緒論：寫作既是個人情感的抒發(fā)，也是對學術(shù)真理的探索，歡迎閱讀由發(fā)表云整理的11篇公司信息安全管理體系范文，希望它們能為您的寫作提供參考和啟發(fā)。

篇（1）

1 引言

在如今的信息化社會中，信息通過共享傳遞實現(xiàn)其價值。在信息交換的過程中，人們肯定會擔心自己的信息泄露，所以信息安全備受關(guān)注，企業(yè)的信息安全就更為重要了。但是網(wǎng)絡(luò)是一個開放互聯(lián)的環(huán)境，接入網(wǎng)絡(luò)的方式多樣，再加上技術(shù)存在的漏洞或者人們可能的操作失誤等，信息安全問題一刻不容忽視。尤其是電力，是國家規(guī)定的重要信息安全領(lǐng)域。所以電力企業(yè)要把信息安全管理體系的建設(shè)，作為重要的一環(huán)納入到整個企業(yè)管理體系中去。

2 電力企業(yè)信息管理體系建設(shè)的依據(jù)

關(guān)于企業(yè)的安全管理體系方面的標準有很多。英國BSI/DISC的BDD信息管理委員會制定的安全管理體系主要包含兩個部分內(nèi)容：信息安全管理實施規(guī)則和信息安全管理體系規(guī)范。信息安全管理實施規(guī)則是一個基礎(chǔ)性指導(dǎo)文件，里面有10大管理項、36個執(zhí)行的目標和127種控制的方法，可以作為開發(fā)人員在信息安全管理體系開發(fā)過程中的一個參考文檔。信息安全管理體系規(guī)范則詳細描述了在建立、施工和維護信息安全管理體系過程的要求，并提出了一些具體操作的建議。

國際標準化組織也了很多關(guān)于信息安全技術(shù)的標準，如ISO x系列、ISO/IEC x系列等。我國也制定了一系列的信息安全標準，如GB 15851―1995。

關(guān)于企業(yè)信息安全管理體系方面的標準眾多，如何針對企業(yè)自身實際情況選擇合適的參考標準很重要，尤其是電力企業(yè)有著與其他企業(yè)不同的一些特殊性質(zhì)，選擇信息安全體系建設(shè)的參考標準更要謹慎。我國電力企業(yè)已經(jīng)引入了一些國際化標準作為建立和維護企業(yè)運轉(zhuǎn)的保證，關(guān)于信息安全體系的標準也應(yīng)納入到保證企業(yè)運轉(zhuǎn)的一系列參考中去。電力企業(yè)總體應(yīng)有一致的安全信息管理體系參考標準，但是具體地區(qū)的公司又有著本身自己的特殊環(huán)境，所以在總體一致的信息安全標準的情況下，也應(yīng)該根據(jù)企業(yè)自身地區(qū)、人文、政策等的不同制定一些企業(yè)內(nèi)部自己信息安全標準作為建立、實施和維護信息安全管理體系的依據(jù)。信息安全管理體系顧全大局又要有所側(cè)重的體現(xiàn)電力企業(yè)安全標準的要求。

3 信息安全管理體系里的重要環(huán)節(jié)

3.1 硬件環(huán)境要求

信息安全管理體系并沒有特別要求添加什么特別的設(shè)備，只是對企業(yè)用到的設(shè)備做一些要求。電力企業(yè)一般采用內(nèi)外網(wǎng)結(jié)合的方式，內(nèi)外網(wǎng)設(shè)備要盡量進行物理隔離。企業(yè)每個員工基本都有自己的移動設(shè)備，如手機等，為了增加信息安全的系數(shù)，企業(yè)可以限制公司設(shè)備的無線網(wǎng)絡(luò)拓展。另外，實時監(jiān)控系統(tǒng)也應(yīng)該覆蓋企業(yè)的重要設(shè)備，監(jiān)控硬件設(shè)備的安全。

3.2 軟件環(huán)境要求

在企業(yè)設(shè)備（主要是計算機）上部署相關(guān)軟件環(huán)境是信息安全管理體系中最重要的部分。比如防病毒軟件的部署、桌面系統(tǒng)弱口令監(jiān)控軟件的部署等，以此防止網(wǎng)絡(luò)攻擊或者提高安全系數(shù)。另外，企業(yè)設(shè)備所用系統(tǒng)的安全漏洞修復(fù)、數(shù)據(jù)的加密解密、數(shù)據(jù)的備份恢復(fù)及數(shù)據(jù)傳輸通道的加密解密等問題，都在信息安全管理體系設(shè)計的考慮范疇。

3.3 企業(yè)員工管理

盡管現(xiàn)在一直倡導(dǎo)智能化，但是企業(yè)內(nèi)進行設(shè)備等操作的主體還是員工。不管是對設(shè)備終端操作來進行信息的首發(fā)，還是對企業(yè)軟硬件系統(tǒng)進行維護工作，都是有員工來進行的。所以，對企業(yè)內(nèi)部員工進行信息安全培訓，提高員工的信息安全防范意識，讓員工掌握一定的信息安全防范與處理手段是非常重要的事情。針對不同的職位，在員工上崗前應(yīng)該進行相關(guān)的信息安全方面的培訓，然后對培訓結(jié)果進行考核，不合格的人員不準上崗。在崗的人員也要定期進行培訓與考核。另外，如果有條件的話，企業(yè)應(yīng)該定期（例如每年）進行一次信息安全的相關(guān)演習。

另外，電力企業(yè)有些項目是外包給其他相應(yīng)公司的，這時候會有施工人員和駐場人員在電力企業(yè)，對這些人員也應(yīng)該進行電力企業(yè)信息安全的培訓。

3.4 信息安全管理體系的風險系數(shù)評估

風險評估在信息安全管理體系中是確定企業(yè)信息安全需求的一個重要途徑，它是對企業(yè)的信息資產(chǎn)所面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用下所帶來的風險可能性的評測。風險評估的主要任務(wù)是：檢測評估對象所面臨的各種風險，估計風險的概率和可能帶來的負面影響的程度，確定信息安全管理體系承受風險的能力，確定不同風險發(fā)生后消減和控制的優(yōu)先級，對消除風險提出建議。在信息安全管理體系的風險系數(shù)評估過程中，形成《風險系數(shù)評估報告》、《風險處理方案》等文檔，作為對信息安全管理體系進行調(diào)整的參考。風險系數(shù)的評估要盡可能全面的反映企業(yè)的信息安全管理體系，除了常規(guī)手段，也可以使用一些相應(yīng)的軟件工具的結(jié)果作為參考。另外很值得注意的是企業(yè)的員工對風險的理解，企業(yè)員工對他們所操作的對象有比較深刻的理解，對其中可能存在的不足也有自己的見解，在風險系數(shù)評估的過程中，可以進行一些員工的問卷調(diào)查等，把員工對風險的認識納入風險評估的考慮范疇。

企業(yè)的設(shè)備會老舊更換，員工也會更換，所以企業(yè)的信息安全是動態(tài)的，因此風險評估工作也要視具體情況定期進行，針對當前情況作評估報告，然后制定相應(yīng)的風險處理方案。還有，之所以要建立信息安全管理體系，其中很重要的一點就是體系內(nèi)各個模塊的結(jié)合，信息安全管理體系的風險評估與關(guān)鍵內(nèi)容的實時監(jiān)控就應(yīng)該結(jié)合起來。

為了降低信息安全管理體系的風險系數(shù)，提升信息安全等級，要做的工作很多。滲透測試就是其中很有必要的一項工作。滲透測試是測試人員通過模擬惡意攻擊者的攻擊方式，來評估企業(yè)計算機網(wǎng)絡(luò)系統(tǒng)安全的一種評測方法。這個測試過程會對系統(tǒng)的可知的所有弱點、技術(shù)方面的缺陷或者漏洞等作主動的分析。滲透測試對于網(wǎng)絡(luò)信息安全的組織具有實際應(yīng)用價值。隨著技術(shù)的不斷進步，可能還會出現(xiàn)其他的更有價值的信息安全技術(shù)，作為信息安全備受矚目的電力企業(yè)，應(yīng)當時刻關(guān)注相關(guān)技術(shù)的進展，并及時將它們納入企業(yè)信息安全管理體系中來。

3.5 信息安全管理體系的管理模式

文章前面提到企業(yè)信息安全是動態(tài)的，所以信息安全管理體系需要建立一個長效的機制，針對最新的情況及時對自身作出調(diào)整，使信息安全管理體系有效的運行。現(xiàn)在一般會采用PDCA循環(huán)過程模式：計劃，依照體系整個的方針和目標，建立與控制風險系數(shù)、提高信息安全的有關(guān)的安全方針、過程、指標和程序等；執(zhí)行：實施和運作計劃中建立的方針、過程、程序等；評測：根據(jù)方針、目標等，評估業(yè)績，并形成報告，也就是文章前面說到的風險系數(shù)評估；舉措：采取主動糾正或預(yù)防措施對體系進行調(diào)整，進一步提高體系運作的有效性。這四個步驟循環(huán)運轉(zhuǎn)，成為一個閉環(huán)，是信息安全管理體系得到持續(xù)的改進。

4 重要技術(shù)及展望

4.1 安全隔離技術(shù)

電力企業(yè)的信息網(wǎng)絡(luò)是由內(nèi)外網(wǎng)兩部分組成，從被防御的角度來看的話，內(nèi)網(wǎng)的主要安全防護技術(shù)為防火墻、桌面弱口令監(jiān)控、入侵檢測技術(shù)等；而主動防護則主要采用的是安全隔離技術(shù)等。安全隔離技術(shù)包括物理隔離、協(xié)議隔離技術(shù)和防火墻技術(shù)。一般電力企業(yè)采用了物理隔離與防火墻技術(shù)，在內(nèi)網(wǎng)設(shè)立防火墻，在內(nèi)外網(wǎng)之間進行物理隔離。

4.2 數(shù)據(jù)加密技術(shù)

企業(yè)的數(shù)據(jù)在傳輸過程中一般都要進行加密來降低信息泄露的風險?？梢愿鶕?jù)電力企業(yè)內(nèi)部具體的安全要求，對規(guī)定的文檔、視圖等在傳輸前進行數(shù)據(jù)加密。尤其是電力企業(yè)通過外網(wǎng)傳輸?shù)臅r候，除了對數(shù)據(jù)進行加密外，還應(yīng)該在鏈路兩端進行通道加密。

4.3 終端弱口令監(jiān)控技術(shù)

終端設(shè)備眾多，而且是業(yè)務(wù)應(yīng)用的主要入口，所以終端口令關(guān)乎業(yè)務(wù)數(shù)據(jù)的安全以及整個系統(tǒng)的正常運轉(zhuǎn)。如果終端口令過于簡單薄弱，相當于沒有設(shè)定而將設(shè)備暴露。終端的信息安全是電力企業(yè)信息安全的第一道防線，因此采用桌面系統(tǒng)弱口令監(jiān)控技術(shù)來加強這第一道防線的穩(wěn)固性對電力企業(yè)的信息安全非常重要。

電力企業(yè)信息安全管理體系是一個復(fù)雜的系統(tǒng)，包含眾多的安全技術(shù)，如數(shù)據(jù)備份及災(zāi)難恢復(fù)技術(shù)、終端安全檢查與用戶身份認證技術(shù)、虛擬專用網(wǎng)技術(shù)、協(xié)議隔離技術(shù)等。凡是與信息安全相關(guān)的技術(shù)，電力企業(yè)都應(yīng)當關(guān)注，并根據(jù)企業(yè)自身的情況決定是否將之納入到信息安全管理體系中去。

智能化已成為不管是研究還是社會應(yīng)用的熱門詞匯。電力企業(yè)的信息安全管理體系是否可以智能化呢？不妨做一個展望，電力企業(yè)的信息安全管理體系有了很強的自我學習與自我改進的能力，在信息安全環(huán)境越來越復(fù)雜，信息量越來越龐大的情況下是否會更能發(fā)揮信息安全管理體系的作用呢？這應(yīng)該是值得期待的。

5 防病毒軟件部署

電力企業(yè)信息安全管理體系有很多軟件系統(tǒng)的部署，如防病毒軟件部署、桌面弱口令監(jiān)控系統(tǒng)部署、系統(tǒng)安全衛(wèi)士部署等。但是它們的部署情況類似，這里用防病毒軟件的部署來展示電力企業(yè)信息安全管理體系中軟件系統(tǒng)的部署情況。如圖1所示為防病毒軟件的部署框架。

殺毒軟件種類有很多，這里以賽門鐵克殺毒軟件為例。企業(yè)版的賽門鐵克防病毒軟件系統(tǒng)相比單機版增加了網(wǎng)絡(luò)管理的功能，能夠很大程度地減輕維護人員的工作量。為了確保防病毒軟件系統(tǒng)的穩(wěn)定運行，在電力企業(yè)內(nèi)部正式使用時，盡量準備一立的服務(wù)器作為防病毒軟件專用的服務(wù)器。

服務(wù)器安裝配置好賽門鐵克防病毒軟件后，可以遠程控制客戶端與下級升級服務(wù)器的軟件安裝與升級。

電力企業(yè)內(nèi)網(wǎng)可能是禁止接入外網(wǎng)的，這樣的話，防病毒軟件的更新可能無法自動完成。防病毒軟件需要升級的時候，維護人員在通過外網(wǎng)在相應(yīng)網(wǎng)址下載賽門鐵克升級包，然后通過安全U盤拷貝到防病毒軟件系統(tǒng)專用服務(wù)器進行升級操作。在圖1中，省電力公司的防病毒管理控制臺獲得升級包可以下發(fā)給下級升級服務(wù)器和客戶端進行防病毒軟件系統(tǒng)的自動升級更新。圖1是一個簡單的框圖，如果電力企業(yè)的內(nèi)網(wǎng)規(guī)模很大的話，還可以更多級地分布部署。

6 結(jié)束語

電力企業(yè)的信息安全與企業(yè)的生產(chǎn)與經(jīng)營管理密切相關(guān)，是企業(yè)整個管理系統(tǒng)的一部分。信息安全管理體系是一個整體性的管理工作，把體系中涉及的內(nèi)容統(tǒng)一進行管理，讓它們協(xié)調(diào)運作，實現(xiàn)信息安全管理體系的功能。電力企業(yè)信息安全的建立與體系不斷的改進定能穩(wěn)定、有效地維護企業(yè)的信息安全。

參考文獻

[1] 王志強，李建剛.電網(wǎng)企業(yè)信息安全管理體系建設(shè)[J].浙江省電力公司，2008，6（3）：26-29.

[2] 陳賀，宮俊峰.淺析信息安全體系如何建立[J].中國管理信息化，2014，17（1）：74-76.

