序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗����,特別為您篩選了11篇信息安全風(fēng)險管理范文。如果您需要更多原創(chuàng)資料��,歡迎隨時與我們的客服老師聯(lián)系�,希望您能從中汲取靈感和知識!
篇1
作者簡介:王旭(1964-)�����,男�,浙江寧波人�����,新疆電力公司電力科學(xué)研究院�,高級工程師。(新疆 烏魯木齊 830011)張建業(yè)(1972-)��,男,浙江浦江人�����,新疆電力公司科技信通部�����,高級工程師�,華北電力大學(xué)經(jīng)濟與管理學(xué)院博士研究生。(新疆 烏魯木齊 830002)
基金項目:本文系國家自然科學(xué)基金資助項目(基金號:71271084)的研究成果���。
中圖分類號:F270.7 文獻標(biāo)識碼:A 文章編號:1007-0079(2013)26-0163-03
信息安全風(fēng)險是信息化時代企業(yè)發(fā)展和內(nèi)部管理所面臨的一個迫切問題����,網(wǎng)絡(luò)化���、信息化的飛速發(fā)展能夠給企業(yè)帶來無限的發(fā)展機遇�����,同時也讓應(yīng)用信息化技術(shù)的企業(yè)面臨著各種不同的風(fēng)險威脅�����,這些風(fēng)險因素一旦發(fā)生�����,將對企業(yè)的日常運營�����、戰(zhàn)略目標(biāo)的實現(xiàn)甚至長遠發(fā)展產(chǎn)生無法估計的影響�。有效的信息安全風(fēng)險管理體系對于企業(yè)規(guī)避信息安全風(fēng)險、減少不必要的損失具有重要作用�����。
對于電網(wǎng)企業(yè)來說��,信息化建設(shè)是推動電網(wǎng)企業(yè)智能化��、現(xiàn)代化等長遠發(fā)展的核心推動力���,但網(wǎng)絡(luò)病毒、黑客入侵等一系列風(fēng)險因素��,使得電網(wǎng)企業(yè)信息安全同樣面臨著巨大的挑戰(zhàn)�����,必須對電網(wǎng)企業(yè)面臨的各類信息安全風(fēng)險進行有效控制,以保證電網(wǎng)企業(yè)的信息化內(nèi)容正常運行���。
一��、電網(wǎng)企業(yè)信息安全風(fēng)險分析
電網(wǎng)企業(yè)的信息安全風(fēng)險就是企業(yè)的信息系統(tǒng)和網(wǎng)絡(luò)等面臨的來自各方面的風(fēng)險威脅����,各種內(nèi)外部的���、潛在的和可知的危險可能會帶來的風(fēng)險威脅等���。隨著網(wǎng)絡(luò)環(huán)境的復(fù)雜性不斷增加,新的信息技術(shù)的不斷應(yīng)用發(fā)展�,電網(wǎng)企業(yè)的信息安全面臨的風(fēng)險因素也更為繁多復(fù)雜,同時由于其注重信息安全的行業(yè)特點���,電網(wǎng)企業(yè)的信息安全風(fēng)險管理面臨的壓力更大�����。為此需要對這些風(fēng)險因素進行規(guī)范���、合理的識別分析����,進而建立綜合的風(fēng)險管理體系�����。
電網(wǎng)企業(yè)的信息安全面臨著來自不同層次��、多個方面的風(fēng)險因素���,有來自外部環(huán)境的風(fēng)險威脅�����,也有企業(yè)內(nèi)部的風(fēng)險影響���;有技術(shù)方面的安全風(fēng)險,也有人員操作方面的安全風(fēng)險等����。具體的信息安全風(fēng)險因素主要包括以下幾個方面:
1.木馬病毒入侵的安全風(fēng)險
隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展���、電網(wǎng)企業(yè)內(nèi)外部網(wǎng)絡(luò)環(huán)境的日益成熟和網(wǎng)絡(luò)應(yīng)用的不斷增多���,各種病毒也更為復(fù)雜��、難解��。木馬等病毒的傳染�����、滲透���、傳播的能力變得異常強大,其入侵方式也由以前的單一�、簡單變得隱蔽、復(fù)雜����,尤其是Internet網(wǎng)絡(luò)和企業(yè)網(wǎng)絡(luò)環(huán)境為木馬等病毒的傳播和生存提供了可靠的環(huán)境。
2.黑客非法攻擊的安全風(fēng)險
近年來各種各樣的黑客非法攻擊異常頻繁��,成為困擾世界范圍內(nèi)眾多企業(yè)的問題�����。由于黑客具有非常高超的計算機技術(shù)能力,他們經(jīng)常利用計算機設(shè)備��、信息系統(tǒng)���、網(wǎng)絡(luò)協(xié)議和數(shù)據(jù)庫等方面的缺陷與漏洞�����,通過運用網(wǎng)絡(luò)監(jiān)聽�����、密碼破解�����、程序滲透��、信息炸彈等手段侵入企業(yè)的計算機系統(tǒng)���,盜竊企業(yè)的保密信息、重要數(shù)據(jù)�、業(yè)務(wù)資料等,從而進行信息數(shù)據(jù)破壞或者占用系統(tǒng)的資源等。
3.信息傳遞過程的安全風(fēng)險
由于電網(wǎng)企業(yè)與很多的外部企業(yè)���、研究機構(gòu)等有著廣泛的工作聯(lián)系與業(yè)務(wù)合作,因此很多日常信息��、數(shù)據(jù)資料等都需要通過互聯(lián)網(wǎng)進行傳輸溝通���,在這個傳輸過程中的各類信息都會面臨各種不同的安全風(fēng)險�。
4.權(quán)限設(shè)置的安全風(fēng)險
信息系統(tǒng)根據(jù)不同的業(yè)務(wù)內(nèi)容對不同的部門���、員工開放不同的系統(tǒng)模塊�����,用戶根據(jù)其登陸的權(quán)限設(shè)置訪問其范圍內(nèi)的系統(tǒng)內(nèi)容�����。每個信息系統(tǒng)都有用戶管理功能��,對用戶權(quán)限進行管理和控制�,能夠在一定程度上增加安全性����,但仍然存在一定的問題����。很多電網(wǎng)企業(yè)內(nèi)都存在不同的信息系統(tǒng)���,各系統(tǒng)之間都是獨立存在���,沒有統(tǒng)一的用戶管理,使用起來極不方便���,難以保證用戶賬號的有效管理和使用安全���。另外,電網(wǎng)企業(yè)的信息系統(tǒng)的用戶權(quán)限管理功能設(shè)置過于簡單��,不能夠靈活實現(xiàn)更為詳細的權(quán)限控制等���。
5.信息設(shè)備損壞產(chǎn)生的安全風(fēng)險
電網(wǎng)企業(yè)內(nèi)的各類業(yè)務(wù)信息��、數(shù)據(jù)資料��、工作內(nèi)容等信息都是依托于相應(yīng)的軟硬件設(shè)備而存儲���、傳遞����、應(yīng)用的���,當(dāng)這些計算機硬件設(shè)備、信息系統(tǒng)����、數(shù)據(jù)存儲設(shè)備、用電支撐設(shè)備等由于企業(yè)內(nèi)外部不同作用力的影響而出現(xiàn)癱瘓�����、停止工作等突發(fā)狀況時�,會帶來重要信息內(nèi)容的泄露、丟失等安全風(fēng)險隱患����。
6.人員操作失誤形成的安全風(fēng)險
電網(wǎng)企業(yè)內(nèi)的專業(yè)信息技術(shù)人員、業(yè)務(wù)人員�����、管理人員對信息系統(tǒng)的操作能力存在一定的差異,一些人員的意識較為陳舊���、操作能力較差����,在對信息系統(tǒng)�����、網(wǎng)絡(luò)連接��、數(shù)據(jù)庫等的應(yīng)用過程中�����,由于對這些技術(shù)內(nèi)容不熟悉從而產(chǎn)生了一些錯誤操作��,為此產(chǎn)生了許多意想不到的安全風(fēng)險�。同時,在運用過程中存在的思想偏差��、理解偏誤����、粗心大意等導(dǎo)致的誤操作也會產(chǎn)生相應(yīng)的安全風(fēng)險�。
7.技術(shù)更新變化帶來的安全風(fēng)險
當(dāng)前的信息技術(shù)�����、系統(tǒng)開發(fā)��、網(wǎng)絡(luò)應(yīng)用����、數(shù)據(jù)庫存儲等都在日新月異地飛速變化,幾乎每天都會發(fā)生更新?lián)Q代的升級變化�����,沒有任何的信息技術(shù)能夠長時間使用���。電網(wǎng)企業(yè)原有信息系統(tǒng)等設(shè)備進行升級換代或者與新的數(shù)據(jù)庫內(nèi)容進行新舊結(jié)合以及轉(zhuǎn)換時,會因為兼容性差�、不能匹配等原因造成一定的信息安全風(fēng)險。
二�、信息安全風(fēng)險應(yīng)對機制
電網(wǎng)企業(yè)的信息安全承擔(dān)著極為重要的作用,而其面臨的安全風(fēng)險也是多方面的�,僅從信息系統(tǒng)、技術(shù)設(shè)備的單一角度進行信息安全風(fēng)險管理遠遠不夠��,對于其他很多潛在的風(fēng)險因素難以有效應(yīng)對。因此需要從信息技術(shù)技術(shù)�����、企業(yè)管理�����、風(fēng)險控制等多個維度來建立相應(yīng)的措施��,以應(yīng)對可能出現(xiàn)的各類風(fēng)險�����,從而從硬性技術(shù)層面到柔性管理層次形成多維度的風(fēng)險管理手段���。電網(wǎng)企業(yè)信息安全風(fēng)險應(yīng)對機制框架結(jié)構(gòu)如圖1所示�。
電網(wǎng)企業(yè)的信息安全風(fēng)險管理應(yīng)對機制是以風(fēng)險控制角度為核心����、信息技術(shù)角度為支持、企業(yè)管理角度為保障的雙向支持����、互為影響的一個環(huán)狀模型�����,三者之間緊密配合����、共同發(fā)揮風(fēng)險應(yīng)對的作用�,具體內(nèi)容如表1所示。
三�、信息安全風(fēng)險管理體系
電網(wǎng)企業(yè)信息安全風(fēng)險管理體系是進行信息安全風(fēng)險管理的核心內(nèi)容,其他的制度建設(shè)等方面的應(yīng)對機制都是為了更好地使風(fēng)險管理體系發(fā)揮有效的作用�,能夠在不同的情況下進行信息安全風(fēng)險威脅的提前預(yù)防、風(fēng)險發(fā)生時的控制�����、事后風(fēng)險影響的結(jié)果處理等���。
電網(wǎng)企業(yè)信息安全風(fēng)險管理體系框架結(jié)構(gòu)如圖2所示。
1.信息安全風(fēng)險評估
電網(wǎng)企業(yè)信息安全風(fēng)險評估是風(fēng)險管理體系的第一部分��,風(fēng)險評估效果的好壞直接影響著后面風(fēng)險管理環(huán)節(jié)的執(zhí)行情況���。通過風(fēng)險評估的準(zhǔn)確執(zhí)行��,能夠有效識別����、分析各種不同風(fēng)險的種類、來源�����、影響程度等內(nèi)容�,為后續(xù)的風(fēng)險預(yù)防、控制等奠定良好的基礎(chǔ)���。
信息安全風(fēng)險評估主要由風(fēng)險案例庫�、風(fēng)險因素分析系統(tǒng)����、風(fēng)險定量定性轉(zhuǎn)化系統(tǒng)、數(shù)據(jù)統(tǒng)計歸納庫�����、風(fēng)險分析結(jié)果傳輸體系等構(gòu)成����,通過幾個模塊的有機結(jié)合來科學(xué)分析評估電網(wǎng)企業(yè)遇到的各類信息安全風(fēng)險因素��。
2.風(fēng)險事前預(yù)防
電網(wǎng)企業(yè)信息安全風(fēng)險事前預(yù)防就是在風(fēng)險沒有發(fā)生時對各種風(fēng)險進行提前預(yù)防���,通過建立的預(yù)防計劃方案來提前避免風(fēng)險的發(fā)生,從而保證信息的安全性����。這是風(fēng)險管理體系希望達到的最佳效果,因此該環(huán)節(jié)非常重要��。
通過對風(fēng)險案例庫的經(jīng)常性學(xué)習(xí)���,使相關(guān)部門和人員對各類風(fēng)險有了總體的認識和了解�;通過建立相應(yīng)的風(fēng)險預(yù)警裝置來提前警告風(fēng)險的發(fā)生�����,使電網(wǎng)企業(yè)能夠提前采取措施來避免風(fēng)險發(fā)生�����;運用信息安全風(fēng)險管理制度加強員工的行為能力��,避免風(fēng)險產(chǎn)生��;通過信息技術(shù)的相關(guān)配置��,從信息系統(tǒng)����、網(wǎng)絡(luò)、數(shù)據(jù)等方面提前對一些病毒風(fēng)險等進行處理�����。
出色地執(zhí)行電網(wǎng)企業(yè)的信息安全風(fēng)險預(yù)防工作��,能夠避免很多不必要的麻煩�,從而有效減少后面風(fēng)險控制工作內(nèi)容。
3.風(fēng)險威脅轉(zhuǎn)移
