前言:中文期刊网精心挑选了信息安全方针和策略范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
信息安全方针和策略范文1
长期以来,中国大多数企业的信息安全建设遵循“木桶理论”,但实践证明,在企业信息安全领域应用木桶理论仍存在一定缺陷,很难实现“标本兼治”。企业信息安全应从安全策略、安全管理体系、安全技术体系和安全运维体系四个方面建设一个完善的信息安全体系对企业的信息资源提供全方位的安全防护。整个安全体系以安全策略为核心,管理、技术、运维三者有机结合,又相互支撑。三者之间的关系为“根据管理体系中的策略,由相关组织或人员,利用技术体系作为工具和手段,进行操作来维持运行体系”。在建立信息安全体系的过程中,可采用ISO27001:2005所述的“过程方法”,即将“规划(Plan)-实施(Do)-检查(Check)-处置(Act)”(PDCA)四个步骤。
2安全策略
信息安全策略研究就是依据国家信息安全的方针政策、法律法规和工作要求,结合企业实际情况和管理要求,制订企业信息安全防护的建设方针和基本要求,对信息安全管理体系、技术体系和运维体系中的各种安全控制措施和机制的部署提出目标和原则,是信息化“建、管、用”各项工作和各个环节必须遵守的安全规则,也是针对每个系统和设备制订分项安全策略的依据。
3安全管理
信息安全管理可参照信息安全管理模型,按照先进的信息安全管理标准ISO17799标准建立组织完整的安全管理体系并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式。管理体系架构可分为四层,最高层为企业信息安全总体策略,为下面的各项分策略和具体的规章制度提供指导。第二层为企业信息安全组织体系,作用在于指导实施安全体系,制定安全的相关标准和方针,监管安全事件等。组织体系须设立专门的管理机构,配备相应的安全管理人员,明确主管领导,落实部门责任,各尽其职。第三层为根据总策略,对信息安全涉及的各方面制定有针对性的分项策略,为安全的具体实施提供管理和技术上的指导。第四层为具体的安全管理制度。
4安全技术
信息安全方针和策略范文2
铁路信息安全建设和运行必须结合铁路信息化实际情况,从管理和技术两个层面综合保证铁路信息系统的运行操作安全,保障铁路信息系统及其安全基础设施的运行安全,并最终保障铁路运输业务及运输服务的安全。铁路信息安全保障体系结构见图1。管理和技术是铁路信息安全保障体系的两个要素,是保证铁路信息系统及其所支撑的铁路运输业务和服务安全建设和运行的必要条件。在这两个安全要素中,管理是核心,是基础,它影响和决定技术的选择以及技术标准规范;反过来,技术也会影响到信息安全管理方式和管理制度的具体形式,降低管理成本。在安全管理层面中,国家和铁路行业的信息安全方针政策法规是铁路信息安全建设和安全运维的管理基础;铁路信息安全管理制度是信息安全方针政策法规在铁路信息安全日常工作中的具体要求体现;铁路信息安全组织保障是落实铁路信息安全方针政策法规、执行铁路信息安全管理制度的岗位职责基础和人员保障;信息安全意识培养、培训和教育是铁路信息安全方针政策法规和铁路信息安全管理制度得以高效、准确地落实和执行的保证。管理安全保证不仅通过方针政策法规、组织保障、管理制度、意识培养培训教育等形式直接对铁路业务提供安全支持和保障外,还通过对信息安全技术的影响间接地保护铁路业务安全。铁路信息安全方针政策法规和管理制度等因素是制定铁路信息安全技术标准和规范的重要基础,同时,它们也会对信息安全方案的设计、产品选择和采购方式产生不同程度的影响。在安全管理控制下,只有具备安全资质的业务人员才可以在已经获得认证认可的技术手段支持下,执行规定的操作流程;铁路信息系统操作流程安全包括铁路信息系统的建设、运维和灾备恢复等活动的流程和操作安全,它旨在保证铁路信息系统及其安全基础设施在安全生命周期中各主要阶段的过程安全。铁路信息系统由铁路外部服务网、内部服务网、安全生产网以及若干生产专网组成,铁路的各种应用业务都直接运行在这些系统之上,为了更好地支撑这些业务系统的安全运行,支持铁路统一的安全管理,在铁路信息系统中还包括灾备中心、数字证书系统、集中管理及认证授权中心等安全基础设施系统或安全平台,这些安全基础设施及其所服务的铁路应用业务系统的运行安全是铁路运输业务及服务正常安全运行的环境保障。
2安全保障体系要素
在铁路信息系统中,无论是系统的建设、运行、灾难恢复、事件处置等活动,还是其支撑的运输业务和服务等系统目标,都离不开管理和技术两个安全要素的综合保证,其中管理是核心,在安全管理措施的控制下,只有具备安全资质的业务人员才可以在已经获得认证认可的技术手段支持下,执行规定的操作流程。
2.1铁路信息安全管理体系
铁路信息安全管理体系必须以国家信息安全相关法规、政策和标准以及铁路相关法规政策为基础和依据。按照GB/T22239—2008《信息安全技术信息系统安全等级保护基本要求》、GB/T22080—2008《信息技术安全技术信息安全管理体系要求》和GB/T22081—2008《信息技术安全技术信息安全管理实用规则》等国家标准和指南,结合我国铁路实际情况,将铁路信息安全管理体系划分为11个安全控制类别,其中包括信息安全政策、信息安全组织、资产业务、信息安全环境、设备使用、通信网络、配置授权、安全事件处置、安全运维、安全合规和灾备恢复等管理内容;在11个安全控制类别的基础上,建立铁路信息安全管理制度框架,如铁路信息资产管理制度、互联网访问管理制度、人员安全培训制度、机房管理制度、产品准入制度、系统运维制度、安全事件处理流程规定、介质管理制度、电子邮件使用管理规定、铁路软件开发管理流程规定等(见图2)。
