序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗(yàn)��,特別為您篩選了11篇信息安全風(fēng)險(xiǎn)管理范文�。如果您需要更多原創(chuàng)資料,歡迎隨時(shí)與我們的客服老師聯(lián)系��,希望您能從中汲取靈感和知識(shí)���!
篇1
作者簡(jiǎn)介:王旭(1964-)�����,男�����,浙江寧波人�����,新疆電力公司電力科學(xué)研究院��,高級(jí)工程師�����。(新疆 烏魯木齊 830011)張建業(yè)(1972-)�,男,浙江浦江人����,新疆電力公司科技信通部,高級(jí)工程師�,華北電力大學(xué)經(jīng)濟(jì)與管理學(xué)院博士研究生。(新疆 烏魯木齊 830002)
基金項(xiàng)目:本文系國(guó)家自然科學(xué)基金資助項(xiàng)目(基金號(hào):71271084)的研究成果���。
中圖分類(lèi)號(hào):F270.7 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-0079(2013)26-0163-03
信息安全風(fēng)險(xiǎn)是信息化時(shí)代企業(yè)發(fā)展和內(nèi)部管理所面臨的一個(gè)迫切問(wèn)題���,網(wǎng)絡(luò)化、信息化的飛速發(fā)展能夠給企業(yè)帶來(lái)無(wú)限的發(fā)展機(jī)遇��,同時(shí)也讓?xiě)?yīng)用信息化技術(shù)的企業(yè)面臨著各種不同的風(fēng)險(xiǎn)威脅�,這些風(fēng)險(xiǎn)因素一旦發(fā)生,將對(duì)企業(yè)的日常運(yùn)營(yíng)���、戰(zhàn)略目標(biāo)的實(shí)現(xiàn)甚至長(zhǎng)遠(yuǎn)發(fā)展產(chǎn)生無(wú)法估計(jì)的影響����。有效的信息安全風(fēng)險(xiǎn)管理體系對(duì)于企業(yè)規(guī)避信息安全風(fēng)險(xiǎn)��、減少不必要的損失具有重要作用�����。
對(duì)于電網(wǎng)企業(yè)來(lái)說(shuō)��,信息化建設(shè)是推動(dòng)電網(wǎng)企業(yè)智能化����、現(xiàn)代化等長(zhǎng)遠(yuǎn)發(fā)展的核心推動(dòng)力,但網(wǎng)絡(luò)病毒�、黑客入侵等一系列風(fēng)險(xiǎn)因素,使得電網(wǎng)企業(yè)信息安全同樣面臨著巨大的挑戰(zhàn)����,必須對(duì)電網(wǎng)企業(yè)面臨的各類(lèi)信息安全風(fēng)險(xiǎn)進(jìn)行有效控制,以保證電網(wǎng)企業(yè)的信息化內(nèi)容正常運(yùn)行��。
一���、電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)分析
電網(wǎng)企業(yè)的信息安全風(fēng)險(xiǎn)就是企業(yè)的信息系統(tǒng)和網(wǎng)絡(luò)等面臨的來(lái)自各方面的風(fēng)險(xiǎn)威脅��,各種內(nèi)外部的���、潛在的和可知的危險(xiǎn)可能會(huì)帶來(lái)的風(fēng)險(xiǎn)威脅等�����。隨著網(wǎng)絡(luò)環(huán)境的復(fù)雜性不斷增加�,新的信息技術(shù)的不斷應(yīng)用發(fā)展����,電網(wǎng)企業(yè)的信息安全面臨的風(fēng)險(xiǎn)因素也更為繁多復(fù)雜,同時(shí)由于其注重信息安全的行業(yè)特點(diǎn)�,電網(wǎng)企業(yè)的信息安全風(fēng)險(xiǎn)管理面臨的壓力更大。為此需要對(duì)這些風(fēng)險(xiǎn)因素進(jìn)行規(guī)范����、合理的識(shí)別分析,進(jìn)而建立綜合的風(fēng)險(xiǎn)管理體系���。
電網(wǎng)企業(yè)的信息安全面臨著來(lái)自不同層次�、多個(gè)方面的風(fēng)險(xiǎn)因素,有來(lái)自外部環(huán)境的風(fēng)險(xiǎn)威脅���,也有企業(yè)內(nèi)部的風(fēng)險(xiǎn)影響���;有技術(shù)方面的安全風(fēng)險(xiǎn)�,也有人員操作方面的安全風(fēng)險(xiǎn)等。具體的信息安全風(fēng)險(xiǎn)因素主要包括以下幾個(gè)方面:
1.木馬病毒入侵的安全風(fēng)險(xiǎn)
隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展�、電網(wǎng)企業(yè)內(nèi)外部網(wǎng)絡(luò)環(huán)境的日益成熟和網(wǎng)絡(luò)應(yīng)用的不斷增多,各種病毒也更為復(fù)雜���、難解��。木馬等病毒的傳染��、滲透�����、傳播的能力變得異常強(qiáng)大�,其入侵方式也由以前的單一�����、簡(jiǎn)單變得隱蔽��、復(fù)雜,尤其是Internet網(wǎng)絡(luò)和企業(yè)網(wǎng)絡(luò)環(huán)境為木馬等病毒的傳播和生存提供了可靠的環(huán)境����。
2.黑客非法攻擊的安全風(fēng)險(xiǎn)
近年來(lái)各種各樣的黑客非法攻擊異常頻繁,成為困擾世界范圍內(nèi)眾多企業(yè)的問(wèn)題��。由于黑客具有非常高超的計(jì)算機(jī)技術(shù)能力����,他們經(jīng)常利用計(jì)算機(jī)設(shè)備、信息系統(tǒng)�����、網(wǎng)絡(luò)協(xié)議和數(shù)據(jù)庫(kù)等方面的缺陷與漏洞�,通過(guò)運(yùn)用網(wǎng)絡(luò)監(jiān)聽(tīng)、密碼破解�、程序滲透、信息炸彈等手段侵入企業(yè)的計(jì)算機(jī)系統(tǒng)�����,盜竊企業(yè)的保密信息���、重要數(shù)據(jù)��、業(yè)務(wù)資料等���,從而進(jìn)行信息數(shù)據(jù)破壞或者占用系統(tǒng)的資源等����。
3.信息傳遞過(guò)程的安全風(fēng)險(xiǎn)
由于電網(wǎng)企業(yè)與很多的外部企業(yè)�、研究機(jī)構(gòu)等有著廣泛的工作聯(lián)系與業(yè)務(wù)合作����,因此很多日常信息、數(shù)據(jù)資料等都需要通過(guò)互聯(lián)網(wǎng)進(jìn)行傳輸溝通���,在這個(gè)傳輸過(guò)程中的各類(lèi)信息都會(huì)面臨各種不同的安全風(fēng)險(xiǎn)����。
4.權(quán)限設(shè)置的安全風(fēng)險(xiǎn)
信息系統(tǒng)根據(jù)不同的業(yè)務(wù)內(nèi)容對(duì)不同的部門(mén)��、員工開(kāi)放不同的系統(tǒng)模塊���,用戶根據(jù)其登陸的權(quán)限設(shè)置訪問(wèn)其范圍內(nèi)的系統(tǒng)內(nèi)容�����。每個(gè)信息系統(tǒng)都有用戶管理功能���,對(duì)用戶權(quán)限進(jìn)行管理和控制���,能夠在一定程度上增加安全性,但仍然存在一定的問(wèn)題���。很多電網(wǎng)企業(yè)內(nèi)都存在不同的信息系統(tǒng)����,各系統(tǒng)之間都是獨(dú)立存在�,沒(méi)有統(tǒng)一的用戶管理,使用起來(lái)極不方便���,難以保證用戶賬號(hào)的有效管理和使用安全����。另外����,電網(wǎng)企業(yè)的信息系統(tǒng)的用戶權(quán)限管理功能設(shè)置過(guò)于簡(jiǎn)單���,不能夠靈活實(shí)現(xiàn)更為詳細(xì)的權(quán)限控制等。
5.信息設(shè)備損壞產(chǎn)生的安全風(fēng)險(xiǎn)
電網(wǎng)企業(yè)內(nèi)的各類(lèi)業(yè)務(wù)信息�、數(shù)據(jù)資料、工作內(nèi)容等信息都是依托于相應(yīng)的軟硬件設(shè)備而存儲(chǔ)�����、傳遞�����、應(yīng)用的�����,當(dāng)這些計(jì)算機(jī)硬件設(shè)備�、信息系統(tǒng)�、數(shù)據(jù)存儲(chǔ)設(shè)備、用電支撐設(shè)備等由于企業(yè)內(nèi)外部不同作用力的影響而出現(xiàn)癱瘓�、停止工作等突發(fā)狀況時(shí),會(huì)帶來(lái)重要信息內(nèi)容的泄露��、丟失等安全風(fēng)險(xiǎn)隱患�����。
6.人員操作失誤形成的安全風(fēng)險(xiǎn)
電網(wǎng)企業(yè)內(nèi)的專(zhuān)業(yè)信息技術(shù)人員、業(yè)務(wù)人員�、管理人員對(duì)信息系統(tǒng)的操作能力存在一定的差異,一些人員的意識(shí)較為陳舊����、操作能力較差,在對(duì)信息系統(tǒng)�����、網(wǎng)絡(luò)連接��、數(shù)據(jù)庫(kù)等的應(yīng)用過(guò)程中���,由于對(duì)這些技術(shù)內(nèi)容不熟悉從而產(chǎn)生了一些錯(cuò)誤操作���,為此產(chǎn)生了許多意想不到的安全風(fēng)險(xiǎn)。同時(shí)�,在運(yùn)用過(guò)程中存在的思想偏差、理解偏誤�����、粗心大意等導(dǎo)致的誤操作也會(huì)產(chǎn)生相應(yīng)的安全風(fēng)險(xiǎn)。
7.技術(shù)更新變化帶來(lái)的安全風(fēng)險(xiǎn)
當(dāng)前的信息技術(shù)�����、系統(tǒng)開(kāi)發(fā)�����、網(wǎng)絡(luò)應(yīng)用����、數(shù)據(jù)庫(kù)存儲(chǔ)等都在日新月異地飛速變化,幾乎每天都會(huì)發(fā)生更新?lián)Q代的升級(jí)變化�,沒(méi)有任何的信息技術(shù)能夠長(zhǎng)時(shí)間使用。電網(wǎng)企業(yè)原有信息系統(tǒng)等設(shè)備進(jìn)行升級(jí)換代或者與新的數(shù)據(jù)庫(kù)內(nèi)容進(jìn)行新舊結(jié)合以及轉(zhuǎn)換時(shí)�,會(huì)因?yàn)榧嫒菪圆睢⒉荒芷ヅ涞仍蛟斐梢欢ǖ男畔踩L(fēng)險(xiǎn)�����。
二����、信息安全風(fēng)險(xiǎn)應(yīng)對(duì)機(jī)制
電網(wǎng)企業(yè)的信息安全承擔(dān)著極為重要的作用��,而其面臨的安全風(fēng)險(xiǎn)也是多方面的,僅從信息系統(tǒng)��、技術(shù)設(shè)備的單一角度進(jìn)行信息安全風(fēng)險(xiǎn)管理遠(yuǎn)遠(yuǎn)不夠����,對(duì)于其他很多潛在的風(fēng)險(xiǎn)因素難以有效應(yīng)對(duì)。因此需要從信息技術(shù)技術(shù)�����、企業(yè)管理�����、風(fēng)險(xiǎn)控制等多個(gè)維度來(lái)建立相應(yīng)的措施�,以應(yīng)對(duì)可能出現(xiàn)的各類(lèi)風(fēng)險(xiǎn),從而從硬性技術(shù)層面到柔性管理層次形成多維度的風(fēng)險(xiǎn)管理手段�。電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)應(yīng)對(duì)機(jī)制框架結(jié)構(gòu)如圖1所示。
電網(wǎng)企業(yè)的信息安全風(fēng)險(xiǎn)管理應(yīng)對(duì)機(jī)制是以風(fēng)險(xiǎn)控制角度為核心�、信息技術(shù)角度為支持、企業(yè)管理角度為保障的雙向支持�����、互為影響的一個(gè)環(huán)狀模型����,三者之間緊密配合����、共同發(fā)揮風(fēng)險(xiǎn)應(yīng)對(duì)的作用�����,具體內(nèi)容如表1所示��。
三�����、信息安全風(fēng)險(xiǎn)管理體系
電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)管理體系是進(jìn)行信息安全風(fēng)險(xiǎn)管理的核心內(nèi)容�����,其他的制度建設(shè)等方面的應(yīng)對(duì)機(jī)制都是為了更好地使風(fēng)險(xiǎn)管理體系發(fā)揮有效的作用��,能夠在不同的情況下進(jìn)行信息安全風(fēng)險(xiǎn)威脅的提前預(yù)防���、風(fēng)險(xiǎn)發(fā)生時(shí)的控制、事后風(fēng)險(xiǎn)影響的結(jié)果處理等��。
電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)管理體系框架結(jié)構(gòu)如圖2所示。
1.信息安全風(fēng)險(xiǎn)評(píng)估
電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理體系的第一部分����,風(fēng)險(xiǎn)評(píng)估效果的好壞直接影響著后面風(fēng)險(xiǎn)管理環(huán)節(jié)的執(zhí)行情況。通過(guò)風(fēng)險(xiǎn)評(píng)估的準(zhǔn)確執(zhí)行��,能夠有效識(shí)別�����、分析各種不同風(fēng)險(xiǎn)的種類(lèi)��、來(lái)源���、影響程度等內(nèi)容���,為后續(xù)的風(fēng)險(xiǎn)預(yù)防、控制等奠定良好的基礎(chǔ)�。
信息安全風(fēng)險(xiǎn)評(píng)估主要由風(fēng)險(xiǎn)案例庫(kù)、風(fēng)險(xiǎn)因素分析系統(tǒng)�、風(fēng)險(xiǎn)定量定性轉(zhuǎn)化系統(tǒng)、數(shù)據(jù)統(tǒng)計(jì)歸納庫(kù)���、風(fēng)險(xiǎn)分析結(jié)果傳輸體系等構(gòu)成�����,通過(guò)幾個(gè)模塊的有機(jī)結(jié)合來(lái)科學(xué)分析評(píng)估電網(wǎng)企業(yè)遇到的各類(lèi)信息安全風(fēng)險(xiǎn)因素����。
2.風(fēng)險(xiǎn)事前預(yù)防
電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)事前預(yù)防就是在風(fēng)險(xiǎn)沒(méi)有發(fā)生時(shí)對(duì)各種風(fēng)險(xiǎn)進(jìn)行提前預(yù)防,通過(guò)建立的預(yù)防計(jì)劃方案來(lái)提前避免風(fēng)險(xiǎn)的發(fā)生���,從而保證信息的安全性����。這是風(fēng)險(xiǎn)管理體系希望達(dá)到的最佳效果��,因此該環(huán)節(jié)非常重要�����。
通過(guò)對(duì)風(fēng)險(xiǎn)案例庫(kù)的經(jīng)常性學(xué)習(xí)�,使相關(guān)部門(mén)和人員對(duì)各類(lèi)風(fēng)險(xiǎn)有了總體的認(rèn)識(shí)和了解;通過(guò)建立相應(yīng)的風(fēng)險(xiǎn)預(yù)警裝置來(lái)提前警告風(fēng)險(xiǎn)的發(fā)生�����,使電網(wǎng)企業(yè)能夠提前采取措施來(lái)避免風(fēng)險(xiǎn)發(fā)生;運(yùn)用信息安全風(fēng)險(xiǎn)管理制度加強(qiáng)員工的行為能力���,避免風(fēng)險(xiǎn)產(chǎn)生;通過(guò)信息技術(shù)的相關(guān)配置����,從信息系統(tǒng)、網(wǎng)絡(luò)�、數(shù)據(jù)等方面提前對(duì)一些病毒風(fēng)險(xiǎn)等進(jìn)行處理。
出色地執(zhí)行電網(wǎng)企業(yè)的信息安全風(fēng)險(xiǎn)預(yù)防工作��,能夠避免很多不必要的麻煩�����,從而有效減少后面風(fēng)險(xiǎn)控制工作內(nèi)容�。
3.風(fēng)險(xiǎn)威脅轉(zhuǎn)移
將可能發(fā)生或者即將到來(lái)的信息安全風(fēng)險(xiǎn)有效轉(zhuǎn)移到其他的地方,可使得安全風(fēng)險(xiǎn)沒(méi)有在電網(wǎng)企業(yè)的信息系統(tǒng)中發(fā)生����,避免了風(fēng)險(xiǎn)帶來(lái)的威脅損害。風(fēng)險(xiǎn)轉(zhuǎn)移同風(fēng)險(xiǎn)的事前預(yù)防一樣����,能夠在很大程度上將信息安全風(fēng)險(xiǎn)帶來(lái)的威脅降低到最小,避免其帶來(lái)的各類(lèi)損失。
