发布时间:2023-10-13 09:38:00
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的企业安全信息样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
随着信息化的高速发展,为企业及社会带来了显而易见的效益:提高的工作效率、减少的纸张浪费、快捷方便的通讯等等。但信息化也是一柄"双刃剑",尤其是在企业管理、商业保密等工作中,还存在着令人堪忧的隐患:
一是物理安全风险。物理安全风险包括计算机系统的设备、设施和信息面临因自然灾害、环境事故(如断电)、人为物理操作失误以及不法分子进行违法犯罪等风险。
二是数据安全风险。数据安全风险包括竞争性业务的经营和管理数据泄漏,数据被人为恶意篡改或破坏等。
三是网络安全风险。网络安全风险包括病毒造成网络瘫痪与拥塞、内部或外部人为恶意破坏造成网络设备瘫痪、来自互联网黑客的入侵威胁等。
二、保证企业信息安全的基本对策
2.1正确认识企业信息安全问题。
企业的信息安全问题,绝不仅仅是一个仅靠防火墙、密码等等技术就能解决的问题,它还与人们的职业道德、社会道德以及企业管理等问题密切相关。因此,在维护企业信息安全时,我们必须站在宏观的角度对问题进行考虑。在过去看来,一个企业信息的安全问题,是领导层或者IT单个部门的事情,但是凭少数人或部门的工作,对于保障公司的信息不被泄漏,防护信息存储不被破坏、攻击和偷盗是很难的事。笔者认为,意识指导行动,信息安全问题首先要解决的是员工的思想认识问题,只有企业的每一个人都认识到信息安全的重要性,才能在工作中自觉地维护信息安全。因为在任何一个体系中,人都是最活跃、最具有影响力和决定意义的因素,因此对于企业的信息安全问题而言,企业内部员工才是保护信息安全的最可靠、最有效的重大保障。此外,还可以加强引进信息安全技术人才以及信息安全管理人才,并在日常工作中,加强对队伍专业知识以及工作技能的培训,从而为企业建设一支强有力的信息安全保卫队伍。其次信息管理部门要全面作好专业技术支持与防范工作,根据业务的需求采取适当的保护措施,实施专业应用系统。例如,保护企业信息安全的技术可以采用主动反击、网络入侵陷阱、密码、取证、防火墙、安全服务、防病毒、可信服务、PKI服务、身份识别、备份恢复、网络隔离等等保护产品以及保护技术,通过确保信息安全的最大化,来实现企业生产经营持续发展以及经济效益的最大化。此外,还可以在工作的过程中,进一步优化企业信息安全管理,并进行管理监控以及安全风险评估,分析入侵防范、服务器架构等等关键问题,以全面性、多角度的掌控,确保企业信息系统的安全性、稳定性,因为信息安全问题不具有静态性,信息管理始终处在一个不停变动的动态性过程,因此即使我们不可能确保信息的绝对安全,也必须做到相对安全,从而最大限度的降低企业风险。
2.2建立健全信息安全管理制度。
信息安全不仅是技术问题,更主要是管理问题。任何技术措施只能起到增强信息安全防范能力的作用,俗话说“三分技术,七分管理”,只有良好的管理工作才能使保障技术措施得到充分发挥,是能否对信息网络实施有效信息安全保障的关键。现在中国石油股份有限公司内控体系中涉及信息内部控制的《信息系统总体控制办法》(以下简称“GCC”)就很好的涵盖了信息安全的各个方面,包括了机房管理、服务器管理、网络管理和系统管理等。因此在实际的工作中,我们可以通过“三步骤”来实现企业信息的安全管理制度的健全化、完善化。第一,结合企业自身的实际,分析企业存在的问题以及预期的目标,制定具有科学性、合理性、实效性、可行性的信息安全管理制度,使保护信息安全工作做到有法可依,有章可循。第二,建立信息安全管理机构,明晰信息安全管理负责人的职务和责任,并建立相应的考核机制和激励机制,以督促、鼓励相关负责人的工作,提高信息管理工作质量。第三,真正贯彻管理措施,加强制度的执行力度,只有这样,才能从根本上实现管理工作以及工作目标,最终提高企业的信息安全管理水平。
三、加强企业信息安全保障的几点措施
如何有效地解决企业信息安全的专业性管理与技术性防范,笔者认为可从以下几个方面着手。
3.1实行严格的网络管理。企业网与互联网的物理隔离、防火墙设置以及端口限制,与互联网相比安全性较高,但在日常运行管理中我们仍然面临网络链路维护、违规使用网络事件等问题,具体而言:一是在IP资源管理方面,采用IP+MAC捆绑的技术手段防止用户随意更改IP地址和随意更换交换机上的端口。这样,就不会出现IP地址被盗用而不能正常使用网络的情况;二是在网络流量监测方面,使用网络监测软件查看数据、视频、语音等各种应用的利用带宽,防止频繁进行大文件的传输,甚至发现病毒的转移及传播方向。三是加强服务器管理。常见应用服务器安装的操作系统多为WindowsServer,可利用其自带的安全管理功能进行设置,包括服务器安全审核、组策略实施、服务器的备份策略以及系统补丁更新等。
3.2加强客户端监管。对大多数单位的网管来说,客户端的管理都是他们最头痛的问题。只有得力的措施才能解决这个问题,这里推荐以下方法:
(1)将客户端都加入到域中,使客户端强制性纳入管理员集中管理的范围。
(2)只给用户以普通域用户的身份登录到域,这样就可以限制他们在本地计算机上安装有安全隐患软件的权利。
(3)实现客户端操作系统补丁程序的自动安装。
(4)利用企业IT部门的工作职能,设置热线帮助和技术支持人员,统一管理局域网内各客户端问题。
3.3坚持进行数据备份。由于应用系统的加入,各种数据库日趋增长,如何确保数据在发生故障或灾难性事件情况下不丢失,是当前面临的一个难题。从成本及易操作性考虑,这里推荐以下两种数据备份方法:一种是用硬盘进行数据备份;另一种是采用本地磁盘阵列来分别实现各服务器的本地硬盘数据冗余。
[摘要] 随着经济全球化进程的加快,企业信息安全将成为企业面临到的一个主要问题,加强信息安全管理也已成为时代的召唤。本文介绍了企业信息安全,以及石油石化企业信息化建设,分析了信息安全对石油石化企业的意义以及应对策略。
[关键词] 信息安全;信息化建设;安全策略
在经济全球化的今天,企业相关人员对信息安全越来越关注。虽然企业采取了很多与员工签订保密协议,建立防火墙,以及安全管理中心等措施,但还是发生了像天涯社区、新浪等泄露用户密码、个人信息的安全事件。企业提高计算机与信息管理的水平可以防范由信息安全所造成的各项损失,完善企业信息安全管理体系是很多企业都会面临到的一个主要问题,而作为我国国民经济支柱产业的石油石化企业更应该加强信息安全的管理。
一、企业信息安全定义
近年来,经济全球化呈现加速发展的趋势,越来越多的发展中国家融入到经济全球化的大潮之中。世界政治、经济形势的深刻变化使国家安全的内涵出现了新的变化,国家经济利益和国家经济竞争力随即上升至国家安全的优先位置,国家经济安全开始成为国家安全的核心。跨国并购是经济全球化时代的重要特,尤其是近几年来,经济全球化的日益发展使资本的全球扩张进一步加强,企业兼并活动达到有史以来的最高峰。在各跨国企业扩大占有其他国家市场、资源和技术时,往往使被收购企业所在国受到很大冲击,甚至威胁到他国的经济安全。
企业信息安全是一个复杂的、多维的动态体系,受到诸多外界因素的影响,因而需要从系统的高度进行综合性的概括。企业信息安全有两种解释:一种是从具体的信息安全技术系统的角度着手,来管理企业信息,提高安全性;另一种是建立某些被指定的安全信息体系,例如:银行指挥系统等,从而加强企业信息的安全。企业信息安全的基础内容主要有:实体和运行,以及信息资产与人员安全。实体安全也是指硬件安全,既保护计算机网络硬件和存储媒体的安全,又防止计算机硬件、设备等因湿度过大、温度过高、摩擦等因素而出现的物理损坏。同时,维护硬件运行环境的稳定也是实体安全的范畴。运行安全是保障信息处理过程的安全运行,避免出现程序性故障、死机等现象,保障系统功能的安全。信息资产安全则是确保信息的控制权在企业本身手里,不被恶意篡改或破坏,不被非法操作、误操作、复制,功能稳定等。人员安全主要是指信息系统使用人员能够有明确保护信息安全的意识,遵纪守法,拥有保障企业相关信息安全的技能和能力。
二、石油石化企业的信息化建设
在国际金融危机的冲击下,我国石油石化企业受到种种压力,但同时也遇到不少发展的机遇。金融危机背景下,提升企业竞争能力和抗风险能力更显得重要,石化企业需坚持并加强信息化应用,不断地深化和优化应用。
