信息安全策略报告范文

时间:2024-01-18 18:00:13

导语:如何才能写好一篇信息安全策略报告,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

信息安全策略报告

篇1

关键词:民办高校信息化建设;信息资源特性;信息资源安全保障

中图分类号:G647

近年来,民办高校逐步实现了管理手段的现代化,但是,由于民办高校起步晚,信息安全技术相对落后,致使其信息资源安全无法得到有效地保障。因此,如何采取有效措施保障信息资源安全,提高自身的信息化水平,已经成为影响民办学校“跨越式发展”的关键问题之一。

1 加强民办高校信息资源安全保障的必要性

近年来,各民办高校对计算机网络与信息系统的依赖程度也越来越高,随之而来的民办高校信息资源安全[1-5]问题也日益突出。目前,关于民办高校信息资源安全问题的研究,在理论和实践上还不很成熟,国内外也缺少相对成熟的成套理论与通用模式,因此,如何有效地对民办学校信息资源进行有效管理,探索各种民办高校信息资源安全问题的应对策略,已经成为民办高校信息化建设中迫切需要解决的问题。

2 民办高校信息资源特性

概括下来,民办高校信息资源具有以下特性:

(1)来源开放性。民办高校的某些信息资源可由校内外人员以各种途径和传播。所以,这些信息资源是开放式的,也往往是比较难管理的。

(2)内容多元性。由于大多数民办高校都已拥有了自己的各类信息系统,因此,信息资源也因信息系统内容不同而呈现出多元性。

(3)政策动态性。在民办高校发展过程中,根据不同的信息资源现状,决策者不同时期的决策也具有差异性,使得信息资源具有浓重的政策动态性。

(4)影响广泛性。目前,民办高校大部分信息系统师生参与度高,涉及面广,若不能及时处理由此引发的安全问题,将会可能影响正常教学活动展开、科研办公等,甚至可能会造成混乱。

(5)问题突发性。随着民办高校对计算机网络的依赖程度越来越高,关于信息资源的问题复杂多变又非常隐蔽,若出现了安全问题,在极短时间内就可通过网络引起校内外人员关注并被迅速传播,极易引发突发性信息资源的安全事件。

3 民办高校面临的信息资源安全风险

由于民办高校信息资源的不同特性,其引发安全问题也具有多样性与复杂性。然而,由于信息资源安全问题的隐蔽性与复杂多变性,并未引起足够的重视,使得民办高校面临各种可能的信息资源安全风险。

3.1 信息资源安全宣传教育力度不够,部分师生安全意识淡薄

由于自身体制的原因,大多数民办高校对信息资源安全的重视不够,较少开展关于信息资源安全的各种宣传教育与培训活动,导致部分师生安全意识不强,在使用相关信息系统时,往往只注重使用,并未过多地顾及信息资源的安全性,只能被动地解决信息资源安全问题。

3.2 信息资源安全培训欠缺,信息安全人员技术水平有待提高

目前,虽然各种信息系统已在大多数民办高校得到广泛应用,但由于缺乏专业的信息资源安全管理人才和配套的信息安全培训,造成现有信息安全人员技术水平相对不高,无法及时发现并处理信息资源的安全隐患,影响了民办高校信息化建设进程。

3.3 信息资源安全保障投入有限,缺乏信息安全总体规划

相对于公办高校而言,民办高校资金匮乏,对信息安全保障并未进行过多地投入,也没有设置专门负责信息资源安全的部门。另外,民办高校缺乏信息资源安全总体规划,当出现信息资源安全问题时,往往只能被动地解决,没有一整套的信息资源安全预警机制来防范,从而给民办高校信息化建设带来了一定的难度。

由于安全意识淡薄,宣传不到位,没能引起相关部门关于信息资源安全问题的足够重视,使得民办高校信息化建设发展缓慢,信息化水平相对落后。如何有针对性地解决信息资源安全风险,成为民办高校信息化建设下一步的工作重点。

4 民办高校信息资源安全保障的应对策略

为了更好地推进民办高校信息化建设,民办高校需要加大投入力度,大力宣传信息资源安全,强化师生安全意识,开展必要的专业信息资源安全培训,培养一批高水平的信息资源安全人才队伍。要做好民办高校信息资源安全保障,需要从以下几个方面来应对。

4.1 强化监督与管理,加强信息资源安全培训和宣传教育,增强信息资源安全意识和责任感,切实提高信息资源安全管理水平

一方面,民办高校可以每年度定期组织相关管理人员进行信息安全教育培训,普及信息资源安全知识。另一方面,民办高校可以通过讲座、校报、校内广播、网上浏览等多种形式来普及安全知识,对广大师生进行信息资源安全宣传教育,营造良好的信息安全环境。

4.2 加强信息资源安全人才队伍建设,培养专业信息资源安全人才

信息安全人才队伍建设是建立民办高校信息资源安全保障体系和民办高校信息化建设健康发展的重要保证。因此,各民办高校应该围绕信息资源安全需要,不断完善信息资源安全人才培养方案,努力打造一支富有信息资源安全意识、信息管理技术过硬的信息资源安全人才队伍。

4.3 多种方式提高民办高校信息资源安全保障能力

民办高校可以定期对已有的各种信息系统进行日常安全检查,加强对各种信息资源的管理,及时进行信息安全产品更新换代,减少信息资源安全问题出现的可能性,努力提高民办高校信息资源安全保障能力。

4.4 构建民办高校信息资源安全保障体系

信息资源安全问题具有内容多元性的特点,正是这个特点,单一的信息资源安全防范措施并不能很好地解决出现的信息安全问题。通过构建民办高校信息资源安全保障体系,将会有效提高民办高校信息化水平。

5 结论

随着高校信息化的逐步深入,民办高校信息资源安全问题日益突出。在分析了民办高校信息资源安全保障的必要性后,本文归纳了民办高校信息资源安全特点,提出了目前民办高校面临的信息资源安全风险,在此基础上,给出了民办高校信息资源安全保障对策,力图达到提高民办高校信息化水平,保证民办高校信息化建设健康发展的研究目的。

参考文献:

[1]熊平.高校信息安全教育改革[J].科技咨询导报,2007,10:167-168.

[2]邓吉平.论新时期高校信息安全保密工作[J].科技创新导报,2008(35):178-178.

[3]杨莹.高校信息安全探讨[J].电脑知识与技术,2008,4(36):2955-2956.

[4]杨建国.网络环境下高校信息安全的管理[J].安庆师范学院学报(社会科学版),2004,23(2):61-63.

[5]孟坛魁,梁艺军.高校信息安全体系建设与实践[J].实验技术与管理,2011,28(6):122-124.

