关于构建企业信息安全体系的探讨
随着计算机技术的飞速发展,市场竞争的日益激烈,各大企业都加大了科技投入,全面推进信息化建设,以信息化提高企业核心竞争力。与此同时,由于信息系统本身的脆弱性和复杂性,大量的信息安全问题也伴随着计算机应用的拓展而不断涌现,病毒传播、黑客入侵、网络犯罪等安全事件的发生频率逐年升高,危害性也越来越大。如何构建企业信息安全体系,保护企业的利益和信息资产不受侵害,为用户提供可信的服务,已成为各企业当前迫切需要解决的问题。笔者长期在企业中从事信息网运行维护和安全管理,现结合企业特点和实践经验,就如何构建企业信息安全体系进行粗浅的探讨。
企业信息安全需求分析
首先,要对企业信息网络可能面临的安全威胁和安全问题进行系统地分析,形成完整的安全需求,才能构造符合企业实际的可操作性强的信息安全体系。
可能面临的安全威胁
(1)物理安全风险
物理安全风险包括:计算机系统的设备、设施、媒体和信息面临因自然灾害(如火灾、洪灾、地震)、环境事故(如断电、鼠患)、人为物理操作失误以及不法分子通过物理手段进行违法犯罪等风险。
(2)数据安全风险
数据安全风险包括:竞争性业务的经营和管理数据泄漏,客户数据(尤其是大客户资料)泄漏、数据被人为恶意篡改或破坏等。
(3)网络安全风险
网络安全风险包括:病毒造成网络瘫痪与拥塞、内部或外部人为恶意破坏造成网络设备瘫痪、来自互联网黑客的入侵威胁等。
(4)业务中断风险
以上这些风险都可能造成企业业务中断,甚至造成企业重大损失和恶劣社会影响,破坏企业品牌和信誉。
可能存在的安全问题
(1)信息网络系统建设规划上的不完善。信息网络建设初期,是以保证企业应用的功能和性能为主,没有将信息安全作为系统的主要功能之一,虽然利用当时的技术手段采取了一些安全措施,但安全保护措施较为零散,缺乏整体性与系统性,对于信息网络的安全保护缺乏统一的、明确的指导思想,这是引发安全问题的主要源头。
(2)技术与设计上的不完善。自计算机诞生和互联网问世起,技术上的漏洞和设计方面的缺陷就随之而来,这些缺陷存在于计算机操作系统、数据库系统、网络软件和应用软件的各个层次,有可能被恶意用户利用来获取非法访问权限。这也是引发安全问题的主要原因。
(3)网络互联方面的风险。随着企业业务的扩展,企业信息网同外部信息网的联接关系越来越复杂。在企业的信息网络与外界网络的连接之间,特别是和互联网之间,如果缺乏必要的,有效的技术防范措施,那么恶意用户容易利用漏洞侵入内部网络。
(4)安全管理面的问题。主要表现在:没有建立专门的安全管理组织,信息安全管理制度不健全或贯彻落实不够,人员不到位,安全防范意识不强,或者企业为节约成本,人力投入和实际需要存在矛盾。这些问题使得安全技术和管理措施难以有效实施。
企业信息安全的体系架构
企业信息安全的总体架构
通过上述分析,根据企业信息安全需求,我们可以提出此方面的总体框架模型,详见下图。企业信息安全架构总体上可分为技术体系和管理体系,目的是确保信息的机密性、完整性、可用性、可审计性和抗抵赖性,以及企业对信息资源的控制,确保企业经营和业务的不间断运行。
如何构建企业信息安全的技术体系
物理安全
保证信息系统物理安全,首先要根据国家标准、企业的信息安全等级和资金状况,制定适合本企业的物理安全要求,并通过建设和管理达到相关标准。
其次,关键的信息系统资源,包括主机、应用服务器、网络设备、加密机等设备,通信电路,以及物理介质(软/硬磁盘、光盘、磁带、IC卡、PC卡等),应有加密、电磁屏蔽等保护措施,应放在物理上安全的地方。
系统平台安全
