王磊 中國(guó)五礦股份有限公司
淺析集團(tuán)企業(yè)信息系統(tǒng)運(yùn)營(yíng)安全
王磊 中國(guó)五礦股份有限公司
企業(yè)信息系統(tǒng)運(yùn)營(yíng)安全是指日常工作中維護(hù)網(wǎng)絡(luò)、硬件、應(yīng)用程序和系統(tǒng)環(huán)境時(shí),需要通過(guò)安全方式保證其正常運(yùn)行。它包括確保人員、應(yīng)用程序和服務(wù)器能夠正確獲取他們需要的相應(yīng)資源。通過(guò)監(jiān)視、審核和報(bào)告方式,監(jiān)控運(yùn)營(yíng)環(huán)境。這類工作是持之以恒的,是一個(gè)日常事務(wù)型工作。本文論述了信息系統(tǒng)安全運(yùn)行的關(guān)鍵要素。
信息安全 系統(tǒng)安全評(píng)級(jí) 應(yīng)急相應(yīng)計(jì)劃
近年來(lái),網(wǎng)絡(luò)和信息環(huán)境都向?qū)嶓w化方向演變,內(nèi)部信息系統(tǒng)運(yùn)營(yíng)安全越來(lái)越受到企業(yè)重視。為了使信息系統(tǒng)長(zhǎng)期處于安全運(yùn)營(yíng)環(huán)境下,如何改善其基礎(chǔ)設(shè)施、策略和措施;如何為管理系統(tǒng)打補(bǔ)丁就成為企業(yè)關(guān)注的課題。如果系統(tǒng)沒(méi)有持續(xù)地打補(bǔ)丁,沒(méi)有測(cè)試防火墻和設(shè)備的脆弱性,或者新軟件沒(méi)有添加入網(wǎng)絡(luò)和操作計(jì)劃,那么企業(yè)可能會(huì)很快會(huì)處于信息風(fēng)險(xiǎn)之下。筆者根據(jù)企業(yè)內(nèi)部信息系統(tǒng)運(yùn)營(yíng)安全經(jīng)驗(yàn),總結(jié)一些運(yùn)營(yíng)安全要素。
首先、要遵循正確的安全策略、行業(yè)標(biāo)準(zhǔn)和指南,對(duì)企業(yè)內(nèi)部信息系統(tǒng)進(jìn)行必要的安全級(jí)別評(píng)定。要考慮遵守法規(guī)要求、系統(tǒng)易用性、和成本投入產(chǎn)出比,對(duì)不同系統(tǒng)進(jìn)行安全運(yùn)營(yíng)平級(jí),制定不同的策略。同時(shí)企業(yè)要考慮縱向安全風(fēng)險(xiǎn),包括對(duì)物理或邏輯環(huán)境的破壞、服務(wù)中斷、資產(chǎn)盜竊、機(jī)密數(shù)據(jù)泄露等??傮w而言,為了保證操作的合規(guī)性滿足安全規(guī)范要求,信息系統(tǒng)運(yùn)營(yíng)安全涉及安全性以及問(wèn)責(zé)和驗(yàn)證管理、容錯(cuò)、性能、系統(tǒng)基線配置等一系列核查內(nèi)容。
其次、需要有嚴(yán)格的配置管理。在企業(yè)的信息管理部門公布的規(guī)章制度里,應(yīng)該有一套配置管理策略,規(guī)定如何在信息環(huán)境中進(jìn)行變更,規(guī)范變更流程,明確變更提交部門和執(zhí)行人。并且明確這些變更需要有效的轉(zhuǎn)到其他團(tuán)隊(duì)成員中,進(jìn)行歸檔。變更可以發(fā)生在設(shè)備或者更改硬件設(shè)施環(huán)境、系統(tǒng)參數(shù)、加入新技術(shù)的設(shè)置、應(yīng)用程序、應(yīng)用配置、網(wǎng)絡(luò)配置等場(chǎng)景下。變更控制對(duì)一個(gè)正在開(kāi)發(fā)和運(yùn)營(yíng)的產(chǎn)品很重要,對(duì)信息系統(tǒng)環(huán)境的穩(wěn)定性更重要。所有變更必須經(jīng)過(guò)原因分析、批準(zhǔn),并且需要有計(jì)劃、有組織的方式進(jìn)行實(shí)施。有效的和有序的變更很重要,同時(shí)要有后備回退計(jì)劃,避免變更失敗,產(chǎn)生負(fù)面影響,進(jìn)而引起網(wǎng)絡(luò)或者程序的混亂,導(dǎo)致無(wú)法使用系統(tǒng)。