4.風(fēng)險(xiǎn)過(guò)程控制
在對(duì)信息安全造成威脅的風(fēng)險(xiǎn)發(fā)生時(shí)�����,采取各種方法�、手段進(jìn)行風(fēng)險(xiǎn)的最小化控制,使風(fēng)險(xiǎn)本身隨著控制的進(jìn)行而逐漸變小甚至消失�,將風(fēng)險(xiǎn)發(fā)生后造成的影響降低到最小或者控制在能夠承受的合理范圍內(nèi)。
主要從信息系統(tǒng)��、數(shù)據(jù)庫(kù)�����、網(wǎng)絡(luò)系統(tǒng)��、計(jì)算機(jī)基礎(chǔ)設(shè)備等技術(shù)方面進(jìn)行控制�����;從制度�����、標(biāo)準(zhǔn)�、規(guī)范等管理層面進(jìn)行控制��;從人員培訓(xùn)���、部門(mén)協(xié)調(diào)等組織結(jié)構(gòu)層面進(jìn)行控制;從風(fēng)險(xiǎn)發(fā)生時(shí)制定的風(fēng)險(xiǎn)控制措施�、計(jì)劃進(jìn)行控制���;形成動(dòng)態(tài)反饋的風(fēng)險(xiǎn)發(fā)生��、控制效果的反饋機(jī)制��,以便及時(shí)對(duì)控制方案進(jìn)行調(diào)整完善�。
5.風(fēng)險(xiǎn)事后處理
信息安全風(fēng)險(xiǎn)發(fā)生后�,對(duì)電網(wǎng)企業(yè)的信息系統(tǒng)、網(wǎng)絡(luò)���、數(shù)據(jù)庫(kù)等造成一定的影響���,已經(jīng)沒(méi)有時(shí)間進(jìn)行及時(shí)有效的風(fēng)險(xiǎn)控制,此時(shí)的工作重點(diǎn)在于如何采取挽救措施對(duì)風(fēng)險(xiǎn)造成的信息安全損失進(jìn)行彌補(bǔ)�����,將其影響程度降低到最低。
從電網(wǎng)企業(yè)的信息安全風(fēng)險(xiǎn)評(píng)估開(kāi)始��,到信息安全風(fēng)險(xiǎn)的預(yù)防�、風(fēng)險(xiǎn)發(fā)生時(shí)的控制以及風(fēng)險(xiǎn)后果的處理,對(duì)整個(gè)過(guò)程進(jìn)行深入的分析����、總結(jié),發(fā)現(xiàn)風(fēng)險(xiǎn)管理體系存在諸多不足和缺陷��,控制計(jì)劃在某些方面需要進(jìn)行改進(jìn)完善���。將本次發(fā)生的信息安全風(fēng)險(xiǎn)控制過(guò)程整理進(jìn)入案例庫(kù)���,以便下次的風(fēng)險(xiǎn)預(yù)防借鑒。
電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)管理體系中的各個(gè)流程環(huán)節(jié)都是按照一定的流程順序�����、風(fēng)險(xiǎn)發(fā)生種類(lèi)�����、大小而進(jìn)行的��,其具體的流程如圖3所示。
6.非常態(tài)風(fēng)險(xiǎn)應(yīng)急處理
在電網(wǎng)企業(yè)對(duì)信息安全進(jìn)行風(fēng)險(xiǎn)管理的過(guò)程中����,有時(shí)會(huì)出現(xiàn)一些案例庫(kù)、控制計(jì)劃之外的非常態(tài)風(fēng)險(xiǎn)�����,這些風(fēng)險(xiǎn)沒(méi)有以往成功的風(fēng)險(xiǎn)管理經(jīng)驗(yàn)可以借鑒��,這時(shí)就需要在電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)管理體系中建立相應(yīng)的非常態(tài)風(fēng)險(xiǎn)應(yīng)急處理模塊����。
電網(wǎng)企業(yè)信息安全非常態(tài)風(fēng)險(xiǎn)應(yīng)急處理主要是當(dāng)意外的緊急風(fēng)險(xiǎn)發(fā)生時(shí)�,能夠迅速啟動(dòng)應(yīng)急預(yù)案組織相關(guān)人員進(jìn)行風(fēng)險(xiǎn)應(yīng)對(duì)控制、風(fēng)險(xiǎn)預(yù)防和控制等�����;若風(fēng)險(xiǎn)已經(jīng)發(fā)生���,此時(shí)能夠及時(shí)還原數(shù)據(jù)�����、隔離外部風(fēng)險(xiǎn)入侵�����,使信息系統(tǒng)�����、網(wǎng)絡(luò)��、數(shù)據(jù)庫(kù)在最快的時(shí)間內(nèi)恢復(fù)正常運(yùn)作��。
四��、總結(jié)
本文通過(guò)對(duì)電網(wǎng)企業(yè)信息安全重要性進(jìn)行分析���,提出了建立信息安全風(fēng)險(xiǎn)管理體系應(yīng)對(duì)各種內(nèi)外部風(fēng)險(xiǎn)威脅的必要性��。在對(duì)電網(wǎng)企業(yè)信息安全的概念�����、特點(diǎn)等分析說(shuō)明的基礎(chǔ)上���,深入研究了電網(wǎng)企業(yè)的信息安全所面臨的各種不同的風(fēng)險(xiǎn)因素���,建立了包括信息技術(shù)、企業(yè)管理����、風(fēng)險(xiǎn)控制三個(gè)方面在內(nèi)的電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)應(yīng)對(duì)機(jī)制。結(jié)合所建立的電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)應(yīng)對(duì)機(jī)制����,本文構(gòu)建了一套綜合、全面的電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)管理體系�����。該體系的構(gòu)建能夠從事前風(fēng)險(xiǎn)預(yù)防����、事中風(fēng)險(xiǎn)控制����、事后風(fēng)險(xiǎn)影響后果處理等三個(gè)環(huán)節(jié)進(jìn)行全面的風(fēng)險(xiǎn)管理。
參考文獻(xiàn)
[1]張浩����,詹輝紅����,錢(qián)洪珍.電網(wǎng)企業(yè)信息安全管理體系建設(shè)中的風(fēng)險(xiǎn)管理實(shí)踐[J].電力信息技術(shù)����,2010,8(6):21-24.
[2]劉金霞.電力企業(yè)給予風(fēng)險(xiǎn)管理的信息安全保障體系建設(shè)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用��,2008�,(1):42-44.
篇2
中圖分類(lèi)號(hào):G203 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1001-828X(2012)02-00-01
一、引言
20世紀(jì)90年代以來(lái)��,計(jì)算機(jī)技術(shù)以及網(wǎng)絡(luò)技術(shù)的發(fā)展把人類(lèi)帶入了信息時(shí)代��,信息技術(shù)被廣泛應(yīng)用到各個(gè)領(lǐng)域��,給人類(lèi)社會(huì)的發(fā)展帶來(lái)巨大的生產(chǎn)力����,信息技術(shù)正逐步改變著人類(lèi)的生產(chǎn)方式和生活方式,社會(huì)的發(fā)展對(duì)信息資源的依賴程序越來(lái)越高�����。然而由于環(huán)境的開(kāi)放性以及信息系統(tǒng)自身的缺陷等因素,導(dǎo)致信息面臨著巨大的安全隱患�。如何保護(hù)信息安全逐步成為人們關(guān)注的焦點(diǎn)。
信息安全的解決不僅要要依靠技術(shù)�����,更應(yīng)當(dāng)加強(qiáng)安全方面的管理����。只有建立有效的信息安全管理體系,對(duì)信息安全進(jìn)行正確的分析評(píng)估��,制定出相應(yīng)的策略并實(shí)施控制����,才能保證信息系統(tǒng)和信息資源的安全。
二���、信息安全風(fēng)險(xiǎn)管理的一般過(guò)程概況
至目前為止�����,信息安全風(fēng)險(xiǎn)管理沒(méi)有通用的管理方法、管理模式��。不同的標(biāo)準(zhǔn)有著各自的風(fēng)險(xiǎn)評(píng)估方法和管理流程,下面文章分析了一些主要的標(biāo)準(zhǔn)的風(fēng)險(xiǎn)管理方法�����。
1.英國(guó)的BS7799��,英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(BSI)頒布《信息安全管理實(shí)施細(xì)則》����,形成了BS7799的基礎(chǔ)。之后經(jīng)過(guò)改版成為國(guó)際標(biāo)準(zhǔn)����。BS7799提供了一個(gè)對(duì)組織有效進(jìn)行信息安全風(fēng)險(xiǎn)管理的公共基礎(chǔ),體現(xiàn)了信息安全的“三分技術(shù)�����,七分管理”的原則�。
2.AS/NZS4360:1999《風(fēng)險(xiǎn)管理指南》是澳大利亞和新西蘭兩個(gè)國(guó)家聯(lián)合開(kāi)發(fā)的風(fēng)險(xiǎn)管理標(biāo)準(zhǔn),第一版于1995年����,是在全世界內(nèi)制定最早、影響最大�����、并且被國(guó)際標(biāo)準(zhǔn)組織(ISO)的國(guó)家性風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)。
3.NIST SP800-30風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)��,是美國(guó)國(guó)家技術(shù)標(biāo)準(zhǔn)局(NIST)于2002年的信息技術(shù)風(fēng)險(xiǎn)管理指南����,風(fēng)險(xiǎn)管理包括三個(gè)過(guò)程:風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)緩解���、再評(píng)價(jià)及評(píng)估��。
此外��,有關(guān)風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)評(píng)估的理論和方法有許多����,比如微軟的The Security Risk Management Guide(《信息安全管理指南》)��,美國(guó)卡耐基?梅隆大學(xué)開(kāi)發(fā)的風(fēng)險(xiǎn)評(píng)估方法OCTIVE�,系統(tǒng)安全工程能力成熟度模型SSE-CMM(System Security Engineering Capability Maturity Model)等。還有許多企業(yè)或個(gè)人參考標(biāo)準(zhǔn)開(kāi)發(fā)的一些風(fēng)險(xiǎn)評(píng)估工具等����。
三、一種綜合的風(fēng)險(xiǎn)管理框架
近年來(lái)�����,許多學(xué)者指出需要建立一種綜合的信息安全風(fēng)險(xiǎn)管理的方法以減少傳統(tǒng)的風(fēng)險(xiǎn)管理方法的一些不足�����。文章提出一個(gè)綜合的信息安全風(fēng)險(xiǎn)管理的框架���,如圖1所示���。
框架將風(fēng)險(xiǎn)管理分為四個(gè)方面,四個(gè)角度�����,涵蓋了風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)評(píng)估的所有的內(nèi)容�。
框架的第一部分是標(biāo)準(zhǔn)規(guī)范,這是進(jìn)行風(fēng)險(xiǎn)評(píng)估的指導(dǎo)性文件��。
第二部分是工具技術(shù)����,包括數(shù)學(xué)的模型���、統(tǒng)計(jì)學(xué)的方法、相關(guān)的工具以及開(kāi)發(fā)的計(jì)算機(jī)軟件����,還有操作中的某些經(jīng)驗(yàn)等。
第三部分是過(guò)程步驟��,這是一個(gè)動(dòng)態(tài)的角度來(lái)分析風(fēng)險(xiǎn)管理���。將把信息安全風(fēng)險(xiǎn)管理分為風(fēng)險(xiǎn)規(guī)劃�����、風(fēng)險(xiǎn)識(shí)別���、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)決策����、風(fēng)險(xiǎn)實(shí)施、風(fēng)險(xiǎn)評(píng)價(jià)等六個(gè)階段�。
第四部分是風(fēng)險(xiǎn)管理的對(duì)象,企業(yè)組織中的人員�����、資產(chǎn)(主要指物理設(shè)備)和資產(chǎn)賴以存在的環(huán)境構(gòu)成了實(shí)體層��,企業(yè)的信息安全既要依靠技術(shù)�,更要注重管理,管理則主要體現(xiàn)于策略中����。而最終的目標(biāo)都是保證企業(yè)的核心業(yè)務(wù)能正常運(yùn)轉(zhuǎn),不會(huì)受到信息安全風(fēng)險(xiǎn)的影響����。各層內(nèi)部之間也存在著相互關(guān)系。在實(shí)體層如人力管理��、人員培訓(xùn)��,對(duì)資產(chǎn)的管理需要分類(lèi)分級(jí)別進(jìn)行����、要落實(shí)到人,資產(chǎn)設(shè)備的安全則有賴于周?chē)沫h(huán)境����,比如安全邊界的劃分����,電力�����、溫度濕度的保障等�����。而這些都含有策略因素��。此外����,環(huán)境包括硬環(huán)境和軟環(huán)境,軟環(huán)境的因素也部分影響著策略的選擇�,如相關(guān)的法律法規(guī)、相關(guān)的知識(shí)產(chǎn)權(quán)���、個(gè)人隱私權(quán)等也會(huì)影響組織的策略���,組織在制定策略時(shí)不能與之沖突。在管理層,策略與技術(shù)是相互補(bǔ)充的���,一些策略的實(shí)現(xiàn)離不開(kāi)技術(shù)���,比如不同層次的人員具有不同的訪問(wèn)控制權(quán)限,信息安全的保障也需要信息技術(shù)本身����。技術(shù)本身也需要一定的管理�。在目標(biāo)層,保持核心業(yè)務(wù)的連續(xù)性����,不受干擾是組織的目標(biāo)。因此需要不斷地進(jìn)行風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)評(píng)估�。
四、總結(jié)
信息安全對(duì)組織的重要性是不言而喻的�,對(duì)信息安全管理不僅是技術(shù)層面的問(wèn)題,更是管理層面的事件�����。本文給出的信息安全風(fēng)險(xiǎn)管理綜合框架涵蓋了風(fēng)險(xiǎn)管理的各個(gè)方面�,為企業(yè)的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理提供一些有益的幫助。
參考文獻(xiàn):
[1]BS 7799-1,Information Security Management. Code of Practice for Information Security Management System, British Standards Institute,1999.
[2]Australian/New Zealand Standard AN/NZS 4360:Risk Management[S].1999.
[3]NIST SP800-30, Risk Management Guide for Information Technology Systems[S].2002.
[4] Microsoft. The Security Risk Management Guide[S].2004.
[5]ISO/IEC TR 13335-1 Management of Information and Communications technology Security- -part1:Concepts and models of IT Security[S].1997.1.
