公司信息安全管理體系范文
時間:2023-10-27 17:51:44
導語:如何才能寫好一篇公司信息安全管理體系,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
關鍵詞:安全管理體系;檢修管理;新興鑄管
中圖分類號:TU714文獻標識碼:A
引言
安全管理(Safety Management)主要指運用現代安全管理原理、方法和手段,分析和研究各種不安全因素,從技術上、組織上和管理上采取有力的措施,解決和消除各種不安全因素,防止事故的發生,是現代企業管理的一個重要組成部分,在企業的整體管理活動中占有非常重要的地位。隨著我國經濟快速發展和社會的全面進步,安全管理與我國經濟發展相伴已進入一個新的歷史發展階段,因此必須在安全管理上引入全新的管理思想和管理機制,以消除人的不安全行為和物的不安全狀態為中心,強調以人為本的安全管理核心,把安全管理的重點放在激勵職工的士氣和發揮其能動作用上來,充分調動每個職工的主觀能動性和創造性,讓人人參與安全管理,從而塑造企業安全文化,創立企業安全生產新形象[1]。
一、新興鑄管新疆有限公司安全管理現狀
(一)公司安全管理指導思想
2010年特鋼項目投建以來,公司就堅持“用先進的安全文化理念引領企業安全發展”的方針,以構建特色安全文化為基礎,以“實現零傷害”為總體目標,積極開展和創新各項工作,不斷強化各層級員工規則意識的樹立、良好安全行為的養成。
特別是一期工程投產以來,通過著力推行“安全生產標準化”建設,不斷強化人、機、環匹配化建設,加大安全生產投入,強化安全隱患整改,提高安全保障能力,努力打造本質安全化特鋼,公司安全生產形勢保持了良好的發展態勢。
(二)安全管理組織機構
新興鑄管新疆有限公司為了適應安全管理的需要,成立了公司安全生產委員會,建立了以公司總經理、各副總經理、各實業部部長為安全生產第一責任人的安全管理機構,明確職責。公司成立了安全環保部,負責公司的安全管理工作,公司各實業部均配備專職/兼職安全管理人員,形成了層層負責的安全管理機構,為安全管理工作提供了有力的保障。
(三)安全規章制度
以國家、行業、新興鑄管股份有限公司的法律法規及規章制度作為新興鑄管新疆有限公司安全管理支持,實施的主要安全管理文件有:《安全生產責任制度》、《安全培訓教育制度》、《職工安全檔案管理制度》、《安全生產會議管理制度》、《安全檢查及隱患整改管理制度》、《紅袖標安全監督管理制度》、《外工單位安全管理制度》、《受限空間管理制度》《安全考核管理制度》《危險源辨識、風險評價和風險控制策劃實施程序》、《險肇事故安全管理制度》等有關安全生產的規章制度、管理辦法共計23余項[2]。
(四)安全體系認證
新興鑄管新疆有限公司2012年通過環境管理、職業健康安全管理體系認證工作,運行一年多來,按照管理體系的要求,每由內審員、技術專家、管理部門領導組成檢查小組對公司各部門安全生產責任履行、重要環境因素及危險源控制情況等進行檢查,目前體系運行良好。
(五)安全檢查活動開展情況
新興鑄管新疆有限公司安全環保部對各實業部現場開展定期安全大檢查。各實業部在保持日常巡檢、定期檢查和專項檢查的基礎上,加大對施工單位的監督檢查力度,明確考核與獎勵,落實隱患整改措施。
(六)安全標準化認證審核
按照集團公司要求,公司必須在2013年前完成安全標準化認證審核,目前結合安全標準化的建設,公司組織各實業部積極開展安全標準化推進工作,通過4次自評和1次模擬外審和外部監督審核,目前已獲得認證。
(七)安全培訓教育
通過加強四級安全教育,解決不懂不會問題。公司嚴格進行公司、實業部、工段、班組四級安全教育,經考試合格后準予上崗。通過安全教育使新職工了解現場的安全生產狀況和制度,迅速融入到生產氛圍中去。
(八)公司安全管理現狀調查及分析
為進一步了解目前公司安全管理中存在的問題,改進和加強公司安全管理工作,筆者根據自己的從業經驗及對公司在職員工進行了安全生產常識的調查。發現公司安全管理存在的問題主要有以下幾個方面:
1、從人員素質方面來看:一是安全文化建設剛剛起步,職工安全意識、安全理念還沒達到入心入腦,安全行為,安全責任心還沒有養成,安全思想、安全文化氛圍還沒有形成;二是新工人多,培訓時間短,實戰經驗少,還沒有完全適應新環境,駕馭新裝備的能力還不能滿足要求;三是經驗主義,模糊意識依然存在;四是管理干部、技術干部相對短缺,在新環境下,工作時間短,經驗欠缺,對于安全工作的理解還不深。
2、從現場環境方面看:一是作為新建企業,對生產運行及故障類型的規律還未完全摸透,行之有效的管理措施、管理辦法還在探索中;二是部分安全防護設施維修保養不到位,應急狀態下的系統穩定難以保證。
3、從基礎管理方面看:一是安全基礎管理還比較薄弱,工段班組安全管理欠帳較多,還需要我們進一步完善管理制度,強化管理落實;二是安全管理體系還不順暢,安全管理經驗不足,分析問題和應對突發問題,以及制定針對性措施的能力有待提高;四是外協單位和施工隊伍多,臨時思想嚴重,安全基礎設施投入不足,協調管理難度較大。
二、新興鑄管新疆有限公司安全管理體系內容
(一)體系組成
針對公司安全管理中存在的問題,遵循預防為主、安全第一的安全管理理念和安全標準化、作業規范化的安全管理思想、現場6s治理推進,提出了以持續改進為基礎,安全為天、以人為本、依法管理、突出預防[3]為核心管理理念的公司安全管理體系。新興鑄管新疆有限公司安全管理體系由三個子體系組成:分別為安全管理責任體系、安全管理流程體系、安全管理文化體系。
安全管理責任體系主要涉及新興鑄管新疆有限公司各部門、各層級所擔負的安全管理責任,以及各負有安全管理職責的部門在安全管理過程中的關系。
安全管理流程體系主要是對新興鑄管新疆有限公司安全管理流程進行系統的整理、優化,包括策劃、運行與實施、檢查與糾正、持續改進四個部分。
安全文化體系對新興鑄管新疆有限公司安全管理起重要的導向作用 。安全文化是一個完整的體系,這個體系由若干相互聯系、又有獨特作用的十大要素組成,分別為安全寄語篇、安全理念篇、安全法律篇、安全名詞篇、安全名次篇、“白國周班組管理法”、安全警句篇、安全故事篇、安全常識篇、煤氣知識篇及安全通篇。
(二)安全管理責任制體系
1、安全生產責任組織架構
新興鑄管新疆有限公司成立了由總經理任安委會主任,主管副總經理任安委會副主任,各部門行政正職任委員的安全生產委員會。公司安委會的常設機構為安全環保部,每月定時召開公司安委會會議,每季度定時召開季度安委會,對各實業部安全管理進行點評,鼓勵各實業部自主開展安全管理活動。
公司的安全專業管理組織機構是由公司安全生產委員會、公司安全環保部、各專業管理部室、各分廠安委會、安全辦公室、工段、班組兼職安全員組成的公司安全管理系統。安全環保部是公司安全業務主管部門,現有人員12人,公司安全管理人員崗位設置按員工人數控制,共配備專職安全管理人員38人。工段班組設置兼職安全員,由副段長及班組長擔任, 佩戴“紅袖標”,負責工段班組安全監督。形成了橫向到邊、縱向到底的安全責任組織架構。
2、安全責任制體系
公司形成了明確的部門和各類人員的安全生產責任制體系,通過公司安全管理責任體系建設,理清新興鑄管新疆有限公司各部門、各層級所擔負的安全管理責任,以及各負有安全管理職責的部門在安全管理過程中的關系,從而實現安全責任落實到生產一線,使安全責任銘記于每個員工心中,真正做到以人為本、安全發展。
(三)安全管理流程體系
安全管理流程體系圍繞實現新興鑄管新疆有限公司安全管理目標并能持續改進安全管理水平,按照PDCA模式進行,即策劃(P)、實施(D)、檢查(C)、改進(A)。
1、策劃
策劃的內容包括:目標和指標、管理方案、危險源的識別與評價、適用的法律法規的識別與其他要求。
2、實施與運行
包括:確定適應的組織結構與職責,強化員工安全意識與能力,暢通協商與溝通渠道,實施安全體系運行與控制,完善應急準備和響應制度。
3、檢查與糾正措施
(1)監視與測量,對職業健康安全管理體系運行過程中的關鍵特性進行監測、監控和監督;對不符合項、事件、事故建立并采取糾正和預防措施。
(2)記錄和記錄管理,對體系運行保持必要的記錄,并對記錄實施管理。
4、改進
(1)持續改進,在日常改進活動中,通過糾正和預防措施的不斷改進,消除潛在不合格因素。
(2)糾正措施,針對發現的不合格,采取糾正措施,消除不合格因素。
(3)預防措施,采取預防措施,預防可能出現的不符合項。
(四)安全文化體系
企業安全文化是指企業物質財富和精神財富的綜合,它包括具有企業特色的安全思想和意識、安全作風和態度、安全管理機制與行為規范;企業安全生產的奮斗目標和進取精神;為保護職工身心安全與健康而創造的安全生產、生活環境和條件;企業的價值觀、安全的審美觀、安全的心理素質和企業的安全風貌等[4]。新興鑄管新疆有限公司安全文化的建設通過如下四種方式來進行:
1、管理層及決策者的安全文化建設
2、員工的安全文化建設
3、生產現場的安全文化建設
4、施工現場的安全文化建設
5、打造企業本質安全化的安全文化建設
企業安全文化建設是一個系統工程,它包含系統內文化即公司文化(施工現場、辦公園區)、系統外文化即社會環境文化(家庭、朋友),兩者互為基礎、相互補充完善,缺一不可。作為安全文化建設的一個重要組成部分,公司在各生產區域及崗位完善了安全警示牌及全家福照片和家人寄語,充分體現人文關懷,凸顯了以人為本的管理思路。
企業安全文化建設是一項系統工程,通過黨政工團齊抓共管,目前已形成互相協作、配合默契的運作機制,共同推進企業安全文化建設。同時筆者認為企業還應不斷的吸收優秀的安全文化,與時俱進,不斷發展具有自身特色的企業安全文化,才能在新的競爭形勢下走健康、可持續的發展道路。目前公司已完成安全文化手冊的編制及審核發放,保證了安全文化的有效創建。
三、實例應用
(一)程簡介
2013年5月25日至6月8日,按照公司安排,全面進入年度大修。此次檢修涉及人員較多,現場交叉作業、吊裝作業、焊接作業及噴涂作業較多,交錯進行,環環相扣,因此搞好此次檢修工作,任務異常艱巨。
(二)安全管理體系的應用
新興鑄管新疆有限公司安全管理體系實施的核心,是實現項目安全目標并持續改進安全管理水平,按照策劃(P)、實施(D)、檢查(C)、改進(A)的過程模式運行。
1、建立檢修安全管理責任體系
為確保項目安全生產目標的實現,公司首先與檢修單位(煉鐵部)簽訂安全責任狀,檢修單位與各施工單位簽訂安全管理協議,明確雙方的職責和權限,協議明確施工單位應當服從公司的安全生產管理,施工單位不服從管理導致安全生產事故的,由施工單位承擔主要責任。同時建立安全工作管理機構,各實業部及施工單位別設置安全責任人、安全主管、安全員三級安全管理人員,安全管理人員均佩戴紅袖標,如下圖所示。
高爐大修工程項目安全管理組織機構圖
“紅袖標”人員職責:
(1)當班時間,負責本班或自己身邊的安全、現場、環保管理工作;
(2)負責本班全體人員的標準化作業規范,如有違章,自己負有監管不力的責任;
( 3)在煉鐵部管轄區域范圍內,煉鐵部任何佩戴“紅袖標”人員,對自己眼前出現的“三違”行為、安全隱患以及損害煉鐵部榮譽和利益的事件有責任進行制止和處理。
(4)凡是有“紅袖標”在現場的“三違”行為,除當事人受罰外,“紅袖標”有連帶責任,按照《考評標準》進行考核。
2、建立管理流程及績效管理
安全管理的目標是項目安全體系的主要目的,計劃、實施、檢查、改進是監控整個體系的運行、保證其有效性的有力措施,
為了達到安全管理目標,必須對檢修現場大力開展安全生產檢查。安全生產檢查是持續改進的前提,檢查可以發現檢修中的不安全(人的不安全行為、物的不安全狀態、環境的不安全因素),提高安全生產的自覺性和責任感;同時可以互相學習、總結經驗、吸取教訓、糾正錯誤、持續改進,有利于進一步促進項目安全生產。因此安全環保部定期對安全管理情況進行監控,如安全生產所需資金是否落實、安全管理人員是否到位、安全防護措施是否有效、隱患整改是否有效落實,如果發現實業部未按照相關要求按時完成,則與其進行原因分析,采取相應的措施,共同打造一個和諧平安的工作氛圍。
作為檢修主體單位,煉鐵實業部從檢修前的準備、檢修中的監督、檢查和監護及檢修后試車安全三個方面進行了安全把控,確保了年檢期間未發生任何事故。
3、檢修現場的安全文化建設
運用傳統的安全文化建設手段:安全標語、安全標志(禁止標志、警告標志、指令標志)等。
推行現代的安全文化建設手段:技術及工藝的本質安全化;現場達標建設(推行安全質量標準化工地);三點控制(事故多發點、危險點、危害點)等。
本次檢修通過運用傳統與現代方法相結合,把檢修對員工的安全生產要求和制度規定變成員工的自覺行為,實現了員工的本質安全。使他們安全意識增強,掌握安全技能和專業崗位知識,能夠自覺遵守制度、創造安全作業環境、正確操作設備,從而消除安全生產事故、事件的發生。
(三)實施效果
針對此次年檢任務,從項目審定、檢修步驟制定、安全措施制定,到項目責任劃分,進行了多次討論和審核,在年檢期間,從實施目標管理、建立項目安全管理組織機構、危險源識別及風險評價計劃、簽訂安全管理協議、制定安全文明施工管理制度、檢修單位管理、安全物資管理、安全教育培訓、事故預防和安全檢查糾正十個方面按照新興鑄管新疆有限公司安全管理體系進行了實施,全力確保安全管理目標的實現,沒有發生安全生產事故。
四、結語
本文通過分析新興鑄管新疆有限公司安全管理的現狀和存在的問題,系統地研究了如何創建新興鑄管新疆有限公司安全管理體系,最后以年度檢修實例檢驗了所創建的安全管理體系的有效性。
企業安全管理體系的系統化、程序化和文件化可以有效控制事故的發生,提高企業安全生產管理水平、管理效益及市場競爭力。同時安全管理體系的建設是一個持續的過程,它可以減少重復評價的社會成本,是提升安全管理水平的有效工具,隨著企業生產技術和業務范圍的發展,安全管理體系也應該保持持續改進,這是管理體系建設的重點,也是保證體系持續有效的基礎。
參考文獻:
[1]周長江.論國有大中型企業的安全管理[J].中國安全科學學報.2003.2.
