发布时间:2023-10-11 17:27:44
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇信息安全方针,期待它们能激发您的灵感。
关键词:信息安全;体系建设;方案
中图分类号:TP309.2文献标识码:A文章编号:1009-3044(2008)36-2846-02
The Implementation Program of an Information Security System for an Enterprise
GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: In view of the enterprise information technology becoming more, the issue of business information security has become an important factor in life, an enterprise information security system for the implementation of the program. From the organization, management, construction and technical aspects on the construction of the three. In the specific implementation process, based on the specific circumstances at the same time or step-by-step building-related.
Key words: information security; system construction; program
1 引言
信息安全的体系建设就是让企业建立安全的组织架构,同时建立一套管理规范来规范成员的行为,并建立起安全的平台为企业提供安全支撑同时为企业创造效益。本文根据一些企业现在实际情况,针对其信息安全现状提出总体的实施步骤。企业在具体的实施过程中可参照这些步骤考虑实施。
下文将根据组织建设、管理建设和技术建设三个方面展开阐述。同时,在对技术建设阐述时,将从基础设施建设和系统建设两个方面分开阐述。
2 信息安全体系建设总体步骤
具体的实施步骤如图1所示,具体包括:组织建设、团队建设、管理规范、基础环境、资产定级和评估、支撑系统和服务运维。以上组成部分都可归结为组织建设、管理建设和技术建设三个方面。
图1 信息安全体系建设步骤
实施步骤中有的步骤是可以同时进行的,如图2所示。但有相对的优先级,优先级高的环节相应的应该放在优先考虑的位置。有些环节鉴于完成的周期较长,建议可以同步进行,避免信息安全实施周期过长,影响企业的目标达成。
3 组织建设
信息安全体系建设要做好,组织建设是关键。组织建设是所有其它建设的前提。而组织建设的第一步就是做好组织调整。组织调整就是把信息安全运营管理分为两个部门,一个是生产部门,一个是管理部门。
3.1 信息安全管理部门
信息安全管理部门有权对其它部门进行安全考核,同时信息安全生产部门是由信息安全的管理部门直接管理指挥的。信息安全管理部门的职责决定其管理部门对企业信息安全有着全局的管控能力,负责信息安全全局任务下达和监督,安全战略目标的建议以及政府、公安、司法等安全外联。
3.2 信息安全生产部门
信息安全生产的部门,其信息安全生产内容包括三个部分,对内是企业信息安全的支撑、对外提供企业信息安全服务和公众信息安全服务,接受安全管理部门的领导的管理和考核,和其他生产部门属平级关系。
4 管理建设
4.1 管理制度颁布
对于管理制度,必须对管理规范和流程进行规范定义,在管理制定颁布之前应该作以下的事情:由安全管理部门牵头召开各个部门参与的管理制定内容研究讨论会,收集各方建议;根据各个建议对管理制度进行修订;修订后管理制度,再次召集各个部门讨论并基本通过;安全管理部门颁布管理制度并确定管理制度的实施的开始时间;在制度实施开始时间之前,进行制度宣灌,组织各个部门参加学习,并进行相关学习的考试;管理制度开始实施。
4.2 管理制度落实
信息安全管理制度落实是由信息安全管理部门的管控部执行的,管控部包括考核、质检、审计三个小组共同组成,考核各个部门管理制度的落实情况。如何对各个部门的信息安全情况进行考核呢?不同时期有不同的做法,分为两个阶段:
一是SOC(信息安全运维中心)建设阶段。SOC建设阶段由于安全生产组织和安全支撑系统还不够健全,对安全的支撑十分有限,因此这个阶段的质检、审计、考核多以手工为主,信息安全审计和信息安全质检以部门抽样检查为主,无法做到全面的普查。信息安全质检组定期进行各个部门的信息安全检查,主要工作是定期的信息安全巡检工作。信息安全审计组对各个部门的工作日志进行定期的审计工作,特别是出现信息安全事件后的审计工作。信息安全生产部门配合管理部门进行信息安全质检工作和审计工作,同时信息安全生产部门承担着SOC支撑系统建设的需求分析、项目监督、系统验收等工作。
二是SOC运维阶段。SOC运维阶段,由于各个信息安全支撑系统已经较为完备,而且人员组织逐渐成熟,对信息安全的管控能力将实现一个质的飞越,信息安全质检组可随时对考核部门进行信息安全巡检,巡检可采用面向全网的信息安全自动巡检,全面系统的分析全网的安全状况,信息安全审计可分手工和自动相结合的方式进行审计,根据不同的业务应用、访问控制等进行审计分析,快速高效的进行审计。信息安全管控从抽样管理到全面管理,从静态管理到动态管理,从事后响应到事前预防。
5 基础设施建设及相关建设
信息安全基础设施建设的目的主要是实现对现有生产网资源的集中和优化,提高系统运行效率,并同时进行局部的信息安全加固和改进,使得在信息安全支持系统尚未建成时,使现有生产网系统的信息安全性和可用性提高到一个新的水准。其内容主要包括结构调整、优化整合和安全集成。结构调整主要是对信息安全体系存在重大影响的网络基础架构的调整;优化整合是对信息安全可用性和保密性的关键因素进行改进,如操作通道的加密;安全集成是根据企业信息安全需要综合分析后,得出在现有生产网上所要建设和购置的信息安全系统及产品。
此外,在经过资产的等级划分之后,并进行的相关信息资产的优化整合后,全网中大量的信息安全问题和隐患将被排除,但是还会有许多的薄弱点,这些薄弱点是在优化整合后还没有解决的或疏忽的问题,找出这些薄弱点就需要一次系统的信息安全评估过程,把目前安全存在的问题进行分析。信息安全评估的是根据信息资产的本身的所处的网络环境和信息资产价值有直接的关系,信息安全评估的目的不是要求企业把所有的问题一概而论的解决掉,而是告诉企业有这些一些问题值得关注,至于解决的问题的要投入的人力物力是根据信息资产的本身的价值而定。
6 系统建设
信息安全系统建设也即最后的信息安全体系建设的最后步骤,是具体实施的过程。在面上主要表现为依照信息安全体系建设规划方案进行采购与部署。这里的采购对象包括:产品采购类、服务产品类和研发产品类。
6.1 产品采购类
在建设信息安全支撑和信息安全服务系统过程中会涉及到许多安全产品的采购,如防火墙、黑洞、入侵检测、安全检测工具产品、成熟的安全集成产品等等采购,因此我们将这部分不需要太多定制开发可直接购买或集成的产品定义为产品采购类。其采用的原则是:
1)安全产品的本身应该具备的功能要求;2)安全产品本身应该具备的性能要求;3)安全产品本身应该具备的安全要求;4)安全产品应该具体的管理要求;5)安全产品的可扩展性要求。
6.2 服务产品类
图2 信息安全体系建设并行建设步骤
服务产品类,主要是针对对外安全服务的产品类,对外服务的产品类包括集成产品和服务内容。服务产品定义主要是根据市场运营所推出相应服务而定义。服务产品的实施原则如下:
1)产品市场潜力;2)产品的产出比战略研究;3)产品相关的信息安全等级评估;4)产品相关的信息安全策略;5)产品相关的响应团队;6)产品宣传渠道和策略分析;7)产品相关的增值服务;8)产品创造价值的统计分析。
6.3 研发产品类
信息安全支撑系统和信息安全服务系统建设中,一定有一些系统需要进行定制开发,这些定制开发的产品我们定义为研发类产品。研发类产品建设原则如下:
1)产品能够满足现有生产的功能要求;2)产品具有良好的可靠性和扩展性;3)产品具有一定先进性,能满足3-5年企业IT发展要求;4)产品要预留信息安全管理接口,能对系统日志进行采集和审计。
7 结束语
文章针对在企业信息化程度越来越高的情况下,信息安全成为关乎企业生命的重要因素,提出了一种针对企业的信息安全体系建设实施方案。在具体的实施过程中,可以基于具体情况分步骤或者同时进行相关建设。此方案对于指导企业的信息安全体系建设有一定的参考意义。
参考文献:
[1] 周学广,刘艺. 信息安全学[M]. 北京: 机械工业出版社,2003.
[2] 韩祖德. 计算机信息安全基础教程[M]. 北京: 人民邮电出版社, 2005.
[3] 陆广能. 浅析数字化档案信息安全问题[J]. 电脑知识与技术, 2005, (10):30-32.
[4] 李娟. 浅谈如何构建档案信息安全防护体系[J].河南职业技术师范学院学报, 2004, (4):20-25.
[5] 范开菊. 网络环境下档案信息安全问题探微[J]. 科技情报开发与经济, 2005, (2):47.
一、活动时间
9月25日至10月15日,全镇集中开展全员流动人口信息再次采集变更工作。
二、工作要求
1、及时掌握辖区全员流动人口个案信息。各村要按照本方案,认真组织开展全员流动人口信息的再次清理摸底和及时核对、变更相关信息。。
2、及时、准确、规范上报本村新增的外流人口。
三、工作内容
(一)、清理对象
(1)离开户籍地县域30日以上流出人口,以工作、生活为目的异地居住的0岁以上人口。
(2)离开户籍地乡镇30日以上流出人口,生活为目的异地居住的已婚育龄妇女。
(3)同城区间人户分离人口除外;婚嫁人员除外;因出差、就医、旅游、探亲、访友、服军役、在中等以上专业学校就学等人口除外。
(二)、个案信息完善内容
全员流动人口个案信息项目包括基本信息、家庭户信息。
(1)基本信息包括:姓名、性别、现居住地地址、户籍所在地地址、公民身份号码、出生日期、文化程度、户口性质、流动原因、外出(流入)日期、返回(离开)日期、婚姻状况等项。
(2)家庭户信息包括:是否家庭户流动、已婚人口的配偶是否随同流动等信息。
(三)、个案信息变更
村对流动人口现居住地和婚育情况发生改变要及时上报计生办,计生办业务人在流动人口信息系统中对流出人口管理卡片进行及时变更。
(四)、个案信息退档
对于流动人口发生迁移、死亡、流动状况变化等情况,要以月报单的形式上报计生办,计生办业务人员及时对流动人口信息,在“流动人口信息系统”中进行退档处理。
关键词:信息安全技术;仿真;实践教学;创新能力
中图分类号:TP309 文献标识码:A 文章编号文章编号:16727800(2014)001014202
作者简介作者简介:李毕祥(1981-),男, 硕士,武汉科技大学城市学院信息工程学部信息工程系讲师,研究方向为信息安全;郭冀生(1946-),男,武汉科技大学城市学院信息工程学部副教授,研究方向为数据库。
0 引言
信息安全技术是从事信息安全应用与信息技术研究的专业技术人员必须掌握的知识和技能。本课程需要理论和实践紧密结合,学生在掌握信息安全技术基本概念和基本理论之后,还要掌握网络管理和网络信息安全保障知识,深入理解网络信息安全的各项工作,并能理论联系实际,进一步应用信息安全技术。
为了充分提高学生的信息安全技术实践能力,迫切需要相应的硬件平台和软件平台作为实践支撑环境,但相关的硬件成本非常高,很难配备齐全,所以很多高校的信息安全技术试验都是传统的演示实验,很难提高学生学习信息安全技术的兴趣。本文设计的信息安全技术实验仿真平台可以充分模拟高校、企业和银行等网络环境,使用模拟软件进行仿真,绘制详细的网络拓扑图,分析网络流量,捕获数据包,分析信息安全,并提供信息安全解决方案。此仿真平台充分利用各种仿真软件的优势和特点,一方面能让教师合理实施实践教学任务,改革传统的实践教学模式,在改革中提高教师的教学能力和水平;另一方面,能让学生身临其境,自己绘制网络拓扑图,分析信息安全问题,充分调动学生的学习积极性,全面提高学生的自主创新能力,为就业打下坚实的基础。
1 研究内容和目标
1.1 研究内容
(1)建设信息安全实验室,加强信息安全虚拟平台建设。信息安全实验室是信息安全技术教学的实践场所,目前很多大学的实验中心还没有建成专门的信息安全实验室。由于信息安全实验室建设投入较大,建设周期长,在目前教学任务紧迫的情况下,唯有加强信息安全虚拟平台建设才能满足实验教学要求。虚拟实验平台主要依赖于软件和较少的配套硬件,使实验室的维护费用和工作量大大降低。在虚拟实验平台Boson、Opnet、Sniffer和Matlab上可以开展丰富的模拟实验,包括网络虚拟仿真、防火墙配置和基于SNMP的信息安全管理等。
(2)改革实验教学模式,创造自主学习模式,提高实验教学质量。对于信息安全的管理和实现,设定任务情境,对实验任务的选择可以具有梯度,更贴近工程应用。教师制定学习目标,学生可以自己设定任务情境,根据实际情况完成。例如,在信息安全管理实验中,学生可以自主设计网络拓扑结构,进行设备选型、配置和管理,以提高学生兴趣和实践动手能力为导向,鼓励学生自主学习。
(3)完善教学实验指导书,增加实验项目。
1.2 项目目标
(1)通过信息安全虚拟平台建设,强化学生的信息安全理论修养和实践能力,学以致用,通过实践来真正掌握信息安全技术的应用。
(2)通过信息安全虚拟平台的使用,增强学生之间的学术交流氛围。教学任务设定和日常信息安全技术应用,让学生不仅在课堂,在课余时间也有进行信息安全知识钻研的意识和环境。
(3)积极寻求相关途径进行校企合作,为进一步提高学生实践动手能力创造条件。
(4)建立结构合理的教学队伍,制定适应社会需求的教学内容,培养教师的科研能力,完成信息安全技术课程群梯队建设,形成一些具有较高水平的教学研究成果。
2 仿真实验项目解决的关键问题
(1)改革过于模式化的传统实验,培养学生的创造性思维。
信息安全技术传统实验内容大多局限于实验环境,脱离工程实际,实验效果不好,难以培养学生创新能力。学生毕业后从事信息安全工程实践时,很难将实验功底转化为从业能力。
(2)完善信息安全虚拟平台,进行优化和合理的实验设计。
信息安全虚拟实验平台是在能够进行网络通信的基础之上将计算机网络上虚拟的各种计算机、通信设备按实验要求组建成一个完整的虚拟实验网络,模拟实现各种计算机网络试验和测试,并能演示实验过程和信息安全管理的配置过程。使用已有网络虚拟平台Boson、Opnet、Sniffer和Matlab
进行合理的实验设计,达到提高学生实践能力的目的。
在绘制企业网络拓扑图,以及配置网络设备,例如交换机、路由器和防火墙时,选用Boson软件来完成拓扑图的绘制和网络设备的模拟配置。实验效果描述如下:在捕获和分析网络中的数据包时,选用sniffer软件来完成;在分析网络的流量和网络参数时,选用openet软件来完成;在分析相关的数据和结果时,选用Matlab仿真软件来完成。可以充分结合以上各种模拟软件的特点和优势,完成复杂的信息安全实验项目。
(3)培养学生之间的合作精神,让学生体验团队协作。
在传统的教学过程中,虽然在实验环节也采用了分组进行的模式,但在具体操作过程中部分学生并没有真正参与,也就谈不上团队意识和协作学习,信息安全虚拟实验平台可以拓展和改善学习环境和氛围。
(4)传统课程考核模式陈旧,需要借助信息安全虚拟实验平台进行改革。
传统的考核模式,内容局限于教材中的基本理论和基本知识,缺乏对学生知识、能力与素质的综合考察,不利于学生应用能力的培养和创新精神的形成。另外,考试形式单一,在课程总评成绩的计算中实践部分所占比重很小,制约了学生实践能力的培养。
(5)积极寻求相关途径进行校企合作,让学生进入企业实习和工作,为进一步提高学生实践动手能力创造条件。
3 教学方法
教学方法的改革,目的是使学生在实际应用时能够灵活地将理论与实践相结合,培养学生运用知识分析问题解、决问题的能力。除了传统的行之有效的教学方法之外,还应该采用一些有专业特色的教学方法,与时俱进。主要采取如下方法:
(1)在信息安全技术虚拟平台上,将传统的实验题目改编为自主型实验题目。针对设计型实验的内容和要求,根据机房环境和信息安全技术虚拟平台,精心设计相关题目和题目的梯度任务,或将原有实验题目进行改造,形成与实验要求相对应的自主型实验题目系列。将实验教学中传统的特定环境实验题目改为以问题为主线的任务情境,使学生自主选择合理的任务并进行自主设计,培养学生创新能力。
(2)实验教学中增强学生团队意识。利用信息安全技术虚拟实验平台拓展和改善学习环境和氛围。在传统的分组模式基础上,在具体操作过程中根据学生水平结合自愿原则分组,鼓励学生制定不同梯度的任务作为目标,适时引导和有效监督,让学生体会到团队合作的重要性,培养竭诚合作的精神。此时,教师的引导作用很重要。
(3)利用信息安全虚拟实验平台,改革实践课程考核体系。实验考核中,学生要在规定时间内独立解决问题,确保实践考核的实时性、公开性和准确性。这样的学习考核方式,使学生学习有目标、有压力,学生在课前会认真做好准备,课后强化相关的信息安全的设计和应用,调动了学生的学习兴趣,从而达到了提高学生解决实践问题能力的教学目的。
(4)寻求校企合作,鼓励学生到相关企业实习和工作。让学生了解企业信息安全人才需求,努力让学生密切联系实际,鼓励学生到相关企业实习和工作。在学校有限的实验条件下,积极寻求校企合作,鼓励学生去企业实习,为毕业生顺利就业和后续扩大专业招生打下良好的基础。
参考文献:
[1] RONGFENG, DENGGUO . A detailed implement and analysis of MPLS VPN based on IPSec proceedings of 2008 international conference on machine learning and cybernetics[R],2008.
