公務員期刊網(wǎng) 精選范文 網(wǎng)絡資產(chǎn)安全管理范文

網(wǎng)絡資產(chǎn)安全管理精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡資產(chǎn)安全管理主題范文,僅供參考,歡迎閱讀并收藏。

網(wǎng)絡資產(chǎn)安全管理

第1篇:網(wǎng)絡資產(chǎn)安全管理范文

隨著寬帶網(wǎng)絡和用戶規(guī)模的不斷增長,用戶對寬帶接入業(yè)務的高可用性要求不斷增強,對電信運營商在IP城域、接入網(wǎng)絡和支撐系統(tǒng)提出了更高的安全性要求。本文從信息安全管理的理念、方法學和相關技術入手,結合電信IP城域網(wǎng),提出電信IP城域網(wǎng)安全管理、風險評估和加固的實踐方法建議。

關鍵字(Keywords):

安全管理、風險、弱點、評估、城域網(wǎng)、IP、AAA、DNS

1信息安全管理概述

普遍意義上,對信息安全的定義是“保護信息系統(tǒng)和信息,防止其因為偶然或惡意侵犯而導致信息的破壞、更改和泄漏,保證信息系統(tǒng)能夠連續(xù)、可靠、正常的運行”。所以說信息安全應該理解為一個動態(tài)的管理過程,通過一系列的安全管理活動來保證信息和信息系統(tǒng)的安全需求得到持續(xù)滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實性”等。

信息安全管理的本質,可以看作是動態(tài)地對信息安全風險的管理,即要實現(xiàn)對信息和信息系統(tǒng)的風險進行有效管理和控制。標準ISO15408-1(信息安全風險管理和評估規(guī)則),給出了一個非常經(jīng)典的信息安全風險管理模型,如下圖一所示:

圖一信息安全風險管理模型

既然信息安全是一個管理過程,則對PDCA模型有適用性,結合信息安全管理相關標準BS7799(ISO17799),信息安全管理過程就是PLAN-DO-CHECK-ACT(計劃-實施與部署-監(jiān)控與評估-維護和改進)的循環(huán)過程。

圖二信息安全體系的“PDCA”管理模型

2建立信息安全管理體系的主要步驟

如圖二所示,在PLAN階段,就需要遵照BS7799等相關標準、結合企業(yè)信息系統(tǒng)實際情況,建設適合于自身的ISMS信息安全管理體系,ISMS的構建包含以下主要步驟:

(1)確定ISMS的范疇和安全邊界

(2)在范疇內(nèi)定義信息安全策略、方針和指南

(3)對范疇內(nèi)的相關信息和信息系統(tǒng)進行風險評估

a)Planning(規(guī)劃)

b)InformationGathering(信息搜集)

c)RiskAnalysis(風險分析)

uAssetsIdentification&valuation(資產(chǎn)鑒別與資產(chǎn)評估)

uThreatAnalysis(威脅分析)

uVulnerabilityAnalysis(弱點分析)

u資產(chǎn)/威脅/弱點的映射表

uImpact&LikelihoodAssessment(影響和可能性評估)

uRiskResultAnalysis(風險結果分析)

d)Identifying&SelectingSafeguards(鑒別和選擇防護措施)

e)Monitoring&Implementation(監(jiān)控和實施)

f)Effectestimation(效果檢查與評估)

(4)實施和運營初步的ISMS體系

(5)對ISMS運營的過程和效果進行監(jiān)控

(6)在運營中對ISMS進行不斷優(yōu)化

3IP寬帶網(wǎng)絡安全風險管理主要實踐步驟

目前,寬帶IP網(wǎng)絡所接入的客戶對網(wǎng)絡可用性和自身信息系統(tǒng)的安全性需求越來越高,且IP寬帶網(wǎng)絡及客戶所處的信息安全環(huán)境和所面臨的主要安全威脅又在不斷變化。IP寬帶網(wǎng)絡的運營者意識到有必要對IP寬帶網(wǎng)絡進行系統(tǒng)的安全管理,以使得能夠動態(tài)的了解、管理和控制各種可能存在的安全風險。

由于網(wǎng)絡運營者目前對于信息安全管理還缺乏相應的管理經(jīng)驗和人才隊伍,所以一般采用信息安全咨詢外包的方式來建立IP寬帶網(wǎng)絡的信息安全管理體系。此類咨詢項目一般按照以下幾個階段,進行項目實踐:

3.1項目準備階段。

a)主要搜集和分析與項目相關的背景信息;

b)和客戶溝通并明確項目范圍、目標與藍圖;

c)建議并明確項目成員組成和分工;

d)對項目約束條件和風險進行聲明;

e)對客戶領導和項目成員進行意識、知識或工具培訓;

f)匯報項目進度計劃并獲得客戶領導批準等。

3.2項目執(zhí)行階段。

a)在項目范圍內(nèi)進行安全域劃分;

b)分安全域進行資料搜集和訪談,包括用戶規(guī)模、用戶分布、網(wǎng)絡結構、路由協(xié)議與策略、認證協(xié)議與策略、DNS服務策略、相關主機和數(shù)據(jù)庫配置信息、機房和環(huán)境安全條件、已有的安全防護措施、曾經(jīng)發(fā)生過的安全事件信息等;

c)在各個安全域進行資產(chǎn)鑒別、價值分析、威脅分析、弱點分析、可能性分析和影響分析,形成資產(chǎn)表、威脅評估表、風險評估表和風險關系映射表;

d)對存在的主要風險進行風險等級綜合評價,并按照重要次序,給出相應的防護措施選擇和風險處置建議。

3.3項目總結階段

a)項目中產(chǎn)生的策略、指南等文檔進行審核和批準;

b)對項目資產(chǎn)鑒別報告、風險分析報告進行審核和批準;

c)對需要進行的相關風險處置建議進行項目安排;

4IP寬帶網(wǎng)絡安全風險管理實踐要點分析

運營商IP寬帶網(wǎng)絡和常見的針對以主機為核心的IT系統(tǒng)的安全風險管理不同,其覆蓋的范圍和影響因素有很大差異性。所以不能直接套用通用的風險管理的方法和資料。在項目執(zhí)行的不同階段,需要特別注意以下要點:

4.1安全目標

充分保證自身IP寬帶網(wǎng)絡及相關管理支撐系統(tǒng)的安全性、保證客戶的業(yè)務可用性和質量。

4.2項目范疇

應該包含寬帶IP骨干網(wǎng)、IP城域網(wǎng)、IP接入網(wǎng)及接入網(wǎng)關設備、管理支撐系統(tǒng):如網(wǎng)管系統(tǒng)、AAA平臺、DNS等。

4.3項目成員

應該得到運營商高層領導的明確支持,項目組長應該具備管理大型安全咨詢項目經(jīng)驗的人承擔,且項目成員除了包含一些專業(yè)安全評估人員之外,還應該包含與寬帶IP相關的“業(yè)務與網(wǎng)絡規(guī)劃”、“設備與系統(tǒng)維護”、“業(yè)務管理”和“相關系統(tǒng)集成商和軟件開發(fā)商”人員。

4.4背景信息搜集:

背景信息搜集之前,應該對信息搜集對象進行分組,即分為IP骨干網(wǎng)小組、IP接入網(wǎng)小組、管理支撐系統(tǒng)小組等。分組搜集的信息應包含:

a)IP寬帶網(wǎng)絡總體架構

b)城域網(wǎng)結構和配置

c)接入網(wǎng)結構和配置

d)AAA平臺系統(tǒng)結構和配置

e)DNS系統(tǒng)結構和配置

f)相關主機和設備的軟硬件信息

g)相關業(yè)務操作規(guī)范、流程和接口

h)相關業(yè)務數(shù)據(jù)的生成、存儲和安全需求信息

i)已有的安全事故記錄

j)已有的安全產(chǎn)品和已經(jīng)部署的安全控制措施

k)相關機房的物理環(huán)境信息

l)已有的安全管理策略、規(guī)定和指南

m)其它相關

4.5資產(chǎn)鑒別

資產(chǎn)鑒別應該自頂向下進行鑒別,必須具備層次性。最頂層可以將資產(chǎn)鑒別為城域網(wǎng)、接入網(wǎng)、AAA平臺、DNS平臺、網(wǎng)管系統(tǒng)等一級資產(chǎn)組;然后可以在一級資產(chǎn)組內(nèi),按照功能或地域進行劃分二級資產(chǎn)組,如AAA平臺一級資產(chǎn)組可以劃分為RADIUS組、DB組、計費組、網(wǎng)絡通信設備組等二級資產(chǎn)組;進一步可以針對各個二級資產(chǎn)組的每個設備進行更為細致的資產(chǎn)鑒別,鑒別其設備類型、地址配置、軟硬件配置等信息。

4.6威脅分析

威脅分析應該具有針對性,即按照不同的資產(chǎn)組進行針對性威脅分析。如針對IP城域網(wǎng),其主要風險可能是:蠕蟲、P2P、路由攻擊、路由設備入侵等;而對于DNS或AAA平臺,其主要風險可能包括:主機病毒、后門程序、應用服務的DOS攻擊、主機入侵、數(shù)據(jù)庫攻擊、DNS釣魚等。

4.7威脅影響分析

是指對不同威脅其可能造成的危害進行評定,作為下一步是否采取或采取何種處置措施的參考依據(jù)。在威脅影響分析中應該充分參考運營商意見,尤其要充分考慮威脅發(fā)生后可能造成的社會影響和信譽影響。

4.8威脅可能性分析

是指某種威脅可能發(fā)生的概率,其發(fā)生概率評定非常困難,所以一般情況下都應該采用定性的分析方法,制定出一套評價規(guī)則,主要由運營商管理人員按照規(guī)則進行評價。

第2篇:網(wǎng)絡資產(chǎn)安全管理范文

關鍵詞:終端;安全;管理

1 網(wǎng)絡終端管理面臨的問題

1.1 終端安全管理問題

在終端使用U盤,尤其是外來U盤等移動介質比較容易把計算機病毒帶進內(nèi)網(wǎng),終端管理員對移動介質的安全使用無法有效管控。有一些辦公計算機非法使用違規(guī)軟件,安裝使用與辦公無關的軟件,管理員無法對軟件的安裝過程及軟件執(zhí)行所啟動的進程進行控制,對于其他不安全的進程以及服務也沒辦法加以監(jiān)控。管理員無法快捷知曉單位到底有多少網(wǎng)終端,桌面終端是否已經(jīng)全部安裝公司統(tǒng)一版本的防病毒系統(tǒng),重要補丁的安裝率是否已經(jīng)達到公司的安全管理要求等。

1.2 非法外聯(lián)問題

雖然每年都進行全員的信息安全知識培訓宣傳,但是供電企業(yè)依然存在有內(nèi)網(wǎng)終端用戶通過撥號或3G上網(wǎng)卡等形式私自接入外部網(wǎng)絡的情況。這種情況等于給黑客開了一個后門,黑客極可能通過該主機進而對內(nèi)部網(wǎng)絡的其他主機進行攻擊,直接威脅供電企業(yè)信息網(wǎng)絡的安全性,更為嚴重的會導致內(nèi)部資料的泄露,給單位造成無法逆轉的嚴重損失。

1.3 IT資產(chǎn)管理問題

對于一個創(chuàng)建國際先進國內(nèi)領先的電網(wǎng)公司來講,資產(chǎn)全生命周期管理尤為重要。在信息領域,IT資產(chǎn)的精細化管理將是非常重要的一個組成部分。但是目前IT資產(chǎn)的管理現(xiàn)狀是基本上是手工登記資產(chǎn),資產(chǎn)的變更統(tǒng)計更新不及時,信息管理員不能全面的掌握終端計算機的軟硬件資產(chǎn),對于終端上硬件的變化就無從知曉,可能造成單位硬件資產(chǎn)的流失。

1.4 終端維護管理效率問題

供電企業(yè)內(nèi)網(wǎng)終端數(shù)量龐大,地點分散,個別營業(yè)廳地處偏僻,如某供電局19個供電所分布在各個山區(qū)鄉(xiāng)鎮(zhèn),離市區(qū)距離遠,現(xiàn)場維護工作非常麻煩,信息運維人員處理一些簡單的問題來回都得花一天時間。本來信息班人手就不足,只有三人,到現(xiàn)場處理一個很小的問題花一天時間,終端維護管理效率非常低,同時也造成人力資源的巨大浪費。

2 桌面管理系統(tǒng)架構及管理部署

為了解決以上內(nèi)網(wǎng)桌面終端安全管理所遇到的幾個問題,公司部署上線了統(tǒng)一桌面管理系統(tǒng)。系統(tǒng)主要由安裝在各計算機設備上的客戶端(Client)軟件和安裝在管理服務器上的控制端(Server)軟件兩部分進行功能處理,供電局不同區(qū)域部門將終端信息上報,管理人員通過前臺瀏覽器(Browser)訪問后臺管理信息數(shù)據(jù)庫(Server)對終端設備情況進行管理,包括策略指定,終端違規(guī)行為報警日志分析等。首先終端計算機注冊北信源桌面安全管理客戶端,將終端信息上報給服務器主程序,北信源服務器主程序就是這里說說的區(qū)域管理器,區(qū)域管理器將終端信息寫入管理信息庫及(sql數(shù)據(jù)庫)。管理員通過中央管理配置平臺(web管理平臺)進行信息查詢和指令下達。區(qū)域管理器通過對指令的分析處理再下達給客戶端。

本系統(tǒng)可以進行無限制的多級級聯(lián)部署,各級網(wǎng)絡獨立安裝相應的管理軟件。下級管理節(jié)點統(tǒng)一匯總本級的報警信息和統(tǒng)計信息,統(tǒng)一上報管理節(jié)點;上級管理節(jié)點的管理策略、命令。系統(tǒng)將來可根據(jù)實際需要在客戶端數(shù)量、管理層次和功能擴展上進行無縫平滑擴展。供電企業(yè)內(nèi)部通過系統(tǒng)級聯(lián),實現(xiàn)對下級地市服務器的管理。一級就是廣東電網(wǎng)有限責任公司,下級是19個地市局。級聯(lián)之后,各地市供電局可以對自己區(qū)域進行單獨管理,省公司對下級進行統(tǒng)一的部分強制管理及有效的報警信息篩選。

這是客戶端、服務器、管理配置平臺三者之間的一個關系圖(見圖1)。

3 桌面管理系統(tǒng)實現(xiàn)功能及預計達到的效果

3.1 終端安全管理

系統(tǒng)實現(xiàn)對移動介質進行注冊管理,只有經(jīng)過桌面系統(tǒng)注冊過的移動存儲設備才可以在供電企業(yè)內(nèi)網(wǎng)計算機使用,有效防止U盤病毒感染桌面終端。通過檢查和審計注冊表,防止未授權用戶添加、更改、刪除注冊表相關內(nèi)容,審計用戶訪問注冊表的操作,如出現(xiàn)違規(guī)注冊表項時進行客戶端提示或上報,有效防止非法使用違規(guī)軟件。通過本地注冊情況統(tǒng)計,可以清晰地看出本地計算機注冊數(shù)、安裝殺毒軟件數(shù)量、已打重要補丁臺數(shù)、殺毒軟件覆蓋率、重要補丁安裝率等重要信息安全考核指標,如達不到公司的要求立刻整改。

3.2 非法外聯(lián)行為監(jiān)控

系統(tǒng)提供了通過審計報警違規(guī)外聯(lián)事件檢索可以實現(xiàn)非法外聯(lián)告警功能,可以對所有安裝了此系統(tǒng)的桌面終端進行實時監(jiān)控。監(jiān)視內(nèi)網(wǎng)中違規(guī)網(wǎng)絡連接(私自接入3G網(wǎng)卡等)行為,一旦發(fā)現(xiàn)內(nèi)網(wǎng)計算機接入互聯(lián)網(wǎng)或者其它網(wǎng)絡,客戶端立即進行本機報警,并對違規(guī)行為做出相應的處理,如關機、斷網(wǎng)、鎖定等,同時上報到中央控制臺,為管理員的安全管理提供重要信息。

3.3 IT資產(chǎn)管理

桌面終端安裝客戶端程序注冊成功后,客戶端程序會自動收集主機CPU、內(nèi)存、硬盤、網(wǎng)卡MAC地址、主板芯片、主板上的板卡等主要硬件信息并自動上報給服務器端。信息管理人員登錄管理平臺后通過按區(qū)域查詢資產(chǎn)信息即可以查看本單位所有內(nèi)網(wǎng)終端信息,還可以通過硬件變化查詢來了解硬件變化情況,并可對其變化報警。這樣保證了內(nèi)網(wǎng)終端硬件設備的有效管理,防止資產(chǎn)流失。

3.4 終端遠程維護管理

系統(tǒng)提供遠程協(xié)助功能,此功能是在服務器端對客戶端機器進行的“接管”級別的操作。信息運維人員可以通過輸入IP地址、計算機名或者用戶名查找出需要遠程控制的終端,向此終端發(fā)送對話框式的消息待對方接受后進行點對點控制。通過這一功能進行終端常見故障的排除和遠程解決,大大節(jié)省人力物力,有效解決信息運維人員對內(nèi)網(wǎng)終端維護管理效率低下的問題。

4 結束語

以上所列出的只是工作中經(jīng)常使用的桌面管理系統(tǒng)中的一部份功能,通過實施桌面管理系統(tǒng)項目,實現(xiàn)對桌面終端的安全管理、遠程控制、資產(chǎn)管理和審計報警管理的需要,解決了企業(yè)內(nèi)網(wǎng)桌面終端安全管理中的若干問題,同時也減輕了信息運維人員的工作,保證網(wǎng)絡的暢通,更加確保了日常工作的正常運行。此系統(tǒng)的部署和應用有效提高桌面終端的安全管理水平,提升了桌面終端運行維護自動化程度和桌面終端運行維護服務水平,提高了IT資產(chǎn)管理的精細化水平和供電企業(yè)信息化管理水平。

參考文獻

[1]何斌,張立厚.信息管理:原理與方法[M].北京:清華大學出版社,2006.

[2]王義申.終端安全管理系統(tǒng)在企事業(yè)單位內(nèi)網(wǎng)應用的分析[J].計算機安全,2007,7.

[3]柴育峰.桌面終端系統(tǒng)在企業(yè)內(nèi)網(wǎng)的應用[J].科技視界,2012,2.

第3篇:網(wǎng)絡資產(chǎn)安全管理范文

隨著計算機信息技術的高速發(fā)展,人們工作、生活越來越離不開網(wǎng)絡,網(wǎng)絡是企業(yè)辦公的重要信息載體和傳輸渠道。網(wǎng)絡的普及不但提高了人們的工作效率,微信等通訊工具使人們通訊和交流變得越來越簡單,各種云端存儲使海量信息儲存成為現(xiàn)實。

2石油行業(yè)信息網(wǎng)絡安全管理存在的安全隱患

無論是反病毒還是反入侵,或者對其他安全威脅的防范,其目的主要都是保護數(shù)據(jù)的安全———避免公司內(nèi)部重要數(shù)據(jù)的被盜或丟失、無意識泄密、違反制度的泄密、主動泄密等行為。

2.1外部非法接入。

包括客戶、訪客、合作商、合作伙伴等在不經(jīng)過部門信息中心允許情況下與油田公司網(wǎng)絡的連接,而這些電腦在很多時候是游離于企業(yè)安全體系的有效管理之外的。

2.2局域網(wǎng)病毒、惡意軟件的泛濫。

公司內(nèi)部員工對電腦的了解甚少,沒有良好的防范意識,造成病毒、惡意軟件在局域網(wǎng)內(nèi)廣泛傳播以至于影響到網(wǎng)絡系統(tǒng)的正常運行。

2.3資產(chǎn)管理失控。

網(wǎng)絡用戶存在不確定性,每個資產(chǎn)硬件配件(cpu、硬盤、內(nèi)存等)隨意拆卸組裝,隨意更換計算機系統(tǒng),應用軟件安裝混亂,外設(U盤、移動硬盤等)無節(jié)制使用。

2.4網(wǎng)絡資源濫用。

IP未經(jīng)允許被占用,違規(guī)使用,瘋狂下載電影占用網(wǎng)絡帶寬和流量,上班時間聊天、游戲等行為,影響網(wǎng)絡的穩(wěn)定,降低了運行效率。

3常用技術防范措施與應用缺陷

3.1防火墻技術。

目前,防火墻技術已經(jīng)成為網(wǎng)絡中必不可少的環(huán)節(jié),通過防火墻技術,實現(xiàn)局域網(wǎng)與互聯(lián)網(wǎng)的邏輯隔離,使用有效的安全設置一定程度上保障了企業(yè)局域網(wǎng)的安全。

3.2計算機病毒防護技術。

即通過建立SYMANTEC網(wǎng)絡防病毒軟件系統(tǒng),為企業(yè)內(nèi)部員工提供有效的桌面安全防護技術手段,提高了計算機終端防病毒與查殺病毒的能力。

3.3入侵檢測系統(tǒng)。

入侵檢測幫助辦公計算機系統(tǒng)應對網(wǎng)絡攻擊,提高了系統(tǒng)安全管理員的管理能力,保持了信息安全基礎結構的完整性。從網(wǎng)絡中的各個關鍵點收集和分析信息,確認網(wǎng)絡中是否存在違反安全策略的行為和遭到網(wǎng)絡攻擊的可疑跡象。

3.4應用網(wǎng)絡分析器檢測網(wǎng)絡運行狀況。

部署如Sniffer等掃描工具,通過其對網(wǎng)絡中某臺主機或整個網(wǎng)絡的數(shù)據(jù)進行檢測、分析、診斷、將網(wǎng)絡中的故障、安全、性能問題形象地展現(xiàn)出來。為監(jiān)視網(wǎng)絡的狀態(tài)、數(shù)據(jù)流動情況等提供了有效的管理手段。

3.5交換機安全管理配置策略。

綜合評估石油企業(yè)網(wǎng)絡,在節(jié)點設備部署上以可控設備為主,通常的可控設備都具備遵循標準協(xié)議的網(wǎng)絡安全方案。較為常用的安全策略包括IP與MAC綁定、ACL訪問控制、QOS等。通過一系列的安全策略,有效提高了對企業(yè)網(wǎng)絡的管理。

3.6部署內(nèi)網(wǎng)安全管理系統(tǒng)。

目前,企業(yè)局域網(wǎng)的安全威脅70%來自于內(nèi)部員工的計算機。針對計算機終端桌面存在的問題,目前出現(xiàn)的主流產(chǎn)品是內(nèi)網(wǎng)安全管理系統(tǒng)。其采取C/S架構,實現(xiàn)對網(wǎng)絡終端的強制性管理方法。后臺管理中心采取B/S結構,實現(xiàn)與管理終端交互式管控。

4多種技術措施聯(lián)動,保障網(wǎng)絡與信息安全

4.1網(wǎng)絡邊界管理

①防火墻。通過包過濾技術來實現(xiàn)允許或阻隔訪問與被訪問的對象,對通過內(nèi)容進行過濾以保護用戶有效合法獲取網(wǎng)絡信息;通過防火墻上的NAT技術實現(xiàn)內(nèi)外地址動態(tài)轉換,使需要保護的內(nèi)部網(wǎng)絡主機地址映射成防火墻上的為數(shù)不多的互聯(lián)網(wǎng)IP地址。②入侵檢測系統(tǒng)。入侵檢測作為防火墻的合理補充,幫助辦公計算機系統(tǒng)應對網(wǎng)絡攻擊,提高了系統(tǒng)安全管理員的管理能力,保持了信息安全基礎結構的完整性。③防病毒系統(tǒng)。應用防病毒技術,建立全面的網(wǎng)絡防病毒體系;在網(wǎng)絡中心或匯聚中心選擇部署諸如Symantec等防病毒服務器,按照分級方式,實行服務器到終端機強制管理方式,實現(xiàn)逐級升級病毒定義文件,制定定期病毒庫升級與掃描策略,提高計算機終端防病毒與查殺病毒的能力。

4.2安全桌面管理。

桌面安全管理產(chǎn)品能夠解決網(wǎng)絡安全管理工作中遇到的常見問題。在網(wǎng)絡安全管理中提高了對計算機終端的控制能力,企業(yè)桌面安全管理系統(tǒng)包括區(qū)域配置管理、安全策略、補丁分發(fā)、數(shù)據(jù)查詢、終端管理、運維監(jiān)控、報表管理、報警管理、級聯(lián)總控、系統(tǒng)維護等。

4.3網(wǎng)絡信息管理。

對于網(wǎng)絡信息要按等級采取相應必要的隔離手段:①建立專網(wǎng),達到專網(wǎng)專用;②信息通過技術手段進行加密管理;③信息與互聯(lián)網(wǎng)隔離。

4.4網(wǎng)絡安全管理防范體系。

根據(jù)防范網(wǎng)絡安全攻擊的需求、對應安全機制需要的安全服務等因素以及需要達到的安全目標,參照“系統(tǒng)安全工程能力成熟模型”和信息安全管理標準等國際標準。

5結束語

第4篇:網(wǎng)絡資產(chǎn)安全管理范文

關鍵詞:電力;信息化;安全問題

中圖分類號:[TM622]文獻標識碼:A

一、電力系統(tǒng)信息安全概念和保護現(xiàn)狀

電力系統(tǒng)信息安全是電力系統(tǒng)安全運行和對社會可靠供電的保障,是一項涉及電網(wǎng)調(diào)度自動化、繼電保護及安全裝置、廠、站自動化、配電網(wǎng)自動化、電力負荷控制、電力市場交易、電力營銷、信息網(wǎng)絡系統(tǒng)等有關生產(chǎn)、經(jīng)營和管理方面的多領域、復雜的大型系統(tǒng)工程。結合電力工業(yè)特點,電力工業(yè)信息網(wǎng)絡系統(tǒng)和電力運行實時控制系統(tǒng),分析電力系統(tǒng)信息安全存在的問題,電力系統(tǒng)信息沒有建立安全體系,只是購買了防病毒軟件和防火墻。有的網(wǎng)絡連防火墻也沒有,沒有對網(wǎng)絡安全做統(tǒng)一長遠的歸劃。網(wǎng)絡中有許多的安全隱患。因此急需建立同電力行業(yè)特點相適應的計算機信息安全體系。

二、目前電力企業(yè)網(wǎng)絡信息安全管理存在的主要問題

電力企業(yè)在網(wǎng)絡信息安全管理方面存在以下問題。

(一)信息化機構建設尚需進一步健全

信息部門未受到應有的重視。信息部門在電力公司沒有專門機構配置,沒有規(guī)范的建制和崗位,這種狀況勢必不能適應信息化對人才、機構的要求。

(二) 企業(yè)管理革新滯后于信息化發(fā)展進程

相對于信息技術的發(fā)展與應用,電力企業(yè)管理革新處于落后狀況,最終導致了信息系統(tǒng)未能發(fā)揮預期的、應有的作用。

(三)網(wǎng)絡信息安全管理需要成為企業(yè)安全文化的重要組成部分

目前,在電力企業(yè)安全文化建設中,信息安全管理仍然處于從屬地位,需要進行不斷努力,使之成為企業(yè)安全文化的中堅力量。

(四)網(wǎng)絡信息安全風險的存在

電力企業(yè)網(wǎng)絡信息安全與一般企業(yè)網(wǎng)絡信息同樣具備多方面的安全風險,主要表現(xiàn)在以下幾方面:

1、網(wǎng)絡結構不合理

2、來自互聯(lián)網(wǎng)的風險

3、來自企業(yè)內(nèi)部的風險

4 、病毒的侵害

5 、管理人員素質風險

6、 系統(tǒng)的安全風險

三、電力企業(yè)網(wǎng)絡信息安全管理問題的成因分析

(一)安全意識淡薄是網(wǎng)絡信息安全的瓶頸

技術人員往往對網(wǎng)絡信息的安全性無暇顧及,安全意識相當?shù) k娏ζ髽I(yè)注重的是網(wǎng)絡效應,對安全領域的投入和管理遠遠不能滿足安全防范的要求,網(wǎng)絡信息安全處于被動的封堵漏涮狀態(tài)。

(二) 運行管理機制的缺陷和不足制約了安全防范的力度

從目前的運行管理機制來看,有以下幾方面的缺陷和不足:

1、 網(wǎng)絡安全管理方面人才匱乏

2、 安全措施不到位

3、缺乏綜合性的解決方案

四、 網(wǎng)絡信息安全管理的內(nèi)容

(一) 風險管理

識別企業(yè)的信息資產(chǎn),評估威脅這些資產(chǎn)的風險,評估假定這些風險成為現(xiàn)實時企業(yè)所承受的災難和損失。通過降低風險、避免風險、轉嫁風險、接受風險等多種風險管理方式,來協(xié)助管理部門制定企業(yè)信息安全策略。

(二)安全策略

信息安全策略是企業(yè)安全的最高方針,由高級管理部門支持,必須形成書面文檔,廣泛到企業(yè)所有員工手中。

(三)安全教育

信息安全意識和相關技能的教育是企業(yè)安全管理中重要的內(nèi)容,其實施力度將直接關系到企業(yè)安全策略被理解的程度和被執(zhí)行的效果。為了保證信息安全的成功和有效,高級管理部門應當對企業(yè)各級管理人員、用戶、技術人員進行安全培訓,所有的企業(yè)人員必須了解并嚴格執(zhí)行企業(yè)信息安全策略。

五、 加強電力企業(yè)網(wǎng)絡信息安全管理的建議

(一)重視安全規(guī)劃

企業(yè)網(wǎng)絡安全規(guī)劃的目的就是要對網(wǎng)絡的安全問題有一個全面的思考,要以系統(tǒng)的觀點去考慮安全問題。要進行有效的安全管理,必須建立起一套系統(tǒng)全面的信息安全管理體系。

(二)合理劃分安全域

電力企業(yè)是完全實行物理隔離的企業(yè)網(wǎng)絡,在內(nèi)網(wǎng)上仍然要合理劃分安全域。要根據(jù)整體的安全規(guī)劃和信息安全密級,從邏輯上劃分核心重點防范區(qū)域、一般防范區(qū)域和開放區(qū)域。重點防范的區(qū)域是網(wǎng)絡安全的核心。

(三) 加強安全管理。重視制度建設

1、加強日志管理與安全審計

2、建立內(nèi)網(wǎng)的統(tǒng)一認證系統(tǒng)

3、建立病毒防護體系

4、重視網(wǎng)絡管理制度建設

嚴格的管理制度,是保證企業(yè)信息網(wǎng)絡安全的重要措施之一。

(1)領導應當高度重視網(wǎng)絡信息安全問題。

(2)加強基礎設施和運行環(huán)境的管理建設。

(3)建立必要的安全管理制度。

(4)堅持安全管理原則、多人負責原則。

(5)定期督導檢查制度。

(四)加強企業(yè)員工和網(wǎng)絡管理人員安全意識教育

對于網(wǎng)絡信息安全,企業(yè)員工和網(wǎng)絡管理人員的素質非常重要。

1、在安全教育具體實施過程中應該有一定的層次性。

(1)對主管信息安全工作的高級負責人或各級管理人員,重點掌握企業(yè)信息安全的整體策略及目標、信息安全體系的構成、安全管理部門的建立和管理制度的制訂等。

(2)對負責信息安全運行管理及維護的技術人員,重點是充分理解信息安全管理策略、安全評估基本方法、安全操作和維護技術運用等。

2、對于特定人員的安全培訓

對于關鍵崗位和特殊崗位的人員,通過送往專業(yè)機構學習和培訓,使其獲得特定的安全方面的知識和技能。

六、總 論

電力網(wǎng)絡安全是一個系統(tǒng)的,全局的管理問題,網(wǎng)絡上的任何一個漏洞,都會導致全網(wǎng)的安全問題,我們應該用系統(tǒng)工程的觀點、方法,分析網(wǎng)絡的安全及具體措施。安全措施主要包括:行政法律手段、各種管理制度以及專業(yè)措施。解決網(wǎng)絡信息安全問題,技術是安全的主體,管理是安全的靈魂。加強信息安全管理,建立安全長效機制才能有效的解決電力系統(tǒng)網(wǎng)絡安全問題,只有將有效的安全管理實踐自始至終貫徹落實于信息安全當中,網(wǎng)絡安全的長期性和穩(wěn)定性才能有所保證。在企業(yè)中建立安全文化,并將網(wǎng)絡信息安全管理貫徹到整個企業(yè)文化體系中才是最根本的解決辦法。

參考文獻:

[1] 周冰.電力信息化切入核心[J].《信息系統(tǒng)工程》,2003年.

第5篇:網(wǎng)絡資產(chǎn)安全管理范文

沒有安全,何以生存,遑論發(fā)展;而信息時代安全的核心內(nèi)容之一,便是信息安全。蓋緣于此,世界上主要發(fā)達國家始終十分重視信息安全工作。

1998年5月22日,美國克林頓政府頒布了《保護美國關鍵基礎設施》總統(tǒng)令(PDD63),圍繞“信息安全”成立了包括全國信息安全委員會、全國信息安全同盟、關鍵基礎設施保障辦公室、首席信息官委員會等10余各全國性機構。同年,美國國家安全局(NSA)制定了《信息安全保障框架》(IATF),提出了深度防御策略。2000年發(fā)表了《總統(tǒng)國家安全戰(zhàn)略報告》,首次將信息安全明確列入其中。布什政府在911之后成立了國土安全部、國家KIP委員會,并于2002年和2003年陸續(xù)頒布了《國家保障數(shù)字空間安全策略》、《國家安全戰(zhàn)略報告》和《網(wǎng)絡空間安全國家戰(zhàn)略計劃》。奧巴馬總統(tǒng)上臺不久,就親自主導了為期60天的信息安全評估項目,并于2009年5月公布了《美國網(wǎng)絡安全評估》報告,評估了美國政府在網(wǎng)絡空間的安全戰(zhàn)略、策略和標準,指出了存在的問題,并提出相應的行動計劃。在此基礎上,美國政府成立了網(wǎng)絡安全辦公室,任命了網(wǎng)絡安全協(xié)調(diào)官。2010年6月,美國國防部正式成立了由戰(zhàn)略司令部領導的網(wǎng)絡戰(zhàn)司令部,于2010年10月正式運行。2015年年底,美國《網(wǎng)絡安全法》獲得正式通過,成為美國當前規(guī)制網(wǎng)絡安全信息共享的一部較為完備的法律,首次明確了網(wǎng)絡安全信息共享的范圍,并通過修訂2002年《國土安全法》的相關內(nèi)容,規(guī)范國家網(wǎng)絡安全增強、聯(lián)邦網(wǎng)絡安全人事評估及其他網(wǎng)絡事項。

俄羅斯則早在1995年便頒布了《聯(lián)邦信息、信息化和信息保護法》,明確界定了信息資源開放和保密的范疇,提出了保護信息的法律責任。1997年俄羅斯出臺的《俄羅斯國家安全構想》中明確提出,“保障國家安全應把保障國家經(jīng)濟安全放在第一位”,而“信息安全又是經(jīng)濟安全的重中之重”。2000年普京總統(tǒng)批準了《國家信息安全學說》,明確了俄羅斯聯(lián)邦信息安全建設的目的、任務、原則和主要內(nèi)容。

我國政府高度重視信息安全工作,早在1994年,國務院便以147號令頒布了《中華人民共和國計算機信息系統(tǒng)安全保護條例》;2003年國務院成立應急辦,頒布了《國家突發(fā)公共衛(wèi)生事件應急條例》;2006年公布了《國家突發(fā)公共事件總體應急預案》和《國家網(wǎng)絡與信息安全事件應急預案》,確定了4大公共事件及網(wǎng)絡信息安全事件的應急措施預案;2007年制定了《國家突發(fā)事件應對法》。此外,信息產(chǎn)業(yè)部、工信部以及各地方政府和部門在近十余年時間里也陸續(xù)出臺了各類與信息安全相關的法律法規(guī)。信息安全在我國的國家層面上受到高度重視,目前已上升為國家戰(zhàn)略。相應地,信息安全工作也已成為各行各業(yè)信息化戰(zhàn)略規(guī)劃和信息化建設中不可或缺的內(nèi)容,氣象部門也不例外。

信息安全是一個永恒的主題,信息安全工作永遠沒有終結的一刻。在國家大力倡導信息化、互聯(lián)網(wǎng)+、大數(shù)據(jù)應用和信息安全的現(xiàn)在,認真系統(tǒng)地回顧和審視氣象信息安全工作,是完全必要的,因為這可使我們及早發(fā)現(xiàn)問題、查漏補缺,使氣象信息安全工作進一步發(fā)揮出應有的作用。

二、信息安全的本質

(一)信息安全的內(nèi)涵和特征

信息是氣象部門最寶貴的資產(chǎn),是氣象部門賴以立身的最為珍貴的資源。因此,必須對所有氣象信息進行妥善的保護。

按業(yè)界的規(guī)范定義,信息安全主要指信息的保密性、完整性和可用性的保持,即:通過采用計算機軟硬件技術、網(wǎng)絡技術、密鑰技術等安全技術和各種組織管理措施,保護信息在其生命周期內(nèi)的產(chǎn)生、傳輸、交換、處理和存儲等各個環(huán)節(jié)中,信息的保密性、完整性和可用性不被破壞,保障業(yè)務的連續(xù)性,最大限度地減少業(yè)務的損失,最大限度地獲取業(yè)務回報。其中:保密性是指確保只有那些被授予特定權限的人才能夠訪問到信息;完整性是指保證信息和處理方法的正確性和完整性;可用性則是指確保那些已被授權的用戶在其需要的時候,確實可以訪問到所需信息。此屬常識,不予展開。

信息安全具有如下特征:

1. 信息安全是系統(tǒng)的安全

信息產(chǎn)生于系統(tǒng)、存在于系統(tǒng)、被系統(tǒng)所使用并由系統(tǒng)發(fā)揮其作用,所有與信息相關的各系統(tǒng)皆必須納入信息安全的視野,予以充分的關注和考慮。此外,信息安全是整體的安全,所有與信息相關的部分由信息串聯(lián)而構成一個相對完整的系統(tǒng),它的安全直接關系到信息的安全。

2. 信息安全是動態(tài)的安全

信息的安全保障是一個動態(tài)的過程,沒有永久的安全,也不存在滿足信息安全的充分條件,信息安全問題不可能一勞永逸地予以解決。保護信息安全不可能是絕對的,而是多種約束條件下的折衷的選擇。隨著事物的發(fā)展和技術的進步,約束條件必然發(fā)生變化,而約束條件的變化又將必然導致信息安全方針、策略和措施的相應調(diào)整和變化。

3. 信息安全是無邊界的安全

網(wǎng)絡的廣泛互聯(lián)使得信息系統(tǒng)環(huán)境的邊界越來越模糊,傳統(tǒng)意義上的國界、前方和后方正在消失,人們幾乎可以從任何地點、任何時間對任何對象發(fā)起網(wǎng)絡攻擊,因此信息安全是廣泛的、無國界的,它無法單憑一個國家、地區(qū)或部門就能完全控制,需要從全球信息化角度綜合考慮和整體布局。

4. 信息安全是非傳統(tǒng)的安全

傳統(tǒng)的具有典型外在物理特征的安全因素(如:軍事、自然災害、人為暴力破壞等等)已無法涵蓋信息安全所應考慮的全部范疇。在沒有諸如軍事入侵、自然災害、傳統(tǒng)意義上的恐怖襲擊等情況下,信息和信息系統(tǒng)的安全依然會受到諸如計算機病毒、黑客攻擊、計算機犯罪、信息垃圾和信息污染等嚴重威脅。國家的電信、金融、能源、交通等核心領域,氣象部門的數(shù)據(jù)通信、信息處理等核心系統(tǒng),可能在極短的時間內(nèi)被攻擊癱瘓,導致社會運轉的癱瘓和氣象業(yè)務的崩潰,而此時所有系統(tǒng)的物理器件并未因此而發(fā)生實質性的損傷。

信息安全既是信息技術問題,也是組織管理問題。因為信息安全最終必將落實到信息系統(tǒng)的安全層面上,并最終由一個個具體的信息技術和相關產(chǎn)品的有機組合予以實現(xiàn),沒有符合實際的明確的安全目標和方針、科學的設計、認真的維護、以及不斷地主動發(fā)現(xiàn)新的安全問題并及時予以解決,是無法有效地形成安全環(huán)境的;就一個部門而言,一個相對安全的環(huán)境的構成必須從人的行為規(guī)范、安全體系的科學設計以及部門內(nèi)部安全環(huán)境的構成等諸多方面綜合考慮、整體設計,方才可能。因此信息安全并非單純是技術和技術產(chǎn)品問題,更是組織管理問題,無法單憑技術手段予以解決。

此外,從法律、輿論以及信息戰(zhàn)和虛擬空間等更高層面考慮,信息安全也是社會問題和國家安全問題。此非本文所考慮的范圍,故不予展開。

(二)信息安全的一些認識誤區(qū)

應當承認,由于各種原因,至今氣象部門的一些同事中,對信息安全仍存在一定的認識誤區(qū),以下問題應予充分重視:

1. 單純的安全技術和產(chǎn)品的應用不能解決信息安全

信息安全問題并非單純的技術問題,信息安全技術和產(chǎn)品的簡單應用并不意味著部門整體的信息安全,不能指望簡單地規(guī)劃了DMZ區(qū)、在局域網(wǎng)出入端配置了防火墻、在個人電腦中安裝了殺毒軟件、遠程通信采用VPN技術后,部門的信息安全問題便可基本解決。事實上,諸如防火墻、堡壘機、殺毒軟件等安全產(chǎn)品,僅僅是構建部門信息安全防護體系的磚石,如果沒有科學的整體設計和有效的實施方案,單憑磚石和瓦塊的簡單甚至隨意堆壘,是無法構建成有效的安全防護體系的。因此:

防火墻+ 堡壘機+ 殺毒軟件≠信息安全

2. 業(yè)務連續(xù)性的有效保障不能替代部門的信息安全

業(yè)務連續(xù)性的有效保障是部門行政領導最為關注的安全問題之一,為此往往不惜代價不計成本,而建立業(yè)務備份中心或災難備份中心是目前較為流行的保障措施。但備份中心的建立也并不一定意味著部門整體的信息安全,因為業(yè)務連續(xù)性的保障僅屬于信息安全三要素中“信息可用性”的范疇,如果不同時考慮信息的保密性和完整性,同樣無法從整體上解決部門的信息安全問題;而信息的私密性和完整性與備份中心之間并無必然聯(lián)系。因此:

備份中心≠信息安全

3. 網(wǎng)絡防御不能代替信息安全

傳統(tǒng)意義上的網(wǎng)絡安全包括網(wǎng)絡協(xié)議安全、網(wǎng)絡設備安全和網(wǎng)絡架構安全,側重于網(wǎng)絡自身的健壯性以及抗網(wǎng)絡攻擊的能力。然而如果網(wǎng)絡上運行的系統(tǒng)自身存在一定缺陷、軟件存在BUG,以及人為操作失誤(如:誤刪除、誤修改等),則上述內(nèi)容和措施便將束手無策。所以,網(wǎng)絡的抗攻擊和抗偷盜能力不能完全解決信息安全問題。

類似的認識誤區(qū)還有若干,限于篇幅,不再枚舉。

三、基于風險管理的信息安全管理

(一)信息安全管理

統(tǒng)計結果表明,在所有信息安全事故中,只有20%~30%是由于黑客入侵或其他外部原因造成的,其余的70%~80%則是因內(nèi)部員工的疏忽或有意違規(guī)而造成的。站在全局的高度上來考察信息和網(wǎng)絡安全的全貌就會發(fā)現(xiàn):安全問題實際上都是人的問題,單憑技術手段是無法予以根本解決的。

信息安全是一個多層面、多因素的過程,如果僅憑一時的需要,頭疼醫(yī)頭腳疼醫(yī)腳地制定一些控制措施和引入某些技術產(chǎn)品,難免掛一漏萬、顧此失彼,使得信息安全這只“木桶”出現(xiàn)若干“短板”,從而無法提高信息安全的整體水平。

對于信息安全而言,技術和產(chǎn)品是基礎,管理才是關鍵。如同磚瓦建材需要良好的設計和施工才能搭建成堅固耐用的建筑,安全技術和安全產(chǎn)品需要通過管理的組織職能方才能夠發(fā)揮出最佳效果。事實充分證明,管理良好的系統(tǒng)遠比技術雖然高超但管理混亂不堪的系統(tǒng)安全得多。因此,先進科學的、易于理解且方便操作的安全策略對信息安全至關重要;而建立一個管理框架,讓好的安全策略在這個框架內(nèi)可重復實施,并不斷得到修正,就會擁有持續(xù)的安全。

所謂信息安全管理,是指部門或組織中為了完成信息安全目標,針對信息系統(tǒng),遵循安全策略,按照規(guī)定的程序,運用恰當?shù)姆椒?,而進行的規(guī)劃、組織、指導、協(xié)調(diào)和控制等活動和過程;是通過維護信息的保密性、完整性和可用性,來管理和保護組織所有的信息資產(chǎn)的一項體制;是部門或組織中用于指導和管理各種控制信息安全風險的一組相互協(xié)調(diào)的活動。有效的信息安全管理要盡量做到在有限的成本下,保證將安全風險控制在可接受的范圍之內(nèi)。

信息安全管理包括:安全規(guī)劃、風險管理、應急計劃、安全教育培訓、安全系統(tǒng)評估、安全認證等多方面內(nèi)容。

(二)基于風險的信息安全

1. 安全和風險

步履蹣跚的耄耋老人終日待在家中肯定比在熙熙攘攘的大街上行走安全,但即使在家中,也仍有因行走或站立不穩(wěn)而跌倒的可能,不如身邊陪有專人看護安全;然即便家中有專人看護,也不如將老人長期安置在醫(yī)院,在全套設備和專業(yè)醫(yī)護人員看護下安全,如此等等??梢姡^安全都是相對而言的,沒有絕對的安全;而安全的效果或等級越高,往往付出的代價或成本也越高,信息安全也是如此。

安全是相對于風險而言的,某種安全水平的達到意味著某種或某類風險的得以規(guī)避:雙機熱備技術可以避免單點故障所導致的業(yè)務中斷,兩地三中心災備模式可以保證即便在發(fā)生局地嚴重災害時部門業(yè)務的連續(xù)性。但絕對的安全是沒有的:雙機熱備技術無法避免供電系統(tǒng)故障的風險,而大型隕石撞擊地球,將導致生態(tài)系統(tǒng)的崩潰和物種滅絕,遑論災備兩地三中心以及部門業(yè)務連續(xù)性了。

然而,風險是由可能性與后果的組合來計算和度量的。盡管兩地三中心災備模式無法應對地球遭遇大型隕石撞擊的毀滅性災害,但該災害發(fā)生的可能性卻微乎其微,未來數(shù)百年幾乎沒有可能。因此此災雖然為害甚烈,但發(fā)生的可能性卻幾近于零,不必予以考慮。

2. 風險管理

絕對的零風險是不存在的,要想實現(xiàn)零風險也是不現(xiàn)實的。同時,規(guī)避風險是需要代價的,規(guī)避的風險種類越多,所付出的代價往往越大。就計算機系統(tǒng)而言,安全性越高,其可用性往往越低,需要付出的成本也越大。因此,信息安全建設的宗旨之一,就是在綜合考慮成本與效益的前提下,通過恰當、足夠、綜合的安全措施來控制風險,使殘余風險降低到可接受的程度。亦即,需要在安全性和可用性,以及安全性和成本投入之間做出一種平衡。

所以,根本上說,信息安全是一個風險管理過程,而不是一個技術實現(xiàn)過程。

風險管理是指如何在一個肯定有風險的環(huán)境里,利用有限的資源把風險減至最低的管理過程。風險管理包括對風險的量度、評估和應變策略等。理想的風險管理,是一連串排好優(yōu)先次序的過程,使導致最大損失及最可能發(fā)生的安全事件優(yōu)先處理、而相對風險較低的事件則押后處理。

風險管理的首要內(nèi)容之一,是風險識別和風險評估。因為,信息安全體系的建立首先需要確定信息安全的需求,而獲取信息安全需求的主要手段就是安全風險評估。因此,信息安全風險評估是信息安全管理體系建立的基礎;沒有風險評估,信息安全管理體系的建立就沒有依據(jù)。

風險管理的另一項重要內(nèi)容,就是對風險評估的結果進行相應的風險處置,只有對已知風險逐一進行有針對性的妥善處置,才能化解和規(guī)避這些風險,達到信息安全的目的。因此,風險處置是信息安全的核心。從本質上講,風險處置的最佳集合就是信息安全管理體系的控制措施集合;而控制目標、控制手段、實施指南的邏輯梳理、以形成這些風險控制措施集合的過程,就是信息安全體系的建立過程。亦即,信息安全管理體系的核心就是這些最佳控制措施的集合。

需要強調(diào)的是,由于信息安全風險和事件不可能完全避免,因此信息安全管理必須以風險管理的方式,不求完全消除風險,但求限制、化解和規(guī)避風險。而好的風險管理過程可以讓氣象部門以最具有成本效益的方式運行,并且使已知的風險維持在可接受的水平,使氣象部門可以用一種一致的、條理清晰的方式來組織有限的資源,確定風險處置優(yōu)先級,更好地管理風險,而不是將保貴的資源用于解決所有可能的風險。

事物是在不斷變化的,新的風險不斷出現(xiàn),因此風險管理過程需要不斷改進、完善、更新和提高。

四、當前氣象信息安全存在的問題

盡管氣象部門至今尚未發(fā)生重大信息安全事件,但這并不能說明氣象部門的信息安全工作已萬事大吉,信息安全體系固若金湯。依照信息安全管理的規(guī)范考察,氣象部門的信息安全工作至少存在如下問題:

(一)基礎工作存在缺失

1. 信息安全目標

通常意義下的信息安全目標,一般都是確保信息的機密性、完整性、可用性,以及可控性和不可否認性等等。但部門不同,具體的情況不同,安全性需求的程度、信息安全所面臨的風險、付出的代價也各有不同;如:就信息的機密性而言,軍事部門的要求遠遠高于氣象部門;而就信息的可用性而言,氣象部門對業(yè)務連續(xù)性的要求也較土地勘測管理部門為高。因此,泛泛的信息安全目標沒有任何意義,所有可用的信息安全目標都是切合部門具體實際情況的,是本土化、部門化的。

沒有切合氣象部門具體實際情況的、具有鮮明氣象特色的信息安全目標,是目前存在的突出問題。

必須明確,氣象部門信息安全目標的確定,是管理層的職責。管理層對信息安全目標的要求,決定了氣象部門信息安全工作的走向。氣象信息業(yè)務部門負責氣象信息安全既定目標的具體落實,其工作的質量和效率,決定了氣象部門是否能夠達到信息安全管理的目標。

2. 信息安全方針

信息安全方針是為信息安全工作提供與業(yè)務需求和法律法規(guī)相一致的管理指示及相應的支持舉措。信息安全方針應該做到:對本部門的信息安全加以定義,陳述管理層對信息安全的意圖,明確分工和責任,約定信息安全管理的范圍,對特定的原則、標準和遵守要求進行說明,等等。氣象部門的信息安全方針至少應當說明以下問題:氣象信息安全的整體目標、范圍以及重要性,氣象信息安全工作的基本原則,風險評估和風險控制措施的架構,需要遵守的法規(guī)和制度,信息安全責任分配,信息系統(tǒng)用戶和運行維護人員應該遵守的規(guī)則,等等。

遺憾的是,以此為基本內(nèi)容的信息安全方針,至今在氣象部門尚未確立。

3. 信息安全組織機構

為有效實施部門的信息安全管理,保障和實施部門的信息安全,在部門內(nèi)部建立信息安全組織架構(或指定現(xiàn)有單位承擔其相應職責)是十分必要的。

在一個部門或機構中,安全角色與責任的不明確是實施信息安全過程中的最大障礙。因此,建立信息安全組織并落實相應責任,是該部門實施信息安全管理的第一步。這些組織機構需要高層管理者的參與(如本部門信息化領導小組),以負責重大決策,提供資源并對工作方向、職責分配給出清晰的說明,等等。此外,信息安全組織成員還應包括與信息安全相關的所有部門(如行政、人事、安保、采購、外聯(lián)),以便各司其責,協(xié)調(diào)配合。

遺憾的是,類似的組織機構在氣象部門內(nèi)即便已經(jīng)存在,至今也未真正履行其應負的職責。

4. 信息資產(chǎn)管理

信息資產(chǎn)管理的主要內(nèi)容包括:識別信息資產(chǎn),確定信息資產(chǎn)的屬主及責任方,信息資產(chǎn)的安全需求分類,以及各類信息資產(chǎn)的安全策略和具體措施,等等。

就氣象部門而言,對信息資產(chǎn)(即:氣象信息資源和氣象信息系統(tǒng))進行識別、明確歸屬以及分類等工作,有利于信息安全措施的有效實施。以分類為例:我們知道,對某特定氣象資料或業(yè)務系統(tǒng)實施過多和過度的保護不僅浪費資源,而且不利于資料效益的充分發(fā)揮和系統(tǒng)的正常運行;而若保護不力,則更可能導致氣象信息數(shù)據(jù)和系統(tǒng)產(chǎn)生重大安全隱患,乃至出現(xiàn)安全事故。對氣象信息資產(chǎn)進行分類,可明確界定各具體資產(chǎn)的保護需求和等級,如此可以根據(jù)類別的不同,調(diào)整合適的資源、財力、物力,對重要的氣象信息資源和系統(tǒng)實施有針對性的、符合其特點的信息安全重點保護,如此等等。

同樣遺憾的是,氣象部門至今尚未實施真正意義上的完整的氣象信息資產(chǎn)管理。

類似缺失的基礎工作還有很多,不再枚舉。

基礎工作的缺失,導致氣象信息安全工作的不扎實、不穩(wěn)固,是氣象信息安全工作長期滯后于信息化基礎建設的主要原因之一。

(二)完整的信息安全管理體系尚未建成

按照ISO的定義,信息安全管理體系(ISMS:Information Security Management System)是“組織在整體或特定范圍內(nèi)建立的信息安全方針和目標,以及完成這些目標所用的方法和體系。它是直接管理活動的結果,表示為方針、原則、目標、方法、計劃、活動、程序、過程和資源的集合”。

信息安全管理體系要求部門或組織通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責、以風險評估為基礎選擇安全事件控制目標和相應處置措施等一系列活動,來建立信息安全管理體系。該體系是基于系統(tǒng)、全面、科學的安全風險評估而建立起來的,它體現(xiàn)以預防控制為主的思想,強調(diào)遵守國家有關信息安全的法律法規(guī)及其它地方、行業(yè)的相關要求。該體系強調(diào)全過程管理和動態(tài)控制,本著控制費用與風險相平衡的原則,合理選擇安全控制方式。該體系同時強調(diào)保護部門所擁有的關鍵性信息資產(chǎn)(而不見得是全部信息資產(chǎn)),確保需要保護的信息的保密性、完整性和可用性,以最佳效益的形式維護部門的合法利益、保持部門的業(yè)務連續(xù)性。

由于基礎性工作尚未全部就緒,目前氣象部門尚未建立真正意義上的、基于風險管理的科學而完整的氣象信息安全管理體系。

在氣象部門建立完整的信息安全管理體系,可以對氣象部門的關鍵信息資產(chǎn)進行全面系統(tǒng)的保護,在信息系統(tǒng)受到侵襲時確保業(yè)務持續(xù)開展并將損失降到最低程度;并使氣象部門在信息安全工作領域實現(xiàn)動態(tài)的、系統(tǒng)地、全員參與的、制度化的、以預防為主的信息安全管理方式,用最低的成本,達到可接受的信息安全水平。此外,完整的信息安全管理體系的建立,也可使部門外協(xié)作單位對氣象部門的安全能力充滿信心,這一點在當前大數(shù)據(jù)應用浪潮正在全社會迅速漫延的背景下,尤其重要。

(三)業(yè)務格局的分散加大了安全管理問題的復雜度

目前氣象部門依然沿用著已延續(xù)數(shù)十年的國省地縣四級業(yè)務層級,而業(yè)務系統(tǒng)的屬地化,以及諸如“具備業(yè)務功能意味著擁有業(yè)務系統(tǒng)、擁有業(yè)務系統(tǒng)意味著擁有信息資產(chǎn)以及基礎資源和設施”等傳統(tǒng)觀念的束縛,使得各個業(yè)務系統(tǒng)在地理分布上呈現(xiàn)出全國遍地開花的局面,各級業(yè)務單位都擁有自己的信息業(yè)務系統(tǒng)和相應的局地信息業(yè)務環(huán)境。彼此通過內(nèi)部專網(wǎng)(VPN)或甚至通過互聯(lián)網(wǎng)進行互聯(lián),在全國形成網(wǎng)狀與樹狀相結合的、十分復雜的業(yè)務網(wǎng)絡結構。

由于各級單位都在當?shù)負碛懈髯砸?guī)模不等的信息業(yè)務系統(tǒng)及相應環(huán)境(包括為業(yè)務系統(tǒng)提供數(shù)據(jù)支撐的氣象數(shù)據(jù)庫),因此各單位都面臨著本單位的信息安全管理問題。尤其是一些氣象數(shù)據(jù)在各級業(yè)務單位的廣泛復制,使得各級業(yè)務單位中數(shù)據(jù)同質化現(xiàn)象十分突出,也為這些數(shù)據(jù)的保密性和完整性(包括一致性)的保持增加了大量變數(shù)。此外,由于編制所限,地縣兩級業(yè)務單位中IT技術人員奇缺,既無法保障信息業(yè)務系統(tǒng)的日常維護,更無法為本單位信息安全提供專業(yè)化管理。

這種業(yè)務格局的分散,加大了氣象部門信息安全管理問題的復雜度。

限于篇幅,其余問題不再枚舉。

五、建立完整的氣象信息安全管理體系

綜上所述,在氣象部門建立完整的氣象信息安全管理體系,是非常必要的;就目前全社會所倡導的大數(shù)據(jù)應用和云計算趨勢而言,這項工作具有較強的緊迫性,應盡早開展相應的工作。歸納起來,有如下幾點:

(一)適時著手建立完整的氣象信息安全管理體系

1. 完成基礎性工作

應盡早明確信息安全的方針,為氣象部門信息安全工作確定目標、范圍、責任、原則、標準、架構和法律法規(guī)。

應以適當方式組建或明確氣象信息安全的管理和實施機構,并確保所有相關單位能夠悉數(shù)納入其中,明確分工和職責,以便各司其職,彼此協(xié)調(diào)工作。

應在管理層的統(tǒng)一組織下,以適當?shù)男问?,全面完成氣象部門內(nèi)部的信息資產(chǎn)普查、歸屬認定、安全需求等級劃分以及安全等級保護措施等,制定氣象信息資產(chǎn)管理策略、制度和方法,逐步推廣實施,從而完成氣象信息資產(chǎn)的有效管理。

2. 適時進行信息安全風險評估并制訂風險處置方案

制定風險評估方案、選擇評估方法,以此為依據(jù)完成氣象信息安全風險要素識別,發(fā)現(xiàn)系統(tǒng)存在的威脅和系統(tǒng)的脆弱性,并確定相應的控制措施。在此基礎上,對所有風險逐一判斷其發(fā)生的可能性和影響的范圍及程度,綜合各種分析結果,最終逐一判定這些風險各自的等級。

在風險等級判定的基礎上,以“將風險始終控制在可接受范圍內(nèi)”為宗旨,制訂有針對性的風險處置方案,包括:可接受風險的甄別和確定,不可接受風險的控制程度,風險處置方式的選擇和控制措施的確定,制訂具體的氣象信息安全方案和綜合控制措施,科學合理地運用“減低風險”、“轉移風險”、“規(guī)避風險”和“接受風險”等方法,形成綜合的氣象信息安全風險處置方案,并部署實施。

3. 建立完整的氣象信息安全管理體系

在上述工作以及其它相關工作的基礎上,參照BS 7799-2:2002 《信息安全管理體系規(guī)范》、 ISO/ IEC17799:2000《信息技術-信息安全管理實施細則》等國際標準,以及GB/T22080-2008《信息安全管理體系要求》、GB/T20269-2006《信息系統(tǒng)安全管理要求》、GB/T20984-2007《信息安全風險評估規(guī)范》等國家標準,完成組織落實、措施落實、方案落實和相應文檔的編寫,以及所有相關的審查、職責界定和制度建設,以構成氣象部門的信息安全管理體系。

(二)將信息安全管理體系納入氣象信息化戰(zhàn)略之中

信息安全與信息化發(fā)展息息相關,是一切信息化工作的基礎,涉及到信息化工作的方方面面。氣象部門是以信息采集、分析處理和為工作特征的典型的信息應用部門,氣象業(yè)務系統(tǒng)是典型的信息系統(tǒng),因此信息安全對于氣象部門尤為重要。氣象事業(yè)的健康發(fā)展離不開信息化,也同樣離不開信息安全。氣象信息安全應當是氣象信息化工作中最為重要的內(nèi)容之一,氣象信息安全管理體系的構建和持續(xù)改進也應當成為未來氣象信息化戰(zhàn)略中極其重要的內(nèi)容。

信息安全是管理問題而非技術問題,從某種角度看,信息安全管理體系是以策略為核心,以管理為基礎,以技術為手段的安全理念的具體落實。有什么樣的理念,就有什么樣的方針、策略、制度措施和體系架構。無法想象在管理理念和安全意識十分落后的思維環(huán)境中,能夠構建起科學完備的信息安全管理體系來。因此,安全管理理念的全面提高和安全意識的充分到位,是氣象信息安全所有工作正常開展的前提。就氣象部門管理層而言,著力消除曾長時間彌漫于全部門信息安全領域的重技術輕管理的觀念,將關注點從研究安全技術和產(chǎn)品應用轉移到信息資產(chǎn)管理、風險識別和控制以及整體安全戰(zhàn)略的制定等管理層面上來,是其不可推卸的責任。應當在全部門倡導信息安全意識、制定并推行信息安全制度、確定信息安全責任、組織信息安全培訓,構建起完整的氣象信息安全管理體系。

六、結語

在政府大力強調(diào)信息安全意識,強力推動信息安全工作的背景下,各行各業(yè)均把信息安全工作列入本部門或單位的工作議程,氣象部門也是如此。但如何科學有效地構建起具有鮮明氣象特色的信息安全防護體系,充分把控所有已知的安全風險,使有限的投入得到最大限度的安全回報,這是氣象部門管理層和IT工作者需要認真研究并努力實踐的工作。

信息安全首先是意識問題、觀念問題,要想真正打造安全的業(yè)務環(huán)境,在氣象部門全體員工中(特別是在管理層干部中)樹立良好的安全意識,是至關重要的。

2014年,在深刻領會主席“沒有信息化就沒有現(xiàn)代化”的重要指示精神后,氣象部門提出了“沒有信息化就沒有氣象現(xiàn)代化”的口號。那么,針對提出的“沒有信息安全就沒有國家安全”的另一重要論斷,氣象部門是否也應提出相應的口號――

“沒有信息安全,就沒有氣象業(yè)務安全”。

第6篇:網(wǎng)絡資產(chǎn)安全管理范文

關鍵詞:安全運維;技術支撐;信息安全

中圖分類號:TP3 文獻標識碼:A

1 引言(Introduction)

為進一步規(guī)范信息安全管理,提高信息安全管理水平,建設一套集“監(jiān)、管、控”功能為一體的安全運維管理平臺勢在必行[1,2],通過對IT基礎設施與應用系統(tǒng)的集中監(jiān)控,實時反映IT資源的運行狀況,對事件、問題、變更、配置等運維服務進行集中處理,最終實現(xiàn)信息資產(chǎn)可知、運行狀態(tài)可視、服務流程可管、運維操作可控,全面提升信息安全保障能力,有效支撐業(yè)務系統(tǒng)的穩(wěn)定運行,為運維工作提供有效技術支撐。

2 IT運維中存在的問題(Problems in the operation

management)

隨著IT業(yè)務和規(guī)模不斷在擴展,給信息中心人員的管理帶來了一定程度上的難度,主要體現(xiàn)在以下幾個方面:

一是隨著網(wǎng)絡環(huán)境的日趨復雜,傳統(tǒng)的“來電響應式”的IT運維管理模式無法及時發(fā)現(xiàn)潛在的網(wǎng)絡異常及隱患,如何實現(xiàn)網(wǎng)絡的事前管理和透明化監(jiān)控是保障應用系統(tǒng)穩(wěn)定運行、核心業(yè)務正常運轉的關鍵。

二是業(yè)務系統(tǒng)的數(shù)量不斷增多,往往是業(yè)務部門向信息中心反映系統(tǒng)出現(xiàn)問題后,運維人員才發(fā)現(xiàn)系統(tǒng)出現(xiàn)了故障,具有滯后性。同時無法從業(yè)務角度來審視系統(tǒng)的健康度,導致故障無法快速定位業(yè)務故障點,也無法通過資源的故障判斷它所影響到的業(yè)務系統(tǒng)等。

三是缺少有效技術手段,對網(wǎng)絡邊界完整性進行監(jiān)控與管理,不能及時發(fā)現(xiàn)私自內(nèi)聯(lián)與非法外聯(lián)等高風險行為。對業(yè)務訪問、后臺運維等操作行為缺少必要的監(jiān)控與審計管理技術手段。

3 建設內(nèi)容(The content of the construction)

信息系統(tǒng)安全運維管理平臺應該包括以下內(nèi)容:

3.1 綜合監(jiān)控管理子系統(tǒng)

綜合監(jiān)控管理子系統(tǒng)實現(xiàn)對IT基礎層的路由交換設備、安全設備、服務器、數(shù)據(jù)庫、中間件、服務等以及資源關聯(lián)的應用進程、端口、日志等的全面監(jiān)管,幫助管理人員及時了解IT架構(各類IT資源)的運行情況,形成安全事件關聯(lián)分析,支持策略管理,能自動或手工設定啟動相關事件處理流程。

3.2 安全運維服務管理子系統(tǒng)

運維服務管理子系統(tǒng)是安全管理、日常工作和服務管理的有機結合。運維服務管理子系統(tǒng)應基于ITIL(運維管理最佳實踐等)和實際管理需求,提供服務流程管理、業(yè)務資源管理、安全管理為主的綜合性管理,以保障運維管理的規(guī)范化和標準化,提升日常運維管理效能。

3.2.1 安全信息采集與分析

采集各種廠商、各種類型的日志信息,針對采集的各類安全要素信息,實現(xiàn)性能與可用性分析、配置符合性分析、安全事件分析、脆弱性分析、風險分析和宏觀態(tài)勢分析。其中,風險分析包括了資產(chǎn)價值分析、影響性分析、弱點分析、威脅分析等;宏觀態(tài)勢分析包括了地址熵分析、熱點分析、關鍵安全指標分析、業(yè)務健康度分析、關鍵管理指標分析??杉傻谌桨踩芾碇行能浖?。

(1)安全事件采集

根據(jù)前期從各種網(wǎng)絡設備、服務器、存儲、應用等對象收集的各種安全資源、對象的安全事件、安全配置、安全漏洞、資產(chǎn)信息等數(shù)據(jù),進行范式化處理,把各種不同表達方式的日志轉換成的統(tǒng)一的描述形式。

(2)安全事件分析

透過智能化的安全事件關聯(lián)分析,提供基于規(guī)則的關聯(lián)分析、基于情境的關聯(lián)分析和基于行為的關聯(lián)分析技術。

管理對象的日志量和告警事件量應在應用系統(tǒng)拓撲圖顯示;用戶點擊拓撲節(jié)點可以查詢事件和告警信息詳情;可以對一段時間內(nèi)的安全事件進行行為分析,形象化地展示海量安全事件之間的關聯(lián)關系,從宏觀的角度來協(xié)助定位安全問題。

安全事件以可視化視圖展示,具備多種展現(xiàn)手段,至少包括事件拓撲圖、IP全球定位圖、動態(tài)事件移動圖、事件多維分析圖、資產(chǎn)拓撲圖等。

3.2.2 安全隱患預警與處置

采用主動管理方式,能夠在威脅發(fā)生之前進行事前安全管理。主要提供安全威脅預警管理、主動漏洞掃描管理、主動攻擊測試等方式配合進行安全核查。

安全威脅預警管理,用戶可以通過預警管理功能內(nèi)部及外部的早期預警信息,并與資產(chǎn)進行關聯(lián),分析出可能受影響的資產(chǎn),提前讓用戶了解業(yè)務系統(tǒng)可能遭受的攻擊和潛在的安全隱患。

主動漏洞掃描管理,能夠主動地、定期自動化地發(fā)起漏洞掃描、攻擊測試等,并將掃描結果與資產(chǎn)進行匹配,進行資產(chǎn)和業(yè)務的脆弱性管理。

配合安全檢查管理,夠協(xié)助運維管理人員建立安全配置基線管理體系,實現(xiàn)資產(chǎn)安全配置檢查工作的標準化、自動化,并將其納入全網(wǎng)業(yè)務脆弱性和風險管控體系。

3.2.3 告警管理

為了全面的收集各類事件告警,系統(tǒng)應提供所有事件告警的統(tǒng)一管理。

(1)告警內(nèi)容

告警內(nèi)容包含事件的節(jié)點、類型、級別、位置、相關業(yè)務等,幫助運維人員在收到故障報警時能夠迅速了解故障相關的資源、人員、業(yè)務等信息,快速作出反應。

(2)告警處理

系統(tǒng)需要針對各業(yè)務系統(tǒng)涉及IT資源環(huán)境進行實時故障處理。它能從主機和業(yè)務系統(tǒng)的各個環(huán)節(jié)收集事件信息,通過對這些信息的過濾、處理、關聯(lián),分遞給相關人員,使得最重要的故障能夠優(yōu)先地被關注及處理。

告警消息能按照應用類別、消息種類、消息級別和處理崗位進行分類處理。消息種類可分為:操作系統(tǒng)、數(shù)據(jù)庫、中間件、存儲、硬件、應用、安全和網(wǎng)絡等。

(3)告警

能對告警級別進行自定義,根據(jù)級別確定電話告警,短信告警,郵件告警的方式進行報警。

3.2.4 風險管理

信息安全風險管理工作是在安全信息分析與處理功能的基礎上進行信息安全風險評估、信息安全整改任務等工作。

信息安全風險評估,根據(jù)安全信息分析結果開展風險評估流程,將風險評估結果形成豐富而詳細的圖形及報表。

信息安全整改,將信息安全風險評估信息匯總,歸并各個部門需處置的信息安全風險,進行集中處置工作并進行整改落實情況分析。

4 結論(Conclusion)

建立以資產(chǎn)管理為基礎,項目管理為紐帶,以信息系統(tǒng)為核心,建立對IT業(yè)務的全生命周期的完整管理,從狀態(tài)監(jiān)控、行為審計、風險評估、服務管理四個維度建立起來的一套適合安全運維工作需求的統(tǒng)一業(yè)務支撐平臺,使得各類用戶能夠對系統(tǒng)的關聯(lián)性、健康性、可用性、風險性、連續(xù)性、安全性等多維度進行精確度量、分析評估,實現(xiàn)事后運維向事中運維以至向事前防范的轉變,最終實現(xiàn)信息系統(tǒng)的持續(xù)安全運營。

參考文獻(References)

[1] 景義瓊.基于ITIL的網(wǎng)絡運維管理系統(tǒng)的設計與實現(xiàn)[D].復

旦大學,2010:15-18.

