序論:在您撰寫企業信息安全服務時���,參考他人的優秀作品可以開闊視野���,小編為您整理的7篇范文�����,希望這些建議能夠激發您的創作熱情��,引導您走向新的創作高度���。
第1篇
根據上述問題,提出本文的基于SOA的信息安全體系的設計�。通過研究,我們提出了一個面向服務架構的企業信息安全體系結構,它是底層基于數據倉庫/數據集市技術,并以安全服務總線作為hub,為企業信息安全活動提供集成信息安全的管理和有效的控制,使用BPM(企業過程管理)、規則引擎(RuleEngine,RE)和,企業智能(BusinessIntelligence,BI)技術。它有益于企業公司達到需要的信息安全管理級別���。并且建立一個PDCA(Plan-Do-Check-Act)適配器,以確保信息安全管理和風險控制活動,能夠進行自我優化。
1.1體系結構的結構
參考七層OSI設計,我們設計了五層的智能企業信息安全體系結構�。自下向上為安全數據庫層、安全應用層���、安全服務總線、集成和智能層�、信息安全框架。(圖1)說明了智能企業信息安全體系結構的結構。
(1)安全數據層�����。體系結構的底層是整個體系結構的基礎層���。這是因為安全數據易于被其它應用和服務使用���。這一層的數據被分為兩個部分:操作數據和分析數據。
(2)安全應用層�����。應用層包括所有的息安全系統,如防火墻����、入侵防御系統���、反病毒系統,以及被防護的設備,如網絡設備��、服務器和桌面環境等。它也包括這些系統上的各種各樣的操作系統���。
(3)安全服務總線���。是基于SOA的信息安全體系結構的中樞����。我們在這一層定義SOA服務總線的結構和需要的各種各樣的信息安全服務。在面向服務的信息安全體系結構中,我們能夠將當前和未來的安全需求定義為安全服務,但這些服務的實現是隱藏的����。
(4)集成&智能層。體系結構中數據�、過程和應用都是在這一層進行處理實現的,解決一個企業各種業務問題,滿足快速變化的環境。集成層具有“應用之間”和“過程之間”進行通信的能力,通過適配器,它還能夠與其他企業過程、服務提供者或數據提供者通信�。
(5)信息安全輔助設計。這是信息安全對外的接口,主要是由勻衡器��、關鍵風險指示儀以及監控接口�。企業智能模型提供各種各樣的服務,例如報告、查詢�、OLAP、數據挖掘和多維分析���。規則引擎,作為工作流的一部分,可以結合到BPM模型���。因為有了規則引擎,我們能夠更加有效地執行信息安全管理和風險控制。PDCA適配器是一個特殊的工具,它利用人工智能能夠幫助公司達到信息安全管理中持續提高和自我優化的目標�����。
1.2特點和優勢
本文提出的企業信息安全體系結構具有以下特點��。
(1)集成���。它也能夠將信息安全管理和風險控制聯合起來作為一個集成的框架。
(2)可復用���。體系結構是比較獨立的,適合于企業和小型組織。服務的封裝使得可復用,與其他服務聯合使用。
(3)面向服務的體系結構����。SOA體系機構的采用提供了服務的獨立性�����、自我管理和自我彈性�。
(4)集成的數據環境��。集成的數據結構使之適合于各種數據庫進行對接。
(5)企業智能�����。這個體系結構將企業智能應用到信息安全管理,信息安全管理主要使用了數據挖掘和模式識別技術。這可以大大減少由于人工誤操作引起的損失,增強信息安全管理和風險控制操作。
(6)開放的體系結構。體系結構開放設計,以滿足整個企業的安全需求;面向服務的特征使得體系結構式開放的,允許多個接口與外部應用通信�����。
2結論
第2篇
關鍵詞:SOA 信息安全 企業服務總線
中圖分類號:TP2 文獻標識碼:A 文章編號:1672-3791(2013)01(c)-0022-02
隨著信息技術的不斷普遍���,信息安全體系結構在當前的企業信息技術中扮演著越來越重要的角色��。我們嘗試將信息安全和風險控制活動定義到安全服務里���,設計面向服務的企業信息安全體系結構���。
SOA是工業界的一個熱點主題�。它是一個策略��、實踐和框架的集合,能夠為提供跨域注冊�����、動態發現和自動機制提供內建的基礎設施�����。并且提供的服務封裝����,通過消息協議提供可由雙方共同操作的服務��。SOA也為服務質量控制和資源管理及其它的監控服務和異常處理機制準備了基礎設施�����。作為一個agility-pursued體系結構��,SOA將企業邏輯從技術實現分離����,從而使圍繞SOA體系結構建立的應用能夠滿足企業和技術領域持續變化的需求�。它也將有益于可復用性和系統集成�,以及可擴展性、分布性和跨域注冊。
1 問題發現
我們在SOA安全體系結構上的研究發現了以下幾個問題����。
(1)缺少企業信息安全集成體系結構,引入了不同的�、相互獨立的信息安全系統和解決方案�,這會導致整個系統的不兼容性�,導致無法達到期望的風險管理控制。
(2)由于在信息風險管理系統的信息采集還處于半自動化階段����,人工的信息采集過程會導致人為造成的錯誤�。
(3)ISO/IEC 27002系統為企業信息安全管理提供非常好的方法和指南��,但由于缺乏合適的工具進行管理�����,無法很好解決企業信息安全。
(4)我們需要注意SOA自身的可靠性和安全性問題。
2 信息安全體系結構的設計
根據上述問題,提出本文的基于SOA的信息安全體系的設計�。
通過研究�,我們提出了一個面向服務架構的企業信息安全體系結構��,它是底層基于數據倉庫/數據集市技術,并以安全服務總線作為hub�����,為企業信息安全活動提供集成信息安全的管理和有效的控制�,使用BPM(企業過程管理)�、規則引擎(Rule Engine,RE)和����,企業智能(Business Intelligence����,BI)技術���。它有益于企業公司達到需要的信息安全管理級別。并且建立一個PDCA(Plan-Do-Check-Act)適配器�����,以確保信息安全管理和風險控制活動�����,能夠進行自我優化。
2.1 體系結構的結構
參考七層OSI設計��,我們設計了五層的智能企業信息安全體系結構�。自下向上為安全數據庫層��、安全應用層�、安全服務總線���、集成和智能層�、信息安全框架。
(圖1)說明了智能企業信息安全體系結構的結構�。
(1)安全數據層�。體系結構的底層是整個體系結構的基礎層�����。這是因為安全數據易于被其它應用和服務使用��。這一層的數據被分為兩個部分:操作數據和分析數據。
(2)安全應用層����。應用層包括所有的信息安全系統,如防火墻����、入侵防御系統、反病毒系統,以及被防護的設備�����,如網絡設備����、服務器和桌面環境等。它也包括這些系統上的各種各樣的操作系統。
(3)安全服務總線。是基于SOA的信息安全體系結構的中樞���。我們在這一層定義SOA服務總線的結構和需要的各種各樣的信息安全服務���。在面向服務的信息安全體系結構中,我們能夠將當前和未來的安全需求定義為安全服務�,但這些服務的實現是隱藏的����。
(4)集成&智能層���。體系結構中數據�����、過程和應用都是在這一層進行處理實現的,解決一個企業各種業務問題����,滿足快速變化的環境����。集成層具有“應用之間”和“過程之間”進行通信的能力�,通過適配器���,它還能夠與其他企業過程�、服務提供者或數據提供者通信。