篇3
構(gòu)建風(fēng)險(xiǎn)管理戰(zhàn)略
IT管理人員每天都會(huì)接到有關(guān)系統(tǒng)漏洞���、新軟件漏洞或新惡意代碼的警報(bào)�����,所有這些警報(bào)的安全級(jí)別很難一下子判斷出來(lái)����。因此,結(jié)果往往是 IT 人員不由自主地被這類(lèi)事務(wù)牽著鼻子走�,采取既耗時(shí)又費(fèi)力的行動(dòng),比如查漏洞�����、打補(bǔ)丁等�。然而,這些行動(dòng)不見(jiàn)能夠真正起到防護(hù)的作用�����。
安全風(fēng)險(xiǎn)管理可以為企業(yè)提供必要的流程來(lái)提高安全性和法規(guī)遵從性�。安全風(fēng)險(xiǎn)管理的實(shí)施離不開(kāi)CIO、IT 操作人員�����、網(wǎng)絡(luò)安全人員及業(yè)務(wù)主管人員的通力協(xié)作。由于有些系統(tǒng)和應(yīng)用程序更容易暴露在風(fēng)險(xiǎn)之中����,而IT部門(mén)無(wú)法獨(dú)自確定企業(yè)可承受的風(fēng)險(xiǎn)等級(jí)。因此�����,IT 和業(yè)務(wù)管理人員需要通力合作來(lái)幫助企業(yè)確定資產(chǎn)優(yōu)先級(jí)和最大限度地降低風(fēng)險(xiǎn)�����。
安全團(tuán)隊(duì)可以建立明智的風(fēng)險(xiǎn)管理戰(zhàn)略����,使有限的資源可以集中于應(yīng)對(duì)企業(yè)面臨的最大威脅�。任何公司都不會(huì)有足夠多的財(cái)力和人力用于完全消除其與 IT 相關(guān)的潛在風(fēng)險(xiǎn)。因此�,將所面臨的各種風(fēng)險(xiǎn)量化,然后據(jù)此確定安全投資的優(yōu)先順序勢(shì)所必然����。
新模型的三要素
為了量化風(fēng)險(xiǎn)并確定補(bǔ)救措施的優(yōu)先順序,目前業(yè)內(nèi)比較前沿的一個(gè)模型從三個(gè)方面測(cè)量風(fēng)險(xiǎn):資產(chǎn)價(jià)值、資產(chǎn)易受攻擊程度以及各種現(xiàn)實(shí)威脅�����。
資產(chǎn)價(jià)值:每分鐘需處理價(jià)值數(shù)千美元交易的服務(wù)器顯然要比客戶服務(wù)代表的桌面機(jī)更為重要�。因此,制定降低風(fēng)險(xiǎn)的明智戰(zhàn)略需要清楚了解整個(gè)企業(yè)中各類(lèi) IT 資產(chǎn)所代表的企業(yè)價(jià)值�����。
資產(chǎn)易受攻擊程度:除具有不同的企業(yè)價(jià)值外�,IT 資產(chǎn)存在其固有的不同程度的軟肋。提供公共網(wǎng)頁(yè)的系統(tǒng)比起根本就不連接到 Internet 的系統(tǒng)來(lái)���,肯定更容易受到攻擊����。鎖在配線櫥柜中的交換機(jī)要比距離公司安全數(shù)千英里遠(yuǎn)的膝上電腦更安全���。
現(xiàn)實(shí)威脅:安全團(tuán)隊(duì)還必須清楚了解任何現(xiàn)有資產(chǎn)所面臨的各種現(xiàn)實(shí)威脅���。雖然運(yùn)行在舊式系統(tǒng)上的舊應(yīng)用程序可能對(duì)公司具有很高的價(jià)值,但它們受威脅的可能性會(huì)更小一些��,因此對(duì)公司來(lái)說(shuō),它們所面臨的風(fēng)險(xiǎn)可能要比運(yùn)行在 Windows 或 Linux 上的應(yīng)用程序所面臨的風(fēng)險(xiǎn)要小很多����。
篇4
中圖分類(lèi)號(hào):TP309 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9416(2016)11-0209-01
目前,世界各國(guó)經(jīng)濟(jì)都在迅速發(fā)展�,經(jīng)濟(jì)全球化的進(jìn)程逐漸加快,伴隨著經(jīng)濟(jì)的推進(jìn)����,尖端科技迅猛發(fā)展。因此�,電腦逐漸走進(jìn)了各家各戶,移動(dòng)互聯(lián)正在改變?nèi)藗兊纳罘绞?���。?jì)算機(jī)網(wǎng)絡(luò)技術(shù)的優(yōu)越性使得人們對(duì)計(jì)算機(jī)網(wǎng)絡(luò)愈來(lái)愈“信賴”。然而隨之產(chǎn)生的便是用戶的網(wǎng)絡(luò)信息泄露事件�����。計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題已經(jīng)受到了更多人的重視�。所以��,對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)管理方法的研究有著鮮明的現(xiàn)實(shí)意義�����。
1 信息系統(tǒng)安全風(fēng)險(xiǎn)管理方法研究
隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不突破何如普及,極大的方便著人們的生活和學(xué)習(xí)��,而且正在慢慢的改變?nèi)藗兊纳罘绞?����。目前�����,?jì)算機(jī)網(wǎng)絡(luò)技術(shù)已經(jīng)被應(yīng)用到軍事科技當(dāng)中�����,中增強(qiáng)著我國(guó)國(guó)防力量���。使得未來(lái)戰(zhàn)爭(zhēng)真正的實(shí)現(xiàn)“兵不血刃”����。與此同時(shí)���,信息系統(tǒng)的安全問(wèn)題會(huì)“威脅”著國(guó)家的經(jīng)濟(jì)建設(shè)��,和國(guó)防建設(shè)����。所以這一切都表明了信息系統(tǒng)安全問(wèn)題是一個(gè)國(guó)家安全建設(shè)的基礎(chǔ),是國(guó)家社會(huì)發(fā)展和建設(shè)的保障���。而信息系統(tǒng)的安全成為了信息化革命的基本�����。甚至可以說(shuō)�,信息系統(tǒng)安全問(wèn)題關(guān)系著國(guó)家安全����,民族發(fā)展是全人民的的頭等大事。信息系統(tǒng)安全計(jì)劃建設(shè)是了一個(gè)國(guó)家和民族的戰(zhàn)略性目標(biāo)�,已經(jīng)是不爭(zhēng)的事實(shí)。
2 信息系統(tǒng)的信息安全現(xiàn)狀
當(dāng)今社會(huì)信息系統(tǒng)安全問(wèn)題不容樂(lè)觀�����,信息系統(tǒng)面臨著嚴(yán)峻的安全風(fēng)險(xiǎn)����。根據(jù)調(diào)查來(lái)看,每年的重大信息系統(tǒng)安全事件正在逐年增加��。信息系統(tǒng)安全問(wèn)題主要包含以下兩大方面:一是由于現(xiàn)今科技技術(shù)的不完善性和局限性��,使得信息系統(tǒng)在構(gòu)建之初便存在著漏洞�,導(dǎo)致信息系統(tǒng)“脆弱”。二是現(xiàn)實(shí)社會(huì)中的各種經(jīng)濟(jì)斗爭(zhēng)和利益斗爭(zhēng)�����,使得原本的信息系統(tǒng)漏洞被“開(kāi)發(fā)利用”�����。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)是一個(gè)復(fù)雜的大系統(tǒng)����,它是由眾多的代碼、硬件����、軟件、協(xié)議所共同組成�����。在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不完善和設(shè)計(jì)人員思想局限性的前提下,使得信息安全系統(tǒng)在構(gòu)建的時(shí)候會(huì)出現(xiàn)不可避免的漏洞�。例如,計(jì)算機(jī)網(wǎng)絡(luò)中一個(gè)操作系統(tǒng)需要幾千幾萬(wàn)的代碼組成��,甚至更多�����。為滿足用戶的各種需要�����,設(shè)計(jì)的技術(shù)復(fù)雜性逐漸增多��。據(jù)調(diào)查在繁瑣的計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)時(shí)��,很可能一千行代碼中便會(huì)存在一個(gè)錯(cuò)誤����。因此,信息系統(tǒng)的漏洞越來(lái)越多��,越來(lái)越嚴(yán)重���。另一方面���,“黑客”作為一種“文化現(xiàn)象”一直伴隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展而發(fā)展。并且隨著人們之間的利益沖突不斷加劇����,使得黑客的惡意攻擊事件愈演愈劣。此外���,根據(jù)調(diào)查顯示���,在攻擊技術(shù)復(fù)雜的計(jì)算機(jī)網(wǎng)絡(luò)時(shí),黑客相對(duì)應(yīng)需要的知識(shí)卻越來(lái)越少[1]�����。
3 信息系統(tǒng)風(fēng)險(xiǎn)管理的目的和作用
信息系統(tǒng)安全是目前全世界所面臨的重大問(wèn)題�����。雖然���,信息安全問(wèn)題具有著普遍性�,但是同時(shí)因?yàn)樗奶厥庑裕沟梦覀儾坏貌恢匾?����。信息系統(tǒng)的安全管理已經(jīng)不再是“0”和“1”之間的問(wèn)題�。我們不斷的探索,為了找到一個(gè)更好的信息系統(tǒng)安全管理方法��。我們希望新的信息系統(tǒng)安全管理方法可以改變現(xiàn)今網(wǎng)絡(luò)安全的現(xiàn)狀����,并且讓更多的人可以更好的享受計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)帶來(lái)的方便。計(jì)算機(jī)網(wǎng)絡(luò)在人們的生活和學(xué)習(xí)中有著重要的的作用���,在國(guó)家建設(shè)上有著重要的地位��,信息系統(tǒng)的安全管理的研究�,我們旨在便利更多的人民群眾����,更好的建設(shè)國(guó)家,為祖國(guó)的建設(shè)作出貢獻(xiàn)���。我們要做到防患于未然�����,讓國(guó)家和人民免于信息系統(tǒng)安全問(wèn)題的威脅�����。由此我們可以得出這樣的結(jié)論:風(fēng)險(xiǎn)管理是信息系統(tǒng)安全管理方法的新模式����,而最佳的信息系統(tǒng)安全保障方法就是對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)管理�����。
4 信息系統(tǒng)風(fēng)險(xiǎn)管理的趨勢(shì)
縱觀世界��,信息系統(tǒng)安全風(fēng)險(xiǎn)管理的經(jīng)歷了技術(shù)��,技術(shù)與管理相結(jié)合的階段��。當(dāng)前���,在信息安全保障意識(shí)的前提下��,還在不斷的深入完善��。如何將傳統(tǒng)的風(fēng)險(xiǎn)管理理論和實(shí)際相結(jié)合并更好的應(yīng)用于信息安全管理領(lǐng)域��,是全世界面臨的一個(gè)尚未解決的問(wèn)題。
5 信息安全風(fēng)險(xiǎn)管理理論基礎(chǔ)
信息安全風(fēng)險(xiǎn)管理研究的理論基礎(chǔ)大的方面是國(guó)家規(guī)定的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)管理法則,和現(xiàn)今的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)����。小的方面是現(xiàn)今信息系統(tǒng)所具有的保密性、完整性�、可用性�、脆弱性。以及網(wǎng)絡(luò)信息系統(tǒng)面臨的威脅[2]����。
6 網(wǎng)絡(luò)信息系統(tǒng)風(fēng)險(xiǎn)管理的ISISRM管理方法
6.1 ISISRM方法的基本思想
ISISRM方法體現(xiàn)的是“定制”思想,它具有較強(qiáng)的開(kāi)放性��,在識(shí)別風(fēng)險(xiǎn)因素并進(jìn)行解決的同時(shí)�,它不會(huì)拘泥于單一的解決方法。它可以使風(fēng)險(xiǎn)管理過(guò)程和用戶使用目的緊密集合結(jié)合在一起����,并且在風(fēng)險(xiǎn)評(píng)估時(shí)采用了“適度量化”的原則。在ISISRM方法的我研究中引用了經(jīng)濟(jì)管理學(xué)的知識(shí)��,它將不再只解決信息安全問(wèn)題�,而是從用戶的角度上來(lái)說(shuō)變成了一種“投資”行為[3]����。
6.2 ISISRM方法的管理周期
按照ISISRM的設(shè)計(jì)邏輯��,ISISRM的管理周期分為風(fēng)險(xiǎn)管理準(zhǔn)備階段����、信息安全風(fēng)險(xiǎn)因素識(shí)別階段、信息安全風(fēng)險(xiǎn)分析和評(píng)估階段�、信息系統(tǒng)安全保障分析階段����、信息系統(tǒng)安全決策階段、信息安全風(fēng)險(xiǎn)動(dòng)態(tài)監(jiān)控階段���。
7 結(jié)語(yǔ)
計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)迅速發(fā)展����,加速了社會(huì)信息化的進(jìn)程��,使得人文建設(shè)與信息系統(tǒng)關(guān)系日益“親密”����,但是隨之而來(lái)的信息安全問(wèn)題值得引起我們的重視���,并讓我們花費(fèi)人力和物力進(jìn)行解決,它時(shí)刻的威脅著我們社會(huì)主義人文建設(shè)�����。所以我們應(yīng)該運(yùn)用ISISRM這樣的風(fēng)險(xiǎn)安全方法進(jìn)行信息系統(tǒng)安全的維護(hù)和改善���。
參考文獻(xiàn)
篇5
(二)信息安全風(fēng)險(xiǎn)形式嚴(yán)峻��。我國(guó)銀行業(yè)面臨的信息安全風(fēng)險(xiǎn)相較于其他行業(yè)來(lái)說(shuō)比較嚴(yán)峻�����,銀行系統(tǒng)的開(kāi)放性和電子商務(wù)數(shù)量和規(guī)模的大幅度增長(zhǎng)使得其受到攻擊的可能性大幅度上升���。銀行在發(fā)展的過(guò)程中為了更大程度地滿足客戶的需求,往往對(duì)信息技術(shù)存在著嚴(yán)重的依賴�����,使得信息系統(tǒng)受到木馬攻擊��、病毒侵害和釣魚(yú)網(wǎng)站危害的可能性大大增加���。
二�����、銀行信息安全風(fēng)險(xiǎn)管理的建議
(一)銀行要重視信息安全風(fēng)險(xiǎn)識(shí)別體系的構(gòu)建��。信息安全風(fēng)險(xiǎn)識(shí)別是一項(xiàng)系統(tǒng)的工程�����,銀行要想及時(shí)��、完整地識(shí)別出其在生產(chǎn)經(jīng)營(yíng)過(guò)程中的風(fēng)險(xiǎn)��,就必須重視信息安全風(fēng)險(xiǎn)管理識(shí)別體系的建設(shè)��,從起點(diǎn)上提升系統(tǒng)的整體安全系數(shù)標(biāo)準(zhǔn)��。銀行要定期對(duì)信息安全風(fēng)險(xiǎn)管理體系的可靠性進(jìn)行評(píng)估��,嚴(yán)格按照全面風(fēng)險(xiǎn)管理的原則對(duì)風(fēng)險(xiǎn)進(jìn)行識(shí)別和應(yīng)對(duì)�����。
(二)銀行要建立重大信息安全風(fēng)險(xiǎn)預(yù)警和應(yīng)急方案����。重大信息安全風(fēng)險(xiǎn)預(yù)警和應(yīng)急方案能使得銀行的信息風(fēng)險(xiǎn)保持在可控的范圍之內(nèi),在新的金融時(shí)期�����,完善的銀行信息安全應(yīng)急方案給金融系統(tǒng)的穩(wěn)定上了一層重要的保險(xiǎn)�。完善的銀行信息安全風(fēng)險(xiǎn)預(yù)警和應(yīng)急方案是一種事前控制措施,是銀行信息安全風(fēng)險(xiǎn)管理的重要舉措����。