2.2铁路信息安全技术框架
铁路信息安全技术框架是铁路信息安全保障体系的重要组成内容,主要包括安全管理、身份管理、授权管理、灾备管理、监控审计、可信保证等技术机制(见图3)。管理安全是统领铁路信息安全保障的纲领,纲举才能目张,构建一个全路信息系统可视化管理平台,以便对网络、计算机设备、应用系统部署、操作用户及角色、运维状态等关键信息进行全局的监控,提高对系统中安全问题及其隐患的发现、分析和防范能力。由全路统一身份管理平台、授权管理机制和责任认定构成的铁路网络信任管理体系是保障铁路信息安全可信和安全的前提。全路灾难备份和恢复策略管理是铁路信息系统可信、安全和业务可持续性的后盾。以密码技术为基础的可信计算技术为软硬件资源的安全和隔离提供了结构化保证,为计算环境的可信可靠(完整性)提供了有效的判别手段,为关键数据提供了可信安全存储,为分布式计算的安全机制一致性和网络接入控制提供了远程可信证明方法。可信计算技术是构建铁路信息安全保障体系的基础支撑。
2.3铁路信息安全的组织保证
铁路信息系统安全应该在组织上加以保证。在具体组织形式上应该由中国铁路总公司(简称总公司)主管领导和部门具体负责铁路信息安全的领导和组织工作,由相关专业职能部门分工协作,在铁路信息化的整体工作布局中设置专门机构和岗位、明确相关职责、配备信息安全专业技术和管理人员,确保信息安全管理制度的有效落实和信息安全技术机制的可操作性。铁路信息安全组织保证框架见图4。总公司信息安全主管部门应该包括以下职能机构:法规政策标准管理机构负责制定铁路信息安全相关法规、政策、标准和规范,并负责铁路业务应用密码的管理工作;安全建设运维管理机构根据铁路信息安全相关法规、政策、标准和规范,参与铁路信息系统及其安全基础设施的设计、开发和运维审核和监管工作;信息安全风险管理机构负责对进入铁路信息系统的相关产品进行测评认证,对运行系统进行安全监控,负责信息系统的安全风险管理工作;安全事件处置管理机构负责对系统紧急事件进行处理,对舆情进行综合分析,并根据事件性质和处理结果对事件进行通报;安全保密培训服务中心负责全路的信息安全法律法规、政策标准、安全意识和安全技能的培训提高工作,负责组织安排和协调社会力量以及高校等培训机构具体实施常态化信息安全培训工作;安全灾备恢复管理机构负责重要信息系统的运行和数据备份实施工作,并在系统出现严重故障后,迅速协调相关部门恢复服务或业务数据,保障关键业务服务的运行连续性。各铁路局(公司)应该参照总公司信息安全管理组织结构,设置相关部门或相关专职岗位,并有铁路局(公司)领导具体分管信息安全工作。铁路局(公司)信息安全工作应该在总公司统一组织、协调和安排下开展具体工作。
2.4铁路信息系统安全基础设施
铁路信息系统必须依赖于铁路网络与信息安全基础设施作为其安全支撑基础。铁路网络与信息安全基础设施不仅可以落实铁路集中统一安全管理的要求,提高铁路信息系统的安全水平,还能有效降低铁路信息安全的建设和运维成本。铁路信息安全基础设施包括铁路信息系统灾备恢复中心、铁路业务应用密码管理中心、数字证书系统、集中安全管理及认证授权中心、安全监控中心、安全隔离平台、信息安全培训平台以及铁路网络舆情分析系统(见图5)。铁路信息系统灾备恢复中心可以将由于系统重大故障或破坏带来的业务中断降低到最小程度,提高铁路的服务水平;铁路业务应用密码管理中心是保护铁路重要数据安全和业务安全的基础保证,同时它也是全路统一信任体系的技术基础;铁路数字证书系统可以在全路范围内建立统一的身份认证体系,提高铁路的信息安全集中管理能力,降低安全管理成本;铁路集中管理及认证授权中心通过全路集中的信息安全平台实现高效、统一的安全管理,保证安全策略的快速一致化部署;铁路信息系统安全监控中心可以对铁路信息系统的安全运行状态进行监控,掌握铁路信息系统的运行态势,从而实现在铁路信息系统中防患于未然,有效降低系统安全风险;铁路安全隔离平台是隔离铁路内部服务网和外部服务网的安全措施,它保证了铁路安全生产网络的正常运行;铁路信息安全培训平台对保证提高铁路员工的信息安全意识、培养安全素养极为重要,是人员安全的必要保证;铁路网络舆情分析系统对铁路了解社会评价、改善铁路社会化服务水平、提高铁路形象至为关键。
2.5铁路信息安全意识培养、培训和教育管理
要搞好铁路信息系统的信息安全管理,离不开相关人员的安全意识培养、技能培训和专业教育。铁路信息安全意识培养、培训和教育分别针对不同层次和专业的人员而设。信息安全意识培养通过对信息安全术语、议题和基本概念的宣传、宣导,吸引一般人群对信息安全的关注,帮助人们了解信息安全所关注的问题,并能因此产生正确的响应;信息安全培训让信息系统相关人员获得相关的技能和必备的资质,使其在信息安全管理、设计、开发、建设、运维、操作、评估和使用等方面满足与信息安全相关的岗位职能要求,培训可以分为初级、中级和高级等多个层次;信息安全教育则从信息安全专业理论、技术、经验等方面培养信息安全专家,与信息安全培训一样,这种信息安全教育也应分为初级、中级和高级等多个层次。为降低信息安全意识培养、培训和教育的管理和运作成本,铁路信息安全资质认证也可以和国家其他部门的资质认证机构合作,对一些可信度高、有较高权威的信息安全资质证书采取等同认可方法。铁路信息安全意识培养、培训和教育管理框架见图6。铁路信息安全意识培养、培训和教育管理可分为两方面:一方面是针对全部相关人员的信息安全意识培养。安全意识培养是一个长期的宣传和贯导工作,可以通过制度奖惩、危机教育、标语口号等方式建立普遍的信息安全概念,推广信息安全文化;另一方面是针对岗位定义不同的信息安全资质要求,并这对这些资质要求建立相对应的信息安全技能和专业培训、教育,为了满足这些资质培训教育工作,总公司必须建立相关的培训和认证机制,设置相关的机构。
