引言
隨著信息技術(shù)的迅猛發(fā)展,為了確保企業(yè)經(jīng)營戰(zhàn)略的實(shí)現(xiàn)和滿足業(yè)務(wù)快速發(fā)展的需要,越來越多的企業(yè)在運(yùn)行各個(gè)環(huán)節(jié)中運(yùn)用了信息技術(shù)。信息技術(shù)確實(shí)加速了企業(yè)的發(fā)展,同時(shí)這些企業(yè)也面臨著來自各個(gè)方面的信息安全威脅,包括系統(tǒng)安全漏洞、DDoS(Distributed Denial of Service分布式拒絕服務(wù))攻擊、非法入侵、病毒感染、通信故障等,保護(hù)客戶和企業(yè)自身信息資產(chǎn)的保密性、完整性和可用性對提升服務(wù)水平和競爭力具有重要作用,因此建立全面可靠的信息安全管理體系是非常有必要的。
1 信息安全管理現(xiàn)狀
隨著信息化社會(huì)的來臨,信息資源對社會(huì)發(fā)展的重要程度越來越大。從人們?nèi)粘I、組織運(yùn)作到國家管理,信息資源都是必不可少的重要資源,現(xiàn)代社會(huì)的生存和發(fā)展,都需要各種信息的支持。但是信息在社會(huì)中發(fā)揮越來越重要的作用的同時(shí),與之而來的信息安全問題也變得日益突出,需要加以安全保護(hù)。
目前,許多標(biāo)準(zhǔn)化組織都提出了各自的信息安全管理的體系標(biāo)準(zhǔn)和控制模型,這些基于業(yè)務(wù)、技術(shù)與管理層面的標(biāo)準(zhǔn)在某些行業(yè)得到了很好的應(yīng)用,并且信息安全管理工作也逐步納入公司的日程中,但是這項(xiàng)工作目前仍存在不少的問題,信息安全管理現(xiàn)狀依舊比較混亂,主要表現(xiàn)為以下幾方面:
由于缺乏權(quán)威、統(tǒng)一、專門的立法管理機(jī)構(gòu)對國內(nèi)信息安全管理進(jìn)行組織、規(guī)劃、管理和實(shí)施協(xié)調(diào),導(dǎo)致我國現(xiàn)有的一些信息安全管理沒有來自法律的推動(dòng)力和約束;
在IT系統(tǒng)建設(shè)過程中信息安全管理并沒有得到充分考慮,導(dǎo)致后期管理工作和安全建設(shè)比較被動(dòng),同時(shí)造成信息安全管理建設(shè)與業(yè)務(wù)的發(fā)展及IT的建設(shè)不對稱;
安全管理缺乏系統(tǒng)管理的思想。被動(dòng)應(yīng)付多于主動(dòng)防御,沒有做前期的預(yù)防,而是出現(xiàn)問題才去想補(bǔ)救的方法,缺乏科學(xué)的、全面的、動(dòng)態(tài)的安全管理方法;
重視安全技術(shù),忽略安全管理。企業(yè)多在防火墻、網(wǎng)路、主機(jī)及應(yīng)用系統(tǒng)開發(fā)等安全技術(shù)上投資,而相應(yīng)的管理水平、手段沒有體現(xiàn);
在安全管理中不夠重視人的因素,缺乏懂得管理的信息安全技術(shù)人員;
企業(yè)安全意識(shí)薄弱,因?yàn)樾畔踩芾聿粌H僅需要CIO或CFO的參與,企業(yè)各層領(lǐng)導(dǎo)和員工的重視與參與也是必不可少的。
2 各項(xiàng)威脅對企業(yè)信息安全的影響