[2] FRIEND.Robert making the gigabit IPSec VPN architecture secure source[J].Computer, v37, June, 2009.
[3] CHIUANHUNG LIN, YINGDAR LIN, YUANCHEN LAI. VPN gateways over network processors:implementation and evaluation;real time and embedded technology and applications symposium[J].RTAS 2005.11th IEEE 0710 March 2009.
[4] ZHAO DAYUAN, JIANG YIXIN, LIN CHUANG,et al.Implementation and performance evaluation of IPSec VPN based on netfilter[J].Wuhan University Journal of Natural Sciences,v10,January,2009.
[5] 张剑,寇应展,蒋炎,等. IPSecVPN技术及其安全性[J].福建电脑, 2007(11).
[6] 李超.Linux下IPSec协议的实现[J].计算机应用,2008 (6).
一、引言
信息安全学科是在信息技术及其应用的快速发展中逐渐形成的,它针对信息生成、存储、传输、处理和交互的各个环节,用数学方法刻画和描述其变换的过程和状态,建立安全控制与管理模型,进而保障信息及信息系统的高安全性、高可信性和高可用性。在当前信息化和经济全球化的时代背景下,做好民族高校信息安全领域的教学研究工作,为国家储备适应全球形势变化的复合型信息安全人才越发重要。
中南民族大学在信息安全人才培养方面做了很多工作。其计算机科学学院、数学与统计学学院在本科阶段开设了信息安全方面的课程,计算机科学学院的信息安全专业硕士点于2012年开始招生。其中计算机科学学院从2006年开设《信息安全》双语课程。信息安全教学研究方面还有长足的发展提升空间。
针对信息安全课程的特点,结合我们双语教学的经验和体会,就《信息安全》双语课程教学提出几点新的和若干建议,其中关于教材的论述等课程相关情况见孟博老师的论文[1]。
二、信息安全课程特点
《信息安全》难教,学生难懂,实验难做。我们组成员以信息安全专业领域为教学内容,进行教学模式与教学方法的研究与实践。
《信息安全》课程特点[1-3]:
1.信息安全学科基础涉及面广。信息安全是一门新兴的学科,也是一门综合性很强的交叉学科,涉及密码学、通信、数学、计算机等诸多学科。
2.信息安全专业基础课程要求多。要想较好地掌握这门课程,需要学习数学基础课程、电路基础课程、密码学基础课程、计算机理论基础课程、网络通信基础课程等。
3.信息安全专业前沿性强,知识更新快。信息安全专业是围绕攻防、对抗策略和技术展开研究的,随着科学技术的发展,该研究领域的知识创新多且快。
我们在信息安全课程传授的过程中面临的困难如下所示:
(1)民族院校的学生专业素质和英语素质高低不齐;
(2)信息安全相关的资源分散;
(3)英语语言的教学与专业教育的脱节;
(4)理论知识和实践知识结合不紧密。
根据信息安全课程的特点,只有保持信息安全传授内容理论与实践知识的先进性,及时了解该学科最新研究发展动态和前沿,才能培养出具有实践和创新能力的高层次高素质人才。结合我们面临的困难,考虑到两个因素:(1)信息安全相关的前沿知识的语言载体是主要英语;(2)在课堂上尝试将理论知识和实践知识有机的结合起来,我们研究并实践将虚拟仿真实验和CLIL双语教学应用到信息安全课程传授中的模式。
三、虚拟仿真实验的概念及模式
虚拟仿真实验教学是学科专业与信息技术深度融合的产物,运用虚拟现实技术模拟实物实验的计算机辅助教学软件。目前的国内外模拟仿真软件总结如下。
PSPICE[4]是由SPICE(Simulation Program with Integrated Circuit Emphasis)发展而来的用于微机系列的通用电子电路功能的仿真,是一个多功能的电路模拟试验平台;Tina Pro[5]是欧洲DesignSoft公司研发的一个电子设计自动化软件,它用于模拟与数字电路的仿真分析和设计研究,分析结果可以很好地展现在图表或虚拟设备中;CircuitMaker[6]软件用于电子电路仿真实验,是一种用于电路描述与仿真的语言与仿真器软件,用于检测电路的连接和功能的完整性;Proteus[7]软件是英国Labcenter electronics公司的EDA软件,提供仿真单片机及外围器件的工具,该软件将电路仿真软件、PCB设计软件和虚拟模型仿真软件三合一的设计平台;Boson NetSim[8]模拟Cisco路由器、交换机,可自定义网络拓扑结构及连接。
根据《教育信息化十年发展规划(2011-2020年)》,教育部于2013年开始启动了开展了国家级虚拟仿真实验教学中心建设工作。北京邮电大学建设了国家级北邮电子信息虚拟仿真实验教学中心,开发了“开放式虚拟仿真实验教学管理平台”[9,10]。我们尝试将该平台作为信息安全课堂的辅助教学,其中一个教学内容使用虚拟仿真平台进行的网络构建,如图1所示。
四、CLIL双语教学的概念及模式
双语教学是在教学过程中使用除母语以外的一种外语,通过两种语言作为教学媒介,并在教学过程中提高学生的专业能力和外语水平。关于双语教学的模式,有多种不同的分类,如美国的“过渡式”、加拿大等“法语浸入式”等模式。20世纪20年代,CLIL(Content and Language IntegratedLeaning)[11-13]广泛应用于欧洲的双语教学领域。CLIL中文译为内容和语言的融合学习,是指将一门或多门外语作为非语言学科的教学语言,在此过程中,语言和学科将共同发挥作用。以学科内容为核心,使用真实的语言及语言材料,在课堂教学中注重学生的语言、认知和情感等因素。CLIL是欧盟在“培养多语言能力公民、促进语言教学的发展和多样化”的决议框架下推动欧盟各国开展的一种双语教学模式。这种模式相对于源于北美被全球普遍采纳的浸入式双语教学,为双语教学的理论研究和实践教学都做出了具有革新意义的贡献。
选择英语作为学习信息安全学科知识的语言媒介,是因为英语是当今国际各种领域的交流合作中使用频率最高的语言种类。为了使学生适应国际化教育、产业的发展趋势,有效获得更多、更新的学科知识和科技信息,并能够把我们的科技成果推向世界,高等教育承担起培养具有国际视野、具备国际竞争能力的创新型、复合型高级专门人才的责任,而双语教学可以说是承担责任的前提或必要条件。特别是CLIL双语教学模式对于中国的双语教学更具有实际的借鉴意义。CLIL双语教学模式可分为三个方面的内容,如图2所示。
1.内容相关的学习(Content-related learning)。在课堂上使用的全英语教学材料,该材料是否合适教学,主要看以下几个方面:通过本教学材料的学习,学生可否掌握两个以上的知识点;量化掌握知识的目标;通过什么策略让学生来掌握这些知识点,比如在学生已有知识的层面上通过视觉、或头脑风暴活动、以更友好的方式展示知识点、通过不同的学习方式如游戏或者视频支持、安排有挑战性的任务给学生来完成;
2.语言相关的学习(Language-related learning)。解释可能影响学生理解文章的单词;量化和语言相关的学习掌握指标;写出让学习者完成目标需要用到的策略,如尽量将英文材料通俗易懂、将关键词标下划线、英文材料提供词汇表等;
3.学习技能相关的学习(Learning skills-related learning)。标出技能相关的目标;量化这些目标;设计好的策略帮助学习者完成这些目标,比如重新组织知识点、通过图表等分析知识点等。
CLIL双语教学模式认为人的认知过程可分为5个渐进过程,即记忆、理解、运用、分析、评价、创造(Remember,Understand,Apply,Analyse,Evaluate,Create)。其中记忆、理解、运用是低层次的思维能力因为他们更具体,而分析、评价、创造是高层次的思维能力因为他们更抽象。
五、课程设置教学实践方案
通过对现有理论和实践经验的研究和探索,采用虚拟仿真实验和CLIL双语教学方法应用到信息安全的课程教学实践中。课程设置方案氛围准备阶段、CLIL教学阶段、虚拟仿真实验阶段,各阶段描述如下:
1.准备阶段:配发讲义,其内容主要与《Cryptography and Network Security Principles and Practice,Fifth Edition》(密码编码学与网络安全-原理与实践)课程内容接近,补充专业词汇和常见表达方式。该阶段按照教学进度安排学生自学并熟悉专业词汇,同时利用CLIL教学中针对词汇测试的有趣方法对学生进行词汇量的教学和测试。
2.CLIL教学阶段。教学过程中给出不同的和密码算法相关的英文版本供学生阅读、参考和讨论。在此基础上,针对不同的密码算法设计有特色的相关的简单的任务,教师讲解,学生组成团队合作,在给定的时间内呈现设计方案并且陈述其方案,交流的过程主要使用英语完成。
3.虚拟仿真实验阶段。在教学过程中,在算法很抽象或者熟悉相关密码算法后,老师通过虚拟仿真实验平台展示该算法的原理或实际应用,将抽象内容形象化和具体化。安排学生组成团队利用虚拟仿真实验平台设计网络安全实验,进一步巩固、实践其所学习的密码理论知识。
六、信息安全双语课程教学的心得与体会
将虚拟仿真实验和基于CLIL的双语教学引入到信息安全的课堂教学中,使得教学模式和方法多样化、智能化、规范化、国际化,旨在提高学生专业英语听说写能力;加强创新精神和实践能力的培养;更生动形象传达不易理解的知识。具体意义如图3描述,总结如下:
1.引入CLIL双语教学理论,将语言和学科融合进教学。学习探讨国际上主流的被大家认可的双语教学理论如CLIL,在此基础上探索适合民族院校学生特点的教学方式方法,在《信息安全》专业课程的讲授过程中将英语的语言能力培养与信息安全的专业内容融合起来一起学习,在此过程中,语言和学科将共同发挥作用。旨在提高学生的专业英语能力、扩大学生的知识面,为国家培养高素质复合型专业人才队伍。
2.搭建虚拟仿真实验平台,将理论和实践融合进教学。在课堂教学过程将动画模拟、虚拟仿真、远程实验和实物实验优化组合,探索各类案例的优势互补,旨在调动学生学习积极性、启迪思维、激发潜能。通过虚拟仿真实验平台,整合信息安全的相关资源,提供智能化的教学服务同时,培养学生的创新能力和动手能力。
本论文的探索方法将是鼓励课前预习、课程参与、课后实践。讲授方式的选择将会优化组合教学模式,激发学生学习热情,提高学习的主动性,提高学生的上课注意力。通过CLIL模式中各类学习技巧,逐步提高学生的英语能力和专业素质。
七、总结
本论文探索将CLIL双语教学模式和虚拟仿真实验应用到信息安全的课程教学过程中。学习探讨适合信息安全课程特点和民族院校教学特点的双语教学理论如CLIL双语教学模式,在《信息安全》专业课程的讲授过程中将英语的语言能力培养与信息安全的专业内容融合起来一起学习,语言和学科将共同发挥作用;同时运用虚拟仿真实验等辅助手段,将信息安全的理论知识和实践知识结合起来,提高学生对信息安全专业的认知程度。我们所做的努力最终的目标是让学生从记忆、理解、运用知识到能分析、评价、创造知识的转变,为社会培养大量既有丰富的专业知识又精通英语的高素质复合型人才。
论文关键词:信息安全外包风险管理
论文摘要:文章首先分析了信息安全外包存在的风险,根据风险提出信息安全外包的管理框架,并以此框架为基础详细探讨了信息安全外包风险与管理的具体实施。文章以期时信息安全外包的风险进行控制,并获得与外包商合作的最大收益。
1信息安全外包的风险
1.1信任风险
