企業(yè)信息安全的概念范文

時間:2023-10-09 17:30:13

導語:如何才能寫好一篇企業(yè)信息安全的概念,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公文云整理的十篇范文,供你借鑒。

企業(yè)信息安全的概念

篇1

企業(yè)經營信息對于企業(yè)來說是一種資源,對于企業(yè)自身來說具有重要意義,企業(yè)需要妥善管理自身企業(yè)的信息。近年來,企業(yè)的各項經營活動都逐漸開始通過計算機,網絡開展,因此,企業(yè)的信息安全管理對于企業(yè)越來越重要。許多企業(yè)開始通過各種技術手段以及制度改革,把更多的注意力放在企業(yè)內部的信息安全管理工作,同時將企業(yè)信息安全管理與風險控制結合起來,這是一個正確的選擇,能夠幫助企業(yè)實現穩(wěn)定經營。在介紹企業(yè)信息安全管理以及風險控制前必須厘清企業(yè)信息安全管理的概念與企業(yè)風險控制定義,因此,本節(jié)將著重介紹企業(yè)信息安全管理的概念以及企業(yè)風險控制的定義。企業(yè)的信息安全管理包含十分豐富的內容,簡單來說是指企業(yè)通過各種手段來保護企業(yè)硬件和軟件,保護網絡存儲中的各種數據不受偶然因素的破壞或者惡意的原因被攻擊。對于信息安全的認定通過包括4個指標,即保證信息數據的完整,保證信息數據不被泄露,保證信息數據能夠正常使用,保證信息數據能夠控制管理。要想做好企業(yè)的信息安全管理,首先需要了解的是關于信息的傳輸方式。隨著信息技術的不斷普及,信息傳遞的方式越來越多,常見的信息傳遞方式主要有互聯網傳播,局域網傳播,硬件傳播等等。要想實現企業(yè)的信息安全管理,其中很重要的一項工作在于保護信源、信號以及信息。

信息安全管理是一項需要綜合學科知識基礎的工作,從事企業(yè)信息安全管理工作的人員通過需要具有網絡安全技術、計算機技術、密碼技術、通信技術。從企業(yè)的信息安全管理來講,最為關鍵的一項工作時保護企業(yè)內部經營信息數據的完整。經過近十年來的企業(yè)信息安全管理工作經驗總結,企業(yè)信息安全不僅僅需要信息技術的支持,更需要通過建立完善的企業(yè)風險控制體系來幫助企業(yè)實現更好地保護企業(yè)信息安全的目標。所以,怎樣把企業(yè)信息安全管理與風險控制融合起來就是擺在企業(yè)經營管理者面前的一道難題。企業(yè)的信息安全風險控制必須通過企業(yè)建立完善的企業(yè)信息安全風險體系實現。

企業(yè)的信息安全風險控制是指企業(yè)在企業(yè)信息安全遭遇威脅之前,提前對企業(yè)的信息進行風險預估,并采取一系列的有針對性的活動降低企業(yè)面臨的信息安全風險,從而盡可能減少因為企業(yè)本身信息安全管理中存在漏洞給企業(yè)帶來不必要的損失。常見的企業(yè)信息安全風險體系建立主要包含以下幾個方面的內容。第一,建立企業(yè)信息安全風險管理制度,明確企業(yè)信息安全管理的責任分配機制,明確企業(yè)各個部門對各自信息安全所應承擔的責任,并建立相應的問責機制。第二,設置規(guī)范的企業(yè)信息安全風險管理指標,對企業(yè)存在的可能威脅企業(yè)信息安全管理的漏洞予以風險定級,方便企業(yè)管理者對不同的信息安全管理漏洞采取有區(qū)別的對策。第三,企業(yè)要加強對信息安全管理人員的培訓,提高企業(yè)信息安全管理工作人員的風險意識,讓企業(yè)內部從事信息安全管理工作人員認識到自身工作的重要性,讓企業(yè)內部從事信息安全管理工作人員了解到規(guī)范自身行為,正確履行職責的重要性。第四,將企業(yè)信息安全管理與風險控制有效融合,重視企業(yè)信息安全管理工作,通過風險控制對企業(yè)內部信息安全的管理方式進行正確評估,找出現行的企業(yè)內部信息安全管理手段中存在容易忽視的地方。

二、企業(yè)信息安全管理與風險控制存在的不足

1.企業(yè)信息安全管理工作人員素質不高

對于企業(yè)來說,企業(yè)信息安全管理工作是一項極為重要而隱秘的工作,因此,必須增強對企業(yè)信息安全管理工作人員的素質要求。但是根據調查統(tǒng)計,目前很多企業(yè)對信息安全工作的管理僅僅停留在對企業(yè)信息安全管理工作人員的技術要求上,對企業(yè)信息安全管理工作人員的道德素養(yǎng),職業(yè)素養(yǎng),風險意識并沒有嚴格要求。此外,絕大多數企業(yè)并沒有意識開展對企業(yè)信息安全管理工作的道德素質的教育培訓,并沒有通過建立相關管理制度以及問責機制對企業(yè)信息安全管理工作人員實行監(jiān)督,這無疑給別有用心或者立場不堅定的企業(yè)信息安全管理工作人員留下了危害企業(yè)信息安全的可乘之機。

2.企業(yè)信息安全管理技術不過關

企業(yè)信息安全管理工作涉及多許多技術,包括信息技術,計算機技術,密碼技術,網絡應用技術等等,應當說成熟的計算機應用技術是做好企業(yè)信息安全管理的基礎,但是,現實是許多企業(yè)的信息安全管理技術并不過關,一方面企業(yè)的信息安全管理硬件并不過關,在物理層面對企業(yè)信息缺乏保護,另一方面,企業(yè)信息安全管理工作的專業(yè)技術沒有及時更新,一些企業(yè)信息安全管理工作人員缺乏企業(yè)信息安全管理的實踐經驗,企業(yè)信息安全管理的知識也并沒有及時更新,從而導致企業(yè)的信息安全管理理論嚴重滯后,這種技術的落后很容易讓企業(yè)成為不法分子的攻擊對象。近年來網絡病毒的傳播越來越猖狂,很多服務器、系統(tǒng)提示安全補丁的下載更新以及客戶端的時常更新成為一個惱人的問題。作為一個行業(yè)中的大中型企業(yè),企業(yè)內部設備數量比較多,尤其是客戶端數量占了較大比重,僅僅靠少數幾個管理員進行管理是難以承擔如此大量的工作量。另外,企業(yè)信息安全管理系統(tǒng)不成熟也是一個重大的隱患。

3.企業(yè)信息安全管理制度不健全

企業(yè)信息安全管理制度不僅僅需要理論制度的完善,更加需要一系列配套監(jiān)督機制保障企業(yè)信息安全管理的有效執(zhí)行。通過調查分析,許多企業(yè)雖然建立了企業(yè)信息安全管理制度,但是通常情況下,這些制度只能流于形式,企業(yè)信息安全管理工作缺少有效的制約和監(jiān)督,企業(yè)信息安全管理工作人員缺乏執(zhí)行力。企業(yè)信息安全管理制度不健全,企業(yè)信息安全管理工作缺乏執(zhí)行力常常體現在以下幾個方面。第一,企業(yè)員工對于信息安全管理的認識嚴重不足,對企業(yè)信息安全管理工作不重視。企業(yè)內部計算機系統(tǒng)安全的計算機防病毒軟件并沒有及時更新,使用,甚至企業(yè)內部計算機的防病毒軟件還被企業(yè)員工卸載了。部分企業(yè)員工認為自己的工作與企業(yè)信息安全管理不相關,認為做好企業(yè)信息安全管理工作僅僅是企業(yè)信息安全部門的事。第二,企業(yè)內部信息安全文秘站:管理制度并沒有形成聯動機制,企業(yè)信息安全管理工作僅僅由企業(yè)信息安全部門“一人包干”,企業(yè)信息安全反映的問題并沒有得到積極的反饋,一些企業(yè)領導對企業(yè)信息安全現狀所了解的少之又少。

三、企業(yè)信息安全管理常見的技術手段 1.OSI安全體系結構

OSI概念化的安全體系結構是一個多層次的結構,它的設計初衷是面向客戶的,提供給客戶各種安全應用,安全應用必須依靠安全服務來實現,而安全服務又是由各種安全機制來保障的。所以,安全服務標志著一個安全系統(tǒng)的抗風險的能力,安全服務數量越多,系統(tǒng)就越安全。

2.P2DR模型

P2DR模型包含四個部分:響應、安全策略、檢測、防護。安全策略是信息安全的重點,為安全管理提供管理途徑和保障手段。因此,要想實施動態(tài)網絡安全循環(huán)過程,必須制定一個企業(yè)的安全模式。在安全策略的指導下實施所有的檢測、防護、響應,防護通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術或者方法來突破的,比如有防火墻、訪問控制、加密、認證等方法,檢測是動態(tài)響應的判斷依據,同時也是有力落實安全策略的實施工具,通過監(jiān)視來自網絡的入侵行為,可以檢測出騷擾行為或錯誤程序導致的網絡不安全因素;經過不斷地監(jiān)測網絡和系統(tǒng)來發(fā)現新的隱患和弱點。在安全系統(tǒng)中,應急響應占有重要的地位,它是解決危險潛在性的最有效的辦法。

3.HTP模型

HTP最為強調企業(yè)信息安全管理工作人員在整個系統(tǒng)中的價值。企業(yè)信息安全工作人員企業(yè)信息安全最為關鍵的參與者,企業(yè)信息安全工作人員直接主導企業(yè)信息安全管理工作,企業(yè)信息安全工作人員不僅僅是企業(yè)信息安全的保障者,也是企業(yè)信息安全管理的威脅者。因此,HTP模型最為強調對企業(yè)信息安全管理工作人員的管理與監(jiān)督。另外,HTP模式同樣是建立在企業(yè)信心安全體系,信息安全技術防范的基礎上,HTP模式采取了豐富的安全技術手段確保企業(yè)的信息安全。最后,HTP強調動態(tài)管理,動態(tài)監(jiān)督,對于企業(yè)信息安全管理工作始終保持高強度的監(jiān)督與管理,在實際工作中,通過HTP模型的應用,找出HTP模型中的漏洞并不斷完善。

四、完善企業(yè)信息安全管理與降低風險的建議

1.建設企業(yè)信息安全管理系統(tǒng)

(1)充分調查和分析企業(yè)的安全系統(tǒng),建立一個全面合理的系統(tǒng)模型,安全系統(tǒng)被劃分成各個子系統(tǒng),明確實施步驟和功能摸塊,將企業(yè)常規(guī)管理工作和安全管理聯動協(xié)議相融合,實現信息安全監(jiān)控的有效性和高效性。

(2)成立一個中央數據庫,整合分布式數據庫里的數據,把企業(yè)的所有數據上傳到中央數據庫,實現企業(yè)數據信息的集中管理與有效運用。

(3)設計優(yōu)良的人機界面,通過對企業(yè)數據信息進行有效的運用,為企業(yè)管理階層人員、各級領導及時提供各種信息,為企業(yè)領導的正確決策提供數據支持,根本上提高信息數據的管理水平。

(4)簡化企業(yè)內部的信息傳輸通道,對應用程序和數據庫進行程序化設計,加強對提高企業(yè)內部信息處理的規(guī)范性和準確性。

2.設計企業(yè)信息安全管理風險體系

(1)確定信息安全風險評估的目標

在企業(yè)信息安全管理風險體系的設計過程中,首要工作是設計企業(yè)信息安全風險評估的目標,只有明確了企業(yè)信息安全管理的目標,明確了企業(yè)信息安全管理的要求和工作能容,才能建立相關圍繞信息安全風險控制為目標的信息安全管理工作制度,才能順利通過對風險控制的結果的定量考核,檢測企業(yè)信息安全管理的風險,定性定量地企業(yè)信息安全管理工作進行分析,找準企業(yè)信息安全管理的工作辦法。