將可能發(fā)生或者即將到來的信息安全風(fēng)險有效轉(zhuǎn)移到其他的地方���,可使得安全風(fēng)險沒有在電網(wǎng)企業(yè)的信息系統(tǒng)中發(fā)生����,避免了風(fēng)險帶來的威脅損害��。風(fēng)險轉(zhuǎn)移同風(fēng)險的事前預(yù)防一樣���,能夠在很大程度上將信息安全風(fēng)險帶來的威脅降低到最小����,避免其帶來的各類損失。
4.風(fēng)險過程控制
在對信息安全造成威脅的風(fēng)險發(fā)生時����,采取各種方法、手段進行風(fēng)險的最小化控制���,使風(fēng)險本身隨著控制的進行而逐漸變小甚至消失���,將風(fēng)險發(fā)生后造成的影響降低到最小或者控制在能夠承受的合理范圍內(nèi)。
主要從信息系統(tǒng)����、數(shù)據(jù)庫、網(wǎng)絡(luò)系統(tǒng)���、計算機基礎(chǔ)設(shè)備等技術(shù)方面進行控制����;從制度����、標(biāo)準(zhǔn)、規(guī)范等管理層面進行控制�;從人員培訓(xùn)、部門協(xié)調(diào)等組織結(jié)構(gòu)層面進行控制���;從風(fēng)險發(fā)生時制定的風(fēng)險控制措施����、計劃進行控制�;形成動態(tài)反饋的風(fēng)險發(fā)生、控制效果的反饋機制����,以便及時對控制方案進行調(diào)整完善。
5.風(fēng)險事后處理
信息安全風(fēng)險發(fā)生后�����,對電網(wǎng)企業(yè)的信息系統(tǒng)����、網(wǎng)絡(luò)、數(shù)據(jù)庫等造成一定的影響��,已經(jīng)沒有時間進行及時有效的風(fēng)險控制,此時的工作重點在于如何采取挽救措施對風(fēng)險造成的信息安全損失進行彌補�����,將其影響程度降低到最低���。
從電網(wǎng)企業(yè)的信息安全風(fēng)險評估開始�,到信息安全風(fēng)險的預(yù)防����、風(fēng)險發(fā)生時的控制以及風(fēng)險后果的處理,對整個過程進行深入的分析���、總結(jié)�����,發(fā)現(xiàn)風(fēng)險管理體系存在諸多不足和缺陷�����,控制計劃在某些方面需要進行改進完善�。將本次發(fā)生的信息安全風(fēng)險控制過程整理進入案例庫����,以便下次的風(fēng)險預(yù)防借鑒���。
電網(wǎng)企業(yè)信息安全風(fēng)險管理體系中的各個流程環(huán)節(jié)都是按照一定的流程順序�、風(fēng)險發(fā)生種類、大小而進行的���,其具體的流程如圖3所示��。
6.非常態(tài)風(fēng)險應(yīng)急處理
在電網(wǎng)企業(yè)對信息安全進行風(fēng)險管理的過程中���,有時會出現(xiàn)一些案例庫、控制計劃之外的非常態(tài)風(fēng)險���,這些風(fēng)險沒有以往成功的風(fēng)險管理經(jīng)驗可以借鑒�,這時就需要在電網(wǎng)企業(yè)信息安全風(fēng)險管理體系中建立相應(yīng)的非常態(tài)風(fēng)險應(yīng)急處理模塊�����。
電網(wǎng)企業(yè)信息安全非常態(tài)風(fēng)險應(yīng)急處理主要是當(dāng)意外的緊急風(fēng)險發(fā)生時����,能夠迅速啟動應(yīng)急預(yù)案組織相關(guān)人員進行風(fēng)險應(yīng)對控制�����、風(fēng)險預(yù)防和控制等�����;若風(fēng)險已經(jīng)發(fā)生�����,此時能夠及時還原數(shù)據(jù)��、隔離外部風(fēng)險入侵����,使信息系統(tǒng)���、網(wǎng)絡(luò)����、數(shù)據(jù)庫在最快的時間內(nèi)恢復(fù)正常運作�����。
四、總結(jié)
本文通過對電網(wǎng)企業(yè)信息安全重要性進行分析���,提出了建立信息安全風(fēng)險管理體系應(yīng)對各種內(nèi)外部風(fēng)險威脅的必要性�。在對電網(wǎng)企業(yè)信息安全的概念����、特點等分析說明的基礎(chǔ)上�����,深入研究了電網(wǎng)企業(yè)的信息安全所面臨的各種不同的風(fēng)險因素����,建立了包括信息技術(shù)、企業(yè)管理����、風(fēng)險控制三個方面在內(nèi)的電網(wǎng)企業(yè)信息安全風(fēng)險應(yīng)對機制。結(jié)合所建立的電網(wǎng)企業(yè)信息安全風(fēng)險應(yīng)對機制�����,本文構(gòu)建了一套綜合�����、全面的電網(wǎng)企業(yè)信息安全風(fēng)險管理體系。該體系的構(gòu)建能夠從事前風(fēng)險預(yù)防�����、事中風(fēng)險控制�����、事后風(fēng)險影響后果處理等三個環(huán)節(jié)進行全面的風(fēng)險管理�。
參考文獻
[1]張浩,詹輝紅���,錢洪珍.電網(wǎng)企業(yè)信息安全管理體系建設(shè)中的風(fēng)險管理實踐[J].電力信息技術(shù)����,2010��,8(6):21-24.
[2]劉金霞.電力企業(yè)給予風(fēng)險管理的信息安全保障體系建設(shè)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用��,2008����,(1):42-44.
篇2
中圖分類號:G203 文獻標(biāo)識碼:A 文章編號:1001-828X(2012)02-00-01
一�����、引言
20世紀(jì)90年代以來��,計算機技術(shù)以及網(wǎng)絡(luò)技術(shù)的發(fā)展把人類帶入了信息時代��,信息技術(shù)被廣泛應(yīng)用到各個領(lǐng)域���,給人類社會的發(fā)展帶來巨大的生產(chǎn)力,信息技術(shù)正逐步改變著人類的生產(chǎn)方式和生活方式�,社會的發(fā)展對信息資源的依賴程序越來越高����。然而由于環(huán)境的開放性以及信息系統(tǒng)自身的缺陷等因素,導(dǎo)致信息面臨著巨大的安全隱患�����。如何保護信息安全逐步成為人們關(guān)注的焦點�。
信息安全的解決不僅要要依靠技術(shù),更應(yīng)當(dāng)加強安全方面的管理�。只有建立有效的信息安全管理體系,對信息安全進行正確的分析評估,制定出相應(yīng)的策略并實施控制�����,才能保證信息系統(tǒng)和信息資源的安全��。
二�、信息安全風(fēng)險管理的一般過程概況
至目前為止,信息安全風(fēng)險管理沒有通用的管理方法����、管理模式。不同的標(biāo)準(zhǔn)有著各自的風(fēng)險評估方法和管理流程��,下面文章分析了一些主要的標(biāo)準(zhǔn)的風(fēng)險管理方法��。
1.英國的BS7799��,英國標(biāo)準(zhǔn)協(xié)會(BSI)頒布《信息安全管理實施細則》��,形成了BS7799的基礎(chǔ)���。之后經(jīng)過改版成為國際標(biāo)準(zhǔn)����。BS7799提供了一個對組織有效進行信息安全風(fēng)險管理的公共基礎(chǔ),體現(xiàn)了信息安全的“三分技術(shù)��,七分管理”的原則���。
2.AS/NZS4360:1999《風(fēng)險管理指南》是澳大利亞和新西蘭兩個國家聯(lián)合開發(fā)的風(fēng)險管理標(biāo)準(zhǔn)�����,第一版于1995年�,是在全世界內(nèi)制定最早��、影響最大��、并且被國際標(biāo)準(zhǔn)組織(ISO)的國家性風(fēng)險管理標(biāo)準(zhǔn)�����。
3.NIST SP800-30風(fēng)險管理標(biāo)準(zhǔn)�,是美國國家技術(shù)標(biāo)準(zhǔn)局(NIST)于2002年的信息技術(shù)風(fēng)險管理指南���,風(fēng)險管理包括三個過程:風(fēng)險評估��、風(fēng)險緩解�����、再評價及評估�����。
此外��,有關(guān)風(fēng)險管理和風(fēng)險評估的理論和方法有許多��,比如微軟的The Security Risk Management Guide(《信息安全管理指南》)��,美國卡耐基?梅隆大學(xué)開發(fā)的風(fēng)險評估方法OCTIVE����,系統(tǒng)安全工程能力成熟度模型SSE-CMM(System Security Engineering Capability Maturity Model)等。還有許多企業(yè)或個人參考標(biāo)準(zhǔn)開發(fā)的一些風(fēng)險評估工具等��。
三�����、一種綜合的風(fēng)險管理框架
近年來�����,許多學(xué)者指出需要建立一種綜合的信息安全風(fēng)險管理的方法以減少傳統(tǒng)的風(fēng)險管理方法的一些不足。文章提出一個綜合的信息安全風(fēng)險管理的框架����,如圖1所示。
框架將風(fēng)險管理分為四個方面���,四個角度����,涵蓋了風(fēng)險管理風(fēng)險評估的所有的內(nèi)容����。
框架的第一部分是標(biāo)準(zhǔn)規(guī)范,這是進行風(fēng)險評估的指導(dǎo)性文件�����。
第二部分是工具技術(shù)����,包括數(shù)學(xué)的模型、統(tǒng)計學(xué)的方法�����、相關(guān)的工具以及開發(fā)的計算機軟件�����,還有操作中的某些經(jīng)驗等��。
第三部分是過程步驟���,這是一個動態(tài)的角度來分析風(fēng)險管理���。將把信息安全風(fēng)險管理分為風(fēng)險規(guī)劃、風(fēng)險識別��、風(fēng)險評估����、風(fēng)險決策、風(fēng)險實施�����、風(fēng)險評價等六個階段�����。
第四部分是風(fēng)險管理的對象,企業(yè)組織中的人員���、資產(chǎn)(主要指物理設(shè)備)和資產(chǎn)賴以存在的環(huán)境構(gòu)成了實體層�,企業(yè)的信息安全既要依靠技術(shù)���,更要注重管理���,管理則主要體現(xiàn)于策略中。而最終的目標(biāo)都是保證企業(yè)的核心業(yè)務(wù)能正常運轉(zhuǎn)��,不會受到信息安全風(fēng)險的影響�����。各層內(nèi)部之間也存在著相互關(guān)系��。在實體層如人力管理����、人員培訓(xùn),對資產(chǎn)的管理需要分類分級別進行��、要落實到人,資產(chǎn)設(shè)備的安全則有賴于周圍的環(huán)境����,比如安全邊界的劃分����,電力、溫度濕度的保障等���。而這些都含有策略因素�。此外���,環(huán)境包括硬環(huán)境和軟環(huán)境�,軟環(huán)境的因素也部分影響著策略的選擇�����,如相關(guān)的法律法規(guī)�、相關(guān)的知識產(chǎn)權(quán)����、個人隱私權(quán)等也會影響組織的策略�����,組織在制定策略時不能與之沖突。在管理層�����,策略與技術(shù)是相互補充的�����,一些策略的實現(xiàn)離不開技術(shù)�����,比如不同層次的人員具有不同的訪問控制權(quán)限����,信息安全的保障也需要信息技術(shù)本身。技術(shù)本身也需要一定的管理�。在目標(biāo)層,保持核心業(yè)務(wù)的連續(xù)性��,不受干擾是組織的目標(biāo)����。因此需要不斷地進行風(fēng)險管理和風(fēng)險評估。
四、總結(jié)
信息安全對組織的重要性是不言而喻的���,對信息安全管理不僅是技術(shù)層面的問題��,更是管理層面的事件��。本文給出的信息安全風(fēng)險管理綜合框架涵蓋了風(fēng)險管理的各個方面,為企業(yè)的風(fēng)險評估和風(fēng)險管理提供一些有益的幫助��。
參考文獻:
[1]BS 7799-1,Information Security Management. Code of Practice for Information Security Management System, British Standards Institute,1999.
[2]Australian/New Zealand Standard AN/NZS 4360:Risk Management[S].1999.
[3]NIST SP800-30, Risk Management Guide for Information Technology Systems[S].2002.
[4] Microsoft. The Security Risk Management Guide[S].2004.
[5]ISO/IEC TR 13335-1 Management of Information and Communications technology Security- -part1:Concepts and models of IT Security[S].1997.1.
