企业信息安全服务范文
发布时间:2023-10-12 17:59:17
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的5篇企业信息安全服务范例,将为您的写作提供有力的支持和灵感!
篇1
无论是基础设施、资金、人才还是政策扶持,甚至是项目推介和品牌宣传,软件园区这片沃土都给软件企业带来丰富养分。《中国计算机报》“软件园区”专栏,记录软件企业崛起,见证软件产业发展!
如今,电子取证和计算机法证业务在欧美发达国家和我国香港地区已经相当成熟,除了主要应用于金融行业外,在政府和企业中也有了相当多的应用。IDC 统计显示,2011年全球电子数据取证市场的规模达到18 亿美元,预计2015年中国电子数据取证将达到近10亿元人民币的市场规模。
电子取证:安全不可缺的一环
2012年3月,中国内地和香港地区最高级别的计算机法证技术协会——中国计算机法证技术研究会(CCFC)、香港信息安全与法证公会(香港ISFS)正式授权上海浦东软件园信息技术股份有限公司(以下简称浦软信息)为其华东代表处,这标志浦软信息拥有了国内领先的电子取证平台。
2012年7月,首次移师上海的第八届CCFC计算机法证技术峰会在上海浦东软件园举行。会议期间,由浦软信息投巨资新建并已投入运行的高水准电子数据司法鉴定实验室(以下简称取证实验室)及配套设施受到了海内外参会者的关注和期待。取证实验室包含了计算机鉴定人员从事涉及计算机犯罪案件受理、电子数据勘查、调查取证、数据恢复、密码破解、鉴定分析、证据存储等13个专门区域,并已经与CCFC和香港ISFS做了业务上的对接。
据上海浦东软件园信息技术股份有限公司总经理叶慧介绍,浦软信息将集全公司之力把取证试验室建设成为国内在技术与硬件条件上最卓越的实验平台。浦软信息的取证业务将由单一的取证产品向多样化、个性化服务转变,最终形成以自主取证产品销售、司法鉴定服务和专业取证培训为核心的三位一体的业务模式以及“事前预防、事中响应、事后取证”的整体信息安全解决方案。
公司成立了专业的市场销售团队,通过整体的设计与市场策划来推广取证业务。
如今,浦软信息更希望将已经拥有的平台资源和取证业务推广到信息安全市场较成熟的地区,与更多的业界同行一起培育电子取证市场。叶慧强调,浦软信息作为计算机安全防护领域整体解决方案的提供商,有义务和责任通过自身的努力为社会带来更多的价值,并以此作为自己的使命和社会责任。
取证培训:旨在完善认证体系
工欲善其事,必先利其器。专业取证培训是浦软信息取证业务中很重要的一环。取证实验室研发出许多基于高端技术的取证产品,其精心设计的培训教室拥有各类多媒体设备,能够满足取证技术领域内的各种培训要求,并已经举办过多次各类层次的取证培训。
第八届CCFC计算机法证技术峰会引入了海外专业培训方式,在由香港ISFS开办的研习会上,结合实际案例,对计算机法证技术应用及信息安全防护进行专业指导。
浦软信息之所以花大力气开展取证培训业务,就是预见到取证市场的前景将无限广阔,需要一个成熟的资质认证体系,构筑一个中国取证行业专业、统一的标准。因此,浦软信息规划了取证资质认证培训的发展方向,那就是明确自身的市场地位,完善取证实验室的培训体系和业务,今后将与海内外专业机构合作,继续拓展培训业务,最终得到政府部门和业内对浦软信息取证培训资质认证的认可。
制度创新:确保信息业务拓展
今年2月15日,上海股权托管交易中心正式开张,浦软信息成为首批挂牌OTC(场外交易市场)成员。这对浦软信息来说无疑是一个重要的转折点——浦软信息已经从一家中小型的以产品销售为导向的IT公司转变为一家以IT服务为核心的非上市公众公司。
浦软信息希望通过OTC挂牌交易,在为股东和其他投资者提供更多选择的同时,通过股权的发行和交易使得公司的法人治理结构更加规范和严谨,这对浦软信息未来发展是至关重要的,也是最大的挑战。另外,作为公众公司,浦软信息必须考虑到诸多方面的影响,决策上必须更加谨慎,对内部资源的安排也要考虑得更细致,要有平衡企业资源的能力,包括客户和市场资源,要投入更多的资源来支持和规划新的公司制度和运转。对此,叶慧信心满满。
优秀基因:可持续发展的动力
作为一家还处于成长期的中小型IT企业,浦软信息还有相当大的提升空间,但公司管理层始终保持着危机感,对市场保持高度的敏感,业务上真正做到以客户为导向,技术上不遗余力地投入人力物力。追求“优秀”是浦软信息始终坚持的目标。
何谓“优秀”,叶慧对此做了进一步诠释。
“优秀”体现在专业上,就是要有专攻方向。在信息安全领域浦软信息已经有十几年的经验,这既是公司的优势也是公司的品牌。同时,这种专业还要体现在技术研发的能力上,使之成为浦软信息的核心竞争力。作为一家IT公司,技术是最重要的生产力。