(2)確定信息安全風險評估的范圍

不同企業(yè)對于風險的承受能力是有區(qū)別的,因此,對于不同的企業(yè)的特殊性應該采取不同的風險控制辦法,其中,不同企業(yè)對于能夠承受的信息安全風范圍有所不同,企業(yè)的信息安全風險承受范圍需要根據企業(yè)的實際能力來制定。不僅如此,企業(yè)的信息安全風險評估范圍也應當根據企業(yè)的實際經營情況變化采取有針對性的辦法。

篇2

隨著信息化進程的發(fā)展,信息技術與網絡技術的高度融合,現代企業(yè)對信息系統(tǒng)的依賴性與信息系統(tǒng)本身的動態(tài)性、脆弱性、復雜性、高投入性之間的矛盾日趨突顯,如何有效防護信息安全成為了企業(yè)亟待解決的問題之一。目前國內企業(yè)在信息安全方面仍側重于技術防護和基于傳統(tǒng)模式下的靜態(tài)被動管理,尚未形成與動態(tài)持續(xù)的信息安全問題相適應的信息安全防護模式,企業(yè)信息安全管理效益低下;另一方面,資源約束性使企業(yè)更加關注信息安全防護的投入產出效應,最大程度上預防信息安全風險的同時節(jié)省企業(yè)安全建設、維護成本,需要從管理角度上更深入地整合和分配資源。

本文針對現階段企業(yè)信息安全出現的問題,結合項目管理領域的一般過程模型,從時間、任務、邏輯方面界定了系統(tǒng)的霍爾三維結構,構建了標準化的ISM結構模型及動態(tài)運行框架,為信息網絡、信息系統(tǒng)、信息設備以及網絡用戶提供一個全方位、全過程、全面綜合的前瞻性立體防護,并從企業(yè)、政府兩個層面提出了提高整體信息安全防護水平的相關建議。

1 企業(yè)信息安全立體防護體系概述

1.1 企業(yè)信息安全立體防護體系概念

信息安全立體防護體系是指為保障企業(yè)信息的有效性、保密性、完整性、可用性和可控性,提供覆蓋到所有易被威脅攻擊的角落的全方位防護體系。該體系涵蓋了企業(yè)信息安全防護的一般步驟、具體階段及其任務范圍。

1.2 企業(yè)信息安全立體防護體系環(huán)境分析

系統(tǒng)運行離不開環(huán)境。信息產業(yè)其爆炸式發(fā)展的特性使企業(yè)信息安全的防護環(huán)境也相對復雜多變,同時,多樣性的防護需求要求有相適應的環(huán)境與之配套。

企業(yè)信息安全立體防護體系的運行環(huán)境主要包括三個方面,即社會文化環(huán)境、政府政策環(huán)境、行業(yè)技術環(huán)境。社會文化環(huán)境主要指在企業(yè)信息安全方面的社會整體教育程度和文化水平、行為習慣、道德準則等。政府政策環(huán)境是指國家和政府針對于企業(yè)信息安全防護出臺的一系列政策和措施。行業(yè)技術環(huán)境是指信息行業(yè)為支持信息安全防護所開發(fā)的一系列技術與相匹配的管理體制。

1.3 企業(yè)信息安全立體防護體系霍爾三維結構

為平衡信息安全防護過程中的時間性、復雜性和主觀性,本文從時間、任務、邏輯層面建立了企業(yè)信息安全立體防護體系的三維空間結構,如圖1所示。

時間維是指信息安全系統(tǒng)從開始設計到最終實施按時間排序的全過程,由分析建立、實施運行、監(jiān)視評審、保持改進四個基本時間階段組成,并按PDCA過程循環(huán)[5]。邏輯維是指時間維的每一個階段內所應該遵循的思維程序,包括信息安全風險識別、危險性辨識、危險性評估、防范措施制定、防范措施實施五個步驟。任務維是指在企業(yè)信息安全防護的具體內容,如網絡安全、系統(tǒng)安全、數據安全、應用安全等。該霍爾三維結構中任一階段和步驟又可進一步展開,形成分層次的樹狀體系。

2 企業(yè)信息安全立體防護體系解釋結構模型

2.1 ISM模型簡介

ISM(Interpretation Structural Model)技術,是美國J·N·沃菲爾德教授于1973年為研究復雜社會經濟系統(tǒng)問題而開發(fā)的結構模型化技術。該方法通過提取問題的構成要素,并利用矩陣等工具進行邏輯運算,明確其間的相互關系和層次結構,使復雜系統(tǒng)轉化成多級遞階形式。

2.2 企業(yè)信息安全立體防護體系要素分析

本文根據企業(yè)信息安全的基本內容,將立體防護體系劃分為如下15個構成要素:

(1) 網絡安全:網絡平臺實現和訪問模式的安全;

(2) 系統(tǒng)安全:操作系統(tǒng)自身的安全;

(3) 數據安全:數據在存儲和應用過程中不被非授權用戶有意破壞或無意破壞;

(4) 應用安全:應用接入、應用系統(tǒng)、應用程序的控制安全;

(5) 物理安全:物理設備不受物理損壞或損壞時能及時修復或替換;

(6) 用戶安全:用戶被正確授權,不存在越權訪問或多業(yè)務系統(tǒng)的授權矛盾;

(7) 終端安全:防病毒、補丁升級、桌面終端管理系統(tǒng)、終端邊界等的安全;

(8) 信息安全風險管理:涉及安全風險的評估、安全代價的評估等;

(9) 信息安全策略管理:包括安全措施的制定、實施、評估、改進;

(10) 信息安全日常管理:巡視、巡檢、監(jiān)控、日志管理等;

(11) 標準規(guī)范體系:安全技術、安全產品、安全措施、安全操作等規(guī)范化條例;

(12) 管理制度體系:包括配套規(guī)章制度,如培訓制度、上崗制度;

(13) 評價考核體系:指評價指標、安全測評;

(14) 組織保障:包括安全管理員、安全組織機構的配備;

(15) 資金保障:指建設、運維費用的投入。

2.3 ISM模型計算

根據專家對企業(yè)信息安全立體防護體系中15個構成要素邏輯關系的分析,可得要素關系如表1所示。

對可達矩陣進行區(qū)域劃分和級位劃分,確定各要素所處層次地位。在可達矩陣中找出各個因素的可達集R(Si),前因集A(Si)以及可達集R(Si)與前因集A(Si)的交集R(Si)∩A(Si),得到第一級的可達集與前因集(見表2)。

2.4 企業(yè)信息安全立體防護結構

結合信息安全防護的特點,企業(yè)信息安全立體防護體系15個要素相互聯系、相互作用,有機地構成遞階有向層級結構模型。圖2中自下而上的箭頭表示低一層因素影響高一層因素,雙向箭頭表示同級影響。

從圖2可以看出,企業(yè)信息安全防護體系內容為四級遞階結構。從下往上,第一層因素從制度層面闡述了企業(yè)信息安全防護,該層的五個因素處于ISM結構的最基層且相互獨立,構成了企業(yè)信息安全立體防護的基礎。第二層因素在基于保障的前提下,確定了企業(yè)為確保信息安全進行管理活動,是進行立體防護的方法和手段;第三層因素是從物理條件、傳輸過程方面揭示了企業(yè)進行信息安全防護可控點,其中物理安全是控制基礎。第四層要素是企業(yè)信息安全的直接需求,作為信息的直接表現形式,數據是企業(yè)信息安全立體防護的核心。企業(yè)信息安全防護體系的四級遞階結構充分體現了企業(yè)信息安全防護體系的整體性、層級性、交互性。

圖2 企業(yè)信息安全防護解釋結構模型

2.5 企業(yè)信息安全立體防護過程

企業(yè)信息安全立體防護是一個多層次的動態(tài)過程,它隨著環(huán)境和信息傳遞需求變化而變化。本文在立體防護結構模型的基礎上對企業(yè)信息安全防護結構進行擴展,構建了整體運行框架(見圖3)。

從圖3 中可以看出,企業(yè)信息安全防護過程按分析建立到體系保持改進的四個基本時間階段中有序進行,充分體現出時間維度上的動態(tài)性。具體步驟如下:

(1) 綜合分析現行的行業(yè)標準規(guī)范體系,企業(yè)內部管理流程、人員組織結構和企業(yè)資金實力,建立企業(yè)信息安全防護目標,并根據需要將安全防護內容進行等級劃分。

(2) 對防護內容進行日常監(jiān)測(包括統(tǒng)計分析其他公司近期發(fā)生的安全事故),形成預警,進而對公司信息系統(tǒng)進行入侵監(jiān)測,判斷其是否潛在威脅。

(3) 若存在威脅,則進一步確定威脅來源,并對危險性進行評估,判斷其是否能通過現有措施解決。

(4) 平衡控制成本和實效性,采取防范措施,并分析其效用,最終形成內部信息防護手冊。

3 分析及對策

3.1 企業(yè)層面

(1) 加強系統(tǒng)整體性。企業(yè)信息安全防護體系的15個構成要素隸屬于一個共同區(qū)域,在同一系統(tǒng)大環(huán)境下運作。資源受限情況下要最大程度地保障企業(yè)信息安全,就必須遵循一切從整體目標出發(fā)的原則,加強信息安全防護的整體布局,在對原有產品升級和重新部署時,應統(tǒng)一規(guī)劃,統(tǒng)籌安排,追求整體效能和投入產出效應。

(2) 明確系統(tǒng)層級性。企業(yè)信息安全防護工作效率的高低很大程度上取決于在各個防護層級上的管理。企業(yè)信息安全防護涉及技術層面防護、策略層面防護、制度層面防護,三個層面互相依存、互相作用,其中制度和保障是基礎,策略是支撐,技術是手段。要有效維護企業(yè)信息安全,企業(yè)就必須正確處理好體系間的縱向關系,在尋求技術支撐的同時,更要立足于管理,加強工作間的協(xié)調,避免重復投入、重復建設。

(3) 降低系統(tǒng)交互性。在企業(yè)信息安全防護體系同級之間,相關要素呈現出了強連接關系,這種交互式的影響,使得系統(tǒng)運行更加復雜。因此需要加快企業(yè)內部規(guī)章制度和技術規(guī)范的建設,界定好每個工作環(huán)節(jié)的邊界,準確定位風險源,并確保信息安全策略得到恰當的理解和有效執(zhí)行,防止在循環(huán)狀態(tài)下風險的交叉影響使防范難度加大。

(4) 關注系統(tǒng)動態(tài)性。信息安全防護是一個動態(tài)循環(huán)的過程,它隨著信息技術發(fā)展而不斷發(fā)展。因此,企業(yè)在進行信息安全防護時,應在時間維度上對信息安全有一個質的認識,準確定位企業(yè)信息安全防護所處的工作階段,限定處理信息安全風險的時間界限,重視不同時間段上的延續(xù)性,并運用恰當的工具方法來對風險加以識別,辨別風險可能所帶來的危險及其危害程度,做出防范措施,實現企業(yè)信息安全的全過程動態(tài)管理。

3.2 政府層面

企業(yè)信息安全防護不是一個孤立的系統(tǒng),它受制于環(huán)境的變化。良好的社會文化環(huán)境有助于整體安全防護能力主動性的提高,有力的政策是推動企業(yè)信息安全防護發(fā)展的前提和條件,高效的行業(yè)技術反應機制是信息安全防護的推動力。因此在注重企業(yè)層面的管理之外,還必須借助于政府建立一個積極的環(huán)境。

(1) 加強信息安全防護方面的文化建設。一方面,政府應大力宣傳信息安全的重要性及相關政策,提高全民信息安全素質,從道德層面上防止信息安全事故的發(fā)生;另一方面,政府應督促企業(yè)加強信息安全思想教育、職能教育、技能教育、法制教育,從思想上、理論上提高和強化社會信息安全防護意識和自律意識。

(2) 高度重視信息安全及其衍生問題。政府應加快整合和完善現有信息安全方面的法律、法規(guī)、行業(yè)標準,建立多元監(jiān)管模式和長效監(jiān)管機制,保證各項法律、法規(guī)和標準得到公平、公正、有效的實施,為企業(yè)信息安全創(chuàng)造有力的支持。

(3) 加大信息安全產業(yè)投入。政府應高度重視技術人才的培養(yǎng),加快信息安全產品核心技術的自主研發(fā)和生產,支持信息安全服務行業(yè)的發(fā)展。

4 結 語

本文從企業(yè)信息安全防護的實際需求出發(fā),構建企業(yè)信息安全防護基本模型,為企業(yè)信息安全防護工作的落實提供有效指導,節(jié)省企業(yè)在信息安全防護體系建設上的投入。同時針對現階段企業(yè)信息安全防護存在的問題從企業(yè)層面和政府層面提出相關建議。

參考文獻

[1] 中國信息安全產品測評認證中心.信息安全理論與技術[M].北京:人民郵電出版社,2003.

