时间:2023-11-08 10:06:47
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇公司信息安全管理体系范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
1 引言
在如今的信息化社会中,信息通过共享传递实现其价值。在信息交换的过程中,人们肯定会担心自己的信息泄露,所以信息安全备受关注,企业的信息安全就更为重要了。但是网络是一个开放互联的环境,接入网络的方式多样,再加上技术存在的漏洞或者人们可能的操作失误等,信息安全问题一刻不容忽视。尤其是电力,是国家规定的重要信息安全领域。所以电力企业要把信息安全管理体系的建设,作为重要的一环纳入到整个企业管理体系中去。
2 电力企业信息管理体系建设的依据
关于企业的安全管理体系方面的标准有很多。英国BSI/DISC的BDD信息管理委员会制定的安全管理体系主要包含两个部分内容:信息安全管理实施规则和信息安全管理体系规范。信息安全管理实施规则是一个基础性指导文件,里面有10大管理项、36个执行的目标和127种控制的方法,可以作为开发人员在信息安全管理体系开发过程中的一个参考文档。信息安全管理体系规范则详细描述了在建立、施工和维护信息安全管理体系过程的要求,并提出了一些具体操作的建议。
国际标准化组织也了很多关于信息安全技术的标准,如ISO x系列、ISO/IEC x系列等。我国也制定了一系列的信息安全标准,如GB 15851―1995。
关于企业信息安全管理体系方面的标准众多,如何针对企业自身实际情况选择合适的参考标准很重要,尤其是电力企业有着与其他企业不同的一些特殊性质,选择信息安全体系建设的参考标准更要谨慎。我国电力企业已经引入了一些国际化标准作为建立和维护企业运转的保证,关于信息安全体系的标准也应纳入到保证企业运转的一系列参考中去。电力企业总体应有一致的安全信息管理体系参考标准,但是具体地区的公司又有着本身自己的特殊环境,所以在总体一致的信息安全标准的情况下,也应该根据企业自身地区、人文、政策等的不同制定一些企业内部自己信息安全标准作为建立、实施和维护信息安全管理体系的依据。信息安全管理体系顾全大局又要有所侧重的体现电力企业安全标准的要求。
3 信息安全管理体系里的重要环节
3.1 硬件环境要求
信息安全管理体系并没有特别要求添加什么特别的设备,只是对企业用到的设备做一些要求。电力企业一般采用内外网结合的方式,内外网设备要尽量进行物理隔离。企业每个员工基本都有自己的移动设备,如手机等,为了增加信息安全的系数,企业可以限制公司设备的无线网络拓展。另外,实时监控系统也应该覆盖企业的重要设备,监控硬件设备的安全。
3.2 软件环境要求
在企业设备(主要是计算机)上部署相关软件环境是信息安全管理体系中最重要的部分。比如防病毒软件的部署、桌面系统弱口令监控软件的部署等,以此防止网络攻击或者提高安全系数。另外,企业设备所用系统的安全漏洞修复、数据的加密解密、数据的备份恢复及数据传输通道的加密解密等问题,都在信息安全管理体系设计的考虑范畴。
3.3 企业员工管理
尽管现在一直倡导智能化,但是企业内进行设备等操作的主体还是员工。不管是对设备终端操作来进行信息的首发,还是对企业软硬件系统进行维护工作,都是有员工来进行的。所以,对企业内部员工进行信息安全培训,提高员工的信息安全防范意识,让员工掌握一定的信息安全防范与处理手段是非常重要的事情。针对不同的职位,在员工上岗前应该进行相关的信息安全方面的培训,然后对培训结果进行考核,不合格的人员不准上岗。在岗的人员也要定期进行培训与考核。另外,如果有条件的话,企业应该定期(例如每年)进行一次信息安全的相关演习。
另外,电力企业有些项目是外包给其他相应公司的,这时候会有施工人员和驻场人员在电力企业,对这些人员也应该进行电力企业信息安全的培训。
3.4 信息安全管理体系的风险系数评估
风险评估在信息安全管理体系中是确定企业信息安全需求的一个重要途径,它是对企业的信息资产所面临的威胁、存在的弱点、造成的影响,以及三者综合作用下所带来的风险可能性的评测。风险评估的主要任务是:检测评估对象所面临的各种风险,估计风险的概率和可能带来的负面影响的程度,确定信息安全管理体系承受风险的能力,确定不同风险发生后消减和控制的优先级,对消除风险提出建议。在信息安全管理体系的风险系数评估过程中,形成《风险系数评估报告》、《风险处理方案》等文档,作为对信息安全管理体系进行调整的参考。风险系数的评估要尽可能全面的反映企业的信息安全管理体系,除了常规手段,也可以使用一些相应的软件工具的结果作为参考。另外很值得注意的是企业的员工对风险的理解,企业员工对他们所操作的对象有比较深刻的理解,对其中可能存在的不足也有自己的见解,在风险系数评估的过程中,可以进行一些员工的问卷调查等,把员工对风险的认识纳入风险评估的考虑范畴。
企业的设备会老旧更换,员工也会更换,所以企业的信息安全是动态的,因此风险评估工作也要视具体情况定期进行,针对当前情况作评估报告,然后制定相应的风险处理方案。还有,之所以要建立信息安全管理体系,其中很重要的一点就是体系内各个模块的结合,信息安全管理体系的风险评估与关键内容的实时监控就应该结合起来。
为了降低信息安全管理体系的风险系数,提升信息安全等级,要做的工作很多。渗透测试就是其中很有必要的一项工作。渗透测试是测试人员通过模拟恶意攻击者的攻击方式,来评估企业计算机网络系统安全的一种评测方法。这个测试过程会对系统的可知的所有弱点、技术方面的缺陷或者漏洞等作主动的分析。渗透测试对于网络信息安全的组织具有实际应用价值。随着技术的不断进步,可能还会出现其他的更有价值的信息安全技术,作为信息安全备受瞩目的电力企业,应当时刻关注相关技术的进展,并及时将它们纳入企业信息安全管理体系中来。
3.5 信息安全管理体系的管理模式
文章前面提到企业信息安全是动态的,所以信息安全管理体系需要建立一个长效的机制,针对最新的情况及时对自身作出调整,使信息安全管理体系有效的运行。现在一般会采用PDCA循环过程模式:计划,依照体系整个的方针和目标,建立与控制风险系数、提高信息安全的有关的安全方针、过程、指标和程序等;执行:实施和运作计划中建立的方针、过程、程序等;评测:根据方针、目标等,评估业绩,并形成报告,也就是文章前面说到的风险系数评估;举措:采取主动纠正或预防措施对体系进行调整,进一步提高体系运作的有效性。这四个步骤循环运转,成为一个闭环,是信息安全管理体系得到持续的改进。
4 重要技术及展望
4.1 安全隔离技术
电力企业的信息网络是由内外网两部分组成,从被防御的角度来看的话,内网的主要安全防护技术为防火墙、桌面弱口令监控、入侵检测技术等;而主动防护则主要采用的是安全隔离技术等。安全隔离技术包括物理隔离、协议隔离技术和防火墙技术。一般电力企业采用了物理隔离与防火墙技术,在内网设立防火墙,在内外网之间进行物理隔离。
4.2 数据加密技术
企业的数据在传输过程中一般都要进行加密来降低信息泄露的风险。可以根据电力企业内部具体的安全要求,对规定的文档、视图等在传输前进行数据加密。尤其是电力企业通过外网传输的时候,除了对数据进行加密外,还应该在链路两端进行通道加密。
4.3 终端弱口令监控技术
终端设备众多,而且是业务应用的主要入口,所以终端口令关乎业务数据的安全以及整个系统的正常运转。如果终端口令过于简单薄弱,相当于没有设定而将设备暴露。终端的信息安全是电力企业信息安全的第一道防线,因此采用桌面系统弱口令监控技术来加强这第一道防线的稳固性对电力企业的信息安全非常重要。
电力企业信息安全管理体系是一个复杂的系统,包含众多的安全技术,如数据备份及灾难恢复技术、终端安全检查与用户身份认证技术、虚拟专用网技术、协议隔离技术等。凡是与信息安全相关的技术,电力企业都应当关注,并根据企业自身的情况决定是否将之纳入到信息安全管理体系中去。
智能化已成为不管是研究还是社会应用的热门词汇。电力企业的信息安全管理体系是否可以智能化呢?不妨做一个展望,电力企业的信息安全管理体系有了很强的自我学习与自我改进的能力,在信息安全环境越来越复杂,信息量越来越庞大的情况下是否会更能发挥信息安全管理体系的作用呢?这应该是值得期待的。
5 防病毒软件部署
电力企业信息安全管理体系有很多软件系统的部署,如防病毒软件部署、桌面弱口令监控系统部署、系统安全卫士部署等。但是它们的部署情况类似,这里用防病毒软件的部署来展示电力企业信息安全管理体系中软件系统的部署情况。如图1所示为防病毒软件的部署框架。
杀毒软件种类有很多,这里以赛门铁克杀毒软件为例。企业版的赛门铁克防病毒软件系统相比单机版增加了网络管理的功能,能够很大程度地减轻维护人员的工作量。为了确保防病毒软件系统的稳定运行,在电力企业内部正式使用时,尽量准备一立的服务器作为防病毒软件专用的服务器。
服务器安装配置好赛门铁克防病毒软件后,可以远程控制客户端与下级升级服务器的软件安装与升级。
电力企业内网可能是禁止接入外网的,这样的话,防病毒软件的更新可能无法自动完成。防病毒软件需要升级的时候,维护人员在通过外网在相应网址下载赛门铁克升级包,然后通过安全U盘拷贝到防病毒软件系统专用服务器进行升级操作。在图1中,省电力公司的防病毒管理控制台获得升级包可以下发给下级升级服务器和客户端进行防病毒软件系统的自动升级更新。图1是一个简单的框图,如果电力企业的内网规模很大的话,还可以更多级地分布部署。
6 结束语
电力企业的信息安全与企业的生产与经营管理密切相关,是企业整个管理系统的一部分。信息安全管理体系是一个整体性的管理工作,把体系中涉及的内容统一进行管理,让它们协调运作,实现信息安全管理体系的功能。电力企业信息安全的建立与体系不断的改进定能稳定、有效地维护企业的信息安全。
参考文献
[1] 王志强,李建刚.电网企业信息安全管理体系建设[J].浙江省电力公司,2008,6(3):26-29.
[2] 陈贺,宫俊峰.浅析信息安全体系如何建立[J].中国管理信息化,2014,17(1):74-76.
[3] 郭建,顾志强.电力企业信息安全现状分析及管理对策[J].信息技术,2013(1):180-187.
[4] 沈军.火力发电厂信息你安全体系构建与应用[J].电力信息通信技术,2013,11(8):103-108.
[5] 左锋.信息安全体系模型研究[J].信息安全与通信保密,2010,01(10):68-71.
[6] 杨柳.构建供电企业信息安全体系[J].电脑知识与技术,2005(29).
[7] 曹鸣鹏, 赵伟, 许林英. J2EE技术及其实现[J]. 计算机应用,2001, 21(10): 20-23.
[8] 江和平.浅谈网络信息安全技术[J].现代情报学,2004(14):125-127.
作者简介:
崔阿军(1984-),男,甘肃平凉人,硕士研究生,工程师;主要研究方向和关注领域:电力信息通信安全技术研究。
张驯(1984-),男,江苏扬州人,本科,工程师;主要研究方向和关注领域:电力信息通信安全技术研究。
李志茹(1984-),女,山东平度人,硕士研究生,工程师;主要研究方向和关注领域:信息化建设及安全技术。
Based on the New ISO27000 to the Understanding of the Software Industry, Information Security
Wen Yan-ge Chen Wen-e Wang Gang
(Tianjin University of Commerce Tianjin 300134)
【 Abstract 】 The effective corporate security system will become the basic requirement of modern enterprise development. As the software industry, good information security system was the core of enterprise competitiveness. This article from the ISO27000 redesign is interpreted accordingly-the enterprise will how to adjust and improve their information security management system to the new standard and new control measures.