石油石化企业是我国最早开展信息化建设的行业之一。经过多年的建设,加之逐年增加投入,石化行业整体信息化应用水平在不断提高,并取得了较高的成绩。据中国石油和化学工业协会调研显示,勘探与生产技术数据管理系统、管道生产管理系统、ERP系统等目前在大部分石油石化企业中得到应用并发挥了重要作用,集成与深化应用已经成为石油石化企业信息化建设的主流。在当前国际金融危机冲击之下,信息化在优化资源配置、强化过程管控、支持管理创新、提高经营管理水平和劳动生产率等方面的支撑作用越来越显著。
三、石油石化企业信息安全的意义
石油石化企业在国民经济中扮演者重要的角色,是其重要的支柱产业,担负着保障国家油气供应安全的重要责任。国家形象、安全及国民经济也可能要受石油石化企业安全的影响。近几十年石油石化企业的发展主要得益于信息技术的发展。石油石化企业运营绝大多数工序,从地震、钻井到化工作业、生产工艺,甚至是管理手段、战略决策等都是依靠信息系统来实现的。信息系统一旦瘫痪,企业的运营就要中断。
前不久,互联网一度让人望而却步,CSDN、天涯、新浪、京东商城、网易公司、支付宝等互联网公司以及多家银行深陷“泄密门”。这使得本来就对互联网不放心的广大消费者更加远离了网络购物,一些网络消费者也纷纷降低了购物频率。
四、中海油的企业信息安全策略
信息化是中海油科学管理的重要手段,也是企业的核心竞争力之一。多年来中海油一直坚持业务驱动应用,技术引领创新,着力打造数字海油,加强工业化与信息化的融合,提升中海油信息化水平。多年来建设了MPLS云网络,实现了物理统一、逻辑共享的网络链路;构建了以LotusNotes为基础的OA办公平台;打造了以SAP为核心的ERP系统平台;建设了勘探、开发、生产、钻完井等生产管理信息系统和Scada、DCS、MES生产信息管理系统。这些系统的建立为提高石油的产量,加速企业的运行效率奠定了基础,使得中海油各生产运行业务系统建设稳步推进,实现了整体项目生产数据的完整、有序化管理,便于生产经营决策。
随着国际化的进程,中海油和国外公司的合作联系越来越密切,如果不加强信息安全,轻则出现宕机、数据缺失、系统停止服务等信息服务事件,重则会影响我国的石油产业和我国的国民经济。目前在对网络安全方面主要从以下几点展开的:
(1)物理安全风险
在物理安全方面,企业建立合格的机房环境,设置合理的网络构架,购置高性能的硬件设施,同时安装高效的、实时的预警系统等。在这些系统的和人员管理的情况下,防止设备因水灾、火灾、系统故障等导致的计算机硬件方面的安全问题。
(2)网络管理体系方面的安全
加强网络管理体系,可以减少企业中责权不明、管理混乱等方面的安全隐患,提高员工的安全意识。同时,还可以及时发现一些外来的网络攻击和恶意的破坏。对内部终端进行管理,通过流量限制计算机上传下载速度也是有效的网络管理体系的一部分。
(3)网络拓扑结构的风险
拓扑结构形象的描述了企业网络的组织结构以及各个元件之间的相互关系,对企业的网络安全系统有着重要的影响力。假如外部和内部进行联系,内部网络系统受到威胁,就会通过这个网络拓扑结构一层一层的影响其他的系统,进而可能使整个网路拓扑结构瘫痪,影响企业的正常运行。
同时,面对日益高速化发展的今天,工作人员容易受到外界的蛊惑,因此企业应该加强对企业人员网络安全维护的教育,提高人员安全性。
五、技术展望
云计算的发展为未来企业网络安全提供了又一个技术平台。云计算是通过网络把成千上万的计算机硬件资源和软件资源聚合成一个具有强大计算能力的系统,并借助各种服务模式把强大的计算能力提供给终端用户,使人们能够像使用电、水那样使用信息资源。
在经济全球化的今天,企业相关人员对信息安全越来越关注。虽然企业采取了很多与员工签订保密协议,建立防火墙,以及安全管理中心等措施,但还是发生了像天涯社区、新浪等泄露用户密码、个人信息的安全事件。云技术网页威胁管理部署和操作简单,不仅有效且高效的防护,而且支持远程办公室和移动工作,“网络效应”和“众包”的作用更是提高了信息的安全性,因此特别适合分布式企业。而大型企业则需要一种集中化的管理和分布式、以云端为中心的智能、紧密集成等于一体的网络威胁管理构架,才能满足其庞大的网络拓扑架构的安全需要,改善远程工作者的安全性,提供全局可见性和控制能力,创建一个云迁移路径。
综上所述,中海油信息化的建设大幅提升了生产运行效率和精细化管理水平,达到了国际化先进水平,为中海油在国际的长远发展提供了坚实的基础。面对经济的全球化,各行各业,每一个企业都要建立健全、不断完善信息安全管理工作,提升企业信息安全管理水平。
参考文献
[1] 张帆;企业信息安全威胁分析与安全策略[J];网络安全技术与应用,2007,(05)
关键词:企业安全生产;信息化管理;系统
随着现代企业管理体系的逐渐复杂,企业管理已经称得上是一种系统性工程,为了在这种发展背景下实现企业的相关发展,对企业安全生产信息化管理体系的相关研究就显得很有必要。
1企业安全生产管理模式的发展过程
1.1发达国家企业安全生产管理模式
企业的安全生产管理经历了传统安全生产管理模式、对象性安全生产管理模式、过程安全生产管理模式以及系统安全生产管理模式四个阶段的发展。随着计算机网络技术的不断发展和相关理论体系的完善,现阶段发达国家企业中普遍采用的是系统安全生产管理模式。
1.2我国企业安全生产管理模式
虽然现阶段发达国家的企业中大多采用系统安全生产管理模式,但由于我国企业相对发展落后,现阶段大部分企业中还是采用过程管理模式进行自身企业的安全生产管理。当然,随着我国近年来科技与经济的飞速发展,很多企业已经开始认识到过程安全生产管理模式的弊端,一些大型企业也开始进行系统安全生产管理模式的相关尝试,这些都直接促进着我国企业安全生产管理的相关发展。
2企业安全生产信息化管理体系的运行模式
企业安全生产信息化管理体系的运行模式由管理组织决策、风险评估、隐患排查、安全信息分类、生产H标制定、相关考核、方案传输等内容组成。在完成企业安全生产信息化管理体系运行模式的规划与决策后,我们就需要对其生产管理组织机构与责任制进行相关研究,以此构建企业安全生产信息化管理体系中的具体功能模块,最终完成企业安全生产信息化管理体系的相关建设。在企业安全生产信息化管理体系的运行中,相关设计人员需要对其绩效进行测量与监视,对具体运行效果进行优化,并根据相关优化中得到的信息对管理体系的外部进行评审,实现企业安全生产信息化管理体系的安全、健康、高效运行。
3企业安全生产信息化管理体系的具体架构
为了实现企业安全生产信息化管理体系的相关功能,笔者结合自身工作经验提出了一种较为符合我国企业发展实际、组织结构也较为完善的企业安全生产信息化管理体系,其具体架构如下:
3.1理论基础层
在企业安全生产信息化管理体系的构建中,理论基础层是极为重要的一个组成部分,也是其最底层。在企业的日常生产经营中,安全生产理论是随着相关技术不断发展而来的一套完备的理论体系,这也使得相关理论体系的存在为企业安全生产信息化管理体系的建立提供了坚实的基础。在企业安全生产信息化管理体系中,理论基础层由基本管理理论与综合管理理论两部分组成。基本管理理论指的是企业安全生产中通用的方法与规则,综合管理理论则是由安全教育学原理、安全法原理、事故学理论等多种理论综合而成,这些理论都在企业安全生产信息化管理体系的建设中发挥着重要的作用|31。
3.2技术实现层
在企业安全生产信息化管理体系中,安全生产信息化管理技术的实现层是第二层,其发展于第一层的理论基础之上,通过多种技术对企业安全生产信息化管理体系进行支撑。企业安全生产信息化管理的实现层具有数据实时采集、实时共享、多种数据分析等功能,并能够以此确保企业安全生产信息化管理体系功能的正常运转|41。
3.3功能模块与业务层
在企业安全生产信息化管理体系中,功能模块与业务层是第三层。第三层主要由安全信息中心、企业安全生产基础管理功能模块、企业安全生产监控管理模块、企业安全检査管理功能模块、安全生产风险评估以及应急管理功能模块、企业安全生产环境控制管理功能模块这六大功能模块构成。这些模块的存在为企业安全生产信息化管理体系提供具体服务的支持,是管理体系不可或缺的重要组成部分。
4结语
随着我国经济与社会的不断发展,企业安全生产信息化是必然的历史发展趋势。在未来的企业竞争中,一家企业是否拥有完善的安全生产信息化管理体系,将是其自身竞争力的重点体现之一为了提高企业的生产管理效率,企业安全生产信息化管理体系的建立也是不可忽视的一个重要环节。本文为安全生产信息化管理体系提供了一个可行性架构模型,希望能够为相关企业的安全生产信息化管理体系发展带来一定帮助。
作者:吕鹏 单位:神华煤制油鄂尔多斯分公司
参考文献
[1]杨宇,王坚.企业安全生产信息化管理体系的探讨m.机电产品开发与创新,20丨4(6>:29-31.
