引言
隨著信息技術的迅猛發展,為了確保企業經營戰略的實現和滿足業務快速發展的需要,越來越多的企業在運行各個環節中運用了信息技術。信息技術確實加速了企業的發展,同時這些企業也面臨著來自各個方面的信息安全威脅,包括系統安全漏洞、DDoS(Distributed Denial of Service分布式拒絕服務)攻擊、非法入侵、病毒感染、通信故障等,保護客戶和企業自身信息資產的保密性、完整性和可用性對提升服務水平和競爭力具有重要作用,因此建立全面可靠的信息安全管理體系是非常有必要的。
1 信息安全管理現狀
隨著信息化社會的來臨,信息資源對社會發展的重要程度越來越大。從人們日常生活、組織運作到國家管理,信息資源都是必不可少的重要資源,現代社會的生存和發展,都需要各種信息的支持。但是信息在社會中發揮越來越重要的作用的同時,與之而來的信息安全問題也變得日益突出,需要加以安全保護。
目前,許多標準化組織都提出了各自的信息安全管理的體系標準和控制模型,這些基于業務、技術與管理層面的標準在某些行業得到了很好的應用,并且信息安全管理工作也逐步納入公司的日程中,但是這項工作目前仍存在不少的問題,信息安全管理現狀依舊比較混亂,主要表現為以下幾方面:
由于缺乏權威、統一、專門的立法管理機構對國內信息安全管理進行組織、規劃、管理和實施協調,導致我國現有的一些信息安全管理沒有來自法律的推動力和約束;
在IT系統建設過程中信息安全管理并沒有得到充分考慮,導致后期管理工作和安全建設比較被動,同時造成信息安全管理建設與業務的發展及IT的建設不對稱;
安全管理缺乏系統管理的思想。被動應付多于主動防御,沒有做前期的預防,而是出現問題才去想補救的方法,缺乏科學的、全面的、動態的安全管理方法;
重視安全技術,忽略安全管理。企業多在防火墻、網路、主機及應用系統開發等安全技術上投資,而相應的管理水平、手段沒有體現;
在安全管理中不夠重視人的因素,缺乏懂得管理的信息安全技術人員;
企業安全意識薄弱,因為信息安全管理不僅僅需要CIO或CFO的參與,企業各層領導和員工的重視與參與也是必不可少的。
2 各項威脅對企業信息安全的影響
企業信息安全有太多的因素需要關心:自然災害、黑客攻擊、計算機病毒以及企業內部信息泄露。2011年大量信息安全事件中,索尼的數據泄漏是其中備受矚目的一個,索尼的PlayStation網絡于4月20日關閉,同時取證組開始調查索尼數據泄漏的范圍。截止到5月2日,該泄漏事件影響了大約1億人,索尼公司已經花費1.71億美元處理其數據泄漏所帶來的后果。一項調查顯示,中國內地企業在改善信息安全機制上仍有待努力,從近年安全事件結果看,中國每年大約98萬美元的財務損失,此外,42%的中國內地受訪企業經歷了應用軟件、系統和網絡的安全事件,信息安全給企業造成了巨大的損失。而目前企業面臨的主要威脅有以下幾種。
2.1 自然災害
由于近年來自然災害的多發,給計算機系統造成了一些不可挽回的破壞而引發了許多信息安全問題,但相對于其他因素來說,自然災害對信息安全的威脅算最小的,并且自然災害的威脅只可盡量減小而不可避免。
2.2 黑客與病毒
隨著計算機技術的發展,黑客的破壞力也日益擴大化,黑客傻瓜式工具的大量出現和黑客組織的形成導致的直接后果就是黑客技術的普及,網絡上隨便搜索一下,就能找到一大堆黑客技術交流網站。這些黑客站點提供黑客工具、公布系統漏洞、公開傳授黑客技術、進行黑客教學,甚至還有黑客組織通過論壇形式相互交流黑客技術經驗、協調黑客行動等。黑客事件的劇增、黑客組織規模的擴大、黑客站點的大量涌現,說明了黑客技術開始普及,同時黑客攻擊對于信息安全的威脅也越來越大。僅在美國,黑客攻擊每年造成的經濟損失就超過100億美元,可想而知,對于安全剛起步的中國破壞的影響程度有多大了。