企业是否能与信息安全服务的外包商建立良好的工作和信任关系,仍是决定时候将安全服务外包的一个重要因素。因为信息安全的外包商可以访问到企业的敏感信息,并全面了解其企业和系统的安全状况,而这些重要的信息如果被有意或无意地对公众散播出去,则会对企业造成巨大的损害。并且,如若企业无法信任外包商,不对外包商提供一些关键信息的话,则会造成外包商在运作过程中的信息不完全,从而导致某些环节的失效,这也会对服务质量造成影响。因此,信任是双方合作的基础,也是很大程度上风险规避的重点内容。
1.2依赖风险
企业很容易对某个信息安全服务的外包商产生依赖性,并受其商业变化、商业伙伴和其他企业的影响,恰当的风险缓释方法是将安全服务外包给多个服务外包商,但相应地会加大支出并造成管理上的困难,企业将失去三种灵活性:第一种是短期灵活性,即企业重组资源的能力以及在经营环境发生变化时的应变能力;第二种是适应能力,即在短期到中期的事件范围内所需的灵活性,这是一种以新的方式处理变革而再造业务流程和战略的能力,再造能力即包括了信息技术;第三种灵活性就是进化性,其本质是中期到长期的灵活性,它产生于企业改造技术基本设施以利用新技术的时期。进化性的获得需要对技术趋势、商业趋势的准确预测和确保双方建立最佳联盟的能力。
1.3所有权风险
不管外包商提供服务的范围如何,企业都对基础设施的安全操作和关键资产的保护持有所有权和责任。企业必须确定服务外包商有足够的能力承担职责,并且其服务级别协议条款支持这一职责的履行。正确的风险缓释方法是让包括员工和管理的各个级别的相关人员意识到,应该将信息安全作为其首要责任,并进行安全培训课程,增强常规企业的安全意识。
1.4共享环境风脸
信息安全服务的外包商使用的向多个企业提供服务的操作环境要比单独的机构内部环境将包含更多的风险,因为共享的操作环境将支持在多企业之间共享数据传输(如公共网络)或处理(如通用服务器),这将会增加一个企业访问另一企业敏感信息的可能性。这对企业而言也是一种风险。
1.5实施过程风险
启动一个可管理的安全服务关系可能引起企业到服务外包商,或者一个服务外包商到另一个外包商之间的人员、过程、硬件、软件或其他资产的复杂过渡,这一切都可能引起新的风险。企业应该要求外包商说明其高级实施计划,并注明完成日期和所用时间。这样在某种程度上就对实施过程中风险的时间期限做出了限制。
1.6合作关系失败将导致的风险
如果企业和服务商的合作关系失败,企业将面临极大的风险。合作关系失败带来的经济损失、时间损失都是不言而喻的,而这种合作关系的失败归根究底来自于企业和服务外包商之间的服务计划不够充分完善以及沟通与交流不够频繁。这种合作关系在任何阶段都有可能失败,如同其他商业关系一样,它需要给予足够的重视、关注,同时还需要合作关系双方进行频繁的沟通。
2信息安全外包的管理框架
要进行成功的信息安全外包活动,就要建立起一个完善的管理框架,这对于企业实施和管理外包活动,协调与外包商的关系,最大可能降低外包风险,从而达到外包的目的是十分重要的。信息安全外包的管理框架的内容分为几个主体部分,分别包括企业协同信息安全的外包商确定企业的信息安全的方针以及信息安全外包的安全标准,然后是对企业遭受的风险进行系统的评估.并根据方针和风险程度.决定风险管理的内容并确定信息安全外包的流程。之后,双方共同制定适合企业的信息安全外包的控制方法,协调优化企业的信息安全相关部门的企业结构,同时加强管理与外包商的关系。
3信息安全外包风险管理的实施
3.1制定信息安全方针
信息安全方针在很多时候又称为信息安全策略,信息安全方针指的是在一个企业内,指导如何对资产,包括敏感性信息进行管理、保护和分配的指导或者指示。信息安全的方针定义应该包括:(1)信息安全的定义,定义的内容包括信息安全的总体目标、信息安全具体包括的范围以及信息安全对信息共享的重要性;(2)管理层的目的的相关阐述;(3)信息安全的原则和标准的简要说明,以及遵守这些原则和标准对企业的重要性;(4)信息安全管理的总体性责任的定义。在信息安全方针的部分只需要对企业的各个部门的安全职能给出概括性的定义,而具体的信息安全保护的责任细节将留至服务标准的部分来阐明。
3.2选择信息安全管理的标准
信息安全管理体系标准BS7799与信息安全管理标准IS013335是目前通用的信息安全管理的标准:
(1)BS7799:BS7799标准是由英国标准协会指定的信息安全管理标准,是国际上具有代表性的信息安全管理体系标准,标准包括如下两部分:BS7799-1;1999《信息安全管理实施细则》;BS7799-2:1999((信息安全管理体系规范》。
(2)IS013335:IS013335《IT安全管理方针》主要是给出如何有效地实施IT安全管理的建议和指南。该标准目前分为5个部分,分别是信息技术安全的概念和模型部分;信息技术安全的管理和计划部分;信息技术安全的技术管理部分;防护和选择部分以及外部连接的防护部分。
3.3确定信息安全外包的流程
企业要根据企业的商业特性、地理位置、资产和技术来对信息安全外包的范围进行界定。界定的时候需要考虑如下两个方面:(1)需要保护的信息系统、资产、技术;(2)实物场所(地理位置、部门等)。信息安全的外包商应该根据企业的信息安全方针和所要求的安全程度,识别所有需要管理和控制的风险的内容。企业需要协同信息安全的外包商选择一个适合其安全要求的风险评估和风险管理方案,然后进行合乎规范的评估,识别目前面临的风险。企业可以定期的选择对服务外包商的站点和服务进行独立评估,或者在年度检查中进行评估。选择和使用的独立评估的方案要双方都要能够接受。在达成书面一致后,外包商授予企业独立评估方评估权限,并具体指出评估者不能泄露外包商或客户的任何敏感信息。给外包商提供关于检查范围的进一步消息和细节,以减少任何对可用性,服务程度,客户满意度等的影响。在评估执行后的一段特殊时间内,与外包商共享结果二互相讨论并决定是否需要解决方案和/或开发计划程序以应对由评估显示的任何变化。评估所需要的相关材料和文档在控制过程中都应该予以建立和保存,企业将这些文档作为评估的重要工具,对外包商的服务绩效进行考核。评估结束后,对事件解决方案和优先级的检查都将记录在相应的文件中,以便今后双方在服务和信息安全管理上进行改进。
3.4制定信息安全外包服务的控制规则
依照信息安全外包服务的控制规则,主要分为三部分内容:第一部分定义了服务规则的框架,主要阐明信息安全服务要如何执行,执行的通用标准和量度,服务外包商以及各方的任务和职责;第二部分是信息安全服务的相关要求,这个部分具体分为高层服务需求;服务可用性;服务体系结构;服务硬件和服务软件;服务度量;服务级别;报告要求,服务范围等方面的内容;第三部分是安全要求,包括安全策略、程序和规章制度;连续计划;可操作性和灾难恢复;物理安全;数据控制;鉴定和认证;访问控制;软件完整性;安全资产配置;备份;监控和审计;事故管理等内容。
3.5信息安全外包的企业结构管理具体的优化方案如下:
(1)首席安全官:CSO是公司的高层安全执行者,他需要直接向高层执行者进行工作汇报,主要包括:首席执行官、首席运营官、首席财务官、主要管理部门的领导、首席法律顾问。CSO需要监督和协调各项安全措施在公司的执行情况,并确定安全工作的标准和主动性,包括信息技术、人力资源、通信、法律、设备管理等部门。
(2)安全小组:安全小组的人员组成包括信息安全外包商的专业人员以及客户企业的内部IT人员和信息安全专员。这个小组的任务主要是依照信息安全服务的外包商与企业签订的服务控制规则来进行信息安全的技术。
(3)管理委员会:这是信息安全服务外包商和客户双方高层解决问题的机构。组成人员包括双方的首席执行官,客户企业的CIO和CSO,外包商的项目经理等相关的高层决策人员。这个委员会每年召开一次会议,负责审核年度的服务水平、企业的适应性、评估结果、关系变化等内容。
(4)咨询委员会:咨询委员会的会议主要解决计划性问题。如服务水平的变更,新的技术手段的应用,服务优先等级的更换以及服务的财政问题等,咨询委员会的成员包括企业内部的TI’人员和安全专员,还有财务部门、人力资源部门、业务部门的相关人员,以及外包商的具体项目的负责人。
(6)安全工作组:安全工作组的人员主要负责解决信息安全中某些特定的问题,工作组的人员组成也是来自服务外包商和企业双方。工作组与服务交换中心密切联系,将突出的问题组建成项目进行解决,并将无法解决的问题提交给咨询委员会。
(7)服务交换中心:服务交换中心由双方人员组成,其中主要人员是企业内部的各个业务部门中与信息安全相关的人员。他们负责联络各个业务部门,发掘出企业中潜在的信息安全的问题和漏洞,并将这些问题报告给安全工作组。
(8)指令问题管理小组:这个小组的人员组成全部为企业内部人员,包括信息安全专员以及各个业务部门的负责人。在安全小组的技术人员解决了企业中的安全性技术问题之后,或者,是当CSO了关于信息安全的企业改进方案之后,这些解决方案都将传送给指令问题管理小组,这个小组的人员经过学习讨论后,继而将其到各个业务部门。
(9)监督委员会:这个委员会全部由企业内部人员组成。负责对外包商的服务过程的监督。
摘要:文章首先分析了信息安全外包存在的风险,根据风险提出信息安全外包的管理框架,并以此框架为基础详细探讨了信息安全外包风险与管理的具体实施。文章以期时信息安全外包的风险进行控制,并获得与外包商合作的最大收益。
1信息安全外包的风险
1.1信任风险
企业是否能与信息安全服务的外包商建立良好的工作和信任关系,仍是决定时候将安全服务外包的一个重要因素。因为信息安全的外包商可以访问到企业的敏感信息,并全面了解其企业和系统的安全状况,而这些重要的信息如果被有意或无意地对公众散播出去,则会对企业造成巨大的损害。并且,如若企业无法信任外包商,不对外包商提供一些关键信息的话,则会造成外包商在运作过程中的信息不完全,从而导致某些环节的失效,这也会对服务质量造成影响。因此,信任是双方合作的基础,也是很大程度上风险规避的重点内容。
1.2依赖风险
企业很容易对某个信息安全服务的外包商产生依赖性,并受其商业变化、商业伙伴和其他企业的影响,恰当的风险缓释方法是将安全服务外包给多个服务外包商,但相应地会加大支出并造成管理上的困难,企业将失去三种灵活性:第一种是短期灵活性,即企业重组资源的能力以及在经营环境发生变化时的应变能力;第二种是适应能力,即在短期到中期的事件范围内所需的灵活性,这是一种以新的方式处理变革而再造业务流程和战略的能力,再造能力即包括了信息技术;第三种灵活性就是进化性,其本质是中期到长期的灵活性,它产生于企业改造技术基本设施以利用新技术的时期。进化性的获得需要对技术趋势、商业趋势的准确预测和确保双方建立最佳联盟的能力。
1.3所有权风险
不管外包商提供服务的范围如何,企业都对基础设施的安全操作和关键资产的保护持有所有权和责任。企业必须确定服务外包商有足够的能力承担职责,并且其服务级别协议条款支持这一职责的履行。正确的风险缓释方法是让包括员工和管理的各个级别的相关人员意识到,应该将信息安全作为其首要责任,并进行安全培训课程,增强常规企业的安全意识。
1.4共享环境风脸
信息安全服务的外包商使用的向多个企业提供服务的操作环境要比单独的机构内部环境将包含更多的风险,因为共享的操作环境将支持在多企业之间共享数据传输(如公共网络)或处理(如通用服务器),这将会增加一个企业访问另一企业敏感信息的可能性。这对企业而言也是一种风险。
1.5实施过程风险
启动一个可管理的安全服务关系可能引起企业到服务外包商,或者一个服务外包商到另一个外包商之间的人员、过程、硬件、软件或其他资产的复杂过渡,这一切都可能引起新的风险。企业应该要求外包商说明其高级实施计划,并注明完成日期和所用时间。这样在某种程度上就对实施过程中风险的时间期限做出了限制。
1.6合作关系失败将导致的风险
