时间:2023-10-13 09:40:46
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇信息安全管理范例。如需获取更多原创内容,可随时联系我们的客服老师。
一、前言
国网公司现已建成覆盖至基层生产班站及营业站所的信息内网。随着SG186工程的全面投入运行,从职能部室到一线班组,电力企业所有的业务数据都依赖网络进行流转,电网企业生产和经营对信息网络和信息系统的依赖程度越来越高信息安全的重要性日益凸显。国网公司已将网络与信息安全纳入公司安全管理体系。
一直以来,信息安全防御理念常局限于常规的网关级别(防火墙等)、网络边界(漏洞扫描、安全审计)等方面的防御,重要的安全设施大多集中于核心机房、网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁已大大减少,尤其实行内外网隔离、双网双机后,来自于互联网的威胁微乎其微。而内网办公终端由于分布地点广泛,管控难度大,加之现在无线上网卡、无线wifi和智能手机的兴起,内网计算机接入互联网的事件时有发生,一旦使用人员将内网计算机通过以上方式接入互联网,即造成违规外联事件。由于违规外联开通了一条无任何保护措施进出内外网的通道,一旦遭遇黑客袭击,就可能造成信息泄露、重要数据丢失、病毒入侵、网络瘫痪等信息安全事故,给企业信息安全带来重大的安全隐患和风险。
二、强化管理、落实责任,监培并进
1、将违规外联明确写入公司各项规章制度,并纳入经济责任考核。在《公司信息系统安全管理办法》中,对杜绝违规外联事件进行了明确的要求:所有内网计算机必须粘贴防止违规外联提示卡,严禁将接入过互联网未经处理的计算机接入内网,严禁在普通计算机上安装双网卡,严禁将智能设备(3G手机、无线网卡等)插入内网计算机USB端口,严禁在办公区通过路由器连接外网,杜绝违规外联行为。 一旦发生违规外联事件,依据《企业信息化工作评级实施细则》,按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则对事件责任人进行严肃处理和经济考核,并在全公司通报批评。将信息安全责任落实到人。
2、加大违规外联宣贯和培训力度。信息安全工作,重在预防,将一切安全事件消灭在萌芽状态,才能确保信息系统安全稳定运行。分层次组织开展公司在岗员工,尤其是新员工的信息安全教育培训工作,即重点培训各部门信息化管理人员,各级管理人员培训本部门技术人员,本部门技术人员培训一线员工。通过分层式培训,提高了培训效果,同时各级管理人员、技术人员作为下级培训对象讲师提高了自身素质,强化了信息安全关键点的作用。确保违规外联事件的严重性、危害性和工作机理已宣贯至公司每一位员工,实现全员重视、全员掌握,做到内网计算机“离座就锁屏,下班就关机”的工作习惯。
3、加强外来工作人员管控。加强外来工作人员信息安全教育,并签订《第三方人员现场安全合同书》,严禁外来工作人员计算机接入公司内外网。对第三方人员工作过程全程监控,防止因外来工作人员擅自操作造成违规外联事件。
三、加强技术管控,从源头杜绝安全事件的发生
2.1严格执行“双网双机”
严禁在信息内网和外网交叉使用计算机。对要求接入信息内、外网的计算机,需向本人核实该计算机之前网络接入情况,对内外网络接入方式有变化、或者是不清楚的情况,需对计算机进行硬盘格式化并重装系统后方可接入网络。
2.2安装桌面终端,设置强口令,防止违规外联
实时监控全公司内网终端桌面终端系统安装率,确保所有内网计算机桌面终端安装率达100%。设置桌面终端策略,一旦发生违规外联,系统立即采取断网措施,并对终端用户进行警示。要求全部内网计算机设置开机强口令(数字+字母+特殊符号,且大于8位),防止非本人操作的违规外联行为。通过桌面终端系统对内网计算机开机强口令进行实时监控。
2.3做好温馨提示,明确内外网设备,防止违规外联
做到每一台内网计算机均粘贴信息安全提示标签提示员工切勿内网计算机接入外网网络,无线网卡及智能手机切勿接入内网。内外网网络端口模块、网线端口都要有明显标识,防止员工误接网络。
2.4实行内网计算机IP、MAC绑定和外网计算机IP、认证账号绑定
加强IP地址绑定,从交换机端口对接入内网的计算机进行IP、MAC地址绑定,确保除本计算机外,其余计算机无法通过该端口接入内网。
通过外网审计(网康科技)对外网IP和用户认证账户进行绑定,完善外网用户和计算机基础资料,做到全局外网终端和用户可控。
四、信息安全前景:
在信息安全领域没有绝对的安全防护技术和手段。随着信息技术日新月异的发展,电力企业内网计算机违规外联风险也在增加。在已有的管控手段的基础上,还要及时关注新技术,不断完善和调整制度管理和技术策略。信息安全是伴随企业信息化应用发展而发展的永恒课题。
关键词:石油企业;信息安全;管理手段
0引言
随着信息化建设进程飞速发展,作为信息载体的计算机、互联网已在企业生产、经营管理各个层面得到广泛应用。计算机网络的开放性、灵活性和广泛性在全面数字化的今天给经营管理带来了便捷、高效、有序的工作环境,同时也带来了较大的安全管理隐患。黑客的出现、安全漏洞的增多、管理的交叉混乱、恶意的网络攻击使网络安全管理遭受了较大的冲击,成为信息化健康发展的绊脚石。网络信息管理疏于安全的防范将危及到企业生产经济的有序发展。石油企业在国民经济中发挥着重要作用,任何风险都可能导致国家经济受到重大影响。因此,提高石油企业信息安全意识,加强信息管理应以保瘴服务和应用为目标,强化安全意识、制定周密的安全手段从而构建完善的信息安全管理体系。
1加强企业信息管理的必要性
1.1企业信息管理概念
企业信息管理是通过现代化的信息技术和设备,以网络技术和网络设备实现企业管理的自动化,进而对企业进行全方位和多角度的管理,以此来促进企业生产、经营管理的优化配置,进而通过企业资源的开发和信息技术的有效利用来提高企业的管理水平,增强企业的核心竞争力。企业信息管理的主要内容,一般包括企业未来的经济形势分析、预测资料、资源的可获量、市场和竞争对手的发展动向,以及政府政策与政治情况的环境变化等等。企业信息管理与制订企业发展战略、制订规划、合理地分配资源是密切相关的。同时,企业的信息管理也应当包括企业内部的信息资源,如财务管理信息、物资库存、钻井施工、职工档案管理等多方面的内容,并且促进企业的全面发展。
1.2企业信息安全管理的必要性
企业信息的存在方式有着多样性,而进行企业安全信息管理的主要目的,在于保护企业的信息安全,保证企业能够顺利的参与到市场经济活动中,进而提高企业的经济效益和社会效益,构筑起信息安全管理系统的保密性、完整性、可用性、可维护性、可验证性的目标,使企业安全信息管理能够通过有效的控制措施来实现。第一,企业管理的信息具有很强的保密性和完整性的特点,因此其对于企业的生产势力、科技含量、资金流动、企业的综合竞争力等多方面都有着重要的影响,同时对于企业的商业形象与合法经营也至关重要,因此加强企业信息安全管理是必要的。第二,由于网络自身所具有的开放性特性,决定了企业信息管理也面临着来自各方面的安全威胁,比如计算机病毒、黑客等,以及计算机诈骗、泄密等问题,也说明了加强企业信息安全管理势在必行。第三,企业对于信息系统产生的依赖也从另一方面暴露出了信息管理系统的脆弱,公共网络与私人网络的连接增强了信息的控制难度,使得信息在分散化的管理模式下,集中、专业控制的有效性大大减弱。另外,由于很多信息管理系统设计的缺陷,其自身就存在着不合理之处,这对于信息安全管理也带来了一定的难度。基于此,对于企业信息管理的安全性也成为了当前企业管理面临的一个重大课题。