(5)信息安全輔助設計����。這是信息安全對外的接口����,主要是由勻衡器�、關鍵風險指示儀以及監控接口�。
企業智能模型提供各種各樣的服務�����,例如報告����、查詢、OLAP��、數據挖掘和多維分析���。規則引擎���,作為工作流的一部分����,可以結合到BPM模型�����。因為有了規則引擎,我們能夠更加有效地執行信息安全管理和風險控制。PDCA適配器是一個特殊的工具����,它利用人工智能能夠幫助公司達到信息安全管理中持續提高和自我優化的目標����。
2.2 特點和優勢
本文提出的企業信息安全體系結構具有以下特點����。
(1)集成。它也能夠將信息安全管理和風險控制聯合起來作為一個集成的框架���。
(2)可復用�����。體系結構是比較獨立的����,適合于企業和小型組織。服務的封裝使得可復用����,與其他服務聯合使用����。
(3)面向服務的體系結構�。SOA體系機構的采用提供了服務的獨立性��、自我管理和自我彈性����。
(4)集成的數據環境��。集成的數據結構使之適合于各種數據庫進行對接。
(5)企業智能。這個體系結構將企業智能應用到信息安全管理�����,信息安全管理主要使用了數據挖掘和模式識別技術��。這可以大大減少由于人工誤操作引起的損失,增強信息安全管理和風險控制操作。
(6)開放的體系結構���。體系結構開放設計,以滿足整個企業的安全需求���;面向服務的特征使得體系結構式開放的,允許多個接口與外部應用通信�。
3 結論
與傳統的信息安全體系結構設計相比,本文提出的體系結構設計具有幾個優勢�����,包括開放��、集成��、可復用�����、面向服務����、集成數據平臺和商業智能����。信息安全管理人員可以自由地執行重要的任務�,如風險分析等�����。最后���,這個體系結構式我們建立集成和智能企業信息安全體系結構的開端����,以后會有更多的����、更好的產品出現���。
參考文獻
[1] 魏東�����,陳曉江,房鼎益�����,等.基于SOA體系結構的軟件開發方法研究[J].微電子學與計算機,2005��,22(6):73-76.
[2] 葉宇風.基于SOA的企業應用集成研究[J].微電子學與計算機,2006�,23(5):211-213.
[3] 雷冬艷.SOA環境下的數字圖書館信息安全研究[J].科教文匯�,2010(33):189-190.
[4] 李益文.基于SOA的商業系統的信息安全技術探討[J].電腦編程技巧與維護����,2010(20):114-115��,154.
第3篇
“十二五”期間����,軟件技術和產業格局孕育著新一輪重大調整,軟件產業面臨網絡化��、服務化�、智能化、平臺化��、融合化五大發展趨勢��。國發[2011]4號文增強了對軟件產業的扶持力度����,這必將催生軟件和信息服務新星的出現。
無論是基礎設施����、資金���、人才還是政策扶持��,甚至是項目推介和品牌宣傳�,軟件園區這片沃土都給軟件企業帶來豐富養分�����?����!吨袊嬎銠C報》“軟件園區”專欄�,記錄軟件企業崛起,見證軟件產業發展����!
如今,電子取證和計算機法證業務在歐美發達國家和我國香港地區已經相當成熟,除了主要應用于金融行業外�,在政府和企業中也有了相當多的應用����。IDC 統計顯示,2011年全球電子數據取證市場的規模達到18 億美元,預計2015年中國電子數據取證將達到近10億元人民幣的市場規模���。
電子取證:安全不可缺的一環
2012年3月�����,中國內地和香港地區最高級別的計算機法證技術協會——中國計算機法證技術研究會(CCFC)��、香港信息安全與法證公會(香港ISFS)正式授權上海浦東軟件園信息技術股份有限公司(以下簡稱浦軟信息)為其華東代表處��,這標志浦軟信息擁有了國內領先的電子取證平臺�。
2012年7月���,首次移師上海的第八屆CCFC計算機法證技術峰會在上海浦東軟件園舉行��。會議期間�,由浦軟信息投巨資新建并已投入運行的高水準電子數據司法鑒定實驗室(以下簡稱取證實驗室)及配套設施受到了海內外參會者的關注和期待�����。取證實驗室包含了計算機鑒定人員從事涉及計算機犯罪案件受理、電子數據勘查����、調查取證�、數據恢復���、密碼破解��、鑒定分析����、證據存儲等13個專門區域�����,并已經與CCFC和香港ISFS做了業務上的對接����。
據上海浦東軟件園信息技術股份有限公司總經理葉慧介紹���,浦軟信息將集全公司之力把取證試驗室建設成為國內在技術與硬件條件上最卓越的實驗平臺��。浦軟信息的取證業務將由單一的取證產品向多樣化���、個性化服務轉變,最終形成以自主取證產品銷售�、司法鑒定服務和專業取證培訓為核心的三位一體的業務模式以及“事前預防��、事中響應��、事后取證”的整體信息安全解決方案����。
公司成立了專業的市場銷售團隊,通過整體的設計與市場策劃來推廣取證業務�����。
如今,浦軟信息更希望將已經擁有的平臺資源和取證業務推廣到信息安全市場較成熟的地區,與更多的業界同行一起培育電子取證市場���。葉慧強調���,浦軟信息作為計算機安全防護領域整體解決方案的提供商����,有義務和責任通過自身的努力為社會帶來更多的價值,并以此作為自己的使命和社會責任���。
取證培訓:旨在完善認證體系
工欲善其事,必先利其器�����。專業取證培訓是浦軟信息取證業務中很重要的一環�。取證實驗室研發出許多基于高端技術的取證產品���,其精心設計的培訓教室擁有各類多媒體設備����,能夠滿足取證技術領域內的各種培訓要求���,并已經舉辦過多次各類層次的取證培訓�����。
第八屆CCFC計算機法證技術峰會引入了海外專業培訓方式��,在由香港ISFS開辦的研習會上,結合實際案例�,對計算機法證技術應用及信息安全防護進行專業指導��。
浦軟信息之所以花大力氣開展取證培訓業務��,就是預見到取證市場的前景將無限廣闊��,需要一個成熟的資質認證體系����,構筑一個中國取證行業專業����、統一的標準����。因此,浦軟信息規劃了取證資質認證培訓的發展方向����,那就是明確自身的市場地位�����,完善取證實驗室的培訓體系和業務�����,今后將與海內外專業機構合作�����,繼續拓展培訓業務�����,最終得到政府部門和業內對浦軟信息取證培訓資質認證的認可�。
制度創新:確保信息業務拓展
今年2月15日,上海股權托管交易中心正式開張����,浦軟信息成為首批掛牌OTC(場外交易市場)成員。這對浦軟信息來說無疑是一個重要的轉折點——浦軟信息已經從一家中小型的以產品銷售為導向的IT公司轉變為一家以IT服務為核心的非上市公眾公司����。
浦軟信息希望通過OTC掛牌交易,在為股東和其他投資者提供更多選擇的同時�����,通過股權的發行和交易使得公司的法人治理結構更加規范和嚴謹�����,這對浦軟信息未來發展是至關重要的,也是最大的挑戰�。另外,作為公眾公司,浦軟信息必須考慮到諸多方面的影響���,決策上必須更加謹慎�����,對內部資源的安排也要考慮得更細致,要有平衡企業資源的能力����,包括客戶和市場資源���,要投入更多的資源來支持和規劃新的公司制度和運轉���。對此,葉慧信心滿滿��。
優秀基因:可持續發展的動力
