導(dǎo)語(yǔ):在信息系統(tǒng)安全運(yùn)維服務(wù)的撰寫(xiě)旅程中,學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑�����,好期刊匯集了九篇優(yōu)秀范文���,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感��,引領(lǐng)您探索更多的創(chuàng)作可能�����。
第1篇
【關(guān)鍵詞】外匯 信息安全 風(fēng)險(xiǎn) 保障措施
近年來(lái)��,國(guó)家外匯管理局加大了信息化建設(shè)步伐���,信息系統(tǒng)已基本替代了手工操作用于處理外匯管理日常工作���,在外匯監(jiān)管與服務(wù)的過(guò)程中發(fā)揮著越來(lái)越重要的作用,外匯業(yè)務(wù)信息系統(tǒng)的安全正常運(yùn)行已成為外匯局開(kāi)展業(yè)務(wù)開(kāi)展的前提���,任何一個(gè)環(huán)節(jié)的信息系安全管理缺失���,都可能給外匯管理工作帶來(lái)嚴(yán)重的后果。
一��、外匯信息系統(tǒng)和數(shù)據(jù)所面臨的風(fēng)險(xiǎn)
信息安全就是保護(hù)信息系統(tǒng)或信息網(wǎng)絡(luò)中的信息資源免受各種類(lèi)型的威脅���、干擾和破壞���,即保證信息的保密性、完整性�����、可用性.可控性和平可否認(rèn)性��。
外匯管理信息系統(tǒng)和數(shù)據(jù)在采集���、保存和使用等過(guò)程中存在諸多安全風(fēng)險(xiǎn)���,例如硬盤(pán)損壞等物理環(huán)境風(fēng)險(xiǎn),操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議漏洞導(dǎo)致外匯信息數(shù)據(jù)被非法訪(fǎng)問(wèn)��、修改或惡意刪除��,最終導(dǎo)致外匯信息喪失上述安全特性�����,從而影響了外匯業(yè)務(wù)的正常開(kāi)展��。本節(jié)僅結(jié)合外匯信息系統(tǒng)和數(shù)據(jù)實(shí)際情況��,簡(jiǎn)要介紹外匯信息常見(jiàn)的風(fēng)險(xiǎn)�����。
(一)電子設(shè)備存在軟件和硬件故障風(fēng)險(xiǎn)
外匯信息系統(tǒng)在運(yùn)行過(guò)程往往會(huì)面臨硬件設(shè)備發(fā)生故障��,軟件系統(tǒng)出現(xiàn)運(yùn)行錯(cuò)誤的風(fēng)險(xiǎn)���,例如服務(wù)器電源設(shè)備老化��、硬盤(pán)出現(xiàn)壞道無(wú)法讀寫(xiě)���、軟件崩潰��、通訊網(wǎng)絡(luò)故障等問(wèn)題�����。上述問(wèn)題是外匯信息系統(tǒng)實(shí)際運(yùn)維過(guò)程中最為常見(jiàn)風(fēng)險(xiǎn)源�����。
(二)人為操作風(fēng)險(xiǎn)
因人為操作外匯信息系統(tǒng)產(chǎn)生的未授權(quán)的數(shù)據(jù)訪(fǎng)問(wèn)和數(shù)據(jù)修改��、信息錯(cuò)誤或虛假信息輸入��、授權(quán)的終端用戶(hù)濫用��、不完整處理等��。產(chǎn)生該類(lèi)風(fēng)險(xiǎn)的原因是用戶(hù)安全意識(shí)淡薄�����,未授權(quán)訪(fǎng)問(wèn)數(shù)據(jù)造成外匯信息泄漏��,數(shù)據(jù)手工處理導(dǎo)致的錯(cuò)誤或虛假信息��,未授權(quán)用戶(hù)操作等行為都會(huì)造成信息系統(tǒng)安全性風(fēng)險(xiǎn)��。實(shí)際外匯信息系統(tǒng)運(yùn)行中���,人為事件造成損失的概率遠(yuǎn)遠(yuǎn)大于其他威脅造成損失的��。
(三)系統(tǒng)風(fēng)險(xiǎn)
一般所用的計(jì)算機(jī)操作系統(tǒng)以及大量的應(yīng)用軟件在組織業(yè)務(wù)交流的過(guò)程中使用�����,來(lái)自這些系統(tǒng)和應(yīng)用軟件的問(wèn)題和缺陷會(huì)對(duì)一系列系統(tǒng)造成影響��,特別是在多個(gè)應(yīng)用系統(tǒng)互聯(lián)時(shí)���,影響會(huì)涉及整個(gè)組織的多個(gè)系統(tǒng)。例如��,部分系統(tǒng)具有維護(hù)困難���、結(jié)構(gòu)不完善�����、缺乏文檔和設(shè)計(jì)有漏洞等多個(gè)隱患�����,有時(shí)就會(huì)在系統(tǒng)升級(jí)和安裝補(bǔ)丁的時(shí)候引入較高的風(fēng)險(xiǎn)�����。
(四)物理環(huán)境風(fēng)險(xiǎn)
由于組織缺乏對(duì)組織場(chǎng)所的安全保衛(wèi)��,或者缺乏防水���、防火��、防雷等防護(hù)措施�����,在面臨自然災(zāi)難時(shí)�����,可能會(huì)造成極大的損失�����。
二��、外匯信息安全基本準(zhǔn)則和特性
外匯信息系統(tǒng)是一個(gè)以保障外匯業(yè)務(wù)系統(tǒng)正常運(yùn)行的專(zhuān)用的信息系統(tǒng)��,近年來(lái)在不斷加大信息科技方面投入��、加快信息化建設(shè)的過(guò)程中得到了有效整合和完善��。為有效應(yīng)對(duì)外匯信息系統(tǒng)安全風(fēng)險(xiǎn)�����,科技部門(mén)應(yīng)同步提升科技管理制度的完整性和執(zhí)行力度�����、管理精細(xì)化程度�����。制定外匯信息系統(tǒng)安全的具體保障措施之前���,首先需要我們認(rèn)清信息安全的基本準(zhǔn)則和一些特性:
(一)信息安全短板效應(yīng)
對(duì)信息系統(tǒng)安全所涉及的領(lǐng)域進(jìn)行安全保護(hù)即全面構(gòu)筑外匯管理信息安全保障工作��,重點(diǎn)加強(qiáng)對(duì)安全洼地�����、薄弱環(huán)節(jié)的安全防護(hù)���。
(二)信息安全系統(tǒng)化
信息系統(tǒng)安全其實(shí)是一項(xiàng)系統(tǒng)工程,要從管理��、技術(shù)�����、工程等層面總體考量���,全面保障外匯管理局信息系統(tǒng)安全�����。
(三)信息安全動(dòng)態(tài)化
信息安全保障措施所防范的對(duì)象是一個(gè)動(dòng)態(tài)變化的過(guò)程�����,所以信息系統(tǒng)也應(yīng)該隨著內(nèi)外部安全形勢(shì)的變化不斷改進(jìn)���。
(四)信息安全常態(tài)化
信息安全從時(shí)間角度看是一個(gè)長(zhǎng)期存在的問(wèn)題���,只有在信息安全技術(shù)方面嚴(yán)格把握重點(diǎn),綜合信息安全體系的可持續(xù)構(gòu)建���,才能保障外匯管理局信息系統(tǒng)安全���。
(五)系統(tǒng)操作權(quán)責(zé)明確
信息系統(tǒng)安全的前提是要嚴(yán)格內(nèi)部授權(quán)�����,劃分各崗位職責(zé)��,如加大內(nèi)控風(fēng)險(xiǎn)防范和控制�����。使各系統(tǒng)角色操作者權(quán)限形成相互制約的控制機(jī)制���。
三���、外匯信息安全保障應(yīng)對(duì)措施
外匯信息安全工作應(yīng)以信息系統(tǒng)所面臨的安全威脅依據(jù)�����,遵循基本準(zhǔn)則���,以信息基礎(chǔ)設(shè)施建設(shè)和安全管理制度為我切入點(diǎn)制定相應(yīng)的防護(hù)措施。
(一)建立系統(tǒng)性的安全管理制度
安全管理制度要包括人員管理���、資產(chǎn)管理�����、數(shù)據(jù)管理��、網(wǎng)絡(luò)管理���、運(yùn)維管理、應(yīng)急管理�����、事后審查等方面內(nèi)容
(二)建立良好的網(wǎng)絡(luò)信息安全防護(hù)體系
從物理環(huán)境安全��、網(wǎng)絡(luò)邊界安全�����、設(shè)備安全、應(yīng)用系統(tǒng)安全以及數(shù)據(jù)安全等方面部署相關(guān)的安全防護(hù)設(shè)備和措施���。
(三)定期進(jìn)行信息安全教育培訓(xùn)
因信息技術(shù)行業(yè)快速發(fā)展���,信息安全形勢(shì)也在不斷變化,外匯管理局科技部門(mén)可定期對(duì)轄內(nèi)外匯信息系統(tǒng)維護(hù)和操作人員進(jìn)行信息系統(tǒng)安全培訓(xùn)���,更新安全知識(shí)���。為了有效防范未知威脅和隱患���,外匯管理局科技部門(mén)可對(duì)轄內(nèi)定期開(kāi)展信息系統(tǒng)安全檢查�����,確保外匯信息系統(tǒng)安全有效運(yùn)行���,保障外匯信息的可控、可用和完整性��。
(四)開(kāi)展信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估,進(jìn)一步做好系統(tǒng)等保工作
首先對(duì)外匯信息系統(tǒng)安全進(jìn)行風(fēng)險(xiǎn)評(píng)估�����,根據(jù)評(píng)估識(shí)別威脅外匯信息系統(tǒng)安全的風(fēng)險(xiǎn)�����,作為制定�����、實(shí)施安全策略�����、措施的基礎(chǔ)�����,風(fēng)險(xiǎn)評(píng)估同時(shí)也是外匯信息系統(tǒng)安全等級(jí)保護(hù)的重要前提與依據(jù)��。其次確定信息系統(tǒng)安全級(jí)別�����,根據(jù)級(jí)別的不同,實(shí)施對(duì)應(yīng)的保護(hù)措施�����,啟動(dòng)對(duì)應(yīng)級(jí)別的安全事件應(yīng)急響應(yīng)程序���。
(五)運(yùn)用入侵檢測(cè)等技術(shù)�����,預(yù)防惡意攻擊
隨著技術(shù)發(fā)展�����,當(dāng)前惡意攻擊手段呈現(xiàn)越來(lái)越隱蔽的趨勢(shì)���,需要科技部門(mén)采用具有預(yù)警功能的技術(shù)手段來(lái)應(yīng)對(duì)��,如入侵檢測(cè)���、數(shù)據(jù)挖掘等技術(shù)�����,通過(guò)分析歷史數(shù)據(jù)��,發(fā)現(xiàn)當(dāng)前安全措施的缺陷���,及時(shí)糾正和預(yù)防內(nèi)外部風(fēng)險(xiǎn)再次發(fā)生���。
(六)完善監(jiān)督管理,實(shí)施信息安全自查與檢查相結(jié)合
查找現(xiàn)有信息化建設(shè)工作中的薄弱環(huán)節(jié)��,井切實(shí)進(jìn)行整改�����,建立良性的信息安全管理機(jī)制�����。開(kāi)展信息安全檢查與自查是完善信息安全監(jiān)督管理工作的有效方式之一�����,其中信息安全檢查方案的設(shè)計(jì)是安全檢查的核心���,科技部門(mén)需要根據(jù)外匯業(yè)務(wù)實(shí)際情況���,將外匯管理局有關(guān)要求進(jìn)行梳理完善�����,對(duì)相應(yīng)風(fēng)險(xiǎn)點(diǎn)進(jìn)行總結(jié)和歸納���,科學(xué)設(shè)計(jì)了信息安全檢查方案。
參考文獻(xiàn)
[1]林國(guó)恩.信息系統(tǒng)安全[M].北京:電子工業(yè)出版社.2010
第2篇
民航是我國(guó)的基礎(chǔ)行業(yè)之一,對(duì)我國(guó)經(jīng)濟(jì)發(fā)展有著重大而深遠(yuǎn)的影響,尤其是現(xiàn)在航空公司的基本業(yè)務(wù)都已經(jīng)實(shí)現(xiàn)電子化,信息系統(tǒng)安全本身的穩(wěn)定�����、可靠成為整個(gè)航空公司業(yè)務(wù)開(kāi)展的基礎(chǔ)���。
萬(wàn)事俱備,只欠東風(fēng)
某航空公司作為全球最大航空聯(lián)盟――星空聯(lián)盟成員之一,是民航業(yè)一家非常有代表性的公司�����。在信息化建設(shè)上,該航空公司信息系統(tǒng)規(guī)模非常龐大,信息化工作人員就達(dá)到100多人,包括基礎(chǔ)IT設(shè)施保障人員���、系統(tǒng)開(kāi)發(fā)與維護(hù)人員���、網(wǎng)絡(luò)運(yùn)維管理人員等�����。相對(duì)信息系統(tǒng)安全保障而言,該航空公司目前還缺少專(zhuān)職專(zhuān)崗的安全運(yùn)維人員��。
面對(duì)未來(lái)世博會(huì)上大量客流及信息系統(tǒng)數(shù)據(jù)處理需求,該航空公司領(lǐng)導(dǎo)決定盡早提升系統(tǒng)的信息安全保障力度,提升整體團(tuán)隊(duì)信息安全技術(shù)能力��。
作為國(guó)家基礎(chǔ)性行業(yè),民航業(yè)必須要遵從國(guó)家頒布的等級(jí)保護(hù)政策,所以,該航空公司領(lǐng)導(dǎo)非常注重信息安全等級(jí)保護(hù)體系的建設(shè),并且面向社會(huì)進(jìn)行信息安全服務(wù)供應(yīng)商招標(biāo)�����。東軟安全服務(wù)部部長(zhǎng)席斐對(duì)記者說(shuō):“該航空公司信息系統(tǒng)基礎(chǔ)建設(shè)很好,技術(shù)人員團(tuán)隊(duì)素質(zhì)高,可以說(shuō)萬(wàn)事俱備,而獨(dú)缺專(zhuān)業(yè)安全體系這一塊的行業(yè)規(guī)劃��。東軟NetEye憑借13年專(zhuān)業(yè)的安全技術(shù)積淀,全面���、完善的實(shí)施方案贏(yíng)得了為此用戶(hù)提供信息安全體系建設(shè)咨詢(xún)和評(píng)估服務(wù)的機(jī)會(huì)���。”
“三業(yè)”保障信息系統(tǒng)安全
在信息化建設(shè)中,東軟一直注重業(yè)務(wù)系統(tǒng)和信息化建設(shè)的整體融合與推動(dòng),并致力于為客戶(hù)提供優(yōu)秀且可操作的安全解決方案��。