(三)國(guó)家要加大銀行信息安全犯罪的懲治力度。國(guó)家相關(guān)職能部門(mén)應(yīng)該加大力度對(duì)信息安全犯罪進(jìn)行打擊��。相關(guān)部門(mén)應(yīng)該從根本上對(duì)這種犯罪進(jìn)行嚴(yán)肅管理���,將常規(guī)化管理落實(shí)下去,堅(jiān)決杜絕形式化管理����,一旦發(fā)現(xiàn)問(wèn)題要給予嚴(yán)厲的懲罰。對(duì)于銀行信息安全的重大犯罪要嚴(yán)懲不貸�,對(duì)網(wǎng)絡(luò)金融犯罪要高壓打擊。這樣整個(gè)銀行系統(tǒng)才會(huì)意識(shí)到信息安全風(fēng)險(xiǎn)管理的重要性��,注重維護(hù)自身的信息安全。
篇6
【關(guān)鍵詞】商業(yè)銀行 信息安全 風(fēng)險(xiǎn)管理 體系構(gòu)架
在我國(guó)加入世貿(mào)組織后�,在市場(chǎng)經(jīng)濟(jì)的影響下逐步形成一個(gè)與全球經(jīng)濟(jì)同步的開(kāi)放整體,我國(guó)很多商業(yè)銀行都開(kāi)始設(shè)立國(guó)外分行�,同時(shí),國(guó)外銀行也在不斷開(kāi)拓國(guó)內(nèi)市場(chǎng)����,這就表明,我國(guó)商業(yè)銀行信息系統(tǒng)安全隱患也將由國(guó)內(nèi)范圍加深到世界范圍�。這時(shí)候,應(yīng)該從分析了解我國(guó)商業(yè)銀行信息系統(tǒng)特性著手�����,準(zhǔn)備把握我國(guó)商業(yè)銀行信息系統(tǒng)的安全風(fēng)險(xiǎn)信息�����,也可借鑒國(guó)外已經(jīng)成熟了的銀行信息系統(tǒng)安全管理體制�����,再根據(jù)本行的信息安全系統(tǒng)的特點(diǎn)��,構(gòu)建并完善我國(guó)商業(yè)銀行信息系統(tǒng)安全風(fēng)險(xiǎn)管理體制��,及時(shí)防范并有效降低我國(guó)商業(yè)銀行信息的安全損害�����,確保我國(guó)商業(yè)銀行的信息安全��,已經(jīng)成為我國(guó)金融機(jī)構(gòu)熱議的話題�,必須引起銀行以及監(jiān)督管理機(jī)構(gòu)的重視。
1 我國(guó)商業(yè)銀行信息安全風(fēng)險(xiǎn)管理現(xiàn)狀
1.1 信息安全與風(fēng)險(xiǎn)管理
廣義上來(lái)說(shuō)���,信息安全是在特定社會(huì)背景下�����,國(guó)家為維護(hù)自身信息安全��、低于國(guó)外信息威脅利用信息安全的通訊技術(shù)���、網(wǎng)絡(luò)IT技術(shù)的一種能力。從狹義上來(lái)講���,信息安全就是信息內(nèi)容不被隨意泄漏和改變�,信息體統(tǒng)不受威脅與攻擊。當(dāng)前����,風(fēng)險(xiǎn)管理已經(jīng)在國(guó)際上越來(lái)越廣泛地被運(yùn)用,有效的風(fēng)險(xiǎn)管理不但可以削減企業(yè)經(jīng)營(yíng)風(fēng)險(xiǎn)�����,還能夠在企業(yè)決策上提供一定的支持�����,保障企業(yè)的可持續(xù)發(fā)展����。所以,風(fēng)險(xiǎn)管理有非常巨大的存在意義�����。風(fēng)險(xiǎn)管理是信息安全的基本觀念��。目前����,普遍認(rèn)為信息安全是識(shí)別信息系統(tǒng)風(fēng)險(xiǎn),并能夠采取相應(yīng)措施不斷完善信息系統(tǒng)的一個(gè)過(guò)程�����。
1.2 網(wǎng)絡(luò)風(fēng)險(xiǎn)
在管理商業(yè)銀行信息系統(tǒng)時(shí)�,一定要非常謹(jǐn)慎的對(duì)待風(fēng)險(xiǎn)管理過(guò)程。在評(píng)估風(fēng)險(xiǎn)時(shí)�,可能會(huì)發(fā)現(xiàn)網(wǎng)絡(luò)被沒(méi)有被充分的保護(hù),需要增加一些軟件���、硬件或者是加強(qiáng)安全管理意識(shí)等進(jìn)行充分保護(hù)����。網(wǎng)絡(luò)安全能夠平衡銀行業(yè)務(wù)����、客戶功能和速度。要證明減少某些操作是無(wú)誤的�����,比如關(guān)閉Active�����,該行為的發(fā)生必須在能夠保證銀行業(yè)務(wù)和用戶在一個(gè)安全的環(huán)境下。企業(yè)最高決策機(jī)構(gòu)必須時(shí)刻強(qiáng)調(diào)時(shí)刻注意企業(yè)的安全�����,以風(fēng)險(xiǎn)管理為原則不斷識(shí)別企業(yè)網(wǎng)絡(luò)存在的安全隱患�,能準(zhǔn)確判斷網(wǎng)絡(luò)容易受到攻擊地方,并能夠從根本上加強(qiáng)保護(hù)�。風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的基礎(chǔ),主要根據(jù)三個(gè)步驟來(lái)實(shí)現(xiàn)風(fēng)險(xiǎn)評(píng)估:
1.2.1 網(wǎng)絡(luò)價(jià)值的判斷
一定要從銀行的有形資產(chǎn)和無(wú)形資產(chǎn)兩方面考慮來(lái)評(píng)估商業(yè)銀行的網(wǎng)絡(luò)價(jià)值�����。比如�,在系統(tǒng)出現(xiàn)故障的時(shí)候,要考慮到該故障會(huì)對(duì)企業(yè)的財(cái)政收入造成的影響����;在網(wǎng)絡(luò)出現(xiàn)故障時(shí),要考慮修復(fù)網(wǎng)絡(luò)需要花費(fèi)的人力��、物力成本��,重建網(wǎng)絡(luò)信息要消耗的資金����;在商業(yè)銀行網(wǎng)絡(luò)中有重要信息被泄漏��,要考慮到整個(gè)公司的財(cái)政將會(huì)受到多大的影響。
1.2.2 定義威脅
商業(yè)銀行的網(wǎng)絡(luò)和網(wǎng)絡(luò)數(shù)據(jù)經(jīng)常會(huì)很容易被內(nèi)外部環(huán)境的威脅攻擊�。所以,了解每種類(lèi)型的威脅是非常必要的����,還要盡可能多的鑒別可能存在的威脅。目前�����,很多管理網(wǎng)絡(luò)的人員都并不能清楚理解環(huán)境自身的威脅�。內(nèi)部威一般很常見(jiàn)也很容易定義、識(shí)別�。外部威脅就相對(duì)較難定義,首先要做的是判斷破壞機(jī)密文件的以未授權(quán)方式的患者記錄或者信用卡號(hào)��?�?赡苁瞧髽I(yè)的競(jìng)爭(zhēng)對(duì)手為了找到銀行客戶資料��,也可能是為了改變銀行的數(shù)據(jù)并破壞數(shù)據(jù)的可用性的黑客所為��;準(zhǔn)確判斷網(wǎng)絡(luò)容易受攻擊的地方��。安全弱點(diǎn)就是已經(jīng)被識(shí)別的威脅,按等級(jí)分類(lèi)所識(shí)別的威脅:威脅的關(guān)注度�、威脅的可行性。
1.2.3 設(shè)定方案
如何執(zhí)行一個(gè)安全的解決方案是網(wǎng)絡(luò)風(fēng)險(xiǎn)管理過(guò)程中的最后一步���。該方案需要從以下幾方面著手:加強(qiáng)客戶以及網(wǎng)絡(luò)管理人員的安全防范意識(shí)��;改變并創(chuàng)新網(wǎng)絡(luò)結(jié)構(gòu)����;穩(wěn)固安全硬件�;關(guān)閉銀行中有安全威脅的并不常用或者根本就不需要的測(cè)試、服務(wù)以及補(bǔ)丁程序����。
網(wǎng)絡(luò)風(fēng)險(xiǎn)主要表現(xiàn)在這幾個(gè)方面:安全性風(fēng)險(xiǎn)、網(wǎng)絡(luò)故障風(fēng)險(xiǎn)���、法律媒體風(fēng)險(xiǎn)���。防范網(wǎng)絡(luò)風(fēng)險(xiǎn)需要對(duì)網(wǎng)絡(luò)安全進(jìn)行風(fēng)險(xiǎn)評(píng)估,建立網(wǎng)絡(luò)安全管理構(gòu)架�����,最后制定一系列安全防范措施。評(píng)估風(fēng)險(xiǎn)首先需要企業(yè)內(nèi)部專(zhuān)門(mén)的網(wǎng)絡(luò)安全管理人員分析并診斷企業(yè)網(wǎng)絡(luò)安全的狀況��,然后從管理與技術(shù)兩個(gè)方面探討研究網(wǎng)絡(luò)安全問(wèn)題的存在����。網(wǎng)絡(luò)安全管理體系架構(gòu)需要考慮到的網(wǎng)絡(luò)風(fēng)險(xiǎn)的幾個(gè)方面:通過(guò)完善網(wǎng)絡(luò)設(shè)備性能��、提高網(wǎng)絡(luò)承受力���、先進(jìn)傳輸技術(shù)的引進(jìn)以及定期核查網(wǎng)絡(luò)設(shè)備的方式來(lái)避免網(wǎng)絡(luò)故障風(fēng)險(xiǎn)�����;通過(guò)加強(qiáng)宣傳并提高社會(huì)成員法律安全意思制定一定的法律條款來(lái)防范法律媒體風(fēng)險(xiǎn)����;通過(guò)增加設(shè)立持續(xù)不斷的電源�����、增加投保企業(yè)保險(xiǎn)�、加強(qiáng)網(wǎng)絡(luò)機(jī)器安全管理等方法來(lái)避免網(wǎng)絡(luò)安全風(fēng)險(xiǎn)中如斷電、火災(zāi)等的自然風(fēng)險(xiǎn)�����。針對(duì)網(wǎng)絡(luò)自身的風(fēng)險(xiǎn)以及網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn),需要遵循一定的有限級(jí)有條理有選擇的來(lái)解決來(lái)自數(shù)據(jù)�、應(yīng)用、系統(tǒng)���、網(wǎng)絡(luò)的信息安全問(wèn)題�����。利用防火墻技術(shù)���、安全監(jiān)督體制、IT設(shè)計(jì)工具�、VNP設(shè)備、數(shù)據(jù)加密技術(shù)以及數(shù)字簽名等技術(shù)保障網(wǎng)絡(luò)風(fēng)險(xiǎn)的最小化���,并制定符合法律規(guī)則的有一定安全標(biāo)準(zhǔn)的全面完善的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理體制�����。
1.3 外包業(yè)務(wù)風(fēng)險(xiǎn)
當(dāng)前����,我國(guó)商業(yè)銀行中有一大部分的銀行屬于中小型銀行,在資金水平以及信息技術(shù)能力的限制下�����,缺乏獨(dú)立的信息系統(tǒng)開(kāi)發(fā)能力�,只有通過(guò)業(yè)務(wù)的外包來(lái)滿足銀行信息系統(tǒng),導(dǎo)致大量的銀行核心代碼分散到外包公司信息系統(tǒng)中��。如果商業(yè)銀行在這種情況下沒(méi)有謹(jǐn)慎對(duì)待外包商���、依據(jù)法律條款簽訂相應(yīng)的協(xié)議、明確協(xié)議雙方的職責(zé)�����,那么���,銀行信息系統(tǒng)的信息安全以及系統(tǒng)業(yè)務(wù)的可持續(xù)性將會(huì)受到加大的威脅�����。與此同時(shí)���,在銀行維護(hù)信息系統(tǒng)的時(shí)候����,外包公司審核的不夠嚴(yán)謹(jǐn)����,沒(méi)能積極修復(fù)系統(tǒng)漏洞、優(yōu)化信息系統(tǒng)�,也會(huì)威脅到銀行信息系統(tǒng)的安全。銀行在與外包公司簽訂合同協(xié)議的時(shí)候����,如果沒(méi)有做好協(xié)議數(shù)據(jù)保密工作、外包公司蓄意泄密或者轉(zhuǎn)包服務(wù)等情況���,都會(huì)產(chǎn)生信息安全風(fēng)險(xiǎn)���,甚至?xí)o銀行帶來(lái)銷(xiāo)毀性的打擊。
2 我國(guó)商行銀行信息安全風(fēng)險(xiǎn)管理體系架構(gòu)
我國(guó)商業(yè)銀行存在一定信息安全風(fēng)險(xiǎn)是必然的���,即使不能避免和杜絕這種風(fēng)險(xiǎn)��,也要采取相應(yīng)的措施最大程度的控制���、削減����、化解風(fēng)險(xiǎn)的發(fā)生頻率�。我國(guó)商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系架構(gòu)主要從技術(shù)、運(yùn)作以及管理組織平臺(tái)三方面設(shè)計(jì)���。
2.1 管理組織平臺(tái)
風(fēng)險(xiǎn)管理組織平臺(tái)處于我國(guó)商行銀行信息安全風(fēng)險(xiǎn)管理體系的最高層�,為整個(gè)管理體系提供策略性的引導(dǎo)����。主要從商業(yè)銀行信息安全風(fēng)險(xiǎn)管理的制度與策略、管理人才以及組織機(jī)構(gòu)三方面著手�����。
2.2 運(yùn)行平臺(tái)
我國(guó)商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系的中間部分就是風(fēng)險(xiǎn)管理的運(yùn)行平臺(tái)�����,也是商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系的核心與主體部分�。風(fēng)險(xiǎn)運(yùn)行的整個(gè)過(guò)程包含了風(fēng)險(xiǎn)的識(shí)別��、評(píng)估以及應(yīng)對(duì)等諸多活動(dòng),著重體現(xiàn)一種風(fēng)險(xiǎn)管理持續(xù)完善的理念�����。該過(guò)程依據(jù)PDCA模式�,嚴(yán)格按照計(jì)劃、實(shí)施��、改進(jìn)的管理模式管理商業(yè)銀行信息安全風(fēng)險(xiǎn)�,持續(xù)完善商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系架構(gòu),有利于銀行創(chuàng)建良好的安全的信息環(huán)境��。
2.3 技術(shù)平臺(tái)
商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系的最底層便是風(fēng)險(xiǎn)管理的技術(shù)平臺(tái)�。技術(shù)平臺(tái)為運(yùn)行與組織平臺(tái)的創(chuàng)建和實(shí)施提供有力的技術(shù)支持,也為我國(guó)商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系提供了安全性技術(shù)保障���。從時(shí)效上將技術(shù)平臺(tái)分為預(yù)防����、實(shí)時(shí)跟蹤以及事后恢復(fù)三大技術(shù)����。
我國(guó)商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系架構(gòu)主要從技術(shù)平臺(tái)、運(yùn)行平臺(tái)�����、組織平臺(tái)三方面的構(gòu)建組成。風(fēng)險(xiǎn)管理組織平臺(tái)的構(gòu)建是我國(guó)商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系的重要組成部分����,為整個(gè)管理體系提供策略性的引導(dǎo);風(fēng)險(xiǎn)管理運(yùn)行平臺(tái)的構(gòu)建是我國(guó)商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系的核心組成部分�����,風(fēng)險(xiǎn)管理的運(yùn)行過(guò)程嚴(yán)格遵循PDCA的循環(huán)定律�。通過(guò)資產(chǎn)、威脅��、脆弱性三方面的評(píng)估形成對(duì)應(yīng)的資產(chǎn)����、威脅、脆弱性信息�,為滿足銀行業(yè)務(wù)的需求���,可以采取轉(zhuǎn)移風(fēng)險(xiǎn)法���、規(guī)避風(fēng)險(xiǎn)法、接受風(fēng)險(xiǎn)法以及消減風(fēng)險(xiǎn)法加以應(yīng)對(duì)我國(guó)商業(yè)銀行信息安全風(fēng)險(xiǎn)。具體利用數(shù)字加密技術(shù)�、身份認(rèn)證技術(shù)、控制訪問(wèn)技術(shù)��、檢測(cè)入侵技術(shù)��、數(shù)據(jù)備份以及恢復(fù)技術(shù)為我國(guó)商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系的構(gòu)架提供安全有力的技術(shù)支持��。
