发布时间:2023-10-10 17:13:44
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇企业信息安全要求,期待它们能激发您的灵感。
1、前言
电力行业是国民经济的基础产业,是保障人民生活生产秩序正常运行的基础行业。电力行业的信息化从60-70年代开始的电厂自动化监控开始,到现在已经有近40年的历史。随着电力行业的不断发展,电力的关键业务不断增长,因此信息化应用在电力系统中也不断增强。电力生产与调度基本实现全面的自动化控制,很多电力企业实现了生产过程无人值守或者少人值守,电力生产自动化监控系统的广泛应用大大提高了生产过程自动化水平。电厂、变电站减人增效,大量采用远方控制,对电力控制系统和数据网络的安全性、可靠性、实时性提出了新的严峻挑战。而另一方面,Internet技术已得到广泛使用,E-mail、 Web和PC的应用也日益普及,但同时病毒和黑客也日益猖獗。目前有一些调度中心、发电厂、变电站在规划、设计、建设及运行控制系统和数据网络时,对网络安全问题重视不够,在没有进行有效安全防护的情况下与当地的MIS系统互连,甚至存在与因特网直接互连的现象,形成了严重的安全隐患。
2、保障电力企业信息安全的目的
信息系统在电力生产、建设、经营、管理、科研、设计等各个领域有着十分广泛的应用,尤其在电网调度自动化、厂站自动控制、管理信息系统、电力市场技术支持系统、电力营销系统、电力负荷管理、计算机辅助设计、科学计算以及教育培训等方面取得了较好的应用效果,在安全生产、节能降耗、降低成本、缩短工期、提高劳动生产率等方面取得了明显的社会效益和经济效益,因此保障电力企业信息安全显得尤为重要。
3、电力企业信息系统中的安全现状
(1)“信息孤岛”解除,导致信息失控风险
我国的电力企业在长期计划经济模式下,生产与管理部门、生产部门之间、管理部门之间条块分割,各部门单位建立的信息系统相对独立,致使信息闭塞,形成了电力企业有的“信息孤岛”。造成了企业内部系统不能集成、资源不能共享的局面,严重制约企业信息化建设和应用。这种效率低下的企业管理体制已不能适应电力行业迅猛发展的需要。电力企业需要从企业发展战略出发,实行业务调整、流程梳理与优化,消除“信息孤岛”现象,为企业发展整合内部信息资源,实现相关信息的共享。然而“信息孤岛”的简单解除,使共享交互的信息失去了有序控制,如何实现对信息的科学控制,如何才能防止对信息系统中数据信息的破坏,就成了新的信息控制风险。
(2)简单安全产品堆砌风险
企业信息化需要专门的技术人才和管理机构才可能做到专业化,同样保障信息化的稳定有效运行,也需要相应技术人才和机构去实施、去完成保障运维层面的管理。非专业的技术或管理者,受所掌握知识面的影响或者一些产品厂商的误导,在保障信息安全工作时,简单采购几款安全产品就以为完成了对电力企业信息系统的安全保障。正是这种单纯的对几款安全产品的依赖,会麻痹管理者和操作使用者的神经,根据“木桶原理”,当这几款安全产品中的一款产品失效时,却不能及时发现并得到纠正,势必会造成对信息系统的正常稳定运行带来巨大影响。
(3)安全意识与技能不足的风险
企业管理者与运维人员,只是对业务比较熟悉,在遇到信息安全问题时却表现得束手无策,甚至在日常运维操作过程中,根本就不清楚或者无意识在安全模式下进行操作。这主要反映了主持信息化工作的人员和机构对信息安全保障的意识比较淡薄,在遇到信息安全问题时,所掌握的安全技能又达不到解决问题的水平,电力企业从生产的过程控制到电力的调度,各过程环节上一旦出现了非可控因素,带来的损失将是致命性的。
4、信息安全保障对电力企业的重要技术要求
(1)通过安全评估发现和预见信息系统中存在的安全风险
安全评估是发现电力企业现有信息系统中存在的安全隐患,找出面临的安全威胁,识别现存安全风险的必要技术手段和过程,是制定电力企业信息安全防护策略的前提,还是信息安全体系建设中,有针对性采取技术措施的基础。安全评估需要聘请经过国家有关机构认证,具有安全评估服务资质的国内单位来完成对企业的安全评估工作,安全评估工作主要内容包括:信息资产识别、风险评估、渗透测试、漏洞扫描、安全体系的评估、安全设备的部署及性能评估等。安全评估为安全体系架构的搭建提供了科学依据。
(2)搭建纵深防御安全保障体系
整个安全体系可以规划为三个部分,分别是组织体系、管理体系和技术体系,全面涵盖了一个组织信息系统规划和建设的安全要求。在已经有一定安全基础的情况下,也可以单独考虑为信息系统某个部分进行强化设计。在体系框架中,安全组织体系主要包括机构建设和人员管理两方面内容,对电力企业内部的安全组织建设和安全岗位、安全培训等方面进行了要求。安全管理体系主要包括制度管理、资产管理、物理管理、技术管理和风险管理等方面内容。上述两体系部分严格依据了国际信息安全管理标准ISO 17799的要求,涵盖了该标准中的每一类规范。安全技术体系方面主要包括安全评估、安全防护、入侵检测、应急恢复四部分内容,这部分是对社会公认的 PDR安全模型的又一最新应用,从技术角度对信息系统的这四种技术能力提出了要求。而该体系的安全防护模块,在国际标准ISO7498-2安全体系结构理论的指导下,又分别从鉴别认证、访问控制、数据加密、完整性保护、抗抵赖等五个角度提出了具体的技术性要求。
(3)信息安全保障中不可缺少的技术层措施
本地访问控制技术
防火墙是一种网关级的安全过滤检测技术,部署在内外网之间、不同重要网段之间,实现对访问行为的严格控制。电力企业的生产、计量、营销、调度管理等系统之间,信息的共享、整合与调用,都需要在不同网段之间对这些访问行为进行过滤和控制,阻断攻击破坏行为,拦截攻击破坏尝试,分权限合理享用信息资源。
远程访问控制技术
电力企业员工在外出差,因为业务需要获授权远程登录企业内部信息系统,这属于正常的远程访问,然而攻击者在企业外部非授权展开的攻击,属于非正常远程访问。对远程访问行为,通过双因素动态身份认证实现VPN虚拟专用网络连接系统,完成在Internet上搭建虚拟专网访问企业内部资源的目的,同时可以严格识别和区分授权用户的权限,完全可以控制企业内部信息读取的安全性。
防病毒及入侵检测技术
病毒是一种进行自我复制、广泛传染,对计算机及其数据进行严重破坏的计算机程序。电力企业信息系统已经覆盖了企业各个生产、经营和管理岗位,上网用户在进行多种数据交换时,随时可能受到病毒的攻击,随着电力工业走向市场,与外界网上交流越来越多,通过电子邮件联系业务、交换数据等都有可能感染病毒,并在企业内部网络上不断扩散。必须在信息系统的各个环节采用全网全面防病毒策略,建立计算机病毒管理中心,按其信息网络管辖范围,分级防范计算机病毒,在计算机病毒预防、检测和病毒库的升级分发等环节统一管理,建立较完善的管理制度,才能有效的防止和控制病毒的侵害。
身份认证技术
电力交易系统就其实质来说,是一个典型的电子商务系统,它必须保证交易数据的安全性。在电力市场技术支持系统中,作为市场成员交易各方的身份确认、物流控制、财务结算、实时数据交换系统中,均需要权威且安全的身份认证系统。在电力企业中,电子商务也逐步扩展到电力营销系统、电力物质采购系统、电力燃料供应系统等多方面的应用。因此,建立对企业员工上网用户统一身份认证和数字签名等安全认证,对系统中间键业务进行安全审计,并开展与银行之间,上下级身份认证机构之间进行认证,同时与其他需要身份认证机构之间实现交叉认证的技术研究和技术实现也是非常重要的。
安全隔离技术
安全隔离设备也是一种访问控制技术,但是工作原理有别于防火墙,部署在重要网络之间,在设备内部加载系统内部协议,排除掉TCP/IP协议干扰,分析检测数据信息的安全性,然后再加载TCP/IP协议通过隔离设备,并可以实现正向和反向的访问通讯。使用安全隔离设备,实现重要网段之间、内外网之间正向和反向的访问隔离控制,完成信息的单向读取或单向写入,达到不同重要信息扩散范围合理控制的目的。
1 企业信息安全管理的失误因素分析
1.1 信息安全组织临时化
通常,企业只有在发生了信息泄露、病毒攻击、系统破坏等信息安全事件时,才会临时从信息技术部和业务部门抽调人手处理和解决信息安全事件。出现新的信息安全要求时,才会临时组建项目小组,根据新的信息安全要求制定解决方案并实施计划,项目完成后,临时小组就会解散,没有人会继续跟进和执行解决方案。由于没有定期的信息安全评估,安全计划不断地重复开始和结束,带来大量的人财物重复投入,这将导致安全计划成本不断增加,企业的工作效率不断降低,信息安全防护也未得到有效提升。
1.2 员工上网无限制
虽然企业为员工上网提供了用户名及密码,并且对其登录的网站进行了监测,但是员工在工作时间还是可以无设防地利用外网进行网页游览、网络社交等行为,并且使用一些网站的免费邮箱随意地接收和发送电子邮件,这些给黑客、病毒、钓鱼软件等创造了对企业内部网络攻击的机会。于是,员工在不了解原因的情况下,使得企业的信息被泄露或者内部网络瘫痪,从而影响企业的正常工作,造成企业资产的损失。
1.3 个人移动设备(BYOD)使用泛滥
在企业的办公场合,员工会携带个人移动设备(BYOD)如笔记本电脑、平板电脑、智能手机、移动硬盘等进行办公。企业员工可以较为随意地使用这些移动存储设备对内部文件进行拷贝,并且可以使用移动设备接入企业内网的无线Wi-Fi,并拥有一定程度的内网数据读取权限,这样做虽然节约了企业的办公成本,提高了办公的效率,但是也增加了企业内网病毒感染及遭受黑客恶意入侵的风险。
1.4 信息安全防护水平有限
出于性能、技术等因素的考虑,加之国内自主研发的信息安全产品较少,目前进口的信息安全产品受到许多企业的广泛采用。尽管这些企业的信息安全需求以此得到了满足,但近几年来,进口产品设备故障的频繁发生也对企业的业务带来了不同程度的影响。同时,进口信息安全产品已经占据了这些企业信息系统的关键节点,这使得企业的商业机密时刻处于高危状态。不仅如此,部分企业仍旧停留在使用免费的个人版杀毒软件阶段,而这些软件不仅无法解决病毒交叉感染的问题,也没有统一的管理平台对企业内网的安全系统进行统一的升级与维护。
1.5 信息安全事件处理不及时
企业在发生信息安全事件时,即使有相关的信息安全管理产品,但无法迅速定位安全事件,更无法快速进行安全事件响应处理,常处于混乱、无序的运维管理状态。由于企业的安全管理人员无法全面了解整个企业网络中正在发生的内部越权访问和外部攻击,出现问题时,他们多表现得无从下手或者手忙脚乱。而且,企业各部门各自为政,对发生信息安全事件无法进行统一规范的快速处理。
2 改进企业信息安全管理的对策
2.1 建立健全的信息安全组织层级结构
企业信息安全组织架构的建立是围绕企业信息安全管理的战略目标,对企业的信息资源、人力资源、安全技术产品等进行合理安排和配置,构成相互协作的有机整体,使企业的信息安全活动协调有效地运行。企业通过建立多层次、跨部门的信息安全决策委员会、信息安全工作部、信息安全执行部层级结构,不仅能在企业中形成一张网,覆盖企业的各个部门,有利于信息安全措施的实施和针对信息安全事件的快速响应,而且还能为后续建立信息安全管理体系提供组织上的保证。信息安全决策委员会主要负责制定信息安全制度和策略、明确各部门信息安全职责、协调各部门实施信息安全控制措施以及信息安全活动的实施等。
2.2 加强人员教育培训和规范管理
信息安全最大的威胁不是来自于企业外部的攻击或是企业信息安全技术的缺陷,而是企业人员缺乏信息安全意识。为了能够有效地提高企业员工的信息安全意识,企业需要对员工进行完善的信息安全教育培训,这不仅能提高员工的信息安全保护技能,还能更好地保护企业的信息安全。企业在制定信息安全教育培训内容时,可以根据员工在企业中所处的职位高低和工作性质的不同有针对性地制定。对于企业管理者而言,教育培训以信息安全核心知识、风险管理、信息安全政策等为主;企业的信息技术人员,则是以信息安全技术教育培训为主;一般员工结合所在部门的业务特点以信息安全意识培训为主。除了对企业的人员进行教育培训,还需对其进行规范化管理。对掌握产品生产、原材料采购等核心信息的管理者实施更加严格的信息安全监督管理制度;对负责计算机系统及日常维护的人员界定其工作权限;规范化管理员工的上网行为,合理利用网络资源,避免人为的网络安全隐患。
2.3 完善信息安全技术体系
