時間:2023-10-13 09:40:46
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇信息安全管理范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
一、前言
國網公司現已建成覆蓋至基層生產班站及營業站所的信息內網。隨著SG186工程的全面投入運行,從職能部室到一線班組,電力企業所有的業務數據都依賴網絡進行流轉,電網企業生產和經營對信息網絡和信息系統的依賴程度越來越高信息安全的重要性日益凸顯。國網公司已將網絡與信息安全納入公司安全管理體系。
一直以來,信息安全防御理念常局限于常規的網關級別(防火墻等)、網絡邊界(漏洞掃描、安全審計)等方面的防御,重要的安全設施大多集中于核心機房、網絡入口處,在這些設備的嚴密監控下,來自網絡外部的安全威脅已大大減少,尤其實行內外網隔離、雙網雙機后,來自于互聯網的威脅微乎其微。而內網辦公終端由于分布地點廣泛,管控難度大,加之現在無線上網卡、無線wifi和智能手機的興起,內網計算機接入互聯網的事件時有發生,一旦使用人員將內網計算機通過以上方式接入互聯網,即造成違規外聯事件。由于違規外聯開通了一條無任何保護措施進出內外網的通道,一旦遭遇黑客襲擊,就可能造成信息泄露、重要數據丟失、病毒入侵、網絡癱瘓等信息安全事故,給企業信息安全帶來重大的安全隱患和風險。
二、強化管理、落實責任,監培并進
1、將違規外聯明確寫入公司各項規章制度,并納入經濟責任考核。在《公司信息系統安全管理辦法》中,對杜絕違規外聯事件進行了明確的要求:所有內網計算機必須粘貼防止違規外聯提示卡,嚴禁將接入過互聯網未經處理的計算機接入內網,嚴禁在普通計算機上安裝雙網卡,嚴禁將智能設備(3G手機、無線網卡等)插入內網計算機USB端口,嚴禁在辦公區通過路由器連接外網,杜絕違規外聯行為。 一旦發生違規外聯事件,依據《企業信息化工作評級實施細則》,按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則對事件責任人進行嚴肅處理和經濟考核,并在全公司通報批評。將信息安全責任落實到人。
2、加大違規外聯宣貫和培訓力度。信息安全工作,重在預防,將一切安全事件消滅在萌芽狀態,才能確保信息系統安全穩定運行。分層次組織開展公司在崗員工,尤其是新員工的信息安全教育培訓工作,即重點培訓各部門信息化管理人員,各級管理人員培訓本部門技術人員,本部門技術人員培訓一線員工。通過分層式培訓,提高了培訓效果,同時各級管理人員、技術人員作為下級培訓對象講師提高了自身素質,強化了信息安全關鍵點的作用。確保違規外聯事件的嚴重性、危害性和工作機理已宣貫至公司每一位員工,實現全員重視、全員掌握,做到內網計算機“離座就鎖屏,下班就關機”的工作習慣。
3、加強外來工作人員管控。加強外來工作人員信息安全教育,并簽訂《第三方人員現場安全合同書》,嚴禁外來工作人員計算機接入公司內外網。對第三方人員工作過程全程監控,防止因外來工作人員擅自操作造成違規外聯事件。
三、加強技術管控,從源頭杜絕安全事件的發生
2.1嚴格執行“雙網雙機”
嚴禁在信息內網和外網交叉使用計算機。對要求接入信息內、外網的計算機,需向本人核實該計算機之前網絡接入情況,對內外網絡接入方式有變化、或者是不清楚的情況,需對計算機進行硬盤格式化并重裝系統后方可接入網絡。
2.2安裝桌面終端,設置強口令,防止違規外聯
實時監控全公司內網終端桌面終端系統安裝率,確保所有內網計算機桌面終端安裝率達100%。設置桌面終端策略,一旦發生違規外聯,系統立即采取斷網措施,并對終端用戶進行警示。要求全部內網計算機設置開機強口令(數字+字母+特殊符號,且大于8位),防止非本人操作的違規外聯行為。通過桌面終端系統對內網計算機開機強口令進行實時監控。
2.3做好溫馨提示,明確內外網設備,防止違規外聯
做到每一臺內網計算機均粘貼信息安全提示標簽提示員工切勿內網計算機接入外網網絡,無線網卡及智能手機切勿接入內網。內外網網絡端口模塊、網線端口都要有明顯標識,防止員工誤接網絡。
2.4實行內網計算機IP、MAC綁定和外網計算機IP、認證賬號綁定
加強IP地址綁定,從交換機端口對接入內網的計算機進行IP、MAC地址綁定,確保除本計算機外,其余計算機無法通過該端口接入內網。
通過外網審計(網康科技)對外網IP和用戶認證賬戶進行綁定,完善外網用戶和計算機基礎資料,做到全局外網終端和用戶可控。
四、信息安全前景:
在信息安全領域沒有絕對的安全防護技術和手段。隨著信息技術日新月異的發展,電力企業內網計算機違規外聯風險也在增加。在已有的管控手段的基礎上,還要及時關注新技術,不斷完善和調整制度管理和技術策略。信息安全是伴隨企業信息化應用發展而發展的永恒課題。
關鍵詞:石油企業;信息安全;管理手段
0引言
隨著信息化建設進程飛速發展,作為信息載體的計算機、互聯網已在企業生產、經營管理各個層面得到廣泛應用。計算機網絡的開放性、靈活性和廣泛性在全面數字化的今天給經營管理帶來了便捷、高效、有序的工作環境,同時也帶來了較大的安全管理隱患。黑客的出現、安全漏洞的增多、管理的交叉混亂、惡意的網絡攻擊使網絡安全管理遭受了較大的沖擊,成為信息化健康發展的絆腳石。網絡信息管理疏于安全的防范將危及到企業生產經濟的有序發展。石油企業在國民經濟中發揮著重要作用,任何風險都可能導致國家經濟受到重大影響。因此,提高石油企業信息安全意識,加強信息管理應以保瘴服務和應用為目標,強化安全意識、制定周密的安全手段從而構建完善的信息安全管理體系。
1加強企業信息管理的必要性
1.1企業信息管理概念
企業信息管理是通過現代化的信息技術和設備,以網絡技術和網絡設備實現企業管理的自動化,進而對企業進行全方位和多角度的管理,以此來促進企業生產、經營管理的優化配置,進而通過企業資源的開發和信息技術的有效利用來提高企業的管理水平,增強企業的核心競爭力。企業信息管理的主要內容,一般包括企業未來的經濟形勢分析、預測資料、資源的可獲量、市場和競爭對手的發展動向,以及政府政策與政治情況的環境變化等等。企業信息管理與制訂企業發展戰略、制訂規劃、合理地分配資源是密切相關的。同時,企業的信息管理也應當包括企業內部的信息資源,如財務管理信息、物資庫存、鉆井施工、職工檔案管理等多方面的內容,并且促進企業的全面發展。
1.2企業信息安全管理的必要性
企業信息的存在方式有著多樣性,而進行企業安全信息管理的主要目的,在于保護企業的信息安全,保證企業能夠順利的參與到市場經濟活動中,進而提高企業的經濟效益和社會效益,構筑起信息安全管理系統的保密性、完整性、可用性、可維護性、可驗證性的目標,使企業安全信息管理能夠通過有效的控制措施來實現。第一,企業管理的信息具有很強的保密性和完整性的特點,因此其對于企業的生產勢力、科技含量、資金流動、企業的綜合競爭力等多方面都有著重要的影響,同時對于企業的商業形象與合法經營也至關重要,因此加強企業信息安全管理是必要的。第二,由于網絡自身所具有的開放性特性,決定了企業信息管理也面臨著來自各方面的安全威脅,比如計算機病毒、黑客等,以及計算機詐騙、泄密等問題,也說明了加強企業信息安全管理勢在必行。第三,企業對于信息系統產生的依賴也從另一方面暴露出了信息管理系統的脆弱,公共網絡與私人網絡的連接增強了信息的控制難度,使得信息在分散化的管理模式下,集中、專業控制的有效性大大減弱。另外,由于很多信息管理系統設計的缺陷,其自身就存在著不合理之處,這對于信息安全管理也帶來了一定的難度。基于此,對于企業信息管理的安全性也成為了當前企業管理面臨的一個重大課題。