在我國(guó)商行銀行信息安全風(fēng)險(xiǎn)管理體系基本構(gòu)建完成后���,還需要對(duì)該體系做出評(píng)審�����、改建意見(jiàn)以及相關(guān)說(shuō)明等后期工作�。該后期工作的主要內(nèi)容包括內(nèi)部審計(jì)���、外部審計(jì)以及文件管理����。需要注意的是�����,在審計(jì)過(guò)程中,常常會(huì)遇到銀行信息系統(tǒng)中的大量的銘感信息�,假若不能夠正確處理審計(jì)過(guò)程中遇到的銀行敏感信息將會(huì)給銀行的信息安全帶來(lái)不可忽視的威脅,所以���,加強(qiáng)嚴(yán)格管理與控制我國(guó)商業(yè)銀行的外部審計(jì)是我國(guó)商業(yè)銀行當(dāng)前面臨的一項(xiàng)刻不容緩的任務(wù)�。銀行最高決策機(jī)構(gòu)應(yīng)該依據(jù)法律制度�,設(shè)計(jì)出相應(yīng)的整改方案,并定期實(shí)施有效方案�,提高我國(guó)商業(yè)銀行信息的安全度,保障我國(guó)商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系的成功構(gòu)建�。
3 結(jié)束語(yǔ)
信息在網(wǎng)絡(luò)信息迅速發(fā)展的背景下已經(jīng)成為一項(xiàng)可貴的必不可少的資源。一般來(lái)講����,掌握的信息越多、越準(zhǔn)確就越有取勝以及權(quán)威的先機(jī)���。信息對(duì)于我國(guó)商業(yè)銀行這樣一個(gè)特別的行業(yè)更是非常重要����。在商業(yè)銀行網(wǎng)絡(luò)與業(yè)務(wù)規(guī)模不斷擴(kuò)大的背景下�����,我國(guó)商業(yè)銀行在信息安全保護(hù)方面面臨嚴(yán)峻的考驗(yàn)���,所以���,保障商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系的安全已經(jīng)成為目前金融行業(yè)重要的使命。
參考文獻(xiàn)
篇7
[概述]: 隨著企業(yè)網(wǎng)絡(luò)的不斷擴(kuò)大��,越來(lái)越多的安全威脅在影響著企業(yè)的安全狀況����,近兩年,熊貓燒香�、conficter蠕蟲(chóng),都給企業(yè)帶來(lái)了大量的安全損失�����,然而�����,解決企業(yè)的信息安全問(wèn)題�,不能單獨(dú)從某一個(gè)方面入手,最好的解決方案應(yīng)該是從整體上降低信息安全風(fēng)險(xiǎn)�����。
國(guó)際上傳統(tǒng)的風(fēng)險(xiǎn)管理流程較為概略,在中國(guó)特有的網(wǎng)絡(luò)環(huán)境中也比較缺乏可實(shí)施性����,本文將會(huì)針對(duì)中國(guó)IT環(huán)境的建設(shè)過(guò)程,遵循一定信息安全系統(tǒng)建設(shè)規(guī)律�,考慮到各個(gè)信息安全產(chǎn)品之間的整合和聯(lián)動(dòng),形成一個(gè)完善的動(dòng)態(tài)信息安全風(fēng)險(xiǎn)管理體系��,讓國(guó)際標(biāo)準(zhǔn)在中國(guó)的IT環(huán)境中得以實(shí)現(xiàn)���。
1.IT系統(tǒng)信息安全建設(shè)的現(xiàn)狀
傳統(tǒng)的信息安全建設(shè)網(wǎng)網(wǎng)局限于防御系統(tǒng)的建設(shè)�,企業(yè)不斷的在投入資金����,購(gòu)買(mǎi)各種各樣的硬件設(shè)備和軟件系統(tǒng),主要的功能集中在抵御各類(lèi)安全威脅�����,其中包括:終端防病毒系統(tǒng)��、終端安全管理系統(tǒng)、防火墻����、入侵防御設(shè)備��、Web防護(hù)類(lèi)設(shè)備���,入侵檢測(cè)等等���。采用這樣的信息安全產(chǎn)品能夠取得一些效果,但是往往造成信息安全系統(tǒng)比較被動(dòng)�����,不能夠主動(dòng)的發(fā)現(xiàn)安全風(fēng)險(xiǎn)����,及時(shí)的降低安全風(fēng)險(xiǎn)。
(1)經(jīng)常采用的信息安全產(chǎn)品我們?cè)谛畔踩ㄔO(shè)的初級(jí)階段����,經(jīng)常采購(gòu)的信息安全產(chǎn)品包括:
l防病毒:在終端部署的企業(yè)防病毒產(chǎn)品,檢測(cè)和查殺各類(lèi)病毒���;
l防火墻(Firewall):訪問(wèn)控制設(shè)備����,幫助建立基本的企業(yè)網(wǎng)絡(luò)安全邊界;
lWeb Cache設(shè)備:部署在外部網(wǎng)絡(luò)��,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)訪問(wèn)的緩存�,提升訪問(wèn)速度;
l負(fù)載均衡:對(duì)網(wǎng)絡(luò)訪問(wèn)性能進(jìn)行調(diào)控��,保證網(wǎng)絡(luò)負(fù)載均衡���;
l郵件安全網(wǎng)關(guān):實(shí)時(shí)檢測(cè)和過(guò)濾各類(lèi)病毒郵件及垃圾郵件���;
l入侵檢測(cè)和防御系統(tǒng):檢測(cè)網(wǎng)絡(luò)數(shù)據(jù),對(duì)網(wǎng)絡(luò)內(nèi)部的各類(lèi)攻擊行為進(jìn)行報(bào)警�;
部署的安全設(shè)備能夠起到一定的安全防護(hù)功能,但是隨著安全威脅的不斷變化和發(fā)展���,現(xiàn)有的安全機(jī)制已經(jīng)難以滿足目前的信息安全需求��,我們需要主動(dòng)地控制安全風(fēng)險(xiǎn)����,才能夠在不斷復(fù)雜的安全環(huán)境中確保企業(yè)網(wǎng)絡(luò)的安全。��。
(2)普遍意義上的安全風(fēng)險(xiǎn)管理信息安全風(fēng)險(xiǎn)管理的本質(zhì)�����,可以看作是動(dòng)態(tài)地對(duì)信息安全風(fēng)險(xiǎn)的管理�����,即要實(shí)現(xiàn)對(duì)信息和信息系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行有效評(píng)估���、分析、控制和管理���。在ISO標(biāo)準(zhǔn)當(dāng)中��,已經(jīng)給出了一個(gè)非常經(jīng)典的安全風(fēng)險(xiǎn)模型�,如下圖:
也就是說(shuō)����,只有企業(yè)具有了信息化的核心資產(chǎn)(比如有很重要的數(shù)據(jù)保存在服務(wù)器上),這些資產(chǎn)存在弱點(diǎn)和漏洞(比如微軟操作系統(tǒng)的漏洞)�����,又存在被損害的可能(比如病毒、黑客攻擊等等)��,才可能給企業(yè)造成損失���。因此��,企業(yè)的安全風(fēng)險(xiǎn)和這三個(gè)方面相關(guān)���,企業(yè)也只有同時(shí)管理好這三個(gè)方面,才可能真正的確保網(wǎng)絡(luò)安全���。
而傳統(tǒng)的安全產(chǎn)品(如前所述)��,只是去抵御安全威脅�,卻忽視了資產(chǎn)的重要性和對(duì)漏洞的管理����。。更加不可能實(shí)現(xiàn)多安全風(fēng)險(xiǎn)的準(zhǔn)確評(píng)估和動(dòng)態(tài)管理����。
(3)風(fēng)險(xiǎn)管理流程既然要降低安全風(fēng)險(xiǎn)��,我們就需要一個(gè)成熟的流程來(lái)對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行管理和控制��,一般的安全風(fēng)險(xiǎn)管理流程如下:
l識(shí)別風(fēng)險(xiǎn):準(zhǔn)確識(shí)別網(wǎng)絡(luò)中存在的安全風(fēng)險(xiǎn)���;
l分析風(fēng)險(xiǎn):通過(guò)定性或者定量的方法確定現(xiàn)存的安全風(fēng)險(xiǎn)是否需要消除;
l消除風(fēng)險(xiǎn):通過(guò)有效的手段降低安全風(fēng)險(xiǎn)�;
l監(jiān)控風(fēng)險(xiǎn):監(jiān)控安全風(fēng)險(xiǎn)的變化,做到對(duì)風(fēng)險(xiǎn)的動(dòng)態(tài)管理��。���。
(4)安全風(fēng)險(xiǎn)管理的問(wèn)題傳統(tǒng)的安全產(chǎn)品,如IDS���,防病毒系統(tǒng)等只是在被動(dòng)的抵御或檢測(cè)安全威脅�,缺乏主動(dòng)的防護(hù)措施和手段����;而要實(shí)現(xiàn)主動(dòng)的信息安全管理,則需要對(duì)企業(yè)整體的安全風(fēng)險(xiǎn)進(jìn)行監(jiān)控和管理����,但在執(zhí)行過(guò)程中���,存在如下問(wèn)題:
l沒(méi)有技術(shù)手段實(shí)現(xiàn)對(duì)安全風(fēng)險(xiǎn)的全面的監(jiān)控;
l消除信息安全風(fēng)險(xiǎn)的手段不明確���;
l缺乏詳細(xì)的可實(shí)施的信息安全風(fēng)險(xiǎn)管理流程���,能夠結(jié)合所有的信息安全產(chǎn)品,從而實(shí)現(xiàn)全面的安全風(fēng)險(xiǎn)管理����。
2.動(dòng)態(tài)安全風(fēng)險(xiǎn)管理體系
基于國(guó)際信息安全標(biāo)準(zhǔn),結(jié)合中國(guó)IT環(huán)境的特點(diǎn)�,我們應(yīng)該首先明確安全風(fēng)險(xiǎn)的三個(gè)重要方面及控制手段,有計(jì)劃有步驟的加強(qiáng)整個(gè)信息安全體系的建設(shè)���,才有可能最終實(shí)現(xiàn)完善的風(fēng)險(xiǎn)管理系統(tǒng)���。
(1)可實(shí)施的安全風(fēng)險(xiǎn)管理理論根據(jù)安全風(fēng)險(xiǎn)的特點(diǎn)和三個(gè)關(guān)鍵要素,我們可以針對(duì)信息安全風(fēng)險(xiǎn)形成更具可實(shí)施性的安全風(fēng)險(xiǎn)管理方法論�,其核心思路是根據(jù)企業(yè)的基礎(chǔ)環(huán)境,全面準(zhǔn)確的評(píng)估安全風(fēng)險(xiǎn)����,并根據(jù)安全風(fēng)險(xiǎn)的狀況結(jié)合系統(tǒng)��、網(wǎng)絡(luò)層面的安全防御手段有效抵御安全威脅�����,最終主動(dòng)的降低整體安全風(fēng)險(xiǎn)��。
要實(shí)現(xiàn)對(duì)安全風(fēng)險(xiǎn)的管理和控制��,需要實(shí)現(xiàn)完整的風(fēng)險(xiǎn)管理流程:
l發(fā)現(xiàn)安全風(fēng)險(xiǎn):通過(guò)有效的手段����,確定存在安全風(fēng)險(xiǎn)的資產(chǎn)和區(qū)域�����,定位安全風(fēng)險(xiǎn)存在的區(qū)域�����;
l評(píng)估安全風(fēng)險(xiǎn):準(zhǔn)確高效的評(píng)估安全風(fēng)險(xiǎn)���,了解安全風(fēng)險(xiǎn)的大小和實(shí)質(zhì);
l強(qiáng)制措施降低風(fēng)險(xiǎn):通過(guò)管理或強(qiáng)制等安全手段����,主動(dòng)地降低安全風(fēng)險(xiǎn)��;
l安全防御:通過(guò)各類(lèi)系統(tǒng)�、網(wǎng)絡(luò)安全設(shè)備�����,防御各類(lèi)安全威脅�����;
l修補(bǔ):主動(dòng)修補(bǔ)存在的各類(lèi)漏洞��,全面降低安全風(fēng)險(xiǎn)�����。
綜上所述��,通過(guò)完整的安全風(fēng)險(xiǎn)管理流程�����,對(duì)整個(gè)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)實(shí)現(xiàn)全面的管理和控制����,5個(gè)步驟缺一不可����,同時(shí)�,風(fēng)險(xiǎn)管理流程根據(jù)企業(yè)的具體情況,可以有不同的實(shí)現(xiàn)方式���,最終實(shí)現(xiàn):
l始終遵守確定的安全政策���;
l基于風(fēng)險(xiǎn)管理,整合網(wǎng)內(nèi)現(xiàn)有的安全防護(hù)產(chǎn)品��;
l通過(guò)全面的實(shí)時(shí)防護(hù)產(chǎn)品更好的檢測(cè)并阻止安全威脅�����;
(2)實(shí)現(xiàn)安全風(fēng)險(xiǎn)管理的詳細(xì)步驟:1——確立安全標(biāo)準(zhǔn)和方針�����;
2——統(tǒng)計(jì)信息資產(chǎn)�;
3——整合并確認(rèn)資產(chǎn)的商業(yè)價(jià)值���;
4——檢測(cè)資產(chǎn)存在的安全漏洞�����;
5——了解存在的潛在威脅��;
6——分析存在的安全風(fēng)險(xiǎn)����;
7——通過(guò)安全防御產(chǎn)品實(shí)時(shí)阻斷安全威脅;
8——強(qiáng)制安全策略并應(yīng)用補(bǔ)救措施����;
9——評(píng)估安全效果和影響;
10——針對(duì)已有策略進(jìn)行比對(duì)�。
綜上所述,傳統(tǒng)的安全產(chǎn)品(防病毒�、防火墻等),只是去抵御安全威脅�����,卻忽視了對(duì)整體安全風(fēng)險(xiǎn)的考慮���,而整合的安全風(fēng)險(xiǎn)管理體系考慮到了可能影響企業(yè)安全風(fēng)險(xiǎn)的三個(gè)關(guān)鍵要素��,并且可以結(jié)合現(xiàn)有的安全產(chǎn)品��,通過(guò)完善安全風(fēng)險(xiǎn)管理流程幫助企業(yè)實(shí)時(shí)的控制整體安全風(fēng)險(xiǎn)�,真正的解決安全問(wèn)題。
(3)安全風(fēng)險(xiǎn)管理體系的建設(shè)步驟要實(shí)現(xiàn)完善的安全風(fēng)險(xiǎn)管理�����,我們需要有計(jì)劃有步驟的完善自身的安全風(fēng)險(xiǎn)管理體系�,并且制定相應(yīng)的安全策略,做到有的放矢����。企業(yè)在構(gòu)建安全風(fēng)險(xiǎn)管理體系的時(shí)候,有一個(gè)基本次序:
l 首先����,構(gòu)建完善的終端安全體系,因?yàn)榻K端安全是基礎(chǔ)�����,任何安全威脅最終影響到的都是終端系統(tǒng)���,同時(shí)�,終端面對(duì)的病毒等威脅數(shù)量最多���;
l 其次���,是構(gòu)建完善的網(wǎng)絡(luò)防護(hù)體系,如防火墻�、入侵防護(hù)系統(tǒng)、垃圾郵件過(guò)濾系統(tǒng)等��,從網(wǎng)絡(luò)層面第一時(shí)間抵御安全威脅��,同時(shí)�,還要防御各類(lèi)終端難以防御的網(wǎng)絡(luò)攻擊行為;
l 最后����,當(dāng)已經(jīng)建立了高效的防護(hù)體系之后,需要建立全面的資產(chǎn)管理和風(fēng)險(xiǎn)管理體系�����,整合現(xiàn)有的安全設(shè)備和手段�����,形成成熟完備的動(dòng)態(tài)安全風(fēng)險(xiǎn)管理體系。
[參考文獻(xiàn)]:
篇8
關(guān)鍵字(Keywords):
安全管理����、風(fēng)險(xiǎn)、弱點(diǎn)����、評(píng)估、城域網(wǎng)��、IP�����、AAA���、DNS
1 信息安全管理概述
普遍意義上�,對(duì)信息安全的定義是“保護(hù)信息系統(tǒng)和信息���,防止其因?yàn)榕既换驉阂馇址付鴮?dǎo)致信息的破壞���、更改和泄漏�����,保證信息系統(tǒng)能夠連續(xù)�����、可靠、正常的運(yùn)行”���。所以說(shuō)信息安全應(yīng)該理解為一個(gè)動(dòng)態(tài)的管理過(guò)程�����,通過(guò)一系列的安全管理活動(dòng)來(lái)保證信息和信息系統(tǒng)的安全需求得到持續(xù)滿足���。這些安全需求包括“保密性”、“完整性”����、“可用性”、“防抵賴性”����、“可追溯性”和“真實(shí)性”等��。