[2]栩勇,刘继元.浅谈建筑施工企业安全生产信息化管理的实际应用[J].建筑安全>2015(8>:63-66.
随着云计算、大数据等新兴技术的不断发展,企业信息化、智能化程度、网络化、数字化程度越来越高,人类社会进入到以大数据为主要特征的知识文明时代。大数据是企业的重要财富,正在成为企业一种重要的生产资料,成为企业创新、竞争、业务提升的前沿。大数据正在成为企业未来业务发展的重要战略方向,大数据将引领企业实现业务跨越式发展;同时,由此带来的信息安全风险挑战前所未有,远远超出了传统意义上信息安全保障的内涵,对于众多大数据背景下涉及的信息安全问题,很难通过一套完整的安全产品和服务从根本上解决安全隐患。
自2008年国际综合性期刊《Nature》发表有关大数据(Big Data)的专刊以来,面向各应用领域的大数据分析更成为各行业及信息技术方向关注的焦点。大数据的固有特征使得传统安全机制和方法显示出不足。本文系统分析了大数据时代背景下的企业信息系统存在的主要信息安全脆弱性、信息安全威胁以及信息安全风险问题,并有针对性地提出相应的信息安全保障策略,为大数据背景下的企业信息安全保障提供一定指导的作用。
1 大数据基本内涵
大数据(Big Data),什么是大数据,目前还没有形成统一的共识。网络企业普遍将大数据定义为数据量与数据类型复杂到在合理时间内无法通过当前的主流数据库管理软件生成、获取、传输、存储、处理,管理、分析挖掘、应用决策以及销毁等的大型数据集。大数据具有4V特征(Volume,Varity,Value,Velocity),即数据量大、数据类型多、数据价值密度低、数据处理速度快。
2011年麦肯锡咨询公司了《大数据:下一个创新、竞争和生产力的变革领域》[1]的研究报告,引起了信息产业界的广泛关注。美国谷歌公司(Google)、国际商业机器公司(IBM)、美国易安信公司(EMC)、脸书(Facebook)等公司相继开始了大数据应用、分析、存储、管理等相关技术的研究,并推出各自的大数据解决框架、方案以及产品。例如,阿帕奇软件基金会(Apache)组织推出的Hadoop大数据分析框架,谷歌公司推出的BigTable、GFS(Google File System)、MapReduce等技术框架等,这些研究成果为随后的大数据应用迅猛发展提供了便利的条件。2012年3月,美国奥巴马总统了2亿美元的“Big Data Initiative”(大数据研究和发展计划),该计划涉及能源、国防、医疗、基础科学等领域的155个项目种类,该计划极大地推动了大数据技术的创新与应用,标志着奥巴马政府将大数据战略从起初的政策层提升到国家战略层。
同时,我国对大数据的认识、应用及相关技术服务等也在不断提高,企业界一致认同大数据在降低企业经营运营成本、提升管理层决策效率、提高企业经济效益等方面具有广阔的应用前景,相继大数据相关战略文件,同时国家组织在民生、国防等重要领域投入大量的人力物力进行相关技术研究与创新实践。
中国移动通信公司在已有的云计算平台基础上,开展了大量大数据应用研究,力图将数据信息转化为商业价值,促进业务创新。例如,通过挖掘用户的移动互联网行为特征,助力市场决策;利用信令数据支撑终端、网络、业务平台关联分析,优化网络质量。商业银行也相继开展了经融大数据研究,提升银行的竞争力。例如,通过对用户数据分析开展信用评估,降低企业风险;从细粒度的级别进行客户数据分析,为不同客户提供个性化的产品与服务,提升银行的服务效率。总而言之,大数据正在带来一场颠覆性的革命,将会推动整个社会取得全面进步。
2 大数据安全研究现状
在大数据计算和分析过程中,安全是不容忽视的。大数据的固有特征对现有的安全标准、安全体系架构、安全机制等都提出了新的挑战。目前对大数据完整性的研究主要包括两方面,一是对数据完整性的检测;二是对完整性被破坏的数据的恢复。在完整性检测方面,数据量的增大使传统的MD5、SHA1等效率较低的散列校验方法不再适用,验证者也无法将全部数据下载到本地主机后再进行验证。
面向大数据的高效隐私保护方法方面,高效、轻量级的数据加密已有多年研究,虽然可用于大数据加密,但加密后数据不具可用性。保留数据可用性的非密码学的隐私保护方法因而得到了广泛的研究和应用。这些方法包括数据随机化、k-匿名化、差分隐私等。
这些方法在探究隐私泄漏的风险、提高隐私保护的可信度方面还有待深入,也不能适应大数据的海量性、异构性和时效性。在隐私保护下大数据的安全计算方面,很多应用领域中的安全多方计算问题都在半诚实模型中得到了充分的研究,采用的方法包括电路赋值(Circuit Evaluation)、遗忘传输(Oblivious Transfer)、同态加密等。通过构造零知识证明,可以将半诚实模型中的解决方法转换到恶意模型中。而在多方参与、涉及大量数据处理的计算问题,目前研究的主要缺陷是恶意模型中方法的复杂度过高,不适应多方参与、多协议执行的复杂网络环境。
企业大数据技术是指大数据相关技术在企业的充分应用,即对企业业务、生产、监控、监测等信息系统在运行过程中涉及的海量数据进行抽取、传输、存储、处理,管理、分析挖掘、应用决策以及销毁等,实现大数据对企业效率的提升、效益的增值以及风险的预测等。
企业的大数据类型通常主要包括业务经营数据即客户信息数据、企业的生产运营与管理数据以及企业的设备运行数据等,即客户信息数据、员工信息数据、财务数据、物资数据、系统日志、设备监测数据、调度数据、检修数据、状态数据等。企业大数据具有3V、3E特征[2],3V即数据体量大(Volume)、数据类型多(Varity)与数据速度快(Velocity),3E即数据即能量(Energy)、数据即交互(Exchange)与数据即共情(Empathy)。
3 大数据时代企业信息安全漏洞与风险并存
大数据时代,大数据在推动企业向着更为高效、优质、精准的服务前行的同时,其重要性与特殊性也给企业带来新的信息安全风险与挑战。如何针对大数据的重要性与特殊性构建全方位多层次的信息安全保障体系,是企业发展中面临的重要课题。大数据背景下,结合大数据时代的企业工作模式,企业可能存在的信息安全风险主要表现在以下三个方面:
(1)企业业务大数据信息安全风险:由于缺乏针对大数据相关的政策法规、标准与管理规章制度,导致企业对客户信息大数据的“开放度”难以掌握,大数据开放和隐私之间难以平衡;企业缺乏清晰的数据需求导致数据资产流失的风险;企业数据孤岛,数据质量差可用性低,导致数据无法充分利用以及数据价值不能充分挖掘的风险;大数据安全能力和防范意识差,大数据人才缺乏导致大数据分析、处理等工作难以开展的风险;管理技术和架构相对滞后,导致数据泄露的风险。
(2)企业基础设施信息安全风险:2010年,震网病毒[3]通过网络与预制的系统漏洞对伊朗核电站发起攻击,导致伊朗浓缩铀工程的部分离心机出现故障,极大的延缓了伊朗核进程。从此开启了世界各国对工业控制系统安全的重视与管控。对于生产企业,工业生产设备是企业的命脉,其控制系统的安全性必须得到企业的高度重视。随着物理设备管理控制系统与大数据采集系统在企业的不断应用,监控与数据采集系统必将成为是物理攻击的重点方向,越来越多的安全问题随之出现。