“优秀”体现在人才上,就是把员工视作企业发展中最重要的资产,将管理团队与技术团队作为企业的核心。浦软信息的股权结构中也有员工持股,这体现了公司创始人开放的胸襟。
“优秀”同时也体现在健康上,浦软信息未来的目标是上市。作为公众公司,需要给股东和员工持续的回报,这是相当重要的。作为一家肩负着社会责任的公众企业,体制一定要健康,不能一味盲目地追求增长速度,企业发展方式和公司结构至关重要,这也是企业可持续发展的前提。
IT行业内真正能够屹立不倒的百年老店一定具备“优秀”的基因,而不是纯粹靠包装和粉饰;同样,有了这些“优秀”的基因,一个升级版的浦软信息将从企业级信息安全服务行业中脱颖而出,也就有了底气。
记者手记
人生就是一场修炼
从上海市经济和信息化委员会到上海浦东软件园总部再到浦软信息,叶慧的角色在不断转变,虽然都涉及IT和通信行业,但视角却大不相同。尤其是调任浦软信息后,叶慧从原先站在宏观角度转变为以企业职业经理人的微观角度来审视IT和通信行业,同时还要承受着国有企业职业经理人特有的压力。
篇2
【 文献标识码 】 A 【 中图分类号 】 TP393.08
1 引言
信息安全技术和管理经过不断的发展和改善,已经能够比较有效地解决一些传统信息安全问题,如信息安全风险管理、访问控制,脆弱性管理、加密解密和灾难恢复等。随着信息越来越成为组织的核心资产,保护信息的安全已不再只是局限于技术和日常管理层面的讨论,信息的安全越来越关系到组织自身发展的安全。一次重大的信息泄露事故就能使企业的市值一落千丈。同时,一套合理的访问控制解决方案能够帮助企业快速推出核心产品(尤其是电子商务)和兼并其他企业。当前信息安全发展呈现出新的趋势和要求:(1)信息安全部门逐渐从成本中心转向价值中心,信息安全的各项活动越来越和企业战略紧密相连;(2)企业内部其他部门越来越多的要求信息安全部门提供清晰、可测量的服务来支持业务的运行。
企业的信息安全部门在不断增强其核心影响力的同时,也承担着随之而来的更多责任和挑战。其一是如何将企业战略转化为信息安全计划,将信息安全融入到组织的业务流程中,并且保持信息安全控制措施与企业战略的一致性和可追溯性;其二是如何使信息安全的价值得到认可并在组织内部最大化;其三是如何满足企业内部各部门有计划或无计划的信息安全服务需求;其四是如何确保以一种系统主动和集中统一的方式来管理业务和遵从性需求,并实现清晰的测量和不断的改进。
当前各企业广泛采用的标准或最佳实践有几种:ISO27001:2005,COBIT4.1,NISTSP800或PCIDSSv2.0等。这些标准各有优点,但也有明显的缺憾,如表1所示(缺憾部分用X表示)。
设计本信息安全架构旨在解决上述问题并建立一种高效机制达到如下目标。
* 将企业战略转化为信息安全计划,确保信息安全的可追溯性、持续一致性和简洁性,以降低成本、减少重复和提高效率。将信息安全融入到组织的业务流程中,建立一致性和可追溯性;建立清晰的信息安全架构和愿景,以减少重复和指导信息安全投入和解决方案的实施。
* 基于客户服务理念,信息安全服务价值得到认可,信息安全靠拢业务部门,为信息安全管理和业务管理建立共同语言。
* 全面管理信息安全,满足目前绝大多数法律法规、标准的最佳实际的要求,并具有灵活的可扩展性,当新需求出现后能够将其平滑的融入到现有架构中。
* 系统和集中统一的方式,使信息安全管理可预测和可测量,并不断的改进。
2 信息安全架构设计
2.1 信息安全架构设计所基于的原则
本信息安全架构的设计遵循四大原则。
1) 业务驱动:所有的信息安全目标应该从业务需求中来,从而保证信息安全管理总是做“正确的事”。
2) 整合、统一的架构:现在有数以十计的信息安全相关的法律法规,标准和最佳实践需要去符合或参考,且其各有不同的要求侧重点和优缺点。因此很有必要将所有相关的信息安全关注点整合到一个统一的架构中,以保证所有要求都被满足,同时避免不要的重复。例如,ISO27001关注全面安全控制和风险管理,PCIDSS侧重支付卡环境中技术控制和策略管理等。
3) 系统化思维:运用系统化思维可以帮助组织解决复杂且动态的问题,适应运营中的各种变化,减轻战略上的不确定性和外部因素的影响。例如,需要整合机构、人员、技术和流程;需要考虑安全、成本和易用性的权衡;需要靠持续改进(Plan-Do-Check-Act);需要考虑全面防护和纵深防护。
4) 易用性:信息安全架构的最大价值在于被理解和广泛应用于组织的实践当中。因此,信息安全架构必须易于理解并且实际可操作性要强,应避免太过复杂和晦涩。
2.2 信息安全架构实现
2.2.1 信息安全架构-域试图
