守住信息時(shí)代安全線

2013-10-17 10:41:12 EP電力信息化網(wǎng)　點(diǎn)擊量：評(píng)論 (0)

【事件描述】A單位從2005年開(kāi)始建設(shè)內(nèi)部信息系統(tǒng)，至2008年基本建設(shè)完成，2009年通過(guò)國(guó)家測(cè)評(píng)，并取得《使用許可證》。系統(tǒng)主要業(yè)務(wù)應(yīng)用包括辦公自動(dòng)化、財(cái)務(wù)、人事、物資、項(xiàng)目管理、檔案等管理信息系統(tǒng)。該系統(tǒng)

隨著A單位信息化程度的提高，信息系統(tǒng)越來(lái)越復(fù)雜，在業(yè)務(wù)運(yùn)作的過(guò)程中生成了大量的數(shù)據(jù)，各種業(yè)務(wù)的開(kāi)展對(duì)信息的依賴程度也越來(lái)越大，信息安全管理成了A單位風(fēng)險(xiǎn)管理的重要組成部分。

【案例分析】A單位內(nèi)部信息系統(tǒng)依據(jù)內(nèi)部信息系統(tǒng)分級(jí)保護(hù)要求進(jìn)行風(fēng)險(xiǎn)分析，主要分為風(fēng)險(xiǎn)（脆弱性）分析、威脅分析，風(fēng)險(xiǎn)識(shí)別與確定等內(nèi)容。其中，A單位所面臨的信息安全風(fēng)險(xiǎn)主要包括技術(shù)風(fēng)險(xiǎn)和管理風(fēng)險(xiǎn)兩方面。

技術(shù)風(fēng)險(xiǎn)：技術(shù)風(fēng)險(xiǎn)可從物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層幾個(gè)層面進(jìn)行分析：物理層安全應(yīng)考慮到環(huán)境安全和設(shè)備、設(shè)施安全；網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)主要包括網(wǎng)絡(luò)傳輸數(shù)據(jù)風(fēng)險(xiǎn)、連接互聯(lián)網(wǎng)風(fēng)險(xiǎn)、互連設(shè)備的安全隱患等；系統(tǒng)層風(fēng)險(xiǎn)主要包括訪問(wèn)控制脆弱性、病毒攻擊、網(wǎng)絡(luò)共享服務(wù)、非法外聯(lián)、存儲(chǔ)信息丟失等內(nèi)容；應(yīng)用層安全風(fēng)險(xiǎn)主要包括應(yīng)用系統(tǒng)的自身脆弱性、訪問(wèn)控制風(fēng)險(xiǎn)、數(shù)據(jù)庫(kù)安全風(fēng)險(xiǎn)等。

管理風(fēng)險(xiǎn)：安全保密管理在內(nèi)部系統(tǒng)的風(fēng)險(xiǎn)防范中占有非常重要的地位，即使有了較完善的安全保密措施，如果管理的力度不夠，依然存在很大的安全隱患。因此應(yīng)針對(duì)安全保密管理進(jìn)行風(fēng)險(xiǎn)分析，并提供安全保密管理的具體措施。

【警示與建議】隨著網(wǎng)絡(luò)環(huán)境的日益惡化以及企業(yè)自身的發(fā)展伴隨著越來(lái)越多的商業(yè)泄密事件的發(fā)生，信息安全問(wèn)題逐漸被提上議事日程。要保證企業(yè)信息安全，就必須找出存在信息安全問(wèn)題的根源，并具有良好的安全管理策略。A單位在此方面采取的措施，可以為其他單位防范信息風(fēng)險(xiǎn)提供良好的借鑒。

　　1.信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估是信息系統(tǒng)安全的基礎(chǔ)和前提。如何保障信息安全是信息系統(tǒng)發(fā)展所面臨的關(guān)鍵問(wèn)題。對(duì)于所涉及的安全問(wèn)題，任何單一層次上的安全措施都不可能提供真正意義上的全方位的安全，應(yīng)該站在系統(tǒng)工程的角度來(lái)考慮。在這項(xiàng)系統(tǒng)工程中，信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估占有重要的地位，它是A單位信息系統(tǒng)安全的基礎(chǔ)和前提。

2.風(fēng)險(xiǎn)分析應(yīng)充分結(jié)合分級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)。為規(guī)范內(nèi)部信息系統(tǒng)分級(jí)保護(hù)，國(guó)家頒布了有關(guān)文件和指南，涵蓋了內(nèi)部信息系統(tǒng)風(fēng)險(xiǎn)分析所需絕大多數(shù)的技術(shù)和管理要點(diǎn)，在風(fēng)險(xiǎn)分析中可作為脆弱性與威脅分析的主體框架。A單位對(duì)內(nèi)部信息系統(tǒng)的風(fēng)險(xiǎn)分析采用了自評(píng)估、委托評(píng)估以及外聘專家等方式，在實(shí)現(xiàn)了既定目標(biāo)的同時(shí)，又培養(yǎng)和鍛煉了企業(yè)運(yùn)維管理隊(duì)伍。

3.通過(guò)風(fēng)險(xiǎn)分析完善安全策略動(dòng)態(tài)閉環(huán)結(jié)構(gòu)。企業(yè)信息安全的核心問(wèn)題是安全策略問(wèn)題，安全策略的制定是一個(gè)動(dòng)態(tài)的逐步完善和修改的過(guò)程，通過(guò)風(fēng)險(xiǎn)分析手段對(duì)內(nèi)部信息系統(tǒng)進(jìn)行安全評(píng)估是整個(gè)安全策略動(dòng)態(tài)閉環(huán)結(jié)構(gòu)中的重要環(huán)節(jié)，其核心意義在于發(fā)現(xiàn)問(wèn)題并應(yīng)對(duì)，能夠幫助企業(yè)動(dòng)態(tài)地調(diào)整和完善安全策略，以達(dá)到提高信息安全水平的目的。

　　4.加強(qiáng)內(nèi)部信息系統(tǒng)的管理風(fēng)險(xiǎn)分析與評(píng)估。內(nèi)部信息系統(tǒng)的運(yùn)維管理，在具備了基本的安全設(shè)備與技術(shù)手段的同時(shí)，應(yīng)針對(duì)管理進(jìn)行充分的風(fēng)險(xiǎn)分析，將管理制度落到實(shí)處，從在現(xiàn)階段來(lái)看，其已經(jīng)成為阻礙內(nèi)部信息系統(tǒng)良性運(yùn)行的重點(diǎn)風(fēng)險(xiǎn)。針對(duì)安全保密管理制度的落實(shí)，A院采用信息化手段，自主研發(fā)了保密管理信息系統(tǒng)，將系統(tǒng)資產(chǎn)，審批流程，維修保障，審計(jì)策略等與管理相關(guān)的各類制度信息化，流程化，有效保證了管理制度的落實(shí)。

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