作者简介:何建仓(1984-),通讯作者,男,河南新乡人,研究生,助教,研究方向:粗糙集、粒计算;巨筱(1976-),讲师,研究方向:计算机教育;牛丹丹(1985-),女,助教,研究方向:LTE协议栈。

篇2

关键词:信息安全 防御体系 医院信息化管理

中图分类号:TP316 文献标识码:A 文章编号:1674-098X(2014)06(a)-0038-01

1 医院信息安全现状分析

1.1 信息安全策略不明确

医院信息安全策略工作的不明确,使医院对于信息工作提出了更高的要求。医院信息安全工作的建设并不是那样的简单,有些医院只是简单的注重各种网络安全产品的采购,但是并没有制定信息安全的中、长期的计划,这些医院没有根据自己的网络安全出现的一些问题而采取一些应对措施,也没有根据自己的信息安全目标制定符合实际的安全管理策略。以上现象的出现,使医院信息安全产品不能发挥出应有的作用,不能得到适当的优化和合理的配置。

1.2 计算机病毒等危害日益严重

医院网络安全事件频繁发生,直接影响到医院活动的正常运行。据调查,网络安全问题是由病毒泛滥、黑客攻击、系统漏洞等原因造成的,网络安全事件与脆弱的用户终端和“失控”的网络密切相关,用户终端不及时升级系统补丁和病毒库,或者私设服务器、滥用政府禁用软件、私自访问外部网络的现象普遍存在,如果失控的用户终接入网络,就会使潜在的威胁趁虚而入,并大幅度的扩散开来,后果不可想象。想要解决目前医院网络安全管理问题,需要我们保证用户终端的安全、阻止威胁入侵网络和对用户的网络访问行为进行有效的控制。这样,医院网络安全才可以进入可观局面。

1.3 信息安全意识不强,安全制度不健全

信息安全事件存在多方面的不足,归结起来要么是医院未制定安全管理制度,要么制度后实际却没去实施。对于医院信息安全问题来说,医院内部人员起到很大的作用,但是实际情况下,医院内部人员的计算机知识却相对薄弱,特别是在信息安全知识和意识方面,所以医院应加强对内部员工安全知识的培训。

2 构建医院信息安全及防御体系的措施

目前,想要完成医院信息安全的任务,首先要根据医院的实际状况出发,制定出相应的措施。医院信息安全应包括安全策略、安全管理和安全技术,只有将这三个方面的安全措施做好,医院信息安全便可取得一定的效果。

2.1 提升信息安全策略

网络信息安全需要从管理和技术两方面下功夫。网络信息安全并不是一个单一或独立的问题,在根据医院网络信息实际出现的问题采取相对应的措施外,还应该严格务实的实施下去,只有这样可以提高网络信息系统安全性。我们在网络安全实施的策略及步骤上应包括以下五方面的内容: 制定统一的安全策略、购买相应的安全产品实施安全保护、监控网络安全状况(遇攻击时可采取安全措施)、主动测试网络安全隐患、生成网络安全总体报告并改善安全策略。

2.2 完善信息安全管理

从安全管理上,要制定出相对完善的机制,遵守并实施安全管理制度,加强对医院员工的安全意识培训,引导并督促他们对安全意识深入了解,最后还要制定出网络安全应急方案等。

第一,安全机构建设。成立专门的信息管理组,并设立各个部门及其主要领导,每个部门规定相应的职责,层层推进,共同实施信息管理任务。除此之外,还应该及时的进行信息的安全检查和应急安全演练。

第二,安全队伍建设。若想要医院信息系统能够正常有序的运行,则需要建立一支较高水平、较高实力的安全管理队伍。安全管理队伍可通过引进或则培训等渠道建立。

第三,安全制度建设。为了确保医疗工作的正常运行,需要建立一套可行的安全制度,其内容包括很多方面,比如:系统与数据安全、应用安全、网络安全、信息安全、物理安全和运行安全等等。

2.3 提升医院信息安全技术水平

依据安全技术的实施结果分析,要针对检测到的安全漏洞,制定出全面且彻底的补救方案与改进措施。

(1)冗余技术。冗余技术的作用可以实现网络的可靠性,冗余技术包括:电源冗余、处理器冗余、模块冗余、设备冗余、链路冗余等。若无冗余技术的作用,医院信息网络就会就会出现故障或变化,这样会导致医院业务的瞬间质量的恶化甚至内部业务系统的中断,并且医院信息网络作用于整个医院的业务系统,需要保证网络可靠并正常的运转,这就更需要冗余技术来发挥维持网络稳定性的作用了。

(2)建立安全的数据中心。无论对于患者或是医院来说,医院的医疗数据都是非常重要的,但是由于医疗系统的数据类型非常丰富,在对数据的多次读取的和储存的同时,难免造成数据的丢失,或则被恶意破坏、非法利用等安全问题,所以,建立一个安全的数据中心成为必需。一个安全的数据中心具有以下功能:有效的杜绝安全隐患、确保病患的及时信息交互、保证各个医疗系统的健康运转和加强医疗系统的安全等级。数据交换、数据库、服务器集群、安全防护和远程优化等组件都是融合的医疗数据中心的组成部分。

2.4 安装安全监控系统

想要保持医院内部的安全策略,安全监控系统扮演着非常重要的角色。安全监控系统不仅能充分的利用了医院现有的网络投资,还可以起到监督的作用,监控各种网络行为和操作进行,可以随时随地的记录各个终端和网络设备的使用状况,而且还能起到隔离部分被攻击的组件的作用,

3 结语

医院信息安全并不是一个简单的系统,应该采取多种有效的技术手段来应对不同网络威胁,当然,也应该清醒的认识到不可能把信息安全问题彻底解决掉,绝对安全是不存在的。但是,只要我们把系统合理、安全规划,技术上制定好相应的安全防护措施并认真务实的执行下去,建立一个将误差降低最小的安全防护系统,才是我们一直追求的目标,才能实现保护医院信息安全的目的。

参考文献

[1] 魏牧.浅谈医院信息系统的安全管理[J].科技资讯,2009(8).

[2] 管斌,孙曼凌.浅谈医院信息管理系统[J].中国社区医师(综合版),2007(18).

[3] 黄俊星.现代化医院建设中医院信息系统管理的探索[J].江苏卫生事业管理,2007(1).

篇3

    解决信息系统安全要有以下几点认识:要解决信息系统要有统筹全局的观念。解决信息系统的安全问题要树立系统观念,不能光靠一个面。从系统的角度分析信息系统是由用户和计算机系统两者组成,这包括人和技术两点因素。使用和维护计算机安全信息系统可以根据信息系统具有动态性和变化性等特点进行调整。信息系统是一项长期属于相对安全的工作,必须制订长销机制,绝不能以逸待劳。企业信息系统安全可以采取的策略是采用一套先进、科学及适用的安全技术系统,在对系统进行监控和防护,及时适当的分析信息系统的安全因素,使这套系统具有灵敏性和迅速性等响应机制,配合智能型动态调整功能体系。需要紧记的是系统安全来自于风险评估、安全策略、自我防御、实时监测、恢复数据、动态调整七个方面。其中,通过风险评估可以找出影响信息系统安全存在的技术和管理等因素产生的问题。在经过分析对即将产生问题的信息系统进行报告。

    安全策略体现着系统安全的总体规划指导具体措施的进行。是保障整个安全体系运行的核心。防御体系根据系统中出现的问题采用相关的技术防护措施,解决各种安全威胁和安全漏洞是保障安全体系的重心。并且通过监测系统实时检测运行各种情况。在安全防护机制下及时发现并且制止各种对系统攻击的可能性,假设安全防护机制失效必须进行应急处理,立刻实现数据恢复。尽量缩小计算机系统被攻击破坏的程度。可以采取自主备份,数据恢复,确保恢复,快速恢复等手段。并且分析和审理安全数据,适时跟踪,排查系统有可能出现的违归行为,检查企业信息系统的安全保障体系是否超出违反规定。

    通过改善系统性能引入一套先进的动态调整智能反馈机制,可以促进系统自动产生安全保护,取得良好的安全防护效果。可以对一台安全体系模型进行分析,在管理方面,对安全策略和风险评估进行测评,在技术层面,实时监测和数据恢复形成一套防御体系。在制度方面,结合安全跟踪进行系统排查工作。系统还应具备一套完整的完整的动态自主调整的反馈机制,促进该体系模型更好的与系统动态性能结合。