[2] 汪應洛.系統(tǒng)工程[M].3版.北京:高等教育出版社,2003.

[3] 齊峰.COBIT在企業(yè)信息安全管理中的應用實踐[J].計算機應用與軟件,2009,26(10):282?285.

[4] 肖餛.淺議網絡環(huán)境下的企業(yè)信息安全管理[J].標準科學,2010(8):20?23.

篇3

信息,同企業(yè)其他資產一樣是種資產,對企業(yè)的發(fā)展有很大作用。信息以各種形式存在,包括紙質的、電子的、圖像的等。我國信息專家鐘義信認為:“信息是該事物運動的狀態(tài)和狀態(tài)變化方式的自我表述/自我顯示?!鳖櫭剂x,信息安全既保障“信息”的“安全”。關于信息安全,國際標準化組織(ISO)認為:“信息安全是在技術上和管理上為數據處理系統(tǒng)建立的安全保護,保護計算機硬件、軟件和數據不因偶然和惡意的原因而遭到破壞、更改和泄漏”。我國信息安全專家沈昌祥院士則認為:“信息安全是保護信息和信息系統(tǒng)不被未經授權的訪問、使用、泄露、中斷、修改和破壞,為信息和信息系統(tǒng)提供保密性、完整性、可用性、可控性和不可否認性”。

二、企業(yè)信息安全體系設計

2.1企業(yè)信息安全體系方案概述

2.1.1信息安全體系設計原則

企業(yè)信息安全體系的設計應遵從以下原則:

(1)性能平衡,合理劃分:提高整個系統(tǒng)的“安全低點”的性能,保證各層面能得到均衡防護;按照合理原則劃分為安全等級,分區(qū)域、分等級防護。

(2)標準一致,功能互補:在產品技術、產品設備選擇方面,盡可能遵循同一業(yè)界標準;充分考慮不同廠商、不同安全產品的功能互補,在進行多層防護時,考慮使用不同廠家的。

(3)統(tǒng)籌規(guī)劃,分步實施。

2.1.2信息安全體系框架

網絡安全的實現不是目標,是過程。其過程經歷了安全評估、制訂安全策略、安全培訓、安全技術實施、安全網絡檢測、應急響應和災難恢復等環(huán)節(jié),并不斷地螺旋式提高發(fā)展,得以實現網絡安全。信息安全體系的三要素:管理、技術和運維。通過一系列的戰(zhàn)略、系統(tǒng)和機制的協(xié)調,明確技術實現方法與相關安全操作人員的職責,從而達到安全風險的發(fā)現和有效控制,從而改善的安全問題反應速度和恢復能力,增強整體網絡安全能力。管理方面,建立、健全安全組織結構;技術方面,建立分層網絡安全策略;運維方面,通過不同的安全機制,提高網絡安全的能力。

2.2企業(yè)信息安全技術體系

2.2.1信息安全技術體系概述

(l)設計原則

分析企業(yè)信息網絡安全面臨的主要威脅,實施有針對性的安全技術體系。安全技術體系的總體性要求如下:全面綜合:采用綜合解決方案,體系層次化,具有縱深性。集成統(tǒng)一:有效集成各類管理工具,集中化管理所有IT系統(tǒng)。開放適應:支持各種安全管理標準,能適應組織和環(huán)境的變化。

(2)信息安全技術體系框架

通過物理安全、網絡安全、系統(tǒng)安全、應用安全等方面進行建設。具體有以下措施:物理安全防護建設;統(tǒng)一容災備份中心建設;防火墻系統(tǒng)的部署;入侵防護系統(tǒng)的部署;系統(tǒng)安全防護建設;防病毒系統(tǒng)部署;漏洞掃描系統(tǒng)部署;信息審計系統(tǒng)防護。

2.2.2物理安全防護建設

(1)配套設備安全

采用多路供電(市電、動力電、UPS)的方法,多路電源同時接入企業(yè)信息系統(tǒng)大樓或主機房及重要信息存儲、收發(fā)等重要部門,當市電故障后自動切換至動力電,動力電故障后自動至UPS供電。并且,當下級電源恢復后,應立即自動切換回去。這樣,既保證了安全性,又降低了運行費用。形成一套完整的先進和完善的供電系統(tǒng)及緊急報警系統(tǒng)。供電系統(tǒng)中,會有尖峰、浪涌等不良現象發(fā)生,一旦發(fā)生,輕則斷電重啟,重則燒毀并引發(fā)火災。這種情況下,UPS也無濟于事。為避免對供電質量和造成不安全因素,可以使用電力凈化系統(tǒng)。電源凈化系統(tǒng)不僅保證電源質量,同時還可減少電磁污染,避免信息隨電纜外泄。用多路供電接入企業(yè)機房及重要部門,降低了運行成本,又保證了系統(tǒng)的安全。

(2)計算機場地安全

嚴格按照國家標準建設,如國標GB/T2887-2000《電子計算機場地通用規(guī)范》、GB9254-1998《信息技術設備的無線電騷擾限值和測量方法》等?!峨娮佑嬎銠C場地通用規(guī)范》規(guī)定了站址選擇條件:計算機場地盡量建在電力、水源充足,自然環(huán)境清潔、通信、交通運輸方便的地方;應盡量避開強電磁場的干擾;應盡量遠離強振動源和強噪聲源;應盡量建在建筑物的高層及地下室以及用水設備的下層。規(guī)定了溫度、濕度條件并將它分成ABC三級;規(guī)定了照明、日志、電磁場干擾具體技術條件;規(guī)定了接地、供電、建筑結構條件等。

2.2.3統(tǒng)一容災備份中心建設

無論企業(yè)信息系統(tǒng)設計、維護得多科學合理,故障的發(fā)生都是不可避免的,因此在設計時都應考慮容災解決方案,即統(tǒng)一容災備份中心建設。基本思路是“數據冗余+異地分布”,即在異地建立和維護一份或多份數據冗余,利用數據的冗余性和地理分散性來提高對災難事件的抵御能力。企業(yè)數據容災,存儲是基礎,備份是核心,恢復是關鍵。信息網絡采用本地備份與異地備份的混合方式,以確保數據或系統(tǒng)的安全。通過各種層面的冗余技術,減少單點故障;使用合適的備份技術實現針對各個位置存放的數據的保護、隔離和嚴格訪問,保證數據的一致性、安全性和完整性。包括:存儲磁盤的冗余設計,對系統(tǒng)盤采用RAID1技術,對數據盤采用RAID5技術。數據的冗余備份設計:數據庫數據文件的存放采用基于SAN架構的存儲方案,在保證讀取速度的同時,利用遠程數據鏡像和數據復制技術進行冗余備份,在區(qū)域性空難發(fā)生時能更大限度保證數據完整和安全。對核心業(yè)務的數據庫數據,還可利用SQLServer自帶的數據備份工具進行數據庫文件備份,有效應對文件損壞或人為誤操作帶來的數據風險。對正常業(yè)務中關鍵數據或全業(yè)務數據進行保護,將主數據庫的數據以邏輯的方式在異地機房建設一個同樣的數據庫,并且實時更新數據,當主數據庫因災損壞或失去,異地數據庫可以及時接管業(yè)務,從而達到容災的目的。

三、結論及展望

篇4

IT服務外包井噴式發(fā)展

在強調企業(yè)核心競爭力的今天,越來越多的公司將IT服務外包作為企業(yè)長期戰(zhàn)略成本管理的新興工具。服務外包的實質是企業(yè)和服務商之間的“委托―”關系。企業(yè)需要對自己重新進行定位,截取價值鏈中較短的部分,縮小經營范圍,在此基礎上重新配置企業(yè)的各種資源,將資源集中到最能反映企業(yè)優(yōu)勢的領域,從而更好地構筑競爭優(yōu)勢,以此獲得可持續(xù)發(fā)展的能力。

隨著企業(yè)業(yè)務發(fā)展過程中信息系統(tǒng)所涉及的內容越來越多、結構越來越龐大,企業(yè)信息化再也不僅僅是IT部門自己的事情。企業(yè)市場競爭壓力越來越大,在信息化建設和管理期間迎來了嚴峻的考驗。一方面是IT部門人員少、系統(tǒng)多、任務重,另一方面是公司要求IT部門削減成本、并消除由于缺乏內部控制和運作準則導致的混亂狀態(tài),以更高效地服務業(yè)務部門。

在多重壓力之下,許多企業(yè)認為IT部門最重要的工作是確保信息和流程的順暢,而服務器、存儲系統(tǒng)、網絡或者交換機等設備并不是最重要。因此,許多企業(yè)傾向于將某些應用系統(tǒng)、基礎設施和部分非核心系統(tǒng)外包給服務商負責維護。

IT服務外包的風險

企業(yè)借外部力量提供專業(yè)化服務、將部分非核心業(yè)務進行離岸資源外包的過程中,面臨著管控、運營等一系列風險,其中最重要的是信息安全風險的威脅。

從表面上看,采用IT外包策略不但可以節(jié)約成本,還能提高效率。但事實上,許多企業(yè)對IT外包都有許多道不盡的愛恨情仇。外包是一柄雙刃劍,其好處是可以向企業(yè)灌輸技術與人才,幫助企業(yè)擺脫繁瑣的IT業(yè)務――有效的外包能讓公司更好的專注于核心業(yè)務。

但是進行IT外包并不是一件輕松的事情,如果處理不好,不僅不會帶來預期的效益,反而會變成一場噩夢和致命的災難。所以對于企業(yè)IT主管部門而言,必須具有很強的經驗和管理技能,才能談“外包” 二字。

IT外包服務要成為一種商品,就必須形成一套規(guī)范和標準,以約束買賣雙方。但目前國內IT外包服務領域既無統(tǒng)一規(guī)范也無公認標準。概念模糊的用戶,面對同樣概念模糊的IT廠商,如何評估、簽合同、質量控制和定價等都是潛在的“風險”。

此外,IT外包還面臨著 IT管理的復雜性、軟件缺失、知識產權以及IT外包服務提供商自身能否健康成長等風險。因此企業(yè)需要在風險、成本與效果、效率之間找到平衡點。

同時,由于委托方和方之間可能存在信息不對稱和信息扭曲等問題,加之市場及宏觀環(huán)境的不確定性,導致委托方在實施外包過程中承擔著種種風險。

外包服務關鍵詞:信息安全

企業(yè)在IT服務外包過程中面臨的最大挑戰(zhàn),就是如何確保企業(yè)信息和數據的安全,如何建立起有效的信息安全管控框架,以符合企業(yè)信息安全要求。

首先,確認企業(yè)內部信息安全管控過程是否可持續(xù)監(jiān)管和優(yōu)化。在信息防泄漏的“戰(zhàn)爭”中,相比于躲在暗處的泄密者和安全威脅,站在明處的企業(yè)顯然略失先機。但如果企業(yè)能夠做到預先防御,在對手出招之前采取針對性的保護措施,就能從根本上“轉被動為主動”,做好內部數據安全防護。