设备“接入点”范围的不断扩大,传统的边界防护概念被改变; 2013年初,美国工业控制系统网络紧急响应小组(ICS-CERT)预警,发现美国两家电厂的发电控制设备在2012年10月至12月期间感染了USB设备中的恶意软件。该软件能够远程控制开关闸门、旋转仪表表盘、大坝控制等重要操作,对电力设备及企业安全造成了极大的威胁。
(3)企业平台信息安全风险: 应用层安全风险主要是指网络给用户提供服务所采用的应用软件存在的漏洞所带来的安全风险,包括: Web服务、邮件系统、数据库软件、域名系统、路由与交换系统、防火墙及网管系统、业务应用软件以及其他网络服务系统等;操作系统层的安全风险主要是指网络运行的操作系统存在的漏洞带来的安全风险,例如Windows NT、UNIX、Linux系列以及专用操作系统本身安全漏洞,主要包括访问控制、身份认证、系统漏洞以及操作系统的安全配置等;网络层安全风险主要指网络层身份认证,网络资源的访问控制,数据传输的保密性与完整性、路由系统的安全、远程接入、域名系统、入侵检测的手段等网络信息漏洞带来的安全性。
4 企业大数据信息安全保障策略
针对大数据时代下企业可能存在的信息安全漏洞与风险,本文从企业的网络边界信息安全保障、应用终端信息安全保障、应用平台信息安全保障、网络安全信息安全保障、数据安全信息安全保障等多方面提出如下信息安全保障策略,形成具有层次特性的企业信息安全保障体系,提升大数据时代下的企业信息安全保障能力。
4.1企业系统终端——信息安全保障策略
对企业计算机终端进行分类,依照国家信息安全等级保护的要求实行分级管理,根据确定的等级要求采取相应的安全保障策略。企业拥有多种类型终端设备,对于不同终端,根据具体终端的类型、通信方式以及应用环境等选择适宜的保障策略。确保移动终端的接入安全,移动作业类终端严格执行企业制定的办公终端严禁“内外网机混用”原则,移动终端接入内网需采用软硬件相结合的加密方式接入。配子站终端需配置安全模块,对主站系统的参数设置指令和控制命令采取数据完整性验证和安全鉴别措施,以防范恶意操作电气设备,冒充主站对子站终端进行攻击。
4.2企业网络边界——信息安全保障策略
企业网络具有分区分层的特点,使边界不受外部的攻击,防止恶意的内部人员跨越边界对外实施攻击,在不同区的网络边界加强安全防护策略,或外部人员通过开放接口、隐蔽通道进入内部网络。在管理信息内部,审核不同业务安全等级与网络密级,在网络边界进行相应的隔离保护。按照业务网络的安全等级、实时性需求以及用途等评价指标,采用防火墙隔离技术、协议隔离技术、物理隔离技术等[4]对关键核心业务网络进行安全隔离,实现内部网与外部网访问资源限制。
4.3企业网络安全——信息安全保障策略
网络是企业正常运转的重要保障,是连接物理设备、应用平台与数据的基础环境。生产企业主要采用公共网络和专用网络相结合的网络结构,专用网络支撑企业的生产管理、设备管理、调度管理、资源管理等核心业务,不同业务使用的专用网络享有不同安全等级与密级,需要采取不同的保障策略。网络弹性是指基础网络在遇到突发事件时继续运行与快速恢复的能力。采用先进的网络防护技术,建立基础网一体化感知、响应、检测、恢复与溯源机制,采取网络虚拟化、硬件冗余、叠加等方法提高企业网络弹性与安全性;对网络基础服务、网络业务、信息流、网络设备等基础网络环境采用监控审计、安全加固、访问控制、身份鉴别、备份恢复、入侵检测、资源控制等措施增强网络环境安全防护;在企业网络中,重要信息数据需要安全通信。针对信息数字资源的安全交换需求,构建企业的业务虚拟专用网。在已有基础网络中采用访问控制、用户认证、信息加密等相关技术,防止企业敏感数据被窃取,采取建立数据加密虚拟网络隧道进行信息传输安全通信机制。
4.4企业应用系统平台——信息安全保障策略
应用系统平台安全直接关系到企业各业务应用的稳定运行,对应用平台进行信息安全保障,可以有效避免企业业务被阻断、扰乱、欺骗等破坏行为,本文建议给每个应用平台建立相应的日志系统,可以对用户的操作记录、访问记录等信息进行归档存储,为安全事件分析提供取证与溯源数据,防范内部人员进行异常操作。企业应用平台的用户类型多样,不同的应用主体享有不同的功能与应用权限,考虑到系统的灵活性与安全性,采用基于属性权限访问控制[5]、基于动态和控制中心访问权限控制[6]、基于域访问权限控制[7]、基于角色访问控制等访问控制技术;确保企业应用平台系统安全可靠,在应用平台上线前,应邀请第三方权威机构对其进行信息安全测评,即对应用平台系统进行全面、系统的安全漏洞分析与风险评估[8],并制定相应的信息安全保障策略。
4.5企业大数据安全——信息保障策略
大数据时代下,大数据是企业的核心资源。企业客户数据可能不仅包含个人的隐私信息,而且还包括个人、家庭的消费行为信息,如果针对客户大数据不妥善处理,会对用户造成极大的危害,进而失信于客户。目前感知大数据(数据追踪溯源)、应用大数据(大数据的隐私保护[9]与开放)、管控大数据(数据访问安全、数据存储安全)等问题,仍然制约与困扰着大数据的发展。大数据主要采用分布式文件系统技术在云端存储,在对云存储环境进行安全防护的前提下,对关键核心数据进行冗余备份,强化数据存储安全,提高企业大数据安全存储能力。为了保护企业数据的隐私安全、提高企业大数据的安全性的同时提升企业的可信度,可采用数据分享、分析、时进行匿名保护已经隐私数据存储加密保护措施来加强企业数据的隐私安全,对大数据用户进行分类与角色划分,严格控制、明确各角色数据访问权限,规范各级用户的访问行为,确保不同等级密级数据的读、写操作,有效抵制外部恶意行为,有效管理云存储环境下的企业大数据安全。
5 结束语
随着信息技术的快速革新,数据正以惊人的速度积累,大数据时代已经来临了;智能终端和数据传感器成为大数据时代的数据主要来源。大数据在推动企业不断向前发展给企业提供了更多机遇的同时,也给企业的应用创新与转型发展带来了新的信息安全威胁、信息安全漏洞以及信息安全风险。传统的信息安全保障策略已经无法满足大数据时代的信息安全保障需求。怎样做好企业大数据信息安全保障、加强信息安全防护、建设相关法律法规将是大数据时代长期研究的问题。
解决信息系统安全要有以下几点认识:要解决信息系统要有统筹全局的观念。解决信息系统的安全问题要树立系统观念,不能光靠一个面。从系统的角度分析信息系统是由用户和计算机系统两者组成,这包括人和技术两点因素。使用和维护计算机安全信息系统可以根据信息系统具有动态性和变化性等特点进行调整。信息系统是一项长期属于相对安全的工作,必须制订长销机制,绝不能以逸待劳。企业信息系统安全可以采取的策略是采用一套先进、科学及适用的安全技术系统,在对系统进行监控和防护,及时适当的分析信息系统的安全因素,使这套系统具有灵敏性和迅速性等响应机制,配合智能型动态调整功能体系。需要紧记的是系统安全来自于风险评估、安全策略、自我防御、实时监测、恢复数据、动态调整七个方面。其中,通过风险评估可以找出影响信息系统安全存在的技术和管理等因素产生的问题。在经过分析对即将产生问题的信息系统进行报告。
