企业的信息安全建设思路

安全
对企业信息安全形势,进行信息系统安全的风险评估。落实安全等级的维护,加强信息网络安全保障,做好网络安全管理,而完或这些工作的必要条件是建立的有完善工作只能的信息安全管理蛆织。

当今时代,信息技术飞速发展,信息网络广泛普及,信息已成为事关全局的一种战略资源。但信息技术也是一把双刃剑,一方面,极大的便利了人类的生产和生活,网络技术的发展使得地球成为一个大村落:另一方面,由于信息技术的脆弱性和不完善性,使得在信息的存储、处理、传输过程中很容易被干扰、遗漏和丢失,甚至被泄漏、窃取、篡改和冒充,因此,信息安全成为企业信息化过程中不可或缺的要素。

随着信息化应用的日益广泛,企业的信息系统中存储的大量有价值的信息和数据已成为各种网络犯罪组织和恶意势力的攻击目标,网络非法行为日趋复杂,且更为频繁,各种攻击方法相互融合,攻击手段更为隐秘,破坏性更强,攻击从网络层向应用层迁移。但是,我们也应该看到,信息安全虽然是由信息技术问题引起的,但信息安全问题的解决不能够单纯地由技术问题入手,还得从系统的、管理的角度切入,一个完美的解决安全问题的技术方案在现实中是不存在的.而且用信息技术解决信息技术的脆弱性和不完善性有可能带来另外的脆弱性和不完善性。因此.信息安全中的技术问题是—个关键问题,不能解决全部问题。信息安全界有句名言:三分技术,七分管理,安全和管理是分不开的。即使有再好的安全设备和系统,而没有一套良好的安全管理制度、管理方法并贯彻实施,信息安全问题就是空谈。许多出现信息安全事故的单位,要么是有安全管理制度但没有执行,要么就是没有安全管理制度。

一、信息系统的安全风险评估

所谓信皂系统的安全风险,是指由于系统存在的脆弱性、人为或自然的威胁导致安全事件发生的可能性及其造成的影响。风险评估是分析分析确定风险的过程。任何系统的安全性都可通过风险的大小来衡量。

网络信息系统得安全建设应该建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统得信息安全评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,才可以避免重复建设和投资的浪费。信息安全风险评估是风险平估理论和方法在信息系统中的运用,是科学分析理解信息和信息系统在机密性、完整性、可用性等方面所面临的风险,并在风险的预防、风险的控制、风险的转移、风险的补偿、风险的分散等之间做出抉择的过程。所有信息安全建设都应该是基于信息安全风险评估,只有在正确地、全面地理解风险后,才能在控制风险、减少风险之间做出正确的判断,决定调动多少资源、以什么样的代价、采取什么样的应对措施去化解、控制风险。在风险评估中,最终要根据对安全事件发生的可能性和负面影响的评估来识别信息系统的安全风险。造成信息安全事件的源头,可以归为外因和内因。外因为威胁,内因则为脆弱性。因此,在风险评估中要刻意刻画信息安全事件,就必须对威胁和脆弱性都有深入了解,这构成了风险评估工作的关键。

要确保信息网络系统得安全高效,就必须建立和完善信息安全风险评估机制,也就是要构建一个“发现隐患、制定对策、提高强度、效果认证”的封闭式、反馈型、非线性的评估系统。同时,信息网络在建设规划阶段必须进行风险评估以确定系统的安全目标:在工程验收阶段一定要进行效果认证和风险在评估以判定系统得安全目标达成与否:在运行维护阶段要针对安全形势和问题,进行制度化的风险评估工作,以确定安全措施的有效性和决定是否采取隔离或实施升级行动,以确保安全保障形势始终维持在期望的目标水平之上。

