随着信息技术的高速发展和计算机技术及网络技术的广泛应用,信息系统在企业经营战略中的作用和地位日趋重要,企业对信息系统的依赖性也在不断增长。随之,信息安全问题也变得日益突出,信息系统的脆弱性也日渐凸显。
一、信息安全威胁
我们要对企业信息网络可能面临的安全威胁和安全问题进行系统地分析,形成完整的安全需求,才能构造符合企业实际的、可操控性的信息安全体系。
1.可能面临的安全威胁
物理安全风险。包括:计算机系统的设备、设施、媒体和信息面临因自然灾害(火灾、水灾、地震)、环境事故(断电、鼠患等)、人为操作失误、以及不法分子通过物理手段进行违法犯罪等风险。
数据安全风险。包括:竞争性业务的经营和管理数据泄漏,客户数据(尤其是大客户资料)泄漏、数据被人为恶意篡改或破坏等。
网络安全风险。包括:病毒造成网络瘫痪与拥塞、内部或外部人为恶意破坏造成网络设备瘫痪、来自互联网黑客的非法入侵威胁等。
业务中断风险。以上风险都可能造成企业业务中断,甚至造成企业重大损失和恶劣社会影响,造成企业品牌和信誉。
2.可能存在的安全问题
(1)信息网络系统建设规划上的不完善
信息网络建设初期,是以保证企业应用的功能和性能为主的,没有将信息安全作为系统的主要功能之一。虽然利用当时的技术手段采取了一些安全措施,但安全保护措施较为零散,缺乏整体性与系统性,对于信息网络的安全保护缺乏统一的、明确的指导思想,这是引发安全问题的主要源头。
(2)技术与设计上的不完善
自计算机和互联网问世以来。设计上的缺陷和技术上的漏洞随之系统的深入应用逐步暴露出来,这些缺陷存在于计算机操作系统、数据库系统、网络软件和应用软件等的各个层次,有可能被某些恶意用户利用,来获取非法利益。这也是引发安全问题的主要原因。
(3)网络互联方面的风险
随着企业业务的扩展,企业信息网同外部信息网的连接关系越来越复杂。在企业的信息网络与外界网络的连接之间,特别是和互联网之间,如缺乏必要且有效地技术防范措施,那么恶意用户容易利用漏洞侵害内部网络。
(4)安全管理面的问题
如果没有建立专门的安全管理组织,信息安全管理制度不健全或贯彻落实不力,人员不到位,安全防范意识不强,或者企业为节约成本,在人力投入和实际需求之间存在矛盾。这些问题都会使安全技术和管理措施难以有效实施。
二、信息安全管理
信息安全不仅是技术问题,更主要的是管理问题。俗话说“三分技术,七分管理”,任何技术措施只能起到增强信息安全防范能力的作用。只有管理到位了,才能保障技术措施充分发挥作用。能否对信息网络实施有效的管理和控制是保障信息安全的关键。构建企业信息安全管理体系时,应建立从信息网络规划、建设、运行维护到报废的全过程安全管理,建立评估、响应、防护、评估的动态闭环的管理过程。
1.加强全过程安全管理
信息系统整个生命周期分为规划、建设、运维、报废四个阶段,不同的阶段有不同的安全管理重点和要求。
1.1 信息网络的规划阶段
此时应加强对信息安全建设和管理的规划。信息安全建设本身就需要投入一定的人力、物力和财力,且无论管理工作还是技术建设工作都不可能一步到位,因此要根据企业状况实事求是地确定信息网络的安全总体目标和阶段目标,分步实施,从而有效降低风险。
1.2 信息网络建设阶段
建设管理单位要将安全需求的汇总和安全性能、功能的测试列入工程建设各个阶段工作的主要内容,要加强对开发(实施)人员、开发过程中的资料(尤其是涉及各种加密算法的资料)、版本控制的管理,要加强对开发环境、用户和路由设置、关键代码的检查。
1.3 信息网络运行维护阶段
·建立有效的安全管理组织架构,明确各级人员职责,理顺流程,制定完善的安全管理制度,实施高效管理。
·建立多应急预案体系,保证信息网络不问断运行,例如:设备故障应急预案、网络中断应急预案、灾备系统应急等。
·加强对物理场所的安全管理,包括人员出入管理、机房物理安全管理、消防安全管理等。
·加强安全技术和管理培训。大多损害是出自内部人员的情况,必须加强对内部人员的管理(包括技术人员和营业人员)和教育,让相关人员知法懂法。
·加强对安全管理制度的执行力度和违规行为的处罚力度。
1.4 系统及设备报废阶段
对于已过期的保密信息(纸质文档、电子文档等),要及时、集中销毁;对于报废设备处理时也要销毁遗存在设备上涉及安全的信息。
2.建立动态的闭环管理流程
企业的信息网络是一个处在不断的建设、调整、再建设、再调整的过程,新的安全漏洞和设计缺陷总是不断地被发现,单纯的静态管理流程已经不能满足要求的,需要建立动态的、闭环的管理流程。动态、闭环的管理流程就是要在企业整体安全策略的控制和指导下,通过安全评估和检测工具及时了解信息网络中存在的安全问题和安全隐患,据此制定安全建设规划和安全加固方案,综合应用各种安全防护产品,将系统逐步调整到相对安全的状态。
总之,信息安全管理体系的建立是一个目标累加、持续改进完善的过程,是需要企业从上到下的参与和重视,不同的企业应根据自身的特点和具体情况,采取不同的步骤和方法,将企业的安全风险控制在可接受的范围内,才能保证企业业务的持续性和企业效益的最大化。