一是保障并完善数据安全,企业需通过加密的手段保护企业系统中数据的机密性和完整性,从而提高数据访问的抗抵赖性,同时加强数据的异地灾难恢复机制,实现本地数据的实时远程复制与备份,避免本地系统遭受灾难性破坏导致企业系统中数据的遗失。
二是保障并完善终端安全,企业除了要采用全面可靠的防病毒体系和防火墙技术外,还需制定严格的移动终端设备使用制度,一方面是为了避免内部员工利用移动终端设备随意拷贝企业内部文件,导致企业内部信息向外泄露,另一方面是为了防止移动终端设备携带的病毒漏过企业系统设置的防火墙而直接在系统内部传播。
三是保障和完善应用安全,除了提供用户名和口令外其他身份验证机制,必要时还需支持双因素认证和具备登录控制模块,同时在日常工作不受影响的情况下,控制员工访问权限,减少越权操作的现象,最大限度地保障个人系统的安全。
四是保障和完善网络安全,企业还需通过内外部署相应的网络与信息安全设施使计算机设备的物理管理得到加强,并对入侵检测系统和漏洞扫描系统进行内外部攻击和误操作的实时保护的安全设计,使系统免于网络攻击的同时,也提升了系统管理人员的安全管理水平。
【关键词】信息安全 管理 控制 构建
1 企业信息安全的现状
随着企业信息化水平的提升,大多数企业在信息安全建设上逐步添加了上网行为管理、内网安全管理等新的安全设备,但信息安全防护理念还停留在防的阶段,信息安全策略都是在安全事件发生后再补救,导致了企业信息防范的主动性和意识不高,信息安全防护水平已经越来越不适应当今企业IT运维环境和企业发展的需求。
2 企业信息系统安全防护的构建原则
企业信息化安全建设的目标是在保障企业数字化成果的安全性和可靠性。在构建企业信息安全体系时应该遵循以下几个原则:
2.1 建立企业完善的信息化安全管理体系
企业信息安全管理体系首先要建立完善的组织架构、制定信息安全管理规范,来保障信息安全制度的落实以及企业信息化安全体系的不断完善。基本企业信息安全管理过程包括:分析企业数字化资产评估和风险分析、规划信息系统动态安全模型、建立可靠严谨的执行策略、选用安全可靠的的防护产品等。
2.2 提高企业员工自身的信息安全防范意识
在企业信息化系统安全管理中,防护设备和防护策略只是其中的一部分,企业员工的行为也是维护企业数字化成果不可忽略的组成。所以企业在实施信息化安全管理时,绝对不能忽视对人的行为规范和绩效管理。在企业实施企业信息安全前,应制定企业员工信息安全行为规范,有效地实现企业信息系统和数字化成果的安全、可靠、稳定运行,保证企业信息安全。其次阶段递进的培训信息安全人才也是保障企业数字化成果的重要措施。企业对员工进行逐次的安全培训,强化企业员工对信息安全的概念,提升员工的安全意识。使员工的行为符合整个企业信息安全的防范要求。
2.3 及时优化更新企业信息安全防护技术
当企业对自身信息安全做出了一套整体完善的防护规划时,就应当考虑采用何种安全防护技术来支撑整个信息安全防护体系。对于安全防护技术来说可以分为身份识别、网络隔离、网络安全扫描、实时监控与入侵发现、安全备份恢复等。比如身份识别的目的在于防止非企业人员访问企业资源,并且可以根据员工级别分配人员访问权限,达到企业敏感信息的安全保障。
3 企业信息安全体系部署的建议
根据企业信息安全建设架构,在满足终端安全、网络安全、应用安全、数据安全等安全防护体系时,我们需要重点关注以下几个方面:
3.1 实施终端安全,规范终端用户行为
在企业信息安全事件中,数字化成果泄漏是属于危害最为严重的一种行为。企业信息安全体系建立前,企业员工对自己的个人行为不规范,造成了员工可以通过很多方式实现信息外漏。比如通过U盘等存储介质拷贝或者通过聊天软件传递企业的核心数字化成果。对于这类高危的行为,我们在建设安全防护体系时,仅仅靠上网行为管理控制是不能完全杜绝的。应该当用户接入企业信息化平台前,就对用户的终端系统进行安全规范检查,符合企业制定的终端安全要求后再接入企业内网。同时配合上网行为管理的策略对员工的上网行为进行审计,使得企业员工的操作行为符合企业制定的上网行为规范,从终端用户提升企业的防护水平。
3.2 建设安全完善的VPN接入平台
企业在信息化建设中,考虑总部和分支机构的信息化需要,必然会采用VPN方式来解决企业的需求。不论是采用SSL VPN还是IPSecVPN,VPN加密传输都是通用的选择。对于分支机构可以考虑专用的VPN设备和总部进行IPSec连接,这种方式更安全可靠稳定。对于移动终端的接入可以考虑SSL VPN方式。在这种情况下,就必须做好对于移动终端的身份认证识别。其实我们在设备采购时,可以要求设备商做好多种接入方式的需求,并且帮助企业搭建认证方式。这将有利于企业日常维护,提升企业信息系统的VPN接入水平。
3.3 优化企业网络的隔离性和控制性
在规划企业网络安全边际时,要面对多个部门和分支结构,合理的规划安全网络边际将是关键。企业的网络体系可以分为:物理层;数据链路层;网络层;传输层;会话层;表示层;应用层。各体系之间的相互隔离和访问策略是防止企业信息安全风险的重要环节。在企业多样化网络环境的背景下,根据企业安全优先级及面临的风险程度,做出适合企业信息安全的防护策略和访问控制策略。根据相应防护设备进行深层次的安全防护,真正实现OSI的L2~L7层的安全防护。
3.4 实现企业信息安全防护体系的统一管理
为企业信息安全构建统一的安全防护体系,重要的优势就是能实现对全网安全设备及安全事件的统一管理,做到对整个网络安全事件的“可视、可控和可管”。企业采购的各种安全设备工作时会产生大量的安全日志,如果单靠相关人员的识别日志既费时效率又低。而且不同安全厂商的日志报表还存在很大差异。所以当安全事件发生时,企业管理员很难实现对信息安全的统一分析和管理。所以在企业在构建信息安全体系时,就必须要考虑安全设备日志之间的统一化,设定相应的访问控制和安全策略实现日志的归类分析。这样才能做到对全网安全事件的“可视、可控和可管”。
4 结束语
信息安全的主要内容就是保护企业的数字化成果的安全和完整。企业在实施信息安全防护过程中是一个长期的持续的工作。我们需要在前期做好详尽的安全防护规划,实施过程中根据不断出现的情况及时调整安全策略和访问控制,保证备份数据的安全性可靠性。同时全体企业员工一起遵守企业制定的信息安全防护管理规定,这样才能为企业的信息安全提供生命力和主动性,真正为企业的核心业务提供安全保障。
参考文献
[1]郝宏志.企业信息管理师[M].北京:机械工业出版社,2005.
[2]蒋培静.欧美国家如何培养网络安全意识[J].中国教育网络,2008(7):48-49.
作者简介
常胜(1982-),男,回族,天津市人。现为中国市政工程华北设计研究总院有限公司工程师。研究方向为网络安全与服务器规划部署。
信息安全防护要考虑不同层次的问题。例如网络平台就需要拥有网络节点之间的相互认证以及访问控制;应用平台则需要有针对各个用户的认证以及访问控制,这就需要保证每一个数据的传输的完整性和保密性,当然也需要保证应用系统的可靠性和可用性。一般电力企业主要采用的措施有:
1.1信息安全等级保护
信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。要积极参与信息安全等级定级评定,及时在当地公安机关进行备案,然后根据对应等级要求,组织好评测,然后开展针对性的防护,从而提供全面的保障。
1.2网络分区和隔离
运用网络设备和网络安全设备将企业网络划分为若干个区域,通过在不同区域实施特定的安全策略实现对区域的防护,保证网络及基础设置稳定正常,保障业务信息安全。
1.3终端安全防护
需要部署(实施)防病毒系统、上网行为管理、主机补丁管理等终端安全防护措施。通过这些安全措施使网络内的终端可以防御各种恶意代码和病毒;可以对互联网访问行为监管,为网络的安全防护管理提供安全保障;可以自动下发操作系统补丁,提高终端的安全性。
2.构建信息安全防护体系
电力企业应充分利用已经成熟的信息安全理论成果,在此基础上在设计出具有可操作性,能兼顾整体性,并且能融合策略、组织、技术以及运行为一体化的信息安全保障体系,从而保障信息安全。
2.1建立科学合理的信息安全策略体系
信息安全策略体系包括信息安全策略、信息安全操作流程、信息安全标准以及规范和多方面的细则,所涉及的基本要素包括信息管理和信息技术这两方面,其覆盖了信息系统的网络层面、物理层面、系统层面以及应用层面这四大层面。
2.2建设先进可靠的信息安全技术防护体系
结合电力企业的特点,在企业内部形成分区、分域、分级、分层的网络环境,然后充分运用防火墙、病毒过滤、入侵防护、单向物理隔离、拒绝服务防护和认证授权等技术进行区域边界防护。通过统一规划,解决系统之间、系统内部网段间边界不清晰,访问控制措施薄弱的问题,对不同等级保护的业务系统分级防护,避免安全要求低的业务系统的威胁影响到安全要求高的业务系统,实现全方位的技术安全防护。同时,还要结合信息机房物流防护、网络准入控制、补丁管理、PKI基础设施、病毒防护、数据库安全防护、终端安全管理和电子文档安全防护等细化的措施,形成覆盖企业全领域的技术防护体系。
2.3设置责权统一的信息安全组织体系
在企业内部设置网络与信息安全领导机构和工作机构,按照“谁主管谁负责,谁运营谁负责”原则,实行统一领导、分级管理。信息安全领导机构由决策层组成,工作机构由各部门管理成员组成。工作机构一般设置在信息管理部门,包含安全管理员、系统管理员、网络管理员和应用管理员,并分配相关安全责任,使信息安全在组织内得以有效管理。
2.4构建全面完善的信息安全管理体系
对于电力企业的信息安全防范来说,单纯的使用技术手段是远远不够的,只有配合管理才能提供有效运营的保障。
2.4.1用制度保证信息安全
企业要建立从指导性到具体性的安全管理框架体系。安全方针是信息安全指导性文件,指明信息安全的发展方向,为信息安全提供管理指导和支持;安全管理办法是对信息安全各方面内容进行管理的方法总述;安全管理流程是在信息安全管理办法的基础上描述各控制流程;安全规范和操作手册则是为用户提供详细使用文档。人是信息安全最活跃的因素,人的行为会直接影响到信息安全保障。所以需要通过加强人员信息安全培训、建立惩罚机制、加大关键岗位员工安全防范力度、加强离岗或调动人员的信息安全审查等措施实现企业工作人员的规范管理,明确员工信息安全责任和义务,避免人为风险。
2.4.3建设时就考虑信息安全
在网络和应用系统建设时,就从生命周期的各阶段统筹考虑信息安全,遵照信息安全和信息化建设“三同步”原则,即“同步规划、同步建设、同步投入运行”。
2.4.4实施信息安全运行保障
主要是以资产管理为基础,风险管理为核心,事件管理为主线,辅以有效的管理、监视与响应功能,构建动态的可信安全运行保障。同时,还需要不断完善应急预案,做好预案演练,可以对信息安全事件进行及时的应急响应和处置。
3.总结
(一)信息安全组织临时化
通常,制造型企业只有在发生了信息泄露、病毒攻击、系统破坏等信息安全事件时,才会临时从信息技术部和业务部门抽调人手处理和解决信息安全事件.出现新的信息安全要求时,才会临时组建项目小组,根据新的信息安全要求制定解决方案并实施计划,项目完成后,临时小组就会解散,没有人会继续跟进和执行解决方案.由于没有定期的信息安全评估,安全计划不断地重复开始和结束,带来大量的人财物重复投入,这将导致安全计划成本不断增加,企业的工作效率不断降低,信息安全防护也未得到有效提升.
(二)员工上网无限制
虽然制造型企业为员工上网提供了用户名及密码,并且对其登录的网站进行了监测,但是员工在工作时间还是可以无设防地利用外网进行网页游览、网络社交等行为,并且使用一些网站的免费邮箱随意地接收和发送电子邮件,这些给黑客、病毒、钓鱼软件等创造了对企业内部网络攻击的机会.于是,员工在不了解原因的情况下,使得企业的信息被泄露或者内部网络瘫痪,从而影响企业的正常工作,造成企业资产的损失.
(三)个人移动设备(BYOD)使用泛滥
在制造型企业的办公场合,员工会携带个人移动设备(BYOD)如笔记本电脑、平板电脑、智能手机、移动硬盘等进行办公.企业员工可以较为随意地使用这些移动存储设备对内部文件进行拷贝,并且可以使用移动设备接入企业内网的无线WiGFi,并拥有一定程度的内网数据读取权限,这样做虽然节约了企业的办公成本,提高了办公的效率,但是也增加了企业内网病毒感染及遭受黑客恶意入侵的风险.