如果企业和服务商的合作关系失败,企业将面临极大的风险。合作关系失败带来的经济损失、时间损失都是不言而喻的,而这种合作关系的失败归根究底来自于企业和服务外包商之间的服务计划不够充分完善以及沟通与交流不够频繁。这种合作关系在任何阶段都有可能失败,如同其他商业关系一样,它需要给予足够的重视、关注,同时还需要合作关系双方进行频繁的沟通。
2信息安全外包的管理框架
要进行成功的信息安全外包活动,就要建立起一个完善的管理框架,这对于企业实施和管理外包活动,协调与外包商的关系,最大可能降低外包风险,从而达到外包的目的是十分重要的。信息安全外包的管理框架的内容分为几个主体部分,分别包括企业协同信息安全的外包商确定企业的信息安全的方针以及信息安全外包的安全标准,然后是对企业遭受的风险进行系统的评估.并根据方针和风险程度.决定风险管理的内容并确定信息安全外包的流程。之后,双方共同制定适合企业的信息安全外包的控制方法,协调优化企业的信息安全相关部门的企业结构,同时加强管理与外包商的关系。
3信息安全外包风险管理的实施
3.1制定信息安全方针
信息安全方针在很多时候又称为信息安全策略,信息安全方针指的是在一个企业内,指导如何对资产,包括敏感性信息进行管理、保护和分配的指导或者指示。信息安全的方针定义应该包括:
(1)信息安全的定义,定义的内容包括信息安全的总体目标、信息安全具体包括的范围以及信息安全对信息共享的重要性;
(2)管理层的目的的相关阐述;
(3)信息安全的原则和标准的简要说明,以及遵守这些原则和标准对企业的重要性;
(4)信息安全管理的总体性责任的定义。在信息安全方针的部分只需要对企业的各个部门的安全职能给出概括性的定义,而具体的信息安全保护的责任细节将留至服务标准的部分来阐明。
3.2选择信息安全管理的标准
信息安全管理体系标准BS7799与信息安全管理标准IS013335是目前通用的信息安全管理的标准:
(1)BS7799:BS7799标准是由英国标准协会指定的信息安全管理标准,是国际上具有代表性的信息安全管理体系标准,标准包括如下两部分:BS7799-1;1999《信息安全管理实施细则》;BS7799-2:1999((信息安全管理体系规范》。
(2)IS013335:IS013335《IT安全管理方针》主要是给出如何有效地实施IT安全管理的建议和指南。该标准目前分为5个部分,分别是信息技术安全的概念和模型部分;信息技术安全的管理和计划部分;信息技术安全的技术管理部分;防护和选择部分以及外部连接的防护部分。
3.3确定信息安全外包的流程
企业要根据企业的商业特性、地理位置、资产和技术来对信息安全外包的范围进行界定。界定的时候需要考虑如下两个方面:
(1)需要保护的信息系统、资产、技术;
(2)实物场所(地理位置、部门等)。
信息安全的外包商应该根据企业的信息安全方针和所要求的安全程度,识别所有需要管理和控制的风险的内容。企业需要协同信息安全的外包商选择一个适合其安全要求的风险评估和风险管理方案,然后进行合乎规范的评估,识别目前面临的风险。企业可以定期的选择对服务外包商的站点和服务进行独立评估,或者在年度检查中进行评估。选择和使用的独立评估的方案要双方都要能够接受。在达成书面一致后,外包商授予企业独立评估方评估权限,并具体指出评估者不能泄露外包商或客户的任何敏感信息。给外包商提供关于检查范围的进一步消息和细节,以减少任何对可用性,服务程度,客户满意度等的影响。在评估执行后的一段特殊时间内,与外包商共享结果二互相讨论并决定是否需要解决方案和/或开发计划程序以应对由评估显示的任何变化。评估所需要的相关材料和文档在控制过程中都应该予以建立和保存,企业将这些文档作为评估的重要工具,对外包商的服务绩效进行考核。评估结束后,对事件解决方案和优先级的检查都将记录在相应的文件中,以便今后双方在服务和信息安全管理上进行改进。
3.4制定信息安全外包服务的控制规则
依照信息安全外包服务的控制规则,主要分为三部分内容:第一部分定义了服务规则的框架,主要阐明信息安全服务要如何执行,执行的通用标准和量度,服务外包商以及各方的任务和职责;第二部分是信息安全服务的相关要求,这个部分具体分为高层服务需求;服务可用性;服务体系结构;服务硬件和服务软件;服务度量;服务级别;报告要求,服务范围等方面的内容;第三部分是安全要求,包括安全策略、程序和规章制度;连续计划;可操作性和灾难恢复;物理安全;数据控制;鉴定和认证;访问控制;软件完整性;安全资产配置;备份;监控和审计;事故管理等内容。
3.5信息安全外包的企业结构管理具体的优化方案如下:
(1)首席安全官:CSO是公司的高层安全执行者,他需要直接向高层执行者进行工作汇报,主要包括:首席执行官、首席运营官、首席财务官、主要管理部门的领导、首席法律顾问。CSO需要监督和协调各项安全措施在公司的执行情况,并确定安全工作的标准和主动性,包括信息技术、人力资源、通信、法律、设备管理等部门。
(2)安全小组:安全小组的人员组成包括信息安全外包商的专业人员以及客户企业的内部IT人员和信息安全专员。这个小组的任务主要是依照信息安全服务的外包商与企业签订的服务控制规则来进行信息安全的技术。
(3)管理委员会:这是信息安全服务外包商和客户双方高层解决问题的机构。组成人员包括双方的首席执行官,客户企业的CIO和CSO,外包商的项目经理等相关的高层决策人员。这个委员会每年召开一次会议,负责审核年度的服务水平、企业的适应性、评估结果、关系变化等内容。
(4)咨询委员会:咨询委员会的会议主要解决计划性问题。如服务水平的变更,新的技术手段的应用,服务优先等级的更换以及服务的财政问题等,咨询委员会的成员包括企业内部的TI’人员和安全专员,还有财务部门、人力资源部门、业务部门的相关人员,以及外包商的具体项目的负责人。
(5)安全工作组:安全工作组的人员主要负责解决信息安全中某些特定的问题,工作组的人员组成也是来自服务外包商和企业双方。工作组与服务交换中心密切联系,将突出的问题组建成项目进行解决,并将无法解决的问题提交给咨询委员会。
(6)服务交换中心:服务交换中心由双方人员组成,其中主要人员是企业内部的各个业务部门中与信息安全相关的人员。他们负责联络各个业务部门,发掘出企业中潜在的信息安全的问题和漏洞,并将这些问题报告给安全工作组。
(7)指令问题管理小组:这个小组的人员组成全部为企业内部人员,包括信息安全专员以及各个业务部门的负责人。在安全小组的技术人员解决了企业中的安全性技术问题之后,或者,是当CSO了关于信息安全的企业改进方案之后,这些解决方案都将传送给指令问题管理小组,这个小组的人员经过学习讨论后,继而将其到各个业务部门。
(8)监督委员会:这个委员会全部由企业内部人员组成。负责对外包商的服务过程的监督。
关键词:企业信息安全;信息安全体系;IT技术
中图分类号:F840文献标识码:A文章编号:1009-2374(2009)05-0072-02
当前IT已成为企业业务发展和管理不可或缺的组成部分,其作用和影响力已从单一的业务部门扩散到企业与组织的每一个领域。在IT系统给企业带来活力、利润和竞争力的同时,也给企业增加了风险。因此如何充分利用IT系统获得企业价值的最大化,并且最大限度地降低利用IT技术而带来的风险,成为每个企业都必须要真接面对的问题。本文从企业信息安全的需求为出发点,构建以管理、技术和人员三者有机结合的立体的企业信息安全管理体系,最终实现企业安全建设的最终目标。
一、信息安全管理体系
从企业的内部分析,搭建一套完整的安全架构首先要做的就是根据企业能够承受的风险水平编写企业安全规范。编写企业的安全规范首先要遵循BS 7799-2信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系;体系一旦建立组织应按体系规定的要求进行运作,保持体系运作的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。
BS 7799-2:2002所采用的过程模式如:“计划-实施-检查-措施”四个步骤,可简单描述如下:
计划:依照组织整个方针和目标,建立与控制风险、提高信息安全有关的安全方针、目标、指标、过程和程序。
实施:实施和运作方针(过程和程序)。
检查:依据方针、目标和实际经验测量,评估过程业绩,并向决策者报告结果。
措施:采取纠正和预防措施进一步提高过程业绩。
以上四个步骤成为一个闭环,通过这个环的不断运转,使信息安全管理体系得到持续改进,使信息安全绩效(Performance)螺旋上升。
二、企业信息安全体系架构
根据BS 7799-2信息安全管理体系的标准,不同的企业对信息的安全需求不同,因此每个企业都要制定切实可行的信息安全架构,不是照搬照抄其他企业的模式,或是把各种安全产品进行堆砌,说到底企业的信息安全问题不只是技术上的问题,它是一个极其复杂的系统工程。要实施一个完整信息安全管理体系,至少应包括三类措施:一是社会的法律政策、企业的规章制度以及信息安全教育等外部软环境;二是信息安全的技术措施,如防火墙技术、网络防毒、信息加密存储通信、身份认证、授权等;三是审计和管理措施,该方面措施同时包含了技术与社会措施。这些措施应该均衡考虑企业在保密性(C)、完整性(I)和可用性(A)三方面的安全需求,并且从应用安全、数据安全、主机安全、网络安全、桌面安全和物理安全等六大安全领域全面系统地实现企业的这些安全需求,从而构建安全技术、管理和人员三个方面有机结合的企业信息安全保障体系如图1所示:
该模型是一种从企业信息安全的需求(保密性、完整性、可用性)为出发点,以应用安全、数据安全、主机安全、网络安全、桌面安全、物理安全为关注重点,层层剖析全面深入地挖掘企业的信息安全需求,构建以管理、技术和人员三者有机结合的立体的企业信息安全保障体系。
这种企业信息安全管理架构的规划融合了管理和技术为核心的全面分析方法,以安全需求为焦点,从管理现状、技术现状和人员状况三个维度,综合采用调查问卷、人员访谈、现场察看、资料分析、技术检测等多种手段,全面深入地挖掘需求。在明确需求的前提下,还要借鉴同类企业成功经验,再规划出符合企业实情的信息安全保障体系。
当然该安全体系架构的具体实施还要综合考虑如下问题:成长型企业一方面要节约成本,一方面要把安全风险降到最低。从这两个出发点出发才能够建立适合成长型企业的信息安全体系;计划阶段要评估自己的信息资产,自己的信息资产的价值有多大,现有的安全手段是什么,根据评估结果确立安全战略;开始建立和实施自己的信息安全体系,拟定自己的战略流程;对员工和合作伙伴的培训,建立信息监测和安全的手段。
三、实施信息安全架构的常规操作
在保证物理安全、桌面安全、网络安全、主机安全的基础上,信息安全架构的常规操作包括数据层保护、应用程序层保护、事件应对检查和安全操作。
数据层保护包括用EFS对文件进行加密;用访问控制列表限制数据;从默认位置移动文件;创建数据备份和恢复;用Windows Rights Management Services保护文档和电子文件等等。
应用程序层保护包括只启动必需的服务和功能;配置应用程序安全设置;安装应用程序的安全更新程序;安装和更新防病毒软件;以最低权限运行应用程序等等。
事件应对检查包括确定正在遭受攻击;确定攻击类型;发出有关攻击通知;遏制攻击;采取预防性措施;将攻击情况记录存档等等。
安全最佳做法包括深层防御;设计时考虑安全;最低权限;从过去的错误中学习;维持安全级别;加强用户的安全意识;开发和测试事件应对计划和过程等等。
四、结论
综上所述,企业要做到以信息为中心的安全,必须做到管理层面、组织层面和操作层面的有机结合,这样才能建立有效的安全体系,从而实现企业安全建设的最终目标。
参考文献
[1]梁永生.电子商务安全技术[M].大连理工大学出版社,2008,(4).
[2]Mark Rhodes-Ousley,等.网络安全完全手册[M].北京:电子工业出版社,2005,(10).
[3]卿斯汉.密码学与计算机网络安全[M].北京:清华大学出版社,2001.