【 Keywords 】 the new iso27000; software industry; information security management system; the pdca model
1 引言
如今随着信息化的步伐日益加速以及信息相关技术的飞猛发展,信息资源也日渐成为所有企业维持正常运转的重要资源。信息以及载体信息系统、网络等已经成为了企业生存和发展的重要资产。然而企业的信息安全和数据泄露仍然是企业管理者关注的主要问题之一。大部分企业基于企业实际情况,通过引入国际信息安全管理体系IS027000以及通过最佳的业务实践,建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系(即ISMS),实现对信息安全的预控、在控、可控、能控。
而随着2013年的ISO27000的改版,各行各业势必会根据自身信息安全的情况对信息安全体系作出调整。本文将针对软件行业在调整下的信息安全管理体系下,如何更好地保持和改进信息安全体系作出解读,使企业更好地依据标准体系和方法论,制定出符合企业长久发展的信息安全管理体系。
2 ISO标准
2.1 ISO标准及变化
ISO/IEC27000(Information Security Management System Fundamentals And Vocabulary)是信息安全管理体系基础和术语,ISO/IEC 27000提供了ISMS标准族中所涉及的通用术语及基本原则,是ISMS标准族中最基础的标准之一。最新版本于2013年9月25日。
相对于2005版,新版本对于ISMS建立的基础进行了调整和明确,相较于2005年版本以资产和技术为主题,新版标准则把更多的目光投向组织业务关系,更多地考虑到组织自身及利益相关方的需求,这也是时展的整体趋势。新版控制措施ISO27002从旧版的11个领域更新为14个领域,删除了旧版中一些重复的和操作级的控制项。具体是旧版通信与操作管理被划分成为两个独立的领域操作安全和通信安全,足以见新版对这两个领域的重视;新增密码学和供应关系两个独立领域。新版ISO27001将旧版中4.1章节即有关建立和管理ISMS的总要求独立成出来;为了使逻辑性更加严谨,人力资源安全、资产管理以及访问控制位置发生一定改变;从章节上讲,由8个章节拓展到10个章节,重新构建了ISO标准PDCA的章节构架。
2.2 关于PDCA模型
此处对于PDCA模型以及新版标准的划分做一简单说明:PDCA模式是国际认可的模型,很多著名的标准和管理体系都遵循这一模式。该模型是一个很好的周期性框架,每个阶段都与其他阶段相关联。
PDCA模型分别由四部分组成:P(Plan)――建立ISMS, 根据组织的整体策略和目标,确定活动的计划,包括第四至七章(组织背景、领导力、计划、支持);D(Do)――实施和运作ISMS,实际地去完成计划中的内容,包括第八章(运行);C(Check)――监视和评审ISMS,总结实施和运作的结果,查找问题,包括第九章(绩效评价);A(Action)――保持和改进ISMS,对评审的结果做出处理,成功的经验要进行保持和推广,失败的教训要寻找原因,避免下次再出现同样的错误,没有解决的问题放到下一个PDCA循环中,包括第十章(改进)。
PDCA模型是管理学中常用的一个模型。该模型在运作过程中,按照P-D-C-A 的顺序依次进行,一次完整的循环可以看作是管理学上的一个管理周期,每经过一次循环,管理情况就会得到改善,同时进入更高的P-D-C-A周期循环,组织的管理体系不断的得到提升,管理水平也不断提高。而这四个步骤成为一个闭环,通过这个环的不断运转,使信息安全管理体系得到持续改进,使信息安全绩效螺旋上升。
新的内容将使企业的侧重点不同,从上面的论述中明显可以看出新标准在企业建立信息安全体系之前加重了对企业内外环境信息安全的重视,在构建信息安全体系之前需要企业全方位考虑其组织环境、企业资源、管理现状,了解其发展所面临的机遇与风险,从而高标准、高精度、高要求来对待信息安全管理工作。
对于软件行业来说,信息安全体系已初步建立和实施,主要是监视评审并持续改进自身信息安全体系的工作――PDCA模型的C和A。
3 软件行业信息安全现状及新标准变化下应对策略
软件行业是对信息安全要求最高的行业,也是企业引入国际信息安全管理体系IS027000通过认证最多的行业。前面已经提到,软件行业已经初步建立和实施自己的信息安全体系,面对新版ISO27000的要求,大刀阔斧地重新开始构建体系势必会给企业带来大的浪费和困扰。因此,在新的要求下如何监视并改进ISMS是软件行业中企业面临的最大的问题。ISO27001新标准中把旧版4.1独立成章作为建立体系之前的组织环境的了解,将原来的领导力、可实现信息安全的计划、资源等的支持都放入构建ISMS之前,也就是说软件行业在监控并改进信息安全管理体系上要从这些方面完善自身。而这些方面在其信息安全管理措施上简单归纳为两个方面:管理和技术。企业需要通过管理和技术的双方面进行控制和管理来改善信息安全体系。
3.1 管理角度分析
从管理角度考虑,企业信息安全管理体系中所需采取的安全管理方面的措施主要包括物理安全管理、数据安全管理、人员安全管理、软件安全管理、运行安全管理、系统安全管理、技术文档安全管理,通过对风险的技术性控制和管理的实施、部署后,在风险控制管理中能保证防御大量存在的威胁,技术性的控制管理手段不仅包括从简单直至复杂的各种具体的技术手段,还包括系统架构、系统培训以及一系列的软件、硬件的安全设备,这些措施和方式应该配套使用,从而保护关键数据、敏感信息及信息系统的功能。而这些也是ISO27001中第四章组织的背景、第五章领导力、第六章计划、第七章支持对企业的具体要求。
主要管理措施可以从几个方面出发。
(1)建立信息安全管理体系监督机制、在体系运行期间,要进行有效的检查、监督、反馈和沟通,保证信息安全管理体系能够按照公司制订的方针策略,满足公司业务的需求。
(2)根据企业自身的特点,制订可行的奖惩制度,将信息安全的管理纳入到绩效考核,直接与工作和奖金挂钩,将对违反信息安全管理体系规定进行惩罚。
(3)建立内部审核制度,各部门应按照信息安全管理体系的要求,进行自查和由负责部门进行随时抽查,并在每年定期组织检查,对表现好的单位给予嘉奖,同时对违反的单位进行惩罚,并进行公示;同时对信息安全审计、安全事件处理和外部组织进行反馈沟通,检查信息安全管理体系的有效性和合理性。
(4)考虑组织和技术等的变化对信息安全管理体系的影响,应实时更新相关的规章制度,具体变化情况如:组织变化、技术变革、业务目标流程的改变、新的威胁和风险点的出现、法律法规的变化等;通过不断的优化和改善,使信息安全管理体系能够永远适合企业业务的需要。
3.2 技术角度分析
新版ISO270002控制措施中新增和调整了一些措施,涉及信息系统开发、信息安全事件管理、业务连续性管理等部分,这些要求对软件行业中企业的具体实行至关重要。从技术角度考虑,软件行业企业信息安全管理体系中所需采取的安全技术体系包括几个方面。
3.2.1物理环境安全信息系统硬件安全
这是无论旧版控制措施还是新版都没有丝毫改变的控制项,也是软件行业中企业应加强管理的基础。在公司的信息系统硬件管理上,首先对机房的硬件环境进行安全管理,包括温度、湿度、消防、电力等安全管理,对关键的应用需要采取UPS供电,同时采取相应的备份,对硬件的使用率进行实时地监控,避免硬件的使用率过高造成业务持续性的影响,另外需要对硬件的物理环境进行监控,避免非法人员的进入,同时也是对管理员的日常行动进行监控,最后需要对机房人员和物品的出入进行权限的管理和等级制度。
3.2.2操作系统与应用程序安全
这是新版控制措施新增的安全开发策略和系统开发程序等对企业新的要求,保证操作系统与应用程序的安全会保护企业在系统开发和集成工作的安全开发环境,使企业整个开发周期安全。
(1) 操作系统安全。除了进行必要的补丁和漏洞的管理和更新外,最主要的是进行防病毒管理,通过杀毒软件来防止非法的木马、恶意代码、软件对操作系统的安全影响;应用程序安全――直接关系信息系统的安全性,通过硬件、软件的安全保护来保证应用程序的安全。
(2) 密码算法技术。密码学在新版控制措施中独立成为一个领域,这就是企业必须要引起重视的理由,密码算法技术,密码算法技术应用主要是确保信息在传送的过程中不被非法的人员窃取、篡改和利用,同时接收方能够完整无误的解读发送者发送的原始信息。
(3) 安全传输技术与安全协议技术。这是针对新增供应关系领域企业需要加强的技术。为减缓供应商以及其他用户访问企业资产带来的风险,对于重要的系统和对外的访问,进行安全的传输技术,以此来保证信息在传输过程中的安全,避免被非法用户窃取、篡改和利用。
(4) 安全协议技术。主要是指身份认证功能,目前企业系统的安全保护主要都是依赖于操作系统的安全,这样入侵系统就非常容易,因此需要建立一套完善的身份认证系统,其目的是保证信息系统能确认系统访问者的真正身份,身份认证协议都是使用数据加密或数字签名等方法来确认消息发送方的身份。
(5) 信息处理设备冗余部署。这在新版控制措施第十七章信息安全方面的业务连续性管理中作为新增的控制措施,要求企业识别信息系统可用性的业务需求,如果现有系统框架不能保证可用性,应该考虑冗余组建或架构。在适当情况下,对冗余信息系统进行测试,保证在发生故障时可以从一个组件顺利切换到另外一个组件。
4 结束语
信息安全管理体系的建设改进工作是持续进行的,是会随着公司业务的发展、技术的更新、以及新标准的要求等不断变化的。它需要采用科学的方法来保证体系的持续稳定运行,从而使信息安全管理体系化、常态化的保持下去。而新版ISO27000在信息安全体系的工作上,使各行各业都有了新的指导。本文主要针对软件行业做出一定解读。总体来讲,我们需要对己经建立的信息安全管理体系进行监督、完善、优化,这实际上还是要求企业贯彻执行PDCA模型,无论从管理还是具体操作上不断进行PDCA循环,才能使得企业信息安全管理体系不断改进和优化。
参考文献
[1] 高仁斗.企业安全工作中存在的问题与对策[J].中国职业安全卫生管理体系认证,2004(05).
[2] 蒋永康,朱冬林,潘丰.我国中小企业法律法规体系建设现状及对策[J].管理工程师,2012(06).
[3] 杨爱民.电子商务安全的现状及对策探讨[J].科技资讯,2006.6.
