前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的審計信息安全管理主題范文,僅供參考,歡迎閱讀并收藏。
審計信息是審計人員在工作中運用一定的技術(shù)、方法、手段,收集加工提煉整理的業(yè)務(wù)信息,是反映和體現(xiàn)審計工作成果的重要載體,主要包括審計工作信息和審計項目信息,涉及銀行敏感信息及經(jīng)營決策管理的商業(yè)秘密。審計人員泄密風險如影隨形,無時不在,審計信息保密事關(guān)銀行信息安全和審計聲譽。因此,審計人員肩負審計數(shù)據(jù)及信息安全的重任,牢固樹立保密意識、嚴格履行保密職責、執(zhí)行保密紀律是每個審計人員義不容辭的責任。
一、審計信息渠道
審計信息主要來源于審計管理系統(tǒng)及平臺信息和審計業(yè)務(wù)信息收集兩個方面:
第一,審計管理系統(tǒng)及平臺信息是審計人員在實施審計項目、進行審計管理的過程中,通過審計應(yīng)用系統(tǒng)及平臺獲取審計業(yè)務(wù)操作與管理的業(yè)務(wù)和數(shù)據(jù)信息,包括非現(xiàn)場審計系統(tǒng)(OAS系統(tǒng))信息、審計管理信息系統(tǒng)(AMIS系統(tǒng))信息、審計知識庫系統(tǒng)信息、任期經(jīng)濟責任審計信息資料庫信息、總審計室信息平臺等信息。
第二,審計業(yè)務(wù)信息是審計項目和日常審計工作中由各級機構(gòu)提供的業(yè)務(wù)信息以及審計項目信息。業(yè)務(wù)信息包括審計機構(gòu)審計計劃、審計研究成果、被審計機構(gòu)經(jīng)營計劃及業(yè)務(wù)指標、客戶及其賬戶信息、業(yè)務(wù)管理信息等,以及通過Notes郵箱、辦公自動化系統(tǒng)(OA系統(tǒng))、檔案管理信息系統(tǒng)等收集整理的各類業(yè)務(wù)信息。審計項目信息包括審計方案、審計報告、審計模型、審計證據(jù)、審計工作底稿,以及審計過程中通過會計檔案管理系統(tǒng)、UAAP統(tǒng)一報表平臺、對公信貸業(yè)務(wù)流程系統(tǒng)(CLPM系統(tǒng))、個人信貸管理系統(tǒng)(A+P系統(tǒng))、信貸管理系統(tǒng)(CMISII系統(tǒng))、ODSB二期及ERPF報表查詢等收集加工整理的各類信息。
二、主要問題和風險
(一)審計信息未集中管理,存在泄密的潛在風險隱患
便攜式計算機是審計人員的必備工具,其中存儲大量重要信息,實施審計項目按照審計方案要求分組開展,審計現(xiàn)場點多面廣,審計資料不便于集中,審計人員注重信息資料使用忽視保密管理,對敏感及信息未經(jīng)加密處理采取保密措施,形成審計信息安全隱患。一是項目實施過程中審計信息處于分散失控狀態(tài),缺乏安全管理;二是審計項目結(jié)束后,由于未明確和指定專人負責歸集審計項目信息,致使審計人員未及時清理、歸集移除審計項目電子信息資料,長久滯留審計人員計算機中將可能導致審計信息流失和泄密。
(二)計算機上網(wǎng)導致審計信息失密,造成損失形成銀行聲譽風險
計算機上網(wǎng)成為信息泄露的主要途徑,計算機使用無線鍵盤或鼠標上網(wǎng)、移動存儲介質(zhì)與聯(lián)網(wǎng)計算機交叉使用將會導致失泄密。一是審計人員因工作需要,有時通過互聯(lián)網(wǎng)傳送或下載工作信息,或上網(wǎng)查詢信貸客戶企業(yè)注冊登記等信息,如果客戶敏感信息被不法分子截獲并利用,給客戶帶來不利影響的同時,將會導致銀行聲譽風險的嚴重后果。二是審計人員使用的計算機、U盤等磁介質(zhì)若不采取保密措施,未經(jīng)加密在互聯(lián)網(wǎng)上傳輸行內(nèi)重要數(shù)據(jù)或信息,被竊密者運用技術(shù)軟件竊取,無意中將泄露銀行敏感信息或商業(yè)秘密,給銀行造成無可估量的損失。
(三)審計管理系統(tǒng)用戶認證安全機制低、對客戶敏感信息訪問無控制
由于非現(xiàn)場審計系統(tǒng)對相關(guān)敏感數(shù)據(jù)字段未能加密,在審計項目實施過程中,審計人員登錄系統(tǒng)可任意查詢導出相關(guān)的信息及數(shù)據(jù),存在敏感信息和商業(yè)秘密泄漏的風險。
三、審計信息安全管理措施
第一,健全制度,落實責任。為加強審計信息安全保密,對于計算機設(shè)備使用管理、審計管理系統(tǒng)運行管理及數(shù)據(jù)信息安全保密管理,制定信息安全管理制度,明確責任,落實保密職責。
第二,加強安全保密培訓和教育,筑牢審計人員的安全和風險意識。一是要警鐘長鳴,加強警示教育,做到防患于未然。二是建立信息安全的長效機制,將審計信息安全保密作為審計人員培訓教育的重要內(nèi)容,使之深刻認識安全無小事,牢記“失之毫厘、謬以千里”道理,始終繃緊安全保密意識的弦,嚴守保密紀律,自覺履行保密職責。
第三,加強審計系統(tǒng)用戶管理,嚴格用戶操作權(quán)限,禁止將用戶口令及UKEY轉(zhuǎn)借他人使用。在未開展審計項目階段限制非現(xiàn)場審計系統(tǒng)操作用戶,使用系統(tǒng)必須經(jīng)過申請批準,以防止敏感信息泄露。搭建開放的非現(xiàn)場審計系統(tǒng)學習培訓環(huán)境,提供審計人員用于學習操作非現(xiàn)場系統(tǒng)。
第四,利用管理信息平臺FTP服務(wù)器對審計重要信息進行管理,實現(xiàn)遠程資源共享,審計人員可查詢相關(guān)工作信息,本機不再保存敏感信息和數(shù)據(jù),切實防范便攜機或移動硬盤存儲審計信息失泄密的風險隱患。
第五,落實安全管理責任,簽訂《審計崗位人員保密協(xié)議》,強化保密意識,約束審計信息保密行為。
第六,加強計算機管理,嚴防信息失泄密。設(shè)置屏幕保護的時間和密碼,確保在長時間不使用計算機時對屏幕上和系統(tǒng)內(nèi)的敏感信息進行安全保護。計算機做到專機專用,與互聯(lián)網(wǎng)物理隔離,禁止通過電子郵箱或互聯(lián)網(wǎng)傳輸及重要工作信息,避免移動存儲介質(zhì)交叉使用。
第七,應(yīng)用技術(shù)手段加強信息安全管理,審計條線全員推廣使用Windows7(企業(yè)版)操作系統(tǒng),應(yīng)用全盤加密(BitLocker)功能,能夠有效降低因設(shè)備物理丟失導致的審計信息泄露風險,有助于加強審計信息安全管理。
1.強化“制度”管理,為創(chuàng)建信息安全區(qū)提供制度保障。
我們根據(jù)《中國人民銀行信息安全管理規(guī)定》和《河南省人民銀行系統(tǒng)規(guī)范化管理辦法》的相關(guān)要求,結(jié)合當?shù)氐膶嶋H,建立和完善組織機構(gòu)建設(shè)、計算機安全設(shè)備管理、系統(tǒng)操作規(guī)程設(shè)計、網(wǎng)絡(luò)建設(shè)的安全規(guī)劃與立項、信息系統(tǒng)安全審計、應(yīng)急處理預(yù)案建設(shè)、目標責任制落實等一整套涉及信息安全管理的規(guī)章制度,為各項工作創(chuàng)建的落實奠定一個完善的制度基礎(chǔ)。與此同時,嚴格信息安全管理檢查制度。科技部門每季會同保衛(wèi)部門、人事部門、內(nèi)審部門、紀委組織一次中支機關(guān)和轄內(nèi)的信息安全檢查,每次都制定了詳細的檢查方案,確保檢查工作的可操作性和規(guī)范性。安全檢查完成后及時形成檢查報告,報中支信息安全領(lǐng)導小組,并經(jīng)信息安全領(lǐng)導小組審閱后將檢查整改報告送達被檢查單位,限期整改并進行后續(xù)跟蹤。
2.強化“組織”領(lǐng)導,為創(chuàng)建信息安全區(qū)提供組織保證。
一方面中支機關(guān)及所轄縣(市)支行都按要求成立以行長為組長、其他領(lǐng)導班子成員任副組長、部門負責人為成員的信息安全領(lǐng)導小組。另一方面機關(guān)各部門設(shè)立信息安全管理崗位,指定一名責任心強,熟悉計算機相關(guān)知識的職工為信息安全員,具體負責本部門信息安全管理的有關(guān)事宜。信息安全領(lǐng)導小組下設(shè)辦公室,由科技科具體負責協(xié)調(diào)機關(guān)及轄內(nèi)信息安全管理工作,為信息安全領(lǐng)導小組提供重大事項決策的有關(guān)事宜,為信息安全管理提供高效的組織保證。
3.強化“操作”規(guī)程,確保信息安全區(qū)創(chuàng)建工作的規(guī)范化。
明確的崗位目標與操作規(guī)程是金融信息安全區(qū)創(chuàng)建的重要一環(huán)。我們對中支信息安全管理員(部門計算機安全員)、技術(shù)支持人員、業(yè)務(wù)操作人員、一般計算機用戶等確定各自的崗位目標和操作規(guī)程及應(yīng)當承擔的安全義務(wù)。同時制訂了明確的崗位操作規(guī)程,做到責權(quán)明晰,操作規(guī)范。同時,我們加強部門之間的協(xié)調(diào),要求各部門都要制訂業(yè)務(wù)應(yīng)急預(yù)案和詳細的操作規(guī)程,然后由科技科進行匯總、協(xié)調(diào),形成有效的聯(lián)防機制。
4.強化“責任”管理,加大金融信息安全區(qū)的創(chuàng)建力度。
按照“誰主管誰負責,誰運行誰負責,誰使用誰負責”的原則,根據(jù)不同層次制訂不同內(nèi)容的信息安全管理責任書,落實各項責任制,信息安全領(lǐng)導小組組長與副組長和各縣(市)支行行長、副組長與分管部門負責人、部門負責人與崗位責任人層層簽訂信息安全責任書,對沒有按照規(guī)定簽訂責任書的部門,在出現(xiàn)安全事故時,按照“上溯一級”的原則,追究當事人的直接責任和部門負責人的領(lǐng)導責任。
5.強化“技術(shù)”指導,為創(chuàng)建信息安全區(qū)的提供智力支持。
重點強化了中支各部門計算機信息安全人員及所轄縣市支行安全管理人員的技術(shù)指導和信息安全知識的傳播,通過舉辦不同形式的信息安全培訓班,提高他們自覺防范的意識和技能,為信息安全打好第一道防線。
