信息安全方針和策略范文

時(shí)間:2024-03-06 17:36:15

導(dǎo)語(yǔ):如何才能寫好一篇信息安全方針和策略,這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

信息安全方針和策略

篇1

【關(guān)鍵詞】 等級(jí)保護(hù) 電力調(diào)度 管理制度

引言

我單位開展了信息安全等級(jí)保護(hù)安全建設(shè)整改、等級(jí)測(cè)評(píng)等工作。然而,隨著整改進(jìn)程的深入,建立規(guī)范、高效、安全的信息系統(tǒng)運(yùn)行維護(hù)和管理體系,如何將等級(jí)保護(hù)中的管理制度與本單位自身的安全生產(chǎn)、班組文化等制度結(jié)合,給管理工作帶來(lái)了新的挑戰(zhàn),通過(guò)建立等級(jí)保護(hù)管理制度體系能夠更全面的提高電力調(diào)度系統(tǒng)運(yùn)維管理層次,實(shí)現(xiàn)信息系統(tǒng)、數(shù)據(jù)資源集成整合和綜合高效利用,支撐實(shí)現(xiàn)電力調(diào)度的信息化發(fā)展目標(biāo)。本文結(jié)合筆者在信息安全管理中的實(shí)踐和理解,對(duì)等級(jí)保護(hù)管理體系在工作中的應(yīng)用提出一些個(gè)人的想法,供讀者借鑒。

一、建立等級(jí)保護(hù)制度體系目的和意義

為更好的提高信息安全保障能力和水平,依據(jù)《信息安全等級(jí)保護(hù)管理辦法》(公通字[2007]43號(hào))、國(guó)家電網(wǎng)公司《信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)的實(shí)施指導(dǎo)意見》(信息運(yùn)安[2009]27號(hào))、《SG186工程信息系統(tǒng)安全等級(jí)保護(hù)驗(yàn)收標(biāo)準(zhǔn)(試行)》(信息運(yùn)安[2009]44號(hào))、《關(guān)于加強(qiáng)電力二次系統(tǒng)安全防護(hù)和等級(jí)保護(hù)工作的通知》(調(diào)自〔2012〕65號(hào))等要求。進(jìn)一步加強(qiáng)電力調(diào)度系統(tǒng)重要信息系統(tǒng)的安全保護(hù),落實(shí)國(guó)網(wǎng)公司關(guān)于信息安全等級(jí)保護(hù)和安全防護(hù)體系建設(shè)的總體要求,我單位開展了信息安全等級(jí)測(cè)評(píng)和整 改工作。

二、等級(jí)保護(hù)管理制度體系分析

等級(jí)保護(hù)管理制度體系提供了對(duì)組織機(jī)構(gòu)中信息系統(tǒng)全生存周期過(guò)程實(shí)施符合安全等級(jí)責(zé)任要求的管理,包括落實(shí)安全管理機(jī)構(gòu)及人員,明確角色與職責(zé),制定安全規(guī)劃、開發(fā)安全策略、實(shí)施風(fēng)險(xiǎn)管理、進(jìn)行監(jiān)控、檢查,處理安全事件等,具體落實(shí)在要求則體現(xiàn)在等級(jí)保護(hù)測(cè)評(píng)指標(biāo)中,等級(jí)保護(hù)管理要求如圖1所示。

三、等級(jí)保護(hù)管理體系建設(shè)實(shí)踐

在具體落實(shí)管理體系過(guò)程中,應(yīng)結(jié)合原有的信息化管理制度,貫徹建立管理制度文件層級(jí)化和流程化管理概念,將方針策略、管理制度、操作規(guī)程和記錄表單等文件科學(xué)的管理運(yùn)作;將信息化安全管理方針策略定義為一層策略文件;將溝通管理、信息化人員管理、授權(quán)與審批管理、文件規(guī)范性管理、介質(zhì)管理、資產(chǎn)管理、網(wǎng)絡(luò)管理、系統(tǒng)管理、安全事件與應(yīng)急管理、備份與恢復(fù)管理等方面定義為二層制度文件,落實(shí)一層文件中涉及的各方面運(yùn)維和安全管理內(nèi)容;將信息化運(yùn)維管理的操作指導(dǎo)規(guī)范等定義為三層流程文件,支撐二層制度文件的具體操作;將所有信息化運(yùn)維相關(guān)的表格定義為四層表格文件,落實(shí)并規(guī)范化所有運(yùn)維操作,融合和動(dòng)態(tài)的管理當(dāng)前使用的管理制度體系結(jié)構(gòu),如圖2所示。

3.1安全管理的原則

1)基于安全需求原則:組織機(jī)構(gòu)應(yīng)根據(jù)其信息系統(tǒng)擔(dān)負(fù)的使命,積累的信息資產(chǎn)的重要性,可能受到的威脅及面臨的風(fēng)險(xiǎn)分析安全需求,遵從相應(yīng)等級(jí)的規(guī)范要求,從全局上恰當(dāng)?shù)仄胶獍踩度肱c效果;

2)主要領(lǐng)導(dǎo)負(fù)責(zé)原則:主要領(lǐng)導(dǎo)應(yīng)確立其組織統(tǒng)一的信息安全保障的宗旨和政策,負(fù)責(zé)提高員工的安全意識(shí),組織有效安全保障隊(duì)伍,調(diào)動(dòng)并優(yōu)化配置必要的資源,協(xié)調(diào)安全管理工作與各部門工作的關(guān)系,并確保其落實(shí)、有效;

3)全員參與原則:信息系統(tǒng)所有相關(guān)人員應(yīng)普遍參與信息系統(tǒng)的安全管理,并與相關(guān)方面協(xié)同、協(xié)調(diào),共同保障信息系統(tǒng)安全;

4)持續(xù)改進(jìn)原則:安全管理是一種動(dòng)態(tài)反饋過(guò)程,貫穿整個(gè)安全管理的生存周期,隨著安全需求和系統(tǒng)脆弱性的分布變化,應(yīng)及時(shí)地將現(xiàn)有的安全策略、風(fēng)險(xiǎn)接受程度和保護(hù)措施進(jìn)行復(fù)查、修改、調(diào)整以至提升安全管理等級(jí),維護(hù)和持續(xù)改進(jìn)信息安全管理體系;

5)分權(quán)和授權(quán)原則:對(duì)特定職能或責(zé)任領(lǐng)域的管理功能實(shí)施分離、獨(dú)立審計(jì)等實(shí)行分權(quán),避免權(quán)力過(guò)分集中所帶來(lái)的隱患,以減小未授權(quán)的修改或?yàn)E用系統(tǒng)資源的機(jī)會(huì)。

3.2管理制度體系框架構(gòu)建

3.2.1工作目標(biāo)

建立安全管理組織并落實(shí)各個(gè)部門信息安全責(zé)任人,明確組織內(nèi)各機(jī)構(gòu)人員責(zé)任和工作職能,確定信息安全管理體系方針策略,編制形成信息安全方針策略文件。

3.2.2建立信息安全管理組織

(1)建立信息安全管理組織架構(gòu)

信息安全領(lǐng)導(dǎo)機(jī)構(gòu):供電公司信息化領(lǐng)導(dǎo)小組,主要負(fù)責(zé)對(duì)單位信息安全制定總體安全策略、監(jiān)督和協(xié)調(diào)各項(xiàng)安全措施在單位的執(zhí)行情況、設(shè)立落實(shí)信息安全責(zé)任。由供電公司分管領(lǐng)導(dǎo)擔(dān)任組長(zhǎng),小組成員為各個(gè)部門負(fù)責(zé)人組成。

(2)明確各相關(guān)機(jī)構(gòu)和崗位角色的責(zé)任和職能

建立相應(yīng)的職責(zé)文件,明確各相應(yīng)領(lǐng)導(dǎo)、部門、崗位的職責(zé)。調(diào)度通信中心應(yīng)設(shè)立信息安全工作的各關(guān)鍵崗位,如安全管理員、網(wǎng)絡(luò)管理員、操作系統(tǒng)管理員和數(shù)據(jù)庫(kù)管理員等,并將之與班組人員結(jié)合,并重視信息化人員的培養(yǎng)。

3.2.3確定安全管理總體方針策略

安全管理方針策略是為組織的每一個(gè)人提供基本的規(guī)則、指南、定義,從而在組織中建立一套信息資源保護(hù)標(biāo)準(zhǔn),防止員工的不安全行為引入風(fēng)險(xiǎn)。同時(shí),還是進(jìn)一步制定控制規(guī)則、安全程序的必要基礎(chǔ)。應(yīng)當(dāng)目的明確、內(nèi)容清楚,能廣泛地被組織成員接受與遵守,且要有足夠靈活性、適應(yīng)性,能涵蓋較大范圍內(nèi)的各種數(shù)據(jù)、活動(dòng)和資源。可以使員工了解與自己相關(guān)的信息安全保護(hù)責(zé)任,強(qiáng)調(diào)安全對(duì)組織業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)、業(yè)務(wù)活動(dòng)持續(xù)運(yùn)營(yíng)的重要性。

安全方針策略屬于高層管理文件,簡(jiǎn)要陳述信息安全宏觀需求及管理承諾,應(yīng)該篇幅短小,內(nèi)容明確。信息安全方針應(yīng)當(dāng)簡(jiǎn)明、扼要,便于理解,至少應(yīng)包括以下內(nèi)容:

(1)信息安全的定義,總體目標(biāo)、范圍,安全對(duì)信息共享的重要性;

(2)管理層意圖、支持目標(biāo)和信息安全原則的闡述;

(3)信息安全控制的簡(jiǎn)要說(shuō)明,以及依從法律、法規(guī)要求對(duì)組織的重要性;

(4)信息安全管理的一般和具體責(zé)任定義,包括報(bào)告安全事故;

(5)信息安全策略的主要功能就是要建立一套安全需求、控制措施及執(zhí)行程序,定義安全角色賦予管理職責(zé),陳述組織的安全目標(biāo),為安全措施在組織的強(qiáng)制執(zhí)行建立相關(guān)輿論與規(guī)則的基礎(chǔ)。

3.3管理制度體系策略建立

3.3.1工作目標(biāo)

建立覆蓋信息工作的全部文件,包含安全策略、制度、規(guī)定規(guī)范、表單,完善所有活動(dòng)流程管理。

3.3.2建立體系策略制度文件

信息安全策略是組織信息安全活動(dòng)的最高方針,需要根據(jù)信息工作的實(shí)際情況,分別制訂不同的信息安全策略。應(yīng)該簡(jiǎn)單明了、通俗易懂,并形成書面文件,發(fā)給單位內(nèi)的所有成員。同時(shí)要對(duì)所有相關(guān)員工進(jìn)行信息安全策略的培訓(xùn),以使信息安全方針真正植根于單位內(nèi)所有員工的腦海并落實(shí)到實(shí)際工作中。根據(jù)本單位實(shí)際情況,建立的策略文件,所有文件均需進(jìn)行論證和評(píng)審。

(1)信息安全管理策略

作為所有系統(tǒng)的指導(dǎo)性方針文件,提供信息安全的基本規(guī)則、指南、定義。依據(jù)本策略應(yīng)制定各管理制度、操作和使用規(guī)范。

(2)系統(tǒng)運(yùn)維安全管理策略

作為所有系統(tǒng)運(yùn)行維護(hù)的指導(dǎo)性方針文件,提供系統(tǒng)安全運(yùn)行維護(hù)的基本規(guī)則、指南、定義。依據(jù)本策略應(yīng)制定系統(tǒng)運(yùn)行維護(hù)中相關(guān)的各種管理制度和規(guī)定,以及控制各項(xiàng)活動(dòng)的記錄表單和審批流程。應(yīng)覆蓋機(jī)房、網(wǎng)絡(luò)、系統(tǒng)、資產(chǎn)、備份、日常運(yùn)維等所有運(yùn)行維護(hù)工作的范圍。

(3)系統(tǒng)建設(shè)安全管理策略

作為所有信息化工作建設(shè)的指導(dǎo)性方針文件,提供信息工作相關(guān)的建設(shè)安全管理的基本規(guī)則、指南、定義。依據(jù)本策略應(yīng)形成項(xiàng)目管理、采購(gòu)管理、工程實(shí)施管理、測(cè)試及驗(yàn)收管理等建設(shè)管理的全過(guò)程管理制度,相應(yīng)的控制表單和審批規(guī)定。

(4)人員安全管理策略

由于在系統(tǒng)、運(yùn)維、建設(shè)方面已經(jīng)對(duì)人員在該活動(dòng)中的行為做了要求,人員安全管理主要需要考慮的問(wèn)題是錄用、離崗、保密、教育培訓(xùn)、考核及外來(lái)人員方面的管理,也可以直接制定比較詳細(xì)的人員安全管理制度。

(5)管理流程

梳理并完善各種活動(dòng)的詳細(xì)流程圖,任何針對(duì)信息系統(tǒng)的活動(dòng)均有流程可依據(jù)進(jìn)行控制管理。如事件管理流程、變更管理流程等。

(6)其他輔助制度

建立輔助文件,如對(duì)以上策略、制度、表單等進(jìn)行管理的文件管理制度、保密制度、信息規(guī)定等。

3.4管理制度體系運(yùn)作落實(shí)

3.4.1工作目標(biāo)

逐項(xiàng)實(shí)施,直至體系全面運(yùn)行,監(jiān)督落實(shí)安全策略制度,找出體系中的不適用和缺陷。

3.4.2實(shí)施

經(jīng)過(guò)第一和第二階段的工作,理論上單位已初步形成完整的信息安全管理體系,但體系是否能正常運(yùn)作發(fā)揮作用,需要對(duì)體系進(jìn)行驗(yàn)證,驗(yàn)證的方法就是運(yùn)行體系。

體系的運(yùn)行分幾步進(jìn)行:

對(duì)通過(guò)論證評(píng)審的文件,通過(guò)正規(guī)渠道正式發(fā)文的方式進(jìn)行,的文件根據(jù)情況決定是否采取“征求意見稿”或“暫行”;

文件前召集相關(guān)部門的負(fù)責(zé)人學(xué)習(xí)文件,并要求確保落實(shí)力度;

的文件要求相關(guān)部門組織學(xué)習(xí),并依照實(shí)施;

各相關(guān)部門對(duì)運(yùn)行的文件制度運(yùn)行情況進(jìn)行收集,存在實(shí)際困難無(wú)法落實(shí)的報(bào)評(píng)審組織評(píng)審適用性;

對(duì)“征求意見稿”的文件,必須從實(shí)施的相關(guān)部門采集意見。

體系實(shí)施階段可以在體系建立階段同步開展,建立部門策略制度后,通過(guò)論證評(píng)審即可進(jìn)行試運(yùn)行,不需等全套文件完成。

3.4.3監(jiān)督

指定或成立跨部門監(jiān)督機(jī)構(gòu)、人員,對(duì)文件實(shí)施的過(guò)程進(jìn)行監(jiān)督管理,制定相應(yīng)的懲戒措施,對(duì)落實(shí)情況進(jìn)行監(jiān)督檢查,對(duì)違反文件實(shí)施和實(shí)施不力的部門或人員進(jìn)行懲戒,切實(shí)落實(shí)文件的有效實(shí)施。收集監(jiān)督過(guò)程中發(fā)現(xiàn)的文件問(wèn)題、人員實(shí)施問(wèn)題方面資料,反饋到編制組織。

本階段是系統(tǒng)建立的關(guān)鍵階段,是信息安全管理體系要分析運(yùn)行效果,尋求改進(jìn)機(jī)會(huì)的階段。如果發(fā)現(xiàn)一個(gè)控制措施不合理、不充分,就要采取糾正措施,以防止信息系統(tǒng)處于不可接受風(fēng)險(xiǎn)狀態(tài)。必須強(qiáng)調(diào)相關(guān)領(lǐng)導(dǎo)應(yīng)重視本階段工作,并且從實(shí)際上支持和推動(dòng)實(shí)施工作。且應(yīng)加大學(xué)習(xí)培訓(xùn)和監(jiān)督力度,落實(shí)懲戒措施。讓文件涉及的相關(guān)部門和相關(guān)人員熟知該文件并能按要求準(zhǔn)確執(zhí)行。

3.5管理制度體系細(xì)化調(diào)整

3.5.1工作目標(biāo)

總結(jié)體系運(yùn)行情況,調(diào)整不適用和無(wú)法落實(shí)的部分,完善體系,使之能高效、有序的運(yùn)作。

3.5.2評(píng)審

評(píng)審有兩個(gè)環(huán)節(jié),第一個(gè)環(huán)節(jié)是針對(duì)出現(xiàn)的問(wèn)題進(jìn)行審核,論證其原因,進(jìn)行改正完善。第二個(gè)環(huán)節(jié)是在大部分問(wèn)題解決后、體系正常的情況下全面評(píng)審體系文件、組織、活動(dòng)是否達(dá)到預(yù)期目標(biāo)。

首先,信息安全領(lǐng)導(dǎo)小組組織相關(guān)部門人員,對(duì)體系實(shí)施中發(fā)現(xiàn)的問(wèn)題進(jìn)行審核,對(duì)落實(shí)不力的部門責(zé)成落實(shí);對(duì)實(shí)際存在的問(wèn)題進(jìn)行論證,提出解決辦法;對(duì)不適用的文件或部分進(jìn)行論證評(píng)審,確實(shí)存在不適用的文件則組織相關(guān)人員進(jìn)行修訂,轉(zhuǎn)入修訂環(huán)節(jié),對(duì)于不適用且沒必要存在的文件進(jìn)行廢止。

而后,對(duì)于本階段計(jì)劃時(shí)間內(nèi)反饋沒發(fā)現(xiàn)問(wèn)題的文件,組織相關(guān)部門評(píng)審試行效果,達(dá)到預(yù)期要求則作為正式版運(yùn)行,并采用持續(xù)優(yōu)化階段的方式進(jìn)行管理,未達(dá)預(yù)期目的則轉(zhuǎn)入重新編制程序。

3.5.3修訂

對(duì)于存在問(wèn)題的策略文件,組織該策略文件涉及最多的主體部門和其他相關(guān)部門人員成立臨時(shí)修訂機(jī)構(gòu),針對(duì)文件存在問(wèn)題進(jìn)行修訂。修訂后進(jìn)行新版本的頒布,同時(shí)該文件轉(zhuǎn)入落實(shí)階段。

3.5.4測(cè)評(píng)