(四)信息安全防护水平有限
出于性能、技术等因素的考虑,加之国内自主研发的信息安全产品较少,目前进口的信息安全产品受到许多制造型企业的广泛采用.尽管这些企业的信息安全需求以此得到了满足,但近几年来,进口产品设备故障的频繁发生也对制造型企业的业务带来了不同程度的影响.同时,进口信息安全产品已经占据了这些企业信息系统的关键节点,这使得企业的商业机密时刻处于高危状态.不仅如此,部分制造型企业仍旧停留在使用免费的个人版杀毒软件阶段,而这些软件不仅无法解决病毒交叉感染的问题,也没有统一的管理平台对企业内网的安全系统进行统一的升级与维护.另外,信息安全产品在企业内的无序堆叠不仅使得各安全产品存在兼容性问题,同时也使得各产品厂商只能提供与自己产品有关的技术支持,导致企业对问题很难进行跟踪和排查.最后,企业电脑终端上的防毒程序未开启或者未升级至最新版本,以及系统漏洞修补的不及时都造成了多病毒大面积入侵企业内网.
(五)信息安全事件处理不及时
制造型企业在发生信息安全事件时,即使有相关的信息安全管理产品,但无法迅速定位安全事件,更无法快速进行安全事件响应处理,常处于混乱、无序的运维管理状态.由于企业的安全管理人员无法全面了解整个企业网络中正在发生的内部越权访问和外部攻击,出现问题时,他们多表现得无从下手或者手忙脚乱.而且,企业各部门各自为政,对发生信息安全事件无法进行统一规范的快速处理.
二、制造型企业信息安全薄弱的原因
(一)员工信息安全意识淡薄
制造型企业员工信息安全意识比较淡薄,主要表现为企业管理层没有充分认识到信息安全的重要性,没有将信息安全管理工作与企业生产安全管理工作放在同等重要的高度来对待,更没有把它作为日常管理工作的一部分.管理层之所以没有信息安全意识主要是因为信息安全不会直接为企业带来经济效益,反而需要投入大量的时间和资源,尤其是对于受部门业绩压力和资源限制的业务部门来说,他们不愿意把时间和资源放在信息安全防护工作上,并且他们还认为不采取安全防护措施不一定会造成损失.普通员工则表现在他们不了解什么信息安全,不知道遵守和执行信息安全制度对自己及企业带来的影响,缺少必要的信息安全教育与培训,有意或无意地导致信息安全事件的发生.
(二)信息安全技术体系不完善
信息安全防护水平受到限制除了受上述因素影响外,还有就是没有完善的物理安全、运行安全和数据安全相统一的信息安全技术体系,具体体现在企业使用的软件设计存在缺陷或者技术漏洞、杀毒软件不及时更新;信息系统设计没有以风险评估为基础、业务流程描述错误或漏洞、数据访问权限设置不清晰、关键数据没有备份等因素;物理安全边界不明确、设备或存储介质缺乏安全措施、电缆损坏、不可抗力的自然灾害等.
(三)信息安全事件应急响应机制缺失
信息安全事件处理不及时很大程度上是因为没有建立信息安全事件应急响应机制.制造型企业没有对信息安全事件进行分级响应与处置,也没有结合企业的实际情况通过预测、评估和分析安全事件对企业造成的后果程度进行等级划分,并针对不同的安全事件制定相应的应急预案.同时,大部分制造型企业在处理信息安全事件时更多依靠的是人的经验和责任心,缺少标准化的信息安全事件处理流程,以及必要的审核和工具支撑.
三、改进制造型企业信息安全的对策
通过上述分析可知,信息安全问题不仅出现在技术方面,还更多地出现在管理方面.因此,为了保障企业的业务持续运行,加强企业的股东、客户以及服务提供商对企业信息安全的信任,增强企业的核心竞争能力,制造型企业可以将管理、技术和运维三方面有效地结合起来,促进企业的可持续发展.
(一)建立健全的信息安全组织层级结构
企业信息安全组织架构的建立是围绕企业信息安全管理的战略目标,对企业的信息资源、人力资源、安全技术产品等进行合理安排和配置,构成相互协作的有机整体,使企业的信息安全活动协调有效地运行.制造型企业通过建立多层次、跨部门的信息安全决策委员会、信息安全工作部、信息安全执行部的层级结构,不仅能在企业中形成一张网,覆盖企业的各个部门,有利于信息安全措施的实施和针对信息安全事件的快速响应,而且还能为后续建立信息安全管理体系提供组织上的保证.信息安全决策委员会主要负责制定信息安全制度和策略、明确各部门信息安全职责、协调各部门实施信息安全控制措施以及信息安全活动的实施等.信息安全工作部由各部门负责信息安全管理的工作人员构成,实施决策委员会制定的信息安全策略、制度和方针,并负责各部门的信息安全管理工作.信息安全执行部具体有三个部门,即信息安全规划部、信息安全监督审计部、信息安全运行保障部,并且由各部门进行业务支撑。
(二)加强人员教育培训和规范管理
信息安全最大的威胁不是来自于企业外部的攻击或是企业信息安全技术的缺陷,而是企业人员缺乏信息安全意识.为了能够有效地提高企业员工的信息安全意识,企业需要对员工进行完善的信息安全教育培训,这不仅能提高员工的信息安全保护技能,还能更好地保护企业的信息安全.制造型企业在制定信息安全教育培训内容时,可以根据员工在企业中所处的职位高低和工作性质的不同有针对性地制定.对于企业管理者而言,教育培训以信息安全核心知识、风险管理、信息安全政策等为主;企业的信息技术人员,则是以信息安全技术教育培训为主;一般员工结合所在部门的业务特点以信息安全意识培训为主.除了对企业的人员进行教育培训,还需对其进行规范化管理.对掌握产品生产、原材料采购等核心信息的管理者实施更加严格的信息安全监督管理制度;对负责计算机系统及日常维护的人员界定其工作权限;规范化管理员工的上网行为,合理利用网络资源,避免人为的网络安全隐患.同时在规范管理中引入绩效考核机制,这样不仅使信息安全管理的指标量化,而且,通过信息安全监督审计工作组对员工信息安全工作进行考核,使员工更加重视企业信息安全.因此,加强企业员工的教育培训和规范化管理,不仅可以营造企业信息安全文化氛围,还可以约束员工的行为,减少人为因素导致的信息安全事件发生.
(三)完善信息安全技术体系
信息安全技术是企业信息安全的保障,完善的信息安全技术体系可以防止由于技术因素导致的信息安全漏洞,避免给外部攻击者留下可乘之机,从而减少技术因素导致的信息安全事件发生.制造型企业需从以下六个方面去建立完善的信息安全技术体系,并采用“适度防御”的原则,选择合适的安全技术与产品,形成企业适用的安全技术防线.一是保障并完善数据安全,制造型企业需通过加密的手段保护企业系统中数据的机密性和完整性,从而提高数据访问的抗抵赖性,同时加强数据的异地灾难恢复机制,实现本地数据的实时远程复制与备份,避免本地系统遭受灾难性破坏导致企业系统中数据的遗失.二是保障并完善终端安全,制造型企业除了要采用全面可靠的防病毒体系和防火墙技术外,还需制定严格的移动终端设备使用制度,一方面是为了避免内部员工利用移动终端设备随意拷贝企业内部文件,导致企业内部信息向外泄露,另一方面是为了防止移动终端设备携带的病毒漏过企业系统设置的防火墙而直接在系统内部传播.三是保障和完善应用安全,除了提供用户名和口令外其他身份验证机制,必要时还需支持双因素认证和具备登录控制模块,同时在日常工作不受影响的情况下,控制员工访问权限,减少越权操作的现象,最大限度地保障个人系统的安全.四是保障和完善网络安全,制造型企业还需通过内外部署相应的网络与信息安全设施使计算机设备的物理管理得到加强,并对入侵检测系统和漏洞扫描系统进行内外部攻击和误操作的实时保护的安全设计,使系统免于网络攻击的同时,也提升了系统管理人员的安全管理水平.五是保障主机安全,除了采用系统扫描技术对操作系统层设备和系统进行智能化检测来帮助网络管理人员高效地完成定期检测和操作系统安全漏洞修复的工作,还应采用系统实时入侵探测技术来监控主机系统事件,检测攻击的可疑特征,并给予响应和处理.六是保证物理安全,制造型企业需要保证机房与设施的安全,针对环境的物理灾害、自然灾害和人为的蓄意破坏采取安全措施,并通过防盗、防毁、防电磁干扰来保证设备的安全.
(四)建立信息安全事件应急响应机制
关键词:信息安全防护体系;风险评估;信息安全隐患;应急预案
中图分类号:F470.6 文献标识码:A 文章编号:
信息安全管理是信息安全防护体系建设的重要内容,也是完善各项信息安全技术措施的基础,而信息安全管理标准又是信息安全管理的基础和准则,因此要做好信息安全防护体系建设,必须从强化管理着手,首先制定信息安全管理标准。电力系统借鉴 ISO27000国际信息安全管理理念,并结合公司信息安全实际情况,制订了信息安全管理标准,明确了各单位、各部门的职责划分,固化了信息系统安全检测与风险评估管理、信息安全专项检查与治理、信息安全预案管理、安全事件统计调查及组织整改等工作流程,促进了各单位信息安全规范性管理,为各项信息安全技术措施奠定了基础,显著提升了公司信息安全防护体系建设水平。
1电力系统信息安全防护目标
规范、加强公司网络和信息系统安全的管理,确保信息系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃, 抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播,防止公司对外服务中断和由此造成的电力系统运行事故,并以此提升公司信息安全的整体管理水平。
2信息安全防护体系建设重点工作
电力系统信息安全防护体系建设应遵循“强化管理、标准先行”的理念。下面,结合本公司信息安全防护体系建设经验,对信息安全防护体系建设四项重点工作进行阐述。
2.1 信息系统安全检测与风险评估管理
信息管理部门信息安全管理专职根据年度信息化项目综合计划,每年在综合计划正式下达后,制定全年新建应用系统安全检测与风险评估计划,确保系统上线前符合国网公司信息安全等级保护要求。 应用系统在建设完成后 10个工作日内,按照《国家电网公司信息系统上下线管理办法》要求进行上线申请。 由信息管理部门信息安全管理专职在接到上线申请 10个工作日内, 组织应用系统专职及业务主管部门按照《国家电网公司信息安全风险评估实施指南》对系统的安全性进行风险评估测试,并形成评估报告交付业务部门。 对应用系统不满足安全要求的部分, 业务部门应在收到评估报告后 10个工作日内按照《国家电网公司信息安全加固实施指南(试行)》进行安全加固,加固后 5个工作日内,经信息管理部门复查,符合安全要求后方可上线试运行。应用系统进入试运行后,应严格做好数据的备份、保证系统及用户数据的安全,对在上线后影响网络信息安全的,信息管理部门有权停止系统的运行。
2.2 信息安全专项检查与治理
信息管理部门信息安全管理专职每年年初制定公司全年信息安全专项检查工作计划。检查内容包括公司本部及各基层单位的终端设备、网络设备、应用系统、机房安全等。 信息安全专职按照计划组织公司信息安全督查员开展信息安全专项检查工作,对在检查中发现的问题,检查后 5 个工作日内录入信息安全隐患库并反馈给各相关单位,隐患分为重大隐患和一般隐患,对于重大隐患,信息安全专职负责在录入隐患库 10 个工作日内组织制定重大隐患治理方案。 各单位必须在收到反馈 5 个工作日内对发现的问题制定治理方案, 并限期整技信息部信息安全专职。信息管理部门安全专职对隐患库中所有隐患的治理情况进行跟踪,并组织复查,对未能按期完成整改的单位,信息安全专职 10 个工作日内汇报信息管理部门负责人, 信息管理部门有权向人资部建议对其进行绩效考核。
2.3 信息安全应急预案管理
信息管理部门信息安全管理专职每年 年初制定公司全年信息安全应急预案编制、演练及修订计划,并下发给各单位。各单位信息安全专职按照计划组织本单位开展相关预案的制定,各种预案制定后 5 个工作日内交本部门主要负责人审批,审批通过后 5 个工作日内报信息管理部门信息安全专职。各单位信息安全专职负责组织对系统相关人员进行应急预案培训,并按年度计划开展预案演练。 根据演练结果,10 个工作日内组织对预案进行修订。各单位信息安全预案应每年至少进行一次审查修订, 对更新后的内容, 需在 10 个工作日内经本部门领导审批,并在审批通过后 5 个工作日内报信息管理部门备案。
2.4 安全事件统计、调查及组织整改
信息管理部门信息安全专职负责每月初对公司本部及各基层单位上个月信息安全事件进行统计。 各系统负责人、各单位信息安全管理专职负责统计本系统、单位的信息安全事件,并在每月 30 日以书面形式报告信息管理部门信息安全专职, 对于逾期未报的按无事件处理。 出现信息安全事件后 5 个工作日内,信息管理部门信息安全专职负责组织对事件的调查,调查过程严格按照《国家电网公司信息系统事故调查及统计规定(试行)》执行,并组织开展信息系统事故原因分析,坚持“四不放过”原则,调查后 5 个工作日内组织编写事件调查报告。调查、分析完成后 10 个工作日内组织落实各项整改措施。信息安全事件调查严格执行《国家电网公司网络与信息系统安全运行情况通报制度》制度。
