企业的信息安全建设思路
前言
当今时代,信息技术飞速发展,信息网络广泛普及,信息已成为事关全局的一种战略资源。但是信息技术也是一把双刃剑,一方面极大的便利了人类的生产和生活,另一方面也由于信息技术的脆弱性和不完善性,使得在信息的存储、处理、传输过程中很容易被干扰、遗漏和丢失,甚至被泄漏、窃取、篡改和冒充,因此,信息安全成为企业信息化过程中不可或缺的要素。
随着信息技术的飞速发展,企业的信息成为各种网络犯罪组织和恶意势力的攻击目标,网络非法行为日趋复杂,且更为频繁,各种攻击方法相互融合,攻击手段更为隐秘,破坏性更强,攻击从网络层向应用层迁移。但是,我们也应该看到,信息安全虽然是由信息技术问题引起的,但信息安全问题的解决不能够单纯地由技术问题入手,还得从系统的、管理的角度切入,一个完美的解决安全问题的技术方案在现实中是不存在的.而且用信息技术解决信息技术的脆弱性和不完善性有可能带来另外的脆弱性和不完善性。
一、信息系统的安全风险评估
所谓信息系统的安全风险,是指由于系统存在的脆弱性、人为或自然的威胁导致安全事件发生的可能性及其造成的影响。风险评估是分析分析确定风险的过程。任何系统的安全性都可通过风险的大小来衡量。
网络信息系统得安全建设应该建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统得信息安全评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,才可以避免重复建设和投资的浪费。信息安全风险评估是风险平估理论和方法在信息系统中的运用,是科学分析理解信息和信息系统在机密性、完整性、可用性等方面所面临的风险,并在风险的预防、风险的控制、风险的转移、风险的补偿、风险的分散等之间做出抉择的过程。所有信息安全建设都应该是基于信息安全风险评估,只有在正确地、全面地理解风险后,才能在控制风险、减少风险之间做出正确的判断,决定调动多少资源、以什么样的代价、采取什么样的应对措施去化解、控制风险。在风险评估中,最终要根据对安全事件发生的可能性和负面影响的评估来识别信息系统的安全风险。造成信息安全事件的源头,可以归为外因和内因。外因为威胁,内因则为脆弱性。因此,在风险评估中要刻意刻画信息安全事件,就必须对威胁和脆弱性都有深入了解,这构成了风险评估工作的关键。
二、信息安全等级保护
分为五个等级,分别为:第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)、第五级(专控保护级)系统的重要程度从1-5级逐级升高。
三、信息安全等级保护和风险评估的关系
1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定计算机信息系统实行信息系统安全等级保护。2003年中央办公厅、国务院办公厅转发的徊家信息化领导小组关于加强信息安全保障工作的意见)中明确提出: “要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息系统安全等级保护制度,制定信息系统安全等级保护的管理办法和技术指南”。2004年公安部等四部委《关于信息系统安全等级保护工作的实施意见》也指出: “信息系统安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力水平,维护国家安全、社会稳定和公共利益,保障和促遗信息化建设健康发展的—项基本制度”。等级保护工作的核心是对信息安全分等级,按标准进行建设、管理和监督。风险评估做为信息安全工作的一种重要技术手段,为系统安全等级保护的定级、测评和整改等工作阶段提供重要依据,在实施信息安全等级保护周期和层次中发挥着重要作用。在等级保护周期的系统等级阶段中,依提信息安全风险评估国家标准对所评估资产的重要性、客观威胁发生的频率、以及系统自身脆弱性的严重程度进行识别和关联分析,判断信息系统应采取什么强度的安全措施,然后将安全事件一旦发生后可能造成的影响控制在可接受的范围内:在安全实施阶段,按照风险评估标准,对现有系统进行评估和加固,然后进行安全设备的部署,对在安全实施过程中也会发生事件并可能带来长期的隐患,风险评估能及早发现并解决这些问题:在安全运维阶段,按照风险评估标准开展定期和不定期的风险评估以便帮助确认它保持的安全等级是否发生变化。
四、建立信息安全管理组织的必要性
一个单位应该也必须建立信息安全管理组织,这个组织是这个单位在信息系统安全方面的最高权力组织。信息安全是所有管理层成员所共有的责任,一个管理组织应确保有明确的安全目标。在一个单位内部,有关信息安全的工作需要一个强有力领导机构来领带和推动,这是由于:1)首先是一些单位的业务对信息系统形成了完全的依赖,另外信息安全会导致对社会公众利益、社会秩序和国家安销告成侵害,甚至是严重的侵害。2)在一个单位中多个部门的信息任务既有联系又有相对的独立性,而这些任务又是这个单位全部信息任务的组成部分,所有这些都需要—个强有力的机构进行协调和指导。3)全员使用的信息系统中不同员工在其中所对应的是不同的角色,在工作中的权限也有4)—个单位对信息系统安全所采取的各类措施和决策是需要权威机构来审批和决定的。