[3] 郭建，顧志強.電力企業(yè)信息安全現(xiàn)狀分析及管理對策[J].信息技術(shù)，2013（1）：180-187.

[4] 沈軍.火力發(fā)電廠信息你安全體系構(gòu)建與應(yīng)用[J].電力信息通信技術(shù)，2013，11（8）：103-108.

[5] 左鋒.信息安全體系模型研究[J].信息安全與通信保密，2010，01（10）：68-71.

[6] 楊柳.構(gòu)建供電企業(yè)信息安全體系[J].電腦知識與技術(shù)，2005（29）.

[7] 曹鳴鵬， 趙偉， 許林英. J2EE技術(shù)及其實現(xiàn)[J]. 計算機應(yīng)用，2001， 21（10）： 20-23.

[8] 江和平.淺談網(wǎng)絡(luò)信息安全技術(shù)[J].現(xiàn)代情報學，2004（14）：125-127.

作者簡介：

崔阿軍（1984-），男，甘肅平?jīng)鋈?，碩士研究生，工程師；主要研究方向和關(guān)注領(lǐng)域：電力信息通信安全技術(shù)研究。

張馴（1984-），男，江蘇揚州人，本科，工程師；主要研究方向和關(guān)注領(lǐng)域：電力信息通信安全技術(shù)研究。

李志茹（1984-），女，山東平度人，碩士研究生，工程師；主要研究方向和關(guān)注領(lǐng)域：信息化建設(shè)及安全技術(shù)。

篇（2）

中圖分類號：TB497文獻標識碼： A 文章編號：

前言

企業(yè)的正常運作離不開信息資源的支持，企業(yè)信息化系統(tǒng)作為管理企業(yè)信息資源的電子化工具和企業(yè)實力的重要組成部分，在促進企業(yè)規(guī)范管理流程、提高生產(chǎn)效率的同時，在運行中累積的包括企業(yè)的經(jīng)營計劃、知識產(chǎn)權(quán)、生產(chǎn)工藝、流程配方、方案圖紙、客戶資源等各種重要數(shù)據(jù)成為部門、企業(yè)的寶貴資產(chǎn)，關(guān)乎著企業(yè)的生存與發(fā)展。這些數(shù)據(jù)一旦損壞、丟失、泄漏或篡改，則會給企業(yè)帶來重大安全影響。

企業(yè)要保持健康可持續(xù)性發(fā)展，信息安全是基本的保證之一。為確保信息資產(chǎn)安全，很多企業(yè)都制定了“硬件備份、分權(quán)分域、多層防御、等級防護”等等信息安全技術(shù)目標，并且逐步落實。與此同時，還應(yīng)該清醒地認識到，技術(shù)體系達到先進水平，并不意味著企業(yè)的信息安全整體水平也是同步發(fā)展的；而必須建設(shè)和落實與之相適配的信息安全管理體系，并將其逐步納入到企業(yè)的各級安全生產(chǎn)管理當中。

信息安全風險和措施概述

企業(yè)信息化系統(tǒng)在為企業(yè)帶來提高工作效率和管理水平、增強競爭能力等益處的同時，也為企業(yè)帶來了信息安全風險；而且信息安全風險與信息化水平和應(yīng)用范圍的提高與擴大同步增長。

（1）接入和訪問方式多樣化帶來全網(wǎng)性風險

U盤、便攜電腦、無線網(wǎng)卡、智能手機的普及加劇了病毒、蠕蟲和間諜軟件等普遍存在的信息安全威脅，而且對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、信息的破壞程度和范圍持續(xù)擴大。

（2）來自外網(wǎng)的攻擊始終存在，攻擊方式向更高階段演化

和其他企業(yè)網(wǎng)一樣，企業(yè)的信息化系統(tǒng)也一直面臨著來自Internet和其他第三方對接網(wǎng)絡(luò)的外在威脅，并且很容易跨域突現(xiàn)。在攻擊手段上，攻擊者已經(jīng)從以往直接針對網(wǎng)絡(luò)和系統(tǒng)的普遍攻擊，轉(zhuǎn)向了對更高層次的Web應(yīng)用、信息數(shù)據(jù)的重點攻擊。

（3）安全意識和相關(guān)培訓不到位

職工信息安全培訓普及和素質(zhì)培養(yǎng)方面卻沒有形成一個長效機制，信息安全意識不均衡情況也普遍存在。

（4）信息安全管理體系尚未成熟

在信息安全保障體系中，企業(yè)普遍存在過于依賴于技術(shù)保障，而管理保障和制度執(zhí)行相對薄弱等問題。大多數(shù)企業(yè)的信息安全管理體制還是沿襲傳統(tǒng)組織架構(gòu)，并沒有咨詢過專業(yè)安全公司在信息安全管理體系建設(shè)上的意見，仍由檔案部門、調(diào)度部門兼職負責，而沒有設(shè)置專門的信息安全部門，從而造成管理體系不健全，責任不清晰等問題。

信息安全管理體系的主要環(huán)節(jié)

從業(yè)內(nèi)最佳安全實踐來看，要想建立完善可行的信息安全管理體系，就要使之貫穿于整個企業(yè)信息安全建設(shè)和保障過程。一般說來，信息安全管理體系包括以下6個主要環(huán)節(jié)：

（1）信息風險評估程序：其目的是為了在企業(yè)、組織內(nèi)部建立一套適合自身具體情況的信息風險評估機制，明確信息風險評估由誰來做、怎么做、做什么、重點解決什么等問題。這一環(huán)節(jié)有助于相關(guān)部門了解有哪些威脅會對企業(yè)信息真正造成影響、風險水平該如何確定。

（2）信息安全計劃：它是在信息風險評估的基礎(chǔ)上，結(jié)合企業(yè)的宏觀安全戰(zhàn)略與現(xiàn)實情況得出的，明確了信息安全工作應(yīng)該“做什么”和“什么時候做”。

（3）項目管理：無論安全工作是內(nèi)部人員來完成還是與專業(yè)安全公司協(xié)作來完成，每一項信息安全工作都可以視為一個安全項目。所以，還應(yīng)充分考慮項目管理的各個階段（發(fā)起、啟動、計劃、執(zhí)行、控制、收尾）需要關(guān)注的問題和存在的風險。

（4）運行維護和培訓：對企業(yè)信息的運行維護監(jiān)控過程大部分是程序化和其他一些較為細碎的工作。同是，除了執(zhí)行命令、填寫表單以外，還需要通過各類培訓教育讓各級職工，尤其是掌握核心業(yè)務(wù)數(shù)據(jù)的崗位人員時刻保持風險預(yù)警意識。

（5）信息安全審計：其主要目的就是建立一個長效機制，明確對信息系統(tǒng)及其數(shù)據(jù)和信息的檢查周期、審計方式、評審制度等內(nèi)容，確保能夠及時發(fā)現(xiàn)和彌補信息安全管理漏洞和缺陷。

（6）持續(xù)改進計劃：為了應(yīng)對不斷變化的信息安全威脅和不斷嚴格的合規(guī)性要求，從根本上解決信息安全問題，企業(yè)、組織需要對信息安全過程、方法、程序、操作指南持續(xù)改進。

圖1 信息安全管理體系環(huán)節(jié)構(gòu)成示意圖

信息安全管理體系的實施內(nèi)容

從當前來看，信息安全管理體系的實施內(nèi)容主要包括信息安全管理制度和信息安全操作流程組成，二者各司其職，又互為補充。

首先，信息安全管理制度主要是公司的相關(guān)部門根據(jù)自身的管理職能，針對各種與信息安全管理有關(guān)的資源制定的相關(guān)要求、政策。管理制度通常由相應(yīng)的部門進行歸口管理和解釋，是職能化、專業(yè)化的直接體現(xiàn)。

其次，信息安全管理流程是根據(jù)一定的管理目標，對系列相關(guān)活動順序和操作規(guī)則的規(guī)定。通常管理流程會貫穿若干部門，使用相關(guān)資源，是流程化、規(guī)范化管理的體現(xiàn)。與管理制度相比，管理流程更注重過程管理，通常會使用一些流程測量指標，作為衡量效率和判斷是否合理的依據(jù)。

篇（3）

一、電信企業(yè)信息管理的現(xiàn)狀與作用

(一)電信企業(yè)信息管理體系的現(xiàn)狀

隨著社會的發(fā)展，無論是個人還是企業(yè)，都越來越離不開科學技術(shù)。這也導(dǎo)致科技所引發(fā)的信息安全管理體系的問題出現(xiàn)。1、針對信息安全管理體系的建設(shè)沒有創(chuàng)建出專門的管理機構(gòu)由于在信息管理方面，企業(yè)沒有一個系統(tǒng)的較為權(quán)威的管理部門及相關(guān)組織，其管理權(quán)限分散在建設(shè)、運維、系統(tǒng)支撐、市場等部門，在很大程度上致使企業(yè)信息管理中的相關(guān)法規(guī)得不到正常有效的運行。2、未能充分的考慮企業(yè)相關(guān)管理部門與信息安全管理體系的建設(shè)完善由于電信企業(yè)的特殊性，在具體的信息安全建設(shè)管理中，信息體系建設(shè)和信息安全管理的工作不夠協(xié)調(diào)，使得企業(yè)在信息安全管理的相關(guān)工作上沒法進行積極主動實施，導(dǎo)致了企業(yè)信息安全管理體系建設(shè)工作的沒能與相關(guān)體系升級換代同步進行。3、企業(yè)信息管理建設(shè)滯后對于相關(guān)部門而言，信息安全管理常常局限于使用比較局部的安全產(chǎn)品進行保障，這樣就容易形成被動的使用相關(guān)辦法來應(yīng)對信息安全的漏洞風險，導(dǎo)致此類方法嚴重缺乏科學性，而且由于使用范圍的局限，從而也不完全能夠抵御安全問題給企業(yè)所帶來的運營風險。

(二)企業(yè)信息安全管理的作用

信息安全管理體系的建設(shè)是對企業(yè)來說非常重要，尤其是電信企業(yè)，通過信息安全管理體系的建設(shè)，不僅有利于提高相關(guān)部門的工作人員的信息安全意識，而且還能夠加強對信息安全的管理組織的規(guī)范管理，通過充分有效的安全信息維護，能夠幫助企業(yè)在信息管理受到嚴重威脅時可以及時消除風險，從而維護國家、企業(yè)、廣大用戶的切身利益，確保電信企業(yè)在國家信息建安全戰(zhàn)略中的中流砥柱作用。

二、電信企業(yè)信息管理建設(shè)的有效方法

(一)制定有效的信息管理計劃

在企業(yè)管理中，有效的信息安全管理，是企業(yè)發(fā)展的前提；信息管理建設(shè)需要有效的策劃：1、教育培訓在企業(yè)管理中，做好教育培訓工作是非常重要的，通過相關(guān)培訓，不但能夠提高相關(guān)人員的安全信息管理意識，強化相關(guān)人員實際操作能力，而且還可以為信息管理體系吸引大量的相關(guān)人才。2、制定信息安全管理計劃制定管理的相關(guān)計劃是企業(yè)發(fā)展中的關(guān)鍵環(huán)節(jié)，所以，為了企業(yè)的可持續(xù)發(fā)展，相關(guān)部門需要制定信息管理體系建設(shè)的標準，擬定相關(guān)計劃。

(二)電信企業(yè)信息管理建設(shè)的范圍

對于一個企業(yè)來說，確定信息管理體系的范圍是非常重要的，其需要相關(guān)部門人員根據(jù)實際情況來進行重點有效的管理，這個管理的范圍就是安全管理體系的范圍。這一范圍還可分為整體范圍與個別信息安全管理范圍，通過不同的部門可對管理組織進行劃分，并在一定的程度上進行不同力度的管理。就電信企業(yè)而言，主要涉及企業(yè)信息管理和用戶信息管理，其安全體系建設(shè)貫穿在企業(yè)運行的全過程。

(三)建立企業(yè)信息管理框架

對一個企業(yè)而言，企業(yè)的信息管理必須建立起一個嚴格的管理模式。具體步驟如下：1、信息安全管理體制的計劃在規(guī)劃信息安全管理體系時，首先的一個步驟就是對企業(yè)的信息安全管理有一個明確的計劃。這樣一來不僅能夠?qū)罄m(xù)工作做了一個提前的準備，有利于建立管理機構(gòu)，而且還能夠?qū)芾淼呢熑巫龀雒鞔_的規(guī)定，能夠更好的確立管理目標，評估管理風險。2、企業(yè)信息安全管理的實施有了一定的企業(yè)信息安全管理體系的計劃，接下來的一個重要步驟就是計劃的實施過程，過程主要有信息安全管理方法應(yīng)用和相關(guān)措施落實等。3、企業(yè)信息安全管理體制的檢查這個階段的工作開展要做好充分的準備，因為這一階段是整個計劃的關(guān)鍵階段，主要通過審計、自我評估或借助第三方審核等方法來對計劃實施的效果進行審查。

三、結(jié)束語

綜上所述，“我國電信運營企業(yè)的信息安全風險無處不在，安全形勢日益嚴峻，迫切需要系統(tǒng)、科學、有效的信息安全風險管理體系理論指導(dǎo)管理工作實踐?！蓖ㄟ^本文，我們了解到我國電信企業(yè)的信息安全管理體系方面的現(xiàn)狀以及信息安全管理的重要性，通過相關(guān)部門的共同努力，切實提高信息安全管理水平，維護好國家安全和公共利益安全，為建設(shè)信息化強國做出應(yīng)有的貢獻。

參考文獻:

[1]鄭敏.關(guān)于信息安全管理體系建設(shè)的研究[J].計算機光盤軟件與應(yīng)用,2014

篇（4）

A企業(yè)是某歐洲跨國金融公司在廣東的IT服務(wù)外包公司，主要對母公司在亞太地區(qū)的業(yè)務(wù)提供軟件開發(fā)和維護工作，企業(yè)的核心業(yè)務(wù)構(gòu)建和運行在以信息技術(shù)為基礎(chǔ)的網(wǎng)絡(luò)和系統(tǒng)上。作為金融行業(yè)的IT外包公司，提升A企業(yè)的信息安全管理水平也成為企業(yè)內(nèi)部和外部的緊迫要求。

ISO27000信息安全管理體系要求是國際標準化組織頒布的有關(guān)信息安全管理的標準，此標準采用了PDCA循環(huán)管理的方法，以求最終建立適合企業(yè)需要的信息安全管理體系。其實現(xiàn)主要通過現(xiàn)場診斷、風險評估、體系制度編寫、試運行和外部審核幾個階段，而整個項目的出發(fā)點就是完善資產(chǎn)管理。

