1.安全威脅
傳統(tǒng)概念中,企業(yè)信息系統(tǒng)安全威脅似乎就是黑客入侵等導(dǎo)致信息資產(chǎn)損壞的行為。事實(shí)上,在企業(yè)信息安全體系中,信息安全及其關(guān)聯(lián)的信息資產(chǎn)有著更為廣泛和科學(xué)的范圍。造成企業(yè)威脅的因素可分為人為因素和環(huán)境因素。根據(jù)威脅的動(dòng)機(jī),人為因素又可分為惡意和非惡意兩種。威脅作用形式可以是對(duì)信息系統(tǒng)直接或間接的攻擊,在保密性、完整性和可用性等方面造成損害;也可能是偶發(fā)的或蓄意的事件。
表1 企業(yè)信息安全考慮威脅的來(lái)源
根據(jù)以上威脅的表現(xiàn)形式,對(duì)這些威脅進(jìn)行進(jìn)一步的分類(lèi)和分析,見(jiàn)表2。
表2 信息安全分析
2.信息安全體系內(nèi)容
企業(yè)從網(wǎng)絡(luò)建立發(fā)展以來(lái),針對(duì)這些威脅因素,結(jié)合企業(yè)的實(shí)際情況,從業(yè)務(wù)驅(qū)動(dòng)的角度出發(fā),制定信息安全體系框架,在物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用(數(shù)據(jù))層、管理層上實(shí)現(xiàn)信息安全管理,實(shí)施信息系統(tǒng)安全等級(jí)保護(hù),逐步構(gòu)建企業(yè)的信息安全體系,并以框架為指導(dǎo),對(duì)企業(yè)未來(lái)信息安全的各個(gè)平臺(tái)進(jìn)行設(shè)計(jì)和實(shí)施。
物理安全包括機(jī)房環(huán)境管理、核心安全部件物理防護(hù)、物理安全域的設(shè)置、雙網(wǎng)隔離設(shè)備設(shè)置、監(jiān)視系統(tǒng)等:
網(wǎng)絡(luò)安全包括VLAN劃分、防火墻、安全網(wǎng)關(guān)、VPN申請(qǐng)、因特網(wǎng)申請(qǐng)、IP管理、網(wǎng)絡(luò)訪(fǎng)問(wèn)記錄、移動(dòng)設(shè)備安全、入侵防范、邊界安全、網(wǎng)絡(luò)設(shè)備等。系統(tǒng)安全包括操作系統(tǒng)安全、系統(tǒng)安全審計(jì)、角色管理、身份認(rèn)證、系統(tǒng)日志審計(jì)、SEP、系統(tǒng)冗余/備份/容災(zāi)、終端安全(包括帳號(hào)策略、補(bǔ)丁安裝、病毒防護(hù)、端口使用、共享、非法外聯(lián)等內(nèi)容)、服務(wù)器管理(帳戶(hù)口令、認(rèn)證授權(quán)、日志審計(jì)、協(xié)議安全、系統(tǒng)服務(wù)、數(shù)據(jù)保護(hù)等)、域用戶(hù)管理、單機(jī)用戶(hù)管理、漏洞掃描、VRV等。
數(shù)據(jù)安全包括數(shù)據(jù)完整性控制、數(shù)據(jù)備份、數(shù)據(jù)庫(kù)系統(tǒng)管理、數(shù)據(jù)表管理、數(shù)據(jù)庫(kù)用戶(hù)、油田生產(chǎn)數(shù)據(jù)訪(fǎng)問(wèn)管理、油田開(kāi)發(fā)數(shù)據(jù)管理、數(shù)據(jù)審計(jì)、數(shù)據(jù)導(dǎo)出管理等。應(yīng)用安全包括應(yīng)用授權(quán)、網(wǎng)頁(yè)防篡改、應(yīng)用系統(tǒng)開(kāi)發(fā)、應(yīng)用系統(tǒng)部署申請(qǐng)、應(yīng)用系統(tǒng)維護(hù)、人員、崗位變動(dòng)后信息變更管理流程、應(yīng)用系統(tǒng)賬戶(hù)管理、網(wǎng)頁(yè)信息訪(fǎng)問(wèn)權(quán)限管理、項(xiàng)目歸檔管理、文檔權(quán)限管理、文檔外發(fā)控制、文檔備份、門(mén)戶(hù)發(fā)布信息流程管理、調(diào)度接收信息管理等。