    信息安全管理在风险评估和安全策略中均有体现,将这些管理因素应用与安全保障体系保护信息安全系统十分重要。企业必须设立专门的信息系统安全管理部门,保障企业信息系统的安全。由企业主要领导带头,组织信息安全领导小组,专门负责企业的信息安全实行总体规划及管理。在设立信息主管部门实施具体的管理步骤。企业应该制订关于保证信息系统安全管理的标准。标准中应该明确规定信息系统中各类用户的职责和权限、必须严格遵守操作系统过程中的规范、信息安全事件的报告和处理流程、对保密信息进行严格存储、系统的帐号及密码管理、数据库中信息管理、中心机房设备维护、检查与评估信息安全工作等等信息安全的相关标准。而且在实际运用过程中不断地总结及完善信息系统安全管理的标准。

    相关部门应该积极开展信息风险评估工作。通过维护信息网的网络基础设施有拓扑、网络设备和安全设备,对系统安全定期的进行评估工作,主动发现系统存在的安全问题。主要针对企业支撑的信息网和应用IT系统资产进行全方位检查,对管理存在的弱点进行技术识别。对于企业的信息安全现状进行全面的评估,可以制作一张风险视图表现企业全面存在的问题。为安全建设提供指导方向和参考价值。为企业信息安全建设打下坚实的基础。

    最后,加强信息系统的运行管理。可以通过以下措施进行:规范系统电子台帐、设备的软件及硬件配置管理、建立完善的设备以及相关的技术文档。系统日常各项工作进行闭环管理,系统安装、设备运营管理等。还要对用户工作进行规范管理,分配足够的资源和应用权限。防御体系、实时检测和数据恢复三方面都体现了技术因素,信息安全管理系统技术应用于安全保障体系中。在建设和维护信息安全保障体系过程中,需要多方面,多角度的进行综合考虑。采用分步实施,逐步实现的手法。在信息安全方面采取必要的技术手段,加强系统采取冗余的配置,提高系统的安全性。

    对中心数据库系统、核心交换机、数据中心的存储系统、关键应用系统服务器等。为了避免重要系统的单点故障可以采取双机甚至群集的配置。另外,加强对网络系统的管理。企业信息系统安全的核心内容之一是网络系统。同样也是影响系统安全因素最多的环节。网络系统的不安全给系统安全带来风险。接下来重点谈网络安全方面需要采取的技术手段。网络安全的最基础工作,是加强网络的接入管理。

    与公用网络系统存在区别的是,企业在网络系统中有专门的网络,系统只准许规定的用户接入,因此必须实现管理接入。在实际操作过程中,可以采取边缘认证的方式。笔者在实际工作经验总结出公司的网络系统是通过对网络系统进行改造实现支持802.1X或MAC地址两种安全认证的方式。不断实现企业内网络系统的安全接入管理。网络端口接入网络系统时所有的工作站设备必须经过安全认证,从而保证只有登记的、授权记录在册的设备才能介入企业的网络系统,从而保证系统安全。根据物理分布可以利用VLAN技术及使用情况划分系统子网。这样的划分有以下益处:首先,隔离了网络广播流量,整个系统避免被人为或者系统故障引起的网络风暴。其次是提高系统的管理性。通过划分子网可以实现对不同子网采取不同安全策略,可以将故障缩小到最低范围。根据一些应用的需要实现某些应用系统中的相对隔离。

篇4

论文关键词:信息系统;安全管理;体系

现代金融业是基于信息、高度计算化、分散、相互依存的产业,有人形象地把信息系统归结为银行业的“核心资本”。金融信息化带来的是银行业务信息系统在网络结构、业务关系、角色关系等方面的复杂化。而越是复杂的系统,其安全风险就越高。在系统中每增加一种访问的方式就增加了一些入侵的机会;每增加一些访问的人群就引入了一些可能受到恶意破坏的风险。据2003年一项对全球前500家金融机构的安全调查(2003GlobaleS curity Survey,Deloitte Touche Tohmat—su),39%受调查的机构承认2002年曾受到一定形式的系统攻击;美国联邦法院2004年所作的一系列有关信息犯罪的案件中,有多件涉及金融机构。这些统计数字和报道出的事件,只是我们面临信息系统安全威胁的冰山一角,因此加速建设金融信息系统中的安全保障体系变得更加紧迫。

长期以来,人们对保障信息系统安全的手段偏重于依靠技术,从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、漏洞扫描、身份认证等等。但事实上,仅仅依靠安全技术和安全产品保障信息系统安全的愿望却往往难尽人意,许多复杂、多变的安全威胁和隐患靠安全产品是无法消除的。据有关部门统计,在所有的计算机安全事件中,约有52%是人为因素造成的,25%由火灾、水灾等自然灾害引起,技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成。简单归类,属于管理方面的原因比重高达6O%以上,而这些安全问题中的95%是可以通过科学的信息安全管理来避免。因此,加强安全管理已成为提高信息系统安全保障能力的可靠保证,是金融信息系统安全体系建设的重点。

1安全管理体系构建

信息安全源于有效的管理,使技术发挥最佳效果的基础是要有一定的信息安全管理体系,只有在建立防范的基础上,加强预警、监控和安全反击,才能使信息系统的安全维持在一个较高的水平之上。因此,安全管理体系的建设是确保信息系统安全的重要基础,是金融信息系统安全保障体系建设最为重要的一环。为在金融信息系统中建立全新的安全管理机制,最可行的做法是技术与管理并重,安全管理法规、措施和制度与整体安全解决方案相结合,并辅之以相应的安全管理工具,构建科学、合理的安全管理体系。

金融信息系统安全管理体系是在金融信息系统安全保障整体解决方案基础上构建的,它包括信息安全法规、措施和制度,安全管理平台及信息安全培训和安全队伍建设,其示意图如图1所示。

2安全管理平台

安全管理平台是通过采用技术手段实施金融信息系统安全管理的平台,它包括安全预警管理、安全监控管理、安全防护与响应管理和安全反击管理。

2.1安全预警管理

安全预警管理的功能由预警系统实现,通过该系统,可以在安全风险动态威胁和影响金融信息系统前,事先传送相关的警示,让管理员采取主动式的步骤,在安全风险影响运作前加以拦阻,从而预防全网业务中断、效能损失或对其公众信誉造成危害,达到提前保护自己的作用。安全预警系统通过追踪最新的攻击技术,分析威胁信息以辨识出真正潜在的攻击,迅速响应并提供定制化威胁分析及个性化的漏洞和恶意代码告警服务,帮助降低风险,防患于未然。

2.2安全监控管理

通过安全监控功能可以实时监控金融信息系统的安全态势、发生了哪些攻击、出现了什么异常、系统存在什么漏洞以及产生了哪些危险日志等,因此安全监控功能对于金融信息系统的安全保障体系来说是至关重要的。

1)基于实时性的安全监控。通过在线方式管理金融信息系统中的资源状态和实时安全事件,及时关注IT资源和安全风险的现状和趋势,通过实时监控来提高系统的安全性和IT资源的效能。

2)基于智能化的安全监控。利用智能信息处理技术对信息网络中的各种安全事件进行智能处理,实现报警信息的精炼化,提高报警信息的可用信息量,降低安全设备的虚警和误警,从而有效地提高安全保障系统中报警信息的可信度。

3)基于可视化的安全监控。通过对安全事件分析过程与分析报告的可视化手段,如图表/曲线/数据表/关联关系图等,提供详细的入侵攻击信息乃至重现攻击场景,实现对入侵攻击行为的追踪,使得对安全事件的分析更为直观,从而有效提高安全管理人员对于入侵攻击的监控理解,使安全系统的管理更为有效。

4)基于分布式的安全监控。通过系统分布式的多级部署方式,可以实现对金融信息系统内各个子系统的监控和综合分析能力,同时对不同安全保护等级的用户提供相应的监控界面和信息,从而严格满足其安全等级划分的用户级要求。