作為一家還處于成長期的中小型IT企業,浦軟信息還有相當大的提升空間�,但公司管理層始終保持著危機感���,對市場保持高度的敏感,業務上真正做到以客戶為導向����,技術上不遺余力地投入人力物力���。追求“優秀”是浦軟信息始終堅持的目標�。
何謂“優秀”,葉慧對此做了進一步詮釋�。
“優秀”體現在專業上,就是要有專攻方向����。在信息安全領域浦軟信息已經有十幾年的經驗,這既是公司的優勢也是公司的品牌����。同時����,這種專業還要體現在技術研發的能力上����,使之成為浦軟信息的核心競爭力����。作為一家IT公司�,技術是最重要的生產力���。
“優秀”體現在人才上,就是把員工視作企業發展中最重要的資產,將管理團隊與技術團隊作為企業的核心。浦軟信息的股權結構中也有員工持股����,這體現了公司創始人開放的胸襟。
“優秀”同時也體現在健康上���,浦軟信息未來的目標是上市��。作為公眾公司�,需要給股東和員工持續的回報,這是相當重要的��。作為一家肩負著社會責任的公眾企業����,體制一定要健康�����,不能一味盲目地追求增長速度���,企業發展方式和公司結構至關重要��,這也是企業可持續發展的前提。
IT行業內真正能夠屹立不倒的百年老店一定具備“優秀”的基因�����,而不是純粹靠包裝和粉飾�����;同樣�����,有了這些“優秀”的基因,一個升級版的浦軟信息將從企業級信息安全服務行業中脫穎而出���,也就有了底氣����。
記者手記
人生就是一場修煉
從上海市經濟和信息化委員會到上海浦東軟件園總部再到浦軟信息��,葉慧的角色在不斷轉變����,雖然都涉及IT和通信行業�����,但視角卻大不相同。尤其是調任浦軟信息后,葉慧從原先站在宏觀角度轉變為以企業職業經理人的微觀角度來審視IT和通信行業�,同時還要承受著國有企業職業經理人特有的壓力��。
是什么信念使得葉慧能夠在應對不斷出現新的挑戰和壓力時如此談定和柔韌��?答案就是被葉慧視為勵志誓言的《孟子·告子下》中的名句:“天將降大任于斯人也���,必先苦其心志�����,勞其筋骨���,餓其體膚,空乏其身���,行拂亂其所為也,所以動心忍性����,增益其所不能。”葉慧認為����,一個職業經理人即使在處于坎坷時���,也要保持良好的心態,不逃避不回避各種困難,積極面對挑戰并擁有破解難題��、果斷決策的信心�。
第4篇
亨達公司已取得了國家信息安全測評中心信息安全服務二級(全國最高等級)、注冊信息安全專業培訓(CISP)授權機構�、國家信息安全認證中心信息安全集成二級、應急服務二級����、風險評估二級、公安部等級保護測評、工業和信息化部通信信息網絡系統集成甲級��、計算機網絡系統集成三級、國家計算機應急技術協調處理中心(CNCERT/CC)信息安全服務技術支撐單位以及貴陽市國家保密局信息設備維修等一系列完善的通信與網絡信息安全專業服務資質,通過了ISO9001:2008質量管理體系認證��、ISO14001:2004環境管理體系認證和OHSAS18001:2007職業健康安全管理體系認證����。
亨達集團先后被評為 “貴州省通信行業協會副理事長單位”�����、“貴州省通信體育協會副主席單位”��,連續五年被省工商行政管理局評為“重信用��、守合同”單位��,并獲得“全國十佳誠信單位”稱號���。目前已建成了集網絡信息安全監控����、網絡攻防演練��、信息安全培訓、軟件開發以及信息安全產品測評認證于一體的信息化綜合服務保障平臺。
亨達集團自2011年底取得等級保護測評資質以來�,配合貴州省公安廳推進信息系統等級保護測評工作,開展了近百家單位共計500多個信息系統的安全等級保護測評�,包括貴州省財政廳��、貴州省統計局�����、貴州省交通廳���、中國工商銀行貴州分行�、中國建設銀行貴州分行���、貴陽銀行���、貴陽海關��、貴州省農村商業銀行、遵義商行��、貴州省人民醫院��、貴州省腫瘤醫院���、貴陽醫學院等各大單位重要信息系統��。
基于亨達集團作為貴州省優秀通信建設與網絡信息安全服務企業,長期以來����,一直與貴州省通信管理局保持著密切的合作與良好的溝通����。公司自2009年起即已被國家計算機應急技術協調處理中心和省通信管理局確立為大區級技術支撐單位。
第5篇
【 關鍵詞 】 信息安全架構�����;企業戰略;信息安全服務; 信息安全價值�����; 一致性�;可追溯性
【 文獻標識碼 】 A 【 中圖分類號 】 TP393.08
1 引言
信息安全技術和管理經過不斷的發展和改善����,已經能夠比較有效地解決一些傳統信息安全問題����,如信息安全風險管理�����、訪問控制����,脆弱性管理����、加密解密和災難恢復等。隨著信息越來越成為組織的核心資產���,保護信息的安全已不再只是局限于技術和日常管理層面的討論�����,信息的安全越來越關系到組織自身發展的安全��。一次重大的信息泄露事故就能使企業的市值一落千丈����。同時���,一套合理的訪問控制解決方案能夠幫助企業快速推出核心產品(尤其是電子商務)和兼并其他企業。當前信息安全發展呈現出新的趨勢和要求:(1)信息安全部門逐漸從成本中心轉向價值中心,信息安全的各項活動越來越和企業戰略緊密相連���;(2)企業內部其他部門越來越多的要求信息安全部門提供清晰��、可測量的服務來支持業務的運行����。
企業的信息安全部門在不斷增強其核心影響力的同時,也承擔著隨之而來的更多責任和挑戰�。其一是如何將企業戰略轉化為信息安全計劃���,將信息安全融入到組織的業務流程中,并且保持信息安全控制措施與企業戰略的一致性和可追溯性���;其二是如何使信息安全的價值得到認可并在組織內部最大化���;其三是如何滿足企業內部各部門有計劃或無計劃的信息安全服務需求����;其四是如何確保以一種系統主動和集中統一的方式來管理業務和遵從性需求,并實現清晰的測量和不斷的改進����。
當前各企業廣泛采用的標準或最佳實踐有幾種:ISO27001:2005�����,COBIT4.1�,NISTSP800或PCIDSSv2.0等���。這些標準各有優點��,但也有明顯的缺憾����,如表1所示(缺憾部分用X表示)���。
設計本信息安全架構旨在解決上述問題并建立一種高效機制達到如下目標。
* 將企業戰略轉化為信息安全計劃�,確保信息安全的可追溯性�����、持續一致性和簡潔性�����,以降低成本�、減少重復和提高效率����。將信息安全融入到組織的業務流程中,建立一致性和可追溯性�����;建立清晰的信息安全架構和愿景����,以減少重復和指導信息安全投入和解決方案的實施�����。
* 基于客戶服務理念�����,信息安全服務價值得到認可����,信息安全靠攏業務部門,為信息安全管理和業務管理建立共同語言����。
* 全面管理信息安全����,滿足目前絕大多數法律法規、標準的最佳實際的要求,并具有靈活的可擴展性�,當新需求出現后能夠將其平滑的融入到現有架構中��。
* 系統和集中統一的方式,使信息安全管理可預測和可測量���,并不斷的改進。
2 信息安全架構設計
2.1 信息安全架構設計所基于的原則
本信息安全架構的設計遵循四大原則。
1) 業務驅動:所有的信息安全目標應該從業務需求中來�����,從而保證信息安全管理總是做“正確的事”。