2加強企業信息管理安全的防范措施
2.1不斷完善信息管理系統
隨著企業信息化的發展,目前應用的管理系統有PKI、郵箱、AD域、普OA、合同系統、A6、ERP、網絡、操作系統、A7、檔案系統、物采系統、OSC、視頻會議、企業微信、門戶網站、寶石花、數字營房、會議保障、E2、一體化、RTX、移動應用、短信平臺。信息系統的連續穩定運行越來越重要,一旦系統中斷,將會給企業的生產經營管理帶來混亂,而數據一旦丟失,后果是不可估量的。為此,信息管理系統的投入和使用,是建立在充分的實踐經驗的基礎上,通過一段時間的運行和觀察,才能夠投入使用。在不同的部門進行信息系統的引入時,應當按照部門的實際情況,通過多方引進,使用統一的信息管理系統。對于信息安全來說,首先要解決的就是系統是否能夠通過安全驗證對用戶進行有效的管理,并且賦予不同等級的用戶不同的使用權限,這樣則能夠有效的防止無權訪問信息的用戶對核心區域的訪問,保證信息不會被盜用。同時,為保證信息系統的連續穩定運行,應采用雙機服務器和從服務器。一旦發生服務器故障,由從服務器自動接替主服務器工作。
2.2有效的設備管理
設備安全主要涉及到由于自然災害、人為因素造成的數據丟失。信息安全應建設完善的容災備份系統,容災備份系統一般由兩個數據中心構成,主中心和備份中心。通過異地數據備份,實時地將主中心數據拷貝至備份中心存儲系統中,使主中心存儲數據與備份中心數據完全保持一致。同時,對于管理系統中使用的設備品牌、機型、內部配置以及使用時間等信息都要進行專門的記錄,通過這些記錄,定期對設備進行維護,同時也能夠通過這些信息判斷出信息的使用效率以及運行情況,對于設備的損壞或者是丟失情況都能夠及時地了解。
2.3加強對人員的監督與管理
企業信息安全不單純是技術問題,而是一個綜合性的問題。其中最重要的因素是人,人是設備的主要操作者,因此對于信息的安全管理,就需要加強對人的管理,需要操作人員具有足夠的安全意識,對于每一位操作人員進行相關的培訓,對于唯一的用戶名和密碼等信息要進行妥善保管,同時讓操作人員認識到泄密會導致的嚴重后果,增強責任意識。只有通過不斷地學習及意識的培養,管理人員才能養成定期維護、按時打補丁、及時更新的操作習慣,以不變應萬變的態度應對各種網絡攻擊手段。通過不斷的加強過程管理,通過對每個細節的嚴密審查,能夠有效減少人為出錯的現象,同時通過科學的評價機制和激勵機制,刺激人員工作的積極性,加強自身的責任意識。
2.4網絡傳輸安全
為了保證互聯網信息的安全以及做好信息的保密工作,安全管理系統的設計內容大體上分為三個模塊,首先是安全體制模塊,包含算法庫、信息庫以及用戶界面三個小方面;其次是網絡連接模塊,包含安全協議以及通信接口兩個小方面;最后是網絡信息傳輸,包含安全管理、安全支撐以及安全傳輸三個系統。算法庫是關于一些處理算法。信息庫是關于用戶進入口令、管理參數以及權限的設定,檢查系統運行狀況。
用戶接口是用戶操作界面以及用戶私人信息管理。安全協議包括連接網絡協議、用戶個人身份確定協議等。通信接口的安全保障是依賴于安全協議的工作、在通常情況下,通信接口的實現方式包括兩種:第一是用戶在進入互聯網時,才開啟安全服務,并運行安全體制,用戶所傳輸的信息都是經過系統的加密處理,然后被傳輸到互聯網上,或者是數據鏈路,是比較透明的互聯網信息傳輸與交換。此種方法很容易實現,而且不用對用戶目前所使用的系統做一絲改動,用戶所要投入的資金也比較少。第二種是修改目前的通信協議,在互聯網與應用之間增加一個安全層,使信息的安全處理變得透明化以及自動化。安全管理系統是一個包含很多程序的軟件包,主要負責用戶界面上安全管理器的正常工作,可以使得用戶很容易地控制計算機上信息的傳輸,保證安全。我們通常把這個系統安裝在用戶計算機的終端,或者是網絡節點。安全支撐系統是整個安全管理系統最值得信任的一方,其物理安全以及邏輯安全是非常重要的,需要得到嚴密而全面的防護。
二、安全管理系統的實現
安全管理系統總共包括以上的內容,具體的實現有很多的問題,需要有條不紊的進行。以下是針對管理系統實現所采取的具體的實現步驟,按照這些步驟來一步一步進行,不會出現混亂的情況,而且條理清晰,可以降低出錯的幾率,也可以保證管理系統的質量。
(一)熟知互聯網的狀況,估計風險及各種木馬攻擊
互聯網上的信息安全保障是很薄弱的一個環節,如果防護措施做不好,就會經常受到黑客的攻擊,盜取信息,甚至泄露出去,造成個人或者是企業的損失。為了預防或者是擊退這些攻擊,需要全面地了解平時所有的攻擊方式、攻擊方位,還有要了解哪些部分是比較薄弱的地方,給予加強保護。只有掌握了攻擊的全面資料,才可能有針對性地做出比較全面而可靠的保護措施。
(二)安全策略的制定與優化
安全管理系統需要一個明確的目標與原則,這就是安全策略。安全策略的優化需要考慮以下幾個方面:第一需要從系統整體出發,咨詢用戶的需求,根據應用的環境來制定策略,這其中包含各個子系統的策略制定。第二需要考慮策略的制定會不會對原有的系統產生什么負面的影響,比如通信延時等。第三,策略的制定要方便用戶對計算機的操作,包括控制,管理以及配置等。第四,用戶界面要人性化。第五,投資的金額要少。
(三)安全模型
模型可以把抽象的問題具體化,使問題簡單起來,不再那么復雜,尋求到更好地解決辦法,制定更加完善的安全策略,就像是教師教學時經常使用各種模型,讓學生容易理解深奧的問題。模型包括整個系統中的所有子系統,這些子系統在上面的內容已經有過闡述。
(四)安全服務的選擇以及實現
應用密碼技術,來實現向用戶所保證的安全服務。這是一種現代的技術,能夠保障整個系統的安全性,保護用戶的私人信息,使用戶不用再擔心個人資料的泄漏,保障用戶的個人利益。安全服務有兩條實現的途徑,分別為軟件編程以及硬件芯片,其中在通過軟件編程來實現安全服務時,需要注意機身的內存,優化系統的流程,增加程序運行時的穩定,以及降低運算時間。
(五)安全協議的制定
信息安全管理系統作為信息安全的支撐體系以及實施信息安全維護的落腳點,是信息安全管理中的重要組成部分。目前我國的信息安全管理系統還尚未完善,其不足之處首先表現為缺少統一的存儲平臺來對眾多的文檔進行儲存,從而導致大量文檔的丟失;其次,如果信息安全管理系統不完善,就不能降低資產等的風險評估以及對資產進行集中式的管理;最后,由于信息安全系統中各個報表功能的不完善,文檔信息就無法快速、準確地透露出信息安全的實際狀況,從而起到有效地保護作用。信息安全管理系統主要能夠通過對關鍵資產實行定性和定量分析,從而得出資產的精確風險值,識別系統中存在的重要因患資產,并進一步通知信息管理員采取適當地方法來減少隱患事件的發生,通過科學的管理降低企業的資產風險。由此可見,完善的信息安全管理系統是不可或缺的,它一方面決定著信息安全管理體系的具體實施,另一方面也可以促進企業信息安全管理體系的進一步維護與建設。