A企業(yè)正是選擇了通過ISO27000架構(gòu)構(gòu)建信息安全體系。在ISO27000的管理框架下，資產(chǎn)是指任何對組織有價值的信息或資源，根據(jù)表現(xiàn)形式的不同，與信息相關(guān)的資產(chǎn)可分為數(shù)據(jù)、文件、軟件、硬件、服務(wù)、人員等類型。資產(chǎn)識別的正確性和準確性對于后續(xù)的風險要素評估及信息安全策略至關(guān)重要。

本項目之前，A企業(yè)有來自總部的一些信息安全方面的基本要求，但要求較為抽象、概括，并沒有在本地形成有效的管理體系。在信息資產(chǎn)管理方面，A企業(yè)就信息資產(chǎn)進行了一些定義，制定了部分規(guī)章，但不夠系統(tǒng)和完整。對于信息資產(chǎn)的管理更多地限于IT部門管理的硬件及軟件等有形資產(chǎn)的管理上，沒有從數(shù)據(jù)的角度出發(fā)，也沒有把服務(wù)、人員以及其他非IT資產(chǎn)視為信息資產(chǎn)的一部分納入信息資產(chǎn)保護的范疇。

因此，在構(gòu)建新信息安全管理體系項目中，A公司在進行資產(chǎn)識別時，將信息資產(chǎn)按照信息、文檔、軟件、硬件、人員及服務(wù)六大類進行分類。其具體實施過程為：

1、將原有的信息資產(chǎn)清單依照上述六類進行劃分。在此基礎(chǔ)上，依照公司的組織架構(gòu)和業(yè)務(wù)范圍與各部門負責人進行訪談，了解業(yè)務(wù)流程，以識別所有的信息資產(chǎn)。

2、對于每一項信息資產(chǎn)，根據(jù)“誰使用，誰負責”的原則確定責任人。由責任人負責對信息資產(chǎn)進行分類、分級。同時可設(shè)定 “維護人”，由“責任人”將具體的安全職責委派給“維護人”，但“責任人”仍須承擔資產(chǎn)安全的最終責任。

3、由信息資產(chǎn)責任人對資產(chǎn)進行分級評分。按照信息安全的三要素：機密性、完整性、可用性，對資產(chǎn)分三個要素進行賦值（如表1示）：

4、基于對每一項信息資產(chǎn)的在機密性、完整性、可用性三方面的賦值，通過矩陣計算出信息資產(chǎn)的總價值（如表2示）。

篇（5）

“我們已經(jīng)部署了防火墻、入侵檢測設(shè)備防范外部黑客入侵，采購了專用的數(shù)據(jù)防泄密軟件進行內(nèi)部信息資源管理，為什么還是會出現(xiàn)企業(yè)敏感信息外泄的問題？”

“我們的IT運營部門建立了系統(tǒng)的運行管理和安全監(jiān)管制度和體系，為什么卻遲遲難以落實？各業(yè)務(wù)部門都大力抵制相關(guān)制度和技術(shù)措施的應(yīng)用推廣。”

“我們已經(jīng)在咨詢公司的協(xié)助下建立了ISMS體系，投入了專門的人力進行安全管理和控制，并且通過了企業(yè)信息安全管理體系的認證和審核，一開始的確獲得了顯著的成效，但為什么經(jīng)過一年的運行后，卻發(fā)現(xiàn)各類安全事件有增無減？”

這些問題的出現(xiàn)往往是由于管理人員采取了“頭痛醫(yī)頭，腳痛醫(yī)腳”的安全解決方案，自然顧此失彼，難以形成有效的安全防護能力。上述的三個案例，案例一中企業(yè)發(fā)生過敏感信息外泄事件，于是采購了專用的數(shù)據(jù)防泄密軟件，卻并未制定相關(guān)的信息管理制度和進行員工保密意識培訓，結(jié)果只能是防外不防內(nèi)，還會給員工的正常工作帶來諸多不便；案例二中企業(yè)管理者認識到安全管理的重要性，要求相關(guān)部門編制了大量的管理制度和規(guī)范，然而缺乏調(diào)研分析和聯(lián)系業(yè)務(wù)的落地措施，不切實際的管理制度最終因為業(yè)務(wù)部門的排斥而束之高閣；案例三中ISMS的建立有效地規(guī)范了公司原有的技術(shù)保障體系，然而認證通過后隨著業(yè)務(wù)發(fā)展卻并未進行必要的改進和優(yōu)化，隨著時間的推移管理體系與實際工作脫節(jié)日益嚴重，各類安全隱患再次出現(xiàn)也就不足為奇。

其實，企業(yè)面臨的各種安全威脅和隱患，與人體所面臨的各種疾病有諸多類似之處，我們常說西醫(yī)治標不治本，指的就是采取分片分析的發(fā)現(xiàn)問題―分析問題―解決問題的思路處理安全威脅，通過技術(shù)手段的積累雖然可以解決很多問題，但總會產(chǎn)生疲于應(yīng)付的狀況，難以形成有效的安全保障體系；類比于中醫(yī)理論將人體看為一個互相聯(lián)系的整體，信息安全管理體系的建立正是通過全面的調(diào)研分析，充分發(fā)現(xiàn)企業(yè)面臨的各種問題和隱患，緊密聯(lián)系業(yè)務(wù)工作和安全保障需要，形成系統(tǒng)的解決方案，通過動態(tài)的維護機制形成完善的防護體系。

總體來說，信息安全管理體系是企業(yè)在整體或特定范圍內(nèi)建立信息安全方針和目標，以及完成這些目標所用方法的體系。它是基于業(yè)務(wù)風險方法，來建立、實施、運行、監(jiān)視、評審、保持和改進企業(yè)的信息安全系統(tǒng)，目的是保障企業(yè)的信息安全。它是直接管理活動的結(jié)果，表示成方針、原則、目標、方法、過程、核查表（Checklists）等要素的集合，涉及到人、程序和信息系統(tǒng)。

針對ISMS的建立，我們可以從中醫(yī)“望聞問切對癥下藥治病于未病”的三個角度來進行分析和討論：

第一，“望聞問切”，全面的業(yè)務(wù)、資產(chǎn)和風險評估是ISMS建設(shè)的基礎(chǔ)；

第二，“對癥下藥”，可落實、可操作、可驗證的管理體系是ISMS建設(shè)的核心；

第三，“治病于未病”，持續(xù)跟蹤，不斷完善的思想是ISMS持續(xù)有效的保障。

望聞問切

為了完成ISMS建設(shè)，就必然需要對企業(yè)當前信息資源現(xiàn)狀進行系統(tǒng)的調(diào)研和分析，為企業(yè)的健康把把脈，畢竟我們需要在企業(yè)現(xiàn)有的信息條件下進行ISMS建設(shè)。

首先，自然是對企業(yè)現(xiàn)有資源的梳理，重點可以從以下幾個方面入手：

1.業(yè)務(wù)主體（設(shè)備、人員、軟件等）。

業(yè)務(wù)主體是最直觀、最直接的信息系統(tǒng)資源，比如多少臺服務(wù)器、多少臺網(wǎng)絡(luò)設(shè)備，都屬于業(yè)務(wù)主體的范疇，按照業(yè)務(wù)主體本身的價值進行一個估值，也是進行整個信息系統(tǒng)資源價值評估的基礎(chǔ)評估。由于信息技術(shù)日新月異的變化，最好的主體未必服務(wù)于最核心的信息系統(tǒng)，同時價值最昂貴的設(shè)備未必最后對企業(yè)的價值也最大。在建立體系的過程中，對業(yè)務(wù)設(shè)備的盤點和清理是很重要的，也是進行基礎(chǔ)業(yè)務(wù)架構(gòu)優(yōu)化的一個重要數(shù)據(jù)。

2.業(yè)務(wù)數(shù)據(jù)（服務(wù)等）。

業(yè)務(wù)數(shù)據(jù)是現(xiàn)在企業(yè)信息化負責人逐步關(guān)注的方面，之前我們只關(guān)注設(shè)備的安全，網(wǎng)絡(luò)的良好工作狀態(tài)，往往忽略了數(shù)據(jù)對業(yè)務(wù)和企業(yè)的重要性。現(xiàn)在，核心的業(yè)務(wù)數(shù)據(jù)真正成為信息工作人員最關(guān)心的信息資產(chǎn)，業(yè)務(wù)數(shù)據(jù)存在于具體設(shè)備的載體之上，很多還需要軟件容器，所以，單純地看業(yè)務(wù)數(shù)據(jù)意義也不大，保證業(yè)務(wù)數(shù)據(jù)，必須保證其運行的平臺和容器都是正常的，所以，業(yè)務(wù)數(shù)據(jù)也是我們重點分析的方面之一。

3.業(yè)務(wù)流程。

企業(yè)所有的信息資源都是通過業(yè)務(wù)流程實現(xiàn)其價值的，如果沒有業(yè)務(wù)流程，所有的設(shè)備和數(shù)據(jù)就只是一堆廢銅爛鐵。所以，對業(yè)務(wù)流程的了解和分析也是很重要的一個方面。

以上三個方面是企業(yè)信息資源的三個核心方面，孤立地看待任何一個方面都是毫無意義的。

其次，當我們對企業(yè)的當前信息資產(chǎn)進行分析以后需要對其價值進行評估。

評估的過程就是對當前的信息資產(chǎn)進行量化的數(shù)據(jù)分析，進行安全賦值，我們將信息資產(chǎn)的安全等級劃分為 5 級，數(shù)值越大，安全性要求越高，5 級的信息資產(chǎn)定義非常重要，如果遭到破壞可以給企業(yè)的業(yè)務(wù)造成非常嚴重的損失。1 級的信息資產(chǎn)定義為不重要，其被損害不會對企業(yè)造成過大影響，甚至可以忽略不計。對信息資產(chǎn)的評估在自身價值、信息類別、保密性要求、完整性要求、可用性要求和法規(guī)合同符合性要求等 5 個方面進行評估賦值，最后信息資產(chǎn)的賦值取 5 個屬性里面的最大值。

這里需要提出的是，這里不僅僅應(yīng)該給硬件、軟件、數(shù)據(jù)賦值，業(yè)務(wù)流程作為核心的信息資源也必須賦值，而且?guī)讉€基本要素之間的安全值是相互疊加的，比如需要運行核心流程的交換機的賦值，是要高于需要運行核心流程的交換機的賦值的。很多企業(yè)由于歷史原因，運行核心業(yè)務(wù)流程的往往是比較老的設(shè)備，在隨后的分析可以看得出來，由于其年代的影響，造成資產(chǎn)的風險增加，也是需要重點注意的一點。

最后，對企業(yè)當前信息資產(chǎn)的風險評估。

風險評估是 ISMS 建立過程中非常重要的一個方面，我們對信息資產(chǎn)賦值的目的就是為了計算風險值，從而我們可以看出整個信息系統(tǒng)中風險最大的部分在哪里。對于風險值的計算有個簡單的參考公式：風險值 = 資產(chǎn)登記 + 威脅性賦值 + 脆弱性賦值（特定行業(yè)也有針對性的經(jīng)驗公式）。

ISMS 建設(shè)的最終目標是將整個信息系統(tǒng)的風險值控制在一定范圍之內(nèi)。

對癥下藥

經(jīng)過上階段的調(diào)研和分析，我們對企業(yè)面臨的安全威脅和隱患有一個全面的認識，本階段的ISMS建設(shè)重點根據(jù)需求完成“對癥下藥”的工作：

首先，是企業(yè)信息安全管理體系的設(shè)計和規(guī)劃。

在風險評估的基礎(chǔ)上探討企業(yè)信息安全管理體系的設(shè)計和規(guī)劃，根據(jù)企業(yè)自身的基礎(chǔ)和條件建立ISMS，使其能夠符合企業(yè)自身的要求，也可以在企業(yè)本身的環(huán)境中進行實施。管理體系的規(guī)范針對不同企業(yè)一定要具體化，要和企業(yè)自身具體工作相結(jié)合，一旦缺乏結(jié)合性ISMS就會是孤立的，對企業(yè)的發(fā)展意義也就不大了。我們一般建議規(guī)范應(yīng)至少包含三層架構(gòu)，見圖1。

圖1 信息安全管理體系

一級文件通過綱領(lǐng)性的安全方針和策略文件描述企業(yè)信息安全管理的目標、原則、要求和主要措施等頂層設(shè)計；二級文件主要涉及業(yè)務(wù)工作、工程管理、系統(tǒng)維護工作中具體的操作規(guī)范和流程要求，并提供模塊化的任務(wù)細分，將其細化為包括“任務(wù)輸入”、“任務(wù)活動”、“任務(wù)實施指南”和“任務(wù)輸出”等細則，便于操作人員根據(jù)規(guī)范進行實施和管理人員根據(jù)規(guī)范進行工作審核；三級文件則主要提供各項工作和操作所使用的表單和模板，以便各級工作人員參考使用。

同時，無論是制定新的信息管理規(guī)章制度還是進行設(shè)備的更換，都要量力而行，依據(jù)自己實際的情況來完成。例如，很多公司按照標準設(shè)立了由企業(yè)高級領(lǐng)導(dǎo)擔任組長的信息安全領(lǐng)導(dǎo)小組和由信息化管理部門、后勤安全部門和審計部門組成的信息安全辦公室，具體負責企業(yè)的信息安全管理工作，在各級信息化技術(shù)部門均設(shè)置系統(tǒng)管理員、安全管理員、安全審計員，從管理結(jié)構(gòu)設(shè)計上保證人員權(quán)限互相監(jiān)督和制約。但是事實上繁多的職能部門和人員不僅未能提升企業(yè)信息系統(tǒng)安全性，反而降低了整個信息系統(tǒng)的工作效率。

其次，是企業(yè)信息安全管理體系的實施和驗證

實施過程是最復(fù)雜的，實施之后需要進行驗證。實施是根據(jù) ISMS 的設(shè)計和體系規(guī)劃來做的，是個全面的信息系統(tǒng)的改進工作，不是單獨的設(shè)備更新，也不是單獨的管理規(guī)范的，需要企業(yè)從上至下，全面地遵照執(zhí)行，要和現(xiàn)有系統(tǒng)有效融合。

這里的現(xiàn)有系統(tǒng)既包含了現(xiàn)有的業(yè)務(wù)系統(tǒng)，也包含了現(xiàn)有的管理體制。畢竟ISMS是從國外傳入的思路和規(guī)范，雖然切合國人中醫(yī)理論的整體思維方式，但在國內(nèi)水土不服是正常的，主要表現(xiàn)就在于是否符合企業(yè)本身的利益，是否能夠和企業(yè)本身的業(yè)務(wù)、管理融合起來。往往最難改變的還是企業(yè)管理者的固有思維，要充分理解到進行信息安全管理體系的建設(shè)是一個為企業(yè)長久發(fā)展必須進行的工程。

