企業(yè)信息安全的概念范文

時間:2023-10-09 17:30:13

導語:如何才能寫好一篇企業(yè)信息安全的概念,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

企業(yè)信息安全的概念

篇1

企業(yè)經(jīng)營信息對于企業(yè)來說是一種資源,對于企業(yè)自身來說具有重要意義,企業(yè)需要妥善管理自身企業(yè)的信息。近年來,企業(yè)的各項經(jīng)營活動都逐漸開始通過計算機,網(wǎng)絡(luò)開展,因此,企業(yè)的信息安全管理對于企業(yè)越來越重要。許多企業(yè)開始通過各種技術(shù)手段以及制度改革,把更多的注意力放在企業(yè)內(nèi)部的信息安全管理工作,同時將企業(yè)信息安全管理與風險控制結(jié)合起來,這是一個正確的選擇,能夠幫助企業(yè)實現(xiàn)穩(wěn)定經(jīng)營。在介紹企業(yè)信息安全管理以及風險控制前必須厘清企業(yè)信息安全管理的概念與企業(yè)風險控制定義,因此,本節(jié)將著重介紹企業(yè)信息安全管理的概念以及企業(yè)風險控制的定義。企業(yè)的信息安全管理包含十分豐富的內(nèi)容,簡單來說是指企業(yè)通過各種手段來保護企業(yè)硬件和軟件,保護網(wǎng)絡(luò)存儲中的各種數(shù)據(jù)不受偶然因素的破壞或者惡意的原因被攻擊。對于信息安全的認定通過包括4個指標,即保證信息數(shù)據(jù)的完整,保證信息數(shù)據(jù)不被泄露,保證信息數(shù)據(jù)能夠正常使用,保證信息數(shù)據(jù)能夠控制管理。要想做好企業(yè)的信息安全管理,首先需要了解的是關(guān)于信息的傳輸方式。隨著信息技術(shù)的不斷普及,信息傳遞的方式越來越多,常見的信息傳遞方式主要有互聯(lián)網(wǎng)傳播,局域網(wǎng)傳播,硬件傳播等等。要想實現(xiàn)企業(yè)的信息安全管理,其中很重要的一項工作在于保護信源、信號以及信息。

信息安全管理是一項需要綜合學科知識基礎(chǔ)的工作,從事企業(yè)信息安全管理工作的人員通過需要具有網(wǎng)絡(luò)安全技術(shù)、計算機技術(shù)、密碼技術(shù)、通信技術(shù)。從企業(yè)的信息安全管理來講,最為關(guān)鍵的一項工作時保護企業(yè)內(nèi)部經(jīng)營信息數(shù)據(jù)的完整。經(jīng)過近十年來的企業(yè)信息安全管理工作經(jīng)驗總結(jié),企業(yè)信息安全不僅僅需要信息技術(shù)的支持,更需要通過建立完善的企業(yè)風險控制體系來幫助企業(yè)實現(xiàn)更好地保護企業(yè)信息安全的目標。所以,怎樣把企業(yè)信息安全管理與風險控制融合起來就是擺在企業(yè)經(jīng)營管理者面前的一道難題。企業(yè)的信息安全風險控制必須通過企業(yè)建立完善的企業(yè)信息安全風險體系實現(xiàn)。

企業(yè)的信息安全風險控制是指企業(yè)在企業(yè)信息安全遭遇威脅之前,提前對企業(yè)的信息進行風險預估,并采取一系列的有針對性的活動降低企業(yè)面臨的信息安全風險,從而盡可能減少因為企業(yè)本身信息安全管理中存在漏洞給企業(yè)帶來不必要的損失。常見的企業(yè)信息安全風險體系建立主要包含以下幾個方面的內(nèi)容。第一,建立企業(yè)信息安全風險管理制度,明確企業(yè)信息安全管理的責任分配機制,明確企業(yè)各個部門對各自信息安全所應承擔的責任,并建立相應的問責機制。第二,設(shè)置規(guī)范的企業(yè)信息安全風險管理指標,對企業(yè)存在的可能威脅企業(yè)信息安全管理的漏洞予以風險定級,方便企業(yè)管理者對不同的信息安全管理漏洞采取有區(qū)別的對策。第三,企業(yè)要加強對信息安全管理人員的培訓,提高企業(yè)信息安全管理工作人員的風險意識,讓企業(yè)內(nèi)部從事信息安全管理工作人員認識到自身工作的重要性,讓企業(yè)內(nèi)部從事信息安全管理工作人員了解到規(guī)范自身行為,正確履行職責的重要性。第四,將企業(yè)信息安全管理與風險控制有效融合,重視企業(yè)信息安全管理工作,通過風險控制對企業(yè)內(nèi)部信息安全的管理方式進行正確評估,找出現(xiàn)行的企業(yè)內(nèi)部信息安全管理手段中存在容易忽視的地方。

二、企業(yè)信息安全管理與風險控制存在的不足

1.企業(yè)信息安全管理工作人員素質(zhì)不高

對于企業(yè)來說,企業(yè)信息安全管理工作是一項極為重要而隱秘的工作,因此,必須增強對企業(yè)信息安全管理工作人員的素質(zhì)要求。但是根據(jù)調(diào)查統(tǒng)計,目前很多企業(yè)對信息安全工作的管理僅僅停留在對企業(yè)信息安全管理工作人員的技術(shù)要求上,對企業(yè)信息安全管理工作人員的道德素養(yǎng),職業(yè)素養(yǎng),風險意識并沒有嚴格要求。此外,絕大多數(shù)企業(yè)并沒有意識開展對企業(yè)信息安全管理工作的道德素質(zhì)的教育培訓,并沒有通過建立相關(guān)管理制度以及問責機制對企業(yè)信息安全管理工作人員實行監(jiān)督,這無疑給別有用心或者立場不堅定的企業(yè)信息安全管理工作人員留下了危害企業(yè)信息安全的可乘之機。

2.企業(yè)信息安全管理技術(shù)不過關(guān)

企業(yè)信息安全管理工作涉及多許多技術(shù),包括信息技術(shù),計算機技術(shù),密碼技術(shù),網(wǎng)絡(luò)應用技術(shù)等等,應當說成熟的計算機應用技術(shù)是做好企業(yè)信息安全管理的基礎(chǔ),但是,現(xiàn)實是許多企業(yè)的信息安全管理技術(shù)并不過關(guān),一方面企業(yè)的信息安全管理硬件并不過關(guān),在物理層面對企業(yè)信息缺乏保護,另一方面,企業(yè)信息安全管理工作的專業(yè)技術(shù)沒有及時更新,一些企業(yè)信息安全管理工作人員缺乏企業(yè)信息安全管理的實踐經(jīng)驗,企業(yè)信息安全管理的知識也并沒有及時更新,從而導致企業(yè)的信息安全管理理論嚴重滯后,這種技術(shù)的落后很容易讓企業(yè)成為不法分子的攻擊對象。近年來網(wǎng)絡(luò)病毒的傳播越來越猖狂,很多服務(wù)器、系統(tǒng)提示安全補丁的下載更新以及客戶端的時常更新成為一個惱人的問題。作為一個行業(yè)中的大中型企業(yè),企業(yè)內(nèi)部設(shè)備數(shù)量比較多,尤其是客戶端數(shù)量占了較大比重,僅僅靠少數(shù)幾個管理員進行管理是難以承擔如此大量的工作量。另外,企業(yè)信息安全管理系統(tǒng)不成熟也是一個重大的隱患。

3.企業(yè)信息安全管理制度不健全

企業(yè)信息安全管理制度不僅僅需要理論制度的完善,更加需要一系列配套監(jiān)督機制保障企業(yè)信息安全管理的有效執(zhí)行。通過調(diào)查分析,許多企業(yè)雖然建立了企業(yè)信息安全管理制度,但是通常情況下,這些制度只能流于形式,企業(yè)信息安全管理工作缺少有效的制約和監(jiān)督,企業(yè)信息安全管理工作人員缺乏執(zhí)行力。企業(yè)信息安全管理制度不健全,企業(yè)信息安全管理工作缺乏執(zhí)行力常常體現(xiàn)在以下幾個方面。第一,企業(yè)員工對于信息安全管理的認識嚴重不足,對企業(yè)信息安全管理工作不重視。企業(yè)內(nèi)部計算機系統(tǒng)安全的計算機防病毒軟件并沒有及時更新,使用,甚至企業(yè)內(nèi)部計算機的防病毒軟件還被企業(yè)員工卸載了。部分企業(yè)員工認為自己的工作與企業(yè)信息安全管理不相關(guān),認為做好企業(yè)信息安全管理工作僅僅是企業(yè)信息安全部門的事。第二,企業(yè)內(nèi)部信息安全文秘站:管理制度并沒有形成聯(lián)動機制,企業(yè)信息安全管理工作僅僅由企業(yè)信息安全部門“一人包干”,企業(yè)信息安全反映的問題并沒有得到積極的反饋,一些企業(yè)領(lǐng)導對企業(yè)信息安全現(xiàn)狀所了解的少之又少。

三、企業(yè)信息安全管理常見的技術(shù)手段 1.OSI安全體系結(jié)構(gòu)

OSI概念化的安全體系結(jié)構(gòu)是一個多層次的結(jié)構(gòu),它的設(shè)計初衷是面向客戶的,提供給客戶各種安全應用,安全應用必須依靠安全服務(wù)來實現(xiàn),而安全服務(wù)又是由各種安全機制來保障的。所以,安全服務(wù)標志著一個安全系統(tǒng)的抗風險的能力,安全服務(wù)數(shù)量越多,系統(tǒng)就越安全。

2.P2DR模型

P2DR模型包含四個部分:響應、安全策略、檢測、防護。安全策略是信息安全的重點,為安全管理提供管理途徑和保障手段。因此,要想實施動態(tài)網(wǎng)絡(luò)安全循環(huán)過程,必須制定一個企業(yè)的安全模式。在安全策略的指導下實施所有的檢測、防護、響應,防護通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術(shù)或者方法來突破的,比如有防火墻、訪問控制、加密、認證等方法,檢測是動態(tài)響應的判斷依據(jù),同時也是有力落實安全策略的實施工具,通過監(jiān)視來自網(wǎng)絡(luò)的入侵行為,可以檢測出騷擾行為或錯誤程序?qū)е碌木W(wǎng)絡(luò)不安全因素;經(jīng)過不斷地監(jiān)測網(wǎng)絡(luò)和系統(tǒng)來發(fā)現(xiàn)新的隱患和弱點。在安全系統(tǒng)中,應急響應占有重要的地位,它是解決危險潛在性的最有效的辦法。

3.HTP模型

HTP最為強調(diào)企業(yè)信息安全管理工作人員在整個系統(tǒng)中的價值。企業(yè)信息安全工作人員企業(yè)信息安全最為關(guān)鍵的參與者,企業(yè)信息安全工作人員直接主導企業(yè)信息安全管理工作,企業(yè)信息安全工作人員不僅僅是企業(yè)信息安全的保障者,也是企業(yè)信息安全管理的威脅者。因此,HTP模型最為強調(diào)對企業(yè)信息安全管理工作人員的管理與監(jiān)督。另外,HTP模式同樣是建立在企業(yè)信心安全體系,信息安全技術(shù)防范的基礎(chǔ)上,HTP模式采取了豐富的安全技術(shù)手段確保企業(yè)的信息安全。最后,HTP強調(diào)動態(tài)管理,動態(tài)監(jiān)督,對于企業(yè)信息安全管理工作始終保持高強度的監(jiān)督與管理,在實際工作中,通過HTP模型的應用,找出HTP模型中的漏洞并不斷完善。

四、完善企業(yè)信息安全管理與降低風險的建議

1.建設(shè)企業(yè)信息安全管理系統(tǒng)

(1)充分調(diào)查和分析企業(yè)的安全系統(tǒng),建立一個全面合理的系統(tǒng)模型,安全系統(tǒng)被劃分成各個子系統(tǒng),明確實施步驟和功能摸塊,將企業(yè)常規(guī)管理工作和安全管理聯(lián)動協(xié)議相融合,實現(xiàn)信息安全監(jiān)控的有效性和高效性。

(2)成立一個中央數(shù)據(jù)庫,整合分布式數(shù)據(jù)庫里的數(shù)據(jù),把企業(yè)的所有數(shù)據(jù)上傳到中央數(shù)據(jù)庫,實現(xiàn)企業(yè)數(shù)據(jù)信息的集中管理與有效運用。

(3)設(shè)計優(yōu)良的人機界面,通過對企業(yè)數(shù)據(jù)信息進行有效的運用,為企業(yè)管理階層人員、各級領(lǐng)導及時提供各種信息,為企業(yè)領(lǐng)導的正確決策提供數(shù)據(jù)支持,根本上提高信息數(shù)據(jù)的管理水平。

(4)簡化企業(yè)內(nèi)部的信息傳輸通道,對應用程序和數(shù)據(jù)庫進行程序化設(shè)計,加強對提高企業(yè)內(nèi)部信息處理的規(guī)范性和準確性。

2.設(shè)計企業(yè)信息安全管理風險體系

(1)確定信息安全風險評估的目標

在企業(yè)信息安全管理風險體系的設(shè)計過程中,首要工作是設(shè)計企業(yè)信息安全風險評估的目標,只有明確了企業(yè)信息安全管理的目標,明確了企業(yè)信息安全管理的要求和工作能容,才能建立相關(guān)圍繞信息安全風險控制為目標的信息安全管理工作制度,才能順利通過對風險控制的結(jié)果的定量考核,檢測企業(yè)信息安全管理的風險,定性定量地企業(yè)信息安全管理工作進行分析,找準企業(yè)信息安全管理的工作辦法。

