許振華 張婭鋒

摘要:信息技術(shù)在飛速發(fā)展,一方面給企業(yè)帶來(lái)了巨大的效益;另一方面也帶來(lái)非常大的安全風(fēng)險(xiǎn)。目前煙草行業(yè)正在進(jìn)行信息安全體系的構(gòu)建。本文對(duì)實(shí)際工作中碰到的一些問(wèn)題進(jìn)行分析,提出了相應(yīng)的解決辦法,包括信息資產(chǎn),安全審計(jì),網(wǎng)絡(luò)設(shè)備,安全培訓(xùn),物理安全,應(yīng)用系統(tǒng)等方面。通過(guò)這些問(wèn)題分析,對(duì)建立完善的信息安全體系做出補(bǔ)充。

關(guān)鍵詞:信息技術(shù)安全

中圖分類號(hào):TP392 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1672-3791(2012)04(c)-0023-01

目前全球處在一個(gè)信息社會(huì)中,信息系統(tǒng)的建設(shè)逐步成為各個(gè)企業(yè)不可或缺的基礎(chǔ)設(shè)施,然而在享受信息系統(tǒng)帶來(lái)的便利的同時(shí),也面臨的信息安全的嚴(yán)峻考驗(yàn)。信息安全是指以防止被黑客惡意攻擊和意外事故為目的,對(duì)信息基礎(chǔ)設(shè)施、應(yīng)用服務(wù)和信息內(nèi)容的保密性、完整性、可用性、可控性和不可否認(rèn)性進(jìn)行安全保護(hù)。它包含了信息環(huán)境、信息網(wǎng)絡(luò)和通信基礎(chǔ)設(shè)施、媒體、數(shù)據(jù)、信息內(nèi)容、信息應(yīng)用等多方面的安全需求。信息安全管理的發(fā)展趨勢(shì)是以建立安全風(fēng)險(xiǎn)管理為導(dǎo)向的整體安全體系來(lái)面對(duì)來(lái)自各方面的威脅,實(shí)際工作中,我們受保護(hù)的資源可能會(huì)受到來(lái)自于黑客攻擊,內(nèi)部威脅,員工誤操作,技術(shù)事故,病毒,自然災(zāi)害等多方面的威脅,因此一般的安全體系內(nèi)容應(yīng)該包括強(qiáng)調(diào)IT的安全管理和安全技術(shù)的平衡;每年安全經(jīng)費(fèi)預(yù)算基于風(fēng)險(xiǎn)評(píng)估結(jié)果;集成且統(tǒng)一的安全體系管理架構(gòu)、技術(shù)架構(gòu);基于國(guó)際標(biāo)準(zhǔn)的完善的安全策略、標(biāo)準(zhǔn)和流程;部署了必要的安全工具、應(yīng)急響應(yīng)機(jī)制晚上且定期演練;預(yù)防為主,防止結(jié)合。

經(jīng)過(guò)多年的發(fā)展,各個(gè)企業(yè)對(duì)信息技術(shù)的依賴越來(lái)越高,也使信息技術(shù)的風(fēng)險(xiǎn)變的異常突出,信息安全保障的形勢(shì)也越來(lái)越嚴(yán)峻。在實(shí)際工作中就需要從多個(gè)方面來(lái)做好信息安全工作。

1信息安全制度問(wèn)題

完整的信息安全體系首先是要建立一項(xiàng)完備的信息安全制度,要參照國(guó)家信息安全方面的法律法規(guī),結(jié)合煙草行業(yè)的實(shí)際,制定出一套安全制度,讓涉及到信息安全方面的工作有法可依。在制定制度的過(guò)程中,應(yīng)該要分三個(gè)階段進(jìn)行。在制度制定前期,需要參考近期的安全風(fēng)險(xiǎn)評(píng)估報(bào)告和審計(jì)報(bào)告,以便了解當(dāng)前信息安全的需求主要集中在哪些方面。同時(shí)還要自上而下建立一個(gè)信息安全組織架構(gòu),確認(rèn)相關(guān)人員的職責(zé)。在制度制定中期,制度的制定過(guò)程中,要從安全控制措施,檢查機(jī)制和執(zhí)行情況幾個(gè)方面來(lái)考慮,其中安全控制措施要分兩個(gè)方面:一個(gè)是對(duì)外部所有方式的信息交換方式進(jìn)行管理,以防止信息的泄露、篡改、丟失等;另外一個(gè)對(duì)內(nèi)部用戶的訪問(wèn)權(quán)限進(jìn)行定期檢查以及對(duì)信息資產(chǎn)清單的及時(shí)維護(hù)。在制度制定后期,形成正式的制度規(guī)范后,應(yīng)當(dāng)進(jìn)行常規(guī)的測(cè)試以及更新演練,以保證其有效性。

2信息類資產(chǎn)的問(wèn)題

現(xiàn)在信息類的資產(chǎn)非常之多,包括軟件資產(chǎn)和硬件資產(chǎn)兩方面,一般都是由專人進(jìn)行管理。當(dāng)信息類資產(chǎn)增加時(shí),通常只要根據(jù)規(guī)定的操作規(guī)范進(jìn)行操作,及時(shí)更新清單即可。但是當(dāng)信息類資產(chǎn)報(bào)廢時(shí),特別是電腦等IT硬件設(shè)備報(bào)廢時(shí),由于缺少對(duì)存儲(chǔ)的敏感信息進(jìn)行專業(yè)處理的手段,只能先從資產(chǎn)清單上進(jìn)行更改,而對(duì)實(shí)物處理起來(lái)經(jīng)常無(wú)所適從。針對(duì)此問(wèn)題,我認(rèn)為應(yīng)該對(duì)敏感類信息加以準(zhǔn)確定義,一旦確認(rèn)了某硬件存在敏感信息,則應(yīng)該采用物理銷毀的方法,以免數(shù)據(jù)泄漏。

3安全審計(jì)的問(wèn)題

我們需要應(yīng)用一些合適的工具,對(duì)網(wǎng)絡(luò)進(jìn)行審計(jì),及時(shí)發(fā)現(xiàn)整個(gè)網(wǎng)絡(luò)中的動(dòng)態(tài),一旦發(fā)現(xiàn)網(wǎng)絡(luò)入侵和違規(guī)行為,就可以采取手段進(jìn)行控制,同時(shí)還可以對(duì)運(yùn)行網(wǎng)絡(luò)中的重要服務(wù)器和網(wǎng)絡(luò)設(shè)備的安全配置管理進(jìn)行檢查,以根據(jù)查到的問(wèn)題及時(shí)的進(jìn)行整改。但這還遠(yuǎn)遠(yuǎn)不夠,我們應(yīng)該制定一個(gè)定期更新和檢查的計(jì)劃,以應(yīng)對(duì)不斷變化的信息安全方面的威脅,還要制定相應(yīng)的處罰規(guī)定,對(duì)違規(guī)的行為進(jìn)行處罰,以起到警示的作用。

4網(wǎng)絡(luò)設(shè)備的問(wèn)題

根據(jù)等級(jí)保護(hù)的規(guī)定,目前我們對(duì)網(wǎng)絡(luò)上不必要的服務(wù)和端口進(jìn)行關(guān)閉,并進(jìn)行安全域的劃分和訪問(wèn)控制策略的制定,同時(shí)也開(kāi)啟了網(wǎng)絡(luò)設(shè)備的日志審計(jì)功能,為日后的數(shù)據(jù)分析提供了便利。但在實(shí)際操作中確存在一些問(wèn)題,當(dāng)我們把認(rèn)為不必要的服務(wù)關(guān)掉以后,會(huì)導(dǎo)致一些應(yīng)用不正常,究其原因,是在軟件開(kāi)發(fā)過(guò)程中調(diào)用到了這些端口,但當(dāng)初開(kāi)發(fā)商并沒(méi)有留意。我覺(jué)得信息安全是重中之重,但是同時(shí)也要兼顧的日常的工作,避免對(duì)正常工作造成影響。根據(jù)這個(gè)問(wèn)題,我覺(jué)的應(yīng)該從源頭開(kāi)始處理,在以后軟件開(kāi)發(fā)的過(guò)程中,涉及到網(wǎng)絡(luò)通訊等功能的時(shí)候,需要把對(duì)應(yīng)端口和服務(wù)的主要功能詳細(xì)的列出,以便于我們?cè)诰W(wǎng)絡(luò)設(shè)備進(jìn)行安全管理配置。

5安全培訓(xùn)的問(wèn)題

目前各類服務(wù)器和網(wǎng)絡(luò)設(shè)備都進(jìn)行了比較全面的防護(hù),來(lái)自信息安全方面的威脅也有效地減少了,而終端設(shè)備的問(wèn)題還是比較大。一方面我們對(duì)內(nèi)而言還處于基本不設(shè)防的狀況,內(nèi)部安全管理缺乏有效的技術(shù)手段;另一方面是由于操作人員的信息安全意識(shí)不強(qiáng)。目前對(duì)終端設(shè)備的防護(hù)類軟件正在逐步測(cè)試使用,但是對(duì)操作人員的信息安全知識(shí)培訓(xùn)還遠(yuǎn)遠(yuǎn)不夠。做好員工的培訓(xùn)工作,可以提高管理層和員工的信息安全與風(fēng)險(xiǎn)防范意識(shí),認(rèn)真落實(shí)與規(guī)范信息安全制度的操作流程,使信息安全體系得到良好而且可持續(xù)的發(fā)展。培訓(xùn)工作可以從三個(gè)方面展開(kāi);首先,施行管理層的安全意識(shí)輔導(dǎo);其次,對(duì)技術(shù)人員進(jìn)行安全技能強(qiáng)化培訓(xùn),熟練日常操作和維護(hù)技能以及處理突發(fā)性事件的能力;再次加強(qiáng)普通員工的安全意識(shí)培訓(xùn),讓全體員工意識(shí)到信息安全工作的重要性,共同維護(hù)網(wǎng)絡(luò)和信息安全。

6應(yīng)用系統(tǒng)的問(wèn)題

應(yīng)用系統(tǒng)的主要問(wèn)題是信息的泄密。現(xiàn)在在用的比較好的方法就是權(quán)限的控制,根據(jù)崗位來(lái)設(shè)置相應(yīng)的權(quán)限,當(dāng)實(shí)際操作人要越權(quán)使用某些功能模塊時(shí),需要得到部門領(lǐng)導(dǎo)的確認(rèn),再授予相應(yīng)權(quán)利。但這并不能很好的進(jìn)行控制,實(shí)際工作中,由于一些員工安全意識(shí)不強(qiáng),導(dǎo)致自己賬號(hào)密碼被他人使用。因此,我覺(jué)得應(yīng)用程序應(yīng)該加強(qiáng)操作痕跡的記錄,詳細(xì)記錄操作賬號(hào)信息,ip地址,操作時(shí)間等信息。一旦出現(xiàn)問(wèn)題,也可以有跡可循。目前只有部分應(yīng)用系統(tǒng)可以查到比較完整的操作記錄,需要進(jìn)行完善。

以上問(wèn)題是在日常工作中發(fā)生的和信息安全緊密相關(guān)的一些問(wèn)題,通過(guò)不斷收集問(wèn)題,整理問(wèn)題,解決問(wèn)題,逐步完善信息安全體系。信息安全體系形成后,還要健全長(zhǎng)效的保障機(jī)制,形成科學(xué)完善的安全檢驗(yàn)制度,定期進(jìn)行信息安全檢驗(yàn)。做到對(duì)安全隱患及時(shí)發(fā)現(xiàn),及時(shí)消除,以持續(xù)有效的方法全方位的保證信息系統(tǒng)的安全?？傊?企業(yè)信息系統(tǒng)的安全問(wèn)題將會(huì)越來(lái)越受到人們重視,其不但是一個(gè)技術(shù)難題,同時(shí)更是一個(gè)管理的難題。因此,企業(yè)必須綜合考慮各種相關(guān)因素,制定合理的目標(biāo)和規(guī)劃,使信息安全技術(shù)隨著網(wǎng)絡(luò)技術(shù)和通信技術(shù)的發(fā)展而不斷得到完善。