2.3安全防护与响应管理

在金融信息系统的安全系统中由于安全的异构属性,因此会采用不同的安全技术和不同厂家的安全产品来实现安全防护的目的。通过安全防护与响应管理可以及时响应和优化整个系统安全防护策略;最直接的响应就是提供多种方式,如报警灯、窗日、邮件、手机短信等向安全管理员报警,然后日志保存在本地数据库或者异地数据库中。

1)优化安全策略分析。通过实时掌握自身的安全态势,及各种安全设备、网络设备、安全系统和业务系统的处理情况,输出正常和非法个性化的安全策略报表,然后直接通知相应的安全管理人员或厂商对其自身策略进行优化调整。

2)动态响应策略调整。通过对各种安全响应协议的支持,如SNMP、TOPSEC、联动协议等,实现相关的安全防护技术策略的自动交互,同时通过专家知识库能从全局的角度去响应安全事件很好地解决安全误报问题。

3)安全服务自动协调。当智能分析和安全定位功能确认出安全事件或安全故障时,及时调派安全服务人员小组(或提供安全服务的供应商)进行相应的安全加固防护。

2.4安全反击管理

安全反击管理包括安全事件的取证管理和安全事件的追踪反击。

1)安全事件的取证管理。取证在网络与信息系统安全事件的调查中是非常有用的工具,通过对系统安全事件的存储和分析,实现对安全事件的取证管理,给相关调查人员提供安全事件的直接取证。

2)安全事件的追踪反击。通过资源状态分析、关联分析、专家系统分析等有效手段,检测到攻击类型,并定位攻击源。随后,系统自动对目标进行扫描,并将扫描结果告知安全管理员,并提示安全管理员查询知识库,从中提取有效手段对攻击源进行反击控制。

3安全管理措施建议

在安全管理技术手段的基础上,还要提高安全管理水平。俗话说“三分技术,七分管理”,由于金融信息系统相对比较封闭,对于金融信息系统安全来说,业务逻辑和操作规范的严密程度是关键。因此,加强金融信息系统的内部安全管理措施,建立领导组织体系,完善落实内控制度,强化日常操作管理,是提升安全管理水平的根本。

1)完善安全管理机构的建设。目前,我国已经把信息安全提到了促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度,并提出了“积极防御、综合防范”的信息安全管理方针,专门成立了网络与信息安全领导小组、国家计算机网络应急技术处理协调中心(简称CNCERT/CC)、中国信息安全产品测评认证中心(简称CNITSEC)等,初步建成了国家信息安全组织保障体系。为确保金融信息系统的安全,在金融信息系统内部应组建安全管理小组(或委员会),安全管理小组制定出符合企业需要的信息安全管理策略,具体包括安全管理人员的义务和职责、安全配置管理策略、系统连接安全策略、传输安全策略、审计与入侵安全策略、标签策略、病毒防护策略、安全备份策略、物理安全策略、系统安全评估体系等内容。安全管理应尽量把各种安全策略要求文档化和规范化,以保证安全管理工作具有明确的依据或参照。

2)在保证信息系统设备的运行稳定可靠和信息系统运行操作的安全可靠的前提下,增加安全机制,如进行安全域划分,进行有针对性的安全设备部署和安全策略设置,以改进对重要区域的分割防护;增加入侵检测系统、漏洞扫描、违规外联等安全管理工具,进行定时监控、事件管理和鉴定分析,以提高自身的动态防御能力;完善已有的防病毒系统、增加内部信息系统的审计平台,以便形成对内部安全状况的长期跟踪和防护能力。

3)制定一系列必须的信息系统安全管理的法律法规及安全管理标准,狠抓内网的用户管理、行为管理、应用管理、内容控制以及存储管理;进一步完善互联网应急响应管理措施,对关键设施或系统制定好应急预案,并定期更新和测试,全面提高预案制定水平和处理能力;建立一支“信息安全部队”,专门负责信息网络方面安全保障、安全监管、安全应急和安全威慑方面的工作。

4)坚持“防内为主,内外兼防”的方针,加强登录身份认证,严格限制登录者的操作权限,充分利用操作系统和应用系统本身的日志功能,对用户所访问的信息进行跟踪记录,为系统审计提供依据。

5)重视和加强信息安全等级保护工作,对金融信息系统中的信息实施一般保护、指导保护、监督保护和强制保护策略,尤其对重要信息实施强制保护和强制性认证,以确保金融业务信息的安全。

6)加强信息安全管理人才与安全队伍建设,特别是加大既懂技术又懂管理的复合型人才的培养力度。通过各种会议、网站、广播、电视、报纸等媒体加大信息安全普法和守法宣传力度,提高全民信息安全意识,尤其是加强企业内部人员的信息安全知识培训与教育,提高员工的信息安全自律水平。

篇5

的确,在信息技术为核心的知识经济时代,信息是重要的生产力要素,也是支撑企业长远发展的核心竞争力。信息化对于企业来说不是做与不做的问题,而是如何做的问题。

我国政府一直高度重视信息化工作,特别在十提出“两化深度融合”和“四化协同发展”的战略部署后,各行各业信息化的热情高涨。

技术崇拜

企业在信息化建设时有一个普遍的现象,那就是对新技术和新应用趋之若骛。一方面,这些新技术和新应用的价值对于企业来说具有非常高的吸引力,但更重要的是企业希望借助新技术来提高整个信息化系统的先进性,同时延伸信息系统的生命周期以最大程度保护投资。

云计算,大数据,物联网,社交网络,BYOD是当前最为流行也最受企业追捧的几大新技术和新应用,而这些技术也的确有着非常突出的应用价值。

传统软件部署很麻烦,比如,买服务器、安装、调配等,但是云模式就很简单,只要开通账号,登陆后便马上能用,也不需要配备专业人员,所以,云计算具有部署快,成本低的优势。由于其按需付费,所以不需要一次性付出一大笔钱。这对企业尤其是中小企业的吸引力是巨大的。再比如大数据,它有两个关键核心价值:一是能够帮助管理者更快、更科学、更有根据的决策;二是基于大量的数据,可以开发新产品新服务。大数据技术的应用,可以依托现有客户发现新的蓝海,重新定义客户关系,推出新的产品和服务,创造新的价值,给企业带来新的市场机会和利润增长。

这些新技术和新应用也不乏成功的实践,也产生了实实在在的经济效益。《2012-2013年英特尔IT业绩报告》显示,过去一年中,该公司利用大数据预测引擎把芯片设计时间大大缩短,使其上市速度加快了25%;在过去的两年,从云计算中获得的节约高达1500万美元;至去年年底,员工使用私有电子设备(BYOD)增加至23500台,帮助员工在过去三年中工作效率提升超过700万个小时。可以说,诸多IT解决方案相互配合共同贡献于英特尔的业务发展,为其业务团队带来了宝贵的商业价值和机会。

但是企业在追逐新技术和新应用的同时对另外一个问题却有点避重就轻,这就是网络和信息的安全。虽然英特尔信息风险和安全管理总监Perry Olson说,“并没有数据显示,安全事件因我们广泛使用云技术、社交网络、大数据等新技术和新应用而明显增加”。但不可否认的是风险和威胁是客观存在的。

新隐患

我们知道,BYOD模式是IT消费化的一个戏剧性结果。这一模式的原动力来自于员工而非企业,员工对于新科技的喜好反过来驱动企业变更和适应新技术的变化。十年前,我们上班的时候就用公司的电脑,不安装其他软件,很安全。BYOD则意味着我们可以在办公室使用自己的电脑设备办公,可以任意安装自己需要或者喜欢的软件,打开自己感兴趣的链接。与此同时,企业的安全策略并没有考虑这样的应用环境和要求,自然带来的安全风险。