(2)確定信息安全風險評估的范圍

不同企業(yè)對于風險的承受能力是有區(qū)別的,因此,對于不同的企業(yè)的特殊性應該采取不同的風險控制辦法,其中,不同企業(yè)對于能夠承受的信息安全風范圍有所不同,企業(yè)的信息安全風險承受范圍需要根據(jù)企業(yè)的實際能力來制定。不僅如此,企業(yè)的信息安全風險評估范圍也應當根據(jù)企業(yè)的實際經(jīng)營情況變化采取有針對性的辦法。

篇2

隨著信息化進程的發(fā)展,信息技術(shù)與網(wǎng)絡(luò)技術(shù)的高度融合,現(xiàn)代企業(yè)對信息系統(tǒng)的依賴性與信息系統(tǒng)本身的動態(tài)性、脆弱性、復雜性、高投入性之間的矛盾日趨突顯,如何有效防護信息安全成為了企業(yè)亟待解決的問題之一。目前國內(nèi)企業(yè)在信息安全方面仍側(cè)重于技術(shù)防護和基于傳統(tǒng)模式下的靜態(tài)被動管理,尚未形成與動態(tài)持續(xù)的信息安全問題相適應的信息安全防護模式,企業(yè)信息安全管理效益低下;另一方面,資源約束性使企業(yè)更加關(guān)注信息安全防護的投入產(chǎn)出效應,最大程度上預防信息安全風險的同時節(jié)省企業(yè)安全建設(shè)、維護成本,需要從管理角度上更深入地整合和分配資源。

本文針對現(xiàn)階段企業(yè)信息安全出現(xiàn)的問題,結(jié)合項目管理領(lǐng)域的一般過程模型,從時間、任務(wù)、邏輯方面界定了系統(tǒng)的霍爾三維結(jié)構(gòu),構(gòu)建了標準化的ISM結(jié)構(gòu)模型及動態(tài)運行框架,為信息網(wǎng)絡(luò)、信息系統(tǒng)、信息設(shè)備以及網(wǎng)絡(luò)用戶提供一個全方位、全過程、全面綜合的前瞻性立體防護,并從企業(yè)、政府兩個層面提出了提高整體信息安全防護水平的相關(guān)建議。

1 企業(yè)信息安全立體防護體系概述

1.1 企業(yè)信息安全立體防護體系概念

信息安全立體防護體系是指為保障企業(yè)信息的有效性、保密性、完整性、可用性和可控性,提供覆蓋到所有易被威脅攻擊的角落的全方位防護體系。該體系涵蓋了企業(yè)信息安全防護的一般步驟、具體階段及其任務(wù)范圍。

1.2 企業(yè)信息安全立體防護體系環(huán)境分析

系統(tǒng)運行離不開環(huán)境。信息產(chǎn)業(yè)其爆炸式發(fā)展的特性使企業(yè)信息安全的防護環(huán)境也相對復雜多變,同時,多樣性的防護需求要求有相適應的環(huán)境與之配套。

企業(yè)信息安全立體防護體系的運行環(huán)境主要包括三個方面,即社會文化環(huán)境、政府政策環(huán)境、行業(yè)技術(shù)環(huán)境。社會文化環(huán)境主要指在企業(yè)信息安全方面的社會整體教育程度和文化水平、行為習慣、道德準則等。政府政策環(huán)境是指國家和政府針對于企業(yè)信息安全防護出臺的一系列政策和措施。行業(yè)技術(shù)環(huán)境是指信息行業(yè)為支持信息安全防護所開發(fā)的一系列技術(shù)與相匹配的管理體制。

1.3 企業(yè)信息安全立體防護體系霍爾三維結(jié)構(gòu)

為平衡信息安全防護過程中的時間性、復雜性和主觀性,本文從時間、任務(wù)、邏輯層面建立了企業(yè)信息安全立體防護體系的三維空間結(jié)構(gòu),如圖1所示。

時間維是指信息安全系統(tǒng)從開始設(shè)計到最終實施按時間排序的全過程,由分析建立、實施運行、監(jiān)視評審、保持改進四個基本時間階段組成,并按PDCA過程循環(huán)[5]。邏輯維是指時間維的每一個階段內(nèi)所應該遵循的思維程序,包括信息安全風險識別、危險性辨識、危險性評估、防范措施制定、防范措施實施五個步驟。任務(wù)維是指在企業(yè)信息安全防護的具體內(nèi)容,如網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全、應用安全等。該霍爾三維結(jié)構(gòu)中任一階段和步驟又可進一步展開,形成分層次的樹狀體系。

2 企業(yè)信息安全立體防護體系解釋結(jié)構(gòu)模型

2.1 ISM模型簡介

ISM(Interpretation Structural Model)技術(shù),是美國J·N·沃菲爾德教授于1973年為研究復雜社會經(jīng)濟系統(tǒng)問題而開發(fā)的結(jié)構(gòu)模型化技術(shù)。該方法通過提取問題的構(gòu)成要素,并利用矩陣等工具進行邏輯運算,明確其間的相互關(guān)系和層次結(jié)構(gòu),使復雜系統(tǒng)轉(zhuǎn)化成多級遞階形式。

2.2 企業(yè)信息安全立體防護體系要素分析

本文根據(jù)企業(yè)信息安全的基本內(nèi)容,將立體防護體系劃分為如下15個構(gòu)成要素:

(1) 網(wǎng)絡(luò)安全:網(wǎng)絡(luò)平臺實現(xiàn)和訪問模式的安全;

(2) 系統(tǒng)安全:操作系統(tǒng)自身的安全;

(3) 數(shù)據(jù)安全:數(shù)據(jù)在存儲和應用過程中不被非授權(quán)用戶有意破壞或無意破壞;

(4) 應用安全:應用接入、應用系統(tǒng)、應用程序的控制安全;

(5) 物理安全:物理設(shè)備不受物理損壞或損壞時能及時修復或替換;

(6) 用戶安全:用戶被正確授權(quán),不存在越權(quán)訪問或多業(yè)務(wù)系統(tǒng)的授權(quán)矛盾;

(7) 終端安全:防病毒、補丁升級、桌面終端管理系統(tǒng)、終端邊界等的安全;

(8) 信息安全風險管理:涉及安全風險的評估、安全代價的評估等;

(9) 信息安全策略管理:包括安全措施的制定、實施、評估、改進;

(10) 信息安全日常管理:巡視、巡檢、監(jiān)控、日志管理等;

(11) 標準規(guī)范體系:安全技術(shù)、安全產(chǎn)品、安全措施、安全操作等規(guī)范化條例;

(12) 管理制度體系:包括配套規(guī)章制度,如培訓制度、上崗制度;

(13) 評價考核體系:指評價指標、安全測評;

(14) 組織保障:包括安全管理員、安全組織機構(gòu)的配備;

(15) 資金保障:指建設(shè)、運維費用的投入。

2.3 ISM模型計算

根據(jù)專家對企業(yè)信息安全立體防護體系中15個構(gòu)成要素邏輯關(guān)系的分析,可得要素關(guān)系如表1所示。

對可達矩陣進行區(qū)域劃分和級位劃分,確定各要素所處層次地位。在可達矩陣中找出各個因素的可達集R(Si),前因集A(Si)以及可達集R(Si)與前因集A(Si)的交集R(Si)∩A(Si),得到第一級的可達集與前因集(見表2)。

2.4 企業(yè)信息安全立體防護結(jié)構(gòu)

結(jié)合信息安全防護的特點,企業(yè)信息安全立體防護體系15個要素相互聯(lián)系、相互作用,有機地構(gòu)成遞階有向?qū)蛹壗Y(jié)構(gòu)模型。圖2中自下而上的箭頭表示低一層因素影響高一層因素,雙向箭頭表示同級影響。

從圖2可以看出,企業(yè)信息安全防護體系內(nèi)容為四級遞階結(jié)構(gòu)。從下往上,第一層因素從制度層面闡述了企業(yè)信息安全防護,該層的五個因素處于ISM結(jié)構(gòu)的最基層且相互獨立,構(gòu)成了企業(yè)信息安全立體防護的基礎(chǔ)。第二層因素在基于保障的前提下,確定了企業(yè)為確保信息安全進行管理活動,是進行立體防護的方法和手段;第三層因素是從物理條件、傳輸過程方面揭示了企業(yè)進行信息安全防護可控點,其中物理安全是控制基礎(chǔ)。第四層要素是企業(yè)信息安全的直接需求,作為信息的直接表現(xiàn)形式,數(shù)據(jù)是企業(yè)信息安全立體防護的核心。企業(yè)信息安全防護體系的四級遞階結(jié)構(gòu)充分體現(xiàn)了企業(yè)信息安全防護體系的整體性、層級性、交互性。

圖2 企業(yè)信息安全防護解釋結(jié)構(gòu)模型

2.5 企業(yè)信息安全立體防護過程

企業(yè)信息安全立體防護是一個多層次的動態(tài)過程,它隨著環(huán)境和信息傳遞需求變化而變化。本文在立體防護結(jié)構(gòu)模型的基礎(chǔ)上對企業(yè)信息安全防護結(jié)構(gòu)進行擴展,構(gòu)建了整體運行框架(見圖3)。

從圖3 中可以看出,企業(yè)信息安全防護過程按分析建立到體系保持改進的四個基本時間階段中有序進行,充分體現(xiàn)出時間維度上的動態(tài)性。具體步驟如下:

(1) 綜合分析現(xiàn)行的行業(yè)標準規(guī)范體系,企業(yè)內(nèi)部管理流程、人員組織結(jié)構(gòu)和企業(yè)資金實力,建立企業(yè)信息安全防護目標,并根據(jù)需要將安全防護內(nèi)容進行等級劃分。

(2) 對防護內(nèi)容進行日常監(jiān)測(包括統(tǒng)計分析其他公司近期發(fā)生的安全事故),形成預警,進而對公司信息系統(tǒng)進行入侵監(jiān)測,判斷其是否潛在威脅。

(3) 若存在威脅,則進一步確定威脅來源,并對危險性進行評估,判斷其是否能通過現(xiàn)有措施解決。

(4) 平衡控制成本和實效性,采取防范措施,并分析其效用,最終形成內(nèi)部信息防護手冊。

3 分析及對策

3.1 企業(yè)層面

(1) 加強系統(tǒng)整體性。企業(yè)信息安全防護體系的15個構(gòu)成要素隸屬于一個共同區(qū)域,在同一系統(tǒng)大環(huán)境下運作。資源受限情況下要最大程度地保障企業(yè)信息安全,就必須遵循一切從整體目標出發(fā)的原則,加強信息安全防護的整體布局,在對原有產(chǎn)品升級和重新部署時,應統(tǒng)一規(guī)劃,統(tǒng)籌安排,追求整體效能和投入產(chǎn)出效應。

(2) 明確系統(tǒng)層級性。企業(yè)信息安全防護工作效率的高低很大程度上取決于在各個防護層級上的管理。企業(yè)信息安全防護涉及技術(shù)層面防護、策略層面防護、制度層面防護,三個層面互相依存、互相作用,其中制度和保障是基礎(chǔ),策略是支撐,技術(shù)是手段。要有效維護企業(yè)信息安全,企業(yè)就必須正確處理好體系間的縱向關(guān)系,在尋求技術(shù)支撐的同時,更要立足于管理,加強工作間的協(xié)調(diào),避免重復投入、重復建設(shè)。

(3) 降低系統(tǒng)交互性。在企業(yè)信息安全防護體系同級之間,相關(guān)要素呈現(xiàn)出了強連接關(guān)系,這種交互式的影響,使得系統(tǒng)運行更加復雜。因此需要加快企業(yè)內(nèi)部規(guī)章制度和技術(shù)規(guī)范的建設(shè),界定好每個工作環(huán)節(jié)的邊界,準確定位風險源,并確保信息安全策略得到恰當?shù)睦斫夂陀行?zhí)行,防止在循環(huán)狀態(tài)下風險的交叉影響使防范難度加大。

(4) 關(guān)注系統(tǒng)動態(tài)性。信息安全防護是一個動態(tài)循環(huán)的過程,它隨著信息技術(shù)發(fā)展而不斷發(fā)展。因此,企業(yè)在進行信息安全防護時,應在時間維度上對信息安全有一個質(zhì)的認識,準確定位企業(yè)信息安全防護所處的工作階段,限定處理信息安全風險的時間界限,重視不同時間段上的延續(xù)性,并運用恰當?shù)墓ぞ叻椒▉韺︼L險加以識別,辨別風險可能所帶來的危險及其危害程度,做出防范措施,實現(xiàn)企業(yè)信息安全的全過程動態(tài)管理。

3.2 政府層面

企業(yè)信息安全防護不是一個孤立的系統(tǒng),它受制于環(huán)境的變化。良好的社會文化環(huán)境有助于整體安全防護能力主動性的提高,有力的政策是推動企業(yè)信息安全防護發(fā)展的前提和條件,高效的行業(yè)技術(shù)反應機制是信息安全防護的推動力。因此在注重企業(yè)層面的管理之外,還必須借助于政府建立一個積極的環(huán)境。

(1) 加強信息安全防護方面的文化建設(shè)。一方面,政府應大力宣傳信息安全的重要性及相關(guān)政策,提高全民信息安全素質(zhì),從道德層面上防止信息安全事故的發(fā)生;另一方面,政府應督促企業(yè)加強信息安全思想教育、職能教育、技能教育、法制教育,從思想上、理論上提高和強化社會信息安全防護意識和自律意識。

(2) 高度重視信息安全及其衍生問題。政府應加快整合和完善現(xiàn)有信息安全方面的法律、法規(guī)、行業(yè)標準,建立多元監(jiān)管模式和長效監(jiān)管機制,保證各項法律、法規(guī)和標準得到公平、公正、有效的實施,為企業(yè)信息安全創(chuàng)造有力的支持。

(3) 加大信息安全產(chǎn)業(yè)投入。政府應高度重視技術(shù)人才的培養(yǎng),加快信息安全產(chǎn)品核心技術(shù)的自主研發(fā)和生產(chǎn),支持信息安全服務(wù)行業(yè)的發(fā)展。

4 結(jié) 語

本文從企業(yè)信息安全防護的實際需求出發(fā),構(gòu)建企業(yè)信息安全防護基本模型,為企業(yè)信息安全防護工作的落實提供有效指導,節(jié)省企業(yè)在信息安全防護體系建設(shè)上的投入。同時針對現(xiàn)階段企業(yè)信息安全防護存在的問題從企業(yè)層面和政府層面提出相關(guān)建議。

參考文獻

[1] 中國信息安全產(chǎn)品測評認證中心.信息安全理論與技術(shù)[M].北京:人民郵電出版社,2003.

