说,安全的配置是首要的。对于本中心来说主要需要2个方面的配置:服务器的操作系统(Windows 2003)的安

全配置和数据库(SQL Server 2000)的安全配置。 1.操作系统(Windows 2003)的安全配置

      (1)系统升级、打操作系统补丁,尤其是IIS 6.0补丁。

      (2)禁止默认共享。

(3)打开管理工具-本地安全策略,在本地策略-安全选项中,开启不显示上次的登录用户名。

      (4)禁用TCP/IP上的NetBIOS。

      (5)停掉Guest 帐号,并给guest 加一个异常复杂的密码。

      (6)关闭不必要的端口。

      (7)启用WIN2003的自身带的网络防火墙,并进行端口的改变。

      (8)打开审核策略,这个也非常重要,必须开启。

      2. 数据库(SQL Server 2000)的安全配置

      (1)安装完SQL Server 2000数据库上微软网站打最新的SP4补丁。

篇3

1.企业信息化建设的重要性

信息化发展对于企业人员日常的管理,相比较原来旧的方法而言更方便快捷、更高效;对于企业的整体发展的影响,相比较原来用人来发现风险,信息化大数据管控更能提前预知风险并帮助企业更好地解决问题;对于企业组织结构和流程的影响,集成化的网络信息系统是提高质效的一把利器。但现实使用中,企业的信息化进程存在安全度低、信息泄露严重和安全意识低等现象,导致企业和用户损失大量人力物力,甚至受到巨大损失。由此可见,信息化建设对企业发展有着不可小觑的作用,能比原来的模式更有效处理问题、促进企业发展,是所有企业在发展过程中不可或缺的一个环节。

2.企业信息化建设中的网络安全问题

2.1网络安全意识不强

科学技术的不断发展进步,对于企业发展的影响作用不言而喻,但是,相当一部分企业却只看到益处却忽略了“信息安全”的重要性。

近年来,在技术、社会和政府等多方面的努力下,企业的信息化建设发展速度加快,取得很大的进展,其重要作用毋庸置疑,各个企业都越来越重视信息化的进步。但在新闻报道中,经常见到有信息非法獲取、信息交易导致用户信息泄露,这也是每个企业需要反思的问题。数据泄露、信息是否安全等问题并没有引起所有企业的重视,严重的不仅会导致用户信息泄露,如果发生企业数据库被篡改、网络系统崩溃等事件,给企业带来的名誉和财产损失不可估量。

2.2技术水平不高

世界范围内都存在一个不好处理的网络难题———黑客。企业在信息化发展的过程中,免不了遇到技术问题,由于有关人员或团队自身的水平不够和相关方面的经验的缺失,不可避免会存在某些漏洞和问题,这些漏洞和问题恰恰给了黑客绝佳的机会,让他们有机会盗取信息。即使是市面上使用的各个“管家”与杀毒软件也完全检测不到,对企业的安全构成非常大的威胁。

2.3可使用的高水平软件少

一方面是供研发企业使用的高水平软件较少;另一方面是软件安全度低,很多公司虽然看到信息化发展的好处,但却贪图低成本的小利益,花费小成本购买使用安全保护性低的工作软件,结局只会带来难以挽回的后果。

3.企业信息化建设提高网络信息安全性的措施

3.1切实提高企业安全意识

科学技术的进步,促进企业重视信息安全,思考信息安全问题和公司发展之间不可分割的关系,因为信息泄露带来损失还是小事,如果因此减少了企业竞争力,甚至阻碍了企业发展才是最可怕的结果。因此,企业应当提高安全意识,提前准备对策、制定应对突况的策略,防止信息泄露等潜在威胁,将威胁扼杀在摇篮之中。通过建立高技术水平的团队,运用专业知识和工作经验切实增强防火墙安全度,定期维护信息系统,从源头的技术传输阶段维护信息安全,建立完善的信息保护制度,以此来保护信息安全、促进企业发展。

3.2提高信息系统的管理水平

虽然现在大家都在普遍使用《金山毒霸》《腾讯管家》等安全防护软件,但是这些软件也不能保证绝对的安全。改革旧的风险评估模式,健全信息筛选管理安全体系,在一定程度上可以提高安全系统等级、减小信息被盗的风险,在信息系统建立过程中,及早发现风险并妥善处理对企业发展尤其重要。

3.3使用安全性高的软件

归根结底,所有的安全问题都是安全性低所导致的。虽然说没有绝对安全的东西,但是相比于安全性低的软件,安全性越高的软件,保护能力也越强,能更好地保护信息安全。因此,企业千万不能贪图小利益使用低防护级软件,保护信息安全,维护自身发展利益才是最重要的。

篇4

关键词安全隐患;网络安全;防火墙;防病毒;入侵检测;安全评估

Abstract: by analyzing the information network security management are potential safety problems, and put forward the network security management and various technical measures, security network and information security. Network security is a dynamic, overall system engineering, will from the information network security management, the problems of network information security company in reference to the application, and by establishing a sound management system and use of various technology, comprehensive improve computer network information safety overall solutions are discussed.

Key words security hidden danger; Network security; Firewall; The virus; Intrusion detection; Safety assessment

中图分类号:TU714文献标识码:A 文章编号:

随着网络安全技术的不断发展,网络恶意攻击者的技术也在不断的改进和创新。网络信息安全由安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、灾难恢复等多个安全组件组成,一个单独的组件是无法确保信息网络的安全性。以前简单的网络边界安全解决方案,已经不能从整体上解决企业网络安全隐患,因此在公司单位制定一套合理的整体网络安全规划,显得尤为重要。

一、信息网络安全管理存在的安全隐患

(1)外部非法接入。包括客户、访客、合作商、合作伙伴等在不经过部门信息中心允许情况下与公司网络的连接,而这些电脑在很多时候是游离于企业安全体系的有效管理之外的。

(2)局域网病毒、恶意软件的泛滥。公司内部员工对电脑的了解甚少,没有良好的防范意识,造成病毒、恶意软件在局域网内广泛传播以至于影响到正常的日常办公。

(3)资产管理失控。网络中终端用户随意增减调换,每个终端硬件配备(硬盘、内存等)肆意组装拆卸,操作系统随意更换,各类应用软件胡乱安装卸载,各种外设无节制使用。

(4)网络资源滥用。IP地址滥用,流量滥用,甚至工作时间聊天、游戏、疯狂下载等行为影响工作效率,影响网络的正常使用。

(5)内部非法外联。内部网络用户通过调制解调器、双网卡、无线网卡等设备进行在线违规拨号上网等,或违反规定将专网专用计算机带出网络进入其它网络。

(6)重要信息泄密。因系统漏洞、病毒入侵、非法接入、非法外联、网络滥用、外设滥用等各种原因与管理不善导致组织内部重要信息泄漏或毁灭,造成不可弥补的重大企业损失。

(7)补丁管理混乱。终端用户不了解系统补丁的状态,不能及时打补丁,也没有办法统一进行补丁的下载、分析、测试和分发,从而为蠕虫与黑客入侵保留了通道。

(8)“灰色网络”的存在。即单位信息网络管理人员对自己所拥有的网络不是太了解,不能识别可能被利用的已知弱点,选择合适的网络安全设备并及时保证设备的策略符合性;工作中疏忽大意等造成对网络的影响。