[2] 李榮華.基于ITIL的IT運維管理系統(tǒng)的設計與實現(xiàn)[D].北京

郵電大學,2010:13-15.

[3] 李.電子政務運維管理的關注因素[J].信息化建設,2009

(02):1-2.

第7篇:網(wǎng)絡資產(chǎn)安全管理范文

關鍵詞:信息安全管理;風險評估;監(jiān)控

中圖分類號:TP393.08

信息是現(xiàn)代社會中不可缺少的一項重要元素,尤其是在商業(yè)活動中,信息已經(jīng)成為市場競爭的重要手段,因此對信息安全的管理在商業(yè)活動中顯得尤為重要。信息安全管理體系(Information Security Management System,簡稱為ISMS),是建立和維持信息安全管理體系的標準,標準要求組織通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責、以風險評估為基礎選擇控制目標與控制方式等活動建立信息安全管理體系;體系一旦建立組織應按體系規(guī)定的要求進行運作,保持體系運作的有效性;信息安全管理體系應形成一定的文件,即組織應建立并保持一個文件化的信息安全管理體系,其中應闡述被保護的資產(chǎn)、組織風險管理的方法、控制目標及控制方式和需要的保證程度。

1 信息安全的風險評估與策略

1.1 信息安全的風險評估

信息安全管理屬于風險管理,即如何在一個確定有風險的環(huán)境里把風險減至最低的管理過程。因此,管理的核心要素就是對風險進行準確識別和有效的評估,通過對信息安全進行風險評估可以獲得安全管理的需求,幫助組織制定出最佳的信息安全管理策略,并且將風險控制在可承受的范圍之內(nèi)。一個科學、合理的信息安全風險評估策略應該具有形影的標準體系、技術措施、組織框架以及法律法規(guī)。

1.2 信息安全策略

信息安全策略(Information Security Policy)是一個組織機構中解決信息安全問題的重要組成部分。在一個組織內(nèi)部,通常是由技術管理者指定信息安全策略,如果是一個較為龐大的組織,制定信息安全策略的則可能是一個技術團隊。信息安全策略是基于風險評估結果以保護組織的信息資產(chǎn)。信息安全策略對訪問組織的不同資產(chǎn)進行權限設定,它是組織管理人員在建立、使用和審計信息系統(tǒng)時的信息來源。

信息安全策略具有非常廣泛的應用范圍,在其基礎上做出的安全決定需要提供一個較高層次的原則性觀點。一個組織的信息安全策略能夠反映出一個組織對現(xiàn)實和未來安全風險的認識水平,對于組織內(nèi)部業(yè)務人員和技術人員安全風險的處理。信息俺去那策略的制定同時還需要參考相關標準文本和安全管理的經(jīng)驗。

1.3 信息安全管理措施

信息加密技術是網(wǎng)絡安全管理的核心問題,通過對網(wǎng)絡傳輸?shù)男畔①Y源進行加密,以確保傳遞過程中的安全性和可靠性。用戶通過互聯(lián)網(wǎng)進行網(wǎng)絡訪問時,應該能夠控制訪問屬于自己的數(shù)據(jù)的訪問者身份,并且可以對訪問者的訪問情況進行審核。這種訪問權限的控制,需要開發(fā)相應的權限控制程度,以作為安全防范措施使用。

用戶在對云計算網(wǎng)絡的數(shù)據(jù)進行存儲時,其他用戶及云服務提供商在未被所有者允許的情況下不得對數(shù)據(jù)進行查看及更改。這需要將數(shù)據(jù)在網(wǎng)絡存儲時,對其他用戶實行存儲隔離措施,同時對服務提供商實行存儲加密和文件系統(tǒng)的加密措施。鑒于云平臺的搭建多數(shù)基于商業(yè)方面,因此用戶的數(shù)據(jù)在基于云計算的網(wǎng)絡上進行傳輸時要具有極高的保密性,包括在計算中心的內(nèi)部網(wǎng)絡和開放互聯(lián)網(wǎng)絡上。所以,應該對所傳輸?shù)臄?shù)據(jù)信息在傳輸層進行加密(HTTPS、VPN和SSL等),對服務提供商進行網(wǎng)絡加密。由于基于云計算的網(wǎng)絡的數(shù)據(jù)重要性,為了防止各種數(shù)據(jù)毀滅性災難和突發(fā)性事件,進行按期定時的數(shù)據(jù)備份,使用數(shù)據(jù)庫鏡像策略和分布式存儲策略等,是確保網(wǎng)絡信息安全的一系列防范措施。

病毒對互聯(lián)網(wǎng)的安全威脅最為嚴重,主要可以通過病毒防御技術提升信息管理安全性。病毒是利用計算機軟硬件系統(tǒng)的缺陷,在原本正常運行的程序中插入的一段能夠破壞計算機或數(shù)據(jù)的指令或代碼段,從而在執(zhí)行時影響計算機系統(tǒng)的正常運作而不易被人察覺,對計算機及信息安全的威脅最大。針對日益猖獗的計算機病毒,選擇一款適合系統(tǒng)使用環(huán)境的反病毒軟件顯得尤為重要,發(fā)現(xiàn)病毒侵入應該及時查殺,同時要注意按時地更新病毒庫,并升級反病毒軟件版本。在殺毒的同時做好預防工作是最為行之有效的措施。防火墻是設置在不同類型網(wǎng)絡間的一系列硬件和軟件的集合,旨在控制不同網(wǎng)絡間的訪問、拒絕外部網(wǎng)絡對內(nèi)部網(wǎng)絡或網(wǎng)絡資源的非法訪問,保證通過防火墻的數(shù)據(jù)包符合預設的安全策略,從而確保了網(wǎng)絡信息的服務安全。

入侵檢測作為防火墻技術的補充手段,是對成功繞過防火墻限制而入侵內(nèi)部網(wǎng)絡系統(tǒng)的行為進行技術攻防的策略。其實質是在不損耗網(wǎng)絡性能的前提下進行監(jiān)聽分析用戶系統(tǒng)活動和違反安全策略的行為,對已威脅網(wǎng)絡安全的入侵行為識別并發(fā)出警報,同時生成異常行為分析,評估入侵行為帶來的損害程度。

目前,利用防火墻和入侵檢測相結合的方式,是防護網(wǎng)絡、拒絕外部網(wǎng)絡攻擊的最有效手段之一。任何一個系統(tǒng)都會存在安全漏洞,這包含已知的和未知的在應用軟件和操作系統(tǒng)兩方面上的安全漏洞。在進行漏洞掃描時,可以及時系統(tǒng)和網(wǎng)絡存在的安全漏洞,并打上漏洞補丁,進行主動防御。在使用時可以將漏洞掃描與防火墻技術、入侵檢測技術三者相結合,形成網(wǎng)絡安全防范和防御的“黃金三角”。數(shù)據(jù)加密分為對稱性和非對稱性加密兩種,是在發(fā)送端以某種算法將數(shù)據(jù)明文轉換成密文,在接收端以密鑰進行解密,從而保證信息在網(wǎng)絡存儲和傳輸?shù)倪^程中都是保密的,并且對網(wǎng)絡環(huán)境沒有任何特別的要求和限制。數(shù)據(jù)加密技術與防火墻技術相比較,對于信息安全的防護作用是全局性的,也是最后一道防線。

系統(tǒng)備份和數(shù)據(jù)恢復,是指對系統(tǒng)的重要核心數(shù)據(jù)和資料進行備份,當切防范和防御技術都失效并且計算機網(wǎng)絡遭到黑客攻擊時,能夠對系統(tǒng)實施立即恢復的手段,這也是保證信息安全的挽救措施。除了以上所提及的技術性手段之外,大力開展信息安全教育和完善相關法律法規(guī)作為人為防范措施也不容被忽視。近年來,信息安全威脅之一的網(wǎng)絡欺騙就是因為當事人的信息安全意識淡薄和相關的調(diào)查取證困難造成的。因此,有必要做出改善措施,與技術手段相結合對信息安全發(fā)揮行之有效的影響。

2 結束語

綜上所述,隨著計算機技術、網(wǎng)絡通信技術和高密度存儲技術的發(fā)展,電子信息化進程在各個領域中得到了廣泛推廣和不斷深入研究。結合當今社會的信息量爆炸式的增長情況,以及現(xiàn)階段的研究成果得出結論,當今電子信息工程的安全問題和信息的有效利用問題仍將為研究的重點。本文重點研究了信息安全管理體系,根據(jù)信息安全管理的標準以及信息安全風險的特征,提出了一些具有針對性的信息安全管理措施,以實現(xiàn)對信息安全風險的有效評估和準確預測,危險性安全管理體系的實施提供重要保證。

參考文獻:

[1]張健.電子文件信息安全管理評估體系研究[J].檔案學通訊,2011,4.

[2]馬曉珺,趙哲.電子商務信息安全管理體系研究[J].安陽市師范學院學報,2008,2.

[3]劉曉紅.信息安全管理體系認證及認可[J].認證技術,2011,5.

[4]喬甜.基于全員參與的信息安全管理體系研究[J].科技致富向導,2013,6.

[5]王新輝,張建,李偉濤.基于生命周期分析信息安全管理體系[J].計算機技術與發(fā)展,2012,3.

第8篇:網(wǎng)絡資產(chǎn)安全管理范文

自20世紀80年代以來,隨著信息技術迅速滲透到社會經(jīng)濟的各個領域,尤其是Internet/Intranet技術和電子商務(Ecommerce)的廣泛應用,推動著人類社會從工業(yè)經(jīng)濟時代向網(wǎng)絡經(jīng)濟時代和信息化社會的方向前進。在這個動態(tài)演進的過程中,經(jīng)濟發(fā)展越來越需要信息的支持,信息已成為經(jīng)濟發(fā)展的戰(zhàn)略資源和社會管理的基本要素。

企業(yè)的信息化建設對于企業(yè)發(fā)展具有重要的戰(zhàn)略意義。對信息的采集、共享、利用和傳播成為決定企業(yè)競爭力的關鍵因素。只有實現(xiàn)信息化,企業(yè)才可能實現(xiàn)企業(yè)生產(chǎn)經(jīng)營活動的運營自動化、管理網(wǎng)絡化、決策智能化,從而理順和提高企業(yè)的管理水平,提高設計效率,降低企業(yè)的庫存,節(jié)約占用資金,降低生產(chǎn)成本,改善職工的工作環(huán)境,縮短企業(yè)的服務時間和提高企業(yè)的客戶滿意度,并可及時地獲取客戶需求,實現(xiàn)按訂單生產(chǎn)。

但是,信息化也使企業(yè)同時承受著巨大的信息安全的風險。據(jù)統(tǒng)計,全球平均20秒就發(fā)生一次計算機病毒入侵;互聯(lián)網(wǎng)上的防火墻大約25%被攻破;竊取商業(yè)信息的事件平均以每月260%的速度增加;約70%的網(wǎng)絡主管報告了因機密信息泄露而受損失。我國公安機關2002年共受理各類信息網(wǎng)絡違法犯罪案件6633起,與上年相比增長45.9%,其中利用計算機實施的違法犯罪5301起,占案件總數(shù)的79.9%.而病毒的泛濫,更讓國內(nèi)眾多企業(yè)蒙受了巨額經(jīng)濟損失。加強信息安全建設,已成了目前國內(nèi)外企業(yè)迫在眉睫的大事。

二、信息安全和信息安全管理

根據(jù)國際標準化組織(ISO)的定義,信息安全是“在技術上和管理上為數(shù)據(jù)處理系統(tǒng)建立的安全保護,保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露”。信息安全是一個動態(tài)的復雜過程,它貫穿于信息資產(chǎn)和信息系統(tǒng)的整個生命周期。

信息安全的威脅來自于內(nèi)部破壞、外部攻擊、內(nèi)外勾結進行的破壞以及自然危害。必須按照風險管理的思想,對可能的威脅、脆弱性和需要保護的信息資源進行分析,依據(jù)風險評估的結果為信息系統(tǒng)選擇適當?shù)陌踩胧咨茟獙赡馨l(fā)生的風險。信息安全的目標就是要保證敏感數(shù)據(jù)的機密性(Confidentiality)、完整性(Integrity)和可用性(Availability)[1].為了達到這個目的,人們建立起信息安全管理體系(InformationSecurityManagementSystems)。它是組織在整體或特定范圍內(nèi)建立信息安全方針和目標,以及完成這些目標所用方法的系統(tǒng),表示成方針、原則、目標、方法、過程、核查表(Checklists)等要素的集合。

在信息安全管理體系中,通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責、以風險評估為基礎選擇控制目標與控制方式等建立起信息安全管理框架。在該體系中,人們在技術層面作了許多卓越而富有成效的工作來保障企業(yè)信息安全,如密碼學和訪問控制等。但僅僅依靠技術手段不可能徹底解決信息安全問題。這是因為,信息以及信息用戶的社會屬性決定了信息安全中存在非技術因素,而從屬于非技術因素的問題,無法依靠單純的技術手段加以解決[2].非技術手段主要包括法律手段、經(jīng)濟手段和行政手段等,在市場經(jīng)濟環(huán)境中,企業(yè)應首選法律和經(jīng)濟手段來保護信息安全。

三、法務會計師在企業(yè)信息安全管理中的作用

信息及信息用戶的社會屬性使得法務會計師為企業(yè)提供專業(yè)服務成為必要,而法務會計師獨特的知識結構和專業(yè)經(jīng)驗使得其在企業(yè)信息安全管理發(fā)揮其獨特作用提供了可能。根據(jù)信息安全風險的成因,法務會計師可以因地制宜地制定相關對策。當前威脅企業(yè)信息安全的主要成因是:

1.技術風險。主要包括信息電磁化風險和系統(tǒng)及軟件風險。在網(wǎng)絡環(huán)境下,企業(yè)的各種票證和帳單等以人眼無法直接辨別的電磁信息的形式在網(wǎng)上傳遞并存儲于磁性介質中,在傳遞及存儲過程中均有被攻擊者篡改或截獲的可能。

2.人員風險。由于企業(yè)中負責具體業(yè)務的人員并不一定熟悉計算機操作,因此在系統(tǒng)使用過程中極有可能出現(xiàn)由于人員操作不當而造成的意外損失。而由于系統(tǒng)管理涉及企業(yè)重要機密,操作人員是否會利用職權之便對信息進行破壞或剽竊也是企業(yè)管理者應該關注的重要問題。

3.法律風險。網(wǎng)絡的出現(xiàn)和廣泛應用對傳統(tǒng)社會產(chǎn)生了強烈的沖擊,舊有的法律法規(guī)體系已不能完全適應、指導和規(guī)范網(wǎng)絡安全的實踐。網(wǎng)絡本身的虛擬性、實時性、廣泛性要求更加切實可行,更加完備的標準準則和法律法規(guī)的出現(xiàn)。

現(xiàn)階段,面對信息安全的威脅,企業(yè)缺乏有力的系統(tǒng)性的對應措施和策略,基本處于“頭痛醫(yī)頭、腳痛醫(yī)腳”的狀態(tài),解決方案手段單一,缺乏多種手段的共同治理。很多組織已經(jīng)越來越意識到要真正達到信息安全的目標僅僅通過信息安全技術和產(chǎn)品是不可能實現(xiàn)的,結合法律、制度等社會性手段的信息安全管理體系(ISMS)的搭建才能實現(xiàn)信息系統(tǒng)的整體安全保障。因為,很多企業(yè)信息資產(chǎn)安全管理方面除了存在信息安全技術薄弱方面的原因外,還存在如下一些問題如,信息安全管理制度過于簡單,內(nèi)容不全;交叉重復,混亂無章;求大求全,無針對性;鎖在柜中,無人問津;以及制度執(zhí)行中的人為破壞等等。

建立包含技術和法律等手段的多層面的信息安全管理體系可以強化員工的信息安全意識,規(guī)范組織的信息安全行為,對組織的關鍵信息資產(chǎn)進行全面系統(tǒng)的保護,維持競爭優(yōu)勢;在信息系統(tǒng)受到侵襲時,確保業(yè)務持續(xù)開展并將損失降到最低程度;使組織的商業(yè)伙伴和客戶對組織充滿信心,提高組織的知名度與信任度。因為信息安全事關企業(yè)信息資產(chǎn)和業(yè)務安全,需要通過法制渠道滿足企業(yè)在電子商務和管理環(huán)境中維護競爭優(yōu)勢的需要,法務會計師可以充分利用其在法律和會計信息管理方面的優(yōu)勢,為企業(yè)建立有效的信息資產(chǎn)保護計劃提供有價值的服務,并依法追究相關組織和人員的責任。

第9篇:網(wǎng)絡資產(chǎn)安全管理范文

關鍵詞:風險評估;動態(tài)性;信息安全管理;脆弱性;威脅

中圖分類號:TP311 文獻標識碼:A 文章編號:1007—9599 (2012) 14—0000—02

一、引言

隨著信息化的快速發(fā)展,信息系統(tǒng)在各行業(yè)領域發(fā)揮越來越大的作用,但隨之而來的安全問題卻成為制約信息化快速健康發(fā)展的短板。如今各類網(wǎng)絡攻擊事件不逐年增多,雖然通過部署一系列安全設備,如防火墻、防毒墻、IDS、IPS以及其他諸如上網(wǎng)行為管理軟件等等,以期增加安全防護水平,然而通常由于信息主管部門人員力量有限,安全設備形成的大量數(shù)據(jù)信息,無法在第一時間對潛在的危險進行有效收集、分析和處理,以致無法快速進行系統(tǒng)地評估,掌控全局安全狀態(tài)。

及時的全局信息系統(tǒng)風險管理是對系統(tǒng)安全現(xiàn)狀進行管控的一種有效措施,其遵循PDCA循環(huán)模式管理,即P(Plan:計劃)、D(Do:執(zhí)行)、C(Check:檢查)和A(Action:行動)。其最早由美國質量管理專家戴明提出來,旨在通過不斷循環(huán),對系統(tǒng)進行檢測、加固,使安全防范水平得到進一步提高。它是一種動態(tài)的檢測機制,其精髓就是對系統(tǒng)進行有效的風險評估,反觀現(xiàn)今常采用的評估方法,多為靜態(tài)模式,其結果只限于指定時間點的風險值,存在滯后性,無法反映二個連續(xù)檢測點風險值變化情況。如假使以期通過PDCA模式提高安全性,選擇動態(tài)模式的風險評估成為必然。

二、風險評估理念

日常安全風險產(chǎn)生的原因主要為威脅因素利用資產(chǎn)脆弱性,對系統(tǒng)產(chǎn)生危害,表現(xiàn)方式主要有可能導致系統(tǒng)非正常運行,數(shù)據(jù)的完整性、可用性、保密性受到侵害。風險評估是管理風險的重要手段,在標準ISO/IEC17799中對于風險評估作了如下定義:信息及信息處理設備的威脅、影響和弱點以及三者發(fā)生的可能性的評估。其內(nèi)在因素之間關系如圖1—1所示:

三、動態(tài)風險評估

(一)系統(tǒng)結構

動態(tài)風險評估架構由五部分組成,包括安全檢測模塊、信息管理模塊、事件資源庫模塊、規(guī)則資源庫模塊以及風險評估模塊。安全檢測模塊主要通過安全檢測設備實時監(jiān)控系統(tǒng)中隱藏的威脅信息并發(fā)出告警信息,信息管理模塊主要負責接收告警信息并輸出為統(tǒng)一格式,事件資源庫模塊收集威脅評估、資產(chǎn)脆弱性評估結果,規(guī)則資源庫用于存儲風險評估計算方式(公式),風險評估模塊通過整合信息管理模塊的輸出值,依據(jù)規(guī)則資源庫的風險評估計算方式計算系統(tǒng)的風險值。其結構圖如1—2所示:

(二)評估方法

1.資產(chǎn)評估

資產(chǎn)評估包括資產(chǎn)識別和價值評估兩部分。資產(chǎn)識別即首先識別有價值的資產(chǎn),列入評估清單,形式有物理資產(chǎn)、信息資產(chǎn)、人員、服務、組織的聲譽等,這里以網(wǎng)絡設備、服務器操作系統(tǒng)、數(shù)據(jù)庫所含信息為主。數(shù)據(jù)信息的保護即為維持其完整性、可用性和保密性,通過收集、分析網(wǎng)絡中相關計算機運行屬性,以及在整個系統(tǒng)運行過程中的作用和被攻擊后需要修復所產(chǎn)生的費用等,確定資產(chǎn)價值。

2.脆弱性分析

脆弱性是指系統(tǒng)存在的安全薄弱環(huán)節(jié),容易被威脅利用并造成損失,其主要可以分為管理脆弱性和技術脆弱性。這里討論以技術脆弱性為主,主要為信息系統(tǒng)、網(wǎng)絡設備、服務器設備中存在的可能導致未授權操作的脆弱性節(jié)點,該類脆弱性通??梢允褂么嗳跣話呙韫ぞ摺⒙┒磼呙柘到y(tǒng)、安全審計工具等方式獲得。

3.威脅分析

威脅主要為損害資產(chǎn)完整性、保密性、可用性的行為,通過安全檢測模塊如防火墻、防毒墻、IDS以及其他安全防護設備告警、觸發(fā)形成,經(jīng)常表現(xiàn)為一種未預期的突發(fā)事件。

威脅分析首先需要列出可能存在的所有可能導致資產(chǎn)損害的因素,如物理因素、系統(tǒng)因素、人為因素等,其次執(zhí)行威脅發(fā)生可能性概率分析和潛在損失分析,根據(jù)分析結果,定量計算出威脅值并作標識,進一步形成應對策略。

4.計算資產(chǎn)的動態(tài)風險

資產(chǎn)的風險隨著安全設備檢測出不同安全事件而有不同的變化,其標識信息包括:安全設備編碼、威脅的類型、源地址、目的地址、源端口、目的端口以及威脅發(fā)生的時間等,此外,每個安全設備報警的準確率也是可以確定的。

如果組織網(wǎng)絡中主機的資產(chǎn)價值用Ai表示,在某個時刻各主機的風險值為Ri,則此時網(wǎng)絡整體風險值R為:R= 。當某個安全設備產(chǎn)生一個報警事件時,首先根據(jù)其報警信息中的目的地址查看目的主機的威脅列表中是否存在此威脅,如果威脅存在,則讀出目的主機的資產(chǎn)價值Ai、該威脅可能對資產(chǎn)造成影響的權重WTi以及報警前目的主機的風險值Ri,并根據(jù)該威脅的源地址得到威脅主體的動機指數(shù)Mi和能力值Ci。若用P表示報警設備的準確率,T表示威脅值,則該威脅產(chǎn)生的風險值r可以通過以下公式計算:r=Ai×T×P,T=Mi×Ci×WTi。假定單個威脅產(chǎn)生的風險的閾值是v,網(wǎng)絡中主機的風險閾值為VH,整個網(wǎng)絡的風險閾值為VN,對于某個報警事件產(chǎn)生的風險值r,首先將其與v進行比較,如果r≥v,根據(jù)威脅分析階段所確定的相應對策對該威脅進行響應。如果r

四、總結

風險評估當前已成為加固信息系統(tǒng)安全的重要步驟之一,隨著信息安全管理體系理念的推廣,其影響范圍越來越大,也越來越獲得重視。而實施動態(tài)的評估預警機制則更充分有效地發(fā)揮了風險評估的作用,對于實際生產(chǎn)和安全管控有十分重要的意義。

參考文獻:

[1]GB/T20984信息安全技術 信息安全風險評估規(guī)范,2007

[2]GB/T19715.1——2005信息技術信息技術安全管理指南第1部分:信息技術安全概念和模型(150/IECTR13335—1:1996,IDT)

[3]王蓮芬,許樹柏.層次分析法引論[M].北京:中國人民大學出版社,1990

[4]馮登國,張陽,張玉清.信息安全風險評估綜述[J].通信學報,2004,25,7:10—18