作者简介:
当前的很多保险企业当中仍然存在
的问题就是计算机信息安全管理问题,而且这个问题也是各国企业比较常见的问题,亟待采取有效的解决措施。在一些相对比较发达的企业,就可能会存在更多的信息安全隐患。首先,当前的互联网正在快速地发展和进步,并加大了对信息技术的改革与创新,与此同时也衍生出很多的恶意项目工具,甚至信息系统本身也存在一定程度的漏洞,这些就可能会促使一部分的不法分子有机可乘;其次,保险企业本身并未对信息安全的管理工作给予高度的重视,从而导致信息安全问题层出不穷。如今,我国保险行业得到了快速的发展,加之外界环境因素的影响,从而暴露出越来越多的问题,此时就需要对这些问题进行全面、系统的分析。
1.1缺乏完善的法律法规
如今,虽然现在与计算机信息安全管理有关的条文比较多,但是他们被分散于各种标准、管理办法、法律、法规及道德规范等多个方面,然而,当前并不具备一套系统、完善的法律法规来更进一步地保障信息的安全问题。同时,当前现有的一些法律法规,可能是因为仍然有很大一部分的相关安全技术和手段还没有达到足够的成熟和标准化,这样就更加不容易去执行一些相关的法律法规。因此,如果缺少一些与保险行业相匹配的信息安全管理法律法规,从而导致保险企业无法顺利的开展相关工作,不利于计算机信息安全管理体系的构建。
1.2缺乏足够的重视
当前仍然有很大一部分的保险企业的管理层不是非常注重和关注一些相关的信息安全管理工作,而且他们并没有在进行管理工作的过程中投入足够的人力、物力以及财力等。有很大一部分的保险企业在治理公司过程中,只会对保险企业的适当地调整销售策略、业务规模发展问题、优化组织结构、相关运营流程等给予关注,这些公司都不是足够重视对信息安全管理问题的处理,他们都忽视了信息安全问题会影响保险企业的发展。实际上,在市场经济体系下,大多数保险企业只有在遇到信息安全事件后才会对计算机信息安全管理体系给予重视。此时,就需要保险企业在公司平时进行治理工作的过程中,他们能够投入更多的时间和精力来对现有的信息安全管理体系进行补充和完善,并给予高度的重视,从而有效提高信息安全管理体系建设效率。
1.3对风险评估力度不够
在信息安全管理体系建设过程中,大多数保险企业不能够准确地评估对于该过程中可能会存在的风险,并未对信息化过程中可能出现的安全风险问题给予综合考虑。一般情况下,他们可能只会考虑到一些相应的信息技术问题,但是并没有认真地思考在运用信息系统之后可能会显现出来的信息安全问题。实际上,保险企业不管是否对信息安全管理系统中所存在的安全风险问题进行评估,从而给保险企业的发展带来不利影响。一旦信息安全管理体系出现比较严重的问题,不仅会造成无法弥补的损失,而且也不能够实行一些正常的业务操作,甚至还可能会造成一些非常严重的后果,比如是企业内部机密泄露、重要数据被盗或被篡改、客户个人信息泄露等问题。因此,越来越多的保险企业由于对风险评估力度不够,从而导致系统本身存在操作失误、缺陷等原因而诱发的一系列安全问题。
1.4未明确安全管理责任划分
对保险企业来说,虽然对信息安全管理体系的建设给予了高度的重视,但是他们缺乏一套与企业发展相匹配的安全管理制度,未明确安全管理责任的划分,从而在一定程度上影响了保险企业的发展。如果这些企业现在还没有制定出一些相关的信息安全管理制度并能够坚持执行,而且企业在出现相应的信息安全问题之后,并不能够非常清晰地划分出具体的责任人,这样时间越来越长,就会在信息安全问题的监管方面出现越来越大的漏洞,自然而然地,也更加不容易去形成一个可以控制的信息安全管理体系。对于一个保险企业而言,在他们公司所出现的一些信息安全管理问题,需要每一位企业员工给予重视,而不能依靠企业当中的某一个人或某一个部门单独负责来对安全管理问题进行处理。对于保险企业而言,他们必须制定出相应的制度并划分出比较明确的责任,而且每个部门都应该有一个负责人来负责信息安全问题,以确保问题发生时能够有人给予立即处理。如果不设置一个负责人的话,就可能对信息安全管理体系的构建问题产生一定的影响,还会阻碍一个企业的信息安全管理工作和任务的完成。因此,对于保险企业而言,在处理这些现实状况以及各种各样问题的时候,则需要结合实际情况构建一套系统、完善的信息安全管理体系,从而使安全风险问题得到有效解决,更好的发挥信息安全管理体系建设的优势,确保保险企业的健康、可持续发展。
2保险企业计算机信息安全管理体系构建的对策
2.1健全和完善安全管理标准
对于保险企业而言,要想更好的推动信息安全管理体系构建,就需要对现有的信息安全管理标准进行健全和完善,并更加深入的分析和归纳信息安全管理标准内容,不仅需要考虑信息技术相关的问题,而且还不能够忽略信息安全管理问题。在进行计算机安全管理研究过程中,为了获取比较良好的研究成果,则需要进一步健全信息安全管理标准,并创建信息安全标准化组织和信息安全管理标准框架,以确保信息安全管理体系构建工作有条不紊的进行。在我们国家,虽然在研究信息安全的时候,不是很早,但是经过当前不断的完善过程,我们国家也制定出了一个更加符合我们国家基本国情的信息安全管理标准。
2.2实现科学的信息安全管理
对于保险企业而言,他们如果想要更好地实现比较科学的信息安全管理,就必须要充分地考虑到信息安全问题可能诱发的不利影响。对于保险企业而言,在信息安全管理方面,不仅需要有效地管理机构安全和人员安全的管理,而且要做好场地设施和技术安全的管理工作。同时,保险企业还需要采取比较科学的方式,从而可以有效地构建一套可实施的、科学合理的计算机系统安全管理体系,并结合实际情况制定一套规范、完善的安全防范措施,选择一些可靠性比较大的、比较稳定的、比较安全的产品,并对现有的安全评估标准和等级进行细化和完善,以便能够进行一些有效的检查策略,从而可以更好地开展信息安全管理工作,为保险企业的发展奠定良好的基础。
2.3重视安全风险评估工作
A企业是某欧洲跨国金融公司在广东的IT服务外包公司,主要对母公司在亚太地区的业务提供软件开发和维护工作,企业的核心业务构建和运行在以信息技术为基础的网络和系统上。作为金融行业的IT外包公司,提升A企业的信息安全管理水平也成为企业内部和外部的紧迫要求。
ISO27000信息安全管理体系要求是国际标准化组织颁布的有关信息安全管理的标准,此标准采用了PDCA循环管理的方法,以求最终建立适合企业需要的信息安全管理体系。其实现主要通过现场诊断、风险评估、体系制度编写、试运行和外部审核几个阶段,而整个项目的出发点就是完善资产管理。
A企业正是选择了通过ISO27000架构构建信息安全体系。在ISO27000的管理框架下,资产是指任何对组织有价值的信息或资源,根据表现形式的不同,与信息相关的资产可分为数据、文件、软件、硬件、服务、人员等类型。资产识别的正确性和准确性对于后续的风险要素评估及信息安全策略至关重要。
本项目之前,A企业有来自总部的一些信息安全方面的基本要求,但要求较为抽象、概括,并没有在本地形成有效的管理体系。在信息资产管理方面,A企业就信息资产进行了一些定义,制定了部分规章,但不够系统和完整。对于信息资产的管理更多地限于IT部门管理的硬件及软件等有形资产的管理上,没有从数据的角度出发,也没有把服务、人员以及其他非IT资产视为信息资产的一部分纳入信息资产保护的范畴。
因此,在构建新信息安全管理体系项目中,A公司在进行资产识别时,将信息资产按照信息、文档、软件、硬件、人员及服务六大类进行分类。其具体实施过程为:
1、将原有的信息资产清单依照上述六类进行划分。在此基础上,依照公司的组织架构和业务范围与各部门负责人进行访谈,了解业务流程,以识别所有的信息资产。
2、对于每一项信息资产,根据“谁使用,谁负责”的原则确定责任人。由责任人负责对信息资产进行分类、分级。同时可设定 “维护人”,由“责任人”将具体的安全职责委派给“维护人”,但“责任人”仍须承担资产安全的最终责任。
3、由信息资产责任人对资产进行分级评分。按照信息安全的三要素:机密性、完整性、可用性,对资产分三个要素进行赋值(如表1示):
4、基于对每一项信息资产的在机密性、完整性、可用性三方面的赋值,通过矩阵计算出信息资产的总价值(如表2示)。
在此背景下,国航与IBM公司合作启动了信息安全规划咨询项目,它旨在为国航信息安全体系建设打下坚实的理论基础。同时,国航也通过该项目完成了未来3~5年信息安全建设的发展规划,建立了信息安全管理体系,并最终于2009年5月26日通过了ISO27001信息安全管理体系国际认证,使国航成为国内民航业第一家获得IS027001国际认证的单位。
与飞行安全一样重要
由于信息化建设已经深入到国航业务的各个角落,所以,几乎所有业务都与信息技术相关,特别是涉及到客户信任度的商务及财务方面更是如此。因此,在国航未来的发展战略中,信息安全已经占据了越来越重要的位置。现在,公司上下已经形成一个共识:打造信息安全管理体系这张保护网,就像确保飞行安全一样重要。
基于这样一个共识,我们从国航的业务愿景出发,引导出了国航的信息安全愿景,即国航需要建立起一个成熟的、具备国际水平的信息安全保障体系,这个保障体系第一要保证国航的核心业务不中断,第二要保障国航信息系统不被攻击,第三要保障重要的客户信息不被泄漏,通过一个全方位的安全保障体系为国航的业务愿景保驾护航。
虽然现在已获得了ISO27001国际认证,但国航的信息安全建设经历了一个漫长的过程,大致可以分为四个阶段:
第一个阶段是在2006年以前,当时信息系统对于国航的支撑力度相对有限,同时从整个业界来看,的安全威胁还不是很明显,所以,信息安全建设的特点是以零星建设和被动建设为主。
第二个阶段是2007~2008年,随着国航核心系统逐步投入运行,以及北京奥运会的临近,的安全风险不断增加,这是,国航开始针对性地对重点领域搭建技术防护措施。
第三个阶段是从2008年开始,随着国航对自身信息安全认识的不断深入,国航按照Is02700 L的标准,建立起了信息安全的管理体系。同时,还启动了全面的信息系统战略规划,根据国际最佳实践并结合国航的特色,制定了未来3~5年信息安全技术平台建设的蓝图和路径。自此,国航整个信息安全建设有了一个更加科学和更加明细的路线图。
搭建“安全翘翘板”
整体而言,国航的信息安全体系主要是以IT基础架构和安全技术架构为基础,通过信息安全组织与人员对业务逻辑的准确理解和制度流程的有效执行,实现完整的信息安全管理过程。
应该说,信息安全体系是一个非常复杂的体系。业界有个说法叫“安全翘翘板”,这个翘翘板主要是在IT基础结构的基础上,包括三方面内容:一是技术平台,二是组织和人员,三是制度和流程,通过这三方面的有效执行,从而构成信息安全体系。另外,还要加上安全的管理架构和技术架构,最后和业务逻辑结合起来,这样才能构成一个完整的信息安全体系。
目前,依据ISO27001标准,国航建立了包含三个一级方针,三十一个二级规章的信息安全管理策略体系。通过信息安全管理策略体系的建立、北京奥运会期间的整改措施以及1S02700I外审督促,国航的管理体系评测水平不断提升,其中体系评价范围从运行维护中心到全信息管理部,IS027001中要求的十一个领域都有大幅提高。
在技术平台建设方面,国航针对一些紧迫性问题做了针对性的部署。比如网络安全架构不清晰、来自互联网的威胁日益增加、防护能力偏弱、用户行为控制存在漏洞、系统服务器安全性不足等问题,国航不但划分了安全领域,还部署了防DOS攻击、入侵检测、入侵防御等设备,另外,在重点用户单位引入终端安全管理,利用弱点扫描工具发现系统漏洞等技术措施,配合各项管理措施,很好地完成了北京奥运信息安全保障工作。
在信息安全管理体系建立过程中,国航还特别成立了公司级的信息安全管理委员会,落实了信息安全管控中心职能,借鉴国际最佳实践的功能划分,采用两级管控机制,在对组织机构不做大调整的情况下落实了安全管理责任。