6.強化“監(jiān)督”管理,鞏固金融信息安全區(qū)創(chuàng)建成果。
兩個發(fā)展階段
衛(wèi)生監(jiān)督中心信息安全等級保護工作大致經(jīng)歷了兩個發(fā)展階段。
啟動與探索階段(2007年~2008年):2007年12月,原衛(wèi)生部組織專家組對部直屬機關(guān)報送的信息安全等級保護定級情況進行了評審。衛(wèi)生監(jiān)督中心的衛(wèi)生監(jiān)督信息報告系統(tǒng)和衛(wèi)生行政許可受理評審系統(tǒng)確定為第三級保護,衛(wèi)生監(jiān)督中心網(wǎng)站確定為第二級保護。衛(wèi)生監(jiān)督中心在了解了信息安全等級保護制度的同時,啟動了信息安全等級保護相關(guān)工作。為摸清信息安全隱患,2008年衛(wèi)生監(jiān)督中心聘請了具有信息安全相關(guān)資質(zhì)的信息安全咨詢公司對等保涉及的信息系統(tǒng)進行了信息安全測評,并制定了相應(yīng)的整改方案。由于2008年信息安全整改資金等原因,未開展相關(guān)整改工作。
發(fā)展階段(2009年至今):本著統(tǒng)籌考慮、分布實施的原則,在實施國家級衛(wèi)生監(jiān)督信息系統(tǒng)建設(shè)項目之初就參照等級保護有關(guān)要求規(guī)劃和設(shè)計業(yè)務(wù)應(yīng)用系統(tǒng)及其運行環(huán)境,同時積極開展等級保護備案等工作。在國家級項目二期中,專項對信息安全進行加固。并每年邀請公安部信息安全等級保護評估中心,對衛(wèi)生監(jiān)督中心的第三級保護系統(tǒng)進行了安全等級測評。
截至目前,衛(wèi)生監(jiān)督中心共有3個信息安全等級保護第三級的信息系統(tǒng),4個信息安全等級保護第二級的信息系統(tǒng)。
信息安全技術(shù)體系
衛(wèi)生監(jiān)督信息系統(tǒng)信息安全技術(shù)體系建設(shè),嚴格遵循等級保護第三級的技術(shù)要求進行詳細設(shè)計、技術(shù)選擇、產(chǎn)品選型、產(chǎn)品部署。技術(shù)體系從物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等5個方面進行設(shè)計。
1.物理安全
衛(wèi)生監(jiān)督中心現(xiàn)有南北兩個機房,機房及相關(guān)配套設(shè)施面積總計160平方米。北機房部署等級保護第三級信息系統(tǒng),南機房部署等級保護第二級信息系統(tǒng),實現(xiàn)了第三級系統(tǒng)與第二級系統(tǒng)物理環(huán)境隔離。根據(jù)等級保護有關(guān)要求,機房均采用了精密空調(diào)、門禁系統(tǒng)、環(huán)境監(jiān)測系統(tǒng)等設(shè)備設(shè)施及技術(shù)手段,有效地保證了機房的物理安全。
2.網(wǎng)絡(luò)安全
主干網(wǎng)絡(luò)鏈路均采用雙鏈路連接,關(guān)鍵網(wǎng)絡(luò)、安全設(shè)備均采用雙機冗余方式,避免單點故障。采用防火墻、入侵防護系統(tǒng)、DDoS系統(tǒng)進行邊界防護,各網(wǎng)絡(luò)區(qū)域之間采用防火墻進行區(qū)域隔離,在對外服務(wù)區(qū)部署了入侵檢測系統(tǒng),在交換服務(wù)區(qū)部署了網(wǎng)絡(luò)審計系統(tǒng)。在核心數(shù)據(jù)區(qū)部署了數(shù)據(jù)庫審計系統(tǒng),對網(wǎng)絡(luò)行為進行監(jiān)控和記錄。在安全管理區(qū)部署安全管理系統(tǒng),實現(xiàn)設(shè)備日志的統(tǒng)一收集及分析。
3.主機安全
所有服務(wù)器和管理終端配置了密碼安全策略;禁止用戶遠程管理,管理用戶必須進入機房通過KVM進行本地管理;所有服務(wù)器和管理終端進行了補丁更新,刪除了多余賬戶,關(guān)閉了不必要的端口和服務(wù);所有服務(wù)器和管理終端開啟了安全審計功能;通過對數(shù)據(jù)庫的安全配置,實現(xiàn)管理用戶和特權(quán)用戶的分離,并實現(xiàn)最小授權(quán)要求。
4.應(yīng)用安全
衛(wèi)生監(jiān)督中心7個應(yīng)用系統(tǒng)均完成了定級備案,并按照等級保護要求開展了測評工作。應(yīng)用服務(wù)器采取了集群工作部署,保證了系統(tǒng)的高可用性,同時建立了安全審計功能模塊,記錄登錄日志、業(yè)務(wù)操作日志、系統(tǒng)操作日志3種日志,并實現(xiàn)查詢和審計統(tǒng)計功能,配置了獨立的審計賬戶。門戶網(wǎng)站也采用了網(wǎng)頁防篡改、DDoS等系統(tǒng)。信息安全等級保護第三級系統(tǒng)管理人員及高權(quán)限用戶均使用CA證書登錄相應(yīng)系統(tǒng)。
5.數(shù)據(jù)安全及備份恢復(fù)
衛(wèi)生監(jiān)督信息報告系統(tǒng)數(shù)據(jù)庫服務(wù)器使用了雙機熱備,應(yīng)用服務(wù)器采用多機負載均衡,每天本地備份,保證了業(yè)務(wù)系統(tǒng)的安全、穩(wěn)定和可靠運行。其余等級保護第三級信息系統(tǒng)使用了雙機備份,無論是軟件還是硬件問題,都可以及時準確地進行恢復(fù)并正常提供服務(wù)。同時,衛(wèi)生監(jiān)督中心在云南建立了異地數(shù)據(jù)備份中心,每天進行增量備份,每周對數(shù)據(jù)進行一次全備份。備份數(shù)據(jù)在一定時間內(nèi)進行恢復(fù)測試,保證備份的有效性。
信息安全管理體系
在開展信息安全等級保護工作中,我們深刻體會到,信息安全工作“三分靠技術(shù),七分靠管理”。為保證信息安全等級保護工作順利進行,參考ISO/IEC 27001《信息安全管理體系要求》,衛(wèi)生監(jiān)督中心建立了符合實際工作情況的信息安全管理制度體系,明確了“統(tǒng)一領(lǐng)導,技管并重;預(yù)防為主,責權(quán)分明;重點防護,適度安全”的安全方針,涵蓋等級保護管理要求中安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理五大方面的要求。
衛(wèi)生監(jiān)督中心建立了較為完善的信息安全責任制,設(shè)立了信息安全領(lǐng)導小組,領(lǐng)導小組組長由衛(wèi)生監(jiān)督中心主任擔任,成員由衛(wèi)生監(jiān)督中心有關(guān)處室負責人組成,信息處作為信息安全工作辦公室負責衛(wèi)生監(jiān)督中心日常信息安全管理工作。信息處設(shè)立了信息安全管理崗位,分別為網(wǎng)絡(luò)管理員、系統(tǒng)管理員、應(yīng)用管理員、安全管理員、安全審計員、機房管理員,并建立了信息安全崗位責任制度。
此外,衛(wèi)生監(jiān)督中心依據(jù)上年度運維中存在的信息安全隱患每年對其進行修訂,確保信息安全工作落到實處。
信息安全運維體系
在信息安全工作中,建立信息安全管理制度不是目的,要以信息安全等級保護有關(guān)要求指導信息安全運維實踐。
衛(wèi)生監(jiān)督中心結(jié)合實際情況,編制了《國家級衛(wèi)生監(jiān)督信息系統(tǒng)運行維護工作規(guī)范》,從運行維護流程、資源管理和環(huán)境管理三個方面進行了規(guī)范,將安全運維理念落到實處。
運維人員在實際工作中,嚴格按照工作規(guī)范要求。利用衛(wèi)生監(jiān)督中心OA系統(tǒng),建立了統(tǒng)一的服務(wù)臺,實現(xiàn)了事件、問題的全流程閉環(huán)管理(即:發(fā)現(xiàn)問題、登記問題、解決問題、解決反饋、解決確認)。年均處理信息安全事件近百件,將信息安全問題消滅在萌芽階段,有效地保證了信息系統(tǒng)穩(wěn)定運行,保證了衛(wèi)生監(jiān)督中心信息安全目標和方針的實現(xiàn)。
信息安全等級保護實踐經(jīng)驗
1.規(guī)范管理,細化流程
衛(wèi)生監(jiān)督中心從安全管理制度、安全管理組織機構(gòu)及人員、安全建設(shè)管理和安全運維管理等方面建立了較為完善的安全管理體系。通過管理體系的建設(shè),為國家級衛(wèi)生監(jiān)督信息系統(tǒng)運維管理工作中安全管理提供了重要指導。
國家級衛(wèi)生監(jiān)督信息系統(tǒng)運維工作從安全管理體系的建設(shè)中吸取了很多有益經(jīng)驗,不僅合理調(diào)配了運維管理人員,落實了運維管理組織機構(gòu)和崗位職責,而且細化了運維管理流程,形成了“二級三線”的運維處理機制。
2.循序漸進,持續(xù)完善
信息安全的總需求是邊界安全、網(wǎng)絡(luò)安全、主機安全、終端安全、應(yīng)用安全和數(shù)據(jù)安全的最終目標,是確保信息機密性、完整性、可用性、可控性和抗抵賴性,以及企業(yè)對信息資源的控制[1]。2009年福建公司開展了等級保護工作,結(jié)合今年福建公司安全防護體系建設(shè)和等保測評成果,證明信息安全防護重點在于管理?,F(xiàn)代企業(yè)管理實踐也證明,任何工作均是3分技術(shù),7分管理。電網(wǎng)企業(yè)信息安全工作也不例外,技術(shù)只是最基本的手段,規(guī)范、科學的管理才是發(fā)展根本的保障[2]。
2信息安全防護體系設(shè)計
2.1信息安全防護體系總體框架