2信息安全管理系統標準
科學統一的國家信息安全標準,有利于協調與融合各個信息安全管理系統的工作,充分促進信息安全標準系統的功能發揮。我國的信息安全管理標準主要分為ISO/IEC27000系列標準與信息安全等級保護標準兩個部分。
2.1ISO/IEC27000系列標準
1995年,英國標準協會(BSI)了BS7799-1和BS7799-2兩部標準,隨著時代的進步其逐漸發展為ISO/IEC27001和ISO/IEC27002兩個部分,并進一步成為目前信息安全管理體系的主要核心標準。BS7799的最初提出目的主要在于建立起一套能夠用于開發、實施以及測量的科學信息安全管理慣例,并作為一種通用框架來促進貿易伙伴之間的信任。ISO/IEC27001重視ISMS的建構以及在PDCA基礎之上的進一步循環與完善,這一過程實質上就是在宏觀的角度上來指導整個項目的有效實施。它意在風險管理的基礎之上,用風險分析的途徑,把發生信息風險的概率降到最低程度,同時采取適當地措施來保障主體業務的順利進行。ISO/IEC27002主要闡述了133項控制細則,以及11項需要有效控制的項目,其中包括安全策略、安全組織、信息安全事件管理、人力資源安全、符合性物理與環境安全、訪問控制、資產管理、系統的開發與維護、業務連續性管理、通信與操作安全等一系列的安全風險評估與控制。
2.2信息安全等級保護
1994年國務院出臺了《中華人民共和國計算機信息系統安全保護條例》,該項基本制度的主要目的在于提高信息安全保障能力的水平、保障并促進信息化的健康與發展,從而進一步維護國家安全、社會發展以及人民群眾的利益。它的核心標準《GB17859-1999計算機信息系統安全保護等級劃分準則》是在TCSEC的分級保護思想基礎之上,針對我國信息安全的發展實際進行改善,最終把安全等級縮減成更具可操作性的5個級別。《GB/T22239-2008信息系統安全等級保護基本要求》則把信息安全控制要求進一步整理為管理要求與技術要求兩類,其中前者主要包括系統建設管理、安全管理制度、系統運維管理、安全管理機構和人員安全管理;后者主要包括應用安全、網絡安全、物理安全、主機安全以及數據安全與備份恢復。此外,信息安全等級保護的系列標準里還包括《GB/T20270-2006網絡基礎安全技術要求》以及《GB/T20271-2006信息系統安全通用要求》等一些關于信息安全維護細則的具體操作要求。
3信息安全管理系統的模型設計
根據信息安全管理系統標準,結合以往的信息安全管理系統設計,提出一種新型的四層信息安全管理系統:第一層為信息采集:主要包括人工脆弱性檢查、漏洞掃描工具以及日志采集系統三部分。這一信息采集層的主要功能在于采集安全保護對象的漏洞與安全事件。第二層是數據庫層:包括日志、資產庫、異常日志以及資產弱點庫和資產風險庫等。該數據庫層的主要功能在于對信息安全管理系統中的數據進行存儲。第三層為功能模塊層:包括資產管理、風險管理、弱點管理、信息安全管理規范下載管理資產等級評估管理、拓補管理以及日志分析。最后一層為展示層:它包含某個具體業務系統中的業務系統整體安全狀況、資產安全狀況、業務系統拓補以及異常安全事件等相關部分。上述新型信息安全管理系統模型主要體現出以下六點創新之處:
(1)業務系統的動態建模和系統支持資產,可以把業務系統和資產二者綁定在一起,由此,整個信息安全系統一方面可以準確地體現出在一個具體業務系統環境下,其單獨資產的具體安全狀況;另一方面該信息安全系統還能夠根據IS027001的具體標準,反應出整個資產所承載的整體業務系統的安全狀況。
(2)所設計的風險模塊管理可以把風險評估常態化、主動化,使其對整個業務周期內的所有資產風險進行動態的跟蹤與準確分析;另外,該信息安全系統的日志審計功能也可以實現被動式的安全管理,從而使主動管理與被動管理在信息安全管理系統中充分融合。
(3)該新安全管理系統增加并促進了拓補管理功能的發揮。
關鍵詞:信息安全等級保護信息安全管理體系
ComparisonofCPISandISMS
LiJun(InnerMongoliaAutonomousRegionPublicSecurity)
XieZongxiao(ChinaFinancialCertificationAuthority,CFCA)
Abstract:Basedontheanalysisofdefinitionofclassifiedprotectionofinformationsystem(CPIS)andinformationsecuritymanagementsystem(ISMS),fromthelogicalframework,theimplementationofprocessesandcontrols,wecomparedboth.
Keywords:informationSecurity,CPIS,ISMS
1信息安全等級保護(CPIS)
信息安全等級保護,或者信息系統安全等級保護(簡稱等級保護),在公文中,一般是前者,但是在標準中,例如,最典型的GB/T22239—2008和GB/T22240—2008用的標題是后者。單就這2個標準而言的話,描述的對象卻是主要圍繞“信息系統安全”,而不是廣義的“信息安全”。當然,本質上來說,等級是針對“信息系統”劃分的,而不是針對“信息”劃分的。在實踐中,這兩者不需要刻意區分。等級保護具體的定義如下:
信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和8SeEVmi7me7sxRCjGkySNg==存儲、傳輸、處理這些信息的信息系統分等級實行安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置。
這個定義來自《關于信息安全等級保護工作的實施意見》(公通字〔2004〕66號1))[2,3]。
注意信息系統的定義:
信息系統是指由計算機及其相關和配套的設備、設施構成的,按照一定的應用目標和規則對信息進行存儲、傳輸、處理的系統或者網絡;信息是指在信息系統中存儲、傳輸、處理的數字化信息。
信息系統的定義也來自《關于信息安全等級保護工作的實施意見》。更早的相關定義,應該來自GB17859—1999,其中的定義3.1,定義了計算機信息系統(computerinformationsystem),具體為:
計算機信息系統是由計算機及其相關的和配套的設備、實施(含網絡)構成的,按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。
這種人機系統的定義,在實踐中不容易理解,但是最接近學術中的最初理解,例如,Davis(2000)[4]認為信息系統包括信息技術設施、數據、應用系統和人員(informationtechnologyinfrastructure,data,applicationsystems,andpersonnelthatemployITto...)