[2] 汪應洛.系統(tǒng)工程[M].3版.北京:高等教育出版社,2003.

[3] 齊峰.COBIT在企業(yè)信息安全管理中的應用實踐[J].計算機應用與軟件,2009,26(10):282?285.

[4] 肖餛.淺議網(wǎng)絡(luò)環(huán)境下的企業(yè)信息安全管理[J].標準科學,2010(8):20?23.

篇3

信息,同企業(yè)其他資產(chǎn)一樣是種資產(chǎn),對企業(yè)的發(fā)展有很大作用。信息以各種形式存在,包括紙質(zhì)的、電子的、圖像的等。我國信息專家鐘義信認為:“信息是該事物運動的狀態(tài)和狀態(tài)變化方式的自我表述/自我顯示?!鳖櫭剂x,信息安全既保障“信息”的“安全”。關(guān)于信息安全,國際標準化組織(ISO)認為:“信息安全是在技術(shù)上和管理上為數(shù)據(jù)處理系統(tǒng)建立的安全保護,保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。我國信息安全專家沈昌祥院士則認為:“信息安全是保護信息和信息系統(tǒng)不被未經(jīng)授權(quán)的訪問、使用、泄露、中斷、修改和破壞,為信息和信息系統(tǒng)提供保密性、完整性、可用性、可控性和不可否認性”。

二、企業(yè)信息安全體系設(shè)計

2.1企業(yè)信息安全體系方案概述

2.1.1信息安全體系設(shè)計原則

企業(yè)信息安全體系的設(shè)計應遵從以下原則:

(1)性能平衡,合理劃分:提高整個系統(tǒng)的“安全低點”的性能,保證各層面能得到均衡防護;按照合理原則劃分為安全等級,分區(qū)域、分等級防護。

(2)標準一致,功能互補:在產(chǎn)品技術(shù)、產(chǎn)品設(shè)備選擇方面,盡可能遵循同一業(yè)界標準;充分考慮不同廠商、不同安全產(chǎn)品的功能互補,在進行多層防護時,考慮使用不同廠家的。

(3)統(tǒng)籌規(guī)劃,分步實施。

2.1.2信息安全體系框架

網(wǎng)絡(luò)安全的實現(xiàn)不是目標,是過程。其過程經(jīng)歷了安全評估、制訂安全策略、安全培訓、安全技術(shù)實施、安全網(wǎng)絡(luò)檢測、應急響應和災難恢復等環(huán)節(jié),并不斷地螺旋式提高發(fā)展,得以實現(xiàn)網(wǎng)絡(luò)安全。信息安全體系的三要素:管理、技術(shù)和運維。通過一系列的戰(zhàn)略、系統(tǒng)和機制的協(xié)調(diào),明確技術(shù)實現(xiàn)方法與相關(guān)安全操作人員的職責,從而達到安全風險的發(fā)現(xiàn)和有效控制,從而改善的安全問題反應速度和恢復能力,增強整體網(wǎng)絡(luò)安全能力。管理方面,建立、健全安全組織結(jié)構(gòu);技術(shù)方面,建立分層網(wǎng)絡(luò)安全策略;運維方面,通過不同的安全機制,提高網(wǎng)絡(luò)安全的能力。

2.2企業(yè)信息安全技術(shù)體系

2.2.1信息安全技術(shù)體系概述

(l)設(shè)計原則

分析企業(yè)信息網(wǎng)絡(luò)安全面臨的主要威脅,實施有針對性的安全技術(shù)體系。安全技術(shù)體系的總體性要求如下:全面綜合:采用綜合解決方案,體系層次化,具有縱深性。集成統(tǒng)一:有效集成各類管理工具,集中化管理所有IT系統(tǒng)。開放適應:支持各種安全管理標準,能適應組織和環(huán)境的變化。

(2)信息安全技術(shù)體系框架

通過物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應用安全等方面進行建設(shè)。具體有以下措施:物理安全防護建設(shè);統(tǒng)一容災備份中心建設(shè);防火墻系統(tǒng)的部署;入侵防護系統(tǒng)的部署;系統(tǒng)安全防護建設(shè);防病毒系統(tǒng)部署;漏洞掃描系統(tǒng)部署;信息審計系統(tǒng)防護。

2.2.2物理安全防護建設(shè)

(1)配套設(shè)備安全

采用多路供電(市電、動力電、UPS)的方法,多路電源同時接入企業(yè)信息系統(tǒng)大樓或主機房及重要信息存儲、收發(fā)等重要部門,當市電故障后自動切換至動力電,動力電故障后自動至UPS供電。并且,當下級電源恢復后,應立即自動切換回去。這樣,既保證了安全性,又降低了運行費用。形成一套完整的先進和完善的供電系統(tǒng)及緊急報警系統(tǒng)。供電系統(tǒng)中,會有尖峰、浪涌等不良現(xiàn)象發(fā)生,一旦發(fā)生,輕則斷電重啟,重則燒毀并引發(fā)火災。這種情況下,UPS也無濟于事。為避免對供電質(zhì)量和造成不安全因素,可以使用電力凈化系統(tǒng)。電源凈化系統(tǒng)不僅保證電源質(zhì)量,同時還可減少電磁污染,避免信息隨電纜外泄。用多路供電接入企業(yè)機房及重要部門,降低了運行成本,又保證了系統(tǒng)的安全。

(2)計算機場地安全

嚴格按照國家標準建設(shè),如國標GB/T2887-2000《電子計算機場地通用規(guī)范》、GB9254-1998《信息技術(shù)設(shè)備的無線電騷擾限值和測量方法》等?!峨娮佑嬎銠C場地通用規(guī)范》規(guī)定了站址選擇條件:計算機場地盡量建在電力、水源充足,自然環(huán)境清潔、通信、交通運輸方便的地方;應盡量避開強電磁場的干擾;應盡量遠離強振動源和強噪聲源;應盡量建在建筑物的高層及地下室以及用水設(shè)備的下層。規(guī)定了溫度、濕度條件并將它分成ABC三級;規(guī)定了照明、日志、電磁場干擾具體技術(shù)條件;規(guī)定了接地、供電、建筑結(jié)構(gòu)條件等。

2.2.3統(tǒng)一容災備份中心建設(shè)

無論企業(yè)信息系統(tǒng)設(shè)計、維護得多科學合理,故障的發(fā)生都是不可避免的,因此在設(shè)計時都應考慮容災解決方案,即統(tǒng)一容災備份中心建設(shè)?;舅悸肥恰皵?shù)據(jù)冗余+異地分布”,即在異地建立和維護一份或多份數(shù)據(jù)冗余,利用數(shù)據(jù)的冗余性和地理分散性來提高對災難事件的抵御能力。企業(yè)數(shù)據(jù)容災,存儲是基礎(chǔ),備份是核心,恢復是關(guān)鍵。信息網(wǎng)絡(luò)采用本地備份與異地備份的混合方式,以確保數(shù)據(jù)或系統(tǒng)的安全。通過各種層面的冗余技術(shù),減少單點故障;使用合適的備份技術(shù)實現(xiàn)針對各個位置存放的數(shù)據(jù)的保護、隔離和嚴格訪問,保證數(shù)據(jù)的一致性、安全性和完整性。包括:存儲磁盤的冗余設(shè)計,對系統(tǒng)盤采用RAID1技術(shù),對數(shù)據(jù)盤采用RAID5技術(shù)。數(shù)據(jù)的冗余備份設(shè)計:數(shù)據(jù)庫數(shù)據(jù)文件的存放采用基于SAN架構(gòu)的存儲方案,在保證讀取速度的同時,利用遠程數(shù)據(jù)鏡像和數(shù)據(jù)復制技術(shù)進行冗余備份,在區(qū)域性空難發(fā)生時能更大限度保證數(shù)據(jù)完整和安全。對核心業(yè)務(wù)的數(shù)據(jù)庫數(shù)據(jù),還可利用SQLServer自帶的數(shù)據(jù)備份工具進行數(shù)據(jù)庫文件備份,有效應對文件損壞或人為誤操作帶來的數(shù)據(jù)風險。對正常業(yè)務(wù)中關(guān)鍵數(shù)據(jù)或全業(yè)務(wù)數(shù)據(jù)進行保護,將主數(shù)據(jù)庫的數(shù)據(jù)以邏輯的方式在異地機房建設(shè)一個同樣的數(shù)據(jù)庫,并且實時更新數(shù)據(jù),當主數(shù)據(jù)庫因災損壞或失去,異地數(shù)據(jù)庫可以及時接管業(yè)務(wù),從而達到容災的目的。

三、結(jié)論及展望

篇4

IT服務(wù)外包井噴式發(fā)展

在強調(diào)企業(yè)核心競爭力的今天,越來越多的公司將IT服務(wù)外包作為企業(yè)長期戰(zhàn)略成本管理的新興工具。服務(wù)外包的實質(zhì)是企業(yè)和服務(wù)商之間的“委托―”關(guān)系。企業(yè)需要對自己重新進行定位,截取價值鏈中較短的部分,縮小經(jīng)營范圍,在此基礎(chǔ)上重新配置企業(yè)的各種資源,將資源集中到最能反映企業(yè)優(yōu)勢的領(lǐng)域,從而更好地構(gòu)筑競爭優(yōu)勢,以此獲得可持續(xù)發(fā)展的能力。

隨著企業(yè)業(yè)務(wù)發(fā)展過程中信息系統(tǒng)所涉及的內(nèi)容越來越多、結(jié)構(gòu)越來越龐大,企業(yè)信息化再也不僅僅是IT部門自己的事情。企業(yè)市場競爭壓力越來越大,在信息化建設(shè)和管理期間迎來了嚴峻的考驗。一方面是IT部門人員少、系統(tǒng)多、任務(wù)重,另一方面是公司要求IT部門削減成本、并消除由于缺乏內(nèi)部控制和運作準則導致的混亂狀態(tài),以更高效地服務(wù)業(yè)務(wù)部門。

在多重壓力之下,許多企業(yè)認為IT部門最重要的工作是確保信息和流程的順暢,而服務(wù)器、存儲系統(tǒng)、網(wǎng)絡(luò)或者交換機等設(shè)備并不是最重要。因此,許多企業(yè)傾向于將某些應用系統(tǒng)、基礎(chǔ)設(shè)施和部分非核心系統(tǒng)外包給服務(wù)商負責維護。

IT服務(wù)外包的風險

企業(yè)借外部力量提供專業(yè)化服務(wù)、將部分非核心業(yè)務(wù)進行離岸資源外包的過程中,面臨著管控、運營等一系列風險,其中最重要的是信息安全風險的威脅。

從表面上看,采用IT外包策略不但可以節(jié)約成本,還能提高效率。但事實上,許多企業(yè)對IT外包都有許多道不盡的愛恨情仇。外包是一柄雙刃劍,其好處是可以向企業(yè)灌輸技術(shù)與人才,幫助企業(yè)擺脫繁瑣的IT業(yè)務(wù)――有效的外包能讓公司更好的專注于核心業(yè)務(wù)。

但是進行IT外包并不是一件輕松的事情,如果處理不好,不僅不會帶來預期的效益,反而會變成一場噩夢和致命的災難。所以對于企業(yè)IT主管部門而言,必須具有很強的經(jīng)驗和管理技能,才能談“外包” 二字。

IT外包服務(wù)要成為一種商品,就必須形成一套規(guī)范和標準,以約束買賣雙方。但目前國內(nèi)IT外包服務(wù)領(lǐng)域既無統(tǒng)一規(guī)范也無公認標準。概念模糊的用戶,面對同樣概念模糊的IT廠商,如何評估、簽合同、質(zhì)量控制和定價等都是潛在的“風險”。

此外,IT外包還面臨著 IT管理的復雜性、軟件缺失、知識產(chǎn)權(quán)以及IT外包服務(wù)提供商自身能否健康成長等風險。因此企業(yè)需要在風險、成本與效果、效率之間找到平衡點。

同時,由于委托方和方之間可能存在信息不對稱和信息扭曲等問題,加之市場及宏觀環(huán)境的不確定性,導致委托方在實施外包過程中承擔著種種風險。

外包服務(wù)關(guān)鍵詞:信息安全

企業(yè)在IT服務(wù)外包過程中面臨的最大挑戰(zhàn),就是如何確保企業(yè)信息和數(shù)據(jù)的安全,如何建立起有效的信息安全管控框架,以符合企業(yè)信息安全要求。

首先,確認企業(yè)內(nèi)部信息安全管控過程是否可持續(xù)監(jiān)管和優(yōu)化。在信息防泄漏的“戰(zhàn)爭”中,相比于躲在暗處的泄密者和安全威脅,站在明處的企業(yè)顯然略失先機。但如果企業(yè)能夠做到預先防御,在對手出招之前采取針對性的保護措施,就能從根本上“轉(zhuǎn)被動為主動”,做好內(nèi)部數(shù)據(jù)安全防護。

因此,良好的信息防泄體系的前提就是要時刻掌握企業(yè)動態(tài),做到要有的放矢。很重要的一點是要實現(xiàn)內(nèi)部操作的“可視化”,以隨時監(jiān)測整個信息系統(tǒng)的安全狀況,做到迅速反應,甚至還能預測到潛在的風險,化被動防御為積極防御。