到目前為止，和企業(yè)本身業(yè)務(wù)融合并沒有完美的解決方案，需要企業(yè)領(lǐng)導(dǎo)組織本身、信息系統(tǒng)技術(shù)人員、業(yè)務(wù)人員和負責 ISMS 實施的工程人員一同討論決定適合企業(yè)自身的實施方案

最后，是企業(yè)信息安全管理體系的認證和審核

針對我們周圍很多重認證，輕實施的思想，這里有必要談一下這個問題，認證僅代表認證過程中的信息體系是符合 ISO27000（或者其他國家標準）的規(guī)范要求，而不是說企業(yè)通過認證就是一個在信息安全管理體系下工作的信息系統(tǒng)了。更重要的是貫徹實施整個體系的管理方式和管理方法。只有安全的思想深入人心了，管理制度才能做到“不只是掛在墻上的一張紙，放在抽屜里的一本書”。

“治病于未病”

企業(yè)信息安全管理體系需要動態(tài)改進和和優(yōu)化，畢竟企業(yè)和信息系統(tǒng)是不斷發(fā)展和變化的，ISMS 是建立在企業(yè)和信息系統(tǒng)基礎(chǔ)之上的，也需要有針對性地發(fā)展和變化，道高一尺魔高一丈，必須通過各種方法，進行不斷地改進和完善，才有可能保證ISMS 系統(tǒng)的持續(xù)作用。

就像我們前面案例中提到的某公司一樣，缺乏了持續(xù)改進和跟蹤完善的手段，經(jīng)過測評的管理體系僅僅一年之后就失去了大部分作用。對于這些企業(yè)及未來即將建立ISMS的企業(yè)，為了持續(xù)運轉(zhuǎn)ISMS，我們認為可以主要從以下三個方面著手：

第一，人員。

人員對于企業(yè)來講是至關(guān)重要且必不可缺的，在ISMS建立過程中，選擇合適的人員參與體系建立是ISMS建立成功的要素之一。在持續(xù)運轉(zhuǎn)過程中，人員都應(yīng)該投入多少呢？通常在體系建立過程中，我們會建議所有體系管理范圍內(nèi)的部門各自給出一名信息安全代表作為安全專員配合體系建立實施，且此名專員日后要持續(xù)保留，負責維護各自部門的信息資產(chǎn)、安全事件跟蹤匯報、配合內(nèi)審與外審、安全相關(guān)記錄收集維護等信息安全相關(guān)工作。

但很多事情是一種企業(yè)文化的培養(yǎng)，需要更多的人員甚至全員參與，例如面向全員的定期信息安全意識培訓，面向?qū)I(yè)人員的信息安全技術(shù)培訓等，因此對于企業(yè)來講，除了必要的體系維護人員，在ISMS持續(xù)運轉(zhuǎn)過程中，若能將企業(yè)內(nèi)的每名員工都納入到信息安全管理范圍內(nèi)，培養(yǎng)出“信息安全，人人有責”的企業(yè)氛圍，則會為企業(yè)帶大巨大的潛在收益。且有些企業(yè)在面向自身員工展開信息安全各項活動的同時，還會納入客戶、合作伙伴、供應(yīng)商等需要外界相關(guān)人員的參與，對外也樹立起自身對重視信息安全的形象，大力降低外界給企業(yè)帶來的風險。

第二，體系。

ISMS自身的持續(xù)維護，往往是企業(yè)建立后容易被忽視的內(nèi)容，一套信息安全管理文檔并不是在日益變化的企業(yè)中一直適用的，對于信息資產(chǎn)清單、風險清單、體系中的管理制度流程等文檔每年至少需要進行一次正式的評審回顧，這項活動由于也是在相關(guān)標準中明確指出的，企業(yè)通常不會忽略；但日常對于這些文檔記錄的更新也是必不可少的，尤其是重要資產(chǎn)發(fā)生重大變更，組織業(yè)務(wù)、部門發(fā)生重大調(diào)整時，都最好對ISMS進行重新的評審，必要時重新進行風險評估，有助于發(fā)現(xiàn)新出現(xiàn)的重大風險，并且可以將資源合理調(diào)配，將有限的資源使用到企業(yè)信息安全的“短板”位置。

唯一不變的就是變化，企業(yè)每天所面臨的風險同樣也不是一成不變的，在更新維護信息資產(chǎn)清單的同時，對風險清單的回顧也是不可疏忽的，而這點往往是很多信息安全專員容易忽視的內(nèi)容。持續(xù)的維護才能保證ISMS的運轉(zhuǎn)，有效控制企業(yè)所面臨的各種風險。

第三，工具。

篇（6）

一、前言

隨著金川集團公司跨國經(jīng)營戰(zhàn)略的實施，企業(yè)信息化進程不斷深入，企業(yè)信息安全己經(jīng)引起公司領(lǐng)導(dǎo)的的高度重視，但依然存在不少問題。調(diào)查結(jié)果表明，造成網(wǎng)絡(luò)安全事件發(fā)生的原因有很多，一是安全技術(shù)保障體系尚不完善，企業(yè)花了大量的金錢購買了信息安全設(shè)備，但是技術(shù)保障不成體系，達不到預(yù)想的目標;二是應(yīng)急反應(yīng)體系沒有經(jīng)常化、制度化;三是企業(yè)信息安全的標準、制度建設(shè)滯后。其中，由于未修補或防范軟件漏洞導(dǎo)致發(fā)生安全事件的占安全事件總數(shù)的80%，登錄密碼過于簡單或未修改密碼導(dǎo)致發(fā)生安全事件的占19%。近年來，雖然使用單位對信息網(wǎng)絡(luò)安全管理工作的重視程度普遍提高，80%的被調(diào)查單位有專職或兼職的安全管理人員，但是，很多企業(yè)存在安全觀念薄弱、安全管理員缺乏培訓、安全經(jīng)費投入不足和安全產(chǎn)品不能滿足要求等問題，也說明目前安全管理水平還比較低。因此現(xiàn)代企業(yè)迫切需要建立信息資源安全管理體系。

二、企業(yè)信息資源安全管理體系構(gòu)建

1、企業(yè)信息安全組織管理

企業(yè)信息安全組織體系定義為一個三層的組織，組織架構(gòu)如圖所示:

企業(yè)信息安全組織

l)總經(jīng)理通過總經(jīng)辦負責企業(yè)信息、安全的決策事項。2)總經(jīng)理任命一名信息安全主管負責企業(yè)信息安全的風險管理，該主管領(lǐng)導(dǎo)一個有各個部門主要負責人參加的信息安全管理小組維護企業(yè)信息安全管理體系、管理企業(yè)信息安全風險。3)總經(jīng)理任命一名信息安全審計師，負責企業(yè)信息安全活動的審計。4)行政部門、業(yè)務(wù)部門和分支機構(gòu)執(zhí)行信息安全管理體系中的相應(yīng)安全政策，并在信息安全管理主管的領(lǐng)導(dǎo)下，實施風險管理計劃。各個部門負責人有義務(wù)向信息安全主管報告所管轄部門的信息安全狀況，信息安全主管應(yīng)定期在組織范圍內(nèi)和向上級機關(guān)報告企業(yè)信息安全狀況。

2、企業(yè)信息安全政策管理

根據(jù)企業(yè)信息安全風險分析的結(jié)果和信息安全政策制定的原則，設(shè)計信息安全政策體系包括以下幾點：（1）企業(yè)信息安全風險管理政策：a)信息安全風險定義，包括風險等級定義和安全類別定義;b)信息安全風險評估執(zhí)行要求，包括時問周期要求、范圍要求、基于事件的風險評估要求:c)信息安全風險評估責任，包括信息安全管理人員責任和業(yè)務(wù)部門責任。（2）企業(yè)信息安全體系管理政策：a)管理體系的規(guī)劃，包括規(guī)劃的時機、規(guī)劃的內(nèi)容、規(guī)劃的依據(jù)、規(guī)劃的責任人:b)管理體系的實施，包括、培訓、執(zhí)行獎懲。c)管理體系的驗證，包括周期管理評審、安全審計、事件評審、殘留風險評估。d)管理體系的改進，包括分析和變更控制。（3）病毒抵御安全政策：a)操作程序一運行網(wǎng)絡(luò)管理人員日常工作的程序。這部分安全政策主要控制的風險是不規(guī)范的管理活動造成無效或低效的管理。b)關(guān)鍵資源監(jiān)控一識別出關(guān)鍵設(shè)備并對關(guān)鍵設(shè)備的運行狀態(tài)進行監(jiān)控。這部分安全政策主要控制的風險是關(guān)鍵資源異常情況不能被及時發(fā)現(xiàn)和處理。c)軟件系統(tǒng)維護一對軟件系統(tǒng)及時地升級和打補丁。這部分安全政策主要控制的風險是軟件系統(tǒng)未及時升級和/或打補丁而造成的信息故障或者安全事故。d)敏感資料存儲一對在業(yè)務(wù)進行過程中產(chǎn)生的敏感信息的存放管理。這部分安全政策主要控制的風險是由于對敏感資料存儲不當導(dǎo)致資料的丟失或泄漏。

3、企業(yè)信息安全事件管理

目前，沒有任何一種具有代表性的信息安全策略或防護措施可對信息、信息系統(tǒng)、服務(wù)或網(wǎng)絡(luò)提供絕對的保護。即使采取了防護措施，仍可能存在殘留的弱點，使得信息安全防護變得無效，從而導(dǎo)致信息安全事件發(fā)生，并對企業(yè)的業(yè)務(wù)運行直接或間接地產(chǎn)生負面影響。此外，以前未被認識到的威脅也將會不可避免地發(fā)生。企業(yè)如果對如何應(yīng)對這些事件沒有作好充分準備，其任何實際響應(yīng)的效率都會大打折扣，甚至還可能增加潛在的業(yè)務(wù)負面影響。因此，企業(yè)應(yīng)著重做好信息安全事件管理工作。信息安全事件管理方案的必企業(yè)應(yīng)著重做好信息安全事件管理工作。信息安全事件管理方案的必要過程包括：（1）發(fā)現(xiàn)和報告發(fā)生的信息安全事態(tài)，無論是由企業(yè)人員／顧客引起的還是自動發(fā)生的（如防火墻警報）。（2）收集有關(guān)信息安全事態(tài)的信息，由企業(yè)的運行支持組人員進行評估，確定該事態(tài)屬于信息安全事件還是發(fā)生了誤報。確認該事態(tài)是否屬于信息安全事件，如果是，則立即作出響應(yīng)，同時啟動必要的法律取證分析、溝通活動。（3）進行評審以確定該信息安全事件是否處于控制下。（4）如果處于控制下，則啟動任何所需要的進一步的后續(xù)響應(yīng)，以確保所有相關(guān)信息準備完畢，供事件解決后評審所用。（5）如果不在控制下，則采取“危機求助”活動并召集相關(guān)人員，如企業(yè)中負責業(yè)務(wù)連續(xù)性的管理者和工作組。（6）在整個階段按要求進行上報，以便進一步評估和決策。（7）確保所有相關(guān)人員，正確記錄所有活動以備后面分析所用。（8）確保對電子證據(jù)進行收集和安全保存，同時確保電子證據(jù)的安全保存得到持續(xù)監(jiān)視，以備法律起訴或內(nèi)部處罰所需。（9）確保包括信息安全事件追蹤和事件報告更新的變更控制制度得到維護，從而使得信息安全事態(tài)／事件數(shù)據(jù)庫保持最新。

4、企業(yè)信息安全技術(shù)管理

我們所構(gòu)建的信息安全管理體系中，不能忽視技術(shù)的作用，雖然只使用技術(shù)控制不能保證一個信息安全環(huán)境，但是在通常情況下，它是信息安全項目的基礎(chǔ)部分。（1）密碼服務(wù)技術(shù)。密碼服務(wù)技術(shù)為密碼的有效應(yīng)用提供技術(shù)支持。通常密碼服務(wù)系統(tǒng)由密碼芯片、密碼模塊、密碼機或軟件，以及密碼服務(wù)接口構(gòu)成。通常，企業(yè)會涉及以下幾個方面的密碼應(yīng)用：數(shù)字證書運算、密鑰加密運算、數(shù)據(jù)傳輸、數(shù)據(jù)儲存、數(shù)字簽名、數(shù)字信封。（2）故障恢復(fù)技術(shù)。故障恢復(fù)的主要措施有：群集配置，由多臺計算機組成群集結(jié)構(gòu)，盡可能消除整個系統(tǒng)可能存在的單點故障；雙機熱備份，在任何一臺設(shè)備失效的情況下，按照預(yù)先定義的規(guī)則快速切換至相應(yīng)的備份設(shè)備，維持業(yè)務(wù)的正常運行；故障恢復(fù)管理，由專門的集群軟件進行管理和監(jiān)控，使應(yīng)用系統(tǒng)在任何軟硬件組成單元發(fā)生故障時，能夠根據(jù) 故障情況重新分配任務(wù)。（3）惡意代碼防范技術(shù)：惡意代碼防范技術(shù)包括四大系統(tǒng)：病毒查殺系統(tǒng)、網(wǎng)關(guān)防毒系統(tǒng)、群件防毒系統(tǒng)、集中管理系統(tǒng)。（4）入侵檢測技術(shù)。入侵檢測系統(tǒng)是實現(xiàn)入侵檢測功能的一系列的軟件、硬件的組合。入侵檢測系統(tǒng)以實時方式監(jiān)測網(wǎng)絡(luò)通信，對其進行分析并實時安全預(yù)警，從而使企業(yè)能夠有效管理內(nèi)部人員和資源，并對外部攻擊進行早期預(yù)警和跟蹤，有效保障系統(tǒng)安全?；谥鳈C的入侵檢測系統(tǒng)通常以系統(tǒng)日志、應(yīng)用程序日志等審計記錄文件作為數(shù)據(jù)源。通過比較這些審計記錄文件與攻擊簽名是否匹配，如果匹配立即報警采取行動.基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)把原始的網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源。它是利用網(wǎng)絡(luò)適配器來實時監(jiān)視并分析通過網(wǎng)絡(luò)進行傳輸?shù)乃型ㄐ艠I(yè)務(wù)。（5）掃描與分析技術(shù)。端口掃描工具能識別網(wǎng)絡(luò)上活動的計算機，同樣也可以識別這些計算機上的活動端口和服務(wù)?？梢話呙杼囟愋偷挠嬎銠C、協(xié)議和資源，也可進行普遍掃描。漏洞掃描可以掃描網(wǎng)絡(luò)并得到非常詳細的信息?？梢宰R別暴露的用戶名和組，顯示開放的網(wǎng)絡(luò)共享，并暴露配置問題和其他服務(wù)器漏洞。內(nèi)容過濾器也能有效地保護機構(gòu)系統(tǒng)，使其不受誤用和無意的拒絕服務(wù)。