系统平台安全主要是保护主机上的操作系统与数据库系统的安全,它们是两类非常成熟的产品,安全功能较为完善。对于保证系统平台安全,总体思路是先通过安全加固解决企业管理方面安全漏洞,然后采用安全技术设备来增强其安全防护能力。实施系统平台安全应注意以下几个方面:
(1)加强主机操作系统、数据库系统的账户与口令管理,其中:系统建设过程中可能遗留有无用账户、缺省账户和缺省口令应注意清查并及时删除;如无法确认,必须修改缺省口令;账户口令要符合设置要求,对重要设备的系统级(ROOT)账户口令每个月至少要变更一次,重要操作后要及时变更口令。
(2)要建立操作系统、数据库和应用系统的相关应用和端口的对应关系,关闭主机系统上与应用服务无关的端口。
(3)企业应用系统对不间断运行的要求较高,如采用打补丁的方式进行加固,风险大,工作量大,即便是表面看起来很普通的补丁也可能造成整个系统瘫痪。因此,打补丁的最佳时机是在应用系统上线投产前的安装调试阶段;应用上线后,尽量不要采用打补丁加固的方法,如要确实要打补丁,事先要经过严格的测试并做好数据备份和回退措施。
(4)如果系统平台中存在较大安全漏洞而无法打补丁加固的,可利用安全保护措施的互补性,在网络边界处采取合适安全保护措施,并加强对主机系统的审计与管理,以弥补该问题遗留的安全隐患。
(5)对于企业外公司开发的应用系统,如需要开发公司工程师远程登入查找故障,应贯彻最小授权原则,开放的账户只能给予满足要求的最小权限,并对远程登入时间、操作完成时、操作事项进行记录,及时关闭开放的用户;有条件的,可打开系统平台自带的审计工具,或配备第三方的监控、审计和身份认证工具。
网络安全
计算机网络是应用数据的传输通道,并控制流入、流出内部网的信息流。网络安全最主要的任务是规范其连接方式,加强访问控制,部署安全保护产品,建立相应的管理制度并贯彻实施。建设网络安全体系应注意以下几个方面:
(1)计算机网络边界的保护强度与其内部网中数据、应用的重要程度紧密相关,网络安全等级应根据节点的网络规模、数据重要性和应用重要性进行划分并动态调整。
(2)可以根据不同数据和应用的安全等级以及相互之间的访问关系,将内部网络划分的为不同的区域,建立以防火墙为核心的边界防护体系。
(3)项目规划阶段就要考虑防火墙、漏洞扫描、入侵检测和防病毒等各安全产品之间的互相协作关系,以实现动态防护。
应用安全
应用安全是保护应用系统的安全、稳定运行,保障企业和企业用户的合法权益。保证应用系统安全,应加强以下几个方面的建设:
(1)建立统一的密码基础设施,保证在此统一的基础上实现各项安全技术。
(2)实施合适的安全技术,如身份鉴别、访问控制、审计、数据保密性与完整性保护、备份与恢复等。
为实现以上安全目标,可建立如下安全策略:
(1)根据企业应用系统的特点,抽象出应用系统的基本模式,然后建立相应的安全模型,并统一设计同类应用系统的安全功能的实现方法。
(2)根据应用系统模式及其传输的业务数据的重要性,为应用系统划分安全等级,针对不同安全等级的应用系统实施不同强度的安全保护功能。
如何构建企业信息安全的管理体系
信息安全不仅是技术问题,更主要是管理问题。俗话说“三分技术,七分管理”,任何技术措施只能起到增强信息安全防范能力的作用,只有管理到位,才能保障技术措施充分发挥作用,能否对信息网络实施有效的管理和控制是保障信息安全的关键。构建企业信息安全管理体系时,应建立从规划、建设、运行维护到报废的全过程安全管理,建立评估- 响应- 防护- 评估的动态闭环的管理流程。
加强全过程安全管理
信息系统整个生命周期分为规划、建设、运行维护、报废四个阶段,不同的阶段有不同的安全管理重点和要求。