在對多種信息安全防護體系進行研究分析后,參照ISO/27001信息安全管理標準,根據(jù)國家電網(wǎng)公司電網(wǎng)信息安全等級保護“雙網(wǎng)雙機、分區(qū)分域、等級防護、多層防御”原則,提出電網(wǎng)企業(yè)的信息安全防護體系框架。電網(wǎng)企業(yè)信息安全防護體系建設(shè)可從管理和技術(shù)層面進行[3]。該體系框架根據(jù)規(guī)劃設(shè)計、開發(fā)測試、實施上線、運行維護、系統(tǒng)使用和廢棄下線6個環(huán)節(jié)的信息系統(tǒng)生命周期特征制定全過程安全管理;從物理、邊界、網(wǎng)絡(luò)、主機、終端、應(yīng)用、數(shù)據(jù)7個方面制定全方位的技術(shù)防護措施。
2.2信息安全防護管理體系設(shè)計
電網(wǎng)企業(yè)信息安全在信息系統(tǒng)建設(shè)、運行、維護、管理的全過程中,任何一個環(huán)節(jié)的疏漏均有可能給信息系統(tǒng)帶來危害。根據(jù)信息系統(tǒng)全生命周期,從規(guī)劃設(shè)計、開發(fā)測試、實施上線、運行維護、系統(tǒng)使用和廢棄下線6個環(huán)節(jié),設(shè)計覆蓋信息安全管理、運行、監(jiān)督、使用職責的安全管控流程[3-4]。
2.2.1網(wǎng)絡(luò)與信息系統(tǒng)安全管理
網(wǎng)絡(luò)與信息系統(tǒng)是企業(yè)現(xiàn)代化管理的重點。由于網(wǎng)絡(luò)與信息系統(tǒng)的動態(tài)性、復(fù)雜性和脆弱性,建立健全的信息安全管理體系已成為了保障網(wǎng)絡(luò)與信息系統(tǒng)安全的重要手段。網(wǎng)絡(luò)與信息系統(tǒng)的安全管理依照國家電網(wǎng)公司制定的《國家電網(wǎng)公司信息網(wǎng)絡(luò)運行管理規(guī)程(試行)》,遵循信息安全等級保護“雙網(wǎng)雙機、分區(qū)分域、等級防護、多層防御”的原則。
2.2.2人員安全管理與崗位職責管理
安全問題的特點為“3分技術(shù)、7分管理”,而管理的核心是人,對于人員安全管理與崗位職責管理其主要包含如下管理內(nèi)容:(1)崗位職責。制定崗位責任書,明確各崗位信息安全責任。(2)持證上崗。安全工作人員持證上崗。(3)保密管理。與員工簽訂保密協(xié)議,并定期進行檢查與考核。(4)安全培訓。對員工進行定期安全培訓。(5)離職管理。對離崗離職人員賬號、權(quán)限及信息資產(chǎn)進行清理和移交。
2.2.3全過程安全管理
(1)系統(tǒng)規(guī)劃設(shè)計安全管理的主要內(nèi)容包括:1)分析和確認系統(tǒng)安全需求。2)確定系統(tǒng)安全保護等級并備案。3)制定安全防護方案并進行評審。(2)系統(tǒng)研發(fā)安全管理的主要內(nèi)容包括:1)制訂研發(fā)安全管理機制,確保開發(fā)全過程信息安全。2)加強開發(fā)環(huán)境安全管理,與實際運行環(huán)境及辦公環(huán)境安全隔離。3)嚴格按照安全防護方案進行安全功能開發(fā)并定期進行審查。4)定期對研發(fā)單位環(huán)境和研發(fā)管理流程進行安全督查。(3)系統(tǒng)實施與上線安全管理的主要內(nèi)容包括:1)嚴格按照設(shè)計方案對網(wǎng)絡(luò)、主機、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等進行安全配置。2)嚴格遵循各項操作規(guī)程,避免誤操作。3)組織安全測評機構(gòu)進行上線環(huán)境安全測評。4)及時對系統(tǒng)試運行期間發(fā)現(xiàn)的安全隱患進行整改。(4)系統(tǒng)運行維護安全管理的主要內(nèi)容包括:1)遵循運維安全規(guī)程,執(zhí)行各項運維操作。2)對系統(tǒng)安全運行狀況進行實時監(jiān)控,及時采取預(yù)警和應(yīng)急處置措施。3)定期進行安全風險評估、等級保護測評與整改。4)建立系統(tǒng)漏洞補丁的安全測試、分發(fā)和安裝管理機制。5)根據(jù)數(shù)據(jù)重要性進行數(shù)據(jù)備份,并定期進行恢復(fù)測試。(5)系統(tǒng)使用安全管理的主要內(nèi)容包括:1)終端準入控制,對各種移動作業(yè)、采集、??氐冉K端進行安全測評。2)終端外聯(lián)控制,禁止終端跨網(wǎng)絡(luò)接入。3)系統(tǒng)賬號和權(quán)限管理,對系統(tǒng)使用人員及其權(quán)限進行嚴格管理。4)終端使用管理,防止終端交叉使用、用戶越權(quán)訪問等。5)終端數(shù)據(jù)存儲、處理時的安全保護。6)對移動存儲介質(zhì)的安全管理。7)終端維修管理,由運維機構(gòu)統(tǒng)一處理。8)終端下線、報廢時的安全管理,對終端數(shù)據(jù)進行安全處理。(6)系統(tǒng)廢棄下線安全管理的主要內(nèi)容包括:1)評估系統(tǒng)下線對其它系統(tǒng)的安全性影響,制定下線方案并進行評審。2)系統(tǒng)下線前對重要數(shù)據(jù)進行備份和遷移。3)系統(tǒng)下線后對不再使用的數(shù)據(jù)與存儲介質(zhì)進行銷毀或安全處理。4)系統(tǒng)下線后及時進行備案。
2.2.4系統(tǒng)測試評估安全機制與評價考核
信息系統(tǒng)建成后必須經(jīng)過試運行并對系統(tǒng)的安全性、可靠性和應(yīng)急措施進行全面測試,測試和試運行通過后方可投入正式運行,信息安全風險評估包括資產(chǎn)評估、威脅評估、脆弱性評估、現(xiàn)有安全措施評估、風險計算和分析、風險決策和安全建議等評估內(nèi)容。安全管理機制的主要內(nèi)容包括:事件管理、安全督查、等保管理、備案管理,應(yīng)急管理等。
3信息安全防護體系
電網(wǎng)企業(yè)信息安全防護體系的設(shè)計[5],主要從物理、邊界、網(wǎng)絡(luò)、主機、終端、應(yīng)用、數(shù)據(jù)7個方面進行,遵循環(huán)境分離、安全分域、網(wǎng)絡(luò)隔離、終端準入、補丁加固、數(shù)據(jù)分級、安全接入、基線配置、應(yīng)用審計、密鑰應(yīng)用等技術(shù)原則,輔以相應(yīng)的技術(shù)措施實現(xiàn)全面的安全防護[6]。
3.1物理安全
物理環(huán)境分為室內(nèi)物理環(huán)境和室外物理環(huán)境,根據(jù)設(shè)備部署安裝位置的不同,選擇相應(yīng)的防護措施。室內(nèi)機房物理環(huán)境安全需滿足對應(yīng)信息系統(tǒng)安全等級的等級保護物理安全要求,室外設(shè)備物理安全需滿足國家要求。具體安全措施如下:(1)機房分區(qū)、門禁等準入控制。(2)設(shè)備物理安全需滿足國家對于防盜、電氣、環(huán)境、噪音、電磁、機械結(jié)構(gòu)、銘牌、防腐蝕、防火、防雷、電源等要求。(3)機柜/機箱應(yīng)避免可能造成的人身安全隱患,符合安裝設(shè)備的技術(shù)需求。(4)機柜/機箱外應(yīng)設(shè)有警告標記,并能進行實時監(jiān)控,在遭受破壞時能及時通知監(jiān)控中心。(5)研發(fā)場所分離并采取準入控制
3.2邊界安全
邊界安全防護目標是使邊界的內(nèi)部不受來自外部的攻擊,同時也用于防止惡意的內(nèi)部人員跨越邊界對外實施攻擊,或外部人員通過開放接口、隱蔽通道進入內(nèi)部網(wǎng)絡(luò);在發(fā)生安全事件前期能夠通過對安全日志及入侵檢測事件的分析發(fā)現(xiàn)攻擊企圖,安全事件發(fā)生后可以提供入侵事件記錄以進行審計追蹤。
3.3網(wǎng)絡(luò)安全
網(wǎng)絡(luò)環(huán)境安全防護的目標是防范惡意人員通過網(wǎng)絡(luò)對網(wǎng)絡(luò)設(shè)備和業(yè)務(wù)系統(tǒng)進行攻擊和信息竊取,在安全事件發(fā)生前可以通過集中的日志審計、入侵檢測事件分析等手段,以及對信息內(nèi)外網(wǎng)網(wǎng)絡(luò)、終端以及防護設(shè)備等安全狀態(tài)的感知和監(jiān)測,實現(xiàn)安全事件的提前預(yù)警;在安全事件發(fā)生后可以通過集中的事件審計系統(tǒng)及入侵檢測系統(tǒng)進行事件追蹤、事件源定位,及時制定相應(yīng)的安全策略防止事件再次發(fā)生;并能實現(xiàn)事后審計,對惡意行為和操作的追查稽核、探測入侵、重建事件和系統(tǒng)條件,生成問題報告。
3.4主機安全
主機系統(tǒng)安全的目標是采用信息保障技術(shù)確保業(yè)務(wù)數(shù)據(jù)在進入、離開或駐留服務(wù)器時保持可用性、完整性和保密性,采用相應(yīng)的身份認證、訪問控制等手段阻止未授權(quán)訪問,采用主機防火墻、入侵檢測等技術(shù)確保主機系統(tǒng)的安全,進行事件日志審核以發(fā)現(xiàn)入侵企圖,在安全事件發(fā)生后通過對事件日志的分析進行審計追蹤,確認事件對主機的損害程度以進行后續(xù)處理。
3.5終端安全
終端安全防護目標是確保智能電網(wǎng)業(yè)務(wù)系統(tǒng)終端、信息內(nèi)外網(wǎng)辦公計算機終端以及接入信息內(nèi)、外網(wǎng)的各種業(yè)務(wù)終端的安全。目前重點終端類型包括:(1)配電網(wǎng)子站終端。(2)信息內(nèi)、外網(wǎng)辦公計算機終端。(3)移動作業(yè)終端。(4)信息采集類終端。對于各種終端,需要根據(jù)具體終端的類型、應(yīng)用環(huán)境以及通信方式等選擇適宜的防護措施。
3.6應(yīng)用安全
按照國家信息安全等級保護的要求,根據(jù)確定的等級,部署身份鑒別及訪問控制、數(shù)據(jù)加密、應(yīng)用安全加固、應(yīng)用安全審計、剩余信息保護、抗抵賴、資源控制、等應(yīng)用層安全防護措施。
3.7數(shù)據(jù)安全