2信息安全管理體系(ISMS)
原則上說,信息安全管理體系(簡稱ISMS)并不是一個專用術語,在較早版本的標準中2)對其進行了定義3),滿足其中描述條件的應該都是ISMS[5,6]。但實際情況是,由于這個術語起源于ISO/IEC27002和ISO/IEC27001的早期版本,屬于新生出來的一個詞匯,其他文獻中,就很少見到。所以在實踐中,ISMS幾乎成了一個專用術語。這如同,一提“質量管理體系(QMS4))”,大家就認為是ISO9000標準族道理是一樣的。因為某種產品過于普及,就成為某類行為的代名詞,這是很常見的現象。例如,你把快遞地址微信給我,或者,回頭我把文件QQ給你。由于ISO/IEC27000標準族在全球范圍內實施廣泛,在實踐中,就會有此類對話,例如:我們在做27001,意思是說,我們在部署ISMS,或者說,我們在根據ISO/IEC27001部署信息安全。
換個說法,ISMS是一整套的保障組織信息安全的方案(或方法),是組織管理體系的一部分,定義和指導ISMS的標準是ISO/IEC27000標準族,而這其中,ISO/IEC27002和ISO/IEC27001是最重要也是出現最早的2個標準。由于這個原因,導致這一堆詞匯在實踐中開始混用,而不必刻意地去區分。因此,在下文中,這幾個詞匯都認為是同義詞:
·信息安全管理體系(ISMS);
·ISO/IEC27000標準族;
·ISO/IEC27002或ISO/IEC27001視上下文,也可能是指代ISMS。
3邏輯框架及實施流程的比較
等級保護是強制實施的,建立在一系列國家公文、一個強制性標準以及諸多推薦性標準的基礎之上。ISMS則是建立在國際互認基礎上的推薦性的標準5),這導致兩者在框架上存在很大的區別。兩者的框架對比,如圖1所示。
或者說,對于ISMS來說,“組織(或企業)自己負責正確的應用6)”,目的是保護組織(或企業)自身的利益,(如果申請第三方認證)同時向其他人證明組織有良好的信息安全管理水準。對于等級保護而言,則是國家監管機構負責企業(或組織)正確的應用,主要目的是為了保護國家和公眾利益。
4對“控制措施”理解的比較
等級保護的相關支持文件主要包括政府公文和國家標準,也可以稱為“政策體系”和“標準體系”[2]。以一系列的公文作為依據,是等級保護的一個特點,倒不是因為ISMS缺乏國家監管,而是因為ISMS的監管與其他管理體系(例如,ISO9000和ISO14000等)基本一致,整個的架構設計倒顯得沒那么重要。等級保護是一個全新的設計,因此整個管理架構就顯得非常重要,例如,《信息安全等級保護管理辦法》(公安部〔2007〕43號)就是一個非常重要的公文,從國家層面確立了等級劃分與保護、等級保護實施與管理以及可能涉及的分級保護管理等整個管理架構。
但是,就這兩者的框架而言,還存在一個不同,即如何理解“控制措施”7)。簡而言之,等級保護部署“控制措施”為中心,ISMS部署是以“控制目標”8)為中心。
這僅僅是一個描述方式的區別,嚴格講,等級保護也是以控制目標為中心,雖然沒有非常明確。因為所有的控制措施,最終還是為了實現安全目標。但這兩者還是不同的,在等級保護中,一旦信息系統的等級被確定,控制措施都是確定的,同時也要注意,等級本身已經隱含了信息系統的控制目標。對于ISMS而言,由于是自愿部署,組織自己負責識別安全要求,自己設定控制目標,之后自愿部署控制措施。
通俗地講,等級保護中,是組織和監管機構共同確定(是組織確定,之后提交監管機構確認)信息系統等級(其中隱含著控制目標),然后按要求部署。在ISMS中,是組織自己確定控制目標,然后按照要求部署,是一個自圓其說的邏輯。在下文中,我們討論定級備案等過程,兩者的區別就很清晰了。
當然,無論是等級保護還是ISMS,“控制”都是其核心內容之一,在等級保護中表現為GB/T22239—2008,在ISMS中表現為ISO/IEC27002:2013。
在GB/T22239—2008中,針對不同安全保護等級應該具有的基本安全保護能力,提出基本安全要求。標準的架構,如圖2所示。
在基本要求的基礎上,自上而下又分為:類、控制點和控制項[7]。在圖2的10個大類中,每個大類下面分為一系列的關鍵控制點,控制點下又包括了具體的控制項。本文中不再討論具體條款,具體可以見參考文獻[8]。
在ISO/IEC27002:2013中,并不區分技術要求或管理要求,或者說,不關心實現途徑。其中控制的描述結構,自上而下又分為:類、目標和控制。具體而言,就是包含了如表1所示,ISO/IEC27002:2013描述了14個大類,這些大類又細化為35個目標,接著由114項控制來實現相應的目標。
具體到每一個主要安全控制類和控制的描述結構,參考ISO/IEC27002:2013中的描述,如下所述:
每一個主要安全控制類別包括11):
a)一個控制目標,聲明要實現什么;
b)一個或多個控制,可被用于實現該控制目標。
控制的描述結構如下:
控制
為滿足控制目標,給出定義特定控制的陳述。
實現指南
為支持該控制的實現并滿足控制目標,提供更詳細的信息。該指南可能不能完全適用或不足以在所有情況下適用,也可能不能滿足組織的特定控制要求。
其他信息
提供需要考慮的進一步的信息,例如法律方面的考慮和對其他標準的參考。如無其他信息,本項將不給出。
關于ISO/IEC27002:2013,可見參考文獻[9]和[10]。
1.高校圖書館還比較缺乏信息安全管理方面的人才。從當前一個時期來看,高校圖書館無論從管理層角度,還是從普通館員角度都有一個共識,那就是高校圖書館信息安全管理對專門的安全技術人員非常認可。然而現實是,高校圖書館專門信息安全人才依然比較匱乏,平時高校圖書館忙于事務性工作,也欠缺對館員進行信息安全方面的培訓和培養。
2.缺乏綜合性的安全解決方案。在實踐過程中,高校圖書館為了保證信息安全運行,使用了大量的硬件防火墻、入侵監測系統和殺毒軟件。從長遠講,這些措施還不能遠遠不能解決問題,高校圖書館在信息安全管理方面依然缺乏綜合性的解決方案,雖然也有各種信息安全管理規章制度和某些解決方案,沒有一個系統來組織這些規章制度和解決方案。
二、信息時代條件下創新高校圖書館信息安全管理的主要措施