[2]新興鑄管新疆有限公司.XJXP/EHS-2012《環境與職業健康安全管理手冊》.
篇2
關鍵詞:信息化;信息安全;安全管理
1企業信息安全現狀
近幾年,隨著行業信息化建設逐步深入,伴隨著OA辦公自動化、ERP、卷煙生產經營決策管理和MES生產制造執行等系統相繼投入使用,與生產經營息息相關的關鍵業務對信息系統的依賴程度越來越高,企業也逐步認識到信息安全的重要性,企業員工的安全意識也都得到逐步提高。行業也相繼出臺了煙草行業信息安全保障體系建設指南和各類信息安全制度,并通過這幾年信息安全檢查工作,促進企業的信息安全水平得到了進一步提高。由于企業信息安全意識不斷提高,企業不斷加大信息安全方面的投入,如建立標準化的機房、購買與部署各類信息安全軟件和設備等。但是木馬、病毒、垃圾郵件、間諜軟件、惡意軟件、僵尸網絡等也隨著計算機技術的發展不斷更新,攻擊手段也越發隱蔽和多樣化。企業不僅要應對外部的攻擊,也要應對來自于企業內部的信息安全威脅,安全形勢不容樂觀。企業的信息安全已不僅僅是技術問題,還需要借助管理手段來保障。企業如果不能正確樹立信息風險導向意識,一味注重“技術”的作用,忽略“管理”的重要性,就很難發揮信息安全技術的作用,無法把企業的各項信息安全措施落到實處,企業的信息安全也就無從談起。只有切實發揮管理作用,企業的信息安全才能得到有效保障。
2企業信息安全體系架構
在談到信息安全時,大多數剛接觸的人都比較疑惑,都說保障信息安全十分重要,那到底什么是信息安全呢?下面就簡單介紹一下信息安全的概念以及企業的信息安全體系架構。2.1信息。對企業來說,信息是一種無形資產,具有一定商業價值,以電子、影像、話語等多種形式存在,必須進行保護。2.2信息安全。主要是指防止信息泄露、被篡改、被損壞或被非法辨識與控制,避免造成不良影響或者資產損失。2.3企業信息安全體系架構。在保障企業信息安全過程中,信息安全技術是保障信息安全的重要手段。通過上文對企業信息安全現狀的分析,不難看出企業信息安全體系主要分為技術、管理兩個重要體系,進一步細分則涉及安全運維方面。2.3.1信息安全技術體系作用。主要是指通過部署信息安全產品,合理制定安全策略,實現防止信息泄露、被篡改、被損壞等安全目標。信息安全產品主要是指實現信息安全的工具平臺,如防火墻類產品、防攻擊類產品、殺毒軟件類產品和密碼類產品等,而信息安全技術則是指實現信息安全產品的技術基礎。2.3.2信息安全管理體系作用。完善信息安全組織機構、制度,細化職責分工,制定執行標準,確保日常管理、檢查等制度有效執行,最大程度發揮信息安全技術體系作用,確保信息安全相關保護措施有效執行。通過上文簡單介紹,對信息安全以及信息安全系統有了大概了解。可以看出單純借助技術或管理無法保障企業信息安全,因此,建立企業信息安全管理體系的重要性也就不言而喻。
3信息安全管理體系概念
3.1信息安全管理。運用技術、管理手段,做好信息安全工作整體規劃、組織、協調與控制,確保實現信息安全目標。3.2管理體系。體系是指相互關聯和相互作用的一組要素,而管理體系則是建立方針和目標并實現這些目標的體系。3.3信息安全管理體系(ISMS)。在一定組織范圍內建立、完成信息安全方針和目標,采取或運用方法的體系。作為管理活動最終結果,包含方針、原則、目標、方法、過程、核查表等眾多要素。3.4建立信息安全管理體系的目的。作為企業總管理體系的一個子體系,目的是建立、實施、運行、監視、評審、保持和改進信息安全。3.5信息安全管理體系涉及的要素。3.5.1信息安全組織機構。明確職責分工,確保信息安全工作組織與落實。3.5.2信息安全管理體系文件。編制信息安全管理體系的方針、過程、程序和其他必需的文件等。3.5.3資源。提供體系運轉所需的資金、設備與人員等。
4信息安全管理體系機構設置以及作用
在建立企業的信息安全管理體系之前,如果沒有設置相應的信息安全組織機構,那么建立體系所需要的資源(資金、人員等)就無法得到保障,企業的信息安全制度和策略也就無法貫徹落實,企業的信息安全管理體系就形同虛設起不到任何作用。因此,企業在建立信息安全管理體系前必須建立健全信息安全組織機構,機構設置可以根據職責分為三個層次。4.1信息安全決策機構。信息安全決策機構處于安全組織機構的第一個層次,是本單位信息安全工作的最高管理機構。應以單位主要領導負責,對信息安全規劃、信息安全策略和信息安全建設方案等進行審批,并為企業信息安全工作提供各類必要資源。4.2管理機構。處于安全組織機構的第二個層次,在決策機構的領導下,主要負責企業日常信息安全的管理、監督以及安全教育與培訓等工作,此類工作大部分都由企業的信息化部門承擔。4.3執行機構。處于信息安全組織機構的第三個層次,在管理機構的領導下,負責保證信息安全技術體系的有效運行及日常維護,通過具體技術手段落實安全策略,消除安全風險,以及發生安全事件后的具體響應和處理,執行機構人員可以由信息中心技術人員與各部門專職或兼職信息安全員組成。
5信息安全管理體系的建立
ISO/IEC27001:2005標準的“建立ISMS”章節中,已明確了信息安全管理體系建立的10項強制性要求和步驟。企業應結合自身實際情況,遵照這些內容和步驟,建立自己的信息安全管理體系,并形成相應的體系文件。5.1建立的步驟。(1)結合企業實際,明確體系邊界與范圍,并編制體系范圍文件。(2)明確體系策略,構建目標框架、風險評價的準則等,形成方針文件。(3)確定風險評估方法。(4)識別信息安全風險,主要包括信息安全資產、責任、威脅以及造成的后果等。(5)進行安全風險分析評價,編制評估報告,確定信息安全資產保護清單。(6)明確安全保護措施,編制風險處理計劃。(7)制定工作目標、措施。(8)管理者審核、批準所有殘余風險。(9)經管理層授權實施和運行安全體系。(10)準備適用性聲明。以上步驟解釋不詳盡之處,參看ISO/IEC27001:20054.2.1章節中A-J部分。5.2信息安全管理體系涉及的文件。文件作為體系的主要元素,必須與ISO/IEC27001:2005標準保持一致,同時也要結合企業實際,確保員工遵照要求嚴格執行。而且也要符合企業的實際情況和信息安全需要。在實際工作中,企業員工應按照文件要求嚴格執行。5.2.1體系文件類型主要涉及方針、程序與記錄三類。方針類主要是指管理體系方針與信息安全方針,涵蓋硬件、網絡、軟件、訪問控制等;程序類主要是指“過程文件”,涉及輸入、處理與輸出三個環節,結果常以“記錄”形式出現;記錄類主要是記錄程序文件結果,常以是表格形式出現。至于適用性聲明文件,企業應結合自身情況,參照ISO/IEC27001:2005標準的附錄A,有選擇性地作出聲明,并形成聲明文件。5.2.2體系必須具備的文件。主要包括方針、風險評估、處理、文件控制、記錄控制、內部審核、糾正與預防、控制措施有效性測量、管理評審與適用性聲明等。5.2.3任意性文件。企業可以針對自身業務、管理與信息系統等情況,制定自己獨有的信息方針、程序類文件。5.2.4文件的符合性。文件必須符合相關法律法規、ISO/IEC27001:2005標準以及企業實際要求,保證與企業其他體系文件協調一致,避免沖突,同時在文字描述準確且無二義。
6體系實施與運行
主要包括策略控制措施、過程和程序,涉及制定和實施風險處理計劃、選擇控制措施與驗證有效性、安全教育培訓、運行管理、資源管理以及安全事件應急處理等。
7體系的監視與評審
主要指對照策略、目標與實際運行情況,監控與評審運行狀態,主要涉及有效性評審、控制措施測試驗證、風險評估、內部審核、管理評審等環節,并根據評審結果編制與完善安全計劃。
8體系的保持和改進
主要是依據監視與評審結果,有針對性地持續改進。主要包括改進措施、制定完善措施、整改總結等,同時需相關方進行溝通,確保達到預計改進標準。
9結語
篇3
長期以來,中國大多數企業的信息安全建設遵循“木桶理論”,但實踐證明,在企業信息安全領域應用木桶理論仍存在一定缺陷,很難實現“標本兼治”。企業信息安全應從安全策略、安全管理體系、安全技術體系和安全運維體系四個方面建設一個完善的信息安全體系對企業的信息資源提供全方位的安全防護。整個安全體系以安全策略為核心,管理、技術、運維三者有機結合,又相互支撐。三者之間的關系為“根據管理體系中的策略,由相關組織或人員,利用技術體系作為工具和手段,進行操作來維持運行體系”。在建立信息安全體系的過程中,可采用ISO27001:2005所述的“過程方法”,即將“規劃(Plan)-實施(Do)-檢查(Check)-處置(Act)”(PDCA)四個步驟。
2安全策略
信息安全策略研究就是依據國家信息安全的方針政策、法律法規和工作要求,結合企業實際情況和管理要求,制訂企業信息安全防護的建設方針和基本要求,對信息安全管理體系、技術體系和運維體系中的各種安全控制措施和機制的部署提出目標和原則,是信息化“建、管、用”各項工作和各個環節必須遵守的安全規則,也是針對每個系統和設備制訂分項安全策略的依據。
3安全管理
信息安全管理可參照信息安全管理模型,按照先進的信息安全管理標準ISO17799標準建立組織完整的安全管理體系并實施與保持,達到動態的、系統的、全員參與、制度化的、以預防為主的信息安全管理方式。管理體系架構可分為四層,最高層為企業信息安全總體策略,為下面的各項分策略和具體的規章制度提供指導。第二層為企業信息安全組織體系,作用在于指導實施安全體系,制定安全的相關標準和方針,監管安全事件等。組織體系須設立專門的管理機構,配備相應的安全管理人員,明確主管領導,落實部門責任,各盡其職。第三層為根據總策略,對信息安全涉及的各方面制定有針對性的分項策略,為安全的具體實施提供管理和技術上的指導。第四層為具體的安全管理制度。
4安全技術
篇4
【關鍵詞】信息系統 身份鑒別 漏洞掃描 信息安全管理體系(ISMS)