3评估与改进
通过执行“强化管理、标准先行”的信息安全防护体系建设理念和实施电力公司信息安全管理标准, 明确了各项工作的“5W1H”。 使信息管理部门和各部门及下属各单位的接口与职责划分进一步清晰,有效协调了相互之间的分工协作。 并通过 ITMIS 系统进行对上述流程进行固化,在严格执行国网公司、省公司各项安全要求的基础上简化了工作流程, 搭建了信息安全防护建设工作的基础架构,实现了信息安全防护建设工作的体系化。同时在标准的 PDCA 四阶段循环周期通过管理目标、职责分工,管理方法,管理流程、考核要求,文档记录 6 种管理要素对信息系统安全检测与风险评估管理、信息安全专项检查与治理、信息安全预案管理、安全事件统计调查及组织整改4 项管理内容进行持续改进,使信息安全防护体系建设工作的质量有了质变提升。 在信息安全防护建设工作的基础架构搭建完成后,江苏省电力公司常州供电公司下一步将重点完善信息安全防护体系中技术体系建设,管理与技术措施并举,构建坚强信息安全防护体系。
(1)检查单位多、标准不一目前,供电企业经常面临着诸如安全等级保护、IT治理、安全督查、一体化风险评估、入网安评等合规标准的检查和执行问题。以上检查标准的关注点、执行单位、检查要求各不相同。
(2)检查手段、结果重复每年国家、行业或上级单位会定期下发相关检查要求,并通过现场检查、远程扫描、配置核查、渗透测试等手段对供电企业进行合规性安全检查,检查内容和结果容易存在一定的重复性,建立和整合统一风险库也存在一定难度。
(3)安全合规工作繁重供电企业安全人员在执行安全合规工作的过程中,不可避免地要在每次合规检查中面临自查、加固、迎检、整改、复查等一系列工作,当此系列工作在一定时间内重复出现的时候,合规管控工作将变得繁重且效率不高。
(4)相关人员协调难度大信息安全管控工作往往跨越多个部门,横向沟通成本较大、难度也高。最常见的问题就是实施方和相关配合人员因关注点不同而导致的工作分歧,若合规检查时需要相关部门及人员多次重复性工作,往往导致人员情绪抵触并影响工作效率。
2多标准合规管控概念的提出
针对以上信息安全合规管控工作中遇到的难题和挑战,本文提出了多标准合规管控的概念,试图通过对各个合规标准进行研究和学习,探寻一条可以减轻合规管控过程中工作量繁重、重复的道路,研究一套把多个合规标准整合和统一的方法论。多标准合规管控,就是以现有的信息安全等级保护、IT治理、安全督查、一体化风险评估、入网安评、安全基线等标准为理论和参照基础,通过进一步的比对梳理、分析、加工和整合,形成一个更具体的安全执行标准库,覆盖目前所有的检查要求,是所有检查标准的最大并集,利用此执行标准指导信息安全的合规管控工作,争取达到一次配置满足多个标准的目的。
3多标准合规管控体系建立
本文以信息安全等级保护、IT治理、安全督查、一体化风险评估、入网安评、安全基线等标准为理论和参照基础,阐述多标准合规管控体系的建立过程。建立PDCA过程指导思想:通过对现有各个合规标准的体系文件、测评要求、规范标准进行对比、分析、梳理和整合,制作出多标准合规管控体系的相关组件文档,具体包括体系文件、配置方法、规范标准。主要研究步骤如下:
(1)理解各信息安全检查的要求、目的和目标
①安全等级保护信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
②IT治理IT治理是企业治理在信息时代的重要发展,用于描述企业或政府是否采用有效的机制,使得IT的应用能够完成组织赋予它的使命,同时平衡信息技术与过程的风险、确保实现组织的战略目标。
③安全督查信息安全督查是供电企业根据国家信息安全管理体系要求、结合供电企业信息技术监督规范的要求建立的日常工作机制,负责各单位的信息安全技术指导、监督、检查、督促改进等工作。
④入网安评为保障信息系统的正常运行,需加强系统及设备入网管理,规范新设备入网前的相关活动并进行安全评测,保障每一台入网设备都符合企业安全规范要求,不会给现有网络带来新的安全隐患。
(2)对各合规标准进行对比分析,找出异同点通过仔细的分析对比,找出各合规标准要求项的差异并进行标注,研究差异的原因,探讨差异点存在的价值。由于企业安全基线经过多年的实践和修正,具有较高的规范性和实操价值,符合供电企业的IT现状,故以安全基线文档为底板进行增删减优化操作。
(3)整合和梳理各合规标准,形成备查项将各合规标准整合到统一文档表格中,并以安全基线、等级保护测评要求文档为主要参照物,对其他合规要求进行梳理和排序。通过不同标准文件对相同控制点的不同描述进行再加工,整合出一个覆盖各个标准要求的执行标准。此步骤不仅方便标准集合的制作,也保留了各个标准要求的原貌,方便日后查阅检索。下表示例说明某个信息安全控制点执行标准集合:
(4)整合多个合规标准,形成具体执行标准要求通过上一步骤对统一文档产生的执行标准集合进行提炼和整合,排序形成涵盖多个合规标准的具体执行规范文档。
4多标准合规管控设计重点难点分析
(1)设计过程考虑最小和最大安全保障问题信息系统安全基线是一个信息系统的最小安全保证,即该信息系统最基本需要满足的安全要求;而信息安全执行标准在某一个程度上是一个信息系统的最大安全保证,即信息安全执行标准已经覆盖了合规管控的多个标准要求。如何在最小安全保证和最大安全保证之间进行取舍与平衡,是企业面临的首要问题。本文建议解决办法是保留各个标准的要求文档,供执行人员备查,在实际执行过程中根据系统级别进行相应的取舍。
(2)设计过程考虑结果文档的来源问题信息安全执行标准是一个实践性文档,在实践的过程中难免会存在疑问和顾虑,如何快速并准确地定位到配置要求的来源和依据是面临的第二个问题。由于短期无法一次性创造一个安全合规体系,只能先对多个标准体系进行整合和梳理,因此建议保留初始合规标准的原型,在执行人员出现疑问的时候能够找到相关的依据。
5结语
1.1系统结构。
大型企业的网络系统构成是一个复杂、综合的内容,它包含了内部局域网、各地子公司的局域网以及广域网连接等复杂内容。在工作中,总部的局域网一般都是和电信公司的因特网相连接,同时还和下辖子公司、其单位连接,是通过信息技术、网络技术连接形成的一个综合信息平台。
1.2系统功能。
在功能上分析,大型国有企业的信息系统涵盖业务范围广、内容复杂、布局合理,主要业务系统包含了ERP系统、OA系统以及财务系统等,这些系统涉及到局域网、广域网以及企业自身发展的特征,因此在连接的时候往往都是根据企业业务开展需要和内部经营管理需要联系的。
1.3系统用户。
大型企业的信息系统是一个复杂、繁琐、综合的内容,其用户类型十分的广泛和复杂,简单的将其进行划分主要可以划分为系统管理用户和系统应用用户两种。首先,系统管理用户主要包含了管理员、指挥部、网络管理员、安全管理员以及应用程序管理员等。其次,系统应用用户包含了内部应用用户和外部应用用户两方面。其中内部的应用用户主要指的是企业员工、办公用户、生产系统用户和分公司办事处的员工等。外部应用用户主要指的是用户方位的企业网站。
2信息系统的安全环境
2.1系统安全现状。
目前,我国大型企业信息系统对于安全防范认识还较为欠缺,各种防范措施的应用较少,主要安全防范措施的应用主要是防火墙、防病毒以及数据备份等手段,这些技术的应用基本上都偏重于安全设备的提前预防,而对于那些专业、专门的管理制度和管理策略并没有得到重视,同时对国家有关信息安全的法律和法规没有从根本上重视,错误认为这是一些不必要、不科学的内容。虽然目前大部分企业的信息系统在技术和管理上已经采取了初步的安全管理措施,但是从综合管理方面分析其中还存在着较多的不足,更没有专业的岗位和安全管理,缺乏严格、一致的管理控制机制。
2.2系统安全威胁。
威胁是造成系统安全的主要潜在原因,它的存在极大的限制了企业信息系统功能的发挥,甚至是导致企业信息和经济损失。在目前工作中,系统安全威胁的断定往往都是根据企业业务信息系统的存在进行分析的,它可谓是一个不可消灭的问题和事物,无论企业系统多么的先进和完善,这种潜在威胁都是存在的。
3信息系统安全规划分析
3.1总体规划概述。
在计算机网络信息安全服务的设计与实施过程中,安全服务提供商的整体安全意识及安全体系模型极为重要,只有具有清晰的模型构建,才能够从根本上有效地对客户所需要的安全服务进行分类和设计。在ISO7498-2中描述了开放系统互联安全的体系结构,提出设计安全的信息系统的基础架构中应该包含:a.五类安全服务(安全功能);b.能够对这五类安全服务提供支持的八类安全机制;c.需要进行的三种OSI安全管理方式。在上述国际标准的指导下,绿盟科技提出了一套适合于大型企业信息系统的信息安全体系框架(NSFocusInformationSecurityFramework,简称NISF),以指导信息系统的安全建设。NISF将整个安全体系规划为三个部分,分别是组织体系、管理体系和技术体系,全面地涵盖了大型企业企业信息系统规划和建设的安全要求。NISF的最上层为大型企业信息系统的安全目标,任何阶段的安全设计和实施都是为了完成这些目标而进行的,其下是支持实现这个目标的三部分安全体系:a.安全组织体系主要包括机构建设和人员管理两方面内容,对企业内部的安全机构建设和人员岗位、安全培训等方面提出了要求。b.安全管理体系主要包括制度管理、资产管理、物理管理、技术管理和风险管理等方面内容。它与安全组织体系共同依据了国际信息安全管理标准ISO17799的要求,涵盖了该标准中的每一类规范。
3.2整体安全体系建设工期划分。
为了尽快地实现上述大型企业信息系统整体安全体系的建设,更好地实现企业的高层安全目标,有效地降低大型各层面的安全风险,绿盟科技建议大型企业信息系统的整体安全体系建设划分为三期工程,以最终建立大型企业安全计划(搭建ESP安全管理平台)成功为结束标志。
3.3一期安全规划内容。
本阶段主要是在大型企业建立初步的信息安全组织体系和管理体系,通过实施部分关键的安全技术产品建立企业基本的安全预警、防护、监控和响应体系,目标是满足信息系统的最高安全需求,安全等级达到初级。
3.4二期安全规划内容。
本阶段将全企业范围内的组织管理体系进一步建立健全,使安全管理流程合理化,安全技术产品进一步分布实施,采用专业的安全服务对系统进一步加强,使得企业整体安全性得到大幅度提升,通过配套的安全事故处理体系的建设,使企业面对安全事件的响应速度大大加快。目标是将整个信息系统的安全水平提高到中级。
4结束语
中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)06-1317-02
On Security Architecture for Enterprise Information Systems to Establish
LI Yu-lu
(Changzhou, Jiangsu Electric Power Company Power Company Information Center, Changzhou 213003, China)
Abstract: To improve the security of enterprise information systems that needs to start from the structure. This article describes the system structure of information system security status and structure of the standardized safety systems analysis, which describes the security requirements to meet the various security elements in the relationship between the proposed enterprise information security architecture model, in order to guide enterprise the development of safety standards, the system provides a reference.
Key words: enterprise information security; architecture; safety standard system
企业信息系统安全结构是计算机网络安全系统结构的扩展。20 世纪80 年代末、90 年代初,信息系统安全系统结构的重要性开始引起发达国家关注。如,美国国家安全局(NAS) 20 世纪90 年代公布的国防信息系统安全计划(DISSP) ,是由安全特性、系统组成部分、扩展的IS0 协议层等三维构成,它不仅考虑了信息传输安全、网络安全,还考虑了信息处理安全、端系统及接口安全问题;此外,还增加了互操作性、质量保证、性能等安全特性。2001 年美国国家安全局(NAS )制定了信息技术保证框架(IATF),是从整体、过程的角度看待信息安全问题,它强调以人、技术、操作这三个核心原则,关注四个信息安全保障领域:保护网络和基础设施、保护边界、保护计算环境、支撑基础设施,并在4 个重点技术领域实施诸如应用层护卫、电路、文件加密等多种安全技术手段。再如,美国国防部所属的国防信息系统局(DISA)1996 年制定了防御目标安全系统结构框架(DGSA V3.0),从系统单元构成的角度,提出了信息系统中各单元分的安全服务配置框架,目的是要从安全系统结构的高度对信息统的安全保护提出技术上和管理上的规范要求等。
在信息系统安全系统结构理论研究领域,有人提出开放分布式系统的安全结构;有人对网络及信息系安全系统结构进行了初步的探讨和研究,提出了计算机网络实体安全系统结构和基于智能协作技术的信息系统安全系结构概念模型等。通过对上述的研究分析,可以看到国内外己有的安全系统结构和框架都描述了信息系统相关的安全系统结构及模型等安全要素,它们各不相同,实现方法等也并且都不完备。由于研究问题的层次和角度不同,对安全系统结构的具体含义的理解也同,从而导致信息系统安全系统结构在概念上、类型上及结构上的不一致,因此,为使信息系统安全系统结构研究和应用共同的概念依据和构建基础,需要加强对信息系统安全结构的一些基本问题,诸如安全结构的类型及特征、构成要素及构建步骤等内容的学习研究,以引导企业安全系统的建立。
1 信息系统安全系统结构组成要素
实现信息安全系统结构的安全,要从多个方面考虑,通常定义的包括安全属性、系统组成、安全策略、安全模型、安全机制等5 个方面。在每一个方面中,还可以继续划分多个层次;对于一个给定的层次,包括着多种安全要素。
1.1 安全属性
安全本身是对信息系统一种属性要求,信息系统通过安全服务来实现安全性。基本的安全服务包括标识与鉴别、保密性、完整性、可用性等。在1S07498 一2 中对安全服务和安全机制的对应关系给予了描述。它的核心内容是将5 大类安全服务:身份鉴别、访问控制、数据保密、数据完整性、不可否认性及提供这些服务的8 类安全机制及其相应的0SI 安全管理等放置于0SI模型的7层协议中,以实现端系统信息安全传送的通信通路。这样从安全性到安全服务机制到具体安全技术手段形成了安全属性的不同层次。
1.2 系统组成
系统组成描述信息系统的组成要素。对于信息系统的组成划分,有不同的方法。可以分为硬件和软件,在硬件和软件中又可以进一步地划分。对于分布的信息系统,可以将信息系统资源分为用户单元和网络单元,即将信息系统的组成要素分为本地计算环境和网络,以及计算环境边界。本地计算环境和网络都还可以进一步划分等。例如本地计算环境可以分为端系统、中继系统和局部通信系统。端系统作为信息处理单元,可以继续分为应用平台和应用软件;应用平台包括操作系统、软件工程服务、分布式服务、数据管理等:应用软件中包括消息处理、web 应用等。
1.3 安全策略
在安全系统结构中,安全策略指用于限定一个系统、实体或对象进行安全相关活动的规则。 即要表明在安全范围内什么是允许的,什么是不允许的。它直体现了安全需求,井且也有面向不同层次、视图及原理的安全策略。其描述内容和形式也各不相同。对于抽象型和一般型安全系统结构而言,安全策略主要是对加密、访问控制、多级安全等策略的通用规定,不涉及具体的软硬件实现;而对于具体型安全系统结构,其安全策咯则是要对实现系统安全功能的主体和客体特性进行具体的标识和说明,亦即要描述允许或禁止系统和用户何时执行哪些动作,井要能反射到软硬件安全组件的具体配置,如,网络操作系统的帐户策略用户权限策略和审计策略等安全策略就最终体现为发全功能的各种选项等。
1.4 安全模型
安全模型用于准确描述系绞在功能和结构上的安全特性,它反映了一定的支全策略,是引导、验证安全系统开发设计的概念模型要求。对安全策略及形式化模型的研究起源于美国军方对高安全级别的计算机系统的需求,它为计算机操作系统的安全性设计提供了理论基础。这些安全模型通常被认为是经典安全模型。经典安全模型主要由身份标识、认证、授权、审核等4个环节构成。经典安全模型的前提假设是:引用监视器是主体对客体进行访问的唯一路径。身份标识与认证的机制是可靠的;审核文件和访问控制数据库本身受到充分的保护。而这些前提在实际的信怠系统中并不一定成立。因此,信息系统安全摸型的描述应反映相应层次和视图上的安全策略。
1.5 安全机制
安全机制是实现信息系统安全需求及空全策略的各种措施,具体可以表现为所需要的安全白标准、安全协议、安全技术、安全单元等。对于不同层次、不同视图及不同原理的安全系统结构,安全机制侧重点也有所不同。例如:OSI安全系统结构中建议采用7种安全机制。而对于特定系统的安全系统结构,则要进一步说明有关安全机制的具体实现技术,如认证机制的实现可以有口令、密码技术及实体特征鉴别等方法。
2 数学模型
把整个信息系统安全系统结构可看成为一个空间:组成信息系统安全系统结构的这些方面称之为维,层次划分中的特定层次下所包括的安全要素值均是每一维上的具体元素值的体现,通用的信息系统安全系统结构就是具有多维、多层和动态特性的空间(这里只是借用维空间的概念,除了考虑各维元素之间的相互作用而外并不考虑维空间中各个元素之间的运算)。通过数学描述,可以更好地对知识进行归纳和运用:一方面更容易量化,使得描述更为清晰;另一方面可以指导新的未知问题的探索,演绎出新的概念或理论。
3 结束语
企业信息系统安全系统结构的研究是一项复杂的系统工程。需要我们用系统工程的概念、理论和方法来研究、开发和实施系统安全结构的设计,安全系统结构理论就是要从整体上解决信息系统的安全问题,但目前在很多企业对安全系统结构的概念、类型、构建等问题上还没有得到系统化的研究,以上从学习研究的角度对目前国内外安全系统结构和安全系统的研究进行了粗浅的学习分析,通过分析使对整个安全系统结构的认识进一步加深和清晰化,从而提出企业信息安全系统结构和模型。要使企业信息系统安全系统结构适合企业信息系统安全、全面、准确、可行的要求,同时要适应信息技术及其安全技术的飞速发展。只有这样,才能确保信息安全系统适应更好地为企业服务。
参考文献:
IT服务外包井喷式发展
在强调企业核心竞争力的今天,越来越多的公司将IT服务外包作为企业长期战略成本管理的新兴工具。服务外包的实质是企业和服务商之间的“委托―”关系。企业需要对自己重新进行定位,截取价值链中较短的部分,缩小经营范围,在此基础上重新配置企业的各种资源,将资源集中到最能反映企业优势的领域,从而更好地构筑竞争优势,以此获得可持续发展的能力。
随着企业业务发展过程中信息系统所涉及的内容越来越多、结构越来越庞大,企业信息化再也不仅仅是IT部门自己的事情。企业市场竞争压力越来越大,在信息化建设和管理期间迎来了严峻的考验。一方面是IT部门人员少、系统多、任务重,另一方面是公司要求IT部门削减成本、并消除由于缺乏内部控制和运作准则导致的混乱状态,以更高效地服务业务部门。
在多重压力之下,许多企业认为IT部门最重要的工作是确保信息和流程的顺畅,而服务器、存储系统、网络或者交换机等设备并不是最重要。因此,许多企业倾向于将某些应用系统、基础设施和部分非核心系统外包给服务商负责维护。
IT服务外包的风险
企业借外部力量提供专业化服务、将部分非核心业务进行离岸资源外包的过程中,面临着管控、运营等一系列风险,其中最重要的是信息安全风险的威胁。
从表面上看,采用IT外包策略不但可以节约成本,还能提高效率。但事实上,许多企业对IT外包都有许多道不尽的爱恨情仇。外包是一柄双刃剑,其好处是可以向企业灌输技术与人才,帮助企业摆脱繁琐的IT业务――有效的外包能让公司更好的专注于核心业务。
但是进行IT外包并不是一件轻松的事情,如果处理不好,不仅不会带来预期的效益,反而会变成一场噩梦和致命的灾难。所以对于企业IT主管部门而言,必须具有很强的经验和管理技能,才能谈“外包” 二字。
IT外包服务要成为一种商品,就必须形成一套规范和标准,以约束买卖双方。但目前国内IT外包服务领域既无统一规范也无公认标准。概念模糊的用户,面对同样概念模糊的IT厂商,如何评估、签合同、质量控制和定价等都是潜在的“风险”。
此外,IT外包还面临着 IT管理的复杂性、软件缺失、知识产权以及IT外包服务提供商自身能否健康成长等风险。因此企业需要在风险、成本与效果、效率之间找到平衡点。
同时,由于委托方和方之间可能存在信息不对称和信息扭曲等问题,加之市场及宏观环境的不确定性,导致委托方在实施外包过程中承担着种种风险。
外包服务关键词:信息安全
企业在IT服务外包过程中面临的最大挑战,就是如何确保企业信息和数据的安全,如何建立起有效的信息安全管控框架,以符合企业信息安全要求。
首先,确认企业内部信息安全管控过程是否可持续监管和优化。在信息防泄漏的“战争”中,相比于躲在暗处的泄密者和安全威胁,站在明处的企业显然略失先机。但如果企业能够做到预先防御,在对手出招之前采取针对性的保护措施,就能从根本上“转被动为主动”,做好内部数据安全防护。
因此,良好的信息防泄体系的前提就是要时刻掌握企业动态,做到要有的放矢。很重要的一点是要实现内部操作的“可视化”,以随时监测整个信息系统的安全状况,做到迅速反应,甚至还能预测到潜在的风险,化被动防御为积极防御。
其次,企业信息安全体系设计需进行全局评估和建设,规避疏漏和风险。安全领域中的木桶理论和马其顿防线的故事相信大家都了解――无论怎么豪华的防线,一个漏洞就可以毁灭所有一切。在企业中,有时候可能是一个小小的系统漏洞就可能毁灭了几百万投资的努力,或者一个无意的非法补丁行为就让企业蒙受损失。
因此,在解决安全问题之时,不能仅仅依赖透明加密等技术手段,“头痛医头,脚痛医脚”地堆砌不同安全产品及封堵安全漏洞,而是需要站在一个更高的战略角度来通盘考虑。如果缺乏整体的分析视角,企业可能会忽视或者低估某个安全攻击的真正威胁,采取的安全措施也可能无法解决真正的问题。
所以,在实际的防泄漏建设中,必须从整体上来评估企业的信息安全状况,运用统一平台来进行风险和安全管理,检测出内部问题,从而描绘出整个企业当前安全情况的更清晰和更准确的图景,采取针对性的防护措施,最大限度降低企业的安全风险。
另外,要有安全和防护等级措施。企业在构建立体化、全方位的整体信息防泄体系时并不是一刀切,不分轻重地在全公司范围内采取相同的策略,这样虽然看似达到了最为安全的效果,但对业务造成的巨大影响,以及因此产生的高额成本,对企业来说,都是巨大的负担。
对信息安全来说,威胁和风险往往和高价值的信息资产联系在一起,安全保护工作也就应该轻重有别,将重点放在高价值的信息资产上。在安全建设过程中,对程度高的部门或岗位进行力度大的防御,对程度低的部门采取相应的安全防御。同时衡量提升安全性可能带来的业务操作上的麻烦、企业安全成本等问题,是企业必须要做的事情。
在企业实施安全防护等级风险评估过程中,往往需要结合企业的实际情况,对三种技术手段整合运用:首先,在全公司范围内进行安全审计,掌握企业操作,发现安全隐患;其次,对特殊岗位和部门,进行严格管控,限制信息的带出;最后,在核心部门内部,对机密信息进行透明加密。这样既可保证公司的正常业务运作,又能有的放矢地实现最优化的信息防泄漏管理,还大大节约了投资成本。
此外,利用科学可行的安全策略和必要的技术手段实现动态性防护。动态性的信息泄露防护,对于目前泄密方式日益增多的企业来说,非常重要。某些企业往往在安全事件发生之后才对现在的策略进行被动的调整。这种“吃一堑、长一智”的防护模式,对于企业而言,有可能是致命的。一旦出了安全事故,恐怕亡羊补牢,为时已晚。
企业需要建立一个动态性的安全防护,前瞻性地发现安全威胁,并通过对技术或管理上的策略进行及时调整更新,防范潜在的安全风险。