信息安全风险评估有助于信息化建设的有序开展,促进信息安全保障体系得完善,提高信息系统的安全防护能力。其目的是借助科学的评估体系和技术方法,弄清本单位信息安全的基本态势和网络环境安全状况,及时采取或完善安全保障措施,确保信息安全策略和方针在常态化中得到贯彻与执行。对于企业具体涵盖的内容来说,首先要明确企业的哪些资产需要保护:企业必须花费时间与精力来首先确定关键数据和相关的业务支持技术资产的价值。通常,各公司认为表述资产的价值是很容易的,但具体如要按级别界定就不那么简单。对此,就需要用安全厂商与企业共同制定规范以确定需要保护的资产的安全级别,并为制定切实可行的安全管理策略打下基础。另外,还需完成威胁识别的任务:如果企业想增强竞争实力,必须随时改进和更新系统和网络,但是机会增加常伴随着安全风险的增加,尤其是机构的数据对更多用户开放的时候——咽为技术越先进,安全管理就越复杂。所以企业为了消除安全隐患,下—步就需要安全厂商与企业一起必须要对现有的网络、系统、应用进行相应的风险评估,确定在企业的具体环境下到底存在哪些和安全隐患。在此基础上,制定并实施,完成安全策略的责任分配,设立安全标准:几乎所有企业目前都有策略,只不过许多策略都没有书面化,只作为完成任务的一种手段。恰当的安全策略必须与机构的所有业务需求直接相关。它基于几类安全标准。标准分类将使企业能发现违反策略的行为,并指出每个区域的漏洞或潜在安全威胁区。最后,管理还应包括安全厂商与企业共同组织的对企业安全管理^员进行安全培训,以便维护和管理整个的实施和运行情况。

企业的网络信息系统必须按照风险管理的思想,对可能存在的威胁、脆弱性和需要保护的信息资源进行分析,依据风险评估的结果为信息系统选择适当的安全措施,妥善应对可能发生的风险。目前,信息安全等级保护是发达国家保护关键信息基础设施,保障信息安全的通行。

二、信息安全等级保护

(一)信息安全等级保护和风险评估的关系

1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定计算机信息系统实行信息系统安全等级保护。2003年中央办公厅、国务院办公厅转发的徊家信息化领导小组关于加强信息安全保障工作的意见)中明确提出: “要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息系统安全等级保护制度,制定信息系统安全等级保护的管理办法和技术指南”。2004年公安部等四部委《关于信息系统安全等级保护工作的实施意见》也指出: “信息系统安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力水平,维护国家安全、社会稳定和公共利益,保障和促遗信息化建设健康发展的—项基本制度”。等级保护工作的核心是对信息安全分等级,按标准进行建设、管理和监督。风险评估做为信息安全工作的一种重要技术手段,为系统安全等级保护的定级、测评和整改等工作阶段提供重要依据,在实施信息安全等级保护周期和层次中发挥着重要作用。在等级保护周期的系统等级阶段中,依提信息安全风险评估国家标准对所评估资产的重要性、客观威胁发生的频率、以及系统自身脆弱性的严重程度进行识别和关联分析,判断信息系统应采取什么强度的安全措施,然后将安全事件一旦发生后可能造成的影响控制在可接受的范围内:在安全实施阶段,按照风险评估标准,对现有系统进行评估和加固,然后进行安全设备的部署,对在安全实施过程中也会发生事件并可能带来长期的隐患,风险评估能及早发现并解决这些问题:在安全运维阶段,按照风险评估标准开展定期和不定期的风险评估以便帮助确认它保持的安全等级是否发生变化。

风险评估的技术手段包括有系统审计、漏洞扫描和渗透测试,他们在等级保护的各个层。

(二)等级保护制度的落实

目前,国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全防护,对等级保护工作的实施实行监督、管理,从而大力推行信息化建设的全面发展,但是,绝大多数的信息系统得运营、使用单位依旧采用传统的工作方式解决等级保护工作中的一系列问题,尤其是相对数量的信息安全等级保护工作的职能部门,他们在落实等级保护工作中存在很大的问题,表现在以下几个方面:

一是信息系统安全等级保护工作认识不深刻、重视不到位。信息系统得安全性问题不仅仅是用户自身财产安全的问题,其所有者应当承担相应的社会安全和公众利益安全的义务。然而,部分执行部门在开展等级保护工作中从始至终都在被动的应付监管部门的检查,这种思想上的不重视给监管部门工作开展带来困难的同时,也阻碍整个信息系统安全等级保护工作的开展;二是信息系统安全等级保护工作管理无序、缺乏约束力。目前,—部分执行单位他们对信息系统安全等级保护工作组织开展、管理实施无从下手,甚至对相关法律、政策和标准还不是很清楚,同时没有各自内部专门机构对等保工作实施监督:三是执行单位的安全分工不清,没有建立相应得安全职能部门,这使得在安全等级保护工作中无法确定各相关部门的职责,从而无法落实安全责任制。