經(jīng)過(guò)對(duì)該航空公司系統(tǒng)業(yè)務(wù)情況以及安全現(xiàn)狀的充分溝通和詳細(xì)分析后,東軟NetEye安全服務(wù)團(tuán)隊(duì)對(duì)其總部等幾個(gè)營(yíng)業(yè)點(diǎn)進(jìn)行了全面的信息安全風(fēng)險(xiǎn)評(píng)估,特別是對(duì)互聯(lián)網(wǎng)公開(kāi)的B/S架構(gòu)的電子商務(wù)業(yè)務(wù)系統(tǒng)和呼叫中心系統(tǒng)�����、運(yùn)行準(zhǔn)備系統(tǒng)、HR系統(tǒng)�����、招聘系統(tǒng)���、貨運(yùn)系統(tǒng)等進(jìn)行了詳細(xì)的評(píng)估,全面了解系統(tǒng)安全狀況,明確當(dāng)前風(fēng)險(xiǎn),并完成壓力測(cè)試��、滲透測(cè)試���、等級(jí)保護(hù)差距分析、系統(tǒng)加固等��。同時(shí),在本次項(xiàng)目中,東軟NetEye團(tuán)隊(duì)協(xié)助該航空公司對(duì)其原有的信息化管理規(guī)章進(jìn)行了重新梳理,并制定和建立起一套信息安全專(zhuān)項(xiàng)管理手冊(cè),提高了安全制度和安全管理規(guī)范的可操作性���。
在完成信息安全風(fēng)險(xiǎn)評(píng)估工作之后,東軟還協(xié)助該航空公司一起制定了未來(lái)三年詳盡的信息安全整體建設(shè)規(guī)劃方案,為其在世博期間乃至今后的信息安全運(yùn)維保障工作奠定了有力基石��。
“更重要的是我們通過(guò)這一次項(xiàng)目為用戶(hù)培養(yǎng)了一支具備信息安全風(fēng)險(xiǎn)評(píng)估能力的技術(shù)團(tuán)隊(duì)���。”席斐說(shuō),“這是用戶(hù)方領(lǐng)導(dǎo)對(duì)我們最為稱(chēng)道的一項(xiàng)��?�!?/p>
第3篇
1 綜合治理信息安全的戰(zhàn)略背景
IT管理技術(shù)發(fā)展歷程,從被動(dòng)管理轉(zhuǎn)向主動(dòng)管理���,從服務(wù)導(dǎo)向轉(zhuǎn)向業(yè)務(wù)價(jià)值。在科學(xué)的IT管理方法論方面形成了一系列標(biāo)準(zhǔn):諸如ITIL/ITSM以流程為中心的IT管理行業(yè)標(biāo)準(zhǔn);ISO20000ITIL 的國(guó)際標(biāo)準(zhǔn); COBIT面向IT審計(jì)的IT管理標(biāo)準(zhǔn);COSO企業(yè)內(nèi)部控制框架���,面向內(nèi)部控制;ISO17799:信息安全管理國(guó)際標(biāo)準(zhǔn)���。當(dāng)前有很多非常好的綜合性標(biāo)準(zhǔn)與規(guī)范可以參考,其中非常有名的就是ISO/IEC27000系列標(biāo)準(zhǔn)���。ISO/IEC 27001通過(guò)PDCA過(guò)程���,指導(dǎo)企業(yè)如何建立可持續(xù)改進(jìn)的體系。
目前企業(yè)IT運(yùn)維管理現(xiàn)狀���。需求變化:IT本身快速變更;管理目標(biāo)多角度變換并存���。資源不足:IT 復(fù)雜性成長(zhǎng)快于人員成長(zhǎng);IT 人員持續(xù)流動(dòng)。業(yè)務(wù)影響:難以判斷事件對(duì)業(yè)務(wù)的影響和處理事件的優(yōu)先級(jí)���。信息孤島:IT 資源多樣性的��,不能進(jìn)行事件的關(guān)聯(lián)分析���,缺少統(tǒng)一的健康視圖���。IT網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)維存在監(jiān)測(cè)盲點(diǎn),缺少主動(dòng)預(yù)警和事件分析機(jī)制�����。
如何把此項(xiàng)復(fù)雜的工程進(jìn)行細(xì)化與落地���,建立信息安全保障框架?在企業(yè)有限的IT資源(包括人員�����、系統(tǒng)等)等的前提下��,IT運(yùn)營(yíng)面臨嚴(yán)峻的挑戰(zhàn)���,企業(yè)多半缺乏信息系統(tǒng)應(yīng)用開(kāi)發(fā)能力,在很大程度上依賴(lài)于產(chǎn)品開(kāi)發(fā)商的支持��,為此�����,要想實(shí)現(xiàn)從混亂到清晰、從被動(dòng)到主動(dòng)��、從應(yīng)付到實(shí)現(xiàn)價(jià)值取向的服務(wù)思想�����,自主加外包的混合運(yùn)維方式無(wú)疑是一種好的服務(wù)方式���。
2 建立和實(shí)施信息安全保障體系思路和方法
針對(duì)IT管理問(wèn)題和價(jià)值取向的服務(wù)方式,借鑒PDCA工作循環(huán)原理和標(biāo)準(zhǔn)化體系建設(shè)方法���,從建立安全目標(biāo)和組織體系�����、制度體系和技術(shù)體系等三個(gè)主要層面構(gòu)建實(shí)施信息安全保障體系�����,以規(guī)范引導(dǎo)人��、以標(biāo)準(zhǔn)流程引導(dǎo)人��,以業(yè)績(jī)激勵(lì)人��,從而促被動(dòng)變主動(dòng)���,堅(jiān)持持續(xù)改善��,促進(jìn)工作效率�����,促進(jìn)安全保障���。
2.1 建立和推行目標(biāo)管理
體系建設(shè)應(yīng)以目標(biāo)管理為先導(dǎo)、循序漸進(jìn)��,按頂層布局�����、中層發(fā)力�����、底層推動(dòng)內(nèi)容設(shè)計(jì)與構(gòu)建,為此��,借鑒當(dāng)前IT運(yùn)維管理目標(biāo)演進(jìn)方式�����,確立各階段建設(shè)目標(biāo)���。
基礎(chǔ)架構(gòu)建設(shè)階段(SMB)�����,手工維護(hù)階段。主要實(shí)現(xiàn)IT基礎(chǔ)架構(gòu)建設(shè)��。
網(wǎng)絡(luò)和系統(tǒng)監(jiān)控(NSM)階段�����,重視自動(dòng)化監(jiān)控階段���。主要實(shí)現(xiàn)IT設(shè)備維護(hù)和管理���。
IT服務(wù)管理(ITSM)階段,重視流程管理階段。主要實(shí)現(xiàn)IT服務(wù)流程管理�����。
業(yè)務(wù)服務(wù)管理(BSM)階段���,重視用戶(hù)服務(wù)質(zhì)量與滿(mǎn)意度���。主要實(shí)現(xiàn)IT與業(yè)務(wù)融合管理。
從IT投入和業(yè)務(wù)價(jià)值來(lái)看�����,前三個(gè)階段是間接業(yè)務(wù)價(jià)值��,第四階段才是直接業(yè)務(wù)價(jià)值��。
根據(jù)ITIL這個(gè)IT服務(wù)管理的方法論���,先是搭建一個(gè)框架��,借用工具的配合促進(jìn)落地�����。如圖1���、IT運(yùn)維管理系統(tǒng)參考模型�����。
從安全目標(biāo)出發(fā)���,結(jié)合IT運(yùn)維管理系統(tǒng)參考模型,每個(gè)階段的工作向著實(shí)現(xiàn)直接業(yè)務(wù)價(jià)值��,不斷消除或減輕對(duì)性能的約束��,促進(jìn)IT產(chǎn)品或服務(wù)滿(mǎn)足確定的規(guī)范���,實(shí)現(xiàn)企業(yè)效益最大化。服務(wù)好用屬性通過(guò)最終的績(jī)效和檢驗(yàn)結(jié)果監(jiān)視測(cè)量?jī)r(jià)值成分��。如圖2��。
2.2 規(guī)劃融合信息安全保障體系
通過(guò)從組織體系��、制度體系��、技術(shù)體系層面建立和實(shí)施縱深防御體系,實(shí)現(xiàn)穩(wěn)健的信息安全保障狀態(tài)���。
①組織體系:通過(guò)企業(yè)中高層的支持實(shí)現(xiàn)業(yè)務(wù)驅(qū)動(dòng)和共同推動(dòng)信息安全體系建設(shè)�����。當(dāng)然��,需要提出的問(wèn)題�����,組織有可能要依賴(lài)長(zhǎng)期可靠的合作伙伴:通過(guò)長(zhǎng)期可靠的合作關(guān)系��,快速引進(jìn)外部專(zhuān)業(yè)資源和先進(jìn)技術(shù)�����,可以幫助企業(yè)推動(dòng)信息安全建設(shè)工作��。為了幫助組織內(nèi)外信息系統(tǒng)人員更好地遵守行業(yè)規(guī)范及法律要求���,企業(yè)實(shí)施IT網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)維體系標(biāo)準(zhǔn),組織應(yīng)做到定期對(duì)全體員工進(jìn)行信息安全相關(guān)教育���,包括:技能��、職責(zé)和意識(shí)���,通過(guò)相關(guān)審核��,證明組織具備實(shí)施體系的意識(shí)和能力�����。
②制度體系:企業(yè)IT網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)維系統(tǒng)建設(shè)的范圍包括機(jī)房安全�����、數(shù)據(jù)安全��、網(wǎng)絡(luò)安全��、服務(wù)器安全��、業(yè)務(wù)應(yīng)用安全、終端安全等���。為此�����,企業(yè)應(yīng)明確內(nèi)部運(yùn)維和外部協(xié)同的內(nèi)容及其標(biāo)準(zhǔn)規(guī)范�����,包括績(jī)效標(biāo)準(zhǔn)�����。建立實(shí)施IT網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)維體系標(biāo)準(zhǔn)�����,首先把高效的信息安全做法固化下來(lái)形成規(guī)則制度或標(biāo)準(zhǔn)�����,成為組織中信息安全行為準(zhǔn)則��。保證事前預(yù)防��、事中監(jiān)控和事后審計(jì)等安全措施的得到有效執(zhí)行與落實(shí)���。
③技術(shù)體系:一般來(lái)說(shuō)�����,網(wǎng)絡(luò)設(shè)備技術(shù)體系可以按照從上到下信息所流經(jīng)的設(shè)備來(lái)部署工具���。即從數(shù)據(jù)安全���、終端安全、應(yīng)用安全�����、操作系統(tǒng)與數(shù)據(jù)庫(kù)安全��、網(wǎng)絡(luò)安全��、物理安全六個(gè)方面來(lái)選擇不同的安全工具��。按照“適度防御”原則��,綜合采用各種安全工具進(jìn)行組合��,形成企業(yè)“適用的”安全技術(shù)防線(xiàn)��。適時(shí)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果�����,采取相應(yīng)措施���,降低風(fēng)險(xiǎn)�����。
其中,需要采用1~2種綜合管理的工具來(lái)幫助把所有的安全監(jiān)控工具進(jìn)行統(tǒng)一管控�����。例如SOC是給企業(yè)日常維護(hù)管理者使用�����,ITRM作為綜合風(fēng)險(xiǎn)呈現(xiàn)�����,是給企業(yè)風(fēng)險(xiǎn)或安全管理層使用�����。
④體系運(yùn)行和監(jiān)控:體系的日常運(yùn)行和監(jiān)控就是從信息的生命周期進(jìn)行流程控制,即在信息的創(chuàng)建���、使用�����、存儲(chǔ)�����、傳遞���、更改、銷(xiāo)毀等各個(gè)階段進(jìn)行安全控制�����。之前不能忽視在信息創(chuàng)建開(kāi)發(fā)安全階段的一個(gè)細(xì)化控制手段���。在運(yùn)行體系建設(shè)中��,往往需要結(jié)合流程分析來(lái)關(guān)注信息的生命周期安全��。運(yùn)行過(guò)程中還有一個(gè)應(yīng)急管理���,包括災(zāi)備中心建設(shè)�����、業(yè)務(wù)連續(xù)性計(jì)劃、應(yīng)急響應(yīng)等等都有相應(yīng)的標(biāo)準(zhǔn)與理論支持��。特別是BS25999標(biāo)準(zhǔn)的頒布���,給如何建立一套完善的應(yīng)急體系提供了參考��。
3 企業(yè)建立和實(shí)施信息安全保障體系實(shí)踐
面對(duì)網(wǎng)絡(luò)系統(tǒng)互連��,網(wǎng)絡(luò)技術(shù)與設(shè)備的安全管理規(guī)范的完善這個(gè)復(fù)雜而且浩大的工程���,井岡山卷煙廠(chǎng)不僅依靠個(gè)體分散的技術(shù)措施或者管理防護(hù),而且結(jié)合國(guó)家�����、社會(huì)和個(gè)人的力量構(gòu)建綜合保障體系��。
①依據(jù)ISO9000��、ISO14000和OHSAS18000標(biāo)準(zhǔn)��,國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)和信息安全相關(guān)法律法規(guī)��,參考當(dāng)前科學(xué)的IT管理方法論方面形成了一系列標(biāo)準(zhǔn)��,結(jié)合YC/T384煙草企業(yè)安全生產(chǎn)標(biāo)準(zhǔn)等��,識(shí)別這些與信息安全相關(guān)的法律法規(guī)及其它要求�����,將信息安全保障體系(框架)融合到企業(yè)質(zhì)量�����、環(huán)境和職業(yè)健康安全(以下簡(jiǎn)稱(chēng)為三標(biāo))綜合管理體系�����。
②確定信息安全管理目標(biāo)并分步實(shí)施企業(yè)三年信息化發(fā)展規(guī)劃�����。自2012年開(kāi)始��,企業(yè)對(duì)照YC/T384煙草企業(yè)安全生產(chǎn)標(biāo)準(zhǔn)要求���,在梳理和評(píng)價(jià)2000年以來(lái)企業(yè)多個(gè)企業(yè)信息化三年實(shí)施規(guī)劃實(shí)踐環(huán)境以后��,制訂了新的三年信息安全管理目標(biāo)和建設(shè)規(guī)劃��,將目標(biāo)和規(guī)劃分解到各年度實(shí)施,并納入到企業(yè)年度三標(biāo)綜合管理體系建設(shè)目標(biāo)和管理績(jī)效考核��。
③建立信息安全管理組織和工作標(biāo)準(zhǔn)�����,同時(shí)納入三標(biāo)綜合管理體系管理考核��。從體系結(jié)構(gòu)上促成企業(yè)作業(yè)層、管理層(中間層)和決策層的信息化���,實(shí)現(xiàn)企業(yè)的物資(服務(wù))流��、資金流和信息流的一體化�����,及時(shí)��、準(zhǔn)確和完整地傳遞企業(yè)的經(jīng)營(yíng)數(shù)據(jù)�����,保證企業(yè)的經(jīng)營(yíng)管理��。利用信息化改進(jìn)管理���,形成企業(yè)信息安全文化���,促進(jìn)員工接受��、理解和主動(dòng)配合���,不斷提升全員的信息安全意識(shí)和技能���,從而使信息安全管理真正落到實(shí)處�����。