基于上面的基本原则,本信息安全架构由三个域组成(如图1所示):治理(Governance)、保障(Assurance)和服务(Services)。
治理(Governance): 信息安全治理域强调战略一致性,风险管理,资源管理和有效性测量。治理域又包括三个子域:愿景与战略、风险与遵从性管理和测量。各子域主要功能如下所述。
* 愿景与战略: 将遵从性要求,信息安全的发展趋势,行业发展趋势和业务战略转化为信息安全愿景、战略和路线图。
* 风险与遵从性管理: 管理信息安全风险使信息安全风险控制在组织可接受的范围内。
* 测量: 监控和测量整体信息安全的有效性并持续提升信息安全对组织的价值。
保障: 保障域侧重于信息安全的全面与纵深防护措施。保障域包含预防、监测、响应和恢复四个部分。各部分主要功能如下所述。同时保护的对象为不同层面的信息资产:数据层、应用层、IT基础设施层和物理层。
* 预防: 实施信息安全控制措施包括管理措施和技术措施,防止信息安全威胁损害组织的信息安全控态。
* 监测: 部署信息安全监测能力监控正在发生或已经发生的信息安全事态。
* 响应:部署信息安全响应体系迅速、高效的抑制信息安全事件。
* 恢复: 建立组织的可持续性能力,但重要信息系统不可用时,可以在计划的时间内恢复。
服务: 服务域显示了面向客户(内部和外部),协作与知识更新对信息安全实践非常重要。服务域包含三个部分:信息安全服务、知识管理、意识与文化。各部分主要功能如下所述。
* 信息安全服务: 信息安全团队应对待组织内部其他部门和对外部客户一样,基于服务基本协议,提供高质量的信息安全服务。
* 知识管理: 知识是信息安全实践和服务的基石。信息安全知识管理包括获取、维护和利用知识去获取最大的信息安全专业价值。信息安全知识应不仅在信息安全团队内部而且在整个组织被共享。
* 意识与文化: 信息安全意识与文化在组织内部建立一个整体的信息安全氛围。一个好的信息安全意识与文化意味着每个人都每个人都了解信息安全,关心信息安全、在日常工作中关注信息安全。信息安全意识与文化对提升组织整体信息安全成熟度和降低信息安全风险至关重要。
2.2.2 信息安全架构-组件试图
为支撑信息安全架构的三个域,本信息安全架构组件融合了不同标准和最佳实践的精华部分,并自成一体,如图2所示。本架构参考的标准主要有如下一些:ISO27001:2005、PCIDSSv2.0、COBIT4.1、COBIT5.0、ITILv3 以及NIST SP-800系列等。
3 信息安全架构在企业内实际应用效果分析
本信息安全架构已被推广和应用到各个行业中,如保险业、银行业、教育和非盈利性机构等。本文选取一个保险企业的案例来说明本信息安全架构给企业带来的积极变化。
背景:此保险公司有3000名员工,计划在加拿大多伦多(Toronto)上市,因此需要符合加拿大和行业的一些法律法规的要求,如Bill198、PIPEDA、PCIDSS等。同时公司高层决定借鉴信息安全管理的最佳实践标准,如ISO27002、NIST SP800、COBIT、ITIL、 FFIEC和 TOGAF等。因本信息安全架构的特点就是融合各法规、标准和最佳实践的要求,因此不需要做任何大的改动的情况下(降低成本)就能应用到此保险公司中。
经过9个月的实际运行,公司进行了各项测量指标重新评估并与实施本信息安全架构前的指标进行了对比分析。
3.1 平衡计分卡(Balanced Scorecard)[10]测评分析
平衡计分卡是衡量信息安全对企业贡献价值的一种分析工具。平衡计分卡包括四个测量项目:对企业的贡献,对愿景的规划,内部流程的成熟度和面向客户。该保险公司在实施本信息安全架构前后分别进行了两次测评。测评方法是由公司高级管理人员和各部门经理对信息安全部门进行评估,0级表示无成绩,5级表示完美,然后取平均值。2011年7月评估结果显示“企业贡献”为2.2,“愿景规划”为2.5,“内部流程”为2.8,“面向客户”为2.1;2012年7月评估结果显示“企业贡献”为4.1,“愿景规划”为3.9,“内部流程”为3.8,“面向客户”为4.1。如图3所示。测评结果表明实施本信息安全架构后企业高层及各部门对信息安全给企业带来的价值的认可度有较为明显提升。
3.2 总体信息安全成熟度级别分析
本文采取的信息安全总体成熟度的评价是基于ISO27002的控制域和CMMI[11]的评估级别。0级是最低级,5级是最高级。该保险公司在实施本信息安全架构前后分别进行了两次自评估。2011年10月实施本信息安全架构前成熟度水平是介于2.0-3.0之间, 2012年10月实施本信息安全架构后成熟度水平是介于3.0-4.5之间,如图4所示。成熟度级别分析结果表明实施本信息安全架构后整体成熟度有较为明显提升。