国航ISO27001信息安全管理体系策略文件于2008年底正式,并组织了近200人次的信息安全培训,采用自评结合复核为主的审查方式定期对体系文件的贯彻和执行情况进行了解。通过内部认证培训,培养了专兼职质量安全员34人,以承担未来各部门的安全内审职责。
纳入安全运行标准体系
正如国航副总裁贺利所说,通过ISO27001国际认证,并不代表国航的信息安全工作已经做到位,而是意味着信息安全工作开始起步,后面需要完善的工作还有很多。
因此接下来,国航首先将不断对现有管理体系的操作细则进行完善,进一步细化信息安全管理域成熟等级评价机制,在IBM公司提出的四级评价基础上,针对国航实际情况再进行细分,持续强化规章的定期评审机制,同时要求所有部分在编写自身业务指导书时落实信息安全规章。
另外,信息管理郝还将和国航相关部门一起建立基于岗位信息资源的管控机制。以后国航每一个岗位上的工作人员,可以访问什么样的内容,能够访问多大的资源,都和岗位密切结合起来,这样就能使信息安全的控制预先做好相应的防控。
作者简介:谢宗晓(1979-),男,山东日照人,南开大学商学院博士研究生,研究方向:信息安全管理、网络组织与治理等。
1引言
无论信息安全的关注点从单点转向系统,还是其手段从单纯的技术/管理转向体系,安全体系的核心始终都是用户。因为在所有安全机制中,一方面,用户是机器系统的使用者,也是安全策略的执行者,作为主体方存在;另一方面,用户是安全策略约束的对象,作为客体方存在。
用户在信息安全实践中的作用往往被认为是消极的,有些研究认为,在任何系统的安全机制中,人是最薄弱的环节[1-2]。但是,目前不存在完全不需要用户参与就能够智能识别并适应环境变化的安全防护系统,就这点而言,用户参与在现阶段是不可避免的。此外,ISO/IEC27001:2005指出,信息安全的主要目的是确保业务连续性、业务风险最小化、投资回报和商业机遇最大化,也就是说信息安全是基于业务要求的适当安全,过度的安全往往意味着浪费。Spears等[3]的研究表明,用户参与风险评估和控制措施设计过程可以提供足够的业务信息,避免不切实际的安全控制,使实现适当的安全成为可能。因此,用户参与在信息安全实践中是必须和必要的,本研究的目的是探讨用户参与在信息安全管理(informationsecuritymanagement,ISM)有效性中的作用。
2相关研究评述
2.1用户参与
用户参与的研究开始于20世纪60年代[4-5],目前多集中在信息系统开发领域中,在相当长的一段时间内,用户参与和用户涉入的概念被认为同义。Barki等[4,6]第一次将用户涉入与用户参与的概念分离,认为用户参与是系统开发过程中用户执行的一系列行为或活动,用户涉入是用户对一个系统的重要性以及与个体关联程度认识的主观心理状态。
用户参与理论假设用户参与与以系统质量、用户满意度、用户接受度、系统应用等定义的系统成功之间存在关联[5],其中隐含的含义为,在信息系统开发过程中的用户参与并不是必须的,而在信息安全实践中的用户参与则明显不同,只有部分参与与全员参与的区别,并不存在是否参与的区别。Doll等[7]认为,在强制环境下,用户涉入与用户参与没有区别。由于用户参与在信息安全情境中已经隐含了强制环境的含义,因此本研究也认为用户涉入与用户参与同义。为了研究方便以及与信息系统开发过程形成更好的对应,本研究中的用户参与是指用户在安全策略制定过程中的一系列行为或活动。
在信息安全研究领域,绝大多数研究都在关注安全功能的实现,Dhillon等[8]在对文献进行分类梳理后认为,信息安全研究主流必然从关注功能的范式转向基于社会-组织视角的研究;Ashenden[9]反思人在信息安全管理中的作用,认为其中来自人的挑战被忽视了,并建议从管理学和组织行为学的角度研究信息安全管理所面临的困境。之后涌现出的基于社会-组织视角的信息安全相关研究中,人的因素明显成为热点,Johnston等[10]认为恐惧诉求会影响员工遵守安全策略;Bulgurcu等[11]认为员工遵守安全策略受规范信念和自我效能等因素的影响。
但是,这些关注员工遵守安全策略的研究与以往的功能范式研究假设前提一样,即用户参与(在信息安全中一般称作人的参与)是作为消极因素出现,这在信息安全风险评估和管理中尤为明显。一般认为人工评估是目前信息系统复杂到无法进行全定量化和全自动化评估时不得不采取的一个补充手段[12-14],如何去掉信息安全风险评估和管理过程中人的参与也成为其中的重要研究目标之一[15]。
在信息安全情境中,专门研究用户参与的文献较少,仅有Spears等[3,16]探讨用户参与在信息安全风险管理中的作用,并得出用户参与对信息安全风险管理有正向作用的结论,但对用户参与在信息安全中的定义未进行深入探讨,直接用信息系统开发中的系统开发替代风险管理。问题在于,在定义信息安全术语的ISO/IEC27000:2009以及类似文献中并没有明确的用户参与的词汇,只有管理者、用户以及全员参与等相关或相似词汇。更重要的是,信息安全的概念比信息系统安全的概念大得多,后者主要围绕信息系统展开,前者则包括与信息有关的所有方面,如信息系统安全、环境安全、通信安全和人员安全等各个方面。
2.2信息安全管理有效性
什么是成功有效的信息安全管理,目前并没有统一的标准。无论是DeLone等[17]研究中涉及的6个维度的信息系统成功模型,还是He等[18]得到的2组8个因变量,都是关注信息系统的成功应用,其本质是效率或便利性的提高。但是几乎所有的安全控制都增加了系统的操作复杂度,从而降低了效率,或者说,安全性与便利性存在某种程度上的矛盾。信息系统成功和信息安全管理成功指向不同的目标,因此,在信息安全管理情境下不能直接引用已有的信息系统成功模型。
已有的信息安全研究中对于有效性的表述各不相同。Chang等[19]在探讨组织文化对安全管理有效性影响时,将有效性表述为安全管理有效性,并用保密性、完整性、可用性和可核查性作为变量来表征;D'Arcy等[20]在研究员工安全意识对信息系统误用的影响时,将有效性表述为有效的安全对策;Brady[21]在研究影响信息安全法律法规符合性的影响因素时,将有效性表述为安全有效性,并延用了Chang等[19]的研究构念。
无论表述为哪个概念,绝大部分的研究在讨论有效性时都是依据安全属性和安全目的进行判断。ISO/IEC27002:2005对信息安全的定义是保持信息的保密性、完整性、可用性,也可包括真实性、可核查性、不可否认性和可靠性等。这个定义本身就包含了信息安全管理的主要目标,也包括了7个最常见的安全属性描述。实际上学术界普遍认可的信息安全的3个核心属性是保密性、完整性和可用性,也称为信息安全金三角或CIA(confidentiality,integrity,availability)框架[22],而对真实性、可核查性、不可否认性和可靠性的认识则各有不同。为了研究方便,本研究选取3个核心属性表征信息安全管理的有效性。当然,有效的信息安全管理还要考虑更多的因素,如应该遵循成本效益分析的原则[23-24]等。
2.3信息安全管理体系
信息安全管理体系(informationsecuritymanagementsystem,ISMS)概念最初源于BS7799,它是基于业务风险方法建立、实施、运行、监视、评审、保持和改进信息安全,包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源等内容。信息安全管理体系的支撑标准是ISO/IEC27000标准族,共有60个标准,编号为ISO/IEC27000~ISO/IEC27059,其中最重要的标准ISO/IEC27001:2005和ISO/IEC27002:2005已经被等同为国家标准,即GB/T22080-2008和GB/T22081-2008。
本研究以信息安全管理体系为背景研究用户参与在信息安全管理中的作用,选择信息安全管理体系作为研究用户参与的背景主要原因如下。
(1)一般认为信息安全管理体系是信息安全管理的一个可接受模型或最佳实践[19,23-25],而且目前信息安全管理体系应用非常广泛。截至2011年6月,世界范围内已经通过信息安全管理体系注册的组织共有7279家,中国有497家(http:∥iso27001certificates.com/)。
(2)信息安全管理体系包括可能涉及的所有信息安全管理活动,ISO/IEC27000标准族不但给出建立、实施、运行、监视、评审、保持和改进信息安全的基于业务风险的方法,而且还给出信息安全管理体系的要求、实用规则、审核指南以及相关安全域的具体指南等,仅ISO/IEC27002:2005信息安全管理实用规则就包括11个控制域、39个控制目标、133项控制措施。
(3)信息安全管理体系相关标准是鼓励用户参与的,部署过程按照Plan-Do-Check-Act的戴明环,阶段划分明显,而且大部分的部署组织会申请第三方认证,并在中国认证认可协会注册,因此研究者可以非常清晰地判断组织是否部署了信息安全相关措施、是否在信息安全实践中有用户参与行为等。
3研究假设和模型构建
3.1用户参与对信息安全管理有效性的直接影响
Ives等[26]对1959年至1981年的用户参与与信息管理系统成功之间关系的实证研究进行梳理发现,22项研究中有8项表明用户涉入与系统成功正相关;Cavaye[27]对1982年至1992年的研究分析得出的结果基本类似,19项研究中有7项表明用户涉入与系统成功正相关,部分研究是无定论或负相关;He等[18]从464项研究中选择82项实证性研究进行元分析,认为用户参与和信息系统开发的态度和行为与生产率存在不同程度的正相关。
虽然信息系统成功和信息安全管理成功指向不同的目标,但两者的开发过程存在极大的相似性。信息安全管理体系的部署过程实际上是一整套安全策略体系的开发过程,可认为是系统开发的一种,信息系统开发的过程包括需求分析、概要设计、详细设计、编码、测试、上线、维护升级等阶段,信息安全管理体系的部署过程包括风险评估、体系设计、文件设计与编写、试运行、持续改进等过程。信息系统开发与信息安全管理体系部署的对应关系见图1。
基于此,本研究提出假设。
H1用户参与对信息安全管理有效性有显著的正向作用。
3.2信息安全意识及其中介作用
信息安全良好实践(thestandardofgoodpracticeforinformationsecurity,SoGP)将信息安全意识定义为组织内所有的员工理解信息安全的重要性,清楚组织所适用的安全级别,知悉并履行个人的安全职责。
用户参与到建立信息安全管理体系的过程中,并承担各种安全责任,可以加深用户对信息安全的理解。Spears等[3]通过研究认为,用户参与到信息安全风险管理的过程中可以提高组织对信息安全风险和控制措施的重视程度,从而提高用户的信息安全意识。基于此,本研究提出假设。
H2用户参与对信息安全意识有显著的正向作用。
Kruger等[28]认为,安全控制的应用效果依赖于积极的安全环境,其中每个人都具有较高的信息安全意识,都理解并执行组织内的程序和规程;反之,在消极的安全环境中,安全控制不但得不到有效的应用,甚至会被规避和滥用。按动机分,主要有以下两种情况。
(1)故意的。如银行业务系统用户的非法外联,由于不理解信息安全的重要性,不了解后果的严重性,这类用户往往并不知悉组织的信息安全惩戒措施或相关的法律法规,可以归结为信息安全意识薄弱。
(2)无意的。如服装设计人员不知悉哪些信息需要保密、哪些信息可以公开,将作废的设计图纸随手扔进垃圾箱,这可能导致信息泄漏,影响信息的保密性。再如,有些用户对主机的安全操作规程不了解,随便重启服务器,这可能导致宕机,并由此影响信息的可用性。
这些导致信息安全管理失效的行为或多或少与信息安全意识相关联。