(9)没有建立完善的管理体系。配置再完善的防火墙、功能再强大的入侵检测系统、结构再复杂的系统密码等也挡不住内部人员从网管背后的一瞥。在公司各单位存在信息网络安全管理制度不明确合理、宣传不力、管理不善等现象,造成执行者执行手段匮乏或执行艰难。

二、网络安全管理应对措施探讨

对严峻的网络安全形势,如何保证网络安全并有效防止入侵事件的发生,成为摆在每个网络管理人员面前的难题。

(1)根据需求部署安全产品。首先要部署防火墙。它是执行安全策略的主要手段。其次,可以考虑IDS(入侵检测系统),以便对发生在防火墙后面的违规行为进行检测,做出反应。其他的比如防病毒软件、VPN产品、IPS等,对企业网络的安全防护也都起着重要的作用。

(2)制定完整的安全策略。安全策略是制定所有安全决策的基础,一个完整的安全策略会帮助企业网络使用者校正一些日常但有威胁性的纰漏,并使之在保护网络安全时做出一定的决定。强制执行的安全策略提供贯彻组织机构的连续性;当对攻击行为做出响应时,安全策略是首先考虑的资源;安全策略可以变动,也可以根据需要随时更新;当安全策略变化时,要让所有员工知道其重要性并遵守。

(3)制定完善的日志策略。日志是网络管理员调查网络入侵行为的必要工具,可以报告网络异常,跟踪入侵者的踪迹,因此制定一个完善的日志策略对企业网络安全很重要。

(4)进行定期的安全评估。相应的安全策略制定完成并实施后,就应当对企业网络进行定期的安全评估。可以定期的请第三方网络安全公司进行网络安全咨询,找出漏洞、分析漏洞及时降低风险。

(5)建立有效的应急响应机制。要拟定一份紧急事件应变措施,以便在事情发生、安全体系失效时发挥作用。应急措施应说明:紧急事件发生时报告给谁?谁负责回应?谁做决策?应急措施的制定要本着“企业损失最小化”的原则,体现出在业务中断时间尽量短、数据丢失尽量少、网络恢复尽量快等方面。

三、采取多种技术措施,保障网络与信息安全

(1)防火墙技术。安装防火墙,实现局域网与互联网的逻辑隔离。通过包过滤技术实现允许或阻止访问与被访问的对象,对通过内容过滤保护网络用户合法有效地使用各种网络对象;通过NAT技术实现动态地址转换,使受保护的内部网络的全部主机地址映射成防火墙上设置的少数几个有效公网IP地址,这不仅可以对外屏蔽内部网络结构和IP地址,也可以保护内部网络的安全。

(2)入侵检测系统检测的主要方法。入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,查看网络中是否有违反安全策略的行为和遭到袭击的迹象。静态配置分析:通过检查系统的当前系统配置,诸如系统文件的内容或者系统表,来检查系统是否已经或者可能会遭到破坏;异常性检测方法:是一种在不需要操作系统及其防范安全性缺陷专门知识的情况下,就可以检测入侵者的方法,同时它也是检测冒充合法用户的入侵者的有效方法;基于行为的检测方法:通过检测用户行为中那些与已知入侵行为模式类似的行为、那些利用系统中缺陷或间接违背系统安全规则的行为,来判断系统中的入侵活动。

(3)防病毒方面。应用防病毒技术,建立全面的网络防病毒体系;在核心机房和部分二级单位选择部署诸如Symantec等防病毒服务器,按照分级方式,从总部、地区、下属单位逐级安装病毒服务器,实行服务器到终端机强制管理方式,实现逐级升级病毒定义文件,制定定期病毒库升级与扫描策略,建立系统运行维护和公司防病毒技术支持相关人员,为公司员工使用的计算机终端加强了防病毒与查杀病毒的能力。

(4)桌面安全管理系统。桌面安全管理系统可以从技术层面帮助管理人员处理好繁杂的客户端问题。其目标是要建立全面可靠的桌面安全防护体系,管理和保护桌面软件系统,为各应用系统创造稳定、可靠和安全的终端使用环境,有力支撑企业的业务和信息化发展,确保信息安全。

(5)网络安全评估。建议每年定期请专业的安全咨询公司对企业内部的网络安全、关键服务器群、物理安全等方面做整体的安全体系的评估与安全加固,并提出一系列应对策略和应急方案,及时发现存在的各类威胁并进行有效整改,提高网络的安全级别。网络安全评估是建立安全防护体系的前提工作,是信息安全工作的基础和重点。

(6)操作系统安全策略管理。由企业相关技术部门制定出一套操作系统安全管理策略配置说明书,详细讲解对操作系统安全策略的配置和管理,包括帐户密码策略、帐户锁定策略、审核策略、目录共享策略、屏保策略、补丁分发策略等,对客户端操作系统的安全性进行必要的设置,使其能够关闭不必要的服务和端口、避免弱口令、删除默认共享、及时更新系统补丁等,消除操作系统级的安全风险。

(7)信息的安全存储与安全传输。信息的存储安全是各业务系统的重点,信息的安全传输是机密信息交换的保证。对于数据存储量较大的应用系统,可合理地选择存储架构,如采用存储区域网(storage area network,SAN),实现最大限度的数据共享和可管理性;采用RAID技术,合理的冗余硬件来保证存储介质内数据的可靠性;采用合理的备份策略,如定期完全备份、实时增量备份、异地容灾备份、多介质备份等来保证信息的可用性、可靠性、可管理性、可恢复性;制定和实施严密的数据使用权限;针对机密信息的网上传输、数据交换采取加密后传输。

(8)安全管理。网络信息安全是一项复杂的系统工程,安全技术和安全设备的应用可起到一定的作用。建立和完善各种安全使用、管理制度,明确安全职责;建立如突发事件的应对预案;加强对网络使用人员、网络管理人员的安全教育,树立安全观念,提高安全防范意识,减少潜在的安全隐患;建设一支高水平的网络管理、信息安全管理队伍,定期进行安全风险评估和策略优化。