對數(shù)據(jù)的安全防護分為數(shù)據(jù)的災(zāi)難恢復(fù)、域內(nèi)數(shù)據(jù)接口安全防護和域間數(shù)據(jù)接口安全防護。域內(nèi)數(shù)據(jù)接口是指數(shù)據(jù)交換發(fā)生在同一個安全域的內(nèi)部,由于同一個安全域的不同應(yīng)用系統(tǒng)之間需要通過網(wǎng)絡(luò)共享數(shù)據(jù),而設(shè)置的數(shù)據(jù)接口;域間數(shù)據(jù)接口是指發(fā)生在不同的安全域間,由于跨安全域的不同應(yīng)用系統(tǒng)間需要交換數(shù)據(jù)而設(shè)置的數(shù)據(jù)接口。
4結(jié)束語
云計算服務(wù)是指將大量用網(wǎng)絡(luò)連接的計算資源統(tǒng)一管理和調(diào)度,構(gòu)成一個計算資源池向用戶按需服務(wù)?;谠朴嬎闶且环N提供信息技術(shù)服務(wù)的模式,積極推進云計算在政府部門的應(yīng)用,獲取和采用以社會化方式提供的云計算服務(wù),將有利于減少各部門分散重復(fù)建設(shè),有利于降低信息化成本、提高資源利用率。但云計算還處于不斷發(fā)展階段,技術(shù)架構(gòu)復(fù)雜,采用社會化的云計算服務(wù),使用者的數(shù)據(jù)和業(yè)務(wù)從自己的數(shù)據(jù)中心轉(zhuǎn)移到云服務(wù)商的平臺中心,大量數(shù)據(jù)集中,使云計算面臨新的安全風險。當政府部門采用云計算服務(wù),尤其是社會化的云計算服務(wù)時,應(yīng)特別關(guān)注信息安全問題。因此政府部門在采購云計算服務(wù)時,要做好采用云計算服務(wù)的前期分析和規(guī)劃,選擇合適的云服務(wù)商,對云計算服務(wù)進行運行監(jiān)管,考慮退出云計算服務(wù)和更好云服務(wù)商的安全風險,做好在云計算服務(wù)的生命周期采取相應(yīng)的安全技術(shù)和管理措施,保障數(shù)據(jù)和業(yè)務(wù)的安全,安全使用云計算服務(wù)。
1 云計算服務(wù)信息安全管理存在的風險
在傳統(tǒng)模式下,客戶的數(shù)據(jù)和業(yè)務(wù)系統(tǒng)都位于客戶的數(shù)據(jù)中心,在客戶的直接管理和控制下。在云計算環(huán)境里,客戶將自己的數(shù)據(jù)和業(yè)務(wù)系統(tǒng)遷移到云計算平臺上,失去了對這些數(shù)據(jù)和業(yè)務(wù)的直接控制能力。存在諸多潛在的風險。
(1)客戶對數(shù)據(jù)和業(yè)務(wù)系統(tǒng)的控制能力減弱及與云服務(wù)商之間的責任難以界定??蛻魯?shù)據(jù)以及在后續(xù)運行過程中生成、獲取的數(shù)據(jù)都處于云服務(wù)商的直接控制下,云服務(wù)商具有訪問、利用或操控客戶數(shù)據(jù)的能力,增加了客戶數(shù)據(jù)和業(yè)務(wù)的風險。缺乏數(shù)據(jù)安全的責任主體界定的問題。
(2)可能產(chǎn)生司法管轄及容易產(chǎn)生對云服務(wù)商的過度依賴問題。在云計算環(huán)境里,數(shù)據(jù)的實際存儲位置往往不受客戶控制,客戶的數(shù)據(jù)可能存儲在境外數(shù)據(jù)中心,改變了數(shù)據(jù)和業(yè)務(wù)的司法管轄關(guān)系。由于缺乏統(tǒng)一的標準和接口,不同云計算平臺上的客戶數(shù)據(jù)和業(yè)務(wù)難以相互遷移,導致客戶對云服務(wù)商過度依賴
(3)數(shù)據(jù)保護更加困難,所有權(quán)保障面臨風險。云計算平臺采用虛擬化等技術(shù)實現(xiàn)多客戶共享計算,資源,隨著復(fù)雜性的增加,實施有效的數(shù)據(jù)保護措施更加困難,客戶數(shù)據(jù)被未授權(quán)訪問、篡改、泄露和丟失的風險增大。
2 云計算服務(wù)信息安全管理的要求
采用云計算服務(wù)期間,為了能夠保障云計算服務(wù)的安全,需對客戶和云服務(wù)商在信息安全管理方面提出要求。
2.1 安全責任及安全管理水平不變
信息安全管理責任不應(yīng)隨服務(wù)外包而轉(zhuǎn)移,無論客戶數(shù)據(jù)和業(yè)務(wù)是處于內(nèi)部信息系統(tǒng)還是云服務(wù)商的云計算平臺上,客戶都是信息安全的最終責任人。承載客戶數(shù)據(jù)和業(yè)務(wù)的云計算平臺應(yīng)按照政府信息系統(tǒng)安全管理要求進行管理,為客戶提供云計算服務(wù)的云服務(wù)商應(yīng)遵守政府信息系統(tǒng)安全管理政策及標準。
2.2 資源的所有權(quán)及司法管轄關(guān)系不變
客戶提供給云服務(wù)商的數(shù)據(jù)、設(shè)備等資源,以及云計算平臺上客戶業(yè)務(wù)系統(tǒng)運行過程中收集、產(chǎn)生、存儲的數(shù)據(jù)和文檔等都應(yīng)屬客戶所有,客戶對這些資源的訪問、利用、支配等權(quán)利不受限制。
客戶數(shù)據(jù)和業(yè)務(wù)的司法管轄權(quán)不應(yīng)因采用云計算服務(wù)而改變。
2.3 堅持先審后用原則
云服務(wù)商應(yīng)具備保障客戶數(shù)據(jù)和業(yè)務(wù)系統(tǒng)安全的能力,并通過安全審查??蛻魬?yīng)選擇通過審查的云服務(wù)商,并監(jiān)督云服務(wù)商切實履行安全責任,落實安全管理和防護措施。
3 云計算服務(wù)的信息安全技術(shù)能力的要求
云服務(wù)商在提供云計算服務(wù)時,要相應(yīng)具備云計算服務(wù)的信息安全技術(shù)能力要求,以保障云計算環(huán)境中客戶信息和業(yè)務(wù)的安全,具體要求如下。
3.1 系統(tǒng)開發(fā)與供應(yīng)鏈安全及系統(tǒng)與通信保護
云服務(wù)商應(yīng)在開發(fā)云計算平臺時對其提供充分保護,對信息系統(tǒng)、組件和服務(wù)的開發(fā)商提供相應(yīng)要求,為云計算平臺配置足夠的資源,并充分考慮安全需求。云服務(wù)商應(yīng)在云計算平臺的外部邊界和內(nèi)部關(guān)鍵邊界上監(jiān)視、控制和保護網(wǎng)絡(luò)通信,并采用結(jié)構(gòu)化設(shè)計、軟件開發(fā)技術(shù)和軟件工程方法有效保護云計算平臺的安全性。
3.2 訪問控制及配置管理
云服務(wù)商應(yīng)嚴格保護云計算平臺的客戶數(shù)據(jù),在允許人員、進程、設(shè)備訪問云計算平臺之前,應(yīng)對其進行身份標識及鑒別,并限制其可執(zhí)行的操作和使用的功能。云服務(wù)商應(yīng)對云計算平臺進行配置管理,設(shè)置和實現(xiàn)云計算平臺中各類產(chǎn)品的安全配置參數(shù)。
3.3 維護及應(yīng)急響應(yīng)與災(zāi)備
云服務(wù)商應(yīng)維護好云計算平臺設(shè)施和軟件系統(tǒng),并對維護所使用的工具、技術(shù)、機制以及維護人員進行有效的控制,且做好相關(guān)記錄。云服務(wù)商應(yīng)為云計算平臺制定應(yīng)急響應(yīng)計劃,并定期演練,確保在緊急情況下重要信息資源的可用性。
3.4 審計及風險評估與持續(xù)監(jiān)控
云服務(wù)商應(yīng)根據(jù)安全需求和客戶要求,制定可審計事件清單,明確審計記錄內(nèi)容,實施審計并妥善保存審計記錄,對審計記錄進行定期分析和審查。云服務(wù)商應(yīng)定期或在威脅環(huán)境發(fā)生變化時,對云計算平臺進行風險評估,確保云計算平臺的安全風險處于可接受水平。云服務(wù)商應(yīng)制定監(jiān)控目標清單,對目標進行持續(xù)安全監(jiān)控,并在發(fā)生異常和非授權(quán)情況時發(fā)出警報。
3.5 安全組織與人員及物理與環(huán)境保護
云服務(wù)商應(yīng)確保能夠接觸客戶信息或業(yè)務(wù)的各類人員上崗時具備履行其安全責任的素質(zhì)和能力,還應(yīng)在授予相關(guān)人員訪問權(quán)限之前對其進行審查并定期復(fù)查。云服務(wù)商應(yīng)確保機房位于中國境內(nèi)、機房選址、設(shè)計、供電、消防、溫濕度控制等符合相關(guān)標準的要求,云服務(wù)商應(yīng)對機房進行監(jiān)控。
4 結(jié)語
本文通過云計算服務(wù)中信息安全管理存在的風險、云計算服務(wù)信息安全管理及技術(shù)能力等方面進行闡述,提出了云計算服務(wù)信息安全管理的具體措施及技術(shù)能力的具體要求,從管理及技術(shù)方面確保云計算服務(wù)的信息安全,保障云計算服務(wù)安全。
關(guān)鍵詞:信息安全;需求;分析
中圖分類號:TP309.2文獻標識碼:A 文章編號:1009-3044(2008)36-2844-02
The Requirement of Information Security the Analysis for An Enterprise of Fujian
CHEN Rong-sheng, GUO Yong, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: For information on the degree of rising-to-business information security threats are increasing, according to the standards of information security framework for an enterprise's information security status of the analysis, come to conclusions, and the enterprise in the information security requirement.