铁路信息安全建设和运行必须结合铁路信息化实际情况,从管理和技术两个层面综合保证铁路信息系统的运行操作安全,保障铁路信息系统及其安全基础设施的运行安全,并最终保障铁路运输业务及运输服务的安全。铁路信息安全保障体系结构见图1。管理和技术是铁路信息安全保障体系的两个要素,是保证铁路信息系统及其所支撑的铁路运输业务和服务安全建设和运行的必要条件。在这两个安全要素中,管理是核心,是基础,它影响和决定技术的选择以及技术标准规范;反过来,技术也会影响到信息安全管理方式和管理制度的具体形式,降低管理成本。在安全管理层面中,国家和铁路行业的信息安全方针政策法规是铁路信息安全建设和安全运维的管理基础;铁路信息安全管理制度是信息安全方针政策法规在铁路信息安全日常工作中的具体要求体现;铁路信息安全组织保障是落实铁路信息安全方针政策法规、执行铁路信息安全管理制度的岗位职责基础和人员保障;信息安全意识培养、培训和教育是铁路信息安全方针政策法规和铁路信息安全管理制度得以高效、准确地落实和执行的保证。管理安全保证不仅通过方针政策法规、组织保障、管理制度、意识培养培训教育等形式直接对铁路业务提供安全支持和保障外,还通过对信息安全技术的影响间接地保护铁路业务安全。铁路信息安全方针政策法规和管理制度等因素是制定铁路信息安全技术标准和规范的重要基础,同时,它们也会对信息安全方案的设计、产品选择和采购方式产生不同程度的影响。在安全管理控制下,只有具备安全资质的业务人员才可以在已经获得认证认可的技术手段支持下,执行规定的操作流程;铁路信息系统操作流程安全包括铁路信息系统的建设、运维和灾备恢复等活动的流程和操作安全,它旨在保证铁路信息系统及其安全基础设施在安全生命周期中各主要阶段的过程安全。铁路信息系统由铁路外部服务网、内部服务网、安全生产网以及若干生产专网组成,铁路的各种应用业务都直接运行在这些系统之上,为了更好地支撑这些业务系统的安全运行,支持铁路统一的安全管理,在铁路信息系统中还包括灾备中心、数字证书系统、集中管理及认证授权中心等安全基础设施系统或安全平台,这些安全基础设施及其所服务的铁路应用业务系统的运行安全是铁路运输业务及服务正常安全运行的环境保障。
2安全保障体系要素
在铁路信息系统中,无论是系统的建设、运行、灾难恢复、事件处置等活动,还是其支撑的运输业务和服务等系统目标,都离不开管理和技术两个安全要素的综合保证,其中管理是核心,在安全管理措施的控制下,只有具备安全资质的业务人员才可以在已经获得认证认可的技术手段支持下,执行规定的操作流程。
2.1铁路信息安全管理体系
铁路信息安全管理体系必须以国家信息安全相关法规、政策和标准以及铁路相关法规政策为基础和依据。按照GB/T22239—2008《信息安全技术信息系统安全等级保护基本要求》、GB/T22080—2008《信息技术安全技术信息安全管理体系要求》和GB/T22081—2008《信息技术安全技术信息安全管理实用规则》等国家标准和指南,结合我国铁路实际情况,将铁路信息安全管理体系划分为11个安全控制类别,其中包括信息安全政策、信息安全组织、资产业务、信息安全环境、设备使用、通信网络、配置授权、安全事件处置、安全运维、安全合规和灾备恢复等管理内容;在11个安全控制类别的基础上,建立铁路信息安全管理制度框架,如铁路信息资产管理制度、互联网访问管理制度、人员安全培训制度、机房管理制度、产品准入制度、系统运维制度、安全事件处理流程规定、介质管理制度、电子邮件使用管理规定、铁路软件开发管理流程规定等(见图2)。
2.2铁路信息安全技术框架
铁路信息安全技术框架是铁路信息安全保障体系的重要组成内容,主要包括安全管理、身份管理、授权管理、灾备管理、监控审计、可信保证等技术机制(见图3)。管理安全是统领铁路信息安全保障的纲领,纲举才能目张,构建一个全路信息系统可视化管理平台,以便对网络、计算机设备、应用系统部署、操作用户及角色、运维状态等关键信息进行全局的监控,提高对系统中安全问题及其隐患的发现、分析和防范能力。由全路统一身份管理平台、授权管理机制和责任认定构成的铁路网络信任管理体系是保障铁路信息安全可信和安全的前提。全路灾难备份和恢复策略管理是铁路信息系统可信、安全和业务可持续性的后盾。以密码技术为基础的可信计算技术为软硬件资源的安全和隔离提供了结构化保证,为计算环境的可信可靠(完整性)提供了有效的判别手段,为关键数据提供了可信安全存储,为分布式计算的安全机制一致性和网络接入控制提供了远程可信证明方法。可信计算技术是构建铁路信息安全保障体系的基础支撑。
2.3铁路信息安全的组织保证
铁路信息系统安全应该在组织上加以保证。在具体组织形式上应该由中国铁路总公司(简称总公司)主管领导和部门具体负责铁路信息安全的领导和组织工作,由相关专业职能部门分工协作,在铁路信息化的整体工作布局中设置专门机构和岗位、明确相关职责、配备信息安全专业技术和管理人员,确保信息安全管理制度的有效落实和信息安全技术机制的可操作性。铁路信息安全组织保证框架见图4。总公司信息安全主管部门应该包括以下职能机构:法规政策标准管理机构负责制定铁路信息安全相关法规、政策、标准和规范,并负责铁路业务应用密码的管理工作;安全建设运维管理机构根据铁路信息安全相关法规、政策、标准和规范,参与铁路信息系统及其安全基础设施的设计、开发和运维审核和监管工作;信息安全风险管理机构负责对进入铁路信息系统的相关产品进行测评认证,对运行系统进行安全监控,负责信息系统的安全风险管理工作;安全事件处置管理机构负责对系统紧急事件进行处理,对舆情进行综合分析,并根据事件性质和处理结果对事件进行通报;安全保密培训服务中心负责全路的信息安全法律法规、政策标准、安全意识和安全技能的培训提高工作,负责组织安排和协调社会力量以及高校等培训机构具体实施常态化信息安全培训工作;安全灾备恢复管理机构负责重要信息系统的运行和数据备份实施工作,并在系统出现严重故障后,迅速协调相关部门恢复服务或业务数据,保障关键业务服务的运行连续性。各铁路局(公司)应该参照总公司信息安全管理组织结构,设置相关部门或相关专职岗位,并有铁路局(公司)领导具体分管信息安全工作。铁路局(公司)信息安全工作应该在总公司统一组织、协调和安排下开展具体工作。
2.4铁路信息系统安全基础设施
铁路信息系统必须依赖于铁路网络与信息安全基础设施作为其安全支撑基础。铁路网络与信息安全基础设施不仅可以落实铁路集中统一安全管理的要求,提高铁路信息系统的安全水平,还能有效降低铁路信息安全的建设和运维成本。铁路信息安全基础设施包括铁路信息系统灾备恢复中心、铁路业务应用密码管理中心、数字证书系统、集中安全管理及认证授权中心、安全监控中心、安全隔离平台、信息安全培训平台以及铁路网络舆情分析系统(见图5)。铁路信息系统灾备恢复中心可以将由于系统重大故障或破坏带来的业务中断降低到最小程度,提高铁路的服务水平;铁路业务应用密码管理中心是保护铁路重要数据安全和业务安全的基础保证,同时它也是全路统一信任体系的技术基础;铁路数字证书系统可以在全路范围内建立统一的身份认证体系,提高铁路的信息安全集中管理能力,降低安全管理成本;铁路集中管理及认证授权中心通过全路集中的信息安全平台实现高效、统一的安全管理,保证安全策略的快速一致化部署;铁路信息系统安全监控中心可以对铁路信息系统的安全运行状态进行监控,掌握铁路信息系统的运行态势,从而实现在铁路信息系统中防患于未然,有效降低系统安全风险;铁路安全隔离平台是隔离铁路内部服务网和外部服务网的安全措施,它保证了铁路安全生产网络的正常运行;铁路信息安全培训平台对保证提高铁路员工的信息安全意识、培养安全素养极为重要,是人员安全的必要保证;铁路网络舆情分析系统对铁路了解社会评价、改善铁路社会化服务水平、提高铁路形象至为关键。
2.5铁路信息安全意识培养、培训和教育管理
要搞好铁路信息系统的信息安全管理,离不开相关人员的安全意识培养、技能培训和专业教育。铁路信息安全意识培养、培训和教育分别针对不同层次和专业的人员而设。信息安全意识培养通过对信息安全术语、议题和基本概念的宣传、宣导,吸引一般人群对信息安全的关注,帮助人们了解信息安全所关注的问题,并能因此产生正确的响应;信息安全培训让信息系统相关人员获得相关的技能和必备的资质,使其在信息安全管理、设计、开发、建设、运维、操作、评估和使用等方面满足与信息安全相关的岗位职能要求,培训可以分为初级、中级和高级等多个层次;信息安全教育则从信息安全专业理论、技术、经验等方面培养信息安全专家,与信息安全培训一样,这种信息安全教育也应分为初级、中级和高级等多个层次。为降低信息安全意识培养、培训和教育的管理和运作成本,铁路信息安全资质认证也可以和国家其他部门的资质认证机构合作,对一些可信度高、有较高权威的信息安全资质证书采取等同认可方法。铁路信息安全意识培养、培训和教育管理框架见图6。铁路信息安全意识培养、培训和教育管理可分为两方面:一方面是针对全部相关人员的信息安全意识培养。安全意识培养是一个长期的宣传和贯导工作,可以通过制度奖惩、危机教育、标语口号等方式建立普遍的信息安全概念,推广信息安全文化;另一方面是针对岗位定义不同的信息安全资质要求,并这对这些资质要求建立相对应的信息安全技能和专业培训、教育,为了满足这些资质培训教育工作,总公司必须建立相关的培训和认证机制,设置相关的机构。
2.6系统流程及操作安全保证
系统流程和操作安全是指铁路信息安全建设、运维和灾备恢复等活动的流程和操作安全,它旨在保证铁路信息系统及其安全基础设施在安全生命周期中主要阶段的过程安全。在铁路信息安全建设和运行过程中,要制定并依托相关的铁路网络与信息安全管理制度、技术标准规范和组织部门机构,对系统的安全设计、产品测评准入、安全工程等过程进行安全管控,从根本上杜绝系统在结构上的安全缺陷、严防不合规的产品进入系统、保证系统建设施工的安全规范;在铁路信息系统的日常运行过程中,也必须建立系统风险监控、评估和控制的管理和技术体系,通过专业专职的机构和部门,对系统的安全状态进行实时监控、对系统安全风险进行定期或不定期的评估;对安全事件进行预案规划、演练和应急处置,避免重大安全事件的发生;对系统服务或重要数据实施安全灾备,最大程度地减少系统故障带来的铁路运输业务和服务中断时间,减小风险后果。铁路信息安全建设、运维和灾备恢复流程见图7。
3结束语
(2001)民一终字第79号
上诉人(原审被告):海城市百柳镇人民政府,住所地辽宁省海城市西柳镇。
法定代表人:高士佩,镇长。
委托人:孙伟,北京市瑞驰律师事务所律师。
委托人:关德才,男,汉族,1952年6月10日生,辽宁省鞍山市东顺法律服务所工作人员,住辽宁省鞍山市铁东区胜利一中委四组。
被上诉人(原审原告):海城市诚信房屋开发总公司,住所地辽宁省海城市西柳镇石景村。
法定代表人:郝德彪,经理。
委托人:曲永茎,鞍山东北律师事务所律师。
上诉人海城市西柳镇人民政府(以下简称镇政府)为与海城市诚信房屋开发总公司(以下简称诚信公司)土地使用权转让、侵权赔偿纠纷一案,不服辽宁省高级人民法院(1999)辽民初字第3号民事判决,向本院提?上诉。本院依法组成合议庭审理了本案已审理终结。
经审理查明:1994年3月30日,辽宁省海城准征用海城市西柳镇45公顷旱地并出让给海城市西柳镇服装市场管理委员会,用于扩建服装市场。出让年限50年,地价每平方米30元,出让金总额1350万元。同年5月17日,镇政府取得海城市城乡建设委员会发给的该45公顷土地的《建设用地规划许可证》和《建设工程规划许可证》。1994年6月4日,镇政府与诚信公司签订了《关于西柳市场扩建工程市场南正楼的投资建设协议》,约定:一、镇政府将8576平方米的土地使用权以每平方米200元出让给诚信公司,考虑到一楼通往市场楼道的占有量,镇政府退还诚信公司土地出让金20.16万元,实际土地出让金151.36万元,协议生效后一次交付给镇政府。二、诚信公司按照镇政府的市场建设总体规划投资建设市场南正楼,具有独立产权资格,自行处理房屋产权。三、诚信公司享受镇政府市场建设的各项优惠政策,工程于1994年11月15日投入使用。四、镇政府享有对诚信公司经营的所有商业网点的管理权,负责工程投入使用后的配套来源,综合配套费按决算价格合理负担。五、如诚信公司中途停工,视为诚信公司放弃工程建设,其投入的资金无偿交付镇政府。如不能如期将工程交付使用,每延期一天赔偿镇政府2万元。该合同经海城市公证处公证。
1994年6月6日,镇政府与诚信公司签订《关于西柳镇人民政府购买城信房屋开发总公司的建市场正南楼第四层楼的协议》,约定:镇政府购买诚信公司投资建设的西柳市场南正楼四层的全部建筑房间,价格为基本造价,约每平方米1200元,共计893.76万元。协议签订后一个月内付款200万元,房屋投入使用时付款结束。该协议签订后,镇政府没有交付购房款,但南正楼第四层楼一直由镇政府占用。一审期间,诚信公司表示南正楼第四层楼可以由镇政府使用,但应确认诚信公司的产权,由诚信公司和镇政府协商使用期限和租金数额。