其次,企業(yè)信息安全體系設(shè)計需進行全局評估和建設(shè),規(guī)避疏漏和風險。安全領(lǐng)域中的木桶理論和馬其頓防線的故事相信大家都了解――無論怎么豪華的防線,一個漏洞就可以毀滅所有一切。在企業(yè)中,有時候可能是一個小小的系統(tǒng)漏洞就可能毀滅了幾百萬投資的努力,或者一個無意的非法補丁行為就讓企業(yè)蒙受損失。

因此,在解決安全問題之時,不能僅僅依賴透明加密等技術(shù)手段,“頭痛醫(yī)頭,腳痛醫(yī)腳”地堆砌不同安全產(chǎn)品及封堵安全漏洞,而是需要站在一個更高的戰(zhàn)略角度來通盤考慮。如果缺乏整體的分析視角,企業(yè)可能會忽視或者低估某個安全攻擊的真正威脅,采取的安全措施也可能無法解決真正的問題。

所以,在實際的防泄漏建設(shè)中,必須從整體上來評估企業(yè)的信息安全狀況,運用統(tǒng)一平臺來進行風險和安全管理,檢測出內(nèi)部問題,從而描繪出整個企業(yè)當前安全情況的更清晰和更準確的圖景,采取針對性的防護措施,最大限度降低企業(yè)的安全風險。

另外,要有安全和防護等級措施。企業(yè)在構(gòu)建立體化、全方位的整體信息防泄體系時并不是一刀切,不分輕重地在全公司范圍內(nèi)采取相同的策略,這樣雖然看似達到了最為安全的效果,但對業(yè)務(wù)造成的巨大影響,以及因此產(chǎn)生的高額成本,對企業(yè)來說,都是巨大的負擔。

對信息安全來說,威脅和風險往往和高價值的信息資產(chǎn)聯(lián)系在一起,安全保護工作也就應該輕重有別,將重點放在高價值的信息資產(chǎn)上。在安全建設(shè)過程中,對程度高的部門或崗位進行力度大的防御,對程度低的部門采取相應的安全防御。同時衡量提升安全性可能帶來的業(yè)務(wù)操作上的麻煩、企業(yè)安全成本等問題,是企業(yè)必須要做的事情。

在企業(yè)實施安全防護等級風險評估過程中,往往需要結(jié)合企業(yè)的實際情況,對三種技術(shù)手段整合運用:首先,在全公司范圍內(nèi)進行安全審計,掌握企業(yè)操作,發(fā)現(xiàn)安全隱患;其次,對特殊崗位和部門,進行嚴格管控,限制信息的帶出;最后,在核心部門內(nèi)部,對機密信息進行透明加密。這樣既可保證公司的正常業(yè)務(wù)運作,又能有的放矢地實現(xiàn)最優(yōu)化的信息防泄漏管理,還大大節(jié)約了投資成本。

此外,利用科學可行的安全策略和必要的技術(shù)手段實現(xiàn)動態(tài)性防護。動態(tài)性的信息泄露防護,對于目前泄密方式日益增多的企業(yè)來說,非常重要。某些企業(yè)往往在安全事件發(fā)生之后才對現(xiàn)在的策略進行被動的調(diào)整。這種“吃一塹、長一智”的防護模式,對于企業(yè)而言,有可能是致命的。一旦出了安全事故,恐怕亡羊補牢,為時已晚。

企業(yè)需要建立一個動態(tài)性的安全防護,前瞻性地發(fā)現(xiàn)安全威脅,并通過對技術(shù)或管理上的策略進行及時調(diào)整更新,防范潛在的安全風險。

最后要強調(diào)的是,信息安全體系必須便于使用和維護。如今,市場上五花八門的信息防泄漏產(chǎn)品讓企業(yè)眼花繚亂,企業(yè)期望這種“強強組合”能給企業(yè)套上萬無一失的金鐘罩。殊不知這種做法往往意味著企業(yè)必須付出較高的成本,并增加了技術(shù)的復雜性,還容易導致產(chǎn)品軟件沖突等問題,企業(yè)雖然“裝”了安全產(chǎn)品,但根本“用”不了。

目前,能夠提供整體解決方案的單一安全產(chǎn)品可謂不錯的選擇,它能夠幫助企業(yè)建立統(tǒng)一的安全管理平臺,無論企業(yè)安全邊界防護、還是內(nèi)部使用,都做了整體全面的考慮,同時簡化了日常的操作與管理、降低了系統(tǒng)的資源占用、避免了軟件沖突等多種問題,使用維護亦非常方便,大大節(jié)約了IT人員的時間和精力。

綜上所述,如企業(yè)信息防泄漏建設(shè)符合以上檢測標準,說明該企業(yè)已經(jīng)建立了一個完善的整體信息防泄漏體系,機密信息也得到了最大化的保護,實現(xiàn)了“成本、效率、安全”三者的最佳平衡,這也是近年來被大家認可的“整體信息防泄漏”理念的核心。

實際上,信息防泄本身就是一種博弈,是企業(yè)和人的博弈。它是一場思維的交鋒,企業(yè)只有掌握了內(nèi)部的行為操作,同時針對內(nèi)部安全威脅建立全面、立體化的安全防護,信息防泄才會立于不敗之地。

天璣外包信息安全管控體系

天璣科技提供的IT外包(IT Outsourcing)服務(wù),即“承接企業(yè)IT系統(tǒng)維護與管理,按雙方服務(wù)協(xié)議內(nèi)容完成相關(guān)服務(wù)”的業(yè)務(wù)模式。

隨著客戶對信息安全管理的要求越來越高,天璣科技把IT外包的信息安全管理放在首位,積極貫徹基于風險的管理方法,針對IT服務(wù)外包中的安全管理進行了系統(tǒng)思考和有益的嘗試。

外包基礎(chǔ)和簡單重復的服務(wù):考慮到信息安全管理問題,天璣科技初期外包服務(wù)范圍主要以基礎(chǔ)服務(wù)外包為主,即將IT系統(tǒng)日常的硬件與軟件維護、Helpdesk呼叫中心、信息系統(tǒng)的編碼等活動外包,而對于IT系統(tǒng)的規(guī)劃與管理、核心應用系統(tǒng)(如ERP、CRM)的設(shè)計與維護仍然由企業(yè)IT部門承擔。這樣避免了IT服務(wù)人員接觸組織的核心系統(tǒng)信息,降低了IT服務(wù)外包對IT系統(tǒng)敏感部分帶來的安全風險。

具備信息安全管理資質(zhì):由于IT外包服務(wù)過程中,IT服務(wù)人員必然會接觸到企業(yè)的系統(tǒng)設(shè)備甚至是內(nèi)容,如何成為一家可靠安全的IT服務(wù)外包供應商也是在進行IT服務(wù)外包前必須考慮的重要方面。天璣科技是一家已經(jīng)建立起完善的信息安全管理體系,并通過了BSI安全認證審核的IT服務(wù)外包供應商,專門從事IT服務(wù)外,擁有很多有影響的大客戶。天璣科技會根據(jù)服務(wù)內(nèi)容簽訂責任明確的服務(wù)合同,在服務(wù)合同中詳細闡明雙方在服務(wù)提供過程中對信息安全的責任十分關(guān)鍵。

強化日常服務(wù)的安全管理:信息安全管理的要求應該體現(xiàn)在IT服務(wù)日常管理的各個方面,主要包括:日?;顒右?guī)范的建立;服務(wù)變更控制;服務(wù)人員管理;安全事件處理;業(yè)務(wù)持續(xù)管理;知識產(chǎn)權(quán)保護和監(jiān)控與審核等內(nèi)容。

日常活動規(guī)范的建立:針對服務(wù)協(xié)議中明確的服務(wù)內(nèi)容,建立規(guī)范的服務(wù)流程是開展IT服務(wù)活動的基礎(chǔ)。企業(yè)信息化主管部門根據(jù)雙方簽訂的服務(wù)協(xié)議,與供應商IT服務(wù)主管人員一起建立一套完整的服務(wù)規(guī)范。服務(wù)規(guī)范中對服務(wù)過程中的安全風險均采取了適當?shù)目刂拼胧?,確保了服務(wù)活動滿足企業(yè)信息安全管理策略的要求。

服務(wù)變更控制:天璣科技遵從在調(diào)整其服務(wù)流程和變更服務(wù)技術(shù)前必須事前進行溝通,在企業(yè)評估變更的影響并確認采取了響應控制措施后才能進行服務(wù)過程的變更。

服務(wù)人員管理:服務(wù)人員是IT服務(wù)活動的直接執(zhí)行者。為確保服務(wù)人員能夠滿足要求,天璣科技明確規(guī)定了IT服務(wù)人員的能力要求和標準,確保只有技術(shù)能力強、認真負責的服務(wù)人員才能進入服務(wù)項目組。同時,對服務(wù)人員篩選、培訓和變動也提出了具體要求。

安全事件管理:發(fā)生安全事件后,雙方人員的協(xié)調(diào)和互動將直接影響對事件處理的結(jié)果。在服務(wù)過程中發(fā)生和發(fā)現(xiàn)的信息安全事件必須第一時間上報企業(yè)主管部門,在企業(yè)主管部門的組織下完成對安全事件的處理。

業(yè)務(wù)持續(xù)管理:由于企業(yè)將核心網(wǎng)絡(luò)和系統(tǒng)硬件均托管給了IT服務(wù)供應商進行日常維護。IT服務(wù)供應商是否具備滿足組織業(yè)務(wù)需求的業(yè)務(wù)持續(xù)管理能力,成為保證企業(yè)信息系統(tǒng)業(yè)務(wù)持續(xù)的關(guān)鍵。在企業(yè)整個業(yè)務(wù)持續(xù)管理的框架下,對IT服務(wù)供應商的業(yè)務(wù)持續(xù)管理能力提出了明確的要求,在服務(wù)協(xié)議中進行了明確的定義。同時,針對具體服務(wù)系統(tǒng)雙方共同制定了相應的災難恢復計劃。

知識產(chǎn)權(quán)保護:桌面服務(wù)中如何保護組織以及相關(guān)方的知識智力產(chǎn)權(quán),是需要在進行IT服務(wù)外包過程中管理和控制的重要內(nèi)容。天璣科技在軟件安裝和服務(wù)過程中工具的使用過程都明確規(guī)定了對軟件許可證的跟蹤與管理要求,確保服務(wù)活動滿足對知識產(chǎn)權(quán)保護的要求。

篇5

關(guān)鍵詞:電網(wǎng)企業(yè);信息安全;風險;應對措施;管理體系

作者簡介:王旭(1964-),男,浙江寧波人,新疆電力公司電力科學研究院,高級工程師。(新疆 烏魯木齊 830011)張建業(yè)(1972-),男,浙江浦江人,新疆電力公司科技信通部,高級工程師,華北電力大學經(jīng)濟與管理學院博士研究生。(新疆 烏魯木齊 830002)

基金項目:本文系國家自然科學基金資助項目(基金號:71271084)的研究成果。

中圖分類號:F270.7 文獻標識碼:A 文章編號:1007-0079(2013)26-0163-03

信息安全風險是信息化時代企業(yè)發(fā)展和內(nèi)部管理所面臨的一個迫切問題,網(wǎng)絡(luò)化、信息化的飛速發(fā)展能夠給企業(yè)帶來無限的發(fā)展機遇,同時也讓應用信息化技術(shù)的企業(yè)面臨著各種不同的風險威脅,這些風險因素一旦發(fā)生,將對企業(yè)的日常運營、戰(zhàn)略目標的實現(xiàn)甚至長遠發(fā)展產(chǎn)生無法估計的影響。有效的信息安全風險管理體系對于企業(yè)規(guī)避信息安全風險、減少不必要的損失具有重要作用。

對于電網(wǎng)企業(yè)來說,信息化建設(shè)是推動電網(wǎng)企業(yè)智能化、現(xiàn)代化等長遠發(fā)展的核心推動力,但網(wǎng)絡(luò)病毒、黑客入侵等一系列風險因素,使得電網(wǎng)企業(yè)信息安全同樣面臨著巨大的挑戰(zhàn),必須對電網(wǎng)企業(yè)面臨的各類信息安全風險進行有效控制,以保證電網(wǎng)企業(yè)的信息化內(nèi)容正常運行。

一、電網(wǎng)企業(yè)信息安全風險分析

電網(wǎng)企業(yè)的信息安全風險就是企業(yè)的信息系統(tǒng)和網(wǎng)絡(luò)等面臨的來自各方面的風險威脅,各種內(nèi)外部的、潛在的和可知的危險可能會帶來的風險威脅等。隨著網(wǎng)絡(luò)環(huán)境的復雜性不斷增加,新的信息技術(shù)的不斷應用發(fā)展,電網(wǎng)企業(yè)的信息安全面臨的風險因素也更為繁多復雜,同時由于其注重信息安全的行業(yè)特點,電網(wǎng)企業(yè)的信息安全風險管理面臨的壓力更大。為此需要對這些風險因素進行規(guī)范、合理的識別分析,進而建立綜合的風險管理體系。

電網(wǎng)企業(yè)的信息安全面臨著來自不同層次、多個方面的風險因素,有來自外部環(huán)境的風險威脅,也有企業(yè)內(nèi)部的風險影響;有技術(shù)方面的安全風險,也有人員操作方面的安全風險等。具體的信息安全風險因素主要包括以下幾個方面:

1.木馬病毒入侵的安全風險

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展、電網(wǎng)企業(yè)內(nèi)外部網(wǎng)絡(luò)環(huán)境的日益成熟和網(wǎng)絡(luò)應用的不斷增多,各種病毒也更為復雜、難解。木馬等病毒的傳染、滲透、傳播的能力變得異常強大,其入侵方式也由以前的單一、簡單變得隱蔽、復雜,尤其是Internet網(wǎng)絡(luò)和企業(yè)網(wǎng)絡(luò)環(huán)境為木馬等病毒的傳播和生存提供了可靠的環(huán)境。