④建立和實(shí)施信息安全保障體系文件標(biāo)準(zhǔn)��。根據(jù)國(guó)家信息安全相關(guān)的法律法規(guī)及其它要求���,結(jié)合行業(yè)和企業(yè)的特點(diǎn)和發(fā)展趨勢(shì),規(guī)范管理流程和模式��。網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)“立足長(zhǎng)遠(yuǎn)�����、分步實(shí)施��、突出重點(diǎn)”��,做到“統(tǒng)一規(guī)劃��、統(tǒng)一標(biāo)準(zhǔn)�����、統(tǒng)一平臺(tái)��、統(tǒng)一編碼”��,同步實(shí)施信息系統(tǒng)等級(jí)保護(hù)制度��,促進(jìn)企業(yè)與信息系統(tǒng)項(xiàng)目合作單位�����、地方通訊和公安等部門(mén)的社會(huì)化合作主要方式��。企業(yè)內(nèi)部各項(xiàng)工作實(shí)現(xiàn)規(guī)范化��、信息化�����,做到一切工作都按照程序辦�����,同時(shí)��,事事處于相互制衡的環(huán)境之下��、人人處于監(jiān)督管理之中��,從而形成職責(zé)明確、運(yùn)轉(zhuǎn)協(xié)調(diào)�����、相互制衡的工作機(jī)制�����,為企業(yè)內(nèi)部信息安全監(jiān)管提供強(qiáng)有力的保障��。
幾年來(lái)��,企業(yè)堅(jiān)持企業(yè)信息安全方針目標(biāo)�����,以迅速響應(yīng)服務(wù)為宗旨�����。企業(yè)信息安全保障體系建設(shè)緊緊圍繞建立科學(xué)���、規(guī)范、和諧�����、統(tǒng)一、開(kāi)放的管理體系���,全面融入了質(zhì)量���、安全和環(huán)境管理體系一體化建設(shè)和實(shí)踐,截止到2015年底��,企業(yè)共梳理建立或整合并實(shí)施安全保障類(lèi)文件包括企業(yè)管理標(biāo)準(zhǔn)�����、技術(shù)標(biāo)準(zhǔn)和工作標(biāo)準(zhǔn)共計(jì)31個(gè)標(biāo)準(zhǔn)文件��。通過(guò)創(chuàng)新與改善和體系審核�����、管理評(píng)審和提高文件執(zhí)行率及持續(xù)改進(jìn)方式保持了信息安全保障管理體系的持續(xù)改進(jìn)和有效運(yùn)行��。
第4篇
如今��,伴隨著科學(xué)技術(shù)的迅猛發(fā)展�����,我國(guó)電力企業(yè)各個(gè)方面的工作,也得到了大幅度的進(jìn)步���。電力信息安全保障體系��,是電力發(fā)展事業(yè)各組成部分中的重要環(huán)節(jié)�����,在維持電力企業(yè)的正常運(yùn)行��、日常管理和營(yíng)銷(xiāo)管理等方面�����,起著至關(guān)重要的作用�����。因此,電力信息的安全問(wèn)題���,一直是電力企業(yè)所關(guān)注的重要內(nèi)容之一�����,各個(gè)企業(yè)對(duì)于電力信息也逐漸重視起來(lái)���。以下是筆者結(jié)合當(dāng)前電力信息安全保障體系建設(shè)的實(shí)際情況���,就在電力企業(yè)中,電力信息系統(tǒng)的安全領(lǐng)域出現(xiàn)的問(wèn)題���,進(jìn)行有效詳細(xì)的研究與分析�����,希望通過(guò)此次研究��,能夠?qū)﹄娏π畔踩U象w系的建設(shè)領(lǐng)域的發(fā)展�����,起到一定的促進(jìn)作用��,為我國(guó)電力工作的發(fā)展���,獻(xiàn)計(jì)獻(xiàn)策�����。
【關(guān)鍵詞】
電力信息�����;安全保障�����;體系建設(shè)��;探討研究
所謂的電力信息系統(tǒng)�����,主要的內(nèi)容包括信息網(wǎng)絡(luò)���、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)服務(wù)系統(tǒng)�����、存儲(chǔ)與備份系統(tǒng)���、安全系統(tǒng)�����、輔助系統(tǒng)等���。除此以外,上述系統(tǒng)的附屬設(shè)備也在電力信息系統(tǒng)的行列內(nèi)��。本系統(tǒng)所涉及的技術(shù)�����,大致有數(shù)據(jù)加密技術(shù)���、防火墻��、入侵檢測(cè)技術(shù)��、網(wǎng)絡(luò)掃描技術(shù)���,以及訪(fǎng)問(wèn)控制技術(shù)等�����。雖然安全架構(gòu)在設(shè)計(jì)上出現(xiàn)問(wèn)題與管理方面出現(xiàn)問(wèn)題���,是引發(fā)信息系統(tǒng)安全問(wèn)題的主要因素���,但還是有其他因素存在�����。因此�����,在電力信息系統(tǒng)安全保障體系的建設(shè)��,要考慮電網(wǎng)運(yùn)行安全方面以外�����,還要經(jīng)過(guò)信息安全系統(tǒng)的的建設(shè)���、信息安全管理的建設(shè)和信息安全策略的建設(shè)三個(gè)階段�����。
一��、電力信息安全保障體系存在的問(wèn)題
隨著科學(xué)技術(shù)的不斷發(fā)展��,計(jì)算機(jī)技術(shù)也在不斷進(jìn)步��,黑客是擺在我們面前不可忽視的問(wèn)題���。因此電力系統(tǒng)在正常運(yùn)行的情況下,就很容易受到黑客的攻擊���,造成病毒的侵入�����,所以對(duì)電力信息的安全保障體系的建設(shè)予以加強(qiáng)�����,變得迫在眉睫?�,F(xiàn)如今��,電力信息安全存在的主要問(wèn)題��,大致包括信息安全意識(shí)薄弱���、信息安全運(yùn)作機(jī)制不完善��、信息安全保障工作沒(méi)有常態(tài)化���、系統(tǒng)安全設(shè)計(jì)不足,以及短板現(xiàn)象顯著等���。在大多數(shù)電力企業(yè)中�����,信息安全問(wèn)題常常被忽視���,有的甚至處于不防御狀態(tài)。信息安全運(yùn)作機(jī)制不完善�����,在不完善的業(yè)務(wù)連續(xù)性計(jì)劃���,不規(guī)范的信息文檔和測(cè)試數(shù)據(jù)的管理中���,有所體現(xiàn)�����。那么��,怎么樣去應(yīng)對(duì)這些問(wèn)題呢?使這些問(wèn)題能夠迎刃而解呢�����?主要從信息安全管理和信息安全技術(shù)兩方面入手�����。其中�����,信息安全評(píng)估��、建立安全管理組織�����、信息安全運(yùn)行管理、安全策略規(guī)劃和安全監(jiān)督審計(jì)等��,均屬于信息安全管理范疇���。而信息安全技術(shù)大致包括通用信息安全技術(shù)手段�����,也就是安全服務(wù)�����,比如訪(fǎng)問(wèn)管理���、防惡意代碼、身份認(rèn)證和審核跟蹤等等���。
二��、電力信息安全保障體系的策略與管理
結(jié)合當(dāng)前形勢(shì)與公司實(shí)際,要不斷進(jìn)行管理的創(chuàng)新與技術(shù)的實(shí)踐�����。從管理層面講��,要對(duì)組織機(jī)構(gòu)��、系統(tǒng)運(yùn)行維護(hù)��、規(guī)章制度���、相關(guān)工作人員教育等進(jìn)行全面控制和管理��;而從技術(shù)的層面出發(fā)��,做到防護(hù)物理、主機(jī)系統(tǒng)��、網(wǎng)絡(luò)�����、數(shù)據(jù)應(yīng)用等等各方面的安全性,同時(shí)在安全可靠前提下�����,建設(shè)一套高效��、先進(jìn)、實(shí)用的信息安全保障體系���,支撐助力生產(chǎn)專(zhuān)業(yè)化與管理現(xiàn)代化���,保障電力信息的安全性。制定電力信息安全策略�����,應(yīng)該保證在國(guó)家信息安全等級(jí)保護(hù)政策的前提下進(jìn)行���,本著提升電力企業(yè)整體防篡改�����、防泄密���、防攻擊等綜合能力的原則,進(jìn)行策略的制定���。電力信息安全的運(yùn)行�����,在保證對(duì)基礎(chǔ)環(huán)境��、主營(yíng)業(yè)務(wù)系統(tǒng)���、軟硬件平臺(tái)等等運(yùn)行維護(hù)的同時(shí)�����,還要確保運(yùn)維技術(shù)規(guī)范�����、運(yùn)維流程和定檢等標(biāo)準(zhǔn)或機(jī)制的建立�����。另外,訪(fǎng)問(wèn)控制和身份認(rèn)證�����,可以將主機(jī)系統(tǒng)���、安全設(shè)備��、應(yīng)用系統(tǒng)���,網(wǎng)絡(luò)設(shè)備等的身份認(rèn)證���,進(jìn)行統(tǒng)一管理。審計(jì)和監(jiān)控��,也可提高信息的安全性�����,對(duì)問(wèn)題發(fā)生時(shí)的反應(yīng)速度���,也能夠得以提升�����,對(duì)安全問(wèn)題的發(fā)生��,起到了有效的預(yù)防��。在電力管理信息大區(qū)網(wǎng)絡(luò)內(nèi)部��,還應(yīng)建立能夠?qū)Σ《具M(jìn)行預(yù)防���、隔離��、檢測(cè)和清除的機(jī)制��。這樣�����,可以大大降低未知病毒的入侵率���。
三、結(jié)論
總而言之��,加強(qiáng)電力信息安全保障體系的建設(shè)��,是新時(shí)期電力工作者熱衷研究的一大科題���,更是今后的工作方向��。在電力信息系統(tǒng)安全保障體系建設(shè)的過(guò)程中,我們必須要以“堅(jiān)持實(shí)事求是��、以人為本”的方針為原則,系統(tǒng)性的分析影響電力信息系統(tǒng)運(yùn)行安全與管理的因素���,結(jié)合如今電力信息系統(tǒng)安全保障的實(shí)際情況��,以最佳的建設(shè)原則與思路�����,對(duì)電力信息系統(tǒng)安全保障體系進(jìn)行完善��,為電力企業(yè)的健康長(zhǎng)遠(yuǎn)發(fā)展做出突出的貢獻(xiàn)�����。
作者:唐勇 單位:國(guó)網(wǎng)四川省電力公司電力科學(xué)研究院
參考文獻(xiàn)
[1]李志茹,張華峰,黨倩.電網(wǎng)企業(yè)信息系統(tǒng)安全防護(hù)措施的研究與探討[J].電力信息化.2012(04)��。
[2]香柱平.有關(guān)電力企業(yè)信息中心網(wǎng)絡(luò)安全及防護(hù)措施的探討[J].中小企業(yè)管理與科技(下旬刊).2010(05)��。
[3]張建華,王昕偉,蔣程,于雷,俞悅,余加喜.基于蒙特卡羅方法的風(fēng)電場(chǎng)有功出力的概率性評(píng)估[J].電力系統(tǒng)保護(hù)與控制.2014(03)�����。
[4]丁冬,劉宗歧,楊水麗,吳小剛,李婷婷.基于模糊控制的電池儲(chǔ)能系統(tǒng)輔助AGC調(diào)頻方法[J].電力系統(tǒng)保護(hù)與控制.2015(08)�����。
第5篇
進(jìn)入21世紀(jì)���,信息化高速發(fā)展��,隨著醫(yī)療體制改革的逐步普及和深化��,醫(yī)療衛(wèi)生信息化正在步入一個(gè)信息化全覆蓋���、信息化無(wú)所不在的時(shí)代。
信息化全覆蓋�����,意味著信息化遍布醫(yī)院各個(gè)部門(mén)和科室��,信息化無(wú)所不在�����,意味著信息化貫穿醫(yī)院各個(gè)環(huán)節(jié)和流程��。也即��,醫(yī)院信息部門(mén)的責(zé)任無(wú)邊界��;信息人員的任務(wù)無(wú)限延伸。目前的現(xiàn)實(shí)是:信息系統(tǒng)已經(jīng)成為醫(yī)院的“神經(jīng)系統(tǒng)”���,系統(tǒng)越來(lái)越復(fù)雜,范圍越來(lái)越大�����,待解難題層出不窮���,各種需求永無(wú)止境�����,信息人員實(shí)際工作越來(lái)越多�����,每天疲于奔命�����,而不滿(mǎn)之聲卻此起彼伏��,不絕于耳��。
如何突破這種困境��?這是醫(yī)院信息主管必須思考的一個(gè)問(wèn)題���,也是醫(yī)院管理者面對(duì)的難題���。醫(yī)院信息主管(CIO)集管理、技術(shù)和服務(wù)等于一身��,是醫(yī)院信息工作的直接責(zé)任者���,必須從自身做起�����,面對(duì)挑戰(zhàn)��,轉(zhuǎn)變觀(guān)念�����,創(chuàng)新管理思路��,實(shí)現(xiàn)360°服務(wù)�����,將是突破困境的途徑之一���。下面從四個(gè)方面談?wù)勊膫€(gè)360°。
1 具備360°視野
醫(yī)院越大���,信息系統(tǒng)越復(fù)雜��,涉及面廣���,面對(duì)的服務(wù)對(duì)象多,工作內(nèi)容復(fù)雜�����,需求多樣化���,信息主管首先要具備360?°視野�����。只有視野開(kāi)闊了�����,才能統(tǒng)籌兼顧���,管理到位���,服務(wù)全面。
1.1 360°關(guān)注醫(yī)院外部視野:指醫(yī)院外部相關(guān)政府管理部門(mén)��、社會(huì)各方及患者等對(duì)醫(yī)院的管理��、監(jiān)督和要求�����。如圖1所示�����。
面對(duì)如此眾多的服務(wù)對(duì)象��,每一個(gè)對(duì)象對(duì)信息化都有特殊要求�����,信息化必須具備全方位外聯(lián)服務(wù)功能,例如:患者預(yù)約掛號(hào)的需求�����,醫(yī)保數(shù)據(jù)上傳下載功能���,衛(wèi)生統(tǒng)計(jì)信息平臺(tái)直報(bào)功能���,藥監(jiān)網(wǎng)藥品申報(bào)和管理�����,以及網(wǎng)上視頻會(huì)議�����、網(wǎng)上繼續(xù)教育和遠(yuǎn)程醫(yī)療等���。外部視野要求:完善信息化硬件基礎(chǔ)設(shè)施建設(shè)���,構(gòu)建軟件系統(tǒng)平臺(tái),頓悉各方需求,全方位提供服務(wù)�����。
1.2 360°統(tǒng)觀(guān)醫(yī)院內(nèi)部視野:指在信息化全覆蓋前提下�����,滿(mǎn)足醫(yī)院內(nèi)各個(gè)部門(mén)���、各項(xiàng)工作對(duì)信息化的要求�����。如圖2所示���。 信息化不僅要滿(mǎn)足醫(yī)療需求,還要實(shí)現(xiàn)管理��、后勤���、財(cái)務(wù)���、醫(yī)保�����、科研�����、教學(xué)等諸多功能�����,同時(shí)要有輔助決策功能���。