1994年6月18日,诚信公司向镇政府交纳土地使用权转让金150万元(收款收据名义:市场南楼土地征用费)和暂存款50万元。诚信公司和鞍山市第八建筑工程公司签订了《建设工程施工合同》,同年11月15日市场南正楼建成投入使用。工程建设期间,镇政府和诚信公司分别对外预售了南正楼的摊位及一楼门点。镇政府收取预售款后再转给诚信公司。经一审法院委托沈阳华伦会计师事务所对镇政府预售摊位的时间、数量、收款金额、资金流向及预售门点房的收款等情况进行了审计鉴定,该事务所依据镇政府提供的会计资料和凭证、海城市西柳镇财政所提供的会计凭证和明细账,确认镇政府售出摊位1350个,收款2565万元;出售门点1021.51平方米,销售款510.755万元,两项合计3075.755万元。镇政府向诚信公司共转款2100万元,其中800万元是以销售摊位款的名义,1300万元以镇政府投资款的名义划转。诚信公司向镇政府出具了收款收据。剩余的975.755万元销售款镇政府没有转给诚信公司。镇政府另占用门点房屋1860.49平方米,按门点房屋销售价每平方米5000元计,合款930.245万元。
镇政府主张,工程施工期间,镇政府曾与诚信公司达成由镇政府投资1500万元与诚信公司进行联建、双方按62%和38%的比例分配利润的口头协议。诚信公司则称镇政府提出过联建要求,但双方没有达成口头协议。
1999年2月20日,诚信公司向辽宁省高级人民法院提起诉讼,请求确认其享有百柳镇服装市场南正楼的全部产权和经营管理权,责令镇政府为其补办相关的产权手续,停止侵权行为并赔偿其经济损失2100万元,承担违约责任。2001年2月11日,诚信公司向一审法院请求以2001年1月2日的审计报告为准确定镇政府欠款的数额。
一审法院认为,镇政府与诚信公司签订的《关于西柳市场扩建工程市场南正楼的投资建设协议》是双方当事人的真实意思表示,合法有效。诚信公司依据该协议向镇政府交付了土地使用权转让金,委托鞍山市第八建筑工程公司完成了建设施工,支付了工程款,已经实际履行了合同义务。镇政府主张该协议已经废止,双方另行约定了联合开发的协议内容,没有确实充分的证据证明,不予采信。镇政府虽以投资款名义转给诚信公司1300万元款项,但经审计确认,该款是镇政府预售诚信公司开发的房屋所得,并非镇政府的实际投资。依据双方协议的约定,工程建成后其产权归诚信公司所有,前期预售的摊位、门点,应由诚信公司为购房人办理相应的产权或使用权手续。因此镇政府销售摊位、门点所得款项应当返还给诚信公司。镇政府使用的四楼房屋,应与诚信公司协商使用期限和房屋租金。镇政府收取的3075.755万元预售款,除已返还的2100万元外,尚欠的975.755万元应当返还。镇政府占用门点1860.49平方米,合款930.245万元,亦应返还。因双方未约定销售款的给付期限,且镇政府为诚信公司销售房屋亦做了一定工作,故镇政府可不赔偿上述款项的占款利息。关于已售出的摊位、门点的管理费,除应由工商行政管理部门收取的管理费之外,其它基于市场南正楼房屋产权而产生的费用应归诚信公司所得。本案涉及的国有土地使用权和房屋产权权属证书,诚信公司可持相关法律文件到有关行政管理部门办理,镇政府应予配合。依据《中华人民共和国民法通则》第八十八条第一款、第一百一十七条第一款、《中华人民共和国城市房地产管理法》第五条的规定,判决:一、海城市百柳服装市场南正楼的产权及相应的国有土地使用权归诚信公司所有;二、镇政府于判决生效后10日内返还诚信公司售房款975.755万元;三、镇政府于判决生效后10日内将占用的门点房屋1860.49平方米返还给诚信公司,如不能返还房屋,则应返还该房屋的折价款930.245万元;四、驳回诚信公司的其它诉讼请求。案件受理费115010元,审计费30000元,由镇政府负担。
镇政府不服一审判决向本院提?上诉,请求改判镇政府对南正楼享有62%的产权,诚信公司享有38%的产权。理由是:1、1994年6月4日镇政府与诚信公司签订的《关于西柳市场扩建工程市场南正楼的投资建设协议》是无效协议,实际上没有履行。南正楼建设资金绝大部分来自摊位和门点的预售款。诚信公司称南正楼工程款为3600万元,而镇政府陆续以“预售摊床款、工程款、付市场综合楼投资款”的名义向诚信公司拨款3300万元,因此预售摊位和门市的款项基本满足了工程所需资金。如果认定为工程投资,也应视为双方投资,不能认定为单方投资。镇政府与诚信公司曾口头协商过镇政府投资1500万元,按62:38与诚信公司分配利润的问题,在向诚信公司拨付预售摊床款的工程中,镇政府也以“镇政府投资款”的名义拨付了1503.35万元,诚信公司开具了收据。因此口头协议已经实际履行,南正楼建成后,双方也是基本按此比例实际占有的。另外,一审诉讼转让没有实际解决,诚信公司1994年6月24日才领取其营业执照,《关于西柳市场扩建工程市场南正楼的投资建设协议》应认定为无效协议。2、一审判判决依据审计报告判令镇政府返还诚信公司款项合计1905.1万元数额有误。诚信公司在起诉状中称镇政府预售摊位和门点的收入共计3312.68万元,先后转给诚信公司3300万元,尚欠12.68万元。但一审判决却判令镇政府返还预售款975.755万元。而一审诉讼中诚信公司并没有增加诉讼请求。3、一审判决遗漏了镇政府的其它投资。包括配套费663万元、含南正楼在内交纳二期工程各种税款2311万元,南正楼防火设施费120万元,奖励施工单位90万元等。
诚信公司答辩称,《关于西柳市场扩建工程市场南正楼的投资建设协议》合法有效,已经实际履行。根据人民政府组织法的规定,政府机关从事市场经营行为是为我国法律所禁止的。镇政府作为政府机关履行政府的社会管理职能,不能直接参与企业的经营活动。镇政府主张工程施工过程中双方口头达成联建协议,没有事实根据。一审法院委托沈阳市华伦审计事务所进行的审计是依据镇政府提供的账目进行的,结果客观、公正。镇政府所称的其它投资从性?上看,配套费不是对南正楼的投资,税款是整个市场工程的税款,不仅是南正楼的税款。防火设施费缺乏证据证实,奖励施工单位的款项与本案无关,是镇政府的单方行为,财务凭据上也表现为鞍山市第八建筑工程公司的借款单。同时镇政府在一审期间也没有提出反诉请求,主张其权利。请求驳回上诉,维持原判。
本院认为,镇政府主张其与诚信公司存在联建的“口头协议”,缺乏证据。镇政府作为政府机关,称其与诚信公司“投资联建”,与其政府机关的性质、职能不符。1994年6月4日双方订立的《关于西柳市场扩建工程市场南正楼的投资建设协议》是土地使用权转让性质的合同,其内容不违反法律规定。虽然诚信公司1994年6月24日取得企业法人营业执照,但双方当事人已经实际履行该协议,诚信公司是建设项目的投资者和建设者,一审法院认定合同合法有效并无不当。诚信公司对镇政府预售摊位款的情况提出异议,请求对镇政府的收款账目进行审计,镇政府表示同意。经一审法院委托沈阳华伦会计师事务所进行审计,确定了镇政府预售摊位的时间、数量、收款金额、资金流向及预售门点房的收款情况等,其依据是镇政府提供的会计资料和镇政府财政所提供的会计凭证和明细账。审计鉴定程序合法,双方当事人无异议,审计结论经双方当事人质证。诚信公司于2001年2月11日请求一审法院对镇政府欠款数额以审计报告为准,应当视为其已变更了诉讼请求。一审法院依据双方当事人一致同意的审计结论确认欠款数额作出判决并无不当。镇政府上诉提出一审判决超出了诚信公司的诉讼请求的理由不能成立。本院二审期间,镇政府也没有对返还预售款的数额问题提交相反的证据证明审计结论有错误,因此镇政府应按审计结论确定的数额向诚信公司返还尚欠的预售款。镇政府主张的配套费等“其它投资”问题,因镇政府对此没有提出反诉,可由镇政府依法另行解决。镇政府与诚信公司之间的《关于西柳市场扩建工程市场南正楼的投资建设协议》合法有效,镇政府应协助诚信公司办理相关的房屋产权和土地使用权手续。我国实行的是国有土地有偿使用制度,一审判决第一项确认海城市百柳服装市场南正楼的土地使用权归诚信公司所有不当。依据《中华人民共和国民事诉讼法》第一百五十三条第一款第(二)项的规定,判决如下:
一、变更辽宁省高级人民法院〈1999〉辽民初字第3号民事判决第一项为:诚信公司享有海城市西柳服装市场南正楼的房屋产权和土地使用权。
二、维持辽宁省高级人民法院〈1999〉辽民初字第3号民事判决第二、三、四项。
一审案件受理费按一审判决执行,二审案件受理费115010元,由镇政府负担。
本判决为终审判决。
审判长 胡仕浩
审判员 张雅芬
审判员 杨兴业
关键词:信息安全;管理体系;ISMS
中图分类号:TP315 文献标识码:A 文章编号:1009-8631(2010)05-0171-02
一、概述
当前,信息资源的开发和利用,已成为信息化建设的核心。信息作为一种重要的资产,已成为大家的共识。其一旦损毁、丢失、或被不失当地曝光。将会给组织带来一系列损失。这些损失是我们不愿意面对的。因此信息安全越来越成为大家关注的热点问题。前国家科技部部长徐冠华曾经指出:“没有信息安全保障的信息工程一定是豆腐渣工程”。
所谓信息安全,是针对技术和管理来说的,为信息处理体统提供安全保护,保护计算机软硬件及信息内容不因偶然意外和恶意的原因而遭到破坏、更改和泄漏。信息安全包括实体安全、运行安全、信息(针对信息内容)安全和管理安全四个方面:
1)实体安全是指保护计算机设备、网络设施以及其他通信与存储介质免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施、过程。
2)运行安全是指为保障系统功能的安全实现。提供一套安全措施(如风险分析、审计跟踪、备份与恢复、应急措施)来保护信息处理过程的安全。
3)信息安全是指防止信息资源的非授权泄漏、更改、破坏,或使信息被非法系统辨别、控制和否认。即确保信息的完整性、机密性、可用性和可控性。
4)管理安全是指通过信息安全相关的法律法令和规章制度以及安全管理手段,确保系统安全生存和运营。
信息安全是一个多层面、多因素、综合和动态的过程。安全措施必须渗透到所有的环节。才能获得全面的保护。为了防范和减少风险,一般的信息系统都部署了基本的防御和检测体系,如防火墙、防病毒软件、入侵检测系统、漏洞扫描设备等等。这些安全技术和安全设备及软件的应用,在很大程度上提高了信息系统的安全性。但是这样做不能从根本上降低安全风险。解决安全问题。因为不能把信息安全问题仅仅当做是技术问题,日常所说的防范黑客入侵和病毒感染只能是信息安全问题的一个方面。一方面由于所有安全产品的功能都是针对某一类问题,并不能应用到所有问题上,所以说它们的功能相对比较狭窄,因此想通过设置安全产品来彻底解决信息安全问题是不可能的;另一方面,信息安全问题并不是固定的、静态的,它会随着信息系统和操作流程的改变而变化。而设置安全产品则是一种静态的解决办法。一般情况下,当产品安装和配置一段时期后,旧的问题解决了。新的安全问题就会产生,安全产品无法进行动态调整来适应安全问题的变化。有效解决上述问题的关键是搭建一个信息安全体系。建设体系化管理手段,通过安全产品的辅助,从而保障信息系统的安全。
二、搭建信息安全管理体系
(一)BS7799
信息安全管理体系是安全管理和安全控制的有效结合体,通过分析信息安全各个环节的实际需求情况和风险情况,建立科学合理的安全控制措施,并且同信息系统审计相结合,从而保证信息资产的安全性、完整性和可用性。国际上制定的信息安全管理标准主要有:英国标准协会制定的信息安全管理体系标准-BS7799;国际信息系统审计与控制协会制定的信息和相关技术控制目标-COBIT;是目前国际上通用的信息系统审计标准;英国政府的中央计算机和通信机构提出的一套IT服务管理标准-ITIL;国际标准化组织(IS01和国际电工委员会(IEC)所制定信息安全管理标准-IS0/IECl335。其中BS7799英国的工业、政府和商业共同需求而发展的一个标准,于1995年2月制定的、世界上第一个信息安全管理体系标准。经过不断的修订,目前已经成为信息安全管理领域的权威标准。其两个组成部分目前已分别成为IS017799和IS027001标准。BST799涵盖了安全所应涉及的方方面面,全面而不失操作性,提供了一个可持续发展提高的信息安全管理环境。在该标准中,信息安全已经不只是人们传统上所讲的安全,而是成为一种系统化和全局化的观念。和以往的安全体系相比,该标准提出的信息安全管理体系(SMS)具有系统化、程序化和文档化的管理特点。
(二)息安全管理体系(ISMs)
信息安全管理体系(LSMS)是组织整体管理体系的一个重要组成部分,是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。基于对业务风险的分析和认识,ISMS包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动。IS027001是建立和维护信息安全管理体系的准绳,它一般是要求通过确定的过程来建立ISMS框架:确定体系范围,制定信息安全策略,明确管理职责,通过风险评估确定控制目标和控制方式。整个体系一旦建立起来,组织就必须实施、维护和不断改进ISMS,保持整个体系运作的有效性。
(三)ISMS搭建步骤
当一个组织建立和管理信息安全体系时。BS7799提供了指导性的建议,即遵循PDCA(Plan,Check和Act)的持续改进的管理模式。PDCA循环实际上是有效进行任何一项工作的合乎逻辑的工作程序。对于搭建和管理信息安全体系,其PDCA过程如下:
1)信息安全体系(PLAN)
在PLAN阶段通过风险评估来了解安全需求,根据需求设计解决方案。根据BS7799-2。搭建ISMS一般有如下步骤:
A、定义安全方针:信息安全方针是组织的信息安全委员会制定的高层文件,用于指导组织如何对资产,包括敏感信息进行管理、保护和分配的规则和指示。
B、定义1SMS的范围:ISMS的范围是需要重点进行信息安全管理的领域,组织可根据自己的实际情况。在整个组织范围内、或者在个别部门或领域架构ISMS。