第三、系統(tǒng)備份管理。軟件備份和硬件備份是信息系統(tǒng)的兩個(gè)主要組成部分。如果硬盤發(fā)生故障、發(fā)生災(zāi)難或軟件錯(cuò)誤,則需要恢復(fù)數(shù)據(jù)的能力。應(yīng)該指定一個(gè)策略來(lái)指定備份的內(nèi)容、備份的時(shí)間以及如何進(jìn)行備份。如果工作人員的重要信息保存在工作站上,建議信息部門和業(yè)務(wù)部門共同提出了一種方案,對(duì)工作站備份某些目錄進(jìn)行備份,或要求用戶在日常工作結(jié)束的時(shí)候,把他們的關(guān)鍵數(shù)據(jù)轉(zhuǎn)移到一個(gè)特定權(quán)限的共享服務(wù)器,保證數(shù)據(jù)的備份。備份的頻率越高,員工花費(fèi)的時(shí)間越長(zhǎng),因此需要在備份成本和丟失數(shù)據(jù)的實(shí)際風(fēng)險(xiǎn)之間取得平衡。企業(yè)可能會(huì)發(fā)現(xiàn)使用專門軟件的自動(dòng)化備份比IT部門員工完成備份所花費(fèi)的時(shí)間更節(jié)省成本。建議企業(yè)需要檢查這些備份的完整性,以確保它們達(dá)到預(yù)期的結(jié)果,而不是等到兩個(gè)主服務(wù)器崩潰后,發(fā)現(xiàn)了只保存臨時(shí)文件的自動(dòng)備份。
最后、關(guān)注應(yīng)急相應(yīng)計(jì)劃。在發(fā)生事故的情況下,只通過(guò)備份恢復(fù)數(shù)據(jù)是不夠的。我們還需要采取具體步驟,確保能夠使關(guān)鍵系統(tǒng)正常使用,確保業(yè)務(wù)事件和程序進(jìn)程不中斷,不丟失必要的信息。這個(gè)需要制定緊急管理計(jì)劃,應(yīng)對(duì)緊急情況所需的行動(dòng),維持業(yè)務(wù)的連續(xù)性,處理重要的中斷,采取的行動(dòng)必須預(yù)先記錄在案,并讓操作人員可以及時(shí)拿到應(yīng)急預(yù)案。此類文件至少應(yīng)保存3份:現(xiàn)場(chǎng)保存原件和復(fù)印件,并在受保護(hù)的、防火的、非現(xiàn)場(chǎng)存放一份。應(yīng)急計(jì)劃必須是經(jīng)過(guò)測(cè)試演練的。組織應(yīng)進(jìn)行演習(xí),以確保員工充分意識(shí)到他們的責(zé)任以及如何履行職責(zé)。同時(shí),我們需要考慮如何讓應(yīng)急響應(yīng)計(jì)劃保持最新,因?yàn)槲覀兯幍男畔h(huán)境在不斷變化,應(yīng)急相應(yīng)計(jì)劃需要包含最新的系統(tǒng)或者軟硬件環(huán)境,保更新這些環(huán)境需求的計(jì)劃。
綜上所述,運(yùn)營(yíng)安全應(yīng)該維持已實(shí)現(xiàn)的解決方案、保持對(duì)變更的跟蹤、正確地維護(hù)系統(tǒng)、不斷地加強(qiáng)必要的標(biāo)準(zhǔn)以及堅(jiān)持安全實(shí)踐和任務(wù)。操作安全是指在必要的安全水平下對(duì)環(huán)境進(jìn)行持續(xù)的維護(hù)。該公司的高級(jí)管理人員有義務(wù)確保資源得到保護(hù),安全措施是適當(dāng)?shù)?,并?duì)安全機(jī)制進(jìn)行了測(cè)試,以確保它們?nèi)匀荒軌蛱峁┍匾谋Wo(hù)級(jí)別。
[1]孫研.計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全問(wèn)題的分析與對(duì)策[J].科技資訊.2015(11)
[2]李曉霞.計(jì)算機(jī)信息系統(tǒng)安全問(wèn)題與管理[J].電子技術(shù)與軟件工程.2013(18)
[3]王剛,魏峰.關(guān)于計(jì)算機(jī)系統(tǒng)安全補(bǔ)丁管理問(wèn)題的探討[J].王剛,魏峰.河南科技.2013(14)
[4]王曦.關(guān)于計(jì)算機(jī)信息系統(tǒng)的安全問(wèn)題的探討[J].電腦迷.2017(09)