信息安全管理的本質(zhì)�,可以看作是動(dòng)態(tài)地對(duì)信息安全風(fēng)險(xiǎn)的管理��,即要實(shí)現(xiàn)對(duì)信息和信息系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行有效管理和控制�����。標(biāo)準(zhǔn)ISO15408-1(信息安全風(fēng)險(xiǎn)管理和評(píng)估規(guī)則)���,給出了一個(gè)非常經(jīng)典的信息安全風(fēng)險(xiǎn)管理模型��,如下圖一所示:
既然信息安全是一個(gè)管理過(guò)程���,則對(duì)PDCA模型有適用性,結(jié)合信息安全管理相關(guān)標(biāo)準(zhǔn)BS7799(ISO17799)���,信息安全管理過(guò)程就是PLAN-DO-CHECK-ACT(計(jì)劃-實(shí)施與部署-監(jiān)控與評(píng)估-維護(hù)和改進(jìn))的循環(huán)過(guò)程�。
2 建立信息安全管理體系的主要步驟
如圖二所示����,在PLAN階段,就需要遵照BS7799等相關(guān)標(biāo)準(zhǔn)����、結(jié)合企業(yè)信息系統(tǒng)實(shí)際情況�����,建設(shè)適合于自身的ISMS信息安全管理體系��,ISMS的構(gòu)建包含以下主要步驟:
(1) 確定ISMS的范疇和安全邊界
(2) 在范疇內(nèi)定義信息安全策略����、方針和指南
(3) 對(duì)范疇內(nèi)的相關(guān)信息和信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估
a) Planning(規(guī)劃)
b) Information Gathering(信息搜集)
c) Risk Analysis(風(fēng)險(xiǎn)分析)
u Assets Identification & valuation(資產(chǎn)鑒別與資產(chǎn)評(píng)估)
u Threat Analysis(威脅分析)
u Vulnerability Analysis(弱點(diǎn)分析)
u 資產(chǎn)/威脅/弱點(diǎn)的映射表
u Impact & Likelihood Assessment(影響和可能性評(píng)估)
u Risk Result Analysis(風(fēng)險(xiǎn)結(jié)果分析)
d) Identifying & Selecting Safeguards(鑒別和選擇防護(hù)措施)
e) Monitoring & Implementation(監(jiān)控和實(shí)施)
f) Effect estimation(效果檢查與評(píng)估)
(4) 實(shí)施和運(yùn)營(yíng)初步的ISMS體系
(5) 對(duì)ISMS運(yùn)營(yíng)的過(guò)程和效果進(jìn)行監(jiān)控
(6) 在運(yùn)營(yíng)中對(duì)ISMS進(jìn)行不斷優(yōu)化
3 IP寬帶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理主要實(shí)踐步驟
目前��,寬帶IP網(wǎng)絡(luò)所接入的客戶對(duì)網(wǎng)絡(luò)可用性和自身信息系統(tǒng)的安全性需求越來(lái)越高��,且IP寬帶網(wǎng)絡(luò)及客戶所處的信息安全環(huán)境和所面臨的主要安全威脅又在不斷變化���。IP寬帶網(wǎng)絡(luò)的運(yùn)營(yíng)者意識(shí)到有必要對(duì)IP寬帶網(wǎng)絡(luò)進(jìn)行系統(tǒng)的安全管理,以使得能夠動(dòng)態(tài)的了解��、管理和控制各種可能存在的安全風(fēng)險(xiǎn)�����。
由于網(wǎng)絡(luò)運(yùn)營(yíng)者目前對(duì)于信息安全管理還缺乏相應(yīng)的管理經(jīng)驗(yàn)和人才隊(duì)伍�����,所以一般采用信息安全咨詢外包的方式來(lái)建立IP寬帶網(wǎng)絡(luò)的信息安全管理體系。此類(lèi)咨詢項(xiàng)目一般按照以下幾個(gè)階段�,進(jìn)行項(xiàng)目實(shí)踐:
3.1 項(xiàng)目準(zhǔn)備階段。
a) 主要搜集和分析與項(xiàng)目相關(guān)的背景信息�����;
b) 和客戶溝通并明確項(xiàng)目范圍��、目標(biāo)與藍(lán)圖�;
c) 建議并明確項(xiàng)目成員組成和分工;
d) 對(duì)項(xiàng)目約束條件和風(fēng)險(xiǎn)進(jìn)行聲明��;
e) 對(duì)客戶領(lǐng)導(dǎo)和項(xiàng)目成員進(jìn)行意識(shí)��、知識(shí)或工具培訓(xùn)���;
f) 匯報(bào)項(xiàng)目進(jìn)度計(jì)劃并獲得客戶領(lǐng)導(dǎo)批準(zhǔn)等��。
3.2 項(xiàng)目執(zhí)行階段�����。
a) 在項(xiàng)目范圍內(nèi)進(jìn)行安全域劃分�;
b) 分安全域進(jìn)行資料搜集和訪談,包括用戶規(guī)模�、用戶分布、網(wǎng)絡(luò)結(jié)構(gòu)����、路由協(xié)議與策略、認(rèn)證協(xié)議與策略�、DNS服務(wù)策略、相關(guān)主機(jī)和數(shù)據(jù)庫(kù)配置信息���、機(jī)房和環(huán)境安全條件����、已有的安全防護(hù)措施�����、曾經(jīng)發(fā)生過(guò)的安全事件信息等���;
c) 在各個(gè)安全域進(jìn)行資產(chǎn)鑒別、價(jià)值分析����、威脅分析�、弱點(diǎn)分析�、可能性分析和影響分析,形成資產(chǎn)表���、威脅評(píng)估表���、風(fēng)險(xiǎn)評(píng)估表和風(fēng)險(xiǎn)關(guān)系映射表;
d) 對(duì)存在的主要風(fēng)險(xiǎn)進(jìn)行風(fēng)險(xiǎn)等級(jí)綜合評(píng)價(jià)���,并按照重要次序����,給出相應(yīng)的防護(hù)措施選擇和風(fēng)險(xiǎn)處置建議���。
3.3 項(xiàng)目總結(jié)階段
a) 項(xiàng)目中產(chǎn)生的策略�、指南等文檔進(jìn)行審核和批準(zhǔn)���;
b) 對(duì)項(xiàng)目資產(chǎn)鑒別報(bào)告����、風(fēng)險(xiǎn)分析報(bào)告進(jìn)行審核和批準(zhǔn);
c) 對(duì)需要進(jìn)行的相關(guān)風(fēng)險(xiǎn)處置建議進(jìn)行項(xiàng)目安排����;
4 IP寬帶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理實(shí)踐要點(diǎn)分析
運(yùn)營(yíng)商IP寬帶網(wǎng)絡(luò)和常見(jiàn)的針對(duì)以主機(jī)為核心的IT系統(tǒng)的安全風(fēng)險(xiǎn)管理不同,其覆蓋的范圍和影響因素有很大差異性�。所以不能直接套用通用的風(fēng)險(xiǎn)管理的方法和資料。在項(xiàng)目執(zhí)行的不同階段��,需要特別注意以下要點(diǎn):
4.1 安全目標(biāo)
充分保證自身IP寬帶網(wǎng)絡(luò)及相關(guān)管理支撐系統(tǒng)的安全性����、保證客戶的業(yè)務(wù)可用性和質(zhì)量。
4.2 項(xiàng)目范疇
應(yīng)該包含寬帶IP骨干網(wǎng)���、IP城域網(wǎng)���、IP接入網(wǎng)及接入網(wǎng)關(guān)設(shè)備、管理支撐系統(tǒng):如網(wǎng)管系統(tǒng)�����、AAA平臺(tái)�����、DNS等�。
4.3 項(xiàng)目成員
應(yīng)該得到運(yùn)營(yíng)商高層領(lǐng)導(dǎo)的明確支持,項(xiàng)目組長(zhǎng)應(yīng)該具備管理大型安全咨詢項(xiàng)目經(jīng)驗(yàn)的人承擔(dān)����,且項(xiàng)目成員除了包含一些專(zhuān)業(yè)安全評(píng)估人員之外,還應(yīng)該包含與寬帶IP相關(guān)的“業(yè)務(wù)與網(wǎng)絡(luò)規(guī)劃”����、“設(shè)備與系統(tǒng)維護(hù)”、“業(yè)務(wù)管理”和“相關(guān)系統(tǒng)集成商和軟件開(kāi)發(fā)商”人員����。
4.4 背景信息搜集:
背景信息搜集之前,應(yīng)該對(duì)信息搜集對(duì)象進(jìn)行分組����,即分為IP骨干網(wǎng)小組、IP接入網(wǎng)小組����、管理支撐系統(tǒng)小組等。分組搜集的信息應(yīng)包含:
a) IP寬帶網(wǎng)絡(luò)總體架構(gòu)
b) 城域網(wǎng)結(jié)構(gòu)和配置
c) 接入網(wǎng)結(jié)構(gòu)和配置
d) AAA平臺(tái)系統(tǒng)結(jié)構(gòu)和配置
e) DNS系統(tǒng)結(jié)構(gòu)和配置
f) 相關(guān)主機(jī)和設(shè)備的軟硬件信息
g) 相關(guān)業(yè)務(wù)操作規(guī)范�、流程和接口
h) 相關(guān)業(yè)務(wù)數(shù)據(jù)的生成、存儲(chǔ)和安全需求信息
i) 已有的安全事故記錄
j) 已有的安全產(chǎn)品和已經(jīng)部署的安全控制措施
k) 相關(guān)機(jī)房的物理環(huán)境信息
l) 已有的安全管理策略���、規(guī)定和指南
m) 其它相關(guān)
4.5 資產(chǎn)鑒別
資產(chǎn)鑒別應(yīng)該自頂向下進(jìn)行鑒別���,必須具備層次性�。最頂層可以將資產(chǎn)鑒別為城域網(wǎng)���、接入網(wǎng)�����、AAA平臺(tái)���、DNS平臺(tái)、網(wǎng)管系統(tǒng)等一級(jí)資產(chǎn)組����;然后可以在一級(jí)資產(chǎn)組內(nèi),按照功能或地域進(jìn)行劃分二級(jí)資產(chǎn)組��,如AAA平臺(tái)一級(jí)資產(chǎn)組可以劃分為RADIUS組�����、DB組��、計(jì)費(fèi)組���、網(wǎng)絡(luò)通信設(shè)備組等二級(jí)資產(chǎn)組���;進(jìn)一步可以針對(duì)各個(gè)二級(jí)資產(chǎn)組的每個(gè)設(shè)備進(jìn)行更為細(xì)致的資產(chǎn)鑒別,鑒別其設(shè)備類(lèi)型���、地址配置�、軟硬件配置等信息�。
4.6 威脅分析
威脅分析應(yīng)該具有針對(duì)性,即按照不同的資產(chǎn)組進(jìn)行針對(duì)性威脅分析�����。如針對(duì)IP城域網(wǎng)��,其主要風(fēng)險(xiǎn)可能是:蠕蟲(chóng)����、P2P、路由攻擊�����、路由設(shè)備入侵等;而對(duì)于DNS或AAA平臺(tái)�����,其主要風(fēng)險(xiǎn)可能包括:主機(jī)病毒�����、后門(mén)程序��、應(yīng)用服務(wù)的DOS攻擊�、主機(jī)入侵、數(shù)據(jù)庫(kù)攻擊��、DNS釣魚(yú)等�。
4.7 威脅影響分析
是指對(duì)不同威脅其可能造成的危害進(jìn)行評(píng)定,作為下一步是否采取或采取何種處置措施的參考依據(jù)����。在威脅影響分析中應(yīng)該充分參考運(yùn)營(yíng)商意見(jiàn),尤其要充分考慮威脅發(fā)生后可能造成的社會(huì)影響和信譽(yù)影響����。
4.8 威脅可能性分析
篇9
2電力企業(yè)信息系統(tǒng)安全管理研究
信息安全是一個(gè)復(fù)雜的、不斷變化的動(dòng)態(tài)過(guò)程����,如果電力企業(yè)只根據(jù)一時(shí)需要而忽略了信息安全的動(dòng)態(tài)性,只是主觀的來(lái)制定一些風(fēng)險(xiǎn)管理措施�����,就會(huì)造成在企業(yè)信息管理中顧此失彼�����,進(jìn)而導(dǎo)致企業(yè)的安全管理水平止步不前甚至有失偏頗����。[2]其正確的做法是,電力企業(yè)要遵守相關(guān)信息安全標(biāo)準(zhǔn)及實(shí)踐總結(jié)���,結(jié)合企業(yè)自身對(duì)信息系統(tǒng)安全的實(shí)際需求�,在進(jìn)行完善的風(fēng)險(xiǎn)分析及風(fēng)險(xiǎn)管理的基礎(chǔ)上����,通過(guò)一些合理的、可行的安全風(fēng)險(xiǎn)管理措施來(lái)使電力企業(yè)信息系統(tǒng)一直處于安全狀態(tài)��。除此之外�����,不斷更新的過(guò)程是電力企業(yè)進(jìn)行信息安全管理的最基本出發(fā)點(diǎn),該過(guò)程還應(yīng)該是動(dòng)態(tài)的����、變化的,即安全措施要隨著環(huán)境的變化及信息技術(shù)的提高而不斷改進(jìn)和完善���,堅(jiān)決拒絕一成不變����,這可以將信息系統(tǒng)的風(fēng)險(xiǎn)降到最低���。[3]所以說(shuō)�,基于風(fēng)險(xiǎn)的評(píng)估及控制角度來(lái)說(shuō)����,電力企業(yè)信息系統(tǒng)的安全風(fēng)險(xiǎn)與其他領(lǐng)域的風(fēng)險(xiǎn)具有相似性,與此同時(shí)�,電力系統(tǒng)信息系統(tǒng)安全風(fēng)險(xiǎn)又具有其獨(dú)特性。將其他領(lǐng)域內(nèi)的風(fēng)險(xiǎn)控制過(guò)程引入電力企業(yè)的信息風(fēng)險(xiǎn)管理領(lǐng)域��,需要同時(shí)考慮到其共性和個(gè)性。安全管理主要分為網(wǎng)絡(luò)級(jí)����、系統(tǒng)級(jí)和應(yīng)用級(jí)3個(gè)部分:(1)網(wǎng)絡(luò)級(jí)安全管理。電力企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)級(jí)安全管理主要是指解決企業(yè)信息系統(tǒng)與網(wǎng)絡(luò)互聯(lián)而產(chǎn)生的安全風(fēng)險(xiǎn)問(wèn)題�����,其主要從網(wǎng)絡(luò)防火墻及網(wǎng)絡(luò)結(jié)構(gòu)兩個(gè)方面采取安全管理措施�����。網(wǎng)絡(luò)防火墻對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)及外部網(wǎng)絡(luò)起到安全隔離作用�,它可以有效預(yù)防潛在的破壞性入侵��,同時(shí)可以對(duì)即將進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行嚴(yán)格的檢測(cè)��,并對(duì)非法�����、錯(cuò)誤的網(wǎng)絡(luò)信息進(jìn)行隔離��,從而保護(hù)電力企業(yè)內(nèi)部網(wǎng)絡(luò)的安全��。對(duì)于網(wǎng)絡(luò)結(jié)構(gòu)�,根據(jù)電力企業(yè)信息系統(tǒng)的實(shí)際情況����,相關(guān)技術(shù)人員結(jié)合網(wǎng)絡(luò)結(jié)構(gòu)�����,設(shè)計(jì)出一種介于混合型和網(wǎng)狀型結(jié)構(gòu)之間的分布式網(wǎng)絡(luò)結(jié)構(gòu)�����,該分布式網(wǎng)絡(luò)系統(tǒng)具有較高的可靠性及容錯(cuò)能力���,從而對(duì)已有的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行了優(yōu)化����。(2)系統(tǒng)級(jí)安全管理���。在企業(yè)信息系統(tǒng)風(fēng)險(xiǎn)管理中����,系統(tǒng)級(jí)安全設(shè)計(jì)與用戶的具體應(yīng)用具有密切的聯(lián)系�����,具體而言,其分為操作系統(tǒng)與數(shù)據(jù)處理兩個(gè)方面���。