其它新技术和新应用会带来同样的问题。做为大数据领域的代表技术,许多企业聚焦在Hadoop之上。但像许多开源的IT技术一样,Hadoop的概念并非来自企业,企业安全更是无从谈起。使用Hadoop的最初目的是管理公开可用的信息,如Web链接,是针对大量的非结构化数据在分布式计算环境中设计的,并没有形成书面的安全、合规、加密、政策支持和风险管理等协议。此外,传统的数据安全技术的概念是建立在保护一个物理实体(如数据库或服务器)基础之上,这与Hadoop集群独特的大数据分布式计算环境有所不同。传统的安全技术在这种分布式的、大规模的环境中不能有效发挥作用。

但是,如果问一句,新技术和新应用所带来的安全隐患引起企业的足够重视了吗?让我们看一份安永的企业安全调查报告。安永基于对全球1700多家企业(其中大约有8%为中国企业)相关人士的调查发现,72%的受访者认为信息安全风险水平因新技术的部署和应用而上升,但仅有三分之一的受访者表示在过去的12个月中对其企业的信息安全策略进行了更新,超过一半的受访者还表示自己所在的企业并没有一个针对未来1到3年的、成文的信息安全战略。

这就是问题所在,在新技术和新应用的安全问题上,企业有意识但缺乏有效的行动。原因何在,一位乳业集团的CIO坦言,“不是不想做,关键是不知道如何做”。

改变策略

那么,企业该如何面对新的安全形势呢?

一直以来,传统企业的安全架构在很大程度上依赖于预防性控制,比如防火墙。然而目前的关注重心已经转移至更为广泛的用户和设备提供受控制的访问,而不再仅仅是阻止访问。此外,不断改变的IT环境和威胁模式要求必须假定企业的安全防线肯定会被攻破。一旦攻击者成功了,预防式的安全策略便再不具备任何价值。企业需要重点实施可增强系统继续运作与恢复能力的工具以防止攻击者成功入侵自己的IT环境。

作为一名信息安全领域的专家,Perry Olson认为,随着企业信息安全要求的不断演变和拓展,传统企业的安全战略已经无法提供完善的保护,需要重新审视企业自身信息安全策略,以符合目前的风险状况。他说,“现在的企业需要一个更加灵活、更动态的架构用以加快新技术、新设备、新模式和新功能的应用”。在这方面,英特尔的一些实践值得借鉴。

篇6

中标软件旗下拥有中标麒麟、中标凌巧、中标普华三大产品品牌。“自主可控、安全可靠”是中标软件系列产品重点打造的核心特性。旗下产品包括:中标麒麟安全操作系统、中标麒麟安全云操作系统、中标麒麟安全邮件服务器、中标麒麟高可用集群软件、中标麒麟高级服务器操作系统、中标麒麟通用服务器操作系统、中标麒麟桌面操作系统等核心产品。

中标麒麟(NeoKylin)是“核高基”国家重大科技专项支持的、由国内操作系统两强中标软件有限公司与国防科学技术大学共同推出的国产操作系统旗舰品牌。作为中国操作系统第一品牌,中标麒麟致力于提供值得信赖的自主可控操作系统产品。中标麒麟操作系统产品荣获“国家重点新产品”称号,并进入国家信息产业部产品推荐目录。

目前中标麒麟操作系统产品已在国防、政府、金融、电力、医卫等重点行业进行全面推广。根据赛迪顾问统计,2012年中标麒麟产品在国内Linux操作系统市场占有率排名第一。

中标麒麟安全操作系统是为满足政府、国防、电力、金融、证券、等领域,以及针对企业电子商务和互联网应用对操作系统平台的安全需求,由中标软件有限公司和国防科学技术大学联合研发的安全可控、高安全等级的服务器操作系统平台产品。中标麒麟安全操作系统通过了公安部信息安全产品检测中心基于《GB/T20272-2006信息安全技术操作系统安全技术要求》第四级(结构化保护级)技术要求认证。

中标麒麟安全操作系统所获资质或认可:公安部信息安全产品检测中心GB/T 20272-2006第四级(结构化保护级)检测报告、公安部公共信息安全网络安全监察局-计算机信息安全专用产品销售许可、中国人民军用信息安全产品认证(军B+级)、国家电网信息系统安全实验室测评报告、中标麒麟安全操作系统V5-计算机软件产品登记、中标麒麟安全套件软件V5-计算机软件著作权登记、中标麒麟安全操作系统V5-兼容性测试报告、中标麒麟安全操作系统V5-LSB3.1认证、中标麒麟安全操作系统V5-CGL4.0认证。

篇7

[关键词] ISMS; PDCA; 风险评估; 资产识别; 信息; 安全; 建立; 体系

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 01. 038

[中图分类号] F270.7; TP309 [文献标识码] A [文章编号] 1673 - 0194(2014)01- 0074- 03

1 信息安全体系的重要性

随着信息技术不断发展,信息系统已经成为一种不可缺少的信息交换工具,企业对于信息资源的依赖程度也越来越大。然而,由于计算机网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性等特点,再加上本身存在技术弱点和人为的疏忽,导致信息系统容易受到计算机病毒、黑客或恶意软件的入侵,致使信息被破坏或窃取,使得信息系统比传统的实物资产显得更加脆弱。在这种大环境下,企业必须加强信息安全管理能力。但企业不单面临着信息安全方面问题,同时还面临经营合规方面的问题、系统可用性问题以及业务可持续问题等越来越多的问题。因此,要求我们探索建立一套完善的体系,来有效地保障信息系统的全面安全。

2 信息安全体系建设理论依据

信息安全管理体系(Information Security Management System, ISMS)是企业整体管理体系的一个部分,是企业在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。基于对业务风险的认识,ISMS包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动,并且表现为组织结构、策略方针、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。

在建设信息安全管理体系的方法上,ISO 27001标准为我们提供了指导性建议,即基于PDCA 的持续改进的管理模式。PDCA是一种通用的管理模式,适用于任何管理活动,体现了一种持续改进、维持平衡的思想,但具体到ISMS建立及认证项目上,就显得不够明确和细致,组织必须还要有一套切实可行的方法论,以符合项目过程实施的要求。在这方面,ISMS 实施及认证项目可以借鉴很多成熟的管理体系实施方法,比如IS0 9001,ISO/IEC 2700l, ISO/TS 16949 等,大致上说,这些管理体系都遵循所谓的PROC过程方法。

PROC 过程模型 (Preparation-Realization-Operation-Certification)是对PDCA 管理模式的一种细化,它更富有针对性和实效性,并且更贴近认证审核自身的特点。PROC模型如图1所示。

3 信息安全体系建设过程

根据以往经验,整个信息安全管理体系建设项目可划分成5个阶段,如果每项内容的活动都能很好地完成,最终就能建立起有效的ISMS,实现信息安全建设总体目标,最终通过ISO/IEC 27001认证。

调研阶段: 对业务范围内所有制度包括内部的管理规定或内控相关规定,对公司目前的管理状况进行系统、全面的了解和分析。通过技术人员人工检查和软件检测等方式对组织内部分关键网络、服务器等设备进行抽样漏洞扫描,并形成《漏洞扫描风险评估报告》。

资产识别与风险评估阶段: 针对组织内部人员的实际情况,进行信息安全基础知识的普及和培训工作,让每位员工对信息安全体系建设活动有充分的理解和认识。对内部所有相关信息安全资产进行全面梳理,并且按照ISO/IEC 27001相关的信息资产识别和风险评估的要求,完成《信息资产清单》、《信息资产风险评估表》和《风险评估报告》。

