在信息网络普及的时代,信息网络成为员工日常工作不可或缺的工具。同时,安全问题越来越成为影响企业信息化发展的重要因素,病毒的泛滥影响了正常的业务开展,垃圾流量占用了宽带资源,无所不在的网络钓鱼造成大量信息的泄露,网络攻击可能造成巨大的损失,因此加强信息安全建设日益成为企业的迫切需求。
1、信息安全保护相关标准体系
在信息安全标准化方面, 我国从20 世纪80 年代开始,在全国信息技术标准化技术委员会信息安全分技术委员会和各部门各界的努力下,本着积极采用国际标准的原则,转化了一批国际信息安全基础技术标准,为我国信息安全技术的发展做出了一定贡献。同时,公安部、国家安全部、国家保密局、国家密码管理委员会等相继制定、颁布了一批信息安全的行业标准,这些标准大致可以分为四类,国家信息安全保护相关标准体系如图1所示。
2011 年2 月1 日,《信息系统安全等级保护实施指南》、《信息系统等级保护安全设计技术要求》等18 项信息安全技术标准将正式实施,这对于完善我国信息安全标准体系,规范和指导我国信息安全保障体系建设具有重要意义。
2、企业信息安全体系的建设
企业信息安全体系是在满足国家规定、遵循国际标准的原则下,参照国内外最佳实践,结合自身的实际需求,通过管理和技术手段,来构建企业信息安全体系。通过开展信息安全体系建设,我们可以落实安全责任制,完善管理制度、技术措施,落实等级保护制度的各项要求,提高信息系统安全管理水平,增强安全保护能力,保护企业重要信息资产,保障信息网络可用。
2.1 建设流程
企业信息安全体系建设分四步进行。第一步,根据国家标准对行业等级保护进行定级,制定企业信息安全建设工作规划和总体部署;第二步:开展信息系统安全保护现状分析,确定安全保护策略,制定整改方案;第三步:整改建设,从管理和技术两个方面开展信息统安全建设;第四步:测评完善,开展安全自检自查、风险评估和等级测评,及时发现企业存在的信息安全隐患和威胁,进一步开展安全建设工作,企业信息安全体系建设流程如图2 所示。
2.2 规划部署
按照《信息系统安全等级保护基本要求》(GB/T22239-2008)、《信息系统安全等级保护定级指南》(GB/T22240-2008)、《信息安全管理体系要求》(GB/T22080-2008) 等标准要求并结合行业特点,对企业信息安全体系建设进行统一规划部署。
2.3 现状分析
开展企业信息安全保护现状分析,查找信息安全保护建设整改需要解决的问题,分析判断目前所采取的安全管理、技术措施与《信息系统安全管理要求》( GB/T 20269-2006)、《信息系统等级保护安全设计技术要求》( GB/T 25070-2010) 等标准要求之间的差距,针对问题不足制定安全保护策略,形成整改方案。
2.4 整改建设
按照最新国家标准《信息系统安全等级保护实施指南》(GB/T 25058-2010)、《信息系统安全工程管理要求》(GB/T20282-2006)对整改建设过程的起始、设计、建设、运行和维护各个阶段进行管理控制,确保项目实施质量。以下从管理和技术两个方面介绍信息安全体系建设:
2.4.1 信息安全管理建设
信息安全工作的重点正从传统的侧重技术向关注管理转变,信息安全管理建设显得尤为重要,信息安全管理建设包括有:
(1)信息安全组织建设
信息安全组织是根据企业信息安全规划明确了信息安全团队职能和职责。
(2)信息安全制度建设
设备和介质安全管理,明确配套设施、软硬件设备管理、维护的责任人,对信息系统的各种软硬件设备采购、发放、维护等过程进行控制,加强对涉外维修、敏感数据销毁等过程的监督控制。
日常运行维护,明确网络、系统日常运行维护的责任人,对运行管理中的日常操作、账号管理、日志管理、补丁升级、口令更新等过程进行控制和管理,制订相应的管理制度和操作规程并落实执行。
灾难备份,防止重大事故、事件发生。识别需要定期备份的重要业务信息、系统数据及软件系统等,制定数据的备份策略和恢复策略,建立备份与恢复管理相关的安全管理制度。
事件处置与应急响应,按照《信息安全事件分类分级指南》(GB/T 20986-2007)、《信息安全事件管理指南》(GB/T 20985-2007)确定信息安全事件的等级。结合《信息安全应急响应计划规范》(GB/T24363-2009)制定信息安全事件分级应急处置预案,明确应急处置策略,落实应急指挥部门、执行部门和技术支撑部门,建立应急协调机制。
2.4.2 信息安全技术建设
信息安全技术建设从保证企业业务连续性的角度出发, 从构建设备安全可靠、基础架构安全、安全技术部署、统一安全管理、用户行为安全五个方面, 规划了以等级保护为基础的控制架构, 以符合国家关于信息安全保障体系与等级保护的要求,企业信息安全技术建设如图3 所示。
(1)设备安全可靠
高可靠性永远是企业必不可少的重要需求。设备的可靠性就像自然界的生态平衡,维系着系统的正常运转,一旦平衡被打破,需要具备自我恢复能力。高可靠性的设备和可靠性技术是保证信息安全的基础。
(2)基础架构安全
信息技术基础架构安全应该以网络安全架构作为主体, 并在此基础上结合相应的系统软硬件进行安全部署和配置。网络应该采用模块化、冗余的网络架构,按照功能区域划分的方法, 根据网络所承载业务系统的特性与所面临的风险, 划分不同的网络功能区域, 并根据业务的安全需求以及等级保护的要求, 对不同区域之间的信息访问做出限制。
(3)安全技术部署
从FW/VPN、IPS/IDS、防病毒系统、漏洞扫描、行为审计系统等多种安全设备到资源采集syslog、snmp、netstream 等多种数据源,对所有安全信息进行分析、汇聚和存储。
(4)统一安全管理
统一安全管理不能简单地理解为单一的产品或方案的堆砌,它是衔接网络安全设备的技术桥梁,不仅包括安全资源基础管理、安全威胁集中监控、风险评估、安全审计、响应恢复等管理功能,同时还强调与企业安全制度、流程相结合,实现管理与技术的共同发展。
(5)用户行为安全
对网络中的用户行为进行全面的监控、预警、审计,快速全面掌握网络中的带宽滥用、非法上网及流量异常情况,并采取有效措施进行控制管理。
信息安全技术建设的五个方面应具有联动功能,使分散在企业的各个安全策略形成一个整体。同时,应具有动态适应环境的能力,要求技术措施和管理机制的有效结合。
2.5 测评完善
按照《信息安全风险评估规范》(GB/T20984-2007)、《信息安全风险管理指南》(GB/T24364-2009)等标准要求采取自检自查、风险评估、等级测评等方法,分析判断目前所采取的安全措施的不足、存在的问题,制定安全策略,不断巩固和完善信息安全体系。
3、结束语
随着信息技术的革新,各种新的技术层出不穷,新的应用带来了新的安全问题,威胁也在不断地演变,可以看出企业信息安全体系建设是一项系统工程,而不是单纯通过建立一些制度、规范或采用某些新技术就可以完成的过程。因此,企业信息安全体系建设应该与企业业务和信息化建设协调发展。同时,信息安全体系应该是一个开放的体系, 具有持续改进的能力, 企业只有结合自身业务特点建立信息安全体系和信息安全保护长效机制,真正消除安全威胁隐患,才能实现信息安全的有效管理。