Key words: information security; requirement; analysis
1 引言
隨著信息化程度的不斷提高和互聯(lián)網(wǎng)應(yīng)用的不斷發(fā)展,新的信息安全風險也隨之不斷暴露出來。原先由單個計算機安全事故引起的損害可能傳播到其他系統(tǒng)和主機,引起大范圍的癱瘓和損失。根據(jù)CNCERT 統(tǒng)計報告指出,2007年接受網(wǎng)絡(luò)安全事件報告同比2006年增長近3倍,目前我國大陸地區(qū)約1500多萬個IP 地址被植入木馬程序,位居全球第二位(其中福建省占10%,居全國第三位);有28477個網(wǎng)站被篡改(其中政府網(wǎng)站占16%);網(wǎng)站仿冒事件占居全球第二位;拒絕服務(wù)攻擊事件頻繁發(fā)生。
針對于次,為福建企業(yè)制定一個統(tǒng)一、規(guī)范的信息安全體系結(jié)構(gòu)是迫在眉睫的。本文根據(jù)福建企業(yè)特點,參照國內(nèi)外有的規(guī)范和理論體系,制定了企業(yè)信息安全需求調(diào)研計劃,并對調(diào)研結(jié)果進行分析,為進一步制定信息安全體系結(jié)構(gòu)和具體實施建議奠定堅實基礎(chǔ)。整個分析報告按照圖1的步驟形成。
2 分析報告指導理論模型框架
2.1 總體指導模型
一個完整的信息安全體系由組織體系、技術(shù)體系和管理體系組成,如圖2所示。
其中,組織體系是有關(guān)信息安全工作部門集合,這些部門負責信息安全技術(shù)和管理資源的整合和使用;技術(shù)體系則是從技術(shù)的角度考察安全,通過綜合集成方式而形成的技術(shù)集合,技術(shù)體系包含內(nèi)容有安全防護、安全檢測、安全審計、應(yīng)急響應(yīng)恢復(fù)、密碼、物理安全、安全機制與安全服務(wù)等;管理體系則是根據(jù)具體信息系統(tǒng)的環(huán)境,而采取管理方法和管理措施的集合,管理體系涉及到的主要內(nèi)容管理制度、管理規(guī)范、教育培訓、管理流程等。
2.2 ISO/IEC 15408 標準
圖1 分析報告形成流程
圖2 信息安全體系結(jié)構(gòu)
圖3 GB/T18336 標準要素關(guān)系
信息技術(shù)安全性評估通用準則ISO15408已被頒布為國家標準GB/T18336,簡稱通用準則(CC),它是評估信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基礎(chǔ)準則。該標準提供關(guān)于信息資產(chǎn)的安全分析框架,其中安全分析涉及到資產(chǎn)、威脅、脆弱性、安全措施、風險等各個要素,各要素之間相互作用,如圖3所示。資產(chǎn)因為其價值而受到威脅,威脅者利用資產(chǎn)的脆弱性構(gòu)成威脅。安全措施則是對資產(chǎn)進行保護,修補資產(chǎn)的脆弱性,從而可降低資產(chǎn)的風險。
3 分析報告素材獲取
作為分析報告,必須要有真實的分析素材才能得出可靠的分析結(jié)論。我們在素材獲取方法、獲取內(nèi)容、獲取對象和最后素材整理上都有具體規(guī)范。
3.1 獲取方法
在素材獲取方法上,采取安全訪談、調(diào)查問卷、文檔資料收集等3種工作方法來獲取信息安全需求。
3.2 獲取對象與內(nèi)容
素材獲取對象為兩種類型,分別為部門領(lǐng)導和普通員工。其中:部門領(lǐng)導主要側(cè)重于信息安全管理、崗位、流程、資產(chǎn)和培訓方面的信息獲?。黄胀▎T工主要側(cè)重于信息安全崗位責任、操作習慣和安全配置與管理方面的信息獲取。
素材獲取內(nèi)容分三個方面:一是管理調(diào)研;二是業(yè)務(wù);三是的IT技術(shù)調(diào)研。素材獲取內(nèi)容安排有五種類型,其中:管理類2種,分別為高層管理訪談和中層部門領(lǐng)導訪談;技術(shù)類2種,分別為網(wǎng)絡(luò)安全訪談和主機及數(shù)據(jù)庫信息安全訪談;業(yè)務(wù)類1種,為業(yè)務(wù)及應(yīng)用系統(tǒng)安全訪談。
最后的素材資料整理分為管理和技術(shù)兩大類資料。
4 目前信息安全現(xiàn)狀的分析
4.1 組織現(xiàn)狀分析
通過對最后資料的分析看出,目前有一些企業(yè)對信息安全的管理還是十分重視的,很多成立了自己的安全小組,安全小組也定義了各個崗位,并明確了職責。安全小組目前的還存在著幾點不足的地方:
1)安全小組的人員大部分是兼職工作,安全工作往往和本職工作之間存在的工作上時間沖突問題;2)安全小組的側(cè)重于生產(chǎn)安全,信息安全的工作內(nèi)容不夠突出,信息安全的專業(yè)性不夠強;3)信息的安全的監(jiān)督機制有,并有一些安全考核的指標,較難執(zhí)行,執(zhí)行力不夠;4)信息安全的人事培訓管理已經(jīng)作得比較好,可以增加信息安全方面專家的培訓內(nèi)容,更好的提高每個員工的信息安全意識。
4.2 信息安全管理現(xiàn)狀
目前,許多已經(jīng)有IT支持能力的企業(yè)在信息安全管理方面還有以下地方可以完善:對信息安全策略定義可以進一步完善;控制方式比較分散,不夠統(tǒng)一;制度上可進一步細化,增強可操作性;在項目的安全管理上還有很多可以完善的地方;增加人力投入,加強安全管控。
4.3 信息安全技術(shù)現(xiàn)狀
通過對最后技術(shù)資料的分析,得知以下信息安全基本情況:
1)主機的安全運行有專門的技術(shù)人員支持和維護,建立了比較全面的安全操作規(guī)范,具備應(yīng)對突發(fā)事件的能力,能夠比較好的保障主機系統(tǒng)工作的連續(xù)性和完整性;2)主機系統(tǒng)的安全管理主要涉及到服務(wù)器硬件、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用服務(wù)系統(tǒng)等內(nèi)容,密鑰管理手段不科學,主機系統(tǒng)的日志缺乏定期的安全分析,主機的安全風險依賴于管理者的安全配置,缺少安全管理工具和安全監(jiān)測措施;3)主機安全人員配備上沒有專職的系統(tǒng)安全管理員,一個人需要管理多臺主機設(shè)備,主要靠人工監(jiān)視主機系統(tǒng)的運作管理;4)用戶安全管理方面,口令管理手段不科學;5)主機漏洞修補方面不及時,已知漏洞不能完全堵上;6)主機系統(tǒng)的安全管理手段主要依賴系統(tǒng)自身提供的安全措施;7)主機系統(tǒng)的日志沒有無遠程備份日志服務(wù)器;8)主機設(shè)備類型多,監(jiān)測和管理手段依靠人工方式,沒有自動工具;9)系統(tǒng)人員管理一般從遠程管理主機,沒有全部采取遠程安全措施;10)部門分工按職能劃分,未按系統(tǒng)劃分。
5 分析結(jié)論:信息安全需求
基于以上分析,得出了以下結(jié)論,主要分為信息安全整體需求和集體歸納。
5.1 信息安全整體需求
大部分的企業(yè)沒有建立起完善的信息安全組織、管理團隊,技術(shù)方面欠缺。從總體上考慮,信息安全管理需要解決以下問題:
1)企業(yè)內(nèi)部的信息安全組織結(jié)構(gòu)的協(xié)調(diào)一致性;2)技術(shù)和管理方法的發(fā)展均衡性;3)公司內(nèi)部的業(yè)務(wù)發(fā)展急迫性與信息安全建設(shè)周期性之間的矛盾;4)員工之間對信息安全認知的差異性;5)與第三方機構(gòu)(供應(yīng)商、服務(wù)商、應(yīng)用開發(fā)商)之間的信息安全管理關(guān)系。
5.2 信息安全需求的集體歸納
5.2.1 信息安全組織與管理
根據(jù)上述對信息安全組織和管理現(xiàn)狀的分析,安全組織與管理總體需求可以歸納為:在組織方面,建立打造一支具有專業(yè)水準和過硬本領(lǐng)的信息安全隊伍;在管理方面建立相應(yīng)的信息安全管理措施。
5.2.2 網(wǎng)絡(luò)安全需求
網(wǎng)絡(luò)安全,其目標是網(wǎng)絡(luò)的機密性、可用性、完整性和可控制性,不致因網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)通信協(xié)議、網(wǎng)絡(luò)管理受到人為和自然因素的危害,而導致網(wǎng)絡(luò)傳輸信息丟失、泄露或破壞。集體為:
1)集中統(tǒng)一的網(wǎng)絡(luò)接入認證、授權(quán)、審計安全技術(shù);2)集中統(tǒng)一的網(wǎng)絡(luò)安全狀態(tài)監(jiān)測技術(shù);3)針對通訊網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)開發(fā)安全檢查工具集,包括網(wǎng)絡(luò)安全策略執(zhí)行檢查、網(wǎng)絡(luò)漏洞掃描、網(wǎng)絡(luò)滲透測試等;4)能夠支持網(wǎng)絡(luò)的安全綜合管理平臺,能夠支持網(wǎng)絡(luò)用戶安全管理。
5.2.3 主機系統(tǒng)安全需求
主機系統(tǒng)的安全需求歸納如下:
1)諸多主機的集中認證、授權(quán)、審計安全管理技術(shù);2)針對主機系統(tǒng)的安全狀態(tài)監(jiān)測技術(shù);3)針對主機系統(tǒng)的安全檢查工具包;4)能夠支持主機的安全綜合管理平臺。
5.2.4 數(shù)據(jù)安全需求