近年來,“Locky勒索軟件變種”、““水牢漏洞””、“支付寶實名認證信息漏洞”、“京東12G用戶數據泄露”、“700元買他人隱私信息”等信息安全事件層出不窮,引起各國領導的重視和社會關注。為提高網絡安全和互聯網治理,2014年,我國成立了以主席為最高領導的信息安全管理機構-中央網信辦;2016年11月,在中國烏鎮舉行了《第三屆世界互聯網大會》。通過一系列的行為,為求現有的網絡系統能夠提高安全能力,為廣大社會群眾提供服務的同時,能夠保證人民的利益。
信息系統是由硬件、軟件、信息、規章制度等組成,主要以處理信息流為主,信息系統的網絡安全備受關注。企業在應對外部攻擊,安全風險的同時,當務之急是建立一套完整的信息安全管理體系。在統一的體系管控下,分布實施,開展各項安全工作。
目前,大多數企業的信息安全工作比較單一,主要是部署安全防護設備,進行簡單的配置。信息安全工作不全面,安全管理相對薄弱,不足以抵抗來自外部的威脅。
1 信息安全問題
1.1 身份鑒別不嚴格
考慮到方便記憶和頻繁的登錄操作,企業普遍存在管理員賬號簡單或者直接采用系統的默認賬號現象,并且基本不設定管理員的權限,默認使用最大權限。一旦攻擊者通過猜測或其他手段獲得管理員賬號,攻擊者如入無人之境,可以任意妄為。最終可造成數據泄露,系統癱瘓等不可估量的嚴重后果。注重信息安全的企業會修改默認管理員賬號,設定較為復雜的口令,并定期進行口令更換。但是也僅僅使用一種身份鑒別技術,不足以抵抗外部攻擊。
1.2 外部攻擊,層出不窮
隨著計算機技術的發展,信息系統的外部攻簦層出不窮。攻擊者利用網絡系統的漏洞和缺陷,攻擊系統軟件、硬件和數據,進行非法操作,造成系統癱瘓或者數據丟失。 目前主要存在的攻擊手段包括掃描技術、郵件
攻擊、拒絕服務攻擊、口令攻擊、惡意程序等等;入侵常用的步驟包括采用漏洞掃描工具進行掃描、選擇合適的方式入侵、獲取系統的一定權限、提升為系統最高權限、安裝系統后門、獲取敏感信息或者其他攻擊目的。攻擊者會根據系統特性和網絡結構采取不同的手段對網絡進行攻擊,如果不采取相應的防御手段,很容易被黑客攻擊,造成損失。
1.3 員工安全意識薄弱
很多互聯網企業的員工缺乏信息安全意識,存在離開辦公電腦時不鎖屏現象;將重要客戶信息、合同等敏感材料放在辦公桌上或者不及時取走打印機房內的材料;優盤未經殺毒直接連接公司電腦;隨意點擊不明郵件的鏈接;更有員工將系統賬號、密碼粘貼在辦公桌上;在系統建設階段,大到管理者,小到開發人員、測試人員,均注重技術實現和業務要求,而忽略了系統的安全和管理。由于員工的信息安全意識較為薄弱,很容易造成公司信息泄露,進而導致公司的損失。
1.4 內部管理制度不完善
俗話說,“不以規矩,不能成方圓”。未形成全面的信息安全管理制度體系,缺失部分安全策略、管理制度、操作規程,可能導致信息安全管理制度體系存在疏漏,部分管理內容無法有效實施。使相關工作過程缺乏規范依據和質量保障,進而影響到信息系統的安全建設和安全運維。比如在軟件開發過程中,開發人員會因為各種原因而忽略安全開發(存在開發人員沒有意識到代碼安全開發的問題;有些開發人員不愿意使用邊界檢查,怕影響系統的效率和性能;當然也存在許多遺留代碼存在問題的現象,從而導致二次開發同樣產生問題),可能導致系統存在后門,被黑客攻擊。
2 防范措施
企業需依據《信息安全等級保護管理辦法(公通字[2007]43號)》、《中華人民共和國網絡安全法》》、《ISO/IEC 27001》等標準和法律法規進行信息系統安全建設工作。測評機構在網安的要求下,對企業信息系統的安全進行測評,并出具相應測評結果。根據測評結果和整改建議,采用相應的技術手段(安全認證、入侵檢測、漏洞掃描、監控管理、數據備份與加密等)和管理措施(安全團隊、教育與培訓、管理體系等)對信息系統進行整改。如圖1所示。
2.1 技術手段
2.1.1 安全認證
身份鑒別是指在計算機系統中確認執行者身份的過程,以確定該用戶是否具有訪問某種資源的權限,防止非法用戶訪問系統資源,保障合法用戶訪問授權的信息系統。凡登錄系統的用戶,均需進行身份鑒別和標識,且標識需具有唯一性。用戶身份鑒別機制一般分為用戶知道的信息、用戶持有的信息、用戶生物特征信息三種。針對不同鑒別機制,常用的鑒別技術(認證技術)如表1所示。
不同的認證技術,在安全性、便捷性方面存在不同的特性。比如USB-Key的安全等級較高,但會遇到各種問題,導致便捷性較差(比如存在軟硬件適配性問題,移動終端無USB口等)。一般認為在相同的便捷性前提下,選擇安全等級較高的認證技術。針對重要系統應采用雙因子認證技術。
2.1.2 入侵檢測
入侵檢測能夠依據安全策略,對網絡和系統進行監視,發現各種攻擊行為,能夠實時保護內部攻擊、外部攻擊和誤操作的情況,保證信息系統網絡資源的安全。入侵檢測系統(IDS)是一個旁路監聽設備,需要部署在網絡內部。如果信息系統中包含了多個邏輯隔離的子網,則需要在整個信息系統中實施分布部署,從而掌控整個信息系統安全狀況。
2.1.3 漏洞掃描
漏洞掃描是指基于漏洞數據庫,通過掃描等手段對目標系統的安全脆弱性進行檢測,發現可利用的漏洞的一種安全檢測行為。常見的漏洞掃描類型主要包括系統安全隱患掃描、應用安全隱患掃描、數據庫安全配置隱患掃描等。系統安全隱患掃描根據掃描方式的不同,分為基于網絡的和基于主機的系統安全掃描,可以發現系統存在的安全漏洞、安全配置隱患、弱口令、服務和端口等。應用安全隱患掃描可以掃描出Web應用中的SQL注入、Cookie注入、XPath注入、LDAP注入、跨站腳本、第三方軟件等大部分漏洞。數據庫安全配置隱患掃描可以檢測出數據庫的DBMS漏洞、缺省配置、權限提升漏洞、緩沖區溢出、補丁未升級等自身漏洞。
漏洞掃描主要用于評估主機操作系統、網絡和安全設備操作系統、數據庫以及應用平臺軟件的安全情況,它能有效避免黑客攻擊行為,做到防患于未然。
2.1.4 監控管理
網絡監控主要包括上網監控和內網監控兩部分。目前市場上已做的完整監控軟件已包含上述功能。網絡監控需結合網絡拓撲,在網絡關鍵點接入監控工具監測當前網絡數據流量,分析可疑信息流,通過截包解碼分析的方式驗證系統數據傳輸的安全。例如Solarwinds網絡監控平臺,它包括Network Performance Monitoring、Network Traffic Analysis、WAN Performance (IP SLA) 、IP Address Management、Network Configuration Management、Application Performance Monitoring等。可以執行全面的帶寬性能監控和故障管理;可以分析網絡流量;可以對服務器上運行的服務和進程進行自動監控,并在故障發生時及時告警;可對VOIP的相關參數進行監控;可以通過直觀的網絡控制臺管理整個IP架構;可快速檢測、診斷及解決虛擬化環境的網絡性能;強大的應用程序監視、告警、報告功能等。
2.1.5 數據備份與加密
企業高度重視業務信息、系統數據和軟件系統。數據在存儲時應加密存儲,防止黑客攻擊系統,輕易獲得敏感數據,造成公司的重大經濟損失。常用的加密算法包括對稱加密(DES、AES)和不對稱加密算法(RSA)。密碼技術不僅可以防止信息泄露,同時可以保證信息的完整性和不可抵賴性。例如現在比較成熟的哈希算法、數字簽名、數字證書等。
除了對數據進行加密存儲外,由于存在數據丟失、系統斷電、機房著火等意外,需對系統數據進行備份。按照備份環境,備份分為本地備份和異地備份;按照備份數據量的多少,備份分為全備、增備、差分備份和按需備份。各企業需根據自己的業務要求和實際情況,選取合適的備份方式進行備份。理想的備份是綜合了軟件數據備份和硬件冗余設計。
2.2 管理措施
2.2.1 安全團隊
企業應設立能夠統一指揮、協調有序、組織有力的專業的安全管理團隊負責信息安全工作,該團隊包括信息安全委員會,信息安全部門及其成員。安全部門負責人除了具備極強的業務處理能力,還需要有管理能力、溝通能力、應變能力。目前安全團隊的從業人員數量在逐漸增加,話語權在增多,肩上的擔子也越來越大。安全團隊需要定好自己的位,多檢查少運維,多幫企業解決問題。即安全團隊修路,各部門在上面跑自己的需求。
2.2.2 教育c培訓
保護企業信息安全,未雨綢繆比亡羊補牢要強。培養企業信息安全意識文化,樹立員工信息安全責任心,是解決企業信息安全的關鍵手段之一。企業的競爭實際上是人才的競爭,除了定期進行技能培訓外,還需對員工的安全意識進行教育和培訓。信息安全團隊應制定信息安全意識教育和培訓計劃,包括但不限于在線、郵件、海報(標語)、視頻、專場、外培等形式。通過對員工的安全意識教育,能從內部預防企業安全事件的發生,提高企業的安全保障能力。
2.2.3 管理體系
隨著計算機攻擊技術的不斷提高,攻擊事件越來越多,且存在部分攻擊來自公司組織內部。單靠個人的力量已無法保障信息系統的安全。因此,企業需建立自上而下的信息安全管理體系(ISMS, Information Security Management System),以達到分工明確,職責清晰,安全開發,可靠運維。安全管理制度作為安全管理體系的綱領性文件,在信息系統的整個生命周期中起著至關重要的作用。不同機構在建立與完善信息安全管理體系時,可根據自身情況,采取不同的方法,一般經過PDCA四個基本階段(Plan:策劃與準備;Do文件的編制;Check運行;Action審核、評審和持續改進)。可依據ISO27000,信息安全等級保護等,從制度、安全機構、人員、系統建設和系統運維5個方面去制定信息安全管理體系。通常,信息安全管理體系主要由總體方針和政策、安全管理制度、日常操作規程和記錄文檔組成,如圖2所示。
3 結語
國家不斷加強對各個互聯網企業、金融、銀行等的信息安全工作監督,通過ISO27000、信息安全等級保護測評、電子銀行評估、互聯網網站專項安全測評等方式,規范企業的信息安全建設工作。同樣,信息安全工作長期面臨挑戰,不能一蹴而就,需要相關安全工作人員戮力同心、同舟共濟、相互扶持、攜手共建信息安全的共同體。
參考文獻
[1]沈昌祥,張煥國,馮登國等.信息安全綜述[J].中國科學雜志社,2007(37):129-150.
