淺析集團企業(yè)信息系統(tǒng)運營安全

王磊 中國五礦股份有限公司

淺析集團企業(yè)信息系統(tǒng)運營安全

王磊 中國五礦股份有限公司

企業(yè)信息系統(tǒng)運營安全是指日常工作中維護網(wǎng)絡、硬件、應用程序和系統(tǒng)環(huán)境時，需要通過安全方式保證其正常運行。它包括確保人員、應用程序和服務器能夠正確獲取他們需要的相應資源。通過監(jiān)視、審核和報告方式，監(jiān)控運營環(huán)境。這類工作是持之以恒的，是一個日常事務型工作。本文論述了信息系統(tǒng)安全運行的關(guān)鍵要素。

信息安全 系統(tǒng)安全評級 應急相應計劃

近年來，網(wǎng)絡和信息環(huán)境都向?qū)嶓w化方向演變，內(nèi)部信息系統(tǒng)運營安全越來越受到企業(yè)重視。為了使信息系統(tǒng)長期處于安全運營環(huán)境下，如何改善其基礎(chǔ)設施、策略和措施；如何為管理系統(tǒng)打補丁就成為企業(yè)關(guān)注的課題。如果系統(tǒng)沒有持續(xù)地打補丁，沒有測試防火墻和設備的脆弱性，或者新軟件沒有添加入網(wǎng)絡和操作計劃，那么企業(yè)可能會很快會處于信息風險之下。筆者根據(jù)企業(yè)內(nèi)部信息系統(tǒng)運營安全經(jīng)驗，總結(jié)一些運營安全要素。

首先、要遵循正確的安全策略、行業(yè)標準和指南，對企業(yè)內(nèi)部信息系統(tǒng)進行必要的安全級別評定。要考慮遵守法規(guī)要求、系統(tǒng)易用性、和成本投入產(chǎn)出比，對不同系統(tǒng)進行安全運營平級，制定不同的策略。同時企業(yè)要考慮縱向安全風險，包括對物理或邏輯環(huán)境的破壞、服務中斷、資產(chǎn)盜竊、機密數(shù)據(jù)泄露等。總體而言，為了保證操作的合規(guī)性滿足安全規(guī)范要求，信息系統(tǒng)運營安全涉及安全性以及問責和驗證管理、容錯、性能、系統(tǒng)基線配置等一系列核查內(nèi)容。

其次、需要有嚴格的配置管理。在企業(yè)的信息管理部門公布的規(guī)章制度里，應該有一套配置管理策略，規(guī)定如何在信息環(huán)境中進行變更，規(guī)范變更流程，明確變更提交部門和執(zhí)行人。并且明確這些變更需要有效的轉(zhuǎn)到其他團隊成員中，進行歸檔。變更可以發(fā)生在設備或者更改硬件設施環(huán)境、系統(tǒng)參數(shù)、加入新技術(shù)的設置、應用程序、應用配置、網(wǎng)絡配置等場景下。變更控制對一個正在開發(fā)和運營的產(chǎn)品很重要，對信息系統(tǒng)環(huán)境的穩(wěn)定性更重要。所有變更必須經(jīng)過原因分析、批準，并且需要有計劃、有組織的方式進行實施。有效的和有序的變更很重要，同時要有后備回退計劃，避免變更失敗，產(chǎn)生負面影響，進而引起網(wǎng)絡或者程序的混亂，導致無法使用系統(tǒng)。

第三、系統(tǒng)備份管理。軟件備份和硬件備份是信息系統(tǒng)的兩個主要組成部分。如果硬盤發(fā)生故障、發(fā)生災難或軟件錯誤，則需要恢復數(shù)據(jù)的能力。應該指定一個策略來指定備份的內(nèi)容、備份的時間以及如何進行備份。如果工作人員的重要信息保存在工作站上，建議信息部門和業(yè)務部門共同提出了一種方案，對工作站備份某些目錄進行備份，或要求用戶在日常工作結(jié)束的時候，把他們的關(guān)鍵數(shù)據(jù)轉(zhuǎn)移到一個特定權(quán)限的共享服務器，保證數(shù)據(jù)的備份。備份的頻率越高，員工花費的時間越長，因此需要在備份成本和丟失數(shù)據(jù)的實際風險之間取得平衡。企業(yè)可能會發(fā)現(xiàn)使用專門軟件的自動化備份比IT部門員工完成備份所花費的時間更節(jié)省成本。建議企業(yè)需要檢查這些備份的完整性，以確保它們達到預期的結(jié)果，而不是等到兩個主服務器崩潰后，發(fā)現(xiàn)了只保存臨時文件的自動備份。

最后、關(guān)注應急相應計劃。在發(fā)生事故的情況下，只通過備份恢復數(shù)據(jù)是不夠的。我們還需要采取具體步驟，確保能夠使關(guān)鍵系統(tǒng)正常使用，確保業(yè)務事件和程序進程不中斷，不丟失必要的信息。這個需要制定緊急管理計劃，應對緊急情況所需的行動，維持業(yè)務的連續(xù)性，處理重要的中斷，采取的行動必須預先記錄在案，并讓操作人員可以及時拿到應急預案。此類文件至少應保存3份：現(xiàn)場保存原件和復印件，并在受保護的、防火的、非現(xiàn)場存放一份。應急計劃必須是經(jīng)過測試演練的。組織應進行演習，以確保員工充分意識到他們的責任以及如何履行職責。同時，我們需要考慮如何讓應急響應計劃保持最新，因為我們所處的信息環(huán)境在不斷變化，應急相應計劃需要包含最新的系統(tǒng)或者軟硬件環(huán)境，保更新這些環(huán)境需求的計劃。

綜上所述，運營安全應該維持已實現(xiàn)的解決方案、保持對變更的跟蹤、正確地維護系統(tǒng)、不斷地加強必要的標準以及堅持安全實踐和任務。操作安全是指在必要的安全水平下對環(huán)境進行持續(xù)的維護。該公司的高級管理人員有義務確保資源得到保護，安全措施是適當?shù)?，并對安全機制進行了測試，以確保它們?nèi)匀荒軌蛱峁┍匾谋Ｗo級別。

[1]孫研.計算機網(wǎng)絡信息系統(tǒng)安全問題的分析與對策[J].科技資訊.2015(11)

[2]李曉霞.計算機信息系統(tǒng)安全問題與管理[J].電子技術(shù)與軟件工程.2013(18)

[3]王剛，魏峰.關(guān)于計算機系統(tǒng)安全補丁管理問題的探討[J].王剛，魏峰.河南科技.2013(14)

[4]王曦.關(guān)于計算機信息系統(tǒng)的安全問題的探討[J].電腦迷.2017(09)