2加强企业信息管理安全的防范措施
2.1不断完善信息管理系统
随着企业信息化的发展,目前应用的管理系统有PKI、邮箱、AD域、普OA、合同系统、A6、ERP、网络、操作系统、A7、档案系统、物采系统、OSC、视频会议、企业微信、门户网站、宝石花、数字营房、会议保障、E2、一体化、RTX、移动应用、短信平台。信息系统的连续稳定运行越来越重要,一旦系统中断,将会给企业的生产经营管理带来混乱,而数据一旦丢失,后果是不可估量的。为此,信息管理系统的投入和使用,是建立在充分的实践经验的基础上,通过一段时间的运行和观察,才能够投入使用。在不同的部门进行信息系统的引入时,应当按照部门的实际情况,通过多方引进,使用统一的信息管理系统。对于信息安全来说,首先要解决的就是系统是否能够通过安全验证对用户进行有效的管理,并且赋予不同等级的用户不同的使用权限,这样则能够有效的防止无权访问信息的用户对核心区域的访问,保证信息不会被盗用。同时,为保证信息系统的连续稳定运行,应采用双机服务器和从服务器。一旦发生服务器故障,由从服务器自动接替主服务器工作。
2.2有效的设备管理
设备安全主要涉及到由于自然灾害、人为因素造成的数据丢失。信息安全应建设完善的容灾备份系统,容灾备份系统一般由两个数据中心构成,主中心和备份中心。通过异地数据备份,实时地将主中心数据拷贝至备份中心存储系统中,使主中心存储数据与备份中心数据完全保持一致。同时,对于管理系统中使用的设备品牌、机型、内部配置以及使用时间等信息都要进行专门的记录,通过这些记录,定期对设备进行维护,同时也能够通过这些信息判断出信息的使用效率以及运行情况,对于设备的损坏或者是丢失情况都能够及时地了解。
2.3加强对人员的监督与管理
企业信息安全不单纯是技术问题,而是一个综合性的问题。其中最重要的因素是人,人是设备的主要操作者,因此对于信息的安全管理,就需要加强对人的管理,需要操作人员具有足够的安全意识,对于每一位操作人员进行相关的培训,对于唯一的用户名和密码等信息要进行妥善保管,同时让操作人员认识到泄密会导致的严重后果,增强责任意识。只有通过不断地学习及意识的培养,管理人员才能养成定期维护、按时打补丁、及时更新的操作习惯,以不变应万变的态度应对各种网络攻击手段。通过不断的加强过程管理,通过对每个细节的严密审查,能够有效减少人为出错的现象,同时通过科学的评价机制和激励机制,刺激人员工作的积极性,加强自身的责任意识。
2.4网络传输安全
为了保证互联网信息的安全以及做好信息的保密工作,安全管理系统的设计内容大体上分为三个模块,首先是安全体制模块,包含算法库、信息库以及用户界面三个小方面;其次是网络连接模块,包含安全协议以及通信接口两个小方面;最后是网络信息传输,包含安全管理、安全支撑以及安全传输三个系统。算法库是关于一些处理算法。信息库是关于用户进入口令、管理参数以及权限的设定,检查系统运行状况。
用户接口是用户操作界面以及用户私人信息管理。安全协议包括连接网络协议、用户个人身份确定协议等。通信接口的安全保障是依赖于安全协议的工作、在通常情况下,通信接口的实现方式包括两种:第一是用户在进入互联网时,才开启安全服务,并运行安全体制,用户所传输的信息都是经过系统的加密处理,然后被传输到互联网上,或者是数据链路,是比较透明的互联网信息传输与交换。此种方法很容易实现,而且不用对用户目前所使用的系统做一丝改动,用户所要投入的资金也比较少。第二种是修改目前的通信协议,在互联网与应用之间增加一个安全层,使信息的安全处理变得透明化以及自动化。安全管理系统是一个包含很多程序的软件包,主要负责用户界面上安全管理器的正常工作,可以使得用户很容易地控制计算机上信息的传输,保证安全。我们通常把这个系统安装在用户计算机的终端,或者是网络节点。安全支撑系统是整个安全管理系统最值得信任的一方,其物理安全以及逻辑安全是非常重要的,需要得到严密而全面的防护。
二、安全管理系统的实现
安全管理系统总共包括以上的内容,具体的实现有很多的问题,需要有条不紊的进行。以下是针对管理系统实现所采取的具体的实现步骤,按照这些步骤来一步一步进行,不会出现混乱的情况,而且条理清晰,可以降低出错的几率,也可以保证管理系统的质量。
(一)熟知互联网的状况,估计风险及各种木马攻击
互联网上的信息安全保障是很薄弱的一个环节,如果防护措施做不好,就会经常受到黑客的攻击,盗取信息,甚至泄露出去,造成个人或者是企业的损失。为了预防或者是击退这些攻击,需要全面地了解平时所有的攻击方式、攻击方位,还有要了解哪些部分是比较薄弱的地方,给予加强保护。只有掌握了攻击的全面资料,才可能有针对性地做出比较全面而可靠的保护措施。
(二)安全策略的制定与优化
安全管理系统需要一个明确的目标与原则,这就是安全策略。安全策略的优化需要考虑以下几个方面:第一需要从系统整体出发,咨询用户的需求,根据应用的环境来制定策略,这其中包含各个子系统的策略制定。第二需要考虑策略的制定会不会对原有的系统产生什么负面的影响,比如通信延时等。第三,策略的制定要方便用户对计算机的操作,包括控制,管理以及配置等。第四,用户界面要人性化。第五,投资的金额要少。
(三)安全模型
模型可以把抽象的问题具体化,使问题简单起来,不再那么复杂,寻求到更好地解决办法,制定更加完善的安全策略,就像是教师教学时经常使用各种模型,让学生容易理解深奥的问题。模型包括整个系统中的所有子系统,这些子系统在上面的内容已经有过阐述。
(四)安全服务的选择以及实现
应用密码技术,来实现向用户所保证的安全服务。这是一种现代的技术,能够保障整个系统的安全性,保护用户的私人信息,使用户不用再担心个人资料的泄漏,保障用户的个人利益。安全服务有两条实现的途径,分别为软件编程以及硬件芯片,其中在通过软件编程来实现安全服务时,需要注意机身的内存,优化系统的流程,增加程序运行时的稳定,以及降低运算时间。
(五)安全协议的制定
信息安全管理系统作为信息安全的支撑体系以及实施信息安全维护的落脚点,是信息安全管理中的重要组成部分。目前我国的信息安全管理系统还尚未完善,其不足之处首先表现为缺少统一的存储平台来对众多的文档进行储存,从而导致大量文档的丢失;其次,如果信息安全管理系统不完善,就不能降低资产等的风险评估以及对资产进行集中式的管理;最后,由于信息安全系统中各个报表功能的不完善,文档信息就无法快速、准确地透露出信息安全的实际状况,从而起到有效地保护作用。信息安全管理系统主要能够通过对关键资产实行定性和定量分析,从而得出资产的精确风险值,识别系统中存在的重要因患资产,并进一步通知信息管理员采取适当地方法来减少隐患事件的发生,通过科学的管理降低企业的资产风险。由此可见,完善的信息安全管理系统是不可或缺的,它一方面决定着信息安全管理体系的具体实施,另一方面也可以促进企业信息安全管理体系的进一步维护与建设。