篇3
構(gòu)建風(fēng)險管理戰(zhàn)略
IT管理人員每天都會接到有關(guān)系統(tǒng)漏洞��、新軟件漏洞或新惡意代碼的警報�,所有這些警報的安全級別很難一下子判斷出來。因此�,結(jié)果往往是 IT 人員不由自主地被這類事務(wù)牽著鼻子走,采取既耗時又費力的行動�,比如查漏洞、打補丁等����。然而,這些行動不見能夠真正起到防護的作用����。
安全風(fēng)險管理可以為企業(yè)提供必要的流程來提高安全性和法規(guī)遵從性。安全風(fēng)險管理的實施離不開CIO、IT 操作人員����、網(wǎng)絡(luò)安全人員及業(yè)務(wù)主管人員的通力協(xié)作。由于有些系統(tǒng)和應(yīng)用程序更容易暴露在風(fēng)險之中���,而IT部門無法獨自確定企業(yè)可承受的風(fēng)險等級��。因此���,IT 和業(yè)務(wù)管理人員需要通力合作來幫助企業(yè)確定資產(chǎn)優(yōu)先級和最大限度地降低風(fēng)險。
安全團隊可以建立明智的風(fēng)險管理戰(zhàn)略���,使有限的資源可以集中于應(yīng)對企業(yè)面臨的最大威脅����。任何公司都不會有足夠多的財力和人力用于完全消除其與 IT 相關(guān)的潛在風(fēng)險���。因此�,將所面臨的各種風(fēng)險量化�����,然后據(jù)此確定安全投資的優(yōu)先順序勢所必然。
新模型的三要素
為了量化風(fēng)險并確定補救措施的優(yōu)先順序�,目前業(yè)內(nèi)比較前沿的一個模型從三個方面測量風(fēng)險:資產(chǎn)價值、資產(chǎn)易受攻擊程度以及各種現(xiàn)實威脅�����。
資產(chǎn)價值:每分鐘需處理價值數(shù)千美元交易的服務(wù)器顯然要比客戶服務(wù)代表的桌面機更為重要�。因此,制定降低風(fēng)險的明智戰(zhàn)略需要清楚了解整個企業(yè)中各類 IT 資產(chǎn)所代表的企業(yè)價值����。
資產(chǎn)易受攻擊程度:除具有不同的企業(yè)價值外����,IT 資產(chǎn)存在其固有的不同程度的軟肋。提供公共網(wǎng)頁的系統(tǒng)比起根本就不連接到 Internet 的系統(tǒng)來��,肯定更容易受到攻擊��。鎖在配線櫥柜中的交換機要比距離公司安全數(shù)千英里遠的膝上電腦更安全��。
現(xiàn)實威脅:安全團隊還必須清楚了解任何現(xiàn)有資產(chǎn)所面臨的各種現(xiàn)實威脅�����。雖然運行在舊式系統(tǒng)上的舊應(yīng)用程序可能對公司具有很高的價值,但它們受威脅的可能性會更小一些��,因此對公司來說���,它們所面臨的風(fēng)險可能要比運行在 Windows 或 Linux 上的應(yīng)用程序所面臨的風(fēng)險要小很多���。
篇4
中圖分類號:TP309 文獻標(biāo)識碼:A 文章編號:1007-9416(2016)11-0209-01
目前,世界各國經(jīng)濟都在迅速發(fā)展����,經(jīng)濟全球化的進程逐漸加快,伴隨著經(jīng)濟的推進��,尖端科技迅猛發(fā)展���。因此��,電腦逐漸走進了各家各戶���,移動互聯(lián)正在改變?nèi)藗兊纳罘绞健S嬎銠C網(wǎng)絡(luò)技術(shù)的優(yōu)越性使得人們對計算機網(wǎng)絡(luò)愈來愈“信賴”�����。然而隨之產(chǎn)生的便是用戶的網(wǎng)絡(luò)信息泄露事件。計算機網(wǎng)絡(luò)安全問題已經(jīng)受到了更多人的重視�。所以,對信息系統(tǒng)安全風(fēng)險管理方法的研究有著鮮明的現(xiàn)實意義��。
1 信息系統(tǒng)安全風(fēng)險管理方法研究
隨著計算機網(wǎng)絡(luò)技術(shù)的不突破何如普及�,極大的方便著人們的生活和學(xué)習(xí)���,而且正在慢慢的改變?nèi)藗兊纳罘绞健D壳?�,計算機網(wǎng)絡(luò)技術(shù)已經(jīng)被應(yīng)用到軍事科技當(dāng)中,中增強著我國國防力量�。使得未來戰(zhàn)爭真正的實現(xiàn)“兵不血刃”����。與此同時�,信息系統(tǒng)的安全問題會“威脅”著國家的經(jīng)濟建設(shè)�����,和國防建設(shè)���。所以這一切都表明了信息系統(tǒng)安全問題是一個國家安全建設(shè)的基礎(chǔ),是國家社會發(fā)展和建設(shè)的保障�����。而信息系統(tǒng)的安全成為了信息化革命的基本。甚至可以說�,信息系統(tǒng)安全問題關(guān)系著國家安全����,民族發(fā)展是全人民的的頭等大事����。信息系統(tǒng)安全計劃建設(shè)是了一個國家和民族的戰(zhàn)略性目標(biāo),已經(jīng)是不爭的事實�。
2 信息系統(tǒng)的信息安全現(xiàn)狀
當(dāng)今社會信息系統(tǒng)安全問題不容樂觀,信息系統(tǒng)面臨著嚴(yán)峻的安全風(fēng)險�����。根據(jù)調(diào)查來看,每年的重大信息系統(tǒng)安全事件正在逐年增加����。信息系統(tǒng)安全問題主要包含以下兩大方面:一是由于現(xiàn)今科技技術(shù)的不完善性和局限性,使得信息系統(tǒng)在構(gòu)建之初便存在著漏洞�,導(dǎo)致信息系統(tǒng)“脆弱”。二是現(xiàn)實社會中的各種經(jīng)濟斗爭和利益斗爭���,使得原本的信息系統(tǒng)漏洞被“開發(fā)利用”�。計算機網(wǎng)絡(luò)技術(shù)是一個復(fù)雜的大系統(tǒng)��,它是由眾多的代碼���、硬件����、軟件�����、協(xié)議所共同組成�。在計算機網(wǎng)絡(luò)技術(shù)的不完善和設(shè)計人員思想局限性的前提下����,使得信息安全系統(tǒng)在構(gòu)建的時候會出現(xiàn)不可避免的漏洞����。例如���,計算機網(wǎng)絡(luò)中一個操作系統(tǒng)需要幾千幾萬的代碼組成��,甚至更多�����。為滿足用戶的各種需要�,設(shè)計的技術(shù)復(fù)雜性逐漸增多��。據(jù)調(diào)查在繁瑣的計算機網(wǎng)絡(luò)設(shè)計時��,很可能一千行代碼中便會存在一個錯誤��。因此�,信息系統(tǒng)的漏洞越來越多,越來越嚴(yán)重���。另一方面����,“黑客”作為一種“文化現(xiàn)象”一直伴隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展而發(fā)展。并且隨著人們之間的利益沖突不斷加劇�,使得黑客的惡意攻擊事件愈演愈劣。此外���,根據(jù)調(diào)查顯示��,在攻擊技術(shù)復(fù)雜的計算機網(wǎng)絡(luò)時,黑客相對應(yīng)需要的知識卻越來越少[1]。
3 信息系統(tǒng)風(fēng)險管理的目的和作用
信息系統(tǒng)安全是目前全世界所面臨的重大問題。雖然,信息安全問題具有著普遍性,但是同時因為它的特殊性�,使得我們不得不重視。信息系統(tǒng)的安全管理已經(jīng)不再是“0”和“1”之間的問題。我們不斷的探索�����,為了找到一個更好的信息系統(tǒng)安全管理方法���。我們希望新的信息系統(tǒng)安全管理方法可以改變現(xiàn)今網(wǎng)絡(luò)安全的現(xiàn)狀����,并且讓更多的人可以更好的享受計算機網(wǎng)絡(luò)技術(shù)帶來的方便���。計算機網(wǎng)絡(luò)在人們的生活和學(xué)習(xí)中有著重要的的作用���,在國家建設(shè)上有著重要的地位�,信息系統(tǒng)的安全管理的研究,我們旨在便利更多的人民群眾���,更好的建設(shè)國家,為祖國的建設(shè)作出貢獻��。我們要做到防患于未然�,讓國家和人民免于信息系統(tǒng)安全問題的威脅�。由此我們可以得出這樣的結(jié)論:風(fēng)險管理是信息系統(tǒng)安全管理方法的新模式��,而最佳的信息系統(tǒng)安全保障方法就是對信息系統(tǒng)進行風(fēng)險管理。
4 信息系統(tǒng)風(fēng)險管理的趨勢
縱觀世界,信息系統(tǒng)安全風(fēng)險管理的經(jīng)歷了技術(shù)�,技術(shù)與管理相結(jié)合的階段��。當(dāng)前�,在信息安全保障意識的前提下���,還在不斷的深入完善�。如何將傳統(tǒng)的風(fēng)險管理理論和實際相結(jié)合并更好的應(yīng)用于信息安全管理領(lǐng)域����,是全世界面臨的一個尚未解決的問題。
5 信息安全風(fēng)險管理理論基礎(chǔ)
信息安全風(fēng)險管理研究的理論基礎(chǔ)大的方面是國家規(guī)定的計算機網(wǎng)絡(luò)技術(shù)管理法則����,和現(xiàn)今的計算機網(wǎng)絡(luò)技術(shù)�。小的方面是現(xiàn)今信息系統(tǒng)所具有的保密性�、完整性���、可用性��、脆弱性��。以及網(wǎng)絡(luò)信息系統(tǒng)面臨的威脅[2]���。
6 網(wǎng)絡(luò)信息系統(tǒng)風(fēng)險管理的ISISRM管理方法
6.1 ISISRM方法的基本思想
ISISRM方法體現(xiàn)的是“定制”思想�����,它具有較強的開放性�����,在識別風(fēng)險因素并進行解決的同時����,它不會拘泥于單一的解決方法。它可以使風(fēng)險管理過程和用戶使用目的緊密集合結(jié)合在一起����,并且在風(fēng)險評估時采用了“適度量化”的原則。在ISISRM方法的我研究中引用了經(jīng)濟管理學(xué)的知識�����,它將不再只解決信息安全問題�����,而是從用戶的角度上來說變成了一種“投資”行為[3]����。
6.2 ISISRM方法的管理周期
按照ISISRM的設(shè)計邏輯,ISISRM的管理周期分為風(fēng)險管理準(zhǔn)備階段��、信息安全風(fēng)險因素識別階段���、信息安全風(fēng)險分析和評估階段、信息系統(tǒng)安全保障分析階段���、信息系統(tǒng)安全決策階段���、信息安全風(fēng)險動態(tài)監(jiān)控階段����。
7 結(jié)語
計算機網(wǎng)絡(luò)技術(shù)迅速發(fā)展�����,加速了社會信息化的進程��,使得人文建設(shè)與信息系統(tǒng)關(guān)系日益“親密”����,但是隨之而來的信息安全問題值得引起我們的重視,并讓我們花費人力和物力進行解決��,它時刻的威脅著我們社會主義人文建設(shè)�。所以我們應(yīng)該運用ISISRM這樣的風(fēng)險安全方法進行信息系統(tǒng)安全的維護和改善。
參考文獻
篇5
(二)信息安全風(fēng)險形式嚴(yán)峻��。我國銀行業(yè)面臨的信息安全風(fēng)險相較于其他行業(yè)來說比較嚴(yán)峻�����,銀行系統(tǒng)的開放性和電子商務(wù)數(shù)量和規(guī)模的大幅度增長使得其受到攻擊的可能性大幅度上升��。銀行在發(fā)展的過程中為了更大程度地滿足客戶的需求,往往對信息技術(shù)存在著嚴(yán)重的依賴����,使得信息系統(tǒng)受到木馬攻擊、病毒侵害和釣魚網(wǎng)站危害的可能性大大增加�。
二、銀行信息安全風(fēng)險管理的建議
(一)銀行要重視信息安全風(fēng)險識別體系的構(gòu)建����。信息安全風(fēng)險識別是一項系統(tǒng)的工程,銀行要想及時�����、完整地識別出其在生產(chǎn)經(jīng)營過程中的風(fēng)險����,就必須重視信息安全風(fēng)險管理識別體系的建設(shè),從起點上提升系統(tǒng)的整體安全系數(shù)標(biāo)準(zhǔn)�����。銀行要定期對信息安全風(fēng)險管理體系的可靠性進行評估�,嚴(yán)格按照全面風(fēng)險管理的原則對風(fēng)險進行識別和應(yīng)對��。
(二)銀行要建立重大信息安全風(fēng)險預(yù)警和應(yīng)急方案。重大信息安全風(fēng)險預(yù)警和應(yīng)急方案能使得銀行的信息風(fēng)險保持在可控的范圍之內(nèi)�����,在新的金融時期�,完善的銀行信息安全應(yīng)急方案給金融系統(tǒng)的穩(wěn)定上了一層重要的保險。完善的銀行信息安全風(fēng)險預(yù)警和應(yīng)急方案是一種事前控制措施�����,是銀行信息安全風(fēng)險管理的重要舉措�。
(三)國家要加大銀行信息安全犯罪的懲治力度。國家相關(guān)職能部門應(yīng)該加大力度對信息安全犯罪進行打擊��。相關(guān)部門應(yīng)該從根本上對這種犯罪進行嚴(yán)肅管理�����,將常規(guī)化管理落實下去����,堅決杜絕形式化管理,一旦發(fā)現(xiàn)問題要給予嚴(yán)厲的懲罰�。對于銀行信息安全的重大犯罪要嚴(yán)懲不貸,對網(wǎng)絡(luò)金融犯罪要高壓打擊����。這樣整個銀行系統(tǒng)才會意識到信息安全風(fēng)險管理的重要性���,注重維護自身的信息安全。
篇6
