許振華 張婭鋒

摘要:信息技術(shù)在飛速發(fā)展,一方面給企業(yè)帶來了巨大的效益;另一方面也帶來非常大的安全風(fēng)險。目前煙草行業(yè)正在進(jìn)行信息安全體系的構(gòu)建。本文對實際工作中碰到的一些問題進(jìn)行分析,提出了相應(yīng)的解決辦法,包括信息資產(chǎn),安全審計,網(wǎng)絡(luò)設(shè)備,安全培訓(xùn),物理安全,應(yīng)用系統(tǒng)等方面。通過這些問題分析,對建立完善的信息安全體系做出補(bǔ)充。

關(guān)鍵詞:信息技術(shù)安全

中圖分類號:TP392 文獻(xiàn)標(biāo)識碼:A 文章編號:1672-3791(2012)04(c)-0023-01

目前全球處在一個信息社會中,信息系統(tǒng)的建設(shè)逐步成為各個企業(yè)不可或缺的基礎(chǔ)設(shè)施,然而在享受信息系統(tǒng)帶來的便利的同時,也面臨的信息安全的嚴(yán)峻考驗。信息安全是指以防止被黑客惡意攻擊和意外事故為目的,對信息基礎(chǔ)設(shè)施、應(yīng)用服務(wù)和信息內(nèi)容的保密性、完整性、可用性、可控性和不可否認(rèn)性進(jìn)行安全保護(hù)。它包含了信息環(huán)境、信息網(wǎng)絡(luò)和通信基礎(chǔ)設(shè)施、媒體、數(shù)據(jù)、信息內(nèi)容、信息應(yīng)用等多方面的安全需求。信息安全管理的發(fā)展趨勢是以建立安全風(fēng)險管理為導(dǎo)向的整體安全體系來面對來自各方面的威脅,實際工作中,我們受保護(hù)的資源可能會受到來自于黑客攻擊,內(nèi)部威脅,員工誤操作,技術(shù)事故,病毒,自然災(zāi)害等多方面的威脅,因此一般的安全體系內(nèi)容應(yīng)該包括強(qiáng)調(diào)IT的安全管理和安全技術(shù)的平衡;每年安全經(jīng)費預(yù)算基于風(fēng)險評估結(jié)果;集成且統(tǒng)一的安全體系管理架構(gòu)、技術(shù)架構(gòu);基于國際標(biāo)準(zhǔn)的完善的安全策略、標(biāo)準(zhǔn)和流程;部署了必要的安全工具、應(yīng)急響應(yīng)機(jī)制晚上且定期演練;預(yù)防為主,防止結(jié)合。

經(jīng)過多年的發(fā)展,各個企業(yè)對信息技術(shù)的依賴越來越高,也使信息技術(shù)的風(fēng)險變的異常突出,信息安全保障的形勢也越來越嚴(yán)峻。在實際工作中就需要從多個方面來做好信息安全工作。

1信息安全制度問題

完整的信息安全體系首先是要建立一項完備的信息安全制度,要參照國家信息安全方面的法律法規(guī),結(jié)合煙草行業(yè)的實際,制定出一套安全制度,讓涉及到信息安全方面的工作有法可依。在制定制度的過程中,應(yīng)該要分三個階段進(jìn)行。在制度制定前期,需要參考近期的安全風(fēng)險評估報告和審計報告,以便了解當(dāng)前信息安全的需求主要集中在哪些方面。同時還要自上而下建立一個信息安全組織架構(gòu),確認(rèn)相關(guān)人員的職責(zé)。在制度制定中期,制度的制定過程中,要從安全控制措施,檢查機(jī)制和執(zhí)行情況幾個方面來考慮,其中安全控制措施要分兩個方面:一個是對外部所有方式的信息交換方式進(jìn)行管理,以防止信息的泄露、篡改、丟失等;另外一個對內(nèi)部用戶的訪問權(quán)限進(jìn)行定期檢查以及對信息資產(chǎn)清單的及時維護(hù)。在制度制定后期,形成正式的制度規(guī)范后,應(yīng)當(dāng)進(jìn)行常規(guī)的測試以及更新演練,以保證其有效性。

2信息類資產(chǎn)的問題

現(xiàn)在信息類的資產(chǎn)非常之多,包括軟件資產(chǎn)和硬件資產(chǎn)兩方面,一般都是由專人進(jìn)行管理。當(dāng)信息類資產(chǎn)增加時,通常只要根據(jù)規(guī)定的操作規(guī)范進(jìn)行操作,及時更新清單即可。但是當(dāng)信息類資產(chǎn)報廢時,特別是電腦等IT硬件設(shè)備報廢時,由于缺少對存儲的敏感信息進(jìn)行專業(yè)處理的手段,只能先從資產(chǎn)清單上進(jìn)行更改,而對實物處理起來經(jīng)常無所適從。針對此問題,我認(rèn)為應(yīng)該對敏感類信息加以準(zhǔn)確定義,一旦確認(rèn)了某硬件存在敏感信息,則應(yīng)該采用物理銷毀的方法,以免數(shù)據(jù)泄漏。