因此,良好的信息防泄體系的前提就是要時刻掌握企業(yè)動態(tài),做到要有的放矢。很重要的一點是要實現內部操作的“可視化”,以隨時監(jiān)測整個信息系統(tǒng)的安全狀況,做到迅速反應,甚至還能預測到潛在的風險,化被動防御為積極防御。

其次,企業(yè)信息安全體系設計需進行全局評估和建設,規(guī)避疏漏和風險。安全領域中的木桶理論和馬其頓防線的故事相信大家都了解――無論怎么豪華的防線,一個漏洞就可以毀滅所有一切。在企業(yè)中,有時候可能是一個小小的系統(tǒng)漏洞就可能毀滅了幾百萬投資的努力,或者一個無意的非法補丁行為就讓企業(yè)蒙受損失。

因此,在解決安全問題之時,不能僅僅依賴透明加密等技術手段,“頭痛醫(yī)頭,腳痛醫(yī)腳”地堆砌不同安全產品及封堵安全漏洞,而是需要站在一個更高的戰(zhàn)略角度來通盤考慮。如果缺乏整體的分析視角,企業(yè)可能會忽視或者低估某個安全攻擊的真正威脅,采取的安全措施也可能無法解決真正的問題。

所以,在實際的防泄漏建設中,必須從整體上來評估企業(yè)的信息安全狀況,運用統(tǒng)一平臺來進行風險和安全管理,檢測出內部問題,從而描繪出整個企業(yè)當前安全情況的更清晰和更準確的圖景,采取針對性的防護措施,最大限度降低企業(yè)的安全風險。

另外,要有安全和防護等級措施。企業(yè)在構建立體化、全方位的整體信息防泄體系時并不是一刀切,不分輕重地在全公司范圍內采取相同的策略,這樣雖然看似達到了最為安全的效果,但對業(yè)務造成的巨大影響,以及因此產生的高額成本,對企業(yè)來說,都是巨大的負擔。

對信息安全來說,威脅和風險往往和高價值的信息資產聯系在一起,安全保護工作也就應該輕重有別,將重點放在高價值的信息資產上。在安全建設過程中,對程度高的部門或崗位進行力度大的防御,對程度低的部門采取相應的安全防御。同時衡量提升安全性可能帶來的業(yè)務操作上的麻煩、企業(yè)安全成本等問題,是企業(yè)必須要做的事情。

在企業(yè)實施安全防護等級風險評估過程中,往往需要結合企業(yè)的實際情況,對三種技術手段整合運用:首先,在全公司范圍內進行安全審計,掌握企業(yè)操作,發(fā)現安全隱患;其次,對特殊崗位和部門,進行嚴格管控,限制信息的帶出;最后,在核心部門內部,對機密信息進行透明加密。這樣既可保證公司的正常業(yè)務運作,又能有的放矢地實現最優(yōu)化的信息防泄漏管理,還大大節(jié)約了投資成本。

此外,利用科學可行的安全策略和必要的技術手段實現動態(tài)性防護。動態(tài)性的信息泄露防護,對于目前泄密方式日益增多的企業(yè)來說,非常重要。某些企業(yè)往往在安全事件發(fā)生之后才對現在的策略進行被動的調整。這種“吃一塹、長一智”的防護模式,對于企業(yè)而言,有可能是致命的。一旦出了安全事故,恐怕亡羊補牢,為時已晚。

企業(yè)需要建立一個動態(tài)性的安全防護,前瞻性地發(fā)現安全威脅,并通過對技術或管理上的策略進行及時調整更新,防范潛在的安全風險。

最后要強調的是,信息安全體系必須便于使用和維護。如今,市場上五花八門的信息防泄漏產品讓企業(yè)眼花繚亂,企業(yè)期望這種“強強組合”能給企業(yè)套上萬無一失的金鐘罩。殊不知這種做法往往意味著企業(yè)必須付出較高的成本,并增加了技術的復雜性,還容易導致產品軟件沖突等問題,企業(yè)雖然“裝”了安全產品,但根本“用”不了。

目前,能夠提供整體解決方案的單一安全產品可謂不錯的選擇,它能夠幫助企業(yè)建立統(tǒng)一的安全管理平臺,無論企業(yè)安全邊界防護、還是內部使用,都做了整體全面的考慮,同時簡化了日常的操作與管理、降低了系統(tǒng)的資源占用、避免了軟件沖突等多種問題,使用維護亦非常方便,大大節(jié)約了IT人員的時間和精力。

綜上所述,如企業(yè)信息防泄漏建設符合以上檢測標準,說明該企業(yè)已經建立了一個完善的整體信息防泄漏體系,機密信息也得到了最大化的保護,實現了“成本、效率、安全”三者的最佳平衡,這也是近年來被大家認可的“整體信息防泄漏”理念的核心。

實際上,信息防泄本身就是一種博弈,是企業(yè)和人的博弈。它是一場思維的交鋒,企業(yè)只有掌握了內部的行為操作,同時針對內部安全威脅建立全面、立體化的安全防護,信息防泄才會立于不敗之地。

天璣外包信息安全管控體系

天璣科技提供的IT外包(IT Outsourcing)服務,即“承接企業(yè)IT系統(tǒng)維護與管理,按雙方服務協(xié)議內容完成相關服務”的業(yè)務模式。

隨著客戶對信息安全管理的要求越來越高,天璣科技把IT外包的信息安全管理放在首位,積極貫徹基于風險的管理方法,針對IT服務外包中的安全管理進行了系統(tǒng)思考和有益的嘗試。

外包基礎和簡單重復的服務:考慮到信息安全管理問題,天璣科技初期外包服務范圍主要以基礎服務外包為主,即將IT系統(tǒng)日常的硬件與軟件維護、Helpdesk呼叫中心、信息系統(tǒng)的編碼等活動外包,而對于IT系統(tǒng)的規(guī)劃與管理、核心應用系統(tǒng)(如ERP、CRM)的設計與維護仍然由企業(yè)IT部門承擔。這樣避免了IT服務人員接觸組織的核心系統(tǒng)信息,降低了IT服務外包對IT系統(tǒng)敏感部分帶來的安全風險。

具備信息安全管理資質:由于IT外包服務過程中,IT服務人員必然會接觸到企業(yè)的系統(tǒng)設備甚至是內容,如何成為一家可靠安全的IT服務外包供應商也是在進行IT服務外包前必須考慮的重要方面。天璣科技是一家已經建立起完善的信息安全管理體系,并通過了BSI安全認證審核的IT服務外包供應商,專門從事IT服務外,擁有很多有影響的大客戶。天璣科技會根據服務內容簽訂責任明確的服務合同,在服務合同中詳細闡明雙方在服務提供過程中對信息安全的責任十分關鍵。

強化日常服務的安全管理:信息安全管理的要求應該體現在IT服務日常管理的各個方面,主要包括:日常活動規(guī)范的建立;服務變更控制;服務人員管理;安全事件處理;業(yè)務持續(xù)管理;知識產權保護和監(jiān)控與審核等內容。

日?;顒右?guī)范的建立:針對服務協(xié)議中明確的服務內容,建立規(guī)范的服務流程是開展IT服務活動的基礎。企業(yè)信息化主管部門根據雙方簽訂的服務協(xié)議,與供應商IT服務主管人員一起建立一套完整的服務規(guī)范。服務規(guī)范中對服務過程中的安全風險均采取了適當的控制措施,確保了服務活動滿足企業(yè)信息安全管理策略的要求。

服務變更控制:天璣科技遵從在調整其服務流程和變更服務技術前必須事前進行溝通,在企業(yè)評估變更的影響并確認采取了響應控制措施后才能進行服務過程的變更。

服務人員管理:服務人員是IT服務活動的直接執(zhí)行者。為確保服務人員能夠滿足要求,天璣科技明確規(guī)定了IT服務人員的能力要求和標準,確保只有技術能力強、認真負責的服務人員才能進入服務項目組。同時,對服務人員篩選、培訓和變動也提出了具體要求。

安全事件管理:發(fā)生安全事件后,雙方人員的協(xié)調和互動將直接影響對事件處理的結果。在服務過程中發(fā)生和發(fā)現的信息安全事件必須第一時間上報企業(yè)主管部門,在企業(yè)主管部門的組織下完成對安全事件的處理。

業(yè)務持續(xù)管理:由于企業(yè)將核心網絡和系統(tǒng)硬件均托管給了IT服務供應商進行日常維護。IT服務供應商是否具備滿足組織業(yè)務需求的業(yè)務持續(xù)管理能力,成為保證企業(yè)信息系統(tǒng)業(yè)務持續(xù)的關鍵。在企業(yè)整個業(yè)務持續(xù)管理的框架下,對IT服務供應商的業(yè)務持續(xù)管理能力提出了明確的要求,在服務協(xié)議中進行了明確的定義。同時,針對具體服務系統(tǒng)雙方共同制定了相應的災難恢復計劃。

知識產權保護:桌面服務中如何保護組織以及相關方的知識智力產權,是需要在進行IT服務外包過程中管理和控制的重要內容。天璣科技在軟件安裝和服務過程中工具的使用過程都明確規(guī)定了對軟件許可證的跟蹤與管理要求,確保服務活動滿足對知識產權保護的要求。

篇5

關鍵詞:電網企業(yè);信息安全;風險;應對措施;管理體系

作者簡介:王旭(1964-),男,浙江寧波人,新疆電力公司電力科學研究院,高級工程師。(新疆 烏魯木齊 830011)張建業(yè)(1972-),男,浙江浦江人,新疆電力公司科技信通部,高級工程師,華北電力大學經濟與管理學院博士研究生。(新疆 烏魯木齊 830002)

基金項目:本文系國家自然科學基金資助項目(基金號:71271084)的研究成果。

中圖分類號:F270.7 文獻標識碼:A 文章編號:1007-0079(2013)26-0163-03

信息安全風險是信息化時代企業(yè)發(fā)展和內部管理所面臨的一個迫切問題,網絡化、信息化的飛速發(fā)展能夠給企業(yè)帶來無限的發(fā)展機遇,同時也讓應用信息化技術的企業(yè)面臨著各種不同的風險威脅,這些風險因素一旦發(fā)生,將對企業(yè)的日常運營、戰(zhàn)略目標的實現甚至長遠發(fā)展產生無法估計的影響。有效的信息安全風險管理體系對于企業(yè)規(guī)避信息安全風險、減少不必要的損失具有重要作用。

對于電網企業(yè)來說,信息化建設是推動電網企業(yè)智能化、現代化等長遠發(fā)展的核心推動力,但網絡病毒、黑客入侵等一系列風險因素,使得電網企業(yè)信息安全同樣面臨著巨大的挑戰(zhàn),必須對電網企業(yè)面臨的各類信息安全風險進行有效控制,以保證電網企業(yè)的信息化內容正常運行。

一、電網企業(yè)信息安全風險分析

電網企業(yè)的信息安全風險就是企業(yè)的信息系統(tǒng)和網絡等面臨的來自各方面的風險威脅,各種內外部的、潛在的和可知的危險可能會帶來的風險威脅等。隨著網絡環(huán)境的復雜性不斷增加,新的信息技術的不斷應用發(fā)展,電網企業(yè)的信息安全面臨的風險因素也更為繁多復雜,同時由于其注重信息安全的行業(yè)特點,電網企業(yè)的信息安全風險管理面臨的壓力更大。為此需要對這些風險因素進行規(guī)范、合理的識別分析,進而建立綜合的風險管理體系。

電網企業(yè)的信息安全面臨著來自不同層次、多個方面的風險因素,有來自外部環(huán)境的風險威脅,也有企業(yè)內部的風險影響;有技術方面的安全風險,也有人員操作方面的安全風險等。具體的信息安全風險因素主要包括以下幾個方面:

1.木馬病毒入侵的安全風險

隨著網絡技術的不斷發(fā)展、電網企業(yè)內外部網絡環(huán)境的日益成熟和網絡應用的不斷增多,各種病毒也更為復雜、難解。木馬等病毒的傳染、滲透、傳播的能力變得異常強大,其入侵方式也由以前的單一、簡單變得隱蔽、復雜,尤其是Internet網絡和企業(yè)網絡環(huán)境為木馬等病毒的傳播和生存提供了可靠的環(huán)境。