C、实施风险评估:首先对ISMS范围内的信息资产进行鉴定或估计,然后对信息资产面对的各种威胁和脆弱性进行评估,同时对已存在的或规划的安全控制措施进行鉴定。
D、风险管理:根据风险评估与现状调查的结果。确定安全需求,决定如何对信息资产实施保护及保护到何种程度限(如接受风险、避免风险、转移风险或降低风险)。
E、选择控制目标和控制措施:根据风险评估和风险管理的结果,选择合适的控制目标和控制措施来满足特定的安全需求。可以从BS7799-1的中进行选择,也可以应选择一些其它适宜的控制方式。
F、准备适用性申明(SOA):SOA是适合组织需要的控制目标和控制的评论,记录组织内相关的风险控制目标和针对每种风险所采取的各种控制措施。
2)实施信息安全体系(D01
在DO阶段将解决方案付诸实现,实施组织所选择的控制目标与控制措施。
3)检查信息安全体系(cHECK)
在CH ECK阶段进行有关方针、程序、标准与法律法规的符合性检查,对存在的问题采取措施,予以改进,以保证控制措施的有效运行。在此过程中,要根据风险评估的对象及范围的变化情况。以及时调整或完善控制措施。常见的检查措施有:日常检查、从其他处学习、内部ISMS审核、管理评审、趋势分析等。
4)改进信息安全体系(ACT)
在ACT阶段对ISMS进行评价。以检查阶段发现的问题为基础,寻求改进的机会,采取相应的措施进行调整与改进。
关键词:混业经营;金融牌照;信息安全;管理体系
一、金控的定义与历史机遇
(一)金控的定义
金控是金融控股的简称,是指在同一控制权下,完全或主要在银行业、证券业、保险业中至少两个不同的行业提供服务的金融集团。从定义上可以直接反映出金控公司的特点:多金融牌照混业经营,由一家集团母公司控股,通过子公司独立运作各项金融业务。
(二)金控的历史机遇
金控公司出现之初,集团母公司多是扮演财务投资的角色,不参与具体业务的运营。随着国家“十三五”工作的推进,金融改革不断深化和多元化,单一业务的聚集效应在减弱,而以多业务构建“客户-平台-资产”供应链闭环生态系统的金控平台则迎来其历史发展机遇。其通过资源协同、渠道整合、交叉销售等运营模式,促进供应链上各项金融业务的联动发展,最大程度地发挥了产品互补优势,提高效能,享受高额市场回报。
二、金控体系下信息化建设的重要性和安全需求
(一)信息化建设的重要性
打造金控体系下多牌照的闭环生态系统,离不开信息化平台的建设。换个角度,信息系统是多牌照业务融合、产品创新和效能提升的一种有效手段。如通过信息化建设金控体系下统一的客户系统、全面风险管理系统、产品销售系统、大数据分析平台等,可助力金控集团建立品牌效应,快速响应多元化的市场需求,从而实现业务的爆发式增长。基于信息化的重要性,综观目前市场上的各类金控公司,都在大力发展信息化建设,寻找业务创新点,引领行业升级和抢占市场。
(二)信息安全需求分析
对于互联网时代的金融企业来说,数据是核心,安全是生命线。随着《网络安全法》的实施,信息安全已上升到国家战略层面,构建金融企业的信息安全防护网势在必行。对于金控公司来说,由于是混业经营模式,旗下不同牌照的子公司,因其监管部门不同以及对信息安全要求不一样,在规划其信息安全时,必须将多牌照的特点融入到安全体系内,同时满足信息安全和业务发展的平衡需求,以免顾此失彼,得不偿失。
三、金控体系下信息安全体系规划
建立一套金控公司的安全体系,必须同时从管理和技术角度进行规划,管理是运营措施,而技术是操作手段,相辅相成,缺一不可。
(一)信息安全管理体系的规划
1.对标的选择。建立一套信息安全体系,目前可对标的标准和规范包括国际标准ISO27001、国家安全标准、各监管机构的安全指引、信息安全等级保护管理办法,以及行业的最佳实践等。对于金控信息安全管理体系的规划,应该以ISO27001为基础,结合监管的合规要求进行编制。2.设计原则。通常情况下混业经营企业在制定企业管理体系标准时要照顾到各方的使用需求,其标准具有通用性和广泛性。具体使用部门或子公司可再结合自身业务特点,制定更具体的操作规范。但对于金控行业来说,由于旗下各子公司经营的都是金融业务,对信息安全的要求比普通企业更严格,信息安全是其不可逾越的红线。因此在为其设计信息安全管理体系时,应反其道而行,从严要求,以最严格的标准进行编制,做好顶层设计,然后根据各子公司的业务特点,对制度或规范做适当的裁减或降低等级要求。3.管理体系模型。信息安全管理体系是一个多层次的模型,如图1所示。在该模型中,第一层是企业信息安全方针政策,说明企业信息安全总体目标、范围、原则和安全框架等;第二层是企业安全管理制度和规范,说明体系运行所需要的通用管理要求;第三层属于安全管理活动中,用于约束安全行为的具体方法;第四层是配套的表单和记录,用于辅助制度和管理办法的执行。4.安全目标和方针的设计。虽然是混业经营,但对于金控集团及旗下各子公司来说,信息安全的目标应该是一致的,本质都是追求企业数据的保密性、完整性和可用性,所以安全方针可以基于集团统一考虑,设计为:安全、合规、协同、务实。安全:以风险管控为核心,主动识别、管控并重,为用户提供安全、可靠的信息技术服务。合规:按照国家法律法规及行业监管要求,建立满足集团业务发展需求,并具有专业能力的信息安全管理机制。协同:全员参与,对全体员工进行持续的信息安全教育和培训,不断增强员工的信息安全意识和能力。务实:以经济适用为准则,选择适应公司发展变化的业务架构和稳定灵活的技术架构,满足各业务条线的管理和决策需要。5.组织架构的设计。信息安全方针的贯彻,安全制度的执行,安全技术的部署,都需要通过安全管理组织来推行。各个模块相互之间的关系如图2所示。对于金控行业公司而言,由于多数子公司都是独立法人,无法完全成立一个实体安全组织,而是一个横跨集团和各子公司的虚拟安全组织。为保证安全组织的有效性和执行力,应具有分工合理、职责明确、相互制衡、报告关系清晰的特点。6.管理制度及规范的设计。管理制度和规范是属于企业运营措施,根据ISO27001标准模型,安全管理制度划分了14个控制域,涵盖的内容如图3所示。根据各控制域的关联关系,结合金融企业的安全需求,企业的安全管理制度通用全景图设计如图4所示。
(二)信息安全技术体系规划
技术体系属于信息安全操作层面的内容,应该是围绕整个数据生命周期展开规划的。根据数据的运动轨迹,经历“生产-传输-计算-存储-消亡”等阶段,所以信息安全技术体系的范围,应该涵盖物理环境、基础架构(含虚拟化层)、应用、数据和访问控制等。一般通用的安全技术体系全景如图5所示。由于安全技术需要部署大量的专业设备,对于混业经营的金控公司而言,可以发挥集团总部的先天优势,对于一些共性的安全技术方案,由集团统一规划和部署,然后为各子公司提供相应的安全服务,减少投入,节约成本。例如防病毒系统,由集团总部部署服务端,各子公司部署客户端即可,类似的安全技术服务还有漏洞扫描系统、身份认证系统、终端准入系统、APT检测系统、安全渗透服务、安全培训服务等。
四、金控体系下信息安全的实践
由于是混业经营,在组建了横跨集团和各子公司的安全组织后,还需要不断地进行实践以达到最佳效果,以下是一些具有特色的实践场景。
(一)信息安全事件的统一管理
信息安全事件的管理是安全制度之一,有效的事件管理可以积极发挥安全效能,提升全集团的安全能力。1.情报共享,协同防护。在管理层面,原各业务子公司只会向其外部监管部门报送安全信息,相互独立,不能有效共享相关的安全情报。新的模式下要求子公司同时将安全信息上报集团总部,总部通过分析后形成统一报告,再发放到各个子公司。通过这种方式,一方面可以实现情报共享,另一方面可以实现信息安全的统一管控,协调防护。2.统一监控,快速反应。在技术层面,可通过在子公司部署探针,建立集团的统一安全监控平台,对集团内所有的安全日志进行采集、分析、响应,同时结合集团和各子公司的安全保护措施对事件进行快速处理,合纵连横,从而保证整个集团和各子公司信息系统的安全稳定运行。
(二)子公司信息安全建设的管理
对于多牌照的金控公司来说,旗下各子公司业务种类不同,规模也有区别。在信息安全的建设方面,应该有区分对待。对于规模较大的子公司,依靠自身力量建设了数据中心及安全体系的,除一些共性的安全技术方案可由集团提供以外,其他的安全措施由子公司执行,集团主要是发挥标准制定和监管的角色。对于规模较小的子公司,由于IT力量较弱,数据中心体量有限,很难依靠自身建设完整的信息安全保护体系。在监管许可的情况下,可以将子公司的信息系统托管在集团数据中心,由集团进行信息安全的统一规划、建设和运维。
(三)交叉检查,取长补短
由于同属于一个集团,各子公司之间具有天然的信任感,通过集团的统一组织和管理,可以促进各子公司之间进行信息安全的交叉检查,在兄弟公司之间充分展示本单位的优势,取长补短,相互学习,共同进步。
参考文献:
[1]ISO27001:2013.信息安全管理体系标准[S].2013.
[2]中国银行业监督管理委员会.商业银行信息科技风险管理指引[Z].2009.
关键词:信息安全;管理;电子信息
引言
在计算机技术更新、发展迅速的今天,总有一些不法分子通过各种手段窃取企业信息,严重威胁企业财产、业务安全,甚至损坏企业形象与品牌。在传统的信息安全管理中,往往忽略了人在信息安全方面的重要作用,而仅仅依赖于技术管理。虽然技术对信息安全管理有重要作用,但如果只依赖于技术管理,将不能起到良好的防范效果。因为据权威机构的数据显示,在所有信息安全事故中,70%-80%是因为内部员工的疏忽或泄密引起的。因此,为了提高电子信息的安全管理,必须加强企业对网络的防范意识,建立电子商务安全管理体系和信息安全管理制度等。
一、加强电子信息网络安全防范意识
据调查,网站安全的隐患,在我国的许多企业都有存在,它的原因主要是企业管理者对网络安全意识缺乏足够的重视,他们大多数对网络安全系统只建立了技术防范机制,用一些先进的技术手段阻隔窃取者的入侵,保证电子信息的安全,但是却未形成互联网易受攻击的意识。这就为黑客等窃取者有机可乘。尤其在一些中小企业,认为自己公司的规模小,不会招致侵犯,如此态度,网络安全就更难以得到保护。因此,要使电子商务信息安全得到保护,必须加强企业管理者与工作人员的安全防范意识,只有如此才能维护电子商务信息安全。
二、建立健全电子安全管理组织体系
加强对电子信息安全的保护,必须在坚持企业目标与安全方针的前提下,在企业内部建立电子商务安全管理组织体系,就是建立信息安全指导委员会,对组织内的信息安全问题定期进行讨论与解决。他们主要负责审批信息安全方针、政策;分配信息安全管理职责;并对风险评估加以确认,对信息安全预算计划及设施购置的审查与批复;此外,还有负责实施与评审信息安全的措施与监测和对安全事故的处理;以及协调与信息安全管理有关的重大更改事项的决策,对信息安全管理队伍与各部门之间的关系的等职能。
三、建立电子信息安全管理制度
电子商务信息安全管理制度主要有人员管理制度、保密制度、系统维护制度、病毒防范制度等。制定科学合理的电子信息安全管理制度,对企业的信息安全管理有着积极的促进作用。企业要根据自身的特点,在制度制定时对网络信息的安全等级进行有序的划分,以此使具体的安全目标加以确立。
1.人员管理制度
人员管理制度包括人事选拔制度、人员管理原则、网络管理人员的基本要求等内容。其中,良好的人事选拔制度是维护电子信息安全之本。人员管理的基本原则包括多人负责原则和轮岗原则、有限权力原则、离职控制原则。而网络管理人员的基本要求包括以下几个方面:
(1)不得随便放置账号和密码;(2)在废纸堆中不得放置敏感数据;(3)不得使陌生人进入要害部门;(4)要将防火墙等安全产品谨慎配置;(5)不得使用人人皆知的密码和空密码;(6)加强层层设防重要系统;(7)查阅安全日志需配备专人;(8)对员工的安全防范意识加以培训。
2.保密制度
企业的市场、生产、财务、供应等多方面的机密,电子信息运营都有所涉及,因此制定和实行严格的保密制度是完全有必要的事情。我们依靠信息的性质和重要程度,将保密信息划分为三级。分别是必须实行强制安全保护的A级机密信息,必须实行自主安全保护的B级内部信息与必须实行一般安全保护级的C级公共信息。
3.网络系统的日常维护制度
网络系统的日常维护制度是用于记录系统运行的全过程。这就要求企业在网络系统中建立网络交易系统日志机制,并自动生成日志文件。日志文件主要内容有:操作的日期、操作的方式、登录的次数、运行的时间、交易的内容等。它对监督系统的运行、分析维护、恢复故障、防止盗密案件的发生等起着非常重要的作用。此外,它还有检查系统日志、审核、对系统故意入侵行为及时发现的记录和对系统安全功能违反的记录、监控和捕捉各种安全事件、保存、维护和管理系统日志等的审计作用。
4.防止病毒入侵制度
作为防止病毒袭击,保证网上交易的一个重要方面,防病毒入侵制度对网上交易的顺利开展,有着积极的防范作用。因此必须及时建立病毒防范措施,实行病毒定期清理制度,将处于潜伏期的病毒清除干净,预防与阻止病毒的突然爆发,保持计算机的工作状态始终处于良好的环境中,从而为网上交易的正常进行提供有力的保证。
四、结束语
企业电子信息的安全管理依赖于一个完整而有力的管理体系,来保证信息安全管理的规范与长效。而建立完善的管理体系需要注重人为方面的因素,将人为因素与科技因素结合起来,这样才能达到企业安全管理的安全、可靠与稳定。
参考文献:
[1]赵刚;王兴芬.电子信息安全管理体系架构优先出版[J].北京信息科技大学学报(自然科学版,2010(14).