2) 整合、統一的架構:現在有數以十計的信息安全相關的法律法規����,標準和最佳實踐需要去符合或參考��,且其各有不同的要求側重點和優缺點���。因此很有必要將所有相關的信息安全關注點整合到一個統一的架構中���,以保證所有要求都被滿足���,同時避免不要的重復�。例如����,ISO27001關注全面安全控制和風險管理,PCIDSS側重支付卡環境中技術控制和策略管理等�����。
3) 系統化思維:運用系統化思維可以幫助組織解決復雜且動態的問題��,適應運營中的各種變化�����,減輕戰略上的不確定性和外部因素的影響。例如�����,需要整合機構���、人員�、技術和流程����;需要考慮安全���、成本和易用性的權衡��;需要靠持續改進(Plan-Do-Check-Act)�����;需要考慮全面防護和縱深防護��。
4) 易用性:信息安全架構的最大價值在于被理解和廣泛應用于組織的實踐當中。因此��,信息安全架構必須易于理解并且實際可操作性要強,應避免太過復雜和晦澀����。
2.2 信息安全架構實現
2.2.1 信息安全架構-域試圖
基于上面的基本原則��,本信息安全架構由三個域組成(如圖1所示):治理(Governance)��、保障(Assurance)和服務(Services)����。
治理(Governance): 信息安全治理域強調戰略一致性,風險管理���,資源管理和有效性測量�。治理域又包括三個子域:愿景與戰略、風險與遵從性管理和測量����。各子域主要功能如下所述���。
* 愿景與戰略: 將遵從性要求���,信息安全的發展趨勢��,行業發展趨勢和業務戰略轉化為信息安全愿景�、戰略和路線圖���。
* 風險與遵從性管理: 管理信息安全風險使信息安全風險控制在組織可接受的范圍內�����。
* 測量: 監控和測量整體信息安全的有效性并持續提升信息安全對組織的價值��。
保障: 保障域側重于信息安全的全面與縱深防護措施����。保障域包含預防��、監測��、響應和恢復四個部分��。各部分主要功能如下所述���。同時保護的對象為不同層面的信息資產:數據層、應用層、IT基礎設施層和物理層�����。
* 預防: 實施信息安全控制措施包括管理措施和技術措施,防止信息安全威脅損害組織的信息安全控態。
* 監測: 部署信息安全監測能力監控正在發生或已經發生的信息安全事態�����。
* 響應:部署信息安全響應體系迅速、高效的抑制信息安全事件�。
* 恢復: 建立組織的可持續性能力���,但重要信息系統不可用時�,可以在計劃的時間內恢復�����。
服務: 服務域顯示了面向客戶(內部和外部),協作與知識更新對信息安全實踐非常重要����。服務域包含三個部分:信息安全服務����、知識管理��、意識與文化����。各部分主要功能如下所述�。
* 信息安全服務: 信息安全團隊應對待組織內部其他部門和對外部客戶一樣��,基于服務基本協議��,提供高質量的信息安全服務。
* 知識管理: 知識是信息安全實踐和服務的基石����。信息安全知識管理包括獲取、維護和利用知識去獲取最大的信息安全專業價值���。信息安全知識應不僅在信息安全團隊內部而且在整個組織被共享。
* 意識與文化: 信息安全意識與文化在組織內部建立一個整體的信息安全氛圍。一個好的信息安全意識與文化意味著每個人都每個人都了解信息安全��,關心信息安全���、在日常工作中關注信息安全����。信息安全意識與文化對提升組織整體信息安全成熟度和降低信息安全風險至關重要����。
2.2.2 信息安全架構-組件試圖
為支撐信息安全架構的三個域,本信息安全架構組件融合了不同標準和最佳實踐的精華部分��,并自成一體�����,如圖2所示����。本架構參考的標準主要有如下一些:ISO27001:2005、PCIDSSv2.0、COBIT4.1�����、COBIT5.0�、ITILv3 以及NIST SP-800系列等��。
3 信息安全架構在企業內實際應用效果分析
本信息安全架構已被推廣和應用到各個行業中,如保險業���、銀行業�����、教育和非盈利性機構等��。本文選取一個保險企業的案例來說明本信息安全架構給企業帶來的積極變化�����。
背景:此保險公司有3000名員工�����,計劃在加拿大多倫多(Toronto)上市��,因此需要符合加拿大和行業的一些法律法規的要求,如Bill198、PIPEDA�����、PCIDSS等����。同時公司高層決定借鑒信息安全管理的最佳實踐標準,如ISO27002����、NIST SP800�、COBIT����、ITIL��、 FFIEC和 TOGAF等���。因本信息安全架構的特點就是融合各法規�、標準和最佳實踐的要求�����,因此不需要做任何大的改動的情況下(降低成本)就能應用到此保險公司中����。
經過9個月的實際運行����,公司進行了各項測量指標重新評估并與實施本信息安全架構前的指標進行了對比分析�。
3.1 平衡計分卡(Balanced Scorecard)[10]測評分析
平衡計分卡是衡量信息安全對企業貢獻價值的一種分析工具��。平衡計分卡包括四個測量項目:對企業的貢獻�,對愿景的規劃�����,內部流程的成熟度和面向客戶����。該保險公司在實施本信息安全架構前后分別進行了兩次測評。測評方法是由公司高級管理人員和各部門經理對信息安全部門進行評估����,0級表示無成績���,5級表示完美�,然后取平均值。2011年7月評估結果顯示“企業貢獻”為2.2�,“愿景規劃”為2.5��,“內部流程”為2.8,“面向客戶”為2.1����;2012年7月評估結果顯示“企業貢獻”為4.1,“愿景規劃”為3.9,“內部流程”為3.8���,“面向客戶”為4.1。如圖3所示����。測評結果表明實施本信息安全架構后企業高層及各部門對信息安全給企業帶來的價值的認可度有較為明顯提升。
3.2 總體信息安全成熟度級別分析
本文采取的信息安全總體成熟度的評價是基于ISO27002的控制域和CMMI[11]的評估級別���。0級是最低級,5級是最高級����。該保險公司在實施本信息安全架構前后分別進行了兩次自評估����。2011年10月實施本信息安全架構前成熟度水平是介于2.0-3.0之間���, 2012年10月實施本信息安全架構后成熟度水平是介于3.0-4.5之間,如圖4所示�。成熟度級別分析結果表明實施本信息安全架構后整體成熟度有較為明顯提升�。
3.3 獨立審核發現點數量分析
第三方機構獨立審核是從專業、客觀的角度來衡量整體信息安全控制措施�,包括管理��、技術和流程���。審核發現點的數量越多����,表明脆弱點越多��,存在的風險越大�����。該保險公司在實施本信息安全架構前后分別邀請用一個第三方審核機構對其進行了全面審核與評估(依據上市公司的管控要求)���。2011年9月審核結果顯示有4個高風險項��,8個中風險項和13個第風險項�;2012年9月審核結果顯示無高風險項����,且只有2個中風險項和4個第風險項����。如圖5所示����。審核結果表明實施本信息安全架構后整體風險水平有較為明顯降低���。
3.4 信息安全事件發生數量分析
信息安全事件(特別是1級與2級事件)發生的數量標志著信息安全控制措施的全面性和有效性���。信息安全事件數量越少��,表明整體控制措施越有效�。該保險公司統計了實施本信息安全架構前后發生的信息安全事件數量�。2011年1月-10月期間有4個一級安全事件(重大)�,12個二級安全事件(嚴重)�����,25個三級安全事件和40個四級安全事件;2012年1月-10月期間有1個一級安全事件(重大),2個二級安全事件(嚴重)��,10個三級安全事件和16個四級安全事件。如圖6所示���。信息安全事件數量分析結果表明實施本信息安全架構后安全控制措施的全面性和有效性有較為明顯增強。