【關(guān)鍵詞】商業(yè)銀行 信息安全 風(fēng)險管理 體系構(gòu)架
在我國加入世貿(mào)組織后�����,在市場經(jīng)濟的影響下逐步形成一個與全球經(jīng)濟同步的開放整體��,我國很多商業(yè)銀行都開始設(shè)立國外分行���,同時��,國外銀行也在不斷開拓國內(nèi)市場���,這就表明,我國商業(yè)銀行信息系統(tǒng)安全隱患也將由國內(nèi)范圍加深到世界范圍����。這時候,應(yīng)該從分析了解我國商業(yè)銀行信息系統(tǒng)特性著手���,準(zhǔn)備把握我國商業(yè)銀行信息系統(tǒng)的安全風(fēng)險信息����,也可借鑒國外已經(jīng)成熟了的銀行信息系統(tǒng)安全管理體制�,再根據(jù)本行的信息安全系統(tǒng)的特點,構(gòu)建并完善我國商業(yè)銀行信息系統(tǒng)安全風(fēng)險管理體制����,及時防范并有效降低我國商業(yè)銀行信息的安全損害,確保我國商業(yè)銀行的信息安全���,已經(jīng)成為我國金融機構(gòu)熱議的話題���,必須引起銀行以及監(jiān)督管理機構(gòu)的重視。
1 我國商業(yè)銀行信息安全風(fēng)險管理現(xiàn)狀
1.1 信息安全與風(fēng)險管理
廣義上來說��,信息安全是在特定社會背景下�����,國家為維護自身信息安全�����、低于國外信息威脅利用信息安全的通訊技術(shù)�、網(wǎng)絡(luò)IT技術(shù)的一種能力���。從狹義上來講,信息安全就是信息內(nèi)容不被隨意泄漏和改變�,信息體統(tǒng)不受威脅與攻擊。當(dāng)前�����,風(fēng)險管理已經(jīng)在國際上越來越廣泛地被運用��,有效的風(fēng)險管理不但可以削減企業(yè)經(jīng)營風(fēng)險����,還能夠在企業(yè)決策上提供一定的支持,保障企業(yè)的可持續(xù)發(fā)展�����。所以��,風(fēng)險管理有非常巨大的存在意義��。風(fēng)險管理是信息安全的基本觀念����。目前���,普遍認為信息安全是識別信息系統(tǒng)風(fēng)險,并能夠采取相應(yīng)措施不斷完善信息系統(tǒng)的一個過程�����。
1.2 網(wǎng)絡(luò)風(fēng)險
在管理商業(yè)銀行信息系統(tǒng)時�����,一定要非常謹(jǐn)慎的對待風(fēng)險管理過程�。在評估風(fēng)險時���,可能會發(fā)現(xiàn)網(wǎng)絡(luò)被沒有被充分的保護����,需要增加一些軟件���、硬件或者是加強安全管理意識等進行充分保護��。網(wǎng)絡(luò)安全能夠平衡銀行業(yè)務(wù)��、客戶功能和速度����。要證明減少某些操作是無誤的�����,比如關(guān)閉Active�����,該行為的發(fā)生必須在能夠保證銀行業(yè)務(wù)和用戶在一個安全的環(huán)境下���。企業(yè)最高決策機構(gòu)必須時刻強調(diào)時刻注意企業(yè)的安全����,以風(fēng)險管理為原則不斷識別企業(yè)網(wǎng)絡(luò)存在的安全隱患����,能準(zhǔn)確判斷網(wǎng)絡(luò)容易受到攻擊地方���,并能夠從根本上加強保護��。風(fēng)險評估是風(fēng)險管理的基礎(chǔ)����,主要根據(jù)三個步驟來實現(xiàn)風(fēng)險評估:
1.2.1 網(wǎng)絡(luò)價值的判斷
一定要從銀行的有形資產(chǎn)和無形資產(chǎn)兩方面考慮來評估商業(yè)銀行的網(wǎng)絡(luò)價值�。比如,在系統(tǒng)出現(xiàn)故障的時候��,要考慮到該故障會對企業(yè)的財政收入造成的影響�;在網(wǎng)絡(luò)出現(xiàn)故障時,要考慮修復(fù)網(wǎng)絡(luò)需要花費的人力�、物力成本,重建網(wǎng)絡(luò)信息要消耗的資金�����;在商業(yè)銀行網(wǎng)絡(luò)中有重要信息被泄漏,要考慮到整個公司的財政將會受到多大的影響�。
1.2.2 定義威脅
商業(yè)銀行的網(wǎng)絡(luò)和網(wǎng)絡(luò)數(shù)據(jù)經(jīng)常會很容易被內(nèi)外部環(huán)境的威脅攻擊。所以��,了解每種類型的威脅是非常必要的����,還要盡可能多的鑒別可能存在的威脅��。目前���,很多管理網(wǎng)絡(luò)的人員都并不能清楚理解環(huán)境自身的威脅。內(nèi)部威一般很常見也很容易定義�、識別。外部威脅就相對較難定義�����,首先要做的是判斷破壞機密文件的以未授權(quán)方式的患者記錄或者信用卡號??赡苁瞧髽I(yè)的競爭對手為了找到銀行客戶資料,也可能是為了改變銀行的數(shù)據(jù)并破壞數(shù)據(jù)的可用性的黑客所為�;準(zhǔn)確判斷網(wǎng)絡(luò)容易受攻擊的地方。安全弱點就是已經(jīng)被識別的威脅���,按等級分類所識別的威脅:威脅的關(guān)注度����、威脅的可行性����。
1.2.3 設(shè)定方案
如何執(zhí)行一個安全的解決方案是網(wǎng)絡(luò)風(fēng)險管理過程中的最后一步����。該方案需要從以下幾方面著手:加強客戶以及網(wǎng)絡(luò)管理人員的安全防范意識;改變并創(chuàng)新網(wǎng)絡(luò)結(jié)構(gòu)���;穩(wěn)固安全硬件���;關(guān)閉銀行中有安全威脅的并不常用或者根本就不需要的測試、服務(wù)以及補丁程序����。
網(wǎng)絡(luò)風(fēng)險主要表現(xiàn)在這幾個方面:安全性風(fēng)險����、網(wǎng)絡(luò)故障風(fēng)險、法律媒體風(fēng)險�����。防范網(wǎng)絡(luò)風(fēng)險需要對網(wǎng)絡(luò)安全進行風(fēng)險評估�����,建立網(wǎng)絡(luò)安全管理構(gòu)架�,最后制定一系列安全防范措施����。評估風(fēng)險首先需要企業(yè)內(nèi)部專門的網(wǎng)絡(luò)安全管理人員分析并診斷企業(yè)網(wǎng)絡(luò)安全的狀況�,然后從管理與技術(shù)兩個方面探討研究網(wǎng)絡(luò)安全問題的存在����。網(wǎng)絡(luò)安全管理體系架構(gòu)需要考慮到的網(wǎng)絡(luò)風(fēng)險的幾個方面:通過完善網(wǎng)絡(luò)設(shè)備性能����、提高網(wǎng)絡(luò)承受力、先進傳輸技術(shù)的引進以及定期核查網(wǎng)絡(luò)設(shè)備的方式來避免網(wǎng)絡(luò)故障風(fēng)險����;通過加強宣傳并提高社會成員法律安全意思制定一定的法律條款來防范法律媒體風(fēng)險;通過增加設(shè)立持續(xù)不斷的電源�����、增加投保企業(yè)保險��、加強網(wǎng)絡(luò)機器安全管理等方法來避免網(wǎng)絡(luò)安全風(fēng)險中如斷電�、火災(zāi)等的自然風(fēng)險����。針對網(wǎng)絡(luò)自身的風(fēng)險以及網(wǎng)絡(luò)攻擊風(fēng)險,需要遵循一定的有限級有條理有選擇的來解決來自數(shù)據(jù)��、應(yīng)用、系統(tǒng)���、網(wǎng)絡(luò)的信息安全問題���。利用防火墻技術(shù)、安全監(jiān)督體制�����、IT設(shè)計工具���、VNP設(shè)備�、數(shù)據(jù)加密技術(shù)以及數(shù)字簽名等技術(shù)保障網(wǎng)絡(luò)風(fēng)險的最小化����,并制定符合法律規(guī)則的有一定安全標(biāo)準(zhǔn)的全面完善的網(wǎng)絡(luò)安全風(fēng)險管理體制。
1.3 外包業(yè)務(wù)風(fēng)險
當(dāng)前�����,我國商業(yè)銀行中有一大部分的銀行屬于中小型銀行���,在資金水平以及信息技術(shù)能力的限制下�,缺乏獨立的信息系統(tǒng)開發(fā)能力,只有通過業(yè)務(wù)的外包來滿足銀行信息系統(tǒng)�����,導(dǎo)致大量的銀行核心代碼分散到外包公司信息系統(tǒng)中����。如果商業(yè)銀行在這種情況下沒有謹(jǐn)慎對待外包商、依據(jù)法律條款簽訂相應(yīng)的協(xié)議���、明確協(xié)議雙方的職責(zé),那么��,銀行信息系統(tǒng)的信息安全以及系統(tǒng)業(yè)務(wù)的可持續(xù)性將會受到加大的威脅���。與此同時����,在銀行維護信息系統(tǒng)的時候�����,外包公司審核的不夠嚴(yán)謹(jǐn)���,沒能積極修復(fù)系統(tǒng)漏洞�、優(yōu)化信息系統(tǒng)��,也會威脅到銀行信息系統(tǒng)的安全���。銀行在與外包公司簽訂合同協(xié)議的時候��,如果沒有做好協(xié)議數(shù)據(jù)保密工作��、外包公司蓄意泄密或者轉(zhuǎn)包服務(wù)等情況��,都會產(chǎn)生信息安全風(fēng)險��,甚至?xí)o銀行帶來銷毀性的打擊���。
2 我國商行銀行信息安全風(fēng)險管理體系架構(gòu)
我國商業(yè)銀行存在一定信息安全風(fēng)險是必然的,即使不能避免和杜絕這種風(fēng)險����,也要采取相應(yīng)的措施最大程度的控制、削減�����、化解風(fēng)險的發(fā)生頻率。我國商業(yè)銀行信息安全風(fēng)險管理體系架構(gòu)主要從技術(shù)�����、運作以及管理組織平臺三方面設(shè)計���。
2.1 管理組織平臺
風(fēng)險管理組織平臺處于我國商行銀行信息安全風(fēng)險管理體系的最高層���,為整個管理體系提供策略性的引導(dǎo)。主要從商業(yè)銀行信息安全風(fēng)險管理的制度與策略��、管理人才以及組織機構(gòu)三方面著手�。
2.2 運行平臺
我國商業(yè)銀行信息安全風(fēng)險管理體系的中間部分就是風(fēng)險管理的運行平臺,也是商業(yè)銀行信息安全風(fēng)險管理體系的核心與主體部分��。風(fēng)險運行的整個過程包含了風(fēng)險的識別���、評估以及應(yīng)對等諸多活動��,著重體現(xiàn)一種風(fēng)險管理持續(xù)完善的理念��。該過程依據(jù)PDCA模式��,嚴(yán)格按照計劃���、實施、改進的管理模式管理商業(yè)銀行信息安全風(fēng)險�����,持續(xù)完善商業(yè)銀行信息安全風(fēng)險管理體系架構(gòu)�����,有利于銀行創(chuàng)建良好的安全的信息環(huán)境���。
2.3 技術(shù)平臺
商業(yè)銀行信息安全風(fēng)險管理體系的最底層便是風(fēng)險管理的技術(shù)平臺���。技術(shù)平臺為運行與組織平臺的創(chuàng)建和實施提供有力的技術(shù)支持,也為我國商業(yè)銀行信息安全風(fēng)險管理體系提供了安全性技術(shù)保障�。從時效上將技術(shù)平臺分為預(yù)防、實時跟蹤以及事后恢復(fù)三大技術(shù)�����。
我國商業(yè)銀行信息安全風(fēng)險管理體系架構(gòu)主要從技術(shù)平臺����、運行平臺����、組織平臺三方面的構(gòu)建組成���。風(fēng)險管理組織平臺的構(gòu)建是我國商業(yè)銀行信息安全風(fēng)險管理體系的重要組成部分�����,為整個管理體系提供策略性的引導(dǎo)��;風(fēng)險管理運行平臺的構(gòu)建是我國商業(yè)銀行信息安全風(fēng)險管理體系的核心組成部分����,風(fēng)險管理的運行過程嚴(yán)格遵循PDCA的循環(huán)定律����。通過資產(chǎn)、威脅����、脆弱性三方面的評估形成對應(yīng)的資產(chǎn)、威脅����、脆弱性信息�����,為滿足銀行業(yè)務(wù)的需求�����,可以采取轉(zhuǎn)移風(fēng)險法、規(guī)避風(fēng)險法�����、接受風(fēng)險法以及消減風(fēng)險法加以應(yīng)對我國商業(yè)銀行信息安全風(fēng)險���。具體利用數(shù)字加密技術(shù)�、身份認證技術(shù)�����、控制訪問技術(shù)�����、檢測入侵技術(shù)、數(shù)據(jù)備份以及恢復(fù)技術(shù)為我國商業(yè)銀行信息安全風(fēng)險管理體系的構(gòu)架提供安全有力的技術(shù)支持���。
在我國商行銀行信息安全風(fēng)險管理體系基本構(gòu)建完成后�,還需要對該體系做出評審���、改建意見以及相關(guān)說明等后期工作。該后期工作的主要內(nèi)容包括內(nèi)部審計����、外部審計以及文件管理����。需要注意的是�,在審計過程中�,常常會遇到銀行信息系統(tǒng)中的大量的銘感信息�����,假若不能夠正確處理審計過程中遇到的銀行敏感信息將會給銀行的信息安全帶來不可忽視的威脅���,所以,加強嚴(yán)格管理與控制我國商業(yè)銀行的外部審計是我國商業(yè)銀行當(dāng)前面臨的一項刻不容緩的任務(wù)����。銀行最高決策機構(gòu)應(yīng)該依據(jù)法律制度����,設(shè)計出相應(yīng)的整改方案,并定期實施有效方案��,提高我國商業(yè)銀行信息的安全度�����,保障我國商業(yè)銀行信息安全風(fēng)險管理體系的成功構(gòu)建。
