守住信息時代安全線

2013-10-17 10:41:12 EP電力信息化網(wǎng)　點擊量：評論 (0)

【事件描述】A單位從2005年開始建設(shè)內(nèi)部信息系統(tǒng)，至2008年基本建設(shè)完成，2009年通過國家測評，并取得《使用許可證》。系統(tǒng)主要業(yè)務(wù)應用包括辦公自動化、財務(wù)、人事、物資、項目管理、檔案等管理信息系統(tǒng)。該系統(tǒng)

隨著A單位信息化程度的提高，信息系統(tǒng)越來越復雜，在業(yè)務(wù)運作的過程中生成了大量的數(shù)據(jù)，各種業(yè)務(wù)的開展對信息的依賴程度也越來越大，信息安全管理成了A單位風險管理的重要組成部分。

【案例分析】A單位內(nèi)部信息系統(tǒng)依據(jù)內(nèi)部信息系統(tǒng)分級保護要求進行風險分析，主要分為風險（脆弱性）分析、威脅分析，風險識別與確定等內(nèi)容。其中，A單位所面臨的信息安全風險主要包括技術(shù)風險和管理風險兩方面。

技術(shù)風險：技術(shù)風險可從物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應用層幾個層面進行分析：物理層安全應考慮到環(huán)境安全和設(shè)備、設(shè)施安全；網(wǎng)絡(luò)層安全風險主要包括網(wǎng)絡(luò)傳輸數(shù)據(jù)風險、連接互聯(lián)網(wǎng)風險、互連設(shè)備的安全隱患等；系統(tǒng)層風險主要包括訪問控制脆弱性、病毒攻擊、網(wǎng)絡(luò)共享服務(wù)、非法外聯(lián)、存儲信息丟失等內(nèi)容；應用層安全風險主要包括應用系統(tǒng)的自身脆弱性、訪問控制風險、數(shù)據(jù)庫安全風險等。

管理風險：安全保密管理在內(nèi)部系統(tǒng)的風險防范中占有非常重要的地位，即使有了較完善的安全保密措施，如果管理的力度不夠，依然存在很大的安全隱患。因此應針對安全保密管理進行風險分析，并提供安全保密管理的具體措施。

【警示與建議】隨著網(wǎng)絡(luò)環(huán)境的日益惡化以及企業(yè)自身的發(fā)展伴隨著越來越多的商業(yè)泄密事件的發(fā)生，信息安全問題逐漸被提上議事日程。要保證企業(yè)信息安全，就必須找出存在信息安全問題的根源，并具有良好的安全管理策略。A單位在此方面采取的措施，可以為其他單位防范信息風險提供良好的借鑒。

　　1.信息系統(tǒng)風險評估是信息系統(tǒng)安全的基礎(chǔ)和前提。如何保障信息安全是信息系統(tǒng)發(fā)展所面臨的關(guān)鍵問題。對于所涉及的安全問題，任何單一層次上的安全措施都不可能提供真正意義上的全方位的安全，應該站在系統(tǒng)工程的角度來考慮。在這項系統(tǒng)工程中，信息系統(tǒng)安全風險評估占有重要的地位，它是A單位信息系統(tǒng)安全的基礎(chǔ)和前提。

2.風險分析應充分結(jié)合分級保護測評標準。為規(guī)范內(nèi)部信息系統(tǒng)分級保護，國家頒布了有關(guān)文件和指南，涵蓋了內(nèi)部信息系統(tǒng)風險分析所需絕大多數(shù)的技術(shù)和管理要點，在風險分析中可作為脆弱性與威脅分析的主體框架。A單位對內(nèi)部信息系統(tǒng)的風險分析采用了自評估、委托評估以及外聘專家等方式，在實現(xiàn)了既定目標的同時，又培養(yǎng)和鍛煉了企業(yè)運維管理隊伍。

3.通過風險分析完善安全策略動態(tài)閉環(huán)結(jié)構(gòu)。企業(yè)信息安全的核心問題是安全策略問題，安全策略的制定是一個動態(tài)的逐步完善和修改的過程，通過風險分析手段對內(nèi)部信息系統(tǒng)進行安全評估是整個安全策略動態(tài)閉環(huán)結(jié)構(gòu)中的重要環(huán)節(jié)，其核心意義在于發(fā)現(xiàn)問題并應對，能夠幫助企業(yè)動態(tài)地調(diào)整和完善安全策略，以達到提高信息安全水平的目的。

　　4.加強內(nèi)部信息系統(tǒng)的管理風險分析與評估。內(nèi)部信息系統(tǒng)的運維管理，在具備了基本的安全設(shè)備與技術(shù)手段的同時，應針對管理進行充分的風險分析，將管理制度落到實處，從在現(xiàn)階段來看，其已經(jīng)成為阻礙內(nèi)部信息系統(tǒng)良性運行的重點風險。針對安全保密管理制度的落實，A院采用信息化手段，自主研發(fā)了保密管理信息系統(tǒng)，將系統(tǒng)資產(chǎn)，審批流程，維修保障，審計策略等與管理相關(guān)的各類制度信息化，流程化，有效保證了管理制度的落實。