3.5 魚叉式網絡釣魚模擬攻擊測試結果分析
模擬釣魚攻擊測試是對企業員工整體信息安全意識水平一種比較客觀的考核方式。收到攻擊(點擊鏈接)的人數越少���,表明整體信息安全水平越高���。該保險公司采用ThreatSim的模擬攻擊測試平臺�,在實施本信息安全架構前后分別選取了5個分支機構(共200人)進行了模擬攻擊測試�����。測試的主要方法是注冊一個與該保險公司類似的網絡域名�����,然后偽造一份看似從信息安全管理員發出的E-mail���,此E-mail的大致內容是說該保險公司于近期對相關系統進行了升級,將會影響到原有的帳戶和密碼,要求終端用戶盡快修改密碼。此E-mail包含一個鏈接到修改密碼的偽網頁���。
2011年5月測試結果顯示有47%的員工點擊了有害鏈接����,點擊有害鏈接的員工中有18%的人輸入了密碼��,點擊有害鏈接的員工中有68%的人完成了在線培訓內容;2012年5月測試結果顯示有14%的員工點擊了有害鏈接,點擊有害鏈接的員工中有3%的人輸入了密碼�����,點擊有害鏈接的員工中有98%的人完成了在線培訓內容�����。如圖7所示����。模擬攻擊測試分析結果表明實施本信息安全架構后該保險公司員工整體信息安全意識水平有較為明顯進步。
3.6 信息安全服務客戶滿意度調查結果分析
客戶滿意度調查是從被服務客戶的角度來衡量信息安全團隊的服務能力��,以及給公司帶來的實際價值。滿意度百分比值越高����,表明信息安全團隊的能力和服務價值越被認可�。該保險公司在實施本信息安全架構前后分別對精算部����、個人保險部、商業保險部����、索償部��、渠道與銷售部做了信息安全服務滿意度調查。
2011年8月調查結果顯示對服務專業質量的滿意度為72%,對服務請求響應速度的滿意度為46%���,對服務態度的滿意度為67%,整體滿意度為60%;2012年8月調查結果顯示對服務專業質量的滿意度為95%����,對服務請求響應速度的滿意度為85%��,對服務態度的滿意度為92%�,整體滿意度為88%;如圖7所示�?�?蛻魸M意度分析結果表明實施本信息安全架構后企業各部門對信息安全服務價值的認可度有較為明顯提升。
4 結束語
現階段信息安全管理著重在信息安全的風險控制����,隨著信息安全管理角色的轉變�����,信息安全需要跟多的與組織戰略結合�,為組織創造更多的價值�����,并通過提供信息安全服務使組織內部各部門享受到信息安全給組織帶來的價值并認可這些價值��。當前被廣泛采用的一些標準和最佳實踐有其優點�����,但同時無法滿足一些新的挑戰����。目前缺乏一種高效可執行的信息安全架構來將企業戰略轉化為信息安全計劃���、基于客戶服務理念使信息安全服務價值最大化以及全面系統化管理信息安全��。本文針對上述問題提出的一種面向企業戰略和服務的信息安全架構�。通過將本信息安全架構應用到實際的企業中����,驗證了本信息安全架構能夠為企業提供更多的價值�、增強客戶滿意度��、提升整體安全成熟度和員工信息安全意識水平�。
參考文獻
[1] International Organization for Standardization, International Electrotechnical Commission. ISO/IEC 27001:2005 Information Technology - Security Techniques - Information Security Management Systems - Requirements. Switzerland: ISO copyright office���, 2005.
[2] IT Governance Institute. Control Objectives for Information and related Technology 4.1,USA: IT Governance Institute, 2007.
[3] National Institute of Standards and Technology���, U.S. Department of Commerce. NIST Special Publication 800 series.
[4] PCI Security Standards Council LLC. PCI DSS Requirements and Security Assessment Procedures�����, Version 2.0. 2010.
[5] National Security Agency Information Assurance.
[6] Solutions Technical Directors. Information Assurance Technical Framework (IATF) version3.0. 2010.
[7] IT Governance Institute. Control Objectives for Information and related Technology 5.0,USA: IT Governance Institute, 2012.
[8] Sharon Taylor�����, Majid Iqbal��, Michael Nieves, 等. Information Technology Infrastructure Library ���, England: Office of Government Commerce, ITIL Press Office�, 2007.
[9] Federal Financial Institutions Examination Council. IT Examination Handbook�����, information security Booklet. USA: FFIEC�����, 2006
[10] The Open Group's Architecture Forum. The Open Group Architecture Framework version 9.1, 2012.
[11] Howard Rohm. Using the Balanced Scorecard to Align Your Organization. Balanced Scorecard Institute���, a Strategy Management Group company����, 2008.
[12] Software Engineering Institute��, Carnegie Mellon University. Capability Maturity Model Integration (CMMI) Version 1.3. USA: Carnegie Mellon University, 2010.
[13] STRATUM SECURITY. Proactive Phishing Defense. 2012.