关键词:网络安全;保障体系;构建策略
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 19-0000-02
1 网络安全问题概述
1.1 网络安全的现状。2011年,我国境内与互联网连接的用户有60%以上的用户受到境外用户的攻击。仅在过去的两年我国遭到网络安全攻击的计算机IP地址就超过了100多万个,被黑客攻击的网站将近5万个;在网络病毒威胁方面,我国仅被一种网络病毒感染的计算机数量就超过了1800万台,占全球感染主机总量的30%,位列全球第一。近些年关于漏洞多,木马、病毒猖獗;网络瘫痪、网站被篡改、系统被入侵;网银转款、网上诈骗等网络安全问题的报道也非常多,网络安全现状令人堪忧。
1.2 网络面临的问题与挑战。随着计算机网络通信技术的高速发展,人们的工作和生活越来越离不开计算机网络信息通信系统,近些年,新涌现出来的网络信息安全问题已成为全球广泛关注的焦点问题,人们在在网络信息安全方面面临着各种各样的问题,来自网络安全的各种挑战非常严峻。
首先,计算机网络信息系统不断从传统的专有系统想当前的通用操作系统转变,也就是说,当前的网络信息系统越来越开放,再加上,绝大多数网络通信系统采用的是TCP/IP网络传输协议来进行网络通信服务的,而TCP/IP网络传输协议由于自身安全性不足,给网络信息系统的安全就带来了一定的挑战;其次,随着国际互联网网络这一大环境的不断改变,针对网络信息系统的安全威胁不断表现出多样化和多源化的特点,针对网络系统的安全威胁的多样化和多源化,需要构建一个纵深的、立体的、全方位的网络安全解决方案,这就为网络安全防御系统的复杂性和可控性问题提出了挑战;最后,在过去的几年中,有很多组织机构部门对自身的网络信息系统的安全建设进行了大量的人力和资金投入,并花费了大量的资金用来进行网络系统安全设备的采购,以采集大量的网络通信日志及网络安全攻击报警信息,但问题是,所采集的这些信息并没有被得到充分的利用,以至于许多未被明确的网络安全风险,依然保留在网络信息系统中,从而对网络信息系统的安全构成威胁。
2 认识网络安全保障体系
2.1 网络安全保障体系的提出。随着信息化的发展,政府或企业对信息资源的依赖程度越来越大,没有各种信息系统的支持,很多政府或企业其核心的业务和职能几乎无法正常运行。这无疑说明信息系统比传统的实物资产更加脆弱,更容易受到损害,更应该加以妥善保护。而目前,随着互联网和网络技术的发展,对于政府或企业的信息系统来讲,更是面临着更大的风险和挑战。这就使得更多的用户、厂商和标准化组织都在寻求一种完善的体系,来有效的保障信息系统的全面安全。于是,网络安全保障体系应运而生,其主要目的是通过信息安全管理体系、信息安全技术体系以及信息安全运维体系的综合有效的建设,让政府或企业的网络系统面临的风险能够达到一个可以控制的标准,进一步保障网络信息系统的安全稳定运行。
网络安全保障体系是针对传统网络安全管理体系的一种重大变革。它依托安全知识库和工作流程驱动将包括主机、网络设备和安全设备等在内的不同资产和存放在不同位置中的大量的安全信息进行范式化、汇总、过滤和关联分析,形成基于资产/域的统一等级的威胁与风险管理,并对威胁与风险进行响应和处理,该系统可以极大地提高网络信息安全的可控性。
2.2 网络安全保障体系的作用。网络安全保障体系在网络信息安全管理中具有十分重要的作用,主要体现在如下三个方面:首先,网络安全保障体系可以对整个网络系统中不同的安全设备进行有效的管理,而且可以对重要的网络通信设备资产实施完善的管理和等级保护;其次,网络安全保障体系可以有效帮助网络安全管理人员准确分析现有网络信息系统所面临的安全威胁,从而可以帮助管理人员制定合理的网络安全应急响应流程;最后,网络安全保障体系可以通过过对网络风险进行量化,实现对网络风险的有效监控和管理。
3 网络安全保障体系的构建策略
3.1 确定网络安全保障体系构建的具体目标。网络安全保障体系建设是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它包括信息安全组织和策略体系两大部分,通过信息安全治理来达到具体的建设目标。其中,信息安全的组织体系是指为了在某个组织内部为了完成信息安全的方针和目标而组成的特定的组织结构,主要包括决策、管理、执行和监管机构四部分组成;信息安全的策略体系是指信息安全总体方针框架、规范和信息安全管理规范、流程、制度的总和。
3.2 确定适合的网络安全保障体系构建的方法。(1)网络安全管理基础理论。网络安全保障体系的安全管理方法就是通过建立一套基于有效的应用控制机制的安全保障体系,实现网络应用系统与安全管理系统的有效融合,确保网络信息系统的安全可靠性。(2)建立有效的网络安全保障体系。一是网络信息安全组织保障体系作为网络信息安全组织、运作、技术体系标准化、制度化后形成的一整套对信息安全的管理规定,建立的网络安全保障体系可以在完善信息安全管理与控制的流程上发挥重要作用;二是网络信息安全技术保障体系作为网络安全保障体系的重要支撑,有效利用访问控制、身份鉴别、数据完整性、数据保密性等安全机制,是实现网络安全防护的重要技术手段;三是网络信息安全运维保障体系可以通过对网络信息系统的安全运行管理,实现整个网络信息系统安全监控、运行管理、事件处理的规范化,充分保障网络信息系统的稳定可靠运行。
3.3 建立网络安全保障体系组织架构。网络安全组织体系是网络信息安全管理工作的保障,以保证在实际工作中有相关的管理岗位对相应的控制点进行控制。因此,需要根据该组织的网络信息安全总体框架结合实际情况,确定该网络组织信息安全管理组织架构。其中,网络安全保障体系组织架构主要包括如下内容:一是网络信息安全组织架构。针对该组织内部负责开展信息安全决策、管理、执行和监控等工作的各部门进行结构化、系统化的结果;二是信息安全角色和职责,主要是针对信息安全组织中的个体在信息安全工作中扮演的各种角色进行定义、划分和明确职责;三是安全教育与培训。主要包括对安全意识与认知,安全技能培训,安全专业教育等几个方面的要求;四是合作与沟通。与上级监管部门,同级兄弟单位,本单位内部,供应商,安全业界专家等各方的沟通与合作。
3.4 建立网络安全保障体系管理体系。(1)网络访问控制。用户访问管理规范及对应表单、网络访问控制规范与对应表单、操作系统访问控制规范及对应表单、应用及信息访问规范及对应表单、移动计算及远程访问规范及对应表单。(2)网络通信与操作管理。网络安全管理规范与对应表单、Internet服务使用安全管理规范及对应表单、恶意代码防范规范、存储及移动介质安全管理规范与对应表单。(3)网络信息系统的获取与维护。网络信息系统的获取与维护即要求明确网络信息安全项目立项管理规范及对应表单、软件安全开发管理规范及对应表单和相关的软件系统。
参考文献:
[1]刘明伟.网络安全保障体系构建及其实现策略研究[J].科技资讯,2010,13.
关键词:信息安全;管理体系;PKI/CA;MPLSVPN;基线
在供电企业现代信息技术广泛运用生产经营、综合管理之中,实现资源和信息共享,为领导提供相关辅助决策。保障企业信息安全是企业领导层、专业人员及企业全员共同面对的。信息安全是集管理、人员、设备、技术为一体系统工程,木桶原理可以很好地诠释信息安全,一个企业安全不取决于最强项,而取决最短板。信息安全需从制度建设、体系架构、一体化防控体系、人员意识、专业人员技术水平等多方面共同建设,才能有效提高企业信息安全,才能为企业生产、经营保驾护航。
1基层供电信息安全现状
基层供电企业信息安全建设方面,在制度建设、安全分区、网络架构、一体化防护、人员意识、专业人员技术水平等多方面存在不同程度问题。
1.1管理制度不健全,制度多重化
信息安全制度建设方面较为被动,大多数都是现实之中出现某一问题,然后一个相关制度,制度修修补补。同一类问题有时出现不同管理规定里,处理办法不一,甚至发生冲突。原有信息安全管理制度宽泛,操作性较差。信息系统建设渠道不同,未提前进行信息安全方面考虑,管理职责不明,导致部分信息安全工作开始不顺畅。
1.2安全区域划分不明,网络架构不清晰
基层供电企业系统建设主要由上级推广系统和自建系统,系统建设时候相当部分系统未充分考虑系统,特别是业务部门自建系统更甚。网络建设需要什么就连接什么,存在服务器、终端、外联区域不明显,网络架构不清晰。
1.3未建立一体化安全防护体系
从近些年已经发生的各类信息安全事件来看,内部客户端问题造成超过将近70%。内部终端用户网络行为控制不足,存在网络带宽滥用;终端接入没有相应准入控制,不满足网络安全需求用户接入办公网络,网络环境安全构成极大风险;内部人员对核心服务器和网络设备未建立统一内部控制机制;移动介质未实施注册制管理等问题。
1.4未建立行之有效设备基线标准
网络安全设备、操作系统、数据库、中间件、应用系统等厂家为了某种方便需求,在设备和系统中常常保留有默认缺省安全配置项,这些恰恰是别人利用漏洞。基层供电企业在部署设备和系统时,没有统一基线标准,没有对设备和系统进行相应基线加固,企业存在潜在风险。1.5信息安全意识较差,技术水平参差不齐企业信息安全认识存在认识上误区,常常认为我们有较强信息安全保护设备,外部不易攻破内部,事实上堡垒常常是从内部攻破的。比如企业员工弱口令、甚至空口令、共用相同密码、木马、病毒、企业机密泄露等,这恰恰是基层供电企业全员信息安全意识较为薄弱表现。专业技术人员缺乏必要自我学习和知识主动更新,未取得专门信息安全专业人员资质,处理问题能力表现参差不齐。
2必要性
信息安全为国家安全重要组成部门,电力企业信息安全为国家信息安全的重要元素,电网安全事关国计民生。2014年2月,国家成立中央网络安全和信息化领导小组,将网络信息安全提升前所未有高度。近年发生的“棱镜门”事件,前几年发生伊朗核电站“震网”病毒(Stuxnet病毒)网络攻击,其中一个关键问题就是利用移动介质摆渡来进行攻击,造成设备瘫痪,这一系列信息安全事件都事关国家安全,因此人人都要有信息安全意识。首先要防止企业机密数据(财务、人资、投资、客户等)泄漏;其次,保持数据真实性和完整性,错误的或被篡改的不当信息可能会导致错误的决策或商业机会甚至信誉的丧失;最后,信息的可用性,防止由于人员、流程和技术服务的中断而影响业务的正常运作,业务赖以生存的关键系统如失效,不能得到及时有效恢复,会造成重大损失。建立严格的访问控制,前面数据分级时有制定数据的“所有者”及给敏感数据进行分级,按照分级的要求制定严格的访问控制策略,基本的思想是最小特权原则和权限分离原则。最少特权是给定使用者最低的只需完成其工作任务的权限;权限分离原则是将不同的工作职能分开,只给相关职能有必要让其知道的内容访问权限。通过对内部网络行为的监控可以规范内部的上网行为,提高工作效率,保护企业有限网络资源应用于主要生产经营上来。
3特点探析
通过我们对基层供电企业在信息安全存在问题及必要性来看,主要是管理制度、网络信息安全技术、人员意识等方面存在问题,有以下特点。
3.1管理制度方面
常说信息安全“三方技术、七分管理”,制度建设对信息安全保障至关重要。信息安全管理制度应该有上级主管部门建立一套统一管理制度,基层供电企业遵照执行,可以根据各单位具体情况进一步细化,让管理制度落地。从企业总体信息安全方针到具体专业制度管理上,实现全网一体化,规范化。
3.2网络信息安全技术方面
上级专业主管部门,站在企业高度,制定专业技术标准和技术细则。从网络安全分区、网络技术架构、互联网接入和访问方式、终端安全管理、网络准入控制等方面统一规划,分布实施,最终实现企业网络信息安全防控一体化。
3.3信息安全意识培养方面
企业员工信息安全意识培养是个长期的过程,不是通过一次两次培训就能解决的,采取形式多样化方式来培养员工安全意识,可以通过集中培训讲课、视频宣传、张贴宣传画等方式进行。针对专业人员,要让他们养成按照制度办事习惯,用户需要申请某项资源,严格按照制度执行,填写相应资源申请,有时候领导打招呼也要按照制度流程来执行。长此以往,人人都会知道自己该做什么,不该做什么,该怎么做,企业信息安全意识就会得到极大提高。
3.4专业技术人员水平方面
信息安全技术日新月异,不学习就落后,不断收集信息安全方面信息,共同讨论相关话题,建立相应培训机制,专业人员实行持证上岗,提升专业人员实际解决问题能力,有效提高人员专业素养,成为企业信息安全方面专家。
4实施和开展
从2009年开始,先后进行一系列信息安全建设,涉及到信息安全制度建设、网络信息安全体系架构、信息安全保障服务、人员培训等方面,整体提高基层供电企业信息安全状况。
4.1信息安全制度建设
2010年开始信息安全体系ISO27001、27002建设,结合企业情况,形成30个信息安全相关文件,涵盖企业信息安全方针、等级保护、人员管理、机房管理、网络信息系统运行维护管理、终端安全、病毒防护、介质管理、数据管理、日志管理、教育培训等诸多方面。2013年为进一步提示公司信息化管理水平,先后增加修改建设管理、实用化管理、项目管理、信息安全管理、运维管理、综合管理5个方面14个管理细则。经过这一系列制度建设,基层供电企业有章可循,全网信息安全依据统一,明确短板情况。
4.2建设一体化网络与信息安全防控
首先依据电监会5号文件要求,网络架构按照三层四区原则进行部署建设,生产实时控制大区(Ⅰ、Ⅱ区)与信息管理大区(Ⅲ、Ⅳ区)之间采用国家强制认证单向数据隔离装置进行强制隔离,网络架构采用核心、汇聚、接入部署。网络接入按照功能划分服务器区、网管区、核心交换区、用户办公区、外联区、互联网接入区,在综合数据网上,利用MPLSVPN,根据划分不同VPN业务、隔离相互间数据交叉。建立全网PKI/CA系统,构建企业员工在企业数字身份认证系统,已建成系统进行未采用PKI登陆系统,进行相应改造结合PKI/CA系统,采用PKI登陆,在建系统用户登陆必须集成PKI登陆。根据企业信息安全要求,进行互联网统一出口,部署统一互联网防控设备,建立统一上网行为管理策略,规范员工上网行为,合理使用有限互联网资源,审计员工上网日志,以备不时之需。建立企业统一病毒防护系统,实现病毒软件统一安装,病毒库自动更新,防护策略统一下发,定期统计病毒分布情况,同时作为终端接入内网必备选项,对终端病毒态势比较严重用户进行督促整改,有效防止病毒在企业内部蔓延,进一步进化内网环境。建立统一网络边界安全防护,在企业内网边界合理部署防火墙、IPS、UTM,并将其产生日志发送到统一安全管理平台,进行日志管理分析,展现企业内部信息安全态势,预警企业内部信息安全存在问题。利用AD域或PKI/CA进行用户身份认证,建设统一桌面管理,所有内网用户必须满足最基本防病毒、安全助手、IT监控要求方可接入内网,系统启用强制安全策略,终端采用采用DHCP,用户不能自动修改IP地址,在DHCP服务器上实现IP与MAC地址及人员绑定,杜绝用户私自更换IP地址引起冲突。安全认证方面可以采用NACC或交换机802.1x方式进行,不满足要求用户,自动重定向到指定网站进行安全合规性检查,满足要求后自动接入内网,强制所有用户采用统一网络安全准入规则。实行移动介质注册制,极大提高终端安全性,有效保护企业信息资产。建立内部运维控制机制,实现4A统一安全管理,认证、账号、授权、审计集中管控。规划统一服务器、网络设备资源池,按照用户需求,提交相应申请材料,授权访问特定设备和资源,并对用户访问行为全程记录审计。
5结语