安全策略体现着系统安全的总体规划指导具体措施的进行。是保障整个安全体系运行的核心。防御体系根据系统中出现的问题采用相关的技术防护措施,解决各种安全威胁和安全漏洞是保障安全体系的重心。并且通过监测系统实时检测运行各种情况。在安全防护机制下及时发现并且制止各种对系统攻击的可能性,假设安全防护机制失效必须进行应急处理,立刻实现数据恢复。尽量缩小计算机系统被攻击破坏的程度。可以采取自主备份,数据恢复,确保恢复,快速恢复等手段。并且分析和审理安全数据,适时跟踪,排查系统有可能出现的违归行为,检查企业信息系统的安全保障体系是否超出违反规定。
通过改善系统性能引入一套先进的动态调整智能反馈机制,可以促进系统自动产生安全保护,取得良好的安全防护效果。可以对一台安全体系模型进行分析,在管理方面,对安全策略和风险评估进行测评,在技术层面,实时监测和数据恢复形成一套防御体系。在制度方面,结合安全跟踪进行系统排查工作。系统还应具备一套完整的完整的动态自主调整的反馈机制,促进该体系模型更好的与系统动态性能结合。
信息安全管理在风险评估和安全策略中均有体现,将这些管理因素应用与安全保障体系保护信息安全系统十分重要。企业必须设立专门的信息系统安全管理部门,保障企业信息系统的安全。由企业主要领导带头,组织信息安全领导小组,专门负责企业的信息安全实行总体规划及管理。在设立信息主管部门实施具体的管理步骤。企业应该制订关于保证信息系统安全管理的标准。标准中应该明确规定信息系统中各类用户的职责和权限、必须严格遵守操作系统过程中的规范、信息安全事件的报告和处理流程、对保密信息进行严格存储、系统的帐号及密码管理、数据库中信息管理、中心机房设备维护、检查与评估信息安全工作等等信息安全的相关标准。而且在实际运用过程中不断地总结及完善信息系统安全管理的标准。
相关部门应该积极开展信息风险评估工作。通过维护信息网的网络基础设施有拓扑、网络设备和安全设备,对系统安全定期的进行评估工作,主动发现系统存在的安全问题。主要针对企业支撑的信息网和应用IT系统资产进行全方位检查,对管理存在的弱点进行技术识别。对于企业的信息安全现状进行全面的评估,可以制作一张风险视图表现企业全面存在的问题。为安全建设提供指导方向和参考价值。为企业信息安全建设打下坚实的基础。
最后,加强信息系统的运行管理。可以通过以下措施进行:规范系统电子台帐、设备的软件及硬件配置管理、建立完善的设备以及相关的技术文档。系统日常各项工作进行闭环管理,系统安装、设备运营管理等。还要对用户工作进行规范管理,分配足够的资源和应用权限。防御体系、实时检测和数据恢复三方面都体现了技术因素,信息安全管理系统技术应用于安全保障体系中。在建设和维护信息安全保障体系过程中,需要多方面,多角度的进行综合考虑。采用分步实施,逐步实现的手法。在信息安全方面采取必要的技术手段,加强系统采取冗余的配置,提高系统的安全性。
对中心数据库系统、核心交换机、数据中心的存储系统、关键应用系统服务器等。为了避免重要系统的单点故障可以采取双机甚至群集的配置。另外,加强对网络系统的管理。企业信息系统安全的核心内容之一是网络系统。同样也是影响系统安全因素最多的环节。网络系统的不安全给系统安全带来风险。接下来重点谈网络安全方面需要采取的技术手段。网络安全的最基础工作,是加强网络的接入管理。
与公用网络系统存在区别的是,企业在网络系统中有专门的网络,系统只准许规定的用户接入,因此必须实现管理接入。在实际操作过程中,可以采取边缘认证的方式。笔者在实际工作经验总结出公司的网络系统是通过对网络系统进行改造实现支持802.1X或MAC地址两种安全认证的方式。不断实现企业内网络系统的安全接入管理。网络端口接入网络系统时所有的工作站设备必须经过安全认证,从而保证只有登记的、授权记录在册的设备才能介入企业的网络系统,从而保证系统安全。根据物理分布可以利用VLAN技术及使用情况划分系统子网。这样的划分有以下益处:首先,隔离了网络广播流量,整个系统避免被人为或者系统故障引起的网络风暴。其次是提高系统的管理性。通过划分子网可以实现对不同子网采取不同安全策略,可以将故障缩小到最低范围。根据一些应用的需要实现某些应用系统中的相对隔离。
关键词:信息安全;影响因素;管理措施
中图分类号:TP393.08
信息技术的飞速发展在给社会经济带来巨大便利性的同时,也带来了巨大的风险,信息的安全已成为国际社会经济发展亟待解决的问题。现代企业在日常业务运营、行政管理、档案管理、数据交换等方面都离不开信息网络技术,然而,部分企业对自身信息安全的不重视以及在管理机制上的欠缺,致使社会重大信息安全事故频发,给社会与企业带来了不可估量的损失及危害。当然,企业的信息安全是一项艰巨的工作,它涉及到企业组织结构的各个方面,是一项系统的工程,无论是网络技术还是管理组织体系,或者企业信息硬件设备,都会影响到企业信息的安全,要保障企业信息的安全,就必须从信息技术安全以及信息管理制度两大方面入手,不断完善信息保密措施,如此,方可有效控制企业信息泄露。
1 企业信息安全风险的现状
企业在信息化建设的过程中,对信息安全的理解与重视并不相同,部分企业的对自身信息安全的防护级别较低,难以有效抵御外部信息窃取以及内部泄密。当前,我国企业在信息安全建设中主要存在如下三个问题:
1.1 企业信息安全管理机制不健全。信息安全是一个全新的领域,在过去,企业管理者对于自身信息的安全并没有高度重视,而在现代社会中,企业之间的竞争越来越激烈,任何有价值的信息泄露都可能会造成企业的重大损失,甚至破产倒闭,这也使得企业管理者不得不重视信息安全问题。然而,在社会法律法规、技术监管、安全标准等方面还存在诸多的不完善之处,同时,由于企业信息管理是一个不断发展的动态过程,企业的网络安全软硬件技术、管理人员的保密意识以及对商业间谍的防范措施等都会影响到企业的信息安全。从总体上来讲,信息安全管理机制的缺失是企业信息安全面临的最大问题。
1.2 企业信息安全技术不足。信息安全是当前社会共同面临的重大问题,企业的信息系统构建离不开计算机系统以及网络系统的支持,而通过网络传播的数据将面临极大的技术风险。现代信息安全技术是以密码技术、病毒技术、数据恢复技术、操作系统维护技术、数据库技术以及网络技术等所组成的系统技术。而由于企业对相关技术的认识和技术管理人才培养的局限性,导致在计算机信息应用过程中难免会出现一些漏洞缺陷。另外,在面对外部信息窃取攻击行为时,部分安全技术管理人员防范能力较弱,不能从根本上抵御黑客的攻击,这就导致企业的信息安全完面临严重的泄密危险。