5、企業(yè)信息安全培訓的必要性

公司目前很多崗位和部門的員工都從事涉密數(shù)據(jù)相關(guān)工作，有很多數(shù)據(jù)和信息涉及到公司的機密和知識產(chǎn)權(quán)，但是大多數(shù)員工信息安全意識差，在平時的工作中在意識上和實際工作中存在很多問題，導(dǎo)致涉密數(shù)據(jù)的外漏，給公司的生產(chǎn)經(jīng)營造成不可挽回的損失。在有管理組織、政策制度和技術(shù)保障的情況下，通過對涉密數(shù)據(jù)相關(guān)工作人員的信息安全意識和信息安全操作培訓是非常必要的。

三、結(jié)語

總之，企業(yè)信息安全管理體系是一個企業(yè)日常經(jīng)營和持續(xù)發(fā)展的基本保證，也是企業(yè)戰(zhàn)略和管理的重要環(huán)節(jié)。建立信息安全管理體系的目的就是降低信息風險對企業(yè)的危害。并將企業(yè)信息系統(tǒng)投資和商業(yè)利益最大化。信息安全不只是個技術(shù)問題，而更多的是商業(yè)、管理和法律問題。實現(xiàn)信息安全不僅僅需要采用技術(shù)措施，還需要更多地借助于技術(shù)以外的其他手段。

篇（7）

為了貫徹國家對信息系統(tǒng)安全保障工作的要求以及等級化保護堅持“積極防御、綜合防范”的方針，需要全面提高信息安全防護能力。貴州廣電網(wǎng)絡(luò)信息系統(tǒng)建設(shè)需要進行整體安全體系規(guī)劃設(shè)計，全面提高信息安全防護能力，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保護國家利益，促進貴州廣電網(wǎng)絡(luò)信息化的深入發(fā)展。

 

1安全規(guī)劃的目標和思路

 

貴州廣電網(wǎng)絡(luò)目前運營并管理著兩張網(wǎng)絡(luò)：辦公網(wǎng)與業(yè)務(wù)網(wǎng);其中辦公網(wǎng)主要用于貴州廣電網(wǎng)絡(luò)各部門在線辦公，重要的辦公系統(tǒng)為OA系統(tǒng)、郵件系統(tǒng)等;業(yè)務(wù)網(wǎng)主要提供貴州廣電網(wǎng)絡(luò)各業(yè)務(wù)部門業(yè)務(wù)平臺，其中核心業(yè)務(wù)系統(tǒng)為BOSS系統(tǒng)、互動點播系統(tǒng)、安全播出系統(tǒng)、內(nèi)容集成平臺以及寬帶系統(tǒng)等。

 

基于對貴州廣電網(wǎng)絡(luò)信息系統(tǒng)的理解和國家信息安全等級保護制度的認識，我們認為，信息安全體系是貴州廣電網(wǎng)絡(luò)信息系統(tǒng)建設(shè)的重要組成部分，是貴州廣電網(wǎng)絡(luò)業(yè)務(wù)開展的重要安全屏障，它是一個包含貴州廣電網(wǎng)絡(luò)實體、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理等五個層面，包括保護、檢測、響應(yīng)、恢復(fù)四個方面，通過技術(shù)保障和管理制度建立起來的可靠有效的安全體系。

 

1.1設(shè)計目標

 

貴州廣電網(wǎng)絡(luò)就安全域劃分已經(jīng)進行的初步規(guī)劃，在安全域整改中初見成效，然而，安全系統(tǒng)建設(shè)不僅需要建立重要資源的安全邊界，而且需要明確邊界上的安全策略，提高對核心信息資源的保護意識。貴州廣電網(wǎng)絡(luò)相關(guān)安全管理體系的建設(shè)還略顯薄弱，管理細則文件亟需補充，安全管理人員亟需培訓。因此，本次規(guī)劃重點在于對安全管理體系以及目前的各個業(yè)務(wù)系統(tǒng)進行了全面梳理，針對業(yè)務(wù)系統(tǒng)中安全措施進行了重點分析，綜合貴州廣電網(wǎng)絡(luò)未來業(yè)務(wù)發(fā)展的方向，進行未來五年的信息安全建設(shè)規(guī)劃。

 

1.2設(shè)計原則

 

1.2.1合規(guī)性原則

 

安全設(shè)計要符合國家有關(guān)標準、法規(guī)要求，符合廣電總局對信息安全系統(tǒng)的等級保護技術(shù)與管理要求。良好的信息安全保障體系必然是分為不同等級的，包括對信息數(shù)據(jù)保密程度分級，對用戶操作權(quán)限分級，對網(wǎng)絡(luò)安全程度分級(安全子網(wǎng)和安全區(qū)域),對系統(tǒng)實現(xiàn)結(jié)構(gòu)的分級(應(yīng)用層、網(wǎng)絡(luò)層、鏈路層等)，從而針對不同級別的安全對象，提供全面、可選的安全技術(shù)和安全體制，以滿足貴州廣電網(wǎng)絡(luò)業(yè)務(wù)網(wǎng)、辦公網(wǎng)系統(tǒng)中不同層次的各種實際安全需求。

 

1.2.2技管結(jié)合原則

 

信息安全保障體系是一個復(fù)雜的系統(tǒng)工程，涉及人、技術(shù)、操作等要素，單靠技術(shù)或單靠管理都不可能實現(xiàn)。因此，必須將各種安全技術(shù)與運行管理機制、人員思想教育與技術(shù)培訓、安全規(guī)章制度建設(shè)相結(jié)合。

 

1.2.3實用原則

 

安全是為了保障業(yè)務(wù)的正常運行，不能為了安全而妨礙業(yè)務(wù)，同時設(shè)計的安全措施要可以落地實現(xiàn)。

 

1.3設(shè)計依據(jù)

 

1.3.1“原則”符合法規(guī)要求

 

依據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例K國務(wù)院147號令)、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)[20〇3]27號)、《關(guān)于信息安全等級保護工作的實施意見》(公通字[2004]66號)、《信息安全等級保護管理辦法》(公通字[2007]43號)和GB/T22240-2009《信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南》、GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》、《廣播電視安全播出管理規(guī)定》(廣電總局62號令)、GDJ038-CATV|有線網(wǎng)絡(luò)。

 

2011《廣播電視播出相關(guān)信息系統(tǒng)等級保護基本要求》，對貴州省廣播電視相關(guān)信息系統(tǒng)安全建設(shè)進行規(guī)劃。

 

1.3.2“策略”符合風險管理

 

風險管理是基于“資產(chǎn)-價值-漏洞-風險-保障措施”的思想進行保障的。風險評估與管理的理論與方法已經(jīng)成為國際信息安全的標準。

 

風險管理是靜態(tài)的防護策略，是在對方攻擊之前的自我鞏固的過程。風險分析的核心是發(fā)現(xiàn)信息系統(tǒng)的漏洞，包括技術(shù)上的、管理上的，分析面臨的威脅，從而確定防護需求，設(shè)計防護的措施，具體的措施是打補丁，還是調(diào)整管理流程，或者是增加、增強某種安全措施，要根據(jù)用戶對風險的可接受程度，這樣就可以與安全建設(shè)的成本之間做一個平衡。

 

1.3.3“措施”符合P2DR模型

 

美國ISS公司(IntemetSecuritySystem，INC)設(shè)計開發(fā)的P2DR模型包括安全策略(Policy)、檢測(Detection)、防護(Protection)和響應(yīng)(Response)四個主要部分，是一個可以隨著網(wǎng)絡(luò)安全環(huán)境的變化而變化的、動態(tài)的安全防御系統(tǒng)。安全策略是整個P2DR模型的中樞，根據(jù)風險分析產(chǎn)生的安全策略描述了系統(tǒng)中哪些資源要得到保護，以及如何實現(xiàn)對它們的保護等，策略是模型的核心，所有的防護、檢測和響應(yīng)都是依據(jù)安全策略實施的。

 

檢測(Detection)、防護(Protection)和響應(yīng)(Response)三個部分又構(gòu)成一個變化的、動態(tài)的安全防御體系。P2DR模型是在整體的安全策略的控制和指導(dǎo)下，在綜合運用防護工具(如防火墻、身份認證、加密等)的同時，利用檢測工具(如漏洞評估、入侵檢測等)了解和評估系統(tǒng)的安全狀態(tài)，通過適當?shù)姆磻?yīng)將系統(tǒng)調(diào)整至“最安全”和“風險最低”的狀態(tài)，在安全策略的指導(dǎo)下保證信息系統(tǒng)的安全[3]。

 

1.4安全規(guī)劃體系架構(gòu)

 

在進行了規(guī)劃“原則”、“策略”、“措施”探討的基礎(chǔ)上，我們設(shè)計貴州廣電網(wǎng)絡(luò)的安全保障體系架構(gòu)為“一個中心、兩種手段”。

 

“一個中心”，以安全管理中心為核心，構(gòu)建安全計算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)，確保業(yè)務(wù)系統(tǒng)能夠在安全管理中心的統(tǒng)一管控下運行，不會進入任何非預(yù)期狀態(tài)，從而防止用戶的非授權(quán)訪問和越權(quán)訪問，確保業(yè)務(wù)系統(tǒng)的安全。

 

“兩種手段”，是安全技術(shù)與安全管理兩種手段，其中安全技術(shù)手段是安全保障的基礎(chǔ)，安全管理手段是安全技術(shù)手段真正發(fā)揮效益的關(guān)鍵，管理措施的正確實施同時需要有技術(shù)手段來監(jiān)管和驗證，兩者相輔相成，缺一不可。

 

2安全保陳方案規(guī)劃

 

2.1總體設(shè)計

 

貴州廣電網(wǎng)絡(luò)的安全體系作為信息安全的技術(shù)支撐措施，分為五個方面：

 

邊界防護體系：安全域劃分，邊界訪問控制策略的部署，主要是業(yè)務(wù)核心資源的邊界，運維人員的訪問通道。

 

行為審計體系：通過身份鑒別、授權(quán)管理、訪問控制、行為曰志等手段，保證用戶行為的合規(guī)性。

 

安全監(jiān)控體系：監(jiān)控網(wǎng)絡(luò)中的異常，維護業(yè)務(wù)運行的安全基線，包括安全事件與設(shè)備故障，也包括系統(tǒng)漏洞與升級管理。

 

公共安全輔助：作為整個網(wǎng)絡(luò)信息安全的基礎(chǔ)服務(wù)系統(tǒng)，包括身份認證系統(tǒng)、補丁管理系統(tǒng)以及漏洞掃描系統(tǒng)等。

 

IT基礎(chǔ)設(shè)施：提供智能化、彈能力的基礎(chǔ)設(shè)施，主要的機房的智能化、服務(wù)器的虛擬化、存儲的虛擬化等。

 

2.2安全域劃分

 

劃分安全域的方法是首先區(qū)分網(wǎng)絡(luò)功能區(qū)域，服務(wù)器資源區(qū)、網(wǎng)絡(luò)連接區(qū)、用戶接入?yún)^(qū)、運維管理區(qū)、對外公共服務(wù)區(qū);其次是在每個區(qū)域中，按照不同的安全需求區(qū)分不同的業(yè)務(wù)與用戶，進一步劃分子區(qū)域;最后，根據(jù)每個業(yè)務(wù)應(yīng)用系統(tǒng)，梳理其用戶到服務(wù)器與數(shù)據(jù)庫的網(wǎng)絡(luò)訪問路徑，通過的域邊界或網(wǎng)絡(luò)邊界越少越好。

 

Z3邊界防護體系規(guī)劃

 

邊界包括網(wǎng)絡(luò)邊界、安全域邊界、用戶接口邊界(終端與服務(wù)器)、業(yè)務(wù)流邊界，邊界上部署訪問控制措施，是防止非授權(quán)的“外部”用戶訪問“里面”的資源，因此分析業(yè)務(wù)的訪問流向，是訪問控制策略設(shè)計的依據(jù)。

 

2.3.1邊界措施選擇

 

在邊界上我們建議四種安全措施：

 

1.網(wǎng)絡(luò)邊界：與外部網(wǎng)絡(luò)的邊界是安全防護的重點，我們建議采用統(tǒng)一安全網(wǎng)關(guān)(UTM),從網(wǎng)絡(luò)層到應(yīng)用層的安全檢測，采用防火墻(FW)部署訪問控制策略，采用入侵防御系統(tǒng)(IPS)部署對黑客入侵的檢測，采用病毒網(wǎng)關(guān)(AV)部署對病毒、木馬的防范;為了方便遠程運維工作，與遠程辦公實施，在網(wǎng)絡(luò)邊界上部署VPN網(wǎng)關(guān)，對遠程訪問用戶身份鑒別后，分配內(nèi)網(wǎng)地址，給予限制性的訪問授權(quán)。Web服務(wù)的SQL注入、XSS攻擊等。

 

3.業(yè)務(wù)流邊界：安全需求等級相同的業(yè)務(wù)應(yīng)用采用VLAN隔離，采用路由訪問限制策略;不同部門的接入域也采用VLAN隔離，防止二層廣播，通知可以在發(fā)現(xiàn)安全事件時，開啟不同子域的安全隔離。

 

4.終端邊界：重點業(yè)務(wù)系統(tǒng)的終端，如運維終端，采用終端安全系統(tǒng)，保證終端上系統(tǒng)的安全，如補丁的管理、黑名單軟件管理、非法外聯(lián)管理、移動介質(zhì)管理等等。

 

2.3.2策略更新管理

 

邊界是提高入侵者的攻擊“門檻”的，部署安全策略重點有兩個方面：一是有針對性。允許什么，不允許什么，是明確的;二是動態(tài)性。就是策略的定期變化，如訪問者的口令、允許遠程訪問的端口等，變化的周期越短，給入侵者留下的攻擊窗口越小。

 

2.4行為審計體系規(guī)劃

 

行為審計是指對網(wǎng)絡(luò)用戶行為進行詳細記錄，直接的好處是可以為事后安全事件取證提供直接證據(jù)，間接的好處乇兩方面：對業(yè)務(wù)操作的日志記錄，可以在曰后發(fā)現(xiàn)操作錯誤、確定破壞行為恢復(fù)時提供操作過程的反向操作，最大程度地減小損失;對系統(tǒng)操作的日志記錄，可以分析攻擊者的行為軌跡，從而判斷安全防御系統(tǒng)的漏洞所在，亡羊補牢，可以彌補入侵者下次入侵的危害。