设计策划阶段:通过分组现场讨论、领导访谈等多种方式对各业务部门涉及的信息安全相关内容进行细致研究和讨论。针对现有信息安全问题和潜在信息安全风险建立有效的防范和检查机制,并且形成有持续改进功能的信息安全监督审核管理制度,最终形成严格遵守ISO/IEC 27001认证审核标准的、符合组织业务发展需要的《信息安全管理体系文件》。体系对文件控制、记录控制、内部审核管理、管理评审、纠正预防措施控制、信息安全交流管理、信息资产管理、人力资源安全管理、物理环境安全、通信与操作管理(包括:笔记本电脑管理、变更管理、补丁管理、第三方服务管理、防范病毒及恶意软件管理、机房管理规定、介质管理规定、软件管理规定、数据备份管理、系统监控管理规定、电子邮件管理规定、设备管理规定)、访问控制、信息系统获取开发和维护、信息安全事件管理、业务持续性控制、符合性相关程序进行全面界定和要求。

实施阶段:项目小组要组织相关资源,依据风险评估结果选择控制措施,为实施有效的风险处理做好计划,管理者需要正式ISMS 体系并要求开始实施,通过普遍的培训活动来推广执行。 ISMS 建立起来(体系文件正式实施) 之后,要通过一定时间的试运行来检验其有效性和稳定性。在此阶段,应该培训专门人员,建立起内部审查机制,通过内部审计、管理评审和模拟认证,来检查己建立的ISMS是否符合ISO/IEC 27001标准以及企业规范的要求。

认证阶段:经过一定时间运行,ISMS 达到一个稳定的状态,各项文档和记录已经建立完备,此时,可以提请进行认证。

4 信息安全体系建立的意义

通过建立信息安全管理体系,我们对信息安全事件及风险有了较为清楚的认识,同时掌握了一些规避和处理信息安全风险的方法,更重要的是我们重新梳理了组织内信息安全体系范围,明确了信息安全系统中人员相关职责,对维护范围内的各信息系统进行了全面的风险评估,并且通过风险评估涉及的内容确定了具体的控制目标和控制方式,引入了持续改进的戴明环管理思想,保证了体系运转的有效性。具体效果如下:

(1) 制定了信息安全方针和多层次的安全策略,为各项信息安全管理活动提供指引和支持。

(2) 通过信息风险评估挖掘了组织真实的信息安全需求。

加强了人员安全意识,建立了以预防为主的信息安全理念。

(3) 根据信息安全发展趋势,建立了动态管理和持续改进的思想。

5 决定体系建立的重要因素

5.1 加强人员安全意识是推动体系实施的重要保障

信息安全体系在一个企业的成功建立并运行,需要整个企业从上到下的全体成员都有安全意识,并具备信息安全体系相关理论基础,才能保障信息安全体系各项活动内容顺利开展。为保证信息安全体系相关任务的执行人员能够尽职尽责,组织要确定体系内人员的职责;给予相关人员适当的培训,必要时,需要为特定任务招聘有经验的人员;评估培训效果。组织必须确保相关人员能够意识到其所进行的信息安全活动的重要性,并且清楚各自在实现ISMS 目标过程中参与的方式。

ISMS 培训工作应该分层次、分阶段、循序渐进地进行。借助培训,组织一方面可以向一般员工宣贯安全策略、提升其安全意识;另一方面,也可以向特定人员传递专业技能(例如风险评估方法、策略制定方法、安全操作技术等)。此外,面向管理人员的培训,能够提升组织整体的信息安全管理水平。通常来讲,组织应该考虑实施的培训内容包括:

(1) 信息安全意识培训。在ISMS实施伊始或最终运行阶段,组织可以为所有人员提供信息安全意识培训,目的在于让所有与ISMS 相关的人员都了解信息安全管理基本要领,理解信息安全策略,知道信息安全问题所在,掌握应对和解决问题的方法和途径。

(2) 信息安全管理基础培训。在ISMS准备阶段,组织可以向ISMS项目实施相关人员 (例如风险评估小组人员、各部门代表等)提供1SO/IEC 27001基础培训,通过短期学习,帮助大家掌握ISO/IEC 27001标准的精髓,理解自身角色和责任,从而在ISMS项目实施过程中起到应有的作用。

(3) ISMS实施培训。组织可以向ISMS项目的核心人员提供ISMS实施方法的培训,包括风险评估方法、策略制定方法等,目的在于协作配合,共同推动ISMS项目有序且顺利地进行。

(4) 信息安全综合技能培训。为了让ISMS能够长期稳定地运行下去,组织可以为相关人员提供信息安全操作技能的培训,目的在于提高其运营ISMS的技术能力,掌握处理问题的思路和方法。

5.2 建立符合企业需求的ISMS,保障体系顺利落地

(1) 根据业务需求明确ISMS范围。范围的界定要从组织的业务出发,通过分析业务流程(尤其是核心业务),找到与此相关的人员、部门和职能,然后确定业务流程所依赖的信息系统和场所环境,最终从逻辑上和物理上对ISMS 的范围予以明确。需要注意的是,组织确定的ISMS 范围,必须是适合内外部客户所需的,且包含了与所有对信息安全具有影响的合作伙伴、供货商和客户的接触关系。为此,组织应该通过合同、服务水平协议 (SLA)、谅解备忘录等方式来说明其在与合作伙伴、供货商以及客户接触时实施了信息安全管理。

(2) 利用客观风险评估工具。风险评估应尽可能采用客观的风险评估工具,保证评估的准确、翔实。有效利用各种工具,可以帮助评估者更准确更全面地采集和分析数据,提升工作的自动化水平,并且最大程度上减少人为失误。当然,风险评估工具并不局限于完全技术性的产品,事实上很多评估工具都是评估者经验积累的成果,如调查问卷、扫描工具、风险评估软件等。

(3) 构建合理的ISMS文件体系。文件首先应该符合业务运作和安全控制的实际情况,应该具有可操作性;不同层次的文件之间应该保持紧密关系并且协调一致,不能存在相互矛盾的地方;编写ISMS文件时,除了依据标准和相关法律法规之外,组织还应该充分考虑现行的策略、程序、制度和规范,有所继承,有所修正。

6 结 论

企业的生存和发展,有赖于企业各项业务、管理活动的健康有序的进行,而信息化是企业一切业务、管理活动所依赖的基础。信息系统是否能够稳定、可靠、有效运作,直接关系到企业各项业务活动是否能够持续。因此,我们要对信息系统的保密性、完整性、可控性、可用性等提出全面具体的要求,建立持续改进的信息安全体系运行机制。在信息安全体系的全面应用过程中,必须重点关注以下重要事项:安全策略、目标和活动应该反映业务目标;实施信息安全的方法应该与组织的文化保持一致;来自高级管理层的明确的支持和承诺;向所有管理者和员工有效地推广安全意识;提供适当的培训和教育。

主要参考文献

[1] 王斌君. 信息安全管理体系[M]. 北京:高等教育出版社,2008.