[2]李嘉,蔡立志,張春柳等.信息系統安全等級保護測評實踐[M].哈爾濱工程大學出版社,2016(01).
[3]蔣欣.計算機網絡戰防御技術分析[J].指揮控制與仿真,2006(08),28-4.
作者簡介
康玉婷(1988-),女,上海市人。碩士學位。現為信息安全等級測評師、初級工程師。主要研究方向為信息安全。
作者單位
篇5
在數據中心運營實踐中,誰是最擔驚受怕之人?做過大型數據運營的人都知道這個問題的答案:這個人就是數據中心總經理。數據中心運營工作千頭萬緒,一件小事可能會導致非常大的影響!
在過去的幾年中,IDC行業同時面臨巨大機遇和各種各樣的挑戰,從電信大重組到奧運封網,從打擊有害信息到互聯網經濟增長放緩,行業內外各種復雜因素的重疊將IDC行業推向前沿。當前IDC行業的總體發展趨勢是安全、高效和綠色。
如何進行ITSMS(IT服務管理體系)/ISMS(信息安全管理體系)/QMS(質量管理體系)三體系整合對于IDC行業是非常重要的,直接關系其真競爭力和發展前景。因此各數據中心對體系整合非常重視。
IDC行業廣泛關注的問題
筆者根據中國IDC行業資訊大全(2009)的內容整理了目前IDC行業中的一些廣泛關注的問題。
1)用戶滿意度分析
根據中國IDC圈與賽迪顧問的調研顯示,用戶對IDC服務不滿意的原因主要集中在經常宕機、安全性差和資源無保障方面。
其中問題分布為:安全性差22%,資源無保障18%,經常宕機35%,服務水平差17%,價格昂貴6%,其他1%
2)用戶購買優先考慮因素
根據調研數據顯示,我國企業用戶在選擇數據中心時考慮優先因素:52%的企業用戶認為是可靠性;35%的企業用戶認為是服務品質;8%的企業用戶認為是品牌知名度;5%的企業用戶認為是資費。
3)運營模式及成本比較分析
根據調研數據顯示,我國IDc公司的成本情況:27%的被調查IDC服務商認為是人員成本;56%的被調查IDC服務商認為是設備投入;14%的被調查IDC服務商認為是維護成本;3%的被調查IDC服務商認為是其他內容。
IDC行業管理體系實施現狀及整合趨勢
一、關注內容的橫向擴展
1)IT服務管理近年來得到迅猛發展,其主要原因是它能切實指導企業通過規范的流程提高為客戶進行IT服務的管理水平,提高客戶滿意度,增加營業利潤。
2)信息安全一直是各行業包括IDC關注的重點。隨著信息安全技術與管理手段的不斷發展和完善,企業在信息安全的保障基本上經過了安全技術應用一一以安全技術為主結合部分管理措施 全面的管理與技術相結合的信息安全管理體系三個階段。
信息安全管理體系特別是ISO/IE C 2700 1;2005得到企業組織的廣泛認可與實施。目前亞洲是ISO/IEC 27001:2005發證最多的地區,日本、韓國和中國是發證較多的幾個國家,而且將來還有很大的發展空間(特別是中國)。
3)“9.11”事件使得國內IDC行業空前重視業務連續性的管理。“9.11”事件中,1200家企業受災,400家企業啟動了災難恢復計劃,而無災備能力的企業損失慘重。
據Gartner Group統計,在經歷大型災難事件而導致系統停運的公司中,有2/5左右再也沒有恢復運營,剩下的公司中也有接近1/3在兩年內破產。
4)QMS作為所有管理體系的基礎,它目前是最基本、最成熟管理體系,能夠在一定程度上指導企業提升基礎管理水平。
二、管理的縱深精細化
當前IDC行業各企業都在向管理要效益。通過管理體系PDCA的不斷循環,使得企業的管理水平不斷提高、管理成本不斷降低、客戶滿意度不斷提高。
總體而言,各種IT相關管理體系與基礎管理體系(如IS09001等)的整合是當前一段時間的發展趨勢,同時向管理要效益也是所有高層管理人員的心聲。
目前有多家IDC企業正在整合或已經完成管理體系整合,主要難點是整體策劃、高效實施、符合文化、宣貫執行。在整合過程中往往出現一些不良現象,需要進行避免。
以某高等級數據中心為模型。IS020000-1是IT服務管理體系,主要通過相關流程來規范日常的運行和操作,強調的是如何高效率地提供客戶滿意的服務。
IS027001是信息安全管理體系,主要是通過管理制度和技術手段來識別和控制信息安全風險,強調的是讓客戶放心。IS09001是質量管理體系,基本上可以將IS020000-1看作是IT行業的質量管理體系。
下面從以一個實際例子來分析在高等級數據中心內部如何建設ISMS/ITSMS/QMS的整合體系。
1)總體建設思路
在建設整合管理體系時應充分考慮以下內容:
采用“計劃實施一檢查一改進”(PDCA)方法將IS020000 1/IS027001/IS09001管理體系統一整合,并且根據實際運行情況不斷的優化和改進。
管理體系必須以實際業務為出發點,結合組織企業文化來進行IT治理。
既考慮符合管理體系的要求,又考慮數據總線的運維特點;既考慮數據總線內部的運行管理,又考慮對不同客戶的運行管理要求。
充分注重和宣傳“PDCA”、“風險管理”和“以客戶為關注點”這三個核心思想。
2)總體建設原則
全面性:基本上涵蓋三體系的各個方面,參照目前國際、國內的最佳實踐。
融合性:整個管理體系絕不是孤立分開的,而是有機結合在一起的,能整臺的一定整合。
可實施性:整個整臺管理體系不是僵硬的照搬標準,也不是寫一些空洞的言辭,而是能夠實實在在的在組織內運行。
持續性:管理體系是不斷變化的,因此本體系也需要能夠根據發展不斷更新。
3)整體框架設計
整體架構策劃,將各流程以項目管理方法融入PDCA(計劃、執行、檢查、行動)過程。
在P(計劃)階段主要有以下一些內容:
管理職責
管理體系策劃
適用性聲明
數據總線組織架構
風險管理
文檔與記錄管理
能力、意識與培訓
在D(執行)階段主要有以下一些內容:
信息安全管理,遵循IS027001,其中事件管理和業務連續性管理與ITSM結合
數據中心基礎的日常運行管理制度與相關操作指南
ITSM中主要有新服務與服務變更管理、服務交付管理、服務支持管理
一些客戶化訂制的操作規范
在C(檢查)階段主要有以下一些內容:
日常檢查制度,包括各流程/制度責任部門的日常檢查和管理控制部的日常檢查
流程評審管理
管理體系有效性測量管理
數據中心的內審管理
數據中心的管理評審
在A(行動)階段主要有以下一些內容:
糾正與預防措施控制程序
不合格品控制措施
各流程間的關系。策劃、檢查和改進幾個階段中,各流程/制度內容比較明確,流程/制度之間的關系也比較簡單,本文不再進行詳細說明。由于實施D階段是管理體系的重要部分,其中包含了大量的流程/制度,而且它們之間的關系和接口也相對復雜。
體系架構包含客戶需求、服務交付管理、服務支持管理、日常運行管理和信息安全管理五個模塊。其中信息安全管理是基礎,貫穿于管理體系的各個環節。
1)客戶需求模塊主要分為客戶項目需求和客戶日常運維需求;其中客戶項目需求通過“新服務與服務變更管理”引入到“服務交付管理”、“服務支持管理”和“日常運行管理”中;客戶日常運維需求主要通過“事件管理”和“客戶化定制的操作規范”來處理。
2)服務交付模塊中主要有“服務級別管理”、“服務報告管理”、“能力與可用性管理”、“業務連續性管理”和“IT財務管理”幾個流程。
3)服務支持模塊中主要有“事件管理”、“問題管理”、“變更與管理”、“配置管理”、“業務關系管理”和“供應商管理”幾個流程。
其中業務關系管理主要在理解客戶業務的基礎上建立和維護與客戶的關系,供應商管理主要是保證供應商提供順暢的、高質量的服務。
4)日常運行管理模塊中主要是日常操作流程和應急管理。日常運行管理中的相關事件都會引入到事件管理中,當有重大事件時會引入到應急管理或業務連續性管理。
5)信息安全管理模塊中貫穿在北京運行管理中心各項活動中,主要有風險管理、資產管理、員工手冊、人力資源管理、物理環境安全、用戶密碼管理、存儲介質管理、防病毒管理、設備管理、備份與恢復管理、網絡管理、軟件管理和符合性管理。
整合流程及各步驟工作內容。本案例中整合管理體系的建設過程以項目管理方法為基礎,共分為九個步驟,每個步驟的大致內容如下。
需要進一步思考的內容
需要精耕細作的部分。在標準的指導下,整合中的大部分內容基本都能得到很好的貫徹與實施。但是在建立與運行整合體系的時候,如果在下面幾個方面進行精耕細作,企業將會得到更多的回報。
1)風險評估的方法:風險評估主要涉及風險發生的可能性和風險的影響程度兩個方面,目前還沒有一個被大家廣泛認可的風險評估方法,而且在將來也不會有,不需要有。但是企業應該結合自己的業務流程和企業文化等,建立屬于自己的風險評估方法。
有些企業已經找到比較合適的風險評估方法。但是還有很多企業的風險評估方法不太適合組織,大致表現為以下幾個方面:太復雜難以操作、太簡單難以找出真正的風險、缺乏區分度難以將各種風險進行區別、定義不明確,不同人做的結果差距很大。
2)有效性測量:有效性測量是一個難點,有效性測量應該從哪些方面來做,測量的標準如何制定是今后一段時間需要繼續研究和討論的問題。
目前有很多業內專家對有效性測量提出了自己的看法,但是都不是很完善,沒有得到一致的認同。
另外,管理目標的制定與測量、業務連續性管理這兩個方面也需要企業在自己業務的基礎上進行優化和改進。
如何保證既達到業務目標又能節省最多的企業成本,還需要企業在實際整合管理體系運行過程加以分析和總結。
與運維標準的融合。針對ID C行業的業務特點,關于數據中心基礎設施方面的標準很早就被關注,也已經很成熟,如TIA-942、GBT2887-2000、GB4943-2001、GB50174-93等。
目前關于各種運維服務的標準正在制定與征求意見當中,如《信息技術數據中心運維服務規范》、《信息技術運維服務通用要求》、《信息技術運維服務安全要求》、《信息技術運維服務應急響應規范》、《信息技術運維服務交付規范》等。
篇6
【關鍵詞】電力企業;信息網絡;安全體系
【中圖分類號】TP309【文獻標識碼】A【文章編號】1672-5158(2013)07-0498-02
引言
隨著電力企業不斷發展,信息化已廣泛應用于生產運營管理過程中的各個環節,信息化在為企業帶來高效率的同時,也為企業帶來了安全風險。一方面企業對信息化依賴性越來越強,尤其是生產監控信息系統及電力二次系統直接關系到電力安全生產;另一方面黑客技術發展迅速,今天行之有效的防火墻或隔離裝置也許明天就可能出現漏洞。因此,建設信息安全防護體系建設工作是刻不容緩的。
1 信息安全防護體系的核心思想
電力企業信息安全防護體系的核心思想是“分級、分區、分域”(如圖1所示)。分級是將各系統分別確定安全保護級別實現等級化防護;分區是將信息系統劃分為生產控制大區和管理信息大區兩個相對獨立區進行安全防護;分域是依據系統級別及業務系統類型劃分不同的安全域,實現不同安全域的獨立化、差異化防護。
2 信息安全防護系統建設方針
2.1整體規劃:在全面調研的基礎上,分析信息安全的風險和差距,制訂安全目標、安全策略,形成安全整體架構。