最后要强调的是,信息安全体系必须便于使用和维护。如今,市场上五花八门的信息防泄漏产品让企业眼花缭乱,企业期望这种“强强组合”能给企业套上万无一失的金钟罩。殊不知这种做法往往意味着企业必须付出较高的成本,并增加了技术的复杂性,还容易导致产品软件冲突等问题,企业虽然“装”了安全产品,但根本“用”不了。
目前,能够提供整体解决方案的单一安全产品可谓不错的选择,它能够帮助企业建立统一的安全管理平台,无论企业安全边界防护、还是内部使用,都做了整体全面的考虑,同时简化了日常的操作与管理、降低了系统的资源占用、避免了软件冲突等多种问题,使用维护亦非常方便,大大节约了IT人员的时间和精力。
综上所述,如企业信息防泄漏建设符合以上检测标准,说明该企业已经建立了一个完善的整体信息防泄漏体系,机密信息也得到了最大化的保护,实现了“成本、效率、安全”三者的最佳平衡,这也是近年来被大家认可的“整体信息防泄漏”理念的核心。
实际上,信息防泄本身就是一种博弈,是企业和人的博弈。它是一场思维的交锋,企业只有掌握了内部的行为操作,同时针对内部安全威胁建立全面、立体化的安全防护,信息防泄才会立于不败之地。
天玑外包信息安全管控体系
天玑科技提供的IT外包(IT Outsourcing)服务,即“承接企业IT系统维护与管理,按双方服务协议内容完成相关服务”的业务模式。
随着客户对信息安全管理的要求越来越高,天玑科技把IT外包的信息安全管理放在首位,积极贯彻基于风险的管理方法,针对IT服务外包中的安全管理进行了系统思考和有益的尝试。
外包基础和简单重复的服务:考虑到信息安全管理问题,天玑科技初期外包服务范围主要以基础服务外包为主,即将IT系统日常的硬件与软件维护、Helpdesk呼叫中心、信息系统的编码等活动外包,而对于IT系统的规划与管理、核心应用系统(如ERP、CRM)的设计与维护仍然由企业IT部门承担。这样避免了IT服务人员接触组织的核心系统信息,降低了IT服务外包对IT系统敏感部分带来的安全风险。
具备信息安全管理资质:由于IT外包服务过程中,IT服务人员必然会接触到企业的系统设备甚至是内容,如何成为一家可靠安全的IT服务外包供应商也是在进行IT服务外包前必须考虑的重要方面。天玑科技是一家已经建立起完善的信息安全管理体系,并通过了BSI安全认证审核的IT服务外包供应商,专门从事IT服务外,拥有很多有影响的大客户。天玑科技会根据服务内容签订责任明确的服务合同,在服务合同中详细阐明双方在服务提供过程中对信息安全的责任十分关键。
强化日常服务的安全管理:信息安全管理的要求应该体现在IT服务日常管理的各个方面,主要包括:日常活动规范的建立;服务变更控制;服务人员管理;安全事件处理;业务持续管理;知识产权保护和监控与审核等内容。
日常活动规范的建立:针对服务协议中明确的服务内容,建立规范的服务流程是开展IT服务活动的基础。企业信息化主管部门根据双方签订的服务协议,与供应商IT服务主管人员一起建立一套完整的服务规范。服务规范中对服务过程中的安全风险均采取了适当的控制措施,确保了服务活动满足企业信息安全管理策略的要求。
服务变更控制:天玑科技遵从在调整其服务流程和变更服务技术前必须事前进行沟通,在企业评估变更的影响并确认采取了响应控制措施后才能进行服务过程的变更。
服务人员管理:服务人员是IT服务活动的直接执行者。为确保服务人员能够满足要求,天玑科技明确规定了IT服务人员的能力要求和标准,确保只有技术能力强、认真负责的服务人员才能进入服务项目组。同时,对服务人员筛选、培训和变动也提出了具体要求。
安全事件管理:发生安全事件后,双方人员的协调和互动将直接影响对事件处理的结果。在服务过程中发生和发现的信息安全事件必须第一时间上报企业主管部门,在企业主管部门的组织下完成对安全事件的处理。
业务持续管理:由于企业将核心网络和系统硬件均托管给了IT服务供应商进行日常维护。IT服务供应商是否具备满足组织业务需求的业务持续管理能力,成为保证企业信息系统业务持续的关键。在企业整个业务持续管理的框架下,对IT服务供应商的业务持续管理能力提出了明确的要求,在服务协议中进行了明确的定义。同时,针对具体服务系统双方共同制定了相应的灾难恢复计划。
知识产权保护:桌面服务中如何保护组织以及相关方的知识智力产权,是需要在进行IT服务外包过程中管理和控制的重要内容。天玑科技在软件安装和服务过程中工具的使用过程都明确规定了对软件许可证的跟踪与管理要求,确保服务活动满足对知识产权保护的要求。
关键词:信息安全;防护体系
随着企业各个业务系统的深化应用,企业的日常运作管理越来越倚重信息化,越来越多的数据都存储在计算机上。信息安全防护变得日益重要,信息安全就是要保证信息系统安全、可靠、持续运行,防范企业机密泄露。信息安全包括的内容很多,包括主机系统安全、网络安全、防病毒、安全加密、应用软件安全等方面。其中任何一个安全漏洞便可以威胁全局。随着信息化建设地不断深入和发展,数据通信网改造后,市县信息网络一体化相互融合,安全防护工作尤显重要。如何保障县公司信息网络安全成为重要课题。信息安全健康率主要由两方面体现,一是提升安全防护技术手段,二是完善安全管理体系。安全防护技术手段主要侧重于安全设备的应用、防病毒软件的部署、安全策略的制定、桌面终端的监管、安全移动介质、主机加固和双网双机等方面,安全管理则侧重于信息安全目标的建立、制度的建设、人员及岗位的规范、标准流程的制定、安全工作记录、信息安全宣传等方面[1]。因此,企业要提升信息安全,必须从管理机制、技术防护、监督检查、风险管控等方面入手,并行采取多种措施,严密部署县公司信息安全防护体系,确保企业信息系统及网络的安全稳定运行,主要体现在以下几方面:
1机制建立是关键
企业信息安全防护“七分靠管理,三分靠技术”,没有严谨的管理机制,安全工作是一纸空谈,因此,做好防护工作必须先建立管理体系。一是完善组织机制。在企业信息安全工作领导小组之下,设立县公司数据通信网安全防护工作组,由信通管理部门归口负责日常工作,落实信息安全各级责任。将信息安全纳入县公司安全生产体系,进而明确信息安全保障管理和监督部门的职责。建立健全信息安全管理等规章制度,加强信息安全规范化管理。二是强化培训机制。根据近年来信息安全的研究,企业最大信息安全的威胁来自于内部,因此,企业应以“时时讲信息安全,人人重信息安全,人人懂信息安全”为目标,开展“教育培训常态化、形式内容多样化、培训范围全员化、内容难度层次化”培训工作,为信息安全工作开展提供充分的智力保障。企业应充分利用网络大学、企业门户、即时通讯等媒介,充实信息安全内容,营造信息安全氛围,进而强化全员信息安全意识。三是建立应急机制。完善反应灵敏、协调有力的信息安全应急协调机制,修订完善县公司数据网现场应急处置预案,加强演练。严格执行特殊时期领导带班和骨干技术人员值班制度,进一步畅通安全事件通报渠道,规范信息安全事件通报程序,做好应急抢修人员、物资和车辆准备工作,及时响应和处理县公司信息安全事件。重点落实应对光缆中断、电源失去、设备故障应急保障措施,确保应急处置及时有效。杜绝应急预案编制后束之高阁和敷衍应付的行为。
2技术防护是基础
技术防护要从基础管理、边界防护、安全加固等方面入手[2]。(1)基础管理方面。一是技术资料由专人负责组织归类、整理,设备或接线如有变化,其图纸、模拟图板、设备台帐和技术档案等均应及时进行修正。二是将设备或主要部件进行固定,并设置明显的不易除去的标识,屏(柜)前后屏眉有信息专业统一规范的名称。三是设备自安装运行之日起建立单独的设备档案,有月度及年度检修计划并按计划进行检修,检修记录完整。所有设备的调试、修复、移动及任一信息线或网络线的拔插和所有设备的开关动作,都按有关程序严格执行,并在相应的设备档案中做好记录。四是加强运行值班监视和即时报告,确保系统缺陷和异常及时发现,及时消除。(2)安全隔离方面。安全隔离与信息交换系统(网闸)由内、外网处理单元和安全数据交换单元组成。安全数据交换单元在内外网主机间按照指定的周期进行安全数据的摆渡,从而在保证内外网隔离的情况下,实现可靠、高效的安全数据交换,而所有这些复杂的操作均由隔离系统自动完成,用户只需依据自身业务特点定制合适的安全策略,既可以实现内外网络进行安全数据通信,在保障用户信息系统安全性的同时,最大限度保证客户应用的方便性。(3)边界防护方面。一是部署防火墙,做好网络隔离。在路由器与核心交换机之间配置防火墙,并设置详细的安全防护策略。防火墙总体策略应是白名单防护策略(即整体禁止,根据需要开放白名单中地址)。将内部区域(下联口)权限设置为禁止、外部区域(上联口)权限设置为允许。定义防火墙管理地址范围,针对PING、Webui、Gui三种服务进行设置:只允许特定管理员地址远程管理。二是严格执行防火墙策略调整审批程序,需要进行策略调整的相关单位,必须填写申请单,且必须符合相关安全要求,经审批后进行策略调整。三是严禁无线设备接入。(4)安全加固方面。一是应以最小权限原则为每个帐号分配其必须的角色、系统权限、对象权限和语句权限,删除系统多余用户,避免使用弱口令。二是安装系统安全补丁,对扫描或手工检查发现的系统漏洞进行修补。三是关闭网络设备中不安全的服务,确保网络设备只开启承载业务所必需的网络服务。四是配置网络设备的安全审计功能和访问控制策略。五是开展风险评估工作中,认真分析网络与信息系统安全潜在威胁、薄弱环节,综合运用评估工具,在常规评估内容基础上,加强渗透性验证测试和密码脆弱性测试,重视对系统结构与配置的安全评估。根据评估结果,及时提出并落实整改方案,实施安全加固措施。
3监督检查是保障
全面落实“按制度办事,让标准说话”的信息安全管理准则,在企业指导下,由县公司信通专业牵头,业务部门主导,分工协作建立督查机制,加强过程安全管控与全方位安全监测,推进安全督查队伍一体化管理,完善督查流程和标准,开展好安全督查工作,以监督促进安全提升。一是全面提升责任部门安全人员专业技术水平,加强督查队伍建设。二是完善督查机制,对督查中发现的问题督促落实整改,并开展分析总结,通报相关情况。三是开展常态督查,通过软件扫描、终端监测等手段,确保监测全方位。四是加强考核,开展指标评价。保障督查管理水平和工作质量。
险管控是对策
为确保公司信息化网络安全,公司要将被动的事件驱动型管理模式转变为主动的风险管控模式,主动地对威胁和风险进行评估,主动地采取风险处置措施。通过资源的调控实现对信息安全工作的调控。公司应在信息安全治理过程中大量借鉴管理学方法,进行动态的控制和治理,通过治理的流程控制措施进行资源的调配,实现对关键项目、关键技术、关键措施的扶持,对非关键活动的控制,确保公司信息化网络安全。数据通信网升级改造为企业信息化发展扩展了领域,同时,对信息安全工作提出了新的课题和更高的要求。本文通过分析企业信息化安全管理过程中的一些薄弱环节,提出了安全防护经验的措施,从管理机制、技术防护、监督检查、风险管控等方面入手,提高了县公司全体人员信息化安全意识,极大地保障了企业系统(含县公司)信息网络系统的安全、稳定运行,完善了县公司信息安全策略及总体防护体系,密织信息安全防护网,保障数据网不失密、不泄密,不发生信息安全事件。公司下一步将加强信息化常态安全巡检,加强信息化相关资料的管理,加强单位干部员工的信息化安全培训力度,进一步完善信息安全策略及总体防护体系。提高全体人员信息化安全意识,保障信息化网络安全。企业信息安全建设是一项复杂的综合系统工程,涵盖了公司员工、技术、管理等多方面因素。企业要实现信息安全,必须加强安全意识培训,制定明确的规章制度,综合各项信息安全技术,建立完善的信息安全管理体系,并将信息安全管理始终贯彻落实于企业各项活动的方方面面,做到管理和技术并重,形成一套完善的信息安全防护体系。
参考文献:
[1]马贵峰,马巨革.构建网络信息安全防护体系的思路及方法——浅谈网络信息安全的重要发展方向[J].信息系统工程,2010(6).
随着近年来信息安全话题的持续热议,越来越多的企业管理人员开始关注这一领域,针对黑客入侵、数据泄密、系统监控、信息管理等问题陆续采取了一系列措施,开始构筑企业的信息安全防护屏障。然而在给企业做咨询项目的时候,还是经常会听到这样的话:
“我们已经部署了防火墙、入侵检测设备防范外部黑客入侵,采购了专用的数据防泄密软件进行内部信息资源管理,为什么还是会出现企业敏感信息外泄的问题?”
“我们的IT运营部门建立了系统的运行管理和安全监管制度和体系,为什么却迟迟难以落实?各业务部门都大力抵制相关制度和技术措施的应用推广。”
“我们已经在咨询公司的协助下建立了ISMS体系,投入了专门的人力进行安全管理和控制,并且通过了企业信息安全管理体系的认证和审核,一开始的确获得了显著的成效,但为什么经过一年的运行后,却发现各类安全事件有增无减?”