(一)必須要對管理信息系統進行科學規劃。對于高校圖書館來講,進行管理信息系統創新,也離不開這個步驟,也必須做好前期的調查研究工作,研究擬開發設計的管理信息系統在本館的可行性、以及使用后的效果性等內容。科學規劃所設計到的主要內容有:制定前期科學、完善的主要目標,并對管理信息系統長期發展方案進行編,以確定管理信息系統在整個組織中發展方向、使用規模以及發展進程;開展初步調查,其目的是為了合理地確定系統目標,進行系統總體分析以及可行性研究,摸清本圖書館在管理信息系統建設存在的迫切性、主要不足、可行性和可能性;在初步調查的基礎上,形成詳實的調研報告,為后期系統詳細調研奠定基礎。
(二)對圖書館管理信息安全管理系統實施可行性分析。在前期初步調查的過程中,嚴格執行調查內容,明確圖書館管理信息系統的目標,對現行系統的基本情況作出初步了解、明確可行性。結合管理信息系統對運行環境、資源要求等條件進行考量,判斷出圖書館所擬上管理信息系統是否具有必要性和可能性。對管理信息系統現存的主要不足、問題、緊迫性、希望新的管理系統所能夠帶來主要功能、開發態度、資金保障、專業人員配備、后期維護與管理等方面進行全方位了解。
(三)開發創新高校圖書館信息安全管理的新型系統。管理信息系統開發創新是更好提高管理效能的重要手段。當前高校圖書館生存發展的宏觀、微觀環境已經發生了深刻變化;高校圖書館職能的發揮必須要建立在充分隨時隨地取得準確而及時的管理決策方面的內部信息與外部信息,甚至是與高校圖書館管理過程中各項決策決議執行情況的反饋信息,以實現對高校圖書館業務與管理的及時調控。管理信息系統主要的功能不但能夠有效進行數據與信息的搜集、處理、而且還具備了預測和控制功能;在高校圖書館實施管理信息系統創新,對于高校圖書館管理曾來講,能夠有效解決在管理中所面臨的半結構化問題和非結構化問題,有效提高一種定性與定量分析的方法,有效提高管理效率和決策的科學化水平。
三、結語
【關鍵詞】船岸網絡;信息安全;航運企業
0引言
一些航運企業已開始實施“數字化+互聯網”戰略,船舶運營參數及管理量化指標被轉移至信息更加透明的互聯網平臺,船舶所有人可以通過互聯網平臺隨時隨地查看船舶動態。航運企業將船舶全權委托給第三方船舶管理公司管理,并通過互聯網平臺監控船舶動態。這種管理模式帶來一個全新的課題:船岸網絡信息化程度越高,信息系統遭受攻擊導致數據泄露的風險越大。近年來已發生多起船員個人信息泄露導致的詐騙案件。這些個人信息泄露的源頭是船舶管理公司的信息系統。信息泄露會給個人造成損失,而信息系統遭受病毒攻擊則會給航運企業造成巨大損失。因此,信息安全對航運企業而言極為重要。
1船岸網絡管理現狀
船岸網絡技術的發展非常迅速,特別是海上衛星通信服務商提供的海上高速網絡在資費下降后極大地提高了船舶與管理方、服務供應商、租船人和船舶所有人/經營人之間的信息交換頻率。海上高速網絡的普及給信息安全帶來更大的隱患。網絡沒有物理界限,任何具有網絡攻防知識并熟悉船舶扁平化網絡架構的人或組織都可以通過Shodan搜索引擎獲得相關信息,對船岸網絡實施遠程攻擊。通過對衛星通信服務商IP地址段批量掃描發現:眾多安裝VSAT、FBB設備的船舶未加安全措施就向公網開放了21/80/445/3389等弱口令TCP、UDP端口;供應商為節約成本、方便遠程維護管理,將Cobham、KVHCommBox、Inmarsat、Marlink等產品內建的管理后臺映射到外網;絕大部分船舶沒有配置專業的硬件防火墻,岸基管理人員缺乏專業技能,最終導致船舶網絡安全得不到保障。
要做好船岸網絡安全工作,首先要了解船岸網絡設備運行機制和原理。船舶內網GPS、ECDIS、主機監控系統服務器等多網卡設備既通過串口總線和CANBUS、MODBUS等協議控制舵機、智能電站及壓載水調平系統等設備,又通過網卡和SNMP、NMEA等協議進行網絡通信,從而形成了一個可以網絡遠程控制的船舶物聯網。由于某些船用通信協議存在設計缺陷,例如NMEA0183協議通過明文傳輸,缺乏加密、身份認證和校驗機制,為實施網絡攻擊制造了機會――攻擊者只需遠程更改一兩個字符就可以命令船舶轉向。
2常見的網絡攻擊方式
廣義上對船岸網絡的攻擊主要有兩類:(1)無目標的攻擊。岸基或船舶內網操作系統和第三方軟件漏洞是潛在受攻擊目標之一,攻擊者利用0day漏洞進行廣撒網式的無差別化攻擊,近幾年馬士基航運集團和中遠海運集運北美公司遭遇的網絡攻擊屬于此類。(2)有針對性的攻擊。攻擊者將某船岸信息系統設定為滲透目標,利用專門開發的繞過技術和工具躲避網絡防御機制(如震網病毒事件),實施多步驟攻擊,其破壞程度較無目標的攻擊更大。
有針對性攻擊又分為以下6種類型:
(1)主動攻擊。攻擊者主動攻擊網絡安全防線。主動攻擊的方式為修改或創建錯誤的數據流,主要攻擊形式有假冒、重放、篡改消息和使網絡拒絕服務等。
(2)被動攻擊。攻擊者監視相關信息流以獲得某些信息。被動攻擊基于網絡跟蹤通信鏈路或系統,用秘密抓取數據的木馬程序代替系統部件。
(3)物理攻擊。未被授權者在物理上接入網絡、系統或設備,以達到修改、收集信息或使網絡拒絕訪問的目的。
(4)內部攻擊。被授權修改信息安全處理系統,或具有直接訪問信息安全處理系統權力的內部人員,主動傳播非法獲取的信息。
(5)邊界攻擊。網絡邊界由路由器、防火墻、入侵檢測系統(IDS)、虛擬專用網(VPN、DMZ)和被屏蔽的子網等硬件和軟件組成。硬件的操作系統與其他軟件一樣存在安全漏洞,攻擊者可利用操作系統漏洞,繞過已知安全協議達到攻擊的目的。
(6)持續性威脅。商業間諜組織可能會通過“釣魚手法”進行攻擊。如以“某某船公司2020中期戰略企劃書”為關鍵詞投放電子誘餌,通過文檔追蹤工具進行精準定位,誘騙受害人打開附件或點擊郵件鏈接從而入侵或破壞其信息系統。
3船岸網絡中易受攻擊的系統
船岸網絡中易受攻擊的系統有綜合船橋和電子海圖系統、配載儀和船舶維修保養系統、主機遙控和能效系統、保安限制區域閉路電視監控系統和各重點艙室門禁系統、乘員服務和管理系統、面向船員娛樂的公共網絡系統、船岸網絡通信系統、計算機操作系統及常用軟件等。
4船舶網絡安全配置建議
(1)禁用公網IP,使用URA系統遠程管理。
(2)修改系統默認密碼并使用高強度密碼。
(3)將船岸網絡操作系統和第三方軟件補丁、病毒特征庫升級至最新版本。
(4)對工控網絡、辦公網絡、娛樂網絡實施網絡隔離和訪問控制。
(5)通過策略制定公用電腦進程白名單,禁用USB接口。