2 實(shí)現(xiàn)360°服務(wù)
具備了360°視野,在把控全局�����,了解全部的基礎(chǔ)上�����,不斷提升管理能力�����,優(yōu)化服務(wù)措施�����,力爭(zhēng)實(shí)現(xiàn)360°服務(wù)��。圖3是一個(gè)醫(yī)院日常工作與服務(wù)對(duì)象的關(guān)系示意圖��,它體現(xiàn)了管理與服務(wù)對(duì)象的密不可分��。
具體要求如下:1)洞悉需求:對(duì)客戶(hù)化需求進(jìn)行合理化分析���,合理的予以修正�����,不合理的給予原因解釋?zhuān)恢鲃?dòng)了解使用者的需求���,耐心聽(tīng)取各方意見(jiàn),主動(dòng)征求客戶(hù)化修改意見(jiàn)��。2)流程優(yōu)化:通過(guò)對(duì)醫(yī)療流程的深入了解和分析�����,不斷改進(jìn),通過(guò)軟件修正和行政干預(yù)��,使流程盡量?jī)?yōu)化��。3)簡(jiǎn)便操作:基于醫(yī)療最終服務(wù)于患者的宗旨�����,醫(yī)院信息系統(tǒng)應(yīng)該操作簡(jiǎn)便���,桌面操作應(yīng)當(dāng)人性化�����、簡(jiǎn)捷化���、便利化,不能使醫(yī)務(wù)人員的操作成為負(fù)擔(dān)���。4)界面友好:一個(gè)合格的醫(yī)院信息系統(tǒng)應(yīng)該界面友好,既符合使用者的使用習(xí)慣�����,又符合醫(yī)療流程;既簡(jiǎn)單明了���,又全面合理��,友好的界面可以減輕使用者視覺(jué)疲勞��。
3 實(shí)施360°管理
內(nèi)部管理是保障醫(yī)院信息系統(tǒng)安全�����、穩(wěn)定���、有效運(yùn)行的前提和基礎(chǔ)。一個(gè)龐大的系統(tǒng)��,如果沒(méi)有嚴(yán)格規(guī)范的管理���,就不會(huì)有安全穩(wěn)定的運(yùn)行�����,也難以避免重大災(zāi)難事故的發(fā)生���。作為一所大型醫(yī)院���,重大網(wǎng)絡(luò)故障造成的損失和影響無(wú)法估量,將會(huì)造成整個(gè)業(yè)務(wù)的癱瘓��。而實(shí)施360°管理的前提是理順信息部門(mén)的管理體制和機(jī)制��,明確管理框架和職責(zé)��。360°管理內(nèi)部結(jié)構(gòu)組成大致包括人員分工管理�����、設(shè)備采購(gòu)管理��、網(wǎng)絡(luò)運(yùn)維管理���、硬件運(yùn)維管理�����、軟件管理�����、業(yè)務(wù)流程管理���、安全管理和應(yīng)急管理部分,如圖4所示�����。
內(nèi)部360°管理基本要求如下:
1)完善制度:建立健全一整套規(guī)范��、科學(xué)���、完善的內(nèi)部管理規(guī)章制度��,并不斷改進(jìn)��;2)安全管理:加強(qiáng)安全管理是一切工作的前提和保障�����;3)應(yīng)急預(yù)案:制訂一套全面的應(yīng)急管理措施�����,并定期演練�����;4)加強(qiáng)溝通:加強(qiáng)部門(mén)與部門(mén)�����、醫(yī)院與HIS開(kāi)發(fā)商��、醫(yī)院與設(shè)備供應(yīng)商的溝通和協(xié)調(diào)��;5)博采眾長(zhǎng):廣泛聯(lián)絡(luò)�����,汲取兄弟單位及各家之所長(zhǎng)��,取長(zhǎng)補(bǔ)短��;6)團(tuán)結(jié)協(xié)作:應(yīng)加強(qiáng)醫(yī)院內(nèi)部團(tuán)結(jié)協(xié)作�����,不推委�����,不扯皮,宗旨是把工作做得更好���,更好地為患者服務(wù);7)集思廣益:營(yíng)造良好工作氛圍�����,鼓勵(lì)建言獻(xiàn)策���,發(fā)揮集體的智慧��,采納合理建議�����,提升工作質(zhì)量��;8)隊(duì)伍建設(shè):通過(guò)吸引優(yōu)秀人才���,建立人員培養(yǎng)機(jī)制,不斷進(jìn)行知識(shí)更新���,擁有一支有戰(zhàn)斗力的技術(shù)隊(duì)伍���。
4 加強(qiáng)360°管控
信息部門(mén)不僅是信息技術(shù)的掌握者���、服務(wù)的提供者和信息化進(jìn)程的推動(dòng)者,還應(yīng)成為信息系統(tǒng)安全���、穩(wěn)定�����、持續(xù)運(yùn)行的看護(hù)者和保護(hù)神���。
第6篇
關(guān)鍵詞:分布式;信息安全���;規(guī)劃�����;方案
中圖分類(lèi)號(hào):TP309.2文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2008)36-2848-03
An Information Security Program for a Distributed Enterprise
GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.
Key words: distributed; information security; planning; program
1 引言
據(jù)來(lái)自eWeek 的消息�����,市場(chǎng)研究機(jī)構(gòu)Gartner 研究報(bào)告稱(chēng)�����,很對(duì)企業(yè)目前仍缺乏完整的信息安全規(guī)劃和規(guī)范�����。盡管目前很多企業(yè)在信息安全方面的投入每年都在緩慢增長(zhǎng)�����,但由于推動(dòng)力以外部法律法規(guī)的約束和商業(yè)業(yè)務(wù)的壓力為主���,因此他們對(duì)安全技術(shù)和服務(wù)的選擇和使用仍停留在一個(gè)相對(duì)較低的水平。尤其對(duì)于機(jī)構(gòu)構(gòu)成方式為分布式的企業(yè)而言���,因?yàn)樾畔踩枨蠛筒渴鹣鄬?duì)更加復(fù)雜,投入更多���,因此這類(lèi)企業(yè)的信息安全規(guī)劃就更加缺乏。
本文根據(jù)這類(lèi)分布式企業(yè)的特點(diǎn)提出了一種符合該類(lèi)企業(yè)實(shí)際的信息安全規(guī)劃方案��。
2 總體規(guī)劃原則和目標(biāo)
2.1 總體規(guī)劃原則
對(duì)于分布式企業(yè)的信息安全規(guī)劃�����,要遵守如下原則:適度集中�����,控制風(fēng)險(xiǎn)�����;突出重點(diǎn)���,分級(jí)保護(hù)�����;統(tǒng)籌安排,分步實(shí)施���;分級(jí)管理,責(zé)任到崗�����;資源優(yōu)化,注重效益��。
這個(gè)原則的制定主要是根據(jù)分布式企業(yè)的實(shí)際機(jī)構(gòu)構(gòu)成情況���、人員素質(zhì)情況以及資源配置情況來(lái)制定的�����。
2.2 總體規(guī)劃目標(biāo)
信息系統(tǒng)安全規(guī)劃的方法可以不同�����、側(cè)重點(diǎn)可以不同���,但是需要圍繞組織安全��、管理安全��、技術(shù)安全進(jìn)行全面的考慮�����。信息系統(tǒng)安全規(guī)劃的最終效果應(yīng)該體現(xiàn)在對(duì)信息系統(tǒng)與信息資源的安全保護(hù)上�����,下面將分別對(duì)組織規(guī)劃、管理規(guī)劃和技術(shù)規(guī)劃分別進(jìn)行闡述���。信息安全規(guī)劃依托企業(yè)信息化戰(zhàn)略規(guī)劃��,對(duì)信息化戰(zhàn)略的實(shí)施起到保駕護(hù)航的作用��。信息系統(tǒng)安全規(guī)劃的目標(biāo)應(yīng)該與企業(yè)信息化的目標(biāo)是一致的,而且應(yīng)該比企業(yè)信息化的目標(biāo)更具體明確�����、更貼近安全。信息系統(tǒng)安全規(guī)劃的一切論述都要圍繞著這個(gè)目標(biāo)展開(kāi)和部署�����。
3 信息安全組織規(guī)劃
3.1 組織規(guī)劃目標(biāo)
組織建設(shè)是信息安全建設(shè)的基本保證,信息安全組織的目標(biāo)是:
1)完善和形成一個(gè)獨(dú)立的��、完整的、動(dòng)態(tài)的�����、開(kāi)放的信息安全組織架構(gòu)��,達(dá)到國(guó)際國(guó)內(nèi)標(biāo)準(zhǔn)的要求;
2)打造一支具有專(zhuān)業(yè)水準(zhǔn)的、過(guò)硬本領(lǐng)的信息安全隊(duì)伍�����。對(duì)內(nèi)可以保障企業(yè)內(nèi)部網(wǎng)安全���,對(duì)外可以向社會(huì)提供高品質(zhì)的安全服務(wù)�����;
3)建設(shè)一個(gè) “信息安全運(yùn)維中心(SOC)”�����,能夠滿(mǎn)足當(dāng)前和未來(lái)的業(yè)務(wù)發(fā)展及信息安全組織運(yùn)轉(zhuǎn)的支撐系統(tǒng)���,能夠?qū)ν馓峁┌踩?wù)平臺(tái)。
3.2 組織規(guī)劃實(shí)施
對(duì)于組織規(guī)劃這個(gè)方面���,是屬于一個(gè)企業(yè)信息安全規(guī)劃的上層建筑��,需要用一種由上而下的方法來(lái)實(shí)現(xiàn)��,其主要是在具體人事機(jī)制���、管理機(jī)制和培訓(xùn)機(jī)制上做工作�����。對(duì)于分布式企業(yè)而言��,需要主導(dǎo)部門(mén)從上層著手���,建章立制,強(qiáng)化安全教育���,加大基礎(chǔ)人力���、財(cái)力和物力的投入。
4 信息安全管理規(guī)劃
4.1 管理規(guī)劃目標(biāo)
信息安全管理規(guī)劃的目標(biāo)是��,完善和形成“七套信息安全軟措施”�����,具體包括:一套等級(jí)劃分指標(biāo),一套信息安全策略��,一套信息安全制度�����,一套信息安全流程規(guī)范�����,一套信息安全教育培訓(xùn)體系��,一套信息安全風(fēng)險(xiǎn)監(jiān)管機(jī)制�����,一套信息安全績(jī)效考核指標(biāo)���。“七套信息安全軟措施”關(guān)系如圖1所示�����。
4.2 信息安全管理設(shè)計(jì)
基于對(duì)管理目標(biāo)的分析���,信息安全管理的原則以風(fēng)險(xiǎn)管理為主���,集中安全控制��。管理要素由管理對(duì)象�����、安全威脅��、脆弱性�����、風(fēng)險(xiǎn)��、保護(hù)措施組成�����。
4.2.1 信息安全等級(jí)劃分指標(biāo)
信息安全等級(jí)保護(hù)是國(guó)家在國(guó)民經(jīng)濟(jì)和社會(huì)信息化的發(fā)展過(guò)程中���,提高信息安全保障能力和水平,維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益�����,保障和促進(jìn)信息化健康發(fā)展的基本策略�����。
4.2.2 信息安全策略
信息安全安全策略是關(guān)于保護(hù)對(duì)象說(shuō)明��、保護(hù)必要性描述��、保護(hù)責(zé)任人��、保護(hù)對(duì)策以及意外處理方法的總和��。
4.2.3 信息安全制度
信息安全制度是指為信息資產(chǎn)的安全而制定的行為約束規(guī)則�����。
4.2.4 信息安全規(guī)范
信息安全規(guī)范是關(guān)于信息安全工作應(yīng)達(dá)到的要求���,在信息安全規(guī)范方面,根據(jù)調(diào)查�����,建立信息安全管理規(guī)范、信息安全技術(shù)規(guī)范���。其中���,安全管理規(guī)范主要針對(duì)人員、團(tuán)隊(duì)�����、制度和資源管理提供參照性準(zhǔn)則�����;信息安全技術(shù)規(guī)范主要針對(duì)安全設(shè)計(jì)���、施工�����、維護(hù)和操作提供技術(shù)性指導(dǎo)建議�����。
4.2.5 信息安全管理流程
信息安全流程是指工作中應(yīng)遵循的信息安全程序�����,其目的是減少安全隱患���,降低風(fēng)險(xiǎn)�����。
4.2.6 信息安全績(jī)效考核指標(biāo)
信息安全績(jī)效考核指標(biāo)是指針對(duì)信息安全工作的質(zhì)量和態(tài)度而給出的評(píng)價(jià)依據(jù)�����,其目的是增強(qiáng)信息安全責(zé)任意識(shí),提高信息安全工作質(zhì)量���。
4.2.7 信息安全監(jiān)管機(jī)制
信息安全監(jiān)管機(jī)制是指有關(guān)信息安全風(fēng)險(xiǎn)的識(shí)別�����、分析和控制的措施總和��。其主要目的加強(qiáng)信息安全風(fēng)險(xiǎn)的控制�����,做到“安全第一�����,預(yù)防為主”���。
4.2.8 信息安全教育培訓(xùn)體系
其主要目的加強(qiáng)的信息安全人才隊(duì)伍的建設(shè)��,提高企業(yè)人員的信息安全意識(shí)和技能��,增強(qiáng)企業(yè)信息安全能力�����。
5 信息安全技術(shù)規(guī)劃
5.1 技術(shù)規(guī)劃目標(biāo)
信息安全技術(shù)規(guī)劃目標(biāo)簡(jiǎn)言之是:給業(yè)務(wù)運(yùn)營(yíng)提供信息安全環(huán)境��,為企業(yè)轉(zhuǎn)型提供契機(jī)��,構(gòu)建信息安全服務(wù)支撐系統(tǒng)��。具體目標(biāo)如下:
1)打造信息安全基礎(chǔ)環(huán)境�����,調(diào)整和優(yōu)化IT基礎(chǔ)設(shè)施�����,建立安全專(zhuān)網(wǎng)���,設(shè)置兩個(gè)中心(信息安全運(yùn)維中心���、災(zāi)備中心);
2)建立一體化信息安全平臺(tái)���,綜合集成安全決策調(diào)度���、安全巡檢、認(rèn)證授權(quán)���、安全防護(hù)、安全監(jiān)控���、安全審計(jì)���、應(yīng)急響應(yīng)���、安全服務(wù)、安全測(cè)試�����、安全培訓(xùn)等功能��,實(shí)現(xiàn)的集中安全管理控制�����,快速安全事件響應(yīng)��,高可信的安全防護(hù)���,拓展企業(yè)業(yè)務(wù)���,開(kāi)辟信息安全服務(wù)新領(lǐng)域。
5.2 信息安全運(yùn)維中心(SOC)