企業(yè)信息安全有太多的因素需要關(guān)心:自然災(zāi)害、黑客攻擊、計(jì)算機(jī)病毒以及企業(yè)內(nèi)部信息泄露。2011年大量信息安全事件中,索尼的數(shù)據(jù)泄漏是其中備受矚目的一個(gè),索尼的PlayStation網(wǎng)絡(luò)于4月20日關(guān)閉,同時(shí)取證組開始調(diào)查索尼數(shù)據(jù)泄漏的范圍。截止到5月2日,該泄漏事件影響了大約1億人,索尼公司已經(jīng)花費(fèi)1.71億美元處理其數(shù)據(jù)泄漏所帶來的后果。一項(xiàng)調(diào)查顯示,中國內(nèi)地企業(yè)在改善信息安全機(jī)制上仍有待努力,從近年安全事件結(jié)果看,中國每年大約98萬美元的財(cái)務(wù)損失,此外,42%的中國內(nèi)地受訪企業(yè)經(jīng)歷了應(yīng)用軟件、系統(tǒng)和網(wǎng)絡(luò)的安全事件,信息安全給企業(yè)造成了巨大的損失。而目前企業(yè)面臨的主要威脅有以下幾種。
2.1 自然災(zāi)害
由于近年來自然災(zāi)害的多發(fā),給計(jì)算機(jī)系統(tǒng)造成了一些不可挽回的破壞而引發(fā)了許多信息安全問題,但相對于其他因素來說,自然災(zāi)害對信息安全的威脅算最小的,并且自然災(zāi)害的威脅只可盡量減小而不可避免。
2.2 黑客與病毒
隨著計(jì)算機(jī)技術(shù)的發(fā)展,黑客的破壞力也日益擴(kuò)大化,黑客傻瓜式工具的大量出現(xiàn)和黑客組織的形成導(dǎo)致的直接后果就是黑客技術(shù)的普及,網(wǎng)絡(luò)上隨便搜索一下,就能找到一大堆黑客技術(shù)交流網(wǎng)站。這些黑客站點(diǎn)提供黑客工具、公布系統(tǒng)漏洞、公開傳授黑客技術(shù)、進(jìn)行黑客教學(xué),甚至還有黑客組織通過論壇形式相互交流黑客技術(shù)經(jīng)驗(yàn)、協(xié)調(diào)黑客行動(dòng)等。黑客事件的劇增、黑客組織規(guī)模的擴(kuò)大、黑客站點(diǎn)的大量涌現(xiàn),說明了黑客技術(shù)開始普及,同時(shí)黑客攻擊對于信息安全的威脅也越來越大。僅在美國,黑客攻擊每年造成的經(jīng)濟(jì)損失就超過100億美元,可想而知,對于安全剛起步的中國破壞的影響程度有多大了。
而計(jì)算機(jī)病毒(惡意軟件)的使用是黑客攻擊常用的手段之一,計(jì)算機(jī)病毒的傳播不僅可以破壞計(jì)算機(jī)信息系統(tǒng),還可以盜取各種秘密信息,嚴(yán)重危害著當(dāng)今社會(huì)的信息安全。根據(jù)安全供營商McAfee(邁克菲)新發(fā)布的數(shù)據(jù)顯示,2010年前半年是McAfee進(jìn)行惡意軟件保護(hù)更新的最活躍的六個(gè)月,在第二季度報(bào)告中,惡意軟件數(shù)目達(dá)到了最高,發(fā)現(xiàn)了一千多萬個(gè)新的惡意軟件,而第一季度發(fā)現(xiàn)的惡意軟件數(shù)只有一百萬。如果企業(yè)對自己的信息進(jìn)行嚴(yán)密的監(jiān)控,惡意軟件可能會(huì)悄悄地潛伏進(jìn)企業(yè)核心計(jì)算機(jī),直到兒周或幾個(gè)月后才發(fā)現(xiàn)企業(yè)的信息已經(jīng)被盜走了,企業(yè)的損失將是無法估量的。
2.3 移動(dòng)設(shè)備的漏洞
據(jù)3M委托進(jìn)行的《2010年可視數(shù)據(jù)泄漏風(fēng)險(xiǎn)評估研究》報(bào)告指出,多于70%的公司仍然沒有制定明確的政策來控制員工在公共場所工作時(shí)可以使用哪些設(shè)備連接網(wǎng)絡(luò)。而經(jīng)常出差的員工需要通過公司外部設(shè)備能夠隨時(shí)隨地的通過Internet接入公司的網(wǎng)絡(luò),從而對公司的信息安全提出了一系列的挑戰(zhàn),員工的筆記本電腦和U盤需要使用2種以上的安全控制手段來實(shí)現(xiàn)綜合加密,同時(shí)企業(yè)需要部署和強(qiáng)制執(zhí)行嚴(yán)格的移動(dòng)辦公安全策略。