基于此,本研究提出假设。
H3信息安全意识对信息安全管理有效性有显著的正向作用。
H4信息安全意识在用户参与与信息安全管理有效性的关系中起中介作用。
3.3业务流程结合及其中介作用
系统质量理论认为,用户参与可以使开发者真正了解系统需求,从而提高系统质量[29-31]。在信息安全管理情境中,没有涉及质量这一概念,ISO9000:2005对质量的定义是,一组固有特性满足要求的程度,按照这个定义,信息安全管理的要求是满足组织业务对安全的需要。用户(尤其是业务流程负责人)参与到信息安全管理的建设过程中可以使安全策略开发者了解业务过程,同时也使他们自己更加理解安全策略目的,从而促进安全策略与业务流程进行结合,提高安全策略的质量。Spears等[3]的研究证实用户参与可以使信息安全风险管理更加符合业务情境。基于此,本研究提出假设。
H5用户参与对业务流程结合有显著的正向作用。
对用户参与信息系统开发与系统使用之间关系的研究表明,只有在可选择应用的环境中进行研究才有意义[17]。但Barki等[4]认为,即使在强制应用环境中,用户还是可以根据自己的判断(如态度和意愿)控制使用的程度,而信息系统的使用程度正是信息系统成功的参数之一。
信息安全管理是强制环境,但是在实际应用中安全策略的设计者出于尽职免责的心态,很容易陷入过度安全的状态,而业务流程负责人出于对自身利益的考虑则希望尽量减少安全控制对正常业务的影响,这种矛盾的存在往往会导致安全策略使用程度(被遵循程度)降低,即安全策略未得到有效实施。
由安全主管和业务流程人员共同参与设计安全策略是解决这个矛盾的途径之一,这个过程往往是一个博弈的过程,最后一般会使组织的安全策略符合基线标准。只有这种充分考虑了业务要求的安全策略才能得到高“使用程度”,进而提高信息安全管理的有效性。因此,本研究提出假设。
H6业务流程结合对信息安全管理有效性有显著的正向作用。
H7业务流程结合在用户参与与信息安全管理有效性的关系中起中介作用。
综上所述,提出本研究模型,如图2所示。
4研究设计
4.1样本选择
研究者从2011年6月前通过信息安全管理体系认证的497家中国公司随机抽取30家,给每家公司发放10份问卷,以邮寄的方式将问卷发放给被选公司的信息安全负责人,随后以第三方认证机构电话确认的方式,请公司信息安全负责人组织公司相关成员填写问卷,并以邮寄的方式回收问卷。收回256份问卷,剔除问题填写不完整的22份问卷,最终纳入数据分析的问卷共234份,问卷的有效率为78%。填写问卷人员的描述性统计如表1所示,其中男性占60.684%,女性占39.316%,与目前信息安全从业人员性别比例基本相符。
4.2变量和测量
4.2.1自变量:用户参与
用户参与沿用Barki等[6]和Spears等[3]的测量框架,按项目阶段确定关键活动。信息安全管理体系采用PDCA框架模型,阶段划分明确,本研究也采用分阶段罗列关键活动的方法对用户参与程度进行测量,每阶段选取7项关键活动,用户参与其中一项得1分,否则为0,以此类推,每个阶段的用户参与结果最小值为0,最大值为7。
用户参与问卷以ISO/IEC27001:2005和谢宗晓等[22,32]描述的信息安全管理体系部署过程中一系列关键活动为基础,选择36项关键活动,其中计划阶段12项、执行阶段12项、检查阶段8项、改进阶段4项,并把检查和改进阶段合并为12项。在信息安全管理体系从业人员中选取22人,采用多选项-多选择量表的方法,限定从业人员分别从36项关键活动中选择7个认为最重要的选项,从业人员分布见表2,选择结果统计见表3。
4.2.2中介变量:信息安全意识和业务流程结合
无论在萨班斯奥克斯利法案还是在信息安全管理体系的情境下,信息安全意识和业务流程结合的含义基本一致,都是为了提高信息安全管理的有效性。信息安全意识量表和业务流程结合量表修改自Spears等[3]的问卷,该问卷为Likert7点量表,1为非常反对,7为非常支持。
4.2.3因变量:信息安全管理有效性
采用Chang等[19]设计、Brady[21]沿用并修改的Likert7点量表测量信息安全管理有效性,1为非常反对,7为非常支持。
由于信息安全意识、业务流程结合和信息安全管理有效性的测量量表引用自英文文献,为了保证问卷的有效性,研究者将英文翻译成中文,请两名中文专业硕士研究生对问卷的行文进行修改以符合中文习惯,然后请两位信息安全领域的专家比对问卷的中英文内容并审核确认,所有变量及问卷项见表4。
4.3构建有效性
用户参与、信息安全意识、业务流程结合和信息安全管理有效性4个潜变量的信度(Cronbach'sα)、均值、标准差、极值和相关系数如表5所示。用户参与、信息安全意识、业务流程结合、信息安全管理有效性的Cronbach'sα系数分别为0.723、0.802、0.640、0.948,信度较高,在可接受范围内。Mithas等[33]认为,来源于实践、经过长期的实践检验且有权威来源的量表(如国际标准和国家标准)能够保证测量的效度。本研究中问卷的测量符合以上要求,因此能够保证效度。
4个潜变量之间的相关系数全部达到显著相关,数据适合多重中介模型检验。
5实证结果和分析
5.1同源方差分析
由于本研究中变量数据均来源于自称式问卷调查,容易导致变量之间的关系不能反映潜在构念之间的真实关系,即共同方法偏差的存在容易导致构念效度的降低,甚至影响研究假设的接受或拒绝,增加犯Ⅰ类错误或Ⅱ类错误的概率[34]。沿用Podsakoff等[35]和周浩等[36]的方法,本研究采取验证性因子分析方法分两步对问卷共同方法偏差进行分析,检验结果如表6所示。
采用Harman单因子检验方法对用户参与、信息安全意识、业务流程结合和信息安全管理有效性进行检验,如果方法变异明显存在,验证性因子分析的结果容易析出一个单独因子或者一个公因子解释大部分变异[37]。由表6可知,单因子模型的拟合指标没有达到可以接受的标准,NNFI=0.848,CFI=0.863,RMSEA=0.186。然而Harman单因子检验方法的假设前提存在明显的缺陷,除非存在非常严重的同源偏差问题,否则一个公因子解释大部分变量变异的情况一般不会出现。为进一步探查同源偏差的可能性,本研究采用不可测量潜在方法进行因子检验,比较有共同方法偏差的模型与没有共同方法偏差的模型,如果后者的拟合指数优于前者的拟合指数,表明变量数据不存在共同方法偏差。由表6可知,四因子模型的拟合指数比较好,RMSEA<0.080,CFI>0.900,NNFI>0.900,对四因子模型与其他3个竞争模型的χ2和AIC指标(值越小越好)[38]进行比较,无共同方法偏差的四因子模型明显优于其他3个有共同方法偏差的模型,说明各变量间不存在明显的同源方差,用户参与、信息安全意识、业务流程结合和信息安全管理有效性具有良好的区分效度。
5.2结果分析
多重中介模型的验证方法有多种,MacKinnon等[39]提到14种验证路径的方法,在所有验证方法中,Preacher等[40]和Sobel[41]都推荐Bootstrapping方法,认为该方法模型参数估计更为稳健,结论也更可靠,更能避免Ⅰ类错误,尤其是进行多重中介研究时。本研究采用Bootstrapping方法,使用Preacher等[40]提供的SPSS宏,使用SPSS18.0验证多重中介模型。按照提出的研究假设,将用户参与设定为自变量,将信息安全意识和业务流程结合设定为中介变量,将信息安全管理有效性设定为因变量,样本数量设置为5000,置信区间设置为95%,对如下方程回归系数的显著性进行检验,结果见表7和表8。
其中,c、a1、a2、c'、b1和b2为回归系数,ε1~ε4为残差。
由表7可知,c=0.674(p<0.001),达到显著水平,表明用户参与程度的不同显著影响信息安全管理有效性的高低,支持H1,同时也为中介效应的检验提供了基础。a1=0.555(p<0.001),a2=0.421(p<0.001),表明用户参与对信息安全意识和业务流程结合有显著正向作用,支持H2和H5。b1=0.279(p<0.050),b2=0.183(p<0.050),表明信息安全意识和业务流程结合对信息安全管理有效性有显著正向作用,支持H3和H6。
整体模型指标中,F=26.508,p=0.000,说明自变量用户参与通过中介变量信息安全意识和业务流程结合对因变量信息安全管理有效性的影响达到显著水平。此外,模型的解释率R2为0.247,表明还有其他变量能够纳入模型,这也是下一步研究的方向。
由表8可知,用户参与对信息安全管理有效性总的间接效应为0.155(a1b1)+0.077(a2b2)=0.232,对应的Z检验结果为3.581(p=0.000),偏差矫正与增进95%bootstrap置信区间为{0.120,0.352},置信区间不包括零。因此,拒绝总的间接效应为零的虚无假设,表明总的间接效应显著。
在多重中介方法中,不但要关注总的间接效应,也要关注单独的中介效应,由表8可知,中介效应值如下。通过信息安全意识:a1b1=0.155(Z=2.569,p<0.050),偏差矫正与增进95%Bootstrap置信区间为{0.048,0.270},置信区间不包括零;通过业务流程结合:a2b2=0.077(Z=1.967,p<0.050),偏差矫正与增进95%Bootstrap置信区间为{0.018,0.162},置信区间不包括零。由此可见,信息安全意识和业务流程结合的中介效应显著,支持H4和H7。此外,两个中介效应的置信区间有重合的部分,且两者比较检验结果不显著(Z=0.992,p>0.050),可以认为两个中介变量起到的中介作用没有显著差异,同等重要。
本研究概念模型的验证如图3所示。
6讨论
(1)本研究验证了用户参与在信息安全管理中的正向作用,这对安全机制不能完全脱离人而运转的情况具有非常积极的意义。
(2)本研究解释了用户参与如何正向影响信息安全管理有效性。Spears等[3]验证了在萨班斯奥克斯利法案情境下用户参与对控制措施绩效的正向作用,但是并未揭示用户参与如何影响控制措施绩效。本研究通过构造多重中介模型,揭示了用户参与可以有效地提高员工的信息安全意识,促进业务流程结合,使组织的信息安全管理体系更加符合组织的实际安全需求,最终促进信息安全管理有效性。
(3)本研究采用多重中介的验证模型,应用Preacher等[40]提供的SPSS宏,多重中介模型可以更清晰地揭示用户参与影响信息安全管理有效性的路径。
本研究结论对管理实践具有一定的指导意义,主要体现在标准制定和安全实践两个方面。
(1)本研究证实了用户参与的重要性和积极作用,为信息安全相关标准的制定、完善和提高提供了新的视角和依据。
(2)大部分组织的安全负责人都会尽量减少人在安全机制中的比重,以减少执行的不确定性,这导致2010年至2011年68%的组织在安全技术方面的投入超过整体安全预算的10%,仅17%的组织在终端用户安全意识教育方面的投入超过整体安全预算的10%,有35%的组织还不足1%;同时,有41.100%的受访组织经历了信息安全事件,攻击源来自内部用户滥用网络或邮件的占24.800%[42]。显然,组织的安全负责人应该将安全预算的分配更多地倾斜到终端用户身上。对信息安全管理体系的咨询和认证人员而言,在咨询和认证的过程中,不应仅关注安全技术的部署和安全制度的设计,也应关注如何鼓励用户参与到所有可能的活动中,并承担更多的责任。
为了贯彻国家对信息系统安全保障工作的要求以及等级化保护坚持“积极防御、综合防范”的方针,需要全面提高信息安全防护能力。贵州广电网络信息系统建设需要进行整体安全体系规划设计,全面提高信息安全防护能力,创建安全健康的网络环境,保护国家利益,促进贵州广电网络信息化的深入发展。
1安全规划的目标和思路