 

行為審計主要措施包括:一次性口令、運維審計(堡壘機)、曰志審計以及網(wǎng)絡(luò)行為審計。

 

2.5安全監(jiān)控體系規(guī)劃

 

監(jiān)控體系不僅是網(wǎng)絡(luò)安全態(tài)勢展示平臺，也是安全事件應(yīng)急處理的指揮平臺。為了管理工作上的方便，在安全監(jiān)控體系上做到幾方面的統(tǒng)一：

 

1.運維與安全管理的統(tǒng)一：業(yè)務(wù)運維與安全同平臺管理，提高安全事件的應(yīng)急處理速度。

 

2.曰常安全運維與應(yīng)急指揮統(tǒng)一：隨時了解網(wǎng)絡(luò)上的設(shè)備、系統(tǒng)、流量、業(yè)務(wù)等狀態(tài)變化，不僅是日常運維發(fā)現(xiàn)異常的平臺，而且作為安全事件應(yīng)急指揮的調(diào)度平臺，隨時了解安全事件波及的范圍、影響的業(yè)務(wù)，同時確定安全措施執(zhí)行的效果。

 

3.管理與考核的統(tǒng)一：安全運維人員的工作考核就是網(wǎng)絡(luò)安全管理的曰常工作與緊急事件的處理到位，在安全事件的定位、跟蹤、處理過程中，就體現(xiàn)了安全運維人員服務(wù)的質(zhì)量。因此對安全運維平臺的行為記錄就可以為運維人員的考核提供一線的數(shù)據(jù)。

 

安全監(jiān)控措施主要包括安全態(tài)勢監(jiān)控以及安全管理平臺，2.6公共安全輔助系統(tǒng)

 

作為整個網(wǎng)絡(luò)信息安全的基礎(chǔ)服務(wù)系統(tǒng)，需要建設(shè)公共安全輔助系統(tǒng)：

 

1.身份認證系統(tǒng)：獨立于所有業(yè)務(wù)系統(tǒng)之外，為業(yè)務(wù)、運維提供身份認證服務(wù)。

 

2.補丁管理系統(tǒng)：對所有系統(tǒng)、應(yīng)用的補丁進行管理，對于通過測試的補丁、重要的補丁，提供主動推送，或強制執(zhí)行的技術(shù)手段，保證網(wǎng)絡(luò)安全基線。

 

3.漏洞掃描系統(tǒng)：對于網(wǎng)絡(luò)上設(shè)備、主機系統(tǒng)、數(shù)據(jù)庫、業(yè)務(wù)系統(tǒng)等的漏洞要及時了解，對于不能打補丁的系統(tǒng)，要確認有其他安全策略進行防護。漏洞掃描分為兩個方面，一是系統(tǒng)本身的漏洞，二是安全域邊界部署了安全措施之后，實際用戶所能訪問到的漏洞(滲透性測試服務(wù))。

 

2.7IT基礎(chǔ)設(shè)施規(guī)劃

 

IT基礎(chǔ)設(shè)施是所有網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)服務(wù)的基礎(chǔ)，具備一個優(yōu)秀的基礎(chǔ)架構(gòu)，不僅可以快速、靈活地支撐各種業(yè)務(wù)系統(tǒng)的有效運行，而且可以極大地提高基礎(chǔ)IT資源的利用率，節(jié)省資金投入，達到環(huán)保的要求。

 

IT基礎(chǔ)設(shè)施的優(yōu)化主要體現(xiàn)在三個方面：智能機房、服務(wù)器虛擬化、存儲虛擬化。

 

3安全筐理體系規(guī)劃

 

在系統(tǒng)安全的各項建設(shè)內(nèi)容中，安全管理體系的建設(shè)是關(guān)鍵和基礎(chǔ)，建立一套科學的、可靠的、全面而有層次的安全管理體系是貴州省廣播電視信息網(wǎng)絡(luò)股份有限公司安全建設(shè)的必要條件和基本保證。

 

3_1安全管理標準依據(jù)

 

以GBAT22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》中二級、三級安全防護能力為標準，對貴州廣電網(wǎng)絡(luò)安全管理體系的建設(shè)進行設(shè)計。

 

3.2安全管理體系的建設(shè)目標

 

通過有效的進行貴州廣電網(wǎng)絡(luò)的安全管理體系建設(shè)，最終要實現(xiàn)的目標是：采取集中控制模式，建立起貴州廣電網(wǎng)絡(luò)完整的安全管理體系并加以實施與保持，實現(xiàn)動態(tài)的、系統(tǒng)的、全員參與的、制度化的、以預(yù)防為主的安全管理模式，從而在管理上確保全方位、多層次、快速有效的網(wǎng)絡(luò)安全防護。

 

3.3安全管理建設(shè)指導(dǎo)思想

 

各種標準體系文件為信息安全管理建設(shè)僅僅提供一些原則性的建議，要真正構(gòu)建符合貴州廣電網(wǎng)絡(luò)自身狀況的信息安全管理體系，在建設(shè)過程中應(yīng)當以以下思想作為指導(dǎo)：“信CATV丨有線網(wǎng)絡(luò)息安全技術(shù)、信息安全產(chǎn)品是信息安全管理的基礎(chǔ)，信息安全管理是信息安全的關(guān)鍵，人員管理是信息安全管理的核心,信息安全政策是進行信息安全管理的指導(dǎo)原則，信息安全管理體系是實現(xiàn)信息安全管理最為有效的手段。”

 

3.4安全管理體系的建設(shè)具體內(nèi)容

 

GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》(以下簡稱《基本要求》)對信息系統(tǒng)的安全管理體系提出了明確的指導(dǎo)和要求。我們應(yīng)以《基本要求》為標準，結(jié)合目前貴州廣電網(wǎng)絡(luò)安全管理體系的現(xiàn)狀，對廣電系統(tǒng)的管理機構(gòu)、管理制度、人員管理、技術(shù)手段四個方面進行建設(shè)和加強。同時，由于信息安全是一個動態(tài)的系統(tǒng)工程，所以，貴州廣電網(wǎng)絡(luò)還必須對信息安全管理措施不斷的加以校驗和調(diào)整，以使管理體系始終適應(yīng)和滿足實際情況的需要，使貴州廣電網(wǎng)絡(luò)的信息資產(chǎn)得到有效、經(jīng)濟、合理的保護。

 

貴州廣電網(wǎng)絡(luò)的安全管理體系主要包括安全管理機構(gòu)、安全管理制度、安全標準規(guī)范和安全教育培訓等方面。

 

通過組建完整的信息網(wǎng)絡(luò)安全管理機構(gòu)，設(shè)置安全管理人員，規(guī)劃安全策略、確定安全管理機制、明確安全管理原則和完善安全管理措施，制定嚴格的安全管理制度，合理地協(xié)調(diào)法律、技術(shù)和管理三種因素，實現(xiàn)對系統(tǒng)安全管理的科學化、系統(tǒng)化、法制化和規(guī)范化，達到保障貴州廣電網(wǎng)絡(luò)信息系統(tǒng)安全的目的。

 

3.5曰常安全運維3.5.1安全風險評估

 

安全風險評估是建立主動防御安全體系的重要和關(guān)鍵環(huán)節(jié)，這環(huán)的工作做好了可以減少大量的安全威脅，提升整個信息系統(tǒng)的對網(wǎng)絡(luò)災(zāi)難的免疫能力;風險評估是信息安全管理體系建立的基礎(chǔ)，是組織平衡安全風險和安全投入的依據(jù)，也是信息安全管理體系測量業(yè)績、發(fā)現(xiàn)改進機會的最重要途徑。

 

3.5.2網(wǎng)絡(luò)管理與安全管理

 

網(wǎng)絡(luò)管理與安全管理的主要措施包括：出入控制、場地與設(shè)施安全管理、網(wǎng)絡(luò)運行狀態(tài)監(jiān)控、安全設(shè)備監(jiān)控、安全事件監(jiān)控與分析、提出預(yù)防措施。

 

3.5.3備份與容災(zāi)管理

 

貴州廣電網(wǎng)絡(luò)主要關(guān)鍵業(yè)務(wù)系統(tǒng)需要雙機本地熱備、數(shù)據(jù)離線備份措施;其他相關(guān)業(yè)務(wù)應(yīng)用系統(tǒng)需要數(shù)據(jù)離線備份措施。

 

3.5.4應(yīng)急響應(yīng)計劃

 

通過建立應(yīng)急相應(yīng)機構(gòu)，制定應(yīng)急響應(yīng)預(yù)案，通過建立專家資源庫、廠商資源庫等人力資源措施，通過對應(yīng)急響應(yīng)有線網(wǎng)絡(luò)ICATV預(yù)案不低于一年兩次的演練，可以在發(fā)生緊急事件時，做到規(guī)范化操作，更快的恢復(fù)應(yīng)用和數(shù)據(jù)，并最大可能的減少損失

 

3.6安全人員管理

 

信息系統(tǒng)的運行是依靠在各級黨政機構(gòu)工作的人員來具體實施的，他們既是信息系統(tǒng)安全的主體，也是系統(tǒng)安全管理的對象。所以，要確保信息系統(tǒng)的安全，首先應(yīng)加強人事安全管理。

 

安全人員應(yīng)包括：系統(tǒng)安全管理員、系統(tǒng)管理員、辦公自動化操作人員、安全設(shè)備操作員、軟硬件維修人員和警衛(wèi)人員。

 

其中系統(tǒng)管理員、系統(tǒng)安全管理員必須由不同人員擔當。3.7技術(shù)安全管理

 

主要措施包括：軟件管理、設(shè)備管理、備份管理以及技術(shù)文檔管理。

 

4安全規(guī)劃分期建設(shè)路線

 

信息安全保障重要的是過程，而不一定是結(jié)果，重要的是安全意識的提高，而不一定是安全措施的多少。因此，信息安全建設(shè)也應(yīng)該從保障業(yè)務(wù)運營為目標，提高用戶自身的安全意識為思路，根據(jù)業(yè)務(wù)應(yīng)用的模式與規(guī)模逐步、分階段建設(shè)，同時還要符合國家與廣電總局關(guān)于等級保護的技術(shù)與管理要求。

 

4.1主要的工作內(nèi)容

 

根據(jù)安全保障方案規(guī)劃的設(shè)計，貴州廣電網(wǎng)絡(luò)的信息安全建設(shè)分為如下幾個方面的內(nèi)容：

 

1.網(wǎng)絡(luò)優(yōu)化改造:主要是安全域的劃分，網(wǎng)絡(luò)結(jié)構(gòu)的改造。

 

2.安全措施部署:邊界隔離措施部署，行為審計系統(tǒng)部署、安全監(jiān)控體系部署。

 

3.基礎(chǔ)設(shè)施改造：主要是數(shù)據(jù)大集中、服務(wù)器虛擬化、存儲虛擬化。

 

4.安全運維管理:信息安全管理規(guī)范、日常安全運維考核、安全檢查與審計流程、安全應(yīng)急演練、曰常安全服務(wù)等。

 

4.2分期建設(shè)規(guī)劃

 

4_2.1達標階段(2015-2017)

 

1.等保建設(shè)

 

2.信任體系：網(wǎng)絡(luò)審計、運維審計、日志審計

 

3.身份鑒別(一次口令)

 

4.監(jiān)控平臺：入侵檢測、流量監(jiān)測、木馬監(jiān)測

 

5.安全管理平臺建設(shè)

 

6.等保測評通過(2級3級系統(tǒng))

 

7.安全服務(wù)：建立定期模式

 

8.滲透性測試服務(wù)(外部+內(nèi)部)

 

9.安全加固服務(wù)，建立服務(wù)器安全底線

 

10.信息安全管理

 

11.落實安全管理細則文件制定

 

12.落實安全運維與應(yīng)急處理流程

 

13.完善IT服務(wù)流程，建設(shè)安全運維管理平臺

 

14.定期安全演練與培訓

 

4.2.2持續(xù)改進階段(2018?2019)

 

1.等保建設(shè)

 

2.完善信息安全防護體系

 

3.提升整體防護能力

 

4.深度安全服務(wù)

 

5.有針對性安全演練，協(xié)調(diào)改進管理與技術(shù)措施

 

6.源代碼安全審計服務(wù)(新上線業(yè)務(wù))

 

7.信息安全管理

 

8.持續(xù)改進運維與應(yīng)急流程與制度，提高應(yīng)急反應(yīng)能力

 

9.提高運維效率，開拓運維增值模式

 

篇（8）

【中圖分類號】F270.7 【文獻標識碼】A 【文章編號】1672-5158（2012）11-0130-02

一、企業(yè)信息安全現(xiàn)狀

近年來，隨著企業(yè)信息化進程的不斷推進，許多企業(yè)都完成了涵蓋基礎(chǔ)自動化、過程控制、生產(chǎn)執(zhí)行到專業(yè)管理的信息系統(tǒng)，內(nèi)容覆蓋了硬件網(wǎng)絡(luò)平臺建設(shè)、辦公自動化（OA）、企業(yè)資源計劃（ERP）、對基礎(chǔ)網(wǎng)絡(luò)、過程自動化進行升級改造等，企業(yè)業(yè)務(wù)的關(guān)鍵流程如研發(fā)、生產(chǎn)與銷售對信息系統(tǒng)的依賴性非常高。企業(yè)日益復(fù)雜龐大的信息系統(tǒng)也無時無刻在面臨來自于內(nèi)部和外部的威脅。

當前企業(yè)信息可能面臨的安全威脅、存在的安全隱患。

1.可能面臨的安全威脅

物理安全威脅主要表現(xiàn)在企業(yè)的軟件資產(chǎn)和硬件資產(chǎn)、面臨自然災(zāi)害、環(huán)境事故及不法分子通過物理手段進行的違法犯罪等威脅；網(wǎng)絡(luò)安全威脅主要表現(xiàn)在黑客攻擊、垃圾郵件泛濫、病毒、木馬造成網(wǎng)絡(luò)擁塞與癱瘓，內(nèi)部攻擊，沖突域造成網(wǎng)絡(luò)風暴，黑客的入侵或者使得不法員工可以通過網(wǎng)絡(luò)泄漏企業(yè)機密等。

數(shù)據(jù)安全威脅主要表現(xiàn)在：數(shù)據(jù)庫數(shù)據(jù)丟失，財務(wù)、客戶信息及訂單數(shù)據(jù)被破壞或刪除、竊取、備份數(shù)據(jù)被人惡意篡改、不可預(yù)測的災(zāi)難導(dǎo)致數(shù)據(jù)庫的崩潰等。