作者簡介:
第6篇
企業經營信息對于企業來說是一種資源����,對于企業自身來說具有重要意義,企業需要妥善管理自身企業的信息��。近年來��,企業的各項經營活動都逐漸開始通過計算機�����,網絡開展�,因此����,企業的信息安全管理對于企業越來越重要��。許多企業開始通過各種技術手段以及制度改革,把更多的注意力放在企業內部的信息安全管理工作����,同時將企業信息安全管理與風險控制結合起來,這是一個正確的選擇��,能夠幫助企業實現穩定經營���。在介紹企業信息安全管理以及風險控制前必須厘清企業信息安全管理的概念與企業風險控制定義,因此��,本節將著重介紹企業信息安全管理的概念以及企業風險控制的定義。
企業的信息安全管理包含十分豐富的內容����,簡單來說是指企業通過各種手段來保護企業硬件和軟件����,保護網絡存儲中的各種數據不受偶然因素的破壞或者惡意的原因被攻擊��。對于信息安全的認定通過包括4個指標,即保證信息數據的完整�,保證信息數據不被泄露��,保證信息數據能夠正常使用,保證信息數據能夠控制管理。要想做好企業的信息安全管理���,首先需要了解的是關于信息的傳輸方式。隨著信息技術的不斷普及��,信息傳遞的方式越來越多���,常見的信息傳遞方式主要有互聯網傳播����,局域網傳播,硬件傳播等等�。要想實現企業的信息安全管理�����,其中很重要的一項工作在于保護信源、信號以及信息��。信息安全管理是一項需要綜合學科知識基礎的工作,從事企業信息安全管理工作的人員通過需要具有網絡安全技術、計算機技術����、密碼技術��、通信技術�。從企業的信息安全管理來講,最為關鍵的一項工作時保護企業內部經營信息數據的完整�。經過近十年來的企業信息安全管理工作經驗總結��,企業信息安全不僅僅需要信息技術的支持�,更需要通過建立完善的企業風險控制體系來幫助企業實現更好地保護企業信息安全的目標����。
所以���,怎樣把企業信息安全管理與風險控制融合起來就是擺在企業經營管理者面前的一道難題��。企業的信息安全風險控制必須通過企業建立完善的企業信息安全風險體系實現��。企業的信息安全風險控制是指企業在企業信息安全遭遇威脅之前�,提前對企業的信息進行風險預估,并采取一系列的有針對性的活動降低企業面臨的信息安全風險����,從而盡可能減少因為企業本身信息安全管理中存在漏洞給企業帶來不必要的損失�。常見的企業信息安全風險體系建立主要包含以下幾個方面的內容���。第一����,建立企業信息安全風險管理制度��,明確企業信息安全管理的責任分配機制���,明確企業各個部門對各自信息安全所應承擔的責任�,并建立相應的問責機制����。第二��,設置規范的企業信息安全風險管理指標,對企業存在的可能威脅企業信息安全管理的漏洞予以風險定級����,方便企業管理者對不同的信息安全管理漏洞采取有區別的對策��。第三,企業要加強對信息安全管理人員的培訓���,提高企業信息安全管理工作人員的風險意識,讓企業內部從事信息安全管理工作人員認識到自身工作的重要性���,讓企業內部從事信息安全管理工作人員了解到規范自身行為��,正確履行職責的重要性�����。第四�,將企業信息安全管理與風險控制有效融合�����,重視企業信息安全管理工作,通過風險控制對企業內部信息安全的管理方式進行正確評估���,找出現行的企業內部信息安全管理手段中存在容易忽視的地方���。
二��、企業信息安全管理與風險控制存在的不足
1.企業信息安全管理工作人員素質不高
對于企業來說,企業信息安全管理工作是一項極為重要而隱秘的工作����,因此�����,必須增強對企業信息安全管理工作人員的素質要求��。但是根據調查統計���,目前很多企業對信息安全工作的管理僅僅停留在對企業信息安全管理工作人員的技術要求上����,對企業信息安全管理工作人員的道德素養���,職業素養�,風險意識并沒有嚴格要求。此外�����,絕大多數企業并沒有意識開展對企業信息安全管理工作的道德素質的教育培訓�����,并沒有通過建立相關管理制度以及問責機制對企業信息安全管理工作人員實行監督�,這無疑給別有用心或者立場不堅定的企業信息安全管理工作人員留下了危害企業信息安全的可乘之機���。
2.企業信息安全管理技術不過關
企業信息安全管理工作涉及多許多技術���,包括信息技術���,計算機技術��,密碼技術,網絡應用技術等等�����,應當說成熟的計算機應用技術是做好企業信息安全管理的基礎,但是����,現實是許多企業的信息安全管理技術并不過關���,一方面企業的信息安全管理硬件并不過關��,在物理層面對企業信息缺乏保護,另一方面��,企業信息安全管理工作的專業技術沒有及時更新,一些企業信息安全管理工作人員缺乏企業信息安全管理的實踐經驗�����,企業信息安全管理的知識也并沒有及時更新�����,從而導致企業的信息安全管理理論嚴重滯后���,這種技術的落后很容易讓企業成為不法分子的攻擊對象。近年來網絡病毒的傳播越來越猖狂�,很多服務器���、系統提示安全補丁的下載更新以及客戶端的時常更新成為一個惱人的問題�����。作為一個行業中的大中型企業��,企業內部設備數量比較多,尤其是客戶端數量占了較大比重����,僅僅靠少數幾個管理員進行管理是難以承擔如此大量的工作量�����。另外�,企業信息安全管理系統不成熟也是一個重大的隱患。
3.企業信息安全管理制度不健全
企業信息安全管理制度不僅僅需要理論制度的完善���,更加需要一系列配套監督機制保障企業信息安全管理的有效執行。通過調查分析,許多企業雖然建立了企業信息安全管理制度�����,但是通常情況下����,這些制度只能流于形式,企業信息安全管理工作缺少有效的制約和監督���,企業信息安全管理工作人員缺乏執行力�����。企業信息安全管理制度不健全�����,企業信息安全管理工作缺乏執行力常常體現在以下幾個方面。第一�����,企業員工對于信息安全管理的認識嚴重不足��,對企業信息安全管理工作不重視���。企業內部計算機系統安全的計算機防病毒軟件并沒有及時更新��,使用��,甚至企業內部計算機的防病毒軟件還被企業員工卸載了。部分企業員工認為自己的工作與企業信息安全管理不相關���,認為做好企業信息安全管理工作僅僅是企業信息安全部門的事�。第二�����,企業內部信息安全管理制度并沒有形成聯動機制����,企業信息安全管理工作僅僅由企業信息安全部門“一人包干”��,企業信息安全反映的問題并沒有得到積極的反饋,一些企業領導對企業信息安全現狀所了解的少之又少�。
三�、企業信息安全管理常見的技術手段
1.OSI安全體系結構