而計算機病毒(惡意軟件)的使用是黑客攻擊常用的手段之一,計算機病毒的傳播不僅可以破壞計算機信息系統,還可以盜取各種秘密信息,嚴重危害著當今社會的信息安全。根據安全供營商McAfee(邁克菲)新發布的數據顯示,2010年前半年是McAfee進行惡意軟件保護更新的最活躍的六個月,在第二季度報告中,惡意軟件數目達到了最高,發現了一千多萬個新的惡意軟件,而第一季度發現的惡意軟件數只有一百萬。如果企業對自己的信息進行嚴密的監控,惡意軟件可能會悄悄地潛伏進企業核心計算機,直到兒周或幾個月后才發現企業的信息已經被盜走了,企業的損失將是無法估量的。
2.3 移動設備的漏洞
據3M委托進行的《2010年可視數據泄漏風險評估研究》報告指出,多于70%的公司仍然沒有制定明確的政策來控制員工在公共場所工作時可以使用哪些設備連接網絡。而經常出差的員工需要通過公司外部設備能夠隨時隨地的通過Internet接入公司的網絡,從而對公司的信息安全提出了一系列的挑戰,員工的筆記本電腦和U盤需要使用2種以上的安全控制手段來實現綜合加密,同時企業需要部署和強制執行嚴格的移動辦公安全策略。
另外,硬件技術的發展使得移動介質有能力將海量數據存儲到一個便攜設備中,并且這些移動設備時常被帶出公司。所以IT安全策略應當要求任何通過USB接口移動的數據或使用類似方式來建立連接的介質都必須在加密的基礎上進行。而且這些介質類型絕不可以被用來做任何數據的單獨拷貝,特別是重要任務或者企業機密,并嚴格限制它們用于臨時性的數據傳輸。
2.4 對科技過于依賴
許多領導認為裝好了頂級殺毒軟件或者最新的防火墻,他們的系統安全就有保障了。但實際上,如果防火墻沒有正確配置,防病毒軟件也沒有進行更新和升級,有跟沒有是一樣。
在特定環境下正確設置防火墻需要很高的技巧。它不是一項設置完就可以丟到腦后的工作,它要比安裝殺病毒軟件清除惡意軟件復雜得多。防火墻需要經常調整以滿足最新的要求,當一個新的端口掃描攻擊出現時,必須在幾周內阻斷會受其影響的那些端口,了解最容易被攻擊的10個端口,把計算機安全組織SANS的網頁加入收藏夾。對于防病毒程序,不僅僅要及時升級,還必須要留意最新的彌補反病毒軟件自身缺陷的補丁。
反間諜軟件要比反病毒軟件簡單得多,所以很少需要打補丁。盡管如此,它們也要和反病毒軟件一樣要注意經常下載最新的數據庫文件。最后,如果忽視安全檢測程序發出的報告,所有的安全裝置都會失去意義。
2.5 內部威脅
前面所談論的威脅和危險均來自于外部網絡,但正如許多企業所了解的那樣,最難以防范的安全威脅來自于組織內部。
將公司的整個內部網絡按域劃分,實現部門級別的權限管理。每個部門內的每個員工在文件服務器上都有互相獨立的存儲空間。但是如果部門內的員工可以讀、更改、刪除另一個業務員在文件服務器中文件夾里面的資料,那么威脅同樣存在。所以訪問權限的設置應該體現實際的安全需求:部門之間禁止互相訪問,同時對訪問權限加以嚴格控制,每個訪問者進行的操作及其操作對象都應該記錄下來。
3 基于生命周期分析信息安全管理體系
為了保障企業的信息安全,就需要建立可靠的信息安全管理體系。而技術是不斷發展的,并且機構的業務也經常會發生變化,因此為保障信息安全所使用的管理制度和技術措施也必須發生相應的調整和變化,F在關于信息安全建設已經達成一個共識:它是一個動態的、整體的、持續性的過程,企業不僅要進行安全建設,而且要根據技術的發展和業務的變更不斷地進行評估,并在此基礎上對已有的安全措施和設施進行調整、完善。
根據對目前信息安全管理體系的調查研究,一般信息安全建設和管理的生命周期分為四個階段:調研策劃,風險評估,設計實施,運行改進。因此,將企業的業務特點與信息安全建設管理的生命周期中的每個環節緊密結合起來,才能構建適合企業的信息安全管理體系。
3.1 調研策劃