2.6系统流程及操作安全保证
系统流程和操作安全是指铁路信息安全建设、运维和灾备恢复等活动的流程和操作安全,它旨在保证铁路信息系统及其安全基础设施在安全生命周期中主要阶段的过程安全。在铁路信息安全建设和运行过程中,要制定并依托相关的铁路网络与信息安全管理制度、技术标准规范和组织部门机构,对系统的安全设计、产品测评准入、安全工程等过程进行安全管控,从根本上杜绝系统在结构上的安全缺陷、严防不合规的产品进入系统、保证系统建设施工的安全规范;在铁路信息系统的日常运行过程中,也必须建立系统风险监控、评估和控制的管理和技术体系,通过专业专职的机构和部门,对系统的安全状态进行实时监控、对系统安全风险进行定期或不定期的评估;对安全事件进行预案规划、演练和应急处置,避免重大安全事件的发生;对系统服务或重要数据实施安全灾备,最大程度地减少系统故障带来的铁路运输业务和服务中断时间,减小风险后果。铁路信息安全建设、运维和灾备恢复流程见图7。
3结束语
信息安全方针和策略范文3
关键词:信息安全;管理体系;PKI/CA;MPLSVPN;基线
在供电企业现代信息技术广泛运用生产经营、综合管理之中,实现资源和信息共享,为领导提供相关辅助决策。保障企业信息安全是企业领导层、专业人员及企业全员共同面对的。信息安全是集管理、人员、设备、技术为一体系统工程,木桶原理可以很好地诠释信息安全,一个企业安全不取决于最强项,而取决最短板。信息安全需从制度建设、体系架构、一体化防控体系、人员意识、专业人员技术水平等多方面共同建设,才能有效提高企业信息安全,才能为企业生产、经营保驾护航。
1基层供电信息安全现状
基层供电企业信息安全建设方面,在制度建设、安全分区、网络架构、一体化防护、人员意识、专业人员技术水平等多方面存在不同程度问题。
1.1管理制度不健全,制度多重化
信息安全制度建设方面较为被动,大多数都是现实之中出现某一问题,然后一个相关制度,制度修修补补。同一类问题有时出现不同管理规定里,处理办法不一,甚至发生冲突。原有信息安全管理制度宽泛,操作性较差。信息系统建设渠道不同,未提前进行信息安全方面考虑,管理职责不明,导致部分信息安全工作开始不顺畅。
1.2安全区域划分不明,网络架构不清晰
基层供电企业系统建设主要由上级推广系统和自建系统,系统建设时候相当部分系统未充分考虑系统,特别是业务部门自建系统更甚。网络建设需要什么就连接什么,存在服务器、终端、外联区域不明显,网络架构不清晰。
1.3未建立一体化安全防护体系
从近些年已经发生的各类信息安全事件来看,内部客户端问题造成超过将近70%。内部终端用户网络行为控制不足,存在网络带宽滥用;终端接入没有相应准入控制,不满足网络安全需求用户接入办公网络,网络环境安全构成极大风险;内部人员对核心服务器和网络设备未建立统一内部控制机制;移动介质未实施注册制管理等问题。
1.4未建立行之有效设备基线标准
网络安全设备、操作系统、数据库、中间件、应用系统等厂家为了某种方便需求,在设备和系统中常常保留有默认缺省安全配置项,这些恰恰是别人利用漏洞。基层供电企业在部署设备和系统时,没有统一基线标准,没有对设备和系统进行相应基线加固,企业存在潜在风险。1.5信息安全意识较差,技术水平参差不齐企业信息安全认识存在认识上误区,常常认为我们有较强信息安全保护设备,外部不易攻破内部,事实上堡垒常常是从内部攻破的。比如企业员工弱口令、甚至空口令、共用相同密码、木马、病毒、企业机密泄露等,这恰恰是基层供电企业全员信息安全意识较为薄弱表现。专业技术人员缺乏必要自我学习和知识主动更新,未取得专门信息安全专业人员资质,处理问题能力表现参差不齐。
2必要性
信息安全为国家安全重要组成部门,电力企业信息安全为国家信息安全的重要元素,电网安全事关国计民生。2014年2月,国家成立中央网络安全和信息化领导小组,将网络信息安全提升前所未有高度。近年发生的“棱镜门”事件,前几年发生伊朗核电站“震网”病毒(Stuxnet病毒)网络攻击,其中一个关键问题就是利用移动介质摆渡来进行攻击,造成设备瘫痪,这一系列信息安全事件都事关国家安全,因此人人都要有信息安全意识。首先要防止企业机密数据(财务、人资、投资、客户等)泄漏;其次,保持数据真实性和完整性,错误的或被篡改的不当信息可能会导致错误的决策或商业机会甚至信誉的丧失;最后,信息的可用性,防止由于人员、流程和技术服务的中断而影响业务的正常运作,业务赖以生存的关键系统如失效,不能得到及时有效恢复,会造成重大损失。建立严格的访问控制,前面数据分级时有制定数据的“所有者”及给敏感数据进行分级,按照分级的要求制定严格的访问控制策略,基本的思想是最小特权原则和权限分离原则。最少特权是给定使用者最低的只需完成其工作任务的权限;权限分离原则是将不同的工作职能分开,只给相关职能有必要让其知道的内容访问权限。通过对内部网络行为的监控可以规范内部的上网行为,提高工作效率,保护企业有限网络资源应用于主要生产经营上来。