这些问题的出现往往是由于管理人员采取了“头痛医头,脚痛医脚”的安全解决方案,自然顾此失彼,难以形成有效的安全防护能力。上述的三个案例,案例一中企业发生过敏感信息外泄事件,于是采购了专用的数据防泄密软件,却并未制定相关的信息管理制度和进行员工保密意识培训,结果只能是防外不防内,还会给员工的正常工作带来诸多不便;案例二中企业管理者认识到安全管理的重要性,要求相关部门编制了大量的管理制度和规范,然而缺乏调研分析和联系业务的落地措施,不切实际的管理制度最终因为业务部门的排斥而束之高阁;案例三中ISMS的建立有效地规范了公司原有的技术保障体系,然而认证通过后随着业务发展却并未进行必要的改进和优化,随着时间的推移管理体系与实际工作脱节日益严重,各类安全隐患再次出现也就不足为奇。
其实,企业面临的各种安全威胁和隐患,与人体所面临的各种疾病有诸多类似之处,我们常说西医治标不治本,指的就是采取分片分析的发现问题―分析问题―解决问题的思路处理安全威胁,通过技术手段的积累虽然可以解决很多问题,但总会产生疲于应付的状况,难以形成有效的安全保障体系;类比于中医理论将人体看为一个互相联系的整体,信息安全管理体系的建立正是通过全面的调研分析,充分发现企业面临的各种问题和隐患,紧密联系业务工作和安全保障需要,形成系统的解决方案,通过动态的维护机制形成完善的防护体系。
总体来说,信息安全管理体系是企业在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进企业的信息安全系统,目的是保障企业的信息安全。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合,涉及到人、程序和信息系统。
针对ISMS的建立,我们可以从中医“望闻问切对症下药治病于未病”的三个角度来进行分析和讨论:
第一,“望闻问切”,全面的业务、资产和风险评估是ISMS建设的基础;
第二,“对症下药”,可落实、可操作、可验证的管理体系是ISMS建设的核心;
第三,“治病于未病”,持续跟踪,不断完善的思想是ISMS持续有效的保障。
望闻问切
为了完成ISMS建设,就必然需要对企业当前信息资源现状进行系统的调研和分析,为企业的健康把把脉,毕竟我们需要在企业现有的信息条件下进行ISMS建设。
首先,自然是对企业现有资源的梳理,重点可以从以下几个方面入手:
1.业务主体(设备、人员、软件等)。
业务主体是最直观、最直接的信息系统资源,比如多少台服务器、多少台网络设备,都属于业务主体的范畴,按照业务主体本身的价值进行一个估值,也是进行整个信息系统资源价值评估的基础评估。由于信息技术日新月异的变化,最好的主体未必服务于最核心的信息系统,同时价值最昂贵的设备未必最后对企业的价值也最大。在建立体系的过程中,对业务设备的盘点和清理是很重要的,也是进行基础业务架构优化的一个重要数据。
2.业务数据(服务等)。
业务数据是现在企业信息化负责人逐步关注的方面,之前我们只关注设备的安全,网络的良好工作状态,往往忽略了数据对业务和企业的重要性。现在,核心的业务数据真正成为信息工作人员最关心的信息资产,业务数据存在于具体设备的载体之上,很多还需要软件容器,所以,单纯地看业务数据意义也不大,保证业务数据,必须保证其运行的平台和容器都是正常的,所以,业务数据也是我们重点分析的方面之一。
3.业务流程。
企业所有的信息资源都是通过业务流程实现其价值的,如果没有业务流程,所有的设备和数据就只是一堆废铜烂铁。所以,对业务流程的了解和分析也是很重要的一个方面。
以上三个方面是企业信息资源的三个核心方面,孤立地看待任何一个方面都是毫无意义的。
其次,当我们对企业的当前信息资产进行分析以后需要对其价值进行评估。
评估的过程就是对当前的信息资产进行量化的数据分析,进行安全赋值,我们将信息资产的安全等级划分为 5 级,数值越大,安全性要求越高,5 级的信息资产定义非常重要,如果遭到破坏可以给企业的业务造成非常严重的损失。1 级的信息资产定义为不重要,其被损害不会对企业造成过大影响,甚至可以忽略不计。对信息资产的评估在自身价值、信息类别、保密性要求、完整性要求、可用性要求和法规合同符合性要求等 5 个方面进行评估赋值,最后信息资产的赋值取 5 个属性里面的最大值。
这里需要提出的是,这里不仅仅应该给硬件、软件、数据赋值,业务流程作为核心的信息资源也必须赋值,而且几个基本要素之间的安全值是相互叠加的,比如需要运行核心流程的交换机的赋值,是要高于需要运行核心流程的交换机的赋值的。很多企业由于历史原因,运行核心业务流程的往往是比较老的设备,在随后的分析可以看得出来,由于其年代的影响,造成资产的风险增加,也是需要重点注意的一点。
最后,对企业当前信息资产的风险评估。
风险评估是 ISMS 建立过程中非常重要的一个方面,我们对信息资产赋值的目的就是为了计算风险值,从而我们可以看出整个信息系统中风险最大的部分在哪里。对于风险值的计算有个简单的参考公式:风险值 = 资产登记 + 威胁性赋值 + 脆弱性赋值(特定行业也有针对性的经验公式)。
ISMS 建设的最终目标是将整个信息系统的风险值控制在一定范围之内。
对症下药
经过上阶段的调研和分析,我们对企业面临的安全威胁和隐患有一个全面的认识,本阶段的ISMS建设重点根据需求完成“对症下药”的工作:
首先,是企业信息安全管理体系的设计和规划。
在风险评估的基础上探讨企业信息安全管理体系的设计和规划,根据企业自身的基础和条件建立ISMS,使其能够符合企业自身的要求,也可以在企业本身的环境中进行实施。管理体系的规范针对不同企业一定要具体化,要和企业自身具体工作相结合,一旦缺乏结合性ISMS就会是孤立的,对企业的发展意义也就不大了。我们一般建议规范应至少包含三层架构,见图1。
图1 信息安全管理体系
一级文件通过纲领性的安全方针和策略文件描述企业信息安全管理的目标、原则、要求和主要措施等顶层设计;二级文件主要涉及业务工作、工程管理、系统维护工作中具体的操作规范和流程要求,并提供模块化的任务细分,将其细化为包括“任务输入”、“任务活动”、“任务实施指南”和“任务输出”等细则,便于操作人员根据规范进行实施和管理人员根据规范进行工作审核;三级文件则主要提供各项工作和操作所使用的表单和模板,以便各级工作人员参考使用。
同时,无论是制定新的信息管理规章制度还是进行设备的更换,都要量力而行,依据自己实际的情况来完成。例如,很多公司按照标准设立了由企业高级领导担任组长的信息安全领导小组和由信息化管理部门、后勤安全部门和审计部门组成的信息安全办公室,具体负责企业的信息安全管理工作,在各级信息化技术部门均设置系统管理员、安全管理员、安全审计员,从管理结构设计上保证人员权限互相监督和制约。但是事实上繁多的职能部门和人员不仅未能提升企业信息系统安全性,反而降低了整个信息系统的工作效率。
其次,是企业信息安全管理体系的实施和验证
实施过程是最复杂的,实施之后需要进行验证。实施是根据 ISMS 的设计和体系规划来做的,是个全面的信息系统的改进工作,不是单独的设备更新,也不是单独的管理规范的,需要企业从上至下,全面地遵照执行,要和现有系统有效融合。
这里的现有系统既包含了现有的业务系统,也包含了现有的管理体制。毕竟ISMS是从国外传入的思路和规范,虽然切合国人中医理论的整体思维方式,但在国内水土不服是正常的,主要表现就在于是否符合企业本身的利益,是否能够和企业本身的业务、管理融合起来。往往最难改变的还是企业管理者的固有思维,要充分理解到进行信息安全管理体系的建设是一个为企业长久发展必须进行的工程。
到目前为止,和企业本身业务融合并没有完美的解决方案,需要企业领导组织本身、信息系统技术人员、业务人员和负责 ISMS 实施的工程人员一同讨论决定适合企业自身的实施方案
最后,是企业信息安全管理体系的认证和审核
针对我们周围很多重认证,轻实施的思想,这里有必要谈一下这个问题,认证仅代表认证过程中的信息体系是符合 ISO27000(或者其他国家标准)的规范要求,而不是说企业通过认证就是一个在信息安全管理体系下工作的信息系统了。更重要的是贯彻实施整个体系的管理方式和管理方法。只有安全的思想深入人心了,管理制度才能做到“不只是挂在墙上的一张纸,放在抽屉里的一本书”。
“治病于未病”
企业信息安全管理体系需要动态改进和和优化,毕竟企业和信息系统是不断发展和变化的,ISMS 是建立在企业和信息系统基础之上的,也需要有针对性地发展和变化,道高一尺魔高一丈,必须通过各种方法,进行不断地改进和完善,才有可能保证ISMS 系统的持续作用。
就像我们前面案例中提到的某公司一样,缺乏了持续改进和跟踪完善的手段,经过测评的管理体系仅仅一年之后就失去了大部分作用。对于这些企业及未来即将建立ISMS的企业,为了持续运转ISMS,我们认为可以主要从以下三个方面着手:
第一,人员。
人员对于企业来讲是至关重要且必不可缺的,在ISMS建立过程中,选择合适的人员参与体系建立是ISMS建立成功的要素之一。在持续运转过程中,人员都应该投入多少呢?通常在体系建立过程中,我们会建议所有体系管理范围内的部门各自给出一名信息安全代表作为安全专员配合体系建立实施,且此名专员日后要持续保留,负责维护各自部门的信息资产、安全事件跟踪汇报、配合内审与外审、安全相关记录收集维护等信息安全相关工作。
但很多事情是一种企业文化的培养,需要更多的人员甚至全员参与,例如面向全员的定期信息安全意识培训,面向专业人员的信息安全技术培训等,因此对于企业来讲,除了必要的体系维护人员,在ISMS持续运转过程中,若能将企业内的每名员工都纳入到信息安全管理范围内,培养出“信息安全,人人有责”的企业氛围,则会为企业带大巨大的潜在收益。且有些企业在面向自身员工展开信息安全各项活动的同时,还会纳入客户、合作伙伴、供应商等需要外界相关人员的参与,对外也树立起自身对重视信息安全的形象,大力降低外界给企业带来的风险。
第二,体系。
ISMS自身的持续维护,往往是企业建立后容易被忽视的内容,一套信息安全管理文档并不是在日益变化的企业中一直适用的,对于信息资产清单、风险清单、体系中的管理制度流程等文档每年至少需要进行一次正式的评审回顾,这项活动由于也是在相关标准中明确指出的,企业通常不会忽略;但日常对于这些文档记录的更新也是必不可少的,尤其是重要资产发生重大变更,组织业务、部门发生重大调整时,都最好对ISMS进行重新的评审,必要时重新进行风险评估,有助于发现新出现的重大风险,并且可以将资源合理调配,将有限的资源使用到企业信息安全的“短板”位置。
唯一不变的就是变化,企业每天所面临的风险同样也不是一成不变的,在更新维护信息资产清单的同时,对风险清单的回顾也是不可疏忽的,而这点往往是很多信息安全专员容易忽视的内容。持续的维护才能保证ISMS的运转,有效控制企业所面临的各种风险。
第三,工具。
工具往往是企业在建立ISMS过程中投入大量资金的方面,工具其实是很大的一个泛指,例如网络安全设备、备份所需设备、防病毒软件、正版软件、监控审计等各类工具,即使没有实施ISMS,企业在工具方面的投入也是必不可少的,但往往缺乏整体的规划及与业务的结合,经常会出现如何将几种类似工具充分利用,如何在各工具间建立接口,使数据流通共用,哪些工具应该替换更新,数据如何迁移,甚至出现新购买的工具无人使用或无法满足业务需求等问题,导致资金资源的浪费,因此在持续运转ISMS过程中,根据风险评估报告,及信息安全专员反映的各部门业务需求各种信息数据的收集,应对工具进行统一规划,尽量减少资源的浪费。
[关键词] 石油企业 信息安全 安全策略 解决方案
石油企业要提高竞争力,信息化水平是一个重要因素。而信息安全的风险随着企业信息化水平的不断提高而增加。没有可靠的信息安全保障,就没有企业的安全生产运营,就会极大地降低企业在石油行业内的竞争优势和生存空间。要保证信息安全,就必须首先制定相应的安全策略,然后依据该策略结合企业的实际需要选定具体的解决方案,全面构筑企业的信息安全体系,防止各种不安全因素带来的信息安全隐患,做到防患于未然。
所谓信息安全是指信息的保密性、完整性、实用性和可靠性,即在信息的使用和存储过程中,防止因偶然事件或人为因素造成信息被破坏或泄露,也就是要保障信息的有效性。