3 結(jié)束語
信息在網(wǎng)絡(luò)信息迅速發(fā)展的背景下已經(jīng)成為一項可貴的必不可少的資源����。一般來講�,掌握的信息越多、越準(zhǔn)確就越有取勝以及權(quán)威的先機���。信息對于我國商業(yè)銀行這樣一個特別的行業(yè)更是非常重要。在商業(yè)銀行網(wǎng)絡(luò)與業(yè)務(wù)規(guī)模不斷擴大的背景下�����,我國商業(yè)銀行在信息安全保護方面面臨嚴(yán)峻的考驗,所以��,保障商業(yè)銀行信息安全風(fēng)險管理體系的安全已經(jīng)成為目前金融行業(yè)重要的使命��。
參考文獻
篇7
[概述]: 隨著企業(yè)網(wǎng)絡(luò)的不斷擴大,越來越多的安全威脅在影響著企業(yè)的安全狀況�,近兩年��,熊貓燒香�、conficter蠕蟲���,都給企業(yè)帶來了大量的安全損失,然而��,解決企業(yè)的信息安全問題�,不能單獨從某一個方面入手��,最好的解決方案應(yīng)該是從整體上降低信息安全風(fēng)險。
國際上傳統(tǒng)的風(fēng)險管理流程較為概略����,在中國特有的網(wǎng)絡(luò)環(huán)境中也比較缺乏可實施性��,本文將會針對中國IT環(huán)境的建設(shè)過程,遵循一定信息安全系統(tǒng)建設(shè)規(guī)律����,考慮到各個信息安全產(chǎn)品之間的整合和聯(lián)動���,形成一個完善的動態(tài)信息安全風(fēng)險管理體系��,讓國際標(biāo)準(zhǔn)在中國的IT環(huán)境中得以實現(xiàn)��。
1.IT系統(tǒng)信息安全建設(shè)的現(xiàn)狀
傳統(tǒng)的信息安全建設(shè)網(wǎng)網(wǎng)局限于防御系統(tǒng)的建設(shè)��,企業(yè)不斷的在投入資金����,購買各種各樣的硬件設(shè)備和軟件系統(tǒng),主要的功能集中在抵御各類安全威脅�,其中包括:終端防病毒系統(tǒng)、終端安全管理系統(tǒng)���、防火墻、入侵防御設(shè)備���、Web防護類設(shè)備����,入侵檢測等等�。采用這樣的信息安全產(chǎn)品能夠取得一些效果�����,但是往往造成信息安全系統(tǒng)比較被動��,不能夠主動的發(fā)現(xiàn)安全風(fēng)險,及時的降低安全風(fēng)險�����。
(1)經(jīng)常采用的信息安全產(chǎn)品我們在信息安全建設(shè)的初級階段�,經(jīng)常采購的信息安全產(chǎn)品包括:
l防病毒:在終端部署的企業(yè)防病毒產(chǎn)品,檢測和查殺各類病毒����;
l防火墻(Firewall):訪問控制設(shè)備��,幫助建立基本的企業(yè)網(wǎng)絡(luò)安全邊界�����;
lWeb Cache設(shè)備:部署在外部網(wǎng)絡(luò)�,實現(xiàn)對網(wǎng)絡(luò)訪問的緩存���,提升訪問速度����;
l負載均衡:對網(wǎng)絡(luò)訪問性能進行調(diào)控�����,保證網(wǎng)絡(luò)負載均衡�����;
l郵件安全網(wǎng)關(guān):實時檢測和過濾各類病毒郵件及垃圾郵件;
l入侵檢測和防御系統(tǒng):檢測網(wǎng)絡(luò)數(shù)據(jù)����,對網(wǎng)絡(luò)內(nèi)部的各類攻擊行為進行報警�����;
部署的安全設(shè)備能夠起到一定的安全防護功能,但是隨著安全威脅的不斷變化和發(fā)展���,現(xiàn)有的安全機制已經(jīng)難以滿足目前的信息安全需求,我們需要主動地控制安全風(fēng)險���,才能夠在不斷復(fù)雜的安全環(huán)境中確保企業(yè)網(wǎng)絡(luò)的安全��。��。
(2)普遍意義上的安全風(fēng)險管理信息安全風(fēng)險管理的本質(zhì)���,可以看作是動態(tài)地對信息安全風(fēng)險的管理,即要實現(xiàn)對信息和信息系統(tǒng)的風(fēng)險進行有效評估�����、分析���、控制和管理����。在ISO標(biāo)準(zhǔn)當(dāng)中���,已經(jīng)給出了一個非常經(jīng)典的安全風(fēng)險模型����,如下圖:
也就是說�,只有企業(yè)具有了信息化的核心資產(chǎn)(比如有很重要的數(shù)據(jù)保存在服務(wù)器上)����,這些資產(chǎn)存在弱點和漏洞(比如微軟操作系統(tǒng)的漏洞)���,又存在被損害的可能(比如病毒、黑客攻擊等等)��,才可能給企業(yè)造成損失。因此���,企業(yè)的安全風(fēng)險和這三個方面相關(guān),企業(yè)也只有同時管理好這三個方面�,才可能真正的確保網(wǎng)絡(luò)安全。
而傳統(tǒng)的安全產(chǎn)品(如前所述)�,只是去抵御安全威脅,卻忽視了資產(chǎn)的重要性和對漏洞的管理����。���。更加不可能實現(xiàn)多安全風(fēng)險的準(zhǔn)確評估和動態(tài)管理���。
(3)風(fēng)險管理流程既然要降低安全風(fēng)險,我們就需要一個成熟的流程來對信息安全風(fēng)險進行管理和控制����,一般的安全風(fēng)險管理流程如下:
l識別風(fēng)險:準(zhǔn)確識別網(wǎng)絡(luò)中存在的安全風(fēng)險�����;
l分析風(fēng)險:通過定性或者定量的方法確定現(xiàn)存的安全風(fēng)險是否需要消除�����;
l消除風(fēng)險:通過有效的手段降低安全風(fēng)險;
l監(jiān)控風(fēng)險:監(jiān)控安全風(fēng)險的變化���,做到對風(fēng)險的動態(tài)管理。�����。
(4)安全風(fēng)險管理的問題傳統(tǒng)的安全產(chǎn)品,如IDS�,防病毒系統(tǒng)等只是在被動的抵御或檢測安全威脅�����,缺乏主動的防護措施和手段;而要實現(xiàn)主動的信息安全管理���,則需要對企業(yè)整體的安全風(fēng)險進行監(jiān)控和管理�����,但在執(zhí)行過程中�����,存在如下問題:
l沒有技術(shù)手段實現(xiàn)對安全風(fēng)險的全面的監(jiān)控����;
l消除信息安全風(fēng)險的手段不明確�����;
l缺乏詳細的可實施的信息安全風(fēng)險管理流程�,能夠結(jié)合所有的信息安全產(chǎn)品�����,從而實現(xiàn)全面的安全風(fēng)險管理��。
2.動態(tài)安全風(fēng)險管理體系
基于國際信息安全標(biāo)準(zhǔn)����,結(jié)合中國IT環(huán)境的特點�,我們應(yīng)該首先明確安全風(fēng)險的三個重要方面及控制手段,有計劃有步驟的加強整個信息安全體系的建設(shè)�����,才有可能最終實現(xiàn)完善的風(fēng)險管理系統(tǒng)�。
(1)可實施的安全風(fēng)險管理理論根據(jù)安全風(fēng)險的特點和三個關(guān)鍵要素,我們可以針對信息安全風(fēng)險形成更具可實施性的安全風(fēng)險管理方法論����,其核心思路是根據(jù)企業(yè)的基礎(chǔ)環(huán)境,全面準(zhǔn)確的評估安全風(fēng)險�,并根據(jù)安全風(fēng)險的狀況結(jié)合系統(tǒng)��、網(wǎng)絡(luò)層面的安全防御手段有效抵御安全威脅,最終主動的降低整體安全風(fēng)險。
要實現(xiàn)對安全風(fēng)險的管理和控制,需要實現(xiàn)完整的風(fēng)險管理流程:
l發(fā)現(xiàn)安全風(fēng)險:通過有效的手段�����,確定存在安全風(fēng)險的資產(chǎn)和區(qū)域��,定位安全風(fēng)險存在的區(qū)域;
l評估安全風(fēng)險:準(zhǔn)確高效的評估安全風(fēng)險���,了解安全風(fēng)險的大小和實質(zhì)���;
l強制措施降低風(fēng)險:通過管理或強制等安全手段,主動地降低安全風(fēng)險;
l安全防御:通過各類系統(tǒng)�、網(wǎng)絡(luò)安全設(shè)備,防御各類安全威脅�����;
l修補:主動修補存在的各類漏洞���,全面降低安全風(fēng)險�����。
綜上所述,通過完整的安全風(fēng)險管理流程����,對整個網(wǎng)絡(luò)的安全風(fēng)險實現(xiàn)全面的管理和控制,5個步驟缺一不可,同時�����,風(fēng)險管理流程根據(jù)企業(yè)的具體情況�,可以有不同的實現(xiàn)方式,最終實現(xiàn):
l始終遵守確定的安全政策�����;
l基于風(fēng)險管理��,整合網(wǎng)內(nèi)現(xiàn)有的安全防護產(chǎn)品�����;
l通過全面的實時防護產(chǎn)品更好的檢測并阻止安全威脅�;
(2)實現(xiàn)安全風(fēng)險管理的詳細步驟:1——確立安全標(biāo)準(zhǔn)和方針;
2——統(tǒng)計信息資產(chǎn)���;
3——整合并確認資產(chǎn)的商業(yè)價值;
4——檢測資產(chǎn)存在的安全漏洞�;
5——了解存在的潛在威脅��;
6——分析存在的安全風(fēng)險���;
7——通過安全防御產(chǎn)品實時阻斷安全威脅�����;
8——強制安全策略并應(yīng)用補救措施���;
9——評估安全效果和影響�;
10——針對已有策略進行比對���。
綜上所述�����,傳統(tǒng)的安全產(chǎn)品(防病毒�����、防火墻等)�,只是去抵御安全威脅����,卻忽視了對整體安全風(fēng)險的考慮���,而整合的安全風(fēng)險管理體系考慮到了可能影響企業(yè)安全風(fēng)險的三個關(guān)鍵要素�����,并且可以結(jié)合現(xiàn)有的安全產(chǎn)品,通過完善安全風(fēng)險管理流程幫助企業(yè)實時的控制整體安全風(fēng)險�����,真正的解決安全問題����。
(3)安全風(fēng)險管理體系的建設(shè)步驟要實現(xiàn)完善的安全風(fēng)險管理�,我們需要有計劃有步驟的完善自身的安全風(fēng)險管理體系,并且制定相應(yīng)的安全策略��,做到有的放矢�����。企業(yè)在構(gòu)建安全風(fēng)險管理體系的時候����,有一個基本次序:
l 首先,構(gòu)建完善的終端安全體系��,因為終端安全是基礎(chǔ)����,任何安全威脅最終影響到的都是終端系統(tǒng),同時,終端面對的病毒等威脅數(shù)量最多����;
l 其次,是構(gòu)建完善的網(wǎng)絡(luò)防護體系�,如防火墻、入侵防護系統(tǒng)�����、垃圾郵件過濾系統(tǒng)等���,從網(wǎng)絡(luò)層面第一時間抵御安全威脅�,同時�,還要防御各類終端難以防御的網(wǎng)絡(luò)攻擊行為;
l 最后��,當(dāng)已經(jīng)建立了高效的防護體系之后���,需要建立全面的資產(chǎn)管理和風(fēng)險管理體系�����,整合現(xiàn)有的安全設(shè)備和手段���,形成成熟完備的動態(tài)安全風(fēng)險管理體系�。
[參考文獻]:
篇8
關(guān)鍵字(Keywords):
安全管理���、風(fēng)險����、弱點���、評估、城域網(wǎng)�、IP、AAA�����、DNS
1 信息安全管理概述
普遍意義上�����,對信息安全的定義是“保護信息系統(tǒng)和信息�,防止其因為偶然或惡意侵犯而導(dǎo)致信息的破壞、更改和泄漏�����,保證信息系統(tǒng)能夠連續(xù)、可靠��、正常的運行”��。所以說信息安全應(yīng)該理解為一個動態(tài)的管理過程��,通過一系列的安全管理活動來保證信息和信息系統(tǒng)的安全需求得到持續(xù)滿足�����。這些安全需求包括“保密性”�����、“完整性”��、“可用性”�、“防抵賴性”、“可追溯性”和“真實性”等�����。
信息安全管理的本質(zhì)��,可以看作是動態(tài)地對信息安全風(fēng)險的管理,即要實現(xiàn)對信息和信息系統(tǒng)的風(fēng)險進行有效管理和控制�。標(biāo)準(zhǔn)ISO15408-1(信息安全風(fēng)險管理和評估規(guī)則),給出了一個非常經(jīng)典的信息安全風(fēng)險管理模型���,如下圖一所示:
既然信息安全是一個管理過程�,則對PDCA模型有適用性���,結(jié)合信息安全管理相關(guān)標(biāo)準(zhǔn)BS7799(ISO17799)��,信息安全管理過程就是PLAN-DO-CHECK-ACT(計劃-實施與部署-監(jiān)控與評估-維護和改進)的循環(huán)過程�。
2 建立信息安全管理體系的主要步驟