OSI概念化的安全體系結構是一個多層次的結構�����,它的設計初衷是面向客戶的����,提供給客戶各種安全應用����,安全應用必須依靠安全服務來實現,而安全服務又是由各種安全機制來保障的����。所以��,安全服務標志著一個安全系統的抗風險的能力,安全服務數量越多��,系統就越安全���。
2.P2DR模型
P2DR模型包含四個部分:響應、安全策略�����、檢測、防護�����。安全策略是信息安全的重點,為安全管理提供管理途徑和保障手段�。因此��,要想實施動態網絡安全循環過程��,必須制定一個企業的安全模式。在安全策略的指導下實施所有的檢測�、防護���、響應���,防護通常是通過采用一些傳統的靜態安全技術或者方法來突破的���,比如有防火墻�、訪問控制��、加密、認證等方法�,檢測是動態響應的判斷依據�,同時也是有力落實安全策略的實施工具���,通過監視來自網絡的入侵行為���,可以檢測出騷擾行為或錯誤程序導致的網絡不安全因素�;經過不斷地監測網絡和系統來發現新的隱患和弱點��。在安全系統中����,應急響應占有重要的地位��,它是解決危險潛在性的最有效的辦法��。
3.HTP模型
HTP最為強調企業信息安全管理工作人員在整個系統中的價值�。企業信息安全工作人員企業信息安全最為關鍵的參與者�����,企業信息安全工作人員直接主導企業信息安全管理工作��,企業信息安全工作人員不僅僅是企業信息安全的保障者,也是企業信息安全管理的威脅者。因此�,HTP模型最為強調對企業信息安全管理工作人員的管理與監督�。另外�����,HTP模式同樣是建立在企業信心安全體系���,信息安全技術防范的基礎上,HTP模式采取了豐富的安全技術手段確保企業的信息安全����。最后��,HTP強調動態管理�����,動態監督��,對于企業信息安全管理工作始終保持高強度的監督與管理��,在實際工作中��,通過HTP模型的應用�����,找出HTP模型中的漏洞并不斷完善。
四�、完善企業信息安全管理與降低風險的建議
1.建設企業信息安全管理系統
(1)充分調查和分析企業的安全系統�����,建立一個全面合理的系統模型,安全系統被劃分成各個子系統����,明確實施步驟和功能摸塊,將企業常規管理工作和安全管理聯動協議相融合�,實現信息安全監控的有效性和高效性��。
(2)成立一個中央數據庫�,整合分布式數據庫里的數據����,把企業的所有數據上傳到中央數據庫�,實現企業數據信息的集中管理與有效運用��。
(3)設計優良的人機界面,通過對企業數據信息進行有效的運用����,為企業管理階層人員��、各級領導及時提供各種信息,為企業領導的正確決策提供數據支持��,根本上提高信息數據的管理水平。
(4)簡化企業內部的信息傳輸通道�,對應用程序和數據庫進行程序化設計���,加強對提高企業內部信息處理的規范性和準確性����。
2.設計企業信息安全管理風險體系
(1)確定信息安全風險評估的目標
在企業信息安全管理風險體系的設計過程中,首要工作是設計企業信息安全風險評估的目標��,只有明確了企業信息安全管理的目標�����,明確了企業信息安全管理的要求和工作能容�����,才能建立相關圍繞信息安全風險控制為目標的信息安全管理工作制度�����,才能順利通過對風險控制的結果的定量考核����,檢測企業信息安全管理的風險�����,定性定量地企業信息安全管理工作進行分析����,找準企業信息安全管理的工作辦法����。
(2)確定信息安全風險評估的范圍
不同企業對于風險的承受能力是有區別的�����,因此�,對于不同的企業的特殊性應該采取不同的風險控制辦法,其中��,不同企業對于能夠承受的信息安全風范圍有所不同�����,企業的信息安全風險承受范圍需要根據企業的實際能力來制定�。不僅如此���,企業的信息安全風險評估范圍也應當根據企業的實際經營情況變化采取有針對性的辦法�����。
第7篇
企業經營信息對于企業來說是一種資源,對于企業自身來說具有重要意義,企業需要妥善管理自身企業的信息���。近年來,企業的各項經營活動都逐漸開始通過計算機,網絡開展,因此,企業的信息安全管理對于企業越來越重要�����。許多企業開始通過各種技術手段以及制度改革,把更多的注意力放在企業內部的信息安全管理工作,同時將企業信息安全管理與風險控制結合起來,這是一個正確的選擇,能夠幫助企業實現穩定經營�����。在介紹企業信息安全管理以及風險控制前必須厘清企業信息安全管理的概念與企業風險控制定義,因此,本節將著重介紹企業信息安全管理的概念以及企業風險控制的定義。企業的信息安全管理包含十分豐富的內容,簡單來說是指企業通過各種手段來保護企業硬件和軟件,保護網絡存儲中的各種數據不受偶然因素的破壞或者惡意的原因被攻擊�。對于信息安全的認定通過包括4個指標,即保證信息數據的完整,保證信息數據不被泄露,保證信息數據能夠正常使用,保證信息數據能夠控制管理��。要想做好企業的信息安全管理,首先需要了解的是關于信息的傳輸方式。隨著信息技術的不斷普及,信息傳遞的方式越來越多,常見的信息傳遞方式主要有互聯網傳播,局域網傳播,硬件傳播等等。要想實現企業的信息安全管理,其中很重要的一項工作在于保護信源����、信號以及信息�。
信息安全管理是一項需要綜合學科知識基礎的工作,從事企業信息安全管理工作的人員通過需要具有網絡安全技術���、計算機技術����、密碼技術����、通信技術。從企業的信息安全管理來講,最為關鍵的一項工作時保護企業內部經營信息數據的完整�。經過近十年來的企業信息安全管理工作經驗總結,企業信息安全不僅僅需要信息技術的支持,更需要通過建立完善的企業風險控制體系來幫助企業實現更好地保護企業信息安全的目標。所以,怎樣把企業信息安全管理與風險控制融合起來就是擺在企業經營管理者面前的一道難題�����。企業的信息安全風險控制必須通過企業建立完善的企業信息安全風險體系實現����。
企業的信息安全風險控制是指企業在企業信息安全遭遇威脅之前,提前對企業的信息進行風險預估,并采取一系列的有針對性的活動降低企業面臨的信息安全風險,從而盡可能減少因為企業本身信息安全管理中存在漏洞給企業帶來不必要的損失。常見的企業信息安全風險體系建立主要包含以下幾個方面的內容����。第一,建立企業信息安全風險管理制度,明確企業信息安全管理的責任分配機制,明確企業各個部門對各自信息安全所應承擔的責任,并建立相應的問責機制。第二,設置規范的企業信息安全風險管理指標,對企業存在的可能威脅企業信息安全管理的漏洞予以風險定級,方便企業管理者對不同的信息安全管理漏洞采取有區別的對策���。第三,企業要加強對信息安全管理人員的培訓,提高企業信息安全管理工作人員的風險意識,讓企業內部從事信息安全管理工作人員認識到自身工作的重要性,讓企業內部從事信息安全管理工作人員了解到規范自身行為,正確履行職責的重要性���。第四,將企業信息安全管理與風險控制有效融合,重視企業信息安全管理工作,通過風險控制對企業內部信息安全的管理方式進行正確評估,找出現行的企業內部信息安全管理手段中存在容易忽視的地方。