3.3 独立审核发现点数量分析
第三方机构独立审核是从专业、客观的角度来衡量整体信息安全控制措施,包括管理、技术和流程。审核发现点的数量越多,表明脆弱点越多,存在的风险越大。该保险公司在实施本信息安全架构前后分别邀请用一个第三方审核机构对其进行了全面审核与评估(依据上市公司的管控要求)。2011年9月审核结果显示有4个高风险项,8个中风险项和13个第风险项;2012年9月审核结果显示无高风险项,且只有2个中风险项和4个第风险项。如图5所示。审核结果表明实施本信息安全架构后整体风险水平有较为明显降低。
3.4 信息安全事件发生数量分析
信息安全事件(特别是1级与2级事件)发生的数量标志着信息安全控制措施的全面性和有效性。信息安全事件数量越少,表明整体控制措施越有效。该保险公司统计了实施本信息安全架构前后发生的信息安全事件数量。2011年1月-10月期间有4个一级安全事件(重大),12个二级安全事件(严重),25个三级安全事件和40个四级安全事件;2012年1月-10月期间有1个一级安全事件(重大),2个二级安全事件(严重),10个三级安全事件和16个四级安全事件。如图6所示。信息安全事件数量分析结果表明实施本信息安全架构后安全控制措施的全面性和有效性有较为明显增强。
3.5 鱼叉式网络钓鱼模拟攻击测试结果分析
模拟钓鱼攻击测试是对企业员工整体信息安全意识水平一种比较客观的考核方式。收到攻击(点击链接)的人数越少,表明整体信息安全水平越高。该保险公司采用ThreatSim的模拟攻击测试平台,在实施本信息安全架构前后分别选取了5个分支机构(共200人)进行了模拟攻击测试。测试的主要方法是注册一个与该保险公司类似的网络域名,然后伪造一份看似从信息安全管理员发出的E-mail,此E-mail的大致内容是说该保险公司于近期对相关系统进行了升级,将会影响到原有的帐户和密码,要求终端用户尽快修改密码。此E-mail包含一个链接到修改密码的伪网页。
2011年5月测试结果显示有47%的员工点击了有害链接,点击有害链接的员工中有18%的人输入了密码,点击有害链接的员工中有68%的人完成了在线培训内容;2012年5月测试结果显示有14%的员工点击了有害链接,点击有害链接的员工中有3%的人输入了密码,点击有害链接的员工中有98%的人完成了在线培训内容。如图7所示。模拟攻击测试分析结果表明实施本信息安全架构后该保险公司员工整体信息安全意识水平有较为明显进步。
3.6 信息安全服务客户满意度调查结果分析
客户满意度调查是从被服务客户的角度来衡量信息安全团队的服务能力,以及给公司带来的实际价值。满意度百分比值越高,表明信息安全团队的能力和服务价值越被认可。该保险公司在实施本信息安全架构前后分别对精算部、个人保险部、商业保险部、索偿部、渠道与销售部做了信息安全服务满意度调查。
2011年8月调查结果显示对服务专业质量的满意度为72%,对服务请求响应速度的满意度为46%,对服务态度的满意度为67%,整体满意度为60%;2012年8月调查结果显示对服务专业质量的满意度为95%,对服务请求响应速度的满意度为85%,对服务态度的满意度为92%,整体满意度为88%;如图7所示。客户满意度分析结果表明实施本信息安全架构后企业各部门对信息安全服务价值的认可度有较为明显提升。
4 结束语
现阶段信息安全管理着重在信息安全的风险控制,随着信息安全管理角色的转变,信息安全需要跟多的与组织战略结合,为组织创造更多的价值,并通过提供信息安全服务使组织内部各部门享受到信息安全给组织带来的价值并认可这些价值。当前被广泛采用的一些标准和最佳实践有其优点,但同时无法满足一些新的挑战。目前缺乏一种高效可执行的信息安全架构来将企业战略转化为信息安全计划、基于客户服务理念使信息安全服务价值最大化以及全面系统化管理信息安全。本文针对上述问题提出的一种面向企业战略和服务的信息安全架构。通过将本信息安全架构应用到实际的企业中,验证了本信息安全架构能够为企业提供更多的价值、增强客户满意度、提升整体安全成熟度和员工信息安全意识水平。
参考文献
[1] International Organization for Standardization, International Electrotechnical Commission. ISO/IEC 27001:2005 Information Technology - Security Techniques - Information Security Management Systems - Requirements. Switzerland: ISO copyright office, 2005.