內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全——隨著企業(yè)的發(fā)展壯大，逐漸形成了企業(yè)總部、各地分支機構(gòu)、移動辦公人員這樣的新型互動運營模式。怎么處理總部與分支機構(gòu)、移動辦公人員的信息共享安全，既要保證信息的及時共享，又要防止機密的泄漏已經(jīng)成為企業(yè)成長過程中不得不考慮的問題。

2.可能存在的安全隱患

網(wǎng)絡(luò)規(guī)劃不完善。信息網(wǎng)絡(luò)建設(shè)的初期，沒有把構(gòu)建信息安全體系作為主要的功能來實現(xiàn)。雖然以后采取了一些安全措施，缺乏整體性和系統(tǒng)性。目前從便攜設(shè)備到可移動存儲，再到智能手機、PDA，以及無線網(wǎng)絡(luò)等。每一項新技術(shù)，每一類新產(chǎn)品的推廣伴隨著新的問題。企業(yè)在面臨著日趨復(fù)雜的威脅的同時，遭受的攻擊次數(shù)也日益增多。

技術(shù)設(shè)計不完善。隨著電腦技術(shù)的不斷發(fā)展，一些技術(shù)上的漏洞和設(shè)計方面的缺陷也就隨之而來。如操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)軟件及應(yīng)用軟件等各個層次及網(wǎng)絡(luò)設(shè)備本身存在的技術(shù)安全漏洞等。

安全管理不完善。由于信息安全管理制度不健全或貫徹落實不夠；員工的安全防范意識不強；構(gòu)建安全體系的資金投入與運維現(xiàn)狀需求存在矛盾等因素，導(dǎo)致安全管理層面的安全措施及安全技術(shù)難以有效實施。

為了防止信息安全事件的發(fā)生，通行的做法是通過部署防火墻、入侵檢測、入侵防范系統(tǒng)、防病毒系統(tǒng)、數(shù)據(jù)備份、數(shù)據(jù)加密、漏洞掃描、上網(wǎng)行為管理系統(tǒng)等進行防范。然而，此類技術(shù)手段，卻無法阻止人為因素導(dǎo)致的破壞。

針對上述分析，筆者認為，構(gòu)建一個規(guī)范的信息安全保障體系必須從管理、技術(shù)兩方面著手，通過建立企業(yè)內(nèi)部信息安全管理體系的有效措施把可能面臨的安全威脅最大限度地弱化，同時針對信息系統(tǒng)的“弱點”進行改進，以此降低潛在的安全危險。

二、加強信息安全工作的途徑

1.建立安全體系結(jié)構(gòu)框架

俗話說“三分技術(shù)，七分管理”，任何技術(shù)措施只能起到增強信息安全防范的作用。為此，管理部門首先需借助相應(yīng)的行政手段制定適合本單位的信息安全管理制度，建立一個長期有效的安全管理機制。加強安全技術(shù)的管理和人員的培訓，提高員工的信息化應(yīng)用水平。其次，技術(shù)部門要加強物理場所的安全管理，制定相應(yīng)的訪問控制策略規(guī)范網(wǎng)絡(luò)應(yīng)用安全，整合現(xiàn)有資源實現(xiàn)能夠支撐邊界安全和訪問控制的要件，同時實現(xiàn)從終端行為一主機全過程的完整安全，實現(xiàn)公司業(yè)務(wù)正常有序的運行。

2.通過實施信息安全管理體系提升管理水平

信息安全管理體系是系統(tǒng)地對組織敏感信息進行管理，涉及到人、程序和信息技術(shù)系統(tǒng)，其依據(jù)是信息安全管理體系標準-IS027001。IS027001清晰地定義了ISMS是什么，并對企業(yè)主要安全管理過程進行了詳細的描述。通過對企業(yè)信息系統(tǒng)的信息安全方針，信息安全組織，資產(chǎn)管理、人力資源安全、物理和環(huán)境安全管理、通信學術(shù)研究和操作管理、訪問控制、信息系統(tǒng)獲取開發(fā)和維護，信息安全事故管理、業(yè)務(wù)連續(xù)性，符合性（IS027002要求的各個控制域）11個方面的處置，來建立企業(yè)信息安全管理體系。ISMS建設(shè)分為五個階段，有準備階段、風險評估階段、實施階段，運行階段和持續(xù)改進階段。

2.1 準備現(xiàn)狀調(diào)研階段

現(xiàn)狀調(diào)研階段的主要工作是對組織的信息安全管理相關(guān)政策、制度和規(guī)范、業(yè)務(wù)特征或服務(wù)、現(xiàn)有的組織情況、網(wǎng)絡(luò)信息與配置、日常操作與管理等內(nèi)容進行調(diào)查，以了解組織業(yè)務(wù)，挖掘組織中存在的安全問題，分析組織內(nèi)可能存在的信息安全風險，參照相關(guān)標準給出差距分析報告。可以采用文件審核、問卷調(diào)查、技術(shù)工具評估及現(xiàn)場訪談等方式進行。

2.2 風險評估階段

在準備階段工作的基礎(chǔ)上，根據(jù)IS027001標準的要求，對企業(yè)目前的信息安全現(xiàn)狀進行風險評估，通過風險評估確定風險管理計劃以及需要采取的控制措施。此外，通過風險評估，還可以了解到目前企業(yè)信息安全管理的現(xiàn)狀，為下一步編寫ISMS文件準備基礎(chǔ)資料。

2.3 架構(gòu)設(shè)計階段

架構(gòu)設(shè)計階段可以考慮從安全策略保障體系、安全組織保障體系、安全運行保障體系、安全技術(shù)保障體系、應(yīng)急恢復(fù)保障體系、保密體系等方面構(gòu)建組織的信息安全總體架構(gòu)。

2.4 實施階段

實施階段將進行ISMS文件體系的策劃和編寫，確定需要編寫的文件數(shù)量以及各文件需要包括的控制措施。同時，將已有的操作規(guī)程、規(guī)范文件整理為具體操作手冊，作為三級文件，以指導(dǎo)信息安全管理體系項目的后繼實施，最終形成一整套符合企業(yè)信息安全管理現(xiàn)狀的、可實施的.文件化的信息安全管理體系。

2.5 運行階段

運行階段將依據(jù)建立的ISMS進行實施。主要的活動有認證機構(gòu)的預(yù)審、對企業(yè)信息安全專員培訓、全員培訓和意識教育整改活動、記錄系統(tǒng)運行等各項活動。在體系運行一段時間以后，將通過內(nèi)部審核的方式評審企業(yè)信息安全管理體系運行的符合性。

2.6 持續(xù)改進階段

項目的完成只是企業(yè)ISMS建立和完善的一個首要步驟。要通過內(nèi)審與管理評審等持續(xù)改進活動，使企業(yè)的信息安全管理工作得到不斷的完善和提高。信息安全的最大挑戰(zhàn)在于必須面對各種各樣的威脅源、不斷更新和不可預(yù)知的方法、在不確定的時間對企業(yè)重要信息資產(chǎn)產(chǎn)生破壞，所以必須要有能夠進行持續(xù)改善的績效管理。

3.實施、運行ISMS需要注意的問題

4.1 提高風險意識，加強安全組織建設(shè)工作；以風險評估為基礎(chǔ)，提高風險管理的有效性；隊總體經(jīng)營目標為核心，制定科學的安全管理策略；通過對企業(yè)安全管理流程及標準的建立，完善企業(yè)的安全運維體系及響應(yīng)機制。

4.2 提高行業(yè)信息化管理水平，信息安全體系框架構(gòu)建是關(guān)鍵。而信息安全體系框架構(gòu)建必須管理、技術(shù)兩者雙管齊下。

篇（9）

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2013）14-0137-02

油服信息技術(shù)應(yīng)用與集中程度的不斷深入提高，信息安全保障體系建設(shè)工作已成為信息化建設(shè)過程中的重要組成部分。油服具有地域分布廣、業(yè)務(wù)復(fù)雜多樣等特點，在信息安全形勢多變的情況下，獨立分散的安全措施已無法更好地滿足安全防護需求。信息安全若不能得到很好的保障，將給公司的業(yè)務(wù)正常運作及辦公穩(wěn)定性、高效性和有效性帶來影響。因此，需完善公司的信息安全政策方針、規(guī)劃并建立符合油服實際情況的信息安全保障體系，采用先進的安全管理過程模式，完善信息安全管理制度與規(guī)范，提高員工的信息安全意識，提升風險控制及保障水平，以支撐油服核心業(yè)務(wù)的健康發(fā)展。

1 信息安全保障體系

1.1 信息安全保障體系建設(shè)需求

油服在信息安全方面已部署了部分信息安全防護措施，如劃分安全域、部署邊界訪問控制設(shè)備、配備入侵防御系統(tǒng)、部署統(tǒng)一的防惡意代碼軟件等。與此同時，每年都開展信息系統(tǒng)安全測評工作，對公司的信息系統(tǒng)進行安全等級測評差距分析、安全問題整改咨詢核查以及滲透性測試等，從而能夠較為全面的掌握當前各信息系統(tǒng)和信息安全管理制度的建設(shè)、運維和使用情況，以提高信息系統(tǒng)的安全防護能力。但從總體來看，仍缺乏信息安全保障體系框架，總體安全方針和策略不夠明確，安全區(qū)域劃分不夠細致，網(wǎng)絡(luò)設(shè)備和重要服務(wù)器的安全策略缺乏統(tǒng)一標準，未部署安全運維管理中心，無法真正起到縱深安全防御的效用。

1.2 信息安全保障體系目標與定位

信息安全保障體系的建設(shè)要結(jié)合油服的信息安全需求、網(wǎng)絡(luò)應(yīng)用現(xiàn)狀及未來發(fā)展趨勢，在風險評估的基礎(chǔ)上，明確與等級保護相適應(yīng)的安全策略及具體的實施辦法。對全網(wǎng)進行合理的安全域劃分，技術(shù)與管理并重的同時，以應(yīng)用與實效為主導(dǎo)，從網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、組織管理等方面，保障油服信息安全，形成集檢測、響應(yīng)、恢復(fù)、防護為一體的安全保障體系。

2 油服信息安全保障體系架構(gòu)模型

油服信息安全保障體系框架采用“結(jié)構(gòu)化”的分析和控制方法，縱向把保護對象分成安全計算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)；橫向把控制體系分成安全管理、安全技術(shù)和安全運行的控制體系，同時通過“一個安全管理中心”的安全管理概念和模式，形成一個依托于安全保護對象為基礎(chǔ)，橫向建立安全管理體系、安全技術(shù)體系、安全運行體系和安全管理中心“三個體系、一個中心、三重防護”的信息安全保障體系

框架。

2.1 安全管理體系

根據(jù)等級保護基本要求的相關(guān)內(nèi)容，信息安全管理體系重點落實安全管理制度、安全管理機構(gòu)和人員安全管理的相關(guān)控制要求。

2.2 安全技術(shù)體系

根據(jù)等級保護基本要求的相關(guān)內(nèi)容，通過安全技術(shù)在物理、網(wǎng)絡(luò)、主機、應(yīng)用和數(shù)據(jù)各個層面的實施，建立與實際情況相結(jié)合的安全技術(shù)體系。

2.3 安全運行體系

根據(jù)等級保護基本要求的相關(guān)內(nèi)容，信息安全運行體系重點落實系統(tǒng)建設(shè)管理和系統(tǒng)運維管理的相關(guān)控制要求，并與實際情況相結(jié)合，形成符合等級保護要求的信息安全運行體系

框架。

2.4 安全管理中心

根據(jù)等級保護基本要求和安全設(shè)計技術(shù)要求的相關(guān)內(nèi)容，通過“自動、平臺化”的方式，對信息安全管理、技術(shù)、運行三個體系的相關(guān)控制內(nèi)容，結(jié)合實際情況加以落實。

3 油服信息安全保障體系架構(gòu)設(shè)計

3.1 安全管理體系架構(gòu)設(shè)計

信息安全管理體系架構(gòu)的設(shè)計可從以下3方面開展。

3.1.1 信息安全組織

油服信息安全組織為信息安全管理委員會，各業(yè)務(wù)部門為信息安全小組，部門經(jīng)理為本小組的第一安全責任人。同時，定義了組織中各職能角色的職責，以此指導(dǎo)信息安全工作開展。

3.1.2 信息安全制度

油服的信息安全制度一方面能及時反映公司的信息安全風險動態(tài)，便于靈活地修訂與更新；另一方面確保信息安全技術(shù)與管理人員及用戶能夠了解哪些是禁止做的，哪些是必須做的。

3.1.3 人員安全管理

在人員安全管理方面，可以通過對人員錄用、調(diào)用、離崗、考核、培訓教育和第三方人員安全幾個方面進行設(shè)計。

3.2 安全技術(shù)體系架構(gòu)設(shè)計

信息安全技術(shù)體系架構(gòu)設(shè)計可從以下3個方面開展。

3.2.1 信息安全服務(wù)架構(gòu)

信息安全服務(wù)架構(gòu)設(shè)計分為保護、檢測、響應(yīng)與恢復(fù)四個環(huán)節(jié)，實現(xiàn)對信息可用性、完整性和機密性的保護，監(jiān)測檢查系統(tǒng)存在的安全漏洞，對危害系統(tǒng)安全的事件行為做出響應(yīng)

處理。

3.2.2 信息技術(shù)基礎(chǔ)設(shè)施安全架構(gòu)

信息技術(shù)基礎(chǔ)設(shè)施安全架構(gòu)以網(wǎng)絡(luò)安全架構(gòu)為主體，結(jié)合系統(tǒng)軟硬件進行安全配置和部署。網(wǎng)絡(luò)安全架構(gòu)的規(guī)劃根據(jù)網(wǎng)絡(luò)所承載的應(yīng)用系統(tǒng)特性和所面臨的風險劃分不同的網(wǎng)絡(luò)安全域，并實施安全防護措施。

3.2.3 應(yīng)用安全架構(gòu)

應(yīng)用系統(tǒng)的信息安全保障是在信息技術(shù)基礎(chǔ)設(shè)施安全架構(gòu)上，更多地關(guān)注已有的信息安全服務(wù)是否被充分利用。為滿足業(yè)務(wù)系統(tǒng)對信息安全的需求，通過在業(yè)務(wù)系統(tǒng)中實現(xiàn)集成保障信息安全的機制，從而達到信息安全技術(shù)控制要求。

3.3 安全運行體系架構(gòu)設(shè)計

油服信息安全運行體系架構(gòu)設(shè)計主要從以下3個方面開展。

3.3.1 信息系統(tǒng)安全等級劃分

油服信息系統(tǒng)安全等級劃分從信息資產(chǎn)等級、網(wǎng)絡(luò)系統(tǒng)等級和應(yīng)用系統(tǒng)等級三個方面進行定義。

3.3.2 信息安全技術(shù)控制

信息安全技術(shù)控制是由系統(tǒng)自身自動完成的安全控制。主要在信息系統(tǒng)的網(wǎng)絡(luò)層、系統(tǒng)層和應(yīng)用層，包含身份鑒別、訪問控制、安全審計等五大類通用技術(shù)。

3.3.3 信息安全運作控制

信息安全運作控制是在油服業(yè)務(wù)運作和信息技術(shù)運作過程中進行實施的運作類安全控制，包括控制針對的主要風險點及具體分類。

4 結(jié)束語

在油服業(yè)務(wù)不斷拓展，國際化步伐不斷深入的過程中，信息系統(tǒng)在公司發(fā)展中的作用和地位日趨重要。公司對信息系統(tǒng)的依賴性也在不斷增長，信息安全也愈發(fā)重要。健全油服信息安全保障體系，為實現(xiàn)“制度標準化、工作制度化”的管理常態(tài)奠定了堅實的基礎(chǔ)。油服信息安全保障體系不僅從物理網(wǎng)絡(luò)安全、系統(tǒng)應(yīng)用安全、數(shù)據(jù)和用戶安全等方面入手，還從安全域劃分、安全邊界防護、主動監(jiān)控、訪問控制和應(yīng)急響應(yīng)等方面綜合考慮，進一步加強落實信息安全等級保護的基本要求，初步實現(xiàn)對網(wǎng)絡(luò)與應(yīng)用系統(tǒng)細粒度、全方位的安全管控，從而更為有效地提升了油服在信息安全方面的管理水平。

參考文獻

[1]馬永.淺談企業(yè)信息安全保障體系建設(shè)[J].計算機安全，2007（7）：72-75.