在操作系統(tǒng)方面���,利用有效的網(wǎng)絡(luò)安全掃描對(duì)信息系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行合理評(píng)估,及時(shí)分析操作系統(tǒng)已有的漏洞����,同時(shí)結(jié)合信息系統(tǒng)的漏洞自動(dòng)修補(bǔ)技術(shù)�����,實(shí)現(xiàn)定期為相關(guān)用戶消除網(wǎng)絡(luò)中的安全隱患�。在數(shù)據(jù)處理方面,企業(yè)要善于利用信息系統(tǒng)平臺(tái)再次對(duì)數(shù)據(jù)庫(kù)進(jìn)行數(shù)據(jù)安全加密���,從而將信息系統(tǒng)的數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)降到最低��。(3)應(yīng)用級(jí)安全管理���。應(yīng)用級(jí)安全設(shè)計(jì)具有直觀、具體的特點(diǎn),它是在設(shè)計(jì)電力企業(yè)的信息系統(tǒng)時(shí)����,通過(guò)技術(shù)手段將相應(yīng)的安全技術(shù)加入到信息系統(tǒng)中,從而有效保證系統(tǒng)的安全穩(wěn)定運(yùn)行��。具體來(lái)說(shuō)���,電力企業(yè)信息系統(tǒng)的應(yīng)用系統(tǒng)訪問(wèn)控制是根據(jù)訪問(wèn)信息性質(zhì)的不同�����,分別進(jìn)行公開(kāi)信息和私密信息的傳送��、存儲(chǔ)及管理�,從而實(shí)現(xiàn)在應(yīng)用層次上的訪問(wèn)控制����;而數(shù)字簽名技術(shù)可以通過(guò)對(duì)文件簽發(fā)者、日期等提供準(zhǔn)確的不可更改的歷史記錄����,來(lái)保證系統(tǒng)所有文件的完整性。因此�����,我們得知,為了確保電力企業(yè)信息系統(tǒng)的安全�,要采取合理、有效的管理手段來(lái)最大程度地降低風(fēng)險(xiǎn)��,即相關(guān)人員不僅要從技術(shù)層面來(lái)進(jìn)行安全管理的設(shè)計(jì)���,還要從管理層面進(jìn)行安全管理設(shè)置���。[4]具體來(lái)說(shuō)可以從以下方面著手:(1)定期對(duì)企業(yè)系統(tǒng)的技術(shù)人員進(jìn)行安全教育,增強(qiáng)其信息系統(tǒng)的安全意識(shí)���;(2)保持相關(guān)人員特別是管理層的人員穩(wěn)定��,若有人員調(diào)離,需及時(shí)更換系統(tǒng)密碼���,避免企業(yè)機(jī)密泄露���;(3)設(shè)置合理的電力企業(yè)信息系統(tǒng)安全標(biāo)準(zhǔn)及企業(yè)制度等。
篇10
企業(yè)的信息安全管理包含十分豐富的內(nèi)容�����,簡(jiǎn)單來(lái)說(shuō)是指企業(yè)通過(guò)各種手段來(lái)保護(hù)企業(yè)硬件和軟件,保護(hù)網(wǎng)絡(luò)存儲(chǔ)中的各種數(shù)據(jù)不受偶然因素的破壞或者惡意的原因被攻擊�。對(duì)于信息安全的認(rèn)定通過(guò)包括4個(gè)指標(biāo),即保證信息數(shù)據(jù)的完整����,保證信息數(shù)據(jù)不被泄露,保證信息數(shù)據(jù)能夠正常使用���,保證信息數(shù)據(jù)能夠控制管理�����。要想做好企業(yè)的信息安全管理�����,首先需要了解的是關(guān)于信息的傳輸方式��。隨著信息技術(shù)的不斷普及�����,信息傳遞的方式越來(lái)越多���,常見(jiàn)的信息傳遞方式主要有互聯(lián)網(wǎng)傳播��,局域網(wǎng)傳播�����,硬件傳播等等����。要想實(shí)現(xiàn)企業(yè)的信息安全管理���,其中很重要的一項(xiàng)工作在于保護(hù)信源����、信號(hào)以及信息�。信息安全管理是一項(xiàng)需要綜合學(xué)科知識(shí)基礎(chǔ)的工作,從事企業(yè)信息安全管理工作的人員通過(guò)需要具有網(wǎng)絡(luò)安全技術(shù)���、計(jì)算機(jī)技術(shù)、密碼技術(shù)�、通信技術(shù)。從企業(yè)的信息安全管理來(lái)講����,最為關(guān)鍵的一項(xiàng)工作時(shí)保護(hù)企業(yè)內(nèi)部經(jīng)營(yíng)信息數(shù)據(jù)的完整�����。經(jīng)過(guò)近十年來(lái)的企業(yè)信息安全管理工作經(jīng)驗(yàn)總結(jié)�,企業(yè)信息安全不僅僅需要信息技術(shù)的支持�����,更需要通過(guò)建立完善的企業(yè)風(fēng)險(xiǎn)控制體系來(lái)幫助企業(yè)實(shí)現(xiàn)更好地保護(hù)企業(yè)信息安全的目標(biāo)��。
所以�,怎樣把企業(yè)信息安全管理與風(fēng)險(xiǎn)控制融合起來(lái)就是擺在企業(yè)經(jīng)營(yíng)管理者面前的一道難題。企業(yè)的信息安全風(fēng)險(xiǎn)控制必須通過(guò)企業(yè)建立完善的企業(yè)信息安全風(fēng)險(xiǎn)體系實(shí)現(xiàn)�。企業(yè)的信息安全風(fēng)險(xiǎn)控制是指企業(yè)在企業(yè)信息安全遭遇威脅之前,提前對(duì)企業(yè)的信息進(jìn)行風(fēng)險(xiǎn)預(yù)估�����,并采取一系列的有針對(duì)性的活動(dòng)降低企業(yè)面臨的信息安全風(fēng)險(xiǎn)�,從而盡可能減少因?yàn)槠髽I(yè)本身信息安全管理中存在漏洞給企業(yè)帶來(lái)不必要的損失。常見(jiàn)的企業(yè)信息安全風(fēng)險(xiǎn)體系建立主要包含以下幾個(gè)方面的內(nèi)容�。第一,建立企業(yè)信息安全風(fēng)險(xiǎn)管理制度�,明確企業(yè)信息安全管理的責(zé)任分配機(jī)制��,明確企業(yè)各個(gè)部門(mén)對(duì)各自信息安全所應(yīng)承擔(dān)的責(zé)任���,并建立相應(yīng)的問(wèn)責(zé)機(jī)制。第二���,設(shè)置規(guī)范的企業(yè)信息安全風(fēng)險(xiǎn)管理指標(biāo)���,對(duì)企業(yè)存在的可能威脅企業(yè)信息安全管理的漏洞予以風(fēng)險(xiǎn)定級(jí),方便企業(yè)管理者對(duì)不同的信息安全管理漏洞采取有區(qū)別的對(duì)策��。第三����,企業(yè)要加強(qiáng)對(duì)信息安全管理人員的培訓(xùn),提高企業(yè)信息安全管理工作人員的風(fēng)險(xiǎn)意識(shí)���,讓企業(yè)內(nèi)部從事信息安全管理工作人員認(rèn)識(shí)到自身工作的重要性����,讓企業(yè)內(nèi)部從事信息安全管理工作人員了解到規(guī)范自身行為��,正確履行職責(zé)的重要性��。第四��,將企業(yè)信息安全管理與風(fēng)險(xiǎn)控制有效融合����,重視企業(yè)信息安全管理工作,通過(guò)風(fēng)險(xiǎn)控制對(duì)企業(yè)內(nèi)部信息安全的管理方式進(jìn)行正確評(píng)估�����,找出現(xiàn)行的企業(yè)內(nèi)部信息安全管理手段中存在容易忽視的地方���。
二����、企業(yè)信息安全管理與風(fēng)險(xiǎn)控制存在的不足
1.企業(yè)信息安全管理工作人員素質(zhì)不高
對(duì)于企業(yè)來(lái)說(shuō)����,企業(yè)信息安全管理工作是一項(xiàng)極為重要而隱秘的工作,因此�,必須增強(qiáng)對(duì)企業(yè)信息安全管理工作人員的素質(zhì)要求。但是根據(jù)調(diào)查統(tǒng)計(jì)���,目前很多企業(yè)對(duì)信息安全工作的管理僅僅停留在對(duì)企業(yè)信息安全管理工作人員的技術(shù)要求上�����,對(duì)企業(yè)信息安全管理工作人員的道德素養(yǎng)�����,職業(yè)素養(yǎng)��,風(fēng)險(xiǎn)意識(shí)并沒(méi)有嚴(yán)格要求���。此外�����,絕大多數(shù)企業(yè)并沒(méi)有意識(shí)開(kāi)展對(duì)企業(yè)信息安全管理工作的道德素質(zhì)的教育培訓(xùn)����,并沒(méi)有通過(guò)建立相關(guān)管理制度以及問(wèn)責(zé)機(jī)制對(duì)企業(yè)信息安全管理工作人員實(shí)行監(jiān)督�,這無(wú)疑給別有用心或者立場(chǎng)不堅(jiān)定的企業(yè)信息安全管理工作人員留下了危害企業(yè)信息安全的可乘之機(jī)。
2.企業(yè)信息安全管理技術(shù)不過(guò)關(guān)
企業(yè)信息安全管理工作涉及多許多技術(shù)�,包括信息技術(shù),計(jì)算機(jī)技術(shù)���,密碼技術(shù)�,網(wǎng)絡(luò)應(yīng)用技術(shù)等等,應(yīng)當(dāng)說(shuō)成熟的計(jì)算機(jī)應(yīng)用技術(shù)是做好企業(yè)信息安全管理的基礎(chǔ)�,但是��,現(xiàn)實(shí)是許多企業(yè)的信息安全管理技術(shù)并不過(guò)關(guān)��,一方面企業(yè)的信息安全管理硬件并不過(guò)關(guān)�����,在物理層面對(duì)企業(yè)信息缺乏保護(hù)�����,另一方面��,企業(yè)信息安全管理工作的專(zhuān)業(yè)技術(shù)沒(méi)有及時(shí)更新���,一些企業(yè)信息安全管理工作人員缺乏企業(yè)信息安全管理的實(shí)踐經(jīng)驗(yàn)���,企業(yè)信息安全管理的知識(shí)也并沒(méi)有及時(shí)更新,從而導(dǎo)致企業(yè)的信息安全管理理論嚴(yán)重滯后�����,這種技術(shù)的落后很容易讓企業(yè)成為不法分子的攻擊對(duì)象。近年來(lái)網(wǎng)絡(luò)病毒的傳播越來(lái)越猖狂���,很多服務(wù)器�����、系統(tǒng)提示安全補(bǔ)丁的下載更新以及客戶端的時(shí)常更新成為一個(gè)惱人的問(wèn)題�。作為一個(gè)行業(yè)中的大中型企業(yè)���,企業(yè)內(nèi)部設(shè)備數(shù)量比較多��,尤其是客戶端數(shù)量占了較大比重�,僅僅靠少數(shù)幾個(gè)管理員進(jìn)行管理是難以承擔(dān)如此大量的工作量�����。另外�,企業(yè)信息安全管理系統(tǒng)不成熟也是一個(gè)重大的隱患。
3.企業(yè)信息安全管理制度不健全
企業(yè)信息安全管理制度不僅僅需要理論制度的完善�,更加需要一系列配套監(jiān)督機(jī)制保障企業(yè)信息安全管理的有效執(zhí)行。通過(guò)調(diào)查分析�,許多企業(yè)雖然建立了企業(yè)信息安全管理制度���,但是通常情況下,這些制度只能流于形式��,企業(yè)信息安全管理工作缺少有效的制約和監(jiān)督�,企業(yè)信息安全管理工作人員缺乏執(zhí)行力。企業(yè)信息安全管理制度不健全����,企業(yè)信息安全管理工作缺乏執(zhí)行力常常體現(xiàn)在以下幾個(gè)方面�����。第一���,企業(yè)員工對(duì)于信息安全管理的認(rèn)識(shí)嚴(yán)重不足�,對(duì)企業(yè)信息安全管理工作不重視�。企業(yè)內(nèi)部計(jì)算機(jī)系統(tǒng)安全的計(jì)算機(jī)防病毒軟件并沒(méi)有及時(shí)更新,使用����,甚至企業(yè)內(nèi)部計(jì)算機(jī)的防病毒軟件還被企業(yè)員工卸載了。部分企業(yè)員工認(rèn)為自己的工作與企業(yè)信息安全管理不相關(guān)��,認(rèn)為做好企業(yè)信息安全管理工作僅僅是企業(yè)信息安全部門(mén)的事。第二���,企業(yè)內(nèi)部信息安全管理制度并沒(méi)有形成聯(lián)動(dòng)機(jī)制�����,企業(yè)信息安全管理工作僅僅由企業(yè)信息安全部門(mén)“一人包干”�,企業(yè)信息安全反映的問(wèn)題并沒(méi)有得到積極的反饋����,一些企業(yè)領(lǐng)導(dǎo)對(duì)企業(yè)信息安全現(xiàn)狀所了解的少之又少。
三��、企業(yè)信息安全管理常見(jiàn)的技術(shù)手段
1.OSI安全體系結(jié)構(gòu)
OSI概念化的安全體系結(jié)構(gòu)是一個(gè)多層次的結(jié)構(gòu)���,它的設(shè)計(jì)初衷是面向客戶的����,提供給客戶各種安全應(yīng)用�,安全應(yīng)用必須依靠安全服務(wù)來(lái)實(shí)現(xiàn),而安全服務(wù)又是由各種安全機(jī)制來(lái)保障的����。所以���,安全服務(wù)標(biāo)志著一個(gè)安全系統(tǒng)的抗風(fēng)險(xiǎn)的能力,安全服務(wù)數(shù)量越多���,系統(tǒng)就越安全����。
2.P2DR模型
P2DR模型包含四個(gè)部分:響應(yīng)�、安全策略、檢測(cè)��、防護(hù)���。安全策略是信息安全的重點(diǎn),為安全管理提供管理途徑和保障手段�。因此,要想實(shí)施動(dòng)態(tài)網(wǎng)絡(luò)安全循環(huán)過(guò)程�,必須制定一個(gè)企業(yè)的安全模式。在安全策略的指導(dǎo)下實(shí)施所有的檢測(cè)�����、防護(hù)��、響應(yīng),防護(hù)通常是通過(guò)采用一些傳統(tǒng)的靜態(tài)安全技術(shù)或者方法來(lái)突破的�����,比如有防火墻�、訪問(wèn)控制、加密�、認(rèn)證等方法��,檢測(cè)是動(dòng)態(tài)響應(yīng)的判斷依據(jù)��,同時(shí)也是有力落實(shí)安全策略的實(shí)施工具�����,通過(guò)監(jiān)視來(lái)自網(wǎng)絡(luò)的入侵行為�����,可以檢測(cè)出騷擾行為或錯(cuò)誤程序?qū)е碌木W(wǎng)絡(luò)不安全因素�;經(jīng)過(guò)不斷地監(jiān)測(cè)網(wǎng)絡(luò)和系統(tǒng)來(lái)發(fā)現(xiàn)新的隱患和弱點(diǎn)。在安全系統(tǒng)中��,應(yīng)急響應(yīng)占有重要的地位����,它是解決危險(xiǎn)潛在性的最有效的辦法。
3.HTP模型
HTP最為強(qiáng)調(diào)企業(yè)信息安全管理工作人員在整個(gè)系統(tǒng)中的價(jià)值�。企業(yè)信息安全工作人員企業(yè)信息安全最為關(guān)鍵的參與者,企業(yè)信息安全工作人員直接主導(dǎo)企業(yè)信息安全管理工作���,企業(yè)信息安全工作人員不僅僅是企業(yè)信息安全的保障者��,也是企業(yè)信息安全管理的威脅者���。因此�����,HTP模型最為強(qiáng)調(diào)對(duì)企業(yè)信息安全管理工作人員的管理與監(jiān)督。另外�,HTP模式同樣是建立在企業(yè)信心安全體系,信息安全技術(shù)防范的基礎(chǔ)上����,HTP模式采取了豐富的安全技術(shù)手段確保企業(yè)的信息安全���。最后�,HTP強(qiáng)調(diào)動(dòng)態(tài)管理,動(dòng)態(tài)監(jiān)督��,對(duì)于企業(yè)信息安全管理工作始終保持高強(qiáng)度的監(jiān)督與管理����,在實(shí)際工作中,通過(guò)HTP模型的應(yīng)用���,找出HTP模型中的漏洞并不斷完善���。
四、完善企業(yè)信息安全管理與降低風(fēng)險(xiǎn)的建議
1.建設(shè)企業(yè)信息安全管理系統(tǒng)
(1)充分調(diào)查和分析企業(yè)的安全系統(tǒng)�����,建立一個(gè)全面合理的系統(tǒng)模型,安全系統(tǒng)被劃分成各個(gè)子系統(tǒng)���,明確實(shí)施步驟和功能摸塊���,將企業(yè)常規(guī)管理工作和安全管理聯(lián)動(dòng)協(xié)議相融合,實(shí)現(xiàn)信息安全監(jiān)控的有效性和高效性����。