(9)应用网络信息安全管理技术正确面对网络信息安全漏洞。目前,市场上各类网络管理设备(网络交换机、防火墙、入侵检测/防护系统、防病毒系统等)从技术角度来讲都已经成熟,我们只要选择知名品牌的信得过产品,对其进行合理的利用,对保障企业的网络信息安全能够起到积极作用。

五、结束语

建立完善的安全制度和安全响应方案,尽快建立起有效的信息安全防护体系,管理员加强自身学习和责任感,并不断加强和培养员工的安全意识,让公司每一位员工在意识和行动上都成为安全的“卫士”。只有这样,我们才能共同保障好企业的信息网络安全。通过网络软件与硬件产品的结合,正确合理地使用各种安全策略和实施手段,相信会建立一套全面、安全、易于使用管理的配套设施,将网络信息安全隐患减至最小。只有这样,才能确保公司的网络信息畅通、信息安全,才能实现公司信息化建设更好的服务公司的生产经营。

参考文献:

篇5

关键词:信息安全管理体系;信息资产;业务连续性;风险评估

中图分类号:TP393.08 文献标识码:A 文章编号:1001-828X(2014)08-0136-02

当前,随着税务部门管理和服务水平不断提升的客观需要,加强对税收核心业务系统和关键信息资产的保护,成为信息化工作中一项十分重要的使命。

本省地税部门信息安全现状及面临形势

(一)取得的成绩

多年来,本省地税部门在认真学习贯彻国家税务总局和各相关主管部门颁布的信息安全管理制度、政策法规及技术标准基础上,结合工作实际,陆续颁布、制定了一系列信息安全管理办法与措施,具体包括:

1.安全管理制度方面,制定了涵盖物理层、网络层和主机系统层的管理制度,总体目标、范围、方针、原则和责任基本明确。

2.安全管理机构方面,建立了信息安全领导小组,配备了具有一定安全管理能力及技术能力的系统管理员、网络管理员、安全管理员等。

3.人员安全管理方面,在内外部人员录用前,对被使用人的身份、背景和资质等进行严格审查,按期组织信息安全岗位知识技能培训。

4.系统建设管理方面,严格遵照信息系统安全等级保护要求制定建设方案,并对定级结果的合理性和正确性进行论证和审定。

5.系统运维管理方面,对各种设备运转情况进行定期检查和实时监测、报警,权限设定遵循最小化授权原则,有配置变更管理的审批流程,对重要应用程序和数据库进行定期备份。

(二)存在的不足

通过近期开展的风险评估工作,暴露出本省在信息系统安全方面还存在着一定程度的不足,主要是:

1.在安全管理方面,已制定的各项管理规定缺乏全面性、系统性,要求规范与实施细则未能很好的实现层次划分;有些制度、标准更新不快,缺乏可操作性,对基层的指导作用不十分明显;信息安全责任制度还需要进一步细化和落实。

2.在安全技术方面,现有机房空间环境已不能完全适应税收业务发展的需要;部分网络、安全设备老化需要更新,部分核心业务网络还未进行功能区域的细分,操作级的审计管理还不尽完善;应用系统开发中的安全机制尚不健全,身份认证等安全技术手段还未得到全面应用。

3.在安全运维方面,现有巡检工作中不包括安全技术措施的有效性检查等内容;网管、动环、安管等监控系统还基本处于独立运行状态,对于网络或系统故障缺乏关联性分析,未能形成统一的监控、分析、处置策略;尚未结合实际业务制定出操作性较强的应急预案,未进行过应急演练。

(三)面临的形势

随着经济的持续发展和国际地位的不断提高,我国基础信息网络和重要信息系统面临的安全风险日益严峻,计算机病毒传播和网络非法入侵十分猖獗,网络违法犯罪持续大幅上升,犯罪分子利用一些安全漏洞进行网络盗窃、网络诈骗、信息系统破坏等违法活动,给国家政治、经济和社会生活造成严重负面影响。中央已经将信息安全与政治安全、经济安全、文化安全并列为国家安全的重要组成要素。税务信息系统作为政府信息系统的重要组成部分,其安全运行不仅关系到政府机关的形象和税收业务的持续运行,还关系到社会稳定和国家安全。

提高税务信息安全保障能力的有效途径

国家税务总局在“金税三期”项目建设中明确提出,要高度重视信息安全保障工作:按照“四防”工作要求,进一步推进“人防”,做好信息安全教育培训工作;认真落实“制防”,推进信息安全标准体系和管理制度建设;稳步提升“技防”,持续保障“物防”,做好安全防护体系建设和运行管理工作。因此,构建符合信息系统运行需要的信息安全管理体系,对进一步加强税务部门内部网络的整体安全防护能力,全面提升信息安全管理水平,就显得尤为重要。

信息安全管理体系,即Information Security Management System(简称ISMS),是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。组织通过确定信息安全管理体系范围,制定信息安全方针,明确管理职责,以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息安全管理体系。

信息安全管理体系的建设可以提高税务干部的信息安全意识,规范各层级的信息安全行为;对组织的关键信息资产进行全面系统的保护,在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;在税收各项工作顺利开展的同时,提高社会公众对政府部门的公信度;另外,通过信息安全管理体系建设,可以有效加强对信息技术风险的管控,通过与信息安全等级保护、信息技术风险评估等工作的融合与衔接,使信息安全管理更加具有科学性和系统性。

税务信息安全管理体系建设实践

税务信息安全管理体系的构建,应结合税收改革发展要求,根据信息化工作职责,制定相应的策略,并最终实现总体的信息安全目标。

(一)基本定位

1.在策略制度层面,形成从方针策略、到要求规范、操作规程直至记录表单在内的层次化文件体系,为信息安全管理体系奠定技术基础;

2.在组织建设方面,建立决策、管理、执行和监督多维的组织架构,明确信息安全相关角色和职责,奠定信息安全管理体系的组织基础;

3.在风险管理方面,通过风险评估和处置过程,建立起全面的信息安全内部控制,结合信息安全事件管理和业务连续性管理,确保从整体上将信息安全风险控制在可接受水平;

4.在人员意识方面,通过有序组织信息安全培训及相关意识宣传活动,确保人员具备基本的信息安全意识和操作技能;

5.在支持保障方面,建立起内(外)部审核、管理评审、有效度量、日常检查等多项检查监督机制,确保信息安全管理体系的持续运行和改进有着推动和保障基础。

(二)设计原则

1.体现全面的特性。信息安全管理体系是一个涵盖各个方面的工程,它要求多角度、多层次,从各个环节人手,进行系统的考虑和规划。任何环节上的缺陷都会对信息系统构成威胁,要实现信息安全目标,必须保证构成信息安全管理体系这只“木桶”的所有木板都达到一定的标准。