3安全審計的問題

我們需要應(yīng)用一些合適的工具,對網(wǎng)絡(luò)進(jìn)行審計,及時發(fā)現(xiàn)整個網(wǎng)絡(luò)中的動態(tài),一旦發(fā)現(xiàn)網(wǎng)絡(luò)入侵和違規(guī)行為,就可以采取手段進(jìn)行控制,同時還可以對運行網(wǎng)絡(luò)中的重要服務(wù)器和網(wǎng)絡(luò)設(shè)備的安全配置管理進(jìn)行檢查,以根據(jù)查到的問題及時的進(jìn)行整改。但這還遠(yuǎn)遠(yuǎn)不夠,我們應(yīng)該制定一個定期更新和檢查的計劃,以應(yīng)對不斷變化的信息安全方面的威脅,還要制定相應(yīng)的處罰規(guī)定,對違規(guī)的行為進(jìn)行處罰,以起到警示的作用。

4網(wǎng)絡(luò)設(shè)備的問題

根據(jù)等級保護(hù)的規(guī)定,目前我們對網(wǎng)絡(luò)上不必要的服務(wù)和端口進(jìn)行關(guān)閉,并進(jìn)行安全域的劃分和訪問控制策略的制定,同時也開啟了網(wǎng)絡(luò)設(shè)備的日志審計功能,為日后的數(shù)據(jù)分析提供了便利。但在實際操作中確存在一些問題,當(dāng)我們把認(rèn)為不必要的服務(wù)關(guān)掉以后,會導(dǎo)致一些應(yīng)用不正常,究其原因,是在軟件開發(fā)過程中調(diào)用到了這些端口,但當(dāng)初開發(fā)商并沒有留意。我覺得信息安全是重中之重,但是同時也要兼顧的日常的工作,避免對正常工作造成影響。根據(jù)這個問題,我覺的應(yīng)該從源頭開始處理,在以后軟件開發(fā)的過程中,涉及到網(wǎng)絡(luò)通訊等功能的時候,需要把對應(yīng)端口和服務(wù)的主要功能詳細(xì)的列出,以便于我們在網(wǎng)絡(luò)設(shè)備進(jìn)行安全管理配置。

5安全培訓(xùn)的問題

目前各類服務(wù)器和網(wǎng)絡(luò)設(shè)備都進(jìn)行了比較全面的防護(hù),來自信息安全方面的威脅也有效地減少了,而終端設(shè)備的問題還是比較大。一方面我們對內(nèi)而言還處于基本不設(shè)防的狀況,內(nèi)部安全管理缺乏有效的技術(shù)手段;另一方面是由于操作人員的信息安全意識不強(qiáng)。目前對終端設(shè)備的防護(hù)類軟件正在逐步測試使用,但是對操作人員的信息安全知識培訓(xùn)還遠(yuǎn)遠(yuǎn)不夠。做好員工的培訓(xùn)工作,可以提高管理層和員工的信息安全與風(fēng)險防范意識,認(rèn)真落實與規(guī)范信息安全制度的操作流程,使信息安全體系得到良好而且可持續(xù)的發(fā)展。培訓(xùn)工作可以從三個方面展開;首先,施行管理層的安全意識輔導(dǎo);其次,對技術(shù)人員進(jìn)行安全技能強(qiáng)化培訓(xùn),熟練日常操作和維護(hù)技能以及處理突發(fā)性事件的能力;再次加強(qiáng)普通員工的安全意識培訓(xùn),讓全體員工意識到信息安全工作的重要性,共同維護(hù)網(wǎng)絡(luò)和信息安全。

6應(yīng)用系統(tǒng)的問題

應(yīng)用系統(tǒng)的主要問題是信息的泄密?，F(xiàn)在在用的比較好的方法就是權(quán)限的控制,根據(jù)崗位來設(shè)置相應(yīng)的權(quán)限,當(dāng)實際操作人要越權(quán)使用某些功能模塊時,需要得到部門領(lǐng)導(dǎo)的確認(rèn),再授予相應(yīng)權(quán)利。但這并不能很好的進(jìn)行控制,實際工作中,由于一些員工安全意識不強(qiáng),導(dǎo)致自己賬號密碼被他人使用。因此,我覺得應(yīng)用程序應(yīng)該加強(qiáng)操作痕跡的記錄,詳細(xì)記錄操作賬號信息,ip地址,操作時間等信息。一旦出現(xiàn)問題,也可以有跡可循。目前只有部分應(yīng)用系統(tǒng)可以查到比較完整的操作記錄,需要進(jìn)行完善。

以上問題是在日常工作中發(fā)生的和信息安全緊密相關(guān)的一些問題,通過不斷收集問題,整理問題,解決問題,逐步完善信息安全體系。信息安全體系形成后,還要健全長效的保障機(jī)制,形成科學(xué)完善的安全檢驗制度,定期進(jìn)行信息安全檢驗。做到對安全隱患及時發(fā)現(xiàn),及時消除,以持續(xù)有效的方法全方位的保證信息系統(tǒng)的安全?？傊?企業(yè)信息系統(tǒng)的安全問題將會越來越受到人們重視,其不但是一個技術(shù)難題,同時更是一個管理的難題。因此,企業(yè)必須綜合考慮各種相關(guān)因素,制定合理的目標(biāo)和規(guī)劃,使信息安全技術(shù)隨著網(wǎng)絡(luò)技術(shù)和通信技術(shù)的發(fā)展而不斷得到完善。