SOC 是信息安全體系建設(shè)的基礎(chǔ)性工作���,SOC 承載用于監(jiān)控第一生產(chǎn)網(wǎng)的安全專(zhuān)網(wǎng)核心基礎(chǔ)設(shè)施��,提供信息安全中心技術(shù)人員的辦公場(chǎng)所���,提供“7×24”小時(shí)連續(xù)不斷的安全應(yīng)用服務(wù),提供實(shí)時(shí)監(jiān)控�����、遠(yuǎn)程入侵發(fā)現(xiàn)���、事件響應(yīng)、安全更新與升級(jí)等業(yè)務(wù)���,SOC 要求具有充分保障自身的安全措施���。除了SOC 的組織建設(shè)、基礎(chǔ)工程外���,SOC 的技術(shù)性工作還要做以下幾個(gè)方面:
1)硬件基礎(chǔ)建設(shè)���,主要內(nèi)容是SOC 的選址、布局���、布線(xiàn)、系統(tǒng)集成���,實(shí)現(xiàn)SOC 自身的防火��、防潮�����、防電��、防塵���、安全監(jiān)控功能��;
2)軟件基礎(chǔ)建設(shè)��,包括SSS 系統(tǒng)���、機(jī)房監(jiān)控子系統(tǒng)、功能小組及中心組劃分��。
圖1 信息安全軟措施關(guān)系
圖2 信息安全總體框架
圖3 資產(chǎn)��、組織�����、管理和安全措施的關(guān)系
5.3 信息安全綜合測(cè)試環(huán)境
隨著分布式企業(yè)信息化程度的日也加深,需要部署到大量IT 產(chǎn)品和應(yīng)用系統(tǒng)��,為了保障安全��,必須對(duì)這些IT 系統(tǒng)和產(chǎn)品做入網(wǎng)前安全檢查�����,消除安全隱患��?��;诖?����,綜合測(cè)試環(huán)境建設(shè)的內(nèi)容包括:安全測(cè)試網(wǎng)絡(luò)��;測(cè)試系統(tǒng)設(shè)備�����;安全測(cè)試工具��;安全測(cè)試分析系統(tǒng)��;安全測(cè)試知識(shí)庫(kù)���。
其中,安全測(cè)試網(wǎng)絡(luò)要求能夠模擬企業(yè)網(wǎng)絡(luò)真實(shí)的帶寬�����;測(cè)試系統(tǒng)設(shè)備能夠提供典型的網(wǎng)絡(luò)服務(wù)流量模擬�����、典型的應(yīng)用系統(tǒng)流量模擬�����;安全測(cè)試工具覆蓋防范類(lèi)��、檢測(cè)類(lèi)�����、評(píng)估類(lèi)��、應(yīng)急恢復(fù)類(lèi)、管理類(lèi)等�����,并提供使用說(shuō)明�����、漏洞掃描�����、應(yīng)用安全分析��;安全測(cè)試分析系統(tǒng)能夠提供統(tǒng)計(jì)分析���、圖表展現(xiàn)功能�����;安全知識(shí)庫(kù)包含以下內(nèi)容:漏洞知識(shí)庫(kù)��,補(bǔ)丁信息庫(kù)���,安全標(biāo)準(zhǔn)知識(shí)庫(kù)��,威脅場(chǎng)景視頻庫(kù)��,攻擊特征知識(shí)庫(kù)���,信息安全解決案例庫(kù),安全產(chǎn)品知識(shí)庫(kù)��,安全概念和術(shù)語(yǔ)知識(shí)庫(kù)���。
5.4 安全平臺(tái)建設(shè)規(guī)劃
參照國(guó)際上PDRR 模型和國(guó)家信息安全方面規(guī)范,建議信息安全總體框架設(shè)計(jì)如圖2所示��。
主要目的�����,以資產(chǎn)為核心�����,通過(guò)安全組織實(shí)現(xiàn)資產(chǎn)保護(hù)��,以安全管理來(lái)約束組織的行為�����,以技術(shù)手段輔助安全管理。其中�����,資產(chǎn)��、組織��、管理��、安全措施的關(guān)系如圖3所示���,核心為資產(chǎn)�����,圍繞資產(chǎn)是組織�����,組織是管理��,最外層是安全措施���。
在平臺(tái)中集成十個(gè)安全機(jī)制���,它們分別是:信息安全集中管理;信息安全巡檢��;信息安全認(rèn)證授權(quán)��;信息安全防護(hù)��;信息安全監(jiān)控���;信息安全測(cè)試;信息安全審核��;信息安全應(yīng)急響應(yīng)�����;信息安全教育培訓(xùn)�����;信息安全服務(wù)���。
6 信息安全服務(wù)業(yè)務(wù)規(guī)劃
6.1 服務(wù)業(yè)務(wù)規(guī)劃目標(biāo)
信息安全服務(wù)業(yè)務(wù)規(guī)劃目標(biāo)簡(jiǎn)言之是:以信息安全服務(wù)為切入點(diǎn)�����,充分發(fā)揮企業(yè)優(yōu)勢(shì)資源�����,引領(lǐng)信息安全市場(chǎng)���,為企業(yè)轉(zhuǎn)型創(chuàng)造時(shí)機(jī)��。具體目標(biāo)如下:
1)推出面向客戶(hù)安全(檢查���、教育、配置)產(chǎn)品���;2)推出面向大型企業(yè)的信息安全咨詢(xún)產(chǎn)品�����;3)推出面向家庭安全上網(wǎng)產(chǎn)品���;4)推出面向企業(yè)安全運(yùn)維產(chǎn)品���;5)推出面向企業(yè)災(zāi)害恢復(fù)產(chǎn)品。
6.2 服務(wù)業(yè)務(wù)規(guī)劃設(shè)計(jì)
服務(wù)業(yè)務(wù)規(guī)劃主要針對(duì)具體業(yè)務(wù)而言���,在此列舉信息類(lèi)分布式企業(yè)業(yè)務(wù)作為示例:
1)信息安全咨詢(xún)類(lèi)產(chǎn)品���,其服務(wù)功能主要有:信息安全風(fēng)險(xiǎn)評(píng)估;信息安全規(guī)劃設(shè)計(jì)�����;信息安全產(chǎn)品顧問(wèn)���。
2)信息安全教育培訓(xùn)類(lèi)產(chǎn)品,其服務(wù)功能主要有:提供信息安全操作環(huán)境���;提供信息安全知識(shí)教育��;提供信息安全運(yùn)維教育���。
3)家庭類(lèi)安全服務(wù)產(chǎn)品,其服務(wù)功能主要有:推出“家庭綠色上網(wǎng)”安全服務(wù)�����;家庭上網(wǎng)防病毒服務(wù);家庭上網(wǎng)機(jī)器安全檢查服務(wù)���;家庭上網(wǎng)機(jī)數(shù)據(jù)備份服務(wù)�����。
4)企業(yè)類(lèi)安全服務(wù)產(chǎn)品��,其服務(wù)功能主要有:企業(yè)安全上網(wǎng)控制服務(wù)��;企業(yè)安全專(zhuān)網(wǎng)服務(wù)�����;安全信息通告���;企業(yè)運(yùn)維服務(wù)。
5)容災(zāi)類(lèi)安全服務(wù)產(chǎn)品�����,其服務(wù)功能主要有:面向政府?dāng)?shù)據(jù)災(zāi)備服務(wù)�����;面向政府信息系統(tǒng)災(zāi)備服務(wù);面向企業(yè)數(shù)據(jù)災(zāi)備服務(wù)��;面向企業(yè)信息系統(tǒng)災(zāi)備服務(wù)���。
7 結(jié)束語(yǔ)
通過(guò)結(jié)合分布式企業(yè)的具體實(shí)際���,按照信息安全體系結(jié)構(gòu)相關(guān)標(biāo)準(zhǔn),提出了分布式企業(yè)的信息安全規(guī)劃原則和目標(biāo)�����。并依據(jù)次原則與目標(biāo),按照組織、管理和技術(shù)三個(gè)方面提出了具體的實(shí)現(xiàn)與設(shè)計(jì)規(guī)范原則。最后,依據(jù)服務(wù)規(guī)劃目標(biāo)��,提出了信息類(lèi)分布式企業(yè)的信息安全服務(wù)規(guī)劃設(shè)計(jì)實(shí)例。
參考文獻(xiàn):
[1] 周曉梅. 論企業(yè)信息安全體系的建立[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2006�����,3:62~64�����,57.
[2] Harold F. Tipton,Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US:Auerbach Publications�����,2004.
[3] 魏永紅,李天智,張志. 網(wǎng)絡(luò)信息安全防御體系探討[J].河北省科學(xué)院學(xué)報(bào)��,2006,23,(1):25~28.
[4] 張慶華. 信息網(wǎng)絡(luò)動(dòng)態(tài)安全體系模型綜述[J].計(jì)算機(jī)應(yīng)用研究�����,2002,10:5~7.
[5] ISO/IEC 15408���,13335���,15004,14598�����,信息技術(shù)安全評(píng)估的系列標(biāo)準(zhǔn)[S].
[6] BS7799-1���,7799-2��,ISO/IEC 17799��,信息安全管理系列標(biāo)準(zhǔn)[S].
[7] BS7799-2���,Information Security Management Systems-Specification With Guidance for use[S].
[8] 李瑋. 運(yùn)營(yíng)商IT系統(tǒng)網(wǎng)絡(luò)架構(gòu)的安全域劃分[J]. 通信世界,2005,30:41~41,45~45.
第7篇
隨著商業(yè)銀行業(yè)務(wù)的快速發(fā)展��,信息系統(tǒng)在促進(jìn)商業(yè)銀行提高工作效率�����、提升服務(wù)水平�����、拓展業(yè)務(wù)范圍等方面的作用越來(lái)越明顯���。信息系統(tǒng)在帶來(lái)便利的同時(shí),也帶來(lái)了一定的風(fēng)險(xiǎn)�����。信息系統(tǒng)安全問(wèn)題日漸成為商業(yè)銀行內(nèi)��、外部監(jiān)管的重點(diǎn)��。研發(fā)風(fēng)險(xiǎn)是在信息系統(tǒng)研發(fā)階段可能引入的��,導(dǎo)致信息系統(tǒng)出現(xiàn)安全性問(wèn)題的風(fēng)險(xiǎn)�����。研發(fā)風(fēng)險(xiǎn)管理工作是從安全和風(fēng)險(xiǎn)角度對(duì)信息系統(tǒng)安全設(shè)計(jì)���、實(shí)施情況進(jìn)行統(tǒng)籌管理的一項(xiàng)工作���,旨在保障和提高新研發(fā)信息系統(tǒng)的安全性。
研發(fā)風(fēng)險(xiǎn)管理工作特點(diǎn)
商業(yè)銀行信息系統(tǒng)所承載的業(yè)務(wù)服務(wù)和數(shù)據(jù)都很重要��,一旦受到破壞將對(duì)商業(yè)銀行及其客戶(hù)的利益造成嚴(yán)重?fù)p害���。因此商業(yè)銀行對(duì)信息系統(tǒng)的安全性�����、穩(wěn)定性要求很高��。但隨著業(yè)務(wù)的快速發(fā)展��,商業(yè)銀行信息系統(tǒng)的種類(lèi)和數(shù)量也在快速增加���。這些信息系統(tǒng)需要采用不同的語(yǔ)言���、平臺(tái)和架構(gòu)來(lái)實(shí)現(xiàn),其關(guān)聯(lián)關(guān)系和技術(shù)復(fù)雜度越來(lái)越高��。同時(shí)��,隨著IT技術(shù)的發(fā)展和互聯(lián)網(wǎng)開(kāi)放程度的加深���,新的攻擊手段不斷出現(xiàn)���,安全攻防技術(shù)不斷演變,且有愈演愈烈之勢(shì)�����。因此商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管理工作具有管理要求高��,管理難度大的特點(diǎn)���。
為加強(qiáng)對(duì)商業(yè)銀行的風(fēng)險(xiǎn)管理��,人民銀行�����、銀監(jiān)會(huì)等監(jiān)管機(jī)構(gòu)了一系列指引���,其中包括了信息系統(tǒng)研發(fā)相關(guān)的合規(guī)性要求。這些要求也是監(jiān)管機(jī)構(gòu)進(jìn)行檢查的重點(diǎn)�����,如果未能在研發(fā)階段落實(shí)��,信息系統(tǒng)上線(xiàn)后仍需進(jìn)行整改��,將增加不必要的成本和變更風(fēng)險(xiǎn)��。因此���,研發(fā)風(fēng)險(xiǎn)管理工作不但應(yīng)落實(shí)信息系統(tǒng)的安全性要求�����,還應(yīng)將合規(guī)性要求納入考慮范圍之內(nèi)���。
研發(fā)風(fēng)險(xiǎn)的分類(lèi)
《巴塞爾新資本協(xié)議》已將操作風(fēng)險(xiǎn)納入資本監(jiān)管��,并將信息科技風(fēng)險(xiǎn)劃歸操作風(fēng)險(xiǎn)范疇�����。研發(fā)風(fēng)險(xiǎn)屬于信息科技風(fēng)險(xiǎn)的組成部分��,具體細(xì)分���,又可以分為管理風(fēng)險(xiǎn)和技術(shù)風(fēng)險(xiǎn)。
管理類(lèi)風(fēng)險(xiǎn)是指由于未做好研發(fā)風(fēng)險(xiǎn)管理相關(guān)工作�����,間接對(duì)信息系統(tǒng)安全性造成影響的風(fēng)險(xiǎn)�����,主要有合規(guī)性風(fēng)險(xiǎn)��、管理環(huán)節(jié)缺失��、管理力度不足等��。合規(guī)性風(fēng)險(xiǎn)是指未落實(shí)監(jiān)管部門(mén)關(guān)于研發(fā)風(fēng)險(xiǎn)的監(jiān)管要求而形成的風(fēng)險(xiǎn),例如未落實(shí)《銀監(jiān)會(huì)非現(xiàn)場(chǎng)監(jiān)管報(bào)表》對(duì)“項(xiàng)目代碼安全檢查完成率”�����、“代碼安全檢查方法”的要求等���。
技術(shù)類(lèi)風(fēng)險(xiǎn)是指因各種技術(shù)原因引入的,影響信息系統(tǒng)安全性的風(fēng)險(xiǎn)��,主要包括安全設(shè)計(jì)問(wèn)題���、代碼漏洞。安全設(shè)計(jì)問(wèn)題是指信息系統(tǒng)安全設(shè)計(jì)不到位���,例如用戶(hù)口令復(fù)雜度不足�����、敏感數(shù)據(jù)未加密存儲(chǔ)等���;代碼漏洞是指由于開(kāi)發(fā)人員疏忽或者編程語(yǔ)言的局限性,導(dǎo)致程序存在可以被黑客利用的邏輯錯(cuò)誤���,例如SQL注入�����、跨站腳本��、緩沖區(qū)溢出等�����。
我國(guó)商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管理工作現(xiàn)狀