2.黑客非法攻擊的安全風險

近年來各種各樣的黑客非法攻擊異常頻繁,成為困擾世界范圍內(nèi)眾多企業(yè)的問題。由于黑客具有非常高超的計算機技術(shù)能力,他們經(jīng)常利用計算機設(shè)備、信息系統(tǒng)、網(wǎng)絡(luò)協(xié)議和數(shù)據(jù)庫等方面的缺陷與漏洞,通過運用網(wǎng)絡(luò)監(jiān)聽、密碼破解、程序滲透、信息炸彈等手段侵入企業(yè)的計算機系統(tǒng),盜竊企業(yè)的保密信息、重要數(shù)據(jù)、業(yè)務(wù)資料等,從而進行信息數(shù)據(jù)破壞或者占用系統(tǒng)的資源等。

3.信息傳遞過程的安全風險

由于電網(wǎng)企業(yè)與很多的外部企業(yè)、研究機構(gòu)等有著廣泛的工作聯(lián)系與業(yè)務(wù)合作,因此很多日常信息、數(shù)據(jù)資料等都需要通過互聯(lián)網(wǎng)進行傳輸溝通,在這個傳輸過程中的各類信息都會面臨各種不同的安全風險。

4.權(quán)限設(shè)置的安全風險

信息系統(tǒng)根據(jù)不同的業(yè)務(wù)內(nèi)容對不同的部門、員工開放不同的系統(tǒng)模塊,用戶根據(jù)其登陸的權(quán)限設(shè)置訪問其范圍內(nèi)的系統(tǒng)內(nèi)容。每個信息系統(tǒng)都有用戶管理功能,對用戶權(quán)限進行管理和控制,能夠在一定程度上增加安全性,但仍然存在一定的問題。很多電網(wǎng)企業(yè)內(nèi)都存在不同的信息系統(tǒng),各系統(tǒng)之間都是獨立存在,沒有統(tǒng)一的用戶管理,使用起來極不方便,難以保證用戶賬號的有效管理和使用安全。另外,電網(wǎng)企業(yè)的信息系統(tǒng)的用戶權(quán)限管理功能設(shè)置過于簡單,不能夠靈活實現(xiàn)更為詳細的權(quán)限控制等。

5.信息設(shè)備損壞產(chǎn)生的安全風險

電網(wǎng)企業(yè)內(nèi)的各類業(yè)務(wù)信息、數(shù)據(jù)資料、工作內(nèi)容等信息都是依托于相應的軟硬件設(shè)備而存儲、傳遞、應用的,當這些計算機硬件設(shè)備、信息系統(tǒng)、數(shù)據(jù)存儲設(shè)備、用電支撐設(shè)備等由于企業(yè)內(nèi)外部不同作用力的影響而出現(xiàn)癱瘓、停止工作等突發(fā)狀況時,會帶來重要信息內(nèi)容的泄露、丟失等安全風險隱患。

6.人員操作失誤形成的安全風險

電網(wǎng)企業(yè)內(nèi)的專業(yè)信息技術(shù)人員、業(yè)務(wù)人員、管理人員對信息系統(tǒng)的操作能力存在一定的差異,一些人員的意識較為陳舊、操作能力較差,在對信息系統(tǒng)、網(wǎng)絡(luò)連接、數(shù)據(jù)庫等的應用過程中,由于對這些技術(shù)內(nèi)容不熟悉從而產(chǎn)生了一些錯誤操作,為此產(chǎn)生了許多意想不到的安全風險。同時,在運用過程中存在的思想偏差、理解偏誤、粗心大意等導致的誤操作也會產(chǎn)生相應的安全風險。

7.技術(shù)更新變化帶來的安全風險

當前的信息技術(shù)、系統(tǒng)開發(fā)、網(wǎng)絡(luò)應用、數(shù)據(jù)庫存儲等都在日新月異地飛速變化,幾乎每天都會發(fā)生更新?lián)Q代的升級變化,沒有任何的信息技術(shù)能夠長時間使用。電網(wǎng)企業(yè)原有信息系統(tǒng)等設(shè)備進行升級換代或者與新的數(shù)據(jù)庫內(nèi)容進行新舊結(jié)合以及轉(zhuǎn)換時,會因為兼容性差、不能匹配等原因造成一定的信息安全風險。

二、信息安全風險應對機制

電網(wǎng)企業(yè)的信息安全承擔著極為重要的作用,而其面臨的安全風險也是多方面的,僅從信息系統(tǒng)、技術(shù)設(shè)備的單一角度進行信息安全風險管理遠遠不夠,對于其他很多潛在的風險因素難以有效應對。因此需要從信息技術(shù)技術(shù)、企業(yè)管理、風險控制等多個維度來建立相應的措施,以應對可能出現(xiàn)的各類風險,從而從硬性技術(shù)層面到柔性管理層次形成多維度的風險管理手段。電網(wǎng)企業(yè)信息安全風險應對機制框架結(jié)構(gòu)如圖1所示。

電網(wǎng)企業(yè)的信息安全風險管理應對機制是以風險控制角度為核心、信息技術(shù)角度為支持、企業(yè)管理角度為保障的雙向支持、互為影響的一個環(huán)狀模型,三者之間緊密配合、共同發(fā)揮風險應對的作用,具體內(nèi)容如表1所示。

三、信息安全風險管理體系

電網(wǎng)企業(yè)信息安全風險管理體系是進行信息安全風險管理的核心內(nèi)容,其他的制度建設(shè)等方面的應對機制都是為了更好地使風險管理體系發(fā)揮有效的作用,能夠在不同的情況下進行信息安全風險威脅的提前預防、風險發(fā)生時的控制、事后風險影響的結(jié)果處理等。

電網(wǎng)企業(yè)信息安全風險管理體系框架結(jié)構(gòu)如圖2所示。

1.信息安全風險評估

電網(wǎng)企業(yè)信息安全風險評估是風險管理體系的第一部分,風險評估效果的好壞直接影響著后面風險管理環(huán)節(jié)的執(zhí)行情況。通過風險評估的準確執(zhí)行,能夠有效識別、分析各種不同風險的種類、來源、影響程度等內(nèi)容,為后續(xù)的風險預防、控制等奠定良好的基礎(chǔ)。

信息安全風險評估主要由風險案例庫、風險因素分析系統(tǒng)、風險定量定性轉(zhuǎn)化系統(tǒng)、數(shù)據(jù)統(tǒng)計歸納庫、風險分析結(jié)果傳輸體系等構(gòu)成,通過幾個模塊的有機結(jié)合來科學分析評估電網(wǎng)企業(yè)遇到的各類信息安全風險因素。

2.風險事前預防

電網(wǎng)企業(yè)信息安全風險事前預防就是在風險沒有發(fā)生時對各種風險進行提前預防,通過建立的預防計劃方案來提前避免風險的發(fā)生,從而保證信息的安全性。這是風險管理體系希望達到的最佳效果,因此該環(huán)節(jié)非常重要。

通過對風險案例庫的經(jīng)常性學習,使相關(guān)部門和人員對各類風險有了總體的認識和了解;通過建立相應的風險預警裝置來提前警告風險的發(fā)生,使電網(wǎng)企業(yè)能夠提前采取措施來避免風險發(fā)生;運用信息安全風險管理制度加強員工的行為能力,避免風險產(chǎn)生;通過信息技術(shù)的相關(guān)配置,從信息系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)等方面提前對一些病毒風險等進行處理。

出色地執(zhí)行電網(wǎng)企業(yè)的信息安全風險預防工作,能夠避免很多不必要的麻煩,從而有效減少后面風險控制工作內(nèi)容。

3.風險威脅轉(zhuǎn)移

將可能發(fā)生或者即將到來的信息安全風險有效轉(zhuǎn)移到其他的地方,可使得安全風險沒有在電網(wǎng)企業(yè)的信息系統(tǒng)中發(fā)生,避免了風險帶來的威脅損害。風險轉(zhuǎn)移同風險的事前預防一樣,能夠在很大程度上將信息安全風險帶來的威脅降低到最小,避免其帶來的各類損失。

4.風險過程控制

在對信息安全造成威脅的風險發(fā)生時,采取各種方法、手段進行風險的最小化控制,使風險本身隨著控制的進行而逐漸變小甚至消失,將風險發(fā)生后造成的影響降低到最小或者控制在能夠承受的合理范圍內(nèi)。

主要從信息系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)系統(tǒng)、計算機基礎(chǔ)設(shè)備等技術(shù)方面進行控制;從制度、標準、規(guī)范等管理層面進行控制;從人員培訓、部門協(xié)調(diào)等組織結(jié)構(gòu)層面進行控制;從風險發(fā)生時制定的風險控制措施、計劃進行控制;形成動態(tài)反饋的風險發(fā)生、控制效果的反饋機制,以便及時對控制方案進行調(diào)整完善。

5.風險事后處理

信息安全風險發(fā)生后,對電網(wǎng)企業(yè)的信息系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫等造成一定的影響,已經(jīng)沒有時間進行及時有效的風險控制,此時的工作重點在于如何采取挽救措施對風險造成的信息安全損失進行彌補,將其影響程度降低到最低。

從電網(wǎng)企業(yè)的信息安全風險評估開始,到信息安全風險的預防、風險發(fā)生時的控制以及風險后果的處理,對整個過程進行深入的分析、總結(jié),發(fā)現(xiàn)風險管理體系存在諸多不足和缺陷,控制計劃在某些方面需要進行改進完善。將本次發(fā)生的信息安全風險控制過程整理進入案例庫,以便下次的風險預防借鑒。

電網(wǎng)企業(yè)信息安全風險管理體系中的各個流程環(huán)節(jié)都是按照一定的流程順序、風險發(fā)生種類、大小而進行的,其具體的流程如圖3所示。

6.非常態(tài)風險應急處理

在電網(wǎng)企業(yè)對信息安全進行風險管理的過程中,有時會出現(xiàn)一些案例庫、控制計劃之外的非常態(tài)風險,這些風險沒有以往成功的風險管理經(jīng)驗可以借鑒,這時就需要在電網(wǎng)企業(yè)信息安全風險管理體系中建立相應的非常態(tài)風險應急處理模塊。

電網(wǎng)企業(yè)信息安全非常態(tài)風險應急處理主要是當意外的緊急風險發(fā)生時,能夠迅速啟動應急預案組織相關(guān)人員進行風險應對控制、風險預防和控制等;若風險已經(jīng)發(fā)生,此時能夠及時還原數(shù)據(jù)、隔離外部風險入侵,使信息系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫在最快的時間內(nèi)恢復正常運作。

四、總結(jié)

本文通過對電網(wǎng)企業(yè)信息安全重要性進行分析,提出了建立信息安全風險管理體系應對各種內(nèi)外部風險威脅的必要性。在對電網(wǎng)企業(yè)信息安全的概念、特點等分析說明的基礎(chǔ)上,深入研究了電網(wǎng)企業(yè)的信息安全所面臨的各種不同的風險因素,建立了包括信息技術(shù)、企業(yè)管理、風險控制三個方面在內(nèi)的電網(wǎng)企業(yè)信息安全風險應對機制。結(jié)合所建立的電網(wǎng)企業(yè)信息安全風險應對機制,本文構(gòu)建了一套綜合、全面的電網(wǎng)企業(yè)信息安全風險管理體系。該體系的構(gòu)建能夠從事前風險預防、事中風險控制、事后風險影響后果處理等三個環(huán)節(jié)進行全面的風險管理。

參考文獻

[1]張浩,詹輝紅,錢洪珍.電網(wǎng)企業(yè)信息安全管理體系建設(shè)中的風險管理實踐[J].電力信息技術(shù),2010,8(6):21-24.

[2]劉金霞.電力企業(yè)給予風險管理的信息安全保障體系建設(shè)[J].網(wǎng)絡(luò)安全技術(shù)與應用,2008,(1):42-44.

[3]劉瑩,顧衛(wèi)東.信息安全風險評估研究綜述[J].青島大學學報(工程技術(shù)版),2008,23(2):37-43.