管理安全包括稽核與監(jiān)管、安全管理規(guī)范(人員、機(jī)構(gòu)、設(shè)施、環(huán)境、操作、開(kāi)發(fā))、最小特權(quán)、分權(quán)制約機(jī)制、密級(jí)的劃分(國(guó)家秘密/專(zhuān)有信息)和等級(jí)選擇、口令、證書(shū)、密鑰的安全管理、內(nèi)控管理等。對(duì)于每一項(xiàng)安全項(xiàng)目?jī)?nèi)容,結(jié)合實(shí)際情況,制定一個(gè)可操作的安全管理內(nèi)容。如對(duì)計(jì)算機(jī)病毒管理,要求計(jì)算機(jī)發(fā)生病毒感染的時(shí)候,計(jì)算機(jī)操作人員要馬上停止所有操作,不要向外部發(fā)送任何數(shù)據(jù),以免病毒的傳播,并通知安全管理員;在感染病毒的計(jì)算機(jī)上運(yùn)行殺毒軟件,全面檢查計(jì)算機(jī)系統(tǒng),將病毒徹底清除;如果是服務(wù)器發(fā)生了病毒感染,應(yīng)立即停止服務(wù)器所運(yùn)行的所有程序和相關(guān)服務(wù),防止病毒進(jìn)一步擴(kuò)散,并通知系統(tǒng)維護(hù)人員和安全管理員;在服務(wù)器端運(yùn)行殺毒軟件,全面檢查計(jì)算機(jī)系統(tǒng),清除病毒;在服務(wù)器查殺病毒的同時(shí),所有服務(wù)器管理的計(jì)算機(jī)都要進(jìn)行病毒查殺;如需要,啟動(dòng)備份服務(wù)器,同時(shí),將原有服務(wù)器與網(wǎng)絡(luò)徹底斷絕物理聯(lián)系;如果病毒將系統(tǒng)破壞,導(dǎo)致系統(tǒng)無(wú)法恢復(fù),應(yīng)將感染病毒的計(jì)算機(jī)上的重要數(shù)據(jù)備份到其他存儲(chǔ)介質(zhì),確保計(jì)算機(jī)內(nèi)重要的數(shù)據(jù)不會(huì)丟失;對(duì)備份的數(shù)據(jù)也要進(jìn)行病毒檢測(cè),防止病毒再次感染其他計(jì)算機(jī)。同時(shí)要將病毒感染情況、發(fā)作現(xiàn)象、處理結(jié)果進(jìn)行記錄,找到引起該病毒爆發(fā)的原因。
3.安全評(píng)估
安全評(píng)估就是評(píng)估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅利用后所產(chǎn)生的實(shí)際負(fù)面影響或安全事件,并根據(jù)安全事件發(fā)生的可能性和負(fù)面影響的程度來(lái)準(zhǔn)確識(shí)別安全風(fēng)險(xiǎn)。雖然建立了信息安全體系,但是必須通過(guò)安全評(píng)估,才能較為準(zhǔn)確地了解自身的網(wǎng)絡(luò)、應(yīng)用系統(tǒng)以及管理制度方面的安全現(xiàn)狀,針對(duì)存在的問(wèn)題進(jìn)行整改,使信息安全水平得到進(jìn)一步提高,形成科學(xué)有序的監(jiān)管體系。