我國(guó)商業(yè)銀行雖然在規(guī)模��、業(yè)務(wù)特性與管理模式上存在差異�����,但由于同處于我國(guó)經(jīng)濟(jì)大環(huán)境下�����,其信息系統(tǒng)研發(fā)風(fēng)險(xiǎn)管理工作面臨相似的環(huán)境和挑戰(zhàn)��。目前我國(guó)銀行的系統(tǒng)研發(fā)模式有自主研發(fā)�����、合作開(kāi)發(fā)、外包和外購(gòu)等幾種���。大型國(guó)有商業(yè)銀行一般以自主研發(fā)為主���,大中型股份制商業(yè)銀行一般采用合作開(kāi)發(fā)方式為主,大多數(shù)小型和地方性金融機(jī)構(gòu)則主要采用外包或外購(gòu)的方式�����。
隨著我國(guó)商業(yè)銀行信息化建設(shè)的不斷深入���,目前大多數(shù)商業(yè)銀行都加強(qiáng)了信息科技風(fēng)險(xiǎn)管理,建立了包括組織���、制度���、技術(shù)等方面的信息科技風(fēng)險(xiǎn)管理體系,涵蓋了基礎(chǔ)架構(gòu)���、研發(fā)��、測(cè)試���、運(yùn)維���、外包、應(yīng)急等各方面�����。在研發(fā)風(fēng)險(xiǎn)管理方面���,采用了必要的管理和技術(shù)手段���,加強(qiáng)了系統(tǒng)安全設(shè)計(jì),在一定程度上滿(mǎn)足了業(yè)務(wù)連續(xù)性需求�����。但是由于起步較晚和重視程度不夠�����,研發(fā)風(fēng)險(xiǎn)管理水平整體滯后于信息科技管理水平���,因安全設(shè)計(jì)不充分所引發(fā)的安全事件或整改仍不時(shí)出現(xiàn)���,危害著商業(yè)銀行的安全��。因此��,我國(guó)商業(yè)銀行信息系統(tǒng)研發(fā)風(fēng)險(xiǎn)管理水平還有待進(jìn)一步提高��。
存在的問(wèn)題和不足
研發(fā)風(fēng)險(xiǎn)管理組織不完善��、流程機(jī)制不健全��。研發(fā)風(fēng)險(xiǎn)管理工作的開(kāi)展需要相關(guān)的組織和角色作為支撐��。目前,各商業(yè)銀行的整體信息科技風(fēng)險(xiǎn)管理組織較為完善�����,但很少能夠深入到研發(fā)風(fēng)險(xiǎn)管理環(huán)節(jié)��,主要表現(xiàn)在缺少研發(fā)風(fēng)險(xiǎn)管理的統(tǒng)籌部門(mén)��,缺少對(duì)研發(fā)風(fēng)險(xiǎn)管理進(jìn)行決策的組織機(jī)構(gòu)��,項(xiàng)目組中缺少研發(fā)風(fēng)險(xiǎn)管理角色等方面��。我國(guó)商業(yè)銀行信息系統(tǒng)研發(fā)工作大多以項(xiàng)目的形式進(jìn)行�����,普遍擁有完整的項(xiàng)目管理流程��,但流程中涉及安全和風(fēng)險(xiǎn)的內(nèi)容較少��,對(duì)系統(tǒng)安全設(shè)計(jì)�����、實(shí)現(xiàn)的審核機(jī)制不健全���,難以保證在研發(fā)階段提高信息系統(tǒng)安全性。
研發(fā)風(fēng)險(xiǎn)管理依據(jù)多��、信息系統(tǒng)安全設(shè)計(jì)不規(guī)范��。當(dāng)前商業(yè)銀行的信息系統(tǒng)面臨著多方面的監(jiān)管要求��,既有行內(nèi)的��,也有行外的���;既有監(jiān)管機(jī)構(gòu)的��,也有業(yè)界的��;既有管理要求,也有技術(shù)要求���。這些要求的來(lái)源不同��,側(cè)重點(diǎn)不同���,粗細(xì)顆粒度不同,甚至有的相互沖突��,給研發(fā)人員造成一定困擾���,亟待統(tǒng)籌規(guī)范?����,F(xiàn)有信息系統(tǒng)一般都有身份鑒別、訪(fǎng)問(wèn)控制等設(shè)計(jì)��,能夠滿(mǎn)足基本的安全需要��。但由于缺乏整體規(guī)范指導(dǎo)��,信息系統(tǒng)研發(fā)過(guò)程中難以避免安全需求不完整�����,安全設(shè)計(jì)水平良莠不齊�����,安全編碼不規(guī)范等問(wèn)題�����,導(dǎo)致信息系統(tǒng)仍然可能存在安全漏洞��。
安全技術(shù)不能重復(fù)利用��、安全技術(shù)支持服務(wù)不足���。商業(yè)銀行信息系統(tǒng)具有一些共性的安全設(shè)計(jì)�����,例如身份認(rèn)證���、數(shù)據(jù)加密、日志審計(jì)等���。在現(xiàn)有模式下,各個(gè)項(xiàng)目組缺少溝通協(xié)調(diào)���,往往自行開(kāi)發(fā)���,造成重復(fù)開(kāi)發(fā)和資源浪費(fèi),也不利于企業(yè)安全架構(gòu)整合與管理���。研發(fā)出安全的信息系統(tǒng)��,必須以相應(yīng)的技術(shù)手段作為支撐��,但現(xiàn)有商業(yè)銀行研發(fā)團(tuán)隊(duì)往往缺少這方面的支持和服務(wù)�����,影響了信息系統(tǒng)安全研發(fā)水平�����。
此外��, 為了應(yīng)對(duì)業(yè)務(wù)的發(fā)展變化���,商業(yè)銀行必須不斷提高信息系統(tǒng)研發(fā)速度。在業(yè)務(wù)需求緊急和工作量的壓力下�����,研發(fā)團(tuán)隊(duì)往往會(huì)不自覺(jué)地重效率輕安全�����,形成了安全工作人員的數(shù)量不足�����,開(kāi)發(fā)人員的安全意識(shí)和安全技能不足等問(wèn)題�����。
研發(fā)風(fēng)險(xiǎn)管理目標(biāo)及主要依據(jù)
研發(fā)風(fēng)險(xiǎn)管理工作是從安全和風(fēng)險(xiǎn)角度對(duì)信息系統(tǒng)安全設(shè)計(jì)、實(shí)施情況進(jìn)行統(tǒng)籌管理的一項(xiàng)工作���,主要目標(biāo)是提升信息系統(tǒng)的安全性��,避免安全事件發(fā)生��,保證商業(yè)銀行業(yè)務(wù)連續(xù)性�����。同時(shí)���,也應(yīng)關(guān)注信息系統(tǒng)合規(guī)性,避免系統(tǒng)上線(xiàn)后因各類(lèi)檢查發(fā)現(xiàn)問(wèn)題而進(jìn)行整改��,減少不必要的變更��。商業(yè)銀行開(kāi)展研發(fā)風(fēng)險(xiǎn)管理工作的最理想狀態(tài)�����,是實(shí)現(xiàn)對(duì)所有信息系統(tǒng)研發(fā)風(fēng)險(xiǎn)的統(tǒng)籌管理和良性循環(huán)���,實(shí)現(xiàn)外部監(jiān)管要求���、信息安全技術(shù)發(fā)展變化與信息系統(tǒng)研發(fā)之間的有效銜接��,做到對(duì)最新安全要求的快速響應(yīng)�����、準(zhǔn)確解讀、全程跟蹤���、有效落地�����。
為做好研發(fā)風(fēng)險(xiǎn)管理工作��,有效提升信息系統(tǒng)的安全性��、合規(guī)性���,商業(yè)銀行在信息系統(tǒng)研發(fā)過(guò)程中需遵從多方面的要求。這些要求一方面是對(duì)研發(fā)風(fēng)險(xiǎn)管理工作的指導(dǎo)和規(guī)范��,另一方面也是開(kāi)展研發(fā)風(fēng)險(xiǎn)管理工作的依據(jù)。從大的方面來(lái)說(shuō)���,我國(guó)關(guān)于商業(yè)銀行信息安全��、保密等方面的法律法規(guī)均屬于研發(fā)風(fēng)險(xiǎn)管理依據(jù)范圍���,這些法律法規(guī)的層次較高,不適合指導(dǎo)具體工作開(kāi)展��。從執(zhí)行角度來(lái)看�����,研發(fā)風(fēng)險(xiǎn)管理工作的依據(jù)主要有監(jiān)管要求和信息安全標(biāo)準(zhǔn)��,同時(shí)還應(yīng)參考業(yè)界最佳實(shí)踐���。
監(jiān)管要求�����?�!栋腿麪栃沦Y本協(xié)議》將信息科技風(fēng)險(xiǎn)劃歸操作風(fēng)險(xiǎn)��,而研發(fā)風(fēng)險(xiǎn)屬于信息科技風(fēng)險(xiǎn)范疇���。因此���,當(dāng)前我國(guó)商業(yè)銀行遵從的信息科技風(fēng)險(xiǎn)監(jiān)管要求,包括:《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》�����、《商業(yè)銀行內(nèi)部控制指引》��、《中國(guó)銀行業(yè)信息科技“十二五”發(fā)展規(guī)劃監(jiān)管指導(dǎo)意見(jiàn)》等��,通常涵蓋研發(fā)風(fēng)險(xiǎn)管理相關(guān)內(nèi)容���,是開(kāi)展研發(fā)風(fēng)險(xiǎn)管理工作的有力依據(jù)。人民銀行���、銀監(jiān)會(huì)等監(jiān)管機(jī)構(gòu)對(duì)商業(yè)銀行開(kāi)展的信息科技檢查���,以及商業(yè)銀行接受的其他內(nèi)外部科技審計(jì)、風(fēng)險(xiǎn)評(píng)估發(fā)現(xiàn)的問(wèn)題���,是從各個(gè)角度對(duì)現(xiàn)有監(jiān)管要求的細(xì)化和解讀��,屬于未來(lái)新建信息系統(tǒng)應(yīng)規(guī)避的問(wèn)題���,也應(yīng)納入研發(fā)風(fēng)險(xiǎn)管理工作依據(jù)范圍���。
信息安全標(biāo)準(zhǔn)。信息系統(tǒng)安全問(wèn)題是整個(gè)IT行業(yè)普遍關(guān)注的問(wèn)題���,經(jīng)過(guò)業(yè)界多年探索和經(jīng)驗(yàn)積累形成的信息安全標(biāo)準(zhǔn)�����,是商業(yè)銀行開(kāi)展信息系統(tǒng)研發(fā)風(fēng)險(xiǎn)管理工作的另一重要依據(jù)�����。目前國(guó)內(nèi)外信息安全標(biāo)準(zhǔn)種類(lèi)��、數(shù)量較多���,比較有代表性和有指導(dǎo)意義的包括:信息系統(tǒng)安全等級(jí)保護(hù)標(biāo)準(zhǔn)、ISO27001標(biāo)準(zhǔn)���、CC標(biāo)準(zhǔn)�����、Cobit標(biāo)準(zhǔn)等��。此外�����,我國(guó)國(guó)家密碼管理部門(mén)���、人民銀行等部委針對(duì)各專(zhuān)業(yè)技術(shù)領(lǐng)域頒布的標(biāo)準(zhǔn)�����,例如《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》、《銀行卡聯(lián)網(wǎng)聯(lián)合安全規(guī)范》�����、國(guó)產(chǎn)加密算法標(biāo)準(zhǔn)等�����,可作為各專(zhuān)業(yè)領(lǐng)域信息系統(tǒng)研發(fā)風(fēng)險(xiǎn)管理的工作依據(jù)。
業(yè)界最佳實(shí)踐�����。隨著IT行業(yè)對(duì)信息系統(tǒng)安全問(wèn)題的越來(lái)越重視���,各大公司和機(jī)構(gòu)紛紛進(jìn)行了廣泛而積極的探索�����,積累了許多最佳實(shí)踐和解決方案���,對(duì)商業(yè)銀行信息系統(tǒng)研發(fā)風(fēng)險(xiǎn)管理工作具有一定的啟發(fā)和借鑒意義。其中��,微軟的SDL方法關(guān)于全生命周期安全管理的理念��,值得研發(fā)風(fēng)險(xiǎn)管理工作借鑒�����;OWASP的CLASP方法將安全融入現(xiàn)有項(xiàng)目開(kāi)發(fā)流程的理念�����,與商業(yè)銀行在現(xiàn)有條件下推動(dòng)研發(fā)風(fēng)險(xiǎn)管理工作開(kāi)展的需求相吻合;McGraw的TouchPoints方法在關(guān)鍵點(diǎn)切入安全管理的理念�����,對(duì)研發(fā)風(fēng)險(xiǎn)管理工作具有借鑒意義�����。
研發(fā)風(fēng)險(xiǎn)管理策略分析
構(gòu)建研發(fā)風(fēng)險(xiǎn)管理體系�����、全生命周期防范研發(fā)風(fēng)險(xiǎn)�����。針對(duì)商業(yè)銀行研發(fā)過(guò)程風(fēng)險(xiǎn)管理工作特點(diǎn)和現(xiàn)狀�����,要想從根本上解決當(dāng)前存在的問(wèn)題��,應(yīng)統(tǒng)籌考慮�����,博采眾長(zhǎng)�����,從體系化的角度進(jìn)行整體規(guī)劃�����,構(gòu)建符合商業(yè)銀行自身實(shí)際情況的研發(fā)風(fēng)險(xiǎn)管理體系��。在具體操作上��,建議從組織���、管理��、技術(shù)三個(gè)方面入手���。其中,組織方面應(yīng)由專(zhuān)職部門(mén)牽頭���,設(shè)置項(xiàng)目安全員���、安全專(zhuān)家等角色���,分別履行評(píng)審、督導(dǎo)�����、執(zhí)行等工作職責(zé)���;管理方面做好管理制度��、安全開(kāi)發(fā)標(biāo)準(zhǔn)的制定維護(hù)��,以及培訓(xùn)考核等整體推動(dòng)工作���;技術(shù)方面要采取多種手段,為項(xiàng)目組提供安全公共組件��、安全技術(shù)平臺(tái)�����、安全工具等技術(shù)支持和服務(wù)�����。信息系統(tǒng)安全問(wèn)題是整個(gè)系統(tǒng)級(jí)的問(wèn)題�����,包括物理�����、網(wǎng)絡(luò)���、系統(tǒng)�����、應(yīng)用等很多方面�����。同時(shí)���,安全問(wèn)題也是一個(gè)連續(xù)不斷地出現(xiàn)的問(wèn)題,在信息系統(tǒng)研發(fā)生命周期的每一個(gè)階段都有可能引入風(fēng)險(xiǎn)���,無(wú)論是選擇的工具�����、實(shí)現(xiàn)技術(shù)還是編碼的質(zhì)量��。因此��,研發(fā)風(fēng)險(xiǎn)防控工作應(yīng)貫穿信息系統(tǒng)建設(shè)全生命周期�����,在信息系統(tǒng)研發(fā)過(guò)程中同步做好安全需求分析�����、安全設(shè)計(jì)�����、安全編碼���、安全測(cè)試���、安全審核等工作��,使研發(fā)風(fēng)險(xiǎn)管理活動(dòng)與項(xiàng)目管理流程緊密結(jié)合���,避免引入風(fēng)險(xiǎn)隱患���。