1.3 企业员工缺乏安全管理的责任心和防范意识。企业的信息安全并不只是管理人员的责任,而是全体员工共同的责任,不过在企业信息安全建设过程中,往往忽略了企业员工环节,导致信息安全建设难以达到预期的目的。目前,企业信息安全事件最突出的便是信息泄密,其主要表现为员工的无意泄密、故意泄密以及离职后信息资源的自我利用,可以说,企业内部的信息安全风险远远大于外部风险。然而,针对内部信息安全问题,企业却并无一个全面、系统、有效的保障体系,尤其是在员工责任心建设以及信息安全防范意识建设方面,一直是企业信息安全体系建设的弱点所在。
2 影响企业信息安全的主要因素分析
企业的信息安全一直是现代企业管理中的难点,尤其是通信类企业以及严重依赖网络的电子商务类企业,其在信息安全环节的投入往往最大,但仍然是面临风险最大的环节。根据美国FBI以及CSI对其国内部分企业的调查显示,信息安全内部威胁占85%,外部入侵占15%,专利信息被窃取占14%,内部人员的财务欺骗占12%,资料或网络数据的破坏占11%。由此可见,企业内部信息安全已成为企业信息安全管理的重中之重,其泄密的途径主要包括互联网泄密,如电子邮件、即时通讯工具、网页空间、ftp、病毒黑客攻击等方式;局域网络泄密,包括内网与外网的连通、私人电脑与内部电脑的连接等;终端设备的泄密等等。企业信息安全是企业稳定与发展的基础,但是,企业信息安全形势却不容乐观,在现实中,影响企业信息安全的因素较多,其主要包括如下几种:
2.1 实体环境安全因素。(1)信息技术承载硬件安全。信息网络技术的硬件设备是支撑企业信息安全建设的基础,包括硬盘设备、内存设备、I/O控制器、电源等。(2)机房环境安全。机房是企业信息网络的管理中枢,其环境的好坏将直接影响企业信息的安全。一般来说,机房管理必须要专人专管,对于出入人员应该有记录,并且,机房应具有防火、防水、防静电、防鼠害、防雷击等设施,还要安装空调设备,以确保机房运行温度和湿度的稳定。(3)传输线路安全。网络线路以及电缆线路在传输过程中都具有一定的辐射性,其对信息具有一定的干扰,我们在安装时要采用屏蔽布线或者光缆传输,并采取技术手段,阻止线路对信息的干扰,以确保传输线路的安全。
2.2 内部环境因素。影响企业信息安全的内部因素主要包括:(1)软件因素。软件是企业信息化建设的重要工具,但同时也是信息安全风险较大的环节,它包括系统软件和应用软件。系统软件的是信息系统的运行平台,其本身就存在漏洞,若系统软件遭到攻击,将极可能导致信息的损坏或者泄密。而应用软件在设计过程中的不周全以及对数据校验的不完善,都将威胁到企业的信息安全。(2)人为因素。企业内部人的因素是影响信息安全的最大部分,员工对数据的操作或者对相关威胁处理的不合理、不及时都会直接影响信息的可靠性。(3)网络因素。企业的一切信息交换几乎都是通过网络来实现的,包括外部网络和局域网,而由于网络故障所导致的信息丢失情况比比皆是,另外,网络中一些非授权访问行为也容易造成敏感数据的泄密或者丢失。(4)硬件因素。硬件主要是指存储设备以及电源、显示设备、网络设备等,其中储存硬件设备对企业信息安全影响最大,我们在硬件储存设备的管理中要注重防霉变、防辐射、防雷击等等,及时做好数据备份和数据恢复。
2.3 外部环境因素。现代企业信息安全不仅面临着内部安全风险,还遭受着严重的外部隐患,其主要包括病毒风险、黑客攻击风险以及意外事故,如火灾、爆炸、水灾等,其对企业的信息安全影响甚大。
3 加强企业信息安全防范的措施
面对着如此众多的信息安全隐患,企业的信息安全管理形势十分严峻,要想真正做好信息的安全管理,保障信息安全,那么企业必须系统地进行改革,从根本上阻止信息的泄漏。
3.1 建立健全信息安全管理制度。企业必须根据内部信息的安全级别,建立一套适合其技术规范的管理标准,尤其注重在人员组织结构以及培训,要建立完善的信息安全管理制度规范,并严格执行。
3.2 采取新型网络安全技术,及时更新软硬件系统。企业要对内部计算机及服务器系统进行及时更新换代,尤其是其软硬件系统,要做好防病毒措施,并及时做好数据备份,加强网络密码建设以及入侵检测技术建设,为信息安全上一把“锁”。
3.3 加强内部信息的监管,对非授权访问以及敏感接入进行严格的控制。企业必须加强对内部数据的有效监管,在与外界进行数据交换过程中,有必要对敏感数据或者有威胁的行为进行干预、阻止、监控等措施,控制非法接入与攻击行为。
3.4 定期巡查与评估,不断改善和调整安全防护策略。企业的信息安全管理是一个动态的过程,我们的信息安全防范也必须做好及时的评估和调整,对计算机硬件设备、机房环境等定期进行巡查,发现并及时解决潜在的安全威胁,并根据最新的信息安全形势来调整防护策略,未雨绸缪,做好信息安全的预防工作。
参考文献:
[1]罗庆云,赵巾帼.企业网信息安全的探讨[J].网络安全技术与应用,2005.
[2]姜桦,郭永利.企业信息安全策略研究[J].焦作大学学报,2009.
去年惊曝,德国总理默克尔的电话遭美国安全部门窃听,时间竟长达7年之久。今年10月,苹果iCloud又被黑客攻击,美国好莱坞女星私密照片遭大量泄露。信息安全问题,已经成为大到国家安全,小到个人隐私,未来必将裹挟所有人的沉重命题。
那么,对企业来说,你的信息安全状态又如何呢?我国专业从事国家信息安全及多领域高科技研发的安信中保网络科技有限公司,给出的答案是:绝大多数中国企业的信息安全都处于城门洞开的危险状态!
对此,《中外管理》独家专访了安信中保公司战略部副部长、亚洲反恐专家康益铭。
绝大多数中企没有信息安全措施!
《中外管理》:一方面,中国的网民数量已经达到世界第一;另一方面,对于斯诺登事件、好莱坞秘照事件,大众又多是看热闹心态。那么以您的观察,中国网络信息安全的现状如何?
康益铭:在全球范围内,中国是网络攻击的主要受害国。
我们每年有3000多个政府网站受到海外黑客攻击。仅在今年2月份,中国境内就有70万台电脑受到病毒侵害。
在企业层面,可以这样说,我国绝大多数企业,还没有真正意义上的信息安全管控措施,对外是完全暴露的。从国家安全和企业安全的角度讲,都必须建立起完全自主、安全可控的IT系统,把信息安全技术完全掌握在自己手中。
《中外管理》:当前国家对信息安全问题持有何种态度,采取了哪些措施?
康益铭:进入全球一体化的进程当中后,信息安全工作是第一位的。以前,中央主抓各个相关部门、部委对信息和情报的管理,对企事业单位和普通百姓的信息安全问题有一定的疏忽。但今年年初,中央网络安全和信息化领导小组成立,亲自担任负责人,表明企业和个人信息安全问题已被提上日程。而之后我们将把信息安全的意识普及到每个公民的脑海里,包括广大农村。
比如:国家开始对公共场所的WiFi实施管控,让它更加合法化、合理化,以保障公民信息安全。在这几块领域中,安信中保都掌控着核心技术。
从企业来讲,如今国内很多企业仍在使用境外的信息化设备,这非常不安全。国家已经意识到并开始重新整理、梳理这方面的系统,鼓励自主品牌的信息化产品、设备系统的研发和生产。未来,我们会共同打造一个中国式的安全信息化产业链。
《中外管理》:在实现国产自主化的过程中,民营企业和国有企业能否平等的参与进来?