篇8

[关键词]电子政务 安全体系 技术体系 管理体系 服务体系

[中图分类号]TP393.08[文献标识码]A[文章编号]1009-5349(2010)06-0118-02

电子政务是指政府运用现代计算机和网络技术,实现其公共管理和服务职能的数字化和网络化,重组优化政府组织结构和工作流程,向社会提供高效优质、规范透明和全方位的管理与服务。它使得政府事务变得公开、高效、透明、廉洁和信息共享。但是由于网络的开放性和公开化,电子政务系统安全问题日益突出和严重,影响了电子政务信息系统功能的发挥,甚至对政府部门和社会公众产生危害,严重的还将对国家信息安全乃至国家安全产生威胁。

一、电子政务系统面临多层次的安全威胁

(一)物理层安全威胁

这个层次面临的安全威胁主要包括有:设备的被盗、恶意破坏、线路截获监听、电磁干扰、电源掉线以及设备的损坏等。这些都对整个网络的基础设备及上层的各种应用有着严重的安全威胁。

(二)网络层安全威胁

网络层是网络入侵者进攻信息系统的渠道和通路,许多安全问题都集中体现在网络的安全方面。大型网络系统内运行的TCP\IP协议并非专为安全通讯而设计,所以网络系统存在大量安全隐患和威胁。

(三)系统层安全威胁

系统层的安全威胁主要是操作系统平台的安全威胁。由于现代操作系统的代码庞大,从而在不同程度上都存在一些安全漏洞。操作系统自身的脆弱性将直接影响到其上所有的应用系统的安全性。

(四)应用层安全威胁

应用层安全是指用户在网络上的应用系统的安全,包括邮件系统、WEB、DNS以及各种业务系统等。虽然应用系统复杂多样,但都存在一些广为人知的漏洞,容易被人作为攻击的切入点。

(五)管理层安全威胁

其威胁包括:没有完善的网络与安全人员管理制度;没有定期对现有的操作管理人员进行安全培训;网络或安全设备的登陆密码安全策略强度不符合要求;没有及时获知安全状态及最新安全漏洞的途径;对于可能出现的安全问题,没有一套完整的处理流程。

二、电子政务系统安全体系框架

电子政务系统的安全体系框架是针对电子政务系统面临的五个层面安全威胁分析进行设计的,是对电子政务系统提供保护的整体策略集合,包括:运行管理安全、物理环境保障、数据安全、资源可信和网络及系统安全五个层面的内容,其体系框架如图2.1所示。安全体系框架在物理环境安全的保障下,提供数据安全、资源可信和网络及系统安全三大类安全支撑,确保用户环境、应用与数据环境和网络基础环境的安全,同时运行管理安全贯穿其中,共同为电子政务系统提供多级别、多层面的保护。

三、电子政务系统安全域的划分

安全域的规划是通过对业务资源的分析,确定其保护的范围和等级,并采取相应的保护措施,主要包括安全定级、安全域划分和安全策略配置三部分内容。

(一)安全定级

电子政务系统的安全定级是指定制电子政务系统的安全等级,根据电子政务系统在国家安全、社会稳定和保护公共利益等方面的重要程度,结合系统面临的风险等因素,将其划分成不同的安全等级,采取相应的安全措施,保障安全。

(二)安全域的划分

安全域划分是指从安全的角度出发,对电子政务系统进行结构化的分解,划分成为不同类别的保护对象,形成不同的安全区域,保证网络中用户的可信、设备的可信和服务的可信,并以可管为目的实现多个安全域之间的互联互通和业务协同。

(三)安全策略配置

根据安全体系框架和安全定级、安全域划分,来为电子政务系统各安全域配置安全策略,如全国信息系统的安全策略配置如下:网络接入区:采用数据可信传输、边界防御、实时监控等措施,防止非法用户和非法数据进入网络;业务数据区:采用信息保密、注册鉴权、强身份认证、访问控制和病毒防护等措施,保护数据和应用的安全;安全服务区:采用符合国家规定的机房物理保护措施。

四、电子政务系统安全技术体系设计

电子政务系统安全技术体系由安全支撑平台和安全应用支撑平台两部分构成。安全支撑平台以密码技术为基础,为安全应用支撑平台和电子政务系统提供信息保护、身份认证、访问控制等安全服务。安全应用支撑平台以呼叫控制、业务控制、媒体控制和业务管理为主要内容,为电子政务系统提供可信的呼叫控制、应用整合、媒体控制和资源管理等应用支撑服务,并以用户为中心提供基本网络业务服务。

五、电子政务系统安全管理体系设计

在电子政务系统中,仅仅靠技术手段难以防范所有的安全隐患,还需要建立相应的安全管理体系。安全管理体系主要包括有安全策略、安全组织和安全制度。

(一)安全策略

安全策略是管理体系的灵魂,要做到全面、灵活使用,必须在对信息系统进行全面细致的调查、评估之后,结合电子政务的业务流程,制定出符合实际情况的安全策略体系。安全策略体系包括安全方针、主策略和子策略和电子政务系统日常管理所需要的制度。

(二)安全组织

为保障电子政务系统信息的安全,需要在条件合适的时候建立合适的安全管理组织框架,以保证在组织内部开展和控制信息安全的实施。建立具有管理权的适当的信息安全管理委员会来批准信息安全方针、分配安全职责并协调组织内部信息安全的实施。如有必要,应在组织内建立提供信息安全建议的专家小组并使其有效。

(三)安全制度

电子政务系统是一个安全性要求非常高的系统,所以安全制度要求也很严格。必须由管理层制定切实可行的日常安全保密制度、审计制度、机房管理、操作规程管理、系统维护管理等,明确定义日常安全审计的例行制度、实施日程安排与计划、报告的形式及内容、达到的目标等。

六、电子政务系统安全服务体系设计

电子政务安全服务体系设计强调以“安全人”为核心,包括以下安全服务内容:

(一)安全评估审计服务。定期检查电子政务信息系统的安全现状,以便动态地调整安全防护策略。

(二)安全增强加固服务。主要是针对安全状况的动态变化,及时弥补最新出现的各类安全漏洞、安全隐患。

(三)安全信息通告服务。通过邮件、WEB网站或电话等方式,为电子政务信息系统提供及时的、有针对性的各类安全信息,帮助信息系统维护人员及时了解最新安全动态。

(四)安全应急响应服务。针对电子政务信息系统随机出现的重大、疑难安全故障进行及时的专家安全响应和恢复,提高信息系统应对重大安全事故的能力,保障系统各业务网络的业务连续性。

(五)专业安全培训服务。电子政务信息系统的长期安全保障必须依赖各类人员的安全技能和安全意识水平的提高,进行专业安全培训是提高安全技能和安全意识水平的最佳方式之一。

七、总结

电子政务系统的安全目标是保护政务信息资源价值不受侵犯,保证信息资产的拥有者面临最小的风险和获取最大的安全利益,使政务的信息基础设施、信息应用服务和信息内容为抵御上述威胁而具有保密性、完整性和不可否认性的能力。因此本文从全局来构建电子政务安全保障的体系框架,以保证电子政务的健康发展。

【参考文献】

[1]王东霞,赵刚.安全体系结构与安全标准体系[J].计算机工程与应用,2005(8).

[2]电子政务安全问题.省略/news/getnews-content.action.

篇9

(一)技术手段实现

即利用一系列较为先进的管理硬件和软件,提升信息安全防护水平目前一般电力企业采用的技术手段有:

1)防病毒技术。信息管理人员通过在防病毒服务器安装杀毒软件服务器端程序,在用户终端安装客户端杀毒软件,实现以防病毒服务器为核心,对客户端杀毒软件的统一管理,部署安全策略等。实现病毒库的定时更新和定时对全网内计算机设备进行扫描和查杀,达到全系统、全网络防毒的目的。

2)防火墙技术。防火墙是企业局域网到外网互联的唯一出口,通过网络防火墙,可以全面监视外网对内部网络的访问活动,并进行详细的记录,确保内网核心数据的安全性。通过对访问策略控制,关闭与工作无关的端口,拒绝一切未经许可的服务。所有的访问都将通过防火墙进行,不允许任何绕过防火墙的连接。

3)入侵检测技术。入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。

4)桌面管理系统。桌面管理系统方便信息安全管理员管理企业内部计算机的信息安全软件。利用桌面管理系统,可以收集计算机台账信息与IP占用情况、分发漏洞补丁、实现对移动存储管理,自动阻断非法外联、对弱口令账户进行扫描、对客户端进行控制,强制性阻断其联网功能或进行远程维护等功能。