3特点探析
通过我们对基层供电企业在信息安全存在问题及必要性来看,主要是管理制度、网络信息安全技术、人员意识等方面存在问题,有以下特点。
3.1管理制度方面
常说信息安全“三方技术、七分管理”,制度建设对信息安全保障至关重要。信息安全管理制度应该有上级主管部门建立一套统一管理制度,基层供电企业遵照执行,可以根据各单位具体情况进一步细化,让管理制度落地。从企业总体信息安全方针到具体专业制度管理上,实现全网一体化,规范化。
3.2网络信息安全技术方面
上级专业主管部门,站在企业高度,制定专业技术标准和技术细则。从网络安全分区、网络技术架构、互联网接入和访问方式、终端安全管理、网络准入控制等方面统一规划,分布实施,最终实现企业网络信息安全防控一体化。
3.3信息安全意识培养方面
企业员工信息安全意识培养是个长期的过程,不是通过一次两次培训就能解决的,采取形式多样化方式来培养员工安全意识,可以通过集中培训讲课、视频宣传、张贴宣传画等方式进行。针对专业人员,要让他们养成按照制度办事习惯,用户需要申请某项资源,严格按照制度执行,填写相应资源申请,有时候领导打招呼也要按照制度流程来执行。长此以往,人人都会知道自己该做什么,不该做什么,该怎么做,企业信息安全意识就会得到极大提高。
3.4专业技术人员水平方面
信息安全技术日新月异,不学习就落后,不断收集信息安全方面信息,共同讨论相关话题,建立相应培训机制,专业人员实行持证上岗,提升专业人员实际解决问题能力,有效提高人员专业素养,成为企业信息安全方面专家。
4实施和开展
从2009年开始,先后进行一系列信息安全建设,涉及到信息安全制度建设、网络信息安全体系架构、信息安全保障服务、人员培训等方面,整体提高基层供电企业信息安全状况。
4.1信息安全制度建设
2010年开始信息安全体系ISO27001、27002建设,结合企业情况,形成30个信息安全相关文件,涵盖企业信息安全方针、等级保护、人员管理、机房管理、网络信息系统运行维护管理、终端安全、病毒防护、介质管理、数据管理、日志管理、教育培训等诸多方面。2013年为进一步提示公司信息化管理水平,先后增加修改建设管理、实用化管理、项目管理、信息安全管理、运维管理、综合管理5个方面14个管理细则。经过这一系列制度建设,基层供电企业有章可循,全网信息安全依据统一,明确短板情况。
4.2建设一体化网络与信息安全防控
首先依据电监会5号文件要求,网络架构按照三层四区原则进行部署建设,生产实时控制大区(Ⅰ、Ⅱ区)与信息管理大区(Ⅲ、Ⅳ区)之间采用国家强制认证单向数据隔离装置进行强制隔离,网络架构采用核心、汇聚、接入部署。网络接入按照功能划分服务器区、网管区、核心交换区、用户办公区、外联区、互联网接入区,在综合数据网上,利用MPLSVPN,根据划分不同VPN业务、隔离相互间数据交叉。建立全网PKI/CA系统,构建企业员工在企业数字身份认证系统,已建成系统进行未采用PKI登陆系统,进行相应改造结合PKI/CA系统,采用PKI登陆,在建系统用户登陆必须集成PKI登陆。根据企业信息安全要求,进行互联网统一出口,部署统一互联网防控设备,建立统一上网行为管理策略,规范员工上网行为,合理使用有限互联网资源,审计员工上网日志,以备不时之需。建立企业统一病毒防护系统,实现病毒软件统一安装,病毒库自动更新,防护策略统一下发,定期统计病毒分布情况,同时作为终端接入内网必备选项,对终端病毒态势比较严重用户进行督促整改,有效防止病毒在企业内部蔓延,进一步进化内网环境。建立统一网络边界安全防护,在企业内网边界合理部署防火墙、IPS、UTM,并将其产生日志发送到统一安全管理平台,进行日志管理分析,展现企业内部信息安全态势,预警企业内部信息安全存在问题。利用AD域或PKI/CA进行用户身份认证,建设统一桌面管理,所有内网用户必须满足最基本防病毒、安全助手、IT监控要求方可接入内网,系统启用强制安全策略,终端采用采用DHCP,用户不能自动修改IP地址,在DHCP服务器上实现IP与MAC地址及人员绑定,杜绝用户私自更换IP地址引起冲突。安全认证方面可以采用NACC或交换机802.1x方式进行,不满足要求用户,自动重定向到指定网站进行安全合规性检查,满足要求后自动接入内网,强制所有用户采用统一网络安全准入规则。实行移动介质注册制,极大提高终端安全性,有效保护企业信息资产。建立内部运维控制机制,实现4A统一安全管理,认证、账号、授权、审计集中管控。规划统一服务器、网络设备资源池,按照用户需求,提交相应申请材料,授权访问特定设备和资源,并对用户访问行为全程记录审计。
5结语
信息安全方针和策略范文4
关键词:企业信息化;信息安全管理体系;信息安全保障
1 企业信息安全需求与目标
近年来随着企业信息系统建设的不断发展,企业的信息化安全也面临着前所未有的挑战。作为中国高速列车产业化制造基地和城轨地铁车辆定点制造企业,公司的发展对高速动车行业产生着举足轻重的作用;从企业信息安全现状分析,公司IT部门主管深深意识到,尽管从自身情况来看,在信息安全方面已经做了很多工作,如部署了防火墙、SSL VPN、入侵检测系统、入侵防御系统、防病毒系统、文档加密、终端安全管理系统等。但是安全系统更多的在于防堵来自某个方面的安全威胁,无法产生协同效应,距离国际同行业企业还存在一定的差距。
公司通过可行性研究及论证,决定借助外力,通过知名的咨询公司协助企业发现存在的信息安全不足点,以科研项目方式,通过研究国家安全标准体系及国家对央企和上市企业的信息化安全要求,分析企业目前的现状和国际标准ISO27001之间的差距,继而完善企业信息安全体系的规划与设计,最终建立一套适合企业现状的信息安全标准和管理体系。目标是使公司信息安全从管理到技术均得到全面加强,建立一个有责(职责)、有序(秩序)、有效(效率)的信息安全管理体系,预防信息安全事件的发生,确保更小的业务损失,提供客户满意度,获取更多的管理支持。在行业内树立标杆和示范,提升企业形象,赢取客户信任,增强竞争力。同时,使信息安全体系通过信息安全管理体系通过ISO 27001认证标准。
2 企业信息安全管理体系建设过程
凡事预则立,不预则废。对于信息安全管理建设的工作也先由计划开始。信息安全管理体系建设分为四个阶段:实施安全风险评估、规划体系建设方案、建立信息安全管理体系、体系运行及改进。也符合信息安全管理循环PDCA(Plan-Do-Check-Action)模型及ISO27001要求,即有效地保护企业信息系统的安全,确保信息安全的持续发展。本文结合作者经验,重点论述上述几个方面的内容。
2.1 确立范围
首先是确立项目范围,从机构层次及系统层次两个维度进行范围的划分。从机构层次上,可以考虑内部机构:需要覆盖公司的各个部门,其包括总部、事业部、制造本部、技术本部等;外部机构:则包括公司信息系统相连的外部机构,包括供应商、中间业务合作伙伴、及其他合作伙伴等。
从系统层次上,可按照物理环境:即支撑信息系统的场所、所处的周边环境以及场所内保障计算机系统正常运行的设施。包括机房环境、门禁、监控等;网络系统:构成信息系统网络传输环境的线路介质,设备和软件;服务器平台系统:支撑所有信息系统的服务器、网络设备、客户机及其操作系统、数据库、中间件和Web系统等软件平台系统;应用系统:支撑业务、办公和管理应用的应用系统;数据:整个信息系统中传输以及存储的数据;安全管理:包括安全策略、规章制度、人员组织、开发安全、项目安全管理和系统管理人员在日常运维过程中的安全合规、安全审计等。
2.2 安全风险评估
企业信息安全是指保障企业业务系统不被非法访问、利用和篡改,为企业员工提供安全、可信的服务,保证信息系统的可用性、完整性和保密性。
本次进行的安全评估,主要包括两方面的内容:
2.2.1 企业安全管理类的评估
通过企业的安全控制现状调查、访谈、文档研读和ISO27001的最佳实践比对,以及在行业的经验上进行“差距分析”,检查企业在安全控制层面上存在的弱点,从而为安全措施的选择提供依据。
评估内容包括ISO27001所涵盖的与信息安全管理体系相关的11个方面,包括信息安全策略、安全组织、资产分类与控制、人员安全、物理和环境安全、通信和操作管理、访问控制、系统开发与维护、安全事件管理、业务连续性管理、符合性。
2.2.2 企业安全技术类评估
基于资产安全等级的分类,通过对信息设备进行的安全扫描、安全设备的配置,检查分析现有网络设备、服务器系统、终端、网络安全架构的安全现状和存在的弱点,为安全加固提供依据。
针对企业具有代表性的关键应用进行安全评估。关键应用的评估方式采用渗透测试的方法,在应用评估中将对应用系统的威胁、弱点进行识别,分析其和应用系统的安全目标之间的差距,为后期改造提供依据。
提到安全评估,一定要有方法论。我们以ISO27001为核心,并借鉴国际常用的几种评估模型的优点,同时结合企业自身的特点,建立风险评估模型:
在风险评估模型中,主要包含信息资产、弱点、威胁和风险四个要素。每个要素有各自的属性,信息资产的属性是资产价值,弱点的属性是弱点在现有控制措施的保护下,被威胁利用的可能性以及被威胁利用后对资产带来影响的严重程度,威胁的属性是威胁发生的可能性及其危害的严重程度,风险的属性是风险级别的高低。风险评估采用定性的风险评估方法,通过分级别的方式进行赋值。
2.3 规划体系建设方案
企业信息安全问题根源分布在技术、人员和管理等多个层面,须统一规划并建立企业信息安全体系,并最终落实到管理措施和技术措施,才能确保信息安全。
规划体系建设方案是在风险评估的基础上,对企业中存在的安全风险提出安全建议,增强系统的安全性和抗攻击性。
在未来1-2年内通过信息安全体系制的建立与实施,建立安全组织,技术上进行安全审计、内外网隔离的改造、安全产品的部署,实现以流程为导向的转型。在未来的 3-5 年内,通过完善的信息安全体系和相应的物理环境改造和业务连续性项目的建设,将企业建设成为一个注重管理,预防为主,防治结合的先进型企业。
2.4 企业信息安全体系建设
企业信息安全体系建立在信息安全模型与企业信息化的基础上,建立信息安全管理体系核心可以更好的发挥六方面的能力:即预警(Warn)、保护(Protect)、检测(Detect)、反应(Response)、恢复(Recover)和反击(Counter-attack),体系应该兼顾攘外和安内的功能。
安全体系的建设一是涉及安全管理制度建设完善;二是涉及到信息安全技术。首先,针对安全管理制度涉及的主要内容包括企业信息系统的总体安全方针、安全技术策略和安全管理策略等。安全总体方针涉及安全组织机构、安全管理制度、人员安全管理、安全运行维护等方面的安全制度。安全技术策略涉及信息域的划分、业务应用的安全等级、安全保护思路、说以及进一步的统一管理、系统分级、网络互联、容灾备份、集中监控等方面的要求。
其次,信息安全技术按其所在的信息系统层次可划分为物理安全技术、网络安全技术、系统安全技术、应用安全技术,以及安全基础设施平台;同时按照安全技术所提供的功能又可划分为预防保护类、检测跟踪类和响应恢复类三大类技术。结合主流的安全技术以及未来信息系统发展的要求,规划信息安全技术包括:
2.5 体系运行及改进
信息安全管理体系文件编制完成以后,由公司企划部门组织按照文件的控制要求进行审核。结合公司实际,在体系文件编制阶段,将该标准与公司的现有其他体系,如质量、环境保护等体系文件,改归并的归并。该修订审核的再继续修订审核。最终历经几个月的努力,批准并实施了信息安全管理系统的文档。至此,信息安全管理体系将进入运行阶段。
有人说,信息系统的成功靠的是“三分技术,七分管理,十二分执行”。“执行”是要需要在实践中去体会、总结与提高。对于信息系统安全管理体系建设更是如此!在此期间,以IT部门牵头,加强宣传力度,组织了若干次不同层面的宣导培训,充分发挥体系本身的各项功能,及时发现存在的问题,找出问题根源,采取纠正措施,并按照更改控制程序要求对体系予以更改,以达到进一步完善信息安全管理体系的目的。
3 总结
总结项目,建立健全的信息安全管理制度是进行安全管理的基础。当然,体系建设过程中还存在不足,如岗位原有职责与现有安全职责的界定,员工的认知及接受程度还有待提高,体系在各部门领导重视程度、执行力度、审核效果存在差距等等。最终,在公司各部门的共同努力下,体系经历了来自国际知名品牌认证公司DNV及中国认可委(CNAS)的双重检验,并通过严格的体系审核。确认了公司在信息安全管理体系达到国内和国际信息安全管理标准,提升公司信息安全管理的水平,从而为企业向国际化发展与合作提供有力支撑。
[参考文献]
[1]沈昌祥.《信息系统安全导论》.电子工业出版社,2003.7.
信息安全方针和策略范文5
[关键词]铁路物流 信息安全 模糊综合评价 安全性评价模型
一、铁路物流信息安全概述
铁路物流信息安全是指在铁路部门在与其它物流企业或直接与货主进行业务往来的物流过程中,信息平台的软硬件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、泄露,信息系统连续可靠正常地运行,信息服务不中断的状态。
为了保障铁路物流过程中的安全性,铁路部门已经陆续出台一系列相关政策和法规,如《铁路装卸作业安全技术管理规则》、《铁路货物运输管理规则》以及《铁路和水路货物联运规则》等。这些政策和法规都主要集中在仓储、运输、装卸的安全性管理之上,而对于铁路物流信息安全却没有提出详实的管理细则与方案,对于现有的信息系统也缺乏一定的安全性评估准则。此外,目前铁路内部网络与外部社会信息系统之间没有接口,处于封闭运行状态,这种信息孤岛状况,造成了铁路部门与客户之间的信息不畅、信息不对称等问题。因此,当前需要建立起铁路物流信息共享平台,将铁路的内部信息合理地融入社会服务体系,向货主提供及时准确的信息、简捷方便的交易、全方位优质综合配套服务[1]。
毋庸置疑,信息系统的崩溃将阻碍物流活动的正常运行,而诸如客户资料、报价等物流信息的泄露,也必将给铁路部门及货主带来不可估量的损失。《2009年中国信息安全领域预测》一文中就指出“2009年恶意软件将作为一项服务出现”,并且漏洞带来的定向攻击将会增加,尤其是针对运输等服务行业的网络基础设施攻击,IT专家们认为2009年Web安全仍将是最为严重的威胁之一。可见,随着铁路信息化建设的不断深入和铁路物流信息共享平台的建立,加强信息安全无疑是铁路物流信息平台迅速发展的基础和保障。本文将从ISO1779所提出的信息安全技术框架出发,为铁路物流信息共享平台的安全性评价建立分析模型,从而最终为科学地选择系统性安全方案提供依据。
二、信息安全技术框架
ISO 1779由国际标准化组织于2000年12月出版,它是适用于所有的组织一项详细安全标准,主要涉及信息安全方针、组织安全、资产归类和控制、人员安全等十个方面。其中,信息安全方针中信息安全技术框架的核心要素包括访问控制、审计和跟踪、内容安全这三个方面:
1. 访问控制
访问控制是网络安全防范和保护的主要策略,其任务是保证网络资源不被非法使用和非法访问。借助铁路物流信息共享平台,铁路企业可以改变过去信息孤立状态,通过Internet和外部网络进行联系和交流,实现与外部社会信息系统的连接。这时系统的安全性就面临着一大问题,就是如何拒绝一些不希望的连接,同时又要保证合法用户进行的访问。访问控制涉及的技术也比较广,主要包括入网访问控制、网络权限控制、目录级安全控制、属性安全控制以及服务器安全控制[2]。
2. 审计和跟踪
审计和跟踪是系统活动的流水记录,该记录按事件从始至终的途径,顺序检查、审查和检验每个事件的环境及活动。它可以作为对正常系统操作的一种支持,也可以作为一种安全保证策略或前两者兼而有之。透过铁路物流信息共享平台,每天都会有大量托运、到货、取货等交易信息,一旦系统发生故障、文件数据遭受破坏,将阻碍物流活动的正常运行,因此必须通过审计和跟踪来保障系统安全和维护系统信息的完整性。通常审计和跟踪体系主要由日志系统和入侵检测系统为主组成。