康益铭:国企或者民企,首先要看它的资质。即使是央企,没有资质,也迈不进这个门槛,因为这关乎到国家安全。我国会整体建立起大数据系统,这是一个整体链条的组织框架。在这个框架中,每个大型信息化企业集团,都承担着一定的历史责任。当然,我国要现实全面自主的信息化集成管控局面,还需要几年。但是好在国家相关政策、整体资源的匹配都趋于合理化,效率逐年提高,其发展速度已超乎我们以往的想象。
移动办公:“安全手机”市场混乱而广阔
《中外管理》:如今手机不仅仅用来日常沟通,越来越多的企业通过手机进行移动办公。当手机里原先的私人信息逐渐变成企业信息时,围绕手机的信息安全问题,就理应受到更多管理者的重视。您如何看待手机信息安全市场的现状?
康益铭:目前,很多企业都声称自己可以生产安全手机,但实情并非如此。目前安全手机在国内市场上初步呈现出混乱局面。安全手机最重要的一点是具备独立的系统。很多企业宣传自己是高度安全的高端智能机,这种说法自相矛盾。目前,真正的安全手机,实际上都是功能最简单的手机,其系统相对独立,均为自主研发。而大多数手机生产制造企业,并不具备资质与开发能力,因此基本都是不安全的。
《中外管理》:您认为安全手机的市场应该分布在哪些人群中?哪些人对安全手机的需求比较大?
康益铭:对手机制造企业来讲,这个市场确实很大。党政军的公务人员,其信息安全是必须要有保障的,手机终端是最重要的媒介,给他们配备安全手机很有必要。很多特殊人群,例如:新闻媒体记者,搞外事活动的工作人员,包括企业集团的主要负责人,他们也都需要安全手机,从而使关键信息不被轻而易举地破解。
《中外管理》:看来手机安保市场可能会迅速崛起。这意味着之后一段时间,市场内外的各个力量都会进来。对打算进入这个市场的企业,您有没有一些建议?
康益铭:最重要的是看企业是否掌握了信息安全的核心技术。如果掌握了核心技术,要么就是合作共同发展,要么自己独立创造新的产品。当然核心技术不仅在于某种软件上,更是若干个核心组成的产品。如果企业掌控了很多核心技术的话,完全可以独立开发。如果企业只掌握某种核心部件,就可以找其他单位合作,共同发展。但如果单纯觉得市场好,自认为具备实力,而没有核心技术,就是盲目的。
“云”的未来:最终会“合成一片”
《中外管理》:随着移动互联网时代的到来,大数据和云计算越来越受到人们的关注,很多企业开始做私有云。在您看来,各种云的出现和国家所做的信息安全工程之间是什么关系?
康益铭:这些若干片云,其中一部分是国家委托的课题,另一部分是企事业集团根据自身发展需求而成立的云。但是,按照国家相关指导性文件,这些云最终会形成一片云。这一片云就能撑起蓝天,达到最终的信息资源的一体化、共享化、实效化。因为只有实现互通才能算得上真正的信息化。
《中外管理》:但当这些云合成一片的时候,各个云之间越是互通,信息安全问题反而会越突出,您怎么看这种矛盾?
康益铭:当然,互通会增加信息泄露的风险,但同时我们还会采取一些信息安全管控措施。即在云与云之间,重新建立起一朵新的云,即云与云之间的“防火墙”,类似于“防火云”的概念。我们安信中保就负责做这朵“防火云”,让这些云在安全有序的环境中运行,产生最大的效益。
被“大数据”挑战的商业伦理与法制
《中外管理》:如今,可穿戴设备已经成为潮流,这个潮流会催生更大量的数据。很多企业也都在积极进入这个领域。我们如何保证既能满足商业的开发需求,又能够避免信息安全状况混乱的场面?
康益铭:随着可穿戴设备的普及,信息泄露会成为常态。成为常态的同时,国家应该有一个态度和认识,出台相应的法规法律去约束它。就制造企业来说,也应该为终端用户负起责任。不能在一味追求利益的情况下,让你的客户信息轻易被泄露,这也是一个生产企业所应承担的社会责任。
《中外管理》:市面上出现了一些广告,声称可以依靠大数据或其他信息拦截技术,帮助获取和分析他人手机上的信息及背后的行为,您怎么看待这种商业行为?
康益铭:信息安全能不能跟得上商业模式、技术发展的速度,这在伦理上都会面临很大的考验。你说的此类分析系统与软件,在市面上已经上线不少,但在法律上的界定比较微妙。从被分析方的角度来看,这种行为肯定是侵害了个人权益。如果是通过正常的接触,交往,通过对方的言行来分析判断这个人,在法律上就不能算是违法,只能算是个人行为。但如果通过其他非法手段,采集到相关信息,最后综合整理去分析判断这个人,在法律上就被视为是非法行为。
慎对外资:宁愿不发展,也不留隐患
《中外管理》:像阿里巴巴这种在美国上市的企业,可能股权关系比较复杂。在我们的体系里,安信中保跟阿里巴巴会是一种什么关系?是合作还是相互屏蔽?
康益铭:不管企业多大,如果属于外资成分,安信中保的发展宗旨是:永远不会借助外资。因为我们承载的是国家信息安全。如果有外资,这本身就意味着不安全。所以即使不发展,也不允许有不安全的因素存在。这个问题,需要从国家安全角度出发来考虑。任何一个企业,即使是境内企业,如果对国家和民族安全产生不利因素,我们肯定会采取不合作、屏蔽的方式。
但如果企业为国家发展做出了贡献,不管是独资、外资,我们也愿意合作,共同发展,服务于全人类。
关键词:分布式;信息安全;规划;方案
中图分类号:TP309.2文献标识码:A 文章编号:1009-3044(2008)36-2848-03
An Information Security Program for a Distributed Enterprise
GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.