贵州广电网络目前运营并管理着两张网络:办公网与业务网;其中办公网主要用于贵州广电网络各部门在线办公,重要的办公系统为OA系统、邮件系统等;业务网主要提供贵州广电网络各业务部门业务平台,其中核心业务系统为BOSS系统、互动点播系统、安全播出系统、内容集成平台以及宽带系统等。
基于对贵州广电网络信息系统的理解和国家信息安全等级保护制度的认识,我们认为,信息安全体系是贵州广电网络信息系统建设的重要组成部分,是贵州广电网络业务开展的重要安全屏障,它是一个包含贵州广电网络实体、网络、系统、应用和管理等五个层面,包括保护、检测、响应、恢复四个方面,通过技术保障和管理制度建立起来的可靠有效的安全体系。
1.1设计目标
贵州广电网络就安全域划分已经进行的初步规划,在安全域整改中初见成效,然而,安全系统建设不仅需要建立重要资源的安全边界,而且需要明确边界上的安全策略,提高对核心信息资源的保护意识。贵州广电网络相关安全管理体系的建设还略显薄弱,管理细则文件亟需补充,安全管理人员亟需培训。因此,本次规划重点在于对安全管理体系以及目前的各个业务系统进行了全面梳理,针对业务系统中安全措施进行了重点分析,综合贵州广电网络未来业务发展的方向,进行未来五年的信息安全建设规划。
1.2设计原则
1.2.1合规性原则
安全设计要符合国家有关标准、法规要求,符合广电总局对信息安全系统的等级保护技术与管理要求。良好的信息安全保障体系必然是分为不同等级的,包括对信息数据保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全技术和安全体制,以满足贵州广电网络业务网、办公网系统中不同层次的各种实际安全需求。
1.2.2技管结合原则
信息安全保障体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。
1.2.3实用原则
安全是为了保障业务的正常运行,不能为了安全而妨碍业务,同时设计的安全措施要可以落地实现。
1.3设计依据
1.3.1“原则”符合法规要求
依据《中华人民共和国计算机信息系统安全保护条例K国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[20〇3]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、《信息安全等级保护管理办法》(公通字[2007]43号)和GB/T22240-2009《信息安全技术信息系统安全等级保护定级指南》、GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》、《广播电视安全播出管理规定》(广电总局62号令)、GDJ038-CATV|有线网络。
2011《广播电视播出相关信息系统等级保护基本要求》,对贵州省广播电视相关信息系统安全建设进行规划。
1.3.2“策略”符合风险管理
风险管理是基于“资产-价值-漏洞-风险-保障措施”的思想进行保障的。风险评估与管理的理论与方法已经成为国际信息安全的标准。
风险管理是静态的防护策略,是在对方攻击之前的自我巩固的过程。风险分析的核心是发现信息系统的漏洞,包括技术上的、管理上的,分析面临的威胁,从而确定防护需求,设计防护的措施,具体的措施是打补丁,还是调整管理流程,或者是增加、增强某种安全措施,要根据用户对风险的可接受程度,这样就可以与安全建设的成本之间做一个平衡。
1.3.3“措施”符合P2DR模型
美国ISS公司(IntemetSecuritySystem,INC)设计开发的P2DR模型包括安全策略(Policy)、检测(Detection)、防护(Protection)和响应(Response)四个主要部分,是一个可以随着网络安全环境的变化而变化的、动态的安全防御系统。安全策略是整个P2DR模型的中枢,根据风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等,策略是模型的核心,所有的防护、检测和响应都是依据安全策略实施的。
检测(Detection)、防护(Protection)和响应(Response)三个部分又构成一个变化的、动态的安全防御体系。P2DR模型是在整体的安全策略的控制和指导下,在综合运用防护工具(如防火墙、身份认证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态,通过适当的反应将系统调整至“最安全”和“风险最低”的状态,在安全策略的指导下保证信息系统的安全[3]。
1.4安全规划体系架构
在进行了规划“原则”、“策略”、“措施”探讨的基础上,我们设计贵州广电网络的安全保障体系架构为“一个中心、两种手段”。
“一个中心”,以安全管理中心为核心,构建安全计算环境、安全区域边界和安全通信网络,确保业务系统能够在安全管理中心的统一管控下运行,不会进入任何非预期状态,从而防止用户的非授权访问和越权访问,确保业务系统的安全。
“两种手段”,是安全技术与安全管理两种手段,其中安全技术手段是安全保障的基础,安全管理手段是安全技术手段真正发挥效益的关键,管理措施的正确实施同时需要有技术手段来监管和验证,两者相辅相成,缺一不可。
2安全保陳方案规划
2.1总体设计
贵州广电网络的安全体系作为信息安全的技术支撑措施,分为五个方面:
边界防护体系:安全域划分,边界访问控制策略的部署,主要是业务核心资源的边界,运维人员的访问通道。
行为审计体系:通过身份鉴别、授权管理、访问控制、行为曰志等手段,保证用户行为的合规性。
安全监控体系:监控网络中的异常,维护业务运行的安全基线,包括安全事件与设备故障,也包括系统漏洞与升级管理。
公共安全辅助:作为整个网络信息安全的基础服务系统,包括身份认证系统、补丁管理系统以及漏洞扫描系统等。
IT基础设施:提供智能化、弹能力的基础设施,主要的机房的智能化、服务器的虚拟化、存储的虚拟化等。
2.2安全域划分
划分安全域的方法是首先区分网络功能区域,服务器资源区、网络连接区、用户接入区、运维管理区、对外公共服务区;其次是在每个区域中,按照不同的安全需求区分不同的业务与用户,进一步划分子区域;最后,根据每个业务应用系统,梳理其用户到服务器与数据库的网络访问路径,通过的域边界或网络边界越少越好。
Z3边界防护体系规划
边界包括网络边界、安全域边界、用户接口边界(终端与服务器)、业务流边界,边界上部署访问控制措施,是防止非授权的“外部”用户访问“里面”的资源,因此分析业务的访问流向,是访问控制策略设计的依据。
2.3.1边界措施选择
在边界上我们建议四种安全措施:
1.网络边界:与外部网络的边界是安全防护的重点,我们建议采用统一安全网关(UTM),从网络层到应用层的安全检测,采用防火墙(FW)部署访问控制策略,采用入侵防御系统(IPS)部署对黑客入侵的检测,采用病毒网关(AV)部署对病毒、木马的防范;为了方便远程运维工作,与远程办公实施,在网络边界上部署VPN网关,对远程访问用户身份鉴别后,分配内网地址,给予限制性的访问授权。Web服务的SQL注入、XSS攻击等。
3.业务流边界:安全需求等级相同的业务应用采用VLAN隔离,采用路由访问限制策略;不同部门的接入域也采用VLAN隔离,防止二层广播,通知可以在发现安全事件时,开启不同子域的安全隔离。
4.终端边界:重点业务系统的终端,如运维终端,采用终端安全系统,保证终端上系统的安全,如补丁的管理、黑名单软件管理、非法外联管理、移动介质管理等等。
2.3.2策略更新管理
边界是提高入侵者的攻击“门槛”的,部署安全策略重点有两个方面:一是有针对性。允许什么,不允许什么,是明确的;二是动态性。就是策略的定期变化,如访问者的口令、允许远程访问的端口等,变化的周期越短,给入侵者留下的攻击窗口越小。
2.4行为审计体系规划
行为审计是指对网络用户行为进行详细记录,直接的好处是可以为事后安全事件取证提供直接证据,间接的好处乇两方面:对业务操作的日志记录,可以在曰后发现操作错误、确定破坏行为恢复时提供操作过程的反向操作,最大程度地减小损失;对系统操作的日志记录,可以分析攻击者的行为轨迹,从而判断安全防御系统的漏洞所在,亡羊补牢,可以弥补入侵者下次入侵的危害。
行为审计主要措施包括:一次性口令、运维审计(堡垒机)、曰志审计以及网络行为审计。
2.5安全监控体系规划
监控体系不仅是网络安全态势展示平台,也是安全事件应急处理的指挥平台。为了管理工作上的方便,在安全监控体系上做到几方面的统一:
1.运维与安全管理的统一:业务运维与安全同平台管理,提高安全事件的应急处理速度。
2.曰常安全运维与应急指挥统一:随时了解网络上的设备、系统、流量、业务等状态变化,不仅是日常运维发现异常的平台,而且作为安全事件应急指挥的调度平台,随时了解安全事件波及的范围、影响的业务,同时确定安全措施执行的效果。
3.管理与考核的统一:安全运维人员的工作考核就是网络安全管理的曰常工作与紧急事件的处理到位,在安全事件的定位、跟踪、处理过程中,就体现了安全运维人员服务的质量。因此对安全运维平台的行为记录就可以为运维人员的考核提供一线的数据。
安全监控措施主要包括安全态势监控以及安全管理平台,2.6公共安全辅助系统
作为整个网络信息安全的基础服务系统,需要建设公共安全辅助系统:
1.身份认证系统:独立于所有业务系统之外,为业务、运维提供身份认证服务。
2.补丁管理系统:对所有系统、应用的补丁进行管理,对于通过测试的补丁、重要的补丁,提供主动推送,或强制执行的技术手段,保证网络安全基线。
3.漏洞扫描系统:对于网络上设备、主机系统、数据库、业务系统等的漏洞要及时了解,对于不能打补丁的系统,要确认有其他安全策略进行防护。漏洞扫描分为两个方面,一是系统本身的漏洞,二是安全域边界部署了安全措施之后,实际用户所能访问到的漏洞(渗透性测试服务)。
2.7IT基础设施规划
IT基础设施是所有网络业务系统服务的基础,具备一个优秀的基础架构,不仅可以快速、灵活地支撑各种业务系统的有效运行,而且可以极大地提高基础IT资源的利用率,节省资金投入,达到环保的要求。
IT基础设施的优化主要体现在三个方面:智能机房、服务器虚拟化、存储虚拟化。
3安全筐理体系规划
在系统安全的各项建设内容中,安全管理体系的建设是关键和基础,建立一套科学的、可靠的、全面而有层次的安全管理体系是贵州省广播电视信息网络股份有限公司安全建设的必要条件和基本保证。
3_1安全管理标准依据
以GBAT22239-2008《信息安全技术信息系统安全等级保护基本要求》中二级、三级安全防护能力为标准,对贵州广电网络安全管理体系的建设进行设计。
3.2安全管理体系的建设目标
通过有效的进行贵州广电网络的安全管理体系建设,最终要实现的目标是:采取集中控制模式,建立起贵州广电网络完整的安全管理体系并加以实施与保持,实现动态的、系统的、全员参与的、制度化的、以预防为主的安全管理模式,从而在管理上确保全方位、多层次、快速有效的网络安全防护。
3.3安全管理建设指导思想
各种标准体系文件为信息安全管理建设仅仅提供一些原则性的建议,要真正构建符合贵州广电网络自身状况的信息安全管理体系,在建设过程中应当以以下思想作为指导:“信CATV丨有线网络息安全技术、信息安全产品是信息安全管理的基础,信息安全管理是信息安全的关键,人员管理是信息安全管理的核心,信息安全政策是进行信息安全管理的指导原则,信息安全管理体系是实现信息安全管理最为有效的手段。”
3.4安全管理体系的建设具体内容
GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》(以下简称《基本要求》)对信息系统的安全管理体系提出了明确的指导和要求。我们应以《基本要求》为标准,结合目前贵州广电网络安全管理体系的现状,对广电系统的管理机构、管理制度、人员管理、技术手段四个方面进行建设和加强。同时,由于信息安全是一个动态的系统工程,所以,贵州广电网络还必须对信息安全管理措施不断的加以校验和调整,以使管理体系始终适应和满足实际情况的需要,使贵州广电网络的信息资产得到有效、经济、合理的保护。
贵州广电网络的安全管理体系主要包括安全管理机构、安全管理制度、安全标准规范和安全教育培训等方面。
通过组建完整的信息网络安全管理机构,设置安全管理人员,规划安全策略、确定安全管理机制、明确安全管理原则和完善安全管理措施,制定严格的安全管理制度,合理地协调法律、技术和管理三种因素,实现对系统安全管理的科学化、系统化、法制化和规范化,达到保障贵州广电网络信息系统安全的目的。
3.5曰常安全运维3.5.1安全风险评估
安全风险评估是建立主动防御安全体系的重要和关键环节,这环的工作做好了可以减少大量的安全威胁,提升整个信息系统的对网络灾难的免疫能力;风险评估是信息安全管理体系建立的基础,是组织平衡安全风险和安全投入的依据,也是信息安全管理体系测量业绩、发现改进机会的最重要途径。
3.5.2网络管理与安全管理
网络管理与安全管理的主要措施包括:出入控制、场地与设施安全管理、网络运行状态监控、安全设备监控、安全事件监控与分析、提出预防措施。
3.5.3备份与容灾管理
贵州广电网络主要关键业务系统需要双机本地热备、数据离线备份措施;其他相关业务应用系统需要数据离线备份措施。
3.5.4应急响应计划
通过建立应急相应机构,制定应急响应预案,通过建立专家资源库、厂商资源库等人力资源措施,通过对应急响应有线网络ICATV预案不低于一年两次的演练,可以在发生紧急事件时,做到规范化操作,更快的恢复应用和数据,并最大可能的减少损失
3.6安全人员管理
信息系统的运行是依靠在各级党政机构工作的人员来具体实施的,他们既是信息系统安全的主体,也是系统安全管理的对象。所以,要确保信息系统的安全,首先应加强人事安全管理。
安全人员应包括:系统安全管理员、系统管理员、办公自动化操作人员、安全设备操作员、软硬件维修人员和警卫人员。
其中系统管理员、系统安全管理员必须由不同人员担当。3.7技术安全管理
主要措施包括:软件管理、设备管理、备份管理以及技术文档管理。
4安全规划分期建设路线
信息安全保障重要的是过程,而不一定是结果,重要的是安全意识的提高,而不一定是安全措施的多少。因此,信息安全建设也应该从保障业务运营为目标,提高用户自身的安全意识为思路,根据业务应用的模式与规模逐步、分阶段建设,同时还要符合国家与广电总局关于等级保护的技术与管理要求。
4.1主要的工作内容
根据安全保障方案规划的设计,贵州广电网络的信息安全建设分为如下几个方面的内容:
1.网络优化改造:主要是安全域的划分,网络结构的改造。
2.安全措施部署:边界隔离措施部署,行为审计系统部署、安全监控体系部署。
3.基础设施改造:主要是数据大集中、服务器虚拟化、存储虚拟化。
4.安全运维管理:信息安全管理规范、日常安全运维考核、安全检查与审计流程、安全应急演练、曰常安全服务等。
4.2分期建设规划
4_2.1达标阶段(2015-2017)
1.等保建设
2.信任体系:网络审计、运维审计、日志审计
3.身份鉴别(一次口令)
4.监控平台:入侵检测、流量监测、木马监测
5.安全管理平台建设
6.等保测评通过(2级3级系统)
7.安全服务:建立定期模式
8.渗透性测试服务(外部+内部)
9.安全加固服务,建立服务器安全底线
10.信息安全管理
11.落实安全管理细则文件制定
12.落实安全运维与应急处理流程
13.完善IT服务流程,建设安全运维管理平台
14.定期安全演练与培训
4.2.2持续改进阶段(2018〜2019)
1.等保建设
2.完善信息安全防护体系
3.提升整体防护能力
4.深度安全服务
5.有针对性安全演练,协调改进管理与技术措施
6.源代码安全审计服务(新上线业务)
7.信息安全管理
8.持续改进运维与应急流程与制度,提高应急反应能力
9.提高运维效率,开拓运维增值模式
2创新点
为顺应移动互联网时代,运营商从基础通信运营向流量运营转型的新趋势,湖北移动确定了“业务转型,安全先行”的发展思路,坚持“以安全保发展、以发展促安全”。在已有的网络与信息安全管理办法的基础上,积极开展适应移动互联网时代安全管理体系建设,不断推进科学的安全管理方法,做到六“注重”六“突出”,即:(1)注重整体规划,突出体系建设,促进职责高效履行。制定下发安全标准化管理与评价体系建设计划,内容涵盖安全工作方针目标、安全目标、各方职责、安全管理体系和模式、安全设施和机房环境保护设施标准、安全文明操作保证金、安全考核与奖惩、过程的主要控制措施、应急准备和响应等方面。严格按计划有序开展体系建设工作;严格按体系文件要求开展业务或系统试运行工作;加强保证与监督体系的建设。(2)注重文化建设,突出信息安全特色,促进习惯养成。以人为本,加强企业安全文化建设,促使安全文化落地,提高员工安全与风险防范意识。(3)注重教育培训,突出行业特色,达到安全管理效果。通过多种渠道、形式多样的安全教育和培训方式,组织各单位安全管理人员开展安全教育和培训工作:一是安排专家和行业资深人士进行专题讲座;二是在专题培训的基础上,做好网络与信息安全专项工作如何开展的培训。(4)注重设备管理,突出针对特色,实现安全管理精细化。首先,网络设备较多,加强网络安全管理提高设备安全可靠性是首要任务,为此各维护单位对每台设备均建立了安全技术台帐,台帐包括运行记录、检查保养记录和定期检验记录。其次,组织精干力量先后两次对所有设备、流程、机房进行全面的安全评估工作。第三,使隐患排查整改形成机制。(5)注重安全投入,突出专用特色,合理使用安全生产费用。认真落实安全管理费用投入长效机制,加大安全费用的管理,做到专款专用,确保安全生产费用规范化、合理化和足额投入。并加强安全生产保证金的管理,建立安全生产保证金并实行年底考核的机制,有效促进了安全管理工作。(6)注重应急预案,突出超前特色,安全管理赢在主动。在安全管理中,把预防工作落到实处,建立健全了应急处置机构,将应急处置工作进一步制度化,规范化,形成了完整的安全事故预防体系。同时,开展形式多样、符合实际的应急演练。
0引言
互联网时代的到来,信息技术与网络技术已然成为人们生产生活的重要技术支撑,在民航领域中,信息化建设的进程也得以高效发展。与此同时,民航企业信息系统的安全隐患及安全防护问题也逐渐暴露,成为信息化建设过程中亟须应对与解决的问题。
1网络信息安全制度的建设
1.1建设网络信息安全制度
据调查,民航信息系统安全事件的发生,问题的主要成因在于未充分明确相关责任以确保网络信息安全管理工作的全面落实。基于此,民航企业需要充分结合自身的是情况,对网络信息安全管理责任制的健全及完善,充分明确人员相关责任,促进民航信息化建设水平的提升,促进民航的健康发展。民航企业应当搭建内部网络信息安全规范体系,以之为基础开展企业网络信息安全管理及部署工作,确保民航信息安全水平的有效提升。民航企业应当时刻紧随时展步伐,对网络信息安全保障体系加以完善,建立网络信息安全防范体系,采取合理的等级保护与分级保护措施,维护网络信息安全。民航企业应当将网络信息安全作为信息化建设的发展方向,积极配合并响应国防部、网络安全部门、公安机关等行政机关部门的规定与要求,实时更新并优化安全防护措施,实现网络安全整体覆盖范围的扩大。
1.2细分网络安全保障体系
对于民航企业而言,其信息网络安全保障体系的建设,主要包括三个方面,即信息网络安全技术体系、信息网络安全管理体系及信息网络安全运行维护体系。这三个安全防护体系是相互依存与相互促进的。信息网络安全管理体系的搭建,应当作为信息安全技术体系保障的重要方向,技术体系也是保障信息网络安全的技术设施与基础服务的重要支持。信息网络安全管理体系的建设也要求网络信息安全技术应用水平不断提升。民航企业的网络信息安全体系的建设,可以充分参考美国国家安全局所提出的IATF框架的网络安全纵深战略防御理念、美国ISS公司所提出的P2DR动态网络安全模型等相应信息网络安全防护体系,搭建“打击、预防、管理、控制”于一体的网络通信安全综合防护体系理念,是当前国际上最为先进、最为有效的安全保障框架体系,对重要体系采取有效的安全防护措施,搭建民航企业的信息安全防护与控制中心,实现对于信息网络体系的安全监控、安全终端、安全平台、主机安全、数据安全、应用安全相互结合、相互统一的信息安全平台建设,信息安全防护应当涵盖物理层面、终端层面、网络层面、主机层面、数据层面及应用层面,保证安全防护的全面性及全方位性[1]。
1.3发展民航网络信息安全产业
随着时代的发展,民航企业开始更多地强调民航网络信息安全事业的发展。在开展民航企业网络信息安全产业建设时,应及时跟踪和了解国际网络信息安全产业发展动向,了解信息安全防护技术水平的提升渠道,积极谋求与其他发达国家之间的技术合作,大力引进先进的管理技术与管理手段,大力培养并教育网络信息安全技术人才。民航企业要大力引进技术水平与管理理念较为先进的人才,并对所引进的人才采用科学合理的技术培训与安全教育措施,不断增强相关人员对于网络信息安全防护的意识与理解能力,安全理念先进、技术水平高超、应急处置及时的网络信息安全管理人才队伍。民航企业要搭建科学完善的网络信息安全管理体系,充分保证信息网络安全组织、网络信息安全流程、网络信息安全制度相互结合,搭建科学合理的安全管理体系。
2民航信息安全保障体系的建设
2.1国家信息系统安全等级保护
以ISO27001信息安全管理要求为基础,结合国家信息系统安全等级防护管理方面,对信息系统安全防护安全管理基本要求加以明确,开展民航企业网络安全防护及管理体系的建设工作。网络信息安全管理体系的设计,应当涵盖安全组织架构、安全管理人员、安全防护制度及安全管理流程等多个方面,结合自身实际需求,设计科学合理的网络信息安全管理体系等。对于网络系统安全组织架构的建设与完善,组建涵盖安全管理、安全决策、安全监督及安全执行等层次的管理架构,设置相应职责岗位,对安全管理责任进行分解与落实,做好人员录用、人员调动、人员考核及人员培训等相关方面的人员管理工作。民航企业在制定安全管理制度时,应建立网络信息安全目标、安全策略、安全管理制度及安全防护技术规范等多个层次,搭建安全管理制度体系。在建立安全管理流程方面,通过建立科学合理的组织内部安全监督检查与优化体系,保证网络信息安全管理工作的顺利开展。将内部人员与第三方访问人员、系统建设、系统运维、物理环境的日常管理规范化,将日常的变更管理、问题管理、事件管理、配置管理、管理等电子化、流程化与标准化[2]。
2.2合理运用先进安全防护技术
2.2.1入侵检测技术
目前,对信息安全防护技术手段研发与应用也愈发普遍,其中入侵检测技术的应用可以取得较好的技术效果。入侵检测技术的应用主要是通过对网络行为、网络安全日志、网络安全审计信息等技术手段,有效检测网络系统非法入侵行为,判断网络入侵企图,通过网络入侵检测以实现网络安全的实时监控,有效避免网络非法攻击的可能。通过应用入侵检测技术,民航企业可以构建入侵检测系统,能够对系统内部、外部的非授权行为进行同步检测,及时发现和处理网络信息系统中的未授权和异常现象,尽可能减少网络入侵所造成的损耗与安全威胁。为此,可采取NetEye入侵检测系统,该系统通过深度分析技术,实现对于网络环境的全过程监控,及时了解、分析并明确网络内部安全隐患及外部入侵风险,作出安全示警,及时响应并采取有效的安全防范技术,实现网络安全防护层次进行有效延伸。同时,该入侵检测系统具备较为强悍的网络信息审计功能,就可以实时监控、记录、审计并就重演网络安全运行及使用情况,用户能够更好地了解网络运行情况。
2.2.2文件加密技术
2007年12月28日,中国光大银行信用卡中心在京召开新闻会,宣布正式通过ISO27001信息安全管理体系国际认证,成为国内首家通过该项认证的信用卡中心。这是中国光大银行信用卡中心继2006年6月通过CCCS五星级级客户服务认证和2006年9月通过ISO9001质量管理体系认证之后取得的又一成就,标志着该行信用卡业务在保障客户信息安全、强化内部管理方面已居于国内领先水平。
在日渐激烈的信用卡竞争环境中,中国光大银行信用卡业务以“制度化、规范化、标准化、专业化”为方向,摒弃片面追求规模的定式,致力于产品创新、服务提升与品牌建设,建立了独具特色的信用卡经营和发展模式,取得了令人瞩目的成就。为进一步提高服务质量,保障信息安全,该行信用卡中心于2007年3月正式启动ISO27001信息安全管理体系认证项目,并提出“关注客户、信息安全”的信息安全方针。以此为契机,中国光大银行信用卡中心在保障客户信息安全、降低外包业务风险、保障业务的持续性等方面进行了全面提升与改进。
一是在保障客户信息安全、防止客户信息泄密方面,中国光大银行根据自身业务实际,通过开展信息资产识别、风险评估、体系文件编写、体系试运行、内外审等主要工作,在信用卡中心建立起了信息安全管理体系,从而形成一套策略规程和控制措施,将信息安全的控制措施贯穿于业务的各个环节,使信息安全保障工作成为日常工作的组成部分,在日常工作中关注客户,保障信息安全。二是降低外包业务风险方面,光大银行针对信用卡行业外包业务多的现实,通过规范数据交互、调听录音、查看系统日志、现场检查、第三方检查等手段,并督促外包公司建章建制、规范管理等一系列措施,有效降低了外包业务的风险。三是业务持续性方面,光大银行针对影响业务持续性的主要因素进行了风险评估,根据风险评估的结果,制订了业务持续性管理计划,并进行了业务持续性演练,为业务的持续发展提供了保障。
ISO27001:2005是标志信息安全的最主要国际化标准之一,是基于最佳实践的总结,至今已被全球数百家世界级组织采用,中国光大银行率先将其引入信用卡领域,为保障客户信息安全寻求到一条积极高效的道路,为自身业务高速稳健的发展奠定了坚实的基础。
摘要:通过对大中型跨国企业海外信息安全体系的研究,形成了一个完整的海外信息安全体系框架,包括安全策略、安全技术体系、安全管理体系、运行保障体系和建设实施规划等。依照该框架,企业可以针对各部分进行具体实施,从而完成整个的海外信息安全建设。
关键词 :大中型企业;信息安全体系;框架;理论指导;安全模型
1海外信息安全体系建设原则
大中型企业海外信息安全体系的建设,涉及面广、工作量大,整体设计必须坚持以下的原则,以保证建设和运营的效果。
1.1统一规划管理
要对信息安全体系建设进行统一的规划,制定信息安全体系框架,明确保障体系中所包含的内容。同时,还要制定统一的信息安全建设标准和管理规范,使得信息安全体系建设遵循一致的标准、管理遵循一致的规范。
1.2分步有序实施
信息安全体系建设的内容庞杂,必须坚持分步有序的实施原则,循序渐进。
1.3技术管理并重
仅有全面的安全技术和机制是远远不够的,安全管理也具有同样的重要性。信息安全体系的建设,必须遵循安全技术和安全管理并重的原则,制定统一的安全建设管理规范,指导安全管理工作。
1.4突出安全保障
信息安全体系建设要突出安全保障的重要性,通过数据备份、冗余设计、应急响应、安全审计、灾难恢复等安全保障机制,保障业务的持续性和数据的安全性。
2海外信息安全体系建设目标
大型跨国企业海外信息安全的建设目标是:基于安全基础设施、以安全策略为指导,提供全面的安全服务内容,覆盖从物理、网络、系统直至数据和应用平台各个层面,以及保护、检测、响应、恢复等各个环节,构建全面、完整、高效的信息安全体系,从而提高企业信息系统的整体安全等级,为企业海外业务发展提供坚实的信息安全保障。
3海外信息安全体系框架
企业进行信息安全建设的目标是建立起一个全面、有效的信息安全体系,包括了安全技术、安全管理、人员组织、教育培训、资金投入等关键因素,信息安全建设的内容多,规模大,必须进行全面的统筹规划,明确信息安全建设的工作内容、技术标准、组织机构、管理规范、人员岗位配备、实施步骤、资金投入,才能够保证信息安全建设有序可控地进行,使信息安全体系发挥最优的保障效果。
同时还应该制定一系列的安全管理规范,指导信息安全建设和运营工作,使得信息安全建设能够依据统一的标准开展,信息安全体系的运营和维护能够遵循统一的规范进行。
3.1安全目标模型
根据大型跨国企业海外信息安全体系建设目标和总体安全策略,建立与之对应的目标模型,称为WP2DRR安全模型。该模型由预警( Warning)、策略(Policy)、保护(Protectlon)、检测(Detection)、响应(Response)、恢复(Recovery)6个要素环节构成了一个基于时间的、完整的、动态的信息安全体系。WP2DRR模型在P2DR模型的基础上新增加了预警Warnlng和恢复Recover,增强了安全保障体系的事前预防和事后恢复能力,系统一旦发生安全事故,也能恢复系统功能和数据,恢复系统的正常运行。
安全目标模型是信息安全体系框架的基础,大型跨国企业的海外信息安全体系框架应该紧密围绕安全模型的6个要素环节进行设计,每个要素环节的功能都在安全技术体系、安全组织和管理体系以及运行保障体系中体现出来。
3.2信息安全体系框架组成
通过对企业的网络和应用现状、安全现状、面临的安全风险的分析,根据安全保障目标模型,制定了大型跨国企业海外信息安全体系框架。制定该框架的目的在于从宏观上指导和管理信息安全体系的建设和运营。
该框架由一组相互关联、相互作用、相互弥补、相互推动、相互依赖、不可分割的信息安全保障要素组成。此框架中,以安全策略为指导,融会了安全技术、安全管理和运行保障3个层次的安全体系,以达到系统可用性、可控性、抗攻击性、完整性、保密性的安全目标。大型跨国企业海外信息安全体系框架的总体结构如图1所示。
3.2.1安全策略
在这个框架中,安全策略是指导,与安全技术体系、安全组织和管理体系以及运行保障体系这3大体系相互作用。一方面,3大体系是在安全策略的指导下构建的,主要是要将安全策略中制定的各个要素转化成为可行的技术实现方法和管理、运行保障手段,全面实现安全策略中所制定的目标。另一方面,安全策略本身也有包括草案设计、评审、实施、培训、部署、监控、强化、重新评佶、修订等步骤在内的生命周期,需要采用一些技术方法和管理手段进行管理,保证安全策略的及时性和有效性。
按照要保障的资产对象的不同,总体策略划分为物理安全、网络安全、系统安全、病毒防治、身份认证、应用授权和访问控制、数据加密、数据备份和灾难恢复、应急响应、教育培训等若干方面进行阐述。
随着技术的发展以及系统的升级、调整,安全策略也应该进行重新评估和制定,随时保持策略与安全目标的一致性。
3.2.2安全技术体系
安全技术体系是整个信息安全体系框架的基础,包括了安全基础设施平台、安全应用系统平台和安全综合管理平台这3个部分,以统一的信息安全基础设施平台为支撑,以统一的安全系统应用平台为辅助,在统一的综合安全管理平台管理下的技术保障体系框架。
安全基础设施平台是以安全策略为指导,立足于现有的成熟安全技术和安全机制,从物理和通信安全防护、网络安全防护、主机系统安全防护、应用安全防护等多个层次出发,建立起的一个各个部分相互协同的完整的安全技术防护体系。
应用信息系统通过使用安全基础设施平台所提供的各类安全服务,提升自身的安全等级,以更加安全的方式,提供业务服务和内部信息管理服务。安全综合管理平台的管理范围尽可能地涵盖安全技术体系中涉及的各种安全机制与安全设备,对这些安全机制和安全设备进行统一的管理和控制,负责管理和维护安全策略,配置管理相应的安全机制,确保这些安全技术与设施能够按照设计的要求协同运作,可靠运行。它在传统的信息系统应用体系与备类安全技术、安全产品、安全防御措施等安全手段之间搭起桥梁,使得各类安全手段能与现有的信息系统应用体系紧密的结合实现无缝连接,促成信息系统安全与信息系统应用的真正的一体化,使得传统的信息系统应用体系逐步过渡向安全的信息系统应用体系。
统一的安全管理平台有助于各种安全管理技术手段的相互补充和有效发挥,也便于从系统整体的角度来进行安全的监控和管理,从而提高安全管理工作的效率,使人为的安全管理活动参与量大幅下降。
3.2.3安全管理体系
安全组织和管理体系是安全技术体系真正有效发挥保护作用的重要保障,安全管理体系的设计立足于总体安全策略,并与安全技术体系相互配合,增强技术防护体系的效率和效果,同时也弥补当前技术无法完全解决的安全缺陷。
技术和管理是相互结合的。一方面,安全防护技术措施需要安全管理措施来加强,另一方面技术也是对管理措施贯彻执行的监督手段。在大型跨国企业海外信息安全体系框架中,安全管理体系的设计充分参考和借鉴了国际信息安全管理标准《BS7799 (IS017799)》的建议。
大型跨国企业海外信息安全管理体系由若干信息安全管理类组成,每项信息安全管理类可分解为多个安全目标和安全控制。每个安全目标都有若干安全控制与其相对应,这些安全控制是为了达成相应安全目标的管理工作和要求。
3.2.4运行保障体系
运行与保障体系由安全技术和安全管理紧密结合的内容所组成,包括了系统可靠性设计、系统数据的备份计划、安全事件的应急响应计划、安全审计、灾难恢复计划等,运行和保障体系对于企业网络和信息系统的可持续性运营提供了重要的保障手段。
3.2.5建设实施规划
建设实施规划是在安全管理体系、安全技术体系、运行保障体系设计的基础上进一步制定的建设步骤和实施方案。在建设实施规划中突出体现了分步有序实施的原则。
任何信息安全建设都需要人员负责管理和实施,因此,首先应该建立信息安全工作监管组织机构,明确各级管理机构的人员配备,职能和责任。其中信息安全管理机构负责信息安全策略的审核与颁布、统一技术标准和管理规范的制定、指导和监督信息安全建设工作、对信息安全系统进行监控与审计管理。
信息安全体系建设,应该首先从物理环境安全建设入手,确保机房建设按照的统一标准进行建设,并且按照统一的管理规范进行管理。
在接下来的网络安全建设中,应对计算机网络的安全域进行划分,对网络结构进行调整,以确保内部网络与外部网络、业务网络与办公网络边界清晰;在各安全域的边界处部署防火墙、网络入侵检测等安全产品,形成立体的区域边界保护机制,对各安全域进行逻辑安全隔离,禁止未授权的网络访问;在内部网络中部署网络脆弱性分析工具,定期对内部网络进行检查,并采取措施及时弥补新发现的安全漏洞。
在进行网络安全建设的同时,还可以进行系统安全建设,在内部网络中全面部署网络病毒查杀系统,有效抑制计算机病毒在内部网络中传播,避免对系统和数据造成损害。另外,主机系统管理员还应该按照主机系统管理规范的要求,借助主机脆弱性分析和安全加固工具,定期对主机系统进行检查,更新安全漏洞补丁的级别,修正不当的系统和服务配置,查看和分析系统审计日志,控制和保证主机系统的良好安全状态。
应用安全建设包括建立身份认证系统、应用授权和访问控制系统、数据安全传输系统等,对专业业务应用系统和内部信息管理系统提供各种安全服务。
按照统一标准,建立安全审计与分析系统、系统和数据备份计划、安全事件应急响应计划、灾难恢复计划等安全保障机制,重在保护业务数据等信息资产,保证内外应用服务的持续可用性。
对所有员工进行基本安全教育,为信息安全系统相关技术人员提供专门的安全理论和安全技能培训,提高全员的安全意识,打造一支高素质的专业技术和管理队伍。
4结论
海外信息安全体系是一个全方位的体系,从技术到管理、从网络到设备再到人。任何一个方面都要考虑周全,只有每一个部分的安全才是整体的安全。