3. 内容安全
信息共享平台给铁路企业及其客户带来了很多方便和好处:通过浏览和搜索平台上的资源和信息,一方面客户可以实时跟踪其货物配送情况,另一方面铁路运输企业可以更快、更准确地实现运单审核、到货录入等功能。但是,访问这些内容也意味着在电脑保护系统中打开了一些“洞”,从而病毒、间谍、广告软件等引起的内容安全问题日益成为人们的忧患。主要的内容安全保护措施有:数据加密技术、网络漏洞扫描、防病毒系统。
三、基于模糊综合评价法的安全性评价模型
模糊综合评价法是近年来逐渐推广应用的一种系统综合评价方法,是运用层次分析法(AHP)和模糊数学方法(Fuzzy)的一种综合评价方法。该方法利用模糊隶属度理论把定性指标合理的定量化,很好地解决了其他方法中定性与定量评价不能很好结合的问题,使评价方法在综合性、科学性等方面得到了改进。
1. 模糊综合评价法的理论与算法
(1) 建立评价指标体系
本文从ISO1779所提出的信息安全技术框架核心要素――访问控制、审计和跟踪、内容安全出发建立评价指标体系,运用层次分析法建立铁路物流信息共享平台安全性评价模型。如图1所示,该模型的第一层为目标层,即保障铁路物流信息共享平台的安全性;第二层为框架层,包括了评价指标体系的一级指标:访问控制、审计和跟踪、内容安全;第三层为技术措施层,通过上文分析可知与一级指标所对应的二级指标分别为(入网访问控制、网络权限控制、目录级安全控制、属性安全控制、网络服务器安全控制),(日志系统、入侵检测系统),(数据加密技术、网络漏洞扫描、防病毒系统)。
(2) 确定评价指标权重
评价指标中的每个元素在评价目标中占有不同的地位和作用(即比重),这个比重就是权重值。
①构造判断矩阵
这里可以根据信息共享平台的安全需求及其安全性要求的倾向,参照信息共享平台安全性的评价指标分层体系,由信息安全专家根据相对重要程度给出判断值(根据Saaty的1~9标度法),构造判断矩阵。即在同一层次中,专家取出两个元素和进行比较,以表示元素和对于上一层控制元素Z的影响大小之比,全部比较结果用矩阵
②层次单排序
层次单排序就是根据判断矩阵A计算对于上一层次某元素而言本层次有关元素的重要性权值,这可以归结为计算判断矩阵的最大特征值及对应的特征向量,也就是对判断矩阵A计算满足的特征值及其对应的正规化的特征向量W,W的分量Wi(i = 1,2,…,n)就是相应元素的权重值。
③一致性检验
验证通过所构造的判断矩阵求出的特征向量是否合理,并对判断矩阵进行一致性和随机性检验,从而计算出判断矩阵的随机一致性比率CR。当CR
(3)建立模糊判断矩阵
对于安全技术措施的每项指标,可根据习惯划分为很好、好、较好、一般、较差、差和未使用等 7个评语等级如表1所示。对于具体的物流信息共享平台,专家组根据每个专家对某项目的各项指标评分确定出每项指标分别隶属于7个评语等级的隶属度,从而建立模糊判断矩阵R[3]。
矩阵R中相应的分值可以通过Delphi法得到:请多位专家彼此独立填写权重调查表,内容包括各二级单项指标,当所有专家都给出相应的权重后,在同一指标中,把选择相同级别的人数相加,再除以参加评价的总人数,则可得出各指标权重。
(4)计算模糊评价结果
计算模糊评价结果B,B=WT×R。式中,B为各二级指标隶属于所划分的7个评语等级的隶属度,WT为各二级指标相对于总目标的总权重值,R为模糊判断矩阵。
(5)计算信息共享平台安全性评价的最终得分D
D=B×C
其中,C 为以百分制表示的7个评语等级的分数所构成的列向量。
2. 铁路物流信息共享平台安全性评价模型的应用
(1)确定铁路物流信息共享平台的安全技术措施权重
首先,应用AHP法,通过信息安全专家评分的方式对铁路物流信息共享平台安全性评价模型中各个指标进行评价,可得到如下(见表2~表5)所示的两两比较矩阵:
本文利用MATLAB数学软件的eig(A)函数来求得表2所示矩阵的最大特征根=3.0385,则CI ==0.01925,随机一致性指标RI=0.58,从而得出CR= ≈0.0332
根据以上各表,可将各层诸要素的相对权数Wi 加以整合,求得整体层级的总优先向量,即计算得出安全技术措施相对于目标层来说各自的权重值,如表6所示。
通过表6可以看出在整个系统中,入侵检测系统是所有安全技术措施中权重最大者(0.4751),也就是该技术对于铁路物流信息共享平台的安全性具有最重要地位,数据加密技术则是仅次于此的技术。当然,信息系统的安全侧重点不同,最终得出的总优先向量也会有所不同。
(2)建立模糊判断矩阵R
本例中,选用铁道部刚结题建立的铁路物流信息共享平台A,让5位专家对其进行评分,得到模糊判断矩阵R(见表7)。由此,可得到模糊评价结果B=( 0.23604, 0.15176, 0.38014, 0.23206, 0, 0, 0 )
(3)计算铁路物流信息共享平台安全性评价的最终得分D
由前文所给C=( 100, 85, 70, 60, 50, 30, 0 ),可以得到铁路物流信息共享平台A的系统性安全性得分为77.037,安全性状况良好。同时,通过专家的评分也可以看出,对于该物流信息系统在属性安全控制、日志系统、入侵检测系统、数据加密技术、防病毒系统等方面的安全性控制应进一步加强,以保证信息系统连续可靠正常地运行。
四、结论