5)虚拟局域网(VLAN)技术。基于ATM和以太网交换技术发展起来的VLAN技术,把传统的基于广播的局域网技术发展为面向连接的技术,从而赋予了网管系统限制虚拟网外的网络节点与网内的通信,防止了基于网络的监听入侵。

(二)管理手段实现

做好网络信息安全工作,除了采用上述的技术手段外,还必须建立安全管理机制。良好的管理有助于增强网络信息的安全性,只有切实提高网络意识,建立完善的管理制度,才能保证网络信息的整体安全性。

1)通过全员培训,提升员工信息安全水平。信息管理人员除了要制止员工的不安全操作,也应该告知员工要如何做。让员工明白使用弱口令、不安全账户、随意共享等对企业信息安全的危害,教育员工正确使用终端设备、重要备份数据、利用压缩软件加密等操作,从源头入手,堵塞信息安全漏洞。

2)通过应急演练,提升面对信息安全事故的反应能力。突发事件应急演练是为了提高应对突发事件的综合水平和应急处置能力,以防范信息系统风险为目的,建立统一指挥、协调有序的应急管理机制和相关协调机制,以落实和完善应急预案为基础,全面加强信息系统应急管理工作,并制定有效的问责制度。坚持以预防为主,建立和完善信息系统突发事件风险防范体系,对可能导致突发事件的风险进行有效地识别、分析和控制,减少重大突发事件发生的可能性,加强应急处置队伍建设,提供充分的资源保障,确保突发事件发生时反应快速、报告及时、措施得力操作准确,降低事件可能造成的损失。

3)通过管理制度,提升信息安全管理水平。信息安全需要制度化、规范化。把信息安全管理真正纳入公司安全生产管理体系,并能够得到有效运作,就必须使这项工作制度化、规范化。要制定出相应的管理制度。如建立用户权限管理制度、口令保密制度、网络与信息安全管理制度、上网行为规范制度等一系列的安全管理制度和规定,并强化考核力度,确保严格执行。

篇10

2007年11月27日,普华永道了第五次年度全球信息安全状况调查。报告显示: 经过几年的发展,全球信息安全问题得到了空前的重视,每花费1美元的信息化投资,就有15美分用于安全。但问题依然不少,企业虽然通过聘用专业安全人员、规范管理流程和使用技术手段来应对信息安全的问题,可是对于如何解决问题仍一筹莫展,中国在常见的有关隐私安全与信息安全的大多数方面均处于滞后状态。同时,报告提醒,2008年,全球CIO/CSO应该关注的领域有了一些新的变化。

调查显示,企业比以前更清楚地看到信息安全问题是因为企业采用了一些新的工具和方法。例如:

添加方法: 三年前,仅37%的公司制定了整体安全策略,2007年则是57%。另外,每五家公司中有近四家至少会定期开展企业风险评估;

部署技术: 十个人有九个说自己在用防火墙,监视用户并依赖入侵检测设施,大公司(收入超过10亿元)的这一比例高达98%。采用了加密技术的比例空前高,达到72%,而2006年这一数字为48%;

雇佣人员: 首席信息安全官(CISO)的人数不断升高,每个公司信息安全人员最多可达100人。

企业正在经历从对计算机安全漏洞的一无所知到了解后的惶恐不安。但了解安全状况并不等于进步,拥有了安全技术也并不意味着安全。企业必须变得更成熟。

2008全球信息

安全形势

将发生新变化

未来的信息安全威胁会有以下的转变:

内部威胁逐渐展露: 2007年企业内部“员工”首次超过“黑客”成为造成安全事故的主要原因,内部员工所造成的安全危险成为信息安全事件的重要组成部分。

安全攻击手段变得更加复杂: 随着企业安全措施的不断进步,安全攻击也变得越来越复杂。迹象显示如今电子邮件病毒已经没有2005年时那么流行,但是系统有效用户身份的滥用、社会工程学、网络钓鱼攻击以及对于已知应用系统弱点的攻击会变得更频繁。

保护数据隐私将会得到进一步关注: 尽管在保护数据隐私方面取得了一些进展,但步伐不够快: 到2007年,22%的企业设立了首席隐私官; 56%的企业没有定期检查隐私政策是否持续执行; 61%的传输数据经过加密,但在更多领域,像数据库、共享文件、笔记本电脑和可移动媒体里的数据没有加密,成为数据泄露事故的源头。

开始关注合作伙伴的安全: 许多企业没有意识到,即使数据是由第三方运行和储存,他们仍然有责任保护数据: 76%的企业没有保留其客户数据的记录; 少于一半(41%)的企业要求第三方(包括外包服务商)遵循隐私政策; 42%的企业针对外部合作伙伴、客户、供应商及服务商建立了安全基本线; 65%的安全政策没有明确设定让合作伙伴和供应商遵循的方法。

2008中国CSO

需关注的领域

中国企业同样面对以上的各项挑战,在以下的领域需要尤其关注:

数据隐私: 在许多数据隐私保护的领域中国都相对落后,超过一半(59%)的企业都不给员工提供关于隐私政策的培训; 大多数企业(69%)没对网络交易进行安全管理。

信息安全保障: 综合人文、流程、技术等因素,中国在信息安全保障方面仍然较为滞后: 只有31%的中国受调查对象建立了定期的威胁和弱点评估; 72%的中国企业承认他们没有知识产权保护策略和流程; 70%的中国企业承认他们没有业务持续/灾难恢复计划和流程。

安全事故的影响: 中国企业需要关注安全事故对企业带来的影响,因为不够成熟的信息安全保障措施已经影响到商业运作,包括财务损失(23%)以及知识产权被盗取(18%)等问题。

信息安全架构: 中国企业虽然雇佣了许多全职人员投入信息安全。但是,74%的公司指出他们的组织没有首席信息安全官,而59%的中国公司没有总体信息安全战略(调查总平均值为43%)。

知识产权: 只有28%的中国公司有知识产权的政策。

对中国CSO的三大建议

企业普遍把信息安全看成为一个技术问题。既然主要的投入是在技术方面,那回报也主要来自技术: 工具会告诉你在发生的事情,并阻挡最低级的攻击。但技术一般比较被动,仅限于当一些预定的规则一旦被违反,就会发出警报和事后对异常情况报告。犹如博物馆窗户上的玻璃破碎传感器,对于警告有人破窗方面特别有效,但对油画如何被盗以及为何被盗,传感器不会也不能做任何解释,更不会帮助预防下次窗户被打碎或下一次油画被盗。

当安全人员看到了问题时,往往并未发现所有的问题。企业会发现钱花错了地方,还会发现好的员工带着良好的愿望把工作带回家,因为不慎丢失笔记本电脑,或将数据放入其家庭电脑时,会发生安全隐患。这种例子枚不盛举。

信息安全已经不再是一个纯技术问题,要从根本上解决,企业必须制定战略计划。安全投资必须从重技术转向重情报,要树立风险分析和防范思想。安全管理人员必须同时考虑三个相关的领域: 管理流程、人员和技术。只有这样,企业才会走出被动局面。

对战略及管理流程的建议

制定总体信息安全战略,使信息安全在企业里有明确的定位;

制定业务持续及灾难恢复战略和计划,减低一旦发生安全问题对企业所可能造成的影响;

制定配置架构的标准和流程;

制定致力于知识产权和信息保护的政策和流程;

执行定期的穿透测试、威胁和弱点评估及风险评估。

对人员设置的建议

设立首席信息安全官(Chief Information Security Officer / Chief Security Officer)和首席信息隐私官(Chief Privacy Officer)岗位,并由有适当经验的人员担任;

聘请富经验的信息安全顾问协助企业制定安全策略和处理信息安全问题。

对信息安全技术的建议

使用适当的安全技术,如远程登录技术和VPN技术来加强对系统和数据的访问控制;