(1)在信息网的规划阶段就要加强对信息安全建设和管理的规划。信息安全建设需要投入一定的人力、物力和财力,无论管理工作或技术建设工作都不可能一步到位,因此要根据企业状况实事求是地确定信息网的安全总体目标和阶段目标,分阶段实施,降低投资风险。
(2)在工程建设阶段,建设管理单位要将安全需求的汇总和安全性能、功能的测试列入工程建设各个阶段工作的重要内容,要加强对开发(实施)人员、开发过程中的资料(尤其是涉及各种加密算法的资料)、版本控制的管理,要加强对开发环境、用户和路由设置、关键代码的检查。
(3)在运行维护阶段,要注意以下事项:
①建立有效的安全管理组织架构,明确职责,理顺流程,实施高效地管理。领导重视是做好信息安全工作的关键,人员落实是做好信息安全工作的保障。
②制定完善的安全管理制度,加强信息网的操作系统、数据库、网络设备、应用系统运行维护过程的安全管理。
③要建立应急预案体系,保证业务不间断运行,包括:主机应急预案、业务应急预案、网络应急预案、灾备系统等。
④信息中心要加强对物理场所的安全管理,包括机房人员出入管理、营业场所出入管理、机房物理安全管理、消防安全管理等。
⑤加强安全技术和管理培训;针对已发生的犯罪大多是内部人员或内外勾结犯罪的情况,要加强对内部人员的管理(包括技术人员和营业人员)和教育,让相关人员知法懂法。
⑥加强执行力度和违规行为的处罚力度。根据以往教训,往往是有章不循而且连续几个环节都没有遵守规章制度,才让犯罪分子有机可乘。
(4)在设备报废阶段,对于过期的保密信息(包括电子文档记录的信息),要及时、集中销毁;对于报废设备,处理时要销毁遗留在设备上涉及安全的信息。
建立动态的闭环管理流程
企业信息网处于不断地建设和调整中,新的安全漏洞总是不断地被发现,单纯的静态管理流程已不能满足要求的,需要建立动态的、闭环的管理流程。动态、闭环的管理流程就是要在企业整体安全策略的控制和指导下,通过安全评估和检测工具(如漏洞扫描、入侵检测等)及时了解信息网存在的安全问题和安全隐患,据此制定安全建设规划和安全加固方案,综合应用各种安全防护产品(如防火墙、防病毒、身份认证、审计等手段),将系统调整到相对安全的状态。其中:
(1)对于一个企业而言,安全策略是信息安全体系的核心,因此制定明确的、有效的安全策略是非常重要的。企业安全组织要根据这个策略制定详细的流程、规章制度、标准和安全建设规划、方案,保证这一系列策略规范在整个企业范围内贯彻实施,从而保护企业的投资和信息资源安全。
(2)要制定完善的、符合企业实际的信息安全策略,就必须先对企业信息网的安全状况进行评估。安全评估即对信息资产的安全技术和管理现状进行评估,让企业对自身面临的安全威胁和问题有全面的了解,从而制定有针对性的安全策略来指导信息安全的建设和管理工作。
总结
如果说信息化是建设现代化企业、增强企业核心竞争能力的必由之路,那么随着企业信息化业务的不断拓展,网络安全管理的任务将会越来越艰巨和复杂,网络安全问题不能回避也无可回避。抓好信息网络的安全管理与安全建设是长期任务,是保障企业信息安全的两个主要措施,两手都要抓,两手都要硬,片面强调哪一方面而忽视另一方面都是极其有害的。
本文结合企业信息安全的特点和实践经验,从安全体系架构层面谈了几点看法,只涉及其中一些侧重面,实际上信息安全是一项长期的系统化工作,需要全网统筹规划各相关单位、部门协同工作、扎实推进。总之,在信息安全的体系框架下,逐步建立完善的技术体系和管理体系,一定能保证企业信息网的安全运行,为企业发展和经营管理提供有力支撑。 | 发布时间:2012.12.01 来源: 查看次数:
