当前,信息技术的浪潮在全球风起云涌,人类社会在经历了农业革命、工业革命后,正在经历一场影响更深远的革命―信息技术的革命。从“信息化高速公路”到“数字地球”。Internet的迅猛发展不仅带动了信息产业和国民经济地快速增长,也为企业的发展带来了勃勃生机。
以Internet为代表的信息技术的发展不仅直接牵动了企业科技的创新和生产力的提高,也逐渐成为提高企业竞争力的重要力量。企业通过Internet可以把遍布世界各地的资源互联共享,但因其开放性,在Internet上传输的信息在安全性上不可避免地会面临许多危险。当越来越多的企业把自己的商务活动放到网络上后,针对网络系统的各种非法入侵、病毒等活动也随之增多。因此,在企业体制改革和信息化的新形势下,明确信息安全的战略地位,树立信息安全的正确认识,建立信息安全的防御策略,并在企业中坚决、有力地进行人员、技术、政策等诸方面部署,是确保企业向适应时代要求的现代化企业转变的有力支撑。
笔者依据自身在企业信息安全领域的工作经验和认识,对企业信息安全的有关重大问题简要分析。由于水平和能力有限,文中的不足肯定比较多,只是希望能够抛砖引玉,引起相关企业的领导和业务人员对信息安全工作的重视。
一、信息安全的定义
按照国际上的标准定义,信息安全是信息系统或者安全产品的安全策略、安全功能、管理、开发、维护、检测、恢复和安全评测等概念的简称。信息安全应包括:
●五类安全服务-鉴别、访问控制、数据完整性、数据保密性、抗抵赖;
●能够对这五类安全服务提供支持的八类安全机制和普遍安全机制-加密、数字签名、访问控制、数据完整性、数据交换、业务流填充、路由控制、公证;
●需要进行的三种OSI安全管理方式。
二、信息安全标准
信息安全标准是我国信息安全保障体系的重要组成部分,是政府进行宏观管理的重要依据。信息安全标准化是一项艰巨、长期的基础性工作。我国国家标准化管理委员会已批准成立全国信息安全标准化技术委员会,它将协调各有关部门,本着平等、公开、协商的原则组织提出一套系统、全面、分布合理的信息安全标准体系,以信息安全标准体系为工作依据有步骤、有计划地进行信息安全标准的制定工作。
在国家标准的基础上,我们企业的信息管理部门正在逐步制订和完善行业内标准,对企业信息系统进行了安全层次的划分,明确了不同的防护级别和防护策略,尤其强调要以管理和技术为重点,掌握三分技术,七分管理的原则,逐步完善企业信息安全体系。各个部门公司也要依据上级有关标准进行细化和分解,制订实施细则。各下属单位,要严格遵循国家、行业和上级单位的相关标准。同时,各个企业也将结合本企业的实际状况制订和丰富具体相关的标准,形成纵横贯通、完整有序的标准体系,以更科学和合理地指导企业信息安全工作。
三、信息安全策略
的定义信息安全策略是组织信息安全的最高方针,需要根据组织内各个部门的实际情况,分别制订不同的信息安全策略。例如,规模较小的组织单位可能只有一个信息安全策略,并适用于组织内所有部门、员工;而规模大的集团组织则需要制订一个信息安全策略文件,分别适用于不同的子公司或各分支机构。信息安全策略应该简单明了、通俗易懂,并形成书面文件,发给组织内的所有成员。同时要对所有相关员工进行信息安全策略的培训,对信息安全负有特殊责任的人员要进行特殊的培训,以使信息安全方针真正植根于组织内所有员工的脑海并落实到实际工作中。
四、企业信息安全分析
中国国内企业都希望能依赖互联网来获取、共享信息,从而提高生产效率,进而推动未来增长。然而,有网络的地方就有安全的问题。过去的网络大多是封闭式的,因而比较容易确保其安全性,简单的安全性设备就足以承担其任务。当今的网络已经发生了变化,确保网络的安全性和可用性已经成为更加复杂而且必需的任务。用户每一次连接到网络上,原有的安全状况就会发生变化。所以,很多企业频繁地成为网络犯罪的牺牲品。因为当今网络业务的复杂性,依靠早期的简单安全设备已经对这些安全问题无能为力了。网络攻击在迅速地增多,网络攻击通常利用网络某些内在特点,进行非授权的访问、窃取密码、拒绝服务等等。
考虑到业务的损失和生产效率的下降,以及排除故障和修复损坏设备所导致的额外开支等方面,对网络安全的破坏可能是毁灭性的。此外,严重的网络安全问题还可能导致企业的公众形象的破坏、法律上的责任乃至客户信心的丧失,并进而造成的成本损失将是无法估量的。
●病毒邮件攻击的影响日益激烈病毒、蠕虫和毫无必要的大量电子邮件利用互联网通信资源来传播,引发网络环境中的传输中断。根据调查,87%以上的病毒通过电子邮件进入企业!保密数据和交易秘密的丢失、员工对电子邮件系统的不当使用已使许多公司不得不承担法律责任,并损害了公司的声誉。今天,越来越多的公司都在寻求一种主动解决方案来减少信息服务的中断时间并避免病毒侵入期间所造成的业务损失。
●黑客的非法闯入随着越来越多黑客案件的报道,企业不得不意识到黑客的存在。黑客的非法闯入是指黑客利用企业网络的安全漏洞,不经允许非法访问企业内部网络或数据资源,从事删除、复制甚至毁坏数据的活动。一般来说,黑客常用的入侵动机和形式可以分为两种。黑客通过寻找未设防的路径进入网络或个人计算机,一旦进入,他们便能够窃取数据、毁坏文件和应用、阻碍合法用户使用网络,所有这些都会对企业造成危害。黑客非法闯入将具备企业杀手的潜力,企业不得不加以谨慎预防。
●数据“窃听”和拦截这种方式是直接或间接截获网络上的特定数据包并进行分析来获取所需信息。一些企业在与第三方网络进行传输时,需要采取有效措施来防止重要数据被中途截获,如用户信用卡号码等。
●拒绝服务这类攻击一般能使单个计算机或整个网络瘫痪,黑客使用这种攻击方式的意图很明显,就是要阻碍合法网络用户使用该服务或破坏正常的商务活动。例如,通过破坏两台计算机之间的连接而阻止用户访问服务;通过向企业的网络发送大量信息而堵塞合法的网络通信,最后不仅摧毁网络架构本身,也破坏整个企业运作。
●对网络资源的不合理使用开放式接入还可以无限制地访问大量恶意、有攻击性和有争议的内容,以及与工作无关的材料。据IDC统计,有30%~40%的Internet访问是与工作无关的,甚至有的是去访问色情站点。人均每天使用2-3个小时工作时间用于收发个人邮件,浏览娱乐网站以及在聊天室打发时间。因此,许多企业和机构必须确定如何在允许员工无阻碍地访问互联网上大量有用信息的同时限制对不当内容的访问。
中国国内目前的中小型企业因为人力和资金上的局限,需要的网络安全产品不仅仅是简单的安装,更重要的是要有针对复杂网络应用的一体化解决方案,如:网络安全、病毒检测、网站过滤等等。其着眼点在于:国内外领先的厂商产品;具备处理突发事件的能力;能够实时监控并易于管理;提供安全策略配置定制;是用户能够很容易地完善自身安全体系。
五、企业信息安全的误区
信息安全体系的建立和完善是一项长期的系统工程,它牵涉到企业内外各方面的资源的优化和整合,而做好这项工作的重要前提就是大家对信息安全能有统一、明确的认识,但在实践工作中还是容易产生如下认识上的误区。
●提供全面解决方案(total solution):从实际状况看,对于动态变化的信息安全问题,人们还没有一个全面的、完整的认识和解决方法,因此不存在一个能够覆盖信息安全的所有领域和方面的全面解决方案,说白了,Total Solution只不过是用户的美好愿望和厂家的广告说词而已。
●确保100%的安全性:就如电网不可能达成100%的可靠性一样,再完善、可靠的信息系统也不能确保100%的安全系数,只是我们能通过各方面的管理和技术手段去努力加强安全,进而逐步接近100%,但也永远只能是接近,而并不能达到。
●外防重于内防:实际情况恰恰相反,企业信息系统遭受的攻击90%以上来自于内部,而这些攻击中90%以上能取得不同程度的效果,对信息系统造成损害。
●信息安全就是网络安全:事实上,信息系统安全的范围要广泛的多,除网络安全外,信息安全和系统安全都具有同等或更高的重要性,仅仅通过架设Firewall就能实现信息系统安全的想法有些幼稚。
●技术措施解决一切问题:诚然,利用各种先进技术手段可以帮助加强和巩固信息系统安全,但信息系统安全工作的成功关键在于建立一套完整的信息系统安全体系,以管理、制度、人员、技术等全方位的要素配合推动,偏废任何一项都不可能成功。
●信息系统安全纯粹是信息部门的工作:就如真正成功的信息系统必定是信息部门与业务部门良好协作的结晶一样,信息系统安全工作的成功也无法脱离业务部门的配合和支持,从广义的角度看,信息系统安全必须考虑业务的需要和企业文化,并赢得企业各级人员的支持才能见效。
以上列出的是在信息安全领域最容易产生的思想上的误区,可以说,消除上述误区并不能确保信息安全工作的顺畅进行,但存在上述误区必定会对信息安全产生阻碍。
六、企业信息安全策略
根据企业信息安全资源管理的体系框架,企业可以结合自身的能力模型,从人员、技术、政策等诸多方面考虑信息安全资源管理的实施,主要包括组织机构的建立、人员的配备、管理制度的制定、安全流程的明确等,并切实做好物理安全管理、中心机房管理、主机安全管理、数据库安全管理、网络安全管理、网络终端管理、软件安全管理,确保日常和异常情况下的信息安全工作持续、有序地开展。为便于实施,笔者总结了以下一般性安全策略供参考:
1、各部门(单位)应采用共享的、可靠且可信的系统运行环境来保护个人隐私和业务交易数据的安全。部门(单位)不应损害本企业或经由本企业信息系统所保存、处理和传送的数据的机密性、完整性和可靠性,并以关键性业务为基础,与企业业务持续性计划相结合。
2、各部门(单位)采用已制定的企业信息安全策略,标准、过程和程序,加强培育信息安全文化,加强员工的安全意识,确保员工在信息安全程序中具备正确态度,使员工意识到信息安全的必要性,并进行必要的培训,以便于实行责任范围内的安全程序。
3、各部门(单位)应定期地对信息安全的处理、程序及实施进行评价,或在商业、计算或通信环境有重大变动后进行评价,并进行正确的调整。企业信息安全主管部门和人员必须提供适当的指导和检查列表以帮助完成评价,各部门应提供相应的评价文件。首次评价应在评价指南和检查列表公布后的半年内,而审计和考核则应在其他主管主持下进行。
4、各部门(单位)要遵守安全审计,以与其它企业策略、标准、过程和程序相符。
5、各部门(单位)要定期对信息系统进行系统风险评估。评估结果应用于识别、优先级区分、计划以及实施附加的安全防护措施。信息技术部门安全人员可进行随机的抽查来作出评价,并对评估和建议修正后的安全风险负责。
6、各信息系统在投运前须通过企业信息安全的认证和鉴定,而对信息系统的监测由信息技术部门来进行。
7、企业在信息安全方面的举措应严格遵守政府的法规,尤其注意保护个人隐私。
8、企业的信息主管部门应当为计算机和通信系统制定一套应急计划,并定期更新和测试,当发生中断事件或服务降级时,这套计划应保证关键系统的正常、持续运作。
9、企业内部重要的商务信息和软件的备份应当存储在受保护、限制访问且距离源地点足够远的地方,这样备份数据就能逃脱本地的灾害。
10、企业各部门(单位)的连网生产系统应当具备一套可供全体员工使用的方法以方便地、定期地检查最新的系统软件补丁、bug修复程序和升级版本。当需要时,此方法必需能够为连接Internet和其它公用网络的计算机迅速安装这些新的补丁、bug修复程序和升级版本。
11、为了让企业能快速响应攻击,所有与Internet连接的、设置多用户的计算机必需运行一套信息安全部门认可的入侵检测系统。
12、对于企业内部所有能访问敏感、有价值或关键信息的员工,应明确将信息安全责任加入到他们的工作职责中。
企业信息安全策略的制订并非一劳永逸,在未来应根据内外部环境的变化进行动态调整,以具备良好的适应性和可用性。
浏览URL http://www.qqread.com/erp/12/u306137004.html
更多内容请看路由安全配置专题、系统安全设置、配置安全的操作系统专题,或进入讨论组讨论。
相关专题
- 20年最强病毒排行榜 (4311次浏览)
- 杀毒十大错误观念 (626次浏览)
- 当前我国网络安全形势及应对措施 (298次浏览)
- 无线网络安全问题不容小视 (243次浏览)
- 网上银行 安全第一 (218次浏览)
- 未来的安全新方案 (190次浏览)
- 大型企业信息安全管理实践分析 (187次浏览)
- 网络信息安全问题日益突出 (186次浏览)
- 局域网实时监控软件让人毫无隐私 (149次浏览)
- 失控的网络 (146次浏览)