在过去,物流安全虽然已经受到物流工作者的关注,但是对于铁路物流信息安全却没有单独地提出来讨论,而要想健康地发展我国的铁路物流事业,就必须要重视其信息安全问题。本文从ISO1779所提出的信息安全技术框架出发建立评价指标体系,并由此建立基于模糊综合评价法的铁路物流信息共享平台安全性评价模型,用以对铁路信息系统的总体安全性进行科学的评价。通过算例验证,该模型为铁路物流信息系统的安全性评价提供了一个新的思想和方法,使决策更为科学、合理。
参考文献:
[1]刘畅. 基于互联网的铁路运输服务订单信息系统的设计及安全性分析与实现[D].东北大学. 2003.08.01
信息安全方针和策略范文6
信息技术的飞速发展冲击着各行各业,给全球房地产业也带来一场深刻的变革和发展的契机。在政府的牵头和推动下,在房地产业各界积极参与和实践下,中国房地产业已取得卓有成效的成果,呈现全面信息化的发展势头。具体表现在:
(1)房地产政务信息化成效显著。
许多城市利用信息技术开发了房地产政务管理软件,有效地改进了行政管理,提高了工作效率,完善了政府对房地产市场的监控和预测能力。
(2)房地产企业信息化取得长足进展。
房地产经营方式开始打上信息时代的烙印。一些房地产企业建立了企业内部网站,提高了信息传输速度,加快了企业决策速度,提高了办事效率。此外,各种针对房地产企业的计算机软件,如房屋销售软件、物业管理软件、租赁软件、房地产可行性分析软件、房地产开发管理软件等,也得到了广泛的开发和应用。
(3)初步建立了房地产宏观监测系统。
为适应我国房地产业发展的内在要求,针对市场信息零散、盲目投资行为大量存在等状况,我国已建立包括中房预警系统、中房指数、国房景气指数等在内的房地产宏观监测系统。
(4)智能化小区和网络小区建设步伐加快。
近年来,住宅的智能化功能被列为评价楼盘综合性能的不可缺少的一个重要指标,智能化住宅已逐步进入普通人的生活。社区提供与外界进行数据交换的软硬件设施和服务是家居功能向外拓展的必要条件。智能化的物业管理深入到各单位住宅,真正实现建筑智能化到社区管理的智能化。
(5)房地产网站发展迅速。
由于房地产业自身的行业特点,使其在网上具有更大的优势,房地产业各界都以最快的速度建立或准备建立自己的网站,将网络作为房地产信息的主要渠道。房地产网站建设提供了全天候、全方位市场服务的新模式,建立房地产在线咨询服务系统,引入城市电子地图,实现网上售楼,改变了传统的购房方式。同国外相比,我国房地产信息化整体水平较低,地区差异较大,东西部发展不平衡,仍存在诸多制约因素,还有很长的路要走。但是,房地产业唯有实现信息化,唯有与网络结合,才能焕发出新的活力。建立和完善房地产企业的网络系统,实现总公司与下属子公司之间的双向沟通和信息共享。通过信息平台的整合,为企业管理决策提供全方位、完整的信息数据,使企业的管理逐步走向信息化,建立企业网站,使其向房地产行业和管理信息服务方向转化,加强与员工的沟通,将信息化手段应用于具体管理工作的流程中。以国家信息化工作的指导方针“统一规划、联合建设、推广应用、发展产业、资源共享”为房地产企业信息化工作的指导思想,将房地产企业的管理全部数字化,充分利用先进的信息技术,使本企业集团形成一个管理对象数字化、管理专业网络化、数据动态实时化、管理决策科学化的现代企业,走一条结合自身特点,依托信息技术发展房地产信息化产业的振兴之路。
二、企业信息安全防范
随着企业信息化的发展,办公自动化、财务管理系统,企业相关业务系统等生产经营方面的重要系统投入在线运行,越来越多的重要数据和机密信息都通过企业内外部网络来传输。这在提高生产效率和管理水平的同时,也带来了不同以往的安全风险和问题。通过网络传输的数据信息如被非法用户截取,导致泄露企业机密;如被非法篡改,造成数据混乱,信息错误,造成工作失误等。另一方面,病毒感染造成网络通信阻塞,系统数据和文件系统破坏,系统无法提供服务甚至破坏后无法恢复,特别是系统中多年积累的重要数据丢失,对企业的生产管理以及经济效益等造成不可估量的损失。因此,如何保护企业机密,保障企业信息安全,成为企业信息化发展中需要面临和解决的问题,提上了企业的议事日程。企业信息安全管理即针对当前企业面临的病毒泛滥、黑客入侵、恶意软件、信息失控等复杂的应用环境制定相应的防御措施,保护企业信息和企业信息系统不被未经授权的访问、使用、泄露、中断、修改和破坏,为企业信息和企业信息系统提供保密性、完整性、真实性、可用性、不可否认。企业信息安全是一项复杂的系统工程,涉及技术、设备、管理和制度等多方面的因素,安全解决方案的制定需要从整体上进行把握。首先,企业必须根据实际情况全面做好安全风险评估。第二,采用信息安全新技术,建立信息安全防护体系。综合各种计算机网络信息系统安全技术,将安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术等综合起来,形成一套完整的、协调一致的网络安全防护体系。企业根据自身信息系统建设和应用的步伐,建立完整的信息安全防护体系,统筹规划,分步实施。第三,管理和技术并重,技术与措施结合。根据信息安全策略,建立健全企业信息安全管理制度,制定相应的安全标准,建立备份和恢复机制,提高安全管理水平。第四,充分利用企业网络条件,提供全面,及时和快捷的信息安全服务。第五,信息安全是一个动态过程,需要定期对信息安全状况进行评估,不断改进完善安全方案,调整安全策略。
三、总结