2信息安全管理系统标准
科学统一的国家信息安全标准,有利于协调与融合各个信息安全管理系统的工作,充分促进信息安全标准系统的功能发挥。我国的信息安全管理标准主要分为ISO/IEC27000系列标准与信息安全等级保护标准两个部分。
2.1ISO/IEC27000系列标准
1995年,英国标准协会(BSI)了BS7799-1和BS7799-2两部标准,随着时代的进步其逐渐发展为ISO/IEC27001和ISO/IEC27002两个部分,并进一步成为目前信息安全管理体系的主要核心标准。BS7799的最初提出目的主要在于建立起一套能够用于开发、实施以及测量的科学信息安全管理惯例,并作为一种通用框架来促进贸易伙伴之间的信任。ISO/IEC27001重视ISMS的建构以及在PDCA基础之上的进一步循环与完善,这一过程实质上就是在宏观的角度上来指导整个项目的有效实施。它意在风险管理的基础之上,用风险分析的途径,把发生信息风险的概率降到最低程度,同时采取适当地措施来保障主体业务的顺利进行。ISO/IEC27002主要阐述了133项控制细则,以及11项需要有效控制的项目,其中包括安全策略、安全组织、信息安全事件管理、人力资源安全、符合性物理与环境安全、访问控制、资产管理、系统的开发与维护、业务连续性管理、通信与操作安全等一系列的安全风险评估与控制。
2.2信息安全等级保护
1994年国务院出台了《中华人民共和国计算机信息系统安全保护条例》,该项基本制度的主要目的在于提高信息安全保障能力的水平、保障并促进信息化的健康与发展,从而进一步维护国家安全、社会发展以及人民群众的利益。它的核心标准《GB17859-1999计算机信息系统安全保护等级划分准则》是在TCSEC的分级保护思想基础之上,针对我国信息安全的发展实际进行改善,最终把安全等级缩减成更具可操作性的5个级别。《GB/T22239-2008信息系统安全等级保护基本要求》则把信息安全控制要求进一步整理为管理要求与技术要求两类,其中前者主要包括系统建设管理、安全管理制度、系统运维管理、安全管理机构和人员安全管理;后者主要包括应用安全、网络安全、物理安全、主机安全以及数据安全与备份恢复。此外,信息安全等级保护的系列标准里还包括《GB/T20270-2006网络基础安全技术要求》以及《GB/T20271-2006信息系统安全通用要求》等一些关于信息安全维护细则的具体操作要求。
3信息安全管理系统的模型设计
根据信息安全管理系统标准,结合以往的信息安全管理系统设计,提出一种新型的四层信息安全管理系统:第一层为信息采集:主要包括人工脆弱性检查、漏洞扫描工具以及日志采集系统三部分。这一信息采集层的主要功能在于采集安全保护对象的漏洞与安全事件。第二层是数据库层:包括日志、资产库、异常日志以及资产弱点库和资产风险库等。该数据库层的主要功能在于对信息安全管理系统中的数据进行存储。第三层为功能模块层:包括资产管理、风险管理、弱点管理、信息安全管理规范下载管理资产等级评估管理、拓补管理以及日志分析。最后一层为展示层:它包含某个具体业务系统中的业务系统整体安全状况、资产安全状况、业务系统拓补以及异常安全事件等相关部分。上述新型信息安全管理系统模型主要体现出以下六点创新之处:
(1)业务系统的动态建模和系统支持资产,可以把业务系统和资产二者绑定在一起,由此,整个信息安全系统一方面可以准确地体现出在一个具体业务系统环境下,其单独资产的具体安全状况;另一方面该信息安全系统还能够根据IS027001的具体标准,反应出整个资产所承载的整体业务系统的安全状况。
(2)所设计的风险模块管理可以把风险评估常态化、主动化,使其对整个业务周期内的所有资产风险进行动态的跟踪与准确分析;另外,该信息安全系统的日志审计功能也可以实现被动式的安全管理,从而使主动管理与被动管理在信息安全管理系统中充分融合。
(3)该新安全管理系统增加并促进了拓补管理功能的发挥。
关键词:信息安全等级保护信息安全管理体系
ComparisonofCPISandISMS
LiJun(InnerMongoliaAutonomousRegionPublicSecurity)
XieZongxiao(ChinaFinancialCertificationAuthority,CFCA)
Abstract:Basedontheanalysisofdefinitionofclassifiedprotectionofinformationsystem(CPIS)andinformationsecuritymanagementsystem(ISMS),fromthelogicalframework,theimplementationofprocessesandcontrols,wecomparedboth.
Keywords:informationSecurity,CPIS,ISMS
1信息安全等级保护(CPIS)
信息安全等级保护,或者信息系统安全等级保护(简称等级保护),在公文中,一般是前者,但是在标准中,例如,最典型的GB/T22239—2008和GB/T22240—2008用的标题是后者。单就这2个标准而言的话,描述的对象却是主要围绕“信息系统安全”,而不是广义的“信息安全”。当然,本质上来说,等级是针对“信息系统”划分的,而不是针对“信息”划分的。在实践中,这两者不需要刻意区分。等级保护具体的定义如下:
信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和8SeEVmi7me7sxRCjGkySNg==存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
这个定义来自《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号1))[2,3]。
注意信息系统的定义:
信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
信息系统的定义也来自《关于信息安全等级保护工作的实施意见》。更早的相关定义,应该来自GB17859—1999,其中的定义3.1,定义了计算机信息系统(computerinformationsystem),具体为:
计算机信息系统是由计算机及其相关的和配套的设备、实施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
这种人机系统的定义,在实践中不容易理解,但是最接近学术中的最初理解,例如,Davis(2000)[4]认为信息系统包括信息技术设施、数据、应用系统和人员(informationtechnologyinfrastructure,data,applicationsystems,andpersonnelthatemployITto...)
2信息安全管理体系(ISMS)
原则上说,信息安全管理体系(简称ISMS)并不是一个专用术语,在较早版本的标准中2)对其进行了定义3),满足其中描述条件的应该都是ISMS[5,6]。但實际情况是,由于这个术语起源于ISO/IEC27002和ISO/IEC27001的早期版本,属于新生出来的一个词汇,其他文献中,就很少见到。所以在实践中,ISMS几乎成了一个专用术语。这如同,一提“质量管理体系(QMS4))”,大家就认为是ISO9000标准族道理是一样的。因为某种产品过于普及,就成为某类行为的代名词,这是很常见的现象。例如,你把快递地址微信给我,或者,回头我把文件QQ给你。由于ISO/IEC27000标准族在全球范围内实施广泛,在实践中,就会有此类对话,例如:我们在做27001,意思是说,我们在部署ISMS,或者说,我们在根据ISO/IEC27001部署信息安全。
换个说法,ISMS是一整套的保障组织信息安全的方案(或方法),是组织管理体系的一部分,定义和指导ISMS的标准是ISO/IEC27000标准族,而这其中,ISO/IEC27002和ISO/IEC27001是最重要也是出现最早的2个标准。由于这个原因,导致这一堆词汇在实践中开始混用,而不必刻意地去区分。因此,在下文中,这几个词汇都认为是同义词:
·信息安全管理体系(ISMS);
·ISO/IEC27000标准族;
·ISO/IEC27002或ISO/IEC27001视上下文,也可能是指代ISMS。
3逻辑框架及实施流程的比较
等级保护是强制实施的,建立在一系列国家公文、一个强制性标准以及诸多推荐性标准的基础之上。ISMS则是建立在国际互认基础上的推荐性的标准5),这导致两者在框架上存在很大的区别。两者的框架对比,如图1所示。
或者说,对于ISMS来说,“组织(或企业)自己负责正确的应用6)”,目的是保护组织(或企业)自身的利益,(如果申请第三方认证)同时向其他人证明组织有良好的信息安全管理水准。对于等级保护而言,则是国家监管机构负责企业(或组织)正确的应用,主要目的是为了保护国家和公众利益。
4對“控制措施”理解的比较
等级保护的相关支持文件主要包括政府公文和国家标准,也可以称为“政策体系”和“标准体系”[2]。以一系列的公文作为依据,是等级保护的一个特点,倒不是因为ISMS缺乏国家监管,而是因为ISMS的监管与其他管理体系(例如,ISO9000和ISO14000等)基本一致,整个的架构设计倒显得没那么重要。等级保护是一个全新的设计,因此整个管理架构就显得非常重要,例如,《信息安全等级保护管理办法》(公安部〔2007〕43号)就是一个非常重要的公文,从国家层面确立了等级划分与保护、等级保护实施与管理以及可能涉及的分级保护管理等整个管理架构。
但是,就这两者的框架而言,还存在一个不同,即如何理解“控制措施”7)。简而言之,等级保护部署“控制措施”为中心,ISMS部署是以“控制目标”8)为中心。
这仅仅是一个描述方式的区别,严格讲,等级保护也是以控制目标为中心,虽然没有非常明确。因为所有的控制措施,最终还是为了实现安全目标。但这两者还是不同的,在等级保护中,一旦信息系统的等级被确定,控制措施都是确定的,同时也要注意,等级本身已经隐含了信息系统的控制目标。对于ISMS而言,由于是自愿部署,组织自己负责识别安全要求,自己设定控制目标,之后自愿部署控制措施。
通俗地讲,等级保护中,是组织和监管机构共同确定(是组织确定,之后提交监管机构确认)信息系统等级(其中隐含着控制目标),然后按要求部署。在ISMS中,是组织自己确定控制目标,然后按照要求部署,是一个自圆其说的逻辑。在下文中,我们讨论定级备案等过程,两者的区别就很清晰了。
当然,无论是等级保护还是ISMS,“控制”都是其核心内容之一,在等级保护中表现为GB/T22239—2008,在ISMS中表现为ISO/IEC27002:2013。
在GB/T22239—2008中,针对不同安全保护等级应该具有的基本安全保护能力,提出基本安全要求。标准的架构,如图2所示。
在基本要求的基础上,自上而下又分为:类、控制点和控制项[7]。在图2的10个大类中,每个大类下面分为一系列的关键控制点,控制点下又包括了具体的控制项。本文中不再讨论具体条款,具体可以见参考文献[8]。
在ISO/IEC27002:2013中,并不区分技术要求或管理要求,或者说,不关心实现途径。其中控制的描述结构,自上而下又分为:类、目标和控制。具体而言,就是包含了如表1所示,ISO/IEC27002:2013描述了14个大类,这些大类又细化为35个目标,接着由114项控制来实现相应的目标。
具体到每一个主要安全控制类和控制的描述结构,参考ISO/IEC27002:2013中的描述,如下所述:
每一个主要安全控制类别包括11):
a)一个控制目标,声明要实现什么;
b)一个或多个控制,可被用于实现该控制目标。
控制的描述结构如下:
控制
为满足控制目标,给出定义特定控制的陈述。
实现指南
为支持该控制的实现并满足控制目标,提供更详细的信息。该指南可能不能完全适用或不足以在所有情况下适用,也可能不能满足组织的特定控制要求。
其他信息
提供需要考虑的进一步的信息,例如法律方面的考虑和对其他标准的参考。如无其他信息,本项将不给出。
关于ISO/IEC27002:2013,可见参考文献[9]和[10]。
1.高校图书馆还比较缺乏信息安全管理方面的人才。从当前一个时期来看,高校图书馆无论从管理层角度,还是从普通馆员角度都有一个共识,那就是高校图书馆信息安全管理对专门的安全技术人员非常认可。然而现实是,高校图书馆专门信息安全人才依然比较匮乏,平时高校图书馆忙于事务性工作,也欠缺对馆员进行信息安全方面的培训和培养。
2.缺乏综合性的安全解决方案。在实践过程中,高校图书馆为了保证信息安全运行,使用了大量的硬件防火墙、入侵监测系统和杀毒软件。从长远讲,这些措施还不能远远不能解决问题,高校图书馆在信息安全管理方面依然缺乏综合性的解决方案,虽然也有各种信息安全管理规章制度和某些解决方案,没有一个系统来组织这些规章制度和解决方案。
二、信息时代条件下创新高校图书馆信息安全管理的主要措施
(一)必须要对管理信息系统进行科学规划。对于高校图书馆来讲,进行管理信息系统创新,也离不开这个步骤,也必须做好前期的调查研究工作,研究拟开发设计的管理信息系统在本馆的可行性、以及使用后的效果性等内容。科学规划所设计到的主要内容有:制定前期科学、完善的主要目标,并对管理信息系统长期发展方案进行编,以确定管理信息系统在整个组织中发展方向、使用规模以及发展进程;开展初步调查,其目的是为了合理地确定系统目标,进行系统总体分析以及可行性研究,摸清本图书馆在管理信息系统建设存在的迫切性、主要不足、可行性和可能性;在初步调查的基础上,形成详实的调研报告,为后期系统详细调研奠定基础。
(二)对图书馆管理信息安全管理系统实施可行性分析。在前期初步调查的过程中,严格执行调查内容,明确图书馆管理信息系统的目标,对现行系统的基本情况作出初步了解、明确可行性。结合管理信息系统对运行环境、资源要求等条件进行考量,判断出图书馆所拟上管理信息系统是否具有必要性和可能性。对管理信息系统现存的主要不足、问题、紧迫性、希望新的管理系统所能够带来主要功能、开发态度、资金保障、专业人员配备、后期维护与管理等方面进行全方位了解。
(三)开发创新高校图书馆信息安全管理的新型系统。管理信息系统开发创新是更好提高管理效能的重要手段。当前高校图书馆生存发展的宏观、微观环境已经发生了深刻变化;高校图书馆职能的发挥必须要建立在充分随时随地取得准确而及时的管理决策方面的内部信息与外部信息,甚至是与高校图书馆管理过程中各项决策决议执行情况的反馈信息,以实现对高校图书馆业务与管理的及时调控。管理信息系统主要的功能不但能够有效进行数据与信息的搜集、处理、而且还具备了预测和控制功能;在高校图书馆实施管理信息系统创新,对于高校图书馆管理曾来讲,能够有效解决在管理中所面临的半结构化问题和非结构化问题,有效提高一种定性与定量分析的方法,有效提高管理效率和决策的科学化水平。
三、结语
【关键词】船岸网络;信息安全;航运企业
0引言
一些航運企业已开始实施“数字化+互联网”战略,船舶运营参数及管理量化指标被转移至信息更加透明的互联网平台,船舶所有人可以通过互联网平台随时随地查看船舶动态。航运企业将船舶全权委托给第三方船舶管理公司管理,并通过互联网平台监控船舶动态。这种管理模式带来一个全新的课题:船岸网络信息化程度越高,信息系统遭受攻击导致数据泄露的风险越大。近年来已发生多起船员个人信息泄露导致的诈骗案件。这些个人信息泄露的源头是船舶管理公司的信息系统。信息泄露会给个人造成损失,而信息系统遭受病毒攻击则会给航运企业造成巨大损失。因此,信息安全对航运企业而言极为重要。
1船岸网络管理现状
船岸网络技术的发展非常迅速,特别是海上卫星通信服务商提供的海上高速网络在资费下降后极大地提高了船舶与管理方、服务供应商、租船人和船舶所有人/经营人之间的信息交换频率。海上高速网络的普及给信息安全带来更大的隐患。网络没有物理界限,任何具有网络攻防知识并熟悉船舶扁平化网络架构的人或组织都可以通过Shodan搜索引擎获得相关信息,对船岸网络实施远程攻击。通过对卫星通信服务商IP地址段批量扫描发现:众多安装VSAT、FBB设备的船舶未加安全措施就向公网开放了21/80/445/3389等弱口令TCP、UDP端口;供应商为节约成本、方便远程维护管理,将Cobham、KVHCommBox、Inmarsat、Marlink等产品内建的管理后台映射到外网;绝大部分船舶没有配置专业的硬件防火墙,岸基管理人员缺乏专业技能,最终导致船舶网络安全得不到保障。
要做好船岸网络安全工作,首先要了解船岸网络设备运行机制和原理。船舶内网GPS、ECDIS、主机监控系统服务器等多网卡设备既通过串口总线和CANBUS、MODBUS等协议控制舵机、智能电站及压载水调平系统等设备,又通过网卡和SNMP、NMEA等协议进行网络通信,从而形成了一个可以网络远程控制的船舶物联网。由于某些船用通信协议存在设计缺陷,例如NMEA0183协议通过明文传输,缺乏加密、身份认证和校验机制,为实施网络攻击制造了机会――攻击者只需远程更改一两个字符就可以命令船舶转向。
2常见的网络攻击方式
广义上对船岸网络的攻击主要有两类:(1)无目标的攻击。岸基或船舶内网操作系统和第三方软件漏洞是潜在受攻击目标之一,攻击者利用0day漏洞进行广撒网式的无差别化攻击,近几年马士基航运集团和中远海运集运北美公司遭遇的网络攻击属于此类。(2)有针对性的攻击。攻击者将某船岸信息系统设定为渗透目标,利用专门开发的绕过技术和工具躲避网络防御机制(如震网病毒事件),实施多步骤攻击,其破坏程度较无目标的攻击更大。
有针对性攻击又分为以下6种类型:
(1)主动攻击。攻击者主动攻击网络安全防线。主动攻击的方式为修改或创建错误的数据流,主要攻击形式有假冒、重放、篡改消息和使网络拒绝服务等。
(2)被动攻击。攻击者监视相关信息流以获得某些信息。被动攻击基于网络跟踪通信链路或系统,用秘密抓取数据的木马程序代替系统部件。
(3)物理攻击。未被授权者在物理上接入网络、系统或设备,以达到修改、收集信息或使网络拒绝访问的目的。
(4)内部攻击。被授权修改信息安全处理系统,或具有直接访问信息安全处理系统权力的内部人员,主动传播非法获取的信息。
(5)边界攻击。网络边界由路由器、防火墙、入侵检测系统(IDS)、虚拟专用网(VPN、DMZ)和被屏蔽的子网等硬件和软件组成。硬件的操作系统与其他软件一样存在安全漏洞,攻击者可利用操作系统漏洞,绕过已知安全协议达到攻击的目的。
(6)持续性威胁。商业间谍组织可能会通过“钓鱼手法”进行攻击。如以“某某船公司2020中期战略企划书”为关键词投放电子诱饵,通过文档追踪工具进行精准定位,诱骗受害人打开附件或点击邮件链接从而入侵或破坏其信息系统。
3船岸网络中易受攻击的系统
船岸网络中易受攻击的系统有综合船桥和电子海图系统、配载仪和船舶维修保养系统、主机遥控和能效系统、保安限制区域闭路电视监控系统和各重点舱室门禁系统、乘员服务和管理系统、面向船员娱乐的公共网络系统、船岸网络通信系统、计算机操作系统及常用软件等。
4船舶网络安全配置建议
(1)禁用公网IP,使用URA系统远程管理。
(2)修改系统默认密码并使用高强度密码。
(3)将船岸网络操作系统和第三方软件补丁、病毒特征库升级至最新版本。
(4)对工控网络、办公网络、娱乐网络实施网络隔离和访问控制。
(5)通过策略制定公用电脑进程白名单,禁用USB接口。
(6)向船员普及网络安全风险防范知识。
(7)要求设备供应商提供必要的网络安全事件应对措施。
(8)不过度依赖远程网络监控技术,增加现场勘查频率。
5网络攻击事件的处置步骤
(1)风险识别。定义相关人员的岗位和职责,确保在日常管理中能够及时发现可疑风险。
(2)事件预防。制定风险控制流程和应急计划,降低网络风险,防范网络攻击。
(3)事件发现。检查已确认的网络攻击事件,评估损失并制定后续恢复方案。(4)事件恢复。制定计划使系统恢复正常运行。
(5)免疫措施。制定措施避免类似网络攻击事件再次发生。
6网络信息安全团队岗位职责
航运企业应设立信息安全官(CISO)岗位,其职责为:建立船岸网络安全团队并管理成员,牵头制定全面的船舶网络安全应急保护计划(CSP),以持续保障船岸网络安全。团队成员岗位职责如下:
(1)对船舶VSAT/FBB设备端口映射及防火墙规则进行审核、分发、监控,熟悉Infinity、XchangeBox等通信管理系统的后台设置,监控船岸网络的可疑流量。
(2)对船岸内网信息设备和办公电脑软硬件及时更新维护,熟悉GTMailPlus、SkyfileMail、Super-Hub、RYDEX、AmosConnect等软件操作知识。
(3)定期优化单船拓扑结构和更新船岸网络病毒特征库和漏洞补丁库,不断完善船岸网络信息事故应急预案。
(4)收集供应商技术文件并集中存储,向设备和服務供应商提交并跟踪审核通导信息类设备保修工单(如KVH、Marlink、GEE、OneNet等)。
(5)跟踪记录新造船FBB、铱星移动通信系统、VSAT和船载物联网设备安装调试情况,审核通信类费用凭证。
(6)具备防火墙、路由器、入侵检测系统、交换机的丰富知识,MacOS、Windows、Linux等3大操作系统及域控、数据库的基础知识,并能熟练使用SQL、CrystalReports提取分析数据。
(7)参与船岸网络的设计开发和信息系统的迭代开发,提出必要的安全策略规范要求。
(8)具备妥善监控并处理网络安全事件的能力和独立撰写网络安全事件调查报告的能力,并提出改进措施。
7船岸网络信息安全管理目标
船岸网络信息安全问题从根本上说是人的问题,如何在制度上让人遵守规则,如何在技术上减少或避免人为恶意攻击,这是船岸网络信息安全组织架构设计的目标。船岸网络信息安全组织架构设计的总体目标可定义为:针对船岸网络和信息安全需要,构建系统的网络安全技术和信息防护策略及措施,通过制度管理和技术防范来规范员工行为,达到网络和信息资产安全可控的目的,最终达到“外人进不来、进来看不到、看到拿不走、拿走用不了、操作可追溯”的目的。首席信息安全总监的基本职责是建立船岸网络和信息安全团队并确保团队成员各司其职。团队成员既包括企业内部的计算机安全专家,也包括企业外部的资深律师、会计师、技术专家等。
8经验交流
网络信息安全对于大部分人而言比较陌生。在实践中,大部分航运企业由总裁办(行政事务部)或保密部门负责网络信息安全,而网络信息安全职能又隶属话语权不高的IT部门,最终导致企业网络信息安全工作进展迟滞,制度实施缓慢。因此,建议由公司领导牵头,技术保障部门负责具体实施。有条件的航运公司应该定期针对船岸网络信息系统进行安全演习并配置网络信息安全设备,以便当船岸网络信息系统被攻击时,能够迅速作出应急反应,尽快恢复网络系统,尽可能挽回损失。此外,在员工手册、船员上船协议中应该赋予航运公司相关职能部门通过技术手段来防止内部威胁的权力,打击隐蔽性较强的涉及船岸网络的职务犯罪。
以某航运企业为例,2018年初由公司领导牵头与某船级社联合成立了船岸网络信息安全专项课题组,针对公司船岸网络的特殊性制定了一套通用船舶网络安全管理体系,并在超大型集装箱船试行《船舶网络信息安全实施指南(征求意见稿)》和相关配套制度,如《船舶网络信息资产管理办法》《船舶VSAT、局域网及防火墙设置规范》《船舶网络信息安全员岗位职责》《船员网络信息安全应知手册》等。此外,还对试点船舶就域控服务器(解决内网信息审计问题)、KMS激活服务器(解决操作系统、办公软件授权问题)、自建CA授权机构颁发数字证书(解决SHA256数据加密问题)、某开源局域网远程管理软件以及等级保护一体机硬件部署(解决病毒库、补丁库离线升级问题)等项目进行技术验证,为下一步推广应用船岸网络信息安全课题研究成果奠定了良好基础。
国家、省市已经颁布各种法律法规,各大单位也根据自己的具体情况,建立了自己的规章制度,维护信息安全已经有法可依。但是信息安全管理工作涉及的知识面非常广,需要了解国家信息安全管理法规,需要学习信息技术一般理论,需要知道信息安全漏洞知识,需要明白信息安全禁令范畴。为提高学习效率和质量,全面掌握信息安全理论和方法,按照信息安全管理知识体系,建设信息安全管理教学系统,提供学习信息安全管理的教学条件,从而为各方面人员学习和执行各种规章制度提供依据。相比其他管理工作,信息安全管理工作需要比较多的理工专业基础和比较高的电脑技术要求,在实际的信息安全管理工作中,需要灵活的信息安全管理处置能力,更多的是判断信息安全问题、识别信息安全陷阱、规范信息安全管理。由于知识背景和工作性质特点,管理干部需要花费更多的时间和精力学习信息安全管理知识和技术,才能具备基本的信息安全防范技能。为帮助他们更好地独立处置信息安全管理问题,掌握发现问题解决问题技能,依据现代教育理念和方法,不仅需要提供深入浅出、知识完备的知识体系学习训练系统,而且需要信息安全管理能力训练系统。
二、信息安全管理培训思路
为满足信息安全管理工作在人员培训方面的需要,需要依托各级培训学校,按照国家和省市地方的制度法规,借助现代教育思想,借助现代教育技术,明确符合实际需要的功能定位,建设信息安全管理复合应用型人才培训体系,实现信息安全管理工作对培训教育、终身教育的培训要求。
1.培训依据
(1)依据各种信息安全管理制度法规。信息安全人员在履行工作职责的时候,必须按照各种信息安全管理法规、制度和要求实施,制订人才培养方案和教学计划必须依据国家、省市和本部门的信息安全管理的相关规定,这样的教学内容才能保证人才培养的针对性和实用性,保证管理干部履行信息安全管理职责的有效性。涉及信息安全制度法规的相关文件很多,有的是专门为信息安全制订的,有的制度和法规散落在各个业务管理制度中。在建设信息安全管理知识体系时,必须将业务部门的相关规定融入知识体系中,使得管理干部在处理具体业务中的信息安全管理工作具有针对性和有效性。
(2)符合培训教育特点规律。信息安全管理技能是从事管理工作人员的基本技能,属于岗位专业培训或专业技能培训,属于培训教育培训。受训人员专业背景不同,理论基础不同,学习能力不同,必须避免材、统一授课、统一训练、和统一考核的传统教学模式,采取因人而异、因材施教的有针对性的教学方式,强调个性化学习,将不同层次受训者的信息安全管理能力达到信息安全管理工作所需要的水平上来。
(3)遵循现代教育思想。在实施教育训练过程中,现代教育思想要求采取“学为主体、教为主导”的教学理念,学员能够方便地获得完整的知识体系和解决问题的技能和方法,自主学习,开放学习,自主理解、掌握知识和技能。为实现教学目的,需要分析信息安全管理技能特点,需要分析管理干部学习动力,结合教学目标,设计学员学习和训练的教育训练环境,提供完整的知识体系、丰富的教学资源、模拟的问题情况、交互的学习平台和方便的使用途径,提供与培训教育特点规律和技能训练要求相适应的培训条件。
2.信息安全管理培训目标
按照信息安全管理工作的实际情况,培养信息安全管理工作中管理、业务和技术三支人才队伍,突出业务和管理人才需要,兼顾信息安全技术人员的人才培养,以现代教育思想为指导,以信息技术为核心支持技术,建设满足信息安全人才培养的现代培训条件。信息安全管理培训以管理干部为培训对象,以信息安全管理工作为培训内容,区分信息安全管理人员、业务干部和信息技术专门人员等不同层次,跟踪信息安全管理形势,实行阶段反复轮训,以适应信息安全管理不断发展的需要,确保信息安全管理工作的正常开展。
三、信息安全管理培训环境构建
为适应信息安全管理培训需要,适应管理干部培训教育需要,必须构建遵循信息安全管理规定、符合现代教育思想、依托信息技术手段、瞄准复合型适用人才培养的教育环境。信息安全管理培训条件涉及面很广,包括组织机构、舍堂馆所、师资队伍、后勤保障等等,这里我们更关心符合培训思路的培训模式和教学支持。从知识体系、学习途径、训练场所和训练系统多方面着手,构建信息安全管理训练体系,构建管理人员信息安全人才培养条件。依据教育信息化研究成果和培训教育教学特点,需要建立完整的信息安全管理知识体系,建立开放式、自主式教育网络平台,建立强时效性的教学资源体系,建立信息安全管理知识测试系统,建立信息安全管理能力训练系统,等等。
1.构建信息安全管理知识体系
培训教育的一个特点就是受训对象知识背景和技能掌握程度千差万别,必须首先建立完整的知识体系,以满足不同基础、不同需求受训者对知识掌握和能力训练的要求。知识体系必须建立覆盖学科知识和管理手段的所有内容,包括理论体系和教学资源两部分,其中理论体系包括基础知识、安全理论、规范制度、管理方法、历史沿革、防范手段和操作方法,教学资源包括现状分析、经典案例、技术讲解、训练题库和数据模型,适应和满足每个受训对象的需求。为满足个性化服务需要,可以按照知识点建设模块化框架结构,设计具备菜单选择功能的专家系统,允许受训者建立适合自己的个性化教学计划和实施方案,确保受训者完成培训任务后胜任安全管理的岗位需要。可以建立智能教学计划生成系统,系统对每位受训者进行知识和技能测试,按照教学目标,根据测试结果,将该学员没有掌握或掌握不够的知识内容和技能形成列表,从知识体系中搜寻相关知识和技能的概念、理论、技术和操作技能,形成该受训者个性化的教学计划。随着信息技术的发展和信息安全管理需求的变化,信息安全管理知识体系应该是动态更新的,剔除修改陈旧的,充实替换实用的。
2.搭建开放、共享和交流的网络平台
网络平台是信息资源共享的基础,是交流互动的基础。按照学科专业建设与管理规范建设知识体系,以数字化形式在互联网,实现信息安全管理教育资源共享。作为资源共享平台的网络平台,不仅为建设者资源共享提供平台,而且可以为学习者提供资源上传服务,成为学习者之间相互交流资源的共享平台,更为信息资源积累提供了很好的机制和存储条件。网络具有两个特点,一是允许网络用户365天24小时使用,可以提供受训者随时学习和训练,二是允许网络用户在任何有信息覆盖的地方登录,可以提供受训者随地学习和训练,这两个特点打破了传统教学时空的限制,为学员自主学习、教师开放教学、师生互动交流提供了可能,也为实施现代教育思想提供了条件。
3.建立虚拟讲堂
优秀教师的讲授可以将学习效果演绎得趣味精彩,可以将学习内容组织得明白易懂,可以将现实运用解析得透彻自然。为更多学员获得完美的教学体验,为积累并共享优秀教学资源,为学员快捷准确全面理解知识运用知识提供帮助,记录、整理并优秀教师或专家授课录像,供更多受训者学习参考。教学录像在网上成为虚拟讲堂,成为不同专业不同时期受训者良好的教学资源,目前全球风行的慕课,可以成为这种培训目的的教学模式,成本低,效益好。因为技术层面的因素,信息安全管理知识体系在理论基础和原理解释有大量不易理解的知识点和疑难问题,学习时需要佐证的理论和严谨的逻辑,需要传授者环环相扣的谨密推演,因此针对重要知识点和疑难杂诊的讲授片段是受训者自主式学习时需要的重要教学参考资料。各个大学基本都建设了网络课堂,为虚拟讲堂建设提供了很好的技术平台。依据此平台,建设信息安全管理和教学资源和网络课程,可以构筑完整的知识体系,为培训教育自主式学习提供了很好的学习资源。
4.建设信息安全管理实验室
培训教育能力训练是教学环节中的主要部分,验证理论、观摩操作方法和训练技能需要包括场所、设备和软件等实验条件,实验室是完成实验任务和检验方法效果必须具备的教学条件。理论、方法和技能的实验和训练是信息安全管理培训需要完成的教学环节,这些需要信息安全专业实验室的支持。信息技术具有可设计、可复制、可重用的特点,使得基于信息技术的教育训练条件具备降低训练费用、提高学员学习自主性、提供学员反复学习等长处,结合音频处理技术、视频处理技术、三维动画技术,可以为学员学习提供强烈逼真的感官刺激、美轮美奂的艺术表现和自主操控的虚幻体验。从训练目的而言,实验室可以分为虚拟实验室和能力训练场两部分。
(1)虚拟实验室。信息安全管理涉及大量技术手段,信息安全技术攻击和防范具有不可见、不易理解的特点,需要显而易见、通俗易懂的形象展示。虚拟实验室是依托信息技术按照实验室运行规律、要求和任务,以网页形式在计算机网络上建立的可以模拟实验室运行的软件系统。虚拟实验室内设信息安全管理所需要的各种理论、方法和技能引擎,可以多维形象地反复演示信息安全管理的理论、方法和技能,可以允许受训者以第一人称介入并依据受训者干预情况展示相应信息安全分析结果,虚拟实验室可以记录并考核受训者实验过程和成绩。
电子信息安全管理防范意识管理质量近些年来,我国计算机网络技术异乎寻常地突飞猛进,把人们带入了前所未有的信息化时代,网络和人们息息相关,无论工作、学习、生活、购物乃至娱乐与游戏,一刻也离不开网络的支持。信息化和网络化时代,电子商务(Electronic Commerce)应运而生。随着电子商务的出现,人们的交流更加便利,比如电子邮件可以随时随地地进行传递,电子商务让人们的生活更加随心所欲,工作效率得到了前所未有的提高。黑客(hacker)的出现,极大地干扰了网络,带来了一定的破坏,给人们带来了巨大的经济损失和精神方面的忧虑,甚至一度引起全世界范围内的恐慌,人们对电子信息失去了信任,即使在安全的情况下,很多人依然心有余悸。以故,加强电子信息安全管理势在必然。
一、电子信息安全管理中存在的问题
1.安全防范意识落后
我国的信息技术迅猛发展,人们沉浸在便利的喜悦中,忽略了安全管理。由于电子商务处于初步发展阶段,很多技术方面尚不成熟,一些高标准的电子商务平台尚还没有搭建起来,对黑客缺乏防御的小型电子商务平台虽然随处可见,但其缺乏有效的安全管理,经营者麻痹大意,心存侥幸,认为“黑客”虽然存在,但是自身未必遭受攻击,他们更多地关注业务的发展,重视平台规模的扩大和系统功能的开发。在这种情况下,系统缺乏安全防御,一旦受到攻击,立即瘫痪不能运转和造成损失。此外,有些管理者为了防御黑客,在市场上购买了一些大众化的安全管理软件,便觉得安装了这些“高新”产品,就会高枕无忧,永远安全的使用电子商务。结果,常常事与愿违,造成巨大的损失。
2.信息安全技术匮乏
经过一段时间的努力,国内的信息安全管理技术不断提升,连续迈上新的台阶,情况喜人。但是,我们也要有自知之明,因为和许多西方国家相比,信息安全防御与控制技术相对落后很多,并且,我们在经费的投入方面,有明显的差距;自主研发技术存在的不足之处多多,亟需改善。我们更要清楚的一点是:我们的技术,很多都是借鉴国外的经验,缺乏独创。如此步人后尘,电子信息安全管理质量难以有质的突破。
3.信息安全产品鉴定混乱无序
为了安全起见,很多企业花费不菲,购买了一些安全方面的软件,殊不知,这些产品在一般情况下,确实能够起到电子信息使用平台的安全作用,但如果病毒强大,绝对的安全便难以保证。纵观市场上的安全软件产品,良莠不齐,并且,目前市场上对于安全产品的鉴定没有统一标准,各执一说,很多都是主观判断,由此产生隐患。
二、电子信息安全管理的有效措施
在电子信息安全管理方面,一旦出现问题,就会造成损失,一些企业“吃一堑长一智”,采取了相关措施,不过,调查表明,大多数企业存在“重技术,轻管理”的情况,而且由于一些企业尚未造成重大损失,管理层对安全问题漠不关心,或重视不够。下面针对加强电子信息安全管理的主要措施做一探讨。
1.构建完善的管理组织机构,加强管理
电子信息安全管理组织机构的完善有力地促进了企业的发展,从安全决策到认真执行,层层构架,发挥职能。管理框架的构建要集思广益,审慎剀切;安全制度的审批须一丝不苟,审查入微;安全职责的分配必须认真到位,监督有力;遵照网络系统安全制度,严肃执行,进行网络系统的日常维护。如属于大型的电子商务平台或者集团企业,更加需要增加投入,比如聘请有造诣的专家成立顾问组织,以便企业进行疑难咨询,或是参照出现的问题出列解决方案,尔后进一步对责任进行调查、评估。
2.电子信息安全管理制度有待进一步完善
电子信息安全管理制度主要包括两方面的内容,第一点就是构建电子信息控制制度,第二点是出现问题之后的解决策略。关于第一点,需要明确责任,注重细节,出现任何情况都要严格审核,并且定期检查;至于第二点,注意信息传递过程中的信息维护,密切跟踪,及时报告,达到有效监督。最后,备份数据文件储存。
3.专业亟待提升
互联网的发展突飞猛进,普及千家万户,安全技术的研发相对于互联网的发展远远落后,原因诸多,最重要的一点就是缺乏过硬的技术人员。一般而言,电子商务规模越大,电子信息安全管理队伍的阵容也要随之扩充,只有电子信息安全管理队伍强大,才能够产生无穷的智慧与应对措施,保证电子商务平台的安全。
4.系统安全检测
黑客一词被用于泛指那些专门利用电脑网络和系统安全漏洞对网络进行攻击破坏或窃取资料的人。病毒与黑客不断变换手段,频频对电子商务系统采取攻击行动,有时候能导致整个系统瘫痪。出现意外情况,要立即检测,要经常更换密码,设置复杂一些的密码,要经常对防火墙进行检查,系统功能是否保持,是否出现漏洞等,要细致入微,不能有一丝一毫的疏忽,严防黑客侵入。
5.建立保护系统的方案
时常进行安全检测,一旦系统的安全检测失灵,必须立即建立系统安全防护措施。系统安全管理极其复杂,缺乏安全可靠的保护,电子商务在网络平台失去有效的依靠,随时会出现漏洞。反之,安全策略严谨,防护得力,即便系统遭受攻击,也会及时发现,能将损失最小化。
6.管理培训的重要性
防护系统的工作人员,要进行考试录用、上岗培训,企业经常进行人员培训,定期学习安全策略和规章制度。让每一个员工加强安全观念,提升对信息安全的重视,认识到防护的重要性,坚守岗位,忠于职守,明了企业安全规章制度的含义。
三、结语
综上所述,近年来经济腾飞,经济全球化进程不断加快,计算机技术无所不在,网络畅通无极,人们在网络平台上进行商务管理、学习、游戏、查找资料、购物汇款等等,网络信息交互平台已经深入大家的生活,人们已经一日不可没有网络的存在。网络如此不可或缺,随着计算机病毒造成的一次次的损失,人们对电子信息安全管理质量忧心忡忡。
在这一背景下,很多电子信息安全管理研究机构纷纷推出各类电子信息安全管理产品,尽管其对确保信息安全起到了一定的功效,但是,一切并不是万能的。这也使得人们明白了技术产品并不仅仅是安全管理工作的全部。本文结合当前电子信息安全管理现状,提出了一些相应的应对措施,希望能够有效提升电子信息安全管理的质量。
参考文献:
[1]姚帝晓.电子商务安全问题的思考[J].商场现代化,2006,(7):103.