(6)向船員普及網絡安全風險防范知識。
(7)要求設備供應商提供必要的網絡安全事件應對措施。
(8)不過度依賴遠程網絡監控技術,增加現場勘查頻率。
5網絡攻擊事件的處置步驟
(1)風險識別。定義相關人員的崗位和職責,確保在日常管理中能夠及時發現可疑風險。
(2)事件預防。制定風險控制流程和應急計劃,降低網絡風險,防范網絡攻擊。
(3)事件發現。檢查已確認的網絡攻擊事件,評估損失并制定后續恢復方案。(4)事件恢復。制定計劃使系統恢復正常運行。
(5)免疫措施。制定措施避免類似網絡攻擊事件再次發生。
6網絡信息安全團隊崗位職責
航運企業應設立信息安全官(CISO)崗位,其職責為:建立船岸網絡安全團隊并管理成員,牽頭制定全面的船舶網絡安全應急保護計劃(CSP),以持續保障船岸網絡安全。團隊成員崗位職責如下:
(1)對船舶VSAT/FBB設備端口映射及防火墻規則進行審核、分發、監控,熟悉Infinity、XchangeBox等通信管理系統的后臺設置,監控船岸網絡的可疑流量。
(2)對船岸內網信息設備和辦公電腦軟硬件及時更新維護,熟悉GTMailPlus、SkyfileMail、Super-Hub、RYDEX、AmosConnect等軟件操作知識。
(3)定期優化單船拓撲結構和更新船岸網絡病毒特征庫和漏洞補丁庫,不斷完善船岸網絡信息事故應急預案。
(4)收集供應商技術文件并集中存儲,向設備和服務供應商提交并跟蹤審核通導信息類設備保修工單(如KVH、Marlink、GEE、OneNet等)。
(5)跟蹤記錄新造船FBB、銥星移動通信系統、VSAT和船載物聯網設備安裝調試情況,審核通信類費用憑證。
(6)具備防火墻、路由器、入侵檢測系統、交換機的豐富知識,MacOS、Windows、Linux等3大操作系統及域控、數據庫的基礎知識,并能熟練使用SQL、CrystalReports提取分析數據。
(7)參與船岸網絡的設計開發和信息系統的迭代開發,提出必要的安全策略規范要求。
(8)具備妥善監控并處理網絡安全事件的能力和獨立撰寫網絡安全事件調查報告的能力,并提出改進措施。
7船岸網絡信息安全管理目標
船岸網絡信息安全問題從根本上說是人的問題,如何在制度上讓人遵守規則,如何在技術上減少或避免人為惡意攻擊,這是船岸網絡信息安全組織架構設計的目標。船岸網絡信息安全組織架構設計的總體目標可定義為:針對船岸網絡和信息安全需要,構建系統的網絡安全技術和信息防護策略及措施,通過制度管理和技術防范來規范員工行為,達到網絡和信息資產安全可控的目的,最終達到“外人進不來、進來看不到、看到拿不走、拿走用不了、操作可追溯”的目的。首席信息安全總監的基本職責是建立船岸網絡和信息安全團隊并確保團隊成員各司其職。團隊成員既包括企業內部的計算機安全專家,也包括企業外部的資深律師、會計師、技術專家等。
8經驗交流
網絡信息安全對于大部分人而言比較陌生。在實踐中,大部分航運企業由總裁辦(行政事務部)或保密部門負責網絡信息安全,而網絡信息安全職能又隸屬話語權不高的IT部門,最終導致企業網絡信息安全工作進展遲滯,制度實施緩慢。因此,建議由公司領導牽頭,技術保障部門負責具體實施。有條件的航運公司應該定期針對船岸網絡信息系統進行安全演習并配置網絡信息安全設備,以便當船岸網絡信息系統被攻擊時,能夠迅速作出應急反應,盡快恢復網絡系統,盡可能挽回損失。此外,在員工手冊、船員上船協議中應該賦予航運公司相關職能部門通過技術手段來防止內部威脅的權力,打擊隱蔽性較強的涉及船岸網絡的職務犯罪。
以某航運企業為例,2018年初由公司領導牽頭與某船級社聯合成立了船岸網絡信息安全專項課題組,針對公司船岸網絡的特殊性制定了一套通用船舶網絡安全管理體系,并在超大型集裝箱船試行《船舶網絡信息安全實施指南(征求意見稿)》和相關配套制度,如《船舶網絡信息資產管理辦法》《船舶VSAT、局域網及防火墻設置規范》《船舶網絡信息安全員崗位職責》《船員網絡信息安全應知手冊》等。此外,還對試點船舶就域控服務器(解決內網信息審計問題)、KMS激活服務器(解決操作系統、辦公軟件授權問題)、自建CA授權機構頒發數字證書(解決SHA256數據加密問題)、某開源局域網遠程管理軟件以及等級保護一體機硬件部署(解決病毒庫、補丁庫離線升級問題)等項目進行技術驗證,為下一步推廣應用船岸網絡信息安全課題研究成果奠定了良好基礎。
國家、省市已經頒布各種法律法規,各大單位也根據自己的具體情況,建立了自己的規章制度,維護信息安全已經有法可依。但是信息安全管理工作涉及的知識面非常廣,需要了解國家信息安全管理法規,需要學習信息技術一般理論,需要知道信息安全漏洞知識,需要明白信息安全禁令范疇。為提高學習效率和質量,全面掌握信息安全理論和方法,按照信息安全管理知識體系,建設信息安全管理教學系統,提供學習信息安全管理的教學條件,從而為各方面人員學習和執行各種規章制度提供依據。相比其他管理工作,信息安全管理工作需要比較多的理工專業基礎和比較高的電腦技術要求,在實際的信息安全管理工作中,需要靈活的信息安全管理處置能力,更多的是判斷信息安全問題、識別信息安全陷阱、規范信息安全管理。由于知識背景和工作性質特點,管理干部需要花費更多的時間和精力學習信息安全管理知識和技術,才能具備基本的信息安全防范技能。為幫助他們更好地獨立處置信息安全管理問題,掌握發現問題解決問題技能,依據現代教育理念和方法,不僅需要提供深入淺出、知識完備的知識體系學習訓練系統,而且需要信息安全管理能力訓練系統。
二、信息安全管理培訓思路
為滿足信息安全管理工作在人員培訓方面的需要,需要依托各級培訓學校,按照國家和省市地方的制度法規,借助現代教育思想,借助現代教育技術,明確符合實際需要的功能定位,建設信息安全管理復合應用型人才培訓體系,實現信息安全管理工作對培訓教育、終身教育的培訓要求。
1.培訓依據
(1)依據各種信息安全管理制度法規。信息安全人員在履行工作職責的時候,必須按照各種信息安全管理法規、制度和要求實施,制訂人才培養方案和教學計劃必須依據國家、省市和本部門的信息安全管理的相關規定,這樣的教學內容才能保證人才培養的針對性和實用性,保證管理干部履行信息安全管理職責的有效性。涉及信息安全制度法規的相關文件很多,有的是專門為信息安全制訂的,有的制度和法規散落在各個業務管理制度中。在建設信息安全管理知識體系時,必須將業務部門的相關規定融入知識體系中,使得管理干部在處理具體業務中的信息安全管理工作具有針對性和有效性。