二�、企業信息安全管理與風險控制存在的不足
1.企業信息安全管理工作人員素質不高
對于企業來說,企業信息安全管理工作是一項極為重要而隱秘的工作,因此,必須增強對企業信息安全管理工作人員的素質要求����。但是根據調查統計,目前很多企業對信息安全工作的管理僅僅停留在對企業信息安全管理工作人員的技術要求上,對企業信息安全管理工作人員的道德素養,職業素養,風險意識并沒有嚴格要求�。此外,絕大多數企業并沒有意識開展對企業信息安全管理工作的道德素質的教育培訓,并沒有通過建立相關管理制度以及問責機制對企業信息安全管理工作人員實行監督,這無疑給別有用心或者立場不堅定的企業信息安全管理工作人員留下了危害企業信息安全的可乘之機����。
2.企業信息安全管理技術不過關
企業信息安全管理工作涉及多許多技術,包括信息技術,計算機技術,密碼技術,網絡應用技術等等,應當說成熟的計算機應用技術是做好企業信息安全管理的基礎,但是,現實是許多企業的信息安全管理技術并不過關,一方面企業的信息安全管理硬件并不過關,在物理層面對企業信息缺乏保護,另一方面,企業信息安全管理工作的專業技術沒有及時更新,一些企業信息安全管理工作人員缺乏企業信息安全管理的實踐經驗,企業信息安全管理的知識也并沒有及時更新,從而導致企業的信息安全管理理論嚴重滯后,這種技術的落后很容易讓企業成為不法分子的攻擊對象�。近年來網絡病毒的傳播越來越猖狂,很多服務器���、系統提示安全補丁的下載更新以及客戶端的時常更新成為一個惱人的問題��。作為一個行業中的大中型企業,企業內部設備數量比較多,尤其是客戶端數量占了較大比重,僅僅靠少數幾個管理員進行管理是難以承擔如此大量的工作量。另外,企業信息安全管理系統不成熟也是一個重大的隱患����。
3.企業信息安全管理制度不健全
企業信息安全管理制度不僅僅需要理論制度的完善,更加需要一系列配套監督機制保障企業信息安全管理的有效執行����。通過調查分析,許多企業雖然建立了企業信息安全管理制度,但是通常情況下,這些制度只能流于形式,企業信息安全管理工作缺少有效的制約和監督,企業信息安全管理工作人員缺乏執行力��。企業信息安全管理制度不健全,企業信息安全管理工作缺乏執行力常常體現在以下幾個方面��。第一,企業員工對于信息安全管理的認識嚴重不足,對企業信息安全管理工作不重視。企業內部計算機系統安全的計算機防病毒軟件并沒有及時更新,使用,甚至企業內部計算機的防病毒軟件還被企業員工卸載了���。部分企業員工認為自己的工作與企業信息安全管理不相關,認為做好企業信息安全管理工作僅僅是企業信息安全部門的事�����。第二,企業內部信息安全文秘站:管理制度并沒有形成聯動機制,企業信息安全管理工作僅僅由企業信息安全部門“一人包干”,企業信息安全反映的問題并沒有得到積極的反饋,一些企業領導對企業信息安全現狀所了解的少之又少�����。
三、企業信息安全管理常見的技術手段 1.OSI安全體系結構
OSI概念化的安全體系結構是一個多層次的結構,它的設計初衷是面向客戶的,提供給客戶各種安全應用,安全應用必須依靠安全服務來實現,而安全服務又是由各種安全機制來保障的��。所以,安全服務標志著一個安全系統的抗風險的能力,安全服務數量越多,系統就越安全。
2.P2DR模型
P2DR模型包含四個部分:響應、安全策略����、檢測���、防護����。安全策略是信息安全的重點,為安全管理提供管理途徑和保障手段。因此,要想實施動態網絡安全循環過程,必須制定一個企業的安全模式��。在安全策略的指導下實施所有的檢測�、防護�、響應,防護通常是通過采用一些傳統的靜態安全技術或者方法來突破的,比如有防火墻�����、訪問控制�����、加密�、認證等方法,檢測是動態響應的判斷依據,同時也是有力落實安全策略的實施工具,通過監視來自網絡的入侵行為,可以檢測出騷擾行為或錯誤程序導致的網絡不安全因素;經過不斷地監測網絡和系統來發現新的隱患和弱點����。在安全系統中,應急響應占有重要的地位,它是解決危險潛在性的最有效的辦法�。
3.HTP模型
HTP最為強調企業信息安全管理工作人員在整個系統中的價值�����。企業信息安全工作人員企業信息安全最為關鍵的參與者,企業信息安全工作人員直接主導企業信息安全管理工作,企業信息安全工作人員不僅僅是企業信息安全的保障者,也是企業信息安全管理的威脅者。因此,HTP模型最為強調對企業信息安全管理工作人員的管理與監督��。另外,HTP模式同樣是建立在企業信心安全體系,信息安全技術防范的基礎上,HTP模式采取了豐富的安全技術手段確保企業的信息安全�����。最后,HTP強調動態管理,動態監督,對于企業信息安全管理工作始終保持高強度的監督與管理,在實際工作中,通過HTP模型的應用,找出HTP模型中的漏洞并不斷完善��。
四、完善企業信息安全管理與降低風險的建議
1.建設企業信息安全管理系統
(1)充分調查和分析企業的安全系統,建立一個全面合理的系統模型,安全系統被劃分成各個子系統,明確實施步驟和功能摸塊,將企業常規管理工作和安全管理聯動協議相融合,實現信息安全監控的有效性和高效性�����。
(2)成立一個中央數據庫,整合分布式數據庫里的數據,把企業的所有數據上傳到中央數據庫,實現企業數據信息的集中管理與有效運用�。
(3)設計優良的人機界面,通過對企業數據信息進行有效的運用,為企業管理階層人員、各級領導及時提供各種信息,為企業領導的正確決策提供數據支持,根本上提高信息數據的管理水平�����。
(4)簡化企業內部的信息傳輸通道,對應用程序和數據庫進行程序化設計,加強對提高企業內部信息處理的規范性和準確性�����。
2.設計企業信息安全管理風險體系
(1)確定信息安全風險評估的目標
在企業信息安全管理風險體系的設計過程中,首要工作是設計企業信息安全風險評估的目標,只有明確了企業信息安全管理的目標,明確了企業信息安全管理的要求和工作能容,才能建立相關圍繞信息安全風險控制為目標的信息安全管理工作制度,才能順利通過對風險控制的結果的定量考核,檢測企業信息安全管理的風險,定性定量地企業信息安全管理工作進行分析,找準企業信息安全管理的工作辦法。
(2)確定信息安全風險評估的范圍
不同企業對于風險的承受能力是有區別的,因此,對于不同的企業的特殊性應該采取不同的風險控制辦法,其中,不同企業對于能夠承受的信息安全風范圍有所不同,企業的信息安全風險承受范圍需要根據企業的實際能力來制定����。不僅如此,企業的信息安全風險評估范圍也應當根據企業的實際經營情況變化采取有針對性的辦法。