經(jīng)過(guò)細(xì)化調(diào)整,不斷地審核修訂后,體系應(yīng)已基本完善,此時(shí)轉(zhuǎn)入評(píng)審的第二環(huán)節(jié)。按照符合等級(jí)保護(hù)要求的預(yù)期目標(biāo),委托等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)進(jìn)行等級(jí)保護(hù)測(cè)評(píng),在保證客觀、合規(guī)、公正的前提下,對(duì)單位信息安全體系進(jìn)行全面評(píng)審。整體測(cè)評(píng)后,對(duì)不滿足要求的部分進(jìn)行整改,整改完成后轉(zhuǎn)入實(shí)施階段,直至符合要求。

3.6管理制度體系持續(xù)優(yōu)化

通過(guò)前四個(gè)階段的工作,信息安全管理體系應(yīng)基本穩(wěn)定、成熟,后期的工作在于保持并進(jìn)行不斷地優(yōu)化。把經(jīng)過(guò)檢驗(yàn)的文件作為常態(tài)的管理遵循依據(jù),在日常工作中保持,不因試行結(jié)束而松懈。部門和人員應(yīng)把試行期間依照文件要求形成的工作模式進(jìn)一步完善保持,在未發(fā)生異常情況之前,始終按照正式版本執(zhí)行。定期進(jìn)行評(píng)審,找出不適用部分進(jìn)行優(yōu)化調(diào)整;結(jié)合工作實(shí)際,尋求更高效安全的方法優(yōu)化體系,提高效能。

篇2

 

1 社區(qū)衛(wèi)生服務(wù)中心信息安全背景

 

20世紀(jì)90年代以來(lái),信息技術(shù)不斷創(chuàng)新,信息產(chǎn)業(yè)持續(xù)發(fā)展,信息網(wǎng)絡(luò)廣泛普及,特別是原衛(wèi)生部《衛(wèi)生信息化發(fā)展規(guī)劃(2011~2015年)》之后,明確了衛(wèi)生信息化是深化醫(yī)藥衛(wèi)生體制改革的重要內(nèi)容。那么作為整個(gè)衛(wèi)生信息化體系的“網(wǎng)底”的社區(qū)衛(wèi)生服務(wù)中心,其重要性不言而喻。隨著衛(wèi)生信息化的建設(shè)不斷擴(kuò)展和深入,依托于區(qū)域衛(wèi)生信息中心的各類應(yīng)用系統(tǒng)不斷上線推廣應(yīng)用。網(wǎng)絡(luò)與數(shù)據(jù)安全已逐步成為各項(xiàng)衛(wèi)生信息工作開展的重要基礎(chǔ)依托。因此社區(qū)衛(wèi)生服務(wù)中心作為區(qū)域衛(wèi)生信息中心的重要結(jié)點(diǎn)。信息安全管理就顯得尤為重要。

 

2 什么是信息安全管理

 

“三分技術(shù),七分管理”是信息安全保障工作中經(jīng)常提到的??梢?,信息安全管理是信息安全保障的至關(guān)重要的組成部分。信息安全管理(Information Security Management)指組織中為了完成信息安全目標(biāo),遵循安全策略,按照規(guī)定的程序,運(yùn)用恰當(dāng)?shù)姆椒ǎM(jìn)行的規(guī)劃、組織、指導(dǎo)、協(xié)調(diào)和控制等活動(dòng)。作為組織完成的管理體系中的一個(gè)重要環(huán)節(jié),它構(gòu)成了信息安全具有能動(dòng)性的部分,是指導(dǎo)和控制組織相互協(xié)調(diào)完成關(guān)于信息安全風(fēng)險(xiǎn)的活動(dòng),其對(duì)象就是包括人員在內(nèi)的各類信息相關(guān)資產(chǎn)。在社區(qū)衛(wèi)生服務(wù)中心由于信息系統(tǒng)應(yīng)用較為廣泛,基本包含了醫(yī)療、護(hù)理、醫(yī)技、行政等所有科室及其人員。

 

長(zhǎng)期以來(lái),社區(qū)衛(wèi)生服務(wù)中心在信息安全建設(shè)方面,存在重技術(shù)輕管理、重產(chǎn)品功能輕安全管理、缺乏整體性信息安全體系考慮等各方面的問(wèn)題。區(qū)域衛(wèi)生信息中心采用集中管理的信息安全技術(shù)及產(chǎn)品的應(yīng)用,一定程度上可以來(lái)解決社區(qū)衛(wèi)生服務(wù)中心在網(wǎng)絡(luò)傳輸時(shí)的信息安全問(wèn)題。但是僅僅靠這些產(chǎn)品和技術(shù)還不夠,即使采購(gòu)和使用了足夠先進(jìn)、足夠多的信息安全產(chǎn)品,仍然無(wú)法避免一些信息安全事件的發(fā)生。近年來(lái),由于管理不善、操作失誤等原因?qū)е碌男l(wèi)生信息及病患基本信息泄露的安全事件數(shù)量不斷攀升,更加劇了社區(qū)衛(wèi)生服務(wù)中心需要信息安全管理的迫切性。

 

3 社區(qū)衛(wèi)生服務(wù)中心信息安全管理作用

 

社區(qū)衛(wèi)生服務(wù)中心信息安全管理的作用體現(xiàn)任以下幾個(gè)方面。

 

3.1信息安全管理是社區(qū)衛(wèi)生服務(wù)中心組織整體管理的重要的、固有的組織部分,是組織實(shí)現(xiàn)中心業(yè)務(wù)目標(biāo)的重要保障。在信息時(shí)代的今天,信息安全威脅已經(jīng)成為社區(qū)衛(wèi)生服務(wù)中心等醫(yī)療機(jī)構(gòu)業(yè)務(wù)正常運(yùn)營(yíng)和持續(xù)發(fā)展的最大威脅。如在社區(qū)衛(wèi)生服務(wù)中心發(fā)生的費(fèi)用結(jié)算85%以上通過(guò)醫(yī)保信息系統(tǒng)來(lái)進(jìn)行,所有的醫(yī)生工作站都依托中心服務(wù)器來(lái)提供數(shù)據(jù)進(jìn)行操作,醫(yī)技部門也通過(guò)信息系統(tǒng)獲取病人信息和傳送結(jié)果。一旦信息系統(tǒng)發(fā)生故障對(duì)于社區(qū)衛(wèi)生服務(wù)中心來(lái)說(shuō)是災(zāi)難性的。因此中心需要信息安全管理,有其必然性。

 

3.2信息安全管理是信息安全技術(shù)的融合劑,是各項(xiàng)技術(shù)措施能夠發(fā)揮作用的重要保障。安全技術(shù)是信息安全控制的重要手段,許多信息系統(tǒng)的安全性保障都要依靠技術(shù)手段來(lái)實(shí)現(xiàn),但光有安全技術(shù)還不行,要讓安全技術(shù)發(fā)揮應(yīng)有的作用,必然要有適當(dāng)?shù)墓芾沓绦虻闹С?,否則,安全技術(shù)職能趨于僵化和失敗。如果說(shuō)安全技術(shù)是信息安全的構(gòu)筑材料,那么信息安全管理就是融合劑和催化劑,良好的管理可以變廢為寶,使現(xiàn)有的各項(xiàng)技術(shù)相互配合發(fā)揮應(yīng)有的作用,而糟糕的管理會(huì)使技術(shù)措施變得毫無(wú)用處。實(shí)現(xiàn)信息安全,技術(shù)和產(chǎn)品是基礎(chǔ),管理才是關(guān)鍵。在信息安全保障工作中必須管理與技術(shù)并重,進(jìn)行綜合防范,才能有效保障安全,這也是實(shí)現(xiàn)信息安全目標(biāo)的必由之路

 

3.3信息安全管理是預(yù)防、阻止或減少信息安全事件發(fā)生的重要保障。早期人們對(duì)于信息安全的認(rèn)識(shí)主要側(cè)重在技術(shù)措施的開發(fā)和利用上,這種技術(shù)主導(dǎo)論的思路能夠解決信息安全的一部分問(wèn)題,但卻解決不了根本,據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì)表明,信息安全問(wèn)題大約70%以上是由管理方面原因造成的,大多數(shù)信息安全事件的發(fā)生,與其說(shuō)是技術(shù)上的原因,不如說(shuō)是管理不善造成的。因此解決信息安全問(wèn)題、防止發(fā)生信息安全事件不應(yīng)僅從技術(shù)方面著手,同時(shí)更應(yīng)加強(qiáng)信息安全的管理工作。

 

信息安全涉及的范疇非常廣,信息安全不是產(chǎn)品的簡(jiǎn)單堆積,也不是一次性的靜態(tài)過(guò)程,它是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程,是不斷演進(jìn)、循環(huán)發(fā)展的動(dòng)態(tài)過(guò)程。因此,要求社區(qū)衛(wèi)生服務(wù)中心的相關(guān)人員正確理解信息安全、理解信息安全管理的關(guān)鍵作用,以更好地開展信息安全管理工作。強(qiáng)調(diào)信息安全管理的作用,并不是要削弱信息安全技術(shù)的作用;開展信息安全管理工作,要處理好管理和技術(shù)的關(guān)系,要堅(jiān)持管理與技術(shù)并重的原則,這也是信息安全保障工作的主要原則之一。

 

4 社區(qū)衛(wèi)生服務(wù)中心信息安全管理控制措施

 

在我國(guó)對(duì)于信息安全等同采用IS0 27002:2005,命名為《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》(GB/T 22081-2008)。信息安全是通過(guò)實(shí)施一組合適的控制措施而達(dá)到的,包括策略、過(guò)程、規(guī)程、組織結(jié)構(gòu)以及軟件和硬件功能。可見對(duì)于社區(qū)衛(wèi)生服務(wù)中心的信息安全來(lái)說(shuō),安全控制措施是必要且十分重要的。其中比較重要的如下:

 

4.1安全方針 社區(qū)衛(wèi)生服務(wù)中心的信息安全方針控制目標(biāo),是指中心的信息安全方針能夠依據(jù)業(yè)務(wù)的要求和相關(guān)法律法規(guī)提供管理指導(dǎo)并支持信息安全。社區(qū)衛(wèi)生服務(wù)中心信息安全方針文件的內(nèi)容應(yīng)包含中心管理者的管理承諾、組織管理信息安全的方法、中心信息安全整體目標(biāo)和范圍的定義、中心管理者意圖的聲明、控制目標(biāo)和控制措施的框架、重要安全策略、原則、標(biāo)準(zhǔn)和符合性要求說(shuō)明、中心信息安全管理的一般和特定職責(zé)的定義、支持方針的文件的引用等。

 

4.2信息安全組織 信息安全組織一般分為內(nèi)部組織和外部組織。社區(qū)衛(wèi)生服務(wù)中心內(nèi)部組織的信息安全控制目標(biāo)是指在中心內(nèi)管理信息安全。組織的安全建立在每一位人員不同責(zé)任分工的劃分,不同的責(zé)任會(huì)有不同的工作指導(dǎo)原則。其中應(yīng)當(dāng)包括信息安全的管理承諾、信息安全協(xié)調(diào)、信息安全職責(zé)的分配、信息處理的授權(quán)、保密協(xié)議、信息安全的獨(dú)立評(píng)審等。社區(qū)衛(wèi)生服務(wù)中心外部組織的信息安全控制目標(biāo)是保持中心被外部各方訪問(wèn)、處理、管理或與外部進(jìn)行通信的信息和信息處理的安全。主要包括中心與系統(tǒng)外單位信息通信相關(guān)風(fēng)險(xiǎn)的識(shí)別、處理相關(guān)的安全問(wèn)題和處理第三方協(xié)議中的安全問(wèn)題等。

 

4.3人力資源安全 人員在中心的信息安全管理中是一個(gè)最重要的因素,有資料表明,70%的安全問(wèn)題是來(lái)自人員管理的疏漏,為了對(duì)人員有一個(gè)有效的管理,需要從任用之前、任用中、任用的終止或變更三項(xiàng)控制目標(biāo)進(jìn)行管理。

 

4.3.1任用之前控制是指社區(qū)衛(wèi)生服務(wù)中心任用人員之前為了確保人力資源的安全,需考慮到角色是否適合相應(yīng)崗位,以降低設(shè)施被竊、信息泄露和誤用的風(fēng)險(xiǎn),這一目標(biāo)的實(shí)現(xiàn)需通過(guò)角色和職責(zé)、審查、任用條款和條件三項(xiàng)控制措施的落實(shí)來(lái)保障。

 

4.3.2任用中社區(qū)衛(wèi)生服務(wù)中心的信息安全控制目標(biāo)就是確保所有的員工、承包方人員和第三方人員知悉信息安全威脅和利害關(guān)系、他們的職責(zé)和義務(wù)、并準(zhǔn)備好在其正常工作過(guò)程中支持組織的安全方針,以減少人為過(guò)失的風(fēng)險(xiǎn)。

 

4.3.3社區(qū)衛(wèi)生服務(wù)中心發(fā)生任用的終止或變更時(shí),應(yīng)確保信息的安全不外泄,確保員工、承包方人員和第三方人員以一個(gè)規(guī)范的方式退出或改變其任用關(guān)系??梢酝ㄟ^(guò)終止職責(zé)、資產(chǎn)的歸還、撤銷訪問(wèn)權(quán)限等控制措施來(lái)實(shí)現(xiàn)。

 

4.4物理和環(huán)境安全 社區(qū)衛(wèi)生服務(wù)中心的物理和環(huán)境安全可以從安全區(qū)域和設(shè)備安全來(lái)入手管理。定義安全區(qū)域是為了防止對(duì)中心場(chǎng)所和信息的未授權(quán)物理訪問(wèn)、損壞和干擾??梢酝ㄟ^(guò)設(shè)置物理安全邊界、物理入口控制、辦公室房間和設(shè)施的安全保護(hù)、外部和環(huán)境的安全防護(hù)、在安全區(qū)域工作、公共訪問(wèn)和交接區(qū)安全。設(shè)備安全是指防止由于資產(chǎn)丟失、損壞、失竊而危及社區(qū)衛(wèi)生服務(wù)中心的資產(chǎn)安全以及信息安全。中心可通過(guò)設(shè)備安置和保護(hù)、支持性設(shè)施、布纜安全、設(shè)備維護(hù)、場(chǎng)所外的設(shè)備安全、設(shè)備的安全處置和再利用,資產(chǎn)的移動(dòng)等措施來(lái)進(jìn)行保障。

 

4.5通信和操作管理 社區(qū)衛(wèi)生服務(wù)中心的通信和操作管理一般可從操作規(guī)程和職責(zé)、第三方服務(wù)交付管理、系統(tǒng)規(guī)劃和驗(yàn)收、防范惡意和移動(dòng)代碼、備份、網(wǎng)絡(luò)安全管理、介質(zhì)處置、信息的交換、電子商務(wù)服務(wù)、監(jiān)視等方面入手。

 

4.6訪問(wèn)控制 對(duì)于社區(qū)衛(wèi)生服務(wù)中心來(lái)說(shuō),訪問(wèn)控制可從訪問(wèn)控制的業(yè)務(wù)要求、用戶訪問(wèn)管理、用戶職責(zé)、網(wǎng)絡(luò)訪問(wèn)控制、操作系統(tǒng)訪問(wèn)控制、應(yīng)用和信息訪問(wèn)控制、移動(dòng)計(jì)算和遠(yuǎn)程工作等控制目標(biāo)來(lái)入手。

 

4.7信息安全事件管理 社區(qū)衛(wèi)生服務(wù)中心的信息安全事件管理可以從報(bào)告信息安全事態(tài)和弱點(diǎn)、信息安全事件和改進(jìn)的管理兩個(gè)控制目標(biāo)入手進(jìn)行管理。

 

4.7.1報(bào)告信息安全事態(tài)和弱點(diǎn)這項(xiàng)控制目標(biāo)旨在確保中心與信息系統(tǒng)有關(guān)的信息安全事態(tài)和弱點(diǎn)能夠以某種方式傳達(dá),以便及時(shí)采取糾正措施。該目標(biāo)下有報(bào)告信息安全事態(tài)和報(bào)告安全弱點(diǎn)這兩項(xiàng)控制措施來(lái)保障這一目標(biāo)的實(shí)現(xiàn)。①報(bào)告信息安全事態(tài)控制措施,是指信息安全事態(tài)應(yīng)該盡可能快地通過(guò)適當(dāng)?shù)墓芾砬肋M(jìn)行報(bào)告。實(shí)施過(guò)程中應(yīng)建立正式的信息安全事態(tài)報(bào)告程序,以及在收到信息安全事態(tài)報(bào)告后采取措施的事件響應(yīng)和上報(bào)程序。②報(bào)告安全弱點(diǎn)控制措施,是指中心應(yīng)要求信息系統(tǒng)和服務(wù)的所有職員、承包方人員和第三方人員記錄并報(bào)告他們觀察到的或懷疑的任何系統(tǒng)或服務(wù)的安全弱點(diǎn)。報(bào)告機(jī)制應(yīng)盡可能容易、易理解和方便可用。應(yīng)告知他們?cè)谌魏吻闆r下,都不應(yīng)試圖去證明被懷疑的弱點(diǎn)。

 

4.7.2信息安全事件和改進(jìn)的管理。社區(qū)衛(wèi)生服務(wù)中心信息安全事件和改進(jìn)的管理這一控制目標(biāo)旨在確保采用一致和有效的方法對(duì)信息安全事件進(jìn)行管理。中心可以用職責(zé)和程序的控制措施、對(duì)信息安全事件的總結(jié)、證據(jù)的收集三項(xiàng)控制措施來(lái)保障這一目標(biāo)的實(shí)現(xiàn)。①職責(zé)和程序的控制措施。它是指中心應(yīng)當(dāng)建立管理職責(zé)和程序,以確保能對(duì)信息安全事件做出快速、有效和有序的響應(yīng)。該項(xiàng)措施實(shí)施時(shí)除了對(duì)中心的信息安全事態(tài)和弱點(diǎn)進(jìn)行報(bào)告外,還應(yīng)利用對(duì)系統(tǒng)、報(bào)警和脆弱性的監(jiān)視來(lái)檢測(cè)中心信息安全事件。遵循嚴(yán)格的信息安全事件管理程序的前提是中心需建立規(guī)程以處理不同類型的信息安全事件,如惡意代碼、拒絕服務(wù)、信息系統(tǒng)故障和服務(wù)丟失、違反保密性和完整性、信息系統(tǒng)誤用等。中心除了考慮正常的應(yīng)急計(jì)劃還要考慮事件原因的分析和確定、遏制事件影響擴(kuò)大的策略、向合適的機(jī)構(gòu)報(bào)告所采取的措施等。②中心對(duì)信息安全事件的總結(jié)控制措施,是指社區(qū)衛(wèi)生服務(wù)中心應(yīng)有一套機(jī)制量化和監(jiān)視信息安全事件的類型、數(shù)量和代價(jià)。從信息安全事件評(píng)價(jià)中獲取的信息應(yīng)用來(lái)識(shí)別再發(fā)生的事件或高影響的事件。③證據(jù)的收集。證據(jù)的收集對(duì)于社區(qū)衛(wèi)生服務(wù)中心來(lái)說(shuō),是指當(dāng)中心的一個(gè)信息安全事件涉及到訴訟(民事的或刑事的),需要進(jìn)一步對(duì)個(gè)人或組織進(jìn)行起訴時(shí),應(yīng)收集、保留和呈遞證據(jù),以使證據(jù)符合相關(guān)訴訟管轄權(quán)。過(guò)程有:為應(yīng)對(duì)懲罰措施而收集和提交證據(jù),應(yīng)制定和遵循內(nèi)部程序,為了獲得被容許的證據(jù),中心應(yīng)確保其信息系統(tǒng)符合任何公布的標(biāo)準(zhǔn)或?qū)嵱靡?guī)則來(lái)產(chǎn)生被容許的證據(jù):任何法律取證工作應(yīng)僅在證據(jù)材料的拷貝上進(jìn)行。

 

4.8業(yè)務(wù)連續(xù)性管理 對(duì)于社區(qū)衛(wèi)生服務(wù)中心來(lái)說(shuō)業(yè)務(wù)連續(xù)性管理是指防止中心業(yè)務(wù)中斷,保證中心重要業(yè)務(wù)流程不受重大故障與災(zāi)難的影響。業(yè)務(wù)連續(xù)性管理過(guò)程中包含信息安全,該控制措施是指應(yīng)為貫穿于組織的業(yè)務(wù)連續(xù)性開發(fā)和保持一個(gè)管理過(guò)程。解決中心的業(yè)務(wù)連續(xù)性所需的信息安全要求,保護(hù)關(guān)鍵業(yè)務(wù)過(guò)程免受信息系統(tǒng)重大失誤或?yàn)?zāi)難的影響,并確保他們的及時(shí)恢復(fù)。應(yīng)包含中心的信息安全、業(yè)務(wù)連續(xù)性和風(fēng)險(xiǎn)評(píng)估、制定和實(shí)施包含信息安全的連續(xù)性計(jì)劃、業(yè)務(wù)連續(xù)性計(jì)劃框架、測(cè)試、維護(hù)和再評(píng)估業(yè)務(wù)連續(xù)性計(jì)劃等內(nèi)容。

 

5 社區(qū)衛(wèi)生服務(wù)機(jī)構(gòu)信息安全的展望

 

對(duì)于社區(qū)衛(wèi)生服務(wù)中心來(lái)說(shuō)信息安全保障不僅僅是一門技術(shù)學(xué)科,信息安全保障應(yīng)綜合技術(shù)、管理和人。在中心的管理上,信息安全保障應(yīng)考慮建立綜合的信息化的組織管理體系,明晰相應(yīng)的崗位職責(zé)、規(guī)章制度并嚴(yán)格執(zhí)行等等。在人員上,應(yīng)加強(qiáng)所有使用信息系統(tǒng)人員的安全意識(shí)和技能,以及中心從事信息系統(tǒng)專業(yè)人員的專業(yè)技能和能力。社區(qū)衛(wèi)生服務(wù)中心的信息安全保障亦不是一種項(xiàng)目性的暫時(shí)行為,而是融入信息系統(tǒng)生命周期的全過(guò)程的保障。信息安全保障不是一種打補(bǔ)丁,頭疼醫(yī)頭、腳疼醫(yī)腳的臨時(shí)行為,而是一種系統(tǒng)化、體系化的保障過(guò)程。信息安全保障的目的不僅僅是保障信息系統(tǒng)本身,信息安全保障的根本目的是通過(guò)保障信息系統(tǒng)進(jìn)而保障運(yùn)行于信息系統(tǒng)之上的中心業(yè)務(wù)系統(tǒng)。信息安全保障應(yīng)以業(yè)務(wù)為主導(dǎo)、以社區(qū)衛(wèi)生服務(wù)中心的使命、社會(huì)職責(zé)和社會(huì)服務(wù)性為出發(fā)點(diǎn)和落腳點(diǎn)。社區(qū)衛(wèi)生服務(wù)中心的信息安全保障不僅僅是孤立的自身的問(wèn)題,信息安全保障是一個(gè)社會(huì)化的、需要各方參與的工作。信息安全保障不僅僅是孤立的自身的問(wèn)題,信息系統(tǒng)需要電信、電力等基礎(chǔ)設(shè)施的支持、信息系統(tǒng)需要承擔(dān)保密、公共安全、國(guó)家安全等社會(huì)職責(zé),信息安全保障工作是一個(gè)社會(huì)化的、需要各方參與的綜合的工作。社區(qū)衛(wèi)生服務(wù)中心的信息安全保障是主觀和客觀的結(jié)合。沒有絕對(duì)的安全,信息安全保障并不提供絕對(duì)的安全,信息安全保障是討論風(fēng)險(xiǎn)和策略,討論適度安全。因此,它是一個(gè)需要持之以恒和不斷完善與發(fā)展的工作。

篇3

【關(guān)鍵詞】電力企業(yè);信息網(wǎng)絡(luò);安全體系

【中圖分類號(hào)】TP309【文獻(xiàn)標(biāo)識(shí)碼】A【文章編號(hào)】1672-5158(2013)07-0498-02

引言

隨著電力企業(yè)不斷發(fā)展,信息化已廣泛應(yīng)用于生產(chǎn)運(yùn)營(yíng)管理過(guò)程中的各個(gè)環(huán)節(jié),信息化在為企業(yè)帶來(lái)高效率的同時(shí),也為企業(yè)帶來(lái)了安全風(fēng)險(xiǎn)。一方面企業(yè)對(duì)信息化依賴性越來(lái)越強(qiáng),尤其是生產(chǎn)監(jiān)控信息系統(tǒng)及電力二次系統(tǒng)直接關(guān)系到電力安全生產(chǎn);另一方面黑客技術(shù)發(fā)展迅速,今天行之有效的防火墻或隔離裝置也許明天就可能出現(xiàn)漏洞。因此,建設(shè)信息安全防護(hù)體系建設(shè)工作是刻不容緩的。

1 信息安全防護(hù)體系的核心思想

電力企業(yè)信息安全防護(hù)體系的核心思想是“分級(jí)、分區(qū)、分域”(如圖1所示)。分級(jí)是將各系統(tǒng)分別確定安全保護(hù)級(jí)別實(shí)現(xiàn)等級(jí)化防護(hù);分區(qū)是將信息系統(tǒng)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)兩個(gè)相對(duì)獨(dú)立區(qū)進(jìn)行安全防護(hù);分域是依據(jù)系統(tǒng)級(jí)別及業(yè)務(wù)系統(tǒng)類型劃分不同的安全域,實(shí)現(xiàn)不同安全域的獨(dú)立化、差異化防護(hù)。

2 信息安全防護(hù)系統(tǒng)建設(shè)方針

2.1整體規(guī)劃:在全面調(diào)研的基礎(chǔ)上,分析信息安全的風(fēng)險(xiǎn)和差距,制訂安全目標(biāo)、安全策略,形成安全整體架構(gòu)。

2.2分步實(shí)施:制定信息安全防護(hù)系統(tǒng)建設(shè)計(jì)劃,分階段組織項(xiàng)目實(shí)施。

2.3分級(jí)分區(qū)分域:根據(jù)信息系統(tǒng)的重要程度,確定該系統(tǒng)的安全等級(jí),省級(jí)公司的信息系統(tǒng)分為二級(jí)和三級(jí)系統(tǒng);根據(jù)生產(chǎn)控制大區(qū)和管理信息大區(qū),劃分為控制區(qū)(安全I(xiàn)區(qū))、非控制區(qū)(安全I(xiàn)I區(qū))、管理信息大區(qū)(III區(qū));依據(jù)業(yè)務(wù)系統(tǒng)類型進(jìn)行安全域劃分,二級(jí)系統(tǒng)統(tǒng)一成域,三級(jí)系統(tǒng)獨(dú)立成域。

2.4等級(jí)防護(hù):按照國(guó)家和電力行業(yè)等級(jí)保護(hù)基本要求,進(jìn)行安全防護(hù)措施設(shè)計(jì),合理分配資源,做好重點(diǎn)保護(hù)和適度保護(hù)。

2.5多層防御:在分域防護(hù)的基礎(chǔ)上,將各安全域的信息系統(tǒng)劃分為邊界、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)層面進(jìn)行安全防護(hù)設(shè)計(jì),以實(shí)現(xiàn)縱深防御。

2.6持續(xù)改進(jìn):定期對(duì)信息系統(tǒng)進(jìn)行安全檢測(cè),發(fā)現(xiàn)潛在的問(wèn)題和系統(tǒng)可能的脆弱性并進(jìn)行修正;檢查防護(hù)系統(tǒng)的運(yùn)行及安全審計(jì)日志,通過(guò)策略調(diào)整及時(shí)防患于未然;定期對(duì)信息系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估,修補(bǔ)安全漏洞、改進(jìn)安全防護(hù)體系。

3 信息安全防護(hù)體系建設(shè)探索

一個(gè)有效的信息安全體系是在信息安全管理、信息安全技術(shù)、信息安全運(yùn)行的整體保障下,構(gòu)建起來(lái)并發(fā)揮作用的。

3.1 建立信息安全管理體系

安全管理體系是整個(gè)信息安全防護(hù)體系的基石,它包括安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理五個(gè)方面,信息安全組織機(jī)構(gòu)的建立尤為重要。

3.1.1建立信息安全管理小組

建立具有管理權(quán)的信息安全小組,負(fù)責(zé)整體信息安全管理工作,審批信息安全方針,分配安全管理職責(zé),支持和推動(dòng)組織內(nèi)部信息安全工作的實(shí)施,對(duì)信息安全重大事項(xiàng)進(jìn)行決策。處置信息安全事件,對(duì)安全管理體系進(jìn)行評(píng)審。

3.1.2分配管理者權(quán)限

按照管理者的責(zé)、權(quán)、利一致的原則,對(duì)信息管理人員作級(jí)別上的限制;根據(jù)管理者的角色分配權(quán)限,實(shí)現(xiàn)特權(quán)用戶的權(quán)限分離。對(duì)工作調(diào)動(dòng)和離職人員及時(shí)調(diào)整授權(quán),根據(jù)管理職責(zé)確定使用對(duì)象,明確某一設(shè)備配置、使用、授權(quán)信息的劃分,制訂相應(yīng)管理制度。

3.1.3職責(zé)明確,層層把關(guān)

制訂操作規(guī)程要根據(jù)職責(zé)分離和多人負(fù)責(zé)的原則各負(fù)其責(zé),不能超越自己的管轄范圍。系統(tǒng)維護(hù)時(shí)要經(jīng)信息管理部門審批,有信息安全管理員在場(chǎng),對(duì)故障原因、維護(hù)內(nèi)容和維護(hù)前后情況做詳細(xì)記錄。

(1)多人負(fù)責(zé)制度 每一項(xiàng)與安全有關(guān)的活動(dòng)必須有2人以上在場(chǎng),簽署工作情況記錄,以證明安全工作已得到保障。

(2)重要崗位定期輪換制度 應(yīng)建立重要崗位應(yīng)定期輪換制度,在工作交接期間必須更換口令,重要技術(shù)文件或數(shù)據(jù)必須移交清楚,明確泄密責(zé)任。

(3)在信息管理中實(shí)行問(wèn)責(zé)制,各信息系統(tǒng)專人專管。

3.1.5系統(tǒng)應(yīng)急處理

制定信息安全應(yīng)急響應(yīng)管理辦法,按照嚴(yán)重性和緊急程度及危害影響的大小來(lái)確定全事件的等級(jí),采取措施,防止破壞的蔓延與擴(kuò)展,使危害降到最低,通過(guò)對(duì)事件或行為的分析結(jié)果,查找事件根源,徹底消除安全隱患。

3.2 建立信息安全技術(shù)策略

3.2.1物理安全策略

物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊;確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的工作環(huán)境;防止非法進(jìn)入機(jī)房和各種偷竊、破壞活動(dòng)的發(fā)生,抑制和防止電磁泄露等采取的安全措施。

3.2.2 網(wǎng)絡(luò)安全策略

網(wǎng)絡(luò)安全防護(hù)措施主要包括以下幾種類型:

(1)防火墻技術(shù)。通過(guò)防火墻配置,控制內(nèi)部和外部網(wǎng)絡(luò)的訪問(wèn)策略,結(jié)合上網(wǎng)行為管理,監(jiān)控網(wǎng)絡(luò)流量分配,對(duì)于重要數(shù)據(jù)實(shí)行加密傳輸或加密處理,使只有擁有密鑰的授權(quán)人才能解密獲取信息,保證信息在傳輸過(guò)程中的安全。

(2)防病毒技術(shù)。根據(jù)有關(guān)資料統(tǒng)計(jì),對(duì)電力信息網(wǎng)絡(luò)和二次系統(tǒng)的威脅除了黑客以外,很大程度上是計(jì)算機(jī)病毒造成的。當(dāng)今計(jì)算機(jī)病毒技術(shù)發(fā)展迅速,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)和信息系統(tǒng)造成很大的損害。采用有效的防病毒軟件、惡意代碼防護(hù)軟件,保障升級(jí)和更新的時(shí)效性,是行之有效的措施。

(3)安全檢測(cè)系統(tǒng)。通過(guò)專用工具,定期查找各種漏洞,監(jiān)控網(wǎng)絡(luò)的運(yùn)行狀況。在電力二次系統(tǒng)之間安裝IDS入侵檢測(cè)軟件等,確保對(duì)網(wǎng)絡(luò)非法訪問(wèn)、入侵行為做到及時(shí)報(bào)警,防止非法入侵。

3.2.3安全策略管理

對(duì)建的電力二次系統(tǒng)必須在建設(shè)過(guò)程中進(jìn)行安全風(fēng)險(xiǎn)評(píng)估,并根據(jù)評(píng)估結(jié)果制定安全策略;對(duì)已投運(yùn)且已建立安全體系的系統(tǒng)定期進(jìn)行漏洞掃描,以便及時(shí)發(fā)現(xiàn)系統(tǒng)的安全漏洞;定期分析本系統(tǒng)的安全風(fēng)險(xiǎn),分析當(dāng)前黑客非法入侵的特點(diǎn),及時(shí)調(diào)整安全策略。

3.2.4 數(shù)據(jù)庫(kù)的安全策略

數(shù)據(jù)庫(kù)的安全策略包括安全管理策略、訪問(wèn)控制策略和信息控制策略。但數(shù)據(jù)庫(kù)的安全問(wèn)題最主要的仍是訪問(wèn)控制策略。就訪問(wèn)控制策略分類而言,它可以分為以下幾種策略。

(1) 最小特權(quán)策略: 是讓用戶可以合法的存取或修改數(shù)據(jù)庫(kù)的前提下,分配最小的特權(quán),使得這些權(quán)限恰好可以讓用戶完成自己的工作,其余的權(quán)利一律不給。

(2) 數(shù)據(jù)庫(kù)加密策略: 數(shù)據(jù)加密是保護(hù)數(shù)據(jù)在存儲(chǔ)和傳遞過(guò)程中不被竊取或修改的有效手段。

(3)數(shù)據(jù)庫(kù)備份策略:就是保證在數(shù)據(jù)庫(kù)系統(tǒng)出故障時(shí),能夠?qū)?shù)據(jù)庫(kù)系統(tǒng)還原到正常狀態(tài)。

(4)審計(jì)追蹤策略:是指系統(tǒng)設(shè)置相應(yīng)的日志記錄,特別是對(duì)數(shù)據(jù)更新、刪除、修改的記錄,以便日后查證。

篇4

【關(guān)鍵詞】信息系統(tǒng);信息安全;風(fēng)險(xiǎn)評(píng)估;評(píng)估方法

【中圖分類號(hào)】C931.6 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】1672-5158(2012)09-0025-01

一、信息安全風(fēng)險(xiǎn)評(píng)估的評(píng)估實(shí)施流程

信息安全風(fēng)險(xiǎn)評(píng)估包括:資產(chǎn)評(píng)估、威脅評(píng)估、脆弱性評(píng)估、現(xiàn)有安全措施評(píng)估、風(fēng)險(xiǎn)計(jì)算和分析、風(fēng)險(xiǎn)決策和安全建議,在風(fēng)險(xiǎn)評(píng)估之后就是要進(jìn)行安全整改。

網(wǎng)省公司信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的主要內(nèi)容包括:資產(chǎn)評(píng)估、威脅評(píng)估、脆弱性評(píng)估和現(xiàn)有安全措施評(píng)估,一般采用全面風(fēng)險(xiǎn)評(píng)估的方法,以安全顧問(wèn)訪談、管理問(wèn)卷調(diào)查、安全文檔分析等方式,并結(jié)合了漏洞掃描、人工安全檢查等手段,對(duì)評(píng)估范圍內(nèi)的網(wǎng)絡(luò)、主機(jī)以及相應(yīng)的部門的安全狀況進(jìn)行了全面的評(píng)估,經(jīng)過(guò)充分的分析后,得到了信息系統(tǒng)的安全現(xiàn)狀。

二、信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施方法

2.1 資產(chǎn)評(píng)估

網(wǎng)省公司資產(chǎn)識(shí)別主要針對(duì)提供特定業(yè)務(wù)服務(wù)能力的應(yīng)用系統(tǒng)展開,通常一個(gè)應(yīng)用系統(tǒng)都可劃分為數(shù)據(jù)存儲(chǔ)、業(yè)務(wù)處理、業(yè)務(wù)服務(wù)提供和客戶端四個(gè)功能部分,這四個(gè)部分在信息系統(tǒng)的實(shí)例中都顯現(xiàn)為獨(dú)立的資產(chǎn)實(shí)體,例如:典型的協(xié)同辦公系統(tǒng)可分為客戶端、Web服務(wù)器、Domino服務(wù)器、DB2數(shù)據(jù)庫(kù)服務(wù)器四部分資產(chǎn)實(shí)體。綜合考慮資產(chǎn)的使命、資產(chǎn)本身的價(jià)值、資產(chǎn)對(duì)于應(yīng)用系統(tǒng)的重要程度、業(yè)務(wù)系統(tǒng)對(duì)于資產(chǎn)的依賴程度、部署位置及其影響范圍等因素評(píng)估信息資產(chǎn)價(jià)值。資產(chǎn)賦值是資產(chǎn)評(píng)估由定性化判斷到定量化賦值的關(guān)鍵環(huán)節(jié)。

2.2 威脅評(píng)估

威脅評(píng)估是通過(guò)技術(shù)手段、統(tǒng)計(jì)數(shù)據(jù)和經(jīng)驗(yàn)判斷來(lái)確定信息系統(tǒng)面臨的威脅的過(guò)程。在實(shí)施過(guò)程中,根據(jù)各單位業(yè)務(wù)系統(tǒng)的具體系統(tǒng)情況,結(jié)合系統(tǒng)以往發(fā)生的信息安全事件及對(duì)網(wǎng)絡(luò)、系統(tǒng)管理員關(guān)于威脅發(fā)生可能性和發(fā)展趨勢(shì)的調(diào)查,下面按照威脅的主體分別對(duì)這些威脅及其可能發(fā)生的各種情形進(jìn)行簡(jiǎn)單描述:

2.3 脆弱性評(píng)估

脆弱性評(píng)估內(nèi)容包括管理、運(yùn)維和技術(shù)三方面的內(nèi)容,具體實(shí)施可參照公司相應(yīng)的技術(shù)或管理標(biāo)準(zhǔn)以及評(píng)估發(fā)起方的要求,根據(jù)評(píng)估選擇的策略和評(píng)估目的的不同進(jìn)行調(diào)整。下表是一套脆弱性識(shí)別對(duì)象的參考:

管理脆弱性:安全方針、信息安全組織機(jī)構(gòu)、人員安全管理、信息安全制度文件管理、信息化建設(shè)中的安全管理、信息安全等級(jí)保護(hù)工作、信息安全評(píng)估管理、信息安全的宣傳與培訓(xùn)、信息安全監(jiān)督與考核工作、符合性管理。

運(yùn)維脆弱性:信息系統(tǒng)運(yùn)行管理、資產(chǎn)分類管理、配置與變更管理、業(yè)務(wù)連續(xù)性管理、物理環(huán)境安全、設(shè)備與介質(zhì)安全。

技術(shù)脆弱性:網(wǎng)絡(luò)系統(tǒng)、主機(jī)安全、通用系統(tǒng)安全、業(yè)務(wù)系統(tǒng)安全、現(xiàn)有安全措施。

管理、運(yùn)維、技術(shù)三方面脆弱性是相互關(guān)聯(lián)的,管理脆弱性可能會(huì)導(dǎo)致運(yùn)維脆弱性和技術(shù)脆弱性的產(chǎn)生,運(yùn)維脆弱性也可能導(dǎo)致技術(shù)脆弱性的產(chǎn)生。技術(shù)的脆弱性識(shí)別主要采用工具掃描和人工審計(jì)的方式進(jìn)行,運(yùn)維和管理的脆弱性主要通過(guò)訪談和調(diào)查問(wèn)卷來(lái)發(fā)現(xiàn)。此外,對(duì)以往的安全事件的統(tǒng)計(jì)和分析也是確定脆弱性的主要方法。

三、現(xiàn)有安全措施評(píng)估

通過(guò)現(xiàn)有安全措施指評(píng)估安全措施的部署、使用和管理情況,確定這些措施所保護(hù)的資產(chǎn)范圍,以及對(duì)系統(tǒng)面臨風(fēng)險(xiǎn)的消除程度。

3.1 安全技術(shù)措施評(píng)估

通過(guò)對(duì)各單位安全設(shè)備、防病毒系統(tǒng)的部署、使用和管理情況,對(duì)特征庫(kù)的更新方式、以及最近更新時(shí)間,設(shè)備自身資源使用率(CPU、MEM、DISK)、自身工作狀況、以及曾經(jīng)出現(xiàn)過(guò)的異?,F(xiàn)象、告警策略、日志保存情況、系統(tǒng)中管理員的個(gè)數(shù)、管理員所使用的口令的強(qiáng)度、弱口令情況等信息進(jìn)行脆弱性分析,并確定級(jí)別。

3.2 安全管理措施評(píng)估

訪談被評(píng)估單位是否成立了信息安全領(lǐng)導(dǎo)小組,并以文件的形式明確了信息安全領(lǐng)導(dǎo)小組成員和相關(guān)職責(zé),是否結(jié)合實(shí)際提出符合自身發(fā)展的信息化建設(shè)策略,其中包括是否制定了信息安全工作的總體方針和安全策略,建立健全了各類安全管理制度,對(duì)日常管理操作建立了規(guī)范的操作規(guī)程;定期組織全員學(xué)習(xí)國(guó)家有關(guān)信息安全政策、法規(guī)等。

3.3 物理與環(huán)境安全

查看被訪談單位信息機(jī)房是否有完善的物理環(huán)境保障措施,是否有健全的漏水監(jiān)測(cè)系統(tǒng),滅火系統(tǒng)是否安全可用,有無(wú)溫濕度監(jiān)測(cè)及越限報(bào)警功能,是否配備精密空調(diào)嚴(yán)格調(diào)節(jié)控制機(jī)房?jī)?nèi)溫度及濕度,保障機(jī)房設(shè)備的良好運(yùn)行環(huán)境。

3.4 應(yīng)急響應(yīng)與恢復(fù)管理

為正確、有效和快速處理網(wǎng)絡(luò)信息系統(tǒng)突發(fā)事件,最大限度地減少網(wǎng)絡(luò)信息系統(tǒng)突發(fā)事件對(duì)單位生產(chǎn)、經(jīng)營(yíng)、管理造成的損失和對(duì)社會(huì)的不良影響,需查看被評(píng)估單位是否具備完善網(wǎng)絡(luò)信息系統(tǒng)應(yīng)急保證體系和應(yīng)急響應(yīng)機(jī)制,應(yīng)對(duì)網(wǎng)絡(luò)信息系統(tǒng)突發(fā)事件的組織指揮能力和應(yīng)急處置能力,是否及時(shí)修訂本單位的網(wǎng)絡(luò)信息系統(tǒng)突發(fā)事件應(yīng)急預(yù)案,并進(jìn)行嚴(yán)格的評(píng)審、。

3.5 安全整改

被評(píng)估單位根據(jù)信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果,對(duì)本單位存在的安全風(fēng)險(xiǎn)進(jìn)行整改消除,從安全技術(shù)及安全管理兩方面,落實(shí)信息安全風(fēng)險(xiǎn)控制及管理,確保信息系統(tǒng)安全穩(wěn)定運(yùn)行。

四、結(jié)語(yǔ)

公司近兩年推行了“雙網(wǎng)雙機(jī)、分區(qū)分域、等級(jí)保護(hù)、分層防御”的安全防護(hù)策略和一系列安全措施,各單位結(jié)合風(fēng)險(xiǎn)評(píng)估實(shí)踐情況,以技術(shù)促安全、以管理保安全,確保公司信息系統(tǒng)穩(wěn)定運(yùn)行,為公司發(fā)展提供有力信息支撐。

參考文獻(xiàn)

篇5

所謂的“當(dāng)局者迷,旁觀者清”、“外來(lái)和尚好念經(jīng)”,

在ISMS建設(shè)及認(rèn)證項(xiàng)目上也是這個(gè)道理。

無(wú)論是選擇自我實(shí)施,還是請(qǐng)外部的咨詢機(jī)構(gòu)和顧問(wèn),組織都應(yīng)該知道,

實(shí)施ISMS認(rèn)證項(xiàng)目,必須要有一套行之有效的方法,事先要對(duì)整個(gè)過(guò)程做好計(jì)劃。

信息安全管理體系(Information Security Management System,ISMS)是組織整體管理體系的一個(gè)部分,是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo),以及完成這些目標(biāo)所用方法的體系?;趯?duì)業(yè)務(wù)風(fēng)險(xiǎn)的認(rèn)識(shí),ISMS包括建立、實(shí)施、操作、監(jiān)視、復(fù)查、維護(hù)和改進(jìn)信息安全等一系列的管理活動(dòng),并且表現(xiàn)為組織結(jié)構(gòu)、策略方針、計(jì)劃活動(dòng)、目標(biāo)與原則、人員與責(zé)任、過(guò)程與方法、資源等諸多要素的集合。

外來(lái)和尚好念經(jīng)

組織在確定實(shí)施ISMS建設(shè)及ISO27001認(rèn)證項(xiàng)目之后,通常有兩種途徑可以去操作,一種是自己做,在組織內(nèi)部成立專人專項(xiàng)工作組,按照計(jì)劃自我實(shí)施。另一種就是選擇有實(shí)力的咨詢機(jī)構(gòu),幫助組織完成此項(xiàng)目。兩種途徑各有所長(zhǎng),關(guān)鍵是看組織自身特點(diǎn)和看問(wèn)題的角度。如果組織規(guī)模不大、業(yè)務(wù)模式簡(jiǎn)單、信息系統(tǒng)也不復(fù)雜,而且自身對(duì)信息安全的認(rèn)識(shí)和運(yùn)作已經(jīng)達(dá)到了一定高度,有勝任的人員,選擇自我實(shí)施就是比較經(jīng)濟(jì)快捷的途徑。不過(guò),如果組織規(guī)模較大、組織結(jié)構(gòu)相互關(guān)聯(lián)、對(duì)IT的依賴廣泛,更重要的是,組織本身對(duì)信息安全的意識(shí)和運(yùn)作還處于較低水平,或者發(fā)展并不均衡,這就需要有外部力量來(lái)進(jìn)行引導(dǎo),他們以公正獨(dú)立的姿態(tài),把一些成熟的經(jīng)驗(yàn)移植過(guò)來(lái),以最直接快速的方式發(fā)現(xiàn)組織現(xiàn)有問(wèn)題并對(duì)癥下藥。此外,有經(jīng)驗(yàn)的咨詢機(jī)構(gòu)和顧問(wèn)通常都能比較好地把握認(rèn)證機(jī)構(gòu)的“偏好”和習(xí)慣,這一點(diǎn)尤其對(duì)最終應(yīng)對(duì)審核很重要。一般來(lái)說(shuō),咨詢機(jī)構(gòu)可以在人員培訓(xùn)、全程輔導(dǎo)、后續(xù)支持等方面給予組織大力的支持。所謂的“當(dāng)局者迷,旁觀者清”、“外來(lái)和尚好念經(jīng)”,在ISMS建設(shè)及認(rèn)證項(xiàng)目上也是這個(gè)道理。

當(dāng)然,無(wú)論是選擇自我實(shí)施,還是請(qǐng)外部的咨詢機(jī)構(gòu)和顧問(wèn),組織都應(yīng)該知道,實(shí)施ISMS認(rèn)證項(xiàng)目,必須要有一套行之有效的方法,事先要對(duì)整個(gè)過(guò)程做好計(jì)劃。

完善計(jì)劃渠自成

在建設(shè)信息安全管理體系的方法上,ISO27001標(biāo)準(zhǔn)為我們提供了指導(dǎo)性建議,即基于PDCA的持續(xù)改進(jìn)的管理模式。PDCA是一種通用的管理模式,適用于任何管理活動(dòng),體現(xiàn)了一種持續(xù)改進(jìn)、維持平衡的思想,但具體到ISMS建立及認(rèn)證項(xiàng)目上,就顯得不夠明確和細(xì)致,組織必須還要有一套切實(shí)可行的方法論,以符合項(xiàng)目過(guò)程實(shí)施的要求。在這方面,ISMS實(shí)施及認(rèn)證項(xiàng)目可以借鑒很多成熟的管理體系實(shí)施方法,比如ISO9001、ISO14001、TS16949等,大致上說(shuō),這些管理體系都遵循所謂的PROC過(guò)程方法。

PROC過(guò)程模型(Preparation-Realization-Operation-Certification)是對(duì)PDCA管理模式的一種細(xì)化,它更富有針對(duì)性和實(shí)效性,并且更貼近認(rèn)證審核自身的特點(diǎn)。

PROC模式將整個(gè)信息安全管理體系建設(shè)項(xiàng)目劃分成四個(gè)階段,共包含15項(xiàng)關(guān)鍵的活動(dòng),如果每項(xiàng)具有前后關(guān)聯(lián)關(guān)系的活動(dòng)都能很好地完整,最終就能建立起有效的ISMS,實(shí)現(xiàn)信息安全建設(shè)整體藍(lán)圖,接受ISO27001認(rèn)證并獲得認(rèn)可更是水到渠成的事情。

準(zhǔn)備階段(Preparation):在準(zhǔn)備階段,項(xiàng)目小組要對(duì)ISMS實(shí)施及認(rèn)證做好預(yù)備工作,明確ISMS實(shí)施范圍,提供相關(guān)資源,建立總體的安全管理方針,進(jìn)行前期培訓(xùn)和預(yù)先評(píng)估,分析了解業(yè)務(wù)狀況,進(jìn)行詳細(xì)的風(fēng)險(xiǎn)評(píng)估,發(fā)掘安全需求。這一階段包括以下五項(xiàng)關(guān)鍵活動(dòng):

?項(xiàng)目啟動(dòng):前期溝通,實(shí)施計(jì)劃,項(xiàng)目小組,資源支持,啟動(dòng)會(huì)議。

?前期培訓(xùn):信息安全管理基礎(chǔ),風(fēng)險(xiǎn)評(píng)估方法。

?預(yù)先審核:初步了解信息安全現(xiàn)狀,分析與ISO27001標(biāo)準(zhǔn)要求的差距。

?業(yè)務(wù)分析:訪談?wù){(diào)查,核心與支持業(yè)務(wù),業(yè)務(wù)對(duì)資源的需求,業(yè)務(wù)影響分析。

?風(fēng)險(xiǎn)評(píng)估:資產(chǎn)、威脅、弱點(diǎn)、風(fēng)險(xiǎn)識(shí)別與評(píng)估。

實(shí)現(xiàn)階段(Realization):在實(shí)現(xiàn)階段,項(xiàng)目小組要組織相關(guān)資源,依據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果選擇控制措施,為實(shí)施有效的風(fēng)險(xiǎn)處理做好計(jì)劃,同時(shí)編寫、測(cè)試、修訂并完善ISMS運(yùn)行和認(rèn)證所需的文檔體系,管理者需要正式ISMS體系并要求開始實(shí)施,通過(guò)普遍的培訓(xùn)活動(dòng)來(lái)推廣執(zhí)行。此階段包括四項(xiàng)關(guān)鍵活動(dòng):

?風(fēng)險(xiǎn)處理:針對(duì)風(fēng)險(xiǎn)問(wèn)題,做文件編寫規(guī)劃、BCP規(guī)劃和技術(shù)方案規(guī)劃。

?文件編寫:編寫ISMS各級(jí)文件,多次Review及修訂,管理層討論確認(rèn)。

?實(shí)施:ISMS實(shí)施計(jì)劃,體系文件,控制措施實(shí)施。

?中期培訓(xùn):全員安全意識(shí)培訓(xùn),ISMS實(shí)施推廣培訓(xùn),必要的考核。

運(yùn)行階段(Operation):ISMS建立起來(lái)(體系文件正式實(shí)施)之后,要通過(guò)一定時(shí)間的試運(yùn)行來(lái)檢驗(yàn)其有效性和穩(wěn)定性。在此階段,應(yīng)該培訓(xùn)專門人員,建立起內(nèi)部審查機(jī)制,通過(guò)內(nèi)部審計(jì)、管理評(píng)審和模擬認(rèn)證,來(lái)檢查已建立的ISMS是否符合ISO27001標(biāo)準(zhǔn)以及企業(yè)自己規(guī)范的要求。此階段的關(guān)鍵活動(dòng)有四項(xiàng):

?認(rèn)證申請(qǐng):與認(rèn)證機(jī)構(gòu)磋商,準(zhǔn)備材料申請(qǐng)認(rèn)證,制定認(rèn)證計(jì)劃,預(yù)審核。

?后期培訓(xùn):審核員等角色的專業(yè)技能培訓(xùn)。

?內(nèi)部審核:審核計(jì)劃,Checklist,內(nèi)部審核,不符合項(xiàng)整改。

?管理評(píng)審:信息安全管理委員會(huì)組織ISMS整體評(píng)審,糾正預(yù)防。

認(rèn)證階段(Certification):經(jīng)過(guò)一定時(shí)間運(yùn)行,ISMS達(dá)到一個(gè)穩(wěn)定的狀態(tài),各項(xiàng)文檔和記錄已經(jīng)建立完備,此時(shí),可以提請(qǐng)進(jìn)行認(rèn)證。此階段的關(guān)鍵活動(dòng)就是為認(rèn)證做好準(zhǔn)備:

?認(rèn)證準(zhǔn)備:準(zhǔn)備送審文件,安排部署審核事項(xiàng)。

篇6

 

1美國(guó)電力行業(yè)信息安全的戰(zhàn)略框架

 

為響應(yīng)奧巴馬政府關(guān)于加強(qiáng)丨Kj家能源坫礎(chǔ)設(shè)施安全(13636行政令,即ExecutiveOrder13636-ImprovingCriticalInfrastructureCybersecurity)的要求,美國(guó)能源部出資,能源行業(yè)控制系統(tǒng)工作組(EnergySec*torControlSystemsWorkingGroup,ESCSWG)在《保護(hù)能源行業(yè)控制系統(tǒng)路線圖》(RoadmaptoSecureControlSystemsintheEnergySector)的基礎(chǔ)上,于2011年了《實(shí)現(xiàn)能源傳輸系統(tǒng)信息安全路線閣》。2011路線圖為電力行業(yè)未來(lái)丨0年的信息安全制定了戰(zhàn)略框架和行動(dòng)計(jì)劃,體現(xiàn)了美國(guó)加強(qiáng)國(guó)家電網(wǎng)持續(xù)安全和可靠性的承諾和努力路線圖基于風(fēng)險(xiǎn)管理原則,明確了至2020年美國(guó)能源傳輸系統(tǒng)網(wǎng)絡(luò)安全目標(biāo)、實(shí)施策略及里程碑計(jì)劃,指導(dǎo)行業(yè)、政府、學(xué)術(shù)界為共丨司愿景投入并協(xié)同合作。2011路線圖指出:至2020年,要設(shè)計(jì)、安裝、運(yùn)行、維護(hù)堅(jiān)韌的能源傳輸系統(tǒng)(resilientenergydeliverysystems)。美國(guó)能源彳了業(yè)的網(wǎng)絡(luò)安全目標(biāo)已從安全防護(hù)轉(zhuǎn)向系統(tǒng)堅(jiān)韌。路線圖提出了實(shí)現(xiàn)目標(biāo)的5個(gè)策略,為行業(yè)、政府、學(xué)術(shù)界指明了發(fā)展方向和工作思路。(1)建立安全文化。定期回顧和完善風(fēng)險(xiǎn)管理實(shí)踐,確保建立的安全控制有效。網(wǎng)絡(luò)安全實(shí)踐成為能源行業(yè)所有相關(guān)者的習(xí)慣,,(2)評(píng)估和監(jiān)測(cè)風(fēng)險(xiǎn)。實(shí)現(xiàn)對(duì)能源輸送系統(tǒng)的所有架構(gòu)層次、信息物理融合領(lǐng)域的連續(xù)安全狀態(tài)監(jiān)測(cè),持續(xù)評(píng)估新的網(wǎng)絡(luò)威脅、漏洞、風(fēng)險(xiǎn)及其應(yīng)對(duì)措施。(3)制定和實(shí)施新的保施。新一代能源傳輸系統(tǒng)結(jié)構(gòu)實(shí)現(xiàn)“深度防御”,在網(wǎng)絡(luò)安全事件中能連續(xù)運(yùn)行。(4)開展事件管理。開展網(wǎng)絡(luò)事件的監(jiān)測(cè)、補(bǔ)救、恢復(fù),減少對(duì)能源傳輸系統(tǒng)的影響。開展事件后續(xù)的分析、取證以及總結(jié),促進(jìn)能源輸送系統(tǒng)環(huán)境的改進(jìn)。(5)持續(xù)安全改進(jìn)。保持強(qiáng)大的資源保障、明確的激勵(lì)機(jī)制及利益相關(guān)者密切合作,確保持續(xù)積極主動(dòng)的能源傳輸系統(tǒng)安全提升。為及時(shí)跟蹤2011路線圖實(shí)施情況,能源行業(yè)控制系統(tǒng)工作組(ESCSWG)提供了ieRoadmap交互式平臺(tái)。通過(guò)該平臺(tái)共享各方的努力成果,掌握里程碑進(jìn)展情況,使能源利益相關(guān)者為路線圖的實(shí)現(xiàn)作一致努力。

 

2美國(guó)電力行業(yè)信息安全的管理結(jié)構(gòu)

 

承擔(dān)美國(guó)電力行業(yè)信息安全相關(guān)職責(zé)的主要政府機(jī)構(gòu)和組織包括:國(guó)土安全部(DHS)、能源部(1)0£)、聯(lián)邦能源管理委員會(huì)(FEUC)、北美電力可靠性公司(NERC)以及各州公共事業(yè)委員會(huì)(PUC)。2.1國(guó)土安全部美國(guó)國(guó)土安全部是美國(guó)聯(lián)邦政府指定的基礎(chǔ)設(shè)施信息安全領(lǐng)導(dǎo)部I'j'負(fù)責(zé)監(jiān)督保護(hù)政府網(wǎng)絡(luò)安全,為私營(yíng)企業(yè)提供專業(yè)援助。2009年DHS建立了國(guó)家信息安全和通信集成中心(NationalCyhersecurityandCommunicationsIntegrationCenter,NCCIC),負(fù)責(zé)與聯(lián)邦相關(guān)部門、各州、各行業(yè)以及國(guó)際社會(huì)共享網(wǎng)絡(luò)威脅發(fā)展趨勢(shì),組織協(xié)調(diào)事件響應(yīng)w。

 

2.2能源部

 

美國(guó)能源部不直接承擔(dān)電網(wǎng)信息安全的管理職責(zé),而是通過(guò)指導(dǎo)技術(shù)研發(fā)和協(xié)助項(xiàng)目開發(fā)促進(jìn)私營(yíng)企業(yè)發(fā)展和技術(shù)進(jìn)步能源部的電力傳輸和能源可靠性辦公室(Office(>fElectricityDelivery<&EnergyReliability)承擔(dān)加強(qiáng)國(guó)家能源基礎(chǔ)設(shè)施的可靠性和堅(jiān)韌性的職責(zé),提供技術(shù)研究和發(fā)展的資金,推進(jìn)風(fēng)險(xiǎn)管理策略和信息安全標(biāo)準(zhǔn)研發(fā),促進(jìn)威脅信息的及時(shí)共享,為電網(wǎng)信息安全戰(zhàn)略性綜合方案提供支撐。

 

能源部2012年與美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院、北美電力可靠性公司合作編制了《電力安全風(fēng)險(xiǎn)管理過(guò)程指南》(ElectricitySubsectorCybersecurityRiskManagementProcess)151;2014年與國(guó)土安全部等共同協(xié)作編制完成了《電力行業(yè)信息安全能力成熟度模型》(ElectricitySubsectorcybersecurityCapabilityMaturityModel(ES-C2M2)丨6丨,以支撐電力行業(yè)的信息安全能力評(píng)估和提升;2014年資助能源行業(yè)控制系統(tǒng)工作組(ESCSWG)形成了《能源傳輸系統(tǒng)網(wǎng)絡(luò)安全采購(gòu)用語(yǔ)指南》(CybersecurityProcurementlanguageforEnergyDeliverySystems)171,以加強(qiáng)供應(yīng)鏈的信息安全風(fēng)險(xiǎn)管理。

 

在201丨路線圖的指導(dǎo)下,能源部啟動(dòng)了能源傳輸系統(tǒng)的信息安全項(xiàng)目,資助愛達(dá)荷國(guó)家實(shí)驗(yàn)室建立SCADA安全測(cè)試平臺(tái),發(fā)現(xiàn)并解決行業(yè)面臨的關(guān)鍵安全漏洞和威脅;資助伊利諾伊大學(xué)等開展值得信賴的電網(wǎng)網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)研究。

 

2.3聯(lián)邦能源管理委員會(huì)

 

聯(lián)邦能源管理委員會(huì)負(fù)責(zé)依法制定聯(lián)邦政府職責(zé)范圍內(nèi)的能源監(jiān)管政策并實(shí)施監(jiān)管,是獨(dú)立監(jiān)管機(jī)構(gòu)。2005年能源政策法案(EnergyPolicyActof2005)授權(quán)FERC監(jiān)督包括信息安全標(biāo)準(zhǔn)在內(nèi)的主干電網(wǎng)強(qiáng)制可靠性標(biāo)準(zhǔn)的實(shí)施。2007年能源獨(dú)立與安全法案(EnergyIndependenceandSecurityActof2007(EISA))賦予FERC和國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(National丨nstituteofStandardsan<丨Technology,NIST)相關(guān)責(zé)任以協(xié)調(diào)智能電網(wǎng)指導(dǎo)方針和標(biāo)準(zhǔn)的編制和落實(shí)。2011年的電網(wǎng)網(wǎng)絡(luò)安全法案(GridCyberSecurityAct)要求FKRC建立關(guān)鍵電力基礎(chǔ)設(shè)施的信息安全標(biāo)準(zhǔn)。

 

2007年FERC批準(zhǔn)由北美電力可靠性公司制定的《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)》(criticalinfrastructureprotection,CIPW標(biāo)準(zhǔn)為北美電力可靠性標(biāo)準(zhǔn)之中的強(qiáng)制標(biāo)準(zhǔn),要求各相關(guān)企業(yè)執(zhí)行,旨在保護(hù)電網(wǎng),預(yù)防信息系統(tǒng)攻擊事件的發(fā)生。

 

2.4北美電力可靠性公司

 

北美電力可靠性公司是非盈利的國(guó)際電力可靠性組織。NERC在FERC的監(jiān)管下,制定并強(qiáng)制執(zhí)行包括信息安全標(biāo)準(zhǔn)在內(nèi)的大電力系統(tǒng)可靠性標(biāo)準(zhǔn),開展可靠性監(jiān)測(cè)、分析、評(píng)估、信息共享,確保大電力系統(tǒng)的可靠性。

 

NERC了一系列的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)(CIP)標(biāo)準(zhǔn)181作為北美電力系統(tǒng)的強(qiáng)制性標(biāo)準(zhǔn);與美國(guó)能源部和NIST編制了《電力行業(yè)信息安全風(fēng)險(xiǎn)管理過(guò)程指南》,提供了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的指導(dǎo)方針。

 

歸屬NERC的電力行業(yè)協(xié)凋委員會(huì)(ESCC)是聯(lián)邦政府與電力行業(yè)的主要聯(lián)絡(luò)者,其主要使命是促進(jìn)和支持行業(yè)政策和戰(zhàn)略的協(xié)調(diào),以提高電力行業(yè)的可靠性和堅(jiān)韌性'NERC通過(guò)其電力行業(yè)信息共享和分析中心(ES-ISAC)的態(tài)勢(shì)感知、事件管理以及協(xié)調(diào)和溝通的能力,與電力企業(yè)進(jìn)行及時(shí)、可靠和安全的信息共享和溝通。通過(guò)電網(wǎng)安全年會(huì)(GridSecCon)、簡(jiǎn)報(bào),提供威脅應(yīng)對(duì)策略、最佳實(shí)踐的討論共享和培訓(xùn)機(jī)會(huì);組織電網(wǎng)安全演練(GridEx)檢查整個(gè)行業(yè)應(yīng)對(duì)物理和網(wǎng)絡(luò)事件的響應(yīng)能力,促2.5州公共事業(yè)委員會(huì)美國(guó)聯(lián)邦政府對(duì)地方電力公司供電系統(tǒng)的可靠性沒有直接的監(jiān)管職責(zé)。各州公共事業(yè)委員會(huì)負(fù)責(zé)監(jiān)管地方電力公司的信息安全,大多數(shù)州的PUC沒有網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的制定職責(zé)。PUC通過(guò)監(jiān)管權(quán)力,成為地方電力系統(tǒng)和配電系統(tǒng)網(wǎng)絡(luò)安全措施的重要決策者。全國(guó)公用事業(yè)監(jiān)管委員協(xié)會(huì)(NationalAssociationofRegulatoryUtilitycommissioners,NARUC)作為PUC的一■個(gè)聯(lián)盟協(xié)會(huì),也采取措施促進(jìn)PUC的電力網(wǎng)絡(luò)安全工作,呼吁PUC密切監(jiān)控網(wǎng)絡(luò)安全威脅,定期審查各自的政策和程序,以確保與適用標(biāo)準(zhǔn)、最佳實(shí)踐的一致性%

 

3美國(guó)電力行業(yè)信息安全的硏究資源

 

參與美國(guó)電力行業(yè)信息安全研究的機(jī)構(gòu)和組織主要有商務(wù)部所屬的國(guó)家標(biāo)準(zhǔn)技術(shù)研究院及其領(lǐng)導(dǎo)下的智能電網(wǎng)網(wǎng)絡(luò)安全委員會(huì)、國(guó)土安全部所屬的能源行業(yè)控制系統(tǒng)工作組,重點(diǎn)幵展電力行業(yè)信息安全發(fā)展路線圖、框架以及標(biāo)準(zhǔn)、指南的研究。同時(shí),能源部所屬的多個(gè)國(guó)家實(shí)驗(yàn)室提供網(wǎng)絡(luò)安全測(cè)試、網(wǎng)絡(luò)威脅分析、具體防御措施指導(dǎo)以及新技術(shù)研究等。

 

3.1國(guó)家標(biāo)準(zhǔn)技術(shù)研究院(NIST)

 

根據(jù)2007能源獨(dú)立與安全法令,美_國(guó)家標(biāo)準(zhǔn)技術(shù)研究院負(fù)責(zé)包括信息安全協(xié)議在內(nèi)的智能電網(wǎng)協(xié)議和標(biāo)準(zhǔn)的自愿框架的研發(fā)。NISTf20102014發(fā)#了《?能電網(wǎng)互操作標(biāo)準(zhǔn)的框架和路線圖》(NISTFrameworkaridRoadmapforSmartGridInteroperabilityStandard)1.0、2.0和3.0版本,明確了智能電網(wǎng)的網(wǎng)絡(luò)安全原則以及標(biāo)準(zhǔn)等。2011年3月,NIST了信息安全標(biāo)準(zhǔn)和指導(dǎo)方針系列中的旗艦文檔《NISTSP800-39,信息安全風(fēng)險(xiǎn)管理》丨叫(NISTSpedalPublication800—39,ManagingInformationSecurityRisk),提供了一系列有意義的信息安全改進(jìn)建議。2014年2月,根據(jù)13636行政令,了《提高關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》第一版,以幫助組織識(shí)別、評(píng)估和管理關(guān)鍵基礎(chǔ)設(shè)施信息安全風(fēng)險(xiǎn)。

 

NIST正在開發(fā)工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)用于檢測(cè)符合網(wǎng)絡(luò)安全保護(hù)指導(dǎo)方針和標(biāo)準(zhǔn)的_「.業(yè)控制系統(tǒng)的性能,以指導(dǎo)工業(yè)控制系統(tǒng)安全策略最佳實(shí)踐的實(shí)施。

 

3.2智能電網(wǎng)網(wǎng)絡(luò)安全委員會(huì)

 

智能電網(wǎng)網(wǎng)絡(luò)安全委員會(huì)其前身是智能電網(wǎng)互操作組網(wǎng)絡(luò)安全工作組(SGIP-CSWG)ra。SGCC一直專注于智能電網(wǎng)安全架構(gòu)、風(fēng)險(xiǎn)管理流程、安全測(cè)試和認(rèn)證等研究,致力于推進(jìn)智能電網(wǎng)網(wǎng)絡(luò)安全的發(fā)展和標(biāo)準(zhǔn)化。在NIST的領(lǐng)導(dǎo)下,SGCC編制并進(jìn)一步修訂了《智能電網(wǎng)信息安全指南》(NISTIR7628,GuidelinesforSmartGridCybersecurity),提出了智能電網(wǎng)信息安全分析框架,為組織級(jí)研究、設(shè)計(jì)、研發(fā)和實(shí)施智能電網(wǎng)技術(shù)提供了指導(dǎo)性T.具。

 

3.3國(guó)家電力行業(yè)信息安全組織(NESC0)

 

能源部組建的國(guó)家電力行業(yè)信息安全組織(NationalElectricSectorCybersecurityOrganization,NESCO),集結(jié)了美國(guó)國(guó)內(nèi)外致力于電力行業(yè)網(wǎng)絡(luò)安全的專家、開發(fā)商以及用戶,致力于網(wǎng)絡(luò)威脅的數(shù)據(jù)分析和取證工作⑴。美國(guó)電力科學(xué)研究院(EPRI)作為NESC0成員之一提供研究和分析資源,開展信息安全要求、標(biāo)準(zhǔn)和結(jié)果的評(píng)估和分析。NESCO與能源部、聯(lián)邦政府其他機(jī)構(gòu)等共同合作補(bǔ)充和完善了2011路線圖的關(guān)鍵里程碑和目標(biāo)。

 

3.4能源行業(yè)控制系統(tǒng)工作組(ESCSWG)

 

隸屬國(guó)土安全部的能源行業(yè)控制系統(tǒng)工作組由能源領(lǐng)域安全專家組成,在關(guān)鍵基礎(chǔ)設(shè)施合作咨詢委員會(huì)框架下運(yùn)作。在能源部的資助下,ESCSWG編制了《實(shí)現(xiàn)能源傳輸系統(tǒng)信息安全路線圖》、《能源傳輸系統(tǒng)網(wǎng)絡(luò)安全釆購(gòu)用語(yǔ)指南》。3.5能源部所屬的國(guó)家實(shí)驗(yàn)室

 

3.5.1愛達(dá)荷國(guó)家實(shí)驗(yàn)室(INL)

 

愛達(dá)荷W家實(shí)驗(yàn)室成立于1949年,是為美國(guó)能源部在能源研究、國(guó)家防御等方面提供支撐的應(yīng)用工程實(shí)驗(yàn)室。近十年來(lái),INL與電力行業(yè)合作,加強(qiáng)了電網(wǎng)可靠性、控制系統(tǒng)安全研究。

 

在美國(guó)能源部的資助下,INL建立了包含美國(guó)國(guó)內(nèi)和國(guó)際上多種控制系統(tǒng)的SCADA安全測(cè)試平臺(tái)以及無(wú)線測(cè)試平臺(tái)等資源,目的對(duì)SCADA進(jìn)行全面、徹底的評(píng)估,識(shí)別控制系統(tǒng)脆弱點(diǎn),并提供脆弱點(diǎn)的消減方法113】。通過(guò)能源部的能源傳輸系統(tǒng)信息安全項(xiàng)目,INL提出了采用數(shù)據(jù)壓縮技術(shù)檢測(cè)惡意流量對(duì)SCADA實(shí)時(shí)網(wǎng)絡(luò)保護(hù)的方法hi。為支持美國(guó)國(guó)土安全部控制系統(tǒng)安全項(xiàng)目,INL開發(fā)并實(shí)施了培訓(xùn)課程以增強(qiáng)控制系統(tǒng)專家的安全意識(shí)和防御能力。1NL的相關(guān)研究報(bào)告有《SCADA網(wǎng)絡(luò)安全評(píng)估方法》、《控制系統(tǒng)十大漏洞及其補(bǔ)救措施》、《控制系統(tǒng)網(wǎng)絡(luò)安全:深度防御戰(zhàn)略》、《控制系統(tǒng)評(píng)估中常見網(wǎng)絡(luò)安全漏洞》%、《能源傳輸控制系統(tǒng)漏洞分析>嚴(yán)|等。

 

3.5.2太平洋西北國(guó)家實(shí)驗(yàn)室(PNNL)

 

太平洋西北國(guó)家實(shí)驗(yàn)室是美國(guó)能源部所屬的闊家綜合性實(shí)驗(yàn)室,研究解決美國(guó)在能源、環(huán)境和國(guó)家安全等方面最緊迫的問(wèn)題。

 

PNNL提出的安全SCADA通信協(xié)議(secureserialcommunicationsprotocol,SSCP)的概念,有助于實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)設(shè)備與控制中心之間的安全通信。的相關(guān)研究報(bào)告有《工業(yè)控制和SCADA的安全數(shù)據(jù)傳輸指南》等。PNNL目前正在開展仿生技術(shù)提高能源領(lǐng)域網(wǎng)絡(luò)安全的研究項(xiàng)。

 

3.5.3桑迪亞國(guó)家實(shí)驗(yàn)室(SNL)

 

桑迪亞國(guó)家實(shí)驗(yàn)室是能源部所屬的多學(xué)科國(guó)家實(shí)驗(yàn)室,也是聯(lián)邦政府資助的研究和發(fā)展中心。SNL的研究報(bào)告有《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)網(wǎng)絡(luò)漏洞評(píng)估指南》、《控制系統(tǒng)數(shù)據(jù)分析和保護(hù)安全框架》、《過(guò)程控制系統(tǒng)的安全指標(biāo)》I1'《高級(jí)計(jì)量基礎(chǔ)設(shè)施安全考慮》、《微電網(wǎng)網(wǎng)絡(luò)安全參考結(jié)構(gòu)》等。在能源部的資助下,SNL開展了關(guān)于供應(yīng)鏈威脅的研究項(xiàng)目,形成的威脅模型有助于指導(dǎo)安全解決方案的選擇以及新投資的決策h(yuǎn)i。

 

4美國(guó)電力行業(yè)信息安全的運(yùn)作策略

 

4.1標(biāo)準(zhǔn)只作為網(wǎng)絡(luò)安全的基線

 

NERC的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)標(biāo)準(zhǔn)(CIP)作為強(qiáng)制性標(biāo)準(zhǔn),是電力行業(yè)整體網(wǎng)絡(luò)安全策略的重要內(nèi)容。CIP標(biāo)準(zhǔn)與電網(wǎng)規(guī)劃準(zhǔn)則、系統(tǒng)有功平衡與調(diào)頻、無(wú)功平衡與調(diào)壓、安全穩(wěn)定運(yùn)行等系列標(biāo)準(zhǔn)相并列,成為北美大電網(wǎng)可靠性標(biāo)準(zhǔn)的重要組成部分。目前強(qiáng)制執(zhí)行的是CIP-002至C⑴-009共8個(gè)標(biāo)準(zhǔn)的第3版。文獻(xiàn)1丨6]提供了CIP-002至CIP-009主要內(nèi)容的描述列表。C〖P第5版近期已通過(guò)FERC批準(zhǔn)即將于2016年實(shí)施。第5版新增了CIP-010配置變更管理和漏洞評(píng)估、C1P-011信息保護(hù)2個(gè)強(qiáng)制標(biāo)準(zhǔn)。

 

目前配電系統(tǒng)沒有強(qiáng)制標(biāo)準(zhǔn),但NIST將C1P標(biāo)準(zhǔn)融入了智能電網(wǎng)互操作框架中。智能電網(wǎng)互操作框架雖然是自愿標(biāo)準(zhǔn),但為配電系統(tǒng)提供了信息安全措施指導(dǎo)為系統(tǒng)性的指導(dǎo)智能電網(wǎng)信息安全工作,NIST組織編制了《美國(guó)智能電網(wǎng)信息安全指南》,提出了一個(gè)普適性的智能電網(wǎng)信息安全分析框架,為智能電網(wǎng)的各相關(guān)方提供了風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)識(shí)別以及安全要求的實(shí)施方法。DOE編制的《電力行業(yè)信息安全風(fēng)險(xiǎn)管理過(guò)程指南》提供了電力行業(yè)信息安全風(fēng)險(xiǎn)管理的方法[5】。DOE與DHS合作編制的《信息安全能力成熟度模型》(ES-C2M2)i6i,通過(guò)行業(yè)實(shí)踐幫助組織評(píng)估、優(yōu)化和改善網(wǎng)絡(luò)安全功能,促進(jìn)網(wǎng)絡(luò)安全行動(dòng)和投資的有序開展以及信息安全能力的持續(xù)提升。2014年NIST了《提高關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》也作為電力行業(yè)網(wǎng)絡(luò)安全自愿標(biāo)準(zhǔn)。文獻(xiàn)f17]提到只有21%的公用事業(yè)采取了NERC推薦的預(yù)防震網(wǎng)措施,可見自愿標(biāo)準(zhǔn)的執(zhí)行率偏低強(qiáng)制執(zhí)行的CIP標(biāo)準(zhǔn)在大電力系統(tǒng)網(wǎng)絡(luò)安全方面確實(shí)發(fā)揮了基礎(chǔ)作用,然而網(wǎng)絡(luò)威脅的快速變化以及每個(gè)組織面對(duì)的風(fēng)險(xiǎn)的獨(dú)特性,強(qiáng)制性標(biāo)準(zhǔn)在某種程度上影響企業(yè)采取超過(guò)但不同于最低標(biāo)準(zhǔn)的合適的防護(hù)措施。文獻(xiàn)丨3]提出目前將強(qiáng)制性的解決方案擴(kuò)展到配電網(wǎng)不是有效的方法,聯(lián)邦政府也在考慮縮小強(qiáng)制性范圍。持續(xù)提升網(wǎng)絡(luò)安全水平不能僅僅依賴于標(biāo)準(zhǔn)的符合度,監(jiān)督管理不能保證安全。電力行業(yè)的網(wǎng)絡(luò)安全需要整體的網(wǎng)絡(luò)安全戰(zhàn)略,包括安全文化建設(shè)、共享與協(xié)作、風(fēng)險(xiǎn)管理等。無(wú)論是強(qiáng)制性的標(biāo)準(zhǔn)還是非強(qiáng)制性的標(biāo)準(zhǔn)都只是信息安全的最低要求'4.2安全文化建設(shè)成為信息安全路線圖首要策略

 

對(duì)能源傳輸系統(tǒng)安全風(fēng)險(xiǎn)的認(rèn)知缺失或識(shí)別能力的不足,缺少有效的安全策略和技術(shù)環(huán)境訓(xùn)練的人員,將阻礙能源行業(yè)的持續(xù)安全。安全文化建設(shè)已成為201丨路線圖的首要策略,以提升電力行業(yè)網(wǎng)絡(luò)安全運(yùn)作的主動(dòng)性。2011路線圖提出重點(diǎn)從最佳實(shí)踐、教育、認(rèn)證等方面加強(qiáng)信息安全文化建設(shè),以實(shí)現(xiàn)能源傳輸系統(tǒng)的最佳實(shí)踐被廣泛使用、具備能源傳輸和網(wǎng)絡(luò)安全技能的行業(yè)人員明顯增長(zhǎng)等中長(zhǎng)期目標(biāo)'最佳實(shí)踐傳遞的目標(biāo)效果是網(wǎng)絡(luò)安全實(shí)踐成為能源行業(yè)所有相關(guān)者的習(xí)慣。相關(guān)國(guó)家實(shí)驗(yàn)室圍繞各自研究方向總結(jié)了評(píng)估方法、漏洞補(bǔ)救措施、操作指南等一系列最佳實(shí)踐。如INL根據(jù)其多年SCADA漏洞評(píng)估經(jīng)驗(yàn),編制了《能源傳輸系統(tǒng)漏洞分析》、《SCADA網(wǎng)絡(luò)安全評(píng)估方法》等。PNNL編制的《丁業(yè)控制和SCADA系統(tǒng)的安全數(shù)據(jù)傳輸指南》,為工業(yè)控制系統(tǒng)提供了能及時(shí)發(fā)現(xiàn)并阻止人侵的數(shù)據(jù)傳輸結(jié)構(gòu)。NIST將最佳實(shí)踐融入了安全框架、指南和導(dǎo)則中,如《提高關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》、《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全指南》等。NESCO、NERC等通過(guò)電網(wǎng)安全年會(huì)等多種方式提供了最佳實(shí)踐的交流機(jī)會(huì)。

篇7

[關(guān)鍵詞]電子政務(wù);信息安全;發(fā)展研究

中圖分類號(hào):TP39 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1006-0278(2013)02-104-02

一、引言

根據(jù)電子政務(wù)的開放性、虛擬性以及網(wǎng)絡(luò)化的復(fù)雜性等可以看出,電子政務(wù)是一項(xiàng)復(fù)雜的系統(tǒng)工程。因此,對(duì)電子政務(wù)系統(tǒng)安全提出了嚴(yán)峻的挑戰(zhàn)。其中,安全性是電子政務(wù)正常發(fā)展的首要前提。電子政務(wù)建設(shè)作為網(wǎng)絡(luò)應(yīng)用的一個(gè)特殊領(lǐng)域,既要考慮一般性的網(wǎng)絡(luò)安全問(wèn)題,還要對(duì)政府的安全標(biāo)準(zhǔn)、系統(tǒng)的安全性和便利性的兼容、政府內(nèi)部的安全管理問(wèn)題等提出了特殊的要求。為了達(dá)到適應(yīng)電子政務(wù)系統(tǒng)網(wǎng)絡(luò)動(dòng)態(tài)變化的特點(diǎn),發(fā)展適合電子政務(wù)系統(tǒng)的安全技術(shù)和產(chǎn)品,就需做到保證技術(shù)的先進(jìn)性和可擴(kuò)展性;還要制定相關(guān)的電子安全法規(guī)和安全標(biāo)準(zhǔn),通過(guò)法律保障,加強(qiáng)安全管理。電子政務(wù)的發(fā)展很大程度上基于網(wǎng)絡(luò)信息技術(shù)的發(fā)展,只有網(wǎng)絡(luò)安全有保障,才能保證電子政務(wù)信息傳輸?shù)陌踩?,從而保障電子政?wù)的信息安全。所以,要對(duì)電子政務(wù)的安全建設(shè)統(tǒng)一考慮,長(zhǎng)遠(yuǎn)規(guī)劃,從制度和技術(shù)上加以保障。

二、電子政務(wù)信息安全的技術(shù)建設(shè)

(一)電子政務(wù)安全信息系統(tǒng)方面建設(shè)

電子政務(wù)信息安全技術(shù)建設(shè),首先要保證系統(tǒng)中信息共享與保密性、完整性的關(guān)系,開放性與保護(hù)隱私的關(guān)系,互聯(lián)性與局部隔離的關(guān)系。其主要包括:信息技術(shù)安全和系統(tǒng)技術(shù)安全。

加強(qiáng)電子政務(wù)信息安全技術(shù)建設(shè)主要方面為:

1.隔離網(wǎng)閘技術(shù)整合網(wǎng)絡(luò)結(jié)構(gòu)

電子政務(wù)實(shí)踐中往往產(chǎn)生內(nèi)網(wǎng)與專網(wǎng)、外網(wǎng)間的信息交換需求,然而基于內(nèi)網(wǎng)數(shù)據(jù)保密性的考慮,我們又不希望內(nèi)網(wǎng)暴露在對(duì)外環(huán)境中。解決該問(wèn)題的有效方式是設(shè)置安全島,通過(guò)安全島來(lái)實(shí)現(xiàn)信息的過(guò)濾和兩個(gè)網(wǎng)絡(luò)間的物理隔離,從而實(shí)現(xiàn)安全的數(shù)據(jù)交換。

2.使用漏洞掃描系統(tǒng)技術(shù)彌補(bǔ)缺陷

我國(guó)尚未突破CPU等核心技術(shù),信息安全產(chǎn)業(yè)還依靠外國(guó)技術(shù)。通過(guò)漏洞掃描工具采取時(shí)間策略定時(shí)掃描整個(gè)網(wǎng)絡(luò)地址網(wǎng)段,對(duì)多種來(lái)自通訊、服務(wù)、設(shè)備、系統(tǒng)等的漏洞進(jìn)行掃描。就是為彌補(bǔ)操作系統(tǒng)無(wú)自主產(chǎn)權(quán)的缺陷,操作系統(tǒng)安全設(shè)計(jì)方面必須布置漏洞掃描系統(tǒng)。為了有效檢查網(wǎng)絡(luò)系統(tǒng)的可靠性和安全性,就采用模擬攻擊的手段去檢測(cè)網(wǎng)絡(luò)上隱藏的漏洞,且對(duì)網(wǎng)絡(luò)不做任何修改或造成任何危害,并能夠提供漏洞檢測(cè)報(bào)告和解決方案。

3.網(wǎng)頁(yè)防篡改系統(tǒng)技術(shù)進(jìn)行安全網(wǎng)站建設(shè)

選用網(wǎng)頁(yè)防篡改系統(tǒng)來(lái)構(gòu)建安全網(wǎng)站,來(lái)滿足政府機(jī)關(guān)Web安全性的要求。做好服務(wù)器的安全策略配置,及時(shí)升級(jí)補(bǔ)丁程序;通過(guò)以防火墻為政府網(wǎng)站的安全方案配置,能將所有安全軟件(如口令、加密、身份認(rèn)證、審計(jì)等)配置在防火墻上,對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì),以此達(dá)到正確配置防火墻、入侵檢測(cè)設(shè)備策略。在政務(wù)內(nèi)網(wǎng)與外網(wǎng)之間采用物理方式隔離,政務(wù)外網(wǎng)與互聯(lián)網(wǎng)之間采用邏輯方式隔離,這里就是既要注重外部防范,又要加強(qiáng)內(nèi)部管理的雙重舉措。

4.使用PKI技術(shù)進(jìn)行加密認(rèn)證技術(shù)

PKI是公鑰基礎(chǔ)設(shè)施(Public Key In-frastructure),是用非對(duì)稱密碼算法原理和技術(shù)來(lái)實(shí)現(xiàn)并提供安全服務(wù)的、具有通用性的安全基礎(chǔ)設(shè)施。在電子政務(wù)和電子商務(wù)的建設(shè)中,PKI實(shí)際上是提供了一整套的、遵循標(biāo)準(zhǔn)的密鑰管理基礎(chǔ)平臺(tái)。PKI技術(shù)通過(guò)第三方的可信任機(jī)構(gòu)認(rèn)證中心CA把用戶的公鑰和用戶的其他標(biāo)識(shí)信息(如名稱、E-mail、身份證號(hào)等)捆綁在一起,通過(guò)數(shù)字身份證、數(shù)據(jù)簽名、用戶名及其訪問(wèn)口令,進(jìn)行身份鑒別及訪問(wèn)權(quán)限的控制,防止非法人員對(duì)網(wǎng)絡(luò)的登錄,保證網(wǎng)絡(luò)資源的使用安全性。

5.入侵檢測(cè)技術(shù)入侵檢測(cè)系統(tǒng)技術(shù)

入侵檢測(cè)技術(shù)入侵檢測(cè)系統(tǒng)(Intrusion Detection System,IDS)是一種識(shí)別面向計(jì)算機(jī)資源和網(wǎng)絡(luò)資源的惡意行為的系統(tǒng)。一個(gè)完善的入侵檢測(cè)系統(tǒng)可以對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行自主地、實(shí)時(shí)地攻擊檢測(cè)和響應(yīng),在不影響網(wǎng)絡(luò)上數(shù)據(jù)傳輸?shù)那疤嵯?,?duì)可疑的數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)控、分析,為用戶提供了最大限度的安全保障。

6.數(shù)據(jù)備份技術(shù)

備份是一種數(shù)據(jù)安全策略,通過(guò)備份軟件把數(shù)據(jù)備份到介質(zhì)上,在原始數(shù)據(jù)遭到破壞或丟失的情況下,利用備份數(shù)據(jù)恢復(fù)原始數(shù)據(jù),保證系統(tǒng)的正常工作。

備份策略可分為以下幾種:

(1)全備份(Full Backup),即每天都用一盤磁帶對(duì)整個(gè)系統(tǒng)進(jìn)行完全備份,包括系統(tǒng)和數(shù)據(jù)。

(2)增量備份(Incremental Backup),即每次備份的數(shù)據(jù)只是相當(dāng)于上一次備份后新增加的和修改過(guò)的數(shù)據(jù)。

(3)差分備份(Differential Backup),即每次備份的數(shù)據(jù)是相對(duì)于上一次全備份之后增加的和修改過(guò)的數(shù)據(jù)。

從備份的形式分可分為物理備份和邏輯備份:

1.物理備份:實(shí)際物理數(shù)據(jù)庫(kù)文件從一處拷貝到另一處(通常從磁盤到磁帶)的備份,主要用于數(shù)據(jù)庫(kù)的全恢復(fù)。

2.邏輯備份:用導(dǎo)入導(dǎo)出工具通過(guò)導(dǎo)入導(dǎo)出數(shù)據(jù)對(duì)象來(lái)達(dá)到對(duì)數(shù)據(jù)進(jìn)行備份的目的。它主要用于不完全恢復(fù)。

除了以上技術(shù)外,還包括公共服務(wù)器的安全保護(hù)、防止黑客從外部攻擊、入侵檢測(cè)與監(jiān)控、信息審計(jì)與記錄、病毒防護(hù)、數(shù)據(jù)安全、數(shù)據(jù)恢復(fù)、加密技術(shù)、訪問(wèn)控制技術(shù)、安全體系結(jié)構(gòu)等技術(shù)來(lái)進(jìn)行保障。

三、電子政務(wù)信息安全的管理建設(shè)

一方面應(yīng)積極籌建國(guó)家信息安全組織管理機(jī)構(gòu),并加強(qiáng)國(guó)家信息安全機(jī)構(gòu)的管理職能,落實(shí)國(guó)家制定的“興利除弊,集中監(jiān)控,分級(jí)管理,保障國(guó)家安全”這一信息安全系統(tǒng)管理的基本方針。另一方面,政府部門組織內(nèi)部應(yīng)制定嚴(yán)格的規(guī)章制度,實(shí)行有效的上網(wǎng)信息審批以及有關(guān)的人員管理與系統(tǒng)管理制度等。

(一)完善我國(guó)信息安全基礎(chǔ)設(shè)施

國(guó)家應(yīng)大力扶持國(guó)有信息安全產(chǎn)業(yè)建設(shè)的發(fā)展。自主的信息產(chǎn)業(yè)或信息產(chǎn)品國(guó)產(chǎn)化是保證電子政務(wù)信息安全的根本,國(guó)家應(yīng)對(duì)其發(fā)展予以充分的政策和財(cái)政支持。對(duì)于安全產(chǎn)品評(píng)測(cè)認(rèn)證中心、病毒檢測(cè)和防治中心、關(guān)鍵網(wǎng)絡(luò)系統(tǒng)災(zāi)難恢復(fù)中心、系統(tǒng)攻擊和反攻擊中心、信息戰(zhàn)防御研究中心等當(dāng)前迫切需要建立的國(guó)家信息安全基礎(chǔ)設(shè)施進(jìn)行建設(shè)。與此同時(shí),還要重視技術(shù)及系統(tǒng)的綜合集成,以確保電子政務(wù)信息系統(tǒng)的安全可靠。

(二)建立政府部門內(nèi)部安全管理制度

應(yīng)該建立一定的安全責(zé)任制度,比如:系統(tǒng)運(yùn)行維護(hù)管理制度、計(jì)算機(jī)處理控制管理制度、電子文檔資料管理制度、非計(jì)算機(jī)的各種憑證、單據(jù)、賬簿、報(bào)表和文字資料制定妥善保管和嚴(yán)格控制的規(guī)章制度、操作和管理人員管理制度等。部門內(nèi)只有具備相對(duì)完善的安全管理制度,加上嚴(yán)格的執(zhí)行,工作人員才能各司其職,減少差錯(cuò),防止由于人為因素導(dǎo)致的安全問(wèn)題。為了使電子政務(wù)安全管理工作日趨程序化,還需要根據(jù)實(shí)際工作情況,在日常工作中不斷修正、完善各項(xiàng)規(guī)章制度。

(三)進(jìn)行電子政務(wù)信息安全方面的教育

我國(guó)各級(jí)政府部門要利用多種途徑對(duì)公務(wù)員進(jìn)行電子政務(wù)信息安全方面的教育,增強(qiáng)工作人員的責(zé)任感,提高工作人員的業(yè)務(wù)技能,豐富安全知識(shí)。強(qiáng)化電子政務(wù)環(huán)境下公務(wù)員的信息安全意識(shí),樹立正確的安全觀念強(qiáng)化公務(wù)員的信息安全意識(shí),就是要讓公務(wù)員認(rèn)識(shí)到電子政務(wù)信息安全是電子政務(wù)正常而高效運(yùn)轉(zhuǎn)的基礎(chǔ),是保障國(guó)家信息安全甚至國(guó)家安全的重要前提,從而牢固樹立信息安全第一的思想。主要方式為:一、通過(guò)大眾傳播媒介,增強(qiáng)公務(wù)員信息安全意識(shí),普及信息安全知識(shí)I二、積極組織各種專題講座和培訓(xùn)班,培養(yǎng)信息安全人才,并確保防范手段和技術(shù)措施的先進(jìn)性和主動(dòng)性:三、積極開展安全策略研究,明確安全責(zé)任,增強(qiáng)公務(wù)員的責(zé)任心。

(四)健全法律,嚴(yán)格執(zhí)法

法律是保障電子政務(wù)信息安全的最有力手段,發(fā)達(dá)國(guó)家巳經(jīng)在政府信息安全立法方面積累了成功經(jīng)驗(yàn),我國(guó)立法部門應(yīng)加快立法進(jìn)程,吸取和借鑒國(guó)外網(wǎng)絡(luò)信息安全立法的先進(jìn)經(jīng)驗(yàn),盡快制定和頒布個(gè)人隱私保護(hù)法、數(shù)據(jù)庫(kù)振興法、信息網(wǎng)絡(luò)安全性法規(guī)、預(yù)防和打擊計(jì)算機(jī)犯罪法規(guī)、網(wǎng)上知識(shí)產(chǎn)權(quán)法等,以完善我國(guó)的網(wǎng)絡(luò)信息安全法律體系,使電子政務(wù)信息安全管理走上法制軌道。另外,執(zhí)法部門還要進(jìn)一步嚴(yán)格執(zhí)法,提高執(zhí)法水平,確保各項(xiàng)法律法規(guī)落到實(shí)處。

篇8

北京圣博潤(rùn)高新技術(shù)股份有限公司(簡(jiǎn)稱:圣博潤(rùn))董事長(zhǎng)兼總經(jīng)理孟崗就是這樣一位信息安全領(lǐng)域知行合一的開拓者和實(shí)踐者。

剛剛喜獲“08年度中國(guó)軟件行業(yè)十大領(lǐng)軍人物”稱號(hào)的孟崗解釋說(shuō),“圣搏潤(rùn)也是在不斷嘗試和不斷磨練中慢慢成長(zhǎng)起來(lái)的,思想要慢慢積累才能轉(zhuǎn)化為能力,同樣,也只有實(shí)踐才能出真知。”

初涉信息安全領(lǐng)域

坦率地講,從傳統(tǒng)行業(yè)轉(zhuǎn)戰(zhàn)信息安全領(lǐng)域,孟崗感到肩負(fù)的責(zé)任更加重大,這片新領(lǐng)域絕非用“重視程度提升,前景美好”之類的話語(yǔ)就能簡(jiǎn)單概括。孟崗深刻意識(shí)到,能夠在信息安全行業(yè)做大做強(qiáng),更需要的是企業(yè)不懈的自主創(chuàng)新和突出的核心競(jìng)爭(zhēng)力。

2000年的中國(guó),信息安全領(lǐng)域正越來(lái)越受到國(guó)家的重視,孟崗表示:“國(guó)家當(dāng)時(shí)先后出臺(tái)了系列文件對(duì)信息安全領(lǐng)域相關(guān)問(wèn)題進(jìn)行明確界定,要求必須加強(qiáng)對(duì)國(guó)內(nèi)自主知識(shí)產(chǎn)權(quán)信息安全產(chǎn)品的采購(gòu),這里邊并沒有提到國(guó)外產(chǎn)品。這表明國(guó)家對(duì)于自主知識(shí)產(chǎn)權(quán)產(chǎn)品的扶植,以及對(duì)國(guó)內(nèi)企業(yè)自主創(chuàng)新的重視?!?/p>

“我當(dāng)時(shí)相信,國(guó)產(chǎn)信息安全產(chǎn)品是有機(jī)會(huì)的,而且是大有機(jī)會(huì)。而一系列國(guó)家相關(guān)政策的出臺(tái),也不斷加強(qiáng)了我們?cè)擃I(lǐng)域的信心?!闭勂疬^(guò)往,孟崗眼中熠熠生輝。

正是這種靈敏的嗅覺和自信的判斷,使得圣博潤(rùn)從最初安全產(chǎn)品,到安全項(xiàng)目集成,以及到后來(lái)的自主產(chǎn)品研發(fā)過(guò)程中,能夠始終將自己最精銳的力量投入到內(nèi)網(wǎng)信息安全產(chǎn)品的研究開發(fā)中,并且在前進(jìn)的道路上始終保持這個(gè)方向。

在談話中,孟崗認(rèn)為好的市場(chǎng)環(huán)境、好的國(guó)家政策對(duì)自主創(chuàng)新企業(yè)的大力扶植給圣博潤(rùn)的發(fā)展帶來(lái)了“幸運(yùn)”。但是,在軟件行業(yè)有多少產(chǎn)品、技術(shù)和團(tuán)隊(duì)都很不錯(cuò)的公司都最終在市場(chǎng)的洗禮中倒下了?畢竟,軟件行業(yè)既是締造傳奇的福地,也是破滅神話的領(lǐng)域。

國(guó)家扶持很重要

所謂“天時(shí)地利人和”,能夠在行業(yè)內(nèi)取得成績(jī),僅靠單個(gè)企業(yè)的單打獨(dú)斗實(shí)在難成氣候,面對(duì)這個(gè)話題,孟崗很認(rèn)真的說(shuō),“這要感謝近年來(lái)國(guó)家對(duì)信息安全行業(yè)持續(xù)地加大投入和政策扶植?!?/p>

“我們?yōu)槭裁茨軌虼婊钕聛?lái),并能大大發(fā)展,這首先得益于國(guó)家對(duì)信息安全這一塊的扶持,國(guó)內(nèi)其他具有自主知識(shí)產(chǎn)權(quán)的信息安全企業(yè)也是如此?!泵蠉徣缡钦f(shuō)。

客觀來(lái)說(shuō),國(guó)內(nèi)IT技術(shù)積累與國(guó)外相比在某些方面仍然存在一些差距,信息安全要想做到自主、可信、可控,國(guó)家對(duì)于這一塊的扶持是必不可少的。據(jù)了解,目前在信息安全產(chǎn)品的政府采購(gòu)中,國(guó)內(nèi)具備自主知識(shí)產(chǎn)權(quán)的產(chǎn)品獲得的空間正在不斷擴(kuò)大和提升。

“經(jīng)過(guò)幾年的國(guó)家支持和市場(chǎng)發(fā)展,現(xiàn)在正是內(nèi)網(wǎng)信息安全行業(yè)千載難逢的好機(jī)會(huì)?!闭劦絿?guó)家近年對(duì)于信息安全的投入和政策,孟崗加重的語(yǔ)氣中透出興奮。

“由最初的安全產(chǎn)品,到承接安全集成項(xiàng)目,再到自主安全產(chǎn)品研發(fā),從最初看不清前方的道路,到現(xiàn)在被更廣泛的市場(chǎng)和用戶認(rèn)可接受,圣博潤(rùn)的成長(zhǎng)之路走的曲折,但并不漫長(zhǎng)?!?/p>

目前,圣博潤(rùn)的業(yè)務(wù)主要有兩個(gè),一個(gè)是內(nèi)網(wǎng)安全管理,即桌面安全管理,另外一個(gè)是信息安全的服務(wù),包括信息安全的評(píng)估、信息安全體系的管理咨詢、信息安全服務(wù)外包等?!笆ゲ?rùn)要利用好這一千載難逢的機(jī)會(huì),一旦順風(fēng)順?biāo)鸵幼泷R力!”孟崗強(qiáng)調(diào)。

依靠“產(chǎn)品和服務(wù)”兩條腿走路的方針,不僅僅局限于產(chǎn)品的提供,圣博潤(rùn)的愿景是為用戶構(gòu)建安全的信息體系,這是圣博潤(rùn)作為一個(gè)信息安全廠商想要做的事情。在當(dāng)今SaaS大行其道的背景下,圣博潤(rùn)將會(huì)使服務(wù)的比例從30%提高到40%。

“這是一個(gè)趨勢(shì)。但是,服務(wù)的比例就目前預(yù)期來(lái)說(shuō)不會(huì)超過(guò)50%。”孟崗坦言。

深挖用戶需求

俗話說(shuō),“創(chuàng)業(yè)容易守業(yè)難。”在孟崗看來(lái),創(chuàng)業(yè)和守業(yè)一樣不易,尤其是在這個(gè)日新月異、創(chuàng)業(yè)求變的軟件行業(yè)。

“圣博潤(rùn)不是靠研發(fā)起來(lái)的公司,認(rèn)識(shí)過(guò)程要比別人慢一點(diǎn),走的時(shí)間要比別人長(zhǎng)一些,只有耐心、堅(jiān)持才能保住創(chuàng)業(yè)。”孟崗說(shuō),“我們要能堅(jiān)守住自己的方向,堅(jiān)守住自己的客戶,不斷深入了解行業(yè),不斷洞悉他們的新需求,這是我們每個(gè)圣博潤(rùn)人內(nèi)心的想法?!?/p>

前幾年,信息安全主要解決的是邊界防護(hù)的問(wèn)題,網(wǎng)絡(luò)管理、防火墻等成了那時(shí)間出現(xiàn)頻率最高的安全防護(hù)詞。實(shí)際上,經(jīng)過(guò)近幾年的發(fā)展,越來(lái)越多的用戶發(fā)現(xiàn),來(lái)自內(nèi)部的威脅也同樣不可小覷。

無(wú)論內(nèi)網(wǎng)或局域網(wǎng)有多大,內(nèi)部用戶的行為完全是自由狀態(tài)的,這種各自為戰(zhàn)的自由行為給局域網(wǎng)的運(yùn)行帶來(lái)了很多問(wèn)題,另外還可能引起重要信息泄露。

“現(xiàn)階段,信息安全方面用戶最迫切的需求是什么?”

“內(nèi)網(wǎng)安全!”曾經(jīng)一位用戶如此干練的回答給了孟崗很大的觸動(dòng)。

事實(shí)上,信息安全的問(wèn)題在任何時(shí)候任何一個(gè)層面都很重要。在早期,大家爭(zhēng)相“建圍墻、裝防盜門、安窗戶”,要把安全問(wèn)題御之門外,這個(gè)階段過(guò)后,人們逐步意識(shí)到來(lái)自內(nèi)部的安全問(wèn)題如果不加防范,同樣會(huì)給用戶帶來(lái)不可估量的損失。

那么,是不是所有的企業(yè)都要“關(guān)上門好好處理自己的家務(wù)”?“這要取決于用戶對(duì)自己信息資產(chǎn)的關(guān)注程度。”孟崗說(shuō)。

舉例來(lái)說(shuō),如果是一個(gè)普通的農(nóng)戶,對(duì)自己內(nèi)部的資產(chǎn)并不太在意,那么他裝一扇木門或鐵門就可以了,而對(duì)于比較富裕的家庭可能就得裝高級(jí)的防盜門。同樣的道理,如果用戶對(duì)自己內(nèi)部信息資產(chǎn)的關(guān)注程度或認(rèn)識(shí)程度非常高的話,他就會(huì)對(duì)自己的內(nèi)網(wǎng)安全問(wèn)題格外關(guān)注,反之則相應(yīng)程度的降低。

信息安全的核心在于用戶需求,用戶采取什么樣的防護(hù)措施取決于用戶需要保護(hù)的是什么。

2008年2月18日,圣博潤(rùn)公司因其良好的業(yè)務(wù)發(fā)展態(tài)勢(shì)受到中關(guān)村園區(qū)支持,在深交所掛牌OTC。當(dāng)被記者問(wèn)到,上市前后的圣博潤(rùn)是否會(huì)在企業(yè)方向或策略方面做一些調(diào)整,或者實(shí)現(xiàn)多元化運(yùn)作時(shí),孟崗說(shuō),“我們會(huì)將精力繼續(xù)放在內(nèi)網(wǎng)安全和安全服務(wù)方面,堅(jiān)守我們的優(yōu)勢(shì)行業(yè),至少近10年,我們不會(huì)考慮在方向或策略上做大的調(diào)整?!?/p>

篇9

一、采購(gòu)電子化過(guò)程中存在的安全隱患

采購(gòu)改革起步晚,編制體制還在不斷完善,電子化采購(gòu)也是近來(lái)提出的話題,管理思想、規(guī)章制度、管理技術(shù)、人才建設(shè)等都存在著一些不足,導(dǎo)致電子化采購(gòu)在運(yùn)行中存在很多安全隱患。

1、管理思想上的問(wèn)題。一是缺乏系統(tǒng)的管理思想。隨著采購(gòu)工作的規(guī)范化、信息化運(yùn)行,采購(gòu)機(jī)構(gòu)為信息安全做了大量的工作,制定了一些安全管理制度,但基本上還是靜態(tài)的、局部的、少數(shù)人負(fù)責(zé)的、突擊式的、事后糾正式的傳統(tǒng)管理方式,而不是建立在風(fēng)險(xiǎn)評(píng)估基礎(chǔ)上的動(dòng)態(tài)的持續(xù)改進(jìn)管理的方法。結(jié)果不能從根本上避免、降低各類風(fēng)險(xiǎn),也不能降低采購(gòu)電子化中由信息安全故障引起的綜合效益損失。二是缺乏信息安全意識(shí)和信息安全方針。部分采購(gòu)機(jī)構(gòu)領(lǐng)導(dǎo)對(duì)電子化進(jìn)程中信息資產(chǎn)所面臨的威脅認(rèn)識(shí)不足,或者只局限于IT方面的安全,沒有形成一個(gè)合理的電子化采購(gòu)方針來(lái)指導(dǎo)組織信息安全管理工作。表現(xiàn)為缺乏完整的信息安全管理制度,缺乏對(duì)網(wǎng)絡(luò)工作人員進(jìn)行必要的安全法律法規(guī)和防范安全風(fēng)險(xiǎn)的教育與培訓(xùn),對(duì)現(xiàn)有的安全制度不能完全實(shí)施等。三是重視安全技術(shù),輕視安全管理。目前,各級(jí)采購(gòu)機(jī)構(gòu)正處于信息化建設(shè)的關(guān)鍵時(shí)期,為此,各級(jí)都配備先進(jìn)的計(jì)算機(jī)、網(wǎng)絡(luò)等技術(shù),用以提高采購(gòu)效率及服務(wù)水平。但是,相應(yīng)的管理措施不到位,如系統(tǒng)的運(yùn)行、維護(hù)、開發(fā)等崗位不清,職責(zé)不分,存在一人身兼數(shù)職的情況,造成安全隱患。

2、規(guī)章制度上的問(wèn)題。網(wǎng)上采購(gòu)作為采購(gòu)信息化建設(shè)的產(chǎn)物,對(duì)傳統(tǒng)的采購(gòu)模式已經(jīng)構(gòu)成挑戰(zhàn)。對(duì)于這樣的新生事物,相關(guān)的法律、制度至今還很不完善,即便在最近頒布實(shí)施的一些采購(gòu)法規(guī)中提及的也很少。關(guān)于哪些方面信息應(yīng)當(dāng)公布、如何公布,網(wǎng)上采購(gòu)程序的合法性如何界定,電子采購(gòu)合同法律效力的確定,采購(gòu)電子化的應(yīng)急管理等,都是相關(guān)部門必須面對(duì)的問(wèn)題。應(yīng)盡快以法律方式來(lái)認(rèn)可和保護(hù)電子簽章,建立采購(gòu)信息公開規(guī)定,以實(shí)現(xiàn)采購(gòu)信息的開放性與安全性之間的平衡。通過(guò)各項(xiàng)配套法律的完善,使在建立一整套行之有效的措施的同時(shí),落實(shí)各項(xiàng)安全保障制度。

3、管理技術(shù)上的問(wèn)題。電子化采購(gòu)所依托的是路由器、交換機(jī)、工作站、網(wǎng)絡(luò)服務(wù)器,以及各類支持軟件,其安全性能、技術(shù)標(biāo)準(zhǔn)等對(duì)信息系統(tǒng)的安全有著重要影響。電子化管理技術(shù)上的缺陷來(lái)自三個(gè)方面:一是硬件缺陷。由于采購(gòu)事業(yè)經(jīng)費(fèi)較少的原因,部分采購(gòu)機(jī)構(gòu)計(jì)算機(jī)配置較低,一些先進(jìn)的安全硬件,如現(xiàn)代化的采購(gòu)網(wǎng)絡(luò)中心還沒有建立。二是軟件缺陷。采購(gòu)信息平臺(tái)正處于研發(fā)、試用階段,很多軟件技術(shù)還不成熟,如確認(rèn)客戶身份真實(shí)性的技術(shù)、保證數(shù)據(jù)傳輸安全的技術(shù)等。三是先進(jìn)的測(cè)試技術(shù)應(yīng)用不夠,如網(wǎng)絡(luò)反病毒、網(wǎng)絡(luò)入侵檢測(cè)、網(wǎng)絡(luò)安全掃描等技術(shù)。