2.黑客非法攻擊的安全風險

近年來各種各樣的黑客非法攻擊異常頻繁,成為困擾世界范圍內眾多企業(yè)的問題。由于黑客具有非常高超的計算機技術能力,他們經常利用計算機設備、信息系統(tǒng)、網絡協(xié)議和數據庫等方面的缺陷與漏洞,通過運用網絡監(jiān)聽、密碼破解、程序滲透、信息炸彈等手段侵入企業(yè)的計算機系統(tǒng),盜竊企業(yè)的保密信息、重要數據、業(yè)務資料等,從而進行信息數據破壞或者占用系統(tǒng)的資源等。

3.信息傳遞過程的安全風險

由于電網企業(yè)與很多的外部企業(yè)、研究機構等有著廣泛的工作聯系與業(yè)務合作,因此很多日常信息、數據資料等都需要通過互聯網進行傳輸溝通,在這個傳輸過程中的各類信息都會面臨各種不同的安全風險。

4.權限設置的安全風險

信息系統(tǒng)根據不同的業(yè)務內容對不同的部門、員工開放不同的系統(tǒng)模塊,用戶根據其登陸的權限設置訪問其范圍內的系統(tǒng)內容。每個信息系統(tǒng)都有用戶管理功能,對用戶權限進行管理和控制,能夠在一定程度上增加安全性,但仍然存在一定的問題。很多電網企業(yè)內都存在不同的信息系統(tǒng),各系統(tǒng)之間都是獨立存在,沒有統(tǒng)一的用戶管理,使用起來極不方便,難以保證用戶賬號的有效管理和使用安全。另外,電網企業(yè)的信息系統(tǒng)的用戶權限管理功能設置過于簡單,不能夠靈活實現更為詳細的權限控制等。

5.信息設備損壞產生的安全風險

電網企業(yè)內的各類業(yè)務信息、數據資料、工作內容等信息都是依托于相應的軟硬件設備而存儲、傳遞、應用的,當這些計算機硬件設備、信息系統(tǒng)、數據存儲設備、用電支撐設備等由于企業(yè)內外部不同作用力的影響而出現癱瘓、停止工作等突發(fā)狀況時,會帶來重要信息內容的泄露、丟失等安全風險隱患。

6.人員操作失誤形成的安全風險

電網企業(yè)內的專業(yè)信息技術人員、業(yè)務人員、管理人員對信息系統(tǒng)的操作能力存在一定的差異,一些人員的意識較為陳舊、操作能力較差,在對信息系統(tǒng)、網絡連接、數據庫等的應用過程中,由于對這些技術內容不熟悉從而產生了一些錯誤操作,為此產生了許多意想不到的安全風險。同時,在運用過程中存在的思想偏差、理解偏誤、粗心大意等導致的誤操作也會產生相應的安全風險。

7.技術更新變化帶來的安全風險

當前的信息技術、系統(tǒng)開發(fā)、網絡應用、數據庫存儲等都在日新月異地飛速變化,幾乎每天都會發(fā)生更新換代的升級變化,沒有任何的信息技術能夠長時間使用。電網企業(yè)原有信息系統(tǒng)等設備進行升級換代或者與新的數據庫內容進行新舊結合以及轉換時,會因為兼容性差、不能匹配等原因造成一定的信息安全風險。

二、信息安全風險應對機制

電網企業(yè)的信息安全承擔著極為重要的作用,而其面臨的安全風險也是多方面的,僅從信息系統(tǒng)、技術設備的單一角度進行信息安全風險管理遠遠不夠,對于其他很多潛在的風險因素難以有效應對。因此需要從信息技術技術、企業(yè)管理、風險控制等多個維度來建立相應的措施,以應對可能出現的各類風險,從而從硬性技術層面到柔性管理層次形成多維度的風險管理手段。電網企業(yè)信息安全風險應對機制框架結構如圖1所示。

電網企業(yè)的信息安全風險管理應對機制是以風險控制角度為核心、信息技術角度為支持、企業(yè)管理角度為保障的雙向支持、互為影響的一個環(huán)狀模型,三者之間緊密配合、共同發(fā)揮風險應對的作用,具體內容如表1所示。

三、信息安全風險管理體系

電網企業(yè)信息安全風險管理體系是進行信息安全風險管理的核心內容,其他的制度建設等方面的應對機制都是為了更好地使風險管理體系發(fā)揮有效的作用,能夠在不同的情況下進行信息安全風險威脅的提前預防、風險發(fā)生時的控制、事后風險影響的結果處理等。

電網企業(yè)信息安全風險管理體系框架結構如圖2所示。

1.信息安全風險評估

電網企業(yè)信息安全風險評估是風險管理體系的第一部分,風險評估效果的好壞直接影響著后面風險管理環(huán)節(jié)的執(zhí)行情況。通過風險評估的準確執(zhí)行,能夠有效識別、分析各種不同風險的種類、來源、影響程度等內容,為后續(xù)的風險預防、控制等奠定良好的基礎。

信息安全風險評估主要由風險案例庫、風險因素分析系統(tǒng)、風險定量定性轉化系統(tǒng)、數據統(tǒng)計歸納庫、風險分析結果傳輸體系等構成,通過幾個模塊的有機結合來科學分析評估電網企業(yè)遇到的各類信息安全風險因素。

2.風險事前預防

電網企業(yè)信息安全風險事前預防就是在風險沒有發(fā)生時對各種風險進行提前預防,通過建立的預防計劃方案來提前避免風險的發(fā)生,從而保證信息的安全性。這是風險管理體系希望達到的最佳效果,因此該環(huán)節(jié)非常重要。

通過對風險案例庫的經常性學習,使相關部門和人員對各類風險有了總體的認識和了解;通過建立相應的風險預警裝置來提前警告風險的發(fā)生,使電網企業(yè)能夠提前采取措施來避免風險發(fā)生;運用信息安全風險管理制度加強員工的行為能力,避免風險產生;通過信息技術的相關配置,從信息系統(tǒng)、網絡、數據等方面提前對一些病毒風險等進行處理。

出色地執(zhí)行電網企業(yè)的信息安全風險預防工作,能夠避免很多不必要的麻煩,從而有效減少后面風險控制工作內容。

3.風險威脅轉移

將可能發(fā)生或者即將到來的信息安全風險有效轉移到其他的地方,可使得安全風險沒有在電網企業(yè)的信息系統(tǒng)中發(fā)生,避免了風險帶來的威脅損害。風險轉移同風險的事前預防一樣,能夠在很大程度上將信息安全風險帶來的威脅降低到最小,避免其帶來的各類損失。

4.風險過程控制

在對信息安全造成威脅的風險發(fā)生時,采取各種方法、手段進行風險的最小化控制,使風險本身隨著控制的進行而逐漸變小甚至消失,將風險發(fā)生后造成的影響降低到最小或者控制在能夠承受的合理范圍內。

主要從信息系統(tǒng)、數據庫、網絡系統(tǒng)、計算機基礎設備等技術方面進行控制;從制度、標準、規(guī)范等管理層面進行控制;從人員培訓、部門協(xié)調等組織結構層面進行控制;從風險發(fā)生時制定的風險控制措施、計劃進行控制;形成動態(tài)反饋的風險發(fā)生、控制效果的反饋機制,以便及時對控制方案進行調整完善。

5.風險事后處理

信息安全風險發(fā)生后,對電網企業(yè)的信息系統(tǒng)、網絡、數據庫等造成一定的影響,已經沒有時間進行及時有效的風險控制,此時的工作重點在于如何采取挽救措施對風險造成的信息安全損失進行彌補,將其影響程度降低到最低。

從電網企業(yè)的信息安全風險評估開始,到信息安全風險的預防、風險發(fā)生時的控制以及風險后果的處理,對整個過程進行深入的分析、總結,發(fā)現風險管理體系存在諸多不足和缺陷,控制計劃在某些方面需要進行改進完善。將本次發(fā)生的信息安全風險控制過程整理進入案例庫,以便下次的風險預防借鑒。

電網企業(yè)信息安全風險管理體系中的各個流程環(huán)節(jié)都是按照一定的流程順序、風險發(fā)生種類、大小而進行的,其具體的流程如圖3所示。

6.非常態(tài)風險應急處理

在電網企業(yè)對信息安全進行風險管理的過程中,有時會出現一些案例庫、控制計劃之外的非常態(tài)風險,這些風險沒有以往成功的風險管理經驗可以借鑒,這時就需要在電網企業(yè)信息安全風險管理體系中建立相應的非常態(tài)風險應急處理模塊。

電網企業(yè)信息安全非常態(tài)風險應急處理主要是當意外的緊急風險發(fā)生時,能夠迅速啟動應急預案組織相關人員進行風險應對控制、風險預防和控制等;若風險已經發(fā)生,此時能夠及時還原數據、隔離外部風險入侵,使信息系統(tǒng)、網絡、數據庫在最快的時間內恢復正常運作。

四、總結

本文通過對電網企業(yè)信息安全重要性進行分析,提出了建立信息安全風險管理體系應對各種內外部風險威脅的必要性。在對電網企業(yè)信息安全的概念、特點等分析說明的基礎上,深入研究了電網企業(yè)的信息安全所面臨的各種不同的風險因素,建立了包括信息技術、企業(yè)管理、風險控制三個方面在內的電網企業(yè)信息安全風險應對機制。結合所建立的電網企業(yè)信息安全風險應對機制,本文構建了一套綜合、全面的電網企業(yè)信息安全風險管理體系。該體系的構建能夠從事前風險預防、事中風險控制、事后風險影響后果處理等三個環(huán)節(jié)進行全面的風險管理。

參考文獻

[1]張浩,詹輝紅,錢洪珍.電網企業(yè)信息安全管理體系建設中的風險管理實踐[J].電力信息技術,2010,8(6):21-24.

[2]劉金霞.電力企業(yè)給予風險管理的信息安全保障體系建設[J].網絡安全技術與應用,2008,(1):42-44.

[3]劉瑩,顧衛(wèi)東.信息安全風險評估研究綜述[J].青島大學學報(工程技術版),2008,23(2):37-43.