(2)成立一個(gè)中央數(shù)據(jù)庫(kù),整合分布式數(shù)據(jù)庫(kù)里的數(shù)據(jù)��,把企業(yè)的所有數(shù)據(jù)上傳到中央數(shù)據(jù)庫(kù)����,實(shí)現(xiàn)企業(yè)數(shù)據(jù)信息的集中管理與有效運(yùn)用����。
(3)設(shè)計(jì)優(yōu)良的人機(jī)界面�����,通過(guò)對(duì)企業(yè)數(shù)據(jù)信息進(jìn)行有效的運(yùn)用��,為企業(yè)管理階層人員����、各級(jí)領(lǐng)導(dǎo)及時(shí)提供各種信息����,為企業(yè)領(lǐng)導(dǎo)的正確決策提供數(shù)據(jù)支持,根本上提高信息數(shù)據(jù)的管理水平��。
(4)簡(jiǎn)化企業(yè)內(nèi)部的信息傳輸通道,對(duì)應(yīng)用程序和數(shù)據(jù)庫(kù)進(jìn)行程序化設(shè)計(jì)���,加強(qiáng)對(duì)提高企業(yè)內(nèi)部信息處理的規(guī)范性和準(zhǔn)確性�����。
2.設(shè)計(jì)企業(yè)信息安全管理風(fēng)險(xiǎn)體系
(1)確定信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)
在企業(yè)信息安全管理風(fēng)險(xiǎn)體系的設(shè)計(jì)過(guò)程中��,首要工作是設(shè)計(jì)企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)�����,只有明確了企業(yè)信息安全管理的目標(biāo)��,明確了企業(yè)信息安全管理的要求和工作能容��,才能建立相關(guān)圍繞信息安全風(fēng)險(xiǎn)控制為目標(biāo)的信息安全管理工作制度�����,才能順利通過(guò)對(duì)風(fēng)險(xiǎn)控制的結(jié)果的定量考核����,檢測(cè)企業(yè)信息安全管理的風(fēng)險(xiǎn)�����,定性定量地企業(yè)信息安全管理工作進(jìn)行分析�����,找準(zhǔn)企業(yè)信息安全管理的工作辦法���。
(2)確定信息安全風(fēng)險(xiǎn)評(píng)估的范圍
篇11
信息安全管理是一項(xiàng)需要綜合學(xué)科知識(shí)基礎(chǔ)的工作,從事企業(yè)信息安全管理工作的人員通過(guò)需要具有網(wǎng)絡(luò)安全技術(shù)、計(jì)算機(jī)技術(shù)���、密碼技術(shù)�、通信技術(shù)�����。從企業(yè)的信息安全管理來(lái)講,最為關(guān)鍵的一項(xiàng)工作時(shí)保護(hù)企業(yè)內(nèi)部經(jīng)營(yíng)信息數(shù)據(jù)的完整��。經(jīng)過(guò)近十年來(lái)的企業(yè)信息安全管理工作經(jīng)驗(yàn)總結(jié),企業(yè)信息安全不僅僅需要信息技術(shù)的支持,更需要通過(guò)建立完善的企業(yè)風(fēng)險(xiǎn)控制體系來(lái)幫助企業(yè)實(shí)現(xiàn)更好地保護(hù)企業(yè)信息安全的目標(biāo)�。所以,怎樣把企業(yè)信息安全管理與風(fēng)險(xiǎn)控制融合起來(lái)就是擺在企業(yè)經(jīng)營(yíng)管理者面前的一道難題。企業(yè)的信息安全風(fēng)險(xiǎn)控制必須通過(guò)企業(yè)建立完善的企業(yè)信息安全風(fēng)險(xiǎn)體系實(shí)現(xiàn)���。
企業(yè)的信息安全風(fēng)險(xiǎn)控制是指企業(yè)在企業(yè)信息安全遭遇威脅之前,提前對(duì)企業(yè)的信息進(jìn)行風(fēng)險(xiǎn)預(yù)估,并采取一系列的有針對(duì)性的活動(dòng)降低企業(yè)面臨的信息安全風(fēng)險(xiǎn),從而盡可能減少因?yàn)槠髽I(yè)本身信息安全管理中存在漏洞給企業(yè)帶來(lái)不必要的損失�。常見(jiàn)的企業(yè)信息安全風(fēng)險(xiǎn)體系建立主要包含以下幾個(gè)方面的內(nèi)容。第一,建立企業(yè)信息安全風(fēng)險(xiǎn)管理制度,明確企業(yè)信息安全管理的責(zé)任分配機(jī)制,明確企業(yè)各個(gè)部門(mén)對(duì)各自信息安全所應(yīng)承擔(dān)的責(zé)任,并建立相應(yīng)的問(wèn)責(zé)機(jī)制��。第二,設(shè)置規(guī)范的企業(yè)信息安全風(fēng)險(xiǎn)管理指標(biāo),對(duì)企業(yè)存在的可能威脅企業(yè)信息安全管理的漏洞予以風(fēng)險(xiǎn)定級(jí),方便企業(yè)管理者對(duì)不同的信息安全管理漏洞采取有區(qū)別的對(duì)策��。第三,企業(yè)要加強(qiáng)對(duì)信息安全管理人員的培訓(xùn),提高企業(yè)信息安全管理工作人員的風(fēng)險(xiǎn)意識(shí),讓企業(yè)內(nèi)部從事信息安全管理工作人員認(rèn)識(shí)到自身工作的重要性,讓企業(yè)內(nèi)部從事信息安全管理工作人員了解到規(guī)范自身行為,正確履行職責(zé)的重要性��。第四,將企業(yè)信息安全管理與風(fēng)險(xiǎn)控制有效融合,重視企業(yè)信息安全管理工作,通過(guò)風(fēng)險(xiǎn)控制對(duì)企業(yè)內(nèi)部信息安全的管理方式進(jìn)行正確評(píng)估,找出現(xiàn)行的企業(yè)內(nèi)部信息安全管理手段中存在容易忽視的地方����。
二、企業(yè)信息安全管理與風(fēng)險(xiǎn)控制存在的不足
1.企業(yè)信息安全管理工作人員素質(zhì)不高
對(duì)于企業(yè)來(lái)說(shuō),企業(yè)信息安全管理工作是一項(xiàng)極為重要而隱秘的工作,因此,必須增強(qiáng)對(duì)企業(yè)信息安全管理工作人員的素質(zhì)要求��。但是根據(jù)調(diào)查統(tǒng)計(jì),目前很多企業(yè)對(duì)信息安全工作的管理僅僅停留在對(duì)企業(yè)信息安全管理工作人員的技術(shù)要求上,對(duì)企業(yè)信息安全管理工作人員的道德素養(yǎng),職業(yè)素養(yǎng),風(fēng)險(xiǎn)意識(shí)并沒(méi)有嚴(yán)格要求�。此外,絕大多數(shù)企業(yè)并沒(méi)有意識(shí)開(kāi)展對(duì)企業(yè)信息安全管理工作的道德素質(zhì)的教育培訓(xùn),并沒(méi)有通過(guò)建立相關(guān)管理制度以及問(wèn)責(zé)機(jī)制對(duì)企業(yè)信息安全管理工作人員實(shí)行監(jiān)督,這無(wú)疑給別有用心或者立場(chǎng)不堅(jiān)定的企業(yè)信息安全管理工作人員留下了危害企業(yè)信息安全的可乘之機(jī)�。
2.企業(yè)信息安全管理技術(shù)不過(guò)關(guān)
企業(yè)信息安全管理工作涉及多許多技術(shù),包括信息技術(shù),計(jì)算機(jī)技術(shù),密碼技術(shù),網(wǎng)絡(luò)應(yīng)用技術(shù)等等,應(yīng)當(dāng)說(shuō)成熟的計(jì)算機(jī)應(yīng)用技術(shù)是做好企業(yè)信息安全管理的基礎(chǔ),但是,現(xiàn)實(shí)是許多企業(yè)的信息安全管理技術(shù)并不過(guò)關(guān),一方面企業(yè)的信息安全管理硬件并不過(guò)關(guān),在物理層面對(duì)企業(yè)信息缺乏保護(hù),另一方面,企業(yè)信息安全管理工作的專(zhuān)業(yè)技術(shù)沒(méi)有及時(shí)更新,一些企業(yè)信息安全管理工作人員缺乏企業(yè)信息安全管理的實(shí)踐經(jīng)驗(yàn),企業(yè)信息安全管理的知識(shí)也并沒(méi)有及時(shí)更新,從而導(dǎo)致企業(yè)的信息安全管理理論嚴(yán)重滯后,這種技術(shù)的落后很容易讓企業(yè)成為不法分子的攻擊對(duì)象���。近年來(lái)網(wǎng)絡(luò)病毒的傳播越來(lái)越猖狂,很多服務(wù)器�����、系統(tǒng)提示安全補(bǔ)丁的下載更新以及客戶端的時(shí)常更新成為一個(gè)惱人的問(wèn)題。作為一個(gè)行業(yè)中的大中型企業(yè),企業(yè)內(nèi)部設(shè)備數(shù)量比較多,尤其是客戶端數(shù)量占了較大比重,僅僅靠少數(shù)幾個(gè)管理員進(jìn)行管理是難以承擔(dān)如此大量的工作量�����。另外,企業(yè)信息安全管理系統(tǒng)不成熟也是一個(gè)重大的隱患�。
3.企業(yè)信息安全管理制度不健全
企業(yè)信息安全管理制度不僅僅需要理論制度的完善,更加需要一系列配套監(jiān)督機(jī)制保障企業(yè)信息安全管理的有效執(zhí)行���。通過(guò)調(diào)查分析,許多企業(yè)雖然建立了企業(yè)信息安全管理制度,但是通常情況下,這些制度只能流于形式,企業(yè)信息安全管理工作缺少有效的制約和監(jiān)督,企業(yè)信息安全管理工作人員缺乏執(zhí)行力。企業(yè)信息安全管理制度不健全,企業(yè)信息安全管理工作缺乏執(zhí)行力常常體現(xiàn)在以下幾個(gè)方面����。第一,企業(yè)員工對(duì)于信息安全管理的認(rèn)識(shí)嚴(yán)重不足,對(duì)企業(yè)信息安全管理工作不重視。企業(yè)內(nèi)部計(jì)算機(jī)系統(tǒng)安全的計(jì)算機(jī)防病毒軟件并沒(méi)有及時(shí)更新,使用,甚至企業(yè)內(nèi)部計(jì)算機(jī)的防病毒軟件還被企業(yè)員工卸載了�����。部分企業(yè)員工認(rèn)為自己的工作與企業(yè)信息安全管理不相關(guān),認(rèn)為做好企業(yè)信息安全管理工作僅僅是企業(yè)信息安全部門(mén)的事��。第二,企業(yè)內(nèi)部信息安全文秘站:管理制度并沒(méi)有形成聯(lián)動(dòng)機(jī)制,企業(yè)信息安全管理工作僅僅由企業(yè)信息安全部門(mén)“一人包干”,企業(yè)信息安全反映的問(wèn)題并沒(méi)有得到積極的反饋,一些企業(yè)領(lǐng)導(dǎo)對(duì)企業(yè)信息安全現(xiàn)狀所了解的少之又少�����。
三��、企業(yè)信息安全管理常見(jiàn)的技術(shù)手段 1.OSI安全體系結(jié)構(gòu)
OSI概念化的安全體系結(jié)構(gòu)是一個(gè)多層次的結(jié)構(gòu),它的設(shè)計(jì)初衷是面向客戶的,提供給客戶各種安全應(yīng)用,安全應(yīng)用必須依靠安全服務(wù)來(lái)實(shí)現(xiàn),而安全服務(wù)又是由各種安全機(jī)制來(lái)保障的����。所以,安全服務(wù)標(biāo)志著一個(gè)安全系統(tǒng)的抗風(fēng)險(xiǎn)的能力,安全服務(wù)數(shù)量越多,系統(tǒng)就越安全���。
2.P2DR模型
P2DR模型包含四個(gè)部分:響應(yīng)�����、安全策略���、檢測(cè)���、防護(hù)。安全策略是信息安全的重點(diǎn),為安全管理提供管理途徑和保障手段���。因此,要想實(shí)施動(dòng)態(tài)網(wǎng)絡(luò)安全循環(huán)過(guò)程,必須制定一個(gè)企業(yè)的安全模式���。在安全策略的指導(dǎo)下實(shí)施所有的檢測(cè)���、防護(hù)、響應(yīng),防護(hù)通常是通過(guò)采用一些傳統(tǒng)的靜態(tài)安全技術(shù)或者方法來(lái)突破的,比如有防火墻���、訪問(wèn)控制、加密�����、認(rèn)證等方法,檢測(cè)是動(dòng)態(tài)響應(yīng)的判斷依據(jù),同時(shí)也是有力落實(shí)安全策略的實(shí)施工具,通過(guò)監(jiān)視來(lái)自網(wǎng)絡(luò)的入侵行為,可以檢測(cè)出騷擾行為或錯(cuò)誤程序?qū)е碌木W(wǎng)絡(luò)不安全因素;經(jīng)過(guò)不斷地監(jiān)測(cè)網(wǎng)絡(luò)和系統(tǒng)來(lái)發(fā)現(xiàn)新的隱患和弱點(diǎn)���。在安全系統(tǒng)中,應(yīng)急響應(yīng)占有重要的地位,它是解決危險(xiǎn)潛在性的最有效的辦法����。
3.HTP模型
HTP最為強(qiáng)調(diào)企業(yè)信息安全管理工作人員在整個(gè)系統(tǒng)中的價(jià)值�。企業(yè)信息安全工作人員企業(yè)信息安全最為關(guān)鍵的參與者,企業(yè)信息安全工作人員直接主導(dǎo)企業(yè)信息安全管理工作,企業(yè)信息安全工作人員不僅僅是企業(yè)信息安全的保障者,也是企業(yè)信息安全管理的威脅者。因此,HTP模型最為強(qiáng)調(diào)對(duì)企業(yè)信息安全管理工作人員的管理與監(jiān)督����。另外,HTP模式同樣是建立在企業(yè)信心安全體系,信息安全技術(shù)防范的基礎(chǔ)上,HTP模式采取了豐富的安全技術(shù)手段確保企業(yè)的信息安全��。最后,HTP強(qiáng)調(diào)動(dòng)態(tài)管理,動(dòng)態(tài)監(jiān)督,對(duì)于企業(yè)信息安全管理工作始終保持高強(qiáng)度的監(jiān)督與管理,在實(shí)際工作中,通過(guò)HTP模型的應(yīng)用,找出HTP模型中的漏洞并不斷完善���。
四、完善企業(yè)信息安全管理與降低風(fēng)險(xiǎn)的建議
1.建設(shè)企業(yè)信息安全管理系統(tǒng)
(1)充分調(diào)查和分析企業(yè)的安全系統(tǒng),建立一個(gè)全面合理的系統(tǒng)模型,安全系統(tǒng)被劃分成各個(gè)子系統(tǒng),明確實(shí)施步驟和功能摸塊,將企業(yè)常規(guī)管理工作和安全管理聯(lián)動(dòng)協(xié)議相融合,實(shí)現(xiàn)信息安全監(jiān)控的有效性和高效性����。
(2)成立一個(gè)中央數(shù)據(jù)庫(kù),整合分布式數(shù)據(jù)庫(kù)里的數(shù)據(jù),把企業(yè)的所有數(shù)據(jù)上傳到中央數(shù)據(jù)庫(kù),實(shí)現(xiàn)企業(yè)數(shù)據(jù)信息的集中管理與有效運(yùn)用�。
(3)設(shè)計(jì)優(yōu)良的人機(jī)界面,通過(guò)對(duì)企業(yè)數(shù)據(jù)信息進(jìn)行有效的運(yùn)用,為企業(yè)管理階層人員、各級(jí)領(lǐng)導(dǎo)及時(shí)提供各種信息,為企業(yè)領(lǐng)導(dǎo)的正確決策提供數(shù)據(jù)支持,根本上提高信息數(shù)據(jù)的管理水平���。
(4)簡(jiǎn)化企業(yè)內(nèi)部的信息傳輸通道,對(duì)應(yīng)用程序和數(shù)據(jù)庫(kù)進(jìn)行程序化設(shè)計(jì),加強(qiáng)對(duì)提高企業(yè)內(nèi)部信息處理的規(guī)范性和準(zhǔn)確性�。
2.設(shè)計(jì)企業(yè)信息安全管理風(fēng)險(xiǎn)體系
(1)確定信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)
在企業(yè)信息安全管理風(fēng)險(xiǎn)體系的設(shè)計(jì)過(guò)程中,首要工作是設(shè)計(jì)企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo),只有明確了企業(yè)信息安全管理的目標(biāo),明確了企業(yè)信息安全管理的要求和工作能容,才能建立相關(guān)圍繞信息安全風(fēng)險(xiǎn)控制為目標(biāo)的信息安全管理工作制度,才能順利通過(guò)對(duì)風(fēng)險(xiǎn)控制的結(jié)果的定量考核,檢測(cè)企業(yè)信息安全管理的風(fēng)險(xiǎn),定性定量地企業(yè)信息安全管理工作進(jìn)行分析,找準(zhǔn)企業(yè)信息安全管理的工作辦法��。
(2)確定信息安全風(fēng)險(xiǎn)評(píng)估的范圍