另外,硬件技術(shù)的發(fā)展使得移動(dòng)介質(zhì)有能力將海量數(shù)據(jù)存儲(chǔ)到一個(gè)便攜設(shè)備中,并且這些移動(dòng)設(shè)備時(shí)常被帶出公司。所以IT安全策略應(yīng)當(dāng)要求任何通過USB接口移動(dòng)的數(shù)據(jù)或使用類似方式來建立連接的介質(zhì)都必須在加密的基礎(chǔ)上進(jìn)行。而且這些介質(zhì)類型絕不可以被用來做任何數(shù)據(jù)的單獨(dú)拷貝,特別是重要任務(wù)或者企業(yè)機(jī)密,并嚴(yán)格限制它們用于臨時(shí)性的數(shù)據(jù)傳輸。
2.4 對科技過于依賴
許多領(lǐng)導(dǎo)認(rèn)為裝好了頂級殺毒軟件或者最新的防火墻,他們的系統(tǒng)安全就有保障了。但實(shí)際上,如果防火墻沒有正確配置,防病毒軟件也沒有進(jìn)行更新和升級,有跟沒有是一樣。
在特定環(huán)境下正確設(shè)置防火墻需要很高的技巧。它不是一項(xiàng)設(shè)置完就可以丟到腦后的工作,它要比安裝殺病毒軟件清除惡意軟件復(fù)雜得多。防火墻需要經(jīng)常調(diào)整以滿足最新的要求,當(dāng)一個(gè)新的端口掃描攻擊出現(xiàn)時(shí),必須在幾周內(nèi)阻斷會(huì)受其影響的那些端口,了解最容易被攻擊的10個(gè)端口,把計(jì)算機(jī)安全組織SANS的網(wǎng)頁加入收藏夾。對于防病毒程序,不僅僅要及時(shí)升級,還必須要留意最新的彌補(bǔ)反病毒軟件自身缺陷的補(bǔ)丁。
反間諜軟件要比反病毒軟件簡單得多,所以很少需要打補(bǔ)丁。盡管如此,它們也要和反病毒軟件一樣要注意經(jīng)常下載最新的數(shù)據(jù)庫文件。最后,如果忽視安全檢測程序發(fā)出的報(bào)告,所有的安全裝置都會(huì)失去意義。
2.5 內(nèi)部威脅
前面所談?wù)摰耐{和危險(xiǎn)均來自于外部網(wǎng)絡(luò),但正如許多企業(yè)所了解的那樣,最難以防范的安全威脅來自于組織內(nèi)部。
將公司的整個(gè)內(nèi)部網(wǎng)絡(luò)按域劃分,實(shí)現(xiàn)部門級別的權(quán)限管理。每個(gè)部門內(nèi)的每個(gè)員工在文件服務(wù)器上都有互相獨(dú)立的存儲(chǔ)空間。但是如果部門內(nèi)的員工可以讀、更改、刪除另一個(gè)業(yè)務(wù)員在文件服務(wù)器中文件夾里面的資料,那么威脅同樣存在。所以訪問權(quán)限的設(shè)置應(yīng)該體現(xiàn)實(shí)際的安全需求:部門之間禁止互相訪問,同時(shí)對訪問權(quán)限加以嚴(yán)格控制,每個(gè)訪問者進(jìn)行的操作及其操作對象都應(yīng)該記錄下來。
3 基于生命周期分析信息安全管理體系
為了保障企業(yè)的信息安全,就需要建立可靠的信息安全管理體系。而技術(shù)是不斷發(fā)展的,并且機(jī)構(gòu)的業(yè)務(wù)也經(jīng)常會(huì)發(fā)生變化,因此為保障信息安全所使用的管理制度和技術(shù)措施也必須發(fā)生相應(yīng)的調(diào)整和變化,F(xiàn)在關(guān)于信息安全建設(shè)已經(jīng)達(dá)成一個(gè)共識(shí):它是一個(gè)動(dòng)態(tài)的、整體的、持續(xù)性的過程,企業(yè)不僅要進(jìn)行安全建設(shè),而且要根據(jù)技術(shù)的發(fā)展和業(yè)務(wù)的變更不斷地進(jìn)行評估,并在此基礎(chǔ)上對已有的安全措施和設(shè)施進(jìn)行調(diào)整、完善。