2.2分步實施:制定信息安全防護系統建設計劃,分階段組織項目實施。
2.3分級分區分域:根據信息系統的重要程度,確定該系統的安全等級,省級公司的信息系統分為二級和三級系統;根據生產控制大區和管理信息大區,劃分為控制區(安全I區)、非控制區(安全II區)、管理信息大區(III區);依據業務系統類型進行安全域劃分,二級系統統一成域,三級系統獨立成域。
2.4等級防護:按照國家和電力行業等級保護基本要求,進行安全防護措施設計,合理分配資源,做好重點保護和適度保護。
2.5多層防御:在分域防護的基礎上,將各安全域的信息系統劃分為邊界、網絡、主機、應用、數據層面進行安全防護設計,以實現縱深防御。
2.6持續改進:定期對信息系統進行安全檢測,發現潛在的問題和系統可能的脆弱性并進行修正;檢查防護系統的運行及安全審計日志,通過策略調整及時防患于未然;定期對信息系統進行安全風險評估,修補安全漏洞、改進安全防護體系。
3 信息安全防護體系建設探索
一個有效的信息安全體系是在信息安全管理、信息安全技術、信息安全運行的整體保障下,構建起來并發揮作用的。
3.1 建立信息安全管理體系
安全管理體系是整個信息安全防護體系的基石,它包括安全管理機構、安全管理制度、人員安全管理、系統建設管理、系統運維管理五個方面,信息安全組織機構的建立尤為重要。
3.1.1建立信息安全管理小組
建立具有管理權的信息安全小組,負責整體信息安全管理工作,審批信息安全方針,分配安全管理職責,支持和推動組織內部信息安全工作的實施,對信息安全重大事項進行決策。處置信息安全事件,對安全管理體系進行評審。
3.1.2分配管理者權限
按照管理者的責、權、利一致的原則,對信息管理人員作級別上的限制;根據管理者的角色分配權限,實現特權用戶的權限分離。對工作調動和離職人員及時調整授權,根據管理職責確定使用對象,明確某一設備配置、使用、授權信息的劃分,制訂相應管理制度。
3.1.3職責明確,層層把關
制訂操作規程要根據職責分離和多人負責的原則各負其責,不能超越自己的管轄范圍。系統維護時要經信息管理部門審批,有信息安全管理員在場,對故障原因、維護內容和維護前后情況做詳細記錄。
(1)多人負責制度 每一項與安全有關的活動必須有2人以上在場,簽署工作情況記錄,以證明安全工作已得到保障。
(2)重要崗位定期輪換制度 應建立重要崗位應定期輪換制度,在工作交接期間必須更換口令,重要技術文件或數據必須移交清楚,明確泄密責任。
(3)在信息管理中實行問責制,各信息系統專人專管。
3.1.5系統應急處理
制定信息安全應急響應管理辦法,按照嚴重性和緊急程度及危害影響的大小來確定全事件的等級,采取措施,防止破壞的蔓延與擴展,使危害降到最低,通過對事件或行為的分析結果,查找事件根源,徹底消除安全隱患。
3.2 建立信息安全技術策略
3.2.1物理安全策略
物理安全策略的目的是保護計算機系統、網絡服務器等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;確保計算機系統有一個良好的工作環境;防止非法進入機房和各種偷竊、破壞活動的發生,抑制和防止電磁泄露等采取的安全措施。
3.2.2 網絡安全策略
網絡安全防護措施主要包括以下幾種類型:
(1)防火墻技術。通過防火墻配置,控制內部和外部網絡的訪問策略,結合上網行為管理,監控網絡流量分配,對于重要數據實行加密傳輸或加密處理,使只有擁有密鑰的授權人才能解密獲取信息,保證信息在傳輸過程中的安全。
(2)防病毒技術。根據有關資料統計,對電力信息網絡和二次系統的威脅除了黑客以外,很大程度上是計算機病毒造成的。當今計算機病毒技術發展迅速,對計算機網絡和信息系統造成很大的損害。采用有效的防病毒軟件、惡意代碼防護軟件,保障升級和更新的時效性,是行之有效的措施。
(3)安全檢測系統。通過專用工具,定期查找各種漏洞,監控網絡的運行狀況。在電力二次系統之間安裝IDS入侵檢測軟件等,確保對網絡非法訪問、入侵行為做到及時報警,防止非法入侵。
3.2.3安全策略管理
對建的電力二次系統必須在建設過程中進行安全風險評估,并根據評估結果制定安全策略;對已投運且已建立安全體系的系統定期進行漏洞掃描,以便及時發現系統的安全漏洞;定期分析本系統的安全風險,分析當前黑客非法入侵的特點,及時調整安全策略。
3.2.4 數據庫的安全策略
數據庫的安全策略包括安全管理策略、訪問控制策略和信息控制策略。但數據庫的安全問題最主要的仍是訪問控制策略。就訪問控制策略分類而言,它可以分為以下幾種策略。
(1) 最小特權策略: 是讓用戶可以合法的存取或修改數據庫的前提下,分配最小的特權,使得這些權限恰好可以讓用戶完成自己的工作,其余的權利一律不給。
(2) 數據庫加密策略: 數據加密是保護數據在存儲和傳遞過程中不被竊取或修改的有效手段。
(3)數據庫備份策略:就是保證在數據庫系統出故障時,能夠將數據庫系統還原到正常狀態。
(4)審計追蹤策略:是指系統設置相應的日志記錄,特別是對數據更新、刪除、修改的記錄,以便日后查證。
篇7
[關鍵詞]競爭情報安全管理 ISO-CISMS IS0/1EC27002:2005協議
[分類號]G350
隨著知識經濟時代的到來,情報活動作為企業收集、分析有關經營環境、競爭者和本身的相關、準確、及時、前瞻性的情報以強化競爭優勢的手段被頻繁使用,導致企業競爭情報安全風險日益凸顯。數據顯示,各類經濟情報活動每年給美國造成的損失達幾千億美元,使德國損失近5萬個工作崗位。我國也有類似的慘痛教訓,景泰藍、宣紙、“金星”鋼筆拋光技術等國寶級機密皆因保護不力而外泄。事實上,在當今激烈競爭的市場環境中,缺乏對競爭情報重要性的認識或保護不力的企業遲早會被淘汰出局。因此,如何有效地抵御對手的競爭情報活動,防止競爭性情報被對手獲取,日漸成為企業和學術界關注的焦點。由于企業是一個開放式系統,競爭情報保護又涉及眾多主體、客體(情報源、傳播渠道與設施等)、環節和復雜內外部環境,因而其安全問題絕非僅是技術性或方法論問題,而是一項系統性工程,必須從策略、過程、實施控制、技術、資源和環境以及應急與處理機制等諸多方面進行規范和保護,以保障其保密性(eonfidentiality)、完整性(integrity)和可用性(availability),即構建競爭情報安全管理體系。
1 國內外研究現狀
競爭情報簡稱cI(competitive intelligence),是關于競爭環境、競爭對手和競爭策略的信息和研究,是給組織競爭地位帶來重大影響的外部威脅、機會或優勢的情報及這些情報的獲取、監控、分析、前瞻和預警過程。它是一種過程,包括對競爭信息的收集和分析;也是一種產品,包括由此形成的情報和謀略。本文所指競爭情報僅是狹義的競爭情報,指代企業內部的關鍵性情報,包括競爭對手、客戶及合作伙伴情報、市場情報和技術情報等。
關于競爭情報安全,國內外許多學者已有一些研究。JerryP,Miller提出情報保護需歷經定義保護需求、評估競爭對手、評估自身弱點、制定實施對策、分析監控、結果傳遞等6個步驟;John A,Nolan提出Phoenix商業情報保護模型,認為競爭情報活動是一個由任務、定義保護需求、評估弱點、制定對策、分析和6個環節構成的循環過程;美國軍方受越戰戰例啟發提出OPSEC模型,認為要對公開信息進行嚴格核查,以防零散公開信息被對手甄別、聚類分析并得到關鍵情報;有些文獻介紹了反情報技術,如DNSBL等。國內對競爭情報安全也有一些研究,文獻[7]對Phoe-nix模型進行了修正,提出工作步驟應包括保護技術、保護策略;文獻[8]、[9]分別從知識流視角和基于博弈論構建了情報保護的動態監控與博弈模型;文獻[10]利用人一機系統理論提出安全規避措施;有些文獻則分別從制度、技術、法律、企業文化等視角進行了分析或策略構建。還有一些學者研究了競爭情報的泄密途徑,文獻[11]指出計算機的泄密渠道包括電磁波輻射、計算機網絡、計算機存儲、工作人員被策反和計算機系統被監控等。文獻[12]分析了企業內部的情報泄密途徑,包括企業網站、內部員工與第三方、搜索引擎、病毒和黑客攻擊等;有些文獻認為還有公開出版物、離職員工、業務伙伴、商業間諜、反求工程及其他灰色或非法途徑等渠道。
從文獻研究看,目前的競爭情報安全管理主要集中在泄密渠道、工作模式、安全技術、策略機制等領域,對競爭情報安全問題或闡述得比較籠統,或分析得不夠深入,或角度單一,對企業如何建立競爭情報安全管理體系,實現競爭情報全面安全管理的理解不深、指導性不強。本文將以作為企業信息安全國際標準的ISO/IEC27002:2005協議為參照,以實現競爭情報的全面管理為目標,構建并系統地闡述企業競爭情報安全管理體系及其內涵。
2 競爭情報安全管理體系的構建基礎
IS0/IEC27002:2005源自于1993年英國貿工部編寫的信息安全管理文本“信息安全管理實用規則”,此后該文本于1995年被轉化為國家標準(BS7799-1),2000年被ISO/IEC組織采納為國際標準,2005年推出修訂版本ISO/IECl7799:2005,2007年被更名為ISO/IEC27002:2005(內容不變),并與由BS7799-2標準演化而成的ISO/IEC27001:2005交相輝映,與隨后形成的后續標準一起自成體系形成IS027000系列標準。
1SO/IEC27002:2005是一種信息安全管理體系規范,列舉了在運營過程中對企業信息安全可能產生影響的因素,共設置了11大主題,39個控制目標和133個安全控制措施,包含安全政策、安全組織、資產分類與管理、個人安全、實體和環境安全、通信和運行管理、存取控制、信息系統的開發和維護、持續運營管理、符合法律等,旨在為一個機構提供用來制定安全標準、實施有效的安全管理時的通用要素,并得以使跨機構的交易各方互相信任。由于其規則實用性已成為信息安全領域最有影響力的信息安全標準,被廣泛看作是優秀的、具有普遍意義的安全操作規則,因此成為我國信息安全標準GB/T20269-2006和《數字圖書館安全管理指南》等標準的主要參照藍本。
由于競爭情報安全問題是一個涉及廣泛且復雜的系統性問題,而ISO/IEC27002:2005是一個具有安全系統架構和實施辦法的指南文本,其綱要體系及控制措施易于操作,且由于其架構的開放性和可增刪性,各類企業可根據自身實際選擇合適規模、層級的管理準則組合,形成了一個競爭情報安全“管理樹”。同時,IS0/1EC27002:2005更重要的是傳達一種系統性的、全局性的安全觀念及一種泛安全管理的思維,因而它作為一個通用的信息安全管理實踐準則,對企業競爭情報安全管理具有很好的參考作用。
3 基于ISO/IEC27002:2005標準的競爭情報安全管理體系的構建
