1.安全威胁
传统概念中,企业信息系统安全威胁似乎就是黑客入侵等导致信息资产损坏的行为。事实上,在企业信息安全体系中,信息安全及其关联的信息资产有着更为广泛和科学的范围。造成企业威胁的因素可分为人为因素和环境因素。根据威胁的动机,人为因素又可分为恶意和非恶意两种。威胁作用形式可以是对信息系统直接或间接的攻击,在保密性、完整性和可用性等方面造成损害;也可能是偶发的或蓄意的事件。
表1 企业信息安全考虑威胁的来源
根据以上威胁的表现形式,对这些威胁进行进一步的分类和分析,见表2。
表2 信息安全分析
2.信息安全体系内容
企业从网络建立发展以来,针对这些威胁因素,结合企业的实际情况,从业务驱动的角度出发,制定信息安全体系框架,在物理层、网络层、系统层、应用(数据)层、管理层上实现信息安全管理,实施信息系统安全等级保护,逐步构建企业的信息安全体系,并以框架为指导,对企业未来信息安全的各个平台进行设计和实施。
物理安全包括机房环境管理、核心安全部件物理防护、物理安全域的设置、双网隔离设备设置、监视系统等:
网络安全包括VLAN划分、防火墙、安全网关、VPN申请、因特网申请、IP管理、网络访问记录、移动设备安全、入侵防范、边界安全、网络设备等。系统安全包括操作系统安全、系统安全审计、角色管理、身份认证、系统日志审计、SEP、系统冗余/备份/容灾、终端安全(包括帐号策略、补丁安装、病毒防护、端口使用、共享、非法外联等内容)、服务器管理(帐户口令、认证授权、日志审计、协议安全、系统服务、数据保护等)、域用户管理、单机用户管理、漏洞扫描、VRV等。
数据安全包括数据完整性控制、数据备份、数据库系统管理、数据表管理、数据库用户、油田生产数据访问管理、油田开发数据管理、数据审计、数据导出管理等。应用安全包括应用授权、网页防篡改、应用系统开发、应用系统部署申请、应用系统维护、人员、岗位变动后信息变更管理流程、应用系统账户管理、网页信息访问权限管理、项目归档管理、文档权限管理、文档外发控制、文档备份、门户发布信息流程管理、调度接收信息管理等。
管理安全包括稽核与监管、安全管理规范(人员、机构、设施、环境、操作、开发)、最小特权、分权制约机制、密级的划分(国家秘密/专有信息)和等级选择、口令、证书、密钥的安全管理、内控管理等。对于每一项安全项目内容,结合实际情况,制定一个可操作的安全管理内容。如对计算机病毒管理,要求计算机发生病毒感染的时候,计算机操作人员要马上停止所有操作,不要向外部发送任何数据,以免病毒的传播,并通知安全管理员;在感染病毒的计算机上运行杀毒软件,全面检查计算机系统,将病毒彻底清除;如果是服务器发生了病毒感染,应立即停止服务器所运行的所有程序和相关服务,防止病毒进一步扩散,并通知系统维护人员和安全管理员;在服务器端运行杀毒软件,全面检查计算机系统,清除病毒;在服务器查杀病毒的同时,所有服务器管理的计算机都要进行病毒查杀;如需要,启动备份服务器,同时,将原有服务器与网络彻底断绝物理联系;如果病毒将系统破坏,导致系统无法恢复,应将感染病毒的计算机上的重要数据备份到其他存储介质,确保计算机内重要的数据不会丢失;对备份的数据也要进行病毒检测,防止病毒再次感染其他计算机。同时要将病毒感染情况、发作现象、处理结果进行记录,找到引起该病毒爆发的原因。
3.安全评估
安全评估就是评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁利用后所产生的实际负面影响或安全事件,并根据安全事件发生的可能性和负面影响的程度来准确识别安全风险。虽然建立了信息安全体系,但是必须通过安全评估,才能较为准确地了解自身的网络、应用系统以及管理制度方面的安全现状,针对存在的问题进行整改,使信息安全水平得到进一步提高,形成科学有序的监管体系。
信息安全评估的具体内容如下:一是管理制度的评估,包括机房管理制度、文档设备管理制度、管理人员培训制度、系统使用管理制度等。二是物理安全的评估,物理安全是信息系统安全的基础,一般包括场地安全、机房环境、灾难预防与恢复措施等几方面。三是计算机系统安全评估,指操作系统和数据的安全,主要有操作系统漏洞检测、系统存储环境中的数据安全、数据库的数据安全、应用系统的数据访问安全。四是网络与通信安全的评估,网络与通信的安全性在很大程度上决定着整个网络系统的安全性,评估的主要内容有网络基础设施、整体网络系统平台安全综合测试、模拟人侵、设置身份鉴别机制。五是日志与统计安全的评估,日志、统计的完整、详细是管理人员及时发现、解决问题的保证。六是安全保障措施的评估,安全保障措施是根据以上各个层次安全保障的要求,用户以网络、系统的特点、实际条件和管理要求为依据,建立各种安全管理制度。需要请专业的评估人员对企业的信息安全现状进行评估,通过评估发现信息系统中存在的安全隐患,可以准确制定安全策略及安全解决方案,从而指导单位信息系统安全的建设。
企业内信息系统的安全风险信息是动态变化的,只有动态的信息安全评估才能发现和跟踪最新的安全风险。所以信息安全评估是一个长期持续的工作,通常应该每隔l一3年就进行一次安全风险评估。
4.结论
在信息安全体系中,技术是工具,组织是运作,管理是指导,它们紧密配合,共同实现信息安全的目标。目前企业的信息安全体系建设正处于完善阶段,虽然已经开展了一系列工作,但在基础设施安全建设、专业安全技术平台建设、应用系统安全建设、管理组织完善、制度与标准健全等方面仍有不足之处,企业战略、安全标准、作业流程、安全组织、规范制度、甚至安全工具与实施手段都是企业实现信息安全建设目标的必要因素,我们需要结合实际情况,逐步完善企业的信息安全体系。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:建立企业网络安全管理体系探讨