2.体现持续改进、动态发展的特性。信息安全管理体系不仅仅是一套全面的规则集合,而且还是在体系建设与实施过程中与所有利益相关者的互动过程。另外,环境的动态性也决定了体系建设的动态性。因此,在体系架构设计和实施中应遵循PDCA的模式,通过P(策划)、D(实施)、C(检查)、A(纠正)这四个步骤的循环运行,使信息安全管理水平获得可持续性的发展。

3.以保证业务连续性为根本目标。信息安全管理必须为业务服务,脱离业务的信息安全管理也就失去了其真正的意义。因此,保证信息系统的正常运行,进而保障业务的连续开展,是信息安全的根本目标,也是信息安全管理体系的根本目标。

4.领导重视、全员参与的原则。在信息安全管理体系的建设中,应由最高管理者确立统一的信息安全方针、政策和方向,创造并保持使员工能充分、积极地参与实现信息安全战略目标的内部环境;全体员工应明确自己在信息安全管理中的职责,积极参与信息安全管理体系的建设。

5.技术与管理并重的原则。信息技术是信息安全管理的手段,信息安全管理是利用信息技术实现安全目标的保障,在信息安全管理体系中,技术与管理同等重要,缺一不可,忽略任何一方都会阻碍信息安全工作的开展。

(三)总体架构

在税务信息安全建设中,包含了信息安全管理、信息安全运作、信息安全技术三方面内容。信息安全管理体系则处于“管理一运行一技术”三元架构的最上层,包含信息安全政策、规范与标准、指南与细则等,从人员、意识、职责、监督等方面,保证并指导下一层级的顺利运行。其建立和完善,应充分依据国家标准和税务行业规范,以融合化和层次化为指导,并最大化地整合现有资源,基本框架模型,可分为五层:

第一层,总体方针,是由省局信息安全领导小组签署的书面文件,其目的是明确信息安全管理工作的总体目标、适用范围、总体方针和原则等方向性纲领性文件。

第二层,管理要求,是省局对全系统提出要求的管理性文件,包括安全组织、资产安全、人员安全、信息系统安全等各个方面。

第三层,标准规范,是针对管理要求中提出的内容,制定的对共同使用和重复行为进行指导或规范的文件,文件可以由省局制定,也可以由基层单位制定。

篇6

在进行信息安全体系建设时,应对来自终端的威胁给予足够的重视,建立有效的终端安全管理体系。本文分析了终端安全管理体系应包含的内容,阐述了传统分散式终端安全管理存在的问题,结合作者的工作实践经验,对一体化终端安全管理体系的建设,提出了自己的思路和见解。

关键词:

终端安全;一体化;体系建设

随着信息化建设不断发展,信息安全的重要性日益显露出来,在信息安全保护实践中,各单位往往对数据集中的后台服务器投入精力较多,对来自终端的威胁重视不足。信息安全事件调查经验表明,多数信息安全事件的突破口来自终端,因此在进行信息安全体系建设时,应对来自终端的威胁给予足够的重视,建立有效的终端安全管理体系。

1典型的终端安全管理体系应包括的内容

1.1防病毒及终端入侵防护

包括对全网病毒、木马、蠕虫、流氓软件、间谍软件等恶意代码的识别、查杀,对可疑行为的阻断和告警。此类功能主要是基于代码检测引擎和特征库实现。

1.2补丁状态检查及分发

包括检查是否已安装操作系统相应的补丁,各类防护特征库是否保持更新,能够自动推送安装补丁和特征库等。此类功能主要通过安全软件读取系统注册表及扫描特定位置文件系统,并自动执行后台脚本实现。

1.3移动存储管理

防止内部滥用移动介质,杜绝内外部移动介质在内外网交叉使用,并通过特殊加密技术保证移动介质在非授权环境下不能被读取。此类功能主要通过向操作系统底层驱动注入代码和数据加密技术实现。

1.4终端准入管理

实现对网络接入终端的安全准入管理与控制,确保接入网络终端已安装要求的防护系统,且符合安全策略要求,有效杜绝非法外来终端私自接入网络。此类功能可以基于交换机端口进行控制或使用安全网关进行控制。

1.5非法外联监控

用于发现和阻止内部网络用户非法建立通路连接互联网或非授权网络的行为,以此防止引入安全风险或导致信息泄密。此类功能通常做法是定期检查与某个互联网地址或非授权网络的连通性,若有连通便会触发监控报警。

1.6主机监控审计

对终端用户的操作行为进行管控与审计,对安装的软件实行黑白名单管理,当用户的操作违反安全策略时,能够自动禁止或记录违规日志。此类功能一般需在终端驻留程序,根据设定的操作策略和软件清单执行。

2传统分散式终端安全管理存在的问题

(1)产生兼容性问题。不同的终端安全防护产品均需要操作系统权限并向底层驱动注入代码实现检测,各产品之间的操作冲突、导致兼容性问题已是常见现象,即使能够和平共存也会造成增加系统资源开销,拖累系统变慢等一系列问题。

(2)缺乏统一管理。在终端上安装使用多种安全防护产品,缺乏全局性安全管控,容易形成信息孤岛,不利于开展诸如安全数据的收集、汇总、统计等关联分析工作,无法系统性展示终端安全全貌。

(3)防护效果打折扣。不同的终端安全防护产品在功能上各有侧重,组合在一起并不一定能全面覆盖用户的安全需求,由于底层机制的类同和兼容性冲突等原因,经常出现安全防护的真空地带,产生1+1<2的现象,使防护效果大打折扣。

(4)运行维护成本高。多种终端安全防护产品同时使用,需同时与多个厂商采购维保服务,周期长投入大,运行上需要维护多套不同的策略表,从不同的来源更新补丁包、特征库等,都给运维增加了不小的工作量。

(5)难以满足自主可控的要求。出于国家安全战略的需要,终端安全防护产品应尽可能满足自主可控的要求。分散部署不同的终端安全防护产品,大多是基于历史原因分批分步建设形成的,存在一定的不可控安全风险。

3一体化终端安全管理体系的建设思路

一体化终端安全管理体系的建设,应遵循“功能集中、统一建设”的原则,结合单位已有的终端安全防护现状,采用“整合式替代、替代后实现一体化管理”的思路开展。替代过程中,应充分考虑安全设备国产化的要求,既实现终端安全防护各项功能,又可在统一平台下管理终端资产、终端信息、终端安全防护系统等,实现终端一体化安全管理。终端一体化安全管理可极大地提高运维效率,增强终端类安全事件联动,提高终端安全事件预警发现和处置能力,最终提高单位的信息安全管理水平。具体实施过程中,应以“资源整合、统一管理、分级部署、基准策略、量体裁衣、人力集约”为主要工作目标,最大程度整合单位现有软硬件资源、技术人才资源,节约资源、资金、人力成本,集成各类终端管理功能,逻辑上实行统一管理,总部制定基准策略,各地分支机构针对自己的情况,定制适合本辖区情况的安全策略,预留一定扩展空间,供各级机构在统一终端管理平台下的本地化处理。建议分四个步骤进行:①率先落实国产化替代,一体化终端安全管理体系建设不再考虑国外产品,实现完全国产自主可控,这一点无论是在技术上还是在市场上都已不存在问题。②整合现有终端安全防护系统的功能,在实现病毒防治、补丁分发、非法外联监控、准入控制、移动介质管控、安全策略管理等功能的基础上,实现各功能模块的数据整合与联动。③增加资产管理、操作审计等功能,并实现一体化关联和统一展现,进一步完善系统的管理功能,能够进行终端状态、终端信息、安全事件等信息的展示、分析和处理,实现对安全事件的及时发现、告警和处置,及时消除安全事件对终端的影响。④在系统建设的基础上实现科学安全管理,通过对终端安全状态的统一定量评估,实现对各部门、各分支机构的终端安全态势评估,掌握终端安全管理的薄弱环节,为信息安全管理工作的整改完善提供数据支撑。在功能方面:一体化终端安全管理体系应主要包括但不限于防病毒管理、终端入侵检测防护管理、补丁分发管理、移动介质管理、非法外联管理、终端准入管理、主机监控审计管理、终端信息管理、安全策略管理、终端运行状态统计管理、安全事件管理、运行报表管理、考核指标管理、系统管理等功能。实现终端安全防护系统的一体化管理和安全防护系统的资源整合,实现安全防护策略的统一管理,建立全面、集中、统一的终端安全管理体系。在管理方面:实现与终端安全管理制度相适应的安全管理要求,实现总部与各分支机构终端信息的统一集中管理,实现终端安全控制策略的统一配置、自动筛查、告警和展现,实现定期安全类报表的自动生成和展现,实现安全管理人员的统一工作平台。

4结语

要实现对信息安全闭环式管理,仅仅重视信息系统服务端的保护是不够的,必须重视对每个入网终端的安全管理。一体化终端安全管理体系的建设,从技术上采取了多种手段强化终端的安全防护和管理,为强化单位的信息安全管理提供了必要的手段。同时,我们也必须认识到,终端安全管理体系的建设不是说建好系统就万事大吉了,对一个单位的信息安全管理而言,永远是“三分技术,七分管理”。再好的技术手段,也只有和管理制度相结合,并加以强力执行,才能达到预定的安全目标。

参考文献:

[1]孟粉霞,王越,雷磊.统一终端安全管理系统在内网中的分析及应用[J].信息系统工程,2013(8):70~71.

[2]田永飞.一体化终端安全管理系统应用初探[J].金融科技时代,2015(12):45~47.

[3]王义申.终端安全管理系统在企事业单位内网应用的分析[J].计算机安全,2007(7):63~65.

篇7

【关键词】企业,信息,安全

【中图分类号】F270.7 【文献标识码】A 【文章编号】1672-5158(2012)11-0130-02

一、企业信息安全现状

近年来,随着企业信息化进程的不断推进,许多企业都完成了涵盖基础自动化、过程控制、生产执行到专业管理的信息系统,内容覆盖了硬件网络平台建设、办公自动化(OA)、企业资源计划(ERP)、对基础网络、过程自动化进行升级改造等,企业业务的关键流程如研发、生产与销售对信息系统的依赖性非常高。企业日益复杂庞大的信息系统也无时无刻在面临来自于内部和外部的威胁。

当前企业信息可能面临的安全威胁、存在的安全隐患。

1.可能面临的安全威胁

物理安全威胁主要表现在企业的软件资产和硬件资产、面临自然灾害、环境事故及不法分子通过物理手段进行的违法犯罪等威胁;网络安全威胁主要表现在黑客攻击、垃圾邮件泛滥、病毒、木马造成网络拥塞与瘫痪,内部攻击,冲突域造成网络风暴,黑客的入侵或者使得不法员工可以通过网络泄漏企业机密等。

数据安全威胁主要表现在:数据库数据丢失,财务、客户信息及订单数据被破坏或删除、窃取、备份数据被人恶意篡改、不可预测的灾难导致数据库的崩溃等。

内部网络之间、内外网络之间的连接安全——随着企业的发展壮大,逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。

2.可能存在的安全隐患

网络规划不完善。信息网络建设的初期,没有把构建信息安全体系作为主要的功能来实现。虽然以后采取了一些安全措施,缺乏整体性和系统性。目前从便携设备到可移动存储,再到智能手机、PDA,以及无线网络等。每一项新技术,每一类新产品的推广伴随着新的问题。企业在面临着日趋复杂的威胁的同时,遭受的攻击次数也日益增多。

技术设计不完善。随着电脑技术的不断发展,一些技术上的漏洞和设计方面的缺陷也就随之而来。如操作系统、数据库、网络软件及应用软件等各个层次及网络设备本身存在的技术安全漏洞等。

安全管理不完善。由于信息安全管理制度不健全或贯彻落实不够;员工的安全防范意识不强;构建安全体系的资金投入与运维现状需求存在矛盾等因素,导致安全管理层面的安全措施及安全技术难以有效实施。

为了防止信息安全事件的发生,通行的做法是通过部署防火墙、入侵检测、入侵防范系统、防病毒系统、数据备份、数据加密、漏洞扫描、上网行为管理系统等进行防范。然而,此类技术手段,却无法阻止人为因素导致的破坏。

针对上述分析,笔者认为,构建一个规范的信息安全保障体系必须从管理、技术两方面着手,通过建立企业内部信息安全管理体系的有效措施把可能面临的安全威胁最大限度地弱化,同时针对信息系统的“弱点”进行改进,以此降低潜在的安全危险。

二、加强信息安全工作的途径

1.建立安全体系结构框架

俗话说“三分技术,七分管理”,任何技术措施只能起到增强信息安全防范的作用。为此,管理部门首先需借助相应的行政手段制定适合本单位的信息安全管理制度,建立一个长期有效的安全管理机制。加强安全技术的管理和人员的培训,提高员工的信息化应用水平。其次,技术部门要加强物理场所的安全管理,制定相应的访问控制策略规范网络应用安全,整合现有资源实现能够支撑边界安全和访问控制的要件,同时实现从终端行为一主机全过程的完整安全,实现公司业务正常有序的运行。

2.通过实施信息安全管理体系提升管理水平

信息安全管理体系是系统地对组织敏感信息进行管理,涉及到人、程序和信息技术系统,其依据是信息安全管理体系标准-IS027001。IS027001清晰地定义了ISMS是什么,并对企业主要安全管理过程进行了详细的描述。通过对企业信息系统的信息安全方针,信息安全组织,资产管理、人力资源安全、物理和环境安全管理、通信学术研究和操作管理、访问控制、信息系统获取开发和维护,信息安全事故管理、业务连续性,符合性(IS027002要求的各个控制域)11个方面的处置,来建立企业信息安全管理体系。ISMS建设分为五个阶段,有准备阶段、风险评估阶段、实施阶段,运行阶段和持续改进阶段。

2.1 准备现状调研阶段

现状调研阶段的主要工作是对组织的信息安全管理相关政策、制度和规范、业务特征或服务、现有的组织情况、网络信息与配置、日常操作与管理等内容进行调查,以了解组织业务,挖掘组织中存在的安全问题,分析组织内可能存在的信息安全风险,参照相关标准给出差距分析报告。可以采用文件审核、问卷调查、技术工具评估及现场访谈等方式进行。

2.2 风险评估阶段

在准备阶段工作的基础上,根据IS027001标准的要求,对企业目前的信息安全现状进行风险评估,通过风险评估确定风险管理计划以及需要采取的控制措施。此外,通过风险评估,还可以了解到目前企业信息安全管理的现状,为下一步编写ISMS文件准备基础资料。

2.3 架构设计阶段

架构设计阶段可以考虑从安全策略保障体系、安全组织保障体系、安全运行保障体系、安全技术保障体系、应急恢复保障体系、保密体系等方面构建组织的信息安全总体架构。

2.4 实施阶段

实施阶段将进行ISMS文件体系的策划和编写,确定需要编写的文件数量以及各文件需要包括的控制措施。同时,将已有的操作规程、规范文件整理为具体操作手册,作为三级文件,以指导信息安全管理体系项目的后继实施,最终形成一整套符合企业信息安全管理现状的、可实施的.文件化的信息安全管理体系。

2.5 运行阶段

运行阶段将依据建立的ISMS进行实施。主要的活动有认证机构的预审、对企业信息安全专员培训、全员培训和意识教育整改活动、记录系统运行等各项活动。在体系运行一段时间以后,将通过内部审核的方式评审企业信息安全管理体系运行的符合性。

2.6 持续改进阶段

项目的完成只是企业ISMS建立和完善的一个首要步骤。要通过内审与管理评审等持续改进活动,使企业的信息安全管理工作得到不断的完善和提高。信息安全的最大挑战在于必须面对各种各样的威胁源、不断更新和不可预知的方法、在不确定的时间对企业重要信息资产产生破坏,所以必须要有能够进行持续改善的绩效管理。

3.实施、运行ISMS需要注意的问题

4.1 提高风险意识,加强安全组织建设工作;以风险评估为基础,提高风险管理的有效性;队总体经营目标为核心,制定科学的安全管理策略;通过对企业安全管理流程及标准的建立,完善企业的安全运维体系及响应机制。

4.2 提高行业信息化管理水平,信息安全体系框架构建是关键。而信息安全体系框架构建必须管理、技术两者双管齐下。

4.3 循序渐进,动态管理。信息安全体系建设并不是一蹴而就的,是分步实施、循序渐进的过程。定期进行相关的安全评估,注重各层次、各方面、各时期的相互协调、匹配和衔接。根据当前的技术环境和安全意识的深化及时排查、修改、调整相关的安全策略。

篇8

1.1科学、技术和工程“三元论”

Mitcham提出工程哲学(EngineeringPhilosophy)词汇,并阐述哲学对工程的重要性,但是他认为工程处于技术之下,是技术的一部分,而李伯聪教授则认为科学、技术和工程是彼此独立的个体,彼此既有联系又有区别,科学、技术和工程“三元论”是工程哲学得以成立的基础。科学活动是以探索发现为核心的活动,技术活动是以发明革新为核心的活动,工程活动是以集成建构为核心的活动。人们既不应把科学与技术混为一谈,也不应把技术与工程混为一谈。工程并不是单纯的科学应用或技术应用,也不是相关技术的简单堆砌和剪贴拼凑,而是科学要素、技术要素、经济要素、管理要素、社会要素、文化要素、制度要素以及环境要素等多要素的集成、选择和优化。“三元论”明确承认科学、技术与工程存在密切的联系,而且突出强调它们之间的转化关系,强调“工程化”环节对于转化为直接生产力的关键作用、价值和意义,强调应努力实现工程科学、工程技术和工程实践的有机互动与统一。

1.2信息安全管理体系的工程本质及特点

信息安全管理体系是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的,包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源等内容。信息安全管理体系的支撑标准为ISO/IEC27000标准族。在ISO/IEC27000标准族中,不但给出了“建立、实施、运行、监视、评审、保持和改进信息安全的”“基于业务风险(的)方法”,而且还给出了信息安全管理体系的要求、实用规则、审核指南以及相关安全域的具体指南等。例如,仅GB/T22081-2008/ISO/IEC27002:2005信息安全管理实用规则,就包括了11个控制域,39个控制目标,133项控制措施。信息安全管理体系可在不同的学科中找到其渊源,在实施框架上,信息安全管理体系应用了质量管理中的Plan-Do-Check-Act的戴明环,在具体的控制措施上,则包括了密码学、人员安全以及各类信息安全技术,其研究的特点是将科学思维、工程思维和社会思维相结合,但更强调工程思维的“设计”理论。工程研究活动不同于科学研究活动的基本特征就是“设计”。工程设计活动包括对象设计和过程设计。例如,建造水坝的坝体设计是对象设计,如何实施就是过程设计,在信息安全中,设计组织自己的信息安全管理体系是对象设计,设计如何部署是过程设计。

2信息安全管理体系的演化过程与规律

2.1信息安全管理体系的起源和发展

信息安全管理体系是建立在体系(System)化基础上的“最佳实践集”,到国际标准的正式公布,大致经历了3个阶段。第一阶段为过度关注技术,忽略人的作用的“技术浪潮”阶段,在这个阶段涌现出了大量的信息安全技术产品,例如,防火墙、防病毒和入侵检测系统(IDS)等。第二阶段为强调人的作用的“管理浪潮”阶段,在这个阶段大部分企业开始设置专职的信息安全管理岗位,以加强对个人行为的控制。第三阶段即“体系阶段”,在体系阶段信息安全以目标为导向,不再局限于手段的应用,而是技术、制度和人员管理等各个方面的有机结合。这个阶段是信息安全的工程化阶段,体现了工程的实践性、经验性、继承性、创造性和系统性等特点。

2.2信息安全管理体系的动力和机制分析

信息安全管理体系的产生和发展过程是一个“需求驱动”的过程。AlvinToffler在其经典著作《第三次浪潮》中,将人类发展史划分为第一次浪潮的“农业文明”,第二次浪潮的“工业文明”以及第三次浪潮的“信息社会”。在信息社会时代,“信息”成为重要的生产资料,价值非凡,因此面临诸多风险,为保护信息,安全需求的出现是必然的。科学与技术的进步是信息安全管理体系的推动力。新密码算法的产生,各类以“信息技术解决信息安全”的思路涌现,为信息安全管理体系的产生奠定了基础。信息安全产生的本质原因是信息技术的发展和应用,反过来,解决信息安全问题又依赖于信息技术的发展。例如,速度更快,与防火墙形成联动的入侵检测系统。国家政策是信息安全管理体系应用的导向力。任何工程活动都是在社会大系统中开展的,都要接受国家(政府)的引导和调控。对工程创新的应用,企业的认识往往是滞后的,因此,国家出台了一系列引导性政策。例如:商务部印发的商资发[2006]556号及商资函[2006]110号,以及各地方政府的鼓励引导政策。

2.3信息安全管理体系的工程演化特点、方式和规律

对比国外,信息安全管理体系在国内发展体现出了明显的跳跃性,这种跳跃性不但体现在信息工程领域,也表现在其他诸多领域。国内一般不会沿袭其循序渐进的路线,而是直接引用国外的先进经验或者在国外已有的原型上进行模仿开发。在科学、技术和工程3个领域内,与文化、制度、历史等环境因素联系最紧密的就是工程。在信息安全领域内,作为基础科学的密码学,其算法“放之四海而皆准”,不会因东西方文化的不同而显现不同的特征,绝大部分技术亦如此。但在工程层次,不同的文化制度有时会产生大相径庭的结果,例如,腾讯QQ本来是模仿国际聊天软件ICQ,但是经过十几年的发展后,ICQ,MSN等点对点国外聊天软件均濒临破产,但QQ在线用户却在2010年突破1亿。信息安全管理体系虽然修改自国际标准,但也显现出鲜明的文化特征。例如更强调保密性,和国外用户相比,更多的认证取向等。

3信息安全管理体系的工程思维与工程方法论

3.1信息安全管理体系的工程思维

科学思维是“反映性思维”“发现性思维”,体现理论理性的认识,工程思维是“构建性思维”“设计性思维”和“实践性思维”,体现实践理性的认识。科学家通过科学思维发现外部世界中已经存在的事物和自然规律,工程师在工程活动中创造出自然界中从来没有的工程构建物,工程设计是以价值当事人的特定需要为出发点,以构建某种与主体需要相符合的实体为归宿的筹划。信息安全管理体系标准族的GB/T22080-2008/ISO/IEC27001:2005原文别强调:“采用ISMS应当是一个组织的一项战略性决策。一个组织ISMS的设计和实施受其需求和目标、安全要求、所采用的过程以及组织的规模和结构的影响,且上述因素及其支持系统会不断发生变化。按照组织的需求实施ISMS是本标准所期望的,例如,简单的情况可采用简单的ISMS解决方案。”信息安全管理体系的部署过程也专门设有信息安全风险评估,目的就是找到企业实际存在的问题,然后“对症下药”。

3.2信息安全管理体系的工程方法论

信息安全管理体系应用了PDCA戴明环,与A.D.Hall的系统工程方法略有差别,但在本质上是遵循这个基本框架的。

4结语

篇9

关键词:电信企业;信息安全;风险防控;管理体系;建设;研究

一、电信企业信息管理的现状与作用

(一)电信企业信息管理体系的现状

随着社会的发展,无论是个人还是企业,都越来越离不开科学技术。这也导致科技所引发的信息安全管理体系的问题出现。1、针对信息安全管理体系的建设没有创建出专门的管理机构由于在信息管理方面,企业没有一个系统的较为权威的管理部门及相关组织,其管理权限分散在建设、运维、系统支撑、市场等部门,在很大程度上致使企业信息管理中的相关法规得不到正常有效的运行。2、未能充分的考虑企业相关管理部门与信息安全管理体系的建设完善由于电信企业的特殊性,在具体的信息安全建设管理中,信息体系建设和信息安全管理的工作不够协调,使得企业在信息安全管理的相关工作上没法进行积极主动实施,导致了企业信息安全管理体系建设工作的没能与相关体系升级换代同步进行。3、企业信息管理建设滞后对于相关部门而言,信息安全管理常常局限于使用比较局部的安全产品进行保障,这样就容易形成被动的使用相关办法来应对信息安全的漏洞风险,导致此类方法严重缺乏科学性,而且由于使用范围的局限,从而也不完全能够抵御安全问题给企业所带来的运营风险。

(二)企业信息安全管理的作用

信息安全管理体系的建设是对企业来说非常重要,尤其是电信企业,通过信息安全管理体系的建设,不仅有利于提高相关部门的工作人员的信息安全意识,而且还能够加强对信息安全的管理组织的规范管理,通过充分有效的安全信息维护,能够帮助企业在信息管理受到严重威胁时可以及时消除风险,从而维护国家、企业、广大用户的切身利益,确保电信企业在国家信息建安全战略中的中流砥柱作用。

二、电信企业信息管理建设的有效方法

(一)制定有效的信息管理计划

在企业管理中,有效的信息安全管理,是企业发展的前提;信息管理建设需要有效的策划:1、教育培训在企业管理中,做好教育培训工作是非常重要的,通过相关培训,不但能够提高相关人员的安全信息管理意识,强化相关人员实际操作能力,而且还可以为信息管理体系吸引大量的相关人才。2、制定信息安全管理计划制定管理的相关计划是企业发展中的关键环节,所以,为了企业的可持续发展,相关部门需要制定信息管理体系建设的标准,拟定相关计划。

(二)电信企业信息管理建设的范围

对于一个企业来说,确定信息管理体系的范围是非常重要的,其需要相关部门人员根据实际情况来进行重点有效的管理,这个管理的范围就是安全管理体系的范围。这一范围还可分为整体范围与个别信息安全管理范围,通过不同的部门可对管理组织进行划分,并在一定的程度上进行不同力度的管理。就电信企业而言,主要涉及企业信息管理和用户信息管理,其安全体系建设贯穿在企业运行的全过程。