傳統的競爭情報安全管理一般包含兩層意思:一是對內部關鍵情報進行監測和保護的活動;二是妨礙或阻止競爭對手的競爭情報行為。雖認知角度、重點不同,但基本共識是認為競爭情報安全管理的對象是企業內部情報;內容是監測和保護;目的是組織競爭對手或第三方的情報活動;態度是積極的;手段是合法的、正當的。但這些認知尚不足全面闡釋競爭情報安全管理的內涵,且競爭情報安全管理有許多重要內容,因而本文提出的競爭情報安全管理是一種泛安全管理的理念。
3.1 競爭情報泛安全管理
在閱讀文獻與深入調研分析的基礎上,本文認為競爭情報安全除包括實現內部情報的管理與保護外,還應包括對競爭對手實施的主動性反擊策略,以及發生競爭情報泄密危機的管控與處置問題,這即是泛安全管理的概念范疇。
因此,競爭情報安全管理應包括5個向度:競爭情報安全策略與組織架構、競爭情報保護、主動性反競爭情報、安全管理保障和持續性管理。策略構架主要體現在企業的競爭情報安全管理戰略、組織機構、安全策略文檔等宏觀層次構造與實踐上;情報保護是競爭情報安全管理的主要任務,涉及競爭情報的分類管理、流動監控與保護;主動性反擊能利用各種主動性策略手段分散競爭對手的注意力,迷惑對手或延緩其進攻與滲透;安全管理保障是各種制度與策略的審計、激勵與保障機制;持續性管理是在受到攻擊或情報泄密后的關鍵業務保護和業務修復能力,是發生災難或危機的修復與重生機制。這幾個向度相輔相成,共同構成競爭情報泛安全管理的內涵,如圖1所示:
3.2 競爭情報安全管理體系的框架
基于泛安全管理的思維,參照ISO/IEC27002:2005標準,以競爭情報泛安全管理架構模型為主干,本文構造了競爭情報安全管理體系的框架ISO-CISMS(corn-pehtlve intelligence security management system based onISO/1EC27002:2005),該體系包含5個向度,10個管理大項,22個控制目標,56個關鍵控制點。向度和管理大項指出了競爭情報安全管理的工作內容框架和架構,控制目標分析了安全管理需實現的目標,關鍵控制點則給出了安全管理工作的實踐要點。這種“分層設計”既兼顧了安全管理理論和實踐方向與范圍,也提供了操作性強的工作要點,可為當前競爭情報安全管理提供統一框架及解決方案,也回答了John J,McGonagJe在《讓企業免于對手競爭情報行為的攻擊》中提出的“要做什么,怎樣做和在哪里做”的問題,如圖2所示:
3.2.1 策略方針與組織構架策略方針與組織構架是指競爭情報安全管理的宏觀層次構造與實踐,包括競爭情報安全管理戰略、組織機構、安全策略文檔等,主要明確工作的原則、方針和相關策略,明確體系建設的意義、目標及建立體系需遵守的原則,以及如何建立極具管控力和滲透性的安全管理組織與人員架構。具體內容見表1。該向度的主要載體是競爭情報保護工作策略文檔,該文檔包含工作的重要性、工作的原理和目的、安全策略的原則性要求、違反安全策略后的責任級別及相應的處理辦法等內容。
競爭情報安全管理作為一項系統性工程,是管理層的共同運營責任。為保障效率,應設置競爭情報安全管理機構,對已有信息或情報部門進行合并。組織架構可根據情況采取集中式和分布式相結合的方式。集中式權力集中,操作簡單;分布式分散監控,覆蓋而廣。專職部門負責情報人員的專業技能培訓及企業競爭情報保護策略、文化建設和監管協調等。兼職人員分布在各部門,負責自己部門的情報監控與保護。機構成立后,可以確保從管理上支持此項工作,以便更好地監測情報安全事項變動,維護競爭情報安全。在該管理項中,重要的關鍵控制點是安全管理人員在各部門的覆蓋率,直接關系到競爭情報安全監控工作。
3.2.2 競爭情報保護
競爭情報保護是指對各種信息、情報或文件中的關鍵性情報的保護,組織結構對工作原則、方針和策略的執行情況。由于競爭情報的核心地位,競爭情報保護一直是競爭情報安全工作的重心。其活動過程是基于競爭對手的競爭情報搜集過程的,由于競爭情報的泄密渠道包括企業內部、公開倩息、第三方、內部數據庫或信息系統等道德或不道德途徑,因而競爭情報保護必須強化對各種泄密風險點的控制力,保證策略的完備性和執行力度及粒度,阻止現實的或潛在的競爭對手對本企業的競爭情報活動。
在競爭情報安全保護體系中,競爭情報保護向包括情報分類與控制、人員安全管理、物理環境及通信設施安全防護以及保障性制度等具體內容,如表2所示:
情報分類與控制:對公司數據庫和核心文件、公司制度、安全策略、公開信息等情報資源編制情報清單,并根據相對價值、重要程度進行分類編碼,確定安全等級,當然該清單應是動態更新的。對情報實施管理和控制,建立規范的情報管理制度,保障情報的合理、安全流通,嚴格情報傳播控制、文件管理、與公開信息審核及信息垃圾處理制度,去除其中的關鍵信息或情報,加大對手的分析難度。
人員安全管理:在競爭情報視角,相關人員包括作為戰略資源而成為保護對象的人員;作為管理對象的人員,如競爭情報保護人員、業務人員、第三方人員、顯性或隱性及潛在競爭對手。對不同類型的人員應實施不同安全策略:①重定義工作內容,把安全責任定義到工作責任中;②對人員進行安全教育和培訓,明確安全策略內容及其更新;③確立人員交往規范,根據合作伙伴、第三方或競爭對手的不同進行價值或重要程度權衡,建立不同交往策略規范。
物理和環境的安全:加強物理位置和環境的安全保護是競爭情報保護工作的顯性措施。劃分安全區域,根據關鍵性的業務或情報重要性和風險性設置相應安全區域,用物理屏障實現授權訪問和保護,對安全區域實施監控;信息載體安全,妥善養護與管理各類信息載體設備,做好設備的進入與帶出,也要做好登記與稽核。
網絡與通信管理:由于企業應用越來越基于網絡實現,競爭情報保護也應重視網絡與通信領域的管理,當然這也是目前研究較多并相對成熟的領域,可用技術較多,如數據加密、數字簽名、訪問認證、安全防護、檢測與追蹤等,市場上也均有成熟的產品可供選擇。
3.2.3 主動性反競爭情報競爭情報保護如果是被動的,往往使自身在競爭對手的攻擊中處于被動位置而效果不佳,因而針對競爭對手進行監測并實施主動性手段是必要的,以在攻防時占定先機,本文認為這即是反競爭情報的狹義概念。具體內容如表3所示:
國內外對于反競爭情報的研究還處于起步階段,從Web of Science數據庫和國內的CNKI檢索發現,有效文獻一共不到200篇。其概念論述也不統一,邵波認為反競爭情報是模仿競爭對手監測和分析自身活動的過程,它是針對競爭情報活動而開展的阻止或妨礙競爭對手獲得自身情報的信息研究活動,是一種對自身核心信息的保護方法。秦鐵輝、羅超認為它是企業為了保護自身情報資源而開展的一系列防范性情報工作,以抵御競爭對于針對本企業的情報活動。楊之霞認為企業反競爭情報是為了控制或延緩企業核心情報向外界傳遞而開展競爭情報活動的動態博弈,主要采用掩蔽和迷惑的手段,最大限度地掐斷競爭對獲取本企業情報的主要知識源和知識流,保護企業關鍵信息不被競爭對手獲得。其他學者也有一些定義,盡管角度不同、描述不一,但本質都是保護企業情
報免受其他組織的競爭情報活動的組織過程。但在策略手段上,側重于防御性手段論述,雖然也提及一些主動性策略或措施,但均沒有將其作為反競爭情報的核心與顯要特征。實際上,以防御性手段保護競爭情報安全應屬于競爭情報保護概念范疇,而反競爭情報則主要指采用積極主動策略達到防衛或反擊目的的戰略戰術情報行為。
實施反競爭情報可通過識別競爭對手,模擬主要競爭對手的競爭情報行為,阻斷競爭情報活動點和活動渠道,消滅風險點;虛假消息,干擾對手判斷,誘導驅使其作出己方期望的決策。這種“假情報”可故意向對手傳播、散發,涉及企業戰略、技術方向、財務狀況等方面的虛假或不準確信息,以迷惑競爭對手,或將其引入錯誤判斷或發生決策失誤。有時還可實施反逆向工程阻止競爭情報人員通過對產品解剖來分析化驗其材料組成、設計構造、生產工藝等方面的機密信息,甚至因此而付出巨大代價,如日本東芝在其生產的電池內部進行了特殊處理,一旦電池被拆開,便會發生爆炸,使對手的反求工程變得艱難。
3.2.4 持續性管理持續性管理即是建立情報泄密風險清單,評估其發生概率與可能造成的威脅,并在不利事件發生時采取相應的機制及策略,以防止關鍵業務受到影響,實現企業持續運行。持續性管理需要引起重視的原因是隨著競爭情報活動的日益頻繁,企業面臨的情報泄密風險無處不在,甚至很難完全避免,企業必須在發生關鍵情報的泄密后進行恰當的應急處置,以防止企業由此而出現重大損失,同時確保關鍵與核心業務不受影響。
在競爭情報安全管理體系中,持續性管理是一項必不可少的重要內容,從國際上看,那些及時引進持續性管理的企業,在面對災難時均能化險為夷,諸多發達國家甚至將其列為上市的必要條件。持續性管理的核心內容是業務持續性計劃的編制與維護,該計劃包含業務流程、數據和技術基礎設施確立、泄密風險識別及概率和威脅分析、泄密風險點分類與管理、業務持續性策略等內容。由于情勢的不斷變幻,業務持續性計劃的維護與更新也是十分重要的。該管理大項包括3個控制目標,具體內容如表4所示:
3.2.5 安全管理保障在競爭情報保護體系中,信息保護、人員安全、物理與環境、網絡與通信管理都必須建立相應機制加以保障。安全管理保障是“制度的制度”,貫穿競爭情報安全管理活動,為其保駕護航。在競爭情報安全管理體系中,安全保障機制主要包含制度與文化兩個層次。制度層是硬性機制;文化層是軟性機制,兩者相輔相成,共同作用。具體內容如表5所示:
保障性制度。保障性制度是保障企業嚴格實施競爭情報安全策略的制度集,包含稽核制度、維護制度、激勵制度和懲罰制度等。稽核制度可檢查策略的完備性、適用性和執行情況,發現問題立即加以更新與維護,對出現執行問題的,能明確加以懲處或通過激勵措施予以激勵。在實際中,可仿照ISO 9000標準的內審員制度,由專人定期審計,并與競爭情報安全體系進行程序性對照。當出現任何事實性不符或事實改變時都要審核是否違反策略,分析其違反后是否會對情報安全造成影響,如此才能保證該體系完全實施。
競爭情報安全文化。企業文化是企業在運營過程中形成的所有成員共同認同的,關于企業運營的戰略目標、理念、思維方式、價值觀和行為規范等要素的總和。研究表明,強文化對企業發展具有極大的正向作用,而強情報安全文化對競爭情報安全管理具有同樣的作用。在該體系中,競爭情報安全文化包含競爭情報戰略制定,是否形成重視競爭情報安全的企業理念,該理念有沒有輸入企業的經脈與血液,特別是管理者的意圖及堅決態度,對競爭情報保護工作的支持程度;企業精神的強度,和睦、團結、協作的企業氛圍,將不同類型、價值觀和行為方式的人員凝聚,強化向心力及對企業的責任感,減少競爭對手的滲透。
4 結論與展望
篇8
關鍵詞:計算機網絡;信息安全;安全體系
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2011)12-2818-02
隨著計算機網絡技術得到了飛速發展,Internet用戶數和商業應用快速增長,對計算機和網絡系統的嚴重依賴使得我們必須確保計算機和網絡系統的安全;否則,不僅會造成大量的人力、物力資源的浪費、經濟的損失,公司商業機密信息或研究技術文檔的被竊,甚至會丟失有關國家的機密,進而危及國家的安全。所有這些信息安全與網上信息對抗的需求,使得如何增強計算機系統和網絡系統安全性的研究成了舉世矚目的焦點。