如圖二所示���,在PLAN階段,就需要遵照BS7799等相關(guān)標(biāo)準(zhǔn)�����、結(jié)合企業(yè)信息系統(tǒng)實際情況�,建設(shè)適合于自身的ISMS信息安全管理體系,ISMS的構(gòu)建包含以下主要步驟:
(1) 確定ISMS的范疇和安全邊界
(2) 在范疇內(nèi)定義信息安全策略�����、方針和指南
(3) 對范疇內(nèi)的相關(guān)信息和信息系統(tǒng)進行風(fēng)險評估
a) Planning(規(guī)劃)
b) Information Gathering(信息搜集)
c) Risk Analysis(風(fēng)險分析)
u Assets Identification & valuation(資產(chǎn)鑒別與資產(chǎn)評估)
u Threat Analysis(威脅分析)
u Vulnerability Analysis(弱點分析)
u 資產(chǎn)/威脅/弱點的映射表
u Impact & Likelihood Assessment(影響和可能性評估)
u Risk Result Analysis(風(fēng)險結(jié)果分析)
d) Identifying & Selecting Safeguards(鑒別和選擇防護措施)
e) Monitoring & Implementation(監(jiān)控和實施)
f) Effect estimation(效果檢查與評估)
(4) 實施和運營初步的ISMS體系
(5) 對ISMS運營的過程和效果進行監(jiān)控
(6) 在運營中對ISMS進行不斷優(yōu)化
3 IP寬帶網(wǎng)絡(luò)安全風(fēng)險管理主要實踐步驟
目前,寬帶IP網(wǎng)絡(luò)所接入的客戶對網(wǎng)絡(luò)可用性和自身信息系統(tǒng)的安全性需求越來越高�����,且IP寬帶網(wǎng)絡(luò)及客戶所處的信息安全環(huán)境和所面臨的主要安全威脅又在不斷變化�����。IP寬帶網(wǎng)絡(luò)的運營者意識到有必要對IP寬帶網(wǎng)絡(luò)進行系統(tǒng)的安全管理���,以使得能夠動態(tài)的了解����、管理和控制各種可能存在的安全風(fēng)險�。
由于網(wǎng)絡(luò)運營者目前對于信息安全管理還缺乏相應(yīng)的管理經(jīng)驗和人才隊伍,所以一般采用信息安全咨詢外包的方式來建立IP寬帶網(wǎng)絡(luò)的信息安全管理體系�����。此類咨詢項目一般按照以下幾個階段�,進行項目實踐:
3.1 項目準(zhǔn)備階段。
a) 主要搜集和分析與項目相關(guān)的背景信息�����;
b) 和客戶溝通并明確項目范圍、目標(biāo)與藍圖��;
c) 建議并明確項目成員組成和分工����;
d) 對項目約束條件和風(fēng)險進行聲明;
e) 對客戶領(lǐng)導(dǎo)和項目成員進行意識�����、知識或工具培訓(xùn)����;
f) 匯報項目進度計劃并獲得客戶領(lǐng)導(dǎo)批準(zhǔn)等。
3.2 項目執(zhí)行階段��。
a) 在項目范圍內(nèi)進行安全域劃分�;
b) 分安全域進行資料搜集和訪談���,包括用戶規(guī)模����、用戶分布��、網(wǎng)絡(luò)結(jié)構(gòu)、路由協(xié)議與策略����、認證協(xié)議與策略、DNS服務(wù)策略��、相關(guān)主機和數(shù)據(jù)庫配置信息���、機房和環(huán)境安全條件���、已有的安全防護措施、曾經(jīng)發(fā)生過的安全事件信息等�;
c) 在各個安全域進行資產(chǎn)鑒別、價值分析����、威脅分析、弱點分析����、可能性分析和影響分析,形成資產(chǎn)表��、威脅評估表、風(fēng)險評估表和風(fēng)險關(guān)系映射表��;
d) 對存在的主要風(fēng)險進行風(fēng)險等級綜合評價���,并按照重要次序����,給出相應(yīng)的防護措施選擇和風(fēng)險處置建議���。
3.3 項目總結(jié)階段
a) 項目中產(chǎn)生的策略��、指南等文檔進行審核和批準(zhǔn)���;
b) 對項目資產(chǎn)鑒別報告、風(fēng)險分析報告進行審核和批準(zhǔn)���;
c) 對需要進行的相關(guān)風(fēng)險處置建議進行項目安排���;
4 IP寬帶網(wǎng)絡(luò)安全風(fēng)險管理實踐要點分析
運營商IP寬帶網(wǎng)絡(luò)和常見的針對以主機為核心的IT系統(tǒng)的安全風(fēng)險管理不同,其覆蓋的范圍和影響因素有很大差異性���。所以不能直接套用通用的風(fēng)險管理的方法和資料。在項目執(zhí)行的不同階段���,需要特別注意以下要點:
4.1 安全目標(biāo)
充分保證自身IP寬帶網(wǎng)絡(luò)及相關(guān)管理支撐系統(tǒng)的安全性�、保證客戶的業(yè)務(wù)可用性和質(zhì)量。
4.2 項目范疇
應(yīng)該包含寬帶IP骨干網(wǎng)���、IP城域網(wǎng)�����、IP接入網(wǎng)及接入網(wǎng)關(guān)設(shè)備�、管理支撐系統(tǒng):如網(wǎng)管系統(tǒng)�����、AAA平臺���、DNS等���。
4.3 項目成員
應(yīng)該得到運營商高層領(lǐng)導(dǎo)的明確支持,項目組長應(yīng)該具備管理大型安全咨詢項目經(jīng)驗的人承擔(dān)�,且項目成員除了包含一些專業(yè)安全評估人員之外,還應(yīng)該包含與寬帶IP相關(guān)的“業(yè)務(wù)與網(wǎng)絡(luò)規(guī)劃”��、“設(shè)備與系統(tǒng)維護”、“業(yè)務(wù)管理”和“相關(guān)系統(tǒng)集成商和軟件開發(fā)商”人員��。
4.4 背景信息搜集:
背景信息搜集之前��,應(yīng)該對信息搜集對象進行分組�����,即分為IP骨干網(wǎng)小組����、IP接入網(wǎng)小組、管理支撐系統(tǒng)小組等����。分組搜集的信息應(yīng)包含:
a) IP寬帶網(wǎng)絡(luò)總體架構(gòu)
b) 城域網(wǎng)結(jié)構(gòu)和配置
c) 接入網(wǎng)結(jié)構(gòu)和配置
d) AAA平臺系統(tǒng)結(jié)構(gòu)和配置
e) DNS系統(tǒng)結(jié)構(gòu)和配置
f) 相關(guān)主機和設(shè)備的軟硬件信息
g) 相關(guān)業(yè)務(wù)操作規(guī)范、流程和接口
h) 相關(guān)業(yè)務(wù)數(shù)據(jù)的生成�����、存儲和安全需求信息
i) 已有的安全事故記錄
j) 已有的安全產(chǎn)品和已經(jīng)部署的安全控制措施
k) 相關(guān)機房的物理環(huán)境信息
l) 已有的安全管理策略�����、規(guī)定和指南
m) 其它相關(guān)
4.5 資產(chǎn)鑒別
資產(chǎn)鑒別應(yīng)該自頂向下進行鑒別��,必須具備層次性。最頂層可以將資產(chǎn)鑒別為城域網(wǎng)����、接入網(wǎng)�����、AAA平臺�����、DNS平臺����、網(wǎng)管系統(tǒng)等一級資產(chǎn)組;然后可以在一級資產(chǎn)組內(nèi)���,按照功能或地域進行劃分二級資產(chǎn)組�����,如AAA平臺一級資產(chǎn)組可以劃分為RADIUS組��、DB組����、計費組、網(wǎng)絡(luò)通信設(shè)備組等二級資產(chǎn)組�;進一步可以針對各個二級資產(chǎn)組的每個設(shè)備進行更為細致的資產(chǎn)鑒別,鑒別其設(shè)備類型��、地址配置��、軟硬件配置等信息��。
4.6 威脅分析
威脅分析應(yīng)該具有針對性�,即按照不同的資產(chǎn)組進行針對性威脅分析。如針對IP城域網(wǎng)�,其主要風(fēng)險可能是:蠕蟲、P2P��、路由攻擊�、路由設(shè)備入侵等;而對于DNS或AAA平臺�,其主要風(fēng)險可能包括:主機病毒、后門程序����、應(yīng)用服務(wù)的DOS攻擊、主機入侵�����、數(shù)據(jù)庫攻擊、DNS釣魚等�。
4.7 威脅影響分析
是指對不同威脅其可能造成的危害進行評定,作為下一步是否采取或采取何種處置措施的參考依據(jù)�����。在威脅影響分析中應(yīng)該充分參考運營商意見����,尤其要充分考慮威脅發(fā)生后可能造成的社會影響和信譽影響��。
4.8 威脅可能性分析
篇9
2電力企業(yè)信息系統(tǒng)安全管理研究
信息安全是一個復(fù)雜的�����、不斷變化的動態(tài)過程����,如果電力企業(yè)只根據(jù)一時需要而忽略了信息安全的動態(tài)性,只是主觀的來制定一些風(fēng)險管理措施��,就會造成在企業(yè)信息管理中顧此失彼����,進而導(dǎo)致企業(yè)的安全管理水平止步不前甚至有失偏頗�����。[2]其正確的做法是���,電力企業(yè)要遵守相關(guān)信息安全標(biāo)準(zhǔn)及實踐總結(jié),結(jié)合企業(yè)自身對信息系統(tǒng)安全的實際需求���,在進行完善的風(fēng)險分析及風(fēng)險管理的基礎(chǔ)上�����,通過一些合理的����、可行的安全風(fēng)險管理措施來使電力企業(yè)信息系統(tǒng)一直處于安全狀態(tài)�。除此之外,不斷更新的過程是電力企業(yè)進行信息安全管理的最基本出發(fā)點�����,該過程還應(yīng)該是動態(tài)的��、變化的,即安全措施要隨著環(huán)境的變化及信息技術(shù)的提高而不斷改進和完善���,堅決拒絕一成不變�����,這可以將信息系統(tǒng)的風(fēng)險降到最低��。[3]所以說�,基于風(fēng)險的評估及控制角度來說��,電力企業(yè)信息系統(tǒng)的安全風(fēng)險與其他領(lǐng)域的風(fēng)險具有相似性��,與此同時�,電力系統(tǒng)信息系統(tǒng)安全風(fēng)險又具有其獨特性�����。將其他領(lǐng)域內(nèi)的風(fēng)險控制過程引入電力企業(yè)的信息風(fēng)險管理領(lǐng)域��,需要同時考慮到其共性和個性�。安全管理主要分為網(wǎng)絡(luò)級、系統(tǒng)級和應(yīng)用級3個部分:(1)網(wǎng)絡(luò)級安全管理���。電力企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)級安全管理主要是指解決企業(yè)信息系統(tǒng)與網(wǎng)絡(luò)互聯(lián)而產(chǎn)生的安全風(fēng)險問題�,其主要從網(wǎng)絡(luò)防火墻及網(wǎng)絡(luò)結(jié)構(gòu)兩個方面采取安全管理措施。網(wǎng)絡(luò)防火墻對企業(yè)內(nèi)部網(wǎng)絡(luò)及外部網(wǎng)絡(luò)起到安全隔離作用�����,它可以有效預(yù)防潛在的破壞性入侵�,同時可以對即將進入企業(yè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)進行嚴(yán)格的檢測,并對非法�、錯誤的網(wǎng)絡(luò)信息進行隔離,從而保護電力企業(yè)內(nèi)部網(wǎng)絡(luò)的安全����。對于網(wǎng)絡(luò)結(jié)構(gòu),根據(jù)電力企業(yè)信息系統(tǒng)的實際情況�,相關(guān)技術(shù)人員結(jié)合網(wǎng)絡(luò)結(jié)構(gòu),設(shè)計出一種介于混合型和網(wǎng)狀型結(jié)構(gòu)之間的分布式網(wǎng)絡(luò)結(jié)構(gòu)�,該分布式網(wǎng)絡(luò)系統(tǒng)具有較高的可靠性及容錯能力,從而對已有的網(wǎng)絡(luò)結(jié)構(gòu)進行了優(yōu)化�����。(2)系統(tǒng)級安全管理��。在企業(yè)信息系統(tǒng)風(fēng)險管理中,系統(tǒng)級安全設(shè)計與用戶的具體應(yīng)用具有密切的聯(lián)系��,具體而言����,其分為操作系統(tǒng)與數(shù)據(jù)處理兩個方面。在操作系統(tǒng)方面��,利用有效的網(wǎng)絡(luò)安全掃描對信息系統(tǒng)的安全風(fēng)險進行合理評估����,及時分析操作系統(tǒng)已有的漏洞,同時結(jié)合信息系統(tǒng)的漏洞自動修補技術(shù)��,實現(xiàn)定期為相關(guān)用戶消除網(wǎng)絡(luò)中的安全隱患�����。在數(shù)據(jù)處理方面���,企業(yè)要善于利用信息系統(tǒng)平臺再次對數(shù)據(jù)庫進行數(shù)據(jù)安全加密,從而將信息系統(tǒng)的數(shù)據(jù)庫風(fēng)險降到最低�。(3)應(yīng)用級安全管理。應(yīng)用級安全設(shè)計具有直觀�����、具體的特點,它是在設(shè)計電力企業(yè)的信息系統(tǒng)時����,通過技術(shù)手段將相應(yīng)的安全技術(shù)加入到信息系統(tǒng)中,從而有效保證系統(tǒng)的安全穩(wěn)定運行�。具體來說,電力企業(yè)信息系統(tǒng)的應(yīng)用系統(tǒng)訪問控制是根據(jù)訪問信息性質(zhì)的不同����,分別進行公開信息和私密信息的傳送、存儲及管理����,從而實現(xiàn)在應(yīng)用層次上的訪問控制;而數(shù)字簽名技術(shù)可以通過對文件簽發(fā)者��、日期等提供準(zhǔn)確的不可更改的歷史記錄��,來保證系統(tǒng)所有文件的完整性�。因此,我們得知�,為了確保電力企業(yè)信息系統(tǒng)的安全,要采取合理��、有效的管理手段來最大程度地降低風(fēng)險,即相關(guān)人員不僅要從技術(shù)層面來進行安全管理的設(shè)計��,還要從管理層面進行安全管理設(shè)置����。[4]具體來說可以從以下方面著手:(1)定期對企業(yè)系統(tǒng)的技術(shù)人員進行安全教育,增強其信息系統(tǒng)的安全意識���;(2)保持相關(guān)人員特別是管理層的人員穩(wěn)定�����,若有人員調(diào)離�����,需及時更換系統(tǒng)密碼��,避免企業(yè)機密泄露��;(3)設(shè)置合理的電力企業(yè)信息系統(tǒng)安全標(biāo)準(zhǔn)及企業(yè)制度等。