[2] IT Governance Institute. Control Objectives for Information and related Technology 4.1,USA: IT Governance Institute, 2007.
[3] National Institute of Standards and Technology, U.S. Department of Commerce. NIST Special Publication 800 series.
[4] PCI Security Standards Council LLC. PCI DSS Requirements and Security Assessment Procedures, Version 2.0. 2010.
[5] National Security Agency Information Assurance.
[6] Solutions Technical Directors. Information Assurance Technical Framework (IATF) version3.0. 2010.
[7] IT Governance Institute. Control Objectives for Information and related Technology 5.0,USA: IT Governance Institute, 2012.
[8] Sharon Taylor, Majid Iqbal, Michael Nieves, 等. Information Technology Infrastructure Library , England: Office of Government Commerce, ITIL Press Office, 2007.
[9] Federal Financial Institutions Examination Council. IT Examination Handbook, information security Booklet. USA: FFIEC, 2006
[10] The Open Group's Architecture Forum. The Open Group Architecture Framework version 9.1, 2012.
[11] Howard Rohm. Using the Balanced Scorecard to Align Your Organization. Balanced Scorecard Institute, a Strategy Management Group company, 2008.
[12] Software Engineering Institute, Carnegie Mellon University. Capability Maturity Model Integration (CMMI) Version 1.3. USA: Carnegie Mellon University, 2010.
[13] STRATUM SECURITY. Proactive Phishing Defense. 2012.
篇3
中图分类号:TP309 文献标识码:A 文章编号:1674-7712 (2012) 14-0027-01
随着现代社会科学不断进步,企业的信息化建设也在稳步推进。然而,支持企业网络化运营的信息系统却暴露出越来越多的问题,尤其是企业信息安全问题更是引起了社会各界的广泛关注,由此,对于企业信息系统安全性进行度量是目前亟待解决的问题,也是保证企业信息安全的基础。
一、信息安全管理度量的基本原理
(一)度量目标的明确。度量目标影响着安全度量采用的指标参数和安全基线,也是一个企业实施信息安全度量的动机,度量目标可以分为两类,一类是长期度量目标,另一类是短期度量目标。企业信息安全的长期度量目标包括对信息安全的发展进行分析判断、对信息安全进行有效控制、为信息安全管理提供必要支持等;企业信息安全的短期目标包括对安全项目投入后的收益、为短期信息安全管理提供支持等。
(二)度量指标的确定。度量指标的确定是根据企业度量目标和企业信息安全的实际需求得出的,在选取度量目标的过程中要遵循两个重要原则,一是定性与定量相互结合的原则,二是可操作性原则。但是,在企业信息安全度量的过程中经常遇到多种因素,这就使得部分度量指标可以做到量化,而部分度量指标是非量化的,企业信息安全度量建立的数学模型也应该能够满足量化计算,否则,很有可能导致由于度量指标无法计算而得不到最终有效结果。
(三)度量制度的制定。对企业信息管理系统进行安全度量之前需要建立完善的信息安全度量模型,对于建立专业人员队伍、对人员进行专业培训、确定信息安全度量时间等等,都需要一套完整的信息安全度量制度来进行支持。
二、企业信息系统安全管理度量的意义
对企业信息安全系统进行安全度量主要是为企业信息系统的安全指明方向,安全度量是需要数字进行支持的,但是,数字在任何情况之下都会存在部分偏差,我们需要不断地努力改正,才能使得安全度量更为完善可靠,才能够通过安全度量达到对企业进行风险管理的目的,不断提高企业信息系统的稳定性和可靠性。企业通过风险管理可以加强预防措施,降低信息安全事故的发生概率,企业风险管理是为信息系统决策提供服务的,而对企业信息系统进行安全度量则是为风险管理提供服务。由此,我们要通过将企业信息风险进行量化来达到对企业信息系统的风险进行管理的目的。
对于企业来说,进行信息安全度量能够帮助企业找到信息安全问题所在、理解安全风险的危害、明确安全管理的弱点等,并且针对这些问题提出进一步的改进措施。
通过对企业信息系统安全管理的度量,能够了解企业信息系统中存在的风险,并且针对相应的风险问题提出解决方法,去除企业信息系统中存在的安全隐患,这就需要一套完善的企业信息系统安全度量方案,并且要保证这个度量方案能够正确实施,这样才能够将企业信息系统中存在的安全隐患问题全部消除,解决了企业网络化运营中存在的风险问题,为企业的发展决策提供有力支持。
三、信息系统安全管理度量数据模型
为了能够保证企业安全管理度量方案能够有效实施,需要一个数据模型来提供安全威胁、风险对策、资产度量的数量值。
图1 企业安全控制逻辑模型
图1是企业信息技术安全控制的逻辑模型,表述的是对策、威胁和暴露作为整个信息系统的控制措施之间的影响,而对策、威胁和暴露作为三个相互影响的因数显示在块状图表中,威胁指的是企业信息系统中可能发生的安全事故,可能对企业的资产造成严重破坏,而且企业资产的脆弱性会使得资产趋向于被某个威胁攻击,或者使某个威胁攻击能够成功。威胁则利用了企业资产的脆弱性使得资产最终暴露,对策是为了防止威胁发生,或者减轻威胁发生时对企业信息系统带来的破坏和影响。
四、企业信息系统安全管理度量方案研究
(一)覆盖和控制。覆盖和控制是用来度量企业在进行安全体系的扩展和延时的时候其范围和面积的大小,通常情况下,企业制定的安全计划的目的都是能够保证企业信息安全能够可持续发展,但是,现实情况经常发生的是实施部门与被实施用户之间相互配合不够,而覆盖和控制的度量能够帮助企业管理者清楚明了安全计划与实际实施中存在的差距。覆盖指的是安全控制应用到获得资源的目标群之间的一个特定范围,覆盖的度量目的是测量企业安全部门执行命令的能力。
(二)可靠性度量。企业信息系统可靠性度量包括两个部分,一是系统正常运行的时间,二是系统停机的时间。系统停机时间指的是企业信息系统的计算资源,包括服务器、软件程序、设备运行时间、设备是否正常运行等等,系统的停机时间通常被分为计划停机时间和意外停机时间两类,计划停机时间指的是由于企业信息系统在某段时间内需要安全管理人员进行日常维护工作时的停机时间,包括信息系统的数据备份、程序升级等一系列事务性工作,信息资源暂时无法提供有效服务,而意外停机时间经常是因为系统软件错误、突发灾难等不可预见的因素造成。
五、结论
企业信息系统的安全度量是企业进行信息安全管理的重要环节,企业信息系统的安全度量是收集系统中安全威胁的过程,其中关键因素包括质量指标、基线、模型和方法等等,安全度量是一个极为复杂的过程,在企业信息安全保障体系中的作用显得日益重要。
参考文献:
篇4
【关键词】企业信息化;信息安全问题;原因;对策
新时期下,信息化技术在各行业中运用日渐深入,给企业现代化建设与快速发展带来了无限动力。企业信息化建设已成为我国经济信息化建设能否成功的关键所在,也是提升企业自身市场竞争力与企业升级进步的重要保证和标志[1]。但是,企业信息化建设过程中不可避免的出现信息安全问题,给企业正常生产经营带来诸多不利影响。因此,加强企业信息化建设中信息安全管理,已成为现代企业经营管理的一个至关重要的工作。
1企业信息化概述
所谓的企业信息化,指的是实现企业的资金流、物流、作业流、信息流的数字化、网络化管理,实行企业运行的自动化和企业制度的现代化[2]。企业信息化建设涉及了企业生产经营中的各个部门,其主要利用现代化信息技术,通过完善企业内外网络信息系统,实现对企业内外知识与信息资源的开发。可见,建设企业信息化体系,不但可以及时有效的提供各种数据信息给企业决策层,也为企业未来规划设计提供参考依据,而且还有利于企业满足瞬息万变的市场需求,为企业市场核心竞争力的提升带来动力。
2当前企业信息化建设中信息安全问题
企业信息化建设与发展为企业持续、健康、稳定发展发挥了显著作用,但同时也存在着诸多信息安全问题,具体分析主要有以下几方面[3]:
(1)当前,绝大多数企业缺乏完善的安全防御系统,导致企业内部使用的信息系统易遭受外部网络系统的攻击,引发企业信息资料被他人截获、篡改与伪造等问题,甚至企业信息系统中出现通信线路、硬盘设施以及其他文件系统遭恶意破坏现象,上述问题的发生不但致使企业信息系统无法正常运行,而且其内部机密信息易发生泄漏,造成企业严重的社会经济损失。
(2)针对邮件系统攻击防不甚防。在企业信息系统中电子邮件具有重要的作用,通过电子邮件接收与传送,极大的方便了企业内部间与外部间信息交流与沟通。然而,电子邮件安全问题也日益突出,典型的如电子邮件病毒、垃圾邮件、机密信息泄露以及电子邮件炸弹等,给企业信息传输带来了巨大安全隐患。因此,电子邮件安全问题不可忽视。