篇6

[關鍵詞] 企業(yè)網絡信息安全信息保障

計算機網絡的多樣性、終端分布不均勻性和網絡的開放性、互連性使聯入網絡的計算機系統(tǒng)很容易受到黑客、惡意軟件和非法授權的入侵和攻擊,信息系統(tǒng)中的存儲數據暴露無遺,從而使用戶信息資源的安全和保密受到嚴重威脅。目前互聯網使用TCP/IP協(xié)議的設計原則,只實現簡單的互聯功能,所有復雜的數據處理都留給終端承擔,這是互聯網成功的因素,但它也暴露出數據在網上傳輸的機密性受到威脅,任何人都可以通過監(jiān)聽的方法去獲得經過自己網絡傳輸的數據。在目前不斷發(fā)生互聯網安全事故的時候,對互聯網的安全狀況進行研究與分析已迫在眉睫。

一、 國外企業(yè)信息安全現狀

調查顯示,歐美等國在網絡安全建設投入的資金占網絡建設資金總額的10%左右,而日韓兩國則是8%。從國際范圍來看,美國等西方國家網絡基礎設施的建設比中國完善,網絡安全建設的起步時間也比中國早,因此發(fā)生的網絡攻擊、盜竊和犯罪問題也比國內嚴重,這也致使這些國家的企業(yè)對網絡安全問題有更加全面的認識和足夠的重視,但縱觀全世界范圍,企業(yè)的網絡安全建設步伐仍然跟不上企業(yè)發(fā)展步伐和安全危害的升級速度。

國外信息安全現狀具有兩個特點:

(1)各行業(yè)的企業(yè)越來越認識到IT安全的重要性,并且意識到安全的必要性,并且把它作為企業(yè)的一項重要工作之一。

(2)企業(yè)對于網絡安全的資金投入與網絡建設的資金投入按比例增長,而且各項指標均明顯高于國內水平。

二、 國內企業(yè)網絡信息安全現狀分析

2005年全國各行業(yè)受眾對網絡安全技術的應用狀況數據顯示,在各類網絡安全技術使用中,“防火墻”的使用率最高(占76.5%),其次為“防病毒軟件”的應用(占53.1%)。2005年較2004年相比加大了其他網絡安全技術的投入,“物理隔離”、“路由器ACL”等技術已經得到了應用。防火墻的使用比例較高主要是因為它價格比較便宜、易安裝,并可在線升級等特點。值得注意的是,2005年企事業(yè)單位對“使用用戶名和密碼登陸系統(tǒng)”、“業(yè)務網和互聯網進行物理隔離”等措施非常重視。其他防范措施的使用也比2004年都提高了一定的比例,對網絡安全和信息的保護意識也越來越高。生物識別技術、虛擬專用網絡及數字簽名證書的使用率較低,有相當一部分人不清楚這些技術,還需要一些時間才能得到市場的認可。

根據調查顯示,我國在網絡安全建設投入的資金還不到網絡建設資金總額的1%,大幅低于歐美和日韓等國。我國目前以中小型企業(yè)占多數,而中小型企業(yè)由于資金預算有限,基本上只注重有直接利益回報的投資項目,對于網絡安全這種看不到實在回饋的資金投入方式普遍表現出不積極態(tài)度。另外,企業(yè)經營者對于安全問題經常會抱有僥幸的心理,加上缺少專門的技術人員和專業(yè)指導,致使國內企業(yè)目前的網絡安全建設情況參差不齊,普遍處于不容樂觀的狀況。

三、 企業(yè)網絡信息系統(tǒng)安全對策分析

“三分技術,七分管理”是技術與管理策略在整個信息安全保障策略中各自重要性的體現,沒有完善的管理,技術就是再先進,也是無濟于事的。以往傳統(tǒng)的網絡安全解決方案是某一種信息安全產品的某一方面的應用方案,只能應對網絡中存在的某一方面的信息安全問題。中國企業(yè)網絡的信息安全建設中經常存在這樣一種不正常的現象,就是企業(yè)的整體安全意識普遍不強,信息安全措施單一,無法抵御綜合的安全攻擊。隨著上述網絡安全問題的日益突顯,國內網絡的安全需求也日益提高,這種單一的解決方案就成為了信息安全建設發(fā)展的瓶頸。因此應對企業(yè)網絡做到全方位的立體防護,立體化的解決方案才能真正解決企業(yè)網絡的安全問題,立體化是未來企業(yè)網絡安全解決方案的趨勢,而信息保障這一思想就是這一趨勢的體現。信息保障是最近幾年西方一些計算機科學及信息安全專家提出的與信息安全有關的新概念,也是信息安全領域一個最新的發(fā)展方向。

信息保障是信息安全發(fā)展的新階段,用保障(Assurance)來取代平時我們用的安全一詞,不僅僅是體現了信息安全理論發(fā)展到了一個新階段,更是信息安全理念的一種提升與轉變。人們開始認識到安全的概念已經不局限于信息的保護,人們需要的是對整個信息和信息系統(tǒng)的保護和防御,包括了對信息的保護、檢測、反應和恢復能力。為了保障信息安全,除了要進行信息的安全保護,還應該重視提高安全預警能力、系統(tǒng)的入侵檢測能力,系統(tǒng)的事件反應能力和系統(tǒng)遭到入侵引起破壞的快速恢復能力。區(qū)別于傳統(tǒng)的加密、身份認證、訪問控制、防火墻、安全路由等技術,信息保障強調信息系統(tǒng)整個生命周期的防御和恢復,同時安全問題的出現和解決方案也超越了純技術范疇。由此形成了包括預警、保護、檢測、反應和恢復五個環(huán)節(jié)的信息保障概念。

所以一個全方位的企業(yè)網絡安全體系結構包含網絡的物理安全、訪問控制安全、系統(tǒng)安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進的主機安全技術、身份認證技術、訪問控制技術、密碼技術、防火墻技術、安全審計技術、安全管理技術、系統(tǒng)漏洞檢測技術、黑客跟蹤技術,在攻擊者和受保護的資源間建立多道嚴密的安全防線,增加了惡意攻擊的難度,并增加審核信息的數量,同時利用這些審核信息還可以跟蹤入侵者。

參考文獻:

[1]付正:安全――我們共同的責任[J].計算機世界,2006,(19)

[2]李理:解剖您身邊的安全[N].中國計算機報,2006-4-13

篇7

【論文摘 要】安全問題是電力變電運行的咽喉,隨著信息管理技術在變電運行中的應用,先進的安全不僅包括物理安全,也涉及到了由互聯網帶來的各種來自外界的侵犯,如果電力系統(tǒng)被利用或是遭到攻擊,將會造成難以估計的損失。有效的提高信息管理技術在電力變電運行中的應用是擺在我們面前亟待解決的重要課題。

一、信息管理與電力信息化概述

1.信息管理概念

信息管理是實現組織目標、滿足組織要求、解決組織環(huán)境問題而開發(fā)、規(guī)劃、集成、控制、利用信息資源,以提高信息利用率,使信息效用價值最大化的一種實現的一種戰(zhàn)略管理。

2.電力信息化

電力企業(yè)信息化建設更趨向于科學性、實用性、安全性以及效益性,電力企業(yè)開發(fā)了一系列企業(yè)管理和經濟運行有關的應用系統(tǒng),目的在于提高生產和管理效益以及信息系統(tǒng)的實際使用效果。電能可以瞬間完成發(fā)電、輸電、配電直到用電,電力的生產和使用具有連續(xù)性、等量以及同時的特點,要想確保電力的安全生產以及資源的合理配置生產,必須要根據調度指令對電力系統(tǒng)的所有環(huán)節(jié)瞬時作出反應,電力系統(tǒng)的控制中心、調度中心要同時對發(fā)電、配電、輸電以及用電的各種數據進行全面掌握,并及時地分析、調度和處理,對生產運行進行科學的安排,要及時的處理大而廣、紛繁復雜的信息量,這使得信息處理工作面臨著一定的挑戰(zhàn)。而信息管理技術的出現正好為信息的處理帶來了極大的便利,它結合了GIS技術,能實現多源數據的迅速整合,便于電力系統(tǒng)的信息化管理,可以綜合管理大量的屬性數據和地理信息數據,可以為經營管理提供科學的決策支持以及現代化的管理手段,結合了網絡技術,更有利于提高信息的共享程度,促進信息管理系統(tǒng)實現電力信息的共享,有利于電力系統(tǒng)信息管理更加的透明。電力系統(tǒng)涉及到了十分廣泛的地理區(qū)域,需要多個部門對同一圖層進行編輯,傳統(tǒng)的GIS圖層數據不支持多用并發(fā)操作,只適合單用戶使用,它采用的是文件格式,采用文件服務器的方式來共享圖層,若不進行特殊處理,多用戶同時更新同一圖層文件時就會發(fā)生沖突。而新型的ORDBMS技術可以彌補這一缺陷,不會發(fā)生共享沖突,它采用的是面向對象的數據庫技術,可以集中式管理地理屬性數據和信息空間數據,支持版本管理以及并發(fā)操作,還支持完全數據庫存儲模式,能夠解決數據安全機制、存儲管理大量的數據、數據完整性以及多用戶編輯等方面的問題。

二、電力變電運行中運用信息管理的優(yōu)勢

1.先進性和開放性

數據倉庫技術使數據有了更加廣泛的來源,便于使用,方便與MIS等系統(tǒng)接口,系統(tǒng)的構造和Internet模式進行了結合,應有前景良好。

2.實用性強

信息管理技術有利于變電運行中二次部分各類數據源的共享和使用,尤其是對于變電保護技術工作人員來說,有利于提高系統(tǒng)分析和數據統(tǒng)計的工作效率,有利于提高保護運行水平。

3.可靠性高,易于維護和升級

方法庫和數據倉庫的采用使得整個信息管理系統(tǒng)運行集中于網絡中心規(guī)則庫和數據庫,不再在各級用戶之間分散可靠性,即使其中一個客戶的工作站突然損壞了,也不會對系統(tǒng)其他部分的性能造成影響,并且很容易恢復,軟件開發(fā)人員只需改變方法庫就可以進行升級換代,既方便又快捷。

三、電力變電運行中采用的安全策略

1.安全技術策略

為了確保信息的安全,采取的必不可少的安全技術措施有:1)病毒防護技術。應該建立健全管理制度,統(tǒng)一管理計算機病毒庫的升級分發(fā)以及病毒的預防、檢測等環(huán)節(jié),應該采取全面的防病毒策略應用于信息系統(tǒng)的各個環(huán)節(jié),有效的防治和避免受到病毒的侵害;2)防火墻技術。防火墻技術主要用于隔離信任網絡與非信任網絡,它的檢查方式是通過單一集中的安全檢查點,強制實施安全策略來實現,避免非法存取和訪問重要的信息資源;3)數據與系統(tǒng)備份技術。電力企業(yè)必須制定數據備份策略,定期對數據庫進行備份,按照重要程度劃分數據備份等級,建立企業(yè)數據備份中心,采用災難恢復技術來備份應用系統(tǒng)以及關鍵業(yè)務的數據,并制定詳細的數據庫故障恢復預案以及應用數據庫備份,并定期的進行預演,以防止在數據遭到破壞或是系統(tǒng)崩潰時能夠及時的修復,從而使信息系統(tǒng)具有更好的可靠性和可用性;4)安全審計技術。在系統(tǒng)規(guī)模的不斷擴大以及安全設施不斷完善的背景下,電氣企業(yè)應該引進集中智能的安全審計系統(tǒng),采取行之有效的技術手段來自動統(tǒng)一審計網絡設備日志、業(yè)務應用系統(tǒng)運行日志、操作系統(tǒng)運行日志以及安全設施運行日志等,迅速自動的對系統(tǒng)安全事件進行分析,安全管理系統(tǒng)的運行。另外建立信息安全身份認證體系以及虛擬局域網技術也十分重要。

2.組織管理策略

組織管理措施以及技術措施統(tǒng)一在信息安全的范疇之內,由于管理方面的原因為造成的計算機安全事件的比重達到了70%以上,所以應采取必要的組織管理策略:1)安全策略和制度。電氣企業(yè)應該制定相關的政策方針來指導企業(yè)整體的信息安全工作,只有制定統(tǒng)一的、具有指導性的安全策略和制度才能有效的衡量信息的安全,才能形成安全的防護體系以及遵循信息安全制度,只有制定有效的安全策略和制度,才能實現具體化、形式化的法律管理,才能將法規(guī)與管理聯系在一起,確保信息的安全。2)安全意識和安全技能。電氣企業(yè)應該組織員工進行培訓,普及他們的安全知識,強化職工的安全意識,使他們具備安全防范意識并具備基本的安全技能,能夠處理常見的安全問題。通過安全培訓來提高職工的安全操作技能,再結合第三方安全技術和產品來提升信息安全保障;3)安全組織和崗位。本著保障企業(yè)信息安全的目的,電氣企業(yè)應該設立獨立的信息安全部門來管理企業(yè)信息的安全,實行“統(tǒng)一組織、分散管理”的方式來使信息安全部門全面負責企業(yè)的信息安全管理和維護。安全崗位是是根據系統(tǒng)安全需要設立的信息系統(tǒng)安全管理機構,這個職位主要負責某一個或是幾個安全事務,在全企業(yè)形成專門的信息安全管理工作,使各個信息技術部門也能配合和推行信息安全工作。

參考文獻

[1]覃郁培.信息管理技術在電力變電運行中的應用[J].民營科技,2010,(8)

篇8

【關鍵詞】盈余管理 盈余管理手段 關聯交易

一、信息管理與電力信息化概述

(一)信息管理概念。

信息管理是實現組織目標、滿足組織要求、解決組織環(huán)境問題而開發(fā)、規(guī)劃、集成、控制、利用信息資源,以提高信息利用率,使信息效用價值最大化的一種實現的一種戰(zhàn)略管理。

(二)電力信息化。

電力企業(yè)信息化建設更趨向于科學性、實用性、安全性以及效益性,電力企業(yè)開發(fā)了一系列企業(yè)管理和經濟運行有關的應用系統(tǒng),目的在于提高生產和管理效益以及信息系統(tǒng)的實際使用效果。電能可以瞬間完成發(fā)電、輸電、配電直到用電,電力的生產和使用具有連續(xù)性、等量以及同時的特點,要想確保電力的安全生產以及資源的合理配置生產,必須要根據調度指令對電力系統(tǒng)的所有環(huán)節(jié)瞬時作出反應,電力系統(tǒng)的控制中心、調度中心要同時對發(fā)電、配電、輸電以及用電的各種數據進行全面掌握,并及時地分析、調度和處理,對生產運行進行科學的安排,要及時的處理大而廣、紛繁復雜的信息量,這使得信息處理工作面臨著一定的挑戰(zhàn)。而信息管理技術的出現正好為信息的處理帶來了極大的便利,它結合了GIS技術,能實現多源數據的迅速整合,便于電力系統(tǒng)的信息化管理,可以綜合管理大量的屬性數據和地理信息數據,可以為經營管理提供科學的決策支持以及現代化的管理手段,結合了網絡技術,更有利于提高信息的共享程度,促進信息管理系統(tǒng)實現電力信息的共享,有利于電力系統(tǒng)信息管理更加的透明。電力系統(tǒng)涉及到了十分廣泛的地理區(qū)域,需要多個部門對同一圖層進行編輯,傳統(tǒng)的GIS圖層數據不支持多用并發(fā)操作,只適合單用戶使用,它采用的是文件格式,采用文件服務器的方式來共享圖層,若不進行特殊處理,多用戶同時更新同一圖層文件時就會發(fā)生沖突。而新型的ORDBMS技術可以彌補這一缺陷,不會發(fā)生共享沖突,它采用的是面向對象的數據庫技術,可以集中式管理地理屬性數據和信息空間數據,支持版本管理以及并發(fā)操作,還支持完全數據庫存儲模式,能夠解決數據安全機制、存儲管理大量的數據、數據完整性以及多用戶編輯等方面的問題。

二、電力變電運行中運用信息管理的優(yōu)勢

(一)先進性和開放性。

數據倉庫技術使數據有了更加廣泛的來源,便于使用,方便與MIS等系統(tǒng)接口,系統(tǒng)的構造和Internet模式進行了結合,應有前景良好。

(二)實用性強。

信息管理技術有利于變電運行中二次部分各類數據源的共享和使用,尤其是對于變電保護技術工作人員來說,有利于提高系統(tǒng)分析和數據統(tǒng)計的工作效率,有利于提高保護運行水平。

(三)可靠性高,易于維護和升級。

方法庫和數據倉庫的采用使得整個信息管理系統(tǒng)運行集中于網絡中心規(guī)則庫和數據庫,不再在各級用戶之間分散可靠性,即使其中一個客戶的工作站突然損壞了,也不會對系統(tǒng)其他部分的性能造成影響,并且很容易恢復,軟件開發(fā)人員只需改變方法庫就可以進行升級換代,既方便又快捷。

三、電力變電運行中采用的安全策略

(一)安全技術策略。

為了確保信息的安全,采取的必不可少的安全技術措施有:1)病毒防護技術。應該建立健全管理制度,統(tǒng)一管理計算機病毒庫的升級分發(fā)以及病毒的預防、檢測等環(huán)節(jié),應該采取全面的防病毒策略應用于信息系統(tǒng)的各個環(huán)節(jié),有效的防治和避免受到病毒的侵害;2)防火墻技術。防火墻技術主要用于隔離信任網絡與非信任網絡,它的檢查方式是通過單一集中的安全檢查點,強制實施安全策略來實現,避免非法存取和訪問重要的信息資源;3)數據與系統(tǒng)備份技術。電力企業(yè)必須制定數據備份策略,定期對數據庫進行備份,按照重要程度劃分數據備份等級,建立企業(yè)數據備份中心,采用災難恢復技術來備份應用系統(tǒng)以及關鍵業(yè)務的數據,并制定詳細的數據庫故障恢復預案以及應用數據庫備份,并定期的進行預演,以防止在數據遭到破壞或是系統(tǒng)崩潰時能夠及時的修復,從而使信息系統(tǒng)具有更好的可靠性和可用性;4)安全審計技術。在系統(tǒng)規(guī)模的不斷擴大以及安全設施不斷完善的背景下,電氣企業(yè)應該引進集中智能的安全審計系統(tǒng),采取行之有效的技術手段來自動統(tǒng)一審計網絡設備日志、業(yè)務應用系統(tǒng)運行日志、操作系統(tǒng)運行日志以及安全設施運行日志等,迅速自動的對系統(tǒng)安全事件進行分析,安全管理系統(tǒng)的運行。另外建立信息安全身份認證體系以及虛擬局域網技術也十分重要。

(二)組織管理策略。

組織管理措施以及技術措施統(tǒng)一在信息安全的范疇之內,由于管理方面的原因為造成的計算機安全事件的比重達到了70%以上,所以應采取必要的組織管理策略:1)安全策略和制度。電氣企業(yè)應該制定相關的政策方針來指導企業(yè)整體的信息安全工作,只有制定統(tǒng)一的、具有指導性的安全策略和制度才能有效的衡量信息的安全,才能形成安全的防護體系以及遵循信息安全制度,只有制定有效的安全策略和制度,才能實現具體化、形式化的法律管理,才能將法規(guī)與管理聯系在一起,確保信息的安全。2)安全意識和安全技能。電氣企業(yè)應該組織員工進行培訓,普及他們的安全知識,強化職工的安全意識,使他們具備安全防范意識并具備基本的安全技能,能夠處理常見的安全問題。通過安全培訓來提高職工的安全操作技能,再結合第三方安全技術和產品來提升信息安全保障;3)安全組織和崗位。本著保障企業(yè)信息安全的目的,電氣企業(yè)應該設立獨立的信息安全部門來管理企業(yè)信息的安全,實行“統(tǒng)一組織、分散管理”的方式來使信息安全部門全面負責企業(yè)的信息安全管理和維護。安全崗位是是根據系統(tǒng)安全需要設立的信息系統(tǒng)安全管理機構,這個職位主要負責某一個或是幾個安全事務,在全企業(yè)形成專門的信息安全管理工作,使各個信息技術部門也能配合和推行信息安全工作。

參考文獻:

篇9

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)06-1317-02

On Security Architecture for Enterprise Information Systems to Establish

LI Yu-lu

(Changzhou, Jiangsu Electric Power Company Power Company Information Center, Changzhou 213003, China)

Abstract: To improve the security of enterprise information systems that needs to start from the structure. This article describes the system structure of information system security status and structure of the standardized safety systems analysis, which describes the security requirements to meet the various security elements in the relationship between the proposed enterprise information security architecture model, in order to guide enterprise the development of safety standards, the system provides a reference.

Key words: enterprise information security; architecture; safety standard system

企業(yè)信息系統(tǒng)安全結構是計算機網絡安全系統(tǒng)結構的擴展。20 世紀80 年代末、90 年代初,信息系統(tǒng)安全系統(tǒng)結構的重要性開始引起發(fā)達國家關注。如,美國國家安全局(NAS) 20 世紀90 年代公布的國防信息系統(tǒng)安全計劃(DISSP) ,是由安全特性、系統(tǒng)組成部分、擴展的IS0 協(xié)議層等三維構成,它不僅考慮了信息傳輸安全、網絡安全,還考慮了信息處理安全、端系統(tǒng)及接口安全問題;此外,還增加了互操作性、質量保證、性能等安全特性。2001 年美國國家安全局(NAS )制定了信息技術保證框架(IATF),是從整體、過程的角度看待信息安全問題,它強調以人、技術、操作這三個核心原則,關注四個信息安全保障領域:保護網絡和基礎設施、保護邊界、保護計算環(huán)境、支撐基礎設施,并在4 個重點技術領域實施諸如應用層護衛(wèi)、電路、文件加密等多種安全技術手段。再如,美國國防部所屬的國防信息系統(tǒng)局(DISA)1996 年制定了防御目標安全系統(tǒng)結構框架(DGSA V3.0),從系統(tǒng)單元構成的角度,提出了信息系統(tǒng)中各單元分的安全服務配置框架,目的是要從安全系統(tǒng)結構的高度對信息統(tǒng)的安全保護提出技術上和管理上的規(guī)范要求等。

在信息系統(tǒng)安全系統(tǒng)結構理論研究領域,有人提出開放分布式系統(tǒng)的安全結構;有人對網絡及信息系安全系統(tǒng)結構進行了初步的探討和研究,提出了計算機網絡實體安全系統(tǒng)結構和基于智能協(xié)作技術的信息系統(tǒng)安全系結構概念模型等。通過對上述的研究分析,可以看到國內外己有的安全系統(tǒng)結構和框架都描述了信息系統(tǒng)相關的安全系統(tǒng)結構及模型等安全要素,它們各不相同,實現方法等也并且都不完備。由于研究問題的層次和角度不同,對安全系統(tǒng)結構的具體含義的理解也同,從而導致信息系統(tǒng)安全系統(tǒng)結構在概念上、類型上及結構上的不一致,因此,為使信息系統(tǒng)安全系統(tǒng)結構研究和應用共同的概念依據和構建基礎,需要加強對信息系統(tǒng)安全結構的一些基本問題,諸如安全結構的類型及特征、構成要素及構建步驟等內容的學習研究,以引導企業(yè)安全系統(tǒng)的建立。

1 信息系統(tǒng)安全系統(tǒng)結構組成要素

實現信息安全系統(tǒng)結構的安全,要從多個方面考慮,通常定義的包括安全屬性、系統(tǒng)組成、安全策略、安全模型、安全機制等5 個方面。在每一個方面中,還可以繼續(xù)劃分多個層次;對于一個給定的層次,包括著多種安全要素。

1.1 安全屬性

安全本身是對信息系統(tǒng)一種屬性要求,信息系統(tǒng)通過安全服務來實現安全性?;镜陌踩瞻俗R與鑒別、保密性、完整性、可用性等。在1S07498 一2 中對安全服務和安全機制的對應關系給予了描述。它的核心內容是將5 大類安全服務:身份鑒別、訪問控制、數據保密、數據完整性、不可否認性及提供這些服務的8 類安全機制及其相應的0SI 安全管理等放置于0SI模型的7層協(xié)議中,以實現端系統(tǒng)信息安全傳送的通信通路。這樣從安全性到安全服務機制到具體安全技術手段形成了安全屬性的不同層次。

1.2 系統(tǒng)組成

系統(tǒng)組成描述信息系統(tǒng)的組成要素。對于信息系統(tǒng)的組成劃分,有不同的方法??梢苑譃橛布蛙浖?在硬件和軟件中又可以進一步地劃分。對于分布的信息系統(tǒng),可以將信息系統(tǒng)資源分為用戶單元和網絡單元,即將信息系統(tǒng)的組成要素分為本地計算環(huán)境和網絡,以及計算環(huán)境邊界。本地計算環(huán)境和網絡都還可以進一步劃分等。例如本地計算環(huán)境可以分為端系統(tǒng)、中繼系統(tǒng)和局部通信系統(tǒng)。端系統(tǒng)作為信息處理單元,可以繼續(xù)分為應用平臺和應用軟件;應用平臺包括操作系統(tǒng)、軟件工程服務、分布式服務、數據管理等:應用軟件中包括消息處理、web 應用等。

1.3 安全策略

在安全系統(tǒng)結構中,安全策略指用于限定一個系統(tǒng)、實體或對象進行安全相關活動的規(guī)則。 即要表明在安全范圍內什么是允許的,什么是不允許的。它直體現了安全需求,井且也有面向不同層次、視圖及原理的安全策略。其描述內容和形式也各不相同。對于抽象型和一般型安全系統(tǒng)結構而言,安全策略主要是對加密、訪問控制、多級安全等策略的通用規(guī)定,不涉及具體的軟硬件實現;而對于具體型安全系統(tǒng)結構,其安全策咯則是要對實現系統(tǒng)安全功能的主體和客體特性進行具體的標識和說明,亦即要描述允許或禁止系統(tǒng)和用戶何時執(zhí)行哪些動作,井要能反射到軟硬件安全組件的具體配置,如,網絡操作系統(tǒng)的帳戶策略用戶權限策略和審計策略等安全策略就最終體現為發(fā)全功能的各種選項等。

1.4 安全模型

安全模型用于準確描述系絞在功能和結構上的安全特性,它反映了一定的支全策略,是引導、驗證安全系統(tǒng)開發(fā)設計的概念模型要求。對安全策略及形式化模型的研究起源于美國軍方對高安全級別的計算機系統(tǒng)的需求,它為計算機操作系統(tǒng)的安全性設計提供了理論基礎。這些安全模型通常被認為是經典安全模型。經典安全模型主要由身份標識、認證、授權、審核等4個環(huán)節(jié)構成。經典安全模型的前提假設是:引用監(jiān)視器是主體對客體進行訪問的唯一路徑。身份標識與認證的機制是可靠的;審核文件和訪問控制數據庫本身受到充分的保護。而這些前提在實際的信怠系統(tǒng)中并不一定成立。因此,信息系統(tǒng)安全摸型的描述應反映相應層次和視圖上的安全策略。

1.5 安全機制

安全機制是實現信息系統(tǒng)安全需求及空全策略的各種措施,具體可以表現為所需要的安全白標準、安全協(xié)議、安全技術、安全單元等。對于不同層次、不同視圖及不同原理的安全系統(tǒng)結構,安全機制側重點也有所不同。例如:OSI安全系統(tǒng)結構中建議采用7種安全機制。而對于特定系統(tǒng)的安全系統(tǒng)結構,則要進一步說明有關安全機制的具體實現技術,如認證機制的實現可以有口令、密碼技術及實體特征鑒別等方法。

2 數學模型

把整個信息系統(tǒng)安全系統(tǒng)結構可看成為一個空間:組成信息系統(tǒng)安全系統(tǒng)結構的這些方面稱之為維,層次劃分中的特定層次下所包括的安全要素值均是每一維上的具體元素值的體現,通用的信息系統(tǒng)安全系統(tǒng)結構就是具有多維、多層和動態(tài)特性的空間(這里只是借用維空間的概念,除了考慮各維元素之間的相互作用而外并不考慮維空間中各個元素之間的運算)。通過數學描述,可以更好地對知識進行歸納和運用:一方面更容易量化,使得描述更為清晰;另一方面可以指導新的未知問題的探索,演繹出新的概念或理論。

3 結束語

企業(yè)信息系統(tǒng)安全系統(tǒng)結構的研究是一項復雜的系統(tǒng)工程。需要我們用系統(tǒng)工程的概念、理論和方法來研究、開發(fā)和實施系統(tǒng)安全結構的設計,安全系統(tǒng)結構理論就是要從整體上解決信息系統(tǒng)的安全問題,但目前在很多企業(yè)對安全系統(tǒng)結構的概念、類型、構建等問題上還沒有得到系統(tǒng)化的研究,以上從學習研究的角度對目前國內外安全系統(tǒng)結構和安全系統(tǒng)的研究進行了粗淺的學習分析,通過分析使對整個安全系統(tǒng)結構的認識進一步加深和清晰化,從而提出企業(yè)信息安全系統(tǒng)結構和模型。要使企業(yè)信息系統(tǒng)安全系統(tǒng)結構適合企業(yè)信息系統(tǒng)安全、全面、準確、可行的要求,同時要適應信息技術及其安全技術的飛速發(fā)展。只有這樣,才能確保信息安全系統(tǒng)適應更好地為企業(yè)服務。

參考文獻:

篇10

關鍵詞:商業(yè)秘密;信息安全;保護;資產;大數據

1信息安全工作的本質是商業(yè)秘密保護

商業(yè)秘密保護一直是企業(yè)內部管理的薄弱環(huán)節(jié),企業(yè)也是信息安全泄密事件的高發(fā)群體,受到商業(yè)秘密侵權的損害也最大。其原因在于企業(yè)的創(chuàng)始人基本沒有商業(yè)秘密的意識,也沒有在機構上設立保密部門,更沒有建立有效的商業(yè)秘密保護管理機制,因此導致商業(yè)秘密容易被侵權。按照我國《反不正當競爭法》的規(guī)定,屬于商業(yè)秘密范疇的信息須具備以下三個條件:不為公眾所知悉、能帶來經濟利益、采取保密措施。根據商業(yè)秘密的特點,可以發(fā)現商業(yè)秘密屬于具有經濟價值且被保護的企業(yè)信息資源,這種資源在企業(yè)內部有限范圍內共享。當下,有關商業(yè)秘密的法律訴訟已不是新鮮事。2017年,安徽一橡塑制品公司員工辭職后入股競爭對手,不僅帶走老東家的技術資料,還“搶了”老顧客生意。法院采取“實質性相同加接觸”規(guī)則推定其與新東家構成侵權,判賠80萬元。據德國《經濟周刊》網站2017年12日報道,荷蘭警方日前逮捕了一名65歲男子,該男子為西門子員工,涉嫌將西門子商業(yè)機密泄露給中國企業(yè),荷蘭檢察院目前正對此案展開調查。以上兩個案例中的企業(yè)商業(yè)秘密保護的一個側面。大數據時代的核心是資源共享,任何企業(yè)都不是一個封閉的組織,任何組織和個人都可以有償或者無償獲得他們所需要的信息。因此,要做好企業(yè)的信息安全工作,必須厘清商業(yè)秘密保護與信息安全之間的關系。商業(yè)秘密保護的對象是企業(yè)的技術或經營信息,因此商業(yè)秘密保護的本質也是保護信息安全。泄密事件層出不窮,泄密手段越來越高科技。大部分企業(yè)在信息安全工作中,存在一些典型的誤區(qū):業(yè)務部門認為沒有商業(yè)秘密可言,搞信息安全只是IT部門的事情;業(yè)務部門不知道哪些信息屬于商業(yè)秘密,信息安全工作推進沒有依據;業(yè)務部門的海量信息都需要保護,保護范圍無限擴大,見圖1。

2信息安全工作不能奔走救火

市場經濟競爭越來越激烈,泄密風險越來越多,商業(yè)秘密的價值越來越高。泄密的途徑和方式多種多樣,要想做好信息安全工作,我們必須要了解主要的泄密途徑。(1)內部泄密。堡壘最容易從內部被攻破,在企業(yè)商業(yè)秘密泄密事件中,由于核心員工跳槽帶走商業(yè)秘密而造成的泄密事件時有發(fā)生而且占有很大的比例。據統(tǒng)計,企業(yè)內部人員侵犯商業(yè)秘密案件占全部案例的82.5%。人員流動是企業(yè)發(fā)展過程中所面臨的并且是無法回避的問題,在企業(yè)的商業(yè)秘密保護工作中,如何防止核心員工跳槽帶走商業(yè)秘密,人員管理固然是很重要的一個環(huán)節(jié),但還應伴隨著一系列的管理措施。對于企業(yè)來說,證明商業(yè)秘密的存在本身就很困難,要證明企業(yè)員工是否利用了這種信息難度更大,尤其是難以區(qū)分一般信息與商業(yè)秘密信息的差別。所以,應通過競業(yè)限制條款以盡可能地避免員工利用商業(yè)秘密。(2)商業(yè)秘密信息管理不善。一些企業(yè)中存在著很多這樣的情況,企業(yè)一邊將一些技術文件、客戶資料和信息不分級別隨意管理,任何員工甚至未經任何手續(xù)就能隨意使用和得到這些信息,另一邊聲稱自己的商業(yè)秘密被泄露要加強管理甚至要進行索賠等,這種狀況是很難尋求到法律支持和保護的。所以,我們強調確定企業(yè)的商業(yè)秘密范圍,明確商業(yè)秘密保護的對象是商業(yè)秘密保護工作的關鍵環(huán)節(jié)。(3)接待外來人員采訪、參觀、考察、實習中疏忽大意。這樣的實例很多,我國一些具有“獨特工藝”的傳統(tǒng)產品企業(yè)就是在接待參觀和考察中,被人竊取“機密”。改革開放之初,日本人借著我國地方官員和民眾熱情迎接外賓,毫無商業(yè)保密頭腦的機會,來涇縣“參觀考察”中國宣紙制造,官員和工廠負責及技術人員陪同參觀,每一道制作工藝詳細講解,從而日本人輕而易舉獲取了宣紙制造的整個流程,以及“紙藥”的配方。如果企業(yè)能重視到商業(yè)秘密的保護,此種損失完全可以避免或降低。參觀應避開敏感區(qū)域,勿作詳細解釋,勿對生產制造工藝進行演示,并要求來訪者參觀商業(yè)秘密設備時簽訂保密協(xié)議。(4)對外信息。競爭對手通過公開的信息收集的合法途徑同樣能夠獲取企業(yè)商業(yè)秘密。還有一些企業(yè)甚至盯著對手公司經常使用的垃圾箱,從垃圾箱中翻閱廢棄資料,從而檢索有用信息。對此,企業(yè)一定要引起注意,最好建立嚴格的信息審批規(guī)章制度和辦事程序。比如信息公布、報廢產品、實驗廢品和產品的處理,展覽、新聞和廣告等,均需通過嚴密的信息處理和審批,以防無意中泄密。為了解決一個個具體的問題而立即行動,效果不會很好,久而久之,信息安全保護措施會流于形式、奔走救火。企業(yè)要防止自己的商業(yè)秘密被競爭對手竊取,必要采取各種保護措施。保護措施越多,保護效果越好,但同時保護成本也會增大,消耗企業(yè)的財富。但如果企業(yè)對商業(yè)秘密投入不足,會使保護能力欠缺,導致重要的商業(yè)秘密資產被泄密,企業(yè)面臨的損失可能會更大。因此,企業(yè)必須使投入的保護成本與需要保護的商業(yè)秘密資產價值相適應。

3保護信息安全的目標是降低風險

就商業(yè)秘密而言,沒有絕對的安全,只有相對的安全。信息安全的目的是,保護信息免受各種威脅的損害,以確保業(yè)務連續(xù)性,業(yè)務風險最小化,投資回報和商業(yè)機遇最大化。泄密風險只能降低,不可能杜絕。商業(yè)秘密范圍的確定是商業(yè)秘密保護最基礎的工作,只有準確的定義、識別并確定自己企業(yè)需要保護的商業(yè)秘密范圍,才有可能采取有效措施對范圍之內的商業(yè)秘密進行保護,如果范圍確定的不準確,就可能使商業(yè)秘密面臨缺乏保護或保護過度的風險。在明確商業(yè)秘密的范圍和定義的前提下,首先要做好“定密”工作,其次要做好“分級”工作,最后在采用各種手段去做“保密”工作。

參考文獻

[1]魏亮.云計算安全風險及對策研究[J].郵電設計技術,2011(10).

[2]徐祖哲.企業(yè)信息化與商業(yè)秘密保護[J].中國科技投資,2009(2).

[3]歐陽有慧.商業(yè)秘密的企業(yè)應對[J].商場現代化,2009(1).

[4]王紅一.免予公開的商業(yè)秘密的界定問題[J].暨南學報,2005(5).

[5]馮曉青.試論商業(yè)秘密法的目的與利益平衡[J].天中學刊,2004(12).