篇10
企業(yè)的信息安全管理包含十分豐富的內(nèi)容���,簡單來說是指企業(yè)通過各種手段來保護企業(yè)硬件和軟件�����,保護網(wǎng)絡(luò)存儲中的各種數(shù)據(jù)不受偶然因素的破壞或者惡意的原因被攻擊�����。對于信息安全的認定通過包括4個指標(biāo)��,即保證信息數(shù)據(jù)的完整�����,保證信息數(shù)據(jù)不被泄露��,保證信息數(shù)據(jù)能夠正常使用�����,保證信息數(shù)據(jù)能夠控制管理�����。要想做好企業(yè)的信息安全管理�,首先需要了解的是關(guān)于信息的傳輸方式。隨著信息技術(shù)的不斷普及����,信息傳遞的方式越來越多���,常見的信息傳遞方式主要有互聯(lián)網(wǎng)傳播,局域網(wǎng)傳播���,硬件傳播等等���。要想實現(xiàn)企業(yè)的信息安全管理,其中很重要的一項工作在于保護信源��、信號以及信息����。信息安全管理是一項需要綜合學(xué)科知識基礎(chǔ)的工作,從事企業(yè)信息安全管理工作的人員通過需要具有網(wǎng)絡(luò)安全技術(shù)���、計算機技術(shù)�、密碼技術(shù)�����、通信技術(shù)�。從企業(yè)的信息安全管理來講,最為關(guān)鍵的一項工作時保護企業(yè)內(nèi)部經(jīng)營信息數(shù)據(jù)的完整�。經(jīng)過近十年來的企業(yè)信息安全管理工作經(jīng)驗總結(jié),企業(yè)信息安全不僅僅需要信息技術(shù)的支持����,更需要通過建立完善的企業(yè)風(fēng)險控制體系來幫助企業(yè)實現(xiàn)更好地保護企業(yè)信息安全的目標(biāo)。
所以���,怎樣把企業(yè)信息安全管理與風(fēng)險控制融合起來就是擺在企業(yè)經(jīng)營管理者面前的一道難題���。企業(yè)的信息安全風(fēng)險控制必須通過企業(yè)建立完善的企業(yè)信息安全風(fēng)險體系實現(xiàn)。企業(yè)的信息安全風(fēng)險控制是指企業(yè)在企業(yè)信息安全遭遇威脅之前�,提前對企業(yè)的信息進行風(fēng)險預(yù)估,并采取一系列的有針對性的活動降低企業(yè)面臨的信息安全風(fēng)險���,從而盡可能減少因為企業(yè)本身信息安全管理中存在漏洞給企業(yè)帶來不必要的損失�����。常見的企業(yè)信息安全風(fēng)險體系建立主要包含以下幾個方面的內(nèi)容��。第一����,建立企業(yè)信息安全風(fēng)險管理制度,明確企業(yè)信息安全管理的責(zé)任分配機制�����,明確企業(yè)各個部門對各自信息安全所應(yīng)承擔(dān)的責(zé)任�,并建立相應(yīng)的問責(zé)機制。第二���,設(shè)置規(guī)范的企業(yè)信息安全風(fēng)險管理指標(biāo)��,對企業(yè)存在的可能威脅企業(yè)信息安全管理的漏洞予以風(fēng)險定級����,方便企業(yè)管理者對不同的信息安全管理漏洞采取有區(qū)別的對策�。第三,企業(yè)要加強對信息安全管理人員的培訓(xùn)����,提高企業(yè)信息安全管理工作人員的風(fēng)險意識,讓企業(yè)內(nèi)部從事信息安全管理工作人員認識到自身工作的重要性��,讓企業(yè)內(nèi)部從事信息安全管理工作人員了解到規(guī)范自身行為����,正確履行職責(zé)的重要性��。第四��,將企業(yè)信息安全管理與風(fēng)險控制有效融合,重視企業(yè)信息安全管理工作����,通過風(fēng)險控制對企業(yè)內(nèi)部信息安全的管理方式進行正確評估,找出現(xiàn)行的企業(yè)內(nèi)部信息安全管理手段中存在容易忽視的地方�����。
二����、企業(yè)信息安全管理與風(fēng)險控制存在的不足
1.企業(yè)信息安全管理工作人員素質(zhì)不高
對于企業(yè)來說,企業(yè)信息安全管理工作是一項極為重要而隱秘的工作����,因此,必須增強對企業(yè)信息安全管理工作人員的素質(zhì)要求���。但是根據(jù)調(diào)查統(tǒng)計��,目前很多企業(yè)對信息安全工作的管理僅僅停留在對企業(yè)信息安全管理工作人員的技術(shù)要求上���,對企業(yè)信息安全管理工作人員的道德素養(yǎng)��,職業(yè)素養(yǎng)�����,風(fēng)險意識并沒有嚴(yán)格要求�����。此外���,絕大多數(shù)企業(yè)并沒有意識開展對企業(yè)信息安全管理工作的道德素質(zhì)的教育培訓(xùn),并沒有通過建立相關(guān)管理制度以及問責(zé)機制對企業(yè)信息安全管理工作人員實行監(jiān)督�,這無疑給別有用心或者立場不堅定的企業(yè)信息安全管理工作人員留下了危害企業(yè)信息安全的可乘之機。
2.企業(yè)信息安全管理技術(shù)不過關(guān)
企業(yè)信息安全管理工作涉及多許多技術(shù)����,包括信息技術(shù),計算機技術(shù)���,密碼技術(shù)��,網(wǎng)絡(luò)應(yīng)用技術(shù)等等�,應(yīng)當(dāng)說成熟的計算機應(yīng)用技術(shù)是做好企業(yè)信息安全管理的基礎(chǔ),但是�����,現(xiàn)實是許多企業(yè)的信息安全管理技術(shù)并不過關(guān)�,一方面企業(yè)的信息安全管理硬件并不過關(guān),在物理層面對企業(yè)信息缺乏保護�,另一方面���,企業(yè)信息安全管理工作的專業(yè)技術(shù)沒有及時更新�,一些企業(yè)信息安全管理工作人員缺乏企業(yè)信息安全管理的實踐經(jīng)驗���,企業(yè)信息安全管理的知識也并沒有及時更新�����,從而導(dǎo)致企業(yè)的信息安全管理理論嚴(yán)重滯后�����,這種技術(shù)的落后很容易讓企業(yè)成為不法分子的攻擊對象�。近年來網(wǎng)絡(luò)病毒的傳播越來越猖狂,很多服務(wù)器��、系統(tǒng)提示安全補丁的下載更新以及客戶端的時常更新成為一個惱人的問題��。作為一個行業(yè)中的大中型企業(yè)�,企業(yè)內(nèi)部設(shè)備數(shù)量比較多,尤其是客戶端數(shù)量占了較大比重�,僅僅靠少數(shù)幾個管理員進行管理是難以承擔(dān)如此大量的工作量。另外�����,企業(yè)信息安全管理系統(tǒng)不成熟也是一個重大的隱患����。
3.企業(yè)信息安全管理制度不健全
企業(yè)信息安全管理制度不僅僅需要理論制度的完善,更加需要一系列配套監(jiān)督機制保障企業(yè)信息安全管理的有效執(zhí)行���。通過調(diào)查分析��,許多企業(yè)雖然建立了企業(yè)信息安全管理制度����,但是通常情況下���,這些制度只能流于形式��,企業(yè)信息安全管理工作缺少有效的制約和監(jiān)督�����,企業(yè)信息安全管理工作人員缺乏執(zhí)行力����。企業(yè)信息安全管理制度不健全,企業(yè)信息安全管理工作缺乏執(zhí)行力常常體現(xiàn)在以下幾個方面�����。第一���,企業(yè)員工對于信息安全管理的認識嚴(yán)重不足,對企業(yè)信息安全管理工作不重視���。企業(yè)內(nèi)部計算機系統(tǒng)安全的計算機防病毒軟件并沒有及時更新��,使用�,甚至企業(yè)內(nèi)部計算機的防病毒軟件還被企業(yè)員工卸載了�����。部分企業(yè)員工認為自己的工作與企業(yè)信息安全管理不相關(guān),認為做好企業(yè)信息安全管理工作僅僅是企業(yè)信息安全部門的事�����。第二���,企業(yè)內(nèi)部信息安全管理制度并沒有形成聯(lián)動機制��,企業(yè)信息安全管理工作僅僅由企業(yè)信息安全部門“一人包干”��,企業(yè)信息安全反映的問題并沒有得到積極的反饋�,一些企業(yè)領(lǐng)導(dǎo)對企業(yè)信息安全現(xiàn)狀所了解的少之又少���。
三���、企業(yè)信息安全管理常見的技術(shù)手段
1.OSI安全體系結(jié)構(gòu)
OSI概念化的安全體系結(jié)構(gòu)是一個多層次的結(jié)構(gòu),它的設(shè)計初衷是面向客戶的��,提供給客戶各種安全應(yīng)用�����,安全應(yīng)用必須依靠安全服務(wù)來實現(xiàn),而安全服務(wù)又是由各種安全機制來保障的����。所以,安全服務(wù)標(biāo)志著一個安全系統(tǒng)的抗風(fēng)險的能力�����,安全服務(wù)數(shù)量越多��,系統(tǒng)就越安全�。
2.P2DR模型
P2DR模型包含四個部分:響應(yīng)、安全策略���、檢測�、防護�����。安全策略是信息安全的重點���,為安全管理提供管理途徑和保障手段。因此���,要想實施動態(tài)網(wǎng)絡(luò)安全循環(huán)過程���,必須制定一個企業(yè)的安全模式����。在安全策略的指導(dǎo)下實施所有的檢測��、防護�、響應(yīng),防護通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術(shù)或者方法來突破的�,比如有防火墻、訪問控制����、加密、認證等方法���,檢測是動態(tài)響應(yīng)的判斷依據(jù)���,同時也是有力落實安全策略的實施工具,通過監(jiān)視來自網(wǎng)絡(luò)的入侵行為�,可以檢測出騷擾行為或錯誤程序?qū)е碌木W(wǎng)絡(luò)不安全因素;經(jīng)過不斷地監(jiān)測網(wǎng)絡(luò)和系統(tǒng)來發(fā)現(xiàn)新的隱患和弱點��。在安全系統(tǒng)中,應(yīng)急響應(yīng)占有重要的地位�����,它是解決危險潛在性的最有效的辦法���。
3.HTP模型
HTP最為強調(diào)企業(yè)信息安全管理工作人員在整個系統(tǒng)中的價值����。企業(yè)信息安全工作人員企業(yè)信息安全最為關(guān)鍵的參與者���,企業(yè)信息安全工作人員直接主導(dǎo)企業(yè)信息安全管理工作�,企業(yè)信息安全工作人員不僅僅是企業(yè)信息安全的保障者�,也是企業(yè)信息安全管理的威脅者。因此��,HTP模型最為強調(diào)對企業(yè)信息安全管理工作人員的管理與監(jiān)督��。另外�����,HTP模式同樣是建立在企業(yè)信心安全體系���,信息安全技術(shù)防范的基礎(chǔ)上�����,HTP模式采取了豐富的安全技術(shù)手段確保企業(yè)的信息安全�。最后�,HTP強調(diào)動態(tài)管理,動態(tài)監(jiān)督����,對于企業(yè)信息安全管理工作始終保持高強度的監(jiān)督與管理,在實際工作中���,通過HTP模型的應(yīng)用��,找出HTP模型中的漏洞并不斷完善��。
四���、完善企業(yè)信息安全管理與降低風(fēng)險的建議
1.建設(shè)企業(yè)信息安全管理系統(tǒng)
(1)充分調(diào)查和分析企業(yè)的安全系統(tǒng),建立一個全面合理的系統(tǒng)模型��,安全系統(tǒng)被劃分成各個子系統(tǒng),明確實施步驟和功能摸塊���,將企業(yè)常規(guī)管理工作和安全管理聯(lián)動協(xié)議相融合����,實現(xiàn)信息安全監(jiān)控的有效性和高效性�。
(2)成立一個中央數(shù)據(jù)庫,整合分布式數(shù)據(jù)庫里的數(shù)據(jù)�����,把企業(yè)的所有數(shù)據(jù)上傳到中央數(shù)據(jù)庫�,實現(xiàn)企業(yè)數(shù)據(jù)信息的集中管理與有效運用。