數(shù)據(jù)安全,是指包括數(shù)據(jù)生成、數(shù)據(jù)處理、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)利用、數(shù)據(jù)銷毀等過程的安全。其目標是保證數(shù)據(jù)的保密性、可用性、完整性、可控制性,確保不因數(shù)據(jù)操作、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)傳輸、管理等因素受到人為的或自然因素的危害而引起數(shù)據(jù)丟失、泄露或破壞。具體需求要求如下:
1)需要建立一個支持認證、授權(quán)、審計、安全等功能的數(shù)據(jù)生命周期管理機制;2)需要建立一套數(shù)據(jù)攻擊防范系統(tǒng),包括非法行為監(jiān)控、威脅報警、數(shù)據(jù)垃圾過濾等;3)需要建立一套數(shù)據(jù)容災(zāi)系統(tǒng),能夠提供數(shù)據(jù)應(yīng)急響應(yīng)、防止失竊、損毀和發(fā)霉變質(zhì)。
5.2.5 應(yīng)用系統(tǒng)安全需求
應(yīng)用系統(tǒng)安全,是指包括需求調(diào)查、系統(tǒng)設(shè)計、開發(fā)、測試、維護中所涉及到的安全問題。其目標是應(yīng)用信息系統(tǒng)的保密性、可用性、完整性、可控制性,不致因需求調(diào)查、系統(tǒng)設(shè)計、開發(fā)、測試、維護過程受到人為和自然因素的危害,從而導致應(yīng)用信息系統(tǒng)數(shù)據(jù)丟失、泄露或破壞。應(yīng)用方面的安全需求歸納如下:
1)需要建立一套關(guān)于應(yīng)用系統(tǒng)分類、應(yīng)用系統(tǒng)安全接口、應(yīng)用系統(tǒng)操作流程等方面的應(yīng)用系統(tǒng)管理規(guī)范;2)需要建立一套獨立的應(yīng)用系統(tǒng)安全測試環(huán)境,滿足應(yīng)用系統(tǒng)上線前能夠得到充分的安全測試;3)需要建立一個基于角色認證、授權(quán)、審計的授權(quán)管理系統(tǒng),能夠支持按員工的工作崗位授權(quán)管理,能夠支持事后責任追查的法律依據(jù);4)需要建立一個統(tǒng)一集中的應(yīng)用系統(tǒng)監(jiān)控管理平臺,能夠支持檢測到異常的操作。
6 結(jié)束語
文章通過對福建某企業(yè)的信息安全現(xiàn)狀進行相關(guān)素材獲取,依照信息安全體系相關(guān)標準對整理后資料進行分析,得出了該企業(yè)的信息安全現(xiàn)狀的評估結(jié)論,并提出了此類企業(yè)在信息安全體系建設(shè)上的需求分析。本文的結(jié)論,對此類企業(yè)的信息安全體系建設(shè)有一定的參考意義。
參考文獻:
[1] 張世永.網(wǎng)絡(luò)安全原理與應(yīng)用[M].北京:科學出版社,2003.
[2] Christopher Alberts, Audrey Dorofee. Managing Information Security Risks. Pearson Education, Inc. 2003:10,80~82.
[3] 董良喜,王嘉禎,康廣.計算機網(wǎng)絡(luò)威脅發(fā)生可能性評價指標研究[J]. 計算機工程與應(yīng)用,2004,40(26):143~148.
針對近年來頻繁發(fā)生的網(wǎng)絡(luò)犯罪事件,許多學者以及相關(guān)認識開始不斷研究與應(yīng)用更多的安全防護技術(shù),其中較為常見的技術(shù)包括防火墻、入侵檢測、數(shù)據(jù)加密以及VPN等技術(shù)。其中在防火墻技術(shù)方面,其主要通過安全網(wǎng)關(guān)的構(gòu)建對外部網(wǎng)絡(luò)攻擊行為進行攔截,并有效監(jiān)控網(wǎng)絡(luò)運行的整體情況,是保證網(wǎng)絡(luò)信息安全的重要措施。但其在應(yīng)用中對病毒或黑客入侵的阻止并非萬能,需同其他防護措施共同配合。在入侵檢測技術(shù)方面,其作用在于利用相關(guān)硬件軟件實時監(jiān)測數(shù)據(jù)流,若發(fā)現(xiàn)入侵數(shù)據(jù)可能對網(wǎng)絡(luò)安全造成威脅將采取相應(yīng)的反應(yīng)動作如禁止啟動或切斷網(wǎng)絡(luò)等。在數(shù)據(jù)加密方面,主要對傳輸與存儲的數(shù)據(jù)進行加密,常用到加密鑰匙的方式實現(xiàn)防止數(shù)據(jù)外泄與竊取的目標。另外在VPN技術(shù)應(yīng)用方面,其結(jié)合訪問控制與加密措施,保證數(shù)據(jù)僅在可信公共信道中進行傳輸。綜合來看,網(wǎng)絡(luò)信息的安全很難通過其中一種技術(shù)手段實現(xiàn),即使現(xiàn)階段比較前沿的如PKI關(guān)鍵技術(shù)或防毒墻等,應(yīng)用中都需配有其他輔技術(shù),因此需構(gòu)建更為有效的安全管理體系勢在必行。
2網(wǎng)絡(luò)信息安全存在的主要風險問題
現(xiàn)階段網(wǎng)絡(luò)信息安全的主要風險可具體細化為:①從網(wǎng)絡(luò)層面。包括傳輸數(shù)據(jù)時存在的被篡改或竊取情況、網(wǎng)絡(luò)邊界方面的風險、過于單一的入侵檢測手段以及審計系統(tǒng)的設(shè)計不完善等。②從系統(tǒng)層面。大多操作系統(tǒng)以及軟件程序等本身在設(shè)計過程中便存在較多漏洞,若在使用中忽視對其進行定期更新與漏洞修復(fù),很容易使系統(tǒng)安全受到木馬病毒威脅。③從應(yīng)用層面。其存在的信息安全問題主要體現(xiàn)在用戶進行業(yè)務(wù)信息提交過程中可能被竊聽或篡改、內(nèi)網(wǎng)與外網(wǎng)交互使用為不法分子創(chuàng)造入侵條件等方面。④從管理層面。許多機關(guān)單位在網(wǎng)絡(luò)安全風險管理制度方面缺乏一定的實效性,且存在設(shè)備通用、內(nèi)外網(wǎng)混用等問題,許多如外部訪問或訪問權(quán)限等方面的設(shè)計并不嚴格,不利于網(wǎng)絡(luò)信息安全性的提高。⑤從人員角度。網(wǎng)絡(luò)安全得以保障關(guān)鍵在于相關(guān)人員是否具備相關(guān)的網(wǎng)絡(luò)安全技術(shù)與安全技術(shù),無論安全意識的缺失或技術(shù)能力不足都可能帶來一定的安全風險。
3管理體系的具體構(gòu)建思路
針對現(xiàn)行網(wǎng)絡(luò)信息安全的相關(guān)防護技術(shù)與實際存在的安全威脅問題,在構(gòu)建安全管理體系過程中主要可從兩方面進行,包括技術(shù)應(yīng)用與網(wǎng)絡(luò)安全管理兩方面,只有保證對二者采取相應(yīng)的防御戰(zhàn)略才可實現(xiàn)信息安全保障的目標。
(1)安全技術(shù)的應(yīng)用
對于現(xiàn)行技術(shù)層面中存在的安全風險問題,除前文中提及的防火墻與入侵檢測技術(shù)外,還需在系統(tǒng)設(shè)計中采取以下幾方面技術(shù)策略:①注重聯(lián)動方式與具體配置。在將防火墻與入侵檢測系統(tǒng)實現(xiàn)聯(lián)動的基礎(chǔ)上,還需保證防火墻與IDS進行聯(lián)動,這樣可相互配合對攻擊行為進行阻斷,但需注意IDS控制臺應(yīng)在網(wǎng)中進行部署,或在其他區(qū)域SOC區(qū)中設(shè)置。②引入防病毒系統(tǒng)。對于現(xiàn)行多樣化的病毒形式很難利用簡單的病毒軟件消除病毒,應(yīng)在防毒系統(tǒng)應(yīng)用中保證其不會占用過多的系統(tǒng)資源,且對核心服務(wù)器具有極強的防毒能力,如現(xiàn)階段常用的OfficeScan,在防治病毒方面具有良好的效果。③審計系統(tǒng)的完善。在系統(tǒng)內(nèi)部網(wǎng)絡(luò)中應(yīng)進行安全審計系統(tǒng)的設(shè)計,保證其能夠?qū)ο嚓P(guān)的網(wǎng)絡(luò)行為、設(shè)備運行狀態(tài)進行綜合審計,及時找出存在的隱患。另外,設(shè)計過程中還可引入其他方面的技術(shù)措施如漏洞掃描、過濾網(wǎng)關(guān)或終端系統(tǒng)等方面,對網(wǎng)絡(luò)信息安全性的提高可起到重要作用。
(2)網(wǎng)絡(luò)安全管理工作
管權(quán)管理體系構(gòu)建中除考慮引入相應(yīng)的技術(shù)防護措施外,還需注重網(wǎng)絡(luò)信息管理水平的提高。注重相關(guān)人員網(wǎng)絡(luò)技術(shù)水平以及安全意識的提高,可通過相關(guān)的培訓工作使人員正確認識木馬病毒、網(wǎng)絡(luò)攻擊行為等。同時在安全管理制度方面應(yīng)不斷完善,如機房管理制度、操作管理制度以及技術(shù)保障制度等,以此確保應(yīng)對風險的能力得以增強。
4結(jié)論
一、AMIS和OAS的應(yīng)用成效
隨著審計系統(tǒng)的升級、優(yōu)化以及審計人員越來越熟練地掌握和運用,AMIS和OAS兩大信息系統(tǒng)已經(jīng)成為審計人員必備的審計工具,被廣泛應(yīng)用于審計各個環(huán)節(jié)和各類項目之中,取得可觀的成效。1.AMIS發(fā)揮的功效。一是提高審計工作效率。作為審計信息的管理工具,AMIS對信息的采集、分析、記錄和存儲有利于提高審計業(yè)務(wù)的整體效率和管理水平,節(jié)約人力和財務(wù)成本,促進審計工作更加高效。二是規(guī)范審計操作流程。AMIS對審計項目操作流程規(guī)范化提出了剛性要求,要求審計項目的管理和實施必須遵從系統(tǒng)的既定流程和規(guī)則,而不能主觀隨意地操作,規(guī)避了審計風險。三是促進審計跟蹤成效。通過篩查AMIS存儲的以往審計發(fā)現(xiàn),跟蹤審計事項,督促被審計單位及時整改,并對整改的真實性、持續(xù)性和系統(tǒng)性做出評價,更好地發(fā)揮審計的職能作用。四是成為審計人員的良師益友。由于AMIS涵蓋了審計人員需要的大部分知識和信息,且操作方法簡便,其中的知識庫子系統(tǒng)已成為審計人員的知識寶庫,是學習和實施審計項目的典籍,在審計條線得到廣泛使用和認可。2.OAS取得的效果。一是實現(xiàn)業(yè)務(wù)全面檢查和常態(tài)化監(jiān)測。由OAS獲得較全面的業(yè)務(wù)數(shù)據(jù),通過統(tǒng)計分析,對經(jīng)營管理的整體情況進行全面的評價;同時,OAS定期加載被審計單位的交易數(shù)據(jù),依據(jù)動態(tài)信息,實行常態(tài)化審計監(jiān)測,及時發(fā)現(xiàn)、揭示關(guān)鍵控制環(huán)節(jié)的風險苗頭和經(jīng)營管理中存在的問題,為管理層預(yù)警信號、提供決策支持,實現(xiàn)對風險的防預(yù)性控制,提高審計的時效性,充分體現(xiàn)審計的價值。二是增強審計抽樣的科學性。審計抽樣是審計活動的重要環(huán)節(jié),通過樣本推斷總體,進而判斷出總體情況,樣本質(zhì)量的高低及其代表性的強弱,對審計結(jié)論的合理性和可靠性、審計目標的實現(xiàn)尤為重要。OAS具有強大的審計抽樣功能,統(tǒng)一抽樣標準和樣本規(guī)模,有效避免人為偏差,大大提高審計樣本的質(zhì)量和審計查證的準確度。三是形成資源共享。內(nèi)部審計機構(gòu)秉承為建設(shè)銀行經(jīng)營發(fā)展保駕護航的審計理念,對駐地的一級分行開放使用OAS,實現(xiàn)了資源的共享。近年來,已對主要的條線管理部門開放了OAS的外部用戶使用權(quán)限,并且對業(yè)務(wù)部門直接提出的數(shù)據(jù)需求,及時給予支持和滿足,取得了一定的成效,得到駐地分行的肯定。
二、建設(shè)銀行內(nèi)部審計信息系統(tǒng)存在的問題
(一)AMIS存在的主要問題
自AMIS上線以來,雖然幾經(jīng)優(yōu)化和改進,不斷增強其應(yīng)用性能,但是隨著審計工作精細化管理要求的不斷提升,該系統(tǒng)的部分應(yīng)用功能仍有優(yōu)化和拓展的空間。其主要問題表現(xiàn)為:一是檢索功能有待提高。AMIS未采用智能搜索引擎技術(shù),雖設(shè)置了高級搜索,但需要準確地輸入“關(guān)鍵字”,查詢效率低,影響了使用效率。二是審計發(fā)現(xiàn)的歸納整理有待細化。以往審計發(fā)現(xiàn)的問題未進行細致的整理,尤其針對屢查屢犯的問題未加以梳理和歸納,影響了審計成果的充分利用和深入研究,不利于跟蹤審計的深度開展。三是經(jīng)濟責任審計資料庫建設(shè)尚未納入子模塊。經(jīng)濟責任審計已成為內(nèi)部審計一項重要的業(yè)務(wù)內(nèi)容,而且受到企業(yè)高管層及外部監(jiān)管機構(gòu)的高度重視,審計流程建設(shè)快速,投入的資源較充足。建設(shè)銀行各審計機構(gòu)雖采取一定的技術(shù)方法,定期地搜集、存儲了大量的文字和數(shù)據(jù)資料,但尚未將其納入AMIS之中,不便于對資源的挖掘和利用。
(二)OAS凸現(xiàn)的主要問題
在內(nèi)部審計充分應(yīng)用OAS的同時,隨著審計要求的不斷提高,逐漸凸現(xiàn)系統(tǒng)運行效率低、應(yīng)用管理制度不健全等問題,具體表現(xiàn)為:一是項目需求與資源有限的供給矛盾突出。審計項目對OAS的依賴程度越來越高,按審計計劃實施的審計項目、非項目任務(wù)下發(fā)的模型、為滿足日常非現(xiàn)場系統(tǒng)的使用需求進行研究的試運行模型等,使服務(wù)器運行承載著重負,進而導致模型運行時間相對集中,即使審計人員加班加點夜以繼日地完成運行任務(wù),由于多用戶爭用資源出現(xiàn)的運行錯誤,難以保證運行結(jié)果的正確性。因此,審計項目需求與服務(wù)器資源供給之間日益突出的矛盾,已經(jīng)成為當前非現(xiàn)場服務(wù)器運行管理亟待解決的問題。二是信息安全制度建設(shè)不健全。OAS的數(shù)據(jù)信息在采集、傳遞、加工、存儲、銷毀等數(shù)據(jù)生命周期過程中產(chǎn)生的安全風險,需要建立制度予以規(guī)范和防控,但審計機構(gòu)尚未全部建立數(shù)據(jù)安全管理制度。同時,信息安全管理是一項持續(xù)性的體系化工作,如果僅關(guān)注具體信息風險安全控制則很難彌補過程中的缺陷,還應(yīng)強化信息安全的全流程管理,并根據(jù)風險環(huán)境變化不斷加以完善。三是應(yīng)用能力有待提高。OAS已成為內(nèi)部審計的重要工具,但是要使用的得心應(yīng)手,能夠靈活地創(chuàng)建審計模型,還需要具有一定的應(yīng)用技能,如具備計算機編程基礎(chǔ)、熟悉各項業(yè)務(wù)流程、解讀文件制度的能力。審計機構(gòu)通過對信息系統(tǒng)應(yīng)用能力的考評結(jié)果顯示,那些從事審計工作時間較長、年齡偏大的審計人員雖業(yè)務(wù)經(jīng)驗豐富,但計算機編程能力不足;而新招入的年輕審計人員學習能力較強,通過強化訓練能很快達到技能等級,但是業(yè)務(wù)經(jīng)驗不足。這種現(xiàn)象在各審計機構(gòu)普遍存在,影響了審計質(zhì)量。
三、加強建設(shè)銀行信息系統(tǒng)建設(shè)的對策
(一)完善AMIS的對策
在AMIS系統(tǒng)現(xiàn)有結(jié)構(gòu)的基礎(chǔ)上,增強審計數(shù)據(jù)的維護和審計成果的利用,拓展知識生產(chǎn)、管理和應(yīng)用。優(yōu)化方案的核心內(nèi)容應(yīng)包括:一是引入智能搜索引擎,便于知識庫快速檢索。如引用Lucene等技術(shù),以支持Office文檔、PDF、網(wǎng)頁文檔等多種格式文檔的搜索。應(yīng)配置高級搜索功能,支持關(guān)鍵字的邏輯運算搜索,能同時含有兩個關(guān)鍵字文檔篩選。輸入關(guān)鍵字時,可以識別拼音、漢字和聯(lián)想最常用的詞組,并按照搜索頻率的高低排序。搜索結(jié)果應(yīng)能顯示文檔名稱、更新日期、部分摘要,查找的關(guān)鍵字在摘要和顯示文檔中以高亮突出。還可配置分類搜索功能,支持多維度分類方法,包括按文件所有者、文檔類型、審計依據(jù)、審計成果、最新更新等維度搜索。其中最新更新維度,需按照更新時間順序排列最近更新的文檔,便于用戶了解最新知識狀態(tài)。二是優(yōu)化審計發(fā)現(xiàn)庫子模塊功能,促進跟蹤審計。跟蹤審計已成為檢驗審計成效、提高審計質(zhì)量的一項重要工作,應(yīng)在審計發(fā)現(xiàn)庫中增加對“整改三性”問題的提示功能。按照同類問題的出現(xiàn)次數(shù)、前后時間差、營業(yè)機構(gòu)分布等情況進行計算、轉(zhuǎn)換為系統(tǒng)的程序代碼,使系統(tǒng)在接收整改信息時,能夠自動識別并提示整改真實性、持續(xù)性和系統(tǒng)性的問題,同時支持相關(guān)信息的查詢和統(tǒng)計。三是增設(shè)任期資料庫,加大信息擴載量。將任期資料庫納入AMIS后臺系統(tǒng),增建為一個三級模塊,再配置不同級別的開放權(quán)限,便于跨區(qū)域的經(jīng)濟責任審計項目及跟蹤審計項目的開展。四是創(chuàng)建接口,加大知識信息的獲取力度。采用文檔管理技術(shù),將原先要由不同系統(tǒng)處理的各類文檔集中在一個平臺統(tǒng)一管理,實現(xiàn)文檔的分類歸檔、外部特征管理、關(guān)鍵詞管理等。同時,采用自動維護和手工維護等多種方式,通過接口實現(xiàn)審計知識庫系統(tǒng)與OA、NOTES等相關(guān)信息系統(tǒng)的交互,通過搜索引擎訪問總行企業(yè)網(wǎng)門戶、建設(shè)銀行知識庫系統(tǒng)、檔案管理系統(tǒng)等自動獲取知識,還能以鏈接訪問其他的信息資訊系統(tǒng),實時獲取信息,加大知識積累。
(二)優(yōu)化OAS的策略
【 關(guān)鍵詞 】 高校;科研機構(gòu);信息安全;對策
Discussion on Scientific Research Institution of Universities in
Information Security Management and Measures
Zhang Jian-hua
(President Office, Beijing University of Aeronautics and Astronautics Beijing 100191)
【 Abstract 】 In the light of the information security management problems of scientific research institution of universities, the measures are put forward to enhance the construction of information security level strategy from management and technology two respects.
【 Keywords 】 universities; scientific research institution; information security; measures
1 引言
隨著信息技術(shù)的發(fā)展和信息化應(yīng)用的日趨深入,信息安全建設(shè)及其應(yīng)用正在成為教育科研單位日常教育管理和科研生產(chǎn)不可或缺的一環(huán)。高校等科研單位對信息安全管理的認識程度越來越高,研究院等單位的信息系統(tǒng)規(guī)模和水平也在不斷攀升,然而隨著高校各系統(tǒng)建設(shè)程度的不斷完善,以高校為代表的科研機構(gòu)的信息安全管理問題也愈加突出。
2 高??蒲袡C構(gòu)存在的信息安全管理問題
近年來,高校等科研機構(gòu)逐步認識到信息安全對于自身的重要性,于是不少單位成立了“信息管理部門”來推行統(tǒng)一的管理規(guī)范和進行信息安全知識普及,其主要目的是為了從安全技術(shù)和管理兩個方面來解決高校中科研機構(gòu)的信息安全問題,充分提高機構(gòu)人員的信息安全管理意識和保密工作的能力。當下,雖然有一些高校的科研單位在信息安全和管理建設(shè)方面已經(jīng)取得了長足的進步,但其科研單位內(nèi)部仍然存在著很多問題。
(1)首先,在以往長期封閉的科研環(huán)境影響下,相關(guān)科研人員目前依然不具備良好的安全意識,對于信息安全的認識水平不高。同時高校等相關(guān)管理部門較容易忽視信息安全在其科研系統(tǒng)中的發(fā)展戰(zhàn)略和計劃,這些都間接導致了信息安全管理制度推行力度不夠,實施安全教育的硬性條件有限。其次,由于學科建設(shè)和專業(yè)水平所限,也使得國內(nèi)技術(shù)過硬的信息安全專業(yè)人才供應(yīng)不足,間接影響了相關(guān)單位的人才儲備水平。
(2)當下許多高校等科研單位在信息系統(tǒng)不斷增加的情況下,對以往基礎(chǔ)設(shè)施配備水平存在著一定的依賴性,不能夠很好的適應(yīng)新環(huán)境。在信息系統(tǒng)運作業(yè)務(wù)的安全風險和意識提升上,又缺乏有效性驗證與評估辦法?,F(xiàn)實中的任何信息系統(tǒng)都是一連串復(fù)雜的環(huán)節(jié),信息安全措施必須滲透到信息系統(tǒng)的每一個部位,其中一些問題的解決方案,需要信息系統(tǒng)的設(shè)計人員、測試人員和使用人員都熟知并能夠成為規(guī)范來遵守。
(3)不安全因素對于信息系統(tǒng)而言總是存在的,沒有任何一個信息管理方法能提供絕對的保障。因此,高校等科研單位在認識和進行信息系統(tǒng)安全管理教育的時候,應(yīng)該著重加強基層人員的信息安全管理實踐教育,應(yīng)讓相關(guān)人員充分意識到,雖然信息安全建設(shè)并非意在建設(shè)一個創(chuàng)收的平臺,但它是一個保障科研成果和提升工作效率的平臺。管理者有必要做出適合科研單位進行教育實施的信息安全教育發(fā)展戰(zhàn)略和計劃,充分加強信息安全教育在管理實踐上的投入,嚴格有效地執(zhí)行相應(yīng)的安全策略、安全措施和安全管理制度,以最大限度避免使用和管理信息系統(tǒng)時的固有風險。
(4)近年來,我國大型科研單位相繼出現(xiàn)過不同程度的泄密事件,這些事件的直接后果是不僅導致了科研成果的流失,還造成了較大程度的經(jīng)濟損失和不良的社會影響。雖然各大信息系統(tǒng)工程和信息化程度要求非常高的相關(guān)行業(yè),也都出臺了對信息安全技術(shù)產(chǎn)品的應(yīng)用標準和規(guī)范,但只有建立一個嚴格的信息安全管理策略,才能全面的保障其安全性。
3 解決高校科研機構(gòu)存在的信息安全的對策
3.1 技術(shù)層面
在技術(shù)層面上:高??蒲泄芾硐到y(tǒng)是以計算機和數(shù)據(jù)庫通信網(wǎng)絡(luò)為基礎(chǔ)的應(yīng)用管理系統(tǒng),是一個開放式的互聯(lián)網(wǎng)絡(luò)系統(tǒng),與網(wǎng)絡(luò)系統(tǒng)連接的任何終端用戶都可以進人和訪問網(wǎng)絡(luò)中的資源。作為信息通訊數(shù)據(jù)平臺,其所受到的安全威脅主要存在于信息通信傳輸、存儲和加工的各個階段。因此在制定技術(shù)對策方面就需要制定統(tǒng)一全面的安全策略,同時也注重建設(shè)統(tǒng)一認證和授權(quán)管理系統(tǒng),通過硬件接入設(shè)備和定制化管理軟件的配合部署,加強網(wǎng)絡(luò)層面和應(yīng)用層面的安全資源整合,形成覆蓋全網(wǎng)的科研信息化安全保障能力,并充分利用自主創(chuàng)新的科研信息化安全技術(shù),不斷增強基礎(chǔ)運行平臺的網(wǎng)絡(luò)安全能力,為科研信息化基礎(chǔ)環(huán)境和應(yīng)用系統(tǒng)提供有力的安全保障。
在保障網(wǎng)絡(luò)基礎(chǔ)設(shè)施和重要應(yīng)用系統(tǒng)的安全方面,一方面需要構(gòu)建身份認證管理系統(tǒng)、網(wǎng)絡(luò)安全管理平臺、惡意代碼防護系統(tǒng)、安全審計平臺等面向全網(wǎng)用戶的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施,實現(xiàn)實時預(yù)警、事件分析、決策支持、資源調(diào)度等功能;另一方面需要建立起包括安全咨詢、安全規(guī)劃、安全檢測、安全培訓等環(huán)節(jié)在內(nèi)的安全服務(wù)體系,引入除技術(shù)體系和管理體系以外的第三方服務(wù)支持,實現(xiàn)安全事件的及時發(fā)現(xiàn)。
3.2 管理和教育層面
在管理和教育層面上:以企業(yè)為參考標度,對高??蒲袡C構(gòu)工作人員進行信息安全意識以及管理實踐知識的普及,將信息安全管理理念提到戰(zhàn)略高度來看待。充分遵循信息安全流程制定相應(yīng)管理制度,除技術(shù)保障外,將人員、網(wǎng)絡(luò)、環(huán)境有關(guān)的技術(shù)和管理規(guī)程的有機集合充分納入其中。充分認識到信息安全管理實踐是保障信息實現(xiàn)有效管理與控制的重要途徑。所在部門應(yīng)客觀評估實現(xiàn)信息安全管理的需求水平,落實安全的組織和管理人員,明確每個人的角色與職責;制定并開發(fā)安全規(guī)劃和策略,定期開展培訓和工作會議;實施風險管理制度,制定業(yè)務(wù)持續(xù)性計劃和災(zāi)難環(huán)境下恢復(fù)計劃;選擇實施安全措施;保證配置、變更的正確與安全;進行安全審計;保證維護支持;進行監(jiān)控、檢查、處理安全事件。針對專業(yè)人員的培訓和績效需要有效結(jié)合目標管理和信息安全管理兩方面來展開。
3.3 管理政策層面
在整個管理策略的制定上:建議采用分級策略,如果高校對于自身科研信息安全風險水平認定為較高,而自身建設(shè)能力有限,則可以考慮與相關(guān)專業(yè)咨詢機構(gòu)合作,引入專家機制來完成相關(guān)工作,提升建設(shè)效率。
4 結(jié)束語
在國家大力推行科教興國與自主創(chuàng)新發(fā)展戰(zhàn)略的今天,信息安全建設(shè)對于保障科技創(chuàng)新自有成果,確保自主知識產(chǎn)權(quán)的創(chuàng)造價值,都有著極其重要的作用。而如何確保其信息安全能夠?qū)崿F(xiàn)自主可控的目標,也是以高校為代表的科研機構(gòu)行使和保障自身合法權(quán)益的重要途徑。因此我們必須綜合多方因素,系統(tǒng)考量,盡可能提供全面的、多方位的信息安全建設(shè)策略和信息安全管理與教育規(guī)范,以切實滿足高校等科研單位對信息安全保障體系的需求,降低科研成果的安全風險,發(fā)揮高效的科研效率,保障科研生產(chǎn)的安全順利進行。
參考文獻
[1] 張廣欽.信息管理教程[M].北京:北京大學出版社,2005.
[2] 徐茂智.信息安全概論[M].北京:人民郵電出版社,2007.
[3] 彭盛宏.淺析校園網(wǎng)存在的安全隱患及其對策[J].信息安全與技術(shù),2012,(1).