1 信息安全對企業的重要性
現代社會是一個信息爆炸的社會,信息作為重要的戰略資源,其開發與利用已成為企業競爭能力的關鍵標志和企業發展的重要推動力。建立一套科學的、規范的信息系統是企業發展勢在必行的。
通過信息化建設,各企業都已建立相關的業務支撐系統、管理信息系統等,計算機的應用已遍布整個企業內部。例如:電信運營公司內部建立了計費系統、營業賬務系統、客戶關系管理系統等面向用戶的各類業務支撐系統;還建立了辦公信息系統、資產管理信息系統、人力資源管理系統等面向企業內部的綜合管理信息系統。這些計算機信息系統涉及諸如資金、交易、商業機密、個人隱私等信息,因此在信息系統建設中一定要重點考慮整個系統的安全問題。安全性問題覆蓋了整個系統中主機、網絡、通信、應用、信息、數據的方方面面,以及對網絡、設備、通信、操作、人員的安全管理。安全問題能導致信息系統的癱瘓、重要數據的丟失,使企業用戶的業務停頓,管理陷入混亂,最終結果是給企業造成嚴重的經濟損失,導致企業競爭力大大下降。因此信息安全問題,已經與企業的生存能力息息相關。
2 BS7799和信息安全管理體系(ISMS)
信息安全發展至今,人們逐漸認識到安全管理的重要性,為了指導全面的信息安全工作,作為信息安全建設藍圖的安全體系就應該顧及安全管理的內容。BS7799是BSI制定的關于信息安全管理方面的標準,包含兩個部分:
1)第一部分是被采納為ISO/IEC 17799:2000標準的信息安全管理實施細則,它在10個標題框架下列舉定義了127項作為安全控制的慣例,供信息安全實踐者選擇使用;
2)第二部分是建立信息安全管理體系(ISMS)的一套規范,詳細說明了建立、實旌和維護信息安全管理體系的要求,指出實施機構應該遵循的風險評估標準。
作為一套管理標準,BS7799―2指導相關人員怎樣去應用ISO/IEC 17799,其最終目的,還在于建立適合企業需要的信息安全管理體系(ISMS)。信息安全管理體系ISMS如圖l所示。
BS7799提出的ISMS是一個系統化、程序化和文檔化的管理體系,技術措施只是作為依據安全需求有選擇有側重地實現安全目標的手段而已。不過,Bs7799對ISMS并沒有一個明確的定義,也沒有描述ISMS的最終形態,它只對建立ISMS框架的過程和符合體系認證的內容要求有一定的描述。
3 信息安全技術體系
技術體系部分主要是應用PPDRR模型中PDRR動態自適應的閉環體系,涵蓋了防護、檢測、響應、恢復等四部分。其主要是通過以下相關技術實現:
1)防火墻技術:實現安全系統與外網、內部各網絡之間的隔離。利用集中安全監控平臺或者獨立的防火墻集中管理系統,完成對全網防火墻的集中管理、集中監控與集中策略管理與審核。
2)病毒防護:構建具有網絡病毒防護能力的病毒防護系統,可以動態升級病毒庫。在中心設置防病毒中心服務器,并對所有主機、終端等安裝防病毒軟件客戶端。
3)全漏洞掃描:找出系統中存在的安全漏洞和隱患,掃描對象包括兩類:網絡設備和主機設備,網絡設備主要掃描防火墻、路由器等設備的配置是否存在安全漏洞。
4)入侵檢測系統:實時監測系統中的數據包,對進出各系統的網絡流量進行檢測,識別非法連接請求及網絡入侵,自動阻斷連接,報警并記錄日志;通過分析關鍵服務器上的內核級事件、主機日志和網絡活動,執行實時的入侵檢測并阻止惡意活動。
5)身份認證技術:針對企業口令管理以及靜態口令不安全問題,提出動態口令身份認證技術,保護口令的安全。
6)系統監控響應:主要通過建立監控管理系統進行監測、響應。監控系統可以將檢測到的入侵行為、攻擊行為等信息安全事件,進行自動的響應,保護系統的安全。
7)備份容災技術:在企業中構建備份系統和容災中心,當主數據中心由于各種突發性意外原因導致生產系統崩潰時,備份系統和容災中心可完全接管全部工作,并能夠在極短時間內,恢復業務系統的運行。
4 信息安全若干模型的探討
4.1 IS07498―2信息安全模型
在IS07498―2中定義的信息系統安全體系結構由5類安全服務及用來支持安全服務的8種安全機制構成。安全服務體現安全體系所包含的主要功能及內容,安全機制規定了與安全需求相對應的可以實現安全服務的技術手段,二者有機結合相互交叉,在安全體系的不同層次發揮作用。這種安全體系,充分體現了層次性和結構性。
以下分別介紹ISO 7498―2安全體系結構的5類安全服務、8種安全機制。
4.1.1 安全服務
1)鑒別服務:可以鑒別參與通訊的對等實體和源;授權控制的基礎;提供雙向的認證;一般采用高的密碼技術來進行身份認證。
2)訪問控制:控制不同用戶對信息資源訪問權限;要求有審計核查功能;盡可能地提供細粒度的控制;
3)數據完整性:是指通過網上傳輸的數據應防止被修改、刪除、插人替換或重發,以保證合法用戶接收和使用該數據的真實性;用于對付主動威脅。
4)數據保密性:提供保護,防止數據未經授權就泄露;基于對稱密鑰和非對稱密鑰加密的算法;
5)抗抵賴:接收方要發送方保證不能否認收到的信息是發送方發出的信息,而不是被他人冒名篡改過的信息;發送方也要求對方不能否認已經收到的信息,防止否認對金融電子化系統很重要。
4.1.2 安全機制
1)數據加密機制:向數據和業務信息流提供保密性,對其他安全機制起補充作用;
2)數據簽名機制:對數據單元簽名和驗證,簽名只有利用簽名者的私有信息才能產生出來;
3)訪問控制機制:利用某個實體經鑒別的身份或關于該實體的信息或該實體的權標,進行確定并實旌實體的訪問權;可用于通訊連接的任何一端或用在中間連接的任何位置;
4)數據完整性機制:兩個方面:單個的數據單元或字段的完整性、數據單元串或字段串的完整性;
5)鑒別交換機制:通過信息交換以確保實體身份的機制;
6)業務填充機制:一種制造假的通訊實例、產生欺騙性數據單元或在數據單元中產生假數據的安全機制;提供對各種等級的保護,防止業務分析;只在業務填充受到保密時有效;
7)路由控制機制:路由既可以動態選擇,也可以事先安排;攜帶某些安全標簽的數據可能被安全策略禁止通過某些子網、中繼站或鏈路;連接的發起者可以請求回避特定的子網、中繼站或鏈路;
8)公證機制:關于在兩個或三個實體之間進行通訊的數據的性能,可由公證機制來保證;保證由第三方提供;第三方能得到通訊實體的信任。
ISO 7498―2安全體系結構針對的是基于OSI參考模型的網絡通信系統,它所定義的安全服務也只是解決網絡通信安全性的技術措施,其他信息安全相關領域,包括系統安全、物理安全、人員安全等方面都沒有涉及。此外,ISO 7498―2體系關注的是靜態的防護技術,它并沒有考慮到信息安全動態性和生命周期性的發展特點,缺乏檢測、響應和恢復這些重要的環節,因而無法滿足更復雜更全面的信息保障的要求。
4.2 IATF信息安全模型
IATF是由美國國家安全局組織專家編寫的一個全面描述信息安全保障體系的框架,它提出了信息保障時代信息基礎設施的全套安全需求。IATF提出了信息保障依賴于人、操作和技術來共同實現組織職能、業務運作的思想,對技術、信息基礎設施的管理也離不開這三個要素。人,借助技術的支持,實施一系列的操作過程,最終實現信息保障目標,這就是IATF最核心的理念。IATF定義了實現信息保障目標的工程過程和信息系統各個方面的安全需求。在此基礎上,對信息基礎設施就可以做到多層防護,這樣的防護被稱為“深度保護戰略”,IATF核心恩想如圖2所示。
不過,盡管信息安全保障體系框架IATF提出了以人為核心的思想,但整個體系的闡述還是以技術為側重的,對于安全管理的內容則很少涉及。IATF為我們指出了設計、構建和實施信息安全解決方案的一個技術框架,概括了信息安全應該關注的領域和范圍、途徑和方法、可選的技術性措施,但并沒有指出信息安全最終的表現形態。
4.3 P2DR動態自適應的信息安全模型
P2DR動念自適應安全模型是美國國際互聯網安全系統公司(1SS)最先提出的,即Policy(策略)、Protection(防護)、Detection(檢測)和Response(響應)。按照P2DR的觀點,一個完整的動態安全體系,不僅需要恰當的防護(如操作系統訪問控制、防火墻、加密等),而且需要動態的檢測機制(如入侵檢測、漏洞掃描等),在發現問題時還需要及時響應,這樣的體系需要在統一的、一致的安全策略指導下實施,形成一個完備的、閉環的動態自適應安全體系。
P2DR模型是建立在基于時間的安全理論基礎之上的:Pt:攻擊成功所需時間被稱作安全體系能夠提供的防護時間:Dt:在攻擊發生的同時,檢測系統發揮作用,攻擊行為被檢測出來需要的時間;Rt:檢測到攻擊之后,系統會做出應有的響應動作,所需時間被稱作響應時問;Et:系統暴露時間,即系統處于不安全狀況的時間(Et=Dt+Rt-Pt)要實現安全,必須讓防護時間大于檢測時間加上響應時間,即:Pt>Dt+Rt。
P2DR模型基本上體現了比較完整的信息安全體系的思想,勾畫出信息安全體系建立之后一個良好的表現形態。近十年來,該模型被普遍使用。
P2DR動態自適應安全體系模型針對的是基于時間的安全理論構建的閉環的動態體系結構,也只是解決信息安全的技術措施,其他信息安全相關領域,包括系統安全、物理安全、人員安全等方面都沒有涉及。此外,P2DR動態自適應安全體系雖然已經關注信息安全動態性和生命周期性的發展特點,但缺乏恢復的環節,因而無法滿足更復雜更全面的信息保障的要求。
4.4 PPDRR的信息安全模型
在P2DR模型中,恢復(Recovery)環節是包含在響應(Response)環節中的,作為事件響應之后的一項處理措施,不過,隨著人們對業務連續性和災難恢復愈加重視,尤其是911恐怖事件發生之后,人們對P2DR模型的認識也就有了新的內容,于是,PPDRR模型就應運而生了。PPDRR模型,或者叫P2DR2,與P2DR唯一的區別就是把恢復環節提到了和防護、檢測、響應等環節同等的高度。在PPDRR模型中,安全策略、防護、檢測、響應和恢復共同構成了完整的信息安全體系。PPDRR也是基于時間的動態模型,其中,恢復環節對于信息系統和業務活動的生存起著至關重要的作用,組織只有建立并采用完善的恢復計劃和機制,其信息系統才能在重大災難事件中盡快恢復并延續業務。
基于PPDRR的安全體系模型針對的同樣是基于時間的安全理論構建的閉環的動態體系結構,仍沒涉及其他信息安全相關領域,包括系統安全、物理安全、人員安全等方面都沒有涉及。因而無法滿足更復雜更全面的信息保障的要求。
5 結束語
本文作者主要對信息安全體系結構領域中現有的各種體系模型進行了綜述和分析,詳細地討論了各種體系模型的優缺點。使我們能夠從整體上把握信息安全體系結構領域的研究和發展方向,為我們以后的研究工作奠定了必要的理論基礎。
參考文獻:
[1] 林寧,吳志剛.我國信息安全標準化現狀[J].計算機世界:信息安全專刊,2003(8).