(三)建立企业信息管理框架

对一个企业而言,企业的信息管理必须建立起一个严格的管理模式。具体步骤如下:1、信息安全管理体制的计划在规划信息安全管理体系时,首先的一个步骤就是对企业的信息安全管理有一个明确的计划。这样一来不仅能够对后续工作做了一个提前的准备,有利于建立管理机构,而且还能够对管理的责任做出明确的规定,能够更好的确立管理目标,评估管理风险。2、企业信息安全管理的实施有了一定的企业信息安全管理体系的计划,接下来的一个重要步骤就是计划的实施过程,过程主要有信息安全管理方法应用和相关措施落实等。3、企业信息安全管理体制的检查这个阶段的工作开展要做好充分的准备,因为这一阶段是整个计划的关键阶段,主要通过审计、自我评估或借助第三方审核等方法来对计划实施的效果进行审查。

三、结束语

综上所述,“我国电信运营企业的信息安全风险无处不在,安全形势日益严峻,迫切需要系统、科学、有效的信息安全风险管理体系理论指导管理工作实践。”通过本文,我们了解到我国电信企业的信息安全管理体系方面的现状以及信息安全管理的重要性,通过相关部门的共同努力,切实提高信息安全管理水平,维护好国家安全和公共利益安全,为建设信息化强国做出应有的贡献。

参考文献:

[1]郑敏.关于信息安全管理体系建设的研究[J].计算机光盘软件与应用,2014

[2]曾剑秋,程广焕,杨萌柯.电信运营企业信息安全风险管理体系研究[J].科技管理研究,2016

篇10

关键词:烟草行业 信息安全 安全管理 安全防护体系

中图分类号:TS48 文献标识码:A 文章编号:1674-098X(2013)03(c)-0-01

中国的卷烟市场是全球最大的市场,拥有30%的全球消费者,中国烟草行业实行专卖专营体制以来,紧紧围绕“做精做强主业,保持平稳发展”的基本方针,实现了经济效益的连年增长。在取得成绩的同时,中国的烟草行业也一直贯彻坚持科技进步,大力推进技术创新的思想,全面推进烟草行业信息化网络的建设。但是随着信息化应用的日益广泛,信息系统中存储的信息和数据的数量的不断加大,其安全形势不容乐观,该文先介绍烟草行业信息安全的概念,然后对其现状进行描述,最后对如何推进信息安全体系建设,加强烟草行业信息安全管理进行了研究与探索。

1 信息安全概述

信息安全本身包括的范围很大,是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。网络环境下的信息安全体系是保证信息安全的关键,自中国加入世贸组织后,烟草行业的竞争日趋激烈,烟草行业在制造以及销售方面信息化应用的不断扩大,所以其安全程度对整个烟草行业起到决定性的作用。信息安全主要包括保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性五个方面的内容,其中任何一个方面的安全漏洞都能威胁到全局安全,因此必须做好信息安全的管理工作。

2 烟草行业信息安全所面临的威胁

由于近年来烟草行业进行了几轮大规模的重组合并,其网络拓扑结构也越来越复杂,信息集成共享也更加广泛,所以烟草行业信息安全所面临的威胁来自各个方面,下面主要从内部和外部两方面进行描述。

(1)由于烟草行业信息系统是由人员进行设计、监管以及操作的,其本身就存在一定的薄弱环节和不安全因素,若内部保密工作不到位、内部管理出现漏洞则会对系统造成破坏,数据发生丢失,给信息安全系统构成威胁。

(2)黑客可以利用信息安全系统自身的缺陷非法闯入,进行数据的“窃听”和拦截,或者其他的破坏活动。一般的烟草企业的网络与整个外部网络是相互连接的,这就无法避免垃圾邮件的威胁,这是防不胜防的。病毒侵入由于其无孔不入的能力以及无法预防的特性,一直是行业信息系统的最大隐患。

3 烟草行业信息安全管理现状

经过多年的信息化建设和网络安全建设,对于烟草信息安全系统,主要存在以下现象。

(1)网络基础设施不健全,信息安全设备不稳固。由于大范围的兼并重组,新建的网络设施、设备的稳定性依然无法得到保证,对设备运行的监控参数没有得到重视,不具备容灾功能。

(2)烟草行业信息安全管理制度和措施没有得到有效的落实,专业人员的素质无法得到保证。尽管国家制定和颁布的烟草信息安全管理制度大部分得到了较好的贯彻落实,但缺乏相关的管理制度,使得管理工作也只是流于形式,存储设备的管理要求无法得到彻底落实。其次由于这个系统的动态特性,对工作人员的要求较高,所以培训工作的滞后影响着整个系统的安全。

(3)缺乏整体性的防护措施。尽管近年来的信息安全保障体系建设已经取得了一定的成效,但在建设初期的缺乏对整个系统的全盘考虑或是预算的原因使得现在已经成型的烟草信息安全系统缺乏整体性的防护措施。

4 提高安全管理的对策

4.1 技术层面的建设

一个有效的网络信息安全技术体系是整个信息安全管理的基础,所以安全体系的建设是所有安全构架的基础,运用先进的技术手段,进一步完善机房硬件设备等基础设施;对不同的安全威胁要进行针对性的建设,确保核心设备具有较高的安全级别并且要对其端口进行流量控制;对于核心信息资源所面临的风险要进行正确的评估,提高网络信息化的安全保障能力;对于网络存储的大量信息和数据要做好备份工作,并对进行传输的信息进行实时监控,加强对突发安全事件的处理效率。通过以上技术层面的手段使整个安全体系在预警、防护、监控等方面的能力得到提高。

4.2 管理层面的建设

管理层面的建设主要通过完善和优化安全管理体系和建立相应的措施来提高信息安全网络的安全管理能力与监督能力。制定出清晰完整的信息安全政策,从整体层面上指导整个网络的安全建设,对所有的管理人员以及工作人员实行法律化管理;建立严密的密码管理制度,并且要定时更换,控制密码的扩散;此外对使用安全体系网络的人员要进行身份的辨别,对于管理员以及普通使用人员的权限进行分离,在信息控制中心成立安全管理小组,专门负责电脑的安全运行;重视烟草行业安全文化建设,提高员工的基本安全意识和安全防范能力,营造出一个浓厚的网络信息安全氛围;最后要加强网络信息安全专业人才的培养,从安全意识和安全技术两个方面着手,对这些人员进行定期、持续、系统地培训。

5 结语

尽管对烟草行业信息安全的管理存在很多困难,但是只要我们能做到将以人为本、技术、管理和法制这些手段综合起来进行治理,网络信息安全将会得到很好地解决,烟草行业的信息化进程将会为整个行业带来更大的发展空间。

参考文献

[1] 李益文.基于烟草行业业务可持续运行的信息安全运维管理体系的思考[J].东方企业文化,2012(22).

[2] 高萍,黄伟达.烟草企业信息安全方面的思考[J].黑龙江科技信息,2010(31).

[3] 林加忠,叶鹏华.浅析网络环境下烟草信息资源建设[J].硅谷,2009(5).