一、石油企业预防人为因素的方案
企业信息安全的防范不单纯是一个技术问题,而是一个综合性的问题,其中最重要的因素就是人的因素。在人的因素中,有些是无意的:如信息管理员、操作员安全配置不当造成的安全漏洞;企业内部终端用户安全意识不强,用户口令选择不慎,或是将自己的帐号随意转借他人或与别人共享等;也有些是黑客的恶意攻击,如以各种方式破坏信息的有效性和完整性;或在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息等。这些攻击均可对信息安全造成极大的危害。对于这类人为因素,必须首先建立石油信息安全领导小组,设立安全领导小组办公室,由企业负责人直接担任组长,并逐级确立信息安全责任人,并且对信息中心的管理员、操作员,进行必要的定期的信息安全教育,明确岗位职责、权限,签订岗前责任状,以提高全员信息安全防范意识。同时制定信息安全制度,并采取相应的措施以防止信息安全漏洞。
二、石油企业内部技术防范的方案
从技术角度看,信息安全的防范包括:
(一)设备及环境安全
设备和环境的安全主要涉及到由于自然灾害、人为因素造成的数据丢失,比如地震、电力故障、火灾、洪水、盗窃等。它们给企业的数据带来潜在的威胁,因此对于信息安全级别较高的企业,应建设完善的容灾备份系统。容灾备份系统一般由两个数据中心构成:主中心和备份中心。通过异地数据备份,实时地将主中心数据拷贝至备份中心存储系统中,使主中心存储数据与备份中心数据完全保持一致。这种在线备份出现故障后系统数据恢复时间短,安全性好,但对资源的占用率比较高,投入成本也大;还有一种离线备份,即把数据定期备份到移动存储器或光盘上,然后异地保存,离线备份方式恢复时间比较长,但投资较少。企业应根据自身信息化建设的程度及企业对信息安全的要求以及资金投入情况,决定容灾备份系统的规模和等级。
(二)系统运行安全
随着企业信息化的发展,信息系统的连续稳定运行越来越重要。一旦系统中断,将会给企业的工作带来混乱,而数据一旦丢失,后果将是灾难性的。为保证信息系统的连续稳定运行,应采用双机热备解决方案。这种系统有两个服务器组成:主服务器和从服务器。主服务器将从服务器的硬盘视为自己的一个外部磁盘设备,由专用数据链路担负着传输镜像数据的任务,同时也为从服务器监视主服务器提供了途径。主服务器系统可以象对本地硬盘一样访问从服务器上的硬盘。从服务器不仅镜像着主服务器的硬盘数据,而且还实时监测主服务器,一旦发现主服务器故障,会自动接替主服务器工作。
(三)数据库安全
在数据库系统中,由于数据大量集中存放,且为众多用户共享,安全性问题更为突出。解决数据库安全的措施要从数据库软件本身和数据备份两个方面考虑。
1、利用软件本身所具有的性能进行安全保护大型数据库为开发者提供了有效的安全性控制策略,一般会在数据访问的安全性和监督用户的登录进行有效的控制,同时又兼顾用户在使用数据时对速度的要求。大型数据库中的安全性是依靠分层解决的,它的安全措施是级级层层设置的,做到层层设防。第一层是注册和用户许可,保护对服务器的基本存取;第二层是存取控制,对不同用户设定不同的权限,使数据库得到最大限度的保护;第三层是增加限制数据存取的视图和存储过程,在数据库与用户之间建立一道屏障。
2、利用硬件备份系统进行安全保护备份系统不仅是保证数据库安全,同时也是保证网络系统安全的一种重要手段,为了保证数据安全,需要对数据库进行及时快速的备份。备份系统的服务器的应用较为简单,配置不要求很高,甚至可以和其他一些应用共用一台服务器,而备份软件和磁带库是备份系统的关键。
三、石油企业网络运行安全的方案
网络安全问题是信息安全问题的核心,应采取全方位的、动态和静态相结合的方案解决网络安全问题。影响网络安全的要素包括:网络边界安全,操作系统安全,应用服务器安全,内部网安全,网络防病毒。影响网络安全的因素可以通过以下安全产品来防范:
(一)防火墙的应用
防火墙在企业内部网和外网之间设置了一道有效屏障,保护网络边界并防止黑客入侵。防火墙作为单一的关口,在此关口能检查、审核、加解密和认证进入网络的数据。
(二)漏洞检测系统的应用
漏洞检测系统又称系统扫描、风险评估。漏洞检测就是模拟黑客的攻击手段对被检测系统(包括各种操作系统、网络和应用服务器)进行扫描,然后提交安全漏洞报告,并给出解决漏洞的方法,从而保证网络边界安全、操作系统安全、应用服务器安全和内部网安全。
(三)网络防病毒产品的应用
随着网络的不断发展,信息共享、信息交换越来越多,因此感染病毒的机会更大。在企业网络内一旦有一台主机感染病毒很快就会传播到整个网络,甚至对企业造成很大的经济损失。因此防病毒已成为网络安全的重要课题。对于可以登录外网的终端计算机可以采用购买网络版杀毒软件,提前预防、实时监控和杀毒。对于仅能登录内网的终端计算机,企业应当购买专业单机版杀毒软件,并在内网定期单机版杀毒软件的离线更新包。
以上是动态的网络安全策略,对于静态的网络安全策略,可以从网络的结构设计方面提高网络的安全性。对于一些安全要求比较高的部门,如财务部门,可以建立专门的局域网与互联网及企业内部网进行物理隔离;还可以通过冗余设计来提高网络的可靠性,例如:链路冗余、模块冗余、设备冗余及路由冗余。
(四)访问控制安全的应用
访问控制功能是对企业综合信息系统的内容进行访问权限的限制。对于有些只对企业内部或合作单位开放的信息,应该设置访问控制,只有得到用户名和密码的用户才能访问这些内容。可以通过配置路由器来实现这部分的功能。
另一方面,是企业不同部门对网络权限要求不同的问题。各应用系统设计和选购时应该考虑如何保障各部门的安全,保证安全保密性级别高的部门在网络上运行的各类业务不受未授权员工的损害。在构建网络时应用VLAN技术和第三层交换技术,可在同一个基础物理网络上实现员工网络、财务网络、领导网络和部门网络的逻辑分隔,从而提高整个信息系统的安全性。
(五)信息存储安全
网络的发展,加上多媒体应用,使得数据呈几何级数激增。传统的以服务器为中心的存储网络架构面对源源不断的数据流已显得力不从心,严重的会导致数据崩溃。为了存储安全,以服务器为中心的数据存储模式必须向以数据为中心的数据存储模式转化。为了解决这个实际问题,可以采用网络存储技术,网络存储技术是一种特殊的专用数据存储服务器,内嵌系统软件,可提供跨平台文件共享功能,完全以数据为中心,将存储设备与服务器彻底分离,集中管理数据,从而有效释放带宽,大大提高了网络整体性能,也可有效降低成本,保护企业的投入,将数据崩溃降低到最低限度。
“近年来发生的文档泄密事件给我们提出警示:文档的安全问题不容忽视,文档安全保护工作刻不容缓。”慧点科技通用产品部产品总监任晓霞这样强调文档安全管理的重要性。
确实,随着IT应用的推进,各级机关、企事业单位几乎已经用电子文档替代传统的纸质文档。电子文档具有编辑功能强大、制作方便、易于修改,以及便于编目存储和查阅等优势毋庸置疑,但是由此也给文档的安全带来了隐患。因为使用电子文档,一些机密文档很容易通过便携设备、互联网、U盘等被泄露。
为密文提供全生命周期保护
内部员工主动或无意泄露单位机密或敏感信息,离职雇员在离职时批量带走公司的重要文档,合作伙伴在合作期间保留大量单位外发的机密文档,竞争对手高价购买产品资料、财务数据、设计图纸,黑客入侵后窃取企业大量重要信息……缺乏有效的安全防护,企事业单位总会面临各种文档安全问题。
究其原因,任晓霞认为,主要有以下几方面的因素:其一,企事业单位缺乏文件分级保密制度,无法针对不同文件类型、文件级别制定安全保密策略;其二,终端或应用系统中的重要文档缺乏强制性的保护措施,员工可随意携带或下载文件;其三,缺乏基于角色的文件权限管理措施,无法使部门、员工仅能处理权限范围内的文件;其四,缺乏对文件使用权限的控制措施,不能精确控制文档修改、打印、复制等操作;其五,缺乏对离线文档的有效控制,离线文件可以被随意编辑、复制、刻录、打印;其六,文档的传递以明文的方式进行,传输安全难以得到保证,存在被侦听、拦截的风险。
正因为如此,企事业单位对文档安全防护系统提出了需求,希望文档安全防护系统能够为重要文档提供全生命周期的安全防护,为业务系统中的重要文档提供防护,实现文档的分级防护和多级授权使用,而且系统要安全可靠、简单易用,无需过多改变员工本来的工作习惯,不会影响员工的工作效率。
慧点科技文档防泄密解决方案正是为了满足企事业单位以上这些诉求而形成的。任晓霞介绍,慧点科技文档防泄密解决方案是一款以加密、认证、授权技术为核心,为企业核心信息资产提供全生命周期安全保护的解决方案。慧点科技文档防泄密解决方案通过专业的软件系统、成熟的业务咨询、方案设计,高效的系统部署,全面的系统运维,有效帮助企业降低信息泄密风险。 严防死守各个要塞
据悉,根据文档的泄露主要发生在终端管理、下载、分级管理、传输和外发等环节,慧点科技文档防泄密解决方案可以在这几个环节严防死守:
第一,通过文档承载终端防护,杜绝重要文档的泄密隐患。任晓霞指出,各种有意或无意的文档泄密往往发生在用户的终端,所以在终端对重要文档进行加密、防护显得尤为重要。慧点科技文档防泄密系统通过透明加解密方式将文档加密成密文,使得密文只有在用户正常登录的前提下,在安装了系统客户端才能使用。这样,文档被私自带离,或者发送到单位以外后就无法打开。
第二,通过与第三方业务系统的集成,实现业务系统文档的防护。慧点科技文档防泄密系统可与ERP、OA、PDM和档案等业务系统无缝整合,对业务系统中的重要文档进行加密防护与授权,将业务系统中文档的安全区域扩展到用户桌面,保证系统文档的安全。
第三,实现文档的分级管理,确保用户只能处理在权限范围内的密文。慧点科技文档防泄密系统根据文档的重要程度构建文档的安全防护体系。按照文档的密级对不同用户、用户组授权,灵活控制不同用户对文档的阅读、编辑、复制、打印、截屏等权限。结合用户的文档使用管理制度,系统能够实现文档的分级防护。
第四,保证文档安全传输,确保文档在各个机构间传递与交互的安全。文档在传递途中容易遭到拦截、侦听,装有文档的载体丢失、被窃也会造成泄密。慧点科技文档防泄密系统给出的解决方案是,在重要文档进行传送时在发送端进行加密与授权,再通过载体或者网络进行传送,只有被授权的接收者才能再使用密文,确保文档在传输过程中的安全。
第五,实现文档外发防护,保证员工携带密文出差、加班,以及密文外发给客户、合作伙伴后的安全。慧点科技文档防泄密系统通过离线模式保证密文在单位外使用的安全性,在经过审批后密文可以带离或外发出单位使用,使用时间、使用权限、使用次数、文件传播都会受到严格的限制。
据悉,慧点科技文档防泄密系统作为一个通用产品,各个行业均可适用。不过任晓霞指出,不同行业的应用需求各不相同,在实施应用时关注的重点也不同。比如说,政府行业主要需要防护的是公文、记录等,文档格式以办公类格式为主,文档密级管理严格,应用环境比较单纯,在实施应用时关注系统的稳定性、易用性,以及与OA系统的整合。而制造业的文档格式多样,IT建设水平参差不齐,要关注与文档资源库、ERP、PLM等系统的整合。而对文档安全要求更高的企业,更加注重文档全生命周期的安全管理。
优化安全效率和成本
任晓霞总结说,慧点科技文档防泄密系统的价值主要体现在以下几方面:
首先,提升企业信息安全管理的有效性。系统帮助企业将信息安全策略与具体安全控制工具有效对应,加强了安全制度体系建设与系统化管理控制能力,从而帮助企业进行安全制度的制定并有效落地。
其次,优化安全管理成本与资源。系统能够有效降低企业信息安全的全生命周期管理成本与复杂度,根据不同的业务场景采用不同的安全控制策略,在有效保护企业原有信息资产的基础上,优化企业信息安全管理结构。
再次,大幅提升企业信息安全管理效率。系统能够支撑企业采用合理的分级安全策略,针对用户终端文档、业务系统文档、离线外发文档等,根据用户级别、文件密级采用不同的安全防护手段,提升整体信息安全管理效率。
最后,降低企业信息安全策略落地难度。慧点科技文档防泄密系统采用了透明加解密方式,可以在不改变终端用户原有操作习惯的情况下实现对密文的安全防护,极大降低了企业在信息安全建设过程的培训及推广难度,使得企业安全策略更容易落地。