[2] 孫強,陳偉,王東紅.信息安全管理:全球最佳實務與實施指南[M].北京:清華大學出版社,2004.
篇9
關鍵詞:信息安全;管理;電子信息
引言
在計算機技術更新、發展迅速的今天,總有一些不法分子通過各種手段竊取企業信息,嚴重威脅企業財產、業務安全,甚至損壞企業形象與品牌。在傳統的信息安全管理中,往往忽略了人在信息安全方面的重要作用,而僅僅依賴于技術管理。雖然技術對信息安全管理有重要作用,但如果只依賴于技術管理,將不能起到良好的防范效果。因為據權威機構的數據顯示,在所有信息安全事故中,70%-80%是因為內部員工的疏忽或泄密引起的。因此,為了提高電子信息的安全管理,必須加強企業對網絡的防范意識,建立電子商務安全管理體系和信息安全管理制度等。
一、加強電子信息網絡安全防范意識
據調查,網站安全的隱患,在我國的許多企業都有存在,它的原因主要是企業管理者對網絡安全意識缺乏足夠的重視,他們大多數對網絡安全系統只建立了技術防范機制,用一些先進的技術手段阻隔竊取者的入侵,保證電子信息的安全,但是卻未形成互聯網易受攻擊的意識。這就為黑客等竊取者有機可乘。尤其在一些中小企業,認為自己公司的規模小,不會招致侵犯,如此態度,網絡安全就更難以得到保護。因此,要使電子商務信息安全得到保護,必須加強企業管理者與工作人員的安全防范意識,只有如此才能維護電子商務信息安全。
二、建立健全電子安全管理組織體系
加強對電子信息安全的保護,必須在堅持企業目標與安全方針的前提下,在企業內部建立電子商務安全管理組織體系,就是建立信息安全指導委員會,對組織內的信息安全問題定期進行討論與解決。他們主要負責審批信息安全方針、政策;分配信息安全管理職責;并對風險評估加以確認,對信息安全預算計劃及設施購置的審查與批復;此外,還有負責實施與評審信息安全的措施與監測和對安全事故的處理;以及協調與信息安全管理有關的重大更改事項的決策,對信息安全管理隊伍與各部門之間的關系的等職能。
三、建立電子信息安全管理制度
電子商務信息安全管理制度主要有人員管理制度、保密制度、系統維護制度、病毒防范制度等。制定科學合理的電子信息安全管理制度,對企業的信息安全管理有著積極的促進作用。企業要根據自身的特點,在制度制定時對網絡信息的安全等級進行有序的劃分,以此使具體的安全目標加以確立。
1.人員管理制度
人員管理制度包括人事選拔制度、人員管理原則、網絡管理人員的基本要求等內容。其中,良好的人事選拔制度是維護電子信息安全之本。人員管理的基本原則包括多人負責原則和輪崗原則、有限權力原則、離職控制原則。而網絡管理人員的基本要求包括以下幾個方面:
(1)不得隨便放置賬號和密碼;(2)在廢紙堆中不得放置敏感數據;(3)不得使陌生人進入要害部門;(4)要將防火墻等安全產品謹慎配置;(5)不得使用人人皆知的密碼和空密碼;(6)加強層層設防重要系統;(7)查閱安全日志需配備專人;(8)對員工的安全防范意識加以培訓。
2.保密制度
企業的市場、生產、財務、供應等多方面的機密,電子信息運營都有所涉及,因此制定和實行嚴格的保密制度是完全有必要的事情。我們依靠信息的性質和重要程度,將保密信息劃分為三級。分別是必須實行強制安全保護的A級機密信息,必須實行自主安全保護的B級內部信息與必須實行一般安全保護級的C級公共信息。
3.網絡系統的日常維護制度
網絡系統的日常維護制度是用于記錄系統運行的全過程。這就要求企業在網絡系統中建立網絡交易系統日志機制,并自動生成日志文件。日志文件主要內容有:操作的日期、操作的方式、登錄的次數、運行的時間、交易的內容等。它對監督系統的運行、分析維護、恢復故障、防止盜密案件的發生等起著非常重要的作用。此外,它還有檢查系統日志、審核、對系統故意入侵行為及時發現的記錄和對系統安全功能違反的記錄、監控和捕捉各種安全事件、保存、維護和管理系統日志等的審計作用。
4.防止病毒入侵制度
作為防止病毒襲擊,保證網上交易的一個重要方面,防病毒入侵制度對網上交易的順利開展,有著積極的防范作用。因此必須及時建立病毒防范措施,實行病毒定期清理制度,將處于潛伏期的病毒清除干凈,預防與阻止病毒的突然爆發,保持計算機的工作狀態始終處于良好的環境中,從而為網上交易的正常進行提供有力的保證。
四、結束語
企業電子信息的安全管理依賴于一個完整而有力的管理體系,來保證信息安全管理的規范與長效。而建立完善的管理體系需要注重人為方面的因素,將人為因素與科技因素結合起來,這樣才能達到企業安全管理的安全、可靠與穩定。
參考文獻:
[1]趙剛;王興芬.電子信息安全管理體系架構優先出版[J].北京信息科技大學學報(自然科學版,2010(14).
篇10
1管理維護人員少
我局信息系統管理維護工作主要由計算機中心負責,下設軟件科、系統科、綜合科共14名在編人員。信息系統的維護管理工作主要由系統科4名人員負責。一方面在開展系統維護工作時人手不足,無法覆蓋到區縣;另一方面由于新技術更新較快,人員對新知識與新技術的掌握不足,不利于有效的開展信息安全維護管理工作。
2系統漏洞影響大
稅務信息系統對數據完整性與服務實時性高要求非常高,當今漏洞挖掘技術極大縮短系統漏洞的發現周期,經常性對核心應用系統進行升級補丁將對系統數據完整性與保障系統服務及時性造成一定的風險。
3黑客攻擊與計算機病毒傳播路徑廣
我局內部業務網已連接到全市23個下屬單位,黑客可通過任何一個單位對我局核心業務應用發起攻擊。同時隨著移動互聯網的快速發展,wfif、手機連接到終端計算機等都有可能成為業務內網與互聯網的接口,使我局核心業務應用遭受到互聯網的攻擊。同時移動存儲介質不安全的使用方式、工作員通過互聯網下載的軟件等都有可能導致病毒大規模傳播。
二、新形勢稅務信息安全管理工作實踐
1信息安全管理工作分解,明確分工與職責
我局信息安全工作的未來發展方向與符合我局實際情況的管理要求、監督指導執行層落實工作信息安全工作、考評執行層與支撐層的工作績效。為全局的信息安全保障工作發揮著規劃、指導、監督、考評作用,推動我局各項信息安全管理工作得以落實。執行層由各區縣局單位指派在編工作人員擔任,目前我局在各區縣局設立信息崗,由具備一定計算機基礎知識的工作人員擔任。主要工任務是按照市局的管理要求開展日常的信息安全維護工作,并處理常規信息安全問題、向其他工作人員宣傳市局既定的管理要求,提高全員的信息安全意識。通過執行層開展的信息安全工作,使市局規劃的各項信息安全管理要求在基層得到落實。為提高執行層的工作能力,市局定期集中工作人員開展培訓,傳達市局信息安全工作思路、講解工作中涉及的信息安全技術、宣傳信息安全形勢等。支撐層由第三方公司擔任,為使我局信息安全管理工作更高效,我局將信息系統各項技術維護工作外包給各技術領域有一定實力的公司,由公司安排具備工作經驗與能力的專業技術人員常駐我局,開展技術維護工作。我局管理人員根據制定的管理要求對各公司的維護工作進行考評。
2周期性檢測,評估安全風險
漏洞挖掘技術很大程度的縮短了系統漏洞的發現周期,對稅務系統是個非常大的安全隱患,常規的運行維護難以發現深層次的安全漏洞。因此我局將對信息系統及終端計算機的安全檢測列入周期性的工作計劃,不流于風險評估與等級保護測評的工作形式。以實質性的發現系統與終端安全漏洞為手段;以采取有效、可靠、安全的處置方法,降低系統安全風險為目標。將安全檢測工作委托第三方專業的公司定期開展,將檢查結果轉交各類技術的維護公司進行處理。并對安全專業公司的檢測能力,各類技術維護公司的處置能力納入到統一考評體系,確保我局安全漏洞檢測的全面性、準確性,問題處理的正常性、有效性。3建立以制度為依據、以技術為支撐的監督、管理工作流程為解決我局終端數量多、地域分布廣、安全管理難度大的難題,管理層經討論、研究針對終端安全及網絡邊界管理的方法,論證管理要求與技術實現的可行性,制定終端安全管理與網絡邊界管理的總體綱領策略。并測試、采購符合我局安全管理需求的安全技術實施部署。市局下發針對性的安全管理要求文件,安全技術根據市局管理要求部署基本的控制與審計策略。為更好的發揮技術平臺的管理功效,市局將基本安全管理策略之外的管理權限下放到各區縣局,由各單位根據自身實際情況制定管理規則。市局根據平臺產生的數據,對違規使用資源、違規操作的個人與單位進行監督與通報,并納入對各單位的考評。通過管理要求與技術平臺的有機結合,使我局各項信息安全管理制度得到落實,并定期召集各單位對信息安全管理工作的經驗進行交流與推廣,提高全局的信息安全管理水平。
三、新形勢稅務信息安全管理探索方向
信息安全管理工作在設計上需成體系、在落實上需有支撐,這項工作有著一定的復雜性、周密性與完整性。并非依靠制定一系列的管理規定,或部署完善的信息安全技術就能立即提高信息安全管理水平。而是需要規劃整體的安全管理方針與目標;根據方針與目標制定基礎的保障框架;逐步完成基礎保障框架中的管理、技術與過程建設;并在運行維護中不斷的找出管理、技術與過程建設存在的不足,并進行改進,使信息安全管理水平不斷的提高,逐漸形成適合我局的信息安全管理體系。目前我局制定信息安全管理的基本方針是建立以風險管理為核心的信息安全管理體系。在該方針的指導下,我局計劃建立的基本信息安全保障框架為:
(1)以采取一切手段發現整體信息系統中存在的安全問題為基礎。
(2)以評估發現的問題對信息系統可能產生的安全風險為支撐。
(3)以找出問題的有效、可靠、安全處置機制為保障。
(4)以監督、評估問題處置的有效性,降低安全風險為目標。因此在已定的安全保障框架下,管理層還需繼續探索符合我局實際情況的信息安全管理方法,以管理有效方法為基礎制定管理策略、以管理策略為依據選購安全技術、以安全技術為支撐開展具體管理工作、以具體管理工作為監督推動管理落實、以管理落實效果為依據檢驗管理方法、以優化管理方法目標提高安全管理效益。
四、結語