(3)設(shè)計優(yōu)良的人機界面����,通過對企業(yè)數(shù)據(jù)信息進行有效的運用,為企業(yè)管理階層人員���、各級領(lǐng)導(dǎo)及時提供各種信息��,為企業(yè)領(lǐng)導(dǎo)的正確決策提供數(shù)據(jù)支持�����,根本上提高信息數(shù)據(jù)的管理水平��。
(4)簡化企業(yè)內(nèi)部的信息傳輸通道���,對應(yīng)用程序和數(shù)據(jù)庫進行程序化設(shè)計,加強對提高企業(yè)內(nèi)部信息處理的規(guī)范性和準(zhǔn)確性�����。
2.設(shè)計企業(yè)信息安全管理風(fēng)險體系
(1)確定信息安全風(fēng)險評估的目標(biāo)
在企業(yè)信息安全管理風(fēng)險體系的設(shè)計過程中��,首要工作是設(shè)計企業(yè)信息安全風(fēng)險評估的目標(biāo)�����,只有明確了企業(yè)信息安全管理的目標(biāo)����,明確了企業(yè)信息安全管理的要求和工作能容,才能建立相關(guān)圍繞信息安全風(fēng)險控制為目標(biāo)的信息安全管理工作制度����,才能順利通過對風(fēng)險控制的結(jié)果的定量考核,檢測企業(yè)信息安全管理的風(fēng)險�����,定性定量地企業(yè)信息安全管理工作進行分析,找準(zhǔn)企業(yè)信息安全管理的工作辦法�����。
(2)確定信息安全風(fēng)險評估的范圍
篇11
信息安全管理是一項需要綜合學(xué)科知識基礎(chǔ)的工作,從事企業(yè)信息安全管理工作的人員通過需要具有網(wǎng)絡(luò)安全技術(shù)�����、計算機技術(shù)���、密碼技術(shù)�、通信技術(shù)�。從企業(yè)的信息安全管理來講,最為關(guān)鍵的一項工作時保護企業(yè)內(nèi)部經(jīng)營信息數(shù)據(jù)的完整。經(jīng)過近十年來的企業(yè)信息安全管理工作經(jīng)驗總結(jié),企業(yè)信息安全不僅僅需要信息技術(shù)的支持,更需要通過建立完善的企業(yè)風(fēng)險控制體系來幫助企業(yè)實現(xiàn)更好地保護企業(yè)信息安全的目標(biāo)�。所以,怎樣把企業(yè)信息安全管理與風(fēng)險控制融合起來就是擺在企業(yè)經(jīng)營管理者面前的一道難題。企業(yè)的信息安全風(fēng)險控制必須通過企業(yè)建立完善的企業(yè)信息安全風(fēng)險體系實現(xiàn)���。
企業(yè)的信息安全風(fēng)險控制是指企業(yè)在企業(yè)信息安全遭遇威脅之前,提前對企業(yè)的信息進行風(fēng)險預(yù)估,并采取一系列的有針對性的活動降低企業(yè)面臨的信息安全風(fēng)險,從而盡可能減少因為企業(yè)本身信息安全管理中存在漏洞給企業(yè)帶來不必要的損失����。常見的企業(yè)信息安全風(fēng)險體系建立主要包含以下幾個方面的內(nèi)容��。第一,建立企業(yè)信息安全風(fēng)險管理制度,明確企業(yè)信息安全管理的責(zé)任分配機制,明確企業(yè)各個部門對各自信息安全所應(yīng)承擔(dān)的責(zé)任,并建立相應(yīng)的問責(zé)機制。第二,設(shè)置規(guī)范的企業(yè)信息安全風(fēng)險管理指標(biāo),對企業(yè)存在的可能威脅企業(yè)信息安全管理的漏洞予以風(fēng)險定級,方便企業(yè)管理者對不同的信息安全管理漏洞采取有區(qū)別的對策��。第三,企業(yè)要加強對信息安全管理人員的培訓(xùn),提高企業(yè)信息安全管理工作人員的風(fēng)險意識,讓企業(yè)內(nèi)部從事信息安全管理工作人員認識到自身工作的重要性,讓企業(yè)內(nèi)部從事信息安全管理工作人員了解到規(guī)范自身行為,正確履行職責(zé)的重要性����。第四,將企業(yè)信息安全管理與風(fēng)險控制有效融合,重視企業(yè)信息安全管理工作,通過風(fēng)險控制對企業(yè)內(nèi)部信息安全的管理方式進行正確評估,找出現(xiàn)行的企業(yè)內(nèi)部信息安全管理手段中存在容易忽視的地方�。
二、企業(yè)信息安全管理與風(fēng)險控制存在的不足
1.企業(yè)信息安全管理工作人員素質(zhì)不高
對于企業(yè)來說,企業(yè)信息安全管理工作是一項極為重要而隱秘的工作,因此,必須增強對企業(yè)信息安全管理工作人員的素質(zhì)要求����。但是根據(jù)調(diào)查統(tǒng)計,目前很多企業(yè)對信息安全工作的管理僅僅停留在對企業(yè)信息安全管理工作人員的技術(shù)要求上,對企業(yè)信息安全管理工作人員的道德素養(yǎng),職業(yè)素養(yǎng),風(fēng)險意識并沒有嚴(yán)格要求。此外,絕大多數(shù)企業(yè)并沒有意識開展對企業(yè)信息安全管理工作的道德素質(zhì)的教育培訓(xùn),并沒有通過建立相關(guān)管理制度以及問責(zé)機制對企業(yè)信息安全管理工作人員實行監(jiān)督,這無疑給別有用心或者立場不堅定的企業(yè)信息安全管理工作人員留下了危害企業(yè)信息安全的可乘之機��。
2.企業(yè)信息安全管理技術(shù)不過關(guān)
企業(yè)信息安全管理工作涉及多許多技術(shù),包括信息技術(shù),計算機技術(shù),密碼技術(shù),網(wǎng)絡(luò)應(yīng)用技術(shù)等等,應(yīng)當(dāng)說成熟的計算機應(yīng)用技術(shù)是做好企業(yè)信息安全管理的基礎(chǔ),但是,現(xiàn)實是許多企業(yè)的信息安全管理技術(shù)并不過關(guān),一方面企業(yè)的信息安全管理硬件并不過關(guān),在物理層面對企業(yè)信息缺乏保護,另一方面,企業(yè)信息安全管理工作的專業(yè)技術(shù)沒有及時更新,一些企業(yè)信息安全管理工作人員缺乏企業(yè)信息安全管理的實踐經(jīng)驗,企業(yè)信息安全管理的知識也并沒有及時更新,從而導(dǎo)致企業(yè)的信息安全管理理論嚴(yán)重滯后,這種技術(shù)的落后很容易讓企業(yè)成為不法分子的攻擊對象�。近年來網(wǎng)絡(luò)病毒的傳播越來越猖狂,很多服務(wù)器、系統(tǒng)提示安全補丁的下載更新以及客戶端的時常更新成為一個惱人的問題�����。作為一個行業(yè)中的大中型企業(yè),企業(yè)內(nèi)部設(shè)備數(shù)量比較多,尤其是客戶端數(shù)量占了較大比重,僅僅靠少數(shù)幾個管理員進行管理是難以承擔(dān)如此大量的工作量��。另外,企業(yè)信息安全管理系統(tǒng)不成熟也是一個重大的隱患�����。
3.企業(yè)信息安全管理制度不健全
企業(yè)信息安全管理制度不僅僅需要理論制度的完善,更加需要一系列配套監(jiān)督機制保障企業(yè)信息安全管理的有效執(zhí)行。通過調(diào)查分析,許多企業(yè)雖然建立了企業(yè)信息安全管理制度,但是通常情況下,這些制度只能流于形式,企業(yè)信息安全管理工作缺少有效的制約和監(jiān)督,企業(yè)信息安全管理工作人員缺乏執(zhí)行力���。企業(yè)信息安全管理制度不健全,企業(yè)信息安全管理工作缺乏執(zhí)行力常常體現(xiàn)在以下幾個方面���。第一,企業(yè)員工對于信息安全管理的認識嚴(yán)重不足,對企業(yè)信息安全管理工作不重視。企業(yè)內(nèi)部計算機系統(tǒng)安全的計算機防病毒軟件并沒有及時更新,使用,甚至企業(yè)內(nèi)部計算機的防病毒軟件還被企業(yè)員工卸載了�����。部分企業(yè)員工認為自己的工作與企業(yè)信息安全管理不相關(guān),認為做好企業(yè)信息安全管理工作僅僅是企業(yè)信息安全部門的事����。第二,企業(yè)內(nèi)部信息安全文秘站:管理制度并沒有形成聯(lián)動機制,企業(yè)信息安全管理工作僅僅由企業(yè)信息安全部門“一人包干”,企業(yè)信息安全反映的問題并沒有得到積極的反饋,一些企業(yè)領(lǐng)導(dǎo)對企業(yè)信息安全現(xiàn)狀所了解的少之又少。
三��、企業(yè)信息安全管理常見的技術(shù)手段 1.OSI安全體系結(jié)構(gòu)
OSI概念化的安全體系結(jié)構(gòu)是一個多層次的結(jié)構(gòu),它的設(shè)計初衷是面向客戶的,提供給客戶各種安全應(yīng)用,安全應(yīng)用必須依靠安全服務(wù)來實現(xiàn),而安全服務(wù)又是由各種安全機制來保障的�。所以,安全服務(wù)標(biāo)志著一個安全系統(tǒng)的抗風(fēng)險的能力,安全服務(wù)數(shù)量越多,系統(tǒng)就越安全。
2.P2DR模型
P2DR模型包含四個部分:響應(yīng)�、安全策略、檢測�����、防護���。安全策略是信息安全的重點,為安全管理提供管理途徑和保障手段�。因此,要想實施動態(tài)網(wǎng)絡(luò)安全循環(huán)過程,必須制定一個企業(yè)的安全模式。在安全策略的指導(dǎo)下實施所有的檢測����、防護、響應(yīng),防護通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術(shù)或者方法來突破的,比如有防火墻����、訪問控制��、加密��、認證等方法,檢測是動態(tài)響應(yīng)的判斷依據(jù),同時也是有力落實安全策略的實施工具,通過監(jiān)視來自網(wǎng)絡(luò)的入侵行為,可以檢測出騷擾行為或錯誤程序?qū)е碌木W(wǎng)絡(luò)不安全因素;經(jīng)過不斷地監(jiān)測網(wǎng)絡(luò)和系統(tǒng)來發(fā)現(xiàn)新的隱患和弱點����。在安全系統(tǒng)中,應(yīng)急響應(yīng)占有重要的地位,它是解決危險潛在性的最有效的辦法。
3.HTP模型
HTP最為強調(diào)企業(yè)信息安全管理工作人員在整個系統(tǒng)中的價值����。企業(yè)信息安全工作人員企業(yè)信息安全最為關(guān)鍵的參與者,企業(yè)信息安全工作人員直接主導(dǎo)企業(yè)信息安全管理工作,企業(yè)信息安全工作人員不僅僅是企業(yè)信息安全的保障者,也是企業(yè)信息安全管理的威脅者。因此,HTP模型最為強調(diào)對企業(yè)信息安全管理工作人員的管理與監(jiān)督�。另外,HTP模式同樣是建立在企業(yè)信心安全體系,信息安全技術(shù)防范的基礎(chǔ)上,HTP模式采取了豐富的安全技術(shù)手段確保企業(yè)的信息安全。最后,HTP強調(diào)動態(tài)管理,動態(tài)監(jiān)督,對于企業(yè)信息安全管理工作始終保持高強度的監(jiān)督與管理,在實際工作中,通過HTP模型的應(yīng)用,找出HTP模型中的漏洞并不斷完善��。
四、完善企業(yè)信息安全管理與降低風(fēng)險的建議
1.建設(shè)企業(yè)信息安全管理系統(tǒng)
(1)充分調(diào)查和分析企業(yè)的安全系統(tǒng),建立一個全面合理的系統(tǒng)模型,安全系統(tǒng)被劃分成各個子系統(tǒng),明確實施步驟和功能摸塊,將企業(yè)常規(guī)管理工作和安全管理聯(lián)動協(xié)議相融合,實現(xiàn)信息安全監(jiān)控的有效性和高效性��。
(2)成立一個中央數(shù)據(jù)庫,整合分布式數(shù)據(jù)庫里的數(shù)據(jù),把企業(yè)的所有數(shù)據(jù)上傳到中央數(shù)據(jù)庫,實現(xiàn)企業(yè)數(shù)據(jù)信息的集中管理與有效運用�。
(3)設(shè)計優(yōu)良的人機界面,通過對企業(yè)數(shù)據(jù)信息進行有效的運用,為企業(yè)管理階層人員、各級領(lǐng)導(dǎo)及時提供各種信息,為企業(yè)領(lǐng)導(dǎo)的正確決策提供數(shù)據(jù)支持,根本上提高信息數(shù)據(jù)的管理水平��。
(4)簡化企業(yè)內(nèi)部的信息傳輸通道,對應(yīng)用程序和數(shù)據(jù)庫進行程序化設(shè)計,加強對提高企業(yè)內(nèi)部信息處理的規(guī)范性和準(zhǔn)確性�。
2.設(shè)計企業(yè)信息安全管理風(fēng)險體系
(1)確定信息安全風(fēng)險評估的目標(biāo)
在企業(yè)信息安全管理風(fēng)險體系的設(shè)計過程中,首要工作是設(shè)計企業(yè)信息安全風(fēng)險評估的目標(biāo),只有明確了企業(yè)信息安全管理的目標(biāo),明確了企業(yè)信息安全管理的要求和工作能容,才能建立相關(guān)圍繞信息安全風(fēng)險控制為目標(biāo)的信息安全管理工作制度,才能順利通過對風(fēng)險控制的結(jié)果的定量考核,檢測企業(yè)信息安全管理的風(fēng)險,定性定量地企業(yè)信息安全管理工作進行分析,找準(zhǔn)企業(yè)信息安全管理的工作辦法。
(2)確定信息安全風(fēng)險評估的范圍