信息安全評(píng)估的具體內(nèi)容如下:一是管理制度的評(píng)估,包括機(jī)房管理制度、文檔設(shè)備管理制度、管理人員培訓(xùn)制度、系統(tǒng)使用管理制度等。二是物理安全的評(píng)估,物理安全是信息系統(tǒng)安全的基礎(chǔ),一般包括場(chǎng)地安全、機(jī)房環(huán)境、災(zāi)難預(yù)防與恢復(fù)措施等幾方面。三是計(jì)算機(jī)系統(tǒng)安全評(píng)估,指操作系統(tǒng)和數(shù)據(jù)的安全,主要有操作系統(tǒng)漏洞檢測(cè)、系統(tǒng)存儲(chǔ)環(huán)境中的數(shù)據(jù)安全、數(shù)據(jù)庫(kù)的數(shù)據(jù)安全、應(yīng)用系統(tǒng)的數(shù)據(jù)訪(fǎng)問(wèn)安全。四是網(wǎng)絡(luò)與通信安全的評(píng)估,網(wǎng)絡(luò)與通信的安全性在很大程度上決定著整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全性,評(píng)估的主要內(nèi)容有網(wǎng)絡(luò)基礎(chǔ)設(shè)施、整體網(wǎng)絡(luò)系統(tǒng)平臺(tái)安全綜合測(cè)試、模擬人侵、設(shè)置身份鑒別機(jī)制。五是日志與統(tǒng)計(jì)安全的評(píng)估,日志、統(tǒng)計(jì)的完整、詳細(xì)是管理人員及時(shí)發(fā)現(xiàn)、解決問(wèn)題的保證。六是安全保障措施的評(píng)估,安全保障措施是根據(jù)以上各個(gè)層次安全保障的要求,用戶(hù)以網(wǎng)絡(luò)、系統(tǒng)的特點(diǎn)、實(shí)際條件和管理要求為依據(jù),建立各種安全管理制度。需要請(qǐng)專(zhuān)業(yè)的評(píng)估人員對(duì)企業(yè)的信息安全現(xiàn)狀進(jìn)行評(píng)估,通過(guò)評(píng)估發(fā)現(xiàn)信息系統(tǒng)中存在的安全隱患,可以準(zhǔn)確制定安全策略及安全解決方案,從而指導(dǎo)單位信息系統(tǒng)安全的建設(shè)。
企業(yè)內(nèi)信息系統(tǒng)的安全風(fēng)險(xiǎn)信息是動(dòng)態(tài)變化的,只有動(dòng)態(tài)的信息安全評(píng)估才能發(fā)現(xiàn)和跟蹤最新的安全風(fēng)險(xiǎn)。所以信息安全評(píng)估是一個(gè)長(zhǎng)期持續(xù)的工作,通常應(yīng)該每隔l一3年就進(jìn)行一次安全風(fēng)險(xiǎn)評(píng)估。
4.結(jié)論
在信息安全體系中,技術(shù)是工具,組織是運(yùn)作,管理是指導(dǎo),它們緊密配合,共同實(shí)現(xiàn)信息安全的目標(biāo)。目前企業(yè)的信息安全體系建設(shè)正處于完善階段,雖然已經(jīng)開(kāi)展了一系列工作,但在基礎(chǔ)設(shè)施安全建設(shè)、專(zhuān)業(yè)安全技術(shù)平臺(tái)建設(shè)、應(yīng)用系統(tǒng)安全建設(shè)、管理組織完善、制度與標(biāo)準(zhǔn)健全等方面仍有不足之處,企業(yè)戰(zhàn)略、安全標(biāo)準(zhǔn)、作業(yè)流程、安全組織、規(guī)范制度、甚至安全工具與實(shí)施手段都是企業(yè)實(shí)現(xiàn)信息安全建設(shè)目標(biāo)的必要因素,我們需要結(jié)合實(shí)際情況,逐步完善企業(yè)的信息安全體系。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:建立企業(yè)網(wǎng)絡(luò)安全管理體系探討
本文網(wǎng)址:http://www.ezxoed.cn/html/support/11121513428.html