(2)符合培訓教育特點規律。信息安全管理技能是從事管理工作人員的基本技能,屬于崗位專業培訓或專業技能培訓,屬于培訓教育培訓。受訓人員專業背景不同,理論基礎不同,學習能力不同,必須避免材、統一授課、統一訓練、和統一考核的傳統教學模式,采取因人而異、因材施教的有針對性的教學方式,強調個性化學習,將不同層次受訓者的信息安全管理能力達到信息安全管理工作所需要的水平上來。
(3)遵循現代教育思想。在實施教育訓練過程中,現代教育思想要求采取“學為主體、教為主導”的教學理念,學員能夠方便地獲得完整的知識體系和解決問題的技能和方法,自主學習,開放學習,自主理解、掌握知識和技能。為實現教學目的,需要分析信息安全管理技能特點,需要分析管理干部學習動力,結合教學目標,設計學員學習和訓練的教育訓練環境,提供完整的知識體系、豐富的教學資源、模擬的問題情況、交互的學習平臺和方便的使用途徑,提供與培訓教育特點規律和技能訓練要求相適應的培訓條件。
2.信息安全管理培訓目標
按照信息安全管理工作的實際情況,培養信息安全管理工作中管理、業務和技術三支人才隊伍,突出業務和管理人才需要,兼顧信息安全技術人員的人才培養,以現代教育思想為指導,以信息技術為核心支持技術,建設滿足信息安全人才培養的現代培訓條件。信息安全管理培訓以管理干部為培訓對象,以信息安全管理工作為培訓內容,區分信息安全管理人員、業務干部和信息技術專門人員等不同層次,跟蹤信息安全管理形勢,實行階段反復輪訓,以適應信息安全管理不斷發展的需要,確保信息安全管理工作的正常開展。
三、信息安全管理培訓環境構建
為適應信息安全管理培訓需要,適應管理干部培訓教育需要,必須構建遵循信息安全管理規定、符合現代教育思想、依托信息技術手段、瞄準復合型適用人才培養的教育環境。信息安全管理培訓條件涉及面很廣,包括組織機構、舍堂館所、師資隊伍、后勤保障等等,這里我們更關心符合培訓思路的培訓模式和教學支持。從知識體系、學習途徑、訓練場所和訓練系統多方面著手,構建信息安全管理訓練體系,構建管理人員信息安全人才培養條件。依據教育信息化研究成果和培訓教育教學特點,需要建立完整的信息安全管理知識體系,建立開放式、自主式教育網絡平臺,建立強時效性的教學資源體系,建立信息安全管理知識測試系統,建立信息安全管理能力訓練系統,等等。
1.構建信息安全管理知識體系
培訓教育的一個特點就是受訓對象知識背景和技能掌握程度千差萬別,必須首先建立完整的知識體系,以滿足不同基礎、不同需求受訓者對知識掌握和能力訓練的要求。知識體系必須建立覆蓋學科知識和管理手段的所有內容,包括理論體系和教學資源兩部分,其中理論體系包括基礎知識、安全理論、規范制度、管理方法、歷史沿革、防范手段和操作方法,教學資源包括現狀分析、經典案例、技術講解、訓練題庫和數據模型,適應和滿足每個受訓對象的需求。為滿足個性化服務需要,可以按照知識點建設模塊化框架結構,設計具備菜單選擇功能的專家系統,允許受訓者建立適合自己的個性化教學計劃和實施方案,確保受訓者完成培訓任務后勝任安全管理的崗位需要。可以建立智能教學計劃生成系統,系統對每位受訓者進行知識和技能測試,按照教學目標,根據測試結果,將該學員沒有掌握或掌握不夠的知識內容和技能形成列表,從知識體系中搜尋相關知識和技能的概念、理論、技術和操作技能,形成該受訓者個性化的教學計劃。隨著信息技術的發展和信息安全管理需求的變化,信息安全管理知識體系應該是動態更新的,剔除修改陳舊的,充實替換實用的。
2.搭建開放、共享和交流的網絡平臺
網絡平臺是信息資源共享的基礎,是交流互動的基礎。按照學科專業建設與管理規范建設知識體系,以數字化形式在互聯網,實現信息安全管理教育資源共享。作為資源共享平臺的網絡平臺,不僅為建設者資源共享提供平臺,而且可以為學習者提供資源上傳服務,成為學習者之間相互交流資源的共享平臺,更為信息資源積累提供了很好的機制和存儲條件。網絡具有兩個特點,一是允許網絡用戶365天24小時使用,可以提供受訓者隨時學習和訓練,二是允許網絡用戶在任何有信息覆蓋的地方登錄,可以提供受訓者隨地學習和訓練,這兩個特點打破了傳統教學時空的限制,為學員自主學習、教師開放教學、師生互動交流提供了可能,也為實施現代教育思想提供了條件。
3.建立虛擬講堂
優秀教師的講授可以將學習效果演繹得趣味精彩,可以將學習內容組織得明白易懂,可以將現實運用解析得透徹自然。為更多學員獲得完美的教學體驗,為積累并共享優秀教學資源,為學員快捷準確全面理解知識運用知識提供幫助,記錄、整理并優秀教師或專家授課錄像,供更多受訓者學習參考。教學錄像在網上成為虛擬講堂,成為不同專業不同時期受訓者良好的教學資源,目前全球風行的慕課,可以成為這種培訓目的的教學模式,成本低,效益好。因為技術層面的因素,信息安全管理知識體系在理論基礎和原理解釋有大量不易理解的知識點和疑難問題,學習時需要佐證的理論和嚴謹的邏輯,需要傳授者環環相扣的謹密推演,因此針對重要知識點和疑難雜診的講授片段是受訓者自主式學習時需要的重要教學參考資料。各個大學基本都建設了網絡課堂,為虛擬講堂建設提供了很好的技術平臺。依據此平臺,建設信息安全管理和教學資源和網絡課程,可以構筑完整的知識體系,為培訓教育自主式學習提供了很好的學習資源。
4.建設信息安全管理實驗室
培訓教育能力訓練是教學環節中的主要部分,驗證理論、觀摩操作方法和訓練技能需要包括場所、設備和軟件等實驗條件,實驗室是完成實驗任務和檢驗方法效果必須具備的教學條件。理論、方法和技能的實驗和訓練是信息安全管理培訓需要完成的教學環節,這些需要信息安全專業實驗室的支持。信息技術具有可設計、可復制、可重用的特點,使得基于信息技術的教育訓練條件具備降低訓練費用、提高學員學習自主性、提供學員反復學習等長處,結合音頻處理技術、視頻處理技術、三維動畫技術,可以為學員學習提供強烈逼真的感官刺激、美輪美奐的藝術表現和自主操控的虛幻體驗。從訓練目的而言,實驗室可以分為虛擬實驗室和能力訓練場兩部分。
(1)虛擬實驗室。信息安全管理涉及大量技術手段,信息安全技術攻擊和防范具有不可見、不易理解的特點,需要顯而易見、通俗易懂的形象展示。虛擬實驗室是依托信息技術按照實驗室運行規律、要求和任務,以網頁形式在計算機網絡上建立的可以模擬實驗室運行的軟件系統。虛擬實驗室內設信息安全管理所需要的各種理論、方法和技能引擎,可以多維形象地反復演示信息安全管理的理論、方法和技能,可以允許受訓者以第一人稱介入并依據受訓者干預情況展示相應信息安全分析結果,虛擬實驗室可以記錄并考核受訓者實驗過程和成績。
電子信息安全管理防范意識管理質量近些年來,我國計算機網絡技術異乎尋常地突飛猛進,把人們帶入了前所未有的信息化時代,網絡和人們息息相關,無論工作、學習、生活、購物乃至娛樂與游戲,一刻也離不開網絡的支持。信息化和網絡化時代,電子商務(Electronic Commerce)應運而生。隨著電子商務的出現,人們的交流更加便利,比如電子郵件可以隨時隨地地進行傳遞,電子商務讓人們的生活更加隨心所欲,工作效率得到了前所未有的提高。黑客(hacker)的出現,極大地干擾了網絡,帶來了一定的破壞,給人們帶來了巨大的經濟損失和精神方面的憂慮,甚至一度引起全世界范圍內的恐慌,人們對電子信息失去了信任,即使在安全的情況下,很多人依然心有余悸。以故,加強電子信息安全管理勢在必然。
一、電子信息安全管理中存在的問題
1.安全防范意識落后
我國的信息技術迅猛發展,人們沉浸在便利的喜悅中,忽略了安全管理。由于電子商務處于初步發展階段,很多技術方面尚不成熟,一些高標準的電子商務平臺尚還沒有搭建起來,對黑客缺乏防御的小型電子商務平臺雖然隨處可見,但其缺乏有效的安全管理,經營者麻痹大意,心存僥幸,認為“黑客”雖然存在,但是自身未必遭受攻擊,他們更多地關注業務的發展,重視平臺規模的擴大和系統功能的開發。在這種情況下,系統缺乏安全防御,一旦受到攻擊,立即癱瘓不能運轉和造成損失。此外,有些管理者為了防御黑客,在市場上購買了一些大眾化的安全管理軟件,便覺得安裝了這些“高新”產品,就會高枕無憂,永遠安全的使用電子商務。結果,常常事與愿違,造成巨大的損失。
2.信息安全技術匱乏
經過一段時間的努力,國內的信息安全管理技術不斷提升,連續邁上新的臺階,情況喜人。但是,我們也要有自知之明,因為和許多西方國家相比,信息安全防御與控制技術相對落后很多,并且,我們在經費的投入方面,有明顯的差距;自主研發技術存在的不足之處多多,亟需改善。我們更要清楚的一點是:我們的技術,很多都是借鑒國外的經驗,缺乏獨創。如此步人后塵,電子信息安全管理質量難以有質的突破。
3.信息安全產品鑒定混亂無序
為了安全起見,很多企業花費不菲,購買了一些安全方面的軟件,殊不知,這些產品在一般情況下,確實能夠起到電子信息使用平臺的安全作用,但如果病毒強大,絕對的安全便難以保證。縱觀市場上的安全軟件產品,良莠不齊,并且,目前市場上對于安全產品的鑒定沒有統一標準,各執一說,很多都是主觀判斷,由此產生隱患。
二、電子信息安全管理的有效措施
在電子信息安全管理方面,一旦出現問題,就會造成損失,一些企業“吃一塹長一智”,采取了相關措施,不過,調查表明,大多數企業存在“重技術,輕管理”的情況,而且由于一些企業尚未造成重大損失,管理層對安全問題漠不關心,或重視不夠。下面針對加強電子信息安全管理的主要措施做一探討。
1.構建完善的管理組織機構,加強管理
電子信息安全管理組織機構的完善有力地促進了企業的發展,從安全決策到認真執行,層層構架,發揮職能。管理框架的構建要集思廣益,審慎剴切;安全制度的審批須一絲不茍,審查入微;安全職責的分配必須認真到位,監督有力;遵照網絡系統安全制度,嚴肅執行,進行網絡系統的日常維護。如屬于大型的電子商務平臺或者集團企業,更加需要增加投入,比如聘請有造詣的專家成立顧問組織,以便企業進行疑難咨詢,或是參照出現的問題出列解決方案,爾后進一步對責任進行調查、評估。
2.電子信息安全管理制度有待進一步完善
電子信息安全管理制度主要包括兩方面的內容,第一點就是構建電子信息控制制度,第二點是出現問題之后的解決策略。關于第一點,需要明確責任,注重細節,出現任何情況都要嚴格審核,并且定期檢查;至于第二點,注意信息傳遞過程中的信息維護,密切跟蹤,及時報告,達到有效監督。最后,備份數據文件儲存。
3.專業亟待提升
互聯網的發展突飛猛進,普及千家萬戶,安全技術的研發相對于互聯網的發展遠遠落后,原因諸多,最重要的一點就是缺乏過硬的技術人員。一般而言,電子商務規模越大,電子信息安全管理隊伍的陣容也要隨之擴充,只有電子信息安全管理隊伍強大,才能夠產生無窮的智慧與應對措施,保證電子商務平臺的安全。
4.系統安全檢測
黑客一詞被用于泛指那些專門利用電腦網絡和系統安全漏洞對網絡進行攻擊破壞或竊取資料的人。病毒與黑客不斷變換手段,頻頻對電子商務系統采取攻擊行動,有時候能導致整個系統癱瘓。出現意外情況,要立即檢測,要經常更換密碼,設置復雜一些的密碼,要經常對防火墻進行檢查,系統功能是否保持,是否出現漏洞等,要細致入微,不能有一絲一毫的疏忽,嚴防黑客侵入。
5.建立保護系統的方案
時常進行安全檢測,一旦系統的安全檢測失靈,必須立即建立系統安全防護措施。系統安全管理極其復雜,缺乏安全可靠的保護,電子商務在網絡平臺失去有效的依靠,隨時會出現漏洞。反之,安全策略嚴謹,防護得力,即便系統遭受攻擊,也會及時發現,能將損失最小化。
6.管理培訓的重要性
防護系統的工作人員,要進行考試錄用、上崗培訓,企業經常進行人員培訓,定期學習安全策略和規章制度。讓每一個員工加強安全觀念,提升對信息安全的重視,認識到防護的重要性,堅守崗位,忠于職守,明了企業安全規章制度的含義。
三、結語
綜上所述,近年來經濟騰飛,經濟全球化進程不斷加快,計算機技術無所不在,網絡暢通無極,人們在網絡平臺上進行商務管理、學習、游戲、查找資料、購物匯款等等,網絡信息交互平臺已經深入大家的生活,人們已經一日不可沒有網絡的存在。網絡如此不可或缺,隨著計算機病毒造成的一次次的損失,人們對電子信息安全管理質量憂心忡忡。
在這一背景下,很多電子信息安全管理研究機構紛紛推出各類電子信息安全管理產品,盡管其對確保信息安全起到了一定的功效,但是,一切并不是萬能的。這也使得人們明白了技術產品并不僅僅是安全管理工作的全部。本文結合當前電子信息安全管理現狀,提出了一些相應的應對措施,希望能夠有效提升電子信息安全管理的質量。
參考文獻:
[1]姚帝曉.電子商務安全問題的思考[J].商場現代化,2006,(7):103.