针对这些问题,建立信息安全管理组织是做好信息安全等级保护工作的必要条件。

1.建立信息安全管理组织的必要性

一个单位应该也必须建立信息安全管理组织,这个组织是这个单位在信息系统安全方面的最高权力组织。信息安全是所有管理层成员所共有的责任,一个管理组织应确保有明确的安全目标。在一个单位内部,有关信息安全的工作需要一个强有力领导机构来领带和推动,这是由于:1)首先是一些单位的业务对信息系统形成了完全的依赖,另外信息安全会导致对社会公众利益、社会秩序和国家安销告成侵害,甚至是严重的侵害。2)在一个单位中多个部门的信息任务既有联系又有相对的独立性,而这些任务又是这个单位全部信息任务的组成部分,所有这些都需要—个强有力的机构进行协调和指导。3)全员使用的信息系统中不同员工在其中所对应的是不同的角色,在工作中的权限也有4)—个单位对信息系统安全所采取的各类措施和决策是需要权威机构来审批和决定的。

2.信息系统使用单位的安全管理机构的职能包括

1)信息系统安全管理就够负责与信息安全有关的规划、建设、投资、人事、安全政策、资源利用和事故处理等方面的决策和实施。2)负责与各级国家安全信息安全监管机构、上级主管部门和技术保卫机构建立日常的工作关系。3)组织、协调、指导计算机信息系统得安全开发工作。4)建立健全本系统的系统保护规程、制度。5)确定信息安全各岗位人员的职责和权限、建立岗位责任制。6)审议并通过安全规划、年度安全报告、与信息安全相关的安全宣传、教育培育计划。7)执行信息安全报告制度,定期向当地公安信息安全监管部门报告本单位信息安全保护管理情况,及时报告重大安全事件。8)安全审计跟踪分析和安全检查,及时发现安全隐患和犯罪嫌疑,防患于未然,将可能的攻击拒之门外。9)负责向所属组织或机构的领导层汇报工作,积极争取领导层对信息安全的支持。1 0)信息发布的审核管理。

三、结束语

这种现代化、信息化的以等级保护为核心的信息安全管理体系,不仅有助于职能部门解决其使用传统方式开展登记保护所导致的问题,也为各职能部门积极主动地解决自身安全问题提供了有效帮助。根据企业实际情况,进—步发展完善,加强定级对象信息系统整体防护,建设管理中心支持下的计算环境、区域边界、通信网络三重防护体系结构,做好操作人员使用的终端防护,把住攻击发生的源头关,做到操作使用安全,以防内为主,内外兼防,提高计算节点自身防护能力,减少从外部入口上封堵,做到不同级别信息系统安全保护技术和管理逐级增强。  

【编辑推荐】

  1. 认真贯彻落实信息安全等级保护制度
  2. 我国网络信息安全问题分析与建议
责任编辑:许凤丽 来源: CIO时代
相关推荐

2018-04-11 09:21:43

2010-07-23 10:42:03

2018-10-24 10:38:44

云计算云租户企业云

2010-11-23 14:26:47

2020-03-03 10:01:58

信息安全网络安全信息安全认证

2011-09-10 19:51:07

云计算云安全

2010-06-28 16:35:27

2021-07-15 10:49:08

数据平台企业

2016-06-06 13:00:06

云计算私有云

2019-03-26 08:27:41

企业安全建设网络安全安全威胁

2020-03-21 14:46:47

数据仓库架构数据平台

2013-07-25 11:16:53

Store应用商店豌豆荚

2019-01-04 15:25:13

2018-07-12 05:45:00

2021-10-26 14:30:49

边缘计算企业安全威胁模型

2021-07-13 17:44:54

威胁建模安全建设网络安全

2020-04-28 10:53:02

企业安全建设资产管理漏洞

2009-05-20 15:35:13

2018-12-10 12:30:05

2023-01-11 12:22:16

点赞
收藏

51CTO技术栈公众号