做好關(guān)鍵階段的安全審核��、堅(jiān)持定制化和個(gè)性化原則�����。商業(yè)銀行信息系統(tǒng)種類(lèi)多��、數(shù)量多���,從安全和合規(guī)的角度來(lái)看,每個(gè)信息系統(tǒng)均應(yīng)落實(shí)研發(fā)風(fēng)險(xiǎn)管理要求��,但商業(yè)銀行的投入和能力畢竟有限���,必須結(jié)合信息系統(tǒng)研發(fā)工作特點(diǎn)��,準(zhǔn)確把握工作重點(diǎn)�����。在信息系統(tǒng)研發(fā)生命周期中���,需求分析階段處于初始階段�����,且與業(yè)務(wù)聯(lián)系緊密��,并為后續(xù)工作量估算��、系統(tǒng)設(shè)計(jì)等工作奠定基礎(chǔ)���。做好需求分析階段的安全評(píng)審,能夠保證安全要求在后續(xù)工作中得到貫徹執(zhí)行�����,具有特別的重要性���。同時(shí)���,在信息系統(tǒng)測(cè)試階段��,應(yīng)對(duì)信息系統(tǒng)整體安全情況進(jìn)行審核���,以驗(yàn)證安全需求實(shí)現(xiàn)情況,及時(shí)修復(fù)發(fā)現(xiàn)的問(wèn)題��。通過(guò)一頭一尾兩個(gè)關(guān)鍵階段的安全審核�����,有效保證新研發(fā)信息系統(tǒng)的安全性���。
雖然研發(fā)風(fēng)險(xiǎn)管理工作的管理依據(jù)多,可參考標(biāo)準(zhǔn)多��,但是現(xiàn)代商業(yè)銀行發(fā)展迅速���,信息科技發(fā)展也是日新月異���,任何一個(gè)標(biāo)準(zhǔn)或指引均不能保證普遍適用,永不過(guò)時(shí)�����。商業(yè)銀行在開(kāi)展研發(fā)過(guò)程風(fēng)險(xiǎn)管理工作中,應(yīng)準(zhǔn)確把握和靈活運(yùn)用各類(lèi)工作依據(jù)和標(biāo)準(zhǔn)�����,堅(jiān)持定制化和個(gè)性化原則���,結(jié)合自身工作特點(diǎn)��,制定符合自身實(shí)際情況的管理辦法和技術(shù)標(biāo)準(zhǔn)��。對(duì)于各類(lèi)安全工具或服務(wù)�����,也應(yīng)根據(jù)工作需要做出選擇�����,并在實(shí)際工作中進(jìn)行個(gè)性化改進(jìn)��,尤其是對(duì)安全工具的個(gè)性化配置維護(hù)��,將成為研發(fā)風(fēng)險(xiǎn)管理工作的主要內(nèi)容之一�����。
安全與效率兼顧���、管理和技術(shù)相結(jié)合��。商業(yè)銀行的業(yè)務(wù)擴(kuò)張和發(fā)展速度很快��。為搶占市場(chǎng)先機(jī)���,商業(yè)銀行信息科技服務(wù)的變化速度也很快,且時(shí)效性要求很高�����。這就使得商業(yè)銀行必須提高信息系統(tǒng)研發(fā)效率�����。研發(fā)風(fēng)險(xiǎn)管理工作屬于提升信息系統(tǒng)安全性的強(qiáng)化工作��,主要表現(xiàn)在增加信息系統(tǒng)的非功能性需求���,增加研發(fā)工作量,因此可能會(huì)影響研發(fā)效率�����。商業(yè)銀行在開(kāi)展研發(fā)過(guò)程風(fēng)險(xiǎn)管理工作時(shí),要緊緊圍繞信息系統(tǒng)研發(fā)這個(gè)核心工作任務(wù)���,堅(jiān)持服務(wù)研發(fā)��、防控風(fēng)險(xiǎn)的原則���,妥善處理安全和效率之間的關(guān)系,找到安全和效率之間的最佳結(jié)合點(diǎn)�����,爭(zhēng)取以最小的投入產(chǎn)生最大的安全效益���。
研發(fā)風(fēng)險(xiǎn)管理工作的主要落腳點(diǎn)是加強(qiáng)信息系統(tǒng)研發(fā)全生命周期的風(fēng)險(xiǎn)管理���,做好需求、設(shè)計(jì)�����、編碼、測(cè)試等階段風(fēng)險(xiǎn)管理工作�����,落實(shí)安全技術(shù)措施���。因此��,與傳統(tǒng)的項(xiàng)目風(fēng)險(xiǎn)管理不同���,研發(fā)風(fēng)險(xiǎn)管理不但重視風(fēng)險(xiǎn)管理,還重視安全技術(shù)設(shè)計(jì)和實(shí)現(xiàn)��。這就要求在開(kāi)展研發(fā)風(fēng)險(xiǎn)管理工作過(guò)程中�����,必須將管理和技術(shù)相結(jié)合���,在提出研發(fā)風(fēng)險(xiǎn)管理要求的同時(shí),必須為項(xiàng)目組提供安全技術(shù)支持和服務(wù)�����,指導(dǎo)和協(xié)助項(xiàng)目組解決技術(shù)難題��,使研發(fā)風(fēng)險(xiǎn)管理要求得到切實(shí)貫徹執(zhí)行。
第8篇
【 關(guān)鍵詞 】 系統(tǒng)��;安全�����;策略
1 引言
近年來(lái)隨著氣象信息技術(shù)的發(fā)展和氣象服務(wù)領(lǐng)域的不斷擴(kuò)大���,氣象部門(mén)新建或已建的氣象信息系統(tǒng)所承載的業(yè)務(wù)�����、服務(wù)范圍���、安全需求經(jīng)常發(fā)生變化,各種信息系統(tǒng)的安全問(wèn)題也逐漸暴露出來(lái)���,很多單位和部門(mén)針對(duì)信息安全也作了大量的工作���。本文在結(jié)合遼寧省氣象信息系統(tǒng)等級(jí)保護(hù)工作現(xiàn)狀的基礎(chǔ)上,通過(guò)對(duì)三級(jí)氣象信息系統(tǒng)進(jìn)行測(cè)評(píng)�����,對(duì)其中發(fā)現(xiàn)的系統(tǒng)安全的共性問(wèn)題做一些探討,提出了安全防護(hù)策略���,對(duì)開(kāi)展氣象信息系統(tǒng)等級(jí)保護(hù)工作和提高氣象信息系統(tǒng)安全性方面具有重要的意義�����。
2 氣象信息系統(tǒng)測(cè)評(píng)
信息等級(jí)保護(hù)測(cè)評(píng)即確定信息系統(tǒng)的安全保護(hù)等級(jí)���,發(fā)現(xiàn)信息系統(tǒng)存在的漏洞與風(fēng)險(xiǎn),提出針對(duì)性的整改措施��;根據(jù)各信息系統(tǒng)安全保護(hù)等級(jí)的不同���,確定其不同的能力目標(biāo)以及所能應(yīng)對(duì)的不同級(jí)別的安全威脅��。
遼寧省氣象局三級(jí)氣象信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)工作主要針對(duì)遼寧省氣象部門(mén)內(nèi)部的重要信息系統(tǒng)���,包括遼寧省氣象信息綜合分析處理系統(tǒng)(Micaps系統(tǒng))�����、全國(guó)氣象寬帶網(wǎng)遼寧分系統(tǒng)、國(guó)內(nèi)氣象通信系統(tǒng)遼寧分系統(tǒng)���。測(cè)評(píng)工作主要分測(cè)評(píng)準(zhǔn)備���、測(cè)評(píng)方案方案編制、現(xiàn)場(chǎng)測(cè)試和測(cè)評(píng)分析與報(bào)告編制四個(gè)階段進(jìn)行�����,內(nèi)容涵蓋終端設(shè)備情況調(diào)查��、網(wǎng)絡(luò)局域環(huán)境調(diào)查���、業(yè)務(wù)應(yīng)用服務(wù)情況調(diào)查�����、數(shù)據(jù)備份情況調(diào)查及相關(guān)安全人員訪(fǎng)談等多項(xiàng)內(nèi)容��,測(cè)評(píng)于7個(gè)工作日內(nèi)完成��。
2.1 測(cè)評(píng)準(zhǔn)備
測(cè)評(píng)工作具體由遼寧省信息安全測(cè)評(píng)中心(具備等級(jí)測(cè)評(píng)資質(zhì))組織實(shí)施��,在測(cè)評(píng)前�����,首先進(jìn)行測(cè)評(píng)準(zhǔn)備���,確認(rèn)了遼寧省三級(jí)氣象信息系統(tǒng)的功能組件�����,技術(shù)功能組件為232個(gè)�����,管理功能組件為154個(gè)���,提交了具體的測(cè)評(píng)方案,簽訂了測(cè)評(píng)合同���。
2.2 現(xiàn)場(chǎng)測(cè)試
現(xiàn)場(chǎng)測(cè)試主要是對(duì)網(wǎng)絡(luò)設(shè)備��、主機(jī)設(shè)備��、應(yīng)用軟件的安全功能/策略的驗(yàn)證性測(cè)試�����。在測(cè)試的廣度上��,覆蓋到不同類(lèi)型���,在數(shù)量、范圍上進(jìn)行抽樣��;在測(cè)試的深度上���,進(jìn)行了系統(tǒng)功能測(cè)試���,主要涉及到功能規(guī)范、高級(jí)設(shè)計(jì)和操作規(guī)程等內(nèi)容���。
2.3 單元測(cè)評(píng)
單元測(cè)評(píng)是把測(cè)評(píng)指標(biāo)和測(cè)評(píng)方式等結(jié)合到氣象信息系統(tǒng)的功能組件上��,構(gòu)成了一個(gè)個(gè)可以具體測(cè)評(píng)實(shí)施的工作單元�����。從技術(shù)上的物理安全���、網(wǎng)絡(luò)安全�����、主機(jī)安全�����、應(yīng)用安全和數(shù)據(jù)安全五個(gè)層面和管理上的安全管理機(jī)構(gòu)��、安全管理制度���、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理五個(gè)方面分別逐一進(jìn)行測(cè)評(píng)�����。
2.4 系統(tǒng)整體測(cè)評(píng)
系統(tǒng)整體測(cè)評(píng)主要是在單元測(cè)評(píng)的基礎(chǔ)上�����,通過(guò)測(cè)評(píng)分析系統(tǒng)在安全控制間�����、層面間和安全區(qū)域間三個(gè)方面存在的關(guān)聯(lián)作用�����,驗(yàn)證和分析不符合項(xiàng)是否影響系統(tǒng)的安全保護(hù)能力,同時(shí)分析系統(tǒng)與其他系統(tǒng)邊界安全性是否影響系統(tǒng)的安全保護(hù)能力���,綜合測(cè)試分析系統(tǒng)的整體安全性是否合理。具體內(nèi)容包括:安全控制間安全測(cè)評(píng)���、層面間安全測(cè)評(píng)�����、區(qū)域間安全測(cè)評(píng)和系統(tǒng)結(jié)構(gòu)安全測(cè)評(píng)�����。
在上述工作結(jié)束后���,最終出具三級(jí)氣象信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)報(bào)告。
3 氣象信息安全現(xiàn)狀及存在的問(wèn)題
在對(duì)上述氣象信息系統(tǒng)測(cè)評(píng)過(guò)程中發(fā)現(xiàn)三類(lèi)共性的安全問(wèn)題���。
3.1 信息安全問(wèn)題
首先�����,是未在核心區(qū)與樓層接入?yún)^(qū)��、下聯(lián)邊界區(qū)采取訪(fǎng)問(wèn)控制措施�����;其次��,是系統(tǒng)內(nèi)未部署了入侵檢測(cè)系統(tǒng)�����,對(duì)服務(wù)器的網(wǎng)絡(luò)訪(fǎng)問(wèn)進(jìn)行監(jiān)控���;最后��,是缺少必要的安全策略和操作規(guī)程�����,未形成完備的安全管理體系��。
3.2 氣象信息安全需要多方參與
遼寧省氣象信息安全工作由省氣象信息中心承擔(dān)���。在這種情況下�����,信息安全問(wèn)題很可能沒(méi)有得到充分研究和支持���。負(fù)責(zé)信息安全工作的管理及技術(shù)人員應(yīng)在深入理解氣象信息系統(tǒng)的業(yè)務(wù)流程和目標(biāo)的基礎(chǔ)下,積極參與分析系統(tǒng)所面臨的風(fēng)險(xiǎn)�����,及時(shí)了解可能給系統(tǒng)造成潛在影響的最新威脅和漏洞�����,提供權(quán)威的信息風(fēng)險(xiǎn)評(píng)估���。省氣象信息中心通過(guò)對(duì)風(fēng)險(xiǎn)評(píng)估的正確理解,制定安全策略���、標(biāo)準(zhǔn)和準(zhǔn)則�����,進(jìn)而保障信息系統(tǒng)的完整性��、機(jī)密性和可用性�����。
3.3 氣象信息網(wǎng)絡(luò)內(nèi)外網(wǎng)分離
為了有效地降低氣象信息系統(tǒng)遭受攻擊的風(fēng)險(xiǎn)��,信息網(wǎng)絡(luò)應(yīng)將信息內(nèi)網(wǎng)和信息外網(wǎng)物理隔離���。
黑客可以通過(guò)Internet公共信息網(wǎng)采用木馬�����、蠕蟲(chóng)和病毒等攻擊手段���,破壞辦公系統(tǒng)、竊取機(jī)密氣象資料���、篡改氣象網(wǎng)站信息等等��。所有這些攻擊行為都會(huì)對(duì)氣象信息系統(tǒng)造成損害���。
為了保障氣象信息系統(tǒng)的安全,應(yīng)分別建立兩套獨(dú)立的信息網(wǎng)絡(luò)。信息內(nèi)網(wǎng)承載氣象核心業(yè)務(wù)系統(tǒng)���、財(cái)務(wù)系統(tǒng)���、辦公系統(tǒng)、內(nèi)部視頻會(huì)議系統(tǒng)以及與上級(jí)機(jī)構(gòu)的專(zhuān)線(xiàn)互聯(lián)系統(tǒng)�����。信息外網(wǎng)承載門(mén)戶(hù)網(wǎng)站系統(tǒng)���、移動(dòng)辦公系統(tǒng)以及對(duì)Internet公共信息網(wǎng)的訪(fǎng)問(wèn)等等。信息內(nèi)外網(wǎng)分離的方式有效地降低了來(lái)自Internet公共信息網(wǎng)對(duì)氣象信息系統(tǒng)的攻擊風(fēng)險(xiǎn)���。
4 氣象信息安全分區(qū)分域和縱深防護(hù)策略
根據(jù)信息網(wǎng)絡(luò)的構(gòu)成��,信息網(wǎng)絡(luò)可以分為系統(tǒng)邊界��、桌面終端域和應(yīng)用系統(tǒng)域��。根據(jù)國(guó)家等級(jí)保護(hù)工作的規(guī)范��,應(yīng)用系統(tǒng)域可以定級(jí)為二級(jí)系統(tǒng)域或三級(jí)系統(tǒng)域�����。我們可以在分區(qū)分域的基礎(chǔ)上���,采用縱深的安全防護(hù)策略�����。
4.1 信息系統(tǒng)邊界