[2]王朗.一個信息安全保障體系模型的研究和設(shè)計[J].北京師范大學學報（自然科學版），2004（2）：58-62.

篇（10）

2007年12月28日，中國光大銀行信用卡中心在京召開新聞會，宣布正式通過ISO27001信息安全管理體系國際認證，成為國內(nèi)首家通過該項認證的信用卡中心。這是中國光大銀行信用卡中心繼2006年6月通過CCCS五星級級客戶服務(wù)認證和2006年9月通過ISO9001質(zhì)量管理體系認證之后取得的又一成就，標志著該行信用卡業(yè)務(wù)在保障客戶信息安全、強化內(nèi)部管理方面已居于國內(nèi)領(lǐng)先水平。

在日漸激烈的信用卡競爭環(huán)境中，中國光大銀行信用卡業(yè)務(wù)以“制度化、規(guī)范化、標準化、專業(yè)化”為方向，摒棄片面追求規(guī)模的定式，致力于產(chǎn)品創(chuàng)新、服務(wù)提升與品牌建設(shè)，建立了獨具特色的信用卡經(jīng)營和發(fā)展模式，取得了令人矚目的成就。為進一步提高服務(wù)質(zhì)量，保障信息安全，該行信用卡中心于2007年3月正式啟動ISO27001信息安全管理體系認證項目，并提出“關(guān)注客戶、信息安全”的信息安全方針。以此為契機，中國光大銀行信用卡中心在保障客戶信息安全、降低外包業(yè)務(wù)風險、保障業(yè)務(wù)的持續(xù)性等方面進行了全面提升與改進。

一是在保障客戶信息安全、防止客戶信息泄密方面，中國光大銀行根據(jù)自身業(yè)務(wù)實際，通過開展信息資產(chǎn)識別、風險評估、體系文件編寫、體系試運行、內(nèi)外審等主要工作，在信用卡中心建立起了信息安全管理體系，從而形成一套策略規(guī)程和控制措施，將信息安全的控制措施貫穿于業(yè)務(wù)的各個環(huán)節(jié)，使信息安全保障工作成為日常工作的組成部分，在日常工作中關(guān)注客戶，保障信息安全。二是降低外包業(yè)務(wù)風險方面，光大銀行針對信用卡行業(yè)外包業(yè)務(wù)多的現(xiàn)實，通過規(guī)范數(shù)據(jù)交互、調(diào)聽錄音、查看系統(tǒng)日志、現(xiàn)場檢查、第三方檢查等手段，并督促外包公司建章建制、規(guī)范管理等一系列措施，有效降低了外包業(yè)務(wù)的風險。三是業(yè)務(wù)持續(xù)性方面，光大銀行針對影響業(yè)務(wù)持續(xù)性的主要因素進行了風險評估，根據(jù)風險評估的結(jié)果，制訂了業(yè)務(wù)持續(xù)性管理計劃，并進行了業(yè)務(wù)持續(xù)性演練，為業(yè)務(wù)的持續(xù)發(fā)展提供了保障。

ISO27001：2005是標志信息安全的最主要國際化標準之一，是基于最佳實踐的總結(jié)，至今已被全球數(shù)百家世界級組織采用，中國光大銀行率先將其引入信用卡領(lǐng)域，為保障客戶信息安全尋求到一條積極高效的道路，為自身業(yè)務(wù)高速穩(wěn)健的發(fā)展奠定了堅實的基礎(chǔ)。

篇（11）

放眼國內(nèi)幾大商業(yè)銀行，營業(yè)機構(gòu)遍及全國，各家銀行的開發(fā)中心也在朝著研究與開發(fā)、管理與運維支持的一體化目標迅速邁進，并逐步具備了相當?shù)囊?guī)模和管理規(guī)范。

商業(yè)銀行開發(fā)的中心，都承擔著各自銀行核心業(yè)務(wù)系統(tǒng)的開發(fā)重任，在建立了基本完備的信息系統(tǒng)基礎(chǔ)設(shè)施之后，如何將龐大復(fù)雜的計算機網(wǎng)絡(luò)和異構(gòu)平臺維護好，如何保障網(wǎng)絡(luò)和信息系統(tǒng)的7×24小時高效、穩(wěn)定地運行，如何確保開發(fā)活動和成果能夠持續(xù)、可靠地進行，如何在知識產(chǎn)權(quán)管理、人員管理、系統(tǒng)開發(fā)過程管理方面做到完善，這些都是亟待解決的問題。

作為金融服務(wù)機構(gòu)，各大商業(yè)銀行本身在基礎(chǔ)設(shè)施可靠性、業(yè)務(wù)系統(tǒng)安全控制、數(shù)據(jù)處理保護等方面都給予了極大的關(guān)注，通過容災(zāi)系統(tǒng)、CA認證體系、用戶訪問控制、電子令牌等安全措施的建立和運用，已經(jīng)取得了顯著的成績。

不過，就軟件開發(fā)這種具體業(yè)務(wù)模式來說，除了基于傳統(tǒng)的軟件工程過程規(guī)范，并且參照CMM體系對整個系統(tǒng)開發(fā)進行控制外，商業(yè)銀行開發(fā)中心在信息安全方面還應(yīng)該有其特別的考慮。

目前，商業(yè)銀行開發(fā)中心的信息安全關(guān)注點主要表現(xiàn)在：

如何建立有效的信息安全管理體系，對組織信息安全有全局部署和整體管控；

如何對研發(fā)數(shù)據(jù)進行保護，包括客戶信息、開發(fā)和測試數(shù)據(jù)、重要的文件等。如何采取措施，防止這些重要信息的泄漏；

對整個軟件開發(fā)過程，在基于CMM建立開發(fā)流程和度量機制的基礎(chǔ)上，如何考慮安全控制的問題。特別是在有大量外包開發(fā)項目的情況下，如何做到對外、對內(nèi)安全控制的一致性；

對重要的開發(fā)成果，如何做好知識產(chǎn)權(quán)保護工作。

基于對商業(yè)銀行開發(fā)中心目前面臨的問題和提出的需求的分析，筆者提出了一種分階段實施的信息安全管理體系構(gòu)建方案。最終的目的，是使開發(fā)中心將信息安全的整體建設(shè)落到實處，在保持銀行系統(tǒng)多年積累的信息安全建設(shè)成果基礎(chǔ)之上，使信息安全植根于各方，從而能提升自身信心，給外部客戶更多安心。

值得說明的是，筆者這里提出的方案，只是從信息安全管理體系整體框架建設(shè)、階段性發(fā)展戰(zhàn)略、各階段目標訴求等大的方面來闡述，具體解決之道和實施辦法，還不能一概而論。

在做任何規(guī)劃項目之前，必須有清晰的目標。我們知道，一座宏偉的建筑要最終完成并投入使用，必須經(jīng)歷一個過程，而最開始設(shè)計并確定建筑藍圖則是非常關(guān)鍵的。有了明確而可行的藍圖，我們才能預(yù)期最終建筑的模樣，才能選擇合適的材料，才能沿著正確的工序，一步步去完成。說到底，藍圖代表著整體的規(guī)劃和實際的目標，并且決定著最終建筑的成敗。

信息安全也是如此。任何信息安全的建設(shè)活動，通常都強調(diào)所謂CIA(保密性、完整性、可用性)三元組的目標，這是信息安全的基本要素和安全建設(shè)所應(yīng)遵循的基本原則。

但是對企業(yè)組織來說，CIA的實現(xiàn)并不能代表信息安全的終極目標，畢竟信息安全是企業(yè)經(jīng)營和業(yè)務(wù)發(fā)展的需要，是為企業(yè)業(yè)務(wù)活動提供支持和服務(wù)的，因此，在做出任何戰(zhàn)略規(guī)劃之前，企業(yè)都應(yīng)該明白，其信息安全的最終目標，將是采取可行的控制措施，通過實現(xiàn)信息的CIA保護，最終使得依賴信息系統(tǒng)的業(yè)務(wù)活動能夠持續(xù)、穩(wěn)定、可靠地運行和保持下去。對商業(yè)銀行來說，也是如此。

當然，無論是要實現(xiàn)CIA直接目標，還是要最終確保業(yè)務(wù)活動的持續(xù)性，組織都應(yīng)該付出一番努力，通過一系列有規(guī)劃、有繼承的過程活動，在信息安全方面才能有所建樹。

從商業(yè)銀行開發(fā)中心面臨的信息安全需求來看，大的訴求也是如此：借助有效控制和管理措施，防止關(guān)鍵數(shù)據(jù)泄漏，保護開發(fā)成果和知識產(chǎn)權(quán)，確保開發(fā)業(yè)務(wù)活動能夠持續(xù)、可靠地進行，最終贏得內(nèi)部信心和外部信任。

不過，為了實現(xiàn)大訴求，商業(yè)銀行開發(fā)中心必須在信息安全建設(shè)方面細化目標并做藍圖規(guī)劃，這樣才能為今后工作提供指引。

在信息安全目標實現(xiàn)上，商業(yè)銀行開發(fā)中心可以考慮三個層次：

近期目標：通過實施有效的控制措施(包括技術(shù)上的和管理上的)，確保開發(fā)數(shù)據(jù)能夠得到保護，防止文件泄密，保護公司的開發(fā)成果和知識產(chǎn)權(quán)；對外包開發(fā)實施有效控制，杜絕安全隱患。

中期目標：從整體上考慮信息安全管理體系建設(shè)的問題，規(guī)劃并建立完整的信息安全管理體系和框架，全面提升人員安全意識，使得各種問題和應(yīng)對措施都能夠在一個一致的、完整的、持續(xù)改進的機制下進行，真正實現(xiàn)信息安全自我發(fā)展的模式。

這其中，近期目標是最實際、也是最容易看見的，通過恰當?shù)囊?guī)劃和控制實施，能夠得以實現(xiàn)，但采取具體技術(shù)和措施只能解決一些點上的問題，信息安全建設(shè)更關(guān)鍵的還在于控制整個面。

商業(yè)銀行開發(fā)中心可以考慮首先實現(xiàn)中期目標，然后達成近期目標。因為針對具體問題解決的近期目標，有賴于信息安全管理體系的實現(xiàn)，如果沒有一個成熟穩(wěn)定的整體框架，具體問題的解決將很難做到徹底，也會牽引出更多難以預(yù)料的麻煩。而首先建立有效的ISMS(信息安全管理體系)，在統(tǒng)一框架指引下，再去一一解決通過風險評估及其他途徑發(fā)現(xiàn)的最為突出的信息安全問題，這會讓工作更易于開展。當然，從長遠來看，讓ISMS可度量并且自我發(fā)展，實現(xiàn)IT有效治理，是必然的訴求。

明確了目標，商業(yè)銀行開發(fā)中心還必須設(shè)定范圍并規(guī)劃整體藍圖，以便讓之后每個階段和每個具體的實施活動都能夠朝著正確的方向前進，并且能夠隨時檢驗階段及最終成果是否符合預(yù)期。

藍圖中首先明確的是信息安全建設(shè)的核心目標，即實現(xiàn)信息安全的CIA并最終確保業(yè)務(wù)持續(xù)性。

為了實現(xiàn)核心目標，企業(yè)還必須明確信息安全方面的現(xiàn)實需求，并且用確定的、無矛盾的、可實施的一套規(guī)范要求來具體實現(xiàn)，這些層次化的文件將為所有信息安全活動提供指導(dǎo)，最終導(dǎo)入信息安全需求的實現(xiàn)。

有了目標和要求，還必須明確信息安全的對象，也就是要保護的東西――信息資產(chǎn)，包括各種關(guān)鍵數(shù)據(jù)，應(yīng)用系統(tǒng)、實物資產(chǎn)、設(shè)施和環(huán)境，以及人員。信息資產(chǎn)的明確界定，將使信息安全控制的實施有引而發(fā)。而對這些資產(chǎn)的保護，將直接關(guān)系到業(yè)務(wù)持續(xù)性這一最終目標的實現(xiàn)與否。

為了對信息資產(chǎn)實施保護，必須采取一定措施，經(jīng)歷一番努力和過程，最終才能實現(xiàn)既定目標。信息安全的建設(shè)過程，表現(xiàn)為一系列流程的實現(xiàn)，最終體現(xiàn)出的是所謂PDCA的過程模型：信息安全先做規(guī)劃，明確需求，制定應(yīng)對方案；實施解決方案；通過檢查，鞏固成果，發(fā)現(xiàn)不足；采取后續(xù)措施，改進不足，推動信息安全持續(xù)進步。

為了實現(xiàn)這一藍圖，商業(yè)銀行開發(fā)中心可以制定階段性發(fā)展的戰(zhàn)略規(guī)劃，將信息安全建設(shè)工作分為三個主要階段：