4、采購(gòu)人才的問(wèn)題。電子化采購(gòu)專業(yè)人才的缺乏是當(dāng)前采購(gòu)電子化進(jìn)程中安全隱患的重要原因。系統(tǒng)安全管理人員是復(fù)合型人才,電子化采購(gòu)的發(fā)展需要大批既熟悉物資采購(gòu)業(yè)務(wù),又精通計(jì)算機(jī)網(wǎng)絡(luò)技術(shù),具有豐富網(wǎng)絡(luò)工程建設(shè)經(jīng)驗(yàn)的工程技術(shù)人員、管理人員。由于電子化采購(gòu)事業(yè)剛剛起步,現(xiàn)有采購(gòu)工作人員長(zhǎng)期從事的都是傳統(tǒng)采購(gòu)工作,所以在一時(shí)間內(nèi)難以適應(yīng)新的采購(gòu)方式的要求。

二、采購(gòu)電子化進(jìn)程中的安全策略

采購(gòu)電子化改變了傳統(tǒng)采購(gòu)業(yè)務(wù)的處理方式,優(yōu)化了采購(gòu)過(guò)程,提高了采購(gòu)效率,降低了采購(gòu)成本,使采購(gòu)真正達(dá)到了公開、公平、公正。實(shí)施采購(gòu)電子化,將推動(dòng)整個(gè)“采購(gòu)管理信息化”的建設(shè)和發(fā)展,并將促使采購(gòu)經(jīng)濟(jì)效益的整體提高。但是,這些優(yōu)越性要通過(guò)良好的采購(gòu)網(wǎng)絡(luò)運(yùn)行平臺(tái)才能實(shí)現(xiàn),因此,必須通過(guò)有效方式營(yíng)造一個(gè)安全可靠的電子化采購(gòu)網(wǎng)絡(luò)環(huán)境。

1、更新觀念,強(qiáng)化管理,深化科學(xué)的電子化采購(gòu)管理理念。樹立系統(tǒng)管理思想。在考察、分析和解決電子化采購(gòu)安全管理問(wèn)題時(shí)要著眼于整個(gè)電子化采購(gòu)安全系統(tǒng),要以合作的精神從整個(gè)電子化采購(gòu)事業(yè)全局出發(fā),把一組具有特定目的、相互聯(lián)系、相互制約的安全因素組合起來(lái),根據(jù)輕重緩急,予以通盤考慮,逐次解決。影響電子化安全的因素是多方面的、復(fù)雜的,同時(shí)又是相互聯(lián)系、相互制約的,一個(gè)安全隱患的存在通常會(huì)影響到整個(gè)電子化采購(gòu)系統(tǒng)的有效運(yùn)行。要確實(shí)樹立系統(tǒng)管理思想還需把電子化安全隱患當(dāng)做動(dòng)態(tài)的、發(fā)展的、持續(xù)的,把握其發(fā)展規(guī)律。

加強(qiáng)內(nèi)部管理。安全的最高境界不是產(chǎn)品,也不是服務(wù),而是管理。要想保證網(wǎng)絡(luò)的安全,在做好邊界防護(hù)的同時(shí),更要做好內(nèi)部網(wǎng)絡(luò)的管理。網(wǎng)絡(luò)的內(nèi)部安全管理策略包括:確定安全管理等級(jí)和安全管理范圍;嚴(yán)格控制人員進(jìn)出入機(jī)房;監(jiān)督工作人員操作過(guò)程,理順信息安全工作與其他工作的區(qū)別。

確定安全管理原則。采購(gòu)機(jī)構(gòu)網(wǎng)絡(luò)中心的安全管理要本著多人負(fù)責(zé)、任期有限、職責(zé)分離的原則,將下列每組內(nèi)的兩項(xiàng)信息處理工作分開:計(jì)算機(jī)操作與計(jì)算機(jī)編程;機(jī)密資料的接收和傳送;安全管理和系統(tǒng)管理;應(yīng)用程序和系統(tǒng)程序的編制;訪問(wèn)證件的管理與其他工作;計(jì)算機(jī)操作與信息系統(tǒng)使用媒介的保管。

2、建章立制,力促規(guī)范,加快電子化采購(gòu)法規(guī)建設(shè)。安全的基石是社會(huì)法律、法規(guī)與手段,缺少法律、法規(guī)支持的安全是沒有保障、不能持久的。采購(gòu)電子化是對(duì)傳統(tǒng)采購(gòu)的一個(gè)突破,對(duì)采購(gòu)工作人員的工作習(xí)慣和思維方式產(chǎn)生了一定的沖擊,法規(guī)支持的缺位,不利于統(tǒng)一規(guī)范用戶和采購(gòu)機(jī)構(gòu)的思想認(rèn)識(shí),不利于規(guī)范采購(gòu)環(huán)節(jié)的當(dāng)事各方。

借鑒《電子簽名法》、《電子商務(wù)示范法》,建立符合采購(gòu)實(shí)際的電子簽名方法、電子合同保護(hù)方法。要實(shí)現(xiàn)真正意義上的電子化采購(gòu),電子合同、電子簽名是關(guān)鍵的一環(huán),但從地方政府及企業(yè)的運(yùn)行來(lái)看,這一環(huán)容易出現(xiàn)簽名無(wú)效或者采購(gòu)當(dāng)事人拒不承認(rèn)采購(gòu)合同的合法性等問(wèn)題,為采購(gòu)行為增添了不明朗的前景,頒布簽名及電子合同保護(hù)方法極為重要。

制定安全管理制度。信息系統(tǒng)的安全管理部門應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性,制訂相應(yīng)的管理制度或采用相應(yīng)的規(guī)范。具體工作包括:根據(jù)工作重要程度,確定系統(tǒng)安全等級(jí);根據(jù)安全等級(jí),確定安全管理的范圍;制訂相應(yīng)的機(jī)房出入管理制度;制訂嚴(yán)格的操作規(guī)程;制訂完備的系統(tǒng)維護(hù)制度;制定應(yīng)急等級(jí)轉(zhuǎn)換規(guī)定以及應(yīng)急管理措施等。此外還包括電子化采購(gòu)中的人員培訓(xùn)制度、專業(yè)電子化采購(gòu)人員選擇辦法等。

篇10

在全球信息化的推動(dòng)下,計(jì)算機(jī)信息網(wǎng)絡(luò)作用不斷擴(kuò)大的同時(shí),信息網(wǎng)絡(luò)的安全也變得日益重要,一旦遭受破壞,其影響或損失也十分巨大,電力系統(tǒng)信息安全是電力系統(tǒng)安全運(yùn)行和對(duì)社會(huì)可靠供電的保障,是一項(xiàng)涉及電網(wǎng)調(diào)度自動(dòng)化、繼電保護(hù)及安全裝置、廠站自動(dòng)化、配電網(wǎng)自動(dòng)化、電力負(fù)荷控制、電力營(yíng)銷、信息網(wǎng)絡(luò)系統(tǒng)等有關(guān)生產(chǎn)、經(jīng)營(yíng)和管理方面的多領(lǐng)域、復(fù)雜的大型系統(tǒng)工程。應(yīng)結(jié)合電力工業(yè)特點(diǎn),深入分析電力系統(tǒng)信息安全存在的問(wèn)題,探討建立電力系統(tǒng)信息安全體系,保證電網(wǎng)安全穩(wěn)定運(yùn)行,提高電力企業(yè)社會(huì)效益和經(jīng)濟(jì)效益,更好地為國(guó)民經(jīng)濟(jì)高速發(fā)展和滿足人民生活需要服務(wù)。

研究電力系統(tǒng)信息安全問(wèn)題、制定電力系統(tǒng)信息遭受內(nèi)部外部攻擊時(shí)的防范與系統(tǒng)恢復(fù)措施等信息安全戰(zhàn)略是當(dāng)前信息化工作的重要內(nèi)容。

關(guān)鍵詞:電力系統(tǒng);計(jì)算機(jī)網(wǎng)絡(luò);可靠供電;安全體系;信息安全戰(zhàn)略

中圖分類號(hào):TM715文獻(xiàn)標(biāo)識(shí)碼: A 文章編號(hào):

一、電力系統(tǒng)的信息安全體系

信息安全指的是為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù),保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。包括保密性、完雅性、可用性、真實(shí)性、可靠性、責(zé)任性等幾個(gè)方面。

信息安全涉及的因素有,物理安全、信息安全、網(wǎng)絡(luò)安全、文化安全。

作為全方位的、整體的信息安全體系是分層次的,不同層次反映了不同的安全問(wèn)題。

信息安全應(yīng)該實(shí)行分層保護(hù)措施,有以下五個(gè)方面,

①物理層面安全,環(huán)境安全、設(shè)備安全、介質(zhì)安全,②網(wǎng)絡(luò)層面安全,網(wǎng)絡(luò)運(yùn)行安全,網(wǎng)絡(luò)傳輸安全,網(wǎng)絡(luò)邊界安全,③系統(tǒng)層面安全,操作系統(tǒng)安全,數(shù)據(jù)庫(kù)管理系統(tǒng)安全,④應(yīng)用層面安全,辦公系統(tǒng)安全,業(yè)務(wù)系統(tǒng)安全,服務(wù)系統(tǒng)安全,⑤管理層面安全,安全管理制度,部門與人員的組織規(guī)則。

二、電力系統(tǒng)的信息安全策略

電力系統(tǒng)的信息安全具有訪問(wèn)方式多樣,用戶群龐大、網(wǎng)絡(luò)行為突發(fā)性較高等特點(diǎn)。信息安全問(wèn)題需從網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)階段就仔細(xì)考慮,并在實(shí)際運(yùn)行中嚴(yán)格管理。為了保障信息安全,采取的策略如下:

(一)設(shè)備安全策略

這是在企業(yè)網(wǎng)規(guī)劃設(shè)計(jì)階段就應(yīng)充分考慮安全問(wèn)題。將一些重要的設(shè)備,如各種服務(wù)器、主干交換機(jī)、路由器等盡量實(shí)行集中管理。各種通信線路盡量實(shí)行深埋、穿線或架空,并有明顯標(biāo)記,防止意外損壞。對(duì)于終端設(shè)備,如工作站、小型交挾機(jī)、集線器和其它轉(zhuǎn)接設(shè)備要落實(shí)到人,進(jìn)行嚴(yán)格管理。

(二)安全技術(shù)策略

為了達(dá)到保障信息安全的目的,要采取各種安全技術(shù),其不可缺少的技術(shù)層措施如下:

1.防火墻技術(shù)。防火墻是用于將信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)隔離的一種技術(shù),它通過(guò)單一集中的安全檢查點(diǎn),強(qiáng)制實(shí)糟相應(yīng)的安全策略進(jìn)行檢查,防止對(duì)重要信息資源進(jìn)行非法存取和訪問(wèn)。電力系統(tǒng)的生產(chǎn)、計(jì)量、營(yíng)銷、調(diào)度管理等系統(tǒng)之間,信息的共享、整合與調(diào)用,都需要在不同網(wǎng)段之間對(duì)這些訪問(wèn)行為進(jìn)行過(guò)濾和控制,阻斷攻擊破壞行為,分權(quán)限合理享用信息資源。

2.病毒防護(hù)技術(shù)。為免受病毒造成的損失,要采用的多層防病毒體系。即在每臺(tái)Pc機(jī)上安裝防病毒軟件客戶端,在服務(wù)器上安裝基于服務(wù)器的防病毒軟件,在網(wǎng)關(guān)上安裝基于網(wǎng)關(guān)的防病毒軟件。必須在信息系統(tǒng)的各個(gè)環(huán)節(jié)采用全網(wǎng)全面的防病毒策略,在計(jì)算機(jī)病毒預(yù)防、檢測(cè)和病毒庫(kù)的升級(jí)分發(fā)等環(huán)節(jié)統(tǒng)一管理,建立較完善的管理制度,才能有效的防止和控制病毒的侵害。

3.虛擬局域網(wǎng)技術(shù)(VLAN技術(shù))。VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的LAN邏輯地劃分成不同的廣播域,每一個(gè)VLAN都包含1組有著相同需求的計(jì)算機(jī)工作站,與物理上形成的LAN有相同的屬性。但由于它是邏輯而不是物理劃分,所以同一個(gè)LAN內(nèi)的各工作站無(wú)須放置在同一物理空間里,既這些工作站不一定屬于同一個(gè)物理LAN網(wǎng)段。一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中,有助于控制流量、控制廣播風(fēng)暴、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。

4.?dāng)?shù)據(jù)與系統(tǒng)備份技術(shù)。電力企業(yè)的數(shù)據(jù)庫(kù)必須定期進(jìn)行備份,按其重要程度確定數(shù)據(jù)備份等級(jí)。配置數(shù)據(jù)備份策略,建立企業(yè)數(shù)據(jù)備份中心,采用先進(jìn)災(zāi)難恢復(fù)技術(shù),對(duì)關(guān)鍵業(yè)務(wù)的數(shù)據(jù)與應(yīng)用系統(tǒng)進(jìn)行備份,制定詳盡的應(yīng)用數(shù)據(jù)備份和數(shù)據(jù)庫(kù)故障恢復(fù)預(yù)案,并進(jìn)行定期預(yù)演。確保在數(shù)據(jù)損壞或系統(tǒng)崩潰的情況下能快速恢復(fù)數(shù)據(jù)與系統(tǒng),從而保證信息系統(tǒng)的可用性和可靠性。

5.安全審計(jì)技術(shù)。隨著系統(tǒng)規(guī)模的擴(kuò)展與安全設(shè)施的完善,應(yīng)該引入集中智能的安全審計(jì)系統(tǒng),通過(guò)技術(shù)手段,實(shí)現(xiàn)自動(dòng)對(duì)網(wǎng)絡(luò)設(shè)備日志、操作系統(tǒng)運(yùn)行日志、數(shù)據(jù)庫(kù)訪問(wèn)日志、業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行日志、安全設(shè)施運(yùn)行日志等進(jìn)行統(tǒng)一安全審計(jì),及時(shí)自動(dòng)分析系統(tǒng)安全事件,實(shí)現(xiàn)系統(tǒng)安全運(yùn)行管理。

6.建立信息安全身份認(rèn)證體系。CA是Certificate Authority的縮寫,即證書授權(quán)。在電子商務(wù)系統(tǒng)中,所有實(shí)體的證書都是由證書授權(quán)中心(CA中心)分發(fā)并簽名的。一個(gè)完整、安全的電子商務(wù)系統(tǒng)必須建立起一個(gè)完整、合理的CA體系。CA體系由證書審批部門和證書操作部門組成。電力市場(chǎng)交易系統(tǒng)就其實(shí)質(zhì)來(lái)說(shuō),是一個(gè)典型的電子商務(wù)系統(tǒng),它必須保證交易數(shù)據(jù)安全。在電力市場(chǎng)技術(shù)支持系統(tǒng)中,作為市場(chǎng)成員交易各方的身份確認(rèn)、物流控制、財(cái)務(wù)結(jié)算、實(shí)時(shí)數(shù)據(jù)交換系統(tǒng)中,均需要權(quán)威、安全的身份認(rèn)證系統(tǒng)。在電力系統(tǒng)中,電子商務(wù)逐步擴(kuò)展到電力營(yíng)銷系統(tǒng)、電力物質(zhì)采購(gòu)系統(tǒng)、電力燃料供應(yīng)系統(tǒng)等許多方面。因此,建立全國(guó)和網(wǎng)、省公司的cA機(jī)構(gòu),對(duì)企業(yè)員工上網(wǎng)用戶統(tǒng)一身份認(rèn)證和數(shù)字簽名等安全認(rèn)證,對(duì)系統(tǒng)中關(guān)鍵業(yè)務(wù)進(jìn)行安全審計(jì),并開展與銀行之間、上下級(jí)CA機(jī)構(gòu)之間、其他需要CA機(jī)構(gòu)之間的交叉認(rèn)證的技術(shù)研究及試點(diǎn)工作。

(三)組織管理策略

信息安全是技術(shù)措施和組織管理措施的統(tǒng)一,“三分技術(shù)、七分管理”。沒有管理,就沒有安全。再好的第三方安全技術(shù)和產(chǎn)品,如果沒有科學(xué)的組織管理配合,都會(huì)形同虛設(shè)。

1.安全意識(shí)與安全技能。通過(guò)普及安全知識(shí)的培訓(xùn),可以提高電力企業(yè)職員安全知識(shí)和安全意識(shí),使他們具備一些基本的安全防護(hù)意識(shí)和發(fā)現(xiàn)解決某些常見安全問(wèn)題的能力。通過(guò)專業(yè)安全培訓(xùn)提高操作維護(hù)者的安全操作技能,然后再配合第三方安全技術(shù)和產(chǎn)品,將使信息安全保障工作得到提升。

2.安全策略與制度。應(yīng)該從企業(yè)發(fā)展角度對(duì)整體的信息安全工作提供方針性指導(dǎo),制定一套指導(dǎo)性的、統(tǒng)一的安全策略和制度。沒有標(biāo)準(zhǔn),無(wú)法衡量信息的安全,沒有法規(guī),無(wú)從遵循信息安全的制度,沒有策略,無(wú)法形成安全防護(hù)體系。安全策略和制度管理是法律管理的形式化、具體化,是法規(guī)與管理的接口和信息安全得以實(shí)現(xiàn)的重要保證。

3.安全組織與崗位。企業(yè)的組織體系應(yīng)實(shí)行“統(tǒng)一組織、分散管理”的方式,建立以信息中心作為企業(yè)的信息安全管理機(jī)構(gòu),全面負(fù)責(zé)企業(yè)范圍內(nèi)的信息安全管理和維護(hù)工作。安全崗位是信息系統(tǒng)安全管理機(jī)構(gòu),根據(jù)系統(tǒng)安全需要設(shè)定的負(fù)責(zé)某一個(gè)或某幾個(gè)安全事務(wù)的職位,崗位在系統(tǒng)內(nèi)部可以是具有垂直領(lǐng)導(dǎo)關(guān)系的若干層次的一個(gè)序列。這樣在全企業(yè)范圍內(nèi)形成信息安全管理的專一工作,使各級(jí)信息技術(shù)部門也因此會(huì)很好配合信息安全推行工作。