信息系統(tǒng)邊界是氣象信息系統(tǒng)和外界數(shù)據(jù)交互的邊界區(qū)域���,是保障數(shù)據(jù)安全的第一道屏障。為了保障信息系統(tǒng)邊界的數(shù)據(jù)安全��,需要部署安全設(shè)備和措施:
一要設(shè)置高效�����、安全的防火墻設(shè)備��,通過(guò)訪(fǎng)問(wèn)策略和阻斷策略對(duì)通過(guò)邊界的雙向流量進(jìn)行網(wǎng)絡(luò)側(cè)過(guò)濾���,阻止不明身份黑客對(duì)信息系統(tǒng)的訪(fǎng)問(wèn)��;
二要部署先進(jìn)的IPS主動(dòng)防攻擊設(shè)備�����,通過(guò)配置網(wǎng)絡(luò)常見(jiàn)攻擊匹配包對(duì)雙向流量進(jìn)行應(yīng)用層的檢測(cè)���,可以有效地降低病毒��、蠕蟲(chóng)和木馬等攻擊風(fēng)險(xiǎn)��;
三要配備主流的流量控制設(shè)備���,通過(guò)檢查異常流量,保護(hù)邊界出口帶寬的正常使用��;
四要部署邊界設(shè)備審計(jì)系統(tǒng)和日志分析系統(tǒng)��,定期采集網(wǎng)絡(luò)設(shè)備和安全設(shè)備的操作日志和運(yùn)行日志��,出具日志報(bào)告���。通過(guò)對(duì)日志報(bào)告的分析,信息安全管理人員可以對(duì)信息系統(tǒng)遭受的攻擊��、網(wǎng)絡(luò)邊界的規(guī)則效用以及設(shè)備運(yùn)行狀況進(jìn)行評(píng)估���,從而制定下一步相應(yīng)的安全規(guī)劃��。
4.2 桌面終端域
桌面終端域由氣象職工桌面工作終端構(gòu)成��,是信息安全事件的溫床��。桌面終端域安全防護(hù)是安全防御的第二道屏障�����,主要包括三方面���。
一是桌面終端操作系統(tǒng)安全��。單位內(nèi)部大部分PC機(jī)所使用的操作系統(tǒng)是微軟公司的Windows XP或者Windows Vista��,針對(duì)黑客攻擊行為�����,微軟公司會(huì)定期系統(tǒng)安全補(bǔ)丁包�����。信息內(nèi)外網(wǎng)應(yīng)各部署一套微軟WSUS補(bǔ)丁服務(wù)器�����,定期統(tǒng)一下載操作系統(tǒng)安全補(bǔ)丁�����。
二是系統(tǒng)防病毒策略��。計(jì)算機(jī)病毒是電腦系統(tǒng)癱瘓的元兇���,防病毒策略由部署在信息內(nèi)外網(wǎng)的防病毒服務(wù)器來(lái)實(shí)現(xiàn)�����。在信息內(nèi)外網(wǎng)各部署一套防病毒服務(wù)器�����,信息內(nèi)外網(wǎng)PC機(jī)設(shè)備安裝防病毒客戶(hù)端�����,定期自動(dòng)從防病毒服務(wù)器更新防病毒庫(kù)。
三是移動(dòng)存儲(chǔ)介質(zhì)安全��。缺乏有效保護(hù)的移動(dòng)介質(zhì)是傳播病毒的有效載體,是泄密的罪魁禍?zhǔn)?��。在單位可以部署安全移?dòng)存儲(chǔ)系統(tǒng)���,對(duì)U盤(pán)進(jìn)行加密處理。所有員工均使用安全U盤(pán)���,規(guī)避移動(dòng)介質(zhì)風(fēng)險(xiǎn)���。
4.3 應(yīng)用系統(tǒng)域
應(yīng)用系統(tǒng)域由運(yùn)行應(yīng)用系統(tǒng)的服務(wù)器和存儲(chǔ)應(yīng)用數(shù)據(jù)的數(shù)據(jù)庫(kù)組成。應(yīng)用系統(tǒng)域安全防護(hù)是安全防御的第三道屏障���。應(yīng)用系統(tǒng)域和系統(tǒng)邊界以及桌面終端之間需要部署防火墻設(shè)備�����,不同安全防護(hù)等級(jí)的應(yīng)用系統(tǒng)域之間也需要部署防火墻設(shè)備��。應(yīng)用系統(tǒng)維護(hù)人員需要認(rèn)真統(tǒng)計(jì)系統(tǒng)的應(yīng)用情況���,提供詳實(shí)的端口應(yīng)用情況,制定實(shí)用的訪(fǎng)問(wèn)和阻斷策略�����。
5 結(jié)束語(yǔ)
信息網(wǎng)絡(luò)已成為氣象部門(mén)開(kāi)展氣象預(yù)報(bào)、業(yè)務(wù)應(yīng)用運(yùn)行和內(nèi)部辦公的承載平臺(tái)��,氣象信息安全也成為安全生產(chǎn)管理中不可或缺的一環(huán)���。各種信息安全防護(hù)技術(shù)在氣象部門(mén)得到了比較廣泛的應(yīng)用���,也取得了很好的效果,為保障氣象業(yè)務(wù)安全���、可靠�����、穩(wěn)定運(yùn)行��,提供了有力的技術(shù)支撐���。
但同時(shí)也應(yīng)該看到將各種安全設(shè)備簡(jiǎn)單地堆砌起來(lái)并不能達(dá)到預(yù)期的目標(biāo),必需根據(jù)氣象信息系統(tǒng)的特點(diǎn)�����、結(jié)合本單位的實(shí)際情況��,做好中長(zhǎng)期規(guī)劃��。要以適度安全為原則���,有針對(duì)性���、分階段地部署適合本單位的安全防護(hù)技術(shù),并強(qiáng)化管理措施��,才能在成本投入和安全目標(biāo)之間取得最佳平衡點(diǎn)���,才能建設(shè)好具有氣象特色的信息安全防護(hù)系統(tǒng)���。
參考文獻(xiàn)
[1] 信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB-T 22239-2008,中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局�����,中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)���,2008-11-01.
[2] 周?chē)?guó)勇��,陳磊.信息系統(tǒng)安全檢查工作體系設(shè)計(jì)研究[J].信息網(wǎng)絡(luò)安全�����,2012(8):167-169.
[3] 韓阜業(yè)��,陳震�����,梁勇等.基于覆蓋網(wǎng)的協(xié)同式網(wǎng)絡(luò)安全防護(hù)與分析系統(tǒng)[J].信息網(wǎng)絡(luò)安全�����,2012 (4):7-13.
作者簡(jiǎn)介:
第9篇
服務(wù)產(chǎn)品化
北京高院在運(yùn)維實(shí)踐中�����,創(chuàng)新編制服務(wù)級(jí)別協(xié)議(以下簡(jiǎn)稱(chēng)SLA)的編制方法��,實(shí)現(xiàn)運(yùn)維任務(wù)與運(yùn)維成本的可視化管理��。解決了以下幾個(gè)問(wèn)題:
有利于清晰工作任務(wù)���?����?梢暬芾淼暮诵氖且肓恕胺?wù)產(chǎn)品”的概念���,通過(guò)運(yùn)維工作持續(xù)產(chǎn)生信息內(nèi)容、提供技術(shù)支持是“服務(wù)產(chǎn)品”的主要形態(tài)��。實(shí)踐中�����,北京高院根據(jù)業(yè)務(wù)需求確定252個(gè) “服務(wù)產(chǎn)品”�����,為了保證產(chǎn)品質(zhì)量��,制定了2983項(xiàng)運(yùn)維工作任務(wù)�����,依據(jù)技術(shù)難易程度�����,考量這項(xiàng)運(yùn)維工作是由高級(jí)、中級(jí)還是初級(jí)工程師承擔(dān)的��,并將工作逐項(xiàng)分解落實(shí)到責(zé)任人�����,促使每位工程師都清晰各自的工作職責(zé)和任務(wù)���。
有利于考核運(yùn)維質(zhì)效���。既然是“服務(wù)產(chǎn)品”,就有了數(shù)量���、質(zhì)量要求�����,也有了優(yōu)劣之分���,既能檢驗(yàn)產(chǎn)品質(zhì)量,也能考量服務(wù)質(zhì)效�����。
有利于核算運(yùn)維成本。運(yùn)維機(jī)構(gòu)投入的人力��、智力和財(cái)力資源是生產(chǎn)信息“服務(wù)產(chǎn)品”的主要成本���。將SLA作為統(tǒng)計(jì)年度運(yùn)維人力資源需求的依據(jù)�����,將運(yùn)維過(guò)程投入的各項(xiàng)綜合成本封裝成以“服務(wù)產(chǎn)品”為計(jì)價(jià)單位的費(fèi)用計(jì)算方式,為科學(xué)測(cè)算年度運(yùn)維成本費(fèi)用提供了翔實(shí)的成本構(gòu)成依據(jù)��。
有利于促進(jìn)績(jī)效管理�����?����??jī)效管理就是督查運(yùn)維工作質(zhì)量和效率���。在電子政務(wù)運(yùn)維工作中引入績(jī)效管理工程師是機(jī)制創(chuàng)新���。
服務(wù)全外包
全外包就是將電子政務(wù)資產(chǎn)的維修更換�����、軟件的升級(jí)優(yōu)化��、人員的工時(shí)費(fèi)用等一攬子工作任務(wù)通過(guò)定額全部外包�����。北京高院運(yùn)維管理工作的目標(biāo)和任務(wù)概括起來(lái)�����,就是通過(guò)電子政務(wù)系統(tǒng)�����,向業(yè)務(wù)部門(mén)提供及時(shí)�����、準(zhǔn)確�����、優(yōu)質(zhì)��、高效的信息“服務(wù)產(chǎn)品”��,促進(jìn)實(shí)現(xiàn)信息與業(yè)務(wù)深度融合���。
有利于激發(fā)運(yùn)維機(jī)構(gòu)責(zé)任心��。全外包是既包工也包料��,是以提供合格的“信息產(chǎn)品”為運(yùn)維服務(wù)的工作目標(biāo)���。這賦予了運(yùn)維機(jī)構(gòu)更大的自主管理權(quán)�����,責(zé)任心強(qiáng)�����、管理到位�����,不僅能夠節(jié)約人力成本,還能減少設(shè)備維護(hù)更換的費(fèi)用�����,管理越規(guī)范���、工作越嚴(yán)謹(jǐn)��,就能獲得更好的經(jīng)濟(jì)效益�����。
有利于提高運(yùn)維服務(wù)質(zhì)量��。對(duì)于包工不包料的運(yùn)維模式��,當(dāng)信息網(wǎng)絡(luò)出現(xiàn)設(shè)備故障��、信息系統(tǒng)遇到問(wèn)題時(shí)�����,運(yùn)維機(jī)構(gòu)為了減輕工作責(zé)任��,減少成本投入��,大多情況會(huì)向甲方提出更新設(shè)備或升級(jí)系統(tǒng)的請(qǐng)求��。他們的價(jià)值取向是甲方設(shè)備越新���、輔助管理功能越完善���,運(yùn)維工作則越輕松,所承擔(dān)的風(fēng)險(xiǎn)也越小�����?��;谶@種思路�����,他們?cè)谶\(yùn)維工作中自然產(chǎn)生了等、靠���、要的習(xí)慣��,當(dāng)然也不會(huì)更多地考慮如何提高運(yùn)維服務(wù)質(zhì)量和效率的問(wèn)題�����。
有利于規(guī)范運(yùn)維管理工作��。既包工也包料的運(yùn)維全外包模式���,賦予了運(yùn)維機(jī)構(gòu)更大的管理權(quán)限和利潤(rùn)空間�����,激發(fā)了他們優(yōu)化流程���、創(chuàng)新機(jī)制、協(xié)同工作���、自律管理的積極性�����。
有利于信息與業(yè)務(wù)有效融合���。全外包確定了以提供優(yōu)質(zhì)、高效的信息“服務(wù)產(chǎn)品”為運(yùn)維服務(wù)目標(biāo)。信息內(nèi)容是為業(yè)務(wù)工作服務(wù)的���,從這個(gè)角度講���,運(yùn)維服務(wù)機(jī)構(gòu)就必須在保障信息系統(tǒng)安全穩(wěn)定運(yùn)行的基礎(chǔ)上,將重點(diǎn)放在“服務(wù)產(chǎn)品”的質(zhì)量方面���,研究業(yè)務(wù)工作對(duì)信息的需求��,提高信息“服務(wù)產(chǎn)品”質(zhì)量�����。
有利于保證系統(tǒng)安全穩(wěn)定運(yùn)行��。全外包模式運(yùn)維費(fèi)用既包括了設(shè)備維修更換���,也包括了人工一攬子費(fèi)用,由運(yùn)維機(jī)構(gòu)全權(quán)負(fù)責(zé)設(shè)備維修和更換以及人員配置工作��。甲方就像購(gòu)置了電子政務(wù)系統(tǒng)安全穩(wěn)定運(yùn)行的保險(xiǎn)��,無(wú)需更多擔(dān)憂(yōu)運(yùn)維成本問(wèn)題�����。
駐場(chǎng)服務(wù)
全外包模式既然是以提供信息“服務(wù)產(chǎn)品”為運(yùn)維工作目標(biāo)��,運(yùn)維服務(wù)機(jī)構(gòu)就應(yīng)該采取駐場(chǎng)服務(wù)的工作方式���,這為保障信息系統(tǒng)穩(wěn)定運(yùn)行���、滿(mǎn)足業(yè)務(wù)部門(mén)的及時(shí)需求提供了重要保障。
駐場(chǎng)服務(wù)的必要性��。掌握技術(shù)優(yōu)勢(shì)的專(zhuān)業(yè)運(yùn)維機(jī)構(gòu)駐場(chǎng)服務(wù)���,成為電子政務(wù)運(yùn)維服務(wù)的常備隊(duì)伍���。他們不但有條件了解甲方電子政務(wù)基礎(chǔ)設(shè)施、系統(tǒng)環(huán)境和應(yīng)用系統(tǒng)情況��,而且長(zhǎng)期為業(yè)務(wù)部門(mén)提供貼身服務(wù)���,進(jìn)行實(shí)地業(yè)務(wù)調(diào)研���,既了解業(yè)務(wù)流程���,也清晰工作程序。
駐場(chǎng)服務(wù)技術(shù)保障���。駐場(chǎng)服務(wù)機(jī)制有效促進(jìn)了信息與業(yè)務(wù)的深度融合�����。實(shí)踐中���,北京高院與設(shè)備維護(hù)和系統(tǒng)管理、應(yīng)用策劃和內(nèi)容提供���、通信�����、視頻��、信息存儲(chǔ)�����、信息安全和資源共享等不同專(zhuān)業(yè)的運(yùn)維機(jī)構(gòu)簽訂駐場(chǎng)服務(wù)協(xié)議���,實(shí)行8小時(shí)現(xiàn)場(chǎng)工作和24小時(shí)值班制度���。
觀(guān)點(diǎn)
“全外包”必須“貼身服務(wù)”
運(yùn)維服務(wù)全外包管理工作機(jī)制���,為業(yè)務(wù)工作提供貼身的信息服務(wù)成為可能���。貼身服務(wù)對(duì)提高電子政務(wù)運(yùn)行績(jī)效,促進(jìn)信息與業(yè)務(wù)深度融合具有重要意義�����。