根據(jù)對目前信息安全管理體系的調(diào)查研究,一般信息安全建設(shè)和管理的生命周期分為四個(gè)階段:調(diào)研策劃,風(fēng)險(xiǎn)評估,設(shè)計(jì)實(shí)施,運(yùn)行改進(jìn)。因此,將企業(yè)的業(yè)務(wù)特點(diǎn)與信息安全建設(shè)管理的生命周期中的每個(gè)環(huán)節(jié)緊密結(jié)合起來,才能構(gòu)建適合企業(yè)的信息安全管理體系。
3.1 調(diào)研策劃
對企業(yè)所處的環(huán)境進(jìn)行調(diào)研是建設(shè)信息安全管理體系必不可少的工作,它是策劃的依據(jù)。在這部分工作中,需要深入調(diào)查分析企業(yè)所處的國內(nèi)外宏觀環(huán)境、行業(yè)環(huán)境、企業(yè)所具有的優(yōu)勢與劣勢、面臨的發(fā)展機(jī)遇與威脅等。同時(shí)分析企業(yè)戰(zhàn)略目標(biāo),理解企業(yè)發(fā)展戰(zhàn)略在產(chǎn)業(yè)結(jié)構(gòu)、核心競爭力、產(chǎn)品結(jié)構(gòu)、組織結(jié)構(gòu)、市場和企業(yè)文化等方面的定位。在此基礎(chǔ)上,通過分析明確上述各要素與信息技術(shù)特點(diǎn)之間的潛在關(guān)系,從而確定信息技術(shù)應(yīng)用的驅(qū)動(dòng)因素,使信息安全管理與企業(yè)戰(zhàn)略目標(biāo)實(shí)現(xiàn)融合。
由于安全是相對的,安全技術(shù)也是不斷發(fā)展進(jìn)步的,因此企業(yè)應(yīng)有一個(gè)合理和明確的安全要求使得公司有章可循,而且這些要求最終要體現(xiàn)在安全策略當(dāng)中。衡量一個(gè)信息安全策略的首要標(biāo)準(zhǔn)就是現(xiàn)實(shí)可行性。因此信息安全策略與現(xiàn)實(shí)業(yè)務(wù)狀態(tài)的關(guān)系是:信息安全策略既要符合現(xiàn)實(shí)的業(yè)務(wù)狀態(tài),又要能滿足未來一段時(shí)間的業(yè)務(wù)發(fā)展要求。因此,企業(yè)根據(jù)自己的安全要求和實(shí)際情況,合理地制定安全策略是信息安全管理建設(shè)的基礎(chǔ)。
3.2 風(fēng)險(xiǎn)評估
根據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn),對企業(yè)內(nèi)以信息資產(chǎn)進(jìn)行資產(chǎn)識(shí)別,其中信息資產(chǎn)包括:信息、人員、軟件和硬件以及系統(tǒng)的運(yùn)行狀況與安全措施。
針對各個(gè)資產(chǎn),對其進(jìn)行重要性評估時(shí),將考慮資產(chǎn)在失去機(jī)密性、完整性和可用性等安全屬性對企業(yè)造成的危害,并評估該信息資產(chǎn)所面臨的威脅及其發(fā)生安全事件的可能性,并結(jié)合如果發(fā)生安全事件后所涉及的各方面損失來判斷安全事件可能對企業(yè)造成的影響。簡而言之,就是風(fēng)險(xiǎn)計(jì)算,計(jì)算公式如下:
風(fēng)險(xiǎn)級別(R)=資產(chǎn)重要性(V)*風(fēng)險(xiǎn)發(fā)生可能性(L)
目前,實(shí)際工作中常使用的風(fēng)險(xiǎn)評估途徑包括基線評估、詳細(xì)評估和組合評估三種。而在風(fēng)險(xiǎn)評估過程中又有許多操作方法,如基于知識(shí)的分析方法、基于模型的分析方法、定性分析和定量分析等。無論采用哪種途徑和操作方法,共同的目的都是得到三個(gè)最主要的分析結(jié)果:資產(chǎn)保護(hù)等級分類、安全事件防護(hù)等級分類以及目前安全水平與企業(yè)安全需求間的差距。
3.3 設(shè)計(jì)實(shí)施
在完成風(fēng)險(xiǎn)評估后,要在第一階段制定的安全策略的指導(dǎo)下,并根據(jù)風(fēng)險(xiǎn)評估的結(jié)果設(shè)計(jì)詳細(xì)的信息安全保護(hù)實(shí)施方案。
首先,從整體和全局的角度規(guī)劃和建立一個(gè)合理的信息安全管理框架。從企業(yè)信息系統(tǒng)本身出發(fā),對企業(yè)信息安全的不同層面進(jìn)行整體安全分析,根據(jù)企業(yè)業(yè)務(wù)特征、組織形式、信息資產(chǎn)狀況和技術(shù)條件,建立信息資產(chǎn)清單,進(jìn)行安全需求分析和需要的安全控制級別,從而提出相應(yīng)的安全解決方案。
安全解決方案的提出過程就是編寫一套信息安全管理體系文件,應(yīng)包含以下文檔:安全方針文檔、適用范圍文檔、風(fēng)險(xiǎn)評估文檔、實(shí)施與控制文檔、適用性聲明文檔等。這些文件的編寫是建立信息安全管理體系的重要基礎(chǔ),也是一個(gè)企業(yè)實(shí)現(xiàn)風(fēng)險(xiǎn)控制和持續(xù)改進(jìn)管理體系必不可少的依據(jù)。
3.4 運(yùn)行改進(jìn)
企業(yè)應(yīng)按照編制的信息安全管理體系文件要求進(jìn)行審核和批準(zhǔn)并發(fā)布實(shí)施后,至此信息安全管理體系進(jìn)入運(yùn)行階段。在此期間,企業(yè)應(yīng)充分發(fā)揮管理體系本身的各項(xiàng)功能,及時(shí)找出管理體系中存在的問題,并采取糾正措施,按照更改要求對管理體系加以更改,以達(dá)到持續(xù)完善信息安全管理體系的目的。
信息安全管理體系的建立與實(shí)施,能從根本上強(qiáng)化員工的安全意識(shí),規(guī)范信息安全行為,可以有效的降低和避免企業(yè)的信息資產(chǎn)安全風(fēng)險(xiǎn),增強(qiáng)了企業(yè)的競爭優(yōu)勢。而且管理體系是在動(dòng)態(tài)的技術(shù)環(huán)境中進(jìn)行的,以預(yù)防為主的方式使企業(yè)以最低的成本支出達(dá)到可接受的信息安全水平。因此,建立完整的信息安全管理體系是為企業(yè)發(fā)展提供可靠的保障。
4 結(jié)束語
企業(yè)應(yīng)以戰(zhàn)略目標(biāo)為指導(dǎo),以風(fēng)險(xiǎn)管理為核心,以技術(shù)手段為支撐,嚴(yán)格按照以上四個(gè)階段構(gòu)建一套完善的信息安全管理體系,保障企業(yè)信息資產(chǎn)的安全。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:基于生命周期分析信息安全管理體系
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083953768.html