篇6

[關(guān)鍵詞] 企業(yè)網(wǎng)絡(luò)信息安全信息保障

計算機網(wǎng)絡(luò)的多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性使聯(lián)入網(wǎng)絡(luò)的計算機系統(tǒng)很容易受到黑客、惡意軟件和非法授權(quán)的入侵和攻擊,信息系統(tǒng)中的存儲數(shù)據(jù)暴露無遺,從而使用戶信息資源的安全和保密受到嚴重威脅。目前互聯(lián)網(wǎng)使用TCP/IP協(xié)議的設(shè)計原則,只實現(xiàn)簡單的互聯(lián)功能,所有復雜的數(shù)據(jù)處理都留給終端承擔,這是互聯(lián)網(wǎng)成功的因素,但它也暴露出數(shù)據(jù)在網(wǎng)上傳輸?shù)臋C密性受到威脅,任何人都可以通過監(jiān)聽的方法去獲得經(jīng)過自己網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)。在目前不斷發(fā)生互聯(lián)網(wǎng)安全事故的時候,對互聯(lián)網(wǎng)的安全狀況進行研究與分析已迫在眉睫。

一、 國外企業(yè)信息安全現(xiàn)狀

調(diào)查顯示,歐美等國在網(wǎng)絡(luò)安全建設(shè)投入的資金占網(wǎng)絡(luò)建設(shè)資金總額的10%左右,而日韓兩國則是8%。從國際范圍來看,美國等西方國家網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)比中國完善,網(wǎng)絡(luò)安全建設(shè)的起步時間也比中國早,因此發(fā)生的網(wǎng)絡(luò)攻擊、盜竊和犯罪問題也比國內(nèi)嚴重,這也致使這些國家的企業(yè)對網(wǎng)絡(luò)安全問題有更加全面的認識和足夠的重視,但縱觀全世界范圍,企業(yè)的網(wǎng)絡(luò)安全建設(shè)步伐仍然跟不上企業(yè)發(fā)展步伐和安全危害的升級速度。

國外信息安全現(xiàn)狀具有兩個特點:

(1)各行業(yè)的企業(yè)越來越認識到IT安全的重要性,并且意識到安全的必要性,并且把它作為企業(yè)的一項重要工作之一。

(2)企業(yè)對于網(wǎng)絡(luò)安全的資金投入與網(wǎng)絡(luò)建設(shè)的資金投入按比例增長,而且各項指標均明顯高于國內(nèi)水平。

二、 國內(nèi)企業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀分析

2005年全國各行業(yè)受眾對網(wǎng)絡(luò)安全技術(shù)的應用狀況數(shù)據(jù)顯示,在各類網(wǎng)絡(luò)安全技術(shù)使用中,“防火墻”的使用率最高(占76.5%),其次為“防病毒軟件”的應用(占53.1%)。2005年較2004年相比加大了其他網(wǎng)絡(luò)安全技術(shù)的投入,“物理隔離”、“路由器ACL”等技術(shù)已經(jīng)得到了應用。防火墻的使用比例較高主要是因為它價格比較便宜、易安裝,并可在線升級等特點。值得注意的是,2005年企事業(yè)單位對“使用用戶名和密碼登陸系統(tǒng)”、“業(yè)務(wù)網(wǎng)和互聯(lián)網(wǎng)進行物理隔離”等措施非常重視。其他防范措施的使用也比2004年都提高了一定的比例,對網(wǎng)絡(luò)安全和信息的保護意識也越來越高。生物識別技術(shù)、虛擬專用網(wǎng)絡(luò)及數(shù)字簽名證書的使用率較低,有相當一部分人不清楚這些技術(shù),還需要一些時間才能得到市場的認可。

根據(jù)調(diào)查顯示,我國在網(wǎng)絡(luò)安全建設(shè)投入的資金還不到網(wǎng)絡(luò)建設(shè)資金總額的1%,大幅低于歐美和日韓等國。我國目前以中小型企業(yè)占多數(shù),而中小型企業(yè)由于資金預算有限,基本上只注重有直接利益回報的投資項目,對于網(wǎng)絡(luò)安全這種看不到實在回饋的資金投入方式普遍表現(xiàn)出不積極態(tài)度。另外,企業(yè)經(jīng)營者對于安全問題經(jīng)常會抱有僥幸的心理,加上缺少專門的技術(shù)人員和專業(yè)指導,致使國內(nèi)企業(yè)目前的網(wǎng)絡(luò)安全建設(shè)情況參差不齊,普遍處于不容樂觀的狀況。

三、 企業(yè)網(wǎng)絡(luò)信息系統(tǒng)安全對策分析

“三分技術(shù),七分管理”是技術(shù)與管理策略在整個信息安全保障策略中各自重要性的體現(xiàn),沒有完善的管理,技術(shù)就是再先進,也是無濟于事的。以往傳統(tǒng)的網(wǎng)絡(luò)安全解決方案是某一種信息安全產(chǎn)品的某一方面的應用方案,只能應對網(wǎng)絡(luò)中存在的某一方面的信息安全問題。中國企業(yè)網(wǎng)絡(luò)的信息安全建設(shè)中經(jīng)常存在這樣一種不正常的現(xiàn)象,就是企業(yè)的整體安全意識普遍不強,信息安全措施單一,無法抵御綜合的安全攻擊。隨著上述網(wǎng)絡(luò)安全問題的日益突顯,國內(nèi)網(wǎng)絡(luò)的安全需求也日益提高,這種單一的解決方案就成為了信息安全建設(shè)發(fā)展的瓶頸。因此應對企業(yè)網(wǎng)絡(luò)做到全方位的立體防護,立體化的解決方案才能真正解決企業(yè)網(wǎng)絡(luò)的安全問題,立體化是未來企業(yè)網(wǎng)絡(luò)安全解決方案的趨勢,而信息保障這一思想就是這一趨勢的體現(xiàn)。信息保障是最近幾年西方一些計算機科學及信息安全專家提出的與信息安全有關(guān)的新概念,也是信息安全領(lǐng)域一個最新的發(fā)展方向。

信息保障是信息安全發(fā)展的新階段,用保障(Assurance)來取代平時我們用的安全一詞,不僅僅是體現(xiàn)了信息安全理論發(fā)展到了一個新階段,更是信息安全理念的一種提升與轉(zhuǎn)變。人們開始認識到安全的概念已經(jīng)不局限于信息的保護,人們需要的是對整個信息和信息系統(tǒng)的保護和防御,包括了對信息的保護、檢測、反應和恢復能力。為了保障信息安全,除了要進行信息的安全保護,還應該重視提高安全預警能力、系統(tǒng)的入侵檢測能力,系統(tǒng)的事件反應能力和系統(tǒng)遭到入侵引起破壞的快速恢復能力。區(qū)別于傳統(tǒng)的加密、身份認證、訪問控制、防火墻、安全路由等技術(shù),信息保障強調(diào)信息系統(tǒng)整個生命周期的防御和恢復,同時安全問題的出現(xiàn)和解決方案也超越了純技術(shù)范疇。由此形成了包括預警、保護、檢測、反應和恢復五個環(huán)節(jié)的信息保障概念。

所以一個全方位的企業(yè)網(wǎng)絡(luò)安全體系結(jié)構(gòu)包含網(wǎng)絡(luò)的物理安全、訪問控制安全、系統(tǒng)安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進的主機安全技術(shù)、身份認證技術(shù)、訪問控制技術(shù)、密碼技術(shù)、防火墻技術(shù)、安全審計技術(shù)、安全管理技術(shù)、系統(tǒng)漏洞檢測技術(shù)、黑客跟蹤技術(shù),在攻擊者和受保護的資源間建立多道嚴密的安全防線,增加了惡意攻擊的難度,并增加審核信息的數(shù)量,同時利用這些審核信息還可以跟蹤入侵者。

參考文獻:

[1]付正:安全――我們共同的責任[J].計算機世界,2006,(19)

[2]李理:解剖您身邊的安全[N].中國計算機報,2006-4-13

篇7

【論文摘 要】安全問題是電力變電運行的咽喉,隨著信息管理技術(shù)在變電運行中的應用,先進的安全不僅包括物理安全,也涉及到了由互聯(lián)網(wǎng)帶來的各種來自外界的侵犯,如果電力系統(tǒng)被利用或是遭到攻擊,將會造成難以估計的損失。有效的提高信息管理技術(shù)在電力變電運行中的應用是擺在我們面前亟待解決的重要課題。

一、信息管理與電力信息化概述

1.信息管理概念

信息管理是實現(xiàn)組織目標、滿足組織要求、解決組織環(huán)境問題而開發(fā)、規(guī)劃、集成、控制、利用信息資源,以提高信息利用率,使信息效用價值最大化的一種實現(xiàn)的一種戰(zhàn)略管理。

2.電力信息化

電力企業(yè)信息化建設(shè)更趨向于科學性、實用性、安全性以及效益性,電力企業(yè)開發(fā)了一系列企業(yè)管理和經(jīng)濟運行有關(guān)的應用系統(tǒng),目的在于提高生產(chǎn)和管理效益以及信息系統(tǒng)的實際使用效果。電能可以瞬間完成發(fā)電、輸電、配電直到用電,電力的生產(chǎn)和使用具有連續(xù)性、等量以及同時的特點,要想確保電力的安全生產(chǎn)以及資源的合理配置生產(chǎn),必須要根據(jù)調(diào)度指令對電力系統(tǒng)的所有環(huán)節(jié)瞬時作出反應,電力系統(tǒng)的控制中心、調(diào)度中心要同時對發(fā)電、配電、輸電以及用電的各種數(shù)據(jù)進行全面掌握,并及時地分析、調(diào)度和處理,對生產(chǎn)運行進行科學的安排,要及時的處理大而廣、紛繁復雜的信息量,這使得信息處理工作面臨著一定的挑戰(zhàn)。而信息管理技術(shù)的出現(xiàn)正好為信息的處理帶來了極大的便利,它結(jié)合了GIS技術(shù),能實現(xiàn)多源數(shù)據(jù)的迅速整合,便于電力系統(tǒng)的信息化管理,可以綜合管理大量的屬性數(shù)據(jù)和地理信息數(shù)據(jù),可以為經(jīng)營管理提供科學的決策支持以及現(xiàn)代化的管理手段,結(jié)合了網(wǎng)絡(luò)技術(shù),更有利于提高信息的共享程度,促進信息管理系統(tǒng)實現(xiàn)電力信息的共享,有利于電力系統(tǒng)信息管理更加的透明。電力系統(tǒng)涉及到了十分廣泛的地理區(qū)域,需要多個部門對同一圖層進行編輯,傳統(tǒng)的GIS圖層數(shù)據(jù)不支持多用并發(fā)操作,只適合單用戶使用,它采用的是文件格式,采用文件服務(wù)器的方式來共享圖層,若不進行特殊處理,多用戶同時更新同一圖層文件時就會發(fā)生沖突。而新型的ORDBMS技術(shù)可以彌補這一缺陷,不會發(fā)生共享沖突,它采用的是面向?qū)ο蟮臄?shù)據(jù)庫技術(shù),可以集中式管理地理屬性數(shù)據(jù)和信息空間數(shù)據(jù),支持版本管理以及并發(fā)操作,還支持完全數(shù)據(jù)庫存儲模式,能夠解決數(shù)據(jù)安全機制、存儲管理大量的數(shù)據(jù)、數(shù)據(jù)完整性以及多用戶編輯等方面的問題。

二、電力變電運行中運用信息管理的優(yōu)勢

1.先進性和開放性

數(shù)據(jù)倉庫技術(shù)使數(shù)據(jù)有了更加廣泛的來源,便于使用,方便與MIS等系統(tǒng)接口,系統(tǒng)的構(gòu)造和Internet模式進行了結(jié)合,應有前景良好。

2.實用性強

信息管理技術(shù)有利于變電運行中二次部分各類數(shù)據(jù)源的共享和使用,尤其是對于變電保護技術(shù)工作人員來說,有利于提高系統(tǒng)分析和數(shù)據(jù)統(tǒng)計的工作效率,有利于提高保護運行水平。

3.可靠性高,易于維護和升級

方法庫和數(shù)據(jù)倉庫的采用使得整個信息管理系統(tǒng)運行集中于網(wǎng)絡(luò)中心規(guī)則庫和數(shù)據(jù)庫,不再在各級用戶之間分散可靠性,即使其中一個客戶的工作站突然損壞了,也不會對系統(tǒng)其他部分的性能造成影響,并且很容易恢復,軟件開發(fā)人員只需改變方法庫就可以進行升級換代,既方便又快捷。

三、電力變電運行中采用的安全策略

1.安全技術(shù)策略

為了確保信息的安全,采取的必不可少的安全技術(shù)措施有:1)病毒防護技術(shù)。應該建立健全管理制度,統(tǒng)一管理計算機病毒庫的升級分發(fā)以及病毒的預防、檢測等環(huán)節(jié),應該采取全面的防病毒策略應用于信息系統(tǒng)的各個環(huán)節(jié),有效的防治和避免受到病毒的侵害;2)防火墻技術(shù)。防火墻技術(shù)主要用于隔離信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò),它的檢查方式是通過單一集中的安全檢查點,強制實施安全策略來實現(xiàn),避免非法存取和訪問重要的信息資源;3)數(shù)據(jù)與系統(tǒng)備份技術(shù)。電力企業(yè)必須制定數(shù)據(jù)備份策略,定期對數(shù)據(jù)庫進行備份,按照重要程度劃分數(shù)據(jù)備份等級,建立企業(yè)數(shù)據(jù)備份中心,采用災難恢復技術(shù)來備份應用系統(tǒng)以及關(guān)鍵業(yè)務(wù)的數(shù)據(jù),并制定詳細的數(shù)據(jù)庫故障恢復預案以及應用數(shù)據(jù)庫備份,并定期的進行預演,以防止在數(shù)據(jù)遭到破壞或是系統(tǒng)崩潰時能夠及時的修復,從而使信息系統(tǒng)具有更好的可靠性和可用性;4)安全審計技術(shù)。在系統(tǒng)規(guī)模的不斷擴大以及安全設(shè)施不斷完善的背景下,電氣企業(yè)應該引進集中智能的安全審計系統(tǒng),采取行之有效的技術(shù)手段來自動統(tǒng)一審計網(wǎng)絡(luò)設(shè)備日志、業(yè)務(wù)應用系統(tǒng)運行日志、操作系統(tǒng)運行日志以及安全設(shè)施運行日志等,迅速自動的對系統(tǒng)安全事件進行分析,安全管理系統(tǒng)的運行。另外建立信息安全身份認證體系以及虛擬局域網(wǎng)技術(shù)也十分重要。

2.組織管理策略

組織管理措施以及技術(shù)措施統(tǒng)一在信息安全的范疇之內(nèi),由于管理方面的原因為造成的計算機安全事件的比重達到了70%以上,所以應采取必要的組織管理策略:1)安全策略和制度。電氣企業(yè)應該制定相關(guān)的政策方針來指導企業(yè)整體的信息安全工作,只有制定統(tǒng)一的、具有指導性的安全策略和制度才能有效的衡量信息的安全,才能形成安全的防護體系以及遵循信息安全制度,只有制定有效的安全策略和制度,才能實現(xiàn)具體化、形式化的法律管理,才能將法規(guī)與管理聯(lián)系在一起,確保信息的安全。2)安全意識和安全技能。電氣企業(yè)應該組織員工進行培訓,普及他們的安全知識,強化職工的安全意識,使他們具備安全防范意識并具備基本的安全技能,能夠處理常見的安全問題。通過安全培訓來提高職工的安全操作技能,再結(jié)合第三方安全技術(shù)和產(chǎn)品來提升信息安全保障;3)安全組織和崗位。本著保障企業(yè)信息安全的目的,電氣企業(yè)應該設(shè)立獨立的信息安全部門來管理企業(yè)信息的安全,實行“統(tǒng)一組織、分散管理”的方式來使信息安全部門全面負責企業(yè)的信息安全管理和維護。安全崗位是是根據(jù)系統(tǒng)安全需要設(shè)立的信息系統(tǒng)安全管理機構(gòu),這個職位主要負責某一個或是幾個安全事務(wù),在全企業(yè)形成專門的信息安全管理工作,使各個信息技術(shù)部門也能配合和推行信息安全工作。

參考文獻

[1]覃郁培.信息管理技術(shù)在電力變電運行中的應用[J].民營科技,2010,(8)

篇8

【關(guān)鍵詞】盈余管理 盈余管理手段 關(guān)聯(lián)交易

一、信息管理與電力信息化概述

(一)信息管理概念。

信息管理是實現(xiàn)組織目標、滿足組織要求、解決組織環(huán)境問題而開發(fā)、規(guī)劃、集成、控制、利用信息資源,以提高信息利用率,使信息效用價值最大化的一種實現(xiàn)的一種戰(zhàn)略管理。

(二)電力信息化。

電力企業(yè)信息化建設(shè)更趨向于科學性、實用性、安全性以及效益性,電力企業(yè)開發(fā)了一系列企業(yè)管理和經(jīng)濟運行有關(guān)的應用系統(tǒng),目的在于提高生產(chǎn)和管理效益以及信息系統(tǒng)的實際使用效果。電能可以瞬間完成發(fā)電、輸電、配電直到用電,電力的生產(chǎn)和使用具有連續(xù)性、等量以及同時的特點,要想確保電力的安全生產(chǎn)以及資源的合理配置生產(chǎn),必須要根據(jù)調(diào)度指令對電力系統(tǒng)的所有環(huán)節(jié)瞬時作出反應,電力系統(tǒng)的控制中心、調(diào)度中心要同時對發(fā)電、配電、輸電以及用電的各種數(shù)據(jù)進行全面掌握,并及時地分析、調(diào)度和處理,對生產(chǎn)運行進行科學的安排,要及時的處理大而廣、紛繁復雜的信息量,這使得信息處理工作面臨著一定的挑戰(zhàn)。而信息管理技術(shù)的出現(xiàn)正好為信息的處理帶來了極大的便利,它結(jié)合了GIS技術(shù),能實現(xiàn)多源數(shù)據(jù)的迅速整合,便于電力系統(tǒng)的信息化管理,可以綜合管理大量的屬性數(shù)據(jù)和地理信息數(shù)據(jù),可以為經(jīng)營管理提供科學的決策支持以及現(xiàn)代化的管理手段,結(jié)合了網(wǎng)絡(luò)技術(shù),更有利于提高信息的共享程度,促進信息管理系統(tǒng)實現(xiàn)電力信息的共享,有利于電力系統(tǒng)信息管理更加的透明。電力系統(tǒng)涉及到了十分廣泛的地理區(qū)域,需要多個部門對同一圖層進行編輯,傳統(tǒng)的GIS圖層數(shù)據(jù)不支持多用并發(fā)操作,只適合單用戶使用,它采用的是文件格式,采用文件服務(wù)器的方式來共享圖層,若不進行特殊處理,多用戶同時更新同一圖層文件時就會發(fā)生沖突。而新型的ORDBMS技術(shù)可以彌補這一缺陷,不會發(fā)生共享沖突,它采用的是面向?qū)ο蟮臄?shù)據(jù)庫技術(shù),可以集中式管理地理屬性數(shù)據(jù)和信息空間數(shù)據(jù),支持版本管理以及并發(fā)操作,還支持完全數(shù)據(jù)庫存儲模式,能夠解決數(shù)據(jù)安全機制、存儲管理大量的數(shù)據(jù)、數(shù)據(jù)完整性以及多用戶編輯等方面的問題。

二、電力變電運行中運用信息管理的優(yōu)勢

(一)先進性和開放性。

數(shù)據(jù)倉庫技術(shù)使數(shù)據(jù)有了更加廣泛的來源,便于使用,方便與MIS等系統(tǒng)接口,系統(tǒng)的構(gòu)造和Internet模式進行了結(jié)合,應有前景良好。

(二)實用性強。

信息管理技術(shù)有利于變電運行中二次部分各類數(shù)據(jù)源的共享和使用,尤其是對于變電保護技術(shù)工作人員來說,有利于提高系統(tǒng)分析和數(shù)據(jù)統(tǒng)計的工作效率,有利于提高保護運行水平。

(三)可靠性高,易于維護和升級。

方法庫和數(shù)據(jù)倉庫的采用使得整個信息管理系統(tǒng)運行集中于網(wǎng)絡(luò)中心規(guī)則庫和數(shù)據(jù)庫,不再在各級用戶之間分散可靠性,即使其中一個客戶的工作站突然損壞了,也不會對系統(tǒng)其他部分的性能造成影響,并且很容易恢復,軟件開發(fā)人員只需改變方法庫就可以進行升級換代,既方便又快捷。

三、電力變電運行中采用的安全策略

(一)安全技術(shù)策略。

為了確保信息的安全,采取的必不可少的安全技術(shù)措施有:1)病毒防護技術(shù)。應該建立健全管理制度,統(tǒng)一管理計算機病毒庫的升級分發(fā)以及病毒的預防、檢測等環(huán)節(jié),應該采取全面的防病毒策略應用于信息系統(tǒng)的各個環(huán)節(jié),有效的防治和避免受到病毒的侵害;2)防火墻技術(shù)。防火墻技術(shù)主要用于隔離信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò),它的檢查方式是通過單一集中的安全檢查點,強制實施安全策略來實現(xiàn),避免非法存取和訪問重要的信息資源;3)數(shù)據(jù)與系統(tǒng)備份技術(shù)。電力企業(yè)必須制定數(shù)據(jù)備份策略,定期對數(shù)據(jù)庫進行備份,按照重要程度劃分數(shù)據(jù)備份等級,建立企業(yè)數(shù)據(jù)備份中心,采用災難恢復技術(shù)來備份應用系統(tǒng)以及關(guān)鍵業(yè)務(wù)的數(shù)據(jù),并制定詳細的數(shù)據(jù)庫故障恢復預案以及應用數(shù)據(jù)庫備份,并定期的進行預演,以防止在數(shù)據(jù)遭到破壞或是系統(tǒng)崩潰時能夠及時的修復,從而使信息系統(tǒng)具有更好的可靠性和可用性;4)安全審計技術(shù)。在系統(tǒng)規(guī)模的不斷擴大以及安全設(shè)施不斷完善的背景下,電氣企業(yè)應該引進集中智能的安全審計系統(tǒng),采取行之有效的技術(shù)手段來自動統(tǒng)一審計網(wǎng)絡(luò)設(shè)備日志、業(yè)務(wù)應用系統(tǒng)運行日志、操作系統(tǒng)運行日志以及安全設(shè)施運行日志等,迅速自動的對系統(tǒng)安全事件進行分析,安全管理系統(tǒng)的運行。另外建立信息安全身份認證體系以及虛擬局域網(wǎng)技術(shù)也十分重要。

(二)組織管理策略。

組織管理措施以及技術(shù)措施統(tǒng)一在信息安全的范疇之內(nèi),由于管理方面的原因為造成的計算機安全事件的比重達到了70%以上,所以應采取必要的組織管理策略:1)安全策略和制度。電氣企業(yè)應該制定相關(guān)的政策方針來指導企業(yè)整體的信息安全工作,只有制定統(tǒng)一的、具有指導性的安全策略和制度才能有效的衡量信息的安全,才能形成安全的防護體系以及遵循信息安全制度,只有制定有效的安全策略和制度,才能實現(xiàn)具體化、形式化的法律管理,才能將法規(guī)與管理聯(lián)系在一起,確保信息的安全。2)安全意識和安全技能。電氣企業(yè)應該組織員工進行培訓,普及他們的安全知識,強化職工的安全意識,使他們具備安全防范意識并具備基本的安全技能,能夠處理常見的安全問題。通過安全培訓來提高職工的安全操作技能,再結(jié)合第三方安全技術(shù)和產(chǎn)品來提升信息安全保障;3)安全組織和崗位。本著保障企業(yè)信息安全的目的,電氣企業(yè)應該設(shè)立獨立的信息安全部門來管理企業(yè)信息的安全,實行“統(tǒng)一組織、分散管理”的方式來使信息安全部門全面負責企業(yè)的信息安全管理和維護。安全崗位是是根據(jù)系統(tǒng)安全需要設(shè)立的信息系統(tǒng)安全管理機構(gòu),這個職位主要負責某一個或是幾個安全事務(wù),在全企業(yè)形成專門的信息安全管理工作,使各個信息技術(shù)部門也能配合和推行信息安全工作。

參考文獻:

篇9

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)06-1317-02

On Security Architecture for Enterprise Information Systems to Establish

LI Yu-lu

(Changzhou, Jiangsu Electric Power Company Power Company Information Center, Changzhou 213003, China)

Abstract: To improve the security of enterprise information systems that needs to start from the structure. This article describes the system structure of information system security status and structure of the standardized safety systems analysis, which describes the security requirements to meet the various security elements in the relationship between the proposed enterprise information security architecture model, in order to guide enterprise the development of safety standards, the system provides a reference.

Key words: enterprise information security; architecture; safety standard system

企業(yè)信息系統(tǒng)安全結(jié)構(gòu)是計算機網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)的擴展。20 世紀80 年代末、90 年代初,信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)的重要性開始引起發(fā)達國家關(guān)注。如,美國國家安全局(NAS) 20 世紀90 年代公布的國防信息系統(tǒng)安全計劃(DISSP) ,是由安全特性、系統(tǒng)組成部分、擴展的IS0 協(xié)議層等三維構(gòu)成,它不僅考慮了信息傳輸安全、網(wǎng)絡(luò)安全,還考慮了信息處理安全、端系統(tǒng)及接口安全問題;此外,還增加了互操作性、質(zhì)量保證、性能等安全特性。2001 年美國國家安全局(NAS )制定了信息技術(shù)保證框架(IATF),是從整體、過程的角度看待信息安全問題,它強調(diào)以人、技術(shù)、操作這三個核心原則,關(guān)注四個信息安全保障領(lǐng)域:保護網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、保護邊界、保護計算環(huán)境、支撐基礎(chǔ)設(shè)施,并在4 個重點技術(shù)領(lǐng)域?qū)嵤┲T如應用層護衛(wèi)、電路、文件加密等多種安全技術(shù)手段。再如,美國國防部所屬的國防信息系統(tǒng)局(DISA)1996 年制定了防御目標安全系統(tǒng)結(jié)構(gòu)框架(DGSA V3.0),從系統(tǒng)單元構(gòu)成的角度,提出了信息系統(tǒng)中各單元分的安全服務(wù)配置框架,目的是要從安全系統(tǒng)結(jié)構(gòu)的高度對信息統(tǒng)的安全保護提出技術(shù)上和管理上的規(guī)范要求等。

在信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)理論研究領(lǐng)域,有人提出開放分布式系統(tǒng)的安全結(jié)構(gòu);有人對網(wǎng)絡(luò)及信息系安全系統(tǒng)結(jié)構(gòu)進行了初步的探討和研究,提出了計算機網(wǎng)絡(luò)實體安全系統(tǒng)結(jié)構(gòu)和基于智能協(xié)作技術(shù)的信息系統(tǒng)安全系結(jié)構(gòu)概念模型等。通過對上述的研究分析,可以看到國內(nèi)外己有的安全系統(tǒng)結(jié)構(gòu)和框架都描述了信息系統(tǒng)相關(guān)的安全系統(tǒng)結(jié)構(gòu)及模型等安全要素,它們各不相同,實現(xiàn)方法等也并且都不完備。由于研究問題的層次和角度不同,對安全系統(tǒng)結(jié)構(gòu)的具體含義的理解也同,從而導致信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)在概念上、類型上及結(jié)構(gòu)上的不一致,因此,為使信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)研究和應用共同的概念依據(jù)和構(gòu)建基礎(chǔ),需要加強對信息系統(tǒng)安全結(jié)構(gòu)的一些基本問題,諸如安全結(jié)構(gòu)的類型及特征、構(gòu)成要素及構(gòu)建步驟等內(nèi)容的學習研究,以引導企業(yè)安全系統(tǒng)的建立。

1 信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)組成要素

實現(xiàn)信息安全系統(tǒng)結(jié)構(gòu)的安全,要從多個方面考慮,通常定義的包括安全屬性、系統(tǒng)組成、安全策略、安全模型、安全機制等5 個方面。在每一個方面中,還可以繼續(xù)劃分多個層次;對于一個給定的層次,包括著多種安全要素。

1.1 安全屬性

安全本身是對信息系統(tǒng)一種屬性要求,信息系統(tǒng)通過安全服務(wù)來實現(xiàn)安全性?;镜陌踩?wù)包括標識與鑒別、保密性、完整性、可用性等。在1S07498 一2 中對安全服務(wù)和安全機制的對應關(guān)系給予了描述。它的核心內(nèi)容是將5 大類安全服務(wù):身份鑒別、訪問控制、數(shù)據(jù)保密、數(shù)據(jù)完整性、不可否認性及提供這些服務(wù)的8 類安全機制及其相應的0SI 安全管理等放置于0SI模型的7層協(xié)議中,以實現(xiàn)端系統(tǒng)信息安全傳送的通信通路。這樣從安全性到安全服務(wù)機制到具體安全技術(shù)手段形成了安全屬性的不同層次。

1.2 系統(tǒng)組成

系統(tǒng)組成描述信息系統(tǒng)的組成要素。對于信息系統(tǒng)的組成劃分,有不同的方法??梢苑譃橛布蛙浖?在硬件和軟件中又可以進一步地劃分。對于分布的信息系統(tǒng),可以將信息系統(tǒng)資源分為用戶單元和網(wǎng)絡(luò)單元,即將信息系統(tǒng)的組成要素分為本地計算環(huán)境和網(wǎng)絡(luò),以及計算環(huán)境邊界。本地計算環(huán)境和網(wǎng)絡(luò)都還可以進一步劃分等。例如本地計算環(huán)境可以分為端系統(tǒng)、中繼系統(tǒng)和局部通信系統(tǒng)。端系統(tǒng)作為信息處理單元,可以繼續(xù)分為應用平臺和應用軟件;應用平臺包括操作系統(tǒng)、軟件工程服務(wù)、分布式服務(wù)、數(shù)據(jù)管理等:應用軟件中包括消息處理、web 應用等。

1.3 安全策略

在安全系統(tǒng)結(jié)構(gòu)中,安全策略指用于限定一個系統(tǒng)、實體或?qū)ο筮M行安全相關(guān)活動的規(guī)則。 即要表明在安全范圍內(nèi)什么是允許的,什么是不允許的。它直體現(xiàn)了安全需求,井且也有面向不同層次、視圖及原理的安全策略。其描述內(nèi)容和形式也各不相同。對于抽象型和一般型安全系統(tǒng)結(jié)構(gòu)而言,安全策略主要是對加密、訪問控制、多級安全等策略的通用規(guī)定,不涉及具體的軟硬件實現(xiàn);而對于具體型安全系統(tǒng)結(jié)構(gòu),其安全策咯則是要對實現(xiàn)系統(tǒng)安全功能的主體和客體特性進行具體的標識和說明,亦即要描述允許或禁止系統(tǒng)和用戶何時執(zhí)行哪些動作,井要能反射到軟硬件安全組件的具體配置,如,網(wǎng)絡(luò)操作系統(tǒng)的帳戶策略用戶權(quán)限策略和審計策略等安全策略就最終體現(xiàn)為發(fā)全功能的各種選項等。

1.4 安全模型

安全模型用于準確描述系絞在功能和結(jié)構(gòu)上的安全特性,它反映了一定的支全策略,是引導、驗證安全系統(tǒng)開發(fā)設(shè)計的概念模型要求。對安全策略及形式化模型的研究起源于美國軍方對高安全級別的計算機系統(tǒng)的需求,它為計算機操作系統(tǒng)的安全性設(shè)計提供了理論基礎(chǔ)。這些安全模型通常被認為是經(jīng)典安全模型。經(jīng)典安全模型主要由身份標識、認證、授權(quán)、審核等4個環(huán)節(jié)構(gòu)成。經(jīng)典安全模型的前提假設(shè)是:引用監(jiān)視器是主體對客體進行訪問的唯一路徑。身份標識與認證的機制是可靠的;審核文件和訪問控制數(shù)據(jù)庫本身受到充分的保護。而這些前提在實際的信怠系統(tǒng)中并不一定成立。因此,信息系統(tǒng)安全摸型的描述應反映相應層次和視圖上的安全策略。

1.5 安全機制

安全機制是實現(xiàn)信息系統(tǒng)安全需求及空全策略的各種措施,具體可以表現(xiàn)為所需要的安全白標準、安全協(xié)議、安全技術(shù)、安全單元等。對于不同層次、不同視圖及不同原理的安全系統(tǒng)結(jié)構(gòu),安全機制側(cè)重點也有所不同。例如:OSI安全系統(tǒng)結(jié)構(gòu)中建議采用7種安全機制。而對于特定系統(tǒng)的安全系統(tǒng)結(jié)構(gòu),則要進一步說明有關(guān)安全機制的具體實現(xiàn)技術(shù),如認證機制的實現(xiàn)可以有口令、密碼技術(shù)及實體特征鑒別等方法。

2 數(shù)學模型

把整個信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)可看成為一個空間:組成信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)的這些方面稱之為維,層次劃分中的特定層次下所包括的安全要素值均是每一維上的具體元素值的體現(xiàn),通用的信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)就是具有多維、多層和動態(tài)特性的空間(這里只是借用維空間的概念,除了考慮各維元素之間的相互作用而外并不考慮維空間中各個元素之間的運算)。通過數(shù)學描述,可以更好地對知識進行歸納和運用:一方面更容易量化,使得描述更為清晰;另一方面可以指導新的未知問題的探索,演繹出新的概念或理論。

3 結(jié)束語

企業(yè)信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)的研究是一項復雜的系統(tǒng)工程。需要我們用系統(tǒng)工程的概念、理論和方法來研究、開發(fā)和實施系統(tǒng)安全結(jié)構(gòu)的設(shè)計,安全系統(tǒng)結(jié)構(gòu)理論就是要從整體上解決信息系統(tǒng)的安全問題,但目前在很多企業(yè)對安全系統(tǒng)結(jié)構(gòu)的概念、類型、構(gòu)建等問題上還沒有得到系統(tǒng)化的研究,以上從學習研究的角度對目前國內(nèi)外安全系統(tǒng)結(jié)構(gòu)和安全系統(tǒng)的研究進行了粗淺的學習分析,通過分析使對整個安全系統(tǒng)結(jié)構(gòu)的認識進一步加深和清晰化,從而提出企業(yè)信息安全系統(tǒng)結(jié)構(gòu)和模型。要使企業(yè)信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)適合企業(yè)信息系統(tǒng)安全、全面、準確、可行的要求,同時要適應信息技術(shù)及其安全技術(shù)的飛速發(fā)展。只有這樣,才能確保信息安全系統(tǒng)適應更好地為企業(yè)服務(wù)。

參考文獻:

篇10

關(guān)鍵詞:商業(yè)秘密;信息安全;保護;資產(chǎn);大數(shù)據(jù)

1信息安全工作的本質(zhì)是商業(yè)秘密保護

商業(yè)秘密保護一直是企業(yè)內(nèi)部管理的薄弱環(huán)節(jié),企業(yè)也是信息安全泄密事件的高發(fā)群體,受到商業(yè)秘密侵權(quán)的損害也最大。其原因在于企業(yè)的創(chuàng)始人基本沒有商業(yè)秘密的意識,也沒有在機構(gòu)上設(shè)立保密部門,更沒有建立有效的商業(yè)秘密保護管理機制,因此導致商業(yè)秘密容易被侵權(quán)。按照我國《反不正當競爭法》的規(guī)定,屬于商業(yè)秘密范疇的信息須具備以下三個條件:不為公眾所知悉、能帶來經(jīng)濟利益、采取保密措施。根據(jù)商業(yè)秘密的特點,可以發(fā)現(xiàn)商業(yè)秘密屬于具有經(jīng)濟價值且被保護的企業(yè)信息資源,這種資源在企業(yè)內(nèi)部有限范圍內(nèi)共享。當下,有關(guān)商業(yè)秘密的法律訴訟已不是新鮮事。2017年,安徽一橡塑制品公司員工辭職后入股競爭對手,不僅帶走老東家的技術(shù)資料,還“搶了”老顧客生意。法院采取“實質(zhì)性相同加接觸”規(guī)則推定其與新東家構(gòu)成侵權(quán),判賠80萬元。據(jù)德國《經(jīng)濟周刊》網(wǎng)站2017年12日報道,荷蘭警方日前逮捕了一名65歲男子,該男子為西門子員工,涉嫌將西門子商業(yè)機密泄露給中國企業(yè),荷蘭檢察院目前正對此案展開調(diào)查。以上兩個案例中的企業(yè)商業(yè)秘密保護的一個側(cè)面。大數(shù)據(jù)時代的核心是資源共享,任何企業(yè)都不是一個封閉的組織,任何組織和個人都可以有償或者無償獲得他們所需要的信息。因此,要做好企業(yè)的信息安全工作,必須厘清商業(yè)秘密保護與信息安全之間的關(guān)系。商業(yè)秘密保護的對象是企業(yè)的技術(shù)或經(jīng)營信息,因此商業(yè)秘密保護的本質(zhì)也是保護信息安全。泄密事件層出不窮,泄密手段越來越高科技。大部分企業(yè)在信息安全工作中,存在一些典型的誤區(qū):業(yè)務(wù)部門認為沒有商業(yè)秘密可言,搞信息安全只是IT部門的事情;業(yè)務(wù)部門不知道哪些信息屬于商業(yè)秘密,信息安全工作推進沒有依據(jù);業(yè)務(wù)部門的海量信息都需要保護,保護范圍無限擴大,見圖1。

2信息安全工作不能奔走救火

市場經(jīng)濟競爭越來越激烈,泄密風險越來越多,商業(yè)秘密的價值越來越高。泄密的途徑和方式多種多樣,要想做好信息安全工作,我們必須要了解主要的泄密途徑。(1)內(nèi)部泄密。堡壘最容易從內(nèi)部被攻破,在企業(yè)商業(yè)秘密泄密事件中,由于核心員工跳槽帶走商業(yè)秘密而造成的泄密事件時有發(fā)生而且占有很大的比例。據(jù)統(tǒng)計,企業(yè)內(nèi)部人員侵犯商業(yè)秘密案件占全部案例的82.5%。人員流動是企業(yè)發(fā)展過程中所面臨的并且是無法回避的問題,在企業(yè)的商業(yè)秘密保護工作中,如何防止核心員工跳槽帶走商業(yè)秘密,人員管理固然是很重要的一個環(huán)節(jié),但還應伴隨著一系列的管理措施。對于企業(yè)來說,證明商業(yè)秘密的存在本身就很困難,要證明企業(yè)員工是否利用了這種信息難度更大,尤其是難以區(qū)分一般信息與商業(yè)秘密信息的差別。所以,應通過競業(yè)限制條款以盡可能地避免員工利用商業(yè)秘密。(2)商業(yè)秘密信息管理不善。一些企業(yè)中存在著很多這樣的情況,企業(yè)一邊將一些技術(shù)文件、客戶資料和信息不分級別隨意管理,任何員工甚至未經(jīng)任何手續(xù)就能隨意使用和得到這些信息,另一邊聲稱自己的商業(yè)秘密被泄露要加強管理甚至要進行索賠等,這種狀況是很難尋求到法律支持和保護的。所以,我們強調(diào)確定企業(yè)的商業(yè)秘密范圍,明確商業(yè)秘密保護的對象是商業(yè)秘密保護工作的關(guān)鍵環(huán)節(jié)。(3)接待外來人員采訪、參觀、考察、實習中疏忽大意。這樣的實例很多,我國一些具有“獨特工藝”的傳統(tǒng)產(chǎn)品企業(yè)就是在接待參觀和考察中,被人竊取“機密”。改革開放之初,日本人借著我國地方官員和民眾熱情迎接外賓,毫無商業(yè)保密頭腦的機會,來涇縣“參觀考察”中國宣紙制造,官員和工廠負責及技術(shù)人員陪同參觀,每一道制作工藝詳細講解,從而日本人輕而易舉獲取了宣紙制造的整個流程,以及“紙藥”的配方。如果企業(yè)能重視到商業(yè)秘密的保護,此種損失完全可以避免或降低。參觀應避開敏感區(qū)域,勿作詳細解釋,勿對生產(chǎn)制造工藝進行演示,并要求來訪者參觀商業(yè)秘密設(shè)備時簽訂保密協(xié)議。(4)對外信息。競爭對手通過公開的信息收集的合法途徑同樣能夠獲取企業(yè)商業(yè)秘密。還有一些企業(yè)甚至盯著對手公司經(jīng)常使用的垃圾箱,從垃圾箱中翻閱廢棄資料,從而檢索有用信息。對此,企業(yè)一定要引起注意,最好建立嚴格的信息審批規(guī)章制度和辦事程序。比如信息公布、報廢產(chǎn)品、實驗廢品和產(chǎn)品的處理,展覽、新聞和廣告等,均需通過嚴密的信息處理和審批,以防無意中泄密。為了解決一個個具體的問題而立即行動,效果不會很好,久而久之,信息安全保護措施會流于形式、奔走救火。企業(yè)要防止自己的商業(yè)秘密被競爭對手竊取,必要采取各種保護措施。保護措施越多,保護效果越好,但同時保護成本也會增大,消耗企業(yè)的財富。但如果企業(yè)對商業(yè)秘密投入不足,會使保護能力欠缺,導致重要的商業(yè)秘密資產(chǎn)被泄密,企業(yè)面臨的損失可能會更大。因此,企業(yè)必須使投入的保護成本與需要保護的商業(yè)秘密資產(chǎn)價值相適應。

3保護信息安全的目標是降低風險

就商業(yè)秘密而言,沒有絕對的安全,只有相對的安全。信息安全的目的是,保護信息免受各種威脅的損害,以確保業(yè)務(wù)連續(xù)性,業(yè)務(wù)風險最小化,投資回報和商業(yè)機遇最大化。泄密風險只能降低,不可能杜絕。商業(yè)秘密范圍的確定是商業(yè)秘密保護最基礎(chǔ)的工作,只有準確的定義、識別并確定自己企業(yè)需要保護的商業(yè)秘密范圍,才有可能采取有效措施對范圍之內(nèi)的商業(yè)秘密進行保護,如果范圍確定的不準確,就可能使商業(yè)秘密面臨缺乏保護或保護過度的風險。在明確商業(yè)秘密的范圍和定義的前提下,首先要做好“定密”工作,其次要做好“分級”工作,最后在采用各種手段去做“保密”工作。

參考文獻

[1]魏亮.云計算安全風險及對策研究[J].郵電設(shè)計技術(shù),2011(10).

[2]徐祖哲.企業(yè)信息化與商業(yè)秘密保護[J].中國科技投資,2009(2).

[3]歐陽有慧.商業(yè)秘密的企業(yè)應對[J].商場現(xiàn)代化,2009(1).

[4]王紅一.免予公開的商業(yè)秘密的界定問題[J].暨南學報,2005(5).

[5]馮曉青.試論商業(yè)秘密法的目的與利益平衡[J].天中學刊,2004(12).