對企業所處的環境進行調研是建設信息安全管理體系必不可少的工作,它是策劃的依據。在這部分工作中,需要深入調查分析企業所處的國內外宏觀環境、行業環境、企業所具有的優勢與劣勢、面臨的發展機遇與威脅等。同時分析企業戰略目標,理解企業發展戰略在產業結構、核心競爭力、產品結構、組織結構、市場和企業文化等方面的定位。在此基礎上,通過分析明確上述各要素與信息技術特點之間的潛在關系,從而確定信息技術應用的驅動因素,使信息安全管理與企業戰略目標實現融合。
由于安全是相對的,安全技術也是不斷發展進步的,因此企業應有一個合理和明確的安全要求使得公司有章可循,而且這些要求最終要體現在安全策略當中。衡量一個信息安全策略的首要標準就是現實可行性。因此信息安全策略與現實業務狀態的關系是:信息安全策略既要符合現實的業務狀態,又要能滿足未來一段時間的業務發展要求。因此,企業根據自己的安全要求和實際情況,合理地制定安全策略是信息安全管理建設的基礎。
3.2 風險評估
根據有關信息安全技術與管理標準,對企業內以信息資產進行資產識別,其中信息資產包括:信息、人員、軟件和硬件以及系統的運行狀況與安全措施。
針對各個資產,對其進行重要性評估時,將考慮資產在失去機密性、完整性和可用性等安全屬性對企業造成的危害,并評估該信息資產所面臨的威脅及其發生安全事件的可能性,并結合如果發生安全事件后所涉及的各方面損失來判斷安全事件可能對企業造成的影響。簡而言之,就是風險計算,計算公式如下:
風險級別(R)=資產重要性(V)*風險發生可能性(L)
目前,實際工作中常使用的風險評估途徑包括基線評估、詳細評估和組合評估三種。而在風險評估過程中又有許多操作方法,如基于知識的分析方法、基于模型的分析方法、定性分析和定量分析等。無論采用哪種途徑和操作方法,共同的目的都是得到三個最主要的分析結果:資產保護等級分類、安全事件防護等級分類以及目前安全水平與企業安全需求間的差距。
3.3 設計實施
在完成風險評估后,要在第一階段制定的安全策略的指導下,并根據風險評估的結果設計詳細的信息安全保護實施方案。
首先,從整體和全局的角度規劃和建立一個合理的信息安全管理框架。從企業信息系統本身出發,對企業信息安全的不同層面進行整體安全分析,根據企業業務特征、組織形式、信息資產狀況和技術條件,建立信息資產清單,進行安全需求分析和需要的安全控制級別,從而提出相應的安全解決方案。
安全解決方案的提出過程就是編寫一套信息安全管理體系文件,應包含以下文檔:安全方針文檔、適用范圍文檔、風險評估文檔、實施與控制文檔、適用性聲明文檔等。這些文件的編寫是建立信息安全管理體系的重要基礎,也是一個企業實現風險控制和持續改進管理體系必不可少的依據。
3.4 運行改進
企業應按照編制的信息安全管理體系文件要求進行審核和批準并發布實施后,至此信息安全管理體系進入運行階段。在此期間,企業應充分發揮管理體系本身的各項功能,及時找出管理體系中存在的問題,并采取糾正措施,按照更改要求對管理體系加以更改,以達到持續完善信息安全管理體系的目的。
信息安全管理體系的建立與實施,能從根本上強化員工的安全意識,規范信息安全行為,可以有效的降低和避免企業的信息資產安全風險,增強了企業的競爭優勢。而且管理體系是在動態的技術環境中進行的,以預防為主的方式使企業以最低的成本支出達到可接受的信息安全水平。因此,建立完整的信息安全管理體系是為企業發展提供可靠的保障。
4 結束語
企業應以戰略目標為指導,以風險管理為核心,以技術手段為支撐,嚴格按照以上四個階段構建一套完善的信息安全管理體系,保障企業信息資產的安全。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:基于生命周期分析信息安全管理體系
本文網址:http://www.guhuozai8.cn/html/consultation/1083953768.html