Key words: distributed; information security; planning; program
1 引言
据来自eWeek 的消息,市场研究机构Gartner 研究报告称,很对企业目前仍缺乏完整的信息安全规划和规范。尽管目前很多企业在信息安全方面的投入每年都在缓慢增长,但由于推动力以外部法律法规的约束和商业业务的压力为主,因此他们对安全技术和服务的选择和使用仍停留在一个相对较低的水平。尤其对于机构构成方式为分布式的企业而言,因为信息安全需求和部署相对更加复杂,投入更多,因此这类企业的信息安全规划就更加缺乏。
本文根据这类分布式企业的特点提出了一种符合该类企业实际的信息安全规划方案。
2 总体规划原则和目标
2.1 总体规划原则
对于分布式企业的信息安全规划,要遵守如下原则:适度集中,控制风险;突出重点,分级保护;统筹安排,分步实施;分级管理,责任到岗;资源优化,注重效益。
这个原则的制定主要是根据分布式企业的实际机构构成情况、人员素质情况以及资源配置情况来制定的。
2.2 总体规划目标
信息系统安全规划的方法可以不同、侧重点可以不同,但是需要围绕组织安全、管理安全、技术安全进行全面的考虑。信息系统安全规划的最终效果应该体现在对信息系统与信息资源的安全保护上,下面将分别对组织规划、管理规划和技术规划分别进行阐述。信息安全规划依托企业信息化战略规划,对信息化战略的实施起到保驾护航的作用。信息系统安全规划的目标应该与企业信息化的目标是一致的,而且应该比企业信息化的目标更具体明确、更贴近安全。信息系统安全规划的一切论述都要围绕着这个目标展开和部署。
3 信息安全组织规划
3.1 组织规划目标
组织建设是信息安全建设的基本保证,信息安全组织的目标是:
1)完善和形成一个独立的、完整的、动态的、开放的信息安全组织架构,达到国际国内标准的要求;
2)打造一支具有专业水准的、过硬本领的信息安全队伍。对内可以保障企业内部网安全,对外可以向社会提供高品质的安全服务;
3)建设一个 “信息安全运维中心(SOC)”,能够满足当前和未来的业务发展及信息安全组织运转的支撑系统,能够对外提供安全服务平台。
3.2 组织规划实施
对于组织规划这个方面,是属于一个企业信息安全规划的上层建筑,需要用一种由上而下的方法来实现,其主要是在具体人事机制、管理机制和培训机制上做工作。对于分布式企业而言,需要主导部门从上层着手,建章立制,强化安全教育,加大基础人力、财力和物力的投入。
4 信息安全管理规划
4.1 管理规划目标
信息安全管理规划的目标是,完善和形成“七套信息安全软措施”,具体包括:一套等级划分指标,一套信息安全策略,一套信息安全制度,一套信息安全流程规范,一套信息安全教育培训体系,一套信息安全风险监管机制,一套信息安全绩效考核指标。“七套信息安全软措施”关系如图1所示。
4.2 信息安全管理设计
基于对管理目标的分析,信息安全管理的原则以风险管理为主,集中安全控制。管理要素由管理对象、安全威胁、脆弱性、风险、保护措施组成。
4.2.1 信息安全等级划分指标
信息安全等级保护是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化健康发展的基本策略。
4.2.2 信息安全策略
信息安全安全策略是关于保护对象说明、保护必要性描述、保护责任人、保护对策以及意外处理方法的总和。
4.2.3 信息安全制度
信息安全制度是指为信息资产的安全而制定的行为约束规则。
4.2.4 信息安全规范
信息安全规范是关于信息安全工作应达到的要求,在信息安全规范方面,根据调查,建立信息安全管理规范、信息安全技术规范。其中,安全管理规范主要针对人员、团队、制度和资源管理提供参照性准则;信息安全技术规范主要针对安全设计、施工、维护和操作提供技术性指导建议。
4.2.5 信息安全管理流程
信息安全流程是指工作中应遵循的信息安全程序,其目的是减少安全隐患,降低风险。
4.2.6 信息安全绩效考核指标
信息安全绩效考核指标是指针对信息安全工作的质量和态度而给出的评价依据,其目的是增强信息安全责任意识,提高信息安全工作质量。
4.2.7 信息安全监管机制
信息安全监管机制是指有关信息安全风险的识别、分析和控制的措施总和。其主要目的加强信息安全风险的控制,做到“安全第一,预防为主”。
4.2.8 信息安全教育培训体系
其主要目的加强的信息安全人才队伍的建设,提高企业人员的信息安全意识和技能,增强企业信息安全能力。
5 信息安全技术规划
5.1 技术规划目标
信息安全技术规划目标简言之是:给业务运营提供信息安全环境,为企业转型提供契机,构建信息安全服务支撑系统。具体目标如下:
1)打造信息安全基础环境,调整和优化IT基础设施,建立安全专网,设置两个中心(信息安全运维中心、灾备中心);
2)建立一体化信息安全平台,综合集成安全决策调度、安全巡检、认证授权、安全防护、安全监控、安全审计、应急响应、安全服务、安全测试、安全培训等功能,实现的集中安全管理控制,快速安全事件响应,高可信的安全防护,拓展企业业务,开辟信息安全服务新领域。
5.2 信息安全运维中心(SOC)
SOC 是信息安全体系建设的基础性工作,SOC 承载用于监控第一生产网的安全专网核心基础设施,提供信息安全中心技术人员的办公场所,提供“7×24”小时连续不断的安全应用服务,提供实时监控、远程入侵发现、事件响应、安全更新与升级等业务,SOC 要求具有充分保障自身的安全措施。除了SOC 的组织建设、基础工程外,SOC 的技术性工作还要做以下几个方面:
1)硬件基础建设,主要内容是SOC 的选址、布局、布线、系统集成,实现SOC 自身的防火、防潮、防电、防尘、安全监控功能;
2)软件基础建设,包括SSS 系统、机房监控子系统、功能小组及中心组划分。
图1 信息安全软措施关系
图2 信息安全总体框架
图3 资产、组织、管理和安全措施的关系
5.3 信息安全综合测试环境
随着分布式企业信息化程度的日也加深,需要部署到大量IT 产品和应用系统,为了保障安全,必须对这些IT 系统和产品做入网前安全检查,消除安全隐患。基于此,综合测试环境建设的内容包括:安全测试网络;测试系统设备;安全测试工具;安全测试分析系统;安全测试知识库。
其中,安全测试网络要求能够模拟企业网络真实的带宽;测试系统设备能够提供典型的网络服务流量模拟、典型的应用系统流量模拟;安全测试工具覆盖防范类、检测类、评估类、应急恢复类、管理类等,并提供使用说明、漏洞扫描、应用安全分析;安全测试分析系统能够提供统计分析、图表展现功能;安全知识库包含以下内容:漏洞知识库,补丁信息库,安全标准知识库,威胁场景视频库,攻击特征知识库,信息安全解决案例库,安全产品知识库,安全概念和术语知识库。
5.4 安全平台建设规划
参照国际上PDRR 模型和国家信息安全方面规范,建议信息安全总体框架设计如图2所示。
主要目的,以资产为核心,通过安全组织实现资产保护,以安全管理来约束组织的行为,以技术手段辅助安全管理。其中,资产、组织、管理、安全措施的关系如图3所示,核心为资产,围绕资产是组织,组织是管理,最外层是安全措施。
在平台中集成十个安全机制,它们分别是:信息安全集中管理;信息安全巡检;信息安全认证授权;信息安全防护;信息安全监控;信息安全测试;信息安全审核;信息安全应急响应;信息安全教育培训;信息安全服务。
6 信息安全服务业务规划
6.1 服务业务规划目标
信息安全服务业务规划目标简言之是:以信息安全服务为切入点,充分发挥企业优势资源,引领信息安全市场,为企业转型创造时机。具体目标如下:
1)推出面向客户安全(检查、教育、配置)产品;2)推出面向大型企业的信息安全咨询产品;3)推出面向家庭安全上网产品;4)推出面向企业安全运维产品;5)推出面向企业灾害恢复产品。
6.2 服务业务规划设计
服务业务规划主要针对具体业务而言,在此列举信息类分布式企业业务作为示例:
1)信息安全咨询类产品,其服务功能主要有:信息安全风险评估;信息安全规划设计;信息安全产品顾问。
2)信息安全教育培训类产品,其服务功能主要有:提供信息安全操作环境;提供信息安全知识教育;提供信息安全运维教育。
3)家庭类安全服务产品,其服务功能主要有:推出“家庭绿色上网”安全服务;家庭上网防病毒服务;家庭上网机器安全检查服务;家庭上网机数据备份服务。
4)企业类安全服务产品,其服务功能主要有:企业安全上网控制服务;企业安全专网服务;安全信息通告;企业运维服务。
5)容灾类安全服务产品,其服务功能主要有:面向政府数据灾备服务;面向政府信息系统灾备服务;面向企业数据灾备服务;面向企业信息系统灾备服务。
7 结束语
通过结合分布式企业的具体实际,按照信息安全体系结构相关标准,提出了分布式企业的信息安全规划原则和目标。并依据次原则与目标,按照组织、管理和技术三个方面提出了具体的实现与设计规范原则。最后,依据服务规划目标,提出了信息类分布式企业的信息安全服务规划设计实例。
参考文献:
[1] 周晓梅. 论企业信息安全体系的建立[J]. 网络安全技术与应用,2006,3:62~64,57.
[2] Harold F. Tipton,Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US:Auerbach Publications,2004.
[3] 魏永红,李天智,张志. 网络信息安全防御体系探讨[J].河北省科学院学报,2006,23,(1):25~28.
[4] 张庆华. 信息网络动态安全体系模型综述[J].计算机应用研究,2002,10:5~7.
[5] ISO/IEC 15408,13335,15004,14598,信息技术安全评估的系列标准[S].
[6] BS7799-1,7799-2,ISO/IEC 17799,信息安全管理系列标准[S].
[7] BS7799-2,Information Security Management Systems-Specification With Guidance for use[S].
[8] 李玮. 运营商IT系统网络架构的安全域划分[J]. 通信世界,2005,30:41~41,45~45.