(3)漏洞攻击日益严重。按照漏洞问题发生原因可分为软件漏洞和协议漏洞两种,其中软件漏洞主要是受外部不法分子攻击软件自身存在的漏洞,造成企业信息泄露等问题;而协议漏洞则主要是由于TCP/IP协议自身在安全机制方面存在的诸多漏洞问题导致,外部不法人员通过攻击TCP/IP协议漏洞,致使企业信息系统遭受破坏。目前情况,很多企业对自身信息系统缺乏成熟的漏洞检测手段和能力,往往事发后才采取补救措施。
(4)是Web服务安全问题突出,根据Web服务流程,其发生安全问题的主要组成包括Web服务端安全问题、浏览器客户端安全问题两种。其中,Web服务端安全问题主要是企业Web主机遭受外部不法分子侵入,导致企业保密信息遭窃或者企业部分信息遭受非法篡改等;浏览器客户端安全问题则是企业浏览器客户端遭外部非法分子侵入,致使部分机密信息与数据遭窃等。
3导致企业信息化建设中信息安全问题因素
企业信息化建设中信息安全问题发生受诸多因素影响,具体分析主要有以下几方面[4]:
(1)目前,绝大多数企业在信息化建设过程中,对于信息安全问题重视度严重不足。一方面,受传统经营观念影响,企业管理层偏重于对企业生产经营中的有形资产给予关注与重视,而忽略了企业知识与信息资料等无形资源,导致在企业信息安全管理方面各项投入严重不足,进而造成信息安全问题日益凸显;另一方面,多数企业在面对信息安全问题时,存在着盲目乐观现象,认为信息安全问题不至于导致企业正常生产经营,使得信息安全管理无法上升至企业发展规划战略之中,进而造成信息安全问题得不到及时有效解决。
(2)由于企业信息化建设在我国尚处于起步阶段,各方面配套管理制度不够完善,特别是缺乏健全的企业信息安全管理体制。受此影响,企业信息化建设中信息安全问题一方面无法得到有效的预防措施,另一方面是一旦发生信息安全问题,无法采取及时有效的补救与解决对策。同时,由于缺乏科学、合理、有效的企业信息安全防护策略,使得企业信息管理人员缺乏必要的安全防护意识与业务素质能力,致使企业信息安全防护软硬件工作质量与效率明显不足。上述两个因素,导致企业无论是从人员配置,还是资金与技术投入方面都严重不足,受企业信息管理人员业务素质能力不足、信息安全技术方法落后以及配套的资金缺乏等影响,企业信息安全防护的措施、手段偏低,造成企业信息化建设存在着严重安全隐患。
4提升企业信息化建设中信息安全对策
针对当前企业信息化建设中存在的信息安全问题,为加强企业信息安全管理,提升企业信息安全保障,可通过采取以下几方面对策,具体有[5]:
(1)转变传统企业信息化建设观念,在企业内部管理层从上至下加强对企业信息安全的重视,并树立正确的安全意识。一方面,通过组织各种信息安全管理培训等,增强全体企业员工信息安全意识,确保企业保密信息不外漏;另一方面,逐步加大企业信息化建设中信息安全管理各项资金、技术、人力投入,并建立科学、合理、有效的企业信息安全防护策略,保障企业信息系统安全稳定。
(2)不断的推进网络信息技术的发展与运用,促进企业组织结构网络化的实现,同时引进先进的安全防护技术,确保企业信息化系统安全稳定运行。任何网络信息系统都存在着或大或小的安全漏洞问题,而保证其不受外部不法分子侵入的一个关键方法就是安全防护技术的运用。通过选用先进的安全防护技术,可以有效的提高企业信息系统抵抗外来攻击,避免企业信息遭受窃取、篡改甚至破坏等,对于保障企业持续、健康、稳定发展具有显著作用。
(3)结合企业信息化建设实际情况,建立健全企业内部信息系统管理体制。一方面,针对信息安全问题,应建立科学、合理、规范的信息安全管理体制,保证企业信息系统安全运行;另一方面,建立健全企业安全风险评估机制,针对不同系统找出影响其安全的因素和漏洞,并制定出最佳的对策,降低企业信息安全风险;此外,加强相应的网络管理,防止外来不法分子通过网络侵入企业信息系统。
(4)根据新时期企业信息化建设需要,加强企业信息技术人才、信息管理人才队伍建设,为企业信息安全管理奠定坚实的人才基础。一方面,在企业内部,加强信息技术人才培训,提高企业内部相关人才业务素质能力;另一方面,在企业外部,采取有效措施,积极招聘人才,引进具有先进信息技术型人才;此外,建立健全企业信息安全管理用人机制,激发员工工作积极性,提高工作质量与效率。
5小结
总而言之,企业信息安全事关企业信息化建设是否成功,对于企业持续、健康、稳定发展具有至关重要的作用。因此,应提高企业信息安全管理意识,增强企业信息安全管理机制,促进企业信息安全管理工作质量与效率,保障企业信息化建设顺利开展。
参考文献
[1]毛志勇.企业信息化建设的信息安全形势与对策研究[J].科技与产业,2008,8,(1):43~45.
[2]纂振法,徐福缘.浅析企业信息化建设的意义、问题与对策[J].吉林省经济管理干部学院学报,2001,3:24~28.
[3]谢志宏.企业信息化建设中的信息安全问题研究[J].企业导报,2014(06):132~133.
篇5
关键词:
供水企业信息集成系统;等级保护;信息安全
供水行业对国计民生很重要的一个行业,供水企业的业务性质要求以信息的整体化为基本立足点,集中管理所有涉及运营的相关数据,针对供水企业运行的特殊要求,进行集中的规划和架构,将不同专业的应用系统进行整合,最终形成完整的供水企业综合信息平台。[1]而集成系统中最重要的一个要求就是信息安全。
随着大数据时代的到来,网格、分布式计算、云计算、物联网等新技术相继推出,对供水企业信息集成与应用也提出了更高的要求。而随着应用的扩展,应用中存在着大量的安全隐患,网络黑客、木马、病毒和人为的破坏等将大量的安全威胁带给信息系统。根据美国Radicati公司于2015年3月的调查报告,截至2014年12月,网络攻击已经为全球计算机网络安全造成高达上万亿美元的损失。而且随着网络应用的规模进一步上升,计算机网络信息安全威胁造成的损失正在呈几何级数增长。根据2015年的中国网络安全分析报告,2014年报告的网络安全攻击事件比2013年增加了100多倍。2014年,搜狗由于网络黑客攻击导致搜索服务在全国各地都出现了长达25分钟无法使用。2014年7月,某域名服务商的域名解析服务器发生了网络黑客的集中式攻击,造成在其公司注册的13%的网站无法访问,时间长达17个小时,经济损失不可估量。因此,从信息安全的角度,要对供水企业信息集成系统进行防护,降低信息安全事故的发生的概率,降低其危害,是本文需要研究的内容。
1当前供水企业信息集成系统安全防护的现状和存在的问题
伴随着科技的不断发展,供水企业的信息化建设也得到了很大的发展,主要是从深度和广度两个层面做进一步拓展。典型的供水企业信息集成系统涵盖了生产调度系统、销售系统、管网信息系统、财务管理系统、人事管理系统、办公自动化系统等子系统。其中多个系统数据需要接受外部访问,存在大量的安全隐患。目前,威胁到供水企业信息安全的风险因素主要分为三个大类:1)人为原因,如恶意的黑客攻击、不怀好意的内部人员造成的信息外泄、操作中出现低级错误等。2)数据存储位置位置的风险。可能由自然灾害引发的问题,缺乏数据备份和恢复能力。3)不断增长的数据交互放大了数据丢失或泄漏的风险。包括未知的安全漏洞、软件版本、安全实践和代码更改等。
2有关分级防护的要求
尤其是供水企业信息集成系统中,存在大量涉及公民个人隐私的信息,也存在像生产调度这样涉及国计民生的信息。因此,需要按照国家有关信息安全的法律法规,明确企业的信息安全责任。提升供水企业信息管理区内的业务系统信息安全防护。依据《信息安全等级保护管理办法》(公通字[2007]43号)第十四条,信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。定级标准按照国家标准《信息系统安全等级保护定级指南》(GB/T22240—2008)实施,根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:1)造成一般损害;2)造成严重损害;3)造成特别严重损害。
3分别防护实施步骤
根据有关法律法规,建设完成并投入使用的信息系统,其有关使用此系统的单位需要对其系统的等级状况做定期的测评。供水企业要遵照要求选择具有资质的测评机构来对管理信息区的业务系统做等级保护的测评工作。其所得到的结果如下表1所示:通常情况下,供水企业信息系统中不会出现第四级和第五级的系统。根据测评结果,有必要对供水企业内部的局域网进行系统化整改。具体的整改内容包括两项主要内容:细化各业务系统服务器的物理位置;按照需求设置信息安全区域。根据供水企业信息集成系统的具体实际,主要有等级包括三个业务区域,以及一个公共业务区和测评业务区。按照上述原则对供水企业信息集成系统服务器做物理划分如图1所示。不同等级的系统服务器针对不同级别的信息安全区进行设置。等级为一、二、三的业务区分别安装着对应的服务器,而公共业务区域的服务器主要是DNS服务器或者是域服务器。公共业务区服务器主要为基础服务提供非业务系统服务,不需要进行保护分级。测评业务区提供是投入正式使用前的测试服务器。
依据表1的测评结果,将安全区域进行细化表2所示的就是企业管理信息区,其主要业务系统对安全区域存放问题的展示。根据表2得到的结果,可以将信息安全设备存放在不同信息区域边界内,以此达到服务器分级防护目的。信息安全设备设置在信息安全区域边界,也就是局域网与信息安全区域之间的连接部。信息安全设备主要是防火墙、查杀病毒、攻击防护、服务防护禁止、授权等。对于不同区域边界的信息安全的部署建议,供水企业要遵照各自的实际情况做周密的设置。供水企业管理信息安全区域边界防护表见表3。将信息安全防护设备部署在所在的区域边界内,如此可以初步实现对供水企业管理信息区的信息安全防护。
4结束语
随着大数据的发展,对供水企业信息集成系统在数据的交互和应用方面会提出更高的要求,也大大加强了安全防护措施的重要性和迫切性。在安全防护措施基本到位的前提下,还需要加强信息审计,及时发现和补救系统缺陷,加强数据库安全防护,维护管理系统的隐患。
参考文献:
